中国大唐集团公司网络系统及主机系统安全管理办法.doc

附件中国大唐集团公司网络系统及主机系统安全管理办法第一章 总 则第一条 为保障中国大唐集团公司（以下简称集团公司）网络系统及主机系统安全可靠运行，强化边界防护，提高安全防护能力，制定本办法。第二条 本办法按照“谁主管、谁负责，谁运营、谁负责”的原则，落实网络系统及主机系统安全管理责任。第三条 本办法适用于集团公司总部及其各上市公司、分公司、省发电公司、专业公司（以下简称系统各企业）。第二章 网络系统安全防护第四条 网络系统原则上分为管理信息大区和生产控制大区。管理信息大区包括企业局域网、集团公司广域网、虚拟专网；生产控制大区包括SIS网络和生产控制系统网络，生产控制系统网络的安全防护不在本办法管理范围内。第五条 网络系统按照“安全分区，网络专用，横向隔离，纵向认证”的原则部署安全防护体系。第六条 SIS网络和企业局域网之间实现物理隔离，企业局域网与广域网、虚拟专网之间实现逻辑隔离。第七条 SIS网络安全防护要求：（一）禁止内部的E-Mail服务，禁止通用的web服务；（二）采用VLAN和防护控制等安全措施，严禁与管理信息大区业务系统直接互通；（三）服务器和网络终端均应使用经国家指定部门认证的安全加固的操作系统，并采取加密、认证和访问控制等安全防护措施；（四）部署入侵检测等安全防护系统，并定期离线更新病毒库、木马库、入侵检测规则库；（五）SIS网络终端不得连接任何其它网络，禁止远程维护；（六）其它具体要求依据电力二次系统安全防护相关规定执行。第八条 企业局域网安全防护要求：（一）网络设备管理人员使用安全管理工具对网络设备进行管理，严禁使用Telnet方式访问硬件设备，严禁非网络设备管理人员对网络设备进行操作；（二）与互联网及其它网络之间互联必须架设防火墙，合理制定安全访问策略并进行实时监控；（三）部署防病毒、入侵检测、行为管理系统等通用安全防护产品，并定期更新病毒库、木马库、入侵检测规则库；（四）网络设备仅开启业务和维护所必须的服务和端口，在不影响业务应用的前提下，开启网络设备的自身防御功能。第九条 虚拟专网由集团公司统一管理，集中认证。系统各企业新增、变更、撤销的虚拟专网节点设备和证书报集团公司审批、备案，配置的虚拟专网接入设备，要严格执行用户审批手续，用户的权限要严格控制。第十条 网络核心设备原则上采用冗余备份架构。第三章 主机系统安全防护第十一条 主机系统包括服务器、存储、备份等硬件设备及操作系统。主机系统安全进行专项管理，定期检查并记录主机系统运行状态，及时处置异常。第十二条 重要主机系统采取冗余备份设计，做好备件管理。第十三条 主机系统应部署在相应安全区域： （一）企业邮件服务器、对外网站服务器必须安装在防火墙提供的DMZ区域。（二）在线运行的服务器系统与开发、测试用的服务器系统必须进行网络隔离，开发和测试人员不得使用在线运行的服务器系统进行测试。第十四条 主机系统严格访问控制，仅开启业务系统运行所需端口和服务；严禁开启远程桌面服务。第十五条 严禁非主机系统管理人员对主机系统进行操作。第四章 安全管理第十六条 安全管理包括网络系统和主机系统的日常运维、策略管理和安全评估。第十七条 日常运维安全管理：（一）应建立系统运行日志，定期对系统运行日志进行安全审计，发现异常及时采取有效措施。（二）用户登陆密码采用由字母和数字共同组成的不低于8位的强口令，并定期更改。（三）系统升级、扩容以及参数修改等工作，需制定可行性方案（方案应包含详细的实施步骤、风险防范和应急方案），经信息化主管部门负责人审批后执行，工作完成后做好记录。（四）做好操作系统的系统升级、安装补丁、更改配置等工作，操作之前需对应用系统做好全备份。第十八条 根据网络结构，结合应用需求和安全要求，制定并部署有效的安全运行策略。第十九条 系统各企业按照国家、行业和集团公司相关信息安全标