《网络安全管理规定.doc》由会员分享,可在线阅读,更多相关《网络安全管理规定.doc(17页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、网络安全管理规定V2.0修改履历表序号修改日期章节号变更内容修改者确认者确认日期12009.3.2初版作成赵建宏丁钢柱2009.3.922013.3.1新版更新胡景辉目 录1总则31.1目的31.2前提31.3适用对象31.4指导思想32安全管理体制42.1安全管理体制42.2公司级安全管理责任者42.3部门级安全管理责任者42.4安全管理体制结构53网络安全管理63.1原则63.2机房管理63.3网络配置管理63.4设备接入管理63.5服务器管理73.6账户和密码管理73.7监督和报告83.8行为要求84邮件管理制度94.1原则94.2安全措施94.3行为要求94.4监督和报告95信息安全制
2、度105.1原则105.2安全措施105.3行为要求105.4监督和报告106紧急事件处理116.1紧急情况的定义116.2紧急事件处理预案116.3紧急事件汇报体制126.4灾害类事件处理流程126.5故障类紧急事件处理流程126.6病毒类事件处理流程136.7入侵类事件处理流程137奖惩158备注168.1客户要求168.2公司网络安全技术文档161 总则1.1 目的为了维护网络秩序,确保公司计算机系统的正常运行,保护公司和客户利益,特制定此制度。1.2 前提本制度的制订,以遵守中华人民共和国计算机信息系统安全保护条例、计算机信息网络国际互联网安全保护管理办法和其它有关法律、法规的规定为前
3、提。1.3 适用对象本制度适用于公司的全体员工。1.4 指导思想安全工作人人有责。2 安全管理体制2.1 安全管理体制 本公司采用公司级和部门级两级安全管理体制。2.2 公司级安全管理责任者 (1)公司总责任者审批公司安全管理规定;任命公司的安全主管。 (2)公司安全责任者对公司总责任者负责,每季度向其汇报网络安全实施情况;负责召集公司的有关安全会议;领导制定公司计算机系统安全管理制度;根据客户要求制定相应的安全实施细则,并就安全方面保持与客户沟通。 (3)公司安全实施者对公司安全责任者负责,每月向其汇报网络安全实施情况;制定安全计划,监督、检查安全计划的执行情况,并按客户的要求提交相关报告;
4、安排新员工的安全培训。(4)公司网络管理者对公司安全实施者负责,每周向其汇报网络安全实施情况;负责公司网络的日常维护、管理,巡视各部门设备运行情况,发现安全隐患,进行安全事件处理;执行对公司新员工的培训;对各部门安全管理员进行技术指导和安全记录检查。2.3 部门级安全管理责任者(1)部门安全负责人部门安全负责人一般由部门行政负责人担任,对本部门安全管理负总责;制定本部门的数据备份制度;制定本部门的安全教育计划。(2)部门安全员部门安全员在本部门安全负责人的领导下工作;负责监视本部门工作人员有无违背安全制度的操作;督促本部门工作人员按期报告机器运行情况;协助公司公司网络管理者处理发生在本部门的安
5、全事件;定期进行本部门工作人员的安全教育。(3)项目经理项目负责人负责本项目组的网络安全和情报安全;根据项目要求实施项目资源的数据备份。2.4 安全管理体制结构公司总责任者公司安全责任者部门安全负责人部门安全负责人部门安全负责人公司网络管理者项目经理项目经理项目经理部门安全员人公司安全实施者3 网络安全管理3.1 原则保护公司的网络安全,使其正常运行,防止情报泄漏。3.2 机房管理(1)公司网络管理者持有机房钥匙,根据工作需要进出机房。(2)机房门随时保持闭锁状态。(3)公司领导根据需要可随时向机房管理者提出进入机房。(4)紧急情况下公司领导可向综合管理部索取备用钥匙进入机房。(5)普通员工因
6、业务需要进入机房时,需要填写进入机房申请表,批准后才可进入机房。(6)普通员工需在公司网络管理者的陪同和安排下完成所需工作。(7)所有进入机房的人员,都需在机房出入一览表上登记。(8)所有进入机房人员不得携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质等对设备正常运行构成威胁的物品。(9)机房内严禁吸烟、喝水、吃食物。3.3 网络配置管理(1)公司的局域网原则上必须将开发用网络和其他网络进行隔离。(2)开发用的PC机及服务器保证在独立的、专用的局域网内运行。(3)开发项目所在的局域网根据客户的具体要求进行开发场所隔离和网络隔离。(4)公司设立专用的防病毒服务器,服务器安装防病毒控制中心。(
7、5)公司所有的PC机及服务器均须安装接受管理的防病毒软件客户端。3.4 设备接入管理(1)所有接入公司局域网的机器,都应该由公司网络管理者填写入网许可书。(2)个人电脑禁止使用USB口、光驱、软驱等设备以及禁止上网。需要使用这些设备时需申请批准后方可使用(个人电脑配置修改申请表)。由网络管理者填写个人电脑配置修改状况一览。(3)如因工作需要必须使用USB存储设备、移动硬盘、光盘等存储媒体时,首先到公司网络管理者处填写存储设备使用申请表。并通过杀毒系统进行病毒扫描,确保没有任何病毒前提下方可接入开发网络。由网络管理者填写存储设备使用状况一览。(4)全员每月应该向公司网络管理者发送自己机器的配置情
8、况。(5)各部门的笔记本电脑应该由部门指定专人负责每月向公司网络管理者发送机器的配置情况。(6)病毒服务器和所有PC机及服务器每天进行病毒库更新,每周五进行一次病毒扫描,并将扫描结果用邮件发送给公司网络管理者。(7)各部门的笔记本电脑应该由部门指定专人负责病毒库更新和病毒扫描,并于每周五将扫描结果用邮件发送给公司网络管理者。(8)培训中心在有培训学生上机的情况下,由培训中心的部门安全员负责培训用机器的病毒库更新和病毒扫描结果检查,并向公司网络管理者报告检查结果。(9)培训中心在有培训学生上机的情况下,由培训中心的部门安全员负责培训用机器的配置情况检查,并向公司网络管理者报告检查结果。3.5 服
9、务器管理(1)公司网络管理者应该每天检查公司的服务器的运行情况,并填写服务器运行状况检查表。(2)网络管理者应该每周对公司的服务器上的资料(如:操作系统配置、分组数据等)进行备份,特殊数据可以采用加密备份,并形成数据备份一览表。(3)各部门的服务器应设定访问权限和密码。(4)各项目组服务器访问应有相应访问日志,并保存半年以上。(5)公司网络管理者应定期在部门安全员配合下对其服务器访问日志进行检查。(6)各部门的服务器应该由部门指定专人负责每月向公司网络管理者发送机器的配置情况。(7)各部门的服务器应该由部门指定专人负责病毒库更新和病毒扫描,并于每周五将扫描结果用邮件发送给公司网络管理者。(8)
10、任何人未经部门安全员允许,不得使用他人ID和密码访问部门服务器。(9)由于人员调整或离职时,部门安全员应及时删除该员工的用户ID和相应访问权限。(10)部门安全员应该每周对部门服务器上的重要数据(如:项目资料)等进行备份,特殊数据可以采用加密备份,并形成数据备份一览表。3.6 账户和密码管理(1)密码必须保密,不得告诉他人(除公司网络管理者),不得记录在可被他人看见的任何地方。(2)不得使用“记住密码”功能。(3)任何密码不得记录在纸张或任何电子文档中。3.7 监督和报告(1)公司网络管理者在每周五收到公司员工发送的杀毒记录后,形成病毒扫描周报,于每周一向公司安全实施者报告。公司安全实施者在分
11、析了报告之后,将重要的或不能处理的疑难问题汇总后向安全责任者发送邮件汇报。(2)公司网络管理者在每月收到公司员工发送的机器配置情况后,通过分析、对比后形成软件检查月报,于下月的5个工作日之内向公司安全实施者报告。公司安全实施者在分析了报告之后,将重要的或不能处理的疑难问题汇总后向安全责任者发送邮件汇报。(3)公司网络管理者应该不定期抽查各部门的安全制度执行情况,并形成部门安全制度执行抽查表。(4)公司安全实施者应该不定期抽查公司网络管理者的安全制度执行情况,并形成公司安全制度执行抽查表。(5)部门安全员应随时关注本部门的安全行为要求执行情况,发现问题及时纠正。(6)各部门安全负责人、项目经理有
12、监督本部门员工使用PC机上的光驱、软驱、USB口的权利和义务。本部门员工使用部长、项目经理的PC机上的光驱、软驱、USB口时,部长、项目经理对其承担全部责任。3.8 行为要求(1)不得通过网络下载资料。(2)所有员工不能在PC机和服务器上运行与工作无关的软件。各级安全责任者对所属员工机器上所安装的软件有监督检查的权利和义务。(3)防病毒软件客户端完全接受控制中心的管理,所有用户均不得对客户端进行如关闭、配置等操作。(4)在文件系统实时防护中无论是宏病毒还是非宏病毒,在清除病毒不成功的前提下,均选择删除含病毒的文件。4 邮件管理制度4.1 原则确保公司的邮件畅通,防止病毒感染和情报泄漏。4.2
13、安全措施(1)根据综合管理部的通知和公司的正式人事变动文件,修改邮件组的成员。不得私自修改邮件组成员。4.3 行为要求(1)公司网络管理者应每天检查邮件服务器的工作状况,并填写服务器运行状况检查表。(2)各人的邮件客户端应该一直保持打开状态,定期检查邮件收发状况,发现问题及时向公司网络管理者报告,由公司网络管理者检查和处理异常情况。(3)不得打开任何内容可疑的附件。4.4 监督和报告(1)在邮件组发生变化或每月的第一个工作日,要向综合管理部发送邮件组配置情况报告,以便确认。5 信息安全制度5.1 原则确保公司的项目资料安全,防止情报泄漏。5.2 安全措施(1)需要保密的项目资料,应该设置资料保
14、管柜,由项目经理负责保管。(2)已完成的项目资料,要制成电子资料,纸质资料由项目经理负责全部粉碎。项目电子资料由情报安全品质部负责保管,需要使用时需登记确认后方可使用(项目资料借阅申请表)。由情报安全品质部做成项目资料借阅一览。(3)所有废弃的文档资料不得随意处理或当垃圾销售,必须进行粉碎处理。(4)当资料丢失或怀疑丢失的情况发生时,须立即报告部门安全负责人,并提交所丢失资料的详细信息的书面材料,然后按照下面顺序依次上报。部门安全负责人-公司安全实施者-安全责任者-安全总责任者如果是客户资料,由安全总责任者决定是否向客户汇报。5.3 行为要求(1)离开座位或下班时,应该锁住电脑屏幕,将与项目相
15、关的所有资料收到抽屉中,不得将其放置在桌面上,下班离开公司时须将抽屉上锁。(2)所有废弃的电子资料及纸质资料均须进行销毁处理。(3)各项目组所有文档资料应妥善保管和管理,各开发场所资料禁止带出指定开发场所。(4)不得将软件开发项目相关的任何信息向项目以外的人讲述。(5)除软件开发项目相关的办公室和会议室外,不得在其他任何场所交谈、讨论与软件开发项目相关的任何信息。(6)软件开发项目相关人员不得使用E-mail、手机、电话、相机等设备向项目无关人员发送任何与项目有关信息和资料。(7)禁止任何人以任何形式拍照。5.4 监督和报告(1)项目完成时,项目经理要向情报安全品质部提交该项目的电子资料,并向
16、部门安全负责人和公司网络管理者提交废弃资料说明报告。(项目资料废弃报告)。6 紧急事件处理6.1 紧急情况的定义(1)灾害类:火灾、水灾、地震、盗窃等。(2)故障类:局域网一小时内无法恢复;不明原因的专线接入中断60分钟以上;服务器不能正常工作,24小时内无法恢复。(3)病毒类:任何时候、任何形式感染PC机病毒。(4)入侵类:服务器受到黑客攻击服务器受到过黑客攻击时。6.2 紧急事件处理预案发生紧急情况 入侵类报告领导入侵评估清除后门恢复使用组织救护组织救护报告领导立即断网登记受损情况研究对策研究对策研究对策通知相关人员病毒清除恢复正常实施或协助恢复恢复使用报告领导登记时间现象报告领导灾害类故
17、障类 病毒类故障处理流程图分析总结分析总结分析总结分析总结公司任何时候、任何形式的不安全事件发生时,对事件的发生和处理均需填写故障处理登记表6.3 紧急事件汇报体制公司总责任者公司安全责任者部门安全负责人部门安全负责人部门安全负责人公司网络管理者公司安全实施者担当或发现者项目经理项目经理部门安全员安全决策会议6.4 灾害类事件处理流程(1)火灾、水灾、地震、盗窃等灾害发生时,第一发现人应立即提醒公司在场人员,拨打120、119、110等电话并组织救护。(2)救护工作初步告一段落后,灾害第一发现人向公司安全实施者报告,公司安全实施者向安全责任者、总责任者报告。(3)公司安全实施者和安全责任者应在
18、第一时间返回公司组织灾害应对,登记受损情况,研究对策。(4)等恢复正常后,安全责任者、公司安全实施者组织相关人员对事件进行分析、总结。6.5 故障类紧急事件处理流程(1)任何时候、任何形式的与本安全规定相关的故障发生时,第一发现人应立即向公司网络管理者报告,公司网络管理者向公司安全实施者汇报,公司安全实施者向安全责任者、总责任者汇报。(2)公司安全实施者及公司网络管理者在第一时间赶到故障现场,了解情况,登记故障发现的时间、现象等,分析、讨论故障发生的原因,并立即组织、联系相关人员进行抢修。估计出需要抢修的时间后,第一时间向公司作业人员进行通告,并向安全责任者、总责任者报告,决定是否、如何向客户
19、报告。(3)故障抢修完成后,由公司安全实施者组织公司网络管理者等相关责任人对事件过程、原因进行分析、讨论。公司网络管理者于每月统计故障发生情况,形成故障处理月报,并向公司安全实施者报告。6.6 病毒类事件处理流程(1)公司所有办公用PC机当发现有不正常运行时,首先应立即切断自己PC机的网络并请部门安全员判断是否有病毒、木马等恶意程序存在。当怀疑是病毒时,应向公司网络管理者和公司安全实施者报告。(2)公司安全实施者及公司网络管理者应在第一时间赶到现场,由公司网络管理者对其进行确认。(3)确认是病毒后,公司网络管理者组织对病毒、木马等恶意软件进行清除,对于无法清除的,须将PC机系统格式化后重新安装
20、。同时,公司安全实施者判断是否向公司安全责任者、总责任者汇报。涉及向客户发送资料感染病毒的,由公司安全责任者和总责任者决定何时、如何向客户报告。(4)经公司网络管理者用最新病毒扫描工具检测后无病毒、木马等恶意软件存在时,方可恢复PC机网络。(5)病毒清除后,公司安全实施者组织公司网络管理者等相关责任人分析、讨论感染病毒原因。公司网络管理者于每月统计故障发生情况,形成故障处理月报,并向公司安全实施者报告。6.7 入侵类事件处理流程(1)公司所有服务器当发现有黑客攻击或被黑客攻击过,第一发现人应立即向公司网络管理者和公司安全实施者报告,公司安全实施者判断是否向安全责任者、总责任者汇报。(2)公司安
21、全实施者及公司网络管理者应在第一时间赶到现场,如果是正在受到攻击应该马上夺回机器的控制权。如果夺不回,应该立即关闭服务器,并向安全责任者报告。(3)对入侵现场进行备份。(4)公司安全实施者组织人员进行入侵评估。(5)清除入侵者留下的后门。(6)系统恢复。(7)分析入侵原因,封堵漏洞,总结经验,防止再次发生同类型的事件。(8)检查其他同类型的服务器是否存在同样的漏洞。(9)公司网络管理者于每月统计故障发生情况,形成故障处理月报,并向公司安全实施者报告。7 奖惩(1)对个人和部门设定公司年度安全奖,奖励办法请参照人事管理制度中“第九章 奖惩管理规定”;(2)情报安全品质部在每年的12月10日前,将
22、安全制度执行年报,报送经理部。(3)部门和个人各有安全分100分。奖惩类别事件个人部门奖励奖励紧急事件发生时,第一发现人及时报告的;+5+2嘉奖紧急事件发生时,第一发现人及时报告并协助相关人员及时处理的;+7+4小功紧急事件发生时,第一发现人及时报告并协助相关人员及时处理,并减少损失的;+9+6大功紧急事件发生时,第一发现人及时报告并协助相关人员及时处理,并将损失减少到最小的;+11+8惩罚警告一次不交杀病毒报告的;-1/一次不交计算机配置情况报告的;-1/在对部门做各项抽查时,发现当事人一次违反本制度的;-1/在对公司网络管理员的抽查中,发现当事人一次违反本制度的;-1/严重警告连续三次不交
23、杀病毒报告的;-3-1连续三次不交计算机配置情况报告的;-3-1发生病毒事件,当事人及时报告的;-3-1紧急事件发生时,网络管理者在接到第一发现人报告后及时展开处理,但还是造成较大影响的;-3-1紧急事件发生时,安全实施者和安全责任者在接到第一发现人或网络管理者报告后及时组织处理,但还是造成较大影响的;-3-1处罚发生病毒事件,当事人未及时报告。-5-2小过发生紧急事件,网络管理者在接到第一发现人报告后未及时展开处理;-7-4发生紧急事件,安全实施者和安全责任者在接到第一发现人或网络管理者报告后未及时组织处理;-7-4辞退当事人行为违反国家中华人民共和国计算机信息系统安全保护条例和计算机信息网络国际互联网安全保护管理办法的;-20-58 备注8.1 客户要求(1)如果客户有特殊要求,要按照客户的要求进行安全教育,并按照公司培训制度作成培训记录。比如NEC公司的针对供应商的客户对应作业中的遵守事项。要在每年一月、七月定期进行对应人员的培训教育。8.2 公司网络安全技术文档(1)作为技术资料和存档保存,由公司网络管理者做成,保管。公司安全实施者负责检查,确认。(2)内容网络拓扑图服务器一览服务器配置
限制150内