本方案針對浙江移動網(wǎng)管中心所涉及的所有小業(yè)務(wù)平臺的安全管理,方案涉及的內(nèi)容包含機房安全管理���,機房核心網(wǎng)絡(luò)的安全,小業(yè)務(wù)系統(tǒng)平臺的安全。
第一章 機房的安全管理
加強對通信機房的安全管理�,杜絕人為因素對通信機房造成影響���,為通信設(shè)備提供安全的運行環(huán)境���,保證機房內(nèi)設(shè)備處于最佳運行狀態(tài)�����。
1.1 機房環(huán)境管理
1.機房應(yīng)建立防塵緩沖帶���,備有工作服和工作鞋。
2.所有人員進機房操作時應(yīng)穿工作鞋�����。
3.機房應(yīng)防塵�,窗戶必須全密封、遮光���。環(huán)境要整潔�����、設(shè)施擺放整齊�����。
4.機房內(nèi)的溫度���、濕度應(yīng)符合維護技術(shù)指標要求���,保持正常通風。
5.機房應(yīng)有良好防靜電措施�。
6.機房照明設(shè)施工作正常�,機房照明與設(shè)備用電分開。機房照明應(yīng)有應(yīng)急備用���,各類照明設(shè)備要由專人負責�����,定期檢修.
7.機房應(yīng)做好防水�、防火���、防爆���、防盜、防雷�、防凍、防潮等工作�����。
1.2 機房設(shè)備管理
1.機房內(nèi)嚴禁從事與工作無關(guān)的各項工作,嚴禁飲食�����、睡覺�、閑談。各種與工作無關(guān)的書刊�、報紙不準帶入機房。
2.存放運輸各種計費帶�����、光盤�����、后備帶�、軟盤等應(yīng)有防磁屏蔽及保護設(shè)施。
3.機房維護終端不可安裝各種與設(shè)備維護無關(guān)的應(yīng)用程序�,不可使用外來磁盤進行數(shù)據(jù)拷貝。維護終端應(yīng)該有明確的防病毒措施�����,定期進行檢查。
4.機房內(nèi)各種圖紙�、文件、工具�����、儀表未經(jīng)允許不準擅自帶出機房���,使用后歸還原處。
5. 因公司機房大部分為無人值守機房�,所以必須安裝環(huán)境監(jiān)視告警裝置,告警裝置要與監(jiān)控中心相連���,網(wǎng)絡(luò)維護中心應(yīng)有專人負責動力環(huán)境監(jiān)控系統(tǒng)的管理工作�����,動力環(huán)境監(jiān)控系統(tǒng)的監(jiān)測應(yīng)實行24小時值班�����,使發(fā)生火警�����、濕度���、溫度�����、煙霧���、門鈴、電源���、空調(diào)等告警信號時及時處理���。
6.網(wǎng)絡(luò)維護中心定期派人對機房及設(shè)施進行巡視檢查。在狂風雷雨等惡劣天氣前后應(yīng)加強巡視檢查�,以確保通信機房內(nèi)外環(huán)境的良好與安全。
7.搶修車輛應(yīng)定期檢查���,如有損壞應(yīng)及時維修�����,確保搶修需要�。
1.3 機房安全管理
1.進入機房的業(yè)務(wù)廠家人員或是協(xié)維人員都必須通過浙江移動的安全知識考試。
1.業(yè)務(wù)廠家要進入機房�����,首先要由相應(yīng)業(yè)務(wù)平臺負責人以郵件的發(fā)送至移動網(wǎng)管中心�,由網(wǎng)管中心申請作業(yè)計劃之后,在協(xié)維人員陪同之下�����,方可進入機房或者通過網(wǎng)管中心機房管理人員派發(fā)紙質(zhì)工單給廠家�����,在協(xié)維人員陪同下�,方可進入機房進行作業(yè)�。
2.協(xié)維人員若因故離職,協(xié)維公司必須將有關(guān)證件(協(xié)維資格證�、機房出入證等)交還發(fā)證部門,并每月通報協(xié)維人員變動情況�,所有協(xié)維人員應(yīng)嚴格遵守浙江移動的各項規(guī)章制度,網(wǎng)絡(luò)維護中心各專業(yè)室應(yīng)對所管理的協(xié)維人員進行安全生產(chǎn)方面的考核�。
3.機房(包括網(wǎng)絡(luò)維護中心辦公場地)禁止吸煙,嚴禁存放和使用易燃易爆、劇毒及腐蝕性物品�。
4.維護人員應(yīng)切實遵守安全制度,認真執(zhí)行用電�����、防火的規(guī)定���,做好防水���、防火、防爆�����、防盜�、防雷、防凍���、防潮等工作�,確保人身和設(shè)備的安全���。
5.機房值班人員和維護人員應(yīng)加強防火安全學(xué)習(xí)�����,定期進行安全防火檢查�。一旦發(fā)生火情,應(yīng)按公司制定的滅火流程進行處理�����,并立即報告���。
6.機房必須配備一定數(shù)量的合適消防器材和防護用具�。各種消防器材和防護用具應(yīng)按規(guī)定定點放置�����,隨時保持有效���,加強對消防設(shè)備代維公司的管理,機房走線孔洞必須用防火泥進行封堵���、過期的滅火裝置及時更換���。機房值班保安人員和維護人員應(yīng)掌握滅火常識和消防器材的使用。
7.各類機房應(yīng)有可靠避雷裝置, 雷雨季節(jié)應(yīng)加強對機房內(nèi)部安全設(shè)備、地線及防護電路的檢修和整改�。
8.在維護、測試�、磁帶更換、光盤更換���、故障處理�、日常操作以及工程施工等工作中, 應(yīng)采取預(yù)防措施, 防止造成工傷和通信事故�。
9.所有人員在離開機房時,都必須清理機房�,完成之后方可離開機房。
第二章 機房核心網(wǎng)絡(luò)安全
2.1 機房網(wǎng)絡(luò)設(shè)備的管理
1.機房內(nèi)核心網(wǎng)絡(luò)設(shè)備�����,接入IP網(wǎng)管
2.協(xié)維人員不得私自連接核心網(wǎng)絡(luò)設(shè)備���,進行上傳或是下載���。不得訪問敏感網(wǎng)站。
3.協(xié)維人員定期備份網(wǎng)絡(luò)配置�����,同時修改配置前都必須備份當前配置。
4.核心網(wǎng)絡(luò)設(shè)備的賬號管理:由協(xié)維團隊專人進行管理�,所有的操作都必須有此人進行。
第三章 業(yè)務(wù)平臺的安全管理
小業(yè)務(wù)平臺的安全管理涉及協(xié)維團隊和業(yè)務(wù)廠家���,協(xié)維團隊和業(yè)務(wù)廠家都掌握了業(yè)務(wù)平臺的部分賬號和權(quán)限�。
3.1 協(xié)維團隊職責
針對小業(yè)務(wù)平臺的安全管理制度包含的機房設(shè)施安全���,信息安全�,操作安全等�����,為保障增值業(yè)務(wù)平臺連續(xù)�����、穩(wěn)定運行�,除了做好平臺設(shè)備監(jiān)控、例行檢查�、日常維護等工作外,還需要加強協(xié)維團隊的安全管理���。
3.1.1 制度約束
第一條? 協(xié)維團隊成員需要和中國移動浙江公司及公司簽訂保密協(xié)議�����,保密協(xié)議中包含業(yè)務(wù)平臺的帳號信息�、用戶隱私信息�����、企業(yè)敏感信息等���。以下針對協(xié)維團隊成員的安全制度���,所有成員務(wù)必遵守。
第二條? 任何員工不得制造或者故意輸入�����、傳播計算機病毒和其他有害數(shù)據(jù)���,不得利用非法手段復(fù)制���、截收、篡改計算機信息系統(tǒng)中的數(shù)據(jù)�����。
第三條? 協(xié)維人員禁止利用掃描、監(jiān)聽���、偽裝等工具對網(wǎng)絡(luò)和服務(wù)器進行惡意攻擊���,禁止非法侵入他人網(wǎng)絡(luò)和服務(wù)器系統(tǒng)。
第四條? 增值業(yè)務(wù)平臺網(wǎng)絡(luò)設(shè)備���、操作系統(tǒng)���、以及數(shù)據(jù)庫超級用戶帳號由協(xié)維團隊專人進行統(tǒng)一管理、設(shè)置和分配并上報協(xié)維綜合管理員審核�����,針對各維護管理員設(shè)置相應(yīng)的隨機編號與身份證信息來分配賬號���。Root賬號須由專人進行管理�。
第五條? 協(xié)維人員不得以任何理由修改和刪除系統(tǒng)和數(shù)據(jù)庫的各項日志�����,同時日志需要雙機備份。需要清理日志的時候���,須提出申請并備份日志,待審計之后方可清理日志�����。
第六條? 小業(yè)務(wù)平臺的資料涉及用戶和企業(yè)隱私和敏感信息���,應(yīng)該為文件加密�,非工作需要不得以任何形式轉(zhuǎn)移�,更不得透露給他人。離開原工作崗位的員工由項目經(jīng)理負責將其所有工作資料收回并保存���。
第七條? 小業(yè)務(wù)廠家未做好備份前不得刪除任何硬盤數(shù)據(jù)�����。對重要的數(shù)據(jù)應(yīng)準備雙份�,存放在不同的地點�����;對采用磁性介質(zhì)或光盤保存的數(shù)據(jù),要定期進行檢查�����,定期進行復(fù)制�����,防止由于磁性介質(zhì)損壞���,而使數(shù)據(jù)丟失�;做好防磁�����、防火���、防潮和防塵工作�����。
第八條? 協(xié)維團隊將有針對性地對員工各項應(yīng)用技能進行定期或不定期的培訓(xùn)���,培訓(xùn)成績將記入員工績效考核�����;由各維護管理員收集小業(yè)務(wù)平臺系統(tǒng)常見故障及排除方法并整理成冊�����,供員工學(xué)習(xí)參考。
第九條 有以下情況之一者�����,視情節(jié)嚴重程度處以1000元以上罰款�。構(gòu)成犯罪的,依法追究刑事責任�。
①制造或者故意輸入、傳播計算機病毒以及其他有害數(shù)據(jù)的�;
②非法復(fù)制、截收�、篡改計算機信息系統(tǒng)中的數(shù)據(jù)危害計算機信息系統(tǒng)安全;
③對網(wǎng)絡(luò)和服務(wù)器進行惡意攻擊���,侵入他人網(wǎng)絡(luò)和服務(wù)器系統(tǒng)���;
④訪問未經(jīng)授權(quán)的文件�、系統(tǒng)或更改設(shè)備設(shè)置�;通過計算機系統(tǒng)或是增值業(yè)務(wù)平臺獲取私利的。
⑤擅自調(diào)整機房內(nèi)部設(shè)備的安排且未向安全管理員備案�����;
⑥利用職位之便���,私自泄露平臺用戶隱私和企業(yè)敏感信息的�����;
⑦相同故障出現(xiàn)三次以上(包括三次)仍無法自行處理的�;
第十條 ?維護管理員因主觀操作不當對設(shè)備造成破壞兩次以上或蓄意對設(shè)備造成破壞的���,視情節(jié)嚴重�,按所破壞設(shè)備市場價值的20%~80%賠償���,并給予行政處罰�����。
3.1.2? 思想約束
針對協(xié)維團隊所有的成員���,定期進行信息安全技術(shù)培訓(xùn)和信息安全知識宣傳�����,就最新的信息安全技術(shù)普及到每個人�����;同時針對發(fā)生信息安全事故的案例進行分析和風險評估�。培訓(xùn)計劃:至少1月/次�。
協(xié)維團隊每個月會對所有成員進行考核���,考核內(nèi)容中包含信息安全把控度�,將此作為考核中最重要的考核標準�,并納入個人的勞動報酬體系當中。
一旦發(fā)生安全事故將
3.1.3 操作約束
協(xié)維人員由于掌握著部分業(yè)務(wù)平臺的帳號密碼�����,擁有系統(tǒng)和數(shù)據(jù)庫的操作權(quán)限�。以下針對業(yè)務(wù)平臺的帳號和操作權(quán)限進行約束說明:
小業(yè)務(wù)平臺涉及的所有賬戶和密碼信息有協(xié)維團隊專人進行管理���,維護負責人員無創(chuàng)建用戶的權(quán)限,如果有人員變動或者需要申請創(chuàng)建用戶權(quán)限���,由安全管理員進行創(chuàng)建并分配相應(yīng)的權(quán)限�。維護負責人只擁有部分維護權(quán)限�����,如果有特殊需要�����,須提出申請由安全管理員分配臨時的操作權(quán)限�����,并在操作完成之后�����,即刻收回操作權(quán)限���。
小業(yè)務(wù)平臺類的帳號和密碼規(guī)則:帳號信息需要根據(jù)維護人員的公司以個人身份信息進行綁定分配�����;密碼的長度必須大于10位�,同時須包含數(shù)字,字母和特殊字符等的組合密碼���。建議所有的密碼進行二層加密進行保存�����,防止黑客攻擊之后獲取密碼�。
維護帳號不得以任何形式提供給他人使用���。
3.1.4 日志審計
針對小業(yè)務(wù)系統(tǒng)包含很多的日志�����,協(xié)維人員無日志操作權(quán)限(添加,修改�����,刪除等)�,登錄系統(tǒng)的帳號都將對應(yīng)各自的登錄日志和操作日志�����。協(xié)維團隊日志審計員���,定期系統(tǒng)產(chǎn)生的各項日志進行審計。并根據(jù)實際情況���,對各個帳號的操作進行風險評估�����,風險比較大的操作�����,收回其操作權(quán)限���。
根據(jù)審計結(jié)果,針對協(xié)維團隊所有維護員�����,進行調(diào)崗和信息安全評選�����。
如果在審計過程中,發(fā)現(xiàn)維護員利用職位之便�,泄露和傳播用戶隱私的相關(guān)操作,將立即停職查看�,根據(jù)行為影響給予相應(yīng)的處罰。
3.1.5 權(quán)限管理
權(quán)限管理將被分離出來�����,作為獨立的一塊進行管理���。以下是實例�,為
Shfy5715用戶可以使用到的系統(tǒng)管理命令:
ls,ps,top,free,df,ifconfig,netstat,kill,tail,rm,vi,mv,date,mount,umount,iptables,tar,gzip,crontab,tcpdump,ping,traceroute,mtr,cat,cut,which,cp,ftp,telnet,ssh,who,w,last,hwclock,mkdir,touch,du,hwclock,pwd,scp,sftp,/etc/init.d/httpd start,/etc/init.d/httpd stop
shfy0000命令可以使用的系統(tǒng)管理命令
ls,ps,top,free,df,ifconfig,netstat,kill,tail,date,iptables,tar,gzip,crontab,tcpdump,ping,traceroute,mtr,cat,which,cp,ftp,telnet,ssh,who,w,last,hwclock,mkdir,touch,du,hwclock,pwd,scp,sftp,/etc/init.d/httpd start,/etc/init.d/httpd stop,rm
3.1.6 接入4A系統(tǒng)
增值業(yè)務(wù)平臺若配置symark系統(tǒng)�,協(xié)維人員登陸系統(tǒng)前都必須登陸浙江移動的symark系統(tǒng),對系統(tǒng)的登陸及操作都會在symark上留下日志���,可以追查到個人�。安全管理員對symark系統(tǒng)日志進行審計時���,以安全管理員帳號登陸symark日志審計界面,對相關(guān)日志進行審計�。
增值業(yè)務(wù)平臺未配置symark系統(tǒng)���,協(xié)維人員所作操作記錄將保留在設(shè)備操作日志中。安全管理員登陸網(wǎng)管系統(tǒng)對相關(guān)日志進行審計�����。
3.1.7? 檢舉制度
協(xié)維團隊所有維護人員���,保障業(yè)務(wù)系統(tǒng)的正常運行的同時�����,兼對信息的系統(tǒng)的安全進行管理�。同時接受業(yè)務(wù)廠家和各業(yè)務(wù)維護員的公開檢舉�����。如有此類情況發(fā)生�����,將嚴格按照國家相關(guān)法令對其進行處罰���。
3.2 業(yè)務(wù)廠家職責
3.2.1 帳號安全
業(yè)務(wù)廠家由于是軟件提供商�����,持有應(yīng)用層軟件普通用戶帳號和部分測試帳號���,以及維護帳號�����,數(shù)據(jù)庫帳號�����。廠家必須維護帳號安全���,不得以任何理由和方式進行泄露。此部分帳號擁有的權(quán)限按照實際情況進行授權(quán)���。
3.2.2? 操作授權(quán)
業(yè)務(wù)廠家需要對系統(tǒng)進行高權(quán)限操作時���,須提交申請至浙江移動網(wǎng)管中心,進行審批之后�����,由安全管理員進行相關(guān)授權(quán)�。完成操作時,由安全管理員收回操作權(quán)限�。并針對當前操作進行檢查。
業(yè)務(wù)廠家不得進行危害系統(tǒng)安全或與平臺業(yè)務(wù)無關(guān)的操作�����。日志審計員定期對業(yè)務(wù)系統(tǒng)進行審計�����,提取業(yè)務(wù)系統(tǒng)相關(guān)信息�。
發(fā)布相關(guān)系統(tǒng)漏洞、補丁信息�����。
