一. 信息安全管理规范

1. 办公电脑安全

  1. 使用在维护期内的操作系统版本,并开启系统补丁的自动更新。
  2. 办公电脑必须设置登录密码,并应当启用10分钟或更短时间之内自动激活设有密码的屏幕保护程序。当用户需要离开时,应当主动退出系统、锁定系统或激活设有密码的屏幕保护程序。
  3. 线上服务器的SSH登录私钥必需配置密码,以防私钥泄露后暴露线上服务器的操作权限。
  4. 严禁将办公电脑交与他人使用,对于临时通过电脑登录线上服务器的用户需求,需要在跳板机上为用户创建唯一的临时账户。
  5. 重要数据不允许保存在系统活动分区内(如:C盘、我的文档、桌面等),以防因活动分区损坏导致数据丢失。

  6. 重要数据必须及时使用企业内相应的服务进行数据备份,以保证数据的安全。(如:程序代码备份到gitlab,文档、手册等备份到文档知识库等)。

    2. 密码设置和使用要求

  7. 核心业务系统帐户、数据库及操作系统账户登录密码长度不低于12位,并采用数字、字母、符号混排方式。

  8. 核心业务系统登录密码修改频率不低于每三个月一次;新密码不允许与旧密码相同,历史记忆次数不少于3次;输入错误密码锁定帐户,输入次数限制不多于5次。

  9. 当用户由于责任人更换或忘记密码、口令时要求查询密码、口令或要求更换密码及口令的情况下,需向上级部门提交申请单,由部门负责人与系统管理员核实后实施密码重置,并记录归档保存。

    3. 信息安全规范

  10. 员工离职时,应当检查其在各业务系统中的账号(邮箱,线上服务器权限,gitlab,禅道,文档知识库等),未保存关键信息的业务系统,账号应该在离职后即刻删除,保存关键信息的业务系统,应当先冻结账号,将关键信息进行转移或备份后,再行删除。

  11. 关键业务系统的登录权限,应以实名进行登记,并记录操作历史以供追溯,任何人不得将登录口令告知他人。

  12. 在网络层需要对办公电脑的IP地址,MAC地址,使用者进行绑定,并对其行为进行必要的记录,当在办公网络内出现嗅探或传播恶意程序等违规行为时,网络管理员有手段及时发现并进行阻断。

    二. 云平台网络安全规范

    1. 主机安全

  13. 访问控制:

    • 开启访问地址白名单,只允许特定地址登录
    • 登录方式可选的情况下,使用公私钥对
    • 只能用密码登录的方式时,必须用强密码,并配置默认过期时间
    • 所有操作需要过审计系统,操作记录可查
    • 配置失败登录的限定次数,以及登录超时自动退出
    • 启用基于随机密钥生成的两步验证(MFA)

  14. 主机加固:

    • 主机默认最小安装
    • 定期更新内核补丁
    • 定期更新通用组件补丁
    • 文件系统完整性审计
    • 权限控制(禁用root登录,sudoers控制)
    • 主机防火墙(iptables白名单)

      2. 应用服务安全(通用)

  15. 服务的版本管理(使用发行版自带或基于官方源码编译)。

  16. 每季度定期更新系统和应用补丁,重大CVE启动紧急处理预案 。
  17. 非直接对外的服务,限制监听本地或内网端口。
  18. 需要直接对外的服务,修改默认的服务端口。

  19. 针对服务专用的加固策略(数据库、nginx等)。

    3. 应用服务安全(自研)

  20. 服务禁用root启动。

  21. 非直接对外的服务,监听本地或内网端口。
  22. 统一程序执行路径。

  23. 线上服务器不可放置程序代码,静态库等过程数据。

    4. 访问层安全(Web接口,数据库等)

  24. 传输加密,如使用https。

  25. 访问加密,如使用token 。
  26. 关键数据文件的加密存储和访问控制。
  27. CC攻击防范,waf,或程序自身的请求频率限制。

  28. 注入攻击防范(mysql,redis特别注意)。

    5. 平台安全管理规范

  29. 线上设备权限,需确保每人一账号,禁止账号共享。

  30. 定期对线上设备进行漏洞扫描,并第一时间对高级别漏洞进行整改。
  31. 平台产品通过公安部的等保三级权威认证。
  32. 定期组织安全培训,网络安全工程师认证 。