集團公司信息安全規(guī)范

集團公司信息安全規(guī)范1主要內容和適用范圍1.1為確保集團公司（簡稱集團公司）信息網絡與信息系統(tǒng)的安全、可靠、穩(wěn)定運行，健全、規(guī)范集團公司信息安全制度，特制定本規(guī)范。1.2本規(guī)范適用于集團公司及各分（子）公司、所屬單位。2總則2.1本規(guī)范包括總體安全、網絡邊界安全防護、物理層安全、網絡層安全、平臺安全、安全管理、審計評估。2.2集團公司的網絡與信息系統(tǒng)的安全由集團公司辦公廳負責管理。2.3在保證集團公司網絡信息安全的前提下，逐步建立全面的安全防護和安全管理。針對集團公司網絡狀況和實際應用情況，信息安全體系在“統(tǒng)一規(guī)劃”的前提下，進行“分步實施，逐步完善”。3總體安全3.1針對集團公司信息安全要求，集團公司及各分（子）公司、所屬單位必須從以下方面加以規(guī)范：物理層、網絡層、平臺安全、安全管理和審計評估。集團公司總體網絡安全示意圖：3.2安全策略的管理：3.2.1對本單位所管轄的信息網絡與信息系統(tǒng)必須在建設過程中進行安全風險評估，并根據(jù)評估結果制定安全策略；3.2.2對已投入運行且已建立安全體系的系統(tǒng)定期進行漏洞掃描，以便及時發(fā)現(xiàn)系統(tǒng)的安全漏洞;3.2.3對安全體系的各種日志（如入侵檢測日志等）審計結果進行認真的研究，及時發(fā)現(xiàn)系統(tǒng)的安全漏洞;3.2.4定期分析本系統(tǒng)的安全風險及漏洞，分析當前黑客入侵的特點，及時調整安全策略。4網絡邊界安全防護4.1防火墻的拓撲位置：在集團公司信息網絡與信息系統(tǒng)中，在網絡邊界和對外出口處，必須配置防火墻，嚴禁有任何旁路防火墻的鏈接。4.2防火墻的使用規(guī)范：定期更新管理密鑰；記錄防火墻日志，保留90天內的所有日志數(shù)據(jù)；控制并關閉與業(yè)務無關的數(shù)據(jù)通信端口；對普通系統(tǒng)用戶，禁止ICMP協(xié)議通過防火墻；禁止NETBIOS協(xié)議通過防火墻；禁止所有未定義的數(shù)據(jù)通信通過防火墻；規(guī)范、控制開放遠程管理的范圍，在遠程管理時，限定用于管理的主機地址；明確定義允許進、出的流量。4.3計算機設備在連接局域網和集團公司廣域網的同時，禁止以其他任何方式（如撥號上網、ISDN、ADSL等）與Internet相連。4.4接入信息安全區(qū)中的安全產品，必須使用經過國家有關安全部門認證的國產產品，其中電力專用安全產品還必須經過電力安全主管部門檢測認證，并經由本單位的安全管理員以及本單位信息部門負責人的審查批準后，方可實施接入。4.5通用安全產品以及專用安全產品都必須通過電力系統(tǒng)強電磁環(huán)境中的電磁干擾和電磁兼容測試。4.6未實施安全管理措施的計算機設備禁止與Internet相連。5物理層安全5.1物理層安全包括:環(huán)境安全和設備、設施安全，應采取適當?shù)囊?guī)范措施:機房建設、機房環(huán)境的要求必須符合國家、行業(yè)的相關規(guī)范，及《集團公司廣域網絡系統(tǒng)管理辦法（試行）》中的附件一《集團公司廣域網機房管理制度（試行）》；重要設備及主干鏈路，應建立冗余及備份措施。6網絡層安全6.1廣域網的安全對各分（子）公司、所屬單位廣域網的安全，應嚴格按照《集團公司廣域網絡系統(tǒng)管理辦法（試行）》執(zhí)行。6.2局域網安全須建立本單位局域網的管理制度。局域網絡必須分段管理，以防止通過局域網“包廣播”方式惡意收集網絡的信息。7平臺安全平臺安全包括系統(tǒng)層安全和應用層安全，應采取適當?shù)囊?guī)范措施:7.1病毒防范各分（子）公司、所屬單位的網絡系統(tǒng)維護部門必須嚴格執(zhí)行病毒防范措施:在本單位所管轄的信息網絡與信息系統(tǒng)部署正版的防病毒軟件；禁止下載因特網上任何未經確認其安全性的軟件；實時進行防病毒監(jiān)控，做好防病毒軟件和病毒代碼的智能升級；發(fā)現(xiàn)病毒時，及時對感染病毒的設備進行隔離，情況嚴重時報相關部門并及時妥善處理；在各分（子）公司、所屬單位安全區(qū)WEB服務器上設立專門的欄目，及時發(fā)布病毒及黑客攻擊的報告、最新的病毒庫、升級防病毒軟件以及各個公用系統(tǒng)軟件（操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、工具軟件等）的漏洞報告及相應的軟件補??；其中機房的病毒防范按照《集團公司廣域網絡系統(tǒng)管理辦法（試行）》中的附件一《集團公司廣域網機房管理制度（試行）》執(zhí)行。7.2訪問控制對重要服務器，系統(tǒng)管理員必須對不同用戶建立文件的不同的訪問許可權限;對應用系統(tǒng)，根據(jù)使用要求必須對不同用戶，建立不同的訪問權限。7.3應用及服務的接入管理7.3.1本單位在已經建立安全防護體系的信息網絡與信息系統(tǒng)中，接入任何新的應用及服務，須經由本單位的安全管理員以及本單位安全主管的審查批準后，方可實施接入。7.3.2信息安全區(qū)中的工作站、服務器原則上不得開通撥號功能；若確需開通撥號服務，必須配置強認證機制，否則必須與安全區(qū)徹底隔離。7.4應用系統(tǒng)及數(shù)據(jù)的安全7.4.1可靠性要求。對于關鍵性的應用系統(tǒng)，須做到能夠有效回避任何單點故障，這些故障范圍包括應用程序錯誤、數(shù)據(jù)庫系統(tǒng)故障、網絡端口故障、網線接觸故障、磁盤系統(tǒng)介質故障、系統(tǒng)癱瘓等。7.4.2備份要求。備份管理采用集中定期備份管理方式，備份內容應包括：7.4.2.1應用數(shù)據(jù)庫備份。7.4.2.2應用程序備份。7.4.2.3操作系統(tǒng)備份。7.4.3備份系統(tǒng)的設計應不對應用系統(tǒng)產生任何不良影響7.4.48安全管理各分（子）公司、所屬單位須按照“誰主管，誰負責”的原則，制訂嚴格的操作規(guī)程，各負其責，結合各自人員安排和工作特點，制訂相應的安全制度，同時必須遵循如下規(guī)范：8.1建立完善的安全分級責任制本著“誰主管，誰負責”和“誰經營，誰負責”的原則，落實信息網絡與信息系統(tǒng)的各級單位的安全責任;各分（子）公司、所屬單位負責所屬范圍內信息網絡與信息系統(tǒng)的安全管理;各分（子）公司、所屬單位應設置監(jiān)控和調度數(shù)據(jù)網絡的安全防護小組或專職人員。8.2各級人員的安全職責8.2.1各分（子）公司、所屬單位的主要負責人為該單位所管轄的信息網絡與信息系統(tǒng)的安全防護第一責任人。8.2.2各分（子）公司、所屬單位的信息部門負責人負責所管轄的信息網絡與信息系統(tǒng)的安全管理，其安全職責如下：8.2.2.1負責組織有關人員建立本單位所管轄的信息網絡與信息系統(tǒng)的安全防護體系；8.2.2.2負責定期檢查本單位信息安全防護措施的執(zhí)行情況、審計結果、定期組織有關人員對系統(tǒng)進行安全評估，并及時向上級主管部門報告；8.2.2.3負責組織有關人員對本單位發(fā)生的安全事故進行認真分析并及時報告。8.2.3各分（子）公司、所屬單位應指定專門的安全管理員承擔本單位所管轄的信息網絡與信息系統(tǒng)日常安全管理工作，其職責為：8.2.3.1參與本單位所管轄網絡與信息系統(tǒng)安全防護體系的建立;8.2.3.2負責本單位所管轄相關信息安全設備的日常運維工作;8.2.3.3負責對所部署各安全設備的安全策略進行設置和調整，定期對安全產品的日志進行審計并撰寫安全分析報告；8.2.3.4負責定期對所管理的網絡與信息系統(tǒng)進行安全檢測和評估，并做安全分析報告報上級主管;8.2.3.5負責及時處理本單位網絡與信息系統(tǒng)發(fā)生的安全事故;8.2.3.6負責本單位基本安全知識的咨詢和培訓。8.2.4用戶及權限管理8.2.4.1密碼管理人員的登錄名及密碼設置必須按照規(guī)定流程進行相應審批；人員的登錄密碼應該具六位以上的長度和一定的復雜度，并做到及時更新；系統(tǒng)管理員的登錄名及密碼必須由專人保管和修改，嚴格限定使用范圍；禁止共享賬號和密碼，禁止使用密碼檢查工具；使用人丟失或遺忘登錄名及密碼，必須通過規(guī)定的流程向系統(tǒng)管理員申請新的登錄名及密碼；使用人調離單位后，系統(tǒng)管理員必須立即注銷其登錄名并取消其相應的權限。8.2.4.2密鑰及數(shù)字證書管理必須設立專職人員對密鑰和數(shù)字證書進行管理（注冊證書、頒發(fā)證書、撤銷證書、使用證書）。數(shù)字證書中的有關信息一旦失效，應該將證書及時撤銷。數(shù)字證書持有人必須妥善保護證書，不容許轉借他人，遺失后必須立即報告；如果由此造成嚴重后果，必須按有關規(guī)定嚴肅處理，甚至追究法律責任。建立數(shù)字證書丟失之后的可靠注銷機制。建立定期更新數(shù)字證書的機制。8.2.4.3權限管理針對不同的網絡系統(tǒng)，不同的使用人員按最小化原則賦予相應的訪問權限和操作權限。禁止濫用系統(tǒng)資源；禁止未經許可查看別人的文件；系統(tǒng)管理員不得隨意在系統(tǒng)中增加賬號，隨意修改權限，不得未經許可委托他人行使管理員權利;操作人員登陸進入關鍵的業(yè)務系統(tǒng)（如SCADA系統(tǒng)、電力交易系統(tǒng)）實施雙因子安全訪問控制，應持有數(shù)字證書和口令；對關鍵的控制操作應該進行身份認證及操作權限控制。8.3工程實施的安全管理8.3.1新建的網絡和信息系統(tǒng)工程設計和實施必須符合國家有關安全防護的標準、法規(guī)、法令、規(guī)定、導則等，實施方案須上報集團公司辦公廳審批，完工后必須經過集團公司辦公廳的驗收。8.3.2網絡和信息系統(tǒng)的相關設備及系統(tǒng)的供應商必須承諾：所提供的設備及系統(tǒng)中不包含任何安全隱患，并在設備及系統(tǒng)的生命期（自交付至退役為止）內承擔由此引起的連帶責任。8.3.3新接入集團公司廣域網的網絡節(jié)點、設備和應用系統(tǒng)，需報集團公司辦公廳審查、批準，建設完工后必須經過集團公司辦公廳驗收備案。8.3.4各單位所管轄網絡與信息系統(tǒng)安全防護方案的實施必須嚴格遵守國家相關管理制度以及本規(guī)范的相關規(guī)定。8.3.5所有網絡與信息系統(tǒng)在投運前必須進行安全評估。8.4聯(lián)合防護制度8.4.1集團公司所屬各企業(yè)應該緊密聯(lián)合進行安全防護；8.4.2各單位及時通報安全防護的形勢、經驗及教訓；8.4.3當某單位的網絡與信息系統(tǒng)出現(xiàn)安全事故或遭到黑客攻擊時，應該及時向上級部門報告，并通報有網絡連接的相鄰單位，采取聯(lián)合防護措施（包括阻斷措施、隔離措施、跟蹤措施、根除措施、恢復措施等），防止事故的擴大，以保證整個系統(tǒng)的正常運行。8.5應急方案制度。9審計評估集團公司各級單位須建立由