公司远程接入安全管理实施细则

1、远程接入安全管理实施细则L1第一章总则第一条 为加强（以下简称“”）省公司及各市分公司对远程接入的管理，保障在安全可控 的前提下实现远程维护、使用业务、获取数据等目的，根据国家要求及网络 与信息安全保障体系（NISS）总纲、远程接入安全管理办法、内控手 册（2007版）等公司相关规定，特制定本实施细则。第二条 远程接入应符合“谁主管、谁负责，谁接入、谁负责”总体原则，遵从“基于需求”、 “集中化”及“可控”等具体原则，并与维保方式改革相一致。通过规范申请、审批 等过程，实现安全接入。第三条 本细则适用于省公司及各市分公司通信网、业务网和各支撑系统维护部门，使 用相关系统的一般员工以及所有由于特

2、定目的、需要短期访问网络的合作伙伴， 如SP、CP、代维公司、设备供应商的支持人员等等。第四条“远程接入”特指从网络之外的其它场所，如家庭、酒店、交通途中、第三方办公 场所等，在逐次审批的前提下通过部署的拨号、CMNet、VPN或者综合维护接 入平台等方式，访问网络的情形。其它两个网络之间的互联管理要求参见网 络互联管理办法。第五条 本实施细则自发布之日起执行。第二章职责与分工第六条总体原则（一）“谁主管、谁负责，谁接入、谁负责”原则。通信网、业务网和各支撑系统的 维护部门作为第一责任人，分别直接负责所辖网络的远程接入管理工作；（二）“基于需求”原则。所有远程接入需求应符合业务发展、运维管理的

3、实际需要， 必须有明确的接入目的，接入所开放的访问权限（如访问时限、可访问时间 段、可发起访问的地址段、需要访问的系统、操作权限等等）应以满足而且 不超出实际需求为标准；（三）“集中化”原则。远程接入应尽量减少接入点，通过逐步设置集中的接入点， 为实现对远程访问的集中控管奠定基础；（四）“可控”原则。所有远程接入必须通过申请、审批、备案及审计，确保在安全 可控的前提下实现远程接入；（五）与维保方式改革思路相一致。非代维方式的厂家支持人员，原则上应在每次 接入前进行审批，并在接入完成后收回分配的帐号权限。第七条 网络安全职能管理部门：省公司网络与信息安全工作办公室作为网络安全职能 管理部门，其主

4、要负责：（一）落实上级主管部门宏观要求，配合上级部门完成必要的远程接入实施工作；（二）制定公司层面的远程接入管理办法；（三）对本公司或者下级部门远程接入管理实施细则执行情况进行定期审核、检 查。第八条 远程接入点管理部门：指所部署的拨号、VPN等远程接入手段的维护部门，省 业务支撑中心负责BOSS、客服等系统维护的远程接入点管理；省网管中心负 责通信网、业务网和网管系统维护的远程接入点管理；省发展计划部IT中心负 责信息管理系统维护的远程接入点管理；省网络部负责跨专业维护远程接入点 管理，主要负责为：（一）落实上级主管部门宏观要求，并配合上级主管部门组织实施的接入工作；（二）制定本部门的远程接

5、入实施细则；（三）接收、审批相关远程接入需求申请；对远程接入情况，如所辖范围内设置的 接入点数量、部署位置、用途、责任人等，保存相关数据；（四）组织制定、审核接入技术方案；按照支撑系统安全域划分与边界整合技术 要求、防火墙部署总体技术要求和具体的接入相关系统安全防护方案要 求、尤其是边界访问控制相关要求，明确对接入点的安全防护技术要求及管 理要求；（五）向远程接入需求人员提供接入能力，如发放接入设备中的帐号权限、VPN 客户端软件、设置接入配置数据，提供接入咨询；（六）远程接入人员权限到期或者接入任务完成后，应及时删除相应帐号或者修改 帐号口令；（七）负责审核本部门所辖网络的远程接入情况并产生

6、审核情况记录。对每次接入 进行实时监控，并定期审核远程操作记录，及时发现违规操作。第九条 远程接入需求人员：指为实现业务、管理、维护等目的而提出接入需求的部门 或人员，如各系统维护部门、业务部门、工程建设部门的相关人员，相关合作 伙伴，如SP、CP、代维公司、银行、设备供应商的相关人员等等。主要职责包 括：（一）按照接入审批要求，提出书面申请；（二）按照远程接入管理部门提出的安全技术要求和管理要求，配置用于访问的终端，确保安全接入；（三）访问结束后，如远程接入点管理部门有明确要求，应及时说明并终止接入；（四）不得将相关帐号、口令告诉其它人，或者用于其它目的，否则应承担由此引 起的一切后果。第三

7、章远程接入管理流程第十条远程接入申请阶段（-）远程接入需求人员按照远程接入管理部门制定的远程接入申请表格式要求， 填写申请表，申请方填写内容至少包括：申请单位、申请单位联系人、申请 单位负责人、拟接入的系统、申请目的描述（如访问哪些数据、进行什么维 护等等）、申请开通时间、接入有效期，如果申请人为第三方，单位负责人 需要签字盖章，并提交与签署的保密协议复印件或者协议序号；（二）提交远程接入管理部门。第十一条接入需求审批阶段（一）远程接入管理部门联合远程接入需求拟访问系统的维护人员，对接入申请进 行评估审核，对于信息不全、描述不够清晰的申请，应要求提供者补充完善； 对于需求目的不合理的申请，应予

8、以拒绝，并对其说明理由；（二）对合理的远程接入申请，应分配并配置相应接入点设备及拟访问系统中的帐 号，并通知需求人员；（三）远程接入管理部门对接入情况进行备案，以备查询、审计。（四）审批流程如下：第十二条远程接入阶段（一）需求人员按照接入管理规定具体要求，访问相关系统；（二）建立认证服务器，对所有远程接入访问进行认证，认证的用户名统一规范管 理，认证的用户与用户名必须一一对应，禁止使用公用的认证帐号。（三）远程接入的计算机终端（包括公司内部员工与第三方）不强制安全域与安装 NUMEN客户端，但建议有条件的计算机终端安装NUMEN客户端，通过 NUMEN用户名及密码认证及严格的终端合规性检查（操

9、作系统补丁、防病 毒软件版本及病毒定义、禁止无密码共享、禁止多网卡同时使用、规范计算 机名，合法登陆帐号及合规密码等）。（四）保留各专业的应急故障处理快速通道，各专业对应急故障处理快速通道的接 入进行严格审批。（五）远程接入点管理部门对远程接入的用户进行分级，限制访问权限，按照最小 权限原则分配访问权限，并对远程用户登陆过程进行记录（包括但不限于以 下信息：用户名、登陆方式、登入时间、登出时间）。（六）远程接入时由拨号服务器或VPN接入网关负责分配IP地址，并保证远程接 入用户获得的IP地址全部处于可控的范围内，只能访问指定的系统资源。（七）通过远程接入进入公司网络的远程用户必须对远程接入的认

10、证设备、用户名 和口令严格保密，禁止向无关人员提供访问权限。（八）通过远程接入进入公司网络的用户有责任保证其它无关人员不利用接入连 接访问公司敏感信息资源。（九）远程接入用户必须尊重他人的隐私，例如，不得故意搜索和拷贝、修改他人 的数据和文件，不得以任何方式窃取他人口令，不得访问非授权资源。（十）远程接入维护用户不得破坏公司网络和系统的完整性，例如不得开发或者安 装威胁和破坏系统和其它用户的程序。（十一）远程接入用户不得利用公司网络进行网络攻击行为（十二）远程接入管理部门及所访问系统维护人员应在需求人员接入过程中，监 控其重点或者高危操作情况，及时发现违规操作，并对除查询命令外的所有 操作记录

11、在“远程接入反馈表”中。第十三条远程接入终止阶段（一）访问完毕后，远程接入需求人员应按照远程接入点管理部门要求，及时声明 并终止接入。远程接入点管理部门应及时删除远程接入帐号或者修改该帐号 口令；（二）在需求人员远程接入过程中，如出现违反权限规定的操作，远程接入管理部 门应及时终止该接入人员的连接，并对其提出警告或者处理要求。第十四条特殊情况处理方法（一）为提高效率，对于员工、代维人员，可在严格管理的前提下，采用长期授权 方式进行授权，并按照移动帐号口令管理办法，指定开设的帐号责任人；（二）系统交维之前，可采用代维人员模式管理长期且固定的厂家维护人员的接入，交维之后，应按照按次审批的方式进行管

12、理。（三）在出现重大故障等紧急情况时，可在向接入需求人员及其公司、内部系统维 护人员简单核实人员身份和目的后，允许接入，但需要在事后及时补办相关 远程接入申请手续及填写相关远程接入反馈表。第四章审核管理第十五条远程接入管理部门应定期组织审核远程接入设备以及接入双方设备的运行情况，及时发现违反远程接入技术要求和管理要求的问并提出整改要求、监督落实。如发现存在严重违反相关要求的情况，应向网络安全职能管理部门和 主管领导汇报。第十六条网络安全职能管理部门应采用定期或者抽查方式，检查、审计、监督远程接入 管理各项要求、系统日志及远程接入访问策略的执行情况，对违反本实施细则 的行为要及时指正，对严重违反或者导致重大安全事件者要立即上报。第十七条对于违反以上规定的情况，将根据有关法律、法规、条例和公司内部管理办法, 视情节轻给予不同程度的处罚。第十八条任何员工及第三方对他人违反本规定的行为，有义务及责任提出更正意见；对 拒不改正的员工及第三方，应向有关部门举报。第四十一条第二十条第二十一条申请单位:第二十二条 申请单位联系人：第二十三条联系电话：第二十四条 申请单位负责人：第二十五条联系电话：第二十六条拟 接入系 统第二十七条第二十八条 第二十九条第三十条第三十一条申请目的描述