本方案針對浙江移動(dòng)網(wǎng)管中心所涉及的所有小業(yè)務(wù)平臺的安全管理�����,方案涉及的內(nèi)容包含機(jī)房安全管理,機(jī)房核心網(wǎng)絡(luò)的安全�,小業(yè)務(wù)系統(tǒng)平臺的安全。
第一章 機(jī)房的安全管理
加強(qiáng)對通信機(jī)房的安全管理��,杜絕人為因素對通信機(jī)房造成影響�,為通信設(shè)備提供安全的運(yùn)行環(huán)境,保證機(jī)房內(nèi)設(shè)備處于最佳運(yùn)行狀態(tài)���。
1.1 機(jī)房環(huán)境管理
1.機(jī)房應(yīng)建立防塵緩沖帶,備有工作服和工作鞋�����。
2.所有人員進(jìn)機(jī)房操作時(shí)應(yīng)穿工作鞋�����。
3.機(jī)房應(yīng)防塵�,窗戶必須全密封、遮光����。環(huán)境要整潔、設(shè)施擺放整齊�����。
4.機(jī)房內(nèi)的溫度、濕度應(yīng)符合維護(hù)技術(shù)指標(biāo)要求�,保持正常通風(fēng)。
5.機(jī)房應(yīng)有良好防靜電措施����。
6.機(jī)房照明設(shè)施工作正常,機(jī)房照明與設(shè)備用電分開���。機(jī)房照明應(yīng)有應(yīng)急備用�,各類照明設(shè)備要由專人負(fù)責(zé)���,定期檢修.
7.機(jī)房應(yīng)做好防水����、防火�����、防爆���、防盜���、防雷����、防凍��、防潮等工作���。
1.2 機(jī)房設(shè)備管理
1.機(jī)房內(nèi)嚴(yán)禁從事與工作無關(guān)的各項(xiàng)工作��,嚴(yán)禁飲食���、睡覺���、閑談����。各種與工作無關(guān)的書刊�、報(bào)紙不準(zhǔn)帶入機(jī)房。
2.存放運(yùn)輸各種計(jì)費(fèi)帶�、光盤、后備帶����、軟盤等應(yīng)有防磁屏蔽及保護(hù)設(shè)施�。
3.機(jī)房維護(hù)終端不可安裝各種與設(shè)備維護(hù)無關(guān)的應(yīng)用程序���,不可使用外來磁盤進(jìn)行數(shù)據(jù)拷貝���。維護(hù)終端應(yīng)該有明確的防病毒措施,定期進(jìn)行檢查�。
4.機(jī)房內(nèi)各種圖紙、文件��、工具����、儀表未經(jīng)允許不準(zhǔn)擅自帶出機(jī)房,使用后歸還原處���。
5. 因公司機(jī)房大部分為無人值守機(jī)房�����,所以必須安裝環(huán)境監(jiān)視告警裝置�����,告警裝置要與監(jiān)控中心相連���,網(wǎng)絡(luò)維護(hù)中心應(yīng)有專人負(fù)責(zé)動(dòng)力環(huán)境監(jiān)控系統(tǒng)的管理工作���,動(dòng)力環(huán)境監(jiān)控系統(tǒng)的監(jiān)測應(yīng)實(shí)行24小時(shí)值班,使發(fā)生火警�、濕度、溫度����、煙霧、門鈴�����、電源�����、空調(diào)等告警信號時(shí)及時(shí)處理�。
6.網(wǎng)絡(luò)維護(hù)中心定期派人對機(jī)房及設(shè)施進(jìn)行巡視檢查�����。在狂風(fēng)雷雨等惡劣天氣前后應(yīng)加強(qiáng)巡視檢查,以確保通信機(jī)房內(nèi)外環(huán)境的良好與安全�。
7.搶修車輛應(yīng)定期檢查,如有損壞應(yīng)及時(shí)維修����,確保搶修需要。
1.3 機(jī)房安全管理
1.進(jìn)入機(jī)房的業(yè)務(wù)廠家人員或是協(xié)維人員都必須通過浙江移動(dòng)的安全知識考試����。
1.業(yè)務(wù)廠家要進(jìn)入機(jī)房,首先要由相應(yīng)業(yè)務(wù)平臺負(fù)責(zé)人以郵件的發(fā)送至移動(dòng)網(wǎng)管中心��,由網(wǎng)管中心申請作業(yè)計(jì)劃之后����,在協(xié)維人員陪同之下,方可進(jìn)入機(jī)房或者通過網(wǎng)管中心機(jī)房管理人員派發(fā)紙質(zhì)工單給廠家����,在協(xié)維人員陪同下,方可進(jìn)入機(jī)房進(jìn)行作業(yè)����。
2.協(xié)維人員若因故離職,協(xié)維公司必須將有關(guān)證件(協(xié)維資格證、機(jī)房出入證等)交還發(fā)證部門���,并每月通報(bào)協(xié)維人員變動(dòng)情況�����,所有協(xié)維人員應(yīng)嚴(yán)格遵守浙江移動(dòng)的各項(xiàng)規(guī)章制度���,網(wǎng)絡(luò)維護(hù)中心各專業(yè)室應(yīng)對所管理的協(xié)維人員進(jìn)行安全生產(chǎn)方面的考核。
3.機(jī)房(包括網(wǎng)絡(luò)維護(hù)中心辦公場地)禁止吸煙�,嚴(yán)禁存放和使用易燃易爆、劇毒及腐蝕性物品�����。
4.維護(hù)人員應(yīng)切實(shí)遵守安全制度��,認(rèn)真執(zhí)行用電����、防火的規(guī)定,做好防水��、防火�����、防爆�、防盜、防雷�、防凍、防潮等工作����,確保人身和設(shè)備的安全。
5.機(jī)房值班人員和維護(hù)人員應(yīng)加強(qiáng)防火安全學(xué)習(xí)���,定期進(jìn)行安全防火檢查�。一旦發(fā)生火情����,應(yīng)按公司制定的滅火流程進(jìn)行處理,并立即報(bào)告�。
6.機(jī)房必須配備一定數(shù)量的合適消防器材和防護(hù)用具。各種消防器材和防護(hù)用具應(yīng)按規(guī)定定點(diǎn)放置�,隨時(shí)保持有效,加強(qiáng)對消防設(shè)備代維公司的管理��,機(jī)房走線孔洞必須用防火泥進(jìn)行封堵���、過期的滅火裝置及時(shí)更換���。機(jī)房值班保安人員和維護(hù)人員應(yīng)掌握滅火常識和消防器材的使用�����。
7.各類機(jī)房應(yīng)有可靠避雷裝置, 雷雨季節(jié)應(yīng)加強(qiáng)對機(jī)房內(nèi)部安全設(shè)備�����、地線及防護(hù)電路的檢修和整改�����。
8.在維護(hù)��、測試�、磁帶更換�����、光盤更換����、故障處理�、日常操作以及工程施工等工作中, 應(yīng)采取預(yù)防措施, 防止造成工傷和通信事故�。
9.所有人員在離開機(jī)房時(shí)���,都必須清理機(jī)房���,完成之后方可離開機(jī)房。
第二章 機(jī)房核心網(wǎng)絡(luò)安全
2.1 機(jī)房網(wǎng)絡(luò)設(shè)備的管理
1.機(jī)房內(nèi)核心網(wǎng)絡(luò)設(shè)備����,接入IP網(wǎng)管
2.協(xié)維人員不得私自連接核心網(wǎng)絡(luò)設(shè)備,進(jìn)行上傳或是下載�。不得訪問敏感網(wǎng)站。
3.協(xié)維人員定期備份網(wǎng)絡(luò)配置�����,同時(shí)修改配置前都必須備份當(dāng)前配置�。
4.核心網(wǎng)絡(luò)設(shè)備的賬號管理:由協(xié)維團(tuán)隊(duì)專人進(jìn)行管理,所有的操作都必須有此人進(jìn)行����。
第三章 業(yè)務(wù)平臺的安全管理
小業(yè)務(wù)平臺的安全管理涉及協(xié)維團(tuán)隊(duì)和業(yè)務(wù)廠家,協(xié)維團(tuán)隊(duì)和業(yè)務(wù)廠家都掌握了業(yè)務(wù)平臺的部分賬號和權(quán)限���。
3.1 協(xié)維團(tuán)隊(duì)職責(zé)
針對小業(yè)務(wù)平臺的安全管理制度包含的機(jī)房設(shè)施安全���,信息安全�,操作安全等�,為保障增值業(yè)務(wù)平臺連續(xù)、穩(wěn)定運(yùn)行�,除了做好平臺設(shè)備監(jiān)控、例行檢查�、日常維護(hù)等工作外,還需要加強(qiáng)協(xié)維團(tuán)隊(duì)的安全管理����。
3.1.1 制度約束
第一條? 協(xié)維團(tuán)隊(duì)成員需要和中國移動(dòng)浙江公司及公司簽訂保密協(xié)議,保密協(xié)議中包含業(yè)務(wù)平臺的帳號信息���、用戶隱私信息�����、企業(yè)敏感信息等�。以下針對協(xié)維團(tuán)隊(duì)成員的安全制度����,所有成員務(wù)必遵守�����。
第二條? 任何員工不得制造或者故意輸入��、傳播計(jì)算機(jī)病毒和其他有害數(shù)據(jù),不得利用非法手段復(fù)制�、截收、篡改計(jì)算機(jī)信息系統(tǒng)中的數(shù)據(jù)����。
第三條? 協(xié)維人員禁止利用掃描、監(jiān)聽����、偽裝等工具對網(wǎng)絡(luò)和服務(wù)器進(jìn)行惡意攻擊,禁止非法侵入他人網(wǎng)絡(luò)和服務(wù)器系統(tǒng)����。
第四條? 增值業(yè)務(wù)平臺網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)�����、以及數(shù)據(jù)庫超級用戶帳號由協(xié)維團(tuán)隊(duì)專人進(jìn)行統(tǒng)一管理��、設(shè)置和分配并上報(bào)協(xié)維綜合管理員審核,針對各維護(hù)管理員設(shè)置相應(yīng)的隨機(jī)編號與身份證信息來分配賬號���。Root賬號須由專人進(jìn)行管理����。
第五條? 協(xié)維人員不得以任何理由修改和刪除系統(tǒng)和數(shù)據(jù)庫的各項(xiàng)日志����,同時(shí)日志需要雙機(jī)備份。需要清理日志的時(shí)候�,須提出申請并備份日志,待審計(jì)之后方可清理日志���。
第六條? 小業(yè)務(wù)平臺的資料涉及用戶和企業(yè)隱私和敏感信息��,應(yīng)該為文件加密���,非工作需要不得以任何形式轉(zhuǎn)移,更不得透露給他人����。離開原工作崗位的員工由項(xiàng)目經(jīng)理負(fù)責(zé)將其所有工作資料收回并保存。
第七條? 小業(yè)務(wù)廠家未做好備份前不得刪除任何硬盤數(shù)據(jù)。對重要的數(shù)據(jù)應(yīng)準(zhǔn)備雙份���,存放在不同的地點(diǎn)���;對采用磁性介質(zhì)或光盤保存的數(shù)據(jù),要定期進(jìn)行檢查����,定期進(jìn)行復(fù)制,防止由于磁性介質(zhì)損壞��,而使數(shù)據(jù)丟失�����;做好防磁��、防火�、防潮和防塵工作�����。
第八條? 協(xié)維團(tuán)隊(duì)將有針對性地對員工各項(xiàng)應(yīng)用技能進(jìn)行定期或不定期的培訓(xùn)��,培訓(xùn)成績將記入員工績效考核;由各維護(hù)管理員收集小業(yè)務(wù)平臺系統(tǒng)常見故障及排除方法并整理成冊�,供員工學(xué)習(xí)參考。
第九條 有以下情況之一者��,視情節(jié)嚴(yán)重程度處以1000元以上罰款����。構(gòu)成犯罪的,依法追究刑事責(zé)任���。
①制造或者故意輸入���、傳播計(jì)算機(jī)病毒以及其他有害數(shù)據(jù)的;
②非法復(fù)制��、截收�����、篡改計(jì)算機(jī)信息系統(tǒng)中的數(shù)據(jù)危害計(jì)算機(jī)信息系統(tǒng)安全�����;
③對網(wǎng)絡(luò)和服務(wù)器進(jìn)行惡意攻擊���,侵入他人網(wǎng)絡(luò)和服務(wù)器系統(tǒng)����;
④訪問未經(jīng)授權(quán)的文件、系統(tǒng)或更改設(shè)備設(shè)置���;通過計(jì)算機(jī)系統(tǒng)或是增值業(yè)務(wù)平臺獲取私利的�����。
⑤擅自調(diào)整機(jī)房內(nèi)部設(shè)備的安排且未向安全管理員備案��;
⑥利用職位之便���,私自泄露平臺用戶隱私和企業(yè)敏感信息的���;
⑦相同故障出現(xiàn)三次以上(包括三次)仍無法自行處理的�;
第十條 ?維護(hù)管理員因主觀操作不當(dāng)對設(shè)備造成破壞兩次以上或蓄意對設(shè)備造成破壞的�����,視情節(jié)嚴(yán)重��,按所破壞設(shè)備市場價(jià)值的20%~80%賠償,并給予行政處罰�。
3.1.2? 思想約束
針對協(xié)維團(tuán)隊(duì)所有的成員,定期進(jìn)行信息安全技術(shù)培訓(xùn)和信息安全知識宣傳�����,就最新的信息安全技術(shù)普及到每個(gè)人��;同時(shí)針對發(fā)生信息安全事故的案例進(jìn)行分析和風(fēng)險(xiǎn)評估��。培訓(xùn)計(jì)劃:至少1月/次���。
協(xié)維團(tuán)隊(duì)每個(gè)月會(huì)對所有成員進(jìn)行考核��,考核內(nèi)容中包含信息安全把控度����,將此作為考核中最重要的考核標(biāo)準(zhǔn)����,并納入個(gè)人的勞動(dòng)報(bào)酬體系當(dāng)中。
一旦發(fā)生安全事故將
3.1.3 操作約束
協(xié)維人員由于掌握著部分業(yè)務(wù)平臺的帳號密碼�����,擁有系統(tǒng)和數(shù)據(jù)庫的操作權(quán)限。以下針對業(yè)務(wù)平臺的帳號和操作權(quán)限進(jìn)行約束說明:
小業(yè)務(wù)平臺涉及的所有賬戶和密碼信息有協(xié)維團(tuán)隊(duì)專人進(jìn)行管理����,維護(hù)負(fù)責(zé)人員無創(chuàng)建用戶的權(quán)限,如果有人員變動(dòng)或者需要申請創(chuàng)建用戶權(quán)限�,由安全管理員進(jìn)行創(chuàng)建并分配相應(yīng)的權(quán)限。維護(hù)負(fù)責(zé)人只擁有部分維護(hù)權(quán)限��,如果有特殊需要��,須提出申請由安全管理員分配臨時(shí)的操作權(quán)限����,并在操作完成之后,即刻收回操作權(quán)限�。
小業(yè)務(wù)平臺類的帳號和密碼規(guī)則:帳號信息需要根據(jù)維護(hù)人員的公司以個(gè)人身份信息進(jìn)行綁定分配;密碼的長度必須大于10位���,同時(shí)須包含數(shù)字,字母和特殊字符等的組合密碼���。建議所有的密碼進(jìn)行二層加密進(jìn)行保存���,防止黑客攻擊之后獲取密碼�����。
維護(hù)帳號不得以任何形式提供給他人使用���。
3.1.4 日志審計(jì)
針對小業(yè)務(wù)系統(tǒng)包含很多的日志,協(xié)維人員無日志操作權(quán)限(添加����,修改,刪除等)�����,登錄系統(tǒng)的帳號都將對應(yīng)各自的登錄日志和操作日志�����。協(xié)維團(tuán)隊(duì)日志審計(jì)員����,定期系統(tǒng)產(chǎn)生的各項(xiàng)日志進(jìn)行審計(jì)。并根據(jù)實(shí)際情況�,對各個(gè)帳號的操作進(jìn)行風(fēng)險(xiǎn)評估,風(fēng)險(xiǎn)比較大的操作��,收回其操作權(quán)限。
根據(jù)審計(jì)結(jié)果�,針對協(xié)維團(tuán)隊(duì)所有維護(hù)員,進(jìn)行調(diào)崗和信息安全評選��。
如果在審計(jì)過程中����,發(fā)現(xiàn)維護(hù)員利用職位之便,泄露和傳播用戶隱私的相關(guān)操作���,將立即停職查看����,根據(jù)行為影響給予相應(yīng)的處罰��。
3.1.5 權(quán)限管理
權(quán)限管理將被分離出來�,作為獨(dú)立的一塊進(jìn)行管理。以下是實(shí)例��,為
Shfy5715用戶可以使用到的系統(tǒng)管理命令:
ls,ps,top,free,df,ifconfig,netstat,kill,tail,rm,vi,mv,date,mount,umount,iptables,tar,gzip,crontab,tcpdump,ping,traceroute,mtr,cat,cut,which,cp,ftp,telnet,ssh,who,w,last,hwclock,mkdir,touch,du,hwclock,pwd,scp,sftp,/etc/init.d/httpd start,/etc/init.d/httpd stop
shfy0000命令可以使用的系統(tǒng)管理命令
ls,ps,top,free,df,ifconfig,netstat,kill,tail,date,iptables,tar,gzip,crontab,tcpdump,ping,traceroute,mtr,cat,which,cp,ftp,telnet,ssh,who,w,last,hwclock,mkdir,touch,du,hwclock,pwd,scp,sftp,/etc/init.d/httpd start,/etc/init.d/httpd stop,rm
3.1.6 接入4A系統(tǒng)
增值業(yè)務(wù)平臺若配置symark系統(tǒng)�����,協(xié)維人員登陸系統(tǒng)前都必須登陸浙江移動(dòng)的symark系統(tǒng)��,對系統(tǒng)的登陸及操作都會(huì)在symark上留下日志�,可以追查到個(gè)人。安全管理員對symark系統(tǒng)日志進(jìn)行審計(jì)時(shí)���,以安全管理員帳號登陸symark日志審計(jì)界面���,對相關(guān)日志進(jìn)行審計(jì)。
增值業(yè)務(wù)平臺未配置symark系統(tǒng)����,協(xié)維人員所作操作記錄將保留在設(shè)備操作日志中。安全管理員登陸網(wǎng)管系統(tǒng)對相關(guān)日志進(jìn)行審計(jì)����。
3.1.7? 檢舉制度
協(xié)維團(tuán)隊(duì)所有維護(hù)人員,保障業(yè)務(wù)系統(tǒng)的正常運(yùn)行的同時(shí)�����,兼對信息的系統(tǒng)的安全進(jìn)行管理����。同時(shí)接受業(yè)務(wù)廠家和各業(yè)務(wù)維護(hù)員的公開檢舉。如有此類情況發(fā)生����,將嚴(yán)格按照國家相關(guān)法令對其進(jìn)行處罰�����。
3.2 業(yè)務(wù)廠家職責(zé)
3.2.1 帳號安全
業(yè)務(wù)廠家由于是軟件提供商�����,持有應(yīng)用層軟件普通用戶帳號和部分測試帳號���,以及維護(hù)帳號,數(shù)據(jù)庫帳號�����。廠家必須維護(hù)帳號安全��,不得以任何理由和方式進(jìn)行泄露�����。此部分帳號擁有的權(quán)限按照實(shí)際情況進(jìn)行授權(quán)�。
3.2.2? 操作授權(quán)
業(yè)務(wù)廠家需要對系統(tǒng)進(jìn)行高權(quán)限操作時(shí),須提交申請至浙江移動(dòng)網(wǎng)管中心,進(jìn)行審批之后����,由安全管理員進(jìn)行相關(guān)授權(quán)�。完成操作時(shí),由安全管理員收回操作權(quán)限����。并針對當(dāng)前操作進(jìn)行檢查。
業(yè)務(wù)廠家不得進(jìn)行危害系統(tǒng)安全或與平臺業(yè)務(wù)無關(guān)的操作���。日志審計(jì)員定期對業(yè)務(wù)系統(tǒng)進(jìn)行審計(jì)����,提取業(yè)務(wù)系統(tǒng)相關(guān)信息����。
發(fā)布相關(guān)系統(tǒng)漏洞、補(bǔ)丁信息���。
