[XXX公司网络与信息安全管理办法_V10

[在此处键入]XXX[在此处键入]第2页，共4页第一章总则第一条为了保护公司网络与信息系统的安全，促进公司信息化工作的健康发展，保障电网的安全稳定运行和公司的正常生产经营管理，根据《中华人民共和国计算机信息系统安全保护条例》等国家有关法律、法规，结合公司系统特点，制定本办法。第二条本细则所称的网络与信息系统是指XXX公司信息网及各单位内部的本地局域网络，以及在网络上运行的或未联网的所有信息系统（包括设备、设施、软件、数据等）。以下如无特殊说明网络与信息系统简称为信息系统。第三条网络与信息安全统一纳入公司的安全生产体系，遵循“统一领导、统一规划、统一标准、统一组织建设”和“谁主管、谁负责，联合防护、协调处置”的原则，实行“安全第一、预防为主，管理和技术并重、综合防范”的方针。第四条信息系统的安全保护，应当保障信息设备、设施的安全运行环境和安全，保障网络和信息系统功能的正常发挥，保障信息的安全，维护网络与信息系统的安全运行。第五条公司系统任何单位和个人不得利用信息系统从事危害国家利益、公司利益和职工合法权益的活动，不得危害信息系统安全。第六条本细则适用于公司系统本部及各基层单位，以下简称各单位。第二章安全要求第七条信息安全是信息化的有机组成部分，必须与信息化同步规划、同步建设。各单位在信息化建设中，要同步考虑信息安全建设。（一）网络系统建设中必须考虑网络设备的安全应利用网络服务本身提供的密码和身份认证手段，采用安全的登录协议，有条件的应考虑采用双因素身份认证。（二）主机系统应实施严格的口令策略，设立较复杂的用户口令，远程登录应采用安全的协议登录或采用双因素认证登录；删除系统中不必要的用户，检查系统中工作组是否包含了不应该有的用户，以防止其获得不应该有的访问权限。[在此处键入]第3页，共4页应根据操作系统的特点和要求，设置不同粒度的访问控制；应定期检查操作系统中用户的权限分配情况，应遵循最小特权的原则；启用系统自身的访问控制机制，限制登录的用户名、IP地址和登录方式等；检查可移动设备文件的文件权限，NFS配置和共享文件系统的权限控制。应建立良好的日志管理策略，对系统中主要的事件如用户登录地点、时间和期限，最后一次登录，本地登录等进行记录，确保日志文件存放空间大小满足要求；应确保日志存放地点的安全可靠。建立审计策略，包括登录、退出、文件和对象、账号管理、策略改变、启动和关机，进行跟踪。关闭不必要的系统服务，对外只提供要求的服务端口；取消不必要的网络协议。（三）数据库系统应实施严格的口令策略，设立较复杂的用户口令，用户口令应定期更换。远程登录应采用安全的协议登录或采用双因素认证登录；应定期检查数据库中是否有不必要的默认用户或测试用户；数据库管理员或其他帐号的密码不应写于应用程序或者脚本中；应按业务系统环境需求，对实例或数据库存取采取合适的认证方式。应根据数据库的特点和要求，设置不同粒度的访问控制；应定期检查数据库中用户的权限分配情况，应遵循最小特权的原则；应检查是否每个实例有单独的权限控制，不同的实例应设定不同的管理人员。应采取了良好的备份策略，以此能确保当数据库宕机时，或数据库数据存储媒体被破坏时以及当数据库用户误操作时，数据库数据信息不至于丢失。应定期对备份数据进行恢复性试验。应建立良好的日志管理策略，如循环日志、归档日志的错误日志等；应确保日志等存放的地点安全可靠。（四）业务系统业务系统应考虑与网络构架相符合，在体系构架上考虑安全性要求。数据流路径应符合安全策略要求，敏感数据应考虑加密传送。业务系统采用的存储方式和业务本身的要求应相符合，制定数据备份策略，重要数据应该考虑建立容灾系统进行异地备份。第八条应根据实际情况合理部署网络防病毒软件、防火墙、数据备份系统、入侵检测等[在此处键入]第4页，共4页各项安全技术设施，逐步完善形成有效的安全技术防护体系。（一）在网络中需要控制出入的地方应设置防火墙，并在防火墙上配置合理的安全策略对进出的信息包进行过滤；防火墙的安全策略应进行严格的审查和测试，并具有完整的实施方案；防火墙配置的更改应依照申请、审批、执行、测试的流程进行。防火墙要有管理人员，并经过培训；应对防火墙的运行情况进行实时监控，对防火墙的配置和日志定期审计；防火墙的配置应定期备份，并根据防火墙系统的重要程度考虑备用方案。（二）在网络中应合理部署入侵监测系统覆盖主要网络与主要服务器。入侵监测系统应配备管理人员，及时对所采集到的有关系统、网络、数据及用户的状态和行为等特征信息进行分析。将入侵监测日志与其它安全日志进行对照分析。（三）应定期或不定期的的对网络和服务器进行安全扫描。对漏洞扫描的日志应及时进行安全审计，并且归档。扫描软件所使用的攻击特征库应及时更新。第九条部署信息系统安全设施时应采用国家网络与信息安全主管部门认可的信息系统安全专用产品。第十条网络规划和建设中，要划分不同的安全区域。各个区域之间定义明确的边界，实施访问控制。加强对网络出入口的管理，控制网络的接入和联出。第十一条公司信息网按《XXX公司网络与信息系统安全隔离实施细则》分为信息外网和信息内网，实现双网物理隔离。第十二条公司信息网与因特网的互连由XXX公司信息中心统一规划，实行有限出口管制原则，任何单位和员工不得私自接入因特网。第十三条完善信息系统本身安全功能的建设，建立与其安全需求相适应的身份识别、安全认证、访问控制、防篡改、防抵赖等措施，防止任何人访问超越其权限以外的数据。第三章附则第十四条本管理规定自发布之日起开始实施；第十五条本管理规定的解释和修改权属于信息安全管理委员会；第十六条信息安全管理委员会每年统一检查和评估本管理规定，并做出适当更新。在业务环境和安全需求发生重大变化时，也将对本规定进行检查和更新。