目的

规范第三方应用的资源配置和监管原则，加强公司信息系统的安全管理工作，保障信息系统安全、稳定运行，充分发挥系统效用。

适用范围

本制度规定了第三方应用的资源配置原则和安全维护管理和故障处理办法。

定义

第三方应用：指非XXX体系公司提供的软件和应用，该应用用于服务XXX的业务经营

基础设施：应用运行所需要的服务器、网络和存储设备及资源

职责权限

原则：

1、在与非XXX体系公司合作过程中，应签订相关保密协议，确保合作过程中产生的数据、技术、应用等不对第三方泄漏，不出售于第三方，所产生的一切数据资产、技术资产所有权及知识产权归XXX所有

2、与非XXX体系公司合作的应用要求部署在XXX信息基础设施资源上，不允许数据外流、泄漏。

信息总部：提供应用运行所需的服务器和网络资源和对应的安全监管系统

应用归口部门（如零方、优选）：对应用软件、业务系统应用、资源使用情况、数据库负责

第三方供应商：负责维护应用软件和所需的相关软件

接入方式

网段规划

通过网段区分内部应用和第三方应用，网段规划参考四川区域授权方式和寿康区域授权的网段方式。其中四川的网段方式需要和现有的生产环境交互，寿康的网段无需和现有生产环境交互。

如无特别说明，默认不开通互联网访问权限

资源规划

采用内部云主机的模式配置。

Windows 配置原则：Windows 2019、SQL 2016 企业版（内部激活和内网补丁更新，数据库提供安装文件）

Linux 配置原则：CentOS 7.9

安全监管：

1、默认安装主机安全软件（安全狗或深信服edr）

2、如无特别说明不安装 zabbix 监控客户端

3、web 应用必须接入 WAF 防护，无特殊要求只开放80-443端口，并且必须配置SSL证书

4、远程桌面端口不对外映射，需要登录SSL VPN 访问堡垒机才能远程服务器

日常运维

1、SSL VPN 绑定访问用户，启用短信通知的2次验证

2、通过 SSL VPN 访问堡垒机资源，堡垒机上禁用远程桌面的复制、粘贴功能

3、提供第三方云盘上传和下载链接地址，增加密码访问规则。通过云盘功能实现文件传输

4、按规则开放网络 ACL 访问策略