第一章 總則

第一條 為加強XXXXX信息系統(tǒng)運維的安全管理，保障信息系統(tǒng)的網(wǎng)絡安全與信息安全，依據(jù)國家有關法律、法規(guī)和XXXXX有關規(guī)章制度，特制定本規(guī)定。

第二條 XXXXX信息系統(tǒng)運維安全管理范圍包括網(wǎng)絡安全管理、操作系統(tǒng)安全管理、用戶訪問授權管理、密碼管理、防病毒管理、系統(tǒng)補丁管理、介質(zhì)管理、信息交換管理、安全監(jiān)控和審計管理、數(shù)據(jù)備份和恢復管理、日常運行維護管理以及監(jiān)督檢查等相關內(nèi)容。

第三條 本規(guī)定適用于XXXXX信息系統(tǒng)運維中的安全管理。

第二章 網(wǎng)絡安全管理

第四條 信息中心統(tǒng)一規(guī)劃XXXXX網(wǎng)絡架構，并根據(jù)安全風險情況部署安全設備，確保網(wǎng)絡安全和信息安全。

第五條 網(wǎng)絡管理員應對網(wǎng)絡拓撲進行統(tǒng)一管理，應保持拓撲結(jié)構圖與現(xiàn)行網(wǎng)絡運行環(huán)境的一致性，拓撲圖應包括網(wǎng)絡設備、安全設備的型號、名稱以及與鏈路的鏈接情況等。

第六條 網(wǎng)絡管理員應維護所有網(wǎng)絡設備的物理連接情況，控制和管理網(wǎng)絡接口的使用。

第七條 網(wǎng)絡管理員應監(jiān)控網(wǎng)絡的運行狀況，發(fā)現(xiàn)影響較大的網(wǎng)絡故障時，必須及時向XXXXX信息中心報告。

第八條 通信鏈路及帶寬資源管理應當遵循合理分配、高效使用的原則，禁止使用網(wǎng)絡傳送非業(yè)務需要的內(nèi)容。

第九條 未經(jīng)允許，網(wǎng)絡中嚴禁隨意使用無線網(wǎng)絡通訊設備進行訪問。

第十條 未經(jīng)允許，任何計算機、網(wǎng)絡設備、安全設備不允許隨意接入網(wǎng)絡中。

第十一條 外部人員在接入互聯(lián)網(wǎng)時，應經(jīng)過部門領導的審核審批后才可接入，同時要指定IP地址并進行記錄,根據(jù)《人員安全管理規(guī)定》進行管理。

第十二條 應對網(wǎng)絡區(qū)域中的非法訪問部署檢測和審計措施，能夠做到安全事件可監(jiān)控、可追蹤和可審計。

第十三條 對于網(wǎng)絡中重要的網(wǎng)絡設備、安全設備應開啟審計功能，記錄對于設備配置變更的操作。

第十四條 網(wǎng)絡安全管理應建立必要的安全技術措施確保網(wǎng)絡的統(tǒng)一管理，包括信息資產(chǎn)管理、網(wǎng)絡拓撲管理、信息資源管理、網(wǎng)絡異常流量管理、安全事件監(jiān)控管理、安全策略管理、安全預警管理等網(wǎng)絡安全管理內(nèi)容。

第十五條 應根據(jù)不同的業(yè)務安全等級合理劃分網(wǎng)絡安全域，安全域間應采取邏輯隔離措施，根據(jù)業(yè)務需要僅開放必要的網(wǎng)絡訪問端口和服務，區(qū)域和邊界的訪問控制策略應根據(jù)業(yè)務需要進行設置。

第十六條 關鍵業(yè)務應用和網(wǎng)絡訪問應使用靜態(tài)路由，如果使用動態(tài)路由，應啟用路由協(xié)議的安全認證機制，并控制路由信息的廣播范圍。

第十七條 干路和核心的網(wǎng)絡設備、安全設備、網(wǎng)絡鏈路應建立冗余備份機制，如果出現(xiàn)全網(wǎng)安全事件應根據(jù)《應急處理預案》進行應急響應。

第三章 操作系統(tǒng)安全管理

第十八條 對于每個管理員建立單獨的用戶賬號，特別要區(qū)分普通用戶賬戶號和管理員賬號，賬號不得共享。

第十九條 操作系統(tǒng)中應限制登錄和認證的次數(shù)，避免外界嘗試登錄和暴力破解的安全風險。

第二十條 操作系統(tǒng)的安裝須遵從最小化安裝原則，僅僅安裝并運行必須的系統(tǒng)服務和應用程序；

第二十一條 各應用系統(tǒng)主管在按規(guī)定安裝各類軟件時遵從最小化安裝原則，關閉和卸載與辦公和業(yè)務無關的功能和服務。

第二十二條 運行業(yè)務應用系統(tǒng)時，要使用保證應用系統(tǒng)正常運行的最小賬戶權限，原則上禁止使用最高權限賬號。

第二十三條 為了能夠發(fā)現(xiàn)和跟蹤系統(tǒng)中發(fā)生的各種可疑事件，需要啟用安全審計功能，以日志的形式記錄用戶登錄系統(tǒng)、文件訪問操作、賬戶修改等行為的過程和結(jié)果信息，做到發(fā)生可疑事件時有據(jù)可查。

第四章 用戶訪問授權管理

第二十四條 XXXXX各系統(tǒng)應根據(jù)不同角色確定不同的用戶賬號，賬號至少分為以下角色：

（一） 系統(tǒng)管理員：負責維護系統(tǒng)的管理員，一般具有超級用戶權限；

（二） 普通用戶：訪問系統(tǒng)的普通用戶，一般只具有相應訪問內(nèi)容和操作的最小權限；

（三） 第三方人員：臨時或長期進行系統(tǒng)維護的非XXXXX內(nèi)部人員，根據(jù)第三方人員的維護范圍確定其使用權限；

（四） 系統(tǒng)安全管理員：XXXXX進行安全審計的人員，具有能夠查看系統(tǒng)的日志和審計信息。

第二十五條 XXXXX各系統(tǒng)應根據(jù)“最小授權”的原則設定賬戶訪問權限，控制用戶僅能夠訪問到工作需要的信息。

第二十六條 應根據(jù)XXXXX要求和員工崗位來創(chuàng)建、變更和撤銷用戶的賬號及權限，并定期對用戶賬號和權限進行監(jiān)督、檢查。

第二十七條 各系統(tǒng)的賬號能標識系統(tǒng)訪問的不同角色，并盡量避免使用系統(tǒng)默認賬號。

第二十八條 應避免系統(tǒng)中存在多余、無用和測試賬號，確保服務器中所有的操作系統(tǒng)賬號能夠唯一標識操作人員。

第二十九條 系統(tǒng)安全管理員應當對系統(tǒng)中存在的賬號進行定期審計，系統(tǒng)中不能存在無用或匿名賬號。

第三十條 各系統(tǒng)應該設置審計用戶的權限，審計用戶應當具備比較完整的讀權限，審計用戶應當能夠讀取系統(tǒng)關鍵文件，檢查系統(tǒng)設置、系統(tǒng)日志等信息。

第三十一條 各系統(tǒng)應《人員安全管理規(guī)定》的要求限制第三方人員的訪問權限，對第三方的訪問進行定期的檢查和審計。

第五章 密碼管理

第三十二條 XXXXX設備及系統(tǒng)的密碼的設置至少符合以下要求：

（一） 長度大于8位；

（二） 大小寫字母、數(shù)字，以及特殊字符混合使用；

（三） 不是任何語言的單詞；

（四） 不能使用缺省設置的密碼。

第三十三條 賬號密碼至少應該保證每三個月?lián)Q一次，包括：UNIX/Linux系統(tǒng)root用戶的密碼、網(wǎng)絡設備的enable密碼、Windows系統(tǒng)Administrator用戶的密碼，以及應用系統(tǒng)的后臺管理用戶密碼等。

第三十四條 系統(tǒng)須強制指定密碼的策略，包括密碼的最短有效期、最長有效期、最短長度、復雜性等。

第三十五條 密碼不能以明文的方式通過電子郵件或者其它網(wǎng)絡傳輸方式進行傳輸。

第三十六條 不得將密碼告訴與該工作無關的人員，如果第三方系統(tǒng)維護人員需要登錄系統(tǒng)，系統(tǒng)管理員為其設置臨時密碼，完成工作后必須立刻修改密碼；

第三十七條 系統(tǒng)管理員不能共享超級用戶的密碼，應采用組策略控制超級用戶的訪問。

第三十八條 除了系統(tǒng)管理員外，一般用戶不能改變其它用戶的密碼。

第三十九條 當密碼使用期滿時，被其他人知悉或認為密碼不保密時，網(wǎng)絡管理人員可按照密碼更改程序變換密碼。

第四十條 所有用戶嚴禁將密碼貼在終端上，輸入的密碼不應顯示在顯示屏幕上，嚴禁隨意丟棄記載有用戶名密碼的紙條等媒介物，不準用電話、電子郵件等告訴密碼。

第四十一條 對于系統(tǒng)重要性高、資產(chǎn)價值高、威脅可能性大可以使用強度更高的認證機制，例如采用雙因素認證等。

第六章 防病毒管理

第四十二條 信息中心統(tǒng)一規(guī)劃、統(tǒng)一部署具有國家許可的正版計算機防病毒系統(tǒng)軟件。所有服務器和終端必須安裝XXXXX配發(fā)的計算機防病毒軟件，否則不允許連入網(wǎng)絡和處理工作。

第四十三條 所有的服務器和計算機終端應安裝XXXXX要求的網(wǎng)絡防病毒軟件，并對安裝情況做相應記錄，使用各種介質(zhì)復制或者從網(wǎng)絡上下載文件到計算機上，應首先進行病毒查殺。

第四十四條 應使用XXXXX下發(fā)的正版軟件，禁止隨意安裝軟件，防止其中可能存在惡意軟件。

第四十五條 信息安全管理員對防病毒軟件系統(tǒng)進行監(jiān)控，并記錄病毒查殺情況。安全管理員負責每周對防病毒系統(tǒng)的病毒庫進行兩次升級，升級完成后進行記錄。

第四十六條 XXXXX服務器、桌面計算機及便攜式計算機一旦發(fā)現(xiàn)被計算機病毒感染，應先將計算機與網(wǎng)絡隔離，確保病毒庫已更新至最新版本,并及時進行病毒查殺處理；當情況嚴重且無法在規(guī)定時限內(nèi)緊急恢復或有效控制時，應按照《信息安全事件應急管理規(guī)定》及時上報啟動相應應急響應預案，應注意保留防病毒系統(tǒng)記錄。

第七章 系統(tǒng)補丁管理

第四十七條 應及時跟進各產(chǎn)品的安全漏洞信息和產(chǎn)品廠商發(fā)布的安全補丁信息。

第四十八條 安全補丁根據(jù)其對應漏洞的嚴重程度分為三個級別：緊急補丁、重要補丁和一般補?。痪o急補丁必須在15天內(nèi)完成加載，重要補丁必須在一個月內(nèi)完成加載，一般補丁要求六個月內(nèi)完成加載，對于不能加載補丁的情況，一定要采取其他的有效安全控制措施。

第四十九條 必須從各產(chǎn)品廠商官方渠道獲取安全補丁，補丁加載應制定嚴格的計劃。

第五十條 補丁加載之前必須經(jīng)過嚴格的測試，測試環(huán)境與生產(chǎn)環(huán)境盡可能一致，嚴禁未經(jīng)測試直接在生產(chǎn)系統(tǒng)上加載補丁。

第五十一條 補丁測試的內(nèi)容包括補丁安裝測試、補丁功能性測試、補丁兼容性測試和補丁回退測試：

（一） 安裝測試主要測試補丁安裝過程是否正確無誤，補丁安裝后系統(tǒng)是否正常啟動。

（二） 補丁功能性測試主要測試補丁是否對安全漏洞進行了修補。

（三） 補丁兼容性測試主要測試補丁加載后是否對應用系統(tǒng)帶來影響，業(yè)務是否可以正常運行。

（四） 補丁回退測試主要包括補丁卸載測試、系統(tǒng)還原測試。

第五十二條 補丁加載必須安排在業(yè)務比較空閑的時間進行，對補丁加載的操作過程必須按照計劃嚴格操作，并詳細記錄。

第五十三條 系統(tǒng)管理員對加載補丁后的系統(tǒng)必須按照計劃和驗證方案進行的測試驗證，確保補丁加載后不影響系統(tǒng)的性能，確保各項業(yè)務操作正常。

第五十四條 補丁加載后的一周內(nèi)，系統(tǒng)管理員必須對系統(tǒng)性能和事件進行密切的監(jiān)控。

第五十五條 完成補丁加載后系統(tǒng)管理員應將補丁安裝情況通知系統(tǒng)安全管理員。

第八章 介質(zhì)管理

第五十六條 本規(guī)定中的存儲介質(zhì)是指設備內(nèi)或者獨立存放的磁介質(zhì)、光介質(zhì)及其它記錄載體（如計算機硬盤、光盤、移動硬盤、U盤、軟盤和錄音帶、錄像帶等）。

第五十七條 對存儲介質(zhì)應根據(jù)信息中心機房信息資產(chǎn)登記記錄進行統(tǒng)一的登記和記錄，介質(zhì)的使用、轉(zhuǎn)移、維修和銷毀必須嚴格管理。

第五十八條 存儲介質(zhì)應貼好標簽進行標識，標識標志必須貼在表面易于辨識的地方，應標注介質(zhì)編號、介質(zhì)有效期截止日、日期、操作人員、環(huán)境名稱、內(nèi)容、用途和數(shù)據(jù)保存時間等信息。

第五十九條 所有含有內(nèi)部信息的存儲介質(zhì)對外部人員訪問是受控的，嚴禁任何人帶離工作場所，如外出進行更換或者維修的損壞介質(zhì)，需要簽訂保密協(xié)議。

第六十條 存儲介質(zhì)應保存在安全的物理環(huán)境下（如：防火、電力、空調(diào)、濕度、靜電及其他環(huán)境保護措施），對于存放重要數(shù)據(jù)的存儲介質(zhì)應當在異地進行備份。

第六十一條 應根據(jù)存儲介質(zhì)的使用壽命，制定數(shù)據(jù)恢復測試計劃，以避免數(shù)據(jù)丟失。

第六十二條 對含有重要數(shù)據(jù)的存儲介質(zhì)不再使用時，必須執(zhí)行重復寫操作防止數(shù)據(jù)恢復。

第六十三條 對于磁帶、光盤、紙質(zhì)等存儲介質(zhì)進行報廢處理時，應采取切碎或者燒毀的方式進行。

第九章 信息交換

第六十四條 防止XXXXX與外部單位間或者XXXXX內(nèi)部交換信息時信息受損、修改或者濫用，做到對信息交換的有效控制，確保信息交換的有效性和安全性；

第六十五條 信息交換方式包括傳輸介質(zhì)、電子郵件、OA辦公系統(tǒng)、電話、傳真及其他信息交換形式；

第六十六條 通過信息系統(tǒng)進行自動信息交換或者數(shù)據(jù)傳送時，必須選擇安全的通訊協(xié)議，要在信息系統(tǒng)間進行認證確認發(fā)送方和接受方，并對傳輸?shù)臄?shù)據(jù)進行完整性驗證，對于敏感數(shù)據(jù)的傳輸要采用加密措施。

第六十七條 在電子郵件中不得明文發(fā)送XXXXX敏感信息，可通過對信息加密再傳送的方法實現(xiàn)，明確要求不能在網(wǎng)絡中明文傳送密碼信息。

第六十八條 在使用辦公系統(tǒng)時，應控制業(yè)務信息的擴散范圍，禁止非XXXXX人員訪問辦公系統(tǒng)。

第六十九條 通過傳真發(fā)送重要信息時，要確保收件人號碼正確，并先通知收件人接收后再正式開始發(fā)送，發(fā)送后并立即與接受方確認。

第七十條 傳送物理介質(zhì)（如紙質(zhì)、光盤、移動介質(zhì)）時，要使用可靠的傳輸工具或投遞人，以保證傳送過程的安全，并在提交時識別投遞人身份，包裝外觀必須采取非透明材料，并且包裝本身應能夠保證介質(zhì)本身的物理安全，需要的時候采取特殊的控制措施保護敏感數(shù)據(jù)免遭非法公開或修改。

第十章 安全監(jiān)控和審計管理

第七十一條 各個網(wǎng)絡設備、服務器及服務應根據(jù)實際情況調(diào)整時間的一致性。

第七十二條 應監(jiān)控網(wǎng)絡、主機、數(shù)據(jù)庫及應用系統(tǒng)的運行狀態(tài)，并定期對日志信息進行審計，如發(fā)現(xiàn)存在錯誤，或可疑日志信息，并將該信息詳細記錄并通知系統(tǒng)安全管理員進行詳細調(diào)查。

第七十三條 應對網(wǎng)絡系統(tǒng)中的網(wǎng)絡設備運行狀況、網(wǎng)絡流量、網(wǎng)絡基礎服務等信息進行監(jiān)控。

第七十四條 應對關鍵主機的重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等重要安全相關事件進行監(jiān)控。

第七十五條 應對數(shù)據(jù)庫的操作進行監(jiān)控，監(jiān)控內(nèi)容包括：數(shù)據(jù)庫系統(tǒng)重啟及關閉信息、記錄數(shù)據(jù)系統(tǒng)用戶訪問、數(shù)據(jù)庫系統(tǒng)運行狀態(tài)（提示、出錯信息）、記錄數(shù)據(jù)庫文件修改/刪除/更新等信息。

第七十六條 應對應用系統(tǒng)的運行狀況進行監(jiān)控，包括：應用系統(tǒng)的啟動關閉、用戶訪問行為、異常出錯提示、應用系統(tǒng)的其它信息。

第七十七條 應定期審計網(wǎng)絡系統(tǒng)、主機系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和應用系統(tǒng)的日志信息，發(fā)現(xiàn)異常行為信息和可能的安全事件。

第十一章 數(shù)據(jù)備份和恢復管理

第七十八條 數(shù)據(jù)備份包括各信息系統(tǒng)配置備份、操作系統(tǒng)層備份、數(shù)據(jù)庫層備份和應用系統(tǒng)層備份等。

第七十九條 操作系統(tǒng)層備份的范圍包括操作系統(tǒng)和系統(tǒng)運行所產(chǎn)生的登錄和操作日志文件。

第八十條 數(shù)據(jù)庫備份的范圍包括數(shù)據(jù)庫數(shù)據(jù)文件和數(shù)據(jù)庫日志文件（包括歸檔日志文件、告警日志文件和跟蹤文件）；

第八十一條 應用系統(tǒng)備份的范圍包括程序文件、并發(fā)日志和并發(fā)輸出文件。

第八十二條 應用系統(tǒng)和數(shù)據(jù)庫備份應備份至磁盤陣列設備中，并每日進行增量備份，每月進行完整備份，備份信息至少應保存三年。

第八十三條 在對網(wǎng)絡及信息系統(tǒng)配置變更、數(shù)據(jù)轉(zhuǎn)換前要進行數(shù)據(jù)備份。

第八十四條 應對備份結(jié)果進行檢查，檢查備份日志，確認備份有效性，進行相應記錄并簽字確認。

第八十五條 如果發(fā)現(xiàn)備份失敗，系統(tǒng)管理員須檢查失敗原因，編寫故障報告，并盡快安排重新備份。

第八十六條 備份完成后如需保存?zhèn)浞萁橘|(zhì)，系統(tǒng)管理員須取出備份介質(zhì)，在標簽上按要求記錄備份信息，并移交備份介質(zhì)管理員。

第八十七條 對于關鍵的備份數(shù)據(jù)，應建立異地數(shù)據(jù)備份，異地備份介質(zhì)的存放環(huán)境和管理要求與本地相一致。

第八十八條 數(shù)據(jù)恢復測試每年至少進行一次，數(shù)據(jù)恢復測試不得影響XXXXX業(yè)務系統(tǒng)、生產(chǎn)環(huán)境的正常運行。

第八十九條 數(shù)據(jù)中心管理員在進行數(shù)據(jù)恢復測試時，須確認備份數(shù)據(jù)的可讀性和完整性，以及恢復方案的可執(zhí)行性，并填寫測試記錄，編寫恢復性測試報告，簽字確認并存檔；

第九十條 如果數(shù)據(jù)恢復測試失敗，數(shù)據(jù)中心管理員須檢查失敗原因，編寫故障報告，并盡快安排重新測試。

第九十一條 完成數(shù)據(jù)恢復測試后，數(shù)據(jù)中心管理員須及時清除測試環(huán)境中的生產(chǎn)數(shù)據(jù)，并歸還測試用備份介質(zhì)。

第十二章 日常運行維護管理

第九十二條 應對信息資產(chǎn)指定維護管理人員，并形成日常工作計劃和時間安排；

第九十三條 在指定運維管理人員時，應遵從“責任分離”原則，例如對于操作的授權和執(zhí)行職責相分離，如果難于把責任分離，應當考慮采取其它的管理措施，例如：活動監(jiān)測、審查追蹤和管理層監(jiān)督。

第九十四條 應對信息資產(chǎn)的操作和日常維護等活動流程形成規(guī)范化文件（如操作手冊），并經(jīng)過管理層授權；

第九十五條 在日常運行維護管理過程中需要對所管理的系統(tǒng)進行變更操作時，應當根據(jù)《XXXXX信息安全變更管理規(guī)定》進行。

第九十六條 在日常運行維護管理過程中，出現(xiàn)緊急安全事件時時，應根據(jù)《應急預案管理規(guī)定》相關要求和流程，啟動相應的應急響應預案。

第十三章 監(jiān)督檢查和獎懲

第九十七條 安全管理員應每季度進行安全檢查，檢查內(nèi)容包括系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況。

第九十八條 XXXXX信息中心主管領導應每年進行一次全面的安全檢查，檢查內(nèi)容至少包括現(xiàn)有安全技術措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等。根據(jù)全面安全檢查的結(jié)果，匯總安全檢查數(shù)據(jù)，形成安全檢查報告，并對安全檢查結(jié)果進行通報。

第九十九條 XXXXX信息安全領導小組應每兩年對信息系統(tǒng)安全管理規(guī)定進行審核一次，確保管理規(guī)定和XXXXX總體安全策略相適應。

第一百條 對于認真執(zhí)行信息系統(tǒng)安全管理規(guī)定的組織和人員，并取得了較好成績，XXXXX應給予必要的鼓勵和宣傳。

第一百〇一條 對于違反XXXXX信息系統(tǒng)安全管理規(guī)定的組織和人員，根據(jù)對XXXXX造成業(yè)務損害程度，給予必要的懲罰。

第十四章 附則

第一百〇二條 本規(guī)定由XXXXX信息中心制定，并負責解釋和修訂。

第一百〇三條 本規(guī)定自發(fā)布之日起執(zhí)行。

上海奔銘智能科技有限公司，是一家專業(yè)信息技術服務公司，主要從事企事業(yè)單位IT外包、計算機軟硬件產(chǎn)品代理銷售；智能化建設：消防工程、安防監(jiān)控、門禁考勤、網(wǎng)絡綜合布線、電話程控交換、入侵報警、視頻會議、公共廣播、智能停車等專業(yè)化的一站式服務商——【咨詢熱線：18818116008】。