【正文】 濰 坊 市 住 房 公 積 金 管 理 中 心 標(biāo) 準(zhǔn)WFZFGJJMD0201信息安全手冊依據(jù)GB/T190012008質(zhì)量管理體系要求（ISO9001:2008,IDT）批 準(zhǔn)審 核黃志強編 制李學(xué)強主管科室監(jiān)督檢查科濰 坊 市 住 房 公 積 金 管 理 中 心20120331發(fā)布 20120401實施87 / 87信息安全口訣確保內(nèi)外網(wǎng)隔離，嚴(yán)禁內(nèi)外用一機；處理涉國密信息，要用專用保密機。防病毒和防木馬，安全補丁及時打；實時保護要啟動，定期掃描毒可控?？诹畈灰聫?fù)雜，數(shù)字字母結(jié)合佳；長度至少八位數(shù)，定期更換牢記住。接收郵件要謹(jǐn)慎，注意留意發(fā)件人；不明附件勿打開，莫名鏈接勿點擊。使用安全移動盤，查殺病毒首當(dāng)先；重要文檔加密碼，數(shù)據(jù)文件常備份。網(wǎng)頁掛馬威脅多，各種插件要確認(rèn)；惡意軟件遍網(wǎng)絡(luò)，不明網(wǎng)站莫訪問?；A(chǔ)知識和操作，大家共同來學(xué)習(xí)；防護措施記心間，信息安全在身邊。文件修訂履歷No修訂日期修訂頁碼修訂原因主要修訂內(nèi)容目 錄第一部分 住房公積金信息安全知識 7第一章 住房公積金信息安全基礎(chǔ)知識篇 7 7 7 7 8 9 9 10 10 10 11第二章 住房公積金信息安全操作知識篇 13 13 14 14 15 16 16 16 17 17 17第三章 住房公積金信息安全防護知識篇 18 18 18 19 20 20“擺渡” 21 22 22 23 24第二部分 住房公積金信息安全條例 25第一章 涉密計算機安全使用保密管理規(guī)定 25第二章 非涉密計算機保密管理制度 27第三章 涉密移動存儲介質(zhì)保密管理規(guī)定 28第四章 非涉密移動存儲介質(zhì)保密管理規(guī)定 29第五章 涉密網(wǎng)絡(luò)管理規(guī)定 30第六章 互聯(lián)網(wǎng)發(fā)布信息保密管理制度 32第七章 涉密計算機維修、更換、報廢保密管理規(guī)定 35第三部分 濰坊市住房公積金管理中心個人信用信息基礎(chǔ)數(shù)據(jù)庫規(guī)程 37濰坊市住房公積金管理中心個人信用信息基礎(chǔ)數(shù)據(jù)庫應(yīng)用暫行管理辦法 37第一章 總則 37第二章 部門職責(zé) 38第三章 用戶管理 39第四章 查詢與使用 41第五章 異議核查和糾錯 42第六章 數(shù)據(jù)報送 43第七章 保密和安全管理 43第八章 罰則 44第九章 附則 45附表一：個人信用信息基礎(chǔ)數(shù)據(jù)庫用戶密碼重置申請單 46附表二：個人信用信息基礎(chǔ)數(shù)據(jù)庫查詢申請單 47濰坊市住房公積金管理中心個人信用信息基礎(chǔ)數(shù)據(jù)庫用戶管理辦法 48第一章 總則 48第二章 用戶種類及其權(quán)限 48第三章 用戶的職責(zé) 49第四章 用戶的創(chuàng)建 50第五章 用戶的管理 50第六章 附則 51濰坊市住房公積金管理中心個人信用信息基礎(chǔ)數(shù)據(jù)庫查詢使用操作規(guī)程 52濰坊市住房公積金管理中心個人信用信息基礎(chǔ)數(shù)據(jù)庫數(shù)據(jù)報送管理規(guī)程 55第一章 總則 55第二章 報文的生成 55第三章 報文報送和接收 56第四章 附則 57附表一：報文報送明細(xì)單 57濰坊市住房公積金管理中心個人信用信息基礎(chǔ)數(shù)據(jù)庫異議處理規(guī)程 58第一章 異議的申請 58第二章 異議處理 58第三章 糾錯處理 60第四章 附則 61附表一：個人信用報告異議信息協(xié)查函 62附表二：個人信用信息基礎(chǔ)數(shù)據(jù)庫異議信息內(nèi)部協(xié)查函 63附表三：個人信用報告異議信息協(xié)查回復(fù)函 64附表四：個人信用信息基礎(chǔ)數(shù)據(jù)庫異議信息糾錯證明 65第四部分 濰坊市住房公積金信息化管理制度 66第一章 信息化管理制度 66第二章 信息化值班制度 67第三章 消防制度 67第四章 核心機房管理制度 68第五章 配電室管理制度 69第六章 監(jiān)控中心管理制度 71第七章 消防鋼瓶管理制度 72第八章 UPS管理制度 72第五部分 濰坊市住房公積金信息化工作規(guī)程 74第一章 總則 74第二章 網(wǎng)絡(luò)運行維護工作規(guī)程 74第三章 機房保養(yǎng)管理工作規(guī)程 78第四章 信息網(wǎng)絡(luò)系統(tǒng)突發(fā)事件應(yīng)急處理工作規(guī)程 80第五章 應(yīng)急處理措施指南 84 第一部分 住房公積金信息安全知識第一章 住房公積金信息安全基礎(chǔ)知識篇國際標(biāo)準(zhǔn)中對信息安全的定義是：信息本身的機密性(Confidentiality)、完整性(Integrity)和可用(Availability)的保持，即防止未經(jīng)授權(quán)使用信息、防止對信息的不當(dāng)修改或破壞、確保及時可靠地使用信息。通俗的說，信息安全就是◆ 確保信息系統(tǒng)持續(xù)、可靠、穩(wěn)定運行； ◆ 防止信息丟失、篡改和泄密?！?確保住房公積金管理信息系統(tǒng)安全穩(wěn)定運行；◆ 確保住房公積金信息內(nèi)容安全?！?雙網(wǎng)雙機 住房公積金管理信息網(wǎng)劃分為業(yè)務(wù)網(wǎng)和辦公網(wǎng)，網(wǎng)間采用物理與邏輯同時隔離的方式進行隔離，登錄時分別采用獨立終端；◆ 等級防護 以實現(xiàn)等級保護為基本出發(fā)點進行安全防護體系建設(shè)；◆ 多層防御 在分區(qū)防護的基礎(chǔ)上，將信息系統(tǒng)劃分為網(wǎng)絡(luò)、主機、應(yīng)用三個層次進行縱深防御的安全防護措施設(shè)計；◆ 橫向隔離 在網(wǎng)絡(luò)終端對各縣市區(qū)進行策略配置，橫向隔離各縣市區(qū)之間的物理訪問；◆ 縱向認(rèn)證 采用身份驗證、加密、訪問控制等技術(shù)措施實現(xiàn)數(shù)據(jù)的遠方安全傳輸以及縱向的安全防護?！?信息安全面臨的威脅◇ 人為的無意失誤——如操作員誤操作、用戶弱口令；◇ 人為的惡意攻擊——如越權(quán)訪問信息、信息數(shù)據(jù)偵聽；◇ 信息系統(tǒng)本身缺陷——如系統(tǒng)硬件故障、軟件故障；◇ 物理環(huán)境影響——如電力故障、自然災(zāi)害；◇ 管理不當(dāng)——如權(quán)限管理不當(dāng)；◇ 病毒木馬——如蠕蟲、間諜軟件?！?威脅產(chǎn)生的后果◇ 信息系統(tǒng)遭受攻擊；◇ 敏感信息泄露或丟失；◇ 數(shù)據(jù)被竊取或遠程監(jiān)控；◇ 信息被惡意添加、刪除或修改；◇ 計算機病毒（木馬）的傳播；◇ 信息系統(tǒng)被非授權(quán)或越權(quán)訪問。常見的信息安全事故◆ 門戶網(wǎng)站遭受攻擊和破壞；◆ 應(yīng)用系統(tǒng)數(shù)據(jù)丟失或停止服務(wù)故障；◆ 非法入侵，或有組織的攻擊；◆ 大面積病毒爆發(fā)、蠕蟲、木馬程序、有害移動代碼；◆ 網(wǎng)絡(luò)、設(shè)備、操作系統(tǒng)和基礎(chǔ)軟件故障；◆ 自然災(zāi)害或人為外力破壞。一旦發(fā)生信息安全事故，應(yīng)立即啟動信息系統(tǒng)應(yīng)急預(yù)案，并按預(yù)案處置流程進行事件報告、應(yīng)急處置。國家秘密的密級從高到低依次分為“絕密”、“機密”、“秘密”三級。涉及國家秘密的信息必須在保密計算機中進行處理，保密計算機必須與辦公網(wǎng)、業(yè)務(wù)網(wǎng)等信息網(wǎng)絡(luò)實現(xiàn)物理隔離。辦公網(wǎng)與業(yè)務(wù)網(wǎng)的計算機均不得處理涉及國家秘密的信息。記載國家秘密信息的紙介質(zhì)、磁介質(zhì)、光介質(zhì)等秘密載體，均要存放在保險柜內(nèi)，與其他普通載體分開管理。嚴(yán)禁普通移動存儲介質(zhì)和涉及國家秘密的介質(zhì)在保密計算機和辦公網(wǎng)及業(yè)務(wù)網(wǎng)計算機之間交叉使用。誤區(qū)一：電腦病毒靠“殺”目前大多數(shù)的殺毒軟件都扮演著“事后諸葛亮”的角色，即電腦被病毒感染后殺毒軟件才去發(fā)現(xiàn)、分析、清除，這種被動防御的消極模式不能徹底解決計算機安全的問題；同時，殺毒軟件有時良莠不分，會把合法數(shù)據(jù)也當(dāng)作病毒清除，很容易造成信息的丟失和損毀。因此對待電腦病毒應(yīng)當(dāng)以“防”為主，防患于未然。誤區(qū)二：文件被刪除后不可恢復(fù)不少人認(rèn)為被刪除的文件從“回收站”清空后就永遠消失，事實上，一些特殊軟件或技術(shù)完全可以實現(xiàn)將被刪除或損壞的數(shù)據(jù)進行恢復(fù)。因此要妥善保管好數(shù)據(jù)存儲介質(zhì)，以防信息泄漏。誤區(qū)三：網(wǎng)絡(luò)共享文件是安全的網(wǎng)絡(luò)共享文件存在漏洞，很有可能被惡意人員利用和攻擊，因此共享文件應(yīng)予以關(guān)閉，若必需使用，共享文件應(yīng)該設(shè)置高強度口令，并設(shè)置文件權(quán)限為只讀。◆ 嚴(yán)禁將涉及國家秘密的計算機、存儲設(shè)備與辦公網(wǎng)、業(yè)務(wù)網(wǎng)和其他公共信息網(wǎng)絡(luò)連接；◆ 嚴(yán)禁在辦公網(wǎng)、業(yè)務(wù)網(wǎng)計算機存儲、處理國家秘密信息；◆ 嚴(yán)禁在連接互聯(lián)網(wǎng)的計算機上處理、存儲涉及國家秘密的信息；◆ 嚴(yán)禁辦公網(wǎng)、業(yè)務(wù)網(wǎng)計算機同連接互聯(lián)網(wǎng)的計算機交叉使用；◆ 嚴(yán)禁普通移動存儲介質(zhì)在辦公網(wǎng)、業(yè)務(wù)網(wǎng)和互聯(lián)網(wǎng)之間交叉使用；◆ 嚴(yán)禁掃描儀、打印機等計算機外部設(shè)備在辦公網(wǎng)、業(yè)務(wù)網(wǎng)和互聯(lián)網(wǎng)之間交叉使用； ◆ 嚴(yán)禁在普通傳真機上發(fā)送涉及國家秘密、企業(yè)秘密的文件； ◆ 嚴(yán)禁攜帶涉及國家秘密的計算機和存儲介質(zhì)離開單位； ◆ 嚴(yán)禁在辦公計算機上使用盜版光盤和來歷不明的盤片。第二章 住房公積金信息安全操作知識篇◆ 病毒病毒是一段特殊的計算機程序，具有類似生物病毒的行為特性,如自我復(fù)制 、傳染性、破壞性和變異性等。感染病毒后常見現(xiàn)象◇ 網(wǎng)絡(luò)擁塞，經(jīng)常斷線或根本無法使用網(wǎng)絡(luò)；◇ 計算機運行速度變慢，出現(xiàn) CPU 或內(nèi)存高使用率現(xiàn)象；◇ 經(jīng)常出現(xiàn)系統(tǒng)錯誤或系統(tǒng)崩潰或無故重啟；◇ 磁盤上生成未知文件，空間急劇減少；◇ 應(yīng)用程序圖標(biāo)改變，打開應(yīng)用程序無故報錯；◇ 無法啟動瀏覽器，無故關(guān)閉或跳轉(zhuǎn)到非定制頁面。◆ 木馬木馬程序是一種基于遠程控制的黑客工具，它潛伏在電腦中，受外部用戶控制以竊取電腦信息，它具有隱蔽性和非授權(quán)性的特點。中木馬后常見現(xiàn)象◇ 硬盤在無操作的情況下頻繁被訪問；◇ 用戶帳號口令被盜??；◇ 系統(tǒng)無端搜索軟驅(qū)、光驅(qū)；◇ 計算機運行速度變慢，出現(xiàn) CPU 或內(nèi)存高使用率現(xiàn)象?！?清除病毒木馬◇ 使用專業(yè)的企業(yè)級防病毒系統(tǒng)查殺病毒木馬在信息內(nèi)外網(wǎng)分別部署網(wǎng)絡(luò)版防病毒軟件系統(tǒng)，定期對防病毒軟件特征碼和軟件版本進行升級。◇ 開啟防病毒軟件實時更新功能計算機必須安裝防病毒軟件，開啟所有監(jiān)控功能，定期檢測運行狀況，定期對計算機進行全盤掃描?！?使用專用工具進行徹底清除◆ 經(jīng)常檢查更新并安裝操作系統(tǒng)補丁◆ 刪除多余用戶◆ 開啟屏幕保護（1）不安全的口令◆ 姓名、生日、電話號碼等個人信息；◆ Password、root、admin 等默認(rèn)口令；◆ 12345與用戶名相同的口令等弱口令。（2）安全的口令◆ 長度至少達到 12 個字符；◆ 由大小寫字母、數(shù)字和其它字符混合組成。（3）口令安全遵循原則◆ 不在多個系統(tǒng)中使用同一口令；◆ 定期更換口令，周期不超過 3 個月；◆ 嚴(yán)格保管用戶名（帳號）和口令。郵件分為內(nèi)網(wǎng)郵件系統(tǒng)和外網(wǎng)郵件系統(tǒng)，內(nèi)外網(wǎng)郵件系統(tǒng)相互隔離，二者之間不能互相發(fā)送和接收郵件。發(fā)送和接收郵件要做到以下幾點◆ 信息內(nèi)網(wǎng)郵件不得發(fā)送涉及國家秘密信息；◆ 信息外網(wǎng)郵件不得發(fā)送涉及國家秘密信息；◆ 不直接打開、閱讀來歷不明的電子郵件；◆ 、.、.pif、.scr、.vbs 為后綴的附件文件，不要輕易下載打開；郵件發(fā)送和接收前都應(yīng)使用防病毒軟件對郵件附件進行病毒查殺，確保附件及內(nèi)容無病毒。安全移動存儲介質(zhì)主要用于在工作中產(chǎn)生的涉密和非涉密信息的存儲及內(nèi)部傳遞，也可用于內(nèi)網(wǎng)非涉密信息與外部計算機的交互，涉及國家秘密的信息必須存放在保密區(qū)。禁止使用普通存儲介質(zhì)存儲涉及國家秘密的信息。禁止將安全移動存儲介質(zhì)中涉及國家秘密的信息拷貝到外網(wǎng)計算機，禁止在外網(wǎng)計算機上保存、處理涉及國家秘密的信息。安全移動存儲介質(zhì)維修工作由專業(yè)技術(shù)人員負(fù)責(zé)，出現(xiàn)故障的存儲設(shè)備要妥善保存并按規(guī)定及時銷毀。對于重要數(shù)據(jù)和文件，應(yīng)使用移動存儲設(shè)備、光盤介質(zhì)等定期進行備份，避免病毒破壞、人為誤刪除或磁盤物理性損壞而導(dǎo)致數(shù)據(jù)丟失，確保意外發(fā)生可恢復(fù)重要數(shù)據(jù)和文件，一般可以采用本地備份或異地備份。涉及國家秘密的信息和重要文件必須采用信息加密壓縮方式在信息內(nèi)網(wǎng)進行傳送。使用正版壓縮軟件對文件進行加密壓縮，加密口令要求 6位以上，并包含字母數(shù)字，同時加密口令要采用不同的傳遞方式，在確保安全的前提下傳送。對于在互聯(lián)網(wǎng)上傳輸?shù)姆巧婷苄畔⒑兔舾行畔⒌奈募矐?yīng)采用 WinRAR 加密壓縮方式進行傳輸，進一步提高安全性。建議將日常文件保存在非系統(tǒng)盤，如：“本地磁盤（D:）/（E:）/（F:）”等位置。切勿將日常文件保存在系統(tǒng)盤“本地磁盤（C:）/桌面/我的文檔”等位置，以防操作系統(tǒng)癱瘓或病毒破壞等導(dǎo)致的文件數(shù)據(jù)丟失。辦公計算機不得安裝、運行、使用與工作無關(guān)的軟件，不得隨意更改或卸載統(tǒng)一配置的軟件；從互聯(lián)網(wǎng)下載的軟件，應(yīng)先使用殺毒軟件進行病毒查殺后再行使用?！?對上網(wǎng)計算機的登錄帳號設(shè)置具備一定強度的口令；◆ 及時升級系統(tǒng)補??；◆ 安裝殺毒軟件，打開所有監(jiān)控功能，定期對上網(wǎng)計算機進行安全漏洞掃描；◆ 不要訪問不熟悉的網(wǎng)站、不要下載安裝來歷不明的軟件。第三章 住房公積金信息安全防護知識篇系統(tǒng)漏洞是指應(yīng)用軟件或操作系統(tǒng)在設(shè)計上存在的缺陷或在編寫時產(chǎn)生的錯誤，這個缺陷或錯誤可以被惡意人員利用，通過植入木馬、病毒等方式來發(fā)動攻擊或控制整個計算機，從而竊取重要資料和信息，甚至破壞系統(tǒng)。案例：操作系統(tǒng)緩沖區(qū)溢出漏洞攻擊者首先利用漏洞掃描工具對重點網(wǎng)段進行掃描，尋找存在緩沖區(qū)溢出漏洞的計算機。攻擊者啟動漏洞攻擊軟件實施攻擊，以獲得目標(biāo)計算機的系統(tǒng)權(quán)限。攻擊者利用漏洞獲得系統(tǒng)權(quán)限后，采用遠程登錄軟件即可以進入目標(biāo)計算機進行操作。防范對策◆ 嚴(yán)禁將涉及國家秘密信息的計算機接入互聯(lián)網(wǎng)；◆ 辦公計算機補丁及時升級；◆ 安裝企業(yè)級防病毒軟件；◆ 安裝防木馬軟件。木馬是針對目標(biāo)計