第1章 概述

第1条  为规范和加强对九州注册新系统入网的安全管理， 确保信息         系统的安全、高效、稳定运行，特制定本管理制度。

第2条  本管理制度适用于九州注册的所有新系统建设。

第2章 总体原则

第3条  先加固，后上线：新增业务系统割接上线前，先行实施安全审核、安全加固，测试试运行，达到安全基准后方可上线，可在最大限度上避免业务系统在线运行期间安全加固可能造成的安全风险，充分保障系统割接上线后的安全防护能力。

第4条  权限最小化：明确接入访问权限需求，实施权限最小化，减少越权访问、网络滥用等情况发生的可能。

第3章 接入流程

第5条  新业务系统入网需通过接入申请、安全审核后，方可接入生产网中，新业务入网流程如下图所示：

第6条  新建系统在完成软硬件安装配置、测试后，可由系统建设部门的新系统项目的主管人员，提交新系统接入的申请。

第7条  由九州注册安全管理小组对新系统的安全配置情况进行审核，确保新系统的各项安全状况达到要求。

第8条  新系统安全配置审核不合格的，需通过安全解决方案设计及实施，达到安全配置要求后，方可重新申请入网。

第9条  对通过安全审核的新系统，可择机进行系统割接上线。

第4章 安全配置要求

第10条  主机安全配置，参见《信息安全等级保护测评报告模版（2015年版）》附件《第三级信息系统测评项权重赋值表》。

第11条  数据库安全配置，参见《信息安全等级保护测评报告模版（2015年版）》附件《第三级信息系统测评项权重赋值表》。

第12条  应用系统安全配置，参见《信息安全等级保护测评报告模版（2015年版）》附件《第三级信息系统测评项权重赋值表》。

第13条  网络设备安全配置，参见《信息安全等级保护测评报告模版（2015年版）》附件《第三级信息系统测评项权重赋值表》。

第14条  网络访问控制策略：新系统应部署防火墙等网络访问控制设备，根据权限最小化原则，严格配置网络访问控制策略。

第15条  入侵行为检测防范策略：新系统应部署有入侵行为检测与防范策略。全面检测网络节点流量，识别恶意入侵行为，实时告警记录，必要时实施防范阻断策略。

第16条  网络审计策略：新系统应部署有网络审计设备，可完整记录用户在系统上的操作行为。针对重要操作行为，配置实时告警策略。