搜索
6信息安全层6.1机房安全管理办法第一章总则计算机机房作为计算机设备、网络基础设施的汇集地,是信息安全重要的区域。计算机机房的安全是企业信息安全的基础。为了确保机房的安全,保证机房内设备(包括主机服务器、存储设备、网络设备、UPS、空调等)的安全运转,使得机房内的信息资产免受物理环境(比如温度、湿度等)的影响,也使得机房内的信息设备或信息资产免受非法或未经授权的访问、窃取或破坏,制定本办法。本办法适用于国家开发投资公司(以下简称“公司”)信息化管理不对总部中心机房及亦庄容灾中心的安全管理。各投资公司企业可参照制定自身的机房安全管理办法。第二章出入机房管理第一条机房是公司生产和安全消防重地,必须安全门禁系统。未经许可,任何人员不得进入。第二条进入机房人员不得携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质等对设备正常运转构成威胁的物品。第三条需要机房门禁卡的信息化管理部员工须填写《机房门禁卡申请表》(附件一)、机房门禁卡仅限本人使用,不得转接他人,如有遗失,立即上报。持有门禁卡人员如需延长期限,应在到期前及时提出申请。第四条其他部门和外单位人员因工作需要进入机房时,要先填写《出入机房申请表》(附件二),经信息化管理部门负责人批准后并在信息化管理部人员陪同下才能进入机房。第五条任何进入机房的无门禁人员,都要填写《出入机房登记表》(附件三),登记随身携带的物品,经机房管理员认真检查并核对《出入机房申请表》后,在信息化管理部有关人员的陪同下进入机房相应区域。第六条进入机房人员要自觉遵守机房内各项管理规定,保持机房内安静、整洁、工作完毕后及时离开。第七条信息化管理部负责人指定专人每月对《出入机房登记表》、《出入机房申请表》、《机房门禁卡申请表》和门禁系统日志进行审阅,确保所有访问机房的人员均已通过授权。第三章机房设备管理第八条机房管理员要对机房内设备做好标识和登记,记录设备的型号、配置、位置、状态等信息,以便跟踪设备变化。第九条机房管理员对机房设备的操作必须严格按照操作规程进行。第十条未经许可,任何人不得对机房设备进行操作。第十一条机房设备必须经过信息化管理部负责人的书面审批才能被移进或移出。第十二条信息化管理部制定机房内供电系统、消防系统、监控系统、空调系统等设备的维护保养计划,机房管理员必须按此计划进行检查和维护。第十三条对机房内设备的维护和定期维护保养,机房管理员要做好详细记录。第十四条机房内所有设备应该符合公司有关标准化定制管理要求。第四章值班管理第十五条信息化管理部根据实际情况,安排机房管理员对机房实行值班或者巡检。第十六条机房管理员每天检查机房设备的运行状态,并填写《机房运行日志》(附件四),如果发现问题,及时汇报处理。第十七条对外来人员的操作,机房管理员都要在《机房运行日志》中记录。第十八条维护部门负责人每周审阅《机房运行日志》,确保所有机房操作已通过相应的授权和审批。第五章机房消防、安全管理第十九条机房内要保持设备正常运行所必须的温度、湿度等环境要求,对运行环境可能出现的不利因素进行检测并预警。这些要求包括但不局限于如下内容:(一)安装24小时不间断空调系统,使机房内保持一定的温度和相对湿度;(二)安装温度和湿度显示装置;(三)安装厌恶感应探测器和湿度感应探测器;(四)安装火灾报警和自动灭火系统;(五)配备手动灭火器。第二十条机房管理员应明确机房消防器材的存放位置并熟悉使用方法,积极协助当地消防部门进行消防年检工作,按照国家标准进行消防器材的维护和更换。第二十一条机房管理员必须熟悉总电源、设备电源、照明用电等开关的位置,熟练掌握发生危险情况时切断电源的方法和步骤。第二十二条严禁在消防通道内堆放杂物,保持消防通道畅通,确保设备及工作人员安全。第二十三条机房内应配备不间断电源系统(UPS),确保有足够的后备电力支持系统的紧急操作。每年对UPS进行检修和维护,以确保其正常有效运行。第六章附则第二十四条本办法由集团信息化管理部附则解释和修订。第二十五条本办法自颁布之日起实行。原《国家开发投资公司机房管理规定》同时废止。附件一机房门禁卡申请表机房门禁卡申请表编号:申请人姓名部门处室名称有效期限年月日——年月日申请人签字日期信息化管理部负责人签字日期备注附件二出入机房申请表出入机房申请表申请日期:编号:单位姓名联系方式事由携带物品陪同人员日期计划进入时间计划离开时间信息化管理部负责人签字日期备注附件三出入机房登记表出入机房登记表日期单位姓名联系方式事由携带物品进入时间离开时间管理员签字备注审核人:附件四机房运行日志机房运行日志-----------年-------月--------日---------时监控内容运行情况(良好/故障)监控内容运行情况(良好/故障)小型机防火墙主交换机域服务器磁带库备份系统Mail服务器路由器DNS服务器漏水检测空调门窗和门禁系统消防设备故障描述故障处理外来人员操作记录备注记录入:-------------审核人:---------------备注:1.根据实际监控需要,可按上述格式添加机房设备;2.在运行情况栏里填写良好或故障,有故障的设备在故障描述栏里分别填写,在故障处理栏里分别填写报修时间及处理结果。6.2计算机类设备接入网络管理标准第一章总则为对国家开发投资公司(一下简称“公司”)互联网接入及互联网用户进行规范管理,经济、合理地利用互联网连接宽带,有序、高效地使用互联网信息资源,为集团公司的生产、经营、管理和决策服务,制定本标准。本标准使用于国投集团总部及成员企业计算机的网络接入。第二章因特网接入及安全管理第一条因特网接入是指接入公司计算机网络的总部职能部门、子公司投资企业经审批通过当地因特网服务提供单位(ISP)接入因特网。第二条公司总部和所属各子公司接入因特网要严格按照《中华人民共和国计算机信息网络国际联网管理暂行规定》等有关法规,办理相关手续。第三条通过当地ISP接入因特网的企业,接入方案、安全措施及管理措施报总部信息化管理部服务保障处(以下简称“服务保障处”)审核,经批准后方可实施因特网接入。如未经批准擅自接入因特网的,公司总部信息化管理部将通报该企业管理部门限期纠正;逾期没有纠正的将断开其与国投集团主干网的连接,并对造成损失和不良影响者追究相关责任。第四条通过当地ISP接入因特网使用的域名和IP地址,须报信息化管理部服务保障部备案。第五条所属投资企业网络接入因特网的部分和住宅小区网络,必须采取技术措施与企业内部网实现隔离。隔离技术措施须报服务保障处审核批准后,方可接入因特网,以保证企业内部网络的安全和稳定运行,并接受服务保障处的检查。第六条通过集团总部接入因特网的子公司,须将上网人数、账号名称、服务需求等报服务保障处审核;批准后由信息化管理部服务保障处进行技术参数配置,实施接入服务。第七条各投资企业IT部门负责信息网络的安全管理,服务保障处负责安全技术措施的实施与相关服务。第三章因特网资源使用管理第八条因特网资源指连接因特网的信道和因特网所有可合法浏览、使用的资源。第九条接入因特网的企业应采取建立代理服务器/缓存服务器等技术措施,提高因特网资源的利用率,减轻网络拥塞,提高信息获取速度。第十条各成员企业网络运行部门负责对代理服务器/缓存服务器的管理和维护,保证代理服务器/缓存服务器每天24小时正常运行。第十一条IT部门可根据实际情况将因特网访问分为“优先使用,分时使用,限时使用,限户使用”等类型,制定相关规定,落实技术措施,达到优先、有序、有效使用因特网的目的。第十二条采取提高优先级别、放宽时间限制的技术措施,优先保证高级管理人员以及业务与因特网关系密切的业务人员使用因特网。第十三条对一般需求的人员,根据工作需要和信道负荷情况,可采取分时使用、限时使用等技术措施。超限时要显示说明信息,引导用户按规定使用因特网。第十四条IT部门要认真核算成本,合理收取费用,用经济手段加强和规范对用户使用因特网的管理第十五条各IT部门要配置因特网用户管理系统,包括因特网用户的身份认证、审计、计费系统,要对用户进行有效管理。第四章因特网用户管理第十六条申请成为因特网用户必须经本企业IT部门审核批准。第十七条因特网用户要严格遵守国家有关法律、法规和集团公司有关规定,严格执行国家和集团公司安全保密制度。对违反规定和制度的企业和个人,有关部门有权中止其对因特网的访问,并追究相关责任。第十八条因特网用户所在单位网络运行部门负责保留和管理用户的访问记录,以备计费和相关部门查用。第五章附则第十九条本标准由集团信息化管理部负责解释和修订。第二十条本标准自颁布之日起实行。6.3防火墙管理办法第一章总则为加强国家开发投资公司(以下简称“公司”)计算机防病毒系统的建设和管理工作,确保计算机、服务器、网络的正常运行,特制定本办法。计算机防病毒的范围包括公司总部、子公司与投资企业的计算机网络、服务器、台式计算机、笔记本电脑等。系统管理实行统一协调、分级管理、分工负责的原则。第二章计算机防病毒管理第一条必须配备计算机防病毒管理员,负责本企业计算机病毒的防护工作。第二条必须设置防病毒服务器,安装防病毒软件,并建立防病毒网站,提供防病毒工具和补丁软件下载服务。第三条服务器、台式计算机、笔记本电脑等必须安装防病毒软件并及时更新病毒定义码和系统补丁程序,没有安装防病毒软件的计算机不得连接到国投集团网络中。第四条各投资企业应对本企业上连总部广域网的路由器端口进行限制,防止本企业的计算机病毒进入公司广域网。第五条须关闭访问互联网的出口设备所有不使用的端口,以防止病毒和黑客攻击公司网络,确保网络安全。第六条计算机防病毒管理员负责防病毒网站的内容更新与维护,及时浏览总部的防病毒网站,了解病毒最新动态,获取最新病毒定义码和补丁程序,并在本企业发布。第七条计算机防病毒管理员负责大规模计算机病毒爆发时应急处理。在病毒爆发程度严重时,应及时中断病毒源的网络连接,以避免病毒蔓延;待病毒处理完毕后,再恢复其网络连接。第八条计算机防病毒管理员负责每三个月进行一次防病毒系统巡检,在每季度的第一周内完成防病毒总结报告,并报总部信息化管理部。第三章突发计算机病毒的处理第九条在计算机病毒爆发期间,计算机防病毒管理员应及时通知总部计算机防病毒管理员,并按计算机病毒应急响应及处理机制进行处理。第四章附则第十条本办法由集团信息化管理部负责解释和修订。第十一条本法自颁布之日起实行。6.4操作系统安全管理办法第一章总则操作系统是用来管理计算机软件、硬件资源,协调计算机工作并为用户提供使用和编程接口的一组程序。应用软件一般建立在操作系统提供的系统软件平台之上,因此稳定可靠的操作系统是应用软件平稳运行和信息系统安全、保密的基础。尤其在网络环境中,操作系统的安全性是信息系统安全性的决定性因素之一。本办法所指操作系统指服务器的操作系统,包括UNIX和Windows。本办法适用于国家开发投资公司(以下简称“公司”)信息化管理部对公司操作系统的安全管理。成员企业可参照制定自身的操作系统管理办法。第二章操作系统安全的一般性原则第一条禁用不必要的服务,尽量将系统中不用的服务、尤其是一些暂时不用的网络服务关闭,从而使系统遭受攻击的可能性降至最低。第二条对等认证原则(TrustedPath),对等认证原则是指某一实体(程序、用户等)直接和系统上的另一实体在通讯前相互认证的过程。第三条最小权限原则,最小权限原则是指系统只能授予应用程序和用户必要的权限,而不能授予额外的权限。第四条强制式文档权限控制原则(Non-DiscretionaryProtection),大多数操作系统都提供了自主访问控制,建议对重要的文档的权限控制集中管理,由专门的安全管理人员负责这些文档的权限授予。第五条通过补丁增强系统安全,补丁程序是弥补系统弱点(vulnerability)的最佳途径。第六条在计算机上安装软件防火墙系统,根据需要在重要服务器和重要个人电脑(包括笔记本电脑)中安装软件防火墙系统。目前大多数的防病毒软件具有类似的安全功能。其他的手段还包括安装防病毒软件、入侵检测软件