工業(yè)控制系統(tǒng)信息安全管理制度標(biāo)準(zhǔn)版

工業(yè)控制系統(tǒng)信息安全管理制

度標(biāo)準(zhǔn)版（標(biāo)準(zhǔn)版資料，可直接使用可編輯，推薦下載）2021年1月1日2021年1月1日工業(yè)控制系統(tǒng)信息安全管理制度1適用范圍為了規(guī)范公司工業(yè)控制系統(tǒng)的使用和操作，防止發(fā)生人為或意外損壞系統(tǒng)事故以及誤操作引起的設(shè)備停運(yùn)，保證工控系統(tǒng)的穩(wěn)定運(yùn)行，特制定本制度。本制度適用于DCS及DEH系統(tǒng)以及輔控網(wǎng)DCS。2計算機(jī)使用管理2.1工程師站嚴(yán)格按照權(quán)限進(jìn)行操作，無關(guān)人員不準(zhǔn)使用。2.2工程師站、操作員站等人機(jī)接口系統(tǒng)應(yīng)分級授權(quán)使用。嚴(yán)禁非授權(quán)人員使用工程師站的系統(tǒng)組態(tài)功能，工程師站用戶的權(quán)限可以實施邏輯修改和系統(tǒng)管理工作；操作員站用戶權(quán)限，查看運(yùn)行狀態(tài)畫面，實施監(jiān)控。2.3每三個月更改一次口令，同時檢查每一級用戶口令的權(quán)限設(shè)置應(yīng)正確?？诹钭珠L應(yīng)大于6個字符并由字母數(shù)字混合組成。修改后的口令應(yīng)填寫《DCS系統(tǒng)機(jī)器密碼記錄》，妥善保管。2.4計算機(jī)在使用過程中發(fā)生異常情況，立即停止當(dāng)前操作，通知集控室負(fù)責(zé)人和相關(guān)維修人員。如服務(wù)器發(fā)生故障，按各《信息系統(tǒng)故障應(yīng)急預(yù)案》操作，維修人員記錄《軟件故障處理和修改記錄》。2.5使用工程師站計算機(jī)后，需詳細(xì)填寫《工程師站出入及機(jī)器使用記錄》后方可離開。3軟件保護(hù)3.1嚴(yán)禁在計算機(jī)控制系統(tǒng)中使用其他無關(guān)軟件。除非軟件升級或補(bǔ)丁的需要，嚴(yán)禁在計算機(jī)控制系統(tǒng)中使用U盤、光盤等。3.2禁止向DCS網(wǎng)絡(luò)中連接系統(tǒng)外接計算機(jī)、3.3在連接到DCS中的計算機(jī)上進(jìn)行操作時，使用的可讀寫存儲介質(zhì)必須是固定的一個設(shè)備，并且在每次使用前對其進(jìn)行格式化處理，然后才可以接入以上計算機(jī)。4軟件的修改、保存及維護(hù)4.1更新、升級計算機(jī)系統(tǒng)軟件、應(yīng)用軟件或下載數(shù)據(jù)，其存儲介質(zhì)須是本計算機(jī)控制系統(tǒng)專用存儲介質(zhì)，不允許與其他計算機(jī)系統(tǒng)交換使用。4.2進(jìn)行計算機(jī)軟件、系統(tǒng)組態(tài)、設(shè)定值等修改工作，必須嚴(yán)格執(zhí)行相關(guān)審批手續(xù)后方可工作，同時填寫《組態(tài)及參數(shù)修改記錄》，并及時做好修改后的數(shù)據(jù)備份工作。5軟件和數(shù)據(jù)庫備份5.1計算機(jī)控制系統(tǒng)的軟件和數(shù)據(jù)庫、歷史數(shù)據(jù)應(yīng)定期進(jìn)行備份，完全備份間隔三個月一次，系統(tǒng)備份必須使用專用的U盤備份，并且由系統(tǒng)管理員進(jìn)行相關(guān)操作。5.2對系統(tǒng)軟件（包括操作系統(tǒng)和應(yīng)用軟件）的任何修改，包括版本升級和安裝補(bǔ)丁，都應(yīng)及時進(jìn)行備份。5.3備份結(jié)束后，在備份件上正確標(biāo)明備份內(nèi)容、對象，并做好記錄，填寫《DCS系統(tǒng)備份記錄》。5.4DCS中各系統(tǒng)的備份必須由系統(tǒng)管理員定期手動進(jìn)行，具體要求同上。附件一：各系統(tǒng)機(jī)器密碼記錄附件二：備份資料記錄附件三：工程師站出入及機(jī)器使用記錄附件四：軟件故障處理和修改記錄附件五：組態(tài)及參數(shù)修改記錄附件一：各系統(tǒng)機(jī)器密碼記錄系統(tǒng)機(jī)器密碼記錄附件二：備份資料記錄備份資料記錄附件三：工程師站出入及機(jī)器使用登記記錄工程師站出入及機(jī)器使用記錄

附件四：軟件故障處理和修改記錄軟件故障處理和修改記錄軟件維護(hù)起止時間 年月日一一 年月日工作負(fù)責(zé)人存在問題：處理過程：備注：附件五：組態(tài)及參數(shù)修改記錄組態(tài)及參數(shù)修改記錄

系統(tǒng)名稱起止時間年月日一一 年月日工作負(fù)責(zé)人修改位置及原因：修改前組態(tài)及參數(shù)：修改后組態(tài)及參數(shù)：備注：解讀《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》制定《指南》的背景通知中明確"為貫徹落實《國務(wù)院關(guān)于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導(dǎo)意見》（國發(fā)〔2021〕28號），保障工業(yè)企業(yè)工業(yè)控制系統(tǒng)信息安全，工業(yè)和信息化部制定《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》?！笨梢钥闯觯豆I(yè)控制系統(tǒng)信息安全防護(hù)指南》是根據(jù)《意見》制定的?！兑庖姟分邢嚓P(guān)要求《意見》"七大任務(wù)”中專門有一條"提高工業(yè)信息系統(tǒng)安全水平”。工信部根據(jù)《十三五規(guī)劃綱要》、《中國制造2025》和《意見》等要求編制的《工業(yè)和信息化部關(guān)于印發(fā)信息化和工業(yè)化融合發(fā)展規(guī)劃（2021-2年）》中進(jìn)一步明確，在十三五期間，我國兩化融合面臨的機(jī)遇和挑戰(zhàn)第四條就是"工業(yè)領(lǐng)域信息安全形勢日益嚴(yán)峻，對兩化融合發(fā)展提出新要求”，其"七大任務(wù)”中也提到要"逐步完善工業(yè)信息安全保障體系”，"六大重點工程”中之一就是"工業(yè)信息安全保障工程”。以上這些，就是政策層面的指導(dǎo)思想和要求。《指南》條款詳細(xì)解讀《指南》整體思路借鑒了等級保護(hù)的思想，具體提出了十一條三十款要求，貼近實際工業(yè)企業(yè)真實情況，務(wù)實可落地。我們從《指南》要求的主體、客體和方法將十一條分為三大類：a、針對主體目標(biāo)（法人或人）的要求，包含第十條供應(yīng)鏈管理、第十一條人員責(zé)任：1.10供應(yīng)鏈管理（一） 在選擇工業(yè)控制系統(tǒng)規(guī)劃、設(shè)計、建設(shè)、運(yùn)維或評估等服務(wù)商時，優(yōu)先考慮具備工控安全防護(hù)經(jīng)驗的企事業(yè)單位，以合同等方式明確服務(wù)商應(yīng)承擔(dān)的信息安全責(zé)任和義務(wù)。解讀：工業(yè)控制系統(tǒng)的全生產(chǎn)周期的安全管理過程中，采用適合于工業(yè)控制環(huán)境的管理和服務(wù)方式，要求服務(wù)商具有豐富的安全服務(wù)經(jīng)驗、熟悉工業(yè)控制系統(tǒng)工作流程和特點，且對安全防護(hù)體系和工業(yè)控制系統(tǒng)安全防護(hù)的相關(guān)法律法規(guī)要有深入的理解和解讀，保證相應(yīng)法律法規(guī)的有效落實，并以合同的方式約定服務(wù)商在服務(wù)過程中應(yīng)當(dāng)承擔(dān)的責(zé)任和義務(wù)。（二） 以保密協(xié)議的方式要求服務(wù)商做好保密工作，防范敏感信息外泄。解讀：與工業(yè)控制系統(tǒng)安全服務(wù)方簽定保密協(xié)議，要求服務(wù)商及其服務(wù)人員嚴(yán)格做好保密工作，尤其對工業(yè)控制系統(tǒng)內(nèi)部的敏感信息（如工藝文件、設(shè)備參數(shù)、系統(tǒng)管理數(shù)據(jù)、現(xiàn)場實時數(shù)據(jù)、控制指令數(shù)據(jù)、程序上傳/下載數(shù)據(jù)、監(jiān)控數(shù)據(jù)等）進(jìn)行重點保護(hù)，防范敏感信息外泄。1.11落實責(zé)任通過建立工控安全管理機(jī)制、成立信息安全協(xié)調(diào)小組等方式，明確工控安全管理責(zé)任人，落實工控安全責(zé)任制，部署工控安全防護(hù)措施。解讀：設(shè)立工業(yè)控制系統(tǒng)安全管理工作的職能部門，負(fù)責(zé)工業(yè)控制系統(tǒng)全生命周期的安全防護(hù)體系建設(shè)和管理，明確安全管理機(jī)構(gòu)的工作范圍、責(zé)任及工作人員的職責(zé)，制定工業(yè)控制系統(tǒng)安全管理方針，持續(xù)實施和改進(jìn)工業(yè)控制系統(tǒng)的安全防護(hù)能力，不斷提升工業(yè)控制系統(tǒng)防攻擊和抗干擾的水平。b、針對客體目標(biāo)（被保護(hù)的資產(chǎn)或數(shù)據(jù)）的安全要求，包含第八條資產(chǎn)安全、第九條數(shù)據(jù)安全：1.8資產(chǎn)安全（一） 建設(shè)工業(yè)控制系統(tǒng)資產(chǎn)清單，明確資產(chǎn)責(zé)任人，以及資產(chǎn)使用及處置原則。解讀：為實現(xiàn)和保持對組織機(jī)構(gòu)資產(chǎn)的適當(dāng)保護(hù)，確保所有資產(chǎn)可查，應(yīng)建設(shè)工業(yè)控制系統(tǒng)資產(chǎn)清單，并明確資產(chǎn)使用及處置原則，配置資產(chǎn)清單，定期更新清單庫，并對資產(chǎn)進(jìn)行分類。所有資產(chǎn)應(yīng)指定責(zé)任人，并且明確責(zé)任人的職責(zé)，明確資產(chǎn)使用權(quán)。制定資產(chǎn)在生產(chǎn)、調(diào)試、運(yùn)行、維護(hù)、報廢等過程中的處置原則。（二） 對關(guān)鍵主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備、控制組件等進(jìn)行冗余配置。解讀：在系統(tǒng)運(yùn)行過程中，可能出現(xiàn)的宕機(jī)、中斷、死機(jī)、病毒攻擊、自然災(zāi)害等資產(chǎn)被侵害的事件發(fā)生，導(dǎo)致系統(tǒng)無法正常工作，給企業(yè)和社會帶來損失，甚至威脅到員工生命和財產(chǎn)安全。對關(guān)鍵主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備、控制組件等進(jìn)行冗余配置，防止重大安全事件的發(fā)生。1.9數(shù)據(jù)安全（一）對靜態(tài)存儲數(shù)據(jù)和動態(tài)傳輸過程中的重要工業(yè)數(shù)據(jù)進(jìn)行保護(hù)，根據(jù)風(fēng)險評估結(jié)果對數(shù)據(jù)信息進(jìn)行分級分類管理。解讀：在數(shù)據(jù)創(chuàng)建、使用、分發(fā)、共享、銷毀的整個生命周期中，對重要數(shù)據(jù)如工藝文件、設(shè)備參數(shù)、系統(tǒng)管理數(shù)據(jù)、現(xiàn)場實時數(shù)據(jù)、控制指令數(shù)據(jù)、程序上傳/下載數(shù)據(jù)、監(jiān)控數(shù)據(jù)等應(yīng)進(jìn)行保護(hù)，如加密技術(shù)、安全存儲介質(zhì)等。數(shù)據(jù)遭受破壞時及時采取必要的恢復(fù)措施。風(fēng)險評估對數(shù)據(jù)的分類分級原則應(yīng)包含對企業(yè)經(jīng)濟(jì)影響、生產(chǎn)穩(wěn)定性影響、人身安全、法律風(fēng)險、名譽(yù)度損失等角度開展，根據(jù)數(shù)據(jù)的重要程度在信息存儲、信息傳輸、信息交換、信息使用等過程中采取相應(yīng)的防護(hù)措施。（二） 定期備份關(guān)鍵業(yè)務(wù)數(shù)據(jù)。解讀：為保證系統(tǒng)在災(zāi)難發(fā)生時，數(shù)據(jù)能夠盡量還原真實數(shù)據(jù)，應(yīng)對歷史數(shù)據(jù)庫服務(wù)器、實時數(shù)據(jù)服務(wù)器、先進(jìn)控制系統(tǒng)、優(yōu)化控制系統(tǒng)等重要系統(tǒng)設(shè)備進(jìn)行硬件冗余，啟用實時數(shù)據(jù)備份功能，保證當(dāng)主設(shè)備出現(xiàn)故障時冗余設(shè)備可以無擾動的切換并恢復(fù)數(shù)據(jù)，對于關(guān)鍵的業(yè)務(wù)數(shù)據(jù)，應(yīng)定期進(jìn)行軟備份。（三） 對測試數(shù)據(jù)進(jìn)行保護(hù)。解讀：測試數(shù)據(jù)一般來源于真實的現(xiàn)場設(shè)備實時數(shù)據(jù)，有必要對測試數(shù)據(jù)進(jìn)行安全防護(hù)，防止發(fā)生數(shù)據(jù)泄露、篡改、破壞，保護(hù)企業(yè)資產(chǎn)。c、針對保護(hù)方法措施的要求，根據(jù)工業(yè)控制網(wǎng)絡(luò)由內(nèi)而外的結(jié)構(gòu)包括:終端（第一條軟件選擇與管理、第四條物理環(huán)境安全）；配置（第二條配置安全）；網(wǎng)絡(luò)（第五條身份認(rèn)證、第三條邊界防護(hù)、第六條遠(yuǎn)程安全）；例外（第七條監(jiān)測應(yīng)急）。1.1安全軟件選擇與管理（一）在工業(yè)主機(jī)上采用經(jīng)過離線環(huán)境中充分驗證測試的防病毒軟件或應(yīng)用程序白名單軟件，只允許經(jīng)過工業(yè)企業(yè)自身授權(quán)和安全評估的軟件運(yùn)行。解讀：工業(yè)控制系統(tǒng)對可用性和實時性要求非常高，任何未經(jīng)驗證測試的軟件都可能影響控制系的穩(wěn)定性，應(yīng)對防病毒軟件或應(yīng)用程序白名單軟件進(jìn)行離線測試，測試無風(fēng)險后，方可在工業(yè)主機(jī)上部署。目前工業(yè)主機(jī)有效防護(hù)機(jī)制有"黑名單機(jī)制”和"白名單機(jī)制”，相比之下工控網(wǎng)絡(luò)則更加注重防護(hù)的"高可用性”和"高可靠性”，鑒于工業(yè)應(yīng)用的特殊性，"黑名單機(jī)制”無法應(yīng)對多元化的風(fēng)險及威脅。利用"白名單機(jī)制”可以建立工控行業(yè)應(yīng)用程序信譽(yù)庫，為工控應(yīng)用程序提供可信認(rèn)證、授權(quán)和評估，同時輔助沙箱檢測技術(shù)和殺毒軟件進(jìn)行應(yīng)用程序軟件的安全性測試，從根本上保證了工控主機(jī)安全。（二）建立防病毒和惡意軟件入侵管理機(jī)制，對工業(yè)控制系統(tǒng)及臨時接入的設(shè)備采取病毒查殺等安全預(yù)防措施。解讀：病毒和惡意代碼是工控系統(tǒng)主要威脅之一，應(yīng)對工控系統(tǒng)設(shè)備（例如操作員站、工程師站、控制服務(wù)器等）部署病毒和惡意代碼集中監(jiān)控、防護(hù)管理措施，對工業(yè)控制系統(tǒng)及臨時接入的設(shè)備進(jìn)行病毒和惡意代碼掃描檢測，防止遭受病毒和惡意軟件攻擊。1.4物理和環(huán)境安全防護(hù)（一）對重要工程師站、數(shù)據(jù)庫、服務(wù)器等核心工業(yè)控制軟硬件所在區(qū)域采取訪問控制、視頻監(jiān)控、專人值守等物理安全防護(hù)措施。解讀：重要的工程師站、數(shù)據(jù)庫、服務(wù)器是工業(yè)控制系統(tǒng)的核心組件，為了防止來自人為的惡意破壞。應(yīng)對核心工業(yè)控制軟硬件所在的位置，按照物理位置和業(yè)務(wù)功能進(jìn)行區(qū)域劃分，區(qū)域之間設(shè)置物理隔離裝置。在必要區(qū)域前設(shè)置交付或安裝等過渡區(qū)域，特殊區(qū)域應(yīng)配置電子門禁系統(tǒng)，7*24小時的視頻監(jiān)控。對核心工業(yè)控制軟硬件所在區(qū)域，出入口應(yīng)安排專人值守，控制、鑒別和記錄進(jìn)入的人員，來訪人員應(yīng)經(jīng)過申請和審批流程，并限制和監(jiān)控其活動范圍。（二）拆除或封閉工業(yè)主機(jī)上不必要的USB、光驅(qū)、無線等接口。若確需使用，通過主機(jī)外設(shè)安全管理技術(shù)手段實施嚴(yán)格訪問控制。解讀：工業(yè)主機(jī)越來越多采用通用計算機(jī)，USB、光驅(qū)、無線等接口的使用，為病毒、木馬、蠕蟲等惡意代碼入侵提供了途徑，拆除或封閉工業(yè)主機(jī)上不必要的USB、光驅(qū)、無線等接口可以從根本上切斷非法數(shù)據(jù)、程序的傳播途徑。若確需使用，可以通過主機(jī)安全管理軟件對外設(shè)的端口進(jìn)行控制，記錄文件的導(dǎo)入導(dǎo)出等操作痕跡，實現(xiàn)對端口的嚴(yán)格訪問控制。1.2配置和補(bǔ)丁管理（一）做好工業(yè)控制網(wǎng)絡(luò)、工業(yè)主機(jī)和工業(yè)控制設(shè)備的安全配置，建立工業(yè)控制系統(tǒng)配置清單，定期進(jìn)行配置審計。解讀：安全配置是基礎(chǔ)性的安全防護(hù)措施，安全配置能夠增強(qiáng)工控網(wǎng)絡(luò)、工業(yè)主機(jī)和工控設(shè)備安全性，應(yīng)建立工控系統(tǒng)安全配置清單，包括工控網(wǎng)絡(luò)設(shè)備、工業(yè)主機(jī)、工控設(shè)備的安全配置清單。在日常運(yùn)維管理方面，指導(dǎo)管理人員對系統(tǒng)安全配置優(yōu)化，避免存在安全隱患。根據(jù)工業(yè)控制系統(tǒng)配置清單，定期對工業(yè)控制網(wǎng)絡(luò)、工業(yè)主機(jī)和工業(yè)控制設(shè)備開展配置審計，及時發(fā)現(xiàn)配置問題。（二）對重大配置變更制定變更計劃并進(jìn)行影響分析，配置變更實施前進(jìn)行嚴(yán)格安全測試。解讀：工控系統(tǒng)的日常維護(hù)管理經(jīng)常涉及到配置變更，但未經(jīng)嚴(yán)格安全測試的重大變更可能會對工控系統(tǒng)造成破壞。在工控系統(tǒng)重大配置變更之前，應(yīng)制定變更計劃，對變更可能出現(xiàn)的影響進(jìn)行評估分析，并在工控系統(tǒng)離線環(huán)境中進(jìn)行安全測試，保障配置變更的安全性和可靠性。（三）密切關(guān)注重大工控安全漏洞及其補(bǔ)丁發(fā)布，及時采取補(bǔ)丁升級措施。在補(bǔ)丁安裝前，需對補(bǔ)丁進(jìn)行嚴(yán)格的安全評估和測試驗證。解讀：工控系統(tǒng)較傳統(tǒng)的^系統(tǒng)更脆弱，在補(bǔ)丁升級方面要非常慎重，補(bǔ)丁升級可能會影響工控系統(tǒng)的穩(wěn)定性，如果補(bǔ)丁升級失敗，可能對工控系統(tǒng)造成破壞，導(dǎo)致工控系統(tǒng)運(yùn)行中斷。因此，工控系統(tǒng)在補(bǔ)丁升級之前必須進(jìn)行嚴(yán)格驗證測試，包括安全性、穩(wěn)定性、兼容性和可靠性驗證測試。1.5身份認(rèn)證（一） 在工業(yè)主機(jī)登錄、應(yīng)用服務(wù)資源訪問、工業(yè)云平臺訪問等過程中使用身份認(rèn)證管理。對于關(guān)鍵設(shè)備、系統(tǒng)和平臺的訪問采用多因素認(rèn)證。解讀：面對工業(yè)控制主機(jī)和系統(tǒng)的登錄、訪問過程中常見身份冒用，越權(quán)訪問等安全風(fēng)險，給工業(yè)控制生產(chǎn)活動帶來安全隱患。通過采取身份鑒別、角色判定、權(quán)限分配等安全措施實現(xiàn)工業(yè)主機(jī)登錄、應(yīng)用服務(wù)資源訪問、工業(yè)云平臺訪問等過程的統(tǒng)一身份認(rèn)證管理。對于關(guān)鍵設(shè)備、系統(tǒng)和平臺應(yīng)采取如口令、usbkey、智能卡、生物指紋等多種認(rèn)證方式組合的多因素認(rèn)證方式。一是避免他人盜用、誤用，二是提高設(shè)備、系統(tǒng)和平臺的攻擊難度。（二） 合理分類設(shè)置賬戶權(quán)限，以最小特權(quán)原則分配賬戶權(quán)限。解讀：應(yīng)限定網(wǎng)絡(luò)中每個主體所必須的最小特權(quán)，確?？赡艿氖鹿?、錯誤、篡改等原因造成的損失最小化，對超級管理員賬號未禁止、各賬戶權(quán)限未實現(xiàn)分立制約等常見問題應(yīng)及時發(fā)現(xiàn)并改正。（三） 強(qiáng)化工業(yè)控制設(shè)備、SCADA軟件、工業(yè)通信設(shè)備等的登錄賬戶及密碼，避免使用默認(rèn)密碼或弱密碼,定期更新口令。解讀：對登錄賬戶和密碼要及時更新，密碼要以多位數(shù)含數(shù)字、字母、特殊符號的組合方式提高密碼強(qiáng)度，建議采用驗證碼機(jī)制，提高被暴力破解的難度。避免使用默認(rèn)密碼、易猜測密碼、空口令甚明文張貼密碼的現(xiàn)象發(fā)生。（四）加強(qiáng)對身份認(rèn)證證書信息保護(hù)力度，禁止在不同系統(tǒng)和網(wǎng)絡(luò)環(huán)境下共享。解讀：建議采用安全介質(zhì)存儲證書信息，對證書的申請、發(fā)放、使用、吊銷等過程通過技術(shù)手段嚴(yán)格控制，并建立相關(guān)制度保障。建議采用國際通用的安全商密算法或國密算法。在不用系統(tǒng)和網(wǎng)絡(luò)環(huán)境下禁止傳遞證書信息。1.3邊界安全防護(hù)（一） 分離工業(yè)控制系統(tǒng)的開發(fā)、測試和生產(chǎn)環(huán)境。解讀：工業(yè)控制系統(tǒng)的開發(fā)、測試和生產(chǎn)環(huán)境承載的功能不同，為了避免由開發(fā)、測試環(huán)境引入的安全威脅給生產(chǎn)環(huán)境帶來作業(yè)風(fēng)險，需要將開發(fā)、測試和生產(chǎn)環(huán)境分離。將開發(fā)、測試和生產(chǎn)環(huán)境分別置于不同的區(qū)域，進(jìn)行邏輯或物理隔離。（二） 通過工業(yè)控制網(wǎng)絡(luò)邊界防護(hù)設(shè)備對工業(yè)控制網(wǎng)絡(luò)與企業(yè)網(wǎng)或互聯(lián)網(wǎng)之間的邊界進(jìn)行安全防護(hù)，禁止沒有防護(hù)的工業(yè)控制網(wǎng)絡(luò)與互聯(lián)網(wǎng)連接。解讀：工業(yè)控制網(wǎng)絡(luò)與企業(yè)網(wǎng)或互聯(lián)網(wǎng)之間互聯(lián)互通，為工業(yè)控制系統(tǒng)帶來巨大創(chuàng)造力和生產(chǎn)力的同時，也會引入更加復(fù)雜、嚴(yán)峻的安全問題。一是深度網(wǎng)絡(luò)化和多層面互聯(lián)互通增加了攻擊路徑；二是傳統(tǒng)IT產(chǎn)品的引入帶來了更多安全漏洞；三是新興信息技術(shù)在工業(yè)控制領(lǐng)域的防護(hù)體系尚不成熟。因此，需要在不同網(wǎng)絡(luò)邊界之間，部署邊界安全防護(hù)設(shè)備實現(xiàn)安全訪問控制，阻斷非法網(wǎng)絡(luò)訪問，嚴(yán)格禁止沒有防護(hù)的工業(yè)控制網(wǎng)絡(luò)與互聯(lián)網(wǎng)連接。（三）通過工業(yè)防火墻、網(wǎng)閘等防護(hù)設(shè)備對工業(yè)控制網(wǎng)絡(luò)安全區(qū)域之間進(jìn)行邏輯隔離安全防護(hù)。解讀：為了降低工業(yè)控制網(wǎng)絡(luò)安全區(qū)域之間連接風(fēng)險，減少攻擊平面，需要在區(qū)域之間部署邏輯隔離設(shè)備，如工業(yè)防火墻、網(wǎng)閘。在區(qū)域間有雙向訪問需求的網(wǎng)絡(luò)，可采用工業(yè)防火墻進(jìn)行邏輯隔離，深度檢測并過濾主流工控協(xié)議（如：OPC、Modbus、S7、Ethernet/IP等）帶來的安全風(fēng)險；在區(qū)域間只需要單向訪問的情況下，可采用網(wǎng)閘進(jìn)行隔離防護(hù)。1.6遠(yuǎn)程訪問安全（一）原則上嚴(yán)格禁止工業(yè)控制系統(tǒng)面向互聯(lián)網(wǎng)開通HTTP、FTP、Telnet等高風(fēng)險通用網(wǎng)絡(luò)服務(wù)。解讀：基于明文傳輸?shù)腍TTP、FTP.Telnet等網(wǎng)絡(luò)服務(wù)協(xié)議容易遭到非法竊聽、數(shù)據(jù)篡改、敏感信息泄露等高安全風(fēng)險。因此，在工業(yè)控制系統(tǒng)中，需要嚴(yán)格禁止HTTP、FTP、Telnet等高風(fēng)險通用網(wǎng)絡(luò)服務(wù)面向互聯(lián)網(wǎng)開通。（二） 確需遠(yuǎn)程訪問的，采用數(shù)據(jù)單向訪問控制等策略進(jìn)行安全加固，對訪問時限進(jìn)行控制，并采用加標(biāo)鎖定策略。解讀：遠(yuǎn)程訪問工業(yè)控制系統(tǒng)網(wǎng)絡(luò)，意味著為黑客開辟了一條攻擊工業(yè)控制網(wǎng)絡(luò)的通路，存在極大隱患。但在確需遠(yuǎn)程訪問的情況下，需要采用數(shù)據(jù)單向訪問控制等策略進(jìn)行安全加固，并對訪問時間進(jìn)行控制，還可以采用加標(biāo)鎖定來限制對機(jī)器、設(shè)備、工藝和電路的操作行為。（三） 確需遠(yuǎn)程維護(hù)的，采用虛擬專用網(wǎng)絡(luò)（VPN）等遠(yuǎn)程接入方式進(jìn)行。解讀：確需遠(yuǎn)程維護(hù)的，采用虛擬專用網(wǎng)絡(luò)（VPN）等遠(yuǎn)程接入方式連接，相當(dāng)于在公用網(wǎng)絡(luò)上為用戶建立了一條專用通道，這條專用通道上的所有通訊數(shù)據(jù)會被加密處理，并通過對數(shù)據(jù)包的加密和數(shù)據(jù)包目標(biāo)地址轉(zhuǎn)換實現(xiàn)安全的遠(yuǎn)程訪問。（四）保留工業(yè)控制系統(tǒng)的相關(guān)訪問日志，并對操作過程進(jìn)行安全審計。解讀：保留工業(yè)控制系統(tǒng)相關(guān)訪問日志，可以在發(fā)生非授權(quán)的遠(yuǎn)程登錄后進(jìn)行日志分析。通過日志中記錄到的登入登出、人員賬號、訪問時間等信息對非授權(quán)登錄行為進(jìn)行追蹤、定位，做到有源可溯，并對操作過程進(jìn)行安全審計，記錄所有操作行為，做到有據(jù)可查。1.7安全監(jiān)測和應(yīng)急預(yù)案演練（一） 在工業(yè)控制網(wǎng)絡(luò)部署網(wǎng)絡(luò)安全監(jiān)測設(shè)備，及時發(fā)現(xiàn)、報告并處理網(wǎng)絡(luò)攻擊或異常行為。解讀：工控系統(tǒng)網(wǎng)絡(luò)組成元素繁多，非法入侵、惡意代碼、維修接入甚至是誤操作都可能導(dǎo)致生產(chǎn)運(yùn)行的癱瘓或功能喪失，通過部署工控安全監(jiān)測設(shè)備，采用工控協(xié)議深度包解析等多種技術(shù)，對工業(yè)控制網(wǎng)絡(luò)可能存在的病毒、蠕蟲、木馬及針對工控網(wǎng)絡(luò)的攻擊行為和誤操作進(jìn)行實時檢測并告警。（二） 在重要工業(yè)控制設(shè)備前端部署具備工業(yè)協(xié)議深度包檢測功能的防護(hù)設(shè)備，限制違法操作。解讀：重要工業(yè)控制設(shè)備是工業(yè)企業(yè)生產(chǎn)核心控制單元，包含PLC、DCS控制器等，核心控制設(shè)備的異常將危及生產(chǎn)安全、公眾健康甚至社會穩(wěn)定。在重要工業(yè)控制設(shè)備前端部署具備工業(yè)協(xié)議深度包檢測功能的防護(hù)設(shè)備，對Modbus、S7、Ethernet/IP等主流工控協(xié)議進(jìn)行深度分析，采用"白名單”機(jī)制對發(fā)送至重要工控設(shè)備的指令進(jìn)行過濾，杜絕違法操作，并抑制惡意代碼及未知攻擊行為，保障重要工業(yè)控制設(shè)備運(yùn)行安全。（三） 制定工控安全事件應(yīng)急響應(yīng)預(yù)案，當(dāng)遭受安全威脅導(dǎo)致工業(yè)控制系統(tǒng)出現(xiàn)異?；蚬收蠒r，應(yīng)立即采取緊急防護(hù)措施，防止事態(tài)擴(kuò)大，并逐級報送直至屬地省級工業(yè)和信息化主管部門，同時注意保護(hù)現(xiàn)場，以便進(jìn)行調(diào)查取證。解讀：工控安全應(yīng)急響應(yīng)預(yù)案可提高工業(yè)控制系統(tǒng)應(yīng)對突發(fā)事件的應(yīng)急響應(yīng)能力，最大限度減少工控系統(tǒng)的損失及影響，做到"第一時間發(fā)現(xiàn)問題，第一時間解決問題”。應(yīng)急預(yù)案框架應(yīng)包括應(yīng)急計劃的策略和規(guī)程、應(yīng)急處理流程、系統(tǒng)恢復(fù)流程、事后教育和培訓(xùn)、系統(tǒng)備份、系統(tǒng)恢復(fù)重建等內(nèi)容。同時預(yù)案需從人力、設(shè)備、技術(shù)和財務(wù)等方面確保應(yīng)急預(yù)案的執(zhí)行有足夠的資源保障。在發(fā)生安全事件時，應(yīng)根據(jù)應(yīng)急預(yù)案流程采取安全防護(hù)措施，并按照應(yīng)急預(yù)案規(guī)程逐級上報至安全主管部門。同時，應(yīng)對事故現(xiàn)場進(jìn)行保護(hù)，便于事后調(diào)查取證。（四） 定期對工業(yè)控制系統(tǒng)的應(yīng)急響應(yīng)預(yù)案進(jìn)行演練，必要時對應(yīng)急響應(yīng)預(yù)案進(jìn)行修訂。解讀：通過開展應(yīng)急演練工作，使各工控企業(yè)熟悉應(yīng)急響應(yīng)機(jī)制、熟練應(yīng)急響應(yīng)流程、提高應(yīng)急響應(yīng)的處置能力，同時檢驗應(yīng)急響應(yīng)預(yù)案的可行性、相關(guān)部門的協(xié)調(diào)與配合能力、相關(guān)工作的落實情況以及應(yīng)急響應(yīng)所需備用設(shè)備的完備情況等，同時應(yīng)根據(jù)應(yīng)急演練中遇到的問題，對應(yīng)急演練方案進(jìn)行及時修訂。小結(jié)《指南》從十一條三十款具體要求宏觀描述了工業(yè)控制系統(tǒng)信息安全防護(hù)的輪廓，面向工控網(wǎng)絡(luò)真實環(huán)境及特殊性提出了多項針對性要求，為工業(yè)控制安全防護(hù)標(biāo)準(zhǔn)制定、技術(shù)研究、評估內(nèi)容等方面提供了具體依據(jù)，尤其對工業(yè)控制安全供需雙方指明了具體方向和思路，便于開展工控安全規(guī)劃，落地實施。同時參考《網(wǎng)絡(luò)安全法》和其他相關(guān)法律法規(guī)中對監(jiān)管部門責(zé)任、網(wǎng)絡(luò)攻擊組織或個人的處罰規(guī)定，相關(guān)行業(yè)對生產(chǎn)安全的要求，以及新修訂等級保護(hù)標(biāo)準(zhǔn)中對工控安全的相關(guān)要求，企業(yè)將對如何實施工業(yè)控制系統(tǒng)整體安全防護(hù)有更完整的思路。網(wǎng)絡(luò)信息安全管理制度大全一、 電腦設(shè)備管理26二、 軟件管理29三、 數(shù)據(jù)安全管理32四、 網(wǎng)絡(luò)信息安全管理32五、 病毒防護(hù)管理34六、 下載管理34七、 機(jī)房管理35八、 備份及恢復(fù)38電腦設(shè)備管理1、 計算機(jī)基礎(chǔ)設(shè)備管理2、 各部門對該部門的每臺計算機(jī)應(yīng)指定保管人，共享計算機(jī)則由部門指定人員保管，保管人對計算機(jī)軟、硬件有使用、保管責(zé)任。3、 公司計算機(jī)只有網(wǎng)絡(luò)管理員進(jìn)行維護(hù)時有權(quán)拆封，其它員工不得私自拆開封。4、 計算機(jī)設(shè)備不使用時，應(yīng)關(guān)掉設(shè)備的電源。人員暫離崗時，應(yīng)鎖定計算機(jī)。5、 計算機(jī)為公司生產(chǎn)設(shè)備，不得私用，轉(zhuǎn)讓借出；除筆記本電腦外，其它設(shè)備嚴(yán)禁無故帶出辦公生產(chǎn)工作場所。6、 按正確方法清潔和保養(yǎng)設(shè)備上的污垢，保證設(shè)備正常使用。7、 計算機(jī)設(shè)備老化、性能落后或故障嚴(yán)重，不能應(yīng)用于實際工作的，應(yīng)報信息技術(shù)部處理。8、 計算機(jī)設(shè)備出現(xiàn)故障或異常情況（包括氣味、冒煙與過熱）時，應(yīng)當(dāng)立即關(guān)閉電源開關(guān)，拔掉電源插頭，并及時通知計算機(jī)管理人員檢查或維修。9、 公司計算機(jī)及周邊設(shè)備，計算機(jī)操作系統(tǒng)和所裝軟件均為公司財產(chǎn)，計算機(jī)使用者不得隨意損壞或卸載。10、 公司電腦的IP地址由網(wǎng)絡(luò)管理員統(tǒng)一規(guī)劃分配，員工不得擅自更改其IP地址，更不得惡意占用他人的地址。計算機(jī)保管人對計算機(jī)軟硬負(fù)保管之責(zé)，使用者如有使用不當(dāng)，造成毀損或遺失，應(yīng)負(fù)賠償責(zé)任。11、保管人和使用人應(yīng)對計算機(jī)操作系統(tǒng)和所安裝軟件口令嚴(yán)格保密，并至少每180天更改一次密碼，密碼應(yīng)滿足復(fù)雜性原則，長度應(yīng)不低于8位，并由大寫字母、小寫字母、數(shù)字和標(biāo)點符號中至少3類混合組成；對于因為軟件自身原因無法達(dá)到要求的，應(yīng)按照軟件允3許的最高密碼安全策略處理。12、 重要資料、電子文檔、重要數(shù)據(jù)等不得放在桌面、我的文檔和系統(tǒng)盤（一般為C盤）以免系統(tǒng)崩潰導(dǎo)致數(shù)據(jù)丟失。與工作相關(guān)的重要文件及數(shù)據(jù)保存兩份以上的備份，以防丟失。公司設(shè)立文件服務(wù)器，重要文件應(yīng)及時上傳備份，各部門專用軟件和數(shù)據(jù)由計算機(jī)保管人定期備份上傳，需要信息技術(shù)部負(fù)責(zé)備份的應(yīng)填寫《數(shù)據(jù)備份申請表》，數(shù)據(jù)中心信息系統(tǒng)數(shù)據(jù)應(yīng)按《備份管理》備份。13、 正確開機(jī)和關(guān)機(jī)。開機(jī)時，先開外設(shè)（顯示器、打印機(jī)等），再開主機(jī)；關(guān)機(jī)時，應(yīng)先退出應(yīng)用程序和操作系統(tǒng)，再關(guān)主機(jī)和外設(shè)，避免非正常關(guān)機(jī)。14、 公司郵箱帳號必須由本帳號職員使用，未經(jīng)公司網(wǎng)絡(luò)管理員允許不得將帳號讓與他人使用，如造成公司損失或名譽(yù)影響，公司將追究其個人責(zé)任，并保留法律追究途徑。15、 未經(jīng)允許，員工不得在網(wǎng)上下載軟件、音樂、電影或者電視劇等，不得使用BT、電驢、POCO等嚴(yán)重占用帶寬的P2P下載軟件。員工在上網(wǎng)時，除非工作需要，不允許使用QQ、MSN等聊天軟件。員工不得利用公司電腦及網(wǎng)絡(luò)資源玩游戲，瀏覽與工作無關(guān)的網(wǎng)站。若發(fā)現(xiàn)信息技術(shù)部可暫停其Internet使用權(quán)限，并報相關(guān)領(lǐng)導(dǎo)處理。不得隨意安裝工作不需要的軟件。公司擁有的授權(quán)軟件軟件須報公司副總審批通過后由信息技術(shù)部或授權(quán)相關(guān)部門執(zhí)行。16、 計算機(jī)出現(xiàn)重大故障，如硬盤損壞，計算機(jī)保管人應(yīng)立即向部門負(fù)責(zé)人和信息技術(shù)部報告，并填寫《設(shè)備故障登記表》17、 員工離職時，人力資源應(yīng)及時通知信息技術(shù)部取消其所有的IT資源使用權(quán)限，回收其電腦并保留一個星期，若一個星期之內(nèi)人事部沒有招到新員工頂替，電腦將備份數(shù)據(jù)后入庫。18、 如需要私人計算機(jī)連接到公司網(wǎng)絡(luò)，需信息技術(shù)部授權(quán)并進(jìn)行登記。19、 不得隨意安裝軟件，軟件安裝按照《軟件管理》實施。20、 所有計算機(jī)設(shè)備必須統(tǒng)一安裝防病毒軟件，未經(jīng)信息技術(shù)部同意，不得私自在計算機(jī)中安裝非公司統(tǒng)一規(guī)定的任何防病毒軟件及個人防火墻。所有計算機(jī)必須及時升級操作系統(tǒng)補(bǔ)丁和防病毒軟件。21、 任何人不得在公司的局域網(wǎng)上制造傳播任何計算機(jī)病毒不得故意引入病毒。22、 計算機(jī)使用者發(fā)現(xiàn)病毒后應(yīng)立即停機(jī)并及時通知公司信息技術(shù)部或本部門病毒防治工作負(fù)責(zé)人，按《計算機(jī)病毒防治管理》處理。23、 因工作需要使用QQ、MSN等通訊工作，應(yīng)當(dāng)仔細(xì)辨別后再接收，對接收的文件應(yīng)用安全軟件查殺后確認(rèn)無毒再打開。24、 使用電子郵件時，附件都應(yīng)用安全軟件查殺后確認(rèn)無毒再打開。對于陌生的電子郵件，請直接予以刪除。25、 任何人不得進(jìn)入未經(jīng)許可的計算機(jī)系統(tǒng)更改系統(tǒng)信息和用戶數(shù)據(jù)，不得以任何形式攻擊公司的其它電腦或者服務(wù)器。26、不得利用計算機(jī)技術(shù)侵占其他用戶合法利益，不得非法侵入他人電腦，不得制作、復(fù)制、和傳播妨害公司穩(wěn)定的有關(guān)信息。27、 不得利用公司的網(wǎng)絡(luò)資源發(fā)布，傳播迷信、淫穢、色情、賭博、暴力、兇殺、恐怖等信息，違者將送公安機(jī)關(guān)處理。28、 不得利用公司的網(wǎng)絡(luò)資源進(jìn)行入侵、破解、篡改其它Internet工作站或者服務(wù)器等網(wǎng)絡(luò)犯罪行為，若發(fā)現(xiàn)立即終止其Internet權(quán)限，并、上報公司最高領(lǐng)導(dǎo)保留送公安機(jī)關(guān)處理的權(quán)力。二、軟件管理部門權(quán)責(zé)1、 此處軟件指公司所有操作系統(tǒng)、系統(tǒng)安全軟件、辦公軟件軟件、專用軟件，數(shù)據(jù)中心信息系統(tǒng)等。公司所有業(yè)務(wù)所需的軟件由公司綜合部網(wǎng)絡(luò)管理員統(tǒng)一管理和安裝。員工無權(quán)要求綜合部網(wǎng)絡(luò)管理提供軟件介質(zhì)和軟件授權(quán)號碼給其他人。更不允許將某某產(chǎn)權(quán)的軟件安裝在非某某產(chǎn)權(quán)的電腦上。2、 信息技術(shù)部負(fù)責(zé)全公司所使用軟件的管理。為確保公司計算機(jī)軟件之適當(dāng)使用，各部門對該部門的每臺計算機(jī)應(yīng)指定保管人，共享計算機(jī)則由部門指定人員保管，保管人對計算機(jī)軟、硬件具使用、保管之責(zé)。3、 各部門專用軟件和數(shù)據(jù)由計算機(jī)保管人定期備份，信息技術(shù)部對備份情況進(jìn)行抽查，需要信息技術(shù)部備份的應(yīng)填寫《數(shù)據(jù)備份申請表》，數(shù)據(jù)中心信息系統(tǒng)數(shù)據(jù)應(yīng)按《備份管理制度》備份。4、 信息技術(shù)部負(fù)責(zé)管理監(jiān)督公司軟件使用情況，并負(fù)責(zé)軟件預(yù)算編列及軟件異動等事項。5、信息技術(shù)部負(fù)責(zé)公司數(shù)據(jù)中心信息系統(tǒng)的選型、變更、安裝、設(shè)置、測試、維護(hù)管理。6、 針對新的信息系統(tǒng)上線，需由信息技術(shù)部會同需求部門對軟件系統(tǒng)進(jìn)行評估，并做出上線計劃，上前后進(jìn)行測試，并記錄各項測試數(shù)據(jù)、參數(shù)配置及測試結(jié)果。在測試中發(fā)現(xiàn)的問題需及時向供應(yīng)商反饋并進(jìn)行書面記錄進(jìn)行整改。當(dāng)由新系統(tǒng)替換舊系統(tǒng)時，業(yè)務(wù)部門需對舊系統(tǒng)下線前的期末數(shù)據(jù)與新系統(tǒng)上線后的期初數(shù)據(jù)進(jìn)行核實，確認(rèn)無誤后方可投入使用。供應(yīng)商完成系統(tǒng)測試后，需獲取測試驗收確認(rèn)函，確保軟件系統(tǒng)滿足業(yè)務(wù)需求，并及時對系統(tǒng)用戶進(jìn)行培訓(xùn)指導(dǎo)。軟件采購7、 各部門對該部門使用的軟件，應(yīng)視需要查核實際使用狀況，以作為軟件增置與編列預(yù)算的參考。軟件采購時應(yīng)考量軟件用途、授權(quán)形式及價格以評估軟件需求，由信息技術(shù)部統(tǒng)一提出采購計劃。計算機(jī)軟件安裝及保管8、 公司之各類授權(quán)計算機(jī)軟件，統(tǒng)一由信息技術(shù)部負(fù)責(zé)保管，并每年至6少進(jìn)行一次盤點。各單位因業(yè)務(wù)需要需使用時可提出申請，由信息技術(shù)部依該軟件之授權(quán)使用范圍進(jìn)行安裝。9、 公司擁有的授權(quán)計算機(jī)軟件，由信息技術(shù)部門統(tǒng)一部署安裝；計算機(jī)使用人堆個別軟件有安裝變動需求，必須先填寫《軟件安裝申請單》，信息系統(tǒng)軟件申請須經(jīng)部門經(jīng)理和相關(guān)部門副總同意后，信息技術(shù)部則依據(jù)軟件實施申請單，安裝或授權(quán)安裝至各計算機(jī)之內(nèi)。10、 計算機(jī)保管人對軟件負(fù)保管之責(zé)，軟件使用者如有使用不當(dāng)，造成毀損或遺失，應(yīng)負(fù)賠償責(zé)任。軟件使用者應(yīng)當(dāng)對口令嚴(yán)格保密，并至少每180天更改一次密碼，密碼應(yīng)滿足復(fù)雜性原則，長度應(yīng)不低于8位，并由大寫字母、小寫字母、數(shù)字和標(biāo)點符號中至少3類混合組成。對于因為軟件自身原因無法達(dá)到要求的，應(yīng)按照軟件允許的最高密碼安全策略處理。11、 各部門軟件分配使用后，保管人或使用人職務(wù)變動或離職時，應(yīng)按照人事部門流程移交其保管或使用之軟硬件，并辦理交接，由信息技術(shù)部對其軟件使用權(quán)限進(jìn)行調(diào)整。12、 信息技術(shù)部在實施系統(tǒng)變更，如變更操作系統(tǒng)、軟件安裝、升級時都必須做《計算機(jī)設(shè)備軟硬件變更清單》。13、 信息技術(shù)部每半年會同需求部門對計算機(jī)系統(tǒng)和數(shù)據(jù)中心信息系統(tǒng)用戶情況進(jìn)行一次復(fù)查。第四節(jié)軟件使用者的權(quán)利和義務(wù)14、 禁止員工使用會干擾或破壞網(wǎng)絡(luò)上其它使用者或節(jié)點的軟、硬件系統(tǒng)。15、 員工不得將公司授權(quán)軟件私自拷貝、借于他人或私自將軟、硬件帶回家中。16、 軟件保管人或使用人，對于保管或使用軟件不可盜賣、循私營利或其它不法情事，違者除提報主管及依公司規(guī)定懲處外，如因此觸犯著作權(quán)者或造成公司損失，則該員應(yīng)負(fù)刑事及民事之全部責(zé)任。17、尊重知識財產(chǎn)權(quán),禁止下載未經(jīng)授權(quán)的音樂、影片及軟件。三、 數(shù)據(jù)安全管理1、 工作所需的資料、數(shù)據(jù)，不得帶出辦公區(qū)。因外派等業(yè)務(wù)需帶出的情況除外，但需始終注意做好相關(guān)資料的保密工作。夕卜派等業(yè)務(wù)活動結(jié)束后，必須將相關(guān)資料數(shù)據(jù)及時帶回，并清除保留在公司以外設(shè)備上的資料。2、 當(dāng)使用公司的網(wǎng)絡(luò)打印機(jī)時，打印的資料必須在30分鐘內(nèi)取回，保密資料的打印不得使用公用的網(wǎng)絡(luò)打印機(jī)。3、 保密的資料應(yīng)設(shè)置密碼并妥善保管，不得隨意置于桌面。4、 在執(zhí)行資產(chǎn)轉(zhuǎn)移時，要對那些存儲保密資料或數(shù)據(jù)的載體（如計算機(jī)或軟、硬盤）使用＜cipher＞命令對整個磁盤進(jìn)行徹底清除，以防泄密。具體使用方法請向綜合部網(wǎng)絡(luò)管理員咨詢，對于需要保存的資料或數(shù)據(jù)應(yīng)加強(qiáng)保密措施并進(jìn)行保護(hù)。5、 個人資料，工作資料應(yīng)定期做好備份工作（重要資料應(yīng)隨時雙重備份在其他電腦和其他介質(zhì)上），以防病毒侵襲、硬件損壞等造成數(shù)據(jù)丟失。四、 網(wǎng)絡(luò)信息安全管理1、 新員工入職，在得到自己的辦公平臺的帳戶名和密碼后，應(yīng)立即更改自己的密碼，如果因為沒有更改密碼而造成辦公平臺或公共管理系統(tǒng)帳戶被他人盜用的情況，后果將由員工本人負(fù)責(zé)。2、 公司辦公平臺是為全體員工從事生產(chǎn)活動以及業(yè)務(wù)溝通提供服務(wù)的。不得利用公司的辦公平臺從事與工作無關(guān)的活動，一經(jīng)查出或?qū)驹斐刹涣加绊懙?，將追究其?zé)任。3、 員工有責(zé)任預(yù)防郵件病毒的傳播，員工的電腦必須安裝公司指定的殺毒軟件，并啟用殺毒軟件的郵件防火墻功能。不允許在沒有防火墻的電腦上進(jìn)行收發(fā)郵件的操作，如果員工本人無法確定郵件附件的用途，那么即使殺毒軟件沒有給出提示，也不要輕易打開此類郵件。在使用電子郵件的過程中，有任何疑問都可以與綜合部網(wǎng)絡(luò)管理員聯(lián)系。如果員工未按照上述要求執(zhí)行，導(dǎo)致電腦感染電腦病毒并在公司局域網(wǎng)內(nèi)傳播電腦病毒，造成嚴(yán)重后果的，公司將追究該員工的責(zé)任。4、 由于辦公平臺服務(wù)器磁盤空間有限，公司通常情況下默認(rèn)分配給每個員工的空間是200M，員工應(yīng)將在辦公平臺存儲超過一年的文件刪除，以節(jié)約磁盤空間，重要文件請自行保存在個人電腦內(nèi)。5、 公司IP地址由綜合部網(wǎng)絡(luò)管理員統(tǒng)一規(guī)劃和分配使用，員工個人不得隨意變更個人電腦的IP地址。6、 個人由于業(yè)務(wù)學(xué)習(xí)等而需用計算機(jī)以及計算機(jī)網(wǎng)絡(luò)的，可以利用休息時間進(jìn)行，不可以占用工作時間。7、 不得利用計算機(jī)技術(shù)侵占用戶合法利益，不得制作、復(fù)制、和傳播妨害公司穩(wěn)定的有關(guān)信息。8、 不得利用公司計算機(jī)網(wǎng)絡(luò)從事危害國家安全及其他法律明文禁止的活動；9、 不訪問不明網(wǎng)站的內(nèi)容，以避免惡意網(wǎng)絡(luò)攻擊和病毒的侵?jǐn)_。10、 員工個人QQ等其他網(wǎng)絡(luò)通訊工具，在個人信息資料中不得包含公司相關(guān)（如公司、IP地址等）信息，在工作時間不使用QQ進(jìn)行與工作無關(guān)的事'情。五、病毒防護(hù)管理1、公司為員工配備的電腦以及員工所負(fù)責(zé)的服務(wù)器必須安裝防病毒軟件，并且應(yīng)遵循綜合部網(wǎng)絡(luò)管理員指定的計算機(jī)病毒防護(hù)標(biāo)準(zhǔn)，如：安裝并注意始終啟用網(wǎng)絡(luò)管理員指定的防病毒軟件，并及時更新病毒庫代碼等。如因未及時升級防病毒軟件而引起的系統(tǒng)問題和網(wǎng)絡(luò)問題，由個人承擔(dān)責(zé)任；2、辦公平臺服務(wù)器的病毒防治由綜合部網(wǎng)絡(luò)管理員負(fù)責(zé)，各部門的工作站病毒的防治由各部門負(fù)責(zé)周期性查毒和升級病毒庫，綜合部網(wǎng)絡(luò)管理員進(jìn)行指導(dǎo)和協(xié)助。3、 任何人不得在公司的網(wǎng)絡(luò)上制造、傳播任何計算機(jī)病毒，不得故意引入病毒。網(wǎng)絡(luò)使用者發(fā)現(xiàn)病毒應(yīng)立即向綜合部網(wǎng)絡(luò)管理報告以便獲得及時處理。4、 各部門定期對本部門計算機(jī)系統(tǒng)和網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行備份以防發(fā)生故障時進(jìn)行恢復(fù)。六、下載管理1、 不準(zhǔn)在任何時間利用公司網(wǎng)絡(luò)下載黑客工具、解密軟件，系統(tǒng)掃描工具，木馬程序等威脅系統(tǒng)和網(wǎng)絡(luò)安全的軟件。2、 工作期間不允許下載和在線觀看與工作無關(guān)的軟件或其他內(nèi)容，如MP3、小說、電影、電視和圖片等。3、 由于擅自進(jìn)行下載/上傳造成網(wǎng)絡(luò)堵塞甚至癱瘓或致使病毒傳播者，一經(jīng)核實，公司依據(jù)相關(guān)規(guī)定將給予警告、通報批評。七、機(jī)房管理機(jī)房設(shè)備管理規(guī)定1、 機(jī)房管理人員應(yīng)使用電子表格對機(jī)房內(nèi)設(shè)備做好登記，記錄現(xiàn)有設(shè)備的型號、配置、位置、狀態(tài)等信息，以便跟蹤設(shè)備變化。2、 計算機(jī)及網(wǎng)絡(luò)設(shè)備的搬運(yùn)必須填寫《機(jī)房設(shè)備變更表》并通過信息技術(shù)部負(fù)責(zé)人審批方可進(jìn)入或搬離計算機(jī)機(jī)房。3、 機(jī)房管理人員對機(jī)房設(shè)備的操作必須嚴(yán)格按照操作程序進(jìn)行，并在《機(jī)房運(yùn)行日志》做相應(yīng)記錄。4、 機(jī)房內(nèi)主機(jī)等設(shè)備的故障維修，必須于《機(jī)房運(yùn)行日志》做好故障維修登記，若涉及設(shè)備送修，須填寫《機(jī)房設(shè)備變更表》。機(jī)房進(jìn)出規(guī)定1、 信息技術(shù)部應(yīng)根據(jù)公司實際情況，安排專人對機(jī)房進(jìn)行值班和巡檢。2、 機(jī)房鑰匙由信息技術(shù)部保存，其余鑰匙交公司行政部統(tǒng)一保管，如果特殊情況需使用時須嚴(yán)格登記。3、 鑰匙保管人不允許私配機(jī)房鑰匙，無關(guān)人員不得借用機(jī)房鑰匙，機(jī)房鑰匙一旦遺失必須立即向信息技術(shù)部負(fù)責(zé)人報備。4、 任何非機(jī)房管理人員需要進(jìn)入機(jī)房，需填寫《機(jī)房出入登記表》在機(jī)房值班人員陪同下進(jìn)入機(jī)房。5、 進(jìn)入機(jī)房人員不得攜帶任何易燃、易爆、腐蝕性、強(qiáng)電磁、輻射性、流體物質(zhì)等對設(shè)備正常運(yùn)行構(gòu)成威脅的物品，因工作需要使用時，必須向信息技術(shù)部負(fù)責(zé)人申請并做詳細(xì)登記，嚴(yán)格執(zhí)行操作規(guī)程，用后必須置于安全狀態(tài)，妥善保管。6、 進(jìn)入機(jī)房人員應(yīng)自覺遵守機(jī)房內(nèi)各項管理規(guī)定，服從機(jī)房值班人員的管理，非經(jīng)機(jī)房管理人員允許，不得擅自對機(jī)房設(shè)備進(jìn)行操作。工作完畢后應(yīng)及時離開，離開機(jī)房時應(yīng)主動接受機(jī)房值班人員的檢查。7、 條進(jìn)入機(jī)房人員在工作完畢后，自覺將所帶無關(guān)物品帶走。機(jī)房衛(wèi)生規(guī)定1、 機(jī)房值班人員需要每天對機(jī)房進(jìn)行打掃，保證機(jī)房內(nèi)環(huán)境、設(shè)備的清j潔。2、 任何人不得將食物或飲料帶入機(jī)房，任何人不得在機(jī)房內(nèi)吃東西、吸煙、吐痰。機(jī)房消防、安全管理規(guī)定1、 機(jī)房應(yīng)保持計算機(jī)設(shè)備正常運(yùn)行所必須的溫度、濕度等環(huán)境要求，安裝溫濕度報警設(shè)施，對運(yùn)行環(huán)境可能出現(xiàn)的不利因素進(jìn)行監(jiān)測并預(yù)警。這些要求至少包括以下內(nèi)容：(1)安裝24小時不間斷空調(diào)系統(tǒng)，機(jī)房內(nèi)保持一定的溫度和濕度;安裝濕度和溫度顯示裝置；安裝煙霧感應(yīng)探測器和溫度感應(yīng)探測器；安裝火災(zāi)報警和自動滅火系統(tǒng)；配備手動滅火器；將機(jī)房地板抬高。2、 機(jī)房應(yīng)列為單位要害和重點防火部位，應(yīng)嚴(yán)格按照相關(guān)國家標(biāo)準(zhǔn)安裝配備。足夠數(shù)量的消防報警設(shè)備以及消防器材，機(jī)房工作人員要熟悉機(jī)房消防器材的存放位置及使用方法，定期檢查更換。3、 機(jī)房及其附近嚴(yán)禁吸咽、焚燒任何物品。4、 機(jī)房應(yīng)配備適當(dāng)?shù)牟婚g斷的電力供應(yīng)（UPS）,確保有足夠的后備電力支持正常的系統(tǒng)應(yīng)急操作；每半年對現(xiàn)有的不間斷的電力供應(yīng)設(shè)備進(jìn)行檢查與維護(hù)，確保設(shè)備的正常運(yùn)作。5、 機(jī)房管理人員要熟悉設(shè)備電源和照明用電以及其他電氣設(shè)備總開關(guān)位置，掌握切斷電源的方法與步驟，發(fā)現(xiàn)火情及時報告，采取有效措施及時滅火。值班管理規(guī)定1、 信息技術(shù)部應(yīng)根據(jù)公司實際情況，安排專人對機(jī)房進(jìn)行值班和巡檢。2、 值班人員應(yīng)每日做好系統(tǒng)運(yùn)行和機(jī)房安全工作，檢查空調(diào)、UPS、溫濕17度、消防等設(shè)備的完好性，并將檢查結(jié)果記錄于《機(jī)房運(yùn)行日志》，如果發(fā)現(xiàn)問題及時匯報處理。3、 值班人員應(yīng)每日檢查各類系統(tǒng)設(shè)備的運(yùn)行狀態(tài)，并在《機(jī)房運(yùn)行日志》中進(jìn)行記錄。若系統(tǒng)發(fā)生故障，應(yīng)及時報告相關(guān)管理人員，并協(xié)助其進(jìn)行問題調(diào)查，做好工作記錄，將故障發(fā)生時間及修復(fù)時間等相關(guān)信息進(jìn)行登記。4、 對機(jī)房內(nèi)所有人員的操作，值班人員應(yīng)該在《機(jī)房運(yùn)行日志》中進(jìn)行記錄。5、 對于進(jìn)入機(jī)房人員不遵守機(jī)房管理規(guī)定或從事與正常工作內(nèi)容不相符的操作，必須及時加以制止，必要時可終止其操作。6、信息技術(shù)部負(fù)責(zé)人應(yīng)每月審閱《機(jī)房運(yùn)行日志》，確保所有機(jī)房操作已通過適當(dāng)?shù)氖跈?quán)和審批。八、備份及恢復(fù)備份操作管理1、 備份工作應(yīng)由信息技術(shù)部門安排備份管理人員和備份數(shù)據(jù)保管人員。備份管理人員負(fù)責(zé)實施備份、恢復(fù)操作和登記工作，備份保管人員負(fù)責(zé)備份介質(zhì)的取放、更換。2、 數(shù)據(jù)被大規(guī)模更新前后，須對數(shù)據(jù)進(jìn)行備份，在操作系統(tǒng)和應(yīng)用程序發(fā)生重大改變前后，須對系統(tǒng)