网络与应用系统安全系统管理系统规定

1、* 公司网络与应用系统安全管理规定第一章 总 则第一条 为贯彻中华人民共和国网络安全法 （以下 简称网络安全法 ）最大限度地消除互联网应用风险和隐 患,提高* 公司网络和应用系统安全防护水平 ,保障网络和应 用系统的安全和稳定运行 ,特结合 * 公司实际制定本规定。第二条 把网络与应用系统安全纳入公司发展规划和 预算管理。确立网络与应用系统安全在公司发展中的重要地 位，将网络与应用系统安全预算资金集中投入，统一管理， 专款专用。第三条 加强网络与应用系统安全队伍建设，将人才培 养与推进信息化安全结合起来，提高全员信息化应用安全水 平。第四条 制订公司全员信息化安全管理和应用培训计 划，开展信息

2、化安全应用相关培训，不断提高公司对网络和 应用系统安全的认识和应用水平。第五条 本规定基本内容包括：网络管理、设备管理、 系统安全管理、机房管理、数据安全管理、信息安全管理、 应急处理。第二章 网络管理第六条 建立网络管理台账，掌握本单位的网络结构及终端的接入情况，做到条理清楚、管理到位。（一）所有网络设备 （包括防火墙、 路由器、 交换机等） 应归 *部统一管理，其安装、维护等操作应由 * 部工作人员 进行，其他任何人不得破坏或擅自进行维修和修改。同时， 登录网络设备密码应遵循复杂性原则， 且位数应不低于 8 位。（二）建立租用链路管理台账，包含但不局限于以下内 容：链路供应商、本端接口、对

3、端、技术参数等日常维护信 息。（三）建立网络拓朴图，标注线路连接、设备功能、 IP 地址、子网掩码、出口网关等常用管理信息。（四）局域网原则上应实行静态 IP 管理， IP 地址由 * 部统一分配，并制定“IP地址分配表”，记录IP地址使用人、 MAC 地址、电脑操作系统等信息。（五）IP 地址为计算机网络的重要资源，公司员工应在* 部的规划下使用这些资源，不应擅自更改。（六）公司内计算机网络部分的扩展应经过* 部批准，未经许可任何部门不应私自将交换机、集线器等网络设备接 入网络。（七）* 部负责不定时查看网络运行情况，如网络出现 异常时及时采取措施进行处理。（八）公司网络安全应严格执行国家网

4、络安全法，对在网络上（包括内网和外网）从事任何有悖网络安全法律 法规的活动者，将视其情节轻重交有关部门或公安机关处 理。第三章 设备管理第七条 做好日常维护和保养，掌握正确的操作使用方 法和规程，减少设备的故障率，确保设备能够正常和可靠运 行。（一）建立设备管理台账， 应包含以下内容： 设备型号、 序列号、设备配置、技术参数、运行时间、保修期限等日常 维护信息；（二）服务器电源应保证冗余电源，有条件的情况下采 用双路电源接入。对于运行重要应用系统的服务器设备，还 应配备不间断（UPS）电源，以避免非常规断电造成服务器 设备的物理损坏。 UPS 负载必须保持在总负荷 80 以下， 并且定期对 U

5、PS 设备进行检测，确保设备运行正常和有效；（三）相关管理人员应定期对各设备进行巡检，查看设 备运行日志，监测设备，并填写“巡检情况记录” ；（四）严禁撕毁、涂画或遮盖IT 设备标签，或未经 *部备案擅自调整部门内部计算机信息系统的配置；（五）计算机终端用户因主观操作不当导致设备、设施 损坏，应承担相应修复费用，不能修复的应按所损坏设备、 设施的市场价值予以赔偿；蓄意破坏设备、设施的，除照价 赔偿外，还应视情节严重给予行政处罚；（六）终端设备，特别是笔记本电脑等移动设备应采用 实名制，不得赠送、出借、出售给他人使用。第四章 系统安全管理第八条 系统安全管理应充分利用现有资源，完善相关 的管理制

6、度和流程，保证安全系统有效、稳定和可靠运行。（一）设置防火墙安全策略时，应考虑隔离病毒传播、 非授权访问的通道等方面的内容，而且策略应注明用途，避 免冗余策略的产生；（二）按照不同的访问权限，在核心交换机、路由器设 置不同的访问控制策略；（三）不定期开展对服务器进行安全扫描，针对发现的 漏洞及时补漏加固。（四）移动存储设备（优盘、移动硬盘等）必须进行病 毒扫描确认无毒后，方能接入服务器；（五）各应用系统管理员登录密码应遵循密码复杂度原 则，且位数不应少于 8 位；（七）定期查看各应用系统、终端操作系统相关安全公 告，根据需要下载操作系统相关补丁安装包，进行测试后对 服务器进行升级；（八）禁止在

7、机房服务器上安装与系统应用无关的软 件，并且安装软件要确认安装包的安全性，安装和卸载软件 应做好相应记录；（九）公司员工应定期对所配备的计算机终端的操作 系统、杀毒软件等进行升级和更新，并定期进行病毒查杀；（十）公司员工应妥善保管根据职责权限所掌握的各 类办公账号和密码，严禁随意向他人泄露和借用；（十一）经远程通信传送的程序或数据，必须经过安全 检测确认无病毒后方可安装和使用；（十二）定期组织灾难恢复演习，提高相关管理人员的 应急反应能力，确保恢复过程安全、迅速和有效；（十三）重大节假日之前，相关人员应对网络、各应用 系统进行巡检，确保节假日期间网络和各应用系统运行安 全、稳定和有效。第五章机

8、房管理第九条 对机房进行科学、规范管理，确保计算机网 络、各应用系统安全、高效和稳定运行。（一）采取措施确保机房设备物理安全；（二）机房温、湿度达到电子计算机机房设计规范国家标准（GB50174-93 ）要求；（三）未经公司授权且机房管理人员在场监督，任何人 不得自行配置、更换或挪用机房内的路由器、交换机和服务 器以及其他通信设备等；（四）严禁携带易燃易爆和强磁物品及其它与机房工作 无关的物品进入机房；（五）机房定期做好清洁除尘工作，未经机房管理人员 同意严禁无关人员进入机房。第六章 数据安全管理第十条 高度重视各类数据备份的重要性，制定备份策 略，并定期进行恢复检查，确保备份数据的安全和有效

9、。（一）服务器磁盘采用冗余磁盘阵列 （ RAID ）容错方式， 以避免磁盘因物理损坏而造成数据丢失；（二）制定数据备份策略， 对服务器操作系统、 数据库、 文件进行备份，根据数据重要性、更新频率要求设置备份频 率；（三）定期对备份数据进行还原测试，确保备份数据的 安全性和有效性；（四）计算机终端用户必须将重要数据存放在计算机硬 盘中除系统盘分区 （一般是 C 盘 ）外的硬盘分区。计算机信 息系统发生故障，应及时与 * 部联系并采取相应数据保护措 施；五）计算机终端用户未做好备份前不能删除任何硬盘 数据。对重要的数据必须准备双份，存放在不同的地点；对 采用光盘等介质保存的数据，必须做好防火、防潮

10、和防尘工 作，并定期进行检查、复制，防止介质损坏，丢失数据。第七章信息安全管理第十一条 加强涉密信息的安全管理工作，严格落实 内、外网物理隔离，做到“涉密不上网，上网不涉密”（一）对涉密的设备运行和使用情况进行定期检查；（二）涉密的电脑不得接入局域网，更不能直接接入互 联网使用。涉密电脑因工作需要必须接入内网或者互联网 时，原使用者应进行资料清理后再进行使用；（三）涉密电脑密码不得向无关人员泄露，必须定期进 行更换，原则上至少每半年更换一次，而且密码应具有一定 复杂性；（四）规范和细化存储介质的使用范围，如用于处理敏 感信息的存储介质，不应处理和传输涉密信息，更不得在连 接互联网的计算机上使用

11、；（五）员工具有信息保密的义务。任何人不应利用计算 机网络泄漏公司机密、技术资料和其它保密资料；（六）计算机终端用户计算机内的资料涉及公司机密 的，须为计算机设定开机密码或将文件加密；凡涉及公司机 密的数据或文件，非工作需要不得以任何形式转移，更不得 透露给他人。离开原工作岗位的员工由所在部门负责人将其 所有工作资料收回并保存；（七）严禁外来人员对计算机数据和文件进行拷贝或抄 写以免泄漏公司机密，对公司各应用系统登录账号不得相互 知晓，每个人必须保证自己帐号的唯一登陆性，否则由此产 生的数据安全问题由其本人负全部责任。第八章 应急处理第十二条 制定网络安全应急处理预案，明确责任，日 常管理及日

12、常处置的应急要求。当发生网络安全事件时，及 时启动应急处理程序，调动有关资源作出响应，降低安全事 件对网络运行的影响。（一）当黑客攻击时的应急处理措施1、当发现服务器内容被篡改，或通过防火墙发现有黑 客正在进行攻击时 ,首先将被攻击的服务器等设备从网络中 隔离出来，同时向网络安全与信息化领导小组汇报情况；2、网络管理员负责被破坏系统的恢复与重建工作；3、故障排除后，尽快恢复网络连接。（二）病毒安全应急处理措施1 、当发现网络中有计算机感染病毒后，立即将该机从 网络上隔离出来；2、对设备的硬盘进行数据备份；3、启用杀毒程序进行杀毒处理，同时进行全网查毒，对其他机器进行病毒扫描和清除工作；4、如发

13、现杀毒程序无法清除该病毒，应作好相关记录， 同时立即向网络安全与信息化领导小组报告，并迅速联系有 关产品供应商进行沟通、研究和解决。（三）数据库系统应急处理措施1、如发现是数据库故障导致应用系统不能运行，由应 用系统相关部门应用管理员负责查找故障原因，并进行恢 复；2、如问题不能解决，应联系应用系统服务商进行技术 支持或现场服务；3、如服务商也无法解决故障，启用备份恢复系统，将 数据库恢复至最近的备份时间点；4、故障排除后，应恢复应用系统，并进行验证性测试。（四）应用系统应急处理措施1、如发现是应用系统软件故障导致应用系统不能运行， 由相关部门应用系统管理员查找故障原因，并进行恢复；2、如应用系统管理员不能解决故障，应立即联系应用 系统开发商进行技术支持或进行现场服务；3、如开发商也无法解决故障，启用备份恢复系统，将 应用系统恢复至最近的备份时间点；4、故障排除后，应恢复应用系统，并进行验证测试。（五）互联网线路中断应急处理措施1、网络管理员发现问题或接到报告后，应迅速判断故 障节