網(wǎng)絡(luò)與應(yīng)用系統(tǒng)安全管理規(guī)定

1、* 公司網(wǎng)絡(luò)與應(yīng)用系統(tǒng)安全管理規(guī)定第一章 總 則第一條 為貫徹中華人民共和國(guó)網(wǎng)絡(luò)安全法 （以下 簡(jiǎn)稱(chēng)網(wǎng)絡(luò)安全法 ）最大限度地消除互聯(lián)網(wǎng)應(yīng)用風(fēng)險(xiǎn)和隱 患,提高* 公司網(wǎng)絡(luò)和應(yīng)用系統(tǒng)安全防護(hù)水平,保障網(wǎng)絡(luò)和應(yīng)用系統(tǒng)的安全和穩(wěn)定運(yùn)行 , 特結(jié)合 * 公司實(shí)際制定本規(guī) 定。第二條 把網(wǎng)絡(luò)與應(yīng)用系統(tǒng)安全納入公司發(fā)展規(guī)劃和 預(yù)算管理。確立網(wǎng)絡(luò)與應(yīng)用系統(tǒng)安全在公司發(fā)展中的重要地 位，將網(wǎng)絡(luò)與應(yīng)用系統(tǒng)安全預(yù)算資金集中投入，統(tǒng)一管理， 專(zhuān)款專(zhuān)用。第三條 加強(qiáng)網(wǎng)絡(luò)與應(yīng)用系統(tǒng)安全隊(duì)伍建設(shè)，將人才培 養(yǎng)與推進(jìn)信息化安全結(jié)合起來(lái)，提高全員信息化應(yīng)用安全水 平。第四條 制訂公司全員信息化安全管理和應(yīng)用培訓(xùn)計(jì) 劃，開(kāi)展信息

2、化安全應(yīng)用相關(guān)培訓(xùn)，不斷提高公司對(duì)網(wǎng)絡(luò)和 應(yīng)用系統(tǒng)安全的認(rèn)識(shí)和應(yīng)用水平。第五條 本規(guī)定基本內(nèi)容包括：網(wǎng)絡(luò)管理、設(shè)備管理、 系統(tǒng)安全管理、機(jī)房管理、數(shù)據(jù)安全管理、信息安全管理、 應(yīng)急處理。第二章 網(wǎng)絡(luò)管理第六條 建立網(wǎng)絡(luò)管理臺(tái)賬，掌握本單位的網(wǎng)絡(luò)結(jié)構(gòu)及 終端的接入情況，做到條理清楚、管理到位。（一）所有網(wǎng)絡(luò)設(shè)備 （包括防火墻、 路由器、 交換機(jī)等） 應(yīng)歸* 部統(tǒng)一管理，其安裝、維護(hù)等操作應(yīng)由 * 部工作人員 進(jìn)行，其他任何人不得破壞或擅自進(jìn)行維修和修改。同時(shí)， 登錄網(wǎng)絡(luò)設(shè)備密碼應(yīng)遵循復(fù)雜性原則， 且位數(shù)應(yīng)不低于 8 位。（二）建立租用鏈路管理臺(tái)賬，包含但不局限于以下內(nèi) 容：鏈路供應(yīng)商、本端接口、

3、對(duì)端、技術(shù)參數(shù)等日常維護(hù)信 息。（三）建立網(wǎng)絡(luò)拓樸圖，標(biāo)注線路連接、設(shè)備功能、 IP 地址、子網(wǎng)掩碼、出口網(wǎng)關(guān)等常用管理信息。（四）局域網(wǎng)原則上應(yīng)實(shí)行靜態(tài) IP 管理， IP 地址由 * 部統(tǒng)一分配，并制定“IP地址分配表”，記錄IP地址使用人、 MAC地址、電腦操作系統(tǒng)等信息。（五）IP 地址為計(jì)算機(jī)網(wǎng)絡(luò)的重要資源，公司員工應(yīng)在* 部的規(guī)劃下使用這些資源，不應(yīng)擅自更改。（六）公司內(nèi)計(jì)算機(jī)網(wǎng)絡(luò)部分的擴(kuò)展應(yīng)經(jīng)過(guò)* 部批準(zhǔn)，未經(jīng)許可任何部門(mén)不應(yīng)私自將交換機(jī)、集線器等網(wǎng)絡(luò)設(shè)備接 入網(wǎng)絡(luò)。（七）* 部負(fù)責(zé)不定時(shí)查看網(wǎng)絡(luò)運(yùn)行情況，如網(wǎng)絡(luò)出現(xiàn)異常時(shí)及時(shí)采取措施進(jìn)行處理。（八）公司網(wǎng)絡(luò)安全應(yīng)嚴(yán)格執(zhí)行國(guó)家網(wǎng)絡(luò)

4、安全法 ， 對(duì)在網(wǎng)絡(luò)上（包括內(nèi)網(wǎng)和外網(wǎng)）從事任何有悖網(wǎng)絡(luò)安全法律 法規(guī)的活動(dòng)者，將視其情節(jié)輕重交有關(guān)部門(mén)或公安機(jī)關(guān)處 理。第三章 設(shè)備管理第七條 做好日常維護(hù)和保養(yǎng)，掌握正確的操作使用方 法和規(guī)程，減少設(shè)備的故障率，確保設(shè)備能夠正常和可靠運(yùn) 行。（一）建立設(shè)備管理臺(tái)賬， 應(yīng)包含以下內(nèi)容： 設(shè)備型號(hào)、 序列號(hào)、設(shè)備配置、技術(shù)參數(shù)、運(yùn)行時(shí)間、保修期限等日常 維護(hù)信息；（二）服務(wù)器電源應(yīng)保證冗余電源，有條件的情況下采 用雙路電源接入。對(duì)于運(yùn)行重要應(yīng)用系統(tǒng)的服務(wù)器設(shè)備，還 應(yīng)配備不間斷（ups電源，以避免非常規(guī)斷電造成服務(wù)器 設(shè)備的物理?yè)p壞。UPS負(fù)載必須保持在總負(fù)荷 80%以下，并 且定期對(duì)UPS設(shè)

5、備進(jìn)行檢測(cè)，確保設(shè)備運(yùn)行正常和有效；（三）相關(guān)管理人員應(yīng)定期對(duì)各設(shè)備進(jìn)行巡檢，查看設(shè) 備運(yùn)行日志，監(jiān)測(cè)設(shè)備，并填寫(xiě)“巡檢情況記錄” ；（四）嚴(yán)禁撕毀、涂畫(huà)或遮蓋IT 設(shè)備標(biāo)簽，或未經(jīng) *部備案擅自調(diào)整部門(mén)內(nèi)部計(jì)算機(jī)信息系統(tǒng)的配置；（五）計(jì)算機(jī)終端用戶(hù)因主觀操作不當(dāng)導(dǎo)致設(shè)備、設(shè)施 損壞，應(yīng)承擔(dān)相應(yīng)修復(fù)費(fèi)用，不能修復(fù)的應(yīng)按所損壞設(shè)備、設(shè)施的市場(chǎng)價(jià)值予以賠償；蓄意破壞設(shè)備、設(shè)施的，除照價(jià)賠償外，還應(yīng)視情節(jié)嚴(yán)重給予行政處罰；（六）終端設(shè)備，特別是筆記本電腦等移動(dòng)設(shè)備應(yīng)采用 實(shí)名制，不得贈(zèng)送、出借、出售給他人使用。第四章 系統(tǒng)安全管理第八條 系統(tǒng)安全管理應(yīng)充分利用現(xiàn)有資源，完善相關(guān) 的管理制度和流程，保

6、證安全系統(tǒng)有效、穩(wěn)定和可靠運(yùn)行。（一）設(shè)置防火墻安全策略時(shí)，應(yīng)考慮隔離病毒傳播、 非授權(quán)訪問(wèn)的通道等方面的內(nèi)容，而且策略應(yīng)注明用途，避 免冗余策略的產(chǎn)生；（二）按照不同的訪問(wèn)權(quán)限，在核心交換機(jī)、路由器設(shè) 置不同的訪問(wèn)控制策略；（三）不定期開(kāi)展對(duì)服務(wù)器進(jìn)行安全掃描，針對(duì)發(fā)現(xiàn)的 漏洞及時(shí)補(bǔ)漏加固。（四）移動(dòng)存儲(chǔ)設(shè)備（優(yōu)盤(pán)、移動(dòng)硬盤(pán)等）必須進(jìn)行病 毒掃描確認(rèn)無(wú)毒后，方能接入服務(wù)器；（五）各應(yīng)用系統(tǒng)管理員登錄密碼應(yīng)遵循密碼復(fù)雜度原 則，且位數(shù)不應(yīng)少于 8 位；（七）定期查看各應(yīng)用系統(tǒng)、終端操作系統(tǒng)相關(guān)安全公 告，根據(jù)需要下載操作系統(tǒng)相關(guān)補(bǔ)丁安裝包，進(jìn)行測(cè)試后對(duì) 服務(wù)器進(jìn)行升級(jí)；（八）禁止在機(jī)房服務(wù)器上

7、安裝與系統(tǒng)應(yīng)用無(wú)關(guān)的軟件，并且安裝軟件要確認(rèn)安裝包的安全性，安裝和卸載軟件 應(yīng)做好相應(yīng)記錄；（九）公司員工應(yīng)定期對(duì)所配備的計(jì)算機(jī)終端的操作 系統(tǒng)、殺毒軟件等進(jìn)行升級(jí)和更新，并定期進(jìn)行病毒查殺；（十）公司員工應(yīng)妥善保管根據(jù)職責(zé)權(quán)限所掌握的各 類(lèi)辦公賬號(hào)和密碼，嚴(yán)禁隨意向他人泄露和借用；（十一）經(jīng)遠(yuǎn)程通信傳送的程序或數(shù)據(jù)，必須經(jīng)過(guò)安全 檢測(cè)確認(rèn)無(wú)病毒后方可安裝和使用；（十二）定期組織災(zāi)難恢復(fù)演習(xí)，提高相關(guān)管理人員的 應(yīng)急反應(yīng)能力，確?；謴?fù)過(guò)程安全、迅速和有效；（十三）重大節(jié)假日之前，相關(guān)人員應(yīng)對(duì)網(wǎng)絡(luò)、各應(yīng)用 系統(tǒng)進(jìn)行巡檢，確保節(jié)假日期間網(wǎng)絡(luò)和各應(yīng)用系統(tǒng)運(yùn)行安 全、穩(wěn)定和有效。第五章機(jī)房管理第九條

8、對(duì)機(jī)房進(jìn)行科學(xué)、規(guī)范管理，確保計(jì)算機(jī)網(wǎng) 絡(luò)、各應(yīng)用系統(tǒng)安全、高效和穩(wěn)定運(yùn)行。（一）采取措施確保機(jī)房設(shè)備物理安全；（二）機(jī)房溫、濕度達(dá)到電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范國(guó)家標(biāo)準(zhǔn)（GB50174-93）要求；（三）未經(jīng)公司授權(quán)且機(jī)房管理人員在場(chǎng)監(jiān)督，任何人 不得自行配置、更換或挪用機(jī)房?jī)?nèi)的路由器、交換機(jī)和服務(wù) 器以及其他通信設(shè)備等；（四）嚴(yán)禁攜帶易燃易爆和強(qiáng)磁物品及其它與機(jī)房工作 無(wú)關(guān)的物品進(jìn)入機(jī)房；（五）機(jī)房定期做好清潔除塵工作，未經(jīng)機(jī)房管理人員 同意嚴(yán)禁無(wú)關(guān)人員進(jìn)入機(jī)房。第六章 數(shù)據(jù)安全管理第十條 高度重視各類(lèi)數(shù)據(jù)備份的重要性，制定備份策 略，并定期進(jìn)行恢復(fù)檢查，確保備份數(shù)據(jù)的安全和有效。（一）服務(wù)器磁

9、盤(pán)采用冗余磁盤(pán)陣列（RAID）容錯(cuò)方式，以避免磁盤(pán)因物理?yè)p壞而造成數(shù)據(jù)丟失；（二）制定數(shù)據(jù)備份策略， 對(duì)服務(wù)器操作系統(tǒng)、 數(shù)據(jù)庫(kù)、 文件進(jìn)行備份，根據(jù)數(shù)據(jù)重要性、更新頻率要求設(shè)置備份頻率；（三）定期對(duì)備份數(shù)據(jù)進(jìn)行還原測(cè)試，確保備份數(shù)據(jù)的 安全性和有效性；（四）計(jì)算機(jī)終端用戶(hù)必須將重要數(shù)據(jù)存放在計(jì)算機(jī)硬 盤(pán)中除系統(tǒng)盤(pán)分區(qū) （ 一般是 C 盤(pán)） 外的硬盤(pán)分區(qū)。計(jì)算機(jī)信 息系統(tǒng)發(fā)生故障，應(yīng)及時(shí)與 * 部聯(lián)系并采取相應(yīng)數(shù)據(jù)保護(hù)措 施；（五）計(jì)算機(jī)終端用戶(hù)未做好備份前不能刪除任何硬盤(pán) 數(shù)據(jù)。對(duì)重要的數(shù)據(jù)必須準(zhǔn)備雙份，存放在不同的地點(diǎn)；對(duì) 采用光盤(pán)等介質(zhì)保存的數(shù)據(jù)，必須做好防火、防潮和防塵工 作，并定期進(jìn)

10、行檢查、復(fù)制，防止介質(zhì)損壞，丟失數(shù)據(jù)。第七章 信息安全管理第十一條 加強(qiáng)涉密信息的安全管理工作，嚴(yán)格落實(shí) 內(nèi)、外網(wǎng)物理隔離，做到“涉密不上網(wǎng)，上網(wǎng)不涉密”（一）對(duì)涉密的設(shè)備運(yùn)行和使用情況進(jìn)行定期檢查；（二）涉密的電腦不得接入局域網(wǎng)，更不能直接接入互 聯(lián)網(wǎng)使用。涉密電腦因工作需要必須接入內(nèi)網(wǎng)或者互聯(lián)網(wǎng) 時(shí)，原使用者應(yīng)進(jìn)行資料清理后再進(jìn)行使用；（三）涉密電腦密碼不得向無(wú)關(guān)人員泄露，必須定期進(jìn) 行更換，原則上至少每半年更換一次，而且密碼應(yīng)具有一定 復(fù)雜性；（四）規(guī)范和細(xì)化存儲(chǔ)介質(zhì)的使用范圍，如用于處理敏 感信息的存儲(chǔ)介質(zhì)，不應(yīng)處理和傳輸涉密信息，更不得在連 接互聯(lián)網(wǎng)的計(jì)算機(jī)上使用；（五）員工具有信息

11、保密的義務(wù)。任何人不應(yīng)利用計(jì)算 機(jī)網(wǎng)絡(luò)泄漏公司機(jī)密、技術(shù)資料和其它保密資料；（六）計(jì)算機(jī)終端用戶(hù)計(jì)算機(jī)內(nèi)的資料涉及公司機(jī)密 的，須為計(jì)算機(jī)設(shè)定開(kāi)機(jī)密碼或?qū)⑽募用?；凡涉及公司機(jī) 密的數(shù)據(jù)或文件，非工作需要不得以任何形式轉(zhuǎn)移，更不得 透露給他人。離開(kāi)原工作崗位的員工由所在部門(mén)負(fù)責(zé)人將其 所有工作資料收回并保存；（七）嚴(yán)禁外來(lái)人員對(duì)計(jì)算機(jī)數(shù)據(jù)和文件進(jìn)行拷貝或抄 寫(xiě)以免泄漏公司機(jī)密，對(duì)公司各應(yīng)用系統(tǒng)登錄賬號(hào)不得相互 知曉，每個(gè)人必須保證自己帳號(hào)的唯一登陸性，否則由此產(chǎn) 生的數(shù)據(jù)安全問(wèn)題由其本人負(fù)全部責(zé)任。第八章 應(yīng)急處理第十二條 制定網(wǎng)絡(luò)安全應(yīng)急處理預(yù)案，明確責(zé)任，日 常管理及日常處置的應(yīng)急要求。當(dāng)

12、發(fā)生網(wǎng)絡(luò)安全事件時(shí)，及 時(shí)啟動(dòng)應(yīng)急處理程序，調(diào)動(dòng)有關(guān)資源作出響應(yīng)，降低安全事 件對(duì)網(wǎng)絡(luò)運(yùn)行的影響。（一）當(dāng)黑客攻擊時(shí)的應(yīng)急處理措施1 、當(dāng)發(fā)現(xiàn)服務(wù)器內(nèi)容被篡改，或通過(guò)防火墻發(fā)現(xiàn)有黑 客正在進(jìn)行攻擊時(shí) , 首先將被攻擊的服務(wù)器等設(shè)備從網(wǎng)絡(luò)中 隔離出來(lái)，同時(shí)向網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組匯報(bào)情況；2 、網(wǎng)絡(luò)管理員負(fù)責(zé)被破壞系統(tǒng)的恢復(fù)與重建工作；3 、故障排除后，盡快恢復(fù)網(wǎng)絡(luò)連接。（二）病毒安全應(yīng)急處理措施1 、當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)中有計(jì)算機(jī)感染病毒后，立即將該機(jī)從 網(wǎng)絡(luò)上隔離出來(lái)；2 、對(duì)設(shè)備的硬盤(pán)進(jìn)行數(shù)據(jù)備份；3 、啟用殺毒程序進(jìn)行殺毒處理，同時(shí)進(jìn)行全網(wǎng)查毒， 對(duì)其他機(jī)器進(jìn)行病毒掃描和清除工作；4 、如發(fā)現(xiàn)殺

13、毒程序無(wú)法清除該病毒，應(yīng)作好相關(guān)記錄， 同時(shí)立即向網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組報(bào)告，并迅速聯(lián)系有 關(guān)產(chǎn)品供應(yīng)商進(jìn)行溝通、研究和解決。三）數(shù)據(jù)庫(kù)系統(tǒng)應(yīng)急處理措施1 、如發(fā)現(xiàn)是數(shù)據(jù)庫(kù)故障導(dǎo)致應(yīng)用系統(tǒng)不能運(yùn)行，由應(yīng) 用系統(tǒng)相關(guān)部門(mén)應(yīng)用管理員負(fù)責(zé)查找故障原因，并進(jìn)行恢 復(fù)；2 、如問(wèn)題不能解決，應(yīng)聯(lián)系應(yīng)用系統(tǒng)服務(wù)商進(jìn)行技術(shù) 支持或現(xiàn)場(chǎng)服務(wù)；3 、如服務(wù)商也無(wú)法解決故障，啟用備份恢復(fù)系統(tǒng)，將 數(shù)據(jù)庫(kù)恢復(fù)至最近的備份時(shí)間點(diǎn)；4 、故障排除后，應(yīng)恢復(fù)應(yīng)用系統(tǒng)，并進(jìn)行驗(yàn)證性測(cè)試。 （四）應(yīng)用系統(tǒng)應(yīng)急處理措施1 、如發(fā)現(xiàn)是應(yīng)用系統(tǒng)軟件故障導(dǎo)致應(yīng)用系統(tǒng)不能運(yùn)行， 由相關(guān)部門(mén)應(yīng)用系統(tǒng)管理員查找故障原因，并進(jìn)行恢復(fù)；2 、如應(yīng)用系統(tǒng)管理員不能解決故障，應(yīng)立即聯(lián)系應(yīng)用 系統(tǒng)開(kāi)發(fā)商進(jìn)行技術(shù)支持或進(jìn)行現(xiàn)場(chǎng)服務(wù)；3 、如開(kāi)發(fā)商也無(wú)法解決故障，啟用備份恢復(fù)系統(tǒng)，將 應(yīng)用系統(tǒng)恢復(fù)至最近的備份時(shí)間點(diǎn)；4 、故障排除后，應(yīng)恢復(fù)應(yīng)用系統(tǒng)，并進(jìn)行驗(yàn)證測(cè)試。 （五）互聯(lián)網(wǎng)線路中斷應(yīng)急處理措施1 、網(wǎng)絡(luò)管理員發(fā)現(xiàn)問(wèn)題或接到報(bào)告后，應(yīng)迅速判斷故 障節(jié)點(diǎn)，查明故障