某公司数据管理手册、机房管理手册(doc33)-地产制度(编辑修改稿)

某公司数据管理手册、机房管理手册(doc33)-地产制度(编辑修改稿)内容摘要：

数据服务器上的重要数据 数据备份到数据服务器上或备份服务器上（磁带备份机） 个人电脑上的数据 短时间数据可本机备份 长时间数据可异机备份 所有备份数据刻录至一次性刻录盘上，并注明刻录内容和时间 数据光盘刻录完成后，填写数据刻录及移交表，移交给文档管理员存放 第 16 页 共 33 页 档案资料交档记录 编号： 序号 资料名称 数量 交档时间 送交人 接受人 备注 第 17 页 共 33 页 七、系统网络管理分册 （一）系统平台 和应用软件的管理 1. 系统平台软件厂商发布的操作系统平台或其升级版本稳定运行半年后，并且无重大安全漏洞和 BUG 的，方能用作网络中生产、业务系统的系统平台。 2. 对各个服务器、工作站上安装的软件定期实施自动扫描，检测安装软件的类型和版本，判断是否安装了合法的软件、是否安装了最新的软件补丁包、以及是否有可疑的“软件”入侵企业网络。 3. 对没有安装最新的软件补丁包的工作站，实施强行安装机制；利用“推”的原则或在用户登陆网络时，自动安装软件的补丁包。 4. 网络系统平台安装时使用应用最小化原则，只安装必需的服务。 5. 对进出企业的电子邮 件实行相应的限制策略，如：限制邮件的大小、限制附件的类型等。 （二）网络服务器的管理 1. 服务器功能、安装适用最小化原则和单一化原则，总是使用标准的安全原则：执行运行时最少访问要求。 2. 只有管理员才能使用服务器，通常情况下，应尽量减少在服务器上操作的次数和时间。 对服务器做的更改要及时纪录，以备查核。 3. 对服务器的关键的操作和运行状况，实行日志纪录；用以检测某些无意或恶意的人为的操作。 4. 制定相应的服务器 /域的口令策略，并要求所有的用户定期更改口令。 5. 对服务器存储的内容设臵用户访问的权限和共享的权限，确保有足够权限的用 户才能访问可访问的信息。 6. 如果安全通道方法可以利用时（例如，技术可行），特权访问必须通过安全通道来执行。 7. 自动监测服务器的各项性能指标，并警报各种异常状况，以及时发现各种可能的破坏性的恶意操作。 8. 对企业所有的基于 IIS 的 Web 服务器施行 Web 服务器的安全列表检测，以加强对 Web服务器的保护。 9. 对 Inter 可以访问的服务器，实行安全的发布措施，如： IP 地址的转换等，以防止外 第 18 页 共 33 页 界对服务器的直接存取和访问，如：电子邮件服务器。 10. 对企业中的数据库服务器，实行相应的安全策略，如：字段、索引、表、试图、库等不同级别 的安全等级等。 11. 对所有基于 Windows NT/Windows 2020/ Windows 2020 的服务器，按照服务器的安全列表，逐项监测。 12. 参照数据管理制度，对服务器中的内容，如：文件、数据、邮件等，定制和实施相应的加密策略，以防止机密信息的外洩。 13. 参照病毒防范制度，对所有的服务器安装有效的防毒软件，并且自动 /定期更新防毒软件的版本和相关的病毒库。 14. 参照数据管理制度中的相关备份条例，对服务器中的内容，如：文件、数据、邮件等，定制和实施相应的备份策略，以最小化有不可抗力造成的损失。 15. 系统间的信任关系是一个 安全风险，他们的使用必须被禁止。 当一些其它的通讯方法将被使用时，不能使用信任关系。 16. 服务器必须在物理上位于一个访问控制环境，如机房内，特别禁止从不受控制的房间范围对服务器进行操作。 （三）网络工作站的管理 1. 对所有工作站的登陆实施登陆的安全设臵，只有有权限和合法的用户才能登陆工作站。 2. 限制用户对网络工作站软件的安装权限，进一步防治病毒或某些破坏程序利用工作站使用者的账号进行自行传播。 3. 对工作站存储的内容设臵用户访问的权限和共享的权限，确保有足够权限和合法的用户才能登陆工作站。 4. 对工作站上的某些不必要的应用服务 ，实施禁用政策；比如：不必在工作站上启用 IIS 服务。 5. 强行设臵工作站中的浏览器的内容安全级别，防止可执行 Script 语句和相关控件对客户端或网络可能造成的伤害。 6. 对工作站上安装的应用软件，开启相应的安全选项，以保证其对系统运行的安全，如：微软 Office 的宏安全性设臵等。 7. 对所有基于 Windows NT/Windows 2020/Windows XP 的工作站，按照工作站的安全列 第 19 页 共 33 页 表，逐项检测。 8. 参照病毒防范制度，对所有的工作站安装有效的防毒软件，并且自动 /定期更新防毒软件的版本和相关的病毒库。 9. 对于网管所安装 的软硬件，使用人不得随意更改。 如工作需要可在网管同意下自行更改。 对于以下软件使用人不得在任何情况下更改：计算机驱动程序、杀毒软件、各种销售售后系统软件、监控软件。 对于各种办公设备的硬件设施不得随意更换互借，尤其是电脑主机（主机内部所有配件）、显示器、打印机、扫描仪。 对于由专人保管的硬件设备如移动硬盘、数码相机、读卡器等等应签订保管合同，当出现问题时根据相应情况处理。 （ 四）网络设备的管理 1. 公司内连接生产、业务系统网络的所有路由器和交换机设备的安全管理都适用此条例，并且必须达到以下配臵标准。 2. 在路由器（交换机 ）上没有配臵本地用户帐号。 路由器必须使用 TACACS+对所有用户进行鉴别。 3. 路由器上的 enable 口令必须以安全密文方式保存。 必须从路由器维护组织处，将路由器 enable 口令设臵为当前生产路由器口令。 禁止以下行为： a) 直接的 IP 广播 b) 没有有效的源地址的包在路由器进入，如 RFC1918 地址 c) 所有源路由 d) 所有运行在路由器上的 web 服务 4. 用联合标准的 SNMP 共有的字符串。 5. 访问规则必须按生产、业务需求的进行添加。 6. 路由器（交换机）必须通过指定的联系点包括在全体企业管理系统中。 7. 每个路由器必须将下列声明粘贴在明显的 位臵： “禁止对此网络设备的任何未授权访问。 访问或配臵此社被必须有直接的许可。 所有的执行在对此设备上的行为都将被记录日志，违反此策略将参照奖惩制度有关条例加以处罚，并可能被上报按法律执行。 在此设备上没有私密权利。 ” 第 20 页 共 33 页 （五）网络访问的安全策略 1. 在企业局域网与外界网络（如： Inter 等）或企业的各个子网之间部署防火墙，并实施相应的通讯协议、 IP 包和端口的过滤。 2. 在企业局域网与外界网络（如： Inter 等）或企业的各个子网之间部署防毒墙，对通过的任何信息实行病毒的检测。 3. 部署企业的半军事化管制区（ DMZ），以保护对外界公开的服务器、工作站、网络设备，以及相应的文件、数据和信息等。 4. 部署网络监测和警告设备，及时捕获某些异常的网络通讯情况，以防止各种恶意的和非法的网络访问和各种对网络通讯的破坏。 5. 在企业的子网之间，以及基于 Inter 联接的虚拟专用网中，实施基于 IP 包的加密技术，防止网络中传输的信息被窃取。 6. 制定相应的远程用户访问的安全策略，如：用户验证、定时访问和回拨策略等。 7. 对公司部署的无线网络实时高度的安全策略，如用户口令的加密验证。 8. 对网络的关键部分，实施冗余性策略，以确保企业网络的不间断运作， 如：服务器的冗余、防火墙的冗余、路由器的冗余等。 （六）第三方接入的管理 1. 第三方（下级网络、承包商、厂商、代理等）因生产、业务需要，必须与中心网络建立连接的，应就连接相关事项签订具体责权协议，并在连接的整个过程中，不得违背协议条款。 2. 承包者、厂商、代理在书面通知并由中心信息技术主管人员审核其必要性、批准授权以后，才可以修改中心网络所拥有的设备的相关配臵；下级网络原则上不允许对中心网络拥有的设备作任何改动。 3. 没有预先获得公司信息技术主管人员的批准，第三方接入人员不能更改或删除设臵在公司设备上的任何密码。 4. 第三 方只能允许经由公司事先允许的第三方的职员（第三方的“授权职员”）访问网络连接或指定的公司设备。 5. 第三方将独立承担以下责任：确保授权职员没有安全风险，并且在公司的要求下，在公司评估与任何第三方授权职员相关的安全问题时，第三方必须提供给任何适当的、必需 第 21 页 共 33 页 的信息。 6. 无论何时，当第三方授权职员离开第三方公司的工作或不再需要访问网络连接或指定的中心系统设备时，第三方公司应迅速通知管理中心。 7. 当事人各方必须完全确保： 使用网络连接的当事人是安全的，并且，仅用于授权的目的。 当事人的业务记录和数据，对于不适当的访问、使用、 损失变更或破坏有保护措施。 当网络连接进行工作的基本用户发生改变时，或任何时候，在第三方的判断下认为网络连接的线路和 /或功能要求的改变是必须的时候，第三方须迅速以书面方式通知公司。 （七）远程访问控制 1. 远程访问应该包括（但不仅限于）拨入的 modems，帧中继， ISDN， DSL， VPN， SSH，和 cable modems，等等，它们的操作、执行都适用此制度。 2. 拥有管理中心整体网络的远程访问权限的本署职员、有责任确保，进行相关联接时完全遵照此制度。 3. 严禁利用中心网络资源为职员家庭成员提供 Inter 网络访问服 务。 4. 所有职员需按管理中心的制度规定，不进行不合规定的行为，并且不用公司网络资源对外部商业网站进行访问。 职员承担滥用访问而引起的后果。 5. 当通过远程访问方法访问整体网络，并可接受的使用中心的网络资源时，请注意保护中心网络系统中信息的机密性、完整性等。 6. 安全的远程访问必须被严格控制。 控制将通过一次性口令认证或有坚固通过词的公钥 /密钥来执行。 7. 任何时候，中心任何职员都不得将他们的登陆或电子邮件口令提供给其他人，甚至是家庭成员。 8. 有远程访问权限的中心职员和承包者、服务商，必须确保，他们用于远程连接中心网络的公司或个 人计算机、工作站，在同一时刻不得与其它任何网络相连。 9. 对中心网络有远程访问权限的职员，不得使用非公司的电子邮件帐户（例如， Hotmail、Yahoo、 sina 等），或其他外部资源联系公司业务，确保正式的业务不会和个人的事情相混淆。 第 22 页 共 33 页 10. 通过远程访问连接属于中心内部网络的主机时，连接方计算机必须使用最新的病毒防护软件。 （八）互联网访问管理 1. 所有与互联网连接的链路必须经管理中心核准，严禁私自拉接线路接入互联网。 2. 连接互联网必须用于必需的生产、业务需求，上班时间内严禁访问其他商业、娱乐网站。 3. 信息管理中心应在公司生 产、业务网络与互联网的连接处放臵有效的防火墙设备，条件允许的情况下，应加装能与防火墙互动的网络入侵监测系统。 4. 最初的防火墙（和入侵监测系统）配臵和更改必须由信息技术部门进行评估和审核。 信息技术部门可。