xx大学系统上线前安全评估规范
第一章 总 则
第六十二条 为保障xx大学信息系统(以下简称“信息系统”)安全、稳定运行,为技术人员提供安全评估处理流程,确保网络系统安全可靠地运行,特制订此制度。
第六十三条 本规定适用于xx大学信息化建设与管理处及其指定的信息系统运维单位。
第二章 安全评估
第一节 目的
数据及信息集中是信息化的发展趋势,但大集中带来的风险也逐步增加。任何一个信息系统的安全缺陷,都可能成为入侵者的跳板进而入侵整个数据中心。为了确保所有信息系统安全防护等级在一定基线上,上线前的安全评估就突显其重要性。
上线前的安全评估就是准确发现系统的安全隐患及其可能危害的最好手段,通过评估可以全面了解信息系统的安全现状,为解决安全问题、降低安全事件发生的风险提供依据。
第二节 安全评估方式
在安全评估工作中,采用的方法主要为:人工访谈、工具扫描、手动检查、灰盒测试。
第六十四条 人工访谈
人工访谈主要是对业务系统需要评估部分来进行访谈,访谈对象主要是系统主管和系统管理员,会对访谈的内容做详细的纪要,以便作为评估的重要依据。
第六十五条 工具扫描
在评估项目中,安全扫描主要是通过评估工具以本地扫描的方式对评估范围内的系统和网络进行安全扫描,从内网和外网两个角度来查找网络结构、网络设备、服务器主机、数据库、和用户账号/口令等安全对象目标存在的安全风险、漏洞和威胁;通过internet对web页面进行安全扫描,从中发现是否存在安全风险、漏洞和威胁;
工具名称 风险
等级 主要用途 存在
风险描述 风险
控制方法
远程安全评估系统 低 对系统进行安全扫描并获取漏洞信息 对少数漏洞扫描时可能会引起服务不稳定 不使用危险代码和ddos选项
低 从网络对web页面进行安全扫描 无 无
第六十六条 手动检测
在此评估项目中,手动检测主要是对业务系统的设备进行配置安全检查。手工检测的安全评估内容主要包括:
系统是否配置最优,实现其最优功能和性能,保证网络系统的正常运行;
系统自身的保护机制是否实现;
系统的管理机制是否安全;
系统为网络提供的保护措施,且这些措施是否正常和正确;
系统是否定期升级或更新;
系统是否存在漏洞或后门;
第六十七条 灰盒测试
灰盒测试是在获取授权后,并且提供登陆权限和测试帐号,通过使用的人工和工具相结合的方法来进行实际的网页代码漏洞发现和利用的安全测试方法。这种测试方法可以非常有效的发现最严重的代码安全漏洞,尤其是与全面的代码审计相比,其使用的时间更短,也更有效率。通过对某些重点服务器进行准确、全面的测试,可以发现系统最脆弱的环节,以便对危害性严重的漏洞及时修补,以免后患。
实施步骤:
第一节 检查项目
上线前安全评估检查项目必选包括基线检查、安全扫描及漏洞评估,另外根据信息系统的类别分别选择web应用评估、网站压力测试、数据库安全评估及渗透测试。
第六十八条 基线核查
通过工具及人工结合的方式,检查上线前的操作系统、数据库及应用程序是否依最小化权限配置的原则进行。
第六十九条 安全扫描及漏洞评估
通过指定的安全扫描产品/工具对待上线的信息系统进行脆弱性评估,获得设备---漏洞对应及分布情况,并提供可操作的安全建议或临时解决办法。
安全扫描主要包括如下几个方面:
服务器主机系统安全漏洞检查(工具扫描);
数据库系统安全漏洞检查(工具扫描);
中间件安全漏洞检查(工具扫描);
网络设备漏洞检查(工具扫描);
安全设备漏洞检查(工具扫描);
服务器主机系统弱口令检查(工具扫描);
数据库系统弱口令检查(工具扫描);
中间件弱口令检查(工具扫描);
网络设备弱口令检查(工具扫描);
安全设备弱口令检查(工具扫描);
第七十条 web应用评估
xx大学信息系统大部份以web方式的提供,目前在互联网流行的攻击手段大部分也是web。针对web安全上线前安全扫描及评估尤其重要。
与传统的系统层面的评估不同,web应用评估更加注重“关联性”。
在传统的系统层评估中,评估方向以系统自身安全性和策略的完善程度作为主要的评估方向,目标仅在于揭露系统配置上的缺陷。
而在web应用评估中,除了需要关注系统层面的安全问题外,还需要关注系统组件及第三方应用程序设计的安全性。而在web站点中,安全问题也不再像系统安全问题那样只具备单一的层面,而是多个层面叠加产生,因此web安全评估还需要更加注重各个层面安全问题的关联性,将这些问题进行必要的关联分析后来确认web站点整体的风险。
从这方面来说,web安全评估从人力到技术等各个方面的投入都要大于传统的系统安全评估,而其所能发掘的问题也是多层面的。
第七十一条 网站压力测试
极端攻击模拟多个用户不停地进行访问那些需要大量数据操作的页面,直到一直到宕机崩溃或cpu长时间处于高峰值等极端情况,寻找使得网络拥塞,正常的访问被中止的极限点。该方法类似于cc攻击手段,从而检测抗拒绝服务系统、防火墙、入侵检测系统、服务器中存在的问题,查找网站系统的瓶颈,对硬件环境、系统设置等方面的调整来达到预期的性能目标,预防极端事件可能对信息系统带来的冲击。
第七十二条 渗透测试
通过引入安全公司的高技能和高素质的安全服务人员发起、并模拟常见黑客所使用的攻击手段对目标系统进行模拟入侵。
渗透测试服务的目的在于充分挖掘和暴露系统的弱点,从而让管理人员了解其系统所面临的威胁。渗透测试工作往往作为风险评估的一个重要环节,为风险评估提供重要的原始参考数据。
篇2:大学信息系统公共数据管理办法
大学信息系统公共数据管理办法
第一章 总则
第一条 为了加快学校数字校园建设的步伐,推动和规范公共数据的采集、管理、共享和维护,建立公共数据管理的长效机制,更好地为学校人才培养、科研研究、服务社会和文化传承创新提供服务,根据有关法律法规和规章制度,结合学校实际情况,制定本规定。
第二条 本管理办法所称的公共数据是指学校在教学、科研、管理和服务过程中,通过计算机信息系统采集、加工而产生的或计算机周边设备和外部系统输入的有价值的数字化信息,主要包括学校信息、教工信息、学生信息、教务信息、财务信息、资产信息、图书信息、招生信息、就业信息、业务工作信息等。
第三条 本管理办法所称的数据管理是指统筹、协调、部署、实施和检查监督学校信息系统的数据采集、数据传输、数据存储、数据的备份和恢复、数据维护、数据安全管理、数据的加工和使用等工作内容。
第四条 本管理办法适用于全校信息系统公共数据的采集、管理、共享和维护。
第二章 信息系统公共数据管理机构
第五条 公共数据属于学校的公共资源,各单位既是公共数据的建设者,也是使用者。各单位应按照学校的信息管理标准,对各自工作范围内的信息资源进行采集、管理和维护,并负有向其他具有共享权限的单位提供相关信息的责任。各单位可向其他单位申请获取所需信息,并对所获取的信息负有安全保密责任。
第六条 根据部门职责,各信息系统归口到相应职能部门进行管理。各职能部门对各自采集、管理和维护的系统数据的准确性和完整性负完全责任,并根据学校公共数据平台的需要提供权威数据来源。
第七条 学校现阶段各信息系统的权属单位及其主要管理职责如下:
(一)学校公共数据平台由xx大学网络安全和信息化领导小组领导,信息网络中心负责牵头实施,各相关部门共同建设完成。
(二)信息网络中心负责制定学校信息标准、数据接口标准及信息安全规程,负责建设和管理学校公共数据共享基础设施和信息门户,负责公共数据管理工作中各单位的组织与协调,以及相应的管理维护和技术保障。
(三)校办负责采集、管理和维护学院文书管理、流程管理、档案管理数据,通过协同办公系统(oa系统)接口向公共数据平台提供共享数据,并负责对各学院、各部门维护和使用协同办公系统的情况进行指导和检查、监督。
(四)人事处负责采集、管理和维护人事数据,通过接口向公共数据平台提供共享数据,并负责对各学院、各部门维护和使用系统的情况进行指导和检查、监督。
(五)教务处负责采集、管理和维护学校招生、新生入学以及教学工作中的其它各项数据,通过教务管理系统、网络教学平台等接口向公共数据平台提供共享数据,并负责对各学院、各部门维护和使用系统的情况进行指导和检查、监督。
(六)学生处负责采集、管理和维护学生工作以及毕业生离校的相关数据,通过学生工作管理系统接口向公共数据平台提供共享数据,并负责对各学院、各部门维护和使用系统的情况进行指导和检查、监督。
(七)财务处负责采集、管理和维护学校收费,通过收费系统接口向公共数据平台提供共享数据,并负责对各学院、各部门维护和使用系统的情况进行指导和检查、监督。
(八) 信息网络中心负责采集、管理和维护学生校内消费的各项数据,通过一卡通系统接口向公共数据平台提供共享数据,并负责对各学院、各部门维护和使用情况进行指导和检查、监督。
(九)国资处负责采集、管理和维护学校资产的各项数据,通过接口向公共数据平台提供共享数据,并负责对各学院、各部门维护和使用系统的情况进行指导和检查、监督。
(十)科技处负责采集、管理和维护学校科研管理的各项数据,通过接口向公共数据平台提供共享数据,并负责对各学院、各部门维护和使用系统的情况进行指导和检查、监督。
(十一)图书馆负责采集、管理和维护学校图书管理的各项数据,通过图书管理系统接口向公共数据平台提供共享数据,并负责对用户使用系统的情况进行指导和检查、监督。
(十二)宣传部负责采集、管理和维护学校对外宣传、新闻信息等的相关数据,通过接口向公共数据平台提供共享数据,并负责对各学校、各部门维护和使用系统的情况进行指导和检查、监督。
(十三)信息网络中心负责管理和维护学校公共服务器及公共网络应用系统数据,并通过接口向信息门户提供共享数据,并负责对用户使用系统的情况进行指导和检查、监督。
第三章 信息系统公共数据采集
第八条 xx大学网络安全和信息化领导小组按照统筹规划、统一组织的原则,明确各单位的信息采集职责,以保证数据源头的唯一性,避免重复采集、多头采集。
第九条 信息系统数据采集环节承担着数据的收集、录入工作,是保证数据真实性、准确性、完整性的基础,也是产生数据质量问题的主要源头。各级业务部门根据工作需要,提出拟采集的系统数据指标体系、具体内容和质量标准。各级系统管理员根据业务部门业务系统需要制订数据采集的格式、方法和步骤等,并定期向业务部门通报所采集数据的指标内容变化情况,以便业务部门根据采集指标提出数据加工需求。系统数据采集人员应强化数据质量意识, 熟练掌握正确的采集和审核方法,严格按照相关技术规范采集各类数据。各信息系统主管部门负责对数据质量及完整性进行检查,检查合格后方可入库。
第十条 系统数据采集工作主要集中在各业务系统的操作环节,为保证数据质量和采集及时性,各业务系统的数据录入应遵循及时性、完整性和准确性的原则,严格以原始资料为依据,做到数据真实无误,并且逻辑相符。
第十一条 系统数据采集应制订切实可行的核对制度,操作人员应及时将录入的数据与原始资料进行核对,对错误数据及时处理,确保数据质量。各业务系统的主管部门需制定相应数据采集规程,明确数据采集的及时期限与操作规程。
第四章 信息系统数据传输
第十二条 信息系统数据传输应当使用学校内部计算机网络完成,未经批准不得借助其它公共计算机网络平台进行数据传输。
第十三条 数据传输原则上由公共数据平台从各信息系统自动抽取,如因系统故障未能及时自动抽取的数据,经业务部门向信息网络中心提出书面申请后,可以通过移动介质进行数据传输。数据的发送方和接收方须履行严格的交接手续,以确保数据流转的严肃性。
第五章 信息系统数据的存储、备份和恢复
第十四条 各信息系统数据原则上由系统主管部门进行存储。
第十五条 各信息系统主管部门应加强对系统数据存储和备份的管理,定期对存储和备份的数据进行优化,以保障信息系统的正常运行,提高系统运行和数据处理的效率,并保存完整的历史数据。
第十六条 各信息系统主管部门应根据不同类型数据的更新频率、数据量、重要程度、保存时间,制定相应备份、恢复策略和操作规范。
第十七条 数据备份文件必须存储在非本机磁盘的其它介质中,并建立登记制度,由专人保管。备份介质必须保存在符合条件的环境中,重要数据应异地存放。数据备份文件应定期进行恢复测试,以确保所备份的数据能够及时、准确、完整地恢复。
第十八条 普通数据与保密数据要分开存放(保密数据只在保密室中存放,设专用电脑、移动硬盘和专柜存放),涉密电脑应单机使用,不得与互联网连接,不得安装无线网卡。存储保密数据的介质(如u盘、光盘、磁盘等)须在显眼位置标示密级标识(标明编号、密级、建立日期、保存期限、备份数等),建立案卷清单,并按有关规定进行管理。存放过保密数据的计算机媒体不能降低密级使用。
第六章 信息系统数据维护
第十九条 信息系统数据维护包括对系统数据中错误数据的修正、不完整数据的补充、垃圾数据的清理及历史数据的迁移、销毁等。
第二十条 各信息系统主管部门应结合各信息系统制定详细的数据维护工作制度,明确数据维护的权限、职责,严格按照工作制度进行数据维护。
第二十一条 实施数据维护之前应对数据做好相应备份工作,能够通过系统管理员处理的,由系统管理员按照操作规范进行维护;需要网络信息化职责部门协助处理的,由责任单位或责任人提出书面申请,按照相关运维规程进行处理。各部门应根据信息系统管理职责适时做好历史数据的迁移和归档工作,以提高信息系统的运行效率,确保历史信息的完整有效。
第二十一条 信息系统数据维护工作应严格备案,对每项数据维护的内容、时间、维护原因、责任人等进行详细记录,涉及的书面材料必须登记存档。
第二十二条 已经进入学校公共数据平台的数据,未经批准不得擅自修改、删除。确需修改、删除时,由数据权属单位提出书面申请(说明修改理由、依据和内容,并附修改方案),报业务系统主管校领导批准后以文件形式通知信息化领导小组办公室进行修改和删除。
第二十三条 对已过期确无保存价值的数据需销毁时,由数据管理人员提出数据销毁申请(并附销毁数据目录清单),经数据权属单位审核、主管领导审批和网络信息化职责部门核对确认后方可销毁。涉密数据销毁时,应依据保密法相关条例实施销毁。数据销毁时,必须填写“数据销毁目录”,并有两人以上在场和签名。数据销毁后,数据管理人员应及时整理销毁过程有关资料归档。
第七章 信息系统数据安全管理
第二十四条 数据安全管理的内容包括数据访问的身份验证、权限管理及数据的加密、保密、日志管理、网络安全等。
第二十五条 各业务系统的使用必须实行用户身份验证,各用户应注意对自己的用户名和密码进行管理,并定期或不定期修改登录密码。因用户名和密码管理不善导致学校信息泄密或造成其他损失的将追究相关责任人的行正责任和法律责任。
第二十六条 对数据库的管理实行数据库管理员制度,关键数据库管理岗位应设两人或两人以上。
第二十七条 对涉密数据的流转、存储,严格按照相关规定进行加密处理。
第二十八条 对各类数据应严格执行保密制度,不得泄露。
第二十九条 对数据的各项操作实行日志管理,严格监控操作过程,对发现的数据安全问题,要及时处理和上报。
第三十条 应切实加强网络安全管理,采取严格措施,做好计算机病毒的预防、检测、清除工作,防止针对基础网络和信息系统的各类攻击,保证数据传输和存储安全。
第八章 信息系统数据加工和使用
第三十一条 数据加工是指根据工作需要,用科学的方法对数据进行抽取、统计、挖掘,获得知识和规律,为学校科学管理和决策提供依据和参考。
第三十二条 数据加工包括:数据的抽取、集中、归类、比对、统计,并以报表、图形、文字等形式展现数据处理结果。
第三十三条 数据加工由网络信息化职责部门提供z6尊龙app官方网站的技术支持,业务部门有特殊需求时也可由网络信息化职责部门提供数据并由业务部门自行加工。业务部门提出的数据加工需求,由网络信息化职责部门就需求的可行性和规范性进行研究,根据具体情况提出修改和完善的意见,经主管领导及协调部门同意后,由网络信息化职责部门会同业务部门进行数据加工。
第三十四条 加强数据使用授权管理。网络信息化职责部门提供已集中的数据列表,各业务部门提出使用数据的意见,报分管校领导审批。网络信息化职责部门根据校领导批准的数据使用授权,进行数据使用权限配置。
第三十五条 数据使用单位和人员必须严格按照授权使用数据,负责管理本单位、本人口令,不得越权使用数据;不得采取任何方法破坏数据;对所使用的涉密数据负有保密责任;对外公布数据必须经数据权属部门和网络信息化职责部门共同审核,并报网络信息化职责部门分管校领导审批,未经批准不得擅自对外公布数据。
第三十六条 各信息系统主管部门和网络信息化职责部门应充分利用数据集中的优势,加强数据利用,不断提高学校管理和决策水平,并减轻基层单位统计和上报报表数据的工作负担。
第九章 考核和责任追究
第三十七条 信息系统数据管理是教育信息化和管理现代化的重要内容,各信息系统主管部门应根据本办法所涉及的内容制定具体的数据管理考核办法。
第三十八条 数据权属单位在数据生产、修改和更新过程中,不认真履行职责,造成数据失实的,追究有关人员责任;造成保密数据泄密的,追究有关人员法律责任。
第三十九条 数据管理人员在数据管理维护过程中,不认真履行职责,造成数据管理混乱,追究有关人员责任;造成保密数据泄密的,追究有关人员的法律责任。
第十章 附则
第四十条 本办法的条款修订由xx大学网络安全和信息化领导小组办公室提出修改建议,交由领导小组审定后交校长办公公审定后实施。
第四十一条 本办法由xx大学网络安全和信息化领导小组办公室负责解释。
第四十二条 本办法自发布之日起执行。
篇3:大学网络和信息系统安全事件报告与处置流程
大学网络和信息系统安全事件报告与处置流程
第一条网络和信息系统安全事件定义。本流程中所称的网络和信息系统安全事件(以下简称安全事件)是指信息系统内容安全事件、有害程序事件、网络攻击事件、信息破坏事件、设备设施故障事件、灾害事件和其他信息安全事件。
适用范围。本流程适用于校内发生的安全事件的报告与处置工作。
安全事件等级划分。根据《信息安全事件分类分级指南》(gb/t 20986-2007,以下简称《指南》),结合学校实际情况将安全事件划分为四个等级:特别重大事件(i级)、重大事件(ii级)、较大事件(iii级)和一般事件(iv级)。
安全事件判定。一旦发生安全事件,应根据《指南》,视网络和信息系统重要程度、损失情况以及对工作和社会造成的影响由信息网络中心判定安全事件等级。
安全事件的报告与处置。报告与处置分为三个步骤:事发紧急报告与处置、事中情况报告与处置和事后整改报告与处置。
(一)事发紧急报告与处置
1.任何部门或个人一旦发现安全事件,应第一时间报告本部门安全的第一责任人和信息网络中心。
2.本部门安全的第一责任人接到报告后,应立即组织网络和信息系统管理员及其他相关人员,根据实际情况第一时间采取断网等有效措施进行处置,将损害和影响降到最小范围,并保留现场。
3.信息网络中心接到报告后,应立即组织技术人员进行紧急处置,并进一步判定安全事件等级,并报告成都大学网络安全和信息化领导小组(以下简称领导小组)。涉及人为主观破坏事件应同时报告公安机关。对确认属i至iii级安全事件的,领导小组应上报有关部门并与公安等部门联系。
4.紧急报告内容包括:(1)时间地点;(2)简要经过;(3)事件类型与分级;(4)影响范围;(5)危害程度;(6)初步原因分析;(7)已采取的应急措施。
5.对确认属i至iii级安全事件,信息网络中心应会同当地公安机关做好应急处置工作。涉及人为主观破坏事件应协助公安机关做好相关取证和处置工作。
6.有关部门应及时跟进事件发展情况,出现新的重大情况应及时报告。
(二)事中情况报告与处置
1.事中情况报告应在安全事件发现后8小时内以书面报告的形式进行报送领导小组,报送内容和格式见附件1。
2.事中情况报告由部门安全第一责任人组织管理和安全管理员编写,由信息网络中心配合编写,部门安全第一责任人审核后,签字并加盖公章报送领导小组。领导小组依据报告上报相关部门。
3.安全事件的事中处置包括:及时掌握损失情况、查找和分析事件原因,修复系统漏洞,恢复系统服务,尽可能减少安全事件对正常工作带来的影响。如果涉及人为主观破坏的安全事件应积极配合公安部门开展调查。
(三)事后整改报告与处置
1.事后整改报告应在安全事件处置完毕后5个工作日内以书面报告的形式进行报送整改报告,报送内容和格式见附件2。
2.事后情况报告由部门安全第一责任人组织管理和安全管理员编写,由信息网络中心配合编写,部门安全第一责任人审核后,签字并加盖公章报送领导小组。领导小组依据报告上报相关部门。
3.安全事件事后处置包括:进一步总结事件教训,研判安全现状、排查安全隐患,进一步加强制度建设,提升安全防护能力。如涉及人为主观破坏的安全事件应继续配合公安部门开展调查。
相关配套机制。信息网络中心应不断完善安全事件应急处置机制。各二级部门应根据实际健全本部门的安全事件应急处置,建立值守制度,做到安全事件早发现、早报告、早控制、早解决。
本流程由领导小组负责解释,自发布之日起施行。
附件:1.信息技术安全事件情况报告
2.信息技术安全事件整改报告
附件1
信息技术安全事件情况报告
单位名称:(需加盖公章)事发时间:年月日分
| 联系人姓名 | 手机 | ||
| 电子邮箱 | |||
| 事件分类 | □有害程序事件 □网络攻击事件 □信息破坏事件 □设备设施故障 □灾害事件 □其他_________________ |
||
| 事件分级 | □ⅰ级 □ⅱ级 □ⅲ级 □ⅳ级 | ||
| 事件概况 | |||
| 信息系统的基本情况(如涉及请填写) | 1.系统名称:_______________________________ 2.系统网址和ip地址:_______________________ 3.系统主管单位/部门:_______________________ 4.系统运维单位/部门:_______________________ 5.系统使用单位/部门:_______________________ 6.系统主要用途:___________________________ ________________________________________ 7.是否定级□是 □否,所定级别:_____ 8.是否备案□是 □否,备案号:__________ 9.是否测评□是 □否 10.是否整改□是 □否 |
||
| 事件发现与处置的简要经过 | |||
| 事件初步估计的危害和影响 | |||
| 事件原因的 初步分析 |
|||
| 已采取的应急措施 | |||
| 部门安全的第一责任人意见 (签字) |
|||
附件2
信息技术安全事件整改报告
单位名称:(需加盖公章)报告时间:年月日
| 联系人姓名 | 手机 | ||
| 电子邮件 | |||
| 事件分类 | □有害程序事件 □网络攻击事件 □信息破坏事件 □设备设施故障 □灾害事件 □其他____________________ |
||
| 事件分级 | □ⅰ级 □ⅱ级 □ⅲ级 □ⅳ级 | ||
| 事件概况 | |||
| 信息系统的基本情况(如涉及请填写) | 1.系统名称:_______________________________ 2.系统网址和ip地址:_______________________ 3.系统主管单位/部门:_______________________ 4.系统运维单位/部门:_______________________ 5.系统使用单位/部门:_______________________ 6.系统主要用途:___________________________ ________________________________________ 7.是否定级□是 □否,所定级别:_____ 8.是否备案□是 □否,备案号:__________ 9.是否测评□是 □否 10.是否整改□是 □否 |
||
| 事件发生的最终判定原因(可加页附文字、图片以及其他文件) | |||
| 事件的影响与 恢复情况 |
|||
| 事件的安全整改措施 | |||
| 存在问题及建议 | |||
| 部门安全的第一责任人意见 (签字) |
|||