山东航空股份有限公司飞行部飞行一大队业务通告2015一.doc

山 东 航 空 股 份 有 限 公 司 飞 行 部 飞行一大队业务通告 [2015]一大字132号 关于《网上准备系统白名单使用管理规定》 发布及RSA令牌交回的通知 大队全体飞行员： 为节约公司成本，保障公司信息安全，信息管理部于2015年初启动了“网上准备系统短信认证机制”自主研发项目，目前该项目已实施完毕，并顺利通过运行测试阶段。该项目的上线运行，代替了原有的RSA动态认证方式。针对网上准备系统沿用的“白名单应急认证”机制和原RSA动态认证方式使用的规定附后）旧的人员于综合业务单元以便回收。 通知 网上准备系统白名单使用管理规定 一、背景 网上准备系统是公司信息安全等级保护定级为二级的信息系统，系统承载着与飞行任务相关的大量重要信息。为了确保信息安全，网上准备系统用户均采用静态+动态双重认证机制，其中动态认证采取手机短信验证。为防止用户因手机丢失、故障等意外原因造成无法及时进行网上准备工作，网上准备系统将原有的白名单功能进行了保留，以实现动态认证功能的暂时取消。 网上准备系统白名单功能开通后，系统用户登录仅需输入静态密码，在互联网的复杂环境中，系统将会面临很大的安全隐患，因此，白名单的使用应严格管理。为确保公司信息安全，防止敏感信息外漏，特制定网上准备系统白名单功能的管理规定。 二、目的 规范网上准备系统用户账号的安全管理，保障网上准备系统的信息安全。 三、适用范围 需登录网上准备系统进行网上准备工作的所有执勤人员。 本办法所称短信认证是指网上准备系统目前替代原有RSA认证的一种认证方式。 本办法所称白名单是指暂时取消短信认证仅使用静态验证的网上准备系统用户名单。 四、相关文件 MD-PE-2013-01《民航网络与信息安全管理暂行办法》 SC-2G-YB-01 5.5《信息系统用户账号安全管理办法》 五、职责分工 （一）信息管理部 1、负责对网上准备系统白名单的统一维护。 2、负责提供网上准备系统短信认证的技术支持。 3、负责定期对网上准备系统白名单用户管理情况进行检查。 （二）业务部门 1、负责对白名单添加人员进行身份确认并向信息管理部提出添加申请。 2、负责本部门的白名单人员管理。 六、白名单权限管理要求 1、白名单权限的开通，需由业务部门向信息管理部提出添加申请后进行开通。 2、白名单权限一次开通期限为三天，三天后将自动恢复为短信验证。 3、系统用户有责任使用短信认证机制登录网上准备系统，不得有故意不带手机、故意隐瞒短信接收等行为。 4、白名单权限开通天数每月达到15日以上的活跃用户，信息管理部将每月以发函形式告知相关业务部门，业务部门有责任要求此类用户人员使用短信认证机制登录网上准备系统。 七、工作流程 1、白名单权限开通流程如附件一所示。 2、流程说明 2.1 用户开通短信认证白名单权限时，由本人向所在业务部门提出开通申请。 2.2 业务部门确认用户身份及开通原因后，通过RTX或邮箱方式，向信息管理部IT服务值班人员提出申请。 2.3 由IT服务值班人员开通白名单权限，有效期限为三天。 2.4 IT服务值班人员将权限开通后，告知业务部门，由业务部门通知用户已开通权限及有效期限。 本规定自下发之日起正式执行。 信息管理部 二〇一五年七月七日 附件一 白名单权限开通流程 1