设备入网管理规范.docVIP

设备入网管理规范 9.1目的 为了预防和遏制公司内各业务系统由于用户权限滥用或管理不善所导致网络信息安全事件的发生，保证及时处理由此引起的各类信息安全事件，减轻和消除突发事件造成的经济损失和社会影响，规范公司各类网络、及系统的入网安全工作，保障网络和系统安全运行，特制定本办法。 9.2适用范围 本办法适用于东风通信代维东风裕隆的各类网络、业务系统及支撑系统。 9.3职责 9.3.1公司网络部主要职责： 公司网络部作为公司归口安全管理部门，负责设备安全入网管理工作的审核、协调工作；负责组织系统入网及系统验收安全环节评估审核工作。 9.3.2工程建设部门主要职责： 负责完成安全技术设施的建设工作，进行设备入网安全情况评估管理。 9.3.3设备维护管理部门主要职责： 负责落实设备入网和验收安全评估确认，网络安全技术措施日常的维护工作，分析网络安全技术设施的运行情况和效果；负责定期上报系统安全隐患，在网络部指导下进行系统改造。 9.4安全入网流程 9.4.1在各类网络及系统进行前期规划时，由业务需求部门、规划部门和网络部按照本办法，制定相应的网络安全技术设施建设方案。 9.4.2按照网络或系统受到的实际安全威胁，以保障网络和系统的可用性、完整性、机密性为目标，采用必要安全技术措施的网络和系统安全稳定运行。 9.4.3在工程实施期间，网络部配合工程建设部门完成安全技术设施的建设工作。在配套网络安全技术设施未建成的情况下，网络和系统不能割接入网。 9.4.4要求选择的相应产品及其平台应该满足本标准的要求，如购买和验收任何信息系统相关产品，应该将相关要求条目加入技术规范书或者作为合同附件 9.4.5各类网络和系统初验时需通过相应网络安全技术设施验收的项目，验收工作由网络部完成。 9.4.6如果某网络或系统由于实际的技术原因暂时无法达到本管理办法的相关安全技术要求，须在未来需采取额外的安全措施，需经过网络部的批准，方能初验。 9.4.7设备维护管理部门负责网络安全技术措施日常的维护工作，分析网络安全技术设施的运行情况和效果，作为未来安全技术措施的参考依据。 9.4.8设备维护管理部门每半年上报一次系统安全隐患，由网络部汇总并与设备维护管理部门共同制定整改计划。 9.4.9入网管理流程图 9.5 网络与系统总体安全要求 9.5.1设备供应商和系统集成商承诺网络和系统应具备安全方面的功能和措施。 9.5.2供应商和集成商应提供产品安全功能和配套安全措施方面的详细描述。 9.5.3各类网络和系统的拓扑结构设计应满足基本的网络安全技术要求； 9.5.4各类网络和系统需在与外部网络的边界上需部署防火墙实施安全防护，统一的网络接口，以便进行两个网络间的高效、安全互联； 9.5.5对于与互联网等高风险网络的网络边界，须部署双层异构防火墙进行安全保护； 9.5.6对于向用户提供互联网访问服务的的重要业务系统需要部署防拒绝服务攻击设备。 9.5.7重要的业务系统、支撑系统需在核心网段部署网络入侵检测设备。 9.5.8建立防火墙和入侵检测系统时，应尽量避免引入单点故障，并且必需消除旁路路径； 9.5.9对于在易遭受蠕虫病毒攻击导致设备瘫痪的需增加病毒流量过滤设备。 9.5.10各类电子邮箱系统需配套垃圾邮件和病毒邮件防护设备或软件。选择的需通过信息产业部相关的入网测试。 9.5.11对于各类Windows主机、终端均应支持部署公司统一的防病毒软件。如不能支持，需要特别说明并保障其能够实现定期升级病毒库的功能。 9.5.12对涉及公司机密的数据，采用密钥长度至少在128bits以上的加密算法进行保护，选用的加密算法应符合国家密码相关规定并通过安全管理部门审核。 9.5.13系统在申请初验时，申请部门应向服务和端口管理责任部门提供服务和端口检查和审核相关表格，并提供以下信息，作为入网服务与端口审核的依据。 具体文档应包含以下内容： (一) 开启的服务与端口的对应关系以及用途说明； (二) 相关服务与端口关闭和开启的操作方法； (三) 版本信息； 9.5.14 业务端口管理责任部门应在验收环节检查服务和端口的实际开启情况，确保与设备提供厂家或者系统集成商提供的声明一致。 9.6 安全加固及补丁安全要求 9.6.1供应商和集成商需在服务期内及时为设备和系统安装操作系统、数据库、中间件等第三方软件的安全补丁，保证系统不出现高风险漏洞。 9.6.2供应商和集成商需在安全补丁安装前完成与设备或系统的兼容性测试。如果出现不能兼容的情况，供应商和集成商必须免费对现有程序、应用进行修改和升级，或者免费提供额外的安全措施，以保证安全性。 9.6.3供应商和集成商在系统验收前，必须对系统进行安全加固，并提交加固报告，并遵循第四章所提供的安全验收标准，进行安全验收。 9.7帐号口令及日