信息系統(tǒng)安全管理要求

信息系統(tǒng)安全管理要求TOC\o"1-5"\h\z\o"CurrentDocument"1. 概述 4\o"CurrentDocument"系統(tǒng)安全管理 4\o"CurrentDocument"1.1. 操作系統(tǒng)安全 4\o"CurrentDocument"1.2. 用戶安全 4\o"CurrentDocument"1.3. 服務(wù)器定期巡檢 5\o"CurrentDocument"1.4. 安全監(jiān)控 51.5. 系統(tǒng)安全測試 5\o"CurrentDocument"設(shè)備安全管理 5\o"CurrentDocument"防火墻安裝與維護(hù) 5\o"CurrentDocument"3.2. 防火墻部署策略 6\o"CurrentDocument"3.3. 3.防火墻配置標(biāo)準(zhǔn) 6\o"CurrentDocument"3.4. 其他配置 7\o"CurrentDocument"3.4.1. 日志監(jiān)控 7\o"CurrentDocument"3.4.2. 日志管理 8\o"CurrentDocument"3.4.3. 更新服務(wù) 8\o"CurrentDocument"應(yīng)用安全管理 8\o"CurrentDocument"4.1.概述 8\o"CurrentDocument"4.2.商業(yè)風(fēng)險(xiǎn) 8\o"CurrentDocument"4.3.規(guī)范要素 9\o"CurrentDocument"XSS 9\o"CurrentDocument"4.3.2. 注入式攻擊 9\o"CurrentDocument"InsecureRemoteFileInclude 9\o"CurrentDocument"InsecureDirectObjectReference 9\o"CurrentDocument"CSRF 9\o"CurrentDocument"InformationLeakageandImproperErrorHandling 10\o"CurrentDocument"BrokenAuthenticationandSessionManagement 10\o"CurrentDocument"InsecureCryptographicStorage 10\o"CurrentDocument"4.3.9. 不安全通道 10\o"CurrentDocument"4.3.10.FailuretoRestrictURLAccess URL 10\o"CurrentDocument"數(shù)據(jù)安全管理 11\o"CurrentDocument"日志管理策略 115.1.1. 適用范圍 11\o"CurrentDocument"5.1.2. 日志收集 11\o"CurrentDocument"5.1.3. 日志內(nèi)容要求 12\o"CurrentDocument"5.1.4. 日志審計(jì) 12\o"CurrentDocument"5.2.數(shù)據(jù)管理策略 135.2.1. 策略適用范圍 13\o"CurrentDocument"5.2.2. 數(shù)據(jù)的分類 13\o"CurrentDocument"5.2.3. 隱私數(shù)據(jù)的保存與銷毀政策 135.2.4. 數(shù)據(jù)備份策略 16\o"CurrentDocument"5.2.5. 概述 16\o"CurrentDocument"5.2.6. 數(shù)據(jù)備份的存儲(chǔ)要求 16\o"CurrentDocument"5.2.7. 數(shù)據(jù)備份的使用要求 165.2.8. 數(shù)據(jù)備份的銷毀 16\o"CurrentDocument"應(yīng)急機(jī)制管理 166.1.概述 16\o"CurrentDocument"6.2.組織及分工 17應(yīng)急響應(yīng)組 17應(yīng)急響應(yīng)組職責(zé) 17安全事件的分類 17\o"CurrentDocument"統(tǒng)一應(yīng)急響應(yīng)流程 18事件的識(shí)別 18事件的報(bào)告與發(fā)布 18事故涉及泄密。 19報(bào)告安全事故 19事件的分類 19事件處理流程 19事件分析及總結(jié) 20\o"CurrentDocument"6.4.應(yīng)急響應(yīng)流程測試和培訓(xùn) 20\o"CurrentDocument"6.5.事件后處理及應(yīng)急報(bào)告 206.5.1. 善后處置 20處置評(píng)價(jià)及內(nèi)審 21信息系統(tǒng)的安全管理是工程化的系統(tǒng)課題，隨科技的發(fā)展快速更替方案和工具。本文主要從信息系統(tǒng)安全管理最重要的幾個(gè)方面，分別介紹詳細(xì)的安全管理，管控和應(yīng)用的相關(guān)措施和方案。系統(tǒng)安全管理1.1.操作系統(tǒng)安全在保證硬件設(shè)施穩(wěn)定運(yùn)行的同時(shí)，系統(tǒng)本身的清潔高效是我們追求的目標(biāo)。信息安全部門或系統(tǒng)工程師必須更新系統(tǒng)供應(yīng)商30天之內(nèi)發(fā)布的所有安全補(bǔ)丁，熱修復(fù)程序和ServicePack。訂閱Microsoft的安全報(bào)告，定期更新安全補(bǔ)?。恐?次）升級(jí)Linux服務(wù)器的內(nèi)核版本，彌補(bǔ)系統(tǒng)漏洞調(diào)試完成流量監(jiān)控服務(wù)器，監(jiān)控整個(gè)網(wǎng)絡(luò)內(nèi)時(shí)事數(shù)據(jù)流量安裝防病毒軟件，集中管理病毒庫，保證病毒庫版本的實(shí)時(shí)性A在本地服務(wù)器上運(yùn)行測試完畢后，再更新生產(chǎn)環(huán)境的程序上傳ftp使用完畢后，關(guān)閉ftp服務(wù)定期重啟服務(wù)器合理配置iis的安全卡數(shù)據(jù)交易、后臺(tái)服務(wù)器屬專用服務(wù)器，不得做其它用途每周定期分析服務(wù)器日志，發(fā)現(xiàn)問題及早處理在公司內(nèi)部服務(wù)器和托管機(jī)房服務(wù)器中運(yùn)行監(jiān)控程序，遇到突發(fā)問題，將有短消息發(fā)送至相映責(zé)任人手機(jī)訂閱安全警報(bào)郵件，及時(shí)發(fā)現(xiàn)和彌補(bǔ)最新的漏洞和潛在攻擊行為系統(tǒng)所有組件包括無線進(jìn)行掃描（至少每個(gè)季度一次）1.2.用戶安全提高個(gè)人安全意識(shí)，增強(qiáng)對(duì)個(gè)人pc的安全控制定期更改服務(wù)器口令，并且對(duì)口令強(qiáng)度進(jìn)行嚴(yán)格要求，在服務(wù)器安全策略中設(shè)置強(qiáng)制每3個(gè)月，必須更改Administrator口令，并且修改口令不能和前四次的密碼相同。Linuxroot口令也制定策略，定期更改。并且口令必須滿足實(shí)現(xiàn)訂立的規(guī)則，是字母加數(shù)字加字符形的?？诹钣袑ｉT人員保管，需要登陸或者使用服務(wù)器的員工，一般給予user的權(quán)限。在防火墻和服務(wù)器上記錄用戶登錄信息各類登錄工具，ftp工具應(yīng)用。我們?cè)诜阑饓χ嗅槍?duì)公司ip地址，并且在防火墻訪問日志中進(jìn)行記錄。其他所有ip地址，所有端口都不允許通過遠(yuǎn)處登陸工具和FTP上傳下載服務(wù)。阻止服務(wù)器端對(duì)外部Internet的訪問超級(jí)用戶以及root口令專人管理給每一個(gè)用戶分配唯一的ID統(tǒng)一管理，并且記錄每次登陸和操作日值?及時(shí)停止離職人員的用戶及其權(quán)限對(duì)個(gè)人電腦安裝防病毒和防火墻軟件，杜絕從個(gè)人電腦信息泄密，造成的口令丟失密碼輸入錯(cuò)誤并鎖定，至少鎖定時(shí)間30分鐘以后進(jìn)行重置密碼。會(huì)話的空閑狀態(tài)超時(shí)時(shí)間至少設(shè)置為15分鐘1.3.服務(wù)器定期巡檢每天針對(duì)核心應(yīng)用服務(wù)器遠(yuǎn)程登錄進(jìn)行檢查每周對(duì)服務(wù)器進(jìn)行一次全面的實(shí)地巡檢每月對(duì)服務(wù)器進(jìn)行一次全面的實(shí)地巡檢>每季度由真如工程師陪同做服務(wù)器和數(shù)據(jù)庫的季度巡檢1.4.安全監(jiān)控建立監(jiān)控服務(wù)器，對(duì)支付頁面和數(shù)據(jù)庫鏈接進(jìn)行監(jiān)控，發(fā)現(xiàn)問題短消息通知相關(guān)人員客服人員一旦發(fā)現(xiàn)客戶問題，及時(shí)處理。如果判斷為系統(tǒng)故障和網(wǎng)絡(luò)問題，及時(shí)通知相關(guān)技術(shù)人員，隨時(shí)處理。1.5.系統(tǒng)安全測試對(duì)所有系統(tǒng)組件進(jìn)行定期的內(nèi)外部漏洞掃描（至少每季度一次）并檢查每季度的掃描合規(guī)結(jié)果。對(duì)所有系統(tǒng)組件進(jìn)行定期應(yīng)用層和網(wǎng)絡(luò)層的滲透測試（至少每年一次）并檢查每年的滲透測試合格結(jié)果。設(shè)備安全管理防火墻安裝與維護(hù)安裝：按照cisco、juniper防火墻手冊(cè)進(jìn)行標(biāo)準(zhǔn)安裝配置。可參考CIS文檔：初始密碼更改：設(shè)備初始密碼必須更改。（密碼必須符合密碼更改標(biāo)準(zhǔn)，即8位數(shù)字、字母和特殊符號(hào)混合的強(qiáng)密碼）。防火墻的管理和維護(hù)防火墻統(tǒng)一存放在專用機(jī)柜中，由系統(tǒng)工程師負(fù)責(zé)維護(hù)。職責(zé)描述：網(wǎng)絡(luò)設(shè)備是整個(gè)網(wǎng)絡(luò)運(yùn)轉(zhuǎn)的核心，系統(tǒng)工程師必須保證網(wǎng)絡(luò)交換機(jī)、防火墻等主干設(shè)備的正常運(yùn)轉(zhuǎn)。任何人不得改動(dòng)設(shè)備配置，為了保證特殊情況下的接管工作，系統(tǒng)工程師必須做好網(wǎng)絡(luò)設(shè)備的配置記錄，紀(jì)錄對(duì)每次的配置更改，并備份設(shè)備的配置文檔，記錄配置時(shí)間。對(duì)防火墻的操作分為管理，審核，操作人員。有關(guān)防火墻的所有變更必須遵從《防火墻策略變更流程》＆《防火墻配置標(biāo)準(zhǔn)》。對(duì)防火墻的變更包括（但不限于）：防火墻規(guī)則的添加、刪除和修改。防火墻軟件或系統(tǒng)配置變更。防火墻軟件或系統(tǒng)的更新、升級(jí)或打補(bǔ)丁。防火墻策略變更后，及時(shí)保存配置3.2.防火墻部署策略2.1當(dāng)行為和要求不一致時(shí)，請(qǐng)檢查防火墻配置。2.2只允許可以允許的客戶、源地址、目的地和協(xié)議。仔細(xì)的檢查每一條規(guī)則，看規(guī)則的元素是否和所需要的一致，盡量避免使用拒絕規(guī)則。針對(duì)相同用戶或含有相同用戶子集的訪問規(guī)則，拒絕的規(guī)則一定要放在允許的規(guī)則2.4當(dāng)需要使用拒絕時(shí)，顯式拒絕是首要考慮的方式。2.5在不影響防火墻策略執(zhí)行效果的情況下，請(qǐng)將匹配度更高的規(guī)則放在前面。2.6在不影響防火墻策略執(zhí)行效果的情況下，請(qǐng)將針對(duì)所有用戶的規(guī)則放在前面。2.7盡量簡化規(guī)則，提高效率。禁止使用AllowALL規(guī)則（Allowallusersuseallprotocolsfromallnetworkstoallnetworks）。2.9可以通過配置系統(tǒng)策略來實(shí)現(xiàn)，就不再建立自定義規(guī)則。2.10每條訪問規(guī)則都是獨(dú)立的，執(zhí)行每條訪問規(guī)則時(shí)不會(huì)受到其他訪問規(guī)則的影響。2.11禁止允許任何網(wǎng)絡(luò)訪問所有協(xié)議，內(nèi)部網(wǎng)絡(luò)也是不可信的。2.12無論作為訪問規(guī)則中的目的還是源，最好使用IP地址。2.13如果在訪問規(guī)則中使用域名集或URL集，需將客戶配置為Web代理客戶。2.15新增防火墻策略必需經(jīng)過測試。3.3.3.防火墻配置標(biāo)準(zhǔn)3.1嚴(yán)格執(zhí)行防火墻變更流程。3.2源地址：特殊用戶&指定用戶必須指定ip地址或ip地址范圍?禁止使用All（內(nèi)->外）3.3禁止Internet的出站和入站，與持卡人數(shù)據(jù)相關(guān)的環(huán)境直接通信連接3.4禁止內(nèi)部地址通過Internet訪問DMZ區(qū)域3.5持卡人相關(guān)的環(huán)境訪問Internet區(qū)域，必須有明確的業(yè)務(wù)需求和管理層授權(quán)3.6禁止任何的私有地址和路由信息被顯示在公網(wǎng)上用戶策略3.7所有用戶的初始密碼必須修改，用戶密碼必須符合密碼更改標(biāo)準(zhǔn)（密碼必須符合密碼更改標(biāo)準(zhǔn)，即8位數(shù)字、字母和特殊符號(hào)混合的強(qiáng)密碼）。3.8日常維護(hù)使用只讀賬號(hào)，策略變更或防火墻重啟等重大操作使用管理員賬戶。管理員賬號(hào)必須是唯一的，新建賬號(hào)只能是只讀賬號(hào)。管理策略3.11限制防火墻只允許公司ip地址訪問3.12開啟防火墻的網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）功能，開啟dynamicpacketfiltering功能，保護(hù)內(nèi)部網(wǎng)絡(luò)地址。3.13防火墻必須配置并啟用e-mail報(bào)警機(jī)制&啟用事件日志&配置并啟用syslog3.14監(jiān)控防火墻網(wǎng)絡(luò)流量，啟用SNMP陷阱3.15在防火墻中對(duì)多種攻擊形式設(shè)置報(bào)警機(jī)制和丟棄響應(yīng)機(jī)制3.16定期審查防火墻日志,監(jiān)控防火墻日常運(yùn)轉(zhuǎn).3.17在防火墻日志管理界面，設(shè)置日志服務(wù)器地址，日志級(jí)別為事件級(jí)3.18若防火墻配置改變，必須備份防火墻配置。3.19定期檢查防火墻策略，確保所有策略全部登記在案信息安全控制組應(yīng)該每月復(fù)查一次防火墻規(guī)則，檢查的結(jié)果應(yīng)該記錄在案。檢查的范圍應(yīng)該包括規(guī)則的刪除，訪問路徑的修改等。檢查后提出的修改建議在實(shí)施之前，應(yīng)該遵循IT配置變更管理流程。3.20定期更改防火墻用戶密碼（每月/次），密碼必須符合密碼更改標(biāo)準(zhǔn)3.21針對(duì)攻擊和可疑ip及早采取響應(yīng)措施3.22防火墻時(shí)間服務(wù)器設(shè)置成內(nèi)部服務(wù)器地址3.23防火墻的安全管理。設(shè)置所有區(qū)段禁止telnet，http協(xié)議的登錄訪問，只開通https和ssh管理方式3.24維護(hù)最新的網(wǎng)絡(luò)TOP，連接持卡人數(shù)據(jù)的網(wǎng)絡(luò)Top圖發(fā)生變化需要更新到當(dāng)前版本。附：防火墻策略變更流程其他配置3.4.1.日志監(jiān)控每天由網(wǎng)絡(luò)工程師登陸日志集中管理服務(wù)頁面查看日志3.4.2.日志管理發(fā)現(xiàn)可疑訪問和攻擊行為，工程師分析攻擊行為的危害，并且及時(shí)排除，上報(bào)到部門主管，告知事件和解決辦法。發(fā)現(xiàn)已經(jīng)被入侵時(shí)，上報(bào)公司相關(guān)主管和風(fēng)險(xiǎn)控制部門。3.4.3.更新服務(wù)編制更新策略，每周定期更新應(yīng)用安全管理4.1.概述隨著Web應(yīng)用程序的增多，隨之而來的就是這些Web應(yīng)用程序所帶來的安全漏洞。不遵從規(guī)范化的編碼指導(dǎo)，會(huì)使企業(yè)、員工以及企業(yè)的客戶面對(duì)嚴(yán)重的安全風(fēng)險(xiǎn)，遭到各種惡意攻擊。OpenWebApplicationSecurityProject（開放式Web應(yīng)用程序安全項(xiàng)目，OWASP）10要素，以及OWASP建議大家在軟件開發(fā)生命周期中應(yīng)該嵌入的標(biāo)準(zhǔn)化方法。根據(jù)OWAPS（開放式Web應(yīng)用程序安全項(xiàng)目）10要素進(jìn)行安全管理和應(yīng)用落地，要的所有對(duì)外開放系統(tǒng)遵循應(yīng)用安全管理規(guī)則。4.2.商業(yè)風(fēng)險(xiǎn)現(xiàn)在的企業(yè)都在向客戶提供通過瀏覽器訪問企業(yè)信息的功能，同時(shí)集成Web服務(wù)的應(yīng)用程序也越來越多，這些都導(dǎo)致企業(yè)所面臨的風(fēng)險(xiǎn)不斷增加。這并不代表開發(fā)人員沒有認(rèn)真的對(duì)待程序開發(fā)工作，只是當(dāng)Web應(yīng)用程序的數(shù)量越來越多，其潛在的隱患也會(huì)越來越頻繁的暴露在互聯(lián)網(wǎng)下。根據(jù)OWASP的觀點(diǎn)：''當(dāng)企業(yè)發(fā)布了一個(gè)Web應(yīng)用程序，它們就是在邀請(qǐng)全球的網(wǎng)民向其發(fā)送HTTP請(qǐng)求。而攻擊內(nèi)容也可以隨著這些正常的HTTP請(qǐng)求穿過防火墻，過濾系統(tǒng)，系統(tǒng)平臺(tái)上的安全措施以及網(wǎng)絡(luò)中的入侵檢測系統(tǒng)，而不被企業(yè)所發(fā)現(xiàn)。這意味著企業(yè)的Web應(yīng)用程序代碼本身就是企業(yè)安全圍墻的一部分。隨著企業(yè)所采用的Web應(yīng)用程序數(shù)量和復(fù)雜度的增加，企業(yè)的安全圍墻將更多的暴露在網(wǎng)絡(luò)中?！蹦壳?，企業(yè)所開發(fā)的很多新應(yīng)用程序都是Web應(yīng)用程序。另外，Web服務(wù)也越來越頻繁的被用來集成Web應(yīng)用程序或與Web應(yīng)用程序進(jìn)行交互。所帶來的問題就是，Web應(yīng)用程序和服務(wù)的增長已經(jīng)超越了程序開發(fā)人員所接受的安全培訓(xùn)以及安全意識(shí)的范圍。隨著存在安全隱患的Web應(yīng)用程序數(shù)量的增長，OWASP也總結(jié)出了Web應(yīng)用程序的十大脆弱點(diǎn)。在這個(gè)10要素列表中，不但包括了Web應(yīng)用程序的脆弱性介紹，還包括了OWASP的建議內(nèi)容，幫助程序開發(fā)人員和企業(yè)盡量避免這些脆弱點(diǎn)給企業(yè)系統(tǒng)帶來的風(fēng)險(xiǎn)。OWASP10要素中還包括了一個(gè)指南，幫助企業(yè)決定該如何向客戶提供信息。比如聯(lián)邦貿(mào)易委員會(huì)(FTC)就在2003年1月的商業(yè)案例文檔中將這個(gè)列表作為了信息安全的參考內(nèi)容。同年，F(xiàn)TC還將OWASP10要素列表作為指控Guess公司沒有盡力做好客戶的信息安全保護(hù)工作的參考資料。規(guī)范要素XSSA1、CrossSiteScripting(XSS)Flaws跨站點(diǎn)腳本攻擊 XSS是一種常見的攻擊。當(dāng)攻擊腳本被嵌入企業(yè)的Web頁面或其它可以訪問的Web資源中，當(dāng)沒有保護(hù)能力的臺(tái)式機(jī)訪問這個(gè)頁面或資源時(shí)，腳本就會(huì)被啟動(dòng)。這種問題可以影響成百上千的員工以及企業(yè)客戶的終端電腦。注入式攻擊A2、InjectionFlaws注入式攻擊——如果沒有成功的阻止帶有語法含義的輸入內(nèi)容，有可能導(dǎo)致對(duì)數(shù)據(jù)庫信息的非法訪問。比如在Web表單中輸入的內(nèi)容，應(yīng)該保持簡單，并且不應(yīng)該還有可被執(zhí)行的代碼內(nèi)容。InsecureRemoteFileIncludeA3、InsecureRemoteFileInclude不安全的遠(yuǎn)程文件包含--對(duì)遠(yuǎn)程文件包含易感的代碼允許攻擊者包含進(jìn)入惡意的代碼和數(shù)據(jù)，最后導(dǎo)致破壞性攻擊，比如，服務(wù)器被完全攻陷。InsecureDirectObjectReferenceA4、InsecureDirectObjectReference不安全的直接對(duì)象引用—當(dāng)開發(fā)者暴露一個(gè)對(duì)內(nèi)部對(duì)象的引用時(shí)，直接對(duì)象引用發(fā)出。象：文件、目錄、數(shù)據(jù)記錄、Key、URL或者Form參數(shù)，攻擊者可能未經(jīng)授權(quán)操縱直接引用對(duì)象，除非適當(dāng)采取了存取控制控制。CSRFA5、CrossSiteRequestForgery(CSRF跨站請(qǐng)求偽造一 跨站請(qǐng)求偽造不是一個(gè)新的攻擊，但它確是簡單而災(zāi)難性的。一個(gè)跨站請(qǐng)求偽造攻擊強(qiáng)制受害者的browser發(fā)送一個(gè)請(qǐng)求到易受攻擊的Web應(yīng)用，這個(gè)應(yīng)用不執(zhí)行受害者行為而執(zhí)行偽造了的行為。InformationLeakageandImproperErrorHandlingA6、InformationLeakageandImproperErrorHandling信息泄漏和異常錯(cuò)誤處理—一些應(yīng)用程序問題可能導(dǎo)致應(yīng)用不經(jīng)意間泄漏它們的配置、內(nèi)部工作等。應(yīng)用也可能通過它們執(zhí)行特定的操作時(shí)間或者對(duì)不同輸入的響應(yīng)而泄漏一些內(nèi)部的東西，象不同的錯(cuò)誤代碼確顯示同樣的錯(cuò)誤內(nèi)容。BrokenAuthenticationandSessionManagementA7、BrokenAuthenticationandSessionManagement失效的賬戶和線程管理——良好的訪問控制并不代表萬事大吉了。企業(yè)還應(yīng)該保護(hù)用戶的密碼，會(huì)話令牌，賬戶列表以及其它任何可以給攻擊者提供有利信息幫助他們攻擊企業(yè)網(wǎng)絡(luò)的內(nèi)容。InsecureCryptographicStorageA8、InsecureCryptographicStorage不安全的加密存儲(chǔ) 對(duì)于Web應(yīng)用程序來說妥善的保存密碼，用戶名，以及其它與身份驗(yàn)證有關(guān)的信息是非常重要的工作。對(duì)這些信息進(jìn)行加密是非常有效的方式，但是一些企業(yè)會(huì)采用那些未經(jīng)實(shí)踐驗(yàn)證的加密解決方案，其中就可能存在漏洞。4.3.9.不安全通道A9、InsecureCommunications不安全的通信 保護(hù)敏感通信非常必要，應(yīng)用頻繁失敗加密網(wǎng)絡(luò)傳輸。所有的認(rèn)證連接不是后臺(tái)連接必須加密 （通常SSL），特別是存取Internet的Web頁面。否則，應(yīng)用將暴露認(rèn)證或者Sessiontoken。另外，象信用卡或者健康等敏感數(shù)據(jù)無論何時(shí)傳輸時(shí)都要進(jìn)行加密。4.3.10.FailuretoRestrictURLAccessURLA10、FailuretoRestrictURLAccessURL訪問限制失敗----通常，對(duì)URL的保護(hù)僅僅是不顯現(xiàn)給未受權(quán)的用戶。但，一個(gè)故意的、有技巧的用戶很容易找到這樣的URL并存取這些頁，調(diào)用函數(shù)并看數(shù)據(jù)。在應(yīng)用程序中不清晰的安全是不足以保護(hù)敏感函數(shù)與數(shù)據(jù)的。請(qǐng)求對(duì)敏感函數(shù)的調(diào)用之前必須執(zhí)行存取控制檢查，以保證用戶被受權(quán)去存取那些函數(shù)。

數(shù)據(jù)安全管理本管理策略主要用于指導(dǎo)及規(guī)范涉及互聯(lián)網(wǎng)業(yè)務(wù)的所有日志的收集、審計(jì)以及相應(yīng)數(shù)據(jù)的保存與銷毀的操作。策略主要用來保護(hù)公司賴以生存的信息資產(chǎn)安全。所有的員工均需嚴(yán)格遵守該策略中的規(guī)定。公司將根據(jù)自身業(yè)務(wù)的發(fā)展需求，持續(xù)更新完善此管理策略。本規(guī)定參照支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)（PCIDSS）制定。支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)（PCIDSS）程序是由信用卡組織制定的一套法定的安全標(biāo)準(zhǔn)，它的作用為保證各商家和服務(wù)商具有一套完備統(tǒng)一的方法來保護(hù)各個(gè)卡種的持卡人的信息安全。PCI數(shù)據(jù)安全標(biāo)準(zhǔn)適用于所有保存、處理或傳遞持卡人信息的支付卡系統(tǒng)、商家和服務(wù)商；適用于所有信用卡使用方式，不論是手動(dòng)刷卡還是網(wǎng)上使用。即使最嚴(yán)格的細(xì)則也適用于網(wǎng)上進(jìn)行信用卡交易的電子商務(wù)網(wǎng)站和POS零售系統(tǒng)。日志管理策略5.1.1.適用范圍5.1.1.適用范圍所有用戶、管理員、應(yīng)用程序和系統(tǒng)的日志管理過程都必須遵守該策略，除非事先得到系統(tǒng)運(yùn)營團(tuán)隊(duì)主管的批準(zhǔn)或書面許可。5.1.2.日志收集公司的所有的網(wǎng)絡(luò)安全設(shè)備以及應(yīng)用系統(tǒng)組件都必須打開日志自動(dòng)審計(jì)功能以記錄日志，對(duì)于關(guān)鍵的業(yè)務(wù)系統(tǒng)必須將日志記錄到統(tǒng)一的日志記錄服務(wù)器上，并聯(lián)機(jī)至少保存3個(gè)月脫機(jī)至少保存1年。以下的行為是日志必須記錄的：非法的網(wǎng)絡(luò)訪問。網(wǎng)絡(luò)IP地址的成功分配和釋放>所有用戶對(duì)持卡人數(shù)據(jù)的訪問。任何用戶或管理員的登錄認(rèn)證嘗試（包括成功的和不成功的）所有的系統(tǒng)管理行為以及超過普通用戶權(quán)限的操作：（如：root,具有管理組權(quán)限的userid,oracle）。對(duì)未在例外中列出的系統(tǒng)和系統(tǒng)中受保護(hù)的資源的每個(gè)成功的或失敗的訪問。對(duì)數(shù)據(jù)庫的讀寫操作。對(duì)的審計(jì)日志文件的訪問。認(rèn)證和授權(quán)機(jī)制的使用。創(chuàng)建或刪除系統(tǒng)級(jí)對(duì)象（如可執(zhí)行文件，庫文件或動(dòng)態(tài)庫文件，配置文件，驅(qū)動(dòng)程序等）。改變系統(tǒng)級(jí)對(duì)象安全狀態(tài)的命令。系統(tǒng)重啟以及日志文件的初始化。5.1.3.日志內(nèi)容要求所有記錄的日志必須能夠有效的描述所記錄的事件，日志應(yīng)該包含以下要素：進(jìn)程或用戶標(biāo)識(shí)事件的類型事件發(fā)生的日期和時(shí)間事件源源發(fā)地址和目的地址影響到的數(shù)據(jù)，系統(tǒng)組件或資源的名稱事件結(jié)果（針對(duì)該事件系統(tǒng)采取的措施）5.1.4.日志審計(jì)對(duì)于網(wǎng)絡(luò)安全設(shè)備所產(chǎn)生的安全日志以及所有的反病毒軟件在監(jiān)測到有病毒的時(shí)候所產(chǎn)生的日志，系統(tǒng)運(yùn)營團(tuán)隊(duì)必須24小時(shí)不間斷監(jiān)測，一旦發(fā)現(xiàn)有可能引起安全問題的事件，應(yīng)及時(shí)按照公司應(yīng)急響應(yīng)方案及流程中的規(guī)定采取相應(yīng)的措施。對(duì)于業(yè)務(wù)系統(tǒng)所產(chǎn)生的事件日志，必須集中存放在一個(gè)受到保護(hù)的地點(diǎn)或介質(zhì)中，存放地點(diǎn)或介質(zhì)未經(jīng)授權(quán)不得存取，日志內(nèi)容不得受到非授權(quán)更改。只有在必須情況下才允許查閱這些日志。日志必須有文檔完整性監(jiān)測系統(tǒng)（FIM）的保護(hù)，一旦發(fā)現(xiàn)未經(jīng)授權(quán)的訪問，監(jiān)測系統(tǒng)立即發(fā)送報(bào)警信息給系統(tǒng)運(yùn)營團(tuán)隊(duì)。信息系統(tǒng)安全管理要求數(shù)據(jù)管理策略5.2.1.策略適用范5.2.1.策略適用范本策略適用于所有公司業(yè)務(wù)系統(tǒng)涉及的數(shù)據(jù)管理過程，包括數(shù)據(jù)的保存、備份和清除的操作。除非事先征得系統(tǒng)運(yùn)營團(tuán)隊(duì)主管的批準(zhǔn)，否則任何人不得例外。5.2.2.數(shù)據(jù)的分類數(shù)據(jù)按照安全級(jí)別可分為機(jī)密級(jí)、敏感級(jí)、私密級(jí)和公開級(jí)（具體分級(jí)標(biāo)準(zhǔn)請(qǐng)參照公司人員管理與訪問控制策略）。按照數(shù)據(jù)存儲(chǔ)的介質(zhì)不同可分為紙質(zhì)文檔和電子數(shù)據(jù)。5.2.3. 隱私數(shù)據(jù)的保存與銷毀政策概述所謂的隱私數(shù)據(jù)是指由公司系統(tǒng)運(yùn)營團(tuán)隊(duì)標(biāo)定為機(jī)密級(jí)和敏感級(jí)的數(shù)據(jù)，這些數(shù)據(jù)可能是紙質(zhì)的文檔也可能是電子數(shù)據(jù)。.隱私數(shù)據(jù)的保存要求所有敏感級(jí)和機(jī)密級(jí)數(shù)據(jù)的保留，不論保存在何處，數(shù)據(jù)的保留必須是符合法律、法規(guī)和商業(yè)條款的要求。數(shù)據(jù)保留的期限原則上由數(shù)據(jù)創(chuàng)建者或系統(tǒng)管理員設(shè)定，但是一些特定的數(shù)據(jù)必須遵循以下的規(guī)定：所有關(guān)鍵業(yè)務(wù)系統(tǒng)和網(wǎng)絡(luò)設(shè)備的審計(jì)日志數(shù)據(jù)必須在設(shè)備上動(dòng)態(tài)保存至少90天以上，日志的備份數(shù)據(jù)必須保留一年以上。用來進(jìn)行單筆交易的持卡人數(shù)據(jù)（不管是紙質(zhì)文檔還是電子數(shù)據(jù)）保存時(shí)間不能超過120天。需多次用來交易的持卡人數(shù)據(jù)在公司客戶帳號(hào)使用期間可以保存。一旦客戶帳號(hào)被中止或終止，30天內(nèi)該帳戶的所有持卡人數(shù)據(jù)都會(huì)以本策略許可的方式銷毀。持卡人的交易信息，包括信用卡磁道信息、CVV2、PIN數(shù)據(jù)，僅在交易授權(quán)完成前允許保留。禁止在授權(quán)完成后保存持卡人的授權(quán)數(shù)據(jù)。.隱私數(shù)據(jù)保存安全要求所有用于保存隱私數(shù)據(jù)的介質(zhì)（包括紙質(zhì)和電子介質(zhì)）都必須以安全的方式進(jìn)行保存。在所有的安全介質(zhì)存儲(chǔ)地點(diǎn)必須有介質(zhì)保存日志（見附錄A）。所有存儲(chǔ)的含有機(jī)密級(jí)或敏感信息的電子介質(zhì)或紙質(zhì)資料必須每季度或更短時(shí)間內(nèi)由系統(tǒng)運(yùn)營團(tuán)隊(duì)進(jìn)行一次檢查。檢查時(shí)必須對(duì)保存機(jī)制的安全控制機(jī)制進(jìn)行檢查。檢查完成庫存后必須更新介質(zhì)保存日志。.數(shù)據(jù)的物理安全要求保存有敏感或機(jī)密級(jí)信息的紙質(zhì)和電子文檔都必須采用相應(yīng)的物理訪問控制措施進(jìn)行保護(hù)。敏感區(qū)域必須裝有攝像頭監(jiān)控。除非法律要求，獲取的監(jiān)控?cái)?shù)據(jù)必須保存三個(gè)月以上。存有機(jī)密級(jí)或敏感信息的各個(gè)系統(tǒng)必須設(shè)有相應(yīng)裝置（采取物理訪問控制措施）以限制和監(jiān)控對(duì)此類設(shè)施/系統(tǒng)的物理訪問。除非法律要求，進(jìn)入各個(gè)系統(tǒng)的訪問日志和審核記錄都必須搜集并保存三個(gè)月以上。紙質(zhì)介質(zhì)的保存要求含有敏感級(jí)或機(jī)密級(jí)信息的紙質(zhì)介質(zhì)（如，收據(jù)、紙質(zhì)報(bào)告、傳真等）必須遵循以下存儲(chǔ)原則：含有敏感或機(jī)密級(jí)信息的打印報(bào)告不得帶出公司安全辦公環(huán)境；除非事先獲得系統(tǒng)運(yùn)營團(tuán)隊(duì)授權(quán)，任何含有敏感或機(jī)密級(jí)信息的紙質(zhì)材料不得帶出公司數(shù)據(jù)中心機(jī)房；含有消費(fèi)者機(jī)密級(jí)或敏感數(shù)據(jù)的打印或存檔，只限于在系統(tǒng)運(yùn)營團(tuán)隊(duì)認(rèn)定的必要的可用時(shí)間段內(nèi)在公司辦公環(huán)境的安全區(qū)域內(nèi)使用；所有含有機(jī)密級(jí)或敏感信息的紙質(zhì)資料上必須明確貼上相應(yīng)標(biāo)簽；所有機(jī)密級(jí)或敏感紙質(zhì)資料必須鎖藏在系統(tǒng)運(yùn)營團(tuán)隊(duì)批準(zhǔn)的安全的貯器（如，密碼箱、貯柜、貯屜、貯箱）中；機(jī)密級(jí)或敏感的紙質(zhì)資料不得保存在未加鎖或不安全的貯器或者開放的辦公區(qū)域。電子介質(zhì)的保存要求保存有機(jī)密級(jí)或敏感信息的電子存儲(chǔ)（如，CD、DVD、U盤、硬盤）介質(zhì)必須遵循以下原則：系統(tǒng)運(yùn)營團(tuán)隊(duì)未授權(quán)情況下，機(jī)密級(jí)或敏感信息禁止復(fù)制到可移動(dòng)介質(zhì)介質(zhì)上;除非計(jì)算機(jī)系統(tǒng)備份外，含有機(jī)密級(jí)或敏感信息的電子介質(zhì)不得帶出公司的安全辦公環(huán)境；除非事先獲得系統(tǒng)運(yùn)營團(tuán)隊(duì)授權(quán)，含有機(jī)密級(jí)或敏感信息的電子媒介不得帶離公司數(shù)據(jù)中心或機(jī)房中；含有消費(fèi)者機(jī)密級(jí)或敏感數(shù)據(jù)的電子介質(zhì)的獲取或保存，只限于在系統(tǒng)運(yùn)營團(tuán)隊(duì)認(rèn)定的必要的可用時(shí)間段內(nèi)在公司辦公環(huán)境的安全區(qū)域內(nèi)使用；所有含有機(jī)密級(jí)或敏感信息的電子介質(zhì)必須明確貼上相應(yīng)標(biāo)簽；>所有存儲(chǔ)介質(zhì)必須以確保安全的快遞方式或其它方式進(jìn)行發(fā)送或運(yùn)輸，所用方式須經(jīng)系統(tǒng)運(yùn)營團(tuán)隊(duì)批準(zhǔn)，并且可以準(zhǔn)確無誤地跟蹤查詢。.隱私數(shù)據(jù)的清除要求在法律或業(yè)務(wù)需求規(guī)定不再要求保留數(shù)據(jù)時(shí)，所有機(jī)密級(jí)或敏感級(jí)電子數(shù)據(jù)必須按照本策略許可的方式進(jìn)行銷毀。本要求適用于所有保存在各個(gè)系統(tǒng)和臨時(shí)性文件或存儲(chǔ)性媒介中的數(shù)據(jù)。.隱私數(shù)據(jù)清除方式對(duì)于超過保留期限的敏感級(jí)和機(jī)密級(jí)數(shù)據(jù)，每晚在持卡人信息系統(tǒng)會(huì)執(zhí)行一個(gè)自動(dòng)程序進(jìn)行銷毀。其它保存在文件和目錄中的應(yīng)用數(shù)據(jù)，必須用系統(tǒng)運(yùn)營團(tuán)隊(duì)批準(zhǔn)的擦除工具安全刪除。以下存儲(chǔ)有超過保留期限的機(jī)密級(jí)或敏感級(jí)數(shù)據(jù)的媒介必須按安全方式處理：硬盤：內(nèi)容清洗（用二進(jìn)制數(shù)據(jù)清洗7遍）、消磁、粉碎硬盤；軟盤：拆散、焚燒、粉碎或溶化；U盤、智能卡、數(shù)字介質(zhì)：焚燒、粉碎或溶化；光盤（CD和VCD：表面破壞、焚燒、粉碎或溶化；紙質(zhì)的文檔資料應(yīng)該由管理員使用專用的碎紙機(jī)切碎。計(jì)算機(jī)或通信設(shè)備折舊換新、維修處置前，所有機(jī)密級(jí)或敏感級(jí)信息必須按本策略許可的方式銷毀或者隱藏。移動(dòng)存儲(chǔ)媒介如軟盤、光盤或磁帶不能捐獻(xiàn)或作其它重復(fù)利用。對(duì)于公司自己技術(shù)無法銷毀的介質(zhì)應(yīng)在與具有銷毀認(rèn)證資質(zhì)的專業(yè)廠商簽訂銷毀協(xié)議后交給該廠商銷毀處理。5.2.4.數(shù)據(jù)備份策略5.2.5.概述5.2.5.概述為維護(hù)公司的業(yè)務(wù)正常運(yùn)轉(zhuǎn)，并應(yīng)對(duì)突發(fā)情況，管理員有義務(wù)在系統(tǒng)運(yùn)營團(tuán)隊(duì)門核準(zhǔn)后對(duì)自己管轄范圍內(nèi)的系統(tǒng)、應(yīng)用程序以及各種數(shù)據(jù)利用介質(zhì)（電子或紙質(zhì)）進(jìn)行備份。公司所有備份數(shù)據(jù)的操作均需遵守此策略。5.2.6.數(shù)據(jù)備份的存儲(chǔ)要求所有的數(shù)據(jù)備份介質(zhì)都必須安置到安全的離站儲(chǔ)存地點(diǎn)。這些備份介質(zhì)的存儲(chǔ)地點(diǎn)必須至少每年一次由管理人員或系統(tǒng)運(yùn)營團(tuán)隊(duì)的成員確認(rèn)是是在安全的保護(hù)狀態(tài)下（物理安全、防火安全等）。所有的數(shù)據(jù)在備份前應(yīng)由系統(tǒng)運(yùn)營團(tuán)隊(duì)對(duì)數(shù)據(jù)的安全級(jí)別進(jìn)行分級(jí)（具體分級(jí)標(biāo)準(zhǔn)請(qǐng)參照公司人員管理與訪問控制策略）并對(duì)備份介質(zhì)進(jìn)行標(biāo)識(shí)。系統(tǒng)運(yùn)營團(tuán)隊(duì)每季度必須對(duì)數(shù)據(jù)備份進(jìn)行一次核查，并對(duì)比介質(zhì)保存記錄（參見附錄）。數(shù)據(jù)備份的使用要求除非在必須并經(jīng)系統(tǒng)運(yùn)營團(tuán)隊(duì)核準(zhǔn)的情況下，數(shù)據(jù)備份才可以被使用。只有公司技術(shù)人員和負(fù)責(zé)儲(chǔ)存設(shè)施的人員才能訪問數(shù)據(jù)備份介質(zhì)。所有的備份數(shù)據(jù)在使用時(shí)都應(yīng)有明確的使用記錄。所有備份數(shù)據(jù)的介質(zhì)從一個(gè)地點(diǎn)傳送到另一個(gè)地點(diǎn)都應(yīng)記錄，這些記錄包括：誰，從哪里，是否收到，管理層的簽名等要素。數(shù)據(jù)備份的銷毀所有不再需要或已失效的備份數(shù)據(jù)存儲(chǔ)介質(zhì)必須予以銷毀或使之無法被讀取，保證任何數(shù)據(jù)都不會(huì)被提取。數(shù)據(jù)的合理銷毀技巧請(qǐng)參照隱私數(shù)據(jù)的清除要求。應(yīng)急機(jī)制管理6.1.概述為適應(yīng)發(fā)展需要，提高應(yīng)對(duì)突發(fā)事件的能力，保證系統(tǒng)能夠在發(fā)生突發(fā)事件的情況下，仍然可以系統(tǒng)、協(xié)調(diào)、高效地開展工作，并將突發(fā)事件可能造成的損失控制在最低程度內(nèi)。所有事故的檢測和響應(yīng)，特別是與關(guān)鍵系統(tǒng)有關(guān)的，必須遵守本策略。這些事件包括單不限于:（1） 系統(tǒng)的關(guān)鍵業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)通信、機(jī)器設(shè)備等發(fā)生故障而引起的交易中斷的突發(fā)事件；（2） 因業(yè)務(wù)系統(tǒng)賬戶信息泄露引發(fā)的突發(fā)事件；（3） 因自然災(zāi)害、事故災(zāi)難、公共衛(wèi)生事件、社會(huì)安全事件以及能源供應(yīng)、物資供應(yīng)、通訊等公共服務(wù)的中斷而造成系統(tǒng)無法正常運(yùn)營的事件；（4） 危害系統(tǒng)公共關(guān)系和形象，造成不良社會(huì)影響的各類突發(fā)事件；（5） 在生產(chǎn)網(wǎng)絡(luò)探測到未經(jīng)授權(quán)的無線訪問點(diǎn)。本方案指導(dǎo)系統(tǒng)突發(fā)事件應(yīng)對(duì)工作。組織及分工應(yīng)急響應(yīng)組系統(tǒng)設(shè)計(jì)應(yīng)急響應(yīng)組，應(yīng)急響應(yīng)組以系統(tǒng)技術(shù)總監(jiān)為負(fù)責(zé)人,IT及開發(fā)人員為骨干，各業(yè)務(wù)部門主要部門負(fù)責(zé)人為組員。應(yīng)急響應(yīng)組職責(zé)應(yīng)急響應(yīng)組的職責(zé)包括：管理職責(zé)包括：1） 研究擬定突發(fā)事件處置對(duì)策；2） 組織指揮突發(fā)事件處置工作；3） 協(xié)調(diào)、管理突發(fā)事件中的新聞信息工作；4） 向信息安全辦公室提交突發(fā)事件處置工作報(bào)告，報(bào)告內(nèi)容應(yīng)包括但不限于：突發(fā)事件的描述及分析，各項(xiàng)對(duì)策制定的原因及實(shí)施結(jié)果，突發(fā)事件及處置工作對(duì)未來的影響評(píng)估，處置工作的經(jīng)驗(yàn)教訓(xùn)等。處置職責(zé)包括：1） 實(shí)施與職責(zé)相關(guān)的各項(xiàng)處置措施；2） 收集、反饋突發(fā)事件處置的相關(guān)信息以支持領(lǐng)導(dǎo)小組決策；安全事件的分類應(yīng)急響應(yīng)組必須首先鑒定安全事件是否需要正式應(yīng)對(duì)。很多情況下安全事件不需要響應(yīng)時(shí)，這時(shí)只需轉(zhuǎn)交至相應(yīng)IT區(qū)域以確保能提供所有必要的技術(shù)支持。以下是對(duì)系統(tǒng)運(yùn)營團(tuán)隊(duì)將會(huì)做出響應(yīng)的事件描述事件分類分類描述一級(jí)安全事件例如潛在的非友好行為，（例如：未授權(quán)遠(yuǎn)程登錄，端口掃描，病毒檢測及清除，意外的性能峰值等等）二級(jí)安全事件例如一個(gè)明確的對(duì)未經(jīng)授權(quán)的信息進(jìn)行獲

取或訪問（例如，試圖下載的安全密碼文件，企圖訪問受限區(qū)域，非關(guān)鍵系統(tǒng)的單機(jī)中毒，未經(jīng)授權(quán)的漏洞掃描，等等）或者第二次出現(xiàn)1級(jí)攻擊行為。三級(jí)安全事件明顯攻擊或?qū)嶋H違反安全朿略（例如，多手段攻擊，拒絕服務(wù)攻擊，重要系統(tǒng)或網(wǎng)絡(luò)的病毒感染，成功緩沖/堆棧溢出，未經(jīng)授權(quán)成功訪問敏感或關(guān)鍵數(shù)據(jù)或系統(tǒng)，解鎖，盜竊文件等）或者第二次出現(xiàn)2級(jí)攻擊行為.統(tǒng)一應(yīng)急響應(yīng)流程系統(tǒng)遵循的應(yīng)急響應(yīng)流程包括：事件的報(bào)告與識(shí)別、分類、抑制、消除、恢復(fù)和原因分析以加強(qiáng)安全控制。事件的識(shí)別系統(tǒng)的所有員工必須意識(shí)到，他們有責(zé)任檢測安全事故，以便執(zhí)行事故響應(yīng)計(jì)劃和程序。所有員工都有責(zé)任在其特定責(zé)任范圍內(nèi)協(xié)助執(zhí)行事故響應(yīng)程序。員工在日?；顒?dòng)中可能遇到一些安全事故示例包括（但不限于）：事件示例盜竊、損壞或未經(jīng)授權(quán)的訪問例如，未經(jīng)授權(quán)的登錄、辦公桌中紙張的丟失、鎖被破壞、日志文件丟失、保安警報(bào)、闖入或非預(yù)定/未經(jīng)授權(quán)的物理進(jìn)入的視頻證據(jù)欺詐一數(shù)據(jù)庫、日志、文件或紙張記錄中的信息不準(zhǔn)確 系統(tǒng)的異常行為例如，非預(yù)定的系統(tǒng)重啟、意外的消息、系統(tǒng)日志文件中的異常錯(cuò)誤或者終止安全事件通知例如，文件完整性警報(bào)、入侵偵測警報(bào)和物理安全警報(bào)異常的行為系統(tǒng)例如，非預(yù)定的系統(tǒng)重啟、意外的消息、系統(tǒng)日志文件中的異常錯(cuò)誤或者終止所有員工，不論職責(zé)崗位，都應(yīng)該清楚可能發(fā)生的事故的標(biāo)識(shí)，并且知道在這些情況下應(yīng)該通知的人員。在任何情況下，每個(gè)員工如果未被指派事故響應(yīng)計(jì)劃內(nèi)的其他活動(dòng)，都應(yīng)該按照事故報(bào)告與發(fā)布程序（下節(jié)）的指示來報(bào)告事故。事件的報(bào)告與發(fā)布只要有與系統(tǒng)計(jì)算資產(chǎn)（特別是任何關(guān)鍵系統(tǒng)）有關(guān)的任何可疑或真實(shí)安全事故，都應(yīng)該立即通知應(yīng)急響應(yīng)組。如果不能確定是否為安全事故，應(yīng)聯(lián)系IT來進(jìn)行評(píng)估。各部門發(fā)生輕微或一般的突發(fā)事件后，原則上應(yīng)在下一工作日?qǐng)?bào)送應(yīng)急信息。若遇到較大或重大的突發(fā)事件后，原則上應(yīng)在4小時(shí)內(nèi)報(bào)送應(yīng)急信息。如果情況特別緊急或重大應(yīng)當(dāng)在準(zhǔn)備書面（電子）材料的同時(shí)，第一時(shí)間內(nèi)以電話方式報(bào)告。在面對(duì)可疑情況時(shí)，員工應(yīng)采取如下措施，以確保事故調(diào)查和恢復(fù)流程的完整性：事故涉及泄密。1)不要改變計(jì)算機(jī)系統(tǒng)的當(dāng)前狀態(tài)。2)計(jì)算機(jī)系統(tǒng)應(yīng)保持運(yùn)行且所有當(dāng)前運(yùn)行的計(jì)算機(jī)程序保持當(dāng)前的狀態(tài)。不要關(guān)閉或者重啟計(jì)算機(jī)。應(yīng)該立即拔掉計(jì)算機(jī)背后的網(wǎng)線，使其從網(wǎng)絡(luò)中斷開。報(bào)告安全事故向應(yīng)急響應(yīng)組聯(lián)系報(bào)告任何可疑或真實(shí)的事故。所有員工都應(yīng)非常清楚應(yīng)急響應(yīng)組的電