网络安全与防护策略手册（执行版）.docxVIP

网络安全与防护策略手册（执行版）

第1章网络安全基础认知与合规要求

1.1网络资产识别与风险全景图

网络资产即组织内所有承载业务数据的硬件、软件、数据及人员，是防御体系的唯一目标；企业必须建立资产清单，对服务器、数据库、办公电脑及云端存储进行唯一标识，明确其分类（如核心数据类、一般数据类）及价值等级，为后续定级定密提供依据。风险全景图需覆盖物理层、网络层、主机层、应用层及数据层，通过绘制拓扑图展示数据流向，识别潜在攻击面；例如在云环境中，需标记出“公有云存储”、“私有计算节点”及“互联网出口”三个关键节点，并标注出内网横向移动可能存在的漏洞路径。

风险识别应遵循“事前预防、事中阻断、事后溯源”的逻辑，利用漏洞扫描工具自动发现已知风险，结合人工巡检发现未知风险；若发现某服务器存在未打补丁的操作系统漏洞，必须立即记录风险事件编号并纳入整改台账，严禁带病上线。合规要求中的“最小权限原则”要求用户仅拥有完成工作所需的最小权限，严禁赋予开发人员访问生产环境的过度权限；例如，数据库管理员（DBA）应被限制只能操作自己的数据库实例，严禁直接登录生产库执行DROP或ALTER高危语句，任何越权操作必须触发审计报警。数据分类分级是合规的基石，需依据《数据安全法》对敏感数据（如身份证、手机号、银行卡）和重要数据（如客户名单、财务账册）进行打标；一旦数据被泄露，必须立即启动应急