网络安全管理制度
声明
本制度是思度安全进行汇总和编写,仅供学习、交流、讨论使用,支持付费批量下载
单次赞助 10元 可下载单篇原文联系我们
修订说明
- 烟台王较瘦 第一次编写 2022/5/1
- 思安 修订 2023/6/1
第一章 总则
第一条 目的
为了确保北京思度文库股份有限公司(以下简称“公司”) 网络系统的安全性,降低网络系统存在的安全风险,确保网络系统安全可靠地运行,依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《关键信息基础设施安全保护条例》特制定本制度。
第二条 适用范围
本办法适用于公司网络运行及维护工作所有相关工作。
第二章 术语定义
第三条 网络设备
主要包括交换机、路由器、防火墙、入侵检测系统、漏洞扫描器等。
第四条 网络安全
通过采取各种技术和管理手段,防止网络系统、数据和人员遭受网络攻击、恶意软件、勒索软件、数据泄露等安全威胁而受到损失或被侵犯的状态。
第五条 网络安全管理
网络安全的管理过程,包括对网络安全进行评估、设计和实施措施、维护、监测和报告等一系列活动。
第六条 安全策略
企业的网络安全管理制度、安全标准、网络安全相关政策、规程、指南等 各种信息安全相关内容的组合,用于指导信息安全工作和行为。
第七条 风险评估
为了确定网络系统和资产有哪些潜在的网络安全威胁,对网络系统和资源进行潜在风险的分析、评估和排除,以制定相应的安全措施。
第三章 岗位职责
第八条 网络管理员
负责企业的网络架构和维护,包括网络设备管理、网络优化和维护,确保网络的连通性、可用性和安全性。
第九条 安全管理员
负责企业的网络安全策略和规定制定,并负责实施、监督、评估和改进网络安全规定。
第十条 系统管理员
负责管理和维护企业的系统设施、软件和硬件设备,确保系统的安全性、完整性和可用性。
第十一条 安全审计员
负责对企业的网络系统和安全措施进行检查和审计,发现和排除可能存在的风险和漏洞,确保安全合规性。
第四章 网络安全管理
第十二条 配置基线
网络设备的初始配置可由系统集成商或网络管理员根据配置/策略要求和“最小服务配置”原则进行网络设备参数配置,关闭网络设备不需要的所有服务,避免网络服务或网络协议自身存在的漏洞增加网络的安全风险。
第十三条 管理工作
网络设备的日常巡检、配置维护、解决网络故障;检查主要网络设备的运行状况、网络流量、用户行为;关键设备的升级和备份,对危险病毒或恶意代码进行处理;安全事件进行处理;对网络设备的配置进行维护、备份、恢复;记录日常巡检、解决网络故障过程中发现的异常并采取必要的应对措施,对事件问题进行上报。
第五章 日常管理
第六条 任何人员严禁扫描或猜测网络设备管理口令。
第十四条 设备准入
便携式和移动式设备不能擅自接入内部重要安全区域网络,如必须接入的需得到网络管理员、系统管理员和主管领导的授权和审批,并填写《网络接入登记表》,接入结束后及时通知网络管理员和系统管理员,网络管理员和系统管理员及时收回相关授权。
第十五条 账号管理
各网络设备的账号、口令、权限等直接由网络管理员负责维护,账户的审批和权限分配需要相关部门负责人进行申请,网络管理员不得擅自将账号信息等告知未获得批准人员;当人员变更时需要对相关账户进行注销或重新申请处理。
第十六条 备份管理
网络管理员对于主要网络设备的设置、配置进行变更时,应当首先做好离线备份工作,同时须进行登记、备案工作。
第十七条 安全维护
严禁设备厂家通过技术手段对已投入运行的网络设备进行遥控和远程维护。已经投入运行的网络数据未经批准严禁向设备厂家或第三方提供。
第十八条 远程维护
根据项目需求,如确实需要进行远程访问,需严格遵守公司相应制度,并提前进行审批,对需要进行远程访问的账户开启满足项目的最小权限。
第十九条 流量管理
公司内部各安全域之间需要实现流量优先级限制,以保证公司业务正常运营和不影响网络传输为第一原则,严禁在未经授权的情况下使用多媒体资源长时间占用公司内部网络。
第二十条 文档管理
各种涉及运行维护和网络设备情况的图纸资料要注意妥善保存,任何非相关人员查看需经基础技术部审批,否则一律拒绝提供。
第二十一条 安全通信
员工应严格遵守通信纪律,增强保密意识,保守通信机密,不能向无关人员泄露信息网络的结构、容量配置等技术资料。
第六章 网络安全策略管理
第二十二条 用户管理策略
(一)各网络设备的所有管理方式均须启用账号/口令登录方式。 (二)当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听,如采取加密传输方式。 (三)网络设备账号和口令管理按照《密码使用管理办法》中的系统级密码管理细则执行。 (四)启动网络设备的登录限制功能,对网络设备的管理员登录地址进行限制。
第二十三条 访问控制策略
网络边界部署访问控制设备,启用访问控制功能。所有与外部系统的连接均要得到主管领导的授权和批准。
第二十四条 日志配置策略
(一)必须开启所有网络设备,包括路由器、交换机、防火墙、入侵检测系统等的日志功能,对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录。 (二)准确设置信息处理设备的时钟。 (三)记录的日志必须保存一定的期限,任何个人和部门不得以任何理由删除保存期之内的日志,具体保存期见《日志保存期限表》。 (四)对重要区域、重要网络设备日志文件进行定期备份,并保存备份的日志。 (五)必要的时候,邀请外部信息安全专家来对日志记录进行检查分析。
第七章 网络安全配置要求
第二十五条 防火墙安全配置
边界防火墙配置规定:内部办公区域访问外网,按照开放最小化配置的方式访问外网,如有特殊访问需求需填写《端口开放申请表》,由基础技术部主管审批后方可开放使用,使用期结束后应及时回收使用权限;内部重点服务器区域,原则上不允许访问外网或被外网访问;内部服务器区域,不允许被外网访问,根据业务需要如需外网访问内部服务,须填写《业务开放申请表》、《端口开放申请表》,经基础技术部主管批准,为服务器映射公网IP地址及开放端口,使用期结束后应及时回收使用权限。
第二十六条 VPN网关安全配置
需根据申请经过审批后配置访问控制列表,对访问发起者须进行加密身份认证。对授权的访问发起者做审计记录。
第二十七条 网络交换机安全配置
交换机以VLAN方式区分各业务单元,交换机须配置访问控制列表,按照业务需求以最小化原则配置,交换机安全配置策略应考虑和周边网络设备的连接的兼容性、安全性、可靠性和可变性,交换机安全配置策略应尽量减少不必要的限定以保证合理的通信能力。
第八章 附则
本制度自发布之日起生效。