目的-上海音乐学院.DOCVIP

网络中心安全制度 版本号 生效起始日期 拟定人 审核人 主管领导 1.0 2012年1月1日 赵勇 代晓蓉 杨燕迪 目录 总则--------------------------------------------------------------------------1 网络运行维护的安全制度应用安全制度防病毒制度网络变更管理制度、目的 为了更好的确保系统设备运作正、安全、年故障率比较低，保证出现事故时能有明确的指导文档，和处理事故的措施及方法。建立完备的信息管理体制及操作流程，包括制定完备的操作指示及事故反应程序。实行隔离制度以减少疏忽或滥用系统的风险。使系统达到以下安全制度目的： 安全认证 所有寻求访问网络资源的计算机用户和系统必须首先进行符合标准的用户身份验证。 严格的访问控制 资源的查看、修改、运行等权限必须根据实际需要分配给用户。 保密性 必须采取适当的措施以保证相关系统的资源不会遭到损害。 完整性 所有影响数据的改动必须要经过认证、控制、确认以保证数据准确无误。 可恢复性 在恶意或毁灭性攻击事件中，系统的核心数据、系统必须能够恢复。 可审核性 外部系统接入网络中的用户访问和活动情况必须按照安全管理要求进行记录和保留。 、范围 管理范围包括所有系统的物理资产（包括：网络设备，主机设备，安全设备，监控设备等）、软件资产（操作系统，数据库，应用程序等）、数据资产（业务数据，网络系统、主机数据，应用程序数据等）以及系统的技术人员等。网络运行维护的安全制度 系统所有网络设备（包括交换机、路由器、防火墙、以及其他网络设备）应由专职系统维护人员负责定点存放和管理，定期检查存放处的物理环境，并按照物理安全制度进行维护。 系统维护人员应至少每天1次，对所有网络设备进行检查，确保各设备都能正常工作。 应制定网络设备用户账号的管理制度，对各个网络设备上拥有用户账号的人员、权限以及账号的认证和管理方式做出明确规定。并定期进行审查，在发现有可疑的用户账号时进行核实并采取相应的措施。在用户权限的设置时应遵循最小授权和权限分割的原则，只给系统用户、数据库系统用户或其它应用系统用户授予业务所需的最小权限，应禁止为系统无关的人员提供系统用户账号，并且关闭一切不需要的系统账号。对两个月以上不使用的用户账号进行锁定。同时对设备中所有用户账号进行登记备案。 应为不同的用户建立相应的账号，根据对网络设备安装、配置、升级和管理的需要为用户设置相应的级别，并对各个级别用户能够使用的命令进行限制，严格遵循“不同权限的人执行不同等级的命令集”。应制订网络设备用户账号口令的管理制度，对口令的选取、组成、长度、保存、修改周期以及存储做出规定；禁止使用名字、姓氏、电话号码、生日等容易猜测的字符作为口令，也不应使用单个单词或命令作为口令，组成口令的字符应包含大小写英文字母、数字、标点、控制字符等，口令长度要求在8位以上；不应将口令存放在个人计算机文件中，或写到容易被其它人获取的地方；对于重要的网络设备，要求至少每个月修改一次口令；若掌握口令的管理人员调离本职工作时，必须立即更改所有相关口令；用户账号口令应以加密方式存储，如MD5方式。 严格禁止非本系统管理人员直接进入网络设备进行操作，若在特殊情况下（如系统维修、升级等）需要外部人员（主要是指厂家技术工程师、非本系统技术工程师、安全管理员等）进入网络设备进行操作时，必须由本系统管理员登录，并对操作全过程进行记录备案。禁止将系统用户账号及口令直接交给外部人员，在紧急情况下需要为外部人员开放临时账号时，在申请中写明开放临时账号的原因、时间、期限、对外部人员操作的监控方法、负责开放和注销临时账号的人员等内容，并严格进行临时账号的开放、注销、监控，并记录备案。 系统软件安装之后，应立即进行备份；在后续使用过程中，在系统软件的变更以及配置的修改之前和之后，也应立即进行备份工作。 应尽可能减少网络设备的管理方式，例如Telnet、web、SNMP等；如果的确需要进行远程管理，应限定远程登录的超时时间，远程管理的用户数量，远程管理的终端IP地址，同时按照；进行远程管理时，应设置控制口和远程登录口的超时时间，让控制口和远程登录口在空闲一定时间后自动断开。 软件更新或者补丁安装后应重新对系统进行安全设置，并进行系统的安全检查。 应及时报告任何已知的或可疑的信息安全问题、违规行为或紧急安全事件，并在采取适当措施的同时，应向报告细节；并不得试图干扰、防止、阻碍或劝阻其他员工报告此类事件；同时禁止以任何形式报复报告或调查此类事件的个人。 应定期提交安全事件和相关问题的管理报告，以备管理层检查。 应制订网络设备日志的管理制定，对于日志功能的启用，日志记录的内容，日志的管理形式，日志的审查分析做明确的规定。对于重要网络设备，应建立集中的日