【正文】 據(jù)庫規(guī)程 濰坊市住房公積金管理中心個人信用信息基礎數(shù)據(jù)庫應用暫行管理辦法第一章 總則第一條 為保障個人信用信息基礎數(shù)據(jù)庫的數(shù)據(jù)安全、穩(wěn)定運行，規(guī)范濰坊市住房公積金管理中心（以下簡稱公積金管理中心）住房公積金征信業(yè)務的操作和管理，根據(jù)中國人民銀行《個人信用信息基礎數(shù)據(jù)庫管理暫行辦法》和《個人信用信息基礎數(shù)據(jù)庫金融機構(gòu)用戶管理辦法（暫行）》的有關(guān)規(guī)定，制定本辦法。無法采取上述措施時，安全保密小組成員和該涉密科室計算機使用人員必須在維修現(xiàn)場，對維修人員、維修對象、維修內(nèi)容、維修前后狀況進行監(jiān)督并做詳細記錄。第七章 涉密計算機維修、更換、報廢保密管理規(guī)定為加強我中心涉密計算機的保密管理，確保國家秘密安全，根據(jù)《中華人民共和國保守國家秘密法》、《關(guān)于國家秘密載體保密管理的規(guī)定》，結(jié)合中心實際，制定本規(guī)定。（三） 向市委保密委員會報告網(wǎng)上發(fā)布信息保密審查中的重要情況。（三） 發(fā)現(xiàn)國家秘密網(wǎng)上發(fā)布的，立即采取補救措施，并及時向有關(guān)部門報告。（二） 對已發(fā)布信息進行定期地保密檢查，發(fā)現(xiàn)涉密信息的，立即采取補救措施，查清泄密渠道和原因，并及時向中心領(lǐng)導或綜合科和監(jiān)督檢查科報告。第七條 保密審查應當遵循“全面、及時、準確、規(guī)范”的原則，既要保障應當公開的政府信息能夠順利公開，又要確保不應公開的政府信息不被公開。第六條 禁止網(wǎng)上發(fā)布信息的基本范圍：（一） 標有密級的國家秘密。凡向國際互聯(lián)網(wǎng)站提供或者發(fā)布信息，必須按照既定的工作流程進行發(fā)布，完善和落實信息登記、審批責任制。第十二條 涉密計算機上必須安裝防病毒軟件，并配置必要的安全策略。第八條 加強對涉密網(wǎng)上網(wǎng)人員的安全保密教育和管理，增強防范意識，自覺執(zhí)行保密法規(guī)，堅持“誰使用誰負責”的原則，加強監(jiān)督，杜絕網(wǎng)上泄密事件發(fā)生。按照《涉密信息系統(tǒng)工程監(jiān)理規(guī)范》，選擇具有工程監(jiān)理單項資質(zhì)的單位或組織自身力量在安全保密控制、質(zhì)量控制、進度控制、成本控制、合同管理和文檔管理六個方面加強監(jiān)督檢查。第二條 使用涉密網(wǎng)的人員必須遵守國家保密法規(guī)和計算機信息網(wǎng)絡安全保密管理的有關(guān)規(guī)定，不得利用該網(wǎng)絡從事危害國家安全、泄露國家秘密等違法犯罪活動，不得制作、復制、查閱、傳播反動、色情、邪教等有害信息。第四條 非涉密移動儲存介質(zhì)的使用由各科室制定人員負責，做好登記備案并粘貼標簽。第四章 非涉密移動存儲介質(zhì)保密管理規(guī)定第一條 為加強和規(guī)范非涉密移動儲存介質(zhì)傳輸?shù)谋Ｃ芄芾砉ぷ?，確保國家秘密信息的安全，杜絕內(nèi)部信息外泄，根據(jù)《中華人民共和國政府信息公開條例》和《中華人民共和國保守秘密法》等有關(guān)法律法規(guī)，結(jié)合我中心實際，制定本規(guī)定。第七條 移動存儲介質(zhì)因使用人員崗位變動、使用期滿等原因交回時，由綜合科和監(jiān)督檢查科對移動存儲介質(zhì)進行檢查、確認，并做好登記備案、妥善保管；需歸檔的涉密移動存儲介質(zhì)，應連同“涉密移動存儲介質(zhì)使用情況登記表”一并按時歸檔。確因工作需要攜帶涉密移動存儲介質(zhì)外出的，需填寫“涉密移動存儲介質(zhì)外出攜帶登記表”，經(jīng)科室負責人批準，并報綜合科和監(jiān)督檢查科備案，逐件登記涉密存儲移動介質(zhì)內(nèi)的涉密信息。第一條 涉密移動存儲介質(zhì)是指存儲了涉密信息的硬盤、光盤、軟盤、移動硬盤及U盤等，涉密移動存儲介質(zhì)的使用人員是涉密移動存儲介質(zhì)安全保密的責任人。第七條 計算機操作人員調(diào)離時應將有關(guān)材料、檔案、軟件移交給其它工作人員，調(diào)離后對需要保密的內(nèi)容要嚴格保密。除需存檔和必須保留的副本外，計算機系統(tǒng)內(nèi)產(chǎn)生的文檔一律刪除，在處理過程中產(chǎn)生的樣品等必須立即銷毀。計算機由科室指定專人使用管理，并做好登記備案并粘貼標簽。禁止將未經(jīng)技術(shù)處理的涉密計算機轉(zhuǎn)為非涉密計算機或進行公益捐贈。需外送維修的，維修前，應進行登記，將涉密信息備份后，徹底清除涉密信息或拆除所有涉密存儲介質(zhì)，到中心指定的維修點進行，并有涉密計算機責任人在場。 應在涉密計算機的顯著位置進行標識，不得讓其他無關(guān)人員使用涉密計算機。第五條 涉密計算機的傳遞按照《國家秘密載體保密管理的規(guī)定》的要求管理。第三條 涉密計算機使用及保管場所的安全防護措施應符合保密管理規(guī)定的要求，確保防護設施的安全可靠。防范對策◆ 嚴禁掃描儀、打印機等計算機外部設備在辦公網(wǎng)、業(yè)務網(wǎng)互聯(lián)網(wǎng)之間交叉使用；◆ 涉密辦公設備應當使用國產(chǎn)的，經(jīng)有關(guān)主管部門指定的檢測測評機構(gòu)檢測測評合格的設備，或通過有關(guān)主管部門鑒定的設備；購買涉密辦公設備應到國家保密局指定、有保密資質(zhì)的定點廠家購買，專人負責使用和保管；如無國產(chǎn)設備可選，使用進口設備須經(jīng)有關(guān)主管部門或其指定的檢測機構(gòu)檢測批準；◆ 涉密設備的維修必須到有關(guān)部門指定、具有保密資質(zhì)的定點維修部門將涉密信息刪除或?qū)⑸婷懿考鸪缶S修，如需要更換錄有涉密信息的部件，須將舊件帶回銷毀，禁止折價出售或隨意丟棄；退還或淘汰的涉密設備須進行徹底的消密處理，交保密部門統(tǒng)一銷毀，禁止作為私用或轉(zhuǎn)借他人。案例：一些手機，特別是進口和功能復雜手機，制造時易被植入特殊功能程序，具有隱蔽通話功能，可直接用于遙控竊聽，甚至將關(guān)機或待機的手機轉(zhuǎn)為通話狀態(tài)，在無振鈴、無顯示的狀態(tài)下將周圍的聲音發(fā)射出去，成為竊聽器。案例 ：安裝有 Windows 操作系統(tǒng)并具有無線聯(lián)網(wǎng)功能的筆記本電腦只要上互聯(lián)網(wǎng)或被無線互聯(lián)，就有可能被攻擊者通過空口令、弱口令及磁盤共享等漏洞而取得控制權(quán)。計算機無線設備是指部分或全部采用無線電（光）波這一傳輸媒質(zhì)進行連接的裝置。后門，是指計算機、操作系統(tǒng)、交換機等在設計制造過程中，人為設置的可用于遠程維護、信息收集或設備操控的隱蔽功能?！皵[渡”擺渡指利用移動存儲介質(zhì)在不同的計算機之間隱蔽傳遞數(shù)據(jù)信息的竊密技術(shù)。口令越長，組合越復雜，破譯難度越大，所需時間越多。案例：使用數(shù)據(jù)恢復軟件恢復磁盤數(shù)據(jù)先將計算機磁盤進行格式化處理，數(shù)據(jù)刪除后，竊密者啟動數(shù)據(jù)恢復軟件，對該盤進行格式化恢復，成功恢復原有文件。案例：利用 Sniffer 工具嗅探 FTP 口令攻擊者首先利用漏洞或木馬在目標計算機中植入Sniffer 嗅探工具。目標用戶收到郵件后，在打開應用程序的一瞬間，“木馬”便植入計算機并運行，此時將通知攻擊者植入成功。攻擊者利用漏洞獲得系統(tǒng)權(quán)限后，采用遠程登錄軟件即可以進入目標計算機進行操作。◆ 對上網(wǎng)計算機的登錄帳號設置具備一定強度的口令；◆ 及時升級系統(tǒng)補??；◆ 安裝殺毒軟件，打開所有監(jiān)控功能，定期對上網(wǎng)計算機進行安全漏洞掃描；◆ 不要訪問不熟悉的網(wǎng)站、不要下載安裝來歷不明的軟件。對于在互聯(lián)網(wǎng)上傳輸?shù)姆巧婷苄畔⒑兔舾行畔⒌奈募?，也應采?WinRAR 加密壓縮方式進行傳輸，進一步提高安全性。安全移動存儲介質(zhì)維修工作由專業(yè)技術(shù)人員負責，出現(xiàn)故障的存儲設備要妥善保存并按規(guī)定及時銷毀。發(fā)送和接收郵件要做到以下幾點◆ 信息內(nèi)網(wǎng)郵件不得發(fā)送涉及國家秘密信息；◆ 信息外網(wǎng)郵件不得發(fā)送涉及國家秘密信息；◆ 不直接打開、閱讀來歷不明的電子郵件；◆ 、.、.pif、.scr、.vbs 為后綴的附件文件，不要輕易下載打開；郵件發(fā)送和接收前都應使用防病毒軟件對郵件附件進行病毒查殺，確保附件及內(nèi)容無病毒?！?使用專用工具進行徹底清除◆ 經(jīng)常檢查更新并安裝操作系統(tǒng)補丁◆ 刪除多余用戶◆ 開啟屏幕保護（1）不安全的口令◆ 姓名、生日、電話號碼等個人信息；◆ Password、root、admin 等默認口令；◆ 12345與用戶名相同的口令等弱口令?！?木馬木馬程序是一種基于遠程控制的黑客工具，它潛伏在電腦中，受外部用戶控制以竊取電腦信息，它具有隱蔽性和非授權(quán)性的特點。誤區(qū)三：網(wǎng)絡共享文件是安全的網(wǎng)絡共享文件存在漏洞，很有可能被惡意人員利用和攻擊，因此共享文件應予以關(guān)閉，若必需使用，共享文件應該設置高強度口令，并設置文件權(quán)限為只讀。誤區(qū)一：電腦病毒靠“殺”目前大多數(shù)的殺毒軟件都扮演著“事后諸葛亮”的角色，即電腦被病毒感染后殺毒軟件才去發(fā)現(xiàn)、分析、清除，這種被動防御的消極模式不能徹底解決計算機安全的問題；同時，殺毒軟件有時良莠不分，會把合法數(shù)據(jù)也當作病毒清除，很容易造成信息的丟失和損毀。涉及國家秘密的信息必須在保密計算機中進行處理，保密計算機必須與辦公網(wǎng)、業(yè)務網(wǎng)等信息網(wǎng)絡實現(xiàn)物理隔離。◆ 威脅產(chǎn)生的后果◇ 信息系統(tǒng)遭受攻擊；◇ 敏感信息泄露或丟失；◇ 數(shù)據(jù)被竊取或遠程監(jiān)控；◇ 信息被惡意添加、刪除或修改；◇ 計算機病毒（木馬）的傳播；◇ 信息系統(tǒng)被非授權(quán)或越權(quán)訪問。通俗的說，信息安全就是◆ 確保信息系統(tǒng)持續(xù)、可靠、穩(wěn)定運行； ◆ 防止信息丟失、篡改和泄密。使用安全移動盤，查殺病毒首當先；重要文檔加密碼，數(shù)據(jù)文件常備份。 濰 坊 市 住 房 公 積 金 管 理 中 心 標 準WFZFGJJMD0201信息安全手冊依據(jù)GB/T190012008質(zhì)量管理體系要求（ISO9001:2008,IDT）批 準審 核黃志強編 制李學強主管科室監(jiān)督檢查科濰 坊 市 住 房 公 積 金 管 理 中 心20120331發(fā)布 20120401實施87 / 87信息安全口訣確保內(nèi)外網(wǎng)隔離，嚴禁內(nèi)外用一機；處理涉國密信息，要用專用保密機。接收郵件要謹慎，注意留意發(fā)件人；不明附件勿打開，莫名鏈接勿點擊。文件修訂履歷No修訂日期修訂頁碼修訂原因主要修訂內(nèi)容目 錄第一部分 住房公積金信息安全知識 7第一章 住房公積金信息安全基礎知識篇 7 7 7 7 8 9 9 10 10 10 11第二章 住房公積金信息安全操作知識篇 13 13 14 14 15 16 16 16 17 17 17第三章 住房公積金信息安全防護知識篇 18 18 18 19 20 20“擺渡” 21 22 22 23 24第二部分 住房公積金信息安全條例 25第一章 涉密計算機安全使用保密管理規(guī)定 25第二章 非涉密計算機保密管理制度 27第三章 涉密移動存儲介質(zhì)保密管理規(guī)定 28第四章 非涉密移動存儲介質(zhì)保密管理規(guī)定 29第五章 涉密網(wǎng)絡管理規(guī)定 30第六章 互聯(lián)網(wǎng)發(fā)布信息保密管理制度 32第七章 涉密計算機維修、更換、報廢保密管理規(guī)定 35第三部分 濰坊市住房公積金管理中心個人信用信息基礎數(shù)據(jù)庫規(guī)程 37濰坊市住房公積金管理中心個人信用信息基礎數(shù)據(jù)庫應用暫行管理辦法 37第一章 總則 37第二章 部門職責 38第三章 用戶管理 39第四章 查詢與使用 41第五章 異議核查和糾錯 42第六章 數(shù)據(jù)報送 43第七章 保密和安全管理 43第八章 罰則 44第九章 附則 45附表一：個人信用信息基礎數(shù)據(jù)庫用戶密碼重置申請單 46附表二：個人信用信息基礎數(shù)據(jù)庫查詢申請單 47濰坊市住房公積金管理中心個人信用信息基礎數(shù)據(jù)庫用戶管理辦法 48第一章 總則 48第二章 用戶種類及其權(quán)限 48第三章 用戶的職責 49第四章 用戶的創(chuàng)建 50第五章 用戶的管理 50第六章 附則 51濰坊市住房公積金管理中心個人信用信息基礎數(shù)據(jù)庫查詢使用操作規(guī)程 52濰坊市住房公積金管理中心個人信用信息基礎數(shù)據(jù)庫數(shù)據(jù)報送管理規(guī)程 55第一章 總則 55第二章 報文的生成 55第三章 報文報送和接收 56第四章 附則 57附表一：報文報送明細單 57濰坊市住房公積金管理中心個人信用信息基礎數(shù)據(jù)庫異議處理規(guī)程 58第一章 異議的申請 58第二章 異議處理 58第三章 糾錯處理 60第四章 附則 61附表一：個人信用報告異議信息協(xié)查函 62附表二：個人信用信息基礎數(shù)據(jù)庫異議信息內(nèi)部協(xié)查函 63附表三：個人信用報告異議信息協(xié)查回復函 64附表四：個人信用信息基礎數(shù)據(jù)庫異議信息糾錯證明 65第四部分 濰坊市住房公積金信息化管理制度 66第一章 信息化管理制度 66第二章 信息化值班制度 67第三章 消防制度 67第四章 核心機房管理制度 68第五章 配電室管理制度 69第六章 監(jiān)控中心管理制度 71第七章 消防鋼瓶管理制度 72第八章 UPS管理制度 72第五部分 濰坊市住房公積金信息化工作規(guī)程 74第一章 總則 74第二章 網(wǎng)絡運行維護工作規(guī)程 74第三章 機房保養(yǎng)管理工作規(guī)程 78第四章 信息網(wǎng)絡系統(tǒng)突發(fā)事件應急處理工作規(guī)程 80第五章 應急處理措施指南 84 第一部分 住房公積金信息安全知識第一章 住房公積金信息安全基礎知識篇國際標準中對信息安全的定義是：信息本身的機密性(Confidentiality)、完整性(Integrity)和可用(Availability)的保持，即防止未經(jīng)授權(quán)使用信息、防止對信息的不當修改或破壞、確保及時可靠地使用信息?！?信息安全面臨的威脅◇ 人為的無意失誤——如操作員誤操作、用戶弱口令；◇ 人為的惡意攻擊——如越權(quán)訪問信息、信息數(shù)據(jù)偵聽；◇ 信息系統(tǒng)本身缺陷——如系統(tǒng)硬件故障、軟件故障；◇ 物理環(huán)境影響——如電力故障、自然災害；◇ 管理不當——如權(quán)限管理不當；◇ 病毒木馬——如蠕蟲、間諜軟件。國家秘密的密級從高到低依次分為“絕密”、“機密”、“秘密”三級。嚴禁普通移動存儲介質(zhì)和涉及國家秘密的介質(zhì)在保密計算機和辦公網(wǎng)及業(yè)務網(wǎng)計算