计算机信息系统安全管理制度.doc

计算机信息系统安全管理制度
总则
为加强内网络管理,明确岗位职责,规范操作流程,维护网络正常运行,确保计算机信息系统的安全,现根据《中华人民共和国计算机信息系统安全保护条例》、《云南省计算机信息系统安全保护管理办法》等有关规定,结合本行内实际,特制订本制度。
计算机信息系统是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
行内设立IT安全管理小组,专门负责本行内范围内的计算机信息系统安全管理工作。
第一章网络管理
遵守国家有关法律、法规,严格执行安全保密制度,不得利用网络从事危害国家安全、泄露国家秘密等违法犯罪活动,不得制作、浏览、复制、传播反动及色情信息,不得在网络上发布反动、非法和虚假的消息,不得在网络上漫骂攻击他人,不得在网上泄露他人隐私。
严禁通过网络进行任何黑客活动和性质类似的破坏活动,严格控制和防范计算机病毒的侵入。
管理办法:通过以下措施做到严禁通过网络进行任何黑客活动和性质类似的破坏活动,严格控制和防范计算机病毒的侵入。
可分组、分时效、分个人、分权限控制使用、注册使用USB存储设备;出现事故问题可直接追究当事人或者部门负责人责任。
USB禁用存储 设置终端用户是否禁用所有USB存储设备。
USB存储认证 注册内部存储U盘只能在内网中指定机器使用,在外网无法使用;授信外部U盘在外网可正常使用,在内部指定机器使用。
USB文件操作审计 详细记录终端用户在USB存储设备中操作文件的情况,包括创建目录、创建文件、修改、复制、剪切、粘贴、重命名、删除等操作。
USB应用审计 详细记录终端用户插拔USB存储设备的具体时间、盘符、插拔状态、磁盘容量、使用空间、剩余空间等信息。
无线网卡管理:设置终端用户允许或禁止使用无线网卡。
可信内网安全域:设置内网中可相互正常通信的IP地址范围,在同一安全域中的机器可相互通信。不在用以安全域而且没有经过授权或者安装客户端的机器不能与内网中的计算机通信,分发进入内网的机器完全隔离。
ARP报警:网络内出现ARP攻击后即报警。并进行arp病毒防范;
各工作计算机未进行安全配置、未装防火墙或杀毒软件的,不得入网。各计算机终端用户应定期对计算机系统、杀毒软件等进行升级和更新,并定期进行病毒清查,不要下载和使用未经测试和来历不明的软件、不要打开来历不明的电子邮件、以及不要随意使用U盘等移动存储介质。
管理办法:通过以下措施达到管理制度第五条之规定;
终端安全报警:终端用户未运行指定程序或者未安装行内规定必须安装的防病毒软件后即报警,可进行重启、锁定键盘鼠标、发通知信息或者强制阻断网络不允许进去单位网络等操作。
杀软管理:查看终端机器所安装的杀毒软件名称、病毒库版本及运行情况。
禁止未授权用户接入行内计算机网络及访问网络中的资源,禁止未授权用户使用BT、电驴等占用大量带宽的下载工具。
管理办法:通过以下措施达到管理制度第六条之规定;
可信内网安全域:设置内网中可相互正常通信的IP地址范围,在同一安全域中的机器可相互通信。不在用以安全域而且没有经过授权或者安装客户端的机器不能与内网中的计算机通信,分发进入内网的机器完全隔离。
程序保护:保护指定程序不允许被非法关闭,如杀毒软件、办公软件、ERP客户端等。
程序黑名单:禁止终端用户运行指定程序,可分时段控制,支持模糊关键字,支持标题栏。
程序白名单:允许终端用户只运行指定程序,可分时段控制,支持模糊关键字,支持标题栏。
应用程序流量管理:查看终端用户正在运行的应用程序所占用的带宽流量,包括上传流量与下载流量的具体信息。
互联网流量管理:设置终端用户流量的带宽限制。
任何员工不得制造或者故意输入、传播计算机病毒和其他有害数据,不得利用非法手段复制、截收、篡改计算机信息系统中的数据。
管理办法:通过以下措施达到管理制度第七条之规定;
图档权限控管:定制终端用户机器的某些文档或目录禁止被剪切、复制、删除、重命名,从而保障文档的安全性,不被误删除或非法删除。
行内对所有IT软硬件资产信息,统一汇总到行政财务人员处理登记。不得私自拆卸安装非工作之外的软件、硬件资产。
管理办法:通过以下措施达到管理制度第七条之规定;
硬件资产管理:自动生成所有终端用户计算机的硬件资产信息。
软件资产管理:自动生成所有终端用户计算机的软件安装信息。
硬件资产查询:多条件查询所有终端用户的硬件信息。
软件资产查询:多条件查询终端用户的软件安装信息。
硬件维修记录:详细记录终端用户的硬件维修信息。
新安装软件管理:设置终端用户允许或禁止新安装软件。
硬件变化报警:终端用户的硬件发生变化后即报警,可进行重启、锁定键盘鼠标