企业信息化系统安全手册

企业信息化系统安全手册第一章总则1.1目的为规范企业信息化系统的安全管理，保障系统持续稳定运行，保护企业数据资产安全，防范各类安全风险，降低安全事件造成的损失，特制定本手册。本手册旨在构建“技术+管理+人员”三位一体的安全防护体系，保证信息化系统在设计、建设、运维、废弃全生命周期的安全性。1.2适用范围本手册适用于企业所有信息化系统，包括但不限于办公系统（OA、邮箱）、业务系统（ERP、CRM）、生产管理系统、数据库系统、网络设备及服务器等；适用于企业各部门、全体员工及第三方合作伙伴（涉及系统访问或数据处理时）。1.3基本原则纵深防御：通过“网络边界-区域隔离-主机加固-应用防护-数据加密”多层防护，避免单一防护点失效导致风险扩散。最小权限：用户及系统权限仅授予完成工作所必需的最小范围，定期review权限清单。持续改进：基于风险评估结果、安全事件及技术发展，动态调整安全策略与防护措施。全员参与：明确各部门及人员安全职责，定期开展安全培训，提升全员安全意识。第二章安全组织与职责2.1安全组织架构安全委员会：由企业总经理任主任，分管副总任副主任，各部门负责人为成员，负责审批安全战略、重大安全策略及资源投入。安全管理部：作为安全执行机构，设安全主管、安全工程师、安全审计岗，负责日常安全管理、技术防护、事件响应及合规审计。部门安全联络人：各部门指定1名员工作为安全联络人，负责传达安全要求、配合安全检查、上报部门内安全隐患。2.2关键岗位职责安全主管：统筹安全工作，制定年度安全计划，协调跨部门安全事务，向安全委员会汇报安全状况。安全工程师：负责网络安全设备（防火墙、WAF等）配置与维护，系统漏洞扫描与修复，安全事件分析与处置。系统管理员：负责服务器、操作系统、数据库的日常运维，实施系统加固、补丁更新及用户权限管理。应用开发人员：遵循安全开发规范，在应用设计、编码阶段融入安全措施，修复应用漏洞。普通员工：遵守安全管理制度，妥善保管账户密码，规范操作信息系统，及时报告安全异常。2.3第三方安全管理服务商准入：第三方服务商需通过安全资质审核（如ISO27001认证），签订安全保密协议，明确数据安全责任。访问控制：第三方人员访问系统需经审批，限制访问权限，全程操作日志记录，访问结束后及时回收权限。安全审计：定期对第三方服务商的安全措施进行审计，保证其符合企业安全要求。第三章人员安全管理3.1招聘与入职管理背景审查：对IT岗位、关键业务岗位候选人进行背景审查，重点核查无犯罪记录、职业诚信及从业经历。入职培训：新员工入职需完成安全培训，内容包括安全制度、数据分类标准、密码管理规范、常见攻击手段（钓鱼邮件、勒索病毒）及应对措施，培训后考核合格方可上岗。3.2在职安全管理定期培训：每年组织至少2次全员安全培训，针对不同岗位开展专项培训（如开发人员安全编码培训、管理人员风险意识培训），培训覆盖率需达100%。安全考核：将安全表现纳入员工绩效考核，对违反安全制度的行为（如弱密码、私自安装软件）进行通报批评，情节严重者影响晋升或绩效。权限动态管理：员工岗位变动时，需在3个工作日内调整系统权限，离职或转岗人员权限需立即回收，禁用账户并归档操作日志。3.3离职安全管理权限回收：人力资源部通知安全管理部后，24小时内禁用员工所有系统账户，删除云服务访问权限。资料交接：要求员工提交工作资料交接清单，安全管理部检查其终端设备是否存储敏感数据，确认无遗留数据后格式化硬盘。保密承诺：离职员工需签订《离职保密协议》，明确在职期间接触的商业秘密、技术资料的保密义务，违约者追究法律责任。第四章系统建设安全4.1需求阶段安全要求安全需求分析：在系统需求规格说明书中明确安全需求，包括身份认证强度、数据加密方式、访问控制策略、日志审计要求等，需经安全管理部评审。合规性要求：根据系统处理数据类型（如个人信息、敏感业务数据），明确需遵守的法律法规（如《网络安全法》《数据安全法》），保证需求设计符合合规要求。4.2设计阶段安全措施架构安全设计：采用“分区隔离”架构，将系统划分为安全域（如核心业务区、办公区、DMZ区），不同区域间部署防火墙进行访问控制；关键系统采用“双活”或“异地灾备”架构，保障高可用性。安全方案评审：系统设计方案需包含《安全设计方案》，由安全管理部组织技术专家评审，重点评审加密算法选择（如国密SM4）、权限模型设计（RBAC）、数据传输安全（）等内容。4.3开发阶段安全规范安全编码标准：开发人员需遵循《安全编码规范》，禁止使用高危函数（如SQL注入中的exec()、eval()），对用户输入进行严格验证（长度、类型、特殊字符过滤），关键操作参数化查询。代码审计：开发完成后，使用静态代码扫描工具（如SonarQube）进行代码审计，修复高危漏洞；核心系统需由第三方机构进行人工代码审计，审计报告作为上线必备条件。单元测试与集成测试：在单元测试阶段纳入安全测试用例（如SQL注入、XSS攻击验证），集成测试时进行接口安全测试（如鉴权、参数校验）。4.4测试与上线安全渗透测试：系统上线前，由安全管理部组织渗透测试，模拟黑客攻击方式（如Web应用攻击、弱口令爆破、权限提升），测试范围需覆盖所有核心功能模块，高危漏洞修复后需复测通过。安全验收：上线前需通过《安全验收报告》，内容包括漏洞扫描结果、渗透测试报告、安全配置检查表（如服务器关闭非必要端口、禁用默认账户），验收通过后方可正式上线。第五章网络安全5.1网络架构安全区域划分：根据业务重要性将网络划分为核心区（生产数据库、核心业务系统）、DMZ区（对外服务系统，如Web服务器）、办公区（员工终端）、管理区（网络设备管理），各区域间部署防火墙实施访问控制。路由策略：核心区与办公区间禁止直接路由，所有跨区域访问需经防火墙策略控制；启用动态路由协议认证（如OSPF的MD5认证），防止路由欺骗。5.2边界防护防火墙策略：防火墙策略遵循“最小权限”原则，默认禁止所有访问，仅开放业务必需端口（如Web服务80/443端口、数据库监听端口）；策略需定期review（每季度1次），删除冗余策略。入侵检测/防御系统（IDS/IPS）：在网络边界部署IDS/IPS，实时监测恶意流量（如SQL注入、DDoS攻击），高危攻击（如远程代码执行）需自动阻断，日志保存不少于180天。Web应用防火墙（WAF）：对外Web服务部署WAF，配置SQL注入、XSS、CSRF等攻击规则，定期更新规则库（每周1次），定期进行WAF策略有效性测试。5.3网络访问控制IP-MAC绑定：办公区终端IP与MAC地址绑定，防止非法接入；DHCP服务器配置租约时间（不超过8小时），避免IP地址冲突。VPN管理：远程访问需通过企业VPN，采用多因素认证（账号+动态口令），VPN账户实行“一人一账号”，禁止共享；VPN日志记录用户登录IP、访问时间及目标系统。5.4无线网络安全加密认证：无线网络采用WPA3加密协议，开放无线网络（如访客网络）与内部办公网络隔离，启用802.1X认证或Portal认证（绑定员工工号）。安全配置：禁用无线SSID广播，关闭WPS功能（防止PIN码破解）；定期更换无线网络预共享密钥（每季度1次），复杂度需包含大小写字母、数字及特殊符号。第六章主机与终端安全6.1服务器安全系统加固：服务器安装后需进行安全加固，包括：关闭非必要端口（如Telnet、FTP）、禁用默认账户（如guest）、修改默认密码（复杂度12位以上，包含大小写字母、数字及特殊符号）、启用登录失败锁定策略（5次失败锁定30分钟）。补丁管理：建立补丁管理流程，操作系统补丁需在厂商发布后15个工作日内完成测试与修复；应用软件补丁需在1个月内完成修复；补丁更新前需在测试环境验证，避免业务中断。日志审计：服务器开启系统日志（安全日志、应用程序日志、系统日志），日志需记录用户登录、权限变更、关键操作（如数据库删除、文件修改），日志保存不少于180天，部署日志审计系统实时监控异常行为。6.2终端安全准入控制：办公终端需安装终端准入客户端，未安装客户端或不符合安全基线的终端（如未安装防病毒软件、系统补丁缺失）禁止接入内部网络。桌面管理：终端禁止私自安装软件（需通过IT部门审批），禁用USB存储设备（业务必需部门需加密U盘并登记）；启用屏幕保护密码（10分钟自动锁定，密码复杂度8位以上）。防病毒软件：终端需安装企业级防病毒软件，实时开启病毒监控、木马查杀功能，病毒库需每日更新，每周全盘扫描1次，发觉病毒立即隔离并上报安全管理部。6.3移动设备安全MDM管理：企业配发的移动设备（手机、平板）需安装移动设备管理（MDM）客户端，实现设备远程定位、擦除、应用管控；禁止越狱（iOS）或root（Android）设备。数据保护：移动设备访问企业系统需通过企业APP，采用“应用内加密”方式存储数据，禁止本地存储敏感数据；移动设备丢失需立即上报IT部门远程擦除数据。6.4虚拟化安全hypervisor安全：hypervisor需定期打补丁，禁用不必要的网络服务，启用安全审计功能，记录虚拟机创建、删除、迁移等操作。虚拟网络隔离：不同虚拟机需部署在不同的虚拟网络（VLAN），虚拟交换机需配置访问控制策略，禁止虚拟机间非必要通信；定期检查虚拟机逃逸漏洞（如QEMU漏洞）。第七章应用安全7.1身份认证与访问控制多因素认证：核心系统（如ERP、数据库）登录需启用多因素认证（账号+动态口令/USBKey），管理员账户需强制使用USBKey认证。权限模型：采用基于角色的访问控制（RBAC），角色与权限绑定，用户与角色绑定；权限需定期review（每半年1次），离职人员角色立即移除。会话管理：Web应用会话超时时间不超过30分钟，会话ID需随机（避免可预测），禁止在URL中传递会话ID；用户退出需主动销毁会话。7.2输入与输出安全输入验证：对所有用户输入（如表单、URL参数、文件）进行严格验证，包括：长度限制（如用户名不超过20字符）、类型校验（如年龄为数字）、特殊字符过滤（如<script>、'、--）。输出编码：输出数据到页面时需进行HTML编码（防止XSS攻击），输出到数据库时需使用参数化查询（防止SQL注入）；文件功能需校验文件类型（白名单限制），禁止可执行文件（.exe、.bat）。7.3应用漏洞防护错误处理：应用需自定义错误页面，禁止返回详细错误信息（如数据库路径、SQL语句），避免信息泄露；异常日志需记录到安全日志系统，不返回给用户。API安全：对外API需启用鉴权（如OAuth2.0）、限流（防DDoS攻击），敏感数据传输需加密（）；API文档需包含安全说明，禁止在文档中暴露敏感参数。7.4安全开发生命周期（SDL）需求阶段：明确安全需求，定义安全目标（如“防SQL注入攻击”）。设计阶段：进行威胁建模（如STRIDE模型），识别潜在威胁（如篡改、拒绝服务），设计缓解措施。编码阶段：执行安全编码规范，使用静态代码扫描工具检测漏洞。测试阶段：进行动态测试（如Web应用扫描、渗透测试），修复高危漏洞。上线阶段：发布安全报告，明确已知风险及应对措施。运维阶段：定期进行安全扫描（每月1次），及时修复新发觉的漏洞。第八章数据安全8.1数据分类分级分类标准：根据数据来源及业务属性，数据分为：公开数据：可对外公开（如企业宣传资料、组织架构）；内部数据：仅限内部使用（如内部通知、会议纪要）；敏感数据：需严格控制（如客户个人信息、财务数据）；核心数据：关系企业生存（如核心技术参数、未公开并购计划）。分级保护：不同级别数据采取差异化保护措施（如敏感数据加密存储、核心数据双人审批访问）。8.2数据采集与传输安全采集合规：数据采集需获得数据主体授权（如个人信息需明确告知采集目的、范围，获得书面同意），禁止超范围采集。传输加密：数据传输需采用加密协议（如、SFTP、VPN），禁止明文传输敏感数据；传输过程中需校验数据完整性（如MD5校验）。8.3数据存储与备份存储加密：敏感数据、核心数据需加密存储（使用国密SM4或AES-256算法），数据库表字段加密，文件存储采用透明加密技术。备份策略：全量备份：核心系统每日全量备份，备份数据保存30天；增量备份：每日增量备份，保存7天；异地备份：核心数据每月异地备份，备份数据与生产环境隔离存储。备份验证：每季度进行1次备份恢复测试，保证备份数据可用性。8.4数据使用与共享使用控制：敏感数据访问需审批（如客户信息访问需部门经理审批），操作日志记录访问人、时间、内容及操作结果，日志保存180天。共享安全：数据共享需通过安全渠道（如加密邮件、企业内部文件共享平台），禁止通过个人邮箱、即时通讯工具传输敏感数据；对外共享数据需脱敏处理（如隐藏手机号后4位、证件号码号中间6位）。8.5数据销毁销毁范围：废弃设备（服务器、硬盘、U盘）中的数据、过期业务数据（如超过保存期限的客户订单）需销毁。销毁方式：逻辑销毁：普通数据使用数据擦除软件（如DBAN）进行3次覆写；物理销毁：核心数据需销毁存储介质（如硬盘粉碎、磁带焚烧），销毁过程需录像存档。第九章物理安全9.1机房环境安全门禁控制：核心机房采用“双人双锁”管理，门禁系统需刷卡+密码验证，进入人员需登记姓名、工号、进入时间及事由；外来人员进入需经部门负责人审批，由IT人员全程陪同。环境监控：机房配备温湿度监控系统（温度18-27℃，湿度40%-60%）、漏水检测系统、烟雾报警系统；监控数据实时至管理平台，异常情况立即报警（短信+电话通知管理员）。消防设施：机房配置气体灭火系统（如七氟丙烷），禁止使用水基灭火器；消防设施每月检查1次，保证压力正常、管道无泄漏。9.2设备与介质安全设备管理：服务器、网络设备需固定机柜，张贴资产标签（包含编号、型号、责任人）；设备报废需经IT部门确认数据彻底销毁后，交由专业机构回收，禁止随意丢弃。介质管理：存储介质（U盘、移动硬盘、磁带）需登记台账（编号、类型、使用人、存放位置）；介质外出需经审批，返回后需检查数据完整性；废弃介质需按数据销毁流程处理。9.3电力与电磁防护电力保障：机房配备UPS（不间断电源），续航时间不少于30分钟；配备备用发电机，保证市电中断时30分钟内切换；电力线路需防雷接地（接地电阻≤4Ω）。电磁防护：机房远离强电磁场（如高压线、变压器）；敏感设备（如服务器）安装电磁屏蔽机柜，防止电磁信息泄露。第十章安全运维与监控10.1日常运维管理资产清单：建立信息化系统资产清单（包含服务器、网络设备、应用系统、数据资产），每季度更新1次，保证资产信息准确。漏洞管理：使用漏洞扫描工具（如Nessus、绿盟）每周扫描1次系统漏洞，高危漏洞需24小时内修复，中危漏洞7天内修复，低危漏洞30天内修复；修复后需进行复测并记录。10.2安全监控与告警监控体系：部署SIEM（安全信息和事件管理）平台，集中收集服务器、网络设备、应用系统的日志（如登录日志、操作日志、防火墙日志），设置告警规则（如“连续5次登录失败”“数据库敏感表访问”）。告警处置：告警分为紧急（如系统被入侵、数据泄露）、高危（如漏洞被利用、权限异常）、中低危（如误操作、资源占用过高），紧急告警需10分钟内响应，高危告警30分钟内响应，中低危告警2小时内响应；处置过程需记录告警时间、处理措施、结果。10.3安全事件响应事件分级：一级（紧急）：造成重大经济损失（≥50万元）、核心系统瘫痪超4小时、数据泄露（涉及≥1000条个人信息）；二级（高危）：造成较大经济损失（10-50万元）、系统瘫痪1-4小时、数据泄露（100-1000条个人信息）；三级（中危）：造成轻微经济损失（1-10万元）、系统瘫痪30分钟-1小时、未遂安全事件（如攻击被拦截）。响应流程：发觉事件：立即报告安全管理部，保护现场（如停止受影响系统、保留日志）；分析研判：安全工程师分析事件原因、影响范围，确定