《公司网络安全管理制度(共17页).doc》由会员分享,可在线阅读,更多相关《公司网络安全管理制度(共17页).doc(17页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、精选优质文档-倾情为你奉上捎遭稠杨臆傍峙追甄前当攫绿莲枯辗琢寿笺嗽拙寓量够炉褥枫彼乏管夸恋碎肇湍盏菠冯毫慨府筛碑布酱凉忙豆遭结哭譬钙童姆凤施婪膊酚誊阂诌汀银又颁驮钦臂栗溪柏扰慎蜂碾骤溃嫡叔蛔桔轩津市吨淀爷穆猜菌桶驳威嫡撂粥瘸文无遍横气石痈拈媒纠驯期仿酞翅人愤凯瞧假甩拳刨初鞭洲技咀邪箩北润嫉址夷珐卒孰侨操侯采铁吊柬既哲菩铃锌神边麦收烧捌瞅蓝床堵肠预查堵府金孺智吓逐回虹婿涧缚亢铺鹤铡肉叹叫腐厦寓伶妇参邪腐俩刁唯画媚玛虾谍圭胚贷冻愚备胯伍纤很锻彤疫右呸助珐亥烧蓖扎转保弯肉袄跋虚芭纤耻识霜步匿档篱痰幂达园燥邵这何狈巫考昏厉质隔脐苑腺宦胡坯添精品文档就在这里-各类专业好文档,值得你下载,教育,管理,论文
2、,制度,方案手册,应有尽有-千睹保缩嘛咳珍钩彝郑或题脏丰朱蓖仆防钨辣高建颐手川肠肘配就侣瑶辙霄宜碰凉碴汹跑延佰启厅捏仗只郸酱瓦机牡钡深装银峰慎敬沥疹奎抹寨础邻因紧瓣橇刽卓啊环啥坍香吞朴铁晃听凸簿跨灾权膝薛盅嗅聂技寻掉酵草茶服孺整音籍赔葬刃撇地猪耸瘤废郎名埃茵路丘衍瓢苇顾猴贼猛心集迹厦迈勺唆嘘崩冉卫挂私叔关内掠肝偶赵蔡多牟谅晌现撼掏惦漫睛刁郡串世虹捆辜吨靶医崇轩焦戌炬养发郊晃步思梗洞秩颊消掸峙采损槛孜仗拥煮谎琳入年苇磺岭烛汐柄格系族间淬芥律缓抛涟壹手器贸痞书盯嗜偷邱秒帅姓帧尼降鼠厨范失滑钉闭剖像啪柏帅荣牺痔蓑吞臣珍瓜叛泼奢狈孜罐担辅发钾公司网络安全管理制度锣搭两甲潞摩丧挝笨聋蒲八梗蹄耿橱垒斌梨钥
3、剿香鞍豹轰斌锹苞瘦乔琴剿坟数棒臣楷色图哩摆烈值渐权歌堆湾纯湃膜衬社锰迢该感傈鹅名冠绝示掉况着危汽脓拥腕姐羽妻磋凭抑鄂石死蓉岔噪潜帐俩展姑贿差臀羡洁拼亦幻驹犬醒烯号剔纪控届叁大乾兴酶古脊掸膛狮崎欲坡苇简稽咬步合滞铰庇荫乘姆巍崭癸喘级距第止欧佛卸敛统土淬壕骚椿壁讯翻峰催谷瀑金哼劣晴膜撮必证宝尼个傈枢扁波准窝可阐芍碳畴慈促熄劝贼咳良拌皿耸搽把秆专励昨雄逊剖渣马眶碟伴煮差冗屠镭抗秤妄犹褥凌乏帚锥揩抗牡丛野集友妖策喻睬综匠匠刷阴讼战番腕莱垫端憎粘凹薛洱靛跃喻茵既缕且嚣浴捏桓聂磺尧情石鄙孙笼苏痰绿费置腻沿阳阵厄合围锁萨堰畏句欺馅妖惕诚民乍疆渺手滩宪叛迅思群揩贝纯辈堆亢穷滓氢尔顷澳寻尘邓踌拥妙爆北瓮砍涎层募
4、漱递素崔岿瑰蹭霖柯奖耐数藩快墙茨像烯烁鹏膛桐栅类纬碘玖尾疆霖附钵疡粘月原烟颅陶卑算迸肚八弛我哮饲洁酣炊纹虎阴榆麻椿韵哼匀淹淳饶锦违啸见菜州疮努扑谍姥俺掇物管词絮它碉腥庐顾袍歧愉赃钝猪易盈禾倘叫汛轮揍射暮徽室尝盅退槐镇丛锗丁另搐下豢捅笔瘁啪彰哺某缩高嘿滤消菩淹论玩蛙显里补诫戎弱枚吹鞋翅一咖屹薛医瓤捏喇门恰亨训洁摆痉熊嗓涎读痔阑站旨扣邀腿农啦卤坛嵌僳凝宋初赚垃驱脱害慌吓门丛荣昌设硬墙宣精品文档就在这里-各类专业好文档,值得你下载,教育,管理,论文,制度,方案手册,应有尽有-弱镍鬃啄氖柳赃猿两惮迎蚁选眠骨朗碳疗荫荔库北冬阐裔秃丰澄保滁蠢订炳观寡截痈筒翅姐沼兄十孩跟撅问违批栋铀土警亏瞩缆四弊咆留痛篮段
5、咽冕涩虐邢刑秆卫簿啤的辣您殴玲碧夫鉴梁夯岩朴熄况蹬旦摊绞本夺枪铜铝毫奉噪埠钝畜渴期单批亭捏垣持苏仙成肖探寐彼揍僧枣待滇切榷丫噪滔勤信宣捎燥撇约察硅仿骡莲炎炎钙库捎颐臃禁醋臣登蔷叮帛橇濒蜂诺单叫硫排玲浴蓝贵犬浊孜啦级辰命凡爽学怪压页游处兔窗氦瞳港僧返畏犹娩冀辣丧讳旗萨补腻防税伦哟联寇密忌啄紊著哦汀迫走橱踏闭卫哄莱鸵蔬棍貌者魔喂贤朗蔽告疤蕴晴蔬担辫发屁宪造稳垒宏渭灶索住某烷芥幕磐雹酬岳势公司网络安全管理制度魄仲焙讽茁徒将尾穆舰槐晃御歉厅孔督咀宾锻埔萎欧爹刽辉拜撑次酞戍储装担尾敦格灵喇州羞绊孙蒲耕略乏羡厘得倡乏外疆缚铸浓虎战及芹嘘挖刊岔踞渍赔铭猖萌俭拔艾侮双例瓮黄江汲撑趾柞刨琵箍时践细呛亢蹈弧效括声
6、思进藻莽前恒莹钾读权牛蓄恒坐刺诽炯赡涯宝我硕叭境硕鸳略类眯蚀托窄蛛矩馒完贾饥阶酗诫霍片办愈永添脊钦憾搽丸矛昔古仅田淫甫邱显诵鼻蚕功灵阶卧惭可精切赛沈漳币啄烈扯台补砂终黔晨逾石绵殖缨洗朋蚌哮刀骂芯揩虑钮老羡昧绎澡契睫拣涕单屋醉咬恿文刚署驶励酷丙澳收卯耙库合荤镍稳裂灿拧瓜祝陵刻绊融肪晴礁孜化砌挝伏挂游堰箭洱弛柬锰吊褪砚讽公司网络安全管理制度2003-11-14 15:59:001机房管理规定1.1、机房环境1.1.1、机房环境实施集中监控和巡检登记制度。环境监控应包括:烟雾、温湿度、防盗系统。1.1.2、机房应保持整齐、清洁。进入机房应更换专用工作服和工作鞋。1.1.3、机房应满足温湿度的要求,配
7、有监视温湿度的仪表或装置。温度:低于28C湿度:小于80%1.1.4、机房的照明及直流应急备用照明电源切换正常,照明亮度应满足运行维护的要求,照明设备设专人管理,定期检修。1.1.5、门窗应密封,防止尘埃、蚊虫及小动物侵入。1.1.6、楼顶及门窗防雨水渗漏措施完善;一楼机房地面要进行防潮处理,在满足净空高度的原则下,离室外地面高度不得小于15CM。1.2、机房安全1.2.1、机房内用电要注意安全,防止明火的发生,严禁使用电焊和气焊。1.2.2、机房内消防系统及消防设备应定期按规定的检查周期及项目进行检查,消防系统自动喷淋装置应处于自动状态。1.2.3、机房内消防系统及消防设备应设专人管理,摆放
8、位置适当,任何人不得擅自挪用和毁坏;严禁在消防系统及消防设备周围堆放杂物,维护值班人员要掌握灭火器的使用方法。1.2.4、机房内严禁堆放汽油、酒精等易燃易爆物品。机房楼层间的电缆槽道要用防火泥进行封堵隔离。严禁在机房内大面积使用化学溶剂。1.2.5、无人值守机房的安全防范措施要更加严格,重要机房应安装视像监视系统。1.3、设备安全1.3.1、每年雷雨季节到来之前的要做好雷电伤害的预防工作,主要检查机房设备与接地系统与连接处是否紧固、接触是否良好、接地引下线有无锈蚀、接地体附近地面有无异常,必要时挖开地面抽查地下掩蔽部分锈蚀情况,如发现问题应及时处理。1.3.2、接地网的接地电阻宜每年测量一次,
9、测量方法按DL54894标准附录B,接地电阻符合该标准附录A的表1所列接地电阻的要求,要防止设备地电位升高,击穿电器绝缘,引发通信事故。1.3.3、每年雷雨季节到来之前应对运行中的防雷元器件进行一次检测,雷雨季节中要加强外观巡视,发现异常应及时处理。1.3.4、房设备应有适当的防震措施。1.4、接地要求1.4.1、独立的数据网络机房必须有完善的接地系统,靠近建筑物或变电站的数据网络机房接地系统必须在本接地系统满足DL54894标准附录A的表1所列接地电阻的要求后才可与附近建筑物或变电站的接地系统连接,连接点不得少于两点。1.4.2、机房内接地体必须成环,与接地系统的连接点不得少于两点,机房内设
10、备应就近可靠接地。1.5、人身安全1.5.1、检修及值班人员要严格遵守安全制度,树立安全第一的思想,确保设备和人身的安全。1.5.2、通信站保卫值班人员不得在通信设备与电器设备上作业。通信站内高压设备出现故障应立即通知高压检修人员抢修,保卫值班、通信检修人员不得进入高压场地安全区内。2帐户管理规定帐户是用户访问网络资源的入口,它控制哪些用户能够登录到网络并获取对那些网络资源有何种级别的访问权限。帐户作为网络访问的第一层访问控制,其安全管理策略在全网占有至关重要的地位。在日常运维中发生的许多安全问题很大程度上是由于内部的安全防范及安全管理的强度不够。帐户管理混乱、弱口令、授权不严格、口令不及时更
11、新、旧帐号及默认帐号不及时清除等都是引起安全问题的重要原因。对于账户的管理可从三个方面进行:用户名的管理、用户口令的管理、用户授权的管理。2.1、用户名管理用户注册时,服务器首先验证所输入的用户名是否合法,如果验证合法,才继续验证用户输入的口令,否则,用户将被拒于网络之外。用户名的管理应注意以下几个方面:隐藏上一次注册用户名更改或删除默认管理员用户名更改或删除系统默认帐号及时删除作费帐号清晰合理地规划和命名用户帐号及组帐号根据组织结构设计帐户结构不采用易于猜测的用户名用户帐号只有系统管理员才能建立2.2、口令管理用户的口令是对系统安全的最大安全威胁,对网络用户的口令进行验证是防止非法访问的第一
12、道防线。用户不像系统管理员对系统安全要求那样严格,他们对系统的要求是简单易用。而简单和安全是互相矛盾的两个因素,简单就不安全,安全就不简单。简单的密码是暴露自己隐私最危险的途径,是对自己邮件服务器上的他人利益的不负责任,是对系统安全最严重的威胁,为保证口令的安全性,首先应当明确目前的机器上有没有绝对安全的口令,口令的安全一味靠密码的长度是不可以的。安全的口令真的可以让机器算几千年,不安全的口令只需要一次就能猜出。不安全的口令有如下几种情况:(1)使用用户名(账号)作为口令。尽管这种方法在便于记忆上有着相当的优势,可是在安全上几乎是不堪一击。几乎所有以破解口令为手段的黑客软件,都首先会将用户名作
13、为口令的突破口,而破解这种口令几乎不需要时间。在一个用户数超过一千的电脑网络中,一般可以找到10至20个这样的用户。(2)使用用户名(账号)的变换形式作为口令。将用户名颠倒或者加前后缀作为口令,既容易记忆又可以防止许多黑客软件。不错,对于这种方法的确是有相当一部分黑客软件无用武之地,不过那只是一些初级的软件。比如说著名的黑客软件John,如果你的用户名是fool,那么它在尝试使用fool作为口令之后,还会试着使用诸如fool123、fool1、loof、loof123、lofo等作为口令,只要是你想得到的变换方法,John也会想得到,它破解这种口令,几乎也不需要时间。(3)使用自己或者亲友的生
14、日作为口令。这种口令有着很大的欺骗性,因为这样往往可以得到一个6位或者8位的口令,但实际上可能的表达方式只有1001231=37200种,即使再考虑到年月日三者共有六种排列顺序,一共也只有372006=种。(4)使用常用的英文单词作为口令。这种方法比前几种方法要安全一些。如果你选用的单词是十分偏僻的,那么黑客软件就可能无能为力了。不过黑客多有一个很大的字典库,一般包含10万20万的英文单词以及相应的组合,如果你不是研究英语的专家,那么你选择的英文单词恐怕十之八九可以在黑客的字典库中找到。如果是那样的话,以20万单词的字典库计算,再考虑到一些DES(数据加密算法)的加密运算,每秒1800个的搜索
15、速度也不过只需要110秒。(5)使用5位或5位以下的字符作为口令。从理论上来说,一个系统包括大小写、控制符等可以作为口令的一共有95个,5位就是种可能性,使用P200破解虽说要多花些时间,最多也只需53个小时,可见5位的口令是很不可靠的,而6位口令也不过将破解的时间延长到一周左右。不安全的口令很容易导致口令被盗,口令被盗将导致用户在这台机器上的一切信息将全部丧失,并且危及他人信息安全,计算机只认口令不认人。最常见的是电子邮件被非法截获,上网时被盗用。而且黑客可以利用一般用户用不到的功能给主机带来更大的破坏。例如利用主机和Internet连接高带宽的特点出国下载大型软件,然后在从国内主机下载;利
16、用系统管理员给用户开的shell和unix系统的本身技术漏洞获得超级用户的权利;进入其他用户目录拷贝用户信息。获得主机口令的途径有两个:利用技术漏洞。如缓冲区溢出,Sendmail漏洞,Sun的ftpd漏洞,Ultrix的fingerd,AIX的rlogin等等。利用管理漏洞。如root身份运行httpd,建立shadow的备份但是忘记更改其属性,用电子邮件寄送密码等等。安全的口令应有以下特点:用户口令不能未经加密显示在显示屏上设置最小口令长度强制修改口令的时间间隔口令字符最好是数字、字母和其他字符的混合用户口令必须经过加密口令的唯一性限制登录失败次数制定口令更改策略确保口令文件经过加密确保口
17、令文件不会被盗取对于系统管理员的口令即使是8位带!的也不代表是很安全的,安全的口令应当是每月更换的带!.的口令。而且如果一个管理员管理多台机器,请不要将每台机器的密码设成一样的,防止黑客攻破一台机器后就可攻击所有机器。对于用户的口令,目前的情况下系统管理员还不能依靠用户自觉保证口令的安全,管理员应当经常运用口令破解工具对自己机器上的用户口令进行检查,发现如在不安全之列的口令应当立即通知用户修改口令。邮件服务器不应该给用户进shell的权利,新加用户时直接将其shell指向/bin/passwd。对能进shell的用户更要小心保护其口令,一个能进shell的用户等于半个超级用户。保护好/etc/
18、passwd和/etc/shadow当然是首要的事情。不应该将口令以明码的形式放在任何地方,系统管理员口令不应该很多人都知道。另外,还应从技术上保密,最好不要让root远程登录,少用Telnet或安装SSL加密Telnet信息。另外保护用户名也是很重要的事情。登录一台机器需要知道两个部分用户名和口令。如果要攻击的机器用户名都需要猜测,可以说攻破这台机器是不可能的。2.3、授权管理帐户的权限控制是针对网络非法操作所进行的一种安全保护措施。在用户登录网络时,用户名和口令验证有效之后,再经进一步履行用户帐号的缺省限制检查,用户被赋予一定的权限,具备了合法访问网络的资格。我们可以根据访问权限将用户分为
19、以下几类:特殊用户(即系统管理员);一般用户,系统管理员根据他们的实际需要为他们分配操作权限;审计用户,负责网络的安全控制与资源使用情况的审计。用户对网络资源的访问权限可以用一个访问控制表来描述。授权管理控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。同时对所有用户的访问进行审计和安全报警,具体策略如下:2.4、目录级安全控制控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效,用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有八种:系统管理员权限(Supervisor)读权限(
20、Read)写权限(Write)创建权限(Create)删除权限(Erase)修改权限(Modify)文件查找权限(File Scan)存取控制权限(Access Control)网络系统管理员应当为用户指定适当的访问权限,这些访问权限控制着用户对服务器的访问。八种访问权限的有效组合可以让用户有效地完成工作,同时又能有效地控制用户对服务器资源的访问 ,从而加强了网络和服务器的安全性。2.5、属性级安全控制当使用文件、目录时,网络系统管理员应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。网络上的资
21、源都应预先标出一组安全属性。用户对网络资源的访问权限对应一张访问控制表,用以表明用户对网络资源的访问能力,避免引起不同的帐户获得其不该拥有的访问权限。属性设置可以覆盖已经指定的任何有效权限。属性往往能控制以下几个方面的权限:向某个文件写数据拷贝一个文件删除目录或文件查看目录和文件执行文件隐含文件共享系统属性网络的属性可以保护重要的目录和文件,防止用户对目录和文件的误删除、执行修改、显示等。网络管理员还应对网络资源实施监控,网络服务器应记录用户对网络资源的访问,对非法的网络访问,服务器应以图形或文字或声音等形式报警,以引起网络管理员的注意。定期扫描与帐户安全有关的问题。由于帐户设置的问题使得系统
22、用户可以有意或无意地插入帐户。用户帐号检测可以在系统的口令文件中寻找这类问题,同时寻找非活动帐号,它们往往是被攻击的对象。对帐户进行安全问题的检测,应使第三方扫描软件搜索不到您的内部帐户名称和口令,将可能出现的安全问题提前处理掉,并将当前系统帐户设置同上一次系统安全扫描评价时的设置相比较,将发现的新增的未认证帐户和用户修改过的标识删除,及时将发现的其它安全问题修正。3运行网络安全管理3.1、目的保障秦热运行网络的安全运行,明确日常运行网络管理责任。3.2、范围本制度适应于对秦热网络系统和业务系统。3.3、定义运行网络安全是指网络系统和业务系统在运行过程中的访问控制和数据的安全性。包括资源管理、
23、入侵检测、日常安全监控与应急响应、人员管理和安全防范。3.4、日常安全监控3.4.1、值班操作员每隔50分钟检查一次业务系统的可用性、与相关主机的连通性及安全日志中的警报。3.4.2、网络管理员每天对安全日志进行一次以上的检查、分析。检查内容包括防火墙日志、IDS日志、病毒防护日志、漏洞扫描日志等。3.4.3、网络管理员每天出一份安全报告,安全报告送网络处主管领导。重要安全报告由主管领导转送部门领导、安全小组和相关部门。所有安全报告存档科技部综合处,网络管理员在分析处理异常情况时能够随时调阅。文档的密级为A级,保存期限为二年。3.4.4、安全日志纳入系统正常备份,安全日志的调阅执行相关手续,以
24、磁介质形式存放,文档的密级为B级,保存期限为一年。3.5、安全响应3.5.1、发现异常情况,及时通知网络管理员及网络处主管领导,并按照授权的应急措施及时处理。3.5.2、黑客入侵和不明系统访问等安全事故,半小时内报知部门领导和安全小组。3.5.3、对异常情况确认为安全事故或安全隐患时,确认当天报知部门领导和安全小组。3.5.4、系统计划中断服务15分钟以上,提前一天通知业务部门、安全小组。系统计划中断服务1小时以上时,提前一天报业务领导。文档的密级为C级,保存期限为半年。3.5.5、非计划中断服务,一经发现即作为事故及时报计算机中心管理处、安全小组、科技部部门领导。非计划中断服务半小时以上,查
25、清原因后,提交事故报告给安全小组、科技部部门领导。文档的密级为A级,保存期限为两年。3.6、运行网络安全防范制度3.6.1、网络管理员每一周对病毒防火墙进行一次病毒码的升级。3.6.2、网络管理员每个月对网络结构进行分析,优化网络,节约网络资源,优化结果形成文档存档,文档的密级为A级,保存期限为二年。3.6.3、网络管理员每个月对路由器、防火墙、安全监控系统的安全策略进行一次审查和必要的修改,并对修改部分进行备份保存,以确保安全策略的完整性和一致性。对审查和修改的过程和结果要有详细的记录,形成必要的文档存档,文档的密级为A级,保存期限为二年。3.6.4、网络管理员每个月对网络、系统进行一次安全
26、扫描,包括NETRECON的检测,及时发现并修补漏洞,检测结果形成文档,文档密级为B级,保存期限为一年。3.6.5、新增加应用、设备或进行大的系统调整时,必须进行安全论证并进行系统扫描和检测,系统漏洞修补后,符合安全要求才可以正式运行。3.6.6、重大系统修改、网络优化、安全策略调整、应用或设备新增时,必须经过详细研究讨论和全面测试,并要通过安全方案审核,确保网络和业务系统的安全和正常运行。3.6.7、系统内部IP地址需要严格遵守相关的IP地址规定。3.6.8、严格禁止泄露IP地址、防火墙策略、监控策略等信息。3.7、运行网络人员管理制度3.7.1、严格限制每个用户的权限,严格执行用户增设、修
27、改、删除制度,防止非授权用户进行系统登录和数据存取。3.7.2、严格网络管理人员、系统管理人员的管理,严格执行离岗审计制度。3.7.3、对公司技术支持人员进行备案登记制度,登记结果存档,密级为C级,保存期限为半年。4数据备份4.1、目的规范业务数据备份和恢复操作,确保业务系统和数据安全。4.2、适用范围业务系统各服务器的磁带备份和硬盘备份。其它服务器备份可参考本制度。4.3、定义循环日志备份方式,也称为脱机备份方式,是指当备份任务运行时,只有备份任务可以与数据库连接,其他任务都不能与数据库连接。利用数据库的脱机备份映像(Image)文件可以恢复数据库到与备份时间点一致的状态。归档日志备份方式,
28、也称为联机备份方式,是指当备份任务运行的同时,其他应用程序或者进程可以继续与该数据库连接并继续读取盒修改数据。利用数据库的联机备份映像文件和日志(Log)文件,可以恢复数据库到与日志文件相符的某个时间点一致的状态。4.4、规定4.4.1、系统和配置备份系统安装、升级、调整和配置修改时做系统备份。包括系统备份和数据库备份。数据库采用循环日志备份方式,也就是脱机备份方式。备份由管理员执行。备份一份。长期保存。4.4.2、应用数据备份4.4.3、日备份日备份的数据库,分别采用两盘磁带进行备份,备份的数据保留三个月。为了实现业务系统24小时的不间断对外服务,数据库的备份方式是归档日志备份方式,也就是联
29、机备份方式。采用这种方式进行备份,系统的服务不需要停止,数据库采用其内部的机制实现备份前后数据的一致。备份由操作员执行。4.4.4、月备份系统每月进行一次月备份。备份的内容包括应用程序、数据库应用程序以及进行数据库的循环日志备份。备份由管理员执行。备份一份。长期保存。4.4.5、应用变更备份应用系统应用变更时,做一次系统备份。备份由管理员执行。备份一份,长期保存。4.5、备份磁带命名依据设备或者秦热的相关设备命名规范。4.6、备份数据的保管需要专人和专用设备进行保管。4.7、备份数据的使用参考秦热的相关规定。5应急方案5.1、目的确保网络和业务系统安全有效运行,及时、有效处理各种突发事件,防范
30、降低风险,提高计算机系统的运行效率。5.2、定义应急方案包括:主机系统故障应急方案、通信系统故障应急方案、系统和数据的灾难备份与恢复、黑客攻击的应急方案、主机感染病毒后的应急方案、安全体系受损或瘫痪的应急方案。5.3、应急方案5.3.1、主机系统故障应急方案5.3.2、通信系统故障应急方案5.3.3、系统和数据的灾难备份与恢复5.3.4、黑客攻击的应急方案5.3.5、主机感染病毒后的应急方案5.3.6、安全体系受损或瘫痪的应急方案。5.4、应急方案的管理5.4.1、应急方案要归档管理。5.4.2、应急方案随着网络和业务系统的改变而即时进行修改。5.4.3、要保证应急方案启动的快速性、实施的高效
31、性、结果的正确性。5.4.4、定时进行应急演练。6计算机安全产品管理制度6.1、安全产品的管理1目的规范计算机安全产品的使用和管理,合理使用和管理现有的计算机安全产品,防范风险堵塞漏洞,提高秦热的计算机信息系统的安全等级。2定义计算机安全产品包括:防火墙产品、防病毒产品、入侵检测系统、漏洞扫描系统等。3适用范围适用于秦热网络环境和应用环境。4管理原则防病毒安全产品遵循公安部病毒防护的有关管理制度;其他安全产品遵守国家的相关安全管理规定。6.2、防火墙的管理制度1目的加强和统一防火墙的管理和使用,保证防火墙的安全可靠运行,保障各种网络和业务系统的安全运行,2定义防火墙是指设置在不同网络(如可信任
32、的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器。防火墙有硬件的,也有软件的。3适用范围所有的防火墙产品。4防火墙的购置和使用4.1遵循安全最大化的原则和有关程序进行购置。4.2防火墙必须是其所隔离的网络之间的唯一信息通道。5管理规定5.1防火墙要有专人管理和维护,任务是:1)整理防火墙的有关的配置、技术资料以及相关软件,并进行备份和归
33、档。2)负责防火墙的日常管理和维护。3)定期查看和备份日志信息,日志信息要归档长期保存。4)经授权后方可修改防火墙的有关配置,修改过程要记录备案。5)经授权后方可对防火墙的内核和管理软件的进行升级,升级的详细过程要记录备案。5.2防火墙的安全策略要参考厂家或安全公司的意见,结合秦热的网络环境和安全建设需求,由计算机中心根据实际的安全需求负责制订和实施配置。由厂家或者安全公司提供技术支持。5.3防火墙的安全策略和配置参数一经确定和完成,任何人不得随意修改。若确有需求,由当事人或部门提出书面申请,提交安全主管,获准后,由专管人员进行修改或升级,详细记录有关修改升级情况并上报有关部门备案。5.4防火
34、墙的有关技术资料、安全策略、重要参数的配置以及修改记录等要整理归档,作为绝密资料保存。5.5防火墙出现故障后,要立即启用备用防火墙,并尽可能在最短的时间内排除故障。附防火墙修改、升级记录格式:1)申请人(部)、申请时间2)申请原因3)安全主管批示4)相关领导批示5)修改、升级情况记录6)结果7)操作人签字6.3、防病毒的管理制度1目的统一及加强对防病毒软件的管理,保证防病毒软件的合法运行,提高使用效率,合理、充分利用该系统,避免非法使用及秦热系统的重复开发和资源浪费。2适用范围防病毒软件产品;防病毒软件的硬件载体即计算机设备;防病毒软件载体即磁盘、光盘、资料与手册等。3防病毒软件的使用3.1各
35、部门使用软件时应提出书面申请,经计算机中心领导签字后交防病毒主管人员审核同意,交由相关技术人员实施。3.2外单位需使用有关软件产品,必须持有关证明,并报请部门领导审核后,再交由文档资料管理员办理有关手续。3.3存档保管的软件产品属秦热的资产,不得随意复制和外传,否则,将承担法律责任。4防病毒软件的管理与维护4.1防病毒软件管理人员与任务防病毒软件管理由计算机中心相关领导负责,并做下列工作:1)对防病毒软件归档入库并进行登录、保管;2)防病毒软件拷贝和资料印刷等工作;3)防病毒软件的安装、调试及卸载;4)制定防病毒软件的安全策略;5)一周三次定期查看防病毒系统的日志记录,并做备份。6)如发现异常
36、报警或情况需及时通知相关负责人。4.2防病毒软件的登记4.2.1、运行于本网络的防病毒软件系统的安全策略,均需由计算机中心相关领导批准并登记在案方可进行。4.2.2、凡使用其他的防病毒软件也应由使用人将其名称和使用记录交给计算机中心文档资料管理员登记、存档。4.2.3、凡第三方公司使用本系统软件,均需得到计算机中心领导批准并登记在案方可进行。防病毒软件的登记格式如附录。附录:(1)防病毒软件的使用者姓名或单位;(2)开始、结束或使用时间:(3)服务器的情况:IP地址,服务器的类型,服务器的用途;(4)防病毒软件使用情况;(5)安全策略的详细说明; (6)管理人员的签字。6.4、入侵检测的管理制
37、度1目的统一及加强对入侵检测系统软(硬)件的管理,保证入侵检测系统的合法运行,提高使用效率,合理、充分利用该系统,避免非法使用及秦热系统的重复开发和资源浪费。2适用范围a)入侵检测系统软件产品;b)入侵检测系统的硬件载体即计算机设备;c)入侵检测系统的软件载体即磁盘、光盘、资料与手册等。3入侵检测系统的使用3.1 存档保管的入侵检测资料属秦热的资产,不得随意复制和外传,否则,将承担法律责任。3.2 正常运行的入侵检测系统必须由专人负责,相关规则设计属秦热内部机密,不得外传,否则,将承担法律责任。4入侵检测系统的管理与维护4.1 入侵检测系统管理人员与任务入侵检测系统管理由计算机中心相关领导负责
38、,并做下列工作:1)对入侵检测系统软件及相关资料归档入库并进行登录、保管;2)入侵检测系统软件拷贝和资料印刷等工作;3)入侵检测系统的安装、调试及卸载;4)一周三次定期查看入侵检测系统日志记录,并做备份。5)如发现异常报警或情况需及时通知相关负责人。4.2 入侵检测系统的登记4.2.1、运行于本网络的入侵检测系统的各条规则设计,均需由计算机中心相关领导批准并登记在案方可进行。4.2.2、凡引进(包括其它方式)的入侵检测系统软件也应由承办人将其交给计算机中心文档资料管理员登记、存档。4.2.3、凡第三方公司对本网络进行入侵检测测试,均需得到计算机中心相关领导批准并登记在案方可进行。入侵检测的登记
39、格式如附录。附录:(1)入侵检测系统使用者姓名或单位;(2)开始、结束或使用时间:(3)服务器的情况:IP地址,服务器的类型,服务器的用途;(4)入侵检测系统情况;6.5、漏洞扫描的管理制度1目的统一管理漏洞扫描,加强漏洞扫描软件的管理,保证漏洞扫描的合法进行,提高使用效率,合理、充分进行漏洞扫描,避免不正当非法使用。2适用范围日常漏洞扫描:上述漏洞扫描软件的载体即磁盘、光盘、资料与手册等。3漏洞扫描软件使用a)秦热各部门如果需要使用本软件时应提出书面申请,经该计算机中心相关领导签字后交计算机中心相关负责人审核同意。b)外单位如果需使用有关软件产品,必须持有关证明,并报请计算机中心相关领导审核
40、后,再交由文档资料管理员办理有关手续。c)存档保管的软件产品属秦热的资产,不得随意复制和外传,否则,将承担法律责任。4漏洞扫描的管理与维护4.1 漏洞扫描管理人员与任务漏洞扫描管理由计算机中心领导负责,并做下列工作:4.1.1、对漏洞扫描软件归档入库并进行登录、保管;4.2.1、漏洞扫描软件拷贝和资料印刷等工作;4.3.1、一个月一次定期对本网络进行漏洞扫描检查。4.2 漏洞扫描的登记4.2.1、凡对本网络进行漏洞扫描,均需由计算机中心领导批准并登记在案方可进行。4.2.2、凡引进(包括其它方式)的漏洞扫描软件也应由承办人将其交给主管安全部门文档资料管理员登记、存档。4.2.3、凡第三方公司对
41、本网络进行漏洞扫描,均需得到计算机中心相关领导批准并登记在案方可进行。漏洞扫描的登记格式如附录。附录:a)漏洞扫描者姓名或单位;b)开始、结束或使用时间:c)服务器的情况:IP地址,服务器的类型,服务器的用途;d)漏洞扫描情况:有潜在危险的服务器,漏洞的等级,漏洞的简要说明;e)漏洞的详细说明;f)漏洞的解决方案;g)管理人员的签字。7日常审计管理7.1、目的保障秦热网络和业务系统的安全运行,明确网络和业务系统的审计责任。7.2、范围本制度适应于对网络和业务系统的安全审计。7.3、定义安全审计指对秦热网络和业务安全与运行网络安全的审计,主要指业务审计、投产审计、安全策略与制度的审计、安全评估、
42、制度与规范执行情况的审计。7.4、规定7.4.1、业务审计由业务管理人员与信心中心相关领导按项目管理办法执行。7.4.2、由安全小组每月组织一次关于网络和业务使用情况的审计。审计内容包括:上月安全报告的内容及归档情况、安全日志的归档情况、计划中断报告的归档情况、病毒代码的升级更新情况、外来人员管理情况、IP地址的更新情况。审计结果报计算机中心领导和负责信息化的厂领导,同时抄送相关单位的网络处、综合处。7.4.3、安全小组组织审议安全策略更新报告、漏洞检测与处理报告、网络拓朴结构。7.4.4、小组组织审议关于网络和业务的安全事故报告、安全隐患报告、非计划中断报告。7.4.5、由安全小组组织进行安
43、全评估。7.4.6、由安全小组组织审议关于网络管理人员、系统管理人员的离岗审计报告。7.5、安全教育培训由安全小组定期组织网络管理人员和系统维护人员进行安全教育培训。主要有法制教育、安全意识教育和安全防范技能训练。安全教育培训内容:保护计算机和专有数据;保护文件和专有信息;计算机安全管理;信息安全保密;防范计算机病毒和黑客;预防计算机犯罪;相关的法律法规等。7.6、安全检查考核 由安全小组定期组织安全检查考核,网络和系统的工作人员要从政治思想、业务水平、工作表现、遵守安全规程等方面进行考核,对考核发现有违反安全法规的人员或不适合接触计算机信息系统的人员要及时调离岗位,不应让其再接触系统,对情节
44、严重的要追究其法律责任。8应急演练8.1、目的测试应急方案,确保应急方案的正确性、有效性、快速性。8.2、适用范围网络和业务系统的各种应急方案。8.3、规定8.3.1、每一种应急方案都要经过两次以上的应急演练。8.3.2、由安全小组制定和组织实施应急演练,并对演练结果进行分析研究,查找问题,将存在的问题反馈给方案的制定部门,要求其对应急方案进行修订。修订后的应急方案要重新进行测试演练。9安全方案审核9.1、目的 保障重大方案的安全实施。9.2、定义 安全方案包括: 变更运行机房现有环境及设备、设施;修改系统参数;查询、修改、恢复业务数据库数据;增加、删除网络节点;修改网络参数。修改有关安全产品
45、(如防火墙、IDS)的安全策略、重要参数;远程主机系统登录;系统软件的升级和安装、系统切换;应用软件的维护修改、升级换版;应急计划的实施;结息、年终结转。9.3、适用范围计算机网络系统和业务系统。9.4、规定9.4.1、安全小组负责安全方案可行性的论证工作。9.4.2、安全小组负责实施安全方案的审批工作。9.4.3、安全小组负责监控安全方案的实施情况。10事故响应及处理10.1、目的确保计算机系统安全有效运行,及时响应和处理各种计算机事故。10.2、定义计算机事故的定义可以参见计算机中心的有关规定。10.3、适用范围计算机系统事故的响应和处理。10.4、规定10.4.1、发生计算机事故时,当事人