OSS運營管理著所制定的規(guī)章制度應(yīng)該包含網(wǎng)絡(luò)、物理安全、操作系統(tǒng)安全、應(yīng)用程序安全、軟件開發(fā)、變更管理、問題管理、系統(tǒng)備份的各方面內(nèi)容(例如網(wǎng)絡(luò),物理安全,操作系統(tǒng)安全,應(yīng)用程序安全等)。相應(yīng)的安全規(guī)章制度應(yīng)進行定期審閱更新,并將審閱更新的要求包含在相關(guān)安全規(guī)章制度內(nèi)。對于已更新的安全規(guī)章制度應(yīng)及時下發(fā)各相關(guān)部門遵照執(zhí)行。
內(nèi)部網(wǎng)與外部網(wǎng)絡(luò)接口進行互聯(lián)時,必需經(jīng)過相關(guān)人員的書面批準。互聯(lián)方案必需組織內(nèi)部或外部的安全專家論證,論證通過方可采納。內(nèi)部互聯(lián)應(yīng)該保證統(tǒng)一接口,配置防火墻進行隔離,僅開放必要服務(wù)端口,內(nèi)部網(wǎng)絡(luò)互聯(lián)后,不應(yīng)降低原有網(wǎng)絡(luò)安全等級。內(nèi)部網(wǎng)絡(luò)互聯(lián)接口必須由指定的安全負責人進行管理和維護,負責接口的日常管理、策略調(diào)整等事務(wù);安全負責人需對相應(yīng)的接口進行監(jiān)控和審計。
OSS管理者在保證及時準確的提供信息服務(wù)的基礎(chǔ)上,應(yīng)該按不同的安全級別研究對安全域進行劃分,確認那些為核心子域,那些為接入域,那些為其他域。通過對不同的安全域進行不同的安全策略劃分,保證如上的安全域所享受的安全級別是不同的。圖1顯示,核心域、接入域和其他域是第次接入的,向下訪問可以透明傳輸,而向上的訪問就必須設(shè)定相應(yīng)的訪問控制。
OSS信息技術(shù)部門對電腦防病毒軟件統(tǒng)一升級,統(tǒng)一設(shè)置安全策略,強制安裝。防病毒服務(wù)器上設(shè)置自動實時更新殺毒軟件廠商發(fā)布的安全補丁及病毒庫。客戶終端上的殺毒軟件在登錄公司網(wǎng)絡(luò)時實現(xiàn)自動掃描更新安全補丁及病毒庫。了解公司客戶終端數(shù)量分布情況,抽取一定量的終端檢查其殺毒軟件更新情況,重點檢查接入核心域的相關(guān)部門終端,確認是否所有終端設(shè)置為自動更新殺毒軟件版本、安全補丁程序及所有終端均安裝了安全補丁和最新病毒庫版本。并組織專人查看客戶終端病毒日志。