xxx云计算中心机房安全管理制度-文库吧在线文库

　　

【正文】 拥有充分的资源。 应落实正式 的管理责任和措施，确保对设备、软件或程序的所有变更得到满意的控制。应该对计算机系统和网络设备的变更进行有效控制。 数据交换 无论机构内部还是与外界组织的数据和软件交换都应受控：  应签订协议，描述数据和软件交换中所有要使用的安全控制措施；  保护计算介质，以防在传输过程中丢失或误用；  应考虑减少与电子邮件相关的业务，增加安全风险的控制措施；  应制定并执行用来控制与办公网络系统相关的业务和安全风险的明确的策略和指南。 网络管理员应确保云神信息系统的数据安全，保障连接的服务的有 效性，避免非法访问。 电子邮件 安全 云神信息系统应制定有关使用电子邮件的策略，包括：  对电子邮件的攻击，例如病毒、拦截；  不违反国家、云神信息系统相关规定的责任，例如发送诽谤电子邮件、进行骚扰或非法采购；  必要时，使用相关技术保护电子邮件的机密性、完整性和不可抵赖性。 备份与恢复 定义云神信息系统备份与恢复应该采用的基本措施。 要求采用高强度的密钥管理系统，保证密钥全过程的安全。对系统进行监控检查是否遵守所制定的规程。 不可接受的行为 以下是有关使用口令方面不可接受的行为：  泄漏口令，包括将其张贴出来；  监控任何网络中的口令；  非授权尝试访问存储的口令；  收集其他人的口令；  暴 力猜测口令。  不应使用常见的或字典词语。如果给定的口令已超过 90 天，则必须锁定帐号。 口令发布 口令发布包括向期望的和授权的用户最初及此后的口令交付。  业务部门和职能单位应建立已归档的处理机制，最少每 3 个月检查一次特权帐号及其访问权限。 信息系统文件的安全 访问系统文件、源代码和执行代码应进行控制：  只要可能，软件测试不应在正在使用的数据或系统上进行；  测试数据应受保护和控制；  禁止对系统文件的非授权访问。特别地，应该对系统文件、源代码和执行代码的访问进行控制。  在为新用户帐号初次创建口令时，必须强迫用户在第一次登录对话时更改口令。 口令恢复  严禁重新使用口令。  必须仅基于“必须知道”才能允许使用系统帐号口令。  至少 1 个字符必须为符号。  必须维护监控系统安全事件的审计跟踪记录；  为准确记录安全事件，计算机时钟应被同步。 密钥失密或怀疑失密时，必须及时向安全主管部门报告，更新密钥。 加密 对于应用系统安全需求分析中要求采用加密措施，或相关法规中要求采用加密措施的处理，一定要满足要求。 严格控制盗版软件及其它第三方软件的使用，必要时，在运行前先对其进行病毒检查。这些协议的内容应反映有关云神信息系统中信息的保密程度。应记录用户报告的关于信息处理错误或通信系统故障。 介质的处理和安全性 应该对计算机介质进行控制，如果必要的话需要进行物理保护：  可移动的计算机介质应该受控；  应该制定并遵守处理包含机密或关键数据的介质的规程；  与计算相关的介质应该在不再需要时被妥善废弃；  系统文档应该进行适当分级，并实施保护以防非授权访问或删除。在适当的时候，应结合操作步骤和应用更改控制步骤。信息通过网络进行传输，特别是当信息在组织与组织之间交换时，应该确保机密性。 设备装载、处置或重新使用 应仅限已识别身份且经授权的人员从建筑外部访问卸载设备的区域。 数据中心访问记录管理 交接班领导应每日检查物理访问记录本，以确保正确使用了这项控制。 仅在拥有特定的、经批准的目的时才允许访客访问。  对通讯和电力线应该保护，以防被侦听和中断。  安全域的访问权限应该被严格控制。 云神 信息系统工作人员在被雇佣期间使用云神信息系统资源开发或设计的产品，无 论是以何种方式涉及业务、产品、技术、处理器、服务或研发的资产，都是云神信息系统的专有资产。 严禁工作人员使用任何程序、脚本或命令干扰任何其他用户的终端或登录对话。 攻击性玩笑 不能在 云神 信息系统网络中传播包含有淫秽内容的笑话（或其他材料）。  工作人员通过 云神 信息系统的网络服务传输任何非法的、有威胁的、滥用的材料。 仅为工作人员提供工作所需的信息处理设备。 事件报告 必须建立有效的信息反馈渠道，以便于工作人员一旦发现安全威胁、事件和故障，能及时向有关领导 报告。对信息和信息系统的访问进行授权和取消应依据“知所必需”的原则。 文档分类 文档和其他物理资产应该根据它们的类别进行适当的使用、储存和销毁。对备份信息必须进行保护以免破坏和非授权修改。为了保护信息，必须识别这些资产并定义它们所需的保护类别和等级。 信息 依据数据通常表达的意思，当前赋予数据的意义。各级云神信息系统必须建立相应的最高安全领导小组，由最高的主管领导担任组长，领导小组应能够：  提供清晰的指导方向，可见的管理支持，明确的信息安全职责授权；  审查、批准信息安全策略和岗位职责；  审查业务关键安全事件；  批准增强信息安全保障能力的关键措施和机制；  保证必要的资源分配，以实现数据有效性以及信息安全管理体系的持续发展。 云神信息系统安全总体策 略由网络与信息安全管理部门负责制定和解释，并每年组织一次对总体策略进行修订和维护，由信息安全领导小组在云神信息系统内发布。信息安全管理应在确保信息和计算机资产受到保护的同时，确保信息能够在允许的范围内正常运行使用。 云神信息系统是存储、传输、处理大量关于云神业务关键信息的系统。 定期对所属区域视频镜头灰尘 、蜘蛛丝进行清扫，保持视频图像清晰；定期分析各监视画面场景覆盖情况，及时调整所属各视频点监控区域；定期用刷子对主板、接插件、机箱及机箱风扇等进行除尘。 (三 )、灭火器应进行水压试验，一般 5 年一次。 (5)、破坏、覆盖、挪用疏散指示标示、应急照明灯具。 (五 )、消火拴、供水阀门及消防卷盘等所有转动部位应定期加注润滑油。 定期检查保养 公司与制造单位或施工安装单位应签定期维修合同。冬季和夏季应检查室内温度是否符合规定。如发现故障及时调换或检修。对水雾系统管路中的过滤装置应定期清扫。 (二 )、报警阀。 (二 )、消防泵动力。 (八 )、检查所有的手动、自动转换开关，如电源转换开关、灭火转换开关、防排烟、防火门、防火卷帘门转换开关、警报转换开关、应急照明转换开关等是否正常。但试验前一定要做好妥善安排，以防止不应有的恐慌或混乱。检查方法：有自检、巡检功能，可通过搬动自检、巡检开关来检查其功能是否正常。 二、消防器材和消防设施是扑救各类火灾的先决条件和战斗武器，要求全体员工都要爱护消防器材、消防设施和安全标志。 门禁感应卡由综合部统一管理，发放给每一位具有相应权限的员工。所有员工进入办公区域必须使用门禁感应卡或指纹信息。特别重要的门径，要采取电子门禁加密码或指纹识别的控制方式。 【二】消防维护管理制度 一、消防器材是指灭火器、干沙箱、防毒面具等器材。 六、按有关规范配备消防器材和消防设施。试验中发现有故障或失效的探测器应及时拆换。 (六 )、强制消防电梯停于首层试验。 (十三 )、可燃气体探测器应按生产厂家说明书的要求进行试验和检查。 (四 )、自动充气装置的工作状态 (如气压水罐、增压水灌 )。对安装的压力表要定期检验。 (五 )、每月检查一次水泵接合器的接口及其部件，保证接口完好、无渗漏、有闷盖。 常规检查 公司必须配有经过专门培训的专职或兼职人员负责对灭火系统进行常规检查。 (五 )、检查电源指示灯是否常亮，备用电源是否可靠。 (二 )、消防水枪、水带、消防卷盘及全部附件应齐全良好，卷盘转动灵活。 (2)、堵塞安全出口。灭火器已经开启后即使喷出不多，也必须按规定要求在充装。 严格按规定操作步骤进行操作，密切注意监控设备运行状况，保证监控设备安全有序；不允许带电进行硬件的热插拔操作（支持热插拔的硬件设施除外）；不得无故中断监控。信息的可用性、完整性和机密性是信息安全的基本要素，关系到云神的形象和云神网络的持续运行。本策略适用于与云神业务相关的所有部门的所有系统及其工作人员。对违反安全策略的行为，根据事件性质和违规的严重程度，采取相应的处罚措施。 根据需要 ，建立外部信息安全专家咨询小组。 机密性 保护敏感信息免受非授权泄露或明 文被中途拦截。 安全事件 任何已经发生的或可能发生导致组织安全受到损害的事件，或是违反组织安全程序的行为。根据云神信息系统的需要，数据必须被保护以防止被泄漏、破坏或修改。因此，同样需要对普通信息进行安全考虑。  逻辑设备：包括系统、应用软件和开发工具等。必须对全体工作人员就 云神 信息系统网络与信息安全策略和相关管理规定进行培训，使他们熟悉信息安全的实施并加强安全意识。 工作人员调转和解聘 业务单位应将本单位内部工作人员、用户职责或聘用状况的变更及时通知相关的系统安全管理人员。工作人员应该主动做到不要连接到某些不允许被访问的网站。  工作人员拷贝、安装、处理或使用任何未经许可的软件。 云神 信息系统保留审计相关设备并删除被发现的这类非法材料的权力。 在批准使用漏洞检测软件或其他可以用于破坏信息系统安全的工具之前 ,云神 信息系统管理层和信息安全管理部门必须研究和确认使用这些工具的必要性，以及对正常业务可能造成的影响进行评估。 安全域 应将支持关键业务或敏感业务活动的信息技术设备放置在 安全域中。  设备应该放置在合适的位置或加强保护，将被如水或火破坏、干扰或非授权访问的风险降低到可接受的程度。 业务部门应建立访问控制程序，控制并限制所有对云神信息系统计算、存储和通讯系统设施的物理访问。 建筑和环境的安全管理 为确保计算机处理设施能正确的、连续的运行，应至少考虑及防范以下威胁：  偷窃  火灾  温度  湿度  水  电力供应中断  爆炸物  吸烟  灰尘  振动  化学影 响 必须建立环境状况监控机制，以监控厂商建议范围外的可能影响信息处理设施的环境状况。 业务部门和职能单位应建立设备运出信息系统的控制程序，控制云神信息系统设备的运出及归还。 很多用于处理和存储信息的计算机系统都是通过网络联接到外部网络的。 操作程序应严格控制变动。 软件和信息保护 应采取措 施预防和检测对软件和信息非授权的更改。 操作人员日志 操作人员应保留日志记录。应该注意以下内容：  应将网络的操作职责和计算机的操作职责分离；  制定远程设备（包括用户区域的设备）的管理职责和程序；  应采取特殊的技术手段保护通过公共网络传送的数据的机密性和完整性，并保护连接的系统，采取控制措施维护网络服务和所连接的计算机的可用性；  信息安全管理活动应与技术控制措施协调一致，优化业务服务能力；  使用远程维护协议时，要充分考虑安全性。 病毒防范策略 病毒防范包括预防和检查病毒（包括实时扫描 /过滤和定期检查），主要内容包括：  控制病毒入侵途径；  安装可靠的防病毒软件；  对系统进行实时监测和过滤；  定期杀毒；  及时更新病毒库；  及时上报；  详细记录。  建立有效的备份与恢复机制；  定期检测自动备份系统是否正常工作；  明确备份的操作人员职责、工作流程和工作审批制度；  建立完善的备份工作操作技术文档；  明确恢复的操作人员职责、工作流程和工作审批制度；  建立完善的恢复工作操作技术文档；  针对建立的备份与恢复机制进行演习；  对备份的类型和恢复的方式进行明确的定义；  妥善保管备份介质。包括密钥的生成、使用、交换、传输、保护、归档、销毁等。定义和分配用户访问权限是系统所有者的职责。 口令安全 应根据以下要求确保口令安全：  在计算机、工作站等常驻的口令必须是加密格式的；  在登录输入口令过程中不能以任何方式显示口令；  如果可能的话，通过网络的口令应加密；  应将允许特权访问（比如：“ administrator”、“ root”或“ system”）的帐号严格限制于完成管理功能所需的最少人数；  如果终止雇佣管理人员，应更改这位人员可以访问的所有管理口令；  应将对这些特权口令的访问记录归档，且这些访问应基于经证实的工作需要。 口令职责  系统管理员和应用管理员负责在创建帐号时为最终用户选择好的口令。  必须每 30 天更改 一 次系 统帐 号口 令 （比 如 root ，administrator）。  严禁通过电子邮件发布口令。  仅在以下条件下使用特权帐号：  具有特定的时间范围；  对云神信息系统本地网络范围内或远程访问用户，职能单位应至少每周进行一次对特权帐号行为的审计记录的检查和维护。 开发和支持环境的安全 开发和支持 环境应严格受控：  应有正式的信息系统软件和数据的变更控制规。在开发或采购信息系统之前应考虑安全需求