网络管理办法.docx

【网络安全管理办法】 文件编号：密级：修订记录日期版本描述修订者审批人审批时间第 8 页 共 7 页目录第一章总 则1第二章职责与权限1第三章网络规划和建设原则1第四章网络架构管理2第五章网络互联管理3第六章网络安全配置4第七章网络安全管理4第八章网络审计管理5第九章评估和持续改进5第十章附 则6第一章 总 则第一条 为加强XXXX股份有限公司（以下简称“公司”）计算机信息系统安全保护工作，防范网络安全风险，最大限度地减少因网络故障引发的业务中断，保障公司办公系统和生产系统正常运行，特制定本办法。第二条 本办法适用于公司范围内的生产和办公网络运行管理和安全管理的活动。第二章 职责与权限第三条 网络运维部负责生产及办公网络架构的规划、设计、建设、运行、安全以及网络设备和通讯线路的管理工作。第三章 网络规划和建设原则第四条 网络规划遵循全面统筹、规范及实用性原则。第五条 网络规划基本步骤：（一） 对信息系统的基本情况、功能特点、目标要求和安全风险进行科学评估，准确、全面了解信息系统的网络需求。（二） 编写总体规划和详细设计方案，并制定安全控制措施及安全管理策略。（三） 网络规划必须综合考虑信息技术因素和业务需求及安全管理策略，以系统工程学的方法和思路制定总体规划和详细设计网络安全方案。第六条 网络建设原则:网络安全设备示意图（一） 高可用性；公司网络设计遵循高可用性的原则,所采用的网络架构和技术满足公司业务发展需求。（二） 高可靠性；采用高可靠性的网络产品和完备的网络备份策略来满足可靠性的要求，对于不同网络功能区，采用设备和线路进行不同级别的可靠性设计。（三） 高安全性；网络建设采用一体的网络安全设计思想，充分保证核心骨干、边缘接入多个部分网络访问的高安全性，将来可以向实现自防御网络体系的平滑升级。（四） 高标准化；信息系统的网络构建应参照国家及行业标准和规范进行设计、建设。（五） 技术先进性；网络设备兼备技术先进性和产品成熟性，配备必要的安全专用设备。（六） 可管理性；网络系统应当具有统一的可管理性，实现对网络设备、网络策略和通讯线路管理，建立完善的网管中心，负责监测和管理通信线路及网络设备，保障网络安全稳定运行。第四章 网络架构管理网络设备冗余性示意图第七条 核心网络区域的核心网络设备必须具备冗余能力， 保证关键网络的可用性。第八条 核心网络整体的拓扑结构需进行严格的规划、设计和管理，一经确定，不能随意更改。第九条 如因业务需要，确需对网络的整体拓扑结构进行调整和改变，需按照相应的变更管理规程进行，并对变更后的网络拓扑进行核实。第十条 网络边界区域必须部署安全设备，通过实施技术手段，提供网络隔离、安全监控和审计功能。第十一条 关键网络链路必须具备冗余能力，以保证网络链路的可靠性。第十二条 网络结构应按照分层网络设计的原则来进行规划，应进行合理的层次划分和设计，使用适当的访问控制方式与技术将重要网段与其它网段隔离开，保证网络系统骨干稳定可靠、接入安全、便于扩充和管理、易于故障隔离和排除。第五章 网络互联管理第十三条 生产网和办公网必须进行网络隔离，通过防火墙的控制策略实现生产网与办公网、内网与外网之间的访问控制。第十四条 公司网络与国际互联网之间的接入必须采取防火墙隔离、入侵检测、防DDOS攻击等安全措施，确保公司网络安全。详见图1第十五条 生产网和办公网内部必须设定不同的安全域，安全域之间采用VLAN、路由控制、访问控制列表等技术手段实施访问控制。第十六条 生产网禁止任何形式的无线网络接入，办公网的无线网络接入必须得到信息科技部的审批，禁止未授权的无线网络接入点（AP）联入公司办公网络；办公网的无线接入必须采用强认证、加密等安全技术手段；无线安全实施方案第十七条 网络设备的用户申请和权限变更必须经过严格审批，遵循最小权限原则，用户离职或离岗时,其网络访问权限必须及时撤消。第十八条 虚拟专用网（VPN）必须采用隧道技术、加密技术、双因素认证等安全技术手段，确保其传送的数据不被窥视和篡改，防止非法用户对公司信息的访问. 第六章 网络安全配置第十九条 网络设备必须建立访问控制机制，避免对网络设备非授权访问；核心网络设备应设置ACL（访问控制列表）和3A（认证、授权和审计）配置对访问权限进行分级管理。第二十条 核心网络设备访问应采用智能令牌和口令等技术措施，实现双因素身份认证。第二十一条 对网络设备进行远程管理时，应采用HTTPS或SSH等安全方式，连接设备的管理端口需经信息科技部相关负责人审批。第二十二条 网络设备应实施会话超时保护和多次登录失败后账号锁定等安全机制，防止对网络设备的非授权访问。第二十三条 信息科技部应定期对网络设备的操作系统、配置及系统日志进行备份，备份数据要求进行安全保存和保留双备份。第七章 网络安全管理第二十四条 公司的网络建设和改造，必须使用符合国家标准或行业标准、具备资质的产品，工程方案经审核后方可实施。第二十五条 信息科技部向网络服务提供商提出的网络服务需求，必须包含网络服务的安全特性，服务级别，安全管理的要求。第二十六条 网络设备机房必须按网络设备对环境的要求进行建设；网络电缆的铺设必须使用专用管道，采取保护措施避免窃听或损坏；所有网络设备必须进行标识；网络设备的使用需经过信息科技部审批和授权。第二十七条 对网络服务的访问需提交申请，在得到相关负责人的批准后，按照完成工作所需的最小权限进行授权，网络访问权限不需要时，应及时对权限进行清除。第二十八条 网络设备应定期实施健康检查,确保设备符合使用要求。第二十九条 公司的网络IP地址应实施统一的规划与管理，便于网络的维护与监控。第三十条 信息科技部应对网络实施运维监控；网络设备必须实施相应的容量管理和监控措施，确保网络性能、容量符合公司的业务发展需要。第八章 网络审计管理第三十一条 网络系统运行软件应定期进行升级和补丁管理，确保网络设备安全漏洞及时被处理。第三十二条 网络设备应开启日志功能，为相应的事件调查或网络安全审计提供必要的信息。第三十三条 公司的网络设备应采用可信时钟源,确保网络设备的时钟同步。第三十四条 应定期对公司网络设备实施漏洞扫描，扫描中发现的安全问题应及时得到整改。第三十五条 任何人员未经授权不得进行网络扫描、探测或嗅探等行为，如确有需求，应向网络运维部申请，审批通过后方可实施。第九章 评估和持续改进第三十六条 网络运维部应对不定期事件引发的主机网络变更情况进行评估，如故障处理、维护记录等，并提出合理有效的处理意见。第三十七条 网络运维部可根据实际需求聘请外部专业公司对