XX-3-SYS-网络安全策略-系统

1策略_系统版本号2版本控制修订人修订时间版本号修订内容说明123 4 4 4 4 4 5 5 6 7 8 9 9 9 9 10 11 11本策略为信息安全管理制度中的信息保护制度部分。为了加强信息系统的信息安全管理，建立健全公司各信息系 ,提高整体的安全水平，保证网络通信畅通和信息系统的正常运营，提高网络服务质量，特制定本策略。主要读者为：产品部；研发部；测试部；IT部；客户服务部部。1.信息（Information以任何形式存在或传播的对公司具有价值的内容，包括电子信息、纸质数据文件、语音图像等。信息安全关注的是信息的保密性、可用性和完整性。2.信息资产（InformationAssets任何对公司业务具有价值的信息存在形式或者载体，包括计算机硬件、通信设施、IT环境、数据库、软件、文档资料、信息服务和人员等，所有这些资产都需要妥善保护。3.信息安全（InformationSecurity）:保护信息的保密性、完整性和可用性。4.保密性（Confidentiality）:确保信息只被授权人员访问。5.完整性（Integrity）:保证信息不被非授权窜改或不恰当改动。6.可用性（Availability）:保证信息能够被授权用户在需要时访问。逻辑范围：本策略逻辑范围包括生产系统及内部办公网络等信息系统的物理资产、软件资产、数据资产、服务资产等。本策略涉及的工作包括了对所有上述系统的保密性、完整性和可用性的安全管理工作。物理范围：本策略物理范围包括整个公司和IDC数据中心环火墙规则。应至少每六个月由系统部经理检查审核全部防火墙和路行记录。通过防火墙和路由器的配置，严格限制不信任网络与任何受保护统组件的连接。应确认路由器配置文件进行了保护和同步，例如运行配路由器运行）和启动配置文件（当机器重新启动时使用）有相同的安全配置。在任何无线网络和持卡人数据环境之间安装外围防火墙，并且将这些防火墙配置为禁止或控制（如果业务目的需要这样的流量）从无线环境数据环境的任何流量。应实施DMZ，以保护持卡人数据环境，只允许必要的协议流量通过。应确认所有不必要的进出流量都是明确禁止的，例如（Denyall）”规则禁止所有流量，然后只打开允许的通过。不允许Internet和持卡人数据环境之间进出流量的任何直接路由。应实施状态检测，即动态包过滤。（也就是只有建“立”关键数据库应放置在内部网络区域，不允许放置在规定的网段。使用网络地址转译(NAT)技术，）：加密密钥在安装时更改默认值，并且确保在任何知道密钥的人离开公司或改变岗位的时候能够随时更改；更改无线设备上的默认SNMPcomm更改访问点上的默认密码/口令（参见《加密策略》）；升级无线设备上的固件，以支持无线网络上的严格认证和传输加密（例如应保证网络拓扑结构图最新且完整，包括所有的无线连的所有连接，如银行、卡品牌、商户等连接。运营商访问存在的性能问题；在网络出口布置防火墙与防攻击系），增加系统的安全性。互联网用户在访问公司主页时，需要先访问GTM/DNSISG1000防火墙的过虑，符合访问规则的是：用户-ISG1000防火墙-应用服务器。议、端口；只有符合策略的，才能允许相应的应用服务器访问数据库。通过专线与银行进行业务交互。接；银行、商户或服务提供商的连接）以及更改防火墙和下：由系统部收集书面需求，制订策略，并书面递交安全负责人确认，由安全负责人召集系统、运营以及开发团队会议，分析讨一阶段（在测试环境进行）实验时间表。由系统部按照时间表和会议书面确定的策略进行第一阶段实验，实验后，由安全负责人召集系统、运营以及开发团队会议，房的第二阶段实验。在进行的第一阶段实验完成后，由系统部按照时间表和会议书面确定的策统、运营以及开发团队会议，决定是否需要调整策8策略可以上线并进入生产环境的实施流程。按照会议的书面实施流程，由系统部实施上线，运营和技术开发进行测试，完交风险总监。网络连接的测试内容包括但不限于性能测试、压力测试、稳定性测试。运行过程中任何变更应遵从本流程。系统管理相应的角色及职责定义如下：服务器应用硬件维护；包括日常监控、-应用程序和服务器管理和操作权限。师对数据库进行管理，负责DB2数据库应用系统的运营及监控。数据库系统的管理和维护权限。保证公司办公环境持续稳定运营（包含服务器及客户端）；建立完善的办公环境网络结构并持续改进网络安全；网络设备（包括交换机、路由器和防火墙等）的管理权限。监全面负责公司运维项目的系统升级、扩容需求与资源落实；配合开发需求，测试、调整运维平台，提供优化的网对上述角色的工作进行监控和指导；对管理和运维中的日志进行审计；对于每项服务的安全功能必须按检测防火墙和路由器配置标准进行记录和实施。对于不安全的服务（如FTP需要纯文本的用户认证），必须进行改造和加XXX对互联网放开的服务如下：对于互联网到内网区的访问，全部禁止。4个人网络安全通过Internet直接连接的计算机上（例主机防火墙软件。主机防火墙软件配置为特定的标准，且用户不得更改。火墙规则，用户无法停用或者修改防火墙规则。所有员工使用的设备，必须得到网络管理员审批通过后才能使用人设备安全策略》。在网络上安装系统以前，必须更改供应商提供的默认设置，包括密码、简单网络管理协议(SNMP)机构字串，并删除不必应明确路由器、防火墙和交换机等网络组件上用于本地限。应明确路由器、防火墙和交换机等网络组件的服务、协系统组件的服务和协议，确保只有业务需要才能开启。确保删除或禁用了在所有组件上不必要的功能或服务，如脚本性、子系统和文件等。参考业界公认的标准比如：SysAdminAuditNetworkSecurity(SNationalInstituteofStandardsTechnology(NIST)和Centerf进行系统配置。每台服务器应只执行了一项主要功能。例如，Web服务器、数据DNS应该在独立的服务器上实施。禁用所有不必要和不安全的服务和协议（不直接需要用的服务和协议）。明确常用安全参数设置，从而合理地配置系统安全参数，以防止滥用。删除所有不必要的功能，例如脚本、驱动程序、属性、子系统和务。及各厂商的漏洞通过，并使用最新的安全评估工具进行内、外部弱点题。）；堡垒机，并通过堡垒机进行生产系统的访问。对于办公环境，远程访问时必须使用VPN进行链路的加所有远程连接设备应配置为在15分钟内不活动，自动中断会通过远程连接访问持卡人数据，不允许复制、移动或存储卡信息移动介质中。参见《访问控制安全策略》和《介质安全管理策略》。所有系统组件上应实施访问控制，并根据工作职责分配的必要性》。请，由后者基于最小化原则进行授权。授予权限后，第三方人员应在内仅对被授权的系统进行远程访问。在访问过对加密、认证、数据保护等方面的安全要求，并且访问的行为应受控。如果是共享托管提供商（SharedHostingProvid环境和持卡人数据。或Unix上使用的Kismet）检测持卡人数据环境是如果发现未授权的无线设备，则按《应急响应计划》中的方法进行处理。）：（如安装新的系统组件、更改网络拓扑、修改防火进行上述扫描。应由聘请外部安全专家或者由本公司安全部门每年执行基于网络层和应用层的外部和内部的渗透测试），并提供报告；相关扫描和渗透测试结果做出相应的调整。应使用并合理部署入侵检测系统（IDS）或卡人数据环境中的所有流量并在发现可疑威胁时提醒员工。应及时更安全策略》。应在持卡人数据环境中使用文件完整性监控产品。需要监于：