企业信息安全管理标准.docVIP

PAGE PAGE 1/ NUMPAGES 4 企业信息和技术安全工作指引 企业信息安全管理规范 　　 目的： 为保障信息设备正常运行、规范文件存储、保证数据安全、信息系统设备安全； 范围： 信息设备安全、应用系统安全、数据数据安全、用户信息安全、权限对照表、用户授权申请、用户培训。 作业内容： 信息设备安全 定义：信息设备安全指的是计算机、服务器、路由器、交换机、视讯等相关IT类硬件设备的物理安全。 机房应选择在具有防震、防风和防雨等能力的建筑内。 机房应采取防电磁干扰措施，电源线和通信线缆应隔离，避免互相干扰，对重要设备和磁介质实施电磁屏蔽。 机房应采取防静电、防水的相关措施。 机房应安装门禁、防雷、监视、消防、报警设施。 计算机系统供电应与其他供电分开。供电线路应设置冗余或并行的电力电缆线路，应建立备用供电系统，以备常用供电系统停电时启用。 机房应配备 UPS 设备，以保证机房设备的电源能在发生断电的情况下维持机房所有设备的电源供应。 定时检查机房环境温度、湿度情况，确保温度控制在 15℃~30℃的范围内，湿度控制在 35%~65%的范围内，以保证机房设备和系统的正常运行。 重要服务器及相关设备必须放置在机房内，并固定在机柜的相应位置。 应将通信线缆铺设在隐蔽处，不允许祼线部署。 信息设备安全机房设施，IT部安排经授权人员专人管理，并设定电子门禁管制，未经授权人员不可进入。外来人员进出机房应办理登记手续，并由专业管理人员陪同。 未经许可，任何人不得擅自拆卸、搬移、更换主机及网络设备的部件； 使用者电脑由用户管理。 应用系统安全 定义：应用系统安全指的是服务器、客户端操作系统、软件应用系统，如：Windows操作系统、server2003/08系统，ERP、门禁、考勤、电话计费系统等。 应在主机操作系统中安装防病毒系统，并定期对服务器主机进行恶意代码查杀，及实时更新病毒库。 防病毒系统应具有全方位网络恶意代码防护能力、集中管理与监控功能和系统自动更新功能，而且系统必须具有较好的兼容性，不能影响各应用系统的正常运行。 设定指定邮箱接收防病毒系统自动更新信息及查杀病毒信息，并定时每周/每月检查系统运行状态，查看日志记录，并予以分析处理。 所有主机应通过补丁服务器进行补丁统一自动分发。 网络安全 总体安全要求 应对计算机网络进行安全区域划分，不同安全区域具有不同安全等级，并采取相应的安全防护措施。一般情况下，可划为如下几个区域： 办公内网：由本单位局域网内的服务器、客户端及相关设备组成的网络区域； 业务专网： 由集团公司及各级下属单位共同组成的通过专用 VPN 系统相连接的广域网络； 应在不同网络安全区域之间采取安全隔离措施。 业务专网和办公内网之间物理隔离； 未经许可，不得更改本单位安全区域内的重要配置。各单位应设计和绘制与当前运行情况相符的网络拓扑结构图，当网络拓扑结构发生改变时，应及时更新。 公司的网络设备及带宽的性能应能满足本单位所需最大资源的要求，并通过流量分配措施对网络的各种应用合理分配相应的带宽，以保证重要应用系统的正常访问。 所有网络设备管理员帐号设置应满足安全性要求。 口令长度应设置在 8 位字符以上、复杂度为数字、字母、特殊字符的组合，并且定期更新； 当登录失败超过三次时结束会话连接并锁定账号 30分钟以上，当网络登录连接超时自动退出。 应对所有网络设备进行日志审计。 审计内容应包含事件的日期和时间、用户、事件类型、事件成功情况； 应使用日志审计工具设置特定事件报警及生成日志报表； 应做好网络设备日志的保存工作，保存期大于30天，保存的日志不可修改。 业务专网安全管理 业务专网采用统一的专用 VPN 系统组网。 (办公内网采用硬件 VPN 方式接入业务专网； 移动办公用户采用 VPN 单机连接方式接入业务专网； VPN 连接必须采用安全的 VPN 连接协议，办公内网 VPN 互联必须采用硬件鉴权和口令双重认证。 办公内网 VPN 互联应配置双物理线路，以提高网络可靠性。 数据安全及保密管理 数据库安全 数据库系统的管理员口令应设置为长度在 8 位字符以上、复杂性为数字、字母、特殊字符的组合，并且定期更新。 对于数据库系统应有严格的资源访问控制策略，访问控制细粒度应达到数据库表级。 应严格限制数据库系统的默认用户访问权限，及时删除不必要的临时账号和测试账号等。 数据备份 制定重要数据的备份与恢复方案，并建立相应的备份与恢复系统，要求如下： IT授权人员每天将船务、报关、财务等重要资料进行备份，以防遗