公司网络安全设备管理规范.pdfVIP

公司网络安全设备管理规范

1

1网络安全设备管理规范基本要求

1.1公司信息系统已覆盖分公司范围的下属企业，成为公司生

产、经营和管理提供信息化手段的根本，网络安全设备是保障公

司信息系统安全运行的基础。为保障公司信息系统的安全、稳定

运行，根据《集团公司网络安全设备管理规范》特制定本规范。

1.2本规范合用于公司统一建设的计算机网络内所有网络安全

设备的管理和运行。

1.3本规范中所指网络安全设备包括各种安全网关类设备(防火

墙、VPN、代理服务器、IP加密机等)、入侵检测类设备、漏洞

扫描类设备等。

1.4网络安全设备(产品)的使用应符合国家的有关规定，尽量

采用具有计算机信息系统安全专用产品销售许可证的信息安全

产品，且具有中国信息安全产品测评认证中心认证的信息安全产

品。密码设备选型应符合国家密码主管部门的有关要求，加密算

法应得到国家密码主管部门的批准。

2各级信息管理部门职责

2.1科技开辟处是公司网络安全设备管理工作的归口管理部门。

2.2信息技术管理中心负责分公司网络安全设备管理工作。设系

统管理员、信息安全管理员。

3管理内容和要求

3.1管理员职责

3.1.1系统管理员职责：

——恪守职业道德，严守企业秘密，熟悉国家安全生产法

以及有关信息安全管理的相关规程；

——负责网络安全设备的安全策略部署、配置及变更管

2

理，更新和维护等日常工作；

——对数据网络实行分级授权管理，按照岗位职责授予不

同的管理级别和权限；

——密切注意最新网络攻击行为的发生、发展情况，关注

和追踪业界发布的攻击事件；

——密切关注信息系统安全隐患，及时变更信息安全策略

或者升级安全设备。

3.1.2信息安全管理员职责：

——恪守职业道德，严守企业秘密，熟悉国家安全生产法

以及有关信息安全管理的相关规程；

——每周对系统管理员的登录和操作记录进行审计；

——对系统管理员部署的安全策略、配置和变更内容进行

审计；

——密切注意最新漏洞的发生、发展情况，关注和追踪业

界发布的漏洞疫情。

3.2账号与权限、策略和部署、配置和变更管理

3.2.1账号与权限

3.2.1.1系统管理员和信息安全管理员的用户账号应分开设置，

其他人员不得设置账户。在安全设备上建立用户账号，需要经过

本级信息部门安全主管的审批并保留审批记录。

3.2.1.2系统管理员具有设置、修改安全设备策略配置，以及读

取和分析检测数据的权限。

3.2.1.3信息安全管理员具有读取安全设备审计日志信息，以及

检查安全设备策略配置内容的权限。

3.2.1.4管理员身份鉴别可以采用口令方式。应为用户级和特权

3

级模式设置口令，不能使用缺省口令，确保用户级和特权级模式

口令不同。安全设备口令长度应采用8位以上，由非纯数字或者

字母组成，并保证每季度至少更换一次。

3.2.1.5安全设备的身份鉴别，必要时可以采用数字证书方式。

3.2.2策略和部署管理

3.2.2.1安全设备系统管理员应依据公司信息安全规划，结合实

际需求，制定、配置具体网络安全设备的安全策略，并且进行规

范化和文档化；安全设备的策略文档应妥善保存。

3.2.2.2对关键的安全设备要采用双机热备或者冷备的方式进

行部署以减小系统运行的风险。

3.2.2.3安全设备部署应依据公司的信息安全规划统一部署，保

证安全设备的可用性。安全设备部署的具体实施须经信息管理部

门的审批并保留审批记录。

3.2.2.4安全网关类设备部署应根据网络安全域的划分情况进

行正确部署，满足不同网络安全域之间访问控制的要求。

3.2.2.5入侵检测类设备的部署要根据网络和信息系统的安全

需求，选择合理的检测节点，能够完整的检测到被保护网络的数

据流量，并能抓取含有足够信息的IP