1. 總則
(1)為了保證公司信息網(wǎng)絡(luò)系統(tǒng)的安全,根據(jù)有關(guān)計(jì)算機(jī)、網(wǎng)絡(luò)和信息安全的相關(guān)法律��、法規(guī)和安全規(guī)定,結(jié)合公司信息網(wǎng)絡(luò)系統(tǒng)建設(shè)的實(shí)際情況��,特制定本規(guī)定�����。
(2)本規(guī)定所指的信息網(wǎng)絡(luò)系統(tǒng)���,是指由計(jì)算機(jī)(包括相關(guān)和配套設(shè)備)為終端設(shè)備,利用計(jì)算機(jī)�����、通信、網(wǎng)絡(luò)等技術(shù)進(jìn)行信息采集���、處理�����、存儲(chǔ)和傳輸?shù)脑O(shè)備���、技術(shù)、管理的組合���。
(3)本規(guī)定適用于公司接入到公司網(wǎng)絡(luò)系統(tǒng)的單機(jī)和局域網(wǎng)系統(tǒng)����。
信息網(wǎng)絡(luò)系統(tǒng)安全的含義是通過各種計(jì)算機(jī)�、網(wǎng)絡(luò)、密碼技術(shù)和信息安全技術(shù)���,在實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)安全的基礎(chǔ)上�����,保護(hù)信息在傳輸����、交換和存儲(chǔ)過程中的機(jī)密性、完整性和真實(shí)性��。
2. 物理安全
(1)物理安全是指保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)施以及其他媒體免遭地震���、水災(zāi)���、火災(zāi)等環(huán)境事故與人為操作失誤或錯(cuò)誤,以及計(jì)算機(jī)犯罪行為而導(dǎo)致的破壞��。
網(wǎng)絡(luò)設(shè)備��、設(shè)施應(yīng)配備相應(yīng)的安全保障措施�,包括防盜、防毀�����、防電磁干擾等�,并定期或不定期地進(jìn)行檢查��。
(2)對(duì)重要網(wǎng)絡(luò)設(shè)備配備專用電源或電源保護(hù)設(shè)備�����,保證其正常運(yùn)行。
3. 計(jì)算機(jī)的物理安全管理
(1)計(jì)算機(jī)指所有連接到公司信息網(wǎng)絡(luò)系統(tǒng)的個(gè)人計(jì)算機(jī)�����、工作站���、服務(wù)器�、網(wǎng)絡(luò)打印機(jī)及各種終端設(shè)備����;
(2)使用人員應(yīng)愛護(hù)計(jì)算機(jī)及與之相關(guān)的網(wǎng)絡(luò)連接設(shè)備(包括網(wǎng)卡、網(wǎng)線�����、集線器��、路由器等)��,按規(guī)定操作��,不得對(duì)其實(shí)施人為損壞;
(3)計(jì)算機(jī)使用人員不得擅自更改網(wǎng)絡(luò)設(shè)置�����,杜絕一切影響網(wǎng)絡(luò)正常運(yùn)行的行為發(fā)生�;
(4)網(wǎng)絡(luò)中的終端計(jì)算機(jī)在使用完畢后應(yīng)及時(shí)關(guān)閉計(jì)算機(jī)和電源;
(5)客戶機(jī)使用人員不得利用計(jì)算機(jī)進(jìn)行違法活動(dòng)��。
4. 緊急情況
(1).火災(zāi)發(fā)生:切斷電源����,迅速報(bào)警,根據(jù)火情���,選擇正確的滅火方式滅火�;
(2)水災(zāi)發(fā)生:切斷電源��,迅速報(bào)告有關(guān)部門�,盡可能地弄清水災(zāi)原因,采取關(guān)閉閥門����、排水、堵漏�、防洪等措施;
(3)地震發(fā)生:切斷電源���,避免引發(fā)短路和火災(zāi)����;
5. 網(wǎng)絡(luò)系統(tǒng)安全管理
(1)網(wǎng)絡(luò)系統(tǒng)安全的內(nèi)涵包括四個(gè)方面:
1)機(jī)密性:確保信息不暴露給未授權(quán)的實(shí)體或進(jìn)程�����;
2)完整性:未經(jīng)授權(quán)的人不能修改數(shù)據(jù)��,只有得到允許的人才能修改數(shù)據(jù)���,并且能夠分辨出被篡改的數(shù)據(jù)��。
3)可用性:得到授權(quán)的實(shí)體在合法的范圍內(nèi)可以隨時(shí)隨地訪問數(shù)據(jù)�,網(wǎng)絡(luò)的攻擊者不能阻礙網(wǎng)絡(luò)資源的合法使用��。
4)可控性:可以控制授權(quán)范圍內(nèi)的信息流向和行為方式����。可審查性:一旦出現(xiàn)安全問題�,網(wǎng)絡(luò)系統(tǒng)可以提供調(diào)查的依據(jù)和手段�。接入Internet公共信息網(wǎng)的重要信息網(wǎng)絡(luò)系統(tǒng)須安裝防火墻或其他安全設(shè)備�。入網(wǎng)的安全設(shè)備必須具有國(guó)家保密局、公安部�����、中國(guó)國(guó)家信息安全測(cè)評(píng)認(rèn)證中心的技術(shù)鑒定��、銷售許可和產(chǎn)品評(píng)測(cè)等資質(zhì)��,并符合國(guó)家的相關(guān)規(guī)定�。
6. 網(wǎng)絡(luò)安全檢測(cè)。
(1)為使網(wǎng)絡(luò)長(zhǎng)期保持較高的安全水平����,網(wǎng)絡(luò)管理員應(yīng)當(dāng)用網(wǎng)絡(luò)安全檢測(cè)工具對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全性分析,及時(shí)發(fā)現(xiàn)并修正存在的安全漏洞���。網(wǎng)絡(luò)管理員在系統(tǒng)檢測(cè)完成后�,應(yīng)編寫檢測(cè)報(bào)告�,需詳細(xì)記敘檢測(cè)的對(duì)象、手段����、結(jié)果���、建議和實(shí)施的補(bǔ)救措施與安全策略。檢測(cè)報(bào)告存入系統(tǒng)檔案��。
網(wǎng)絡(luò)反病毒�。病毒的危害性巨大�����,對(duì)系統(tǒng)和信息的破壞程度具有不可測(cè)性��,計(jì)算機(jī)用戶和系統(tǒng)管理員應(yīng)針對(duì)具體情況采取預(yù)防病毒技術(shù)����、檢測(cè)病毒技術(shù)和殺毒技術(shù)。
7. 信息系統(tǒng)安全管理
(1)信息安全是指通過各種計(jì)算機(jī)���、網(wǎng)絡(luò)和密碼技術(shù)���,保護(hù)信息在傳輸、交換和存儲(chǔ)過程中的機(jī)密性����、完整性和真實(shí)性����。具體包括以下幾個(gè)方面����。
1)信息處理和傳輸系統(tǒng)的安全
系統(tǒng)管理員應(yīng)對(duì)處理信息的系統(tǒng)進(jìn)行詳細(xì)的安全檢查和定期維護(hù),避免因?yàn)橄到y(tǒng)崩潰和損壞而對(duì)系統(tǒng)內(nèi)存儲(chǔ)��、處理和傳輸?shù)男畔⒃斐善茐暮蛽p失���。
2)信息內(nèi)容的安全
側(cè)重于保護(hù)信息的機(jī)密性�、完整性和真實(shí)性�����。系統(tǒng)管理員應(yīng)對(duì)所負(fù)責(zé)系統(tǒng)的安全性進(jìn)行評(píng)測(cè)���,采取技術(shù)措施對(duì)所發(fā)現(xiàn)的漏洞進(jìn)行補(bǔ)救����,防止竊取����、冒充信息等��。
3)信息傳播安全
要加強(qiáng)對(duì)信息的審查�,防止和控制非法����、有害的信息通過我司的信息網(wǎng)絡(luò)系統(tǒng)傳播,避免對(duì)國(guó)家利益����、公共利益以及個(gè)人利益造成損害�����。
涉及商業(yè)機(jī)密文件必須采用RMS權(quán)限管理服務(wù)進(jìn)行文件保護(hù)�,以免外泄。
8. 信息系統(tǒng)的內(nèi)部管理
(1)各部門向網(wǎng)絡(luò)系統(tǒng)提交信息前要作好查毒���、殺毒工作��,確保信息文件無毒上載��;
(2)根據(jù)情況�,采取網(wǎng)絡(luò)病毒監(jiān)測(cè)�����、查毒、殺毒等技術(shù)措施����,提高網(wǎng)絡(luò)的整體抗病毒能力;部門負(fù)責(zé)的重要信息必須作好備份����;
(3)網(wǎng)站和欄目信息的負(fù)責(zé)部門必須對(duì)所發(fā)布信息制定審查制度,對(duì)信息來源的合法性�����,發(fā)布范圍�,信息欄目維護(hù)的負(fù)責(zé)人等做出明確的規(guī)定。信息發(fā)布后還要隨時(shí)檢查信息的完整性����、合法性;如發(fā)現(xiàn)被刪改��,應(yīng)及時(shí)報(bào)告綜合部���;
(4)涉及商業(yè)秘密的信息的存儲(chǔ)����、傳輸?shù)葢?yīng)指定專人負(fù)責(zé),并嚴(yán)格按照國(guó)家有關(guān)保密的法律��、法規(guī)執(zhí)行�;
(5)涉及商業(yè)機(jī)密的項(xiàng)目招標(biāo)、投標(biāo)標(biāo)注等信息���,未經(jīng)所屬單位安全主管負(fù)責(zé)人的批準(zhǔn)不得在網(wǎng)絡(luò)上發(fā)布和明碼傳輸�;
(6)個(gè)人計(jì)算機(jī)中的涉密文件不可設(shè)置為共享���,個(gè)人電子郵件的收發(fā)要實(shí)行病毒查殺。
(7)信息加密
1).涉及商業(yè)秘密的信息���,其電子文檔資料須加密存儲(chǔ)�;
2).涉及公司和部門利益的敏感信息的電子文檔資料應(yīng)當(dāng)加密存儲(chǔ)��;
3).涉及社會(huì)安定的敏感信息的電子文檔資料應(yīng)當(dāng)加密存儲(chǔ)��;
4).涉及公司秘密�、與部門利益和社會(huì)安定的秘密信息和敏感信息在傳輸過程中視情況及國(guó)家的有關(guān)規(guī)定采用文件加密傳輸或鏈路傳輸加密。
(8)公司內(nèi)任何組織和個(gè)人不得從事以下活動(dòng):
1).利用信息網(wǎng)絡(luò)系統(tǒng)制作����、傳播�、復(fù)制有害信息�����;
2).入侵他人計(jì)算機(jī)�;
3).未經(jīng)允許使用他人在信息網(wǎng)絡(luò)系統(tǒng)中未公開的信息;
4).未經(jīng)授權(quán)對(duì)信息網(wǎng)絡(luò)系統(tǒng)中存儲(chǔ)���、處理或傳輸?shù)男畔ⅲòㄏ到y(tǒng)文件和應(yīng)用程序)進(jìn)行增加��、修改����、復(fù)制和刪除等�����;
5).未經(jīng)授權(quán)查閱他人郵件��;
6).盜用他人名義發(fā)送電子郵件���;
7).故意干擾網(wǎng)絡(luò)的暢通運(yùn)行�����;
8).從事其他危害信息網(wǎng)絡(luò)系統(tǒng)安全的活動(dòng)��。
9. 密碼管理
(1).具有密碼功能的計(jì)算機(jī)�����、網(wǎng)絡(luò)設(shè)備等系統(tǒng)處理公司秘密信息��,必須使用密碼對(duì)用戶的身份進(jìn)行驗(yàn)證和確認(rèn)��。對(duì)于重要網(wǎng)絡(luò)系統(tǒng)�,各部門要有一個(gè)負(fù)責(zé)人,負(fù)責(zé)日常的密碼管理工作�。
(2).負(fù)責(zé)人負(fù)責(zé)給新增加的員工分配初始密碼��;指導(dǎo)員工正確使用密碼�;檢查員工使用密碼情況;幫助員工開啟被鎖定的密碼��,對(duì)非法操作及時(shí)查明原因�;解決密碼使用過程中出現(xiàn)的問題;協(xié)助員工保護(hù)公司秘密不受侵害;定期向主管領(lǐng)導(dǎo)匯報(bào)密碼使用情況和需要解決的問題�����。
(3).定期更換密碼���。密碼的最長(zhǎng)使用時(shí)間不能超過三個(gè)月���,在涉密較多、人員復(fù)雜�����、保密條件較差的地方應(yīng)盡可能縮短密碼的使用時(shí)間���。當(dāng)密碼使用期滿時(shí)����,應(yīng)更換新的密碼�。
(4)負(fù)責(zé)人必須有能力更改密碼。當(dāng)密碼使用期滿���、被其他人知悉或認(rèn)為密碼不安全或失效時(shí)�����,最終員工可使用公司郵箱給系統(tǒng)管理員提交密碼重置申請(qǐng)�,非公司郵箱提交的申請(qǐng)不予進(jìn)行處理。
(5).系統(tǒng)管理員重置密碼后�����,最終員工首次登陸必須要進(jìn)行修改密碼����,不得使用前三次使用過的密碼。
(6).對(duì)密碼數(shù)據(jù)庫的訪問和存取必須加以控制����,以防止密碼被非法修改或泄露。
(7).當(dāng)系統(tǒng)提供的訪問和存取控制機(jī)制不夠完善時(shí)或機(jī)制雖然完善����,但可能出現(xiàn)系統(tǒng)轉(zhuǎn)儲(chǔ)等情況時(shí),應(yīng)對(duì)存儲(chǔ)的密碼加密����。
密碼的等級(jí)應(yīng)當(dāng)符合以下要求:
1).初始密碼應(yīng)當(dāng)由系統(tǒng)管理員集中產(chǎn)生供用戶使用����,并有密碼更換記錄��,不得由員工產(chǎn)生��;
2).密碼的復(fù)雜性要求密碼長(zhǎng)度不得小于8個(gè)字符�,要包含大寫��、小寫�、特殊字符、阿拉伯?dāng)?shù)字中的任意三種��,密碼更換周期不得長(zhǎng)于三個(gè)月�����;
3).密碼必須加密存儲(chǔ)����,并且保證密碼存放載體的物理安全;
員工應(yīng)記住自己的密碼����,不應(yīng)把它記載在不保密的媒介物上,嚴(yán)禁張貼密碼���。
惡意軟件管理
4).公司所有聯(lián)網(wǎng)計(jì)算機(jī)必須安裝防病毒軟件��,安裝后不得自行關(guān)閉和卸載�����,對(duì)擅自卸載或不按規(guī)定使用防病毒軟件的人員���,如造成損失�����,應(yīng)承擔(dān)相應(yīng)的責(zé)任�;
5).由于特殊原因不能安裝防病毒客戶端軟件的電腦����,須記錄相關(guān)原因。
技術(shù)部負(fù)責(zé)對(duì)所有客戶端的殺毒軟件進(jìn)行管理和監(jiān)控���,全體人員必須服從和配合����。在正常運(yùn)行過程中��,不得隨意關(guān)閉或退出�。若因特殊情況需臨時(shí)暫停客戶端運(yùn)行者�,應(yīng)經(jīng)技術(shù)部同意方可執(zhí)行;
6).如發(fā)現(xiàn)病毒���,相關(guān)使用人應(yīng)立即上報(bào)��,及時(shí)聯(lián)系技術(shù)部人員對(duì)感染機(jī)器進(jìn)行有效的隔離�,清除病毒的后檢查其最近使用過的軟盤�、光盤和移動(dòng)存儲(chǔ)設(shè)備,以免漏殺����,未清除病毒的計(jì)算機(jī)不得入網(wǎng);
7).對(duì)因病毒引起的計(jì)算機(jī)信息系統(tǒng)癱瘓�����,程序和數(shù)據(jù)嚴(yán)重破壞等重大事故應(yīng)及時(shí)采取隔離措施����,并及時(shí)公司技術(shù)部報(bào)告;
8).不得向他人提供含有計(jì)算機(jī)病毒的文件��、軟件、媒體��。禁止在計(jì)算機(jī)上裝載與工作無關(guān)的軟件��,特別是游戲軟件�、盜版軟件等;
9).禁止從Internet網(wǎng)絡(luò)隨意上下載程序���、數(shù)據(jù)����,以及外來程序和文檔�。如確實(shí)需要,應(yīng)當(dāng)先進(jìn)行病毒檢測(cè)后使用���。在網(wǎng)上發(fā)布的文件文檔�����,發(fā)件人應(yīng)主動(dòng)用查病毒軟件檢查并確認(rèn)安全后方可發(fā)出����,收件人發(fā)現(xiàn)病毒,應(yīng)立即殺毒�����,并通知發(fā)件人�;
10).不得打開可疑的或陌生人發(fā)送來的郵件及附件��,必要時(shí)直接刪除���;對(duì)認(rèn)定為清除不了含有病毒的文件�,技術(shù)部有權(quán)直接刪除�����,以防病毒擴(kuò)散���、蔓延�����。
外來的軟盤�����、光盤和移動(dòng)存儲(chǔ)設(shè)備等應(yīng)先進(jìn)行殺毒檢查后使用�。當(dāng)在光盤、U盤��、移動(dòng)存設(shè)備上發(fā)現(xiàn)病毒后應(yīng)立即報(bào)告技術(shù)部����,并及時(shí)加以標(biāo)識(shí),不得在其他計(jì)算機(jī)上再使用��,避免病毒的傳播����;
11).除打印機(jī)可以共享外,服務(wù)器與工作站的硬盤盡量不設(shè)置為共享�,文件目錄一般不進(jìn)行網(wǎng)絡(luò)共享。特殊情況需進(jìn)行目錄共享的必須設(shè)定密碼����,一旦使用完畢后必須立即關(guān)閉共享,或加強(qiáng)對(duì)該機(jī)器的病毒檢查�;
12).對(duì)購置、維修�、借入的計(jì)算機(jī)及其他網(wǎng)絡(luò)存儲(chǔ)設(shè)備,應(yīng)當(dāng)及時(shí)進(jìn)行病毒檢測(cè)��;
13).對(duì)于關(guān)鍵部門的關(guān)鍵數(shù)據(jù)要經(jīng)常進(jìn)行備份,且異地存放�,以備數(shù)據(jù)破壞后恢復(fù)。
