信办通(2019)3号 北京交通大学网络安全方针和策略
第一章 总则
- 第一条 为贯彻国家总体安全观,落实国家对网络安全的相关规定和要求,指导和规范北京交通大学信息系统建设、使用、维护和管理,提高信息系统的技术保障能力,防范和控制系统故障和风险,确保学校网络与信息系统的安全稳定运行,营造健康绿色的网络学习环境,特制定本制度。
- 第二条 本制度根据《中华人民共和国网络安全法》《中华人民共和国计算机信息系统安全保护条例》等国家网络安全相关政策法规制定。
- 第三条 本制度适用于北京交通大学网络安全管理活动所涉及的所有人员、重要信息资产及网络安全管理过程。
第二章 网络安全工作原则
- 第四条 北京交通大学网络安全工作的目标是:全面提高学校各级领导和师生员工的网络安全意识,构建与学校信息化发展相适应的网络和信息系统安全组织保障体系和技术支撑体系,建立健全学校网络和信息系统安全管理的规章制度并严格执行,全面提升学校网络和信息系统安全的技术保障能力和防护水平,确保学校网络和信息系统的安全稳定运行,服务学校教学、科研和管理工作,支撑学校信息化建设可持续发展。
- 第五条 北京交通大学网络安全工作的总体方针是:预防为主、管理与技术并重、从实际出发、保障重点、全方位实施、全员参与。
- 第六条 北京交通大学网络安全工作的总体网络安全防护策略是:依照“分级、分区域、分类、分阶段”的策略,执行网络安全等级保护制度。
- 第七条 北京交通大学的网络安全工作遵循以下原则:
1. 统筹规划,规范管理:统筹规划全校网络安全工作,建立健全学校网络安全工作体系和制度体系,明确网络安全工作的职责分工,建立网络安全责任制。从组织机构、人员、物理环境、网络、系统、应用、数据、运维等方面制定统一的网络安全规章制度、建设标准和管理规范,提高学校的网络安全管理水平、防护能力和全校师生员工的网络安全意识、防范水平。
2. 分步实施,严格执行:坚持分步骤有序实施的原则,循序渐进地开展网络安全宣传培训、基础设施、技术防护、规范管理等方面的建设。严格执行网络安全工作各项管理制度和技术措施,增强网络和信息系统安全预警、防范、应急处置和灾难恢复能力。规范网络和信息系统安全管理。
3. 基于需求,持续改进:依据网络安全担负的使命、信息资产的重要性以及可能受到的安全威胁及面临的安全风险来分析安全需求,按照网络安全等级保护要求确定相应的信息系统安全保护等级,遵从相应等级的规范要求,从全局上恰当地平衡安全投入与效果。随着网络安全需求和系统脆弱性的时空分布变化,威胁程度的变化,系统环境的变化以及对系统安全认识的深化等,及时复查、修改、调整现有的安全策略、风险接受程度和保护措施,持续改进网络安全管理体系的有效性。
- 第八条 北京交通大学网络安全总体策略、网络安全技术框架、网络安全管理策略、总体建设规划、详细设计方案等文件均需经过有关部门和有关安全技术专家进行合理性和正确性的论证和审定,经过批准后,才能实施。
第三章 网络安全体系框架
- 第九条 根据北京交通大学网络安全体系建设目标和总体安全策略,建立了与之对应的WP2DRR网络安全模型,该模型由预警(Warning)、策略(Policy)、防护(Protection)、检测(Detection)、响应(Response)、恢复(Recovery)六个要素环节构成了一个完整的、动态的网络安全体系。预警、防护、检测、响应、恢复等环节都由技术内容和管理内容所构成。
1. Policy(策略):根据风险分析和评估产生的安全策略描述了保护哪些资源,如何实现保护目标等。在WP2DRR安全模型中,策略处于核心地位,预警、防护、检测、响应、恢复都依据安全策略展开实施,安全策略为安全管理提供管理方向和支持手段。
2. Warining(预警):根据已掌握的系统弱点和当前的犯罪趋势预测未来可能受到的攻击和及危害。包括风险分析、病毒预报、黑客入侵趋势预报和情况通报、系统弱点报告等。
3. Protection(防护):通过修复系统漏洞、正确设计开发和安装安全系统来预防安全事件的发生;通过定期检查来发现可能存在的系统弱点;通过教育等手段,使用户和操作员正确使用系统,防止意外威胁;通过访问控制、监控等手段来防止恶意威胁。
4. Detection(检测):检测是动态响应和加强防护的依据,它也是强制落实安全策略的有力工具,通过检测和监控网络和信息系统,发现新的威胁和弱点,通过循环反馈来及时做出有效的响应。
5.Response(响应):响应是对安全事件做出反应,包括对检测到的系统异常或者攻击行为做出响应动作,以及处理突发的安全事件。恰当的响应动作和响应流程可以降低安全事件的不良影响,加强对重要资源的保护。
6.Recovery(恢复):灾难恢复能力直接决定了业务应用的持续可用性,任何意外的突发事件都可能造成服务中断和数据受损,优秀的灾难恢复计划能够针对灾难事件做到未雨绸缪,即使系统和数据遭受破坏,也能够在最短的时间内,完成恢复操作。
- 第十条 根据网络安全保障目标模型,制定了北京交通大学网络安全体系框架,宏观指导和管理网络安全体系的建设和运营。在此框架中,以安全策略为指导,融合安全技术、安全管理和运行保障三个层次的安全体系,以达到系统可用性、可控性、抗攻击性、完整性、保密性的安全目标。各保障要素之间相互关联、相互作用、相互弥补、相互推动、相互依赖、不可分割。
- 第十一条 安全策略是指导,与安全技术体系、安全组织和管理体系以及运行保障体系之间相互作用,安全技术体系、安全组织和管理体系以及运行保障体系将安全策略中制定的各个要素转化成为可行的技术实现方法和管理、运行保障手段,全面实现安全策略中所制定的目标。安全策略本身也包括草案设计、评审、实施、培训、部署、监控、强化、重新评估、修订等步骤在内的生命周期,需要采用一些技术方法和管理手段进行管理,保证安全策略的及时性和有效性。
- 第十二条 安全技术体系是整个网络安全体系框架的基础,包括了安全基础设施平台、安全应用系统平台和安全综合管理平台这三个部分,以统一的网络安全基础设施平台为支撑,以统一的安全应用系统平台为辅助,使用统一的安全综合管理平台,以形成技术体系框架。
1. 安全基础设施平台是以安全策略为指导,从物理和通信安全防护、主机系统安全防护、应用安全防护等多个层次出发,立足于现有的成熟安全技术和安全机制,建立起的一个各个部分相互协同的完整的安全技术防护体系。
2. 安全应用系统平台处理安全基础设施与应用信息系统之间的关联和集成问题,使信息系统能通过使用安全基础设施平台所提供的各类安全服务,提升自身的安全等级,以更加安全的方式,提供业务服务和内部信息管理服务。
3. 安全综合管理平台的管理范围尽可能地涵盖安全技术体系中涉及的各种安全机制与安全设备,对这些安全机制和安全设备进行统一的管理和控制,负责管理和维护安全策略,配置管理相应的安全机制,确保安全技术与设施能够按照设计的要求协同运作,可靠运行。安全综合管理平台在信息系统应用体系与各类安全手段之间搭起桥梁,使得各类安全手段能与信息系统应用体系紧密结合,实现无缝连接。统一的安全综合管理平台有助于各种安全管理技术手段的相互补充和有效发挥,也便于从系统整体的角度来进行安全的监控和管理,从而提高安全管理工作的效率,使人为的安全管理活动参与量大幅下降。
- 第十三条 安全组织与管理体系是安全技术体系真正有效发挥保护作用的重要保障,安全组织与管理体系的设计立足于总体安全策略,并与安全技术体系相互配合,增强技术防护体系的效率和效果,同时也弥补当前技术无法完全解决的安全缺陷。安全防护技术措施需要安全管理措施来加强,安全防护技术也是对管理措施贯彻执行的监督手段。安全组织与管理体系的设计充分参考和借鉴了国际信息安全管理标准《BS7799(ISO17799)》的建议要求。北京交通大学网络安全组织与管理体系由若干网络安全管理类组成,每项网络安全管理类可分解为多个安全目标和安全控制。每个安全目标都有若干安全控制与其相对应,这些安全控制是为了达成相应安全目标的管理工作和要求。
1. 安全策略与制度,确保北京交通大学拥有明确的网络安全方针以及配套的策略和制度,以实现对网络安全工作的支持和承诺,保证网络安全的资金投入。
2. 安全风险管理,网络安全建设不是避免风险的过程,而是管理风险的过程。没有绝对的安全,风险总是存在。网络安全体系建设的目标就是要把风险控制在可以接受的范围之内。风险管理同时也是一个动态持续的过程。
3. 人员和组织安全管理,建立组织机构,明确人员岗位职责,提供安全教育和培训,对第三方人员进行管理、协调网络安全监管部门与学校其它部门之间的关系,保证网络安全工作的人力资源要求,避免由于人员和组织上的错误产生的网络安全风险。
4. 环境和设备安全管理,控制由于物理环境和硬件设施的不当所产生的风险。管理内容包括物理环境安全、设备安全、介质安全等。
5. 网络和通信安全管理,控制和保护网络和通信系统,防止其受到破坏和滥用,避免和降低由于网络和通信系统的问题对业务系统的损害。
6. 主机和系统安全管理,控制和保护计算机主机及其系统,防止其受到破坏和滥用,避免和降低由此对业务系统的损害。
7. 应用和业务安全管理,对各类应用和业务系统进行安全管理,防止其收到破坏和滥用。
8. 数据安全和加密管理,采用数据加密和完整性保护机制,防止数据被窃取和篡改,保护业务数据的安全。
9. 项目工程安全管理,保护信息系统项目工程过程的安全,确保项目的成果是可靠的安全系统。
10. 运行和维护安全管理,保护信息系统在运行期间的安全,并确保系统维护工作的安全。
11. 业务连续性管理,通过设计和执行业务连续性计划,确保信息系统在任何灾难和攻击下,都能够保证业务的连续性。
12. 合规性(符合性)管理,确保北京交通大学的网络安全工作符合国家法律、法规的要求,且网络安全方针、规定和标准得到了遵循。
- 第十四条 运行与保障体系包括系统可靠性设计、系统数据的备份计划、安全事件的应急响应计划、安全审计、灾难恢复计划等,对北京交通大学网络和信息系统的可持续性运营提供了重要的保障手段。
第四章 网络安全策略
- 第十五条 网络安全总体策略是网络安全建设的核心和总的指导原则,从宏观整体的角度明确了防护的内容和手段。北京交通大学网络安全总体策略坚持管理与技术并重,采用多重保护、最小授权、和严格管理等措施,包括物流环境安全策略、通信网络安全策略、区域边界安全策略、计算环境安全策略、安全管理中心策略。
- 第十六条 物理环境安全策略包括以下内容:
1. 计算机机房的建设必须遵循国家在计算机机房场地选择、环境安全、布线施工方面的标准,保证物理环境安全。
2. 关键应用系统的服务器主机和前置机服务器、主要的网络设备必须放置于计算机机房内部的适当位置,通过物理访问控制机制,保证这些设备自身的安全性。
3. 应当建立人员出入访问控制机制,严格控制人员出入计算机机房和其它重要安全区域,访问控制机制还需要能够提供审计功能,便于检查和分析。
4. 进入机房的工作人员必须由安全管理员或机房管理员全程陪同。
5. 机房内部必须部署基础防护系统和设备,如电子门禁系统、监控报警系统、防雷设备、防鼠设备、消防灭火系统、防水监控系统、温湿度控制系统、UPS供电系统和电磁屏蔽设备。
6. 建立计算机机房管理制度,对设备安全管理、介质安全管理、人员出入访问控制管理等做出详细的规定。
7. 网络安全和信息化办公室应当定期对计算机机房各项安全措施和安全管理制度的有效性和实施状况进行检查,发现问题,进行改进。
1. 网络架构
(1)应核查业务高峰时期一段时间内主要网络设备(如路由器、交换机和防火墙提供网络通信功能的设备)的 CPU 使用率和内存使用率是否满足需要(如主要网络设备近一年内的CPU负载值均低于60%)并且网络设备从未出现过宕机情况;
(2)核查网管系统各通信链路带宽是否满足高峰时段的业务流量需要(如接入网络和核心网络带宽在业务高峰期占用低于60%) ;
(3)依据安全保护等级等原则划分不同的网络区域;
(4)重要网络区域与其他网络区域之间采取可靠的技术隔离手段,如网闸、防火墙 和设备访问控制列表(ACL)等 ;
(5)主要网络设备、安全设备的硬件冗余和通信线路冗余。
2. 通信传输
(1)数据传输过程中使用校验码技术或密码技术来保证其完整性。如客户端到服务器、服务器到服务器之间要使用SSL等通信;
(2)通信过程中对敏感信息字段或整个报文进行加密。使用加密设备对数据加密后传输。
1. 边界防护
(1)端口级访问控制:网络边界处部署访问控制设备,指定端口进行跨越边界的网络通信,该端口配置并启用了安全策略;
(2)控制非法联入内网、非法联入外网;
(3)无线和有线的边界应该有边界防护设备防护。
2. 访问控制
(1)启用边界访问控制策略(网闸、防火墙、路由器和交换机等提供访问控制功能的设备);
(2)防火墙对应用识别,并对应用的内容进行过滤。
3. 入侵防范:关键节点部署入侵保护系统、入侵检测系统、抗APT攻击、抗DDoS攻击和网络回溯等系统或设备。对内外部的网络攻击行为进行检测、防止或限制。
4. 恶意代码和垃圾邮件防护
(1)关键网络节点处部署防恶意代码技术措施(防病毒网关和UTM等提供防恶意代码功能的设备或系统);
(2)部署防垃圾邮件设备或系统。
5. 安全审计
(1)部署综合安全审计系统或类似功能的系统平台,对网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;
(2)部署上网行为管理系统或综合安全审计系统 ,对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析 。
1. 根据信息系统的等级情况,将服务器配置在不同等级的网络区域,并应当对关键服务器主机设备提供冗余设计,防止单点故障造成网络服务中断;
2. 应当建立主机弱点分析机制,发现和弥补系统软件中存在的不当配置和安全漏洞,及时进行自我完善;
3. 应当建立主机系统软件版本维护机制,及时升级系统版本和补丁程序版本,保持系统软件的最新状态;
4. 应当建立主机系统软件备份和恢复机制,在灾难事件发生之后,能够快速实现系统恢复;
5. 可以建立主机入侵检测机制,发现主机系统中的异常操作行为,以及对主机发起的攻击行为,并及时向管理员报警;
6. 应当指定专门的部门和人员,负责主机系统的管理维护;
7. 应当建立主机系统管理规范,包括系统软件版本管理、主机弱点分析、主机审计日志检查和分析、以及系统软件的备份和恢复等内容;
8. 应当建立桌面系统使用管理规范,约束和指导用户使用桌面系统,并对其进行正确有效的配置和管理;
9. 管理机构应当定期对各项系统安全管理制度的有效性和实施状况进行检查,发现问题,进行改进;
10. 应用系统必须在登录时要求输入用户名和口令。登录应用系统必须进行两种或两种以上的复合身份验证(如用户名口令+Ukey或用户名口令+IP与MAC地址绑定方式);
11. 应用系统中设置的用户都必须是唯一用户,不能名称相同,且不能出现多人使用同一账户的情况;应用系统必须开启登录失败处理功能;应用系统必须开启登录连接超时自动退出等措施;
12. 应用系统必须开启身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关参数;
13. 应用系统必须开启日志审计功能;应用系统存储用户信息的设备在销毁、修理或转其他用途时,必须清楚内部存储的信息;
14. 在业务系统主要应用服务器中采用硬件冗余技术,避免硬件的单点故障导致服务中断;
15. 综合考虑性能和管理等因素,采用先进的系统和数据备份技术,在范围内建立统一的系统和数据备份机制,防止数据出现逻辑损坏;
16. 业务应用数据和设备配置文档都必须进行备份,以便发生问题时进行恢复;数据备份至其他设备上时,必须使用专门的备份通道,保证数据传输的完整性;数据本机备份时应检测其完整性;数据备份时必须使用专业的备份设备和工具,在数据传输和数据存储时,都必须是加密传输和存储;
17. 建立灾难恢复计划,提供灾难恢复手段,在灾难事件发生之后,快速对被破坏的信息系统进行恢复。对人员进行灾难恢复培训,定期进行灾难恢复的模拟演练;
18. 应当建立专门岗位,负责用户权限管理,以及授权和访问控制系统的建设、运行、维护;
19. 建立日常数据备份管理制度,对备份周期和介质保管进行统一规定;
20. 应当建立全面网络病毒查杀机制,实现全网范围内的病毒防治,抑止病毒的传播。
1. 配备集中系统和设备管理功能的工具或平台,系统或平台需要有三权分立(系统管理员、审计管理员、安全管理员),份角色通过管理工具或平台进行相关审计安全审计操作 。(运维堡垒机、SOC平台、日志审计系统等)
2. 划分安全管理运维区,对分布在网络中的安全设备或安全组件进行集中管控。(堡垒机、SC 等)
3. 网络中划分单独的管理VLAN用于对安全设备或安全组件进行管理;使用独立的带外管理网络对安全设备或安全组件进行管理(如运维堡垒机等);
4. 部署具备运行状态监测功能的系统或设备,能够对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测(APM,堡垒机、综合网管系统等);
5. 部署日志审计系统,日志至少保留6个月且不间断;
6. 部署网络版防病毒系统和补丁统一更新系统;
7. 部署安全感知平台对网络中发生的各类安全事件进行识别、报警和分析;
8. 确保范围内统一使用了唯一确定的时钟源(如部署NTP时钟服务器)。
第五章 附则
- 第二十一条 本制度由网络安全和信息化办公室负责解释。
- 第二十二条 本制度自发布之日起生效。
等级保护政策参考 |
1.中华人民共和国计算机信息系统安全保护条例(国务院147号令) |
2.国家网络安全和信息化领导小组关于加强网络安全保障工作的意见(中办发2003 27号) |
3.关于网络安全等级保护工作的实施意见(公通字[2004]66号) |
4.网络安全等级保护管理办法(公通字[2007]43号) |
5.关于开展全国重要信息系统安全等级保护定级工作的通知(公信安[2007]861号) |
6.网络安全等级保护备案实施细则(公信安[2007]1360号) |
7.公安机关网络安全等级保护检查工作规范(公信安[2008]736号) |
8.关于加强国家电子政务工程建设项目网络安全风险评估工作的通知(发改高技[2008]2071号) |
9.关于开展网络安全等级保护安全建设整改工作的指导意见(公信安[2009]1429号) |
10.信息系统安全等级测评报告模版(试行)(公信安[2009]1487) |
等级保护标准参考 |
1-计算机信息系统安全等级保护划分准则 |
2-网络安全技术信息系统安全等级保护实施指南-信安字[2007]10号 |
3-网络安全技术信息系统安全保护等级定级指南 |
4-网络安全技术信息系统安全等级保护基本要求 |
5-网络安全技术信息系统安全等级保护测评要求 |
6-网络安全技术信息系统安全等级保护测评过程指南 |
7-网络安全技术信息系统等级保护安全设计技术要求-信安秘字[2009]059 |
8-网络安全技术网络基础安全技术要求 |
9-网络安全技术信息系统安全通用技术要求(技术类) |
10-网络安全技术信息系统物理安全技术要求(技术类) |
11-网络安全技术公共基础设施 PKI系统安全等级保护技术要求 |
12-网络安全技术信息系统安全管理要求(管理类) |
13-网络安全技术信息系统安全工程管理要求(管理类) |
14-网络安全技术网络安全风险评估规范 |
15-信息技术安全技术网络安全事件管理指南 |
16-网络安全技术网络安全事件分类分级指南 |
17-网络安全技术信息系统灾难恢复规范(产品类) |
18-网络安全技术路由器安全技术要求(产品类) |
19-网络安全技术虹膜识别系统技术要求(产品类) |
20-网络安全技术服务器安全技术要求(产品类) |
21-网络安全技术操作系统安全技术要求(产品类) |
22-网络安全技术数据库管理系统安全技术要求(产品类) |
23-网络安全技术入侵检测系统技术要求和测试评价方法(产品类) |
24-网络安全技术网络脆弱性扫描产品技术要求(产品类) |
25-网络安全技术网络和终端设备隔离部件安全技术要求(产品类) |
26-网络安全技术防火墙技术要求和测试评价方法(产品类) |
27-网络安全技术信息系统安全等级保护体系框架 |
28-网络安全技术信息系统安全等级保护基本模型 |
29-网络安全技术信息系统安全等级保护基本配置 |
30-网络安全技术应用软件系统安全等级保护通用技术指南 |
31-网络安全技术应用软件系统安全等级保护通用测试指南 |
32-网络安全技术信息系统安全管理测评 |