中国移动河南公司信息与业务支撑部IT设备与系统安全基线管理办法v1.0

____________________________

郑州市第一人民医院信息系统

安全巡检方案

____________________________

保密申明

本文档版权由郑州市第一人民医院所有。未经郑州市第一人民医院书面许可，任何

单位和个人不得以任何形式摘抄、复制本文档的部分或全部，并以任何形式传播。

第一章总则

第一条目的：为保障郑州市第一人民医院信息系统的安全，编写了针对于郑州市第一人民医院信息系统安全巡检方案，有效指导安全扫描与检查、安全配置和设备入网安全工作的开展，提高业务系统支撑平台的安全运行保障能力。

第二条范围：本方案是以基线检查的形式开展巡检工作，主要针对信息中心管辖的业务支撑网的主机、数据库、中间件、网络设备、安全设备、终端等IT设备和管理制度的基线检查。

第三条原则：

（一）“合规性”原则：安全基线应符合国家法律法规和指南、上级主管单位的管理规范和要求、最新的安全技术规范。

（二）安全基线管理工作遵循“谁主管，谁负责；谁运营，谁负责；谁使用，谁负责”原则。

第四条参考标准与规范

《ISO/IEC 27001:2005信息安全管理体系要求》

《ISO/IEC 27002:2005信息安全管理实用规则》

《计算机信息系统安全保护等级划分准则》(GB17859-1999)

《信息安全技术信息系统安全等级保护定级指南》(GB/T 22240-2008)

《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008)

《信息安全技术信息系统安全等级保护测评要求》(GB/T 28448-2012)

《信息安全技术信息系统安全等级保护实施指南》(GB/T 28449-2012)

第二章信息系统基线检查要求

第五条信息系统安全基线实施原则

（一）服务最小化原则：IT设备提供的各种服务必须依据业务需求进行启用，与业务需求无关的服务必须关闭，特殊情况，必须申请例外配置。

（二）“遵从性”原则：国家相关法律法规、医院相关技术规范，须遵照执行。

第六条IT设备与系统安全基线内容

（一）帐号管理：各主机、数据库、网络设备、安全设备等帐号安全配置；

（二）口令管理：各主机、数据库、网络设备、安全设备等口令安全配置；

（三）远程管理：各主机、数据库、网络设备、安全设备等远程管理协议、端口、以及维护策略安全配置；

（四）补丁管理：各主机、数据库、网络设备、安全设备等补丁安全配置；

（五）病毒木马：各主机、数据库、网络设备、安全设备防病毒配置情况；

（六）日志审计：各IT设备与系统日志配置、收集、审计等；

（七）安全配置：各IT设备与系统安全增加配置；

（八）远程接入、终端接入的管理制度、审批流程，以及远程接入的权限控制策略。

（九）网络互联申请及审批流程、设备资源统计情况、安全域管理办法及拓扑划分情况。

（十）信息资产清单，信息资产的入网、退网的流程。

（十一）新系统上线前安全漏洞扫描、风险评估等报告、新系统上线前安全审批记录。

第七条详细基线检查内容见附件。

附件

附件一：主机安全基线配置标准

主机安全基线标准-

V1.0_0802.xls

附件二：数据库安全基线配置标准

数据库安全基线标

准-V1.0_0802.xls

附件三：中间件安全基线配置标准

中间件安全基线标

准-V1.0_0802.xls

附件四：终端安全基线配置标准

终端安全基线标准-

V0.2-20120803.xls

附件五：网络设备安全基线配置标准

网络设备安全基线

标准-v1.0_20120803.x

附件六：安全管理基线检查