企業(yè)信息安全管理工作標(biāo)準(zhǔn)

信息安全管理工作標(biāo)準(zhǔn)一、范圍本標(biāo)準(zhǔn)參考國(guó)家信息安全保護(hù)的相關(guān)標(biāo)準(zhǔn)及規(guī)定，特制定公司信息安全保護(hù)的相關(guān)技術(shù)規(guī)范和管理要求。本標(biāo)準(zhǔn)適用于公司以及公司下屬城市事業(yè)部、控股公司，可作為各級(jí)信息安全職能部門(mén)制定、實(shí)施信息安全保護(hù)技術(shù)方案和日常信息安全管理的參考和指導(dǎo)依據(jù)。公司及城市事業(yè)部、控股公司的信息安全保護(hù)工作除執(zhí)行本標(biāo)準(zhǔn)外，還應(yīng)符合國(guó)家信息安全等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)及規(guī)定。二、規(guī)范性引用文件GB17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則GB/T25028-2010信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南GB/T22239-2008信息系統(tǒng)安全等級(jí)保護(hù)基本要求三、術(shù)語(yǔ)和定義VLAN（VirtualLocalAreaNetwork）虛擬局域網(wǎng)是一組邏輯上的設(shè)備和用戶(hù)，這些設(shè)備和用戶(hù)并不受物理位置的限制，可以根據(jù)功能、部門(mén)及應(yīng)用等因素將它們組織起來(lái)，相互之間的通信就好像它們?cè)谕粋€(gè)網(wǎng)段中一樣，由此得名虛擬局域網(wǎng)。ACL（AccessControlList，ACL）訪(fǎng)問(wèn)控制列表，是路由器和交換機(jī)接口的指令列表，用來(lái)控制端口進(jìn)出的數(shù)據(jù)包。桌面終端主要包括個(gè)人辦公的臺(tái)式機(jī)和筆記本。四、信息安全保護(hù)基本規(guī)定1.工作目標(biāo)構(gòu)建一個(gè)全面、完整、高效的信息安全體系，進(jìn)而提高公司信息系統(tǒng)的整體安全防護(hù)能力，保護(hù)商業(yè)秘密，為公司的經(jīng)營(yíng)管理及業(yè)務(wù)發(fā)展提供堅(jiān)實(shí)的信息安全保障。2.基本原則2.1“分類(lèi)保護(hù)，適度安全”原則根據(jù)各業(yè)務(wù)系統(tǒng)的重要程度以及面臨的風(fēng)險(xiǎn)大小等因素，劃分各信息系統(tǒng)的安全保護(hù)類(lèi)別，實(shí)施分類(lèi)保護(hù)、合理投資、集中資源優(yōu)先保護(hù)涉及核心業(yè)務(wù)、承載關(guān)鍵信息的重要系統(tǒng)。2.2“內(nèi)外并重”原則信息安全工作需要做到內(nèi)外并重，既要規(guī)范內(nèi)部人員行為，又要防范外部威脅，加強(qiáng)訪(fǎng)問(wèn)控制，提升監(jiān)控和審計(jì)能力。2.3“技術(shù)與管理并重”原則信息安全不是單純的技術(shù)問(wèn)題，需要在采用安全技術(shù)和產(chǎn)品的同時(shí)，重視信息安全管理，不斷完善各類(lèi)安全管理規(guī)章制度和操作規(guī)程，從而全面提高信息安全管理水平。2.4“三同步”原則信息安全建設(shè)應(yīng)與業(yè)務(wù)系統(tǒng)同步設(shè)計(jì)、同步建設(shè)、同步運(yùn)行，同時(shí)根據(jù)系統(tǒng)的應(yīng)用類(lèi)型、范圍、企業(yè)依賴(lài)性等因素的變化進(jìn)行動(dòng)態(tài)調(diào)整。3.信息安全保護(hù)對(duì)象公司與公司下屬城市事業(yè)部、控股公司的信息系統(tǒng)及與其所相關(guān)的信息資產(chǎn)均為信息安全保障體系的保護(hù)對(duì)象。公司信息資產(chǎn)分為以下七類(lèi)：3.1物理環(huán)境支撐信息系統(tǒng)的場(chǎng)所、所處的周邊環(huán)境以及場(chǎng)所內(nèi)保障計(jì)算機(jī)系統(tǒng)正常運(yùn)行的設(shè)施，包括機(jī)房、門(mén)禁、監(jiān)控、電源、空調(diào)等。3.2人員資產(chǎn)與信息系統(tǒng)相關(guān)的人員，包括公司與公司下屬城市事業(yè)部、控股公司的信息化管理人員、網(wǎng)絡(luò)管理員、系統(tǒng)管理員、信息系統(tǒng)使用人員以及第三方人員等。3.3網(wǎng)絡(luò)資產(chǎn)構(gòu)成信息系統(tǒng)網(wǎng)絡(luò)傳輸環(huán)境的設(shè)備、軟件和通信介質(zhì)，包括路由器、交換機(jī)、防火墻、網(wǎng)絡(luò)管理系統(tǒng)等硬件設(shè)備和軟件系統(tǒng)。3.4主機(jī)資產(chǎn)信息系統(tǒng)中承載業(yè)務(wù)系統(tǒng)和軟件的計(jì)算機(jī)系統(tǒng)、外圍系統(tǒng)（不含網(wǎng)絡(luò)設(shè)備）及其操作系統(tǒng)。主機(jī)資產(chǎn)包括各類(lèi)Unix或linux服務(wù)器、Windows服務(wù)器、工作站和桌面終端、磁盤(pán)陣列、備份設(shè)備等硬件及其操作系統(tǒng)。3.5平臺(tái)資產(chǎn)支撐業(yè)務(wù)系統(tǒng)（包括生產(chǎn)系統(tǒng)和辦公自動(dòng)化等）的商業(yè)軟件平臺(tái)系統(tǒng)，包括各業(yè)務(wù)信息管理系統(tǒng)及相關(guān)的數(shù)據(jù)庫(kù)、中間件、集成開(kāi)發(fā)環(huán)境等。3.6應(yīng)用軟件資產(chǎn)為生產(chǎn)業(yè)務(wù)和管理應(yīng)用而開(kāi)發(fā)的各類(lèi)應(yīng)用軟件及其提供的服務(wù)，包括辦公工具軟件、專(zhuān)業(yè)應(yīng)用軟件等。3.7數(shù)據(jù)資產(chǎn)計(jì)算機(jī)系統(tǒng)處理、存儲(chǔ)和傳輸?shù)臄?shù)據(jù)對(duì)象，是信息系統(tǒng)的核心資產(chǎn)。4.職責(zé)4.1公司辦公室作為公司整體信息安全保護(hù)工作的歸口管理部門(mén)，負(fù)責(zé)制定公司信息安全保護(hù)的管理辦法和技術(shù)標(biāo)準(zhǔn)、對(duì)公司的信息資產(chǎn)進(jìn)行妥善保護(hù)、指導(dǎo)公司下屬城市事業(yè)部、控股公司信息安全保護(hù)工作的正常開(kāi)展，同時(shí)監(jiān)督檢查各級(jí)企業(yè)的信息安全工作的開(kāi)展落實(shí)情況，做好安全培訓(xùn)工作。4.2公司下屬城市事業(yè)部、控股公司信息化主管部門(mén)負(fù)責(zé)參照本標(biāo)準(zhǔn)做好自身的信息資產(chǎn)的安全保護(hù)工作、指導(dǎo)檢查下屬單位或工程項(xiàng)目經(jīng)理部的信息安全保護(hù)工作，并建立完善的信息化管理組織體系，做好安全培訓(xùn)工作。4.3各級(jí)信息員負(fù)責(zé)貫徹落實(shí)本標(biāo)準(zhǔn)對(duì)信息安全保障的規(guī)范及技術(shù)要求，做好自身負(fù)責(zé)的信息資產(chǎn)的安全保護(hù)工作，定期參加安全培訓(xùn)，提升安全意識(shí)和更新保護(hù)技能。4.4信息資產(chǎn)使用人員在信息資產(chǎn)的使用過(guò)程中，自覺(jué)嚴(yán)格參照本標(biāo)準(zhǔn)的規(guī)范執(zhí)行，不進(jìn)行違章操作，不越權(quán)使用數(shù)據(jù)，保護(hù)好自己的數(shù)據(jù)安全，預(yù)防商業(yè)機(jī)密泄漏。五、信息系統(tǒng)安全類(lèi)別劃分為對(duì)信息系統(tǒng)更有針對(duì)性的進(jìn)行保護(hù)，公司各級(jí)信息系統(tǒng)應(yīng)劃分類(lèi)別，實(shí)施分類(lèi)保護(hù)。根據(jù)系統(tǒng)承載業(yè)務(wù)在生產(chǎn)經(jīng)營(yíng)和管理中的重要程度、遭到破壞的信息系統(tǒng)對(duì)經(jīng)營(yíng)管理及經(jīng)濟(jì)利益的危害程度、破壞范圍等因素，信息系統(tǒng)分為以下三類(lèi)：A類(lèi)系統(tǒng)：信息系統(tǒng)受到破壞后，不僅對(duì)企業(yè)整體造成損害，而且影響企業(yè)核心業(yè)務(wù)活動(dòng)，妨礙公司整體生產(chǎn)經(jīng)營(yíng)活動(dòng)，給公司造成經(jīng)濟(jì)損失，甚至造成不良社會(huì)影響。B類(lèi)系統(tǒng)：信息系統(tǒng)受到破壞后，對(duì)公司多個(gè)部門(mén)或公司整體造成損害，影響公司多個(gè)部門(mén)的重要業(yè)務(wù)。C類(lèi)系統(tǒng)：信息系統(tǒng)受到破壞后，對(duì)公司局部造成損害，影響公司局部業(yè)務(wù)活動(dòng)。六、A類(lèi)系統(tǒng)1.物理安全物理環(huán)境是信息系統(tǒng)正常運(yùn)轉(zhuǎn)的外在基礎(chǔ)保障，需要根據(jù)運(yùn)行的信息系統(tǒng)安全類(lèi)別，參照國(guó)家標(biāo)準(zhǔn)及規(guī)范進(jìn)行建設(shè)并維護(hù)。A類(lèi)系統(tǒng)需要遵循以下技術(shù)要求：1.1物理位置的選擇機(jī)房和辦公場(chǎng)地應(yīng)選擇具有防震、防風(fēng)和防雨等能力的建筑內(nèi)。1.2物理訪(fǎng)問(wèn)控制本項(xiàng)要求包括：（1）機(jī)房出入口應(yīng)安排專(zhuān)人值守，控制、鑒別和記錄進(jìn)入的人員；（2）需進(jìn)入機(jī)房的來(lái)訪(fǎng)人員應(yīng)經(jīng)過(guò)申請(qǐng)和審批流程，并限制和監(jiān)控其活動(dòng)范圍。1.3防盜竊和防破壞本項(xiàng)要求包括：（1）應(yīng)將主要設(shè)備放置在機(jī)房?jī)?nèi)；（2）應(yīng)將設(shè)備或主要部件進(jìn)行固定，并設(shè)置明顯的不易除去的標(biāo)記；（3）應(yīng)將通信線(xiàn)纜鋪設(shè)在隱蔽處，可鋪設(shè)在地下或管道中；（4）應(yīng)對(duì)介質(zhì)分類(lèi)標(biāo)識(shí)，存儲(chǔ)在介質(zhì)庫(kù)或檔案室中；（5）主機(jī)房應(yīng)安裝必要的防盜報(bào)警及監(jiān)控設(shè)施。1.4防雷擊本項(xiàng)要求包括：（1）機(jī)房建筑應(yīng)設(shè)置避雷裝置；（2）機(jī)房應(yīng)設(shè)置交流電源地線(xiàn)。1.5防火機(jī)房應(yīng)設(shè)置滅火設(shè)備和火災(zāi)自動(dòng)報(bào)警系統(tǒng)。1.6防水和防潮本項(xiàng)要求包括：（1）水管安裝不得穿過(guò)機(jī)房屋頂和活動(dòng)地板下；（2）應(yīng)采取措施防止雨水通過(guò)機(jī)房窗戶(hù)、屋頂和墻壁滲透；（3）應(yīng)采取措施防止機(jī)房?jī)?nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透。1.7防靜電關(guān)鍵設(shè)備應(yīng)采用必要的接地防靜電措施。1.8溫濕度控制機(jī)房應(yīng)設(shè)置溫、濕度自動(dòng)調(diào)節(jié)設(shè)施，使機(jī)房溫、濕度的變化在設(shè)備運(yùn)行所允許的范圍之內(nèi)。1.9電力供應(yīng)本項(xiàng)要求包括：（1）應(yīng)在機(jī)房供電線(xiàn)路上配置穩(wěn)壓器和過(guò)電壓防護(hù)設(shè)備；（2）應(yīng)提供短期的備用電力供應(yīng)，至少滿(mǎn)足關(guān)鍵設(shè)備在斷電情況下仍能正常運(yùn)行的要求。1.10電磁防護(hù)電源線(xiàn)和通信線(xiàn)纜應(yīng)隔離鋪設(shè)，避免互相干擾。2.網(wǎng)絡(luò)安全2.1邊界安全防護(hù)公司以及公司下屬城市事業(yè)部在網(wǎng)絡(luò)邊界處必須部署防火墻系統(tǒng)或安全網(wǎng)關(guān)隔離外部網(wǎng)絡(luò)，同時(shí)部署流控或上網(wǎng)行為管理設(shè)備進(jìn)行網(wǎng)絡(luò)控制。網(wǎng)絡(luò)邊界設(shè)備配置時(shí)盡量開(kāi)放最少的端口，只對(duì)視頻會(huì)議、接入網(wǎng)關(guān)等特殊應(yīng)用nat全映射。（2）工程項(xiàng)目經(jīng)理部或其他人數(shù)較少的分支機(jī)構(gòu)應(yīng)配備具備流控或上網(wǎng)行為管理功能的企業(yè)級(jí)網(wǎng)關(guān)或路由器，除視頻會(huì)議、遠(yuǎn)程監(jiān)控等特殊業(yè)務(wù)外，一般情況下禁止做端口映射。2.2內(nèi)網(wǎng)控制及防護(hù)（1）網(wǎng)絡(luò)設(shè)備安全防護(hù)內(nèi)網(wǎng)及邊界網(wǎng)絡(luò)設(shè)備不允許使用默認(rèn)口令，設(shè)置口令必須符合安全的密碼規(guī)范，至少8位且包含字母、符號(hào)、數(shù)字3種以上的字符，并且定期更換密碼，統(tǒng)一管理。（2）VLAN及ACL應(yīng)用內(nèi)部網(wǎng)絡(luò)中如果存在不同權(quán)限的用戶(hù)，如工程項(xiàng)目經(jīng)理部網(wǎng)絡(luò)中有分包企業(yè)或監(jiān)理單位等外部人員，需要采取VLAN隔離，并且根據(jù)不同權(quán)限設(shè)置訪(fǎng)問(wèn)控制策略（ACL），限制不同用戶(hù)對(duì)相關(guān)信息資源的訪(fǎng)問(wèn)。2.3WiFi網(wǎng)絡(luò)安全（1）企業(yè)網(wǎng)絡(luò)中原則上不允許架設(shè)無(wú)密碼的WiFi網(wǎng)絡(luò)，如必須架設(shè)無(wú)密碼公開(kāi)WiFi，必須設(shè)置訪(fǎng)問(wèn)控制，不允許這些WiFi網(wǎng)絡(luò)用戶(hù)訪(fǎng)問(wèn)企業(yè)內(nèi)網(wǎng)資源；（2）WiFi網(wǎng)絡(luò)應(yīng)由信息化專(zhuān)業(yè)人員搭建，設(shè)置成WPA2模式的密碼，有條件的情況下應(yīng)部署WiFi網(wǎng)絡(luò)用戶(hù)審計(jì)系統(tǒng)。2.4網(wǎng)絡(luò)運(yùn)維管理（2）網(wǎng)絡(luò)運(yùn)維過(guò)程中應(yīng)注意保存配置初始化及變更記錄等資料；（3）應(yīng)部署網(wǎng)絡(luò)監(jiān)控系統(tǒng)，對(duì)網(wǎng)絡(luò)使用情況進(jìn)行實(shí)時(shí)監(jiān)控，保障重要信息系統(tǒng)的網(wǎng)絡(luò)資源。3.服務(wù)器安全3.1操作系統(tǒng)安裝原則操作系統(tǒng)按照最小化原則進(jìn)行安裝，達(dá)到服務(wù)器運(yùn)行的應(yīng)用需求即可，不允許安裝多余的軟件及控件。3.2系統(tǒng)身份鑒別配置（1）服務(wù)器密碼設(shè)置必須符合相關(guān)的安全規(guī)范，至少8位且包含字母、符號(hào)、數(shù)字3種以上的字符；（2）設(shè)置賬戶(hù)鎖定時(shí)間及鎖定閥值對(duì)服務(wù)器登錄進(jìn)行保護(hù)。3.3入侵及惡意代碼防范安裝專(zhuān)門(mén)的入侵防火墻及惡意代碼掃描工具，定期對(duì)服務(wù)器進(jìn)行漏洞掃描。3.4系統(tǒng)補(bǔ)丁更新定期進(jìn)行補(bǔ)丁更新，修補(bǔ)嚴(yán)重的系統(tǒng)漏洞，更新補(bǔ)丁前應(yīng)注意數(shù)據(jù)備份，更新后如出現(xiàn)問(wèn)題應(yīng)當(dāng)及時(shí)回退或者采取補(bǔ)救措施。3.5服務(wù)器資源監(jiān)控（1）應(yīng)有專(zhuān)人進(jìn)行定期系統(tǒng)資源監(jiān)控；（2）有條件的應(yīng)部署專(zhuān)業(yè)服務(wù)器監(jiān)控軟件，隨時(shí)掌握服務(wù)器資源，保障業(yè)務(wù)系統(tǒng)運(yùn)轉(zhuǎn)正常。3.6WEB網(wǎng)站服務(wù)器安全公司對(duì)外宣傳的WEB網(wǎng)站，為防止黑客入侵，可采用外包服務(wù)的方式，委托國(guó)內(nèi)專(zhuān)業(yè)的大型網(wǎng)站服務(wù)商進(jìn)行管理。3.7數(shù)據(jù)備份（1）應(yīng)部署專(zhuān)業(yè)備份軟件進(jìn)行自動(dòng)化管理，至少每天備份1次數(shù)據(jù)，備份方式須有2種以上，必要時(shí)應(yīng)做到實(shí)時(shí)數(shù)據(jù)備份；（2）運(yùn)行環(huán)境恢復(fù)時(shí)間長(zhǎng)、配置復(fù)雜的系統(tǒng)需要有備用機(jī)。七、B類(lèi)系統(tǒng)1.物理安全物理環(huán)境是信息系統(tǒng)正常運(yùn)轉(zhuǎn)的外在基礎(chǔ)保障，需要根據(jù)運(yùn)行的信息系統(tǒng)安全類(lèi)別，參照國(guó)家標(biāo)準(zhǔn)及規(guī)范進(jìn)行建設(shè)并維護(hù)。B類(lèi)系統(tǒng)需要遵循以下技術(shù)要求：1.1物理訪(fǎng)問(wèn)控制機(jī)房出入應(yīng)安排專(zhuān)人負(fù)責(zé)，控制、鑒別和記錄進(jìn)入的人員。1.2防盜竊和防破壞本項(xiàng)要求包括：（1）應(yīng)將主要設(shè)備放置在機(jī)房?jī)?nèi)；（2）應(yīng)將設(shè)備或主要部件進(jìn)行固定，并設(shè)置明顯的不易除去的標(biāo)記。1.3防雷擊機(jī)房建筑應(yīng)設(shè)置避雷裝置。1.4防火機(jī)房應(yīng)設(shè)置滅火設(shè)備。1.5防水和防潮本項(xiàng)要求包括：（1）應(yīng)對(duì)穿過(guò)機(jī)房墻壁和樓板的水管增加必要的保護(hù)措施；（2）應(yīng)采取措施防止雨水通過(guò)機(jī)房窗戶(hù)、屋頂和墻壁滲透。1.6溫濕度控制機(jī)房應(yīng)設(shè)置必要的溫、濕度控制設(shè)施，使機(jī)房溫、濕度的變化在設(shè)備運(yùn)行所允許的范圍之內(nèi)。1.7電力供應(yīng)應(yīng)在機(jī)房供電線(xiàn)路上配置穩(wěn)壓器和過(guò)電壓防護(hù)設(shè)備。2.網(wǎng)絡(luò)安全2.1邊界安全防護(hù)（1）公司及公司下屬城市事業(yè)部、控股公司在網(wǎng)絡(luò)邊界處必須部署防火墻系統(tǒng)或安全網(wǎng)關(guān)隔離外部網(wǎng)絡(luò)，同時(shí)部署流控或上網(wǎng)行為管理設(shè)備進(jìn)行網(wǎng)絡(luò)控制。網(wǎng)絡(luò)邊界設(shè)備配置時(shí)盡量開(kāi)放最少的端口，只對(duì)視頻會(huì)議、接入網(wǎng)關(guān)等特殊應(yīng)用nat全映射。（2）工程項(xiàng)目經(jīng)理部或其他人數(shù)較少的分支機(jī)構(gòu)應(yīng)配備具備流控或上網(wǎng)行為管理功能的企業(yè)級(jí)網(wǎng)關(guān)或路由器，除視頻會(huì)議、遠(yuǎn)程監(jiān)控等特殊業(yè)務(wù)外，一般情況下禁止做端口映射。2.2內(nèi)網(wǎng)控制及防護(hù)（1）網(wǎng)絡(luò)設(shè)備安全防護(hù)內(nèi)網(wǎng)及邊界網(wǎng)絡(luò)設(shè)備不允許使用默認(rèn)口令，設(shè)置口令必須使用復(fù)雜的密碼規(guī)則，至少8位且包含字母、符號(hào)、數(shù)字3種以上的字符，并且定期更換密碼，統(tǒng)一管理。（2）VLAN及ACL應(yīng)用內(nèi)部網(wǎng)絡(luò)中如果存在不同權(quán)限的用戶(hù)，如工程項(xiàng)目經(jīng)理部網(wǎng)絡(luò)中有分包企業(yè)或監(jiān)理單位等外部人員，需要采取VLAN隔離，并且根據(jù)不同權(quán)限設(shè)置訪(fǎng)問(wèn)控制策略（ACL），限制不同用戶(hù)對(duì)相關(guān)信息資源的訪(fǎng)問(wèn)。2.3WiFi網(wǎng)絡(luò)安全（1）公司網(wǎng)絡(luò)中原則上不允許架設(shè)無(wú)密碼的WiFi網(wǎng)絡(luò)，如必須架設(shè)無(wú)密碼公開(kāi)WiFi，必須設(shè)置訪(fǎng)問(wèn)控制，不允許這些WiFi網(wǎng)絡(luò)用戶(hù)訪(fǎng)問(wèn)公司內(nèi)網(wǎng)資源；（2）WiFi網(wǎng)絡(luò)應(yīng)由信息化專(zhuān)業(yè)人員搭建，設(shè)置成WPA2模式的密碼，有條件的情況下應(yīng)部署WiFi網(wǎng)絡(luò)用戶(hù)審計(jì)系統(tǒng)。2.4網(wǎng)絡(luò)運(yùn)維管理公司辦公室網(wǎng)絡(luò)應(yīng)有指定的網(wǎng)絡(luò)管理員進(jìn)行日常維護(hù)，若對(duì)防火墻策略或網(wǎng)絡(luò)拓?fù)溥M(jìn)行較大的變更，則需要辦公室的審批才能進(jìn)行。3.服務(wù)器安全3.1操作系統(tǒng)安裝原則操作系統(tǒng)按照最小化原則進(jìn)行安裝，達(dá)到服務(wù)器運(yùn)行的應(yīng)用需求即可，不允許安裝多余的軟件及控件。3.2系統(tǒng)身份鑒別配置（1）服務(wù)器密碼設(shè)置必須符合相關(guān)的安全規(guī)范，至少8位且包含字母、符號(hào)、數(shù)字3種以上的字符；（2）設(shè)置賬戶(hù)鎖定時(shí)間及鎖定閥值從而對(duì)服務(wù)器登錄進(jìn)行保護(hù)。3.3入侵及惡意代碼防范安裝專(zhuān)門(mén)的入侵防火墻及惡意代碼掃描工具，定期對(duì)服務(wù)器進(jìn)行漏洞掃描。3.4系統(tǒng)補(bǔ)丁更新定期進(jìn)行補(bǔ)丁更新，修補(bǔ)嚴(yán)重的系統(tǒng)漏洞，更新補(bǔ)丁前應(yīng)注意數(shù)據(jù)備份，更新后如出現(xiàn)問(wèn)題應(yīng)當(dāng)及時(shí)回退或采取補(bǔ)救措施。3.5服務(wù)器資源監(jiān)控應(yīng)有專(zhuān)人進(jìn)行定期系統(tǒng)資源監(jiān)控。3.6數(shù)據(jù)備份（1）至少每天備份1次數(shù)據(jù)；（2）備份方式須有2種以上，如本機(jī)備份、介質(zhì)備份（光盤(pán)、U盤(pán)等）。八、C類(lèi)系統(tǒng)1.物理安全C類(lèi)系統(tǒng)需要遵循以下技術(shù)要求：1.1防盜竊和防破壞本項(xiàng)要求包括：（1）應(yīng)將主要設(shè)備放置在專(zhuān)門(mén)的空間內(nèi)，如機(jī)房、弱電間；（2）應(yīng)將設(shè)備或主要部件進(jìn)行固定，并設(shè)置明顯的不易除去的標(biāo)記。1.2防雷擊選用帶有防雷功能的電源插座。1.3防火及防水應(yīng)就近設(shè)置滅火設(shè)備，并采取措施防止雨水通過(guò)機(jī)房窗戶(hù)、屋頂和墻壁滲透。1.4溫濕度控制應(yīng)設(shè)置必要的溫、濕度控制設(shè)施，使機(jī)房溫、濕度的變化在設(shè)備運(yùn)行所允許的范圍之內(nèi)。1.5電力供應(yīng)有條件的情況下，應(yīng)部署UPS為系統(tǒng)提供穩(wěn)定的電壓，以應(yīng)對(duì)短時(shí)間的臨時(shí)停電。2.網(wǎng)絡(luò)安全2.1邊界安全防護(hù)應(yīng)配備具備流控或上網(wǎng)行為管理功能的企業(yè)級(jí)網(wǎng)關(guān)或防火墻，除視頻會(huì)議、遠(yuǎn)程監(jiān)控等特殊業(yè)務(wù)外，一般情況下禁止做端口映射。2.2內(nèi)網(wǎng)控制及防護(hù)（1）網(wǎng)絡(luò)設(shè)備安全防護(hù)內(nèi)網(wǎng)及邊界網(wǎng)絡(luò)設(shè)備不允許使用默認(rèn)口令，設(shè)置口令必須使用復(fù)雜的密碼規(guī)則，至少8位且包含字母、符號(hào)、數(shù)字3種以上的字符。（2）VLAN及ACL應(yīng)用內(nèi)部網(wǎng)絡(luò)中如果存在不同權(quán)限的用戶(hù)，如工程項(xiàng)目經(jīng)理部網(wǎng)絡(luò)中有分包企業(yè)或監(jiān)理單位等外部人員，需要采取VLAN隔離，并且根據(jù)不同權(quán)限設(shè)置訪(fǎng)問(wèn)控制策略（ACL），限制不同用戶(hù)對(duì)相關(guān)信息資源的訪(fǎng)問(wèn)。2.3WiFi網(wǎng)絡(luò)安全（1）企業(yè)網(wǎng)絡(luò)中原則上不允許架設(shè)無(wú)密碼的WiFi網(wǎng)絡(luò)，如必須架設(shè)無(wú)密碼公開(kāi)WiFi，必須設(shè)置訪(fǎng)問(wèn)控制，不允許這些WiFi網(wǎng)絡(luò)用戶(hù)訪(fǎng)問(wèn)企業(yè)內(nèi)網(wǎng)資源；（2）WiFi網(wǎng)絡(luò)應(yīng)由信息化專(zhuān)業(yè)人員搭建，設(shè)置成WPA2模式的密碼。3.主機(jī)安全3.1系統(tǒng)身份鑒別配置（1）主機(jī)密碼設(shè)置必須符合相關(guān)的安全規(guī)范，至少8位且包含字母、符號(hào)、數(shù)字3種以上的字符；（2）設(shè)置賬戶(hù)鎖定時(shí)間及鎖定閥值對(duì)服務(wù)器登錄進(jìn)行保護(hù)。3.2入侵及惡意代碼防范安裝專(zhuān)門(mén)的入侵防火墻及惡意代碼掃描工具，定期對(duì)服務(wù)器進(jìn)行漏洞掃描。3.3系統(tǒng)補(bǔ)丁更新定期進(jìn)行補(bǔ)丁更新，修補(bǔ)嚴(yán)重的系統(tǒng)漏洞，更新補(bǔ)丁前應(yīng)注意數(shù)據(jù)備份，更新后如出現(xiàn)問(wèn)題應(yīng)當(dāng)及時(shí)回退或者采取補(bǔ)救措施。3.4數(shù)據(jù)備份（1）至少每周備份1次數(shù)據(jù)；（2）備份方式須有2種以上，如本機(jī)備份、介質(zhì)備份（光盤(pán)、U盤(pán)等）。九、軟件系統(tǒng)開(kāi)發(fā)安全1.確定系統(tǒng)的安全類(lèi)別系統(tǒng)開(kāi)發(fā)立項(xiàng)之初應(yīng)按照本標(biāo)準(zhǔn)進(jìn)行安全類(lèi)別劃分，根據(jù)相關(guān)類(lèi)別為軟件系統(tǒng)配置相應(yīng)的軟硬件資源，并實(shí)施相應(yīng)的安全防護(hù)措施。2.軟件開(kāi)發(fā)階段（1）在信息系統(tǒng)的代碼設(shè)計(jì)階段，應(yīng)根據(jù)需求設(shè)計(jì)并實(shí)施安全技術(shù)，對(duì)信息系統(tǒng)開(kāi)發(fā)全過(guò)程進(jìn)行質(zhì)量管理；（2）防止技術(shù)人員故意保留“后門(mén)”，保證系統(tǒng)最終產(chǎn)品的安全性，且應(yīng)在軟件安裝之前檢測(cè)軟件包中可能存在的惡意代碼。3.軟件測(cè)試驗(yàn)收應(yīng)對(duì)系統(tǒng)進(jìn)行安全性測(cè)試驗(yàn)收。十、桌面終端安全1.全生命周期管理按照《辦公電子及網(wǎng)絡(luò)設(shè)備資產(chǎn)管理辦法》由相關(guān)部門(mén)對(duì)桌面終端進(jìn)行全生命周期管理。2.防病毒軟件及補(bǔ)丁更新3.密碼安全防護(hù)（1）桌面終端系統(tǒng)應(yīng)設(shè)置用戶(hù)密碼，密碼設(shè)置必須符合相關(guān)的安全規(guī)范，長(zhǎng)時(shí)間離開(kāi)計(jì)算機(jī)應(yīng)進(jìn)行計(jì)算機(jī)鎖定；（2