安全崗位管理制度XXXXXXX有限公司二零一七年七月一日20目錄第一章 總則3第二章 范圍3第三章 角色和責任3第四章 各安全崗位管理制度4第一部分 網絡安全維護管理制度4第二部分 系統安全維護管理制度8第三部分 信息安全部門崗位管理制度14第四部分 審計部門崗位管理制度18第一章 總則為了更好的確保XXXX市場的安全穩定運行，合理、可靠、安全、高效地組織和管理XXXXX市場，提高XXXX市場的服務質量，提高維護隊伍的整體素質和水平，特制定此崗位安全管理制度，作為維護和管理XXXX市場的依據。第二章 范圍本制度的適用范圍包括XXXX市場系統的物理資產（包括：網絡設備，主機設備，安全設備，監控設備等）、軟件資產（操作系統，數據庫，應用程序等）、數據資產（業務數據、網絡系統、主機數據，應用程序數據等）以及網站系統的技術人員等。第三章 角色和責任本制度適用于XXXX市場的網絡維護人員、系統維護人員、信息安全員及安全審計員等角色閱讀。本制度由信息管理處修改和維護。第四章 各安全崗位管理制度第一部分 網絡安全維護管理制度1. 網站系統的所有網絡設備（包括交換機、路由器、防火墻、IDS以及其他網絡設備）應由專職網絡維護人員負責管理，定期檢查設備的物理環境，并按照機房物理安全要求進行維護。2. 網絡維護人員應對所有網絡設備進行資產登記，登記記錄上應該標明硬件型號，廠家，操作系統版本，已安裝的補丁程序號，安裝和升級的時間等內容。3. 網絡維護人員應至少每天1次，對所有網絡設備進行檢查，確保各設備都能正常工作。4. 網絡維護人員應制定網絡設備用戶賬號的管理制度，對各個網絡設備上擁有用戶賬號的人員、權限以及賬號的認證和管理方式做出明確規定。5. 網絡維護人員應制訂網絡設備用戶賬號口令的管理策略，對口令的選取、組成、長度、保存、修改周期以及存儲做出規定；禁止使用名字、姓氏、電話號碼、生日等容易猜測的字符作為口令，也不應使用單個單詞或命令作為口令，組成口令的字符應包含大小寫英文字母、數字、標點、控制字符等，口令長度要求在8位以上；不應將口令存放在個人計算機文件中，或寫到容易被其它人獲取的地方；對于重要的網絡設備，要求至少每個月修改一次口令，或者使用一次性口令設備；若掌握口令的管理人員調離本職工作時，必須立即更改所有相關口令；用戶賬號口令應以加密方式存儲，如MD5方式。6. 嚴格禁止非網絡管理人員直接進入網絡設備進行操作，若在特殊情況下（如系統維修、升級等）需要外部人員（主要是指廠家技術工程師、非本系統技術工程師、安全管理員等）進入網絡設備進行操作時，必須由網絡管理員登錄，并對操作全過程進行記錄備案。禁止將系統用戶賬號及口令直接交給外部人員，在緊急情況下需要為外部人員開放臨時賬號時，必須向信息管理處相關領導申請，在申請中寫明開放臨時賬號的原因、時間、期限、對外部人員操作的監控方法、負責開放和注銷臨時賬號的人員等內容，并嚴格根據安全管理機構的批復進行臨時賬號的開放、注銷、監控，并記錄備案。7. 網絡維護人員應盡可能減少網絡設備的管理方式，例如Telnet、web、SNMP等；如果的確需要進行遠程管理，應使用SSH代替Telnet，使用HTTPS代替HTTP，并且限定遠程登錄的超時時間，遠程管理的用戶數量，遠程管理的終端IP地址，同時按照“網絡安全配置管理策略”中的規定進行嚴格的身份認證和訪問權限的授予，并在配置完后，立刻關閉此類遠程連接；應盡可能避免使用SNMP協議進行管理，如果的確需要，應使用V3版本替代V1、V2版本，并啟用MD5等驗證功能；進行遠程管理時，應設置控制口和遠程登錄口的超時時間，讓控制口和遠程登錄口在空閑一定時間后自動斷開。8. 網絡維護人員應及時監視、收集網絡以及安全設備生產廠商公布的軟件以及補丁更新，要求下載補丁程序的站點必須是相應的官方站點，并對更新軟件或補丁進行評測，在獲得信息管理處領導的批準下，對生產環境實施軟件更新或者補丁安裝。9. 軟件更新或者補丁安裝應盡量安排在非業務繁忙時段進行。操作必須由兩人以上完成，由一人監督，另一人進行實際操作，并在升級（或修補）前后做好數據和軟件的備份工作，同時將整個過程記錄備案。10. 軟件更新或者補丁安裝后網絡維護人員應重新對系統進行安全設置，并進行系統的安全檢查。11. 網絡維護人員應及時報告任何已知的或可疑的信息安全問題、違規行為或緊急安全事件，并在采取適當措施的同時，應向信息管理處領導報告細節；并不得試圖干擾、防止、阻礙或勸阻其他員工報告此類事件；同時禁止以任何形式報復報告或調查此類事件的個人。12. 網絡維護人員應定期提交安全事件和相關問題的管理報告，以備領導檢查。13. 網絡維護人員應制訂網絡設備日志的管理制定，對于日志功能的啟用，日志記錄的內容，日志的管理形式，日志的審查分析做明確的規定。對于重要網絡設備，應建立集中的日志管理服務器，實現對重要網絡設備日志的統一管理，以利于對網絡設備日志的審查分析。14. 網絡維護人員應保證各設備的系統日志處于運行狀態，并每兩周對日志做一次全面的分析，對登錄的用戶、登錄時間、所做的配置和操作做檢查，在發現有異常的現象時應及時向信息安全工作組報告。15. 網絡維護人員應通過各種手段監控網絡的流量狀況，當突發異常流量時，應立即上報信息安全工作組，并同時采取適當控制措施，并記錄備案。16. 網絡維護人員應至少每年1次對整個網絡進行風險評估。17. 網絡維護人員應至少每年1次對整個網絡進行災難影響分析，并進行災難恢復演習。第二部分 系統安全維護管理制度1. 所有主機設備應由系統維護人員負責管理，定期檢查服務器主機的物理環境，并按照相關物理安全要求進行維護。2. 系統維護人員應對所有主機設備進行資產登記，登記記錄上應該標明硬件型號，廠家，操作系統版本，已安裝的補丁程序號，安裝和升級的時間等內容。3. 系統維護人員應至少每天1次，對所有主機設備進行檢查，確保各設備都能正常工作。4. 系統維護人員應對各個主機設備上擁有用戶賬號的人員、權限以及賬號的認證和管理方式做出明確定義，并定期進行審查，在發現有可疑的用戶賬號時進行核實并采取相應的措施。5. 在用戶權限的設置時應遵循最小授權和權限分割的原則，只給系統用戶、數據庫系統用戶或其它應用系統用戶授予業務所需的最小權限，應禁止為所管理主機系統無關的人員提供主機系統用戶賬號，并且關閉一切不需要的系統賬號。對兩個月以上不使用的用戶賬號進行鎖定。同時對主機設備中所有用戶賬號進行登記備案。6. 系統維護人員應制訂主機系統的帳戶口令管理策略，對口令的選取、組成、長度、保存、修改周期做出規定。禁止使用名字、姓氏、電話號碼、生日等容易猜測的字符作為口令，也不要使用單個單詞或命令作為口令，組成口令的字符應包含大小寫英文字母、數字、標點、控制字符等，口令長度要求在8位以上。不應將口令存放在個人計算機文件中，或寫到容易被其它人獲取的地方。口令文件（如：系統中的/etc/shadow）及其所有拷貝的訪問權限應該嚴格限制為超級用戶可讀，并且定期檢查。對于重要的主機系統，要求至少每個月修改一次口令，或者使用一次性口令設備；對于管理用的工作站和個人計算機，要求至少每兩個月修改一次口令。若掌握口令的管理人員調離本職工作時，必須立即更改所有相關口令；用戶賬號口令應以加密方式存儲，如MD5方式。7. 系統維護人員應定期利用口令破解軟件進行口令模擬破解測試，在發現脆弱性口令后及時采取強制性的補救修改措施。8. 嚴格禁止非本維護管理人員直接進入主機設備進行操作，若在特殊情況下（如系統維修、升級等）需要外部人員（主要是指廠家技術工程師、非本系統技術工程師、安全管理員等）進入主機設備進行操作時，必須由系統管理員登錄，并對操作全過程進行記錄備案。禁止將系統用戶賬號及口令直接交給外部人員，在緊急情況下需要為外部人員開放臨時賬號時，必須向信息管理處相關領導申請，在申請中寫明開放臨時賬號的原因、時間、期限、對外部人員操作的監控方法、負責開放和注銷臨時賬號的人員等內容，并嚴格根據主管領導的批復進行臨時賬號的開放、注銷、監控，并記錄備案。9. 系統軟件安裝之后，系統維護人員應立即進行備份；在后續使用過程中，在系統軟件的變更以及配置的修改之前和之后，也應立即進行備份工作。10. 嚴禁隨意安裝、卸載系統組件和驅動程序，如確實需要，應及時評測可能由此帶來的影響，并需要獲得主管領導的批準。11. 系統維護人員應制定軟件使用制度，禁止在服務器系統上禁止安裝與該服務器所提供服務和應用無關的其它軟件。12. 系統維護人員應制定重要主機系統的安全使用制度，禁止在重要的主機系統上瀏覽外部網站網頁、接收電子郵件、編輯文檔以及進行與主機系統維護無關的其它操作。如果需要安裝補丁程序，補丁程序必須通過日常維護管理用的工作站或PC機進行下載，然后再移到相應的主機系統安裝。13. 禁止主機系統上開放具有“寫”權限的共享目錄，如果確實必要，可臨時開放，但要設置強共享口令，并在使用完之后立刻取消共享。14. 系統維護人員應禁止不被系統明確使用的服務、協議和設備的特性，避免使用不安全的服務，例如：SNMP、RPC、Telnet、Finger、Echo、Chargen、Remote Registry、Time、NIS、NFS、R系列服務等。15. 系統維護人員應嚴格控制重要文件的許可權和擁有權，重要的數據應當加密存放在主機上，取消匿名FTP訪問，并合理使用信任關系。16. 系統維護人員應及時監視、收集主機設備操作系統生產廠商公布的軟件以及補丁更新，要求下載補丁程序的站點必須是相應的官方站點，并對更新軟件或補丁進行評測，在獲得主管領導的批準下，再實施軟件更新或者補丁安裝。17. 軟件更新或者補丁安裝應盡量安排在非業務繁忙時段進行。操作必須由兩人以上完成，由一人監督，另一人進行實際操作，并在升級（或修補）前后做好數據和軟件的備份工作，同時將整個過程記錄備案。18. 軟件更新或者補丁安裝后應重新對系統進行安全設置，并進行系統的安全檢查。19. 系統維護人員應及時報告任何已知的或可疑的信息安全問題、違規行為或緊急安全事件，并在采取適當措施的同時，應向主管領導報告細節；并不得試圖干擾、防止、阻礙或勸阻其他員工報告此類事件；同時禁止以任何形式報復報告或調查此類事件的個人。20. 系統維護人員應制訂主機設備日志的管理制定，對于日志功能的啟用，日志記錄的內容，日志的管理形式，日志的審查分析做明確的規定。對于重要主機設備，應建立集中的日志管理服務器，實現對重要主機設備日志的統一管理，以利于對主機設備日志的審查分析。21. 系統維護人員應保證各主機設備的系統日志處于運行狀態，并每兩周對日志做一次全面的分析，對登錄的用戶、登錄時間、所做的配置和操作做檢查，在發現有異常的現象時應及時向信息安全工作組報告。22. 系統維護人員應定期進行安全漏洞掃描和病毒查殺工作，平均頻率應不低于每2周一次，重大安全漏洞發布后，應在3個工作日內進行；并且為了防止網絡安全掃描以及病毒查殺對網絡性能造成影響，應根據業務的實際情況對掃描時間做出規定，應一般安排在非業務繁忙時段；當發現主機設備上存在病毒、異常開放的服務或者開放的服務存在安全漏洞時應及時上報主管領導，并采取相應措施。23. 系統維護人員應通過各種手段監控主機系統的CPU利用率，進程，內存和啟動腳本等的使用狀況，在發現異常系統進程或者系統進程數量異常變化時，或者CPU利用率，內存占用量等突然異常時，應立即上報主管領導，并同時采取適當控制措施，并記錄備案。24. 當主機系統出現以下現象之一時，系統維護人員必須進行安全問題的報告和診斷：l 系統中出現異常系統進程或者系統進程數量有異常變化。l 系統突然不明原因的性能下降。l 系統不明原因的重新啟動。l 系統崩潰，不能正常啟動。l 系統中出現異常的系統賬號。l 系統賬號口令突然失控。l 系統賬號權限發生不明變化。l 系統出現來源不明的文件。l 系統中文件出現不明原因的改動。l 系統時鐘出現不明原因的改變。l 系統日志中出現非正常時間系統登錄，或有不明IP地址的系統登錄。l 發現系統不明原因的在掃描網絡上其它主機。25. 系統維護人員對主機系統進行維護管理應編寫運行維護的日報、周報、月報和年報。26. 主機的備份分兩種，一種是數據的備份，另一種是系統配置的備份。網站系統維護人員需要作數據備份的服務器為：數據庫主機、電子郵件服務器、WWW主機等。所有主機均應有較詳細的系統配置的備份，以便系統的恢復。重要數據應定期進行0級備份和增量備份，并妥善保存存儲介質。鑒于現在網絡的主機和備份介質，建議采用如下備份計劃：l 每月做一次系統0級備份；l 每周做一次增量備份；l 每個服務器至少保持最近的三個月的系統和數據備份。第三部分 信息安全部門崗位管理制度一、信息安全員的職責信息安全員主要負責信息網絡系統的信息安全和保密信息的管理。其主要職責是：（1）負責涉密信息網信息安全，監督檢查涉密信息的報送、接受和傳輸的安全性；（2）負責監督檢查信息網對外發布的信息，保證符合安全保密規定；（3）負責監督檢查各部門的涉密信息安全保密措施，防止泄密事件的發生；（4）負責監督檢查信息網對國際互聯網上國家禁止的網站的非法訪問記有害信息的侵入；（5）負責協助有關部門對網絡泄密事件進行調查與技術分析。二、系統安全員的職責系統安全員主要負責信息網操作系統及服務器操作系統的安全及管理。其主要職責是：（1）負責信息網操作系統及服務器操作系統的安裝、運行和維護、管理，保障系統的安全穩定地運行。（2）負責對用戶的身份進行驗證，防止非法用戶進入系統；（3）負責用戶的口令管理，建立口令管理規程和檢驗創建賬戶機制，避免口令泄露；（4）負責實時監控系統，發現異常現象及時采取措施，恢復系統正常運行狀態；（5）負責對系統各種硬軟件資源的合理分配和科學使用，避免造成系統資源的浪費。 三、安全管理員的職責安全管理員主要負責信息網絡系統的安全保密工作。其主要職責是：（1）負責信息網絡系統及其網絡安全保密系統的運行于維護，發現故障及時排除，保障系統安全可靠運行；（2）負責配置和管理訪問控制表，根據安全需求為各用戶配置相應的訪問權限；（3）負責網絡審計系統的管理和維護，認真記錄、檢查和保管審計日志；（4）負責檢查系統的安全漏洞和隱患，發現安全隱患及時進行修復或提出改進意見；（5）負責實時對系統進行非法入侵檢測，防止和阻止“黑客”入侵。 四、設備安全員的職責設備安全員負責對專用計算機安全保密設備（防火墻、加密機、干擾儀等）的管理、使用和維護。其主要職責是：（1）負責設備的領用和保管，做好設備的領用、進出庫、報廢登記；（2）負責設備的正確使用和安全運行，并建立詳細的運行日志；（3）負責設備的清潔和定期的保養維護，并做好維護記錄；（4）負責設備的維修，制定設備的維修計劃，做好設備維修記錄；（5）負責對安全保密設備密鑰的管理。五、數據庫安全員的職責數據庫安全員負責數據庫管理系統的安全及維護管理工作。其主要管理職責是：（1）負責數據庫管理系統的安裝、備份與維護，保證系統安全、正常運行；（2）負責定期檢查系統運行情況，檢測并優化系統性能；（3）負責檢查數據庫系統的用戶權限，防止非法用戶的入侵和越權訪問；（4）負責定期檢查數據庫數據的完整性和可用性，發現系統故障及時排除，做好系統恢復。 六、數據安全員的職責數據安全員負責信息網絡中運行數據的安全。其主要職責是：（1）負責信息網絡數據的安全，保障信息的保密性、完整性和可用性；（2）負責對信息網絡數據備份與災難恢復系統的維護與管理，實時對重要數據進行安全備份；（3）負責對信息采集、傳輸及存儲的技術手段和工作環境以及介質管理各環節的監督檢查，發現問題及漏洞及時解決；（4）負責定期對重要數據存儲備份介質的檢查，防止數據的丟失或被破壞。 七、防病毒安全員的職責防病毒安全員負責信息網絡系統的計算機病毒的防護工作。其主要職責是：（1）負責計算機防病毒軟件的購置、保管、發放、升級和安裝；（2）負責信息網絡系統的計算機病毒的防護，在病毒發作日前及時發布公告，并采取必要的預防措施；（3）負責定期對信息網絡系統進行病毒檢測，發現系統被計算機病毒感染，及時組織清毒、消毒；（4）負責計算機病毒防護知識的宣傳教育工作。 八、機房安全員的職責機房安全員負責計算機機房的安全與管理。其主要職責是：（1）負責計算機機房的防火、防水、防靜電、防雷擊和防輻射等安全設施的管理；（2）負責對計算機機房的內部裝修，落實電磁波防護等技術規范與技術要求；（3）負責計算機機房配電系統、空調系統的維護與管理；（4）負責計算機機房的進出口的控制機監控系統和門禁系統的維護與管理；（5）負責對本單位計算機機房及所屬各部門計算機機房安全性的檢查，發現問題或隱患及時提出整改意見和書面報告。第四部分 審計部門崗位管理制度一、審計部部門職責1、內部審計部門應當履行以下基本職責：（1）對本公司各內部機構、控股子公司以及具有重大影響的參股公司的內部控制制度的完整性、合理性及其實施的有效性進行檢查和評估；（2）對本公司各內部機構、控股子公司以及具