某某光伏电站-网络安全和使用管理制度.docxVIP

某某业光伏电站网络安全和使用管理制度第一章总则 第一条 为加强本电站信息系统网络的安全规划、安全建设、安 全运行维护、安全变更等各方面的管理，实现本电站信息系统的网络 安全保障，特制订本制度。 第二条 本制度适用于本电站本电站负责管理和维护信息系统 路由器、交换机、防火墙的安全管理。管理内容包括网络安全配置、 日志保存时间、安全策略、IP地址管理等。 第二章管理要求 第三条 网络安全规划要求 （一） 网络拓扑结构应由专业人员进行严格设计和规划，网络架 构清晰、层次分明，必须明确定义并维护安全边界，将敏感系统（涉 密或重要网段）同其他系统以物理隔离、防火墙或者划分VLAN的方 式进行隔离。 （二） 合理设计网络路由协议和路由策略，保证网络的连通性、 可达性，以及网内业务流向分布的均衡性。 （三） 充分考虑不可信网络特别是Internet的接入问题，防止 出现多Internet接入点，Internet出口必须设计部署防火墙等访问 控制设备；对外服务器系统与内网分离，并单独接入在边界防火墙的 独立保护区域（DMZ）；跨公网访问的情况，应采取VPN等加密手段在 公网上进行通信传输。 （四） 充分考虑电源、网络设备和通信链路的冗余问题，防止出 现单点故障，以及对今后网络变更或扩充产生不利的影响。 （五） 合理设计网络地址，充分考虑地址的连续性管理以及业务 流量分布的均衡性。 第四条网络安全建设要求 （一） 网络建设时应有详细的实施计划，包括：时间进度计划、 设备和软件釆购计划、人力资源分配计划、应急响应计划；应充分考 虑网络建设时对原有网络的影响，并制定详细的应急计划，避免因网 络建设出现意外情况造成原有网络的损失。 （二） 严格按照网络规划中的设计进行实施，需要变更部分，应 在专业人士的配合下，经过严格的变更设计方案论证方可。 （三） 在网络建设的过程中，应严格按照实施计划进行，并对每 一步实施，都进行详细记录，最终形成实施报告。 （四） 在网络建设完成投入使用前，应对所有组件包括设备、服 务或应用进行连通性测试、性能测试、安全性测试，并做详细记录， 最终形成测试报告。 （五） 在网络建设完成，测试通过投入使用前，应删除测试用户 和口令，最小化合法用户的权限，最优化配置。 （六） 在网络建设完成后，应立即更改相关网络设备默认的配置 和策略，并进行备份。 第五条网络安全运行维护要求 （一） 所有网络设备（包括交换机、路由器、防火墙等）应由专 职的网络管理员负责管理和维护，网络管理员应对上述设备进行必要 的资产登记（参见附录1）,登记记录上应该至少包括设备名称、设 备型号、操作系统版本、IP地址等信息。 （二） 接入网络的服务器、终端的网络参数（VLAN、IP地址、 子网掩码网关、DNS等）信息应由网络管理员统一负责分配和管理， 网络管理员应对上述设备的网络参数进行必要的登记记录。 （三） 网络设备必须实现帐号口令的认证管理方式，并对其登录 帐号、权限进行限制，对于重要网络设备可以使用增强的认证方式。 组成口令的字符应至少包含大小写英文字母、数字、特殊符号等，口 令长度8位以上，三个月修改一次口令，或者使用一次性口令设备。 若掌握口令的管理人员调离本职工作时，必须立即更改所有相关口 令。 （四） 严格禁止非本系统管理人员直接进入网络设备进行操作， 若在特殊情况下（如系统维修、升级等）需要外部人员（主要是指厂 家技术工程师、非本系统技术工程师、安全管理员等）进入网络设备 进行操作时，必须由本系统网络管理员登录，并对操作全过程进行记 录备案。禁止将系统用户账号及口令直接交给外部人员，在紧急情况 下需要为外部人员开放临时账号时，必须获取相关领导授权。 （五） 尽可能减少网络设备的远程管理方式，例如Telnet. Web 等，如果的确需要远程管理，应使用SSH代替Telnet,使用HTTPS 代替HTTP；应限定远程管理的用户数量，远程管理的终端IP地址， 设置控制口和远程登录口的idle timeout时间，让控制口和远程登 录口在空闲一定时间后自动断开：进行严格的身份认证和访问权限的 授予，并在配置完后，立刻关闭此类远程管理功能；应尽可能避免使 用SNMP协议进行管理，如果的确需要，应使用V3版本替代VI、V2 版本，并启用MD5等校验功能。（需要讨论是否可行） （六） 网络边界安全访问控制设备（如防火墙。路由器、交换机 等）应在保证正常应用连通性的前提下，根据业务通信情况设置严格 的访问控制策略；应尽量保持访问控制规则的清晰与简洁，对每台设 备的每条规则进行详细注释说明，并至少每月进行1次规则的检查和 必要的调整；防火墙策略应遵循“默认拒绝，特殊规则靠前，普通规 则靠后，规则不重复的原则，通过调整规则的次序进行优化。 （七） 确保对重要