公司信息系统网络安全管理制度.docx

公司信息系统网络安全管理制度 总则 为审视AA省BB单位（公司）网络系统的安全性，降低网络系统存在的安全风险，确保网络系统安全可靠地运行，特制订此制度。 本制度适用于AA省BB单位（公司）。 网络设备管理 信息化管理处网络管理员对网络设备进行维护监控等工作。 网络设备的登录口令必须足够强壮难以被破译。 网络设备的当前配置文件必须在主机上有备份文件。 网络设备的拓扑结构、IP地址等信息在一定范围内保密。 网络整体的拓扑结构需进行严格的规划、设计和管理，一经确定，不能轻易更改。 定期检查网络设备的日志，及时发现攻击行为。 网络设备的软件版本应该统一升级到较新版本。 网络设备的安装、配置、变更、撤销等操作必须严格按照相关流程进行。 网络管理员应每季度对网络进行漏洞扫描，并与系统管理员、安全管理员一起进行扫描结果的分析。如发现重大安全隐患，应立即上报。 网络管理员进行漏洞扫描前需提出申请，详细描述扫描的技术、范围、时间及可能的影响，在获得数据管理中心领导审批后，方可执行。 对重要网段要进行重点保护，要使用防火墙等安全设备以及VLAN或其他访问控制方式与技术将重要网段与其它网段隔离开。 网络结构要按照分层网络设计的原则来进行规划，合理清晰的层次划分和设计，可以保证网络系统骨干稳定可靠、接入安全、便于扩充和管理、易于故障隔离和排除。 网络管理员定期对网络的性能分析，以充分了解系统资源的运行情况及通信效率情况，提出网络优化方案。 按照最小服务原则为每台基础网络设备进行安全配置。 网络连接管理过程中，需明确网络的外联种类，包括互联网、合作伙伴企业网、上级部门网络和管理部门网络等，根据外联种类确定授权与批准程序，保证所有与外部系统的连接均得到授权和批准，并具备连接策略及对应的控制措施。 除网络管理员特别授权外，员工内严禁拨号上网。经授权的拨号上网，必须首先与内部网络断开。 网络互连原则： （一）与互联网的连接中，在互连点上的防火墙上应该进行IP地址转换； （二）任何部门不得自行建立新的信息平台，如确有需求，需经由相关部门认证批准后实施； （三）互联网接入必须有防火墙等安全防范设备。未经许可，任何部门或个人不得私自在网络内新增与互联网的连接。 办公网络中不同业务的网络之间互连原则： （一）互连点上必须实施安全措施，如网络访问控制列表、安装防火墙等； （二）网络之间互连点采取集中原则，并考虑安全冗余； （三）网络互连点及安全设备必须纳入到网管体系的监控。 用户和口令管理 要求对网络设备的登录帐号的设置权限级别，授权要遵循最小授权原则。 保证用户身份标志的唯一性，即不同的个人用户必须采用不同的用户名和口令登录，并且拥有不同的权限级别。不同用户的登录操作在设备日志文件上均有记录，便于追查问题。 网络设备的直接责任人拥有超级用户权限，其他网络管理员按照工作需求拥有相应的用户权限．网络管理员不得私开用户权限给其它人员。 用户的口令尤其是超级用户的口令必须足够强壮难以被破译，这是保证设备安全性的基本条件。口令的设置应该满足规定的标准。 配置文件管理 配置文件存储着网络设备的所有配置信息。网络设备中的运行配置文件和启动配置文件应该随时保持一致。 所有的网络配置文件有文档记录，网络设备的配置文件需要定期备份。 通过TFTP或FTP的方式可以将设备的配置文件下载到本地主机上作备份文件以防不测，在设备配置文件损坏时可再通过TFTP或FTP的方式从本地主机上载到设备的FLASH中恢复备份的配置文件。 网络设备的拓扑结构、IP地址等信息文档属于机密信息，应该在一定范围内予以保密。 网络配置信息的修改要获得各业务处室安全管理员的批准方可进行。 各业务处室定期对网络配置信息是否符合当前网络状况进行检查和分析，并做详细记录。 日志管理 网络设备通常可以设置日志功能，日志可以直接登录到设备上查看，也可以设置将日志发送到某台指定的UNIX主机上查看。日志中具体包含的内容可以在命令行配置方式下设定。 在日志文件中可以查看到曾经登录过该设备的用户名、时间和所作的命令操作等详细信息，为发现潜在攻击者的不良行为提供有力依据。 网络管理员必须定期查看所管设备的日志文件，发现异常情况要及时处理和报告上级主管，尽早消除网络安全隐患。 网络管理员要定期对日志文件进行备份。日志文件保存时间应在3个月以上。 对日志文件的访问要获得各业务处室安全管理员的批准。 设备软件管理 网络设备的软件版本（IOS或VRP等）较低可能会带来安全性和稳定性方面的隐患，因此要求在设备的FLASH容量许可的情况下统一升级到较新的版本。必要情况下可升级设备的FLASH容量。 设备登录管理 网络设备一般都具有允许远程登录的功能，远程登录给网络管理员带来很