平顶山市公共资源交易中心

网络与信息安全管理规定

为保护中心网络与信息系统的安全，有效防范各类安全事故或人为有意的破坏事件，确保网络设施和信息系统的安全稳定运行，防范重大网络与信息安全事件的发生，根据《中华人民共和国网络安全法》等法律法规的相关精神，特制定本规定。

一、主要内容

本规定主要内容包括：组织管理、物理环境与设备安全、网络安全、主机安全、数据安全、运行安全等六个方面。

二、组织管理

信息技术科负责中心网络与信息安全的具体工作。建立完善的网络与信息安全管理制度，并对安全管理制度的合理性和适用性进行检查和审定，对存在不足或需要改进的安全管理制度进行修订。

三、物理环境与设备安全

设备与物理环境安全的目标是保护信息化设施，包括计算机设备、网络与安全设备、业务系统及其他相关设施的物理环境免遭自然灾害和其他形式的破坏，保证信息系统的实体安全。

（一）信息化设施的选址及建设应遵照国家计算机场地安全标准和有关主管部门的场地环境设施标准，配备防火、防雷、防水、防静电、防鼠等机房安全设施，维持系统不间断的运行能力，确保信息系统运行的安全可靠。

（二）主机房设备与物理环境安全由信息技术科进行管理。信息技术科应负责机房内所有信息化设施的物理安全，包括制定物理环境安全、设备安全、设备交付、人员及设备进出、区域访问控制、巡检值守等方面相应的规范和管理细则，配备相关管理人员，落实防护措施。

（三）应对突发事故建立应急计划，配备应急电源，实施系统主机及重要设备的备份。

四、网络安全

（一）网络安全的目标是有效防范网络体系的安全风险，为网络信息系统提供安全、可靠、稳定的网络管理和技术平台。

（二）互联网出口应实施防火墙、入侵检测、网络防病毒等安全技术措施，防范资源被非法访问、篡改和破坏。

（三）网络设备应根据系统的不同等级进行相应的安全配置设置。

（四）网络安全管理员应确保各信息系统的数据安全，保障连接的服务的有效性，避免非法访问。

五、主机安全

（一）主机是由服务器、存储等硬件设备、与设备内运行的操作系统、数据库系统及其他系统软件共同构成。主机安全要求通过操作系统、数据库管理系统以及其他安全软件（包括防病毒、防入侵、木马检测等软件）实现的安全功能来满足。

（二）主机操作系统和数据库操作系统应按照系统的安全等级进行安全加固，进行服务最小化配置。

（三）操作系统和数据库系统需建立认证访问控制，规范用户对文件、数据库表等的访问。认证采用的密码必须遵循复杂密码的要求。服务器、信息设备等重要信息资产密码需定期更新，密码的变更需登记并安全保存，未经同意不得随意将密码信息泄露给第三方人员。

（四）定期对主机的安全进行评估，检测主机的安全配置和存在的安全漏洞，及时进行修补，增强主机系统的健壮性。

（五）提高主机恶意代码防护能力，安装恶意代码防护软件，并对主机的防病毒进行统一管理，病毒库进行统一更新。

（六）操作系统和数据库系统应及时安装补丁，补丁安装前需做模拟测试，以保障补丁安装不会影响当前系统的稳定运行。

六、数据安全

数据安全的目标是防止数据被偶然的或故意的非法泄露、变更、破坏，或是被非法识别和控制，以确保数据完整、保密、可用。数据安全包括数据的存储安全和传输安全两个方面。

（一）采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输和存储保密性。

（二）配备数据库安全审计系统，对数据库安全事件进行审计。

（三）应定期进行数据备份，经常检测备份以保证其可用性。

（四）主要网络设备、通信线路和数据处理系统的硬件冗余，保证系统的高可用性。

（五）数据清除及销毁应进行严格的审批，并由专人进行处理，保证数据不可恢复。

七、运行安全

运行安全的目标是保证网络信息系统日常运行的安全稳定，对运行环境、技术支持、操作使用、病毒防范、备份措施、文档建立等方面实施安全性管理。

（一）系统维护应由信息技术科授权的机构和人员进行，现场的实施应由信息技术科工作人员陪同和监督。

（二）系统的开发、测试和运行系统应进行有效分离，不允许在运行系统上直接进行开发、测试和修改工作。

    （三）系统应定期进行安全日志的审计，至少每个月要进行一次安全日志的分析和审计工作。