1、1中国医药集团网络安全管理规范(V1.2)中国医药集团总公司2007 年 11 月2目 录目 录 .2第一章 总则 .41.1 范畴 .41.2 目标 .41.3 原则 .41.4 制定与实施 .5第二章 安全组织结构 .62.1安全组织结构建立原则 .62.2 安全组织设置 .62.3 安全组织职责 .62.4 人员安全管理 .9第三章 基本安全管理制度 .103.1 入网安全管理制度 .103.2 操作安全管理制度 .103.3 机房与设施安全管理制度 .103.4 设备安全使用管理制度 .113.5 应用系统安全管理 .113.6 媒体/技术文档安全管理制度 .11第四章 用户权限管理
2、.134.1 用户权限 .134.2 用户登录管理 .134.3 用户口令管理 .14第五章 运行安全 .155.1 网络攻击防范 .155.2 病毒防范 .165.3 访问控制 .165.4 行为审计 .1735.5异常流量监控 .175.6 操作安全 .185.7 IP地址管理制度 .185.8 防火墙管理制度 .19第六章 安全事件的处理 .206.1 安全事件的定义 .206.2 安全事件的分类 .206.3 安全事件的处理和流程 .216.4 安全事件通报制度 .234第一章 总则1.1 范畴安全管理办法的范畴是运行维护过程中所涉及到的各种安全管理问题,主要包括人员、组织、技术、服务
3、等方面的安全管理要求和规定。本文所指的管理范围包括国药集团总公司和各分支机构的承载网络,同时包括其上承载的BI系统、BOA办公系统、编码系统、Email以及后续还要开发的HR系统和门户网站等各应用系统。1.2 目标安全管理的目标是在合理的安全成本基础上,实现网络运行安全(网络自身安全)和业务安全(为网上承载的业务提供安全保证),确保各类网元设备的正常运行,确保信息在网络上的安全存储传输以及信息内容的合法性。全网安全管理办法的目标主要就是为网络安全运行和业务安全提供管理上的保障,用科学规范的管理来配合先进的技术,以确保各项安全工作落到实处,真正保证网络安全。安全管理办法将用于指导中国医药集团网络
4、安全建设和管理,加强人员的安全管理,防止数据丢失、损坏、篡改、泄漏,提高网络及相关业务系统的安全性。1.3 原则安全管理工作的基本原则:1.网络安全管理应以国家相关政策法规和条例为依据。2.网络安全管理遵循统一规划、集中监控的原则。中国医药集团总公司负责对网络安全管理工作进行统一规划,负责安全策略的制定和监督实施。3.网络安全管理采用三级集中管理的方式。5由中国医药集团总公司负责对全网的网络安全进行统一规划管理,协调处理重大事件,由中国医药集团信息中心对骨干承载网的安全运营进行集中管理,由各分支机构负责对各分公司的安全运营进行集中管理。4.网络安全管理工作应建立符合网络和业务发展要求的安全管理
5、组织体系和安全技术支援保障体系。5.网络安全管理应建立并不断积累完善针对实际情况的各类安全管理章程或规定,全面提高的网络安全管理水平。1.4 制定与实施本安全管理办法遵照我国信息安全的有关法律法规,并结合具体的情况,依据中国医药集团公司颁布的各种服务管理规定和安全管理规定而制定。6第二章 安全组织结构2.1 安全组织结构建立原则本章描述安全组织的建设,包括建立原则,组织设置,组织职责,针对人员的安全管理,和涉及应该指定的安全管理制度。中国医药集团公司网络安全组织体系是中国医药集团公司安全体系的组织保障。应遵循中国医药集团公司相关的规章制度、维护规程,制定的安全管理制度和内部的法规政策,指导、监
6、督、考核安全制度的执行,确保全网安全工作的有序进行。采取中国医药集团总公司安全组织主管与各分支机构兼管相结合的组织建设原则。2.2 安全组织设置2.2.1 中国医药集团安全协调组织1中国医药集团公司安全主管人员2中国医药集团公司安全专家指导人员。2.2.2 中国医药集团安全响应中心1中国医药集团公司安全主管人员2中国医药集团公司安全运营管理人员:由中国医药集团公司信息中心从事安全工作的管理和技术人员组成。2.2.3 各分支机构安全组织1) 各分支机构网络安全主管人员:由相关主管人员组成。2) 各分支机构原则上不设置专职的安全管理机构,但应设立专(兼)职安全管理员,由从事安全工作的管理人员、技术
7、人员或业务监管人员担任。2.3 安全组织职责2.3.1 中国医药集团公司安全协调组织职责71.中国医药集团公司网络安全主管人员:1) 贯彻、落实中国医药集团公司关于计算机安全以及通信网络安全工作的规章、规程;2) 研究决定系统安全工作的重大事项;3) 制定系统安全工作和中国医药集团公司所管设备的规范、制度;4) 组织、领导安全相关的工作。2.中国医药集团公司网络安全专家指导人员:1) 在安全主管人员的领导下,从理论上、技术上,宏观上指导中国医药集团网络安全体系建设。2)发生重大安全事件时,协调各公司资源共同处理。3) 定期分析研究全网的安全管理问题,并提出相应的改进措施、意见和办法3中国医药集
8、团公司安全协调组织具体职责:1) 制定安全管理制度,统一对网络安全工作进行管理。2) 协助指导并监督各分支机构的安全管理人员进行本网管理范围内的日常安全管理和安全制度的执行。3) 协助指导各分支机构安全管理人员处理网络中发生的重大安全事故,必要时派人到事故点处理。4) 负责和监督对各分支机构安全管理人员的安全技术培训工作。2.3.2 中国医药集团公司安全响应中心职责1. 中国医药集团公司安全主管人员:1) 贯彻、落实中国医药集团公司关于网络安全工作的策略、制度;2) 研究决定骨干网设备安全工作的重大事项;3) 制定骨干网设备安全工作的实施细则;4) 组织、领导各分支机构网络相关的安全工作2.
9、安全响应中心安全管理人员:1) 具体组织落实中国医药集团公司网络安全工作主管人员的工作计划;2) 指导、监督、协调、规范骨干网系统安全工作的开展;3) 对骨干网的网络运行和设备的安全实施监控管理;4) 管理和维护、处理骨干网的具体安全工作;83安全响应中心具体职责:1) 对骨干网的网络运行和设备的安全实施监控管理,实施日常安全管理和监督安全管理制度的执行;2) 负责骨干网网络设备和系统的安全评估和定期系统安全性增强。3) 配合安全管理人员对骨干网相关安全事件处理;4) 贯彻和执行网络安全管理办法及原则,并对骨干网的安全运营提出相应工作细则和操作规章制度,并组织实施;2.3.3 各分支机构安全组
10、织职责1. 各分支机构网络安全主管人员:1) 贯彻、落实中国医药集团公司关于网络安全工作的策略、制度;2) 研究决定分支机构网络设备安全工作的重大事项;3) 制定分支机构网络设备安全工作的实施细则;4) 组织、领导分支机构网络相关的安全工作。2. 各分支机构安全管理人员:1) 具体执行集团总公司网络安全主管人员的工作计划;2) 指导、监督、协调、规范分支机构网络安全工作的开展;3) 管理、维护和处理分支机构网络的安全工作。3分支机构安全组织具体职责1) 对分支机构网络设备的安全实施监控管理,实施日常安全管理和监督安全管理制度的执行;2) 负责本网网络设备和系统的安全评估和定期系统安全性增强;3
11、) 定期分析研究全网的安全管理问题,并提出相应的改进措施、意见和办法;4) 配合集团总公司安全管理人员对骨干网相关安全事件处理;5) 处理本网络中发生的重大安全事故,向中国医药集团公司安全工作小组上报安全事故情况;6) 贯彻和执行集团总公司网络安全管理办法及原则,提出分支机构内的相应工作细则和操作规章制度,并组织实施;7) 负责和组织相关人员的安全技术培训工作。92.4 人员安全管理人员安全管理的主要内容包括:1. 关键岗位人选:对关键岗位人员进行审查,保证具备较强业务技术能力,确保可信可靠,胜任本职工作。2. 人员考核:应定期组织对在中从事关键业务的人员进行全面考核;对违规人员视情节轻重进行
12、批评、教育、调离工作岗位。3. 人员调离:关键岗位人员调离,应严格办理调离手续。自人员调离决定通知之日起,应及时更换系统口令和机要锁。4. 人员培训:应定期对相关安全工作人员进行安全知识和安全意识培训。10第三章 基本安全管理制度3.1 入网安全管理制度入网安全管理制度内容包括:1. 无关主机不得随意入网,所有需要入网的主机必须经过审批同意后方能入网;2. 所有入网的主机必须经过安全配置,打补丁、改密码、病毒查杀等,确认满足安全运行要求后方能上线;3. 所有入网的主机必须实时进行攻击检测和定期的脆弱性检查,如发现有安全威胁的主机一律强制下网;4. 主机入网后,需上报上级安全主管人员,以便实时监控和检查;3.2 操作安全管理制度1. 明确安全职责:按照分工协作,互相制约的原则制定各类系统操作人员职责。职责不允许交叉覆盖;2. 履行安全职责:各类人员必须按规定行事,不得从事超越自己职责以外的任何作业;3. 岗位监督:进行系统维护、复原、强行更改数据时,至少有两名操作人员相互监督操作,并进行详细的登记及签名;4. 稽核:安全管理人员有权对一线操作、管理人员进行监督与核查;3.3 机房与设施安全管理制度按照国家计算机场地安全要求、计算站场地技术条件等标准,对场地与设施进行安全等级划分,制定安全管理规定的技术措施和管理办法。主要内容包括:1) 场地与设施的物理安全管理:
