信息安全与业务连续性.pdfVIP

（一）系统安全

充分利用各主机系统、操作系统等系统层面的安全机制，对各

系统的用户权限、优先访问权限进行科学分配，并制定了安全的密

码及密码更新机制；对系统资源、文件的访问实现有效控制和日志

记录。

主要服务器将采用双机方式部署，提高系统可用性。

所有坐席终端机均安装正版主流Windows操作系统，并且保障

在本工程服务期间使用的坐席终端机专机专用。

所有坐席终端机均采用白名单方式控制应用软件的安装，所有

安装在终端上的软件均需得到行方书面确认方可进行。

确保所有坐席终端机上安装的软件的合法性。不会安装与业务

无关的软件，预装杀毒软件。

所有操作人员均使用受限用户的形式登录坐席终端机操作系统，

系统管理员用户由我方指派系统维护员掌握。

所有坐席终端机均封闭可能进行数据传输的所有外设接口，包

括但不限于USB接口、软盘驱动器、光盘驱动器、并口等。

所有坐席终端机通过软件安装控制方式，限制数据的截屏、下

载等操作。禁用光驱、软驱；禁用USB及其他外部接口的存储功能；

所有人员日常使用受限用户账号登录系统；必须关闭默认共享；

禁止使用远程桌面登录计算机；开启针对所有用户登录行为的审计

功能。

我司所有坐席终端机均安装正版的Windows操作系统，对于PC

应用软件管理均采用了组策略的方式进行管理，通过组策略来控制

PC上应用软件的安装。我们对PC及服务器均不配备软驱、eSATA口，

并对BIOS都设置有密码，密码用分权方式进行管理，同时，所有服

PC设备的USB口一律关闭，并且在操作系统中进行配置，防

止未经授权的数据拷贝行为。BIOS中关闭USB、CD及网络启动方式，

并且对BIOS的操作需要经客户方同意后才会进行操作，如果需要使

用设备上的U口传输数据，需要联系客户方，经客户方同意后，才

会进行U口的开启，使用完毕后立即对U口进行关闭，并且需要填

写相关的操作记录。

所有生产网络与互联网网络都是物理隔离的，所以无法从任何

生产网设备上向外发送邮件，或通过即时通讯软件进行通讯。另外

通过组策略也禁止了生产机器上安装任何电子邮件客户端及即时通

讯或局域网聊天工具。

使用公司白名单上的软件，不私自安装没有版权软件。如确需

购买白名单以外的软件安装使用，必须通过正常流程购买。

使用公司统一的操作系统，不私自安装盗版操作系统，不私自

架设文件服务器。

不私自设置涉及客户数据的共享文件夹。

禁止员工以任何方法强制关闭常驻内存的安全软件的进程，禁

止卸载统一安装的安全软件。

员工必须使用自己的账户登录电脑系统并定期更换登录密码。

除非有特殊情况，员工不应授权他人使用自己的桌面办公系统。

保护好笔记本电脑，放在办公桌上时建议加电脑锁；出差时，

在旅馆、机场、火车、路上时机不离身；保护好笔记本电脑里的数

据，设置好登录加密，或者硬盘数据加密。

员工桌面计算机系统上必须安装和使用公司统一部署的企业防

病毒客户端软件，禁止私自卸载删除。

毒软件客户端。

接收银行数据及处理分派数据的电脑需单独提供，由专人独立

使用并定期更换电脑密码。

（二）网络安全

禁止办公电脑连接外网。

禁止私自变更办公计算机的IP地址。

催收人员不得携带手机等移动设备进入办公场所。

建立统一的访问控制机制，服务（器）之间的网络访问均通过

防火墙的源地址、源端口、目标地址、目标端口进行访问控制，在

确保访问的合法性和有效性的前提下实现业务的安全运行。

系统采用独立的语音和数据传输网络，防止恶意窃听和窃取，

系统网络如需与外部网络连接，通过防火墙进行访问控制，阻止非

法请求。

所有网络及安全设备以最小权限策略为基础，申请审批后方可

打开相应端口和访问策略。

所有网络及安全设备都进行了必要升级，升级软件的版本为相

对稳定的版本，修补了重要安全漏洞。

所有网络及安全设备关闭不需要开启的服务和协议，避免服务

及协议的漏洞来降低网络安全。

防火墙主要安全功能是在内部、外部两个网络之间建立一个安

全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现

对进、出内部网络的服务和访问的审计和控制。