网络信息安全管理办法（试行）

 

第一条 公共资源交易服务中心（以下简称交易中心）的网络信息和网站建设由技术信息科派专人负责网络信息安全的保护及维护工作。

第二条 交易中心技术信息科室对工作中使用的电子锁（CA）做好台账登记，电子锁（CA）责任到个人，禁止把个人电子锁（CA）借与他人使用。交易中心工作人员应妥善保管自己的电子锁（CA），电子锁（CA）遗失应及时报告交易中心。使用用户名加密码方式登录系统的工作人员应定期更换个人登录密码。

第三条 联接互联网络的交易中心工作电脑，配置固定IP地址。电脑的IP地址与电脑网卡的物理地址（MAC）进行绑定和登记造册，相关登记信息分门别类，保存纸质文件和电子文档。登记信息与设备配置设置对应，并及时更新更正。禁止私自随意更改IP配置，禁止私自变更网络交换路由设备的网络线缆和电源线缆。改变服务器和网络设备的配置信息时，由技术信息科进行登记和变更后的标识记录。

第四条 交易中心配置网络版反病毒软件，做好病毒防范工作，使用端禁止擅自删除反病毒软件，禁止擅自安装其它与反病毒软件相冲突的软件。

第五条 交易中心的普通办公电脑不准访问开标评审系统和进行端口扫描；不准未经允许访问交易中心服务器；不准对网络设备进行尝试登陆；不准扫描和猜测其他用户的密码。评审室电脑利用网络路由设备对评审室的网络进行访问权限控制，仅能访问评审室局域网和交易系统网络。

第六条 因评审系统出现异常情况需进行调试时，技术服务人员进入评审室时，应在交易中心现场监督人员和信息技术员监管下进行；所有进入评审室工作人员严禁透露评审内容和过程，严禁擅自拷贝评审文件。

第七条 交易中心的硬件服务器和防火墙设备账号密码由中心技术信息科室专职人员管理；服务器中的数据库密码由交易中心安排专人管理，采用市交易中心主任、现场监督科负责人和技术信息科负责人三人分三段式密码方式进行管理；工作人员需要使用必须提前申请使用密码，并由交易中心技术信息科室专职人员陪同进行操作管理。

第八条 交易中心的服务器需要远程管理时，由交易中心技术信息科室申请，经交易中心领导同意后再临时开启远程管理；交易中心技术信息科室做好记录，记录远程操作人员、维护内容和登陆时间。远程方式只能通过限定防火墙及服务器远程桌面，来限定远程操作人员的IP或交易中心局域网内远程桌面管理。

第九条 登陆交易中心网络的用户，禁止使用网络软件恶意攻击交易中心的服务器和网络交换路由设备，未经允许禁止使用任何网络管理分析软件对网络内其他电脑进行访问限制和截取信息，禁止非法获取资料文档及配置信息。

第十条 对交易中心的所有无线路由器（AP）进行集中管理，配置无线控制器（AC），进行登陆认证，记录认证信息并保存到日志服务器，登陆时需验证记录用户手机号码。

第十一条 交易中心电脑用户未经允许，严禁在网络上下载和上传软件和未经允许的交易信息，禁止在机柜的PDU上取电，各PDU上接入的电源线应做好标识，禁止随意更改设备电源接入位置。

第十二条 提高保密意识，严禁泄露保密的相关信息；严禁在交易中心网络上制作、复制、发布、传播、泄露一切违法违规的相关信息内容；严禁上传任何威胁网站安全运营的文件、程序和代码等；严禁查阅无管理权限的信息内容和其他工作人员的管理信息；禁止盗用他人登陆名进行操作。各科室要随时关注网站上有关本科室工作信息的发布状况，及时更新、补充或更正相关栏目内容。

第十三条  技术信息科做好信息技术的灾难性防护措施、异地数据备份，系统对交易中心数据库文件进行每天凌晨的自动备份，同时做好异机容灾数据库文件备份或数据库镜像技术。

第十四条 技术信息科工作人员定期和不定期进行巡检和维护，发现安全隐患，立即上报交易中心领导，保留原始数据且及时排除隐患，尽可能的避免和降低突发事件的发生。

第十五条 在网络安全等出现异常时应及时向交易中心领导报告。对网络安全异常处置过程中，交易中心工作人员应做好保存重要交易数据备份工作，在事件可控的情况下，应正确判断，关闭非核心设备，延长核心设备运行时长，各科室及时停办一切相关业务，做好牵涉网络和服务器的工作内容保存。

第十六条 对因工作人员引起的网络安全责任事故和泄密事件，应及时做出补救措施，且追究相关人员的责任。