安全基础设施管理制度

安全基础设施管理制度第一章总则1.1目的为统一公司安全基础设施（以下简称“安基设施”）的规划、建设、运行、维护与退役全生命周期管理，防止因设施失效、数据泄露、服务中断或合规缺失导致人身伤害、资产损失及法律责任，特制定本制度。1.2适用范围适用于公司全球范围内所有自持、托管及租赁的机房、数据中心、网络、云平台、物理安防、环境动力、加密设施、监控与审计系统。1.3上位文件《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》《ISO27001:2022》《GB/T222392019》《GB501742017》《TIA942B》《PCIDSSv4.0》。1.4术语1.4.1关键安全基础设施（CSF）：单点故障即可导致一级业务中断≥15min或影响≥10万用户或造成≥100万元直接损失的设施。1.4.2变更窗口：经批准的、允许对线上环境实施变更的时段，默认为每周三02:00—05:00（UTC+8），其余时段须走紧急变更流程。1.4.3双岗复核：任何可引发配置漂移或权限提升的操作，须由操作人与复核人两人同时在场、同一终端双人指纹确认。第二章组织与职责2.1安全基础设施管理委员会（SIMC）主任：CTO；成员：信息安全部、基础设施部、合规部、业务连续性部、财务部、法务部、内审部。职责：年度预算、风险接受、重大变更一票否决。2.2安全基础设施部（IID）2.2.1负责安基设施全生命周期技术管理。2.2.2设立“安全基础设施值班长”（7×24h），拥有先处置后通报权，但须在30min内补走流程。2.3信息安全部（ISD）负责威胁建模、基线制定、渗透测试、日志审计、事件调查。2.4合规部每季度牵头完成合规映射表更新，并对IID、ISD出具《合规差距报告》。2.5业务部门提出容量与功能需求，配合完成业务影响分析（BIA），并签署《业务方责任共担协议》。第三章风险管理与分级3.1资产分级采用“三维五级”模型：价值维（V）、威胁维（T）、脆弱维（F）。得分≥12为CSF，9—11为重要，5—8为一般，＜5为低危。3.2风险评估流程Step1资产发现→Step2威胁识别（STRIDE+KillChain）→Step3脆弱扫描（Nessus+自研指纹）→Step4风险计算（CVSSv3.1+公司调整系数0.8—1.4）→Step5风险处置（接受/降低/转移/规避）→Step6残余风险确认→Step7董事会签字。3.3风险接受阈值CSF不可接受风险值为0，重要系统≤1个中等风险，一般系统≤3个低风险。第四章规划建设管理4.1需求提出业务部门提前6个月提交《安全基础设施需求申请》，含容量、性能、合规、灾备等级。4.2可行性研究IID在10个工作日内完成技术可行性、选址、CAPEX/OPEX、PUE预测、碳排评估。4.3方案设计4.3.1必须采用“N+1”冗余，CSF须“2N”。4.3.2网络分区：互联网层→DMZ→应用层→数据层→核心运维层，各层间防火墙+IPS+零信任网关。4.3.3加密：TLS1.3+AES256GCM，证书私钥托管于FIPS1403Level3HSM，禁止导出明文。4.3.4物理安防：四层防护（周界→园区→建筑→机房），人脸识别+IC卡+指纹三合一，防尾随互锁门，门禁日志保存≥3年。4.4设计评审采用“红蓝对抗”模式，蓝队提交设计文档，红队5日内完成攻击模拟并出具《设计安全缺陷报告》，缺陷关闭率100%方可进入采购。4.5采购与供应链安全4.5.1关键设备须从《合格供应商白名单》采购，白名单每年更新并背调生产厂、芯片级供应商。4.5.2合同必须包含：源代码托管、后门赔偿、漏洞响应SLAs（Critical24h/High72h）。4.5.3到货即做“一致性校验”：固件哈希、序列号、防拆封条、X光抽检。4.6实施与验收4.6.1施工期间每日生成《配置漂移快照》，使用Git+Ansible固化。4.6.2验收分四步：单机加电→系统联调→渗透测试→业务压测。渗透须由外部具备CNAS资质的第三方执行，提供PDF+原始XML报告。4.6.3验收未通过项须进入《缺陷跟踪表》，连续两次复测不通过，项目经理降薪10%，供应商按日0.5%合同额罚款。第五章运行维护管理5.1运行基线5.1.1系统基线：使用CISBenchmarkv1.8.0，结合公司实际裁剪17条，形成《公司级安全基线V6.3》。5.1.2网络基线：关闭所有小于1024的TCP/UDP空口，SNMP必须v3，SHA2鉴权。5.1.3动力环境：温度22±2℃，湿度45%±5%，水浸感应1m间距，极早期烟雾VEIC灵敏度0.005%obs/m。5.2变更管理5.2.1所有变更须登录“SecChange”系统，填写四要素：原因、方案、回退、测试。5.2.2分级审批：Low值班长审批；NormalIID经理+ISD经理；MajorSIMC主任；Emergency先口头后30min内补单。5.2.3灰度策略：CSF须采用“金丝雀”发布，先1%→5%→30%→100%，每阶段观察30min，错误率>0.1%立即回滚。5.3漏洞管理5.3.1发现渠道：自研扫描、SRC、CNVD、供应商、内部审计。5.3.2评级：采用CVSS+公司业务影响系数，Critical须在24h内修复或给出临时防护措施。5.3.3复测：修复后5日内由ISD复测，连续两次复测失败，责任工程师记大过一次。5.4配置管理5.4.1使用自研CMDB“iConfig”，所有CI必须录入，字段68项，缺失率<0.1%。5.4.2每日凌晨03:00自动拉取网络设备runningconfig，与Git主分支diff，不一致触发告警。5.5备份与恢复5.5.1321原则：3份副本、2种介质、1份异地。5.5.2备份加密：AES256XTS，密钥分段托管于两地HSM。5.5.3演练：CSF每季度一次真实演练，RTO≤30min，RPO≤5min，失败即扣减部门年度奖金5%。5.6日志与审计5.6.1日志分级：DEBUG→INFO→WARN→ERROR→FATAL，DEBUG级禁止记录敏感数据。5.6.2留存：交易日志≥7年，操作日志≥3年，网络日志≥1年。5.6.3审计：内审部每半年抽查10%系统，重点审计特权账号与日志完整性，发现篡改即启动刑事报案流程。第六章物理与环境安全6.1机房选址距离核电站≥30km，距离河流历史最高水位≥500m，地震基本烈度≤8度，雷暴日≤30d/年。6.2结构安全6.2.1抗震：按GB501742017A级，重要性系数1.2。6.2.2承重：≥12kN/m²，电池区≥16kN/m²。6.3消防6.3.1极早期+烟感+温感+火焰四重探测。6.3.2灭火介质：IG541，喷放时间≤60s，浸渍时间≥10min。6.3.3每年两次实际喷放测试（模拟负载），误报率<0.1%。6.4电力6.4.1市电：双路市电来自不同变电站，满足N+1。6.4.2UPS：2N，电池后备15min，满载测试每季度一次。6.4.3发电机：N+1，柴油储备≥8h，每月空载运行15min，每年带载≥75%运行2h。6.5节能与碳排PUE年度目标≤1.25，每超标0.01扣减IID年度预算1%。采用氟泵双循环、间接蒸发冷却、AI调优，服务器退役须由具备eStewards认证机构回收。第七章身份与访问控制7.1账号生命周期入职→HR触发→AD自动开户→IAM系统根据岗位模型授最小权限→每季度复查→离职→HR确认→账号冻结30天→彻底删除。7.2特权管理7.2.1采用PAM系统“SecVault”，所有root、admin、enable15级密码托管，定期轮换30天。7.2.2运维跳板机：使用硬件令牌+生物识别，会话录制1:1回放，水印防偷拍。7.3多因素认证CSF必须三因素：所知（口令）+所持（Token）+所是（指纹）。7.4API访问7.4.1统一接入API网关，OAuth2.0+JWT，有效期≤15min。7.4.2敏感接口须二次鉴权：mTLS+动态短信码。第八章业务连续性与灾难恢复8.1业务影响分析（BIA）每年3月由业务连续性部牵头，采用“问卷+访谈+系统日志”三结合，输出RTO/RPO矩阵，经业务VP签字。8.2灾备等级Tier1：冷备，RTO≤24h；Tier2：温备，RTO≤4h；Tier3：热备，RTO≤30min；Tier4：双活，RTO≤5min。CSF必须Tier4。8.3灾备演练8.3.1桌面演练：每季度一次，覆盖100%场景。8.3.2实战切换：每年至少一次，真实流量≥30%，由外部审计师现场见证。8.3.3演练失败标准：RTO或RPO任意一项超标即失败，失败需在5日内提交《根因分析报告》，并在30日内完成复测。第九章事件与应急管理9.1事件分级P0紧急：国家级攻击、数据泄露≥10万用户；P1重大：CSF中断≥15min；P2一般：重要系统中断5—15min；P3轻微：低危系统告警。9.2响应时限P05min内电话通知SIMC主任，30min内成立“战时指挥部”；P115min内通知IID经理；所有事件须在24h内出具《事件快报》，72h内出具《完整报告》。9.3应急预案9.3.1预案体系：总体预案+专项预案（网络、电力、火灾、疫情、战争）+现场处置方案（SOP）。9.3.2预案每年至少修订一次，修订后须重新培训并考核，考核通过率≥90%。9.4取证与溯源9.4.1事件发生后立即冻结日志，使用SHA256计算哈希存证。9.4.2内存镜像采用LiME工具，写保护硬件只读器获取磁盘镜像，证据链须符合《公安机关刑事案件电子数据取证规范》。第十章合规与审计10.1合规映射建立“法规条款控制点技术实现”四维表，覆盖218项国内法规、42项国际标准，每月自动爬取更新。10.2审计计划内审：每半年一次；外审：每年一次ISO27001监督审核、每三年一次换证；PCIDSS每年一次QSA评估。10.3审计整改10.3.1轻微不符合：15日内关闭；一般不符合：30日内关闭；严重不符合：7日内提交纠正措施，60日内关闭。10.3.2整改完成须由责任部门负责人、ISD、内审部三方联合验证，验证通过率在年度考核中占20%权重。第十一章供应商与外包管理11.1准入评估采用“安全+合规+财务+ESG”四轴评分，安全权重40%，低于70分不得入围。11.2合同控制必须包含：数据不出境、RighttoAudit、漏洞罚金（Critical10%/High5%合同额）、源代码托管、4级SLA。11.3持续监督每季度现场稽核，使用《供应商安全核查表》128项，发现问题立即启动“退出条款”。第十二章人员管理与培训12.1岗位胜任力模型设定初级、中级、高级、专家四级，对应6大维度38项指标，晋升须通过“笔试+实操+答辩”三环节，通过率≤30%。12.2培训学时CSF运维岗每年≥40学时安全专项，普通岗≥20学时；未达标者取消年度绩效奖金10%。12.3背景调查关键岗位须做“三加一”：公安无犯罪、学历、工作经历+金融征信，调查周期5年一次。第十三章绩效考核与奖惩13.1考核指标可用性≥99.99%、PUE≤1.25、重大安全事件0起、合规审计严重不符合0项、漏洞关闭率100%。13.2奖励年度达成以上全部指标，部门年度奖金上浮15%，个人可获“安全之星”称号及5万元旅行基金。13.3惩罚13.3.1人为导致P0事件：直接责任人解除劳动合同，相关经理降两级。13.3.2违规外联：首次记大过，第二次开除并追究刑责。第十四章退出与退役14.1退役流程申请→风险评估→数据清除→资产核销→环保处置→审计归档。14.2数据清除14.2.1磁盘：使用DoD5220.22M标准，3次覆写+一次随机，最后物