聯(lián)通分公司通信網(wǎng)信息安全管理規(guī)程

信息安全管理規(guī)程 - 1 - 中國聯(lián)通 安徽分公司 通信網(wǎng) 信 息安全管理 規(guī)程 （暫行） 聯(lián)通 安徽分公司 2006 年 11 月 信息安全管理規(guī)程 - i - 目 錄 第一章 總則 . 1 1.1 編制說明 . 1 1.2 適用范圍 . 1 1.3 規(guī)程執(zhí)行 . 1 第二章 安全組織和人員職責 . 2 2.1 組織結(jié)構(gòu) . 2 2.2 信息安全相關(guān)人員職責 . 2 2.2.1 網(wǎng)絡(luò)管理員職責 . 2 2.2.2 數(shù)據(jù)庫系統(tǒng)管理員職責 . 2 2.2.3 操作系統(tǒng)管理員職責 . 3 2.2.4 業(yè)務(wù)系統(tǒng)管理員職責 . 3 2.2.5 資產(chǎn)管理員職責 . 3 2.3 信息安全相關(guān)人員職責 . 3 第三章 用戶帳號與口令安全管理 . 4 3.1 口令設(shè)置原則 . 4 3.2 用戶新增、注銷 . 4 3.3 帳號配置與管理 . 4 3.4 權(quán)限設(shè)置及變更 . 5 3.5 帳號、口令使用管理 . 6 第四章 網(wǎng)絡(luò)安全管理 . 6 4.1 基礎(chǔ)管理 . 6 4.1.1 網(wǎng)絡(luò)結(jié)構(gòu)管理 . 6 4.1.2 網(wǎng)絡(luò)配置管理 . 7 4.1.3 網(wǎng)絡(luò)互連管理 . 7 4.1.4 終端接入管理 . 7 4.2 運行管理 . 8 4.2.1 網(wǎng)絡(luò)監(jiān)控管理 . 8 4.2.2 網(wǎng)絡(luò)審計管理 . 8 第五章 數(shù)據(jù)安全管理 . 9 5.1 數(shù)據(jù)安全范圍 . 9 5.2 數(shù)據(jù)管理通則 . 9 5.3 存儲、備份與恢復(fù) . 10 第六章 保密安全管理 . 10 6.1 涉密數(shù)據(jù)安全管理 . 10 6.1.1 數(shù)據(jù)密級分類原則 . 10 - ii - ii 6.1.2 涉密數(shù)據(jù)密級確認 .11 6.1.3 涉密數(shù)據(jù)的獲取 . 12 6.1.4 涉密數(shù)據(jù)的傳遞 . 12 6.1.5 涉密數(shù)據(jù)保管、存檔 . 12 6.2 涉密網(wǎng)絡(luò)安全管理 . 13 6.3 涉密人員安全管理 . 14 第七章 防病毒安全管理 . 14 7.1 建立病毒預(yù)警機制 . 14 7.2 防病毒軟件的安裝使用 . 15 7.3 防范病毒措施 . 15 7.4 病毒處理 . 16 7.5 員工防病毒安全管理 . 16 第八章 終端用戶安全管理 . 17 8.1 終端安全管理 . 17 8.2 終端用戶帳戶與口令管理 . 17 8.3 終端用戶行為規(guī)范 . 17 8.4 終端用戶防病毒安全管理 . 18 第九章 安裝及升級安全管理 . 18 9.1 軟件安裝安全管理 . 18 9.2 主機設(shè)備安裝安全管理 . 18 9.3 網(wǎng)絡(luò)設(shè)備安裝安全管理 . 20 9.4 補丁 /升級安全管理 . 20 9.4.1 補丁 /升級檢查 . 20 9.4.2 補丁 /升級文件下載 . 20 9.4.3 補丁 /升級文件安裝 . 20 9.5 變更管理 . 21 9.5.1 軟件變更的安全管理 . 21 9.5.2 系統(tǒng)配置安全管理 . 21 第十章 應(yīng)急安全管理 . 21 10.1 應(yīng)急工作定義 . 21 10.2 應(yīng)急響應(yīng)組的組建 . 22 10.3 應(yīng)急響應(yīng)計劃的 制定 . 22 10.4 信息安全事件的報告和應(yīng)急處理 . 22 10.5 應(yīng)急信息庫的建立 . 23 10.6 應(yīng)急恢復(fù)演練和測試 . 23 10.7 應(yīng)急恢復(fù)培訓(xùn) . 23 附件一、系統(tǒng)帳號權(quán)限申請表 . 24 附件二、數(shù)據(jù)密級分類記錄表 . 25 附件三、系統(tǒng)安全檢查記錄表 . 25 信息安全管理規(guī)程 - 1 - 第第 一一 章章 總總 則則 1.1 編編 制制 說說 明明 為加強中國聯(lián)通 安徽分公司通信網(wǎng) 信息安全管理，保障各種信息資產(chǎn)的機密性、完整性和可用性，特制定中國聯(lián)通 安徽分公司通信網(wǎng) 信息安全管理 規(guī)程 (以下簡稱“本規(guī)程” )。 本規(guī)程是 中國 聯(lián)通 安徽分公司通信網(wǎng) 信息安全管理的總原則，與中國聯(lián)通 通行 網(wǎng)運行維護規(guī)程互為補充，二者具有同等效力。 本規(guī)程的解釋和修改權(quán) 屬于中國聯(lián)通 安徽分公司運行維護 部。 1.2 適適 用用 范范 圍圍 本規(guī)程 適用于對中國聯(lián)通 安徽分公司通信網(wǎng) 信息資產(chǎn)各要素（包括：人員、數(shù)據(jù)、網(wǎng)絡(luò)、終端等） 的安全管理 ， 各市級分公司 在涉及到 通信網(wǎng) 信息安全時應(yīng)遵照執(zhí)行。 中國聯(lián)通安徽分公司運行維護部和安徽 聯(lián)通 各市級分公司通信網(wǎng)維護部門 的所有員工必須遵守本規(guī)程的規(guī)定，并依據(jù)本規(guī)程加強對第三方的管理，如由于未遵循本規(guī)程導(dǎo)致出現(xiàn)安全問題，相關(guān)部門和人員負有責任。 1.3 規(guī)規(guī) 程程 執(zhí)執(zhí) 行行 本規(guī)程是聯(lián)通 安徽分公司通信網(wǎng) 信息安全管理的基礎(chǔ)性文件，各 市級 分公司 要結(jié)合自身的實際情況制定實施細則。實施細則不能違反本 規(guī)程的原則，細則在實施前應(yīng)報相關(guān)管理部門備案。 本規(guī)程自下發(fā)之日起正式執(zhí)行。 信息安全管理規(guī)程 - 2 - 第第 二二 章章 安安 全全 組組 織織 和和 人人 員員 職職 責責 2.1 組組 織織 結(jié)結(jié) 構(gòu)構(gòu) 中國聯(lián)通 安徽分公司通信網(wǎng) 信息安全實施統(tǒng)一領(lǐng)導(dǎo)、分級管理、專業(yè)分工負責的原則。 通信網(wǎng) 信息安全采用三級管理體制，分為：聯(lián)通總部 、 省 級 分公司 、 市 級 分公司?？偛啃畔踩M織負責全公司的信息安全指導(dǎo)和運行管理和總部的信息安全運行 ， 省級信息安全組織負責本省信息安全指導(dǎo)、運行和運行管理 ， 市 級 分公司負責當?shù)氐男畔踩\行。 總部信息安全組織在安全管理上領(lǐng)導(dǎo)各省分公司信息安全組織，省級信息安全組織在安全管理上領(lǐng)導(dǎo) 各地市信息安全組織。 總部和省級分公司的信息安全組織中均設(shè)置 信息安全指導(dǎo)委員會和信息安全工作組，市 級 分公司設(shè)立信息安全工作組或 指定一位信息安全員承擔信息安全管理工作。 2.2 信信 息息 安安 全全 相相 關(guān)關(guān) 人人 員員 職職 責責 2.2.1 網(wǎng)網(wǎng) 絡(luò)絡(luò) 管管 理理 員員 職職 責責 (1) 負責防病毒管理、防火墻系統(tǒng)管理、入侵檢測管理、安全漏洞掃描管理等； (2) 參與網(wǎng)絡(luò)系統(tǒng)安全策略、計劃和事件處理程序的制定； (3) 承擔網(wǎng)絡(luò)安全事件的處理； (4) 參與網(wǎng)絡(luò)安全建設(shè)和運營方案的制定； (5) 負責網(wǎng)絡(luò)設(shè)備操作系統(tǒng)升級、補丁； (6) 負責網(wǎng)絡(luò)日常監(jiān)控、優(yōu)化和安全加固； (7) 負責網(wǎng)絡(luò)設(shè)備操作系統(tǒng)和配置數(shù)據(jù)備份。 2.2.2 數(shù)數(shù) 據(jù)據(jù) 庫庫 系系 統(tǒng)統(tǒng) 管管 理理 員員 職職 責責 (1) 參與數(shù)據(jù)庫系統(tǒng)安全策略、計劃和事件處理程序的制定； (2) 承擔數(shù)據(jù)庫系統(tǒng)安全事件的處理； (3) 負責數(shù)據(jù)庫系統(tǒng)升級、補丁和和安全加固； (4) 負責數(shù)據(jù)庫系統(tǒng)的日常安全監(jiān)控、配置和數(shù)據(jù)備份； (5) 負責數(shù)據(jù)庫系統(tǒng)權(quán)限和口令管理。 信息安全管理 規(guī)程 - 3 - 3 2.2.3 操操 作作 系系 統(tǒng)統(tǒng) 管管 理理 員員 職職 責責 (1) 參與操作系統(tǒng)系統(tǒng)安全策略、計劃和事件處理程序的制定； (2) 承擔操作系統(tǒng)系統(tǒng)安全事件的處理； (3) 負責操作系統(tǒng)系統(tǒng)的升級、補丁和安全加固； (4) 負責操作系統(tǒng)的日常安全監(jiān)控和操作系統(tǒng)和文件系統(tǒng)的備份； (5) 負責操作系統(tǒng)權(quán)限和口令管理。 2.2.4 業(yè)業(yè) 務(wù)務(wù) 系系 統(tǒng)統(tǒng) 管管 理理 員員 職職 責責 (1) 參與應(yīng)用系統(tǒng)安全策略、計劃和事件處理程序的制定； (2) 承擔應(yīng)用系統(tǒng)安全事件的處理； (3) 負責應(yīng)用系統(tǒng)的安全加固； (4) 負責應(yīng)用系統(tǒng)的日常安全監(jiān)控和數(shù)據(jù)備份； (5) 負責應(yīng)用系統(tǒng)帳號權(quán)限和口令管理； (6) 負責應(yīng)用系統(tǒng)在操作系統(tǒng)和數(shù)據(jù)庫中帳號及該帳號下數(shù)據(jù)安全。 2.2.5 資資 產(chǎn)產(chǎn) 管管 理理 員員 職職 責責 (1) 按照資產(chǎn)存放環(huán)境要求存放相關(guān)物資和資料； (2) 根據(jù)信息資產(chǎn)的分類分級標識的要求進行資產(chǎn)、資料的標識； (3) 根據(jù)資產(chǎn)的信息安全等級進行物資的入庫、出庫、銷毀，資料的保管、借閱、銷毀； (4) 資產(chǎn)管理員應(yīng)特別注意以下內(nèi)容的安全管理：系統(tǒng)備份、數(shù)據(jù)備份載體及相應(yīng)文檔管理；業(yè)務(wù)數(shù)據(jù)、經(jīng)營數(shù)據(jù)、運行數(shù)據(jù)的載體及相應(yīng)文檔的管理；軟件資料管理（包括軟件開發(fā)的源代碼、軟件設(shè)計說明書、使用說明書、許可證等）；硬件隨機文檔；系統(tǒng)設(shè)計方案、工程施工過程文檔、系統(tǒng)運行維護文檔、招投標過程文檔；其它文檔管理（包括各種規(guī)章制度、收發(fā)文、工作日志歸檔、設(shè)備清單、合同）等等。 2.3 信信 息息 安安 全全 相相 關(guān)關(guān) 人人 員員 職職 責責 聯(lián)通安徽分公司通信網(wǎng)各信息系統(tǒng)內(nèi)，應(yīng)有恰當?shù)穆氊煼蛛x制度。若無法成立職責分離制度時，則應(yīng)建立適當?shù)谋O(jiān)管機制，以監(jiān)督個人的表現(xiàn)與其矛盾的角色。 通信網(wǎng)各信息系統(tǒng)需由系統(tǒng)負責人建立自身組織結(jié)構(gòu)圖以及系統(tǒng)職責分工明細表，并報分管領(lǐng)導(dǎo)審批同意后執(zhí)行。 系統(tǒng)職責分工明 細表應(yīng)詳盡描述系統(tǒng)中各角色所對應(yīng)具體人員以及組織領(lǐng)導(dǎo)關(guān)系，明確權(quán)責關(guān)系。在人員角色變動時，需有正式文檔進行變更記錄。 部門安全監(jiān)督員應(yīng)每年進行一次檢查，同時要進行不定期的抽查。 信息安全管理 規(guī)程 - 4 - 4 第第 三三 章章 用用 戶戶 帳帳 號號 與與 口口 令令 安安 全全 管管 理理 3.1 口口 令令 設(shè)設(shè) 置置 原原 則則 (1) 口令中至少應(yīng)包括以下三種：數(shù)字、大寫字母、小寫字母以及特殊字符（特殊符號舉例如下： !#$%&*()_+|-=:”；?,./） ； (2) 口令長度不應(yīng)小于 8 位； (3) 口令 避免以下選擇： 親戚、朋友、同事、單位等的名字，生日、車牌號、電話號碼； 一串相同的數(shù)字或字母； 明顯的鍵盤序列； 所有上面情況的逆序或前后加一個數(shù)字； 常見的詞語或字典詞語。 3.2 用用 戶戶 新新 增增 、 注注 銷銷 (1) 新增用戶：必須由申請部門提出正式申請，填寫相關(guān)信息 ，包括 使用者姓名、聯(lián)系電話、職責（崗位）、 IP 地址、 使用時間、 申請使用的系統(tǒng)范圍和權(quán)限等信息。由申請部門領(lǐng)導(dǎo)審批后移交給信息安全工作組，審核后，下發(fā)至相應(yīng)的管理員，管理員根據(jù)申請的內(nèi)容進行賦權(quán)； (2) 注銷用戶 ： 由于人事變動，帳號的使用者發(fā)生崗位變動或者離職，人力資源部發(fā)報 人事變更訊息，通知至系統(tǒng)管理員所在部門。由系統(tǒng)管理員提出正式申請經(jīng)系統(tǒng)所在部門領(lǐng)導(dǎo)審批后，立即進行相應(yīng)的權(quán)限變動或帳號回收，嚴格防止由于崗位變動，帳號、權(quán)限沒有進行變更的情況； (3) 權(quán)限變更：由申請員工填寫工單詳細描述需要變更的權(quán)限內(nèi)容。由申請部門領(lǐng)導(dǎo)審批后提交信息安全工作組，經(jīng)審核下發(fā)至相應(yīng)的管理員進行權(quán)限的變更。 3.3 帳帳 號號 配配 置置 與與 管管 理理 (1) 帳號權(quán)限在建立 /更新 /取消時，用戶應(yīng)填寫系統(tǒng)帳號權(quán)限申請 表 （參見附件一）來申請；該表單應(yīng)由系統(tǒng)擁有者來審批和簽署 ； (2) 系統(tǒng)管理員負責對應(yīng)用系統(tǒng)、網(wǎng)絡(luò)、服務(wù)器或其他信息設(shè)備的用戶帳號 、權(quán)限進行管理。對用戶帳號和權(quán)限進行登記備案，至少每半年審核一次用戶帳號的使用情況，對長期未使用的或過期的帳號進行清理； (3) 在系統(tǒng)上線運行前，系統(tǒng)管理員必須重新配置或更改廠商在開發(fā)、測試階段設(shè)置的應(yīng)用系統(tǒng)、網(wǎng)絡(luò)、服務(wù)器或其他信息設(shè)備的系統(tǒng)口令、用戶帳號及口令，更改數(shù)據(jù)庫內(nèi)置帳號的口令； (4) 如果必須給予第三方人員 (如廠商支持工程師 )帳號口令，或當外包方人員申 信息安全管理 規(guī)程 - 5 - 5 請開通系統(tǒng)帳號時，須事先與系統(tǒng)擁有部門簽訂保密協(xié)議，按照普通用戶新增、注銷管理規(guī)定執(zhí)行。系統(tǒng)管理員必須予以登記并納入統(tǒng)一管理，同時對帳號安全負有責任； (5) 帳號配 置不允許由系統(tǒng)管理員外其他任何用戶操作，也不能在系統(tǒng)管理員使用的終端之外進行安裝； (6) 系統(tǒng)管理員給新增用戶分配 帳號必須設(shè)置口令，并限定有效期。 必須強制新用戶在第一次登陸時更改口令； (7) 系統(tǒng)管理員必須有能力更改口令，幫助用戶開啟被鎖定的口令，對非法操作及時查明原因；解決口令使用過程中出現(xiàn)的問題；定期向主管領(lǐng)導(dǎo)和信息安全工作組匯報帳號、口令使用情況和需要解決的問題； (8) 重大操作后、口令使用期滿、被其他人知悉或認為口令不保密時，系統(tǒng)管理員應(yīng)按照口令更改流程變換口令?？诹罡鼡Q操作應(yīng)在保密條件下進行； (9) 業(yè)務(wù)系統(tǒng)管理員在配置 應(yīng)用系統(tǒng)用戶帳號時，必須采用加密口令格式，在登陸輸入口令過程中不能以任何方式顯示口令； (10) 系統(tǒng)管理員應(yīng)定期檢查、審核賬號的操作日志記錄； (系統(tǒng)管理員至少每六個月要對系統(tǒng)的帳號及相關(guān)權(quán)限進行檢查或抽查，形成相應(yīng)的檢查記錄報告，由系統(tǒng)擁有者或信息安全經(jīng)理簽字確認 )； (11) 信息安全監(jiān)督員應(yīng)每三個月對系統(tǒng)用戶和管理員的訪問權(quán)限進行審核，對于涉及重要數(shù)據(jù)的賬號和權(quán)限應(yīng)提交相關(guān)領(lǐng)導(dǎo)審核確認；信息安全經(jīng)理應(yīng)至少每三個月一次對系統(tǒng)管理員帳號、權(quán)限做檢查，對相應(yīng)的訪問及操作日志進行審核；并形成安全檢查報告存檔。 (12) 臨時帳號的申請單應(yīng) 獨立存檔并由第三者 (非批準人 )作至少每月進行一次檢查；在使用期滿時，系統(tǒng)管理員應(yīng)審核臨時帳號操作日志記錄并形成相應(yīng)的檢查記錄報告，由系統(tǒng)擁有者或信息安全經(jīng)理簽字確認。 (13) 嚴禁多人和多系統(tǒng)共用帳號。 每個操作用戶必須有且只有一個專用帳號； (14) 口令在數(shù)據(jù)庫中的存放和通過網(wǎng)絡(luò)傳輸不應(yīng)采用明碼方式，對口令的訪問和存取必須加以控制，以防止口令被非法修改或泄露； (15) 具有口令功能的計算機、網(wǎng)絡(luò)設(shè)備等系統(tǒng)處理公司秘密信息，必須使用口令對用戶進行身份驗證和確認。 3.4 權(quán)權(quán) 限限 設(shè)設(shè) 置置 及及 變變 更更 (1) 對系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)庫、信息的訪問采用分級管理，根據(jù)人 員職責設(shè)定權(quán)限； (2) 超級用戶權(quán)限只允許系統(tǒng)管理員使用，其他用戶需要使用超級權(quán)限時需提出申請，經(jīng)審批后，由系統(tǒng)管理員作一次性授權(quán)，并在系統(tǒng)管理員隨工下操作； (3) 員工只能擁有本崗位內(nèi)的權(quán)限，且采取最低可用原則配置；如因工作需要另外增加崗位外權(quán)限的，需要領(lǐng)導(dǎo)審批；經(jīng)使用員工所在部門領(lǐng)導(dǎo)和信息安全工作組同意后方可增加，增加后要保留操作日志和審批記錄； (4) 系統(tǒng)管理員對到期的使用授權(quán)負責收回； (5) 在權(quán)限建立 /更新 /取消時，用戶應(yīng)填寫系統(tǒng)權(quán)限申請單來申請權(quán)限。該表單 信息安全管理 規(guī)程 - 6 - 6 應(yīng)由系統(tǒng)擁有者來審批和簽署。操作人員在完成操作后需在系統(tǒng)帳號 權(quán)限申請 表 中進行情況說明并有第三者進行確認。 3.5 帳帳 號號 、 口口 令令 使使 用用 管管 理理 (1) 用戶使用系統(tǒng)時，必須使用帳號以及口令進行登陸，方可進行操作 ； (2) 禁止 使用系統(tǒng)內(nèi)置帳號進行應(yīng)用系統(tǒng)數(shù)據(jù)的維護工作。嚴禁使用數(shù)據(jù)庫內(nèi)置帳號的口令進行數(shù)據(jù)庫管理； (3) 重要的設(shè)備、系統(tǒng)的管理員帳號口令在每次修改之后必須備案； (4) 口令必須定期修改，口令使用周期不能超過 3 個月，在涉密較多、人員復(fù)雜、保密條件較差的地方應(yīng)盡可能縮短口令的使用時間； (5) 用戶應(yīng)記住自己的帳號、口令，不允許記載在不保密的媒介物或貼在終端上。同時，避免泄漏口令，不要將口令告訴其他人。如果 發(fā)現(xiàn)口令泄漏，應(yīng)立即通知系統(tǒng)管理員及時更改； (6) 用戶 通過公網(wǎng)連接到公司內(nèi)部網(wǎng)站時，需注意帳號、口令的保密，避免在公共場所泄漏帳號、口令； (7) 企業(yè)內(nèi)用戶口令不應(yīng)當用作其他非企業(yè)應(yīng)用的口令，如公網(wǎng)郵箱口令等。 第第 四四 章章 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 管管 理理 4.1 基基 礎(chǔ)礎(chǔ) 管管 理理 4.1.1 網(wǎng)網(wǎng) 絡(luò)絡(luò) 結(jié)結(jié) 構(gòu)構(gòu) 管管 理理 (1) 中國聯(lián)通通信網(wǎng) 分為 聯(lián)通總部 省 級分 公司市 級 分公司三級結(jié)構(gòu)，包括 總部（大區(qū)） 中心、省中心和地市三層節(jié)點； (2) 總部中心網(wǎng)絡(luò)及省際骨干網(wǎng)絡(luò)的安全建設(shè)和維護由總部負責，各省分公司負責省內(nèi)網(wǎng)絡(luò)的安全建設(shè)和維護管理，地市分公司負責地市的網(wǎng)絡(luò)安全維護； (3) 網(wǎng)絡(luò)整體的拓撲結(jié)構(gòu)需進行嚴格的規(guī) 劃、設(shè)計和管理，一經(jīng)確定，不能輕易更改； (4) 如因業(yè)務(wù)需要，確需對網(wǎng)絡(luò)的整體拓撲結(jié)構(gòu)進行調(diào)整和改變，需按照相應(yīng)的運維管理規(guī)程上報； (5) 對重要網(wǎng)段要進行重點保護，要使用防火墻等安全設(shè)備以及 VLAN 或其他訪問控制方式與技術(shù)將重要網(wǎng)段與其它網(wǎng)段隔離開； (6) 網(wǎng)絡(luò)結(jié)構(gòu)要按照分層網(wǎng)絡(luò)設(shè)計的原則來進行規(guī)劃， 合理清晰的層次劃分和設(shè)計，可以保證網(wǎng)絡(luò)系統(tǒng)骨干穩(wěn)定可靠、接入安全、便于擴充和管理、易于故障隔離和排除。 信息安全管理 規(guī)程 - 7 - 7 4.1.2 網(wǎng)網(wǎng) 絡(luò)絡(luò) 配配 置置 管管 理理 (1) 總部網(wǎng)絡(luò)管理部門負責對總部到各省廣域網(wǎng)絡(luò)的統(tǒng)一配置管理工作，未經(jīng)總部網(wǎng)絡(luò)管理部門同意，各分公司無權(quán)更改廣域網(wǎng) 的網(wǎng)絡(luò)配置； (2) 省分網(wǎng)絡(luò)管理部門負責對省分到各地市分公司廣域網(wǎng)絡(luò)的統(tǒng)一配置管理工作，未經(jīng)省分網(wǎng)絡(luò)管理部門同意，各地市分公司無權(quán)更改廣域網(wǎng)的網(wǎng)絡(luò)配置； (3) 各級網(wǎng)絡(luò)管理部門需負責網(wǎng)絡(luò)的性能分析，以充分了解 系統(tǒng)資源的運行情況及通信效率情況 ，提出網(wǎng)絡(luò)優(yōu)化方案； (4) 各級網(wǎng)絡(luò)管理部門負責進行本地局域網(wǎng)的統(tǒng)一的配置管理工作； (5) 所有的網(wǎng)絡(luò)配置工作都要有文檔記錄，網(wǎng)絡(luò)設(shè)備的配置文件需要定期備份； (6) 按照最小服務(wù)原則為每臺基礎(chǔ)網(wǎng)絡(luò)設(shè)備進行安全配置； (7) 網(wǎng)絡(luò)需保持持續(xù)不斷的運行，維護工作要在用戶使用量小的時候進行。 4.1.3 網(wǎng)網(wǎng) 絡(luò)絡(luò) 互互 連連 管管 理理 (1) 網(wǎng)絡(luò)按訪 問控制策略劃分不同的邏輯區(qū)域； (2) 公司內(nèi)部不同業(yè)務(wù)的計算機網(wǎng)絡(luò)之間的互連原則： 互連點上必須實施安全措施，如安裝防火墻、實施入侵檢測等； 網(wǎng)絡(luò)之間互連點采取集中原則，并考慮安全冗余； 網(wǎng)絡(luò)互連點及安全設(shè)備必須納入到網(wǎng)管體系的監(jiān)控。 (3) 公司內(nèi)部計算機網(wǎng)絡(luò)和第三方網(wǎng)絡(luò)之間的互連原則： 網(wǎng)絡(luò)之間互連點采取集中原則，并考慮安全冗余； 互連點上必須實施安全措施，如安裝防火墻、實施入侵檢測等； 網(wǎng)絡(luò)互連點及安全設(shè)備必須納入到網(wǎng)管體系的監(jiān)控。 在公司內(nèi)部計算機網(wǎng)絡(luò)內(nèi)必須設(shè)置接口機或代理服務(wù)器，用于與第三方網(wǎng)絡(luò)連接，禁止生產(chǎn)用 的主機、服務(wù)器與第三方網(wǎng)絡(luò)直接連接； 與第三方網(wǎng)絡(luò)的連接中，在互連點上的防火墻上應(yīng)該進行 IP 地址轉(zhuǎn)換，保護公司內(nèi)部接口機或代理服務(wù)器真實的 IP 地址； 在防火墻上實施策略控制，嚴格限制訪問的地址和端口。 (4) 內(nèi)部計算機網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間的互連原則： 禁止 通信網(wǎng)設(shè)備維護 網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間直接連接； 嚴格控制公司內(nèi)部的計算機網(wǎng)絡(luò)與互聯(lián)網(wǎng)連接，由于業(yè)務(wù)需要，必須進行連接的，必須實施嚴格的安全措施，如安裝防火墻、實施入侵檢測等； 與互聯(lián)網(wǎng)連接的互連點應(yīng)統(tǒng)一集中在省公司，在地市不得再設(shè)出口； 遵循公司內(nèi)部計算機網(wǎng)絡(luò)和第三方網(wǎng)絡(luò) 之間的互連原則。 4.1.4 終終 端端 接接 入入 管管 理理 (1) 只有遵循本規(guī)程第 八 章終端用戶安全管理的計算機終端方能接入聯(lián)通內(nèi)部計算機網(wǎng)絡(luò)； 信息安全管理 規(guī)程 - 8 - 8 (2) 終端接入系統(tǒng)時必須通過用戶名、口令進行身份驗證后方能接入； (3) 外單位人員一般不允許接入聯(lián)通內(nèi)部網(wǎng)，如因維護需要確需連入網(wǎng)絡(luò)，必須履行審批手續(xù)，并在有聯(lián)通員工隨工的情況下方可接入； (4) 確需通過網(wǎng)絡(luò)進行遠程訪問的，必須履行審批手續(xù)，在固定時間，通過身份驗證后接入。對連接時間、事由都要有詳細記錄。 4.2 運運 行行 管管 理理 4.2.1 網(wǎng)網(wǎng) 絡(luò)絡(luò) 監(jiān)監(jiān) 控控 管管 理理 (1) 網(wǎng)絡(luò)管理部門負責網(wǎng)管系統(tǒng)和網(wǎng)絡(luò)安全的建設(shè)和維護，以實現(xiàn)對網(wǎng)元以及網(wǎng)絡(luò)安全情況的實時監(jiān) 控和管理， 確保 整個 網(wǎng)絡(luò)安全 、穩(wěn)定運行； (2) 各級網(wǎng)絡(luò)管理部門可使用入侵檢測、漏洞掃描等設(shè)備和技術(shù)定期對網(wǎng)絡(luò)安全情況進行監(jiān)控和分析，對于監(jiān)控到的異常行為要有及時、有效的處理機制； (3) 各級網(wǎng)絡(luò)管理部門在監(jiān)控過程中， 如發(fā)現(xiàn) 網(wǎng)絡(luò)異常、嚴重影響業(yè)務(wù)的問題 ，要立即向 上一級報告； (4) 網(wǎng)絡(luò)管理員負責網(wǎng)絡(luò)設(shè)備的日常檢查，監(jiān)測網(wǎng)絡(luò)設(shè)備性能參數(shù)和網(wǎng)絡(luò)運行狀況；對關(guān)鍵設(shè)備要做到每日檢查，發(fā)現(xiàn)問題應(yīng)迅速解決，全部管理工作應(yīng)保留記錄； (5) 定期或不定期對備件及備用線路進行檢測和維護； (6) 網(wǎng)絡(luò)安全監(jiān)控設(shè)備的運行不能影響網(wǎng)絡(luò)的正常使用； (7) 各級網(wǎng)絡(luò)管理部 門要對所有在線網(wǎng)絡(luò)設(shè)備運行情況記錄登記，并定期向上級上報網(wǎng)絡(luò)運行狀況報告。 4.2.2 網(wǎng)網(wǎng) 絡(luò)絡(luò) 審審 計計 管管 理理 (1) 系統(tǒng)管理員 要至少每三個月 對涉及網(wǎng)絡(luò)配置的增、刪、修改等操作的配置更改記錄進行審計； (2) 重要的網(wǎng)元要有日志，并采取必要措施統(tǒng)一日志，系統(tǒng)管理員 至少每三個月對日志進行分析，檢查違規(guī)行為； (3) 安全監(jiān)督員 至少每三個月 對系統(tǒng)用戶和管理員的訪問權(quán)限進行審查； (4) 建立統(tǒng)一的時鐘服務(wù)器，保證日志信息的準確性； (5) 重要資源的訪問控制策略至少要每六個月審計一次 ； (6) 如果在上述審計和檢查工作中發(fā)現(xiàn)有安全事故 ,應(yīng)遵照安全事故 處理流程 進行處理 ； (7) 各級網(wǎng)絡(luò) 管理部門要對所有審計和檢查工作情況記錄登記，并向上級上報網(wǎng)絡(luò)運行狀況報告 ； 信息安全管理 規(guī)程 - 9 - 9 第第 五五 章章 數(shù)數(shù) 據(jù)據(jù) 安安 全全 管管 理理 5.1 數(shù)數(shù) 據(jù)據(jù) 安安 全全 范范 圍圍 數(shù)據(jù)安全范圍是指中國聯(lián)通 安徽分公司通信網(wǎng)所有數(shù)據(jù)對象及其存在形式（如文本、程序、系統(tǒng)數(shù)據(jù)）等 ；需要保護的重要數(shù)據(jù)包括： 系統(tǒng) 數(shù)據(jù) 、 原始話單 、 用戶 數(shù)據(jù)和 操作 數(shù)據(jù) 等 。 5.2 數(shù)數(shù) 據(jù)據(jù) 管管 理理 通通 則則 (1) 數(shù)據(jù)的訪問范圍和權(quán)限設(shè)置必須由系統(tǒng)或業(yè)務(wù)系統(tǒng)管理員集中控制，并可以控制授權(quán)范圍內(nèi)的信息流向和行為方式。 (2) 數(shù)據(jù)訪問采用分級管理， 數(shù)據(jù)的操作必須經(jīng)過嚴格的身份鑒別與權(quán)限控制，確保數(shù)據(jù)訪問 遵循最小授權(quán)原則 。 關(guān)鍵業(yè)務(wù)數(shù)據(jù)和用戶帳號信息必須實 行專人管理； (3) 數(shù)據(jù)的更改應(yīng)嚴格遵循相關(guān)管理辦法及操作規(guī)范執(zhí)行。 應(yīng)采取有效措施防止系統(tǒng)數(shù)據(jù)的非法生成、變更、泄漏、丟失與破壞。 (4) 嚴禁通過系統(tǒng)管理員帳號直接對 系統(tǒng)中存儲、處理或傳輸?shù)臉I(yè)務(wù)數(shù)據(jù)信息進行增加、修改、復(fù)制和刪除等； (5) 重要數(shù)據(jù)的更改必須兩人負責，一人操作，一人審核， 防止使用過程中產(chǎn)生誤操作或被非法篡改； (6) 應(yīng)用軟件對用戶的任何操作均應(yīng)記入日志，日志中包含該用戶的工號、操作時間、操作內(nèi)容等等。日志可由具有權(quán)限的管理人員隨時查詢及統(tǒng)計； (7) 應(yīng)用軟件必須確保各處理環(huán)節(jié)數(shù)據(jù)輸入、輸出的平衡，并進行必要的稽核； (8) 應(yīng)用軟件對重要數(shù)據(jù)應(yīng)進行傳輸加密和完整性校驗處理； (9) 網(wǎng)絡(luò)管理員應(yīng)定期改善網(wǎng)絡(luò)系統(tǒng)的安全策略設(shè)置，盡量減少安全漏洞； (10) 對外提供系統(tǒng)業(yè)務(wù)數(shù)據(jù)的統(tǒng)計必須參照數(shù)據(jù)提取流程進行審批，并簽訂保密協(xié)議，保障數(shù)據(jù)信息的使用 范圍可控制 ； (11) 系統(tǒng)管理員必須定期對系統(tǒng)數(shù)據(jù)的處理和傳輸進行詳細的安全檢查和維護，避免因為系統(tǒng)崩潰和損壞而對系統(tǒng)內(nèi)的信息造成破壞和損失； (12) 系統(tǒng)管理員必須加強對信息的審查，防止和控制非法、有害的信息通過公司內(nèi)部計算機網(wǎng)絡(luò)進行傳播，避免對國家利益、公共利益以及個人利益造成損害； (13) 系統(tǒng)管理員必須對所負責系統(tǒng)的數(shù)據(jù) 內(nèi)容安全進行評測，保護信息的機密性、完整性和可用性，并采取技術(shù)措施對所發(fā)現(xiàn)的漏洞進行補救，防止竊取、冒充信息等。對于發(fā)現(xiàn)的數(shù)據(jù)安全問題必須立即向主管領(lǐng)導(dǎo)和信息安全工作組匯報； (14)數(shù)據(jù)安全保密管理應(yīng) 嚴格執(zhí)行第 六 章保密安全管理的規(guī)定 。 信息安全管理 規(guī)程 - 10 - 10 5.3 存存 儲儲 、 備備 份份 與與 恢恢 復(fù)復(fù) (1) 數(shù)據(jù)備份應(yīng)保證及時、完整、真實、準確地轉(zhuǎn)儲到 外部存儲 介質(zhì)上，并規(guī)定保存期限； (2) 備份介質(zhì)應(yīng)采用性能可靠、不易損壞的介質(zhì)，如磁帶、光盤等，并采取防盜、防毀、防電磁干擾等措施，保障數(shù)據(jù)安全； (3) 備份介質(zhì)應(yīng)注明數(shù)據(jù)的來源、備份日期、恢復(fù)步驟等信息，并于安全環(huán)境保管； (4) 備份數(shù)據(jù)（包括系統(tǒng) 數(shù)據(jù)、原始話單 、 用戶數(shù)據(jù)等 ）應(yīng)專人統(tǒng)一管理。要建立備份介質(zhì)保管登記制度，由專人負責。嚴防數(shù)據(jù)泄密或丟失 ； (5) 備份數(shù)據(jù)盡量做到異地、異人保存； (6) 根據(jù)系統(tǒng)特點制定詳細的備份恢復(fù)方案。重要系統(tǒng)自運行開始必須作好備份與恢復(fù)等應(yīng)急措施，一旦系統(tǒng)出現(xiàn)問題能夠及時恢復(fù)正常； (7) 定期對備份數(shù)據(jù)的可用性進行檢查。要保證備份數(shù)據(jù)是可讀的，經(jīng)常對備份介質(zhì)進行測試； (8) 備份數(shù)據(jù)應(yīng)做到定期全備份和增量備份。備份內(nèi)容包括系統(tǒng)備份和數(shù)據(jù)備份兩部分。系統(tǒng)常規(guī)備份至少每月一次 ，關(guān)鍵業(yè)務(wù) 數(shù)據(jù)備份至少每天一次； (9) 系統(tǒng)進行升級前必須進 行系統(tǒng)的完整備份； (10) 網(wǎng)絡(luò)設(shè)備和主機的配置信息在每次更新后及時備份，更新前的備份按需要保存一定時間； (11) 備份完成后要認真填寫備份日志； (12) 當發(fā)現(xiàn)數(shù)據(jù)丟失后，應(yīng)保護好現(xiàn)場，停止任何操作，立即通知系統(tǒng)管理員，由系統(tǒng)管理員采取相應(yīng)恢復(fù)措施； (13) 如系統(tǒng)管理員不能恢復(fù)數(shù)據(jù)，視數(shù)據(jù)的重要程度，通知相關(guān)領(lǐng)導(dǎo)和信息安全工作組，并聯(lián)系第三方工程師解決； (14) 備份數(shù)據(jù)的恢復(fù)需經(jīng)主管人員簽字認可后，方可進行； (15) 對存儲有涉密數(shù)據(jù)的設(shè)備故障，需交外單位人員修理時，本單位必須派專人在場監(jiān)督； (16) 過期的備份數(shù)據(jù)應(yīng)經(jīng)主管人員認可后，方可銷毀。 第第 六六 章章 保保 密密 安安 全全 管管 理理 6.1 涉涉 密密 數(shù)數(shù) 據(jù)據(jù) 安安 全全 管管 理理 6.1.1 數(shù)數(shù) 據(jù)據(jù) 密密 級級 分分 類類 原原 則則 數(shù)據(jù)密級根據(jù)其內(nèi)容重要性的不同，劃分為：機密、秘密、內(nèi)部、公共四個級別。其中，機密、秘密、內(nèi)部數(shù)據(jù)屬于涉密信息。 信息安全管理 規(guī)程 - 11 - 11 (1) 機密數(shù)據(jù) 機密數(shù)據(jù)是指那些具有最高安全級別，對企業(yè)正常經(jīng)營、管理和安全運行起到至關(guān)重要作用，一旦被非法訪問或篡改，會導(dǎo)致災(zāi)難性的影響，并且這種影響在短時期內(nèi)是不可恢復(fù)的；或者會嚴重影響公司業(yè)務(wù)發(fā)展，使公司在市場競爭中非常被動的關(guān)鍵數(shù)據(jù)。 (2) 秘密數(shù)據(jù) 秘密數(shù)據(jù)是指那些必須在企業(yè)內(nèi)使用，并且有嚴格訪問控制的信息。任何對秘密數(shù)據(jù)的非法訪問、修改或刪除會嚴重影響企 業(yè)內(nèi)計算機系統(tǒng)的安全，但這種影響是可以在短時期內(nèi)恢復(fù)的；或者會對公司業(yè)務(wù)拓展產(chǎn)生不利影響但通過努力可以逐漸扭轉(zhuǎn)的數(shù)據(jù)。 (3) 內(nèi)部數(shù)據(jù) 內(nèi)部數(shù)據(jù)通常是指那些只供公司內(nèi)部使用的信息資料，任何對內(nèi)部數(shù)據(jù)的非法訪問、修改或刪除可能會對企業(yè)安全造成一定的影響，但不可能是嚴重的或不可恢復(fù)的。 (4) 公共數(shù)據(jù) 公共數(shù)據(jù)是指可以公共訪問和對外發(fā)布的信息，并且公共數(shù)據(jù)可以自由散布而不會產(chǎn)生任何安全問題。 6.1.2 涉涉 密密 數(shù)數(shù) 據(jù)據(jù) 密密 級級 確確 認認 (1) 根據(jù) 公司 有關(guān)的保密文件，確定需要保密的信息內(nèi)容、劃分編發(fā)等級、明確信息提供范圍。對于信源單位已提出保密要求的信息， 信息編發(fā)部門要嚴格按照信源單位提出的保密要求和提供范圍確定網(wǎng)上編發(fā)級別；對于未明確密級但內(nèi)容涉密的信息，要根據(jù)有關(guān)的保密規(guī)定，確定編發(fā)級別；對有涉密嫌疑又來源不明的信息不予編發(fā) ； (2) 數(shù)據(jù)的管理者應(yīng)確保這些數(shù)據(jù)被恰當?shù)姆诸?，并確保原創(chuàng)人或其他員工理解他們的責任； (3) 保密文件由擬制人根據(jù)文件密級不同，提交不同級別的領(lǐng)導(dǎo)進行密級確認，保密數(shù)據(jù)由業(yè)務(wù)系統(tǒng)管理員根據(jù)數(shù)據(jù)密級不同，做好數(shù)據(jù)密級分類記錄 ，提交不同級別的領(lǐng)導(dǎo)進行密級確認，數(shù)據(jù)密級分類記錄表可參考附件二 ， 在確認之前不得將文件內(nèi)容透露給與確認密級無關(guān)的人； (4) 密級確 認的具體權(quán)限為： 機密數(shù)據(jù) 、秘密數(shù)據(jù) 由中國聯(lián)通 安徽分公司 領(lǐng)導(dǎo)確認； 內(nèi)部數(shù)據(jù)由各部門經(jīng)理確認； 公共數(shù)據(jù)由發(fā)文單位根據(jù)需要進行確認。 (5) 對涉密數(shù)據(jù)的密級，每年需要評審，密級變化后應(yīng)改變文檔的分類標簽同時通知相關(guān)的人員； (6) 所有的涉密數(shù)據(jù)都有一段密級保持時間。 信息安全管理 規(guī)程 - 12 - 12 6.1.3 涉涉 密密 數(shù)數(shù) 據(jù)據(jù) 的的 獲獲 取取 (1) 必須首先經(jīng)過申請批準，才能查閱文檔、數(shù)據(jù)。查閱權(quán)限申請流程： 機密數(shù)據(jù) 、秘密數(shù)據(jù) ：中國聯(lián)通 安徽分公司領(lǐng)導(dǎo) 及其簽字批準的人員； 內(nèi)部數(shù)據(jù)：部門 經(jīng)理及其簽字批準的人員。 (2) 嚴禁復(fù)制機密數(shù)據(jù)。申請復(fù)制秘密數(shù)據(jù) 、內(nèi)部數(shù)據(jù) 必須 依密級 由 相應(yīng)領(lǐng)導(dǎo)簽字批準； (3) 信息使用、加工處理部門及網(wǎng)絡(luò)管理部門，不得通過不正當?shù)氖侄?，超越?quán)限查看、使用、復(fù)制保密信息，也不能擅自降低保密級別，把 涉密 信息作為非 涉密 信息傳播。 (4) 管理者負責從那些不再需要的員工手中取回任何公司涉密數(shù)據(jù)； 6.1.4 涉涉 密密 數(shù)數(shù) 據(jù)據(jù) 的的 傳傳 遞遞 (1) 涉密數(shù)據(jù)的傳遞必須經(jīng)過審批并采用適當?shù)姆绞竭M行傳遞； (2) 文檔的密級必須清楚地標識在各種電子信息文檔的每一頁上，或每個電子文件的開始；如果不能標識，原創(chuàng)人必須告知所有接受者數(shù)據(jù)的密級； (3) 涉密數(shù)據(jù)的披露或分發(fā)應(yīng)當有所記錄，涉密數(shù)據(jù)的分發(fā)必須發(fā)至收件人本人，并由收件人簽收； (4) 在對外合作中，如確 實需向合作方提供 涉密及 數(shù)據(jù)的，必須按密級由相應(yīng)領(lǐng)導(dǎo)書面批準，并在提供前與之簽訂保密協(xié)議； (5) 內(nèi)部公共數(shù)據(jù)可以按部門分發(fā)或在聯(lián)通內(nèi)部公告欄內(nèi)張貼，也可以在聯(lián)通內(nèi)部計算機網(wǎng)絡(luò)上發(fā)布； (6) 機密、秘密數(shù)據(jù)嚴禁在計算機網(wǎng)絡(luò)上發(fā)布、公開和傳送，內(nèi)部數(shù)據(jù)如需在網(wǎng)絡(luò)上傳送，應(yīng)得到相應(yīng)領(lǐng)導(dǎo)的批準； (7) 計算機信息系統(tǒng)處理、傳遞、儲存涉密信息的文件、資料特別是涉及國家秘密信息的文件、資料時，要嚴格執(zhí)行 BM21-2000 涉及國家秘密的計算機信息系統(tǒng)保密技術(shù)要求。 6.1.5 涉涉 密密 數(shù)數(shù) 據(jù)據(jù) 保保 管管 、 存存 檔檔 (1) 要加強對計算機介質(zhì)（軟盤、磁帶、光盤、磁卡等）的 管理，對儲存有秘密文件、資料的計算機等設(shè)備要有專人或兼職人員操作，采取必要的防范措施，嚴格對涉密存儲介質(zhì)的管理，建立規(guī)范的管理制度，存儲有涉密內(nèi)容的介質(zhì)一律不得進入互聯(lián)網(wǎng)絡(luò)使用 ； (2) 機密、秘密數(shù)據(jù)由數(shù)據(jù)的簽收人和簽發(fā)人親自保管。內(nèi)部數(shù)據(jù)由收件人本人或本部門專人保管，內(nèi)部公共數(shù)據(jù)一般由各部門專人保管； (3) 涉密數(shù)據(jù)的查閱和復(fù)制應(yīng)當在文件保管人處進行登記，以備核查； (4) 如涉密數(shù)據(jù)的保管人不慎將文件丟失，應(yīng)立即向相應(yīng)的領(lǐng)導(dǎo)匯報情況，盡快挽回損失，減小影響； 信息安全管理 規(guī)程 - 13 - 13 (5) 中國聯(lián)通 安徽分公司 機密以及行政機密、內(nèi)部數(shù)據(jù)在文件管理部門存檔； (6) 各部門機密、秘密數(shù)據(jù)在部門內(nèi)存檔； (7) 在文檔和程序中注明版權(quán)（非授權(quán)批準）不允許傳遞（賣）給第三方； (8) 時效性特別強的信息的處理不能通過 EMAIL、電話等等，除非這些信息己經(jīng)公開發(fā)布； (9) 在日常工作時間之外，所有員工必須清除所有的桌面和辦公場所，保護有價值和涉密數(shù)據(jù)； (10) 在日常工作時間之外，含有涉密數(shù)據(jù)的必須加密，除非特別授權(quán)； (11) 在無人照看的場所應(yīng)保護敏感信息（鎖在柜中、如果離開時間超過 30 分鐘房間應(yīng)上鎖）； (12) 在個人計算機上的涉密數(shù)據(jù)存儲，必須加設(shè)訪問口令；如果拷貝到可移動介質(zhì)上，應(yīng)加上涉密分類區(qū)別 ，介質(zhì) 不再使用 時，需要鎖在柜中； (13) 計算機存儲介質(zhì)不再用于涉密數(shù)據(jù)存儲時，必須要進行消磁或者重新格式化； 系統(tǒng)內(nèi)涉密數(shù)據(jù)數(shù)據(jù)不再有效時，應(yīng)由數(shù)據(jù)使用部門提出正式申請，系統(tǒng)擁有者或信息安全經(jīng)理簽字 審批后，由系統(tǒng)管理員立即進行徹底刪除，并由第三者進行確認； (14) 不要在 PC 或者 個人工作臺上保留涉密數(shù)據(jù)（除非信息安全組批準并實施了控制方法）； (15) 執(zhí)行公司或行業(yè)的其它信息保密制度。 6.2 涉涉 密密 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 管管 理理 (1) 凡使用互聯(lián)網(wǎng)絡(luò)的部門，必須有一位領(lǐng)導(dǎo)分管并指定專人負責本單位或本部門網(wǎng)絡(luò)節(jié)點內(nèi)安全保密工作，經(jīng)常進行監(jiān)督、檢查，處理本單位涉及網(wǎng)絡(luò)安全保密的有 關(guān)事宜，并協(xié)助主管部門開展安全保密工作的檢查指導(dǎo) ； (2) 網(wǎng)絡(luò)運行 維護 ，必須有技術(shù)上的安全和保密控制措施，拒絕未經(jīng)授權(quán)的訪問 ； (3) 計算機網(wǎng)絡(luò)用戶的口令和采取的安全措施，屬于秘密級事項；有調(diào)閱機密內(nèi)容權(quán)限的用戶口令和網(wǎng)絡(luò)系統(tǒng)級口令及安全措施屬于機密事項，不能轉(zhuǎn)告非授權(quán)用戶 ； (4) 不得在網(wǎng)上擅自 連 接各類網(wǎng)絡(luò)設(shè)備。所有網(wǎng)絡(luò)設(shè)備的增減與變動，其技術(shù)方案必須經(jīng) 過審批， 并 在聯(lián)通 技術(shù)人員 的監(jiān)督下執(zhí)行； (5) 各 部門 需要安裝主機、服務(wù)器等設(shè)備時，必須預(yù)先報 系統(tǒng)主管部門 核準，并由 其 進行安全和技術(shù)審核，分配網(wǎng)絡(luò)地址和設(shè)置安全措施后，方可實施安裝 ； (6) 各單位需要通過互聯(lián)網(wǎng)與外單位進行信息（含數(shù)據(jù)）交換，應(yīng)經(jīng)過 公司 提供的統(tǒng)一網(wǎng)絡(luò)信道進出。由于特殊原因個別部門要求建立獨立的網(wǎng)絡(luò)信息通道時，應(yīng)事先報 公司 領(lǐng)導(dǎo)批準并經(jīng) 系統(tǒng)主管部門 進行內(nèi)部技術(shù)安全審查 ； (7) 對預(yù)先未經(jīng)安全技術(shù)審核、批準，而私自接入或使用網(wǎng)絡(luò)設(shè)備的單位以及進行其他違章操作的單位，一經(jīng)發(fā)現(xiàn)，即停止該單位的入網(wǎng)資格，并拆除私自聯(lián)入的設(shè)備。造成損失的，要追究責任 ； (8) 經(jīng)核準配備主機、服務(wù)器，自建網(wǎng)絡(luò)的單位，其自建網(wǎng)絡(luò)的安全保密工作由該網(wǎng)絡(luò)的技術(shù)安全管理部門負責，并承擔由于自建網(wǎng)絡(luò)導(dǎo)致的保密和安 信息安全管理 規(guī)程 - 14 - 14 全責任 ； (9) 凡屬 公司涉 密文件、資料一律不得輸入計算機互聯(lián)網(wǎng)絡(luò)，本單位、本部門科學研究方面的文件、資料、成果，如屬國家秘密范圍，不得進入互聯(lián)網(wǎng)絡(luò) ； (10) 必須做好 涉密數(shù)據(jù) 的保管工作，管好秘密源頭。 6.3 涉涉 密密 人人 員員 安安 全全 管管 理理 (1) 必須簽訂保密協(xié)議，保密協(xié)議應(yīng)包括： 保密的內(nèi)容和范圍 保密的期限 雙方的義務(wù) 違約責任 (2) 基本保密義務(wù)： 應(yīng)當遵守組織的保密制度，妥善保管其所保存的組織秘密資料，不得刺探與本職工作、本身業(yè)務(wù)無關(guān)的公司秘密，不得泄露公司的技術(shù)秘密； 非經(jīng)公司書面同意，不得利用公司的商業(yè)秘密進行生產(chǎn)、經(jīng)營和兼職活動，不得利用公司的商業(yè)秘密組 建新的企業(yè)； 如果發(fā)現(xiàn)公司秘密被泄露，應(yīng)當采取有效措施防止泄密擴大，并及時告知公司； 無論是在職還是離職，不得披露、使用或者允許他人使用公司的商業(yè)秘密，不得利用公司的商業(yè)秘密從事兼職活動，不得利用公司的商業(yè)秘密到其他單位任職； 員工離職時，應(yīng)當將所持有的秘密資料如數(shù)歸還公司，不得保留拷貝； 員工離職后在約定期限內(nèi)不得泄露原公司機密。 第第 七七 章章 防防 病病 毒毒 安安 全全 管管 理理 7.1 建建 立立 病病 毒毒 預(yù)預(yù) 警警 機機 制制 (1) 制定防病毒的管理制度和操作指南； (2) 設(shè)立專門的管理員負責防病毒的管理工作； (3) 管理員要 及時了解防殺計算機病毒廠商公布的計算機病毒情報， 關(guān)注 新產(chǎn)生的 、傳播面廣的計算機病毒，并知道它們的發(fā)作特征和存在形態(tài)，及時發(fā)現(xiàn)計算機系統(tǒng)出現(xiàn)的異常是否與新的計算機病毒有關(guān) ； (4) 管理員要 及時了解 操作系統(tǒng)廠商所發(fā)布的漏洞情況，對于很可能被病毒利用的遠程控制的漏洞要及時提醒用戶安裝相關(guān)補丁； (5) 對有嚴重破壞力的計算機病毒的爆發(fā)日期或爆發(fā)條件，及時通知所有相關(guān)人員進行相應(yīng)防范。 信息安全管理 規(guī)程 - 15 - 15 (6) 如遇病毒安全事故，則按照信息安全事件響應(yīng)。 7.2 防防 病病 毒毒 軟軟 件件 的的 安安 裝裝 使使 用用 (1) 防病毒軟件的部署： 應(yīng)在全網(wǎng)范圍內(nèi)建立多層次的防病毒體系，要使用國家規(guī)定的、服務(wù)技術(shù)支持優(yōu)秀、具有計算機使用系統(tǒng)安全專用產(chǎn)品銷售許可證的網(wǎng) 絡(luò)防病毒產(chǎn)品。 每個 市 分公司對防病毒軟件的部署應(yīng)該做到統(tǒng)一規(guī)劃，統(tǒng)一部署，統(tǒng)一管理。 在 Internet 出口處部署網(wǎng)關(guān)型防病毒軟件，重點要對進入網(wǎng)絡(luò)的 SMTP郵件進行實時病毒過濾； 在 Lotus、 Exchange 等群件系統(tǒng)上部署群件防病毒軟件，對郵件、文檔等進行實時的病毒過濾， 防止計算機病毒通過 群 件服務(wù)器擴散、傳播 ； 在所有的 Windows 服務(wù)器與客戶端中部署病毒實時監(jiān)控軟件； 服務(wù)器和客戶端的防病毒系統(tǒng)必須能夠統(tǒng)一管理，可以統(tǒng)一升級、殺毒、監(jiān)控。 (2) 防病毒軟件的安裝： 對新購進的計算機及設(shè)備，在安裝完操作系 統(tǒng)后，要在第一時間內(nèi)安裝防病毒軟件； 沒有安裝防病毒軟件的 Windows 系統(tǒng)不得接入到生產(chǎn)網(wǎng)絡(luò)中； 防病毒軟件的類型遵循統(tǒng)一規(guī)劃，不得私自安裝其他類型的軟件。 (3) 防病毒軟件的升級： 病毒特征庫至少要做到每天自動升級檢查，自動部署； 對病毒特征庫的升級情況應(yīng)該進行手工檢查，將當前版本與軟件廠商在網(wǎng)站上公布的版本進行比較。應(yīng)該每周檢查一次； 一旦出現(xiàn)傳播速度快，威脅大的新病毒，應(yīng)該立即進行手工升級。 (4) 防病毒軟件的維護： 防病毒系統(tǒng)管理員負責軟件的總體維護，定期（每天）檢查防病毒服務(wù)器端軟件的運轉(zhuǎn)情況，如有異常及時 處理； 各個服務(wù)器系統(tǒng)的管理員有責任維護本機防病毒系統(tǒng)的正常運轉(zhuǎn)，也需要定期對防病毒軟件的升級情況進行監(jiān)控。如果遇到問題或者病毒報警，與防病毒管理員共同解決。 7.3 防防 范范 病病 毒毒 措措 施施 (1) 操作系統(tǒng)和應(yīng)用軟件應(yīng)該及時安裝最新的穩(wěn)定版安全補丁，防止被病毒利用相關(guān)的漏洞；系統(tǒng)安全小組成員每周對防病毒軟件進行安裝、升級版本的更新情況進行檢查，并形成相應(yīng)的檢查報告經(jīng)系統(tǒng)擁有者簽字確認后存檔； (2) 操作 系統(tǒng) 和重要應(yīng)用的管理員帳號的口令應(yīng)該具備一定的復(fù)雜度，防止被病毒利用，口令設(shè)置遵循本規(guī)程第 三 章用戶帳號與口令安全 管理 ； (3) 關(guān)鍵服務(wù)器 要盡量做到專機專用，不應(yīng)該開啟任何網(wǎng)絡(luò)共享； 信息安全管理 規(guī)程 - 16 - 16 (4) 對共享的網(wǎng)絡(luò)文件服務(wù)器，應(yīng)特別加以維護，控制讀寫權(quán)限，盡量不在服務(wù)器上 遠程 運行軟件程序 ； (5) 充分發(fā)揮入侵檢測系統(tǒng)的網(wǎng)絡(luò)病毒監(jiān)控作用，對于相關(guān)警報要及時發(fā)現(xiàn)、跟蹤、消除； (6) 對于出現(xiàn)的最新病毒，在廠家沒有發(fā)布特征庫解決方案之前，要根據(jù)病毒自身特點在網(wǎng)關(guān)處進行內(nèi)容過濾； (7) 在網(wǎng)絡(luò)設(shè)備上關(guān)閉病毒的常用端口； (8) IE 安全級別設(shè)置在中以上，對 ActiveX 控件要確認安全后才可打開； (9) 建立網(wǎng)內(nèi)防病毒技術(shù)支持系統(tǒng)，使用電話、郵件等手段對用戶在防病毒方面進行技術(shù)支持。 7.4 病病 毒毒 處處 理理 (1) 隔離受 感染主機： 當出現(xiàn)計算機病毒傳染跡象時，立即隔離被感染的系統(tǒng)和網(wǎng)絡(luò)，并進行處理，原則上不應(yīng)帶“毒”繼續(xù)運行； (2) 確定病毒種類特征： 采用多種手段確定病毒的類型和傳播途徑，如查看防病毒軟件的報警信息、搜索互聯(lián)網(wǎng)相關(guān)信息、和防病毒廠商溝通等途徑。對于未知病毒，可以盡快提交給有關(guān)部門或廠商； (3) 防止擴散： 如果出現(xiàn)大面積傳播的趨勢，要根據(jù)病毒的傳播形式，采取網(wǎng)絡(luò)訪問控制、內(nèi)容過濾等手段控制病毒的擴散； (4) 查殺病毒： 盡量使用專殺工具對病毒進行查殺，殺毒完成后，重啟計算機，再次用最新升級的 防病毒軟件檢查系統(tǒng)中是否還存在該病毒，如是系統(tǒng)漏洞應(yīng)及時打上相應(yīng)補丁，并確定被感染破壞的數(shù)據(jù)是否確實完全恢復(fù)； (5) 如果重要數(shù)據(jù)文件被感染，無法修復(fù)，可以請數(shù)據(jù)恢復(fù)的專業(yè)人員進行處理。 7.5 員員 工工 防防 病病 毒毒 安安 全全 管管 理理 (1) 重視管理員發(fā)布的病毒和補丁通告，提高病毒的防范意識，及時安裝操作系統(tǒng)補?。?(2) 只有安裝了防病毒軟件的計算機系統(tǒng)才能夠接入聯(lián)通內(nèi)部計算機網(wǎng)絡(luò)，防病毒軟件必須選擇聯(lián)通統(tǒng)一指定的類型； (3) 用戶有協(xié)助管理員維護本機系統(tǒng)防病毒軟件的義務(wù)，如果防病毒軟件出現(xiàn)工作異常，病毒特征庫過舊 (更新時間為兩周前 )等問題，應(yīng)該及時通知管理 員進行維護； (4) 嚴禁用戶以任何方式卸載防病毒軟件和停止防病毒服務(wù)； (5) 軟盤、光盤等移動媒體，以及外來的系統(tǒng)和軟件，下載軟件等，要先進行計 信息安全管理 規(guī)程 - 17 - 17 算機病毒檢查，確認無計算機病毒后才可以使用；嚴禁使用未經(jīng)清查的、來歷不明的軟盤、光盤等； (6) 不要閱讀和傳播來歷不明的郵件，用郵件客戶端收取郵件時設(shè)置默認為文本方式； (7) 如果發(fā)現(xiàn)本機有感染病毒的跡象，應(yīng)立刻通知系統(tǒng)管理員，必要時拔掉網(wǎng)線。 (8) 定期對所有重要敏感數(shù)據(jù)進行備份； (9) 用戶有義務(wù)為自己的電腦設(shè)置帳戶口令，口令長度 8 位以上，不得設(shè)置簡單口令，口令設(shè)置遵循本規(guī)程第 三 章用戶帳號與口令 安全 管理 ； (10) 定期對自己的電腦進行殺毒和漏洞掃描； 第第 八八 章章 終終 端端 用用 戶戶 安安 全全 管管 理理 8.1 終終 端端 安安 全全 管管 理理 根據(jù)終端用途的不同，將終端分為：辦公終端和系統(tǒng)維護終端 兩 大類。對終端管理要求如下： (1) 發(fā)現(xiàn)終端 運行異常，及時與 終端維護部門或單位 聯(lián)系，非專業(yè)管理人員不得擅自拆開終端調(diào)換設(shè)備配件 ； (2) 外來人員攜帶電腦需要接入聯(lián)通內(nèi)部計算機網(wǎng)絡(luò)的，必須征得相關(guān) 部門 負責人允許方可接入，并且要在相關(guān)人員隨工的情況下完成操作； (3) 新購終端入網(wǎng)前要進行病毒掃描并統(tǒng)一部署安全軟件（如：防病毒軟件、網(wǎng)絡(luò)防火墻和入侵檢測軟件等）； (4) 系統(tǒng)維護終端只能用來進行系統(tǒng)維護 管理和優(yōu)化操作，不得接入互聯(lián)網(wǎng)。 8.2 終終 端端 用用 戶戶 帳帳 戶戶 與與 口口 令令 管管 理理 終端用戶要嚴格遵循本規(guī)程第 三 章用戶帳號與口令安全 管理 中的有關(guān)規(guī)定，定期更換口令，并盡量避免口令泄露，否則按照安全事件的嚴重程度追究相應(yīng)人員的責任。 8.3 終終 端端 用用 戶戶 行行 為為 規(guī)規(guī) 范范 (1) 未經(jīng)授權(quán)嚴禁使用他人帳號口令進行系統(tǒng)操作； (2) 不得隨意將終端設(shè)備提供給他人使用，長時間離開時，應(yīng)將終端置于鎖定狀態(tài)或關(guān)機； (3) 不得利用終端安裝或使用嗅探、掃描、攻擊等各類黑客軟件進行信息竊取或攻擊他人或其他系統(tǒng)； (4) 禁止 利用 終端 從事危害國家安全、泄漏國家秘密等違法犯罪活動， 禁止 編制、運行、 傳播危害網(wǎng)絡(luò)安全的軟件， 禁止 制作、查閱、復(fù)制和傳播妨礙社會治 信息安全管理 規(guī)程 - 18 - 18 安的信息和淫穢色情等信息 ； (5) 用戶私自安裝盜版軟件造成版權(quán)爭議的，應(yīng)由該用戶承擔責任；用戶私自安裝盜版軟件或游戲的，經(jīng)發(fā)現(xiàn)應(yīng)通知其主管領(lǐng)導(dǎo)，造成公司損失的，應(yīng)追究其相應(yīng)責任； (6) 禁止利用終端進行大量占用網(wǎng)絡(luò)資源的操作，以免造成整體網(wǎng)絡(luò)處理性能的下降； (7) 禁止用戶隨意改動自己的網(wǎng)絡(luò)參數(shù)配置，包括 IP 地址、網(wǎng)關(guān)、子網(wǎng)掩碼、DNS、域服務(wù)器等； (8) 禁止用戶采用任何工具私自修改網(wǎng)卡的 MAC 地址。 8.4 終終 端端 用用 戶戶 防防 病病 毒毒 安安 全全 管管 理理 終端用戶必須提高病毒的防范意識，嚴格遵循本規(guī) 程第 七 章防病毒安全管理中的規(guī)定，統(tǒng)一部署殺毒軟件，及時更新病毒庫。 第第 九九 章章 安安 裝裝 及及 升升 級級 安安 全全 管管 理理 9.1 軟軟 件件 安安 裝裝 安安 全全 管管 理理 (1) 所有新的應(yīng)用系統(tǒng)軟件或者軟件增強部分功能必須在用戶需求說明中詳細定義，并提交給業(yè)務(wù)系統(tǒng)管理員審核； (2) 所有的應(yīng)用軟件包必須與中國聯(lián)通首選并且認證過的計算機系統(tǒng)平臺保持兼容； (3) 為了遵守法規(guī)和取得賣方的各方面支持，軟件必須附帶包括各種條款的最終用戶授權(quán)協(xié)議； (4) 新軟件和升級軟件在實施前必須搭建測試環(huán)境進行功能、性能和兼容性測試。測試前應(yīng)提供測試方案，測試后提供詳細的測試報告 ； (5) 公司應(yīng)有明確規(guī)定各類服務(wù)器設(shè)備 、終端安裝的軟件，禁止安裝盜版軟件和非認可軟件 (6) 對于公司設(shè)備及所安裝的軟件及 LICENSE 應(yīng)有清晰的記錄； (7) 對于非規(guī)定范圍內(nèi)的軟件安裝前應(yīng)由系統(tǒng)維護人員進行評估和記錄，并交由信息安全經(jīng)理審核批準后，方可認為為認可軟件，進入系統(tǒng)使用 (8) 制定所有設(shè)備（含終端設(shè)備）所安裝軟件定期（ 6 個月）和不定期檢查流程，并進行結(jié)果通報；檢查內(nèi)容包括設(shè)備型號、具體配置、安裝的軟件名稱、用途、許可證號等 9.2 主主 機機 設(shè)設(shè) 備備 安安 裝裝 安安 全全 管管 理理 每個操作系統(tǒng)必須要有系統(tǒng)加固手冊，信息安全工作組應(yīng)對每一平臺 (如 Linux, 信息安全管理 規(guī)程 - 19 - 19 Solaris, Windows, HPUX, AIX 等 )的加固方式進行評估。系統(tǒng)的加固手冊應(yīng)至少包括如下內(nèi)容： 關(guān)閉不必要的服務(wù)； 系統(tǒng)中的密碼設(shè)置 要嚴格遵循本規(guī)程第三章用戶帳號與口令安全管理中的有關(guān)規(guī)定 ； 系統(tǒng)管理員可以鎖定賬號和為用戶賬號進行解鎖； 系統(tǒng)安裝運行所需要的 PATCH 的列表 ； 禁用不必要的用戶和用戶組； 系統(tǒng)配置和配置程序應(yīng)加強設(shè)置的訪問和修改權(quán)限。例如在 Unix 系統(tǒng)上的 /etc/* 的訪問和修改權(quán)限的設(shè)置和在 Windows 系統(tǒng)上可修改有關(guān) Password Policy 的 Registry 的權(quán)限 ； 開啟 或安裝必要的日志審計功能，對于系統(tǒng)配置的修改需要應(yīng)留下審計日志及審計日志的保留時限。 操作系統(tǒng)的安全管理還需要包括下面的內(nèi)容： (1) 主機設(shè)備初始安裝后必須安裝廠商提供的最新系統(tǒng)補丁。系統(tǒng)管理員在接受到安全監(jiān)督員的安全通告后，應(yīng)根據(jù)軟件安全規(guī)程中的要求進行補丁升級； (2) 主機設(shè)備上線運行前或者新應(yīng)用系統(tǒng)上線前，系統(tǒng)管理員需要對操作系統(tǒng)進行加固； (3) 如果沒有特殊情況，嚴格禁止使用在線運行的服務(wù)器進行瀏覽網(wǎng)頁或下載操作； (4) 在線運行的服務(wù)器禁止任何未正式批準的變更操作，包括安裝不相關(guān)的軟件、修改配置、增加用戶等。所有變更操作 必須經(jīng)系統(tǒng)管理員批準并進行變更記錄。有重大影響的變更需要得到相關(guān)部門領(lǐng)導(dǎo)批準，并及時通知所有用戶； (5) 系統(tǒng)管理員需要定期檢查系統(tǒng)日志，特別是安全日志 ； (6) 對于無法進行上述加固的系統(tǒng)或者新上應(yīng)用系統(tǒng)與上述加固方案有沖突， 系統(tǒng)開發(fā)者和系統(tǒng)管理員應(yīng)對 無法 進行加固的系統(tǒng)作風險評估 ， 風險評估的報告應(yīng)交由安全小組作分析 ， 如安全小組組長 同意 分析結(jié)果則系統(tǒng)可以對某些加固措施 放松。對于無法進行系統(tǒng)加固或者加固措施放松的系統(tǒng)，每半年至少進行一次系統(tǒng)的安全檢查，并將檢查結(jié)果記錄到系統(tǒng)安全檢查記錄表（見附件三）。 (7) 對于無法進行上述加固 的系統(tǒng)，應(yīng)用系統(tǒng)開發(fā)者和系統(tǒng)管理員對無法進行加固的系統(tǒng)作風險評估，風險評估的報告應(yīng)交由系統(tǒng)擁有者確認和認可。 (8) 對于新上應(yīng)用系統(tǒng)與上述加固方案有沖突，系統(tǒng)開發(fā)者和系統(tǒng)管理員應(yīng)對系統(tǒng)作風險評估，交由系統(tǒng)擁有者確認，認可風險評估則可以對加固措施放松。 (9) 對于無法加固的或者加固措施放松的系統(tǒng)， 至少 每半年進行一次系統(tǒng)的安全檢查，并將檢查結(jié)果記錄到系統(tǒng)安全檢查記錄表中；對于進行加固的系統(tǒng) 至少 每年進行一次系統(tǒng)的安全檢查，并將檢查結(jié)果記錄到系統(tǒng)安全檢查記錄表中，并由系統(tǒng)擁有者進行審核；同時，根據(jù)檢查的結(jié)果和安全要求，更新系統(tǒng) 的安全加固手冊。 信息安全管理 規(guī)程 - 20 - 20 9.3 網(wǎng)網(wǎng) 絡(luò)絡(luò) 設(shè)設(shè) 備備 安安 裝裝 安安 全全 管管 理理 (1) 網(wǎng)絡(luò)設(shè)備在購入時要保證是最新的設(shè)備軟件版本，并且定期進行升級，保證其安全性； (2) 網(wǎng)絡(luò)設(shè)備上線時要進行一些專門的安全功能設(shè)置，如： 采用安全方式 (如安全協(xié)議、串口連接等 )對網(wǎng)絡(luò)設(shè)備進行遠程或本地管理，禁止以明文傳輸協(xié)議進行遠程管理網(wǎng)絡(luò)設(shè)備； 配置身份認證、授權(quán)和統(tǒng)計； 對密碼進行高級別的加密保護； 加強對基于廣播的風暴攻擊的防范； 加強對內(nèi)部地址欺騙的防范； 加強對源路由欺騙的防范； 禁止不必要的服務(wù)，實行最小服務(wù)原則； 加強對于 SNMP 的默認管理字符串的安全管理； 依據(jù) 需求提升訪問控制規(guī)則的嚴格程度； 設(shè)置明確的禁止非授權(quán)訪問的警告提示。 9.4 補補 丁丁 /升升 級級 安安 全全 管管 理理 9.4.1 補補 丁丁 /升升 級級 檢檢 查查 (1) 各單位 /部門的安全監(jiān)督員應(yīng)定期檢查系統(tǒng)或相關(guān)安全軟件的補丁或升級文件的更新情況； (2) 安全監(jiān)督 員要根據(jù)廠商的補丁公告和安全公告的緊急程度以及對系統(tǒng)的影響上報給信息安全工作組。 9.4.2 補補 丁丁 /升升 級級 文文 件件 下下 載載 (1) 安全監(jiān)督員及時向相關(guān)部門通告補丁或升級信息； (2) 系統(tǒng)管理員根據(jù)通告自行下載； (3) 所有補丁或升級文件的下載應(yīng)盡量從原廠商的技術(shù)支持網(wǎng)站下載或原廠商提供的光盤文件中獲得，以保障補丁或升級文件的可靠性。 9.4.3 補補 丁丁 /升升 級級 文文 件件 安安 裝裝 (1) 各部門針對自己的情況，安排補丁或升級文件的測試，以防止補丁或升級文件與現(xiàn)有業(yè)務(wù)或應(yīng)用系統(tǒng)的沖突，應(yīng)綜合考慮安裝補丁對系統(tǒng)安全和運行效率的影響； 信息安全管理 規(guī)程 - 21 - 21 (2) 補丁安裝升級工作需相關(guān)的系統(tǒng)管理員的授權(quán)，由他們根據(jù)系統(tǒng)的實際情況決定是否進行補丁的安裝； (3) 系統(tǒng)管理員在 安裝補丁之前需要 對重要系統(tǒng)進行 備份，制訂 嚴密的實施 方案和回退措施； (4) 系統(tǒng)管理員 對升級補丁的執(zhí)行情況必須上報給安全監(jiān)督員。 9.5 變變 更更 管管 理理 9.5.1 軟軟 件件 變變 更更 的的 安安 全全 管管 理理 (1) 軟件變更必須嚴格進行版本控制，版本的差異有明確的記錄； (2) 檢查所有提出的系統(tǒng)更新，評估更新會 否 破壞系統(tǒng)或操作環(huán)境 的安全。 9.5.2 系系 統(tǒng)統(tǒng) 配配 置置 安安 全全 管管 理理 應(yīng)保護及控制系統(tǒng)配置信息，控制措施如下： (1) 對測試軟件時使用的系統(tǒng)軟硬件、操作系統(tǒng)、數(shù)據(jù)庫等配置參數(shù)建立系統(tǒng)化的管理文檔，并指定各系統(tǒng)管理員管理； (2) 建立管理文檔訪問控制程序，給予不同角色的人不同的訪問權(quán)限；對于無權(quán)限但需訪問人員需向系統(tǒng)維護組長申請并批準、系統(tǒng)安全管理員登記后進行訪問；當測試的系統(tǒng)各種配置參數(shù)應(yīng)用上線后應(yīng)作標記，并進行登記； (3) 系統(tǒng)應(yīng)通過日志記錄操作參數(shù)的訪問記錄，以便提供審計追蹤 (4) 系統(tǒng)各種配置參數(shù)應(yīng)進行備份 (5) 系統(tǒng)各種配置參數(shù)發(fā)生變化時，對于參數(shù)變更進行登記和 及時更新相關(guān)文檔。 第第 十十 章章 應(yīng)應(yīng) 急急 安安 全全 管管 理理 10.1 應(yīng)應(yīng) 急急 工工 作作 定定 義義 信息安全應(yīng)急工作主要是指由于自然、社會及技術(shù)問題而引起重大的信息災(zāi)害后，為盡可能減少系統(tǒng)損失而采取的應(yīng)急工作，其中信息災(zāi)害包括不可預(yù)期的黑客攻擊， DoS 入侵，系統(tǒng)崩潰等重大信息安全問題。信息安全應(yīng)急工作 的目的是以最快速度恢復(fù)系統(tǒng)的機密性、完整性和可用性，阻止和減小安全事件帶來的影響。同時收集與突發(fā)安全事件有關(guān)的信息，提供有價值的報告和建議。 信息安全管理 規(guī)程 - 22 - 22 10.2 應(yīng)應(yīng) 急急 響響 應(yīng)應(yīng) 組組 的的 組組 建建 (1) 中國聯(lián)通安徽分公司運行維護部和安徽聯(lián)通各市 級分公司應(yīng)設(shè)置信息安全應(yīng)急響應(yīng)機構(gòu)，由專業(yè)的應(yīng)急響應(yīng)人員組成 。負責設(shè)計和實施整體應(yīng)急方案，管理 通信網(wǎng) 信息系統(tǒng)安全的應(yīng)急事務(wù)，協(xié)調(diào)各 級 應(yīng)急響應(yīng)人員、其他安全管理人員或安全服務(wù)商，并向管理層匯報應(yīng)急響應(yīng)工作情況； (2) 中國聯(lián)通安徽分公司運行維護部和安徽聯(lián)