网络安全管理办法

《XXXX安全管理制度汇编》网络安全管理办法文件名称网络安全管理办法密级内部文件编号版本号V1.0编写部门XXX部门编写人审批人发布时间安全管理制度汇编第2页共7页目录编制说明..................................................................................................................................................3第一章总则............................................................................................................................................4第二章网络安全要求............................................................................................................................4第三章附则............................................................................................................................................7第一节文挡信息................................................................................................................................7第二节版本控制................................................................................................................................7第三节其他信息................................................................................................................................7安全管理制度汇编第3页共7页编制说明为进一步贯彻党中央和国务院批准的《国家信息化领导小组关于加强信息安全保障工作的意见》及其“重点保护基础信息网络和重要信息系统安全”的思想、贯彻信息产业部“积极预防、及时发现、快速反应、确保恢复”的方针和“同步规划、同步建设、同步运行”的要求，特制定本制度。本制度依据我国信息安全的有关法律法规，结合XXXX的自身业务特点、并参考国际有关信息安全标准制定的。《XXXX安全管理制度汇编网络安全管理办法》加强了安全事件应急响应管理能力，规范安全事件应急响应流程，涉及的应急响应是指各系统发生严重和重大安全事件时应启用的应急响应管理。安全管理制度汇编第4页共7页第一章总则第一条制度目标：为了加强信息安全保障能力，建立健全的安全管理体系，提高整体的网络与信息安全水平，保证网络通信畅通和业务系统的正常运营，提高网络服务质量，在安全体系框架下，本制度为规范网络安全的运行维护，保护作为信息传输基础的网络基础设施的安全，保障网络服务的可用性和信息传输的机密性。第二条适用范围：本制度由网络与信息安全工作组制订，适用于各部门使用的网络中涉及网络设备、网络设计、运行、边界保护、监控和审计方面的安全规定。本制度所述的网络设备包括网络设备和使用在网络环境中的安全设备，如路由器、交换机、防火墙、入侵检测系统及网络监控设备。第三条使用人员及角色职责：本制度适用于安全管理员，部门安全管理员、安全技术人员及系统管理员。第四条制度相关性：本制度涉及网络的安全技术规范、安全检查及监控等管理办法，同时遵照相关专业技术文档。第二章网络安全要求第五条各系统网络设备当前运行配置文件应和备份配置文件保持一致。第六条各系统网络设备的配置变更应根据本办法严格执行。第七条网络设备登录提示标识应适当屏蔽内部网络信息内容，并应有相关合法性警告信息。第八条各系统管理员应每季度检查网络设备登录方式的开放情况，关闭没有使用的登录方式。第九条通过设备日志或外部认证设备维护对设备的登录状况，内容应当包括访问登录时间，人员，成功登录和失败登录时间和次数等信息。第十条严格控制对网络设备的管理授权。按照最小权限原则对用户进行授权。安全管理制度汇编第5页共7页第十一条各系统网络设备的密码应严格按照《XXXX安全管理制度汇编账号、口令及权限管理办法》执行。第十二条各部门应每季度收集设备运行状况，通过运行记录和供应商了解目前已有设备的硬件/软件缺陷，跟踪设备缺陷的修复情况，及时向部门信息安全组织和信息安全工作组汇报，作为设备选型/厂商选择的参考指标。第十三条负责网络设备维护的人员应与网络设备厂商保持畅通的沟通联系，以便能及时从厂商处获取必要的技术支持。第十四条严禁管理员透漏设备口令、SNMP字符串、设备配置文件等信息给未授权人员。第十五条所有网络必须具有关于拓扑结构、所用设备、链路使用情况等关于网络情况的详细说明文档，并保持文档内容和现有网络、设备连接和链路信息保持一致。第十六条网络应具备冗余设计和规划，实现基本的冗余配置，预防关键点的网络故障。应配备冗余链路、核心和汇聚层的冗余设备，配置冗余路由以充分保障网络的可用性。第十七条对重要区域实行冷备份与热备份相结合的方式，避免双重失效造成的影响。第十八条网络冗余措施应根据预先制定的冗余配置、设备、线路等测试方案每季度进行验证测试，以判别是否满足冗余要求。第十九条网络管理员或安全管理员对网络链路应进行探测和监控，并对已经发生的安全事件进行及时响应和处理。第二十条重要部门在网络上传输机密性要求高的信息时，必须启用可靠的加密算法保证传输安全。第二十一条在网络中选择和使用恰当的路由协议，并正确地进行配置和实施，保证网络的互联互通。第二十二条由统一的IP地址管理机构、人员负责对外部和内部各个部门、人员的IP地址进行规划、登记、维护和分配。确保各个部门有足够的地址容量并有一定的冗余供扩展使用。第二十三条对于重要区域应单独分配地址段，用于专门的网络设备互联，不与其他用户混用，以利于安全措施的使用。安全管理制度汇编第6页共7页第二十四条维护和记录IP地址的使用情况，及时关闭和回收被废止的地址。第二十五条未经部门或信息安全组织批准，测试网络与内部网络不能直接连接。第二十六条未经部门或信息安全组织批准，严禁职工私自设立拨号接入服务。第二十七条未经部门或信息安全组织批准，严禁职工通过拔号方式对外部网络进行访问。第二十八条所有的远程访问必须具备身份鉴别和访问授权控制，至少应采用用户名/口令方式，通过Internet的远程接入访问必须通过VPN的连接，并启用VPN的加密与验证功能。第二十九条不同安全域之间应采用防火墙，路由器访问控制列表等方式对边界进行保护。只开放必要的服务和端口，减少暴露在网络外部的风险。第三十条对于重要的系统需要在防火墙上对信息流的内容按照一定方式进行边界过滤。第三十一条根据业务变化及时检验更新现有的防火墙配置制度，满足新的安全需求。第三十二条采取逻辑或物理隔离方法对网络采取必要的隔离措施，以维护不同网络间信息的机密性，解决网络信息分区传输的安全问题。第三十三条在网络中的重要位置应部署网络监控设备或者采用人工手段，监控采集网络中的流量和事件，设备运行情况等信息，分析发掘异常事件。第三十四条网络中各设备应开启日志记录功能，对网络使用情况进行记录。第三十五条建立网络中的审计体系，应当对审计结果中的异常信息和长期性事件趋势进行分析。安全管理制度汇编第7页共7页第三章附则第一节文挡信息第三十六条本制度由业务科技处制定，并负责解释和修订。由信息安全工作组讨论通过，发布执行。第三十七条本制度自发布之日起执行。第二节版本控制第三十八条对本制度所有修改及审批、发布都按时间顺序记录在此。版本日期修改内容修改人审批人V1.02012年月日文档定稿第三节其他信息第三十九条本制度中所称的人员角色职责由各部门人员分别担任，可能现有岗位的职工在不同时期所担任的角色不同，甚至身兼多种角色，这种情况下该职工应该履行所兼每种角色的安全职责。第四十条《XXXX安全管理制度汇编》定义了信息安全体系的整体结构、安全组织及各角色岗位的职责、以及覆盖各项安全内容的安全管理制度。所有职工均应把《XXXX安全管理制度汇编》的规定作为信息安全工作的基本要求，其内容一经颁布将在一定时间内长期有效，其涉及的所有部门或个人均需对其负责。