中央戏剧学院信息与网络安全运维各项管理办法

中央戏剧学院信息与网络安全运维各项管理办法
中央戏剧学院信息与网络安全运维各项管理办法
(中戏院[2013]158号)
第一部分安全补丁管理办法
本办法依据我国信息安全的有关法律法规，结合学院自身业务特点并参考国际有关信息安全标准制定。

《安全补丁管理办法》规范信息系统安全补丁的识别和安装过程，降低信息系统安全漏洞带来的安全风险，提高信息系统的抗攻击能力。

安全补丁的管理流程包括补丁的跟进和通告、补丁的获取、补丁的测试、补丁的加载、补丁的验证和补丁的归档，必须按照流程逐步落实。

第一条目标：为了加强学院信息安全保障能力，建立健全学院的安全管理体系，提高整体的网络与信息安全水平，保证网络通信畅通和业务系统的正常运营，提高网络服务质量，在学院安全体系框架下，本制度为加强学院信息系统安全补丁的管理工作，规范信息系统安全补丁的识别和安装过程，降低信息系统安全漏洞带来的安全风险，提高信息系统的抗攻击能力。

第二条适用范围：本办法适用于学院内部网络、业务系统。

第三条使用人员及角色职责：本办法适用于学院安全管理员、系统管理员及所有使用IT 设备的教职工。

第四条制度相关性：本制度与《安全补丁管理流程》同时使用。

一、组织和职责
第五条学院安全管理员负责审核和监督安全补丁加载情况。

各部门安全管理人员负责提供从正式渠道获取的安全补丁软件。

第六条学院安全管理员亦可把获取的补丁信息通知相关的系统管理员、分发安全补丁软件，负责监督和报告各业务系统的补丁加载情况。

第七条各业务系统管理员负责协调安全补丁的测试、加载、回退，负责协调制定补丁加载流程和回退计划，负责补丁加载后的监督和验证，负责向安全管理员报告业务系统的补丁加载情况。

第八条各业务系统集成商负责安全补丁的测试、补丁加载流程和回退计划制定、补丁加载、补丁回退等实施工作，当补丁加载后影响业务正常运行的情况下负责应用软件的修改工作。

产品厂商负责向相关安全管理员及时发布安全补丁信息，并提供安全补丁软件。

二、补丁跟进和通告
第九条学院安全管理员负责跟进各产品的安全漏洞信息和产品厂商发布的安全补丁信息。

第十条安全补丁根据其对应漏洞的严重程度分为三个级别：紧急补丁、重要补丁和一般补丁；紧急补丁必须在15天内完成加载，重要补丁必须在一个月内完成加载，一般补丁要求三个月内完整加载。

第十一条各级安全管理员负责通告安全补丁信息，并通知相关的业务系统管理员。

三、补丁获取
第十二条学院各级安全管理员负责从正式渠道获取安全补丁，正式渠道包括学院下发的和产品厂商提供的。

第十三条学院各级安全管理员负责对安全补丁进行完整性校验，确保获取的安全补丁软件未经篡改和可用。

四补丁测试
第十四条补丁加载之前必须经过严格的测试，严禁未经测试直接在业务系统上加载补丁。

第十五条补丁测试的方式有两种：实验室测试和现网测试；实验室测试必须进行，实验室环境需要与现网环境尽可能一致，并考虑差异性带来的风险；条件允许的情况下（如有测试环境或备机）可以现网测试。

第十六条补丁测试的内容包括补丁安装测试、补丁功能性测试、补丁兼容性测试和补丁回退测试：
(一)安装测试主要测试补丁安装过程是否正确无误，补丁安装后系统是否正常启
动。

(二)补丁功能性测试主要测试补丁是否对安全漏洞进行了修补。

(三)补丁兼容性测试主要测试补丁加载后是否对应用系统带来影响，业务是否可
以正常运行。

(四)补丁回退测试主要包括补丁卸载测试、系统还原测试。

第十七条补丁测试的工作由系统集成商负责实施，系统管理员负责协调，必须对补丁的现场测试和现网测试限定时间，测试完成后需要编写详细的测试报告，给出明确的测试结论。

第十八条为确保系统集成商及时配合补丁的测试和安装工作，需要通过合同的方式，明确集成商的安全补丁测试和安装责任，约束条款至少应包括：实验室测试环境的搭建，在规定时间内完成补丁测试，补丁的加载，补丁加载失败时的测试与分析，补丁与应用冲突时的系统改造和升级工作。

五、补丁加载
第十九条从安全漏洞发布到补丁加载前，学院安全管理员根据需要给出应急措施建议，例如通过加强访问控制、临时关闭服务、加强安全审计等应急措施来加强网络安全，各相关业务系统根据建议采取适当的防护措施，并加强对系统的监控，及时发现和报告安全事件。

第二十条补丁加载前，必须向学院网络安全管理员提交《安全补丁测试报告》、《安全补丁安装计划和实施方案》、《安全补丁回退实施方案》，经审批通过后按计划执行，审批的周期为2个工作日。

第二十一条在补丁安装前，必须做好数据备份工作，确保任何的操作都可回退，在到达回退时间补丁加载没有完成时，启动回退操作，保证业务的正常运行。

第二十二条补丁加载必须安排在业务闲时进行，对补丁加载的操作过程必须详细记录。

第二十三条核心业务主机的补丁加载建议要求厂商工程师现场支持。

六、补丁验证
第二十四条补丁安装完成后，业务系统管理员必需查看系统信息，确保安全补丁已经成功加载。

第二十五条必须对加载补丁后的系统按照计划和验证方案进行严格的测试验证，确保补丁加载后不影响系统的性能，确保各项业务操作正常。

第二十六条补丁加载后的一周内，系统管理员必须加强对系统性能和事件进行密切的监控，编写每天的运行监控报告。

七、补丁归档
第二十七条系统管理员必须将《补丁安装报告》、《补丁验证测试报告》归档。

第二十八条安全管理员负责对安全补丁软件进行归档，以备系统重装时需要。

八、监督和检查
第二十九条通过安全漏洞扫描和现场人工抽查进行审计和检查，考核的方式可通过部门内部的自查和学院信息安全相关部门组织的巡检进行。

第二部分安全策略管理办法
本办法依据我国信息安全的有关法律法规，结合学院自身业务特点并参考国际有关信息安全标准制定。

《安全策略管理办法》是规范学院信息安全策略的重要文档，文档中涉及制度包括学院层面的和部门层面的安全策略。

学院信息网络中心负责组织安全策略的制定、并负责安全策略的监督落实、更新和废除。

第一条目标：为了加强学院信息安全保障能力，建立健全学院的安全管理体系，提高整体的网络与信息安全水平，保证网络通信畅通和业务系统的正常运行，提高网络服务质量，在学院安全体系框架下，本办法为规范学院安全策略的制定、发布、修改、废止、检查和监督落实，建立科学、严谨的管理办法。

第二条适用范围：本办法适用于学院信息网络中心及相关安全管理组织。

第三条制度相关性：本办法涉及学院所有安全策略自身的所有生命周期内容，同时遵照学院相关文件、文档管理制度。

一、学院安全策略制定
安全策略的制定权限
第四条信息网络中心负责制定学院的信息安全策略，主要包括：学院信息安全体系、学院信息安全策略框架、学院信息安全方针、学院全局性信息安全管理制度和规定、学院信息安全组织机构和人员职责、学院层全局性用户协议。

安全策略的制定要求
第五条学院安全策略中不得出现学院的涉密信息。

第六条对学院安全策略进行汇编时，必须保留各安全策略的版本控制信息和密级标识。

二、学院安全策略发布
第七条安全策略必须以正式文件的形式发布施行。

第八条学院安全策略由信息网络中心制定,相关安全管理组织参照执行
第九条系统层安全策略由各系统、网络管理员制订、安全管理员协助，安全管理组织审批、发布，同时要留存学院信息网络中心备案。

第十条安全策略发布后，如有必要，安全策略制定部门应召集相关人员学习安全策略，详细讲解规章制度的内容并解答疑问。

第十一条安全策略修订后需要以正式文件的形式重新发布施行，修订后的制度也需相应层次的管理部门审批。

第十二条签署发布的规章制度必须标明该规章制度的施行日期。

三、学院安全策略修改与废止
第十三条必须定期对安全策略进行评审，对其中不适用的或欠缺的条款，及时进行修改和补充。

对已不适用的信息安全制度或规定应及时废止。

第十四条当现行安全策略有下列情形之一时，必须及时修改：
(一)当发生重大安全事件，暴露出安全策略存在漏洞和缺陷时；
(二)组织机构或生产系统进行重大调整和变更后；
(三)同一个事项在两个规章制度中规定不一致；
(四)与上级部门的安全策略相抵触；
(五)其它需要修改安全策略的情形。

第十五条当现行安全策略有下列情形之一时，必须及时予以废止：
(一)因有关信息安全制度或规定废止，使该信息安全制度或规定失去依据，或
与学院现行上层制度相抵触；
(二)因已规定的事项已经执行完毕，没有存在必要；
(三)已被新的规章制度所替代。

第十六条学院安全策略的修改与废止须经院长办公室审批确认，学院信息网络中心备案。

四、学院安全策略监督和检查
第十七条安全策略发布实施后，应就安全策略制度或规定的贯彻执行，执行中存在的问题以及对规章制度修改或废止的意见建议等情况进行检查、监督，并将意见和建议及时反馈给制度的制定部门。

第十八条为保障各项信息安全管理制度的贯彻落实，学院信息安全领导小组必须定期检查安全策略的落实情况，信息安全管理制度的落实情况检查是信息安全检查工作的重要内容。

第十九条信息安全检查工作结束后，在起草检查报告时，必须通报安全策略的落实情况，对执行不力的行为必须提出整改意见，限期纠改，并继续追踪其落实情况。

第二十条安全策略的贯彻落实情况，必须作为重要的考核项目，纳入部门的综合考评体系。

第二十一条为安全策略落实做出显著成绩的部门或个人，应给予表彰和奖励；对违反规章制度造成严重后果的部门或个人，应追究当事人、相关单位及主管领导的责任。

具体参照学院考核制度办理。

第三部分安全预警管理办法
本办法依据我国信息安全的有关法律法规，结合学院《中央戏剧学院网络与信息安全总纲》及学院自身业务特点、并参考国际有关信息安全标准制定的。

《安全预警管理办法》是学院信息安全风险管理体系重要的安全策略之一，及时将国内外安全信息让学院各级信息安全管理人员及学院师生员工获知，以及提前或及时采取应对措施，以此降低安全风险。

《安全预警管理办法》包括三部分内容。

“安全预警的内容”主要描述学校针对哪些信息进行预警；“安全预警管理”明确学院各安全预警类型的责任者，预警方法；“安全预警后处理办法”主要描述安全预警后，系统管理员应采取的应对措施。

第一条目标：为了加强学院信息安全保障能力，建立健全学院的安全管理体系，提高整体的网络与信息安全水平，保证网络通信畅通和业务系统的正常运营，提高网络服务质量。

在学院安全体系框架下，本办法规范学院安全预警机制，和学院其他安全风险策略
一起构建学院安全风险预防体系。

第二条适用范围：本办法适用于中央戏剧学院信息网络中心及相关部门应用系统管理员。

一、安全预警的内容
第三条安全预警对象主要针对那些可能在较大范围内发生，传播速度快，影响范围广，造成危害大的安全事件、病毒以及安全漏洞。

第四条安全预警对象的主要特点是：
(一) 突发性、非一般性；
(二) 大范围传播、涉及面广；
(三) 可能造成重要危害和影响；
(四) 受影响的网络或系统存在相关的脆弱性；
(五) 需要动员内部和外部力量协同解决。

第五条安全预警根据预警对象划分为如下三类：
(一)安全漏洞类；
(二)病毒类；
(三)安全威胁/事件类。

第六条安全预警对象的典型表现包括网络蠕虫（如振荡波蠕虫、冲击波蠕虫，Nimda 蠕虫、Sql slammer蠕虫）、恶意代码、大规模网络攻击、异常网络流量、异常网络内容等。

二、安全预警管理
（一）病毒类安全预警管理
第七条病毒类安全预警主要由信息网络中心负责，安全预警发布
的主要内容应包括重大恶性病毒出现及发作、学校内部影响严重，涉及范围广的恶性病毒。

第八条安全预警的方式以安全通告形式发布、以邮件通报或短信息通知。

（二）安全漏洞类安全预警管理
第九条安全漏洞类安全预警主要由信息网络中心负责，安全预警发布的主要内容应包括重大安全漏洞发布、重大安全补丁发布。

第十条安全预警的方式以安全通告形式发布，邮件通报。

(三)安全威胁、事件类安全预警管理
第十一条安全威胁、事件类安全预警主要由信息网络中心负责，安全预警发布的主要内容应包括来自安全界的重大安全威胁、事件；以及来自外部发布的重大安全威胁、事件。

第十二条安全预警的方式以安全通告形式发布，以邮件、短信通报。

三、安全预警后处理
（一）预警后处理
第十三条在收到预警信息后，各系统管理员及安全管理员应检查所管设备是否存在预警信息中提到的弱点隐患。

如果没有及时处理，造成安全事件的发生，相关责任由各系统管理员负责。

第十四条学院各安全管理员应在预警信息后，要进行针对性预防，并对各系统进行
检查。

（二）事件发生处理
第十五条针对一般安全事件，在安全事件发生、处理后，应及时报信息网络中心，根据《安全事件管理办法》进行处理。

第十六条针对严重或重大安全事件，需要启动应急响应计划，根据《应急响应管理办法》进行处理。

第四部分网络运行维护管理办法
第一条目标：为了加强学院信息安全保障能力，建立健全的安全管理相关制度，提高整体的网络与信息安全水平，保证网络通信畅通
和业务系统的正常运营，提高网络服务质量，在学院安全体系框架下，本办法为加强学院信息管理日常运行维护的安全管理工作，起到指导和规范系统管理员的日常安全运行维护工作。

第二条适用范围：本办法适用于学院内部网/广域网、外部网络及各业务应用系统。

第三条适用人员：本办法适用于学院相关部门系统管理员。

第四条相关性：本办法涉及相关安全技术规范、安全检查及监控等管理办法。

一、运行维护管理办法
第五条学院相关部门系统管理员应根据学院实际情况制定应用系统的安全运行维护计划，并根据已经制定的安全运行维护计划进行日常操作和检查。

第六条安全管理员应定期检查各系统安全运行维护计划的执行情况，查看安全运行维护记录和实际的匹配情况，并进行记录。

二、操作程序和操作记录
第七条系统管理员和网络管理员在进行系统日常操作活动时应依照文档的程序进行，如计算机启动和关机程序、备份、设备维护、计算机机房和信息处理的管理和安全控制程序。

第八条系统或网络管理员应将操作程序作为正式文件对待，经部门负责人审批后才可修改。

第九条为了严格日常运行的安全管理，便于落实和检查，系统或网络管理员应做日常记录和登记。

第十条对于重要设备的各种操作行为，应保留审计记录。

三、安全检查
第十一条各级业务系统所属部门定期安排人员进行以下检查：
（一）信息安全组织机构的组成及运作；
（二）日常运行安全；
（三）数据备份安全；
（四）技术资料安全；
（五）防病毒；
（六）物理环境安全；
（七）设备物理安全；
（八）主机安全；
（九）数据库系统安全；
（十）应用系统安全；
（十一）网络系统安全；
（十二）信息安全应急；
（十三）黑客防范和计算机安全专用产品等。

第五部分数据备份管理办法
总则
第一条为进一步贯彻党中央和国务院批准的《国家信息化领导小组关于加强信息安全保障工作的意见》及其“重点保护基础信息网络和重要信息系统安全”的思想、贯彻信息产业部“积极预防、及时发现、快速反应、确保恢复”的方针和“同步规划、同步建设、同步运行”的要求，特制定本办法。

第二条数据备份直接关系到学校重要计算机系统在发生系统故障、数据丢失或非人为灾难时的系统恢复工作，因此必须高度重视数据备份工作，遵循“内容完备、安全保密、落实到人、定点存放、定期检验”的工作原则，切实保证备份数据的机密性、完整性和可用性。

第三条本办法所指的数据主要是指：相关部门与信息网络中心协商认定需要进行备份的以计算机系统可读取的电子数据格式存在的应用（业务）数据和系统（运行）数据。

备份数据则是指已经备份的上述数据。

备份数据的级别与其所属系统的最高级别一致。

当备份数据的保密性十分重要的前提下，备份数据应通过加密方法进行有效保护。

第四条本办法所指的备份介质是指用于存放备份数据的存储载体，包括磁带、磁盘、光盘等。

第五条本办法所指数据备份工作的相关部门包括：业务主管部门、信息网络中心，分别承担如下数据备份工作的职责：
（一）业务主管部门是指对某业务负有管理责任的部门，其数据备份工作的职责包括：
1、根据其主管业务相关数据的机密性、完整性和可用性提出备份计划；并定
期审核备份数据；
2、应用系统托管于信息网络中心的业务主管部门,根据其应用系统的特点,可向信
息网络中心提出数据备份需求。

由信息网络中心协助备份。

（二）信息网络中心协助相关部门进行数据备份工作职责包括：
1、接收、分析并实施业务主管部门提交的数据备份计划；
2、提出数据备份系统的预算，负责数据备份系统的总体规划、建设、运行和
维护工作；
3、负责备份介质的保管、使用、借用、移交、销毁、交接和管理等工作；
4、本地和异地备份介质存储环境的日常运作和管理。

一、数据备份策略的制定原则
第六条信息系统数据备份策略的制定原则如下：
(一)每日对变更的业务数据进行备份，备份介质存放在本地，保存期限最少为
一个月。

(二)每月对业务数据进行完整备份，备份介质应至少复制两份，分别存放在本
地和异地备份介质，保存期限至少为半年。

(三)系统发生重大变更或系统开关机前后，需进行完整的系统备份。

最近两次
生成的备份介质应分别存放在本地和异地备份介质。

(四)历史数据发生变更时应在变更前进行完整备份，最近两次变更生成的备份
介质应至少复制两份，分别存放在本地和异地备份介质。

(五)需要从系统移除的数据应在移除前进行完整备份，连同最近所有的历史数据备份介质，每份介质至少复制两份，每两份分别存放于
本地和异地备份介质。

(六)各数据备份部门备份生成的备份介质必须在备份结束后2小时内完成入库。

本地保存的备份介质必须在备份结束后2小时内完成入库；异地保存的备份介质必须在备份结束后8小时内入库。

(七)数据备份工作必须由指定人员负责，系统运行日志中对数据备份策略的执行应有明确的说明。

(八)定期（每半年）对备份策略进行评估；定期（每一年）抽验备份介质，以确保备份介质的可用性。

(九)使用电磁原理记录数据的备份介质，如需提供给第三方循环再用，必须进行消磁处理，以防泄密；使用光电等其它原理记录数据的备份介质不能提供给第三方循环再用。

(十)备份介质必须经过销毁过程，才能报废。

销毁过程必须确保备份介质上的数据已经被完全清除，并且在理论上和实际上都无法恢复原有的任何数据。

第七条数据备份需求主要包括以下内容：
一、备份项目和名称，数据备份目的和要求。

二、备份目标机器（机器名称和类型、网络地址）。

三、备份内容（目标、路径、盘符等）。

四、备份方式（全备份、增量备份、差异备份、事务日志备份等）及数据量算。

五、备份执行时间和周期。

六、备份介质类型、循环周期和保存期限。

七、备份介质的存放地点（本地或异地）。

二、自主数据备份流程
第八条业务主管部门根据所辖系统重要性、业务影响范围、系统运行特点和业务连续性等要求，制定涉及其主管数据的机密性、完整性和可用性需求。

对于新建设的系统，该类需求与该系统的业务需求一同制订；对于已有的系统，该类需求需要作为独立的业务需求制订。

第九条业务主管部门根据业务需求制订数据备份策略；业务主管部门定期针对备份数据、备份介质和备份介质存储环境的机密性、完
整性和可用性的进行测试。

三、委托数据备份执行流程
第十条业务主管部门根据所辖系统重要性、业务影响范围、系统运行特点和业务连续性等要求，向中心提出涉及其主管数据的机密性、完整性和可用性需求。

对于新建设的系统，该类需求与该系统的业务需求一同提出；对于已有的系统，该类需求需要作为独立的业务需求提出。

第十一条中心根据数据备份策略的制定原则和业务主管部门针对其主管数据
提出的机密性、完整性和可用性需求，制定数据备份方案。

业务主管部门确认方案并向中心提交数据备份需求并填写附表一《数据备份需求登记表》；
第十二条业务主管部门如需进行备份数据恢复，应填写附表二《备份数据恢复需求登记表》，中心向业务主管部门提交备份数据，业务主管部门进行数据恢复操作。

第十三条业务主管部门应确保委托备份的数据只包括应用（业务）数据和系统（运行）数据，其它无关数据应予以剔除。

第十四条若已委托备份的系统需进行项目变更（包括：软件维护、系统软件或硬件的局部变更、网络设备和网络环境的局部调整），业务主管部门和中心应在变更前对数据备份策略的制定原则重新评估，如有修改，应在项目变更前与中心重新办理相关委托备份手续，第十五条基于数据保密原则，中心在未经业务主管部门授权的情况下，不得恢复、查验委托备份的数据。

第十六条业务主管部门应定期协助中心对委托备份生成的数据备份介质进行
可用性检验，以确保备份数据的完整性、可用性和正确性。

附表一数据备份需求登记表
登记表性质：长期□临时□填表日期:
一服务器基本情况。