網(wǎng)絡(luò)安全與信息化信息系統(tǒng)網(wǎng)絡(luò)接入安全管理細(xì)則

版本頁標(biāo)題：安全管理文件主題：信息安全方針文檔編號:適用范圍：版本說明：V1.0版本號版本日期作者備注V1.0創(chuàng)建V1.0審批

信息系統(tǒng)網(wǎng)絡(luò)接入安全管理細(xì)則第一章目的第一條規(guī)范信息系統(tǒng)和設(shè)備網(wǎng)絡(luò)接入行為，確保網(wǎng)絡(luò)與信息安全持續(xù)安全。第二章范圍第二條本細(xì)則適用于XXX信息系統(tǒng)網(wǎng)絡(luò)接入行為的安全管理。第三章概述第三條本文件闡述了網(wǎng)絡(luò)接入、準(zhǔn)備、實(shí)施、變更、審核的管理要求和過程。第四章角色與職責(zé)第四條信息安全部門（一）明確網(wǎng)絡(luò)接入、變更的安全防護(hù)技術(shù)要求及管理要求；（二）組織維護(hù)人員制定網(wǎng)絡(luò)安全防護(hù)方案。第五條接入申請者包括因業(yè)務(wù)或工作需要，將信息系統(tǒng)或IT設(shè)備接入網(wǎng)絡(luò)的人員、部門或單位。（一）按照網(wǎng)絡(luò)接入、變更、退網(wǎng)審批要求提出書面申請；（二）驗(yàn)證網(wǎng)絡(luò)接入、變更結(jié)果。第六條信息安全維護(hù)部門包括應(yīng)用管理員、數(shù)據(jù)庫管理員、網(wǎng)絡(luò)管理員和系統(tǒng)管理員等維護(hù)人員。（一）負(fù)責(zé)審核網(wǎng)絡(luò)接入、變更申請；（二）對IT網(wǎng)絡(luò)的網(wǎng)絡(luò)接入、變更進(jìn)行可行性和安全性評估；（三）負(fù)責(zé)制定的具體網(wǎng)絡(luò)接入、變更實(shí)施方案，實(shí)施網(wǎng)絡(luò)接入、變更工作；（四）定期審核所轄網(wǎng)絡(luò)接入情況，對網(wǎng)絡(luò)接入相關(guān)的資料進(jìn)行歸檔統(tǒng)一管理。第五章管理過程第七條網(wǎng)絡(luò)接入總體要求接入IT網(wǎng)絡(luò)的任何系統(tǒng)設(shè)備，必須發(fā)起入網(wǎng)申請，未經(jīng)許可，任何部門和個人不得擅自接入，具體要求如下：（一）接入IT網(wǎng)絡(luò)的系統(tǒng)，其配套設(shè)備、動力、空調(diào)要求必須符合XXX機(jī)房基礎(chǔ)設(shè)施的相關(guān)管理規(guī)定。（二）接入IT網(wǎng)絡(luò)的系統(tǒng)，其系統(tǒng)安全必須符合XXX配置指南的安全要求。（三）接入IT網(wǎng)絡(luò)的系統(tǒng)不得擅自進(jìn)行IP地址、設(shè)備用途和硬件配置等狀態(tài)的更改。（四）接未經(jīng)批準(zhǔn)不得私自調(diào)整訪問權(quán)限，對違反規(guī)定的系統(tǒng)，信息安全部門有權(quán)對其進(jìn)行隔離、檢測，必要時進(jìn)行強(qiáng)制斷網(wǎng)處理。（五）當(dāng)設(shè)備上運(yùn)行的應(yīng)用全部下線不再需要使用IT網(wǎng)絡(luò)資源時，接入申請者應(yīng)該及時提出退網(wǎng)申請。第八條網(wǎng)絡(luò)接入準(zhǔn)備管理對于需要進(jìn)行IT網(wǎng)絡(luò)的接入的計(jì)算機(jī)設(shè)備與人員，必須先通過必要的申請流程審批授權(quán)，具體要求如下：（一）使用部門或人員按照XX的網(wǎng)絡(luò)接入申請表格式要求，填寫申請表。（二）使用部門或人員將接入申請表先后提交給信息安全部門領(lǐng)導(dǎo)審批，經(jīng)運(yùn)維部門確認(rèn)后，由網(wǎng)絡(luò)管理員負(fù)責(zé)網(wǎng)絡(luò)接入的具體實(shí)施工作。（三）使用部門領(lǐng)導(dǎo)和維護(hù)部門領(lǐng)導(dǎo)對IT網(wǎng)相關(guān)的接入申請進(jìn)行評估審核，對于信息不全、描述不夠清晰的申請，應(yīng)要求使用部門申請人補(bǔ)充完善；對于需求不合理的申請，應(yīng)予以拒絕，并說明理由。（四）對IT網(wǎng)絡(luò)結(jié)構(gòu)或安全性影響較大的網(wǎng)絡(luò)的接入、變更申請，維護(hù)部門應(yīng)組織技術(shù)專家進(jìn)行可行性和安全性評估，并反饋信息安全部門。（五）對于通過審核的接入申請，網(wǎng)絡(luò)管理員負(fù)責(zé)組織相關(guān)人員共同制定具體的接入實(shí)施方案，信息安全部門負(fù)責(zé)組織相關(guān)人員制定和評審網(wǎng)絡(luò)接入安全防護(hù)方案，明確網(wǎng)絡(luò)接入的安全防護(hù)技術(shù)要求及管理要求。第九條對于需要通過XXIT網(wǎng)接入的主機(jī)系統(tǒng)及相關(guān)人員，應(yīng)當(dāng)符合下列規(guī)定：（一）主機(jī)僅因業(yè)務(wù)需要且滿足主機(jī)安全配置指南的要求才可以接入IT網(wǎng)絡(luò)，主機(jī)接入IT網(wǎng)絡(luò)前必須通過運(yùn)維部門系統(tǒng)管理員的安全檢查。（二）未經(jīng)信息安全部門的授權(quán)，任何人員不得擅自將主機(jī)接入IT網(wǎng)絡(luò)，不得使用除專用出口外的其它接入方式訪問IT網(wǎng)絡(luò)。（三）接入IT網(wǎng)絡(luò)的主機(jī)在接入前必須進(jìn)行安全加固，必要時，接入后應(yīng)進(jìn)行安全評估，以確保主機(jī)安全可靠地運(yùn)行。（四）涉及敏感信息的設(shè)備必須使用固定的IP地址，接入IT網(wǎng)絡(luò)的主機(jī)必須部署在受保護(hù)的網(wǎng)絡(luò)區(qū)域中，并且與其他網(wǎng)絡(luò)區(qū)域隔離，對接入IT網(wǎng)絡(luò)的主機(jī)的訪問必須經(jīng)過身份認(rèn)證，防止未授權(quán)的訪問。（五）未經(jīng)授權(quán)，系統(tǒng)管理員不得擅自更換主機(jī)系統(tǒng)IP地址、網(wǎng)關(guān)地址以及其他相關(guān)安全設(shè)置，對IT網(wǎng)絡(luò)接入鏈路和網(wǎng)絡(luò)活動進(jìn)行監(jiān)控和審計(jì)，并定期對相關(guān)日志進(jìn)行分析，任何人員不得擅自卸載主機(jī)上統(tǒng)一部署的安全防護(hù)軟件。（六）系統(tǒng)管理員應(yīng)對接入IT網(wǎng)絡(luò)的主機(jī)安全情況進(jìn)行實(shí)時監(jiān)控和管理，以確保主機(jī)的安全、穩(wěn)定運(yùn)行。所有對IT系統(tǒng)的訪問，應(yīng)進(jìn)行記錄。（七）系統(tǒng)管理員負(fù)責(zé)接入IT網(wǎng)絡(luò)的主機(jī)安全保密工作，敏感信息在存儲和傳輸時必須經(jīng)過加密，加密可以采用軟件加密或者網(wǎng)絡(luò)通道加密等方式進(jìn)行。第十條對于遠(yuǎn)程接入IT網(wǎng)絡(luò)的計(jì)算機(jī)設(shè)備及相關(guān)人員，應(yīng)當(dāng)符合下列規(guī)定：（一）只能基于業(yè)務(wù)需求方可申請?jiān)O(shè)置遠(yuǎn)程接入環(huán)境和進(jìn)行遠(yuǎn)程接入，禁止私自架設(shè)可遠(yuǎn)程接入IT網(wǎng)絡(luò)的網(wǎng)絡(luò)鏈路，如撥號連接、無線網(wǎng)絡(luò)等。（二）終端遠(yuǎn)程接入IT網(wǎng)絡(luò)時禁止在同一終端上同時連接其他網(wǎng)絡(luò)。（三）用于遠(yuǎn)程接入的主機(jī)服務(wù)器或終端，系統(tǒng)配置應(yīng)滿足相關(guān)配置指南的要求。（四）對于遠(yuǎn)程接入賬號，按照其訪問權(quán)限不同而進(jìn)行分級訪問控制。（五）臨時申請的遠(yuǎn)程接入賬號使用完畢后，網(wǎng)絡(luò)管理員應(yīng)立即進(jìn)行賬號刪除或鎖定。（六）網(wǎng)絡(luò)管理員應(yīng)定期對接入IT網(wǎng)絡(luò)的遠(yuǎn)程接入賬號進(jìn)行審核，對超過使用期限的賬號予以刪除或鎖定。（七）嚴(yán)禁為第三方廠商及人員開設(shè)遠(yuǎn)程接入XXIT網(wǎng)絡(luò)的遠(yuǎn)程接入賬號，若因工作需要，應(yīng)經(jīng)信息安全部門領(lǐng)導(dǎo)批準(zhǔn)，且工作完畢后系統(tǒng)管理員應(yīng)及時回收相關(guān)賬號權(quán)限。第十一條網(wǎng)絡(luò)接入實(shí)時管理（一）網(wǎng)絡(luò)管理員負(fù)責(zé)制定網(wǎng)絡(luò)接入、變更實(shí)施方案，包括具體的實(shí)施方案、應(yīng)急預(yù)案和職責(zé)落實(shí)細(xì)則等，并根據(jù)網(wǎng)絡(luò)接入實(shí)施方案制定網(wǎng)絡(luò)接入安全防護(hù)方案。（二）實(shí)施完畢后，由接入申請者及信息安全部門對接入結(jié)果進(jìn)行確認(rèn)，對不滿足接入要求的，應(yīng)由網(wǎng)絡(luò)管理員修改實(shí)施方案，后重新實(shí)施。第十二條網(wǎng)絡(luò)接入變更管理（一）當(dāng)網(wǎng)絡(luò)接入需求發(fā)生變化或者不再需要接入時，接入申請者應(yīng)按照XX網(wǎng)絡(luò)接入變更申請表格式要求，填寫申請表。信息安全部門領(lǐng)導(dǎo)負(fù)責(zé)審核變更申請，并由維護(hù)部門確認(rèn)，網(wǎng)絡(luò)管理員負(fù)責(zé)制定實(shí)施方案，安全管理員負(fù)責(zé)制定安全防護(hù)方案，網(wǎng)絡(luò)接入變更實(shí)施完成后，網(wǎng)絡(luò)管理員負(fù)責(zé)將網(wǎng)絡(luò)接入變更信息反饋給網(wǎng)絡(luò)接入變更需求部門或者人員。（二）網(wǎng)絡(luò)管理員負(fù)責(zé)將網(wǎng)絡(luò)接入或者變更的實(shí)施方案、安全防護(hù)方案和實(shí)施結(jié)果等相關(guān)文檔報(bào)進(jìn)行備案，以備檢索、審計(jì)。第十三條網(wǎng)絡(luò)接入審核管理（一）網(wǎng)絡(luò)管理員負(fù)責(zé)審核所轄網(wǎng)絡(luò)接入情況，將接入IT網(wǎng)絡(luò)的主機(jī)系統(tǒng)和運(yùn)維終端設(shè)備的相關(guān)信息定期更新，并做好記錄。當(dāng)接入需求變化時應(yīng)及時取消多余的網(wǎng)絡(luò)接入權(quán)限，如發(fā)現(xiàn)存在違反相關(guān)要求的情況，應(yīng)及時斷開網(wǎng)絡(luò)連接。（二）網(wǎng)絡(luò)管理員負(fù)責(zé)定期審核網(wǎng)絡(luò)接入設(shè)備的運(yùn)行情況，發(fā)現(xiàn)違反安