网络安全管理规定.docx
重庆XXXXXX网络平安管理规定(试行)机房应保持整齐、清洁。进入机房应更换专用工作服和 工作鞋。机房应满足温湿度的要求,配有监控温湿度的仪器或装 置。温度:低于28;湿度:小于80%。机房的照明及直流应急备用照明电源切换正常,照明亮 度应满足运行维护的要求,照明设备设专人管理,定期检修。门窗应密封,防止尘埃、蚊虫及小动物侵入。楼顶及门窗防雨水渗漏措施完善,一楼机房地面要进行 防潮处理,在满足净空高度的原那么下,离室外地面高度不得 小于15cm.二、机房平安机房内用电要注意平安,防止明火的发生,严禁使用电 焊和气焊。机房内消防系统及消防设备应定期按规定的检查周期 及工程进行检查,消防系统自动喷淋装置应处于自动状态。机房内消防系统及消防设施应设专人管理,摆放位置适 当,任何人不得擅自挪用和毁坏。严禁在消防系统及消防设备周围堆放杂物,维护值班人员要掌握灭火器的使用方法。机房内严禁堆放汽油、酒精等易燃易爆物品。机房楼层 间的电缆槽道要用防火泥进行封堵隔离。严禁在机房内大面 积使化学溶剂。无人值守机房的平安防范措施要更加严格,重要机房应 安装视频监控系统。三、设备平安雷雨天气做好防雷电灾害的预防工作,主要检查机房设 备与接地系统与连接处是否紧固、接触是否良好、接地引下 线有无锈蚀、接地体附近地面有无异常,必要时挖开地面抽 查地下掩蔽局部锈蚀情况,如发现问题应及时处理。接地网的接地电阻宜每年测量一次,接地电阻符合标准 接地电阻的要求,要防止设备地电位升高,击穿电器绝缘, 引发通信事故。雷雨季节到来之前对运行中的防雷元器件进行一次检 测,雷雨季节要加强外观巡视,发现异常应及时处理。机房设备应有适当的防震措施。U!、接地要求机房必须要有完善的接地系统,靠近建筑物或变电站的 机房接地系统必须满足标准接地电阻的要求。机房内接地体必须成环,与接地系统的连接点不得少于 两点,机房内设备应就近可靠接地。五、人员要求检修及值班人员要严格遵守平安制度,树立平安第一的 思想,确保设备和人身的平安。进入机房人员不得携带任何易燃、易爆、腐蚀性、强电 磁、辐射性以及流体物质等对设备正常运行构成威胁的物 品O机房内严禁吸烟、严禁乱拉接电线,以防造成短路或失 火。应不定期对机房内设置的消防器材等设备进行检查,以 保证其有效性。机房值班人员不得在通信设备与电器设备上作业,机房 内高压设备出现故障应立即通知高压检修人员抢修。对于因工作需要进入机房的外部人员(除编制内和聘用 人员之外的其他人员),必须知会XX公司的网络平安相关规定,使其认识到自身的责任,如有违规将会受到相应处分O对于确需调取机房设备有关信息的外部人员,由其所属 公司开具工作证明(盖公章),本人持相关证件向XX公司 提出申请,在公司负责人审批后,由机房当班人员作好登记 并用专用数据盘协助调取。第四章 账户管理规定账户管理混乱、弱口令、授权不严格、口令不及时更新、 旧账号及默认账号不及时清除等都是引起平安问题的重要 原因。账户的管理可以从三个方面进行:用户名的管理、用 户口令的管理、用户授权的管理。一、用户名管理用户名管理应注意以下几个方面:隐藏上一次登陆的用户名;更改或删除默认管理员用户名;更改或删除系统默认账号; 及时删除作废的账号;清晰合理的规划和命名用户账户及组账号;根据组织结构设计账户结构;用户账号只有系统管理员才能建立。二、用户口令管理用户的口令是对系统平安的最大平安威胁,对网络用户 的口令进行验证是防止非法访问的第一道防线。简单的密码 是暴露自己隐私最危险的途径,是对自己邮件服务器上的他 人利益的不负责任,是对系统平安最严重的威胁,为保证口 令的平安性,首先应当明确目前的机器上有没有绝对平安的 口令,口令的平安一味靠密码的长度是不能够保证的。不平安的口令有如下集中情况:使用用户名(账号)作为口令;使用用户名(账号)的变化形式作为口令;使用自己或亲友的生日作为口令;使用常用的英文单词作为口令; 使用5位或5位以下的字符作为口令。不平安的口令很容易被盗,将会导致用户机器上的一切 信息丧失,并且危及他人信息平安。获得主机口令的途径有 两个:利用技术漏洞。如缓冲区溢出,Sendmail漏洞,Sun的 ftpd漏洞等等。利用管理漏洞。如root身份运行 d,建立shadow的 备份但是忘记更改其属性,用电子邮件寄送密码等等。平安的口令应有以下特征:用户口令不能未经加密显示在显示屏上;设置最小口令长度;强制修改口令的时间间隔;口令字符最好是数字、字母和其他字符的混合;用户口令必须经过加密;口令的唯一性;限制登录失败次数; 制定口令更改策略;确保口令文件经过加密;确保口令文件不会被盗取;不应该将口令以明码形式放在任何地方,系统管理员口 令不能让很多人知道。三、授权管理账户的权限控制是针对网络非法操作所进行的一种安 全保护措施。在用户登录网络时,用户名和口令验证有效之 后,再经过进一步履行用户账号的缺省限制检查,用户被赋 予一定的权限,具备了合法访问网络的资格。根据访问权限将用户分为以下几类:特殊用户(即系统管理员);一般用户,系统管理员根据他们的实际需要为他们分配 操作权限;审计用户,负责网络的平安控制与资源使用情况的审 计。网络系统管理员应当为用户指定适当的访问权限,这些 访问权限控制着用户对服务器的访问。各种访问权限的有效组合可以让用户有效的完成工作,同时又能有效的控制用户 对服务器资源的访问,从而加强了网络和服务器的平安性。网络管理员还应对网络资源实施监控,网络服务器应记 录用户对网络资源的访问,对非法的网络访问,服务器应以 图形文字或声音等形式报警,以引起网络管理员的注意。第五章网络运行平安管理规定网络运行平安是指网络系统和业务系统在运行过程中 的访问控制和数据的平安性。包括资源管理、入侵检测、日 常平安监控与应急响应、人员管理和平安防范。一、日常平安监控值班人员每隔50分钟检查一次业务系统的可用性、与 相关主机的连通性即平安日志中的警报。网络管理员每天对平安日志进行一次以上的检查、分 析。检查内容包括防火墙日志、IDS日志、病毒防护日志、 漏洞扫描日志等。网络管理员每天出一份平安报告,平安报告送网络处主 管领导。重要平安报告由主管领导转送部门领导、平安小组和相关部门。所有平安报告应存档,网络管理员在分析处理 异常情况时能够随时调阅。文档的密级为A级,保存期限 为两年。平安日志纳入系统正常备份,平安日志的调阅执行相关 手续,以磁介质形式存放,文档的密级为B级,保存期限 为一年。二、平安响应发现异常情况,及时通知网络管理员及网络主管领导, 并按照授权的应急措施及时处理。黑客入侵和不明系统访问等平安事故,半小时内报知部 门领导和平安小组。对异常情况确认为平安事故或隐患时,确认当天报知部 门领导和平安小组。系统计划中断服务15分钟以上,提前一天通知业务部 门、平安小组。系统计划中断服务1小时以上,提前一天报 业务领导。文档的密级为C级,保存期限为半年。非计划中断服务,一经发现即作为事故及时报计算机中 心管理处、平安小组、技术部部门领导。非计划中断服务半 小时以上,查清原因后,提交事故报告给平安小组、技术部 部门领导。文档的密级为A级,保存期限为两年。三、网络运行平安防范制度网络管理员每一周对病毒防火墙进行一次病毒码的升 级。网络管理员每个月对网络结构进行分析,优化网络,节 约网络资源,优化结果形成文档存档,文档的密级为A级, 保存期限为两年。网络管理员每月对路由器、防火墙、平安监控系统的安 全策略进行一次审查和必要的修改,并对修改局部进行备份 保存,以确保平安策略的完整性和一致性。对审查和修改的 过程和结果要有详细的记录,形成必要的文档存档,文档的 密级为A级,保存期限为两年。网络管理员每月对网络、系统进行一次平安扫描,包括 NETRECON的检查,及时发现并修补漏洞,检测结果形成 文档,文档密级为B级,保存期限为一年。新增加应用、设备或进行大的系统调整时,必须进行安二。一八年H月全论证并进行系统扫描和检测,系统漏洞修补后,符合平安 要求才可以正式运行。重大系统修改、网络优化、平安策略调整、应用或设备 更新时,必须经过详细研究讨论和全面测试,并要通过平安 方案审核,确保网络和业务系统的平安和正常运行。系统内部IP地址需要严格遵守相关的IP地址规定。严格禁止泄露IP地址、防火墙策略、监控策略等信息。I、网络运行人员管理严格限制每个用户的权限,严格执行用户增设、修改、 删除制度,防止非授权用户进行系统登录和数据存取。严格网络管理人员、系统管理人员的管理,严格执行离 岗审计制度。对公司技术人员进行备案登记制度,登记结果存档,密级为C级,保存期限为半年。第六章网络信息平安管理规定一、网络信息的收集与使用本公司及网络管理员应当对其提供的用户信息严格保 密,并建立健全用户信息保护制度。本公司及网络管理员收集、使用个人信息,应当遵循合 法、正当、必要的原那么,公开收集、使用规那么,明示收集、 使用信息的目的、方式和范围,并经被收集者同意。本公司及网络管理员不得收集与其提供的服务无关的 个人信息,不得违反法律、行政法规的规定和双方的约定收 集、使用个人信息,并应当依照法律、行政法规的规定和与 用户的约定,处理其保存的个人信息。本公司及网络管理员不得泄露、篡改、毁损其提供的公 司员工个人信息;未经被收集者同意,不得向他人提供员工 个人信息。但是,经过处理无法识别特定个人且不能复原的 除外。本公司及网络管理员应当采取技术措施和其他必要措 施,确保其提供的个人信息平安,防止信息泄露、毁损、丢 失。在发生或者可能发生个人信息泄露、毁损、丧失的情况 时,应当立即采取补救措施,按照规定及时告知用户并向有 关主管部门报告。本公司及网络管理员不得窃取或者以其他非法方式获 取个人信息,不得非法出售或者非法向他人提供个人信息。本公司及公司员工应当对其使用网络的行为负责,不得 设立用于实施诈骗,传授犯罪方法,制作或者销售违禁物品、 管制物品等违法犯罪活动的网站、通讯群组,不得利用网络 发布涉及实施诈骗,制作或者销售违禁物品、管制物品以及 其他违法犯罪活动的信息。二、网络信息的监督与管理本公司应当加强对其用户发布的信息的管理,发现法 律、行政法规禁止发布或者传输的信息的,应当立即停止传 输该信息,采取消除等处置措施,防止信息扩散,保存有关 记录,并向有关主管部门报告。本公司员工发送的电子信息、提供的应用软件,不得设置恶意程序,不得含有法律、行政法规禁止发布或者传输的 信息。公司员工发现本公司或网络管理员违反法律、行政法规 的规定或者双方的约定收集、使用其个人信息的,有权要求 公司删除其个人信息;发现本公司及网络管理员收集、存储 的其个人信息有错误的,有权要求其予以更正。本公司及网 络管理员应当采取措施予以删除或者更正。本公司应当建立网络信息平安投诉、举报制度,公布投 诉、举报方式等信息,及时受理并处理有关网络信息平安的 投诉和举报。本公司及公司员工对网信部门和有关部门依法实施的 监督检查,应当予以配合。第七章数据备份管理规定为确保公司业务系统和数据平安,应规范业务数据备份 和恢复操作。一、系统和配置备份系统安装、升级、调整和配置修改时做系统备份。包括 系统备份和数据库备份。数据库采用循环日志备份方式,也 就是脱机备份方式。备份由管理员执行。备份一份,长期保 存。二、应用数据备份XX公司的各种应用数据备份。备份一份,长期保存。三、日备份日备份的数据库,分别采用两磁盘带进行备份,备份的 数据保存三个月。为了实现业务系统24小时的不间断对外 服务,数据库的备份方式是归档日志备份方式,也就是联机 备份方式。采用这种方式进行备份,系统的服务不需要停止, 数据库采用其内部的机制实现备份前后数据的一致。备份由 操作员执行。系统每月进行一次月备份。备份的内容包括应用程序、 数据库应用程序以及进行数据库的循环日志备份。备份由管 理员执行。备份一份,长期保存。五、应用变更备份系统应用变更时,做一次系统备份。备份一份,长期保存。第八章应急方案与演练一、应急方案确保网络和业务系统平安有效运行,及时、有效处理各 种突发事件,防范降低风险,提高计算机系统的运行效率, 应制定应急方案。应急方案包括:主机系统故障应急方案、通信系统故障 应急方案、系统和数据的灾备与恢复、黑客攻击的应急方案、 主机感染病毒后的应急方案、平安体系受损或瘫痪的应急方 案。应急方案要归档管理,且随着网络和业务系统的改变而 及时进行修改。二、应急演练为保证应急方案启动的快速性、实施的高效性、结果的 正确性,应定时进行应急演练。每一种应急方案都要经过两次以上的应急演练。由平安 小组制定和组织实施应急演练,并对演练结果进行分析研 究,查找问题,将存在的问题反应给方案的制定部门,要求 其对应急方案进行修订O修订后的应急方案要重新进行测试 演练。文档之家精品目录第一章 总贝!J- 6 -第二章 管理机构设置-7-一、机构名称和人员构成-7-二、工作要求-8-第三章 机房管理规定-9-一、机房环境-9-二、机房平安-10-三、设备平安-11-四、接地要求-12-五、人员要求-12-第四章 账户管理规定-13-一、用户名管理-13-二、用户口令管理-14-三、授权管理-16-第五章网络运行平安管理规定-17 -一、日常平安监控-17-二、平安响应-18-三、网络运行平安防范制度-19-四、网络运行人员管理-20-第六章网络信息平安管理规定-21-一、网络信息的收集与使用-21-二、网络信息的监督与管理-22-第七章 数据备份管理规定-23-一、系统和配置备份-23-二、应用数据备份-24-三、日备份-24-四、月备份-24-五、应用变更备份-24-第八章 应急方案与演练-25-一、应急方案-25 -25 -、应急演练第一章总那么为加强重庆XXXXXX公司计算机信息网络的平安,保障 网络系统平安稳定运行,维护网络空间内公司财产平安和合 法利益,保护公司、法人以及全体员工的合法权益,促进 XX公司信息化建设健康开展,根据中华人民共和国网络 平安法、中华人民共和国信息系统平安保护条例、中 华人民共和国计算机信息网络国际联网管理暂行规定等国 家相关法律法规,结合公司网络系统实际运行情况,制定本 规定。本规定适用于重庆XXXXXXX计算机信息网络, 包括公司建设、运营、维护和使用网络,以及网络平安的监 督管理。本规定中描述的计算机信息网络包括接入以上网络的 各类设备和应用系统。计算机信息网络系统按照“谁主管谁负责、谁使用谁负责、谁接入谁负责”的原那么,严格落实网络平安责任制。第二章管理机构设置一、机构名称和人员构成(一)领导小组组长:XXX副组长:XXX、XXX、XXX工作职责:负责XX公司网络平安相关工作指导,全面 统筹和组织协调网络平安工作的开展。(二)网络平安应急组组长:XXX副组长:XXX成员:综合管理部各岗位人员;平安管理部各岗位人员; 技术研发部各岗位人员。平安管理部负责公司网络平安预案和应急管理方法的 具体实施,催促收费、监控以及机房管理人员对应急预案的 演练、启动、执行;各部门按照预案和应急管理方法要求,做好应急准备工作,根据实际情况修订应急预案并开展预案演练。(三)网络平安管理办公室办公室主任:XXX成员:综合管理部各岗位人员;平安管理部各岗位人员; 技术研发部各岗位人员。工作职责:按领导小组要求落实各项工作,建立健全公 司网络平安管理制度,明确网络主体责任,对网络平安工作 的开展进行平安监测、检查监督,协调网络平安相关事宜。二、工作要求(一)加强领导、落实责任网络平安工作任务重,各部门要引起高度重视,部门领 导作为部门网络平安第一负责人,要明确工作安排,做好本 部门网络平安相关工作,同时,将网络平安管理作为长期工 作重点来抓,网络平安奖纳入年底各站绩效考核范畴。(二)认真落实,务求实效各部门结合实际,确保将网络平安工作落到实处,联合 平安管理部门全面检查平安风险,对发现的问题及时上报并整改,因条件不具备暂时不能整改的问题应及时向平安管理 部报备并采取临时措施、制定计划安排,杜绝引发网络平安 事件。(三)控制风险、严格规范各部门要强化风险管控,制定本部门计算机网络系统应 急预案,确保计算机网络系统的正常运行,加强生产系统文 档、数据平安保密管理,事先备份,独立存储;禁止生产系 统接入外网,笔记本、移动设备接入外网设备,不得接入生 产系统。(四)有序推进,及时报送各部门要切实加强信息报送工作,一是及时有效报送安 全事件,二是按时报送平安检查相关材料。第三章机房管理规定一、机房环境机房环境实施集中监控和巡检登记制度。环境监控应包括:烟雾、温湿度、防盗系统。