一、目的
为确保师生关键数据完整性、保密性和可用性,规范师生数据安全管理(包括数据的产生、存放、授权访问、传递、备份、备份介质的保管、销毁等方面),数据机房运行环境的安全(包含物理环境、网络、系统主机等方面)及相关人员的安全管理,特制定本规范。
二、适用范围
本规范适用于德州学院师生数据管理,包括客户纸质文件、电子影像、数据文本、客户信息文本、通话录音等。如遇自研系统开发数据、测试数据中涉及师生真实数据,同样需执行本规范。
三、主要角色和职责
表1.角色职责列表
角色名称 |
职责描述 |
软件运维人员 |
又称软件运维工程师,负责系统上线后,软件正常运行的维护保障工作。 |
系统运维人员 |
又称IT运维工程师,负责硬件设备(如网络、服务器)的维护保障工作。 |
内审工作组 |
由信息安全内审员组成,负责学校内部信息安全相关审核工作。 |
四、术语定义
表2.术语定义列表
术语 |
解释 |
师生数据 |
师生或用户相关隐私信息,如公民身份信息、学号等数据。 |
五、师生数据安全管理要求
根据数据产生的来源,将数据分为生产数据、开发数据、测试数据以及这些数据的备份数据。
(一)师生数据的产生及存放
生产数据是指生产系统上的数据,由业务运作输入产生,仅存放在生产系统中,包括:纸质文件、电子影像、数据文本、信息文本、通话录音等。
开发数据、测试数据由开发、测试人员编制产生,属于模拟数据,仅存放在开发、测试服务器中。一般情况下,开发数据、测试数据不涉及师生真实数据。如遇特殊情况,需采用师生真实数据用于开发、测试的,必须经师生授权且保留授权记录,相关数据进行脱敏操作后,方可将该数据投入开发、测试使用,且使用后需注意销毁。
备份数据是备份人员按照备份策略对关键数据和系统进行备份产生的。对于生产数据的备份,备份人员需根据制定好的备份策略或备份计划执行备份操作,且定期验证备份数据是否有效、可恢复,同时需确保备份介质存放在安全、适宜的环境中。对于开发数据、测试数据的备份不做强制要求,可根据项目实际需要。
(二)师生数据的授权访问
所有的授权须遵循“用户唯一、最小授权”的原则,授权人员须确保账户和口令的安全,不得越权访问,正常情况下不得将其权限借给他人使用。
1.生产系统及数据
软件运维人员访问生产系统数据库,需根据人员角色及具体工作内容授权,分别设置巡检账号(访问权限为只读)、变更及故障处理账号(访问权限为读写)。软件运维人员日常巡检工作使用巡检账号登录数据库,生产系统变更及故障处理操作使用变更及故障处理账号登录数据库。各生产系统,巡检账号、变更及故障处理账号分别设置一位主责人,正常情况下,仅有主责人掌握账号和口令,如遇特殊情况,可将密码交由备选责任人使用,使用归还后由主责人及时更改密码。软件运维人员访问生产服务器操作系统的账户和口令,由系统运维人员授权分配。由软件运维人员建立并持续维护【运维权限登记表】。
维护人员所有的访问必须从指定的维护终端上来进行。建议采用堡垒机的方式访问生产环境,实现系统运维人员、软件运维人员和审核人员的三员分立机制。
2.开发系统及数据开发系统及数据的访问权限由相关负责人授权,严禁私自将开发数据拷贝出开发环境。
3.测试系统及数据
4.测试系统及数据的访问权限由相关负责人授权,严禁私自将测试数据拷贝出测试环境,在测试环境禁止使用生产数据进行测试。
5.备份数据
对于备份数据,仅授权给备份人员访问,其他人员不得访问备份数据。
(三)数据的传递
生产数据原则上仅在生产环境中传递,任何情况,不得将生产数据输出生产环境。
测试、开发数据原则上仅在测试、开发环境中传递;因项目需要进行数据输出时,需经相关负责人审批后,由专人在专机上进行数据的输出,所有的输出均有记录可查。
(四)备份数据的保管及销毁
生产数据备份按照要求的备份策略进行备份,当备份介质需要从存储设备上取出时,须维护人员和系统负责方人员双方在场执行,并留有执行记录。
测试、开发数据的备份由备份人员负责备份和保管,根据所承载数据的重要程度对备份文件进行分类保存。
存储介质须存放在安全的环境中,实行专人管理,对介质归档和查询等进行登记记录,并根据存档介质的目录清单定期盘点。
备份数据的销毁策略按照公司要求提出的数据保存期限制定,未经批准不得自行销毁。
(五)生产数据的销毁
生产系统下线或停运后,根据公司要求要求由专人对系统中的生产数据销毁,并做好销毁记录,对于需要销毁的文件,须由专人负责进行销毁处理。
六、数据机房运行环境安全要求
(一)物理环境安全
数据机房内安装门禁控制装置、电视监控摄像头和安防监控报警装置,实行24小时监控。
禁止私自调整、挪动、遮挡或损坏电视监控系统和安防监控系统设备、设施,或者以任何借口影响电视监控系统和安防监控系统设备、设施正常功能的发挥。
机房的门禁权限仅授权给相关人员使用,授权人员不得转借他人使用。未经许可,非授权人员一律不准进入机房。保安人员有权阻止未授权人员进入机房。
任何进入机房的人员应登记进出记录,不允许携带箱包、笔记本、U盘、照相机、摄像机、电子记事本等物品进入,如设置独立的储物柜、采用安检仪扫描监测等措施。
机房内的信息处理设备均有明确的标识和固定的位置,任何个人不得私自挪动或擅自拆卸计算机硬件。任何信息处理设备必须经过审批才能带离机房或办公地点。
非本单位技术人员对本公司的设备、系统等进行维修、维护时,必须由本公司相关技术人员现场全程监督。计算机设备送外维修,须行政部负责人批准。送修前,需将设备存储介质内应用软件和数据等信息备份后删除,并进行登记。对修复的设备,设备维修人员应对设备进行验收、病毒检测和登记。
(二)网络安全
所有的网络设置须进行最小服务配置(例如设置强口令、限制维护终端、关闭不必要的端口、默认拒绝、开启日志等),建立严格的网络接入策略,确保所有连接均得到授权和批准。
应建立严格的网络连接控制,确保指定的终端,仅能通过指定的网络接入点,访问指定的服务器,做到终端、网络接入点和服务器之间的一一绑定。任何终端不得私自接入生产、测试开发网,建议通过准入控制技术来保障网络接入的安全。
机房内所有设施放置于固定的位置和固定的机柜中,专人负责维护。未经允许,任何人不得擅自改动网络设备或网线。
(三)系统主机安全
生产系统与开发系统、测试系统须有效隔离。
系统和主机应进行安全配置(例如设置强口令、安装补丁、关闭不必要的端口、开启日志、安装杀毒软件等)。应为操作系统和数据库系统的不同用户角色分配不同的用户名,确保用户名具有唯一性。
严格控制系统的特权账户,操作系统和数据库系统特权账号的角色须分离。
应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限;严格限制默认账户的访问权限,重命名系统默认账户,修改这些账户的默认口令;及时删除多余的、过期的账户,避免共享账户的存在。
生产环境的操作终端、测试终端、开发终端须按照口令策略设置强口令,密码不允许记录在计算机或笔记本上。操作人员离开终端时,务必启动桌面口令屏保程序。
七、人员安全管理要求
凡因工作需要,可直接接触到师生数据保密信息的人员必须进行严格的可靠性(身份、背景、专业资格和资质等)审核,签署相应的保密协议后,方可上岗工作。
对于关键数据必须专人操作,做到定人、定机、定岗。
对关键岗位(如软件运维人员、系统运维人员等)需设立专人专岗和AB岗。系统运维人员、软件运维人员不可兼职。
关键事务岗位应配备多人共同管理。
应严格执行人员离岗过程,及时终止离岗员工的所有访问权限;取回各种门禁卡、钥匙等设备;关键岗位人员离岗须承诺调离后的保密义务后方可离开。
针对不同岗位制定不同的培训计划,对信息安全基础知识、岗位操作规程等进行培训;并对培训的情况和结果进行记录并归档保存。
八、内部审核与监管机制
(一)审核监管范围及频度
定期对软件系统数据安全规范执行情况进行审计,审计检查项涉及数据的授权访问、数据的传递、数据的备份与保管。
由内审工作组每半年对其他数据进行审计,审计检查项涉及各单位的数据安全。
(二)定期审计机制
半年度审计
由内审工作组对其他数据进行审计,审计频度为半年一次。
(三)审计问题汇报
在审核时,当发现不符合规范的问题,审核人员与相关责任人分析问题产生的原因并协商纠正措施。如果审核人员与相关责任人能够达成一致意见,审核人员将责任人和计划完成时间进行记录,责任人实施纠正措施;如果相关责任人对不符合项不认同,审核人员将该不符合项汇报给相关部门负责人,由上述部门负责人共同对问题进行评审,给出最终结论,审核人员负责对最终结论的执行情况进行跟踪;如果上述部门负责人认为可以接受此问题可能带来的风险及影响,则审核人员将此问题状态更新为关闭。
(四)审计问题跟踪
审核人员定期跟踪问题的解决过程,验证纠正结果,记录问题处理的状态,直到问题被关闭。
对于相关责任人已承诺但不执行的问题(如超期一周以上仍不能解决),审核人员将该不符合项汇报给相关部门负责人,由上述部门负责人督促整改,审核人员持续跟踪。如果上述部门负责人一致认为可以接受此问题可能带来的风险及影响,并留有相关记录,则审核人员将此问题状态更新为关闭。
