江苏科技大学信息安全总体策略

第一章  总  则

　　第一条 我校信息系统网络与信息安全总体目标是保护系统硬件、软件、业务信息和数据、通讯网络设备等资源的安全，有效防范各类安全事故或人为有意的破坏事件，确保基础网络和信息系统的安全稳定运行，防范重大信息安全事件的发生，在信息安全事件发生后，能及时响应、协同处置、有效恢复。
　　第二条 总体策略遵循省教育厅提出的信息安全管理框架，主要内容包括：组织管理、人员安全、物理环境与设备安全、网络安全、主机安全、应用安全、数据安全、运行安全、应急管理等9个方面。

第二章  适用范围

   第三条 本策略文件适用于学校所有信息资产及各分支机构，全体员工的相关行为。

第三章  术语定义

　 第四条 信息安全总体策略是信息安全体系框架顶层管理文件，是信息安全保障工作的出发点和核心，是信息安全保障管理实践和保障措施的指导性文件，是学校全体人员、设备供应商、服务提供商及其他相关人员必须遵守的信息安全准则。

第四章  组织职责

　　第五条 学校信息安全领导小组（以下简称领导小组），负责全校系统信息安全工作的领导、决策和重大工作部署。
　　第六条 学校信息安全领导小组组长由校长担任，副组长由分管信息化工作的校领导担任领导，成员由各部门主要负责人组成。
　　第七条 信息安全领导小组下设办公室，承担领导小组的日常工作，办公室设在信息化建设与管理中心。

第五章  管理制度

　　第八条 建立完善的信息安全管理制度，包括信息系统建设、开发、运维等阶段所遵循的行为规范。
　　第九条 授权信息化建设与管理中心负责制订安全管理制度。
　　第十条 信息安全领导小组负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行检查和审定，对存在不足或需要改进的安全管理制度进行修订。
　　第十一条 安全管理制度具有统一的格式，并进行版本控制；安全管理制度通过有效方式正式发布，并进行必要的宣贯和培训。

第六章  人员安全策略

　　第十二条 人员安全管理的目标是通过设立安全管理制度及岗位责任制，最大程度地降低信息化建设过程中由于人为失误或错误所造成的风险。
　　（1）所有人员应签订人员安全保密协议，接触敏感数据或掌握系统高级权限岗位的人员还应签订岗位安全协议。
　　（2）在人员岗位建立时，相关的信息系统访问的安全责任应该确定，不相容的职责应分离。接触信息系统的人员应承担与其工作性质相应的安全责任，各类人员不得从事超越自己职责以外的任何工作。
　　（3）任何人员对信息资源的访问权利应受到限制，应对超越职责的访问进行控制。
　　（4）安全环节的管理应采取相互制约原则，做到职责分明，各司其职，相互配合和制约。
　　（5）应记录并监控工作人员在任职期内的信息资源访问活动。
　　（6）所有外部驻场运维人员上岗前必须报信息化建设与管理中心批准、签订安全保密承诺书并备案。
　　（7）信息化建设与管理中心应结合江苏科技大学信息系统的现状和管理需求，对外部驻场运维人员进行信息安全基础知识、岗位操作规程等方面的培训。
　　（8）外部驻场运维人员离岗前必须报责任部门批准，人员离岗后，信息化建设与管理中心应采取必要技术和管理措施保障信息系统的安全，如账号和权限的撤销。

第七章  物理环境与设备安全策略

   第十三条 设备与物理环境安全的目标是保护学校信息化设施，包括计算机设备、网络与安全设备、业务系统及其他相关设施的物理环境免遭自然灾害和其他形式的破坏，保证信息系统的实体安全。
　　（1）信息化设施有关物理环境的选址及建设应遵照国家计算机场地安全标准和有关主管部门的场地环境设施标准，配备防火、防雷、防水、防静电、防鼠等机房安全设施，维持系统不间断的运行能力，确保信息系统运行的安全可靠。
　　（2）主机房设备与物理环境安全由信息化建设与管理中心进行管理。信息化建设与管理中心应负责机房内所有信息化设施的物理安全，包括制定物理环境安全、设备安全、设备交付、人员及设备进出、区域访问控制、巡检值守等方面相应的规范和管理细则，配备相关管理人员，落实防护措施。
　　（3）对机房及弱电间的设备及物理环境安全，管理团队应落实：
　　①必须遵守《机房管理规定》中的管理人员守则。
　　②机房及弱电间应安装电子门禁或上锁并处于常闭状态。
　　③机房及弱电间内应设置视频监控、防盗系统。
　　④进入机房、弱电间人员应经过申请和审批流程，并限制和监控其活动范围。
　　⑤设施上应设置明显且不易去除的标识。
　　⑥建立设备清单并定期核查，严格确定信息设备的合法使用人，建立详细的设备使用运行日志及故障维修记录，实施定期的设备维护、保养操作。
　　⑦设备相关的输入、输出、控制部件、空闲端口等应加锁保护或安全封闭，防止被非法切断、占用、搭线。
　　⑧机房应安排专人值守，机房及弱电间应定期巡检，发现问题及时上报并做好应急处理。
　　（4）对办公区域和公共区域的信息化设施，应防止被偷盗和破坏，定期巡检并记录，对重要信息化设施应专人值守，发现设施存在故障或丢失应及时上报并做好应急处理。
　　（5）对重要安全设备产品的选择，必须符合国家有关技术规范或经过专业测评机构检测不低于本行业计算机安全管理技术规范中的最低安全要求，并核实是否具备安全部门的设备准用证或国家有关部门的安全产品许可证书。
　　（6）应对突发事故建立应急计划，配备应急电源，实施系统主机及重要设备的备份、冗余技术保护措施；对数据应做到异地备份或做到异地存放。

第八章  网络安全策略

　　第十四条 网络安全的目标是有效防范网络体系的安全风险，为江苏科技大学网络信息系统发展提供安全、可靠、稳定的网络管理和技术平台。
　　第十五条 互联网出口应实施防火墙、入侵检测、网络防病毒等安全技术措施，防范资源被非法访问、篡改和破坏。
　　第十六条 通信网络架构设计应采用冗余技术，提高安全可靠性。
　　第十七条 网络应按功能及业务特点划分VLAN，制定合理的ACL访问控制策略，在一定程度上防止ARP攻击和病毒及恶意代码的大肆传播。
　　第十八条 网络设备应根据系统的不同等级进行相应的安全配置设置。
　　第十九条 网络管理员应确保各信息系统的数据安全，保障连接的服务的有效性，避免非法访问。应该注意以下内容：
　　（1）应将网络的操作职责和计算机的操作职责分离。
　　（2）制定远程设备（包括用户区域的设备）的管理职责和程序。
　　（3）应采取特殊的技术手段保护通过公共网络传送的数据的机密性和完整性，并保护连接的系统，采取控制措施维护网络服务和所连接的计算机的可用性。
　　（4）信息安全管理活动应与技术控制措施协调一致，优化业务服务能力。
　　（5）使用远程维护协议时，要充分考虑安全性。

第九章  主机安全策略

　　第二十条 主机是由服务器、存储等硬件设备、与设备内运行的操作系统、数据库系统及其他系统软件共同构成。主机安全要求通过操作系统、数据库管理系统以及其他安全软件（包括防病毒、防入侵、木马检测等软件）实现的安全功能来满足。
　　第二十一条 主机操作系统和数据库操作系统应按照系统的安全等级进行安全加固，进行服务最小化配置。
　　第二十二条 操作系统和数据库系统需建立认证访问控制，依据安全策略控制用户对文件、数据库表等的访问。认证采用的密码必须遵循复杂密码的要求。服务器、信息设备等重要信息资产密码需定期更新，密码的变更需登记并安全保存，未经同意不得随意将密码信息泄露给第三方人员。
　　第二十三条 定期对主机的安全进行评估，检测主机的安全配置和存在的安全漏洞，及时进行修补，增强主机系统的健壮性。
　　第二十四条 提高主机恶意代码防护能力，安装恶意代码防护软件，并对主机的防病毒策略进行统一管理，病毒库进行统一更新。
　　第二十五条 操作系统和数据库系统应及时安装补丁，补丁安装前需做模拟测试，以保障补丁安装不会影响当前系统的稳定运行。

第十章  应用安全策略

　　第二十六条 软件安全的目标是防止由于软件质量缺陷或安全漏洞使信息系统被非法控制，或使之性能下降、拒绝服务、停机。
　　（1）无论是通用的应用软件，还是量身定做的应用软件，都存在安全风险。对前者，可参照前款作法，通过加强与软件提供商的沟通，及时发现、堵塞安全漏洞。对后者，可考虑优选富有行业软件开发和市场推广经验的软件公司，加强软件开发质量控制，加强容错设计，安排较长时间的试运行等策略，以规避风险，提高安全防范水平。
　　（2）安全建设必须与应用系统建设同步进行,质量管理和安全监控必须实施于应用系统从计划到运行全周期的各阶段（即需求计划阶段、系统设计阶段、技术实现阶段、安装测试以及投产运行阶段）。
　　（3）应用系统的总体需求计划阶段，应全面评估系统的安全风险，分析系统的潜在威胁及保护等级策略，确立系统的访问控制、身份认证、信息加密、审计跟踪、稽核检查等安全需求。
　　（4）在应用系统的总体架构设计的过程中，应实施安全需求设计，根据安全需求设计实施安全技术，防止技术开发人员故意保留“后门”，保证系统最终产品的安全性质量。并确立安全服务机制、项目开发人员安全技术要求和操作规程。
　　（5）在应用系统建设的各阶段，必须保证应用软件的完整性，即确保软件的变更是经过授权及合法性的验证；必须形成各阶段相应的系统功能设计及技术实施的规范性文档，以及重要的系统安全策略，安全规划、应急计划、风险分析、安全服务机制等安全性文档，并随着系统实现的进程应保持文档变更的同步及准确。
　　（6）应用系统投产运行之前，必须充分进行局部功能、整体功能、压力测试，以及与安全需求目标一致的系统安全性能、操作流程、应急方案等重要安全性测试，只有正式经过管理、操作、技术控制等安全鉴定获准的应用项目，可以投入生产运行。
　　（7）对应用系统重要安全事件进行审计，提供覆盖到每个用户的安全审计功能，审计记录的内容至少包括事件的日期、时间、发起者信息、类型、描述和结果。

第十一章  数据安全策略

　　第二十七条 数据安全的目标是防止数据被偶然的或故意的非法泄露、变更、破坏，或是被非法识别和控制，以确保数据完整、保密、可用。数据安全包括数据的存储安全和传输安全两个方面。
　　（1）采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输和存储保密性。
　　（2）配备数据库安全审计系统，对数据库安全事件进行审计。
　　（3）应定期进行数据备份，经常检测备份以保证其可用性，重要的系统和数据必须做到异地备份。
　　（4）主要网络设备、通信线路和数据处理系统的硬件冗余，保证系统的高可用性，条件允许情况下建立异地容灾。
　　（5）数据清除及销毁应进行严格的审批，并由专人进行处理，保证数据不可恢复。

第十二章  终端安全策略

　　第二十八条 终端用户应修改账户名，不应使用系统默认的账户名并修改默认口令。系统中不应存在多余的账户。
　　第二十九条 开启终端的安全策略，包括密码策略、账户锁定策略、审核策略等。
　　第三十条 终端应关闭远程桌面功能、自动播放服务、共享服务和无关进程等。
　　第三十一条 终端应安装杀毒软件，并及时更新病毒库，保持病毒库最新。
　　第三十二条 终端安全使用规定
　　（1）终端实行实名制管理，由信息化建设与管理中心统一进行规划，机器编号、主机名、网络地址、用户、部署位置、用途均应登记注册，相关信息标识粘贴于机箱、显示器上、下边框等显著位置。
　　（2）终端使用人员应做好日常安全防护工作，如按要求设置更换帐号口令、定期更新防病毒软件、系统补丁等。
　　（3）终端设备必须专机专用，禁止办公、业务、互联网终端之间出现混用的情况。
　　（4）终端使用者不得擅自删改统一配置的操作系统和应用软件，不得安装与现有配置及与应用软件发生冲突的软件。
　　（5）未经批准禁止将终端、移动存储设备等带出工作区域，经批准的须严格保证设备及存储信息的安全。
　　（6）终端使用者若需要较长时间离开终端时，必须关闭终端或将其设置进入屏保状态。
　　（7）终端使用者必须严格遵守国家有关法律法规的相关规定，不得泄漏任何涉及国家、政府工作秘密的信息；不得传播有损于国家、政府声誉和形象的信息。
　　第三十三条 终端维护管理规定
　　（1）终端设备的维修、更换和迁移均由信息化建设与管理中心统一进行管理，禁止终端使用者擅自拆装终端设备，自行添加、拆除或更换硬件。
　　（2）终端设备应安放在安全、可控的物理位置，防护部位应有明确的安保边界，避免设备失窃等物理损失。
　　（3）终端维护过程中，应对重要信息进行拷贝，终端设备送修时须拆除硬盘或者不可恢复的删除数据资料，避免数据信息泄露。

第十三章  运行安全策略

　　第三十四条 运行安全的目标是保证网络信息系统日常运行的安全稳定，对运行环境、技术支持、操作使用、病毒防范、备份措施、文档建立等方面实施安全性管理。
　　（1）进行完善的资产登记，包括信息资产（数据、文档、手册、备份等）、软件资产（应用软件、系统软件等）和物理资产（服务器、存储、备份等）。
　　（2）系统维护应由信息化建设与管理中心授权的机构和人员进行，所有操作均应有书面实施方案并经过审查，现场的实施应由信息化建设与管理中心工作人员陪同和监督。
　　（3）系统管理员权限应进行分割，系统管理员、应用管理员、安全审计员和存储管理员由不同的人员担任，关键操作要有审计记录并得到有效保护。
　　（4）严格控制计算机系统中软件的使用、下载及运行，新版软件、版本升级过程要实施投产前必要的软件检验和测试并确保所用软件的版本合法。
　　（5）信息系统维护和操作应有相应的文档，以确保支持的连续性和一致性，防止对安全的忽视、减少操作的失误。
　　（6）系统的开发、测试和运行系统应进行有效分离，不允许在运行系统上直接进行开发、测试和修改工作。
　　（7）系统应定期进行安全日志的审计，至少每个月要进行一次安全日志的分析和审计工作。
　　（8）对各种信息媒介应实施物理环境保护及其他各种控制措施，确保重要媒介不失密、不被破坏、不被篡改和不失效，维护其完整性和可用性，并授权专人负责介质的登记、存放、检验等维护工作。
　　（9）根据业务数据保存的要求及时进行数据备份，备份介质应保存在单独的安全场所。
　　（10）系统的事件处置响应，需遵循信息化建设与管理中心统一规划的事件处置流程进行报告、批准、处理和评估。
　　（11）当数据信息、硬件设备、软件程序结束运行使用时，视需求分别进行存档、废弃和销毁处理。存档的信息应充分考虑将来查找和检索的需要；电子信息的存档要考虑到数据生成技术的未来可用性；为满足加密信息的查询需要，应对加密密钥采取有效的存放保管措施。重要信息的销毁应在相关人员的监督下完成。

第十四章  应急管理

　　第三十五条 应急管理的目标是防止业务活动中断，保证重要业务流程不受重大故障和灾难的影响。
　　（1）应实施应急管理程序，将预防和恢复控制措施相结合，将灾难和安全故障（可能是由于自然灾害、事故、设备故障和蓄意破坏等引起）造成的影响降低到可以接受的水平。
　　（2）应分析灾难、安全故障和服务损失的后果。制定和实施应急计划，确保能够在要求的时间内恢复业务的流程。应该维护和执行此类计划，使之成为其它所有管理程序的一部分。
　　第三十六条 应该在整个学校系统内部制定和维护应急的管理流程。包括以下主要内容：
　　（1）考虑突发事件的可能性和影响，包括确定重要业务流程及其优先级别。
　　（2）了解中断信息系统服务可能对业务造成的影响（必须找到适当的解决方案，正确处理较小事故以及可能威胁组织生存的大事故），并确定信息处理设施的业务目标。
　　（3）适当考虑风险处理措施，可以将其作为应急程序的一部分。
　　（4）定期对应急管理的计划和流程进行检查和更新。
　　（5）确保在组织的程序和结构中纳入应急管理。应急管理流程的协调责任应该在信息系统管理部门进行适当分配。
　　第三十七条 应该根据风险评估结果制定相应的战略计划，确定应急总体方案。计划制定后应该由管理层进行批准。
　　第三十八条 应该制定计划维护业务运作，或在重要业务流程中断或发生故障后在规定时间内恢复业务运作。应急计划和程序应该考虑以下内容：
　　（1）确定并认可各项责任和应急程序。
　　（2）执行应急程序，以便在规定时间内进行恢复。要特别注意对有关外部业务和合同的评估。
　　（3）商定程序的备案。
　　（4）适当地对技术人员进行培训，让他们了解包括危机管理在内的应急程序；检查并更新计划。
　　（5）计划和程序应看重强调单位信息系统的业务目标，如在可接受的时间内恢复必要的服务。为此，应该考虑所需的服务和资源，包括人员、非信息处理资源等。
　　第三十九条 应急计划应该考虑以下内容：计划执行条件、应急程序、恢复程序、说明计划检查方式和维护安排、宣传培训活动、个人责任。每个计划都应该有一个负责人。应急程序恢复计划也应该由相关的技术人员负责。
　　第四十条 应该对计划进行定期检查，保证其可实施性和有效性。进行此类检查时，还应该保证负责进行恢复的所有小组成员以及其他相关人员对计划有一定的了解。
　　第四十一条 应急计划的检查计划应该说明各部分计划的检查方式和时间。
　　第四十二条 应该通过定期审议和更新对应急计划进行维护，确保其始终有效。应该在组织的变更管理计划中采用适当程序，确保应急问题得到适当处理。
　　第四十三条 应该分配各个应急计划的定期评审责任；应急计划更新后，应该检查还有哪些业务安排尚未在该计划中得以反映。该正式变更控制程序还应该确保把更新计划分发下去，在对完整计划完成定期审议后还需要更新计划。

第十五章  策略制定与维护

　　第四十四条 信息安全策略文件由安全管理员编写，由信息安全领导小组批准，向所有相关部门、第三方机构和相关人员发布。
　　第四十五条 信息安全领导小组监督信息安全活动，是否与策略的目标一致，达到策略的要求。
　　第四十六条 信息安全领导小组审查和处理违反安全策略的行为。
　　第四十七条 信息化建设与管理中心定期对信息安全策略进行评审，确保策略的有效性和可操作性。

第十六章  附  则

　　第四十八条 本策略自发布之日起执行，由信息化建设与管理中心负责解释，以往有关策略与本策略不一致的，以本策略为准。