《联通分公司通信网信息安全管理规程.doc》由会员分享,可在线阅读,更多相关《联通分公司通信网信息安全管理规程.doc(28页珍藏版)》请在三一办公上搜索。
1、中国联通安徽分公司通信网信息安全管理规程(暂行)联通安徽分公司2006年11月目录第一章总则11.1编制说明11.2适用范围11.3规程执行1第二章安全组织和人员职责22.1组织结构22.2信息安全相关人员职责22.2.1网络管理员职责22.2.2数据库系统管理员职责22.2.3操作系统管理员职责32.2.4业务系统管理员职责32.2.5资产管理员职责32.3信息安全相关人员职责3第三章用户帐号与口令安全管理43.1口令设置原则43.2用户新增、注销43.3帐号配置与管理43.4权限设置及变更53.5帐号、口令使用管理6第四章网络安全管理64.1基础管理64.1.1网络结构管理64.1.2网络
2、配置管理74.1.3网络互连管理74.1.4终端接入管理74.2运行管理84.2.1网络监控管理84.2.2网络审计管理8第五章数据安全管理95.1数据安全范围95.2数据管理通则95.3存储、备份与恢复10第六章保密安全管理106.1涉密数据安全管理106.1.1数据密级分类原则106.1.2涉密数据密级确认116.1.3涉密数据的获取126.1.4涉密数据的传递126.1.5涉密数据保管、存档126.2涉密网络安全管理136.3涉密人员安全管理14第七章防病毒安全管理147.1建立病毒预警机制147.2防病毒软件的安装使用157.3防范病毒措施157.4病毒处理167.5员工防病毒安全管理
3、16第八章终端用户安全管理178.1终端安全管理178.2终端用户帐户与口令管理178.3终端用户行为规范178.4终端用户防病毒安全管理18第九章安装及升级安全管理189.1软件安装安全管理189.2主机设备安装安全管理189.3网络设备安装安全管理209.4补丁/升级安全管理209.4.1补丁/升级检查209.4.2补丁/升级文件下载209.4.3补丁/升级文件安装209.5变更管理219.5.1软件变更的安全管理219.5.2系统配置安全管理21第十章应急安全管理2110.1应急工作定义2110.2应急响应组的组建2210.3应急响应计划的制定2210.4信息安全事件的报告和应急处理22
4、10.5应急信息库的建立2310.6应急恢复演练和测试2310.7应急恢复培训23附件一、系统帐号权限申请表24附件二、数据密级分类记录表25附件三、系统安全检查记录表25第一章 总则1.1 编制说明为加强中国联通安徽分公司通信网信息安全管理,保障各种信息资产的机密性、完整性和可用性,特制定中国联通安徽分公司通信网信息安全管理规程(以下简称“本规程”)。本规程是中国联通安徽分公司通信网信息安全管理的总原则,与中国联通通行网运行维护规程互为补充,二者具有同等效力。本规程的解释和修改权属于中国联通安徽分公司运行维护部。1.2 适用范围本规程适用于对中国联通安徽分公司通信网信息资产各要素(包括:人员
5、、数据、网络、终端等)的安全管理,各市级分公司在涉及到通信网信息安全时应遵照执行。中国联通安徽分公司运行维护部和安徽联通各市级分公司通信网维护部门的所有员工必须遵守本规程的规定,并依据本规程加强对第三方的管理,如由于未遵循本规程导致出现安全问题,相关部门和人员负有责任。1.3 规程执行本规程是联通安徽分公司通信网信息安全管理的基础性文件,各市级分公司要结合自身的实际情况制定实施细则。实施细则不能违反本规程的原则,细则在实施前应报相关管理部门备案。本规程自下发之日起正式执行。第二章 安全组织和人员职责2.1 组织结构中国联通安徽分公司通信网信息安全实施统一领导、分级管理、专业分工负责的原则。通信
6、网信息安全采用三级管理体制,分为:联通总部、省级分公司、市级分公司。总部信息安全组织负责全公司的信息安全指导和运行管理和总部的信息安全运行,省级信息安全组织负责本省信息安全指导、运行和运行管理,市级分公司负责当地的信息安全运行。总部信息安全组织在安全管理上领导各省分公司信息安全组织,省级信息安全组织在安全管理上领导各地市信息安全组织。总部和省级分公司的信息安全组织中均设置信息安全指导委员会和信息安全工作组,市级分公司设立信息安全工作组或指定一位信息安全员承担信息安全管理工作。2.2 信息安全相关人员职责2.2.1 网络管理员职责(1) 负责防病毒管理、防火墙系统管理、入侵检测管理、安全漏洞扫描
7、管理等;(2) 参与网络系统安全策略、计划和事件处理程序的制定;(3) 承担网络安全事件的处理;(4) 参与网络安全建设和运营方案的制定;(5) 负责网络设备操作系统升级、补丁;(6) 负责网络日常监控、优化和安全加固;(7) 负责网络设备操作系统和配置数据备份。2.2.2 数据库系统管理员职责(1) 参与数据库系统安全策略、计划和事件处理程序的制定;(2) 承担数据库系统安全事件的处理;(3) 负责数据库系统升级、补丁和和安全加固;(4) 负责数据库系统的日常安全监控、配置和数据备份;(5) 负责数据库系统权限和口令管理。2.2.3 操作系统管理员职责(1) 参与操作系统系统安全策略、计划和
8、事件处理程序的制定;(2) 承担操作系统系统安全事件的处理;(3) 负责操作系统系统的升级、补丁和安全加固;(4) 负责操作系统的日常安全监控和操作系统和文件系统的备份;(5) 负责操作系统权限和口令管理。2.2.4 业务系统管理员职责(1) 参与应用系统安全策略、计划和事件处理程序的制定;(2) 承担应用系统安全事件的处理;(3) 负责应用系统的安全加固;(4) 负责应用系统的日常安全监控和数据备份;(5) 负责应用系统帐号权限和口令管理;(6) 负责应用系统在操作系统和数据库中帐号及该帐号下数据安全。2.2.5 资产管理员职责(1) 按照资产存放环境要求存放相关物资和资料;(2) 根据信息
9、资产的分类分级标识的要求进行资产、资料的标识;(3) 根据资产的信息安全等级进行物资的入库、出库、销毁,资料的保管、借阅、销毁;(4) 资产管理员应特别注意以下内容的安全管理:系统备份、数据备份载体及相应文档管理;业务数据、经营数据、运行数据的载体及相应文档的管理;软件资料管理(包括软件开发的源代码、软件设计说明书、使用说明书、许可证等);硬件随机文档;系统设计方案、工程施工过程文档、系统运行维护文档、招投标过程文档;其它文档管理(包括各种规章制度、收发文、工作日志归档、设备清单、合同)等等。2.3 信息安全相关人员职责联通安徽分公司通信网各信息系统内,应有恰当的职责分离制度。若无法成立职责分
10、离制度时,则应建立适当的监管机制,以监督个人的表现与其矛盾的角色。通信网各信息系统需由系统负责人建立自身组织结构图以及系统职责分工明细表,并报分管领导审批同意后执行。系统职责分工明细表应详尽描述系统中各角色所对应具体人员以及组织领导关系,明确权责关系。在人员角色变动时,需有正式文档进行变更记录。部门安全监督员应每年进行一次检查,同时要进行不定期的抽查。第三章 用户帐号与口令安全管理3.1 口令设置原则(1) 口令中至少应包括以下三种:数字、大写字母、小写字母以及特殊字符(特殊符号举例如下:!#$%&*()_+|-=:”;?,./);(2) 口令长度不应小于8位;(3) 口令避免以下选择: 亲戚
11、、朋友、同事、单位等的名字,生日、车牌号、电话号码; 一串相同的数字或字母; 明显的键盘序列; 所有上面情况的逆序或前后加一个数字; 常见的词语或字典词语。3.2 用户新增、注销(1) 新增用户:必须由申请部门提出正式申请,填写相关信息,包括使用者姓名、联系电话、职责(岗位)、IP地址、使用时间、申请使用的系统范围和权限等信息。由申请部门领导审批后移交给信息安全工作组,审核后,下发至相应的管理员,管理员根据申请的内容进行赋权;(2) 注销用户:由于人事变动,帐号的使用者发生岗位变动或者离职,人力资源部发报人事变更讯息,通知至系统管理员所在部门。由系统管理员提出正式申请经系统所在部门领导审批后,
12、立即进行相应的权限变动或帐号回收,严格防止由于岗位变动,帐号、权限没有进行变更的情况; (3) 权限变更:由申请员工填写工单详细描述需要变更的权限内容。由申请部门领导审批后提交信息安全工作组,经审核下发至相应的管理员进行权限的变更。3.3 帐号配置与管理(1) 帐号权限在建立/更新/取消时,用户应填写系统帐号权限申请表(参见附件一)来申请;该表单应由系统拥有者来审批和签署;(2) 系统管理员负责对应用系统、网络、服务器或其他信息设备的用户帐号、权限进行管理。对用户帐号和权限进行登记备案,至少每半年审核一次用户帐号的使用情况,对长期未使用的或过期的帐号进行清理;(3) 在系统上线运行前,系统管理
13、员必须重新配置或更改厂商在开发、测试阶段设置的应用系统、网络、服务器或其他信息设备的系统口令、用户帐号及口令,更改数据库内置帐号的口令;(4) 如果必须给予第三方人员(如厂商支持工程师)帐号口令,或当外包方人员申请开通系统帐号时,须事先与系统拥有部门签订保密协议,按照普通用户新增、注销管理规定执行。系统管理员必须予以登记并纳入统一管理,同时对帐号安全负有责任;(5) 帐号配置不允许由系统管理员外其他任何用户操作,也不能在系统管理员使用的终端之外进行安装;(6) 系统管理员给新增用户分配帐号必须设置口令,并限定有效期。必须强制新用户在第一次登陆时更改口令;(7) 系统管理员必须有能力更改口令,帮
14、助用户开启被锁定的口令,对非法操作及时查明原因;解决口令使用过程中出现的问题;定期向主管领导和信息安全工作组汇报帐号、口令使用情况和需要解决的问题;(8) 重大操作后、口令使用期满、被其他人知悉或认为口令不保密时,系统管理员应按照口令更改流程变换口令。口令更换操作应在保密条件下进行;(9) 业务系统管理员在配置应用系统用户帐号时,必须采用加密口令格式,在登陆输入口令过程中不能以任何方式显示口令;(10) 系统管理员应定期检查、审核账号的操作日志记录;(系统管理员至少每六个月要对系统的帐号及相关权限进行检查或抽查,形成相应的检查记录报告,由系统拥有者或信息安全经理签字确认);(11) 信息安全监
15、督员应每三个月对系统用户和管理员的访问权限进行审核,对于涉及重要数据的账号和权限应提交相关领导审核确认;信息安全经理应至少每三个月一次对系统管理员帐号、权限做检查,对相应的访问及操作日志进行审核;并形成安全检查报告存档。(12) 临时帐号的申请单应独立存档并由第三者(非批准人)作至少每月进行一次检查;在使用期满时,系统管理员应审核临时帐号操作日志记录并形成相应的检查记录报告,由系统拥有者或信息安全经理签字确认。(13) 严禁多人和多系统共用帐号。每个操作用户必须有且只有一个专用帐号; (14) 口令在数据库中的存放和通过网络传输不应采用明码方式,对口令的访问和存取必须加以控制,以防止口令被非法
16、修改或泄露;(15) 具有口令功能的计算机、网络设备等系统处理公司秘密信息,必须使用口令对用户进行身份验证和确认。3.4 权限设置及变更(1) 对系统、网络、数据库、信息的访问采用分级管理,根据人员职责设定权限;(2) 超级用户权限只允许系统管理员使用,其他用户需要使用超级权限时需提出申请,经审批后,由系统管理员作一次性授权,并在系统管理员随工下操作;(3) 员工只能拥有本岗位内的权限,且采取最低可用原则配置;如因工作需要另外增加岗位外权限的,需要领导审批;经使用员工所在部门领导和信息安全工作组同意后方可增加,增加后要保留操作日志和审批记录; (4) 系统管理员对到期的使用授权负责收回;(5)
17、 在权限建立/更新/取消时,用户应填写系统权限申请单来申请权限。该表单应由系统拥有者来审批和签署。操作人员在完成操作后需在系统帐号权限申请表中进行情况说明并有第三者进行确认。3.5 帐号、口令使用管理(1) 用户使用系统时,必须使用帐号以及口令进行登陆,方可进行操作;(2) 禁止使用系统内置帐号进行应用系统数据的维护工作。严禁使用数据库内置帐号的口令进行数据库管理;(3) 重要的设备、系统的管理员帐号口令在每次修改之后必须备案;(4) 口令必须定期修改,口令使用周期不能超过3个月,在涉密较多、人员复杂、保密条件较差的地方应尽可能缩短口令的使用时间;(5) 用户应记住自己的帐号、口令,不允许记载
18、在不保密的媒介物或贴在终端上。同时,避免泄漏口令,不要将口令告诉其他人。如果发现口令泄漏,应立即通知系统管理员及时更改;(6) 用户通过公网连接到公司内部网站时,需注意帐号、口令的保密,避免在公共场所泄漏帐号、口令;(7) 企业内用户口令不应当用作其他非企业应用的口令,如公网邮箱口令等。第四章 网络安全管理4.1 基础管理4.1.1 网络结构管理(1) 中国联通通信网分为联通总部省级分公司市级分公司三级结构,包括总部(大区)中心、省中心和地市三层节点;(2) 总部中心网络及省际骨干网络的安全建设和维护由总部负责,各省分公司负责省内网络的安全建设和维护管理,地市分公司负责地市的网络安全维护;(3
19、) 网络整体的拓扑结构需进行严格的规划、设计和管理,一经确定,不能轻易更改;(4) 如因业务需要,确需对网络的整体拓扑结构进行调整和改变,需按照相应的运维管理规程上报;(5) 对重要网段要进行重点保护,要使用防火墙等安全设备以及VLAN或其他访问控制方式与技术将重要网段与其它网段隔离开;(6) 网络结构要按照分层网络设计的原则来进行规划,合理清晰的层次划分和设计,可以保证网络系统骨干稳定可靠、接入安全、便于扩充和管理、易于故障隔离和排除。4.1.2 网络配置管理(1) 总部网络管理部门负责对总部到各省广域网络的统一配置管理工作,未经总部网络管理部门同意,各分公司无权更改广域网的网络配置;(2)
20、 省分网络管理部门负责对省分到各地市分公司广域网络的统一配置管理工作,未经省分网络管理部门同意,各地市分公司无权更改广域网的网络配置;(3) 各级网络管理部门需负责网络的性能分析,以充分了解系统资源的运行情况及通信效率情况,提出网络优化方案;(4) 各级网络管理部门负责进行本地局域网的统一的配置管理工作;(5) 所有的网络配置工作都要有文档记录,网络设备的配置文件需要定期备份;(6) 按照最小服务原则为每台基础网络设备进行安全配置;(7) 网络需保持持续不断的运行,维护工作要在用户使用量小的时候进行。4.1.3 网络互连管理(1) 网络按访问控制策略划分不同的逻辑区域;(2) 公司内部不同业务
21、的计算机网络之间的互连原则: 互连点上必须实施安全措施,如安装防火墙、实施入侵检测等; 网络之间互连点采取集中原则,并考虑安全冗余; 网络互连点及安全设备必须纳入到网管体系的监控。(3) 公司内部计算机网络和第三方网络之间的互连原则: 网络之间互连点采取集中原则,并考虑安全冗余; 互连点上必须实施安全措施,如安装防火墙、实施入侵检测等; 网络互连点及安全设备必须纳入到网管体系的监控。 在公司内部计算机网络内必须设置接口机或代理服务器,用于与第三方网络连接,禁止生产用的主机、服务器与第三方网络直接连接; 与第三方网络的连接中,在互连点上的防火墙上应该进行IP地址转换,保护公司内部接口机或代理服务
22、器真实的IP地址; 在防火墙上实施策略控制,严格限制访问的地址和端口。(4) 内部计算机网络与互联网之间的互连原则: 禁止通信网设备维护网络与互联网之间直接连接; 严格控制公司内部的计算机网络与互联网连接,由于业务需要,必须进行连接的,必须实施严格的安全措施,如安装防火墙、实施入侵检测等; 与互联网连接的互连点应统一集中在省公司,在地市不得再设出口; 遵循公司内部计算机网络和第三方网络之间的互连原则。4.1.4 终端接入管理(1) 只有遵循本规程第八章终端用户安全管理的计算机终端方能接入联通内部计算机网络;(2) 终端接入系统时必须通过用户名、口令进行身份验证后方能接入;(3) 外单位人员一般
23、不允许接入联通内部网,如因维护需要确需连入网络,必须履行审批手续,并在有联通员工随工的情况下方可接入;(4) 确需通过网络进行远程访问的,必须履行审批手续,在固定时间,通过身份验证后接入。对连接时间、事由都要有详细记录。4.2 运行管理4.2.1 网络监控管理(1) 网络管理部门负责网管系统和网络安全的建设和维护,以实现对网元以及网络安全情况的实时监控和管理,确保整个网络安全、稳定运行;(2) 各级网络管理部门可使用入侵检测、漏洞扫描等设备和技术定期对网络安全情况进行监控和分析,对于监控到的异常行为要有及时、有效的处理机制;(3) 各级网络管理部门在监控过程中,如发现网络异常、严重影响业务的问
24、题,要立即向上一级报告;(4) 网络管理员负责网络设备的日常检查,监测网络设备性能参数和网络运行状况;对关键设备要做到每日检查,发现问题应迅速解决,全部管理工作应保留记录;(5) 定期或不定期对备件及备用线路进行检测和维护;(6) 网络安全监控设备的运行不能影响网络的正常使用;(7) 各级网络管理部门要对所有在线网络设备运行情况记录登记,并定期向上级上报网络运行状况报告。4.2.2 网络审计管理(1) 系统管理员要至少每三个月对涉及网络配置的增、删、修改等操作的配置更改记录进行审计;(2) 重要的网元要有日志,并采取必要措施统一日志,系统管理员至少每三个月对日志进行分析,检查违规行为;(3)
25、安全监督员至少每三个月对系统用户和管理员的访问权限进行审查;(4) 建立统一的时钟服务器,保证日志信息的准确性;(5) 重要资源的访问控制策略至少要每六个月审计一次;(6) 如果在上述审计和检查工作中发现有安全事故,应遵照安全事故处理流程进行处理;(7) 各级网络管理部门要对所有审计和检查工作情况记录登记,并向上级上报网络运行状况报告;第五章 数据安全管理5.1 数据安全范围数据安全范围是指中国联通安徽分公司通信网所有数据对象及其存在形式(如文本、程序、系统数据)等;需要保护的重要数据包括:系统数据、原始话单、用户数据和操作数据等。5.2 数据管理通则(1) 数据的访问范围和权限设置必须由系统
26、或业务系统管理员集中控制,并可以控制授权范围内的信息流向和行为方式。(2) 数据访问采用分级管理,数据的操作必须经过严格的身份鉴别与权限控制,确保数据访问遵循最小授权原则。关键业务数据和用户帐号信息必须实行专人管理;(3) 数据的更改应严格遵循相关管理办法及操作规范执行。应采取有效措施防止系统数据的非法生成、变更、泄漏、丢失与破坏。(4) 严禁通过系统管理员帐号直接对系统中存储、处理或传输的业务数据信息进行增加、修改、复制和删除等;(5) 重要数据的更改必须两人负责,一人操作,一人审核,防止使用过程中产生误操作或被非法篡改;(6) 应用软件对用户的任何操作均应记入日志,日志中包含该用户的工号、
27、操作时间、操作内容等等。日志可由具有权限的管理人员随时查询及统计;(7) 应用软件必须确保各处理环节数据输入、输出的平衡,并进行必要的稽核; (8) 应用软件对重要数据应进行传输加密和完整性校验处理;(9) 网络管理员应定期改善网络系统的安全策略设置,尽量减少安全漏洞;(10) 对外提供系统业务数据的统计必须参照数据提取流程进行审批,并签订保密协议,保障数据信息的使用范围可控制;(11) 系统管理员必须定期对系统数据的处理和传输进行详细的安全检查和维护,避免因为系统崩溃和损坏而对系统内的信息造成破坏和损失;(12) 系统管理员必须加强对信息的审查,防止和控制非法、有害的信息通过公司内部计算机网
28、络进行传播,避免对国家利益、公共利益以及个人利益造成损害;(13) 系统管理员必须对所负责系统的数据内容安全进行评测,保护信息的机密性、完整性和可用性,并采取技术措施对所发现的漏洞进行补救,防止窃取、冒充信息等。对于发现的数据安全问题必须立即向主管领导和信息安全工作组汇报;(14) 数据安全保密管理应严格执行第六章保密安全管理的规定。5.3 存储、备份与恢复(1) 数据备份应保证及时、完整、真实、准确地转储到外部存储介质上,并规定保存期限;(2) 备份介质应采用性能可靠、不易损坏的介质,如磁带、光盘等,并采取防盗、防毁、防电磁干扰等措施,保障数据安全; (3) 备份介质应注明数据的来源、备份日
29、期、恢复步骤等信息,并于安全环境保管;(4) 备份数据(包括系统数据、原始话单、用户数据等)应专人统一管理。要建立备份介质保管登记制度,由专人负责。严防数据泄密或丢失;(5) 备份数据尽量做到异地、异人保存;(6) 根据系统特点制定详细的备份恢复方案。重要系统自运行开始必须作好备份与恢复等应急措施,一旦系统出现问题能够及时恢复正常;(7) 定期对备份数据的可用性进行检查。要保证备份数据是可读的,经常对备份介质进行测试;(8) 备份数据应做到定期全备份和增量备份。备份内容包括系统备份和数据备份两部分。系统常规备份至少每月一次,关键业务数据备份至少每天一次;(9) 系统进行升级前必须进行系统的完整
30、备份;(10) 网络设备和主机的配置信息在每次更新后及时备份,更新前的备份按需要保存一定时间;(11) 备份完成后要认真填写备份日志;(12) 当发现数据丢失后,应保护好现场,停止任何操作,立即通知系统管理员,由系统管理员采取相应恢复措施;(13) 如系统管理员不能恢复数据,视数据的重要程度,通知相关领导和信息安全工作组,并联系第三方工程师解决;(14) 备份数据的恢复需经主管人员签字认可后,方可进行;(15) 对存储有涉密数据的设备故障,需交外单位人员修理时,本单位必须派专人在场监督;(16) 过期的备份数据应经主管人员认可后,方可销毁。第六章 保密安全管理6.1 涉密数据安全管理6.1.1
31、 数据密级分类原则数据密级根据其内容重要性的不同,划分为:机密、秘密、内部、公共四个级别。其中,机密、秘密、内部数据属于涉密信息。(1) 机密数据机密数据是指那些具有最高安全级别,对企业正常经营、管理和安全运行起到至关重要作用,一旦被非法访问或篡改,会导致灾难性的影响,并且这种影响在短时期内是不可恢复的;或者会严重影响公司业务发展,使公司在市场竞争中非常被动的关键数据。(2) 秘密数据秘密数据是指那些必须在企业内使用,并且有严格访问控制的信息。任何对秘密数据的非法访问、修改或删除会严重影响企业内计算机系统的安全,但这种影响是可以在短时期内恢复的;或者会对公司业务拓展产生不利影响但通过努力可以逐
32、渐扭转的数据。(3) 内部数据内部数据通常是指那些只供公司内部使用的信息资料,任何对内部数据的非法访问、修改或删除可能会对企业安全造成一定的影响,但不可能是严重的或不可恢复的。(4) 公共数据公共数据是指可以公共访问和对外发布的信息,并且公共数据可以自由散布而不会产生任何安全问题。6.1.2 涉密数据密级确认(1) 根据公司有关的保密文件,确定需要保密的信息内容、划分编发等级、明确信息提供范围。对于信源单位已提出保密要求的信息,信息编发部门要严格按照信源单位提出的保密要求和提供范围确定网上编发级别;对于未明确密级但内容涉密的信息,要根据有关的保密规定,确定编发级别;对有涉密嫌疑又来源不明的信息
33、不予编发;(2) 数据的管理者应确保这些数据被恰当的分类,并确保原创人或其他员工理解他们的责任;(3) 保密文件由拟制人根据文件密级不同,提交不同级别的领导进行密级确认,保密数据由业务系统管理员根据数据密级不同,做好数据密级分类记录,提交不同级别的领导进行密级确认,数据密级分类记录表可参考附件二,在确认之前不得将文件内容透露给与确认密级无关的人;(4) 密级确认的具体权限为: 机密数据、秘密数据由中国联通安徽分公司领导确认; 内部数据由各部门经理确认; 公共数据由发文单位根据需要进行确认。(5) 对涉密数据的密级,每年需要评审,密级变化后应改变文档的分类标签同时通知相关的人员;(6) 所有的涉
34、密数据都有一段密级保持时间。6.1.3 涉密数据的获取(1) 必须首先经过申请批准,才能查阅文档、数据。查阅权限申请流程: 机密数据、秘密数据:中国联通安徽分公司领导及其签字批准的人员; 内部数据:部门经理及其签字批准的人员。(2) 严禁复制机密数据。申请复制秘密数据、内部数据必须依密级由相应领导签字批准;(3) 信息使用、加工处理部门及网络管理部门,不得通过不正当的手段,超越权限查看、使用、复制保密信息,也不能擅自降低保密级别,把涉密信息作为非涉密信息传播。(4) 管理者负责从那些不再需要的员工手中取回任何公司涉密数据;6.1.4 涉密数据的传递(1) 涉密数据的传递必须经过审批并采用适当的
35、方式进行传递;(2) 文档的密级必须清楚地标识在各种电子信息文档的每一页上,或每个电子文件的开始;如果不能标识,原创人必须告知所有接受者数据的密级;(3) 涉密数据的披露或分发应当有所记录,涉密数据的分发必须发至收件人本人,并由收件人签收;(4) 在对外合作中,如确实需向合作方提供涉密及数据的,必须按密级由相应领导书面批准,并在提供前与之签订保密协议; (5) 内部公共数据可以按部门分发或在联通内部公告栏内张贴,也可以在联通内部计算机网络上发布;(6) 机密、秘密数据严禁在计算机网络上发布、公开和传送,内部数据如需在网络上传送,应得到相应领导的批准;(7) 计算机信息系统处理、传递、储存涉密信
36、息的文件、资料特别是涉及国家秘密信息的文件、资料时,要严格执行BM21-2000涉及国家秘密的计算机信息系统保密技术要求。6.1.5 涉密数据保管、存档(1) 要加强对计算机介质(软盘、磁带、光盘、磁卡等)的管理,对储存有秘密文件、资料的计算机等设备要有专人或兼职人员操作,采取必要的防范措施,严格对涉密存储介质的管理,建立规范的管理制度,存储有涉密内容的介质一律不得进入互联网络使用;(2) 机密、秘密数据由数据的签收人和签发人亲自保管。内部数据由收件人本人或本部门专人保管,内部公共数据一般由各部门专人保管;(3) 涉密数据的查阅和复制应当在文件保管人处进行登记,以备核查;(4) 如涉密数据的保
37、管人不慎将文件丢失,应立即向相应的领导汇报情况,尽快挽回损失,减小影响;(5) 中国联通安徽分公司机密以及行政机密、内部数据在文件管理部门存档;(6) 各部门机密、秘密数据在部门内存档;(7) 在文档和程序中注明版权(非授权批准)不允许传递(卖)给第三方;(8) 时效性特别强的信息的处理不能通过EMAIL、电话等等,除非这些信息己经公开发布;(9) 在日常工作时间之外,所有员工必须清除所有的桌面和办公场所,保护有价值和涉密数据;(10) 在日常工作时间之外,含有涉密数据的必须加密,除非特别授权;(11) 在无人照看的场所应保护敏感信息(锁在柜中、如果离开时间超过30分钟房间应上锁);(12)
38、在个人计算机上的涉密数据存储,必须加设访问口令;如果拷贝到可移动介质上,应加上涉密分类区别,介质不再使用时,需要锁在柜中;(13) 计算机存储介质不再用于涉密数据存储时,必须要进行消磁或者重新格式化;系统内涉密数据数据不再有效时,应由数据使用部门提出正式申请,系统拥有者或信息安全经理签字审批后,由系统管理员立即进行彻底删除,并由第三者进行确认;(14) 不要在PC或者个人工作台上保留涉密数据(除非信息安全组批准并实施了控制方法);(15) 执行公司或行业的其它信息保密制度。6.2 涉密网络安全管理(1) 凡使用互联网络的部门,必须有一位领导分管并指定专人负责本单位或本部门网络节点内安全保密工作
39、,经常进行监督、检查,处理本单位涉及网络安全保密的有关事宜,并协助主管部门开展安全保密工作的检查指导;(2) 网络运行维护,必须有技术上的安全和保密控制措施,拒绝未经授权的访问;(3) 计算机网络用户的口令和采取的安全措施,属于秘密级事项;有调阅机密内容权限的用户口令和网络系统级口令及安全措施属于机密事项,不能转告非授权用户;(4) 不得在网上擅自连接各类网络设备。所有网络设备的增减与变动,其技术方案必须经过审批,并在联通技术人员的监督下执行;(5) 各部门需要安装主机、服务器等设备时,必须预先报系统主管部门核准,并由其进行安全和技术审核,分配网络地址和设置安全措施后,方可实施安装;(6) 各
40、单位需要通过互联网与外单位进行信息(含数据)交换,应经过公司提供的统一网络信道进出。由于特殊原因个别部门要求建立独立的网络信息通道时,应事先报公司领导批准并经系统主管部门进行内部技术安全审查;(7) 对预先未经安全技术审核、批准,而私自接入或使用网络设备的单位以及进行其他违章操作的单位,一经发现,即停止该单位的入网资格,并拆除私自联入的设备。造成损失的,要追究责任;(8) 经核准配备主机、服务器,自建网络的单位,其自建网络的安全保密工作由该网络的技术安全管理部门负责,并承担由于自建网络导致的保密和安全责任;(9) 凡属公司涉密文件、资料一律不得输入计算机互联网络,本单位、本部门科学研究方面的文
41、件、资料、成果,如属国家秘密范围,不得进入互联网络;(10) 必须做好涉密数据的保管工作,管好秘密源头。6.3 涉密人员安全管理(1) 必须签订保密协议,保密协议应包括: 保密的内容和范围 保密的期限 双方的义务 违约责任(2) 基本保密义务: 应当遵守组织的保密制度,妥善保管其所保存的组织秘密资料,不得刺探与本职工作、本身业务无关的公司秘密,不得泄露公司的技术秘密; 非经公司书面同意,不得利用公司的商业秘密进行生产、经营和兼职活动,不得利用公司的商业秘密组建新的企业; 如果发现公司秘密被泄露,应当采取有效措施防止泄密扩大,并及时告知公司; 无论是在职还是离职,不得披露、使用或者允许他人使用公
42、司的商业秘密,不得利用公司的商业秘密从事兼职活动,不得利用公司的商业秘密到其他单位任职; 员工离职时,应当将所持有的秘密资料如数归还公司,不得保留拷贝; 员工离职后在约定期限内不得泄露原公司机密。第七章 防病毒安全管理7.1 建立病毒预警机制(1) 制定防病毒的管理制度和操作指南;(2) 设立专门的管理员负责防病毒的管理工作;(3) 管理员要及时了解防杀计算机病毒厂商公布的计算机病毒情报,关注新产生的、传播面广的计算机病毒,并知道它们的发作特征和存在形态,及时发现计算机系统出现的异常是否与新的计算机病毒有关;(4) 管理员要及时了解操作系统厂商所发布的漏洞情况,对于很可能被病毒利用的远程控制的
43、漏洞要及时提醒用户安装相关补丁;(5) 对有严重破坏力的计算机病毒的爆发日期或爆发条件,及时通知所有相关人员进行相应防范。(6) 如遇病毒安全事故,则按照信息安全事件响应。7.2 防病毒软件的安装使用(1) 防病毒软件的部署:应在全网范围内建立多层次的防病毒体系,要使用国家规定的、服务技术支持优秀、具有计算机使用系统安全专用产品销售许可证的网络防病毒产品。每个市分公司对防病毒软件的部署应该做到统一规划,统一部署,统一管理。 在Internet出口处部署网关型防病毒软件,重点要对进入网络的SMTP邮件进行实时病毒过滤; 在Lotus、Exchange等群件系统上部署群件防病毒软件,对邮件、文档等
44、进行实时的病毒过滤,防止计算机病毒通过群件服务器扩散、传播; 在所有的Windows服务器与客户端中部署病毒实时监控软件; 服务器和客户端的防病毒系统必须能够统一管理,可以统一升级、杀毒、监控。(2) 防病毒软件的安装: 对新购进的计算机及设备,在安装完操作系统后,要在第一时间内安装防病毒软件; 没有安装防病毒软件的Windows系统不得接入到生产网络中; 防病毒软件的类型遵循统一规划,不得私自安装其他类型的软件。(3) 防病毒软件的升级: 病毒特征库至少要做到每天自动升级检查,自动部署; 对病毒特征库的升级情况应该进行手工检查,将当前版本与软件厂商在网站上公布的版本进行比较。应该每周检查一次
45、; 一旦出现传播速度快,威胁大的新病毒,应该立即进行手工升级。(4) 防病毒软件的维护: 防病毒系统管理员负责软件的总体维护,定期(每天)检查防病毒服务器端软件的运转情况,如有异常及时处理; 各个服务器系统的管理员有责任维护本机防病毒系统的正常运转,也需要定期对防病毒软件的升级情况进行监控。如果遇到问题或者病毒报警,与防病毒管理员共同解决。7.3 防范病毒措施(1) 操作系统和应用软件应该及时安装最新的稳定版安全补丁,防止被病毒利用相关的漏洞;系统安全小组成员每周对防病毒软件进行安装、升级版本的更新情况进行检查,并形成相应的检查报告经系统拥有者签字确认后存档; (2) 操作系统和重要应用的管理
46、员帐号的口令应该具备一定的复杂度,防止被病毒利用,口令设置遵循本规程第三章用户帐号与口令安全管理;(3) 关键服务器要尽量做到专机专用,不应该开启任何网络共享;(4) 对共享的网络文件服务器,应特别加以维护,控制读写权限,尽量不在服务器上远程运行软件程序;(5) 充分发挥入侵检测系统的网络病毒监控作用,对于相关警报要及时发现、跟踪、消除;(6) 对于出现的最新病毒,在厂家没有发布特征库解决方案之前,要根据病毒自身特点在网关处进行内容过滤;(7) 在网络设备上关闭病毒的常用端口;(8) IE安全级别设置在中以上,对ActiveX控件要确认安全后才可打开;(9) 建立网内防病毒技术支持系统,使用电话、邮件等手段对用户在防病毒方面进行技术支持。7.4 病毒处理(1) 隔离受感染主机: 当出现计算机病毒传染迹象时,立即隔离被感染的系统和网络,并进行处理,原则上不应带“毒”继续运行;(2) 确定病毒种类特征: 采用多种手段确定病毒的类型和传播途径,如查看防病毒软件的报警信息、搜索互联网相关信息、和防病毒厂商沟通等途径。对于未
