鄂尔多斯羊绒(集团有限责任公司.doc

鄂尔多斯羊绒(集团)有限责任公司 文 件 鄂司信发[2005] 12 号 ━━━━━━━━━━━━★━━━━━━━━━━━━ 关于下发《鄂尔多斯集团信息安全管理操作流程规范》的通知 电冶公司、各产业集团、其它产业企业： 现将《鄂尔多斯集团信息安全管理操作流程规范》印发给你们，请遵照执行。 附：《鄂尔多斯集团信息安全管理操作流程规范》 控股集团管理本部 信息化推进处 二〇〇五年十二月十二日 附： 鄂 尔 多 斯 集 团 信息系统安全管理操作流程规范 总则 第一条 为了规范鄂尔多斯集团信息系统安全操作的管理和维护工作，保证集团各项业务在现有技术平台上的稳定、高效运做及信息流的精密与安全，保障我集团计算机信息系统的安全稳定，促进计算机信息系统在我集团的应用和发展，依据鄂司发（2004）36号《鄂尔多斯集团信息系统管理制度》和鄂司发（2004）37号《鄂尔多斯集团计算机信息系统安全保密管理办法》制定本操作规范。 第二条 本规范所指的信息系统，是指由集团公司及其所属成员企业投资购买、由集团管理本部信息化推进处负责统一管理的网络服务器、工作站和集团网络主、辅节点及其相关和配套设备、设施构成的、按照一定的应用目标和规则对各种信息进行采集、加工、存储、传输、检索等处理的、为集团网络应用及服务的硬件、软件集成系统。 第三条 本规范所界定信息系统的安全运行和管理维护工作由集团管理本部信息化推进处负责，信息化推进处可以委托相关单位指定信息员代为管理本企业网络服务器、工作站及其子节点设备。任何单位和个人，未经同意不得擅自安装、拆卸改变网络。信息系统安全保护等级划分准则信息系统安全保护能力随着安全保护等级的增高逐渐增强。系统安全保护能力五个等级，即：系统审计保护级安全标记保护级结构化保护级访问验证保护级1、第一级 用户自主保护级 本级的计算机信息系统可信计算基通过隔离用户与数据，使用户具备自主安全保护的能力。它具有多种形式的控制能力，对用户实施访问控制，即为用户提供可行的手段，保护用户和用户组信息，避免其他用户对数据的非法读写与破坏。2、第二级 系统审计保护级 与用户自主保护级相比，本级的计算机信息系统可信计算基实施了粒度更细的自主访问控制，它通过登录规程、审计安全性相关事件和隔离资源，使用户对自己的行为负责。3、第三级 安全标记保护级本级的计算机信息系统可信计算基具有系统审计保护级所有功能。此外，还提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述；具有准确地标记输出信息的能力；消除通过测试发现的任何错误。4、第四级 结构化保护级本级的计算机信息系统可信计算基建立于一个明确定义的形式化安全策略模型之上，它要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体。此外，还要考虑隐蔽通道。本级的计算机信息系统可信计算基必须结构化为关键保护元素和非关键保护元素。计算机信息系统可信计算基的接口也必须明确定义，使其设计与实现能经受更充分的测试和更完整的复审。加强了鉴别机制；支持系统管理员和操作员的职能；提供可信设施管理；增强了配置管理控制。系统具有相当的抗渗透能力。5、第五级 访问验证保护级本级的计算机信息系统可信计算基满足访问监控器需求。访问监控器仲裁主体对客体的全部访问。访问监控器本身是抗篡改的；必须足够小，能够分析和测试。为了满足访问监控器需求，计算机信息系统可信计算基在其构造时，排除那些对实施安全策略来说并非必要的代码；在设计和实现时，从系统工程角度将其复杂性降低到最小程度。支持安全管理员职能；扩充审计机制，当发生与安全相关的事件时发出信号；提供系统恢复机制。系统具有很高的抗渗透能力。①服务器操作系统要求必须设置开机密码、屏幕保护密码，密码应由部门负责人和系统管理员商议确定，位数统一要求为8位以上，不允许有显式代码出现，一般应是大小写英文字母、数字和特殊字符中两者以上的组合，并且要定期更改密码； ②任何人对服务器操作系统进行如下操作时，必须事先向信息化推进处主要领导提出请示，经批准后方可进行，并要做好存档备案工作，以便日后查证： A. 覆盖安装和重新安装。特别地，重新安装前必须要对原有系统进行备份； B. 对现有操作系统的升级； C. 可能引起操作系统运行重大变化的配置，如本地策略组配置、域信任关系配置、路由配置、安全等级配置等； ③管理人员要定期作好对操作系统的安全监测工作，主要包括操作系统安全漏洞补丁的安装、系统日志的查看、病毒入侵检测、非法入侵检测等； ④健全访问控制机制 A. 最小特权原则：帐号设置、服务配置、主机间信任关系配置、本地策略组设置等应为保证系统正常运行所需的最小限度，并将用户的权限配置为完成其工作所必需的最小权限； B. 自主访问控制