文档介绍:】【网络安全管理办法【网络安全管理办法】文件编号:密级:修订记录日期版本描述修订者审批人审批时间】网络安全管理办法【目录第一章总则 职责与权限 网络规划和建设原则构管理第四章 网络互联管理 网络安全配置 全管理 网络审计管理 评估和持续改进第九章1第二章..1第三章网络架 2 3第五章 4第六章网络安4第七章 5第八章则附第十章.】网络安全管理办法【第一章总则第一条为加强XXXX股份有限公司(以下简称“公司”)计算机信息系统安全保护工作,防范网络安全风险,最大限度地减少因网络故障引发的业务中断,保障公司办公系统和生产系统正常运行,特制定本办法。第二条本办法适用于公司范围内的生产和办公网络运行管理和安全管理的活动。第二章职责与权限网络运维部负责生产及办公网络架构的规划、设计、第三条建设、运行、安全以及网络设备和通讯线路的管理工作。第三章网络规划和建设原则第四条网络规划遵循全面统筹、规范及实用性原则。第五条网络规划基本步骤:(一) 对信息系统的基本情况、功能特点、目标要求和安全风险进行科学评估,准确、全面了解信息系统的网络需求。(二) 编写总体规划和详细设计方案,并制定安全控制措施及安全管理策略。(三) 网络规划必须综合考虑信息技术因素和业务需求及安全管理策略,以系统工程学的方法和思路制定总体规划和详细设计网络安全方案。页7共页1第第六条网络建设原则网络安全设备示意图一)高可用性;公司网络设计遵循高可用性的原则,所采用的网络架构和技术满足公司业务发展需求。(二)高可靠性;采用高可靠性的网络产品和完备的网络备份策略来满足可靠性的要求,对于不同网络功能区,采用设备和线路进行不同级别的可靠性设计。(三)高安全性;网络建设采用一体的网络安全设计思想,充分保证核心骨干、边缘接入多个部分网络访问的高安全性,将来可以向实现自防御网络体系的平滑升级。(四) 高标准化;信息系统的网络构建应参照国家及行业标准和规范进行设计、建设。(五) 技术先进性;网络设备兼备技术先进性和产品成熟性,配备必要的安全专用设备。页7共页2第(六) 可管理性;网络系统应当具有统一的可管理性,实现对网络设备、网络策略和通讯线路管理,建立完善的网管中心,负责监测和管理通信线路及网络设备,保障网络安全稳定运行。第四章网络架构管理网络设备冗余性示意图第七条核心网络区域的核心网络设备必须具备冗余能力,保证关键网络的可用性。第八条核心网络整体的拓扑结构需进行严格的规划、设计和管理,一经确定,不能随意更改。第九条如因业务需要,确需对网络的整体拓扑结构进行调整和改变,需按照相应的变更管理规程进行,并对变更后的网页7共页3第络拓扑进行核实。第十条网络边界区域必须部署安全设备,通过实施技术手段,提供网络隔离、安全监控和审计功能。第十一条关键网络链路必须具备冗余能力,以保证网络链路的可靠性。第十二条网络结构应按照分层网络设计的原则来进行规划,应进行合理的层次划分和设计,使用适当的访问控制方式与技术将重要网段与其它网段隔离开,保证网络系统骨干稳定可靠、接入安全、便于扩充和管理、易于故障隔离和排除。第五章网络互联管理第十三条生产网和办公网必须进行网络隔离,通过防火墙的控制策略实现生产网与办公网、内网与外网之间的访问控制。第十四条公司网络与国际互联网之间的接入必须采取防火墙隔离、入侵检测、防DDOS攻击等安全措施,确保公司网络安全。详见图1第十五条生产网和办公网内部必须设定不同的安全域,安全域之间米用VLAN路由控制、访问控制列表等技术手段实施访问控制。第十六条生产网禁止任何形式的无线网络接入,办公网的无线网络接入必须得到信息科技部的审批,禁止未授权的无线网络接入点(AP联入公司办公网络;办公网的无线接入必须米用强认证、加密等安全技术手段;页7共页4第无线安全实施方案第十七条网络设备的用户申请和权限变更必须经过严格审批,遵循最小权限原则,用户离职或离岗时,其网络访问权限必须及时撤消。第十八条虚拟专用网(vpn必须采用隧道技术、加密技术、双因素认证等安全技术手段,确保其传送的数据不被窥视页7共页5第和篡改,,避免对网络第十九条设备非授权访问;核心网络设备应设置 ACL(访问控制列表)和3A(认证、授权和审计)配置对访问权限进行分级管理。第二十条核心网络设备访问应采用智能令牌和口令等技术措施,实现双因素身份认证。第二十一条对网络设备进行远程管理时,应采用HTTPS或SSH等安全方式,连接设备的管理端口需经信息科技部相关负责人审批。第二十二条网络设备应实施会话超时保护和多次登录失败后账号锁定等安全机制,防止对网络设备的非授权访问。第二十三条信息科技部应定期对网络设备的操作系统、配置及系统日志进行备份,备份数据要求进行安全保存和保留