徐汇教育城域网安全管理规范

为了确保徐汇区教育城域网信息系统安全可靠的运行，规范信息中心工作人员、教育城域网各学校信息系统管理人员相应的工作与操作流程，以减少由于误操作造成的网络与服务的中断，特制订徐汇区教育城域网安全管理规范制度。

1．使用范围

1.1使用人员

上海市徐汇区教育局教育学院信息中心、徐汇区教育城域网各学校

1.2使用地点

上海市徐汇教育城域网

2．定义与缩略语

2.1徐汇区教育局教育信息中心以下简称信息中心

2.2各学校、幼儿园以及局机关以下简称接入单位

2.3 各学校、幼儿园以及局机关内部的信息系统管理人员以下简称接入单位网管人员

2.3管理规定所称的机房为信息中心核心机房

3．安全管理制度

3.1物理安全

3.1.1机房位置选择

1．            机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内；

2．            机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁；

3．            工作时要随时提高警惕,注意四周环境,遇异味、杂声须及时追根到底，消灭事故萌芽。

3.1.2物理访问控制

1．            机房内严禁非授权的外来人员进入。在离开前要对带入的工作物品如纸张等进行整理，自觉将废弃物清除出机房；

2．            非信息中心工作人员进入机房工作，必须出示相应的工作证件，并执行登记制度；

3．            机房出入口必须安装带锁的门。

3.1.3防盗窃和防破坏

1．            应将主要设备放置在机房内；

2．            应将设备或主要部件进行固定，并设置明显的不易除去的标记；

3．            应对介质分类标识，存储在介质库或档案室中。

3.1.4防雷击

1．            机房建筑应设置避雷装置；

2．            机房应设置交流电源地线。

3.1.5防火

1．            机房应设置火灾消防系统，必须配备灭火器；

2．            机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料；

3．            机房内严禁堆放杂物、纸箱等易燃物品；

4．            机房内严禁吸烟。

3.1.6防水和防潮

1．            水管安装，不得穿过机房屋顶和活动地板下；

2．            应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透；

3．            应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。

3.1.7防静电

1．            主要设备应采用必要的接地防静电措施；

2．            机房应尽量采用防静电地板。

3.1.8温湿度控制

1．            机房应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内；

2．            机房温度应保持在22~24摄氏度，相对湿度保持在50~60%。

3.2网络安全

3.2.1结构安全

1．            应保证关键网络设备的业务处理能力满足基本业务需要；

2．            应保证网络设备持续稳定的运行；

3．            对于拥有单独出口和无线网络的接入单位，应保证其网络的良好运维，并上报信息中心备案；

4．            应绘制与当前运行情况相符的网络拓扑结构图，并标出上下联接口。

3.2.2安全审计

1．            对于拥有单独出口和无线网络的接入单位，应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；

2．            审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；

3．            当出现异常审计记录，并造成对网络重大影响的，必须上报信息中心备案。

3.3主机安全

3.3.1身份鉴别

1．            应对登录操作系统和数据库系统的用户进行身份标识和鉴别；

2．            操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换；

3．            应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；

4．            当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听。

3.3.2安全检查

1．            应限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令；

2．            应及时删除多余的、过期的帐户，避免共享帐户的存在；

3．            定期对主机进行安全检查，并有相应的记录；

4．            定期对主机进行漏洞扫描，并根据漏洞扫描结果进行安全加固；

5．            对于出现异常问题，及时上报信息中心并处理。

3.3.3安全审计

1．            主机应开启所有审计策略；

2．            审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等；

3．            应保护审计记录，避免受到未预期的删除、修改或覆盖等；

4．            对于异常的审计异常记录，及时上报信息中心备案。

3.4应用安全

3.4.1身份鉴别

1．            应提供专用的登录控制模块对登录用户进行身份标识和鉴别；

2．            应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能，并根据安全策略配置相关参数。

3.4.2安全检查

1．            应由授权主体配置访问控制策略，并严格限制默认帐户的访问权限；

2．            应授予不同帐户为完成各自承担任务所需的最小权限，并在它们之间形成相互制约的关系；

3．            定期对应用进行安全检查，并有相应的记录；

4．            定期对应用进行漏洞扫描，并根据漏洞扫描结果进行安全加固；

5．            对于出现异常问题，及时上报信息中心并处理。

3.4.3安全审计

1．            应提供覆盖到每个用户的安全审计功能，对应用系统重要安全事件进行审计；

2．            应保证无法删除、修改或覆盖审计记录；

3．            审计记录的内容至少应包括事件日期、时间、发起者信息、类型、描述和结果等；

4．            对于异常的审计记录，及时上报信息中心备案。