密碼要求

密碼應(yīng)用有哪些要求?

在物理和環(huán)境安全方面，應(yīng)采用密碼技術(shù)實(shí)施對(duì)重

要場(chǎng)所(機(jī)房、運(yùn)維專(zhuān)區(qū)等)、監(jiān)控設(shè)備等的物理訪問(wèn)控

制，并采用密碼技術(shù)對(duì)訪問(wèn)記錄、監(jiān)控信息等敏感數(shù)據(jù)

實(shí)施完整性保護(hù)。

01

是在網(wǎng)絡(luò)和通信安全方面，應(yīng)采用密碼技術(shù)進(jìn)行身

份認(rèn)證、保證通信過(guò)程中數(shù)據(jù)的完整性以及敏感信息的

機(jī)密性。

是在設(shè)備和計(jì)算安全方面，應(yīng)采用密碼技術(shù)對(duì)設(shè)備

或系統(tǒng)的資源訪問(wèn)控制信息、重要程序及文件、日志記

錄等進(jìn)行完整性保護(hù)。

02

03

50

01

02

03

在應(yīng)用和數(shù)據(jù)安全方面，應(yīng)采用密碼技術(shù)對(duì)重要數(shù)

據(jù)在傳輸及存儲(chǔ)過(guò)程的機(jī)密性、完整性，并采用密碼技

術(shù)實(shí)現(xiàn)用戶(hù)行為的不可否認(rèn)性。

04

05 在信息系統(tǒng)實(shí)施方面，規(guī)劃階段應(yīng)依據(jù)密碼相關(guān)標(biāo)

準(zhǔn)制定密碼應(yīng)用方案，建設(shè)階段應(yīng)按照國(guó)家相關(guān)標(biāo)準(zhǔn),制

定實(shí)施方案、選用經(jīng)國(guó)家密碼管理部門(mén)核準(zhǔn)的密碼產(chǎn)

品、許可的密碼服務(wù)，運(yùn)行階段投運(yùn)前應(yīng)經(jīng)密碼測(cè)評(píng)機(jī)

構(gòu)進(jìn)行安全性評(píng)估，評(píng)估通過(guò)后方可投入正式運(yùn)行，投

運(yùn)后應(yīng)按要求定期委托密評(píng)機(jī)構(gòu)開(kāi)展密碼應(yīng)用安全性評(píng)

估并根據(jù)評(píng)估意見(jiàn)進(jìn)行整改。

51

04

05

場(chǎng)景式網(wǎng)絡(luò)安全防護(hù)須知

信息機(jī)房

52

信息機(jī)房是網(wǎng)絡(luò)與信息系統(tǒng)賴(lài)以生存

的基礎(chǔ)保障，一旦信息機(jī)房被黑客等不法

分子進(jìn)入，會(huì)對(duì)公司信息資產(chǎn)、網(wǎng)絡(luò)安全

造成巨大傷害。各單位應(yīng)從以下方面防范

網(wǎng)絡(luò)攻擊。

機(jī)房應(yīng)落實(shí)哪些人員準(zhǔn)入要求?

物理準(zhǔn)入

嚴(yán)格落實(shí)巡視、安保等措施。特殊保障期間，應(yīng)

強(qiáng)化辦公場(chǎng)所出入口、各類(lèi)設(shè)備的安全巡視和檢查。

應(yīng)采用門(mén)禁、生物特征識(shí)別等措施識(shí)別機(jī)房運(yùn)維

人員。應(yīng)采用機(jī)房監(jiān)控告警設(shè)備監(jiān)控機(jī)房在運(yùn)設(shè)備，

部署監(jiān)控設(shè)備監(jiān)控機(jī)房?jī)?nèi)的所有操作行為。

02

01

注:根據(jù)《GMT0054-2018信息系統(tǒng)密碼應(yīng)用基本

要求》，在物理和環(huán)境安全方面，對(duì)機(jī)房等應(yīng)采用密碼

技術(shù)實(shí)現(xiàn)物理訪問(wèn)控制的場(chǎng)所，應(yīng)采用密碼技術(shù)對(duì)訪問(wèn)

記錄、監(jiān)控信息等敏感數(shù)據(jù)實(shí)施完整性保護(hù)。

03

53

01

02

03

對(duì)于需要進(jìn)機(jī)房開(kāi)展檢修工作的人員，要對(duì)人員

進(jìn)行人、證、票的校驗(yàn)并做好出入登記。保證進(jìn)入機(jī)

房的人員與兩票操作人員、身份證/工作證上的信息完

全一致，保證出入機(jī)房時(shí)間與兩票操作時(shí)間保持吻

合。

04

入機(jī)房進(jìn)行檢修操作的人員，若攜帶電子設(shè)備、

應(yīng)交由機(jī)房人員進(jìn)行統(tǒng)一保管，不得帶入機(jī)房。

05

進(jìn)入機(jī)房的檢修人員應(yīng)嚴(yán)格按照工作票/操作票/工

作任務(wù)單要求進(jìn)行操作，不得超出票面操作，不得觸

碰無(wú)關(guān)線纜、設(shè)備。

06

54

04

0305

06

機(jī)房巡檢時(shí)，應(yīng)注意哪些隱患可能導(dǎo)致網(wǎng)絡(luò)攻擊?

機(jī)房巡檢

機(jī)房應(yīng)及時(shí)清理或停用裸露網(wǎng)線、置網(wǎng)

口等。

01

檢查各類(lèi)標(biāo)簽是 完整、正確。機(jī)房 內(nèi)

設(shè)備及線纜應(yīng)具備標(biāo)簽標(biāo)識(shí)，標(biāo)簽內(nèi)容清

晰、完整，符合公司相關(guān)規(guī)定。

02

55

02

01

其它要求

機(jī)房的安全穩(wěn)定運(yùn)行是網(wǎng)絡(luò)與信息系統(tǒng)安全的保障

以下幾個(gè)方面也應(yīng)注意防范:

信息機(jī)房線纜部署應(yīng)實(shí)現(xiàn)強(qiáng)弱電分離，并完善防

火阻燃、阻火分隔、防潮、防水及防小動(dòng)物等各項(xiàng)安

全措施。

01

機(jī)房信息設(shè)備、視頻監(jiān)控、專(zhuān)用空調(diào)、電源設(shè)

備、配電系統(tǒng)、漏水檢測(cè)系統(tǒng)、門(mén)禁系統(tǒng)、機(jī)房環(huán)境

溫度、濕度等應(yīng)納入集中監(jiān)控系統(tǒng)。

01

56

01

02

進(jìn)入機(jī)房的檢修人員進(jìn)入機(jī)房指定位置時(shí)，應(yīng)

按指定路線行進(jìn)。

07

未經(jīng)許可，進(jìn)入機(jī)房的檢修人員不得私自拍

照。

08

機(jī)房應(yīng)落實(shí)哪些人員準(zhǔn)入要求?

物理準(zhǔn)入

57

01

02

供電要求

分類(lèi) 供電要求

B類(lèi)(省公司級(jí))

C類(lèi)(市公司級(jí))

電源系統(tǒng)的外部供電應(yīng)至少來(lái)

自于兩個(gè)變電站，并能進(jìn)行主備自

動(dòng)切換。

應(yīng)采用不少于兩路UPS供電，

且每路UPS容量要考慮其中某一路

故障或維修退出時(shí)，余下的UPS能

夠支撐機(jī)房?jī)?nèi)設(shè)備持續(xù)運(yùn)行。

UPS設(shè)備的負(fù)荷不得超過(guò)額定

輸出功率的80%，采用雙UPS供電

時(shí)，單臺(tái)UPS設(shè)備的負(fù)荷不應(yīng)超過(guò)

額定輸出功率的40%。

C級(jí)信息機(jī)房的主機(jī)房可根據(jù)

具體情況，采用單臺(tái)或多臺(tái)UPS供

電。

UPS設(shè)備的負(fù)荷不得超過(guò)額定

輸出功率的80%，采用雙UPS供電

時(shí)，單臺(tái)UPS設(shè)備的負(fù)荷不應(yīng)超過(guò)

額定輸出功率的40%。

58

其它要求

機(jī)房的安全穩(wěn)定運(yùn)行是網(wǎng)絡(luò)與信息系統(tǒng)安全的保障

以下幾個(gè)方面也應(yīng)注意防范:

室內(nèi)機(jī)房物理環(huán)境安全應(yīng)滿(mǎn)足網(wǎng)絡(luò)安全等級(jí)保

護(hù)物理安全要求及信息系統(tǒng)運(yùn)行要求，室外設(shè)備物

理安全需滿(mǎn)足國(guó)家對(duì)于防盜、電氣、環(huán)境、噪聲、

電磁、機(jī)械結(jié)構(gòu)、銘牌、防腐蝕、防火、防雷、接

地、電源和防水等要求。

03

按年度定期開(kāi)展機(jī)房關(guān)鍵基礎(chǔ)設(shè)施運(yùn)行狀態(tài)評(píng)估

工 作 ， 開(kāi) 展 外 部 電 源 切 換 演 練 、 蓄 電 池 充 放 電 、

UPS切換測(cè)試、空調(diào)狀態(tài)檢查等工作，對(duì)存在運(yùn)行隱

患的設(shè)備及時(shí)進(jìn)行整改。

04

59

03

04

場(chǎng)景式網(wǎng)絡(luò)安全防護(hù)須知

營(yíng)業(yè)廳/供電所

營(yíng)業(yè)廳/供電所是公司對(duì)外服務(wù)的窗

口，在為電力客戶(hù)帶來(lái)便利的同時(shí)，無(wú)疑

也成為黑客及其它不法分子的最大入侵對(duì)

象，各營(yíng)業(yè)廳/供電所應(yīng)從以下方面做好營(yíng)

業(yè)廳/供電所的網(wǎng)絡(luò)安全防護(hù)。

60

營(yíng)業(yè)廳/供電所每天都要接待大量外來(lái)訪客，

對(duì)哪類(lèi)訪客要格外防范?

物理入侵

外部人員以設(shè)備運(yùn)維人員、政府人員、客戶(hù)等

身份，以維修調(diào)試設(shè)備、檢查工作、辦理業(yè)務(wù)等理

由，要求進(jìn)入營(yíng)業(yè)廳、供電所、充電站等區(qū)域試圖

接觸公司內(nèi)部網(wǎng)絡(luò)以及辦公計(jì)算機(jī)、自助服務(wù)終

端、充電樁等設(shè)備時(shí)要格外防范。

01

要檢查來(lái)訪人員工作聯(lián)系單，審核來(lái)訪人員身

份證件是否與工作聯(lián)系單一致，向相關(guān)部門(mén)、人員

核實(shí)是否有該項(xiàng)工作安排。以上兩項(xiàng)條件全部符

合，識(shí)別為正常外部訪問(wèn)，應(yīng)嚴(yán)格履行外部人員出

入登記制度，按照“誰(shuí)接待誰(shuí)負(fù)責(zé)”原則，由接待人

員全程陪同，直至其離開(kāi)。

02

61

02

01

面對(duì)外來(lái)人員的信息查詢(xún)要求，哪此是不能透露的?

信息套取

外部人員以設(shè)備運(yùn)維人員、政府人員、客戶(hù)等身

份，以維修調(diào)試設(shè)備、檢查工作、辦理業(yè)務(wù)等理由，

要求進(jìn)入營(yíng)業(yè)廳、供電所、充電站等區(qū)域試圖接觸公

司內(nèi)部網(wǎng)絡(luò)以及辦公計(jì)算機(jī)、自助服務(wù)終端、充電樁

等設(shè)備時(shí)要格外防范。

01

02 同時(shí)，對(duì)外提供數(shù)據(jù)，應(yīng)嚴(yán)格按照《國(guó)家電網(wǎng)公

司營(yíng)銷(xiāo)專(zhuān)業(yè)網(wǎng)絡(luò)與信息安全管理工作細(xì)則》(營(yíng)銷(xiāo)綜

2018]19號(hào))履行申請(qǐng)、審批和備案流程，簽署保密協(xié)

議。對(duì)于無(wú)法提供相關(guān)資料，拒不配合審批工作的，

應(yīng)識(shí)別為疑似信息套取攻擊。

62

01

02

無(wú)線網(wǎng)絡(luò)

在營(yíng)業(yè)廳/供電附近所看到未知的具有公司元素或

標(biāo)識(shí)的無(wú)線熱點(diǎn)，能不能連接?

向信通專(zhuān)業(yè)核實(shí)是否為公司正常開(kāi)放的公共服務(wù)熱

點(diǎn)，若非合法備案熱點(diǎn)、應(yīng)識(shí)別為疑似釣魚(yú)熱點(diǎn)，不要

輕易連接該網(wǎng)絡(luò)并協(xié)助信通人員排查該熱點(diǎn)來(lái)源。

01

作為在營(yíng)業(yè)廳/供電所工作的職工，“有機(jī)會(huì)”獲取U盤(pán)等

信息設(shè)備，能不能要?

釣魚(yú)設(shè)備

十八項(xiàng)反措明確規(guī)定“嚴(yán)禁將不安全介質(zhì)連接公司

辦公計(jì)算機(jī)或聯(lián)網(wǎng)設(shè)備。"來(lái)路不明的信息設(shè)備包括:他

人遺失的U盤(pán)、上網(wǎng)卡、無(wú)線鼠標(biāo)等移動(dòng)介質(zhì)，免費(fèi)贈(zèng)

送或低價(jià)銷(xiāo)售的U盤(pán)、上網(wǎng)卡、無(wú)線息標(biāo)等移動(dòng)介質(zhì)。

對(duì)于外部人員以提供資料、辦理業(yè)務(wù)等理由，要求將

U盤(pán)等移動(dòng)介質(zhì)連接公司辦公電腦或聯(lián)網(wǎng)設(shè)備時(shí)，應(yīng)嚴(yán)

肅拒絕、嚴(yán)防惡意程序進(jìn)入公司網(wǎng)絡(luò)。對(duì)于已連接不安

全介質(zhì)的辦公計(jì)算機(jī)或聯(lián)網(wǎng)設(shè)備，應(yīng)第一時(shí)間切斷網(wǎng)

絡(luò)、關(guān)機(jī)并切斷電源，聯(lián)系信通專(zhuān)業(yè)進(jìn)行安全檢查。

01

63

營(yíng)業(yè)廳/供電所職工在公司內(nèi)外網(wǎng)郵件系統(tǒng)，

收到來(lái)歷不明的郵件時(shí)，應(yīng)怎么辦?

釣魚(yú)郵件

需要從以下方面核實(shí)其是否為釣魚(yú)郵件:發(fā)件人是

否為可信人員；檢查郵件標(biāo)題、正文等是否與實(shí)際業(yè)務(wù)

相關(guān)；對(duì)于郵件中包含新聞熱點(diǎn)、常見(jiàn)工作關(guān)鍵字的郵

件要嚴(yán)格防范。

對(duì)于釣魚(yú)郵件要嚴(yán)禁打開(kāi)觀看、嚴(yán)禁點(diǎn)擊郵件中

的鏈接或附件。對(duì)于已經(jīng)打開(kāi)疑似釣魚(yú)鏈接、附件的

設(shè)備，應(yīng)第一時(shí)間切斷網(wǎng)絡(luò)，聯(lián)系信通專(zhuān)業(yè)進(jìn)行安全

檢查。

01

64

營(yíng)業(yè)廳/供電所各類(lèi)終密繁多，怎么保證這些終端的安全？

各類(lèi)終端

對(duì)采集終端、自助交費(fèi)終端、電力收費(fèi)POS機(jī)、營(yíng)

銷(xiāo)專(zhuān)業(yè)移動(dòng)作業(yè)終端、充電樁等終端設(shè)備要進(jìn)行設(shè)備選

型和第三方測(cè)試，測(cè)試合格后方可投入運(yùn)行。

01

有線終端的網(wǎng)絡(luò)接入需要信息通信職能管理部門(mén)

審批通過(guò)后，方可接入。

01

01

02

65

02

01

無(wú)線終端設(shè)備必須具備安全芯片或安全數(shù)碼(TF

卡)并通過(guò)公司統(tǒng)推用電信息采集系統(tǒng)或公司統(tǒng)一安全

接入平臺(tái)接入。

01

03

應(yīng)嚴(yán)格管理電子廣告牌、展示機(jī)、自主叫號(hào)機(jī)等終

端設(shè)備的物理網(wǎng)口、USB插口，并關(guān)閉其無(wú)線和藍(lán)牙功

能，防止不法分子利用此類(lèi)設(shè)備進(jìn)行網(wǎng)絡(luò)攻擊。

01 04

嚴(yán)禁掃描儀、打印機(jī)等計(jì)算機(jī)外設(shè)在信息內(nèi)網(wǎng)和信

息外網(wǎng)上交叉使用。

01 05

66

03

04

05

信息套取

營(yíng)業(yè)供電所見(jiàn)到可疑人員，可疑行為，應(yīng)怎么處理？

對(duì)于可疑要進(jìn)入公司網(wǎng)絡(luò)環(huán)境的外來(lái)人員，應(yīng)拒

絕外部人員要求，持續(xù)關(guān)注直至其離開(kāi)，通過(guò)拍照、

錄音等方式留存證據(jù)，同時(shí)做好重要服務(wù)事項(xiàng)報(bào)備，

避免惡意投訴。若外部人員已經(jīng)或可能已經(jīng)接觸到內(nèi)

部網(wǎng)絡(luò)或設(shè)備，應(yīng)聯(lián)系信通專(zhuān)業(yè)切斷相關(guān)網(wǎng)絡(luò)，開(kāi)展

安全檢查。若發(fā)生信息泄露事件，應(yīng)立即匯報(bào)上級(jí)部

門(mén)開(kāi)展后續(xù)處置，若外部人員有破壞、非法潛入或其

他非法行為，應(yīng)報(bào)警處理。

67

營(yíng)業(yè)廳/供電所能不能設(shè)立信息外網(wǎng)無(wú)線網(wǎng)絡(luò)?

無(wú)線網(wǎng)絡(luò)

可以設(shè)立信息外網(wǎng)無(wú)線網(wǎng)絡(luò)，但根據(jù)十八項(xiàng)反措

要求，信息外網(wǎng)無(wú)線網(wǎng)絡(luò)應(yīng)滿(mǎn)足以下條件：“信息外網(wǎng)

使用無(wú)線網(wǎng)絡(luò)，應(yīng)在信息化管理部門(mén)備案。無(wú)線網(wǎng)絡(luò)

應(yīng)啟用網(wǎng)絡(luò)接入控制、身份認(rèn)證和行為審計(jì)，采用高

強(qiáng)度加密算法、隱藏?zé)o線網(wǎng)絡(luò)名標(biāo)識(shí)和禁止無(wú)線網(wǎng)絡(luò)

名廣播，防止無(wú)線網(wǎng)絡(luò)被外部攻擊者非法進(jìn)入，確保

無(wú)線網(wǎng)絡(luò)安全“。

01

68

公司在政務(wù)大廳設(shè)立的辦公窗口，在

提供優(yōu)質(zhì)服務(wù)、高效協(xié)同辦公方面發(fā)揮了

杰出作用，但政務(wù)大廳眾多的訪客、繁雜

的人流也為黑客攻擊帶來(lái)了可乘之機(jī)。公

司各政務(wù)大廳的辦公場(chǎng)所應(yīng)從以下方面提

高網(wǎng)絡(luò)安全防護(hù)水平。

場(chǎng)景式網(wǎng)絡(luò)安全防護(hù)須知

政務(wù)大廳

69

人員識(shí)別

政務(wù)大廳每天都要接待大量外來(lái)訪客，

對(duì)哪類(lèi)訪客要格外防范?

外部人員以設(shè)備運(yùn)維人員、政府人員等身份，以維

修調(diào)試設(shè)備、檢查工作等理由，要求對(duì)公司內(nèi)部網(wǎng)絡(luò)及

信息設(shè)備進(jìn)行操作時(shí)要格外防范。

01

02 確認(rèn)來(lái)訪人員身份及目的后，報(bào)備信通專(zhuān)業(yè)人員協(xié)

同處理。

03 發(fā)現(xiàn)可疑分子，要通過(guò)拍照、錄音等方式留存證

據(jù)，同時(shí)做好重要服務(wù)事項(xiàng)報(bào)備。

70

01

02

03

信息保護(hù)

政務(wù)大廳人員復(fù)雜，給了不法分子可乘之機(jī)，

應(yīng)如何保護(hù)好個(gè)人和公司的重要信息?

各類(lèi)票據(jù)存根、廢舊文件應(yīng)及時(shí)銷(xiāo)毀，不在互聯(lián)

網(wǎng)上發(fā)表與公司、工作、辦公場(chǎng)地相關(guān)的內(nèi)容。

01

02 外部人員若以政府人員等身份，要求獲取客戶(hù)信

息或業(yè)務(wù)數(shù)據(jù)時(shí)需確認(rèn)其身份并按照公司要求對(duì)外提

供數(shù)據(jù)。

71

02

02 01

終端防護(hù)

禁用guest帳號(hào)，刪除系統(tǒng)測(cè)試帳號(hào)、共享帳號(hào)等

非必須賬號(hào)，通過(guò)組策略設(shè)置用戶(hù)訪問(wèn)權(quán)限，定期檢查

系統(tǒng)賬號(hào)情況，刪除無(wú)用賬號(hào)；禁用Administrator賬

號(hào)，如無(wú)法禁用該賬號(hào)可修改為其他賬號(hào)名稱(chēng)。

01

賬號(hào)管理要求

終端嚴(yán)格執(zhí)行密碼復(fù)雜度策略，密碼長(zhǎng)度不少于

8個(gè)字符、密碼最長(zhǎng)使用期限為90天、強(qiáng)制密碼歷史為

5，設(shè)置屏幕保護(hù)程序，啟用“在恢復(fù)時(shí)顯示登錄屏

幕”，等待時(shí)間設(shè)置為“5分鐘”。

01

密碼復(fù)雜度要求

及時(shí)更新操作系統(tǒng)補(bǔ)丁，關(guān)閉終端系統(tǒng)中默認(rèn)安

裝 的 非 必 要 服 務(wù) ， 封 禁 終 端 操 作 系 統(tǒng)

135、137、138、139、445、3389等高危端口。

01

操作系統(tǒng)服務(wù)及端口設(shè)置要求

72

01

02

以下服務(wù)為建議關(guān)閉的服務(wù)

服務(wù)名 說(shuō)明

Computer Browser

Task scheduler

Remote Registry

Service

Distributed Link

Tracking Client

Com+ Event System

Windows Management

Instrumentation

WLAN AutoConfig

WLAN Direct

服務(wù)連接管理器服務(wù)

維護(hù)網(wǎng)絡(luò)上計(jì)算機(jī)的最新

列表以及提供這個(gè)列表

允許程序在指定時(shí)間允許

在局域網(wǎng)以及廣域網(wǎng)環(huán)境

中為企業(yè)提供路由服務(wù)

允許遠(yuǎn)程注冊(cè)表操作

當(dāng)文件在網(wǎng)絡(luò)域的NTFS

卷中移動(dòng)時(shí)發(fā)送通知

一項(xiàng)核心的windows管理

技術(shù)，WMI作為一種規(guī)范

和基礎(chǔ)結(jié)構(gòu)

提供配置、發(fā)現(xiàn)、連接、斷

開(kāi)與無(wú)線局域網(wǎng)的連接所需

的邏輯

服務(wù)連接管理器服務(wù)

Routing and Remote

Access

Removable storage 管理可移動(dòng)媒體驅(qū)動(dòng)程序

和庫(kù)

Print Spooler

將文件加載到內(nèi)存中以便

以后打印，要用打印機(jī)的

用戶(hù)不能禁用這項(xiàng)服務(wù)

提供事件的自動(dòng)發(fā)布到訂

閱COM組件

73

入網(wǎng)終端必須安裝瑞星殺毒軟件，定期對(duì)終端

進(jìn)行全盤(pán)掃描，及時(shí)查殺病毒。

04

殺毒軟件安裝要求

禁止使用非安全優(yōu)盤(pán)進(jìn)行數(shù)據(jù)交互，安全優(yōu)盤(pán)安

全登錄后，需對(duì)交換區(qū)進(jìn)行殺毒掃描后才能使用。

04

U盤(pán)操作要求

開(kāi)啟系統(tǒng)的審核策略，便于對(duì)安全事件進(jìn)行溯源分

析。

01

系統(tǒng)審核策略要求

02 關(guān)閉操作系統(tǒng)中默認(rèn)共享功能。

系統(tǒng)默認(rèn)共實(shí)要求

03 啟用終端操作系統(tǒng)自帶的防火墻功能。

防火墻設(shè)置要求

74

01

02

03

04

05