新一佳系统管理及安全制度

69/69新一佳系统治理手册第一篇工作流程常规业务流程业务系统帐号、权限申请流程总部权限治理流程用户填写权限申请表用户填写权限申请表信息技术部治理组审核权限申请表信息技术部治理组审核权限申请表总部权限？总部权限？转到分店权限处理流程NN转到分店权限处理流程Y在总部系统中添加(变更)在总部系统中添加(变更)Y以治理员帐号登录，进入用户治理模块以治理员帐号登录，进入用户治理模块填写用户名、ID、密码，选择职位填写用户名、ID、密码，选择职位选择(修改)用户有效采购权限选择(修改)用户有效采购权限选择(修改)用户有效分店选择(修改)用户有效分店完成添加(变更)用户帐号完成添加(变更)用户帐号通知申请者，告知用户帐号ID，密码通知申请者，告知用户帐号ID，密码结束结束分店权限治理流程用户填写权限申请表用户填写权限申请表信息技术部治理组审核权限申请表信息技术部治理组审核权限申请表分店权限？分店权限？转到总部权限处理流程N转到总部权限处理流程Y在分店系统中添加(变更)在分店系统中添加(变更)Y以治理员帐号登录，进入用户治理模块以治理员帐号登录，进入用户治理模块填写用户名、ID、密码，选择职位填写用户名、ID、密码，选择职位选择(修改)用户有效采购权限选择(修改)用户有效采购权限完成添加(变更)用户权限完成添加(变更)用户权限接着添加(变更)其它分店权限？接着添加(变更)其它分店权限？YN通知申请者，告知用户帐号ID，密码通知申请者，告知用户帐号ID，密码结束结束盈加系统帐号申请（变更）表此表格目的是为了清晰了解用户需求并以备查询，填写后请发送此电子文档给总部信息技术部相关人员。申请人填写：申请人：部门：工号：联系电话：BQQ号码：采购权限：□商品部01处□商品部02处□商品部03处□50百货□60行政□80其它□99自定义□所有采购权限有效分店：□华南区□全国所有分店申请类型：□新开帐号□更改权限变更内容填写：申请人：日期：年月日部门主管意见：主管领导意见：总部信息技术部填写：经手人：完成日期：Internet访问帐号申请流程Internet使用帐号申请表申请人：联系电话：分店/部门/：计算机IP地址：申请理由：使用互联网承诺书：不做与工作无关的上网；不使用谈天工具；……申请人：（签字）日期：年月日部门主管意见：主管领导意见：经手人：开通日期：公司内部邮箱申请流程BQQ事务处理流程店电脑部审查用户资格店电脑部审查用户资格填写申请表店电脑部联系总部电脑部总部电脑部定期处理，将结果反馈给店电脑部用户向店电脑部提出需求店电脑部告知用户帐号11．为了提高工作效率和BQQ服务器的稳定性，BQQ事务的受理及处理时刻固定在周六上午，其它时刻一概不予受理；2．总部电脑部只受理店（区）电脑部的需求申请，不直接面对最终用户；3．BQQ事务必须经由店电脑部。店电脑部定期汇总该事务，然后在总部电脑部指定的受理时刻内联系处理（可不用传真）；4．总部电脑部不受理修改密码的申请；5．基于BQQ号码资源有限的情况，主管级不以下的职员不能申请BQQ号码；6．离职人员所用BQQ号码，在职员离开公司后必须进行删除；7．调职人员所用BQQ号码，原则上随该人员一起调走。8.店（区）电脑部人员以身作则，履行职责义务，切实为职员提供良好服务。BQQ号码申请(变更)表填写后由本部门领导批准，然后店（区）电脑部审核用户资格，于BQQ事务处理时刻上报总部电脑部。申请人填写：(假如有多个用户，请在下面列出即可)申请人：职位：联系电话：分店/部门：联系BQQ：申请(变更)BQQ的详细理由：日使用BQQ频度：部门主管意见：店电脑部经理意见：总部电脑部意见：总部电脑部填写：经手人：开通日期：故障处理流程网络线路故障处理流程网络设备故障处理流程业务服务器硬件故障处理流程服务器硬件故障处理流程服务器硬件故障处理流程定位故障点记录详细故障信息第一时刻报总部电脑部依照机器产品号和序列号拨800核实机器的保修状态在保修期内预约HP工程师上门维修联系供应商填写服务器维修记录、备案YN处理结果报总部电脑部故障处理跟踪报障故障提交给直属的相关负责人假如门店或区部电脑部解决不了的故障，要找总部的直属相关人处理。例如网络故障找总部网管，千万不要乱找人！！故障发生时刻和背景及处理方法一定如实记录故障发生的背景，否则阻碍或推迟了解决故障的时刻由此而造成的后果门店或区部电脑部自行负责！！故障的备案归档及处理者签名故障处理完后，一定要归档同时处理者要签名，及日期，以备类似的故障再次发生，有案可查，尽快解决此类故障！！新开店技术业务流程新开店网络工程/线路/服务器进度表及反馈流程新开店电脑部经理到位后所做的工作分店电脑部经理到位后所做的工作：向总部资产部廖建雄要网络布线供应商联系电话，抓紧催供应商施工，务必在开店前30天竣工；如要该店平面图纸，找店长.向本地电信局申请ADSLADSL带宽要求：要求上行速率2M，下行速率8M以上;时刻：务必在到位后一个星期内申请到向总部资产部廖建雄申请APNGW2000设备，电话0755－82426058FAX0755－82426049有问题找APNGW2000设备供应商：APN发货联系人：黄坚电话机术联系人：叶强电话机刻：务必在到位后一个星期内APNGW2000到位向总部信息技术部网管申请帧中继路线：联系人：总部网管电话：0755--82421377BQQ:1205时刻：务必在到位后一个月内申请到同时告诉网管该店相关参数,申请帧中继路线要用：店所在的地址（精确到电脑部所在的楼层）公司名称店长或电脑部经理姓名店长或电脑部经理联系电话，手机，传真向总部电脑部网管要本店的相关参数：店代码和IP地址分配表分店的上述参数由总部统一分配，不能更改！！应急预案业务服务器紧急事故处理预案业务服务器担负着门店数据业务正常运转的重任，店电脑部必须深刻认识到业务服务器稳定、正常运转的重要性，如遇到业务服务器紧急事故（故障等级中列为B类、C类故障），要严格按照此预案进行处理。紧急事故处理流程紧急事故处理流程定位故障，记录细节通知店电脑部经理报总部电脑部线路故障进入线路故障处理流程服务器硬件故障进入服务器硬件故障处理流程联系总部电脑部处理填写故障跟踪进度表故障消除，填写事故报告报总部电脑部处理结果结束YNYN网络线路紧急事故处理预案假如门店通过主干线路和备用线路都连不到总部的话，就发函给总部电脑部和本门店或区部，联系本地中国电信和APN供应商抓紧处理，同时通知总部网管！！第二篇设备治理验收网络工程验收新一佳分店网络工程项目

验收列表序号项目（内容）完成情况验收人签字日期1网络拓扑图2门店物理图3信息点测试通过率4整体网络性能合格与否5网络正常运作与否6门店交换机配置IP地址与否备注签字：日期：新一佳分店网络工程项目验收标准:1.体能测试体能测试又称耐冲击力测试，是指网络在高流量状态下的致瘫指数，即网络抗瘫痪能力，要求流量在92%以上时网络可不能瘫痪，97%以上为优秀。流量类型依据网络设备的不同而确定，对交换网络，冲击流量针对主服务器、交换机各端口、路由器的正常IP数据包和3000字节超长帧（流量80%），40字节短帧（流量25%）。体能测试合格的网络，一般可不能因高流量冲击或因重负荷而崩溃。2.通道测试通道测试要紧验证设计或租用的通道是否符合预定指标，分为路由通道测试和桥通道测试。路由通道测试验证通道通过既定流量的能力，完成80%以上流量为合格，完成90%以上流量传输的通道为优秀;桥通道测试要求达到90%为合格。3.重要网络设备的承载能力测试对交换机、服务器、路由器加载40%流量后验证流通性和速度，应差不多上感受不到网络变慢，笔者使用美国福禄克网络公司网络综合测试仪的ICMP测试功能，ICMP的Ping测试在LAN内小于2ms合格，50%加载，感受网络速度变慢；ICMP的Ping测试小于4ms，60%加载，感受网络速度明显变慢。4.网络协议统计和用户统计繁忙时对网络的应用协议进行统计，清理不合格的协议，标注发送和接收数据包最多的用户，统计其占用的带宽。5.基准测试记录网络流量、碰撞、广播、错误等的长期数据，分析网络流量变化规律，关心优化网络性能和故障诊断。6.单机联通性测试测试网卡的工作协议和物理参数；在40%加载条件下测试单机网络速度，若链路流量由30%增加到40%时主观评测速度差不多不变，则链路验收合格。7.网卡、集线器、交换机端口测试测试信号波形和抖动等，测试工作协议，推断协议匹配状况，100%匹配为合格。8.网络备案测试对网络设备进行文档备案，包括名称、IP、MAC和拓扑结构图。9.网络设备的工作性能参数监测80％加载条件下的链路联通性测试，观看错误、碰撞指数。10.七层流量统计分析对各层流量进行统计分析。11.依照每个分店的具体情况做出网络拓扑图，并标上ip地址，设备名称，信息点的标签，每个设备连到那台交换机和该台交互机上的那个端口上，同时发给新一佳分店和总部电脑部各一分电子文档，统一使用visio2000软件来做.调试和配置交换机和路由器，使得能够远程登录.13.以上所有测试数据要做好电子文档备份以供验收时做参考使用.服务器和网络设备验收设备验收单填写日期：年月日供应商资料供应商名称供应商地址联系电话联系人设备参数设备名称规格（型号）产品序列号保修起止日期年月日至年月日验收项目验收日期验收人设备调试报告：供应商代表（签字）：日期：使用情况使用部门(签字)启用日期区电脑经理(签字)联系电话总部网管(签字)日期注：若设备供应商与设备制造商非同一公司，则设备供应商必须提供设备制造商的产品认可服务确认书。使用维护网络设备使用维护手册包括：路由器、交换机、VPN1．严禁带电插拔设备，不得拆卸设备机壳；2．定期检查网络设备的运行情况并认真填写设备检查日志，发觉问题立即报告总部电脑部网管；3．任何人不得随意移动网络设备，不得擅自修改设备技术参数；4．网络设备必须由专人负责，各种设备的技术参数由总部电脑部网管负责设置；5．要保证设备的工作环境洁净、无灰尘。服务器使用维护手册包括：业务平台服务器、ISA代理服务器操作系统要求统一安装windows2000Server版本；安装最新补丁包sp4，以及最新的漏洞补丁；服务器硬盘划分三个逻辑盘，磁盘容量比例为1：2：1；C盘除安装操作系统和指定应用程序外，不同意安装其它应用；服务器不同意上互联网，不同意配置上互联网参数；未经同意，不能更改服务器的网络配置参数；保证服务器磁盘目录有条理，不杂乱；软件要求业务系统的运行环境以及业务系统安装在操作系统的第二个分区上；防病毒统一安装NortonSymantec8，并保证每周更新二次病毒库，保证最新；定期扫描系统，及时升级最新病毒库；安装PcAnywhere软件；安装解压缩winRAR应用软件；不得随意删除服务器上的软件；严禁在服务器上安装与业务功能无关的软件；硬件要求严禁带电插拔设备；不得随意重启服务器；详细记录设备资产的型号、序列号、配置、供应商、保修期等信息；认真、属实地填写设备运行状况日志；未经同意，分店电脑部人员不得私自在业务服务器上安装其它应用程序；工作站使用维护手册操作系统要求统一安装windows2000Professional版本；安装最新补丁包sp4，以及最新的漏洞补丁；软件要求POS系统安装在操作系统的第二个分区上；安装NortonSymantec8，并保证每周更新一次病毒库，保证最新；硬件要求详细记录设备资产的型号、序列号、配置、供应商、保修期等信息；检查与记录保证服务器、网络设备的工作环境洁净，设备摆放整齐，无灰尘、空气流通；每天检查服务器的备份打算任务的执行情况，并做记录；每天检查服务器备份目录下的备份文件，若有异常，立即记录并汇报总部电脑部；检查病毒防护程序的病毒库是否最新；检查服务器网络连接状况；第三篇安全制度安全知识安全的来源威胁网络安全的要紧来源包括：1.1内部人员（包括信息系统的治理者、使用者和决策者）；1.2准内部人员（包括信息系统的开发者、维护者等）；1.3专门身份人员（具有专门身份的人，比如，审计人员、稽查人员、记者等）；1.4外部黑客或小组；1.5竞争对手；1.6网络恐惧组织；1.7军事组织或国家组织等;1.8病毒传播1.9上互联网2.0使用外部QQ等安全的紧破性和重要性信息科技的迅速进展，Internet已成为全球重要的信息传播工具。据不完全统计，Internet现在遍及186个国家，容纳近60万个网络，提供了包括600个大型联网图书馆，400个联网的学术文献库，2000种网上杂志，900种网上新闻报纸，50多万个Web网站在内的多种服务，总共近100万个信息源为世界各地的网民提供大量信息资源交流和共享的空间。作为一种战略资源，信息的应用也从原来的军事、科技、文化和商业渗透到当今社会的各个领域，在社会生产、生活中的作用日益显著。传播、共享和自增殖是信息的固有属性，与此同时，又要求信息的传播是可控的，共享是授权的，增殖是确认的。因此在任何情况下，信息的安全和可靠必须是保证的。Internet是一种开放和标准的面向所有用户的技术，其资源通过网络共享。资源共享和信息安全是一对矛盾.自Internet问世以来，资源共享和信息安全一直作为一对矛盾体而存在着，计算机网络资源共享的进一步加强随之而来的信息安全问题也日益突出，各种计算机病毒和网上黑客（Hackers）对Internet的攻击越来越激烈，许多网站遭受破坏的事例不胜枚举,可见安全日益安全对公司的阻碍安全不单是电脑部的事，是和各个部门相关的，任何一个部门,任何一个职员都会对企业的安全造成危险，阻碍企业的进展，特不是在信息社会中，信息具有和能源、物源同等的价值，在某些时候甚至具有更高的价值。具有价值的信息必定存在安全性的问题，关于企业更是如此。一旦这些机密被泄漏，不仅会给企业，甚至也会给国家造成严重的经济损失全体职员树立安全的强烈观念加强企业信息安全治理的运行，强化信息安全的领导；加强信息安全人才队伍的建设，提高信息安全的意识。信息安全不仅要靠技术，更要靠治理，要把技术和治理相结合，要以人为本，提高安全意识，才能增强信息安全的保障，有利于企业的进展。安全级不划分安全等级在TCSEC准则中将计算机系统的安全分为了四大类,依次为D、B、C和A,其中A是最高的一类,每一类都代表一个爱护敏感信息的评判准则,同时一类比一类严格，分不如下：D类:最小的爱护。这是最低的一类,不再分级,这类是那些通过评测但达不到较高级不安全要求的系统。早期商用系统属于这一类。C类:无条件的爱护。C类提供的无条件的爱护也确实是"需要则知道"(need-to-known)的爱护,又分两个子类。

C1:无条件的安全爱护。这是C类中较低的一个子类,提供的安全策略是无条件的访问操纵,具有识不与授权的责任。早期的UNIX系统属于这一类。

C2:有操纵的存取爱护。这是C类中较高的一个子类,除了提供C1中的策略与责任外,还有访问爱护和审计跟踪功能。1.3B类:属强制爱护,要求系统在其生成的数据结构中带有标记,并要求提供对数据流的监视,B类又分三个子类:

B1:标记安全爱护,是B类中的最低子类,除满足C类要求外,要求提供数据标记。

B2:结构安全爱护,是B类中的中间子类,除满足B1要求外,要实行强制性的操纵。

B3:安全域爱护,是B类中的最高子类,提供可信设备的治理和恢复,即使计算机崩溃,也可不能泄露系统信息。1.4A类:通过验证的爱护,是安全系统等级的最高类,这类系统可建立在具有结构、规范和信息流密闭的形式模型基础之上。A1:通过验证爱护。

故障等级依照故障造成的危害程度来做出决定的，分为：A类故障：一般的主机或工作站故障，只有阻碍到个人计算机的B类故障：路线中断阻碍到总部和门店的正常数据传输的，造成门店正常的运作的C类故障：门店数据库服务器有问题的，造成和总部的服务器无法进行数据的正常传输的D类故障：总部关键服务器有问题，阻碍到和所有门店的数据传输的其中D类故障是最关键的数据安全信息安全2.1信息安全的定义信息是一家机构的资产，与其它资产一样，应受到爱护。信息安全的作用是爱护信息不受大范围威胁所干扰，使机构业务能够畅顺，减少损失及提供最大的投资回报和商机。信息能够有多种存在方式，能够写在纸上、储存在电子文档里，也能够用邮递或电子手段发送，能够在电影上放映或者讲话中提到。不管信息以何种方式表示、共享和存储，都应当适当地爱护起来2.2信息安全的特征1）保密性(confidentiality)：保证信息只让合法用户访问；计算机系统不被非授权使用，信息不泄露给非授权的个人和实体2）完整性(integrity)：保障信息及其处理方法的准确性（accuracy）、完全性（completeness）；信息在存储或传输过程中保持不被修改、不被破坏和不丢失的特性。信息完整性是网络信息安全的差不多要求.破坏信息的完整性是阻碍网络信息安全的常用手段2.3可用性(availability)：保证合法用户在需要时能够访问到信息及相关资产。计算机系统可被合法用户访问并按要求的特性使用，即当需要时能存取所需信息。2.4可控性：对信息的传播及内容具有操纵能力。网络安全机房的安全新一佳机房治理规则如下：1.1机房除电脑部人员得以进出外，其它人员非经许可不得进出;1.2访客或设备维修人员须经许可后由电脑部人员陪同下才可进出机房；1.3访客或设备维修人员进出机房必须签名，如有携带机房设备应注明并经电脑部人员签认；1.4所有人员进出机房大门应随手关门，同时请换穿拖鞋以维护机房环境；1.5机房相关设备除电脑部人员外，未经许可严禁擅自使用；1.6电脑部人员应定期打扫，并保持机房及设备整洁，机房禁止喧哗、抽烟、置放食物饮料、雨具或其它杂物；1.7电脑部人员应负责监视进出机房人员及其举止，严防不法份子侵入、盗窃或破坏；1.8机房设备不须关机(除专门况状外)，最后离开者须确认所有设备安全并正常运作，将大门紧锁才可离开互联网的安全随着新一佳事业日益蓬勃的进展，服务信息化进程具有重要作用。同时，如何保障互联网的运行安全和信息安全问题差不多引起新一佳的普遍关注。为了促进新一佳互联网的健康进展，维护新一佳数据安全，特作如下决定:2.1禁止有意制作、传播、在互联网下载计算机病毒等破坏性程序，攻击计算机系统及通信网络，致使计算机系统及通信网络遭受损害者;2.2为了维护新一佳的利益，对有下列行为之一，构成犯罪的，依照刑法有关规定追究刑事责任:2.2.1利用互联网损坏新一佳商业信誉和商品声誉;2.2.2利用互联网侵犯新一佳知识产权;2.2.3在公司里利用互联网建立淫秽网站、网页，提供淫秽站点链接服务，或者传播淫秽书刊、影片、音像、图片;2.3任何个人不得从事下列危害计算机信息网络安全的活动;2.3.1未经同意，进入计算机信息网络或者使用计算机信息网络资源的;2.3.2未经同意，对计算机信息网络功能进行删除、修改或者增加的；2.3.3未经同意，对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的;2.3.4其他危害计算机信息网络安全的;2.4任何个人不得利用国际联网侵犯用户的通信自由和通信秘密;2.5用户在办理入网手续时，.应由本部门秘书统一向门店/区部电脑部申请，填写有关申请表格，并提供上互联网的详细理由，经本部门领导签字，报给门店电脑部核实缘故，再通过总部电脑部审批，经审批登记批准后方可实施，最后由门店电脑部负责执行;2.6门店最多四个用户能够上互联网，区部最多7个用户能够上互联网；2.7使用上网帐号的用户应当加强对帐号的治理，建立帐号使用登记制度。用户帐号不得转借、转让。否则取消该上网帐号；2.8严禁用各种手段盗用上网帐户和口令、破解用户口令和任何危及新一佳网安全运行与治理的恶劣行径。电脑部将采纳网络治理技术手段负责扫描查寻，一经发觉将依照新一佳有关规定严肃处罚；2.9任何个人不得在网络上设立BBS（电子公告牌）站或与BBS类似的信息公布站点，一经发觉，即从网上隔离；2.10任何个人不得设立游戏站点或纯娱乐性站点，一经发觉，即从网上隔离；2.11任何个人上互联网的内容要同意电脑部的监督。仅提供与工作有关的服务，否则一经发觉，即从网上隔离;2.12任何个人不得擅自采纳各种技术手段和方法将公司的局域网与公司外单位和个人进行互联网联接。一经发觉，即从网上隔离;网络安全3.1网络设备/服务器都放在机房里；3.2网络连接的安全及可靠性；3.3网络冗余保障；3.4网络层身份认证；3.5网络资源的访问操纵；3.6数据传输的保密及完整性；3.7远程接入的安全；3.8域名系统的安全；3.9路由系统的安全和入侵检测的手段；

入侵检测与监控

及审计与记录网络安全审计的目的确实是要了解网络的弱点位置和严峻程度，以便如何纠正。提早注意到问题的存在,就能防止这些问题在被忽视的况下变得特不严峻。审计是每天都要完成的任务,网络安全工作是一个持续的过程。差不多的审计工作包括：记录用户使用网络系统的过程并对这些记录检查审计、分析例外事件和违规操作，对网络的安全和使用作出评估病毒防范处理5.1合理设置杀毒软件假如安装的杀毒软件具备扫描电子邮件的功能，比如PC-cillin的“Web过滤器”、“Web安全”和“POP3扫描”等，尽量将这些功能全部打开，其它的杀毒软件也必须打开类似的网络过滤扫描功能。另外，现在的病毒进展速度越来越快，通过网络传播的时刻越来越短，因此必须及时升级更新杀毒软件的病毒库和扫描引擎。5.2合理设置电子邮件工具假如是使用OutlookExpress作为邮件的收发程序，为了尽量幸免邮件病毒的威胁，建议在“选项”中的“发送”设置中，选择使用“纯文本”格式发送电子邮件，要明白，现在大部分流行的邮件收发工具都支持以HTML方式撰写新邮件，而使用“纯文本”格式发送邮件，不但能够有效防止无意中被植入恶意的HTML代码，同时也能够减少邮件体积，加快发送速度。5.3合理设置扫瞄器的安全级不在操纵面板中的“Internet选项”中，进行合理的“安全”设置，不要随意降低安全级不，以减少来自恶意代码和ActiveX控件的威胁，在系统推举的默认设置级不“中”的基础上，点击“自定义级不”按钮，能够进一步进行更严格的设置，建议尝试着每次只更改一两个项目，假如导致不能正常上网，或者上网不方便了，则适当地降低安全设置，多试几次直到找到适合自己的最佳安全设置组合。5.4慎重对待邮件附件假如收到邮件附件中有可执行文件（如.EXE、.COM等）或者带有“宏”的文档（.doc等），不要直接打开，最好先用“另存为”把文件保存到磁盘上，然后用杀毒软件查杀一遍，确认没有病毒后再打开。不要打开扩展名为VBS、SHS或者PIF的附件，因为这类文件几乎可不能作为正常的附件发送，却经常地被病毒或蠕虫所利用。另外，绝对不要打开带有双扩展名的附件，如“.BMP.EXE”或者“.TXT.VBS”等。5.5不要随便点击不明链接假如收到不明邮件，一定不要随便点击其中的链接，防止其带有恶意代码，同样我们在上网的时候，也不要经不住一些无聊话语的诱惑，随便轻意点击一些无名小站的不