《公司网络安全管理办法》由会员分享,可在线阅读,更多相关《公司网络安全管理办法(16页珍藏版)》请在金锄头文库上搜索。
1、公司网络安全管理办法第一章总则第一条为加强 XXXX 公司(以下简称公司)网络管理,确保网络运 行质量、提高网络设备资源使用效率,保障公司网络的安全,特制定 本办法。第二条本办法规定了网络维护管理及网络安全管理的相关职责 和管理措施,是公司网络管理工作的依据。第三条本办法适用于公司、全资子公司及比照全资子公司管理的 控股子公司(以下简称子公司)。公司控股投资企业可参照执行。第二章组织和职责 第四条公司信息化管理部运行管理处指定专人负责网络的维护 和管理。第五条信息化管理部作为主管部门,负责公司整个网络的监管工 作。第六条运行管理处负责网络日常维护工作,主要包括网络设备、 网管系统的检查维护,网
2、络变更的实施以及网络故障的处理等。第三章网络维护管理第七条网络维护管理基本规(一)公司网络维护管理必须严格遵守信息化管理部运行维护的 基本任务和要求。(二)公司网络维护管理的基本要求:1. 掌握公司网络资源、网络运行状况和发展情况,合理调配网络 和设备资源,保证公司网络资源的合理利用和网络运行最优化。2. 制定公司网络维护割接、网络优化方案,并组织实施。3. 对正式入网使用的新设备、新系统执行验收制度。4. 专人负责公司网络系统的硬件、软件及相关设备的维护。5. 对于现用或备用的网管系统,不得擅自更改其配置、结构或拆 除部件,保证网管设备和系统完好。第八条网络维护管理要求(一)网络拓扑管理:绘
3、制并及时更新网络拓扑图。(二)应定期收集、汇总、分析网络运行情况,并作为网络优化、 扩容依据。汇总信息应上报信息化管理部。第九条网络变更管理原则(一)由于网络优化、业务调整需要而进行的网络变更,变更方案 原则上应先保证网络的稳定运行,变更过程对各类业务的影响应控制 在最小范围。(二)网络设备的软硬件版本升级和补丁修补,应先进行测试并设 有回退方案,经测试确认无误后再进行全网相关操作。(三)所有网络设备在运维过程中,升级、更换的软件或硬件应为 厂家所发布的、稳定的正式产品,并经信息化管理部运行管理处审批 后方可实施。(四)在实施重大网络变更前,必须组织相关专家对技术方案的可 行性、安全性进行论证
4、,并经信息化管理部审批后,由具有丰富维护 经验的技术人员负责实施操作。第十条配置变更管理(一)在变更过程中涉及到设备系统及业务配置改动时,应事先制 定统一的变更操作配置模板,组织维护专家进行充分论证和测试,经 信息化管理部审批后,方可应用于实际网络中。(二)维护人员应根据业务及网络设备的实际需要,对配置模板进 行调整,并完善到相关操作手册中。(三)变更工作完成后应对相关文档进行更新保存。 第十一条变更操作管理(一)网络设备的运行配置文件和启动配置文件应保持一致。(二)网络变更应在业务空闲时进行,对网络设备变更的全过程应进行严密控制,使变更过程中可能带来的风险减小到最低限度。(三)为保证变更的顺
5、利实施,变更前应制定包括时间、业务影响范围、影响用户清单、详细操作步骤的变更方案及应急回退方案。(四)变更实施人员应详细记录变更过程,变更完成后应尽快通知 相关部门,及时更新相应维护资料,并在规定时间内向审批单位反馈 变更结果。第十二条网管设备的维护(一)日常维护项目和要求:检测网管系统各部分(包括CPU、磁 盘、文件系统存储空间等)的运行状态。发现故障,分析原因,及时 排除。(二)定期维护项目和要求:至少每年进行一次全面的系统软件及 硬件的诊断测试。第十三条网管系统设备资源的维护(一)定期检查网管系统各部分的利用率情况,包括CPU利用率、 内存利用率、外存(如硬盘等)利用率,每季度至少一次。
6、(二)磁盘空间的维护管理要求:应及时清理磁盘文件,删除过时 或无用的网管数据文件和程序,保证磁盘空闲空间$30%。第十四条网管配置文件的管理要求(一)检查当前运行的网管配置数据与网络现状是否一致,如不一 致应及时更新。(二)检查缺省启动的网管配置文件是否为最新版本,如不是应及 时更新。(三)网络发生变化时,及时更新网管配置数据,并做相应记录。(四)网管配置数据应及时备份并对备份后的数据进行验证,备份 结果保留到下一次修改。(五)对重要数据应实现异质备份、异址存放。 第四章网络安全管理第十五条网络安全要求(一)根据公司的需要、所涉及信息的重要程度等因素,划分不同 的子网或网段,并按照方便管理和控
7、制的原则为各子网、网段分配地 址段。(二)在网络边界部署访问控制设备,启用访问控制功能。根据业 务需要为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口 级。(三)公司网络资源(包括IP地址)的维护管理作为公司网络维 护管理的重要内容,必须设置专人负责,做到统一规划、合理使用, 对IP地址的使用应及时记录、更新、备案。(四)必须关闭网络设备未使用的物理端口。重要网段应采取网络 层地址与数据链路层地址绑定措施,防止地址欺骗。第十六条重要网络设备应符合以下性能、安全要求(一)设备可用率应达到或超过 99.99%;原则上,设备的核心处 理及交换模块、电源模块必须为1:1主备模式;设备采用双路供电
8、 方式;设备必须支持热插拔功能;设备在故障状态下可以实现一定程 度上的故障自恢复,包括主备引擎的切换、不中断业务的转发等。(二)在新设备入网前,必须与现有网络设备进行严格的互通性测 试,由新入网设备厂家提供测试报告及测试用例,确保新设备符合相 关设备的技术要求。(三)重要网络设备必须采用经过厂家测试并正式发布的、性能稳 定可靠的内核软件和操作系统软件版本,同型号设备所安装的内核软 件、操作系统的版本原则上应统一,安装的补丁程序版本原则上应一 致;所采用的硬件和软件产品本身应具备一定的安全功能。第十七条安全设备的管理要求(一)防火墙的配置应参照防火墙安全配置基线进行配置。(二)应对登录防火墙的用
9、户进行身份鉴别,对防火墙的管理员登 录地址进行限制。对使用广域网与 VPN 进行远程管理时,应采取 HTTPS或SSH的加密传输措施,防止认证信息在网络传输过程中被 窃听。(三)防火墙应能根据会话状态信息(包括数据包的源地址、目的 地址、源端口号、目的端口号、协议),为数据传输提供明确的允许/ 拒绝访问的能力。(四)应在网络边界部署防火墙或具有相同功能的访问控制设备, 并启用访问控制功能。(五)应在网络边界和核心交换处部署入侵检测设备,监视包括端 口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、 IP 碎片攻击和网络蠕虫攻击等入侵事件的发生。(六)当入侵检测设备检测到入侵攻击行为
10、时,应记录入侵攻击源IP、攻击类型、攻击目的、攻击时间,并在发生严重入侵事件时提供 告警。告警方式包括短信、邮件和实时监控。(七)指定专人定期升级入侵检测设备的特征库。 第十八条日常维护的安全管理(一)网络设备的日常安全管理1. 维护人员应严格执行维护作业计划,每月定期检查网络设备的 安全策略配置,并填写和保留有关记录。2. 定期(每月)进行设备硬件、系统软件、应用软件、运行状态 检查,及时发现设备运行中的安全隐患,并填写和保留有关记录。3. 定期(每月)检查安全日志(包括系统访问日志、配置更改日 志等),及时发现非法访问和异常配置的安全隐患,并填写和保留有 关记录。(二)对网络安全检查中发现
11、的问题,应根据问题的严重性及影响 范围制订整改计划,必要时可以寻求专业安全技术厂商的支持并报上 级部门审批。在运行管理处的监督下,由安全技术厂商进行渗透性测 试,以保证安全问题整改的效果。第十九条网络安全防护(一)远程登录访问控制要求1. 确保在所有远程登录服务的位置设置口令防护,其中设备登录和认证的通信过程应加密,确保Console接口设置EXEC 口令。2. 严格限定特定的IP地址远程登录网络设备或主机设备。(二)对设备的远程登录会话最大无响应连接断开时间应设置为 不大于 10分钟。(三)开启路由器、以太网交换机日志功能,同时必须保证日志功 能对设备性能的影响较小。(四)关闭路由器、以太网
12、交换机和服务器上不必需的服务,实现 设备的最小服务配置。每季度对配置文件进行离线备份。发现安全漏 洞时,应采取必要的防护措施,并及时升级软件版本或安装补丁。(五)病毒防护按照防病毒管理办法要求执行。(六)每年至少一次对重要网络设备进行安全评估,形成评估报告 对评估报告中发现的安全隐患,应采取措施予以消除。同时做好相关 资料的存档。(七)定期(每三个月)对网络系统进行漏洞扫描,对发现的网络系 统安全漏洞进行及时的修补。(八)根据厂家提供的软件升级版本对网络设备进行更新,并在更 新前对现有的重要文件进行备份。(九)保证所有与外部系统的连接均得到授权和批准。(十)依据安全策略允许或者拒绝便携式和移动
13、式设备的网络接 入。(十一)应定期检查违反网络安全策略的行为。禁止任何方式的无 线接入与外联。第五章网络接入控制第二十条设备接入控制(一)公司应制定相关措施,保证设备的物理接入安全。(二)网络设备应选择经实践验证稳定运行的版本。(三)网络设备入网前要进行一些专门的安全功能设置,如下:1. 采用安全方式(如安全协议、串口连接等)对网络设备进行远 程或本地管理,禁止以明文传输协议远程管理网络设备;2. 配置身份认证、授权和统计;3. 对密码进行高级别的加密保护;4. 加强对基于广播风暴攻击的防范;5. 加强对内部地址欺骗的防范;6. 加强对源路由欺骗的防范;7. 禁止不必要的服务,实行最小服务原则
14、;8. 加强对于SNMP的默认管理字符串的安全管理;9. 依据需求提升访问控制规则的严格程度;10. 设置明确的禁止非授权访问的警告提示。(四)网络设备在上线前,网络管理员应对设备进行安全配置检查, 具体操作内容遵循设备安全配置指南。(五)网络管理员应定期优化更新网络系统的安全策略设置,避免 因安全漏洞风险而造成的损失。(六)接入内网的终端应为公司所配发的办公终端及办公设备(如 打印机、传真机等)。其它任何终端、服务器及网络设备原则上均不 得接入内网。如有特殊需求确要接入的,应由所属部门向信息化管理 部提出申请并征得同意,且保证满足网络安全管理要求后方可接入。(七)接入高风险系统时,限制终端与
15、网络服务的连接时间,避免 非法接入的风险。具体限制措施如下:1. 使用预先定义的时间段进行通信;2. 如无特别需要,尽量将连接时间限制在正常办公时间内;3. 对每次连接的时长进行限制。第二十一条用户接入控制(一)公司应制定正式的管理规定,明确使用办公终端接入内网的 管理要求。员工接入内网时应遵守接入控制方式的准则和控制措施。(二)公司应制定针对第三方人员接入公司内网的管理要求和控 制措施,以保证内网的安全接入,使网络高效、稳定的运行。(三)公司应对使用内网的员工和第三方人员提供相应的安全培 训,使其清楚认识安全风险及需要采取的控制措施。(四)公司员工使用电脑通过固定方式(使用公司内网物理端口) 接入公司内网时,应遵守以下要求:1. 员工接入公司内网应向信息化管理部提交申请,经批准后方可 入网;2. 员工接入内网时应使用公司配发的台式电脑;3. 接入的办公终端应符合公司的终端安全配置标准;4. 申请入网时必须接受信息化管理部的安全配置检查;5. 员工每次开机接入内网时应接受公司对办公终端的接入控制 检查,符合标准方可接入;6. 员工应对自己使用的网络接入端口负责,不允许接入其他用户 终端或网络设备(如HUB、交换机、无线AP等);7. 接入办公终端的IP地址设定参数不
