工業(yè)控制系統(tǒng)信息安全管理制度標(biāo)準(zhǔn)版

工業(yè)控制系統(tǒng)信息安全管理制

度標(biāo)準(zhǔn)版（標(biāo)準(zhǔn)版資料，可直接使用可編輯，推薦下載）2021年1月1日2021年1月1日工業(yè)控制系統(tǒng)信息安全管理制度1適用范圍為了規(guī)范公司工業(yè)控制系統(tǒng)的使用和操作，防止發(fā)生人為或意外損壞系統(tǒng)事故以及誤操作引起的設(shè)備停運(yùn)，保證工控系統(tǒng)的穩(wěn)定運(yùn)行，特制定本制度。本制度適用于DCS及DEH系統(tǒng)以及輔控網(wǎng)DCS。2計(jì)算機(jī)使用管理2.1工程師站嚴(yán)格按照權(quán)限進(jìn)行操作，無(wú)關(guān)人員不準(zhǔn)使用。2.2工程師站、操作員站等人機(jī)接口系統(tǒng)應(yīng)分級(jí)授權(quán)使用。嚴(yán)禁非授權(quán)人員使用工程師站的系統(tǒng)組態(tài)功能，工程師站用戶(hù)的權(quán)限可以實(shí)施邏輯修改和系統(tǒng)管理工作；操作員站用戶(hù)權(quán)限，查看運(yùn)行狀態(tài)畫(huà)面，實(shí)施監(jiān)控。2.3每三個(gè)月更改一次口令，同時(shí)檢查每一級(jí)用戶(hù)口令的權(quán)限設(shè)置應(yīng)正確?？诹钭珠L(zhǎng)應(yīng)大于6個(gè)字符并由字母數(shù)字混合組成。修改后的口令應(yīng)填寫(xiě)《DCS系統(tǒng)機(jī)器密碼記錄》，妥善保管。2.4計(jì)算機(jī)在使用過(guò)程中發(fā)生異常情況，立即停止當(dāng)前操作，通知集控室負(fù)責(zé)人和相關(guān)維修人員。如服務(wù)器發(fā)生故障，按各《信息系統(tǒng)故障應(yīng)急預(yù)案》操作，維修人員記錄《軟件故障處理和修改記錄》。2.5使用工程師站計(jì)算機(jī)后，需詳細(xì)填寫(xiě)《工程師站出入及機(jī)器使用記錄》后方可離開(kāi)。3軟件保護(hù)3.1嚴(yán)禁在計(jì)算機(jī)控制系統(tǒng)中使用其他無(wú)關(guān)軟件。除非軟件升級(jí)或補(bǔ)丁的需要，嚴(yán)禁在計(jì)算機(jī)控制系統(tǒng)中使用U盤(pán)、光盤(pán)等。3.2禁止向DCS網(wǎng)絡(luò)中連接系統(tǒng)外接計(jì)算機(jī)、3.3在連接到DCS中的計(jì)算機(jī)上進(jìn)行操作時(shí)，使用的可讀寫(xiě)存儲(chǔ)介質(zhì)必須是固定的一個(gè)設(shè)備，并且在每次使用前對(duì)其進(jìn)行格式化處理，然后才可以接入以上計(jì)算機(jī)。4軟件的修改、保存及維護(hù)4.1更新、升級(jí)計(jì)算機(jī)系統(tǒng)軟件、應(yīng)用軟件或下載數(shù)據(jù)，其存儲(chǔ)介質(zhì)須是本計(jì)算機(jī)控制系統(tǒng)專(zhuān)用存儲(chǔ)介質(zhì)，不允許與其他計(jì)算機(jī)系統(tǒng)交換使用。4.2進(jìn)行計(jì)算機(jī)軟件、系統(tǒng)組態(tài)、設(shè)定值等修改工作，必須嚴(yán)格執(zhí)行相關(guān)審批手續(xù)后方可工作，同時(shí)填寫(xiě)《組態(tài)及參數(shù)修改記錄》，并及時(shí)做好修改后的數(shù)據(jù)備份工作。5軟件和數(shù)據(jù)庫(kù)備份5.1計(jì)算機(jī)控制系統(tǒng)的軟件和數(shù)據(jù)庫(kù)、歷史數(shù)據(jù)應(yīng)定期進(jìn)行備份，完全備份間隔三個(gè)月一次，系統(tǒng)備份必須使用專(zhuān)用的U盤(pán)備份，并且由系統(tǒng)管理員進(jìn)行相關(guān)操作。5.2對(duì)系統(tǒng)軟件（包括操作系統(tǒng)和應(yīng)用軟件）的任何修改，包括版本升級(jí)和安裝補(bǔ)丁，都應(yīng)及時(shí)進(jìn)行備份。5.3備份結(jié)束后，在備份件上正確標(biāo)明備份內(nèi)容、對(duì)象，并做好記錄，填寫(xiě)《DCS系統(tǒng)備份記錄》。5.4DCS中各系統(tǒng)的備份必須由系統(tǒng)管理員定期手動(dòng)進(jìn)行，具體要求同上。附件一：各系統(tǒng)機(jī)器密碼記錄附件二：備份資料記錄附件三：工程師站出入及機(jī)器使用記錄附件四：軟件故障處理和修改記錄附件五：組態(tài)及參數(shù)修改記錄附件一：各系統(tǒng)機(jī)器密碼記錄系統(tǒng)機(jī)器密碼記錄附件二：備份資料記錄備份資料記錄附件三：工程師站出入及機(jī)器使用登記記錄工程師站出入及機(jī)器使用記錄

附件四：軟件故障處理和修改記錄軟件故障處理和修改記錄軟件維護(hù)起止時(shí)間 年月日一一 年月日工作負(fù)責(zé)人存在問(wèn)題：處理過(guò)程：備注：附件五：組態(tài)及參數(shù)修改記錄組態(tài)及參數(shù)修改記錄

系統(tǒng)名稱(chēng)起止時(shí)間年月日一一 年月日工作負(fù)責(zé)人修改位置及原因：修改前組態(tài)及參數(shù)：修改后組態(tài)及參數(shù)：備注：解讀《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》制定《指南》的背景通知中明確"為貫徹落實(shí)《國(guó)務(wù)院關(guān)于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導(dǎo)意見(jiàn)》（國(guó)發(fā)〔2021〕28號(hào)），保障工業(yè)企業(yè)工業(yè)控制系統(tǒng)信息安全，工業(yè)和信息化部制定《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》?！笨梢钥闯觯豆I(yè)控制系統(tǒng)信息安全防護(hù)指南》是根據(jù)《意見(jiàn)》制定的?！兑庖?jiàn)》中相關(guān)要求《意見(jiàn)》"七大任務(wù)”中專(zhuān)門(mén)有一條"提高工業(yè)信息系統(tǒng)安全水平”。工信部根據(jù)《十三五規(guī)劃綱要》、《中國(guó)制造2025》和《意見(jiàn)》等要求編制的《工業(yè)和信息化部關(guān)于印發(fā)信息化和工業(yè)化融合發(fā)展規(guī)劃（2021-2年）》中進(jìn)一步明確，在十三五期間，我國(guó)兩化融合面臨的機(jī)遇和挑戰(zhàn)第四條就是"工業(yè)領(lǐng)域信息安全形勢(shì)日益嚴(yán)峻，對(duì)兩化融合發(fā)展提出新要求”，其"七大任務(wù)”中也提到要"逐步完善工業(yè)信息安全保障體系”，"六大重點(diǎn)工程”中之一就是"工業(yè)信息安全保障工程”。以上這些，就是政策層面的指導(dǎo)思想和要求?！吨改稀窏l款詳細(xì)解讀《指南》整體思路借鑒了等級(jí)保護(hù)的思想，具體提出了十一條三十款要求，貼近實(shí)際工業(yè)企業(yè)真實(shí)情況，務(wù)實(shí)可落地。我們從《指南》要求的主體、客體和方法將十一條分為三大類(lèi)：a、針對(duì)主體目標(biāo)（法人或人）的要求，包含第十條供應(yīng)鏈管理、第十一條人員責(zé)任：1.10供應(yīng)鏈管理（一） 在選擇工業(yè)控制系統(tǒng)規(guī)劃、設(shè)計(jì)、建設(shè)、運(yùn)維或評(píng)估等服務(wù)商時(shí)，優(yōu)先考慮具備工控安全防護(hù)經(jīng)驗(yàn)的企事業(yè)單位，以合同等方式明確服務(wù)商應(yīng)承擔(dān)的信息安全責(zé)任和義務(wù)。解讀：工業(yè)控制系統(tǒng)的全生產(chǎn)周期的安全管理過(guò)程中，采用適合于工業(yè)控制環(huán)境的管理和服務(wù)方式，要求服務(wù)商具有豐富的安全服務(wù)經(jīng)驗(yàn)、熟悉工業(yè)控制系統(tǒng)工作流程和特點(diǎn)，且對(duì)安全防護(hù)體系和工業(yè)控制系統(tǒng)安全防護(hù)的相關(guān)法律法規(guī)要有深入的理解和解讀，保證相應(yīng)法律法規(guī)的有效落實(shí)，并以合同的方式約定服務(wù)商在服務(wù)過(guò)程中應(yīng)當(dāng)承擔(dān)的責(zé)任和義務(wù)。（二） 以保密協(xié)議的方式要求服務(wù)商做好保密工作，防范敏感信息外泄。解讀：與工業(yè)控制系統(tǒng)安全服務(wù)方簽定保密協(xié)議，要求服務(wù)商及其服務(wù)人員嚴(yán)格做好保密工作，尤其對(duì)工業(yè)控制系統(tǒng)內(nèi)部的敏感信息（如工藝文件、設(shè)備參數(shù)、系統(tǒng)管理數(shù)據(jù)、現(xiàn)場(chǎng)實(shí)時(shí)數(shù)據(jù)、控制指令數(shù)據(jù)、程序上傳/下載數(shù)據(jù)、監(jiān)控?cái)?shù)據(jù)等）進(jìn)行重點(diǎn)保護(hù)，防范敏感信息外泄。1.11落實(shí)責(zé)任通過(guò)建立工控安全管理機(jī)制、成立信息安全協(xié)調(diào)小組等方式，明確工控安全管理責(zé)任人，落實(shí)工控安全責(zé)任制，部署工控安全防護(hù)措施。解讀：設(shè)立工業(yè)控制系統(tǒng)安全管理工作的職能部門(mén)，負(fù)責(zé)工業(yè)控制系統(tǒng)全生命周期的安全防護(hù)體系建設(shè)和管理，明確安全管理機(jī)構(gòu)的工作范圍、責(zé)任及工作人員的職責(zé)，制定工業(yè)控制系統(tǒng)安全管理方針，持續(xù)實(shí)施和改進(jìn)工業(yè)控制系統(tǒng)的安全防護(hù)能力，不斷提升工業(yè)控制系統(tǒng)防攻擊和抗干擾的水平。b、針對(duì)客體目標(biāo)（被保護(hù)的資產(chǎn)或數(shù)據(jù)）的安全要求，包含第八條資產(chǎn)安全、第九條數(shù)據(jù)安全：1.8資產(chǎn)安全（一） 建設(shè)工業(yè)控制系統(tǒng)資產(chǎn)清單，明確資產(chǎn)責(zé)任人，以及資產(chǎn)使用及處置原則。解讀：為實(shí)現(xiàn)和保持對(duì)組織機(jī)構(gòu)資產(chǎn)的適當(dāng)保護(hù)，確保所有資產(chǎn)可查，應(yīng)建設(shè)工業(yè)控制系統(tǒng)資產(chǎn)清單，并明確資產(chǎn)使用及處置原則，配置資產(chǎn)清單，定期更新清單庫(kù)，并對(duì)資產(chǎn)進(jìn)行分類(lèi)。所有資產(chǎn)應(yīng)指定責(zé)任人，并且明確責(zé)任人的職責(zé)，明確資產(chǎn)使用權(quán)。制定資產(chǎn)在生產(chǎn)、調(diào)試、運(yùn)行、維護(hù)、報(bào)廢等過(guò)程中的處置原則。（二） 對(duì)關(guān)鍵主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備、控制組件等進(jìn)行冗余配置。解讀：在系統(tǒng)運(yùn)行過(guò)程中，可能出現(xiàn)的宕機(jī)、中斷、死機(jī)、病毒攻擊、自然災(zāi)害等資產(chǎn)被侵害的事件發(fā)生，導(dǎo)致系統(tǒng)無(wú)法正常工作，給企業(yè)和社會(huì)帶來(lái)?yè)p失，甚至威脅到員工生命和財(cái)產(chǎn)安全。對(duì)關(guān)鍵主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備、控制組件等進(jìn)行冗余配置，防止重大安全事件的發(fā)生。1.9數(shù)據(jù)安全（一）對(duì)靜態(tài)存儲(chǔ)數(shù)據(jù)和動(dòng)態(tài)傳輸過(guò)程中的重要工業(yè)數(shù)據(jù)進(jìn)行保護(hù)，根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果對(duì)數(shù)據(jù)信息進(jìn)行分級(jí)分類(lèi)管理。解讀：在數(shù)據(jù)創(chuàng)建、使用、分發(fā)、共享、銷(xiāo)毀的整個(gè)生命周期中，對(duì)重要數(shù)據(jù)如工藝文件、設(shè)備參數(shù)、系統(tǒng)管理數(shù)據(jù)、現(xiàn)場(chǎng)實(shí)時(shí)數(shù)據(jù)、控制指令數(shù)據(jù)、程序上傳/下載數(shù)據(jù)、監(jiān)控?cái)?shù)據(jù)等應(yīng)進(jìn)行保護(hù)，如加密技術(shù)、安全存儲(chǔ)介質(zhì)等。數(shù)據(jù)遭受破壞時(shí)及時(shí)采取必要的恢復(fù)措施。風(fēng)險(xiǎn)評(píng)估對(duì)數(shù)據(jù)的分類(lèi)分級(jí)原則應(yīng)包含對(duì)企業(yè)經(jīng)濟(jì)影響、生產(chǎn)穩(wěn)定性影響、人身安全、法律風(fēng)險(xiǎn)、名譽(yù)度損失等角度開(kāi)展，根據(jù)數(shù)據(jù)的重要程度在信息存儲(chǔ)、信息傳輸、信息交換、信息使用等過(guò)程中采取相應(yīng)的防護(hù)措施。（二） 定期備份關(guān)鍵業(yè)務(wù)數(shù)據(jù)。解讀：為保證系統(tǒng)在災(zāi)難發(fā)生時(shí)，數(shù)據(jù)能夠盡量還原真實(shí)數(shù)據(jù)，應(yīng)對(duì)歷史數(shù)據(jù)庫(kù)服務(wù)器、實(shí)時(shí)數(shù)據(jù)服務(wù)器、先進(jìn)控制系統(tǒng)、優(yōu)化控制系統(tǒng)等重要系統(tǒng)設(shè)備進(jìn)行硬件冗余，啟用實(shí)時(shí)數(shù)據(jù)備份功能，保證當(dāng)主設(shè)備出現(xiàn)故障時(shí)冗余設(shè)備可以無(wú)擾動(dòng)的切換并恢復(fù)數(shù)據(jù)，對(duì)于關(guān)鍵的業(yè)務(wù)數(shù)據(jù)，應(yīng)定期進(jìn)行軟備份。（三） 對(duì)測(cè)試數(shù)據(jù)進(jìn)行保護(hù)。解讀：測(cè)試數(shù)據(jù)一般來(lái)源于真實(shí)的現(xiàn)場(chǎng)設(shè)備實(shí)時(shí)數(shù)據(jù)，有必要對(duì)測(cè)試數(shù)據(jù)進(jìn)行安全防護(hù)，防止發(fā)生數(shù)據(jù)泄露、篡改、破壞，保護(hù)企業(yè)資產(chǎn)。c、針對(duì)保護(hù)方法措施的要求，根據(jù)工業(yè)控制網(wǎng)絡(luò)由內(nèi)而外的結(jié)構(gòu)包括:終端（第一條軟件選擇與管理、第四條物理環(huán)境安全）；配置（第二條配置安全）；網(wǎng)絡(luò)（第五條身份認(rèn)證、第三條邊界防護(hù)、第六條遠(yuǎn)程安全）；例外（第七條監(jiān)測(cè)應(yīng)急）。1.1安全軟件選擇與管理（一）在工業(yè)主機(jī)上采用經(jīng)過(guò)離線環(huán)境中充分驗(yàn)證測(cè)試的防病毒軟件或應(yīng)用程序白名單軟件，只允許經(jīng)過(guò)工業(yè)企業(yè)自身授權(quán)和安全評(píng)估的軟件運(yùn)行。解讀：工業(yè)控制系統(tǒng)對(duì)可用性和實(shí)時(shí)性要求非常高，任何未經(jīng)驗(yàn)證測(cè)試的軟件都可能影響控制系的穩(wěn)定性，應(yīng)對(duì)防病毒軟件或應(yīng)用程序白名單軟件進(jìn)行離線測(cè)試，測(cè)試無(wú)風(fēng)險(xiǎn)后，方可在工業(yè)主機(jī)上部署。目前工業(yè)主機(jī)有效防護(hù)機(jī)制有"黑名單機(jī)制”和"白名單機(jī)制”，相比之下工控網(wǎng)絡(luò)則更加注重防護(hù)的"高可用性”和"高可靠性”，鑒于工業(yè)應(yīng)用的特殊性，"黑名單機(jī)制”無(wú)法應(yīng)對(duì)多元化的風(fēng)險(xiǎn)及威脅。利用"白名單機(jī)制”可以建立工控行業(yè)應(yīng)用程序信譽(yù)庫(kù)，為工控應(yīng)用程序提供可信認(rèn)證、授權(quán)和評(píng)估，同時(shí)輔助沙箱檢測(cè)技術(shù)和殺毒軟件進(jìn)行應(yīng)用程序軟件的安全性測(cè)試，從根本上保證了工控主機(jī)安全。（二）建立防病毒和惡意軟件入侵管理機(jī)制，對(duì)工業(yè)控制系統(tǒng)及臨時(shí)接入的設(shè)備采取病毒查殺等安全預(yù)防措施。解讀：病毒和惡意代碼是工控系統(tǒng)主要威脅之一，應(yīng)對(duì)工控系統(tǒng)設(shè)備（例如操作員站、工程師站、控制服務(wù)器等）部署病毒和惡意代碼集中監(jiān)控、防護(hù)管理措施，對(duì)工業(yè)控制系統(tǒng)及臨時(shí)接入的設(shè)備進(jìn)行病毒和惡意代碼掃描檢測(cè)，防止遭受病毒和惡意軟件攻擊。1.4物理和環(huán)境安全防護(hù)（一）對(duì)重要工程師站、數(shù)據(jù)庫(kù)、服務(wù)器等核心工業(yè)控制軟硬件所在區(qū)域采取訪問(wèn)控制、視頻監(jiān)控、專(zhuān)人值守等物理安全防護(hù)措施。解讀：重要的工程師站、數(shù)據(jù)庫(kù)、服務(wù)器是工業(yè)控制系統(tǒng)的核心組件，為了防止來(lái)自人為的惡意破壞。應(yīng)對(duì)核心工業(yè)控制軟硬件所在的位置，按照物理位置和業(yè)務(wù)功能進(jìn)行區(qū)域劃分，區(qū)域之間設(shè)置物理隔離裝置。在必要區(qū)域前設(shè)置交付或安裝等過(guò)渡區(qū)域，特殊區(qū)域應(yīng)配置電子門(mén)禁系統(tǒng)，7*24小時(shí)的視頻監(jiān)控。對(duì)核心工業(yè)控制軟硬件所在區(qū)域，出入口應(yīng)安排專(zhuān)人值守，控制、鑒別和記錄進(jìn)入的人員，來(lái)訪人員應(yīng)經(jīng)過(guò)申請(qǐng)和審批流程，并限制和監(jiān)控其活動(dòng)范圍。（二）拆除或封閉工業(yè)主機(jī)上不必要的USB、光驅(qū)、無(wú)線等接口。若確需使用，通過(guò)主機(jī)外設(shè)安全管理技術(shù)手段實(shí)施嚴(yán)格訪問(wèn)控制。解讀：工業(yè)主機(jī)越來(lái)越多采用通用計(jì)算機(jī)，USB、光驅(qū)、無(wú)線等接口的使用，為病毒、木馬、蠕蟲(chóng)等惡意代碼入侵提供了途徑，拆除或封閉工業(yè)主機(jī)上不必要的USB、光驅(qū)、無(wú)線等接口可以從根本上切斷非法數(shù)據(jù)、程序的傳播途徑。若確需使用，可以通過(guò)主機(jī)安全管理軟件對(duì)外設(shè)的端口進(jìn)行控制，記錄文件的導(dǎo)入導(dǎo)出等操作痕跡，實(shí)現(xiàn)對(duì)端口的嚴(yán)格訪問(wèn)控制。1.2配置和補(bǔ)丁管理（一）做好工業(yè)控制網(wǎng)絡(luò)、工業(yè)主機(jī)和工業(yè)控制設(shè)備的安全配置，建立工業(yè)控制系統(tǒng)配置清單，定期進(jìn)行配置審計(jì)。解讀：安全配置是基礎(chǔ)性的安全防護(hù)措施，安全配置能夠增強(qiáng)工控網(wǎng)絡(luò)、工業(yè)主機(jī)和工控設(shè)備安全性，應(yīng)建立工控系統(tǒng)安全配置清單，包括工控網(wǎng)絡(luò)設(shè)備、工業(yè)主機(jī)、工控設(shè)備的安全配置清單。在日常運(yùn)維管理方面，指導(dǎo)管理人員對(duì)系統(tǒng)安全配置優(yōu)化，避免存在安全隱患。根據(jù)工業(yè)控制系統(tǒng)配置清單，定期對(duì)工業(yè)控制網(wǎng)絡(luò)、工業(yè)主機(jī)和工業(yè)控制設(shè)備開(kāi)展配置審計(jì)，及時(shí)發(fā)現(xiàn)配置問(wèn)題。（二）對(duì)重大配置變更制定變更計(jì)劃并進(jìn)行影響分析，配置變更實(shí)施前進(jìn)行嚴(yán)格安全測(cè)試。解讀：工控系統(tǒng)的日常維護(hù)管理經(jīng)常涉及到配置變更，但未經(jīng)嚴(yán)格安全測(cè)試的重大變更可能會(huì)對(duì)工控系統(tǒng)造成破壞。在工控系統(tǒng)重大配置變更之前，應(yīng)制定變更計(jì)劃，對(duì)變更可能出現(xiàn)的影響進(jìn)行評(píng)估分析，并在工控系統(tǒng)離線環(huán)境中進(jìn)行安全測(cè)試，保障配置變更的安全性和可靠性。（三）密切關(guān)注重大工控安全漏洞及其補(bǔ)丁發(fā)布，及時(shí)采取補(bǔ)丁升級(jí)措施。在補(bǔ)丁安裝前，需對(duì)補(bǔ)丁進(jìn)行嚴(yán)格的安全評(píng)估和測(cè)試驗(yàn)證。解讀：工控系統(tǒng)較傳統(tǒng)的^系統(tǒng)更脆弱，在補(bǔ)丁升級(jí)方面要非常慎重，補(bǔ)丁升級(jí)可能會(huì)影響工控系統(tǒng)的穩(wěn)定性，如果補(bǔ)丁升級(jí)失敗，可能對(duì)工控系統(tǒng)造成破壞，導(dǎo)致工控系統(tǒng)運(yùn)行中斷。因此，工控系統(tǒng)在補(bǔ)丁升級(jí)之前必須進(jìn)行嚴(yán)格驗(yàn)證測(cè)試，包括安全性、穩(wěn)定性、兼容性和可靠性驗(yàn)證測(cè)試。1.5身份認(rèn)證（一） 在工業(yè)主機(jī)登錄、應(yīng)用服務(wù)資源訪問(wèn)、工業(yè)云平臺(tái)訪問(wèn)等過(guò)程中使用身份認(rèn)證管理。對(duì)于關(guān)鍵設(shè)備、系統(tǒng)和平臺(tái)的訪問(wèn)采用多因素認(rèn)證。解讀：面對(duì)工業(yè)控制主機(jī)和系統(tǒng)的登錄、訪問(wèn)過(guò)程中常見(jiàn)身份冒用，越權(quán)訪問(wèn)等安全風(fēng)險(xiǎn)，給工業(yè)控制生產(chǎn)活動(dòng)帶來(lái)安全隱患。通過(guò)采取身份鑒別、角色判定、權(quán)限分配等安全措施實(shí)現(xiàn)工業(yè)主機(jī)登錄、應(yīng)用服務(wù)資源訪問(wèn)、工業(yè)云平臺(tái)訪問(wèn)等過(guò)程的統(tǒng)一身份認(rèn)證管理。對(duì)于關(guān)鍵設(shè)備、系統(tǒng)和平臺(tái)應(yīng)采取如口令、usbkey、智能卡、生物指紋等多種認(rèn)證方式組合的多因素認(rèn)證方式。一是避免他人盜用、誤用，二是提高設(shè)備、系統(tǒng)和平臺(tái)的攻擊難度。（二） 合理分類(lèi)設(shè)置賬戶(hù)權(quán)限，以最小特權(quán)原則分配賬戶(hù)權(quán)限。解讀：應(yīng)限定網(wǎng)絡(luò)中每個(gè)主體所必須的最小特權(quán)，確保可能的事故、錯(cuò)誤、篡改等原因造成的損失最小化，對(duì)超級(jí)管理員賬號(hào)未禁止、各賬戶(hù)權(quán)限未實(shí)現(xiàn)分立制約等常見(jiàn)問(wèn)題應(yīng)及時(shí)發(fā)現(xiàn)并改正。（三） 強(qiáng)化工業(yè)控制設(shè)備、SCADA軟件、工業(yè)通信設(shè)備等的登錄賬戶(hù)及密碼，避免使用默認(rèn)密碼或弱密碼,定期更新口令。解讀：對(duì)登錄賬戶(hù)和密碼要及時(shí)更新，密碼要以多位數(shù)含數(shù)字、字母、特殊符號(hào)的組合方式提高密碼強(qiáng)度，建議采用驗(yàn)證碼機(jī)制，提高被暴力破解的難度。避免使用默認(rèn)密碼、易猜測(cè)密碼、空口令甚明文張貼密碼的現(xiàn)象發(fā)生。（四）加強(qiáng)對(duì)身份認(rèn)證證書(shū)信息保護(hù)力度，禁止在不同系統(tǒng)和網(wǎng)絡(luò)環(huán)境下共享。解讀：建議采用安全介質(zhì)存儲(chǔ)證書(shū)信息，對(duì)證書(shū)的申請(qǐng)、發(fā)放、使用、吊銷(xiāo)等過(guò)程通過(guò)技術(shù)手段嚴(yán)格控制，并建立相關(guān)制度保障。建議采用國(guó)際通用的安全商密算法或國(guó)密算法。在不用系統(tǒng)和網(wǎng)絡(luò)環(huán)境下禁止傳遞證書(shū)信息。1.3邊界安全防護(hù)（一） 分離工業(yè)控制系統(tǒng)的開(kāi)發(fā)、測(cè)試和生產(chǎn)環(huán)境。解讀：工業(yè)控制系統(tǒng)的開(kāi)發(fā)、測(cè)試和生產(chǎn)環(huán)境承載的功能不同，為了避免由開(kāi)發(fā)、測(cè)試環(huán)境引入的安全威脅給生產(chǎn)環(huán)境帶來(lái)作業(yè)風(fēng)險(xiǎn)，需要將開(kāi)發(fā)、測(cè)試和生產(chǎn)環(huán)境分離。將開(kāi)發(fā)、測(cè)試和生產(chǎn)環(huán)境分別置于不同的區(qū)域，進(jìn)行邏輯或物理隔離。（二） 通過(guò)工業(yè)控制網(wǎng)絡(luò)邊界防護(hù)設(shè)備對(duì)工業(yè)控制網(wǎng)絡(luò)與企業(yè)網(wǎng)或互聯(lián)網(wǎng)之間的邊界進(jìn)行安全防護(hù)，禁止沒(méi)有防護(hù)的工業(yè)控制網(wǎng)絡(luò)與互聯(lián)網(wǎng)連接。解讀：工業(yè)控制網(wǎng)絡(luò)與企業(yè)網(wǎng)或互聯(lián)網(wǎng)之間互聯(lián)互通，為工業(yè)控制系統(tǒng)帶來(lái)巨大創(chuàng)造力和生產(chǎn)力的同時(shí)，也會(huì)引入更加復(fù)雜、嚴(yán)峻的安全問(wèn)題。一是深度網(wǎng)絡(luò)化和多層面互聯(lián)互通增加了攻擊路徑；二是傳統(tǒng)IT產(chǎn)品的引入帶來(lái)了更多安全漏洞；三是新興信息技術(shù)在工業(yè)控制領(lǐng)域的防護(hù)體系尚不成熟。因此，需要在不同網(wǎng)絡(luò)邊界之間，部署邊界安全防護(hù)設(shè)備實(shí)現(xiàn)安全訪問(wèn)控制，阻斷非法網(wǎng)絡(luò)訪問(wèn)，嚴(yán)格禁止沒(méi)有防護(hù)的工業(yè)控制網(wǎng)絡(luò)與互聯(lián)網(wǎng)連接。（三）通過(guò)工業(yè)防火墻、網(wǎng)閘等防護(hù)設(shè)備對(duì)工業(yè)控制網(wǎng)絡(luò)安全區(qū)域之間進(jìn)行邏輯隔離安全防護(hù)。解讀：為了降低工業(yè)控制網(wǎng)絡(luò)安全區(qū)域之間連接風(fēng)險(xiǎn)，減少攻擊平面，需要在區(qū)域之間部署邏輯隔離設(shè)備，如工業(yè)防火墻、網(wǎng)閘。在區(qū)域間有雙向訪問(wèn)需求的網(wǎng)絡(luò)，可采用工業(yè)防火墻進(jìn)行邏輯隔離，深度檢測(cè)并過(guò)濾主流工控協(xié)議（如：OPC、Modbus、S7、Ethernet/IP等）帶來(lái)的安全風(fēng)險(xiǎn)；在區(qū)域間只需要單向訪問(wèn)的情況下，可采用網(wǎng)閘進(jìn)行隔離防護(hù)。1.6遠(yuǎn)程訪問(wèn)安全（一）原則上嚴(yán)格禁止工業(yè)控制系統(tǒng)面向互聯(lián)網(wǎng)開(kāi)通HTTP、FTP、Telnet等高風(fēng)險(xiǎn)通用網(wǎng)絡(luò)服務(wù)。解讀：基于明文傳輸?shù)腍TTP、FTP.Telnet等網(wǎng)絡(luò)服務(wù)協(xié)議容易遭到非法竊聽(tīng)、數(shù)據(jù)篡改、敏感信息泄露等高安全風(fēng)險(xiǎn)。因此，在工業(yè)控制系統(tǒng)中，需要嚴(yán)格禁止HTTP、FTP、Telnet等高風(fēng)險(xiǎn)通用網(wǎng)絡(luò)服務(wù)面向互聯(lián)網(wǎng)開(kāi)通。（二） 確需遠(yuǎn)程訪問(wèn)的，采用數(shù)據(jù)單向訪問(wèn)控制等策略進(jìn)行安全加固，對(duì)訪問(wèn)時(shí)限進(jìn)行控制，并采用加標(biāo)鎖定策略。解讀：遠(yuǎn)程訪問(wèn)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)，意味著為黑客開(kāi)辟了一條攻擊工業(yè)控制網(wǎng)絡(luò)的通路，存在極大隱患。但在確需遠(yuǎn)程訪問(wèn)的情況下，需要采用數(shù)據(jù)單向訪問(wèn)控制等策略進(jìn)行安全加固，并對(duì)訪問(wèn)時(shí)間進(jìn)行控制，還可以采用加標(biāo)鎖定來(lái)限制對(duì)機(jī)器、設(shè)備、工藝和電路的操作行為。（三） 確需遠(yuǎn)程維護(hù)的，采用虛擬專(zhuān)用網(wǎng)絡(luò)（VPN）等遠(yuǎn)程接入方式進(jìn)行。解讀：確需遠(yuǎn)程維護(hù)的，采用虛擬專(zhuān)用網(wǎng)絡(luò)（VPN）等遠(yuǎn)程接入方式連接，相當(dāng)于在公用網(wǎng)絡(luò)上為用戶(hù)建立了一條專(zhuān)用通道，這條專(zhuān)用通道上的所有通訊數(shù)據(jù)會(huì)被加密處理，并通過(guò)對(duì)數(shù)據(jù)包的加密和數(shù)據(jù)包目標(biāo)地址轉(zhuǎn)換實(shí)現(xiàn)安全的遠(yuǎn)程訪問(wèn)。（四）保留工業(yè)控制系統(tǒng)的相關(guān)訪問(wèn)日志，并對(duì)操作過(guò)程進(jìn)行安全審計(jì)。解讀：保留工業(yè)控制系統(tǒng)相關(guān)訪問(wèn)日志，可以在發(fā)生非授權(quán)的遠(yuǎn)程登錄后進(jìn)行日志分析。通過(guò)日志中記錄到的登入登出、人員賬號(hào)、訪問(wèn)時(shí)間等信息對(duì)非授權(quán)登錄行為進(jìn)行追蹤、定位，做到有源可溯，并對(duì)操作過(guò)程進(jìn)行安全審計(jì)，記錄所有操作行為，做到有據(jù)可查。1.7安全監(jiān)測(cè)和應(yīng)急預(yù)案演練（一） 在工業(yè)控制網(wǎng)絡(luò)部署網(wǎng)絡(luò)安全監(jiān)測(cè)設(shè)備，及時(shí)發(fā)現(xiàn)、報(bào)告并處理網(wǎng)絡(luò)攻擊或異常行為。解讀：工控系統(tǒng)網(wǎng)絡(luò)組成元素繁多，非法入侵、惡意代碼、維修接入甚至是誤操作都可能導(dǎo)致生產(chǎn)運(yùn)行的癱瘓或功能喪失，通過(guò)部署工控安全監(jiān)測(cè)設(shè)備，采用工控協(xié)議深度包解析等多種技術(shù)，對(duì)工業(yè)控制網(wǎng)絡(luò)可能存在的病毒、蠕蟲(chóng)、木馬及針對(duì)工控網(wǎng)絡(luò)的攻擊行為和誤操作進(jìn)行實(shí)時(shí)檢測(cè)并告警。（二） 在重要工業(yè)控制設(shè)備前端部署具備工業(yè)協(xié)議深度包檢測(cè)功能的防護(hù)設(shè)備，限制違法操作。解讀：重要工業(yè)控制設(shè)備是工業(yè)企業(yè)生產(chǎn)核心控制單元，包含PLC、DCS控制器等，核心控制設(shè)備的異常將危及生產(chǎn)安全、公眾健康甚至社會(huì)穩(wěn)定。在重要工業(yè)控制設(shè)備前端部署具備工業(yè)協(xié)議深度包檢測(cè)功能的防護(hù)設(shè)備，對(duì)Modbus、S7、Ethernet/IP等主流工控協(xié)議進(jìn)行深度分析，采用"白名單”機(jī)制對(duì)發(fā)送至重要工控設(shè)備的指令進(jìn)行過(guò)濾，杜絕違法操作，并抑制惡意代碼及未知攻擊行為，保障重要工業(yè)控制設(shè)備運(yùn)行安全。（三） 制定工控安全事件應(yīng)急響應(yīng)預(yù)案，當(dāng)遭受安全威脅導(dǎo)致工業(yè)控制系統(tǒng)出現(xiàn)異常或故障時(shí)，應(yīng)立即采取緊急防護(hù)措施，防止事態(tài)擴(kuò)大，并逐級(jí)報(bào)送直至屬地省級(jí)工業(yè)和信息化主管部門(mén)，同時(shí)注意保護(hù)現(xiàn)場(chǎng)，以便進(jìn)行調(diào)查取證。解讀：工控安全應(yīng)急響應(yīng)預(yù)案可提高工業(yè)控制系統(tǒng)應(yīng)對(duì)突發(fā)事件的應(yīng)急響應(yīng)能力，最大限度減少工控系統(tǒng)的損失及影響，做到"第一時(shí)間發(fā)現(xiàn)問(wèn)題，第一時(shí)間解決問(wèn)題”。應(yīng)急預(yù)案框架應(yīng)包括應(yīng)急計(jì)劃的策略和規(guī)程、應(yīng)急處理流程、系統(tǒng)恢復(fù)流程、事后教育和培訓(xùn)、系統(tǒng)備份、系統(tǒng)恢復(fù)重建等內(nèi)容。同時(shí)預(yù)案需從人力、設(shè)備、技術(shù)和財(cái)務(wù)等方面確保應(yīng)急預(yù)案的執(zhí)行有足夠的資源保障。在發(fā)生安全事件時(shí)，應(yīng)根據(jù)應(yīng)急預(yù)案流程采取安全防護(hù)措施，并按照應(yīng)急預(yù)案規(guī)程逐級(jí)上報(bào)至安全主管部門(mén)。同時(shí)，應(yīng)對(duì)事故現(xiàn)場(chǎng)進(jìn)行保護(hù)，便于事后調(diào)查取證。（四） 定期對(duì)工業(yè)控制系統(tǒng)的應(yīng)急響應(yīng)預(yù)案進(jìn)行演練，必要時(shí)對(duì)應(yīng)急響應(yīng)預(yù)案進(jìn)行修訂。解讀：通過(guò)開(kāi)展應(yīng)急演練工作，使各工控企業(yè)熟悉應(yīng)急響應(yīng)機(jī)制、熟練應(yīng)急響應(yīng)流程、提高應(yīng)急響應(yīng)的處置能力，同時(shí)檢驗(yàn)應(yīng)急響應(yīng)預(yù)案的可行性、相關(guān)部門(mén)的協(xié)調(diào)與配合能力、相關(guān)工作的落實(shí)情況以及應(yīng)急響應(yīng)所需備用設(shè)備的完備情況等，同時(shí)應(yīng)根據(jù)應(yīng)急演練中遇到的問(wèn)題，對(duì)應(yīng)急演練方案進(jìn)行及時(shí)修訂。小結(jié)《指南》從十一條三十款具體要求宏觀描述了工業(yè)控制系統(tǒng)信息安全防護(hù)的輪廓，面向工控網(wǎng)絡(luò)真實(shí)環(huán)境及特殊性提出了多項(xiàng)針對(duì)性要求，為工業(yè)控制安全防護(hù)標(biāo)準(zhǔn)制定、技術(shù)研究、評(píng)估內(nèi)容等方面提供了具體依據(jù)，尤其對(duì)工業(yè)控制安全供需雙方指明了具體方向和思路，便于開(kāi)展工控安全規(guī)劃，落地實(shí)施。同時(shí)參考《網(wǎng)絡(luò)安全法》和其他相關(guān)法律法規(guī)中對(duì)監(jiān)管部門(mén)責(zé)任、網(wǎng)絡(luò)攻擊組織或個(gè)人的處罰規(guī)定，相關(guān)行業(yè)對(duì)生產(chǎn)安全的要求，以及新修訂等級(jí)保護(hù)標(biāo)準(zhǔn)中對(duì)工控安全的相關(guān)要求，企業(yè)將對(duì)如何實(shí)施工業(yè)控制系統(tǒng)整體安全防護(hù)有更完整的思路。網(wǎng)絡(luò)信息安全管理制度大全一、 電腦設(shè)備管理26二、 軟件管理29三、 數(shù)據(jù)安全管理32四、 網(wǎng)絡(luò)信息安全管理32五、 病毒防護(hù)管理34六、 下載管理34七、 機(jī)房管理35八、 備份及恢復(fù)38電腦設(shè)備管理1、 計(jì)算機(jī)基礎(chǔ)設(shè)備管理2、 各部門(mén)對(duì)該部門(mén)的每臺(tái)計(jì)算機(jī)應(yīng)指定保管人，共享計(jì)算機(jī)則由部門(mén)指定人員保管，保管人對(duì)計(jì)算機(jī)軟、硬件有使用、保管責(zé)任。3、 公司計(jì)算機(jī)只有網(wǎng)絡(luò)管理員進(jìn)行維護(hù)時(shí)有權(quán)拆封，其它員工不得私自拆開(kāi)封。4、 計(jì)算機(jī)設(shè)備不使用時(shí)，應(yīng)關(guān)掉設(shè)備的電源。人員暫離崗時(shí)，應(yīng)鎖定計(jì)算機(jī)。5、 計(jì)算機(jī)為公司生產(chǎn)設(shè)備，不得私用，轉(zhuǎn)讓借出；除筆記本電腦外，其它設(shè)備嚴(yán)禁無(wú)故帶出辦公生產(chǎn)工作場(chǎng)所。6、 按正確方法清潔和保養(yǎng)設(shè)備上的污垢，保證設(shè)備正常使用。7、 計(jì)算機(jī)設(shè)備老化、性能落后或故障嚴(yán)重，不能應(yīng)用于實(shí)際工作的，應(yīng)報(bào)信息技術(shù)部處理。8、 計(jì)算機(jī)設(shè)備出現(xiàn)故障或異常情況（包括氣味、冒煙與過(guò)熱）時(shí)，應(yīng)當(dāng)立即關(guān)閉電源開(kāi)關(guān)，拔掉電源插頭，并及時(shí)通知計(jì)算機(jī)管理人員檢查或維修。9、 公司計(jì)算機(jī)及周邊設(shè)備，計(jì)算機(jī)操作系統(tǒng)和所裝軟件均為公司財(cái)產(chǎn)，計(jì)算機(jī)使用者不得隨意損壞或卸載。10、 公司電腦的IP地址由網(wǎng)絡(luò)管理員統(tǒng)一規(guī)劃分配，員工不得擅自更改其IP地址，更不得惡意占用他人的地址。計(jì)算機(jī)保管人對(duì)計(jì)算機(jī)軟硬負(fù)保管之責(zé)，使用者如有使用不當(dāng)，造成毀損或遺失，應(yīng)負(fù)賠償責(zé)任。11、保管人和使用人應(yīng)對(duì)計(jì)算機(jī)操作系統(tǒng)和所安裝軟件口令嚴(yán)格保密，并至少每180天更改一次密碼，密碼應(yīng)滿(mǎn)足復(fù)雜性原則，長(zhǎng)度應(yīng)不低于8位，并由大寫(xiě)字母、小寫(xiě)字母、數(shù)字和標(biāo)點(diǎn)符號(hào)中至少3類(lèi)混合組成；對(duì)于因?yàn)檐浖陨碓驘o(wú)法達(dá)到要求的，應(yīng)按照軟件允3許的最高密碼安全策略處理。12、 重要資料、電子文檔、重要數(shù)據(jù)等不得放在桌面、我的文檔和系統(tǒng)盤(pán)（一般為C盤(pán)）以免系統(tǒng)崩潰導(dǎo)致數(shù)據(jù)丟失。與工作相關(guān)的重要文件及數(shù)據(jù)保存兩份以上的備份，以防丟失。公司設(shè)立文件服務(wù)器，重要文件應(yīng)及時(shí)上傳備份，各部門(mén)專(zhuān)用軟件和數(shù)據(jù)由計(jì)算機(jī)保管人定期備份上傳，需要信息技術(shù)部負(fù)責(zé)備份的應(yīng)填寫(xiě)《數(shù)據(jù)備份申請(qǐng)表》，數(shù)據(jù)中心信息系統(tǒng)數(shù)據(jù)應(yīng)按《備份管理》備份。13、 正確開(kāi)機(jī)和關(guān)機(jī)。開(kāi)機(jī)時(shí)，先開(kāi)外設(shè)（顯示器、打印機(jī)等），再開(kāi)主機(jī)；關(guān)機(jī)時(shí)，應(yīng)先退出應(yīng)用程序和操作系統(tǒng)，再關(guān)主機(jī)和外設(shè)，避免非正常關(guān)機(jī)。14、 公司郵箱帳號(hào)必須由本帳號(hào)職員使用，未經(jīng)公司網(wǎng)絡(luò)管理員允許不得將帳號(hào)讓與他人使用，如造成公司損失或名譽(yù)影響，公司將追究其個(gè)人責(zé)任，并保留法律追究途徑。15、 未經(jīng)允許，員工不得在網(wǎng)上下載軟件、音樂(lè)、電影或者電視劇等，不得使用BT、電驢、POCO等嚴(yán)重占用帶寬的P2P下載軟件。員工在上網(wǎng)時(shí)，除非工作需要，不允許使用QQ、MSN等聊天軟件。員工不得利用公司電腦及網(wǎng)絡(luò)資源玩游戲，瀏覽與工作無(wú)關(guān)的網(wǎng)站。若發(fā)現(xiàn)信息技術(shù)部可暫停其Internet使用權(quán)限，并報(bào)相關(guān)領(lǐng)導(dǎo)處理。不得隨意安裝工作不需要的軟件。公司擁有的授權(quán)軟件軟件須報(bào)公司副總審批通過(guò)后由信息技術(shù)部或授權(quán)相關(guān)部門(mén)執(zhí)行。16、 計(jì)算機(jī)出現(xiàn)重大故障，如硬盤(pán)損壞，計(jì)算機(jī)保管人應(yīng)立即向部門(mén)負(fù)責(zé)人和信息技術(shù)部報(bào)告，并填寫(xiě)《設(shè)備故障登記表》17、 員工離職時(shí)，人力資源應(yīng)及時(shí)通知信息技術(shù)部取消其所有的IT資源使用權(quán)限，回收其電腦并保留一個(gè)星期，若一個(gè)星期之內(nèi)人事部沒(méi)有招到新員工頂替，電腦將備份數(shù)據(jù)后入庫(kù)。18、 如需要私人計(jì)算機(jī)連接到公司網(wǎng)絡(luò)，需信息技術(shù)部授權(quán)并進(jìn)行登記。19、 不得隨意安裝軟件，軟件安裝按照《軟件管理》實(shí)施。20、 所有計(jì)算機(jī)設(shè)備必須統(tǒng)一安裝防病毒軟件，未經(jīng)信息技術(shù)部同意，不得私自在計(jì)算機(jī)中安裝非公司統(tǒng)一規(guī)定的任何防病毒軟件及個(gè)人防火墻。所有計(jì)算機(jī)必須及時(shí)升級(jí)操作系統(tǒng)補(bǔ)丁和防病毒軟件。21、 任何人不得在公司的局域網(wǎng)上制造傳播任何計(jì)算機(jī)病毒不得故意引入病毒。22、 計(jì)算機(jī)使用者發(fā)現(xiàn)病毒后應(yīng)立即停機(jī)并及時(shí)通知公司信息技術(shù)部或本部門(mén)病毒防治工作負(fù)責(zé)人，按《計(jì)算機(jī)病毒防治管理》處理。23、 因工作需要使用QQ、MSN等通訊工作，應(yīng)當(dāng)仔細(xì)辨別后再接收，對(duì)接收的文件應(yīng)用安全軟件查殺后確認(rèn)無(wú)毒再打開(kāi)。24、 使用電子郵件時(shí)，附件都應(yīng)用安全軟件查殺后確認(rèn)無(wú)毒再打開(kāi)。對(duì)于陌生的電子郵件，請(qǐng)直接予以刪除。25、 任何人不得進(jìn)入未經(jīng)許可的計(jì)算機(jī)系統(tǒng)更改系統(tǒng)信息和用戶(hù)數(shù)據(jù)，不得以任何形式攻擊公司的其它電腦或者服務(wù)器。26、不得利用計(jì)算機(jī)技術(shù)侵占其他用戶(hù)合法利益，不得非法侵入他人電腦，不得制作、復(fù)制、和傳播妨害公司穩(wěn)定的有關(guān)信息。27、 不得利用公司的網(wǎng)絡(luò)資源發(fā)布，傳播迷信、淫穢、色情、賭博、暴力、兇殺、恐怖等信息，違者將送公安機(jī)關(guān)處理。28、 不得利用公司的網(wǎng)絡(luò)資源進(jìn)行入侵、破解、篡改其它Internet工作站或者服務(wù)器等網(wǎng)絡(luò)犯罪行為，若發(fā)現(xiàn)立即終止其Internet權(quán)限，并、上報(bào)公司最高領(lǐng)導(dǎo)保留送公安機(jī)關(guān)處理的權(quán)力。二、軟件管理部門(mén)權(quán)責(zé)1、 此處軟件指公司所有操作系統(tǒng)、系統(tǒng)安全軟件、辦公軟件軟件、專(zhuān)用軟件，數(shù)據(jù)中心信息系統(tǒng)等。公司所有業(yè)務(wù)所需的軟件由公司綜合部網(wǎng)絡(luò)管理員統(tǒng)一管理和安裝。員工無(wú)權(quán)要求綜合部網(wǎng)絡(luò)管理提供軟件介質(zhì)和軟件授權(quán)號(hào)碼給其他人。更不允許將某某產(chǎn)權(quán)的軟件安裝在非某某產(chǎn)權(quán)的電腦上。2、 信息技術(shù)部負(fù)責(zé)全公司所使用軟件的管理。為確保公司計(jì)算機(jī)軟件之適當(dāng)使用，各部門(mén)對(duì)該部門(mén)的每臺(tái)計(jì)算機(jī)應(yīng)指定保管人，共享計(jì)算機(jī)則由部門(mén)指定人員保管，保管人對(duì)計(jì)算機(jī)軟、硬件具使用、保管之責(zé)。3、 各部門(mén)專(zhuān)用軟件和數(shù)據(jù)由計(jì)算機(jī)保管人定期備份，信息技術(shù)部對(duì)備份情況進(jìn)行抽查，需要信息技術(shù)部備份的應(yīng)填寫(xiě)《數(shù)據(jù)備份申請(qǐng)表》，數(shù)據(jù)中心信息系統(tǒng)數(shù)據(jù)應(yīng)按《備份管理制度》備份。4、 信息技術(shù)部負(fù)責(zé)管理監(jiān)督公司軟件使用情況，并負(fù)責(zé)軟件預(yù)算編列及軟件異動(dòng)等事項(xiàng)。5、信息技術(shù)部負(fù)責(zé)公司數(shù)據(jù)中心信息系統(tǒng)的選型、變更、安裝、設(shè)置、測(cè)試、維護(hù)管理。6、 針對(duì)新的信息系統(tǒng)上線，需由信息技術(shù)部會(huì)同需求部門(mén)對(duì)軟件系統(tǒng)進(jìn)行評(píng)估，并做出上線計(jì)劃，上前后進(jìn)行測(cè)試，并記錄各項(xiàng)測(cè)試數(shù)據(jù)、參數(shù)配置及測(cè)試結(jié)果。在測(cè)試中發(fā)現(xiàn)的問(wèn)題需及時(shí)向供應(yīng)商反饋并進(jìn)行書(shū)面記錄進(jìn)行整改。當(dāng)由新系統(tǒng)替換舊系統(tǒng)時(shí)，業(yè)務(wù)部門(mén)需對(duì)舊系統(tǒng)下線前的期末數(shù)據(jù)與新系統(tǒng)上線后的期初數(shù)據(jù)進(jìn)行核實(shí)，確認(rèn)無(wú)誤后方可投入使用。供應(yīng)商完成系統(tǒng)測(cè)試后，需獲取測(cè)試驗(yàn)收確認(rèn)函，確保軟件系統(tǒng)滿(mǎn)足業(yè)務(wù)需求，并及時(shí)對(duì)系統(tǒng)用戶(hù)進(jìn)行培訓(xùn)指導(dǎo)。軟件采購(gòu)7、 各部門(mén)對(duì)該部門(mén)使用的軟件，應(yīng)視需要查核實(shí)際使用狀況，以作為軟件增置與編列預(yù)算的參考。軟件采購(gòu)時(shí)應(yīng)考量軟件用途、授權(quán)形式及價(jià)格以評(píng)估軟件需求，由信息技術(shù)部統(tǒng)一提出采購(gòu)計(jì)劃。計(jì)算機(jī)軟件安裝及保管8、 公司之各類(lèi)授權(quán)計(jì)算機(jī)軟件，統(tǒng)一由信息技術(shù)部負(fù)責(zé)保管，并每年至6少進(jìn)行一次盤(pán)點(diǎn)。各單位因業(yè)務(wù)需要需使用時(shí)可提出申請(qǐng)，由信息技術(shù)部依該軟件之授權(quán)使用范圍進(jìn)行安裝。9、 公司擁有的授權(quán)計(jì)算機(jī)軟件，由信息技術(shù)部門(mén)統(tǒng)一部署安裝；計(jì)算機(jī)使用人堆個(gè)別軟件有安裝變動(dòng)需求，必須先填寫(xiě)《軟件安裝申請(qǐng)單》，信息系統(tǒng)軟件申請(qǐng)須經(jīng)部門(mén)經(jīng)理和相關(guān)部門(mén)副總同意后，信息技術(shù)部則依據(jù)軟件實(shí)施申請(qǐng)單，安裝或授權(quán)安裝至各計(jì)算機(jī)之內(nèi)。10、 計(jì)算機(jī)保管人對(duì)軟件負(fù)保管之責(zé)，軟件使用者如有使用不當(dāng)，造成毀損或遺失，應(yīng)負(fù)賠償責(zé)任。軟件使用者應(yīng)當(dāng)對(duì)口令嚴(yán)格保密，并至少每180天更改一次密碼，密碼應(yīng)滿(mǎn)足復(fù)雜性原則，長(zhǎng)度應(yīng)不低于8位，并由大寫(xiě)字母、小寫(xiě)字母、數(shù)字和標(biāo)點(diǎn)符號(hào)中至少3類(lèi)混合組成。對(duì)于因?yàn)檐浖陨碓驘o(wú)法達(dá)到要求的，應(yīng)按照軟件允許的最高密碼安全策略處理。11、 各部門(mén)軟件分配使用后，保管人或使用人職務(wù)變動(dòng)或離職時(shí)，應(yīng)按照人事部門(mén)流程移交其保管或使用之軟硬件，并辦理交接，由信息技術(shù)部對(duì)其軟件使用權(quán)限進(jìn)行調(diào)整。12、 信息技術(shù)部在實(shí)施系統(tǒng)變更，如變更操作系統(tǒng)、軟件安裝、升級(jí)時(shí)都必須做《計(jì)算機(jī)設(shè)備軟硬件變更清單》。13、 信息技術(shù)部每半年會(huì)同需求部門(mén)對(duì)計(jì)算機(jī)系統(tǒng)和數(shù)據(jù)中心信息系統(tǒng)用戶(hù)情況進(jìn)行一次復(fù)查。第四節(jié)軟件使用者的權(quán)利和義務(wù)14、 禁止員工使用會(huì)干擾或破壞網(wǎng)絡(luò)上其它使用者或節(jié)點(diǎn)的軟、硬件系統(tǒng)。15、 員工不得將公司授權(quán)軟件私自拷貝、借于他人或私自將軟、硬件帶回家中。16、 軟件保管人或使用人，對(duì)于保管或使用軟件不可盜賣(mài)、循私營(yíng)利或其它不法情事，違者除提報(bào)主管及依公司規(guī)定懲處外，如因此觸犯著作權(quán)者或造成公司損失，則該員應(yīng)負(fù)刑事及民事之全部責(zé)任。17、尊重知識(shí)財(cái)產(chǎn)權(quán),禁止下載未經(jīng)授權(quán)的音樂(lè)、影片及軟件。三、 數(shù)據(jù)安全管理1、 工作所需的資料、數(shù)據(jù)，不得帶出辦公區(qū)。因外派等業(yè)務(wù)需帶出的情況除外，但需始終注意做好相關(guān)資料的保密工作。夕卜派等業(yè)務(wù)活動(dòng)結(jié)束后，必須將相關(guān)資料數(shù)據(jù)及時(shí)帶回，并清除保留在公司以外設(shè)備上的資料。2、 當(dāng)使用公司的網(wǎng)絡(luò)打印機(jī)時(shí)，打印的資料必須在30分鐘內(nèi)取回，保密資料的打印不得使用公用的網(wǎng)絡(luò)打印機(jī)。3、 保密的資料應(yīng)設(shè)置密碼并妥善保管，不得隨意置于桌面。4、 在執(zhí)行資產(chǎn)轉(zhuǎn)移時(shí)，要對(duì)那些存儲(chǔ)保密資料或數(shù)據(jù)的載體（如計(jì)算機(jī)或軟、硬盤(pán)）使用＜cipher＞命令對(duì)整個(gè)磁盤(pán)進(jìn)行徹底清除，以防泄密。具體使用方法請(qǐng)向綜合部網(wǎng)絡(luò)管理員咨詢(xún)，對(duì)于需要保存的資料或數(shù)據(jù)應(yīng)加強(qiáng)保密措施并進(jìn)行保護(hù)。5、 個(gè)人資料，工作資料應(yīng)定期做好備份工作（重要資料應(yīng)隨時(shí)雙重備份在其他電腦和其他介質(zhì)上），以防病毒侵襲、硬件損壞等造成數(shù)據(jù)丟失。四、 網(wǎng)絡(luò)信息安全管理1、 新員工入職，在得到自己的辦公平臺(tái)的帳戶(hù)名和密碼后，應(yīng)立即更改自己的密碼，如果因?yàn)闆](méi)有更改密碼而造成辦公平臺(tái)或公共管理系統(tǒng)帳戶(hù)被他人盜用的情況，后果將由員工本人負(fù)責(zé)。2、 公司辦公平臺(tái)是為全體員工從事生產(chǎn)活動(dòng)以及業(yè)務(wù)溝通提供服務(wù)的。不得利用公司的辦公平臺(tái)從事與工作無(wú)關(guān)的活動(dòng)，一經(jīng)查出或?qū)驹斐刹涣加绊懙?，將追究其?zé)任。3、 員工有責(zé)任預(yù)防郵件病毒的傳播，員工的電腦必須安裝公司指定的殺毒軟件，并啟用殺毒軟件的郵件防火墻功能。不允許在沒(méi)有防火墻的電腦上進(jìn)行收發(fā)郵件的操作，如果員工本人無(wú)法確定郵件附件的用途，那么即使殺毒軟件沒(méi)有給出提示，也不要輕易打開(kāi)此類(lèi)郵件。在使用電子郵件的過(guò)程中，有任何疑問(wèn)都可以與綜合部網(wǎng)絡(luò)管理員聯(lián)系。如果員工未按照上述要求執(zhí)行，導(dǎo)致電腦感染電腦病毒并在公司局域網(wǎng)內(nèi)傳播電腦病毒，造成嚴(yán)重后果的，公司將追究該員工的責(zé)任。4、 由于辦公平臺(tái)服務(wù)器磁盤(pán)空間有限，公司通常情況下默認(rèn)分配給每個(gè)員工的空間是200M，員工應(yīng)將在辦公平臺(tái)存儲(chǔ)超過(guò)一年的文件刪除，以節(jié)約磁盤(pán)空間，重要文件請(qǐng)自行保存在個(gè)人電腦內(nèi)。5、 公司IP地址由綜合部網(wǎng)絡(luò)管理員統(tǒng)一規(guī)劃和分配使用，員工個(gè)人不得隨意變更個(gè)人電腦的IP地址。6、 個(gè)人由于業(yè)務(wù)學(xué)習(xí)等而需用計(jì)算機(jī)以及計(jì)算機(jī)網(wǎng)絡(luò)的，可以利用休息時(shí)間進(jìn)行，不可以占用工作時(shí)間。7、 不得利用計(jì)算機(jī)技術(shù)侵占用戶(hù)合法利益，不得制作、復(fù)制、和傳播妨害公司穩(wěn)定的有關(guān)信息。8、 不得利用公司計(jì)算機(jī)網(wǎng)絡(luò)從事危害國(guó)家安全及其他法律明文禁止的活動(dòng)；9、 不訪問(wèn)不明網(wǎng)站的內(nèi)容，以避免惡意網(wǎng)絡(luò)攻擊和病毒的侵?jǐn)_。10、 員工個(gè)人QQ等其他網(wǎng)絡(luò)通訊工具，在個(gè)人信息資料中不得包含公司相關(guān)（如公司、IP地址等）信息，在工作時(shí)間不使用QQ進(jìn)行與工作無(wú)關(guān)的事'情。五、病毒防護(hù)管理1、公司為員工配備的電腦以及員工所負(fù)責(zé)的服務(wù)器必須安裝防病毒軟件，并且應(yīng)遵循綜合部網(wǎng)絡(luò)管理員指定的計(jì)算機(jī)病毒防護(hù)標(biāo)準(zhǔn)，如：安裝并注意始終啟用網(wǎng)絡(luò)管理員指定的防病毒軟件，并及時(shí)更新病毒庫(kù)代碼等。如因未及時(shí)升級(jí)防病毒軟件而引起的系統(tǒng)問(wèn)題和網(wǎng)絡(luò)問(wèn)題，由個(gè)人承擔(dān)責(zé)任；2、辦公平臺(tái)服務(wù)器的病毒防治由綜合部網(wǎng)絡(luò)管理員負(fù)責(zé)，各部門(mén)的工作站病毒的防治由各部門(mén)負(fù)責(zé)周期性查毒和升級(jí)病毒庫(kù)，綜合部網(wǎng)絡(luò)管理員進(jìn)行指導(dǎo)和協(xié)助。3、 任何人不得在公司的網(wǎng)絡(luò)上制造、傳播任何計(jì)算機(jī)病毒，不得故意引入病毒。網(wǎng)絡(luò)使用者發(fā)現(xiàn)病毒應(yīng)立即向綜合部網(wǎng)絡(luò)管理報(bào)告以便獲得及時(shí)處理。4、 各部門(mén)定期對(duì)本部門(mén)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行備份以防發(fā)生故障時(shí)進(jìn)行恢復(fù)。六、下載管理1、 不準(zhǔn)在任何時(shí)間利用公司網(wǎng)絡(luò)下載黑客工具、解密軟件，系統(tǒng)掃描工具，木馬程序等威脅系統(tǒng)和網(wǎng)絡(luò)安全的軟件。2、 工作期間不允許下載和在線觀看與工作無(wú)關(guān)的軟件或其他內(nèi)容，如MP3、小說(shuō)、電影、電視和圖片等。3、 由于擅自進(jìn)行下載/上傳造成網(wǎng)絡(luò)堵塞甚至癱瘓或致使病毒傳播者，一經(jīng)核實(shí)，公司依據(jù)相關(guān)規(guī)定將給予警告、通報(bào)批評(píng)。七、機(jī)房管理機(jī)房設(shè)備管理規(guī)定1、 機(jī)房管理人員應(yīng)使用電子表格對(duì)機(jī)房?jī)?nèi)設(shè)備做好登記，記錄現(xiàn)有設(shè)備的型號(hào)、配置、位置、狀態(tài)等信息，以便跟蹤設(shè)備變化。2、 計(jì)算機(jī)及網(wǎng)絡(luò)設(shè)備的搬運(yùn)必須填寫(xiě)《機(jī)房設(shè)備變更表》并通過(guò)信息技術(shù)部負(fù)責(zé)人審批方可進(jìn)入或搬離計(jì)算機(jī)機(jī)房。3、 機(jī)房管理人員對(duì)機(jī)房設(shè)備的操作必須嚴(yán)格按照操作程序進(jìn)行，并在《機(jī)房運(yùn)行日志》做相應(yīng)記錄。4、 機(jī)房?jī)?nèi)主機(jī)等設(shè)備的故障維修，必須于《機(jī)房運(yùn)行日志》做好故障維修登記，若涉及設(shè)備送修，須填寫(xiě)《機(jī)房設(shè)備變更表》。機(jī)房進(jìn)出規(guī)定1、 信息技術(shù)部應(yīng)根據(jù)公司實(shí)際情況，安排專(zhuān)人對(duì)機(jī)房進(jìn)行值班和巡檢。2、 機(jī)房鑰匙由信息技術(shù)部保存，其余鑰匙交公司行政部統(tǒng)一保管，如果特殊情況需使用時(shí)須嚴(yán)格登記。3、 鑰匙保管人不允許私配機(jī)房鑰匙，無(wú)關(guān)人員不得借用機(jī)房鑰匙，機(jī)房鑰匙一旦遺失必須立即向信息技術(shù)部負(fù)責(zé)人報(bào)備。4、 任何非機(jī)房管理人員需要進(jìn)入機(jī)房，需填寫(xiě)《機(jī)房出入登記表》在機(jī)房值班人員陪同下進(jìn)入機(jī)房。5、 進(jìn)入機(jī)房人員不得攜帶任何易燃、易爆、腐蝕性、強(qiáng)電磁、輻射性、流體物質(zhì)等對(duì)設(shè)備正常運(yùn)行構(gòu)成威脅的物品，因工作需要使用時(shí)，必須向信息技術(shù)部負(fù)責(zé)人申請(qǐng)并做詳細(xì)登記，嚴(yán)格執(zhí)行操作規(guī)程，用后必須置于安全狀態(tài)，妥善保管。6、 進(jìn)入機(jī)房人員應(yīng)自覺(jué)遵守機(jī)房?jī)?nèi)各項(xiàng)管理規(guī)定，服從機(jī)房值班人員的管理，非經(jīng)機(jī)房管理人員允許，不得擅自對(duì)機(jī)房設(shè)備進(jìn)行操作。工作完畢后應(yīng)及時(shí)離開(kāi)，離開(kāi)機(jī)房時(shí)應(yīng)主動(dòng)接受機(jī)房值班人員的檢查。7、 條進(jìn)入機(jī)房人員在工作完畢后，自覺(jué)將所帶無(wú)關(guān)物品帶走。機(jī)房衛(wèi)生規(guī)定1、 機(jī)房值班人員需要每天對(duì)機(jī)房進(jìn)行打掃，保證機(jī)房?jī)?nèi)環(huán)境、設(shè)備的清j潔。2、 任何人不得將食物或飲料帶入機(jī)房，任何人不得在機(jī)房?jī)?nèi)吃東西、吸煙、吐痰。機(jī)房消防、安全管理規(guī)定1、 機(jī)房應(yīng)保持計(jì)算機(jī)設(shè)備正常運(yùn)行所必須的溫度、濕度等環(huán)境要求，安裝溫濕度報(bào)警設(shè)施，對(duì)運(yùn)行環(huán)境可能出現(xiàn)的不利因素進(jìn)行監(jiān)測(cè)并預(yù)警。這些要求至少包括以下內(nèi)容：(1)安裝24小時(shí)不間斷空調(diào)系統(tǒng)，機(jī)房?jī)?nèi)保持一定的溫度和濕度;安裝濕度和溫度顯示裝置；安裝煙霧感應(yīng)探測(cè)器和溫度感應(yīng)探測(cè)器；安裝火災(zāi)報(bào)警和自動(dòng)滅火系統(tǒng)；配備手動(dòng)滅火器；將機(jī)房地板抬高。2、 機(jī)房應(yīng)列為單位要害和重點(diǎn)防火部位，應(yīng)嚴(yán)格按照相關(guān)國(guó)家標(biāo)準(zhǔn)安裝配備。足夠數(shù)量的消防報(bào)警設(shè)備以及消防器材，機(jī)房工作人員要熟悉機(jī)房消防器材的存放位置及使用方法，定期檢查更換。3、 機(jī)房及其附近嚴(yán)禁吸咽、焚燒任何物品。4、 機(jī)房應(yīng)配備適當(dāng)?shù)牟婚g斷的電力供應(yīng)（UPS）,確保有足夠的后備電力支持正常的系統(tǒng)應(yīng)急操作；每半年對(duì)現(xiàn)有的不間斷的電力供應(yīng)設(shè)備進(jìn)行檢查與維護(hù)，確保設(shè)備的正常運(yùn)作。5、 機(jī)房管理人員要熟悉設(shè)備電源和照明用電以及其他電氣設(shè)備總開(kāi)關(guān)位置，掌握切斷電源的方法與步驟，發(fā)現(xiàn)火情及時(shí)報(bào)告，采取有效措施及時(shí)滅火。值班管理規(guī)定1、 信息技術(shù)部應(yīng)根據(jù)公司實(shí)際情況，安排專(zhuān)人對(duì)機(jī)房進(jìn)行值班和巡檢。2、 值班人員應(yīng)每日做好系統(tǒng)運(yùn)行和機(jī)房安全工作，檢查空調(diào)、UPS、溫濕17度、消防等設(shè)備的完好性，并將檢查結(jié)果記錄于《機(jī)房運(yùn)行日志》，如果發(fā)現(xiàn)問(wèn)題及時(shí)匯報(bào)處理。3、 值班人員應(yīng)每日檢查各類(lèi)系統(tǒng)設(shè)備的運(yùn)行狀態(tài)，并在《機(jī)房運(yùn)行日志》中進(jìn)行記錄。若系統(tǒng)發(fā)生故障，應(yīng)及時(shí)報(bào)告相關(guān)管理人員，并協(xié)助其進(jìn)行問(wèn)題調(diào)查，做好工作記錄，將故障發(fā)生時(shí)間及修復(fù)時(shí)間等相關(guān)信息進(jìn)行登記。4、 對(duì)機(jī)房?jī)?nèi)所有人員的操作，值班人員應(yīng)該在《機(jī)房運(yùn)行日志》中進(jìn)行記錄。5、 對(duì)于進(jìn)入機(jī)房人員不遵守機(jī)房管理規(guī)定或從事與正常工作內(nèi)容不相符的操作，必須及時(shí)加以制止，必要時(shí)可終止其操作。6、信息技術(shù)部負(fù)責(zé)人應(yīng)每月審閱《機(jī)房運(yùn)行日志》，確保所有機(jī)房操作已通過(guò)適當(dāng)?shù)氖跈?quán)和審批。八、備份及恢復(fù)備份操作管理1、 備份工作應(yīng)由信息技術(shù)部門(mén)安排備份管理人員和備份數(shù)據(jù)保管人員。備份管理人員負(fù)責(zé)實(shí)施備份、恢復(fù)操作和登記工作，備份保管人員負(fù)責(zé)備份介質(zhì)的取放、更換。2、 數(shù)據(jù)被大規(guī)模更新前后，須對(duì)數(shù)據(jù)進(jìn)行備份，在操作系統(tǒng)和應(yīng)用程序發(fā)生重大改變前后，須對(duì)系統(tǒng)