本方案針對浙江移動網管中心所涉及的所有小業務平臺的安全管理，方案涉及的內容包含機房安全管理，機房核心網絡的安全，小業務系統平臺的安全。

第一章 機房的安全管理

加強對通信機房的安全管理，杜絕人為因素對通信機房造成影響，為通信設備提供安全的運行環境，保證機房內設備處于最佳運行狀態。

1.1 機房環境管理

1.機房應建立防塵緩沖帶，備有工作服和工作鞋。

2.所有人員進機房操作時應穿工作鞋。

3.機房應防塵，窗戶必須全密封、遮光。環境要整潔、設施擺放整齊。

4.機房內的溫度、濕度應符合維護技術指標要求，保持正常通風。

5.機房應有良好防靜電措施。

6.機房照明設施工作正常，機房照明與設備用電分開。機房照明應有應急備用，各類照明設備要由專人負責，定期檢修.

7.機房應做好防水、防火、防爆、防盜、防雷、防凍、防潮等工作。

1.2 機房設備管理

1.機房內嚴禁從事與工作無關的各項工作，嚴禁飲食、睡覺、閑談。各種與工作無關的書刊、報紙不準帶入機房。

2.存放運輸各種計費帶、光盤、后備帶、軟盤等應有防磁屏蔽及保護設施。

3.機房維護終端不可安裝各種與設備維護無關的應用程序，不可使用外來磁盤進行數據拷貝。維護終端應該有明確的防病毒措施，定期進行檢查。

4.機房內各種圖紙、文件、工具、儀表未經允許不準擅自帶出機房，使用后歸還原處。

5. 因公司機房大部分為無人值守機房，所以必須安裝環境監視告警裝置，告警裝置要與監控中心相連，網絡維護中心應有專人負責動力環境監控系統的管理工作，動力環境監控系統的監測應實行24小時值班，使發生火警、濕度、溫度、煙霧、門鈴、電源、空調等告警信號時及時處理。

6.網絡維護中心定期派人對機房及設施進行巡視檢查。在狂風雷雨等惡劣天氣前后應加強巡視檢查，以確保通信機房內外環境的良好與安全。

7.搶修車輛應定期檢查，如有損壞應及時維修，確保搶修需要。

1.3 機房安全管理

1.進入機房的業務廠家人員或是協維人員都必須通過浙江移動的安全知識考試。

1.業務廠家要進入機房，首先要由相應業務平臺負責人以郵件的發送至移動網管中心，由網管中心申請作業計劃之后，在協維人員陪同之下，方可進入機房或者通過網管中心機房管理人員派發紙質工單給廠家，在協維人員陪同下，方可進入機房進行作業。

2.協維人員若因故離職，協維公司必須將有關證件（協維資格證、機房出入證等）交還發證部門，并每月通報協維人員變動情況，所有協維人員應嚴格遵守浙江移動的各項規章制度，網絡維護中心各專業室應對所管理的協維人員進行安全生產方面的考核。

3.機房（包括網絡維護中心辦公場地）禁止吸煙，嚴禁存放和使用易燃易爆、劇毒及腐蝕性物品。

4.維護人員應切實遵守安全制度，認真執行用電、防火的規定，做好防水、防火、防爆、防盜、防雷、防凍、防潮等工作，確保人身和設備的安全。

5.機房值班人員和維護人員應加強防火安全學習，定期進行安全防火檢查。一旦發生火情，應按公司制定的滅火流程進行處理，并立即報告。

6.機房必須配備一定數量的合適消防器材和防護用具。各種消防器材和防護用具應按規定定點放置，隨時保持有效，加強對消防設備代維公司的管理，機房走線孔洞必須用防火泥進行封堵、過期的滅火裝置及時更換。機房值班保安人員和維護人員應掌握滅火常識和消防器材的使用。

7.各類機房應有可靠避雷裝置, 雷雨季節應加強對機房內部安全設備、地線及防護電路的檢修和整改。

8.在維護、測試、磁帶更換、光盤更換、故障處理、日常操作以及工程施工等工作中, 應采取預防措施, 防止造成工傷和通信事故。

9.所有人員在離開機房時，都必須清理機房，完成之后方可離開機房。

第二章 機房核心網絡安全

2.1 機房網絡設備的管理

1.機房內核心網絡設備，接入IP網管

2.協維人員不得私自連接核心網絡設備，進行上傳或是下載。不得訪問敏感網站。

3.協維人員定期備份網絡配置，同時修改配置前都必須備份當前配置。

4.核心網絡設備的賬號管理：由協維團隊專人進行管理，所有的操作都必須有此人進行。

第三章 業務平臺的安全管理

小業務平臺的安全管理涉及協維團隊和業務廠家，協維團隊和業務廠家都掌握了業務平臺的部分賬號和權限。

3.1 協維團隊職責

針對小業務平臺的安全管理制度包含的機房設施安全，信息安全，操作安全等，為保障增值業務平臺連續、穩定運行，除了做好平臺設備監控、例行檢查、日常維護等工作外，還需要加強協維團隊的安全管理。

3.1.1 制度約束

第一條? 協維團隊成員需要和中國移動浙江公司及公司簽訂保密協議，保密協議中包含業務平臺的帳號信息、用戶隱私信息、企業敏感信息等。以下針對協維團隊成員的安全制度，所有成員務必遵守。

第二條? 任何員工不得制造或者故意輸入、傳播計算機病毒和其他有害數據，不得利用非法手段復制、截收、篡改計算機信息系統中的數據。

第三條? 協維人員禁止利用掃描、監聽、偽裝等工具對網絡和服務器進行惡意攻擊，禁止非法侵入他人網絡和服務器系統。

第四條? 增值業務平臺網絡設備、操作系統、以及數據庫超級用戶帳號由協維團隊專人進行統一管理、設置和分配并上報協維綜合管理員審核，針對各維護管理員設置相應的隨機編號與身份證信息來分配賬號。Root賬號須由專人進行管理。

第五條? 協維人員不得以任何理由修改和刪除系統和數據庫的各項日志，同時日志需要雙機備份。需要清理日志的時候，須提出申請并備份日志，待審計之后方可清理日志。

第六條? 小業務平臺的資料涉及用戶和企業隱私和敏感信息，應該為文件加密，非工作需要不得以任何形式轉移，更不得透露給他人。離開原工作崗位的員工由項目經理負責將其所有工作資料收回并保存。

第七條? 小業務廠家未做好備份前不得刪除任何硬盤數據。對重要的數據應準備雙份，存放在不同的地點；對采用磁性介質或光盤保存的數據，要定期進行檢查，定期進行復制，防止由于磁性介質損壞，而使數據丟失；做好防磁、防火、防潮和防塵工作。

第八條? 協維團隊將有針對性地對員工各項應用技能進行定期或不定期的培訓，培訓成績將記入員工績效考核；由各維護管理員收集小業務平臺系統常見故障及排除方法并整理成冊，供員工學習參考。

第九條 有以下情況之一者，視情節嚴重程度處以1000元以上罰款。構成犯罪的，依法追究刑事責任。

①制造或者故意輸入、傳播計算機病毒以及其他有害數據的；

②非法復制、截收、篡改計算機信息系統中的數據危害計算機信息系統安全；

③對網絡和服務器進行惡意攻擊，侵入他人網絡和服務器系統；

④訪問未經授權的文件、系統或更改設備設置；通過計算機系統或是增值業務平臺獲取私利的。

⑤擅自調整機房內部設備的安排且未向安全管理員備案；

⑥利用職位之便，私自泄露平臺用戶隱私和企業敏感信息的；

⑦相同故障出現三次以上（包括三次）仍無法自行處理的；

第十條 ?維護管理員因主觀操作不當對設備造成破壞兩次以上或蓄意對設備造成破壞的，視情節嚴重，按所破壞設備市場價值的20%~80%賠償，并給予行政處罰。

3.1.2? 思想約束

針對協維團隊所有的成員，定期進行信息安全技術培訓和信息安全知識宣傳，就最新的信息安全技術普及到每個人；同時針對發生信息安全事故的案例進行分析和風險評估。培訓計劃：至少1月/次。

協維團隊每個月會對所有成員進行考核，考核內容中包含信息安全把控度，將此作為考核中最重要的考核標準，并納入個人的勞動報酬體系當中。

一旦發生安全事故將

3.1.3 操作約束

協維人員由于掌握著部分業務平臺的帳號密碼，擁有系統和數據庫的操作權限。以下針對業務平臺的帳號和操作權限進行約束說明：

小業務平臺涉及的所有賬戶和密碼信息有協維團隊專人進行管理，維護負責人員無創建用戶的權限，如果有人員變動或者需要申請創建用戶權限，由安全管理員進行創建并分配相應的權限。維護負責人只擁有部分維護權限，如果有特殊需要，須提出申請由安全管理員分配臨時的操作權限，并在操作完成之后，即刻收回操作權限。

小業務平臺類的帳號和密碼規則：帳號信息需要根據維護人員的公司以個人身份信息進行綁定分配；密碼的長度必須大于10位，同時須包含數字，字母和特殊字符等的組合密碼。建議所有的密碼進行二層加密進行保存，防止黑客攻擊之后獲取密碼。

維護帳號不得以任何形式提供給他人使用。

3.1.4 日志審計

針對小業務系統包含很多的日志，協維人員無日志操作權限（添加，修改，刪除等），登錄系統的帳號都將對應各自的登錄日志和操作日志。協維團隊日志審計員，定期系統產生的各項日志進行審計。并根據實際情況，對各個帳號的操作進行風險評估，風險比較大的操作，收回其操作權限。

根據審計結果，針對協維團隊所有維護員，進行調崗和信息安全評選。

如果在審計過程中，發現維護員利用職位之便，泄露和傳播用戶隱私的相關操作，將立即停職查看，根據行為影響給予相應的處罰。

3.1.5 權限管理

權限管理將被分離出來，作為獨立的一塊進行管理。以下是實例，為

Shfy5715用戶可以使用到的系統管理命令:

ls,ps,top,free,df,ifconfig,netstat,kill,tail,rm,vi,mv,date,mount,umount,iptables,tar,gzip,crontab,tcpdump,ping,traceroute,mtr,cat,cut,which,cp,ftp,telnet,ssh,who,w,last,hwclock,mkdir,touch,du,hwclock,pwd,scp,sftp,/etc/init.d/httpd start,/etc/init.d/httpd stop

shfy0000命令可以使用的系統管理命令

ls,ps,top,free,df,ifconfig,netstat,kill,tail,date,iptables,tar,gzip,crontab,tcpdump,ping,traceroute,mtr,cat,which,cp,ftp,telnet,ssh,who,w,last,hwclock,mkdir,touch,du,hwclock,pwd,scp,sftp,/etc/init.d/httpd start,/etc/init.d/httpd stop,rm

3.1.6 接入4A系統

增值業務平臺若配置symark系統，協維人員登陸系統前都必須登陸浙江移動的symark系統，對系統的登陸及操作都會在symark上留下日志，可以追查到個人。安全管理員對symark系統日志進行審計時，以安全管理員帳號登陸symark日志審計界面，對相關日志進行審計。

增值業務平臺未配置symark系統，協維人員所作操作記錄將保留在設備操作日志中。安全管理員登陸網管系統對相關日志進行審計。

3.1.7? 檢舉制度

協維團隊所有維護人員，保障業務系統的正常運行的同時，兼對信息的系統的安全進行管理。同時接受業務廠家和各業務維護員的公開檢舉。如有此類情況發生，將嚴格按照國家相關法令對其進行處罰。

3.2 業務廠家職責

3.2.1 帳號安全

業務廠家由于是軟件提供商，持有應用層軟件普通用戶帳號和部分測試帳號，以及維護帳號，數據庫帳號。廠家必須維護帳號安全，不得以任何理由和方式進行泄露。此部分帳號擁有的權限按照實際情況進行授權。

3.2.2? 操作授權

業務廠家需要對系統進行高權限操作時，須提交申請至浙江移動網管中心，進行審批之后，由安全管理員進行相關授權。完成操作時，由安全管理員收回操作權限。并針對當前操作進行檢查。

業務廠家不得進行危害系統安全或與平臺業務無關的操作。日志審計員定期對業務系統進行審計，提取業務系統相關信息。

發布相關系統漏洞、補丁信息。