网络数据和信息安全管理规范资料

XXXX公司WHB-08战斗机网络数据和信息安全管理规范版本号： A/0作者： XXX审核者： XXX批准者： XXX20XX年x月x日发售20XX年x月x日实施1.0目的计算机网络为公司的局域网提供网络基础平台服务和互联网接入服务。 为保证公司计算机信息和网络安全可靠运行，充分发挥信息服务的重要作用，为公司运营提供服务，根据国家法律法规的规定，根据公司实际情况制定本规定。2.0术语本规范中的名词用语(例如“计算机信息安全”等)满足国家和行业的相关规定。2.1计算机信息安全是指防止和控制信息财产故意或偶然非法泄露、变更、破坏或信息被非法系统识别。 这意味着确保信息的完整性、机密性、可用性和可控性。 包括操作系统安全、数据库安全、防病毒、访问控制、加密和认证等7个方面。2.2狭义的计算机信息安全是指防止有害信息在计算机网络上传播和扩散，防止在计算机网络上处理、传输、存储的数据资料被盗和破坏，防止内部人员利用计算机网络制作、传播有害信息或进行其他违法犯罪活动。2.3网络安全是指保护计算机网络正常运行，防止网络入侵、攻击等，保证合法用户正常接入网络资源和正常使用网络服务。2.4计算机和网络安全人员是指从事保障计算机信息和网络安全工作的人。2.5一般用户是指在物理或逻辑上可以访问因特网、企业计算机网络和除计算机和网络安全之外的应用系统的内部人员。2.6主机系统是指所有计算机系统，包括服务器、工作站和个人计算机。 本规定中的重要主机系统是指生产、事务用的Web服务器、Email服务器、DNS服务器、OA服务器、企业运营管理支援系统服务器、文件服务器、各主机系统等。2.7网络服务。 包括通过开放接口提供的网络服务(WWW、Email、FTP、Telnet、DNS等)。2.8有害信息见国家现行法律法规的定义。2.9严重的计算机信息安全事件是指公司对外网站(电子公告栏等)出现有害信息的有害信息通过电子邮件或其他方式广泛传播，或者是影响大社会的计算机病毒蔓延的重要文件、数据、资料被删除、篡改， 由于被盗安全问题导致系统崩溃、部分或全部网络宕机、部分或全部网络服务被侵入的页面被非法替换或修复时主机房和设备被人为破坏、重要计算机设备被盗等事件。3.0组织结构和责任分工3.1公司成立计算机信息和网络安全指导组，作为公司计算机信息安全工作的领导机构，统一负责外部部门(政府和其他部门)的计算机信息安全工作和特定事件的处理。3.3计算机信息和网络安全指导小组指导、检验、监督和制定信息安全战略、规章制度和措施，加强计算机信息安全业务的管理和指导，执行国家计算机信息安全法律、法规和高级相关规定，保障公司计算机信息安全。3.4计算机信息和网络安全工作实行“谁负责”原则，各部门负责人直接负责该部门的计算机信息和网络安全。3.5各部门应由计算机技术人员配备本部门的计算机和网络安全人员，向公司的计算机信息和网络安全指导组提交备案。 各部门计算机和网络安全人员负责本部门计算机信息和网络安全技术计划和安全措施的具体实施和执行。3.6相关岗位信息安全责任：3.6.1计算机和网络安全人员：一、负责本部门计算机信息和网络安全工作的具体实施，及时掌握和处理有关信息安全的问题。2 )定期或不定期检查本部门的计算机信息和网络安全状况，发现安全漏洞和危险性，及时报告，提出改进意见、建议和技术措施。3 )指导、监视、检查本部门员工在计算机信息安全、数据保护、账户、密码设置中使用的情况。4 )发现计算机信息安全问题，及时处理，保护现场，追踪原因，报告部门计算机信息安全指导组。5 )定期分析和处理计算机安全系统日志。六)验证本部门关键数据保护对象的安全控制方法和措施的有效性，提出不符合安全控制要求的技术改进措施，验证实施本部门的数据备份策略。7 )负责管理的计算机主机系统和网络设备的安全管理和安全设置。8 )负责管理的计算机主机系统和网络设备的用户帐户和许可证管理。9 )必须定期分析操作系统日志，定期或不定期检查系统进程，在发现异常系统进程或系统进程数量的异常变化时立即处理。10 )指导用户设置高安全帐户密码和安全日志，并提示用户。11 )消除和修复计算机信息安全事件，包括操作系统、应用程序系统、文件恢复和安全漏洞修复。12 )在已知良好的系统升级后，安全地重新配置系统并在技术上安全地检查系统。13 )根据上级和本级计算机信息安全领导的要求，按照规定的程序进行系统升级和安全补丁的安装。十四)管理本部门的计算机网络服务和应对端口，实施注册记录和技术安全管理。15 )根据数据备份策略，完成要管理的系统数据的备份、备份介质的存储和数据恢复。3.6.2一般用户角色：一)自觉遵守计算机信息和网络安全的法律、法规和规定；2 )负责使用的电脑设备和数据以及业务系统帐户的安全。3 )发现该部门计算机网络存在的安全危险和安全事件，立即报告部门计算机管理部门。4 )不得擅自安装和维护公司的所有网络设备(包括路由器、交换机、集线器、光纤和网线)，不得擅自访问网络。3.7各部门应保持计算机与网络安全人员的相对稳定，加强计算机与网络安全人员的教育和技术培训。 如果计算机和网络安全人员由于调动、离职或其他原因离开原来的工作场所，则必须立即更改或取消其用户帐户和权限。4.0系统安全规定4.1公司计算机房由计算机管理部门管理，建立出入登记和审查制度。 携带计算机设备、磁盘等存储介质进出主机房的，经主管部门同意，由机房管理员进行检查登记。4.2各部门计算机管理部门指定负责人负责本部门计算机设备的管理，对计算机设备的追加、修理、调动等进行审查和管理。 对计算机设备进行维修，尤其是在需要离开现场进行维修或者向企业外部人员承包维修的情况下，要验证该设备中是否存有企业的秘密、不应公开的内部资料和账号、密码等，采取拆除硬盘、有效删除相关资料等有效措施4.3使用、操作计算机设备时，应遵循以下安全要求1 )保管自己使用或负责保管计算机设备的账户密码，不得定期交换密码，不得转让账户。2 )历史不明，不得安装或使用没有着作权的软件，对于外来软件、数据文件等，必须接受病毒检查，确认没有感染，携带病毒后再使用。3 )不要在个人使用的计算机上安装与工作无关的软件。4 )不擅自变更设备的IP地址、网络拓扑、软件、硬件构成。5 )对于包含重要数据的计算机，请设置启动密码和屏幕保护密码。6 )在电脑上安装防病毒软件，打开实时病毒监视功能，实时升级病毒库和软件。7 )未经计算机管理部门有效许可，不得扫描网络安全(漏洞)，利用不得监听帐户、密码、数据包的网络服务实施网络攻击，散发病毒，传播有害信息。 在网络设备或主机系统上的操作应当遵循有关网络安全的规定。5.0帐户管理安全性5.1帐户设置必须遵循“唯一性、必要性、最小许可”原则。唯一原则是每个账户可对应于一个用户，并且不允许多个人共享同一个账户。必要性原则是帐户的建立和分配应根据工作需要进行，不能根据个人需求和职务进行分配，禁止与正在管理的主机系统无关的人在系统上拥有用户帐户，根据工作变动适时关闭不需要的系统帐户最低认可原则是严格限制账户权限，其权限不得超越工作和业务需求。 超出正常权限范围的，应由主管领导审查。5.2系统中的所有用户(包括超级权限用户和一般用户)都应注册并定期审查。5.3严禁用户将自己拥有的用户帐户转让给他人使用。5.4如果员工发生工作变更，则必须重新审核帐户的必要性和权限，并立即取消不必要的帐户和帐户权限。如果员工离开本部门，则必须立即取消帐户。5.5本部门的应用系统、网络工程检验后，应当立即删除系统内的所有测试账号和临时账号，重新设置保留的账号密码。5.6系统管理员应定期审查系统上的帐户和使用情况，在发现可疑用户帐户时立即进行验证，进行相应的处理，锁定长期未使用的用户帐户。5.7一般不允许外部人直接进入主机系统操作。 在特殊情况下(如系统维护、升级等)，外部人员必须进入系统操作，系统管理员必须登录并记录操作过程。 禁止将系统用户和密码直接传递给外部用户。6.0密码安全管理6.1密码的选择、构成、长度、修改周期必须符合安全规定。 请勿使用名称、姓氏、电话号码、生日等容易推测的字符串作为密码，也不要使用单词作为密码。 密码配置必须包含不同的字符组合，如大小写、数字和标点符号，密码长度必须至少为8位。6.2关键主机系统必须至少每月更改一次密码，管理工作站和个人电脑必须至少每两个月更改一次密码。6.3重要的主机系统必须采用一次性密码和其他可靠的认证技术。6.4本地保存的用户密码加密保存，防止用户密码泄漏。6.5软件安全管理：6.1安装和使用起源不明、没有版权的软件。6.2不要在重要的主机系统上安装测试版软件。6.3开发、修改应用系统时，要充分考虑系统的安全和数据的安全，从数据的收集、传输、处理、存储、访问控制等方面论证，测试、检测时也要进行相应的安全性能测试、检测。6.4操作系统和应用程序根据其本身存在的安全漏洞及时进行必要的安全设置、升级和安全补丁。6.5不得在电脑上安装与工作无关的软件。 禁止在服务器系统上安装与服务器提供的服务或应用程序无关的其他软件。6.6系统设备和应用程序软件登录可能的攻击尝试，警告未经授权的访问。6.7必须注册主机系统的服务器、工作站使用的操作系统。 注册记录必须包括制造商、操作系统版本、安装的修补程序编号以及安装和升级时间，并且必须存档和保存。6.8关键主机系统在启用、重新安装或升级系统时建立系统镜像，并在出现网络安全问题时使用系统镜像检查系统完整性。7.0服务器、网络设备、计算机安全系统(防火墙、入侵检测系统等)等具备日志功能，必须启用。 网络信息安全管理员定期分析网络安全系统和操作系统日志，在发现系统受到攻击或攻击尝试时采取安全措施进行保护，定位和跟踪网络攻击或攻击尝试并发出警告系统日志必须保存3个月以上。8.0新的计算机网络、应用系统必须同时进行网络信息安全设计。9.0互联网信息安全9.1公司对外网站应定期进行安全检查，设置相关信息的发布、管理权限，防止有害信息的传播。9.2各部门构建的电子邮件系统禁止启用匿名转发功能，并按照有关规定采取技术、管理上有效的措施，过滤垃圾邮件和有害信息。10.0数据安全性10.1需要保护的重要数据至少包括：一)重要文件、资料、图纸(电子版)。2 )会计系统数据库。3 )关键主机系统的系统数据。四)其他重要数据。10.2各部门计算机管理部门应制定数据备份战略和关键数据灾难恢复计划，及时进行数据备份和恢复。10.3备份数据需要明确的记录，记录中明确记载了备份内容、备份时间、备份作业人员等信息。 重要数据的备份必须存储在异地，并且必须创建相关的异地备份记录。10.4各部门必须每年至少进行一次数据备份策略的有效性验证，实验数据恢复过程，确保安全问题发生时能够从数据备份中恢复。10.5各部门计算机管理部门注册管理系统中存储的数据，注册内容主要是需要保护的数据、存储场所、存储形式、安全控制方法和措施、负责安全管理和日常备份的人员、能够访问数据的用户、访问方式和权限。10.6具有企业机密性和高机密性要求(密码文件等)的数据在传输、保管时必须加密。10.7禁止不采用安全保护机制的计算机存储重要数据，存储重要数据的计算机至少需要启动密码、登录密码、数据库密码、屏幕保护等保护措施。 禁止在电脑上保存重要的数据。10.8不得以软盘或笔记本电脑等形式将重要数据从系统中带出。 确实需要的时候，必须用安全可靠的加密手段加密保存数据，将保存的软盘和笔记本电脑与加密文件进行对照管理。11.0安全管理11.1各部门对本部门的计算机信息和网络安全性应进行定期检查检查1 )系统安全检查应每月检查、检查一次2 )防治计算机病毒每月至少要全面检查一次3 )每月必须检查一次数据备份。11.2检查发现计算机信息和网络安全问题，组织安全问题，不能及时处理的，应采取有效措施预防网络信息安全事件和事件的发生。11.3电脑信息和网络安全事件发生时，应立即组织人员妥善处理，防止扩散影响。 触犯刑法者，应保存证据，报公安机