工程期间网络与信息安全管理办法

工程期间网络与信息安全管理办法第一章总则为进一步明确和强化维护系统在工程期间的网络与信息安全管理工作，杜绝各类潜在安全事件的发生，控制和减少工程网络安全隐患，更好地保障工程施工前后维护系统的网络安全和稳定运行。依据集团公司和省公司的相关规定要求，结合工程施工的实际情况，特制订本办法。工程期间维护系统网络与信息安全管理工作必须贯彻“安全第一，预防为主”的方针，必须遵循“谁主管谁负责、谁维护谁负责，谁使用谁负责”的原则和公司《公司通信网网络与信息安全管理办法》等的相关规定。工程期间相关系统的维护管理部门作为该系统网络与信息安全工作的第一责任人，全面负责该系统工程期间的各项网络安全加固和核查，必须对施工和建设单位进行严格督察和科学管理，确保工程建设对系统的网络安全不造成任何影响或不产生任何潜在危害。工程期间网络与信息安全管理办法全文共10页，当前为第1页。工程期间工程建设施工和管理部门作为该系统网络与信息安全工作的第二责任人和工程建设的具体执行者，必须在系统维护管理部门的指导管理下积极配合对系统固有部分和变更部分进行网络安全风险评估，对潜在风险进行整改和加固，消除潜在安全风险。工程期间网络与信息安全管理办法全文共10页，当前为第1页。工程期间维护系统的网络与信息安全工作必须严格按照省网络部陕移网通〔2008〕536号《关于做好“三同步”工作的通知》要求，将“同步规划、同步建设、同步运行”的原则（既安全建设应与业务系统同步规划、同步建设、同步运行）严格落实到工程建设的各个环节，依据集团公司和省公司下达的各类安全规范、细则的各项要求（既包括客户保密、账户口令、安全域、网络互联、远程接入、日志审计和各类设备、数据库、操作系统的安全功能和配置等在内），从方案提出和设计、到工程建设阶段、工程验收和运行阶段的全程情况进行安全检查，并完成《安全记录表》，确保工程期间维护系统的网络与信息安全。本办法主要对整个工程的工程初期、工程建设和工程验收三个阶段相对应的网络与信息安全工作进行明确和细化，以提高公司网络安全管理的精细化水平和全网的网络安全防护水平。工程期间网络与信息安全管理办法全文共10页，当前为第2页。本办法适用于全网各个系统，既包含通信网、数据网和计算机网络等。工程期间网络与信息安全管理办法全文共10页，当前为第2页。本办法由省网络部制定，并最终归其解释和修订。第二章工程初期相关系统维护管理部门的安全人员应积极参与系统工程建设技术方案的形成过程及可研、设计会审，将公司的各项安全要求贯穿始终并填写《安全记录表》。工程建设管理部门应配合系统维护管理部门积极督促厂家向两部门提供安全保证书并签署安全保密协议，落实到人（其中必须包括具体施工人员的姓名、联系方式、身份证号、厂家批准证明、机房出入证等）。相关资料同时书面提交工程建设管理部门和系统维护管理部门进行备份存档。三人以上的厂家施工队应设厂方安全代表，安全代表由施工队自行指定并通知工建部门、系统维护部门和厂家备案，安全代表负责工程期间工队现场安全工作的开展和与系统维护部门的安全人员的工作协调。工程完工验收前如果厂家前期提交的具体人员等资料有任何增删变动，必须提前向工程建设管理部门和系统维护管理部门书面申请，待同意后及时更新资料并备份存档。工程期间网络与信息安全管理办法全文共10页，当前为第3页。在工程建设开始前系统维护管理部门必须将系统的网络与信息安全现状及具体配合加固规定明确，并对工程建设管理部门和厂家施工人员进行培训，确保网络安全意识和规定贯穿工程始终。工程期间网络与信息安全管理办法全文共10页，当前为第3页。工程初期系统原有的网络与信息安全职责归该系统维护管理部门负责；工程新增设备（指未接入系统或网络的孤立设备）的网络与信息安全职责归工程建设管理部门和施工厂家。工程初期新增设备（指未接入系统或网络的孤立设备）必须严格执行确保设备正常运行前提下的“最小化”原则。即新增设备的操作系统OS、应用系统及软件、进程、开放端口和服务等必须最小化，不能出现任何多余或无用的数据，提供各设备中所有的合法进程、服务、端口列表及详细说明并存档备份。工程期间网络与信息安全管理办法全文共10页，当前为第4页。工程初期新增设备（指未接入系统或网络的孤立设备）必须严格按照公司省网络部陕移网通〔2008〕725号《关于汇总下发2008年网络与信息安全管理办法和相关规范的通知》中明确的《帐号口令管理细则》、《设备通用安全功能和配置细则》、《安全域划分及边界整合技术要求细则》、《操作系统安全功能细则》、《系统服务与端口安全管理办法》等管理规范进行网络安全配置加固和整改，同时也必须符合集团公司和公司其它网络与信息安全管理规范。工程期间网络与信息安全管理办法全文共10页，当前为第4页。工程初期新增设备（指未接入系统或网络的孤立设备）的账号口令由工程建设管理部门和施工厂家共同负责审核和定期修改，口令复杂度和更新日期必须符合《帐号口令管理细则》等制度的相关规定。工程初期新增设备（指未接入系统或网络的孤立设备）的日志审计由工程建设管理部门和施工厂家共同负责审核并定期备份，确保操作记录不会被删除。工程建设在工程建设阶段系统维护管理部门相关安全人员应在工程的硬件安装、软件调测和联网调测时对工程的网络安全情况进行检查，特别是物理安全、配置安全和网调安全，并填写《安全记录表》，对于严重违规的情况，可要求停工并下达《安全检查意见书》，待符合要求后方可复工。工程期间网络与信息安全管理办法全文共10页，当前为第5页。工程初期新增设备（指未接入系统或网络的孤立设备）在入网前必须作好诸如清理工程期间的临时文件及数据（包括文档）、无用进程、释放系统空间等网络安全检查工作。工程期间网络与信息安全管理办法全文共10页，当前为第5页。工程初期新增设备（指未接入系统或网络的孤立设备）在入网联调前必须提出书面申请，经系统维护管理部门的相关安全人员针对新增设备（指未接入系统或网络的孤立设备）的物理安全、配置安全、网调安全、安全策略的制定及规范性等方面进行网络安全审核通过后方可同意入网调测。新增设备（指未接入系统或网络的孤立设备）在入网联调前必须启用新的账号口令，由系统维护管理部门审核后方可使用。系统维护管理部门和厂家工程师必须与省公司签订保密协议后才能书面申请第三方帐号口令授权书，其中授权书应当包括使用者、使用权限和使用期限等内容。系统维护管理部门相关安全人员负责对新增设备的账号口令及授权书进行定期修改、审核、存档。新增设备（指未接入系统或网络的孤立设备）在入网联调后其网络与信息安全职责归系统维护管理部门，由系统维护管理部门牵头工程建设管理部门和施工厂家共同承担。工程期间网络与信息安全管理办法全文共10页，当前为第6页。新增设备（指未接入系统或网络的孤立设备）在入网联调后的账号口令由系统维护管理部门负责审核和定期修改，口令复杂度和更新日期必须符合《帐号口令管理细则》等制度的相关规定。工程期间网络与信息安全管理办法全文共10页，当前为第6页。如果新增设备（指未接入系统或网络的孤立设备）在入网联调后需要启用的账号口令涉及root等超级账户口令，则必须由系统维护管理部门超级账号管理员在归属公司的指定终端上亲自进行操作或者输入口令后，现场监督厂家工程师进行操作，坚决不允许厂家自行输入或获悉超级帐号口令或使用私人或自有终端进行操作。需要通过U盘等移动存储介质向新增设备导入数据时，厂家人员必须提供移动存储介质的安全保证书（安全保证书中明确使用介质的名称、型号、编号等），由系统维护管理部门备案，确保所使用移动存储介质无毒，无木马；其中系统维护管理部门负责事先对公司自有终端的网络安全进行核查，确保终端完成安全配置加固、防病毒软件病毒库升级至最新、网络防火墙安装并实现使用记录登记和日志审计记录以保留所有操作记录等。在厂家工程师操作完成后，系统维护管理部负责及时退出系统并对操作过程和执行指令进行核查和备份。工程期间网络与信息安全管理办法全文共10页，当前为第7页。新增设备（指未接入系统或网络的孤立设备）在入网联调后日志审计由系统维护管理部门负责牵头，工程建设管理部门和施工厂家定期审核并备份，确保操作记录不会被删除。工程期间网络与信息安全管理办法全文共10页，当前为第7页。新增设备（指未接入系统或网络的孤立设备）在入网联调后任何涉及局数据修改的操作必须由系统维护管理部门审核，确保不会对系统产生不良影响或安全隐患后才能实施。在工程建设期间系统维护管理部门的维护人员和安全人员需时刻关注系统的运行情况和网络安全，及时发现和快速处理可能的安全事件和潜在风险。第四章工程验收第一条工程验收前必须在系统运行稳定的前提下完成：将所有账户口令进行修改，包括默认账户。删除所有与系统运行和维护无关的账户。工程验收时所有系统版本均为当时最新的，系统和安全补丁等均为较新且公认稳定的。核对进程列表中有无异常进程。确认远程端口是否关闭。未使用的端口需明确使用shutdown指令关闭，在用端口需描述用途。工程期间网络与信息安全管理办法全文共10页，当前为第8页。接入层设备需启用访问控制列表禁止进行非法源地址转发。工程期间网络与信息安全管理办法全文共10页，当前为第8页。设置管理IP，系统内设备只能从管理IP登陆维护。操作系统及时安装最新的补丁程序，及时更新病毒代码。工程验收前必须由系统维护管理部门安全人员对该系统防火墙进行安全检查，检查要求如下：对策略进行逐条确认，针对多余策略必须全部删除。禁止远程telnet服务，确认ftp服务权限。工程验收前必须由系统维护管理部门的安全人员对该系统的日志审计和远程接入进行安全检查，同时制定该系统的的安全维护作业计划并执行。工程期间网络与信息安全管理办法全文共10页，当前为第9页。工程验收前，系统维护管理部门安全人员必须对新增设备严格执行确保设备正常运行前提下的“最小化”原则进行核查。即对新增设备的操作系统OS、应用系统及软件、进程、开放端口和服务等严格比对工程初期保存的记录，确保各项内容最小化，不能出现任何多余或无用的数据，同时由系统维护管理部门负责牵头工程建设管理部门和施工厂家共同提供新增设备中所有的合法进程、服务、端口列表及详细说明及开启关闭方法，并存档备份。工程期间网络与信息安全管理办法全文共10页，当前为第9页。工程验收前如果需对新增设备进行安全加固整改，则必须在系统维护管理部门的牵头下，由系统维护管理部门、工程建设管理部门、施工厂家共同完成。实施之前收集所有的系统信息和用户服务需求，收集包括所有应用和服务软件的各项信息，并制定详细的实施方案和应急预案；实施之前，先对系统和新增设备做完全备份。由于实施过程可能存在不可预见的风险，当实施失败时，必须确保可以恢复到实施前状态。工程