安全管理
計算機網絡為公司局域網提供網絡基礎平臺服務和互聯網接入服務,由網絡維護中心負責計算機連網和網絡管理工作。為保證公司局域網能夠安全可靠地運行,充分發揮信息服務方面的重要作用,更好地為公司員工提供服務,現制定并發布《瓦克科技網絡安全管理制度及操作規程》。
一、計算機基礎設備管理
1.1 各部門對該部門的每臺計算機應指定保管人,共享計算機則由部門指定人員保管,保管人對計算機軟、硬件有使用、保管責任。
1.2 公司計算機只有網絡管理員進行維護時有權拆封,其它員工不得私自拆開封。
1.3 計算機設備不使用時,應關掉設備的電源。人員暫離崗時,應鎖定計算機。
1.4 計算機為公司生產設備,不得私用,轉讓借出;除筆記本電腦外,其它設備嚴禁無故帶出辦公生產工作場所。
1.5 按正確方法清潔和保養設備上的污垢,保證設備正常使用。
1.6 計算機設備老化、性能落后或故障嚴重,不能應用于實際工作的,應報技術部處理。
1.7 計算機設備出現故障或異常情況(包括氣味、冒煙與過熱)時,應當立即關閉電源開關。
1.8 拔掉電源插頭,并及時通知計算機管理人員檢查或維修。
1.9 公司計算機及周邊設備,計算機操作系統和所裝軟件均為公司財產, 計算機使用者不得隨意損壞或卸載。
二、計算機系統應用管理
2.1 公司電腦的IP地址由網絡管理員統一規劃分配,員工不得擅自更改,更不得惡意占用他人的地址。
2.2 計算機保管人對計算機軟硬負保管之責,使用者如有使用不當,造成毀損或遺失,應負賠償責任。
2.3 計算機保管人和使用人應對計算機操作系統和所安裝軟件口令嚴格保密,并至少每180天更改一次密碼,密碼應滿足復雜性原則,長度應不低于8位,并由大寫字母、小寫字母、數字和標點符號中至少3 類混合組成;對于因為軟件自身原因無法達到要求的,應按照軟件允許的最高密碼安全策略處理。
2.4 重要資料、電子文檔、重要數據等不得放在桌面、我的文檔和系統盤〔一般為C:盤)以免系統崩潰導致數據丟失。與工作相關的重要文件及數據保存兩份以上的備份,以防丟失。公司設立文件服務器,重要文件應及時上傳備份,各部門專用軟件和數據由計算機保管人定期備份上傳,需要信息技術部負責備份的應填寫《數據備份申請表》,數據中心信息系統數據應按備份管理相關要求備份。
2.5 正確開機和關機。開機時,先開外設(顯示器、打印機等),再開主機;關機時,應先退出應用程序和操作系統,再關主機和外設,避免非正常關機。
2.6 公司郵箱帳號必須由本帳號職員使用,未經公司網絡管理員允許不得將帳號讓與他人使用,如造成公司損失或名譽影響,公司將追究其個人責任,并保留法律追究途徑。
2.7 未經允許,員工不得在網上下載軟件、音樂、電影或者電視劇等,不得使用電驢、BT等嚴重占用帶寬的P2P下載軟件。員工在上網時,除非工作需要,不允許使用QQ等聊天軟件。員工不得利用公司電腦及網絡資源玩游戲,瀏覽與工作無關的網站。若發現信息技術部可暫停其網絡使用權限,并報相關領導處理。
2.8 不得隨意安裝工作不需要的軟件。公司擁有的授權軟件軟件須報公司副總審批通過后由信息技術部或授權相關部門執行。
2.9 計算機出現重大故障,如硬盤損壞,計算機保管人應立即向部門負責人和信息技術部報告,并填寫《設備故障登記表》。
2.10 員工離職時,人力資源應及時通知信息技術部取消其所有的IP資源使用權限,回收其電腦并保留一個星期,若一個星期之內人事部沒有招到新員工頂替,電腦將備份數據后入庫。
三、計算機安全管理
3.1 如需要私人計算機連接到公司網絡,需信息技術部授權并進行登記。
3.2 不得隨意安裝軟件,軟件安裝按照《軟件管理》實施。
3.3 所有計算機設備必須統一安裝防病毒軟件,未經信息技術部同意, 不得私自在計算機中安裝非公司統一規定的任何防病毒軟件及個人防火墻。所有計算機必須及時升級操作系統補丁和防病毒軟件。
3.4 任何人不得在公司的局域網上制造傳播任何計算機病毒,不得故意引入病毒。
3.5 計算機使用者發現病毒后應立即停機并及時通知公司信息技術部或本部門病毒防治工作負責人,按《計算機病毒防治管理》處理。
3.6 因工作需要使用QQ等通訊工作,應當仔細辨別后再接收,對接收的文件應用安全軟件查殺后確認無毒再打開。
3.7 使用電子郵件時,附件都應用安全軟件查殺后確認無毒再打開。對于陌生的電子郵件,請直接予以刪除。
3.8 任何人不得進入未經許可的計算機系統更改系統信息和用戶數據,不得以任何形式攻擊公司的其它電腦或者服務器。
3.9 不得利用計算機技術侵占其他用戶合法利益,不得非法侵入他人電腦,不得制作、復制、和傳播妨害公司穩定的有關信息。
3.10 不得利用公司的網絡資源發布,傳播迷信、淫穢、色情、賭博、暴力、兇殺、恐怖等信息,違者將送公安機關處理。
3.11 不得利用公司的網絡資源進行入侵、破解、篡改其它人的電也腦、工作站或者服務器等網絡犯罪行為,若發現立即終止其網絡權限,并上報公司最高領導保留送公安機關處理的權力。
3.12 值班操作員每隔50分鐘檢查一次業務系統的可用性、與相關主機的連通性及安全日志中的警報。網絡管理員每天對安全日志進行一次以上的檢查、分析。檢查內容包括防火墻日志、IDS日志、病毒防護日志、漏洞掃描日志等。安全日志納入系統正常備份,安全日志的調閱執行相關手續,文檔做好密級工作,保存期限為一年。
3.13 安全響應
發現異常情況,及時通知網絡管理員及網絡處主管領導,并按照授權的應急措施及時處理。黑客入侵和不明系統訪問等安全事故,應盡快報知部門領導和安全小組。
四、各部門權責
4.1 此處軟件指公司所有操作系統、系統安全軟件、辦公軟件軟件、專用軟件,數據中心信息系統等。
4.2 信息技術部負責全公司所使用軟件的管理。為確保公司計算機軟件之適當使用,各部門對該部門的每臺計算機應指定保管人,共享計算機則由部門指定人員保管,保管人對計算機軟、硬件具使用、保管之責。
4.3 各部門專用軟件和數據由計算機保管人定期備份,信息技術部對備份情況進行抽查,需要信息技術部備份的應填寫《數據備份申請表》,數據中心信息系統數據應按《備份管理制度》備份。
4.4 信息技術部負責管理監督公司軟件使用情況,并負責軟件預算編列及軟件異動等事項。
4.5 信息技術部負責公司數據中心信息系統的選型、變更、安裝、設置、測試、維護管理。
4.6 針對新的信息系統上線,需由信息技術部會同需求部門對軟件系統進行評估,并做出上線計劃,上前后進行測試,并記錄各項測試數據、參數配置及測試結果。在測試中發現的問題需及時向供應商反饋并進行書面記錄進行整改。當由新系統替換舊系統時,業務部門需對舊系統下線前的期末數據與新系統上線后的期初數據進行核實,確認無誤后方可投入使用。供應商完成系統測試后,需獲取測試驗收確認函, 確保軟件系統滿足業務需求,并及時對系統用戶進行培訓指導。
五、軟件采購
各部門對該部門使用的軟件,應視需要查核實際使用狀況,以作為軟件增置與編列預算的參考。軟件采購時應考量軟件用途、授權形式及價格以評估軟件需求,由信息技術部統一提出采購計劃。
六、計算機軟件安裝及保管
6.1 公司之各類授權計算機軟件,統一由信息技術部負責保管,并每年至少進行一次盤點。各單位因業務需要需使用時可提出申請,由信息技術部依該軟件之授權使用范圍進行安裝。
6.2 公司擁有的授權計算機軟件,由信息技術部門統一部署安裝;計算機使用人堆個別軟件有安裝變動需求,必須先填寫《軟件安裝申請單》, 信息系統軟件申請須經部門經理和相關部門副總同意后,信息技術部則依據軟件實施申請單,安裝或授權安裝至各計算機之內。
6.3 計算機保管人對軟件負保管之責,軟件使用者如有使用不當,造成毀損或遺失,應負賠償責任。軟件使用者應當對口令嚴格保密,并至少每180天更改一次密碼,密碼應滿足復雜性原則,長度應不低于8 位,并由大寫字母、小寫字母、數字和標點符號中至少3類混合組成。對于因為軟件自身原因無法達到要求的,應按照軟件允許的最高密碼安全策略處理。
6.4 各部門軟件分配使用后,保管人或使用人職務變動或離職時,應按照人事部門流程移交其保管或使用之軟硬件,并辦理交接,由信息技術部對其軟件使用權限進行調整。
6.5 信息技術部在實施系統變更,如變更操作系統、軟件安裝、升級時都必須做《計算機設備軟硬件變更清單》。
6.6 信息技術部每半年會同需求部門對計算機系統和數據中心信息系統用戶情況進行一次復查。
七、軟件使用者的權利和義務
7.1 禁止員工使用會干擾或破壞網絡上其它使用者或節點的軟、硬件系統。
7.2 員工不得將公司授權軟件私自拷貝、借于他人或私自將軟、硬件帶回家中。
7.3 軟件保管人或使用人,對于保管或使用軟件不可盜賣、循私營利或其它不法情事,違者除提報主管及依公司規定懲處外,如因此觸犯著作權者或造成公司損失,則該員應負刑事及民事之全部責任。
7.4 尊重知識財產權,禁止下載未經授權的音樂、影片及軟件。防火墻與安全網關管理。
八、權限及配置變更流程
8.1 信息技術部門應指定網絡管理員負責防火墻和安全網關的管理工作,網絡管理員必須熟悉網絡理論、網絡設計和防火墻管理,接受防火墻應用和網絡安全方面的培訓。
8.2 網絡管理員對防火墻和安全網關所做的一切配置和修改工作都必須先在《安全設備配置及修改總匯》登記,由信息技術部負責人審查批準后實施。
九、防火墻和安全網關管理規定
9.1 公司和外部網絡連接時均安裝防火墻或安全網關以確保網絡及連接的安全,通過防火墻或安全網關的設置對內外網絡訪問按照權限進行控制。
9.2 廠商工程師只能在管理員的陪同下進行調試,調試完畢后應立即更改管理口令。
9.3 防火墻或安全網關需要增加或刪除訪問控制策略時,應嚴格按照配置變更流程進行。
9.4 在配置和訪問控制策略更改時,網絡管理員應及時導出防火墻或安全網關的配置文件,作好備份并標明改動內容。
9.5 網絡管理員應每月進行一次防火墻訪問控制策略審查工作,對過期和權限過大的策略進行優化,優化工作應嚴格按照配置變更流程進行。
9.6 網絡管理員應該及時了解廠商發布的軟硬件升級包,防火墻和安全網關的升級應嚴格按照配置變更流程進行。
9.7 嚴格限制每個用戶的權限,嚴格執行用戶增設、修改、刪除制度,防止非授權用戶進行系統登錄和數據存取。嚴格網絡管理人員、系統管理人員的管理,嚴格執行離崗審計制度。對公司技術支持人員進行備案登記制度,登記結果存檔保密,保存期限為半年。
十、防病毒管理
10.1 信息技術部系統管理員負責公司病毒防治工作。
10.2 病毒防治管理是計算機信息系統安全的一個重要組成部分,各部門應提高防范計算機病毒的安全意識,切實履行各項職責。
10.3 信息技術部負責對計算機病毒防治工作進行部署、監管和指導。
10.4 信息技術部負責建立突發病毒事件應急響應機制,在重大病毒爆發時,負責組織和協調相關部門研究應急方案、付諸實施,并跟蹤有關反饋信息和處理結果。
10.5 信息技術部負責組織計算機病毒防治培訓和講座,提高員工的病毒防治安全意識。
10.6 信息技術部及時發布"新病毒預告",提供特定病毒專殺工具、相關安全補丁等提供本公司用戶選擇使用。
十一、防病毒軟件的安裝
11.1 信息技術部負責在全網范圍內建立多層次的防病毒體系,要使用國家規定的、具有計算機使用系統安全專用產品銷售許可證的防病毒產品。應安裝防病毒軟件、防火墻以及安全衛士等惡意軟件防治工具。
11.2 對新購進的計算機及設備,在安裝完操作系統后,系統管理員要在第一時間內安裝防病毒軟件。
11.3 沒有安裝防病毒軟件的計算機不得接入到公司網絡中。 11.4防病毒軟件的類型遵循公司統一規劃,不得私自安裝其他類型的軟件。
十二、防病毒軟件的升級
12.1 信息技術部負責公司數據中心防病毒軟件的升級,病毒特征庫至少要做到每天自動升級檢查,自動部署,值班人員檢查情況并寫入《機房運行日志》。各部門病毒防治工作負責人負責所轄范圍計算機防病毒軟件的升級。
12.2 對病毒特征庫的升級情況應該進行手工檢查,將當前版本與軟件廠商在網站上公布的版本進行比較。
12.3 一旦出現傳播速度快,威脅大的新病毒,應該立即進行手工升級。
十三、防病毒軟件的維護
13.1 信息技術部防病毒管理人員每個月第一周對服務器進行病毒掃描,并且對病毒疫情進行統計分析,包括計算機病毒種類,文件感染率、計算機病毒處理結果〔刪除、清除、隔離和不操作)等內容,填寫報告分析結果及時上報安全主管。掃描結果保留3個月以上。
13.2 信息技術部防病毒管理人員負責定期對各部門病毒防治管理工作進行監管,包括病毒防治產品運行、功能的正確使用、合理設置參數、及時升級病毒特征碼等。
13.3 發現病毒后的措施
發現病毒后,應及時通知公司信息技術部或本部門病毒防治工作負責人,相關負責人應采取以下措施:
(1)隔離受感染主機:當出現計算機病毒傳染跡象時,立即隔離被感染的系統和網絡,并進行處理,不應帶"毒"繼續運行;對于重要服務器, 要先確定被感染情況,不要盲目斷網;
(2)確定病毒種類特征:采用多種手段確定病毒的類型和傳播途徑,如查看防病毒軟件的報警信息、搜索互聯網相關信息、和防病毒廠商溝通等途徑。對于未知病毒,可以盡快提交給有關部門或廠商;
(3)防止擴散:如果出現大面積傳播的趨勢,要根據病毒的傳播形式,采取網絡訪問控制、內容過濾等手段控制病毒的擴散;
(4)查殺病毒:盡量使用專殺工具對病毒進行查殺,完成后,重啟計算機, 再次用最新升級的防病毒軟件檢查系統中是否還存在該病毒,并確定被感染破壞的數據是否確實完全恢復。
(5)查找中毒原因,改進和完善防護措施,對造成嚴重影響的應填寫《病毒查殺分析報告》交信息技術部存檔。
十四、用戶管理
14.1 正確安裝和使用本公司指定的計算機病毒防治產品,未經許可,不得隨意卸載病毒防治產品。
14.2 發生突發病毒事件應立即拔掉網線,應及時通知公司信息技術部或本部門病毒防治工作負責人。
14.3 不得隨意下載和運行未確定安全性的軟件、程序和文檔。收到不明電子郵件,不得瀏覽和運行,以免感染計算機病毒。杜絕病毒傳播的各種途徑。光盤、V盤和移動硬盤等存儲介質在使用前應進行病毒檢測。
十五、備份操作管理
15.1 備份工作應由信息技術部門安排備份管理人員和備份數據保管人員。備份管理人員負責實施備份、恢復操作和登記工作,備份保管人員負責備份介質的取放、更換。
15.2 數據被大規模更新前后,須對數據進行備份,在操作系統和應用程序發生重大改變前后,須對系統和應用程序進行備份。
15.3 各部門專用軟件和數據由計算機保管人定期備份,信息技術部對備份情況進行抽查,需要信息技術部備份的應填寫《數據備份申請表》,提出具體的備份要求,包括備份內容、備份周期等,申請部門負責人審批后由備份管理人員制定相應策略,并由信息技術部門負責人審批后執行。
15.4 備份操作人員每次備份填寫《備份工作匯總記錄》。
15.5 備份對象發生變更后,應及時評估和調整備份策略。備份策略的變更應得到需求申請部門以及信息技術部負責人審批。
15.6《數據備份申請表》和《備份工作匯總記錄》必須由備份管理員妥善保管,信息技術部負責人每三個月對備份工作進行審核,核對系統中的備份工作與備份申請是否吻合,以保證備份是按照要求進行的,核對系統中的備份日志與備份工作匯總記錄,以保證備份的有效性、完整性以及出現的問題能得到適當的處理。
15.7 備份恢復
(1)信息技術部負責人應制定相應的備份恢復計劃。
(2)需要恢復備份數據時,應由需求部門填寫《數據恢復申請表》,內容包括數據內容、恢復原因、恢復數據來源、計劃恢復時間、恢復方案等, 由需求部門以及信息技術部門相關負責人審批后由備份管理員負責實施。
(3)備份管理員應對《數據恢復申請表》進行保存和歸檔,信息技術部負責人應每三個月對上述文檔進行審閱,確保備份恢復工作的合規性。
15.8 備份介質的存放與管理
(1)對數據、操作系統以及程序的備份,須保存在兩份介質中,一份本地存放,另一份異地存放;本地和異地的備份介質均需填寫《備份介質登記表》。
(2)備份介質存放場所必須滿足防火、防水、防潮、防磁、防盜、防鼠等要求。無論是存放在本地還是異地,須確保存放場所的安全,經信息部門負責人批準后實施,只有授權人員才可以訪問;
(3)備份介質的存取應由備份保管人員負責,其他人員未經批準不能操作。
(4)存放備份的介質必須具有明確的標識;標識必須使用統一的命名規范。介質標識號命名規則:三位數編號:如002。
(5)在本地和異地建立《備份目錄清單》,用以記錄備份數據的名稱、內容、存放位置、數據錄入時間和數據保留期限等,由備份管理人員負責每次填寫,備份保管人員核對并保管。數據存放應以壓縮包的形式。
(6)備份數據命名規則:
a)操作系統:操作系統名稱―日期。如郵件服務器操作系統20101230。
b)應用系統軟件:應用系統軟件名稱―日期。如用友服務器端20101230。
c)數據庫:數據庫名稱-應用系統軟件名稱-日期。
d)其他文件:文件名稱―日期。
(7)所有備份介質一律不準外借,不準流出公司,除備份管理員任何人員不得擅自取用,若要取用須經信息技術部門負責人批準,并填《備份介質登記表》。借用人員使用完介質后,應立即歸還。由備份管理員檢查,確認介質物理和數據完好無誤。備份管理人員及借用人員須分別在《備份介質借用登記表》上簽字確認介質歸還。
(8)備份介質要每3個月進行檢查,以確認介質能否繼續使用、備份內容是否正確。一旦發現介質損壞,應立即更換,并對損壞介質進行銷毀處理;對超出保存期的數據可以進行沖洗。存放介質需要沖洗或銷毀時,應填寫《備份介質沖洗銷毀登記表》,由需求部門負責人和信息技術部負責人審批后,備份管理人員與備份保管人員辦理交接手續后由備份管理人員銷毀,必須使備份介質中的數據永久不可讀取,備份數據介質銷毀后,在《備份介質登記表》中注明沖洗或銷毀。銷毀時須備份管理人員和備份保管人員雙人以上在場,防止數據的泄漏。《備份介質銷毀登記表》由備份保管人員保管。
(9)長期保存的備份介質,必須按照制造廠商確定的存儲壽命定期轉儲, 磁盤、磁帶、光盤等介質使用有效期規定為三年,三年后更換新介質進行備份。需要長期保存的數據,應在介質有效期內進行轉存,防止存儲介質過期失效。以上操作由備份管理員提出申請,信息部門負責人審批后執行并在《備份介質登記表》和《備份介質銷毀登記表》中登記,備份保管員負責核對。
十六、應急方案
16.1 應急方案包括:主機系統故障應急方案、通信系統故障應急方案、系統和數據的災難備份與恢復、黑客攻擊的應急方案、主機感染病毒后的應急方案、安全體系受損或癱瘓的應急方案。
16.2 應急方案要歸檔管理。隨著網絡和業務系統的改變而即時進行修改,要保證應急方案啟動的快速性、實施的高效性、結果的正確性。定時進行應急演練。
16.3 入侵檢測的管理制度
入侵檢測系統管理由計算機中心相關領導負責,并做下列工作:
a) 對入侵檢測系統軟件及相關資料歸檔入庫并進行登錄、保管;
b) 入侵檢測系統軟件拷貝和資料印刷等工作;
c) 入侵檢測系統的安裝、調試及卸載;
d) 一周三次定期查看入侵檢測系統日志記錄,并做備份。
e) 如發現異常報警或情況需及時通知相關負責人。
16.4 漏洞掃描的管理制度
漏洞掃描管理由計算機中心領導負責,并做下列工作:
a) 對漏洞掃描軟件歸檔入庫并進行登錄、保管;
b) 漏洞掃描軟件拷貝和資料印刷等工作;
c) 一個月一次定期對本網絡進行漏洞掃描檢查。
16.5 事故響應及處理
a) 發生計算機事故時,當事人要迅速報告安全小組以及相關部門,并詳細記錄事故發生的時間、地點、現象以及可能的原因。
b) 安全小組接到報告后,根據事故的嚴重程度,決定啟動何種形式的應急方案,并上報計算機中心和相關業務領導。事故結束后,要和有關人員、部門分析事故發生的原因,并根據情節的輕重對事故責任人作出相應的處理。
c) 出現重大計算機事故,有計算機犯罪嫌疑的,除了采取相應的補救措施外,還要及時上報公安機關,依法追究事故責任人的法律責任。
十七、機房管理規定
17.1 機房管理人員應使用電子表格對機房內設備做好登記,記錄現有設備的型號、配置、位置、狀態等信息,以便跟蹤設備變化。
17.2 計算機及網絡設備的搬運必須填寫《機房設備變更表》并通過信息技術部負責人審批方可進入或搬離計算機機房。
17.3 信息技術部應根據公司實際情況,安排專人對機房進行值班和巡檢。
17.4 機房鑰匙由信息技術部保存,其余鑰匙交公司行政部統一保管,如果特殊情況需使用時須嚴格登記。
17.5 任何非機房管理人員需要進入機房,需填寫《機房出入登記表》在機房值班人員陪同下進入機房。
17.6 進入機房人員不得攜帶任何易燃、易爆、腐蝕性、強電磁、輻射性、流體物質等對設備正常運行構成威脅的物品,因工作需要使用時,必須向信息技術部負責人申請并做詳細登記,嚴格執行操作規程,用后必須置于安全狀態,妥善保管。
17.7 機房管理人員要熟悉設備電源和照明用電以及其他電氣設備總開關位置,掌握切斷電源的方法與步驟,發現火情及時報告,采取有效措施及時滅火。
十八、辦公室環境管理規定
18.1 辦公室內保持干凈整潔,辦公區域不可接待外來人員,如工作需要,相關人員負責陪同并登記。
18.2 計算機使用者應當對口令嚴格保密,并至少每180天更改一次密碼,密碼應滿足復雜性原則,長度應不低于8 位,并由大寫字母、小寫字母、數字和標點符號中至少3類混合組成。對于因為軟件自身原因無法達到要求的,應按照軟件允許的最高密碼安全策略處理。
18.3 計算機使用者離開座位時,要退出系統登陸或密碼鎖定終端,防止他人進入。
18.4 涉密或敏感信息要妥善保管,辦公桌面不得放置包含敏感信息的紙檔文件等資料。不能因為方便而將相關密碼信息貼在屏幕上或辦公臺上。
18.5 嚴禁私自使用他人的計算機, 如工作需要,必須由計算機使用人陪同使用。
十九、安全保密制度
遵循國電對電力行業的有關規定和國家經貿委30號令,遵守國家相應的保密制度。