规章制度

规章制度

首页 > 规章制度 > 正文

关键信息基础设施管理与防护方案

时间:2017-07-05 08:10  浏览:

所谓的“关键信息基础设施”是指“一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益” 的信息基础设施。这一定义明确了关键信息基础设施的“关键”就是指事关国家安全、国计民生和公共利益,将关键信息基础设施保护提升到维护国家安全和公共安全的高度,与习近平总书记所强调的关键信息基础设施是“经济社会运行神经中枢”论断相符合,也符合世界各国从国家安全高度保护关键基础设施的通行做法。

在2016年湖南省关键信息基础设施网络安全检查中,衡阳市网信办确定高职院校门户网站为关键信息基础设施之一,我院如实填报相关信息并提交。现就学院门户网站相关管理与防护方案确定如下:

一、按照《网络信息安全等级保护制度》,完成对站群管理系统的定级备案,差距评估,方案设计,整改实施,系统测评,等保运维等工作。通过购买有资质的第三方评测服务或者委托网络安全服务机构对其网络的安全性和可能存在的风险按要求检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。

二、在现有软硬件条件下,进行必要的防护措施,确保新旧站群管理系统更替过程中不出现安全盲点。目前,站群系统是由织梦开源系统改版而来,多年来已无法进行升级和打补丁存在安全隐患,可通过改善内外部环境来加强防护。

1.加强抗DDOS网关、外网防火墙、服务器区防火墙、入侵防御系统以及漏洞扫描相关网络安全设备的策略设置,进一步净化网络环境。

2.重点对web应用防火墙策略调整,防御病毒和网络攻击,启用网页防篡改功能,进一步避免非正常发布信息。

3.启用保垒机远程维护服务器,记录维护操作过程,监控内部人员对服务器维护,防止外部计算机对网站服务器的病毒感染和直接控制的防护。

4.网站服务器安装360安全卫士、服务器安全狗以及网站安全狗等安全软件,加强软件防护和服务器补丁下载。

三、网站管理和操作规程。在日常管理维护方面,网站运营者既要遵循网络安全等级保护制度对一般信息系统的安全要求,也要履行更加严格的安全保护义务。

1.对“人”的安全义务包括设置专门的管理机构和负责人、对负责人和关键岗位人员进行安全背景审查、定期对管理人员进行教育培训和技能考核。对各部门负责二级网站或专题网站建设与运维的人员,签定相关保密协议、安全责任书。

2.对“系统”的安全义务包括采取预防性技术措施,对站群系统和网络运行状态监测并留存(web防火墙,上网行为管理)6个月以上的网络运行日志,每周进行网站文件和数据库进行冷备份,制定网络安全事件应急预案并定期组织演练。

四、网站特殊的安全保障义务。鉴于关键信息基础设施的重要性,对于其供应链安全和数据留存传输作出了特殊规定。采购站群系统,网络产品和服务时,网站运营者应当与提供者签订安全保密协议,明确安全和保密义务与责任。

此外,对于网站运营中收集和产生的公民个人信息和重要业务数据,规定运营者应当将其存储在我国境内。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估,通过安全评估的数据才可以向境外提供。如果法律、行政法规另有规定的,应该依照这些特别规定执行。