公司网络安全管理办法完整.docx-淘文阁

资源描述

《公司网络安全管理办法完整.docx》由会员分享，可在线阅读，更多相关《公司网络安全管理办法完整.docx（16页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、公司网络安全管理办法第一章总则第一条为加强XXXX公司（以下简称公司）网络管理，确保网络运行质量、提高网络设备资源使用效率，保障公司网络的安全，特制定本办法。第二条本办法规定了网络维护管理及网络安全管理的相关职责和管理措施，是公司网络管理工作的依据。第三条本办法适用于公司、全资子公司及比照全资子公司管理的控股子公司（以下简称子公司）。公司控股投资企业可参照执行。第二章组织和职责第四条公司信息化管理部运行管理处指定专人负责网络的维护和管理。第五条信息化管理部作为主管部门，负责公司整个网络的监管工作。第六条运行管理处负责网络日常维护工作，主要包括网络设备、网管系统的检查维护，网络变更

2、的实施以及网络故障的处理等。第三章网络维护管理第七条网络维护管理基本规（一）公司网络维护管理必须严格遵守信息化管理部运行维护的基本任务和要求。（二）公司网络维护管理的基本要求：L掌握公司网络资源、网络运行状况和发展情况，合理调配网络和设备资源，保证公司网络资源的合理利用和网络运行最优化。2 .制定公司网络维护割接、网络优化方案，并组织实施。3 .对正式入网使用的新设备、新系统执行验收制度。4 .专人负责公司网络系统的硬件、软件及相关设备的维护。5对于现用或备用的网管系统，不得擅自更改其配置、结构或拆除部件，保证网管设备和系统完好。第八条网络维护管理要求（一）网络拓扑管理：绘制并及时更新网络

3、拓扑图。（二）应定期收集、汇总、分析网络运行情况，并作为网络优化、扩容依据。汇总信息应上报信息化管理部。第九条网络变更管理原则（一）由于网络优化、业务调整需要而进行的网络变更，变更方案原则上应先保证网络的稳定运行，变更过程对各类业务的影响应控制在最小范围。（二）网络设备的软硬件版本升级和补丁修补，应先进行测试并设有回退方案，经测试确认无误后再进行全网相关操作。（三）所有网络设备在运维过程中，升级、更换的软件或硬件应为厂家所发布的、稳定的正式产品，并经信息化管理部运行管理处审批后方可实施。（四）在实施重大网络变更前，必须组织相关专家对技术方案的可行性、安全性进行论证，并经信息化管理

4、部审批后，由具有丰富维护经验的技术人员负责实施操作。第十条配置变更管理（一）在变更过程中涉及到设备系统及业务配置改动时，应事先制定统一的变更操作配置模板，组织维护专家进行充分论证和测试，经信息化管理部审批后，方可应用于实际网络中。（二）维护人员应根据业务及网络设备的实际需要，对配置模板进行调整，并完善到相关操作手册中。（三）变更工作完成后应对相关文档进行更新保存。第十一条变更操作管理（一）网络设备的运行配置文件和启动配置文件应保持一致。（二）网络变更应在业务空闲时进行，对网络设备变更的全过程应进行严密控制，使变更过程中可能带来的风险减小到最低限度。（三）为保证变更的顺利实施，变更前应

5、制定包括时间、业务影响范围、影响用户清单、详细操作步骤的变更方案及应急回退方案。（四）变更实施人员应详细记录变更过程，变更完成后应尽快通知相关部门，及时更新相应维护资料，并在规定时间内向审批单位反馈变更结果。第十二条网管设备的维护（一）日常维护项目和要求：检测网管系统各部分（包括CPU、磁盘、文件系统存储空间等）的运行状态。发现故障，分析原因，及时排除。（二）定期维护项目和要求：至少每年进行一次全面的系统软件及硬件的诊断测试。第十三条网管系统设备资源的维护（一）定期检查网管系统各部分的利用率情况，包括CPU利用率、内存利用率、外存（如硬盘等）利用率，每季度至少一次。（二）磁盘空间

6、的维护管理要求：应及时清理磁盘文件，删除过时或无用的网管数据文件和程序，保证磁盘空闲空间230%。第十四条网管配置文件的管理要求（一）检查当前运行的网管配置数据与网络现状是否一致，如不一致应及时更新。（二）检查缺省启动的网管配置文件是否为最新版本，如不是应及时更新。（三）网络发生变化时，及时更新网管配置数据，并做相应记录。（四）网管配置数据应及时备份并对备份后的数据进行验证，备份结果保留到下一次修改。（五）对重要数据应实现异质备份、异址存放。第四章网络安全管理第十五条网络安全要求（一）根据公司的需要、所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网

7、、区段分配地址段。（二）在网络边界部署访问控制设备，启用访问控制功能。根据业务需要为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级。（三）公司网络资源（包括IP地址）的维护管理作为公司网络维护管理的重要内容，必须设置专人负责，做到统一规划、合理使用, 对IP地址的使用应及时记录、更新、备案。（四）必须关闭网络设备未使用的物理端口。重要网段应采取网络层地址与数据链路层地址绑定措施，防止地址欺骗。第十六条重要网络设备应符合以下性能、安全要求（一）设备可用率应达到或超过99. 99%；原则上，设备的核心处理及交换模块、电源模块必须为L 1主备模式；设备采片双路供电方式；设备必须支

8、持热插拔功能；设备在故障状态下可以实现一定程度上的故障自恢复，包括主备引擎的切换、不中断业务的转发等。（二）在新设备入网前，必须与现有网络设备进行严格的互通性测试，由新入网设备厂家提供测试报告及测试用例，确保新设备符合相关设备的技术要求。（三）重要网络设备必须采用经过厂家测试并正式发布的、性能稳定可靠的内核软件和操作系统软件版本，同型号设备所安装的内核软件、操作系统的版本原则上应统一，安装的补丁程序版本原则上应一致；所采用的硬件和软件产品本身应具备一定的安全功能。第十七条安全设备的管理要求（一）防火墙的配置应参照防火墙安全配置基线进行配置。（二）应对登录防火墙的用户进行身份鉴别，对

9、防火墙的管理员登录地址进行限制。对使用广域网与VPN进行远程管理时，应采取 HTTPS或SSH的加密传输措施，防止认证信息在网络传输过程中被窃听。（三）防火墙应能根据会话状态信息（包括数据包的源地址、目的地址、源端口号、目的端口号、协议），为数据传输提供明确的允许/ 拒绝访问的能力。（四）应在网络边界部署防火墙或具有相同功能的访问控制设备，并启用访、可控制功能。（五）应在网络边界和核心交换处部署入侵检测设备，监视包括端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、 IP碎片攻击和网络蠕虫攻击等入侵事件的发生。（六）当入侵检测设备检测到入侵攻击行为时，应记录入侵攻击源

10、IP、攻击类型、攻击目的、攻击时间，并在发生严重入侵事件时提供告警。告警方式包括短信、邮件和实时监控。（七）指定专人定期升级入侵检测设备的特征库。第十八条日常维护的安全管理（一）网络设备的日常安全管理1 .维护人员应严格执行维护作业计划，每月定期检查区络设备的安全策略配置，并填写和保留有关记录。2 .定期（每月）进行设备硬件、系统软件、应用软件、运行状态检查，及时发现设备运行中的安全隐患，并填写和保留有关记录。3 .定期（每月）检查安全日志（包括系统访问日志、配置更改日志等），及时发现非法访问和异常配置的安全隐患，并填写和保留有关记录。（二）对网络安全检查中发现的问题，应根据问题的严

11、重性及影响范围制订整改计划，必要时可以寻求专业安全技术厂商的支持并报上级部门审批。在运行管理处的监督下，由安全技术厂商进行渗透性测试，以保证安全问题整改的效果。第十九条网络安全防护（一）远程登录访问控制要求L确保在所有远程登录服务的位置设置口令防护，其中设备登录和认证的通信过程应加密，确保ConSole接口设置EXEC 口令。2 .严格限定特定的IP地址远程登录网络设备或主机设备。（二）对设备的远程登录会话最大无响应连接断开时间应设置为不大于10分钟。（三）开启路由器、以太网交换机日志功能，同时必须保证日志功能对设备性能的影响较小。（四）关闭路由器、以太网交换机和服务器上不必需的服务

12、，实现设备的最小服务配置。每季度对配置文件进行离线备份。发现安全漏洞时，应采取必要的防护措施，并及时升级软件版本或安装补丁。（五）病毒防护按照防病毒管理办法要求执行。（六）每年至少一次对重要网络设备进行安全评估，形成评估报告, 对评估报告中发现的安全隐患，应采取措施予以消除。同时做好相关资料的存档。（七）定期（每三个月）对网络系统进行漏洞扫描，对发现的网络系统安全漏洞进行及时的修补。（八）根据厂家提供的软件升级版本对网络设备进行更新，并在更新前对现有的重要文件进行备份。（九）保证所有与外部系统的连接均得到授权和批准。（十）依据安全策略允许或者拒绝便携式和移动式设备的网络接入。（十一）

13、应定期检查违反网络安全策略的行为。禁止任何方式的无线接入与外联。第五章网络接入控制第二十条设备接入控制（一）公司应制定相关措施，保证设备的物理接入安全。（二）河络设备应选择经实践验证稳定运行的版本。（三）网络设备入网前要进行一些专门的安全功能设置，如下：L采用安全方式（如安全协议、串口连接等）对网络设备进行远程或本地管理，禁止以明文传输协议远程管理网络设备；2 .配置身份认证、授权和统计；3 .对密码进行高级别的加密保护；4 .加强对基于广播风暴攻击的防范；5 .加强对内部地址欺骗的防范；6 .加强对源路由欺骗的防范；7 .禁止不必要的服务，实行最小服务原则；8 加强对于SNMP的默认管理

14、字符串的安全管理；9 .依据需求提升访问控制规则的严格程度；10 .设置明确的禁止非授权访问的警告提示。（四）网络设备在上线前，网络管理员应对设备进行安全配置检查, 具体操作内容遵循设备安全配置指南。（五）网络管理员应定期优化更新网络系统的安全策略设置，避免因安全漏洞风险而造成的损失。（六）接入内网的终端应为公司所配发的办公终端及办公设备（如打印机、传真机等）。其它任何终端、服务器及网络设备原则上均不得接入内河。如有特殊需求确要接入的，应由所属部门向信息化管理部提出申请并征得同意，且保证满足网络安全管理要求后方可接入。（七）接入高风险系统时，限制终端与网络服务的连接时间，避免非法接入

15、的风险。具体限制措施如下：1 .使用预先定义的时间段进行通信；2如无特别需要，尽量将连接时间限制在正常办公时间内；3对每次连接的时长进行限制。第二十一条用户接入控制（一）公司应制定正式的管理规定，明确使用办公终端接入内网的管理要求，员工接入内网时应遵守接入控制方式的准则和控制措施。（二）公司应制定针对第三方人员接入公司内网的管理要求和控制措施，以保证内网的安全接入，使网络高效、稳定的运行。（三）公司应对使用内网的员工和第三方人员提供相应的安全培训，使其清楚认识安全风险及需要采取的控制措施。（四）公司员工使用电脑通过固定方式（使用公司内网物理端口）接入公司内网时，应遵守以下要求:1 .员工

16、接入公司内网应向信息化管理部提交申请，经批准后方可入网；2 .员工接入内网时应使用公司配发的台式电脑；3 .接入的办公终端应符合公司的终端安全配置标准；4 .申请入网时必须接受信息化管理部的安全配置检查；5 .员工每次开机接入内网时应接受公司对办公终端的接入控制检查，符合标准方可接入；6 .员工应对自己使用的网络接入端口负责，不允许接入其他用户终端或网络设备（如HUB、交换机、无线AP等）；7 接入办公终端的IP地址设定参数不得私自变动（或绑定）；8 办公终端在接入内网时，不得同时再接入其它网络（如使用电话拨号、移动上网卡等方式将内网与外网直接跨接）；9 .员工下班后必须将办公终端退网并

17、关机。（五）员工通过VPN方式接入公司内网时，应遵守以下要求：1 .员工接入公司内网应向信息化管理部提交申请，经批准后方可入网；2 .申请应包含申请人信息、使用期限、需授权访问的系统与服务等内容；3 .接入的终端应符合公司的终端安全配置标准；4 使用VPN方式接入内网时，必须严格对终端进行安全配置检查，符合标准方可接入；5 .员工在非办公环境使用VPN方式接入内网时应注意环境的信息安全，防止被窃听、信息泄露等安全风险;6 .员工通过VPN接入内网时，必须经过认证；7 接入终端的IP地址设定参数不得私自变动（或绑定）；8 公司应对VPN连接时间进行控制，设置超过一定时长内无数据流量则自动

18、断开连接，员工完成使用后必须断开VPN连接；9 .为保障账号和口令的安全，公司应对三个月没有使用的VPN 账号进行封存，员工需重新申请并得到批准后方可继续使用；10 .移动方式接入需求结束时，应马上撤销访问权限，并收回相关资源。例如：员工出差租借密码令牌；IL公司应对员工使用VPN的情况进行审计。（六）员工通过WLAN方式接入公司内网时，应遵守以下要求：1 .员工接入公司内网应向信息化管理部提交申请，经批准后方可入网；2 .申请应包含申请人信息、使用期限、需授权访问的系统与服务等内容；3 .禁止员工使用PDA设备通过WLAN方式接入内网；4 .接入的办公终端应符合公司的终端安全配置标准；

19、5 .使用WLAN方式接入内网时，必须严格对办公终端进行安全配置检查，符合标准方可接入；6 .员工通过WLAN方式接入必须经过验证；7 为防止非法设备接入公司内网，对网元节点也应进行验证。验证方式可以基于用户的生物特征、所持物品、所知特定信息和上述三者的任意组合，如密码、令牌、指纹、虹膜或数字签名等；8 .通信过程必须经过加密传输，防止被侦听，保证通讯安全；9 .接入办公终端的IP地址设定参数不得私自变动（或绑定）；10办公终端在接入内网时，不得同时再接入其它网络（如使用电话拨号、移动上网卡等方式将内网与外网直接跨接）；11 .员工使用完成后必须断开WLAN连接；12 .移动方式接入需求

20、结束时，应马上撤销访问权限；13 .公司应对员工使用WLAN的情况进行审计。（七）第三方人员使用电脑通过固定方式（使用公司内因物理端口）接入公司内网工作区域时，应遵守以下要求：1 .管理第三方人员的责任部门应提交接入申请并由信息化管理部批准；2 .申请应包含申请人信息、管理第三方人员的责任部门信息、使用期限、接入方式、需授权访问的系统与服务等内容；3 .管理第三方人员的责任部门应加强对第三方人员的安全教育并负责第三方人员的安全管理；4 .公司应与第三方人员及公司签署安全保密协议；5 .第三方人员接入内网时使用的台式电脑应安装防病毒软件，并保证病毒定义和补丁及时更新；6 .申请入网时必

21、须接受信息化管理部的安全配置检查；7 .第三方人员应对分配使用的网络接入端口负责，不允许接入其他用户终端或网络设备（如HUB、交换机、无线AP等）；8 .接入终端的IP地址设定参数不得私自变动（或绑定）；9 .终端在接入内网时，不得同时再接入其它网络（如使用电话拨号、移动上网卡等方式将内网与外网直接跨接）；10 .第三方人员下班后必须将终端退网并关机；11 .严格控制第三方人员的访问权限，只允许访问被授权访问的系统；12 当第三方人员申请接入使用结束时，应封闭授权使用的网络物理接口。（八）第三方人员通过VPN方式接入公司内网工作区域时，应遵守以下要求：1 .管理第三方人员的责任部门应提

22、交接入申请并由信息化管理部批准；2 .申请应包含申请人信息、管理第三方人员的责任部门信息、使用期限、接入方式、需授权访问的系统与服务等内容；3 .管理第三方人员的责任部门应加强对第三方人员的安全教育并负责第三方人员的安全管理；4 .公司应与第三方人员及公司签署安全保密协议；5 .第三方人员接入内网时使用的终端应安装防病毒软件并保持病毒定义最新、补丁为最新；6 .申请入网时必须接受信息化管理部的安全配置检查；7 .禁止第三方人员使用3G上网本访问内网；8 .使用VPN方式接入内网时，必须严格对接入终端进行安全配置检查，符合标准方可接入;9 .第三方人员在非办公环境使用VPN方式接入内网时

23、应注意环境的信息安全，防止被窃听、信息泄露等安全风险；1 0第三方人员通过VPN接入必须经过认证；IL接入终端的TP地址设定参数不得私自变动（或绑定）；12 .严格控制第三方人员的访问权限，只允许访问被授权访问的系统；13 .公司应对VPN连接时间进行控制，设置超过一定时长内无数据流量则自动断开连接，第三方人员完成使用后必须断开VPN连接;14 .公司应对三个月没有使用的VPN账号进行封存，重新申请并得到批准后方可继续使用；15 .移动方式接入需求结束时，应马上撤销访问权限，并收回相关资源。例如：租借的密码令牌；16 .公司应对第三方使用VPN的情况进行审计。（九）第三方人员通过WL

24、AN方式接入公司内网工作区域时，应遵守以下要求：1 .管理第三方人员的责任部门应提交接入申请并由信息化管理部批准；2 .申请应包含申请人信息、管理第三方人员的责任部门信息、使用期限、接入方式、需授权访问的系统与服务等内容；3 .管理第三方人员的责任部门应加强对第三方人员的安全教育并负责第三方人员的安全管理;4 .公司应与第三方人员及公司签署安全保密协议；5 .第三方人员接入内网时使用的终端应安装防病毒软件并保持病毒定义最新、补丁为最新；6 .申请入网时必须接受信息化管理部的安全配置检查；7 .禁止第三方人员使用3G上网本访问内网；8 .禁止第三方人员使用PDA设备通过WLAN方式接入内

25、网；9 使用WLAN方式接入内网时，必须严格对接入终端进行安全配置检查；10 第三方人员通过WLAN接入必须经过认证；IL为防止非法设备接入公司内网，对网元节点也应进行验证。验证方式可以基于用户的生物特征、所持物品、所知特定信息和上述三者的任意组合，如密码、令牌、指纹、虹膜或数字签名等；11 通信过程必须经过加密传输，防止被侦听，保证通讯安全；12 接入终端的IP地址设定参数不得私自变动（或绑定）；14 .终端在接入内网时，不得同时再接入其它网络（如使用电话拨号、移动上网卡等方式将内网与外网直接跨接）；15 .严格控制第三方人员的访问权限，只允许访问被授权访问的系统；16 第三方人员

26、完成使用后必须断开WLAN连接；17 .公司应对三个月没有使用的WLAN账号进行封存，重新申请并得到批准后方可继续使用；18 .移动方式接入需求结束时，应马上撤销访问权限;19 .公司应对第三方人员使用WLAN的情况进行审计。第二十二条第三方接入控制（一）第三方人员进入公司生产区域或者登录各业务系统操作时, 应严格遵守公司的各项安全管理制度和规范。（二）第三方人员工作区域应与公司的生产、内部办公、维护区域分离，即在安全域中划分独立的第三方用户接入区，如系统开发接入区、系统维护接入区等，并应采用更严格的访问控制策略和管控手段。（三）第三方用户接入区部署的常驻终端，应有严格的接入认证, 并满足

27、相关终端安全合规性检查标准。（四）第三方用户接入区内的非常驻终端，需按照相应申请审批流程向业务主管部门申请，并按照公司终端相关安全合规性标准进行检查，获得授权后方可接入，业务主管部门应将申请审批记录备案。（五）在第三方用户接入区内，应统一部署第三方人员专用终端，禁止外部移动终端和移动存储介质的直接接入。（六）业务主管部门应定期对现场服务的第三方人员终端进行安全审核、检查，不定期抽查。（七）禁止第三方人员在未授权的情况下通过远程方式接入第三方用户接入区，如第三方人员因特殊情况需要远程登录时，须经过业务主管部、1审批授权后，临时开通远程登录功能，用毕及时撤销。远程登录必须通过4A系统等进行集中认证、授权和审计，应遵循权限最小化原则，控制用户访问的系统及权限。第六章附则第二十三条本办法由公司信息化管理部解释和修订。第二十四条本办法自印发之日起施行。

展开阅读全文