集團(tuán)公司信息安全規(guī)范

集團(tuán)公司信息安全規(guī)范1主要內(nèi)容和適用范圍1.1為確保集團(tuán)公司（簡(jiǎn)稱集團(tuán)公司）信息網(wǎng)絡(luò)與信息系統(tǒng)的安全、可靠、穩(wěn)定運(yùn)行，健全、規(guī)范集團(tuán)公司信息安全制度，特制定本規(guī)范。1.2本規(guī)范適用于集團(tuán)公司及各分（子）公司、所屬單位。2總則2.1本規(guī)范包括總體安全、網(wǎng)絡(luò)邊界安全防護(hù)、物理層安全、網(wǎng)絡(luò)層安全、平臺(tái)安全、安全管理、審計(jì)評(píng)估。2.2集團(tuán)公司的網(wǎng)絡(luò)與信息系統(tǒng)的安全由集團(tuán)公司辦公廳負(fù)責(zé)管理。2.3在保證集團(tuán)公司網(wǎng)絡(luò)信息安全的前提下，逐步建立全面的安全防護(hù)和安全管理。針對(duì)集團(tuán)公司網(wǎng)絡(luò)狀況和實(shí)際應(yīng)用情況，信息安全體系在“統(tǒng)一規(guī)劃”的前提下，進(jìn)行“分步實(shí)施，逐步完善”。3總體安全3.1針對(duì)集團(tuán)公司信息安全要求，集團(tuán)公司及各分（子）公司、所屬單位必須從以下方面加以規(guī)范：物理層、網(wǎng)絡(luò)層、平臺(tái)安全、安全管理和審計(jì)評(píng)估。集團(tuán)公司總體網(wǎng)絡(luò)安全示意圖：3.2安全策略的管理：3.2.1對(duì)本單位所管轄的信息網(wǎng)絡(luò)與信息系統(tǒng)必須在建設(shè)過程中進(jìn)行安全風(fēng)險(xiǎn)評(píng)估，并根據(jù)評(píng)估結(jié)果制定安全策略；3.2.2對(duì)已投入運(yùn)行且已建立安全體系的系統(tǒng)定期進(jìn)行漏洞掃描，以便及時(shí)發(fā)現(xiàn)系統(tǒng)的安全漏洞;3.2.3對(duì)安全體系的各種日志（如入侵檢測(cè)日志等）審計(jì)結(jié)果進(jìn)行認(rèn)真的研究，及時(shí)發(fā)現(xiàn)系統(tǒng)的安全漏洞;3.2.4定期分析本系統(tǒng)的安全風(fēng)險(xiǎn)及漏洞，分析當(dāng)前黑客入侵的特點(diǎn)，及時(shí)調(diào)整安全策略。4網(wǎng)絡(luò)邊界安全防護(hù)4.1防火墻的拓?fù)湮恢茫涸诩瘓F(tuán)公司信息網(wǎng)絡(luò)與信息系統(tǒng)中，在網(wǎng)絡(luò)邊界和對(duì)外出口處，必須配置防火墻，嚴(yán)禁有任何旁路防火墻的鏈接。4.2防火墻的使用規(guī)范：定期更新管理密鑰；記錄防火墻日志，保留90天內(nèi)的所有日志數(shù)據(jù)；控制并關(guān)閉與業(yè)務(wù)無關(guān)的數(shù)據(jù)通信端口；對(duì)普通系統(tǒng)用戶，禁止ICMP協(xié)議通過防火墻；禁止NETBIOS協(xié)議通過防火墻；禁止所有未定義的數(shù)據(jù)通信通過防火墻；規(guī)范、控制開放遠(yuǎn)程管理的范圍，在遠(yuǎn)程管理時(shí)，限定用于管理的主機(jī)地址；明確定義允許進(jìn)、出的流量。4.3計(jì)算機(jī)設(shè)備在連接局域網(wǎng)和集團(tuán)公司廣域網(wǎng)的同時(shí)，禁止以其他任何方式（如撥號(hào)上網(wǎng)、ISDN、ADSL等）與Internet相連。4.4接入信息安全區(qū)中的安全產(chǎn)品，必須使用經(jīng)過國(guó)家有關(guān)安全部門認(rèn)證的國(guó)產(chǎn)產(chǎn)品，其中電力專用安全產(chǎn)品還必須經(jīng)過電力安全主管部門檢測(cè)認(rèn)證，并經(jīng)由本單位的安全管理員以及本單位信息部門負(fù)責(zé)人的審查批準(zhǔn)后，方可實(shí)施接入。4.5通用安全產(chǎn)品以及專用安全產(chǎn)品都必須通過電力系統(tǒng)強(qiáng)電磁環(huán)境中的電磁干擾和電磁兼容測(cè)試。4.6未實(shí)施安全管理措施的計(jì)算機(jī)設(shè)備禁止與Internet相連。5物理層安全5.1物理層安全包括:環(huán)境安全和設(shè)備、設(shè)施安全，應(yīng)采取適當(dāng)?shù)囊?guī)范措施:機(jī)房建設(shè)、機(jī)房環(huán)境的要求必須符合國(guó)家、行業(yè)的相關(guān)規(guī)范，及《集團(tuán)公司廣域網(wǎng)絡(luò)系統(tǒng)管理辦法（試行）》中的附件一《集團(tuán)公司廣域網(wǎng)機(jī)房管理制度（試行）》；重要設(shè)備及主干鏈路，應(yīng)建立冗余及備份措施。6網(wǎng)絡(luò)層安全6.1廣域網(wǎng)的安全對(duì)各分（子）公司、所屬單位廣域網(wǎng)的安全，應(yīng)嚴(yán)格按照《集團(tuán)公司廣域網(wǎng)絡(luò)系統(tǒng)管理辦法（試行）》執(zhí)行。6.2局域網(wǎng)安全須建立本單位局域網(wǎng)的管理制度。局域網(wǎng)絡(luò)必須分段管理，以防止通過局域網(wǎng)“包廣播”方式惡意收集網(wǎng)絡(luò)的信息。7平臺(tái)安全平臺(tái)安全包括系統(tǒng)層安全和應(yīng)用層安全，應(yīng)采取適當(dāng)?shù)囊?guī)范措施:7.1病毒防范各分（子）公司、所屬單位的網(wǎng)絡(luò)系統(tǒng)維護(hù)部門必須嚴(yán)格執(zhí)行病毒防范措施:在本單位所管轄的信息網(wǎng)絡(luò)與信息系統(tǒng)部署正版的防病毒軟件；禁止下載因特網(wǎng)上任何未經(jīng)確認(rèn)其安全性的軟件；實(shí)時(shí)進(jìn)行防病毒監(jiān)控，做好防病毒軟件和病毒代碼的智能升級(jí)；發(fā)現(xiàn)病毒時(shí)，及時(shí)對(duì)感染病毒的設(shè)備進(jìn)行隔離，情況嚴(yán)重時(shí)報(bào)相關(guān)部門并及時(shí)妥善處理；在各分（子）公司、所屬單位安全區(qū)WEB服務(wù)器上設(shè)立專門的欄目，及時(shí)發(fā)布病毒及黑客攻擊的報(bào)告、最新的病毒庫、升級(jí)防病毒軟件以及各個(gè)公用系統(tǒng)軟件（操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、工具軟件等）的漏洞報(bào)告及相應(yīng)的軟件補(bǔ)??；其中機(jī)房的病毒防范按照《集團(tuán)公司廣域網(wǎng)絡(luò)系統(tǒng)管理辦法（試行）》中的附件一《集團(tuán)公司廣域網(wǎng)機(jī)房管理制度（試行）》執(zhí)行。7.2訪問控制對(duì)重要服務(wù)器，系統(tǒng)管理員必須對(duì)不同用戶建立文件的不同的訪問許可權(quán)限;對(duì)應(yīng)用系統(tǒng)，根據(jù)使用要求必須對(duì)不同用戶，建立不同的訪問權(quán)限。7.3應(yīng)用及服務(wù)的接入管理7.3.1本單位在已經(jīng)建立安全防護(hù)體系的信息網(wǎng)絡(luò)與信息系統(tǒng)中，接入任何新的應(yīng)用及服務(wù)，須經(jīng)由本單位的安全管理員以及本單位安全主管的審查批準(zhǔn)后，方可實(shí)施接入。7.3.2信息安全區(qū)中的工作站、服務(wù)器原則上不得開通撥號(hào)功能；若確需開通撥號(hào)服務(wù)，必須配置強(qiáng)認(rèn)證機(jī)制，否則必須與安全區(qū)徹底隔離。7.4應(yīng)用系統(tǒng)及數(shù)據(jù)的安全7.4.1可靠性要求。對(duì)于關(guān)鍵性的應(yīng)用系統(tǒng)，須做到能夠有效回避任何單點(diǎn)故障，這些故障范圍包括應(yīng)用程序錯(cuò)誤、數(shù)據(jù)庫系統(tǒng)故障、網(wǎng)絡(luò)端口故障、網(wǎng)線接觸故障、磁盤系統(tǒng)介質(zhì)故障、系統(tǒng)癱瘓等。7.4.2備份要求。備份管理采用集中定期備份管理方式，備份內(nèi)容應(yīng)包括：7.4.2.1應(yīng)用數(shù)據(jù)庫備份。7.4.2.2應(yīng)用程序備份。7.4.2.3操作系統(tǒng)備份。7.4.3備份系統(tǒng)的設(shè)計(jì)應(yīng)不對(duì)應(yīng)用系統(tǒng)產(chǎn)生任何不良影響7.4.48安全管理各分（子）公司、所屬單位須按照“誰主管，誰負(fù)責(zé)”的原則，制訂嚴(yán)格的操作規(guī)程，各負(fù)其責(zé)，結(jié)合各自人員安排和工作特點(diǎn)，制訂相應(yīng)的安全制度，同時(shí)必須遵循如下規(guī)范：8.1建立完善的安全分級(jí)責(zé)任制本著“誰主管，誰負(fù)責(zé)”和“誰經(jīng)營(yíng)，誰負(fù)責(zé)”的原則，落實(shí)信息網(wǎng)絡(luò)與信息系統(tǒng)的各級(jí)單位的安全責(zé)任;各分（子）公司、所屬單位負(fù)責(zé)所屬范圍內(nèi)信息網(wǎng)絡(luò)與信息系統(tǒng)的安全管理;各分（子）公司、所屬單位應(yīng)設(shè)置監(jiān)控和調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的安全防護(hù)小組或?qū)Ｂ毴藛T。8.2各級(jí)人員的安全職責(zé)8.2.1各分（子）公司、所屬單位的主要負(fù)責(zé)人為該單位所管轄的信息網(wǎng)絡(luò)與信息系統(tǒng)的安全防護(hù)第一責(zé)任人。8.2.2各分（子）公司、所屬單位的信息部門負(fù)責(zé)人負(fù)責(zé)所管轄的信息網(wǎng)絡(luò)與信息系統(tǒng)的安全管理，其安全職責(zé)如下：8.2.2.1負(fù)責(zé)組織有關(guān)人員建立本單位所管轄的信息網(wǎng)絡(luò)與信息系統(tǒng)的安全防護(hù)體系；8.2.2.2負(fù)責(zé)定期檢查本單位信息安全防護(hù)措施的執(zhí)行情況、審計(jì)結(jié)果、定期組織有關(guān)人員對(duì)系統(tǒng)進(jìn)行安全評(píng)估，并及時(shí)向上級(jí)主管部門報(bào)告；8.2.2.3負(fù)責(zé)組織有關(guān)人員對(duì)本單位發(fā)生的安全事故進(jìn)行認(rèn)真分析并及時(shí)報(bào)告。8.2.3各分（子）公司、所屬單位應(yīng)指定專門的安全管理員承擔(dān)本單位所管轄的信息網(wǎng)絡(luò)與信息系統(tǒng)日常安全管理工作，其職責(zé)為：8.2.3.1參與本單位所管轄網(wǎng)絡(luò)與信息系統(tǒng)安全防護(hù)體系的建立;8.2.3.2負(fù)責(zé)本單位所管轄相關(guān)信息安全設(shè)備的日常運(yùn)維工作;8.2.3.3負(fù)責(zé)對(duì)所部署各安全設(shè)備的安全策略進(jìn)行設(shè)置和調(diào)整，定期對(duì)安全產(chǎn)品的日志進(jìn)行審計(jì)并撰寫安全分析報(bào)告；8.2.3.4負(fù)責(zé)定期對(duì)所管理的網(wǎng)絡(luò)與信息系統(tǒng)進(jìn)行安全檢測(cè)和評(píng)估，并做安全分析報(bào)告報(bào)上級(jí)主管;8.2.3.5負(fù)責(zé)及時(shí)處理本單位網(wǎng)絡(luò)與信息系統(tǒng)發(fā)生的安全事故;8.2.3.6負(fù)責(zé)本單位基本安全知識(shí)的咨詢和培訓(xùn)。8.2.4用戶及權(quán)限管理8.2.4.1密碼管理人員的登錄名及密碼設(shè)置必須按照規(guī)定流程進(jìn)行相應(yīng)審批；人員的登錄密碼應(yīng)該具六位以上的長(zhǎng)度和一定的復(fù)雜度，并做到及時(shí)更新；系統(tǒng)管理員的登錄名及密碼必須由專人保管和修改，嚴(yán)格限定使用范圍；禁止共享賬號(hào)和密碼，禁止使用密碼檢查工具；使用人丟失或遺忘登錄名及密碼，必須通過規(guī)定的流程向系統(tǒng)管理員申請(qǐng)新的登錄名及密碼；使用人調(diào)離單位后，系統(tǒng)管理員必須立即注銷其登錄名并取消其相應(yīng)的權(quán)限。8.2.4.2密鑰及數(shù)字證書管理必須設(shè)立專職人員對(duì)密鑰和數(shù)字證書進(jìn)行管理（注冊(cè)證書、頒發(fā)證書、撤銷證書、使用證書）。數(shù)字證書中的有關(guān)信息一旦失效，應(yīng)該將證書及時(shí)撤銷。數(shù)字證書持有人必須妥善保護(hù)證書，不容許轉(zhuǎn)借他人，遺失后必須立即報(bào)告；如果由此造成嚴(yán)重后果，必須按有關(guān)規(guī)定嚴(yán)肅處理，甚至追究法律責(zé)任。建立數(shù)字證書丟失之后的可靠注銷機(jī)制。建立定期更新數(shù)字證書的機(jī)制。8.2.4.3權(quán)限管理針對(duì)不同的網(wǎng)絡(luò)系統(tǒng)，不同的使用人員按最小化原則賦予相應(yīng)的訪問權(quán)限和操作權(quán)限。禁止濫用系統(tǒng)資源；禁止未經(jīng)許可查看別人的文件；系統(tǒng)管理員不得隨意在系統(tǒng)中增加賬號(hào)，隨意修改權(quán)限，不得未經(jīng)許可委托他人行使管理員權(quán)利;操作人員登陸進(jìn)入關(guān)鍵的業(yè)務(wù)系統(tǒng)（如SCADA系統(tǒng)、電力交易系統(tǒng)）實(shí)施雙因子安全訪問控制，應(yīng)持有數(shù)字證書和口令；對(duì)關(guān)鍵的控制操作應(yīng)該進(jìn)行身份認(rèn)證及操作權(quán)限控制。8.3工程實(shí)施的安全管理8.3.1新建的網(wǎng)絡(luò)和信息系統(tǒng)工程設(shè)計(jì)和實(shí)施必須符合國(guó)家有關(guān)安全防護(hù)的標(biāo)準(zhǔn)、法規(guī)、法令、規(guī)定、導(dǎo)則等，實(shí)施方案須上報(bào)集團(tuán)公司辦公廳審批，完工后必須經(jīng)過集團(tuán)公司辦公廳的驗(yàn)收。8.3.2網(wǎng)絡(luò)和信息系統(tǒng)的相關(guān)設(shè)備及系統(tǒng)的供應(yīng)商必須承諾：所提供的設(shè)備及系統(tǒng)中不包含任何安全隱患，并在設(shè)備及系統(tǒng)的生命期（自交付至退役為止）內(nèi)承擔(dān)由此引起的連帶責(zé)任。8.3.3新接入集團(tuán)公司廣域網(wǎng)的網(wǎng)絡(luò)節(jié)點(diǎn)、設(shè)備和應(yīng)用系統(tǒng)，需報(bào)集團(tuán)公司辦公廳審查、批準(zhǔn)，建設(shè)完工后必須經(jīng)過集團(tuán)公司辦公廳驗(yàn)收備案。8.3.4各單位所管轄網(wǎng)絡(luò)與信息系統(tǒng)安全防護(hù)方案的實(shí)施必須嚴(yán)格遵守國(guó)家相關(guān)管理制度以及本規(guī)范的相關(guān)規(guī)定。8.3.5所有網(wǎng)絡(luò)與信息系統(tǒng)在投運(yùn)前必須進(jìn)行安全評(píng)估。8.4聯(lián)合防護(hù)制度8.4.1集團(tuán)公司所屬各企業(yè)應(yīng)該緊密聯(lián)合進(jìn)行安全防護(hù)；8.4.2各單位及時(shí)通報(bào)安全防護(hù)的形勢(shì)、經(jīng)驗(yàn)及教訓(xùn)；8.4.3當(dāng)某單位的網(wǎng)絡(luò)與信息系統(tǒng)出現(xiàn)安全事故或遭到黑客攻擊時(shí)，應(yīng)該及時(shí)向上級(jí)部門報(bào)告，并通報(bào)有網(wǎng)絡(luò)連接的相鄰單位，采取聯(lián)合防護(hù)措施（包括阻斷措施、隔離措施、跟蹤措施、根除措施、恢復(fù)措施等），防止事故的擴(kuò)大，以保證整個(gè)系統(tǒng)的正常運(yùn)行。8.5應(yīng)急方案制度。9審計(jì)評(píng)估集團(tuán)公司各級(jí)單位須建立由