上海好司机网络科技有限公司
网络安全管理制度
1 机房管理规定
1.1、机房环境
1.1.1、机房环境实施集中监控和巡检登记制度。环境监控应包括:烟雾、温湿度、防盗系统。
1.1.2、机房应保持整齐、清洁。进入机房应更换专用工作服和工作鞋。
1.1.3、机房应满足温湿度的要求,配有监视温湿度的仪表或装置。
温度:低于28°C
湿度:小于80%
1.1.4、机房的照明及直流应急备用照明电源切换正常,照明亮度应满足运行维护的要求,照明设备设专人管理,定期检修。
1.1.5、门窗应密封,防止尘埃、蚊虫及小动物侵入。
1.1.6、楼顶及门窗防雨水渗漏措施完善;一楼机房地面要进行防潮处理,在满足净空高度的原则下,离室外地面高度不得小于15CM。
1.2、机房安全
1.2.1、机房内用电要注意安全,防止明火的发生,严禁使用电焊和气焊。
1.2.2、机房内消防系统及消防设备应定期按规定的检查周期及项目进行检查,消防系统自动喷淋装置应处于自动状态。
1.2.3、机房内消防系统及消防设备应设专人管理,摆放位置适当,任何人不得擅自挪用和毁坏;严禁在消防系统及消防设备周围堆放杂物,维护值班人员要掌握灭火器的使用方法。
1.2.4、机房内严禁堆放汽油、酒精等易燃易爆物品。机房楼层间的电缆槽道要用防火泥进行封堵隔离。严禁在机房内大面积使用化学溶剂。
1.2.5、无人值守机房的安全防范措施要更加严格,重要机房应安装视像监视系统。
1.3、设备安全
1.3.1、每年雷雨季节到来之前的要做好雷电伤害的预防工作,主要检查机房设备与接地系统与连接处是否紧固、接触是否良好、接地引下线有无锈蚀、接地体附近地面有无异常,必要时挖开地面抽查地下掩蔽部分锈蚀情况,如发现问题应及时处理。
1.3.2、接地网的接地电阻宜每年测量一次,测量方法按DL548—94标准附录B,接地电阻符合该标准附录A的表1所列接地电阻的要求,要防止设备地电位升高,击穿电器绝缘,引发通信事故。
1.3.3、每年雷雨季节到来之前应对运行中的防雷元器件进行一次检测,雷雨季节中要加强外观巡视,发现异常应及时处理。
1.3.4、房设备应有适当的防震措施。
1.4、接地要求
1.4.1、独立的数据网络机房必须有完善的接地系统,靠近建筑物或变电站的数据网络机房接地系统必须在本接地系统满足DL548—94标准附录A的表1所列接地电阻的要求后才可与附近建筑物或变电站的接地系统连接,连接点不得少于两点。
1.4.2、机房内接地体必须成环,与接地系统的连接点不得少于两点,机房内设备应就近可靠接地。
1.5、人身安全
1.5.1、检修及值班人员要严格遵守安全制度,树立安全第一的思想,确保设备和人身的安全。
1.5.2、通信站保卫值班人员不得在通信设备与电器设备上作业。通信站内高压设备出现故障应立即通知高压检修人员抢修,保卫值班、通信检修人员不得进入高压场地安全区内。
2 帐户管理规定
帐户是用户访问网络资源的入口,它控制哪些用户能够登录到网络并获取对那些网络资源有何种级别的访问权限。帐户作为网络访问的第一层访问控制,其安全管理策略在全网占有至关重要的地位。
在日常运维中发生的许多安全问题很大程度上是由于内部的安全防范及安全管理的强度不够。帐户管理混乱、弱口令、授权不严格、口令不及时更新、旧帐号及默认帐号不及时清除等都是引起安全问题的重要原因。
对于账户的管理可从三个方面进行:用户名的管理、用户口令的管理、用户授权的管理。
2.1、用户名管理
用户注册时,服务器首先验证所输入的用户名是否合法,如果验证合法,才继续验证用户输入的口令,否则,用户将被拒于网络之外。用户名的管理应注意以下几个方面:
隐藏上一次注册用户名
更改或删除默认管理员用户名
更改或删除系统默认帐号
及时删除作费帐号
清晰合理地规划和命名用户帐号及组帐号
根据组织结构设计帐户结构
不采用易于猜测的用户名
用户帐号只有系统管理员才能建立
2.2、口令管理
用户的口令是对系统安全的最大安全威胁,对网络用户的口令进行验证是防止非法访问的第一道防线。用户不像系统管理员对系统安全要求那样严格,他们
对系统的要求是简单易用。而简单和安全是互相矛盾的两个因素,简单就不安全,安全就不简单。简单的密码是暴露自己隐私最危险的途径,是对自己邮件服务器上的他人利益的不负责任,是对系统安全最严重的威胁,为保证口令的安全性,首先应当明确目前的机器上有没有绝对安全的口令,口令的安全一味靠密码的长度是不可以的。安全的口令真的可以让机器算几千年,不安全的口令只需要一次就能猜出。
不安全的口令有如下几种情况:
(1)使用用户名(账号)作为口令。尽管这种方法在便于记忆上有着相当的优势,可是在安全上几乎是不堪一击。几乎所有以破解口令为手段的黑客软件,都首先会将用户名作为口令的突破口,而破解这种口令几乎不需要时间。在一个用户数超过一千的电脑网络中,一般可以找到10至20个这样的用户。
(2)使用用户名(账号)的变换形式作为口令。将用户名颠倒或者加前后缀作为口令,既容易记忆又可以防止许多黑客软件。不错,对于这种方法的确是有相当一部分黑客软件无用武之地,不过那只是一些初级的软件。比如说著名的黑客软件John,如果你的用户名是fool,那么它在尝试使用fool作为口令之后,还会试着使用诸如fool123、fool1、loof、loof123、lofo等作为口令,只要是你想得到的变换方法,John也会想得到,它破解这种口令,几乎也不需要时间。
(3)使用自己或者亲友的生日作为口令。这种口令有着很大的欺骗性,因为这样往往可以得到一个6位或者8位的口令,但实际上可能的表达方式只有100×12×31=37200种,即使再考虑到年月日三者共有六种排列顺序,一共也只有37200×6=223200种。
(4)使用常用的英文单词作为口令。这种方法比前几种方法要安全一些。如果你选用的单词是十分偏僻的,那么黑客软件就可能无能为力了。不过黑客多有一个很大的字典库,一般包含10万~20万的英文单词以及相应的组合,如果你不是研究英语的专家,那么你选择的英文单词恐怕十之八九可以在黑客的字典库中找到。如果是那样的话,以20万单词的字典库计算,再考虑到一些DES(数据加密算法)的加密运算,每秒1800个的搜索速度也不过只需要110秒。
(5)使用5位或5位以下的字符作为口令。从理论上来说,一个系统包括大小写、控制符等可以作为口令的一共有95个,5位就是7737809375种可能性,使用P200破解虽说要多花些时间,最多也只需53个小时,可见5位的口令是很不可靠的,而6位口令也不过将破解的时间延长到一周左右。
不安全的口令很容易导致口令被盗,口令被盗将导致用户在这台机器上的一切信息将全部丧失,并且危及他人信息安全,计算机只认口令不认人。最常见的是电子邮件被非法截获,上网时被盗用。而且黑客可以利用一般用户用不到的功能给主机带来更大的破坏。例如利用主机和Internet连接高带宽的特点出国下载大型软件,然后在从国内主机下载;利用系统管理员给用户开的shell和unix 系统的本身技术漏洞获得超级用户的权利;进入其他用户目录拷贝用户信息。获得主机口令的途径有两个:
利用技术漏洞。如缓冲区溢出,Sendmail漏洞,Sun的ftpd漏洞,Ultrix的fingerd,AIX的rlogin等等。?
利用管理漏洞。如root身份运行httpd,建立shadow的备份但是忘记更改其属性,用电子邮件寄送密码等等。?
安全的口令应有以下特点:
用户口令不能未经加密显示在显示屏上
设置最小口令长度
强制修改口令的时间间隔
口令字符最好是数字、字母和其他字符的混合
用户口令必须经过加密
口令的唯一性
限制登录失败次数
制定口令更改策略
确保口令文件经过加密
确保口令文件不会被盗取
对于系统管理员的口令即使是8位带~!@#$%^&*的也不代表是很安全的,安全的口令应当是每月更换的带~!@#%^...的口令。而且如果一个管理员管理多台机器,请不要将每台机器的密码设成一样的,防止黑客攻破一台机器后就可攻击所有机器。
对于用户的口令,目前的情况下系统管理员还不能依靠用户自觉保证口令的安全,管理员应当经常运用口令破解工具对自己机器上的用户口令进行检查,发现如在不安全之列的口令应当立即通知用户修改口令。邮件服务器不应该给用户进shell的权利,新加用户时直接将其shell指向/bin/passwd。对能进shell 的用户更要小心保护其口令,一个能进shell的用户等于半个超级用户。保护好/etc/passwd和/etc/shadow当然是首要的事情。
不应该将口令以明码的形式放在任何地方,系统管理员口令不应该很多人都知道。
另外,还应从技术上保密,最好不要让root远程登录,少用Telnet或安装SSL加密Telnet信息。另外保护用户名也是很重要的事情。登录一台机器需要知道两个部分——用户名和口令。如果要攻击的机器用户名都需要猜测,可以说攻破这台机器是不可能的。
2.3、授权管理
帐户的权限控制是针对网络非法操作所进行的一种安全保护措施。在用户登录网络时,用户名和口令验证有效之后,再经进一步履行用户帐号的缺省限制检查,用户被赋予一定的权限,具备了合法访问网络的资格。
我们可以根据访问权限将用户分为以下几类:
特殊用户(即系统管理员);
一般用户,系统管理员根据他们的实际需要为他们分配操作权限;
审计用户,负责网络的安全控制与资源使用情况的审计。用户对网络资源的访问权限可以用一个访问控制表来描述。
授权管理控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。同时对所有用户的访问进行审计和安全报警,具体策略如下:
2.4、目录级安全控制
控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效,用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有八种:
系统管理员权限(Supervisor)
读权限(Read)
写权限(Write)
创建权限(Create)
删除权限(Erase)
修改权限(Modify)
文件查找权限(File Scan)
存取控制权限(Access Control)
网络系统管理员应当为用户指定适当的访问权限,这些访问权限控制着用户对服务器的访问。八种访问权限的有效组合可以让用户有效地完成工作,同时又能有效地控制用户对服务器资源的访问,从而加强了网络和服务器的安全性。
2.5、属性级安全控制
当使用文件、目录时,网络系统管理员应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。
网络上的资源都应预先标出一组安全属性。用户对网络资源的访问权限对应一张访问控制表,用以表明用户对网络资源的访问能力,避免引起不同的帐户获得其不该拥有的访问权限。属性设置可以覆盖已经指定的任何有效权限。属性往往能控制以下几个方面的权限:
向某个文件写数据
拷贝一个文件
删除目录或文件
查看目录和文件
执行文件
隐含文件
共享
系统属性
网络的属性可以保护重要的目录和文件,防止用户对目录和文件的误删除、执行修改、显示等。
网络管理员还应对网络资源实施监控,网络服务器应记录用户对网络资源的访问,对非法的网络访问,服务器应以图形或文字或声音等形式报警,以引起网络管理员的注意。
定期扫描与帐户安全有关的问题。由于帐户设置的问题使得系统用户可以有意或无意地插入帐户。用户帐号检测可以在系统的口令文件中寻找这类问题,同时寻找非活动帐号,它们往往是被攻击的对象。对帐户进行安全问题的检测,应使第三方扫描软件搜索不到您的内部帐户名称和口令,将可能出现的安全问题提前处理掉,并将当前系统帐户设置同上一次系统安全扫描评价时的设置相比较,将发现的新增的未认证帐户和用户修改过的标识删除,及时将发现的其它安全问题修正。
3 运行网络安全管理
3.1、目的
保障秦热运行网络的安全运行,明确日常运行网络管理责任。
3.2、范围
本制度适应于对秦热网络系统和业务系统。
3.3、定义
运行网络安全是指网络系统和业务系统在运行过程中的访问控制和数据的安全性。包括资源管理、入侵检测、日常安全监控与应急响应、人员管理和安全防范。
3.4、日常安全监控
3.4.1、值班操作员每隔50分钟检查一次业务系统的可用性、与相关主机的连通性及安全日志中的警报。
3.4.2、网络管理员每天对安全日志进行一次以上的检查、分析。检查内容包括防火墙日志、IDS日志、病毒防护日志、漏洞扫描日志等。
3.4.3、网络管理员每天出一份安全报告,安全报告送网络处主管领导。重要安全报告由主管领导转送部门领导、安全小组和相关部门。所有安全报告存档科技部综合处,网络管理员在分析处理异常情况时能够随时调阅。文档的密级为A级,保存期限为二年。
3.4.4、安全日志纳入系统正常备份,安全日志的调阅执行相关手续,以磁介质形式存放,文档的密级为B级,保存期限为一年。
3.5、安全响应
3.5.1、发现异常情况,及时通知网络管理员及网络处主管领导,并按照授权的应急措施及时处理。
3.5.2、黑客入侵和不明系统访问等安全事故,半小时内报知部门领导和安全小组。
3.5.3、对异常情况确认为安全事故或安全隐患时,确认当天报知部门领导
和安全小组。
3.5.4、系统计划中断服务15分钟以上,提前一天通知业务部门、安全小组。系统计划中断服务1小时以上时,提前一天报业务领导。文档的密级为C级,保存期限为半年。
3.5.5、非计划中断服务,一经发现即作为事故及时报计算机中心管理处、安全小组、科技部部门领导。非计划中断服务半小时以上,查清原因后,提交事故报告给安全小组、科技部部门领导。文档的密级为A级,保存期限为两年。
3.6、运行网络安全防范制度
3.6.1、网络管理员每一周对病毒防火墙进行一次病毒码的升级。
3.6.2、网络管理员每个月对网络结构进行分析,优化网络,节约网络资源,优化结果形成文档存档,文档的密级为A级,保存期限为二年。
3.6.3、网络管理员每个月对路由器、防火墙、安全监控系统的安全策略进行一次审查和必要的修改,并对修改部分进行备份保存,以确保安全策略的完整性和一致性。对审查和修改的过程和结果要有详细的记录,形成必要的文档存档,文档的密级为A级,保存期限为二年。
3.6.4、网络管理员每个月对网络、系统进行一次安全扫描,包括NETRECON 的检测,及时发现并修补漏洞,检测结果形成文档,文档密级为B级,保存期限为一年。
3.6.5、新增加应用、设备或进行大的系统调整时,必须进行安全论证并进行系统扫描和检测,系统漏洞修补后,符合安全要求才可以正式运行。
3.6.6、重大系统修改、网络优化、安全策略调整、应用或设备新增时,必须经过详细研究讨论和全面测试,并要通过安全方案审核,确保网络和业务系统的安全和正常运行。
3.6.7、系统内部IP地址需要严格遵守相关的IP地址规定。
3.6.8、严格禁止泄露IP地址、防火墙策略、监控策略等信息。
3.7、运行网络人员管理制度
3.7.1、严格限制每个用户的权限,严格执行用户增设、修改、删除制度,防止非授权用户进行系统登录和数据存取。
3.7.2、严格网络管理人员、系统管理人员的管理,严格执行离岗审计制度。
3.7.3、对公司技术支持人员进行备案登记制度,登记结果存档,密级为C 级,保存期限为半年。
4 数据备份
4.1、目的
规范业务数据备份和恢复操作,确保业务系统和数据安全。
4.2、适用范围
业务系统各服务器的磁带备份和硬盘备份。其它服务器备份可参考本制度。
4.3、定义
循环日志备份方式,也称为脱机备份方式,是指当备份任务运行时,只有备
份任务可以与数据库连接,其他任务都不能与数据库连接。利用数据库的脱机备份映像(Image)文件可以恢复数据库到与备份时间点一致的状态。
归档日志备份方式,也称为联机备份方式,是指当备份任务运行的同时,其他应用程序或者进程可以继续与该数据库连接并继续读取盒修改数据。利用数据库的联机备份映像文件和日志(Log)文件,可以恢复数据库到与日志文件相符的某个时间点一致的状态。
4.4、规定
4.4.1、系统和配置备份
系统安装、升级、调整和配置修改时做系统备份。包括系统备份和数据库备份。数据库采用循环日志备份方式,也就是脱机备份方式。备份由管理员执行。备份一份。长期保存。
4.4.2、应用数据备份
4.4.3、日备份
日备份的数据库,分别采用两盘磁带进行备份,备份的数据保留三个月。为了实现业务系统24小时的不间断对外服务,数据库的备份方式是归档日志备份方式,也就是联机备份方式。采用这种方式进行备份,系统的服务不需要停止,数据库采用其内部的机制实现备份前后数据的一致。备份由操作员执行。
4.4.4、月备份
系统每月进行一次月备份。备份的内容包括应用程序、数据库应用程序以及进行数据库的循环日志备份。备份由管理员执行。备份一份。长期保存。
4.4.5、应用变更备份
应用系统应用变更时,做一次系统备份。备份由管理员执行。备份一份,长期保存。
4.5、备份磁带命名
依据设备或者秦热的相关设备命名规范。
4.6、备份数据的保管
需要专人和专用设备进行保管。
4.7、备份数据的使用
参考秦热的相关规定。
5 应急方案
5.1、目的
确保网络和业务系统安全有效运行,及时、有效处理各种突发事件,防范降低风险,提高计算机系统的运行效率。
5.2、定义
应急方案包括:主机系统故障应急方案、通信系统故障应急方案、系统和数据的灾难备份与恢复、黑客攻击的应急方案、主机感染病毒后的应急方案、安全
体系受损或瘫痪的应急方案。
5.3、应急方案
5.3.1、主机系统故障应急方案
5.3.2、通信系统故障应急方案
5.3.3、系统和数据的灾难备份与恢复
5.3.4、黑客攻击的应急方案
5.3.5、主机感染病毒后的应急方案
5.3.6、安全体系受损或瘫痪的应急方案。
5.4、应急方案的管理
5.4.1、应急方案要归档管理。
5.4.2、应急方案随着网络和业务系统的改变而即时进行修改。
5.4.3、要保证应急方案启动的快速性、实施的高效性、结果的正确性。
5.4.4、定时进行应急演练。
6 计算机安全产品管理制度
6.1、安全产品的管理
1.目的
规范计算机安全产品的使用和管理,合理使用和管理现有的计算机安全产品,防范风险堵塞漏洞,提高秦热的计算机信息系统的安全等级。
2.定义
计算机安全产品包括:防火墙产品、防病毒产品、入侵检测系统、漏洞扫描系统等。
3.适用范围
适用于秦热网络环境和应用环境。
4.管理原则
防病毒安全产品遵循公安部病毒防护的有关管理制度;
其他安全产品遵守国家的相关安全管理规定。
6.2、防火墙的管理制度
1.目的
加强和统一防火墙的管理和使用,保证防火墙的安全可靠运行,保障各种网络和业务系统的安全运行,
2.定义
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的
基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器。防火墙有硬件的,也有软件的。
3.适用范围
所有的防火墙产品。
4.防火墙的购置和使用
4.1 遵循安全最大化的原则和有关程序进行购置。
4.2 防火墙必须是其所隔离的网络之间的唯一信息通道。
5.管理规定
5.1 防火墙要有专人管理和维护,任务是:
1)整理防火墙的有关的配置、技术资料以及相关软件,并进行备份和归档。
2)负责防火墙的日常管理和维护。
3)定期查看和备份日志信息,日志信息要归档长期保存。
4)经授权后方可修改防火墙的有关配置,修改过程要记录备案。
5)经授权后方可对防火墙的内核和管理软件的进行升级,升级的详细过程要记录备案。
5.2 防火墙的安全策略要参考厂家或安全公司的意见,结合秦热的网络环境和安全建设需求,由计算机中心根据实际的安全需求负责制订和实施配置。由厂家或者安全公司提供技术支持。
5.3 防火墙的安全策略和配置参数一经确定和完成,任何人不得随意修改。若确有需求,由当事人或部门提出书面申请,提交安全主管,获准后,由专管人员进行修改或升级,详细记录有关修改升级情况并上报有关部门备案。
5.4 防火墙的有关技术资料、安全策略、重要参数的配置以及修改记录等要整理归档,作为绝密资料保存。
5.5 防火墙出现故障后,要立即启用备用防火墙,并尽可能在最短的时间内排除故障。
附防火墙修改、升级记录格式:
1)申请人(部)、申请时间
2)申请原因
3)安全主管批示
4)相关领导批示
5)修改、升级情况记录
6)结果
7)操作人签字
6.3、防病毒的管理制度
1.目的
统一及加强对防病毒软件的管理,保证防病毒软件的合法运行,提高使用效率,合理、充分利用该系统,避免非法使用及秦热系统的重复开发和资源浪费。
2.适用范围
防病毒软件产品;
防病毒软件的硬件载体即计算机设备;
防病毒软件载体即磁盘、光盘、资料与手册等。
3.防病毒软件的使用
3.1 各部门使用软件时应提出书面申请,经计算机中心领导签字后交防病毒主管人员审核同意,交由相关技术人员实施。
3.2 外单位需使用有关软件产品,必须持有关证明,并报请部门领导审核后,再交由文档资料管理员办理有关手续。
3.3 存档保管的软件产品属秦热的资产,不得随意复制和外传,否则,将承担法律责任。
4.防病毒软件的管理与维护
4.1 防病毒软件管理人员与任务
防病毒软件管理由计算机中心相关领导负责,并做下列工作:
1)对防病毒软件归档入库并进行登录、保管;
2)防病毒软件拷贝和资料印刷等工作;
3)防病毒软件的安装、调试及卸载;
4)制定防病毒软件的安全策略;
5)一周三次定期查看防病毒系统的日志记录,并做备份。
6)如发现异常报警或情况需及时通知相关负责人。
4.2 防病毒软件的登记
4.2.1、运行于本网络的防病毒软件系统的安全策略,均需由计算机中心相关领导批准并登记在案方可进行。
4.2.2、凡使用其他的防病毒软件也应由使用人将其名称和使用记录交给计算机中心文档资料管理员登记、存档。
4.2.3、凡第三方公司使用本系统软件,均需得到计算机中心领导批准并登记在案方可进行。防病毒软件的登记格式如附录。
附录:
(1)防病毒软件的使用者姓名或单位;
(2)开始、结束或使用时间:
(3)服务器的情况:IP地址,服务器的类型,服务器的用途;
(4)防病毒软件使用情况;
(5)安全策略的详细说明;
(6)管理人员的签字。
6.4、入侵检测的管理制度
1.目的
统一及加强对入侵检测系统软(硬)件的管理,保证入侵检测系统的合法运行,提高使用效率,合理、充分利用该系统,避免非法使用及秦热系统的重复开发和资源浪费。
2.适用范围
a)入侵检测系统软件产品;
b)入侵检测系统的硬件载体即计算机设备;
c)入侵检测系统的软件载体即磁盘、光盘、资料与手册等。
3.入侵检测系统的使用
3.1 存档保管的入侵检测资料属秦热的资产,不得随意复制和外传,否则,将承担法律责任。
3.2 正常运行的入侵检测系统必须由专人负责,相关规则设计属秦热内部机密,不得外传,否则,将承担法律责任。
4.入侵检测系统的管理与维护
4.1 入侵检测系统管理人员与任务
入侵检测系统管理由计算机中心相关领导负责,并做下列工作:
1)对入侵检测系统软件及相关资料归档入库并进行登录、保管;
2)入侵检测系统软件拷贝和资料印刷等工作;
3)入侵检测系统的安装、调试及卸载;
4)一周三次定期查看入侵检测系统日志记录,并做备份。
5)如发现异常报警或情况需及时通知相关负责人。
4.2 入侵检测系统的登记
4.2.1、运行于本网络的入侵检测系统的各条规则设计,均需由计算机中心相关领导批准并登记在案方可进行。
4.2.2、凡引进(包括其它方式)的入侵检测系统软件也应由承办人将其交给计算机中心文档资料管理员登记、存档。
4.2.3、凡第三方公司对本网络进行入侵检测测试,均需得到计算机中心相关领导批准并登记在案方可进行。入侵检测的登记格式如附录。
附录:
(1)入侵检测系统使用者姓名或单位;
(2)开始、结束或使用时间:
(3)服务器的情况:IP地址,服务器的类型,服务器的用途;
(4)入侵检测系统情况;
6.5、漏洞扫描的管理制度
1.目的
统一管理漏洞扫描,加强漏洞扫描软件的管理,保证漏洞扫描的合法进行,提高使用效率,合理、充分进行漏洞扫描,避免不正当非法使用。
2.适用范围
日常漏洞扫描:
上述漏洞扫描软件的载体即磁盘、光盘、资料与手册等。
3.漏洞扫描软件使用
a)秦热各部门如果需要使用本软件时应提出书面申请,经该计算机中心相关领导签字后交计算机中心相关负责人审核同意。
b)外单位如果需使用有关软件产品,必须持有关证明,并报请计算机中心相关领导审核后,再交由文档资料管理员办理有关手续。
c)存档保管的软件产品属秦热的资产,不得随意复制和外传,否则,将承担法律责任。
4.漏洞扫描的管理与维护
4.1 漏洞扫描管理人员与任务
漏洞扫描管理由计算机中心领导负责,并做下列工作:
4.1.1、对漏洞扫描软件归档入库并进行登录、保管;
4.2.1、漏洞扫描软件拷贝和资料印刷等工作;
4.3.1、一个月一次定期对本网络进行漏洞扫描检查。
4.2 漏洞扫描的登记
4.2.1、凡对本网络进行漏洞扫描,均需由计算机中心领导批准并登记在案方可进行。
4.2.2、凡引进(包括其它方式)的漏洞扫描软件也应由承办人将其交给主管安全部门文档资料管理员登记、存档。
4.2.3、凡第三方公司对本网络进行漏洞扫描,均需得到计算机中心相关领导批准并登记在案方可进行。
漏洞扫描的登记格式如附录。
附录:
a)漏洞扫描者姓名或单位;
b)开始、结束或使用时间:
c)服务器的情况:IP地址,服务器的类型,服务器的用途;
d)漏洞扫描情况:有潜在危险的服务器,漏洞的等级,漏洞的简要说明;
e)漏洞的详细说明;
f)漏洞的解决方案;
g)管理人员的签字。
7 日常审计管理
7.1、目的
保障秦热网络和业务系统的安全运行,明确网络和业务系统的审计责任。
7.2、范围
本制度适应于对网络和业务系统的安全审计。
7.3、定义
安全审计指对秦热网络和业务安全与运行网络安全的审计,主要指业务审
计、投产审计、安全策略与制度的审计、安全评估、制度与规范执行情况的审计。
7.4、规定
7.4.1、业务审计由业务管理人员与信心中心相关领导按项目管理办法执行。
7.4.2、由安全小组每月组织一次关于网络和业务使用情况的审计。审计内容包括:上月安全报告的内容及归档情况、安全日志的归档情况、计划中断报告的归档情况、病毒代码的升级更新情况、外来人员管理情况、IP地址的更新情况。审计结果报计算机中心领导和负责信息化的厂领导,同时抄送相关单位的网络处、综合处。
7.4.3、安全小组组织审议安全策略更新报告、漏洞检测与处理报告、网络拓朴结构。
7.4.4、小组组织审议关于网络和业务的安全事故报告、安全隐患报告、非计划中断报告。
7.4.5、由安全小组组织进行安全评估。
7.4.6、由安全小组组织审议关于网络管理人员、系统管理人员的离岗审计报告。
7.5、安全教育培训
由安全小组定期组织网络管理人员和系统维护人员进行安全教育培训。主要有法制教育、安全意识教育和安全防范技能训练。安全教育培训内容:保护计算机和专有数据;保护文件和专有信息;计算机安全管理;信息安全保密;防范计算机病毒和黑客;预防计算机犯罪;相关的法律法规等。
7.6、安全检查考核
由安全小组定期组织安全检查考核,网络和系统的工作人员要从政治思想、业务水平、工作表现、遵守安全规程等方面进行考核,对考核发现有违反安全法规的人员或不适合接触计算机信息系统的人员要及时调离岗位,不应让其再接触系统,对情节严重的要追究其法律责任。
8 应急演练
8.1、目的
测试应急方案,确保应急方案的正确性、有效性、快速性。
8.2、适用范围
网络和业务系统的各种应急方案。
8.3、规定
8.3.1、每一种应急方案都要经过两次以上的应急演练。
8.3.2、由安全小组制定和组织实施应急演练,并对演练结果进行分析研究,查找问题,将存在的问题反馈给方案的制定部门,要求其对应急方案进行修订。修订后的应急方案要重新进行测试演练。
9 安全方案审核
9.1、目的
保障重大方案的安全实施。
9.2、定义
安全方案包括:变更运行机房现有环境及设备、设施;修改系统参数;查询、修改、恢复业务数据库数据;增加、删除网络节点;修改网络参数。修改有关安全产品(如防火墙、IDS)的安全策略、重要参数;远程主机系统登录;系统软件的升级和安装、系统切换;应用软件的维护修改、升级换版;应急计划的实施;结息、年终结转。
9.3、适用范围
计算机网络系统和业务系统。
9.4、规定
9.4.1、安全小组负责安全方案可行性的论证工作。
9.4.2、安全小组负责实施安全方案的审批工作。
9.4.3、安全小组负责监控安全方案的实施情况。
10 事故响应及处理
10.1、目的
确保计算机系统安全有效运行,及时响应和处理各种计算机事故。
10.2、定义
计算机事故的定义可以参见计算机中心的有关规定。
10.3、适用范围
计算机系统事故的响应和处理。
10.4、规定
10.4.1、发生计算机事故时,当事人要迅速报告安全小组以及相关部门,并详细记录事故发生的时间、地点、现象以及可能的原因。
10.4.2、安全小组接到报告后,根据事故的严重程度,决定启动何种形式的应急方案,并上报计算机中心和相关业务领导。事故结束后,要和有关人员、部门分析事故发生的原因,并根据情节的轻重对事故责任人作出相应的处理。
10.4.3、出现重大计算机事故,有计算机犯罪嫌疑的,除了采取相应的补救措施外,还要及时上报公安机关,依法追究事故责任人的法律责任。
11 技术档案管理制度
11.1、目的
规范所有技术档案的管理,严格有关借阅手续。
11.2、定义
技术档案是指各种硬件、系统软件、数据库的技术资料,应用软件使用说明、运营维护手册,以及各种设备、应用软件的运行档案
11.3、适用范围
计算机系统中各种软、硬件产品的技术档案以及相应的载体。
11.4、规定
11.4.1、技术档案要有专人负责保管,也可一主一辅进行管理。
11.4.2、技术档案管理人员要对档案登录《技术档案归档登记簿》造册,注明名称、类别、数量、存放位置和入库时间等,正式入档保管。
11.4.3、根据有关档案管理规定,对技术资料按其重要价值进行密级分类管理,要有一套技术档案作为永久保存,此套技术档案一般不外借。
11.4.4、技术档案保管环境须满足防盗、防火、防潮、防水、防鼠、防虫、防磁、防震等要求,重要技术档案应有冗余保护措施。
11.4.5、备份介质要存放在专用的介质库内,重要的系统软件、应用软件,以及业务数据备份还须异地保存,填写数据介质档案登记簿。
11.4.6、定期检查技术档案的完整性及有效性,对受损档案要及时整理和修复,对介质档案还应定期进行重绕、重写、复制等维护措施。
11.4.7、借阅技术档案要向管理人员提出口头申请,填写《技术档案借阅登记簿》,借阅档案要及时归还,借阅永久保存的技术资料要经领导同意。
11.4.8、档案工作人员应严格按照档案工作的各项规定、制度办事,严格遵守国家的保密制度,不得擅自提供档案或向他人泄露档案内容,不得擅自转移、分散和销毁档案。
11.4.9、过期和报废技术档案销毁时,应严格履行审批手续、登记《过期、报废技术档案销毁登记簿》,并采取严格的监销制度。
12 安全保密制度
遵循国电对电力行业的有关规定和国家经贸委30号令,遵守国家相应的保密制度。
《信息网络安全管理制度》计算机网络为集团局域网提供网络基础平台服务和互联网接入服务,由信息部负责计算机连网和网络管理工作。为保证集团局域网能够安全可靠地运行,充分发挥信息服务方面的重要作用,更好地为集团员工提供服务。现制定并发布《网络及网络安全管理制度》。 第一条所有网络设备(包括光纤、路由器、交换机、集线器等)均归信息部所管辖,其安装、维护等操作由信息部工作人员进行。其他任何人不得破坏或擅自维修。 第二条所有集团内计算机网络部分的扩展必须经过信息部实施或批准实施,未经许可任何部门不得私自连接交换机、集线器等网络设备,不得私自接入网络。信息部有权拆除用户私自接入的网络线路并进行处罚措施。 第三条各部门的联网工作必须事先报经信息部,由信息部做网络实施方案。 第四条集团局域网的网络配置由信息部统一规划管理,其他任何人不得私自更改网络配置。 第五条接入集团局域网的客户端计算机的网络配置由信息部部署的DHCP服务器统一管 理分配,包括:用户计算机的IP地址、网关、DNS和WINS服务器地址等信息。未经许可,任何人不得使用静态网络配置。 第六条任何接入集团局域网的客户端计算机不得安装配置DHCP服务。一经发现,将给予通报并交有关部门严肃处理。 第七条网络安全:严格执行国家《网络安全管理制度》。对在集团局域网上从事任何有悖网络法规活动者,将视其情节轻重交有关部门或公安机关处理。 第八条集团员工具有信息保密的义务。任何人不得利用计算机网络泄漏公司机密、技术资料和其它保密资料。 第九条任何人不得在局域网络和互联网上发布有损集团形象和职工声誉的信息。 第十条任何人不得扫描、攻击集团计算机网络。 第十一条任何人不得扫描、攻击他人计算机,不得盗用、窃取他人资料、信息等。 第十二条为了避免或减少计算机病毒对系统、数据造成的影响,接入集团局域网的所有用户必须遵循以下规定: 1.任何单位和个人不得制作计算机病毒;不得故意传播计算机病毒,危害计算机信息系统安全;不得向他人提供含有计算机病毒的文件、软件、媒体。 2. 采取有效的计算机病毒安全技术防治措施。建议客户端计算机安装使用信息部部署发布的瑞星杀毒软件和360安全卫士对病毒和木马进行查杀。 3. 定期或及时更新用更新后的新版本的杀病毒软件检测、清除计算机中的病毒。 第十三条集团的互联网连接只允许员工为了工作、学习和工余的休闲使用,使用时必须遵守有关的国家、企业的法律和规程,严禁传播淫秽、反动等违犯国家法律和中国道德与风俗的内容。集团有权撤消违法犯纪者互联网的使用。使用者必须严格遵循以下内容: 1. 从中国境内向外传输技术性资料时必须符合中国有关法规。 2. 遵守所有使用互联网的网络协议、规定和程序。
公司内部网络安全和设备管理制度 1、网络安全管理制度 (1)计算机网络系统的建设和应用,应遵守国家有关计算机管理 规定参照执行; (2)计算机网络系统实行安全等级保护和用户使用权限控制;安 全等级和用户使用网络系统以及用户口令密码的分配、设置由系统管理员负责制定和实施; (3)计算机中心机房应当符合国家相关标准与规定; (4)在计算机网络系统设施附近实施的维修、改造及其他活动, 必须提前通知技术部门做好有关数据备份,不得危害计算机网络系 统的安全。 (5)计算机网络系统的使用科室和个人,都必须遵守计算机安全 使用规则,以及有关的操作规程和规定制度。对计算机网络系统中发生的问题,有关使用科室负责人应立即向信息中心技术人员报告;(6)对计算机病毒和危害网络系统安全的其他有害数据信息的防 范工作,由信息中心负责处理,其他人员不得擅自处理; (7)所有HIS系统工作站杜绝接入互联网或与院内其他局域网直 接连接。 2、网络安全管理规则 (1)网络系统的安全管理包括系统数据安全管理和网络设备设施 安全管理; (2)网络系统应有专人负责管理和维护,建立健全计算机网络系 统各种管理制度和日常工作制度,如:值班制度、维护制度、数据库备份制度、工作移交制度、登记制度、设备管理制度等,以确保工作有序进行,网络运行安全稳定; (3)设立系统管理员,负责注册用户,设置口令,授予权限,对 网络和系统进行监控。重点对系统软件进行调试,并协调实施。同时,负责对系统设备进行常规检测和维护,保证设备处于良好功能状态; (4)设立数据库管理员,负责用户的应用程序管理、数据库维护 及日常数据备份。每三个月必须进行一次数据库备份,每天进行一次日志备份,数据和文档及时归档,备份光盘由专人负责登记、保管; (5)对服务器必须采取严格的保密防护措施,防止非法用户侵 入。系统的保密设备及密码、密钥、技术资料等必须指定专人保管,服务器中任何数据严禁擅自拷贝或者借用; (6)系统应有切实可行的可靠性措施,关键设备需有备件,出现 故障应能够及时恢复,确保系统不间断运行; (7)所有进入网络使用的U盘,必须经过严格杀毒处理,对造成 “病毒”蔓延的有关人员,应严格按照有关条款给予行政和经济处 罚; (8)网络系统所有设备的配置、安装、调试必须指定专人负责, 其他人员不得随意拆卸和移动; (9)所有上网操作人员必须严格遵守计算机及其相关设备的操作 规程,禁止无关人员在工作站上进行系统操作;
行政事业单位 网络信息安全管理制度 二零一九年五月
目录 第一章办公室基础设备管理 (3) 第二章办公室系统应用管理 (4) 第三章办公室安全管理 (6) 第四章办公室软件安装及保管 (7) 第五章软件使用者义务及权限配置 (8) 第六章防病毒管理 (9) 第七章防病毒软件的安装及升级 (10) 第八章病毒处理措施及用户管理 (11) 第九章备份操作管理及恢复 (12) 第十章办公室环境管理规定 (14)
第1条各股、室、中心计算机保管人为使用计算机的本人,共享计算机由专人负责保管,保管人对软、硬件有使用、保管责任。 第2条只有网络管理员进行维护时有权拆封,其它人员不得私自拆开封。 第3条办公室设备不使用时,应关掉设备的电源。人员暂离岗时,应锁定计算机。 第4条单位业务设备,不得私用,转让借出;除笔记本电脑外,其它设备严禁无故带出办公场所。 第5条按正确方法清洁和保养设备上的污垢,保证设备正常使用。 第6条办公室设备老化、性能落后或故障严重,不能应用于实际工作的,应报办公室计算机管理人员处理或办公室报备。 第7条办公室设备出现故障或异常情况(包括气味、冒烟与过热)时,应当立即关闭电源开关,拔掉电源插头,并及时通知局办公室管理人员检查或维修。 第8条计算机及周边设备,操作系统和所装软件均为单位财产,使用者不得随意损坏或卸载。
第9条电脑的IP地址由网络管理员统一规划分配,未经申报同意不得擅自更改,更不得恶意占用他人的地址。 第10条计算机保管人对软硬负保管之责,使用者如有使用不当,造成毁损或遗失,应负赔偿责任。 第11条保管人和使用人应对办公室操作系统和所安装软件口令严格保密,并至少每180天更改一次密码,密码应满足复杂性原则,长度应不低于8位,并由大写字母、小写字母、数字和标点符号中至少 3 类混合组成;对于因为软件自身原因无法达到要求的,应按照软件允许的最高密码安全策略处理。 第12条重要资料、电子文档、重要数据等不得放在桌面、我的文档和系统盘(一般为C:盘)以免系统崩溃导致数据丢失。与工作相关的重要文件及数据保存两份以上的备份,以防丢失。单位设立文件服务器,重要文件应及时上传备份,各股、室、中心专用软件和数据由保管人定期备份上传,需要信息技术支持并负责备份的应填写《数据备份申请表》,数据中心信息系统数据应按备份管理相关要求备份。 第13条正确开机和关机。开机时,先开外设(显示器、打印机等),再开主机;关机时,应先退出应用程序和操作系统,再关主机和外设,避免非正常关机。 第14条单位邮箱帐号必须由本帐号职员使用,未经单位办公室或网络管理员允许不得将帐号让与他人使用,如造成单位损失或名誉影响,单位将追究其个人责任,并保留法律追究途径。
网络安全管理制度(最新版) Safety management is an important part of enterprise production management. The object is the state management and control of all people, objects and environments in production. ( 安全管理 ) 单位:______________________ 姓名:______________________ 日期:______________________ 编号:AQ-SN-0652
网络安全管理制度(最新版) 为维护我校校园网的安全使用,特制订《拾万小学网络安全管理制度》,请所有使用网络的教工、学生自觉严格遵守。 1、学校成立网络管理领导小组。领导小组由校长范定全同志担任,组员由学校行政人员、各办公室主任和网络管理人员组成。 2、学校成立网络安全维护小组。组长由网络管理员杨道元同志担任,组员为各办公室主任及班主任组成。负责在网络管理领导小组指导下进行日常维护和安全监测。 3、学校鼓励各教室、办公室、专用室和全体师生使用各类网络资源,不得在使用过程中散布病毒,发表不适当言论。 4、网络维护小组根据区信息中心要求为每个教室、办公室、专用室、学生机房统一分配IP地址,其他人不得随意更改,如有需要
报维护小组进行修改。 5、各教室、办公室、专用室在使用网络过程中必须遵守国家有关法律、法规和区信息中心的有关规定。 6、用户在使用网络时违反国家法律和行政法规的,学校将视情节轻重给予警告、通报批评,情节特别严重构成犯罪的,报有关部门依法追究刑事责任。 7、禁止各用户上不良网站。通过聊天、邮件而传播网络病毒的,维护小组要及时提醒,要求该用户改正,如果是故意行为,将报学校网络管理领导小组进行严肃处理。 8、网络的主干通信设备、路由器、光电转换器、主干网络线路、服务器、网络交换机及其它公共设备由维护小组负责管理维护。 9、维护小组对各用户计算机进行对入网设备、安装的软件实行规范管理,不定期进行检查。对安装不健康内容、危害网络安全和一些游戏软件进行及时清除 10、网络信息是指通过网络发布、传递及存储在网络设备中的信息。学校鼓励教师使用网络上有用资源。
网络安全管理制度 (一)职责 XXX单位: 1.负责制定和管理本文件; 2.负责制定网络访问控制策略; 3.负责受理对网络的访问申请和授权; 4.负责对网络设备状态、网络运行状况的日常检查工作; 5.负责维护网络运行记录。 6.负责对网络安全管理工作进行监督和检查。 (二)网络安全规划 XXX单位在网络系统规划、升级、改造建设过程中,应组织相关人员对网络建设方案进行评审,使方案满足网络安全管理要求。 (三)网络接入控制 1.各科室/部门对涉及到网络变更方面的需求(如网络结构变更、终端网络 需求变更(如Hub的接入))、非常规性网络访问(如外来人员临时性 访问),需向XXX单位提出书面申请,XXX单位对变更申请进行评审 通过后,方可进行操作; 2.无线网络由XXX单位进行统一部署和管理,如其他部门(单位)需要 接入无线网络或部署无线网络设备时,需向XXX单位提出申请,经审 批后方可接入。 3.XXX单位负责网络与其他外部单位网络的安全防护,在网络边界处采取 安全措施进行有效隔离防护,并对违规行为进行检查和阻断; 4.XXX单位负责网络的VLAN和安全域划分,不同业务应用系统尽量安 排在不通的安全域中,各VLAN和安全域间应采取有效的访问控制措施; 5.XXX单位对网络设备、网络设备之间的连接线缆进行标识,重要网络端
口也须进行详细标识; (四)网络安全审计 1.XXX单位采取开启网络设备日志,记录与网络安全相关的操作与活动, 并定期对记录进行评审,将评审结果进行记录。 2.日志保存时间应至少保证在一个月以上。 3.XXX单位在网络关键位置采取网络审计手段,对网络访问操作行为进行 记录,定期对记录进行评审,将评审结果进行记录。 (五)网络设备管理 1.XXX单位制定网络备份策略(如网络配置备份、硬件备份),并做好 相应备案; 2.XXX单位每月对网络配置、网络设备日志进行备份,并做好备份记录; 3.XXX单位做好网络配置、网络设备日志及网络设备备件的保存与管理, 保证备份的安全性; 4.XXX单位定期对配置备份及设备备件进行测试,保证其可用性,并对 测试结果进行记录; 5.根据厂家提供的软件升级版本对网络设备进行更新,并在更新前对现有 的重要文件进行备份; 6.建立日志服务器,保存日志时间要求超过6个月; 7.定期对设备口令进行更新。 (六)网络安全检查 1.XXX单位制定详细的网络检查项目,负责进行网络系统运行的日常检查 工作,将检查结果进行记录。 2.XXX单位定期对网络设备配置进行检查和评估,确保网络配置与安全策 略保持一致,并对检查结果进行记录。 3.定期对网络系统进行漏洞扫描,对发现的网络系统安全漏洞进行及时的 修补; (七)网络访问控制
网络信息安全管理制度 第一章计算机基础设备管理 第1条各部门对该部门的每台计算机应指定保管人,共享计算机则由部门指定人员保管,保管人对计算机软、硬件有使用、保管责任。 第2条公司计算机只有网络管理员进行维护时有权拆封,其它员工不得私自拆开封。 第3条计算机设备不使用时,应关掉设备的电源。人员暂离岗时,应锁定计算机。 第4条计算机为公司生产设备,不得私用,转让借出;除笔记本电脑外,其它设备严禁无故带出办公生产工作场所。 第5条按正确方法清洁和保养设备上的污垢,保证设备正常使用。 第6条计算机设备老化、性能落后或故障严重,不能应用于实际工作的,应报技术部处理。 第7条计算机设备出现故障或异常情况(包括气味、冒烟与过热)时,应当立即关闭电源开关,拔掉电源插头,并及时通知计算机管理人员检查或维修。
第8条公司计算机及周边设备,计算机操作系统和所装软件均为公司财产,计算机使用者不得随意损坏或卸载。
第二章计算机系统应用管理 第9条公司电脑的IP地址由网络管理员统一规划分配,员工不得擅自更改,更不得恶意占用他人的地址。 第10条计算机保管人对计算机软硬负保管之责,使用者如有使用不当,造成毁损或遗失,应负赔偿责任。 第11条计算机保管人和使用人应对计算机操作系统和所安装软件口令严格保密,并至少每180天更改一次密码,密码应满足复杂性原则,长度应不低于8位,并由大写字母、小写字母、数字和标点符号中至少3 类混合组成;对于因为软件自身原因无法达到要求的,应按照软件允许的最高密码安全策略处理。 第12条重要资料、电子文档、重要数据等不得放在桌面、我的文档和系统盘〔一般为C:盘)以免系统崩溃导致数据丢失。与工作相关的重要文件及数据保存两份以上的备份,以防丢失。公司设立文件服务器,重要文件应及时上传备份,各部门专用软件和数据由计算机保管人定期备份上传,需要信息技术部负责备份的应填写《数据备份申请表》,数据中心信息系统数据应按备份管理相关要求备份。
网络安全管理制度落实情况 第一篇_网络安全责任追究制度 网络安全责任追究制度 为进一步落实网络安全和信息安全管理责任,确保学校网络安全和信息安全,切实加强系统管理,明确责任: 一、本部门行政一把手为网络安全和信息安全第一责任人,负责建立和完善本单位网络安全和信息安全组织,建立健全相关管理制度,制定网络安全事故处置措施和应急预案,配备兼职信息安全管理员,具体负责本单位网络安全和信息安全工作。 二、坚持“归属管理”原则,实行24小时网络监控制度,切实做到“看好自己的门,管好自己的人,做好自己的事”。负责教育本部门所属人员(教工及学生)不利用网络制作、传播、查阅和复制下列信息内容:损害国家及学校荣誉、利益、形象的;散布谣言,扰乱社会秩序,破坏社会稳定的;散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;含有法律、法规禁止的其他内容的。 三、坚持“谁主管,谁负责;谁主办,谁负责”的原则,负责加强对本部门上网信息及内容的审查,确保上网信息的安全和保密信息不泄漏。 四、对本部门人员利用网络平台建立的内部交流qq群、飞信群等实时监控;教学单位要摸清学生群体建立的内部交流群,学生管理人员应参与学生交流群加强监控与引导,对交流群中出现的不当言论及时制止、教育,对可能引发严重后果的情况及时上报。 五、严格实行网络安全和信息安全责任追究制度。如因管理不善致使本部门内发生重、特大信息安全事故或严重违纪违法事件的,按有关规定对部门和有关责任人进行处理,情节特别严重的依法追究相关责任人的法律责任。 六、在责任期内,责任书各条款不因负责人变化而变更或解除,接任负责人应相应履行职责。 网络安全管理制度落实情况第二篇_建立健全信息安全管理制度并严格落实 二、建立健全信息安全管理制度并严格落实 各地、各单位要建立健全完善的信息安全保障体系,制定和完善安全管理制度、操作规程和技术规范。要定期开展安全风险评估和隐患排查,深入分析疾病预防控制(含免疫规划等)、妇幼健康等重要信息系统以及人口健康信息平台(含居
网络安全管理制度 公司网络安全管理制度第一条目的为维护公司网络安全,保障信息安全,保证公司网络系统的畅通,有效防止病毒入侵,特制定本制度。 第二条适用范围本制度适用于公司网络系统管理。 第三条职责 1、集团业务处负责公司网络系统的安全管理和日常系统维护,制定相关制度并参加检查。 2、集团办公室会同相关部门不定期抽查网络内设备安全状态,发现隐患及时予以纠正。 3、各部门负责落实网络安全的各项规定。 第四条网络安全管理范围网络安全管理须从以下几个方面进行规范:物理层、网络层、平台安全,物理层包括环境安全和设备安全、网络层安全包含网络边界安全、平台安全包括系统层安全和应用层安全。 第五条机房安全 1、公司网络机房是网络系统的核心。除管理人员外,其他人员未经允许不得入内。 2、管理人员不准在主机房内会客或带无关人员进入。 3、未经许可,不得动用机房内设施。 第六条机房工作人员进入机房必须遵守相关工作制度和条例,不得从事与本职工作无关的事宜,每天上、下班前须检查设备电源情况,在确保安全的情况下,方可离开。 第七条为防止磁化记录的破坏,机房内不准使用磁化杯、收音机等产生磁场的物体。 第八条机房工作人员要严格按照设备操作规程进行操作,保证设备处于良好的运行状态。
第九条机房温度要保持温度在20±5摄氏度,相对湿度在70%±5%。 第十条做好机房和设备的卫生清扫工作,定期对设备进行除尘,保证机房和设备卫生、整洁。 第十一条机房设备必须符合防雷、防静电规定的措施,每年进行一次全面检查处理,计算机及辅助设备的电源须是接地的电源。 第十二条工作人员必须遵守劳动纪律,坚守岗位,认真履行机房值班制度,做好防火、防水、防盗等工作。 第十三条机房电源不可以随意断开,对重要设备必须提供双套电源,并配备UPS电源供电。公司办公楼如长时间停电须通知各部门,制定相应的技术措施,并指明电源恢复时间。 设备安全管理第十四条负责监视、检查网络系统运行设备及其附属设备(如电源、空调等)的工作状况,发现问题及时向领导报告,遇有紧急情况,须立即采取措施进行妥善处理。 第十五条负责保持机房的卫生及对温度、湿度的调整,负责监视并制止违章操作及无关人员的操作。 第十六条不准带电拔插计算机及各种设备的信号连线。不准带电拔插计算机及各种设备。不准随意移动各种网络设备,确需移动的要经技术部领导同意。 第十七条在维护与检修计算机及设备时,打开机箱外壳前须先关闭电源并释放掉自身所带静电。 网络层安全第十八条公司网络与信息系统中,在网络边界和对外出口处配置网络防火墙。 第十九条未实施网络安全管理措施的计算机设备禁止与
公司网络安全管理制度 为加强公司网络系统的安全管理,防止因偶发性事件、网络病毒等造成系统故障,妨碍正常的工作秩序,特制定本管理办法。 一、网络系统的安全运行,是公司网络安全的一个重要内容,有司专人负责网络系统的安全运行工作。 二、网络系统的安全运行包括四个方面:一是网络系统数据资源的安全保护,二是网络硬件设备及机房的安全运行,三是网络病毒的防治管理,四是上网信息的安全。 (一)数据资源的安全保护。网络系统中存贮的各种数据信息,是生产和管理所必须的重要数据,数据资源的破坏将严重影响生产与管理工作的正常运行。数据资源安全保护的主要手段是数据备份,规定如下: 1、办公室要做到数据必须每周一备份。 2、财务部要做到数据必须每日一备份
3、一般用机部门要做到数据必须每周一备份。 4、系统软件和各种应用软件要采用光盘及时备份。 5、数据备份时必须登记以备检查,数据备份必须正确、可靠。 6、严格网络用户权限及用户名口令管理。 (二)硬件设备及机房的安全运行 1、硬件设备的供电电源必须保证电压及频率质量,一般应同时配有不间断供电电源,避免因市电不稳定造成硬件设备损坏。 2、安装有保护接地线,必须保证接地电阻符合技术要求(接地电阻 2 ,零地电压 2V),避免因接地安装不良损坏设备。 3、设备的检修或维护、操作必须严格按要求办理,杜绝因人为因素破坏硬件设备。
4、网络机房必须有防盗及防火措施。 5、保证网络运行环境的清洁,避免因集灰影响设备正常运行。 (三)网络病毒的防治 1、各服务器必须安装防病毒软件,上网电脑必须保证每台电脑要安装防病毒软件。 2、定期对网络系统进行病毒检查及清理。 3、所有U盘须检查确认无病毒后,方能上机使用。 4、严格控制外来U盘的使用,各部门使用外来U盘须经检验认可,私自使用造成病毒侵害要追究当事人责任。
和平中心网络安全管理制度 第一条为切实加强中心网络安全管理工作,维护网络的正常运行,根据《中华人民共和国网络安全法》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》、《中华人民共和国计算机信息网络国际联网管理暂行规定》及其他有关法律法规的规定,特制定本规范。 第二条网络管理员及各科室负责人负责中心网络安全管 理的具体事务,对中心网络安全管理工作应履行下列职责:1.传达并执行上级有关网络安全的条例、法规,并制止有关违反网络安全条例、法规的行为。 2.确定安全管理责任人:网络安全负责人为办公室主任XX,网络安全员为网管XX。 3.购置和配备应用与网络安全管理的软、硬件(如防火墙、路由器、杀毒软件等)。 4.对中心网上发布的信息进行安全检查和审核。 第三条中心网络管理员在办公室的领导下具体负责中心的网络安全和信息安全工作,包括网络安全的技术支持、信息发布的审核、重要信息的保存和备份以及不良信息的举报和协助查处工作。 第四条中心网络管理员可对中心内所有计算机进行安全检查,相关部门或个人应积极配合,提供有关情况和资料。
第五条中心任何部门或个人通过网络存取、处理、传递属于机密的信息,必须采取相应的保密措施,确保机密安全。重要部门的计算机应重点加强安全管理和保卫工作。 第六条中心所有计算机的网络配置(如IP地址等)应由网络管理员统一规划与配置,任何部门或个人不得擅自更改配置信息。 第七条禁止职工浏览色情网站、利用网络散布反动言论等,如有违反,应按中心有关规定严肃处理。 第八条中心应建立网站和个人主页的备案、定期审核制度。中心网站的建设应本着有利于对内对外的宣传、有利于工作生活、有利于节约网络资源的原则,严格履行备案和定期审核的手续。未经审核或审核不合格的网站或个人主页应予以取缔。 第九条中心任何部门或个人在公网上建设网站、主页,要严格遵守有关法规,不得损害中心的声誉和利益。 第十条中心任何部门和个人不得利用网络危害国家安全、泄露国家秘密,不得侵犯国家、社会、集体的利益,不得从事任何违法犯罪活动。 第十一条中心任何部门和个人不得利用网络制作、复制、查阅和传播下列信息: 1.煽动抗拒、破坏宪法和法律、行政法规实施的; 2.煽动颠覆国家政权,推翻社会主义制度的; 3.煽动分裂国家、破坏国家统一的;
《集团网络安全管理制度》 计算机网络为集团局域网提供网络基础平台服务和互联网接入服务,由网络维护中心负责计算机连网和网络管理工作。为保证集团局域网能够安全可靠地运行,充分发挥信息服务方面的重要作用,更好地为集团员工提供服务,现制定并发布《集团网络安全管理制度》。 第一条所有网络设备(包括路由器、交换机、集线器、光纤、网线等)均归网络维护中心所管辖,其安装、维护等操作由网络维护中心工作人员进行,其他任何人不得破坏或擅自维修。 第二条所有集团内计算机网络部分的扩展必须经过网络维护中心实施或批准实施,未经许可任何部门不得私自连接交换机、集线器等网络设备,不得私自接入网络。网络维护中心有权拆除用户私自接入的网络线路并报告上级领导。 第三条各分公司、处(室)的联网工作必须事先报经网络维护中心,由网络维护中心做网络实施方案。 第四条集团局域网的网络配置由网络维护中心统一规划管理,其他任何人不得私自更改网络配置。 第五条接入集团局域网的客户端计算机的网络配置由网络维护中心部署的服务器统一管理分配,包括:用户计算机的IP地址、网关、DNS和WINS服务器地址等信息。未经许可,任何人不得更改网络配置。
第六条网络安全:严格执行国家《网络安全管理制度》。对在集团局域网上从事任何有悖网络法规活动者,将视其情节轻重交有关部门或公安机关处理。 第七条集团员工具有信息保密的义务。任何人不得利用计算机网络泄漏公司机密、技术资料和其它保密资料。 第八条严禁外来人员对计算机数据和文件进行拷贝或抄写以免泄漏集团机密,对集团办公系统或其它集团内部平台帐号不得相互知晓,每个人必须保证自己帐号的唯一登陆性,否则由此产生的数据安全问题由其本人负全部责任。 第九条各部门人员必须及时做好各种数据资料的录入、修改、备份和数据保密工作,保证数据资料的完整准确和安全性。 第十条任何人不得在局域网络和互联网上发布有损集团公司形象和职工声誉的信息。 第十一条任何人不得扫描、攻击集团计算机网络和他人计算机。不得盗用、窃取他人资料、信息等。 第十二条为了避免或减少计算机病毒对系统、数据造成的影响,接入集团局域网的所有用户必须遵循以下规定: 1.任何部门和个人不得制作计算机病毒;不得故意传播计算机病毒,危害计算机信息系统安全;不得向他人提供含有计算机病毒的文件、软件、媒体。 2. 采取有效的计算机病毒安全技术防治措施。建议客户端计算机安装使用网络维护中心部署发布的相关杀毒软件和360安全卫士
信息安全管理制度 为加强公司各信息系统管理,保证信息系统安全,据《中华人民共和国保守国家秘密法》和国家保密局《计算机信息系统保密管理暂行规定》、国家保密局《计算机信息系统国际联网保密管理规定》,及上级信息管理部门相关规定和要求,结合公司实际,制定本制度。 本制度包括网络安全管理、信息系统安全保密制度、信息安全风险应急预案 网络安全管理制度 第一条公司网络的安全管理,应当保障网络系统设备和配套设施的安全,保障信息的安全,保障运行环境的安全。 第二条任何单位和个人不得从事下列危害公司网络安全的活动: 1、任何单位或者个人利用公司网络从事危害公司计算机网络及信息系统的安全。 2、对于公司网络主结点设备、光缆、网线布线设施,以任何理由破坏、挪用、改动。 3、未经允许,对信息网络功能进行删除、修改或增加。 4、未经允许,对计算机信息网络中的共享文件和存储、处理或传输的数据和应用程序进行删除、修改或增加。 5、故意制作、传播计算机病毒等破坏性程序。
6、利用公司网络,访问带有“黄、赌、毒”、反动言论内容的网站。 7、向其它非本单位用户透露公司网络登录用户名和密码。 8、其他危害信息网络安全的行为。 第三条各单位信息管理部门负责本单位网络的安全和信息安全工作,对本单位单位所属计算机网络的运行进行巡检,发现问题及时上报信息中心。 第四条连入公司网络的用户必须在其本机上安装防病毒软件,一经发现个人计算机由感染病毒等原因影响到整体网络安全,信息中心将立即停止该用户使用公司网络,待其计算机系统安全之后方予开通。 第五条严禁利用公司网络私自对外提供互联网络接入服务,一经发现立即停止该用户的使用权。 第六条对网络病毒或其他原因影响整体网络安全子网,信息中心对其提供指导,必要时可以中断其与骨干网连接,待子网恢复正常后再恢复连接。
******公司网络安全管理制度 1、机房管理规定 1.1、机房环境 1.1.1、机房环境实施集中监控和巡检登记制度。环境监控应包括:烟雾、温湿度、防盗系统。 1.1.2、机房应保持整齐、清洁。进入机房应更换专用工作服和工作鞋。 1.1.3、机房应满足温湿度的要求,配有监视温湿度的仪表或装置。温度:低于28°C 湿度:小于80% 1.1.4、机房的照明及直流应急备用照明电源切换正常,照明亮度应满足运行维护的要求,照明设备设专人管理,定期检修。 1.1.5、门窗应密封,防止尘埃、蚊虫及小动物侵入。 1.1.6、楼顶及门窗防雨水渗漏措施完善;一楼机房地面要进行防潮处理,在满足净空高度的原则下,离室外地面高度不得小于15CM。 1.2、机房安全 1.2.1、机房内用电要注意安全,防止明火的发生,严禁使用电焊和气焊。 1.2.2、机房内消防系统及消防设备应定期按规定的检查周期及项目进行检查,消防系统自动喷淋装置应处于自动状态。 1.2.3、机房内消防系统及消防设备应设专人管理,摆放位置适当,任何人不得擅自挪用和毁坏;严禁在消防系统及消防设备周围堆放杂物,维护值班人员要掌握灭火器的使用方法。 1.2.4、机房内严禁堆放汽油、酒精等易燃易爆物品。机房楼层间的电缆槽道要用防火泥进行封堵隔离。严禁在机房内大面积使用化学溶剂。 1.2.5、无人值守机房的安全防范措施要更加严格,重要机房应安装视像监视系统。 1.3、设备安全 1.3.1、每年雷雨季节到来之前的要做好雷电伤害的预防工作,主要检查机房设备与接地系统与连接处是否紧固、接触是否良好、接地引下线有无锈蚀、
接地体附近地面有无异常,必要时挖开地面抽查地下掩蔽部分锈蚀情况,如发现问题应及时处理。 1.3.2、接地网的接地电阻宜每年测量一次,测量方法按DL548—94标准附录B,接地电阻符合该标准附录A的表1所列接地电阻的要求,要防止设备地电位升高,击穿电器绝缘,引发通信事故。 1.3.3、每年雷雨季节到来之前应对运行中的防雷元器件进行一次检测,雷雨季节中要加强外观巡视,发现异常应及时处理。 1.3.4、房设备应有适当的防震措施。 1.4、接地要求 1.4.1、独立的数据网络机房必须有完善的接地系统,靠近建筑物或变电站的数据网络机房接地系统必须在本接地系统满足DL548—94标准附录A的表1所列接地电阻的要求后才可与附近建筑物或变电站的接地系统连接,连接点不得少于两点。 1.4.2、机房内接地体必须成环,与接地系统的连接点不得少于两点,机房内设备应就近可靠接地。 1.5、人身安全 1.5.1、检修及值班人员要严格遵守安全制度,树立安全第一的思想,确保设备和人身的安全。 1.5.2、通信站保卫值班人员不得在通信设备与电器设备上作业。通信站内高压设备出现故障应立即通知高压检修人员抢修,保卫值班、通信检修人员不得进入高压场地安全区内。 2、帐户管理规定 帐户是用户访问网络资源的入口,它控制哪些用户能够登录到网络并获取对那些网络资源有何种级别的访问权限。帐户作为网络访问的第一层访问控制,其安全管理策略在全网占有至关重要的地位。 在日常运维中发生的许多安全问题很大程度上是由于内部的安全防范及安全管理的强度不够。帐户管理混乱、弱口令、授权不严格、口令不及时更新、旧帐号及默认帐号不及时清除等都是引起安全问题的重要原因。 对于账户的管理可从三个方面进行:用户名的管理、用户口令的管理、用
网络安全管理制度 第一条所有接入网络的用户必须遵守国家有关法律、法规,严格执行安全保密制度,并对所提供的信息负责。任何单位和个人不得利用连网计算机从事危害城域网及专用内网防火墙、路由器、交换机、服务器等网络设备的活动。不得在网络上制作、发布、传播下列有害内容: (一)泄露国家秘密,危害国家安全的; (二)违反国家民族、宗教与教育政策的; (三)煽动暴力,宣扬封建迷信、邪教、黄色淫秽,违反社会公德,以及赌博、诈骗和教唆犯罪的; (四)公然侮辱他人或者捏造事实诽谤他人的,暴露个人隐私和攻击他人与损害他人合法权益的; (五)散布谣言,扰乱社会秩序,鼓励聚众滋事的; (六)损害社会公共利益的; (七)计算机病毒; (八)法律和法规禁止的其他有害信息。 如发现上述有害信息内容,应及时向公安机关或上级主管部门报告,并采取有效措施制止其扩散。
第二条在网站上发现大量有害信息,以及遭到黑客攻击后,必须在12小时内向上级部门及公安机关报告,并协助查处。在保留有关上网信息和日志记录的前题下,及时删除有关信息。问题严重、情况紧急时,应关闭交换机或相关服务器。 第三条任何单位和个人不得在其连网的计算机上收阅下载传递有政治问题 和淫秽色情内容的信息。 第四条所有接入网络的用户必须对提供的信息负责,网络上信息、资源、软件等的使用应遵守知识产权的有关法律法规。对于运行无合法版权的网络软件而引起的版权纠纷由使用部门(个人)承担全部责任。 第五条严禁在网络上使用来历不明、引发病毒传染的软件,对于来历不明的可能引发计算机病毒的软件应使用公安部门推荐的杀毒软件检查、杀毒。 第六条认真执行各项管理制度和技术规范,监控、封堵、清除网上有害信息。为有效地防范网上非法活动、各子网站要加强出口管理和用户管理。重要网络设备必须保持日志记录,时间不少于180天。
管理制度编号:YTO-FS-PD967 网络安全管理制度通用版 In Order T o Standardize The Management Of Daily Behavior, The Activities And T asks Are Controlled By The Determined Terms, So As T o Achieve The Effect Of Safe Production And Reduce Hidden Dangers. 标准/ 权威/ 规范/ 实用 Authoritative And Practical Standards
网络安全管理制度通用版 使用提示:本管理制度文件可用于工作中为规范日常行为与作业运行过程的管理,通过对确定的条款对活动和任务实施控制,使活动和任务在受控状态,从而达到安全生产和减少隐患的效果。文件下载后可定制修改,请根据实际需要进行调整和使用。 为维护我校校园网的安全使用,特制订《拾万小学网络安全管理制度》,请所有使用网络的教工、学生自觉严格遵守。 1、学校成立网络管理领导小组。领导小组由校长范定全同志担任,组员由学校行政人员、各办公室主任和网络管理人员组成。 2、学校成立网络安全维护小组。组长由网络管理员杨道元同志担任,组员为各办公室主任及班主任组成。负责在网络管理领导小组指导下进行日常维护和安全监测。 3、学校鼓励各教室、办公室、专用室和全体师生使用各类网络资源,不得在使用过程中散布病毒,发表不适当言论。 4、网络维护小组根据区信息中心要求为每个教室、办公室、专用室、学生机房统一分配IP地址,其他人不得随意更改,如有需要报维护小组进行修改。 5、各教室、办公室、专用室在使用网络过程中必须遵守国家有关法律、法规和区信息中心的有关规定。
第一条目的 为维护公司网络安全,保障信息安全,保证公司网络系统的畅通,有效防止病毒入侵,特制定本制度。 第二条适用范围 本制度适用于公司网络系统管理。 第三条职责 1、技术开发部负责公司网络系统的安全管理和日常系统维护,制定相关制度并参加检查。 2、办公室、安质部会同相关部门不定期抽查网络内设备安全状态,发现隐患及时予以纠正。 3、各部门负责落实网络安全的各项规定。 第四条网络安全管理范围 网络安全管理须从以下几个方面进行规范:物理层、网络层、平台安全,物理层包括环境安全和设备安全、网络层安全包含网络边界安全、平台安全包括系统层安全和应用层安全。 第五条机房安全 1、公司网络机房是网络系统的核心。除技术部管理人员外,其他人员未经允许不得入内。 2、技术部的管理人员不准在主机房内会客或带无关人员进入。 3、未经许可,不得动用机房内设施。 第六条机房工作人员进入机房必须遵守相关工作制度和条例,不得从事与本职工作无关的事宜,每天上、下班前须检查设备电源情况,在确保安全的情况下,方可离开。 第七条为防止磁化记录的破坏,机房内不准使用磁化杯、收音机等产生磁场的物体。 第八条机房工作人员要严格按照设备操作规程进行操作,保证设备处于良好的运行状态。 第九条机房温度要保持温度在20±5摄氏度,相对湿度在70%±5%。 第十条做好机房和设备的卫生清扫工作,定期对设备进行除尘,保证机房和设备卫生、整洁。
第十一条机房设备必须符合防雷、防静电规定的措施,每年进行一次全面检查处理,计算机及辅助设备的电源须是接地的电源。 第十二条工作人员必须遵守劳动纪律,坚守岗位,认真履行机房值班制度,做好防火、防水、防盗等工作。 第十三条机房电源不可以随意断开,对重要设备必须提供双套电源。并配备UPS电源供电。公司办公楼如长时间停电须通知技术部,制定相应的技术措施,并指明电源恢复时间。 设备安全管理 第十四条网络系统的主设备是连续运行的,技术部每天必须安排专职值班人员。 第十五条负责监视、检查网络系统运行设备及其附属设备(如电源、空调等)的工作状况,发现问题及时向技术部领导报告,遇有紧急情况,须立即采取措施进行妥善处理。 第十六条负责填写系统运行(操作)日志,并将当日发生的重大事件填写在相关的记录本上。负责对必要的数据进行备份操作。 第十七条负责保持机房的卫生及对温度、湿度的调整,负责监视并制止违章操作及无关人员的操作。 第十八条不准带电拔插计算机及各种设备的信号连线。不准带电拔插计算机及各种设备。不准随意移动各种网络设备,确需移动的要经技术部领导同意。 第十九条在维护与检修计算机及设备时,打开机箱外壳前须先关闭电源并释放掉自身所带静电。 网络层安全 第二十条公司网络与信息系统中,在网络边界和对外出口处必须配置网络防火墙。 第二十一条未实施网络安全管理措施的计算机设备禁止与外网相连。 第二十二条任何接入网络区域中的网络安全设备,必须使用经过国家有关安全部门认证的网络安全产品。 第二十三条在计算机联入公司网络之后,禁止再以其他任何方式(如拨号上网、ISDN、ADSL等)与外网相连。
计算机网络安全管理制度(样本)第一章总则、安全组织 第一条为了加强对本单位计算机网络的安全保护,维护计算机网络的正常运作,根据有关法规的规定,制定本制度。任何使用本单位计算机网络的人员必须遵循此制度。 第二条根据有关法律法规,本单位须建立互联网安全领导组织,并报公安机关备案。经单位办公会研究决定,本单位计算机网络安全领导组织为:×××计算机网络安全领导小组,人员分工如下: 组长:××× 副组长:××× 安全员:×××,××× 第三条领导小组的主要职责: (一)全面负责上级机关及我市关于互联网安全政策和法规的宣传与落实; (二)研究制定本单位各项安全管理制度和安全管理措施; (三)对本单位的安全管理制度和安全措施的落实情况进行检查和督导以及安全隐患的排查; (四)精心挑选、指派一名或多名政治素质好,懂计算机知识的专业技术人员担任本单位的计算机安全员,安全员参加公安机关安全技术培训和考核后,持证上岗。 第二章计算机机房安全管理制度 第四条计算机机房管理员要保证计算机软、硬件运行正常,满足办公需要。 第五条计算机使用人员负责管理所使用的计算机,公共用机实行使用登记制度,无关人员不得使用计算机。 第六条按照计算机的操作规程要求正确操作使用计算机。 第七条禁止计算机使用人员私自拆卸计算机设备、删除及更改系统配置信息、格式化硬盘等。 第八条爱护公用设备,人为损坏计算机设备,必须照价赔偿。 第九条长时间离开计算机前必须关闭所有电源。 第三章信息发布、审核、登记、报告制度 第十条任何人员不得利用本单位计算机,从事危害国家安全、泄露国家秘密,不得从事赌博违法犯罪活动,不得侵犯国家、社会、集体利益和其他公民的合法权益,不得制作、复制和传播下列信息: (一)煽动抗拒、破坏宪法和法律、行政法规实施的; (二)煽动颠覆国家政权、推翻社会主义制度的; (三)煽动分裂国家、破坏国家统一的; (四)煽动民族仇恨、民族歧视,破坏民族团结的; (五)捏造或者歪曲事实,散布谣言,扰乱社会秩序的;
网络安全信息系统管理制度 计算机信息网络单位应当在根河市网络安全主管部门监督指导下,建立和完善计算机网络安全组织,成立计算机网络安全领导小组。 1、确定本单位计算机安全管理责任人和安全领导小组负责人(由主管领导担任),应当履行下列职责: (一)组织宣传计算机信息网络安全管理方面的法律、法规和有关政策; (二)拟定并组织实施本单位计算机信息网络安全管理的各项规章制度; (三)定期组织检查计算机信息网络系统安全运行情况,及时排除各种安全隐患; (四)负责组织本单位信息安全审查; (五)负责组织本单位计算机从业人员的安全教育和培训; (六)发生安全事故或计算机违法犯罪案件时,立即向公安机关网监部门报告并采取妥善措施,保护现场,避免危害的扩散,畅通与公安机关网监部门联系渠道。 2、配备1至2名计算机安全员(由技术负责人和技术操作人员组成),应当履行下列职责: (一)执行本单位计算机信息网络安全管理的各项规章制度; (二)按照计算机信息网络安全技术规范要求对计算机信息系统安全运行情况进行检查测试,及时排除各种安全隐患;
(三)根据法律法规要求,对经本网络或网站发布的信息实行24小时审核巡查,发现传输有害信息,应当立即停止传输,防止信息扩散,保存有关记录,并向公安机关网监部门报告; (四)发生安全事故或计算机违法犯罪案件时,应当立即向本单位安全管理责任人报告或直接向公安机关网监部门报告,并采取妥善措施,保护现场,避免危害的扩大; (五)在发生网络重大突发性事件时,计算机安全员应随时响应,接受公安机关网监部门调遣,承担处置任务; (六)我市计算机安全技术人员必须经过市公安机关网监部门认可的安全技术培训,考核合格后持证上岗。合格证有效期两年。 3、单位安全组织应保持与公安机关联系渠道畅通,保证各项信息网络安全政策、法规在本单位的落实,积极接受公安机关网监部门业务监督检查。 4、单位安全组织的安全负责人及安全技术人员应切实履行各项安全职责,对不依法履行职责,造成安全事故和重大损害的,由公安机关予以警告,并建议其所在单位给予纪律或经济处理;情节严重的,依法追究刑事责任。 网络信息监视、保存、清除和备份制度 一、严格执行国家及地方制定的信息安全条例。 二、上网用户必须严格遵循网络安全保密制度。
公司信息安全管理制度 信息安全是指通过各种策略保证公司计算机设备、信息网络平台(内部网络系统及ERP、CRM、WMS、网站、企业邮箱等)、电子数据等的安全、稳定、正常,旨在规范与保护信息在传输、交换和存储、备份过程中的机密性、完整性和真实性。为加强公司信息安全的管理,预防信息安全事故的发生,特制定本管理制度。本制度适用于使用新合程计算机设备、信息系统、网络系统的所有人员。 1.计算机设备安全管理 1.1员工须使用公司提供的计算机设备(特殊情况的,经批准许可的方能使用自已的计算机),不得私自调换或拆卸并保持清洁、安全、良好的计算机设备工作环境,禁止在计算机使用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。 1.2严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许私自拆卸计算机组件,当计算机出现硬件故障时应及时向信息技术部报告,不允许私自处理和维修。 1.3员工对所使用的计算机及相关设备的安全负责,如暂时离开座位时须锁定系统,移动介质自行安全保管。未经许可,不得私自使
用他人计算机或相关设备,不得私自将计算机等设备带离公司。 1.4因工作需要借用公司公共笔记本的,实行“谁借用、谁管理”的原则,切实做到为工作所用,使用结束后应及时还回公司。 2.电子资料文件安全管理。 2.1文件存储 重要的文件和工作资料不允许保存在C盘(含桌面),同时定期做好相应备份,以防丢失;不进行与工作无关的下载、游戏等行为,定期查杀病毒与清理垃圾文件;拷贝至公共计算机上使用的相关资料,使用完毕须注意删除;各部门自行负责对存放在公司文件服务器P盘的资料进行审核与安全管理;若因个人原因造成数据资料泄密、丢失的,将由其本人承担相关后果。 2.2文件加密 涉及公司机密或重要的信息文件,所有人员需进行必要加密并妥善保管;若因保管不善,导致公司信息资料的外泄及其他损失,将由其本人承担一切责任。