信息系統(tǒng)網(wǎng)絡(luò)安全管理規(guī)定

信息系統(tǒng)網(wǎng)絡(luò)安全管理規(guī)定信息系統(tǒng)網(wǎng)絡(luò)安全管理規(guī)定全文共6頁(yè)，當(dāng)前為第1頁(yè)。信息系統(tǒng)網(wǎng)絡(luò)安全管理規(guī)定全文共6頁(yè)，當(dāng)前為第1頁(yè)。信息系統(tǒng)安全管理規(guī)定目錄總則.......................................................................................................................2范圍.......................................................................................................................2管理人員及職責(zé)...................................................................................................2電子消息管理.......................................................................................................3網(wǎng)絡(luò)安全管理要求...............................................................................................3網(wǎng)絡(luò)訪問(wèn)控制.......................................................................................................4網(wǎng)絡(luò)管理員日常安全作業(yè)規(guī)范...........................................................................5安全管理員日常安全作業(yè)規(guī)范...........................................................................6附則.......................................................................................................................6.....................................................................................................................................信息系統(tǒng)網(wǎng)絡(luò)安全管理規(guī)定全文共6頁(yè)，當(dāng)前為第2頁(yè)。1總則信息系統(tǒng)網(wǎng)絡(luò)安全管理規(guī)定全文共6頁(yè)，當(dāng)前為第2頁(yè)。1.1.為規(guī)范XXXXXX公司（以下簡(jiǎn)稱公司）網(wǎng)絡(luò)安全管理行為，保障公司網(wǎng)絡(luò)系統(tǒng)的正常、安全運(yùn)營(yíng)，特制定本規(guī)定。1.2.公司網(wǎng)絡(luò)是指為保障公司日常經(jīng)營(yíng)，提供給公司員工共同使用的企業(yè)內(nèi)部網(wǎng)絡(luò)。1.3.公司網(wǎng)絡(luò)管理使用必須遵守國(guó)家有關(guān)計(jì)算機(jī)網(wǎng)絡(luò)管理的規(guī)定。2范圍本規(guī)定適用于公司管理范圍內(nèi)涉及網(wǎng)絡(luò)安全的管理活動(dòng)。3管理人員及職責(zé)3.1.公司網(wǎng)絡(luò)的安全管理工作由公司信息技術(shù)部承擔(dān)。相關(guān)人員及職責(zé)如下：3.1.1.網(wǎng)絡(luò)管理員：.依照信息安全要求和公司制度相關(guān)要求操作網(wǎng)絡(luò)設(shè)備；.依照公司信息安全規(guī)定制定員工和外部人員網(wǎng)絡(luò)訪問(wèn)管理策略；.明確信息安全職責(zé)和網(wǎng)絡(luò)操作相關(guān)職責(zé)；.對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)控，包括現(xiàn)場(chǎng)檢查、長(zhǎng)期監(jiān)控；.建立并定期更新網(wǎng)絡(luò)及設(shè)備相關(guān)的各類操作和維護(hù)文檔；.其它相關(guān)工作。3.1.2.安全管理員:.落實(shí)網(wǎng)絡(luò)安全防護(hù)體系建設(shè)規(guī)劃，實(shí)施網(wǎng)絡(luò)安全系統(tǒng)建設(shè)；.制訂網(wǎng)絡(luò)安全管理工作計(jì)劃，執(zhí)行日常安全管理和審計(jì)工作，定期提交相關(guān)報(bào)告；.安全設(shè)備運(yùn)維管理；.其它相關(guān)工作;3.1.3.網(wǎng)絡(luò)管理負(fù)責(zé)人：.網(wǎng)絡(luò)安全防護(hù)體系建設(shè)規(guī)劃；.網(wǎng)絡(luò)安全相關(guān)策略制定和監(jiān)督執(zhí)行；.網(wǎng)絡(luò)安全問(wèn)題或事故處理；.組織網(wǎng)絡(luò)安全相關(guān)教育或培訓(xùn)；.其它相關(guān)工作。3.1.4.部門負(fù)責(zé)人：信息系統(tǒng)網(wǎng)絡(luò)安全管理規(guī)定全文共6頁(yè)，當(dāng)前為第3頁(yè)。.審核網(wǎng)絡(luò)系統(tǒng)和網(wǎng)絡(luò)安全防范體系建設(shè)規(guī)劃；信息系統(tǒng)網(wǎng)絡(luò)安全管理規(guī)定全文共6頁(yè)，當(dāng)前為第3頁(yè)。.審批網(wǎng)絡(luò)安全項(xiàng)目建設(shè)方案；.協(xié)調(diào)處理網(wǎng)絡(luò)安全相關(guān)重大問(wèn)題或事故。4電子消息管理4.1.電子郵件使用參考《電子郵件管理規(guī)范》4.2.互聯(lián)網(wǎng)使用規(guī)定4.2.1.禁止訪問(wèn)有關(guān)色情、淫穢、成人及性描述的網(wǎng)頁(yè)內(nèi)容或資料；4.2.2.禁止訪問(wèn)有關(guān)令人厭惡或引起反感的網(wǎng)址；4.2.3.禁止發(fā)出有關(guān)欺詐性、令人反感的、令人尷尬的、直接描述性的、褻瀆的、要挾性的、誹謗的或者其它非法的、不適當(dāng)?shù)?、攻擊性的，或違反公司對(duì)平等機(jī)會(huì)政策和反對(duì)性別和其他歧視政策；4.2.4.禁止下載和商業(yè)無(wú)關(guān)的音像，影像和圖片文件，浪費(fèi)重要的儲(chǔ)存空間；4.2.5.禁止在互聯(lián)網(wǎng)上玩游戲，下載游戲和其它娛樂(lè)軟件；4.2.6.禁止從事非法行為；4.2.7.禁止以公司的立場(chǎng)發(fā)表個(gè)人意見(jiàn)；4.2.8.禁止制造或發(fā)表不良的言論和建議；4.2.9.禁止上傳和下載違反軟件版權(quán)法律的商業(yè)軟件。在沒(méi)有第一時(shí)間得到公司網(wǎng)絡(luò)管理者書面的同意前，不允許默認(rèn)許可證條款或下載需注冊(cè)付費(fèi)的內(nèi)容，否則由此造成的一切后果由個(gè)人承擔(dān)；4.2.10.禁止下載沒(méi)有經(jīng)過(guò)防病毒軟件安全檢測(cè)過(guò)的軟件和電子文件；4.2.11.由網(wǎng)絡(luò)管理者認(rèn)定的其他不當(dāng)行為。5網(wǎng)絡(luò)安全管理要求5.1.公司設(shè)立獨(dú)立的網(wǎng)絡(luò)管理員和安全管理員，以分散權(quán)限，降低網(wǎng)絡(luò)管理風(fēng)險(xiǎn)。5.2.網(wǎng)絡(luò)管理負(fù)責(zé)人應(yīng)對(duì)網(wǎng)絡(luò)日常安全管理工作進(jìn)行督導(dǎo)和檢查，確保各項(xiàng)安全管理措施執(zhí)行到位。5.3.信息技術(shù)部負(fù)責(zé)人應(yīng)至少每年組織實(shí)施一次對(duì)網(wǎng)絡(luò)系統(tǒng)的全面安全檢查，以持續(xù)提高公司網(wǎng)絡(luò)系統(tǒng)安全保障水平。5.4.管理人員要加強(qiáng)對(duì)信息、網(wǎng)絡(luò)、安全平臺(tái)的監(jiān)控，發(fā)現(xiàn)問(wèn)題及時(shí)報(bào)告，并保留原始記錄，同時(shí)采取積極措施進(jìn)行挽救。發(fā)現(xiàn)嚴(yán)重違反法律法規(guī)的事件時(shí)，在向上級(jí)報(bào)告的信息系統(tǒng)網(wǎng)絡(luò)安全管理規(guī)定全文共6頁(yè)，當(dāng)前為第4頁(yè)。信息系統(tǒng)網(wǎng)絡(luò)安全管理規(guī)定全文共6頁(yè)，當(dāng)前為第4頁(yè)。同時(shí)，應(yīng)按照國(guó)家有關(guān)規(guī)定，采取刪除有關(guān)信息、關(guān)閉有關(guān)端口、地址等措施。5.5.管理人員必須嚴(yán)格遵守國(guó)家網(wǎng)絡(luò)管理相關(guān)法律法規(guī)，嚴(yán)禁利用工作之便或非法技術(shù)手段，收集內(nèi)部網(wǎng)絡(luò)用戶個(gè)人信息。5.6.相關(guān)管理人員離職時(shí)必須移交全部技術(shù)手冊(cè)及相關(guān)資料應(yīng)當(dāng)在確認(rèn)對(duì)公司安全不會(huì)造成危害后方可調(diào)離，新任管理人員必須立即更換相關(guān)賬戶和密碼。6網(wǎng)絡(luò)訪問(wèn)控制6.1.網(wǎng)絡(luò)架構(gòu)安全6.1.1.信息技術(shù)部應(yīng)保持關(guān)鍵網(wǎng)絡(luò)的可用性，可采取必要的冗余措施（包括熱備、冷備）。6.1.2.信息技術(shù)部應(yīng)保持關(guān)鍵網(wǎng)絡(luò)鏈路具備相應(yīng)的冗余能力，以保持關(guān)鍵網(wǎng)絡(luò)鏈路的可用性。6.2.網(wǎng)絡(luò)區(qū)域劃分與隔離6.2.1.網(wǎng)絡(luò)系統(tǒng)應(yīng)按照安全級(jí)別和功能，進(jìn)行區(qū)域劃分，各區(qū)域應(yīng)根據(jù)其安全級(jí)別的不同采用適當(dāng)?shù)陌踩雷o(hù)措施。6.2.2.公司網(wǎng)絡(luò)劃分為生產(chǎn)環(huán)境、預(yù)發(fā)環(huán)境、測(cè)試環(huán)境和辦公環(huán)境。各環(huán)境之間的網(wǎng)絡(luò)必須采取隔離措施。6.2.3.接入用戶應(yīng)在授權(quán)允許的網(wǎng)絡(luò)區(qū)域內(nèi)工作，對(duì)于跨越權(quán)限使用網(wǎng)絡(luò)的情況，系統(tǒng)管理員應(yīng)默認(rèn)拒絕并及時(shí)報(bào)告。6.3.防火墻6.3.1.所有的防火墻策略必須在執(zhí)行或修改之前由信息技術(shù)部相關(guān)管理員嚴(yán)格復(fù)核及授權(quán)。6.3.2.在防火墻上的日志必須定期地做檢查，以確認(rèn)是否有網(wǎng)絡(luò)潛在問(wèn)題，或有未授權(quán)的連接記錄。此項(xiàng)檢查也可以借助網(wǎng)絡(luò)工具來(lái)完成。6.3.3.對(duì)所有的防火墻設(shè)置，尤其是辦公網(wǎng)與生產(chǎn)網(wǎng)之間的防火墻設(shè)置必須定期做安全評(píng)估。嚴(yán)格復(fù)核設(shè)置中的規(guī)則是否符合現(xiàn)有的業(yè)務(wù)需要。過(guò)期的規(guī)則要及時(shí)刪除。6.3.4.信息技術(shù)部需及時(shí)更新《ECS白名單》《RDS白名單》，并定期組織評(píng)審。6.4.網(wǎng)絡(luò)服務(wù)使用6.4.1.除了業(yè)務(wù)需要，并且得到相關(guān)部門主管的批準(zhǔn)，不需要的網(wǎng)絡(luò)服務(wù)必須都關(guān)畢信息系統(tǒng)網(wǎng)絡(luò)安全管理規(guī)定全文共6頁(yè)，當(dāng)前為第5頁(yè)。信息系統(tǒng)網(wǎng)絡(luò)安全管理規(guī)定全文共6頁(yè)，當(dāng)前為第5頁(yè)。以減少外部攻擊的可能性。在開放某些特殊的網(wǎng)絡(luò)服務(wù)之前，必須對(duì)開放該服務(wù)可能帶來(lái)的潛在的風(fēng)險(xiǎn)做詳細(xì)的評(píng)估和分析。6.5.遠(yuǎn)程訪問(wèn)管理6.5.1.遠(yuǎn)程接入的用戶認(rèn)證6.5.2公司禁止非授權(quán)用戶通過(guò)VPN登錄公司網(wǎng)絡(luò)若因工作需要通過(guò)OA申請(qǐng)，運(yùn)維安全部明確VPN遠(yuǎn)程訪問(wèn)用戶清單，每年對(duì)VPN用戶評(píng)審。6.5.3凡是接入公司的遠(yuǎn)程用戶的訪問(wèn)必須經(jīng)過(guò)雙因子認(rèn)證。6.5.4認(rèn)證用戶必須使用復(fù)雜密碼，符合公司密碼策略要求。6.5.5任何遠(yuǎn)程接入用戶不得將自己的用戶名、密碼提供給任何人，包括同事，家人。6.5.6所有遠(yuǎn)程接入的電腦必須安裝防病毒軟件并且病毒庫(kù)升級(jí)到最新。7網(wǎng)絡(luò)管理員日常安全作業(yè)規(guī)范7.1.加強(qiáng)對(duì)網(wǎng)絡(luò)設(shè)備性能和網(wǎng)絡(luò)帶寬的實(shí)時(shí)監(jiān)控，通過(guò)閥值設(shè)置等技術(shù)手段來(lái)發(fā)現(xiàn)、處理異常。7.2.及時(shí)繪制和更新網(wǎng)絡(luò)拓樸結(jié)構(gòu)圖，每月備份核心設(shè)備的最新配置文件。7.3.應(yīng)根據(jù)各單位或部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，分配不同地址段。7.4.應(yīng)在用戶終端與核心業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立安全的訪問(wèn)路徑。7.5.應(yīng)避免將核心網(wǎng)段直連外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間采取可靠的隔離措施。7.6.用戶申請(qǐng)VPN賬號(hào)應(yīng)通過(guò)OA流程申請(qǐng)。7.7.應(yīng)指定帶寬分配優(yōu)先級(jí)別，保證在網(wǎng)絡(luò)發(fā)生擁堵的時(shí)候優(yōu)先保護(hù)核心主機(jī)或系統(tǒng)。7.8.應(yīng)保證互聯(lián)網(wǎng)出口的統(tǒng)一。7.9.開啟網(wǎng)絡(luò)設(shè)備的日志記錄功能。7.10.應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的登錄用戶進(jìn)行身份鑒別，并采取限制非法登錄次數(shù)和超時(shí)自動(dòng)退出等措施。7.11.當(dāng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取IP地址和網(wǎng)段限制等措施防止鑒別信息在傳輸過(guò)程中被竊聽(tīng)。7.12.應(yīng)關(guān)閉網(wǎng)絡(luò)設(shè)備上與業(yè)務(wù)和管理無(wú)關(guān)的服務(wù)。7.13.應(yīng)對(duì)外包商工程師的操作行為進(jìn)行監(jiān)督和審查。信息系統(tǒng)網(wǎng)絡(luò)安全管理規(guī)定全文共6頁(yè)，當(dāng)前為第6頁(yè)。信息系統(tǒng)網(wǎng)絡(luò)安全管理規(guī)定全文共6頁(yè)，當(dāng)前為第6頁(yè)。8安全管理員日常安全作業(yè)規(guī)范8.1.應(yīng)在網(wǎng)絡(luò)邊界部署訪問(wèn)控制設(shè)備，啟用訪問(wèn)控制功能，保證網(wǎng)絡(luò)邊界接口的安全，特別是外部合作接口的訪問(wèn)安全。8.2.對(duì)現(xiàn)有訪問(wèn)策略進(jìn)行變更，應(yīng)通過(guò)OA流程申請(qǐng)。8.3.應(yīng)根據(jù)業(yè)務(wù)情況設(shè)定嚴(yán)格的訪問(wèn)控制規(guī)則，提供明確的允許/拒絕訪問(wèn)的能力，控制粒度為網(wǎng)段級(jí)。8.4.應(yīng)對(duì)源地址、目的地址、源端口、目的端口和協(xié)議等進(jìn)行檢查，以允許或拒絕數(shù)據(jù)包的出入。8.5.應(yīng)在重要網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等，檢測(cè)到攻擊行為時(shí)提供報(bào)警功能。8.6.應(yīng)在網(wǎng)絡(luò)邊界處對(duì)惡意代碼進(jìn)行自動(dòng)檢測(cè)和清除，惡意代碼庫(kù)應(yīng)能自動(dòng)升級(jí)和更新。8.7.應(yīng)對(duì)進(jìn)入網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過(guò)濾，實(shí)現(xiàn)對(duì)應(yīng)用層HTTP、FTP、SS