《IP网络安全管理办法.docx》由会员分享,可在线阅读,更多相关《IP网络安全管理办法.docx(8页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、安全管理制度IP网络安全管理办法编制说明3第一章总则4第二章IP网络安全要求4第三章附则8第一节文挡信息8编制说明本制度依据我国信息安全的有关法律法规,结合*公司的自 身业务特点、并参考国际有关信息安全标准制定的。IP网络安全管理办法加强了安全事件应急响应管理能力, 规范安全事件应急响应流程,涉及的应急响应是指各系统发生严 重和重大安全事件时应启用的应急响应管理。第一章总则第一条制度目标:为了加强信息安全保障能力,建立健全的安全 管理体系,提高整体的网络与信息安全水平,保证网络通信畅通和业 务系统的正常运营,提高网络服务质量,在安全体系框架下,本制度 为规范IP网络安全的运行维护,保护作为信息
2、传输基础的网络基础 设施的安全,保障网络服务的可用性和信息传输的机密性。第二条适用范围:本制度由网络与信息安全工作组制订,适用于 各部门使用的IP网络中涉及网络设备、网络设计、运行、边界保护、 监控和审计方面的安全规定。本制度所述的网络设备包括IP网络设 备和使用在网络环境中的安全设备,如路由器、交换机、防火墙、入 侵检测系统及网络监控设备。第三条使用人员及角色职责:本制度适用于安全管理员,部门安 全管理员、安全技术人员及系统管理员。第四条制度相关性:本制度涉及网络的安全技术规范、及安全检 查及监控等管理办法,同时遵照相关专业技术文档。第二章IP网络安全要求第五条各系统网络设备当前运行配置文件
3、应和备份配置文件保 持一致。第六条各系统网络设备的配置变更应根据IP网络安全管理办 法严格执行。第七条网络设备登录提示标识应适当屏蔽内部网络信息内容,并 应有相关合法性警告信息。第八条各系统管理员应每季度检查网络设备登录方式的开放情 况,关闭没有使用的登录方式。第九条通过设备日志或外部认证设备维护对设备的登录状况,内 容应当包括访问登录时间,人员,成功登录和失败登录时间和次数等 信息。第十条严格控制对网络设备的管理授权。按照最小权限原则对用 户进行授权。第十一条各系统网络设备的密码应严格按照安全管理制度汇编 账号、口令及权限管理办法执行。第十二条各部门应每季度收集设备运行状况,通过运行记录和供
4、 应商了解目前已有设备的硬件/软件缺陷,跟踪设备缺陷的修复情况, 及时向部门信息安全组织和信息安全工作组汇报,作为设备选型/厂 商选择的参考指标。第十三条负责网络设备维护的人员应与网络设备厂商保持畅通 的沟通联系,以便能及时从厂商处获取必要的技术支持。第十四条严禁管理员透漏设备口令、SNMP字符串、设备配置文 件等信息给未授权人员。第十五条所有网络必须具有关于拓扑结构、所用设备、链路使用 情况等关于网络情况的详细说明文档,并保持文档内容和现有网络、 设备连接和链路信息保持一致。第十六条网络应具备冗余设计和规划,实现基本的冗余配置,预 防关键点的网络故障。应配备冗余链路、核心和汇聚层的冗余设备,
5、 配置冗余路由以充分保障网络的可用性。第十七条对重要区域实行冷备份与热备份相结合的方式,避免双 重失效造成的影响。第十八条网络冗余措施应根据预先制定的冗余配置、设备、线路 等测试方案每季度进行验证测试,以判别是否满足冗余要求。第十九条网络管理员或安全管理员对网络链路应进行探测和监 控,并对已经发生的安全事件进行及时响应和处理。第二十条重要部门在网络上传输机密性要求高的信息时,必须启 用可靠的加密算法保证传输安全。第二十一条在网络中选择和使用恰当的路由协议,并正确地进 行配置和实施,保证网络的互联互通。第二十二条 由统一的IP地址管理机构、人员负责对外部和内部 各个部门、人员的IP地址进行规划、
6、登记、维护和分配。确保各个 部门有足够的地址容量并有一定的冗余供扩展使用。第二十三条 对于重要区域应单独分配地址段,用于专门的网络 设备互联,不与其他用户混用,以利于安全措施的使用。第二十四条维护和记录IP地址的使用情况,及时关闭和回收被 废止的地址。第二十五条 未经部门或信息安全组织批准,测试网络与内部网 络不能直接连接。第二十六条 未经部门或信息安全组织批准,严禁员工私自设立 拨号接入服务。第二十七条 未经部门或信息安全组织批准,严禁员工通过拔号 方式对外部网络进行访问。第二十八条 所有的远程访问必须具备身份鉴别和访问授权控 制,至少应采用用户名/口令方式,通过Internet的远程接入访
7、问必 须通过VPN的连接,并启用VPN的加密与验证功能。第二十九条不同安全域之间应采用防火墙,路由器访问控制列 表等方式对边界进行保护。只开放必要的服务和端口,减少暴露在网 络外部的风险。第三十条对于重要的系统需要在防火墙上对信息流的内容按照 一定方式进行边界过滤。第三十一条根据业务变化及时检验更新现有的防火墙配置制 度,满足新的安全需求。第三十二条采取逻辑或物理隔离方法对网络采取必要的隔离措 施,以维护不同网络间信息的机密性,解决网络信息分区传输的安全 问题。第三十三条 在网络中的重要位置应部署网络监控设备或者采用 人工手段,监控采集网络中的流量和事件,设备运行情况等信息,分 析发掘异常事件。第三十四条 网络中各设备应开启日志记录功能,对网络使用情 况进行记录。第三十五条 建立网络中的审计体系,应当对审计结果中的异常信息和长期性事件趋势进行分析。第三章附则第一节文挡信息第二十K条本制度由*制定,并负责解释和修订。由信息安全 工作组讨论通过,发布执行。第三十七条 本制度自发布之日起执行。