【文章內(nèi)容簡介】 律法規(guī)所禁止的活動。 未經(jīng)允許，不得擅自修改計算機中與網(wǎng)絡有關的設置。 未經(jīng)允許，不得私自添加、刪除與醫(yī)院網(wǎng)絡有關的軟件。 未經(jīng)允許，不得進入醫(yī)院網(wǎng)絡或者使用醫(yī)院網(wǎng)絡資源。 未經(jīng)允許，不得對醫(yī)院網(wǎng)絡功能進行刪除、修改或者增加。 未經(jīng)允許，不得對醫(yī)院網(wǎng)絡中存 儲、處理或者傳輸?shù)臄?shù)據(jù)和應用程序進行刪除、修改或者增加。 不得故意制作、傳播計算機病毒等破壞性程序。 不得進行其他危害醫(yī)院網(wǎng)絡安全及正常運行的活動。 二、 網(wǎng)絡硬件的管理網(wǎng)絡硬件包括服務器、路由器、交換機、通信線路、不間斷供電設備、機柜、配線架、信息點模塊等提供網(wǎng)絡服務的設施及設備。 各職能部門、各科室應妥善保管安置在本部門的網(wǎng)絡設備、設施及通信。 不得破壞網(wǎng)絡設備、設施及通信線路。由于事故原因造成的網(wǎng)絡連接中斷的，應根據(jù)其情節(jié)輕重予以處罰或賠償。 未經(jīng)允許，不得中斷網(wǎng)絡設備及設施的供電 線路。因生產(chǎn)原因必須停電的，應提前通知網(wǎng)絡管理人員。 不得擅自挪動、轉(zhuǎn)移、增加、安裝、拆卸網(wǎng)絡設施及設備。特殊情況應提前通知網(wǎng)絡管理人員，在得到允許后方可實施。 四軟件及信息安全 計算機及外設所配軟件及驅(qū)動程序交網(wǎng)絡管理人員保管，以便統(tǒng)一維護和管理。 管理系統(tǒng)軟件由網(wǎng)絡管理人員按使用范圍進行安裝，其他任何人不得安裝、復制、傳播此類軟件。 網(wǎng)絡資源及網(wǎng)絡信息的使用權限由網(wǎng)絡管理人員按醫(yī)院的有關規(guī)定予以分配，任何人不得擅自超越權限使用網(wǎng)絡資源及網(wǎng)絡信息。 網(wǎng)絡的使用人員應妥善保管各自的密碼及身份認證文件，不得將密碼及身份認證文件交與他人使用。 任何人不得將含有醫(yī)院信息的計算機或各種存儲介質(zhì)交與無關人員。更不得利用醫(yī)院數(shù)據(jù)信息獲取不正當利益。 網(wǎng)絡信息安全管理制度篇 5 第一條 根據(jù) __集團公司下達的集科 []83 號文件《 __集團公司多媒體廣域網(wǎng)絡系統(tǒng)管理辦法及信息技術規(guī)范的通知》的要求。制定網(wǎng)絡安全管理制度，適合在大同發(fā)電有限公司內(nèi)的管理信息網(wǎng)絡中使用。 第二條 安全管理制度須從以下幾個方面進行規(guī)范：物理層、網(wǎng)絡層、平臺安全，物理層包括環(huán)境安全和設備安全 、網(wǎng)絡層安全包含網(wǎng)絡邊界安全、平臺安全包括系統(tǒng)層安全和應用層安全。 機房安全管理 第三條 大同發(fā)電公司網(wǎng)絡機房是網(wǎng)絡系統(tǒng)的核心，除網(wǎng)絡信息處管理人員外，其他人不經(jīng)允許不得入內(nèi)，網(wǎng)絡信息處的管理人員不準在主機房內(nèi)會客或帶無關人員進入。未經(jīng)許可，不得動用機房內(nèi)設施 第四條 機房工作人員進入機房必須遵守相關工作制度和條例，不得從事與本職工作無關的事宜，每天下班前須檢查設備電源情況，在確保安全的情況下，方可離開。 第五條 為防止磁化記錄的破壞，機房內(nèi)不準使用磁化杯、收音機等產(chǎn)生磁場的物體。 第六條 機房工作人員要嚴 格按照設備操作規(guī)程進行操作，保證設備處于良好的運行狀態(tài)。 第七條 機房溫度要保持溫度在 18177。5 攝氏度，相對濕度在 50%177。5% 。 第八條 做好機房和設備的衛(wèi)生清掃工作，定期對設備進行除塵，保證機房和設備衛(wèi)生、整潔。 第九條 機房設備必須符合防雷、防靜電規(guī)定的措施，每年進行一次全面檢查處理，計算機及輔助設備的電源須是接地的電源。 第十條 工作人員必須遵守勞動紀律，堅守崗位，認真履行機房值班制度，做好防火、防水、防盜等工作。 第十一條 機房電源不可以隨意斷開，對重要設備必須提供雙套電源。并配備 UPS 凈化電源供電。 公司辦公樓如長時間停電須通知信息主管部門，制定相應的技術措施，并指明電源恢復時間。 設備安全管理 第十二條 網(wǎng)絡系統(tǒng)的主設備是連續(xù)運行的，網(wǎng)絡信息處每天必須安排專職值班人員。 第十三條 負責監(jiān)視、檢查網(wǎng)絡系統(tǒng)運行設備及其附屬設備 (如電源、空調(diào)等 )的工作狀況，發(fā)現(xiàn)問題及時向網(wǎng)絡信息處領導報告，遇有緊急情況，須立即采取措施進行妥善處理。 第十四條 負責填寫系統(tǒng)運行日志、操作日志，并將當日發(fā)生的重大事件填寫在相關的記錄本上。負責對必要的數(shù)據(jù)進行備份操作。 第十五條 負責保持機房的衛(wèi)生及對溫度、濕度的調(diào)整，負責監(jiān)視 并制止違章操作及無關人員的操作。 第十六條 不準帶電拔插計算機及各種設備的信號連線。不準帶電拔插計算機及各種設備。不準隨意移動各種網(wǎng)絡設備，確需移動的要經(jīng)網(wǎng)絡信息處領導同意。 第十七條 在維護與檢修計算機及設備時，打開機箱外殼前須先關閉電源并釋放掉自身所帶靜電 (可摸一下暖氣管或接地線 )。 網(wǎng)絡層安全 第十八條 公司網(wǎng)絡與信息系統(tǒng)中，在網(wǎng)絡邊界和對外出口處必須配置網(wǎng)絡防火墻。 第十九條 未實施網(wǎng)絡安全管理措施的計算機設備禁止與 inter 相連。 第二十條 任何接入網(wǎng)絡區(qū)域中的網(wǎng)絡安全設備，必須使用經(jīng)過國家有關安全部門認證的網(wǎng)絡安全產(chǎn)品。 第二十一條 在計算機聯(lián)入企業(yè)信息網(wǎng)絡之后，禁止一其他任何方式 (如撥號上網(wǎng)、 ISDN、 ADSL 等 )與inter 相連。 第二十二條 對于公司企業(yè)內(nèi)部網(wǎng)路應當根據(jù)應用功能不同的要求，必須進行網(wǎng)絡分段管理，以防止通過局域網(wǎng) “ 包廣播 ” 方式惡意收集網(wǎng)絡的信息。 系統(tǒng)安全管理 第二十三條 禁止下載互聯(lián)網(wǎng)上任何未經(jīng)確認其安全性的軟件，嚴禁使用盜版軟件及游戲軟件。 第二十四條 密碼管理：密碼的編碼必須采用盡可能長并不易猜測的字符串，不能通過電子郵件等明文方式傳送傳輸，密碼必須定期更新。 第二十五條 登陸策略：僅給經(jīng)過授權的用戶暴露賬號，不得設置多人共用的賬號，連續(xù)登陸三次失敗，須暫時禁止此賬號并通知該賬號用戶。 第二十六條 普通系統(tǒng)用戶：未經(jīng)相關部門許可，禁止與其他人員共享賬號和密碼 。禁止運行網(wǎng)絡監(jiān)聽工具或其他黑客工具 。禁止查閱別人的文件。 第二十七條 系統(tǒng)管理員：不得隨意在系統(tǒng)中增加賬號，隨意修改權限，未經(jīng)管理部門的許可，嚴禁委托他人行使管理員權利。 第二十八條 外來軟盤或光盤 須在沒聯(lián)網(wǎng)的單機上檢查病毒，確認無毒后方可上網(wǎng)使用。私自使用造成病毒侵害要追究當事人責任。 第二十九條 網(wǎng)絡系統(tǒng)的所有軟件均不準私自拷貝出來贈送其它單位或個人，違者將嚴肅處理。 系統(tǒng)應用安全管理 第三十條 實行專人負責檢測病毒，定期進行檢查，配備相應的實時病毒檢測工具。 第三十一 條 嚴禁隨意使用軟盤和 U 盤等存儲介質(zhì)，如工作需要，須經(jīng)過病毒檢測方可使用。 第三十二條 嚴禁以任何途徑和媒體傳播計算機病毒，對于傳播和感染計算機病毒者，視情節(jié)輕重，給予適當?shù)奶幏帧Ｖ圃觳《净蛐薷牟《境绦蛑瞥烧?，要給予嚴肅處理。 第 三十三條 發(fā)現(xiàn)病毒，應及時對感染病毒的設備進行隔離，情況嚴重時報相關部門并及時妥善處理。 第三十四條 實時進行防病毒監(jiān)控，做好防病毒軟件和病毒代碼的智能升級。 第三十五條 應當注意保護網(wǎng)絡數(shù)據(jù)信息的安全，對于存儲在數(shù)據(jù)庫中的關鍵數(shù)據(jù)，以及關鍵的應用系統(tǒng)應作數(shù)據(jù)備份，數(shù)據(jù)備份應當滿足《電力大同發(fā)電公司數(shù)據(jù)備份管理制度》的要求。 附則 第三十六條 本辦法從公布之日起實施。 本辦法由總經(jīng)部網(wǎng)絡信息處負責解釋 網(wǎng)絡信息安全管理制度篇 6 近年來， 隨著計算機技術和信息技術的飛速發(fā)展，社會的需求不斷進步，企業(yè)傳統(tǒng)的手工 生產(chǎn)模式和管理模式邁入了一個全新的時代 —— 信息化時代。隨著信息化程度的日益推進，企業(yè)信息的脆弱性也日益暴露。如何規(guī)范日趨復雜的信息安全保障體系建設，如何進行信息風險評估保護企業(yè)的信息資產(chǎn)不受侵害，已成為當前行業(yè)實現(xiàn)信息化運作亟待解決的問題。 一、前言：企業(yè)的信息及其安全隱患。 在我公司，我部門對信息安全做出整體規(guī)劃：通過從外到內(nèi)、從廣義到狹義、從總體到細化、從戰(zhàn)術到戰(zhàn)略，從公司的整體到局部的各個部門相結合一一剖析，并針對信息安全提出解決方案。涉及到企業(yè)安全的信息包括以下方面： A. 技術圖紙。主要存在于技術部、項目部、質(zhì)管部。 .B. 商務信息。主要存在于采購部、客服部。 C. 財務信息。主要存在于財務部。 D 服務器信息。主要存在于信管部。 E 密碼信息。存在于各部門所有員工。 針對以上涉及到安全的信息，在企業(yè)中存在如下風險： 1 來自企業(yè)外的風險 ① 病毒和木馬風險?；ヂ?lián)網(wǎng)上到處流竄著不同類型的病毒和木馬，有些病毒在感染企業(yè)用戶電腦后，會篡改電腦系統(tǒng)文件，使系統(tǒng)文件損壞，導致用戶電腦最終徹底崩潰，嚴重影響員工的工作效率 。有些木馬在用戶訪問網(wǎng)絡的時候，不小心被植入電腦中，輕則丟失工作文 件，重則泄露機密信息。 ② 不法分子等黑客風險。計算機網(wǎng)絡的飛速發(fā)展也導致一些不法分子利用網(wǎng)絡行竊、行騙等，他們利用所學的計算機編程語言編譯有特定功能的木馬插件，經(jīng)過層層加殼封裝技術，用掃描工具找到互聯(lián)網(wǎng)上某電腦存在的漏洞，繞過殺毒軟件的追擊和防火墻的阻撓，從漏洞進入電腦，然后在電腦中潛伏，依照不法分子設置的特定時間運行，開啟遠程終端等常用訪問端口，那么這臺就能被不法分子為所欲為而不被用戶發(fā)覺，尤其是技術部、項目部和財務部電腦若被黑客植入后門，留下監(jiān)視類木馬查件，將有可能造成技術圖紙被拷貝泄露、財務網(wǎng)銀密碼被 竊取。還有些黑客純粹為顯示自己的能力以攻擊為樂，他們在用以上方法在網(wǎng)絡上綁架了成千上萬的電腦，讓這些電腦成為自己傀儡，在網(wǎng)絡上同時發(fā)布大量的數(shù)據(jù)包，前幾年流行的洪水攻擊及 DDoS 分布式拒絕服務攻擊都由此而來，它會導致受攻擊方服務器資源耗盡，最終徹底崩潰，同時整個網(wǎng)絡徹底癱瘓。 來自企業(yè)內(nèi)的風險 ① 文件的傳輸風險。若有員工將公司重要文件以 、 MSN 發(fā)送出去，將會造成企業(yè)信息資源的外泄，甚至被競爭對手掌握，危害到企業(yè)的生存發(fā)展。 ② 文件的打印風險。若員工將公司技術資料或商業(yè)信息打印到紙張帶出公司，會使 企業(yè)信息資料外泄。 ③ 文件的傳真風險。若員工將紙質(zhì)重要資料或技術圖紙傳真出去，以及將其他單位傳真給公司的技術文 件和重要資料帶走，會造成企業(yè)信息的外泄。 ④ 存儲設備的風險。若員工通過光盤或移動硬盤等存儲介質(zhì)將文件資料拷貝出公司，可能會泄露企業(yè)機 密信息。若有動機不良的員工，私自拆開電腦機箱，將硬盤偷偷帶出公司，將會造成企業(yè)信息的泄露。 ⑤ 上網(wǎng)行為風險。員工可能會在電腦上訪問不良網(wǎng)站，會將大量的病毒和頑固性插件帶到企業(yè)網(wǎng)絡中來，造成電腦及企業(yè)網(wǎng)絡的破壞，更甚者，在電腦中運行一些破壞性的程序，導致電腦系統(tǒng) 的崩潰。 ⑥ 用戶密碼風險。主要包括用戶密碼和管理員密碼。若用戶的開機密碼、業(yè)務系統(tǒng)登陸密碼被他人掌握， 可能會竊取此用戶權限內(nèi)的信息資料和業(yè)務數(shù)據(jù) 。若管理員的密碼被竊取，可能會被不法分子破壞應用系統(tǒng)的正常運行，甚至會被竊取整個服務器數(shù)據(jù)。 ⑦ 機房設備風險。主要包括服務器、 UPS 電源、網(wǎng)絡交換機、電話交換機、光端機等。這些風險來自防 盜、防雷、防火、防水。若這些自然災害發(fā)生，可能會損壞機房設施，造成業(yè)務中斷。 ⑧ 辦公 /區(qū)域風險。主要包括辦公區(qū)域敏感信息的安全。有些員工缺乏安全意識，在辦公區(qū)域隨意堆放本 部門的重要文件或是在辦公區(qū)域毫不避嫌談論工作內(nèi)容，若不小心被其他人拿走或聽到，可能會泄露部門工作機密，甚至是公司機密。 為了保證企業(yè)信息的安全保密，公司所有人員必須嚴格遵守企業(yè)信息安全管理總則，以安全總則為基礎，各部門具體細則為安全管理行為標準，從各個層面杜絕信息安全隱患。 二、總則：從整個公司層出發(fā)，針對這些信息隱患制訂安全防范措施。 。 1) 公司所有人員應保持清潔、安全、良好的計算機設備工作環(huán)境，禁止在計算機應用環(huán)境中放置易燃、易爆、強腐蝕、強磁性等有害計算機設備安全的物品。 2) 嚴格遵守計算機設備使用、開機、關機等安全操作規(guī)程和正確的使用方法。任何人不允許私自拆卸計算機組件，計算機出現(xiàn)故障時應及時向信息管理部報告，不允許私自處理和維修。 3)發(fā)現(xiàn)由以下等個人原因造成硬件的損壞或丟失的，其損失由當事人如數(shù)賠償：違章作業(yè) 。保管不當 。擅自安裝、使用硬件和電氣裝置。公司每位員工對自己的工作電腦既有使用的權利又有保護的義務。任何的硬件損壞必須給出損壞報告，說明損壞原因，不得擅自更換。公司會視實際情況進行處理。 4)下班后所有不再使用的計算機，應關閉主機電源，以防止意外，對于共同使用的計算 機，原則上由最后一個退出系統(tǒng)的使用人員關機，并關閉電源。外人未經(jīng)公司領導批準不得操作公司計算機設備。 。 1) 外接存儲設備安全管理。 嚴禁所有人員以個人介質(zhì)光盤、 U 盤、移動硬盤等存儲設備拷貝公司的文件資料并帶出公司。若因出差等原因需要拷貝文件資料到存儲設備中，需要向上級請示此行為，并以公司存儲設備做文件拷貝。為確保硬盤的安全，嚴禁任何人私自拆開電腦機箱： ① 將用戶主機貼上封條標簽，除信管部人員外，任何人不得私自拆開機箱，若信管部進行電腦硬件故障排查時，拆除封條標簽后，在故障排查結束及時更 換新的封條標簽。信管部將定期檢查，若發(fā)現(xiàn)有封條拆開痕跡，將查看視頻監(jiān)控記錄，追查相關人責任。 ② 給每臺電腦主機配備鎖柜，將所有用戶主機存放在鎖柜內(nèi)，鎖柜鑰匙統(tǒng)一由信管部保管，若需要為用戶處理電腦故障時，信管部在打開鎖柜處理完電腦故障時，一定要鎖好主機柜，確保主機內(nèi)硬盤的安全。 2) 文件傳真安全管理。 所有人員對外發(fā)送傳真，必須經(jīng)上級核實后，統(tǒng)一在綜合部登記，由綜合部發(fā)送，嚴禁個人私自在未經(jīng)許可的情況下對外發(fā)送任何類型的傳真文件，一經(jīng)發(fā)現(xiàn)，所有后果將由個人承擔。在對內(nèi)傳真文件時，應即刻通知傳真接收人接收并取走傳真件，在傳真結束時，應馬上取走傳真原件。若因傳真時沒有取走傳真件，導致傳真件丟失，造成本部門信息外泄，則由本人承擔一切后果。 3