东北亚镁质材料中心数据及信息安全管理制度

二〇一三年五月

目  录

一、数据及信息管理机构设置制度       1

二、交易数据安全管理制度                 4

三、网络安全管理制度                        7

四、系统安全管理制度                        10

五、备份和恢复管理制度                     12

六、恶意代码和病毒防范管理制度       13

七、文档资料管理规定                        16

标准维护与解释                                  16

附相关表格                                         17

一、数据及信息管理机构设置制度

1.总则

东北亚镁质材料交易中心（以下简称“中心”）的信息管理由相关本单位主管领导负责，成立信息管理工作组，数据中心负责具体的信息管理工作，主要工作包括：

制定信息工作总体目标、范围、原则，并负责信息化建设具体实施；

制定中心信息化建设总体方案、为中心领导提供中心信息化建设建议；

制定、执行中心信息化工作计划；

制定中心信息化工作的总体方针和策略；

制定信息信息化工作的总体目标、范围、原则和框架；

对信息管理活动中重要的管理内容建立管理制度；

对信息化管理人员或操作人员执行的重要管理操作建立操作规程；

应定期对数据中心管理制度进行评审，对存在不足或需要改进的数据中心管理制度进行修订。

2.人员设置

2.1.根据实际业务的需求，设置系统管理员、网络管理员、安全管理员、数据库管理员等；

2.2.安全管理员不能兼任网络管理员、系统管理员、数据库管理员等；

2.3.可以根据需要设定相应的技术专家团队，负责网络的整体安全运行。

3.岗位设置

3.1.设立信息主管岗位，由本单位负责信息管理的主管领导分担；

3.2.设立系统管理员、网络管理员、安全管理员等岗位；

3.3.系统管理员的岗位职责：

制定信息系统硬件、系统软件使用、维护等管理制度；

负责本单位信息系统硬件和系统软件的维护和管理工作；

根据各部门信息系统硬件好系统软件的需求情况，协助数据中心主管拟订购置、更新计划，制定实施方案；

负责信息流程对业务流程的反馈与再优化工作；

完成领导交办的其他工作。

3.4.网络管理员的岗位职责：

制定本单位网络信息系统的网络发展规划和相关管理制度；

实施本单位网络系统的安全措施与保障策略，维护系统正常运行；

负责本单位相关人员网络技术培训工作；

完成领导交办的其他工作。

3.5.安全管理员的岗位职责：

制定本单位网络信息系统的网络发展安全规划和相关安全管理制度；

制定本单位网络系统的安全措施与保障策略，维护系统正常运行；

负责网络的漏洞扫描、病毒库升级更新和病毒、漏洞、恶意代码的预警等；

负责本单位相关人员信息安全技术培训工作；

完成领导交办的其他工作。

4.授权和审批

4.1.信息管理工作组负责相关部门和岗位的设定，是本单位信息管理工作的领导机构，负责对网络的运行、改造、访问等各种关键活动的审批工作；

4.2.数据中心负责具体实施网络运行、改造、访问授权等的工作，并且严格把关，确保网络的安全稳定运行；

4.3.网络改造、设备投入运行、升级等等重大事项要明确进行立项、审批、计划、实施、测试、验收的流程进行，同时流程的各个关键环节要输出相应的文档，经过相关领导的签字确认。

5.沟通和合作

5.1.信息系统的管理是个系统工程，系统的管理和安全不仅仅是系统管理员、网络管理员、和安全管理员几个人的事情，需要全部信息系统人员的参与才能确保系统的安全稳定；

5.2.信息系统的安全由信息安全管理小组统一管理，本单位的相关部门需要密切配合，加强内部的合作与沟通，数据中心负责技术支持和管理；

5.3.加强与国家卫生、保密、公安、通信等单位的外部的合作与沟通。

6.审核和检查

6.1.安全管理员职责是负责定期进行安全检查；

6.2.检查内容包括系统日常运行、系统漏洞和数据备份等情况。

二、交易数据安全管理制度

1.交易数据的存储

1.1.交易中心现货交易系统所有交易数据，保存于交易中心数据中心专用存储设备中，由数据中心负责数据的日常管理、维护、存储和备份工作；

1.2.每日交易系统闭市后，由当天数据中心运维工程师负责交易系统闭市回写工作，回写过程严格按照操作规范进行数据试算和校验，确保完成当天交易数据写入数据库，并对整库数据进行数据日备份工作；

1.3.数据中心运维人员定期对存储设备、存储服务器、数据库核心服务器进行检查，确保交易数据的存储安全。

2.交易数据的备份

2.1.交易数据库按照日、周、半月的备份频率进行备份管理，即：交易日进行当日全库备份，周、半月以增量备份的方式进行本地备份操作；

2.2.数据中心备份服务器每日对全交易系统进行应用及数据库增量备份，数据中心运维人员负责检查备份服务器备份策略的运行情况；

2.3.完成数据备份工作后，将数据库备份文件备份至其他存储介质，进行归档封存，备份介质未经授权不得使用和访问；

2.4.按照相关监管部门的要求，交易数据及其备份文件需保存5年以上。

3.交易数据的传输和控制

3.1.交易中心实行严格的内外网隔离策略，交易系统所在的生产网络与日常工作人员使用的办公网络严格物理隔离，数据中心负责对两网的运维工作，保障生产网络带宽，保证交易数据的传输效率；并对办公网络进行实时监控和管理，未经授权不得跨网使用相关信息系统、办公设备及移动存储，以保证生产网络的安全；

3.2.数据在交易系统各个组件间传输时，交易系统自带数据检查功能，确保传输数据的完整性、准确性、合理性。数据中心负责对交易系统运行情况进行检查、记录，发现问题立即处理；

3.3.数据中心负责维护网络设备设置及限制访问权限和安全策略，严格控制数据传输路径。严禁未经授权的访问和数据传输；

3.4.数据中心负责对数据传输路径的设置和运行情况进行规范化记录，并定期进行网络运行、网络安全情况的评估，确保交易数据传输满足安全性要求；

3.5.数据中心负责对第三方连接进行数据传输的监督管理及维护工作，对于第三方数据接口必须独立设置网络安全设备或策略，数据传输必须经过加密和校验处理以保证数据安全性和完整性；

3.6.数据中心为交易中心内部管理部门设置独立的交易系统使用权限，防止数据未经授权的访问、修改。并通过MD5技术，保证数据传输过程中不被非法获取。

4.安全保密和密码管理

4.1.未经许可中心内的人员不得向外泄漏本单位的网络拓扑结构、设备配置参数、网络用户名称和密码等其他保密的资料文档。

4.2.不同岗位人员不得超越权限使用或者盗取别人的密码和其他资料。

4.3.中心内所有设备都要求有口令设置，而且要求满足安全要求，并且要求定期对口令进行更新。

4.4.严格控制远程用户尤其是外部用户的操作，如果必须进行远程连接或者控制，必须选择使用符合国家密码管理规定的密码技术和产品进行线路加密。

4.5.严格保护一切用户合法的账号资料和信息，并且要专人专用，防止泄漏。

4.6.禁止将中心内未经检查而且带有机密信息的设备带出中心。除非将其进行了必要的安全处理。

4.7.对于涉及保密的媒体及其介质要严格保管和存放，要求有专人保管，同时履行严格的借用手续。

4.8.严禁泄露所管理的客户及应用资料。

三、网络安全管理制度

1.网络设备使用安全制度

1.1.网络设备必须放置并固定于配线柜中，放置配线柜的房间要求通风良好、消防设施齐备，并由专人看管。

1.2.网络设备必须提供不间断电源以防止电源波动对网络设备的冲击。应正确使用电源（含UPS），电源在接地方面要符合要求避免因电压不稳或接地不良而损坏网络设备。

1.3.严格执行网络设备防火、防电、防雷规定，预防火电侵害，重要网络设备要接地，确保人身和网络设备的安全。

1.4.长时间不用网络设备，应关闭设备电源。

1.5.网络设备需要定期更换管理口令，严禁网络管理员将口令告知无关人员。

2.网络设备使用操作规程

2.1.应定期对网络系统进行漏洞扫描，对发现的网络系统安全漏洞进行及时的修补，网络设备如能进行自动进行升级和修补就自动进行，如果无法自动进行的，网络管理员或者安全管理员需要根据相关厂家发布的设备升级和补丁信息，决定是否进行网络相关设备的升级等维护，升级和打补丁需要提供详细的申请、计划、方案、测试方案以及应急措施等内容，重大设备的升级和打补丁需要设备厂家人员进行的，网络管理员需要提出申请审批后，确认方案可行性以及针对相关的业务无任何影响的情况下才能进行，并做好应急措施，同时做好相关系统的数据备份。

2.2.网络设备的日志信息、网络监控记录需要定期的检查和转存，以检查网络的运行情况、网络被攻击等事件以及相关的设备告警等信息，为设备的维护提供详细的信息，网络日志要存储6个月以上，以备网络故障等检查。

2.3.网络设备的系统软件、配置文件等要随时备份，网络设备数据修改后确认后要随时存储到设备的Flash中保存，避免启动后配置数据的丢失，并且随时进行备份，备份服务器可以选择网络上的专用的备份计算机，启动FTP Server或者TFTP Server进行。

2.4.本单位数据中心定期将节点主要网络设备运行情况上报本单位信息安全主管领导；

2.5.只有经过专业培训的工作人员才允许对网络设备参数进行调整或对硬件设施进行维护；

2.6.未经网络管理员批准，任何人不得改变网络拓扑结构、网络设备布置、服务器、路由器、防火墙、交换机等设备的配置和网络参数。

2.7.任何人不准私自使用网络上的设备通过无线等方式进行外联操作，允许外联的设备要经过审批方可进行。

2.8.任何人不得进入未经许可的服务器系统更改系统信息和用户数据，共享硬盘、目录；

2.9.局域网上任何人不得利用计算机技术侵占用户合法利益，不得制作、复制、和传播妨害单位稳定的有关信息；

2.10.数据中心定期对本单位网络数据进行备份以便发生故障时进行恢复；

2.11.若发生重大网络故障，各单位应在先期处置的基础上，并在2小时内上报数据中心；

2.12.网络设备的安装、调试完成以后，管理员应该及时修改或提醒修改网络设备的管理员口令，删除不必要的用户；

2.13.不得向非本本单位人员提供网络的有关技术配置等信息（例如IP地址、网络安全配置等）；

2.14.对需要保密的重要数据，严禁以明文方式在网上传输，必须采取有效的加密、认证、数据签名等措施。严禁在网上浏览、传播反动、不健康的信息。

四、系统安全管理制度

1.根据业务需求本单位的业务需求，针对本单位的业务系统进行安全分析，细化系统各种资源访问控制策略，有效应对系统的各种风险；

2.定期对操作系统系统、数据库、防火墙、IDS、交换机等进行漏洞扫描，对发现的系统安全漏洞及时进行修补；

3.及时检查系统的最新补丁情况，根据需要安装系统的最新补丁程序，特别是针对系统漏洞和高危的补丁要及时进行修补，在安装系统补丁前，应首先在测试环境中测试通过，并对重要文件进行备份后，方可实施系统补丁程序的安装；

4.对系统进行定期巡检，巡检内容：

5.检查系统硬件情况：设备故障灯是否有亮；

6.系统错误报告；

7.检查日志定期对日志进行分析，同时将日志进行转存和截断；

8.关键系统的文件使用率不大于80% ；

9.内存交换区使用率是否超过70% ；

10.检查备份情况（有否系统备份、用户数据备份、磁带机是否需要清洗）；

11.通信（网卡、IP、路由表、设置等）；

12.是否有数据保护方式如RAID10/RAID5,是否有Hot spare ；

13.检查系统参数是否正确；

14.如有数据库：Aio:available；

15.机房环境（电压、湿度）；

16.系统性能：有否性能瓶颈；

17.补丁程序、杀毒软件病毒库（是否需要升级）；

18.检查系统的应用中无关的应用和端口使用情况，发现异常要及时进行诊断和处理；

19.系统要及时进行加固，包括补丁、漏洞等方面；

20.数据库系统检查系统的表和空间的占用情况、索引的使用情况、事务和会话的使用情况、系统的安全配置项等相关部分。

21.建立日常操作规程，系统管理员、安全管理员等可以根据需要根据相应的日常操作规程进行维护，同时针对操作要记录详细的操作日志，包括重要的日常操作、运行维护记录、参数的设置和修改等内容，严禁进行未经授权的操作；

22.系统进行拓扑改变、功能性增加或者扩容、操作系统和数据库以及重要应用升级改造等重大系统的变动，都需要制定详细的计划，提请相关领导审批后，制定详细的可实施方案，内容包括项目的原因、目标、详细的计划、应急措施等，同时针对新功能下发相应的通告，说明此次项目的相关信息，同时组织相关的培训；

23.系统开启审计功能，并定期对运行的审计数据进行分析，以便及时发现异常行为，如果因为审计功能的开启影响了系统的运行，应提出相应的解决方案，如系统的升级增加CPU和内存的配置、优化系统的软件和应用软件等措施。

五、备份和恢复管理制度

1.系统备份制定详细的备份和恢复的策略，详细说明备份的编号、内容、方式、时间、备份介质、备份负责人和备份的命令，包括各个操作系统、数据库、重要的应用和数据、系统日志和审计日志、网络设备的系统软件和配置文件等等相关的部分，要详细填写备份和恢复登记表，将备份的介质按照登记表详细填写备份的编号，妥善保管。

2.针对重要业务、系统数据和系统软件、应用软件等定期进行系统备份，制作系统启动带，对系统数据和软件备份策略可以采用保留最后5个版本的方式，减少备份介质的占用；

3. 系统备份中可以使用带库的海量存储介质进行，备份可以根据顺序号和时间形成多个版本，备份的时间可以选择在业务量最小的午夜，但在月底进行月结的时候可以考虑增大备份间隔时间的策略；

4.备份的介质，如果是带库，根据备份的情况，定期将备份的带放到安全的地方保存，介质移动时要考虑环境因素，避免磁性物质的影响而造成备份介质失效，或者带库足够大，可以考虑循环进行的方式进行；如果备份的是光盘等介质，要注意建立光盘库，并根据备份的顺序和时间详细填写备份登记表；

5.备份的频率，操作系统的备份可以在系统稳定运行进行系统的全备份，制作系统启动带，每次升级或者打补丁稳定后进行一次系统的全备份，重新制作系统启动带，针对应用和数据的备份，可以一周备份一次，重要的数据考虑每天备份；

6.备份介质的保存期限最少要5年。

六、恶意代码和病毒防范管理制度

1.总则

1.1.随着信息化建设的不断深入，信息系统的安全稳定运行已成为本单位顺利开展各项工作的重要保证，为加强我本单位计算机病毒防范和恶意代码防范管理工作，特制定本办法。

1.2.计算机病毒防范工作的基本任务是：预防、处理各种计算机病毒，提高计算机信息系统的整体安全性，提高全算机使用人员的防病毒意识，落实防毒责任；

1.3.计算机病毒是指隐藏在计算机系统软件程序和数据资源中，利用系统软件程序和数据资源进行繁殖并生存，能影响计算机系统正常运行，并通过系统的软件和数据共享的途径进行传染的一类攻击性程序；

1.4.本办法适用于接入本单位网络的所有计算机用户和未接入本单位网络的计算机；

1.5.数据中心以定期常规检查与特别日期专项检查、集中检查与分散检查相结合的方式，负责对计算机病毒防范管理办法实施情况的检查；

1.6.恶意代码也叫不必要代码（Unwanted Code），是指没有作用却会带来危险的代码，一个最安全的定义是把所有不必要的代码都看作是恶意的，不必要代码比恶意代码具有更宽泛的含义，包括所有可能与某个组织安全策略相冲突的软件；

1.7.恶意代码的防范可安装使用防恶意代码软件解决，需专人负责检测分析结果，并保存检测记录；

1.8.对防恶意代码软件需授权使用，恶意代码库自动升级。

2.防病毒、防恶意代码管理职能

2.1.数据中心是本单位防病毒、防恶意代码体系的管理部门，其职能：

负责进行相关工作的规划和指导，监控防病毒、恶意代码工作的开展；

负责防病毒、恶意代码软件的选择、采购、升级等相关管理；

了解计算机病毒发展的最新动态，发布计算机病毒预警通报，并且在破坏性较大的计算机病毒发作日期前，及时通知有关部门作好防范准备；

负责处理防病毒、恶意代码软件的技术问题，对病毒疫情提出处理方案，指导有关部门实施；

负责进行全局防病毒主服务器和病毒特征码的更新；

负责全局计算机使用人员防病毒知识的培训。

2.2.任何人不得在本单位局域网上制造传播任何计算机病毒，不得故意引入病毒；

2.3.网络使用者发现病毒应立即向网络管理员报告以便获得及时处理；

2.4.对新发现的病毒种类和发生的重大安全事故，应及时报告相关部门并按有关规定上报公安部门备案；

2.5.网络服务器的病毒防治由网络管理员负责，各部门的工作站和计算机病毒的防治由各部门指定专人负责，网络管理员可以进行指导和协助；

2.6.各部门应定期查毒，并对杀毒软件进行在线升级。

3.防病毒管理要求

3.1.本单位所有计算机必须安装经过数据中心评估和检测的防病毒软件；

3.2.计算机使用人员每天查看防病毒软件是否正常工作，按要求及时升级。数据中心负责监督、检查防病毒软件的升级情况；

3.3.任何人不得制造、传播、复制计算机病毒，不得在防病毒软件监视器关闭的情况下使用计算机；

3.4.使用internet接收电子邮件时，不得随意打开来历不明或可疑的电子邮件。使用办公自动化系统发送带有附件的邮件时，在发送前应先杀毒，接收时要先拆离到本地杀毒；

3.5.安装软件需先进行计算机病毒检查，确认无计算机病毒后方可安装使用。严禁下载来历不明的软件及使用未经清查的移动介质；

3.6.接入局域网的计算机禁止以任何方式与其它网络进行物理连接。

七、文档资料管理规定

1.指定专人负责数据中心机房资料文档的管理，主要职责是建立、收集、整理、更新中心机房的资料文档以备其它管理员查用。要求忠于职守，严格遵守《数据中心安全保密制度》。

2.各个组负责自己业务范围内资料的提供整理工作，提交要及时和全面。文档管理人员有责任督促文档的提交。

3.本单位网络拓扑资料包括：本单位大网的核心及骨干拓扑、在业务范围内的各分本单位（依据合同）、集团大楼的网络拓扑，并且每当发生更新都应在2周内对相关资料进行更新。

4.网络设备的配置详单：要求除了协议的配置外，应详尽到设备简图中每一个端口连接的vlan、另一端的位置及所连接设备。

5.服务器文档管理要求：服务器的型号、配置、进入机房的时间、业务、主要业务负责人、操作系统版本、物理位置和网络位置、主要应用程序的版本、当前的管理员、配置清单、维护记录等。

6.UPS、空调、门禁、主控台、监控等一系列设备应有原始资料、组成部件、电源走线图等必要文档。

7.对于接管的服务、服务的说明和维护培训等，由项目的开发者提供相应的文档。接管后由具体的负责人对接管的服务在2周内建立档案，对以后发生的升级和维护应做详尽的升级维护记录，及时把相关的文档交给文档管理员统一保管。

标准维护与解释

1.本制度的解释权归东北亚镁质材料交易中心；

2.本制度自签发之日起生效。