BGZ01004信息网络管理办法1

1、共17页第 PAGE 18页 共17页第 PAGE 17页2005年11月1日发布 2005年11月8日实施 共17第1页内部资料留意保存宝山钢铁股份有限公司管理文件文件编号：BGZ01004 第1版 签发：徐乐江 信息网络管理方法1 总则1.1目的1.1.1为加强宝山钢铁股份有限公司(以下简称：公司) 的信息网络管理工作,规范管理流程，明确各有关部门的职责，特制订本管理方法。1.2 适用范围1.2.1公司总部各部门、各分/子公司。1.3基本定义：1.3.1 信息网络: 指连接公司各类管理信息系统及用户终端的计算机数据通信网络，覆盖范围为公司互联区域、公司管理网区域、公司因特网出口系统以及各分

2、/子公司主干网。（参见附图1）1.3.2互联区域：是为公司总部及各分/子公司供应网络接入而设立的网络区域，互联区域担心装应用服务器和用户终端。1.3.3因特网出口系统：为公司供应特地的因特网出口服务而建立的总成系统，包括出口线路、网络设备、流量限制设备、邮件服务器、WEB服务器、域名服务系统（DNS）、虚拟专用网（VPN）系统、平安管理及审计系统等。1.3.4网站：是指以WEB方式呈现，用户通过阅读器能够进行访问的站点。依据网站内容可分综合类网站和专业类网站，凡内容涉及政治、经济、科技、教化、文化类以及宣扬本单位形象的称综合类网站，为工作须要进行业务操作及技术沟通的称专业类网站。依据网站服务范

3、围可分为内网和外网网站，内网网站只在公司内部范围进行信息发布，外网网站服务范围是整个因特网。2 职责分工2.1系统创新部2.1.1是公司信息网络归口管理部门，负责公司信息网络发展的规划和实施安排。担当互联区域以上（含互联区域设备、因特网出口系统设备）运行维护的对外托付及合同管理。2.1.2负责制定公司网络平安的标准、规范，建立公司信息网络平安体系。2.1.3负责信息网络的接入以及运行状态的监控、审计、评估管理，组织网络平安测评。2.1.4负责员工邮箱系统的统一规划及技术方案确定。2.1.5负责公司对外域名的注册管理，内部域名的统一规划、实施管理。2.2 办公室2.2.1 负责公司内部信息门户网

4、站的管理，进行该门户网站的综合管理、授权管理和日常运行管理。2.3人力资源部2.3.1负责供应个人邮箱的开通、变更、撤销管理中的人员信息。2.4企业文化部2.4.1负责外网网站内容的审查，统一指导和管理网站建设风格，负责全部网站内容的监督，提出网站内容整改看法。 2.5法律事务部2.5.1负责因特网域名注册审查及相关法律事务的管理，确定爱护性域名清单。2.6分/子公司2.6.1负责互联区域以下信息网络的管理，依据公司信息化规划的要求制定本单位信息网络发展的规划及实施安排并报系统创新部，负责本单位信息网络运行维护管理、子域名管理以及信息平安月报的编制。2.7个人用户全部运用网络的终端用户必需遵守

5、公司的网络、信息平安管理的各项规定，对其所发生的网络行为负责。3 管理规定3.1分级管理：公司对网络实行集中监控分级管理的原则，各分/子公司负责本单位的网络管理，划分原则以各分/子公司在互联区域的防火墙为界，防火墙内口指向者(包括此防火墙)为该单位责任者。3.2 IP地址管理3.2.1信息网络IP地址采纳A类保留地址/8，公司各部门及各分/子公司依据 IP地址安排规则进行运用。3.2.2各分/子公司可以在规划的地址段内自行划分成更小的子网进行管理、运用。3.2.3各分/子公司自行制定本区域范围内IP地址管理方法。IP地址可以采纳静态或动态安排方式，但必需确定上网机器与运用人的对应关系，使行为可

6、控，事务可查。3.2.4本管理方法之前已在运用的不符合IP地址规划的地址，在不引起地址冲突的前提下可接着运用，今后凡涉及改造和项目建设时则须改正，按公司IP地址安排规则执行。3.3网站及域名管理3.3.1禁止任何单位未经批准建立网站进行信息发布，申请网站时必需同时申报域名。3.3.2禁止公司各部门和各分公司单独建立因特网综合性网站，依据业务须要可建立专业性网站。已有独立域名的上述单位在保留原有域名的前提下启用新的baosteel 的子域，并将旧域名链接至新的域名，旧域名今后可依据实际状况作爱护性注册。3.3.3禁止公司各部门和各分公司以及全资、控股子公司干脆对外申请域名。 3.3.4非控股子公

7、司原则上不得运用baosteel 的域名。3.3.5各分/子公司原则上只建立一个内部信息综合网站，已有的部门网站要逐步向综合性网站集成，统一风格。3.3.6建站及域名申请流程(流程图见附件1)建站部门填写(表格编号BGZ01004-01),经各相关部门审核批准方可建站。3.3.7网站设立应与用户网段分别，建站单位对网站内容负责。3.3.8外部域名和内部域名采纳统一平台管理，对外DNS服务器解析外部域名，对内DNS服务器为内部域名的根服务器，各分/子公司可干脆应用根服务器或申请建立子域服务器。3.4接入管理3.4.1专线接入公司总部、各分/子公司通过专线接入信息网络互联区域。各分/子公司必需健全

8、网络平安的相关制度，建立相应的平安保障体系。各分/子公司要求接入公司互联区域网络时，必需达到“分/子公司或直属单位网络平安系统建设规范”规定的网络信息平安基本标准（附件2）。各分/子公司的网络要通过公司因特网的出口干脆访问因特网时，必需达到“分/子公司或直属单位网络平安系统建设规范”规定的网络信息平安高级标准（附件2）专线接入管理流程分/子公司填写并提交宝山钢铁股份有限公司专线接入申请表（表格编号BGZ01004-02），同时以书面形式供应相应材料，系统创新部组织相关专家进行技术评审。3.4.2拨号上网及VPN接入管理拨号上网及VPN运用申请必需注明运用期限,运用期限到期后必需按规定删除相应账

9、号。各分/子公司拨号服务器和公司VPN服务器默认平安策略只能访问到公司和各分/子公司的DMZ区。各分/子公司网络上的拨号服务器必需保留肯定比例的容量允许全公司范围的相关用户运用。拨号上网及VPN申请流程(附件3)各分/子公司管理本单位的拨号服务器，跨分/子公司申请拨号账号时须填写（表格编号BGZ01004-03），由被访问单位进行业务确认，交系统创新部进行审查，再交拨号服务器所在的分/子公司相关管理部门进行实施。VPN系统由系统创新部负责管理。VPN的连接分site-to-site和个人用户两类。用户填写申请表，系统创新部对site-to-site的申请进行需求、技术评审，审核批准后交运维部门

10、实施，对个人用户则进行需求审批，批准后交运维部门实施开通。申请拨号上网及VPN账号时如有对默认平安策略之外的服务器的访问，则需同时申请防火墙规则的开放。3.5防火墙管理3.5.1 防火墙管理遵守分级管理原则。3.5.2各分/子公司从内向外的防火墙平安策略可自行制定。3.5.3针对分/子公司应用系统的防火墙规则只对确定的IP地址开放特定的服务。3.5.4防火墙规则申请需注明运用期限，运用期限到期后必需按规定删除相应条目。3.5.5防火墙访问规则新增、变更管理流程(流程图见附件4)申请单位或资源开放部门如需新增或变更访问规则，应填写宝山钢铁股份有限公司防火墙访问规则开通、变更申请表（表格编号BGZ

11、01004-04），经被访问资源业务管理部门审批后，报系统创新部审查，系统创新部组织相关专家进行技术审查。技术审查通过后，系统创新部将申请单转至各分/子公司防火墙管理部门，各分/子公司依据业务需求，结合各自的平安策略进行访问规则的具体实施。3.5.6公司各部门和各分/子公司在应用系统设计时，如涉及跨越防火墙的访问或数据通信、数据库互连，必需在设计阶段先行报系统创新部审批，公司内部在统一通信规范的基础上，防火墙原则上不为单个应用打开特定的TCP/IP端口。3.6防病毒管理3.6.1防病毒管理遵守属地化管理原则, 预防为主，防杀结合。3.6.2系统创新部负责公司防病毒体系的总体规划，负责向国家和地

12、方主管部门汇报公司信息平安状况。3.6.3各分/子公司负责属地内的病毒防治管理工作，跟踪计算机病毒防治信息，刚好发布计算机病毒疫情公告及防范措施，负责病毒防治系统维护管理。3.6.4凡连接公司信息网络的计算机必需安装该属地内指定的操作系统补丁、计算机病毒防治软件，并定期查杀病毒。3.6.5计算机系统管理员及计算机运用人员须做好重要数据、文档的备份，以防止因病毒或其他因素造成系统无法复原而导致重要数据、文档的丢失。3.6.6进行下载、复制计算机文件等各种可能引起病毒传播的操作时，应对信息源包括存储介质进行病毒检测处理。3.6.7各分/子公司须将每月的病毒防治状况总结汇报系统创新部，发生大规模病毒

13、爆发时须刚好报告系统创新部，对因计算机病毒引起的计算机信息系统瘫痪、程序和数据严峻破坏等事故应刚好向系统创新部报告，由系统创新部统一向国家有关部门汇报。3.6.8不得制作、传播计算机病毒，即不得有意输入计算机病毒，危害计算机信息系统平安；不得有意或恶意向他人供应含有计算机病毒的文件、软件、媒体；不得发布虚假的计算机病毒疫情。个人计算机上发觉病毒并不能刚好清除时应先断开网络连接，刚好向防病毒管理部门汇报，等候处理。3.7因特网出口管理公司设有电子商务因特网出口和内部单位访问因特网出口。各联网单位不得为其内部网络自行另建因特网出口，确有必要另建因特网出口的，必需建立独立的网络，并与公司信息网络隔离

14、。3.7.2公司对因特网采纳地址转换机制，由系统创新部对因特网地址资源的运用进行规划，运维部门在规划范围内进行地址安排，定期将因特网地址资源运用状况报系统创新部。3.7.3系统创新部定期对公司因特网IP地址运用状况进行检查, 严格管理因特网IP地址的运用。3.7.4公司员工的因特网邮箱逐步统一至baosteel 邮箱。3.7.5对因特网出口系统的任何设备、软件、配置以及限制的变更(除日常运维工作)，须经系统创新部批准。3.7.6因特网出口带宽资源费用由公司统一出资，各运用单位进行成本费用分摊。3.8网络监控、评估管理3.8.1系统创新部对全公司信息网络的状态监控进管理。运维部门对于发觉的问题刚

15、好提出优化方案，系统创新部进行方案审查、组织实施。3.8.2系统创新部组织网络平安评估工作，对存在平安隐患的单位责令其整改，并对整改结果进行再评估。对整改不合格以致严峻威逼公司整体网络运行平安的单位，有权短暂断开其与公司网络的连接。3.8.3各分/子公司对本管理范围内的网络进行网络状态的监控及网络平安评估。4 故障状况应急处理的管理4.1故障状况是指公司网络上的重要设备出现故障，或是发生网络攻击、黑客入侵、病毒爆发等恶性事务，导致公司网络系统无法正常运行的各类状况。4.2公司总部及各分子公司应用系统必需制定上述网络故障状况下的应急预案，定期演练，不断完善，确保业务连续性。5 附则5.1本方法由

16、公司系统创新部负责说明。5.2各单位依据本方法制定实施细则。拟稿：王永涛 2005年10月30日审核：李庆予 2005年10月31日附图1附件1：宝山钢铁股份有限公司网站及域名申请流程附件2分/子公司或直属单位网络信息平安系统建设规范1名称说明1.1平安区域：依据不同的网络地址、网络服务定义，对不同的区域设置各自的平安级别。1.2防火墙系统：是一种置于不同网络平安域之间，通过平安策略限制通信流的访问限制设备。1.3平安评估系统：利用模拟黑客攻击手法，探测网络设备中存在的弱点和漏洞，在此基础上通过完善平安策略，降低平安风险。1.4入侵检测系统：将进入主机和网络的数据包与攻击特征库进行比较，识别出

17、非法企图并赐予响应，爱护网络和系统不受攻击，生成具体报表，为完善平安策略供应依据。2网络信息平安系统建设2.1要充分相识技术和管理双并举在信息系统平安防护中的必要性和有效性。要严格依据“谁主管谁负责、谁运营谁负责”的要求，落实责任部门，做到责任到人；要充分发挥现有网络与信息平安体系的作用，落实并加强日常防范工作；要制定配套的网络信息平安保障管理方法、细则以及应急预案。遇到重大网络信息平安事务，马上启动应急预案，进行快速处置。2.2网络信息平安建设应作为一个整体系统进行设计，平安产品的选型应尽考虑产品之间功能的联动。2.3内部网络体系2.3.1网络应依据“接入层”、“分布层”和“核心层”的架构进

18、行设计，分/子公司可依据自身规模适当调整。2.3.2网络要求实现适当的虚拟网（VLAN）划分，并实现VLAN之间的路由功能，建议不运用共享式设备（如：HUB）。2.3.3依据与内部生产业务的紧密程度，将分/子公司网络划分不同平安等级的网络区域（如：生产网、管理网等），并协作防火墙系统实现平安区域之间的访问限制。2.3.4分/子公司内部网络，应由一个统一的出口与公司互联区域网络连接，并在网络出口处及关键部位部署平安设施。2.3.5不允许分/子公司自行另建因特网出口，确有必要另建因特网出口的，必需另建独立的网络，并与已接入公司互联区域网络的 内部网络物理隔离。2.4防火墙系统2.4.1分/子公司在

19、与公司互联区域网络接入点处设置防火墙系统，用于实现内外访问的限制。2.4.2分/子公司可依据自身规模，在网络出口设置1或2道防火墙。2.4.3设置认证服务器，实现对分/子公司内部和外部用户的管理和授权，并在防火墙上制定相应的访问策略，实现用户出口的认证和审计等功能。2.4.4可依据自身须要对特别协议认证。2.5防病毒系统2.5.1构建立体防毒体系。依据实际规模选用“防毒产品集中控管”、“网关防毒”、“服务器防毒”、“邮件服务器防毒”、“一般PC防毒”等产品进行部署。2.5.2部署“网关防毒”产品，对经过网关的SMTP、HTTP、FTP数据流进行病毒扫描。2.5.3部署基于邮件服务器的防病毒软件

20、，对全部邮件进行病毒扫描。2.5.4部署基于服务器的防病毒软件，爱护分/子公司内部全部文件服务器和应用服务器。2.5.5部署网络版客户端防病毒软件，通过中心服务器实现客户端病毒代码的集中更新和自动分发。2.5.6部署“防毒产品集中控管”软件，用于管理和配置上述各种防毒产品。2.5.7全部防病毒软件需具有“预定”自动更新功能。2.6平安评估系统2.6.1利用平安评估系统定期扫描网络中全部重要的服务器及网络设备，进行平安漏洞检测和分析，并在执行过程中实现基于策略的平安风险管理。2.6.2应从不同的平安区域对相关设备进行扫描。2.6.3利用平安评估系统报告检测到的漏洞信息，包括位置、具体描述和建议的

21、改进方案，刚好调整，歼灭平安隐患。2.6.4刚好更新平安评估系统的代码库。 2.6.5平安评估系统可自购或外委。2.7入侵检测系统2.7.1在核心应用服务器、缓冲服务器以及其它重要服务器需部署入侵检测系统，用于爱护主机系统的平安。2.7.2分/子公司出口防火墙内侧必需部署基于网络的入侵检测系统，用以加固网络系统。2.7.3入侵检测系统须支持带外管理，其代码库必需刚好更新。2.8分/子公司对外数据交换2.8.1分/子公司与因特网进行数据交换的系统应安置在公司统一的对外缓冲区域内，并遵守该区域内的相关要求。2.8.2分/子公司与公司内部系统进行数据交换的系统应安置在分/子公司内部平安区域内。2.8

22、.3分/子公司核心应用系统实现对外数据交换和在线交易（电子商务）应符合以下第2.9条款相关要求。2.9对外缓冲服务器2.9.1在防火墙上设置非军事区（DMZ），在DMZ内部署缓冲服务器。2.9.2缓冲服务器用于分/子公司之间及与公司总部之间在线交易（电子商务）之间的通信。2.9.3核心应用系统实现对外实时数据交换必需经缓冲服务器进行。2.9.4核心应用系统之间的数据流采纳分段通讯的方式，内外数据交换采纳约定的通讯报文格式。2.9.5缓冲服务器与内部核心应用系统采纳专用协议进行通讯。3平安标准的划分以上第2.2、2.3、2.4条款为网络信息平安的基本标准，基本标准加上第2.5、2.6条款为高级标

23、准。假如子公司有核心应用系统与外部进行数据通信，则第2.7条款也作为基本标准之一。附件3：拨号及VPN申请流程附件4：防火墙访问规则新增、变更管理流程宝山钢铁股份有限公司网站及域名申请表 表号： BGZ01004-01申请单位:申请日期：联系人：联系电话：Email:网站类型： 内网 外网 综合类 专业类 网站名称：安装地点：域名：IP地址：防病毒状况已安装防病毒软件： 软件名称：未安装防病毒软件： 申请缘由(附技术方案)： 申请人： 日期：申请单位审核看法：审核： 日期： 企业文化部看法(综合类)审核： 日期：法律事务部看法(独立域名)：审核： 日期：运营改善部看法：审核： 日期：系统创新部

24、看法： 审核： 日期：实施单位实施状况： 实施责任人： 实施日期： 宝山钢铁股份有限公司专线接入申请表 表号： BGZ01004-02申请单位：联系人电话：Email:申请理由及公司网络及信息平安系统建设状况：（可附件） 申请单位(盖章)： 日期：网络接入方式DDN FR ATM 其它网络接入端口带宽 访问范围宝钢内网（ ） 因特网（ ）/因特网出口带宽（ ）M现有IP地址运用范围防火墙无（ ） 已有（ ）品牌型号接口数量接口运用数认证服务器无（ ） 已有（ ）软件名称版本软件平台硬件品牌防病毒系统无（ ） 已有（ ）PC防毒软件名称版本安装状况部分（ ）全部（ ）Server防毒软件名称版本安装状况部分（ ）全部（ ）邮件服务器防毒软件名称版本安装状况部分（ ）全部（ ）防毒网关软件名称版本扫描协议HTTP（ ）SMTP（ ）FTP （ ）扫描评估系统无（ ） 已有（ ）扫描评估软件名称版本同时扫描IP地址数入侵检测系统无（ ） 已有（ ）基