1. 總則
(1)為了保證公司信息網(wǎng)絡(luò)系統(tǒng)的安全,根據(jù)有關(guān)計算機(jī)、網(wǎng)絡(luò)和信息安全的相關(guān)法律、法規(guī)和安全規(guī)定,結(jié)合公司信息網(wǎng)絡(luò)系統(tǒng)建設(shè)的實(shí)際情況,特制定本規(guī)定。
(2)本規(guī)定所指的信息網(wǎng)絡(luò)系統(tǒng),是指由計算機(jī)(包括相關(guān)和配套設(shè)備)為終端設(shè)備,利用計算機(jī)、通信、網(wǎng)絡(luò)等技術(shù)進(jìn)行信息采集、處理、存儲和傳輸?shù)脑O(shè)備、技術(shù)、管理的組合。
(3)本規(guī)定適用于公司接入到公司網(wǎng)絡(luò)系統(tǒng)的單機(jī)和局域網(wǎng)系統(tǒng)。
信息網(wǎng)絡(luò)系統(tǒng)安全的含義是通過各種計算機(jī)、網(wǎng)絡(luò)、密碼技術(shù)和信息安全技術(shù),在實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)安全的基礎(chǔ)上,保護(hù)信息在傳輸、交換和存儲過程中的機(jī)密性、完整性和真實(shí)性。
2. 物理安全
(1)物理安全是指保護(hù)計算機(jī)網(wǎng)絡(luò)設(shè)施以及其他媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故與人為操作失誤或錯誤,以及計算機(jī)犯罪行為而導(dǎo)致的破壞。
網(wǎng)絡(luò)設(shè)備、設(shè)施應(yīng)配備相應(yīng)的安全保障措施,包括防盜、防毀、防電磁干擾等,并定期或不定期地進(jìn)行檢查。
(2)對重要網(wǎng)絡(luò)設(shè)備配備專用電源或電源保護(hù)設(shè)備,保證其正常運(yùn)行。
3. 計算機(jī)的物理安全管理
(1)計算機(jī)指所有連接到公司信息網(wǎng)絡(luò)系統(tǒng)的個人計算機(jī)、工作站、服務(wù)器、網(wǎng)絡(luò)打印機(jī)及各種終端設(shè)備;
(2)使用人員應(yīng)愛護(hù)計算機(jī)及與之相關(guān)的網(wǎng)絡(luò)連接設(shè)備(包括網(wǎng)卡、網(wǎng)線、集線器、路由器等),按規(guī)定操作,不得對其實(shí)施人為損壞;
(3)計算機(jī)使用人員不得擅自更改網(wǎng)絡(luò)設(shè)置,杜絕一切影響網(wǎng)絡(luò)正常運(yùn)行的行為發(fā)生;
(4)網(wǎng)絡(luò)中的終端計算機(jī)在使用完畢后應(yīng)及時關(guān)閉計算機(jī)和電源;
(5)客戶機(jī)使用人員不得利用計算機(jī)進(jìn)行違法活動。
4. 緊急情況
(1).火災(zāi)發(fā)生:切斷電源,迅速報警,根據(jù)火情,選擇正確的滅火方式滅火;
(2)水災(zāi)發(fā)生:切斷電源,迅速報告有關(guān)部門,盡可能地弄清水災(zāi)原因,采取關(guān)閉閥門、排水、堵漏、防洪等措施;
(3)地震發(fā)生:切斷電源,避免引發(fā)短路和火災(zāi);
5. 網(wǎng)絡(luò)系統(tǒng)安全管理
(1)網(wǎng)絡(luò)系統(tǒng)安全的內(nèi)涵包括四個方面:
1)機(jī)密性:確保信息不暴露給未授權(quán)的實(shí)體或進(jìn)程;
2)完整性:未經(jīng)授權(quán)的人不能修改數(shù)據(jù),只有得到允許的人才能修改數(shù)據(jù),并且能夠分辨出被篡改的數(shù)據(jù)。
3)可用性:得到授權(quán)的實(shí)體在合法的范圍內(nèi)可以隨時隨地訪問數(shù)據(jù),網(wǎng)絡(luò)的攻擊者不能阻礙網(wǎng)絡(luò)資源的合法使用。
4)可控性:可以控制授權(quán)范圍內(nèi)的信息流向和行為方式??蓪彶樾裕阂坏┏霈F(xiàn)安全問題,網(wǎng)絡(luò)系統(tǒng)可以提供調(diào)查的依據(jù)和手段。接入Internet公共信息網(wǎng)的重要信息網(wǎng)絡(luò)系統(tǒng)須安裝防火墻或其他安全設(shè)備。入網(wǎng)的安全設(shè)備必須具有國家保密局、公安部、中國國家信息安全測評認(rèn)證中心的技術(shù)鑒定、銷售許可和產(chǎn)品評測等資質(zhì),并符合國家的相關(guān)規(guī)定。
6. 網(wǎng)絡(luò)安全檢測。
(1)為使網(wǎng)絡(luò)長期保持較高的安全水平,網(wǎng)絡(luò)管理員應(yīng)當(dāng)用網(wǎng)絡(luò)安全檢測工具對網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全性分析,及時發(fā)現(xiàn)并修正存在的安全漏洞。網(wǎng)絡(luò)管理員在系統(tǒng)檢測完成后,應(yīng)編寫檢測報告,需詳細(xì)記敘檢測的對象、手段、結(jié)果、建議和實(shí)施的補(bǔ)救措施與安全策略。檢測報告存入系統(tǒng)檔案。
網(wǎng)絡(luò)反病毒。病毒的危害性巨大,對系統(tǒng)和信息的破壞程度具有不可測性,計算機(jī)用戶和系統(tǒng)管理員應(yīng)針對具體情況采取預(yù)防病毒技術(shù)、檢測病毒技術(shù)和殺毒技術(shù)。
7. 信息系統(tǒng)安全管理
(1)信息安全是指通過各種計算機(jī)、網(wǎng)絡(luò)和密碼技術(shù),保護(hù)信息在傳輸、交換和存儲過程中的機(jī)密性、完整性和真實(shí)性。具體包括以下幾個方面。
1)信息處理和傳輸系統(tǒng)的安全
系統(tǒng)管理員應(yīng)對處理信息的系統(tǒng)進(jìn)行詳細(xì)的安全檢查和定期維護(hù),避免因?yàn)橄到y(tǒng)崩潰和損壞而對系統(tǒng)內(nèi)存儲、處理和傳輸?shù)男畔⒃斐善茐暮蛽p失。
2)信息內(nèi)容的安全
側(cè)重于保護(hù)信息的機(jī)密性、完整性和真實(shí)性。系統(tǒng)管理員應(yīng)對所負(fù)責(zé)系統(tǒng)的安全性進(jìn)行評測,采取技術(shù)措施對所發(fā)現(xiàn)的漏洞進(jìn)行補(bǔ)救,防止竊取、冒充信息等。
3)信息傳播安全
要加強(qiáng)對信息的審查,防止和控制非法、有害的信息通過我司的信息網(wǎng)絡(luò)系統(tǒng)傳播,避免對國家利益、公共利益以及個人利益造成損害。
涉及商業(yè)機(jī)密文件必須采用RMS權(quán)限管理服務(wù)進(jìn)行文件保護(hù),以免外泄。
8. 信息系統(tǒng)的內(nèi)部管理
(1)各部門向網(wǎng)絡(luò)系統(tǒng)提交信息前要作好查毒、殺毒工作,確保信息文件無毒上載;
(2)根據(jù)情況,采取網(wǎng)絡(luò)病毒監(jiān)測、查毒、殺毒等技術(shù)措施,提高網(wǎng)絡(luò)的整體抗病毒能力;部門負(fù)責(zé)的重要信息必須作好備份;
(3)網(wǎng)站和欄目信息的負(fù)責(zé)部門必須對所發(fā)布信息制定審查制度,對信息來源的合法性,發(fā)布范圍,信息欄目維護(hù)的負(fù)責(zé)人等做出明確的規(guī)定。信息發(fā)布后還要隨時檢查信息的完整性、合法性;如發(fā)現(xiàn)被刪改,應(yīng)及時報告綜合部;
(4)涉及商業(yè)秘密的信息的存儲、傳輸?shù)葢?yīng)指定專人負(fù)責(zé),并嚴(yán)格按照國家有關(guān)保密的法律、法規(guī)執(zhí)行;
(5)涉及商業(yè)機(jī)密的項(xiàng)目招標(biāo)、投標(biāo)標(biāo)注等信息,未經(jīng)所屬單位安全主管負(fù)責(zé)人的批準(zhǔn)不得在網(wǎng)絡(luò)上發(fā)布和明碼傳輸;
(6)個人計算機(jī)中的涉密文件不可設(shè)置為共享,個人電子郵件的收發(fā)要實(shí)行病毒查殺。
(7)信息加密
1).涉及商業(yè)秘密的信息,其電子文檔資料須加密存儲;
2).涉及公司和部門利益的敏感信息的電子文檔資料應(yīng)當(dāng)加密存儲;
3).涉及社會安定的敏感信息的電子文檔資料應(yīng)當(dāng)加密存儲;
4).涉及公司秘密、與部門利益和社會安定的秘密信息和敏感信息在傳輸過程中視情況及國家的有關(guān)規(guī)定采用文件加密傳輸或鏈路傳輸加密。
(8)公司內(nèi)任何組織和個人不得從事以下活動:
1).利用信息網(wǎng)絡(luò)系統(tǒng)制作、傳播、復(fù)制有害信息;
2).入侵他人計算機(jī);
3).未經(jīng)允許使用他人在信息網(wǎng)絡(luò)系統(tǒng)中未公開的信息;
4).未經(jīng)授權(quán)對信息網(wǎng)絡(luò)系統(tǒng)中存儲、處理或傳輸?shù)男畔ⅲòㄏ到y(tǒng)文件和應(yīng)用程序)進(jìn)行增加、修改、復(fù)制和刪除等;
5).未經(jīng)授權(quán)查閱他人郵件;
6).盜用他人名義發(fā)送電子郵件;
7).故意干擾網(wǎng)絡(luò)的暢通運(yùn)行;
8).從事其他危害信息網(wǎng)絡(luò)系統(tǒng)安全的活動。
9. 密碼管理
(1).具有密碼功能的計算機(jī)、網(wǎng)絡(luò)設(shè)備等系統(tǒng)處理公司秘密信息,必須使用密碼對用戶的身份進(jìn)行驗(yàn)證和確認(rèn)。對于重要網(wǎng)絡(luò)系統(tǒng),各部門要有一個負(fù)責(zé)人,負(fù)責(zé)日常的密碼管理工作。
(2).負(fù)責(zé)人負(fù)責(zé)給新增加的員工分配初始密碼;指導(dǎo)員工正確使用密碼;檢查員工使用密碼情況;幫助員工開啟被鎖定的密碼,對非法操作及時查明原因;解決密碼使用過程中出現(xiàn)的問題;協(xié)助員工保護(hù)公司秘密不受侵害;定期向主管領(lǐng)導(dǎo)匯報密碼使用情況和需要解決的問題。
(3).定期更換密碼。密碼的最長使用時間不能超過三個月,在涉密較多、人員復(fù)雜、保密條件較差的地方應(yīng)盡可能縮短密碼的使用時間。當(dāng)密碼使用期滿時,應(yīng)更換新的密碼。
(4)負(fù)責(zé)人必須有能力更改密碼。當(dāng)密碼使用期滿、被其他人知悉或認(rèn)為密碼不安全或失效時,最終員工可使用公司郵箱給系統(tǒng)管理員提交密碼重置申請,非公司郵箱提交的申請不予進(jìn)行處理。
(5).系統(tǒng)管理員重置密碼后,最終員工首次登陸必須要進(jìn)行修改密碼,不得使用前三次使用過的密碼。
(6).對密碼數(shù)據(jù)庫的訪問和存取必須加以控制,以防止密碼被非法修改或泄露。
(7).當(dāng)系統(tǒng)提供的訪問和存取控制機(jī)制不夠完善時或機(jī)制雖然完善,但可能出現(xiàn)系統(tǒng)轉(zhuǎn)儲等情況時,應(yīng)對存儲的密碼加密。
密碼的等級應(yīng)當(dāng)符合以下要求:
1).初始密碼應(yīng)當(dāng)由系統(tǒng)管理員集中產(chǎn)生供用戶使用,并有密碼更換記錄,不得由員工產(chǎn)生;
2).密碼的復(fù)雜性要求密碼長度不得小于8個字符,要包含大寫、小寫、特殊字符、阿拉伯?dāng)?shù)字中的任意三種,密碼更換周期不得長于三個月;
3).密碼必須加密存儲,并且保證密碼存放載體的物理安全;
員工應(yīng)記住自己的密碼,不應(yīng)把它記載在不保密的媒介物上,嚴(yán)禁張貼密碼。
惡意軟件管理
4).公司所有聯(lián)網(wǎng)計算機(jī)必須安裝防病毒軟件,安裝后不得自行關(guān)閉和卸載,對擅自卸載或不按規(guī)定使用防病毒軟件的人員,如造成損失,應(yīng)承擔(dān)相應(yīng)的責(zé)任;
5).由于特殊原因不能安裝防病毒客戶端軟件的電腦,須記錄相關(guān)原因。
技術(shù)部負(fù)責(zé)對所有客戶端的殺毒軟件進(jìn)行管理和監(jiān)控,全體人員必須服從和配合。在正常運(yùn)行過程中,不得隨意關(guān)閉或退出。若因特殊情況需臨時暫??蛻舳诉\(yùn)行者,應(yīng)經(jīng)技術(shù)部同意方可執(zhí)行;
6).如發(fā)現(xiàn)病毒,相關(guān)使用人應(yīng)立即上報,及時聯(lián)系技術(shù)部人員對感染機(jī)器進(jìn)行有效的隔離,清除病毒的后檢查其最近使用過的軟盤、光盤和移動存儲設(shè)備,以免漏殺,未清除病毒的計算機(jī)不得入網(wǎng);
7).對因病毒引起的計算機(jī)信息系統(tǒng)癱瘓,程序和數(shù)據(jù)嚴(yán)重破壞等重大事故應(yīng)及時采取隔離措施,并及時公司技術(shù)部報告;
8).不得向他人提供含有計算機(jī)病毒的文件、軟件、媒體。禁止在計算機(jī)上裝載與工作無關(guān)的軟件,特別是游戲軟件、盜版軟件等;
9).禁止從Internet網(wǎng)絡(luò)隨意上下載程序、數(shù)據(jù),以及外來程序和文檔。如確實(shí)需要,應(yīng)當(dāng)先進(jìn)行病毒檢測后使用。在網(wǎng)上發(fā)布的文件文檔,發(fā)件人應(yīng)主動用查病毒軟件檢查并確認(rèn)安全后方可發(fā)出,收件人發(fā)現(xiàn)病毒,應(yīng)立即殺毒,并通知發(fā)件人;
10).不得打開可疑的或陌生人發(fā)送來的郵件及附件,必要時直接刪除;對認(rèn)定為清除不了含有病毒的文件,技術(shù)部有權(quán)直接刪除,以防病毒擴(kuò)散、蔓延。
外來的軟盤、光盤和移動存儲設(shè)備等應(yīng)先進(jìn)行殺毒檢查后使用。當(dāng)在光盤、U盤、移動存設(shè)備上發(fā)現(xiàn)病毒后應(yīng)立即報告技術(shù)部,并及時加以標(biāo)識,不得在其他計算機(jī)上再使用,避免病毒的傳播;
11).除打印機(jī)可以共享外,服務(wù)器與工作站的硬盤盡量不設(shè)置為共享,文件目錄一般不進(jìn)行網(wǎng)絡(luò)共享。特殊情況需進(jìn)行目錄共享的必須設(shè)定密碼,一旦使用完畢后必須立即關(guān)閉共享,或加強(qiáng)對該機(jī)器的病毒檢查;
12).對購置、維修、借入的計算機(jī)及其他網(wǎng)絡(luò)存儲設(shè)備,應(yīng)當(dāng)及時進(jìn)行病毒檢測;
13).對于關(guān)鍵部門的關(guān)鍵數(shù)據(jù)要經(jīng)常進(jìn)行備份,且異地存放,以備數(shù)據(jù)破壞后恢復(fù)。