平台安全运维保障方案

平台安全运维保障方案

平台运维保障方案为了确保信息系统的正常运行，规范信息系统日常操作及维护阶段安全要求，特制订此方案。系统日常操作及维护管理建立双向联动责任人机制，指定电信接口人和支撑单位接口人双向联动，确保各个业务平台的正常运行。在操作系统日常操作及维护方面，必须严格管理操作系统账号，定期对操作系统账号和用户权限分配进行检查，系统维护人员至少每月检查一次，并报信息技术管理员审核，删除长期不用和废弃的系统账号和测试账号。此外，必须加强操作系统口令的选择、保管和更换，系统口令应至少8位字符以上，使用数字、大小写字母及特殊符号混合，每90天至少修改一次。支撑单位维护人员需定期进行安全漏洞扫描和病毒查杀工作，平均频率应不低于每月一次，重大安全漏洞发布后，应在3个工作日内进行上述工作。为了防止网络安全扫描以及病毒查杀对网络性能造成影响，应根据业务的实际情况对扫描时间做出规定，需安排在非业务繁忙时段。技术负责人应为每个系统指定专门的系统维护人员，由系统维护人员对所负责的服务器进行检查，至少每天一次，确保各系统都能正常工作，并监控系统的CPU利用率、进程、内存和启动脚本等使用情况。当支撑单位维护人员监测到以下几种已知的或可疑的信息安全问题、违规行为或紧急安全事件系统时，应立即报告技术负责人，同时采取控制措施，并进行记录：系统出现异常进程、CPU利用率、内存占用量异常、系统突然不明原因的性能下降、系统不明原因的重新启动、系统崩溃，不能正常启动、系统中出现异常的系统账户、系统账户口令突然失控、系统账户权限发生不明变化、系统出现来源不明的文件、系统中文件出现不明原因的改动、系统时钟出现不明原因的改变。此外，如果系统日志中出现非正常时间登录，或有不明IP地址的登录，也需要及时处理。通过建立双向联动责任人机制和加强操作系统账号和口令的管理，定期进行安全漏洞扫描和病毒查杀工作，以及监控系统的使用情况和处理异常情况，可以确保平台各项业务的正常开展和信息系统的正常运行。发现异常情况时及时处理。同时，应定期对应用系统进行安全扫描，发现漏洞及时修复。(8)应用系统的数据备份必须定期进行，备份数据应存放在安全可靠的地方，并定期验证备份数据的完整性和可恢复性。同时，应制定数据恢复方案，确保在数据丢失或系统故障时能够及时恢复。(9)对于重要业务系统，应定期进行灾备演练，确保在灾难事件发生时能够快速恢复业务，并最大程度地减少业务损失。演练应包括备份数据恢复、系统切换以及应急预案的执行等方面。(10)应用系统的安全性不仅仅依赖于技术手段，还需要加强员工的安全意识培训，提高员工的安全防范意识和技能水平。同时，应建立健全的安全管理制度，规范员工的行为，严格执行安全审计和监督制度，确保应用系统的安全性。6.对操作系统进行任何修改，系统维护人员必须备案并向技术负责人提交系统调整方案，审核通过后方可实施。操作系统的配置和修改必须在非业务时间进行，重大调整必须提前准备应急预案和回退方案。7.保证操作系统日志运行状态，系统维护人员应定期对日志进行审计分析，每月至少审计一次，重点关注登录的用户、登录时间、所做的配置和操作。发现异常情况应及时向信息技术管理员报告。8.系统维护人员应设置操作系统日志归档保存功能，历史记录保持时间不得低于一年。2.3.业务系统安全日常操作及维护1.新的应用系统在正式上线运行前，应进行安全检查，检查通过方可正式运行。检查内容包括：应用系统的软件版本、已知的系统漏洞或其他安全缺陷、补丁安装是否完整、进程和端口开放情况等。2.应用系统上线运行后，应先进行试运行，并严密监控其运行情况。发现不稳定或可疑情况，应立即报告IT服务平台，并启动应急预案。3.应用系统正式上线运行后，应指派专门的系统维护人员，由其与开发测试人员进行系统交接。4.应用系统软件安装后应备份，随后在变更和配置修改前后进行备份，确保储存的软件和文档都是最新的，并定期验证备份和恢复策略的有效性。5.应严格管理应用系统账号，定期检查并删除长期不用和废弃的系统账号和测试账号。6.应加强应用系统口令的选择、保管和更换，定期更换要求为每90天至少修改一次，口令长度要求为8位字符以上，使用数字、大小写字母及特殊符号混合。7.系统维护人员应对所负责的应用系统进行检查，至少每天一次，并定期进行安全扫描，发现漏洞及时修复。8.应用系统的数据备份必须定期进行，备份数据应存放在安全可靠的地方，并定期验证备份数据的完整性和可恢复性。同时，应制定数据恢复方案，确保在数据丢失或系统故障时能够及时恢复。9.对于重要业务系统，应定期进行灾备演练，确保在灾难事件发生时能够快速恢复业务，并最大程度地减少业务损失。10.应加强员工的安全意识培训，提高员工的安全防范意识和技能水平。同时，应建立健全的安全管理制度，规范员工的行为，严格执行安全审计和监督制度，确保应用系统的安全性。符串必须设置为复杂的随机字符串，并定期更换。(9)网络和安全设备的操作日志必须开启，并定期备份和审计，至少每月进行一次审计分析。(10)网络和安全设备的固件和软件必须及时更新，确保设备的安全性和稳定性，更新前必须进行备份和测试。当发现应用系统运行不稳定或出现可疑情况时，应立即向IT服务平台报告。在发生重大安全事件时，应立即向信息管理部信息安全管理员报告，并记录《系统异常故障表》，必要时应启动应用系统应急预案。系统维护人员对应用系统进行的任何修改都需要备案。对于应用系统的重大修改和配置（如补丁安装、系统升级等操作），必须向电信责任部门提交系统调整方案，审核通过后才能实施。应用系统的配置和修改必须在非业务时间进行，重大调整必须提前准备应急预案和回退方案。确保各应用系统的系统日志处于运行状态。系统维护人员应定期对日志进行审计分析，至少每月审计一次，重点对登录的用户、登录时间、所做的配置和操作进行检查。同时，系统维护人员应设置应用系统日志归档保存功能，历史记录保持时间不得低于一年。在网络及安全设备管理方面，必须严格管理设备系统账号，定期对设备系统账号和用户权限分配进行检查。长期不用和废弃的用户账号必须删除。加强设备系统口令的选择、保管和更换，口令长度要求8位字符以上，复杂度要求使用数字、大小写字母及特殊符号混合，每90天至少修改一次。对网络和安全设备的管理必须经过严格的身份认证和访问权限的授予，认证机制应综合使用多种认证方式，如强密码认证+特定IP地址认证等。网络和安全设备的用户名和密码必须以加密方式保存在本地和系统配置文件中，禁止使用明文密码保存方式。网络和安全设备的配置文件必须由负责此设备的维护人员加密保存，由信息技术管理员加密留档保存，维护人员和信息技术管理员必须确保配置文件不被非法获取。对网络和安全设备的远程维护，建议使用SSH、HTTPS等加密管理方式，禁止使用Telnet、http等明文管理协议。限定远程管理的用户数量，每设备管理用户不能超过5个；限定远程管理的终端IP地址，设置控制口和远程登录口的超时响应时间，让控制口和远程登录口在空闲一定时间后自动断开，超时响应时间最多不能超过3分钟。对网络和安全设备的管理维护，尽可能避免使用SNMP协议进行管理。如果必须使用，应使用V3版本代替V1、V2版本，并启用MD5等校验功能。SNMP协议的CommunityString字符串必须设置为复杂的随机字符串，并定期更换。网络和安全设备的操作日志必须开启，并定期备份和审计，至少每月进行一次审计分析。网络和安全设备的固件和软件必须及时更新，确保设备的安全性和稳定性。更新前必须进行备份和测试。策略，保证病毒扫描不影响正常的业务操作。3)防病毒软件应定期更新病毒库和软件版本，并保证及时更新到所有的终端和主机。4)维护人员应定期对防病毒软件进行性能和故障检查，至少每天一次，监控软件的CPU、内存、硬盘使用率和病毒扫描情况等使用情况，确保软件能够正常工作，如发现异常情况，应采取控制措施，并记录。5)防病毒软件的配置和修改必须在非业务时间进行，重大调整必须提前准备应急预案和回退方案。6)维护人员应设置定期对软件日志进行归档保存，历史记录保持时间不得低于一年。2.4.2.安全设备配置规范(1)防火墙设备为保证网络和应用系统的性能不会因部署防火墙而有明显下降，防火墙应保证正常应用的连通性。防火墙规则应尽量保持清晰和简洁，并遵循“默认拒绝，特殊规则靠前，普通规则靠后，规则不重复”的原则，通过调整规则的次序进行优化。防火墙各区域的路由设置应合理，严格禁止任何旁路路由。在配置或更改防火墙策略前，必须对防火墙进行配置备份，并向信息技术管理员提交防火墙策略调整方案，由信息技术管理员审核通过后方可实施。配置或更改防火墙策略必须在非业务时间进行，重大调整必须提前准备应急预案和回退方案。在配置或更改防火墙策略后，必须对网络和业务的连通性进行逐一测试，以保证信息系统的可用性。维护人员应定期对防火墙的访问控制规则进行检查和必要调整，至少每月执行一次。临时性增加的访问控制规则在使用完成后，应及时删除。(2)网络版防病毒软件为保证防病毒软件的部署、管理和更新有条不紊，信息管理部应对防病毒软件进行统一规划、部署和管理。维护人员应根据终端和主机所在部门进行逻辑分组，并根据终端和主机的工作时间，制定扫描策略，以保证病毒扫描不影响正常的业务操作。防病毒软件应定期更新病毒库和软件版本，并保证及时更新到所有的终端和主机。维护人员应定期对防病毒软件进行性能和故障检查，至少每天一次，监控软件的CPU、内存、硬盘使用率和病毒扫描情况等使用情况，确保软件能够正常工作，如发现异常情况，应采取控制措施，并记录。防病毒软件的配置和修改必须在非业务时间进行，重大调整必须提前准备应急预案和回退方案。维护人员应设置定期对软件日志进行归档保存，历史记录保持时间不得低于一年。换机等重要设备上，以便及时发现入侵行为。2)维护人员负责入侵检测/保护系统的总体维护，每天定时登陆入侵检测/保护总控制台，检查入侵检测/保护软件服务的运行状态，以及入侵事件报警情况，发现异常马上采取控制措施，应及时上报。3)维护人员应定期检查入侵检测/保护系统的规则库，并及时更新，以保证系统的准确性和有效性。4)新入网的设备，在接入公司网络前，必须进行安全检查和入侵检测/保护软件的安装和配置工作，确保设备的安全性和网络的安全性。5)入侵检测/保护系统应与其他安全设备相互协作，形成完整的安全防线，提高安全性和可靠性。建议：为了确保公司网络的安全性和可靠性，我们建议在每周中午休息时间启动病毒扫描，避免在业务繁忙时执行。同时，防病毒软件必须统一进行病毒特征库的更新，至少每周进行一次，以及重大安全漏洞和病毒发布后，应立即进行更新，并在3个工作日内完成所有终端和主机的扫描工作。维护人员应及时了解防病毒厂商公布的计算机病毒情报，关注新产生的、传播面广的计算机病毒，并了解它们的发作特征和存在形态，及时发现计算机系统出现的异常是否与新的计算机病毒有关。此外，维护人员还应及时了解各系统厂商所发布的漏洞情况，对于很可能被病毒利用的远程控制的漏洞要及时提醒用户安装相关补丁。维护人员负责防病毒软件的总体维护和维护各应用服务器及终端防病毒系统的正常运转，也需要定期对防病毒软件的升级情况进行监控。如果遇到问题或者病毒报警，应采取控制措施并及时上报。此外，维护人员应至少每次/月统计病毒报告，以分析历史病毒事件，加强安全策略防范。对于终端安全管理软件的部署，应该做到统一规划、统一部署和统一管理。维护人员负责终端安全管理软件的总体维护和根据终端实际安全需求制定终端控制策略，策略下发前，必须进行不少于两天的策略测试运行工作，必须在测试成功后才能对终端进行应用。新入网的终端及主机，应及时安装信息管理部统一部署的终端安全管理软件；没有安装统一终端安全管理软件的Windows系统不得接入公司网络；终