网络安全管理体系建设

1.背景概述

  随着信息技术的不断发展和应用，对网络安全管理提出了新的挑战。为加强和规范的网络安全工作，提高我单位网络的 整体安全防护水平，实现网络安全的可控、能控、在控，依据国家有关法律、法规的要求，制定本文档。

  本文件的目的是为网络安全管理提供一个总体的框架，将指导单位网络安全管理体系的建立。安全管理体系的建立为我单位信息系统的安全管理工作提供参照，以实现统一的安全策略管理，提高整体的网络与网络安全水平，确保安全控制措施落实到位，保障网络通信畅通和业务系统的正常运营。

2.整体框架

  三分技术，七分管理，任何技术措施都需要在完善的管理下才可以发挥最大的作用；木桶效应也可以充分说明，威胁总是会利用最脆弱的方面攻破安全的堡垒。企业网络安全只有做到全面提升，才能有效防控可能发生的安全事件。

  在对网络安全等级保护基本要求的内容进行梳理，总结各层面内容的基础上，绘制出了我单位网络安全保障体系架构图（如图1）。此安全架构是在我单位总体方针和安全策略的指引下来规划全面的网络安全管理内容。大的层面分为三个体系，即管理体系、运营体系和技术体系。管理体系主要以机构、人员和具体各方面的管理制度为管理目标；运营体系包括系统建设和系统运维两方面中分别的相关阶段或方面的管理内容；技术体系遵从一个中心，三重防护的理念，对安全物理环境、安全通信网络、安全区域边界、安全计算环境各层面相关控制点进行了梳理总结。

3.文档管理

3.1国家法律法规

法律类：《中华人民共和国网络安全法》

条例：《中华人民共和国计算机信息系统安全保护条例》

     《关键信息基础设施安全保护条例》

     《网络安全等级保护条例》

文件类：

《国家信息化领导小组关于加强信息安全保障工作的意见》

《关于信息安全等级保护工作的实施意见》

《关于开展全国重要信息系统安全等级保护定级工作的通知》

《信息安全等级保护备案实施细则》

《关于开展信息安全等级保护安全建设整改工作的指导意见》

《关于加强电子政务工程建设项目信息安全风险评估的通知》

《关于推动信息安全等级保护测评体系建设》

《公安机关信息安全等级保护检查工作规范》

3.2公司规章制度和管理办法

  信息系统的安全管理需要明确信息系统的安全管理目标和范围，针对涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统，制定包括系统设施和操作等内容的系统安全目标与范围计划文件。

  信息系统安全管理策略包括：制定规划策略、机构策略、人员策略、管理策略、安全技术策略、生命周期策略等，形成体系化的信息系统安全策略。

  管理制度包括：根据机构的总体安全策略和业务应用需求，制定信息系统安全管理的规程和制度。涉及到文档管理、管理职责、人员安全管理规定、安全意识与安全技术教育、安全审计管理规定、用户管理规定、风险管理规定、信息分类分级管理规定、安全事件报告规定、事故处理规定、应急管理规定、灾难恢复管理规定、网络安全管理规定、系统安全管理规定、数据安全管理规定、防病毒规定、机房安全管理规定以及相关的操作规定、设备使用管理规定、安全配置、测试和脆弱性评估、系统信息安全备份和相关的操作规程、网络连接检查评估、网络使用授权、网络检测、网络设施（设备和协议）变更控制和相关的操作规程等方面的网络安全管理规定；应用安全评估、应用系统使用授权、应用系统配置管理、应用系统文档管理和相关的操作规程等方面的应用安全管理规定；存储介质管理、第三方访问控制和相关的操作规程等方面的信息安全管理规定等。

3.3安全操作规程

  安全操作规程是指各项具体活动的步骤或方法，可以是一个操作手册，一个流程表表单或一个实施方法，但必须能够明确体现或执行网络安全策略或网络安全所要求的策略或原则。提供对信息系统进行安全保护的比较完整的系统化安全保护的能力和比较完善的安全管理措施，从整体上保护信息免遭非授权的泄露和破坏，保证信息系统安全正常运行。 

  需要针对重要等级保护对象中部署的关键网络安全设备、主机操作系统、数据库管理系统等建立安全配置规范。应包含《ORACLE安全配置基线》、《SQL Server 2008安全配置基线》、《Windows 7操作系统安全配置基线》、《Windows Embedded Standard操作系统安全配置基线》、《Windows Server 2012操作系统安全配置基线》、《Windows2008操作系统安全配置基线》、《摩莎MOXA交换安全配置基线》等。

3.4台账管理

  各类设备、软件或是服务类信息都应建立台账（附件1），以便于查询、利用和管理。各项台账由涉及的责任部门负责对其进行登记、增减、修改，每季度对各项台账进行更新。已录入的信息未经部门领导的审批，不得随意更改数据。由信息中心监督各部门的台账数据的落实工作，确保台账数据的准确性、及时性和完整性。

4.组织架构

4.1机构说明及安全职责

图一：网络安全组织架构图

4.2公司级

  明确公司网络安全和信息化委员会为网络安全最高领导组织，网络安全和信息化委员会办公室设在公司信息中心。网络依据《网络安全等级保护定级指南》进行自主定级，已定级网络分别在规划设计、建设、使用阶段由相关主管部门对该网络安全负责。

4.3子分公司级

子分公司设立各自信息化主管部门，协助公司信息中心管理子分公司相关网络安全工作。

4.4系统级

网络安全责任按照“谁主管谁负责、谁建设谁负责、谁使用谁负责、谁维护谁负责”原则，处于不同时期的网络安全责任追究到当前时期的主管部门，由部门自行明确各网络责任人。各部门负责人作为本部门网络安全第一责任人。

5.网络安全等级保护管理办法

5.1定级

针对不同时期的网络，定级工作应由承建部门或运行部门参考《网络安全等级保护定级指南》，根据网络在国家安全、经济建设、社会生活中的重要程度，以及其一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后，对国家安全、社会秩序、公共利益以及相关公民、法人和其他组织的合法权益的危害程度等因素，确定网络级别。

5.2备案

  针对不同时期的网络，备案材料由承建或运行部门组织编制备案材料，然后统一提交监管部门进行复审，由监管部门负责统一向市公安局进行备案，并指定专人负责与市局的联系。

5.3测评

等级测评是按照《网络安全等级保护基本要求》，并结合公司的实际情况对定级为二级及以上网络进行等级保护安全测评工作。公司应根据网络定级备案情况，严格按照网络安全法律法规和标准情况，委托具有国家相关技术资质和安全资质的经验丰富的第三方测评机构进行等级保护测评，并出具等级保护测评报告。

在测评过程中应由组织本次测评工作的部门对等级测评工作的时间计划安排、实施方案等进行评审，并负责协调系统各部门积极配合等级测评工作的开展，统筹协调等级测评工作的顺利进行。

6.应急事件响应

  应提高处置网络安全突发事件的能力，形成科学、有效、反应迅速的应急工作机制，确保网络的实体安全、运行安全和数据安全，最大限度地减轻网络安全突发事件的危害，保护网络安全，维护公司间的正常通讯渠道。

  应急工作应遵守“预防为主、快速反应、分级负责、常备不懈”的原则。应制定安全事件报告和处置管理制度，明确安全事件分级管理、不同安全事件的报告、处置和响应流程，规定安全事件的现场处理、事件报告和后期恢复的管理职责等。应在安全事件报告和响应处理过程中，分析和鉴定事件产生的原因，收集证据，记录处理过程，总结经验教训。

7.网络安全防护

7.1整体防护

建立纵深防御体系，建立防御、检测、恢复机制。

（一）全面、纵深防御体系：各种防护机制建立应尽力完善，要有针对各种攻击的防御手段，即要考虑部署：网络防火墙、入侵防御系统、防病毒网关、上网行为管理/网络审计系统、数据库防火墙、（WEB）应用防火墙、主机防火墙、终端安全管理、操作系统加固、防病毒软件等建立全方位防护体系。

（二）优化、加固安全策略：梳理网络防线和防御机制，采用精细化控制策略，对各类服务的开放、映射及访问策略等均做到最小化配置，默认情况下除允许通信外受控接口拒绝所有通信，控制粒度精准到端口级。

（三）监测、应对机制：综合采用网络/主机漏洞扫描、数据库漏洞扫描、应用漏洞扫描、渗透测试、入侵检测系统、抗APT攻击系统、日志分析系统等定时/实时扫描、检测系统安全隐患/事件，及时进行加固或应急机制，包括IP限制、连接数或时间限制、网络隔离、系统恢复、漏洞修复、数据恢复等（需要随时做好应急准备）；

（四）备份恢复机制：综合采用线路备份、主机备份、数据备份恢复、网页防篡改等对被破坏系统进行及时恢复。

7.2单元防护

设备加固，保障防御体系的有效性

（一）固件升级，漏洞修复：通过厂家咨询、漏洞扫描的途径确认网络设备、安全设备、操作系统、数据库系统、中间件系统、应用系统的最新版本及漏洞等信息，对各系统进行升级和修复，保证各系统均为最安全版本并安装最新补丁；

（二）特征库更新：对入侵防御系统、防病毒网关、数据库防火墙、（WEB）应用防火墙、防病毒软件、漏洞扫描系统、入侵检测系统等进行特征库更新；

（三）设备控制：对各网络设备、安全设备、主机操作系统、数据库系统、中间件系统、应用系统完善密码安全策略，强制密码长度/复杂度（建议8位以上、大小写字母+数字+特殊字符混合排列）、登录失败处理（建议不超过5次，锁定账户或限制连接不少于10分钟）、账户最小权限等策略，严禁默认账户、空/弱口令。

7.3其他

  防止内部操作失误隐患，谨慎点击外来链接，谨慎点击外来文件，严禁外来电脑、U盘接入。

8.网络安全检查

  定期进行常规安全检查，检查内容包括系统日常运行、系统漏洞和数据备份等情况。常规的安全检查一般是半年，一年或者每季度开展，汇总一段时间内的系统状态。

  除常规的安全检查外还应每半年或是一年进行全面安全检查，检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。全面的安全检查可自行组织或通过第三方机构进行，无论哪种方式，检查内容均应涵盖技术和管理各方面安全措施的落实情况。

  无论是日常检查还是定期全面的安全检查都需要制定安全检查表格,记录全面检查结果，并形成安全检查报告，同时应将安全检查结果通知给相关人员，尤其是运营层的各岗位管理员。

9.网络安全宣传

9.1宣传途径

 在全公司范围内集中开展网络安全宣传教育活动，增强员工的网络安全意识，提升基本防护技能，营造安全健康文明的网络环境，保障员工在网络空间的合法权益，切实维护网络安全。

  每年九月为网络安全宣传月，在网络安全和信息化委员会领导下，由信息中心牵头，公司各个部门共同举办。公司根据实际举办本公司网络安全宣传教育活动。

（一）可在公司网站、公众号、广告屏、电梯间、餐厅电视系统、楼宇电视系统推送网络安全公益广告。

（二）进行网络安全知识竞赛，网站开设网络安全知识在线答题栏目，或组织开展各种类型的网络安全技能竞赛。

（三）发放网络安全科普材料或组织专家开展知识讲座。在公司内发放或张贴网络安全宣传材料，包括小册子、传单、海报、科普读物、印有网络安全宣传提示的小礼品。聘请网络安全专家开展一次网络安全教育活动。