信息安全管理方案及措施

一、安全管理方案及措施
1.1安全管理适用范围
本制度明确了本次中国移动四川公司2019-2021年ICT存量信息化业务维保服务项目的安全管理规定及工作规范。

本制度适用于我公司本次项目的运维管理工作。

本次项目所有维保人员均应严格遵照执行，与信息安全等安全管理相关的业务也应严格遵守本制度。

1.2规范性引用文件
下列文件对于本规范的应用是必不可少的。

凡是注日期的引用文件，仅注日期的版本适用于本规范。

凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本规范。

——中华人民共和国计算机信息系统安全保护条例
——中华人民共和国国家安全法
——中华人民共和国保守国家秘密法
——计算机信息系统国际联网保密管理规定
——中华人民共和国计算机信息网络国际联网管理暂行规定
——ISO27001标准/ISO27002指南
——公通字[2007]43号信息安全等级保护管理办法
——GB/T 21028-2007信息安全技术服务器安全技术要求
——GB/T 20269-2006 信息安全技术信息系统安全管理要求
——GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求
——GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南
1.3安全管理方案总则
围绕公司打造专业型、服务型、一体化、现代化为总体维保目标，保障信息化建设，提高运维能力，保证运维管理系统安全稳定的运行，明确岗位职责、规范系统操作、提高系统可靠性和维护管理水平，特制定运维管理制度。

本制度凡与上级有关标准和规定有不符的地方，应按上级有关标准规定执行。

1.3.1运维管理系统的范围
本次项目维保服务内容主要是针对前端摄像头、立杆、UPS、地垄、防雷、抱杆支架、设备箱、信号线、补光灯、测速雷达；后端显示大屏、液晶电视、分屏器、编码器、解码器、控制器、配电柜、服务器（含操作系统）、存储、硬盘、NVR、交换机、路由器、防火墙等。

1.3.2运维管理系统的维护职责
1、系统管理人员负责本次系统线路（不含传输专线）、设备、监控平台服务设备及其附属设备进行正常的设备的巡检和维护，负责对应设备的巡检和维护，负责硬件及附属设备故障的及时处理，负责系统级用户和密码的管理，负责操作系统配置的优化，为ICT存量信息化业务数据和应用的正常运行提供安全可靠的平台。

2、本次项目维保人员系统管理人员负责本次项目系统数据和应用的维护工作，内容包括：视频监控类项目前后端设备故障修复、巡检保养、运营质量分析及优化、安全漏洞修复、运维资料管理、应急演练、系统保障、备品备件、搬迁
整治等内容。

涉及以下设备：前端摄像头、立杆、UPS、地垄、防雷、抱杆支架、设备箱、信号线、补光灯、测速雷达；后端显示大屏、液晶电视、分屏器、编码器、解码器、控制器、配电柜、服务器（含操作系统）、存储、硬盘、NVR、交换机、路由器、防火墙等，对项目用户发生问题的响应。

1.3.3网络安全管理
1、组织工作人员认真学习《计算机信息网络国际互联网安全保护管理办法》，提高工作人员的维护网络安全的警惕性和自觉性。

2、负责对本网络用户进行安全宣传，使用户自觉遵守和维护《计算机信息网络国际互联网安全保护管理办法》，使他们具备基本的网络安全知识。

3、加强对信息发布系统的信息发布的审核管理工作，杜绝违犯《计算机信息网络国际互联网安全保护管理办法》的内容出现。

4、数据业务部门根据系统网络的结构，制定详细的网络资源访问控制策略。

经公司生产技术部审批后，方可实施。

5、生产技术部都应该对本次项目所有数据网络设备的访问进行控制，控制范围：控制台访问控制、限制访问空闲时间、口令的保护、对Telnet访问的控制、简单网络管理协议（SNMP）访问控制。

6、防火墙可以实现比路由器（交换机）更加细化的访问控制，合理配置的防火墙是保证访问控制策略的有力手段。

防火墙可以实现基于IP地址、域名和用户身份等的访问控制。

如网络内使用防火墙，则必须制订适当的安全策略，并与网络规划保持一致。

防火墙应开放最少的服务端口。

如需对开放端口或更改安全区域设置，需上报公司生产技术部局端运行人员，经审批后方可实施。

7、监控平台服务主机安全。

8、所有计算机均应安装杀毒软件，避免形成防护体系的薄弱环节。

在购买产品时，【网络版】授权安装的服务器和客户机数量应大于或等于实际的数量。

9、强制每台计算机开启杀毒软件实时监控功能。

10、病毒防护信息管理。

系统中心对防护体系内所有计算机的病毒监控、检测，以及处理情况均有记录。

对这些信息的有效监控、利用和管理会使整个防病毒工作更加有效。

网络管理员应根据网络的实际运行状况和工作需要制定切实可行的管理方案。

10.1、监控、检测和清除病毒
该项管理是网络防病毒管理的核心，利用杀毒软件【网络版】提供的各项功能可实现对所有计算机设计具体的管理方案。

如对实时监控、扫描、清除时间、周期等设置。

10.2、未知病毒侦测管理
由于新病毒的不断出现，反病毒软件也要随之更新。

只有建立一套完整可行的新病毒侦测和捕获方案才能实现这一过程的良性循环和周期的缩短。

这也是维护整个网络安全必不可少的环节。

一旦发现异常现象，及时与反病毒公司联系。

1.4本次项目前后端设备管理
1、本次项目前后端设备应有定置图，设备和缆线应布放整齐，并有明显的
标识。

2、本次项目前后端设备应保持整洁并进行定期打扫，不准存放食物，禁止
存放杂物和私人用品，严禁存放易燃、易爆、具腐蚀性危险品。

3、设备设施和物品不准任何人随意乱动，配置的常用仪器仪表、工具、资
料不得外借带出。

4、本次项目前后端设备应有履历本，物品资料应登记造册，以备方便查阅。

5、本次项目前后端设备所在机房应配置气体灭火器，气体灭火器应定期检
查。

进出缆线应做好防火安全，每根缆线均应涂防火涂料。

6、本次项目前后端设备所在机房内应采取防鼠措施，进出孔洞应封堵，防
止老鼠及小动物危害设备。

7、本次项目前后端设备所在机房应配置温度计、湿度计、空调。

机房温度
应控制在10℃~30℃之间，湿度应低于80%，密闭防尘。

8、本次项目前后端设备所在机房出入应有登记，非工作人员未经许可不得
随意进入机房，进入机房不准喧哗、不准吸烟、不准用餐。

9、外单位人员不得随意进入本次项目设备机房，进入机房参观学习的人员
应事先与主管部门和本部门负责人联系，得到许可方可进入。

10、本次项目设备机房内应配置事故照明装置，以备应急使用。

1.5工器具及备品备件安全管理
1、应建立本项目使用的工器具和维护设备配备的备品备件的管理登记册，随时做到帐物相符。

2、所有工器具和备品备件领入后，应先进行领入登记。

大件工器具和设备备品备件应指定专人管理，工器具借用及备品备件的调用应如实登记。

3、小型工器具根据需要由个人负责保管，在寿命周期内不得丢失和人为损坏，否则照价赔偿。

对疲劳损坏的工具，实行以旧换新，尽量避免个人工具由于
保管不当造成遗失。

4、大型工具和与关键过程、特殊过程有关的工器具，应定期进行计量和校准。

5、特殊工具应由熟悉其使用性能和操作熟练的人员负责操作，并由具有同等资历的人员进行监护。

6、为保证信息通信系统故障的及时排除，各类设备应配备必要的备品备件。

备品备件调用后，应将替换下的坏板及时返厂维修，修复的板件重新造册作为备件待用。

7、每年，应对工器具和备品备件的使用、消耗等情况进行认真统计、分析和核对，作为上报新的工器具和备品备件采购计划的依据。

1.6技术资料、维护及应用软件、运行记录管理
1、运行设备的各类技术资料、维护应用软件、运行检修记录等是确保本次项目设备健康运行的基础，是维保人员对运行中的系统实施正常及异常维护、及时判断电路故障原因、保证系统正常运行的依据。

2、资料及维护应用软件的收集、整理、补充工作，确保监控平台服务设备的附属软硬件配件和设备运行台帐、档案、图纸资料齐全完整，确保监控平台服务设备的运行、测试记录清晰、准确。

3、维保人员应具备以下资料：
a)所辖区域通信网络及信息网络拓扑结构总图；
b)所辖区域前端摄像头、立杆、UPS、地垄、防雷、抱杆支架、设备箱、信号线、补光灯、测速雷达；后端显示大屏、液晶电视、分屏器、编码器、解码
器、控制器、配电柜、服务器（含操作系统）、存储、硬盘、NVR、交换机、路由器、防火墙等设备清单；
c)所管辖各类设备的基本配置档案汇总资料；
d)各类运行设备的使用说明书及操作手册；
e)包含各类运行设备安装、投运、更改、电路使用记录和检测记录的设备履历簿；
f)各类原材料、工器具及备品备件的进出记录和消耗使用记录；
g)其它与运行设备相关的资料。

4、设备履历簿和仪器仪表履历簿由运行维护部门随设备使用年限建立和保管。

其余运行记录按年整理分类保存。

1.7维护应用软件及系统升级的安全管理
随着信息通信技术的发展，维保应用软件对系统运行的介入程度越来越深，面越来越广，软件系统的维护管理成为监控平台服务设备运行管理的重要内容，各级维保部门和人员对与设备维护和应用相关的软件的管理应遵循以下原则：
1、各类信息通信运行设备的应用软件和维护软件除一次装载到系统内开通运行外，还必须拥有光盘等备份文件，以便在故障后重新导入。

2、各类监控平台服务设备的应用软件和维护软件在设备移交运行后须作详细登记并由专人负责保管和维护。

3、设备软件升级后须作详细登记并保留最新版本软件拷贝，原版本软件归档保存或作清晰标识分开存放。

4、维护人员应定期跟踪所使用系统的软件升级情况和升级后的新功能，必
要时提出升级建议。

5、对各类局数据和用户数据应定期进行备份更新，并记录更新日期，以便在故障发生后尽快恢复最新的数据。

6、维护人员应定期清理系统的用户数据和告警记录，以便于实时运行状况的查询并减少对数据库过分的占用。

7、在网管系统上进行可能影响系统运行的参数设置、更改和维护等操作时，须有监护人进行监护和确认，并作好详细的操作记录；软件进行版本升级时，对于不影响业务的升级工作，须以书面形式详细将计划、方案、措施等报上级主管部门备案，操作中避免人为失误造成业务中断；对于影响业务的升级工作，必须提前两周向上级主管部门以书面形式提出申请详细报告计划、方案、措施等，经批准后方可实施。

1.8设备巡检、维护作业计划管理
1、“安全第一、预防为主”是本次项目维保必须遵循的原则，为保持本次项目设备和附属设备的健康运作，必须进行运行设备的定期巡检并实施线路运行维护作业计划。

2、本次项目设备巡检由通信运行维护部门负责，正常巡视周期原则规定如下：
中心机房各类设备除维保值班员当值期间的正常巡视外，工作日内相关责任部门和检修人员每天至少巡视一次。

巡检中发现的各类问题应及时采取有效措施尽快解汇报。

巡检工作应作好相关记录备查。

3、常规设备巡检的主要内容包括：
设备运行环境的检查（清洁度、温湿度、防鼠堵漏、防火防盗等）。

设备外观检查（硬件完好性、稳定性、告警系统、面板参数标识）。

接续连线检查（接地线、电源引接线、架间连接电缆、负载连接电路的接续可靠性等）。

机架内部简单清洁，接续端子除尘、加固等。

软件设置参数检查核对，历史告警信息阅读。

设备运行资料核对记录。

本机上应用系统日志。

介质转换器工作状态。

设备、线缆标识是否清晰、完整。

各系统设备清洁、温度、湿度、电源状态。

应用系统磁盘空间、CPU占用情况。

各应用系统服务状态。

4、为了保证设备的正常运行，实时掌握设备运行状况，必须在一定时间内对各类运行设备和电路实施维护作业。

5、维护部门维护检修作业计划应包括：
各设备配置参数备份。

系统全备份。

监控设备口令更改。

重要文件、数据库系统备份。

应用系统账号口令更改。

文档资料整理。

1.9软件管理
1、为了确保本次项目系统平台的安全运行，保护用户利益不受侵害，特制定此管理制度。

2、监控设备、服务器密码口令管理的具体要求是：
监控设备、服务器的密码和口令，由系统管理员与设备责任人协商确定，必须两人同时在场设定。

设定完成后，密码及口令须由系统管理员记录，部门负责人、系统管理员、设备责任人于口令记录签字后封存，不得将口令和密码记录于设备履历本中。

对于每一具体的监控设备、服务器，口令和密码仅部门负责人、系统管理员、设备责任人三人知晓。

不得将口令和密码泄漏与其他人员，尤其是外部人员（包括公司或部门内部非设备责任人等人员）。

如有此情况发生，要严格追究相关人员的责任。

确因特殊情况（如人员不能到达现场操作等原因），须将密码和口令告知他人，须设备责任人向部门负责人、系统管理员汇报，经同意后授权他人进行操作。

操作完毕后，操作人员需详细在设备履历本中记录操作过程，并于合适的时间和场合，按1、2条的办法重新设定口令。

更换后系统管理员要销毁原记录，将新密码或口令记录封存(方式同1、2)。

密码或口令要定期更换(周期见设备检修计划规定)，更换后系统管理员要销毁原记录，将新密码或口令记录封存(方式同1、2)。

如发现密码或口令有失密迹象，系统管理员要立刻报告部门负责人，由部门
负责人报告办公室，同时要尽量保护好现场并记录，须接到上一级主管部门指示后再更换密码和口令。

3、对用户密码和口令管理的要求是：
对于要求设定密码和口令的用户，由用户方制定责任人与系统管理员商定密码及口令，由系统管理员登记并请用户负责人确认(签字或电话通知)，之后系统管理员设定密码及口令，并保存用户档案。

当用户由于责任人更换或忘记密码、口令时要求查询密码、口令或要求更换密码、口令时，需向网络服务管理部门提交申请单，由部门负责人或系统管理员核实后，履行二条1款所定手续，并对用户档案做更新记载。