計(jì)算機(jī)信息系統(tǒng)安全管理制度

1、計(jì)算機(jī)信息系統(tǒng)安全管理制度總則第一條為加強(qiáng)內(nèi)網(wǎng)絡(luò)管理，明確崗位職責(zé)，規(guī)范操作流程，維護(hù)網(wǎng)絡(luò)正常運(yùn)行，確保計(jì)算機(jī)信息系統(tǒng)的安全，現(xiàn)根據(jù)中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例、云南省計(jì)算機(jī)信息系統(tǒng)安全保護(hù)管理辦法等有關(guān)規(guī)定，結(jié)合本行內(nèi)實(shí)際，特制訂本制度。第二條計(jì)算機(jī)信息系統(tǒng)是指由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進(jìn)行采集、加工、存儲、傳輸、檢索等處理的人機(jī)系統(tǒng)。第三條行內(nèi)設(shè)立IT安全管理小組，專門負(fù)責(zé)本行內(nèi)范圍內(nèi)的計(jì)算機(jī)信息系統(tǒng)安全管理工作。第一章網(wǎng)絡(luò)管理第四條遵守國家有關(guān)法律、法規(guī)，嚴(yán)格執(zhí)行安全保密制度，不得利用網(wǎng)絡(luò)從事危害國家安全、泄露國家秘密

2、等違法犯罪活動，不得制作、瀏覽、復(fù)制、傳播反動及色情信息，不得在網(wǎng)絡(luò)上發(fā)布反動、非法和虛假的消息，不得在網(wǎng)絡(luò)上漫罵攻擊他人，不得在網(wǎng)上泄露他人隱私。嚴(yán)禁通過網(wǎng)絡(luò)進(jìn)行任何黑客活動和性質(zhì)類似的破壞活動，嚴(yán)格控制和防范計(jì)算機(jī)病毒的侵入。管理辦法：通過以下措施做到嚴(yán)禁通過網(wǎng)絡(luò)進(jìn)行任何黑客活動和性質(zhì)類似的破壞活動，嚴(yán)格控制和防范計(jì)算機(jī)病毒的侵入。（一）可分組、分時效、分個人、分權(quán)限控制使用、注冊使用USB存儲設(shè)備；出現(xiàn)事故問題可直接追究當(dāng)事人或者部門負(fù)責(zé)人責(zé)任。1. USB禁用存儲設(shè)置終端用戶是否禁用所有USB存儲設(shè)備。2. USB存儲認(rèn)證注冊內(nèi)部存儲U盤只能在內(nèi)網(wǎng)中指定機(jī)器使用，在外網(wǎng)無法使用；授信外

3、部U盤在外網(wǎng)可正常使用，在內(nèi)部指定機(jī)器使用。3. USB文件操作審計(jì)詳細(xì)記錄終端用戶在USB存儲設(shè)備中操作文件的情況，包括創(chuàng)建目錄、創(chuàng)建文件、修改、復(fù)制、剪切、粘貼、重命名、刪除等操作。4. USB應(yīng)用審計(jì)詳細(xì)記錄終端用戶插拔USB存儲設(shè)備的具體時間、盤符、插拔狀態(tài)、磁盤容量、使用空間、剩余空間等信息。（二）無線網(wǎng)卡管理：設(shè)置終端用戶允許或禁止使用無線網(wǎng)卡。（三）可信內(nèi)網(wǎng)安全域：設(shè)置內(nèi)網(wǎng)中可相互正常通信的IP地址范圍，在同一安全域中的機(jī)器可相互通信。不在用以安全域而且沒有經(jīng)過授權(quán)或者安裝客戶端的機(jī)器不能與內(nèi)網(wǎng)中的計(jì)算機(jī)通信，分發(fā)進(jìn)入內(nèi)網(wǎng)的機(jī)器完全隔離。（四）ARP報警：網(wǎng)絡(luò)內(nèi)出現(xiàn)ARP攻擊后即

4、報警。并進(jìn)行arp病毒防范；第五條各工作計(jì)算機(jī)未進(jìn)行安全配置、未裝防火墻或殺毒軟件的，不得入網(wǎng)。各計(jì)算機(jī)終端用戶應(yīng)定期對計(jì)算機(jī)系統(tǒng)、殺毒軟件等進(jìn)行升級和更新，并定期進(jìn)行病毒清查，不要下載和使用未經(jīng)測試和來歷不明的軟件、不要打開來歷不明的電子郵件、以及不要隨意使用U盤等移動存儲介質(zhì)。管理辦法：通過以下措施達(dá)到管理制度第五條之規(guī)定；1. 終端安全報警：終端用戶未運(yùn)行指定程序或者未安裝行內(nèi)規(guī)定必須安裝的防病毒軟件后即報警，可進(jìn)行重啟、鎖定鍵盤鼠標(biāo)、發(fā)通知信息或者強(qiáng)制阻斷網(wǎng)絡(luò)不允許進(jìn)去單位網(wǎng)絡(luò)等操作。2. 殺軟管理：查看終端機(jī)器所安裝的殺毒軟件名稱、病毒庫版本及運(yùn)行情況。第六條禁止未授權(quán)用戶接入行內(nèi)計(jì)

5、算機(jī)網(wǎng)絡(luò)及訪問網(wǎng)絡(luò)中的資源，禁止未授權(quán)用戶使用BT、電驢等占用大量帶寬的下載工具。管理辦法：通過以下措施達(dá)到管理制度第六條之規(guī)定；1. 可信內(nèi)網(wǎng)安全域：設(shè)置內(nèi)網(wǎng)中可相互正常通信的IP地址范圍，在同一安全域中的機(jī)器可相互通信。不在用以安全域而且沒有經(jīng)過授權(quán)或者安裝客戶端的機(jī)器不能與內(nèi)網(wǎng)中的計(jì)算機(jī)通信，分發(fā)進(jìn)入內(nèi)網(wǎng)的機(jī)器完全隔離。2. 程序保護(hù)：保護(hù)指定程序不允許被非法關(guān)閉，如殺毒軟件、辦公軟件、ERP客戶端等。3. 程序黑名單：禁止終端用戶運(yùn)行指定程序，可分時段控制，支持模糊關(guān)鍵字，支持標(biāo)題欄。4. 程序白名單：允許終端用戶只運(yùn)行指定程序，可分時段控制，支持模糊關(guān)鍵字，支持標(biāo)題欄。5. 應(yīng)用程序

6、流量管理:查看終端用戶正在運(yùn)行的應(yīng)用程序所占用的帶寬流量，包括上傳流量與下載流量的具體信息。6. 互聯(lián)網(wǎng)流量管理:設(shè)置終端用戶流量的帶寬限制。第七條任何員工不得制造或者故意輸入、傳播計(jì)算機(jī)病毒和其他有害數(shù)據(jù)，不得利用非法手段復(fù)制、截收、篡改計(jì)算機(jī)信息系統(tǒng)中的數(shù)據(jù)。管理辦法：通過以下措施達(dá)到管理制度第七條之規(guī)定；1. 圖檔權(quán)限控管：定制終端用戶機(jī)器的某些文檔或目錄禁止被剪切、復(fù)制、刪除、重命名，從而保障文檔的安全性，不被誤刪除或非法刪除。第八條行內(nèi)對所有IT軟硬件資產(chǎn)信息，統(tǒng)一匯總到行政財務(wù)人員處理登記。不得私自拆卸安裝非工作之外的軟件、硬件資產(chǎn)。管理辦法：通過以下措施達(dá)到管理制度第七條之規(guī)定；

7、2. 硬件資產(chǎn)管理：自動生成所有終端用戶計(jì)算機(jī)的硬件資產(chǎn)信息。3. 軟件資產(chǎn)管理：自動生成所有終端用戶計(jì)算機(jī)的軟件安裝信息。4. 硬件資產(chǎn)查詢：多條件查詢所有終端用戶的硬件信息。5. 軟件資產(chǎn)查詢：多條件查詢終端用戶的軟件安裝信息。6. 硬件維修記錄：詳細(xì)記錄終端用戶的硬件維修信息。7. 新安裝軟件管理：設(shè)置終端用戶允許或禁止新安裝軟件。8. 硬件變化報警：終端用戶的硬件發(fā)生變化后即報警，可進(jìn)行重啟、鎖定鍵盤鼠標(biāo)、隔離、發(fā)通知信息等操作。9. 軟件變化報警：終端用戶軟件發(fā)生變化后即報警，可進(jìn)行重啟、鎖定鍵盤鼠標(biāo)、隔離、發(fā)通知信息等操作。第九條行內(nèi)員工禁止利用掃描、監(jiān)聽、偽裝等工具對網(wǎng)絡(luò)和服務(wù)器

8、進(jìn)行惡意攻擊，及時對終端機(jī)器系統(tǒng)漏洞進(jìn)行修補(bǔ)，禁止非法侵入他人網(wǎng)絡(luò)和服務(wù)器系統(tǒng)，禁止利用計(jì)算機(jī)和網(wǎng)絡(luò)干擾他人正常工作的行為。管理辦法：通過以下措施達(dá)到管理制度第九條之規(guī)定；1. 終端漏洞掃描：查看客戶端機(jī)器的微軟補(bǔ)丁安裝情況，并可進(jìn)行相應(yīng)補(bǔ)丁的安裝與忽略安裝操作。2. 補(bǔ)丁自動分發(fā)設(shè)置：設(shè)置終端用戶是否自動進(jìn)行補(bǔ)丁分發(fā)設(shè)置。3. 已安裝補(bǔ)丁信息：詳細(xì)查看終端用戶已安裝補(bǔ)丁信息。4. 漏洞修復(fù)日志：詳細(xì)記錄終端用戶漏洞修復(fù)日志情況。5. 已忽略補(bǔ)丁信息：詳細(xì)記錄終端用戶已忽略補(bǔ)丁安裝信息。6. 更新補(bǔ)丁庫：更新服務(wù)器中的補(bǔ)丁庫信息。第十條計(jì)算機(jī)各終端用戶應(yīng)保管好自己的用戶帳號和密碼。嚴(yán)禁隨意向他

9、人泄露、借用自己的帳號和密碼；嚴(yán)禁不以真實(shí)身份登錄系統(tǒng)。計(jì)算機(jī)使用者更應(yīng)定期更改密碼、使用復(fù)雜密碼。第十一條IP地址為計(jì)算機(jī)網(wǎng)絡(luò)的重要資源，計(jì)算機(jī)各終端用戶應(yīng)在IT安全管理小組的規(guī)劃下使用這些資源，不得擅自更改。另外，某些系統(tǒng)服務(wù)對網(wǎng)絡(luò)產(chǎn)生影響，計(jì)算機(jī)各終端用戶應(yīng)在IT安全管理小組的指導(dǎo)下使用，禁止隨意開啟計(jì)算機(jī)中的系統(tǒng)服務(wù)，保證計(jì)算機(jī)網(wǎng)絡(luò)暢通運(yùn)行。管理辦法：通過以下措施達(dá)到管理制度第十一條之規(guī)定；1. IP地址列表：掃描內(nèi)網(wǎng)中所有機(jī)器的IP地址，并顯示該IP地址所對應(yīng)機(jī)器的終端類型，是非法入侵終端、安全終端還是授信終端。2. IPMAC地址綁定：將終端用戶的IP地址與MAC地址進(jìn)行綁定，不允

10、許終端用戶非法修改IP。3. 無線網(wǎng)卡管理：設(shè)置終端用戶允許或禁止使用無線網(wǎng)卡。4. 非法外聯(lián)控制：設(shè)置終端用戶允許或禁止新建網(wǎng)絡(luò)連接。5. 網(wǎng)絡(luò)屬性管理：設(shè)置終端用戶允許或禁止使用網(wǎng)絡(luò)屬性功能。6. 遠(yuǎn)程網(wǎng)絡(luò)配置：遠(yuǎn)程對終端用戶的計(jì)算機(jī)名稱、IP地址、網(wǎng)關(guān)、DNS地址以及代理服務(wù)器地址進(jìn)行配置。7. 批量網(wǎng)絡(luò)配置：遠(yuǎn)程對多個終端用戶的網(wǎng)絡(luò)配置進(jìn)行統(tǒng)一設(shè)置。第二章外設(shè)管理第十二條凡登記在案的IT外部設(shè)備，都要對其進(jìn)行管理，如：打印機(jī)、掃描儀、光驅(qū)、軟驅(qū)、刻錄機(jī)、無線網(wǎng)卡等。管理辦法：通過以下措施達(dá)到管理制度第十二條之規(guī)定；1. 光驅(qū)管理設(shè)置終端機(jī)器允許或禁止使用光驅(qū)。2. 軟驅(qū)管理設(shè)置終端機(jī)器

11、允許或禁止使用軟驅(qū)。3. 刻錄機(jī)管理設(shè)置終端機(jī)器允許或禁止使用刻錄機(jī)。4. 新增加設(shè)備管理設(shè)置終端機(jī)器允許或禁止新增加設(shè)備。5. 添加打印機(jī)管理設(shè)置終端機(jī)器允許或禁止新添加打印機(jī)。6. 打印機(jī)管理設(shè)置終端機(jī)器允許或禁止使用打印機(jī)。7. 紅外端口管理設(shè)置終端用戶允許或禁止使用紅外端口。8. 藍(lán)牙管理設(shè)置終端用戶允許或禁止使用藍(lán)牙設(shè)備。9. 無線上網(wǎng)卡管理設(shè)置終端用戶允許或禁止使用無線上網(wǎng)卡。第十三條IT設(shè)備安全管理實(shí)行“誰使用誰負(fù)責(zé)”的原則（公用設(shè)備責(zé)任落實(shí)到部門和責(zé)任人）。凡分行內(nèi)或合作單位自行購買的設(shè)備，原則上由分行內(nèi)或合作單位自行負(fù)責(zé)，但若有需要，IT安全管理小組可協(xié)助處理。備注：主要是移

12、動存儲設(shè)備U盤等。管理辦法：通過以下措施達(dá)到管理制度第十三條之規(guī)定；可分組、分時效、分個人、分權(quán)限控制使用、注冊使用USB存儲設(shè)備；出現(xiàn)事故問題可直接追究當(dāng)事人或者部門負(fù)責(zé)人責(zé)任。1. USB禁用存儲設(shè)置終端用戶是否禁用所有USB存儲設(shè)備。2. USB存儲認(rèn)證注冊內(nèi)部存儲U盤只能在內(nèi)網(wǎng)中指定機(jī)器使用，在外網(wǎng)無法使用；授信外部U盤在外網(wǎng)可正常使用，在內(nèi)部指定機(jī)器使用。3. USB文件操作審計(jì)詳細(xì)記錄終端用戶在USB存儲設(shè)備中操作文件的情況，包括創(chuàng)建目錄、創(chuàng)建文件、修改、復(fù)制、剪切、粘貼、重命名、刪除等操作。4. USB應(yīng)用審計(jì)詳細(xì)記錄終端用戶插拔USB存儲設(shè)備的具體時間、盤符、插拔狀態(tài)、磁盤容量

13、、使用空間、剩余空間等信息。第十四條設(shè)備出現(xiàn)故障無法維修或維修成本過高，且符合報廢條件的，由IT設(shè)備終端用戶提出申請，并填寫IT設(shè)備報廢申請表，由相應(yīng)部門經(jīng)理簽字后報IT安全管理小組。經(jīng)IT安全管理小組對設(shè)備使用年限、維修情況等進(jìn)行鑒定，將報廢設(shè)備交有關(guān)部門處理，如報廢設(shè)備能出售，將收回的資金交行內(nèi)財務(wù)入賬。同時，由IT安全管理小組對報廢設(shè)備登記備案、存檔。管理辦法：通過以下措施達(dá)到管理制度第十四條之規(guī)定；金盾CIS對IT資產(chǎn)進(jìn)行生命周期管理，特別是在做IT采購決策的時候，金盾CIS可以給IT管理人員一個清楚的全局IT資產(chǎn)狀況，如：采購：什么時間采購的IT資產(chǎn)，信息記錄入庫。入庫：設(shè)備到貨，安

14、裝金盾CIS資產(chǎn)自動匯總形成明細(xì)。維修：設(shè)備維修，IT資產(chǎn)的整個維修過程全程跟蹤記錄。借調(diào)：設(shè)備借調(diào)，支持借調(diào)設(shè)備申請流程以及追蹤設(shè)備借調(diào)返回時間。領(lǐng)用：記錄設(shè)備使用情況，包括哪一位員工領(lǐng)用了設(shè)備等信息。折舊：支持企業(yè)的財務(wù)制度，通過年限的設(shè)定，統(tǒng)計(jì)個別折舊年限的設(shè)備。報廢：允許管理員通過流程，報廢已經(jīng)損壞不堪的機(jī)器或者年限太老的機(jī)器。第三章數(shù)據(jù)管理第十五條計(jì)算機(jī)終端用戶計(jì)算機(jī)內(nèi)的資料涉及行內(nèi)秘密的，應(yīng)該為計(jì)算機(jī)設(shè)定開機(jī)密碼或?qū)⑽募用?；凡涉及行?nèi)機(jī)密的數(shù)據(jù)或文件，非工作需要不得以任何形式轉(zhuǎn)移，更不得透露給他人。離開原工作崗位的員工由所在部門經(jīng)理負(fù)責(zé)將其所有工作資料收回并保存。管理辦法：通過以

15、下措施達(dá)到管理制度第十五條之規(guī)定；通過金盾CIS加密解密模塊在不影響用戶使用習(xí)慣的情況下,強(qiáng)制透明自動加密涉密資料以及重要數(shù)據(jù)；控制泄密資料以郵件、即時通信工具、U盤拷貝等方式泄密。即使發(fā)到外網(wǎng)數(shù)據(jù)在沒有金盾客戶端的情況下無法正常使用，強(qiáng)制打開將以亂碼方式顯示，看不到文件的明文。這也是杜絕泄密的有效辦法從泄密文件根源上來解決問題。1. 自動加解密下發(fā)終端用戶所對應(yīng)的加密策略，強(qiáng)制自動加密終端用戶文件。2. 手動加解密可對任何文件進(jìn)行手動強(qiáng)制加密、解密操作。3. 硬盤全加密對硬盤上所有已選定圖檔格式的文件，進(jìn)行全盤加密。4. 硬盤全解密對硬盤上所有已選定圖檔格式的文件，進(jìn)行全盤解密。5. 圖檔密

16、級將不同類型的圖檔根據(jù)實(shí)際情況設(shè)置為不同的密級，針對不同密級的文檔，只有特定的用戶擁有該密級權(quán)限方可查看。6. 移動外發(fā)滿足加密文件脫機(jī)使用，提供授權(quán)郵箱，離線運(yùn)行，外網(wǎng)解密等外發(fā)解密方式。7. 外發(fā)審核日志終端用戶外發(fā)加密文件需經(jīng)管理員審核通過后解密，方可進(jìn)行外發(fā)。第十六條工作范圍內(nèi)的重要數(shù)據(jù)（重要程度由各部門經(jīng)理核定）由計(jì)算機(jī)終端用戶定期更新、備份，并提交給所在部門經(jīng)理，由部門經(jīng)理負(fù)責(zé)保存。各部門經(jīng)理在一個季度開始后10天之內(nèi)將本部門上一季度的工作數(shù)據(jù)交行政人事部匯集后統(tǒng)一采用磁性介質(zhì)或光盤保存。管理辦法：通過以下措施達(dá)到管理制度第十六條之規(guī)定；1. 遠(yuǎn)程文件管理管理員可遠(yuǎn)程操作客戶端硬盤

17、上的所有文件，包括下載、上傳、刪除、查看、遠(yuǎn)程執(zhí)行等操作。2. 圖檔權(quán)限控管定制終端用戶機(jī)器的某些文檔或目錄禁止被剪切、復(fù)制、刪除、重命名，從而保障文檔的安全性，不被誤刪除或非法刪除。3. 圖檔備份對終端用戶機(jī)器上的重要文件進(jìn)行自動備份或手動備份到文檔備份服務(wù)器。4. 備份日志查詢查看終端用戶文件備份的詳細(xì)情況，并可進(jìn)行文檔恢復(fù)操作，保證終端文件安全。第十七條計(jì)算機(jī)終端用戶務(wù)必將有價值的數(shù)據(jù)存放在除系統(tǒng)盤（操作系統(tǒng)所在的硬盤分區(qū)，一般是C盤）外的盤上。計(jì)算機(jī)信息系統(tǒng)發(fā)生故障，應(yīng)及時與IT安全管理小組聯(lián)系并采取保護(hù)數(shù)據(jù)安全的措施。第十八條就是終端用戶未做好備份前不得刪除任何硬盤數(shù)據(jù)。對重要的數(shù)據(jù)

18、應(yīng)準(zhǔn)備雙份，存放在不同的地點(diǎn)；對采用磁性介質(zhì)或光盤保存的數(shù)據(jù)，要定期進(jìn)行檢查，定期進(jìn)行復(fù)制，防止由于磁性介質(zhì)損壞，而使數(shù)據(jù)丟失；做好防磁、防火、防潮和防塵工作。第四章操作管理第十九條凡涉及業(yè)務(wù)的專業(yè)軟件由使用人員自行負(fù)責(zé)。嚴(yán)禁利用計(jì)算機(jī)干與工作無關(guān)的事情；IT安全管理小組將有針對性地對員工的數(shù)據(jù)審計(jì)信息進(jìn)行定期的上報，供行內(nèi)領(lǐng)導(dǎo)參考查閱；管理辦法：通過以下措施達(dá)到管理制度第十九條之規(guī)定；1. 瀏覽網(wǎng)站審計(jì)全面記錄上網(wǎng)信息并產(chǎn)生相應(yīng)鏈接以便管理員查看。對終端所登錄的網(wǎng)站包括網(wǎng)站標(biāo)題、網(wǎng)站地址、訪問時間等詳細(xì)記錄。2. 文件操作審計(jì)詳細(xì)記錄終端用戶的文件訪問、新建、復(fù)制、粘貼、剪切、重命名、刪除等

19、操作。3. 打印文件審計(jì)全面記錄終端用戶打印的文件名字、頁數(shù)、時間及其具體打印文件的內(nèi)容。4. 應(yīng)用程序?qū)徲?jì)詳細(xì)記錄客戶端運(yùn)行過的應(yīng)用程序，包括開始運(yùn)行時間、結(jié)束運(yùn)行時間以及總共運(yùn)行時長等信息。5. 即時通訊審計(jì)詳細(xì)記錄終端用戶通過即時通訊工具（QQ/TM/RTX/SKYPE/UC/淘寶旺旺/飛信/MSN/Yahoo）進(jìn)行聊天的聊天記錄，并可詳細(xì)記錄附件發(fā)送內(nèi)容。6. 郵件監(jiān)控審計(jì)監(jiān)控終端用戶發(fā)送郵件的正文、標(biāo)題、收發(fā)件人、發(fā)件人以及附件內(nèi)容等。可監(jiān)控WEB郵件以及通過FOXMAIL/OUTLOOK/EXHANGE服務(wù)器等發(fā)送的郵件。7. 論壇審計(jì)監(jiān)控終端用戶在任何論壇網(wǎng)站上的發(fā)帖評論及相關(guān)回、發(fā)貼內(nèi)容。包括發(fā)貼時間、人員名稱等。第六章處罰措施第二十條有以下情況之一者，視情節(jié)嚴(yán)重程度處以xx元以上xxxx元以下罰款。構(gòu)成犯罪的，依法追究刑事責(zé)任。（1） 制造或者故意輸入、傳播計(jì)算機(jī)病毒以及其他有害數(shù)據(jù)的；（2） 非法復(fù)制、截收、篡改計(jì)算機(jī)信息系統(tǒng)中的數(shù)據(jù)危害計(jì)算機(jī)信息系統(tǒng)安全的;（3） 對網(wǎng)絡(luò)和服務(wù)器