1策略_系統(tǒng)版本號2版本控制修訂人修訂時間版本號修訂內容說明123 4 4 4 4 4 5 5 6 7 8 9 9 9 9 10 11 11本策略為信息安全管理制度中的信息保護制度部分。為了加強信息系統(tǒng)的信息安全管理，建立健全公司各信息系 ,提高整體的安全水平，保證網(wǎng)絡通信暢通和信息系統(tǒng)的正常運營，提高網(wǎng)絡服務質量，特制定本策略。主要讀者為：產(chǎn)品部；研發(fā)部；測試部；IT部；客戶服務部部。1.信息（Information以任何形式存在或傳播的對公司具有價值的內容，包括電子信息、紙質數(shù)據(jù)文件、語音圖像等。信息安全關注的是信息的保密性、可用性和完整性。2.信息資產(chǎn)（InformationAssets任何對公司業(yè)務具有價值的信息存在形式或者載體，包括計算機硬件、通信設施、IT環(huán)境、數(shù)據(jù)庫、軟件、文檔資料、信息服務和人員等，所有這些資產(chǎn)都需要妥善保護。3.信息安全（InformationSecurity）:保護信息的保密性、完整性和可用性。4.保密性（Confidentiality）:確保信息只被授權人員訪問。5.完整性（Integrity）:保證信息不被非授權竄改或不恰當改動。6.可用性（Availability）:保證信息能夠被授權用戶在需要時訪問。邏輯范圍：本策略邏輯范圍包括生產(chǎn)系統(tǒng)及內部辦公網(wǎng)絡等信息系統(tǒng)的物理資產(chǎn)、軟件資產(chǎn)、數(shù)據(jù)資產(chǎn)、服務資產(chǎn)等。本策略涉及的工作包括了對所有上述系統(tǒng)的保密性、完整性和可用性的安全管理工作。物理范圍：本策略物理范圍包括整個公司和IDC數(shù)據(jù)中心環(huán)火墻規(guī)則。應至少每六個月由系統(tǒng)部經(jīng)理檢查審核全部防火墻和路行記錄。通過防火墻和路由器的配置，嚴格限制不信任網(wǎng)絡與任何受保護統(tǒng)組件的連接。應確認路由器配置文件進行了保護和同步，例如運行配路由器運行）和啟動配置文件（當機器重新啟動時使用）有相同的安全配置。在任何無線網(wǎng)絡和持卡人數(shù)據(jù)環(huán)境之間安裝外圍防火墻，并且將這些防火墻配置為禁止或控制（如果業(yè)務目的需要這樣的流量）從無線環(huán)境數(shù)據(jù)環(huán)境的任何流量。應實施DMZ，以保護持卡人數(shù)據(jù)環(huán)境，只允許必要的協(xié)議流量通過。應確認所有不必要的進出流量都是明確禁止的，例如（Denyall）”規(guī)則禁止所有流量，然后只打開允許的通過。不允許Internet和持卡人數(shù)據(jù)環(huán)境之間進出流量的任何直接路由。應實施狀態(tài)檢測，即動態(tài)包過濾。（也就是只有建“立”關鍵數(shù)據(jù)庫應放置在內部網(wǎng)絡區(qū)域，不允許放置在規(guī)定的網(wǎng)段。使用網(wǎng)絡地址轉譯(NAT)技術，）：加密密鑰在安裝時更改默認值，并且確保在任何知道密鑰的人離開公司或改變崗位的時候能夠隨時更改；更改無線設備上的默認SNMPcomm更改訪問點上的默認密碼/口令（參見《加密策略》）；升級無線設備上的固件，以支持無線網(wǎng)絡上的嚴格認證和傳輸加密（例如應保證網(wǎng)絡拓撲結構圖最新且完整，包括所有的無線連的所有連接，如銀行、卡品牌、商戶等連接。運營商訪問存在的性能問題；在網(wǎng)絡出口布置防火墻與防攻擊系），增加系統(tǒng)的安全性。互聯(lián)網(wǎng)用戶在訪問公司主頁時，需要先訪問GTM/DNSISG1000防火墻的過慮，符合訪問規(guī)則的是：用戶-ISG1000防火墻-應用服務器。議、端口；只有符合策略的，才能允許相應的應用服務器訪問數(shù)據(jù)庫。通過專線與銀行進行業(yè)務交互。接；銀行、商戶或服務提供商的連接）以及更改防火墻和下：由系統(tǒng)部收集書面需求，制訂策略，并書面遞交安全負責人確認，由安全負責人召集系統(tǒng)、運營以及開發(fā)團隊會議，分析討一階段（在測試環(huán)境進行）實驗時間表。由系統(tǒng)部按照時間表和會議書面確定的策略進行第一階段實驗，實驗后，由安全負責人召集系統(tǒng)、運營以及開發(fā)團隊會議，房的第二階段實驗。在進行的第一階段實驗完成后，由系統(tǒng)部按照時間表和會議書面確定的策統(tǒng)、運營以及開發(fā)團隊會議，決定是否需要調整策8策略可以上線并進入生產(chǎn)環(huán)境的實施流程。按照會議的書面實施流程，由系統(tǒng)部實施上線，運營和技術開發(fā)進行測試，完交風險總監(jiān)。網(wǎng)絡連接的測試內容包括但不限于性能測試、壓力測試、穩(wěn)定性測試。運行過程中任何變更應遵從本流程。系統(tǒng)管理相應的角色及職責定義如下：服務器應用硬件維護；包括日常監(jiān)控、-應用程序和服務器管理和操作權限。師對數(shù)據(jù)庫進行管理，負責DB2數(shù)據(jù)庫應用系統(tǒng)的運營及監(jiān)控。數(shù)據(jù)庫系統(tǒng)的管理和維護權限。保證公司辦公環(huán)境持續(xù)穩(wěn)定運營（包含服務器及客戶端）；建立完善的辦公環(huán)境網(wǎng)絡結構并持續(xù)改進網(wǎng)絡安全；網(wǎng)絡設備（包括交換機、路由器和防火墻等）的管理權限。監(jiān)全面負責公司運維項目的系統(tǒng)升級、擴容需求與資源落實；配合開發(fā)需求，測試、調整運維平臺，提供優(yōu)化的網(wǎng)對上述角色的工作進行監(jiān)控和指導；對管理和運維中的日志進行審計；對于每項服務的安全功能必須按檢測防火墻和路由器配置標準進行記錄和實施。對于不安全的服務（如FTP需要純文本的用戶認證），必須進行改造和加XXX對互聯(lián)網(wǎng)放開的服務如下：對于互聯(lián)網(wǎng)到內網(wǎng)區(qū)的訪問，全部禁止。4個人網(wǎng)絡安全通過Internet直接連接的計算機上（例主機防火墻軟件。主機防火墻軟件配置為特定的標準，且用戶不得更改。火墻規(guī)則，用戶無法停用或者修改防火墻規(guī)則。所有員工使用的設備，必須得到網(wǎng)絡管理員審批通過后才能使用人設備安全策略》。在網(wǎng)絡上安裝系統(tǒng)以前，必須更改供應商提供的默認設置，包括密碼、簡單網(wǎng)絡管理協(xié)議(SNMP)機構字串，并刪除不必應明確路由器、防火墻和交換機等網(wǎng)絡組件上用于本地限。應明確路由器、防火墻和交換機等網(wǎng)絡組件的服務、協(xié)系統(tǒng)組件的服務和協(xié)議，確保只有業(yè)務需要才能開啟。確保刪除或禁用了在所有組件上不必要的功能或服務，如腳本性、子系統(tǒng)和文件等。參考業(yè)界公認的標準比如：SysAdminAuditNetworkSecurity(SNationalInstituteofStandardsTechnology(NIST)和Centerf進行系統(tǒng)配置。每臺服務器應只執(zhí)行了一項主要功能。例如，Web服務器、數(shù)據(jù)DNS應該在獨立的服務器上實施。禁用所有不必要和不安全的服務和協(xié)議（不直接需要用的服務和協(xié)議）。明確常用安全參數(shù)設置，從而合理地配置系統(tǒng)安全參數(shù)，以防止濫用。刪除所有不必要的功能，例如腳本、驅動程序、屬性、子系統(tǒng)和務。及各廠商的漏洞通過，并使用最新的安全評估工具進行內、外部弱點題。）；堡壘機，并通過堡壘機進行生產(chǎn)系統(tǒng)的訪問。對于辦公環(huán)境，遠程訪問時必須使用VPN進行鏈路的加所有遠程連接設備應配置為在15分鐘內不活動，自動中斷會通過遠程連接訪問持卡人數(shù)據(jù)，不允許復制、移動或存儲卡信息移動介質中。參見《訪問控制安全策略》和《介質安全管理策略》。所有系統(tǒng)組件上應實施訪問控制，并根據(jù)工作職責分配的必要性》。請，由后者基于最小化原則進行授權。授予權限后，第三方人員應在內僅對被授權的系統(tǒng)進行遠程訪問。在訪問過對加密、認證、數(shù)據(jù)保護等方面的安全要求，并且訪問的行為應受控。如果是共享托管提供商（SharedHostingProvid環(huán)境和持卡人數(shù)據(jù)。或Unix上使用的Kismet）檢測持卡人數(shù)據(jù)環(huán)境是如果發(fā)現(xiàn)未授權的無線設備，則按《應急響應計劃》中的方法進行處理。）：（如安裝新的系統(tǒng)組件、更改網(wǎng)絡拓撲、修改防火進行上述掃描。應由聘請外部安全專家或者由本公司安全部門每年執(zhí)行基于網(wǎng)絡層和應用層的外部和內部的滲透測試），并提供報告；相關掃描和滲透測試結果做出相應的調整。應使用并合理部署入侵檢測系統(tǒng)（IDS）或卡人數(shù)據(jù)環(huán)境中的所有流量并在發(fā)現(xiàn)可疑威脅時提醒員工。應及時更安全策略》。應在持卡人數(shù)據(jù)環(huán)境中使用文件完整性監(jiān)控產(chǎn)品。需要監(jiān)于：