YC-50网络安全管理程序.docVIP

制 修 订 记 录 文件版本 制修日期 制修订页次 制 修 订 摘 要 页 版 本 目 录 页 次 1 2 3 4 5 6 7 8 9 10 11 12 13 14 页版本 1.00 1.00 1.00 1.00 页 次 页版本 批 准 审 核 编 制 一、 目的 本程序的目的是为了加强内的网络安全的管理。 二、 范围 本程序主要适用于内的网络使用人员。 三、 工作程序 1. 通过使用防火墙、员工密码以及防病毒软件，保护其 IT 系统免被非法使用和进入。 ? 必须使用防病毒软件和防火墙保护其 IT 系统 ? 必须要求使用者输入登录名/密码后，方可进入 IT 系统。 ? 其它安全措施： o 锁上存放主服务器的房间：服务器和设备的实际保护。应将其存放在上锁的房间内。 o 128 位加密：针对Internet 通信和交易的最高保护级别。加密时会以电子方式将信息打乱，这样在信息传送过程中，外部人员查看或修改信息的风险就会降低。 o 公钥基础架构 (PKI)：保护通过 Internet 发送的机密/秘密电子信息的方式。信息发送人持有私钥，并可向信息接收人分发公钥。接收人使用公钥将信息解密。 o 虚拟专用网络：此方法将所有网络通信加密或打乱，提供网络安全或保护隐私。 2. 定期将数据备份。 ? 必须备份数据，确保即使主要 IT 系统瘫痪（出于病毒攻击、工厂失火等原因），记录也不会丢失。 ? 数据可以不同方式备份，较为简单的方式有软盘或光盘，较复杂的方式有异地备份服务器。 ? 计算机系统每日创建或更新的关键数据应每日备份。 ? 所有软件（不管是购买的还是自行开发的）都应至少进行一次完整备份以作出保护。 ? 系统数据应至少每月备份一次。 ? 所有应用程序数据应根据“三代备份原则”每周完整备份一次。 ? 所有协议资料应根据“三代备份原则”每周完整备份一次。 ? 应制定数据备份政策，确定数据备份归档的方式。要有条理并高效地备份资料，归档是必要的。每次备份数据，应将以下几项内容归档： a. 数据备份日期 b. 数据备份类型（增量备份、完整备份） c. 资料的代数 d. 数据备份责任 e. 数据备份范围（文件/目录） f. 储存操作数据的数据媒体 g. 储存备份数据的数据媒体 h. 数据备份硬件和软件（带版本号） i. 数据备份参数（数据备份类型等） j. 备份副本的储存位置 ? 每日备份应在办公时间过后、计算机使用率较低的情况下进行。备份数据应储存在磁带备份驱动器中，因为其容量大、可以移动；也可将备份数据储存在硬盘中。对于大型企业，强烈建议使用备份服务器和异地存储。备份数据应存放在安全的异地位置。所有备份媒体应存放在安全可靠的地点。所有每周备份媒体应存放在防火保险箱内。所有软件完整备份和每月备份媒体应存放在异地备份文件室。 3. 制定相应的程序，确保员工定期更改密码。 ? 所有可以使用计算机系统的员工必须至少每年更改密码两次。 ? 程序示例：员工必须至少每半年更改密码一次。 ? 网络管理员应负责通知计算机用户更改密码。网络管理员应指定更改密码的频率和日期，服务器运行软件将提醒员工进行更改。 ? 对于未能在指定日期内更改密码的员工，应锁闭其对计算机网络的使用，直至系统管理员解除锁闭为止。 ? 密码应为字母和数字的组合，长度至少为六个字母和符号。不应采用“明显”密码，例如出生日期、城市名等。 ? 为防止密码有可能会被泄漏或破译，员工应经常更改密码。如果员工怀疑密码已被泄漏，应立即使用新密码。 4. 制定政策，决定哪些员工有权进入其 IT 系统。 ? 必须制定书面程序，确定哪些员工有权进入其 IT 系统。 ? 程序示例：仅允许以下部门员工进入 IT 系统：行政、薪酬、仓储、订单以及销售部门。 ? 根据员工的职责赋予其相应的权限。例如，只负责发薪的员工不能使用发票或订单表格。 ? 雇用新员工后，其直接主管必须确定该员工是否需要进入 IT 系统。如果确实需要，主管应为此员工申请使用权。主管应向 IT 经理递交一份书面申请表格，注明员工的姓名及其需要使用的应用程序。 5．其他措施 ? 制定书面的灾后重建计划，以恢复计算机网络及其数据。 ? IT 团队应每年至少预演一次灾后重建计划。 ? 灾后重建计划可以定义为计划、制定并执行灾后重建管理程序的持续过程，目的是在系统发生意外中断的情况下确保重要的运作可以迅速有效地恢复。所有灾后重建计划必须包含以下元素： o 关键应用程序评估 o 备份程序 o 重建程序 o 执行程序 o 测试程