安全管理

计算机网络为公司局域网提供网络基础平台服务和互联网接入服务,由网络维护中心负责计算机连网和网络管理工作。为保证公司局域网能够安全可靠地运行,充分发挥信息服务方面的重要作用,更好地为公司员工提供服务,现制定并发布《瓦克科技网络安全管理制度及操作规程》。


 一、计算机基础设备管理 

1.1 各部门对该部门的每台计算机应指定保管人,共享计算机则由部门指定人员保管,保管人对计算机软、硬件有使用、保管责任。 

1.2 公司计算机只有网络管理员进行维护时有权拆封,其它员工不得私自拆开封。

1.3 计算机设备不使用时,应关掉设备的电源。人员暂离岗时,应锁定计算机。 

1.4 计算机为公司生产设备,不得私用,转让借出;除笔记本电脑外,其它设备严禁无故带出办公生产工作场所。 

1.5 按正确方法清洁和保养设备上的污垢,保证设备正常使用。 

1.6 计算机设备老化、性能落后或故障严重,不能应用于实际工作的,应报技术部处理。 

1.7 计算机设备出现故障或异常情况(包括气味、冒烟与过热)时,应当立即关闭电源开关。

1.8 拔掉电源插头,并及时通知计算机管理人员检查或维修。 

1.9 公司计算机及周边设备,计算机操作系统和所装软件均为公司财产, 计算机使用者不得随意损坏或卸载。 


二、计算机系统应用管理 

2.1 公司电脑的IP地址由网络管理员统一规划分配,员工不得擅自更改,更不得恶意占用他人的地址。 

2.2 计算机保管人对计算机软硬负保管之责,使用者如有使用不当,造成毁损或遗失,应负赔偿责任。 

2.3 计算机保管人和使用人应对计算机操作系统和所安装软件口令严格保密,并至少每180天更改一次密码,密码应满足复杂性原则,长度应不低于8位,并由大写字母、小写字母、数字和标点符号中至少3 类混合组成;对于因为软件自身原因无法达到要求的,应按照软件允许的最高密码安全策略处理。

2.4 重要资料、电子文档、重要数据等不得放在桌面、我的文档和系统盘〔一般为C:盘)以免系统崩溃导致数据丢失。与工作相关的重要文件及数据保存两份以上的备份,以防丢失。公司设立文件服务器,重要文件应及时上传备份,各部门专用软件和数据由计算机保管人定期备份上传,需要信息技术部负责备份的应填写《数据备份申请表》,数据中心信息系统数据应按备份管理相关要求备份。 

2.5 正确开机和关机。开机时,先开外设(显示器、打印机等),再开主机;关机时,应先退出应用程序和操作系统,再关主机和外设,避免非正常关机。 

2.6 公司邮箱帐号必须由本帐号职员使用,未经公司网络管理员允许不得将帐号让与他人使用,如造成公司损失或名誉影响,公司将追究其个人责任,并保留法律追究途径。 

2.7 未经允许,员工不得在网上下载软件、音乐、电影或者电视剧等,不得使用电驴、BT等严重占用带宽的P2P下载软件。员工在上网时,除非工作需要,不允许使用QQ等聊天软件。员工不得利用公司电脑及网络资源玩游戏,浏览与工作无关的网站。若发现信息技术部可暂停其网络使用权限,并报相关领导处理。 

2.8 不得随意安装工作不需要的软件。公司拥有的授权软件软件须报公司副总审批通过后由信息技术部或授权相关部门执行。 

2.9 计算机出现重大故障,如硬盘损坏,计算机保管人应立即向部门负责人和信息技术部报告,并填写《设备故障登记表》。 

2.10 员工离职时,人力资源应及时通知信息技术部取消其所有的IP资源使用权限,回收其电脑并保留一个星期,若一个星期之内人事部没有招到新员工顶替,电脑将备份数据后入库。 


三、计算机安全管理 

3.1 如需要私人计算机连接到公司网络,需信息技术部授权并进行登记。 

3.2 不得随意安装软件,软件安装按照《软件管理》实施。 

3.3 所有计算机设备必须统一安装防病毒软件,未经信息技术部同意, 不得私自在计算机中安装非公司统一规定的任何防病毒软件及个人防火墙。所有计算机必须及时升级操作系统补丁和防病毒软件。 

3.4 任何人不得在公司的局域网上制造传播任何计算机病毒,不得故意引入病毒。 

3.5 计算机使用者发现病毒后应立即停机并及时通知公司信息技术部或本部门病毒防治工作负责人,按《计算机病毒防治管理》处理。 

3.6 因工作需要使用QQ等通讯工作,应当仔细辨别后再接收,对接收的文件应用安全软件查杀后确认无毒再打开。 

3.7 使用电子邮件时,附件都应用安全软件查杀后确认无毒再打开。对于陌生的电子邮件,请直接予以删除。 

3.8 任何人不得进入未经许可的计算机系统更改系统信息和用户数据,不得以任何形式攻击公司的其它电脑或者服务器。 

3.9 不得利用计算机技术侵占其他用户合法利益,不得非法侵入他人电脑,不得制作、复制、和传播妨害公司稳定的有关信息。 

3.10 不得利用公司的网络资源发布,传播迷信、淫秽、色情、赌博、暴力、凶杀、恐怖等信息,违者将送公安机关处理。

3.11 不得利用公司的网络资源进行入侵、破解、篡改其它人的电也脑、工作站或者服务器等网络犯罪行为,若发现立即终止其网络权限,并上报公司最高领导保留送公安机关处理的权力。 

3.12 值班操作员每隔50分钟检查一次业务系统的可用性、与相关主机的连通性及安全日志中的警报。网络管理员每天对安全日志进行一次以上的检查、分析。检查内容包括防火墙日志、IDS日志、病毒防护日志、漏洞扫描日志等。安全日志纳入系统正常备份,安全日志的调阅执行相关手续,文档做好密级工作,保存期限为一年。 

3.13 安全响应 

发现异常情况,及时通知网络管理员及网络处主管领导,并按照授权的应急措施及时处理。黑客入侵和不明系统访问等安全事故,应尽快报知部门领导和安全小组。 


四、各部门权责 

4.1 此处软件指公司所有操作系统、系统安全软件、办公软件软件、专用软件,数据中心信息系统等。 

4.2 信息技术部负责全公司所使用软件的管理。为确保公司计算机软件之适当使用,各部门对该部门的每台计算机应指定保管人,共享计算机则由部门指定人员保管,保管人对计算机软、硬件具使用、保管之责。 

4.3 各部门专用软件和数据由计算机保管人定期备份,信息技术部对备份情况进行抽查,需要信息技术部备份的应填写《数据备份申请表》,数据中心信息系统数据应按《备份管理制度》备份。 

4.4 信息技术部负责管理监督公司软件使用情况,并负责软件预算编列及软件异动等事项。 

4.5 信息技术部负责公司数据中心信息系统的选型、变更、安装、设置、测试、维护管理。 

4.6 针对新的信息系统上线,需由信息技术部会同需求部门对软件系统进行评估,并做出上线计划,上前后进行测试,并记录各项测试数据、参数配置及测试结果。在测试中发现的问题需及时向供应商反馈并进行书面记录进行整改。当由新系统替换旧系统时,业务部门需对旧系统下线前的期末数据与新系统上线后的期初数据进行核实,确认无误后方可投入使用。供应商完成系统测试后,需获取测试验收确认函, 确保软件系统满足业务需求,并及时对系统用户进行培训指导。 


五、软件采购 

各部门对该部门使用的软件,应视需要查核实际使用状况,以作为软件增置与编列预算的参考。软件采购时应考量软件用途、授权形式及价格以评估软件需求,由信息技术部统一提出采购计划。 


六、计算机软件安装及保管 

6.1 公司之各类授权计算机软件,统一由信息技术部负责保管,并每年至少进行一次盘点。各单位因业务需要需使用时可提出申请,由信息技术部依该软件之授权使用范围进行安装。 

6.2 公司拥有的授权计算机软件,由信息技术部门统一部署安装;计算机使用人堆个别软件有安装变动需求,必须先填写《软件安装申请单》, 信息系统软件申请须经部门经理和相关部门副总同意后,信息技术部则依据软件实施申请单,安装或授权安装至各计算机之内。 

6.3 计算机保管人对软件负保管之责,软件使用者如有使用不当,造成毁损或遗失,应负赔偿责任。软件使用者应当对口令严格保密,并至少每180天更改一次密码,密码应满足复杂性原则,长度应不低于8 位,并由大写字母、小写字母、数字和标点符号中至少3类混合组成。对于因为软件自身原因无法达到要求的,应按照软件允许的最高密码安全策略处理。 

6.4 各部门软件分配使用后,保管人或使用人职务变动或离职时,应按照人事部门流程移交其保管或使用之软硬件,并办理交接,由信息技术部对其软件使用权限进行调整。 

6.5 信息技术部在实施系统变更,如变更操作系统、软件安装、升级时都必须做《计算机设备软硬件变更清单》。

6.6 信息技术部每半年会同需求部门对计算机系统和数据中心信息系统用户情况进行一次复查。 


七、软件使用者的权利和义务 

7.1 禁止员工使用会干扰或破坏网络上其它使用者或节点的软、硬件系统。 

7.2 员工不得将公司授权软件私自拷贝、借于他人或私自将软、硬件带回家中。 

7.3 软件保管人或使用人,对于保管或使用软件不可盗卖、循私营利或其它不法情事,违者除提报主管及依公司规定惩处外,如因此触犯著作权者或造成公司损失,则该员应负刑事及民事之全部责任。 

7.4 尊重知识财产权,禁止下载未经授权的音乐、影片及软件。防火墙与安全网关管理。 


八、权限及配置变更流程 

8.1 信息技术部门应指定网络管理员负责防火墙和安全网关的管理工作,网络管理员必须熟悉网络理论、网络设计和防火墙管理,接受防火墙应用和网络安全方面的培训。 

8.2 网络管理员对防火墙和安全网关所做的一切配置和修改工作都必须先在《安全设备配置及修改总汇》登记,由信息技术部负责人审查批准后实施。 


九、防火墙和安全网关管理规定 

9.1 公司和外部网络连接时均安装防火墙或安全网关以确保网络及连接的安全,通过防火墙或安全网关的设置对内外网络访问按照权限进行控制。 

9.2 厂商工程师只能在管理员的陪同下进行调试,调试完毕后应立即更改管理口令。 

9.3 防火墙或安全网关需要增加或删除访问控制策略时,应严格按照配置变更流程进行。 

9.4 在配置和访问控制策略更改时,网络管理员应及时导出防火墙或安全网关的配置文件,作好备份并标明改动内容。 

9.5 网络管理员应每月进行一次防火墙访问控制策略审查工作,对过期和权限过大的策略进行优化,优化工作应严格按照配置变更流程进行。 

9.6 网络管理员应该及时了解厂商发布的软硬件升级包,防火墙和安全网关的升级应严格按照配置变更流程进行。 

9.7 严格限制每个用户的权限,严格执行用户增设、修改、删除制度,防止非授权用户进行系统登录和数据存取。严格网络管理人员、系统管理人员的管理,严格执行离岗审计制度。对公司技术支持人员进行备案登记制度,登记结果存档保密,保存期限为半年。 


十、防病毒管理 

10.1 信息技术部系统管理员负责公司病毒防治工作。 

10.2 病毒防治管理是计算机信息系统安全的一个重要组成部分,各部门应提高防范计算机病毒的安全意识,切实履行各项职责。 

10.3 信息技术部负责对计算机病毒防治工作进行部署、监管和指导。 

10.4 信息技术部负责建立突发病毒事件应急响应机制,在重大病毒爆发时,负责组织和协调相关部门研究应急方案、付诸实施,并跟踪有关反馈信息和处理结果。 

10.5 信息技术部负责组织计算机病毒防治培训和讲座,提高员工的病毒防治安全意识。 

10.6 信息技术部及时发布"新病毒预告",提供特定病毒专杀工具、相关安全补丁等提供本公司用户选择使用。 


十一、防病毒软件的安装 

11.1 信息技术部负责在全网范围内建立多层次的防病毒体系,要使用国家规定的、具有计算机使用系统安全专用产品销售许可证的防病毒产品。应安装防病毒软件、防火墙以及安全卫士等恶意软件防治工具。 

11.2 对新购进的计算机及设备,在安装完操作系统后,系统管理员要在第一时间内安装防病毒软件。 

11.3 没有安装防病毒软件的计算机不得接入到公司网络中。 11.4防病毒软件的类型遵循公司统一规划,不得私自安装其他类型的软件。 


十二、防病毒软件的升级 

12.1 信息技术部负责公司数据中心防病毒软件的升级,病毒特征库至少要做到每天自动升级检查,自动部署,值班人员检查情况并写入《机房运行日志》。各部门病毒防治工作负责人负责所辖范围计算机防病毒软件的升级。 

12.2 对病毒特征库的升级情况应该进行手工检查,将当前版本与软件厂商在网站上公布的版本进行比较。 

12.3 一旦出现传播速度快,威胁大的新病毒,应该立即进行手工升级。 


十三、防病毒软件的维护 

13.1 信息技术部防病毒管理人员每个月第一周对服务器进行病毒扫描,并且对病毒疫情进行统计分析,包括计算机病毒种类,文件感染率、计算机病毒处理结果〔删除、清除、隔离和不操作)等内容,填写报告分析结果及时上报安全主管。扫描结果保留3个月以上。 

13.2 信息技术部防病毒管理人员负责定期对各部门病毒防治管理工作进行监管,包括病毒防治产品运行、功能的正确使用、合理设置参数、及时升级病毒特征码等。 

13.3 发现病毒后的措施 

发现病毒后,应及时通知公司信息技术部或本部门病毒防治工作负责人,相关负责人应采取以下措施: 

(1)隔离受感染主机:当出现计算机病毒传染迹象时,立即隔离被感染的系统和网络,并进行处理,不应带"毒"继续运行;对于重要服务器, 要先确定被感染情况,不要盲目断网; 

(2)确定病毒种类特征:采用多种手段确定病毒的类型和传播途径,如查看防病毒软件的报警信息、搜索互联网相关信息、和防病毒厂商沟通等途径。对于未知病毒,可以尽快提交给有关部门或厂商; 

(3)防止扩散:如果出现大面积传播的趋势,要根据病毒的传播形式,采取网络访问控制、内容过滤等手段控制病毒的扩散; 

(4)查杀病毒:尽量使用专杀工具对病毒进行查杀,完成后,重启计算机, 再次用最新升级的防病毒软件检查系统中是否还存在该病毒,并确定被感染破坏的数据是否确实完全恢复。 

(5)查找中毒原因,改进和完善防护措施,对造成严重影响的应填写《病毒查杀分析报告》交信息技术部存档。 


十四、用户管理 

14.1 正确安装和使用本公司指定的计算机病毒防治产品,未经许可,不得随意卸载病毒防治产品。 

14.2 发生突发病毒事件应立即拔掉网线,应及时通知公司信息技术部或本部门病毒防治工作负责人。 

14.3 不得随意下载和运行未确定安全性的软件、程序和文档。收到不明电子邮件,不得浏览和运行,以免感染计算机病毒。杜绝病毒传播的各种途径。光盘、V盘和移动硬盘等存储介质在使用前应进行病毒检测。 


十五、备份操作管理 

15.1 备份工作应由信息技术部门安排备份管理人员和备份数据保管人员。备份管理人员负责实施备份、恢复操作和登记工作,备份保管人员负责备份介质的取放、更换。 

15.2 数据被大规模更新前后,须对数据进行备份,在操作系统和应用程序发生重大改变前后,须对系统和应用程序进行备份。 

15.3 各部门专用软件和数据由计算机保管人定期备份,信息技术部对备份情况进行抽查,需要信息技术部备份的应填写《数据备份申请表》,提出具体的备份要求,包括备份内容、备份周期等,申请部门负责人审批后由备份管理人员制定相应策略,并由信息技术部门负责人审批后执行。 

15.4 备份操作人员每次备份填写《备份工作汇总记录》。 

15.5 备份对象发生变更后,应及时评估和调整备份策略。备份策略的变更应得到需求申请部门以及信息技术部负责人审批。 

15.6《数据备份申请表》和《备份工作汇总记录》必须由备份管理员妥善保管,信息技术部负责人每三个月对备份工作进行审核,核对系统中的备份工作与备份申请是否吻合,以保证备份是按照要求进行的,核对系统中的备份日志与备份工作汇总记录,以保证备份的有效性、完整性以及出现的问题能得到适当的处理。 

15.7 备份恢复 

(1)信息技术部负责人应制定相应的备份恢复计划。 

(2)需要恢复备份数据时,应由需求部门填写《数据恢复申请表》,内容包括数据内容、恢复原因、恢复数据来源、计划恢复时间、恢复方案等, 由需求部门以及信息技术部门相关负责人审批后由备份管理员负责实施。 

(3)备份管理员应对《数据恢复申请表》进行保存和归档,信息技术部负责人应每三个月对上述文档进行审阅,确保备份恢复工作的合规性。 

15.8 备份介质的存放与管理 

(1)对数据、操作系统以及程序的备份,须保存在两份介质中,一份本地存放,另一份异地存放;本地和异地的备份介质均需填写《备份介质登记表》。 

(2)备份介质存放场所必须满足防火、防水、防潮、防磁、防盗、防鼠等要求。无论是存放在本地还是异地,须确保存放场所的安全,经信息部门负责人批准后实施,只有授权人员才可以访问; 

(3)备份介质的存取应由备份保管人员负责,其他人员未经批准不能操作。 

(4)存放备份的介质必须具有明确的标识;标识必须使用统一的命名规范。介质标识号命名规则:三位数编号:如002。 

(5)在本地和异地建立《备份目录清单》,用以记录备份数据的名称、内容、存放位置、数据录入时间和数据保留期限等,由备份管理人员负责每次填写,备份保管人员核对并保管。数据存放应以压缩包的形式。 

(6)备份数据命名规则: 

a)操作系统:操作系统名称―日期。如邮件服务器操作系统20101230。 

b)应用系统软件:应用系统软件名称―日期。如用友服务器端20101230。 

c)数据库:数据库名称-应用系统软件名称-日期。 

d)其他文件:文件名称―日期。 

(7)所有备份介质一律不准外借,不准流出公司,除备份管理员任何人员不得擅自取用,若要取用须经信息技术部门负责人批准,并填《备份介质登记表》。借用人员使用完介质后,应立即归还。由备份管理员检查,确认介质物理和数据完好无误。备份管理人员及借用人员须分别在《备份介质借用登记表》上签字确认介质归还。

(8)备份介质要每3个月进行检查,以确认介质能否继续使用、备份内容是否正确。一旦发现介质损坏,应立即更换,并对损坏介质进行销毁处理;对超出保存期的数据可以进行冲洗。存放介质需要冲洗或销毁时,应填写《备份介质冲洗销毁登记表》,由需求部门负责人和信息技术部负责人审批后,备份管理人员与备份保管人员办理交接手续后由备份管理人员销毁,必须使备份介质中的数据永久不可读取,备份数据介质销毁后,在《备份介质登记表》中注明冲洗或销毁。销毁时须备份管理人员和备份保管人员双人以上在场,防止数据的泄漏。《备份介质销毁登记表》由备份保管人员保管。 

(9)长期保存的备份介质,必须按照制造厂商确定的存储寿命定期转储, 磁盘、磁带、光盘等介质使用有效期规定为三年,三年后更换新介质进行备份。需要长期保存的数据,应在介质有效期内进行转存,防止存储介质过期失效。以上操作由备份管理员提出申请,信息部门负责人审批后执行并在《备份介质登记表》和《备份介质销毁登记表》中登记,备份保管员负责核对。 


十六、应急方案 

16.1 应急方案包括:主机系统故障应急方案、通信系统故障应急方案、系统和数据的灾难备份与恢复、黑客攻击的应急方案、主机感染病毒后的应急方案、安全体系受损或瘫痪的应急方案。 

16.2 应急方案要归档管理。随着网络和业务系统的改变而即时进行修改,要保证应急方案启动的快速性、实施的高效性、结果的正确性。定时进行应急演练。 

16.3 入侵检测的管理制度 

入侵检测系统管理由计算机中心相关领导负责,并做下列工作:

a) 对入侵检测系统软件及相关资料归档入库并进行登录、保管; 

b) 入侵检测系统软件拷贝和资料印刷等工作; 

c) 入侵检测系统的安装、调试及卸载; 

d) 一周三次定期查看入侵检测系统日志记录,并做备份。 

e) 如发现异常报警或情况需及时通知相关负责人。 

16.4 漏洞扫描的管理制度 

漏洞扫描管理由计算机中心领导负责,并做下列工作: 

a) 对漏洞扫描软件归档入库并进行登录、保管; 

b) 漏洞扫描软件拷贝和资料印刷等工作; 

c) 一个月一次定期对本网络进行漏洞扫描检查。 

16.5 事故响应及处理 

a) 发生计算机事故时,当事人要迅速报告安全小组以及相关部门,并详细记录事故发生的时间、地点、现象以及可能的原因。 

b) 安全小组接到报告后,根据事故的严重程度,决定启动何种形式的应急方案,并上报计算机中心和相关业务领导。事故结束后,要和有关人员、部门分析事故发生的原因,并根据情节的轻重对事故责任人作出相应的处理。 

c) 出现重大计算机事故,有计算机犯罪嫌疑的,除了采取相应的补救措施外,还要及时上报公安机关,依法追究事故责任人的法律责任。 


十七、机房管理规定 

17.1 机房管理人员应使用电子表格对机房内设备做好登记,记录现有设备的型号、配置、位置、状态等信息,以便跟踪设备变化。 

17.2 计算机及网络设备的搬运必须填写《机房设备变更表》并通过信息技术部负责人审批方可进入或搬离计算机机房。 

17.3 信息技术部应根据公司实际情况,安排专人对机房进行值班和巡检。 

17.4 机房钥匙由信息技术部保存,其余钥匙交公司行政部统一保管,如果特殊情况需使用时须严格登记。 

17.5 任何非机房管理人员需要进入机房,需填写《机房出入登记表》在机房值班人员陪同下进入机房。 

17.6 进入机房人员不得携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质等对设备正常运行构成威胁的物品,因工作需要使用时,必须向信息技术部负责人申请并做详细登记,严格执行操作规程,用后必须置于安全状态,妥善保管。 

17.7 机房管理人员要熟悉设备电源和照明用电以及其他电气设备总开关位置,掌握切断电源的方法与步骤,发现火情及时报告,采取有效措施及时灭火。 


十八、办公室环境管理规定 

18.1 办公室内保持干净整洁,办公区域不可接待外来人员,如工作需要,相关人员负责陪同并登记。 

18.2 计算机使用者应当对口令严格保密,并至少每180天更改一次密码,密码应满足复杂性原则,长度应不低于8 位,并由大写字母、小写字母、数字和标点符号中至少3类混合组成。对于因为软件自身原因无法达到要求的,应按照软件允许的最高密码安全策略处理。 

18.3 计算机使用者离开座位时,要退出系统登陆或密码锁定终端,防止他人进入。 

18.4 涉密或敏感信息要妥善保管,办公桌面不得放置包含敏感信息的纸档文件等资料。不能因为方便而将相关密码信息贴在屏幕上或办公台上。 

18.5 严禁私自使用他人的计算机, 如工作需要,必须由计算机使用人陪同使用。 


十九、安全保密制度 

遵循国电对电力行业的有关规定和国家经贸委30号令,遵守国家相应的保密制度。