7网络安全管理办法.docx
《7网络安全管理办法.docx》由会员分享,可在线阅读,更多相关《7网络安全管理办法.docx(12页珍藏版)》请在冰点文库上搜索。
网络安全管理办法
修订记录
版本编号
修订日期
主要修订摘要
审核记录
审核人员
属于部门
审核日期
第一章总则
第一条为了保证中国航发湖南动力机械研究所(以下简称“动研所”)网络系统安全、持续和稳健运行,根据国家相关法律以及相关文件要求,特制定本管理办法。
第二条本管理办法所称的网络系统,是指由投资购买或租用,由信息化技术研究部负责维护和管理的网络系统,主要包括网络主、辅节点设备,配套的网络线缆设施,以及由网络服务器、工作站构成的,提供网络应用及服务的硬件、软件的集成系统。
第三条网络系统设备管理维护工作由信息化技术研究部负责,信息化技术研究部可以委托相关单位指定人员代为管理子节点设备。
任何单位和个人,未经信息化技术研究部同意,不得擅自安装、拆卸或改变网络设备。
任何单位和个人,不得利用联网计算机、终端从事侵入、危害网络、服务器、工作站的活动。
第四条本管理办法适用于
第二章组织机构与职责
第五条信息化技术研究部是网络建设和管理的执行机构。
其职责是:
为网建设和发展制订整体规划;负责组织实施已经批准施行的网络建设计划;负责网络的运行维护管理;为全动研所网络用户提供服务、培训和咨询;跟踪引进先进网络技术;负责网络的运行畅通、设备的运行维护、信息数据的安全保密工作;负责建立的网络设备档案;负责对网络安全事件进行风险识别、评估、监测和出具相关报告材料;制定网络的相关管理办法。
第六条人事部负责人员岗位变动情况的审核。
发展计划部负责对网络管理办法执行情况进行监督、检查。
保密部负责网络安全事件报送监管机构相关事项。
第七条发起风险评估的责任主体包括网络安全工作管理职能部门各支撑系统维护部门,如综合管理部门、业务支撑部门、管理信息系统部门等等。
接受安全风险评估的部门应参与制定安全风险评估计划及评估方案,了解评估可能造成的影响及规避措施,配合实施安全风险评估工作。
参与安全风险评估人员应严格遵守动研所保密管理规定,对接触到的敏感信息、漏洞情况等严格保密。
如委托第三方进行风险评估,应选择符合国家和动研所要求的风险评估服务机构,并在与之签订的协议中,明确保密要求及禁止利用中提供的权限、信息进行其它破坏性或者信息刺探等非法活动,保障动研所及客户利益。
第三章网络结构管理
第八条网络划分为业务网、用户办公网、互联网等3个子网。
各子网之间实行安全隔离,各子网内的服务器、终端之间不允许跨网访问,各子网内的终端严禁混用及跨网访问,以提高网络管理平台数据的安全。
第九条开发网为封闭式子网,主要使用人员为和合作单位的开发人员;开发人员必须使用提供的固定开发终端和固定IP地址进行开发工作,严禁在开发网内使用自带笔记本电脑和移动存储介质;开发人员严禁接触生产环境,开发产品源代码需由开发人员提交给代码审核人员进行审核后,交由产品维护人员进行上传更新;采用的安全措施包括防病毒软件、IPS、防火墙等。
第四章网络安全管理
第十条为保障网络设备的安全、稳定运行,机房必须建立相应的接地、防雷、防火、防水设施和UPS、柴油发电机等后备电源设备,并符合相关国家标准。
第十一条网络管理员负责网络的运行管理,实施网络安全策略和安全运行细则。
第十二条网络管理员应制定周密的切实可靠的网络备份和应急恢复方案,防止由于网络设备系统崩溃、硬件损坏等原因而引起业务中断。
重要核心网络设备必须采用“双机热备”的方式,非核心网络设备可采用一备多的“冷备”的方式。
第十三条网络管理员应定期对中心机房网络设备进行巡检,监测网络设备的物理稳定性和系统稳定性,进行系统日志审计,并对系统状况及安全事件进行分析,制定相应的维护策略。
第十四条网络设备发生故障,网络管理员应本着先抢通业务、后排除故障的原则按照规定流程排除故障,并填写《设备故障报告表》,遇到重大故障时应及时上报领导,事后编写故障分析报告。
第十五条网络管理员应负责落实、实施涉及网络设备的密码管理机制。
第十六条针对服务器、网络设备、网络安全设备应建立相应的日志服务器,历史记录保持时间不得低于12个月;重要服务器、网络设备、网络安全设备日志应建立日志备份机制。
第十七条任何人不得利用各种网络设备或软件技术从事用户帐户及口令的侦听、盗用活动,不得使用任何非法手段获取他人信息。
第十八条网络设备、服务器等发生破坏案件,或遭到黑客攻击,如该案件影响到动研所重要信息系统的正常运行,信息化技术研究部负责突发事件应急处置工作并在事发后二十分钟内将事件报备XX部。
第十九条网络管理员定期对配置文件进行离线备份,在配置变更前、变更后分别对网络设备的配置文件进行备份。
第五章网络接入管理
第二十条网络接入应符合“谁主管、谁负责,谁接入、谁负责”总体原则,遵从“基于需求”、“集中化”、“标准化”及“可控”等具体原则。
通过规范申请、审批等过程,实现安全的网络互联。
第二十一条各部门或个人不得擅自将计算机终端设备接入网络,必须向信息化技术研究部提交《IP地址申请表》(附录),由信息化技术研究部审核申请,统一分配IP地址,将IP地址与MAC地址绑定。
网络用户必须严格使用分配的IP地址,不得擅自更改。
第二十二条生产网、办公网、开发网内客户端必须安装防病毒软件及网络准入控制软件,用户不得擅自更改或删除安装的网络服务软件。
如重新安装操作系统,应及时向信息化技术研究部申请重新安装网络服务软件。
第二十三条员工因工作调动或离职时,其所在单位应负责将其所使用的计算机名、IP地址、用户名、登录密码、邮箱等信息以书面形式提交人力资源部审核,由信息化技术研究部相关人员核实、变更并登记备案。
第二十四条外来人员未经许可不得使用网络资源,如需访问内网,由相关接待部门填写《外来计算机及存储设备接入申请表》(附件2)并经主管领导审批后向信息化技术研究部申请。
第二十五条未经信息化技术研究部许可,任何单位和个人不得非法私自将非计算机接入动研所网络或擅自接纳网络用户。
第二十六条未经信息化技术研究部允许,不得共享计算机内的各种资源;不得对计算机网络功能进行删除、修改或者增加;不得对计算机网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加。
第二十七条严禁使用办公电脑和网络在线观看及下载电影、电视剧、游戏等较大的数据文件,禁止玩各类网络游戏、挂游戏外挂等。
第六章互联网上网管理
第二十八条动研所建设互联网接入必须提前提交《互联网申请表》(附件3),经信息化技术研究部审批后方可开始实施;
第二十九条动研所互联网出口必须部署防火墙等安全防护设备,接入互联网的电脑必须经过许可,并且安装防病、毒防火墙等安全防护软件。
第三十条动研所上互联网电脑严禁接入到动研所的办公网、生产网以及通过移动介质拷贝文件至办公电脑和业务终端;
第三十一条动研所上互联网电脑不得存储国家密级文件及动研所重要文件,各单位要按照国家关于互联网上网信息安全有关规定,加强对本单位互联网上网电脑的管理,不得利用互联网泄露动研所商业秘密和损害动研所的利益,对于出现的违法违纪行为,动研所将根据有关规定追究有关单位和当事人的责任。
第三十二条动研所互联网接入的目的是为了加强与外界的合作与交流。
因此任何人不得在上网电脑上玩网络游戏、聊天、浏览非法网站和下载软件、音乐、电影等,如因以上原因引起计算机系统染毒、系统崩溃而延误工作造成损失的,上网者将受纪律处分并负责对电脑进行修复。
第三十三条动研所员工上网应当遵守有关法律、法规的规定,加强自律,开展文明、健康的上网活动。
严禁利用单位网络传播病毒,危害动研所网络安全;制作、下载、复制、查阅、发布、传播或以其他方式使用反动、淫秽色情等有害信息;
第七章安全加固及补丁管理
第三十四条供应商和集成商需在服务期内及时为设备和系统安装操作系统、数据库、中间件等第三方软件的安全补丁,保证系统不出现CVE高风险漏洞。
第三十五条供应商和集成商需在安全补丁安装前完成与设备或系统的兼容性测试。
如果出现不能兼容的情况,供应商和集成商必须免费对现有程序、应用进行修改和升级,或者免费提供额外的安全措施,以保证安全性。
第三十六条供应商和集成商在系统验收前,必须对系统进行安全加固,并提交加固报告,并遵循第四章所提供的安全验收标准,进行安全验收。
集成商必须保证提供的系统上不存在任何CVE高风险漏洞。
如在验收后发现CVE高风险漏洞,集成商和厂商应立即免费进行升级和加固。
第八章帐号口令及日志审计管理
第三十七条所有网络设备均需要支持基于帐号的访问控制功能,并对口令文件提供妥善的保护。
第三十八条各网络设备应能保存帐号增删、配置更改、权限更改、重要操作和登陆信息等有关安全内容的日志。
该日志的保存期限应不小于2年。
如果因容量限制无法满足该要求,应将日志定期导出,采用其他手段进行保存。
第三十九条网络管理员管理应定期对运行日志、网络监控记录的日常维护和报警信息进行分析和处理。
第四十条如某些网络设备自身账号口令管理以及日志审计功能不能满足相关技术要求,需配套相应的外部安全设备以满足相应的安全技术要求。
第四十一条各网络设备在认证方面支持双要素认证接口。
第十章网络升级与漏洞扫描管理
第四十二条持续跟踪厂商提供的网络设备的软件升级更新情况,在经过充分的测试评估后对必要的补丁进行更新,并在更新前对现有的重要文件进行备份。
第四十三条每季度至少进行一次漏洞扫描,对漏洞风险持续跟踪,在经过充分的验证测试后对必要的漏洞开展修补工作。
第四十四条实施漏洞扫描或漏洞修补前,应对可能的风险进行评估和充分准备,如选择恰当时间,并做好数据备份和回退方案。
第四十五条漏洞扫描或漏洞修补后应进行验证测试,以保证网络系统的正常运行。
第十一章附则
第四十六条本管理办法由信息化技术研究部负责解释。
第四十七条本管理办法自发布之日起执行。
附录1:
IP地址申请表
编号:
时间:
基本信息:
单位名称
联系人姓名
员工编号
电话
使用人姓名
员工编号
电话
计算机放置位置
申请原因
填制单位意见:
签字/盖章:
日期:
信息化技术研究部意见:
签字/盖章:
日期:
附录2:
外来计算机及存储设备接入申请表
编号:
日期:
申请部门及人员
申请日期
动研所陪同人员
来访单位
及使用人员
拟接入计算机
型号
拟接入计算机
操作系统
接入事由
申请接入时段
申请接入的网络
防病毒软件
病毒库更新日期
审批记录
接入前病毒
检查结果
安全检查记录
安全管理员
签名
接入时间
离开时间
备注
附录3:
互联网申请表
编号:
时间:
申请部门
申请部门意见
(签字盖章)
日期:
上网负责人
联系电话
座机:
手机:
申请上网电脑数(台)
申请上网帐号数(笔记本用户)
上网需求详情
申请理由:
所需上网功能要求:
所需上网时间段:
部门领导意见
(签字盖章)
日期:
信息化技术研究部意见:
(签字盖章)
日期:
技术部门主管行领导意见:
日期:
附件4:
外来人员网络申请表
基本信息
接待单位名称
联系人姓名
员工编号
电话
外单位名称
办公场所地址
外单位人员姓名
使用设备
□笔记本□台式机
电话
□笔记本□台式机
电话
□笔记本□台式机
电话
□笔记本□台式机
电话
申请
原因
主要
用途
使用时限
从年月日至年月日
填制单位意见:
签字/盖章:
日期:
主管行长意见:
签字/盖章:
日期:
信息化技术研究部意见:
签字/盖章:
日期:
附件5:
网络互联申请表
申请单位名称
联系人姓名
联系电话
对方单位联系人姓名
联系电话
对方单位通讯地址
互联接入方式
(通讯线路类型)
互联业务描述
(如访问哪些数据、进行什么维护等等)
互联方案描述
(包括互联双方系统名称、IP地址或者地址段、申请方端口协议等相关信息)详细方案附后
互联变更记录
(包括首次互联接入及各次互联变更的时间、申请表/变更申请表编号)
申请互联有效期:
填制单位意见:
签字/盖章:
日期:
主管行长意见:
签字/盖章:
日期:
信息化技术研究部意见:
签字/盖章:
日期:
附件6:
入网申请表
基本信息
单位名称
单位地址
联系人姓名
员工编号
电话
入网
原因
入网类别
□新装□移机
入网要求
□办公网□生产网
网络设备
□已到位□采购中
竣工时限
填制单位意见:
签字/盖章:
日期:
信息化技术研究部意见:
签字/盖章:
日期:
注:
各新开网点或进行网点搬迁时要求提前二十天填写《入网申请表》;
附件7:
远程接入申请表
基本信息
单位名称
使用人姓名
员工编号
电话
远程
接入
原因
接入类别
□远程维护□远程代办业务□离行办公
接入时限
从年月日至年月日
接入地点
填制单位意见:
签字/盖章:
日期:
主管行领导意见:
签字/盖章:
日期:
信息化技术研究部意见:
签字/盖章:
日期:
注:
各新开网点或进行网点搬迁时要求提前二十天填写《入网申请表》;
升级会员 