IP网络安全管理办法.docx

《安全管理制度》 IP 网络安全管理办法 目 录 编制说明 3 第一章 总则 4 第二章 IP 网络安全要求 4 第三章 附则 8 第一节 文挡信息 8 第2页 共8页 编制说明 本制度依据我国信息安全的有关法律法规，结合***公司的自 身业务特点、并参考国际有关信息安全标准制定的。 《IP 网络安全管理办法》加强了安全事件应急响应管理能力， 规范安全事件应急响应流程，涉及的应急响应是指各系统发生严 重和重大安全事件时应启用的应急响应管理。 第3页 共8页 第一章 总则 第一条制度目标： 为了加强信息安全保障能力， 建立健全的安全 管理体系， 提高整体的网络与信息安全水平， 保证网络通信畅通和业 务系统的正常运营，提高网络服务质量，在安全体系框架下，本制度 为规范 IP 网络安全的运行维护，保护作为信息传输基础的网络基础 设施的安全，保障网络服务的可用性和信息传输的机密性。 第二条适用范围： 本制度由网络与信息安全工作组制订， 适用于 各部门使用的 IP 网络中涉及网络设备、网络设计、运行、边界保护、 监控和审计方面的安全规定。本制度所述的网络设备包括 IP 网络设 备和使用在网络环境中的安全设备，如路由器、交换机、防火墙、入 侵检测系统及网络监控设备。 第三条使用人员及角色职责： 本制度适用于安全管理员， 部门安 全管理员、安全技术人员及系统管理员。 第四条制度相关性： 本制度涉及网络的安全技术规范、 及安全检 查及监控等管理办法，同时遵照相关专业技术文档。 第二章 IP 网络安全要求 第五条各系统网络设备当前运行配置文件应和备份配置文件保 持一致。 第六条各系统网络设备的配置变更应根据《 IP 网络安全管理办 法》严格执行。 第七条网络设备登录提示标识应适当屏蔽内部网络信息内容， 并 应有相关合法性警告信息。 第八条各系统管理员应每季度检查网络设备登录方式的开放情 第4页 共8页 况，关闭没有使用的登录方式。 第九条通过设备日志或外部认证设备维护对设备的登录状况， 内 容应当包括访问登录时间， 人员， 成功登录和失败登录时间和次数等 信息。 第十条严格控制对网络设备的管理授权。 按照最小权限原则对用 户进行授权。 第十一条各系统网络设备的密码应严格按照《安全管理制度汇编 账号、口令及权限管理办法》执行。 第十二条各部门应每季度收集设备运行状况， 通过运行记录和供 应商了解目前已有设备的硬件/软件缺陷， 跟踪设备缺陷的修复情况， 及时向部门信息安全组织和信息安全工作组汇报，作为设备选型/厂 商选择的参考指标。 第十三条负责网络设备维护的人员应与网络设备厂商保持畅通 的沟通联系，以便能及时从厂商处获取必要的技术支持。 第十四条严禁管理员透漏设备口令、 SNMP 字符串、设备配置文 件等信息给未授权人员。 第十五条所有网络必须具有关于拓扑结构、 所用设备、 链路使用 情况等关于网络情况的详细说明文档，并保持文档内容和现有网络、 设备连接和链路信息保持一致。 第十六条网络应具备冗余设计和规划， 实现基本的冗余配置， 预 防关键点的网络故障。应配备冗余链路、核心和汇聚层的冗余设备， 配置冗余路由以充分保障网络的可用性。 第十七条对重要区域实行冷备份与热备份相结合的方式， 避免双 重失效造成的影响。 第十八条网络冗余措施应根据预先制定的冗余配置、 设备、 线路 第5页 共8页 等测试方案每季度进行验证测试，以判别是否满足冗余要求。 第十九条网络管理员或安全管理员对网络链路应进行探测和监 控，并对已经发生的安全事件进行及时响应和处理。 第二十条重要部门在网络上传输机密性要求高的信息时， 必须启 用可靠的加密算法保证传输安全。 第二十一条 在网络中选择和使用恰当的路由协议，并正确地进 行配置和实施，保证网络的互联互通。 第二十二条 由统一的 IP 地址管理机构、 人员负责对外部和内部 各个部门、人员的 IP 地址进行规划、登记、维护和分配。确保各个 部门有足够的地址容量并有一定的冗余供扩展使用。 第二十三条 对于重要区域应单独分配地址段，用于专门的网络 设备互联，不与其他用户混用，以利于安全措施的使用。 第二十四条 维护和记录 IP 地址的使用情况， 及时关闭和回收被 废止的地址。 第二十五条 未经部门或信息安全组织批准，测试网络与内部网 络不能直接连接。 第二十六条 未经部门或信息安全组织批准，严禁员工私自设立 拨号接入服务。 第二十七条 未经部门或信息安全组织批准，严禁员工通过拔号 方式对外部网络进行访问。 第二十八条 所有的远程访问必须具备身份鉴别和访问授权控 制， 至少应采用用户名/口令方式， 通过 Internet 的远程接入访问必 须通过 VPN 的连接，并启用 VPN 的加密与验证功能。 第二十九条 不同安全域之间应采用防火墙，路由器访问控制列 表等方式对边界进行保护。 只开放必要的服务和端口， 减少暴露在网 第6页 共8页 络外部的风险。 第三十条对于重要的系统需要在防火墙上对信息流的内容按照 一定方式进行边界过滤。 第三十一条 根据业务变化及时检验更新现有的防火墙配置制 度，满足新的安全需求。 第三十二条 采取逻辑或物理隔离方法对网络采取必要的隔离措 施， 以维护不同网络间信息的机密性， 解决网络信息分区传输的安全 问题。 第三十三条 在网络中的重要位置应部署网络监控设备或者采用 人工手段，监控采集网络中的流量和事件，设备运行情况等信息，分 析发掘异常事件。 第三十四条 网络中各设备应开启日志记录功能，对网络使用情 况进行记录。 第三十五条 建立网络中的审计体系，应当对审计结果中的异常 信息和长期性事件趋势进行分析。 第7页 共8页 第三章 附则 第一节 文挡信息 第三十六条 本制度由***制定， 并负责解释和修订。 由信息安全 工作组讨论通过，发布执行。 第三十七条 本制度自发布之日起执行。 第8页 共8页