【文章內(nèi)容簡介】 律法規(guī)所禁止的活動。 未經(jīng)允許，不得擅自修改計算機中與網(wǎng)絡(luò)有關(guān)的設(shè)置。 未經(jīng)允許，不得私自添加、刪除與醫(yī)院網(wǎng)絡(luò)有關(guān)的軟件。 未經(jīng)允許，不得進(jìn)入醫(yī)院網(wǎng)絡(luò)或者使用醫(yī)院網(wǎng)絡(luò)資源。 未經(jīng)允許，不得對醫(yī)院網(wǎng)絡(luò)功能進(jìn)行刪除、修改或者增加。 未經(jīng)允許，不得對醫(yī)院網(wǎng)絡(luò)中存 儲、處理或者傳輸?shù)臄?shù)據(jù)和應(yīng)用程序進(jìn)行刪除、修改或者增加。 不得故意制作、傳播計算機病毒等破壞性程序。 不得進(jìn)行其他危害醫(yī)院網(wǎng)絡(luò)安全及正常運行的活動。 二、 網(wǎng)絡(luò)硬件的管理網(wǎng)絡(luò)硬件包括服務(wù)器、路由器、交換機、通信線路、不間斷供電設(shè)備、機柜、配線架、信息點模塊等提供網(wǎng)絡(luò)服務(wù)的設(shè)施及設(shè)備。 各職能部門、各科室應(yīng)妥善保管安置在本部門的網(wǎng)絡(luò)設(shè)備、設(shè)施及通信。 不得破壞網(wǎng)絡(luò)設(shè)備、設(shè)施及通信線路。由于事故原因造成的網(wǎng)絡(luò)連接中斷的，應(yīng)根據(jù)其情節(jié)輕重予以處罰或賠償。 未經(jīng)允許，不得中斷網(wǎng)絡(luò)設(shè)備及設(shè)施的供電 線路。因生產(chǎn)原因必須停電的，應(yīng)提前通知網(wǎng)絡(luò)管理人員。 不得擅自挪動、轉(zhuǎn)移、增加、安裝、拆卸網(wǎng)絡(luò)設(shè)施及設(shè)備。特殊情況應(yīng)提前通知網(wǎng)絡(luò)管理人員，在得到允許后方可實施。 四軟件及信息安全 計算機及外設(shè)所配軟件及驅(qū)動程序交網(wǎng)絡(luò)管理人員保管，以便統(tǒng)一維護(hù)和管理。 管理系統(tǒng)軟件由網(wǎng)絡(luò)管理人員按使用范圍進(jìn)行安裝，其他任何人不得安裝、復(fù)制、傳播此類軟件。 網(wǎng)絡(luò)資源及網(wǎng)絡(luò)信息的使用權(quán)限由網(wǎng)絡(luò)管理人員按醫(yī)院的有關(guān)規(guī)定予以分配，任何人不得擅自超越權(quán)限使用網(wǎng)絡(luò)資源及網(wǎng)絡(luò)信息。 網(wǎng)絡(luò)的使用人員應(yīng)妥善保管各自的密碼及身份認(rèn)證文件，不得將密碼及身份認(rèn)證文件交與他人使用。 任何人不得將含有醫(yī)院信息的計算機或各種存儲介質(zhì)交與無關(guān)人員。更不得利用醫(yī)院數(shù)據(jù)信息獲取不正當(dāng)利益。 網(wǎng)絡(luò)信息安全管理制度篇 5 第一條 根據(jù) __集團(tuán)公司下達(dá)的集科 []83 號文件《 __集團(tuán)公司多媒體廣域網(wǎng)絡(luò)系統(tǒng)管理辦法及信息技術(shù)規(guī)范的通知》的要求。制定網(wǎng)絡(luò)安全管理制度，適合在大同發(fā)電有限公司內(nèi)的管理信息網(wǎng)絡(luò)中使用。 第二條 安全管理制度須從以下幾個方面進(jìn)行規(guī)范：物理層、網(wǎng)絡(luò)層、平臺安全，物理層包括環(huán)境安全和設(shè)備安全 、網(wǎng)絡(luò)層安全包含網(wǎng)絡(luò)邊界安全、平臺安全包括系統(tǒng)層安全和應(yīng)用層安全。 機房安全管理 第三條 大同發(fā)電公司網(wǎng)絡(luò)機房是網(wǎng)絡(luò)系統(tǒng)的核心，除網(wǎng)絡(luò)信息處管理人員外，其他人不經(jīng)允許不得入內(nèi)，網(wǎng)絡(luò)信息處的管理人員不準(zhǔn)在主機房內(nèi)會客或帶無關(guān)人員進(jìn)入。未經(jīng)許可，不得動用機房內(nèi)設(shè)施 第四條 機房工作人員進(jìn)入機房必須遵守相關(guān)工作制度和條例，不得從事與本職工作無關(guān)的事宜，每天下班前須檢查設(shè)備電源情況，在確保安全的情況下，方可離開。 第五條 為防止磁化記錄的破壞，機房內(nèi)不準(zhǔn)使用磁化杯、收音機等產(chǎn)生磁場的物體。 第六條 機房工作人員要嚴(yán) 格按照設(shè)備操作規(guī)程進(jìn)行操作，保證設(shè)備處于良好的運行狀態(tài)。 第七條 機房溫度要保持溫度在 18177。5 攝氏度，相對濕度在 50%177。5% 。 第八條 做好機房和設(shè)備的衛(wèi)生清掃工作，定期對設(shè)備進(jìn)行除塵，保證機房和設(shè)備衛(wèi)生、整潔。 第九條 機房設(shè)備必須符合防雷、防靜電規(guī)定的措施，每年進(jìn)行一次全面檢查處理，計算機及輔助設(shè)備的電源須是接地的電源。 第十條 工作人員必須遵守勞動紀(jì)律，堅守崗位，認(rèn)真履行機房值班制度，做好防火、防水、防盜等工作。 第十一條 機房電源不可以隨意斷開，對重要設(shè)備必須提供雙套電源。并配備 UPS 凈化電源供電。 公司辦公樓如長時間停電須通知信息主管部門，制定相應(yīng)的技術(shù)措施，并指明電源恢復(fù)時間。 設(shè)備安全管理 第十二條 網(wǎng)絡(luò)系統(tǒng)的主設(shè)備是連續(xù)運行的，網(wǎng)絡(luò)信息處每天必須安排專職值班人員。 第十三條 負(fù)責(zé)監(jiān)視、檢查網(wǎng)絡(luò)系統(tǒng)運行設(shè)備及其附屬設(shè)備 (如電源、空調(diào)等 )的工作狀況，發(fā)現(xiàn)問題及時向網(wǎng)絡(luò)信息處領(lǐng)導(dǎo)報告，遇有緊急情況，須立即采取措施進(jìn)行妥善處理。 第十四條 負(fù)責(zé)填寫系統(tǒng)運行日志、操作日志，并將當(dāng)日發(fā)生的重大事件填寫在相關(guān)的記錄本上。負(fù)責(zé)對必要的數(shù)據(jù)進(jìn)行備份操作。 第十五條 負(fù)責(zé)保持機房的衛(wèi)生及對溫度、濕度的調(diào)整，負(fù)責(zé)監(jiān)視 并制止違章操作及無關(guān)人員的操作。 第十六條 不準(zhǔn)帶電拔插計算機及各種設(shè)備的信號連線。不準(zhǔn)帶電拔插計算機及各種設(shè)備。不準(zhǔn)隨意移動各種網(wǎng)絡(luò)設(shè)備，確需移動的要經(jīng)網(wǎng)絡(luò)信息處領(lǐng)導(dǎo)同意。 第十七條 在維護(hù)與檢修計算機及設(shè)備時，打開機箱外殼前須先關(guān)閉電源并釋放掉自身所帶靜電 (可摸一下暖氣管或接地線 )。 網(wǎng)絡(luò)層安全 第十八條 公司網(wǎng)絡(luò)與信息系統(tǒng)中，在網(wǎng)絡(luò)邊界和對外出口處必須配置網(wǎng)絡(luò)防火墻。 第十九條 未實施網(wǎng)絡(luò)安全管理措施的計算機設(shè)備禁止與 inter 相連。 第二十條 任何接入網(wǎng)絡(luò)區(qū)域中的網(wǎng)絡(luò)安全設(shè)備，必須使用經(jīng)過國家有關(guān)安全部門認(rèn)證的網(wǎng)絡(luò)安全產(chǎn)品。 第二十一條 在計算機聯(lián)入企業(yè)信息網(wǎng)絡(luò)之后，禁止一其他任何方式 (如撥號上網(wǎng)、 ISDN、 ADSL 等 )與inter 相連。 第二十二條 對于公司企業(yè)內(nèi)部網(wǎng)路應(yīng)當(dāng)根據(jù)應(yīng)用功能不同的要求，必須進(jìn)行網(wǎng)絡(luò)分段管理，以防止通過局域網(wǎng) “ 包廣播 ” 方式惡意收集網(wǎng)絡(luò)的信息。 系統(tǒng)安全管理 第二十三條 禁止下載互聯(lián)網(wǎng)上任何未經(jīng)確認(rèn)其安全性的軟件，嚴(yán)禁使用盜版軟件及游戲軟件。 第二十四條 密碼管理：密碼的編碼必須采用盡可能長并不易猜測的字符串，不能通過電子郵件等明文方式傳送傳輸，密碼必須定期更新。 第二十五條 登陸策略：僅給經(jīng)過授權(quán)的用戶暴露賬號，不得設(shè)置多人共用的賬號，連續(xù)登陸三次失敗，須暫時禁止此賬號并通知該賬號用戶。 第二十六條 普通系統(tǒng)用戶：未經(jīng)相關(guān)部門許可，禁止與其他人員共享賬號和密碼 。禁止運行網(wǎng)絡(luò)監(jiān)聽工具或其他黑客工具 。禁止查閱別人的文件。 第二十七條 系統(tǒng)管理員：不得隨意在系統(tǒng)中增加賬號，隨意修改權(quán)限，未經(jīng)管理部門的許可，嚴(yán)禁委托他人行使管理員權(quán)利。 第二十八條 外來軟盤或光盤 須在沒聯(lián)網(wǎng)的單機上檢查病毒，確認(rèn)無毒后方可上網(wǎng)使用。私自使用造成病毒侵害要追究當(dāng)事人責(zé)任。 第二十九條 網(wǎng)絡(luò)系統(tǒng)的所有軟件均不準(zhǔn)私自拷貝出來贈送其它單位或個人，違者將嚴(yán)肅處理。 系統(tǒng)應(yīng)用安全管理 第三十條 實行專人負(fù)責(zé)檢測病毒，定期進(jìn)行檢查，配備相應(yīng)的實時病毒檢測工具。 第三十一 條 嚴(yán)禁隨意使用軟盤和 U 盤等存儲介質(zhì)，如工作需要，須經(jīng)過病毒檢測方可使用。 第三十二條 嚴(yán)禁以任何途徑和媒體傳播計算機病毒，對于傳播和感染計算機病毒者，視情節(jié)輕重，給予適當(dāng)?shù)奶幏?。制造病毒或修改病毒程序制成者，要給予嚴(yán)肅處理。 第 三十三條 發(fā)現(xiàn)病毒，應(yīng)及時對感染病毒的設(shè)備進(jìn)行隔離，情況嚴(yán)重時報相關(guān)部門并及時妥善處理。 第三十四條 實時進(jìn)行防病毒監(jiān)控，做好防病毒軟件和病毒代碼的智能升級。 第三十五條 應(yīng)當(dāng)注意保護(hù)網(wǎng)絡(luò)數(shù)據(jù)信息的安全，對于存儲在數(shù)據(jù)庫中的關(guān)鍵數(shù)據(jù)，以及關(guān)鍵的應(yīng)用系統(tǒng)應(yīng)作數(shù)據(jù)備份，數(shù)據(jù)備份應(yīng)當(dāng)滿足《電力大同發(fā)電公司數(shù)據(jù)備份管理制度》的要求。 附則 第三十六條 本辦法從公布之日起實施。 本辦法由總經(jīng)部網(wǎng)絡(luò)信息處負(fù)責(zé)解釋 網(wǎng)絡(luò)信息安全管理制度篇 6 近年來， 隨著計算機技術(shù)和信息技術(shù)的飛速發(fā)展，社會的需求不斷進(jìn)步，企業(yè)傳統(tǒng)的手工 生產(chǎn)模式和管理模式邁入了一個全新的時代 —— 信息化時代。隨著信息化程度的日益推進(jìn)，企業(yè)信息的脆弱性也日益暴露。如何規(guī)范日趨復(fù)雜的信息安全保障體系建設(shè)，如何進(jìn)行信息風(fēng)險評估保護(hù)企業(yè)的信息資產(chǎn)不受侵害，已成為當(dāng)前行業(yè)實現(xiàn)信息化運作亟待解決的問題。 一、前言：企業(yè)的信息及其安全隱患。 在我公司，我部門對信息安全做出整體規(guī)劃：通過從外到內(nèi)、從廣義到狹義、從總體到細(xì)化、從戰(zhàn)術(shù)到戰(zhàn)略，從公司的整體到局部的各個部門相結(jié)合一一剖析，并針對信息安全提出解決方案。涉及到企業(yè)安全的信息包括以下方面： A. 技術(shù)圖紙。主要存在于技術(shù)部、項目部、質(zhì)管部。 .B. 商務(wù)信息。主要存在于采購部、客服部。 C. 財務(wù)信息。主要存在于財務(wù)部。 D 服務(wù)器信息。主要存在于信管部。 E 密碼信息。存在于各部門所有員工。 針對以上涉及到安全的信息，在企業(yè)中存在如下風(fēng)險： 1 來自企業(yè)外的風(fēng)險 ① 病毒和木馬風(fēng)險?；ヂ?lián)網(wǎng)上到處流竄著不同類型的病毒和木馬，有些病毒在感染企業(yè)用戶電腦后，會篡改電腦系統(tǒng)文件，使系統(tǒng)文件損壞，導(dǎo)致用戶電腦最終徹底崩潰，嚴(yán)重影響員工的工作效率 。有些木馬在用戶訪問網(wǎng)絡(luò)的時候，不小心被植入電腦中，輕則丟失工作文 件，重則泄露機密信息。 ② 不法分子等黑客風(fēng)險。計算機網(wǎng)絡(luò)的飛速發(fā)展也導(dǎo)致一些不法分子利用網(wǎng)絡(luò)行竊、行騙等，他們利用所學(xué)的計算機編程語言編譯有特定功能的木馬插件，經(jīng)過層層加殼封裝技術(shù)，用掃描工具找到互聯(lián)網(wǎng)上某電腦存在的漏洞，繞過殺毒軟件的追擊和防火墻的阻撓，從漏洞進(jìn)入電腦，然后在電腦中潛伏，依照不法分子設(shè)置的特定時間運行，開啟遠(yuǎn)程終端等常用訪問端口，那么這臺就能被不法分子為所欲為而不被用戶發(fā)覺，尤其是技術(shù)部、項目部和財務(wù)部電腦若被黑客植入后門，留下監(jiān)視類木馬查件，將有可能造成技術(shù)圖紙被拷貝泄露、財務(wù)網(wǎng)銀密碼被 竊取。還有些黑客純粹為顯示自己的能力以攻擊為樂，他們在用以上方法在網(wǎng)絡(luò)上綁架了成千上萬的電腦，讓這些電腦成為自己傀儡，在網(wǎng)絡(luò)上同時發(fā)布大量的數(shù)據(jù)包，前幾年流行的洪水攻擊及 DDoS 分布式拒絕服務(wù)攻擊都由此而來，它會導(dǎo)致受攻擊方服務(wù)器資源耗盡，最終徹底崩潰，同時整個網(wǎng)絡(luò)徹底癱瘓。 來自企業(yè)內(nèi)的風(fēng)險 ① 文件的傳輸風(fēng)險。若有員工將公司重要文件以 、 MSN 發(fā)送出去，將會造成企業(yè)信息資源的外泄，甚至被競爭對手掌握，危害到企業(yè)的生存發(fā)展。 ② 文件的打印風(fēng)險。若員工將公司技術(shù)資料或商業(yè)信息打印到紙張帶出公司，會使 企業(yè)信息資料外泄。 ③ 文件的傳真風(fēng)險。若員工將紙質(zhì)重要資料或技術(shù)圖紙傳真出去，以及將其他單位傳真給公司的技術(shù)文 件和重要資料帶走，會造成企業(yè)信息的外泄。 ④ 存儲設(shè)備的風(fēng)險。若員工通過光盤或移動硬盤等存儲介質(zhì)將文件資料拷貝出公司，可能會泄露企業(yè)機 密信息。若有動機不良的員工，私自拆開電腦機箱，將硬盤偷偷帶出公司，將會造成企業(yè)信息的泄露。 ⑤ 上網(wǎng)行為風(fēng)險。員工可能會在電腦上訪問不良網(wǎng)站，會將大量的病毒和頑固性插件帶到企業(yè)網(wǎng)絡(luò)中來，造成電腦及企業(yè)網(wǎng)絡(luò)的破壞，更甚者，在電腦中運行一些破壞性的程序，導(dǎo)致電腦系統(tǒng) 的崩潰。 ⑥ 用戶密碼風(fēng)險。主要包括用戶密碼和管理員密碼。若用戶的開機密碼、業(yè)務(wù)系統(tǒng)登陸密碼被他人掌握， 可能會竊取此用戶權(quán)限內(nèi)的信息資料和業(yè)務(wù)數(shù)據(jù) 。若管理員的密碼被竊取，可能會被不法分子破壞應(yīng)用系統(tǒng)的正常運行，甚至?xí)桓`取整個服務(wù)器數(shù)據(jù)。 ⑦ 機房設(shè)備風(fēng)險。主要包括服務(wù)器、 UPS 電源、網(wǎng)絡(luò)交換機、電話交換機、光端機等。這些風(fēng)險來自防 盜、防雷、防火、防水。若這些自然災(zāi)害發(fā)生，可能會損壞機房設(shè)施，造成業(yè)務(wù)中斷。 ⑧ 辦公 /區(qū)域風(fēng)險。主要包括辦公區(qū)域敏感信息的安全。有些員工缺乏安全意識，在辦公區(qū)域隨意堆放本 部門的重要文件或是在辦公區(qū)域毫不避嫌談?wù)摴ぷ鲀?nèi)容，若不小心被其他人拿走或聽到，可能會泄露部門工作機密，甚至是公司機密。 為了保證企業(yè)信息的安全保密，公司所有人員必須嚴(yán)格遵守企業(yè)信息安全管理總則，以安全總則為基礎(chǔ)，各部門具體細(xì)則為安全管理行為標(biāo)準(zhǔn)，從各個層面杜絕信息安全隱患。 二、總則：從整個公司層出發(fā)，針對這些信息隱患制訂安全防范措施。 。 1) 公司所有人員應(yīng)保持清潔、安全、良好的計算機設(shè)備工作環(huán)境，禁止在計算機應(yīng)用環(huán)境中放置易燃、易爆、強腐蝕、強磁性等有害計算機設(shè)備安全的物品。 2) 嚴(yán)格遵守計算機設(shè)備使用、開機、關(guān)機等安全操作規(guī)程和正確的使用方法。任何人不允許私自拆卸計算機組件，計算機出現(xiàn)故障時應(yīng)及時向信息管理部報告，不允許私自處理和維修。 3)發(fā)現(xiàn)由以下等個人原因造成硬件的損壞或丟失的，其損失由當(dāng)事人如數(shù)賠償：違章作業(yè) 。保管不當(dāng) 。擅自安裝、使用硬件和電氣裝置。公司每位員工對自己的工作電腦既有使用的權(quán)利又有保護(hù)的義務(wù)。任何的硬件損壞必須給出損壞報告，說明損壞原因，不得擅自更換。公司會視實際情況進(jìn)行處理。 4)下班后所有不再使用的計算機，應(yīng)關(guān)閉主機電源，以防止意外，對于共同使用的計算 機，原則上由最后一個退出系統(tǒng)的使用人員關(guān)機，并關(guān)閉電源。外人未經(jīng)公司領(lǐng)導(dǎo)批準(zhǔn)不得操作公司計算機設(shè)備。 。 1) 外接存儲設(shè)備安全管理。 嚴(yán)禁所有人員以個人介質(zhì)光盤、 U 盤、移動硬盤等存儲設(shè)備拷貝公司的文件資料并帶出公司。若因出差等原因需要拷貝文件資料到存儲設(shè)備中，需要向上級請示此行為，并以公司存儲設(shè)備做文件拷貝。為確保硬盤的安全，嚴(yán)禁任何人私自拆開電腦機箱： ① 將用戶主機貼上封條標(biāo)簽，除信管部人員外，任何人不得私自拆開機箱，若信管部進(jìn)行電腦硬件故障排查時，拆除封條標(biāo)簽后，在故障排查結(jié)束及時更 換新的封條標(biāo)簽。信管部將定期檢查，若發(fā)現(xiàn)有封條拆開痕跡，將查看視頻監(jiān)控記錄，追查相關(guān)人責(zé)任。 ② 給每臺電腦主機配備鎖柜，將所有用戶主機存放在鎖柜內(nèi)，鎖柜鑰匙統(tǒng)一由信管部保管，若需要為用戶處理電腦故障時，信管部在打開鎖柜處理完電腦故障時，一定要鎖好主機柜，確保主機內(nèi)硬盤的安全。 2) 文件傳真安全管理。 所有人員對外發(fā)送傳真，必須經(jīng)上級核實后，統(tǒng)一在綜合部登記，由綜合部發(fā)送，嚴(yán)禁個人私自在未經(jīng)許可的情況下對外發(fā)送任何類型的傳真文件，一經(jīng)發(fā)現(xiàn)，所有后果將由個人承擔(dān)。在對內(nèi)傳真文件時，應(yīng)即刻通知傳真接收人接收并取走傳真件，在傳真結(jié)束時，應(yīng)馬上取走傳真原件。若因傳真時沒有取走傳真件，導(dǎo)致傳真件丟失，造成本部門信息外泄，則由本人承擔(dān)一切后果。 3