【正文】 ice 的宏安全性設臵等。 7. 對所有基于 Windows NT/Windows 2020/Windows XP 的工作站，按照工作站的安全列表，逐項檢測。 8. 參照病毒防范制度，對所有的工作站安裝有效的防毒軟件，并且自動 /定期更新防毒軟件的版本和相關的病毒庫。 9. 對于網管所安裝的軟硬件，使用人不得隨意更改。如工作需要可在網管同意下自行更改。對于以下軟件使用人不得在任何情況下更改：計算機驅動程序、殺毒軟件、各種銷售售后系統(tǒng)軟件、監(jiān)控軟件。對于各種辦公設備的硬件設施不得隨意更換互借，尤其是電腦主機（主機內部所有配件）、顯示 器、打印機、掃描儀。對于由專人保管的硬件設備如移動硬盤、數碼相機、讀卡器等等應簽訂保管合同，當出現(xiàn)問題時根據相應情況處理。 （ 四）網絡設備的管理 1. 公司內連接生產、業(yè)務系統(tǒng)網絡的所有路由器和交換機設備的安全管理都適用此條例，并且必須達到以下配臵標準。 2. 在路由器（交換機）上沒有配臵本地用戶帳號。路由器必須使用 TACACS+對所有用戶進行鑒別。 3. 路由器上的 enable 口令必須以安全密文方式保存。必須從路由器維護組織處，將路由器 enable 口令設臵為當前生產路由器口令。 禁止以下行為： a) 直接的 IP 廣播 b) 沒有有效的源 地址的包在路由器進入，如 RFC1918 地址 c) 所有源路由 d) 所有運行在路由器上的 web 服務 4. 用聯(lián)合標準的 SNMP 共有的字符串。 5. 訪問規(guī)則必須按生產、業(yè)務需求的進行添加。 6. 路由器（交換機）必須通過指定的聯(lián)系點包括在全體企業(yè)管理系統(tǒng)中。 7. 每個路由器必須將下列聲明粘貼在明顯的位臵： “禁止對此網絡設備的任何未授權訪問。訪問或配臵此社被必須有直接的許可。所有的執(zhí) 第 5 頁 共 19 頁 行在對此設備上的行為都將被記錄日志，違反此策略將參照獎懲制度有關條例加以處罰，并可能被上報按法律執(zhí)行。在此設備上沒有私密權利?！? （五）網絡訪問的安全策略 1. 在 企業(yè)局域網與外界網絡（如： Inter 等）或企業(yè)的各個子網之間部署防火墻，并實施相應的通訊協(xié)議、 IP 包和端口的過濾。 2. 在企業(yè)局域網與外界網絡（如： Inter 等）或企業(yè)的各個子網之間部署防毒墻，對通過的任何信息實行病毒的檢測。 3. 部署企業(yè)的半軍事化管制區(qū)（ DMZ），以保護對外界公開的服務器、工作站、網絡設備，以及相應的文件、數據和信息等。 4. 部署網絡監(jiān)測和警告設備，及時捕獲某些異常的網絡通訊情況，以防止各種惡意的和非法的網絡訪問和各種對網絡通訊的破壞。 5. 在企業(yè)的子網之間，以及基于 Inter 聯(lián)接的虛 擬專用網中，實施基于 IP 包的加密技術，防止網絡中傳輸的信息被竊取。 6. 制定相應的遠程用戶訪問的安全策略，如：用戶驗證、定時訪問和回撥策略等。 7. 對公司部署的無線網絡實時高度的安全策略，如用戶口令的加密驗證。 8. 對網絡的關鍵部分，實施冗余性策略，以確保企業(yè)網絡的不間斷運作，如：服務器的冗余、防火墻的冗余、路由器的冗余等。 （六）第三方接入的管理 1. 第三方（下級網絡、承包商、廠商、代理等）因生產、業(yè)務需要，必須與中心網絡建立連接的，應就連接相關事項簽訂具體責權協(xié)議，并在連接的整個過程中，不得違背協(xié)議條款。 2. 承包者、廠商 、代理在書面通知并由中心信息技術主管人員審核其必要性、批準授權以后，才可以修改中心網絡所擁有的設備的相關配臵；下級網絡原則上不允許對中心網絡擁有的設備作任何改動。 3. 沒有預先獲得公司信息技術主管人員的批準，第三方接入人員不能更改或刪除設臵在公司設備上的任何密碼。 第 6 頁 共 19 頁 4. 第三方只能允許經由公司事先允許的第三方的職員（第三方的“授權職員”）訪問網絡連接或指定的公司設備。 5. 第三方將獨立承擔以下責任：確保授權職員沒有安全風險，并且在公司的要求下，在公司評估與任何第三方授權職員相關的安全問題時，第三方必須提供給任何適當的、必 需的信息。 6. 無論何時，當第三方授權職員離開第三方公司的工作或不再需要訪問網絡連接或指定的中心系統(tǒng)設備時，第三方公司應迅速通知管理中心。 7. 當事人各方必須完全確保： 使用網絡連接的當事人是安全的，并且，僅用于授權的目的。 當事人的業(yè)務記錄和數據，對于不適當的訪問、使用、損失變更或破壞有保護措施。當網絡連接進行工作的基本用戶發(fā)生改變時，或任何時候，在第三方的判斷下認為網絡連接的線路和 /或功能要求的改變是必須的時候，第三方須迅速以書面方式通知公司。 （七）遠程訪問控制 1. 遠程訪問應該包括（但不僅限于）撥入的 modems，幀中繼， ISDN， DSL， VPN， SSH，和 cable modems，等等，它們的操作、執(zhí)行都適用此制度。 2. 擁有管理中心整體網絡的遠程訪問權限的本署職員、有責任確保，進行相關聯(lián)接時完全遵照此制度。 3. 嚴禁利用中心網絡資源為職員家庭成員提供 Inter 網絡訪問服務。 4. 所有職員需按管理中心的制度規(guī)定，不進行不合規(guī)定的行為，并且不用公司網絡資源對外部商業(yè)網站進行訪問。職員承擔濫用訪問而引起的后果。 5. 當通過遠程訪問方法訪問整體網絡，并可接受的使用中心的網絡資源時，請注意保護中心網絡系統(tǒng)中信息的機密性、完整性等 。 6. 安全的遠程訪問必須被嚴格控制?？刂茖⑼ㄟ^一次性口令認證或有堅固通過詞的公鑰 /密鑰來執(zhí)行。 7. 任何時候，中心任何職員都不得將他們的登陸或電子郵件口令提供給其他人，甚至是家庭成員。 8. 有遠程訪問權限的中心職員和承包者、服務商，必須確保，他們用于遠程連接中心網絡的 第 7 頁 共 19 頁 公司或個人計算機、工作站，在同一時刻不得與其它任何網絡相連。 9. 對中心網絡有遠程訪問權限的職員，不得使用非公司的電子郵件帳戶（例如， Hotmail、Yahoo、 sina 等），或其他外部資源聯(lián)系公司業(yè)務，確保正式的業(yè)務不會和個人的事情相混淆。 10. 通過遠程訪問連 接屬于中心內部網絡的主機時，連接方計算機必須使用最新的病毒防護軟件。 （八）互聯(lián)網訪問管理 1. 所有與互聯(lián)網連接的鏈路必須經管理中心核準，嚴禁私自拉接線路接入互聯(lián)網。 2. 連接互聯(lián)網必須用于必需的生產、業(yè)務需求，上班時間內嚴禁訪問其他商業(yè)、娛樂網站。 3. 信息管理中心應在公司生產、業(yè)務網絡與互聯(lián)網的連接處放臵有效的防火墻設備，條件允許的情況下，應加裝能與防火墻互動的網絡入侵監(jiān)測系統(tǒng)。 4. 最初的防火墻（和入侵監(jiān)測系統(tǒng)）配臵和更改必須由信息技術部門進行評估和審核。信息技術部門可以要求必需的安全改進。 5. 網絡維護人員必須記錄所 有在內部網絡中能夠訪問互聯(lián)網的設備的 IP 地址，并連同該設備當前的連接信息一起記錄在公司的地址管理數據庫中。 第 8 頁 共 19 頁 八、計算機病毒防范分冊 （一）防病毒總體制度 1. 病毒防治是信息安全的重要保障，許多安全漏洞都是由病毒感染造成的。因此，為實現(xiàn)公司內部網絡的信息安全，病毒防治必須加以重視。 2. 指派一名專業(yè)技術人員作為 “ 病毒 防范專員 ” ，使之成為所有病毒警報問題和采取相應措施的第一聯(lián)