公司网络安全管理规定10341.pdf

《公司网络安全管理规定10341.pdf》由会员分享，可在线阅读，更多相关《公司网络安全管理规定10341.pdf（12页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、上海好司机网络科技有限公司 网络安全管理制度 1 机房管理规定 、机房环境 1.1.128C15CM2 帐户管理规定 利用管理漏洞;如 root 身份运行 httpd,建立 shadow 的备份但是忘记更改其属性,用电子邮件寄送密码等等;安全的口令应有以下特点：用户口令不能未经加密显示在显示屏上 设置最小口令长度 强制修改口令的时间间隔 口令字符最好是数字、字母和其他字符的混合 用户口令必须经过加密 口令的唯一性 限制登录失败次数 制定口令更改策略 确保口令文件经过加密 确保口令文件不会被盗取 对于系统管理员的口令即使是 8 位带的也不代表是很安全的,安全的口令应当是每月更换的带.的口令;而且

2、如果一个管理员管理多台机器,请不要将每台机器的密码设成一样的,防止黑客攻破一台机器后就可攻击所有机器;对于用户的口令,目前的情况下系统管理员还不能依靠用户自觉保证口令的安全,管理员应当经常运用口令破解工具对自己机器上的用户口令进行检查,发现如在不安全之列的口令应当立即通知用户修改口令;邮件服务器不应该给用户进 shell 的权利,新加用户时直接将其 shell 指向/bin/passwd;对能进 shell 的用户更要小心保护其口令,一个能进 shell的用户等于半个超级用户;保护好/etc/passwd 和/etc/shadow 当然是首要的事情;不应该将口令以明码的形式放在任何地方,系统管

3、理员口令不应该很多人都知道;另外,还应从技术上保密,最好不要让 root 远程登录,少用 Telnet 或安装 SSL 加密Telnet 信息;另外保护用户名也是很重要的事情;登录一台机器需要知道两个部分用户名和口令;如果要攻击的机器用户名都需要猜测,可以说攻破这台机器是不可能的;、授权管理 帐户的权限控制是针对网络非法操作所进行的一种安全保护措施;在用户登录网络时,用户名和口令验证有效之后,再经进一步履行用户帐号的缺省限制检查,用户被赋予一定的权限,具备了合法访问网络的资格;我们可以根据访问权限将用户分为以下几类：特殊用户即系统管理员；一般用户,系统管理员根据他们的实际需要为他们分配操作权限

4、；审计用户,负责网络的安全控制与资源使用情况的审计;用户对网络资源的访问权限可以用一个访问控制表来描述;授权管理控制用户和用户组可以访问哪些目录、子目录、文件和其他资源;可以指定用户对这些文件、目录、设备能够执行哪些操作;同时对所有用户的访问进行审计和安全报警,具体策略如下：、目录级安全控制 控制用户对目录、文件、设备的访问;用户在目录一级指定的权限对所有文件和子目录有效,用户还可进一步指定对目录下的子目录和文件的权限;对目录和文件的访问权限一般有八种：系统管理员权限 Supervisor 读权限 Read 写权限 Write 创建权限 Create 删除权限 Erase 修改权限 Modif

5、y 文件查找权限 FileScan 存取控制权限 AccessControl 网络系统管理员应当为用户指定适当的访问权限,这些访问权限控制着用户对服务器的访问;八种访问权限的有效组合可以让用户有效地完成工作,同时又能有效地控制用户对服务器资源的访问,从而加强了网络和服务器的安全性;、属性级安全控制 当使用文件、目录时,网络系统管理员应给文件、目录等指定访问属性;属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来;属性安全在权限安全的基础上提供更进一步的安全性;网络上的资源都应预先标出一组安全属性;用户对网络资源的访问权限对应一张访问控制表,用以表明用户对网络资源的访问能力,

6、避免引起不同的帐户获得其不该拥有的访问权限;属性设置可以覆盖已经指定的任何有效权限;属性往往能控制以下几个方面的权限：向某个文件写数据 拷贝一个文件 删除目录或文件 查看目录和文件 执行文件 隐含文件 共享 系统属性 网络的属性可以保护重要的目录和文件,防止用户对目录和文件的误删除、执行修改、显示等;网络管理员还应对网络资源实施监控,网络服务器应记录用户对网络资源的访问,对非法的网络访问,服务器应以图形或文字或声音等形式报警,以引起网络管理员的注意;定期扫描与帐户安全有关的问题;由于帐户设置的问题使得系统用户可以有意或无意地插入帐户;用户帐号检测可以在系统的口令文件中寻找这类问题,同时寻找非活

7、动帐号,它们往往是被攻击的对象;对帐户进行安全问题的检测,应使第三方扫描软件搜索不到您的内部帐户名称和口令,将可能出现的安全问题提前处理掉,并将当前系统帐户设置同上一次系统安全扫描评价时的设置相比较,将发现的新增的未认证帐户和用户修改过的标识删除,及时将发现的其它安全问题修正;3 运行网络安全管理、目的 保障秦热运行网络的安全运行,明确日常运行网络管理责任;、范围 本制度适应于对秦热网络系统和业务系统;、定义 运行网络安全是指网络系统和业务系统在运行过程中的访问控制和数据的安全性;包括资源管理、入侵检测、日常安全监控与应急响应、人员管理和安全防范;、日常安全监控 3.4.1 5 应急方案 、目

8、的 确保网络和业务系统安全有效运行,及时、有效处理各种突发事件,防范降低风险,提高计算机系统的运行效率;、定义 应急方案包括：主机系统故障应急方案、通信系统故障应急方案、系统和数据的灾难备份与恢复、黑客攻击的应急方案、主机感染病毒后的应急方案、安全体系受损或瘫痪的应急方案;、应急方案 5.3.1 6 计算机安全产品管理制度 、安全产品的管理 1目的 规范计算机安全产品的使用和管理,合理使用和管理现有的计算机安全产品,防范风险堵塞漏洞,提高秦热的计算机信息系统的安全等级;2定义 计算机安全产品包括：防火墙产品、防病毒产品、入侵检测系统、漏洞扫描系统等;3适用范围 适用于秦热网络环境和应用环境;4

9、管理原则 防病毒安全产品遵循公安部病毒防护的有关管理制度；其他安全产品遵守国家的相关安全管理规定;、防火墙的管理制度 1目的 加强和统一防火墙的管理和使用,保证防火墙的安全可靠运行,保障各种网络和业务系统的安全运行,2定义 防火墙是指设置在不同网络如可信任的企业内部网和不可信的公共网或网络安全域之间的一系列部件的组合;它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制允许、拒绝、监测出入网络的信息流,且本身具有较强的抗攻击能力;它是提供信息安全服务,实现网络和信息安全的基础设施;在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器;防火墙有硬件的,也有软件的;3适用范围

10、 所有的防火墙产品;4防火墙的购置和使用 遵循安全最大化的原则和有关程序进行购置;防火墙必须是其所隔离的网络之间的唯一信息通道;5管理规定 防火墙要有专人管理和维护,任务是：1 整理防火墙的有关的配置、技术资料以及相关软件,并进行备份和归档;2 负责防火墙的日常管理和维护;3 定期查看和备份日志信息,日志信息要归档长期保存;4 经授权后方可修改防火墙的有关配置,修改过程要记录备案;5 经授权后方可对防火墙的内核和管理软件的进行升级,升级的详细过程要记录备案;防火墙的安全策略要参考厂家或安全公司的意见,结合秦热的网络环境和安全建设需求,由计算机中心根据实际的安全需求负责制订和实施配置;由厂家或者

11、安全公司提供技术支持;防火墙的安全策略和配置参数一经确定和完成,任何人不得随意修改;若确有需求,由当事人或部门提出书面申请,提交安全主管,获准后,由专管人员进行修改或升级,详细记录有关修改升级情况并上报有关部门备案;防火墙的有关技术资料、安全策略、重要参数的配置以及修改记录等要整理归档,作为绝密资料保存;防火墙出现故障后,要立即启用备用防火墙,并尽可能在最短的时间内排除故障;附防火墙修改、升级记录格式：1 申请人部、申请时间 2 申请原因 3 安全主管批示 4 相关领导批示 5 修改、升级情况记录 6 结果 7 操作人签字 、防病毒的管理制度 1目的 统一及加强对防病毒软件的管理,保证防病毒软

12、件的合法运行,提高使用效率,合理、充分利用该系统,避免非法使用及秦热系统的重复开发和资源浪费;2适用范围 防病毒软件产品；防病毒软件的硬件载体即计算机设备；防病毒软件载体即磁盘、光盘、资料与手册等;3防病毒软件的使用 各部门使用软件时应提出书面申请,经计算机中心领导签字后交防病毒主管人员审核同意,交由相关技术人员实施;外单位需使用有关软件产品,必须持有关证明,并报请部门领导审核后,再交由文档资料管理员办理有关手续;存档保管的软件产品属秦热的资产,不得随意复制和外传,否则,将承担法律责任;4防病毒软件的管理与维护 防病毒软件管理人员与任务 防病毒软件管理由计算机中心相关领导负责,并做下列工作：1

13、 对防病毒软件归档入库并进行登录、保管；2 防病毒软件拷贝和资料印刷等工作；3 防病毒软件的安装、调试及卸载；4 制定防病毒软件的安全策略；5 一周三次定期查看防病毒系统的日志记录,并做备份;6 如发现异常报警或情况需及时通知相关负责人;防病毒软件的登记 4.2.1、运行于本网络的防病毒软件系统的安全策略,均需由计算机中心相关领导批准并登记在案方可进行;4.2.2、凡使用其他的防病毒软件也应由使用人将其名称和使用记录交给计算机中心文档资料管理员登记、存档;4.2.3、凡第三方公司使用本系统软件,均需得到计算机中心领导批准并登记在案方可进行;防病毒软件的登记格式如附录;附录：1 防病毒软件的使用

14、者姓名或单位；2 开始、结束或使用时间：3 服务器的情况：IP 地址,服务器的类型,服务器的用途；4 防病毒软件使用情况；5 安全策略的详细说明；6 管理人员的签字;、入侵检测的管理制度 1目的 统一及加强对入侵检测系统软硬件的管理,保证入侵检测系统的合法运行,提高使用效率,合理、充分利用该系统,避免非法使用及秦热系统的重复开发和资源浪费;2适用范围 a 入侵检测系统软件产品；b 入侵检测系统的硬件载体即计算机设备；c 入侵检测系统的软件载体即磁盘、光盘、资料与手册等;3入侵检测系统的使用 存档保管的入侵检测资料属秦热的资产,不得随意复制和外传,否则,将承担法律责任;正常运行的入侵检测系统必须

15、由专人负责,相关规则设计属秦热内部机密,不得外传,否则,将承担法律责任;4入侵检测系统的管理与维护 入侵检测系统管理人员与任务 入侵检测系统管理由计算机中心相关领导负责,并做下列工作：1 对入侵检测系统软件及相关资料归档入库并进行登录、保管；2 入侵检测系统软件拷贝和资料印刷等工作；3 入侵检测系统的安装、调试及卸载；4 一周三次定期查看入侵检测系统日志记录,并做备份;5 如发现异常报警或情况需及时通知相关负责人;入侵检测系统的登记 4.2.1、运行于本网络的入侵检测系统的各条规则设计,均需由计算机中心相关领导批准并登记在案方可进行;4.2.2、凡引进包括其它方式的入侵检测系统软件也应由承办人

16、将其交给计算机中心文档资料管理员登记、存档;4.2.3、凡第三方公司对本网络进行入侵检测测试,均需得到计算机中心相关领导批准并登记在案方可进行;入侵检测的登记格式如附录;附录：1 入侵检测系统使用者姓名或单位；2 开始、结束或使用时间：3服务器的情况：IP 地址,服务器的类型,服务器的用途；4 入侵检测系统情况；、漏洞扫描的管理制度 1目的 统一管理漏洞扫描,加强漏洞扫描软件的管理,保证漏洞扫描的合法进行,提高使用效率,合理、充分进行漏洞扫描,避免不正当非法使用;2适用范围 日常漏洞扫描:上述漏洞扫描软件的载体即磁盘、光盘、资料与手册等;3漏洞扫描软件使用 a 秦热各部门如果需要使用本软件时应

17、提出书面申请,经该计算机中心相关领导签字后交计算机中心相关负责人审核同意;b 外单位如果需使用有关软件产品,必须持有关证明,并报请计算机中心相关领导审核后,再交由文档资料管理员办理有关手续;c 存档保管的软件产品属秦热的资产,不得随意复制和外传,否则,将承担法律责任;4漏洞扫描的管理与维护 漏洞扫描管理人员与任务 漏洞扫描管理由计算机中心领导负责,并做下列工作：4.1.1、对漏洞扫描软件归档入库并进行登录、保管；4.2.1、漏洞扫描软件拷贝和资料印刷等工作；4.3.1、一个月一次定期对本网络进行漏洞扫描检查;漏洞扫描的登记 4.2.1、凡对本网络进行漏洞扫描,均需由计算机中心领导批准并登记在案

18、方可进行;4.2.2、凡引进包括其它方式的漏洞扫描软件也应由承办人将其交给主管安全部门文档资料管理员登记、存档;4.2.3、凡第三方公司对本网络进行漏洞扫描,均需得到计算机中心相关领导批准并登记在案方可进行;漏洞扫描的登记格式如附录;附录：a 漏洞扫描者姓名或单位；b 开始、结束或使用时间：c 服务器的情况：IP 地址,服务器的类型,服务器的用途；d 漏洞扫描情况：有潜在危险的服务器,漏洞的等级,漏洞的简要说明；e 漏洞的详细说明；f 漏洞的解决方案；g 管理人员的签字;7 日常审计管理 、目的 保障秦热网络和业务系统的安全运行,明确网络和业务系统的审计责任;、范围 本制度适应于对网络和业务系

19、统的安全审计;、定义 安全审计指对秦热网络和业务安全与运行网络安全的审计,主要指业务审计、投产审计、安全策略与制度的审计、安全评估、制度与规范执行情况的审计;、规定 7.4.1 由安全小组定期组织安全检查考核,网络和系统的工作人员要从政治思想、业务水平、工作表现、遵守安全规程等方面进行考核,对考核发现有违反安全法规的人员或不适合接触计算机信息系统的人员要及时调离岗位,不应让其再接触系统,对情节严重的要追究其法律责任;8 应急演练 、目的 测试应急方案,确保应急方案的正确性、有效性、快速性;、适用范围 网络和业务系统的各种应急方案;、规定 8.3.19 安全方案审核 、目的 保障重大方案的安全实

20、施;、定义 安全方案包括：10 事故响应及处理 、目的 确保计算机系统安全有效运行,及时响应和处理各种计算机事故;、定义 计算机事故的定义可以参见计算机中心的有关规定;、适用范围 计算机系统事故的响应和处理;、规定 10.4.1、发生计算机事故时,当事人要迅速报告安全小组以及相关部门,并详细记录事故发生的时间、地点、现象以及可能的原因;10.4.2、安全小组接到报告后,根据事故的严重程度,决定启动何种形式的应急方案,并上报计算机中心和相关业务领导;事故结束后,要和有关人员、部门分析事故发生的原因,并根据情节的轻重对事故责任人作出相应的处理;10.4.3、出现重大计算机事故,有计算机犯罪嫌疑的,

21、除了采取相应的补救措施外,还要及时上报公安机关,依法追究事故责任人的法律责任;11 技术档案管理制度 、目的 规范所有技术档案的管理,严格有关借阅手续;、定义 技术档案是指各种硬件、系统软件、数据库的技术资料,应用软件使用说明、运营维护手册,以及各种设备、应用软件的运行档案 、适用范围 计算机系统中各种软、硬件产品的技术档案以及相应的载体;、规定 11.4.1、技术档案要有专人负责保管,也可一主一辅进行管理;11.4.2、技术档案管理人员要对档案登录技术档案归档登记簿造册,注明名称、类别、数量、存放位置和入库时间等,正式入档保管;11.4.3、根据有关档案管理规定,对技术资料按其重要价值进行密

22、级分类管理,要有一套技术档案作为永久保存,此套技术档案一般不外借;11.4.4、技术档案保管环境须满足防盗、防火、防潮、防水、防鼠、防虫、防磁、防震等要求,重要技术档案应有冗余保护措施;11.4.5、备份介质要存放在专用的介质库内,重要的系统软件、应用软件,以及业务数据备份还须异地保存,填写数据介质档案登记簿;11.4.6、定期检查技术档案的完整性及有效性,对受损档案要及时整理和修复,对介质档案还应定期进行重绕、重写、复制等维护措施;11.4.7、借阅技术档案要向管理人员提出口头申请,填写技术档案借阅登记簿,借阅档案要及时归还,借阅永久保存的技术资料要经领导同意;11.4.8、档案工作人员应严格按照档案工作的各项规定、制度办事,严格遵守国家的保密制度,不得擅自提供档案或向他人泄露档案内容,不得擅自转移、分散和销毁档案;11.4.9、过期和报废技术档案销毁时,应严格履行审批手续、登记过期、报废技术档案销毁登记簿,并采取严格的监销制度;12 安全保密制度 遵循国电对电力行业的有关规定和国家经贸委 30 号令,遵守国家相应的保密制度;