网络安全管理制度 V1.docx

网络安全管理制度 (V1.0) 第 1页 /共14页 目 录 1. 目的 3 2. 范围 3 3. 审批流程 3 4. 计算机互联网使用安全管理 3 5. 计算机业务专网使用安全管理 4 第 2页 /共14页 1. 目的 为本规范规定了计算机网络使用安全管理要求。 2. 范围 本规范适用于我单位所使用的计算机。 3. 审批流程 信息中心是内外网管理工作的主要责任部门，负责网络管理和维护保障工 作。 申请开通外网需填写“网络开通申审批表”，经部门领导同意，信息中心领 导审核后，审批通过的，进行登记备案后，由信息中心办理开通事宜。 4. 计算机互联网使用安全管理 接入互联网的电脑应与内网物理隔离， 严禁在外网计算机上处理涉密文件和 敏感的内部工作信息。 上网人员不准传播任何非法的、骚扰性的、中伤他人的、辱骂性的、恐吓性 的、 伤害性的、 庸俗的、 淫秽的等信息数据； 不准利用网站服务散布计算机病毒； 不准传播任何教唆他人构成犯罪行为的信息数据；不准传播助长国家不利因素、 涉及国家安全、 以及任何不符合国家法律法规和规章的信息数据； 不准盗用其他 单位和个人的信息数据； 不准对网站进行恶意攻击、 使用黑客软件、 查看注册用 户的信息数据；不准非法进入网站系统等其他的计算机系统。 上网人员在下载、 传送各种信息数据时， 必须考虑网络带宽的限制， 保障网 站系统的畅通。网络管理员根据工作需要有权终止此类操作。 上网人员在发现网络或网站出现故障问题需要进行维护工作时， 应及时通知 网站管理人员。 第 3页 /共14页 已开通外网人员岗位变动， 应根据新岗位需要重新申请开通外网或停止使用 外网。被停止使用外网人员的上网设备报信息中心拆除。 在外网计算机上使用的移动存储介质禁止在内网和涉密网中使用， 杜绝发生 U 盘交叉使用(混用)的现象。 上网人员要自觉接受身份认证和 IP 绑定技术对个人上网活动的安全监督检 查，严禁擅自改动单位分配的 IP 地址。 外网原则上不得采用无线 AP 的方式，特殊需要需经过信息安全管理部门进 行安全性评估，并采取相应的安全防护措施，纳入上网行为监控系统监控范围， 方可使用。 及时对外网计算机操作系统补丁进行更新。 上网人员要提高自身的恶意代码防范意识， 在接收文件或邮件之前， 必须先 进行恶意代码检查，或利用杀毒软件进行检查。 5. 计算机业务专网使用安全管理 所有连接到信息系统内部网的计算机必须采用由信息技术部门批准的、 至少 基于口令的访问控制系统。 所有用来处理涉密信息以及重要信息的独立计算机即使不与内部网络进行 连接，也必须采用经过批准的、至少基于口令的访问控制系统。 所有局域网之间的访问必须采取适当的访问控制手段， 如监控网络流量、 配 置访问控制列表、网络入侵检测设备等。 应定期对使用信息系统的计算机和网络的第三方进行检查， 以确保第三方遵 守有关安全策略和要求。 必须在所有应用服务器和联网计算机上安装符合要求的并统一下发使用的 防病毒软件。 未经许可严禁在办公室使用调制解调器等上网设备， 如确有必要， 使用此类 设备时必须断开与内部网的连接。 当用户离开计算机时， 必须关机或激活设置有口令保护的屏幕保护程序或返 第 4页 /共14页 回登录界面。 6. 系统监控与维护 网络设备应建立完善、 全面的监控系统。 监控内容应包括但不限于生产网和 办公网的路由器、 交换机、 防火墙等网络设备的工作状态和线路状态， 并保存相 应的记录。测试网和互联网暂不纳入监控范围。 网络监控系统应能够记录网络拓扑， 监控并记录线路流量， 分析识别异常流 量并采取相应措施。 网络设备应合理的配置网络管理协议，支持足够的状态监控。 网络监控系统应设置权限密码，防止监控工具滥用。 网络监控系统应能够及时可靠的响应故障或特定安全情况，并及时通过短 信、邮件或电话的方式将故障内容送达相关工作人员。 网络监控系统应对网络设备的工作状态保持持续监控和记录， 应能够分析设 备长期工作状态并对异常状态提出告警。 网络管理员定期巡检网络设备，巡检工作纳入信息中心季度巡检。 定期巡检中发现的问题， 应当提出解决方案， 并尽快实施处理。 下次巡检过 程中应复核是否已解决。 7. 网络设备管理 网络管理员负责网络系统的监控、 维护与管理， 保证网络系统稳定运行， 发 现异常情况应及时处理；定期对公司网络系统性能进行评估，提出改进措施。 信息安全管理员负责网络安全设备的监控、 维护与管理， 保证安全系统正常 运行， 发现异常情况应及时处理； 定期对公司网络系统安全性进行评估， 提出改 进措施。 网络设备上线前须经过安全评估，符合行业有关信息安全标准和管理规定， 经在 IT 运维管控平台登记并审批通过后方可进行入网安装调试。 网络设备的登录口令必须足够强壮，保障口令难以被破译。 第 5页 /共14页 网络设备当前的配置文件必须进行备份，并在计算机上保存备份文件。 网络设备的拓扑结构、 IP 地址等信息文档属于机密信息，应该在一定范围 内予以保密。 网络整体的拓扑结构需进行严格的规划、 设计和管理， 一经确定， 不能轻易 更改。 定期每月检查网络设备的日志，及时发现攻击行为。 网络设备的软件版本应统一升级到较新版本。 网络设备的安装、配置、变更、撤销等操作必须严格按照流程执行。 对重要网段要进行重点保护，要使用防火墙等安全设备以及 VLAN 或其他访 问控制方式与技术将重要网段与其它网段隔离开。 网络结构要按照分层网络设计的原则来进行规划， 合理清晰的层次划分和设 计，可以保证网络系统骨干稳定可靠、接入安全、便于扩充和管理、易于故障隔 离和排除。 网络管理员定期每月对网络的性能进行一次分析， 以充分了解系统资源的运 行情况及通信效率情况， 提出网络优化方案。 按照最小服务原则为每台网络设备 进行安全配置。 8. 用户和口令管理 需对网络设备登录帐号设置权限级别，授权要遵循最小授权原则。 保证用户身份标志的唯一性， 即不同的个人用户必须采用不同的用户名和口 令登录， 并且拥有不同的权限级别， 不同用户的登录操作在设备日志文件上均有 记录，便于追查问题。 网络管理员拥有网络设备的超级用户权限， 网络管理员不得私开用户权限给 其它人员。 用户的口令尤其是超级用户的口令必须足够强壮， 保障口令难以被破译， 口 令的设置必须遵守《密码使用管理制度》的相关规定。 第 6页 /共14页 9. 配置文件管理 在网络设备初次安装调试完成后、 配置发生变化等情况， 需对网络设备配置 文件进行备份。 所有的网络配置文件需有文档记录，网络设备的配置文件需要定期每 90 天 进行一次备份。 网络配置信息的修改要获得信息中心的批准方可进行。 10. 网络接入管理 网络设备 (包括计算机、 服务器、 网络打印机等网络设备) 需要接入网络时， 须通过运维平台提交申请，经信息中心领导审批、备案后，方可接入网络。 与行业外单位联网要采取逻辑隔离措施及编辑安全防护措施， 有效防范违规 接入和外联。 信息网络域名、 IP 地址和网络端口要进行集中管理，未经信息安全与系统 运维工作组领导批准，相关运维人员(网络管理员、安全管理员)不得擅自开放 网络端口、修改网络配置参数、分配网络资源。 第 7页 /共14页 11. 网络安全访问控制审批管理 1.1. 审批管理流程 图 访问控制审批管理流程图 1. 申请方 申请方根据网络、应用、系统访问控制规则发生变化的实际情况提出申请， 并提交至审核方进行评估审核。 2. 审核方 对申请方提交的访问控制申请进行安全评估审核， 将评估结果形成详细的描 述文字。 审核通过将评估结果形成详细的描述文字， 并提交至批准方； 审核评估 未通过将未通过原因形成详细的描述文字，并反馈申请方。 3. 批准方 批准方负责对审核方提交的访问控制申请进行审核； 对审核通过的访问控制 申请以书面的形式详细描述审核结果， 并提交实施方进行实施； 对审核未通过的 访问控制申请同样以书面的形式详细描述未通过原因并反馈审核方。 第 8页 /共14页 4. 实施方 相关厂商依据收到审批方的访问控制申请， 在相应区域设备上加载安全访问 控制规则。 实施完成后将结果反馈至批准方。 及时对访问控制规则进行记录， 并 定期整理汇总。 1.2. 提交申请 在安全访问控制规则实施过程中，所有对安全访问规则的开通和变更，例如 增加访问源、目的地址、业务端口、运维端口等，需要申请人根据实际情况填写 《防火墙访问规则审批表》 (见 4 层文档)提交至审核方。审核方审核后提交至 批准方审核，经审核后通知实施方实施。 1.3. 安全评估 审核方接到访问控制申请后，对申请中产生的安全性进行评估分析，评估网 络安全访问控制是否符合安全控制要求及其安全影响， 针对可能带来的影响给出 建议， 并针对其影响程度， 进行相应的安全审核， 并在申请表中具体描述相关影 响结论。评审的重点需考虑： 访问控制申请中的源地址、目的地址是否进行最小化限制； 所申请开放端口类型(TCP、 UDP)是否描述清楚； 所提交的访问控制申请是否对应用、网络、系统产生重大安全隐患等； 在工作日， 审核方在收到变更申请后及时进行处理， 并提交批准方进行审批。 1.4. 审核批准 批准方参考安全评估审核结果，对申请进行审批。若审批通过则提交至实施 方进行实施， 若审批没有通过， 在访问控制审批表中详细描述审批不通过的相关 意见和理由，同时反馈审核方。 第 9页 /共14页 1.5. 实施 申请得到批准方的批准，由实施方进行实施。实施时间为收到变更审批后立 即进行实施。实施完成后向批准方反馈结果。 1.6. 整理汇总 实施方在实施完成后及时对新加访问控制规则进行记录。并定期整理汇总。 12. 网络运行管理 1.1. 网络运行监测 网络管理员应定期和不定期地检查网络设备的运行状况，及时查看设备日 志， 对异常情况的发生， 及时上报， 并做好记录； 对网络设备 CPU 和内存利用率、 数据流量、地址翻译数量、进行均时的监测、跟踪工作，每月形成报表。 网络管理员对网络系统异常和网络系统故障的时间、现象、应急处理方法及 结果作详细的记录。 当网络设备发生宕机引起网络拥塞或网络瘫痪等重大安全事件时网络管理 员应立即启动紧急响应程序， 对网络进行紧急处理， 堵塞攻击入口， 恢复网络的 正常运行，并追查攻击来源，及时上报。 网络审计员应定期网络运维用户访问权限进行复查或评审， 以避免可能的用 户访问权限过界的现象出现。 网络审计员应定期对网络设备的操作进行审计， 同时对审计内容本身进行定 期审计，同时审计中要有明确的权限，充分保证审计内容的完全性。 1.2. 网络值班 应指定网络值班人员，并指定网络值班电话，保证工作时间内有人接听。 网络值班人员每日对网络链路进行例行检查，记录网络链路状况。 第 10页 /共14页 13. 网络安全巡检 巡检(法定工作日)包含但不限于如下内容： (1)服务器：包括指示灯、系统日志、报警等。 (2)网络设备：包括网络接口状态、网络流量、系统日志、各类报警等。 (3)安全设备：包括网络接口状态、系统日志、各类报警等。 (4)应用系统：包括应用系统运行是否正常，系统服务性能能否满足要求。 (5)备份系统：包括数据备份运行是否正常、是否有可用备份磁带等。 (6)机房环境：包括机房市电输入配电情况、不间断电源系统电压、不间 断电源系统电流、不间断电源系统负载率、温度、湿度、卫生、照明、门禁以及 其他报警情况。 14. 网络运行报告管理 应定期对网络运行情况进行统计分析，管理员每月进行网络运行报告。运行 月报应包含设备及应用系统运行情况、 存在的主要问题和处理措施、 下月主要工 作计划等内容。 定期对报告数据应进行认真分析，积极查找问题原因，提出网络合理分析和 建议。 15. 网络变更审批管理 网络管理员因网络安全检查，漏洞扫描实施、安全审计设备新增引起的网络 策略更改，以及网络升级需进行网络变更审批方能实施。 网络变更审批流程如下： 第 11页 /共14页 网络变更需求方提 交网络变更申请 网络管理负责人受 理/审批 提交给网 变更评估完毕将相 关文档作为审批附 件 否 是 是否复审 否 是否通过 是 网路管理员 实施变更 处理完毕记录， 反馈 网络管理负责人变 更情况 络管理人 员进行复 是否评估 是 审 否 是否通过 是 完成变更 禁止变更 否 网络变更流程也适用于对日常运维工作中产生的网络配置更改、设备 /硬件 更换等产生变化的情况进行审批处理。 第 12页 /共14页 附录 1、防火墙访问规则审批表 审批表编号 ： 申请部门 申请人 申请日期 联系电话 访问规则变更申请描述： IP 地址： 目的地址： 开通端口号： 开通时间： 长期( ) 临时( ) 有效期至： 年 月 日 申请人签字： 日期： 变更评估组确认相关影响： 评估人员签字： 日期： 审批意见： 签字： 日期： 第 13页 /共14页 2、网络开通审批表 审批表编号： 申请开通的电脑(固定资产编号)： 申请开通原因 具体内容 期望网络调通时间 申请单位 申请人 申请日期 申请单位意见 信息中心负责人 信息中心意见 信息中心领导 第 14页 /共14页