陕西煤业化工集团财务有限公司.docVIP

PAGE 6 PAGE 7 陕西煤业化工集团财务有限公司 信息系统安全管理办法 第一章 总 则 第一条 为加强公司信息系统安全的规范管理，对可能影响系统的各种因素进行控制，确保系统、网络设备以及其他设施的安全正常运行，特制订本办法。 第二条 本管理办法从系统层安全角度建立公司的信息系统安全保障体系。 第二章 主机安全策略 第三条 系统硬件采购必须符合公司的信息安全策略和其他技术策略，并符合公司的长期商业需求。 第四条 系统硬件采购必须考虑：新设备在满足功能需要的同时，应有优秀的性能和足够的容量，以避免影响数据处理；数据必须有适当的保护策略，以避免丢失或意外或不可预测的破坏；系统必须有较大的冗余（电源、CPU以及其他组件）来避免出现突然的意外事件。 第五条 系统硬件采购时，必须通过结构评估，应尽量获得最好的价格，性能，可靠性，容错性和售后技术支持，包括相应的技术文档或IT使用文档，以降低购买硬件设备的风险。 第六条 所有主机设备应由专职人员负责定点存放和管理，定期检查存放处的物理环境，并按照物理安全管理要求进行维护；应对所有主机设备进行资产登记，登记记录上应该标明硬件型号，厂家，操作系统版本，已安装的补丁程序号，安装和升级的时间、系统配置信息等内容； 第七条 应对日常运维，监控、配置管理和变更管理在职责上进行分离，由不同的人员负责；在用户权限的设置时应遵循最小授权和权限分割的原则，只给系统用户、数据库系统用户或其它应用系统用户授予业务所需的最小权限，应禁止为所管理主机系统无关的人员提供主机系统用户账号，并且关闭一切不需要的系统账号；对两个月以上不使用的用户账号进行锁定；应对主机设备中所有用户账号进行登记备案。 第八条 各个业务系统应对其口令的选取、组成、长度、保存、修改周期做出明确规定；组成口令的字符应包含大小写英文字母、数字、标点、控制字符等，口令长度要求在8位以上；对于重要的主机系统，要求至少每个月修改一次口令，或者使用一次性口令设备；对于管理用的工作站和个人计算机，要求至少每三个月修改一次口令；若掌握口令的管理人员调离本职工作时，必须立即更改所有相关口令；应定期利用口令破解软件进行口令模拟破解测试，在发现脆弱性口令后及时采取强制性的补救修改措施。 第九条 严格禁止非本系统管理人员直接进入主机设备进行操作，若在特殊情况下（如系统维修、升级等）需要外部人员（主要是指厂家技术工程师、非本系统技术工程师、安全管理员等）进入主机设备进行操作时，必须由本系统管理员登录，并对操作全过程进行记录备案；禁止将系统用户账号及口令直接交给外部人员，在紧急情况下需要为外部人员开放临时账号时，必须向安全管理机构和相关领导申请，在申请中写明开放临时账号的原因、时间、期限、对外部人员操作的监控方法、负责开放和注销临时账号的人员等内容，并严格根据安全管理机构的批复进行临时账号的开放、注销、监控，并记录备案。 第十条 应尽可能减少主机设备的远程管理方式，例如Telnet等，如果的确需要进行远程管理，应使用SSH代替Telnet，并且限定远程登录的超时时间，远程管理的用户数量，远程管理的终端IP地址，并在配置完后立刻关闭此类远程管理功能；应尽可能避免使用SNMP协议进行管理，如果的确需要，应使用V3版本替代V1、V2版本，并启用MD5等校验功能；进行远程管理时，应设置控制口和远程登录口的idle timeout时间，让控制口和远程登录口在空闲一定时间后自动断开。 第十一条 严禁随意安装、卸载系统组件和驱动程序，如确实需要，应及时评测可能由此带来的影响，在获得信息安全管理员的批准下，将整个过程记录备案；禁止随意下载、安装和使用来历不明，没有版权的软件，严禁安装本地或网络游戏以及即时通讯程序（ICQ，MSN，QQ等），在服务器系统上禁止安装与该服务器所提供服务和应用无关的其它软件；禁止在重要的主机系统上浏览外部网站网页、接收电子邮件、编辑文档以及进行与主机系统维护无关的其它操作。如果需要安装补丁程序，补丁程序必须通过日常维护管理用的工作站或PC机进行下载，然后再移到相应的主机系统安装。 第十二条 系统维护人员应在主机设备接入、系统配置变更、废弃等变更操作前进行数据备份，为一些关键的主机设备准备备件，保证一些常用主机设备的库存，以便在不成功的情况下及时进行恢复。 第十三条 新的主机设备的接入应确定最佳接入方案，才可以进行实施，如果接入后对系统有影响，则由应急响应小组进行响应解决接入带来的故障。禁止私自安装或移动网络设备；业务系统人员如果需要使用主机设备，要求主机系统配置变更，应首先向系统维护人员提出申请，并由信息安全员进行安全确认签字后由系统维护人员负责安排实施，禁止私自变更主机系统配置；主机系统的废弃应首先向相关部门提出申请