聯(lián)通分公司通信網(wǎng)信息安全管理規(guī)程_第1頁(yè)
聯(lián)通分公司通信網(wǎng)信息安全管理規(guī)程_第2頁(yè)
聯(lián)通分公司通信網(wǎng)信息安全管理規(guī)程_第3頁(yè)
聯(lián)通分公司通信網(wǎng)信息安全管理規(guī)程_第4頁(yè)
聯(lián)通分公司通信網(wǎng)信息安全管理規(guī)程_第5頁(yè)
已閱讀5頁(yè),還剩23頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

信息安全管理規(guī)程 - 1 - 中國(guó)聯(lián)通 安徽分公司 通信網(wǎng) 信 息安全管理 規(guī)程 (暫行) 聯(lián)通 安徽分公司 2006 年 11 月 信息安全管理規(guī)程 - i - 目 錄 第一章 總則 . 1 1.1 編制說(shuō)明 . 1 1.2 適用范圍 . 1 1.3 規(guī)程執(zhí)行 . 1 第二章 安全組織和人員職責(zé) . 2 2.1 組織結(jié)構(gòu) . 2 2.2 信息安全相關(guān)人員職責(zé) . 2 2.2.1 網(wǎng)絡(luò)管理員職責(zé) . 2 2.2.2 數(shù)據(jù)庫(kù)系統(tǒng)管理員職責(zé) . 2 2.2.3 操作系統(tǒng)管理員職責(zé) . 3 2.2.4 業(yè)務(wù)系統(tǒng)管理員職責(zé) . 3 2.2.5 資產(chǎn)管理員職責(zé) . 3 2.3 信息安全相關(guān)人員職責(zé) . 3 第三章 用戶帳號(hào)與口令安全管理 . 4 3.1 口令設(shè)置原則 . 4 3.2 用戶新增、注銷 . 4 3.3 帳號(hào)配置與管理 . 4 3.4 權(quán)限設(shè)置及變更 . 5 3.5 帳號(hào)、口令使用管理 . 6 第四章 網(wǎng)絡(luò)安全管理 . 6 4.1 基礎(chǔ)管理 . 6 4.1.1 網(wǎng)絡(luò)結(jié)構(gòu)管理 . 6 4.1.2 網(wǎng)絡(luò)配置管理 . 7 4.1.3 網(wǎng)絡(luò)互連管理 . 7 4.1.4 終端接入管理 . 7 4.2 運(yùn)行管理 . 8 4.2.1 網(wǎng)絡(luò)監(jiān)控管理 . 8 4.2.2 網(wǎng)絡(luò)審計(jì)管理 . 8 第五章 數(shù)據(jù)安全管理 . 9 5.1 數(shù)據(jù)安全范圍 . 9 5.2 數(shù)據(jù)管理通則 . 9 5.3 存儲(chǔ)、備份與恢復(fù) . 10 第六章 保密安全管理 . 10 6.1 涉密數(shù)據(jù)安全管理 . 10 6.1.1 數(shù)據(jù)密級(jí)分類原則 . 10 - ii - ii 6.1.2 涉密數(shù)據(jù)密級(jí)確認(rèn) .11 6.1.3 涉密數(shù)據(jù)的獲取 . 12 6.1.4 涉密數(shù)據(jù)的傳遞 . 12 6.1.5 涉密數(shù)據(jù)保管、存檔 . 12 6.2 涉密網(wǎng)絡(luò)安全管理 . 13 6.3 涉密人員安全管理 . 14 第七章 防病毒安全管理 . 14 7.1 建立病毒預(yù)警機(jī)制 . 14 7.2 防病毒軟件的安裝使用 . 15 7.3 防范病毒措施 . 15 7.4 病毒處理 . 16 7.5 員工防病毒安全管理 . 16 第八章 終端用戶安全管理 . 17 8.1 終端安全管理 . 17 8.2 終端用戶帳戶與口令管理 . 17 8.3 終端用戶行為規(guī)范 . 17 8.4 終端用戶防病毒安全管理 . 18 第九章 安裝及升級(jí)安全管理 . 18 9.1 軟件安裝安全管理 . 18 9.2 主機(jī)設(shè)備安裝安全管理 . 18 9.3 網(wǎng)絡(luò)設(shè)備安裝安全管理 . 20 9.4 補(bǔ)丁 /升級(jí)安全管理 . 20 9.4.1 補(bǔ)丁 /升級(jí)檢查 . 20 9.4.2 補(bǔ)丁 /升級(jí)文件下載 . 20 9.4.3 補(bǔ)丁 /升級(jí)文件安裝 . 20 9.5 變更管理 . 21 9.5.1 軟件變更的安全管理 . 21 9.5.2 系統(tǒng)配置安全管理 . 21 第十章 應(yīng)急安全管理 . 21 10.1 應(yīng)急工作定義 . 21 10.2 應(yīng)急響應(yīng)組的組建 . 22 10.3 應(yīng)急響應(yīng)計(jì)劃的 制定 . 22 10.4 信息安全事件的報(bào)告和應(yīng)急處理 . 22 10.5 應(yīng)急信息庫(kù)的建立 . 23 10.6 應(yīng)急恢復(fù)演練和測(cè)試 . 23 10.7 應(yīng)急恢復(fù)培訓(xùn) . 23 附件一、系統(tǒng)帳號(hào)權(quán)限申請(qǐng)表 . 24 附件二、數(shù)據(jù)密級(jí)分類記錄表 . 25 附件三、系統(tǒng)安全檢查記錄表 . 25 信息安全管理規(guī)程 - 1 - 第第 一一 章章 總總 則則 1.1 編編 制制 說(shuō)說(shuō) 明明 為加強(qiáng)中國(guó)聯(lián)通 安徽分公司通信網(wǎng) 信息安全管理,保障各種信息資產(chǎn)的機(jī)密性、完整性和可用性,特制定中國(guó)聯(lián)通 安徽分公司通信網(wǎng) 信息安全管理 規(guī)程 (以下簡(jiǎn)稱“本規(guī)程” )。 本規(guī)程是 中國(guó) 聯(lián)通 安徽分公司通信網(wǎng) 信息安全管理的總原則,與中國(guó)聯(lián)通 通行 網(wǎng)運(yùn)行維護(hù)規(guī)程互為補(bǔ)充,二者具有同等效力。 本規(guī)程的解釋和修改權(quán) 屬于中國(guó)聯(lián)通 安徽分公司運(yùn)行維護(hù) 部。 1.2 適適 用用 范范 圍圍 本規(guī)程 適用于對(duì)中國(guó)聯(lián)通 安徽分公司通信網(wǎng) 信息資產(chǎn)各要素(包括:人員、數(shù)據(jù)、網(wǎng)絡(luò)、終端等) 的安全管理 , 各市級(jí)分公司 在涉及到 通信網(wǎng) 信息安全時(shí)應(yīng)遵照?qǐng)?zhí)行。 中國(guó)聯(lián)通安徽分公司運(yùn)行維護(hù)部和安徽 聯(lián)通 各市級(jí)分公司通信網(wǎng)維護(hù)部門 的所有員工必須遵守本規(guī)程的規(guī)定,并依據(jù)本規(guī)程加強(qiáng)對(duì)第三方的管理,如由于未遵循本規(guī)程導(dǎo)致出現(xiàn)安全問(wèn)題,相關(guān)部門和人員負(fù)有責(zé)任。 1.3 規(guī)規(guī) 程程 執(zhí)執(zhí) 行行 本規(guī)程是聯(lián)通 安徽分公司通信網(wǎng) 信息安全管理的基礎(chǔ)性文件,各 市級(jí) 分公司 要結(jié)合自身的實(shí)際情況制定實(shí)施細(xì)則。實(shí)施細(xì)則不能違反本 規(guī)程的原則,細(xì)則在實(shí)施前應(yīng)報(bào)相關(guān)管理部門備案。 本規(guī)程自下發(fā)之日起正式執(zhí)行。 信息安全管理規(guī)程 - 2 - 第第 二二 章章 安安 全全 組組 織織 和和 人人 員員 職職 責(zé)責(zé) 2.1 組組 織織 結(jié)結(jié) 構(gòu)構(gòu) 中國(guó)聯(lián)通 安徽分公司通信網(wǎng) 信息安全實(shí)施統(tǒng)一領(lǐng)導(dǎo)、分級(jí)管理、專業(yè)分工負(fù)責(zé)的原則。 通信網(wǎng) 信息安全采用三級(jí)管理體制,分為:聯(lián)通總部 、 省 級(jí) 分公司 、 市 級(jí) 分公司。總部信息安全組織負(fù)責(zé)全公司的信息安全指導(dǎo)和運(yùn)行管理和總部的信息安全運(yùn)行 , 省級(jí)信息安全組織負(fù)責(zé)本省信息安全指導(dǎo)、運(yùn)行和運(yùn)行管理 , 市 級(jí) 分公司負(fù)責(zé)當(dāng)?shù)氐男畔踩\(yùn)行。 總部信息安全組織在安全管理上領(lǐng)導(dǎo)各省分公司信息安全組織,省級(jí)信息安全組織在安全管理上領(lǐng)導(dǎo) 各地市信息安全組織。 總部和省級(jí)分公司的信息安全組織中均設(shè)置 信息安全指導(dǎo)委員會(huì)和信息安全工作組,市 級(jí) 分公司設(shè)立信息安全工作組或 指定一位信息安全員承擔(dān)信息安全管理工作。 2.2 信信 息息 安安 全全 相相 關(guān)關(guān) 人人 員員 職職 責(zé)責(zé) 2.2.1 網(wǎng)網(wǎng) 絡(luò)絡(luò) 管管 理理 員員 職職 責(zé)責(zé) (1) 負(fù)責(zé)防病毒管理、防火墻系統(tǒng)管理、入侵檢測(cè)管理、安全漏洞掃描管理等; (2) 參與網(wǎng)絡(luò)系統(tǒng)安全策略、計(jì)劃和事件處理程序的制定; (3) 承擔(dān)網(wǎng)絡(luò)安全事件的處理; (4) 參與網(wǎng)絡(luò)安全建設(shè)和運(yùn)營(yíng)方案的制定; (5) 負(fù)責(zé)網(wǎng)絡(luò)設(shè)備操作系統(tǒng)升級(jí)、補(bǔ)??; (6) 負(fù)責(zé)網(wǎng)絡(luò)日常監(jiān)控、優(yōu)化和安全加固; (7) 負(fù)責(zé)網(wǎng)絡(luò)設(shè)備操作系統(tǒng)和配置數(shù)據(jù)備份。 2.2.2 數(shù)數(shù) 據(jù)據(jù) 庫(kù)庫(kù) 系系 統(tǒng)統(tǒng) 管管 理理 員員 職職 責(zé)責(zé) (1) 參與數(shù)據(jù)庫(kù)系統(tǒng)安全策略、計(jì)劃和事件處理程序的制定; (2) 承擔(dān)數(shù)據(jù)庫(kù)系統(tǒng)安全事件的處理; (3) 負(fù)責(zé)數(shù)據(jù)庫(kù)系統(tǒng)升級(jí)、補(bǔ)丁和和安全加固; (4) 負(fù)責(zé)數(shù)據(jù)庫(kù)系統(tǒng)的日常安全監(jiān)控、配置和數(shù)據(jù)備份; (5) 負(fù)責(zé)數(shù)據(jù)庫(kù)系統(tǒng)權(quán)限和口令管理。 信息安全管理 規(guī)程 - 3 - 3 2.2.3 操操 作作 系系 統(tǒng)統(tǒng) 管管 理理 員員 職職 責(zé)責(zé) (1) 參與操作系統(tǒng)系統(tǒng)安全策略、計(jì)劃和事件處理程序的制定; (2) 承擔(dān)操作系統(tǒng)系統(tǒng)安全事件的處理; (3) 負(fù)責(zé)操作系統(tǒng)系統(tǒng)的升級(jí)、補(bǔ)丁和安全加固; (4) 負(fù)責(zé)操作系統(tǒng)的日常安全監(jiān)控和操作系統(tǒng)和文件系統(tǒng)的備份; (5) 負(fù)責(zé)操作系統(tǒng)權(quán)限和口令管理。 2.2.4 業(yè)業(yè) 務(wù)務(wù) 系系 統(tǒng)統(tǒng) 管管 理理 員員 職職 責(zé)責(zé) (1) 參與應(yīng)用系統(tǒng)安全策略、計(jì)劃和事件處理程序的制定; (2) 承擔(dān)應(yīng)用系統(tǒng)安全事件的處理; (3) 負(fù)責(zé)應(yīng)用系統(tǒng)的安全加固; (4) 負(fù)責(zé)應(yīng)用系統(tǒng)的日常安全監(jiān)控和數(shù)據(jù)備份; (5) 負(fù)責(zé)應(yīng)用系統(tǒng)帳號(hào)權(quán)限和口令管理; (6) 負(fù)責(zé)應(yīng)用系統(tǒng)在操作系統(tǒng)和數(shù)據(jù)庫(kù)中帳號(hào)及該帳號(hào)下數(shù)據(jù)安全。 2.2.5 資資 產(chǎn)產(chǎn) 管管 理理 員員 職職 責(zé)責(zé) (1) 按照資產(chǎn)存放環(huán)境要求存放相關(guān)物資和資料; (2) 根據(jù)信息資產(chǎn)的分類分級(jí)標(biāo)識(shí)的要求進(jìn)行資產(chǎn)、資料的標(biāo)識(shí); (3) 根據(jù)資產(chǎn)的信息安全等級(jí)進(jìn)行物資的入庫(kù)、出庫(kù)、銷毀,資料的保管、借閱、銷毀; (4) 資產(chǎn)管理員應(yīng)特別注意以下內(nèi)容的安全管理:系統(tǒng)備份、數(shù)據(jù)備份載體及相應(yīng)文檔管理;業(yè)務(wù)數(shù)據(jù)、經(jīng)營(yíng)數(shù)據(jù)、運(yùn)行數(shù)據(jù)的載體及相應(yīng)文檔的管理;軟件資料管理(包括軟件開發(fā)的源代碼、軟件設(shè)計(jì)說(shuō)明書、使用說(shuō)明書、許可證等);硬件隨機(jī)文檔;系統(tǒng)設(shè)計(jì)方案、工程施工過(guò)程文檔、系統(tǒng)運(yùn)行維護(hù)文檔、招投標(biāo)過(guò)程文檔;其它文檔管理(包括各種規(guī)章制度、收發(fā)文、工作日志歸檔、設(shè)備清單、合同)等等。 2.3 信信 息息 安安 全全 相相 關(guān)關(guān) 人人 員員 職職 責(zé)責(zé) 聯(lián)通安徽分公司通信網(wǎng)各信息系統(tǒng)內(nèi),應(yīng)有恰當(dāng)?shù)穆氊?zé)分離制度。若無(wú)法成立職責(zé)分離制度時(shí),則應(yīng)建立適當(dāng)?shù)谋O(jiān)管機(jī)制,以監(jiān)督個(gè)人的表現(xiàn)與其矛盾的角色。 通信網(wǎng)各信息系統(tǒng)需由系統(tǒng)負(fù)責(zé)人建立自身組織結(jié)構(gòu)圖以及系統(tǒng)職責(zé)分工明細(xì)表,并報(bào)分管領(lǐng)導(dǎo)審批同意后執(zhí)行。 系統(tǒng)職責(zé)分工明 細(xì)表應(yīng)詳盡描述系統(tǒng)中各角色所對(duì)應(yīng)具體人員以及組織領(lǐng)導(dǎo)關(guān)系,明確權(quán)責(zé)關(guān)系。在人員角色變動(dòng)時(shí),需有正式文檔進(jìn)行變更記錄。 部門安全監(jiān)督員應(yīng)每年進(jìn)行一次檢查,同時(shí)要進(jìn)行不定期的抽查。 信息安全管理 規(guī)程 - 4 - 4 第第 三三 章章 用用 戶戶 帳帳 號(hào)號(hào) 與與 口口 令令 安安 全全 管管 理理 3.1 口口 令令 設(shè)設(shè) 置置 原原 則則 (1) 口令中至少應(yīng)包括以下三種:數(shù)字、大寫字母、小寫字母以及特殊字符(特殊符號(hào)舉例如下: !#$%&*()_+|-=:”;?,./) ; (2) 口令長(zhǎng)度不應(yīng)小于 8 位; (3) 口令 避免以下選擇: 親戚、朋友、同事、單位等的名字,生日、車牌號(hào)、電話號(hào)碼; 一串相同的數(shù)字或字母; 明顯的鍵盤序列; 所有上面情況的逆序或前后加一個(gè)數(shù)字; 常見(jiàn)的詞語(yǔ)或字典詞語(yǔ)。 3.2 用用 戶戶 新新 增增 、 注注 銷銷 (1) 新增用戶:必須由申請(qǐng)部門提出正式申請(qǐng),填寫相關(guān)信息 ,包括 使用者姓名、聯(lián)系電話、職責(zé)(崗位)、 IP 地址、 使用時(shí)間、 申請(qǐng)使用的系統(tǒng)范圍和權(quán)限等信息。由申請(qǐng)部門領(lǐng)導(dǎo)審批后移交給信息安全工作組,審核后,下發(fā)至相應(yīng)的管理員,管理員根據(jù)申請(qǐng)的內(nèi)容進(jìn)行賦權(quán); (2) 注銷用戶 : 由于人事變動(dòng),帳號(hào)的使用者發(fā)生崗位變動(dòng)或者離職,人力資源部發(fā)報(bào) 人事變更訊息,通知至系統(tǒng)管理員所在部門。由系統(tǒng)管理員提出正式申請(qǐng)經(jīng)系統(tǒng)所在部門領(lǐng)導(dǎo)審批后,立即進(jìn)行相應(yīng)的權(quán)限變動(dòng)或帳號(hào)回收,嚴(yán)格防止由于崗位變動(dòng),帳號(hào)、權(quán)限沒(méi)有進(jìn)行變更的情況; (3) 權(quán)限變更:由申請(qǐng)員工填寫工單詳細(xì)描述需要變更的權(quán)限內(nèi)容。由申請(qǐng)部門領(lǐng)導(dǎo)審批后提交信息安全工作組,經(jīng)審核下發(fā)至相應(yīng)的管理員進(jìn)行權(quán)限的變更。 3.3 帳帳 號(hào)號(hào) 配配 置置 與與 管管 理理 (1) 帳號(hào)權(quán)限在建立 /更新 /取消時(shí),用戶應(yīng)填寫系統(tǒng)帳號(hào)權(quán)限申請(qǐng) 表 (參見(jiàn)附件一)來(lái)申請(qǐng);該表單應(yīng)由系統(tǒng)擁有者來(lái)審批和簽署 ; (2) 系統(tǒng)管理員負(fù)責(zé)對(duì)應(yīng)用系統(tǒng)、網(wǎng)絡(luò)、服務(wù)器或其他信息設(shè)備的用戶帳號(hào) 、權(quán)限進(jìn)行管理。對(duì)用戶帳號(hào)和權(quán)限進(jìn)行登記備案,至少每半年審核一次用戶帳號(hào)的使用情況,對(duì)長(zhǎng)期未使用的或過(guò)期的帳號(hào)進(jìn)行清理; (3) 在系統(tǒng)上線運(yùn)行前,系統(tǒng)管理員必須重新配置或更改廠商在開發(fā)、測(cè)試階段設(shè)置的應(yīng)用系統(tǒng)、網(wǎng)絡(luò)、服務(wù)器或其他信息設(shè)備的系統(tǒng)口令、用戶帳號(hào)及口令,更改數(shù)據(jù)庫(kù)內(nèi)置帳號(hào)的口令; (4) 如果必須給予第三方人員 (如廠商支持工程師 )帳號(hào)口令,或當(dāng)外包方人員申 信息安全管理 規(guī)程 - 5 - 5 請(qǐng)開通系統(tǒng)帳號(hào)時(shí),須事先與系統(tǒng)擁有部門簽訂保密協(xié)議,按照普通用戶新增、注銷管理規(guī)定執(zhí)行。系統(tǒng)管理員必須予以登記并納入統(tǒng)一管理,同時(shí)對(duì)帳號(hào)安全負(fù)有責(zé)任; (5) 帳號(hào)配 置不允許由系統(tǒng)管理員外其他任何用戶操作,也不能在系統(tǒng)管理員使用的終端之外進(jìn)行安裝; (6) 系統(tǒng)管理員給新增用戶分配 帳號(hào)必須設(shè)置口令,并限定有效期。 必須強(qiáng)制新用戶在第一次登陸時(shí)更改口令; (7) 系統(tǒng)管理員必須有能力更改口令,幫助用戶開啟被鎖定的口令,對(duì)非法操作及時(shí)查明原因;解決口令使用過(guò)程中出現(xiàn)的問(wèn)題;定期向主管領(lǐng)導(dǎo)和信息安全工作組匯報(bào)帳號(hào)、口令使用情況和需要解決的問(wèn)題; (8) 重大操作后、口令使用期滿、被其他人知悉或認(rèn)為口令不保密時(shí),系統(tǒng)管理員應(yīng)按照口令更改流程變換口令??诹罡鼡Q操作應(yīng)在保密條件下進(jìn)行; (9) 業(yè)務(wù)系統(tǒng)管理員在配置 應(yīng)用系統(tǒng)用戶帳號(hào)時(shí),必須采用加密口令格式,在登陸輸入口令過(guò)程中不能以任何方式顯示口令; (10) 系統(tǒng)管理員應(yīng)定期檢查、審核賬號(hào)的操作日志記錄; (系統(tǒng)管理員至少每六個(gè)月要對(duì)系統(tǒng)的帳號(hào)及相關(guān)權(quán)限進(jìn)行檢查或抽查,形成相應(yīng)的檢查記錄報(bào)告,由系統(tǒng)擁有者或信息安全經(jīng)理簽字確認(rèn) ); (11) 信息安全監(jiān)督員應(yīng)每三個(gè)月對(duì)系統(tǒng)用戶和管理員的訪問(wèn)權(quán)限進(jìn)行審核,對(duì)于涉及重要數(shù)據(jù)的賬號(hào)和權(quán)限應(yīng)提交相關(guān)領(lǐng)導(dǎo)審核確認(rèn);信息安全經(jīng)理應(yīng)至少每三個(gè)月一次對(duì)系統(tǒng)管理員帳號(hào)、權(quán)限做檢查,對(duì)相應(yīng)的訪問(wèn)及操作日志進(jìn)行審核;并形成安全檢查報(bào)告存檔。 (12) 臨時(shí)帳號(hào)的申請(qǐng)單應(yīng) 獨(dú)立存檔并由第三者 (非批準(zhǔn)人 )作至少每月進(jìn)行一次檢查;在使用期滿時(shí),系統(tǒng)管理員應(yīng)審核臨時(shí)帳號(hào)操作日志記錄并形成相應(yīng)的檢查記錄報(bào)告,由系統(tǒng)擁有者或信息安全經(jīng)理簽字確認(rèn)。 (13) 嚴(yán)禁多人和多系統(tǒng)共用帳號(hào)。 每個(gè)操作用戶必須有且只有一個(gè)專用帳號(hào); (14) 口令在數(shù)據(jù)庫(kù)中的存放和通過(guò)網(wǎng)絡(luò)傳輸不應(yīng)采用明碼方式,對(duì)口令的訪問(wèn)和存取必須加以控制,以防止口令被非法修改或泄露; (15) 具有口令功能的計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備等系統(tǒng)處理公司秘密信息,必須使用口令對(duì)用戶進(jìn)行身份驗(yàn)證和確認(rèn)。 3.4 權(quán)權(quán) 限限 設(shè)設(shè) 置置 及及 變變 更更 (1) 對(duì)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)、信息的訪問(wèn)采用分級(jí)管理,根據(jù)人 員職責(zé)設(shè)定權(quán)限; (2) 超級(jí)用戶權(quán)限只允許系統(tǒng)管理員使用,其他用戶需要使用超級(jí)權(quán)限時(shí)需提出申請(qǐng),經(jīng)審批后,由系統(tǒng)管理員作一次性授權(quán),并在系統(tǒng)管理員隨工下操作; (3) 員工只能擁有本崗位內(nèi)的權(quán)限,且采取最低可用原則配置;如因工作需要另外增加崗位外權(quán)限的,需要領(lǐng)導(dǎo)審批;經(jīng)使用員工所在部門領(lǐng)導(dǎo)和信息安全工作組同意后方可增加,增加后要保留操作日志和審批記錄; (4) 系統(tǒng)管理員對(duì)到期的使用授權(quán)負(fù)責(zé)收回; (5) 在權(quán)限建立 /更新 /取消時(shí),用戶應(yīng)填寫系統(tǒng)權(quán)限申請(qǐng)單來(lái)申請(qǐng)權(quán)限。該表單 信息安全管理 規(guī)程 - 6 - 6 應(yīng)由系統(tǒng)擁有者來(lái)審批和簽署。操作人員在完成操作后需在系統(tǒng)帳號(hào) 權(quán)限申請(qǐng) 表 中進(jìn)行情況說(shuō)明并有第三者進(jìn)行確認(rèn)。 3.5 帳帳 號(hào)號(hào) 、 口口 令令 使使 用用 管管 理理 (1) 用戶使用系統(tǒng)時(shí),必須使用帳號(hào)以及口令進(jìn)行登陸,方可進(jìn)行操作 ; (2) 禁止 使用系統(tǒng)內(nèi)置帳號(hào)進(jìn)行應(yīng)用系統(tǒng)數(shù)據(jù)的維護(hù)工作。嚴(yán)禁使用數(shù)據(jù)庫(kù)內(nèi)置帳號(hào)的口令進(jìn)行數(shù)據(jù)庫(kù)管理; (3) 重要的設(shè)備、系統(tǒng)的管理員帳號(hào)口令在每次修改之后必須備案; (4) 口令必須定期修改,口令使用周期不能超過(guò) 3 個(gè)月,在涉密較多、人員復(fù)雜、保密條件較差的地方應(yīng)盡可能縮短口令的使用時(shí)間; (5) 用戶應(yīng)記住自己的帳號(hào)、口令,不允許記載在不保密的媒介物或貼在終端上。同時(shí),避免泄漏口令,不要將口令告訴其他人。如果 發(fā)現(xiàn)口令泄漏,應(yīng)立即通知系統(tǒng)管理員及時(shí)更改; (6) 用戶 通過(guò)公網(wǎng)連接到公司內(nèi)部網(wǎng)站時(shí),需注意帳號(hào)、口令的保密,避免在公共場(chǎng)所泄漏帳號(hào)、口令; (7) 企業(yè)內(nèi)用戶口令不應(yīng)當(dāng)用作其他非企業(yè)應(yīng)用的口令,如公網(wǎng)郵箱口令等。 第第 四四 章章 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 管管 理理 4.1 基基 礎(chǔ)礎(chǔ) 管管 理理 4.1.1 網(wǎng)網(wǎng) 絡(luò)絡(luò) 結(jié)結(jié) 構(gòu)構(gòu) 管管 理理 (1) 中國(guó)聯(lián)通通信網(wǎng) 分為 聯(lián)通總部 省 級(jí)分 公司市 級(jí) 分公司三級(jí)結(jié)構(gòu),包括 總部(大區(qū)) 中心、省中心和地市三層節(jié)點(diǎn); (2) 總部中心網(wǎng)絡(luò)及省際骨干網(wǎng)絡(luò)的安全建設(shè)和維護(hù)由總部負(fù)責(zé),各省分公司負(fù)責(zé)省內(nèi)網(wǎng)絡(luò)的安全建設(shè)和維護(hù)管理,地市分公司負(fù)責(zé)地市的網(wǎng)絡(luò)安全維護(hù); (3) 網(wǎng)絡(luò)整體的拓?fù)浣Y(jié)構(gòu)需進(jìn)行嚴(yán)格的規(guī) 劃、設(shè)計(jì)和管理,一經(jīng)確定,不能輕易更改; (4) 如因業(yè)務(wù)需要,確需對(duì)網(wǎng)絡(luò)的整體拓?fù)浣Y(jié)構(gòu)進(jìn)行調(diào)整和改變,需按照相應(yīng)的運(yùn)維管理規(guī)程上報(bào); (5) 對(duì)重要網(wǎng)段要進(jìn)行重點(diǎn)保護(hù),要使用防火墻等安全設(shè)備以及 VLAN 或其他訪問(wèn)控制方式與技術(shù)將重要網(wǎng)段與其它網(wǎng)段隔離開; (6) 網(wǎng)絡(luò)結(jié)構(gòu)要按照分層網(wǎng)絡(luò)設(shè)計(jì)的原則來(lái)進(jìn)行規(guī)劃, 合理清晰的層次劃分和設(shè)計(jì),可以保證網(wǎng)絡(luò)系統(tǒng)骨干穩(wěn)定可靠、接入安全、便于擴(kuò)充和管理、易于故障隔離和排除。 信息安全管理 規(guī)程 - 7 - 7 4.1.2 網(wǎng)網(wǎng) 絡(luò)絡(luò) 配配 置置 管管 理理 (1) 總部網(wǎng)絡(luò)管理部門負(fù)責(zé)對(duì)總部到各省廣域網(wǎng)絡(luò)的統(tǒng)一配置管理工作,未經(jīng)總部網(wǎng)絡(luò)管理部門同意,各分公司無(wú)權(quán)更改廣域網(wǎng) 的網(wǎng)絡(luò)配置; (2) 省分網(wǎng)絡(luò)管理部門負(fù)責(zé)對(duì)省分到各地市分公司廣域網(wǎng)絡(luò)的統(tǒng)一配置管理工作,未經(jīng)省分網(wǎng)絡(luò)管理部門同意,各地市分公司無(wú)權(quán)更改廣域網(wǎng)的網(wǎng)絡(luò)配置; (3) 各級(jí)網(wǎng)絡(luò)管理部門需負(fù)責(zé)網(wǎng)絡(luò)的性能分析,以充分了解 系統(tǒng)資源的運(yùn)行情況及通信效率情況 ,提出網(wǎng)絡(luò)優(yōu)化方案; (4) 各級(jí)網(wǎng)絡(luò)管理部門負(fù)責(zé)進(jìn)行本地局域網(wǎng)的統(tǒng)一的配置管理工作; (5) 所有的網(wǎng)絡(luò)配置工作都要有文檔記錄,網(wǎng)絡(luò)設(shè)備的配置文件需要定期備份; (6) 按照最小服務(wù)原則為每臺(tái)基礎(chǔ)網(wǎng)絡(luò)設(shè)備進(jìn)行安全配置; (7) 網(wǎng)絡(luò)需保持持續(xù)不斷的運(yùn)行,維護(hù)工作要在用戶使用量小的時(shí)候進(jìn)行。 4.1.3 網(wǎng)網(wǎng) 絡(luò)絡(luò) 互互 連連 管管 理理 (1) 網(wǎng)絡(luò)按訪 問(wèn)控制策略劃分不同的邏輯區(qū)域; (2) 公司內(nèi)部不同業(yè)務(wù)的計(jì)算機(jī)網(wǎng)絡(luò)之間的互連原則: 互連點(diǎn)上必須實(shí)施安全措施,如安裝防火墻、實(shí)施入侵檢測(cè)等; 網(wǎng)絡(luò)之間互連點(diǎn)采取集中原則,并考慮安全冗余; 網(wǎng)絡(luò)互連點(diǎn)及安全設(shè)備必須納入到網(wǎng)管體系的監(jiān)控。 (3) 公司內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)和第三方網(wǎng)絡(luò)之間的互連原則: 網(wǎng)絡(luò)之間互連點(diǎn)采取集中原則,并考慮安全冗余; 互連點(diǎn)上必須實(shí)施安全措施,如安裝防火墻、實(shí)施入侵檢測(cè)等; 網(wǎng)絡(luò)互連點(diǎn)及安全設(shè)備必須納入到網(wǎng)管體系的監(jiān)控。 在公司內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)內(nèi)必須設(shè)置接口機(jī)或代理服務(wù)器,用于與第三方網(wǎng)絡(luò)連接,禁止生產(chǎn)用 的主機(jī)、服務(wù)器與第三方網(wǎng)絡(luò)直接連接; 與第三方網(wǎng)絡(luò)的連接中,在互連點(diǎn)上的防火墻上應(yīng)該進(jìn)行 IP 地址轉(zhuǎn)換,保護(hù)公司內(nèi)部接口機(jī)或代理服務(wù)器真實(shí)的 IP 地址; 在防火墻上實(shí)施策略控制,嚴(yán)格限制訪問(wèn)的地址和端口。 (4) 內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間的互連原則: 禁止 通信網(wǎng)設(shè)備維護(hù) 網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間直接連接; 嚴(yán)格控制公司內(nèi)部的計(jì)算機(jī)網(wǎng)絡(luò)與互聯(lián)網(wǎng)連接,由于業(yè)務(wù)需要,必須進(jìn)行連接的,必須實(shí)施嚴(yán)格的安全措施,如安裝防火墻、實(shí)施入侵檢測(cè)等; 與互聯(lián)網(wǎng)連接的互連點(diǎn)應(yīng)統(tǒng)一集中在省公司,在地市不得再設(shè)出口; 遵循公司內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)和第三方網(wǎng)絡(luò) 之間的互連原則。 4.1.4 終終 端端 接接 入入 管管 理理 (1) 只有遵循本規(guī)程第 八 章終端用戶安全管理的計(jì)算機(jī)終端方能接入聯(lián)通內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò); 信息安全管理 規(guī)程 - 8 - 8 (2) 終端接入系統(tǒng)時(shí)必須通過(guò)用戶名、口令進(jìn)行身份驗(yàn)證后方能接入; (3) 外單位人員一般不允許接入聯(lián)通內(nèi)部網(wǎng),如因維護(hù)需要確需連入網(wǎng)絡(luò),必須履行審批手續(xù),并在有聯(lián)通員工隨工的情況下方可接入; (4) 確需通過(guò)網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程訪問(wèn)的,必須履行審批手續(xù),在固定時(shí)間,通過(guò)身份驗(yàn)證后接入。對(duì)連接時(shí)間、事由都要有詳細(xì)記錄。 4.2 運(yùn)運(yùn) 行行 管管 理理 4.2.1 網(wǎng)網(wǎng) 絡(luò)絡(luò) 監(jiān)監(jiān) 控控 管管 理理 (1) 網(wǎng)絡(luò)管理部門負(fù)責(zé)網(wǎng)管系統(tǒng)和網(wǎng)絡(luò)安全的建設(shè)和維護(hù),以實(shí)現(xiàn)對(duì)網(wǎng)元以及網(wǎng)絡(luò)安全情況的實(shí)時(shí)監(jiān) 控和管理, 確保 整個(gè) 網(wǎng)絡(luò)安全 、穩(wěn)定運(yùn)行; (2) 各級(jí)網(wǎng)絡(luò)管理部門可使用入侵檢測(cè)、漏洞掃描等設(shè)備和技術(shù)定期對(duì)網(wǎng)絡(luò)安全情況進(jìn)行監(jiān)控和分析,對(duì)于監(jiān)控到的異常行為要有及時(shí)、有效的處理機(jī)制; (3) 各級(jí)網(wǎng)絡(luò)管理部門在監(jiān)控過(guò)程中, 如發(fā)現(xiàn) 網(wǎng)絡(luò)異常、嚴(yán)重影響業(yè)務(wù)的問(wèn)題 ,要立即向 上一級(jí)報(bào)告; (4) 網(wǎng)絡(luò)管理員負(fù)責(zé)網(wǎng)絡(luò)設(shè)備的日常檢查,監(jiān)測(cè)網(wǎng)絡(luò)設(shè)備性能參數(shù)和網(wǎng)絡(luò)運(yùn)行狀況;對(duì)關(guān)鍵設(shè)備要做到每日檢查,發(fā)現(xiàn)問(wèn)題應(yīng)迅速解決,全部管理工作應(yīng)保留記錄; (5) 定期或不定期對(duì)備件及備用線路進(jìn)行檢測(cè)和維護(hù); (6) 網(wǎng)絡(luò)安全監(jiān)控設(shè)備的運(yùn)行不能影響網(wǎng)絡(luò)的正常使用; (7) 各級(jí)網(wǎng)絡(luò)管理部 門要對(duì)所有在線網(wǎng)絡(luò)設(shè)備運(yùn)行情況記錄登記,并定期向上級(jí)上報(bào)網(wǎng)絡(luò)運(yùn)行狀況報(bào)告。 4.2.2 網(wǎng)網(wǎng) 絡(luò)絡(luò) 審審 計(jì)計(jì) 管管 理理 (1) 系統(tǒng)管理員 要至少每三個(gè)月 對(duì)涉及網(wǎng)絡(luò)配置的增、刪、修改等操作的配置更改記錄進(jìn)行審計(jì); (2) 重要的網(wǎng)元要有日志,并采取必要措施統(tǒng)一日志,系統(tǒng)管理員 至少每三個(gè)月對(duì)日志進(jìn)行分析,檢查違規(guī)行為; (3) 安全監(jiān)督員 至少每三個(gè)月 對(duì)系統(tǒng)用戶和管理員的訪問(wèn)權(quán)限進(jìn)行審查; (4) 建立統(tǒng)一的時(shí)鐘服務(wù)器,保證日志信息的準(zhǔn)確性; (5) 重要資源的訪問(wèn)控制策略至少要每六個(gè)月審計(jì)一次 ; (6) 如果在上述審計(jì)和檢查工作中發(fā)現(xiàn)有安全事故 ,應(yīng)遵照安全事故 處理流程 進(jìn)行處理 ; (7) 各級(jí)網(wǎng)絡(luò) 管理部門要對(duì)所有審計(jì)和檢查工作情況記錄登記,并向上級(jí)上報(bào)網(wǎng)絡(luò)運(yùn)行狀況報(bào)告 ; 信息安全管理 規(guī)程 - 9 - 9 第第 五五 章章 數(shù)數(shù) 據(jù)據(jù) 安安 全全 管管 理理 5.1 數(shù)數(shù) 據(jù)據(jù) 安安 全全 范范 圍圍 數(shù)據(jù)安全范圍是指中國(guó)聯(lián)通 安徽分公司通信網(wǎng)所有數(shù)據(jù)對(duì)象及其存在形式(如文本、程序、系統(tǒng)數(shù)據(jù))等 ;需要保護(hù)的重要數(shù)據(jù)包括: 系統(tǒng) 數(shù)據(jù) 、 原始話單 、 用戶 數(shù)據(jù)和 操作 數(shù)據(jù) 等 。 5.2 數(shù)數(shù) 據(jù)據(jù) 管管 理理 通通 則則 (1) 數(shù)據(jù)的訪問(wèn)范圍和權(quán)限設(shè)置必須由系統(tǒng)或業(yè)務(wù)系統(tǒng)管理員集中控制,并可以控制授權(quán)范圍內(nèi)的信息流向和行為方式。 (2) 數(shù)據(jù)訪問(wèn)采用分級(jí)管理, 數(shù)據(jù)的操作必須經(jīng)過(guò)嚴(yán)格的身份鑒別與權(quán)限控制,確保數(shù)據(jù)訪問(wèn) 遵循最小授權(quán)原則 。 關(guān)鍵業(yè)務(wù)數(shù)據(jù)和用戶帳號(hào)信息必須實(shí) 行專人管理; (3) 數(shù)據(jù)的更改應(yīng)嚴(yán)格遵循相關(guān)管理辦法及操作規(guī)范執(zhí)行。 應(yīng)采取有效措施防止系統(tǒng)數(shù)據(jù)的非法生成、變更、泄漏、丟失與破壞。 (4) 嚴(yán)禁通過(guò)系統(tǒng)管理員帳號(hào)直接對(duì) 系統(tǒng)中存儲(chǔ)、處理或傳輸?shù)臉I(yè)務(wù)數(shù)據(jù)信息進(jìn)行增加、修改、復(fù)制和刪除等; (5) 重要數(shù)據(jù)的更改必須兩人負(fù)責(zé),一人操作,一人審核, 防止使用過(guò)程中產(chǎn)生誤操作或被非法篡改; (6) 應(yīng)用軟件對(duì)用戶的任何操作均應(yīng)記入日志,日志中包含該用戶的工號(hào)、操作時(shí)間、操作內(nèi)容等等。日志可由具有權(quán)限的管理人員隨時(shí)查詢及統(tǒng)計(jì); (7) 應(yīng)用軟件必須確保各處理環(huán)節(jié)數(shù)據(jù)輸入、輸出的平衡,并進(jìn)行必要的稽核; (8) 應(yīng)用軟件對(duì)重要數(shù)據(jù)應(yīng)進(jìn)行傳輸加密和完整性校驗(yàn)處理; (9) 網(wǎng)絡(luò)管理員應(yīng)定期改善網(wǎng)絡(luò)系統(tǒng)的安全策略設(shè)置,盡量減少安全漏洞; (10) 對(duì)外提供系統(tǒng)業(yè)務(wù)數(shù)據(jù)的統(tǒng)計(jì)必須參照數(shù)據(jù)提取流程進(jìn)行審批,并簽訂保密協(xié)議,保障數(shù)據(jù)信息的使用 范圍可控制 ; (11) 系統(tǒng)管理員必須定期對(duì)系統(tǒng)數(shù)據(jù)的處理和傳輸進(jìn)行詳細(xì)的安全檢查和維護(hù),避免因?yàn)橄到y(tǒng)崩潰和損壞而對(duì)系統(tǒng)內(nèi)的信息造成破壞和損失; (12) 系統(tǒng)管理員必須加強(qiáng)對(duì)信息的審查,防止和控制非法、有害的信息通過(guò)公司內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行傳播,避免對(duì)國(guó)家利益、公共利益以及個(gè)人利益造成損害; (13) 系統(tǒng)管理員必須對(duì)所負(fù)責(zé)系統(tǒng)的數(shù)據(jù) 內(nèi)容安全進(jìn)行評(píng)測(cè),保護(hù)信息的機(jī)密性、完整性和可用性,并采取技術(shù)措施對(duì)所發(fā)現(xiàn)的漏洞進(jìn)行補(bǔ)救,防止竊取、冒充信息等。對(duì)于發(fā)現(xiàn)的數(shù)據(jù)安全問(wèn)題必須立即向主管領(lǐng)導(dǎo)和信息安全工作組匯報(bào); (14)數(shù)據(jù)安全保密管理應(yīng) 嚴(yán)格執(zhí)行第 六 章保密安全管理的規(guī)定 。 信息安全管理 規(guī)程 - 10 - 10 5.3 存存 儲(chǔ)儲(chǔ) 、 備備 份份 與與 恢恢 復(fù)復(fù) (1) 數(shù)據(jù)備份應(yīng)保證及時(shí)、完整、真實(shí)、準(zhǔn)確地轉(zhuǎn)儲(chǔ)到 外部存儲(chǔ) 介質(zhì)上,并規(guī)定保存期限; (2) 備份介質(zhì)應(yīng)采用性能可靠、不易損壞的介質(zhì),如磁帶、光盤等,并采取防盜、防毀、防電磁干擾等措施,保障數(shù)據(jù)安全; (3) 備份介質(zhì)應(yīng)注明數(shù)據(jù)的來(lái)源、備份日期、恢復(fù)步驟等信息,并于安全環(huán)境保管; (4) 備份數(shù)據(jù)(包括系統(tǒng) 數(shù)據(jù)、原始話單 、 用戶數(shù)據(jù)等 )應(yīng)專人統(tǒng)一管理。要建立備份介質(zhì)保管登記制度,由專人負(fù)責(zé)。嚴(yán)防數(shù)據(jù)泄密或丟失 ; (5) 備份數(shù)據(jù)盡量做到異地、異人保存; (6) 根據(jù)系統(tǒng)特點(diǎn)制定詳細(xì)的備份恢復(fù)方案。重要系統(tǒng)自運(yùn)行開始必須作好備份與恢復(fù)等應(yīng)急措施,一旦系統(tǒng)出現(xiàn)問(wèn)題能夠及時(shí)恢復(fù)正常; (7) 定期對(duì)備份數(shù)據(jù)的可用性進(jìn)行檢查。要保證備份數(shù)據(jù)是可讀的,經(jīng)常對(duì)備份介質(zhì)進(jìn)行測(cè)試; (8) 備份數(shù)據(jù)應(yīng)做到定期全備份和增量備份。備份內(nèi)容包括系統(tǒng)備份和數(shù)據(jù)備份兩部分。系統(tǒng)常規(guī)備份至少每月一次 ,關(guān)鍵業(yè)務(wù) 數(shù)據(jù)備份至少每天一次; (9) 系統(tǒng)進(jìn)行升級(jí)前必須進(jìn) 行系統(tǒng)的完整備份; (10) 網(wǎng)絡(luò)設(shè)備和主機(jī)的配置信息在每次更新后及時(shí)備份,更新前的備份按需要保存一定時(shí)間; (11) 備份完成后要認(rèn)真填寫備份日志; (12) 當(dāng)發(fā)現(xiàn)數(shù)據(jù)丟失后,應(yīng)保護(hù)好現(xiàn)場(chǎng),停止任何操作,立即通知系統(tǒng)管理員,由系統(tǒng)管理員采取相應(yīng)恢復(fù)措施; (13) 如系統(tǒng)管理員不能恢復(fù)數(shù)據(jù),視數(shù)據(jù)的重要程度,通知相關(guān)領(lǐng)導(dǎo)和信息安全工作組,并聯(lián)系第三方工程師解決; (14) 備份數(shù)據(jù)的恢復(fù)需經(jīng)主管人員簽字認(rèn)可后,方可進(jìn)行; (15) 對(duì)存儲(chǔ)有涉密數(shù)據(jù)的設(shè)備故障,需交外單位人員修理時(shí),本單位必須派專人在場(chǎng)監(jiān)督; (16) 過(guò)期的備份數(shù)據(jù)應(yīng)經(jīng)主管人員認(rèn)可后,方可銷毀。 第第 六六 章章 保保 密密 安安 全全 管管 理理 6.1 涉涉 密密 數(shù)數(shù) 據(jù)據(jù) 安安 全全 管管 理理 6.1.1 數(shù)數(shù) 據(jù)據(jù) 密密 級(jí)級(jí) 分分 類類 原原 則則 數(shù)據(jù)密級(jí)根據(jù)其內(nèi)容重要性的不同,劃分為:機(jī)密、秘密、內(nèi)部、公共四個(gè)級(jí)別。其中,機(jī)密、秘密、內(nèi)部數(shù)據(jù)屬于涉密信息。 信息安全管理 規(guī)程 - 11 - 11 (1) 機(jī)密數(shù)據(jù) 機(jī)密數(shù)據(jù)是指那些具有最高安全級(jí)別,對(duì)企業(yè)正常經(jīng)營(yíng)、管理和安全運(yùn)行起到至關(guān)重要作用,一旦被非法訪問(wèn)或篡改,會(huì)導(dǎo)致災(zāi)難性的影響,并且這種影響在短時(shí)期內(nèi)是不可恢復(fù)的;或者會(huì)嚴(yán)重影響公司業(yè)務(wù)發(fā)展,使公司在市場(chǎng)競(jìng)爭(zhēng)中非常被動(dòng)的關(guān)鍵數(shù)據(jù)。 (2) 秘密數(shù)據(jù) 秘密數(shù)據(jù)是指那些必須在企業(yè)內(nèi)使用,并且有嚴(yán)格訪問(wèn)控制的信息。任何對(duì)秘密數(shù)據(jù)的非法訪問(wèn)、修改或刪除會(huì)嚴(yán)重影響企 業(yè)內(nèi)計(jì)算機(jī)系統(tǒng)的安全,但這種影響是可以在短時(shí)期內(nèi)恢復(fù)的;或者會(huì)對(duì)公司業(yè)務(wù)拓展產(chǎn)生不利影響但通過(guò)努力可以逐漸扭轉(zhuǎn)的數(shù)據(jù)。 (3) 內(nèi)部數(shù)據(jù) 內(nèi)部數(shù)據(jù)通常是指那些只供公司內(nèi)部使用的信息資料,任何對(duì)內(nèi)部數(shù)據(jù)的非法訪問(wèn)、修改或刪除可能會(huì)對(duì)企業(yè)安全造成一定的影響,但不可能是嚴(yán)重的或不可恢復(fù)的。 (4) 公共數(shù)據(jù) 公共數(shù)據(jù)是指可以公共訪問(wèn)和對(duì)外發(fā)布的信息,并且公共數(shù)據(jù)可以自由散布而不會(huì)產(chǎn)生任何安全問(wèn)題。 6.1.2 涉涉 密密 數(shù)數(shù) 據(jù)據(jù) 密密 級(jí)級(jí) 確確 認(rèn)認(rèn) (1) 根據(jù) 公司 有關(guān)的保密文件,確定需要保密的信息內(nèi)容、劃分編發(fā)等級(jí)、明確信息提供范圍。對(duì)于信源單位已提出保密要求的信息, 信息編發(fā)部門要嚴(yán)格按照信源單位提出的保密要求和提供范圍確定網(wǎng)上編發(fā)級(jí)別;對(duì)于未明確密級(jí)但內(nèi)容涉密的信息,要根據(jù)有關(guān)的保密規(guī)定,確定編發(fā)級(jí)別;對(duì)有涉密嫌疑又來(lái)源不明的信息不予編發(fā) ; (2) 數(shù)據(jù)的管理者應(yīng)確保這些數(shù)據(jù)被恰當(dāng)?shù)姆诸?,并確保原創(chuàng)人或其他員工理解他們的責(zé)任; (3) 保密文件由擬制人根據(jù)文件密級(jí)不同,提交不同級(jí)別的領(lǐng)導(dǎo)進(jìn)行密級(jí)確認(rèn),保密數(shù)據(jù)由業(yè)務(wù)系統(tǒng)管理員根據(jù)數(shù)據(jù)密級(jí)不同,做好數(shù)據(jù)密級(jí)分類記錄 ,提交不同級(jí)別的領(lǐng)導(dǎo)進(jìn)行密級(jí)確認(rèn),數(shù)據(jù)密級(jí)分類記錄表可參考附件二 , 在確認(rèn)之前不得將文件內(nèi)容透露給與確認(rèn)密級(jí)無(wú)關(guān)的人; (4) 密級(jí)確 認(rèn)的具體權(quán)限為: 機(jī)密數(shù)據(jù) 、秘密數(shù)據(jù) 由中國(guó)聯(lián)通 安徽分公司 領(lǐng)導(dǎo)確認(rèn); 內(nèi)部數(shù)據(jù)由各部門經(jīng)理確認(rèn); 公共數(shù)據(jù)由發(fā)文單位根據(jù)需要進(jìn)行確認(rèn)。 (5) 對(duì)涉密數(shù)據(jù)的密級(jí),每年需要評(píng)審,密級(jí)變化后應(yīng)改變文檔的分類標(biāo)簽同時(shí)通知相關(guān)的人員; (6) 所有的涉密數(shù)據(jù)都有一段密級(jí)保持時(shí)間。 信息安全管理 規(guī)程 - 12 - 12 6.1.3 涉涉 密密 數(shù)數(shù) 據(jù)據(jù) 的的 獲獲 取取 (1) 必須首先經(jīng)過(guò)申請(qǐng)批準(zhǔn),才能查閱文檔、數(shù)據(jù)。查閱權(quán)限申請(qǐng)流程: 機(jī)密數(shù)據(jù) 、秘密數(shù)據(jù) :中國(guó)聯(lián)通 安徽分公司領(lǐng)導(dǎo) 及其簽字批準(zhǔn)的人員; 內(nèi)部數(shù)據(jù):部門 經(jīng)理及其簽字批準(zhǔn)的人員。 (2) 嚴(yán)禁復(fù)制機(jī)密數(shù)據(jù)。申請(qǐng)復(fù)制秘密數(shù)據(jù) 、內(nèi)部數(shù)據(jù) 必須 依密級(jí) 由 相應(yīng)領(lǐng)導(dǎo)簽字批準(zhǔn); (3) 信息使用、加工處理部門及網(wǎng)絡(luò)管理部門,不得通過(guò)不正當(dāng)?shù)氖侄?,超越?quán)限查看、使用、復(fù)制保密信息,也不能擅自降低保密級(jí)別,把 涉密 信息作為非 涉密 信息傳播。 (4) 管理者負(fù)責(zé)從那些不再需要的員工手中取回任何公司涉密數(shù)據(jù); 6.1.4 涉涉 密密 數(shù)數(shù) 據(jù)據(jù) 的的 傳傳 遞遞 (1) 涉密數(shù)據(jù)的傳遞必須經(jīng)過(guò)審批并采用適當(dāng)?shù)姆绞竭M(jìn)行傳遞; (2) 文檔的密級(jí)必須清楚地標(biāo)識(shí)在各種電子信息文檔的每一頁(yè)上,或每個(gè)電子文件的開始;如果不能標(biāo)識(shí),原創(chuàng)人必須告知所有接受者數(shù)據(jù)的密級(jí); (3) 涉密數(shù)據(jù)的披露或分發(fā)應(yīng)當(dāng)有所記錄,涉密數(shù)據(jù)的分發(fā)必須發(fā)至收件人本人,并由收件人簽收; (4) 在對(duì)外合作中,如確 實(shí)需向合作方提供 涉密及 數(shù)據(jù)的,必須按密級(jí)由相應(yīng)領(lǐng)導(dǎo)書面批準(zhǔn),并在提供前與之簽訂保密協(xié)議; (5) 內(nèi)部公共數(shù)據(jù)可以按部門分發(fā)或在聯(lián)通內(nèi)部公告欄內(nèi)張貼,也可以在聯(lián)通內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)上發(fā)布; (6) 機(jī)密、秘密數(shù)據(jù)嚴(yán)禁在計(jì)算機(jī)網(wǎng)絡(luò)上發(fā)布、公開和傳送,內(nèi)部數(shù)據(jù)如需在網(wǎng)絡(luò)上傳送,應(yīng)得到相應(yīng)領(lǐng)導(dǎo)的批準(zhǔn); (7) 計(jì)算機(jī)信息系統(tǒng)處理、傳遞、儲(chǔ)存涉密信息的文件、資料特別是涉及國(guó)家秘密信息的文件、資料時(shí),要嚴(yán)格執(zhí)行 BM21-2000 涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)保密技術(shù)要求。 6.1.5 涉涉 密密 數(shù)數(shù) 據(jù)據(jù) 保保 管管 、 存存 檔檔 (1) 要加強(qiáng)對(duì)計(jì)算機(jī)介質(zhì)(軟盤、磁帶、光盤、磁卡等)的 管理,對(duì)儲(chǔ)存有秘密文件、資料的計(jì)算機(jī)等設(shè)備要有專人或兼職人員操作,采取必要的防范措施,嚴(yán)格對(duì)涉密存儲(chǔ)介質(zhì)的管理,建立規(guī)范的管理制度,存儲(chǔ)有涉密內(nèi)容的介質(zhì)一律不得進(jìn)入互聯(lián)網(wǎng)絡(luò)使用 ; (2) 機(jī)密、秘密數(shù)據(jù)由數(shù)據(jù)的簽收人和簽發(fā)人親自保管。內(nèi)部數(shù)據(jù)由收件人本人或本部門專人保管,內(nèi)部公共數(shù)據(jù)一般由各部門專人保管; (3) 涉密數(shù)據(jù)的查閱和復(fù)制應(yīng)當(dāng)在文件保管人處進(jìn)行登記,以備核查; (4) 如涉密數(shù)據(jù)的保管人不慎將文件丟失,應(yīng)立即向相應(yīng)的領(lǐng)導(dǎo)匯報(bào)情況,盡快挽回?fù)p失,減小影響; 信息安全管理 規(guī)程 - 13 - 13 (5) 中國(guó)聯(lián)通 安徽分公司 機(jī)密以及行政機(jī)密、內(nèi)部數(shù)據(jù)在文件管理部門存檔; (6) 各部門機(jī)密、秘密數(shù)據(jù)在部門內(nèi)存檔; (7) 在文檔和程序中注明版權(quán)(非授權(quán)批準(zhǔn))不允許傳遞(賣)給第三方; (8) 時(shí)效性特別強(qiáng)的信息的處理不能通過(guò) EMAIL、電話等等,除非這些信息己經(jīng)公開發(fā)布; (9) 在日常工作時(shí)間之外,所有員工必須清除所有的桌面和辦公場(chǎng)所,保護(hù)有價(jià)值和涉密數(shù)據(jù); (10) 在日常工作時(shí)間之外,含有涉密數(shù)據(jù)的必須加密,除非特別授權(quán); (11) 在無(wú)人照看的場(chǎng)所應(yīng)保護(hù)敏感信息(鎖在柜中、如果離開時(shí)間超過(guò) 30 分鐘房間應(yīng)上鎖); (12) 在個(gè)人計(jì)算機(jī)上的涉密數(shù)據(jù)存儲(chǔ),必須加設(shè)訪問(wèn)口令;如果拷貝到可移動(dòng)介質(zhì)上,應(yīng)加上涉密分類區(qū)別 ,介質(zhì) 不再使用 時(shí),需要鎖在柜中; (13) 計(jì)算機(jī)存儲(chǔ)介質(zhì)不再用于涉密數(shù)據(jù)存儲(chǔ)時(shí),必須要進(jìn)行消磁或者重新格式化; 系統(tǒng)內(nèi)涉密數(shù)據(jù)數(shù)據(jù)不再有效時(shí),應(yīng)由數(shù)據(jù)使用部門提出正式申請(qǐng),系統(tǒng)擁有者或信息安全經(jīng)理簽字 審批后,由系統(tǒng)管理員立即進(jìn)行徹底刪除,并由第三者進(jìn)行確認(rèn); (14) 不要在 PC 或者 個(gè)人工作臺(tái)上保留涉密數(shù)據(jù)(除非信息安全組批準(zhǔn)并實(shí)施了控制方法); (15) 執(zhí)行公司或行業(yè)的其它信息保密制度。 6.2 涉涉 密密 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 管管 理理 (1) 凡使用互聯(lián)網(wǎng)絡(luò)的部門,必須有一位領(lǐng)導(dǎo)分管并指定專人負(fù)責(zé)本單位或本部門網(wǎng)絡(luò)節(jié)點(diǎn)內(nèi)安全保密工作,經(jīng)常進(jìn)行監(jiān)督、檢查,處理本單位涉及網(wǎng)絡(luò)安全保密的有 關(guān)事宜,并協(xié)助主管部門開展安全保密工作的檢查指導(dǎo) ; (2) 網(wǎng)絡(luò)運(yùn)行 維護(hù) ,必須有技術(shù)上的安全和保密控制措施,拒絕未經(jīng)授權(quán)的訪問(wèn) ; (3) 計(jì)算機(jī)網(wǎng)絡(luò)用戶的口令和采取的安全措施,屬于秘密級(jí)事項(xiàng);有調(diào)閱機(jī)密內(nèi)容權(quán)限的用戶口令和網(wǎng)絡(luò)系統(tǒng)級(jí)口令及安全措施屬于機(jī)密事項(xiàng),不能轉(zhuǎn)告非授權(quán)用戶 ; (4) 不得在網(wǎng)上擅自 連 接各類網(wǎng)絡(luò)設(shè)備。所有網(wǎng)絡(luò)設(shè)備的增減與變動(dòng),其技術(shù)方案必須經(jīng) 過(guò)審批, 并 在聯(lián)通 技術(shù)人員 的監(jiān)督下執(zhí)行; (5) 各 部門 需要安裝主機(jī)、服務(wù)器等設(shè)備時(shí),必須預(yù)先報(bào) 系統(tǒng)主管部門 核準(zhǔn),并由 其 進(jìn)行安全和技術(shù)審核,分配網(wǎng)絡(luò)地址和設(shè)置安全措施后,方可實(shí)施安裝 ; (6) 各單位需要通過(guò)互聯(lián)網(wǎng)與外單位進(jìn)行信息(含數(shù)據(jù))交換,應(yīng)經(jīng)過(guò) 公司 提供的統(tǒng)一網(wǎng)絡(luò)信道進(jìn)出。由于特殊原因個(gè)別部門要求建立獨(dú)立的網(wǎng)絡(luò)信息通道時(shí),應(yīng)事先報(bào) 公司 領(lǐng)導(dǎo)批準(zhǔn)并經(jīng) 系統(tǒng)主管部門 進(jìn)行內(nèi)部技術(shù)安全審查 ; (7) 對(duì)預(yù)先未經(jīng)安全技術(shù)審核、批準(zhǔn),而私自接入或使用網(wǎng)絡(luò)設(shè)備的單位以及進(jìn)行其他違章操作的單位,一經(jīng)發(fā)現(xiàn),即停止該單位的入網(wǎng)資格,并拆除私自聯(lián)入的設(shè)備。造成損失的,要追究責(zé)任 ; (8) 經(jīng)核準(zhǔn)配備主機(jī)、服務(wù)器,自建網(wǎng)絡(luò)的單位,其自建網(wǎng)絡(luò)的安全保密工作由該網(wǎng)絡(luò)的技術(shù)安全管理部門負(fù)責(zé),并承擔(dān)由于自建網(wǎng)絡(luò)導(dǎo)致的保密和安 信息安全管理 規(guī)程 - 14 - 14 全責(zé)任 ; (9) 凡屬 公司涉 密文件、資料一律不得輸入計(jì)算機(jī)互聯(lián)網(wǎng)絡(luò),本單位、本部門科學(xué)研究方面的文件、資料、成果,如屬國(guó)家秘密范圍,不得進(jìn)入互聯(lián)網(wǎng)絡(luò) ; (10) 必須做好 涉密數(shù)據(jù) 的保管工作,管好秘密源頭。 6.3 涉涉 密密 人人 員員 安安 全全 管管 理理 (1) 必須簽訂保密協(xié)議,保密協(xié)議應(yīng)包括: 保密的內(nèi)容和范圍 保密的期限 雙方的義務(wù) 違約責(zé)任 (2) 基本保密義務(wù): 應(yīng)當(dāng)遵守組織的保密制度,妥善保管其所保存的組織秘密資料,不得刺探與本職工作、本身業(yè)務(wù)無(wú)關(guān)的公司秘密,不得泄露公司的技術(shù)秘密; 非經(jīng)公司書面同意,不得利用公司的商業(yè)秘密進(jìn)行生產(chǎn)、經(jīng)營(yíng)和兼職活動(dòng),不得利用公司的商業(yè)秘密組 建新的企業(yè); 如果發(fā)現(xiàn)公司秘密被泄露,應(yīng)當(dāng)采取有效措施防止泄密擴(kuò)大,并及時(shí)告知公司; 無(wú)論是在職還是離職,不得披露、使用或者允許他人使用公司的商業(yè)秘密,不得利用公司的商業(yè)秘密從事兼職活動(dòng),不得利用公司的商業(yè)秘密到其他單位任職; 員工離職時(shí),應(yīng)當(dāng)將所持有的秘密資料如數(shù)歸還公司,不得保留拷貝; 員工離職后在約定期限內(nèi)不得泄露原公司機(jī)密。 第第 七七 章章 防防 病病 毒毒 安安 全全 管管 理理 7.1 建建 立立 病病 毒毒 預(yù)預(yù) 警警 機(jī)機(jī) 制制 (1) 制定防病毒的管理制度和操作指南; (2) 設(shè)立專門的管理員負(fù)責(zé)防病毒的管理工作; (3) 管理員要 及時(shí)了解防殺計(jì)算機(jī)病毒廠商公布的計(jì)算機(jī)病毒情報(bào), 關(guān)注 新產(chǎn)生的 、傳播面廣的計(jì)算機(jī)病毒,并知道它們的發(fā)作特征和存在形態(tài),及時(shí)發(fā)現(xiàn)計(jì)算機(jī)系統(tǒng)出現(xiàn)的異常是否與新的計(jì)算機(jī)病毒有關(guān) ; (4) 管理員要 及時(shí)了解 操作系統(tǒng)廠商所發(fā)布的漏洞情況,對(duì)于很可能被病毒利用的遠(yuǎn)程控制的漏洞要及時(shí)提醒用戶安裝相關(guān)補(bǔ)丁; (5) 對(duì)有嚴(yán)重破壞力的計(jì)算機(jī)病毒的爆發(fā)日期或爆發(fā)條件,及時(shí)通知所有相關(guān)人員進(jìn)行相應(yīng)防范。 信息安全管理 規(guī)程 - 15 - 15 (6) 如遇病毒安全事故,則按照信息安全事件響應(yīng)。 7.2 防防 病病 毒毒 軟軟 件件 的的 安安 裝裝 使使 用用 (1) 防病毒軟件的部署: 應(yīng)在全網(wǎng)范圍內(nèi)建立多層次的防病毒體系,要使用國(guó)家規(guī)定的、服務(wù)技術(shù)支持優(yōu)秀、具有計(jì)算機(jī)使用系統(tǒng)安全專用產(chǎn)品銷售許可證的網(wǎng) 絡(luò)防病毒產(chǎn)品。 每個(gè) 市 分公司對(duì)防病毒軟件的部署應(yīng)該做到統(tǒng)一規(guī)劃,統(tǒng)一部署,統(tǒng)一管理。 在 Internet 出口處部署網(wǎng)關(guān)型防病毒軟件,重點(diǎn)要對(duì)進(jìn)入網(wǎng)絡(luò)的 SMTP郵件進(jìn)行實(shí)時(shí)病毒過(guò)濾; 在 Lotus、 Exchange 等群件系統(tǒng)上部署群件防病毒軟件,對(duì)郵件、文檔等進(jìn)行實(shí)時(shí)的病毒過(guò)濾, 防止計(jì)算機(jī)病毒通過(guò) 群 件服務(wù)器擴(kuò)散、傳播 ; 在所有的 Windows 服務(wù)器與客戶端中部署病毒實(shí)時(shí)監(jiān)控軟件; 服務(wù)器和客戶端的防病毒系統(tǒng)必須能夠統(tǒng)一管理,可以統(tǒng)一升級(jí)、殺毒、監(jiān)控。 (2) 防病毒軟件的安裝: 對(duì)新購(gòu)進(jìn)的計(jì)算機(jī)及設(shè)備,在安裝完操作系 統(tǒng)后,要在第一時(shí)間內(nèi)安裝防病毒軟件; 沒(méi)有安裝防病毒軟件的 Windows 系統(tǒng)不得接入到生產(chǎn)網(wǎng)絡(luò)中; 防病毒軟件的類型遵循統(tǒng)一規(guī)劃,不得私自安裝其他類型的軟件。 (3) 防病毒軟件的升級(jí): 病毒特征庫(kù)至少要做到每天自動(dòng)升級(jí)檢查,自動(dòng)部署; 對(duì)病毒特征庫(kù)的升級(jí)情況應(yīng)該進(jìn)行手工檢查,將當(dāng)前版本與軟件廠商在網(wǎng)站上公布的版本進(jìn)行比較。應(yīng)該每周檢查一次; 一旦出現(xiàn)傳播速度快,威脅大的新病毒,應(yīng)該立即進(jìn)行手工升級(jí)。 (4) 防病毒軟件的維護(hù): 防病毒系統(tǒng)管理員負(fù)責(zé)軟件的總體維護(hù),定期(每天)檢查防病毒服務(wù)器端軟件的運(yùn)轉(zhuǎn)情況,如有異常及時(shí) 處理; 各個(gè)服務(wù)器系統(tǒng)的管理員有責(zé)任維護(hù)本機(jī)防病毒系統(tǒng)的正常運(yùn)轉(zhuǎn),也需要定期對(duì)防病毒軟件的升級(jí)情況進(jìn)行監(jiān)控。如果遇到問(wèn)題或者病毒報(bào)警,與防病毒管理員共同解決。 7.3 防防 范范 病病 毒毒 措措 施施 (1) 操作系統(tǒng)和應(yīng)用軟件應(yīng)該及時(shí)安裝最新的穩(wěn)定版安全補(bǔ)丁,防止被病毒利用相關(guān)的漏洞;系統(tǒng)安全小組成員每周對(duì)防病毒軟件進(jìn)行安裝、升級(jí)版本的更新情況進(jìn)行檢查,并形成相應(yīng)的檢查報(bào)告經(jīng)系統(tǒng)擁有者簽字確認(rèn)后存檔; (2) 操作 系統(tǒng) 和重要應(yīng)用的管理員帳號(hào)的口令應(yīng)該具備一定的復(fù)雜度,防止被病毒利用,口令設(shè)置遵循本規(guī)程第 三 章用戶帳號(hào)與口令安全 管理 ; (3) 關(guān)鍵服務(wù)器 要盡量做到專機(jī)專用,不應(yīng)該開啟任何網(wǎng)絡(luò)共享; 信息安全管理 規(guī)程 - 16 - 16 (4) 對(duì)共享的網(wǎng)絡(luò)文件服務(wù)器,應(yīng)特別加以維護(hù),控制讀寫權(quán)限,盡量不在服務(wù)器上 遠(yuǎn)程 運(yùn)行軟件程序 ; (5) 充分發(fā)揮入侵檢測(cè)系統(tǒng)的網(wǎng)絡(luò)病毒監(jiān)控作用,對(duì)于相關(guān)警報(bào)要及時(shí)發(fā)現(xiàn)、跟蹤、消除; (6) 對(duì)于出現(xiàn)的最新病毒,在廠家沒(méi)有發(fā)布特征庫(kù)解決方案之前,要根據(jù)病毒自身特點(diǎn)在網(wǎng)關(guān)處進(jìn)行內(nèi)容過(guò)濾; (7) 在網(wǎng)絡(luò)設(shè)備上關(guān)閉病毒的常用端口; (8) IE 安全級(jí)別設(shè)置在中以上,對(duì) ActiveX 控件要確認(rèn)安全后才可打開; (9) 建立網(wǎng)內(nèi)防病毒技術(shù)支持系統(tǒng),使用電話、郵件等手段對(duì)用戶在防病毒方面進(jìn)行技術(shù)支持。 7.4 病病 毒毒 處處 理理 (1) 隔離受 感染主機(jī): 當(dāng)出現(xiàn)計(jì)算機(jī)病毒傳染跡象時(shí),立即隔離被感染的系統(tǒng)和網(wǎng)絡(luò),并進(jìn)行處理,原則上不應(yīng)帶“毒”繼續(xù)運(yùn)行; (2) 確定病毒種類特征: 采用多種手段確定病毒的類型和傳播途徑,如查看防病毒軟件的報(bào)警信息、搜索互聯(lián)網(wǎng)相關(guān)信息、和防病毒廠商溝通等途徑。對(duì)于未知病毒,可以盡快提交給有關(guān)部門或廠商; (3) 防止擴(kuò)散: 如果出現(xiàn)大面積傳播的趨勢(shì),要根據(jù)病毒的傳播形式,采取網(wǎng)絡(luò)訪問(wèn)控制、內(nèi)容過(guò)濾等手段控制病毒的擴(kuò)散; (4) 查殺病毒: 盡量使用專殺工具對(duì)病毒進(jìn)行查殺,殺毒完成后,重啟計(jì)算機(jī),再次用最新升級(jí)的 防病毒軟件檢查系統(tǒng)中是否還存在該病毒,如是系統(tǒng)漏洞應(yīng)及時(shí)打上相應(yīng)補(bǔ)丁,并確定被感染破壞的數(shù)據(jù)是否確實(shí)完全恢復(fù); (5) 如果重要數(shù)據(jù)文件被感染,無(wú)法修復(fù),可以請(qǐng)數(shù)據(jù)恢復(fù)的專業(yè)人員進(jìn)行處理。 7.5 員員 工工 防防 病病 毒毒 安安 全全 管管 理理 (1) 重視管理員發(fā)布的病毒和補(bǔ)丁通告,提高病毒的防范意識(shí),及時(shí)安裝操作系統(tǒng)補(bǔ)??; (2) 只有安裝了防病毒軟件的計(jì)算機(jī)系統(tǒng)才能夠接入聯(lián)通內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò),防病毒軟件必須選擇聯(lián)通統(tǒng)一指定的類型; (3) 用戶有協(xié)助管理員維護(hù)本機(jī)系統(tǒng)防病毒軟件的義務(wù),如果防病毒軟件出現(xiàn)工作異常,病毒特征庫(kù)過(guò)舊 (更新時(shí)間為兩周前 )等問(wèn)題,應(yīng)該及時(shí)通知管理 員進(jìn)行維護(hù); (4) 嚴(yán)禁用戶以任何方式卸載防病毒軟件和停止防病毒服務(wù); (5) 軟盤、光盤等移動(dòng)媒體,以及外來(lái)的系統(tǒng)和軟件,下載軟件等,要先進(jìn)行計(jì) 信息安全管理 規(guī)程 - 17 - 17 算機(jī)病毒檢查,確認(rèn)無(wú)計(jì)算機(jī)病毒后才可以使用;嚴(yán)禁使用未經(jīng)清查的、來(lái)歷不明的軟盤、光盤等; (6) 不要閱讀和傳播來(lái)歷不明的郵件,用郵件客戶端收取郵件時(shí)設(shè)置默認(rèn)為文本方式; (7) 如果發(fā)現(xiàn)本機(jī)有感染病毒的跡象,應(yīng)立刻通知系統(tǒng)管理員,必要時(shí)拔掉網(wǎng)線。 (8) 定期對(duì)所有重要敏感數(shù)據(jù)進(jìn)行備份; (9) 用戶有義務(wù)為自己的電腦設(shè)置帳戶口令,口令長(zhǎng)度 8 位以上,不得設(shè)置簡(jiǎn)單口令,口令設(shè)置遵循本規(guī)程第 三 章用戶帳號(hào)與口令 安全 管理 ; (10) 定期對(duì)自己的電腦進(jìn)行殺毒和漏洞掃描; 第第 八八 章章 終終 端端 用用 戶戶 安安 全全 管管 理理 8.1 終終 端端 安安 全全 管管 理理 根據(jù)終端用途的不同,將終端分為:辦公終端和系統(tǒng)維護(hù)終端 兩 大類。對(duì)終端管理要求如下: (1) 發(fā)現(xiàn)終端 運(yùn)行異常,及時(shí)與 終端維護(hù)部門或單位 聯(lián)系,非專業(yè)管理人員不得擅自拆開終端調(diào)換設(shè)備配件 ; (2) 外來(lái)人員攜帶電腦需要接入聯(lián)通內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)的,必須征得相關(guān) 部門 負(fù)責(zé)人允許方可接入,并且要在相關(guān)人員隨工的情況下完成操作; (3) 新購(gòu)終端入網(wǎng)前要進(jìn)行病毒掃描并統(tǒng)一部署安全軟件(如:防病毒軟件、網(wǎng)絡(luò)防火墻和入侵檢測(cè)軟件等); (4) 系統(tǒng)維護(hù)終端只能用來(lái)進(jìn)行系統(tǒng)維護(hù) 管理和優(yōu)化操作,不得接入互聯(lián)網(wǎng)。 8.2 終終 端端 用用 戶戶 帳帳 戶戶 與與 口口 令令 管管 理理 終端用戶要嚴(yán)格遵循本規(guī)程第 三 章用戶帳號(hào)與口令安全 管理 中的有關(guān)規(guī)定,定期更換口令,并盡量避免口令泄露,否則按照安全事件的嚴(yán)重程度追究相應(yīng)人員的責(zé)任。 8.3 終終 端端 用用 戶戶 行行 為為 規(guī)規(guī) 范范 (1) 未經(jīng)授權(quán)嚴(yán)禁使用他人帳號(hào)口令進(jìn)行系統(tǒng)操作; (2) 不得隨意將終端設(shè)備提供給他人使用,長(zhǎng)時(shí)間離開時(shí),應(yīng)將終端置于鎖定狀態(tài)或關(guān)機(jī); (3) 不得利用終端安裝或使用嗅探、掃描、攻擊等各類黑客軟件進(jìn)行信息竊取或攻擊他人或其他系統(tǒng); (4) 禁止 利用 終端 從事危害國(guó)家安全、泄漏國(guó)家秘密等違法犯罪活動(dòng), 禁止 編制、運(yùn)行、 傳播危害網(wǎng)絡(luò)安全的軟件, 禁止 制作、查閱、復(fù)制和傳播妨礙社會(huì)治 信息安全管理 規(guī)程 - 18 - 18 安的信息和淫穢色情等信息 ; (5) 用戶私自安裝盜版軟件造成版權(quán)爭(zhēng)議的,應(yīng)由該用戶承擔(dān)責(zé)任;用戶私自安裝盜版軟件或游戲的,經(jīng)發(fā)現(xiàn)應(yīng)通知其主管領(lǐng)導(dǎo),造成公司損失的,應(yīng)追究其相應(yīng)責(zé)任; (6) 禁止利用終端進(jìn)行大量占用網(wǎng)絡(luò)資源的操作,以免造成整體網(wǎng)絡(luò)處理性能的下降; (7) 禁止用戶隨意改動(dòng)自己的網(wǎng)絡(luò)參數(shù)配置,包括 IP 地址、網(wǎng)關(guān)、子網(wǎng)掩碼、DNS、域服務(wù)器等; (8) 禁止用戶采用任何工具私自修改網(wǎng)卡的 MAC 地址。 8.4 終終 端端 用用 戶戶 防防 病病 毒毒 安安 全全 管管 理理 終端用戶必須提高病毒的防范意識(shí),嚴(yán)格遵循本規(guī) 程第 七 章防病毒安全管理中的規(guī)定,統(tǒng)一部署殺毒軟件,及時(shí)更新病毒庫(kù)。 第第 九九 章章 安安 裝裝 及及 升升 級(jí)級(jí) 安安 全全 管管 理理 9.1 軟軟 件件 安安 裝裝 安安 全全 管管 理理 (1) 所有新的應(yīng)用系統(tǒng)軟件或者軟件增強(qiáng)部分功能必須在用戶需求說(shuō)明中詳細(xì)定義,并提交給業(yè)務(wù)系統(tǒng)管理員審核; (2) 所有的應(yīng)用軟件包必須與中國(guó)聯(lián)通首選并且認(rèn)證過(guò)的計(jì)算機(jī)系統(tǒng)平臺(tái)保持兼容; (3) 為了遵守法規(guī)和取得賣方的各方面支持,軟件必須附帶包括各種條款的最終用戶授權(quán)協(xié)議; (4) 新軟件和升級(jí)軟件在實(shí)施前必須搭建測(cè)試環(huán)境進(jìn)行功能、性能和兼容性測(cè)試。測(cè)試前應(yīng)提供測(cè)試方案,測(cè)試后提供詳細(xì)的測(cè)試報(bào)告 ; (5) 公司應(yīng)有明確規(guī)定各類服務(wù)器設(shè)備 、終端安裝的軟件,禁止安裝盜版軟件和非認(rèn)可軟件 (6) 對(duì)于公司設(shè)備及所安裝的軟件及 LICENSE 應(yīng)有清晰的記錄; (7) 對(duì)于非規(guī)定范圍內(nèi)的軟件安裝前應(yīng)由系統(tǒng)維護(hù)人員進(jìn)行評(píng)估和記錄,并交由信息安全經(jīng)理審核批準(zhǔn)后,方可認(rèn)為為認(rèn)可軟件,進(jìn)入系統(tǒng)使用 (8) 制定所有設(shè)備(含終端設(shè)備)所安裝軟件定期( 6 個(gè)月)和不定期檢查流程,并進(jìn)行結(jié)果通報(bào);檢查內(nèi)容包括設(shè)備型號(hào)、具體配置、安裝的軟件名稱、用途、許可證號(hào)等 9.2 主主 機(jī)機(jī) 設(shè)設(shè) 備備 安安 裝裝 安安 全全 管管 理理 每個(gè)操作系統(tǒng)必須要有系統(tǒng)加固手冊(cè),信息安全工作組應(yīng)對(duì)每一平臺(tái) (如 Linux, 信息安全管理 規(guī)程 - 19 - 19 Solaris, Windows, HPUX, AIX 等 )的加固方式進(jìn)行評(píng)估。系統(tǒng)的加固手冊(cè)應(yīng)至少包括如下內(nèi)容: 關(guān)閉不必要的服務(wù); 系統(tǒng)中的密碼設(shè)置 要嚴(yán)格遵循本規(guī)程第三章用戶帳號(hào)與口令安全管理中的有關(guān)規(guī)定 ; 系統(tǒng)管理員可以鎖定賬號(hào)和為用戶賬號(hào)進(jìn)行解鎖; 系統(tǒng)安裝運(yùn)行所需要的 PATCH 的列表 ; 禁用不必要的用戶和用戶組; 系統(tǒng)配置和配置程序應(yīng)加強(qiáng)設(shè)置的訪問(wèn)和修改權(quán)限。例如在 Unix 系統(tǒng)上的 /etc/* 的訪問(wèn)和修改權(quán)限的設(shè)置和在 Windows 系統(tǒng)上可修改有關(guān) Password Policy 的 Registry 的權(quán)限 ; 開啟 或安裝必要的日志審計(jì)功能,對(duì)于系統(tǒng)配置的修改需要應(yīng)留下審計(jì)日志及審計(jì)日志的保留時(shí)限。 操作系統(tǒng)的安全管理還需要包括下面的內(nèi)容: (1) 主機(jī)設(shè)備初始安裝后必須安裝廠商提供的最新系統(tǒng)補(bǔ)丁。系統(tǒng)管理員在接受到安全監(jiān)督員的安全通告后,應(yīng)根據(jù)軟件安全規(guī)程中的要求進(jìn)行補(bǔ)丁升級(jí); (2) 主機(jī)設(shè)備上線運(yùn)行前或者新應(yīng)用系統(tǒng)上線前,系統(tǒng)管理員需要對(duì)操作系統(tǒng)進(jìn)行加固; (3) 如果沒(méi)有特殊情況,嚴(yán)格禁止使用在線運(yùn)行的服務(wù)器進(jìn)行瀏覽網(wǎng)頁(yè)或下載操作; (4) 在線運(yùn)行的服務(wù)器禁止任何未正式批準(zhǔn)的變更操作,包括安裝不相關(guān)的軟件、修改配置、增加用戶等。所有變更操作 必須經(jīng)系統(tǒng)管理員批準(zhǔn)并進(jìn)行變更記錄。有重大影響的變更需要得到相關(guān)部門領(lǐng)導(dǎo)批準(zhǔn),并及時(shí)通知所有用戶; (5) 系統(tǒng)管理員需要定期檢查系統(tǒng)日志,特別是安全日志 ; (6) 對(duì)于無(wú)法進(jìn)行上述加固的系統(tǒng)或者新上應(yīng)用系統(tǒng)與上述加固方案有沖突, 系統(tǒng)開發(fā)者和系統(tǒng)管理員應(yīng)對(duì) 無(wú)法 進(jìn)行加固的系統(tǒng)作風(fēng)險(xiǎn)評(píng)估 , 風(fēng)險(xiǎn)評(píng)估的報(bào)告應(yīng)交由安全小組作分析 , 如安全小組組長(zhǎng) 同意 分析結(jié)果則系統(tǒng)可以對(duì)某些加固措施 放松。對(duì)于無(wú)法進(jìn)行系統(tǒng)加固或者加固措施放松的系統(tǒng),每半年至少進(jìn)行一次系統(tǒng)的安全檢查,并將檢查結(jié)果記錄到系統(tǒng)安全檢查記錄表(見(jiàn)附件三)。 (7) 對(duì)于無(wú)法進(jìn)行上述加固 的系統(tǒng),應(yīng)用系統(tǒng)開發(fā)者和系統(tǒng)管理員對(duì)無(wú)法進(jìn)行加固的系統(tǒng)作風(fēng)險(xiǎn)評(píng)估,風(fēng)險(xiǎn)評(píng)估的報(bào)告應(yīng)交由系統(tǒng)擁有者確認(rèn)和認(rèn)可。 (8) 對(duì)于新上應(yīng)用系統(tǒng)與上述加固方案有沖突,系統(tǒng)開發(fā)者和系統(tǒng)管理員應(yīng)對(duì)系統(tǒng)作風(fēng)險(xiǎn)評(píng)估,交由系統(tǒng)擁有者確認(rèn),認(rèn)可風(fēng)險(xiǎn)評(píng)估則可以對(duì)加固措施放松。 (9) 對(duì)于無(wú)法加固的或者加固措施放松的系統(tǒng), 至少 每半年進(jìn)行一次系統(tǒng)的安全檢查,并將檢查結(jié)果記錄到系統(tǒng)安全檢查記錄表中;對(duì)于進(jìn)行加固的系統(tǒng) 至少 每年進(jìn)行一次系統(tǒng)的安全檢查,并將檢查結(jié)果記錄到系統(tǒng)安全檢查記錄表中,并由系統(tǒng)擁有者進(jìn)行審核;同時(shí),根據(jù)檢查的結(jié)果和安全要求,更新系統(tǒng) 的安全加固手冊(cè)。 信息安全管理 規(guī)程 - 20 - 20 9.3 網(wǎng)網(wǎng) 絡(luò)絡(luò) 設(shè)設(shè) 備備 安安 裝裝 安安 全全 管管 理理 (1) 網(wǎng)絡(luò)設(shè)備在購(gòu)入時(shí)要保證是最新的設(shè)備軟件版本,并且定期進(jìn)行升級(jí),保證其安全性; (2) 網(wǎng)絡(luò)設(shè)備上線時(shí)要進(jìn)行一些專門的安全功能設(shè)置,如: 采用安全方式 (如安全協(xié)議、串口連接等 )對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程或本地管理,禁止以明文傳輸協(xié)議進(jìn)行遠(yuǎn)程管理網(wǎng)絡(luò)設(shè)備; 配置身份認(rèn)證、授權(quán)和統(tǒng)計(jì); 對(duì)密碼進(jìn)行高級(jí)別的加密保護(hù); 加強(qiáng)對(duì)基于廣播的風(fēng)暴攻擊的防范; 加強(qiáng)對(duì)內(nèi)部地址欺騙的防范; 加強(qiáng)對(duì)源路由欺騙的防范; 禁止不必要的服務(wù),實(shí)行最小服務(wù)原則; 加強(qiáng)對(duì)于 SNMP 的默認(rèn)管理字符串的安全管理; 依據(jù) 需求提升訪問(wèn)控制規(guī)則的嚴(yán)格程度; 設(shè)置明確的禁止非授權(quán)訪問(wèn)的警告提示。 9.4 補(bǔ)補(bǔ) 丁丁 /升升 級(jí)級(jí) 安安 全全 管管 理理 9.4.1 補(bǔ)補(bǔ) 丁丁 /升升 級(jí)級(jí) 檢檢 查查 (1) 各單位 /部門的安全監(jiān)督員應(yīng)定期檢查系統(tǒng)或相關(guān)安全軟件的補(bǔ)丁或升級(jí)文件的更新情況; (2) 安全監(jiān)督 員要根據(jù)廠商的補(bǔ)丁公告和安全公告的緊急程度以及對(duì)系統(tǒng)的影響上報(bào)給信息安全工作組。 9.4.2 補(bǔ)補(bǔ) 丁丁 /升升 級(jí)級(jí) 文文 件件 下下 載載 (1) 安全監(jiān)督員及時(shí)向相關(guān)部門通告補(bǔ)丁或升級(jí)信息; (2) 系統(tǒng)管理員根據(jù)通告自行下載; (3) 所有補(bǔ)丁或升級(jí)文件的下載應(yīng)盡量從原廠商的技術(shù)支持網(wǎng)站下載或原廠商提供的光盤文件中獲得,以保障補(bǔ)丁或升級(jí)文件的可靠性。 9.4.3 補(bǔ)補(bǔ) 丁丁 /升升 級(jí)級(jí) 文文 件件 安安 裝裝 (1) 各部門針對(duì)自己的情況,安排補(bǔ)丁或升級(jí)文件的測(cè)試,以防止補(bǔ)丁或升級(jí)文件與現(xiàn)有業(yè)務(wù)或應(yīng)用系統(tǒng)的沖突,應(yīng)綜合考慮安裝補(bǔ)丁對(duì)系統(tǒng)安全和運(yùn)行效率的影響; 信息安全管理 規(guī)程 - 21 - 21 (2) 補(bǔ)丁安裝升級(jí)工作需相關(guān)的系統(tǒng)管理員的授權(quán),由他們根據(jù)系統(tǒng)的實(shí)際情況決定是否進(jìn)行補(bǔ)丁的安裝; (3) 系統(tǒng)管理員在 安裝補(bǔ)丁之前需要 對(duì)重要系統(tǒng)進(jìn)行 備份,制訂 嚴(yán)密的實(shí)施 方案和回退措施; (4) 系統(tǒng)管理員 對(duì)升級(jí)補(bǔ)丁的執(zhí)行情況必須上報(bào)給安全監(jiān)督員。 9.5 變變 更更 管管 理理 9.5.1 軟軟 件件 變變 更更 的的 安安 全全 管管 理理 (1) 軟件變更必須嚴(yán)格進(jìn)行版本控制,版本的差異有明確的記錄; (2) 檢查所有提出的系統(tǒng)更新,評(píng)估更新會(huì) 否 破壞系統(tǒng)或操作環(huán)境 的安全。 9.5.2 系系 統(tǒng)統(tǒng) 配配 置置 安安 全全 管管 理理 應(yīng)保護(hù)及控制系統(tǒng)配置信息,控制措施如下: (1) 對(duì)測(cè)試軟件時(shí)使用的系統(tǒng)軟硬件、操作系統(tǒng)、數(shù)據(jù)庫(kù)等配置參數(shù)建立系統(tǒng)化的管理文檔,并指定各系統(tǒng)管理員管理; (2) 建立管理文檔訪問(wèn)控制程序,給予不同角色的人不同的訪問(wèn)權(quán)限;對(duì)于無(wú)權(quán)限但需訪問(wèn)人員需向系統(tǒng)維護(hù)組長(zhǎng)申請(qǐng)并批準(zhǔn)、系統(tǒng)安全管理員登記后進(jìn)行訪問(wèn);當(dāng)測(cè)試的系統(tǒng)各種配置參數(shù)應(yīng)用上線后應(yīng)作標(biāo)記,并進(jìn)行登記; (3) 系統(tǒng)應(yīng)通過(guò)日志記錄操作參數(shù)的訪問(wèn)記錄,以便提供審計(jì)追蹤 (4) 系統(tǒng)各種配置參數(shù)應(yīng)進(jìn)行備份 (5) 系統(tǒng)各種配置參數(shù)發(fā)生變化時(shí),對(duì)于參數(shù)變更進(jìn)行登記和 及時(shí)更新相關(guān)文檔。 第第 十十 章章 應(yīng)應(yīng) 急急 安安 全全 管管 理理 10.1 應(yīng)應(yīng) 急急 工工 作作 定定 義義 信息安全應(yīng)急工作主要是指由于自然、社會(huì)及技術(shù)問(wèn)題而引起重大的信息災(zāi)害后,為盡可能減少系統(tǒng)損失而采取的應(yīng)急工作,其中信息災(zāi)害包括不可預(yù)期的黑客攻擊, DoS 入侵,系統(tǒng)崩潰等重大信息安全問(wèn)題。信息安全應(yīng)急工作 的目的是以最快速度恢復(fù)系統(tǒng)的機(jī)密性、完整性和可用性,阻止和減小安全事件帶來(lái)的影響。同時(shí)收集與突發(fā)安全事件有關(guān)的信息,提供有價(jià)值的報(bào)告和建議。 信息安全管理 規(guī)程 - 22 - 22 10.2 應(yīng)應(yīng) 急急 響響 應(yīng)應(yīng) 組組 的的 組組 建建 (1) 中國(guó)聯(lián)通安徽分公司運(yùn)行維護(hù)部和安徽聯(lián)通各市 級(jí)分公司應(yīng)設(shè)置信息安全應(yīng)急響應(yīng)機(jī)構(gòu),由專業(yè)的應(yīng)急響應(yīng)人員組成 。負(fù)責(zé)設(shè)計(jì)和實(shí)施整體應(yīng)急方案,管理 通信網(wǎng) 信息系統(tǒng)安全的應(yīng)急事務(wù),協(xié)調(diào)各 級(jí) 應(yīng)急響應(yīng)人員、其他安全管理人員或安全服務(wù)商,并向管理層匯報(bào)應(yīng)急響應(yīng)工作情況; (2) 中國(guó)聯(lián)通安徽分公司運(yùn)行維護(hù)部和安徽聯(lián)

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論