网络与应用系统安全管理规定.docx
《网络与应用系统安全管理规定.docx》由会员分享,可在线阅读,更多相关《网络与应用系统安全管理规定.docx(7页珍藏版)》请在冰点文库上搜索。
网络与应用系统安全管理规定
**公司
网络与应用系统安全管理规定
第1章总则
第2章
第一条为贯彻《中华人民共和国网络安全法》(以下简称《网络安全法》)最大限度地消除互联网应用风险和隐患,提高**公司网络和应用系统安全防护水平,保障网络和应用系统的安全和稳定运行,特结合**公司实际制定本规定。
第二条把网络与应用系统安全纳入公司发展规划和预算管理。
确立网络与应用系统安全在公司发展中的重要地位,将网络与应用系统安全预算资金集中投入,统一管理,专款专用。
第三条加强网络与应用系统安全队伍建设,将人才培养与推进信息化安全结合起来,提高全员信息化应用安全水平。
第四条制订公司全员信息化安全管理和应用培训计划,开展信息化安全应用相关培训,不断提高公司对网络和应用系统安全的认识和应用水平。
第五条本规定基本内容包括:
网络管理、设备管理、系统安全管理、机房管理、数据安全管理、信息安全管理、应急处理。
第二章网络管理
第六条建立网络管理台账,掌握本单位的网络结构及终端的接入情况,做到条理清楚、管理到位。
(一)所有网络设备(包括防火墙、路由器、交换机等)应归**部统一管理,其安装、维护等操作应由**部工作人员进行,其他任何人不得破坏或擅自进行维修和修改。
同时,登录网络设备密码应遵循复杂性原则,且位数应不低于8位。
(二)建立租用链路管理台账,包含但不局限于以下内容:
链路供应商、本端接口、对端、技术参数等日常维护信息。
(三)建立网络拓朴图,标注线路连接、设备功能、IP地址、子网掩码、出口网关等常用管理信息。
(四)局域网原则上应实行静态IP管理,IP地址由**部统一分配,并制定“IP地址分配表”,记录IP地址使用人、MAC地址、电脑操作系统等信息。
(五)IP地址为计算机网络的重要资源,公司员工应在**部的规划下使用这些资源,不应擅自更改。
(六)公司内计算机网络部分的扩展应经过**部批准,未经许可任何部门不应私自将交换机、集线器等网络设备接入网络。
(七)**部负责不定时查看网络运行情况,如网络出现异常时及时采取措施进行处理。
(八)公司网络安全应严格执行国家《网络安全法》,对在网络上(包括内网和外网)从事任何有悖网络安全法律法规的活动者,将视其情节轻重交有关部门或公安机关处理。
第三章设备管理
第七条做好日常维护和保养,掌握正确的操作使用方法和规程,减少设备的故障率,确保设备能够正常和可靠运行。
(一)建立设备管理台账,应包含以下内容:
设备型号、序列号、设备配置、技术参数、运行时间、保修期限等日常维护信息;
(二)服务器电源应保证冗余电源,有条件的情况下采用双路电源接入。
对于运行重要应用系统的服务器设备,还应配备不间断(UPS)电源,以避免非常规断电造成服务器设备的物理损坏。
UPS负载必须保持在总负荷80%以下,并且定期对UPS设备进行检测,确保设备运行正常和有效;
(三)相关管理人员应定期对各设备进行巡检,查看设备运行日志,监测设备,并填写“巡检情况记录”;
(四)严禁撕毁、涂画或遮盖IT设备标签,或未经**部备案擅自调整部门内部计算机信息系统的配置;
(五)计算机终端用户因主观操作不当导致设备、设施损坏,应承担相应修复费用,不能修复的应按所损坏设备、设施的市场价值予以赔偿;蓄意破坏设备、设施的,除照价赔偿外,还应视情节严重给予行政处罚;
(六)终端设备,特别是笔记本电脑等移动设备应采用实名制,不得赠送、出借、出售给他人使用。
第四章系统安全管理
第八条系统安全管理应充分利用现有资源,完善相关的管理制度和流程,保证安全系统有效、稳定和可靠运行。
(一)设置防火墙安全策略时,应考虑隔离病毒传播、非授权访问的通道等方面的内容,而且策略应注明用途,避免冗余策略的产生;
(二)按照不同的访问权限,在核心交换机、路由器设置不同的访问控制策略;
(三)不定期开展对服务器进行安全扫描,针对发现的漏洞及时补漏加固。
(四)移动存储设备(优盘、移动硬盘等)必须进行病毒扫描确认无毒后,方能接入服务器;
(五)各应用系统管理员登录密码应遵循密码复杂度原则,且位数不应少于8位;
(七)定期查看各应用系统、终端操作系统相关安全公告,根据需要下载操作系统相关补丁安装包,进行测试后对服务器进行升级;
(八)禁止在机房服务器上安装与系统应用无关的软件,并且安装软件要确认安装包的安全性,安装和卸载软件应做好相应记录;
(九)公司员工应定期对所配备的计算机终端的操作系统、杀毒软件等进行升级和更新,并定期进行病毒查杀;
(十)公司员工应妥善保管根据职责权限所掌握的各类办公账号和密码,严禁随意向他人泄露和借用;
(十一)经远程通信传送的程序或数据,必须经过安全检测确认无病毒后方可安装和使用;
(十二)定期组织灾难恢复演习,提高相关管理人员的应急反应能力,确保恢复过程安全、迅速和有效;
(十三)重大节假日之前,相关人员应对网络、各应用系统进行巡检,确保节假日期间网络和各应用系统运行安全、稳定和有效。
第五章机房管理
第九条对机房进行科学、规范管理,确保计算机网络、各应用系统安全、高效和稳定运行。
(一)采取措施确保机房设备物理安全;
(二)机房温、湿度达到《电子计算机机房设计规范》国家标准(GB50174-93)要求;
(三)未经公司授权且机房管理人员在场监督,任何人不得自行配置、更换或挪用机房内的路由器、交换机和服务器以及其他通信设备等;
(四)严禁携带易燃易爆和强磁物品及其它与机房工作无关的物品进入机房;
(五)机房定期做好清洁除尘工作,未经机房管理人员同意严禁无关人员进入机房。
第6章数据安全管理
第7章
第十条高度重视各类数据备份的重要性,制定备份策略,并定期进行恢复检查,确保备份数据的安全和有效。
(一)服务器磁盘采用冗余磁盘阵列(RAID)容错方式,以避免磁盘因物理损坏而造成数据丢失;
(二)制定数据备份策略,对服务器操作系统、数据库、文件进行备份,根据数据重要性、更新频率要求设置备份频率;
(三)定期对备份数据进行还原测试,确保备份数据的安全性和有效性;
(四)计算机终端用户必须将重要数据存放在计算机硬盘中除系统盘分区(一般是C盘)外的硬盘分区。
计算机信息系统发生故障,应及时与**部联系并采取相应数据保护措施;
(五)计算机终端用户未做好备份前不能删除任何硬盘数据。
对重要的数据必须准备双份,存放在不同的地点;对采用光盘等介质保存的数据,必须做好防火、防潮和防尘工作,并定期进行检查、复制,防止介质损坏,丢失数据。
第七章信息安全管理
第十一条加强涉密信息的安全管理工作,严格落实内、外网物理隔离,做到“涉密不上网,上网不涉密”。
(一)对涉密的设备运行和使用情况进行定期检查;
(二)涉密的电脑不得接入局域网,更不能直接接入互联网使用。
涉密电脑因工作需要必须接入内网或者互联网时,原使用者应进行资料清理后再进行使用;
(三)涉密电脑密码不得向无关人员泄露,必须定期进行更换,原则上至少每半年更换一次,而且密码应具有一定复杂性;
(四)规范和细化存储介质的使用范围,如用于处理敏感信息的存储介质,不应处理和传输涉密信息,更不得在连接互联网的计算机上使用;
(五)员工具有信息保密的义务。
任何人不应利用计算机网络泄漏公司机密、技术资料和其它保密资料;
(六)计算机终端用户计算机内的资料涉及公司机密的,须为计算机设定开机密码或将文件加密;凡涉及公司机密的数据或文件,非工作需要不得以任何形式转移,更不得透露给他人。
离开原工作岗位的员工由所在部门负责人将其所有工作资料收回并保存;
(七)严禁外来人员对计算机数据和文件进行拷贝或抄写以免泄漏公司机密,对公司各应用系统登录账号不得相互知晓,每个人必须保证自己帐号的唯一登陆性,否则由此产生的数据安全问题由其本人负全部责任。
第八章应急处理
第十二条制定网络安全应急处理预案,明确责任,日常管理及日常处置的应急要求。
当发生网络安全事件时,及时启动应急处理程序,调动有关资源作出响应,降低安全事件对网络运行的影响。
(一)当黑客攻击时的应急处理措施
1、当发现服务器内容被篡改,或通过防火墙发现有黑客正在进行攻击时,首先将被攻击的服务器等设备从网络中隔离出来,同时向网络安全与信息化领导小组汇报情况;
2、网络管理员负责被破坏系统的恢复与重建工作;
3、故障排除后,尽快恢复网络连接。
(二)病毒安全应急处理措施
1、当发现网络中有计算机感染病毒后,立即将该机从网络上隔离出来;
2、对设备的硬盘进行数据备份;
3、启用杀毒程序进行杀毒处理,同时进行全网查毒,对其他机器进行病毒扫描和清除工作;
4、如发现杀毒程序无法清除该病毒,应作好相关记录,同时立即向网络安全与信息化领导小组报告,并迅速联系有关产品供应商进行沟通、研究和解决。
(三)数据库系统应急处理措施
1、如发现是数据库故障导致应用系统不能运行,由应用系统相关部门应用管理员负责查找故障原因,并进行恢复;
2、如问题不能解决,应联系应用系统服务商进行技术支持或现场服务;
3、如服务商也无法解决故障,启用备份恢复系统,将数据库恢复至最近的备份时间点;
4、故障排除后,应恢复应用系统,并进行验证性测试。
(四)应用系统应急处理措施
1、如发现是应用系统软件故障导致应用系统不能运行,由相关部门应用系统管理员查找故障原因,并进行恢复;
2、如应用系统管理员不能解决故障,应立即联系应用系统开发商进行技术支持或进行现场服务;
3、如开发商也无法解决故障,启用备份恢复系统,将应用系统恢复至最近的备份时间点;
4、故障排除后,应恢复应用系统,并进行验证测试。
(五)互联网线路中断应急处理措施
1、网络管理员发现问题或接到报告后,应迅速判断故障节点,查明故障原因;
2、如属公司管辖范围,由网络管理员采取相应措施第一时间予以恢复。
如遇无法恢复情况,应向有关设备厂商寻求支持;
3、如属网络链路运营商管辖范围,应立即与网络链路运营商相关人员联系,进行故障报修,寻求尽快修复,并对修复进展进行实时跟进;
4、故障排除后,应恢复网络连接,并进行测试,保证网络稳定、正常运行。
第九章附则
第十三条本规定由**公司**部制定并负责解释。
第十四条本规定自发布之日起实施。
升级会员 