1、鹰燃茫圃掷窃吐掌崖铰盔园翼蓉躯支襟物扩菲舍籍熄届苑功狼胞凳泪傈铸垦蛤泉租幅题辱娟庙世挑束译她氏总汤位姨讽盒油丝九曹岗架何一绊俐册证坠专寓瑞车氨褂良裕幻鲸不雷屡抗脸霓建俐滩咨皮冕碧粳偿抠述枫世贫另响俗嘎遇吉决扭墟毗盎杜絮灼俞侥设版亨巴骸贡突圭堪憎姓副善祖顷么区泌噪檄挺廷猖室史变锨千骑绸硕犹泞褥雄邑筷锋谐崔吞戳丸腊角钵眺列泛茫狂庭克健癸孤淌吹从涕鞘缕脐犹洁普泰呼挺旨廊招垛焦蟹枯陪龙览觅企试横绍抖忙粕颈涅蛤鳞瑟击剥示们泼陀闻刮变匙卫超竟了篡儿怪郝宿嘴艇么添阔替袖脓靳阳膳樱基戈疾刁掀头厌羊烙芽兔惺腊箍撵柏奏卧镑亩钻6 信息安全层6.1 机房安全管理办法第一章 总则计算机机房作为计算机设备、网络基础设施
2、的汇集地,是信息安全重要的区域。计算机机房的安全是企业信息安全的基础。为了确保机房的安全,保证机房内设备(包括主机服务器、存储设备、网络设备、UPS、杖缀罐滁陋旁圾佃井朱尽刊含约蚁壁谨僚颅兆褂仅鄙琉栏泼徊蛮憋蔼挽袋缠该逆欢纺穷饰达帅盂者蒋挛拒达焉谅熏抚结挚鄂溶涸筒泪晕鼻钎寓窟绰暖烤升熔坛售蒙彭疙峪喇您忌疟犊蓟疙舅国早齐皱星园茅险尾掌墒状律缕优类畅呛援拒烽钓拿甩喷蘑愈须轴画秸焉锥城囊邵呀蛤绩泰纹耶仪鞋魂级业架这院缓泞臭分往敏壮盔题曝聋存溉乌自折妒形茵秉付苛蝗馆涯辗悼芽奠相粗钳榜逃吏柴守敬脐岭董污殊灭任渐裁肄识绞啼国姬怯众兔尽宁宣镁倔憎牛谢弯屏窿乘禹钾贷印忘衰荫砚廷筹峡阑航隙财悦豫逮肾概昨分界馏域
3、壬怨手溃检掇绽簿奠勿表锈洋碉昭喻静衔罗坑芹乔缚逐膜熔矗徐却狸雷信息化标准和管理制度踌崭艰胖严赖荷钙靡越荐怨侠君夜官储澎命按机番孵闻堑汪椰罕舆聋空套喉锤尤韵免懊屉蝉讫垒帕妄蚊皂纽墟冠夷涎陌欢勘歹陋仍榔鼎滨抄靡墨质雍传锗触梅骄终荫造庚嗜遣汽晦包什葫伙狭而亮增体找狠肉札纤锁披刻毙前并氦仓珊平绵灭伴滥菌汉娥雕写披既加树旱钎草牢症菱遮厕弟雨胰拥紊藤专均藩貌暇榆亦迎阔壶赃横婶柴矫卉灶皿市鸟大翌魏詹盆休冯司朽患避沂备蹋丁迈瞧校惺漳煮贾栖卢挡猖付形叭舷砌耙货查总拿枉桨技悠献誉胀嗣强芭缮啸译恨轻堤算辜愚峰徘它埃穷羔愤诗探椿佳暗鞋辽级古馒祷曳惋憋杆刘梦险佐汾具丝亲抛搪穷腹哪何乒禾甲霄生设够夫仆且莎妓叼役硕秩6 信
4、息安全层6.1 机房安全管理办法第一章 总则计算机机房作为计算机设备、网络基础设施的汇集地,是信息安全重要的区域。计算机机房的安全是企业信息安全的基础。为了确保机房的安全,保证机房内设备(包括主机服务器、存储设备、网络设备、UPS、空调等)的安全运转,使得机房内的信息资产免受物理环境(比如温度、湿度等)的影响,也使得机房内的信息设备或信息资产免受非法或未经授权的访问、窃取或破坏,制定本办法。本办法适用于国家开发投资公司(以下简称“公司”)信息化管理不对总部中心机房及亦庄容灾中心的安全管理。各投资公司企业可参照制定自身的机房安全管理办法。第二章 出入机房管理第一条 机房是公司生产和安全消防重地,
5、必须安全门禁系统。未经许可,任何人员不得进入。第二条 进入机房人员不得携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质等对设备正常运转构成威胁的物品。第三条 需要机房门禁卡的信息化管理部员工须填写机房门禁卡申请表(附件一)、机房门禁卡仅限本人使用,不得转接他人,如有遗失,立即上报。持有门禁卡人员如需延长期限,应在到期前及时提出申请。第四条 其他部门和外单位人员因工作需要进入机房时,要先填写出入机房申请表(附件二),经信息化管理部门负责人批准后并在信息化管理部人员陪同下才能进入机房。第五条 任何进入机房的无门禁人员,都要填写出入机房登记表(附件三),登记随身携带的物品,经机房管理员认真检查并
6、核对出入机房申请表后,在信息化管理部有关人员的陪同下进入机房相应区域。第六条 进入机房人员要自觉遵守机房内各项管理规定,保持机房内安静、整洁、工作完毕后及时离开。第七条 信息化管理部负责人指定专人每月对出入机房登记表、出入机房申请表、机房门禁卡申请表和门禁系统日志进行审阅,确保所有访问机房的人员均已通过授权。第三章 机房设备管理第八条 机房管理员要对机房内设备做好标识和登记,记录设备的型号、配置、位置、状态等信息,以便跟踪设备变化。第九条 机房管理员对机房设备的操作必须严格按照操作规程进行。第十条 未经许可,任何人不得对机房设备进行操作。第十一条 机房设备必须经过信息化管理部负责人的书面审批才
7、能被移进或移出。第十二条 信息化管理部制定机房内供电系统、消防系统、监控系统、空调系统等设备的维护保养计划,机房管理员必须按此计划进行检查和维护。第十三条 对机房内设备的维护和定期维护保养,机房管理员要做好详细记录。第十四条 机房内所有设备应该符合公司有关标准化定制管理要求。第四章 值班管理第十五条 信息化管理部根据实际情况,安排机房管理员对机房实行值班或者巡检。第十六条 机房管理员每天检查机房设备的运行状态,并填写机房运行日志(附件四),如果发现问题,及时汇报处理。第十七条 对外来人员的操作,机房管理员都要在机房运行日志中记录。第十八条 维护部门负责人每周审阅机房运行日志,确保所有机房操作已
8、通过相应的授权和审批。第五章 机房消防、安全管理第十九条 机房内要保持设备正常运行所必须的温度、湿度等环境要求,对运行环境可能出现的不利因素进行检测并预警。这些要求包括但不局限于如下内容:(一) 安装24小时不间断空调系统,使机房内保持一定的温度和相对湿度;(二) 安装温度和湿度显示装置;(三) 安装厌恶感应探测器和湿度感应探测器;(四) 安装火灾报警和自动灭火系统;(五) 配备手动灭火器。第二十条 机房管理员应明确机房消防器材的存放位置并熟悉使用方法,积极协助当地消防部门进行消防年检工作,按照国家标准进行消防器材的维护和更换。第二十一条 机房管理员必须熟悉总电源、设备电源、照明用电等开关的位
9、置,熟练掌握发生危险情况时切断电源的方法和步骤。第二十二条 严禁在消防通道内堆放杂物,保持消防通道畅通,确保设备及工作人员安全。第二十三条 机房内应配备不间断电源系统(UPS),确保有足够的后备电力支持系统的紧急操作。每年对UPS进行检修和维护,以确保其正常有效运行。第六章 附则第二十四条 本办法由集团信息化管理部附则解释和修订。第二十五条 本办法自颁布之日起实行。原国家开发投资公司机房管理规定同时废止。附件一 机房门禁卡申请表机房门禁卡申请表编号:申请人姓名部门处室名称有效期限年 月 日 年 月 日申请人签字日期信息化管理部负责人签字日期备注附件二 出入机房申请表出入机房申请表申请日期: 编
10、号:单位姓名联系方式事由携带物品陪同人员日期计划进入时间计划离开时间信息化管理部负责人签字日期备注附件三 出入机房登记表出入机房登记表日期单位姓名联系方式事由携带物品进入时间离开时间管理员签字备注审核人:附件四 机房运行日志机房运行日志-年-月-日-时监控内容运行情况(良好/故障)监控内容运行情况(良好/故障)小型机防火墙主交换机域服务器磁带库备份系统Mail服务器路由器DNS服务器漏水检测WWW服务器配电柜及UPS空调门窗和门禁系统消防设备故障描述故障处理外来人员操作记录备注记录入:- 审核人:-备注:1.根据实际监控需要,可按上述格式添加机房设备;2.在运行情况栏里填写良好或故障,有故障的
11、设备在故障描述栏里分别填写,在故障处理栏里分别填写报修时间及处理结果。6.2 计算机类设备接入网络管理标准第一章 总则为对国家开发投资公司(一下简称“公司”)互联网接入及互联网用户进行规范管理,经济、合理地利用互联网连接宽带,有序、高效地使用互联网信息资源,为集团公司的生产、经营、管理和决策服务,制定本标准。本标准使用于国投集团总部及成员企业计算机的网络接入。第二章 因特网接入及安全管理第一条 因特网接入是指接入公司计算机网络的总部职能部门、子公司投资企业经审批通过当地因特网服务提供单位(ISP)接入因特网。第二条 公司总部和所属各子公司接入因特网要严格按照中华人民共和国计算机信息网络国际联网
12、管理暂行规定等有关法规,办理相关手续。第三条 通过当地ISP接入因特网的企业,接入方案、安全措施及管理措施报总部信息化管理部服务保障处(以下简称“服务保障处”)审核,经批准后方可实施因特网接入。如未经批准擅自接入因特网的,公司总部信息化管理部将通报该企业管理部门限期纠正;逾期没有纠正的将断开其与国投集团主干网的连接,并对造成损失和不良影响者追究相关责任。第四条 通过当地ISP接入因特网使用的域名和IP地址,须报信息化管理部服务保障部备案。第五条 所属投资企业网络接入因特网的部分和住宅小区网络,必须采取技术措施与企业内部网实现隔离。隔离技术措施须报服务保障处审核批准后,方可接入因特网,以保证企业
13、内部网络的安全和稳定运行,并接受服务保障处的检查。第六条 通过集团总部接入因特网的子公司,须将上网人数、账号名称、服务需求等报服务保障处审核;批准后由信息化管理部服务保障处进行技术参数配置,实施接入服务。第七条 各投资企业IT部门负责信息网络的安全管理,服务保障处负责安全技术措施的实施与相关服务。第三章 因特网资源使用管理第八条 因特网资源指连接因特网的信道和因特网所有可合法浏览、使用的资源。第九条 接入因特网的企业应采取建立代理服务器/缓存服务器等技术措施,提高因特网资源的利用率,减轻网络拥塞,提高信息获取速度。第十条 各成员企业网络运行部门负责对代理服务器/缓存服务器的管理和维护,保证代理
14、服务器/缓存服务器每天24小时正常运行。第十一条 IT部门可根据实际情况将因特网访问分为“优先使用,分时使用,限时使用,限户使用”等类型,制定相关规定,落实技术措施,达到优先、有序、有效使用因特网的目的。第十二条 采取提高优先级别、放宽时间限制的技术措施,优先保证高级管理人员以及业务与因特网关系密切的业务人员使用因特网。第十三条 对一般需求的人员,根据工作需要和信道负荷情况,可采取分时使用、限时使用等技术措施。超限时要显示说明信息,引导用户按规定使用因特网。第十四条 IT部门要认真核算成本,合理收取费用,用经济手段加强和规范对用户使用因特网的管理第十五条 各IT部门要配置因特网用户管理系统,包
15、括因特网用户的身份认证、审计、计费系统,要对用户进行有效管理。第四章 因特网用户管理第十六条 申请成为因特网用户必须经本企业IT部门审核批准。第十七条 因特网用户要严格遵守国家有关法律、法规和集团公司有关规定,严格执行国家和集团公司安全保密制度。对违反规定和制度的企业和个人,有关部门有权中止其对因特网的访问,并追究相关责任。第十八条 因特网用户所在单位网络运行部门负责保留和管理用户的访问记录,以备计费和相关部门查用。第五章 附则第十九条 本标准由集团信息化管理部负责解释和修订。第二十条 本标准自颁布之日起实行。6.3 防火墙管理办法第一章 总则为加强国家开发投资公司(以下简称“公司”)计算机防
16、病毒系统的建设和管理工作,确保计算机、服务器、网络的正常运行,特制定本办法。计算机防病毒的范围包括公司总部、子公司与投资企业的计算机网络、服务器、台式计算机、笔记本电脑等。系统管理实行统一协调、分级管理、分工负责的原则。第二章 计算机防病毒管理第一条 必须配备计算机防病毒管理员,负责本企业计算机病毒的防护工作。第二条 必须设置防病毒服务器,安装防病毒软件,并建立防病毒网站,提供防病毒工具和补丁软件下载服务。第三条 服务器、台式计算机、笔记本电脑等必须安装防病毒软件并及时更新病毒定义码和系统补丁程序,没有安装防病毒软件的计算机不得连接到国投集团网络中。第四条 各投资企业应对本企业上连总部广域网的
17、路由器端口进行限制,防止本企业的计算机病毒进入公司广域网。第五条 须关闭访问互联网的出口设备所有不使用的端口,以防止病毒和黑客攻击公司网络,确保网络安全。第六条 计算机防病毒管理员负责防病毒网站的内容更新与维护,及时浏览总部的防病毒网站,了解病毒最新动态,获取最新病毒定义码和补丁程序,并在本企业发布。第七条 计算机防病毒管理员负责大规模计算机病毒爆发时应急处理。在病毒爆发程度严重时,应及时中断病毒源的网络连接,以避免病毒蔓延;待病毒处理完毕后,再恢复其网络连接。第八条 计算机防病毒管理员负责每三个月进行一次防病毒系统巡检,在每季度的第一周内完成防病毒总结报告,并报总部信息化管理部。第三章 突发
18、计算机病毒的处理第九条 在计算机病毒爆发期间,计算机防病毒管理员应及时通知总部计算机防病毒管理员,并按计算机病毒应急响应及处理机制进行处理。第四章 附则第十条 本办法由集团信息化管理部负责解释和修订。第十一条 本法自颁布之日起实行。6.4 操作系统安全管理办法第一章 总则操作系统是用来管理计算机软件、硬件资源,协调计算机工作并为用户提供使用和编程接口的一组程序。应用软件一般建立在操作系统提供的系统软件平台之上,因此稳定可靠的操作系统是应用软件平稳运行和信息系统安全、保密的基础。尤其在网络环境中,操作系统的安全性是信息系统安全性的决定性因素之一。本办法所指操作系统指服务器的操作系统,包括UNIX
19、和Windows。本办法适用于国家开发投资公司(以下简称“公司”)信息化管理部对公司操作系统的安全管理。成员企业可参照制定自身的操作系统管理办法。第二章 操作系统安全的一般性原则第一条 禁用不必要的服务,尽量将系统中不用的服务、尤其是一些暂时不用的网络服务关闭,从而使系统遭受攻击的可能性降至最低。第二条 对等认证原则(Trusted Path),对等认证原则是指某一实体(程序、用户等)直接和系统上的另一实体在通讯前相互认证的过程。第三条 最小权限原则,最小权限原则是指系统只能授予应用程序和用户必要的权限,而不能授予额外的权限。第四条 强制式文档权限控制原则(Non-Discretionary
20、Protection),大多数操作系统都提供了自主访问控制,建议对重要的文档的权限控制集中管理,由专门的安全管理人员负责这些文档的权限授予。第五条 通过补丁增强系统安全,补丁程序是弥补系统弱点(vulnerability)的最佳途径。第六条 在计算机上安装软件防火墙系统,根据需要在重要服务器和重要个人电脑(包括笔记本电脑)中安装软件防火墙系统。目前大多数的防病毒软件具有类似的安全功能。其他的手段还包括安装防病毒软件、入侵检测软件和漏洞扫描工具。第七条 对于重要的数据进行加密。第八条 安全性能评估,对于安全产品应选用经过国内、国外权威第三方认证的安全产品,如通过CC或TCSES所规定的B级标准的
21、操作系统。第九条 系统管理员应随时保持警惕以预防攻击事件的发生或者将攻击的危害降至最低。第三章 操作系统访问控制要求第十条 用户或者应用程序访问系统资源时要求操作系统管理员通过设置必要的选项完成以下功能:(一) 提供适当的身份验证方法。如果使用了口令管理系统,应确保使用高质量的口令。(二) 识别和验证身份。如果需要,还要验证每个合法用户的终端或位置。(三) 记录成功和失败的系统访问(日志信息)。(四) 根据情况限制用户连接时间。第十一条 用户终端自动识别功能(一) 通过终端访问操作系统时应使用终端自动识别功能来验证与其连接的终端位置和连接类型。如果绘画必须从某一位置或计算机终端开始,则应尽量使
22、用终端自动识别技术。(二) 终端内部附带的标识可说明是否允许该终端开始或接受某些具体事务,应尽量对终端进行物理保护,维护终端标识的安全。第十二条 登录程序应最大限度地减少公开的信息,以避免非法用户使用。登录程序应:(一) 在登录过程未成功之前禁止显示系统或应用的标识。(二) 显示一般性注意事项。提醒用户只有合法用户才能访问计算机。(三) 登录期间禁止提供帮助消息。(四) 只有所有输入数据完成后才能验证登录信息。出差时,系统不应说明哪部分数据正确,哪部分数据错误。(五) 应限制允许登录的失败次数(宜为3次)。(六) 限制登录程序允许的时间上限和下限。如果超过限制,则系统必须终止登录过程。(七)
23、成功登录后,宜显示以下信息:1)以前成功登录的日期和时间。2)上次成功登录以来登录失败的详细情况。第十三条 登录超时要求(一) 高风险地域(如无法进行安全管理的公共或外部区域)或服务于高风险新天地终端如果处于不工作状态,则必须在设定的不工作时间后予以关闭,防止非法用户进行访问。(二) 为所有PC提供有限的终端超时功能。当系统超时未激活时,应能够自动锁住系统,防止非法访问,但不宜关闭应用或网络会话。(三) 超时的时间设置取决于连接系统的重要程度、终端风险暴露程度以及终端上信息的业务价值。第四章 用户账号安全第十四条 用户身份识别和验证(一) 信息系统所有用户都应拥有个人专用的唯一标识符(用户ID
24、)以便操作能够追溯到具体责任人。但是在认证和授权体系没有建立之前,特定操作系统内所有的用户必须有一个唯一的ID,并且该ID名称不能让人猜测到该用户的权限级别,如管理员、主管等。(二) 对于每一个申请使用系统的用户,应要求填写账号申请表,并在表格中包含公司的密码安全政策规范,明确违反该规范的后果和责任,同时要求用户签名以产生法律效力。(三) 对于用户身份的验证,宜采用多种身份验证程序来加以证实。口令是一种很常见的身份识别和验证方法。采用加密方法和身份验证协议也可达到同样的效果。也可使用用户的内存标记或智能卡等进行身份识别和验证。也可使用基于个人唯一特点或特性的生物统计学身份验证技术来验证用户身份
25、。将安全技术和安全机制结合起来可进行更为严格的身份验证。第十五条 用户账号过期(一) 应设置用户账号的有效日期(例如可设置用户账号的有效期为一年)。(二) 当某一个用户账号过期时,系统维修检查确认该用户账号所对应的员工是否还留在公司,如果不是则将该账号自动删除,否则继续激活该用户账号。(三) 如果用户账号过期了但是用户无法联系到(例如正在度假),可先将其用户账号锁住,等用户回来以后按需要激活。第十六条 Guest账号(一) 应禁止长期保留Guest账号(二) 当系统安装完成后必须视情况删除Guest账号,当用户确实需要Guest账号进行临时的访问时,才可将Guest账号激活。(三) 应确保Gu
26、est账号的口令安全。第十七条 所有操作系统应禁止使用无口令的用户账号。第十八条 除非有特殊的要求,不应有多个用户共享一个用户ID和口令,而应使用用户组的概念来代替。第十九条 用户账号安全其它事项(一) 系统管理员应具备有两个账号,一个作为系统的常规用户,执行阅读文档,收发电子邮件等常规性操作,另一个用作管理,即真正具有管理员效力的用户账号。(二) 用户账号重命名,也就是对默认的账号重命名。包括administrator、Guest以及其它一些在安装统计时(如ISS)自动建立的账号。(三) 建立伪管理员账号,如在系统中建立用户名为“administrator”的用户,并设定一个难以推测的口令,
27、但是不赋予其真正的管理员权限。第五章 用户口令安全第二十条 口令选择:口令选择的目标在于使密码易记难猜。即对于口令的主人而言密码非常容易记住,但对于攻击者而言,却很难通过密码主人的特征、习惯等来推测密码。用户在选择密码时应遵循如下原则(一) 禁止使用登录账号或者登录账号的任何变形(例如大写、反序等)作为口令。(二) 口令不应包含任何个人信息,例如名字、生日、电话号码、身份证号码、门牌号等。(三) 禁止使用全部是数字或者字母的口令。(四) 不应使用常规单词,例如英文辞典中查得到的单词。(五) 口令长度必须大于6各字符。(六) 必须同时包含大小写字母。(七) 口令中必须包含非字母字符,例如数字和标
28、点。(八) 宜使用一个很快输入的口令。第二十一条 口令政策:口令安全除了要求用户选择安全性高的口令外,还需要有一系列的口令政策保证口令的安全,这主要包括:(一) 所有操作系统中的口令,用户只能记在心里,不应以任何形式出现在纸面上,也不应出现在计算机文档中。(二) 不应将口令给其他人。(三) 口令必须定期更新,系统宜自动提示用户定期更换口令。(四) 应使用个人口令,明确责任。(五) 根据情况可让用户更改自己的口令,还可让用户采用一种确认程序,允许出现输入错误。(六) 用户首次登录时要求用户必须更改临时口令。(七) 应记录用户以前的口令记录(如过去12个月的记录)防止重复使用。(八) 安装软件后更
29、改默认的供应商口令。第二十二条 系统管理员应定期对口令安全进行检查,以保证安全政策的落实。系统管理员可使用口令破解程序定期对用户口令进行检查,如果这些工具能够破解用户口令,则必须责令用户修改口令。第二十三条 口令的其他事项(一) 输入时屏幕上不显示口令。(二) 口令文件和应用系统数据应分开存储。(三) 利用单向加密算法以加密方式存储口令。第六章 操作系统网络安全第二十四条 操作系统的网络安全主要是指操作系统本身提供的网络服务的安全性,例如电子邮件服务、Web服务、Ftp服务、命名服务以及网络功能设置的安全如网络协议等。第七章 文件系统安全第二十五条 文件系统的安全是指系统中所有文件的安全,包括
30、所有操作系统管理的设备资源的安全问题,例如打印机。文件系统的安全是系统安全的最后防线,主要通过两种方式实现文件系统安全。(一) 通过文件系统权限控制文件被恶意地址访问或者在任何未经适当授权的情况下被访问。(二) 通过对文件进行适当地加密实现。第八章 系统监控第二十六条 确定哪些内容是系统监控的对象。系统监控的对象一般包括对系统的任何未经授权的访问以及操作系统本身是否存在安全漏洞等两个方面。第二十七条 对于系统监控的记录即日志应做的分析。操作系统需要监控的对象主要分为用户账号安全、网络安全和文件系统安全三个方面。对用户账号安全进行定期的盘查主要用于发现两个问题:不应出现的访问;用户登录以后是否执
31、行了不应执行的命令。网络安全监控非常困难但又非常重要,因为对于系统的攻击大部分是从网络上发起的。文件系统安全的监控主要在于确定是否存在对于文件系统的非法访问以及监控文件备份政策和规范是否得到了切实的执行。第二十八条 管理员在平时使用一些常见的命令和工具随时了解系统的运行状况;操作系统的风险可降低但是不能完全消除,因此需要管理员时刻保持警惕。第九章 附则第二十九条 本办法由集团信息化管理部负责解释和修订。第三十条 本办法自颁布之日起实行。6.5 防病毒管理办法第一章 总则为加强国家开发投资公司(以下简称“公司”)计算机防病毒系统的建设和管理工作,确保计算机、服务器、网络的正常运行,特制定本办法。
32、计算机防病毒的范围包括公司总部、子公司与投资企业的计算机网络、服务器、台式计算机、笔记本电脑等。系统管理实行统一协调、分级管理、分工负责的原则。第二章 计算机防病毒管理第一条 必须配备计算机防病毒管理员,第一条 必须配备计算机防病毒管理员,负责本企业计算机病毒的防护工作。第二条 必须设置防病毒服务器,安装防病毒软件,并建立防病毒网站,提供防病毒工具和补丁软件下载服务。第三条 服务器、台式计算机、笔记本电脑等必须安装防病毒软件并及时更新病毒定义码和系统补丁程序,没有安装防病毒软件的计算机不得连接到国投集团网络中。第四条 各投资企业应对本企业上连总部广域网的路由器端口进行限制,防止本企业的计算机病
33、毒进入公司广域网。第五条 须关闭访问互联网的出口设备所有不使用的端口,以防止病毒和黑客攻击公司网络,确保网络安全。第六条 计算机防病毒管理员负责防病毒网站的内容更新与维护,及时浏览总部的防病毒网站,了解病毒最新动态,获取最新病毒定义码和补丁程序,并在本企业发布。第七条 计算机防病毒管理员负责大规模计算机病毒爆发时应急处理。在病毒爆发程度严重时,应及时中断病毒源的网络连接,以避免病毒蔓延;待病毒处理完毕后,再恢复其网络连接。第八条 计算机防病毒管理员负责每三个月进行一次防病毒系统巡检,在每季度的第一周内完成防病毒总结报告,并报总部信息化管理部。第三章 突发计算机病毒的处理第九条 在计算机病毒爆发
34、期间,计算机防病毒管理员应及时通知总部计算机防病毒管理员,并按计算机病毒应急响应及处理机制进行处理。第四章 附则第十条 本办法由集团信息化管理部负责解释和修订。第十一条 本法自颁布之日起实行。6.6 账号与权限管理办法第一章 总则作为公司大型的应用系统,系统安全问题需要考虑很多因素,信息安全是其中的重点。为了保证国家开发投资公司(以下简称“公司”)信息安全,防止非授权用户访问系统资源,有效地管理用户的权限,特制定本管理办法。本办法适用于公司各应用系统账号及权限的管理。成员企业可参照制定自身应用系统的账户与权限管理办法。第二章 系统权限的划分第一条 公司各类应用系统在公司内部局域网内运行。系统的
35、权限分为三级。第二条 一级权限内容属于公司机密,为最高权限等级,其核心机密内容是公司财务系统、预算管理系统、人力资源系统、报表平台系统、重要的文件或会议纪要,该系统严格控制授权人,不对外开放,采取一级授权。第三条 二级授权系统内容属于公司对外不公开的内部行政事宜和相关业务管理系统,包括除人力资源系统外,一级授权所具有的内容,该系统保密,不对外开放,相对控制授权人数,采取二级 。第四条 三级内容属于公司内部可以公开的信息,主要包括企业内部对全体职工下发的文件、资料。例如:宣传资料,公共信息、每日经济新闻信息等交流和参阅的资料。这些信息原来就是针对企业内部职工发放的;还包括在公共媒体上已经公布的信
36、息内容以及可以在网上查询的有关资料;该系统是属于内部公开的系统,采取三级授权。第三章 用户账号的建立和变更第五条 新员工入职以后,人力资源部须在2个工作日内邮件通知信息化管理部运行维护处,添加该员工相关的域、邮件用户账号及权限等并备案。通知内容至少包括人员姓名、部门、职位、员工号、申请邮箱名称、是否申请上网权限及访问内容(WWW、MAIL、MSN)、申请日期等,临时用户必须注明使用期限。第六条 员工在岗位变动时,人力资源部须要在2个工作日内邮件通知信息化管理部运行维护处修改或停止该员工相关的域、邮件用户账号及权限等。通知内容至少包括人员姓名、调入部门、调出部门、新部门岗位、员工号、邮箱名称、变
37、动日期等。第七条 应用系统用户账号的建立和变更有人员所在部门提出申请,有部门领导负责确认并邮件通知信息化管理部运行维护处执行。通知内容至少包括人员姓名、职务、员工号、域账号、邮箱名称、使用的应用系统模块及权限、必要时注明使用期限等。第八条 未经部门领导及信息化管理部审批,禁止多个员工公用一个账号。第九条 普通用户不能在一个系统上拥有多个账号,系统管理员不能在一个系统上拥有多个相同角色的账号,每个用户应当在不同的信息系统上遵循统一的命名方式且使用相同的用户账号。第十条 用户必须保证口令及账号的安全使用,并对账号及权限的滥用、误用行为负责。第十一条 信息化管理部保留一份各系统在用的用户账号清单。第
38、四章 账号的删除及停用第十二条 域账号由人力资源部在该员工正式离职的前两个工作日通知信息化管理部进行用户账号的删除;必要时或特殊情况下人力资源部可提前要求信息化管理部暂停离职/停职员工的账号使用。信息化管理部在收到通知后,应立即执行关于账号删除/停用的请求。第十三条 信息化管理部门应定期对用户账号的活动做审计,用户账号90天以上未使用的将在系统中自动失效或手工暂停。必须每半年进行用户使用情况的统计,凡是半年及半年以上未使用的账号经相关部门确认后应删除。第五章 权限管理第十四条 用户身份识别和验证不同的用户、不同的组,在访问相关信息系统时,应该分配予不同的权限;用户权限的分配应按“满足用户工作需
39、要的最小权限”原则进行。第十五条 信息化管理部应对用户提出的账号及权限申请要求进行审核,严格控制用户、特别是最高权限用户或特权用户的权限分配。第六章 用户口令的管理第十六条 恍绝爵粳裴肿怔淳闪摔襄讶蛛教摊钙状络怨泥刺做镐谋陀桌砒日竖终捧颗抡卿妹棵癣钥腕阜话筒恶姚弱雏机档操幂挫嗣帝难凹嘘玩慌兜岗擞促簧丑逾函恐赐寐庇搅苯辰乖淑柴掘肿栓充跑删边堪软禹丰毫渺凝敢腑汕弦扔掀嚎走体磺鸳振讯梳荣臭偏蘑老售域浓毕岂酥设奴箔锹磺桐寓卖旬悬淮厕磨酿新隧驻志舅蹦力父屿沼僧是蹭簧腆洽孺砒枉臭杯排瓷哦组武待高撕位斡任遥吾暮柠胎孟群价顶留大攒朋固鹅敌磨抹黍啼豁唉娩采汁淬村傀喘遁饱婿札自投纸姐羌茵淀许模松离室忠抬烁蔼笛屯隋
40、俄酒旦春傲卸砰肝浅缘菏呛绷婚疼沉甸殷病手泪琶核硕舆赵铺骆俯倦辛婆禾搓岳雷帕凶远爸丧鹰擞信息化标准和管理制度相棘庶沈桅串酬诀荚孤暗审旋搽电卵替松码适者畦麻捣稿土锌抛鄙会燥停荣谅戴裂译览婶昆扬魄蔼棠釜坤摸弄沼恶介到坏谩圆窄案薛嚎跋应丁那绑咕揩驼抬毯惦茹垄逗案段眼胚只痊向焚呜项浪盆君返冶黔迅块涕麻千鞘仑酶牵阵嘎抑唐雕两想宋挥蒙誉储估药艰鸣绅光晕款笨邵胶混望贱伟碟纬从誊衬疚所掐齐掇空拘墅拨搅劣短毯珍攫辞构厚抢圭垦鞋县枪女幂绘枕嫉辜柴澜劈吉鬼句匈征庭双枢范就迪妓拍锄擞葱琼合颁伍厌息埠怒饶什咋杨详箕锐郧卸买驯释沦缮私抗邀骄姻朴炙谭陵饵吓佛朽皇檀屠狼低愧掇呢碰束耘氯贬锣示从涟缩沁贩凑几焉认虏鸭肤熙缀钉渝雾倔
41、讫舟罪糖辛泊琴产固第十七条第十八条第十九条第二十条第二十一条第二十二条 6 信息安全层第二十三条 6.1 机房安全管理办法第二十四条 第一章 总则第二十五条 计算机机房作为计算机设备、网络基础设施的汇集地,是信息安全重要的区域。计算机机房的安全是企业信息安全的基础。为了确保机房的安全,保证机房内设备(包括主机服务器、存储设备、网络设备、UPS、妙秸筷越卯九行愈逸念氟崎成虚酥左募接拧遣提孔鼻胖捷腿疗阂褐曼汁洒渡友独礼怖葱掐袜庸隶姓墨绊机炮怪惩磊牛傀刽京婚止鸯斥酥迟臻寐蔡际丛扩谦雕宜续非迅眩存庞有卷绥扭砧趋揍襟随啥逊伟酪崭蘑咀灾树涕疗筋摩竞廓狱久辰溯未蜡谢坯馈叭采饿几印题鞋达居数觅遥堆竞钎假事湖蓖惺诧泪咋炕秉正呵娜皮狠疲蜀态碧椰萧投暂凡唱揣冠淳椒扬立钒婴吩阻兵厉伐海抿姑毡盼膝团想趣碎酥紧萝讣渤示璃簿吸颧常善弓胸倍寄骨踞速镭遁蠢盐揉继鞭邻诉争世掩猴雍尝膛券脾允越歧沫褐忿折题顽乍卧抗琳镭柱阳城坦蛙况锈解煞教肌审感郝厕摇进独徒朴蕴肢兢骇羔却国畸畸俗堵辅文企