¿El uso de software de dirección IP virtual viola las leyes y regulaciones nacionales?
Reglas generales
Artículo 1. La red de información de State Grid Corporation es una herramienta importante para la producción , operación y gestión de State Grid Corporation Es una garantía importante para la seguridad, estabilidad, economía y operación de alta calidad de la red eléctrica. La seguridad de la red de información es una parte importante del sistema de gestión de seguridad de la producción de energía de State Grid Corporation de China. Estas regulaciones están formuladas para estandarizar la operación y gestión de la red de información de State Grid Corporation, mejorar el nivel de operación y gestión de la red de información, garantizar la operación segura, confiable y estable de la red de información de State Grid Corporation y promover la Trabajo de informatización de State Grid Corporation.
Artículo 2: Esta red de información se refiere a los sistemas de red y los sistemas de aplicaciones de red de varias unidades de State Grid Corporation de China, incluidos sistemas de red, sistemas de servicios de red, sistemas de aplicaciones, sistemas de seguridad, sistemas de almacenamiento de red. y sistemas auxiliares.
Artículo 3: Estas Medidas se aplican a la operación y gestión de redes de información informática en todas las unidades de la State Grid Corporation de China. La operación y gestión de la red de información de todas las empresas operadoras de redes eléctricas y empresas de servicios de información de la Corporación Estatal de Redes de China implementarán estrictamente este procedimiento y formularán las reglas de operación y las reglas de gestión de operaciones correspondientes de acuerdo con este procedimiento.
Artículo 4 Las normas y reglamentos relacionados con la operación y gestión de redes de información emitidas por cada unidad no entrarán en conflicto con las leyes nacionales pertinentes y estos reglamentos.
Artículo 5 Normas de referencia y documentos de referencia:
(1) "Reglamento de la República Popular China sobre la protección de la seguridad de los sistemas de información informática"
Información informática Red de Disposiciones Provisionales de la República Popular China sobre la Gestión de Redes Internacionales
Medidas para la Implementación de las Disposiciones Provisionales de la República Popular China sobre la Gestión de Redes Internacionales de Redes de Información Informática
(4) Medidas para la administración de la protección de la seguridad de las redes internacionales de información informática.
(5)Medidas para la gestión de los canales de entrada y salida de las redes internacionales de información informática.
(6) "Medidas de gestión de redes internacionales de Internet informática pública de China"
(7) "Medidas de gestión de comunicaciones multimedia públicas de China"
(8) Red privada Normativa provisional para la conexión a redes públicas.
(9) "Disposiciones provisionales sobre gestión de la seguridad de los sistemas de información informática"
(10) Medidas provisionales para la aprobación de sistemas de comunicaciones, ofimática y de información informática que impliquen secretos de Estado.
(11) Guía para el uso y gestión de contraseñas de sistemas informáticos confidenciales.
(12) “Reglamento sobre la Gestión de Contraseñas Comerciales”
(13) Reglamento sobre la Gestión de la Seguridad de los Sistemas de Información Informáticos en Red Internacional.
(14) "Reglamento de gestión y operación de la red de información de State Grid Corporation (prueba)"
División de responsabilidades
Artículo 6 La red de información de cada unidad se refiere a la unidad Las redes de información dentro del alcance de la gestión incluyen la red de área local de la unidad, la red de área amplia interconectada con unidades subordinadas y los sistemas de aplicación de red.
Artículo 7 El Departamento de Información Científica y Tecnológica de State Grid Corporation de China es responsable de inspeccionar, supervisar y evaluar el funcionamiento y la gestión de la red de información de cada unidad del sistema de State Grid Corporation de China. Los departamentos de gestión centralizada de la información de las empresas de redes eléctricas regionales, provinciales y de las empresas de suministro de energía locales (municipales) son responsables de implementar los requisitos de los departamentos de gestión centralizada de la información superiores e inspeccionar, supervisar y evaluar el funcionamiento y la gestión de la red de información. de sus propias unidades y unidades afiliadas.
Artículo 8 Cada unidad deberá dejar claro que el departamento o agencia de gestión de operaciones es responsable de la operación y mantenimiento diario de la red de información dentro de su ámbito de gestión.
Medidas Básicas
Sección 1 Responsabilidades de Operación
Artículo 9 La red de información de cada unidad deberá implementar 7×24 horas de operación ininterrumpida. Cada unidad debe disponer de personal con los niveles profesionales y técnicos correspondientes para que trabajen 5×8 horas durante el horario laboral legal. Se debe organizar el servicio fuera del sitio durante el resto del tiempo y se debe garantizar que el personal de servicio pueda llegar al lugar a tiempo cuando haya un problema con el sistema. Se implementa servicio in situ 24 horas al día, 7 días a la semana durante períodos importantes para garantizar el funcionamiento normal de los sistemas de aplicaciones clave.
Artículo 10 El personal de servicio debe verificar periódicamente la red de información todos los días mientras esté de servicio, monitorear el funcionamiento de la red de información en tiempo real a través de medios y medidas técnicas efectivas, y registrar y analizar los datos de operación del sistema. Una vez que se descubre una falla, se debe informar y solucionar con prontitud.
Artículo 11 El personal de turno deberá llevar un registro de turnos. El personal de turno debe implementar concienzudamente el sistema de transferencia de turnos y notificación de eventos importantes.
Artículo 12 La unidad debe establecer un teléfono de servicio exclusivo para informar a los usuarios e informarlo al departamento superior de gestión de operaciones de red para su archivo. Las llamadas de servicio deben responderse las 24 horas del día, los 7 días de la semana.
Sección 2 Responsabilidades laborales
Artículo 13 Cada unidad debe definir claramente el departamento de gestión de operaciones de la red de información y tener una división clara de responsabilidades.
Artículo 14 El departamento de operación y gestión de redes de información de cada unidad establecerá puestos tales como seguridad de red, gestión de red, gestión de sistemas, gestión de bases de datos y funciones operativas. Proporcionar proporción con el tamaño de su red, y aclarar la división de responsabilidades de cada puesto según la situación de la unidad. Los puestos técnicos relevantes deben ser asumidos por profesionales con los niveles técnicos correspondientes, y cada unidad debe realizar evaluaciones y capacitaciones profesionales y técnicas periódicas.
Artículo 15 Los puestos clave, como la gestión de la red de información de la unidad, la gestión del sistema y la seguridad de la red, implementarán un sistema de guardia de director y suplente. Cuando el cargo principal esté ausente, el cargo adjunto deberá poder realizar el trabajo relevante en su nombre.
Sección 3 Gestión de Tickets de Trabajo
Artículo 16 Cuando las operaciones de la red de información involucren el siguiente contenido, se deberá completar un ticket de trabajo:
(1) Solución de problemas ( Incluyendo recuperación del sistema)
(2) Eliminación de defectos
(3) Actualizaciones del sistema y cambios de configuración
(4) Depuración y apagado del sistema
(5) Otras operaciones que pueden afectar el funcionamiento del sistema.
Consulte el Anexo 1 para conocer el formato del ticket de trabajo.
Artículo 17 El boleto de trabajo debe ser solicitado por una persona dedicada y firmado por un emisor calificado del boleto de trabajo. El emisor del ticket de trabajo no podrá actuar simultáneamente como responsable (supervisor) del trabajo.
Artículo 18 El deber del emisor del boleto de trabajo es revisar cuidadosamente todo el contenido completado en el boleto de trabajo, incluida la necesidad del trabajo, si el trabajo es seguro, si los pasos de la operación completados el ticket de trabajo es apropiado, y quién es el responsable (Supervisor) y los operadores asignados son apropiados, y las medidas de seguridad, protección y emergencia son adecuadas.
Artículo 19 La responsabilidad del responsable del trabajo (tutor) es organizar el trabajo de manera correcta y segura, organizar a los operadores para completar la preparación de las medidas de seguridad y medidas técnicas antes del trabajo, e implementar estrictamente los tickets de trabajo, etc.
Artículo 20 La responsabilidad del operador es realizar concienzudamente el trabajo especificado en la boleta de trabajo bajo la supervisión del responsable (tutor).
Artículo 21 Deben estandarizarse los números de las boletas de trabajo. El contenido del ticket de trabajo debe incluir: número, contenido del trabajo, ubicación, hora, persona a cargo, personal, unidades colaborativas, medidas de seguridad, planes y programas de trabajo, firma del aprobador, registros de trabajo, recuperación en sitio y posible impacto de el funcionamiento del sistema y la preparación para emergencias, etc. Nadie puede completar una boleta o firmar sin autorización.
Artículo 22 Todas las operaciones deberán contar con planes de implementación, procedimientos, medidas de seguridad y planes de emergencia. Debe haber al menos dos personas en el lugar para supervisar el funcionamiento del sistema.
Artículo 23 Los tickets de trabajo deben archivarse para su almacenamiento a largo plazo para su inspección y se deben realizar estadísticas periódicamente.
Artículo 24: Los casos que necesitan ser tratados con urgencia pueden ser tratados primero después de consultar con el liderazgo correspondiente, pero luego se debe emitir un nuevo boleto de trabajo.
Sección 4 Aceptación comercial
Artículo 25: Las unidades formularán sistemas de aceptación comercial relevantes en función de sus propias condiciones comerciales y manejarán el acceso a la red de área amplia, el acceso a la red del área metropolitana y el acceso a la red de área local. El acceso a la red, el acceso al sistema de aplicaciones, los servicios de red y otros servicios de red de información son una gestión estandarizada y basada en procesos.
El artículo 26 se determinará en función de la importancia del negocio, frecuencia de ocurrencia, etc. y estipular el proceso de aceptación y el tiempo de finalización prometido de diferentes negocios.
Artículo 27 El proceso de aceptación empresarial debe ser claro, incluida la solicitud, aprobación, confirmación, ejecución, retroalimentación, presentación y otros vínculos, y se deben aclarar las responsabilidades de cada puesto involucrado en el proceso.
Sección 5 Gestión de la sala de ordenadores
Artículo 28 Cada unidad debe formular un sistema de gestión de la sala de ordenadores de la red de información. La seguridad de la sala de ordenadores debe ser responsabilidad de la persona de turno, y Debe quedar claro quién es la persona a cargo del departamento de gestión de operaciones. La primera persona responsable de la seguridad de la sala de ordenadores.
Artículo 29: Se deben configurar diferentes áreas de la sala de computadoras con diferentes niveles de seguridad, y el personal en diferentes posiciones debe tener los correspondientes derechos de acceso a la sala de computadoras.
Artículo 30 Excepto el personal operativo de servicio y el personal de mantenimiento, no se permite el ingreso de otro personal a la sala de computadoras sin permiso. Las personas externas deben obtener permiso de los departamentos pertinentes para ingresar a la sala de computadoras y el personal designado debe conducirlos a la sala de computadoras. Realizar un registro detallado del personal que ingresa y sale de la sala de computadoras y mantener registros de registro relevantes durante más de un año.
Artículo 31 Los equipos de la sala de cómputo sólo podrán ser mantenidos y operados por ingenieros especializados, y otro personal no podrá operarlos sin aprobación.
Artículo 32: La construcción y el mantenimiento de cualquier línea y equipo en la sala de computadoras por parte de personas externas deben ser aprobados previamente por el departamento de gestión de operaciones y realizarse bajo la supervisión del personal de gestión de operaciones.
Artículo 33 La sala de ordenadores deberá mantener una temperatura y humedad adecuadas, y mantener el ambiente limpio y ordenado.
Sección 6 Servicios al Usuario
Artículo 34 Los servicios al usuario se refieren a los servicios de mantenimiento y aplicación de equipos terminales de oficina personal proporcionados a los empleados.
Artículo 35 El departamento de gestión de operaciones de la red establecerá una línea directa de atención al usuario y, si las condiciones lo permiten, también se podrán utilizar informes de reparación en línea, informes de reparación por correo electrónico, etc. y realizar estadísticas sobre los registros de mantenimiento.
Artículo 36: Se debe asignar personal especial que trabaje 5×8 horas en los días hábiles legales, responsable de atender las líneas directas de atención al cliente, verificar, registrar, asignar tareas, comentarios de los usuarios, archivar estadísticas, etc.
Artículo 37: Al atender el teléfono, el personal de turno debe utilizar un lenguaje civilizado, comprender en detalle la falla del usuario, registrarla cuidadosamente y responder de manera oportuna. Las reparaciones en línea y por correo electrónico deben verificarse y procesarse de manera oportuna.
Artículo 38 El personal de servicio in situ debe corregir su conocimiento del servicio, mejorar la calidad del servicio y tener una buena ética profesional. Cualquier operación en el ordenador del usuario requiere el consentimiento previo del usuario. Haga un buen trabajo manteniendo confidencial la información interna de las computadoras de los usuarios y no haga nada que no esté relacionado con el trabajo.
Artículo 39: Disponer razonablemente el inventario de repuestos y equipos de repuesto para garantizar que las fallas puedan eliminarse oportunamente y no afecten el normal trabajo de los usuarios.
Artículo 40 Los métodos de resolución de problemas incluyen soporte telefónico y servicio in situ. El proceso de manejo de fallas se muestra en la siguiente figura:
El artículo 41 generalmente requiere llegar al lugar dentro de 1 hora después de recibir el informe de reparación de fallas.
Artículo 42: Realizar periódicamente encuestas de satisfacción del cliente para promover la mejora de la calidad del servicio. Generalmente se requiere una vez al año.
Sección 7 Gestión de equipos
Artículo 43 Los departamentos de gestión de redes de información en todos los niveles fortalecerán la gestión de equipos, clasificarán y codificarán equipos, establecerán libros de contabilidad y tarjetas de equipos, y las tarjetas de equipos realizarán un seguimiento del estado del equipo. estado y establecer historiales y archivos de equipos estandarizados.
Artículo 44 Enrutadores, conmutadores, servidores, instrumentos, medidores, dispositivos de seguridad, etc. Debe ser administrado por personal dedicado y se deben asignar responsabilidades a cada persona para garantizar una operación segura y económica.
Artículo 45 Clasificación de Equipos
Según el tipo, finalidad, soporte (especialmente software) y otros factores del equipo, se puede dividir en las siguientes categorías:
(1) Red (enrutadores, conmutadores, servidores de acceso telefónico, transceptores ópticos, firewalls, detección de intrusiones, etc.)
(2) Servidores (incluidas computadoras pequeñas, estaciones de trabajo y servidores de PC)
(3) Computadoras personales (incluidas las computadoras portátiles)
(4) Dispositivos externos (impresoras, escáneres, trazadores, etc.)
(5) Dispositivos auxiliares (gabinetes de red y servidores, aires acondicionados, UPS, etc.)
(6) Herramientas (incluidas herramientas de red, herramientas comunes, etc.)
(7) Software
( 8) Otros
Entre ellos, el software se divide en:
1. Software del sistema
2. p>3. Software de base de datos
4. Software de herramientas
Artículo 46 Codificación de equipos
Codificar los equipos de acuerdo con los estándares pertinentes del sistema de codificación.
Artículo 47 Gestión de aceptación de equipos
(1) Una vez que llegue el equipo, los departamentos pertinentes deben organizar el personal correspondiente para inspeccionar y aceptar el equipo. La aceptación incluye la aceptación del desembalaje del equipo, la aceptación de la prueba de encendido y la aceptación general del funcionamiento del equipo.
(2) El desembalaje y aceptación del equipo a su llegada incluye desembalaje y conteo, conteo de la cantidad de equipos y accesorios (accesorios), datos aleatorios y evaluación de la calidad del equipo. La aceptación se basa en el contenido del. contrato firmado. Después de desembalar y aceptar el equipo, el personal de aceptación debe presentar y firmar un informe de aceptación por escrito. El informe de aceptación incluye la lista de llegada del equipo, la lista de datos aleatorios y las instrucciones de identificación de la calidad del equipo.
(3) La prueba y aceptación del encendido del equipo incluye la depuración del encendido, la prueba de parámetros y la prueba de software. Cuando el equipo se enciende para la aceptación de la prueba, se deben probar cuidadosamente varios parámetros de acuerdo con los requisitos del acuerdo técnico y se debe instalar el software correspondiente para realizar pruebas y verificar si los indicadores de rendimiento del equipo cumplen con los requisitos técnicos. Después de encender el equipo para realizar pruebas y aceptarlo, el personal de aceptación debe presentar y firmar un informe de aceptación por escrito.
El informe de aceptación incluye una lista de registros de parámetros, una descripción del indicador de desempeño y una lista de problemas.
(4) La aceptación del funcionamiento integrado del equipo debe llevarse a cabo de acuerdo con los requisitos pertinentes del acuerdo técnico para garantizar que el equipo integrado en el sistema en funcionamiento pueda alcanzar indicadores de rendimiento técnico calificados y no tendrá un impacto negativo en el sistema original. Una vez aceptada la operación integrada del equipo, se debe presentar un informe de aceptación por escrito y un informe técnico, y se debe organizar un grupo de expertos para realizar la aceptación. Después de la aceptación, se debe presentar un informe final.
Artículo 48 Gestión de cuentas de equipos
(1) Las cuentas de equipos, las tarjetas de equipos y las etiquetas de equipos deben establecerse dentro de los 30 días posteriores a la instalación y aceptación in situ del equipo, de modo que las cuentas y Las tarjetas deben ser, las cosas coinciden. Consulte el Apéndice 2, el Apéndice 3 y el Apéndice 4 para conocer los estilos del libro mayor del equipo, la tarjeta del equipo y las etiquetas del equipo.
(2) Cada unidad envía informes estadísticos de gestión de cuentas de equipos a los departamentos pertinentes cada año.
Artículo 49 Gestión de la operación del equipo
(1) La operación y gestión de todos los equipos deben asignarse a la persona responsable, y se deben realizar inspecciones, inspecciones y mantenimiento regulares, y Se deben mantener registros de deberes y traspasos de responsabilidades. De acuerdo con los requisitos técnicos de uso del equipo, utilice el equipo de forma racional para cumplir con los requisitos de diseño.
(2) Implementar sistemas de inspección diarios, semanales, mensuales, trimestrales y anuales. Los problemas encontrados deben registrarse y tratarse de acuerdo con la gravedad del problema de acuerdo con las regulaciones pertinentes.
(3) Se debe establecer y mejorar un registro de operación completo, y se deben registrar cuidadosamente las condiciones de operación, como anomalías y defectos del equipo, datos de prueba, análisis de fallas y procesos de manejo de fallas, y se deben registrar estadísticas de operación. estar listo.
Artículo 50 Inspección y Mantenimiento de Equipos
(1) Cada unidad debe establecer y mejorar procedimientos de mantenimiento de equipos y sistemas de responsabilidad laboral.
(2) Los equipos oficialmente puestos en funcionamiento no podrán pararse ni repararse a voluntad. Cuando se detiene o repara el equipo, se requiere un boleto de trabajo. Las interrupciones de la red de información que tienen un mayor impacto deben ser aprobadas conjuntamente por los departamentos pertinentes antes de que puedan detenerse. El tiempo de mantenimiento del equipo superior a 8 horas debe incluirse en el plan de trabajo de mantenimiento mensual y sólo puede implementarse después de la aprobación del departamento competente. El reemplazo de equipos debe estar incluido en el plan de mantenimiento, debiendo presentarse una solicitud por escrito con una semana de anticipación y entregarse al supervisor para su aprobación.
(3) El mantenimiento de los equipos interconectados con la red de información superior debe ser aprobado por el departamento de gestión de operaciones de la red de información superior antes de su implementación.
(4) Para garantizar el mantenimiento normal del sistema de red y la resolución oportuna de problemas, el departamento de gestión de operaciones de la red de información debe estar equipado con los instrumentos, medidores, herramientas y repuestos necesarios según las circunstancias específicas.
(5) Prepárese cuidadosamente para cada mantenimiento, prepare planes de mantenimiento de equipos, mantenga registros y complete las tareas de mantenimiento de la manera más rápida y precisa posible.
(6) Realizar con seriedad los procedimientos de inspección y aceptación. Implementar estrictamente el principio de "quien realiza el mantenimiento es responsable" para mejorar la calidad del mantenimiento y garantizar una operación segura.
Artículo 51 Renovación y actualización de equipos
(1) La renovación y actualización de equipos debe tener una planificación a largo plazo y planes anuales, y estar cuidadosamente organizada e implementada.
(2) Para transformar y actualizar equipos importantes, se debe realizar una demostración técnica y económica con anticipación y presentarla para su aprobación de acuerdo con las regulaciones pertinentes.
(3) Una vez que la modificación del equipo haya pasado la inspección de aceptación, se deben procesar los registros de cambios de equipo.
Sección 8 Gestión de datos
La información del artículo 52 se refiere a normas, sistemas, planes y resúmenes (incluidos los planes), registros, documentos de gestión de proyectos, libros de contabilidad de equipos (tarjetas), documentos técnicos, etc. Estrechamente relacionado con la construcción y operación del sistema, registra los parámetros operativos del sistema, indicadores técnicos, configuración de equipos, diseño de esquemas, contratos de construcción de ingeniería y otra información.
Artículo 53 Los requisitos de gestión de datos incluyen:
(1) Hacer un buen trabajo en la recopilación, clasificación, registro, catalogación, conservación, identificación y utilización de datos. Los datos técnicos de los equipos deben ser completos, correctos, unificados y claros. Para equipos grandes, los datos aleatorios originales deben enviarse al departamento de archivos para su archivo. Para dispositivos importantes y principales, los datos deben copiarse y guardarse de varias maneras y en diferentes lugares.
(2) Los datos técnicos del equipo deben ser gestionados por personal dedicado para garantizar la seguridad de los datos y evitar la fuga de información confidencial.
(3) El personal de gestión de datos debe tener las cualidades básicas del personal de gestión de archivos, dominar ciertos conocimientos profesionales y técnicos y fuertes habilidades de aplicación informática, y ser capaz de clasificar con claridad y archivar con precisión los documentos que gestiona.
(4) El espacio de almacenamiento de archivos debe ser lo más reducido y seguro posible, cumpliendo con los requisitos de siete medidas de prevención (prevención de incendios, prevención de polvo, prevención de roedores, prevención de insectos, prevención de humedad, protección contra la luz y prevención de robos).
La temperatura del almacén debe controlarse entre 14 y 24 grados centígrados y la humedad relativa debe controlarse entre 45 y 65 %.
(5) Durante el proceso de construcción del proyecto, el líder del proyecto o la persona designada es responsable de recopilar y organizar los documentos generados durante todo el proceso del proyecto, clasificarlos, marcar las instrucciones necesarias y enviar todos los documentos dentro de un semana después de la aceptación del proyecto. Los documentos del proyecto se envían al personal de gestión de documentos para su archivo.
Artículo 54 Los materiales archivados deben mantenerse orgánicamente conectados de acuerdo con las leyes naturales de formación y clasificados y archivados, de modo que reflejen correctamente el proceso de construcción de los diferentes sistemas y faciliten el préstamo y la investigación.
Artículo 55: Copiar materiales importantes y copiar materiales electrónicos con base en la importancia y confidencialidad de los materiales.
Sección 9 Gestión de cuentas
Artículo 56 Las cuentas de la red de información incluyen cuentas de usuario, cuentas del sistema de aplicaciones y cuentas de superadministrador. Se deben abrir cuentas de usuario para cada usuario y están prohibidas las cuentas para roles o posiciones. La apertura de cuentas del sistema de aplicaciones debe basarse en cada servicio de la aplicación, evitar que varios servicios compartan una cuenta y utilizar la cuenta de superadministrador para ejecutar el sistema de la aplicación. La cuenta del sistema de la aplicación se utiliza para la gestión interna del sistema de la aplicación y la cuenta de superadministrador solo se utiliza cuando es necesario.
Artículo 57 La gestión de cuentas y contraseñas incluye la especificación, protección, uso y cambios de permisos de nombres de usuarios y contraseñas.
Artículo 58 El establecimiento de cuentas en cualquier sistema deberá ser aprobado conforme a procedimientos.
Artículo 59 Las contraseñas deben tener la longitud y complejidad suficientes y estar actualizadas oportunamente. Para contraseñas importantes, se debe establecer un sistema de modificación regular.
Artículo 60 La contraseña del superadministrador del sistema debe ser conservada y modificada por una persona dedicada, y el alcance de su uso debe ser estrictamente limitado.
Artículo 61 Si el usuario pierde u olvida su contraseña, deberá volver a solicitarla al departamento de gestión de operaciones según los procedimientos establecidos.
Artículo 62 Cuando un usuario se transfiera fuera de la unidad, deberá acudir al departamento de gestión de operaciones para realizar los trámites de cancelación de cuenta. Los administradores deben deshabilitar inmediatamente su cuenta, cerrar sesión y revocar sus privilegios dentro de un período de tiempo específico.
Artículo 63: Realizar educación sobre administración de contraseñas e inspecciones de seguridad de contraseñas para todo el personal de administración, incluidas principalmente contraseñas de Internet y contraseñas de sistemas de aplicaciones con funciones de divulgación de información.
Sistema de red
Sección 1 Gestión de acceso a los equipos del usuario de la red
Artículo 64 El equipo del usuario de la red se refiere a la red que debe conectarse al usuario de la red local Equipos terminales como estaciones de trabajo e impresoras de red.
Artículo 65 Para acceder a los equipos de los usuarios de la red, el responsable del equipo deberá completar el "Formulario de Solicitud de Acceso a los Equipos de los Usuarios de la Red" (ver anexo 5), y con el consentimiento del jefe del departamento, presentar Se aplica al Departamento de gestión de operaciones de la red de información. Con la aprobación del departamento de gestión de operación de la red de información, los responsables del sistema correspondiente serán responsables de los trabajos específicos de acceso a la red de equipos. El departamento de gestión de operaciones de la red de información establecerá archivos de equipos de los equipos de los usuarios de la red.
Artículo 66 La configuración o modificación de los parámetros de red relacionados con el equipo del usuario de la red debe ser completada por el administrador del sistema correspondiente u operada solo después de la aprobación del administrador del sistema correspondiente. Los usuarios de la red no pueden cambiar los parámetros de configuración de la red sin autorización y deben utilizar los recursos de la red correctamente de acuerdo con los permisos de operación de la red. Todas las operaciones ilegales están estrictamente prohibidas.
Artículo 67: Cada equipo de usuario de la red deberá ser utilizado por una persona dedicada, quien deberá ser responsable del mantenimiento y conservación diarios para asegurar su normal funcionamiento. Si hay algún problema, se debe notificar de inmediato al personal de operación de la red de información de turno.
Artículo 68 Los equipos de los usuarios de la red deben utilizar software genuino, y los departamentos de operación y gestión de la red de información en todos los niveles deben personalizar sus sistemas.
Artículo 69: Los equipos de los usuarios de la red se utilizan para el trabajo diario. Está estrictamente prohibido utilizar los equipos de los usuarios de la red para cualquier fin que no sea el laboral. Está prohibido descargar programas ilegales de Internet y está prohibido utilizar servidores proxy y escáneres de puertos sin permiso.
Artículo 70 El desmontaje y traslado de los equipos de los usuarios de la red y sus componentes se realizará con estricto apego a los requisitos de carga y descarga de los equipos.
Artículo 71 Sin la aprobación del departamento de operación y gestión de la red de información, ninguna unidad o individuo podrá conectarse a la red externa a través de enlaces de comunicación como líneas telefónicas sin autorización, lo que afectará la seguridad de toda la red. .
Artículo 72 El equipo del usuario de la red debe dejar de ejecutar protocolos, servicios e interfaces innecesarios y no debe iniciar servicios de red irrelevantes a voluntad.
Artículo 73: Quienes infrinjan los requisitos anteriores, el departamento de operación y gestión de redes de información tiene derecho a desconectar sus conexiones de red y adoptar los procedimientos correspondientes para atenderlos.
Sección 2 Copia de seguridad del sistema de red
Artículo 74 Configuración de los equipos de red (enrutadores, conmutadores, etc.).
) se debe realizar una copia de seguridad periódica mediante medios electrónicos y en papel.
Artículo 75 Antes y después de cambios en la configuración de la red, actualizaciones del software del sistema y otras operaciones, se deben realizar configuraciones de respaldo de los equipos.
Artículo 76: Realizar un buen trabajo en la gestión de versiones y respaldo del software del sistema.
Artículo 77: Hacer un buen trabajo en la actualización del mapa de topología de la red en este nivel.
Artículo 78: Determinar los planes necesarios de recuperación e instalación del sistema de red.
Sección 3 Aislamiento de red
Para la interconexión de redes, se deben dividir diferentes áreas de seguridad según diferentes niveles de seguridad. Se deberá realizar el aislamiento necesario entre diferentes zonas de seguridad. Los requisitos operativos para el punto de aislamiento son los siguientes:
Artículo 79 La conexión de red del punto de aislamiento deberá ser monitoreada en tiempo real 24 horas al día, 7 días a la semana.
Artículo 80: Cuando la conexión a la red sea anormal pero el sistema aún pueda operar normalmente, el personal de turno deberá tomar inmediatamente medios técnicos para aislar efectivamente, restringir el acceso ilegal, rastrear su fuente y notificar su ubicación. El departamento de gestión de operaciones de la red de información de la unidad se encargará del asunto.
Artículo 81 Cuando ocurre una gran cantidad de accesos anormales en el punto de aislamiento y el sistema no puede funcionar normalmente, el administrador de operaciones debe cortar el enlace de interconexión entre el dispositivo de aislamiento y la red local, completar la falla formulario de solicitud y notificar al personal de gestión de seguridad de la red para que lo maneje. Los administradores de seguridad de la red siguen el proceso de solución de problemas hasta que el sistema pueda funcionar normalmente.
Artículo 82 Los administradores de seguridad de la red auditarán y recopilarán periódicamente estadísticas sobre los registros de acceso, registros de eventos y otros sistemas de dispositivos de aislamiento de la red, realizarán los ajustes necesarios a las políticas de seguridad del sistema y formularán los informes correspondientes.
Sección 4 Gestión de direcciones IP
Artículo 83 Las direcciones IP de todos los nodos internos de la Red de Información de la Red Estatal deben estar de acuerdo con la "Codificación de direcciones IP de la Red de Información del Sistema Nacional de Energía Eléctrica". Especificación" Codificación según principios para garantizar la interconexión de la red. Las redes y nodos que no cumplan con las especificaciones de codificación de direcciones IP no pueden acceder a la red de información y se niega el acceso mutuo dentro de la red de información de State Grid. Por razones históricas, las direcciones IP no están codificadas de acuerdo con los principios de las "Especificaciones de codificación de direcciones IP de la red de información del sistema de energía nacional" y deben modificarse gradualmente a una dirección IP unificada durante la actualización y optimización de la red.
Artículo 84 Las redes de información en todos los niveles deben informar periódicamente a la autoridad superior del plan de asignación de direcciones IP y el uso real de la red de información en este nivel.
Sistema de Servicios de Red
Sección 1 Servicio WWW
Artículo 85 Seguridad del Sistema:
(Software y aplicaciones del sistema de servidor web El software debe ser actualizado con parches de manera oportuna
(2) Establecer un sistema de respaldo y mantenerlo sincronizado con el sistema principal para que pueda ponerse en uso a tiempo si el sistema principal falla o es manipulado ilegalmente. 3) El sistema debe tener un cierto nivel de seguridad para evitar que usuarios no autorizados accedan al sistema y proteger el contenido del sitio web contra infracciones. Los usuarios y las estaciones de trabajo deben autenticarse antes de cargar datos. debe tener una función de control de acceso a la página de inicio que pueda prohibir el acceso de algunos usuarios configurando nombres de dominio o direcciones IP.
(5) Debe tener una función de monitoreo para monitorear el rendimiento del sistema y el uso del sitio, y ajustar el rendimiento del servidor. y fallas basadas en la situación de monitoreo.
(6) Tener múltiples registros, incluidas visitas al sitio, errores, servicios prestados, seguimiento y monitoreo, y medición del desempeño en tiempo real. >
Artículo 86 Mantenimiento de la información:
(1) La información del sitio web debe mantenerse periódicamente y actualizarse de manera oportuna, especialmente las noticias y otra información deben actualizarse en cualquier momento para garantizar la actualidad de las noticias. información y la precisión de la información importante, para que la información en línea sea rica, auténtica, oportuna y válida. El ciclo de actualización varía según el contenido. La última fecha de modificación debe mostrarse en la página web después de que se actualice la columna grande. p>
(2) Verifique periódicamente si el enlace, el script CGI y el HTML son válidos para garantizar que el sistema funcione normalmente.
(3) Desarrolle nuevo contenido y agregue nuevas columnas según sea necesario. /p>
Artículo 87 Revisión de la información en línea
(1) Para garantizar la autenticidad de la información en línea Con el fin de garantizar la seguridad, integridad, confiabilidad, exactitud, seguridad y confidencialidad, una estricta y completa. Se debe establecer un sistema de revisión de clasificación de información para revisar la información en línea. Los departamentos relevantes deben revisar diferentes tipos y niveles de información de acuerdo con la situación. La información importante debe ser revisada por los líderes relevantes. El proceso de revisión específico se determinará en función de las circunstancias. la unidad.
(2) El departamento de divulgación de información debe establecer un sistema completo de registro de divulgación de información y establecer flujos de trabajo efectivos de recopilación, revisión, almacenamiento, transmisión, respaldo, monitoreo, procesamiento y generación de informes de información.
(3) Al publicar información en el sitio web, la "Ley de la República Popular China sobre la Protección de Secretos de Estado", el "Reglamento de la República Popular China sobre la Protección de la Seguridad de los Sistemas de Información Informática" y Las "Medidas de Gestión de Protección de la Seguridad de las Redes Internacionales de Información Informática del Ministerio de Seguridad Pública" y las "Disposiciones Provisionales sobre la Gestión de la Seguridad de los Sistemas de Información Informática de la Administración Estatal del Secreto" deben implementarse estrictamente.
(4) Los recursos de información divulgados en el sitio web deben cumplir con las normas de confidencialidad pertinentes y seguir el principio de "quién publica, quién es responsable" para mantener la confidencialidad para la seguridad de la información de esta unidad y departamento. . La unidad emisora será responsable de la autenticidad y legalidad de la información.
(5) El alcance de la recopilación y divulgación de información del sitio web interno debe ser coherente con el alcance de la gestión y el alcance comercial de la unidad y el departamento. En principio, la recopilación y divulgación de información más allá del alcance de la gestión y el negocio. El alcance de la unidad y el departamento no están permitidos.
(6) La versión en inglés de la página de inicio debe estar traducida de forma precisa, auténtica y fiable.
(7) Se deben observar las leyes y regulaciones relacionadas con derechos de autor, marcas comerciales, logotipos, tipos de datos multimedia y software, y no se debe utilizar información sin el permiso del propietario de los derechos de autor.
Artículo 88 Gestión de anuncios electrónicos
(1) Todos los sitios web corporativos deberán utilizar servicios de información interactivos (BBS, foros de mensajes, salas de chat, etc.) con precaución. Quienes se dediquen a servicios de información por Internet y pretendan realizar servicios de tablón de anuncios, deberán presentar una solicitud especial o presentación especial previa solicitud de una licencia de servicio de información comercial por Internet o de un servicio de información no comercial por Internet ante la provincia, región autónoma o municipio. agencia de gestión de telecomunicaciones o el Ministerio de la Industria de la Información.
(2) Para proporcionar los servicios mencionados anteriormente, se deben implementar estrictamente las "Reglas de Gestión del Servicio del Tablón de Anuncios de Internet", designarlas para la gestión, realizar un seguimiento estricto, encontrar problemas, tratarlos de inmediato e informar al departamentos correspondientes de acuerdo con la normativa.
(3) La columna interactiva debe tener funciones de identificación y registro, y debe tener la función de guardar registros de operación de la red del sistema y registrar registros de uso del usuario durante más de 90 días.
Sección 2ª Servicios de correo electrónico
Artículo 89 El sistema de correo electrónico deberá tener alta confiabilidad. Si las condiciones lo permiten, se debe configurar como modo de espera activa de doble máquina. Si no hay hardware redundante disponible, debe existir un plan de recuperación de fallas que pueda implementarse rápidamente. La redundancia debe ser transparente para el acceso de los usuarios.
Artículo 90 Deberán adoptarse medidas antivirus para evitar la propagación de virus a través del correo electrónico.
Artículo 91 El sistema de correo deberá tener la función de prevenir retransmisiones y spam.
Artículo 92 El tamaño del espacio de los buzones de correo de los usuarios debe limitarse para evitar el abuso de los recursos del sistema.
Artículo 93 El sistema de correo electrónico debe tener ciertas funciones de filtrado de correo electrónico y poder eliminar automáticamente correos electrónicos que contengan caracteres o direcciones de correo electrónico específicos. Una vez que se descubren fuentes de correo electrónico incorrectas, los administradores deben actualizar de inmediato las reglas de filtrado de correo electrónico.
Artículo 94 El sistema de correo deberá ejecutarse sin privilegios de root.
Artículo 95: Las unidades deberán establecer procedimientos estrictos para solicitar el cambio de cuentas de correo electrónico.
Artículo 96 Los administradores de sistemas de correo electrónico deben cumplir con las leyes, regulaciones y ética profesional pertinentes, y mantener la privacidad y seguridad de las empresas y los usuarios.