【doc】-某公司数据管理手册、机房管理手册(doc33)-地产制度

目录机房管理分册27（一）机房物理安全27（二）机房操作安全制度31（三）集团公司对于机房管理要求32（四）表单汇编33数据管理分册35（一）软件的管理35（二）技术资料和业务数据的管理35（三）数据备份的管理36（四）集团公司对于数据备份管理要求36（五）各公司数据备份规定范例37机房管理分册（一）机房物理安全1中心机房的选址要求11应避开易发生火灾、危险程度高的区域，如油库、可燃气体库附近；木结构建筑集中的区域等。12应避开尘埃、有毒气体、腐蚀性气体等环境污染的区域。13应避开低洼、潮湿及落雷区域。14应避开强振动源和强噪声源，因为振动和冲击会对计算机设备造成危害，如触点不良、焊接部分脱落；元器件及导线变形；使紧固件产生松动现象；引起位移及电缆张力过大等问题。15应避开对系统产生影响的强电场、强磁场的场所。16应避免设在建筑物的高层以及用水设备的下层或隔壁。17应避开有地震危害的区域，如山脚下、地基不牢的地方、邻近有高建筑物的地方。18应避开重盐害区域，因为盐雾对计算机设备具有腐蚀性。2机房的区位布局要求21中心机房应包括以下部分计算机房数据准备、介质存放和维护设备间软、硬件人员办公室及休息室空调供电室管理人员办公室22房间的分配要合理，应注意以下问题221应全面考虑数据处理的流程，把从接收数据到传送结果的所有过程，尽量布置在一个或几个房间内完成。222应使文件、材料的流动路线和操作人员的行走路线尽可能的短。223应使无关人员不要直接进入设备集中的房间，以确保计算机系统的安全运行。224对外接待和办理一些外来人员较多的事情，应在一个集中的房间内进行，为避免相互干扰，可讲这类房间分成若干个工作区。23上述要求，建议采用如图所示的平面布置。3中心机房的温度、湿度和灰尘的要求可参考下表，温度、湿度至少必须达到C级要求，尘埃度至少必须达到B级要求。31开机时机房内的温、湿度A级级别指标项目夏季冬季B级C级温度22220215301535相对湿度45654070308032关机时机房内的温、湿度级别指标项目A级B级C级温度535535540相对湿度4070208088033机房内的尘埃度级别指标项目A级B级粒度，M0505个数，粒/DM10,00018,0004做好中心机房的电流的接地工作，供电线尽可能不与信号线平行、不要挨在一起。5有害气体（二氧化硫、硫化氢、二氧化氮、一氧化碳等）会影响计算机系统的安全，更有害于操作人员的健康，中心机房应严格控制机房内有害气体的含量。6机房的防火61引起计算机防的火灾原因有A电器火灾、B空调加热器起火C人为事故D其他建筑物起火蔓延所致E记录介质与其他易燃物质所致62做好建筑防火措施A计算中心的脆弱区和危险区要采取隔离措施，包括用一般要求房间或用防火墙进行隔离。B选择耐火等级高的建筑材料。机房的构件都应由难燃与不燃材料构成。C在计算机房要设置两个以上的出入口，一旦发生火灾，便于人员和资料的撤出。D设置应急开关，一旦发生火灾能快速切断电源、关闭空调。E在选择和安装电器材时，要充分考虑到防火的要求。63设置报警和灭火设备，灭火设备使用的灭火剂应符合以下要求A灭火效率高。B灭火剂的毒性应非常小，化学稳定性好。C用量少。D灭火剂要能有效扑灭可燃固体表面或和电火。E所使用的灭火剂，不损伤计算机设备，不引起二次灾害。F做好防火管理，建立火灾自动报警和消防体系。7中心机房的防水与防潮A做好机房建筑物的防水处理，设置防潮层。B沿机房外墙的四周设散水坡或排水沟。C在机房及辅助间不设置用水设备。8中心机房的防雷措施A计算机信息系统的防雷措施应符合GB157建住防雷规范的各项标准。B有条件的情况下，机房应设有专门的防雷保护地。C有条件的情况下，应设置浪涌电压吸收装置。D重要的计算机信息系统，应安装全方位的系统防雷设施。9机房的电源保护A要有符合条件的线路稳压装置。B必须安装符合实际需求的UPS不间断供电电源，必须保证停止供电24小时的情况下，生产、业务系统中心设备能正常、稳定工作。10中心机房的静电防护A建立一套合理的接地域屏蔽系统。B对于机房地板，要能保证从地板表面到接地系统电阻在1010之间。58C机房的家具应使用场产生静电小或不产生静电的材料。D工作人员的服装，要采用不易产生静电的衣料制做，鞋要选用低阻值的材料制做。E在硬件维修时，要使用金属板台面的专用维修台。F在机房中使用静电消除剂和静电消除器等，以进一步减少静电的产生。11做好防止计算机设备信息泄漏措施，其他有计算机设备运行的场所，包括办公室等，应参照执行。A使用低辐射的计算机设备。B控制计算机设备距离，做好距离防护。C利用噪声干扰源。D屏蔽。E采用微波吸收材料。（二）机房操作安全制度1机房应建立严格准入制度，钥匙由专人保管，仅有经核准的信息技术专业人员才能进入机房进行操作。2没有获准进入电子计算机中心的来访者，其活动范围必须限制在制定的区域内并记录来访者情况。3获准进入的来访者到达接待区域时，应一直有信息技术主管人员指定的专人陪同，同时对来访者的情况进行记录。31有指定管理人员的明确准许，电子数据处理中心使用的任何介质、文件资料或各种被保护品都不得带出计算机房。32入机房必须换着防静电的工作服，换专用拖鞋。33不得将强磁场的物体域水源带进机房，或靠近机房中的设备。34修设备应在专门的操作台上进行，严格硬件维修遵守操作规程，不带电强行插拔部件和设备。35最后离开机房的人员应检查机房的电源情况、资料的整理、归档情况，确保符合管理制度的要求，关闭不必要的电源后，方可封锁机房入口，离开机房。（三）集团公司对于机房管理要求1机房不得携入易燃、易爆物品。2机房内严禁吸烟。3机房严禁乱拉接电源，以防造成短路或失火。4安装坚固门锁系统，防止非网络管理员随意进入。5机房工作人员应遵守公司的保密规定，禁止非机房工作人员进入电脑室。输入电脑的信息属公司机密，未经批准不准向任何人提供、泄露。违者视情节轻重给予处理。6机房工作人员必须按照要求和规定，科学地采集、输入、输出信息，为集团领导和有关部门决策提供信息资料。采集、输入信息以及时、准确、全面为原则。7信息载体必须安全存放、保管、防止丢失或失效。任何人不得将信息载体带出电脑室。8机房工作人员应爱护各种设备，降低消耗、费用。对各种设备应按规范要求操作、保养。发现故障，应及时报请维修，以免影响工作。9UPS只作停电保护之用，在无市电的情况下，迅速存盘紧急操作；严禁将UPS作正常电源使用。10机房设备应由专业人员操作、使用。禁止非专业人员操作、使用，否则，造成设备损坏的应照价赔偿。（四）表单汇编机房出入登记表值班员日期年月日姓名日期进入时间离开时间事由备注服务器日常维护表设备名称IP地址设备型号物理位置检查内容详细情况分析系统进程查看服务登陆用户管理员权限用户登陆信息系统磁盘查看主要文件系统安全属性系统计划任务病毒信息填表人填表时间年月日数据管理分册（一）软件的管理1使用正版软件，获得良好的服务支持，维护自己的正当权益。2软件介质的管理与保存应在信息技术专业人员中指定专门的责任人。3软件介质应存放于干燥、温度在1030、无磁干扰的环境中，原则上应保存于中心机房的资料保存区。4建立软件的借用制度，软件借用时，需对软件应用的地点、时间、原因、领用人等信息作详细记录，使用完毕，立即归还。5系统软件仅有信息技术专业人员才能借用，其他职员领用非系统软件时，应确保是生产、业务系统所必需的，才可借用。6属公司自己研发、有版权的生产、业务应用软件，未经许可，不得私自刻录。7所有软件应有完整的备份，版本必须保持与当前系统中所应用的保持一致，备份具体要求参考数据备份的管理。8旧版本软件介质、淘汰的软件介质和其他有软件信息的废弃介质，纸质的必须存放到专门的处理柜中，电子数据必须被擦去/清除，确保消除或物理上销毁媒体。（二）技术资料和业务数据的管理1技术资料和业务数据属于管理中心的敏感性信息。2技术资料中包括操作技术资料和软件设计方案、数据结构、加密算法、源代码等开发资料。3涉及到软件设计方案、数据结构、加密算法、源代码等开发资料和业务数据的职员，应自觉遵守相关的保密协议，不通过复印、拷贝、邮递和电子邮件的形式或其他未及的方式向公司以外传递。4技术资料和业务数据的管理应在信息技术专业人员中指定专门的责任人。5纸介质保存的技术资料、业务数据应存发放在干燥的房间内，磁介质的应存放于干燥、无磁干扰的房间内，原则上应保存于中心机房的资料保存区。6建立技术资料的借阅制度，并对借阅资料的人员、时间、原因等信息作详细记录，借阅完毕，立即归还。7管理中心职员可以向技术资料管理人员借阅操作技术类的技术资料，除此之外技术资料仅有信息技术专业人员可以借阅。8业务数据涉及中心的生产、业务情况，原则上不提供借阅，职工确有此方面使用需求时，应向本部门领导申请，说明原因，经批准后，方可在管理人员处查阅相关信息。9所有技术资料和业务数据要做好数据备份工作，纸介质保存的必须有相应的完整磁介质备份，备份具体要求参考数据备份的管理。10过了保存期限的业务数据，因存放在专门标记的处理柜中，电子数据必须被擦去/清除，确保消除或物理上销毁媒体。（三）数据备份的管理1建立完整、有效的数据备份机制，有条件的情况下，应积极建立数据实时备份中心。2需要备份的数据包括生产、业务数据、网络系统及配置信息、应用软件的设计方案、源代码等。3网络系统及配置信息、应用软件的设计方案、源代码等在投入系统运行前应作完整备份，运行过程中有更改或新添内容时，应立即更新备份。4生产、业务系统的数据，有实时性要求的应在每天生产、业务结束时作当天数据的备份，并按月作好历史备份。5对关键的生产、业务系统数据、系统数据及关键应用软件的源代码等应实行异地备份原则，以尽量降低不可抗力带来的损失。6备份的数据应妥善保管，严格执行数据的保密制度，并随时保证备份信息的可获得性和可用性。（四）集团公司对于数据备份管理要求1公司所有数据的备份由专业负责人管理，备份用的软盘，光盘等存储设备由专业负责人提供。2数据备份原则21个人电脑上的数据按其重要性、存放时间的长短可分为本机备份和异机备份。在短时间之内员工可将数据备份到本机的备份盘符，如存放时间较长应由公司备份专业负责人将数据备份至磁带备份机或备份服务器上，最后将重要数据按时间周期进行刻录。22数据服务器上的数据必须每天备份，最后将数据按时间周期进行刻录。3对于公司重要数据按照一定周期进行备份，并要求数据备份专业负责人将备份数据刻录至一次性刻录光盘上，注明刻录内容和刻录时间，在填写完数据刻录及移交表后，移交给文档管理员存放，要求数据刻录人员和文档管理员签字、确认。（五）华成集团及旗下各公司数据备份规定范例1苏州华成汽车贸易集团有限公司11所有办公人员可按自己工作需要，按一定时间周期，将自己电脑内的文件，备份至本机备份盘符。按每月汇总一次由备份专业负责人备份至公司的磁带备份机或备份服务器上，再按半年一次由备份专业负责人刻录至光盘上交于文档管理员保存。12财务用友系统数据必须每天备份，按每月由备份专业负责人刻录至光盘上交于文档管理员保存。13保险部的数据库必须每天备份，按每月由备份专业负责人刻录至光盘上交于文档管理员保存。14客户档案按每月由备份专业负责人刻录至光盘上交于文档管理员保存。2苏州华丰汽车销售服务有心公司21所有办公人员可按自己工作需要，按一定时间周期，将自己电脑内的文件，备份至本机备份盘符。按每月汇总一次由备份专业负责人备份至公司的磁带备份机或备份服务器上，再按半年一次由备份专业负责人刻录至光盘上交于文档管理员保存。22财务用友系统数据必须每天备份，按每月由备份专业负责人刻录至光盘上交于文档管理员保存。23大众售后SVW2数据库必须每天备份，按每月由备份专业负责人刻录至光盘上交于文档管理员保存。24客户档案按每月由备份专业负责人刻录至光盘上交于文档管理员保存。3苏州华胜汽车销售服务有限公司31所有办公人员可按自己工作需要，按一定时间周期，将自己电脑内的文件，备份至本机备份盘符。按每月汇总一次由备份专业负责人备份至公司的磁带备份机或备份服务器上，再按半年一次由备份专业负责人刻录至光盘上交于文档管理员保存。32财务用友系统数据必须每天备份（目前备份的只有华正、华田、丰田三家公司的账目，工资账等未备份，每月的数据量过大，CD刻录机无法满足数据的容量），按每月由备份专业负责人刻录至光盘上交于集团档案管理员保存。33中华售后易车数据库和中华售后卓越数据库必须每天备份，按每月由备份专业负责人刻录至光盘上交于文档管理员保存。34通用售后DNS数据库必须每天备份（目前为止通用系统无数据备份），按每月由备份专业负责人刻录至光盘上交于文档管理员保存。35客户档案按每月由备份专业负责人刻录至光盘上交于文档管理员保存。4苏州华正汽车销售服务有限公司41所有办公人员可按自己工作需要，按一定时间周期，将自己电脑内的文件，备份至本机备份盘符。按每月汇总一次由备份专业负责人备份至公司的磁带备份机或备份服务器上，再按半年一次由备份专业负责人刻录至光盘上交于集团档案管理员保存。42财务用友系统数据必须每天备份，按每月由备份专业负责人刻录至光盘上交于文档管理员保存。43通用售后DNS数据库必须每天备份，按每月由备份专业负责人刻录至光盘上交于文档管理员保存。44客户档案按每月由备份专业负责人刻录至光盘上交于文档管理员保存。5苏州华成汽车销售有限公司51所有办公人员可按自己工作需要，按一定时间周期，将自己电脑内的文件，备份至本机备份盘符。按每月汇总一次由备份专业负责人备份至公司的磁带备份机或备份服务器上，再按半年一次由备份专业负责人刻录至光盘上交于集团档案管理员保存。52财务用友系统数据必须每天备份，按每月由备份专业负责人刻录至光盘上交于文档管理员保存。53通用售后DNS数据库必须每天备份，按每月由备份专业负责人刻录至光盘上交于文档管理员保存。54客户档案按每月由备份专业负责人刻录至光盘上交于文档管理员保存。6苏州华田汽车销售服务有限公司61所有办公人员可按自己工作需要，按一定时间周期，将自己电脑内的文件，备份至本机备份盘符。按每月汇总一次由备份专业负责人备份至公司的磁带备份机或备份服务器上，再按半年一次由备份专业负责人刻录至光盘上交于集团档案管理员保存。62财务用友系统数据必须每天备份，按每月由备份专业负责人刻录至光盘上交于文档管理员保存。63通用售后DNS数据库必须每天备份，按每月由备份专业负责人刻录至光盘上交于文档管理员保存。64客户档案按每月由备份专业负责人刻录至光盘上交于文档管理员保存。7苏州华洋汽车销售服务有限公司71所有办公人员可按自己工作需要，按一定时间周期，将自己电脑内的文件，备份至本机备份盘符。按每月汇总一次由备份专业负责人备份至公司的磁带备份机或备份服务器上，再按半年一次由备份专业负责人刻录至光盘上交于集团档案管理员保存。72财务用友系统数据必须每天备份，按每月由备份专业负责人刻录至光盘上交于文档管理员保存。73通用售后DNS数据库必须每天备份，按每月由备份专业负责人刻录至光盘上交于文档管理员保存。74客户档案按每月由备份专业负责人刻录至光盘上交于文档管理员保存。8苏州华成丰田汽车销售服务有限公司81所有办公人员可按自己工作需要，按一定时间周期，将自己电脑内的文件，备份至本机备份盘符。按每月汇总一次由备份专业负责人备份至公司的磁带备份机或备份服务器上，再按半年一次由备份专业负责人刻录至光盘上交于文档管理员保存。82财务用友系统数据必须每天备份，按每月由备份专业负责人刻录至光盘上交于文档管理员保存。83客户档案按每月由备份专业负责人刻录至光盘上交于文档管理员保存。数据电子档案备份流程图分段工作要点负责人数据备份需求1数据备份前，操作人员必须对数据进行整理各部门/分公司数据操作员数据备份实施数据服务器的重要数据（包括机密数据），要由网络管理员专人备份数据备份时按实际情况，进行周期性的备份刻录每次数据刻录完成后，必须由各个公司网络管理员整理后统一交到集团文档管理员处存放各公司的网络管理员各个维修站网络管理员各个维修站网络管理员和文档管理员人数据服务器上的重要数据数据备份到数据服务器上或备份服务器上（磁带备份机）个人电脑上的数据短时间数据可本机备份长时间数据可异机备份所有备份数据刻录至一次性刻录盘上，并注明刻录内容和时间数据光盘刻录完成后，填写数据刻录及移交表，移交给文档管理员存放档案资料交档记录编号序号资料名称数量交档时间送交人接受人备注七、系统网络管理分册（一）系统平台和应用软件的管理1系统平台软件厂商发布的操作系统平台或其升级版本稳定运行半年后，并且无重大安全漏洞和BUG的，方能用作网络中生产、业务系统的系统平台。2对各个服务器、工作站上安装的软件定期实施自动扫描，检测安装软件的类型和版本，判断是否安装了合法的软件、是否安装了最新的软件补丁包、以及是否有可疑的“软件”入侵企业网络。3对没有安装最新的软件补丁包的工作站，实施强行安装机制；利用“推”的原则或在用户登陆网络时，自动安装软件的补丁包。4网络系统平台安装时使用应用最小化原则，只安装必需的服务。5对进出企业的电子邮件实行相应的限制策略，如限制邮件的大小、限制附件的类型等。（二）网络服务器的管理1服务器功能、安装适用最小化原则和单一化原则，总是使用标准的安全原则执行运行时最少访问要求。2只有管理员才能使用服务器，通常情况下，应尽量减少在服务器上操作的次数和时间。对服务器做的更改要及时纪录，以备查核。3对服务器的关键的操作和运行状况，实行日志纪录；用以检测某些无意或恶意的人为的操作。4制定相应的服务器/域的口令策略，并要求所有的用户定期更改口令。5对服务器存储的内容设置用户访问的权限和共享的权限，确保有足够权限的用户才能访问可访问的信息。6如果安全通道方法可以利用时（例如，技术可行），特权访问必须通过安全通道来执行。7自动监测服务器的各项性能指标，并警报各种异常状况，以及时发现各种可能的破坏性的恶意操作。8对企业所有的基于IIS的WEB服务器施行WEB服务器的安全列表检测，以加强对WEB服务器的保护。9对INTERNET可以访问的服务器，实行安全的发布措施，如IP地址的转换等，以防止外界对服务器的直接存取和访问，如电子邮件服务器。10对企业中的数据库服务器，实行相应的安全策略，如字段、索引、表、试图、库等不同级别的安全等级等。11对所有基于WINDOWSNT/WINDOWS2000/WINDOWS2003的服务器，按照服务器的安全列表，逐项监测。12参照数据管理制度，对服务器中的内容，如文件、数据、邮件等，定制和实施相应的加密策略，以防止机密信息的外洩。13参照病毒防范制度，对所有的服务器安装有效的防毒软件，并且自动/定期更新防毒软件的版本和相关的病毒库。14参照数据管理制度中的相关备份条例，对服务器中的内容，如文件、数据、邮件等，定制和实施相应的备份策略，以最小化有不可抗力造成的损失。15系统间的信任关系是一个安全风险，他们的使用必须被禁止。当一些其它的通讯方法将被使用时，不能使用信任关系。16服务器必须在物理上位于一个访问控制环境，如机房内，特别禁止从不受控制的房间范围对服务器进行操作。（三）网络工作站的管理1对所有工作站的登陆实施登陆的安全设置，只有有权限和合法的用户才能登陆工作站。2限制用户对网络工作站软件的安装权限，进一步防治病毒或某些破坏程序利用工作站使用者的账号进行自行传播。3对工作站存储的内容设置用户访问的权限和共享的权限，确保有足够权限和合法的用户才能登陆工作站。4对工作站上的某些不必要的应用服务，实施禁用政策；比如不必在工作站上启用IIS服务。5强行设置工作站中的浏览器的内容安全级别，防止可执行SCRIPT语句和相关控件对客户端或网络可能造成的伤害。6对工作站上安装的应用软件，开启相应的安全选项，以保证其对系统运行的安全，如微软OFFICE的宏安全性设置等。7对所有基于WINDOWSNT/WINDOWS2000/WINDOWSXP的工作站，按照工作站的安全列表，逐项检测。8参照病毒防范制度，对所有的工作站安装有效的防毒软件，并且自动/定期更新防毒软件的版本和相关的病毒库。9对于网管所安装的软硬件，使用人不得随意更改。如工作需要可在网管同意下自行更改。对于以下软件使用人不得在任何情况下更改计算机驱动程序、杀毒软件、各种销售售后系统软件、监控软件。对于各种办公设备的硬件设施不得随意更换互借，尤其是电脑主机（主机内部所有配件）、显示器、打印机、扫描仪。对于由专人保管的硬件设备如移动硬盘、数码相机、读卡器等等应签订保管合同，当出现问题时根据相应情况处理。（四）网络设备的管理1公司内连接生产、业务系统网络的所有路由器和交换机设备的安全管理都适用此条例，并且必须达到以下配置标准。2在路由器（交换机）上没有配置本地用户帐号。路由器必须使用TACACS对所有用户进行鉴别。3路由器上的ENABLE口令必须以安全密文方式保存。必须从路由器维护组织处，将路由器ENABLE口令设置为当前生产路由器口令。31禁止以下行为A直接的IP广播B没有有效的源地址的包在路由器进入，如RFC1918地址C所有源路由D所有运行在路由器上的WEB服务4用联合标准的SNMP共有的字符串。5访问规则必须按生产、业务需求的进行添加。6路由器（交换机）必须通过指定的联系点包括在全体企业管理系统中。7每个路由器必须将下列声明粘贴在明显的位置“禁止对此网络设备的任何未授权访问。访问或配置此社被必须有直接的许可。所有的执行在对此设备上的行为都将被记录日志，违反此策略将参照奖惩制度有关条例加以处罚，并可能被上报按法律执行。在此设备上没有私密权利。”（五）网络访问的安全策略1在企业局域网与外界网络（如INTERNET等）或企业的各个子网之间部署防火墙，并实施相应的通讯协议、IP包和端口的过滤。2在企业局域网与外界网络（如INTERNET等）或企业的各个子网之间部署防毒墙，对通过的任何信息实行病毒的检测。3部署企业的半军事化管制区（DMZ），以保护对外界公开的服务器、工作站、网络设备，以及相应的文件、数据和信息等。4部署网络监测和警告设备，及时捕获某些异常的网络通讯情况，以防止各种恶意的和非法的网络访问和各种对网络通讯的破坏。5在企业的子网之间，以及基于INTERNET联接的虚拟专用网中，实施基于IP包的加密技术，防止网络中传输的信息被窃取。6制定相应的远程用户访问的安全策略，如用户验证、定时访问和回拨策略等。7对公司部署的无线网络实时高度的安全策略，如用户口令的加密验证。8对网络的关键部分，实施冗余性策略，以确保企业网络的不间断运作，如服务器的冗余、防火墙的冗余、路由器的冗余等。（六）第三方接入的管理1第三方（下级网络、承包商、厂商、代理等）因生产、业务需要，必须与中心网络建立连接的，应就连接相关事项签订具体责权协议，并在连接的整个过程中，不得违背协议条款。2承包者、厂商、代理在书面通知并由中心信息技术主管人员审核其必要性、批准授权以后，才可以修改中心网络所拥有的设备的相关配置；下级网络原则上不允许对中心网络拥有的设备作任何改动。3没有预先获得公司信息技术主管人员的批准，第三方接入人员不能更改或删除设置在公司设备上的任何密码。4第三方只能允许经由公司事先允许的第三方的职员（第三方的“授权职员”）访问网络连接或指定的公司设备。5第三方将独立承担以下责任确保授权职员没有安全风险，并且在公司的要求下，在公司评估与任何第三方授权职员相关的安全问题时，第三方必须提供给任何适当的、必需的信息。6无论何时，当第三方授权职员离开第三方公司的工作或不再需要访问网络连接或指定的中心系统设备时，第三方公司应迅速通知管理中心。7当事人各方必须完全确保71使用网络连接的当事人是安全的，并且，仅用于授权的目的。72当事人的业务记录和数据，对于不适当的访问、使用、损失变更或破坏有保护措施。当网络连接进行工作的基本用户发生改变时，或任何时候，在第三方的判断下认为网络连接的线路和/或功能要求的改变是必须的时候，第三方须迅速以书面方式通知公司。（七）远程访问控制1远程访问应该包括（但不仅限于）拨入的MODEMS，帧中继，ISDN，DSL，VPN，SSH，和CABLEMODEMS，等等，它们的操作、执行都适用此制度。2拥有管理中心整体网络的远程访问权限的本署职员、有责任确保，进行相关联接时完全遵照此制度。3严禁利用中心网络资源为职员家庭成员提供INTERNET网络访问服务。4所有职员需按管理中心的制度规定，不进行不合规定的行为，并且不用公司网络资源对外部商业网站进行访问。职员承担滥用访问而引起的后果。5当通过远程访问方法访问整体网络，并可接受的使用中心的网络资源时，请注意保护中心网络系统中信息的机密性、完整性等。6安全的远程访问必须被严格控制。控制将通过一次性口令认证或有坚固通过词的公钥/密钥来执行。7任何时候，中心任何职员都不得将他们的登陆或电子邮件口令提供给其他人，甚至是家庭成员。8有远程访问权限的中心职员和承包者、服务商，必须确保，他们用于远程连接中心网络的公司或个人计算机、工作站，在同一时刻不得与其它任何网络相连。9对中心网络有远程访问权限的职员，不得使用非公司的电子邮件帐户（例如，HOTMAIL、YAHOO、SINA等），或其他外部资源联系公司业务，确保正式的业务不会和个人的事情相混淆。10通过远程访问连接属于中心内部网络的主机时，连接方计算机必须使用最新的病毒防护软件。（八）互联网访问管理1所有与互联网连接的链路必须经管理中心核准，严禁私自拉接线路接入互联网。2连接互联网必须用于必需的生产、业务需求，上班时间内严禁访问其他商业、娱乐网站。3信息管理中心应在公司生产、业务网络与互联网的连接处放置有效的防火墙设备，条件允许的情况下，应加装能与防火墙互动的网络入侵监测系统。4最初的防火墙（和入侵监测系统）配置和更改必须由信息技术部门进行评估和审核。信息技术部门可以要求必需的安全改进。5网络维护人员必须记录所有在内部网络中能够访问互联网的设备的IP地址，并连同该设备当前的连接信息一起记录在公司的地址管理数据库中。八、计算机病毒防范分册（一）防病毒总体制度1病毒防治是信息安全的重要保障，许多安全漏洞都是由病毒感染造成的。因此，为实现公司内部网络的信息安全，病毒防治必须加以重视。2指派一名专业技术人员作为“病毒防范专员”，使之成为所有病毒警报问题和采取相应措施的第一联系人。3选择适当的防病毒软件。该软件必须具备良好的防毒性能、简单方便的统一布控和管理功能，软件供应商应当是安全产品主要经销商，具备相当的技术水平，并能提供对病毒和紧急事件的及时响应服务。4所有网络中的计算机系统都必须按要求统一部署防病毒软件，以便“检疫”所有可疑文件并提醒指派的病毒防范专员和系统管理员。；5每一台终端设备的使用人员都是所使用设备的病毒防范管理人员，有责任和义务按照病毒防范守则规范自己的日常行为，并接受管理中心病毒防范专员的统一指导和管理；6所有部署有防病毒软件的计算机系统都必须在系统运行期间打开防病毒软件的实时监控功能，病毒防范管理人员应该通过防病毒软件的网络管理中心设定相应的规则或密码等，以防止网络中的终端用户私自关闭实时监控；7任何人不得有意无意破坏、删除、卸载、关闭防病毒软件；8任何人不得私自在现有防病毒软件基础上安装其他防病毒软件，特殊情况下，必须报经主管领导，由病毒控制专员根据实际情况负责具体操作；9通过使用处理病毒的有名的专业信息源（如，WEB站点）能够迅速地识别病毒报告。10每星期一次到防病毒的网站上查看最新病毒的信息，发作方式，以及查看公司现有防病毒的病毒代码中是否包括了该病毒，没有则升级病毒数据库及杀毒引擎；11及时升级防病毒软件的病毒库，有条件的设备要求做到每天自动更新病毒库，受条件限制，不能每天自动更新的，要保证在尽量短的时间内完成病毒库的手工更新工作，建议手工更新操作间隔不超过3天；12所有装有防病毒软件的计算机系统设备都要设定定期扫描规则121定期扫描的内容应该包括本地设备的所有磁盘上的所有文件；122建议定期扫描规则设定频率为每周一次，最长间隔不能超过1个月；123定期扫描规则设定的扫描开始的具体时间，尽量选择在中午休息时间，或晚上正常业务工作基本结束之后，以保证进行病毒扫描工作是不影响正常工作；124终端设备的病毒扫描日志由设备使用人员自己保存，对于发现病毒情况的，向管理中心的病毒防范专员汇报。125管理中心的病毒防范专员要负责服务器等设备病毒扫描日志的记录、报告、检查，并对其他设备使用人提交的报告进行响应。13需要上网收发邮件的设备，必须在防病毒软件上配置邮件收发病毒监控规则；增强对电子邮件病毒的防范意识，不随意打开未知的附件、程序等。14病毒防范专员要对职责范围内的防病毒软件的部署、配置更改等情况做好记录。15病毒防范专员和系统管理人员要定期做好数据的备份工作，以确保遭受病毒袭击时损失减少到最低。16互联网访问过程中病毒防范的要求161通过网络中心统一规定、管理的互联网出口访问INTERNET；162根据业务需要浏览相关网站，不随意打开不认识的链接地址；163根据业务需要浏览网站内容，不点击与业务无关的程序、媒体和广告等；17使用内网资源过程中的病毒防范要求171所有属于网络中心的系统设备在按要求部署了防病毒软件以后才能接入内网使用；172所有属于网络中心的移动存储介质，必须按以下规则使用A软磁盘、移动硬盘、U盘、光盘等，由对应的使用人员负责介质的病毒防范工作；B所有介质都必须接受统一的全盘病毒扫描以后才能使用；C所有介质必须和计算机系统设备一样接受定期的病毒检测扫描；173所有要求接入内部网络使用的外来设备，包括计算机系统、可移动存储介质等，必须按以下规则执行A有接入需要的设备使用人向网络管理中心病毒防范专员提出要求，并在后面的检测工作中服从防范专员的管理和要求；B由网络管理中心指定专门的病毒检测软件和测试系统对外来设备进行病毒检测；C用于检测病毒的指定设备在进行检测工作之前，必须升级到当前最新的病毒库；D用于检测病毒的指定设备在进行检测工作时，必须首先从内网中隔离开来；对外来设备检测结束以后，必须对本机进行全面扫描确认没有病毒以后才能重新接入内网；E经指定设备全面扫描，确认没有病毒的外来设备，才能接入内网使用，每次检测仅对当前接入负责，当外来设备离开本地网络环境以后，如需再次接入，必须重新按接入要求检测符合要求以后方能再次接入；F病毒防范专专员应对上述行为做好记录工作。18发现病毒处理要求181任何人员发现设备由感染病毒的情况，应当首先从内网中隔离出来，然后向病毒防范专员报告；182按照病毒相应制度进行具体操作。19对用户做好相关培训工作，以便使他们了解病毒的危害，掌握防病毒软件的使用方法和发现病毒后的处理流程，并且能具备基础的病毒防范技巧。20从反病毒公司预订专业“热线”支持服务，以处理新出现的病毒种类。（二）病毒响应制度1对病毒警报的配置11在客户端出现病毒时通知报警管理台，管理台应该是病毒防范专员的机器，因为当发现有病毒，马上会在管理台上出现信息描述哪台电脑出现病毒，可能的病毒名称等，病毒防范专员然后可以及时处理。12在文件服务器上或网关服务器上发现有病毒除了通知病毒防范专员外，还需要通知传送病毒的用户，让他必须升级病毒数据库和杀毒引擎，然后对机器的所有盘符进行全面的病毒检查。2指派的病毒防范专员应该21从呼叫程序中获得与病毒本身有关的所有详细信息，包括可能的起因、以前发出的警告等。22识别存在问题的文件的位置。23用反病毒软件扫描相关文件来确定病毒是否已经赋予免疫性。24确定病毒是否感染了其他文件，若已感染其他文件，则请作出相应的响应；若有必要，则可通过关闭工作站，甚至部分网络。也可能会要求终止INTERNET访问。这样就可避免继续感染的可能性。25与信息安全高级职员交流病毒的详细信息，必要时寻求其他指导。26与其他人交流病毒警报信息，以便提醒这些人有可能发生的事件，并发出适当响应。3信息安全高级职员与病毒控制高级职员协作，应该31通知已感染文件（此时，这些文件已经传输出去了）的“收件人”。32调查在“输出”电子邮件或文件过程中检测到的所有病毒的“源”，因为这将表明，无法在用户工作站扫描文件或无法使用未扫描的软盘或CDROM。33请将所有病毒事件和采取的措施通知高级管理人员，以最小化造成的损失并防止此类事件的再次发生。34询问是否要保留相应的程序和防护措施，并适当进行更新。4指定一部特定的电话分机作为病毒“热线”，可保留病毒和其他恶意代码报告/警告，当客户发现病毒，可以通过电话直接告诉防病毒管理员，进行及时处理。41公司园区基地病毒“热线”67603328，联系人（网络专员）陈骅42公司园区基地病毒“热线”66367368，联系人（网络专员）李嵩5系统管理员和指派的病毒控制高级职员应该共同协作，准备“病毒事件响应计划”，并将该计划分发给所有的系统用户。响应计划如下51系统用户发现病毒时，首先客户端的防病毒系统会杀病毒，当病毒能够被杀掉，通知防病毒管理员病毒的名称，管理员在把情况记录到病毒日志中。52系统用户发现病毒，但不能够杀掉病毒，根据情况考虑A把病毒转移到隔离区中B文件不重要则删除文件；同时通知管理员该情况，让管理员记录病毒日志，并且到网站上下载最新的杀毒引擎。如果最新的杀毒引擎仍不能杀死病毒，须马上与防病毒厂商联系，把病毒的名称及类型告诉厂商。53系统用户没有发现客户端的病毒报警，但发现电脑系统或网络发生非正常情况（防病毒管理员提供最近病毒发作的特征，在内部网上公布），及时通知管理员。管理员马上升级最新的病毒数据库及杀毒引擎。对公司的网关，文件服务器及客户端进行全面的杀毒。如果最新的杀毒引擎仍不能杀死病毒，须马上与防病毒厂商联系，把病毒的名称及类型告诉厂商。6受到病毒攻击之后，请考虑定期复查关键业务流程所用的软件和文件，以便识别和调查未经授权和/或可疑的更改。7使用人发现计算机有病毒报警时应及时上报网管处理，不得不报瞒报。如应为该计算机中毒不报而导致病毒在内网发作破坏网络使用环境者应严肃处理。（三）防病毒产品的基本配置结构参考内容安全与病毒防治体系可以分为三层实施1实时监控对公司内部网络与外界的数据交换进行实时病毒扫描与拦截；具体配置要求11在网关处实时监控通过SMTP、HTTP和FTP协议传输的信息内容，检查其是否存在病毒或恶意程序，并根据管理员的设定采取相关的处理方式，以保证通过网关出入企业的信息的安全性。支持对16种以上的压缩类型、压缩深度最多达20级的文件进行病毒扫描工作。12电子邮件安全管理软件可以过滤垃圾邮件及大量推销性质的电子邮件，并可扫描由内部使用者寄出的邮件内容，若有敏感性内容可就进行拦阻；此外也能够自定邮件传递时间，延迟递送较大的邮件、国际信件或其它自定规则范围内的邮件，避免在网络带宽使用高峰时段造成邮件阻塞。13集WEB访问的管理限定和防病毒与一身。除了对传入的WEB页面进行防毒之外，还可以对访问的内容及带宽进行管理。可弹性设定对14种不同类型的网站内容进行过滤。阻止内部使用者通过因特网进入色情或其它的不良网站。可依据个人及部门的特殊需求，过滤不良网站和设定下载文件的大小限制。管理员可依每日、每周或每月，设定个人或部门对于WEB下载文件的最大流量，从而控制网络的使用带宽。2中央控制在公司内部实行中央控制的病毒防护体制，对所有的设备进行实时监控、定期扫描和病毒码更新；具体配置要求21在对邮件系统（EXCHANGESERVER）内的邮件和公用文件夹内的文件进行病毒防护的同时，还可以对含有敏感性内容的邮件进行隔离等处理，以保护企业内部信息流的安全。22配置相应的服务器防毒软件,对进出文件服务器的文件进行实时的病毒检查。221如果我们对服务器中的文件已经检查过，保证没有病毒时，则可以只对进入服务器的文件进行检查，对出去的文件不用检查，降低服务器的负载。222采用独特的三层结构，使对服务器防毒的管理工作变得轻松自如。A普通服务器安装了防毒模块的服务器；B信息服务器安装了防毒模块和信息服务模块的服务器，通过它可实现对防毒信息的集中分发和管理；C控制台安装了管理控制模块的机器，可以是WIN98、2000或NT机器，管理员只要在这台机器上即可完成对所有服务器防毒的管理和监控。23选用企业级的网络防病毒系统，通过在企业内部的统一部署，实现对网络中所有终端的防毒管理工作。企业的每个用户无需再为自己的机器如何防毒而操心。管理员可设置自动或手动对所有的机器进行杀毒工作，每个用户也可以在需要的时候对自己的机器进行杀毒。通过此类产品实现了管理员对所有工作站防毒工作的集中监控。3建立防毒工作中央监控系统为了让企业能对所有的防毒产品和工作进行集中管理实现集中控制和管理。同时，可以显示出其他一些防毒软件产品的信息，以便让管理员统一监控。采用纯WEB的管理界面，管理员不论在何时何地，只需有WEB浏览器即可实现对整个企业的防毒管理工作。完善的日志记录和统计信息功能。支持弹出窗口、EMAIL、寻呼机等报警方式。具体配置要求31在中心控制台上配置向多个目标系统分发新版杀毒软件；32在中心控制台上配置对多个目标系统监视病毒防治情况；33在中心控制台上配置企业内从工作站到因特网网关，几乎所有需要防病毒的平台和网络连接点。34在中心控制台上配置对INTERNET/INTRANET服务器的病毒防治，能够阻止恶意的JAVA或ACTIVEX小程序的破坏；35在中心控制台上配置对电子邮件附件的病毒防治，包括WORD/EXCEL中的宏病毒。36在中心控制台上配置对对压缩文件的病毒检测。37在中心控制台上配置广泛的病毒处理选项，如对染毒文件进行实时杀毒、移出、删除、重新命名等。对染毒文件的处理方式先杀毒，如果不能杀毒病毒可以移出病毒到隔离区中或文件不重要则删除含毒文件。38在中心控制台上配置病毒隔离，当客户机试图上载一个染毒文件时，服务器可自动关闭对该工作站的连接；配置病毒隔离区当客户机上发现病毒，同时又不能够清除病毒时，我们可以在中央控制台上或其他机器上配置隔离区，为每个行政单位建立一个文件夹，把该行政单位中用户无法清除病毒的文件放在相应的文件夹中。同时对访问权限进行控制。当升级杀毒引擎后，管理员清除了隔离区文件中病毒，再通知用户访问自己的文件。39在中心控制台上配置对病毒特征信息和检测引擎的定期在线更新服务。配置升级的制度A产品自动通过INTERNET更新其病毒码、扫描引擎和产品升级包。通过使用在中心控制台，所有的防毒产品更新工作都可从中央进行集中管理，并只需建立在中心控制台和防病毒模块之间的INTERNET连接，而不需要各个产品各自去连接INTERNET。B升级包括两部分一是病毒特征库的升级，一般配置为一星期升级一次，升级的日子可以选择在机器负载较小的时间；杀毒引擎的升级，一般配置为一个月升级一次，升级的日子可以定在机器负载较小的时间，并且可以采用在一个小时内的随机升级，防止机器同时升级造成网络负载过高的问题。310在中心控制台上配置日志记录功能。配置日志记录建立统一的病毒日志文件夹，同时在该文件夹中创建行政单位目录，在该目录下在创建计算机或用户目录，把所有客户端的病毒日志都统一存放。并可通过在中心控制台上得到企业所有防毒工作的各类统计信息和日志。310中心控制台上配置多种方式的告警功能（声音、图像、EMAIL等）；配置方法对企业内所有的中毒情况都会有综合的报警提示，包括弹出窗口、EMAIL和寻呼机报警。其中的文件服务器的防病毒使用报警方式讯息信箱、寻呼机、打印机、INTERNET电子邮件、SNMP通知或写入到WINDOWSNT事件日志的多种报警方式。九、制度汇编A111网络使用管理制度第一条本网络系指公司的内部局域网和互联网。第二条内部局域网和互联网由公司网络管理专员负责管理与维护，各公司的网络管理专员须服从集团公司网络管理专员在业务上的统一指挥。第三条内部局域网管理规定1、内部局域网系指公司的各网络终端（各办公电脑）与机房服务器间互联的网络。2、为方便办公，提高效率，节约成本，除特殊规定的不得联网的电脑终端外，公司所有电脑均须在一个服务平台上联网。3、联网的电脑均需设置某一共享空间（建立共享文件夹），根据公司规定、岗位性质、工作需要提供和使用可共享的文件资料。4、重要文件资料、需保密文件资料严禁共享，无须共享的文件资料也不得提供共享。5、严禁通过共享传播垃圾文件和电脑病毒。第四条互联网管理规定1、为方便办公，扩大信息渠道，公司开通互联网。2、为了安全，不得开通互联网的岗位电脑有（1）财务部主办会计、出纳会计使用的电脑。（2）储存公司重要财务数据的电脑。（3）储存客户信息资源的客户服务中心、维修接待电脑。3、开通互联网，必须由该电脑使用岗位申请，如为子公司，经部门经理、总经理同意后，报集团公司行政与人力资源总监批准，行政网络管理专员备案后开通；如为集团公司，经部门经理、总监同意后，报行政与人力资源总监批准，行政部网络管理专员备案后开通。4、上班时间无工作需要不得打开网络，严禁上网聊天、浏览与工作无关的内容。5、无论上下班，均不得在公司电脑上玩游戏、浏览色情网站、下载电影与色情内容。6、下班时间，非工作需要，不得在公司上网。7、严禁通过网络传播电脑病毒与垃圾文件。第五条任何岗位必须服从网络管理专员为维护电脑、维护公司网络安全而采取的一切必要措施。第六条任何岗位在公司领导莅临关心或指示、安排、检查工作时，在未看到本岗位电脑界面之前，不得操作电脑（比如关闭打开的互联网等），以便领导顺便检查有无违规使用互联网情况。否则，领导可以认为该岗位或该电脑操作者存在违规使用互联网嫌疑。A112行政办公纪律制度第一条凡本公司员工上班要戴胸卡。第二条坚守工作岗位不要串岗、闲聊。第三条上班时间不要看报纸、玩电脑游戏、打瞌睡或做与工作无关的事情。第四条办公桌上应保持整洁，并注意办公室的安静。第五条严禁在公司室内吸烟；严禁在办公室、经营区域吃饭，严禁上班吃零食。第六条上班时穿职业装，不得在办公室化妆。第七条不得因私事拨打公司电话或闲聊，否则将按照所发生电话费3倍进行罚款。第八条非工作需要，不得上网；不得在公司电脑上上网聊天、浏览色情网站。第九条以公司名义发出的邮件须经总经理（集团公司为总裁）批准。第十条未经总经理（集团公司为总裁）批准和部门经理授意，不要索取、打印、复印其他部门的资料。第十一条在月末统计考勤时，行政部对任何空白考勤不得补签。第十二条因故临时外出，必须请示部门经理；各部门全体外出，必须给总裁办公室打招呼，并经总裁或分管副总裁批准后方可外出。第十三条不得将公司烟灰缸、文具和其他公物带回家私用。第十四条在业务宴请中，勿饮酒过量，中午严禁饮酒，严禁酒后开车。酒后开车若发生事故一切责任由本人负责。第十五条无工作需要不要进入总裁、副总裁、总经理办公室，计算机房，客户服务中心，档案室，财务部及会议室。A26扫描仪与光盘刻录机管理制度第一条集团公司与光盘刻录机扫描仪由集团公司市场公关部广告专员管理使用；各各公司配给的扫描仪与光盘刻录机由行政部网络管理专员或行政专员管理使用。第二条不得在扫描仪与光盘刻录机上处理私人资料。第三条为确保扫描仪与光盘刻录机的安全运转，扫描仪与光盘刻录机在闲