文件名称 | 网络和系统安全管理规定 | ||
文件编号 | YKXX20210017 | 版 本 号 | V1.0 |
编写部门 | 信息科 | 编 写 人 | XXX |
审 批 人 | 发布时间 | 2021.5 | |
长春XXXX有限公司
网络和系统安全管理规定
信息科
2021年5月
网络和系统安全管理规定
第一章总则
第一条为加强XXXX信息系统的安全性,降低网络系统存在的安全风险,确保网络系统安全可靠地运行,特制定此制度。
第二条本规定适用于XXXX信息系统相关的网络安全管理。
第二章岗位职责划分
第三条信息科负责统一规划公司网络架构,并根据安全风险情况部署安全设备,确保网络安全和信息安全。
第四条网络管理员应建立必要的安全技术措施确保网络的统一管理,包括信息资产管理、网络拓扑管理、信息资源管理、网络异常流量管理、安全事件监控管理、安全策略管理、安全预警管理等网络安全管理内容。
第五条网络管理员应对网络拓扑进行统一管理,应保持拓扑结构图与现行网络运行环境的一致性,拓扑图应包括网络设备、安全设备的型号、名称以及与链路的链接情况等。
第六条网络管理员应保证网络设备的软件版本一升级到最新版本,应根据相关厂家提供的软件升级版本对网络设备进行更新,并在更新前对现有网络设备的重要文件进行备份。
第七条网络管理员应维护所有网络设备的物理连接情况,控制和管理网络接口的使用。
第八条网络管理员应监控网络的运行状况,负责运行日志、网络监控记录的日常维护和报警信息分析、统计和处理工作,日志保存不少于180天,发现影响较大的网络故障或发现可疑行为时,必须及时向主管领导报告。
第九条系统管理员、网络管理员在对终端计算机、工作站、便携机、系统和网络等设备的操作和使用时,应按操作规程实现主要设备(包括备份和冗余设备)的启动/停止、加电/断电等操作。
第十条由安全管理员定期对系统进行一次漏洞扫描,对发现的系统安全漏洞及时进行修补;形成《漏洞扫描报告》,内容包含系统存在的漏洞、严重级别和结果处理等方面。如发现重大安全隐患,应立即上报。
第十一条系统管理员根据业务需求和系统安全分析制定系统的访问控制策略,负责控制分配信息系统、文件及服务的访问权限,应用管理员负责申请、建立、及删除用户账号及账号权限划分。
第三章网络和系统安全策略管理
第十二条应严格控制变更性运维,如有需要必须经过信息中心主管领导审批后才可改变连接、安装系统组件或调整配置参数,操作过程中应保留不可更改的审计日志,操作结束后应同步更新配置信息库。
第十三条应严格控制运维工具的使用,经过信息中心主管领导审批后才可接入进行操作,操作过程中应保留不可更改的审计日志,操作结束后应删除工具中的敏感数据。
第十四条应严格控制远程运维的开通,经过信息中心主管领导审批后才可开通远程运维接口或通道,操作过程中应保留不可更改的审计日志,操作结束后立即关闭接口或通道。
第十五条应对网络区域中部署检测和审计措施,对非法访问行为进行检测和阻断,能够做到安全事件可监控、可追踪和可审计。
第十六条网络连接管理过程中,需明确网络的外联种类,包括互联网、合作伙伴企业网、上级部门网络和管理部门网络等,根据外联种类确定授权与批准程序。未经允许,任何计算机、网络设备、安全设备不允许随意接入本单位内部网络中,所有与外部系统的连接均得到信息中心主管领导授权和批准。
第十七条网络管理员应定期检查违反规定无线上网及其他违反网络安全策略的行为。
第十八条通信链路及带宽资源管理应当遵循合理分配、高效使用的原则,禁止使用网络传送非业务需要的内容。
第十九条未经允许,网络中严禁私自使用无线网络通讯设备连接设备,单位内部员工应采用IP+MAC地址绑定的方式连入公司内网,网络管理员应做好相应的登记记录。
第二十条外部人员在接入互联网时,应经过部门领导的审核审批后并填写《外来人员网络接入审批表》才可接入,同时要指定IP地址并进行记录,根据《人员安全管理规定》进行管理。
第二十一条应根据不同的业务安全等级合理划分网络安全域,安全域间应采取逻辑隔离措施,根据业务需要仅开放必要的网络访问端口和服务,区域和边界的访问控制策略应根据业务需要进行设置。
第二十二条对于网络中重要的网络设备、安全设备应开启审计功能,记录对于设备配置变更的操作,应实现设备的最小服务配置,对配置文件进行定期离线备份,并对备份操作过
程及备份内容进行登记记录,填写《数据备份记录表》。
第二十三条关键业务应用和网络访问应使用静态路由,如果使用动态路由,应启用路由协议的安全认证机制,并控制路由信息的广播范围。
第二十四条核心链路的网络设备、安全设备、网络链路应建立冗余备份机制,如果出现安全事件应根据《应急预案管理规定》进行应急响应。
第二十五条当对本地机房设备进行维护时,要明确维护时间、维护人员和陪伴人员,针对设备中的敏感信息进行加密处理,需填写《机房日常巡检记录表》;涉外维修和服务时,应经过公司主管领导审批。
第二十六条操作系统应对认证、登录失败次数进行限制,避免系统认证方式、密码被暴力破解。
第二十七条操作系统的安装须遵从最小化安装原则,仅仅安装并运行必须的系统服务和应用程序,关闭和卸载与工作无关的服务和应用程序。
第二十八条操作业务应用系统时,要按照最小必须原则为账户分配权限,原则上禁止使用最高权限账号。
第二十九条为了能够发现和跟踪系统中发生的各种可疑事件,需要启用安全审计功能,以日志的形式记录用户登录系统、文件访问操作、账户修改等行为的过程和结果信息,做到发生可疑事件时能够溯源。
第三十条未进行安全配置、未安装杀毒软件及终端管理软件的终端计算机,不得连入公司网络。计算机终端用户应定期对计算机系统、杀毒软件等进行升级和更新,并定期执行全盘查杀,不允许下载和使用未经测试和来历不明的软件、不要打开来历不明的、以及不要随意使用外来U盘等移动存储介质。
第三十一条任何员工不得制造或者故意输入、传播计算机病毒和其他有害数据,不得利用非法手段复制、截收、篡改计算机信息系统中的数据。
第三十二条禁止利用扫描、监听、伪装等工具对网络和服务器进行恶意攻击,禁止非法侵入他人网络和服务器系统,禁止利用计算机和网络干扰他人正常工作的行为。
第三十三条计算机终端用户应保管好自己的用户帐号和密码。严禁随意向他人泄露、借用自己的帐号和密码;严禁不以真实身份登录系统。计算机使用者更应定期更改密码、使用复杂密码。
第三十四条IP地址为计算机网络的重要资源,计算机各终端用户应在系统管理员的规划下使用这些资源,不得擅自更改。
第三十五条网络参数配置文档、重要计算机信息系统详细开发资料及其源程序等核心技术文档,由责任部门严格管理。
第三十六条系统核心技术文档资料的外借应有审批手续和记录,借阅人不得转借给他人,不得复制、泄露和引用具体技术内容。
第四章账户管理
第三十七条要求对网络设备、服务器的登录帐号的设置权限级别,授权要遵循最小授权原则。对于每个管理员建立单独的用户账号,特别要区分普通用户账户号和管理员账号,账号不得共享。
第三十八条保证用户身份标志的唯一性,即不同的个人用户必须采用不同的用户名和口令登录,并且拥有不同的权限级别。不同用户的登录操作在设备日志文件上均有记录,便于追查问题。
第三十九条信息中心主管领导拥有超级用户权限,其他网络管理员按照工作需求拥有相应的用户权限,系统管理员不得私开用户权限给其它人员。
第四十条由系统管理员根据业务需求和系统安全分析制定系统的访问控制策略,负责控制分配信息系统、文件及服务的访问权限。
第五章口令管理
为规范管理人员及业务操作人员对核心业务及数据的操作行为,降低由于身份鉴别问题所造成后应用隐患和风险,提出以下安全策略:
1.网络和系统用户应采用专用的登录控制模块进行身份标识和鉴别;
2.网络管理员和系统管理员权限的用户密码设置策略如下:
长度不得少于8个字符;
复杂度要求:满足大小写字母数字特殊符号的组合;
修改周期:一个月;
口令修改:再次修改的密码应确保未使用最近3次内的重复的口令;
密码锁定:为防止暴力破解,应限制非法登陆次数,设置连接超时自动退出;
应用系统应能够检测密码复杂度。
3.密码属于敏感信息,要严格控制和管理。密码在本地存储和传输过程中要采用加密处理,不应以明文形式存储和传输,不允许存在空密码和弱密码的情况。
第六章配置文件管理
第四十一条配置文件存储着网络设备和系统的所有配置信息。网络设备和系统中的运行配置文件和启动配置文件应该随时保持一致。
第四十二条所有的网络和系统配置文件应有文档记录,网络设备及系统的配置文件需要定期备份。
第四十三条定期将设备的配置文件下载到本地作为备份文件以防不测,在设备配置文件损坏时可恢复备份的配置文件。
第四十四条网络管理员应定期对网络配置信息是否符合当前网络状况进行检查和分析,并做详细记录。
第四十五条系统安全配置由系统管理员负责,其余任何人不得随意更改配置。
第四十六条安全配置的更改应有记录,由安全审计员负责审计。
第七章日志管理
第四十七条由信息系统运维人员依据操作手册对信息系统进行安全维护,详细记录操作日志,包括重要的日常操作、运行维护记录、参数的设置和修改等内容,严禁进行未经授权的操作。
第四十八条由安全审计员定期对运行日志和审计结果进行分析,形成分析报告,报告内容包括帐户的连续多次登录失败、非工作时间的登录、访问受限系统或文件的失败尝试、系统错误等非正常事件。
第四十九条安全审计员必须定期查看所有设备的日志文件,发现异常情况要及时处理和报告上级主管,尽早消除网络安全隐患。
第五十条网络管理员要定期对日志文件进行备份。日志文件保存时间应在3个月以上。
第五十一条对日志文件的访问要获得安全管理员的批准。网络设备通常可以设置日志功能,日志可以直接登录到设备上查看,也可以设置将日志发送到某台指定的主机上查看。日志中具体包含的内容可以在命令行配置方式下设定。
第五十二条在日志文件中可以查看到曾经登录过该设备的用户名、时间和所作的命令操作等详细信息,为发现潜在攻击者的不良行为提供有力依据。
第八章日常运行操作管理
第五十三条信息系统的操作手册由信息系统开发人员提供,经信息中心进行确认,信息中心及各部门工作人员在日常工作中应按照操作流程执行。
第五十四条应对信息资产指定维护管理人员,并形成日常工作计划和时间安排;
第五十五条在指定运维管理人员时,应遵从“职责分离”原则,例如对于操作的授权和执行职责相分离,如果难于把职责分离,应当考虑采取其它的管理措施,例如:活动监测、审查追踪和管理层监督。
第五十六条应对信息资产的操作和日常维护等活动流程形成规范化文件(如操作手册),并经过管理层授权;
第五十七条在日常运行维护管理过程中需要对所管理的系统进行变更操作时,应当根据《信息系统变更管理规定》进行。
第五十八条在日常运行维护管理过程中,出现紧急安全事件时时,应根据《应急预案管理规定》相关要求和流程,启动相应的应急响应预案。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论