IT安全管理.doc

it安全管理1、 外网接入以下内容摘自办公计算机、网络、应用系统、存储介质及外设安全管理规定1、 出差期间如何从外部网络访问公司内网？ 非研发员工可通过iacces从外部接入公司内网【注：公司内网默认为非研发内网，禁止访问研发网络】，在接入之前需要保障是公司机器，加入华为域，且安装spes安全套件，详情信息请查看中的iaccess页面。研发员工请咨询机要室。特别提示：禁止员工在处理工作邮件时使用其他网站提供的邮箱，在公司外工作也要求使用公司提供的邮箱；另外，在访问公司的email系统采用https形式，可以增加加密保护的功能。2、 对于非研发拥有便携机的员工如何申请iaccess权限？因工作需要，申请iaccess权限的员工，可以通过访问 申请使用iaccess。2、 内网接入以下内容摘自办公计算机、网络、应用系统、存储介质及外设安全管理规定和信息安全保密手册华为网络使用原则：所有接入【有线、无线、内网办公点、外网iaccess接入】华为内部办公网络的，符合安装条件的计算机均必须通过spes认证，且spes的认证检查结果应为“无风险。1、不使用域帐号的计算机可以通过spes认证吗？域帐号是员工在华为内部办公网络中的唯一身份标识，默认情况下所有员工应当使用域帐号进行spes认证接入。如果因为开发测试不能使用域帐号认证、或有特殊需求的外部人员不能使用域帐号认证，可以在申请使用mac地址认证。2、如果不安装spes，是否可以接入公司内网？所有使用windows操作系统的办公计算机都必须安装spes。对于开发、测试、以及it服务器使用的非windows操作系统，可以通过申请固定ip【申请链接：/ip】以及绑定mac地址【申请链接：】的方式接入公司内网。3、无线网络是否允许使用？在华为办公区域之内不允许接入非华为提供的无线网络。当出差在外时，允许通过无线方式接入网络。但无线网络与有线网络不能同时使用，也不能同时接入两个或两个以上的无线网络（cpm无线策略已经对此做了限制，如果因为工作需要同时接入无线和有线网络，请将业务主管审批邮件转发至部门信息安全专员处理）。4、 如何申请在办公网络中提供http、ftp等服务？在办公网络中提供http、ftp等服务必须事先申请，不允许私自搭建。如果需要it人员协助搭建服务并纳入公司it统一管理，必须通过it requirement电子流提交申请。如果不需要it人员协助，后续自行管理，则需要填写信息安全权限申请-其他申请，业务主管审批后可以自行搭建。服务器上发布的信息必须经过信息owner部门许可。5、部门是否可以自己在办公网络中搭建文件服务器？不允许部门或个人在办公网络搭建文件服务器。如果部门需要服务器空间用于日常办公或数据备份，可以通过it requirement电子流申请服务器空间或teamspace6、在公司办公场所如何访问外部网络？对于需要访问外部网络以及经常和客户、供应商等外部人员通信的员工，公司提供了以下服务：1） proxy权限，用于普通上网业务需求（访问的地址有限制），在w3平台的it service reguest中申请；2） telnet权限：用于远程telnet业务需求，在“信息安全权限申请”数据库中申请；3） modem、isdn拨号服务，用于专有及无需大带宽的业务需求（在与外网连接前需要断开该机器和公司网络的连接，以免外部人员以此作为跳板攻击公司网络），需要在is authority application电子流中提交申请；4） ftp权限：用于内外部网络、研发、非研发网络之间的数据传递业务需求（非研发员工直接申请ftp帐户，研发员工对外ftp传送数据需要走研发便携&文档流程，请机要室代为传送），在“信息安全权限申请”数据库中申请；5） gre通道使用权限，用于需要与外网用户互联互通的业务需求，需要首先联系产品线信管办进行沟通，确认之后再提交gre电子流（/gre）进行申请，申请前请申请人准备一独立的物理环境。7、如何在公司内部跨区访问与数据共享？ 为保护公司信息资产，研发区和非研发区在网络上进行了隔离，从非研发区无法访问研发区服务器，从研发区也无法访问非研发区服务器。若因工作需要将数据从研发传递到其他工作区，小于10m的文档可以通过notes mail直接发送；大于10m的文档可以在“研发便携文档外出管理”数据库中填写“公司内异地传输”申请，审批通过后，通过ftp服务器进行传送。若因工作需要将数据从非研发传递到研发区，小于10m的文档可以通过notes mail直接发送；大于10m的文档可以通过公司数传系统进行传递。链接地址：/net/etrans使用共享文件夹时必须设置权限，并且不得设置everyone共享，共享使用完毕后必须及时取消共享。8、因工作需要，需要使用网络安全类工具，进行网络扫描，该如何申请呢？netxray、sniffer、netspy或类似功能的网络扫描和网络信息收集工具，使用不当可能会影响和破坏公司网络运行。如工作需要，可填写is authority application”电子流中网络安全工具的申请流程，审批通过后填写it资产申请流程，批准后可使用。9、我是一名实验室的管理员，维护实验室自己搭建的网络，有时需要接入公司网络，有哪些注意事项？1） 禁止利用公司门户网站做任何测试，如有此需求须提交it需求电子流，可考虑在隔离的环境下建立测试目标进行测试。 2） 如工作需要启动dhcp等影响公司网络环境和其他用户的网络服务，须提交it需求电子流，在隔离的实验室中进行。3） 实验室管理员需对提供该服务的网络环境负责，避免该环境与公司办公网络相连而导致办公网络故障，如自行连接hub，从而引起环路，用户无法获取ip地址，网络严重瘫痪，引起业务长时间中断。4） 禁止私自设立网络出口【internet】威胁到公司内网安全 ，如有连接internet需求，须提交it需求电子流。3、 帐号管理要求1：应用中的每个id在应用中只有唯一的用户。具体要求：n 对于隐私法律法规规定的隐私信息，如身份证号等不得用作用户id。n 必须建立流程，为用户分派个人所有的用户id，用户对所分派的id承担使用相关的责任和义务。n 当id所有者不再有业务需要时(比如离职、调岗)，其或者其所在部门有责任通知it进行帐号清除。n 在技术支持的情况下，group1（进入it生产环境、支撑公司业务流程，通常位于bp&it机房网络的it系统唸过，或支撑公司保密业务的it系统）应用应优先使用华为公司统一用户身份管理服务，比如ad、l或者lotus notes目录服务。如果确实不适合使用公司统一的身份管理服务，应优先使用能支持应用的操作系统平台的用户管理服务。如果统一身份认证服务与操作系统平台的身份管理都不能满足时，才允许应用系统使用建立应用独有的身份管理服务。n 必须有流程保证在得到用户主管或者用户id责任人通知后的2周内清除用户id。n 在技术允许的情况下，应用中的每个id应设置有唯一的系统标识号进行用户管理。特殊情况下，用户id需要共用，在满足下述条件时，可以视为满足身份唯一要求：n 缺省情况下，承担应用维护的应用支持人员对应用id承担管理责任，除非应用id已经指派给某个被授权的个人。n 必须建立流程，当应用owner发生岗位变动或者离职时，来处理应用owner关系的变更和密码变更。n 如果技术控制措施无法实现个人的操作责任的区分，必须建立流程来保证当群组成员离职或离岗时改变共用应用id的密码。n 应用id不清除，无功能和使用需求时应进行锁定。n 如非功能需要，应用id必须禁止远程交互登录。说明：应用id,属于系统id的一种，指因安装应用或者组件而产生的、为应用或应用进程使用的id。要求2：用户id的数字证书只能使用网络安全部批准的ca所颁发的证书。要求3：必须设立流程，核实华为公司内部it应用中员工的id合法性。n 应保留用于证明核实流程被有效执行的证据。n 使用公司统一身份认证服务或者是操作系统平台身份管理服务的应用不受此要求限制。n 分配给华为公司外部客户用于访问华为公司 internet应用的用户id不受此要求限制。要求4： 所有本标准中包含的应用必须登记。n 注意：登记应用的责任由承担应用维护责任的应用支持人员承担，并负责信息的更新维护。要求5：在登录应用时，必须核实每个登录用户的id。具体要求：n 应用和中间件必须尽可能使用华为公司统一身份认证服务。注意：未经授权的用户(匿名用户)以及公司外部用户只允许访问外部公开级别信息。公司内部用户默认可以访问公司内部公开和外部公开信息。 4、密码策略要求1：密码规则n 若技术支持，应该至少有8位长；n 应混合字母、非字母（数字、标点符号、特殊字符），混合至少两种非字母字符；n 不含用户id；n 至少每180天更改一次；特别：在禁止交互式登录、密码长度达到14位、且包含大小字母、数字、特殊字符或标点符号的前提下，如下情况允许延长密码修改时间到18个月：a.修改密码需中断应用的部分或全部功能且id仅限于应用、脚本或程序自身使用、且密码加密存储；b.通过其他凭据或者是密码的加密串进行认证，而非直接使用明文密码；其他情况，用于认证的密码无法有效修改，应走it风险处置流程。n 密码不得使用最近5次用过的密码 ；n 帐号管理人员初次发放或者初始化密码给用户时，如果知道密码内容，必须设置过期期限（用户必须及时更改密码，否则密码强制失效不可用）； 要求2：密码在密码认证中，如技术允许，必须如下保护：n 不允许以明文形式通过internet、公共网络、无线设备传送。n 当存储在华为公司应用中，则必须加密，如果密码不能加密，则只能限于系统的安全管理员才能访问存放有明文密码的文件或者数据库。n 不能共用，除非满足个人责任的可追溯性。n 必须为用户建立密码重置的流程。n 新建的或者外购的第三方应用软件中的帐号缺省密码在首次使用前，用户必须进行更改。5、桌面标准1 操作系统 (operating system)1.1 windows标准：主要用途标准逻辑用户群备注windows 7 professional 英文版或简体中文版本公司预装win7个人电脑用户无需申请原预装windows xp professional英文版或简体中文版本+ sp2/sp3个人电脑无需升级策略：自本标准生效之日，新购的个人电脑须全部预装windows 7 professional，原预装xp个人电脑继续使用无须升级。2 协作(collaboration)定义：支持协作工作的计算机桌面软件工具。标准:主要用途标准逻辑用户群备注notes应用客户端lotus notes 8.5.1 英文版公司所有用户3 终端用户助手(end user assistance)3.1 压缩/解压工具定义：用于压缩或解压文档等文件的工具。标准：主要用途标准逻辑用户群备注压缩/解压文件winrar 3.8 英文版及以上版本公司所有用户3.2 翻译工具定义：语言翻译工具。标准：主要用途标准逻辑用户群备注中英文翻译金山词霸2009中文版公司所有用户xp用户可继续使用金山词霸2003说明：金山词霸2009中文版特指金山公司提供的免激活企业版本3.3 输入法定义：中文汉字输入工具。标准：主要用途标准逻辑用户群备注拼音中文输入微软拼音2007及以上公司所有用户微软提供4 internet工具(internet tools)4.1 web浏览器定义：浏览web页面的客户端工具。标准：主要用途标准逻辑用户群备注浏览web页面ie 8.0公司所有用户语言版本与操作系统一致，需及时安装补丁。xp用户可使用ie6.0 + sp2。5 应用工具 (line of business applications)5.1 项目管理工具标准：主要用途标准逻辑用户群备注项目管理microsoft office project professional 2007 英文版项目管理人员单机版原申请版本可继续使用6 消息邮件(messaging and email)6.1 邮件定义: 接收、编辑和发送email的客户端工具。标准：主要用途标准逻辑用户群备注对内的电子邮件lotus notes 8.5.1 英文版公司所有用户本地化邮箱模板以it 正式发布的版本为准。对内和对外工作电子邮件microsoft office outlook 2007公司所有用户microsoft office professional plus 2007自带组件原foxmail用户可以在本标准发布一年内继续使用foxmail6.2 统一通讯工具定义：接收、编辑和发送公司内部通讯消息的客户端工具。标准:主要用途标准逻辑用户群备注公司内部统一通讯工具espace公司所有用户版本以自动推送版本为准7 多媒体工具(multimedia tools)7.1 图像/影像查看编辑工具定义：常用图形与影像格式的查看编辑工具。标准：主要用途标准逻辑用户群备注简单图形处理microsoft office picture manager 2007 图像处理人员microsoft office professional plus 2007自带组件，无需申请图像查看工具windows图片和传真查看器公司所有用户windows7/xp内置查看flash 格式影像文件adobe flash player 10及以上版本公司所有用户包括ie控件adobe flash player 10 activex7.2 媒体播放工具定义：常用音频影像格式的播放工具。标准：主要用途标准逻辑用户群备注音视频播放windows media player 11.0中英文版及以上版本公司所有用户windows 7自带wmp12；xp可安装wmp118 文档工具(productivity applications)8.1 编辑器定义：电子文档编辑工具。标准：主要用途标准逻辑用户群备注office 文档编辑microsoft office professional plus 2007中英文版公司所有用户安装sp2或以上补丁包内存1g以下的个人电脑，可继续保留使用microsoft office 2003 中英文专业版office文档授权保护rms(office文档权限管理系统客户端)公司所有用户rms版本自动升级。pdf文档编辑adobe acrobat writer 7.* 英文版+多语言包pdf文档制作者原申请版本可继续使用visio 文档编辑microsoft office visio professional 2007 英文版visio 文档制作者原申请版本可继续使用8.2 阅读器定义：电子文档的阅读工具。标准：主要用途标准逻辑用户群备注pdf文档阅读adobe reader 9.3.3及以上英文版公司所有用户visio文档阅读microsoft office visio viewer 2007 公司所有用户ie插件lotus文档阅读lotus smartsuite世纪版公司所有用户查阅历史文档9 安全工具(security tools)9.1 防病毒工具定义：防病毒工具包括个人用pc、个人用服务器以及测试环境终端设备在windows平台下使用的防病毒产品，不包括所有公共服务器端设备使用的防病毒产品，也不包括所有在非windows平台下使用的防病毒产品。标准：主要用途标准逻辑用户群备注防病毒symantec endpoint protection 11公司所有用户要求配置2g内存及以上的个人电脑必须安装，自动升级； 对内存2g以下个人电脑可继续安装使用symantec antivirus英文企业版10说明：客户端防病毒软件公司统一实行自动升级。9.2 spes定义：公司网络接入认证客户端标准：主要用途标准逻辑用户群备注客户端安全套件spes5及以上公司所有用户强制安装，用户可自选英文版或简体中文版，版本自动升级。包括：端口管理cpm指纹应用finlogon安全服务ssa 外网接入iaccess内网接入spes桌面标准自查工具 acc说明：客户端安全套件spes公司统一实行自动升级。10 桌面云终端10.1 总体策略桌面云终端软件遵循513章各项标准，对于不能遵守、特别增加部分或特别禁止部分在以下章节说明，对于受控软件不在本标准中体现，在桌面云终端用户手册中明确。10.2 桌面云终端专用软件主要用途标准逻辑用户群备注pc上连接虚拟机桌面软件citrix desktop receiver 11.2以上桌面云终端用户pc上连接虚拟机桌面使用citrix tools for virtual machines 5.5以上桌面云终端用户桌面云终端必须安装软件，禁止卸载citrix virtual desktop agent x86 4.0以上桌面云终端用户桌面云终端必须安装软件，禁止卸载microsoft .net framework 2.0或3.0或3.5 3.5以上桌面云终端用户桌面云终端必须安装软件，禁止卸载10.3 桌面云禁止安装软件主要用途禁止安装软件兼容性说明aqua data studio会引起网卡无法使用。禁止安装360安全卫士装后导致无法连接虚拟机，禁止安装紫光输入法会引起microsoft office程序异常，禁止安装cvsnt安装后会导致虚拟机无法注册，禁止安装6、基础办公软件notes群组：(1)公司或一级部门任命的部门组织、项目组织且组织人员大于5人（不包括5人）方可由群组管理员创建群组。群组中包括的成员必须与该组织人员保持一致；(2)对于非条款1的情况，若需申请群组，须经一级部门干部部长审批同意；详见流程与it管理部发布的notes群组管理规定itoc：(1)用户通过域账号接入登录；(2)禁止多人采用同一账号登录/使用运维通道。详见流程与it管理部发布的it运维安全通道管理规定proxy：(1)proxy默认权限申请 因工作需要访问internet的员工，经主管批准后，可以申请开通proxy权限。 申请电子流：/dominoapp/it/isr/itservice.nsf/fmproxyapply?openform (2) proxy附加权限申请 在默认权限的基础上，再申请开通以下1-4中的某类（或几类）附加权限，可以增加相应类别网站的访问权限。 申请电子流：/dominoapp/it/isr/itservice.nsf/fmmoreproxyapply?openform 7、病毒与补丁、 病毒必须采取技术手段防止有害代码的传播和执行。n 只允许获取和使用经网络安全部批准的防病毒程序。n 在有防病毒程序更新时，服务提供者应提醒用户。n 防病毒程序应配置为每天从公司升级站点或者供应商站点检查一次病毒定义码更新。如果无法通过网络自动更新，则必须每周至少手工更新一次病毒定义码。n 应使用经华为公司批准的防毒程序，在邮件网关检测和阻拦病毒邮件。注意：n 如果系统或者服务器已经被病毒感染，其责任人必须联系华为公司it进行病毒清理，最大程度降低病毒感染造成的损害。个人用户可以联系it热线求助。n 如果经华为公司批准的防病毒程序中，都不适用于您的系统，您可以联系it热线求助，但不允许自行去查找、安装没有获得网络安全部许可的防病毒程序。详见流程与it管理部发布的it安全标准病毒事件汇报渠道当员工发现新病毒或可疑病毒而公司标准病毒软件不能查杀时，应第一时间报告it热线。报告渠道：it热线： 电话：+86-755-28560160（短号：60160）e-mail：notes: ithotline 12345/huawei员工在报告病毒事件时，应描述病毒发生的地点、时间和经过。病毒事件处理前，员工应将受感染的计算机断开网络连接并避免使用被病毒感染的文件。详见流程与it管理部发布的计算机病毒防治管理规定2、安全补丁必须建立适当的流程，保证安全补丁在下表规定的限期内完成安装。限期以网络安全部发布的日期(工作日)算起。n 网络安全部负责表中各系统/应用/中间件的安全漏洞和补丁的跟踪与评估工作和发布系；统的服务提供者，负责对发布的补丁与应用的兼容性进行评估，并在限期内完成修补。n 在发生严重告警存在高危漏洞时，可能出现需要紧急修补的情况。这种情况下，上面定义的期限应该以紧急沟通得出的修补期限来