公司远程接入安全管理实施细则(试行)

  • 格式:doc
  • 大小:121.50 KB
  • 文档页数:10

远程接入安全管理实施细则
第一章总则
第一条为加强(以下简称“”)省公司及各市分公司对远程接入的管理,保障在安全可控的前提下实现远程维护、使用业务、获取数据等目的,根据国家要求及《网络
与信息安全保障体系(NISS)总纲》、《远程接入安全管理办法》、《内控手
册(2007版)》等公司相关规定,特制定本实施细则。

第二条远程接入应符合“谁主管、谁负责,谁接入、谁负责”总体原则,遵从“基于需求”、“集中化”及“可控”等具体原则,并与维保方式改革相一致。

通过规范申请、审批
等过程,实现安全接入。

第三条本细则适用于省公司及各市分公司通信网、业务网和各支撑系统维护部门,使用相关系统的一般员工以及所有由于特定目的、需要短期访问网络的合作伙伴,
如SP、CP、代维公司、设备供应商的支持人员等等。

第四条“远程接入”特指从网络之外的其它场所,如家庭、酒店、交通途中、第三方办公场所等,在逐次审批的前提下通过部署的拨号、CMNet、VPN或者综合维护接
入平台等方式,访问网络的情形。

其它两个网络之间的互联管理要求参见《网
络互联管理办法》。

第五条本实施细则自发布之日起执行。

第二章职责与分工
第六条总体原则
(一)“谁主管、谁负责,谁接入、谁负责”原则。

通信网、业务网和各支撑系统的
维护部门作为第一责任人,分别直接负责所辖网络的远程接入管理工作;
(二)“基于需求”原则。

所有远程接入需求应符合业务发展、运维管理的实际需要,
必须有明确的接入目的,接入所开放的访问权限(如访问时限、可访问时间
段、可发起访问的地址段、需要访问的系统、操作权限等等)应以满足而且
不超出实际需求为标准;
(三)“集中化”原则。

远程接入应尽量减少接入点,通过逐步设置集中的接入点,
为实现对远程访问的集中控管奠定基础;
(四)“可控”原则。

所有远程接入必须通过申请、审批、备案及审计,确保在安全
可控的前提下实现远程接入;
(五)与维保方式改革思路相一致。

非代维方式的厂家支持人员,原则上应在每次
接入前进行审批,并在接入完成后收回分配的帐号权限。

第七条网络安全职能管理部门:省公司网络与信息安全工作办公室作为网络安全职能管理部门,其主要负责:
(一)落实上级主管部门宏观要求,配合上级部门完成必要的远程接入实施工作;
(二)制定公司层面的远程接入管理办法;
(三)对本公司或者下级部门远程接入管理实施细则执行情况进行定期审核、检
查。

第八条远程接入点管理部门:指所部署的拨号、VPN等远程接入手段的维护部门,省业务支撑中心负责BOSS、客服等系统维护的远程接入点管理;省网管中心负
责通信网、业务网和网管系统维护的远程接入点管理;省发展计划部IT中心负
责信息管理系统维护的远程接入点管理;省网络部负责跨专业维护远程接入点
管理,主要负责为:
(一)落实上级主管部门宏观要求,并配合上级主管部门组织实施的接入工作;
(二)制定本部门的远程接入实施细则;
(三)接收、审批相关远程接入需求申请;对远程接入情况,如所辖范围内设置的
接入点数量、部署位置、用途、责任人等,保存相关数据;
(四)组织制定、审核接入技术方案;按照《支撑系统安全域划分与边界整合技术
要求》、《防火墙部署总体技术要求》和具体的接入相关系统安全防护方案要
求、尤其是边界访问控制相关要求,明确对接入点的安全防护技术要求及管
理要求;
(五)向远程接入需求人员提供接入能力,如发放接入设备中的帐号权限、VPN
客户端软件、设置接入配置数据,提供接入咨询;
(六)远程接入人员权限到期或者接入任务完成后,应及时删除相应帐号或者修改
帐号口令;
(七)负责审核本部门所辖网络的远程接入情况并产生审核情况记录。

对每次接入
进行实时监控,并定期审核远程操作记录,及时发现违规操作。

第九条远程接入需求人员:指为实现业务、管理、维护等目的而提出接入需求的部门或人员,如各系统维护部门、业务部门、工程建设部门的相关人员,相关合作
伙伴,如SP、CP、代维公司、银行、设备供应商的相关人员等等。

主要职责包
括:
(一)按照接入审批要求,提出书面申请;
(二)按照远程接入管理部门提出的安全技术要求和管理要求,配置用于访问的终
端,确保安全接入;
(三)访问结束后,如远程接入点管理部门有明确要求,应及时说明并终止接入;
(四)不得将相关帐号、口令告诉其它人,或者用于其它目的,否则应承担由此引
起的一切后果。

第三章远程接入管理流程
第十条远程接入申请阶段
(一)远程接入需求人员按照远程接入管理部门制定的远程接入申请表格式要求,
填写申请表,申请方填写内容至少包括:申请单位、申请单位联系人、申请
单位负责人、拟接入的系统、申请目的描述(如访问哪些数据、进行什么维
护等等)、申请开通时间、接入有效期,如果申请人为第三方,单位负责人
需要签字盖章,并提交与签署的保密协议复印件或者协议序号;
(二)提交远程接入管理部门。

第十一条接入需求审批阶段
(一)远程接入管理部门联合远程接入需求拟访问系统的维护人员,对接入申请进
行评估审核,对于信息不全、描述不够清晰的申请,应要求提供者补充完善;
对于需求目的不合理的申请,应予以拒绝,并对其说明理由;
(二)对合理的远程接入申请,应分配并配置相应接入点设备及拟访问系统中的帐
号,并通知需求人员;
(三)远程接入管理部门对接入情况进行备案,以备查询、审计。

(四)审批流程如下:
第十二条远程接入阶段
(一)需求人员按照接入管理规定具体要求,访问相关系统;
(二)建立认证服务器,对所有远程接入访问进行认证,认证的用户名统一规范管
理,认证的用户与用户名必须一一对应,禁止使用公用的认证帐号。

(三)远程接入的计算机终端(包括公司内部员工与第三方)不强制安全域与安装
NUMEN客户端,但建议有条件的计算机终端安装NUMEN客户端,通过
NUMEN用户名及密码认证及严格的终端合规性检查(操作系统补丁、防病
毒软件版本及病毒定义、禁止无密码共享、禁止多网卡同时使用、规范计算
机名,合法登陆帐号及合规密码等)。

(四)保留各专业的应急故障处理快速通道,各专业对应急故障处理快速通道的接
入进行严格审批。

(五)远程接入点管理部门对远程接入的用户进行分级,限制访问权限,按照最小
权限原则分配访问权限,并对远程用户登陆过程进行记录(包括但不限于以
下信息:用户名、登陆方式、登入时间、登出时间)。

(六)远程接入时由拨号服务器或VPN接入网关负责分配IP地址,并保证远程接
入用户获得的IP地址全部处于可控的范围内,只能访问指定的系统资源。

(七)通过远程接入进入公司网络的远程用户必须对远程接入的认证设备、用户名。