5.7網(wǎng)絡(luò)安全管理辦法1

1、網(wǎng)絡(luò)平安管理方法修訂記錄版本編號(hào)修訂日期主要修訂摘要審核記錄審核人員屬于部門審核日期第一章 總則 為了保證公司網(wǎng)絡(luò)系統(tǒng)平安、持續(xù)和穩(wěn)健運(yùn)行，依據(jù)國(guó)家相關(guān)法律以及相關(guān)文件要求，特制定本管理方法。 本管理方法所稱的網(wǎng)絡(luò)系統(tǒng)，是指由投資購(gòu)買或租用，由信息中心負(fù)責(zé)維護(hù)和管理的網(wǎng)絡(luò)系統(tǒng)，主要包括網(wǎng)絡(luò)主、輔節(jié)點(diǎn)設(shè)備，配套的網(wǎng)絡(luò)線纜設(shè)施，以及由網(wǎng)絡(luò)服務(wù)器、工作站構(gòu)成的，供應(yīng)網(wǎng)絡(luò)應(yīng)用及服務(wù)的硬件、軟件的集成系統(tǒng)。 網(wǎng)絡(luò)系統(tǒng)設(shè)備管理維護(hù)工作由信息中心負(fù)責(zé)，信息中心可以托付相關(guān)單位指定人員代為管理子節(jié)點(diǎn)設(shè)備。任何單位和個(gè)人，未經(jīng)信息中心同意，不得擅自安裝、拆卸或變更網(wǎng)絡(luò)設(shè)備。任何單位和個(gè)人，不得利用聯(lián)網(wǎng)計(jì)算機(jī)、終

2、端從事侵入、危害網(wǎng)絡(luò)、服務(wù)器、工作站的活動(dòng)。 本管理方法適用于其次章 組織機(jī)構(gòu)與職責(zé) 信息中心是網(wǎng)絡(luò)建設(shè)和管理的執(zhí)行機(jī)構(gòu)。其職責(zé)是：為網(wǎng)建設(shè)和發(fā)展制訂整體規(guī)劃；負(fù)責(zé)組織實(shí)施已經(jīng)批準(zhǔn)施行的網(wǎng)絡(luò)建設(shè)安排；負(fù)責(zé)網(wǎng)絡(luò)的運(yùn)行維護(hù)管理；為全公司網(wǎng)絡(luò)用戶供應(yīng)服務(wù)、培訓(xùn)和詢問；跟蹤引進(jìn)先進(jìn)網(wǎng)絡(luò)技術(shù)；負(fù)責(zé)網(wǎng)絡(luò)的運(yùn)行暢通、設(shè)備的運(yùn)行維護(hù)、信息數(shù)據(jù)的平安保密工作；負(fù)責(zé)建立的網(wǎng)絡(luò)設(shè)備檔案；負(fù)責(zé)對(duì)網(wǎng)絡(luò)平安事務(wù)進(jìn)行風(fēng)險(xiǎn)識(shí)別、評(píng)估、監(jiān)測(cè)和出具相關(guān)報(bào)告材料；制定網(wǎng)絡(luò)的相關(guān)管理方法。 XX部負(fù)責(zé)人員崗位變動(dòng)狀況的審核。XX部負(fù)責(zé)對(duì)網(wǎng)絡(luò)管理方法執(zhí)行狀況進(jìn)行監(jiān)督、檢查。XX部負(fù)責(zé)網(wǎng)絡(luò)平安事務(wù)報(bào)送監(jiān)管機(jī)構(gòu)相關(guān)事項(xiàng)。 發(fā)起風(fēng)險(xiǎn)評(píng)估的責(zé)

3、任主體包括網(wǎng)絡(luò)平安工作管理職能部門各支撐系統(tǒng)維護(hù)部門，如綜合管理部門、業(yè)務(wù)支撐部門、管理信息系統(tǒng)部門等等。接受平安風(fēng)險(xiǎn)評(píng)估的部門應(yīng)參加制定平安風(fēng)險(xiǎn)評(píng)估安排及評(píng)估方案，了解評(píng)估可能造成的影響及規(guī)避措施，協(xié)作實(shí)施平安風(fēng)險(xiǎn)評(píng)估工作。參加平安風(fēng)險(xiǎn)評(píng)估人員應(yīng)嚴(yán)格遵守公司保密管理規(guī)定，對(duì)接觸到的敏感信息、漏洞狀況等嚴(yán)格保密。如托付第三方進(jìn)行風(fēng)險(xiǎn)評(píng)估，應(yīng)選擇符合國(guó)家和公司要求的風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)，并在與之簽訂的協(xié)議中，明確保密要求及禁止利用中供應(yīng)的權(quán)限、信息進(jìn)行其它破壞性或者信息刺探等非法活動(dòng)，保障公司及客戶利益。第三章 網(wǎng)絡(luò)結(jié)構(gòu)管理 網(wǎng)絡(luò)劃分為業(yè)務(wù)網(wǎng)、辦公網(wǎng)、開發(fā)網(wǎng)、互聯(lián)網(wǎng)等四個(gè)子網(wǎng)。各子網(wǎng)之間實(shí)行平安隔離

4、，各子網(wǎng)內(nèi)的服務(wù)器、終端之間不允許跨網(wǎng)訪問，各子網(wǎng)內(nèi)的終端嚴(yán)禁混用及跨網(wǎng)訪問，以提高網(wǎng)絡(luò)管理平臺(tái)數(shù)據(jù)的平安。 開發(fā)網(wǎng)為封閉式子網(wǎng)，主要運(yùn)用人員為和合作單位的開發(fā)人員；開發(fā)人員必需運(yùn)用供應(yīng)的固定開發(fā)終端和固定IP地址進(jìn)行開發(fā)工作，嚴(yán)禁在開發(fā)網(wǎng)內(nèi)運(yùn)用自帶筆記本電腦和移動(dòng)存儲(chǔ)介質(zhì)；開發(fā)人員嚴(yán)禁接觸生產(chǎn)環(huán)境，開發(fā)產(chǎn)品源代碼需由開發(fā)人員提交給代碼審核人員進(jìn)行審核后，交由產(chǎn)品維護(hù)人員進(jìn)行上傳更新；采納的平安措施包括防病毒軟件、IPS、防火墻等。第四章 網(wǎng)絡(luò)平安管理 為保障網(wǎng)絡(luò)設(shè)備的平安、穩(wěn)定運(yùn)行，機(jī)房必需建立相應(yīng)的接地、防雷、防火、防水設(shè)施和UPS、柴油發(fā)電機(jī)等后備電源設(shè)備，并符合相關(guān)國(guó)家標(biāo)準(zhǔn)。 網(wǎng)絡(luò)管理

5、員負(fù)責(zé)網(wǎng)絡(luò)的運(yùn)行管理，實(shí)施網(wǎng)絡(luò)平安策略和平安運(yùn)行細(xì)則。 網(wǎng)絡(luò)管理員應(yīng)制定周密的切實(shí)牢靠的網(wǎng)絡(luò)備份和應(yīng)急復(fù)原方案，防止由于網(wǎng)絡(luò)設(shè)備系統(tǒng)崩潰、硬件損壞等緣由而引起業(yè)務(wù)中斷。重要核心網(wǎng)絡(luò)設(shè)備必需采納“雙機(jī)熱備”的方式，非核心網(wǎng)絡(luò)設(shè)備可采納一備多的“冷備”的方式。網(wǎng)絡(luò)管理員應(yīng)定期對(duì)中心機(jī)房網(wǎng)絡(luò)設(shè)備進(jìn)行巡檢，監(jiān)測(cè)網(wǎng)絡(luò)設(shè)備的物理穩(wěn)定性和系統(tǒng)穩(wěn)定性，進(jìn)行系統(tǒng)日志審計(jì)，并對(duì)系統(tǒng)狀況及平安事務(wù)進(jìn)行分析，制定相應(yīng)的維護(hù)策略。 網(wǎng)絡(luò)設(shè)備發(fā)生故障，網(wǎng)絡(luò)管理員應(yīng)本著先搶通業(yè)務(wù)、后解除故障的原則依據(jù)規(guī)定流程解除故障，并填寫設(shè)備故障報(bào)告表，遇到重大故障時(shí)應(yīng)剛好上報(bào)領(lǐng)導(dǎo)，事后編寫故障分析報(bào)告。 網(wǎng)絡(luò)管理員應(yīng)負(fù)責(zé)落實(shí)、實(shí)施涉及

6、網(wǎng)絡(luò)設(shè)備的密碼管理機(jī)制。 針對(duì)服務(wù)器、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)平安設(shè)備應(yīng)建立相應(yīng)的日志服務(wù)器，歷史記錄保持時(shí)間不得低于12個(gè)月；重要服務(wù)器、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)平安設(shè)備日志應(yīng)建立日志備份機(jī)制。 任何人不得利用各種網(wǎng)絡(luò)設(shè)備或軟件技術(shù)從事用戶帳戶及口令的偵聽、盜用活動(dòng)，不得運(yùn)用任何非法手段獲得他人信息。網(wǎng)絡(luò)設(shè)備、服務(wù)器等發(fā)生破壞案件，或遭到黑客攻擊，如該案件影響到公司重要信息系統(tǒng)的正常運(yùn)行，信息中心負(fù)責(zé)突發(fā)事務(wù)應(yīng)急處置工作并在事發(fā)后二非常鐘內(nèi)將事務(wù)報(bào)備XX部。網(wǎng)絡(luò)管理員定期對(duì)配置文件進(jìn)行離線備份，在配置變更前、變更后分別對(duì)網(wǎng)絡(luò)設(shè)備的配置文件進(jìn)行備份。第五章 網(wǎng)絡(luò)接入管理 網(wǎng)絡(luò)接入應(yīng)符合“誰(shuí)主管、誰(shuí)負(fù)責(zé)，誰(shuí)接入、誰(shuí)

7、負(fù)責(zé)”總體原則，遵從“基于需求”、“集中化”、“標(biāo)準(zhǔn)化”及“可控”等具體原則。通過規(guī)范申請(qǐng)、審批等過程，實(shí)現(xiàn)平安的網(wǎng)絡(luò)互聯(lián)。 各部門或個(gè)人不得擅自將計(jì)算機(jī)終端設(shè)備接入網(wǎng)絡(luò)，必需向信息中心提交IP地址申請(qǐng)表（附錄），由信息中心審核申請(qǐng)，統(tǒng)一安排IP地址，將IP地址與MAC地址綁定。網(wǎng)絡(luò)用戶必需嚴(yán)格運(yùn)用安排的IP地址，不得擅自更改。 生產(chǎn)網(wǎng)、辦公網(wǎng)、開發(fā)網(wǎng)內(nèi)客戶端必需安裝防病毒軟件及網(wǎng)絡(luò)準(zhǔn)入限制軟件，用戶不得擅自更改或刪除安裝的網(wǎng)絡(luò)服務(wù)軟件。如重新安裝操作系統(tǒng)，應(yīng)剛好向信息中心申請(qǐng)重新安裝網(wǎng)絡(luò)服務(wù)軟件。 員工因工作調(diào)動(dòng)或離職時(shí)，其所在單位應(yīng)負(fù)責(zé)將其所運(yùn)用的計(jì)算機(jī)名、IP地址、用戶名、登錄密碼、郵箱

8、等信息以書面形式提交人力資源部審核，由信息中心相關(guān)人員核實(shí)、變更并登記備案。 外來(lái)人員未經(jīng)許可不得運(yùn)用網(wǎng)絡(luò)資源，如需訪問內(nèi)網(wǎng)，由相關(guān)接待部門填寫外來(lái)計(jì)算機(jī)及存儲(chǔ)設(shè)備接入申請(qǐng)表（附件2）并經(jīng)主管領(lǐng)導(dǎo)審批后向信息中心申請(qǐng)。 未經(jīng)信息中心許可，任何單位和個(gè)人不得非法私自將非計(jì)算機(jī)接入公司網(wǎng)絡(luò)或擅自接納網(wǎng)絡(luò)用戶。未經(jīng)信息中心允許，不得共享計(jì)算機(jī)內(nèi)的各種資源；不得對(duì)計(jì)算機(jī)網(wǎng)絡(luò)功能進(jìn)行刪除、修改或者增加；不得對(duì)計(jì)算機(jī)網(wǎng)絡(luò)中存儲(chǔ)、處理或者傳輸?shù)臄?shù)據(jù)和應(yīng)用程序進(jìn)行刪除、修改或者增加。 嚴(yán)禁運(yùn)用辦公電腦和網(wǎng)絡(luò)在線觀看及下載電影、電視劇、嬉戲等較大的數(shù)據(jù)文件，禁止玩各類網(wǎng)絡(luò)嬉戲、掛嬉戲外掛等。第六章 互聯(lián)網(wǎng)上網(wǎng)管

9、理公司建設(shè)互聯(lián)網(wǎng)接入必需提前提交互聯(lián)網(wǎng)申請(qǐng)表（附件3），經(jīng)信息中心審批后方可起先實(shí)施； 公司互聯(lián)網(wǎng)出口必需部署防火墻等平安防護(hù)設(shè)備，接入互聯(lián)網(wǎng)的電腦必需經(jīng)過許可，并且安裝防病、毒防火墻等平安防護(hù)軟件。 公司上互聯(lián)網(wǎng)電腦嚴(yán)禁接入到公司的辦公網(wǎng)、生產(chǎn)網(wǎng)以及通過移動(dòng)介質(zhì)拷貝文件至辦公電腦和業(yè)務(wù)終端； 公司上互聯(lián)網(wǎng)電腦不得存儲(chǔ)國(guó)家密級(jí)文件及公司重要文件，各單位要依據(jù)國(guó)家關(guān)于互聯(lián)網(wǎng)上網(wǎng)信息平安有關(guān)規(guī)定，加強(qiáng)對(duì)本單位互聯(lián)網(wǎng)上網(wǎng)電腦的管理，不得利用互聯(lián)網(wǎng)泄露公司商業(yè)隱私和損害公司的利益，對(duì)于出現(xiàn)的違法違紀(jì)行為，公司將依據(jù)有關(guān)規(guī)定追究有關(guān)單位和當(dāng)事人的責(zé)任。 公司互聯(lián)網(wǎng)接入的目的是為了加強(qiáng)與外界的合作與溝通。

10、因此任何人不得在上網(wǎng)電腦上玩網(wǎng)絡(luò)嬉戲、閑聊、閱讀非法網(wǎng)站和下載軟件、音樂、電影等，如因以上緣由引起計(jì)算機(jī)系統(tǒng)染毒、系統(tǒng)崩潰而延誤工作造成損失的，上網(wǎng)者將受紀(jì)律處分并負(fù)責(zé)對(duì)電腦進(jìn)行修復(fù)。 公司員工上網(wǎng)應(yīng)當(dāng)遵守有關(guān)法律、法規(guī)的規(guī)定，加強(qiáng)自律，開展文明、健康的上網(wǎng)活動(dòng)。嚴(yán)禁利用單位網(wǎng)絡(luò)傳播病毒，危害公司網(wǎng)絡(luò)平安；制作、下載、復(fù)制、查閱、發(fā)布、傳播或以其他方式運(yùn)用反動(dòng)、淫穢色情等有害信息；第七章 平安加固及補(bǔ)丁管理 供應(yīng)商和集成商需在服務(wù)期內(nèi)剛好為設(shè)備和系統(tǒng)安裝操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件等第三方軟件的平安補(bǔ)丁，保證系統(tǒng)不出現(xiàn)CVE高風(fēng)險(xiǎn)漏洞。 供應(yīng)商和集成商需在平安補(bǔ)丁安裝前完成與設(shè)備或系統(tǒng)的兼容性測(cè)試

11、。假如出現(xiàn)不能兼容的狀況，供應(yīng)商和集成商必需免費(fèi)對(duì)現(xiàn)有程序、應(yīng)用進(jìn)行修改和升級(jí)，或者免費(fèi)供應(yīng)額外的平安措施，以保證平安性。 供應(yīng)商和集成商在系統(tǒng)驗(yàn)收前，必需對(duì)系統(tǒng)進(jìn)行平安加固，并提交加固報(bào)告，并遵循第四章所供應(yīng)的平安驗(yàn)收標(biāo)準(zhǔn)，進(jìn)行平安驗(yàn)收。集成商必需保證供應(yīng)的系統(tǒng)上不存在任何CVE高風(fēng)險(xiǎn)漏洞。如在驗(yàn)收后發(fā)覺CVE高風(fēng)險(xiǎn)漏洞，集成商和廠商應(yīng)馬上免費(fèi)進(jìn)行升級(jí)和加固。第八章 帳號(hào)口令及日志審計(jì)管理 全部網(wǎng)絡(luò)設(shè)備均須要支持基于帳號(hào)的訪問限制功能，并對(duì)口令文件供應(yīng)妥當(dāng)?shù)膼圩o(hù)。各網(wǎng)絡(luò)設(shè)備應(yīng)能保存帳號(hào)增刪、配置更改、權(quán)限更改、重要操作和登陸信息等有關(guān)平安內(nèi)容的日志。該日志的保存期限應(yīng)不小于2年。假如因容量限

12、制無(wú)法滿意該要求，應(yīng)將日志定期導(dǎo)出，采納其他手段進(jìn)行保存。 網(wǎng)絡(luò)管理員管理應(yīng)定期對(duì)運(yùn)行日志、網(wǎng)絡(luò)監(jiān)控記錄的日常維護(hù)和報(bào)警信息進(jìn)行分析和處理。 如某些網(wǎng)絡(luò)設(shè)備自身賬號(hào)口令管理以及日志審計(jì)功能不能滿意相關(guān)技術(shù)要求，需配套相應(yīng)的外部平安設(shè)備以滿意相應(yīng)的平安技術(shù)要求。 各網(wǎng)絡(luò)設(shè)備在認(rèn)證方面支持雙要素認(rèn)證接口。 第十章 網(wǎng)絡(luò)升級(jí)與漏洞掃描管理 持續(xù)跟蹤廠商供應(yīng)的網(wǎng)絡(luò)設(shè)備的軟件升級(jí)更新狀況，在經(jīng)過充分的測(cè)試評(píng)估后對(duì)必要的補(bǔ)丁進(jìn)行更新，并在更新前對(duì)現(xiàn)有的重要文件進(jìn)行備份。 每季度至少進(jìn)行一次漏洞掃描，對(duì)漏洞風(fēng)險(xiǎn)持續(xù)跟蹤，在經(jīng)過充分的驗(yàn)證測(cè)試后對(duì)必要的漏洞開展修補(bǔ)工作。 實(shí)施漏洞掃描或漏洞修補(bǔ)前，應(yīng)對(duì)可能的風(fēng)

13、險(xiǎn)進(jìn)行評(píng)估和充分打算,如選擇恰當(dāng)時(shí)間，并做好數(shù)據(jù)備份和回退方案。 漏洞掃描或漏洞修補(bǔ)后應(yīng)進(jìn)行驗(yàn)證測(cè)試，以保證網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行。第十一章 附則 本管理方法由信息中心負(fù)責(zé)說明。 本管理方法自發(fā)布之日起執(zhí)行。附錄1：IP地址申請(qǐng)表IP地址申請(qǐng)表編號(hào)： 時(shí)間：基本信息：?jiǎn)挝幻Q聯(lián)系人姓名員工編號(hào)電話運(yùn)用人姓名員工編號(hào)電話計(jì)算機(jī)放置位置申請(qǐng)緣由接入網(wǎng)絡(luò)辦公網(wǎng) 生產(chǎn)網(wǎng) 互聯(lián)網(wǎng)填制單位看法：簽字/蓋章：日期：信息技術(shù)部看法：簽字/蓋章：日期：附錄2：外來(lái)計(jì)算機(jī)及存儲(chǔ)設(shè)備接入申請(qǐng)表外來(lái)計(jì)算機(jī)及存儲(chǔ)設(shè)備接入申請(qǐng)表編號(hào)： 日期：申請(qǐng)部門及人員申請(qǐng)日期公司陪伴人員來(lái)訪單位及運(yùn)用人員擬接入計(jì)算機(jī)型號(hào)擬接入計(jì)算機(jī)操作

14、系統(tǒng)接入事由申請(qǐng)接入時(shí)段申請(qǐng)接入的網(wǎng)絡(luò)防病毒軟件病毒庫(kù)更新日期審批記錄接入前病毒檢查結(jié)果平安檢查記錄平安管理員簽名接入時(shí)間離開時(shí)間備注附錄3：互聯(lián)網(wǎng)申請(qǐng)表互聯(lián)網(wǎng)申請(qǐng)表編號(hào)： 時(shí)間：申請(qǐng)部門申請(qǐng)部門看法（簽字蓋章） 日期:上網(wǎng)負(fù)責(zé)人聯(lián)系電話座機(jī)：手機(jī)：申請(qǐng)上網(wǎng)電腦數(shù)（臺(tái)）申請(qǐng)上網(wǎng)帳號(hào)數(shù)(筆記本用戶)上網(wǎng)需求詳情申請(qǐng)理由：所需上網(wǎng)功能要求： 所需上網(wǎng)時(shí)間段:辦公室看法（簽字蓋章） 日期:信息技術(shù)部看法： （簽字蓋章） 日期:技術(shù)部門主管行領(lǐng)導(dǎo)看法： 日期:附件1-2外來(lái)人員網(wǎng)絡(luò)申請(qǐng)表基本信息接待單位名稱 聯(lián)系人姓名員工編號(hào)電話外單位名稱辦公場(chǎng)所地址外單位人員姓名運(yùn)用設(shè)備筆記本 臺(tái)式機(jī)電話筆記本 臺(tái)

15、式機(jī)電話筆記本 臺(tái)式機(jī)電話筆記本 臺(tái)式機(jī)電話申請(qǐng)緣由主要用途運(yùn)用時(shí)限從 年 月 日至 年 月 日填制單位看法：簽字/蓋章：日期：主管行長(zhǎng)看法： 簽字/蓋章： 日期：信息中心愿見：簽字/蓋章：日期：附件1-3網(wǎng)絡(luò)互聯(lián)申請(qǐng)表申請(qǐng)單位名稱聯(lián)系人姓名聯(lián)系電話對(duì)方單位聯(lián)系人姓名聯(lián)系電話對(duì)方單位通訊地址互聯(lián)接入方式(通訊線路類型)互聯(lián)業(yè)務(wù)描述(如訪問哪些數(shù)據(jù)、進(jìn)行什么維護(hù)等等)互聯(lián)方案描述（包括互聯(lián)雙方系統(tǒng)名稱、IP地址或者地址段、申請(qǐng)方端口協(xié)議等相關(guān)信息）具體方案附后互聯(lián)變更記錄（包括首次互聯(lián)接入及各次互聯(lián)變更的時(shí)間、申請(qǐng)表/變更申請(qǐng)表編號(hào)）申請(qǐng)互聯(lián)有效期：填制單位看法： 簽字/蓋章：日期：主管行長(zhǎng)看法： 簽字/蓋章： 日期：信息中心愿見：簽字/蓋章：日期：附件1-4入網(wǎng)申請(qǐng)表基本信息單位名稱 單位地址聯(lián)系人姓名員工編號(hào)電話入網(wǎng)緣由入網(wǎng)類別新裝 移機(jī)入網(wǎng)要求辦公網(wǎng) 生產(chǎn)網(wǎng)網(wǎng)絡(luò)設(shè)備