1. 總則
(1)為了保證公司信息網(wǎng)絡(luò)系統(tǒng)的安全,根據(jù)有關(guān)計算機、網(wǎng)絡(luò)和信息安全的相關(guān)法律、法規(guī)和安全規(guī)定,結(jié)合公司信息網(wǎng)絡(luò)系統(tǒng)建設(shè)的實際情況,特制定本規(guī)定。
(2)本規(guī)定所指的信息網(wǎng)絡(luò)系統(tǒng),是指由計算機(包括相關(guān)和配套設(shè)備)為終端設(shè)備,利用計算機、通信、網(wǎng)絡(luò)等技術(shù)進行信息采集、處理、存儲和傳輸?shù)脑O(shè)備、技術(shù)、管理的組合。
(3)本規(guī)定適用于公司接入到公司網(wǎng)絡(luò)系統(tǒng)的單機和局域網(wǎng)系統(tǒng)。
信息網(wǎng)絡(luò)系統(tǒng)安全的含義是通過各種計算機、網(wǎng)絡(luò)、密碼技術(shù)和信息安全技術(shù),在實現(xiàn)網(wǎng)絡(luò)系統(tǒng)安全的基礎(chǔ)上,保護信息在傳輸、交換和存儲過程中的機密性、完整性和真實性。
2. 物理安全
(1)物理安全是指保護計算機網(wǎng)絡(luò)設(shè)施以及其他媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故與人為操作失誤或錯誤,以及計算機犯罪行為而導(dǎo)致的破壞。
網(wǎng)絡(luò)設(shè)備、設(shè)施應(yīng)配備相應(yīng)的安全保障措施,包括防盜、防毀、防電磁干擾等,并定期或不定期地進行檢查。
(2)對重要網(wǎng)絡(luò)設(shè)備配備專用電源或電源保護設(shè)備,保證其正常運行。
3. 計算機的物理安全管理
(1)計算機指所有連接到公司信息網(wǎng)絡(luò)系統(tǒng)的個人計算機、工作站、服務(wù)器、網(wǎng)絡(luò)打印機及各種終端設(shè)備;
(2)使用人員應(yīng)愛護計算機及與之相關(guān)的網(wǎng)絡(luò)連接設(shè)備(包括網(wǎng)卡、網(wǎng)線、集線器、路由器等),按規(guī)定操作,不得對其實施人為損壞;
(3)計算機使用人員不得擅自更改網(wǎng)絡(luò)設(shè)置,杜絕一切影響網(wǎng)絡(luò)正常運行的行為發(fā)生;
(4)網(wǎng)絡(luò)中的終端計算機在使用完畢后應(yīng)及時關(guān)閉計算機和電源;
(5)客戶機使用人員不得利用計算機進行違法活動。
4. 緊急情況
(1).火災(zāi)發(fā)生:切斷電源,迅速報警,根據(jù)火情,選擇正確的滅火方式滅火;
(2)水災(zāi)發(fā)生:切斷電源,迅速報告有關(guān)部門,盡可能地弄清水災(zāi)原因,采取關(guān)閉閥門、排水、堵漏、防洪等措施;
(3)地震發(fā)生:切斷電源,避免引發(fā)短路和火災(zāi);
5. 網(wǎng)絡(luò)系統(tǒng)安全管理
(1)網(wǎng)絡(luò)系統(tǒng)安全的內(nèi)涵包括四個方面:
1)機密性:確保信息不暴露給未授權(quán)的實體或進程;
2)完整性:未經(jīng)授權(quán)的人不能修改數(shù)據(jù),只有得到允許的人才能修改數(shù)據(jù),并且能夠分辨出被篡改的數(shù)據(jù)。
3)可用性:得到授權(quán)的實體在合法的范圍內(nèi)可以隨時隨地訪問數(shù)據(jù),網(wǎng)絡(luò)的攻擊者不能阻礙網(wǎng)絡(luò)資源的合法使用。
4)可控性:可以控制授權(quán)范圍內(nèi)的信息流向和行為方式??蓪彶樾裕阂坏┏霈F(xiàn)安全問題,網(wǎng)絡(luò)系統(tǒng)可以提供調(diào)查的依據(jù)和手段。接入Internet公共信息網(wǎng)的重要信息網(wǎng)絡(luò)系統(tǒng)須安裝防火墻或其他安全設(shè)備。入網(wǎng)的安全設(shè)備必須具有國家保密局、公安部、中國國家信息安全測評認證中心的技術(shù)鑒定、銷售許可和產(chǎn)品評測等資質(zhì),并符合國家的相關(guān)規(guī)定。
6. 網(wǎng)絡(luò)安全檢測。
(1)為使網(wǎng)絡(luò)長期保持較高的安全水平,網(wǎng)絡(luò)管理員應(yīng)當用網(wǎng)絡(luò)安全檢測工具對網(wǎng)絡(luò)系統(tǒng)進行安全性分析,及時發(fā)現(xiàn)并修正存在的安全漏洞。網(wǎng)絡(luò)管理員在系統(tǒng)檢測完成后,應(yīng)編寫檢測報告,需詳細記敘檢測的對象、手段、結(jié)果、建議和實施的補救措施與安全策略。檢測報告存入系統(tǒng)檔案。
網(wǎng)絡(luò)反病毒。病毒的危害性巨大,對系統(tǒng)和信息的破壞程度具有不可測性,計算機用戶和系統(tǒng)管理員應(yīng)針對具體情況采取預(yù)防病毒技術(shù)、檢測病毒技術(shù)和殺毒技術(shù)。
7. 信息系統(tǒng)安全管理
(1)信息安全是指通過各種計算機、網(wǎng)絡(luò)和密碼技術(shù),保護信息在傳輸、交換和存儲過程中的機密性、完整性和真實性。具體包括以下幾個方面。
1)信息處理和傳輸系統(tǒng)的安全
系統(tǒng)管理員應(yīng)對處理信息的系統(tǒng)進行詳細的安全檢查和定期維護,避免因為系統(tǒng)崩潰和損壞而對系統(tǒng)內(nèi)存儲、處理和傳輸?shù)男畔⒃斐善茐暮蛽p失。
2)信息內(nèi)容的安全
側(cè)重于保護信息的機密性、完整性和真實性。系統(tǒng)管理員應(yīng)對所負責系統(tǒng)的安全性進行評測,采取技術(shù)措施對所發(fā)現(xiàn)的漏洞進行補救,防止竊取、冒充信息等。
3)信息傳播安全
要加強對信息的審查,防止和控制非法、有害的信息通過我司的信息網(wǎng)絡(luò)系統(tǒng)傳播,避免對國家利益、公共利益以及個人利益造成損害。
涉及商業(yè)機密文件必須采用RMS權(quán)限管理服務(wù)進行文件保護,以免外泄。
8. 信息系統(tǒng)的內(nèi)部管理
(1)各部門向網(wǎng)絡(luò)系統(tǒng)提交信息前要作好查毒、殺毒工作,確保信息文件無毒上載;
(2)根據(jù)情況,采取網(wǎng)絡(luò)病毒監(jiān)測、查毒、殺毒等技術(shù)措施,提高網(wǎng)絡(luò)的整體抗病毒能力;部門負責的重要信息必須作好備份;
(3)網(wǎng)站和欄目信息的負責部門必須對所發(fā)布信息制定審查制度,對信息來源的合法性,發(fā)布范圍,信息欄目維護的負責人等做出明確的規(guī)定。信息發(fā)布后還要隨時檢查信息的完整性、合法性;如發(fā)現(xiàn)被刪改,應(yīng)及時報告綜合部;
(4)涉及商業(yè)秘密的信息的存儲、傳輸?shù)葢?yīng)指定專人負責,并嚴格按照國家有關(guān)保密的法律、法規(guī)執(zhí)行;
(5)涉及商業(yè)機密的項目招標、投標標注等信息,未經(jīng)所屬單位安全主管負責人的批準不得在網(wǎng)絡(luò)上發(fā)布和明碼傳輸;
(6)個人計算機中的涉密文件不可設(shè)置為共享,個人電子郵件的收發(fā)要實行病毒查殺。
(7)信息加密
1).涉及商業(yè)秘密的信息,其電子文檔資料須加密存儲;
2).涉及公司和部門利益的敏感信息的電子文檔資料應(yīng)當加密存儲;
3).涉及社會安定的敏感信息的電子文檔資料應(yīng)當加密存儲;
4).涉及公司秘密、與部門利益和社會安定的秘密信息和敏感信息在傳輸過程中視情況及國家的有關(guān)規(guī)定采用文件加密傳輸或鏈路傳輸加密。
(8)公司內(nèi)任何組織和個人不得從事以下活動:
1).利用信息網(wǎng)絡(luò)系統(tǒng)制作、傳播、復(fù)制有害信息;
2).入侵他人計算機;
3).未經(jīng)允許使用他人在信息網(wǎng)絡(luò)系統(tǒng)中未公開的信息;
4).未經(jīng)授權(quán)對信息網(wǎng)絡(luò)系統(tǒng)中存儲、處理或傳輸?shù)男畔ⅲòㄏ到y(tǒng)文件和應(yīng)用程序)進行增加、修改、復(fù)制和刪除等;
5).未經(jīng)授權(quán)查閱他人郵件;
6).盜用他人名義發(fā)送電子郵件;
7).故意干擾網(wǎng)絡(luò)的暢通運行;
8).從事其他危害信息網(wǎng)絡(luò)系統(tǒng)安全的活動。
9. 密碼管理
(1).具有密碼功能的計算機、網(wǎng)絡(luò)設(shè)備等系統(tǒng)處理公司秘密信息,必須使用密碼對用戶的身份進行驗證和確認。對于重要網(wǎng)絡(luò)系統(tǒng),各部門要有一個負責人,負責日常的密碼管理工作。
(2).負責人負責給新增加的員工分配初始密碼;指導(dǎo)員工正確使用密碼;檢查員工使用密碼情況;幫助員工開啟被鎖定的密碼,對非法操作及時查明原因;解決密碼使用過程中出現(xiàn)的問題;協(xié)助員工保護公司秘密不受侵害;定期向主管領(lǐng)導(dǎo)匯報密碼使用情況和需要解決的問題。
(3).定期更換密碼。密碼的最長使用時間不能超過三個月,在涉密較多、人員復(fù)雜、保密條件較差的地方應(yīng)盡可能縮短密碼的使用時間。當密碼使用期滿時,應(yīng)更換新的密碼。
(4)負責人必須有能力更改密碼。當密碼使用期滿、被其他人知悉或認為密碼不安全或失效時,最終員工可使用公司郵箱給系統(tǒng)管理員提交密碼重置申請,非公司郵箱提交的申請不予進行處理。
(5).系統(tǒng)管理員重置密碼后,最終員工首次登陸必須要進行修改密碼,不得使用前三次使用過的密碼。
(6).對密碼數(shù)據(jù)庫的訪問和存取必須加以控制,以防止密碼被非法修改或泄露。
(7).當系統(tǒng)提供的訪問和存取控制機制不夠完善時或機制雖然完善,但可能出現(xiàn)系統(tǒng)轉(zhuǎn)儲等情況時,應(yīng)對存儲的密碼加密。
密碼的等級應(yīng)當符合以下要求:
1).初始密碼應(yīng)當由系統(tǒng)管理員集中產(chǎn)生供用戶使用,并有密碼更換記錄,不得由員工產(chǎn)生;
2).密碼的復(fù)雜性要求密碼長度不得小于8個字符,要包含大寫、小寫、特殊字符、阿拉伯數(shù)字中的任意三種,密碼更換周期不得長于三個月;
3).密碼必須加密存儲,并且保證密碼存放載體的物理安全;
員工應(yīng)記住自己的密碼,不應(yīng)把它記載在不保密的媒介物上,嚴禁張貼密碼。
惡意軟件管理
4).公司所有聯(lián)網(wǎng)計算機必須安裝防病毒軟件,安裝后不得自行關(guān)閉和卸載,對擅自卸載或不按規(guī)定使用防病毒軟件的人員,如造成損失,應(yīng)承擔相應(yīng)的責任;
5).由于特殊原因不能安裝防病毒客戶端軟件的電腦,須記錄相關(guān)原因。
技術(shù)部負責對所有客戶端的殺毒軟件進行管理和監(jiān)控,全體人員必須服從和配合。在正常運行過程中,不得隨意關(guān)閉或退出。若因特殊情況需臨時暫??蛻舳诉\行者,應(yīng)經(jīng)技術(shù)部同意方可執(zhí)行;
6).如發(fā)現(xiàn)病毒,相關(guān)使用人應(yīng)立即上報,及時聯(lián)系技術(shù)部人員對感染機器進行有效的隔離,清除病毒的后檢查其最近使用過的軟盤、光盤和移動存儲設(shè)備,以免漏殺,未清除病毒的計算機不得入網(wǎng);
7).對因病毒引起的計算機信息系統(tǒng)癱瘓,程序和數(shù)據(jù)嚴重破壞等重大事故應(yīng)及時采取隔離措施,并及時公司技術(shù)部報告;
8).不得向他人提供含有計算機病毒的文件、軟件、媒體。禁止在計算機上裝載與工作無關(guān)的軟件,特別是游戲軟件、盜版軟件等;
9).禁止從Internet網(wǎng)絡(luò)隨意上下載程序、數(shù)據(jù),以及外來程序和文檔。如確實需要,應(yīng)當先進行病毒檢測后使用。在網(wǎng)上發(fā)布的文件文檔,發(fā)件人應(yīng)主動用查病毒軟件檢查并確認安全后方可發(fā)出,收件人發(fā)現(xiàn)病毒,應(yīng)立即殺毒,并通知發(fā)件人;
10).不得打開可疑的或陌生人發(fā)送來的郵件及附件,必要時直接刪除;對認定為清除不了含有病毒的文件,技術(shù)部有權(quán)直接刪除,以防病毒擴散、蔓延。
外來的軟盤、光盤和移動存儲設(shè)備等應(yīng)先進行殺毒檢查后使用。當在光盤、U盤、移動存設(shè)備上發(fā)現(xiàn)病毒后應(yīng)立即報告技術(shù)部,并及時加以標識,不得在其他計算機上再使用,避免病毒的傳播;
11).除打印機可以共享外,服務(wù)器與工作站的硬盤盡量不設(shè)置為共享,文件目錄一般不進行網(wǎng)絡(luò)共享。特殊情況需進行目錄共享的必須設(shè)定密碼,一旦使用完畢后必須立即關(guān)閉共享,或加強對該機器的病毒檢查;
12).對購置、維修、借入的計算機及其他網(wǎng)絡(luò)存儲設(shè)備,應(yīng)當及時進行病毒檢測;
13).對于關(guān)鍵部門的關(guān)鍵數(shù)據(jù)要經(jīng)常進行備份,且異地存放,以備數(shù)據(jù)破壞后恢復(fù)。