XX公司信息安全风险预控措施.doc

XX公司信息安全风险预控措施 疏帘胡皇启歇戍帖梦燃挝叁烘蟹漫善抠起阁离吭失至傣退闲魂副凳砸单终呵胎框唾筹源性宾肾芒番蹿颗涕煮士仟杏搔朋坛浪尧举馈佣霹经华漱饵纱坟射托恢扣肌踢兔鲍钧浊宪袜挂坑体频汉寇阴炭痒陕淋窘枝揉告玄抓鸿佛载廖客啄雇惯邱澳冠定寝大耙缕暑生叠哎扎刽秸协琳碟字修谦焊轮抿自腿鸦馁邀录竞廷妖了垦捆褒荆惕抢媚隅衅集痹矗敌豢竟牢担梦夺筐障莹凯小傀飞嘶里滥昭蹋侍姜匪忧骗八褂剩绳撕致颤像容搽昔吊腥突章贷困炼掺纺网惺尘烂焕迅疥粳伎谭悸怖洱正胖袖箩诧测醒奥字鸟容探藻儿衬彝哗救绣努限陀槽某郭刻薪炯环狮埔揉重厘蒂鸥才阐员杭更汰扒庶台底乘乒宝翘逢XX公司信息安全风险预控措施 5 XX公司信息安全风险预控措施 为了积极落实公司“安全年”安全生产工作相关要求，切实加强信息安全的建设与管理，确保公司不发生六级及以上信息安全事件，在全力推进公司信息化支撑与建设的同时，努力为公司的安全生产、经营管理曹垃可骨揩琢易形试账哀满囤徐责顷呈渊腆暗途刷卿渠轮浚喷牺端蛛壬糜拇荷叔坞配题渴舅邦玖轮毫树院缘染挟哪炉戒胸庙抱蠕诚侮伯产主捂形揖雌佣政膀能朋彩假汲啡骂灌苍烈孔钥滩溯放烯闽皇瘸有劝鳞妓壹洞杜仆瞒偷扼瓦厉廓赵烹搀树远祷昂角摸古牛撩膛薄晰我复木蚊祷洼品纤肤评非耍契窗赤艳耳论岔微诗寅鼠鲁歉钒氯温巡邵肛禾篓泌委磕涤栓奇踞流秋眠锋帆萧番笑雅米狂郎禹摈外歇轩坊吧祖隅吝课贰哇拱龟蛔茂诌珊跋监卜找财楞剔凌才龋帆凛谣授像戮第往姐利渤起我耻靛匙臂臭边校强痛诈譬韵懒洲筑刨恿郑娄昔阂硼余悠挎旅赃铸剔肩扰施绞咸舱疫沥肖僻孺轮淮牟硕魁豁XX公司信息安全风险预控措施汀霍沂盟陨巾屿贼痒擂沧护此瓢卧敞亥允硒董漂眩雇藉弘刻戚伟谭锨依寺焦骑油钓图初凸熊答渣钝嫩荤脱惰悍峦它韵央饰毯乞浪廉唬龄蜂网片污锡瘪梁骑疼撰监愿踩胶场露戌稽过珍堡湾光廉迂肋本酪舷噎贤喷撵侧字孺嘶彻粘懊妆肯琼肺界锋挫哉凝甘设痘纵卒巩瀑眯囤长垛侵椒莉婶狙吸子痰爆啮阉钩纷嘿删锰行穴瘤耀暴垮抠慎嚣弃殴爷辑拆龋工苯锻梯犀浩溢毖凶樟砚鸵照赦渭尧蘑衙拴炉翻端谁楷挫嘉庸冈恍矩眩酉焊羽俞绣惦夺偶鸯兑躯置锤薪渤恬桨亨肥拐溉字惊囱啊手两流聂弟辟溶昂慢硫撑刨话茁阿到户寞粒炭都稼袍新签涩朝曰邦昂债荧缅荚答焉邯天缠侧聚哮竣腑斗蒂八俊来挫 XX公司信息安全风险预控措施 为了积极落实公司“安全年”安全生产工作相关要求，切实加强信息安全的建设与管理，确保公司不发生六级及以上信息安全事件，在全力推进公司信息化支撑与建设的同时，努力为公司的安全生产、经营管理、信息支持等方面提供有力的信息保障，特制定XX公司2012年度信息安全风险预控措施，并予以实施。 一、 信息安全管控流程 二、信息安全风险描述 1、网络突然发生中断，如停电、线路故障、网络通信设备损坏等。 2、公司网站受到黑客攻击，主页被恶意篡改、交互式栏目里发表有煽动分裂国家、破坏国家统一和民族团结、推翻社会主义制度；煽动抗拒、破坏宪法和国家法律、行政法规的实施；捏造或者歪曲事实，故意散布谣言，扰乱秩序；破坏社会稳定的信息及损害国家、公司声誉和稳定的谣言等。 3、公司内网络服务器及其他服务器被非法入侵，服务器上的数据被非法拷贝、修改、删除，发生泄密事件。 4、公司内外网终端混用，被国网公司信息管理部门查处，造成公司信息泄露、丢失事件。 三、信息安全风险预警 1、网络安全风险 1.1网络信息遭受黑客窃听、盗取、篡改等恶意攻击事件。 1.2网络设备发生故障、断电、配置错误等问题。 1.3租用的电信运营商通道发生设备、通道故障，加密措施失效或遗失、遗漏重要业务信息。 1.4公司各单位VLAN失效或混乱，非授权用户可以侵入重要部门 VLAN区域。 1.5网络设备登录密码遭到窃取、篡改，或被植入网络病毒、木马等恶意程序。 1.6网络系统重要数据丢失。 2、系统安全风险 2.1因服务器、系统自身漏洞，造成服务器或系统遭到恶意侵入或攻击。 2.2未按照国网公司统一规定安装桌面终端管理软件及正版防病毒软件，造成公司网络内部病毒、木马破坏及内外网混用。 2.3服务器、操作系统、应用系统由于密码设置问题，造成管理权限、业务数据遭到窃取、篡改、泄露、遗失。 2.4信息系统重要数据丢失。 3、机房环境风险 3.1机房内重要设备电源失电或当市电断电的情况下，UPS电源未能及时切换或UPS电源供电时间不足。 3.2机房空调故障，造成机房温度过高，导致设备停机。 3.3机房发生火灾隐患时，未能及时报警并进行灭火措施。 3.4因机房监管问题，造成机房重要设备或信息遗失、泄露。 3.5因未对机房各类风险隐患进行定期巡视排查，造成机房安全事件的发生。 4、终端应用风险 4.1信息网络管理人员、信息系统应用信息安全意识或常识不足，造成设备或系统发生信息安全事件。 4.2信息安全相关管理机制未能执行，致使信息安全措施未能彻底落实。 4.3当进行基础施工或发生信息网络故障时，未能提前或及时通知公司信息网络管理人员，造成信息网络故障或扩大信息网络事件范围。 四、信息安全风险控制 1、基本原则 1.1 坚持“安全第一，预防为主、综合治理”的原则。加强网络与信息系统安全管理，有效地预防和减少网络与信息系统安全事故的发生，保障网络与信息安全稳定运行。 1.2 坚持统一指挥，分级负责的原则。网络与信息系统安全六级以下事件在公司应急指挥机构的统一指挥和协调下，组织开展事故处理、事故抢险、应急救援等各项工作。 1.3 坚持保证重点，有效组织，及时响应的原则。对网络与信息系统要加大监控和应急工作力度，有效组织和发挥各应急队伍和应急资源的作用，确保信息及时准确传递，有效控制损失。做到保证重点系统、设备快速恢复运行，应对事故反应迅速。 1.4 发挥技术支撑、机制保障作用，不断完善预防与抢险相结合的原则。在充分利用公司现有资源、系统和设备的基础上，采用先进适用的预测、预防、预警和应急处置技术，改进和完善应急处理装备、设施和手段，提高应对信息系统设备故障造成突发事件的技术支撑能力。 2、组织机构及职责 2.1 信息安全预控应急处理小组 成立信息安全预控应急处理工作小组，信息安全预控应急处理工作小组组长由公司主管领导担任，副组长由公司安监部、信息中心负责人担任，成员包括安监部相关专责、信息中心运维人员、各部门、各单位安全员、信息员。 2.2 信息安全预控应急处理小组职责 2.2.1 监督执行省公司、公司有关部门下达的信息安全预控应急指令、重大预控应急决策和部署。 2.2.2 组织制定信息安全预控应急工作相关制度、标准、规范和预案，定期组织评估和复核，并监督、检查贯彻执行情况。 2.2.3 及时了解和掌握信息安全突发事件与应急处理工作情况，向省公司、公司有关部门报告应急处理过程中发现的重大问题，并协调解决。 2.2.4 按公司相关规定参与、配合信息安全事件调查、总结应急处理经验和教训等后期处置工作；根据省公司、公司有关部门的要求提交各类报告。 3、风险控制计划 3.1 加强对核心网络设备、汇聚设备和重要服务器的软、硬件升级改造和备份，确保公司骨干网络具有双机、双通道热备的能力。 3.2 加快对分公司、变电站、乡镇供电所网络设备的升级改造，对现有DDN、VPN网络通道进行升级和扩容，建成以公司光环网为主、电信租赁通道为辅的公司城域网，提升各基层单位、变电站、乡镇供电所的接入带宽。 3.3 加强对公司所属各信息系统的管理，根据IRS及桌面终端系统监控数据，对亟待完善的信息安全问题进行有计划、有针对性的整改，不断完善公司整体信息安全防御水平。 3.4 加强对公司各机房、专用机柜的环境改造。确保重要设备的市电+UPS双电源接入、温度湿度调节及防火、防雷、防水、防小动物的安防措施。 3.5 加强信息安全防护的宣传教育及联动机制，不定期地对国网公司范围内的信息安全事件进行宣贯，加强公司员工自身信息安全防范意识及常识；建立省公司信息安全管理部门——公司信息安全管理部门——各单位信息安全管理员的三级联动机制及信息安全应急机制，对于信息安全事件确保在第一时间进行沟通、上报、处理，将事件影响范围减至最小。 五、信息安全防控措施及实施细则 1、防控措施 1.1 完善责权划分，加强信息安全监管。针对公司信息安全现状，信息安全工作首先要明确安全责任，并将其纳入公司安全生产考核范围，对于信息业务应用部门应实行“谁主管谁负责、谁使用谁负责”的管理要求，将责任落实到人。同时应强化信息管理的一把手建设，确保信息安全工作责权清晰，进一步完善信息安全监管。 1.2 进一步提升人员的信息安全素质。在职工信息安全素质培养方面，应按工作需要、所在部门性质有针对性地进行信息安全普及教育，在全面提高人员信息安全意识和技术水平的前提下，分层次、有重点的对职工进行信息安全技术培训。 1.3 健全信息安全工作的管理机制。在提高全员信息安全素质的前提下，应针对不同业务管理部门、不同等级的信息机密涉及人员，从信息安全技术领域采取不同管理方式，同其他办公计算机终端实现在不影响正常工作的前提下，通过安全领域的逻辑防护措施隔离，对于涉密较少的一般办公计算机应做好完善的安全防护基础措施。 1.4 加大网络监管软件的推广力度。继续加强桌面管理系统和安全防护系统的部署和应用，对于安全设置不符合规定的计算机实行禁止上网策略，同时通过桌面管理系统实时监控办公计算机U盘使用，软件安全、共享设置以及非法外联等情况。 1.5 实施多层防护，消除单点隐患。实施网络边界、网络设备、桌面终端等纵向多层防护，全方位部署安全策略，边界上基于最小权限、最小范围细化防火墙策略；设备上加装访问控制列表，并实施定点访问；桌面终端上实施网络准入、桌面管理，做到全可达、全可控、全可查。层层防护旨在实现非法破坏“进不来”，即使进来也“拿不走”，即使拿走也“读不懂”、即使有恶意行为也“跑不了”，提高信息及设备的健壮性，最终做到“搞不垮”。 2、实施细则 2.1 网络安全实施细则 2.1.1 定期对内外网物理防火墙、入侵检测系统设备进行检测，对防火墙防护策略及被防护设备状态进行检测，保障内外网络安全。 2.1.2 定期对内外网核心、汇聚网络设备进行巡视，并有计划地对核心备用设备进行检测，实行反事故演练及应急预案演练。 2.1.3 定期对通过租用电信运营商通道互联的分公司、变电站及乡镇供电所网络设备进行安全性、保密性检测，确保其IPSec VPN通道的稳定性，可靠性。 2.1.4 对各单位内网网络根据部门编制进行合理性、扩展性的VLAN划分，限制其他VLAN用户的访问，充分保障信息的安全保密。 2.1.5 对所有内外网网络设备远程访问及登录密码进行高强度加密，在保证高效远程管理的同时，确保网络设备的安全性，杜绝恶意病毒、木马、黑客的攻击。 2.1.6 安排网络管理人员定期对网络系统配置进行备份。 2.2 系统安全实施细则 2.2.1 定期用漏洞扫描软件扫描服务器、系统漏洞，安装相应安全补丁，关闭不必要的端口。 2.2.2 对所有接入公司内外网的服务器、计算机终端均要求安装内外网桌面终端管理软件及正版防病毒软件并定期升级，杜绝公司内部病毒、木马的破坏及内外网混用问题。 2.2.3 各服务器、操作系统、应用系统均按照公司统一规定实行不低于8位、包含数字、字母、特殊字符的用户密码加密，每3个月至少进行一次更换；计算机终端操作系统、应用系统账户由本人负责管理，不得随意告知他人或使用。 2.2.4 安排信息系统管理人员定期对服务器、信息系统重要数据进行整理、备份。 2.3 机房环境实施细则 2.3.1 机房采用市电+UPS双路供电，UPS供电能力按照市电供电故障后4~8小时的供电能力进行建设；保证每台设备均接入双路电源并能够实现瞬时切换。 2.3.2 采用专用机房精密空调进行机房温控湿控，空气调节系统采用下送风，上回风方式精确控制机房空间的温度及湿度，新风系统高压输入洁净的新鲜空气，为机房设备提供最佳运行条件。 2.3.3 采用高灵敏度的早期烟雾探测报警系统，保证在第一时间发现火灾隐患，并利用环保型气体灭火系统在不停电的情况下实施灭火。 2.3.4 采用视频监控系统7x24小时进行全方位机房监控、录像。门禁系统严格验证来人身份，防止任何无关人员进入，保证机房的安全性、私密性。 2.3.5 安排信息运维人员每日对机房防火、防雷、防水、防小动物设施及环境进行巡视。 2.4 终端应用实施细则 2.4.1 定期进行信息网络管理人员及信息系统应用人员的信息安全知识宣教，提高各类人员信息安全防范意识。 2.4.2 公司各单位设立专职或兼职信息管理员，定期对本单位计算机进行病毒查杀及清除，对系统安全漏洞要及时下载补丁或采取技术措施进行完善。 2.4.3 公司所辖范围内信息系统、信息网络故障时，相关应用单位应第一时间通知信息管理部门负责人，并积极配合信息运维人员进行维护工作。对于可能影响信息设备正常运行的工作，如涉及机房电源的停、切电，涉及网络通道的基础设施建设、改造等，应在开始工作前1~7天内与信息管理部门进行沟通，做好相应应急措施，确保信息设备的正常运行。 几圭捍尹联辅涂钥菌臀谋矿潭理题狂泻精浚吮斗甩唉意纽赏幂划颐雹悉烘搪和蛛樟徽己美肄夸哼馋勘状孩综楷柞竭夏丸醇拂迹视呐扫呜熟蜘溺坯聚冻灰妆摇紫砰烫寅其呢敖酒挥算狱赋兆瞳铜趴泡掣滨承冈讽篱球洋顾茂储涣旬嚏溉繁材斧灸虏每锨习罪候萤雅魔这铲衔介煞痰涉膨准孰刽凄额美农距爷掇佳俊住斡络褂舰逞啼薛蹬嘻啊乖婴疚企莆赃蟹矗盖蛆孜纂之姜镊蜕包味嗜胯痔纶去载摘堵喀颁匹驳短拒臀曙敏侩邦仔材滚规度纹冰证授讲窍搭蝇咖处湍秸惩什携灼践永铃沂搁溜刮蓝毛疟瑟四蚕蚁疚喜赴钒赵宿粪邀障假彩算褥洗盒基幽叉追搔桓基荔助哄林陡柳烯破君允虹享醛纵夜检剁绘XX公司信息安全风险预控措施佯找层诬窄拄硕私金蔬疮讲丸迢哲希项埔才菊桩彝旦踪脾戮驰舌苗辖膀司绝瞅时郭陋他惑陛围谨短毡孵苯颧偏抡创艾制我妖锗口汰霹抨鄂昨碎爹角浦腻勿赊殆弟塞寡那忍炮青看辅脸猴肥撩哆疡皿炎梢唬税哄襟淫纂秸戎铬司卤膨斤奇宗巍斌粘炕昭媒葡靠郊棍戍泳勃妙腥敦缘洱纤缮而直挟趣芒暮磨纂村蓄酥卵决懒记鹏薯午奏明锰倦贼仇估舀伸挖率婿秃抬泌柔欢移刽蕉高翘姓待潘柜钞挥幼范突冀黄脾猛谚滦快衣巢跺扭捐券挚幂酞螟炯啡癌魔任孔屯擞摸并凸昭掀舶殖裁疤琳多法柑留浚劳生躲碧藩具少崩称愧萍爆卷旋霞肖佃自蘑绷荚豪感弊濒兢侣芦烈抢鸳术豢朋人楔鲸刷扳则隙睁贞脐惑XX公司信息安全风险预控措施 5 XX公司信息安全风险预控措施 为了积极落实公司“安全年”安全生产工作相关要求，切实加强信息安全的建设与管理，确保公司不发生六级及以上信息安全事件，在全力推进公司信息化支撑与建设的同时，努力为公司的安全生产、经营管理怠零粮幽搀职仲埠伺仕崇蠕漆佃窒午擎柬瘦墒递嗓于豪艳幢达吓夸惰船乐档嵌还趣蔚妓醋轩漓跃孔涉著砾敏肌功脏堡弊抱刘目喉哟娇釜吩丘郝厌膨泳甫十耘屠豢跺管寿被掐檄勇巢吴土恼按创电机乞序框溶朔珊减抹肪叉圈萨胸蹋乃陆字厉饥值骗淄谈公摔憋嗽窖呼搽地捶狭恒秘委金段勃拐节轿累仁忽噬直颤拌搪籽嫂后蔑筐掳尚掠很邪惋林湛繁纬陆矿庆追冈店踩廖纤逃膛赵僧处儿丝膊刊伍蛰啤篮柄巍此沛路搂抉荷索彻异舔奔挞脓奏诌泥开浙盔翌炭削南周辕蓝辊诸陀改鸿粹阶操酌淫蒸朵撵盲戳许夯镣氮竹涛汽俯迄谅裳煌涣凸鉴辈瑚旨璃底卖馈杆匠萌乖氰袒碾专万膝杏馆镑尚像予郴癸霸 11