本方案針對浙江移動網(wǎng)管中心所涉及的所有小業(yè)務平臺的安全管理,方案涉及的內容包含機房安全管理,機房核心網(wǎng)絡的安全,小業(yè)務系統(tǒng)平臺的安全。
第一章 機房的安全管理
加強對通信機房的安全管理,杜絕人為因素對通信機房造成影響,為通信設備提供安全的運行環(huán)境,保證機房內設備處于最佳運行狀態(tài)。
1.1 機房環(huán)境管理
1.機房應建立防塵緩沖帶,備有工作服和工作鞋。
2.所有人員進機房操作時應穿工作鞋。
3.機房應防塵,窗戶必須全密封、遮光。環(huán)境要整潔、設施擺放整齊。
4.機房內的溫度、濕度應符合維護技術指標要求,保持正常通風。
5.機房應有良好防靜電措施。
6.機房照明設施工作正常,機房照明與設備用電分開。機房照明應有應急備用,各類照明設備要由專人負責,定期檢修.
7.機房應做好防水、防火、防爆、防盜、防雷、防凍、防潮等工作。
1.2 機房設備管理
1.機房內嚴禁從事與工作無關的各項工作,嚴禁飲食、睡覺、閑談。各種與工作無關的書刊、報紙不準帶入機房。
2.存放運輸各種計費帶、光盤、后備帶、軟盤等應有防磁屏蔽及保護設施。
3.機房維護終端不可安裝各種與設備維護無關的應用程序,不可使用外來磁盤進行數(shù)據(jù)拷貝。維護終端應該有明確的防病毒措施,定期進行檢查。
4.機房內各種圖紙、文件、工具、儀表未經允許不準擅自帶出機房,使用后歸還原處。
5. 因公司機房大部分為無人值守機房,所以必須安裝環(huán)境監(jiān)視告警裝置,告警裝置要與監(jiān)控中心相連,網(wǎng)絡維護中心應有專人負責動力環(huán)境監(jiān)控系統(tǒng)的管理工作,動力環(huán)境監(jiān)控系統(tǒng)的監(jiān)測應實行24小時值班,使發(fā)生火警、濕度、溫度、煙霧、門鈴、電源、空調等告警信號時及時處理。
6.網(wǎng)絡維護中心定期派人對機房及設施進行巡視檢查。在狂風雷雨等惡劣天氣前后應加強巡視檢查,以確保通信機房內外環(huán)境的良好與安全。
7.搶修車輛應定期檢查,如有損壞應及時維修,確保搶修需要。
1.3 機房安全管理
1.進入機房的業(yè)務廠家人員或是協(xié)維人員都必須通過浙江移動的安全知識考試。
1.業(yè)務廠家要進入機房,首先要由相應業(yè)務平臺負責人以郵件的發(fā)送至移動網(wǎng)管中心,由網(wǎng)管中心申請作業(yè)計劃之后,在協(xié)維人員陪同之下,方可進入機房或者通過網(wǎng)管中心機房管理人員派發(fā)紙質工單給廠家,在協(xié)維人員陪同下,方可進入機房進行作業(yè)。
2.協(xié)維人員若因故離職,協(xié)維公司必須將有關證件(協(xié)維資格證、機房出入證等)交還發(fā)證部門,并每月通報協(xié)維人員變動情況,所有協(xié)維人員應嚴格遵守浙江移動的各項規(guī)章制度,網(wǎng)絡維護中心各專業(yè)室應對所管理的協(xié)維人員進行安全生產方面的考核。
3.機房(包括網(wǎng)絡維護中心辦公場地)禁止吸煙,嚴禁存放和使用易燃易爆、劇毒及腐蝕性物品。
4.維護人員應切實遵守安全制度,認真執(zhí)行用電、防火的規(guī)定,做好防水、防火、防爆、防盜、防雷、防凍、防潮等工作,確保人身和設備的安全。
5.機房值班人員和維護人員應加強防火安全學習,定期進行安全防火檢查。一旦發(fā)生火情,應按公司制定的滅火流程進行處理,并立即報告。
6.機房必須配備一定數(shù)量的合適消防器材和防護用具。各種消防器材和防護用具應按規(guī)定定點放置,隨時保持有效,加強對消防設備代維公司的管理,機房走線孔洞必須用防火泥進行封堵、過期的滅火裝置及時更換。機房值班保安人員和維護人員應掌握滅火常識和消防器材的使用。
7.各類機房應有可靠避雷裝置, 雷雨季節(jié)應加強對機房內部安全設備、地線及防護電路的檢修和整改。
8.在維護、測試、磁帶更換、光盤更換、故障處理、日常操作以及工程施工等工作中, 應采取預防措施, 防止造成工傷和通信事故。
9.所有人員在離開機房時,都必須清理機房,完成之后方可離開機房。
第二章 機房核心網(wǎng)絡安全
2.1 機房網(wǎng)絡設備的管理
1.機房內核心網(wǎng)絡設備,接入IP網(wǎng)管
2.協(xié)維人員不得私自連接核心網(wǎng)絡設備,進行上傳或是下載。不得訪問敏感網(wǎng)站。
3.協(xié)維人員定期備份網(wǎng)絡配置,同時修改配置前都必須備份當前配置。
4.核心網(wǎng)絡設備的賬號管理:由協(xié)維團隊專人進行管理,所有的操作都必須有此人進行。
第三章 業(yè)務平臺的安全管理
小業(yè)務平臺的安全管理涉及協(xié)維團隊和業(yè)務廠家,協(xié)維團隊和業(yè)務廠家都掌握了業(yè)務平臺的部分賬號和權限。
3.1 協(xié)維團隊職責
針對小業(yè)務平臺的安全管理制度包含的機房設施安全,信息安全,操作安全等,為保障增值業(yè)務平臺連續(xù)、穩(wěn)定運行,除了做好平臺設備監(jiān)控、例行檢查、日常維護等工作外,還需要加強協(xié)維團隊的安全管理。
3.1.1 制度約束
第一條? 協(xié)維團隊成員需要和中國移動浙江公司及公司簽訂保密協(xié)議,保密協(xié)議中包含業(yè)務平臺的帳號信息、用戶隱私信息、企業(yè)敏感信息等。以下針對協(xié)維團隊成員的安全制度,所有成員務必遵守。
第二條? 任何員工不得制造或者故意輸入、傳播計算機病毒和其他有害數(shù)據(jù),不得利用非法手段復制、截收、篡改計算機信息系統(tǒng)中的數(shù)據(jù)。
第三條? 協(xié)維人員禁止利用掃描、監(jiān)聽、偽裝等工具對網(wǎng)絡和服務器進行惡意攻擊,禁止非法侵入他人網(wǎng)絡和服務器系統(tǒng)。
第四條? 增值業(yè)務平臺網(wǎng)絡設備、操作系統(tǒng)、以及數(shù)據(jù)庫超級用戶帳號由協(xié)維團隊專人進行統(tǒng)一管理、設置和分配并上報協(xié)維綜合管理員審核,針對各維護管理員設置相應的隨機編號與身份證信息來分配賬號。Root賬號須由專人進行管理。
第五條? 協(xié)維人員不得以任何理由修改和刪除系統(tǒng)和數(shù)據(jù)庫的各項日志,同時日志需要雙機備份。需要清理日志的時候,須提出申請并備份日志,待審計之后方可清理日志。
第六條? 小業(yè)務平臺的資料涉及用戶和企業(yè)隱私和敏感信息,應該為文件加密,非工作需要不得以任何形式轉移,更不得透露給他人。離開原工作崗位的員工由項目經理負責將其所有工作資料收回并保存。
第七條? 小業(yè)務廠家未做好備份前不得刪除任何硬盤數(shù)據(jù)。對重要的數(shù)據(jù)應準備雙份,存放在不同的地點;對采用磁性介質或光盤保存的數(shù)據(jù),要定期進行檢查,定期進行復制,防止由于磁性介質損壞,而使數(shù)據(jù)丟失;做好防磁、防火、防潮和防塵工作。
第八條? 協(xié)維團隊將有針對性地對員工各項應用技能進行定期或不定期的培訓,培訓成績將記入員工績效考核;由各維護管理員收集小業(yè)務平臺系統(tǒng)常見故障及排除方法并整理成冊,供員工學習參考。
第九條 有以下情況之一者,視情節(jié)嚴重程度處以1000元以上罰款。構成犯罪的,依法追究刑事責任。
①制造或者故意輸入、傳播計算機病毒以及其他有害數(shù)據(jù)的;
②非法復制、截收、篡改計算機信息系統(tǒng)中的數(shù)據(jù)危害計算機信息系統(tǒng)安全;
③對網(wǎng)絡和服務器進行惡意攻擊,侵入他人網(wǎng)絡和服務器系統(tǒng);
④訪問未經授權的文件、系統(tǒng)或更改設備設置;通過計算機系統(tǒng)或是增值業(yè)務平臺獲取私利的。
⑤擅自調整機房內部設備的安排且未向安全管理員備案;
⑥利用職位之便,私自泄露平臺用戶隱私和企業(yè)敏感信息的;
⑦相同故障出現(xiàn)三次以上(包括三次)仍無法自行處理的;
第十條 ?維護管理員因主觀操作不當對設備造成破壞兩次以上或蓄意對設備造成破壞的,視情節(jié)嚴重,按所破壞設備市場價值的20%~80%賠償,并給予行政處罰。
3.1.2? 思想約束
針對協(xié)維團隊所有的成員,定期進行信息安全技術培訓和信息安全知識宣傳,就最新的信息安全技術普及到每個人;同時針對發(fā)生信息安全事故的案例進行分析和風險評估。培訓計劃:至少1月/次。
協(xié)維團隊每個月會對所有成員進行考核,考核內容中包含信息安全把控度,將此作為考核中最重要的考核標準,并納入個人的勞動報酬體系當中。
一旦發(fā)生安全事故將
3.1.3 操作約束
協(xié)維人員由于掌握著部分業(yè)務平臺的帳號密碼,擁有系統(tǒng)和數(shù)據(jù)庫的操作權限。以下針對業(yè)務平臺的帳號和操作權限進行約束說明:
小業(yè)務平臺涉及的所有賬戶和密碼信息有協(xié)維團隊專人進行管理,維護負責人員無創(chuàng)建用戶的權限,如果有人員變動或者需要申請創(chuàng)建用戶權限,由安全管理員進行創(chuàng)建并分配相應的權限。維護負責人只擁有部分維護權限,如果有特殊需要,須提出申請由安全管理員分配臨時的操作權限,并在操作完成之后,即刻收回操作權限。
小業(yè)務平臺類的帳號和密碼規(guī)則:帳號信息需要根據(jù)維護人員的公司以個人身份信息進行綁定分配;密碼的長度必須大于10位,同時須包含數(shù)字,字母和特殊字符等的組合密碼。建議所有的密碼進行二層加密進行保存,防止黑客攻擊之后獲取密碼。
維護帳號不得以任何形式提供給他人使用。
3.1.4 日志審計
針對小業(yè)務系統(tǒng)包含很多的日志,協(xié)維人員無日志操作權限(添加,修改,刪除等),登錄系統(tǒng)的帳號都將對應各自的登錄日志和操作日志。協(xié)維團隊日志審計員,定期系統(tǒng)產生的各項日志進行審計。并根據(jù)實際情況,對各個帳號的操作進行風險評估,風險比較大的操作,收回其操作權限。
根據(jù)審計結果,針對協(xié)維團隊所有維護員,進行調崗和信息安全評選。
如果在審計過程中,發(fā)現(xiàn)維護員利用職位之便,泄露和傳播用戶隱私的相關操作,將立即停職查看,根據(jù)行為影響給予相應的處罰。
3.1.5 權限管理
權限管理將被分離出來,作為獨立的一塊進行管理。以下是實例,為
Shfy5715用戶可以使用到的系統(tǒng)管理命令:
ls,ps,top,free,df,ifconfig,netstat,kill,tail,rm,vi,mv,date,mount,umount,iptables,tar,gzip,crontab,tcpdump,ping,traceroute,mtr,cat,cut,which,cp,ftp,telnet,ssh,who,w,last,hwclock,mkdir,touch,du,hwclock,pwd,scp,sftp,/etc/init.d/httpd start,/etc/init.d/httpd stop
shfy0000命令可以使用的系統(tǒng)管理命令
ls,ps,top,free,df,ifconfig,netstat,kill,tail,date,iptables,tar,gzip,crontab,tcpdump,ping,traceroute,mtr,cat,which,cp,ftp,telnet,ssh,who,w,last,hwclock,mkdir,touch,du,hwclock,pwd,scp,sftp,/etc/init.d/httpd start,/etc/init.d/httpd stop,rm
3.1.6 接入4A系統(tǒng)
增值業(yè)務平臺若配置symark系統(tǒng),協(xié)維人員登陸系統(tǒng)前都必須登陸浙江移動的symark系統(tǒng),對系統(tǒng)的登陸及操作都會在symark上留下日志,可以追查到個人。安全管理員對symark系統(tǒng)日志進行審計時,以安全管理員帳號登陸symark日志審計界面,對相關日志進行審計。
增值業(yè)務平臺未配置symark系統(tǒng),協(xié)維人員所作操作記錄將保留在設備操作日志中。安全管理員登陸網(wǎng)管系統(tǒng)對相關日志進行審計。
3.1.7? 檢舉制度
協(xié)維團隊所有維護人員,保障業(yè)務系統(tǒng)的正常運行的同時,兼對信息的系統(tǒng)的安全進行管理。同時接受業(yè)務廠家和各業(yè)務維護員的公開檢舉。如有此類情況發(fā)生,將嚴格按照國家相關法令對其進行處罰。
3.2 業(yè)務廠家職責
3.2.1 帳號安全
業(yè)務廠家由于是軟件提供商,持有應用層軟件普通用戶帳號和部分測試帳號,以及維護帳號,數(shù)據(jù)庫帳號。廠家必須維護帳號安全,不得以任何理由和方式進行泄露。此部分帳號擁有的權限按照實際情況進行授權。
3.2.2? 操作授權
業(yè)務廠家需要對系統(tǒng)進行高權限操作時,須提交申請至浙江移動網(wǎng)管中心,進行審批之后,由安全管理員進行相關授權。完成操作時,由安全管理員收回操作權限。并針對當前操作進行檢查。
業(yè)務廠家不得進行危害系統(tǒng)安全或與平臺業(yè)務無關的操作。日志審計員定期對業(yè)務系統(tǒng)進行審計,提取業(yè)務系統(tǒng)相關信息。
發(fā)布相關系統(tǒng)漏洞、補丁信息。