网络与应用系统安全管理规定

.*公司网络和应用系统的安全管理规定第一章总则第一条为贯彻中华人民共和国网络安全法 (以下简称网络安全法 )最大限度地消除互联网的应用风险和危险，*为提高公司网络和应用系统的安全保护水平，保障网络和应用系统的安全稳定运行，*公司配合实际制定本规定第二条将网络和应用系统安全纳入公司发展规划和预算管理。 网络和应用系统安全在公司发展中确立重要地位，集中投入网络和应用系统安全预算资金，统一管理，使用专款。第三条加强网络和应用系统安全队伍建设，人才培养与信息化安全相结合，提高全员信息化应用安全水平。第四条制定公司全员信息化安全管理和应用培训计划，开展信息化安全应用培训，不断提高公司对网络和应用系统安全的认识和应用水平。第五条本规定的基本内容包括网络管理、设备管理、系统安全管理、机房管理、数据安全管理、信息安全管理、应急处理。第二章网络管理第六条设立网络管理登记表，掌握本部门网络结构和终端接入情况，做到有条不紊的管理。(1)所有网络设备(包括防火墙、路由器、交换机等)必须由*部统一管理，其安装、维护等操作应由*部工作人员进行，其他任何人不得破坏或擅自修理或修改。 同时，登录网络设备的口令必须是8位或更多，以符合复杂性原则。(二)设立租赁链接管理总帐，包括但不限于： 日常维护信息，如链路提供者、本地接口、对等端和技术参数。(3)制作网络拓扑图，显示线路连接、设备功能、IP地址、子网掩码、出口网关等一般管理信息。(4)LAN原则上实施静态IP管理，IP地址由*部统一分配，制作IP地址分配表，记录IP地址使用者、MAC地址、电脑OS等信息。(5)IP地址是计算机网络的重要资源，公司员工必须在*部计划下使用这些资源，不得随意变更。(6)公司内部计算机网络部分的扩展必须得到*部的批准，未经许可的部门不得擅自将交换机、集线器等网络设备连接到网络上。(7)*部有责任不定期查看网络运行情况。 例如，网络发生异常时，立即采取措施处理。(八)公司网络安全应严格执行国家网络安全法，网上(包括网和网)有违网络安全法律法规活动者，其情节轻重由有关部门和公安机关处理。第三章设备管理第七条进行日常维护，掌握正确的操作使用方法和规程，减少设备故障率，确保设备正常可靠运行。(1)制作设备管理总帐，应包括设备型号、序列号、设备配置、技术参数、运行时间、保修期等日常维护信息(二)服务器电源保证冗馀电源，有条件时采用双插槽电源访问。 运行关键应用程序系统的服务器设备还必须包括不间断(UPS )电源，以确保服务器设备不会因为非常断电而受到物理损坏。 UPS负载应维持在总负载的80%以下，定期检查UPS设备，确保设备正常有效(三)有关管理人员应定期巡检各设备，查阅设备运行日志，监视设备，填写“巡检情况记录”(四)严禁打破IT机器的标签，涂画，隐藏，不经*部的申请擅自调整部门内的计算机信息系统的配置(五)计算机终端用户因主观操作失误造成设备、设施损坏，应当承担相应的修复费用，无法修复时应当按损坏的设备、设施市场价值赔偿，故意损坏设备、设施，除按价格赔偿外，还应当根据情节严重给予行政处罚(六)终端设备，特别是笔记本电脑等移动设备采用实名制，不得赠与、借出、销售给他人。第四章系统的安全管理第八条系统安全管理应充分利用现有资源，完善相关管理制度和程序，保证安全系统的有效、稳定、可靠运行。(1)设置防火墙安全策略时，应考虑隔离病毒传播、非法访问信道等内容，且策略应注明用途，避免冗馀策略的产生(2)根据不同的访问权限为核心交换机和路由器设置不同的访问控制策略(3)不定期实施服务器安全扫描，针对发现的漏洞迅速加强陷阱。(4)移动存储设备(usb磁盘、移动硬盘等)可以在访问服务器之前进行病毒扫描以确认其无毒(5)各应用系统管理员的登录密码应遵循密码复杂性原则，比特数必须在8比特以下(7)定期查看各应用系统、终端的操作系统相关安全公告，必要时下载与操作系统相关的补丁安装软件包，进行测试后升级服务器(8)禁止在机房服务器上安装与系统应用程序无关的软件，在安装软件时，必须确认安装软件包的安全性，并记录软件的安装和卸载(九)公司职工应定期升级配备的计算机终端操作系统、防病毒软件等，定期进行病毒检查(十)公司职工应妥善保管根据职责权限掌握的各类事务账号和密码，严禁随意泄露或借用给他人(11 )远程通信转发的程序和数据，必须在安全检查确认没有病毒后安装使用十二要定期组织灾难恢复演习，提高相关管理人员的应急能力，确保恢复过程安全、迅速、有效(十三)在重大假日之前，有关人员对网络、各应用系统进行巡检，确保假日期间网络和各应用系统运行的安全、稳定、有效。第五章机械室管理第九条科学规范地管理机房，确保计算机网络、各应用系统的安全、高效、稳定运行。(一)采取措施确保机房设备的物理安全；(二)机房温度、湿度达到电子计算机机房设计规范国家标准(GB50174-93 )(三)未经公司许可，由机房管理员在场监督的，任何人不得自行配置、更换、挪用机房路由器、交换机和服务器及其他通信设备(4)严禁携带易燃易爆物品和强磁性物品等与机械室工作无关的物品进入机械室(5)机房定期清扫，严禁未经机房管理人员同意无关的人进入机房。第六章数据安全管理第十条重视各类数据备份的重要性，制定备份策略，定期进行恢复检查，确保备份数据的安全有效性。(1)服务器磁盘为了防止因物理损坏导致的数据丢失，采用冗馀磁盘阵列(RAID )容错方式(2)制定数据备份策略，备份服务器操作系统、数据库和文件，并根据数据的重要性和更新频率要求设置备份频率(3)定期恢复测试备份数据，确保备份数据的安全性和有效性(4)计算机的最终用户必须将重要的数据存储在计算机的硬盘中。 计算机信息系统发生故障时，应立即与*部联系，采取相应的数据保护措施(5)除非计算机最终用户备份，否则无法删除硬盘数据。 备有两份重要数据，使用不同场所必须保存的光盘等媒体保存的数据，要做防火、防潮、防尘工作，定期检查、复印，防止媒体损坏，丢失数据。第七章信息安全管理第十一条加强机密信息安全管理，严格执行内外网物理隔离，实现“机密不上网，不上网”。(一)定期检查紧密设备的运行和使用情况；(二)有关的计算机不得访问局域网，不得直接访问因特网使用。 相关的计算机因工作原因必须连接内部网和互联网的情况下，原来的用户必须在整理好数据后才能使用(3)有关电脑的密码不得泄露给有关人员。 必须定期交换。 原则上半年更换一次。 而且密码必须有一定程度的复杂性(4)规范、细分存储介质的使用范围，如用于处理敏感信息的存储介质，处理和传输敏感信息，不得在连接至因特网的计算机上使用(五)工作人员有保密信息的义务。 任何人不得利用计算机网络泄露公司机密、技术资料和其他机密资料(六)电脑终端用户电脑内资料涉及公司机密的，电脑必须设定启动密码，或文件加密的公司机密相关数据或文件，除工作外不得以任何形式转让，不得泄露给他人。 离开原单位的职工由所属部门负责人收回所有工作资料保存(7)严禁外部人员复制或抄写计算机数据和文件泄露公司机密，互不知道公司各应用程序的注册账号。 每个人都要保证自己账号的唯一登记性。 否则，由此产生的数据安全问题由本人负责。第八章应急措施第十二条制定网络安全应急预案，明确责任、日常管理和日常处置应急要求。 如果发生网络安全事件，启动应急处理程序并调动相关资源进行应对，减少安全事件对网络运行的影响。(一)黑客攻击时的应急措施；1 .发现服务器内容被篡改或者黑客通过防火墙发现受到攻击时，首先将受攻击的服务器等设备与网络隔离，向网络安全和信息化领导队伍报告情况2 .网络管理员负责恢复和重建被破坏系统3 .故障诊断后尽快恢复网络连接。(二)病毒安全应急处理；1 .一旦网络发现计算机感染了病毒，立即将其与网络隔离2 .对设备的硬盘进行数据备份3 .启用防病毒程序进行防病毒，同时对所有网络进行病毒检查，对其他设备进行病毒扫描和清除作业4 .防病毒程序被发现无法消除病毒的情况下，制作相关记录，同时立即向网络安全和信息化领导小组报告，迅速与相关产品的供应商联系，进行沟通、研究和解决。(三)数据库系统应急处理；1 .如果发现应用程序系统由于数据库故障而无法正常工作，则应用程序系统相关部门的应用程序管理员可以确定故障原因并进行恢复2 .如无法解决问题，应联系应用服务提供商提供技术支持或现场服务3 .如果运营商无法解决故障，则启用备份恢复系统以将数据库恢复到最新的备份点4 .故障诊断后恢复应用程序系统并进行验证测试。(四)应用系统应急处理；1 .当应用程序系统发现软件故障导致应用程序系统无法运行时，相关部门的应用程序系统管理员可以找到故障原因并恢复故障原因2、应用系统管理员无法解决故障时，应立即请求应用系统开发人员提供技术支持或提供现场服务3 .如果开发人员无法解决故障，则启用备份恢复系统以将应用程序系统恢复到最新的备份点4 .故障诊断后恢复应用程序系统并进行验证测试。(5)因特网线路中断应急处理1 .网络管理员在发现问题或收到报告后，应迅速判断故障节点并确