信息化标准和管理制度Word格式.docx
《信息化标准和管理制度Word格式.docx》由会员分享,可在线阅读,更多相关《信息化标准和管理制度Word格式.docx(16页珍藏版)》请在冰豆网上搜索。
第一十六条机房管理员每天检查机房设备的运行状态,并填写《机房运行日志》(附件四),如果发现问题,及时汇报处理。
第一十七条对外来人员的操作,机房管理员都要在《机房运行日志》中记录。
第一十八条维护部门负责人每周审阅《机房运行日志》,确保所有机房操作已通过相应的授权和审批。
第五章机房消防、安全管理
第一十九条机房内要保持设备正常运行所必须的温度、湿度等环境要求,对运行环境可能出现的不利因素进行检测并预警。
这些要求包括但不局限于如下内容:
(一)安装24小时不间断空调系统,使机房内保持一定的温度和相对湿度;
(二)安装温度和湿度显示装置;
(三)安装厌恶感应探测器和湿度感应探测器;
(四)安装火灾报警和自动灭火系统;
(五)配备手动灭火器。
第二十条机房管理员应明确机房消防器材的存放位置并熟悉使用方法,积极协助当地消防部门进行消防年检工作,按照国家标准进行消防器材的维护和更换。
第二十一条机房管理员必须熟悉总电源、设备电源、照明用电等开关的位置,熟练掌握发生危险情况时切断电源的方法和步骤。
第二十二条严禁在消防通道内堆放杂物,保持消防通道畅通,确保设备及工作人员安全。
第二十三条机房内应配备不间断电源系统(UPS),确保有足够的后备电力支持系统的紧急操作。
每年对UPS进行检修和维护,以确保其正常有效运行。
第六章附则
第二十四条本办法由集团信息化管理部附则解释和修订。
第二十五条本办法自颁布之日起实行。
原《国家开发投资公司机房管理规定》同时废止。
附件一机房门禁卡申请表
机房门禁卡申请表
编号:
申请人姓名
部门处室名称
有效期限
年月日——年月日
申请人签字
日期
信息化管理部
负责人签字
备注
附件二出入机房申请表
出入机房申请表
申请日期:
编号:
单位
姓名
联系方式
事由
携带物品
陪同人员
计划进入时间
计划离开时间
附件三出入机房登记表
出入机房登记表
联系
方式
携带
物品
进入
时间
离开
管理员
签字
审核人:
附件四机房运行日志
机房运行日志
-----------年-------月--------日---------时
监控内容
运行情况
(良好/故障)
小型机
防火墙
主交换机
域服务器
磁带库备份系统
Mail服务器
路由器
DNS服务器
漏水检测
WWW服务器
配电柜及UPS
空调
门窗和门禁系统
消防设备
故障描述
故障处理
外来人员操作记录
记录入:
-------------审核人:
---------------
备注:
1.根据实际监控需要,可按上述格式添加机房设备;
2.在运行情况栏里填写良好或故障,有故障的设备在故障描述栏里分别填写,在故障处理栏里分别填写报修时间及处理结果。
6.2计算机类设备接入网络管理标准
为对国家开发投资公司(一下简称“公司”)互联网接入及互联网用户进行规范管理,经济、合理地利用互联网连接宽带,有序、高效地使用互联网信息资源,为集团公司的生产、经营、管理和决策服务,制定本标准。
本标准使用于国投集团总部及成员企业计算机的网络接入。
第二章因特网接入及安全管理
第一条因特网接入是指接入公司计算机网络的总部职能部门、子公司投资企业经审批通过当地因特网服务提供单位(ISP)接入因特网。
第二条公司总部和所属各子公司接入因特网要严格按照《中华人民共和国计算机信息网络国际联网管理暂行规定》等有关法规,办理相关手续。
第三条通过当地ISP接入因特网的企业,接入方案、安全措施及管理措施报总部信息化管理部服务保障处(以下简称“服务保障处”)审核,经批准后方可实施因特网接入。
如未经批准擅自接入因特网的,公司总部信息化管理部将通报该企业管理部门限期纠正;
逾期没有纠正的将断开其与国投集团主干网的连接,并对造成损失和不良影响者追究相关责任。
第四条通过当地ISP接入因特网使用的域名和IP地址,须报信息化管理部服务保障部备案。
第五条所属投资企业网络接入因特网的部分和住宅小区网络,必须采取技术措施与企业内部网实现隔离。
隔离技术措施须报服务保障处审核批准后,方可接入因特网,以保证企业内部网络的安全和稳定运行,并接受服务保障处的检查。
第六条通过集团总部接入因特网的子公司,须将上网人数、账号名称、服务需求等报服务保障处审核;
批准后由信息化管理部服务保障处进行技术参数配置,实施接入服务。
第七条各投资企业IT部门负责信息网络的安全管理,服务保障处负责安全技术措施的实施与相关服务。
第三章因特网资源使用管理
第八条因特网资源指连接因特网的信道和因特网所有可合法浏览、使用的资源。
第九条接入因特网的企业应采取建立代理服务器/缓存服务器等技术措施,提高因特网资源的利用率,减轻网络拥塞,提高信息获取速度。
第一十条各成员企业网络运行部门负责对代理服务器/缓存服务器的管理和维护,保证代理服务器/缓存服务器每天24小时正常运行。
第一十一条IT部门可根据实际情况将因特网访问分为“优先使用,分时使用,限时使用,限户使用”等类型,制定相关规定,落实技术措施,达到优先、有序、有效使用因特网的目的。
第一十二条采取提高优先级别、放宽时间限制的技术措施,优先保证高级管理人员以及业务与因特网关系密切的业务人员使用因特网。
第一十三条对一般需求的人员,根据工作需要和信道负荷情况,可采取分时使用、限时使用等技术措施。
超限时要显示说明信息,引导用户按规定使用因特网。
第一十四条IT部门要认真核算成本,合理收取费用,用经济手段加强和规范对用户使用因特网的管理
第一十五条各IT部门要配置因特网用户管理系统,包括因特网用户的身份认证、审计、计费系统,要对用户进行有效管理。
第四章因特网用户管理
第一十六条申请成为因特网用户必须经本企业IT部门审核批准。
第一十七条因特网用户要严格遵守国家有关法律、法规和集团公司有关规定,严格执行国家和集团公司安全保密制度。
对违反规定和制度的企业和个人,有关部门有权中止其对因特网的访问,并追究相关责任。
第一十八条因特网用户所在单位网络运行部门负责保留和管理用户的访问记录,以备计费和相关部门查用。
第五章附则
第一十九条本标准由集团信息化管理部负责解释和修订。
第二十条本标准自颁布之日起实行。
6.3防火墙管理办法
为加强国家开发投资公司(以下简称“公司”)计算机防病毒系统的建设和管理工作,确保计算机、服务器、网络的正常运行,特制定本办法。
计算机防病毒的范围包括公司总部、子公司与投资企业的计算机网络、服务器、台式计算机、笔记本电脑等。
系统管理实行统一协调、分级管理、分工负责的原则。
第二章计算机防病毒管理
第一条必须配备计算机防病毒管理员,负责本企业计算机病毒的防护工作。
第二条必须设置防病毒服务器,安装防病毒软件,并建立防病毒网站,提供防病毒工具和补丁软件下载服务。
第三条服务器、台式计算机、笔记本电脑等必须安装防病毒软件并及时更新病毒定义码和系统补丁程序,没有安装防病毒软件的计算机不得连接到国投集团网络中。
第四条各投资企业应对本企业上连总部广域网的路由器端口进行限制,防止本企业的计算机病毒进入公司广域网。
第五条须关闭访问互联网的出口设备所有不使用的端口,以防止病毒和黑客攻击公司网络,确保网络安全。
第六条计算机防病毒管理员负责防病毒网站的内容更新与维护,及时浏览总部的防病毒网站,了解病毒最新动态,获取最新病毒定义码和补丁程序,并在本企业发布。
第七条计算机防病毒管理员负责大规模计算机病毒爆发时应急处理。
在病毒爆发程度严重时,应及时中断病毒源的网络连接,以避免病毒蔓延;
待病毒处理完毕后,再恢复其网络连接。
第八条计算机防病毒管理员负责每三个月进行一次防病毒系统巡检,在每季度的第一周内完成防病毒总结报告,并报总部信息化管理部。
第三章突发计算机病毒的处理
第九条在计算机病毒爆发期间,计算机防病毒管理员应及时通知总部计算机防病毒管理员,并按计算机病毒应急响应及处理机制进行处理。
第四章附则
第一十条本办法由集团信息化管理部负责解释和修订。
第一十一条本法自颁布之日起实行。
6.4操作系统安全管理办法
操作系统是用来管理计算机软件、硬件资源,协调计算机工作并为用户提供使用和编程接口的一组程序。
应用软件一般建立在操作系统提供的系统软件平台之上,因此稳定可靠的操作系统是应用软件平稳运行和信息系统安全、保密的基础。
尤其在网络环境中,操作系统的安全性是信息系统安全性的决定性因素之一。
本办法所指操作系统指服务器的操作系统,包括UNIX和Windows。
本办法适用于国家开发投资公司(以下简称“公司”)信息化管理部对公司操作系统的安全管理。
成员企业可参照制定自身的操作系统管理办法。
第二章操作系统安全的一般性原则
第一条禁用不必要的服务,尽量将系统中不用的服务、尤其是一些暂时不用的网络服务关闭,从而使系统遭受攻击的可能性降至最低。
第二条对等认证原则(TrustedPath),对等认证原则是指某一实体(程序、用户等)直接和系统上的另一实体在通讯前相互认证的过程。
第三条最小权限原则,最小权限原则是指系统只能授予应用程序和用户必要的权限,而不能授予额外的权限。
第四条强制式文档权限控制原则(Non-DiscretionaryProtection),大多数操作系统都提供了自主访问控制,建议对重要的文档的权限控制集中管理,由专门的安全管理人员负责这些文档的权限授予。
第五条通过补丁增强系统安全,补丁程序是弥补系统弱点(vulnerability)的最佳途径。
第六条在计算机上安装软件防火墙系统,根据需要在重要服务器和重要个人电脑(包括笔记本电脑)中安装软件防火墙系统。
目前大多数的防病毒软件具有类似的安全功能。
其他的手段还包括安装防病毒软件、入侵检测软件和漏洞扫描工具。
第七条对于重要的数据进行加密。
第八条安全性能评估,对于安全产品应选用经过国内、国外权威第三方认证的安全产品,如通过CC或TCSES所规定的B级标准的操作系统。
第九条系统管理员应随时保持警惕以预防攻击事件的发生或者将攻击的危害降至最低。
第三章操作系统访问控制要求
第一十条用户或者应用程序访问系统资源时要求操作系统管理员通过设置必要的选项完成以下功能:
(一)提供适当的身份验证方法。
如果使用了口令管理系统,应确保使用高质量的口令。
(二)识别和验证身份。
如果需要,还要验证每个合法用户的终端或位置。
(三)记录成功和失败的系统访问(日志信息)。
(四)根据情况限制用户连接时间。
第一十一条用户终端自动识别功能
(一)通过终端访问操作系统时应使用终端自动识别功能来验证与其连接的终端位置和连接类型。
如果绘画必须从某一位置或计算机终端开始,则应尽量使用终端自动识别技术。
(二)终端内部附带的标识可说明是否允许该终端开始或接受某些具体事务,应尽量对终端进行物理保护,维护终端标识的安全。
第一十二条登录程序应最大限度地减少公开的信息,以避免非法用户使用。
登录程序应:
(一)在登录过程未成功之前禁止显示系统或应用的标识。
(二)显示一般性注意事项。
提醒用户只有合法用户才能访问计算机。
(三)登录期间禁止提供帮助消息。
(四)只有所有输入数据完成后才能验证登录信息。
出差时,系统不应说明哪部分数据正确,哪部分数据错误。
(五)应限制允许登录的失败次数(宜为3次)。
(六)限制登录程序允许的时间上限和下限。
如果超过限制,则系统必须终止登录过程。
(七)成功登录后,宜显示以下信息:
1)以前成功登录的日期和时间。
2)上次成功登录以来登录失败的详细情况。
第一十三条登录超时要求
(一)高风险地域(如无法进行安全管理的公共或外部区域)或服务于高风险新天地终端如果处于不工作状态,则必须在设定的不工作时间后予以关闭,防止非法用户进行访问。
(二)为所有PC提供有限的终端超时功能。
当系统超时未激活时,应能够自动锁住系统,防止非法访问,但不宜关闭应用或网络会话。
(三)超时的时间设置取决于连接系统的重要程度、终端风险暴露程度以及终端上信息的业务价值。
第四章用户账号安全
第一十四条用户身份识别和验证
(一)信息系统所有用户都应拥有个人专用的唯一标识符(用户ID)以便操作能够追溯到具体责任人。
但是在认证和授权体系没有建立之前,特定操作系统内所有的用户必须有一个唯一的ID,并且该ID名称不能让人猜测到该用户的权限级别,如管理员、主管等。
(二)对于每一个申请使用系统的用户,应要求填写账号申请表,并在表格中包含公司的密码安全政策规范,明确违反该规范的后果和责任,同时要求用户签名以产生法律效力。
(三)对于用户身份的验证,宜采用多种身份验证程序来加以证实。
口令是一种很常见的身份识别和验证方法。
采用加密方法和身份验证协议也可达到同样的效果。
也可使用用户的内存标记或智能卡等进行身份识别和验证。
也可使用基于个人唯一特点或特性的生物统计学身份验证技术来验证用户身份。
将安全技术和安全机制结合起来可进行更为严格的身份验证。
第一十五条用户账号过期
(一)应设置用户账号的有效日期(例如可设置用户账号的有效期为一年)。
(二)当某一个用户账号过期时,系统维修检查确认该用户账号所对应的员工是否还留在公司,如果不是则将该账号自动删除,否则继续激活该用户账号。
(三)如果用户账号过期了但是用户无法联系到(例如正在度假),可先将其用户账号锁住,等用户回来以后按需要激活。
第一十六条Guest账号
(一)应禁止长期保留Guest账号
(二)当系统安装完成后必须视情况删除Guest账号,当用户确实需要Guest账号进行临时的访问时,才可将Guest账号激活。
(三)应确保Guest账号的口令安全。
第一十七条所有操作系统应禁止使用无口令的用户账号。
第一十八条除非有特殊的要求,不应有多个用户共享一个用户ID和口令,而应使用用户组的概念来代替。
第一十九条用户账号安全其它事项
(一)系统管理员应具备有两个账号,一个作为系统的常规用户,执行阅读文档,收发电子邮件等常规性操作,另一个用作管理,即真正具有管理员效力的用户账号。
(二)用户账号重命名,也就是对默认的账号重命名。
包括administrator、Guest以及其它一些在安装统计时(如ISS)自动建立的账号。
(三)建立伪管理员账号,如在系统中建立用户名为“administrator”的用户,并设定一个难以推测的口令,但是不赋予其真正的管理员权限。
第五章用户口令安全
第二十条口令选择:
口令选择的目标在于使密码易记难猜。
即对于口令的主人而言密码非常容易记住,但对于攻击者而言,却很难通过密码主人的特征、习惯等来推测密码。
用户在选择密码时应遵循如下原则
(一)禁止使用登录账号或者登录账号的任何变形(例如大写、反序等)作为口令。
(二)口令不应包含任何个人信息,例如名字、生日、电话号码、身份证号码、门牌号等。
(三)禁止使用全部是数字或者字母的口令。
(四)不应使用常规单词,例如英文辞典中查得到的单词。
(五)口令长度必须大于6各字符。
(六)必须同时包含大小写字母。
(七)口令中必须包含非字母字符,例如数字和标点。
(八)宜使用一个很快输入的口令。
第二十一条口令政策:
口令安全除了要求用户选择安全性高的口令外,还需要有一系列的口令政策保证口令的安全,这主要包括:
(一)所有操作系统中的口令,用户只能记在心里,不应以任何形式出现在纸面上,也不应出现在计算机文档中。
(二)不应将口令给其他人。
(三)口令必须定期更新,系统宜自动提示用户定期更换口令。
(四)应使用个人口令,明确责任。
(五)根据情况可让用户更改自己的口令,还可让用户采用一种确认程序,允许出现输入错误。
(六)用户首次登录时要求用户必须更改临时口令。
(七)应记录用户以前的口令记录(如过去12个月的记录)防止重复使用。
(八)安装软件后更改默认的供应商口令。
第二十二条系统管理员应定期对口令安全进行检查,以保证安全政策的落实。
系统管理员可使用口令破解程序定期对用户口令进行检查,如果这些工具能够破解用户口令,则必须责令用户修改口令。
第二十三条口令的其他事项
(一)输入时屏幕上不显示口令。
(二)口令文件和应用系统数据应分开存储。
(三)利用单向加密算法以加密方式存储口令。
第六章操作系统网络安全
第二十四条操作系统的网络安全主要是指操作系统本身提供的网络服务的安全性,例如电子邮件服务、Web服务、Ftp服务、命名服务以及网络功能设置的安全如网络协议等。
第七章文件系统安全
第二十五条文件系统的安全是指系统中所有文件的安全,包括所有操作系统管理的设备资源的安全问题,例如打印机。
文件系统的安全是系统安全的最后防线,主要通过两种方式实现文件系统安全。
(一)通过文件系统权限控制文件被恶意地址访问或者在任何未经适当授权的情况下被访问。
(二)通过对文件进行适当地加密实现。
第八章系统监控
第二十六条确定哪些内容是系统监控的对象。
系统监控的对象一般包括对系统的任何XX的访问以及操作系统本身是否存在安全漏洞等两个方面。
第二十七条对于系统监控的记录即日志应做的分析。
操作系统需要监控的对象主要分为用户账号安全、网络安全和文件系统安全三个方面。
对用户账号安全进行定期的盘查主要用于发现两个问题:
不应出现的访问;
用户登录以后是否执行了不应执行的命令。
网络安全监控非常困难但又非常重要,因为对于系统的攻击大部分是从网络上发起的。
文件系统安全的监控主要在于确定是否存在对于文件系统的非法访问以及监控文件备份政策和规范是否得到了切实的执行。
第二十八条管理员在平时使用一些常见的命令和工具随时了解系统的运行状况;
操作系统的风险可降低但是不能完全消除,因此需要管理员时刻保持警惕。
第九章附则
第二十九条本办法由集团信息化管理部负责解释和修订。
第三十条本办法自颁布之日起实行。
6.5防病毒管理办法
第一条必须配备计算机防病毒管理员,第一条必须配备计算机防病毒管理员,负责本企业计算机病毒的防护工作。
第二条必须设置防病毒服务器,安装防病毒软件,并建立防病毒网站,提供防病毒工具和补丁软件下载服务。
第九条在
升级会员 