IT网络安全管理程序

目的确保IT和网络安全。适用范围适用于本公司所有计算机及接口设备、存储装置、网络和数码资产安全。术语和定义无职责计算机部负责公司的计算机及接口设备的分配、管理和维护、网络安全管理。内容日常管理制度本公司禁止使用个有计算机、平板等电子设备办公，统一使用本公司配置的办公设备;除本部门负责人及操作员外﹐其他人不得使用计算机﹐如损坏计算机﹐由其按原买赔偿;各部门不得私自或请外人拆装及维修计算机;不得用公司计算机从事与工作无关的事情;各部门凡是需要用计算机设备或开通相关用户权限，必须先写《计算机系统用户使用申请表》审批后方可配备相关申请内容;各部门计算机分配到部门负责人处﹐如有计算机滥用及接口设备而导致损坏﹐由该部门负责人赔偿;公司计算机已经编号﹐分配到用户保护各自之财产﹐任何人不得私自更换他人之计算机设备。严重者导致设备损坏照价赔偿﹐并根据《员工手册》予以相应处罚;操作员若有不小心或误操作应先立即通知计算机部维修﹐不得自己动手﹐操作导致设备恶性循环损坏﹐操作员将负责全部损失费用。(依原价赔偿);任何计算机用户不得隋意删除他人计算机数据﹐否则会有相应条文予以处罚;数据应按类别进行分类归档﹐权限设定;每位计算机用户应对自己的数据进行分类存储﹐以便需时查找方便;人事，会计，报关檔由相关操作职员在对应人事、财务软件服务器和客户端保存并管理。非授权人员无权查看相关资料。备份指定IT管理员授权人员；存放重要数据的服务器配置备份网络磁盘驱动器，每周异地备份服务器上的重要数据，磁盘驱动器设定每天备份差异数据；限定介质仅能被授权IT管理员访问；备份完成后根据实际情况尽快将备份介质保管在可上锁的柜子内；限定备份软件仅能被授权执行备份的人员访问。FTP内网管理集中管理的数据存放在FTP服务器中，每个部门有自己独立的文件夹;各部门职员开通相应账号，只能存取修改本部门文件夹;在未授权情况下，非本部门账号无权浏览部门活页夹里的数据。账户和密码政策（包括通有帐户和网络帐户）所有IT账户是在通过工作描述、分配的职责或管理评审和批准对业务需求进行验证后才创建；所有用于访问存储在服务器、网站、共享驱动器、数据库、工作站或移动设备（例如，笔记本电脑、智能电话、平板计算机、计算机）的SIP数字资产的密码必须包括至少有8位数，由字符、大小写字母和数字组成,限制使用10次内重复的旧密码；公司每台电脑都有相应独立的用户和密码方可进入系统，为了更进一步管理，计算机部每3个月对公司所有计算机进行密码更换;禁止使用共享用户和组帐户;必须在每个服务器和工作站禁用所有默认的"Administrator"、"Root"、"PowerUser"、"SuperUser"和访客帐户并替换为配置有基于角色的权限的自定义用户。IT管理员每年至少对每个组账户及业务需求进行一次审核，撤销所有不具备合法业务需求的共享或组账户；计算机系统保留512KB容量大小的登录日志及应用程序日志（二个月），管理员账号可以在事件查看器中（eventvwr.msc）。用户锁定用户帐户在3次失败登录尝试后将用户锁定帐户2小时，用户向IT管理员申请，IT管理员核实后可以解除帐户锁定;用户帐户在不超过50次失败登录尝试后被锁定且只有IT管理员能够解锁账户。储存介质销毁和清空所有存放SIP数字文件的介质（包括硬盘驱动器、复印机硬盘、闪存驱动器、CD、DVD及备份磁带）必须被IT管理员清空方可离开供货商进行维修、更换或销毁;所有停用或停产存储介质必须被完全销毁，令他人难以从恢复介质中的资料;清空介质包括清除硬盘驱动器中的所有数据以防止其被轻易恢复。可以通过运行实用程序（如免费“HDDErase”）来彻底清除SIP数据，或采用物理方式销毁储存装置。离职人员或职位变更权限管理对公司人员辞职或岗位变动时，相关人员的计算机应由计算机部负责更改计算机密码和收回或变更相关权限。维护的呆滞账户管理IT管理员每季度对公司所有计算机进行检查维护；1个月未使用的计算机及呆滞帐户（休假的人员除外），将解除该计算机所有账号和密码及相关系统使用的帐户信息数据。识别非法入侵IT系统和数据安装入侵防御系统，它可以在线地检测网络和系统资源，发现攻击后能够实施有效的识别和阻断，防止攻击到达目标网络和数据；如计算机部发现非授权入侵IT系统或数据通知行政部按员工守则处理(如书面警告、解雇)，情景严重者移公安部处理。计算机病毒和恶意软件管理计算机病毒和恶意软件是用来窃取或破坏智能手机、平板计算机、计算机和网络数据的恶意软件。它们可能会对SIP和电子货物文件造成重大影响。本公司在在所有可访问SIP或电子货物文件的终端设备上安装定期更新的防病毒程序，将作为抵御病毒和恶意软件的第一道防线。在设置防病毒和反病毒解决方案时，使用广泛的保护并在发现新威胁时经常更新的技术。本公司在所有计算机上安装防火墙和杀毒软件，每天检查软件的更新情况。加密创建或存储SIP或电子货物文件的端点设备所有创建或存储SIP或电子货物文件端点设备，如计算机、硬盘、网上服务器，需要过行加密；密码设置原则请参考5.4账户和密码政策。网络安全确保网络安全，本公司在所有计算机上安装防火墙和杀毒软件，并每天检查更新；VPN需要设立独立用户账号和密码；DMZ主机就是在局域网当中设立一个主机，来放置一些可以从外部网络访问公用服务器，要设定安全的访问口令，需要安装安全的的杀毒软件；远程办公，本公司暂时不采用，如需要采用，需要满足以下条件：尽量采用可靠认证、加密通讯等技术进行远程办公或远程运维，科学设置访问策略并及时收回不必要的访问权限。尽量使用VPN、堡垒机等安全手段开展远程办公和远程运维工作。如无法紧急部署VPN、堡垒机，可采用具体安全防护措施的云部署模式等服务。应及时做好安全防护并加强监测。远程安全服务支撑，为重要业务系统提供更为全面的远程安全监测。所有登录internet需要IT开通权限，IT对内网运行的控制，包括对网络端口、网络浏览的控制，不能浏览与工作无关的网站。边界防御BoundaryDefense。保护IT基础设施不受外部威胁的最重要的部分是适当维护和定期更新的防火墙。然而，即使使用最先进的防火墙，现代IT基础设施的复杂性也意味着每天都会引入和发现新的威胁和漏洞。如果没有尽职调查，这些漏洞可能会导致敏感数据的泄露和妥协。一般来说，有两种方法来识别这些漏洞:漏洞扫描:识别操作系统和软件的漏洞。然后，它将把发现的漏洞与已知的数据库进行比较，并报告回来。在所有智能手机、平板计算机、计算机中安装漏洞扫描仪。渗透测试:执行定期渗透测试，以主动尝试利用识别的漏洞。这些测试需要由IT的专业人员在严格的合同和保密协议条款下进行。远程访问程序远程访问双方都进行了加密处理，其中包括用户登录时的口令；登录验证时间为2分钟；禁止root用户登录；最大尝试次数为6次；禁止空密码登录；登录验证方式

对于服务器的远程管理，除了用户帐户的安全控制以外，登录的方式也非常重要。两种验证方式——密码验证、秘钥对验证密码验证：以服务器中本地系统用户的登录名称、密码进行验证。这种方式最为简单，但从客观的角度来讲，正在连接的服务器有肯能被假冒，从服务器的角度来看当遭遇到密码窃取攻击时防御能力较弱。秘钥对验证：要求提供相匹配的秘钥信息才能通过验证，通常在客户机中创建一对秘钥档（公钥

私钥）然后将公钥放到指定服务器中，远程登录时系统将使用公钥、私钥进行加密/解密关联验证，大大曾强了远程管理的安全性。当密码验证、秘钥对验证同时启用时，对于安全性要求较高的服务器需要将密码验证禁用，反之两者可同时开启。避免使用假冒伪劣产品禁止使用假冒IT和网络安全产品；禁止使用盗版软件；IT工程师负责检查和监督；行政部负责处理;如有软件版权问题，需要汇报给政府机关和客户。IT设备的盘点和销毁每年一次对所有IT设备进行盘点；如果IT设备不能使用时，使用部门转交给IT部，由IT部写报废单；如果IT设备中有数据，IT需要在安全保密的条件下备份和清