信息系统安全策略

信息系统安全策略类别：计算机信息管理制度编码：CI01-2011起草单位：信息管理部下发日期：2011.2第一章总则第一条为了保证中煤张家口煤矿机械有限责任公司（以下简称张煤机）信息系统的安全和发展、保证信息系统的正常运行,特制定本安全策略。第二条信息系统应用、服务支撑和管理的相关人员应该遵守《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》等相关法律、法规以及和张煤机有关安全管理规定的要求。第三条信息系统包括业务支撑系统（BSS）、运营支撑系统（OSS)、管理支撑系统（MSS）和信息系统基础设施以及内网信息安全体系。第四条张煤机所属各单位的信息系统管理工作，均应严格遵照本管理办法执行。各单位可以根据本办法，结合实际情况制定本单位实施细则。第五条信息系统相关部门一般分为信息系统管理部门、信息系统应用部门和信息系统服务支撑部门。（一）信息管理部作为张煤机信息系统管理部门以及信息系统服务支撑部门；（二）凡是操作、使用信息系统的单位为信息系统应用部门；第六条本管理办法由张煤机信息管理部负责解释。第七条本管理办法自发布之日起执行第二章总体要求第八条信息系统的安全实行集中管理制。张煤机信息管理部是信息系统安全的管理部门，负责解决运行管理中的安全问题，并对信息系统应用部门安全管理负有指导、监督和检查责任。第九条信息系统服务支撑部门负责人必须指定专门的信息系统管理人员和文档管理人员。信息系统管理人员是系统安全的具体责任人，负责所辖系统机房、信息系统及网络的日常管理和信息安全工作，应经常对信息系统的软件、硬件进行检查和服务支撑，做好安全防范，保证网络能够持续有效地运行，并结合工作需要及时对信息系统上的信息进行更新服务支撑，及时对发布的信息进行复核，公布有效信息，清除垃圾信息等。文档管理人员负责对信息系统安全的关键配置、用户权限变更、重要日志等文档进行保存。第十条信息系统服务支撑部门应结合本部门的具体情况，负责落实信息安全责任制，定期（至少每月一次）进行信息安全检查，杜绝各类信息安全隐患，做好信息系统安全管理工作，保证信息系统的安全，使其正常高效地运行。第十一条信息系统服务支撑部门应定期（至少每6个月一次）对所属工作人员进行有关信息系统安全的教育和培训，提高系统管理队伍的整体素质和操作能力。第十二条各级人员严格遵守通信纪律，增强保密意识，保守通信机密，不能向无关人员泄漏系统及其数据结构、容量配置、统计数据等相关技术资料。第十三条严格遵守保密制度，有关业务系统数据、报表数据、用户资料数据等均属秘密，不得任意抄录、复制及带出，也不得转告与工作无关人员，不用的草稿、报表应及时销毁。第十四条信息系统服务器及网络设备必须使用经正式授权的正版软件，不得安装使用任何盗版及与提供服务无关的软件；软件使用部门和个人取得新软件前必须确认其购买与安装是否符合公司的软件使用政策。第十五条信息系统服务支撑单位应建立信息系统安全事件应急流程预案（包括机房环境、DCN网络、信息系统、终端等）并且进行定期（至少每年一次）演练，发生紧急安全事件时应依照预案流程进行，快速恢复信息系统正常运行。第三章用户和密码管理第十六条信息系统服务支撑部门系统管理员为系统中的每一个用户创建唯一的用户帐号。在特定情况下可以使用共享的用户ID，但必须经过授权，并采取额外的控制措施来保证责任到人。用户ID不得体现用户的权限级别。对所有在线的系统无论是本地或远程操作，系统用户都必须通过系统的密码认证。第十七条帐号密码设置需符合以下安全要求:（一）密码不得包含常用可以识别的名称或单词、易于猜测的字母或数字序列或者容易同用户发生联系的数据，比如自己、配偶或者子女的生日和姓名等内容；（二）密码长度至少是六个字符，组成上可以包含大小写字母、数字、标点等不同的字符；（三）同一密码不得被给定账户在一年内重复使用；（四）如果在30分钟之内连续出现3次无效的登录尝试，登录界面自动关闭。（五）厂商默认密码必须在提供该密码的软件安装完毕后马上进行修改。（六）用户取得各种应用的初始密码后应立即进行更改。第十八条系统管理员的密码更新后，应将新密码记录送交指定人员封存，并销毁旧密码。当系统管理员发生变化时，新的系统管理员应立即更改密码。第十九条应制定用户帐号的注册和注销程序，用户申请帐号和权限时，由用户所在部门帐号管理人员提交《用户权限申请表》（见附件一），由用户所在部门主管领导和信息系统服务支撑部门主管领导对用户权限和申请原因等内容进行审批，系统管理员根据审批后的申请表,设置用户的帐号和权限。第二十条超级权限用户的分配应遵循以下标准：（一）确定不同系统的超级权限以及需要获得此类特权的人员类型；（二）超级权限应基于“使用需要”，逐个事件进行分配，即以完成其岗位职责的最低要求为依据，如某些超级权限在完成特定任务后应被收回；（三）保留所有超级权限分配授权流程的记录。在授权流程结束之前，不得授予特权；（四）当某用户需要超级权限时，应在其原有的用户ID之外，另行设置一个授予了超级权限的特殊帐户（超级权限应是不同于一般商业用途的用户ID的另一个ID）；（五）超级用户密码应进行有效和安全的备份，并交由专人保管。第二十一条系统管理员掌握的超级管理员密码正常情况下应每90天修改一次，由系统管理员修改密码并将修改后的系统管理员帐号密码记录，销毁旧密码，将修改情况填写在《系统管理员密码记录表》中封存，签封后交信息系统服务支撑部门领导保管，以备紧急情况下使用。第二十二条应严格执行超级权限用户帐号和密码的登记备案制度，建立在紧急、无法通过正常授权的情况下，备份帐号密码的使用流程。系统管理员将密码记录在纸质的密码记录表上封存，签封后交部门指定人员集中保管，以备急需之用。一旦封存密码使用后，系统管理员应按照要求及时变更密码并重新封存，每次系统管理员更改系统密码时应填写《系统管理员密码记录表》。第二十三条在发生紧急情况并且不能联系到系统管理员时，经信息系统服务支撑部门领导同意，可以启用封存的密码。一旦封存密码使用后，由系统管理员按照要求及时变更密码，并封存进行集中保管。第二十四条需定期核查用户的访问权限，并出具《用户权限复核表》（见附件二）。具体要求如下：（一）用户访问权限应由用户所在部门的管理人员、系统所有人及系统服务支撑人一起确认;（二）用户帐户的访问权限应至少每6个月检查一次，特殊功能帐户应至少每3个月检查一次，超级帐户应至少每1个月检查一次；（三）任何变化发生后应进行核查；（四）定期搜索、检查多余、闲置或非法的账户，并予以冻结或删除；（五）对核查中发现的问题，应督促相关人员采取必要措施予以纠正。第二十五条当系统用户由于岗位变动或离职等原因离开原工作岗位时，由用户原所在部门帐号管理人员填写《用户权限申请表》，送信息系统服务支撑部门领导进行审批，审批通过后，系统管理员进行帐号、权限变更。第二十六条员工有责任和义务保管好个人的各类账号和密码，由于密码泄漏造成的不良后果由员工本人承担。员工不得在任何场合随意公开各种应用的用户名和密码。第四章机房安全管理第二十七条信息系统所辖机房的电源系统、空调系统、监控系统、门禁系统、报警系统、消防系统的服务支撑以及对电源电压，地线、接地，环境温、湿度，各种电缆走线，清洁度，防静电，防霉，防虫害，防火，防水，防易燃、易爆品，防电磁波等方面应当符合国家标准及国家、集团和公司有关规定。第二十八条信息系统所辖机房的环境管理、内部管理以及进出管理应符合集团和公司有关规定。第二十九条信息系统安全管理部门定期（至少每6个月一次）检查信息系统所辖机房环境控制机制的效果，并评估对企业信息资源实体的潜在威胁及影响。第三十条承载公司核心应用系统的机房（即企业数据中心，EDC）应建立异地备份中心和相应的流程预案，能够为信息系统和网络的持续性运转提供持续性的机房环境。第五章网络安全管理第三十一条需要全面、系统地考虑整个网络的安全控制措施，并紧密协调，一致实施，以便优化公司运维；明确规定有关网络的规划、实施、运作、更改和监控的安全技术要求，对网络安全状态进行持续监控，保存有关错误、故障和补救措施的记录。第三十二条网络管理员负责网络的安全管理，网络管理员必须掌握网络管理和网络安全方面的知识。第三十三条网络管理员必须使用安全工具或技术进行系统间的访问控制，并根据系统的安全等级，相应的在系统的接入点部署防火墙，IDS（入侵检测）等网络安全产品，保证网络安全。第三十四条除网络安全人员进行网络维护或安全检测外，任何人员不得以任何理由在内部网络利用各类工具或其他手段进行攻击尝试（攻击尝试包括扫描、探嗅网络、架设dhcp或代理服务器、暴力猜测主机或网络设备的用户名和密码等攻击行为）。第三十五条核心网络设备应有备份设备，采取热备方式，骨干链路应有备份路由，重要的服务器设备应具备冗余网络链路。网络管理员在新的网络设备接入网络前，修改设备的默认密码。第三十六条公司内部网与互联网等其他网络相连必须采取设立硬件防火墙等隔离措施，进行访问控制，限制外网用户访问内网信息，要求防火墙系统日志必须记录相关访问信息。相关部门需要通过内部网络访问外网资源时，需经信息系统管理部门主管领导审批同意后，由网络管理员进行配置并记录。网络管理员应定期（至少每月一次）监控是否有不合法的用户访问内网资源。第三十七条需更改网络配置或进行网络调整前，信息系统服务支撑部门必须提交申请并经主管领导批准。调整网络前后，应对网络配置信息做好备份。第三十八条将网络管理权限赋予给网络管理人员，明确网络管理员的管理范围（包括所管理的设备清单和管理内容），网络管理员职责如下：（一）至少每月一次监测网络设备资源（CPU、MEM等）的占用情况；（二）至少每月一次对网络设备配置进行检查；（三）管理网络设备系统权限，观测系统的安全状况，发现不良入侵，立即采取措施予以制止；（四）管理网络设备软件版本，以及软件和配置修改工作，进行相应操作时，应做出详细记录，并接受网络管理部门主管定期（至少每月一次）审核；（五）根据网络系统的运行情况，协助部门领导提出系统的优化、更新方案；（六）建立并管理网络组织、结构、路由等网络技术档案；（七）负责对IP地址等网络资源进行分配和管理；（八）负责对网络结构等进行相应优化、调整，以进一步提高网络效率及安全可靠性；（九）负责绘制网络拓朴图，并及时更新。第三十九条IP地址资源由信息系统管理部门统一规划和管理，IP地址、主机名等参数应按照公司所规定的标准进行统一编码和分配。各接入单位应当在规定的范围内，设置计算机及网络设备IP地址。第四十条网络的IP地址是网络中的重要的资源，严禁盗用他人IP地址、用户名及密码；不得擅自进入未经许可的信息系统或利用网络设备、软件技术更改或者盗用其他单位的网络信息，严禁修改任何网络设备的技术参数。第四十一条禁止私自将系统内的计算机和其他单位的网络互联，如确实需要和其他单位网络互联，应由双方的系统管理人员和网络管理人员相互配合，设计出切实可行的互联方案（该方案中必须考虑双方的网络和系统安全），取得相关部门审批同意后方可实施。与其它网络进行互联时，必须在边界处设置防火墙，防止非法数据包的入侵，阻止未授权或未检测的数据向外泄露。第四十二条严格禁止同一台终端在使用公司内部网络的同时采用拨号、无线、LAN等方式连接其他网络,有业务需要，需要取得信息管理部审批同意后方可实施。第四十三条网络管理员必须定期（每3个月）对网络设备进行安全漏洞检测，升级或安装必要的系统补丁，预防网络安全漏洞，并记录操作内容。第四十四条未经允许，任何单位或个人不得擅自外借、移动、拆除和接入网络设备，不得随意变更网络设备及网络结构，确需变更的，严格履行审批手续后，在确保不影响现有系统运行的情况下，由相关技术人员实施或监督实施。第四十五条采取加密机或加密软件等控制措施，保护通过公共网络传输的数据的机密性和完整性，敏感数据（特别是与财务相关的数据）通过外部网络传输时，必须经过加密处理。第四十六条网络系统管理部门必须对网络系统管理员帐号和密码采取备份保护措施