信息安全讲义

信息安全讲义中油新疆培训中心网络培训部中石油信息专业企业标准信息门户标准信息系统运维标准基础设施建设与运维标准信息安全标准信息门户运行与维护系列企业标准Q/SY1020-2009《信息门户系统建设与运行管理规定》Q/SY1021-2009《计算机网络互联技术规范》

信息门户系统建设与运行管理规定管理体系门户建设内部门户和外部门户栏目设置页面规范开发与测试门户运行内容管理系统管理信息安全权限管理信息保密

计算机网络互联技术规范这个规范定了中石油计算机网络的体系结构，协议规范，命名规范，IP划分等内容信息系统运行维护系列企业标准——Q/SY1331-2010《信息系统运维管理规范》——Q/SY1332-2010《信息系统灾难恢复管理规范》信息系统运维管理规范一：导则：规定了基本的原则及各部分关系二：热线帮助：热线的定义、角色、职责和响应流程三：监控管理：监控对象（设备、系统、用户），职责，角色，工作流程四：事件管理：定义了角色，流程，事件指标信息系统运维管理规范信息系统运维管理规范五：问题管理：调查事件原因，制定解决方案防止事件再次发生的流程。本部分定义了问题管理的角色、流程和指标六：变更管理：定义了变更流程的角色、流程和度量方法七：配置管理：定义了配置的角色、流程、指标和管理报告信息系统灾难恢复管理规范组织机构风险分析业务影响分析灾难恢复需求恢复策略灾备中心设置恢复预案应急响应流程演练与培训信息技术专业基础设施层系列企业标准信息技术专业基础设施层系列企业标准共8项标准——Q/SY1333—2010《广域网建设与运行维护规范》；——Q/SY1334—2010《互联网出口建设与运行维护规范》；——Q/SY1335—2010《局域网建设与运行维护规范》；——Q/SY1336—2010《数据中心机房建设规范》；——Q/SY1337—2010《数据中心机房管理规范》；——Q/SY1338—2010《电子邮件管理规范》；——Q/SY1339—2010《计算机硬件选型规范》；——Q/SY1340—2010《计算机软件选型规范》。信息技术专业安全系列企业标准信息技术专业基础设施层系列企业标准共六项标准——Q/SY1341—2010《信息系统安全管理规范》；——Q/SY1342—2010《终端计算机安全管理规范》；——Q/SY1343—2010《信息安全风险评估实施指南》；——Q/SY1344—2010《信息系统密码安全管理规范》；——Q/SY1345—2010《计算机病毒与网络入侵应急响应规范》；——Q/SY1346—2010《信息系统用户管理规范》；信息系统安全管理规范安全管理管理职能部门中国石油信息化工作领导小组是最高决策部门信息管理部是归口管理部门各单位信息管理部门负责本单位信息安全管理内容制定安全管理目标划分信息安全等级风险评估与管理用户管理规范信息系统安全教育与培训聘用、保密、解聘协议中加入信息安全条款信息系统安全管理规范物理安全根据国家规范制定安全策略，实施安全措施，确保人、设备、环境、介质的安全网络安全风险评估、安全分级、划分安全域涉密和非涉密网和计算机的物理隔离关键网络设备冗余实施安全域的安全保障与防护发现并修补安全漏洞身份鉴别审核设备运行状态，检查网络安全的合规性信息系统安全管理规范信息加密指定适合的加密策略运行安全安全策略制定运行人员管理指定各类安全管理制度规范建立监控和审计规范信息系统安全管理规范访问控制制定访问策略并按总公司规定实现访问控制安全架构与评估灾难恢复应急响应全网中断、大规模反动敌对宣传、四级以上信息系统瘫痪并造成严重后果为一级总部至各区域中心多条链路中断、内外网站全部中断、三级以上信息系统瘫痪为二级各企事业单位认定对本单位影响较大、但不影响中石油网络的情况，二级以上信息系统瘫痪为三级各单位认为可能造成较大后果，但不影响上级单位的为四级终端计算机安全管理规范物理安全主管部门管理，用户使用，用户离开应关闭电源并移去移动设备并妥善管理运行安全使用正版软件实现注册管理，并绑定IP与MAC地址资产管理形成访问控制策略安全事件监控、定位和报警密码复杂性取消GUEST用户、远程桌面共享，设置自动锁屏病毒防护建设统一的防毒系统用户不得传播病毒，安装黑客软件终端计算机安全管理规范补丁管理网络准入控制安全检查，不得双网介质控制监控审计备份信息安全风险评估实施指南信息安全风险评估实施指南信息安全风险评估实施指南收集信息资产信息文档信息安全管理文档技术设施文档应用系统文档机房环境文档信息安全风险评估实施指南评估阶段阅读文档调查问卷现场观察应用系统观察：是否按角色授权、用户口令强度、变更管理要求、身份识别、是否加密等机房环境观察：选址、防盗、防尘、防雷击等被评估方工作观察：出入授权、安全机制展示信息安全风险评估实施指南评估阶段资产识别威胁识别威胁概述威胁作用形式威胁来源信息安全风险评估实施指南信息安全风险评估实施指南评估阶段脆弱性识别本地审计主机系统数据库系统路由器审计交换机审计防火墙审计渗透测试人员访谈信息安全风险评估实施指南综合分析资产赋值脆弱性赋值威胁赋值已有措施分析安全事件可能性赋值安全事件影响分析风险等级计算信息安全风险评估实施指南创建报告概述评估综述评估详述整改建议附件信息系统密码安全管理规范人员职责密码生成长度初始6位应用12位强度包含密码、数字和符号，不使用典型的弱密码重复六个历史密码不重复登录失败锁定密码管理固定周期密码更改特殊密码更改遗忘和泄露处理身份令牌管理计算机病毒与网络入侵应急响应规范组织结构信息管理部、各企事业单位信息管理部门、专家组分级一级特别重大二级重大三级较大四级一般应急响应启动：事发单位先期处理、控制事件发展，然后上报，一级报信息化领导小组，二级报信息管理部，三、四级报本单位信息管理部门响应流程一级：2小时上报，涉及涉密按保密流程上报，信息化领导小组举行首次会议并委派信息系统安全负责人及专家组赴现场处置协调。专家组现场处置并及时汇报，至风险消除后记录，经信息管理部确认后上报，由信息化领导小组下达应急解除指令二级：24小时上报，信息管理部举