篇一:网络数据和信息安全管理规范
4.1 网络访问控制
应在内部网络与互联网边界,内部网络与外联单位边界之间应部署防火墙等 访问控制设备,对访问网络的行为进行控制,应确保接入网络的用户不会破坏网 络的安全性
4.1.1 网络服务安全策略
应采用扩展的 ACL 或者在防火墙使用端口级别的访问控制策略,对用户网络 服务进行精确的控制,防止不安全的网络连接影响内部网络的安全。
4.1.2 逻辑安全区域的划分与隔离
应在内网中划分不同的逻辑安全区域,采用 VLAN 或者使用防火墙等安全设 备的方式,将重要区域与其他区域进行隔离。
4.2 网络安全审计
开启主要网络设备和安全设备的日志,并部署专门的安全审计设备对其进行 收集和保护,对形成的记录能够分析、形成报表。
4.3 网络接入控制
应配置相应的网络接入控制策略,通过认证的外部设备可以接入内网;应在 内网中部署准入系统,对非法外联和非法内联的行为进行监控并及时进行有效的 阻断。
4.4 网络入侵防范
应在外联边界和互联网边界处部署 IDS 等入侵防范设备,能对常见攻击行为 进行监控;当设备检测到攻击行为时,应记录攻击的相关信息,在发生严重入侵 事件时应提供报警的功能(如通过邮件或短信的方式进行通知相关工作人员);
设备的规则库应及时进行更新。
4.5 网络恶意代码防范
应在外联单位和互联网边界处部署网络防毒墙,对网络层面的恶意代码进行 及时的发现和清除,病毒库应及时进行更新。
4.6 网络设备防护
主要网络设备应采用双因子认证的方式对登录设备的用户进行身份鉴别(如:
用户名+密码+动态令牌的方式),并启用登录失败的处理功能(如:用户三次登 录失败退出或锁定 5 分钟),在远程管理设备时,应采用加密的方式进行登录(采 用 SSH 或者 HTTPS 方式进行加密登录),应实现设备特权用户的权限分离(应在 设备用户列表中增加:审计员、安全管理员等角色)。
篇二:网络数据和信息安全管理规范
实用标准
XXXX 有限公司
WHB-08
网络数据和信息安全管理规范
版本号: 编制人:
审核人:
批准人:
A/0 XXX XXX XXX
20XX 年 X 月 X 日发布
文案大全
20XX 年 X 月 X 日实施
实用标准
1.0 目的 计算机网络为公司局域网提供网络基础平台服务和互联网接入服务。为保证公司计算
机信息及网络能够安全可靠的运行,充分发挥信息服务方面的重要作用,更好的为公司运 营提供服务,依据国家有关法律、法规的规定,结合公司实际情况制定本规定。
2.0 术语
本规范中的名词术语(比如“计算机信息安全”等)符合国家以及行业的相关规定。
2.1 计算机信息安全是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信 息被非法系统辨识,控制。即确保信息的完整性、保密性、可用性和可控性。包括操作系 统安全、数据库安全、病毒防护、访问权限控制、加密与鉴别等七个方面。
2.2 狭义上的计算机信息安全,是指防止有害信息在计算机网络上的传播和扩散,防止计 算机网络上处理、传输、存储的数据资料的失窃和毁坏,防止内部人员利用计算机网络制 作、传播有害信息和进行其他违法犯罪活动。
2.3 网络安全,是指保护计算机网络的正常运行,防止网络被入侵、攻击等,保证合法用 户对网络资源的正常访问和对网络服务的正常使用。
2.4 计算机及网络安全员,是指从事的保障计算机信息及网络安全工作的人员。
2.5 普通用户,是指除了计算机及网络安全员之外的所有在物理或者逻辑上能够访问到互 联网、企业计算机网及各应用系统的公司内部员工。
2.6 主机系统,指包含服务器、工作站、个人计算机在内的所有计算机系统。本规定所称 的重要主机系统指生产、办公用的 Web 服务器、Email 服务器、DNS 服务器、OA 服务器、 企业运营管理支撑系统服务器、文件服务器、各主机系统等。
2.7 网络服务,包含通过开放端口提供的网络服务,如 WWW、Email、FTP、Telnet、DNS 等。
2.8 有害信息,参见国家现在法律法规的定义。
2.9 重大计算机信息安全事件,是指公司对外网站(电子公告板等)上出现有害信息;有 害信息通过 Email 及其他途径大面积传播或已造成较大社会影响;计算机病毒的蔓延;重 要文件、数据、资料被删除、篡改、窃取;由安全问题引起的系统崩溃、网络部分或全部 瘫痪、网络服务部分或全部中断;系统被入侵;页面被非法替换或者修改;主机房及设备 被人为破坏;重要计算机设备被盗窃等事件。
3.0 组织架构及职责分工 3.1 公司设立计算机信息及网络安全领导小组,作为公司计算机信息安全工作的领导机
文案大全
实用标准
构,统一归口负责外部部门(政府和其他部门)有关计算机信息安全工作和特定事件的处 理。
3.3 计算机信息及网络安全领导小组负责领导、检查、督促、制定信息安全策略、规章制 度和措施,加强计算机信息安全工作的管理和指导,落实国家有关计算机信息安全的法律、 法规和上级有关规定,保障公司的计算机信息的安全。
3.4 计算机信息及网络安全工作实行“谁主管,谁负责”的原则,各部门负责人对本部门 计算机信息及网络安全负直接责任。
3.5 各部门必须配备由计算机技术人员担任本部门的计算机及网络安全员,并报公司计算 机信息及网络安全领导小组备案。各部门计算机及网络安全员负责本部门计算机信息及网 络安全的技术规划和安全措施的具体实施和落实。
3.6 相关岗位信息安全职责:
3.6.1 计算机及网络安全员:
1)负责本部门计算机信息及网络安全工作的具体实施,及时掌握和处理有关信息安 全问题。
2)定期或不定期检测本部门计算机信息及网络安全情况,发现安全漏洞和隐患及时 报告,并提出整改意见、建议和技术措施。
3)指导和监督、检查本部门员工在计算机信息安全防护、数据保护及账号、口令设 置使用的情况。
4)发现计算机信息安全问题,及时处理,保护现场,追查原因,并报部门计算机信 息安全领导小组。
5)定期分析计算机安全系统日志,并作相应处理。
6)验证本部门重要数据保护对象的安全控制方法和措施的有效性,对于不符合安全 控制要求的提出技术整改措施,对本部门的数据备份策略进行验证并实施。
7)负责所管理的计算机主机系统及网络设备的安全管理和安全设置工作。
8)负责所管理计算机主机系统和网络设备的用户账号及授权管理。
9)定期分析操作系统日志,定期或不定期检查系统进程,在发现异常的系统进程或者 系统进程数量的异常变化要及时进行处理。
10)负责指导并督促用户设置高安全性的账号口令和安全日志。
11)进行计算机信息安全事件的排除和修复,包括操作系统、应用系统、文件的恢复 以及安全漏洞的修补。
12)在正常的系统升级后,对系统重新进行安全设置,并对系统进行技术安全检查。
文案大全
实用标准
13)根据上级和本级计算机信息安全领导的要求,按照规定的流程进行系统升级或安 全补丁程序的安装。
14)管理本部门的计算机网络服务和相应端口,并进行登记备案和实施技术安全管理。
15)根据数据备份策略,完成所管理系统数据的备份、备份介质保管、数据恢复工作。
3.6.2 普通用户职责:
1)自觉遵守计算机信息及网络安全的法律、法规和规定。
2)负责所使用个人计算机设备及数据和业务系统账号的安全。
3)发现本部门计算机网存在的安全隐患及安全事件,及时报告部门计算机管理部门。
4)不得擅自安装、维护公司所有网络设备(包括路由器、交换机、集线器、光纤、 网线),不得私自接入网络。
3.7 各部门应保持计算机及网络安全员的相对稳定,并加强对计算机及网络安全员的教育 和技术培训。在计算机及网络安全员调动、离职或者其他原因离开原岗位时,应将其涉及 的用户账号和权限及时进行变更或注销。
4.0 系统安全规定 4.1 公司计算机机房由计算机管理部门负责管理,并建立出入登记和审批制度。携带计算 机设备及磁盘等存储介质进、出主机房,应经主管部门同意,并由机房管理人员进行核查 登记。
4.2 各部门计算机管理部门应指定专人负责本部门计算机设备的管理,做好计算机设备的 增添、维修、调拨等的审核与管理。计算机设备维修特别是需离场维修或承包给企业外部 人员维护、维修时,应核实该设备中是否存储有涉及企业秘密、不宜公开的内部资料和账 号、密码等,如有应采取拆卸硬盘、有效删除有关资料等有效措施,防止泄密。
4.3 使用、操作计算机设备时,应遵循以下安全要求:
1)保管好自己使用或所负责保管计算机设备的账号、口令,并不定期更换口令,不 得转借、转让账号。
2)不安装和使用来历不明、没有版权的软件,对于外来的软件、数据文件等,必须 先经病毒检测,确认无感染、携带病毒后方可使用。
3)不在个人使用的计算机上安装与工作无关的软件。
4)不擅自更改设备的 IP 地址及网络拓扑结构及软、硬件配置。
5)在存储有重要数据的计算机上,应设置开机密码、屏幕保护密码。
6)在个人计算机上安装防病毒软件,并开启实时病毒监测功能,及时升级病毒库和 软件。
文案大全
实用标准
7)非经计算机管理部门的有效许可,不得对网络进行安全(漏洞)扫描和对账号、 口令及数据包进行侦听;不得利用网络服务实施网络攻击、散布病毒和发布有害信息。在 网络设备及主机系统进行操作还应该遵循有关网络安全规定。
5.0 账号管理安全 5.1 账号的设置必须遵循“唯一性、必要性、最小授权”的原则。
唯一性原则是指每个账号对应一个用户,不允许多人共同拥有同一账号。
必要性原则是指账号的建立和分配应根据工作的必要性进行分配,不能根据个人需 要、职位进行分配,禁止与所管理主机系统无关的人员在系统上拥有用户账号,要根据工 作变动及时关闭不需要的系统账号。
最小授权原则是指对账号的权限应进行严格限制,其权限不能大于其工作、业务需要。
超出正常权限范围的,要经主管领导审批。
5.2 系统中所有的用户(包括超级权限用户和普通用户)必须登记备案,并定期审阅。
5.3 严禁用户将自己所拥有的用户账号转借他人使用。
5.4 员工发生工作变动,必须重新审核其账号的必要性和权限,及时取消非必要的账号和 调整账号权限;如员工离开本部门,须立即取消其账号。
5.5 在本部门每个应用系统、网络工程验收后,应立即删除系统中所有的测试账号和临时 账号,对需要保留的账号口令重新进行设置。
5.6 系统管理员必须定期对系统上的账号及使用情况进行审核,发现可疑用户账号时及时 核实并作相应的处理,对长期不用的用户账号进行锁定。
5.7 一般情况下不允许外部人员直接进入主机系统进行操作。在特殊情况下(如系统维修、 升级等)外部人员需要进入系统操作,必须由系统管理员进行登录,并对操作过程进行记 录备案。禁止将系统用户及口令直接交给外部人员。
6.0 口令安全管理 6.1 口令的选取、组成、长度、修改周期应符合安全规定。禁止使用名字、姓氏、电话号 码、生日等容易猜测的字符串作为口令,也不要使用单个单词作为口令,在口令组成上必 须包含大小写字母、数字、标点等不同的字符组合,口令长度要求在 8 位以上。
6.2 重要的主机系统,要求至少每个月修改口令,对于管理用的工作站和个人计算机,要 求至少每两个月修改口令。
6.3 重要的主机系统应逐步采用一次性口令及其它可靠的身份认证技术。
6.4 本地保存的用户口令应加密存放,防止用户口令泄密。
6.5 软件安全管理:
文案大全
实用标准
6.1 不安装和使用来历不明、没有版权的软件。
6.2 不得在重要的主机系统上安装测试版的软件。
6.3 开发、修改应用系统时,要充分考虑系统安全和数据安全,从数据的采集、传输、处 理、存贮,访问控制等方面进行论证,测试、验收时也必须进行相应的安全性能测试、验 收。
6.4 操作系统和应用软件应根据其本身存在的安全漏洞及时进行必须的安全设置、升级和 打安全补丁。
6.5 个人计算机上不得安装与工作无关的软件。在服务器系统上禁止安装与服务器所提供 服务和应用无关的其它软件。
6.6 系统设备和应用软件的登录提示应对可能的攻击尝试、非授权访问提出警告。
6.7 主机系统的服务器、工作站所使用的操作系统必须进行登记。登记记录上应该标明厂 家、操作系统版本、已安装的补丁程序号、安装和升级的时间等内容,并进行存档保存。
6.8 重要的主机系统在系统启用、重新安装或者升级时应建立系统镜像,在发生网络安全 问题时利用系统镜像对系统进行完整性检查。
7.0 服务器、网络设备、计算机安全系统(如防火墙、入侵检测系统等)等应具备日志功 能并必须启用。网络信息安全管理员要定期分析网络安全系统和操作系统日志,在发现系 统遭受攻击或者攻击尝试时采取安全措施进行保护,对网络攻击或者攻击尝试进行定位、 跟踪并发出警告,并向网络信息安全领导小组报告。系统日志必须保存三个月以上。
8.0 新建计算机网络、应用系统必须同时进行网络信息安全的设计。
9.0 互联网信息安全 9.1 公司对外网站、需定期做安全检查,并设置好相关的信息发布、管理权限,防止有害 信息传播。
9.2 各部门搭建的电子邮件系统,禁止开启匿名转发功能,并应按有关规定从技术、管理 上采取有效措施过滤垃圾电子邮件及有害信息。
10.0 数据安全 10.1 需要保护的重要数据至少包括:
1)重要文件、资料、图纸(电子版)。
2)财会系统数据库。
3)重要主机系统的系统数据。
4)其他重要数据。
10.2 各部门计算机管理部门应制定数据备份策略及重要数据灾难恢复计划,及时做好数
文案大全
据备份及恢复。
实用标准
10.3 对数据备份必须有明确的记录,在记录中标明备份内容、备份时间,备份操作人员
等信息。对于重要数据的备份必须异地存放,并做好相关的异地备份记录。
10.4 各部门必须每年至少进行一次数据备份策略的有效性的验证,对数据恢复过程进行
试验,确保在发生安全问题时能够从数据备份中进行恢复。
10.5 各部门计算机管理部门应对所管理系统上存储的数据进行登记备案,登记的内容主
要包括:需要保护的数据、存储的位置、存储的形式、安全控制的方法和措施、负责安全
管理和日常备份的人员、可以访问数据的用户、访问的方式以及权限。
10.6 涉及企业秘密及具有高保密性要求(如口令文件)的数据在传输、存贮时应加密。
10.7 禁止在没有采用安全保护机制的计算机上存储重要数据,在存储重要数据的计算机
至少应该有开机口令、登录口令、数据库口令、屏幕保护等防护措施。禁止在个人计算机
上存放重要数据。
10.8 不得以软盘或者笔记本电脑等形式将重要数据带出系统。如确实必需,须将数据用
安全可靠的加密手段加密存储,并将存储的软盘或笔记本电脑比照密级文件管理。
11.0 安全管理
11.1 各部门必须对本部门的计算机信息及网络安全进行经常性的检查、检测:
1)系统安全检查应每月检查、检测一次;
2)计算机病毒防治应每月至少全面检查一次;
3)数据备份应每月检查一次。
11.2 检查发现计算机信息及网络安全隐患,应组织安全隐患整治,不能马上整治的,应
采取有效措施预防网络信息安全事件和案件的发生。
11.3 发生计算机信息及网络安全事件,应马上组织人员妥善处理,防止扩散影响。触犯
刑律的,应保存证据,报告公安机关,并配合查处。
11.4 发生重大计算机信息及网络安全事件须在 24 小时内上报。
11.5 各部门应对用户及本部门员工进行网络信息安全宣传,宣传有关国家法律、法规和
网络信息安全知识,加强用户的法律意识和安全意识,不得从事任何危害网络信息安全的
行为。
12.0 顾客网络信息安全
12.1 维护人员不得将顾客系统的密码泄露给他人。
12.2 维护人员因工作原因进入顾客系统是,不得复制、删除、修改顾客信息。
12.3 进入顾客系统应使用专用计算机,该计算机应每周进行杀毒,以防将病毒传入顾客
文案大全
系统。
实用标准
12.4 维护人员的客户端应及时升级或更新,确保其与顾客系统的版本保持一致。
文案大全
篇三:网络数据和信息安全管理规范
信息与网络 安全标准与规范
Version 3
中软信息安全博士后科研工作站 马东平 博士
2001-10-23
X-Exploit Team
http://www.x-exploit.com.cn
Copyright 2001 X-Exploit Team
日程安排
ISO 15408(CC) BS7799
SSE-CMM
CVE
X-Exploit Team
http://www.x-exploit.com.cn
-2
Copyright 2001 X-Exploit Team
ISO15408(CC)
X-Exploit Team
http://www.x-exploit.com.cn
Copyright 2001 X-Exploit Team
ISO15408简介
ISO/IEC 15408-1999“信息技术/安全技术/信息技术安全 性评估准则”(简称CC) 国际标准化组织在现有多种评估准则的基础上,统一形 成的 在美国和欧洲等国分别自行推出并实践测评准则及标准 的基础上,通过相互间的总结和互补发展起来的。
X-Exploit Team
http://www.x-exploit.com.cn
-4
Copyright 2001 X-Exploit Team
发展历程
1985年,美国国防部公布《可信计算机系统评估准则》(TCSEC) 即桔皮书;
1989年,加拿大公布《可信计算机产品评估准则》(CTCPEC);
1991年,欧洲公布《信息技术安全评估准则》(ITSEC);
1993年,美国公布《美国信息技术安全联邦准则》(FC);
1996年,六国七方(英国、加拿大、法国、德国、荷兰、美国国家 安全局和美国标准技术研究所)公布《信息技术安全性通用评估准 则》(CC 1.0版);
1998年,六国七方公布《信息技术安全性通用评估准则》(CC 2.0 版);
1999年12月,ISO接受CC 2.0版为ISO 15408标准,并正式颁布发 行。
X-Exploit Team
http://www.x-exploit.com.cn
-5
Copyright 2001 X-Exploit Team
CC vs TCSEC
CC源于TCSEC,但已经完全改进了TCSEC。
TCSEC主要是针对操作系统的评估,提出的是安全功能 要求,目前仍然可以用于对操作系统的评估。
随着信息技术的发展,CC全面地考虑了与信息技术安全 性有关的所有因素,以“安全功能要求”和“安全保证 要求”的形式提出了这些因素,这些要求也可以用来构 建TCSEC的各级要求。
X-Exploit Team
http://www.x-exploit.com.cn
-6
Copyright 2001 X-Exploit Team
类—子类—组件
CC定义了作为评估信息技术产品和系统安全性的基础准 则,提出了目前国际上公认的表述信息技术安全性的结 构,即:
安全要求=规范产品和系统安全行为的功能要求+解决 如何正确有效的实施这些功能的保证要求。
功能和保证要求又以“类——子类——组件”的结构表 述,组件作为安全要求的最小构件块,可以用于“保护 轮廓”、“安全目标”和“包”的构建,例如由保证组 件构成典型的包——“评估保证级”。
功能组件还是连接CC与传统安全机制和服务的桥梁,以 及解决CC同已有准则如TCSEC、ITSEC的协调关系, 如功能组件构成TCSEC的各级要求。
X-Exploit Team
http://www.x-exploit.com.cn
-7
Copyright 2001 X-Exploit Team
CC的先进性
结构的开放性 即功能和保证要求都可以在具体的“保护轮廓”和“安全目标” 中进一步细化和扩展,如可以增加“备份和恢复”方面的功能要 求或一些环境安全要求。这种开放式的结构更适应信息技术和信 息安全技术的发展。
表达方式的通用性 即给出通用的表达方式。如果用户、开发者、评估者、认可者等 目标读者都使用CC的语言,互相之间就更容易理解沟通。例如, 用户使用CC的语言表述自己的安全需求,开发者就可以更具针对 性地描述产品和系统的安全性,评估者也更容易有效地进行客观 评估,并确保对用户更容易理解评估结果。这种特点对规范实用 方案的编写和安全性测试评估都具有重要意义。在经济全球化发 展、全球信息化发展的趋势下,这种特点也是进行合格评定和评 估结果国际互认的需要。
X-Exploit Team
http://www.x-exploit.com.cn
-8
Copyright 2001 X-Exploit Team
CC的先进性…
结构和表达方式的内在完备性和实用性 体现在“保护轮廓”和“安全目标”的编制上。
“保护轮廓”主要用于表达一类产品或系统的用户需求,在标准化体系中可以作为安全技术 类标准对待。
内容主要包括:
对该类产品或系统的界定性描述,即确定需要保护的对象;
确定安全环境,即指明安全问题——需要保护的资产、已知的威胁、用户的组织安全 策略;
产品或系统的安全目的,即对安全问题的相应对策——技术性和非技术性措施;
信息技术安全要求,包括功能要求、保证要求和环境安全要求,这些要求通过满足安 全目的,进一步提出具体在技术上如何解决安全问题;
基本原理,指明安全要求对安全目的、安全目的对安全环境是充分且必要的;
附加的补充说明信息。
“保护轮廓”编制,一方面解决了技术与真实客观需求之间的内在完备性;
另一方面用户通过分析所需要的产品和系统面临的安全问题,明确所需的安全策略, 进而确定应采取的安全措施,包括技术和管理上的措施,这样就有助于提高安全保护 的针对性、有效性。
“安全目标”在“保护轮廓”的基础上,通过将安全要求进一步针对性具体化,解决 了要求的具体实现。常见的实用方案就可以当成“安全目标”对待。
通过“保护轮廓”和“安全目标”这两种结构,就便于将CC的安全性要求具体应用到 IT产品的开发、生产、测试、评估和信息系统的集成、运行、评估、管理中。
X-Exploit Team
http://www.x-exploit.com.cn
-9
Copyright 2001 X-Exploit Team
CC的内容
第1部分“简介和一般模型”
正文介绍了CC中的有关术语、基本概念和一般模型以及与评估 有关的一些框架, 附录部分主要介绍“保护轮廓”和“安全目标”的基本内容;
按“类——子类——组件”的方式提出安全功能要求,每一个类 除正文以外,还有对应的提示性附录作进一步解释;
定义了评估保证级别,介绍了“保护轮廓”和“安全目标”的评
第2部分“安全功能要求”
第3部分“安全保证要求”
估,并按“类——子类——组件”的方式提出安全保证要求。
X-Exploit Team
http://www.x-exploit.com.cn - 10
Copyright 2001 X-Exploit Team
CC内容之间的关系
CC的三个部分相互依存,缺一不可。
第1部分是介绍CC的基本概念和基本原理;
第2部分提出了技术要求;
第3部分提出了非技术要求和对开发过程、工程过程的要求。
具体体现在“保护轮廓”和“安全目标” 中,“保护轮廓”和 “安全目标”的概念和原理由第1部分介绍,“保护轮廓”和“ 安全目标”中的安全功能要求和安全保证要求在第2、3部分选 取,这些安全要求的完备性和一致性,由第2、3两部分来保证 。
三个部分有机地结合成一个整体。
X-Exploit Team
http://www.x-exploit.com.cn - 11
Copyright 2001 X-Exploit Team
CC的国际化
CC 作为评估信息技术产品和系统安全性的世界性通用 准则,是信息技术安全性评估结果国际互认的基础。
早在1995年,CC项目组成立了CC国际互认工作组,此 工作组于1997年制订了过渡性CC互认协定,并在同年 10月美国的NSA和NIST、加拿大的CSE和英国的CESG 签署了该协定。
1998年5月德国的GISA、法国的SCSSI也签署了此互认 协定。
1999年10月澳大利亚和新西兰的DSD加入了CC互认协 定。
在2000年,又有荷兰、西班牙、意大利、挪威、芬兰、 瑞典、希腊、瑞士等国加入了此互认协定,日本、韩国 、以色列等也正在积极准备加入此协定。
X-Exploit Team
http://www.x-exploit.com.cn - 12
Copyright 2001 X-Exploit Team
BS7799
X-Exploit Team
http://www.x-exploit.com.cn
Copyright 2001 X-Exploit Team
历史沿革
1990年,世界经济合作开发组织(OECD)下辖的信息、计算机与通信政策组 织开始起草 “信息系统安全指导方针”。
1992年,OECD于11月26日正式通过“信息系统安全指导方针”。1993年, 英国工业与贸易部(DTI)颁布“信息安全管理事务准则”。
1995年,英国制定国家标准BS 7799第一部分:“信息安全管理事务准则” ,并提交国际标准组织(ISO),成为ISO DIS 14980。
1996年,BS 7799第一部分提交ISO审议的结果,于1996年2月24日结束6个 月的审议后,参与投票的成员国未超过三分之二。
1997年,OECD于3月27日公布密码模块指导原则;同年,英国正式开始推动 信息安全管理认证先导计划。
1998年,英国公布BS 7799第二部分“信息安全管理规范”并成为信息安全 管理认证的依据;同年,欧盟于1995年10月公布之“个人资料保护指令, 自1998年10月25日起正式生效,要求以适当标准保护个人资料”。
1999年,修订后的BS 7799:1999版再度提交ISO审议。
2000年,国际标准组织 ISO/IEC JTC SC 27在日本东京 10月21 日通过BS 7799-1,成为 ISO DIS 17799-1,2000年12月1日正式发布。
X-Exploit Team
http://www.x-exploit.com.cn - 14
Copyright 2001 X-Exploit Team
BS7799国际化
现已有30多家机构通过了信息安全管理体系认证,范围 包括:政府机构、银行、保险公司、电信企业、网络公 司及许多跨国公司。
目前除英国之外,国际上已有荷兰、丹麦、挪威、瑞典 、芬兰、澳大利亚、新西兰、南非、巴西已同意使用BS 7799;
日本、瑞士、卢森堡表示对BS 7799感兴趣;
我国的台湾、香港地区也在推广该标准。
值得一提的是:该标准也是目前英国最畅销的标准。
X-Exploit Team
http://www.x-exploit.com.cn - 15
Copyright 2001 X-Exploit Team
BS7799内容:总则
要求各组织建立并运行一套经过验证的信息安全管理体系,用于解 决如下问题:资产的保管、组织的风险管理、管理标的和管理办法 、要求达到的安全程度。
建立管理框架
确立并验证管理目标和管理办法时需采取如下步骤:
定义信息安全策略 定义信息安全管理体系的范围,包括定义该组织的特征、地点、资产和技术等方 面的特征 进行合理的风险评估,包括找出资产面临的威胁、弱点、对组织的冲击、风险的 强弱程度等等 根据组织的信息安全策略及所要求的安全程度,决定应加以管理的风险领域 选出合理的管理标的和管理办法,并加以实施;选择方案时应做到有法可依 准备可行性声明是指在声明中应对所选择的管理标的和管理办法加以验证,同时 对选择的理由进行验证,并对第四章中排除的管理办法进行记录 对上述步骤的合理性应按规定期限定期审核。
X-Exploit Team
http://www.x-exploit.com.cn - 16
Copyright 2001 X-Exploit Team
控制点管理
安全策略 安全组织
资产分类与管理
个人安全守则 设备及使用环境安全管理
沟通及操作过程管理
存取控制 信息系统开发及维护
可持续运营管理符合性
X-Exploit Team
http://www.x-exploit.com.cn - 17
Copyright 2001 X-Exploit Team
安全策略
信息安全策略
为信息安全提供管理指导和支持 信息安全策略文件 审核与评估。
控制点包括
X-Exploit Team
http://www.x-exploit.com.cn - 18
Copyright 2001 X-Exploit Team
安全组织
控制点
信息安全基础架构;信息安全管理委员会;部门间协调;权责分 配;信息处理设备的授权流程;专业信息安全顾问;组织间合作 ;信息安全审核的独立性。
外来组织存取组织内部信息及信息处理设施时的安全管理。
外部存取的安全管理
控制点包括:第三方存取的风险鉴别;与第三方存取组织签约时 的安全要求。
委外加工处理时相关信息的安全管理。
控制点:委外加工处理合同内的安全需求。
委外资源管理
X-Exploit Team
http://www.x-exploit.com.cn - 19
Copyright 2001 X-Exploit Team
资产分类与管理
资产管理权责
确保信息资产得以适当保护。
控制点:资产的盘点
确保信息资产得到恰当的保护。
信息分类
控制点包括:分类原则;信息标示及携带。
X-Exploit Team
http://www.x-exploit.com.cn - 20
Copyright 2001 X-Exploit Team
个人信息安全守则
工作及资源的安全管理
降低错误、偷窃、欺骗或设备误用的风险。
控制点包括:工作权责涵盖的安全需求;人员任用政策;保密协 议;员工守则。
确保使用者在日常工作中了解如何看待和关心信息安全,并支持 组织的安全策略。
控制点:信息安全的教育和培训。
发生易发事件及故障时如何将损害降至最小、监督类似事件并从 中学习。
控制点包括:安全事故回报;安全漏洞回报;软件功能障碍回报 ;从事故中学习;违规处置流程。
X-Exploit Team
http://www.x-exploit.com.cn - 21
教育训练
易发事件及故障处理
Copyright 2001 X-Exploit Team
设备及使用环境的信息安全管理
信息安全区
保护企业所在地及信息免于未经授权的存取、破坏及入侵。
控制点包括:信息安全区的实体区隔;信息安全区进出管制;信 息安全办公室、处所、设备;信息安全区内工作守则;交接区的 隔离。
防止资产的遗失、损坏、危害及企业正常活动的中断。
控制点包括:设备座落及防护;电力供应;传输设备安全性;设 备的维护、保养;非管制区的设备安全管理;设备报废或再启用 安全管理。
防止信息或信息处理设备被毁坏或偷窃。
控制点:桌面及屏幕净空原则;财产撤离。
X-Exploit Team
http://www.x-exploit.com.cn - 22
设备安全
日常管制
Copyright 2001 X-Exploit Team
沟通和操作过程管理
操作程序书及权责:确保雇员能正确、安全地操作信息处理设备。
控制点包括:操作流程的文件化;系统变更管制;事故管理程序;部门权责划分;开 发与操作设备的隔离;外部设备管理。
系统规划及可行性:将系统失效风险降至最低。
控制点包括:系统容量需求计划;系统验收。
侵略性软件防护:保护软件及信息的完整。
控制点:对非法入侵软件的防御管理。
储存管理:维护信息处理及服务的完整性和可行性。
控制点包括:资料备份;登录数据管理;差错记录管理。
网络管理:建立网络信息及基础架构支持的防护措施。
控制点:网络管制。
媒体存取及安全性:防止资产损失及企业活动中断。
控制点包括:可移动计算机媒体的管理;媒体的处理;信息移动或储存程序;系统文 件的安全性。
信息及软件交换:进行组织间信息交流时避免信息的遗失、篡改或误用。
控制点包括:信息及软件转换协议;传递中媒体的安全管制;电子商务的安全性;电 子邮件的安全性;电子办公系统的安全性;公共信息系统的安全性;其它形态的信息 交换。
X-Exploit Team
http://www.x-exploit.com.cn - 23
Copyright 2001 X-Exploit Team
存取控制
存取管制的工作要求:管制信息的存取。
控制点:存取管制原则。
使用者存取管理:避免未经授权的信息存取。
控制点包括:使用者注册;特别权限使用管理;使用者密码管理;对使用者存取权限 的审核。
使用者权责:避免未经授权的使用者进入。
控制点包括:密码管制;未列管设备的安全性。
网络存取管制:网络服务系统的防护。
控制点包括:网络服务的使用原则;联结路径管理;外部联结的使用者验证;节点验 证;遥控监测端的安全防护;使用者组别区隔;网络联结的功能管制;联网路由管理 ;网络服务的安全需求。
操作系统存取管理:避免未经授权的进入网络。
控制点包括:自动辨识末端联结;末端登录程序;使用者辨识和授权;密码管理系统 ;系统工具的使用;防御系统的警报通知;闲置自动中断;联机时间限制。
应用软件存取管理:避免非法存取信息系统中的信息。
控制点包括:信息存取限制;敏感系统隔离。
监控系统的存取及使用:侦测未经授权的入侵活动。
控制点包括:事件登录簿;监控系统的使用;同步计时。
移动计算机及拨接服务管理:保证使用移动计算机和其它联机服务时的信息安全。
控制点包括:移动计算机;联机活动。
X-Exploit Team
http://www.x-exploit.com.cn - 24
Copyright 2001 X-Exploit Team
信息系统开发和维护
信息系统的安全要求:确保安全观念融入信息系统中。
控制点:安全需求的分析和规定。
应用软件的安全要求:防止使用者资料被遗失、篡改或误用。
控制点包括:输入资料的核准;内部流程管控;讯息验证;输出资 料的核准。
资料加密技术管制:保护信息机密性、真实性和完整性。
控制点包括:资料加密技术的使用原则;资料加密;数字签名;防 伪服务;密钥管理。
系统档案的安全性:确保信息部门的计划和支持活动以安全方式进 行。
控制点包括:操作软件管制;系统测试数据管理;程序原始编码存 取管制。
开发和支持系统的安全性:维护应用软件和信息的安全性。
控制点包括:变动管理流程;对操作系统变更的技术审查;对软件 包变更的限制;防范秘密讯息通道和软件内异常程序;委外开发软 件。
X-Exploit Team
http://www.x-exploit.com.cn - 25
Copyright 2001 X-Exploit Team
持续运营管理
持续运营
确保发生重大系统失效或人为疏忽时,组织的运营不 致中断,并保护关键流程。
持续运营管理的流程;
控制点包括
持续运营和冲击分析;
持续运营计划的制定和实施;
持续运营计划的框架;
持续运营计划的测试、维护和再评估。
X-Exploit Team
http://www.x-exploit.com.cn - 26
Copyright 2001 X-Exploit Team
符合性
合乎法律要求
避免触犯任何刑法、民法、已成文的法令法规或其它任何安全要 求。
控制点包括:辨别相关法律的要求;知识产权;组织记录的防护 措施;数据保护和个人隐私;防止信息处理设备的滥用;加密技 术的管理;证据收集。
确保信息系统符合组织的安全策略和标准。
控制点包括:符合信息安全策略;对守法情况的技术审查。
对信息安全策略和技术应用的审查
系统稽核的考虑
通过系统稽核流程扩大效能,降低阻碍。
控制点包括:系统稽核管制;系统稽核工具的保管。
X-Exploit Team
http://www.x-exploit.com.cn - 27
Copyright 2001 X-Exploit Team
BS7799与CC和SSE-CMM的比较
BS 7799完全从管理角度制定,并不涉及具体的安全技术,实施不复 杂,主要是告诉管理者一些安全管理的注意事项和安全制度,例如 磁盘文件交换和处理的安全规定、设备的安全配置管理、工作区进 出的控制等一些很容易理解的问题。这些管理规定一般的单位都可 以制定,但要想达到BS 7799的全面性则需要一番努力。
同BS 7799相比,信息技术安全性评估准则(CC)和美国国防部可信计 算机评估准则(TCSEC)等更侧重于对系统和产品的技术指标的评估;
系统安全工程能力成熟模型(SSE-CMM)更侧重于对安全产品开发、安 全系统集成等安全工程过程的管理。在对信息系统日常安全管理方 面,BS 7799的地位是其他标准无法取代的。
总的来说,BS7799涵盖了安全管理所应涉及的方方面面,全面而不 失可操作性,提供了一个可持续提高的信息安全管理环境。推广信 息安全管理标准的关键在重视程度和制度落实方面。它是目前可以 用来达到一定预防标准的最好的指导标准。
X-Exploit Team
http://www.x-exploit.com.cn - 28
Copyright 2001 X-Exploit Team
SSE-CMM
1993年5月美国国家安全局发起的研究工作。这项工作用CMM模型 研究现有的各种工作,并发现安全工程需要一个特殊的CMM模型与之配 套。
1995年1月,在第一次公共安全工程CMM讨论会中,信息安全协会 被邀请加入,超过60个组织的代表再次确认需要这样一种模型。因此, 研讨会期间成立了项目工作组,由此进入了模型开发阶段。
通过项目领导、应用工作组全体的通力合作,于1996年10月完成了 SSE-CMM模型的第一版,1997年5月完成了评价方法第一版。
为检验模型及评价方法的有效性,1996年6月到1997年6月进行 了试验工作。一些试验组织向SSE-CMM及其评价模型提供了有价值的信息 。
1997年8月,第二次公共安全工程CMM研讨会举行,以明确一些与 模型应用相关的问题,特别是关于:获取领域、过程改善、及产品及系统 的安全保证。
由于研讨会中明确了上述问题,便成立了一个新的工作组以直接落实这些 问题,于1999年4月完成了SSE-CMM模型的第二版。
X-Exploit Team
http://www.x-exploit.com.cn - 29
Copyright 2001 X-Exploit Team
SSE-CMM目的
SSE-CMM 确定了一个评价安全工程实施的综合框架, 提供了度量与改善安全工程学科应用情况的方法。
SSE-CMM 项目的目标是将安全工程发展为一整套有定 义的、成熟的及可度量的学科。
SSE-CMM模型及其评价方法可达到以下几点目的:
将投资主要集中于安全工程工具开发、人员培训、过程定义、管 理活动及改善等方面。
基于能力的保证,也就是说这种可信性建立在对一个工程组的安 全实施与过程的成熟性的信任之上的。
通过比较竞标者的能力水平及相关风险,可有效地选择合格的安
全工程实施者。
X-Exploit Team
http://www.x-exploit.com.cn - 30
Copyright 2001 X-Exploit Team
SSE-CMM内容
系统安全工程能力成熟模型(SSE-CMM)描述的是,为确保实施较好 的安全工程,一个组织的安全工程过程必须具备的特征。SSE-CMM描 述的对象不是具体的过程或结果,而是工业中的一般实施。这个模 型是安全工程实施的标准,它主要涵盖以下内容:
SSE-CMM强调的是分布于整个安全工程生命周期中各个环节的安 全工程活动。包括概念定义、需求分析、设计、开发、集成、安 装、运行、维护及更新。
SSE-CMM应用于安全产品开发者、安全系统开发者及集成者,还 包括提供安全服务与安全工程的组织。
SSE-CMM适用于各种类型、规模的安全工程组织,如:商业、政 府及学术界。
尽管SSE-CMM模型是一个用以改善和评估安全工程能力的独特的 模型,但这并不意味着安全工程将游离于其它工程领域之外进行 实施。SSE-CMM模型强调的一种集成,它认为安全性问题存在于 各种工程领域之中,同时也包含在模型的各个组件之中。
X-Exploit Team
http://www.x-exploit.com.cn - 31
Copyright 2001 X-Exploit Team
SSE-CMM模型构成
SSE-CMM 的结构被设计以用于确认一个安全工程组织中某安全工 程各领域过程的成熟度。这种结构的目标就是将安全工程的基础特 性与管理制度特性区分清楚。为确保这种区分,模型中建立了两个 维度——“域维”和“能力维”。“域维”包含所有集中定义安全 过程的实施,这些实施被称作“基础实施”。“能力维”代表反映 过程管理与制度能力的实施。这些实施被称作“一般实施”,这是 由于它们被应用于广泛的领域。“一般实施”应该作为执行“基础 实施”的一种补充。
SSE-CMM 模型中大约含60个基础实施,被分为11个过程域, 这些过程域覆盖了安全工程的所有主要领域。基础实施是从现存的 很大范围内的材料、实施活动、专家见解之中采集而来的。这些挑 选出来的实施代表了当今安全工程组织的最高水位,它们都是经过 验证的实施。
X-Exploit Team
http://www.x-exploit.com.cn - 32
Copyright 2001 X-Exploit Team
模型构成…
一般实施是一些应用于所有过程的活动。它们强调一个过程的管理、度量与制度方面 。一般而言,在评估一个组织执行某过程的能力时要用到这些实施。一般实施被分组 成若干个被称作“共同特征”的逻辑区域,这些“共同特征”又被分作五个能力水平 ,分别代表组织能力的不同层次。与域维中的基础实施不同的是,能力维中的一般实 施是根据成熟性进行排序的。因此,代表较高过程能力的一般实施会位于能力维的顶 层。
SSE-CMM模型的五个能力水平如下:
级别1:“非正式执行级”。这一级别将焦点集中于一个组织是否将一个过程所 含的所有基础实施都执行了。
级别2:“计划并跟踪级”。主要集中于项目级别的定义、计划与实施问题。
级别3:“良好定义级”。集中于在组织的层次上有原则地将对已定义过程进行 筛选。
级别4:“定量控制级”。焦点在于与组织的商业目标相结合的度量方法。尽管 在起始阶段就十分必要对项目进行度量,但这并不是在整个组织范围内进行的度 量。直到组织已达到一个较高的能力水平时才可以进行整个组织范围内的度量。
级别5:“持续改善级”。在前几个级别进行之后,我们从所有的管理实施的改 进中已经收到成效。这时需要强调必须对组织文化进行适当调整以支撑所获得的 成果。
X-Exploit Team
http://www.x-exploit.com.cn - 33
Copyright 2001 X-Exploit Team
SSE-CMM应用
SSE-CMM模型适用于所有从事某种形式安全工程的组织,而不必考虑产品的 生命周期、组织的规模、领域及特殊性。这一模型通常以下述三种方式来 应用:
“过程改善” 可以使一个安全工程组织对其安全工程能力的级别有一个认识,于是可 设计出改善的安全工程过程,这样就可以提高他们的安全工程能力。
“能力评估” 使一个客户组织可以了解其提供商的安全工程过程能力。
“保证” 通过声明提供一个成熟过程所应具有的各种依据,使得产品、系统、服 务更具可信性。
目前,SSE-CMM已经成为西方发达国家政府、军队和要害部门组织和实施安 全工程的通用方法,是系统安全工程领域里成熟的方法体系,在理论研究 和实际应用方面具有举足轻重的作用。在模型的应用方面,德州仪器(美 ) 和参与模型建立的一些公司采用该模型指导安全工程活动,可以在提供 过程能力的同时有效地降低成本。
X-Exploit Team
http://www.x-exploit.com.cn - 34
Copyright 2001 X-Exploit Team
CVE
X-Exploit Team http://www.x-exploit.com.cn X-Exploit Team
http://www.x-exploit.com.cn Copyright 2001 X-Exploit Team - 35 Copyright 2001 X-Exploit Team
关于CVE
信息系统安全问题的列表或目录,不是一个数据库;
弱点漏洞(Vulnerabilities)
Problems that are universally thought of as “vulnerabilities” in any security policy Software flaws that could directly allow serious damage phf, ToolTalk, Smurf, rpc.cmsd, etc. Problems that are sometimes thought of as “vulnerabilities” in some security policies Stepping stones for a successful attack
攻击方法(Exposures)
Running finger, poor logging practices, etc.
X-Exploit Team
http://www.x-exploit.com.cn - 36
Copyright 2001 X-Exploit Team
CVE来源
•Mailing lists, Newsgroups, Hacker sites
Start Here
•Incident
Discovery
•Academic
Response Incident Teams Handling •Incident Reports
Analysis
Study •Advisories
CVE
Collection Protection
•Databases •Newsletters
•Intrusion
Detection Detection Systems
•Vulnerability Assessment Tools
X-Exploit Team
http://www.x-exploit.com.cn - 37
Copyright 2001 X-Exploit Team
为什么需要CVE
Provide common language for referring to problems Facilitate data sharing between
IDSes Assessment tools Vulnerability databases
Academic research
Incident response teams
Foster better communication across the community
Get better tools that interoperate across multiple vendors
X-Exploit Team
http://www.x-exploit.com.cn - 38
Copyright 2001 X-Exploit Team
CVE分级
Submissions
•Raw information •Obtained from MITRE, Board members, and other data feeds •Combined and refined
Candidates
•Placed in clusters •Proposed to Editorial Board •Accepted or rejected •Backmap tells submitters what candidates were assigned to their submissions
Entries
•Added to CVE list •Submissions, candidates removed from the “pool” •Published in an official CVE version
….. ….. ….. ….. ….. ….. ….. …..
CAN-2000-0001 CAN-2000-0002 CAN-2000-0003 Back-map
CVE-2000-0001 <REJECTED> CVE-2000-0003
X-Exploit Team
http://www.x-exploit.com.cn - 39
Copyright 2001 X-Exploit Team
CVE示例
Name CVE-1999-0003 CVE-1999-0006 CVE-1999-0067 CVE-1999-0344 Description ToolTalk (rpc.ttdbserverd) buffer overflow Buffer overflow in qpopper Shell metacharacters in phf Windows NT debug-level access bug (a.k.a. Sechole)
X-Exploit Team
http://www.x-exploit.com.cn - 40
Copyright 2001 X-Exploit Team
CVE应用
Unreviewed Bugtraqs, Mailing lists, Hacker sites
Discovery
Reviewed Advisories CERT, CIAC, Vendor advisories
Products
Scanners, Intrusion Detection, Vulnerability Databases
Policy
time
Methodologies Purchasing Requirements Education
1. Inject Candidate numbers into advisories 2. Establish CVE at product level in order to... 3. … enable CVE to permeate the policy level. X-Exploit Team
http://www.x-exploit.com.cn - 41
Copyright 2001 X-Exploit Team
CVE应用…
X-Exploit Team
http://www.x-exploit.com.cn - 42
Copyright 2001 X-Exploit Team
关于 X-Exploit Team
http://www.x-exploit.com.cn
X-Exploit Team
http://www.x-exploit.com.cn
Copyright 2001 X-Exploit Team
X-Exploit Team
一支由信息安全博士、博士后组成的博士团队 一支由专业安全技术人员组成的安全团队 一支不从政,不经商,专注安全学术的学术团队 一支既不高傲自大,也不妄自菲薄,只求扎扎实实作技术的求实团队 一支从事安全体系结构、安全模型、安全策略等基础理论研究的奉献 团队
一支专注密码工程、弱点漏洞、攻击模式、攻击方法等工程技术研究 的工程团队
一支…… 欢迎加入
X-Exploit Team
http://www.x-exploit.com.cn
X-Exploit Team
http://www.x-exploit.com.cn - 44
Copyright 2001 X-Exploit Team
篇四:网络数据和信息安全管理规范
越发青绿的小草仿佛在一声一声地召唤用它独有的颜色传达着自然的声音吸一口清新的空气然后全身心放松躺在这软绵绵的小草上与大地来一次亲密接架不住自然的诱惑如星星般缀在草地上的几朵小花含苞欲放空气中弥漫着一股潮湿的花香
4.1.6--网络数据和信息安全管 理规范
XXXX 有限公司
WHB-08
网络数据和信息安全管理规范
版本号: 编制人:
审核人:
批准人:
A/0 XXX XXX XXX
20XX 年 X 月 X 日发布
20XX 年 X 月 X 日实施
1.0 目的 计算机网络为公司局域网提供网络基础平台服务和互联网接入服务。为保证公司计
算机信息及网络能够安全可靠的运行,充分发挥信息服务方面的重要作用,更好的为公 司运营提供服务,依据国家有关法律、法规的规定,结合公司实际情况制定本规定。
2.0 术语
本规范中的名词术语(比如“计算机信息安全”等)符合国家以及行业的相关规定。
2.1 计算机信息安全是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信 息被非法系统辨识,控制。即确保信息的完整性、保密性、可用性和可控性。包括操作 系统安全、数据库安全、病毒防护、访问权限控制、加密与鉴别等七个方面。
2.2 狭义上的计算机信息安全,是指防止有害信息在计算机网络上的传播和扩散,防止计 算机网络上处理、传输、存储的数据资料的失窃和毁坏,防止内部人员利用计算机网络 制作、传播有害信息和进行其他违法犯罪活动。
2.3 网络安全,是指保护计算机网络的正常运行,防止网络被入侵、攻击等,保证合法用 户对网络资源的正常访问和对网络服务的正常使用。
2.4 计算机及网络安全员,是指从事的保障计算机信息及网络安全工作的人员。
2.5 普通用户,是指除了计算机及网络安全员之外的所有在物理或者逻辑上能够访问到互 联网、企业计算机网及各应用系统的公司内部员工。
2.6 主机系统,指包含服务器、工作站、个人计算机在内的所有计算机系统。本规定所称 的重要主机系统指生产、办公用的 Web 服务器、Email 服务器、DNS 服务器、OA 服务器、 企业运营管理支撑系统服务器、文件服务器、各主机系统等。
2.7 网络服务,包含通过开放端口提供的网络服务,如 WWW、Email、FTP、Telnet、DNS 等。
2.8 有害信息,参见国家现在法律法规的定义。
2.9 重大计算机信息安全事件,是指公司对外网站(电子公告板等)上出现有害信息;有 害信息通过 Email 及其他途径大面积传播或已造成较大社会影响;计算机病毒的蔓延;
重要文件、数据、资料被删除、篡改、窃取;由安全问题引起的系统崩溃、网络部分或 全部瘫痪、网络服务部分或全部中断;系统被入侵;页面被非法替换或者修改;主机房 及设备被人为破坏;重要计算机设备被盗窃等事件。
3.0 组织架构及职责分工 3.1 公司设立计算机信息及网络安全领导小组,作为公司计算机信息安全工作的领导机
构,统一归口负责外部部门(政府和其他部门)有关计算机信息安全工作和特定事件的 处理。
3.3 计算机信息及网络安全领导小组负责领导、检查、督促、制定信息安全策略、规章制 度和措施,加强计算机信息安全工作的管理和指导,落实国家有关计算机信息安全的法 律、法规和上级有关规定,保障公司的计算机信息的安全。
3.4 计算机信息及网络安全工作实行“谁主管,谁负责”的原则,各部门负责人对本部门 计算机信息及网络安全负直接责任。
3.5 各部门必须配备由计算机技术人员担任本部门的计算机及网络安全员,并报公司计算 机信息及网络安全领导小组备案。各部门计算机及网络安全员负责本部门计算机信息及 网络安全的技术规划和安全措施的具体实施和落实。
3.6 相关岗位信息安全职责:
3.6.1 计算机及网络安全员:
1)负责本部门计算机信息及网络安全工作的具体实施,及时掌握和处理有关信息安 全问题。
2)定期或不定期检测本部门计算机信息及网络安全情况,发现安全漏洞和隐患及时 报告,并提出整改意见、建议和技术措施。
3)指导和监督、检查本部门员工在计算机信息安全防护、数据保护及账号、口令设 置使用的情况。
4)发现计算机信息安全问题,及时处理,保护现场,追查原因,并报部门计算机信 息安全领导小组。
5)定期分析计算机安全系统日志,并作相应处理。
6)验证本部门重要数据保护对象的安全控制方法和措施的有效性,对于不符合安全 控制要求的提出技术整改措施,对本部门的数据备份策略进行验证并实施。
7)负责所管理的计算机主机系统及网络设备的安全管理和安全设置工作。
8)负责所管理计算机主机系统和网络设备的用户账号及授权管理。
9)定期分析操作系统日志,定期或不定期检查系统进程,在发现异常的系统进程或 者系统进程数量的异常变化要及时进行处理。
10)负责指导并督促用户设置高安全性的账号口令和安全日志。
11)进行计算机信息安全事件的排除和修复,包括操作系统、应用系统、文件的恢 复以及安全漏洞的修补。
12)在正常的系统升级后,对系统重新进行安全设置,并对系统进行技术安全检查。
13)根据上级和本级计算机信息安全领导的要求,按照规定的流程进行系统升级或 安全补丁程序的安装。
14)管理本部门的计算机网络服务和相应端口,并进行登记备案和实施技术安全管 理。
15)根据数据备份策略,完成所管理系统数据的备份、备份介质保管、数据恢复工 作。
3.6.2 普通用户职责:
1)自觉遵守计算机信息及网络安全的法律、法规和规定。
2)负责所使用个人计算机设备及数据和业务系统账号的安全。
3)发现本部门计算机网存在的安全隐患及安全事件,及时报告部门计算机管理部门。
4)不得擅自安装、维护公司所有网络设备(包括路由器、交换机、集线器、光纤、 网线),不得私自接入网络。
3.7 各部门应保持计算机及网络安全员的相对稳定,并加强对计算机及网络安全员的教育 和技术培训。在计算机及网络安全员调动、离职或者其他原因离开原岗位时,应将其涉 及的用户账号和权限及时进行变更或注销。
4.0 系统安全规定 4.1 公司计算机机房由计算机管理部门负责管理,并建立出入登记和审批制度。携带计算 机设备及磁盘等存储介质进、出主机房,应经主管部门同意,并由机房管理人员进行核 查登记。
4.2 各部门计算机管理部门应指定专人负责本部门计算机设备的管理,做好计算机设备的 增添、维修、调拨等的审核与管理。计算机设备维修特别是需离场维修或承包给企业外 部人员维护、维修时,应核实该设备中是否存储有涉及企业秘密、不宜公开的内部资料 和账号、密码等,如有应采取拆卸硬盘、有效删除有关资料等有效措施,防止泄密。
4.3 使用、操作计算机设备时,应遵循以下安全要求:
1)保管好自己使用或所负责保管计算机设备的账号、口令,并不定期更换口令,不 得转借、转让账号。
2)不安装和使用来历不明、没有版权的软件,对于外来的软件、数据文件等,必须 先经病毒检测,确认无感染、携带病毒后方可使用。
3)不在个人使用的计算机上安装与工作无关的软件。
4)不擅自更改设备的 IP 地址及网络拓扑结构及软、硬件配置。
5)在存储有重要数据的计算机上,应设置开机密码、屏幕保护密码。
6)在个人计算机上安装防病毒软件,并开启实时病毒监测功能,及时升级病毒库和 软件。
7)非经计算机管理部门的有效许可,不得对网络进行安全(漏洞)扫描和对账号、 口令及数据包进行侦听;不得利用网络服务实施网络攻击、散布病毒和发布有害信息。
在网络设备及主机系统进行操作还应该遵循有关网络安全规定。
5.0 账号管理安全 5.1 账号的设置必须遵循“唯一性、必要性、最小授权”的原则。
唯一性原则是指每个账号对应一个用户,不允许多人共同拥有同一账号。
必要性原则是指账号的建立和分配应根据工作的必要性进行分配,不能根据个人需 要、职位进行分配,禁止与所管理主机系统无关的人员在系统上拥有用户账号,要根据 工作变动及时关闭不需要的系统账号。
最小授权原则是指对账号的权限应进行严格限制,其权限不能大于其工作、业务需 要。超出正常权限范围的,要经主管领导审批。
5.2 系统中所有的用户(包括超级权限用户和普通用户)必须登记备案,并定期审阅。
5.3 严禁用户将自己所拥有的用户账号转借他人使用。
5.4 员工发生工作变动,必须重新审核其账号的必要性和权限,及时取消非必要的账号和 调整账号权限;如员工离开本部门,须立即取消其账号。
5.5 在本部门每个应用系统、网络工程验收后,应立即删除系统中所有的测试账号和临时 账号,对需要保留的账号口令重新进行设置。
5.6 系统管理员必须定期对系统上的账号及使用情况进行审核,发现可疑用户账号时及时 核实并作相应的处理,对长期不用的用户账号进行锁定。
5.7 一般情况下不允许外部人员直接进入主机系统进行操作。在特殊情况下(如系统维 修、升级等)外部人员需要进入系统操作,必须由系统管理员进行登录,并对操作过程 进行记录备案。禁止将系统用户及口令直接交给外部人员。
6.0 口令安全管理 6.1 口令的选取、组成、长度、修改周期应符合安全规定。禁止使用名字、姓氏、电话号 码、生日等容易猜测的字符串作为口令,也不要使用单个单词作为口令,在口令组成上 必须包含大小写字母、数字、标点等不同的字符组合,口令长度要求在 8 位以上。
6.2 重要的主机系统,要求至少每个月修改口令,对于管理用的工作站和个人计算机,要 求至少每两个月修改口令。
6.3 重要的主机系统应逐步采用一次性口令及其它可靠的身份认证技术。
6.4 本地保存的用户口令应加密存放,防止用户口令泄密。
6.5 软件安全管理:
6.1 不安装和使用来历不明、没有版权的软件。
6.2 不得在重要的主机系统上安装测试版的软件。
6.3 开发、修改应用系统时,要充分考虑系统安全和数据安全,从数据的采集、传输、处 理、存贮,访问控制等方面进行论证,测试、验收时也必须进行相应的安全性能测试、 验收。
6.4 操作系统和应用软件应根据其本身存在的安全漏洞及时进行必须的安全设置、升级和 打安全补丁。
6.5 个人计算机上不得安装与工作无关的软件。在服务器系统上禁止安装与服务器所提供 服务和应用无关的其它软件。
6.6 系统设备和应用软件的登录提示应对可能的攻击尝试、非授权访问提出警告。
6.7 主机系统的服务器、工作站所使用的操作系统必须进行登记。登记记录上应该标明厂 家、操作系统版本、已安装的补丁程序号、安装和升级的时间等内容,并进行存档保存。
6.8 重要的主机系统在系统启用、重新安装或者升级时应建立系统镜像,在发生网络安全 问题时利用系统镜像对系统进行完整性检查。
7.0 服务器、网络设备、计算机安全系统(如防火墙、入侵检测系统等)等应具备日志功 能并必须启用。网络信息安全管理员要定期分析网络安全系统和操作系统日志,在发现 系统遭受攻击或者攻击尝试时采取安全措施进行保护,对网络攻击或者攻击尝试进行定 位、跟踪并发出警告,并向网络信息安全领导小组报告。系统日志必须保存三个月以上。
8.0 新建计算机网络、应用系统必须同时进行网络信息安全的设计。
9.0 互联网信息安全 9.1 公司对外网站、需定期做安全检查,并设置好相关的信息发布、管理权限,防止有害 信息传播。
9.2 各部门搭建的电子邮件系统,禁止开启匿名转发功能,并应按有关规定从技术、管理 上采取有效措施过滤垃圾电子邮件及有害信息。
10.0 数据安全 10.1 需要保护的重要数据至少包括:
1)重要文件、资料、图纸(电子版)。
2)财会系统数据库。
3)重要主机系统的系统数据。
4)其他重要数据。
10.2 各部门计算机管理部门应制定数据备份策略及重要数据灾难恢复计划,及时做好数 据备份及恢复。
10.3 对数据备份必须有明确的记录,在记录中标明备份内容、备份时间,备份操作人员 等信息。对于重要数据的备份必须异地存放,并做好相关的异地备份记录。
10.4 各部门必须每年至少进行一次数据备份策略的有效性的验证,对数据恢复过程进行 试验,确保在发生安全问题时能够从数据备份中进行恢复。
10.5 各部门计算机管理部门应对所管理系统上存储的数据进行登记备案,登记的内容主 要包括:需要保护的数据、存储的位置、存储的形式、安全控制的方法和措施、负责安 全管理和日常备份的人员、可以访问数据的用户、访问的方式以及权限。
10.6 涉及企业秘密及具有高保密性要求(如口令文件)的数据在传输、存贮时应加密。
10.7 禁止在没有采用安全保护机制的计算机上存储重要数据,在存储重要数据的计算机 至少应该有开机口令、登录口令、数据库口令、屏幕保护等防护措施。禁止在个人计算 机上存放重要数据。
10.8 不得以软盘或者笔记本电脑等形式将重要数据带出系统。如确实必需,须将数据用 安全可靠的加密手段加密存储,并将存储的软盘或笔记本电脑比照密级文件管理。
11.0 安全管理 11.1 各部门必须对本部门的计算机信息及网络安全进行经常性的检查、检测:
1)系统安全检查应每月检查、检测一次;
2)计算机病毒防治应每月至少全面检查一次;
3)数据备份应每月检查一次。
11.2 检查发现计算机信息及网络安全隐患,应组织安全隐患整治,不能马上整治的,应 采取有效措施预防网络信息安全事件和案件的发生。
11.3 发生计算机信息及网络安全事件,应马上组织人员妥善处理,防止扩散影响。触犯 刑律的,应保存证据,报告公安机关,并配合查处。
11.4 发生重大计算机信息及网络安全事件须在 24 小时内上报。
11.5 各部门应对用户及本部门员工进行网络信息安全宣传,宣传有关国家法律、法规和 网络信息安全知识,加强用户的法律意识和安全意识,不得从事任何危害网络信息安全 的行为。
12.0 顾客网络信息安全 12.1 维护人员不得将顾客系统的密码泄露给他人。
12.2 维护人员因工作原因进入顾客系统是,不得复制、删除、修改顾客信息。
12.3 进入顾客系统应使用专用计算机,该计算机应每周进行杀毒,以防将病毒传入顾客 系统。
12.4 维护人员的客户端应及时升级或更新,确保其与顾客系统的版本保持一致。
篇五:网络数据和信息安全管理规范
网络信息安全与规范
计算机网络为公司局域网及广域网提供网络基础平台服务和互联网接入服务,由技术组负责计算机连网和网络管理工作。为保证 公司网络能够安全可靠地运行,充分发挥信息服务方面的重要作用,更好地为公司员工提供服务。现制定并发布《网络信息安全与规 范》。
技术组成员:
一、条款说明
1、所有网络设备(包括光纤、路由器、交换机、集线器、服务器等)均归技术组所管辖,其安装、维护等操作由技术组工作人 员进行,其他任何人不得破坏或擅自维修。
2、所有公司内计算机网络部分的扩展必须经过技术组实施或批准实施,未经许可任何部门不得私自连接交换机、集线器、服务 器等网络设备,不得私自接入网络。技术组有权拆除用户私自接入的网络线路并进行处罚措施。
3、各部门的联网工作必须事先报经技术组,由技术组做网络实施方案。
4、网络配置由技术组统一规划管理,其他任何人不得私自更改网络配置。
5、接入网络的客户端计算机的网络配置由技术组部署的 DHCP 服务器统一管理分配,包括:用户计算机的 IP 地址、网关、DNS 和 WINS 服务器地址等信息。未经许可,任何人不得私自更改网络配置。任何接入网络的客户端计算机不得安装配置 DHCP 服务。一经 发现,将给予通报并交有关部门严肃处理。
6、网络安全:严格执行国家《网络安全管理制度》。对在通过网络从事任何有悖网络法规活动者,包括扫描、攻击计算机网络及 外部网络,盗用、窃取他人资料、信息等,任何违法行为将视其情节轻重交有关部门或公安机关处理。
7、任何人不得在局域网络和互联网上发布有损企业形象和职工声誉的信息。
8、为了避免或减少计算机病毒对系统、数据造成的影响,接入局域网及广域网的所有用户必须遵循以下规定:
8.1、 任何接入网络者不得制作计算机病毒;不得故意传播计算机病毒,危害计算机信息系统安全;不得向他人提供含有计 算机病毒的文件、软件、媒体。
8.2、采取有效的计算机病毒安全技术防治措施。建议客户端计算机统一由技术部安装相应杀毒软件及 360 安全卫士对病毒 和木马进行查杀。
8.3 定期或及时更新用更新后的新版本的杀病毒软件检测、清除计算机中的病毒。
9、公司互联网连接只允许员工为了工作、学习和工余的休闲使用,使用时必须遵守有关的国家、企业的法律和规程,严禁传播 淫秽、反动等违犯国家法律和中国道德与风俗的内容。公司有权撤消违法犯纪者互联网的使用。使用者必须严格遵循以下内容:
9.1、 从中国境内向外传输技术性资料时必须符合中国有关法规。
9.2、 遵守所有使用互联网的网络协议、规定和程序。
9.3、 不能利用邮件服务作连锁邮件、垃圾邮件或分发给任何未经允许接收信件的人。
9.4、 任何人不得在网上制作、查阅和传播宣扬反动、淫秽、封建迷信等违犯国家法律和中国道德与风俗的内容。
9.5、 不得传输任何非法的、骚扰性的、中伤他人的、辱骂性的、恐吓性的、伤害性的等信息资料。
9.6、 不得传输任何教唆他人构成犯罪行为的资料,不能传输助长国内不利条件和涉国家安全的资料。
9.7、 不能传输任何不符合当地法规、国家法律和国际法律的资料。
10、 各部门人员每日上班及时打开计算机,进入公司办公系统、浏览相关文件信息、学习有关文件资料。如有自己业务相关的 工作信息,要及时处理,处理结果及时回馈有关责任人员。充分利用办公系统的优势信息处理平台,浏览的相关情况由办公系统后台
数据库自动生成详细记录,以便领导检查相关登陆信息提供记录参考。各部门人员必须及时做好各种数据资料的录入、修改、备份和
数据保密工作,保证数据资料的完整准确和安全性。
11、 严禁外来人员对计算机数据和文件进行拷贝或抄写以免泄漏公司机密,对公司办公系统或其它项目部内部平台帐号不得相 互知晓,每个人必须保证自己帐号的唯一登陆性负责,否则由此产生的数据安全问题由其本人负全部责任。
12、 关于网络(局域网、广域网、服务器)所涉及帐号密码均需定期修改,并报批人力部,所涉及人员不得将相关信息传递第 三方;公司员工具有信息保密的义务。任何人不得利用计算机网络泄漏公司机密、技术资料和其它保密资料。
14、 办公电脑不得安装以下影音软件:
PPTV/PPS/PPLIVE/QQ 影音(腾讯视频)/uusee/迅雷看看/QVOD(快播)/GVOD/奇艺影音/风行
因以上软件严重影响正常带宽使用,以上软件即使关闭,还会有相应残留进程自动下载,如有安装以上软件,请自行卸载,
因工作需要请向各部门主管申请,部门主管需进行监督;
二、处罚规定
以后处罚由安全小组人员进行核实,人力部分负责监督执行;
1、
办公电脑不得安装任何影音软件,有特殊需要者可提出相应申请,否则发现安装以上软件者第一次口头警告,二次发现
处罚 10 元,以后每次累加 5 元;
工作时间内不得以任何理由观看视频(电影),如有发现每次处罚 100 元,以后每次累加 20 元,同时直接主管并罚 50
元,并进行通报批评;
2、
OA 个人密码不得告知其它人,如有特殊原因事后应及时更改密码,因密码泄露造成任何后果将由泄露者承担,因泄露
但未造成严重后果,将对其进行口头警告,再犯者处以 100 元并通报批评;
同时 OA 任何信息不得向项目以外人员泄露,如发现相应情况由人力部分酌情进行相应处罚;
3、
倡导节能环保,对于下班不关电脑者第一次予以 10 元处罚,以后每次累加 10 元,部门发现三次以上未关机情况,部门
主管处以 100 元处罚,以后三次累加,特殊情况应有相应书面说明;
篇六:网络数据和信息安全管理规范
【网络数据和信息安全管理规范】
网络数据和信息安全管理规范 XXXX 有限公司 WHB-08 网 络数据和信息安全管理规范 版本号: A/0 编制人:
XXX 审核人:
XXX 批准人:
XXX 20XX 年 X 月 X 日发布 20XX 年 X 月 X 日实施 目的 计 算机网络为公司局域网提供网络基础平台服务和互联网接入服 务。为保证公司计算机信息及网络能够安全可靠的运行,充分发 挥信息服务方面的重要作用,更好的为公司运营提供服务,依据 国家有关法律、法规的规定,结合公司实际情况制定本规定。
术语 本规范中的名词术语(比如“计算机信息安全”等)符合 国家以及行业的相关规定。
计算机信息安全是指防止信息财产被故意的或偶然的非授 权泄露、更改、破坏或使信息被非法系统辨识,控制。即确保信 息的完整性、保密性、可用性和可控性。包括操作系统安全、数 据库安全、病毒防护、访问权限控制、加密与鉴别等七个方面。
狭义上的计算机信息安全,是指防止有害信息在计算机网络 上的传播和扩散,防止计算机网络上处理、传输、存储的数据资 料的失窃和毁坏,防止内部人员利用计算机网络制作、传播有害 信息和进行其他违法犯罪活动。
网络安全,是络的正常运行,防止网络被入侵、攻击等,保 证合法用户对网络资源的正常访问和对网络服务的正常使用。
计算机及网络安全员,是指从事的保障计算机信息及网络安 全工作的人员。
普通用户,是指除了计算机及网络安全员之外的所有在物理 或者逻辑上能够访问到互联网、企业计算机网及各应用系统的公 司内部员工。
主机系统,指包含服务器、工作站、个人计算机在内的所有 计算机系统。本规定所称的重要主机系统指生产、办公用的 Web 服务器、Email 服务器、DNS 服务器、OA 服务器、企业运营管理 支撑系统服务器、文件服务器、各主机系统等。
网络服务,包含通过开放端口提供的网络服务,如 WWW、 Email、FTP、Telnet、DNS 等。
有害信息,参见国家现在法律法规的定义。
重大计算机信息安全事件,是指公司对外网站(电子公告板 等)上出现有害信息;
有害信息通过 Email 及其他途径大面积传播或已造成较大社 会影响;
计算机病毒的蔓延;
重要文件、数据、资料被删除、篡改、窃取;
由安全问题引起的系统崩溃、网络部分或全部瘫痪、网络服 务部分或全部中断;
系统被入侵;
页面被非法替换或者修改;
主机房及设备被人为破坏;
重要计算机设备被盗窃等事件。
组织架构及职责分工 公司设立计算机信息及网络安全领导 小组,作为公司计算机信息安全工作的领导机构,统一归口负责 外部部门(政府和其他部门)有关计算机信息安全工作和特定事 件的处理。
计算机信息及网络安全领导小组负责领导、检查、督促、制 定信息安全策略、规章制度和措施,加强计算机信息安全工作的 管理和指导,落实国家有关计算机信息安全的法律、法规和上级 有关规定,保障公司的计算机信息的安全。
计算机信息及网络安全工作实行“谁主管,谁负责”的原则, 各部门负责人对本部门计算机信息及网络安全负直接责任。
各部门必须配备由计算机技术人员担任本部门的计算机及 网络安全员,并报公司计算机信息及网络安全领导小组备案。各 部门计算机及网络安全员负责本部门计算机信息及网络安全的 技术规划和安全措施的具体实施和落实。
相关岗位信息安全职责:
1)负责本部门计算机信息及网络安全工作的具体实施,及 时掌握和处理有关信息安全问题。
2)定期或不定期检测本部门计算机信息及网络安全情况,
发现安全漏洞和隐患及时报告,并提出整改意见、建议和技术措 施。
3)指导和监督、检查本部门员工在计算机信息安全防护、 数据保护及账号、口令设置使用的情况。
4)发现计算机信息安全问题,及时处理,保护现场,追查 原因,并报部门计算机信息安全领导小组。
5)定期分析计算机安全系统日志,并作相应处理。
6)验证本部门重要数据保护对象的安全控制方法和措施的 有效性,对于不符合安全控制要求的提出技术整改措施,对本部 门的数据备份策略进行验证并实施。
7)负责所管理的计算机主机系统及网络设备的安全管理和 安全设置工作。
8)负责所管理计算机主机系统和网络设备的用户账号及授 权管理。
9)定期分析操作系统日志,定期或不定期检查系统进程,在 发现异常的系统进程或者系统进程数量的异常变化要及时进行 处理。
10)负责指导并督促用户设置高安全性的账号口令和安全日 志。
11)进行计算机信息安全事件的排除和修复,包括操作系统、 应用系统、文件的恢复以及安全漏洞的修补。
12)在正常的系统升级后,对系统重新进行安全设置,并对
系统进行技术安全检查。
13)根据上级和本级计算机信息安全领导的要求,按照规定
的流程进行系统升级或安全补丁程序的安装。
14)管理本部门的计算机网络服务和相应端口,并进行登记
备案和实施技术安全管理。
15)根据数据备份策略,完成所管理系统数据的备份、备份
介质保管、数据恢复工作。
1)自觉遵守计算机信息及网络安全的法律、法规和规定。
2)负责所使用个人计算机设备及数据和业务系统账号的安
全。
3)发现本部门计算机网存在的安全隐患及安全事件,及时
报告部门计算机管理部门。
4)不得擅自安装、维护公司所有网络设备(包括路由器、
交换机、集线器、光纤、网线),不得私自接入网络。
各部门应保持计算机及网络安全员的相对稳定,并加强对计
算机及网络安全员的教育和技术培训。在计算机及网络安全员调 动、离职或者其他原因离开原岗位时,应将其涉及的用户账号和 权限及时进行变更或注销。
系统安全规定 公司计算机机房由计算机管理部门负责管理, 并建立出入登记和审批制度。携带计算机设备及磁盘等存储介质 进、出主机房,应经主管部门同意,并由机房管理人员进行核查 登记。
各部门计算机管理部门应指定专人负责本部门计算机设备 的管理,做好计算机设备的增添、维修、调拨等的审核与管理。
计算机设备维修特别是需离场维修或承包给企业外部人员维护、 维修时,应核实该设备中是否存储有涉及企业秘密、不宜公开的 内部资料和账号、密码等,如有应采取拆卸硬盘、有效删除有关 资料等有效措施,防止泄密。
使用、操作计算机设备时,应遵循以下安全要求:
1)保管好自己使用或所负责保管计算机设备的账号、口令, 并不定期更换口令,不得转借、转让账号。
2)不安装和使用来历不明、没有版权的软件,对于外来的 软件、数据文件等,必须先经病毒检测,确认无感染、携带病毒 后方可使用。
3)不在个人使用的计算机上安装与工作无关的软件。
4)不擅自更改设备的 IP 地址及网络拓扑结构及软、硬件配 置。
5)在存储有重要数据的计算机上,应设置开机密码、屏幕 保护密码。
6)在个人计算机上安装防病毒软件,并开启实时病毒监测 功能,及时升级病毒库和软件。
7)非经计算机管理部门的有效许可,不得对网络进行安全 (漏洞)扫描和对账号、口令及数据包进行侦听;
不得利用网络服务实施网络攻击、散布病毒和发布有害信息。
在网络设备及主机系统进行操作还应该遵循有关网络安全规定。
账号管理安全 账号的设置必须遵循“唯一性、必要性、最小
授权”的原则。
唯一性原则是指每个账号对应一个用户,不允许多人共同拥
有同一账号。
必要性原则是指账号的建立和分配应根据工作的必要性进
行分配,不能根据个人需要、职位进行分配,禁止与所管理主机 系统无关的人员在系统上拥有用户账号,要根据工作变动及时关 闭不需要的系统账号。
最小授权原则是指对账号的权限应进行严格限制,其权限不 能大于其工作、业务需要。超出正常权限范围的,要经主管领导 审批。
系统中所有的用户(包括超级权限用户和普通用户)必须登 记备案,并定期审阅。
严禁用户将自己所拥有的用户账号转借他人使用。
员工发生工作变动,必须重新审核其账号的必要性和权限, 及时取消非必要的账号和调整账号权限;
如员工离开本部门,须立即取消其账号。
在本部门每个应用系统、网络工程验收后,应立即删除系统 中所有的测试账号和临时账号,对需要保留的账号口令重新进行 设置。
系统管理员必须定期对系统上的账号及使用情况进行审核,
发现可疑用户账号时及时核实并作相应的处理,对长期不用的用 户账号进行锁定。
一般情况下不允许外部人员直接进入主机系统进行操作。在 特殊情况下(如系统维修、升级等)外部人员需要进入系统操作, 必须由系统管理员进行登录,并对操作过程进行记录备案。禁止 将系统用户及口令直接交给外部人员。
口令安全管理 口令的选取、组成、长度、修改周期应符合 安全规定。禁止使用名字、姓氏、电话号码、生日等容易猜测的 字符串作为口令,也不要使用单个单词作为口令,在口令组成上 必须包含大小写字母、数字、标点等不同的字符组合,口令长度 要求在 8 位以上。
重要的主机系统,要求至少每个月修改口令,对于管理用的 工作站和个人计算机,要求至少每两个月修改口令。
重要的主机系统应逐步采用一次性口令及其它可靠的身份 认证技术。
本地保存的用户口令应加密存放,防止用户口令泄密。
软件安全管理:
不安装和使用来历不明、没有版权的软件。
不得在重要的主机系统上安装测试版的软件。
开发、修改应用系统时,要充分考虑系统安全和数据安全, 从数据的采集、传输、处理、存贮,访问控制等方面进行论证, 测试、验收时也必须进行相应的安全性能测试、验收。
操作系统和应用软件应根据其本身存在的安全漏洞及时进 行必须的安全设置、升级和打安全补丁。
个人计算机上不得安装与工作无关的软件。在服务器系统上 禁止安装与服务器所提供服务和应用无关的其它软件。
系统设备和应用软件的登录提示应对可能的攻击尝试、非授 权访问提出警告。
主机系统的服务器、工作站所使用的操作系统必须进行登记。
登记记录上应该标明厂家、操作系统版本、已安装的补丁程序号、 安装和升级的时间等内容,并进行存档保存。
重要的主机系统在系统启用、重新安装或者升级时应建立系 统镜像,在发生网络安全问题时利用系统镜像对系统进行完整性 检查。
服务器、网络设备、计算机安全系统(如防火墙、入侵检测 系统等)等应具备日志功能并必须启用。网络信息安全管理员要 定期分析网络安全系统和操作系统日志,在发现系统遭受攻击或 者攻击尝试时采取安全措施进行保护,对网络攻击或者攻击尝试 进行定位、跟踪并发出警告,并向网络信息安全领导小组报告。
系统日志必须保存三个月以上。
新建计算机网络、应用系统必须同时进行网络信息安全的设 计。
互联网信息安全 公司对外网站、需定期做安全检查,并设 置好相关的信息发布、管理权限,防止有害信息传播。
各部门搭建的电子邮件系统,禁止开启匿名转发功能,并应 按有关规定从技术、管理上采取有效措施过滤垃圾电子邮件及有 害信息。
数据安全 需要保护的重要数据至少包括:
1)重要文件、资料、图纸(电子版)。
2)财会系统数据库。
3)重要主机系统的系统数据。
4)其他重要数据。
各部门计算机管理部门应制定数据备份策略及重要数据灾 难恢复计划,及时做好数据备份及恢复。
对数据备份必须有明确的记录,在记录中标明备份内容、备 份时间,备份操作人员等信息。对于重要数据的备份必须异地存 放,并做好相关的异地备份记录。
各部门必须每年至少进行一次数据备份策略的有效性的验 证,对数据恢复过程进行试验,确保在发生安全问题时能够从数 据备份中进行恢复。
各部门计算机管理部门应对所管理系统上存储的数据进行 登记备案,登记的内容主要包括:需要保护的数据、存储的位置、 存储的形式、安全控制的方法和措施、负责安全管理和日常备份 的人员、可以访问数据的用户、访问的方式以及权限。
涉及企业秘密及具有高保密性要求(如口令文件)的数据在 传输、存贮时应加密。
禁止在没有采用安全保护机制的计算机上存储重要数据,在 存储重要数据的计算机至少应该有开机口令、登录口令、数据库 口令、屏幕保护等防护措施。禁止在个人计算机上存放重要数据。
不得以软盘或者笔记本电脑等形式将重要数据带出系统。如 确实必需,须将数据用安全可靠的加密手段加密存储,并将存储 的软盘或笔记本电脑比照密级文件管理。
安全管理 各部门必须对本部门的计算机信息及网络安全进 行经常性的检查、检测:
1)系统安全检查应每月检查、检测一次;
2)计算机病毒防治应每月至少全面检查一次;
3)数据备份应每月检查一次。
检查发现计算机信息及网络安全隐患,应组织安全隐患整治, 不能马上整治的,应采取有效措施预防网络信息安全事件和案件 的发生。
发生计算机信息及网络安全事件,应马上组织人员妥善处理, 防止扩散影响。触犯刑律的,应保存证据,报告公安机关,并配 合查处。
发生重大计算机信息及网络安全事件须在 24 小时内上报。
各部门应对用户及本部门员工进行网络信息安全宣传,宣传 有关国家法律、法规和网络信息安全知识,加强用户的法律意识 和安全意识,不得从事任何危害网络信息安全的行为。
顾客网络信息安全 维护人员不得将顾客系统的密码泄露给
他人。
维护人员因工作原因进入顾客系统是,不得复制、删除、修
改顾客信息。
进入顾客系统应使用专用计算机,该计算机应每周进行杀毒,
以防将病毒传入顾客系统。
维护人员的客户端应及时升级或更新,确保其与顾客系统的
版本保持一致。
篇七:网络数据和信息安全管理规范
X
X
X
X
有
限
公
司
WHB-08
网络数据和信息安全管理规范
版本号:
A/0
编制人:
XXX
审核人:
XXX
批准人:
XXX
20XX 年 X 月 X 日发布
20XX 年 X 月 X 日实施
目的 计算机网络为公司局域网提供网络基础平台服务和互联网接入服务。为保证公司计算
机信息及网络能够安全可靠的运行,充分发挥信息服务方面的重要作用,更好的为公司运 营提供服务,依据国家有关法律、法规的规定,结合公司实际情况制定本规定。
术语
本规范中的名词术语(比如“计算机信息安全”等)符合国家以及行业的相关规定。
计算机信息安全是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被 非法系统辨识,控制。即确保信息的完整性、保密性、可用性和可控性。包括操作系统安 全、数据库安全、病毒防护、访问权限控制、加密与鉴别等七个方面。
狭义上的计算机信息安全,是指防止有害信息在计算机网络上的传播和扩散,防止计算机 网络上处理、传输、存储的数据资料的失窃和毁坏,防止内部人员利用计算机网络制作、 传播有害信息和进行其他违法犯罪活动。
网络安全,是指保护计算机网络的正常运行,防止网络被入侵、攻击等,保证合法用户对 网络资源的正常访问和对网络服务的正常使用。
计算机及网络安全员,是指从事的保障计算机信息及网络安全工作的人员。
普通用户,是指除了计算机及网络安全员之外的所有在物理或者逻辑上能够访问到互联 网、企业计算机网及各应用系统的公司内部员工。
主机系统,指包含服务器、工作站、个人计算机在内的所有计算机系统。本规定所称的重 要主机系统指生产、办公用的 Web 服务器、Email 服务器、DNS 服务器、OA 服务器、企业 运营管理支撑系统服务器、文件服务器、各主机系统等。
网络服务,包含通过开放端口提供的网络服务,如 WWW、Email、FTP、Telnet、DNS 等。
有害信息,参见国家现在法律法规的定义。
重大计算机信息安全事件,是指公司对外网站(电子公告板等)上出现有害信息;有害信 息通过 Email 及其他途径大面积传播或已造成较大社会影响;计算机病毒的蔓延;重要文 件、数据、资料被删除、篡改、窃取;由安全问题引起的系统崩溃、网络部分或全部瘫痪、 网络服务部分或全部中断;系统被入侵;页面被非法替换或者修改;主机房及设备被人为 破坏;重要计算机设备被盗窃等事件。
组织架构及职责分工 公司设立计算机信息及网络安全领导小组,作为公司计算机信息安全工作的领导机构,统 一归口负责外部部门(政府和其他部门)有关计算机信息安全工作和特定事件的处理。
计算机信息及网络安全领导小组负责领导、检查、督促、制定信息安全策略、规章制度和 措施,加强计算机信息安全工作的管理和指导,落实国家有关计算机信息安全的法律、法 规和上级有关规定,保障公司的计算机信息的安全。
计算机信息及网络安全工作实行“谁主管,谁负责”的原则,各部门负责人对本部门计算 机信息及网络安全负直接责任。
各部门必须配备由计算机技术人员担任本部门的计算机及网络安全员,并报公司计算机信 息及网络安全领导小组备案。各部门计算机及网络安全员负责本部门计算机信息及网络安 全的技术规划和安全措施的具体实施和落实。
相关岗位信息安全职责:
1)负责本部门计算机信息及网络安全工作的具体实施,及时掌握和处理有关信息安 全问题。
2)定期或不定期检测本部门计算机信息及网络安全情况,发现安全漏洞和隐患及时 报告,并提出整改意见、建议和技术措施。
3)指导和监督、检查本部门员工在计算机信息安全防护、数据保护及账号、口令设 置使用的情况。
4)发现计算机信息安全问题,及时处理,保护现场,追查原因,并报部门计算机信 息安全领导小组。
5)定期分析计算机安全系统日志,并作相应处理。
6)验证本部门重要数据保护对象的安全控制方法和措施的有效性,对于不符合安全 控制要求的提出技术整改措施,对本部门的数据备份策略进行验证并实施。
7)负责所管理的计算机主机系统及网络设备的安全管理和安全设置工作。
8)负责所管理计算机主机系统和网络设备的用户账号及授权管理。
9)定期分析操作系统日志,定期或不定期检查系统进程,在发现异常的系统进程或者 系统进程数量的异常变化要及时进行处理。
10)负责指导并督促用户设置高安全性的账号口令和安全日志。
11)进行计算机信息安全事件的排除和修复,包括操作系统、应用系统、文件的恢复 以及安全漏洞的修补。
12)在正常的系统升级后,对系统重新进行安全设置,并对系统进行技术安全检查。
13)根据上级和本级计算机信息安全领导的要求,按照规定的流程进行系统升级或安 全补丁程序的安装。
14)管理本部门的计算机网络服务和相应端口,并进行登记备案和实施技术安全管理。
15)根据数据备份策略,完成所管理系统数据的备份、备份介质保管、数据恢复工作。
1)自觉遵守计算机信息及网络安全的法律、法规和规定。
2)负责所使用个人计算机设备及数据和业务系统账号的安全。
3)发现本部门计算机网存在的安全隐患及安全事件,及时报告部门计算机管理部门。
4)不得擅自安装、维护公司所有网络设备(包括路由器、交换机、集线器、光纤、 网线),不得私自接入网络。
各部门应保持计算机及网络安全员的相对稳定,并加强对计算机及网络安全员的教育和技 术培训。在计算机及网络安全员调动、离职或者其他原因离开原岗位时,应将其涉及的用 户账号和权限及时进行变更或注销。
系统安全规定 公司计算机机房由计算机管理部门负责管理,并建立出入登记和审批制度。携带计算机设 备及磁盘等存储介质进、出主机房,应经主管部门同意,并由机房管理人员进行核查登记。
各部门计算机管理部门应指定专人负责本部门计算机设备的管理,做好计算机设备的增 添、维修、调拨等的审核与管理。计算机设备维修特别是需离场维修或承包给企业外部人 员维护、维修时,应核实该设备中是否存储有涉及企业秘密、不宜公开的内部资料和账号、 密码等,如有应采取拆卸硬盘、有效删除有关资料等有效措施,防止泄密。
使用、操作计算机设备时,应遵循以下安全要求:
1)保管好自己使用或所负责保管计算机设备的账号、口令,并不定期更换口令,不 得转借、转让账号。
2)不安装和使用来历不明、没有版权的软件,对于外来的软件、数据文件等,必须 先经病毒检测,确认无感染、携带病毒后方可使用。
3)不在个人使用的计算机上安装与工作无关的软件。
4)不擅自更改设备的 IP 地址及网络拓扑结构及软、硬件配置。
5)在存储有重要数据的计算机上,应设置开机密码、屏幕保护密码。
6)在个人计算机上安装防病毒软件,并开启实时病毒监测功能,及时升级病毒库和 软件。
7)非经计算机管理部门的有效许可,不得对网络进行安全(漏洞)扫描和对账号、 口令及数据包进行侦听;不得利用网络服务实施网络攻击、散布病毒和发布有害信息。在 网络设备及主机系统进行操作还应该遵循有关网络安全规定。
账号管理安全 账号的设置必须遵循“唯一性、必要性、最小授权”的原则。
唯一性原则是指每个账号对应一个用户,不允许多人共同拥有同一账号。
必要性原则是指账号的建立和分配应根据工作的必要性进行分配,不能根据个人需 要、职位进行分配,禁止与所管理主机系统无关的人员在系统上拥有用户账号,要根据工 作变动及时关闭不需要的系统账号。
最小授权原则是指对账号的权限应进行严格限制,其权限不能大于其工作、业务需要。
超出正常权限范围的,要经主管领导审批。
系统中所有的用户(包括超级权限用户和普通用户)必须登记备案,并定期审阅。
严禁用户将自己所拥有的用户账号转借他人使用。
员工发生工作变动,必须重新审核其账号的必要性和权限,及时取消非必要的账号和调整 账号权限;如员工离开本部门,须立即取消其账号。
在本部门每个应用系统、网络工程验收后,应立即删除系统中所有的测试账号和临时账号, 对需要保留的账号口令重新进行设置。
系统管理员必须定期对系统上的账号及使用情况进行审核,发现可疑用户账号时及时核实 并作相应的处理,对长期不用的用户账号进行锁定。
一般情况下不允许外部人员直接进入主机系统进行操作。在特殊情况下(如系统维修、 升级等)外部人员需要进入系统操作,必须由系统管理员进行登录,并对操作过程进行记 录备案。禁止将系统用户及口令直接交给外部人员。
口令安全管理 口令的选取、组成、长度、修改周期应符合安全规定。禁止使用名字、姓氏、电话号码、 生日等容易猜测的字符串作为口令,也不要使用单个单词作为口令,在口令组成上必须包 含大小写字母、数字、标点等不同的字符组合,口令长度要求在 8 位以上。
重要的主机系统,要求至少每个月修改口令,对于管理用的工作站和个人计算机,要求至 少每两个月修改口令。
重要的主机系统应逐步采用一次性口令及其它可靠的身份认证技术。
本地保存的用户口令应加密存放,防止用户口令泄密。
软件安全管理:
不安装和使用来历不明、没有版权的软件。
不得在重要的主机系统上安装测试版的软件。
开发、修改应用系统时,要充分考虑系统安全和数据安全,从数据的采集、传输、处理、 存贮,访问控制等方面进行论证,测试、验收时也必须进行相应的安全性能测试、验收。
操作系统和应用软件应根据其本身存在的安全漏洞及时进行必须的安全设置、升级和打安 全补丁。
个人计算机上不得安装与工作无关的软件。在服务器系统上禁止安装与服务器所提供服务 和应用无关的其它软件。
系统设备和应用软件的登录提示应对可能的攻击尝试、非授权访问提出警告。
主机系统的服务器、工作站所使用的操作系统必须进行登记。登记记录上应该标明厂家、 操作系统版本、已安装的补丁程序号、安装和升级的时间等内容,并进行存档保存。
重要的主机系统在系统启用、重新安装或者升级时应建立系统镜像,在发生网络安全问题 时利用系统镜像对系统进行完整性检查。
服务器、网络设备、计算机安全系统(如防火墙、入侵检测系统等)等应具备日志功能并 必须启用。网络信息安全管理员要定期分析网络安全系统和操作系统日志,在发现系统遭 受攻击或者攻击尝试时采取安全措施进行保护,对网络攻击或者攻击尝试进行定位、跟踪 并发出警告,并向网络信息安全领导小组报告。系统日志必须保存三个月以上。
新建计算机网络、应用系统必须同时进行网络信息安全的设计。
互联网信息安全 公司对外网站、需定期做安全检查,并设置好相关的信息发布、管理权限,防止有害信息 传播。
各部门搭建的电子邮件系统,禁止开启匿名转发功能,并应按有关规定从技术、管理上采 取有效措施过滤垃圾电子邮件及有害信息。
数据安全 需要保护的重要数据至少包括:
1)重要文件、资料、图纸(电子版)。
2)财会系统数据库。
3)重要主机系统的系统数据。
4)其他重要数据。
各部门计算机管理部门应制定数据备份策略及重要数据灾难恢复计划,及时做好数据备份 及恢复。
对数据备份必须有明确的记录,在记录中标明备份内容、备份时间,备份操作人员等信息。
对于重要数据的备份必须异地存放,并做好相关的异地备份记录。
各部门必须每年至少进行一次数据备份策略的有效性的验证,对数据恢复过程进行试验, 确保在发生安全问题时能够从数据备份中进行恢复。
各部门计算机管理部门应对所管理系统上存储的数据进行登记备案,登记的内容主要包 括:需要保护的数据、存储的位置、存储的形式、安全控制的方法和措施、负责安全管理 和日常备份的人员、可以访问数据的用户、访问的方式以及权限。
涉及企业秘密及具有高保密性要求(如口令文件)的数据在传输、存贮时应加密。
禁止在没有采用安全保护机制的计算机上存储重要数据,在存储重要数据的计算机至少应 该有开机口令、登录口令、数据库口令、屏幕保护等防护措施。禁止在个人计算机上存放 重要数据。
不得以软盘或者笔记本电脑等形式将重要数据带出系统。如确实必需,须将数据用安全可 靠的加密手段加密存储,并将存储的软盘或笔记本电脑比照密级文件管理。
安全管理 各部门必须对本部门的计算机信息及网络安全进行经常性的检查、检测:
1)系统安全检查应每月检查、检测一次;
2)计算机病毒防治应每月至少全面检查一次;
3)数据备份应每月检查一次。
检查发现计算机信息及网络安全隐患,应组织安全隐患整治,不能马上整治的,应采取有 效措施预防网络信息安全事件和案件的发生。
发生计算机信息及网络安全事件,应马上组织人员妥善处理,防止扩散影响。触犯刑律的, 应保存证据,报告公安机关,并配合查处。
发生重大计算机信息及网络安全事件须在 24 小时内上报。
各部门应对用户及本部门员工进行网络信息安全宣传,宣传有关国家法律、法规和网络信 息安全知识,加强用户的法律意识和安全意识,不得从事任何危害网络信息安全的行为。
顾客网络信息安全 维护人员不得将顾客系统的密码泄露给他人。
维护人员因工作原因进入顾客系统是,不得复制、删除、修改顾客信息。
进入顾客系统应使用专用计算机,该计算机应每周进行杀毒,以防将病毒传入顾客系统。
维护人员的客户端应及时升级或更新,确保其与顾客系统的版本保持一致。
篇八:网络数据和信息安全管理规范
XXXX
WHB-08
网络数据和信息安全管理规
版本号: 编制人:
审核人:
批准人:
A/0 XXX XXX XXX
20XX 年 X 月 X 日发布
20XX 年 X 月 X 日实施
1.0 目的 计算机网络为公司局域网提供网络基础平台服务和互联网接入服务。为保证公司计算
机信息及网络能够安全可靠的运行,充分发挥信息服务方面的重要作用,更好的为公司运 营提供服务,依据国家有关法律、法规的规定,结合公司实际情况制定本规定。
2.0 术语
本规中的名词术语(比如“计算机信息安全”等)符合国家以及行业的相关规定。
2.1 计算机信息安全是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信 息被非法系统辨识,控制。即确保信息的完整性、性、可用性和可控性。包括操作系统安 全、数据库安全、病毒防护、访问权限控制、加密与鉴别等七个方面。
2.2 狭义上的计算机信息安全,是指防止有害信息在计算机网络上的传播和扩散,防止计 算机网络上处理、传输、存储的数据资料的失窃和毁坏,防止部人员利用计算机网络制作、 传播有害信息和进行其他犯罪活动。
2.3 网络安全,是指保护计算机网络的正常运行,防止网络被入侵、攻击等,保证合法用 户对网络资源的正常访问和对网络服务的正常使用。
2.4 计算机及网络安全员,是指从事的保障计算机信息及网络安全工作的人员。
2.5 普通用户,是指除了计算机及网络安全员之外的所有在物理或者逻辑上能够访问到互 联网、企业计算机网及各应用系统的公司部员工。
2.6 主机系统,指包含服务器、工作站、个人计算机在的所有计算机系统。本规定所称的 重要主机系统指生产、办公用的 Web 服务器、Email 服务器、DNS 服务器、OA 服务器、 企业运营管理支撑系统服务器、文件服务器、各主机系统等。
2.7 网络服务,包含通过开放端口提供的网络服务,如 WWW、Email、FTP、Telnet、 DNS 等。
2.8 有害信息,参见国家现在法律法规的定义。
2.9 重大计算机信息安全事件,是指公司对外(电子公告板等)上出现有害信息;有害信 息通过 Email 及其他途径大面积传播或已造成较大社会影响;计算机病毒的蔓延;重要 文件、数据、资料被删除、篡改、窃取;由安全问题引起的系统崩溃、网络部分或全部瘫 痪、网络服务部分或全部中断;系统被入侵;页面被非法替换或者修改;主机房及设备被 人为破坏;重要计算机设备被盗窃等事件。
3.0 组织架构及职责分工 3.1 公司设立计算机信息及网络安全领导小组,作为公司计算机信息安全工作的领导机 构,统一归口负责外部部门(政府和其他部门)有关计算机信息安全工作和特定事件的处 理。
3.3 计算机信息及网络安全领导小组负责领导、检查、督促、制定信息安全策略、规章制 度和措施,加强计算机信息安全工作的管理和指导,落实国家有关计算机信息安全的法律、 法规和上级有关规定,保障公司的计算机信息的安全。
3.4 计算机信息及网络安全工作实行“谁主管,谁负责”的原则,各部门负责人对本部门 计算机信息及网络安全负直接责任。
3.5 各部门必须配备由计算机技术人员担任本部门的计算机及网络安全员,并报公司计算 机信息及网络安全领导小组备案。各部门计算机及网络安全员负责本部门计算机信息及网 络安全的技术规划和安全措施的具体实施和落实。
3.6 相关岗位信息安全职责:
3.6.1 计算机及网络安全员:
1)负责本部门计算机信息及网络安全工作的具体实施,及时掌握和处理有关信息安 全问题。
2)定期或不定期检测本部门计算机信息及网络安全情况,发现安全漏洞和隐患及时
报告,并提出整改意见、建议和技术措施。
3)指导和监督、检查本部门员工在计算机信息安全防护、数据保护及账号、口令设
置使用的情况。
4)发现计算机信息安全问题,及时处理,保护现场,追查原因,并报部门计算机信
息安全领导小组。
5)定期分析计算机安全系统日志,并作相应处理。
6)验证本部门重要数据保护对象的安全控制方法和措施的有效性,对于不符合安全
控制要求的提出技术整改措施,对本部门的数据备份策略进行验证并实施。
7)负责所管理的计算机主机系统及网络设备的安全管理和安全设置工作。
8)负责所管理计算机主机系统和网络设备的用户账号及授权管理。
9)定期分析操作系统日志,定期或不定期检查系统进程,在发现异常的系统进程或者
系统进程数量的异常变化要及时进行处理。
10)负责指导并督促用户设置高安全性的账号口令和安全日志。
11)进行计算机信息安全事件的排除和修复,包括操作系统、应用系统、文件的恢
复以及安全漏洞的修补。
12)在正常的系统升级后,对系统重新进行安全设置,并对系统进行技术安全检查。
13)根据上级和本级计算机信息安全领导的要求,按照规定的流程进行系统升级或
安全补丁程序的安装。
14)管理本部门的计算机网络服务和相应端口,并进行登记备案和实施技术安全管
理。
15)根据数据备份策略,完成所管理系统数据的备份、备份介质保管、数据恢复工
作。
3.6.2 普通用户职责:
1)自觉遵守计算机信息及网络安全的法律、法规和规定。
2)负责所使用个人计算机设备及数据和业务系统账号的安全。
3)发现本部门计算机网存在的安全隐患及安全事件,及时报告部门计算机管理部门。
4)不得擅自安装、维护公司所有网络设备(包括路由器、交换机、集线器、光纤、 网线),不得私自接入网络。
3.7 各部门应保持计算机及网络安全员的相对稳定,并加强对计算机及网络安全员的教育 和技术培训。在计算机及网络安全员调动、离职或者其他原因离开原岗位时,应将其涉及 的用户账号和权限及时进行变更或注销。
4.0 系统安全规定 4.1 公司计算机机房由计算机管理部门负责管理,并建立出入登记和审批制度。携带计算 机设备及磁盘等存储介质进、出主机房,应经主管部门同意,并由机房管理人员进行核查 登记。
4.2 各部门计算机管理部门应指定专人负责本部门计算机设备的管理,做好计算机设备的 增添、维修、调拨等的审核与管理。计算机设备维修特别是需离场维修或承包给企业外部 人员维护、维修时,应核实该设备中是否存储有涉及企业秘密、不宜公开的部资料和账号、 密码等,如有应采取拆卸硬盘、有效删除有关资料等有效措施,防止泄密。
4.3 使用、操作计算机设备时,应遵循以下安全要求:
1)保管好自己使用或所负责保管计算机设备的账号、口令,并不定期更换口令,不 得转借、转让账号。
2)不安装和使用来历不明、没有的软件,对于外来的软件、数据文件等,必须先经 病毒检测,确认无感染、携带病毒后方可使用。
3)不在个人使用的计算机上安装与工作无关的软件。
4)不擅自更改设备的 IP 地址及网络拓扑结构及软、硬件配置。
