信息化標準和管理制度

1、精品文檔 你我共享知識改變命運6 6 信息安全層6.16.1 機房安全管理辦法第一章 總則 計算機機房作為計算機設(shè)備、網(wǎng)絡(luò)基礎(chǔ)設(shè)施的匯集地，是信息安全重要的區(qū)域。計算 機機房的安全是企業(yè)信息安全的基礎(chǔ)。為了確保機房的安全， 保證機房內(nèi)設(shè)備 （包括主機服務(wù)器、 存儲設(shè)備、 網(wǎng)絡(luò)設(shè)備、 UPSUPS、 空調(diào)等）的安全運轉(zhuǎn)，使得機房內(nèi)的信息資產(chǎn)免受物理環(huán)境（比如溫度、濕度等）的影響， 也使得機房內(nèi)的信息設(shè)備或信息資產(chǎn)免受非法或未經(jīng)授權(quán)的訪問、竊取或破壞， 制定本辦法。本辦法適用于國家開發(fā)投資公司（以下簡稱“公司” ）信息化管理不對總部中心機房及 亦莊容災(zāi)中心的安全管理。各投資公司企業(yè)可參照制定自身的

2、機房安全管理辦法。第二章 出入機房管理 第一條 機房是公司生產(chǎn)和安全消防重地， 必須安全門禁系統(tǒng)。 未經(jīng)許可， 任何人員不得進 入。第二條 進入機房人員不得攜帶任何易燃、易爆、腐蝕性、強電磁、輻射性、流體物質(zhì)等對 設(shè)備正常運轉(zhuǎn)構(gòu)成威脅的物品。第三條 需要機房門禁卡的信息化管理部員工須填寫機房門禁卡申請表 （附件一）、機房 門禁卡僅限本人使用，不得轉(zhuǎn)接他人，如有遺失，立即上報。持有門禁卡人員如需 延長期限，應(yīng)在到期前及時提出申請。第四條 其他部門和外單位人員因工作需要進入機房時， 要先填寫 出入機房申請表 （附件 二），經(jīng)信息化管理部門負責人批準后并在信息化管理部人員陪同下才能進入機房。第五條

3、任何進入機房的無門禁人員，都要填寫出入機房登記表 （附件三），登記隨身攜 帶的物品，經(jīng)機房管理員認真檢查并核對出入機房申請表后，在信息化管理部 有關(guān)人員的陪同下進入機房相應(yīng)區(qū)域。第六條 進入機房人員要自覺遵守機房內(nèi)各項管理規(guī)定，保持機房內(nèi)安靜、整潔、工作完畢 后及時離開。第七條 信息化管理部負責人指定專人每月對出入機房登記表 、出入機房申請表 、機 房門禁卡申請表和門禁系統(tǒng)日志進行審閱，確保所有訪問機房的人員均已通過授 權(quán)。第三章 機房設(shè)備管理第八條 機房管理員要對機房內(nèi)設(shè)備做好標識和登記，記錄設(shè)備的型號、配置、位置、狀態(tài) 等信息，以便跟蹤設(shè)備變化。第九條 機房管理員對機房設(shè)備的操作必須嚴格按

4、照操作規(guī)程進行。第十條 未經(jīng)許可，任何人不得對機房設(shè)備進行操作。第十一條 機房設(shè)備必須經(jīng)過信息化管理部負責人的書面審批才能被移進或移出。第十二條 信息化管理部制定機房內(nèi)供電系統(tǒng)、 消防系統(tǒng)、 監(jiān)控系統(tǒng)、 空調(diào)系統(tǒng)等設(shè)備的 維護保養(yǎng)計劃，機房管理員必須按此計劃進行檢查和維護。第十三條 對機房內(nèi)設(shè)備的維護和定期維護保養(yǎng)，機房管理員要做好詳細記錄。第十四條 機房內(nèi)所有設(shè)備應(yīng)該符合公司有關(guān)標準化定制管理要求。第四章 值班管理第十五條 信息化管理部根據(jù)實際情況，安排機房管理員對機房實行值班或者巡檢。第十六條 機房管理員每天檢查機房設(shè)備的運行狀態(tài)， 并填寫機房運行日志（附件四）， 如果發(fā)現(xiàn)問題，及時匯報處

5、理。第十七條 對外來人員的操作，機房管理員都要在機房運行日志中記錄。第十八條 維護部門負責人每周審閱機房運行日志 ，確保所有機房操作已通過相應(yīng)的授權(quán)和審批。 第五章機房消防、安全管理第十九條機房內(nèi)要保持設(shè)備正常運行所必須的溫度、濕度等環(huán)境要求，對運行環(huán)境可能出現(xiàn)的不利因素進行檢測并預警。這些要求包括但不局限于如下內(nèi)容：精品文檔 你我共享知識改變命運（一） 安裝2424小時不間斷空調(diào)系統(tǒng)，使機房內(nèi)保持一定的溫度和相對濕度；（二） 安裝溫度和濕度顯示裝置；（三） 安裝厭惡感應(yīng)探測器和濕度感應(yīng)探測器；（四） 安裝火災(zāi)報警和自動滅火系統(tǒng)；（五） 配備手動滅火器。第二十條機房管理員應(yīng)明確機房消防器材的存

6、放位置并熟悉使用方法，積極協(xié)助當?shù)叵啦块T進行消防年檢工作，按照國家標準進行消防器材的維護和更換。第二十一條 機房管理員必須熟悉總電源、設(shè)備電源、照明用電等開關(guān)的位置，熟練掌握發(fā)生危險情況時切斷電源的方法和步驟。第二十二條 嚴禁在消防通道內(nèi)堆放雜物，保持消防通道暢通，確保設(shè)備及工作人員安全。第二十三條機房內(nèi)應(yīng)配備不間斷電源系統(tǒng)（UPSUPS）, ,確保有足夠的后備電力支持系統(tǒng)的緊急 操作。每年對UPSUPS進行檢修和維護，以確保其正常有效運行。第六章附則第二十四條本辦法由集團信息化管理部附則解釋和修訂。第二十五條 本辦法自頒布之日起實行。原國家開發(fā)投資公司機房管理規(guī)定同時廢止。附件一 機房門禁

7、卡申請表機房門禁卡申請表編號:申請人姓名部門處室名稱有效期限年 月 弓日一一年 月曰申請人簽字日期信息化管理部 負責人簽字日期備注精品文檔 你我共享知識改變命運附件二出入機房申請表出入機房申請表申請日期：編號:單位姓名聯(lián)系方式事由攜帶物品陪同人員日期計劃進入時間計劃離開時間信息化管理部 負責人簽字日期備注附件三出入機房登記表出入機房登記表日期單位姓名聯(lián)系方式事由攜帶物品進入 時間 離開 時間管理員 簽字備注審核人:精品文檔 你我共享知識改變命運附件四 機房運行日志機房運行日志-年月日 -時監(jiān)控內(nèi)容運行情況（良好/ /故障）監(jiān)控內(nèi)容運行情況（良好/ /故障）小型機防火墻主交換機域服務(wù)器磁帶庫備份

8、系統(tǒng)MailMail服務(wù)器路由器DNSDNS服務(wù)器漏水檢測WWWWWW服務(wù)器配電柜及UPSUPS空調(diào)門窗和門禁系統(tǒng)消防設(shè)備故障描述故障處理外來人員操作記錄備注記錄入： - 審核人：-備注：11根據(jù)實際監(jiān)控需要，可按上述格式添加機房設(shè)備；2在運行情況欄里填寫良好或故障，有故障的設(shè)備在故障描述欄里分別填寫，在故障處理欄里分別填寫報 修時間及處理結(jié)果。精品文檔 你我共享知識改變命運6.26.2 計算機類設(shè)備接入網(wǎng)絡(luò)管理標準 第一章 總則 為對國家開發(fā)投資公司（一下簡稱“公司” ）互聯(lián)網(wǎng)接入及互聯(lián)網(wǎng)用戶進行規(guī)范管理， 經(jīng)濟、合理地利用互聯(lián)網(wǎng)連接寬帶， 有序、 高效地使用互聯(lián)網(wǎng)信息資源， 為集團公司的生

9、產(chǎn)、 經(jīng)營、管理和決策服務(wù)，制定本標準。本標準使用于國投集團總部及成員企業(yè)計算機的網(wǎng)絡(luò)接入。第二章 因特網(wǎng)接入及安全管理第一條 因特網(wǎng)接入是指接入公司計算機網(wǎng)絡(luò)的總部職能部門、 子公司投資企業(yè)經(jīng)審批通過 當?shù)匾蛱鼐W(wǎng)服務(wù)提供單位（ISPISP）接入因特網(wǎng)。第二條 公司總部和所屬各子公司接入因特網(wǎng)要嚴格按照中華人民共和國計算機信息網(wǎng) 絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定等有關(guān)法規(guī)，辦理相關(guān)手續(xù)。第三條 通過當?shù)?ISPISP 接入因特網(wǎng)的企業(yè)，接入方案、安全措施及管理措施報總部信息化 管理部服務(wù)保障處（以下簡稱“服務(wù)保障處” ）審核，經(jīng)批準后方可實施因特網(wǎng)接 入。如未經(jīng)批準擅自接入因特網(wǎng)的，公司總部信息化管理部

10、將通報該企業(yè)管理部 門限期糾正；逾期沒有糾正的將斷開其與國投集團主干網(wǎng)的連接，并對造成損失 和不良影響者追究相關(guān)責任。第四條 通過當?shù)?ISPISP 接入因特網(wǎng)使用的域名和 IPIP 地址，須報信息化管理部服務(wù)保障部備 案。第五條 所屬投資企業(yè)網(wǎng)絡(luò)接入因特網(wǎng)的部分和住宅小區(qū)網(wǎng)絡(luò)，必須采取技術(shù)措施與企業(yè) 內(nèi)部網(wǎng)實現(xiàn)隔離。隔離技術(shù)措施須報服務(wù)保障處審核批準后，方可接入因特網(wǎng)， 以保證企業(yè)內(nèi)部網(wǎng)絡(luò)的安全和穩(wěn)定運行，并接受服務(wù)保障處的檢查。第六條 通過集團總部接入因特網(wǎng)的子公司，須將上網(wǎng)人數(shù)、賬號名稱、服務(wù)需求等報服 務(wù)保障處審核；批準后由信息化管理部服務(wù)保障處進行技術(shù)參數(shù)配置，實施接入 服務(wù)。第七條

11、 各投資企業(yè) ITIT 部門負責信息網(wǎng)絡(luò)的安全管理，服務(wù)保障處負責安全技術(shù)措施的實 施與相關(guān)服務(wù)。第三章 因特網(wǎng)資源使用管理第八條 因特網(wǎng)資源指連接因特網(wǎng)的信道和因特網(wǎng)所有可合法瀏覽、使用的資源。第九條 接入因特網(wǎng)的企業(yè)應(yīng)采取建立代理服務(wù)器 / / 緩存服務(wù)器等技術(shù)措施，提高因特網(wǎng)資 源的利用率，減輕網(wǎng)絡(luò)擁塞，提高信息獲取速度。第十條 各成員企業(yè)網(wǎng)絡(luò)運行部門負責對代理服務(wù)器 / / 緩存服務(wù)器的管理和維護，保證代理 服務(wù)器/ /緩存服務(wù)器每天 2424 小時正常運行。第十一條 I I T T 部門可根據(jù)實際情況將因特網(wǎng)訪問分為“優(yōu)先使用，分時使用，限時使用，限 戶使用”等類型，制定相關(guān)規(guī)定，落

12、實技術(shù)措施，達到優(yōu)先、有序、有效使用因 特網(wǎng)的目的。第十二條 采 取提高優(yōu)先級別、放寬時間限制的技術(shù)措施，優(yōu)先保證高級管理人員以及業(yè)務(wù) 與因特網(wǎng)關(guān)系密切的業(yè)務(wù)人員使用因特網(wǎng)。第十三條 對 一般需求的人員，根據(jù)工作需要和信道負荷情況，可采取分時使用、限時使用 等技術(shù)措施。超限時要顯示說明信息，引導用戶按規(guī)定使用因特網(wǎng)。第十四條 I I T T 部門要認真核算成本，合理收取費用，用經(jīng)濟手段加強和規(guī)范對用戶使用因特 網(wǎng)的管理第十五條 各 ITIT 部門要配置因特網(wǎng)用戶管理系統(tǒng)，包括因特網(wǎng)用戶的身份認證、審計、計費 系統(tǒng)，要對用戶進行有效管理。第四章 因特網(wǎng)用戶管理第十六條 申請成為因特網(wǎng)用戶必須經(jīng)本

13、企業(yè) ITIT 部門審核批準。第十七條 因 特網(wǎng)用戶要嚴格遵守國家有關(guān)法律、法規(guī)和集團公司有關(guān)規(guī)定，嚴格執(zhí)行國家 和集團公司安全保密制度。對違反規(guī)定和制度的企業(yè)和個人，有關(guān)部門有權(quán)中止 其對因特網(wǎng)的訪問，并追究相關(guān)責任。第十八條 因 特網(wǎng)用戶所在單位網(wǎng)絡(luò)運行部門負責保留和管理用戶的訪問記錄，以備計費和 相關(guān)部門查用。第五章 附則第十九條 本標準由集團信息化管理部負責解釋和修訂。精品文檔 你我共享知識改變命運第二十條 本標準自頒布之日起實行。6.36.3 防火墻管理辦法第一章 總則 為加強國家開發(fā)投資公司（以下簡稱“公司” ）計算機防病毒系統(tǒng)的建設(shè)和管理工作， 確保計算機、服務(wù)器、網(wǎng)絡(luò)的正常運行

14、，特制定本辦法。計算機防病毒的范圍包括公司總部、 子公司與投資企業(yè)的計算機網(wǎng)絡(luò)、 服務(wù)器、 臺式計 算機、筆記本電腦等。系統(tǒng)管理實行統(tǒng)一協(xié)調(diào)、分級管理、分工負責的原則。第二章 計算機防病毒管理第一條 必須配備計算機防病毒管理員，負責本企業(yè)計算機病毒的防護工作。第二條 必須設(shè)置防病毒服務(wù)器， 安裝防病毒軟件， 并建立防病毒網(wǎng)站， 提供防病毒工具和 補丁軟件下載服務(wù)。第三條 服務(wù)器、 臺式計算機、 筆記本電腦等必須安裝防病毒軟件并及時更新病毒定義碼和 系統(tǒng)補丁程序，沒有安裝防病毒軟件的計算機不得連接到國投集團網(wǎng)絡(luò)中。第四條 各投資企業(yè)應(yīng)對本企業(yè)上連總部廣域網(wǎng)的路由器端口進行限制， 防止本企業(yè)的計算

15、 機病毒進入公司廣域網(wǎng)。第五條 須關(guān)閉訪問互聯(lián)網(wǎng)的出口設(shè)備所有不使用的端口，以防止病毒和黑客攻擊公司網(wǎng) 絡(luò)，確保網(wǎng)絡(luò)安全。第六條 計算機防病毒管理員負責防病毒網(wǎng)站的內(nèi)容更新與維護， 及時瀏覽總部的防病毒網(wǎng) 站，了解病毒最新動態(tài)，獲取最新病毒定義碼和補丁程序，并在本企業(yè)發(fā)布。第七條 計算機防病毒管理員負責大規(guī)模計算機病毒爆發(fā)時應(yīng)急處理。 在病毒爆發(fā)程度嚴重 時，應(yīng)及時中斷病毒源的網(wǎng)絡(luò)連接， 以避免病毒蔓延；待病毒處理完畢后， 再恢復 其網(wǎng)絡(luò)連接。第八條 計算機防病毒管理員負責每三個月進行一次防病毒系統(tǒng)巡檢， 在每季度的第一周內(nèi) 完成防病毒總結(jié)報告，并報總部信息化管理部。第三章 突發(fā)計算機病毒的處

16、理第九條 在計算機病毒爆發(fā)期間，計算機防病毒管理員應(yīng)及時通知總部計算機防病毒管理員，并按計算機病毒應(yīng)急響應(yīng)及處理機制進行處理。第四章 附則第十條 本辦法由集團信息化管理部負責解釋和修訂。第十一條本法自頒布之日起實行。6.46.4 操作系統(tǒng)安全管理辦法第一章 總則操作系統(tǒng)是用來管理計算機軟件、 硬件資源， 協(xié)調(diào)計算機工作并為用戶提供使用和編程 接口的一組程序。 應(yīng)用軟件一般建立在操作系統(tǒng)提供的系統(tǒng)軟件平臺之上， 因此穩(wěn)定可靠的 操作系統(tǒng)是應(yīng)用軟件平穩(wěn)運行和信息系統(tǒng)安全、 保密的基礎(chǔ)。 尤其在網(wǎng)絡(luò)環(huán)境中， 操作系統(tǒng) 的安全性是信息系統(tǒng)安全性的決定性因素之一。本辦法所指操作系統(tǒng)指服務(wù)器的操作系統(tǒng)，包

17、括UNIXUNIX 和 WindowsWindows。本辦法適用于國家開發(fā)投資公司（以下簡稱“公司” ）信息化管理部對公司操作系統(tǒng)的 安全管理。成員企業(yè)可參照制定自身的操作系統(tǒng)管理辦法。第二章 操作系統(tǒng)安全的一般性原則第一條 禁用不必要的服務(wù)， 盡量將系統(tǒng)中不用的服務(wù)、 尤其是一些暫時不用的網(wǎng)絡(luò)服務(wù)關(guān) 閉，從而使系統(tǒng)遭受攻擊的可能性降至最低。第二條 對等認證原則（ TrustedTrusted PathPath ），對等認證原則是指某一實體（程序、用戶等）直 接和系統(tǒng)上的另一實體在通訊前相互認證的過程。第三條 最小權(quán)限原則， 最小權(quán)限原則是指系統(tǒng)只能授予應(yīng)用程序和用戶必要的權(quán)限， 而不 能授予

18、額外的權(quán)限。精品文檔 你我共享知識改變命運第四條 強制式文檔權(quán)限控制原則（ Non-DiscretionaryNon-Discretionary ProtectionProtection） , , 大多數(shù)操作系統(tǒng)都提供了自主訪問控制， 建議對重要的文檔的權(quán)限控制集中管理， 由專門的安全管理 人員負責這些文檔的權(quán)限授予。第五條 通過補丁增強系統(tǒng)安全， 補丁程序是彌補系統(tǒng)弱點 （vulnerabilityvulnerability ）的最佳途徑。 第六條 在計算機上安裝軟件防火墻系統(tǒng)， 根據(jù)需要在重要服務(wù)器和重要個人電腦 （包括筆 記本電腦）中安裝軟件防火墻系統(tǒng)。 目前大多數(shù)的防病毒軟件具有類似的

19、安全功能。 其他的手段還包括安裝防病毒軟件、入侵檢測軟件和漏洞掃描工具。第七條 對于重要的數(shù)據(jù)進行加密。第八條 安全性能評估，對于安全產(chǎn)品應(yīng)選用經(jīng)過國內(nèi)、國外權(quán)威第三方認證的安全產(chǎn)品， 如通過CCCC或TCSESTCSES所規(guī)定的B B級標準的操作系統(tǒng)。第九條 系統(tǒng)管理員應(yīng)隨時保持警惕以預防攻擊事件的發(fā)生或者將攻擊的危害降至最低。第三章 操作系統(tǒng)訪問控制要求第十條 用戶或者應(yīng)用程序訪問系統(tǒng)資源時要求操作系統(tǒng)管理員通過設(shè)置必要的選項完成 以下功能：（一）提供適當?shù)纳矸蒡炞C方法。如果使用了口令管理系統(tǒng)，應(yīng)確保使用高質(zhì) 量的口令。（二）識別和驗證身份。如果需要，還要驗證每個合法用戶的終端或位置。（三

20、）記錄成功和失敗的系統(tǒng)訪問（日志信息） 。（四）根據(jù)情況限制用戶連接時間。第十一條用戶終端自動識別功能（一）通過終端訪問操作系統(tǒng)時應(yīng)使用終端自動識別功能來驗證與其連接的終 端位置和連接類型。如果繪畫必須從某一位置或計算機終端開始，則應(yīng) 盡量使用終端自動識別技術(shù)。（二）終端內(nèi)部附帶的標識可說明是否允許該終端開始或接受某些具體事務(wù)， 應(yīng)盡量對終端進行物理保護，維護終端標識的安全。第十二條登錄程序應(yīng)最大限度地減少公開的信息，以避免非法用戶使用。登錄程序應(yīng)：（一）在登錄過程未成功之前禁止顯示系統(tǒng)或應(yīng)用的標識。（二）顯示一般性注意事項。提醒用戶只有合法用戶才能訪問計算機。（三）登錄期間禁止提供幫助消息。

21、（四）只有所有輸入數(shù)據(jù)完成后才能驗證登錄信息。出差時，系統(tǒng)不應(yīng)說明哪 部分數(shù)據(jù)正確，哪部分數(shù)據(jù)錯誤。（五）應(yīng)限制允許登錄的失敗次數(shù)（宜為 3 3 次）。精品文檔 你我共享（六）限制登錄程序允許的時間上限和下限。如果超過限制，則系統(tǒng)必須終止 登錄過程。（七）成功登錄后，宜顯示以下信息： 1 1）以前成功登錄的日期和時間。 2 2）上 次成功登錄以來登錄失敗的詳細情況。第十三條登錄超時要求（一）高風險地域（如無法進行安全管理的公共或外部區(qū)域）或服務(wù)于高風險 新天地終端如果處于不工作狀態(tài)，則必須在設(shè)定的不工作時間后予以關(guān) 閉，防止非法用戶進行訪問。（二）為所有PCPC提供有限的終端超時功能。當系統(tǒng)超

22、時未激活時， 應(yīng)能夠自動鎖住系統(tǒng)，防止非法訪問，但不宜關(guān)閉應(yīng)用或網(wǎng)絡(luò)會話。（三）超時的時間設(shè)置取決于連接系統(tǒng)的重要程度、終端風險暴露程度以及終 端上信息的業(yè)務(wù)價值。第四章 用戶賬號安全第十四條用戶身份識別和驗證（一）信息系統(tǒng)所有用戶都應(yīng)擁有個人專用的唯一標識符（用戶IDID ）以便操作能夠追溯到具體責任人。但是在認證和授權(quán)體系沒有建立之前，特定操 作系統(tǒng)內(nèi)所有的用戶必須有一個唯一的IDID，并且該IDID名稱不能讓人猜測到該用戶的權(quán)限級別，如管理員、主管等。（二）對于每一個申請使用系統(tǒng)的用戶，應(yīng)要求填寫賬號申請表，并在表格中 包含公司的密碼安全政策規(guī)范，明確違反該規(guī)范的后果和責任，同時要 求用

23、戶簽名以產(chǎn)生法律效力。（三）對于用戶身份的驗證，宜采用多種身份驗證程序來加以證實?？诹钍且?種很常見的身份識別和驗證方法。采用加密方法和身份驗證協(xié)議也可達 到同樣的效果。也可使用用戶的內(nèi)存標記或智能卡等進行身份識別和驗 證。也可使用基于個人唯一特點或特性的生物統(tǒng)計學身份驗證技術(shù)來驗 證用戶身份。將安全技術(shù)和安全機制結(jié)合起來可進行更為嚴格的身份驗 證。第十五條用戶賬號過期（一）（二）應(yīng)設(shè)置用戶賬號的有效日期（例如可設(shè)置用戶賬號的有效期為一年）。當某一個用戶賬號過期時，系統(tǒng)維修檢查確認該用戶賬號所對應(yīng)的員工 是否還留在公司，如果不是則將該賬號自動刪除，否則繼續(xù)激活該用戶（三）賬號。如果用戶賬號過期

24、了但是用戶無法聯(lián)系到（例如正在度假） ，可先將其用戶賬號鎖住，等用戶回來以后按需要激活。第十六條 GuestGuest 賬號（一）（二）應(yīng)禁止長期保留 GuestGuest 賬號 當系統(tǒng)安裝完成后必須視情況刪除GuestGuest 賬號，當用戶確實需要 GuestGuest賬號進行臨時的訪問時，才可將GuestGuest 賬號激活。（三）應(yīng)確保 GuestGuest 賬號的口令安全。第十七條所有操作系統(tǒng)應(yīng)禁止使用無口令的用戶賬號。第十八條除非有特殊的要求，不應(yīng)有多個用戶共享一個用戶 IDID 和口令，而應(yīng)使用用戶組的 概念來代替。第十九條用戶賬號安全其它事項（一）系統(tǒng)管理員應(yīng)具備有兩個賬號，一

25、個作為系統(tǒng)的常規(guī)用戶，執(zhí)行閱讀文知識改變命運精品文檔 你我共享檔，收發(fā)電子郵件等常規(guī)性操作，另一個用作管理，即真正具有管理員 效力的用戶賬號。（二）用戶賬號重命名，也就是對默認的賬號重命名。包括administratoradministrator 、GuestGuest以及其它一些在安裝統(tǒng)計時（如ISSISS）自動建立的賬號。（三）建立偽管理員賬號， 如在系統(tǒng)中建立用戶名為 “administratoradministrator”的用戶，并設(shè)定一個難以推測的口令，但是不賦予其真正的管理員權(quán)限。第五章 用戶口令安全第二十條口令選擇： 口令選擇的目標在于使密碼易記難猜。 即對于口令的主人而言密碼非

26、常 容易記住，但對于攻擊者而言，卻很難通過密碼主人的特征、習慣等來推測密碼。 用戶在選擇密碼時應(yīng)遵循如下原則（一）禁止使用登錄賬號或者登錄賬號的任何變形（例如大寫、反序等）作為 口令。（二）口令不應(yīng)包含任何個人信息，例如名字、生日、 電話號碼、 身份證號碼、門牌號等。（三）（四）（五）（六）（七）（八） 第二十一條禁止使用全部是數(shù)字或者字母的口令。 不應(yīng)使用常規(guī)單詞，例如英文辭典中查得到的單詞。 口令長度必須大于 6 6 各字符。 必須同時包含大小寫字母。 口令中必須包含非字母字符，例如數(shù)字和標點。 宜使用一個很快輸入的口令。 口令政策： 口令安全除了要求用戶選擇安全性高的口令外，還需要有一系

27、列的口令政策保證口令的安全，這主要包括：（一）所有操作系統(tǒng)中的口令，用戶只能記在心里，不應(yīng)以任何形式出現(xiàn)在紙 面上，也不應(yīng)出現(xiàn)在計算機文檔中。（二）（三）（四）（五）不應(yīng)將口令給其他人。 口令必須定期更新，系統(tǒng)宜自動提示用戶定期更換口令。 應(yīng)使用個人口令，明確責任。根據(jù)情況可讓用戶更改自己的口令，還可讓用戶采用一種確認程序，允 許出現(xiàn)輸入錯誤。（六）（七）（八） 第二十二條用戶首次登錄時要求用戶必須更改臨時口令。 應(yīng)記錄用戶以前的口令記錄（如過去1212 個月的記錄）防止重復使用。安裝軟件后更改默認的供應(yīng)商口令。系統(tǒng)管理員應(yīng)定期對口令安全進行檢查，以保證安全政策的落實。 系統(tǒng)管理員可使用口令破

28、解程序定期對用戶口令進行檢查，如果這些工具能夠破解用戶口令， 則必須責令用戶修改口令。第二十三條（一）（二）（三）口令的其他事項輸入時屏幕上不顯示口令。 口令文件和應(yīng)用系統(tǒng)數(shù)據(jù)應(yīng)分開存儲。 利用單向加密算法以加密方式存儲口令。第六章 操作系統(tǒng)網(wǎng)絡(luò)安全第二十四條操作系統(tǒng)的網(wǎng)絡(luò)安全主要是指操作系統(tǒng)本身提供的網(wǎng)絡(luò)服務(wù)的安全性，例如電子郵件服務(wù)、WebWeb服務(wù)、FtpFtp服務(wù)、命名服務(wù)以及網(wǎng)絡(luò)功能設(shè)置的安全如網(wǎng)絡(luò)協(xié)議等。第七章 文件系統(tǒng)安全知識改變命運精品文檔 你我共享知識改變命運第二十五條 文件系統(tǒng)的安全是指系統(tǒng)中所有文件的安全， 包括所有操作系統(tǒng)管理的設(shè)備資 源的安全問題， 例如打印機。 文件

29、系統(tǒng)的安全是系統(tǒng)安全的最后防線， 主要通過兩 種方式實現(xiàn)文件系統(tǒng)安全。（一）通過文件系統(tǒng)權(quán)限控制文件被惡意地址訪問或者在任何未經(jīng)適當授權(quán)的情況下被訪問。（二）通過對文件進行適當?shù)丶用軐崿F(xiàn)。第八章 系統(tǒng)監(jiān)控第二十六條 確定哪些內(nèi)容是系統(tǒng)監(jiān)控的對象。 系統(tǒng)監(jiān)控的對象一般包括對系統(tǒng)的任何未經(jīng) 授權(quán)的訪問以及操作系統(tǒng)本身是否存在安全漏洞等兩個方面。第二十七條 對于系統(tǒng)監(jiān)控的記錄即日志應(yīng)做的分析。 操作系統(tǒng)需要監(jiān)控的對象主要分為用 戶賬號安全、 網(wǎng)絡(luò)安全和文件系統(tǒng)安全三個方面。 對用戶賬號安全進行定期的盤查 主要用于發(fā)現(xiàn)兩個問題： 不應(yīng)出現(xiàn)的訪問； 用戶登錄以后是否執(zhí)行了不應(yīng)執(zhí)行的命 令。網(wǎng)絡(luò)安全監(jiān)控非

30、常困難但又非常重要， 因為對于系統(tǒng)的攻擊大部分是從網(wǎng)絡(luò)上 發(fā)起的。文件系統(tǒng)安全的監(jiān)控主要在于確定是否存在對于文件系統(tǒng)的非法訪問以及 監(jiān)控文件備份政策和規(guī)范是否得到了切實的執(zhí)行。第二十八條 管理員在平時使用一些常見的命令和工具隨時了解系統(tǒng)的運行狀況； 操作系統(tǒng) 的風險可降低但是不能完全消除，因此需要管理員時刻保持警惕。第九章 附則第二十九條 本辦法由集團信息化管理部負責解釋和修訂。 第三十條本辦法自頒布之日起實行。6.56.5 防病毒管理辦法第一章 總則 為加強國家開發(fā)投資公司（以下簡稱“公司” ）計算機防病毒系統(tǒng)的建設(shè)和管理工作， 確保計算機、服務(wù)器、網(wǎng)絡(luò)的正常運行，特制定本辦法。計算機防病毒

31、的范圍包括公司總部、 子公司與投資企業(yè)的計算機網(wǎng)絡(luò)、 服務(wù)器、 臺式計 算機、筆記本電腦等。系統(tǒng)管理實行統(tǒng)一協(xié)調(diào)、分級管理、分工負責的原則。第二章 計算機防病毒管理第一條 必須配備計算機防病毒管理員， 第一條 必須配備計算機防病毒管理員， 負責本企 業(yè)計算機病毒的防護工作。第二條 必須設(shè)置防病毒服務(wù)器， 安裝防病毒軟件， 并建立防病毒網(wǎng)站， 提供防病毒工具和 補丁軟件下載服務(wù)。第三條 服務(wù)器、臺式計算機、筆記本電腦等必須安裝防病毒軟件并及時更新病毒定義碼和 系統(tǒng)補丁程序，沒有安裝防病毒軟件的計算機不得連接到國投集團網(wǎng)絡(luò)中。第四條 各投資企業(yè)應(yīng)對本企業(yè)上連總部廣域網(wǎng)的路由器端口進行限制，防止本企

32、業(yè)的計算 機病毒進入公司廣域網(wǎng)。第五條 須關(guān)閉訪問互聯(lián)網(wǎng)的出口設(shè)備所有不使用的端口， 以防止病毒和黑客攻擊公司網(wǎng)絡(luò)， 確保網(wǎng)絡(luò)安全。第六條 計算機防病毒管理員負責防病毒網(wǎng)站的內(nèi)容更新與維護，及時瀏覽總部的防病毒網(wǎng) 站，了解病毒最新動態(tài)，獲取最新病毒定義碼和補丁程序，并在本企業(yè)發(fā)布。第七條 計算機防病毒管理員負責大規(guī)模計算機病毒爆發(fā)時應(yīng)急處理。在病毒爆發(fā)程度嚴重 時，應(yīng)及時中斷病毒源的網(wǎng)絡(luò)連接，以避免病毒蔓延；待病毒處理完畢后，再恢復 其網(wǎng)絡(luò)連接。第八條 計算機防病毒管理員負責每三個月進行一次防病毒系統(tǒng)巡檢，在每季度的第一周內(nèi) 完成防病毒總結(jié)報告，并報總部信息化管理部。第三章 突發(fā)計算機病毒的處

33、理第九條 在計算機病毒爆發(fā)期間， 計算機防病毒管理員應(yīng)及時通知總部計算機防病毒管理員， 并按計算機病毒應(yīng)急響應(yīng)及處理機制進行處理。第四章 附則精品文檔 你我共享知識改變命運第十條 本辦法由集團信息化管理部負責解釋和修訂。第十一條 本法自頒布之日起實行。6.66.6 賬號與權(quán)限管理辦法第一章 總則作為公司大型的應(yīng)用系統(tǒng)，系統(tǒng)安全問題需要考慮很多因素，信息安全是其中的重點。為了保證國家開發(fā)投資公司（以下簡稱“公司” ）信息安全，防止非授權(quán)用戶訪問系統(tǒng)資源， 有效地管理用戶的權(quán)限，特制定本管理辦法。本辦法適用于公司各應(yīng)用系統(tǒng)賬號及權(quán)限的管理。 成員企業(yè)可參照制定自身應(yīng)用系統(tǒng)的 賬戶與權(quán)限管理辦法。第

34、二章 系統(tǒng)權(quán)限的劃分第一條 公司各類應(yīng)用系統(tǒng)在公司內(nèi)部局域網(wǎng)內(nèi)運行。系統(tǒng)的權(quán)限分為三級。第二條 一級權(quán)限內(nèi)容屬于公司機密，為最高權(quán)限等級，其核心機密內(nèi)容是公司財務(wù)系統(tǒng)、 預算管理系統(tǒng)、 人力資源系統(tǒng)、 報表平臺系統(tǒng)、重要的文件或會議紀要，該系統(tǒng)嚴 格控制授權(quán)人，不對外開放，采取一級授權(quán)。第三條 二級授權(quán)系統(tǒng)內(nèi)容屬于公司對外不公開的內(nèi)部行政事宜和相關(guān)業(yè)務(wù)管理系統(tǒng)， 包括 除人力資源系統(tǒng)外， 一級授權(quán)所具有的內(nèi)容， 該系統(tǒng)保密，不對外開放，相對控制 授權(quán)人數(shù)，采取二級 。第四條 三級內(nèi)容屬于公司內(nèi)部可以公開的信息，主要包括企業(yè)內(nèi)部對全體職工下發(fā)的文 件、資料。例如：宣傳資料，公共信息、每日經(jīng)濟新聞信息等交流和參閱的資料。 這些信息原來就是針對企業(yè)內(nèi)部職工發(fā)放的； 還包括在公共媒體上已經(jīng)公布的信息 內(nèi)容以及可以在網(wǎng)上查詢的有關(guān)資料； 該系統(tǒng)是屬于內(nèi)部公開的系統(tǒng)， 采取三級授 權(quán)。第三章 用戶賬號的建立和變更第五條 新員工入職