1、通信有限责任公司核心资产安全管理制度编 制： 审 核： 批 准： 版 本 号: ESZAQDGF001 编 制： 审 核： 批 准： 版 本 号: 目录一、硬件安全管理3二、软件安全管理6三、数据安全管理9一、硬件安全管理1设备选型1) 业务系统设备的选型与采购由信息中心统一归口管理。2) 设备选型的原则是在满足工作需要的前提下，保证所选产品的先进性和实用性，避免过早被淘汰，但也不要搞超前消费而造成资金的浪费。3) 选用或购置涉密设备时应符合有关规定，确保这些设备的可靠性。2设备购置与安装1) 对大宗采购的设备要在国内和国际厂商间进行招标，并根据厂商的产品性能、质量、价格和售后服务等指标做出优2、化选择，实行集中采购。2) 下属机构购置的设备，都要填写购置申请表上报信息中心，经信息中心和其他相关部门审批后由信息中心负责购置。3) 新购置的网络设备及网络安全产品应经过安全检测和实际测试，测试合格后方能投入使用。4) 复杂的设备由厂商或集成商负责安装调试，保证设备的可靠运行。5) 关键的设备由信息技术人员经过培训进行安装。3设备登记与使用1) 建立设备登记档案，详细记录每台设备的名称、规格、配置、装载软件、单价、购入日期、供货商、存放地点、使用部门、耐用年限等参数，关键设备应建立维护档案。2) 设备应由网管人员登记网络拓扑图，所有带网卡的设备都应登记网卡号，严格限定相应的网络权限。3) 所3、有设备都应粘贴印有其设备编号、名称、类别、使用部门的标签，并填写一式两份的固定资产登记卡，一份交使用部门的行政秘书或各单位的管理部门保管，另一份留信息中心保管。4) 各部门及个人领用的设备应实行个人负责制，每台设备有专人负责管理和使用，不得随意转借，更不得交给无关人员使用。5) 各部门间设备的调拨由调入部门填写设备调入申请单，由调入部门、调出部门及相关部门负责人签字同意后方可进行调拨。6) 对于不再需要或长期闲置的设备，各部门应及时归还给资产管理部门，以充分发挥设备的使用价值。4设备维护1) 遵守定期维护检查制度，对关键设备的维护与维修要建立详细的维护档案，凡因疏于保养而造成的设备损坏或工作延4、误将追究当事人的责任。2) 建立设备管理维护记录，实行维护记录制度。对故障发生的时间、表现、采取的解决措施、结果及软硬件的升级情况等进行详细记录，并由系统管理员予以签字，以便今后解决故障。3) 建立相关电子设备的维护和维修手册，详细记录各厂商的联系电话、服务热线等信息。4) 设备自然使用损坏后，当事人需填写故障维修申请单报信息中心，由信息中心指派专人检查损坏情况后进行维修，对无法当时维修好的设备联系厂商或维修单位进行修理。5) 非信息中心指定维护人员不得私自拆卸电子设备、不得维修设备或更换零件，凡因此而造成的设备损坏或配件丢失由当事人负责赔偿。6) 系统设备的扩容和升级应由信息中心考察必要性和5、可行性，经领导批准后，统一安排购买配件和实施升级。任何人不得自行联系设备升级。5设备报废1) 长期闲置或不再使用的设备可向信息中心提出调拨或报废申请，由信息中心根据设备的完好率、使用年限等因数决定进行调拨或报废。2) 对各部门内确无使用价值的设备的报废申请，由信息中心核准后报领导批准，并由财务部备案。3) 由于使用人员重大责任事故而造成的部门内的设备报废，必须追究当事人的责任，经领导批准后，再作报废处理，并由财务部备案。4) 各分支机构大额设备(单件购买价超过五万)的调拨和报废工作原则上采用各单位提申请，信息中心审核批准的方式。5) 设备报废依据财务管理办法和有关规定执行，对报废设备上保存的存6、贮介质要进行清除，防止泄密。二、软件安全管理1软件的选型1) 应用软件在开发或购买之前应正式立项，成立由技术人员、业务人员和管理人员共同组成的项目小组并建立软件质量保证体系。2) 选用的软件必须是正版软件。2软件安全检测审查1) 软件在正式使用之前应进行必要的安全功能检测，保证业务能正常安全可靠的运行。不得建立无关的用户，测试用户在完成测试后必须加以限制或删除。2) 应用软件在正式投入使用前必须经过内部评审，确认系统功能、测试结果和试运行结果均满足设计要求，技术文档齐全，并经分管领导批准。3) 重要的业务应用系统应具有如下安全特性： 4) 自动记录全部操作过程； 5) 关键数据不得以明码存放；7、 6) 无法绕过应用界面直接查看或操作数据库； 7) 系统管理与业务操作权限严格分开； 8) 防止异常中断后非法进入系统； 9) 提供超时键盘锁定功能； 10) 业务数据在通信网络上以加密方式传输； 11) 应存储一年以上完整的系统运行记录； 12) 提供系统运行状态监控模块； 13) 提供数据接口，满足稽核、审计及技术监控的要求； 14) 其它有助于控制业务操作风险的功能特性。15) 系统软件应具备如下安全功能：16) 身份验证功能，防止非法用户随意进入系统； 17) 访问控制功能，防止系统中出现越权访问； 18) 故障恢复功能，能够自动或在人工干预下从故障状态恢复到正常状态而不致造成系统混8、乱和数据丢失； 19) 安全保护功能，对信息的交换、传输、存储提供安全保护； 20) 安全审计功能，便于应用系统建立访问用户资源的审计记录； 21) 分权制约功能，支持对操作员和管理员的权限分离与相互制约。22) 系统软件应达到相应的安全级别才能投入正常使用。23) 数据库管理软件除上述功能要求外，还应具有数据库的安全性、完整性、一致性及可恢复性保障机制。24) 应用软件应具备基本的访问控制和安全审计功能。3软件系统开发1) 根据应用系统对安全的要求，同步进行安全保密设计。2) 软件开发过程应符合GB/T8566-1995信息技术软件生存期过程。3) 开发维护人员与操作人员必须实行岗位分离，开9、发环境和现场必须与生产环境和现场隔离。4) 软件设计方案、数据结构、加密算法、源代码等技术资料严禁流入生产现场、散失和外泄。5) 开发的软件应遵循上述2.2中的安全特性和功能。4软件使用与维护1) 应规定软件的使用范围和使用权限。2) 严禁擅自使用外来的磁盘、磁带和光盘。如工作需要，必须在确保无计算机病毒、计算机系统工作安全的情况下，经信息中心批准，并做好登记后方可使用。3) 软件使用人员应经过适当的操作培训和安全教育。4) 信息技术人员不得擅自进行软件维护和系统参数调整。5) 应采取有效措施，防止对应用软件的非法修改。6) 设专人负责业务软件的版本升级，及时为软件缺陷打补丁。5软件安全跟踪与10、报告1) 设专人负责跟踪系统软件的安全补丁，及时弥补安全漏洞。2) 关键的业务系统软件和应用软件必须启用其自身的安全审计留痕功能，便于系统建立访问用户资源的审计记录。3) 专人负责定期检查和跟踪审计日志，及时发现问题，并生成日志分析报告。4) 定期对系统产生的日志进行转存和清除。三、数据安全管理1数据保密性管理1) 对系统数据实施严格的安全与保密管理，防止系统数据的非法生成、变更、泄露、丢失与破坏。2) 关键业务数据不得泄露，禁止外传。3) 重要数据的处理过程中，被批准使用数据人员以外的其它人员不应进入机房工作；处理结束后，应清除不能带走的本作业数据；妥善处理打印结果，任何记有重要信息的废弃物11、在处理前应进行粉碎。4) 各业务数据仅用于明确规定的目的，未经批准不得它用。 5) 无正当理由和有关批准手续，不得查阅客户资料；经正式批件查阅数据时必须登记，并由查阅人签字。6) 涉密数据不得以明码形式存储和传输。7) 根据数据的保密规定和用途，确定数据使用人员的存取权限、存取方式和审批手续。8) 在数据的传输过程中采用各种加密手段进行保障，如利用SSL、PGP等技术手段。9) 未经允许，不准将机房设备、维护用品、软盘、资料等私自带出机房，如有特殊情况，需经负责人同意并进行登记后方可带出。2数据访问控制管理1) 设置系统管理员岗位，对系统数据实行专人管理。2) 设置数据库管理员岗位，对业务数据12、实行专人管理。3) 数据库管理系统的口令必须由专人掌管，并定期更换。禁止同一人掌管操作系统口令和数据库管理系统口令。4) 重要数据的处理过程中，被批准使用数据人员以外的其它人员不应进入机房工作。处理结束后，应清除不能带走的本作业数据。应妥善处理打印结果，任何记有重要信息的废弃物在处理前应进行粉碎。5) 对数据的备份、恢复、转出、转入的权限都应严加控制。严禁未经授权将财务数据等拷贝出系统，转给无关的人员或单位；严禁未经授权进行数据恢复或转入操作。6) 采用实时监控机制，及时发现不良信息或破坏性数据，对其采取封堵、清除等相应安全控制措施。7) 对监控或检测到的可疑数据采用跟踪机制，并对其进行可控性13、操作，以便发现其最终企图。3数据备份管理1) 每个工作日结束后必须制作数据的备份并异地存放，保证系统发生故障时能够快速恢复。2) 关键业务数据必须定期、完整、真实、准确地转储到不可更改的介质上，并要求集中和异地保存，保存期限至少15年。3) 备份的数据必须指定专人负责保管，由营业部计算机信息技术人员按规定的方法同数据保管员进行数据的交接。交接后的备份数据应在指定的数据保管室或指定的场所保管。4) 数据保管员必须对备份数据进行规范的登记管理。5) 备份数据不得更改。6) 备份数据保管地点应有防火、防热、防潮、防尘、防磁、防盗设施。5数据存储管理1) 设专人负责数据存储设备的使用和安全，包括磁盘阵14、列、磁带、光盘等的安全。2) 采用专门的数据备份和容灾安全解决方案及存储设备。3) 备份数据除了备份在本地机器上外，还需准确地转储到不可更改的介质上。4) 为保证数据不被删除或修改以及能长时间保存，要求采用只读式数据记录设备。6数据完整性管理1) 业务数据不得随意更改。2) 对数据备份和审计记录定期进行查验。3) 保障传输过程中的数据完整性安全。4) 禁止用公网传输业务数据。业务数据均通过内部DDN专线传输，并利用专用加密软件加密、压缩、打包传输；5) 用于传输和接收数据的机器均安装防黑客与防病毒程序。6) 保障对在线存储数据的完整性安全，每月用硬盘整理程序对存储在线数据的硬盘进行一次整理，并随机抽取其中的几组数据进行解压、还原，检查其内容是否正确与完整。