44网络安全管理程序

浙江安迅电子科技有限公司浙江安迅电子科技有限公司 信息安全和 IT 服务管理体系文件 网络安全管理程序 AX 0044 2018 受控状态 受 控 分 发 号 版 本 A 0 持 有 人 网络安全管理程序 1 目的 为了确保公司信息系统网络安全 对公司网络安全活动实施控制 特制定本程序 2 2 范围范围 适用于对公司信息系统网络安全的管理 3 3 职责职责 3 1 综合部 负责网络安全措施的制定 实施 维护 3 2 相关部门 负责配合网络安全管理的实施 4 4 程序程序 4 4 1 1 总总则则 本公司信息系统网络安全控制措施包括 a 实施有效的网络安全策略 b 路由器等安全配置管理 c 网络设备的定期维护 d 对用户访问网络实施授权管理 e 对网络设备和系统的变更进行严格控制 f 对网络的运行情况进行监控 g 对网络服务的管理 4 4 2 2 网网络络安安全全策策略略 4 4 2 2 1 1 网网络络安安全全的的通通用用策策略略如如下下 a 公司网络管理员负责信息网络和系统安全 审核系统日志 系统日志的记录 内容和保存期限应符合 信息系统监控管理程序 b 网络管理员负责公司网络设备的配置和内部的IP地址管理 c 网络管理员应编制 网络拓扑图 描述网络结构并表示网络的各组成部分之 间在逻辑上和物理上的相互连接 d 网络管理员应根据需要增加 修改或删除网络过滤规则 符合数据传送的保 密性 可用性 使用最小化规则 e 任何个人不得擅自修改网络资源配置 网络权限和网络安全等级 4 4 2 2 2 2 路路由由器器设设备备安安全全配配置置策策略略如如下下 a 除内部向外部提供的服务外 其他任何从外部向内部发起的连接请求必须经 过公司总经理批准 b 除内部向外部提供的服务相关部分外 内部向外部的访问需经总经理批准 c 对设备的管理控制不对外提供 d 路由器的策略设定 应以保证正常通信为前提 在不影响通信质量的前提下 对指定的需要禁止的通信类型进行相应的禁止设定 e 路由器的设定应保证各个连接设备的兼容性 并考虑冗余和容错 f 路由器访问清单设定 依照连接对象及网络协议相关事宜制定访问清单加以过滤 依据路由器负载程度 将可能造成网络系统无法运作的通讯端口 制定 访问控制清单加以过滤 4 4 2 2 3 3 网网络络交交换换机机安安全全配配置置策策略略 a 网络交换机安全配置策略应考虑和周边网络设备的连接的兼容性 安全性 可靠性和可变性 b 网络交换机安全配置策略应尽量减少不必要的限定以保证合理的通信能力 4 4 3 3 网网络络设设备备配配置置过过程程 4 3 1 网络管理员根据安全配置策略和特定安全要求填写 网络设备安全配置表 在报经部门领导审核批准后 由网络管理员对网络设备参数进行配置 网络配置参数 必须要进行备份 4 3 2 网络配置参数变更时应修改 网络设备安全配置表 在报经部门领导审核批 准后 方可对网络设备配置参数进行变更 并对变更后的网络配置参数进行备份 4 4 4 4 网网络络设设备备标标识识策策略略 4 4 1 网络管理员应对网络设备进行标识 a 如果通信只能从某特定位置或设备处开始 则直接使用设备标识即可 b 设备内的或贴在设备上的标识符可用于表示此设备是否允许连接网络 c 如果存在多个网络 尤其是如果这些网络有不同的敏感度 这些标识符应清晰 的指明设备允许连接到哪个网络 d 对于网络上的自动设备 采用标识规范 PC 编号定义 即 PC 人名全拼 编号 识别码 来区分各个设备 4 4 5 5 网网络络端端口口配配置置策策略略 4 5 1 对于诊断和配置端口的物理和逻辑访问应加以控制 对于诊断和配置端口的访问可能采取的控制措施包括使用带钥匙的锁和支持程序 以控制对端口的物理访问 例如 这种支持程序是确保只有按照计算机服务管理人员 和需要访问的硬件 软件支持人员之间的安排 才可访问诊断和配置端口 如果没有特 别的业务需要 那么安装在计算机或网络设施中的端口 服务和类似的设施 应禁用 或取消 4 4 6 6 网网络络维维护护 4 6 1 网络设备维护按 信息处理设施管理程序 对网络设备进行维护 4 6 2 信息系统的变更应按 信息系统开发建设管理程序 进行控制 4 4 7 7 网网络络作作业业管管理理 4 7 1 网络设备安装 维护 采购人员购买网络设备后 进行网络设备安装 网络管理人员负责日常的网络设 备维护工作 网络通信设备安装应考虑装置场地的安全性 尽可能设置于有人员管制 的地点 并考虑通风散热问题 4 7 2 网络使用者管理 a 授权的网络使用者 以下简称网络使用者 只能在授权范围内访问网络资源 b 网络使用者应遵守网络安全规定 并确实了解其应负的责任 c 未经许可 禁止以任何仪器设备或软件工具监听网络上的通讯 4 7 3 网络安全管理 a 服务器应安装防毒软件 防止病毒在网络上扩散 b 网络使用者应定期对计算机病毒进行扫描 并了解病毒与恶意执行文件可能入 侵的管道 采取防范措施 c 网络使用者如检测到计算机病毒入侵或其它恶意软件 应立即断网 全体计算 机杀毒处理 避免计算机病毒扩散 d 计算机设备每季度至少要扫描病毒一次 e 网络设备口令应每隔六个月更换一次 口令长度为 8 位密码以上 其中口令组 成需包含英文大写 英文小写 数字及特殊符号的其中三项的组合 4 4 8 8 网网络络服服务务 4 8 1 公司提供Internet统一的接入服务 综合部负责就有关事宜与电信部门进行沟 通 4 8 2 公司负责提供电子邮件服务 综合部负责维护 4 8 3 对各应用系统提供设备 系统软件维护的第三方服务 按 相关方信息安全 和IT服务管理程序 进行 4 4 9 9 网网络络安安全全监监控控 4 9 1 监控网络活动 监控网络活动包括 防火墙系统 网络监控软件 杀毒软件等的活动情况 网络 管理人员要每天查看网络的流量统计及病毒监控情况 4 9 2 访问记录及系统事件审查 网络管理人员应定期审查访问记录及系统事件 并保留记录 记录应包括 防火 墙系统记录 防毒系统记录 网络管理人员应至少每季度对网络环境检测一次 发现 网络环境存在的弱点时 请管理人员执行修补 并确认发现的弱点是否改善 监控及 检测过程中若发现重大安全事件应按 信息安全事件管理程序 执行 4 9 3 检测的内容及周期 检测包括计算机的文件 扫描结果 系统或设备有大幅版本更新时应主动检测 当重大弱点发布可能造成严重损害应立即执行检测 4