《网络安全管理规定.docx》由会员分享,可在线阅读,更多相关《网络安全管理规定.docx(25页珍藏版)》请在第一文库网上搜索。
1、重庆XXXXXX有限公司网络安全管理规定(试行)二。一八年十一月目录贝IJ-6-第二章管理机构设置-7-一、机构名称和人员构成-7-二、工作要求-8-第三章机房管理规定-9-一、机房环境-9-二、机房安全-10-三、设备安全-11-四、接地要求-12-第四章账户管理规定-13-一、用户名管理-13-三、授权管理-16-第五章网络运行安全管理规定-17-一、日常安全监控-17-二、安全响应-18-三、网络运行安全防范制度-19-四、网络运行人员管理-20-第六章网络信息安全管理规定-21-一、网络信息的收集与使用-21-二、网络信息的监督与管理-22-第七章数据备份管理规定-23-一、系统和配置
2、备份-23-二、应用数据备份-24-*、t-I.24-四、月备份-24-五、应用变更备份-24)I,*-25-一、应急方案-25-25-二、应急演练第一章总则为加强重庆XXXXXX公司计算机信息网络的安全,保障网络系统安全稳定运行,维护网络空间内公司财产安全和合法利益,保护公司、法人以及全体员工的合法权益,促进XX公司信息化建设健康发展,根据中华人民共和国网络安全法、中华人民共和国信息系统安全保护条例、中华人民共和国计算机信息网络国际联网管理暂行规定等国家相关法律法规,结合公司网络系统实际运行情况,制定本规定。本规定适用于重庆XXXXXXX有限公司计算机信息网络,包括公司建设、运营、维护和使用
3、网络,以及网络安全的监督管理。本规定中描述的计算机信息网络包括接入以上网络的各类设备和应用系统。计算机信息网络系统按照“谁主管谁负责、谁使用谁负责、谁接入谁负责”的原则,严格落实网络安全责任制。第二章管理机构设置一、机构名称和人员构成(-)领导小组组长:XXX副组长:XXX、XXX、XXX工作职责:负责XX公司网络安全相关工作指导,全面统筹和组织协调网络安全工作的开展。(二)网络安全应急组组长:XXX副组长:XXX成员:综合管理部各岗位人员;安全管理部各岗位人员;技术研发部各岗位人员。安全管理部负责公司网络安全预案和应急管理办法的具体实施,督促收费、监控以及机房管理人员对应急预案的演练、启动、
4、执行;各部门按照预案和应急管理办法要求,做好应急准备工作,根据实际情况修订应急预案并开展预案演练。(三)网络安全管理办公室办公室主任:XXX成员:综合管理部各岗位人员;安全管理部各岗位人员;技术研发部各岗位人员。工作职责:按领导小组要求落实各项工作,建立健全公司网络安全管理制度,明确网络主体责任,对网络安全工作的开展进行安全监测、检查监督,协调网络安全相关事宜。二、工作要求(一)加强领导、落实责任网络安全工作任务重,各部门要引起高度重视,部门领导作为部门网络安全第一负责人,要明确工作安排,做好本部门网络安全相关工作,同时,将网络安全管理作为长期工作重点来抓,网络安全奖纳入年底各站绩效考核范畴。
5、(二)认真落实,务求实效各部门结合实际,确保将网络安全工作落到实处,联合安全管理部门全面检查安全风险,对发现的问题及时上报并整改,因条件不具备暂时不能整改的问题应及时向安全管理部报备并采取临时措施、制定计划安排,杜绝引发网络安全事件。(三)控制风险、严格规范各部门要强化风险管控,制定本部门计算机网络系统应急预案,确保计算机网络系统的正常运行,加强生产系统文档、数据安全保密管理,事先备份,独立存储;禁止生产系统接入外网,笔记本、移动设备接入外网设备,不得接入生产系统。(四)有序推进,及时报送各部门要切实加强信息报送工作,一是及时有效报送安全事件,二是按时报送安全检查相关材料。第三章机房管理规定一
6、、机房环境机房环境实施集中监控和巡检登记制度。环境监控应包括:烟雾、温湿度、防盗系统。机房应保持整齐、清洁。进入机房应更换专用工作服和工作鞋。机房应满足温湿度的要求,配有监控温湿度的仪器或装置。温度:低于28;湿度:小于80%。机房的照明及直流应急备用照明电源切换正常,照明亮度应满足运行维护的要求,照明设备设专人管理,定期检修。门窗应密封,防止尘埃、蚊虫及小动物侵入。楼顶及门窗防雨水渗漏措施完善,一楼机房地面要进行防潮处理,在满足净空高度的原则下,离室外地面高度不得小于15cm.二、机房安全机房内用电要注意安全,防止明火的发生,严禁使用电焊和气焊。机房内消防系统及消防设备应定期按规定的检查周期
7、及项目进行检查,消防系统自动喷淋装置应处于自动状态。机房内消防系统及消防设施应设专人管理,摆放位置适当,任何人不得擅自挪用和毁坏。严禁在消防系统及消防设备周围堆放杂物,维护值班人员要掌握灭火器的使用方法。机房内严禁堆放汽油、酒精等易燃易爆物品。机房楼层间的电缆槽道要用防火泥进行封堵隔离。严禁在机房内大面积使化学溶剂。无人值守机房的安全防范措施要更加严格,重要机房应安装视频监控系统。三、设备安全雷雨天气做好防雷电灾害的预防工作,主要检查机房设备与接地系统与连接处是否紧固、接触是否良好、接地引下线有无锈蚀、接地体附近地面有无异常,必要时挖开地面抽查地下掩蔽部分锈蚀情况,如发现问题应及时处理。接地网
8、的接地电阻宜每年测量一次,接地电阻符合标准接地电阻的要求,要防止设备地电位升高,击穿电器绝缘,引发通信事故。雷雨季节到来之前对运行中的防雷元器件进行一次检测,雷雨季节要加强外观巡视,发现异常应及时处理。机房设备应有适当的防震措施。四、接地要求机房必须要有完善的接地系统,靠近建筑物或变电站的机房接地系统必须满足标准接地电阻的要求。机房内接地体必须成环,与接地系统的连接点不得少于两点,机房内设备应就近可靠接地。五、人员要求检修及值班人员要严格遵守安全制度,树立安全第一的思想,确保设备和人身的安全。进入机房人员不得携带任何易燃、易爆、腐蚀性、强电磁、辐射性以及流体物质等对设备正常运行构成威胁的物品。
9、机房内严禁吸烟、严禁乱拉接电线,以防造成短路或失火。应不定期对机房内设置的消防器材等设备进行检查,以保证其有效性。机房值班人员不得在通信设备与电器设备上作业,机房内高压设备出现故障应立即通知高压检修人员抢修。对于因工作需要进入机房的外部人员(除编制内和聘用人员之外的其他人员),必须知会XX公司的网络安全相关规定,使其认识到自身的责任,如有违规将会受到相应处罚O对于确需调取机房设备有关信息的外部人员,由其所属公司开具工作证明(盖公章),本人持相关证件向XX公司提出申请,在公司负责人审批后,由机房当班人员作好登记并用专用数据盘协助调取。第四章账户管理规定账户管理混乱、弱口令、授权不严格、口令不及时
10、更新、旧账号及默认账号不及时清除等都是引起安全问题的重要原因。账户的管理可以从三个方面进行:用户名的管理、用户口令的管理、用户授权的管理。一、用户名管理用户名管理应注意以下几个方面:隐藏上一次登陆的用户名;更改或删除默认管理员用户名;更改或删除系统默认账号;及时删除作废的账号;清晰合理的规划和命名用户账户及组账号;根据组织结构设计账户结构;用户账号只有系统管理员才能建立。二、用户口令管理用户的口令是对系统安全的最大安全威胁,对网络用户的口令进行验证是防止非法访问的第一道防线。简单的密码是暴露自己隐私最危险的途径,是对自己邮件服务器上的他人利益的不负责任,是对系统安全最严重的威胁,为保证口令的安
11、全性,首先应当明确目前的机器上有没有绝对安全的口令,口令的安全一味靠密码的长度是不能够保证的。不安全的口令有如下集中情况:使用用户名(账号)作为口令;使用用户名(账号)的变化形式作为口令;使用自己或亲友的生日作为口令;使用常用的英文单词作为口令;使用5位或5位以下的字符作为口令。不安全的口令很容易被盗,将会导致用户机器上的一切信息丢失,并且危及他人信息安全。获得主机口令的途径有两个:利用技术漏洞。如缓冲区溢出,Sendmai1漏洞,SUn的ftpd漏洞等等。利用管理漏洞。如root身份运行httpd,建立shadow的备份但是忘记更改其属性,用电子邮件寄送密码等等。安全的口令应有以下特征:用户
12、口令不能未经加密显示在显示屏上;设置最小口令长度;强制修改口令的时间间隔;口令字符最好是数字、字母和其他字符的混合;用户口令必须经过加密;口令的唯一性;限制登录失败次数;制定口令更改策略;确保口令文件经过加密;确保口令文件不会被盗取;不应该将口令以明码形式放在任何地方,系统管理员口令不能让很多人知道。三、授权管理账户的权限控制是针对网络非法操作所进行的一种安全保护措施。在用户登录网络时,用户名和口令验证有效之后,再经过进一步履行用户账号的缺省限制检查,用户被赋予一定的权限,具备了合法访问网络的资格。根据访问权限将用户分为以下几类:特殊用户(即系统管理员);一般用户,系统管理员根据他们的实际需要
13、为他们分配操作权限;审计用户,负责网络的安全控制与资源使用情况的审计。网络系统管理员应当为用户指定适当的访问权限,这些访问权限控制着用户对服务器的访问。各种访问权限的有效组合可以让用户有效的完成工作,同时又能有效的控制用户对服务器资源的访问,从而加强了网络和服务器的安全性。网络管理员还应对网络资源实施监控,网络服务器应记录用户对网络资源的访问,对非法的网络访问,服务器应以图形文字或声音等形式报警,以引起网络管理员的注意。第五章网络运行安全管理规定网络运行安全是指网络系统和业务系统在运行过程中的访问控制和数据的安全性。包括资源管理、入侵检测、日常安全监控与应急响应、人员管理和安全防范。一、日常安
14、全监控值班人员每隔50分钟检查一次业务系统的可用性、与相关主机的连通性即安全日志中的警报。网络管理员每天对安全日志进行一次以上的检查、分析。检查内容包括防火墙日志、IDS日志、病毒防护日志、漏洞扫描日志等。网络管理员每天出一份安全报告,安全报告送网络处主管领导。重要安全报告由主管领导转送部门领导、安全小组和相关部门。所有安全报告应存档,网络管理员在分析处理异常情况时能够随时调阅。文档的密级为A级,保存期限为两年。安全日志纳入系统正常备份,安全日志的调阅执行相关手续,以磁介质形式存放,文档的密级为B级,保存期限为一年。二、安全响应发现异常情况,及时通知网络管理员及网络主管领导,并按照授权的应急措施及时处理。黑客入侵和不明系统访问等安全事故,半小时内报知部门领导和安全小组。对异常情况确认为安全事故或隐患时,确认当天报知部门领导和安全小组。系统计划中断服务15分钟以上,提前一天通知业务部门、安全小组。系统计划中断服务1小时以上,提前一天报业务领导。文档的密级为C级,保存期限为半年。非计划中断服务,一经发现即作为事故及时报计算机中心管理处、安全小组、技术部部门领导。非计划中断服务半小时以上,查清原因后,提交事故报告给安全小组