- 网络安全防护指南

-网络安全防护指南一、总则（一）适用范围。本指南适用于本单位所有信息系统、网络设备及数据资源的防护管理，涵盖日常运维、应急响应、安全审计等全生命周期环节。各单位必须严格执行本指南规定的技术标准和管理要求，确保网络安全防护工作规范化、制度化。（二）基本原则。网络安全防护工作必须坚持“预防为主、防治结合”的原则，落实“谁主管谁负责、谁运营谁负责”的责任体系，实现安全防护与业务发展的平衡统一。二、组织架构与职责（一）权责划定。各单位主要负责人是第一责任人，分管领导是直接责任人，技术部门负责人是具体责任人，全体员工必须履行网络安全保密义务。（二）部门分工。信息中心负责网络安全基础设施的建设与运维，安全管理部负责安全策略制定与监督执行，各业务部门负责本部门信息系统安全使用管理。（三）工作机制。建立网络安全委员会统筹协调机制，每月召开例会研判风险，每季度开展专项检查，重大安全事件必须24小时内上报至委员会。三、技术防护措施（一）边界防护。所有接入外部网络的出口必须部署防火墙，采用状态检测技术，严格限制非授权访问，禁止使用默认口令。（二）入侵检测。部署入侵防御系统（IPS）对网络流量进行实时监控，发现攻击行为必须立即阻断并记录日志，每周分析检测报告调整规则库。（三）终端安全。所有办公终端必须安装杀毒软件，每月更新病毒库，禁止私自从互联网下载安装软件，禁止使用U盘等移动存储介质传输涉密数据。（四）数据加密。核心数据传输必须采用SSL/TLS加密，存储数据必须进行加密处理，禁止明文传输或存储敏感信息，定期对加密密钥进行轮换。（五）漏洞管理。每月开展系统漏洞扫描，高风险漏洞必须72小时内修复，中低风险漏洞必须90天内修复，所有补丁必须经过测试验证。四、安全管理制度（一）访问控制。实行最小权限原则，用户账号必须设置强口令，采用多因素认证机制，禁止使用共享账号，定期审计账号权限。（二）安全审计。所有系统操作必须记录日志，日志保存期限不少于6个月，每月抽取10%日志进行人工核查，发现异常必须调查溯源。（三）安全培训。新员工入职必须接受网络安全培训，每年开展不少于4次全员培训，考核不合格者禁止接触信息系统，培训内容必须纳入绩效考核。（四）应急响应。制定网络安全应急预案，明确响应流程、处置措施和责任分工，每半年开展应急演练，演练结果必须纳入部门考核。五、数据安全保护（一）数据分类。按照涉密等级将数据分为核心、重要、一般三类，核心数据必须存储在物理隔离的环境中，重要数据必须进行备份。（二）备份恢复。每月对核心数据进行完整备份，每周进行恢复测试，备份数据必须异地存储，禁止与生产系统存放于同一机房。（三）销毁管理。废弃数据必须采用专业设备销毁，禁止直接删除或粉碎，销毁过程必须全程录像，记录销毁时间、内容和责任人。六、安全检查与评估（一）日常检查。每周开展网络安全巡检，检查内容包括设备运行状态、策略执行情况、日志记录完整性，发现问题必须立即整改。（二）专项检查。每季度开展全面安全检查，重点检查边界防护、漏洞修复、数据加密等环节，检查结果必须形成报告并逐级上报。（三）风险评估。每年开展网络安全风险评估，识别关键信息基础设施，制定针对性防护措施，评估结果必须用于完善安全策略。七、附则（一）本指南自发布之日起施行，原有规定与本指南不一致的以本指南为准。（二）各单位必须根据本指南制定实施