本方案针对浙江移动网管中心所涉及的所有小业务平台的安全管理，方案涉及的内容包含机房安全管理，机房核心网络的安全，小业务系统平台的安全。

第一章 机房的安全管理

加强对通信机房的安全管理，杜绝人为因素对通信机房造成影响，为通信设备提供安全的运行环境，保证机房内设备处于最佳运行状态。

1.1 机房环境管理

1.机房应建立防尘缓冲带，备有工作服和工作鞋。

2.所有人员进机房操作时应穿工作鞋。

3.机房应防尘，窗户必须全密封、遮光。环境要整洁、设施摆放整齐。

4.机房内的温度、湿度应符合维护技术指标要求，保持正常通风。

5.机房应有良好防静电措施。

6.机房照明设施工作正常，机房照明与设备用电分开。机房照明应有应急备用，各类照明设备要由专人负责，定期检修.

7.机房应做好防水、防火、防爆、防盗、防雷、防冻、防潮等工作。

1.2 机房设备管理

1.机房内严禁从事与工作无关的各项工作，严禁饮食、睡觉、闲谈。各种与工作无关的书刊、报纸不准带入机房。

2.存放运输各种计费带、光盘、后备带、软盘等应有防磁屏蔽及保护设施。

3.机房维护终端不可安装各种与设备维护无关的应用程序，不可使用外来磁盘进行数据拷贝。维护终端应该有明确的防病毒措施，定期进行检查。

4.机房内各种图纸、文件、工具、仪表未经允许不准擅自带出机房，使用后归还原处。

5. 因公司机房大部分为无人值守机房，所以必须安装环境监视告警装置，告警装置要与监控中心相连，网络维护中心应有专人负责动力环境监控系统的管理工作，动力环境监控系统的监测应实行24小时值班，使发生火警、湿度、温度、烟雾、门铃、电源、空调等告警信号时及时处理。

6.网络维护中心定期派人对机房及设施进行巡视检查。在狂风雷雨等恶劣天气前后应加强巡视检查，以确保通信机房内外环境的良好与安全。

7.抢修车辆应定期检查，如有损坏应及时维修，确保抢修需要。

1.3 机房安全管理

1.进入机房的业务厂家人员或是协维人员都必须通过浙江移动的安全知识考试。

1.业务厂家要进入机房，首先要由相应业务平台负责人以邮件的发送至移动网管中心，由网管中心申请作业计划之后，在协维人员陪同之下，方可进入机房或者通过网管中心机房管理人员派发纸质工单给厂家，在协维人员陪同下，方可进入机房进行作业。

2.协维人员若因故离职，协维公司必须将有关证件（协维资格证、机房出入证等）交还发证部门，并每月通报协维人员变动情况，所有协维人员应严格遵守浙江移动的各项规章制度，网络维护中心各专业室应对所管理的协维人员进行安全生产方面的考核。

3.机房（包括网络维护中心办公场地）禁止吸烟，严禁存放和使用易燃易爆、剧毒及腐蚀性物品。

4.维护人员应切实遵守安全制度，认真执行用电、防火的规定，做好防水、防火、防爆、防盗、防雷、防冻、防潮等工作，确保人身和设备的安全。

5.机房值班人员和维护人员应加强防火安全学习，定期进行安全防火检查。一旦发生火情，应按公司制定的灭火流程进行处理，并立即报告。

6.机房必须配备一定数量的合适消防器材和防护用具。各种消防器材和防护用具应按规定定点放置，随时保持有效，加强对消防设备代维公司的管理，机房走线孔洞必须用防火泥进行封堵、过期的灭火装置及时更换。机房值班保安人员和维护人员应掌握灭火常识和消防器材的使用。

7.各类机房应有可靠避雷装置, 雷雨季节应加强对机房内部安全设备、地线及防护电路的检修和整改。

8.在维护、测试、磁带更换、光盘更换、故障处理、日常操作以及工程施工等工作中, 应采取预防措施, 防止造成工伤和通信事故。

9.所有人员在离开机房时，都必须清理机房，完成之后方可离开机房。

第二章 机房核心网络安全

2.1 机房网络设备的管理

1.机房内核心网络设备，接入IP网管

2.协维人员不得私自连接核心网络设备，进行上传或是下载。不得访问敏感网站。

3.协维人员定期备份网络配置，同时修改配置前都必须备份当前配置。

4.核心网络设备的账号管理：由协维团队专人进行管理，所有的操作都必须有此人进行。

第三章 业务平台的安全管理

小业务平台的安全管理涉及协维团队和业务厂家，协维团队和业务厂家都掌握了业务平台的部分账号和权限。

3.1 协维团队职责

针对小业务平台的安全管理制度包含的机房设施安全，信息安全，操作安全等，为保障增值业务平台连续、稳定运行，除了做好平台设备监控、例行检查、日常维护等工作外，还需要加强协维团队的安全管理。

3.1.1 制度约束

第一条  协维团队成员需要和中国移动浙江公司及公司签订保密协议，保密协议中包含业务平台的帐号信息、用户隐私信息、企业敏感信息等。以下针对协维团队成员的安全制度，所有成员务必遵守。

第二条  任何员工不得制造或者故意输入、传播计算机病毒和其他有害数据，不得利用非法手段复制、截收、篡改计算机信息系统中的数据。

第三条  协维人员禁止利用扫描、监听、伪装等工具对网络和服务器进行恶意攻击，禁止非法侵入他人网络和服务器系统。

第四条  增值业务平台网络设备、操作系统、以及数据库超级用户帐号由协维团队专人进行统一管理、设置和分配并上报协维综合管理员审核，针对各维护管理员设置相应的随机编号与身份证信息来分配账号。Root账号须由专人进行管理。

第五条  协维人员不得以任何理由修改和删除系统和数据库的各项日志，同时日志需要双机备份。需要清理日志的时候，须提出申请并备份日志，待审计之后方可清理日志。

第六条  小业务平台的资料涉及用户和企业隐私和敏感信息，应该为文件加密，非工作需要不得以任何形式转移，更不得透露给他人。离开原工作岗位的员工由项目经理负责将其所有工作资料收回并保存。

第七条  小业务厂家未做好备份前不得删除任何硬盘数据。对重要的数据应准备双份，存放在不同的地点；对采用磁性介质或光盘保存的数据，要定期进行检查，定期进行复制，防止由于磁性介质损坏，而使数据丢失；做好防磁、防火、防潮和防尘工作。

第八条  协维团队将有针对性地对员工各项应用技能进行定期或不定期的培训，培训成绩将记入员工绩效考核；由各维护管理员收集小业务平台系统常见故障及排除方法并整理成册，供员工学习参考。

第九条 有以下情况之一者，视情节严重程度处以1000元以上罚款。构成犯罪的，依法追究刑事责任。

①制造或者故意输入、传播计算机病毒以及其他有害数据的；

②非法复制、截收、篡改计算机信息系统中的数据危害计算机信息系统安全；

③对网络和服务器进行恶意攻击，侵入他人网络和服务器系统；

④访问未经授权的文件、系统或更改设备设置；通过计算机系统或是增值业务平台获取私利的。

⑤擅自调整机房内部设备的安排且未向安全管理员备案；

⑥利用职位之便，私自泄露平台用户隐私和企业敏感信息的；

⑦相同故障出现三次以上（包括三次）仍无法自行处理的；

第十条  维护管理员因主观操作不当对设备造成破坏两次以上或蓄意对设备造成破坏的，视情节严重，按所破坏设备市场价值的20%~80%赔偿，并给予行政处罚。

3.1.2  思想约束

针对协维团队所有的成员，定期进行信息安全技术培训和信息安全知识宣传，就最新的信息安全技术普及到每个人；同时针对发生信息安全事故的案例进行分析和风险评估。培训计划：至少1月/次。

协维团队每个月会对所有成员进行考核，考核内容中包含信息安全把控度，将此作为考核中最重要的考核标准，并纳入个人的劳动报酬体系当中。

一旦发生安全事故将

3.1.3 操作约束

协维人员由于掌握着部分业务平台的帐号密码，拥有系统和数据库的操作权限。以下针对业务平台的帐号和操作权限进行约束说明：

小业务平台涉及的所有账户和密码信息有协维团队专人进行管理，维护负责人员无创建用户的权限，如果有人员变动或者需要申请创建用户权限，由安全管理员进行创建并分配相应的权限。维护负责人只拥有部分维护权限，如果有特殊需要，须提出申请由安全管理员分配临时的操作权限，并在操作完成之后，即刻收回操作权限。

小业务平台类的帐号和密码规则：帐号信息需要根据维护人员的公司以个人身份信息进行绑定分配；密码的长度必须大于10位，同时须包含数字，字母和特殊字符等的组合密码。建议所有的密码进行二层加密进行保存，防止黑客攻击之后获取密码。

维护帐号不得以任何形式提供给他人使用。

3.1.4 日志审计

针对小业务系统包含很多的日志，协维人员无日志操作权限（添加，修改，删除等），登录系统的帐号都将对应各自的登录日志和操作日志。协维团队日志审计员，定期系统产生的各项日志进行审计。并根据实际情况，对各个帐号的操作进行风险评估，风险比较大的操作，收回其操作权限。

根据审计结果，针对协维团队所有维护员，进行调岗和信息安全评选。

如果在审计过程中，发现维护员利用职位之便，泄露和传播用户隐私的相关操作，将立即停职查看，根据行为影响给予相应的处罚。

3.1.5 权限管理

权限管理将被分离出来，作为独立的一块进行管理。以下是实例，为

Shfy5715用户可以使用到的系统管理命令:

ls,ps,top,free,df,ifconfig,netstat,kill,tail,rm,vi,mv,date,mount,umount,iptables,tar,gzip,crontab,tcpdump,ping,traceroute,mtr,cat,cut,which,cp,ftp,telnet,ssh,who,w,last,hwclock,mkdir,touch,du,hwclock,pwd,scp,sftp,/etc/init.d/httpd start,/etc/init.d/httpd stop

shfy0000命令可以使用的系统管理命令

ls,ps,top,free,df,ifconfig,netstat,kill,tail,date,iptables,tar,gzip,crontab,tcpdump,ping,traceroute,mtr,cat,which,cp,ftp,telnet,ssh,who,w,last,hwclock,mkdir,touch,du,hwclock,pwd,scp,sftp,/etc/init.d/httpd start,/etc/init.d/httpd stop,rm

3.1.6 接入4A系统

增值业务平台若配置symark系统，协维人员登陆系统前都必须登陆浙江移动的symark系统，对系统的登陆及操作都会在symark上留下日志，可以追查到个人。安全管理员对symark系统日志进行审计时，以安全管理员帐号登陆symark日志审计界面，对相关日志进行审计。

增值业务平台未配置symark系统，协维人员所作操作记录将保留在设备操作日志中。安全管理员登陆网管系统对相关日志进行审计。

3.1.7  检举制度

协维团队所有维护人员，保障业务系统的正常运行的同时，兼对信息的系统的安全进行管理。同时接受业务厂家和各业务维护员的公开检举。如有此类情况发生，将严格按照国家相关法令对其进行处罚。

3.2 业务厂家职责

3.2.1 帐号安全

业务厂家由于是软件提供商，持有应用层软件普通用户帐号和部分测试帐号，以及维护帐号，数据库帐号。厂家必须维护帐号安全，不得以任何理由和方式进行泄露。此部分帐号拥有的权限按照实际情况进行授权。

3.2.2  操作授权

业务厂家需要对系统进行高权限操作时，须提交申请至浙江移动网管中心，进行审批之后，由安全管理员进行相关授权。完成操作时，由安全管理员收回操作权限。并针对当前操作进行检查。

业务厂家不得进行危害系统安全或与平台业务无关的操作。日志审计员定期对业务系统进行审计，提取业务系统相关信息。

发布相关系统漏洞、补丁信息。