公司信息系统、信息设备和存储设备安全策略

10关于印发《XXX公司信息系统、信息设备和存储公司各部门：为进一步加强公司信息系统、信息设备和存储设备的标准化治理，确保公司各类信息系统、信息设备和存储设备正常运XXX公司信息系统、信息设备和存储设备安全策略》印发给你们，请严格遵照执行。原安全策略同时作废。XXX2021628XXX信息系统、信息设备和存储设备安全策略第一条定义公司〔公司公司”〕备安全策略包括：物理环境安全、信息设备安全、存储介质安全、操作安全、信息交换安全、审计安全以及运维安全。策略变更审批单进展调整。其次条安全目标XXX人民共和国保守国家隐秘法》、《中华人民共和国保守国家隐秘法实施条例》、《武器装备科研生产单位认定方法》及《武器装备科研生产单位标准》〔二级〕等有关法律法规，结合公司实际状况，承受符合备中应当遵循的规章和要求进展了具体的表达，以保障公司涉密信息安全。第三条编制与适用范围公司信息系统、信息设备和存储设备安全保密策略编制依据如下：《中华人民共和国保守国家隐秘法》；《中华人民共和国保守国家隐秘法实施条例》；《武器装备科研生产单位认定方法》；《武器装备科研生产单位标准》〔二级〕；本安全策略适用于公司信息系统、信息设备和存储设备安全保密治理工作。第四条安全方针及原则信息系统、信息设备和存储设备安全保密治理的安全方针：分类治理、责任到人，预防为主、乐观防范，共同努力、保证安全。信息系统、信息设备和存储设备安全保密治理的安全原则：运行标准、事先预防、分类管控、按责落实。第五条安全组织机构保密委员会是公司保密治理的领导机构，贯彻国家有关保密工作的法律、法规、方针、政策，落实集团公司等上级单位及公司党支部关于保密工作的部署和要求，组织开展各项保密工作，指导、检查各部门保密工作，审议解决保密工作中的重大问题，催促落实有关重大泄密隐患的整改工作。息设备和存储设备的规划、建设、运行维护以及安全保密的监视治理工作，承受保密工作机构的指导、监视和检查。科研生产部是公司信息系统责公司信息系统承受信息化主管部门监视治理。第六条安全治理人员信息化治理部门配备相应的技术治理人员对公司信息系存储设备的安全保密工作进展专业化治理。运行维护机构配备安全保密治理员，负责公司信息系统、信息设备和存储设备的日常运维，落实安全保密技术防护措施。技术治理人员兼任安全审计员，负责对运维人员的日常操作行为进展审计。第七条安全保密产品和工具公司涉密信息设备和存储设备使用的安全保密产品和工具主要有：〔一〕涉密计算机及移动存储介质保密治理系统〔三合一〕；〔二〔三〕恶意代码关心检测系统；〔四〕终端安全登录系统；〔五〕主机监控审计系统；〔六〕输出审计：打印刻录监控与审计系统；〔七〕电磁泄漏放射防护：视频干扰器、红黑隔离电源插座；〔八〕保密技术检查工具；第八条安全策略〔一〕物理环境安全策略涉密信息设备不得与互联网及其他任何信息网络有直接或间接的连接，保证网络在物理连接上是完全隔离的。具体物理环境安全策略如下：涉密信息设备和存储设备制止承受有线或无线方式与互联网及其他任何信息网络的交换机、效劳器、信息终端等设备进展连接；涉密台式计算机在机箱黏贴易碎贴，确保用户不能私自拆开计算机机箱接触到硬盘等存储设备；涉密信息设备和存储设备连接的外部设备制止承受有线或无线方4.涉密计算机严禁安装调制解调器或实行其他方式直接、间接与互联网及其它外部信息网络连接；涉密计算机严禁安装或使用任何无线设备，包括无线键盘、无线鼠标和无线网卡等；严禁将涉密存储介质在连接互联网的计算机及其它非涉密计算机中使用；承受电子门禁系统、视频监控系统和警报系统对保密室的人员出入状况进展监控；加强所处周边环境边界、涉密计算机和存储设备所在建筑物主要出入口的安全掌握,外部人员进出实行登记制度。保密室门外安装视频监控与门窗内安装红外报警系统，在人防、24〔二〕信息设备安全涉密计算机根本安全策略确定涉密计算机密级。依据计算机处理的国家隐秘信息的最高密级，确定该台计算机的密级，确定计算机密级应办理审批手续。建立完善的涉密计算机台账，台账中应至少包括保密编号、设备编号、密级、责任部门、责任人、物理安装位置、用途、品牌型号、操作系统版本、操作系统安装日期、硬盘序列号、使用状况等工程。、编号、责任人、用途等信息。标识粘贴在设备明显位置，不行涂改，并与涉密信息的存储部件相关联。严禁将涉密计算机以有线或无线等任何连接方式接入互联网及其他任何信息网络。涉密计算机使用的安全保密产品应选择国产设备。所选产品必需证书等相关材料归档治理。涉密计算机不得存在摄像头和无线网卡严禁在涉密计算机上接入手机、无线鼠标、键盘等无线设备和非授权使用的存储介质。严禁未经审批擅自给涉密计算机连接设备，涉密计算机如需连料应办理审批和登记手续。UPS设备供电的除外〕。要求的低辐射计算机或承受一级视频干扰器进展防护。涉密计算机使用人不得私自格式化硬盘,如确因系统问题需要格式化的,必需先履行审批手续。制止私自更换硬盘和其他硬件设备。涉密计算机不得私自重装操作系统，如确因系统问题需要重安装的，必需先履行审批手续。涉密计算机不得随便安装软件，涉密计算机上制止安装和存安装审批。涉密计算机制止删除存储介质及外部设备等日志记录。涉密计算机数据存储介质和移动存储介质发生故障后，如确派人共同负责设备送取工作。涉密计算机和移动存储介质需要报废处理时，必需送到国家保密行政治理部门指定的销毁机构进展销毁。涉密中间机、工作机、便携式计算机安全策略计算机除执行根本安全策略外，还需具备以下安全策略：BIOS录口令、屏保口令，且不行为默认口令。开机时屏蔽启动菜单项选择项。涉密计算机必需在BIOS防止通过光盘、USB介质等引导方式绕过身份鉴别策略直接访问涉密信息。计算机BIOS8〔10〕，且为简单密码；101〔1〕。登陆操作系统承受USBKeyPin别时Pin610涉密计算机应安装主机监控审计、防病毒等安全软件，审计日6一次。涉密计算机必需使用USB-KeyUSB-Key〔通常10〕后，在该用户需要执行其它操作之前，应对该用户重定，同时形成审计大事并告警。〔administrator〕和用户日常使用账号，删除其他账号，禁用guest〔四〕2〔1〕节执行。严禁未经审批擅自给涉密计算机连接设备，涉密计算机如需连涉密文件资料应办理审批和登记手续。涉密计算机不得保存操作系统恢复分区和一键恢复功能。公司涉密便携式计算机由运维机构集中治理，各部门使用时应办理借用手续，涉密便携式计算机在使用过程中应使用红黑电源隔离插座。涉密便携式计算机不得带有无线上网功能。涉密便携式计算机绑定使用经过注册的涉密专用移动存储介质〔涉密计算机及移动存储介质保密治理系统配套的涉密专用移动存储介质〕，涉密便携式计算机归还时由安全保密治理员进展检查并对计算机和存储介质上的信息进展去除处理。公司设置专供外出携带的涉密便携式计算机，外出访用时须办理借用及外出携带审批手续。借用前依据需求开放输入输出端口，归还时由安全保密治理员进展检查并对计算机和存储介质进展去除处理，所承受的技术、设备和措施应当符合国家有关标准要求。由于操作系统版本或软件冲突等特别缘由难以在涉密计算机上实行某项技术掌握措施的，必需由运维部门依据具体状况进展技术分析和风险评估。经分析和评估后确认无法在技术上掌握的，由运维部门、信息化主管部门与责任部门共同争论加强保密治理的措施，保证安全可控，对该涉密计算机落实责任人，明确治理要求和具体措施，并由责任人书面签字确认。多人共用涉密计算机安全策略多人共用计算机除依据涉密计算机安全防护策略进展配置外，还需具备以下安全策略：共用一台涉密计算机的用户，原则上其密级和涉密信息知悉范围必需一样。多人共用的涉密计算机应安装支持多用户版本的客户端安全防护软件。应为每个用户分别设置唯一的用户标识，通过操作系统安全策略限制用户的权限〔poweruser〕，通过安全软件的策为每个用户划分一个独立的硬盘分区用于处理使用人信息。配置相应分区的访问权限、用户的环境变量和我的文档的所在位置，制止用户访问其他用户分区。互联网计算机安全策略建立互联网计算机台账，台账中至少包括责任部门、责任人、IPMAC使用状况、保密编号、设备编号、物理位置等工程。、责任人、用途等信息。互联网计算机严禁处理涉密信息、严禁连接涉密介质，严禁使用涉密外部设备。互联网计算机实行实名上网，上网人员须严格遵守安全保密规将设备让他人使用，同时在进展打印、下载、发送邮件前进展审批并记录。使用互联网计算机公布信息必需办理审查审批手续。不得私自关闭互联网计算机的防病毒软件改注册表审批，审批同意后由设备责任人进展安装。实行技术措施对互联网计算机上网行为进展审计，进展检查时将调阅审计日志。不得私自格式化硬盘、重装系统、更换硬盘和其他硬件设备，依据保密程序审批同意后,由安全保密治理员进展相关操作。不得在互联网计算机上接入手机、无线鼠标、无线键盘以及音频和视频输入等设备。内部计算机安全策略内部计算机为不涉及国家隐秘的计算机，任何部门和个人不得备科研生产等内容的敏感信息。建立内部计算机台账，台账中至少包括责任部门、责任人、品IPMAC用状况、保密编号、设备编号、物理位置等工程。内部计算机粘贴标识，设备标识包含设备名称、密级、编号、责任人、用途等信息。内部计算机严禁处理涉密信息、严禁连接涉密介质，严禁使用涉密外部设备。〔系统自带杀毒软件也可以得私自关闭或卸载。不得私自格式化硬盘、重装系统、更换硬盘和其他硬件设备，依据保密程序审批同意后,由安全保密治理员进展相关操作。不得在内部计算机上接入手机、无线鼠标、无线键盘、无线网卡等蓝牙、NFC设备。〔三〕存储设备安全严禁将光盘、软盘、U盘、移动硬盘、存储卡、录音笔等任何存储涉密信息的介质与互联网计算机或非涉密计算机连接。严禁在涉密计算机和非密计算机之间穿插使用移动存储介质。在涉密信息设备中不得使用非涉密移动存储介质，涉密信息设备中只能保存和使用涉密移动存储介质。全部涉密计算机安装涉密计算机及移动存储介质保密治理系统〔三合一〕，通过技术手段确保非涉密移动存储介质和单位非受控移动存储介质无法在涉密计算机上使用，涉密移动存储介质无法在非涉密计算机上使用。移动存储介质应建立台账，台账中应包括名称、保密编号、介质品牌、介质类型、密级、U盘序列号、产品序列号、责任部门、责任人、启用时间、使用状况等。涉密移动存储介质须依据涉密载体保密治理的要求严格落实制作、收发、传递、使用、复制、保存、销毁等环节的保密措施。〔四〕操作安全身份鉴别涉密计算机、通信及办公自动化设备中的用户使用唯一的用户标识符来表用户身份。用户登录用户终端均使用USBkey+PIN码的形式进展身份鉴别。用户通过身份认证进展工作，登录客户端后，当其空闲未操作时间超过规定值〔不超过10分钟〕后，再次进展操作前必需重进展身份认证。用户意外退出、强行退出涉密应用系统后，再次进入重进展身份认证。用户尝试身份认证失败次数到达五次后，涉密计算机、通信及办公自动化设备需进展身份认证失败处理。身份认证失败后，对于本地登录，进展登录锁定，同时形成审计记录。对于应用程序，制止使用该程序或锁定一段时间后再允许重进展身份认证，同时形成审计记录。，承受符合保密要求的用户名/口令的方式进展身份鉴别。、不易猜测的口令，一般为大小写英文字母、数字、特别符号的组合,口10访问掌握涉密计算机及移动存储介质保密治理系统〔三合一〕安全策略①全部涉密计算机安装三合一系统。②标准策略：涉密输入机策略：启用多功能导入装置〔单项导入〕、禁用PCMCIA接口卡、禁用光驱刻录功能、禁用串口、禁用并口、禁用打印机、禁用智能卡读卡器、禁用蓝牙设备、禁用红外设备、禁用IEEE1394IEEE1394USB带机、禁用WindowsCEUSB〔多功能卡〕、禁用软驱掌握器、禁用软盘驱动器。涉密工作机策略：启用多功能导入装置〔单项导入〕、禁用PCMCIA接口卡、禁用CDROMIEEE1394设备、禁用IEEE1394USB器、禁用磁带机、禁用WindowsCEUSB〔多功能卡〕、禁用软驱掌握器、禁用软盘驱动器。〔单项导入PCMCIA接口卡、禁用串口、禁用并口、禁用智能卡读卡器、禁用蓝牙设备、禁用红外设备、禁用IEEE1394IEEE1394解调器、禁用磁带机、禁用WindowsCEUSB〔多功能卡〕、禁用软驱掌握器、禁用软盘驱动器。涉密输出机信息导出〔包含刻录光盘和打印文件〕实行一事一批。④制止将三合一系统中涉密专用移动存储介质策略设置为“通用”。⑤禁用虚拟机。终端安全登录与监控审计系统安全策略①全部涉密计算机安装终端安全登录与监控审计系统，为全部涉密计算机用户绑定USB-Key。②默认策略禁用本地打印、制止网络打印、制止使用光驱、制止刻录一般光盘、制止刻录安全光盘、制止使用一般USB存储介质、制止使用注册存储介质、制止使用软驱、制止监视移动存储介质。使用USB1394PCMCIA与审计。③涉密输出机策略驱、允许监视移动存储介质。使用USB1394PCMCIA监控与审计。〔五〕信息输入输出设置涉密输入机，安装光驱，禁用光驱刻录功能。不连接任何储介质，承受光盘和本单位的涉密专用移动存储介质。设置非密输入机，安装光驱，不连接任何网络，全部输入涉密计算机的非涉密信息均须在该机上进展病毒和木马查杀处理后转刻光盘，使用任何移动存储介质，只承受光盘。不得处理内部及以上信息。中间机需定期更系统补丁并升级相关安全防护类软件。设置一台涉密输出机，安装刻录光驱，配备涉密计算机及移动用于涉密计算机信息输出。信息输入输出流程①非密信息输入流程〔填XXX/全保密治理员，承办人在《信息输入登记本》上登记记录。输入按以下流机。②涉密信息输入流程需要将涉密信息导入涉密计算机时，承办人首先办理审批手续〔填XXX/保密治理员，承办人在《信息输入登记本》上登记记录。输入按以下流程盘-将信息导入本人涉密计算机。③信息输出流程需要将信息从涉密计算机输出时，承办人首先办理审批手续〔填写《XXX/将审批单交给到安全〔审批单〕--审计打印刻录申请—通过三合件--刻录成光盘或打印成纸质文件将计算机上的文件删除。计系统的审计功能进展审计，安全保密治理员和安全审计员应定期进展检查。文件打印刻录输出统一承受打印刻录监控与审计系统进展治理计员定期对审计记录进展分析。〔六〕信息交换非密输入机能且只能与涉密输入机之间通过光盘进展信息交换。〔工作机〔不同责任人不得直接进展信息交换。〔工作机〔三合一供给的涉密专用移动存储介质进展信息交换。涉密计算机与外单位涉密计算机间交换数据仅可承受光盘形式。〔七〕应急响应严格执行公司应急响应相关规定，明确各类大事的处理流程和处理方式。定期对应急响应策略进展审查和修正，适时更应急策略。针对不同的系统或设备制定不同应急处置预案，并预案分发给相应的治理人员。〔八〕审计安全依据系统脆弱点、运行性能和安全需求确定系统安全审计范围，审计范围为安全大事的事后追查供给足够信息。安全审计与身份鉴别、访问掌握、数据完整性等安全功能的设计严密结合，并为下述可审计大事产生审计记录：审计功能的启动和关闭，系统内用户增加、删除，用户权限的更改，安全保密治理员、安全审计员的可审计大事。〔九〕运维安全治理打印、刻录监控与