弋陽縣數(shù)據(jù)共享安全保障機制 

系統(tǒng)環(huán)境安全管理 

1.1 物理環(huán)境安全管理 

1.1.1 應(yīng)指定市級共享平臺負責機房安全，并配備機房安全管理人員，對機房的出入、服務(wù)器的開機或關(guān)機等工作進行管理。 

1.1.2 應(yīng)建立機房安全管理制度，對機房人員訪問、物品帶進帶出、機房環(huán)境安全等方面的管理作出明確規(guī)定。 

1.1.3 應(yīng)安排專門的人員對機房環(huán)境（機房供配電、空調(diào)、溫濕度控制等）、設(shè)備、設(shè)施進行日常維護管理。 

1.1.4 應(yīng)對機房的出入口配備電子門鎖或門禁系統(tǒng)。 

1.1.5 應(yīng)加強對機房環(huán)境的保密性管理，加強對機房管理人員的安全培訓。 

1.1.6 應(yīng)編制并保存系統(tǒng)相關(guān)的資產(chǎn)清單，清單內(nèi)容包括資產(chǎn)責任部門、重要程度和所處位置等。落實系統(tǒng)資產(chǎn)管理的責任部門或責任人員，并規(guī)范資產(chǎn)管理和使用的行為。根據(jù)資產(chǎn)的重要程度對資產(chǎn)進行標識管理，根據(jù)資產(chǎn)的價值配套相應(yīng)的管理措施。 

1.1.7 應(yīng)根據(jù)數(shù)據(jù)備份的需要對某些介質(zhì)實行異地存儲，存儲地的環(huán)境要求和管理方法應(yīng)與本地相同。 

2.2 網(wǎng)絡(luò)環(huán)境安全管理 

2.2.1 應(yīng)建立系統(tǒng)網(wǎng)絡(luò)安全管理制度。 

2.2.2 應(yīng)合理劃分系統(tǒng)網(wǎng)絡(luò)安全區(qū)域，對服務(wù)器、用戶接入層、互連互通、安全服務(wù)設(shè)置安全域。 

2.2.3 各安全域邊界應(yīng)設(shè)置防火墻、入侵檢測等邊界防護設(shè)備，并配置嚴格的安全策略限制其互訪。 

2.2.4 服務(wù)器安全域與用戶安全域應(yīng)嚴格剝離。 

2.2.5 用戶接入層安全域應(yīng)對用戶進行實名制入網(wǎng)接入。

2.2.6 應(yīng)定期對系統(tǒng)網(wǎng)絡(luò)進行漏洞掃描，并對發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)安全漏洞進行及時修補。 

2.2.7 應(yīng)依據(jù)安全規(guī)定，判斷便攜式和移動式設(shè)備的網(wǎng)絡(luò)接入。 

2.2.8 應(yīng)對通信線路、主機、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件的運行狀況、網(wǎng)絡(luò)流量、用戶行為等進行監(jiān)測和報警，形成記錄并妥善保存。 

3.3 軟件運行安全管理 

3.3.1 應(yīng)指定專人對市級共享平臺系統(tǒng)進行管理，負責運行日志、網(wǎng)絡(luò)監(jiān)控、日常維護和報警信息分析、處理工作。 

3.3.2 應(yīng)及時升級系統(tǒng)軟件的新版本，并在升級前對現(xiàn)有版本進行備份。 

3.3.3 應(yīng)保證所有與外部系統(tǒng)的連接均得到授權(quán)和批準。

3.3.4 應(yīng)根據(jù)業(yè)務(wù)需求和系統(tǒng)安全分析確定系統(tǒng)的訪問控制策略。 

3.3.5 應(yīng)定期對系統(tǒng)進行漏洞掃描，對發(fā)現(xiàn)的系統(tǒng)安全漏洞及時進行修補。 

3.3.6 應(yīng)對系統(tǒng)安全策略、安全配置、日志管理和日常操作流程等方面作出具體規(guī)定。 

3.3.7 應(yīng)劃分系統(tǒng)管理員角色，明確各個角色的權(quán)限、責任和風險，權(quán)限設(shè)定應(yīng)當遵循最小授權(quán)原則。 

3.3.8 應(yīng)識別需要定期備份的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件程序等。 

3.3.9 應(yīng)建立備份與恢復管理相關(guān)的安全管理制度，對備份方式、備份頻率、存儲介質(zhì)和保存期等進行規(guī)范。 

3.3.10 應(yīng)依據(jù)操作手冊對系統(tǒng)進行維護，詳細記錄操作日志，包括重要的日常操作、運行維護記錄、參數(shù)的設(shè)置和修改等內(nèi)容，嚴禁進行未經(jīng)授權(quán)的操作。 

3.3.11 應(yīng)具有較高的防病毒意識，及時更新防病毒軟件版本，在讀取移動存儲設(shè)備上的數(shù)據(jù)以及網(wǎng)絡(luò)上接收文件或郵件之前，應(yīng)先進行病毒檢查，對外來計算機或存儲設(shè)備接入網(wǎng)絡(luò)系統(tǒng)之前也應(yīng)進行病毒檢查。 

3.3.12 應(yīng)對網(wǎng)絡(luò)和主機進行惡意代碼檢測并保存檢測記錄，對防惡意代碼軟件的授權(quán)使用、惡意代碼庫升級、定期匯報等作出明確規(guī)定。 

3.3.13 應(yīng)建立密碼使用管理制度，使用符合國家密碼管理規(guī)定的密碼技術(shù)和產(chǎn)品。 

4.4 人員安全管理 

4.4.1 應(yīng)對系統(tǒng)管理人員入職進行背景調(diào)查。 

4.4.2 應(yīng)系統(tǒng)管理人員簽訂保密協(xié)議，加強安全管理制度和安全意識教育等相關(guān)內(nèi)容。 

4.4.3 應(yīng)對系統(tǒng)管理人員進行信息安全意識和技能培訓，進行安全意識與基本技能考試。對關(guān)鍵崗位采取定期輪崗、雙人操作等措施，做到關(guān)鍵崗位人員和安全操作風險可控。4.4.4 管理人員崗位調(diào)動時，應(yīng)及時處理其在系統(tǒng)內(nèi)的賬號（賬號權(quán)限的調(diào)整、變更和注銷等），并對處理情況進行審核、檢查。 

4.4.5 管理人員離職時，應(yīng)依照其簽署的保密協(xié)議審核其脫密期，并明確告知其在離職后的系統(tǒng)信息安全保密責任，接觸敏感信息的員工必須明確其脫密期。 

5.5 應(yīng)急預案管理 

5.5.1 應(yīng)制定專門應(yīng)急處置預案，包括啟動應(yīng)急預案的條件、應(yīng)急處理流程、系統(tǒng)恢復流程、事后教育和培訓等內(nèi)容。 

5.5.2 應(yīng)從人力、設(shè)備、技術(shù)和財務(wù)等方面確保應(yīng)急預案的執(zhí)行有足夠的資源保障。 

5.5.3 應(yīng)對系統(tǒng)相關(guān)的人員至少每年舉辦一次應(yīng)急預案培訓。 

5.5.4 應(yīng)定期對應(yīng)急預案進行演練，根據(jù)不同的應(yīng)急演練科目內(nèi)容，確定演練周期。 

5.5.5 應(yīng)對應(yīng)急預案內(nèi)容定期審查和根據(jù)實際情況適時更新，并嚴格按照執(zhí)行。 

6.6 安全事件處置 

6.6.1 應(yīng)報告所發(fā)現(xiàn)的安全弱點和可疑事件，但任何情況下均不應(yīng)嘗試驗證弱點。 

6.6.2 應(yīng)制定安全事件報告和處置管理制度，明確安全事件的類型，規(guī)定安全事件的現(xiàn)場處置、事件報告和后期恢復的管理職責。 

6.6.3 應(yīng)根據(jù)國家相關(guān)管理部門對計算機安全事件等級劃分方法和安全事件對本系統(tǒng)產(chǎn)生的影響，對本系統(tǒng)計算機安全事件進行等級劃分。 

6.6.4 應(yīng)制定安全事件報告和響應(yīng)處置程序，確定事件的報告流程，響應(yīng)和處置的范圍、程度，以及處置方法等。 

6.6.5 應(yīng)在安全事件報告和響應(yīng)處置過程中，分析和鑒定事件產(chǎn)生的原因，收集證據(jù)，記錄處置過程，總結(jié)經(jīng)驗教訓，制定防止再次發(fā)生的補救措施，過程形成的所有文件和記錄均應(yīng)妥善保存。 

6.6.6 對造成系統(tǒng)中斷和造成信息泄密的安全事件應(yīng)采用不同的處置程序和報告程序。 

政務(wù)信息資源庫安全管理 

2.1 概述 

政務(wù)信息資源庫安全管理主要包括數(shù)據(jù)完整性、數(shù)據(jù)保密性、備份和恢復等安全檢查和措施。 

2.2 數(shù)據(jù)完整性 

2.2.1 應(yīng)能夠檢測政務(wù)信息資源庫的系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸、存儲過程中完整性受到破壞，并在檢測到完整性錯誤時采取必要的恢復措施。 

2.3 數(shù)據(jù)保密性 

2.3.1 應(yīng)采用加密或其他有效保護措施，實現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸、存儲過程中的保密性。 

2.4 備份和恢復 

2.4.1 應(yīng)提供本地數(shù)據(jù)備份與恢復功能，完全數(shù)據(jù)備份至少每天一次，備份介質(zhì)場外存放。 

2.4.2 應(yīng)提供異地數(shù)據(jù)備份功能，利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時批量傳送至備用場地。 

2.4.3 應(yīng)采用冗余技術(shù)設(shè)計網(wǎng)絡(luò)拓撲結(jié)構(gòu)，避免關(guān)鍵節(jié)點存在單點故障。 

2.4.4 應(yīng)提供主要網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余，保證系統(tǒng)的高可用性。 

數(shù)據(jù)前置機安全管理 

3.1 概述 

政務(wù)信息資源數(shù)據(jù)前置機（以下稱“前置機”）安全管理主要包括結(jié)構(gòu)安全、訪問控制、安全審計、邊界完整性檢查、入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)備防護等安全措施。 

3.2 結(jié)構(gòu)安全 

3.2.1 應(yīng)保證前置機網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要。 

3.2.2 應(yīng)保證前置機網(wǎng)絡(luò)各個部分的帶寬滿足業(yè)務(wù)高峰期需要。 

3.2.3 應(yīng)在前置機與市級共享平臺服務(wù)器之間進行路由控制，建立安全的訪問路徑 

3.2.4 應(yīng)繪制前置機與當前運行情況相符的網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖； 

3.2.5 應(yīng)根據(jù)政務(wù)部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同前置機子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段。 

3.2.6 應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段。 

3.2.7 應(yīng)按照對業(yè)務(wù)服務(wù)的重要次序來指定帶寬分配優(yōu)先級別，保證在網(wǎng)絡(luò)發(fā)生擁堵時優(yōu)先保護重要主機。