第一章 總 則
第一條 為了保護地震科學數據共享中心計算機信息系統的安全,促進地震科學數據共享事業的健康發展,確保地震科學數據共享中心計算機信息系統安全、可靠、穩定地運行,根據《中華人民共和國計算機信息系統安全保護條例》、《計算機信息系統安全保護等級劃分準則 》(GB 17859-1999)》、《計算機信息網路國際聯網安全保護管理辦法》、《中國地震信息服務系統技術規程》和《地震科學數據共享管理辦法》,結合地震科學數據共享實際,制定本細則。
第二條 本規定適用於國家地震科學數據共享中心和分中心的建設和日常運行管理。
第二章 組織與管理
第三條 管理模式
3.1 國家地震科學數據共享中心在中國地震台網中心領導下開展信息安全管理工作;
3.2 地震科學數據共享分中心在所在單位的領導下開展信息安全管理工作,接受國家地震科學數據共享中心的業務管理和技術指導;
3.3 國家地震科學數據共享系統信息安全管理工作接受中國地震局信息學科技術協調組的指導;
3.4 國家地震科學數據共享中心和分中心應指定一名信息安全管理員。
第四條 信息安全管理員職責
4.1 信息安全管理員負責本中心的信息安全保護管理工作,建立健全信息安全保護管理制度;
4.2 信息安全管理員負責落實信息安全保護技術措施,保障本網路的運行安全和信息安全;
4.2.1 負責防火牆、IDS、防病毒系統的策略制定;
4.2.2 負責本中心審計系統的運行管理,對運行情況進行審計;
4.2.3 負責本中心身份認證系統、許可權管理和授權、單點登錄系統的運行管理;
4.2.4 負責本中心的防火牆、入侵檢測系統、防病毒系統的運行管理,並定期升級;
4.2.5 負責本中心相關日誌的填寫、收集、歸檔、管理。
4.3 負責對地震科學數據共享用戶的信息安全教育和培訓;
4.4 對本中心所發布的信息內容按照等相關規定進行審核;
4.5 建立計算機信息網路電子公告系統的用戶登記和信息管理制度;
4.6 發現有違反安全管理規定的行為,應當保留有關原始記錄,並及時向相關管理部門報告;
4.7 按照國家有關規定,負責刪除本中心中含有違法內容的地址、目錄或者關閉伺服器。
第五條 建立信息安全管理制度
5.1 場地與設施安全管理制度;
5.2 出入控制管理制度;
5.3 設備管理制度;
5.4 存儲介質管理制度;
5.5 信息管理制度;
5.6 密鑰、口令管理制度;
5.7 數據備份管理制度;
5.8 計算機病毒防治管理制度;
5.9 安全審計管理制度;
5.10 應急處置措施。
第三章 目標與內容
第六條 信息安全管理目標
6.1 從制度、基礎設施和技術手段上確保信息安全;
6.2 利用安全管理監控平台,監控網路系統的訪問,保證該網路系統的平穩運行。
第七條 信息安全工作主要內容
7.1 保證訪問地震科學數據共享中心和各分中心用戶身份的合法性以及數據傳輸的完整性、抗抵賴性、安全性;
7.2 有效阻斷黑客進入地震科學數據共享中心和各分中心,保證地震科學數據共享中心和各分中心重要信息資源不泄密、不被破壞;
7.3 通過身份認證系統、許可權管理和授權審計系統、單點登錄系統組建的信息安全集中管理平台,使用戶許可權和相應的資料庫資源、套用系統有機結合為一體,杜絕非法訪問、假冒攻擊等不正常的現象;
7.4 利用防病毒系統實現對病毒、不良網站內容、惡意代碼等進行攔截;
7.5 建立完整的審計體系,為系統的安全提供參考數據。
第四章 技術要求
第八條 計算機信息系統和計算機機房的規劃、設計、建設應當按照國家有關規定和標準,同步落實安全保護措施,達到GB50174-93國家標準所要求的A類機房標準。
第九條 地震科學數據共享中心和各分中心凡與網際網路有接口的節點均應採取防火牆措施、安全代理和內部地址轉換功能。
9.1 應具有數據包過濾功能,如惡意代碼過濾、郵件關鍵字元過濾、郵件附屬檔案惡意程式夾帶過濾、蠕蟲過濾等;
9.2 應具有數據狀態檢測功能,如Web 伺服器攻擊、Web瀏覽攻擊、SMTP攻擊、IMAP/POP 攻擊、DNS攻擊等常見網路攻擊檢測;
9.3 應具有用戶認證功能,如內置資料庫,RADIUS資料庫,LDAP資料庫,IP/MAC地址綁定等;
9.4 應具有內部地址轉換功能,如靜態地址,動態IP分配,PPPoE client(外網口),內部DHCP伺服器區域網路口,支持DHCP Relay等;
9.5 應具有日誌功能,如可記錄試圖通過防火牆的非法數據包,可記錄防火牆操作等。
第十條 地震科學數據共享中心和各分中心均應安裝防病毒軟體、防病毒網關等措施抵禦網路上各類惡意代碼的攻擊,通過網關、內部客戶機、伺服器以及郵件系統的防病毒系統的配置,對病毒破壞的主要對象進行預防。
10.1 在地震科學數據共享中心和各分中心部署網關防病毒產品。設定多種不同類型的網站內容過濾策略,阻絕內部使用者進入色情及其它不良網站。實時掃瞄並清除經由Web或FTP下載進入的病毒,阻隔來自Web的已知Java與ActiveX惡性程式;
10.2 地震科學數據共享中心和各分中心部署郵件伺服器防病毒系統。偵測並清除隱藏於電子郵件、附加檔案及公用目錄中的計算機病毒、惡性程式、垃圾郵件或包含特定內容的郵件;
10.3 地震科學數據共享中心和各分中心應部署多種其它防病毒產品,提供較為全面的病毒防護;
10.4 防病毒系統應具備自動升級功能。
第十一條 地震科學數據共享中心和各分中心需安裝入侵檢測系統,對網路攻擊和非法掃描適時檢測、及時報警。入侵檢測系統應具備的功能:
11.1 檢測和發現網路攻擊行為,如DoS攻擊;
11.2 對一些惡意網路訪問應該具備記錄回放功能;
11.3 檢查網路傳輸中的帶毒流量,與病毒過濾網關共同組成一個層次的防毒體系。
第十二條 用戶許可權管理
12.1 數據與信息服務應建立用戶許可權管理,可採用統一用戶認證,對數據信息進行訪問控制,確保不同級別的用戶訪問不同級別的數據信息;
12.2 各套用系統應當根據各種用戶的身份、職能制定不同類型的用戶角色,根據數據類型和數據使用級別制定針對不同用戶角色相應的數據訪問策略。
第十三條 認證和授權系統
在地震科學數據共享中心和各分中心需部署認證和授權系統,保證信息服務系統具有保密性、完整性、可控性、可用性和抗抵賴性。
13.1 採用基於數字證書技術的認證機制,數字證書的管理可參照國家密碼安全的相關標準;
13.2 必要時,可對網路上的套用服務實行一次性密碼機制;
13.3 實現多系統和設備訪問的集中授權,使用戶不論以什麼方式接入網路或訪問設備,如Web、FTP、EMail、主機訪問、設備管理登錄、撥號、VPN等通過統一的用戶管理信息進行認證。
第十四條 地震科學數據共享中心和各分中心可安裝審計系統,主要的審計功能包括網路審計、伺服器日誌審計、主機審計、資料庫審計,綜合審計分析等。動態地了解網路系統(包括網路設備、主機和套用)的安全弱點,以便通過修補這些安全弱點來儘量減少黑客攻擊的可能性。
第五章 罰 則
第十五條 對信息安全管理措施執行不力的單位,依照情節輕重對其進行處罰。處罰分為警告、通報批評、封閉共享節點。觸犯國家有關法律者,依法追究相關人員責任。
第十六條 對於盜用IP位址、盜用他人口令、入侵及破壞網路和計算機系統、違反網路用戶行為規範的,將依照情節輕重對其進行處罰。處罰分為警告、通報批評、停止賬戶。觸犯國家有關法律者,報公安機關依法追究責任。
第六章 附 則
第十七條 本細則由中國地震局地震科學數據共享主管部門負責解釋。
第十八條 本細則自頒布之日起施行。
參考文獻
1.《地震科學數據共享管理辦法》
2.《地震科學數據共享系統運行規定》
3.《中國地震信息服務系統技術規程》