湖北省公共资源交易电子服务系统

湖北省公共资源交易中心信息系统安全管理办法（试行）

【阅读次数： 190】发布时间：Oct 31, 2016

湖北省公共资源交易中心

信息系统安全管理办法（试行）

第一章总则

为保证湖北省公共资源交易中心（以下简称中心）信息系统安全可靠运行，保护信息系统免受侵害，根据《中华人民共和国计算机信息系统安全保护条例》、《电子招标投标办法》（国家发改委等八部委第20号令）、《信息安全等级保护管理办法》等法规规章、技术规范的规定，结合中心实际，制定本办法。

本办法适用于中心信息系统安全的管理。中心信息系统安全包括：公共资源电子交易平台、药械集中采购服务平台、公共资源拍卖交易平台等应用系统的系统安全以及中心网络机房安全、数据安全等。

中心及相关工作人员在信息系统的开发建设、管理使用过程中，应当按照国家相关法律法规和本办法的规定和要求，提高安全意识，履行相关职责，采取有效措施，防范安全风险。

第二章组织保障

中心成立信息系统安全管理工作小组（以下简称工作小组），负责中心的信息系统安全管理工作。工作小组由中心主任，相关处室负责人，系统安全员，网络机房安全员，数据安全员等组成，中心主任担任组长。

工作小组组长全面负责中心信息系统安全管理工作。相关处室负责人协助组长完成各项工作。系统安全员、网络机房安全员、数据安全员分别负责系统安全、网络机房安全、数据安全的管理。

工作小组每年至少安排一次信息系统软硬件安全防护演练，委托安全等保评测机构对系统安全进行测评，分析演练中存在的安全漏洞，并给予应对策略。定期组织数据恢复演练，提高系统管理人员的数据恢复熟练度，减少恢复时间。

工作小组应每月召开信息系统安全管理例会，总结前阶段安全管理工作，制定下阶段工作计划。组织开展信息系统安全培训。对相关处室和人员进行信息系统安全考核。

中心工作人员应当使用正版操作系统及杀毒软件，确保计算机安全运行。不得泄漏本单位或本人的用户名、口令，以及其他涉及计算机网络安全的信息，不得将本单位或本人的数字证书交给其他单位或人员使用。

中心信息系统安全管理所需资金应当列入中心当年财政预算。

第三章系统安全管理

系统安全员应当采取有效措施，保障系统稳定、可靠运行。

系统安全员根据系统运行要求配置系统基础数据和系统访问策略，建立系统管理员账户。

系统安全员应当及时做好系统服务的启停、系统补丁更新、系统升级、系统日志分析等工作。

系统安全员按照工作小组的决定分配系统操作权限，加强系统操作权限管理，及时取消离岗离职人员系统操作权限。

系统安全员按照系统安全审计要求（见附件）定期对系统进行安全审计。

系统安全员负责制定系统重大升级方案，经工作小组审核通过后实施。

第四章网络机房安全管理

网络机房安全员应当采取有效措施，保障网络安全通畅，机房设施稳定运行。

网络机房安全员应当做好网络和机房设备设施的监控、维护，以及服务器的操作系统补丁更新、杀毒软件升级及各种防火墙补丁更新、网络中间件的管理和安装等工作。

网络机房安全员合理划分网段重要网段应当与其它网段隔离。

网络机房安全员应当加强对设备及安全设备的拓扑结构、IP地址、服务器密码等保密信息的管理。

网络机房安全员采取SSH等安全加密方式远程登录网络设备及安全设备，加强网络访问安全管理。U盘、光盘等移动介质在机房使用时必须先行查杀病毒。

涉及网络、公用软件重要参数更改的，须报经工作小组审核通过后实施。

网络机房安全员按照网络安全审计要求（见附件）定期对网络进行安全审计，并填报审计结果表。

第五章数据安全管理

数据安全员应当采取有效措施，保障中心数据安全、完整、可靠。

数据安全员应做好数据库用户设定和权限分配、数据备份、数据分级、数据加密、数据库补丁更新等工作。

数据安全员应当加强数据库口令的保密管理。

数据安全员按照数据库安全审计要求（见附件）定期对数据库进行安全审计。

第六章附则

违反本办法相关规定，造成危害的，追究相关人员责任。

中心可以根据工作实际制定操作细则。

各市（州）公共资源交易中心可参照执行。

附件：《信息审计表》

附件信息审计表

1. 网络安全审计对象包括对网络结构、网络设备安全以及网络行为的审计，审计数据来自人工收集和技术手段收集等。网络架构主要是对链路、结构以及网络配置方面的审计。网络设备安全审计主要设备层面安全配置审计。网络行为审计内容重点是对网络中发生的安全事件、网络异常行为的审计。

审计对象	审计内容	具体审计项	审计频率	审计方式
网络架构安全	网络的划分网络间通讯的流程和控制网络链路的备份网络安全的设计网络服务	查看网络物理连接图；查看网络逻辑连接图（IP分配）；使用网络侦测工具进行IP（网络服务）扫描；查看网络安全设计和实施方案；测试备份网络链路；测试网络路由情况；测试网络负载情况。	每季一次	人工审计
网络设备安全	防火墙路由器交换机网关/网关代理	查看防火墙安全日志文件；查看路由器、交换机、网关、网关代理日志文件；检查防火墙安全配置；查看路由器路由和其他网络配置；查看交换机VLAN、端口映射、数据流控制等配置；查看网关/网关代理配置。	每周一次	如果系统中具有集中日志收集系统，利用该系统完成日志信息的收集；如果没有采用人工收集。
网络行为监控和检测	监控系统的运作情况入侵检测运行情况	查看监控系统和入侵检测系统的安装配置文件查看监控系统和入侵检测系统的日志文件；测试监控系统和入侵检测系统的报警机制能否正常运作；测试关键的监控和入侵检测功能（运行非正常操作，测试系统能否捕和报警）。	实时监控	利用网络中的网络监控和检测系统完成审计数据的收集，结合技术和人工方式完成审计。

2.系统安全审计对象包括系统安全技术、计算机病毒防治、远程访问安全、应用系统运行安全、CA集中审计管理。在对设备层面审计重点是对各种系统生成的日志、操作日志进行审计。

审计对象	审计内容	具体审计项	审计频率	审计方式
系统安全技术	操作系统安全性	查看操作系统安全日志文件；查看管理员操作日志文件；查看文件访问记录。	每周一次	利用集中日志管理系统完成日志信息的收集和处理；如果系统中没有集中日志管理系统选择人工收集。
远程访问安全	远程访问身份验证远程访问权限分配远程访问通讯加密远程访问性能远程访问服务器和系统的安全性	查看远程访问安全日志文件；查看远程访问控制设定；查看远程访问服务器的性能日志文件。	每周一次	人工收集和审计。
应用系统运行安全	业务主机安全性业务主机备份和恢复	查看业务主机安全日志文件；查看业务主机管理员操作日志文件；查看文件访问记录；查看数据备份记录。	每周一次	利用集中日志管理系统完成日志信息的收集和处理；其他采用人工收集和审计。
应用系统运行安全	业务主机安全性业务主机备份和恢复	进行主机漏洞扫描；检查所有用户的权限分配情况。	每季一次
CA管理	对CA分配情况的审计 CA创建情况审计 CA变更情况审计	CA的创建时间、创建人，从CA的创建时间、创建人信息审计； CA的变更时间、变更人、变更内容审计； CA冻结、解冻时间、操作人员审计；将从CA分配给从CA的分配时间、分配者，主、附属CA的有限期等。	每季一次	通过集中CA管理系统收集CA的审计数据；如果没有集中CA管理系统采用人工审计。
CA授权	对CA授权过程审计。对CA当前使用权限审计	包括CA的访问权限，查询资源的授权访问者，权限的分配时间、分配者等； CA权限变更时间、变更人员、变更内容审计；	每周一次	通过集中CA管理系统收集CA的审计数据如果没有集中CA管理系统采用人工审计
登陆行为	成功登陆失败登陆登陆顺序	包括什么人用什么CA在什么时间登录了什么系统，什么时间登出等； CA失败登陆使用的CA、频率、时间等；同一个CA在一段周期（可设置）内登陆业务系统的顺序。	每周一次	通过集中CA管理系统收集CA的审计数据如果没有集中CA管理系统采用人工审计

3.数据库安全审计包括：数据库安全、数据备份和恢复等方面。

审计对象	审计内容	具体审计项	审计频率	审计方式
数据库安全	数据库用户设定和权限分配数据库访问身份验证数据库完整性数据库访问性能	查看数据库安全日志文件查看数据库性能日志文件	每周一次	利用集中日志管理系统完成日志信息的收集和处理；其他采用人工收集和审计。
数据库安全	数据库用户设定和权限分配数据库访问身份验证数据库完整性数据库访问性能	查看数据库用户和用户组设定以及相应的权限设定	每季一次
	数据库操作审计	记录与登录者身份不符合的SQL命令、应用操作命令或流程；基于对指定的数据库对象（如数据库、表、视图、存储过程等）和指定操作（如创建、修改、添加、删除等）进行审计；基于自定义的关键字进行访问控制和审计；通过审计输出界面，对SQL命令的截获、分析和还原，审计关键操作的结果；实现对主流数据库的审计。	每周一次
	关键操作审计	对于系统配置数据的删除操作进行审计；通过制定数据库关键字段、关键操作进行审计；根据操作时序顺序对操作行为进行审计；对于关键操作关联操作CA的权限范围进行审计；	每周一次
数据备份和恢复	数据备份和恢复计划和执行情况备份应用程序	查看备份应用程序的运行日志文件查看备份介质记录查看备份介质管理记录查看备份和恢复操作记录	每周一次	人工审计
数据备份和恢复	数据备份和恢复计划和执行情况备份应用程序	查看离线备份管理记录离线备份介质可用性测试离线备份系统可用性测试备份系统和生产系统切换测试备份介质存放地点检查	每季一次

附件：