网络和应用系统安全管理规定

**企业网络与应用系统安全管理要求总则第一条为落实《中华人民共和国网络安全法》（以下简称《网络安全法》）最大程度地消除互联网应用风险和隐患,提升**企业网络和应用系统安全防护水平,保障网络和应用系统安全和稳定运行,特结合**企业实际制订本要求。第二条把网络与应用系统安全纳入企业发展规划和预算管理。确立网络与应用系统安全在企业发展中主要地位，将网络与应用系统安全预算资金集中投入，统一管理，专款专用。第三条加强网络与应用系统安全队伍建设，将人才培养与推进信息化安全结合起来，提升全员信息化应用安全水平。第四条制订企业全员信息化安全管理和应用培训计划，开展信息化安全应用相关培训，不停提升企业对网络和应用系统安全认识和应用水平。第五条本要求基本内容包含：网络管理、设备管理、系统安全管理、机房管理、数据安全管理、信息安全管理、应急处理。第二章网络管理第六条建立网络管理台账，掌握本单位网络结构及终端接入情况，做到条理清楚、管理到位。（一）全部网络设备（包含防火墙、路由器、交换机等）应归**部统一管理，其安装、维护等操作应由**部工作人员进行，其余任何人不得破坏或私自进行维修和修改。同时，登录网络设备密码应遵照复杂性标准，且位数应不低于8位。（二）建立租用链路管理台账，包含但不局限于以下内容：链路供给商、本端接口、对端、技术参数等日常维护信息。（三）建立网络拓朴图，标注线路连接、设备功效、IP地址、子网掩码、出口网关等惯用管理信息。（四）局域网标准上应实施静态IP管理，IP地址由**部统一分配，并制订“IP地址分配表”，统计IP地址使用人、MAC地址、电脑操作系统等信息。（五）IP地址为计算机网络主要资源，企业员工应在**部规划下使用这些资源，不应私自更改。（六）企业内计算机网络部分扩展应经过**部同意，未经许可任何部门不应私自将交换机、集线器等网络设备接入网络。（七）**部负责不定时查看网络运行情况，如网络出现异常时及时采取方法进行处理。（八）企业网络安全应严格执行国家《网络安全法》，对在网络上（包含内网和外网）从事任何有悖网络安全法律法规活动者，将视其情节轻重交关于部门或公安机关处理。第三章设备管理第七条做好日常维护和保养，掌握正确操作使用方法和规程，降低设备故障率，确保设备能够正常和可靠运行。（一）建立设备管理台账，应包含以下内容：设备型号、序列号、设备配置、技术参数、运行时间、保修期限等日常维护信息；（二）服务器电源应确保冗余电源，有条件情况下采取双路电源接入。对于运行主要应用系统服务器设备，还应配置不间断（UPS）电源，以防止非常规断电造成服务器设备物理损坏。UPS负载必须保持在总负荷80％以下，而且定时对UPS设备进行检测，确保设备运行正常和有效；（三）相关管理人员应定时对各设备进行巡检，查看设备运行日志，监测设备，并填写“巡检情况统计”；（四）禁止撕毁、涂画或遮盖IT设备标签，或未经**部立案私自调整部门内部计算机信息系统配置；（五）计算机终端用户因主观操作不妥造成设备、设施损坏，应负担对应修复费用，不能修复应按所损坏设备、设施市场价值给予赔偿；蓄意破坏设备、设施，除照价赔偿外，还应视情节严重给予行政处罚；（六）终端设备，尤其是笔记本电脑等移动设备应采取实名制，不得赠予、出借、出售给他人使用。第四章系统安全管理第八条系统安全管理应充分利用现有资源，完善相关管理制度和流程，确保安全系统有效、稳定和可靠运行。（一）设置防火墙安全策略时，应考虑隔离病毒传输、非授权访问通道等方面内容，而且策略应注明用途，防止冗余策略产生；（二）按照不一样访问权限，在关键交换机、路由器设置不一样访问控制策略；（三）不定时开展对服务器进行安全扫描，针对发觉漏洞及时补漏加固。（四）移动存放设备（优盘、移动硬盘等）必须进行病毒扫描确认无毒后，方能接入服务器；（五）各应用系统管理员登录密码应遵照密码复杂度标准，且位数不应少于8位；（七）定时查看各应用系统、终端操作系统相关安全公告，依照需要下载操作系统相关补丁安装包，进行测试后对服务器进行升级；（八）禁止在机房服务器上安装与系统应用无关软件，而且安装软件要确认安装包安全性，安装和卸载软件应做好对应统计；（九）企业员工应定时对所配置计算机终端操作系统、杀毒软件等进行升级和更新，并定时进行病毒查杀；（十）企业员工应妥善保管依照职责权限所掌握各类办公账号和密码，禁止随意向他人泄露和借用；（十一）经远程通信传送程序或数据，必须经过安全检测确认无病毒后方可安装和使用；（十二）定时组织灾难恢复演练，提升相关管理人员应急反应能力，确保恢复过程安全、快速和有效；（十三）重大节假日之前，相关人员应对网络、各应用系统进行巡检，确保节假日期间网络和各应用系统运行安全、稳定和有效。第五章机房管理第九条对机房进行科学、规范管理，确保计算机网络、各应用系统安全、高效和稳定运行。（一）采取方法确保机房设备物理安全；（二）机房温、湿度达成《电子计算机机房设计规范》国家标准（GB50174-93）要求；（三）未经企业授权且机房管理人员在场监督，任何人不得自行配置、更换或挪用机房内路由器、交换机和服务器以及其余通信设备等；（四）禁止携带易燃易爆和强磁物品及其它与机房工作无关物品进入机房；（五）机房定时做好清洁除尘工作，未经机房管理人员同意禁止无关人员进入机房。数据安全管理第十条高度重视各类数据备份主要性，制订备份策略，并定时进行恢复检验，确保备份数据安全和有效。（一）服务器磁盘采取冗余磁盘阵列（RAID）容错方式，以防止磁盘因物理损坏而造成数据丢失；（二）制订数据备份策略，对服务器操作系统、数据库、文件进行备份，依照数据主要性、更新频率要求设置备份频率；（三）定时对备份数据进行还原测试，确保备份数据安全性和有效性；（四）计算机终端用户必须将主要数据存放在计算机硬盘中除系统盘分区(通常是C盘)外硬盘分区。计算机信息系统发生故障，应及时与**部联络并采取对应数据保护方法；（五）计算机终端用户未做好备份前不能删除任何硬盘数据。对主要数据必须准备双份，存放在不一样地点；对采取光盘等介质保留数据，必须做好防火、防潮和防尘工作，并定时进行检验、复制，预防介质损坏，丢失数据。第七章信息安全管理第十一条加强涉密信息安全管理工作，严格落实内、外网物理隔离，做到“涉密不上网，上网不涉密”。（一）对涉密设备运行和使用情况进行定时检验；（二）涉密电脑不得接入局域网，更不能直接接入互联网使用。涉密电脑因工作需要必须接入内网或者互联网时，原使用者应进行资料清理后再进行使用；（三）涉密电脑密码不得向无关人员泄露，必须定时进行更换，标准上最少每六个月更换一次，而且密码应具备一定复杂性；（四）规范和细化存放介质使用范围，如用于处理敏感信息存放介质，不应处理和传输涉密信息，更不得在连接互联网计算机上使用；（五）员工具备信息保密义务。任何人不应利用计算机网络泄漏企业机密、技术资料和其它保密资料；（六）计算机终端用户计算机内资料包括企业机密，须为计算机设定开机密码或将文件加密；凡包括企业机密数据或文件，非工作需要不得以任何形式转移，更不得透露给他人。离开原工作岗位员工由所在部门责任人将其全部工作资料收回并保留；（七）禁止外来人员对计算机数据和文件进行拷贝或誊录以免泄漏企业机密，对企业各应用系统登录账号不得相互知晓，每个人必须确保自己帐号唯一登陆性，不然由此产生数据安全问题由其本人负全部责任。第八章应急处理第十二条制订网络安全应急处理预案，明确责任，日常管理及日常处置应急要求。当发生网络安全事件时，及时开启应急处理程序，调动关于资源作出响应，降低安全事件对网络运行影响。（一）当黑客攻击时应急处理方法1、当发觉服务器内容被篡改，或经过防火墙发觉有黑客正在进行攻击时,首先将被攻击服务器等设备从网络中隔离出来，同时向网络安全与信息化领导小组汇报情况；2、网络管理员负责被破坏系统恢复与重建工作；3、故障排除后，尽快恢复网络连接。（二）病毒安全应急处理方法1、当发觉网络中有计算机感染病毒后，立刻将该机从网络上隔离出来；2、对设备硬盘进行数据备份；3、启用杀毒程序进行杀毒处理，同时进行全网查毒，对其余机器进行病毒扫描和去除工作；4、如发觉杀毒程序无法去除该病毒，应作好相关统计，同时立刻向网络安全与信息化领导小组汇报，并快速联络关于产品供给商进行沟通、研究和处理。（三）数据库系统应急处理方法1、如发觉是数据库故障造成应用系统不能运行，由应用系统相关部门应用管理员负责查找故障原因，并进行恢复；2、如问题不能处理，应联络应用系统服务商进行技术支持或现场服务；3、如服务商也无法处理故障，启用备份恢复系统，将数据库恢复至最近备份时间点；4、故障排除后，应恢复应用系统，并进行验证性测试。（四）应用系统应急处理方法1、如发觉是应用系统软件故障造成应用系统不能运行，由相关部门应用系统管理员查找故障原因，并进行恢复；2、如应用系统管理员不能处理故障，应立刻联络应用系统开发商进行技术支持或进行现场服务；3、如开发商也无法处理故障，启用备份恢复系统，将应用系统恢复至最近备份时间点；4、故障排除后，应恢复应用系统，并进行验证测试。（五）互联网线路中止应急处理方法1、网络管理员发觉问题或接到汇报后，应快速判断故障节点，查明故障原因；