工程期間網(wǎng)絡(luò)與信息安全管理辦法

第一章總則為進一步明確和強化維護系統(tǒng)在工程期間的網(wǎng)絡(luò)與信息安全管理工作，杜絕各類潛在安全事件的發(fā)生，控制和減少工程網(wǎng)絡(luò)安全隱患，更好地保障工程施工前后維護系統(tǒng)的網(wǎng)絡(luò)安全和穩(wěn)定運行。依據(jù)集團公司和省公司的相關(guān)規(guī)定要求，結(jié)合工程施工的實際情況，特制訂本辦法。工程期間維護系統(tǒng)網(wǎng)絡(luò)與信息安全管理工作必須貫徹“安全第一，預(yù)防為主”的方針，必須遵循“誰主管誰負責、誰維護誰負責，誰使用誰負責”的原則和公司《公司通信網(wǎng)網(wǎng)絡(luò)與信息安全管理辦法》等的相關(guān)規(guī)定。工程期間相關(guān)系統(tǒng)的維護管理部門作為該系統(tǒng)網(wǎng)絡(luò)與信息安全工作的第一責任人，全面負責該系統(tǒng)工程期間的各項網(wǎng)絡(luò)安全加固和核查，必須對施工和建設(shè)單位進行嚴格督察和科學(xué)管理，確保工程建設(shè)對系統(tǒng)的網(wǎng)絡(luò)安全不造成任何影響或不產(chǎn)生任何潛在危害。工程期間工程建設(shè)施工和管理部門作為該系統(tǒng)網(wǎng)絡(luò)與信息安全工作的第二責任人和工程建設(shè)的具體執(zhí)行者，必須在系統(tǒng)維護管理部門的指導(dǎo)管理下積極配合對系統(tǒng)固有部分和變更部分進行網(wǎng)絡(luò)安全風險評估，對潛在風險進行整改和加固，消除潛在安全風險。工程期間維護系統(tǒng)的網(wǎng)絡(luò)與信息安全工作必須嚴格按照省網(wǎng)絡(luò)部陜移網(wǎng)通〔2008〕536號《關(guān)于做好“三同步”工作的通知》要求，將“同步規(guī)劃、同步建設(shè)、同步運行”的原則（既安全建設(shè)應(yīng)與業(yè)務(wù)系統(tǒng)同步規(guī)劃、同步建設(shè)、同步運行）嚴格落實到工程建設(shè)的各個環(huán)節(jié)，依據(jù)集團公司和省公司下達的各類安全規(guī)范、細則的各項要求（既包括客戶保密、賬戶口令、安全域、網(wǎng)絡(luò)互聯(lián)、遠程接入、日志審計和各類設(shè)備、數(shù)據(jù)庫、操作系統(tǒng)的安全功能和配置等在內(nèi)），從方案提出和設(shè)計、到工程建設(shè)階段、工程驗收和運行階段的全程情況進行安全檢查，并完成《安全記錄表》，確保工程期間維護系統(tǒng)的網(wǎng)絡(luò)與信息安全。本辦法主要對整個工程的工程初期、工程建設(shè)和工程驗收三個階段相對應(yīng)的網(wǎng)絡(luò)與信息安全工作進行明確和細化，以提高公司網(wǎng)絡(luò)安全管理的精細化水平和全網(wǎng)的網(wǎng)絡(luò)安全防護水平。本辦法適用于全網(wǎng)各個系統(tǒng)，既包含通信網(wǎng)、數(shù)據(jù)網(wǎng)和計算機網(wǎng)絡(luò)等。本辦法由省網(wǎng)絡(luò)部制定，并最終歸其解釋和修訂。第二章工程初期相關(guān)系統(tǒng)維護管理部門的安全人員應(yīng)積極參與系統(tǒng)工程建設(shè)技術(shù)方案的形成過程及可研、設(shè)計會審，將公司的各項安全要求貫穿始終并填寫《安全記錄表》。工程建設(shè)管理部門應(yīng)配合系統(tǒng)維護管理部門積極督促廠家向兩部門提供安全保證書并簽署安全保密協(xié)議，落實到人（其中必須包括具體施工人員的姓名、聯(lián)系方式、身份證號、廠家批準證明、機房出入證等）。相關(guān)資料同時書面提交工程建設(shè)管理部門和系統(tǒng)維護管理部門進行備份存檔。三人以上的廠家施工隊應(yīng)設(shè)廠方安全代表，安全代表由施工隊自行指定并通知工建部門、系統(tǒng)維護部門和廠家備案，安全代表負責工程期間工隊現(xiàn)場安全工作的開展和與系統(tǒng)維護部門的安全人員的工作協(xié)調(diào)。工程完工驗收前如果廠家前期提交的具體人員等資料有任何增刪變動，必須提前向工程建設(shè)管理部門和系統(tǒng)維護管理部門書面申請，待同意后及時更新資料并備份存檔。在工程建設(shè)開始前系統(tǒng)維護管理部門必須將系統(tǒng)的網(wǎng)絡(luò)與信息安全現(xiàn)狀及具體配合加固規(guī)定明確，并對工程建設(shè)管理部門和廠家施工人員進行培訓(xùn)，確保網(wǎng)絡(luò)安全意識和規(guī)定貫穿工程始終。工程初期系統(tǒng)原有的網(wǎng)絡(luò)與信息安全職責歸該系統(tǒng)維護管理部門負責；工程新增設(shè)備（指未接入系統(tǒng)或網(wǎng)絡(luò)的孤立設(shè)備）的網(wǎng)絡(luò)與信息安全職責歸工程建設(shè)管理部門和施工廠家。工程初期新增設(shè)備（指未接入系統(tǒng)或網(wǎng)絡(luò)的孤立設(shè)備）必須嚴格執(zhí)行確保設(shè)備正常運行前提下的“最小化”原則。即新增設(shè)備的操作系統(tǒng)OS、應(yīng)用系統(tǒng)及軟件、進程、開放端口和服務(wù)等必須最小化，不能出現(xiàn)任何多余或無用的數(shù)據(jù)，提供各設(shè)備中所有的合法進程、服務(wù)、端口列表及詳細說明并存檔備份。工程初期新增設(shè)備（指未接入系統(tǒng)或網(wǎng)絡(luò)的孤立設(shè)備）必須嚴格按照公司省網(wǎng)絡(luò)部陜移網(wǎng)通〔2008〕725號《關(guān)于匯總下發(fā)2008年網(wǎng)絡(luò)與信息安全管理辦法和相關(guān)規(guī)范的通知》中明確的《帳號口令管理細則》、《設(shè)備通用安全功能和配置細則》、《安全域劃分及邊界整合技術(shù)要求細則》、《操作系統(tǒng)安全功能細則》、《系統(tǒng)服務(wù)與端口安全管理辦法》等管理規(guī)范進行網(wǎng)絡(luò)安全配置加固和整改，同時也必須符合集團公司和公司其它網(wǎng)絡(luò)與信息安全管理規(guī)范。工程初期新增設(shè)備（指未接入系統(tǒng)或網(wǎng)絡(luò)的孤立設(shè)備）的賬號口令由工程建設(shè)管理部門和施工廠家共同負責審核和定期修改，口令復(fù)雜度和更新日期必須符合《帳號口令管理細則》等制度的相關(guān)規(guī)定。工程初期新增設(shè)備（指未接入系統(tǒng)或網(wǎng)絡(luò)的孤立設(shè)備）的日志審計由工程建設(shè)管理部門和施工廠家共同負責審核并定期備份，確保操作記錄不會被刪除。工程建設(shè)在工程建設(shè)階段系統(tǒng)維護管理部門相關(guān)安全人員應(yīng)在工程的硬件安裝、軟件調(diào)測和聯(lián)網(wǎng)調(diào)測時對工程的網(wǎng)絡(luò)安全情況進行檢查，特別是物理安全、配置安全和網(wǎng)調(diào)安全，并填寫《安全記錄表》，對于嚴重違規(guī)的情況，可要求停工并下達《安全檢查意見書》，待符合要求后方可復(fù)工。工程初期新增設(shè)備（指未接入系統(tǒng)或網(wǎng)絡(luò)的孤立設(shè)備）在入網(wǎng)前必須作好諸如清理工程期間的臨時文件及數(shù)據(jù)（包括文檔）、無用進程、釋放系統(tǒng)空間等網(wǎng)絡(luò)安全檢查工作。工程初期新增設(shè)備（指未接入系統(tǒng)或網(wǎng)絡(luò)的孤立設(shè)備）在入網(wǎng)聯(lián)調(diào)前必須提出書面申請，經(jīng)系統(tǒng)維護管理部門的相關(guān)安全人員針對新增設(shè)備（指未接入系統(tǒng)或網(wǎng)絡(luò)的孤立設(shè)備）的物理安全、配置安全、網(wǎng)調(diào)安全、安全策略的制定及規(guī)范性等方面進行網(wǎng)絡(luò)安全審核通過后方可同意入網(wǎng)調(diào)測。新增設(shè)備（指未接入系統(tǒng)或網(wǎng)絡(luò)的孤立設(shè)備）在入網(wǎng)聯(lián)調(diào)前必須啟用新的賬號口令，由系統(tǒng)維護管理部門審核后方可使用。系統(tǒng)維護管理部門和廠家工程師必須與省公司簽訂保密協(xié)議后才能書面申請第三方帳號口令授權(quán)書，其中授權(quán)書應(yīng)當包括使用者、使用權(quán)限和使用期限等內(nèi)容。系統(tǒng)維護管理部門相關(guān)安全人員負責對新增設(shè)備的賬號口令及授權(quán)書進行定期修改、審核、存檔。新增設(shè)備（指未接入系統(tǒng)或網(wǎng)絡(luò)的孤立設(shè)備）在入網(wǎng)聯(lián)調(diào)后其網(wǎng)絡(luò)與信息安全職責歸系統(tǒng)維護管理部門，由系統(tǒng)維護管理部門牽頭工程建設(shè)管理部門和施工廠家共同承擔。新增設(shè)備（指未接入系統(tǒng)或網(wǎng)絡(luò)的孤立設(shè)備）在入網(wǎng)聯(lián)調(diào)后的賬號口令由系統(tǒng)維護管理部門負責審核和定期修改，口令復(fù)雜度和更新日期必須符合《帳號口令管理細則》等制度的相關(guān)規(guī)定。如果新增設(shè)備（指未接入系統(tǒng)或網(wǎng)絡(luò)的孤立設(shè)備）在入網(wǎng)聯(lián)調(diào)后需要啟用的賬號口令涉及root等超級賬戶口令，則必須由系統(tǒng)維護管理部門超級賬號管理員在歸屬公司的指定終端上親自進行操作或者輸入口令后，現(xiàn)場監(jiān)督廠家工程師進行操作，堅決不允許廠家自行輸入或獲悉超級帳號口令或使用私人或自有終端進行操作。需要通過U盤等移動存儲介質(zhì)向新增設(shè)備導(dǎo)入數(shù)據(jù)時，廠家人員必須提供移動存儲介質(zhì)的安全保證書（安全保證書中明確使用介質(zhì)的名稱、型號、編號等），由系統(tǒng)維護管理部門備案，確保所使用移動存儲介質(zhì)無毒，無木馬；其中系統(tǒng)維護管理部門負責事先對公司自有終端的網(wǎng)絡(luò)安全進行核查，確保終端完成安全配置加固、防病毒軟件病毒庫升級至最新、網(wǎng)絡(luò)防火墻安裝并實現(xiàn)使用記錄登記和日志審計記錄以保留所有操作記錄等。在廠家工程師操作完成后，系統(tǒng)維護管理部負責及時退出系統(tǒng)并對操作過程和執(zhí)行指令進行核查和備份。新增設(shè)備（指未接入系統(tǒng)或網(wǎng)絡(luò)的孤立設(shè)備）在入網(wǎng)聯(lián)調(diào)后日志審計由系統(tǒng)維護管理部門負責牽頭，工程建設(shè)管理部門和施工廠家定期審核并備份，確保操作記錄不會被刪除。新增設(shè)備（指未接入系統(tǒng)或網(wǎng)絡(luò)的孤立設(shè)備）在入網(wǎng)聯(lián)調(diào)后任何涉及局數(shù)據(jù)修改的操作必須由系統(tǒng)維護管理部門審核，確保不會對系統(tǒng)產(chǎn)生不良影響或安全隱患后才能實施。在工程建設(shè)期間系統(tǒng)維護管理部門的維護人員和安全人員需時刻關(guān)注系統(tǒng)的運行情況和網(wǎng)絡(luò)安全，及時發(fā)現(xiàn)和快速處理可能的安全事件和潛在風險。第四章工程驗收第一條工程驗收前必須在系統(tǒng)運行穩(wěn)定的前提下完成：將所有賬戶口令進行修改，包括默認賬戶。刪除所有與系統(tǒng)運行和維護無關(guān)的賬戶。工程驗收時所有系統(tǒng)版本均為當時最新的，系統(tǒng)和安全補丁等均為較新且公認穩(wěn)定的。核對進程列表中有無異常進程。確認遠程端口是否關(guān)閉。未使用的端口需明確使用shutdown指令關(guān)閉，在用端口需描述用途。接入層設(shè)備需啟用訪問控制列表禁止進行非法源地址轉(zhuǎn)發(fā)。設(shè)置管理IP，系統(tǒng)內(nèi)設(shè)備只能從管理IP登陸維護。操作系統(tǒng)及時安裝最新的補丁程序，及時更新病毒代碼。工程驗收前必須由系統(tǒng)維護管理部門安全人員對該系統(tǒng)防火墻進行安全檢查，檢查要求如下：對策略進行逐條確認，針對多余策略必須全部刪除。禁止遠程telnet服務(wù)，確認ftp服務(wù)權(quán)限。工程驗收前必須由系統(tǒng)維護管理部門的安全人員對該系統(tǒng)的日志審計和遠程接入進行安全檢查，同時制定該系統(tǒng)的的安全維護作業(yè)計劃并執(zhí)行。工程驗收前，系統(tǒng)維護管理部門安全人員必須對新增設(shè)備嚴格執(zhí)行確保設(shè)備正常運行前提下的“最小化”原則進行核查。即對新增設(shè)備的操作系統(tǒng)OS、應(yīng)用系統(tǒng)及軟件、進程、開放端口和服務(wù)等嚴格比對工程初期保存的記錄，確保各項內(nèi)容最小化，不能出現(xiàn)任何多余或無用的數(shù)據(jù)，同時由系統(tǒng)維護管理部門負責牽頭工程建設(shè)管理部門和施工廠家共同提供新增設(shè)備中所有的合法進程、服務(wù)、端口列表及詳細說明及開啟關(guān)閉方法，并存檔備份。工程驗收前如果需對新增設(shè)備進行安全加固整改，則必須在系統(tǒng)維護管理部門的牽頭下，由系統(tǒng)維護管理部門、工程建設(shè)管理部門、施工廠家共同完成。實施之前收集所有的系統(tǒng)信息和用戶服務(wù)需求，收集包括所有應(yīng)用和服務(wù)軟件的各項信息，并制定詳細的實施方案和應(yīng)急預(yù)案；實施之前，先對系統(tǒng)和新增設(shè)備做完全備份。由于實施過程可能存在不可