IT安全管理制度 V1.1

1、文件分发明细：文件分发明细： 正本（原件）：正本（原件）： DC 文控部 副本（复制件）：副本（复制件）：HR 人事行政部 PR 工艺改进部 TS 技术服务部 DS 标准化设计部 IM 产品化项目管理部 RD 研发中心 PU 采购部 LO 物流部 CP 运营计划部 MUA 生产一部 MUB 生产二部 MUC 生产三部 MUE 成品部 MS 生产支持部 EHS 环境/健康/安全部 ED 设备部 DE 发展协作部 DC 文控部 PD 工程项目部 IE 工业技术部 QU 质量中心 SA 销售部 MA 市场部 OD 业务拓展部 OEM OEM 项目部 FI 财务部 IR 投融资管理部 IC 内控部 I

2、N 信息部 SP 战略与规划室 LE 总法律顾问室 SU 监察委员会 OT 其它： 1.1董艳双2009/08/01 版本 Rev. 编写人 Prepared by 编写日期 Prepared Date 审核人 Checked by 审核时间 Checked Date 批准人 Approved by 批准日期 Approved Date 目目 录录 1.1. 前言前言.3 1.1. 目的.3 1.2. 范围.3 2.2. 控制点控制点.3 2.1. 日常运转.3 2.2. 病毒黑客预防管理.3 2.3. 帐户安全管理.4 2.4. 密码安全策略.4 2.5. 网络安全管理.5 2.6. 数据安

3、全管理.5 3.3. 附件附件.6 3.1. CSUN-RE-IN0016资源检查记录表.6 3.2. CSUN-RE-IN0018资源更新记录表.6 3.3. CSUN-RE-IN0017资源变更申请单.6 3.4. CSUN-RE-IN0007帐户变更申请单.6 3.5. CSUN-RE-IN0019日志检查记录表.6 3.6. CSUN-RE-IN0005权限授权表.6 3.7. CSUN-RE-IN0001变更申请单.6 1.1. 前言前言 1.1. 目的 制定本制度的目的是保证公司 IT 系统有效、安全的运行，保证系统数据安全。 1.2. 范围 本制度适用于中电电气（南京）光伏有限公

4、司数据中心的日常运行。 2.2. 控制点控制点 2.1. 日常运转 1) 各系统负责人（职责分工见【SOD matrix】 ） ，随时处理网络故障、解决网络问题、保持 网络畅通、提高网络的可用性和可靠性。 2) 每周两次检查机房服务器、交换机、路由器、光纤收发器等设备运行情况，每周需填写 【资源检查记录表】 ；晚上或节假日期间，视网络应用情况，设置现场值班或呼叫值班。 3) 保持设备表面干净整洁，操作设备时佩戴防静电手环等。 4) 机房管理员注意机房的温度和湿度, 机房温度：1830 摄氏度，相对湿度：40%60%。 5) 公司员工不得私自安装未经授权或非法的软件，授权软件详见【授权软件记录表

5、】 ，信息 管理部系统管理人员每半年通过 SMS 对用户安装软件进行检查，对非法软件进行删除， 并填写【用户软件检查记录表】 ，记录用户安装的异常信息及处理结果，并报 IT 经理审 核。 2.2. 病毒黑客预防管理 1) 网络管理员每周监控企业防病毒服务器的升级情况，监控机房中服务器杀毒软件的更新 情况，在服务器上设置自动更新、定期扫描策略（配置见公司杀毒服务器配置） ，并填写 【资源更新记录表】 ，每月报 IT 经理审核。 2) 每周信息管理部网络管理员通过现场或通过 SMS 管理软件检查客户端计算机防毒软件的 升级情况和实时监控状态，并填写【资源检查记录表】 ，每月报 IT 经理审核。 3

6、) 信息管理部网络管理人员随时注意 Internet 上病毒流行和爆发动态，并及时向客户端计 算机发出病毒预警。 4) 要有病毒爆发后的紧急处理预案，以便快速恢复系统，保证系统及时相应服务。 5) 利用 ISA 服务器或 Netscreen 防火墙屏蔽黑客或病毒常用的端口，提高密码复杂度等。 每周三 WSUS 服务器及时下推补丁给信息管理部，如补丁安装完后没有问题，每周四 WSUS 服务器及时下推补丁给网络中所有的计算机。 6) 信息部网络管理员每天监控网络的健康状态，观测网络流量。 2.3. 帐户安全管理 1) 用户开户和权限变更，需填写【账户变更申请单】 ，经部门经理 IT 经理审批后，最

7、后由 信息管理部各系统管理员进行各应用系统的帐户的开户工作、变更工作。帐户注销，直 接由各系统管理员在人力资源部的员工离职交接单中签字后，在系统中执行相关操作。 2) 临时开设的帐户也需要填写【账户变更申请单】 ，一定要控制好帐户过期时间和权限。系 统缺省的管理员帐号必须禁用或修改初始密码，系统管理员账号需填写【权限授权表】 ， 经 IT 经理审核后，方可执行，系统管理员帐号的密码在移交后的第一次登录时必须重新 设置密码。 3) 用户帐户仅限于本人使用，不得以任何方式将账户和密码转借他人，不得窥视或盗用他 人的账户和密码。同时，用户有妥善保管自己账户和密码的责任和义务，不得泄露。 4) 各系统

8、管理员每半年检查一次帐户信息，导出各系统账户及权限清单，与各部门经理确 认系统帐户和权限是否与申请人实际使用情况相符，由部门经理签字确认，填写【资源 检查记录表】 ，报 IT 经理审核。 5) 现涉及到的帐户类型如下：域账户、电子邮件账户、SAP 账户、无线网帐户。 6) 如果系统策略允许，使用帐户 10 次登录失败后帐户立即锁定。 7) 如果系统策略允许，帐户锁定 60 分钟后自动解锁。 2.4. 密码安全策略 如果系统支持密码复杂度管理，则启用密码复杂度规则，满足如下条款。 1) 密码长度最短为八个字符。 2) 必须同时包含以下四个类别字符中的三类字符： 英文大写字母（从 A 到 Z） ，

9、英文小写 字母（从 a 到 z） ，数字（从 0 到 9） ，非字母字符（例如，!、$、#、%） 。 3) 密码的最长使用时间 60 天。 4) 最近三次历史密码不能重复使用。 5) 对各操作系统内置帐户集中到 IT 经理处管理，并遵循以上规则。 6) 其他不支持此密码安全策略的应用系统，系统负责人要根据以上策略手工设置。如 SQL2000、防火墙 Netscreen 2.5. 网络安全管理 1) 伴随网络的不断扩展，如果网络中有增减设备的情况，及时更新网络拓扑图，及时调整 防火墙、核心交换机等设备配置，并填写【资源变更申请单】 。 2) 内部网络不接受任何外部访问（防火墙 DMZ 区、VPN

10、 除外） ，所有的外部访问都在防火墙 的 DMZ 区，并且防火墙上策略限制只开放需要的端口，如邮件服务器所需要的 443 端口 等，其余端口全部禁用。防火墙 DMZ 区主机需要访问内网 DC 服务器，此访问安全控制由 ISA 网关服务器完成。 3) 内网访问 Internet 或访问 DMZ 主机的访问权限和所能通过的服务均由 ISA 网关服务器控 制，ISA 策略根据网络系统安全和公司具体应用确定（具体应用见 ISA 服务器配置） ，此 服务器有专人管理。 4) 信息管理部设专人每月度检查核心交换机、防火墙、无线网控制器的配置，确认是否与 公司的服务器配置策略相符，并填写【资源检查记录表】

11、，提交给 IT 部门经理审批签字。 5) 信息管理部设专人至少每周检查一次防火墙的日志，确保网络不受可疑对象攻击，保证 网络的安全性、稳定性，并填写【日志检查记录表】 ，每月提交给 IT 部门经理审批签字。 6) 每周进行一次网络数据包分析，及时发现类似 ARP 等病毒攻击，及早预防。 7) 每年对防火墙、核心交换机的日常维护记录整理存档一次。 2.6. 数据安全管理 1) 合理使用计算机分区，不得将重要数据存放在系统分区。 2) 公司数据库系统、人事档案、技术资料、图纸、统计资料、营销计划、财务报表等重要 资料要每日进行自动备份，每月进行一次完全备份；重要部门、重要系统不仅要做硬盘 备份，还

12、要定刻成成光盘，存放在异地长期保存。 3) 含有重要资讯的资料（卡片、稿纸等）废弃时，应确定销毁，以免被误用。 4) 对不同用户应用不同的系统策略，避免造成整个系统瘫痪。严格限制对应用系统数据库 的更改权利；严格限制重组数据库或压缩数据库大小的权力；严格限制修改系统架构的 权利等，操作系统日志每周检查一次，并填写【日志检查记录表】 ，每月报 IT 经理审核。 5) 安全管理员每周至少查看一次数据库日志文件，并填写【日志检查记录表】 ，每月报 IT 经理审核。以尽早发现异常情况，确保数据库的存取安全。 6) 邮件系统管理员对公司外发资料做每周进行一次检查，对往来邮件每周做一次监控分析， 防止重要

13、资料外泄，并填写【日志检查记录表】 。 7) 原则上不能在后台数据库中直接修改数据，如有需要，业务部门需填写数据更改【变更 申请单】 ，经业务部门经理、IT 经理审核批准后，授权给 DBA 执行操作，DBA 在执行操作 之前必须做好数据备份工作，操作完成后再在申请单上签字，并提交给最终用户确认。 8) 关键应用系统 SAP 的上机日志每周检查一次，并填写【日志检查记录表】 ，每月报 IT 经 理审核。 9) 掌握重要数据的网络管理人员要注意保密，请参照“公司保密制度” 。 3.3. 附件附件 3.1. CSUN-RE-IN0016资源检查记录表 3.2. CSUN-RE-IN0018资源更新记

14、录表 3.3. CSUN-RE-IN0017资源变更申请单 3.4. CSUN-RE-IN0007帐户变更申请单 3.5. CSUN-RE-IN0019日志检查记录表 3.6. CSUN-RE-IN0005权限授权表 3.7. CSUN-RE-IN0001变更申请单 SOD matrix 系统所有系统所有 者者 系统开发系统开发/ / 变更审批变更审批 人人 程序开发程序开发/ / 程序程序 变更人员变更人员 程序移植程序移植 人员人员 安全管安全管 理员理员 安全管理安全管理 员员 应用系统应用系统 管理员管理员 数据库管数据库管 理员理员 操作系操作系 统管理统管理 员员 最终用最终用 户

15、户 系统所有者系统所有者 系统开发系统开发/ /变更审批人变更审批人 程序开发程序开发/ /程序变更人员程序变更人员 程序移植人员程序移植人员 安全管理员安全管理员 安全管理员安全管理员 应用系统管理员应用系统管理员 数据库管理员数据库管理员 操作系统管理员操作系统管理员 最终用户最终用户 表明此两个职责如果由同一个人执行，就会有潜在风险存在。 角色名称角色名称角色定义角色定义 系统所有者系统所有者 来自用户部门的名义责任人（通常是一个或一组人），由其拥有应用系统的所有权，并对应用 系统的具体使用要求负责； 由其负责审核并批准所有的系统变更需求；负责对所有系统变更 正式上线（包括安装补丁程序和

16、日常变更）的审批。 系统开发系统开发/ /变更审批人变更审批人通常为系统所有者或 IT 部门主管经理。 程序开发程序开发/ /程序变更人员程序变更人员负责开发和维护应用系统的软件代码 程序验收程序验收/ /上线上线/ /割接人员割接人员 负责新系统/系统变更的最终验收，以及在正式生产环境中实施经过授权批准的新系统/系统变 更 安全管理员安全管理员 负责促使所有用户遵守公司的安全政策、并确保建立充分的控制措施来预防组织资产（包括数 据、程序和设备）的非法访问）： 1.维护对数据和其他 IT 资源的访问规则； 2.在分配和维护授权用户 ID 和口令时，保护其安全性和保密性； 3.监测违反安全规定的行为并采取纠正行动，确保为系统提供了成分的安全； 4.定期审查和评估安全政策，向管理层提出必要的修改意见； 5.计划并推动面向所有员工的安全知识宣传活动，并进行监督； 6.测试安全结构，评价安全的健全性，发现可能的威胁 应用系统管理员应用系统管理员 负责多用户应用系统的日常运行