信息安全手册.docx

1、信息安全手册信息安全手册信息安全手册依据GB/T19001-2008质量治理体系要求（ISO9001:2008,IDT）批 准审 核黄志强编 制李学强主管科室监督检查科2012-03-31公布 2012-04-01实施信息安全口诀确保内外网隔离，严禁内外用一机；处理涉国密信息，要用专用保密机。防病毒和防木马，安全补丁及时打；实时爱护要启动，定期扫描毒可控。口令不要怕复杂，数字字母结合佳；长度至少八位数，定期更换牢记住。接收邮件要慎重，注意留意发件人；不明附件勿打开，莫名链接勿点击。使用安全移动盘，查杀病毒首当先；重要文档加密码，数据文件常备份。网页挂马威逼多，各种插件要确认；恶意软件遍网络，不

2、明网站莫访咨询。基础知识和操作，大伙儿共同来学习；防护措施记心间，信息安全在周围。文件修订履历No修订日期修订页码修订缘故要紧修订内容 第一部分 住房公积金信息安全知识第一章 住房公积金信息安全基础知识篇1.1什么是信息安全tiality)、完整性(Integrity)和可用(Availability)的保持，即防止XX使用信息、防止对信息的不当修改或破坏、确保及时可靠地使用信息。通俗的讲，信息安全确实是 确保信息系统连续、可靠、稳固运行； 防止信息丢失、篡改和泄密。1.2住房公积金信息安全防护目标 确保住房公积金治理信息系统安全稳固运行； 确保住房公积金信息内容安全。1.3住房公积金信息安全

3、防护策略 双网双机 住房公积金治理信息网划分为业务网和办公网，网间采纳物理与逻辑同时隔离的方式进行隔离，登录时分不采纳独立终端； 等级防护 以实现等级爱护为差不多动身点进行安全防护体系建设； 多层防备 在分区防护的基础上，将信息系统划分为网络、主机、应用三个层次进行纵深防备的安全防护措施设计； 横向隔离 在网络终端对各县市区进行策略配置，横向隔离各县市区之间的物理访咨询； 纵向认证 采纳身份验证、加密、访咨询操纵等技术措施实现数据的远方安全传输以及纵向的安全防护。1.4住房公积金信息安全威逼及产生的后果 信息安全面临的威逼 人为的无意失误如操作员误操作、用户弱口令； 人为的恶意攻击如越权访咨询

4、信息、信息数据侦听； 信息系统本身缺陷如系统硬件故障、软件故障； 物理环境阻碍如电力故障、自然灾难； 治理不当如权限治理不当； 病毒木马如蠕虫、间谍软件。 威逼产生的后果 信息系统遭受攻击； 敏锐信息泄露或丢失； 数据被窃取或远程监控； 信息被恶意添加、删除或修改； 运算机病毒（木马）的传播； 信息系统被非授权或越权访咨询。1.5住房公积金信息安全防护重点1.6常见的信息安全事故及处理常见的信息安全事故 门户网站遭受攻击和破坏； 应用系统数据丢失或停止服务故障； 非法入侵，或有组织的攻击； 大面积病毒爆发、蠕虫、木马程序、有害移动代码； 网络、设备、操作系统和基础软件故障； 自然灾难或人为外力

5、破坏。一旦发生信息安全事故，应赶忙启动信息系统应急预案，并按预案处置流程进行事件报告、应急处置。1.7国家隐秘的等级1.8涉密信息的处理及储备涉及国家隐秘的信息必须在保密运算机中进行处理，保密运算机必须与办公网、业务网等信息网络实现物理隔离。办公网与业务网的运算机均不得处理涉及国家隐秘的信息。记载国家隐秘信息的纸介质、磁介质、光介质等隐秘载体，均要存放在保险柜内，与其他一般载体分开治理。严禁一般移动储备介质和涉及国家隐秘的介质在保密运算机和办公网及业务网运算机之间交叉使用。1.9信息安全认识误区误区一：电脑病毒靠“杀”目前大多数的杀毒软件都扮演着“事后诸葛亮”的角色，即电脑被病毒感染后杀毒软件

6、才去发觉、分析、清除，这种被动防备的消极模式不能完全解决运算机安全的咨询题；同时，杀毒软件有时良莠不分，会把合法数据也当作病毒清除，专门容易造成信息的丢失和损毁。因此对待电脑病毒应当以“防”为主，防患于未然。误区二：文件被删除后不可复原许多人认为被删除的文件从“回收站”清空后就永久消逝，事实上，一些专门软件或技术完全能够实现将被删除或损坏的数据进行复原。因此要妥善保管好数据储备介质，以防信息泄漏。误区三：网络共享文件是安全的网络共享文件存在漏洞，专门有可能被恶意人员利用和攻击，因此共享文件应予以关闭，若必需使用，共享文件应该设置高强度口令，并设置文件权限为只读。1.10信息安全行为十严禁 严禁

7、将涉及国家隐秘的运算机、储备设备与办公网、业务网和其他公共信息网络连接； 严禁在办公网、业务网运算机储备、处理国家隐秘信息； 严禁在连接互联网的运算机上处理、储备涉及国家隐秘的信息； 严禁办公网、业务网运算机同连接互联网的运算机交叉使用； 严禁一般移动储备介质在办公网、业务网和互联网之间交叉使用； 严禁扫描仪、打印机等运算机外部设备在办公网、业务网和互联网之间交叉使用； 严禁在一般传真机上发送涉及国家隐秘、企业隐秘的文件； 严禁携带涉及国家隐秘的运算机和储备介质离开单位； 严禁在办公运算机上使用盗版光盘和来历不明的盘片。第二章 住房公积金信息安全操作知识篇2.1防病毒和防木马 病毒病毒是一段专

8、门的运算机程序，具有类似生物病毒的行为特性,如自我复制 、传染性、破坏性和变异性等。感染病毒后常见现象 网络拥塞，经常断线或全然无法使用网络； 运算机运行速度变慢，显现 CPU 或内存高使用率现象； 经常显现系统错误或系统崩溃或无故重启； 磁盘上生成未知文件，空间急剧减少； 应用程序图标改变，打开应用程序无故报错； 无法启动扫瞄器，无故关闭或跳转到非定制页面。 木马木马程序是一种基于远程操纵的黑客工具，它埋伏在电脑中，受外部用户操纵以窃取电脑信息，它具有隐藏性和非授权性的特点。中木马后常见现象 硬盘在无操作的情形下频繁被访咨询； 用户帐号口令被盗取； 系统无故搜索软驱、光驱； 运算机运行速度变

9、慢，显现 CPU 或内存高使用率现象。 清除病毒木马 使用专业的企业级防病毒系统查杀病毒木马在信息内外网分不部署网络版防病毒软件系统，定期对防病毒软件特点码和软件版本进行升级。 开启防病毒软件实时更新功能运算机必须安装防病毒软件，开启所有监控功能，定期检测运行状况，定期对运算机进行全盘扫描。 使用专用工具进行完全清除2.2操作系统安全 经常检查更新并安装操作系统补丁 删除余外用户 开启屏幕爱护2.3口令安全（1）不安全的口令 姓名、生日、电话号码等个人信息； Password、root、admin 等默认口令； 123456、与用户名相同的口令等弱口令。（2）安全的口令 长度至少达到 12 个

10、字符； 由大小写字母、数字和其它字符混合组成。（3）口令安全遵循原则 不在多个系统中使用同一口令； 定期更换口令，周期不超过 3 个月； 严格保管用户名（帐号）和口令。2.4邮件安全邮件分为内网邮件系统和外网邮件系统，内外网邮件系统相互隔离，二者之间不能互相发送和接收邮件。发送和接收邮件要做到以下几点 信息内网邮件不得发送涉及国家隐秘信息； 信息外网邮件不得发送涉及国家隐秘信息； 不直截了当打开、阅读来历不明的电子邮件；2.5安全移动储备介质安全移动储备介质要紧用于在工作中产生的涉密和非涉密信息的储备及内部传递，也可用于内网非涉密信息与外部运算机的交互，涉及国家隐秘的信息必须存放在保密区。禁止

11、使用一般储备介质储备涉及国家隐秘的信息。禁止将安全移动储备介质中涉及国家隐秘的信息拷贝到外网运算机，禁止在外网运算机上储存、处理涉及国家隐秘的信息。安全移动储备介质修理工作由专业技术人员负责，显现故障的储备设备要妥善储存并按规定及时销毁。2.6重要数据文件备份关于重要数据和文件，应使用移动储备设备、光盘介质等定期进行备份，幸免病毒破坏、人为误删除或磁盘物理性损坏而导致数据丢失，确保意外发生可复原重要数据和文件，一样能够采纳本地备份或异地备份。2.7重要文件加密传输涉及国家隐秘的信息和重要文件必须采纳信息加密压缩方式在信息内网进行传送。使用正版压缩软件对文件进行加密压缩，加密口令要求 6位以上，

12、并包含字母数字，同时加密口令要采纳不同的传递方式，在确保安全的前提下传送。关于在互联网上传输的非涉密信息和敏锐信息的文件，也应采纳 WinRAR 加密压缩方式进行传输，进一步提升安全性。2.8日常文件治理建议将日常文件储存在非系统盘，如：“本地磁盘（D:）/（E:）/（F:）”等位置。切勿将日常文件储存在系统盘“本地磁盘（C:）/桌面/我的文档”等位置，以防操作系统瘫痪或病毒破坏等导致的文件数据丢失。2.9软件下载与安装办公运算机不得安装、运行、使用与工作无关的软件，不得随意更换或卸载统一配置的软件；从互联网下载的软件，应先使用杀毒软件进行病毒查杀后再行使用。2.10良好的上网适应 对上网运算

13、机的登录帐号设置具备一定强度的口令； 及时升级系统补丁； 安装杀毒软件，打开所有监控功能，定期对上网运算机进行安全漏洞扫描； 不要访咨询不熟悉的网站、不要下载安装来历不明的软件。第三章 住房公积金信息安全防护知识篇3.1系统漏洞系统漏洞是指应用软件或操作系统在设计上存在的缺陷或在编写时产生的错误，那个缺陷或错误能够被恶意人员利用，通过植入木马、病毒等方式来发动攻击或操纵整个运算机，从而窃取重要资料和信息，甚至破坏系统。案例：操作系统缓冲区溢出漏洞攻击者第一利用漏洞扫描工具对重点网段进行扫描，查找存在缓冲区溢出漏洞的运算机。攻击者启动漏洞攻击软件实施攻击，以获得目标运算机的系统权限。攻击者利用漏

14、洞获得系统权限后，采纳远程登录软件即能够进入目标运算机进行操作。防范计策 严禁将涉及国家隐秘信息的运算机接入互联网； 办公运算机补丁及时升级； 安装企业级防病毒软件； 安装防木马软件。3.2木马木马是针对目标运算机实施远程操纵的“间谍”软件。案例：“灰鸽子”木马攻击者先将木马程序捆绑在一些应用程序中，以电子邮件的形式发送给目标用户。目标用户收到邮件后，在打开应用程序的一瞬时，“木马”便植入运算机并运行，现在将通知攻击者植入成功。因此攻击者便可通过“木马”远程监控目标运算机，任意下载窃取其中的文件资料。防范计策 严禁将涉及国家隐秘信息的运算机接入互联网； 不随意打开不明电子邮件或其附件； 运算机

15、必须安装杀毒软件并及时升级更新。3.3嗅探嗅探是指植入特定功能程序，用以隐藏探测和记录键盘操作、口令密码等信息的窃密技术。案例：利用 Sniffer 工具嗅探 FTP 口令攻击者第一利用漏洞或木马在目标运算机中植入Sniffer 嗅探工具。当目标运算机重新连接互联网使用FTP时候 ，Sniffer 嗅探工具便开始记录明文传输的 FTP的用户名和口令。防范计策 严禁将涉及国家隐秘信息的运算机接入互联网； 用于连接互联网的运算机，任何情形下不得处理涉及国家隐秘和个人帐户口令的信息； 严禁启用共享文件夹处理信息数据。3.4数据复原数据复原，指磁盘数据在删除或格式化后可利用有关工具进行复原。案例：使用

16、数据复原软件复原磁盘数据先将运算机磁盘进行格式化处理，数据删除后，窃密者启动数据复原软件，对该盘进行格式化复原，成功复原原有文件。防范计策 严禁将涉及国家隐秘信息的运算机接入互联网； 涉及国家隐秘的储备介质剔除、报废时，必须作完全的物理销毁； 严禁将涉密载体当作废品出售。3.5口令破解口令破解是使用穷举法把运算机键盘上的数字、字母和符号按照一定的规则进行排列组合实验直到找到正确的口令。案例 ：“暴力破解”口令攻击者第一启动“暴力破解”口令破译软件，输入目标运算机 IP 地址，对目标运算机进行口令破译。口令越长，组合越复杂，破译难度越大，所需时刻越多。一旦找到正确的口令，软件显示破译成功。这时，

17、攻击者就能够利用得到的口令攻击目标运算机。防范计策 加大口令强度，使用数字、大小写字母和专门符号组成的高强度口令； 口令长度至少 8 位以上，并定期进行修改。3.6“摆渡”摆渡指利用移动储备介质在不同的运算机之间隐藏传递数据信息的窃密技术。案例：U盘“摆渡”通过互联网或其他途径使U盘感染摆渡程序，当目标用户将感染了摆渡程序的U盘插入涉密运算机时，在无任何操作和显示的情形下，U盘内的摆渡程序能按事先设定好的窃密策略将文件从运算机中复制到 U 盘隐藏名目下，同时将自身摆渡程序复制到运算机中。一旦此U盘插入上互联网运算机，文件就会被摆渡程序迅速转移至互联网运算机中，现在窃密者即可实施远程窃取。防范计

18、策 严禁移动储备介质在办公网、业务网和互联网之间交叉使用；安装杀毒软件并及时更新升级。3.7预设后门后门，是指运算机、操作系统、交换机等在设计制造过程中，人为设置的可用于远程爱护、信息收集或设备操控的隐藏功能。与一样漏洞相比，“后门”的隐藏性更强、破坏力更大。案例：被攻击者预植了后门程序的运算机一旦接入互联网，后门程序便被激活，攻击者即可利用后门猎取该运算机权限，实现远程操纵运算机，从而窃取存于运算机中的涉密信息。防范计策 严禁将涉及国家隐秘信息的运算机接入互联网； 关键信息设备尽量选用安全性高的技术产品； 加大对引进设备与软件系统的安全检测和漏洞发觉，阻断信息外泄的渠道。3.8无线设备运算机

19、无线设备是指部分或全部采纳无线电（光）波这一传输媒质进行连接的装置。无线网卡、无线键盘、无线鼠标和蓝牙、红外接口都属于这类设备。无线上网使用开放式的无线信道传输，信号暴露在空中，任何具有接收能力的设备都可能猎取传输的信息，即使采纳加密技术，也可能被破解。无线键盘、无线鼠标等无线外围设备，因其传输采纳开放的空间传输方式，传输信号极易被接收还原，也存在泄密隐患。案例 ：安装有 Windows 操作系统并具有无线联网功能的笔记本电脑只要上互联网或被无线互联，就有可能被攻击者通过空口令、弱口令及磁盘共享等漏洞而取得操纵权。击者可将麦克风打开，使笔记本电脑变成窃听器造成泄密，也可植入病毒木马，窃取运算机

20、中的信息。防范计策 涉及国家隐秘的内网运算机必须拆除具有无线联网功能的硬件模块或对无线联网功能进行有效阻断； 严禁使用无线键盘、无线鼠标等无线外围设备。3.9手机窃听手机通信传输系统是一个开放的地面或卫星无线通信系统，只要有相应的设备，即可截听通话内容。案例：一些手机，专门是进口和功能复杂手机，制造时易被植入专门功能程序，具有隐藏通话功能，可直截了当用于遥控窃听，甚至将关机或待机的手机转为通话状态，在无振铃、无显示的状态下将周围的声音发射出去，成为窃听器。在这种情形下，任何能使用手机进行通讯的地点，都可窃听通话内容。防范计策 严禁使用手机谈论涉及国家隐秘的事项； 严禁谈论涉及国家隐秘的事项时随

21、身携带手机； 严禁将手机带入重要涉密场所； 严禁在手机上储备、处理涉及国家隐秘的信息； 涉密人员不得随意使用他人赠送的手机。3.10办公设备窃密在复印机、打印机、传真机、碎纸机等办公设备内加装窃密装置，或利用其储备功能窃取数据信息，也是不可忽视的窃密手段。防范计策 严禁扫描仪、打印机等运算机外部设备在办公网、业务网互联网之间交叉使用； 涉密办公设备应当使用国产的，经有关主管部门指定的检测测评机构检测测评合格的设备，或通过有关主管部门鉴定的设备；购买涉密办公设备应到国家保密局指定、有保密资质的定点厂家购买，专人负责使用和保管；如无国产设备可选，使用进口设备须经有关主管部门或其指定的检测机构检测批

22、准； 涉密设备的修理必须到有关部门指定、具有保密资质的定点修理部门将涉密信息删除或将涉密部件拆除后修理，如需要更换录有涉密信息的部件，须将旧件带回销毁，禁止折价出售或随意丢弃；退还或剔除的涉密设备须进行完全的消密处理，交保密部门统一销毁，禁止作为私用或转借他人。第二部分 住房公积金信息安全条例第一章 涉密运算机安全使用保密治理规定按照中华人民共和国保守隐秘法的有关要求，结合我中心的实际，制定本规定。第一条 涉及国家隐秘的运算机（简称涉密运算机），是指用于储备、处理、传输国家隐秘信息的运算机。第二条 涉密运算机原则上专机专用，专门情形需多人使用的，由科室指定专人治理，并做好登记备案并粘贴统一的密

23、级标识。第三条 涉密运算机使用及保管场所的安全防护措施应符合保密治理规定的要求，确保防护设施的安全可靠。第四条 涉密运算机只能在本单位使用，严禁借给外单位、转借他人使用。确因工作需要携带涉密运算机外出的，需填写“涉密运算机外出携带登记表”，经科室负责人批准，并报监督检查科备案，逐件登记涉密运算机内的涉密信息。返回时，监督检查科对其携带的涉密运算机进行保密检查，以确保涉密运算机的安全。第五条 涉密运算机的传递按照国家隐秘载体保密治理的规定的要求治理。第六条 涉密运算机不得直截了当或间接连入国际互联网等非涉密网，必须与国际互联网实行物理隔离。严格一机两用操作程序，未安装物理隔离卡的涉密运算机严禁连

24、接国际互联网。第七条 涉密运算机使用人员是涉密运算机安全保密的责任人,其日常保密治理职责如下:2、 应在涉密运算机的明显位置进行标识，不得让其他无关人员使用涉密运算机。第八条 监督检查科负责检测和安装、爱护涉密运算机必须配备的安全保密软件及查杀病毒、木马等的杀毒软件。第九条 涉密运算机使用的打印机、传真机等设备按涉密运算机的同等级不进行治理，不得与其他非涉密运算机网络及通讯网络连接；严禁在涉密运算机上使用无线功能的信息设备。第十条 涉密运算机的修理，原则上由综合科负责。需外送修理的，修理前，应进行登记，将涉密信息备份后，完全清除涉密信息或拆除所有涉密储备介质，到中心指定的修理点进行，并有涉密运

25、算机责任人在场。修理完毕后，由监督检查科进行核对、技术测试和审查，符合有关标准后才能投入使用。第十一条 涉密运算机因使用人员岗位变动、使用期满等缘故交回时，由综合科和监督检查科对涉密运算机进行检查、确认，并做好登记备案、妥善保管；需归档的，应按有关规定归档。第十二条 不再使用的涉密运算机应由使用者提出报告，由科室负责人批准后，交综合科和监督检查科统一处理，确保有关内容和数据不可复原。禁止将未经技术处理的涉密运算机转为非涉密运算机或进行公益捐赠。第十三条 责任人每月对涉密运算机进行一次清查、核对，做出文字或电子记录，发觉丢失应及时向综合科和监督检查科报告。第二章 非涉密运算机保密治理制度第一条

26、运算机操作人员必须遵守国家有关法律，任何人不得利用运算机从事违法活动。第二条 运算机操作人员未经上级领导批准，不得对外提供内部信息和资料以及用户名、口令等内容。运算机由科室指定专人使用治理，并做好登记备案并粘贴标签。第三条 网络设备必须安装防病毒工具，并具有漏洞扫描和入侵防护功能，以进行实时监控，定期检测。第四条 运算机操作人员对运算机系统要经常检查，防止漏洞。禁止通过网络传递涉密文件，软盘、光盘等存贮介质要由有关责任人编号建档，严格保管。除需存档和必须保留的副本外，运算机系统内产生的文档一律删除，在处理过程中产生的样品等必须赶忙销毁。第五条 具有互联网访咨询权限的运算机访咨询互联网及其它网络

27、时，严禁扫瞄、下载、传播、公布违法信息；严禁接收来历不明的电子邮件。第六条 对重要数据要定期备份，定期复制副本以防止因储备工具损坏造成数据丢失。备份工具可采纳光盘、硬盘、软盘等方式，并妥善保管。第七条 运算机操作人员调离时应将有关材料、档案、软件移交给其它工作人员，调离后对需要保密的内容要严格保密。接替人员应对系统重新进行调整，重新设置用户名、密码。第八条 关于违反本规定，发生泄密事件的，将视情节轻重追究责任。第三章 涉密移动储备介质保密治理规定按照中华人民共和国保守隐秘法的有关要求，结合我中心的实际，制定本规定。第一条 涉密移动储备介质是指储备了涉密信息的硬盘、光盘、软盘、移动硬盘及U盘等，

28、涉密移动储备介质的使用人员是涉密移动储备介质安全保密的责任人。第二条 用于住房公积金数据信息的移动储备介质必须做好登记备案并粘贴统一制作的密级标识。第三条 涉密移动储备介质严禁在与互联网连接的运算机或其他设备上使用。涉密移动储备介质只能在本单位的涉密运算机或涉密信息系统中使用，严禁借给外单位、转借他人使用。确因工作需要携带涉密移动储备介质外出的，需填写“涉密移动储备介质外出携带登记表”，经科室负责人批准，并报综合科和监督检查科备案，逐件登记涉密储备移动介质内的涉密信息。第四条 复制涉密移动储备介质，须经监督检查科批准，且每份介质各填一份“涉密移动储备介质使用情形登记表”，并给予不同编号。第五条

29、 涉密移动储备介质的传递应按国家隐秘载体保密治理规定的要求执行。第六条 涉密移动储备介质的外送修理或数据复原，必须到中心指定的修理点，并有涉密移动储备介质安全保密的责任人在场。第七条 移动储备介质因使用人员岗位变动、使用期满等缘故交回时，由综合科和监督检查科对移动储备介质进行检查、确认，并做好登记备案、妥善保管；需归档的涉密移动储备介质，应连同“涉密移动储备介质使用情形登记表”一并按时归档。第八条 不再使用的涉密移动储备介质应由使用者提出报告，由科室负责人批准后，交综合科和监督检查科统一处理，确保有关内容和数据不可复原。禁止将未经技术处理的涉密移动储备介质转为非涉密环境使用或进行公益捐赠。第九

30、条 责任人每月对涉密移动储备介质进行一次清查、核对，做出文字或电子记录，发觉丢失应及时向综合科和监督检查科报告，并依法追究责任。第四章 非涉密移动储备介质保密治理规定第一条 为加大和规范非涉密移动储存介质传输的保密治理工作，确保国家隐秘信息的安全，杜绝内部信息外泄，按照中华人民共和国政府信息公布条例和中华人民共和国保守隐秘法等有关法律法规，结合我中心实际，制定本规定。第二条 本规定所称非涉密移动储存介质是指不用来储备、传递、国家隐秘信息的移动储存介质。它包括移动硬盘、软盘、U盘、光盘、磁带及各种储备卡。第三条 非涉密移动储存介质禁止以任何形式传输涉及国家隐秘和工作隐秘的信息。第四条 非涉密移动储存介质的使用由各科室制定人员负责，做好登记备案并粘贴标签。第五条 非涉密移动储备介质不得在本单位的涉密运算机或涉密信息系统中使用。第六条 责任人每月对非涉密移动储备介质进行一次清查、核对，做出文字或电子记录。第五章 涉密网络治理规定第一条 为了加大我中心运算机信息网络的保密治理，确保国家隐秘的安全，按照国家保密法规和运算机信息网络保密治理的有关规定，结合实际，特制定本规定。第二条 使用涉密网的人员必须遵守国家保密法规和运算机信息网络安全保密治理的有关规定，不得利用该网络从事危害国家安全、泄露国家隐秘等违法犯罪活动，不得制作、复制