网络软件信息安全及应用系统管理.docx
《网络软件信息安全及应用系统管理.docx》由会员分享,可在线阅读,更多相关《网络软件信息安全及应用系统管理.docx(21页珍藏版)》请在冰豆网上搜索。
网络软件信息安全及应用系统管理
CDT-HRBFCP
大唐哈尔滨第一热电厂企业标准
Q/CDT-HRBFCP2110202-2010
网络、软件、信息安全及应用系统管理
2010-04-01发布
2010-04-10实施
大唐哈尔滨第一热电厂发布
目次
1 范围1
2定义与缩略语1
2.1定义1
2.2缩略语1
3责任与权限2
3.1 设备部2
3.2 经营管理部2
3.3 人力资源部2
3.4 检修维护部2
3.5厂各部门2
4管理内容和方法2
4.1管理的原则2
4.2输入输出终端的相关分工2
4.3信息技术设备、设施的维护与检修3
4.3.1维护3
4.3.2故障检修3
4.4信息技术设备、设施的购置错误!
未定义书签。
4.5信息技术设备、设施的配备3
4.6信息技术设备、设施的更新升级及再分配3
4.7信息技术设备、设施的报废4
4.8计算机耗材4
4.9信息技术设备、设施的计划申请、配备申请、审批与领用4
4.9.1采购申请计划4
4.9.2配备申请错误!
未定义书签。
4.9.3审批4
4.9.4领用4
5检查和考核4
附录B(资料性附录)故障处理流程7
前言
根据大唐哈尔滨第一热电厂(简称本厂)标准化委员会的安排,结合本厂实际情况,编写了本标准。
制定本标准的目的是为了加强本厂信息技术设备、设施的使用管理,通过减少信息技术设备、设施的不合理消耗,降低相应的费用支出。
通过提高信息技术设备、设施的使用效率和资源利用率,使企业信息技术设备、设施管理达到科学化、程序化和规范化,以提高效益、降低消耗、保证安全文明生产,获得最佳工作秩序和经济效益。
本标准是本厂信息技术设备、设施使用管理的依据,自本标准发布实施之日起,各部门信息技术设备、设施管理工作都应符合本标准规定。
本标准由大唐哈尔滨第一热电厂标准化委员会提出。
本标准由设备部归口。
本标准起草单位:
设备部。
本标准主要起草人:
季春燕。
本标准审查人:
李胜利。
本标准批准人:
张永海。
本标准由设备部负责解释。
网络、软件、信息安全及应用系统管理
第1部分信息安全管理
1范围
本标准规定了大唐哈尔滨第一热电厂信息安全的管理内容、管理目标、职责、管理流程及形成的报告和记录。
。
本标准适用于大唐哈尔滨第一热电厂计算机管理信息安全管理。
2规范性引用文件
下列文件中的条款通过在本标准的引用而成为本标准的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本标准。
GB/T1.1-2000标准化工作导则第1部分:
标准的结构和编写规则
GB3101有关量、单位和符号的一般原则
GB/T15497-1995企业标准体系技术标准体系的构成和要求
GB/T15498-1995企业标准体系管理标准工作标准体系的构成和要求
GB/T15834标点符号用法
DL/T600-2001电力标准编写的基本规定
DL/T800-2001电力企业标准编制规则
大唐集团制[2005]30号中国大唐集团公司标准化管理办法
3术语和定义
下列术语和定义适用于本标准。
3.1
规范性要素
要声明符合标准而应遵守的条款的要素,分为一般要素和技术要素。
3.2
资料性要素
标识标准、介绍标准,提供标准的附加信息的要素,分为概述要素和补充要素。
3.3
概述要素
标识标准,介绍其内容、背景、制定情况以及该标准与其他标准的关系的要素,即标准的封面、前言和引言等。
3.4
补充要素
提供附加信息,以帮助理解或使用标准的要素,即标准的资料性附录、参考文献和索引等。
3.5
必备要素
在标准中必须存在的要素。
3.6
可选要素
在标准中不是必须存在的要素,其存在与否视标准条款的具体需求而定。
3.7
条款
规范性文件内容的表述方式,一般采取陈述、指示、推荐或要求等形式。
条款的这些形式以其所用的措辞加以区分,例如:
指示用祈使句表达,推荐用助动词“宜”,要求用助动词“应”。
4缩略语
下列缩略语适用于本标准:
a)中国大唐集团公司——集团公司
b)大唐哈尔滨第一热电厂——厂、我厂
c)大唐哈尔滨第一热电厂直属各部门——部门
5职责
包括网络安全管理、设备安全管理、终端安全管理、物理安全、应急方案等外来闪存盘、自动播放。
操作系统设置账号、口令,离开时及时锁屏。
使用经过认证的安全防护软件。
第七条网络安全:
严格执行国家《网络安全管理制度》。
对在集团局域网上从事任何有悖网络法规活动者,将视其情节轻重交有关部门或公安机关处理。
第八条集团员工具有信息保密的义务。
任何人不得利用计算机网络泄漏公司机密、技术资料和其它保密资料。
第十条任何人不得扫描、攻击集团计算机网络。
无论是否故意,一经发现,将给予通报并交有关部门严肃处理。
第十一条任何人不得扫描、攻击他人计算机,不得盗用、窃取他人资料、信息等。
一经发现,将给予通报并交有关部门严肃处理。
3.1 生产副厂长
3.1.1是厂信息安全第一责任人。
3.1.1领导信息专业。
3.1 设备部
3.1.1是厂信息安全管理工作的归口部门。
3.1.2负责本厂信息安全管理、监督和考核工作。
3.1.3负责对各部门信息安全业务方面进行指导。
3.1.4有权对各部门信息安全管理及应用提出建议。
3.1.5有权检查本厂各部门信息安全情况,发现有违反信息安全管理标准的部门,有权停止其使用行为,并进行考核。
3.1.9有权按照厂相关规定进行相应的考核。
3.5厂各部门
3.5.1是本标准的执行单位,在信息安全管理上接受设备部的指导和监督。
3.5.2设兼职信息联络员,在设备部的指导下,进行在本部门的信息安全常规维护,在发生故障时,进行初步故障原因判断,并进行处理。
6管理内容与方法
包括网络安全管理、设备安全管理、终端安全管理、物理安全、应急方案等。
操作系统设置账号、口令,离开时及时锁屏。
使用经过认证的安全防护软件。
B.2计算机管理信息系统的安全管理要遵循统一领导、统筹规划、强化管理和全面防范的原则。
B.3计算机管理信息系统的规划、设计和实施必须符合网络与信息安全建设的相关标准,能够满足安全运行和信息保密的需要。
B.4计算机管理信息系统的建设过程中,必须同步设计和实施网络与信息安全系统。
用于信息安全系统的资金必须保证足额到位。
B.4.1计算机管理信息系统所采用的网络和信息安全产品,必须经过国家认可的相关机构的测评认证,并履行相关的审批手续。
B.4.2公司内部网与公司外部网(互联网、电力系统广域网等)之间的互联,必须采取有效的物理隔离和访问控制措施。
B.4.3公司内部网与用于生产监控的网络系统之间必须采取有效的物理隔离和访问控制措施。
5系统安全
B.5.1管理信息系统的网络设备、服务器设备、网络操作系统、数据库管理系统在安装、调试完毕后,必须有准确无误的系统安装、配置文档,该文档除由网络管理人员统一、妥善保管外,还应在公司的档案中心进行存档。
B.5.2网络管理员和数据库管理员在修改和调整以上设备和系统的配置参数后,要及时、准确地做好操作记录,并妥善保管。
B.5.3网络管理员和数据库管理员应定期修改和更换以上设备和系统的系统口令和管理口令,并做好记录,妥善保管。
B.5.4网络管理员要经常检查设备和系统的漏洞,及时升级系统和安装补丁程序,消除系统和设备的潜在安全隐患。
B.5.5网络管理人员在根据网络系统应用需求增加和调整网络服务功能后,要及时检查和调整安全设备的控制机制和访问策略。
B.5.6网络管理员要采用必要的技术手段和测试工具,经常对网络系统进行跟踪和分析,及时发现和消除网络资源的非法访问和黑客攻击行为。
B.6应用安全
B.6.1应用软件系统的设计、开发要确保系统的用户访问权限、帐号和口令具有可管理性。
软件维护人员要确保用户权限分配合理,帐号口令设置严密,并定期对帐号、口令进行更改,以增加应用系统的安全性。
B.6.2数据库管理员和软件维护人员要定期(每月至少2次)对应用系统的管理员帐号、用户帐号进行检查,确保帐号设置的有效性和唯一性,确保访问权限的资源分配合理、正确。
B.7数据安全
B.7.1数据库管理员对数据库服务器的数据管理要制定一套完善的数据备份和数据恢复的整体方案。
要采用至少两种不同的数据备份方法和技术手段,对数据库服务器数据进行备份。
B.7.2网络计算机用户负责对本机上的个人数据资源进行定期(每月至少1次)备份,防止本机硬盘故障造成数据丢失。
B.8文档、资料保密
B.8.1要落实专人对管理信息系统的技术文挡、资料、程序代码等进行集中、妥善保管,资料的内部借阅和使用要履行部门主管审批手续,并做好借阅和使用记录。
B.8.2技术文挡、资料的对外借阅必须经过企业管理策划部主管领导的审批,涉及到企业信息机密的,要经公司领导的审批。
B.9网络机房的物理安全
B.9.1网络机房的巡视检查参见《计算机管理信息系统运行维护管理标准》的相关条款。
9.2网络系统的运行维护参见《计算机管理信息系统运行维护管理标准》的相关条款。
B.10防病毒安全
B.10.1管理信息系统要具备集中的网络防病毒能力,保证网络杀毒软件的及时自动更新。
网络维护人员要及时检查和跟踪网络杀毒软件的运行效果。
B.10.2通过普及计算机信息安全知识,提高计算机网络用户的防病毒意识,合法、规范使用计算机软件和信息资源,提高网络系统抵御计算机病毒的整体安全性。
B.10.3网络用户的信息安全
B.10.4网络用户应当遵守国家有关法律、法规,不得制作、复制、发布和传播含有危害国家和企业安全,泄露国家和企业秘密的信息。
B.10.5网络用户不得进行任何干扰网络运行和使用的以下行为:
a.擅自将个人计算机接入网络系统。
b.私自修改网络配置参数。
c.非法访问和盗用网络系统的信息资源。
d.利用黑客工具和其他专用工具软件对网络系统进行攻击。
B.11提高和加强公司员工的信息安全意识和法律意识,规范计算机的使用行为,并结合信息系统的管理和考核机制,使公司员工不窃密,不泄密。
6.2网络集成商、应用软件开发商对计算机网络信息系统项目实施完毕后,提交系统和设备的安装、配置报告。
企业管理策划部网络高级主管对报告进行审查,审查内容包括:
1)安装设备的物理连接是否正确。
2)设备和系统的配置是否合理。
3)系统的帐号和口令设置是否严密。
4)系统是否需要软件升级和打补丁程序;5)系统资料、配置文档登记、存档。
6.3企业管理策划部网络主管对实施的应用系统创建和分配管理员帐号和用户帐号,并对分配的帐号进行权限分配。
每月1次,对应用系统的管理员帐号进行有效性验证,并更换口令。
对分配和修改的帐号要进行记录并妥善保管。
6.4定期(每周不少于1次)对数据库服务器的资源占用情况和存储空间进行检查。
定期(每周不少于1次)对数据库服务器的系统日志进行检查,发现异常及时分析和排除。
6.5在工程项目施工完毕交付使用后,由负责资料、文档管理的资料管理员对系统的设计资料、随机资料、配置文件、程序代码等按不同项目和文档类别建立资料文档台帐。
6.6网络高级主管要落实网络维护人员定期(每周至少1次)对网络防病毒系统进行病毒程序代码的升级,并检查网络防病毒服务器的系统日志。
对未能查、杀的病毒代码进行收集,按时向网络防病毒服务商进行技术咨询并协助解决。
对网络客户机的病毒检测情况经常进行跟踪和反馈信息,对网络用户提供相关咨询和技术支持。
6.7网络高级主管要定期(每周至少2次)对网络系统的运行情况和资源使用情况进行检查,查找和发现不安全隐患,对涉及泄密和窃密行为或给网络系统运行造成不良后果的,及时向生产副厂长进行汇报,根据情节进行考核。
11 报告和记录
7.1网络系统调整、修改系统配置情况记录表见表1。
7.2网络系统、数据库管理系统、应用系统帐号、口令分配及修改情况记录表见表2。
7.3信息系统的文档、资料登记表见表3。
7.4网络系统安全检查情况记录表见表4。
网络、软件、信息安全及应用系统管理
第1部分软件管理
1范围
本标准规定了大唐哈尔滨第一热电厂信息安全的管理内容、管理目标、职责、管理流程及形成的报告和记录。
。
本标准适用于大唐哈尔滨第一热电厂计算机管理信息安全管理。
2规范性引用文件
下列文件中的条款通过在本标准的引用而成为本标准的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本标准。
GB/T1.1-2000标准化工作导则第1部分:
标准的结构和编写规则
GB3101有关量、单位和符号的一般原则
GB/T15497-1995企业标准体系技术标准体系的构成和要求
GB/T15498-1995企业标准体系管理标准工作标准体系的构成和要求
GB/T15834标点符号用法
DL/T600-2001电力标准编写的基本规定
DL/T800-2001电力企业标准编制规则
国资厅发[2009]47号中国大唐集团公司标准化管理办法
大唐集团制[2009]4号中国大唐集团公司软件正版化工作管理制度
3术语和定义
下列术语和定义适用于本标准。
3.1
规范性要素
要声明符合标准而应遵守的条款的要素,分为一般要素和技术要素。
3.2
资料性要素
标识标准、介绍标准,提供标准的附加信息的要素,分为概述要素和补充要素。
3.3
概述要素
标识标准,介绍其内容、背景、制定情况以及该标准与其他标准的关系的要素,即标准的封面、前言和引言等。
3.4
补充要素
提供附加信息,以帮助理解或使用标准的要素,即标准的资料性附录、参考文献和索引等。
3.5
必备要素
在标准中必须存在的要素。
3.6
可选要素
在标准中不是必须存在的要素,其存在与否视标准条款的具体需求而定。
3.7
条款
规范性文件内容的表述方式,一般采取陈述、指示、推荐或要求等形式。
条款的这些形式以其所用的措辞加以区分,例如:
指示用祈使句表达,推荐用助动词“宜”,要求用助动词“应”。
4缩略语
下列缩略语适用于本标准:
a)中国大唐集团公司——集团公司
b)大唐哈尔滨第一热电厂——厂、我厂
c)大唐哈尔滨第一热电厂直属各部门——部门
5职责
包括网络安全管理、设备安全管理、终端安全管理、物理安全、应急方案等。
操作系统设置账号、口令,离开时及时锁屏。
使用经过认证的安全防护软件。
3.1 生产副厂长
3.1.1为厂软件正版化工作的第一责任人。
3.1.1领导信息专业。
3.1 设备部
3.1.1是厂软件管理工作的归口部门。
3.1.2负责本厂信息安全管理、监督和考核工作。
3.1.3负责对各部门信息安全业务方面进行指导。
3.1.4有权对各部门信息安全管理及应用提出建议。
3.1.5有权检查本厂各部门信息安全情况,发现有违反信息安全管理标准的部门,有权停止其使用行为,并进行考核。
3.1.9负责厂计算机软件安装、保管、升级、版权保护等工作,负责本企业软件的资产管理。
3.5厂各部门
3.5.1是本标准的执行单位,在信息安全管理上接受设备部的指导和监督。
3.5.2设兼职信息联络员,在设备部的指导下,进行在本部门的信息安全常规维护,在发生故障时,进行初步故障原因判断,并进行处理。
6管理内容与方法
软件管理
软件正版化、软件规划、维护、购置、计划、审批、领用、配备等。
掌握专业应用软件
认证软件:
第一章总则
第一条为履行企业社会责任,保护知识产权,规避法律风险,推进中国大唐集团公司(以下简称集团公司)系统内软件正版化工作,制定本制度。
第二条集团公司软件正版化工作任务,是引导集团公司内部软件终端用户购买并使用正版软件。
通过软件正版化工作,保证所使用软件的品质和必要的升级维护,同时树立良好的企业形象。
第二章职责
信息化主管厂长为软件正版化工作的第一责任人。
软件正版化工作的归口管理部门,软件采购工作的洽谈,负责本企业计算机软件安装、保管、升级、版权保护等工作,负责本企业软件的资产管理。
第三章管理
第七条集团公司及各基层企业要按照国家有关要求和本制度规定,加强软件资产管理,规范正版软件采购,确保正版软件在全生命周期内的有效使用。
第八条为控制采购成本,集团公司对使用范围较大的通用软件,采取集团公司统一合同谈判、各相关单位分签的方式组织采购。
第九条制定年度软件正版化工作计划,并将软件采购费用纳入年度预算,确保软件正版化工作资金到位、措施到位、管理到位。
第十条建立规范的正版软件管理台帐,对各类正版软件进行登记。
内容包括:
计算机软件名称和版本,来源类型,许可证(授权书)编号,有效期,供货商,价格,购买日期,安装情况等。
同时对有关的软件介质、说明书、使用许可证(或合同)等相关资料要妥善保存。
第十一条培养员工使用正版软件的意识,加强软件使用培训,保证软件合理有效的使用,使购买的正版软件更好地服务于企业的生产经营工作。
第十二条各将软件正版化工作与企业信息化工作紧密结合,建立相关的考评考核制度,纳入到企业的信息化考评体系中。
第十三条员工不得从事下列行为:
(一)擅自复制和销售计算机软件产品的复制品;
(二)在购买计算机时,要求或者默许销售商安装非正版计算机软件;
(三)超越授权使用许可合同的要求扩大安装范围;
(四)XX把计算机软件放在网上供他人下载;
(五)明知是XX的计算机软件而从网上下载;
(六)故意规避或者破坏软件著作权人为保护其著作权而采用的技术措施;
(七)故意删除或者改变计算机软件权利管理信息;
(八)在单位计算机上擅自安装游戏、股票等与工作无关的计算机软件;
(九)在重大信息系统中使用未经测评或者有关部门依法认可的计算机软件。
第十四条对于使用非法软件给集团公司声誉造成重大影响的,除本企业和责任人所承担的法律责任外,集团公司还将追究第一责任人的行政责任。
信息系统管理
SIS、MIS操作使用的要求、流程、考核等。
数据库、信息系统的运行、维护、操作、变更、故障处理、容灾备份、权限设置与确认
网站管理
内部网站功能、信息发布、内容限制、更新时效等。
思想政治工作部对网站各栏目内容进行检查、巡视,对内容公文写作
对格式无严格要求的文档,及其中无签字、盖章的文档,不得使用发布附件的方式发布,应直接发布内容。
功能变更,设立或撤销浮动窗口、临时性栏目须经需求提出部门负责人签字、主管领导签字、设备部负责人签字,信息专业研究确属合理,不影响网站整体布局,且技术上可以实现的,
“新闻”栏目内容由各供稿人建立、编辑,由思想政治工作部审核发布
“通知公告”栏目内容由各供稿人建立、编辑,由其部门领导审核发布
其他各部门专门负责栏目内容由其部门各供稿人建立、编辑,由其部门领导审核发布
浮动窗口、临时性栏目由提出需求部门保证实效性,
如有多个部门共用一个栏目,且具有在栏目内互相编辑删除权限时,不得随意编辑删除其他部门内容。
数据来源
网络管理
网络设备及系统的责任划分、运行、维护、操作、变更、故障处理、考核等共享、外单位用户
四、子网由各入网单位负责在学院网络管理中心的统一规划和指导下,按有关要求和规定进行建设、运行和管理。
网络管理中心有责任协助、指导和监督子网建设并使其接入主干网运行。
各子网的服务器等主要信息场点经网络管理中心配置、调试后,方可入网运行。
对于不符合要求的子网,网络管理中心有权拒绝其加入主干网。
五、需要扩充子网的单位应向网络管理中心提交申请和规划。
未经批准,入网单位和个人不得私自扩充下级子网或与院外单位连网,不得私自发展院外用户,不允许任何单位和个人利用校园网开展经营性活动。
如有此类事情发生,网络管理中心有权中断其连入校园网。
许继集团有限公司计算机网络为许继集团局域网提供网络基础平台服务和互联网接入服务,由信息中心负责计算机连网和网络管理工作。
为保证集团局域网能够安全可靠地运行,充分发挥其在生产、办公、科研及信息服务方面的重要作用,更好地为集团员工提供服务。
现制定并发布《许继集团网络管理制度》。
第一条所有网络设备(包括交换机、集线器等)均归信息中心所管辖,其安装、维护等操作由信息中心工作人员进行。
其他任何人不得破坏或擅自维修。
第二条所有厂区内计算机网络部分的扩展必须经过信息中心实施或批准实施,未经许可任何部门不得私自连接交换机、集线器等网络设备,不得私自接入网络。
信息中心有权拆除用户私自接入的网络线路并进行处罚措施。
第三条各部门的联网工作必须事先报经信息中心,由信息中心做网络实施方案。
第四条集团局域网的网络配置由信息中心统一规划管理,其他任何人不得私自更改网络配置。
第五条接入集团局域网的客户端计算机的网络配置由信息中心部署的DHCP服务器统一管理分配,包括:
用户计算机的IP地址、网关、DNS和WINS服务器地址等信息。
未经许可,任何人不得使用静态网络配置。
第九条任何人不得在局域网络和互联网上发布有损许继形象和职工声誉的信息。
互联网使用管理
互联网使用范围、限制、行为考核
范围:
中层干部,一般管理人员和普通员工一般不予接入互联网。
经过主管信息领导批准
时间限制:
全天、工作时间、指定时段、临时
应用限制:
全部、指定应用或端口
行为:
不得在网上浏览、获取、传输或发布任何与工作无关的信息。
未经批准,不得采用任何手段私自接入互联网。
经过批准接入互联网用户,不得采用任何手段为其他用户提供接入服务,否则,中断互联网,并进行考核。
第十三条集团的互联网连接只允许员工为了工作、学习和工余的休闲使用,使用时必须遵守有关的国家、企业的法律和规程,严禁传播淫秽、反动等违犯国家法律和中国道德与风俗的内容。
许继集团有权撤消违法犯纪者互联网的使用,并交由有关部门处理。
使用者必须严格遵循:
1. 从中国境内向外传输技术性资料时必须符合中国有关法规。
2. 遵守所有使用互联网的网络协议、规定和程序。
3. 不能利用邮件服务作连锁邮件、垃圾邮件或分发给任何未经允许接收信件的人。
4. 任何人不得在网上制作、查阅和传播宣扬反动、淫秽、封建迷信等违犯国家法律和中国道德与风俗的内容。
5. 不得传输任何非法的、骚扰性的、中伤他人的、辱骂性的、恐吓性的、伤害性的等信息资料。
6. 不得传输任何教唆他人构成犯罪行为的资料,不能传输助长国内不利条件和涉国家安全的资料。
7. 不能传输任何不符合当地法规、国家法律和国际法律的资料。
邮件及即时通信系统管理
邮件及即时通信系统使用、维护要求。
以工作需要为原则建立邮件用户,一般按照个人信息建立和使用邮箱,如确需按岗位建立邮箱,一般使用别名或地址簿实现。
内部调动的员工,电子邮箱保持不变。
各部门自行维护邮件系统中本部门的地址簿,部门调入、调出人员要及时
升级会员 