投資控股集團有限公司信息系統(tǒng)安全管理辦法資料

1、 計算機信息系統(tǒng)安全保護等級劃分準計算機信息系統(tǒng)安全等級保護通用技計算機信息系統(tǒng)安全等級保護網(wǎng)絡(luò)技計算機信息系統(tǒng)安全等級保護操作系計算機信息系統(tǒng)安全等級保護數(shù)據(jù)庫投資控股集團有限公司信息系統(tǒng)安全管理辦法第一章 總則第一條為加強集團信息系統(tǒng)安全管理，規(guī)范對計算機信息系統(tǒng)進行安全保護所需的管理和技術(shù)要求，制定本辦法。第二條規(guī)范和定義（一）本辦法自動包含以下國家標準:GB17859-1999則GA/T390-2002術(shù)要求GA/T387-2002術(shù)要求GA/T388-2002統(tǒng)技術(shù)要求GA/T389-2002管理系統(tǒng)技術(shù)要求（二）術(shù)語和定義：操作系統(tǒng)： 計算機硬件系統(tǒng)上加載的第一道軟件系統(tǒng)，專門用于

2、管理計算機硬件和其它軟件 , 響應(yīng)用戶對硬件和軟件的操作，包括Windows， Linux ， AIX 等。服務(wù)器：不歸個人使用，專為他人提供服務(wù)的電腦。般放置在專用的機房中，由專人管理臺式機、筆記本電腦、移動終端：個人使用的電腦以及具備電腦功能的移動終端。計算機病毒：具有傳染性和破壞性的計算機程序。防病毒軟件：用于防范和清除計算機病毒的軟件。廣域網(wǎng)：作用范圍為幾十到幾千公里的網(wǎng)絡(luò)。局域網(wǎng)：作用范圍一般是一座樓房或一個小單位，在一公里左右的網(wǎng)絡(luò)。Web ： Web 或者 WWW ，萬維網(wǎng)的簡稱，是基于Internet 的信息服務(wù)系統(tǒng)。瀏覽器：訪問和瀏覽Web 的工具?；顒幽夸洠褐肝④浀?Act

3、ive Directory 產(chǎn)品。域：活動目錄中的一個管理子集。應(yīng)用系統(tǒng)： 運行在操作系統(tǒng)上的具有專門功能的電腦軟件。業(yè)務(wù)系統(tǒng)： 應(yīng)用系統(tǒng)的一種， 專指為集團日常業(yè)務(wù)服務(wù)的應(yīng)用系統(tǒng)。系統(tǒng)程序： 操作系統(tǒng)中用于對操作系統(tǒng)進行管理、 配置、調(diào)試的軟件工具。數(shù)據(jù)庫系統(tǒng)：存儲和處理數(shù)據(jù)的專用軟件平臺，如Microsoft SQL ， Oracle 等。數(shù)據(jù)庫系統(tǒng)實用程序： 數(shù)據(jù)庫系統(tǒng)中用于對數(shù)據(jù)庫系統(tǒng)進行管理、配置、調(diào)試的軟件工具。數(shù)據(jù)庫事務(wù)日志： 數(shù)據(jù)庫系統(tǒng)中記錄數(shù)據(jù)庫更改操作 的文件。外來人員：不屬于本單位的來訪人員。外來設(shè)備： 不屬于本單位的設(shè)備， 包括租借的服務(wù)器、交換機、路由器、外單位人員攜

4、帶并臨時接入集團網(wǎng)絡(luò)的臺式機、筆記本電腦、移動終端等。另外，本單位設(shè)備離開集團網(wǎng)絡(luò) 90 天以上，重新要求接入單位網(wǎng)絡(luò)時，也應(yīng)視作外來設(shè)備處理。外來數(shù)據(jù)： 從單位網(wǎng)絡(luò)以外下載的軟件及數(shù)據(jù)， 包括 Internet 或集團網(wǎng)絡(luò)以外下載的或者從集團外帶入的軟盤、U 盤、移動硬盤、光盤等攜帶的軟件及數(shù)據(jù)。網(wǎng)絡(luò)設(shè)備： 網(wǎng)絡(luò)層使用的設(shè)備， 包括路由器, 交換機 ,防火墻 , 集線器 , 協(xié)議轉(zhuǎn)換器, 電信線路接入裝置, MODEM等。IP 地址：根據(jù)TCP/IP 協(xié)議 , 給每個連接在網(wǎng)絡(luò)上的主機或設(shè)備分配一個在網(wǎng)絡(luò)范圍內(nèi)唯一的地址。端口掃描軟件： 一種自動檢測遠程或本地主機安全性弱點的程序， 可發(fā)現(xiàn)遠

5、程服務(wù)器的各種 TCP 端口的分配及提 供的服務(wù)等。安全控制列表： 配置于通訊設(shè)備上用于控制網(wǎng)絡(luò)之間 訪問權(quán)限的一段可定義的規(guī)則。信息資產(chǎn)：數(shù)據(jù)與文檔： 數(shù)據(jù)庫和數(shù)據(jù)文件（含客戶信息數(shù)據(jù)） 、系統(tǒng)文件、用戶手冊、培訓(xùn)材料、運行與支持程序、業(yè)務(wù)持續(xù)性計劃、應(yīng)急安排；書面文件：合同、指南、企業(yè)文件、包含重要業(yè)務(wù)結(jié)果的文件；軟件資產(chǎn)：應(yīng)用軟件、系統(tǒng)軟件、開發(fā)工具和實用程序；物理資產(chǎn)：計算機、通訊設(shè)備、磁介質(zhì)（磁盤與磁帶） ，其他技術(shù)設(shè)備（供電設(shè)備、空調(diào)設(shè)備） 、家具、辦公場所；服務(wù)： 計算和通訊服務(wù)， 其他技術(shù)服務(wù) （供熱、 照明、電力、空調(diào)） 。第三條 集團信息安全體系概述集團不斷加強的信息系統(tǒng)一

6、體化趨勢，對信息系統(tǒng)安全提出了更高的要求，保障集團信息系統(tǒng)安全已成為集團信息化建設(shè)的重要工作之一。集團信息系統(tǒng)具有以下特點：集團業(yè)務(wù)種類繁多，信息系統(tǒng)功能龐大、結(jié)構(gòu)復(fù)雜；集團業(yè)務(wù)對信息系統(tǒng)高度依賴、實時性強，要求確保信息系統(tǒng)的安全性、可靠性、穩(wěn)定性、高效性；集團組織結(jié)構(gòu)層級復(fù)雜，各子公司信息系統(tǒng)應(yīng)用情況各異，設(shè)計的業(yè)務(wù)種類和服務(wù)系統(tǒng)多，對業(yè)務(wù)系統(tǒng)和數(shù)據(jù)中心要求較高；集團信息系統(tǒng)的安全管理，必須從全局出發(fā)，建立集團級的信息系統(tǒng)安全體系，并制定統(tǒng)一的安全策略和實施計劃，使得信息系統(tǒng)每個層面的安全管理都能夠達到同樣高的水準，才能在總體上有效徹底地保障集團信息系統(tǒng)的安全。以“確保全集團信息系統(tǒng)整體安全

7、水平能夠達到防范B級攻擊的程度，并且在調(diào)控之下能夠不斷提高”為目標，以“統(tǒng)一規(guī)劃、分布實施、層層防范、全面控制”為方針，設(shè)計集團信息系統(tǒng)安全體系，并制定統(tǒng)一的安全策略和實施計劃理念（ PDCA ） 。本安全體系和安全策略的指導(dǎo)思想是“以管理為核心，實現(xiàn)整體的動態(tài)的安全” 。（一） PDCA 信息安全模型與集團信息安全體系PDCA 來源于計劃（ Plan ） 、行為 （Do） 、監(jiān)察 （Check）和調(diào)整（ Act ）這四個詞的縮寫。強調(diào)以動態(tài)的管理為運載核心、螺旋形不斷提高安全手段為目的，將安全防護、安全檢測和安全審計有機結(jié)合起來，作為該信息安全體系的精髓。. 安全防護安全防護是被動的防護措施

8、，包括域防護、防病毒、防火墻、系統(tǒng)防入侵和主動控制五個方面。域防護措施方面，部署自動升級策略和基礎(chǔ)安全策略，凡是加入域的機器都自動會受到這些策略的保護。防病毒方面，采用著名廠商的防護軟件，統(tǒng)一管理，互相補充。防火墻方面，采用 Juniper 、深信服、天融信防火墻以及路由器的訪問控制等控制措施。防入侵方面，安裝網(wǎng)絡(luò)防入侵系統(tǒng)，防止外來黑客的入侵。主動控制方面，采用行為管理或流量控制等安全管理系統(tǒng)，對端口、網(wǎng)址等進行限定，對上網(wǎng)行為、軟件下載、郵件等進行控制留痕。.安全檢測安全檢測包括一系列主動發(fā)現(xiàn)安全問題的技術(shù)，主要分為漏洞掃描、主動防毒、安全監(jiān)控和入侵檢測四類。漏洞掃描方面，應(yīng)定期對集團系統(tǒng)

9、漏洞進行掃描，并由專業(yè)安全機構(gòu)對網(wǎng)絡(luò)進行定期的檢測，查找系統(tǒng)薄弱環(huán)節(jié)。采用主流廠商的防病毒系統(tǒng)進行主動防毒檢測，主動發(fā)現(xiàn)易被病毒攻擊或者已被病毒攻擊了的設(shè)備。入侵檢測方面，采用日志分析技術(shù)留存重要信息。同時由專業(yè)機構(gòu)進行滲透測試、提出加固報告。安全監(jiān)控方面，采用安全管理監(jiān)控系統(tǒng)，對系統(tǒng)存在的安全隱患進行不間斷監(jiān)控，并實時報警。.安全響應(yīng)安全響應(yīng)通過評估信息系統(tǒng)安全風(fēng)險，反饋管理存在的問題，使整個體系處于動態(tài)升級的循環(huán)當中。主要分為風(fēng)險分析、應(yīng)急計劃和應(yīng)急演習(xí)三個步驟。風(fēng)險分析是分析和評估自身風(fēng)險的行為，幫助管理部門 發(fā)現(xiàn)風(fēng)險點。應(yīng)急計劃是管理部門針對風(fēng)險分析的結(jié)果制定的恢復(fù)系統(tǒng)的計劃。應(yīng)急演習(xí)

10、應(yīng)該定期舉行，以驗證應(yīng)急計劃的好壞， 發(fā)現(xiàn)管 理中存在的問題，并提由反饋意見。（二）信息安全體系管理的對象集團信息安全體系的核心是管理，管理的對象是信息系統(tǒng)。.信息系統(tǒng)的層次劃分防病毒 用戶A松限管理網(wǎng)絡(luò)圖1集團信息系統(tǒng)的層次信息系統(tǒng)的最底層為網(wǎng)絡(luò)。網(wǎng)絡(luò)包含了Lan、Extranet和Internet 網(wǎng)絡(luò)。Lan指集團的局域網(wǎng)；Extranet 指集團以 外的其他單位的網(wǎng)絡(luò)，比如其他交易所、資產(chǎn)管理公司、證 券公司、銀行等。Lan上面的所有資源應(yīng)用域控制器來管理。域上管理的資源包括：服務(wù)器、計算機、打印機、操作系統(tǒng)、應(yīng)用系統(tǒng)用戶權(quán)限管理和防病毒是跨越各個層次的獨立的系統(tǒng)。.設(shè)備和權(quán)限的分類1

11、 ）設(shè)備分類設(shè)備按用途分為：網(wǎng)絡(luò)設(shè)備、服務(wù)器和業(yè)務(wù)專用機。2 ）用戶權(quán)限分類集團的所有員工分為信息系統(tǒng)普通用戶和信息系統(tǒng)管理員兩大類。信息系統(tǒng)普通用戶不再細分類別。信息系統(tǒng)管理員分為系統(tǒng)管理員和網(wǎng)絡(luò)管理員。系統(tǒng)管理員負責(zé)網(wǎng)絡(luò)以上層次的系統(tǒng)的管理工作。網(wǎng)絡(luò)管理員負責(zé)網(wǎng)絡(luò)的管理工作。系統(tǒng)管理員分為操作系統(tǒng)管理員、 數(shù)據(jù)庫管理員、 應(yīng)用系統(tǒng)管理員。第四條 信息安全管理機構(gòu)及職能集團信息系統(tǒng)安全管理由信息中心負責(zé)。信息中心設(shè)立信息系統(tǒng)安全管理崗位，專職負責(zé)對集團信息系統(tǒng)的安全進行管理和審計。信息中心安全管理工作職責(zé)包括：負責(zé)制定集團信息系統(tǒng)的統(tǒng)一安全策略；負責(zé)制定集團信息系統(tǒng)的統(tǒng)一安全管理辦法和措施；

12、負責(zé)制定集團信息系統(tǒng)的應(yīng)急計劃；負責(zé)集團信息系統(tǒng)安全防護系統(tǒng)的建設(shè)和運行管理；負責(zé)集團信息系統(tǒng)數(shù)據(jù)的安全管理；負責(zé)組織信息系統(tǒng)應(yīng)急演練；負責(zé)信息系統(tǒng)安全事故的處理和調(diào)查；負責(zé)組織信息系統(tǒng)安全教育及技術(shù)培訓(xùn)。第二章 安全管理辦法細則第五條 信息資產(chǎn)安全控制策略信息資產(chǎn)應(yīng)按照所屬信息系統(tǒng)業(yè)務(wù)重要性設(shè)置相應(yīng)的安全控制策略，保障信息資產(chǎn)的安全性、可用性和可審計。第六條 用戶及權(quán)限管理策略（一）用戶名和密碼安全. 每個系統(tǒng)中的用戶名應(yīng)與具體員工對應(yīng)，禁止多人共用一個用戶名。.密碼策略的制定參考以下規(guī)則：1 ）至少要有8 個字符；2 ）不得使用通過個人相關(guān)信息容易猜出或破解的密碼；3 ）根據(jù)條件采用數(shù)字、

13、字母、符號混排方式；服務(wù)器及業(yè)務(wù)專用機上的用戶必須簽署聲明，保證個人密碼安全，不得向其他任何人泄漏。管理員和用戶密碼至少保證每月修改一次；應(yīng)避免循環(huán)使用舊密碼。服務(wù)器和業(yè)務(wù)專用機要限制登錄失敗的次數(shù)， 達到 10次就鎖定用戶。原則上服務(wù)器和業(yè)務(wù)專用機的操作系統(tǒng)管理員、數(shù)據(jù)庫管理員和應(yīng)用系統(tǒng)管理員中任何兩者不能由同一個人擔任。員工忘記密碼時，必須在對該員工進行適當?shù)纳矸葑R別后才能向其提供臨時密碼。不允許在任何地方以無保護的形式存儲、記錄密碼。應(yīng)避免在紙上記錄密碼，或以明文方式記錄在計算機內(nèi)。不要在任何自動登錄程序、批處理程序中使用明文密碼。服務(wù)器和業(yè)務(wù)專用機的管理員每月要檢查對敏感信息訪問權(quán)限的

14、可控性。發(fā)現(xiàn)違反訪問策略的情況及時處理。最小權(quán)限原則:系統(tǒng)的權(quán)限分配應(yīng)遵循最小權(quán)限原則，即給最少的人員以最小的權(quán)限。權(quán)限分離原則:關(guān)鍵業(yè)務(wù)系統(tǒng)及其后臺數(shù)據(jù)庫的管理權(quán)限分配應(yīng)遵循以下分離原則：業(yè)務(wù)系統(tǒng)管理員權(quán)限、操作系統(tǒng)管理員權(quán)限和數(shù)據(jù)庫系統(tǒng)管理員權(quán)限三權(quán)分離，由三個不同的員工掌管。第七條 網(wǎng)絡(luò)安全管理（一）網(wǎng)絡(luò)設(shè)備安全. 所有網(wǎng)絡(luò)設(shè)備的安裝、調(diào)試、配置由信息中心統(tǒng)一負責(zé)。. 所有網(wǎng)絡(luò)設(shè)備必須由信息中心指定人員設(shè)置管理員密碼。.所有網(wǎng)絡(luò)設(shè)備的密碼至少每年修改一次。.所有網(wǎng)絡(luò)設(shè)備必須定期巡檢和重啟。（二）網(wǎng)絡(luò)線路安全任何電信線路的開通由信息中心負責(zé)實施。骨干線路應(yīng)選擇不同電信運行商的通訊線路，組成

15、互 為備份的雙線骨干線路。（三） IP 地址規(guī)范.所有設(shè)備的 IP 地址由信息中心統(tǒng)一規(guī)劃， 任何人不得 隨意變更。.任何人不可盜用IP 地址。（四）網(wǎng)絡(luò)撥入和VPN 的安全網(wǎng)絡(luò)撥入和 VPN 統(tǒng)一由信息中心規(guī)劃并實施， 所需設(shè) 備由信息中心負責(zé)提供。網(wǎng)絡(luò)撥入和 VPN 所使用的用戶名和密碼由信息中心統(tǒng)一管理。開通撥入和 VPN 權(quán)限，由相應(yīng)部門提出申請，信息中心統(tǒng)一辦理，不得私自設(shè)立。撥入用戶的密碼不得少于 8 位， 不得采用簡單的密碼。（五）網(wǎng)絡(luò)間安全隔離所有網(wǎng)關(guān)設(shè)備必須配置基本安全控制列表，并定期維護。公司員工不得進入未經(jīng)授權(quán)使用的網(wǎng)絡(luò)系統(tǒng)，不得以 不真實身份使用網(wǎng)絡(luò)資源。公司員工不得運

16、行各種端口掃描軟件。集團內(nèi)部網(wǎng)絡(luò)應(yīng)分為辦公網(wǎng)、業(yè)務(wù)系統(tǒng)網(wǎng)和信息發(fā)布網(wǎng)等，各網(wǎng)絡(luò)之間必須配置安全控制列表和訪問控制策略，并記錄在案。網(wǎng)絡(luò)Internet出口由信息中心統(tǒng)一規(guī)劃和管理。網(wǎng)絡(luò)Internet出口必須安裝防火墻，同時設(shè)置高等級安全規(guī)則，啟用審計或日志記錄功能。關(guān)鍵業(yè)務(wù)服務(wù)器所在的網(wǎng)絡(luò)不得直接接入Internet 。信息中心應(yīng)將服務(wù)器設(shè)備的 MAC 地址及對應(yīng)的 IP 地 址記錄在案，定時核對。（六）網(wǎng)絡(luò)相關(guān)文檔資料的保存. 網(wǎng)絡(luò)相關(guān)文檔資料包括設(shè)備的配置文件， MAC 地址，IP 地址，用戶名和密碼, 網(wǎng)絡(luò)訪問權(quán)限表，各種物理和邏輯網(wǎng)絡(luò)連接圖，設(shè)備產(chǎn)生的日志文件，網(wǎng)絡(luò)巡檢日志，及各類用

17、戶申請單等，必須由專人管理，妥善保管。.查閱網(wǎng)絡(luò)資料必須經(jīng)審批同意。.各類網(wǎng)絡(luò)資料未經(jīng)允許不可帶出機房。（七）人員管理信息中心應(yīng)設(shè)立網(wǎng)絡(luò)安全管理員負責(zé)網(wǎng)絡(luò)設(shè)備及通訊 安全；網(wǎng)絡(luò)使用人員離職后，原所在部門需及時通知信息中心注銷離職人員所使用的用戶名、密碼及相關(guān)權(quán)限。第八條 操作系統(tǒng)安全管理（一）物理安全不同功能的服務(wù)器應(yīng)該做到物理隔離或邏輯隔離。機房要有攝像裝置，并打開攝像功能，記錄與服務(wù)器接觸的人員的活動。錄像資料要存檔。（二）用戶、密碼及權(quán)限管理操作系統(tǒng)管理員必須維護各操作系統(tǒng)中的用戶狀態(tài)及登錄記錄，包括用戶增減、用戶名更改及相應(yīng)的權(quán)限變更記錄。服務(wù)器及業(yè)務(wù)專用機的操作系統(tǒng)管理員必須定期檢查

18、并清理用戶賬戶和權(quán)限。操作系統(tǒng)管理員應(yīng)啟用操作系統(tǒng)中的密碼管理策略，保證用戶密碼具有較高質(zhì)量。（三）日志及審核管理根據(jù)系統(tǒng)需要啟用服務(wù)器、業(yè)務(wù)專用機的日志記錄。日志記錄應(yīng)包括：登錄，登出，系統(tǒng)報警，安全日志，重要應(yīng)用程序日志， 重要文件訪問日志。 應(yīng)正確設(shè)置計算機時鐘，對服務(wù)器應(yīng)啟用操作系統(tǒng)中的審計功能。應(yīng)對操作系統(tǒng)管理員賬戶進行全面審計。操作系統(tǒng)管理員必須每周檢查系統(tǒng)日志，對發(fā)現(xiàn)的問題及時處理，并做好記錄。操作系統(tǒng)管理員應(yīng)對日志文件進行備份并定期歸檔。日志文檔要求保留 1 年以上。（四）系統(tǒng)補丁及升級管理操作系統(tǒng)管理員應(yīng)及時安裝新發(fā)布的操作系統(tǒng)補丁。對關(guān)鍵服務(wù)器安裝補丁前應(yīng)在備用服務(wù)器上進行

19、測試。安裝補丁前要做好系統(tǒng)備份，如果補丁安裝不成功或?qū)е孪到y(tǒng)工作不正常，應(yīng)卸載補丁，恢復(fù)原狀態(tài)。（五）防病毒服務(wù)器、業(yè)務(wù)專用機必須安裝防毒軟件。（六）服務(wù)器的無人值守1 、服務(wù)器必須設(shè)置自動屏幕保護程序，并啟用離開后自動鎖定功能，同時要求使用人員在離開時將屏幕鎖住。2、完成工作后或長時間不使用時要從系統(tǒng)注銷登錄。3、服務(wù)器和業(yè)務(wù)專用機上安裝遠程控制軟件時必須經(jīng)過審批并記錄安裝信息。第九條 數(shù)據(jù)及數(shù)據(jù)庫安全管理（一）用戶、密碼及權(quán)限管理. 系統(tǒng)管理員必須對所有系統(tǒng)用戶的權(quán)限進行登記。.員工因工作變更或離職時， 要及時撤銷該員工的權(quán)限。系統(tǒng)管理員應(yīng)定期檢查并取消多余的用戶賬戶和權(quán)限。.啟用數(shù)據(jù)庫的

20、密碼管理策略， 策略制定參考以下規(guī)則：1 ）最少要有8 個字符；2 ）不要使用容易猜出或破解的密碼；3 ）不要連續(xù)使用同一字符，要求采用數(shù)字、字母、符號混排方式。員工必須簽署聲明保證個人密碼安全，不得向其他任何人泄漏，并確保工作組密碼僅在本組成員間共享。用戶及數(shù)據(jù)庫管理員的密碼至少每季度修改一次，避免循環(huán)使用舊密碼。一旦有跡象表明系統(tǒng)或密碼可能遭到破壞時，應(yīng)立即更改密碼。員工應(yīng)了解有效訪問控制及密碼安全使用的重要性。應(yīng)將數(shù)據(jù)庫的管理賬戶與普通賬戶分開，日常使用時只能以普通賬戶登錄。數(shù)據(jù)庫管理員原則上應(yīng)與操作系統(tǒng)管理員分開，不能是同一用戶或者是同一人。員工忘記密碼時，必須在對該員工進行適當?shù)纳矸?/p>

21、識別后才能向其提供臨時密碼。不允許在任何地方以無保護的形式存儲、記錄密碼，應(yīng)避免在紙上記錄密碼，或以明文方式記錄計算機內(nèi)。不允許在任何自動登錄程序、批處理程序中使用明文密碼。數(shù)據(jù)庫系統(tǒng)實用程序只限于數(shù)據(jù)庫系統(tǒng)管理員使用，并要有記錄。每月要檢查對敏感信息訪問權(quán)限的可控性。數(shù)據(jù)庫信息不得帶離辦公場所， 未經(jīng)審批不得向任何單位提供。發(fā)現(xiàn)違反訪問策略的情況應(yīng)及時處理。（二）日志及審核根據(jù)系統(tǒng)需要啟用相應(yīng)的日志記錄， 日志記錄應(yīng)包括：登錄，登出，系統(tǒng)報警，安全審核日志。數(shù)據(jù)庫管理員應(yīng)做好數(shù)據(jù)庫事務(wù)日志的備份和歸檔工作，不得隨意篡改、銷毀、刪除事務(wù)日志的備份。系統(tǒng)管理員必須每周檢查系統(tǒng)日志，對發(fā)現(xiàn)的問題及

22、時處理。第十條 應(yīng)用系統(tǒng)安全管理（一）物理安全應(yīng)用系統(tǒng)服務(wù)器應(yīng)設(shè)置嚴格的訪問控制，與無關(guān)網(wǎng)絡(luò)、服務(wù)器進行有效的隔離。應(yīng)用系統(tǒng)服務(wù)器物理安全應(yīng)符合操作系統(tǒng)安全相關(guān)規(guī)定。）用戶、密碼及權(quán)限管理應(yīng)用系統(tǒng)的密碼管理策略要嚴格， 管理員的密碼不得少于 8 位，字母、數(shù)字、符號結(jié)合、大小寫結(jié)合，并且每季度更改一次。應(yīng)用系統(tǒng)的管理員用戶只能由一個人擁有， 同時避免一人多崗。（三） 日志及審核在不影響服務(wù)器性能的情況下，盡可能啟用應(yīng)用系統(tǒng)所有的審核和日志功能。（四 ）補丁及升級應(yīng)用系統(tǒng)的補丁應(yīng)由系統(tǒng)管理員配合系統(tǒng)開發(fā)商安裝，安裝前應(yīng)作詳細測試。（五） 防病毒應(yīng)用系統(tǒng)在保證安全的情況下可以不安裝防毒軟件，其前提

23、是周邊所有能夠訪問該服務(wù)器的設(shè)備都能夠有效防毒。（六）服務(wù)器的無人值守應(yīng)用系統(tǒng)服務(wù)器的無人值守應(yīng)符合操作系統(tǒng)及應(yīng)用安全的相關(guān)規(guī)定。第十一條 計算機病毒防范（一） 防病毒軟件的安裝和使用信息中心可使用各種方法來防止計算機病毒在集團網(wǎng)絡(luò)系統(tǒng)的傳播，但這些方法只能用于防止計算機病毒的傳播，不得用于其他用途。員工不得以任何方式影響或中止防病毒軟件的執(zhí)行。信息中心應(yīng)選擇使用國際市場上認可的市場占有率居前的病毒防護軟件。服務(wù)器根據(jù)操作系統(tǒng)類型， 按需安裝經(jīng)過集團批準的防病毒軟件，防病毒軟件的代碼應(yīng)能夠自動定期更新。關(guān)鍵服務(wù)器為保證性能可以不安裝防毒軟件，但是必須做好隔離工作，并做好其周邊設(shè)備的病毒防治工作

24、。所有員工有責(zé)任對殺毒軟件進行更新。（二）外部數(shù)據(jù)防毒在未經(jīng)檢測確認無病毒前，任何外部提供的U 盤或其他介質(zhì)都不能在服務(wù)器上使用。出差在外使用過的筆記本、外借后歸還的設(shè)備、長時間未聯(lián)網(wǎng)的設(shè)備和外來設(shè)備在接入網(wǎng)絡(luò)之前必須檢測是否 有病毒。對所有從Internet 上下載的軟件必須進行病毒檢查。4.發(fā)布軟件和信息到第三方時須進行病毒檢查。（三）病毒處理員工發(fā)現(xiàn)病毒時必須立即中斷網(wǎng)絡(luò)連接，并與信息中心取得聯(lián)系處理。（四 ）其他未經(jīng)許可，員工不得在服務(wù)器上安裝任何軟件，以防 病毒感染。所有員工禁止進行與病毒相關(guān)的活動，包括：有意編寫、制造、編譯、拷貝、收集、傳播、執(zhí)行病毒，或侵入集團網(wǎng)絡(luò)進行系統(tǒng)破壞，或其他任何阻礙集團網(wǎng)絡(luò)正常運行的行為。服務(wù)器數(shù)據(jù)必須進行定期備份，以防病毒破壞。第十二條 Internet 使用安全管理（一 ）Internet 的使用集團 Internet 接入線路由信息中心統(tǒng)一規(guī)劃和部署。（二）撥號上網(wǎng). 接入集團網(wǎng)絡(luò)的服務(wù)器不可使用isdn 、 pstn 撥號等方