网络管理办法.docxVIP

第 PAGE 8 页 共 = NUMPAGES10-37 页 【网络安全管理办法】 【网络安全管理办法】 文件编号： 密级： 修订记录 日期 版本 描述 修订者 审批人 审批时间  目录 TOC \o 1-3 \h \z \u 第一章 总 则 1 第二章 职责与权限 1 第三章 网络规划和建设原则 1 第四章 网络架构管理 2 第五章 网络互联管理 3 第六章 网络安全配置 4 第七章 网络安全管理 4 第八章 网络审计管理 5 第九章 评估和持续改进 5 第十章 附 则 6 第 PAGE 1 页 共 = NUMPAGES10-37 页 总 则 为加强XXXX股份有限公司（以下简称“公司”）计算机信息系统安全保护工作，防范网络安全风险，最大限度地减少因网络故障引发的业务中断，保障公司办公系统和生产系统正常运行，特制定本办法。 本办法适用于公司范围内的生产和办公网络运行管理和安全管理的活动。 职责与权限 网络运维部负责生产及办公网络架构的规划、设计、建设、运行、安全以及网络设备和通讯线路的管理工作。 网络规划和建设原则 网络规划遵循全面统筹、规范及实用性原则。 网络规划基本步骤： 对信息系统的基本情况、功能特点、目标要求和安全风险进行科学评估，准确、全面了解信息系统的网络需求。 编写总体规划和详细设计方案，并制定安全控制措施及安全管理策略。 网络规划必须综合考虑信息技术因素和业务需求及安全管理策略，以系统工程学的方法和思路制定总体规划和详细设计网络安全方案。 网络建设原则: 网络安全设备示意图 高可用性；公司网络设计遵循高可用性的原则,所采用的网络架构和技术满足公司业务发展需求。 高可靠性；采用高可靠性的网络产品和完备的网络备份策略来满足可靠性的要求，对于不同网络功能区，采用设备和线路进行不同级别的可靠性设计。 高安全性；网络建设采用一体的网络安全设计思想，充分保证核心骨干、边缘接入多个部分网络访问的高安全性，将来可以向实现自防御网络体系的平滑升级。 高标准化；信息系统的网络构建应参照国家及行业标准和规范进行设计、建设。 技术先进性；网络设备兼备技术先进性和产品成熟性，配备必要的安全专用设备。 可管理性；网络系统应当具有统一的可管理性，实现对网络设备、网络策略和通讯线路管理，建立完善的网管中心，负责监测和管理通信线路及网络设备，保障网络安全稳定运行。 网络架构管理 网络设备冗余性示意图 核心网络区域的核心网络设备必须具备冗余能力， 保证关键网络的可用性。 核心网络整体的拓扑结构需进行严格的规划、设计和管理，一经确定，不能随意更改。 如因业务需要，确需对网络的整体拓扑结构进行调整和改变，需按照相应的变更管理规程进行，并对变更后的网络拓扑进行核实。 网络边界区域必须部署安全设备，通过实施技术手段，提供网络隔离、安全监控和审计功能。 关键网络链路必须具备冗余能力，以保证网络链路的可靠性。 网络结构应按照分层网络设计的原则来进行规划，应进行合理的层次划分和设计，使用适当的访问控制方式与技术将重要网段与其它网段隔离开，保证网络系统骨干稳定可靠、接入安全、便于扩充和管理、易于故障隔离和排除。 网络互联管理 生产网和办公网必须进行网络隔离，通过防火墙的控制策略实现生产网与办公网、内网与外网之间的访问控制。 公司网络与国际互联网之间的接入必须采取防火墙隔离、入侵检测、防DDOS攻击等安全措施，确保公司网络安全。详见图1 生产网和办公网内部必须设定不同的安全域，安全域之间采用VLAN、路由控制、访问控制列表等技术手段实施访问控制。 生产网禁止任何形式的无线网络接入，办公网的无线网络接入必须得到信息科技部的审批，禁止未授权的无线网络接入点（AP）联入公司办公网络；办公网的无线接入必须采用强认证、加密等安全技术手段； 无线安全实施方案 网络设备的用户申请和权限变更必须经过严格审批，遵循最小权限原则，用户离职或离岗时,其网络访问权限必须及时撤消。 虚拟专用网（VPN）必须采用 隧道技术、加密技术、双因素认证等安全技术手段，确保其传送的数据不被窥视和篡改，防止非法用户对公司信息的访问. 网络安全配置 网络设备必须建立访问控制机制，避免对网络设备非授权访问；核心网络设备应设置ACL（访问控制列表）和3A（认证、授权和审计）配置对访问权限进行分级管理。 核心网络设备访问应采用智能令牌和口令等技术措施，实现双因素身份认证。 对网络设备进行远程管理时，应采用HTTPS或SSH等安全方式，连接设备的管理端口需经信息科技部相关负责人审