网络管理办法

网络安全管理方法文件编号：秘密级别：修改记录日期版本说明修改者批准者批准时间第8页(共7页)目录第一章总则1第二章责任和权限1第三章网络规划建设原则1第四章网络体系结构管理2第五章网络互连管理3第六章网络安全配置4第七章网络安全管理4第八章网络审计管理5第九章评价和持续改进5第十章附录6第一章一般第一是为了加强XXXX(以下简称“公司”)计算机信息系统安全保护工作，防止网络安全风险，最大限度地减少网络故障造成的业务中断，以及确保公司办公室系统和生产系统的正常运行而专门开发的。第二种方法适用于整个公司的生产和办公网络运营管理和安全管理活动。第二章责任和权限第三个网络运营和维护部门负责生产和办公室网络体系结构的规划、设计、构建、运行、安全和网络设备和通信线路管理。第三章网络规划建设原则第四条网络计划遵循综合调整、规范和实用性的原则。第5条网络计划的基本步骤：(一)对信息系统的基本情况、功能特点、目标要求和安全风险进行科学评估，准确、全面地了解信息系统的网络要求。(b)制定总体计划和详细设计方案，制定安全控制措施和安全管理战略。(c)网络计划应综合考虑信息技术要素和业务需求和安全管理战略，用系统工程方法和思路制定总体计划，详细设计网络安全方案。第6条网络建设原则：网络安全设备示意图(a)高可用性；公司网络设计遵循高可用性原则，使用网络体系结构和技术来满足公司的业务开发需要。(b)高可靠性；采用高可靠性的网络产品和完整的网络备份策略，满足可靠性要求，对各种网络功能领域使用设备和线路进行不同级别的可靠性设计。(c)高度安全；网络建设利用单一网络安全设计思路，确保核心骨干、边缘访问多个部分网络访问的高安全性，可以在未来无缝升级到自我防御网络系统。(d)高标准化；信息系统的网络建设应参照国家和行业标准和规范进行设计和构建。(e)技术进步；网络设备既具备技术进步和产品成熟度，又具备必要的安全专用设备。(六)可管理性；网络系统必须具备网络设备、网络政策和通信线路管理的综合管理功能，建立网络管理中心，监控和管理通信线路和网络设备，确保安全稳定的网络运行。第四章网络体系结构管理网络设备冗馀图第七条核心网络领域的核心网络设备必须具备冗馀，以确保关键网络的可用性。第八条核心网络的整体拓扑结构需要严格的规划、设计和管理，一旦决定，就不能随意更改。第九条如果业务需要调整和更改网络的整体拓扑结构，请按照相应的更改管理过程验证更改后的网络拓扑结构。第十条网络边界区域必须部署安全设备，实施技术手段，提供网络隔离、安全监控和审计功能。第11条重要网络链路必须具有冗余，以确保网络链路的可靠性。第十二条网络结构应按照分层网络设计的原则进行规划，进行合理的分层配置和设计，使用适当的访问控制方法和技术将重要网段与其他网段隔离，以确保网络系统骨干的稳定性、访问安全、方便的扩展和管理、轻松的问题隔离和问题解决。第五章网络互连管理第十三条生产网络和办公网络必须进行网络隔离，通过防火墙的控制政策，实现生产网络和办公网络、内部网和外联网之间的访问控制。第十四条公司网络和国际互联网之间的访问必须采取防火墙隔离、入侵检测、DDOS预防攻击等安全措施，以确保公司网络安全。请参阅图1第15条生产网络和办公室网络内部应设置不同的安全域，通过VLAN、路由控制、访问控制列表等技术手段实现访问控制。第十六条生产网络禁止任何形式的无线网络访问，办公网络的无线网络访问需要信息技术部门批准，禁止未经批准的无线网络接入点(AP)连接到公司办公网络。无线访问办公室网络需要使用强身份验证、加密等安全技术手段。无线安全性实施方案第十七条对网络设备的用户申请和权限变更必须得到严格批准，按照最低权限原则，在用户离职或离职时，相应的网络访问权限必须及时撤销。第18条虚拟专用网(VPN)应采用隧道技术、加密技术、双因素身份验证等安全技术手段，以确保传输的数据不会被窥视或篡改，并防止非法用户访问公司信息。第六章网络安全配置第十九条网络设备应建立访问控制机制，避免未经授权访问网络设备。核心网络设备必须设置访问控制列表(ACL)和3A(身份验证、授权和审核)配置，以便分层管理访问权限。第二十条核心网络设备访问应采用智能令牌和密码等技术措施，实现双因素认证。第二十一条网络设备的远程管理必须使用HTTPS或SSH等安全方法，连接设备的管理端口必须得到信息技术部门相关人员的批准。第二十二条网络设备必须实现会话超时保护和多次登录失败后帐户锁定等安全机制，以防止对网络设备的未授权访问。第23条信息技术部门定期备份网络设备上的操作系统、配置和系统日志；要备份数据，必须安全地保留和保留双备份。第七章网络安全管理第二十四条公司的网络建设和改造必须使用符合国家标准或产业标准、具有资质的产品，工程方案经审查后方可实施。第二十五条信息技术部对网络服务提供商的网络服务要求必须包括网络服务的安全特性、服务水平、安全管理要求。第二十六条网络设备室应当根据网络设备构建环境要求。网线安装应使用专用管道，以采取防止窃听或损坏的保护措施。所有网络设备都必须识别。网络设备的使用必须得到信息技术部的批准和认可。第二十七条对网络服务的访问应当提交申请，经有关负责人批准后，根据完成工作所需的最低权限许可，如果不需要网络访问权限，应及时清除权限。第二十八条网络设备要定期进行健康检查，确保设备符合使用要求。第二十九条公司的网络IP地址应当实施综合规划和管理，便于网络维护和监控。第三十条信息技术部门应当实施网络的运行维护监控。网络设备必须实施适当的容量管理和监控措施，以确保网络性能、容量符合公司的业务开发需要。第八章网络审计管理第三十一条网络系统执行软件应当定期进行升级和补丁管理，确保及时处理网络设备安全漏洞。第三十二条网络设备应当打开日志功能，提供相应事件调查或网络安全审计所需的信息。第三十三条公司的网络设备必须采用可靠的时间源，以确保网络设备的时钟同步。第三十四条对公司网络设备要定期进行漏洞扫描，扫描中发现的安全问题要及时整顿。第三十五条未经授权进行网络检查、检测或嗅探等行为的人，必须申请网络运营和维护部门批准后才能实施。第九章评价和持续改进第三十六条网络运营维护部门应当对故障处理、维护记录等不规则事件造成的主机网络变更进行评估，提出合理有效的处理意见。第三十七条网络运营维护部门可以根据实际需要聘请外部专业