(三) 用户及权限管理 1. 密码管理
人员的登录名及密码设置必须按照规定流程进行相应审批;
人员的登录密码应该具六位以上的长度和一定的复杂度,并做到及时更新; 系统管理员的登录名及密码必须由专人保管和修改,严格限定使用范围; 禁止共享帐号和密码,禁止使用密码检查工具;
用户丢失或遗忘登录名及密码,必须通过规定的流程向系统管理员申请新的登录名及密码;
用户调离单位后,系统管理员必须立即注销其登录名并取消其相应的权限。 2. 密钥及数字证书的管理
必须设立专职人员对密钥和数字证书进行管理(注册证书、分发证书、撤销证书、使用证书);
数字证书中的有关信息一旦失效,应该将证书及时撤销;
数字证书持有人必须妥善保护证书,不容许转借他人,遗失后 必须立即报告;如果由此造成严重后果, 必须按有关规定严肃处理,甚至追究法律责任;
建立数字证书丢失之后的可靠注销机制; 建立定期更新数字证书的机制; 3. 权限管理
针对不同的网络系统,对不同的用户实体、不同的使用人员按最小化原则赋予相应的访问权限和操作权限。
禁止滥用系统资源;
禁止未经许可查看别人的文件;
系统管理员不得随意在系统中增加帐号,随意修改权限,不得未经许可委托他人行使管理员权利;
操作人员登陆进入关键的业务系统(如SCADA系统、电力交易系统)实施双因子安全访问控制,应持有数字证书和口令;对关键的控制操作应该进行身份认证及操作权限控制。
三、工程实施的安全管理
1. 新建的信息网络和信息系统工程设计和实施必须符合国家有关安全防护的标准、法规、法令、规定、导则等,实施方案须上报国电宿迁热电有限公司综合管理部审批,完工后必须经过国电宿迁热电有限公司综合管理部的验收;
2. 信息网络和信息系统的相关设备及系统的供应商必须承诺:所提供的设备
及系统中不包含任何安全隐患,并在设备及系统的生命期(自交付至退役为止)内承担由此引起的连带责任。
3. 新接入国电宿迁热电有限公司广域网的节点、设备和应用系统,须经国电宿迁热电有限公司综合管理部审查、批准;
4. 所有信息网络与信息系统在投运前必须进行安全评估。 四、联合防护制度
1. 国电宿迁热电有限公司所属各单位及其他方式接入单位应该紧密联合进行安全防护;
2. 各单位及时通报安全防护的形式、经验及教训;
3. 当某单位的信息网络与信息系统出现安全事故或遭到黑客攻击时,应该及时向上级部门报告,并通报有网络连接的相邻单位,采取联合防护措施(包括:阻断措施、隔离措施、跟踪措施、根除措施、恢复措施等),防止事故的扩大,以保证整个系统的正常运行;
4. 各单位安全防护领导小组定时召集所属各部门的安全工作会议,交流各单位使用的安全防护技术、制定的规范、以及经验和教训,以不断提高信息安全防护的整体水平。
五、故障上报
为保证信息安全,出现故障时,严格按故障上报流程处理。 故障上报流程如下:
发现故障
专责工程师
判断故障性质
故障记录
信息主管
应急小组 故障处理
受到影响的相关单位 处理记录
公司领导
所有与处理紧急时间直接相关的应急小组成员、专责工程师、集成商等人员的姓名、联系电话、电子邮件地址和传真号码等应记录在应急处理备忘录中。
制定故障处理流程,出现故障后,可保证最短时间内恢复系统的正常运行,减少故障所带来的损失和影响。
对设备和系统预想出现的故障要有预案。
第九章 审计评估
要求对网络运行日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志等进行安全审计,提交《安全审计记录》与《安全审计报告》。
《安全审计记录》与《安全审计报告》必须设置访问权限,确认只有被授权的管理人员才可能访问它们。
分析《安全审计记录》与《安全审计报告》时,若发现正在、可能或已经危害到系统安全的行为,则应及时报告安全管理的主管人员。
网络机房管理制度(试行)
为保障国电宿迁热电有限公司网络系统的安全运行,特制定本机房管理制度。
一、机房工作制度
1. 公司信息网络实行7×24h运行。
2. 机房工作人员进入机房,必须遵守相关工作制度和条例,不得从事与本职工作无关的事宜。每天下班之前,须检查设备电源情况,在确保安全的情况下,方可离开。
3. 非机房工作人员,未经相关管理部门批准,禁止进入机房和使用机房设备。外单位人员因工作需要进入机房时,必须办理审批手续,由相关管理部门批准后方
可进入机房,进入机房后,必须听从工作人员的安排,未经许可,不得动用机房内设施。
4. 为防止磁记录的破坏,机房内不准使用磁化杯、收音机等产生磁场的物体。 5. 机房工作人员要严格按照设备操作规程进行操作,保证设备处于良好运行状态。
6. 机房温度要保持在18±5℃,相对湿度在50%±5%。
7. 做好机房和设备的卫生清扫工作,定期对设备进行除尘。保证机房和设备卫生、整洁。
8. 机房设备必须符合防雷、防静电规定的措施,每年进行一次全面检查处理,计算机及辅助设备的电源必须是接地的电源。
9. 工作人员必须做好防火、防水、防盗等工作。
10. 机房电源不可随意断开,对重要设备必须提供双套电源,并配备UPS净化电源供电。如特需停电检修,必须提出书面申请,制定相应技术措施,并指明电源恢复时间。
11. 维修工具由指定人员负责保管,除维修人员外,其他人不得擅自使用。
二、运行维护制度
1. 严格按程序上机操作,发现故障要及时解决、申报。 2. 做好机房财产登记,做好设备购置、使用和维修的记录。
3. 机房工作人员必须严格执行保密规定,不得泄露相关技术信息、档案文件等机密资料,不得泄露密码口令。凡需查用相关技术档案资料者,必须经相关部门批准,履行登记手续方可查阅。
4. 机房工作人员必须爱护机房设备,不得私自拆卸搬移设备或私自出借机房物品。
5. 登记并处理计算机出现的故障,相关维护人员必须认真处理网络及相关数据,如出现错误要立即更正。
6. 计算机及联网设备由专人定期进行管理检查,注意维护和保养。 7. 定期进行重要数据的备份工作,修改应用程序要重新备份并交管理人员保存,同时做好书面记录。
8. 建立机房“运行日志”制度,记录值班人员,设备、网络、主机与应用系统的运行状态、备份、故障和安全等情况。
三、软件管理制度
1. 软件介质需由专人,并设专柜管理,做到不丢失、不损坏。 2. 系统软件、备份磁盘要登记入册,以便随时查用。
3. 机房内光盘、软盘等存储介质及相关参考资料由专人负责保管。 4. 软件及技术资料借、还必须办理相关手续,非本单位人员借用,须经相关部门批准后方可借出。
5. 机房内各类服务器以及网络设备中开设的帐户和口令为保密信息,仅供系统管理员使用,系统管理员应当对各设备使用的密码进行保密,不得向任何单位和个人提供这些信息。
6. 严格管理设备的用户密码、用户权限、IP 地址、网关、DNS配置、电子信箱、账户信息等技术参数。服务软件的安装与设置,未经主管部门批准,不得擅自修改相关的系统配置信息。
7. 未经许可,严禁私自在设备上安装非工作用的软件、严禁擅自在网络上传送非工作信息。
四、安全管理制度
1. 禁止下载因特网上任何未经确认其安全性的软件,严禁使用盗版软件及游戏软件。
2. 密码管理:密码的编码必须采用尽可能长并不易被猜测的字符串,不能通过电子邮件等明文方式传输,密码必须定期更新。
3. 登录策略:仅给经过授权的用户保留帐号,不得设置多人共用的帐号,连续登录三次失败,须暂时禁止此帐号的使用并通知该帐号用户。
4. 普通系统用户:未经相关部门许可,禁止与其他人员共享帐号和密码;禁止运行网络监听工具或其他黑客工具;禁止查阅别人的文件。
5. 系统管理员:不得随意在系统中增加帐号,随意修改权限,未经管理部门的许可,严禁委托他人行使管理员权利。
五、病毒防护
1. 实行专人负责检测病毒,定期进行检查,配备相应的实时病毒检测工具。 2. 严禁随意使用软盘和U盘等存储介质,如工作需要,须通过查毒软件检测。 3. 严禁以任何途径和媒体传播计算机病毒。对于传播和感染计算机病毒者,
视情节轻重,给予适当的处分。对于制造病毒或修改病毒程序制成者,要给予严肃的处理。
4. 发现病毒,应及时对感染病毒的设备进行隔离,情况严重时,报相关部门并及时妥善处理。
5. 实时进行防病毒监控,做好防病毒软件和病毒代码的智能升级。
六、附 则
1. 本制度解释权属综合管理部。 2. 本制度自公布之日起执行。