中国移动信息安全的七条禁令2020版

手机使用保密守则使用互联网计算机安全保密提示移动存储介质保密十项禁则1.设置密码锁屏：确保手机在未经允许的情况下无法轻易被他人访问。

2.定期更换密码：不定期更改手机密码，防止密码泄露。

3.不随意借用他人手机：避免他人利用手机获取个人隐私信息。

4.不在公共场合随意使用手机：公共场合的网络环境通常不够安全，避免在这些地方进行涉密操作。

5.避免通过手机泄露公司机密：不使用手机传输或处理公司机密信息。

6.谨慎连接公共Wi-Fi：公共Wi-Fi有被黑客盗取个人信息的风险，避免连接不可信的Wi-Fi网络。

8.不随意保存银行卡信息等敏感数据：避免把敏感信息存储在手机上，防止被他人盗取。

9.谨慎开启手机的定位服务：避免泄露个人位置信息。

10.及时更新手机系统和应用程序：保持手机软件的最新版，以修补已发现的安全漏洞。

使用互联网计算机安全保密提示：1.设置强密码：使用包含数字、字母和特殊符号的复杂密码，避免使用简单的常用密码。

2.定期更新密码：不定期更改密码，增加密码的安全性。

4.提高网络安全意识：学习有关网络安全知识，了解常见的网络欺诈手段，避免成为受害者。

6.定期备份重要数据：及时备份重要的文件和数据，以免数据丢失。

7.使用防病毒软件：安装并更新防病毒软件，保护计算机免受恶意软件的感染。

9.尽量使用加密协议：对于涉及敏感信息传输的网站，尽量使用HTTPs协议。

10.不随意共享和转发他人信息：遵守知识产权，不擅自转发他人的知识产权信息，避免侵权行为。

移动存储介质保密十项禁则：1.不将移动存储介质随意带离工作场所，尤其是存储有机密文件的介质。

2.不在无需使用的情况下使用移动存储介质。

3.不在公共场所使用移动存储介质，以防被他人窃取。

5.使用移动存储介质前，先进行病毒扫描，确保介质的安全性。

6.不将个人文件和机密文件存储在同一个移动存储介质中，避免泄露。

7.不向他人随意分享移动存储介质，尤其是涉密的文件。

8.对移动存储介质进行适当的物理保护，避免损坏或丢失。

移动数据安全禁忌常识加密软件确保安全底线你的移动设备中存在着悄无声息地丢失机密信息的情况吗？你的移动设备成为你的软肋了吗？如果答案是YES，那么你就必须听听数据安全领域专家山丽网安关于移动设备安全禁忌的常识解说和解决之法。

移动数据安全禁忌多一一点名无后忧【无线网络请慎入】大部分人都会将移动设备连接到任意一个便捷的公共无线网络，却从来没有想过自己的一举一动可能会受到他人的监视与窥探。

或者更糟糕的是，这个网络正是由想要窃取数据的黑客创立的。

尽量避免使用公共无线网络来传输机密信息。

如果你非用不可，那就利用虚拟专用网络(VPN)来保障你的信息安全。

同时利用一些可靠的加密软件来保护核心数据的安全也是不错的选择。

【时刻提防数据泄漏】这么说的原因主要是数据的遗失可能是无意中造成的。

当你将一个机密文件上传到云端服务器或者电子邮件的时候，可能无意间就暴露了信息。

将私人(或工作)网络和公共网络分开是一个好办法，这样一来，假使账户受到攻击损坏，损失也不会很大。

【机密运用机密对待】如果你确实要处理机密的工作信息，那就和你的老板商量合适的存储设备。

有时候，即使数据没有受到损坏，简单地把信息上传到一个不靠谱的服务器也会让你的工作风险倍增。

同时在处理这些机密数据的时候，选择安全较高的服务器也是很有必要的。

【防泄漏要注意防偷窃也不能忽视】信息时代，人们常常关注移动设备数据泄漏的问题，这固然是很有必要的，但是作为一个可以携带的物品，传统的防小偷工作依然不能忽视。

不然你的数据很有可能遭遇“间接泄漏”。

所以一定要给你的设备设置安全可靠的密码。

购买移动安全软件的时候，确认软件具备反盗窃功能，比如远程信息销毁或者高质量加密的设置，可以在丢失找回U盘期间的数据安全提供有效的安全防护。

大型企业不可忽视移动安全小小U盘可能存巨大安全危机许多大型企业在处理移动设备安全问题时往往处于不重视的状态，这种状态主要分为两种情况。

一是大型企业以远程传输信息为主，已经摈弃了大部分传统的移动设备，留下的都是他们认为可靠的最新安全科技的移动设备，所以在防护上的心力自然会减少很多。

（安全管理）中国移动管理信息系统安全基线规范vQB-╳╳-╳╳╳-╳版本号：1.0.0前言本规范是针对操作系统、网络设备、数据库、中间件和WEB应用的系列安全基线,是各系统安全配置检查的基准，是中国移动管理信息系统产品准入、入网测试、工程验收、系统运维配置、自我评估、安全加固的权威性指南。

本规范由中国移动通信集团公司管理信息系统部提出并归口管理。

本规范的解释权属于中国移动通信集团公司管理信息系统部。

本规范起草单位：中国移动通信集团公司管理信息系统部本规范主要起草人：起草人1姓名、起草人2姓名、……目录1概述41.1目标和适用范围41.2引用标准41.3术语和定义42安全基线框架52.1背景52.2安全基线制定的方法论62.3安全基线框架说明63安全基线范围及内容73.1覆盖范围73.2安全基线组织及内容83.2.1 安全基线编号说明93.2.2 Web应用安全基线示例93.2.3 中间件、数据库、主机及设备示例93.3安全基线使用要求104评审与修订101概述1.1目标和适用范围本规范对各类操作系统、网络设备、数据库、中间件和WEB应用的安全配置和检查明确了基本的要求。

本规范适用于中国移动管理信息系统的各类操作系统、网络设备、数据库、中间件和WEB应用，可以作为产品准入、入网测试、工程验收、系统运维配置、自我评估、安全加固的依据。

1.2引用标准◆《中国移动网络与信息安全总纲》◆《中国移动内部控制手册》◆《中国移动标准化控制矩阵》◆《中国移动操作系统安全功能和配置规范》◆《中国移动路由器安全功能和配置规范》◆《中国移动数据库安全功能和配置规范》◆《中国移动网元通用安全功能和配置规范》◆FIPS199《联邦信息和信息系统安全分类标准》◆FIPS200《联邦信息系统最小安全控制标准》1.3术语和定义2安全基线框架2.1背景中国移动管理信息系统的设备、主机、应用等多采购自第三方，在部署之前往往只执行了功能测试，各个系统安全水平不一，容易遭受黑客攻击，存在很多安全隐患。

移动通信安全操作规程移动通信技术的发展已经成为现代社会中不可或缺的一部分。

人们现在可以随时随地通过手机、平板电脑等设备进行通信和信息传递。

然而，随着移动通信的普及，也出现了一些安全问题。

为了保护个人信息和数据的安全，我们需要遵守一些移动通信安全操作规程。

第一条，设置密码保护。

确保你的移动设备和通信应用都设置有密码保护。

选择一个强密码，由数字、字母和特殊符号组成。

避免使用常见的密码，如生日、电话号码等个人信息。

并且定期更改密码，以增加安全性。

第二条，及时更新软件和应用。

移动设备和应用程序的提供商通常会发布更新来修复漏洞并提升系统的安全性。

确保你的设备和应用程序都是最新版本，以防止黑客利用旧版本的漏洞进行攻击。

第三条，谨慎使用公共Wi-Fi。

公共Wi-Fi网络容易受到黑客攻击，因此在公共场所使用时要格外小心。

最好是避免在公共Wi-Fi网络上进行银行交易、登录社交媒体账号或访问其他敏感信息。

如果必须使用公共Wi-Fi网络，可以考虑使用虚拟私人网络（VPN）来加密你的通信数据。

第四条，不要信任陌生人发送的链接。

黑客经常利用社交媒体、短信等渠道发送恶意链接，目的是诱骗用户点击并下载恶意软件。

不要随意点击来自陌生人的链接，也不要下载来历不明的应用程序。

如果你收到可疑的链接或信息，最好立即删除或报告给相关部门。

第五条，增强手机防盗措施。

手机是我们日常生活中最常用的移动设备，因此保护手机的安全至关重要。

启用手机的远程定位、锁屏和擦除功能，以防止手机丢失或被盗时泄露个人信息。

此外，添加指纹识别或面部识别等生物识别功能，进一步提升手机的安全性。

第六条，定期备份数据。

备份是防范数据丢失和恶意攻击的重要手段。

定期将移动设备上的重要数据备份到云存储或其他安全的存储介质上，以防止数据丢失或被黑客攻击。

第七条，保护个人隐私。

在使用移动通信设备和应用程序时，要注意保护个人隐私信息。

避免在公共场所大声讨论个人敏感信息，谨慎分享个人信息和位置信息。

信息安全十条禁令
信息安全十条禁令宣言：只有给别人带来好处才能实现自己的价值
解放军颁布“十条禁令” 一、严禁涉密计算机联接互联网。

二、严禁私人计算机联接涉密网。

三、严禁涉密移动载体存储私人信息。

四、严禁私人移动载体存储涉密信息。

五、严禁存储或曾经存储过涉密信息的移动载体联接互联网。

六、严禁在联接互联网的计算机上存储、处理或传递涉密信息。

七、严禁计算机在涉密网和互联网之间交叉联接。

八、严禁移动载体在涉密计算机和联接互联网计算机之间交叉使用。

九、严禁私人手机、数码相机、播放器等电子设备联接涉密计算机。

十、严禁以军人身份在互联网上开设博客、聊天交友、应聘求职。

1。

第一章总则第一条为加强中国移动网络安全管理，保障公司信息系统安全稳定运行，维护公司利益和客户权益，根据国家相关法律法规，结合公司实际情况，制定本规章制度。

第二条本规章制度适用于中国移动所有员工、合作伙伴以及使用公司信息系统的用户。

第三条公司安全管理部门负责组织、协调、监督、检查和指导公司安全工作。

第四条公司各部门应按照本规章制度的要求，建立健全本部门的安全管理制度，落实安全责任。

第二章安全组织与管理第五条公司设立安全委员会，负责公司安全工作的统筹规划、决策和监督。

第六条安全委员会下设安全管理部门，负责具体实施安全管理制度，组织安全培训和应急响应。

第七条各部门应设立安全负责人，负责本部门的安全管理工作，并定期向安全管理部门报告安全工作情况。

第八条公司建立健全安全责任制，明确各级人员的安全职责，确保安全责任落实到人。

第三章信息安全管理制度第九条公司信息系统应遵循国家相关法律法规，采用安全可靠的技术手段，确保信息系统安全。

第十条信息系统建设应遵循安全设计原则，确保信息系统在设计、开发、部署、运行和维护等各个环节符合安全要求。

第十一条公司应建立信息安全风险评估机制，定期对信息系统进行安全风险评估，并采取相应措施。

第十二条公司应建立健全信息安全事件报告、调查、处理和总结制度，确保信息安全事件得到及时、有效处理。

第十三条公司应加强密码管理，确保密码的安全性和保密性。

第十四条公司应加强对员工信息安全意识的教育和培训，提高员工的信息安全素养。

第四章物理安全管理制度第十五条公司应加强办公场所、数据中心等物理场所的安全管理，确保场所安全。

第十六条公司应建立健全门禁、监控、消防等物理安全设施，并定期进行检查和维护。

第十七条公司应加强计算机设备、存储设备等物理设备的安全管理，防止设备丢失、损坏或被盗。

第五章应急管理第十八条公司应建立健全信息安全应急响应机制，确保在发生信息安全事件时，能够迅速、有效地进行处置。

第十九条应急响应机制应包括应急组织、应急预案、应急流程等内容。

中国移动网络与信息安全总纲精品资料网（）25万份精华管理资料，2万多集管理视频讲座中国移动网络与信息安全总纲中国移动通信集团公司2006年7月本文档版权由中国移动通信集团公司所有。

未经中国移动通信集团公司书面许可，任何单位和个人不得以任何形式摘抄、复制本文档的部分或全部，并以任何形式传播。

中国移动[注]的通信网络和支撑系统是国家基础信息设施，必须加以妥善保护。

随着网络和通信技术的快速发展，网络互联与开放、信息共享带来了日益增长的安全威胁。

为了企业乃至国家的网络与信息安全，为了保障客户利益，加强各方面的安全工作刻不容缓！制订和颁布本标准的目的是为中国移动的网络与信息安全管理工作建立科学的体系，力争通过科学规范的全过程管理，结合成熟和领先的技术，确保安全控制措施落实到位，为各项业务的安全运行提供保障。

本标准主要依据国际规范，参考业界的成熟经验，结合中国移动的实际情况进行补充、修改、完善而来。

本标准目前主要针对互联网、支撑网等IT系统安全。

[注]：本标准所称“中国移动”是指中国移动通信集团公司及由其直接或间接控股的公司。

中国移动通信集团公司，以下简称“集团公司”。

各移动通信有限责任公司，以下简称“各省公司”。

前言 (2)目录 (3)总则 (13)1．网络与信息安全的基本概念 (13)2．网络与信息安全的重要性和普遍性 (13)3．中国移动网络与信息安全体系与安全策略 (14)4．安全需求的来源 (16)5．安全风险的评估 (17)6．安全措施的选择原则 (18)7．安全工作的起点 (18)8．关键性的成功因素 (19)9．安全标准综述 (20)10．适用范围 (24)第一章组织与人员 (26)第一节..................................................... 组织机构261．领导机构 (26)2．工作组织 (27)3．安全职责的分配 (28)4．职责分散与隔离 (29)5．安全信息的获取和发布 (30)6．加强与外部组织之间的协作 (30)7．安全审计的独立性 (31)第二节...................................... 岗位职责与人员考察311．岗位职责中的安全内容 (31)2．人员考察 (32)3．保密协议 (33)4．劳动合同 (33)5．员工培训 (33)第三节.......................... 第三方访问与外包服务的安全341．第三方访问的安全 (34)2．外包服务的安全 (35)第四节...................................... 客户使用业务的安全37第二章网络与信息资产管理 (38)第一节................................ 网络与信息资产责任制度381．资产清单 (38)2．资产责任制度 (39)第二节....................... 资产安全等级及相应的安全要求421．信息的安全等级、标注及处置 (42)2．网络信息系统安全等级 (44)第三章物理及环境安全 (46)第一节..................................................... 安全区域461．安全边界 (46)2．出入控制 (47)3．物理保护 (48)4．安全区域工作规章制度 (49)5．送货、装卸区与设备的隔离 (50)第二节..................................................... 设备安全511．设备安置及物理保护 (51)2．电源保护 (52)3．线缆安全 (53)4．工作区域外设备的安全 (54)5．设备处置与重用的安全 (54)第三节............................................ 存储媒介的安全551．可移动存储媒介的管理 (55)2．存储媒介的处置 (55)3．信息处置程序 (56)4．系统文档的安全 (57)第四节............................................... 通用控制措施581．屏幕与桌面的清理 (58)2．资产的移动控制 (59)第四章通信和运营管理的安全 (60)第一节............................................ 操作流程与职责601．规范操作细则 (60)2．设备维护 (61)3．变更控制 (62)4．安全事件响应程序 (62)5．开发、测试与现网设备的分离 (63)第二节.......................... 系统的规划设计、建设和验收641．系统规划和设计 (64)2．审批制度 (64)3．系统建设和验收 (65)4．设备入网管理 (67)第三节............................................ 恶意软件的防护67第四节...................................... 软件及补丁版本管理69第五节............................................ 时钟和时间同步70第六节..................................................... 日常工作701．维护作业计划管理 (70)2．数据与软件备份 (70)3．操作日志 (72)4．日志审核 (72)5．故障管理 (73)6．测试制度 (74)7．日常安全工作 (74)第七节............................................... 网络安全控制75第八节......................................... 信息与软件的交换761．信息与软件交换协议 (76)2．交接过程中的安全 (76)3．电子商务安全 (77)4．电子邮件的安全 (78)5．电子办公系统的安全 (79)6．信息发布的安全 (80)7．其他形式信息交换的安全 (81)第五章网络与信息系统的访问控制 (82)第一节............................................... 访问控制策略82第二节............................................... 用户访问管理841．用户注册 (84)2．超级权限的管理 (85)3．口令管理 (87)4．用户访问权限核查 (88)第三节..................................................... 用户职责881．口令的使用 (88)2．无人值守的用户设备 (89)第四节............................................... 网络访问控制901．网络服务使用策略 (91)2．逻辑安全区域的划分与隔离 (91)3．访问路径控制 (92)4．外部连接用户的验证 (93)5．网元节点验证 (93)6．端口保护 (94)7．网络互联控制 (94)8．网络路由控制 (95)9．网络服务的安全 (95)第五节...................................... 操作系统的访问控制951．终端自动识别 (96)2．终端登录程序 (96)3．用户识别和验证 (97)4．口令管理系统 (97)5．限制系统工具的使用 (98)6．强制警报 (99)7．终端超时关闭 (99)8．连接时间限制 (100)第六节............................................... 应用访问控制1001．信息访问限制 (100)2．隔离敏感应用 (101)第七节................................... 系统访问与使用的监控1011．事件记录 (102)2．监控系统使用情况 (102)第八节............................................ 移动与远程工作1041．移动办公 (104)2．远程办公 (105)第六章系统开发与软件维护的安全 (107)第一节............................................ 系统的安全需求107第二节............................................ 应用系统的安全1091．输入数据验证 (109)2．内部处理控制 (110)3．消息认证 (111)4．输出数据验证 (112)第三节............................................ 系统文件的安全1121．操作系统软件的控制 (112)2．系统测试数据的保护 (113)3．系统源代码的访问控制 (114)第四节................................ 开发和支持过程中的安全1151．变更控制程序 (115)2．软件包的变更限制 (116)3．后门及特洛伊代码的防范 (117)4．软件开发外包的安全控制 (118)第五节......................................... 加密技术控制措施1181．加密技术使用策略 (119)2．使用加密技术 (119)3．数字签名 (120)4．不可否认服务 (121)5．密钥管理 (121)第七章安全事件响应及业务连续性管理 (124)第一节...................................... 安全事件及安全响应1241．及时发现与报告 (125)2．分析、协调与处理 (125)3．总结与奖惩 (127)第二节............................................ 业务连续性管理1271．建立业务连续性管理程序 (127)2．业务连续性和影响分析 (128)3．制定并实施业务连续性方案 (129)4．业务连续性方案框架 (130)5．维护业务连续性方案 (132)第八章安全审计 (134)第一节......................................... 遵守法律法规要求1341．识别适用的法律法规 (134)2．保护知识产权 (135)3．保护个人信息 (135)4．防止网络与信息处理设施的不当使用 (136)5．加密技术控制规定 (136)6．保护公司记录 (137)7．收集证据 (137)第二节............................................ 安全审计的内容138第三节............................................... 安全审计管理1381．独立审计原则 (139)2．控制安全审计过程 (139)3．保护审计记录和工具 (140)参考文献 (141)术语和专有名词 (142)附录1：安全体系第二层项目清单（列表） (143)总则1．网络与信息安全的基本概念网络与信息安全包括下列三个基本属性：➢机密性（Confidentiality）：确保网络设施和信息资源只允许被授权人员访问。

移动云信息安全责任书对于移动云资源的申请单位，需遵守本协议内的信息安全条款，承诺不进行下列行为：1、反对宪法所确定的基本原则的；2、危害国家安全，泄漏国家秘密，颠覆国家政权，破坏国家统一的；3、损害国家荣誉和利益的；4、煽动民族仇恨，民族歧视，破坏民族团结的；5、破坏国家宗教政策，宣扬邪教和封建迷信的；6、散布谣言，扰乱社会秩序，破坏社会稳定的；7、散步淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的；8、侮辱或者诽谤他人，侵害他人合法权益的；9、散步含有法律、行政法规禁止的其他内容的；10、恶意部署木马、病毒等恶意程序并将其注入移动云环境或外部系统；11、利用免费资源进行DOS、DDOS等各类内部、外部网络入侵攻击；12、删除、修改或掩藏移动云服务相关的业务或产品中包含的任何、商标或其他专有权声明；13、对移动云服务相关的业务或产品进行反向工程、反向编译或反汇编；14、将移动云服务相关的业务或产品用于由于相关业务或产品故障而可能会导致死亡、严重人身伤害，或严重的物理或环境损害（以下简称“高风险使用”）的任何应用或情况。

高风险使用的情况包括但不限于：飞机或其他大型交通工具、核设施或化工设施、生命支持系统、植入式医疗设备、机动车辆或武器系统；但是，高风险使用不包括，出于管理目的而利用产品来存储配置数据，利用工程和/或配置工具或利用其他非控制性应用程序，以及在上述使用情形中即使出现故障，也不会导致死亡、人身伤害或严重的物质或环境损害的任何应用或情况。

这些非控制性应用程序可能会与控制性应用程序进行通信，但不得直接或间接地对控制功能负责；15、超出移动云服务范围，可能带来任何不利影响的行为或者是国家禁止的行为；16、未进行网站备案直接开通业务相关端口的行为；17、申请单位实际使用资源不得超过申请单上所申请数量，实际部署的应用类型需与申请单中所填写的应用类型须保持一致；若出现实际使用数量超出所申请资源数量或实际部署的应用类型与申请时所填写类型不匹配的情况，一旦发现将立即停止违规使用的资源，对已超出部分的费用由申请单位负责承担，且应用中出现的风险问题由申请方自负。