粮食物流信息系统安全应用管理规范(二)
1.安全管理基本要求
粮食仓储业务信息系统安全管理要求包括:安全技术要求、安全管理要求和灾备恢复规范三个方面,它们是一个不可分割的整体。根据各储粮单位的具体情况,可以对其管理的仓储信息确定适当的安全等级,有针对性的实施安全管理。
总体上,粮食仓储业务信息系统安全管理要求应参照GB/T 22239标准以及相关标准,并结合各粮库信息系统的实际情况,制定相应的安全管理规范。
具体的,不同类别的粮食仓储企业,应依据企业自身的安全保护等级,参照相关标准执行。管理要求参照标准GB/T 20269,技术要求应参照标准GB/T 20271,灾备恢复要求应参照标准GB/T 20988。
1.1.安全技术要求
1.1.1.物理安全
机房和办公场地应选择在独立于仓房的建筑内,具有防震、防风和防雨等能力,并采取防雷击、防火、防水、防潮、防静电以及温湿度控制、电磁防护措施,防火禁止使用容易产生二次破坏的灭火剂。应在机房供电线路上配置稳压器和过电压防护设备,在供电不足或中断时,应保证服务器系统正常工作30分钟。有条件的,应当将机房和办公场地隔离。主要设备应当放置在机房内,并进行固定和标记。
1.1.2.网络安全
应当分别为业务管理系统、智能仓储系统、自动化作业系统、远程监管系统和办公自动化系统等信息系统设置单独的子段或网段,并部署网络交换机和统一的外部访问防火墙,以进行访问控制和入侵防范,并进行网络设备防护、边界完整性检查和安全审计。应安装防恶意代码软件,及时更新系统及防恶意代码软件版本和恶意代码库。
1.1.3.主机和应用安全
应对使用信息系统的用户进行身份标识和鉴别,对所有用户按照一定规则分配不同的用户名,口令应有复杂度要求并定期更换。为粮库领导、各业务部门主管以及业务人员分配不同的用户访问的权限。应当标识出需要定期备份的业务信息,至少应当将业务管理系统中的仓储业务信息,以及办公自动化系统中的办公文档进行定期备份。
1.2.安全管理要求
1.2.1.安全管理制度
应建立粮库信息系统管理与操作人员安全管理制度。安全管理制度要经过论证和审定,以正式文件的形式发放到相关人员手中。安全制度应当明确业务管理系统等重要信息系统的安全操作规程。
1.2.2.安全管理机构
应指定一名粮库中层以上领导担任信息系统安全主管,全面负责信息系统安全工作,以及应急处置和灾难恢复工作。安全主管应熟悉粮食物流业务和信息系统安全保护常识。
可聘请具有相应资质的外部专家协助实施应急处置和灾难恢复工作,并签署安全保密协议。
除粮库业务操作人员以外,应设立网络管理员、系统管理员、安全管理员等系统维护人员岗位,应当明确其角色和职责。
网络管理员负责网络设备和服务器系统的配置、管理和维护工作,为内部网的安全运行做技术保障。
系统管理员负责具体信息系统日常管理和维护,以及应急和灾难恢复的实施工作。具有信息系统的最高管理权限。
安全管理员负责定期进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等。
上述三类人员应具备计算机或相关专业专科以上学历,了解国家关于粮食流通领域的有关要求,熟练掌握常用的信息安全技术技能。数量可根据粮库人员配置情况确定,在编制紧张情况下,可以一人兼任多个岗位。上述人员需要签署安全保密协议。
1.2.3.人员安全管理
(1)人员角色和权限
根据人员的工作职责,分配信息系统用户权限。
系统用户:指系统管理员、网络管理员、数据库管理员等具有较高权限用户。粮库主要领导,以及核心业务部门的负责人具有系统用户的权限,可以查看粮库核心数据,但无修改数据的权限。
普通用户:粮食仓储业务工作人员,只有对自己业务范围内的功能模块数据录入、修改和查看,以及上传的权限。
临时用户:测试人员和第三方使用的用户等,一般情况下只有浏览办公系统的权限。
(2)人员离岗
a) 安全主管应该及时终止离岗人员的所有访问权限,取回各种身份证件、机房及办公室钥匙以及粮库提供的软硬件设备等。
b) 应记录并保存对离岗人员的安全处理记录(如交还身份证件、设备等的登记记录)。
(3)人员培训
应定期对接触信息系统的工作人员进行安全教育,以及信息安全技能和岗位技能培训,告知相关的安全知识、安全责任和惩戒措施;不定期地考查其对工作相关的粮食物流信息安全、仓储信息系统、信息安全技术基础知识、安全责任和应急处理措施等的理解程度和实际处理能力。
(4)外部人员访问管理
a) 一般情况下禁止外部人员接触粮库信息系统;在特殊情况下,须经安全主管批准才能访问,外部人员访问重要区域(如访问机房、重要服务器或设备区等)应采取一些安全措施,严禁外部人员复制信息系统中的信息。
b) 当外部人员接触信息系统时,必须有专人在场,记录并保存外部人员访问的时间地点等信息。
c) 外部人员接触信息系统的时间,必须限定在正常工作时间之内,并有安全管理人员陪同。
5.2.4.系统交付管理
应根据国家及粮食信息系统的建设规定,选择有相关资质的硬件及软件供应商进行业务系统的开发和建设。依据系统交付清单,指派专人负责及保管相应的设备、软件和文档等。应由产品提供商负责对系统运行维护技术人员进行相应的技能培训。
应确保产品提供商提供技术支持和服务承诺,必要时,与其签订技术支持和服务合同。
1.2.5.系统运维管理
(1) 环境管理
应指定专门的部门或人员定期对机房供电、空调、温湿度控制等设施进行维护管理,应对信息系统相关的各种设备和线路等定期进行维护管理;应对机房的出入、服务器的开机或关机等工作进行管理;应建立机房安全管理制度,对有关机房物理访问,物品带进、带出机房和机房环境安全等方面的管理作出规定。
(2) 资产管理
应建立粮库信息系统资产安全管理制度,规定信息系统资产管理的责任部门和责任人员,并规范资产管理和使用的行为。应编制与信息系统相关的资产清单。
(3) 介质管理
应对存储有仓储业务信息的存储介质(硬盘、移动硬盘、U盘以及其他存储载体)进行分类和标识,确保其存放在安全的环境中,对各类介质进行控制和保护,并实行专人管理;应对存档介质依据目录清单定期盘点;对需要送出维修或销毁的介质,首先清除其中涉及仓储业务管理的敏感数据,防止信息的非法泄漏。
(4) 设备管理
应建立基于申报、审批和专人负责的设备安全管理制度,对粮库信息系统的各种软硬件设备的选型、采购、发放和领用等过程进行规范化管理。应确保信息处理设备必须经过审批才能带离机房或办公地点。
(5) 网络安全管理
应定期进行网络系统漏洞扫描,对发现的网络系统安全漏洞进行及时的修补。应定期对操作系统进行漏洞扫描,对发现的系统安全漏洞进行及时的修补;应定期对防恶意代码软件进行更新;应及时安装系统的最新补丁程序,并在安装系统补丁前对现有的仓储业务数据以及重要文件进行备份。
(6) 系统安全管理
应提高所有操作人员的防病毒意识,及时升级防病毒软件,在读取移动存储设备上的数据以及网络上接收文件或邮件之前,先进行病毒检查,外来计算机或存储设备接入网络系统之前应进行病毒和木马检查。
1.3.灾备恢复
1.3.1.备份与恢复管理
应对仓储业务管理系统、远程监管系统和办公自动化系统中的数据定期进行备份;制定相关制度,明确规定备份信息的备份方式、备份频度、存储介质、保存期等,其中,业务管理系统数据应保存至少
10年以上,备份频度为至少每3天一次,其他业务系统根据仓储企业业务情况自行确定。
1.3.2.安全事件处置
应制定安全事件报告和处置管理制度,明确安全事件类型,规定安全事件的现场处理、事件报告和后期恢复的管理职责。
1.3.3.应急和灾备恢复
应在统一的应急预案框架下制定不同事件的应急预案,应急预案框架应包括启动应急预案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容;应急预案应明确应急恢复的内容和顺序,建议业务管理系统、智能仓储系统、自动化作业系统RTO为24小时以内,业务管理系统的RPO不超过3天,其他业务系统的RTO和RPO时间根据粮库自身技术能力确定。应每年对相关人员进行一次应急预案的培训和完整演练。
