华电集团信息化建设安全规范.doc

中国华电集团公司管理信息系统建设管理办法 信息系统安全运行管理实施细则（试行） 第一章 总 则 第一条 为了保证华电集团公司信息系统的安全，根据《中华人民共和国计算机信息系统安全保护条例》有关规定和中国华电计【2004】830号文件《中国华电集团公司管理信息系统建设管理办法（试行）》，结合集团公司信息化的特点，制定本细则。 第二条 本细则适用于华电集团公司本部、分支机构及所属企业（包括内部核算电厂，全资、控股电厂和委托集团公司管理的电厂）的信息系统安全运行管理。 第三条 集团公司广域网由集团公司负责统一运行管理，各单位应遵照《中国华电集团公司广域网系统管理与维护实施细则（试行）》。 第二章 网络系统安全运行管理 第四条 计算机网络系统必须采用结构化布线系统，并作好详细准确的布线记录。计算机网络布线系统必须通过严格全面的测试方可投入使用。 第五条 所有的网络配置都要有文档。对网络设备进行软件安装、系统升级或更改配置时，应进行系统和数据、设备参数的完全备份。 第六条 计算机网络地址由集团公司信息中心统一分配和管理，任何人不得擅自使用他人的地址和未分配的地址。 第七条 不使用的网络接口、网络协议要禁止。 第八条 网络设备备用策略： （一）关键网络设备如网络通道、路由器、核心交换机等应进行部件级的、系统级的冗余配置，避免单点故障。 （二）充分利用已有的备用部件与系统。 （三）备用的网络设备，无论是冷备用或是热备用都需定期检测，以保证备用设备的可靠、及时投用。 （四）备用的网络设备的应用软件环境和数据环境要与正常投用的系统一致。 第九条 内部网接入Internet及内部网经广域网互联必须要通过防火墙。 第十条 为保证网络持续不断的运行，其维护工作要在用户使用量小的时候进行。 第十一条 应建立本单位的信息网络运行日报、周报、月报制度。定期监视网络的运行情况，应制定网络运行预案，并定期演习，确保应急体系的完备性和可用性。一旦发现网络故障必须尽快处理并记录，并及时请示信息化管理部门领导，根据故障严重程度将故障情况逐级向主管领导和有关主管部门汇报。 第十二条 因工作需要，需断开计算机网络设备时，必须提前通知计算机网络用户。 第十三条 确因工作需要，需更改计算机网络配置信息时，运维人员必须提前上报本单位信息网络运维主管，由运维主管组织对方案进行讨论，并制定应急预案，保存设备配置信息，并填写《中国华电集团公司信息系统操作工作单》。 第三章 应用系统安全运行管理 第十四条 防病毒管理 （一）所有WINDOWS操作系统下的服务器和所有的客户端都要安装防病毒软件。 （二）对关键服务器实时查、杀毒，对客户端定期进行查、杀毒，并备有查、杀毒记录。 （三）运维人员负责病毒的通告，对病毒库及时更新。 （四）限制客户端从网上随意下载软件，下载后首先进行杀毒。 第十五条 用户与口令管理 （一）对用户及口令的管理，应包括用户名（ID）及口令设置的规范、保护、使用和权限变更等。 （二）任何系统的ID设立必须按照流程规定进行相应审批。 （三）口令必须具有足够的长度和复杂度，并及时更新。 （四）系统超级管理员的口令必须由专人保管和修改，严格限定使用范围。 （五）用户丢失或遗忘口令，必须通过规定的流程向管理员重新申请。 （六）用户调离单位后，管理员必须立即注销其ID并取消其权限。 第十六条 防火墙管理 （一）在企业内部网络与Internet之间部署防火墙，防火墙应该至少具有包过滤、网络地址转换（NAT）、日志审计功能。 （二）配置合理的安全策略对进出的信息包进行过滤。 （三）防火墙要有专责管理员，并经过专业培训。 （四）防火墙配置的更改应该依照流程申请、审批、执行。 （五）定期检查防火墙日志，不断调整防火墙的设置策略。 第十七条 主机防护 （一）合理分配操作系统的用户权限，遵循相互制约原则与最小授权原则，定义良好的访问控制策略，避免权限过分集中与滥用。 （二）及时升级操作系统版本，及时安装补丁程序，清除已知的主机内核漏洞与后门。 （三）关键业务服务器不得安装其它用途的应用软件。 （四）关闭、卸载、删除不必要的服务、协议、应用软件与文件。 （五）对系统配置进行定期检查。 （六）对系统日志定期进行安全审计。 （七）用户口令应具有一定的强度。 第十八条 邮件服务器管理 （一）根据主机防护要求，建立主机防护措施。 （二）服务器必须采取防病毒措施，防止病毒通过邮件传播。 （三）邮件系统应具有防中继功能。 （四）应为邮箱设置空间大小，防止滥用系统资源。 （五）应设置邮件过滤功能，抑制垃圾邮件。一旦发现不良邮件源，及时更新邮件过滤规则。 第十九条 网站服务器 （一）根据主机防护要求，建立主机防护措施。 （二）建立备用系统，