公司網(wǎng)絡安全管理制度

1、上海好司機網(wǎng)絡科技有限公司網(wǎng)絡安全管理制度1機房管理規(guī)定1.1、 機房環(huán)境1.1.1、 機房環(huán)境實施集中監(jiān)控和巡檢登記制度。環(huán)境監(jiān)控應包括：煙霧、溫濕度、防盜系統(tǒng)。1.1.2、 機房應保持整齊、清潔。進入機房應更換專用工作服和工作鞋。1.1.3、 機房應滿足溫濕度的要求，配有監(jiān)視溫濕度的儀表或裝置。溫度：低于28C濕度：小于80%1.1.4、 機房的照明及直流應急備用照明電源切換正常，照明亮度應滿足運行維護的要求，照明設備設專人管理，定期檢修。1.1.5、 門窗應密封，防止塵埃、蚊蟲及小動物侵入。1.1.6、 樓頂及門窗防雨水滲漏措施完善；一樓機房地面要進行防潮處理，在滿足凈空高度的原則下，離

2、室外地面高度不得小于15CM1.2、 機房安全1.2.1、 機房內(nèi)用電要注意安全，防止明火的發(fā)生，嚴禁使用電焊和氣焊。1.2.2、 機房內(nèi)消防系統(tǒng)及消防設備應定期按規(guī)定的檢查周期及項目進行檢查，消防系統(tǒng)自動噴淋裝置應處于自動狀態(tài)。1.2.3、 機房內(nèi)消防系統(tǒng)及消防設備應設專人管理，擺放位置適當，任何人不得擅自挪用和毀壞；嚴禁在消防系統(tǒng)及消防設備周圍堆放雜物，維護值班人員要掌握滅火器的使用方法。1.2.4、 機房內(nèi)嚴禁堆放汽油、酒精等易燃易爆物品。機房樓層間的電纜槽道要用防火泥進行封堵隔離。嚴禁在機房內(nèi)大面積使用化學溶劑。1.2.5、 無人值守機房的安全防范措施要更加嚴格，重要機房應安裝視像監(jiān)視

3、系統(tǒng)。1.3、 設備安全1.3.1、 每年雷雨季節(jié)到來之前的要做好雷電傷害的預防工作，主要檢查機房設備與接地系統(tǒng)與連接處是否緊固、接觸是否良好、接地引下線有無銹蝕、接地體附近地面有無異常，必要時挖開地面抽查地下掩蔽部分銹蝕情況，如發(fā)現(xiàn)問題應及時處理。1.3.2、 接地網(wǎng)的接地電阻宜每年測量一次，測量方法按DL548-94標準附錄B,接地電阻符合該標準附錄A的表1所列接地電阻的要求，要防止設備地電位升高，擊穿電器絕緣，引發(fā)通信事故。1.3.3、 每年雷雨季節(jié)到來之前應對運行中的防雷元器件進行一次檢測，雷雨季節(jié)中要加強外觀巡視，發(fā)現(xiàn)異常應及時處理。1.3.4、 房設備應有適當?shù)姆勒鸫胧?.4、

4、接地要求1.4.1、 獨立的數(shù)據(jù)網(wǎng)絡機房必須有完善的接地系統(tǒng)，靠近建筑物或變電站的數(shù)據(jù)網(wǎng)絡機房接地系統(tǒng)必須在本接地系統(tǒng)滿足DL548-94標準附錄A的表1所列接地電阻的要求后才可與附近建筑物或變電站的接地系統(tǒng)連接，連接點不得少于兩點。1.4.2、 機房內(nèi)接地體必須成環(huán)，與接地系統(tǒng)的連接點不得少于兩點，機房內(nèi)設備應就近可靠接地。1.5、 人身安全1.5.1、 檢修及值班人員要嚴格遵守安全制度，樹立安全第一的思想，確保設備和人身的安全。1.5.2、 通信站保衛(wèi)值班人員不得在通信設備與電器設備上作業(yè)。通信站內(nèi)高壓設備出現(xiàn)故障應立即通知高壓檢修人員搶修，保衛(wèi)值班、通信檢修人員不得進入高壓場地安全區(qū)內(nèi)。

5、2帳戶管理規(guī)定帳戶是用戶訪問網(wǎng)絡資源的入口，它控制哪些用戶能夠登錄到網(wǎng)絡并獲取對那些網(wǎng)絡資源有何種級別的訪問權(quán)限。帳戶作為網(wǎng)絡訪問的第一層訪問控制，其安全管理策略在全網(wǎng)占有至關重要的地位。在日常運維中發(fā)生的許多安全問題很大程度上是由于內(nèi)部的安全防范及安全管理的強度不夠。帳戶管理混亂、弱口令、授權(quán)不嚴格、口令不及時更新、舊帳號及默認帳號不及時消除等都是引起安全問題的重要原因。對于賬戶的管理可從三個方面進行：用戶名的管理、用戶口令的管理、用戶授權(quán)的管理。2.1、 用戶名管理用戶注冊時，服務器首先驗證所輸入的用戶名是否合法，如果驗證合法，才繼續(xù)驗證用戶輸入的口令，否則，用戶將被拒于網(wǎng)絡之外。用戶名的

6、管理應注意以下幾個方面：隱藏上一次注冊用戶名更改或刪除默認管理員用戶名更改或刪除系統(tǒng)默認帳號及時刪除作費帳號清晰合理地規(guī)劃和命名用戶帳號及組帳號根據(jù)組織結(jié)構(gòu)設計帳戶結(jié)構(gòu)不采用易于猜測的用戶名用戶帳號只有系統(tǒng)管理員才能建立2.2、 口令管理用戶的口令是對系統(tǒng)安全的最大安全威脅，對網(wǎng)絡用戶的口令進行驗證是防止非法訪問的第一道防線。用戶不像系統(tǒng)管理員對系統(tǒng)安全要求那樣嚴格，他們對系統(tǒng)的要求是簡單易用。而簡單和安全是互相矛盾的兩個因素，簡單就不安全,安全就不簡單。簡單的密碼是暴露自己隱私最危險的途徑，是對自己郵件服務器上的他人利益的不負責任，是對系統(tǒng)安全最嚴重的威脅，為保證口令的安全性，首先應當明確目

7、前的機器上有沒有絕對安全的口令，口令的安全一味靠密碼的長度是不可以的。安全的口令真的可以讓機器算幾千年，不安全的口令只需要一次就能猜出。不安全的口令有如下幾種情況：(1)使用用戶名(賬號)作為口令。盡管這種方法在便于記憶上有著相當?shù)膬?yōu)勢，可是在安全上幾乎是不堪一擊。幾乎所有以破解口令為手段的黑客軟件，都首先會將用戶名作為口令的突破口，而破解這種口令幾乎不需要時間。在一個用戶數(shù)超過一千的電腦網(wǎng)絡中，一般可以找到10至20個這樣的用戶。(2)使用用戶名(賬號)的變換形式作為口令。將用戶名顛倒或者加前后綴作為口令，既容易記憶又可以防止許多黑客軟件。不錯，對于這種方法的確是有相當一部分黑客軟件無用武之

8、地，不過那只是一些初級的軟件。比如說著名的黑客軟件John,如果你的用戶名是fool,那么它在嘗試使用fool作為口令之后，還會試著使用諸如fool123、fooll、loof、loof123、lofo等作為口令，只要是你想得到的變換方法，John也會想得到，它破解這種口令，幾乎也不需要時間。(3)使用自己或者親友的生日作為口令。這種口令有著很大的欺騙性，因為這樣往往可以得到一個6位或者8位的口令，但實際上可能的表達方式只有100X12X31=37200種，即使再考慮到年月日三者共有六種排列順序，一共也只有37200X6=223200種。(4)使用常用的英文單詞作為口令。這種方法比前幾種方法要

9、安全一些。如果你選用的單詞是十分偏僻的，那么黑客軟件就可能無能為力了。不過黑客多有一個很大的字典庫，一般包含10萬20萬的英文單詞以及相應的組合，如果你不是研究英語的專家，那么你選擇的英文單詞恐怕十之八九可以在黑客的字典庫中找到。如果是那樣的話，以20萬單詞的字典庫計算，再考慮到一些DES效據(jù)加密算法)的加密運算，每秒1800個的搜索速度也不過只需要110秒。(5)使用5位或5位以下的字符作為口令。從理論上來說，一個系統(tǒng)包括大小寫、控制符等可以作為口令的一共有95個，5位就是7737809375種可能性，使用P200破解雖說要多花些時間，最多也只需53個小時，可見5位的口令是很不可靠的，而6位

10、口令也不過將破解的時間延長到一周左右。不安全的口令很容易導致口令被盜，口令被盜將導致用戶在這臺機器上的一切信息將全部喪失，并且危及他人信息安全，計算機只認口令不認人。最常見的是電子郵件被非法截獲，上網(wǎng)時被盜用。而且黑客可以利用一般用戶用不到的功能給主機帶來更大的破壞。例如利用主機和Internet連接高帶寬的特點出國下載大型軟件，然后在從國內(nèi)主機下載；利用系統(tǒng)管理員給用戶開的shell和unix系統(tǒng)的本身技術漏洞獲得超級用戶的權(quán)利；進入其他用戶目錄拷貝用戶信息。獲得主機口令的途徑有兩個：利用技術漏洞。如緩沖區(qū)溢出，Sendmail漏洞，Sun的ftpd漏洞，Ultrix的fingerd,AIX

11、的rlogin等等。利用管理漏洞。如root身份運行httpd,建立shadow的備份但是忘記更改其屬性，用電子郵件寄送密碼等等。-安全的口令應有以下特點：用戶口令不能未經(jīng)加密顯示在顯示屏上設置最小口令長度強制修改口令的時間問隔口令字符最好是數(shù)字、字母和其他字符的混合用戶口令必須經(jīng)過加密口令的唯一性限制登錄失敗次數(shù)制定口令更改策略確?？诹钗募?jīng)過加密確?？诹钗募粫槐I取對于系統(tǒng)管理員的口令即使是8位帶!#$%A&*的也不代表是很安全的，安全的口令應當是每月更換的帶！#%a.的口令。而且如果一個管理員管理多臺機器，請不要將每臺機器的密碼設成一樣的，防止黑客攻破一臺機器后就可攻擊所有機器

12、。對于用戶的口令，目前的情況下系統(tǒng)管理員還不能依靠用戶自覺保證口令的安全，管理員應當經(jīng)常運用口令破解工具對自己機器上的用戶口令進行檢查，發(fā)現(xiàn)如在不安全之列的口令應當立即通知用戶修改口令。郵件服務器不應該給用戶進shell的權(quán)利，新加用戶時直接將其shell指向/bin/passwd。對能進shell的用戶更要小心保護其口令，一個能進shell的用戶等于半個超級用戶。保護好/etc/passwd和/etc/shadow當然是首要的事情。不應該將口令以明碼的形式放在任何地方，系統(tǒng)管理員口令不應該很多人都知道。另外，還應從技術上保密，最好不要讓root遠程登錄，少用Telnet或安裝SSL加密Tel

13、net信息。另外保護用戶名也是很重要的事情。登錄一臺機器需要知道兩個部分一一用戶名和口令。如果要攻擊的機器用戶名都需要猜測，可以說攻破這臺機器是不可能的。2.3、 授權(quán)管理帳戶的權(quán)限控制是針對網(wǎng)絡非法操作所進行的一種安全保護措施。在用戶登錄網(wǎng)絡時，用戶名和口令驗證有效之后，再經(jīng)進一步履行用戶帳號的缺省限制檢查，用戶被賦予一定的權(quán)限，具備了合法訪問網(wǎng)絡的資格。我們可以根據(jù)訪問權(quán)限將用戶分為以下幾類：特殊用戶（即系統(tǒng)管理員）；一般用戶，系統(tǒng)管理員根據(jù)他們的實際需要為他們分配操作權(quán)限；審計用戶，負責網(wǎng)絡的安全控制與資源使用情況的審計。用戶對網(wǎng)絡資源的訪問權(quán)限可以用一個訪問控制表來描述。授權(quán)管理控制用

14、戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源?？梢灾付ㄓ脩魧@些文件、目錄、設備能夠執(zhí)行哪些操作。同時對所有用戶的訪問進行審計和安全報警，具體策略如下：2.4、 目錄級安全控制控制用戶對目錄、文件、設備的訪問。用戶在目錄一級指定的權(quán)限對所有文件和子目錄有效，用戶還可進一步指定對目錄下的子目錄和文件的權(quán)限。對目錄和文件的訪問權(quán)限一般有八種：系統(tǒng)管理員權(quán)限（Supervisor）讀權(quán)限（Read）寫權(quán)限（Write）創(chuàng)建權(quán)限（Create）刪除權(quán)限（Erase）修改權(quán)限（Modify）文件查找權(quán)限（FileScan）存取控制權(quán)限（AccessControl）網(wǎng)絡系統(tǒng)管理員應當為用戶指定適當?shù)?/p>

15、訪問權(quán)限，這些訪問權(quán)限控制著用戶對服務器的訪問。八種訪問權(quán)限的有效組合可以讓用戶有效地完成工作，同時又能有效地控制用戶對服務器資源的訪問，從而加強了網(wǎng)絡和服務器的安全性。2.5、 屬性級安全控制當使用文件、目錄時，網(wǎng)絡系統(tǒng)管理員應給文件、目錄等指定訪問屬性。屬性安全控制可以將給定的屬性與網(wǎng)絡服務器的文件、目錄和網(wǎng)絡設備聯(lián)系起來。屬性安全在權(quán)限安全的基礎上提供更進一步的安全性。網(wǎng)絡上的資源都應預先標出一組安全屬性。用戶對網(wǎng)絡資源的訪問權(quán)限對應一張訪問控制表，用以表明用戶對網(wǎng)絡資源的訪問能力，避免引起不同的帳戶獲得其不該擁有的訪問權(quán)限。屬性設置可以覆蓋已經(jīng)指定的任何有效權(quán)限。屬性往往能控制以下幾個

16、方面的權(quán)限：向某個文件寫數(shù)據(jù)拷貝一個文件刪除目錄或文件查看目錄和文件執(zhí)行文件隱含文件加拿系統(tǒng)屬性網(wǎng)絡的屬性可以保護重要的目錄和文件，防止用戶對目錄和文件的誤刪除、執(zhí)行修改、顯示等。網(wǎng)絡管理員還應對網(wǎng)絡資源實施監(jiān)控，網(wǎng)絡服務器應記錄用戶對網(wǎng)絡資源的訪問，對非法的網(wǎng)絡訪問，服務器應以圖形或文字或聲音等形式報警，以引起網(wǎng)絡管理員的注意。定期掃描與帳戶安全有關的問題。由于帳戶設置的問題使得系統(tǒng)用戶可以有意或無意地插入帳戶。用戶帳號檢測可以在系統(tǒng)的口令文件中尋找這類問題，同時尋找非活動帳號，它們往往是被攻擊的對象。對帳戶進行安全問題的檢測，應使第三方掃描軟件搜索不到您的內(nèi)部帳戶名稱和口令，將可能出現(xiàn)的安

17、全問題提前處理掉，并將當前系統(tǒng)帳戶設置同上一次系統(tǒng)安全掃描評價時的設置相比較，將發(fā)現(xiàn)的新增的未認證帳戶和用戶修改過的標識刪除，及時將發(fā)現(xiàn)的其它安全問題修正。3運行網(wǎng)絡安全管理3.1、 目的保障秦熱運行網(wǎng)絡的安全運行，明確日常運行網(wǎng)絡管理責任。3.2、 范圍本制度適應于對秦熱網(wǎng)絡系統(tǒng)和業(yè)務系統(tǒng)。3.3、 定義運行網(wǎng)絡安全是指網(wǎng)絡系統(tǒng)和業(yè)務系統(tǒng)在運行過程中的訪問控制和數(shù)據(jù)的安全性。包括資源管理、入侵檢測、日常安全監(jiān)控與應急響應、人員管理和安全防范。3.4、 日常安全監(jiān)控3.4.1、 值班操作員每隔50分鐘檢查一次業(yè)務系統(tǒng)的可用性、與相關主機的連通性及安全日志中的警報。3.4.2、 網(wǎng)絡管理員每天對

18、安全日志進行一次以上的檢查、分析。檢查內(nèi)容包括防火墻日志、IDS日志、病毒防護日志、漏洞掃描日志等。3.4.3、 網(wǎng)絡管理員每天出一份安全報告，安全報告送網(wǎng)絡處主管領導。重要安全報告由主管領導轉(zhuǎn)送部門領導、安全小組和相關部門。所有安全報告存檔科技部綜合處，網(wǎng)絡管理員在分析處理異常情況時能夠隨時調(diào)閱。文檔的密級為A級，保存期限為二年。3.4.4、 安全日志納入系統(tǒng)正常備份，安全日志的調(diào)閱執(zhí)行相關手續(xù)，以磁介質(zhì)形式存放，文檔的密級為B級，保存期限為一年。3.5、 安全響應3.5.1、 發(fā)現(xiàn)異常情況，及時通知網(wǎng)絡管理員及網(wǎng)絡處主管領導，并按照授權(quán)的應急措施及時處理。3.5.2、 黑客入侵和不明系統(tǒng)訪

19、問等安全事故，半小時內(nèi)報知部門領導和安全小組。3.5.3、 對異常情況確認為安全事故或安全隱患時，確認當天報知部門領導和安全小組。3.5.4、 系統(tǒng)計劃中斷服務15分鐘以上，提前一天通知業(yè)務部門、安全小組。系統(tǒng)計劃中斷服務1小時以上時，提前一天報業(yè)務領導。文檔的密級為C級，保存期限為半年。3.5.5、 非計劃中斷服務，一經(jīng)發(fā)現(xiàn)即作為事故及時報計算機中心管理處、安全小組、科技部部門領導。非計劃中斷服務半小時以上，查清原因后，提交事故報告給安全小組、科技部部門領導。文檔的密級為A級，保存期限為兩年。3.6、 運行網(wǎng)絡安全防范制度3.6.1、 網(wǎng)絡管理員每一周對病毒防火墻進行一次病毒碼的升級。3.6

20、.2、 網(wǎng)絡管理員每個月對網(wǎng)絡結(jié)構(gòu)進行分析，優(yōu)化網(wǎng)絡，節(jié)約網(wǎng)絡資源，優(yōu)化結(jié)果形成文檔存檔，文檔的密級為A級，保存期限為二年。3.6.3、 網(wǎng)絡管理員每個月對路由器、防火墻、安全監(jiān)控系統(tǒng)的安全策略進行一次審查和必要的修改，并對修改部分進行備份保存，以確保安全策略的完整性和一致性。對審查和修改的過程和結(jié)果要有詳細的記錄，形成必要的文檔存檔，文檔的密級為A級，保存期限為二年。3.6.4、 網(wǎng)絡管理員每個月對網(wǎng)絡、系統(tǒng)進行一次安全掃描，包括NETRECON的檢測，及時發(fā)現(xiàn)并修補漏洞，檢測結(jié)果形成文檔，文檔密級為B級，保存期限為一年。3.6.5、 新增加應用、設備或進行大的系統(tǒng)調(diào)整時，必須進行安全論證并

21、進行系統(tǒng)掃描和檢測，系統(tǒng)漏洞修補后，符合安全要求才可以正式運行。3.6.6、 重大系統(tǒng)修改、網(wǎng)絡優(yōu)化、安全策略調(diào)整、應用或設備新增時，必須經(jīng)過詳細研究討論和全面測試，并要通過安全方案審核，確保網(wǎng)絡和業(yè)務系統(tǒng)的安全和正常運行。3.6.7、 系統(tǒng)內(nèi)部IP地址需要嚴格遵守相關的IP地址規(guī)定。3.6.8、 嚴格禁止泄露IP地址、防火墻策略、監(jiān)控策略等信息。3.7、 運行網(wǎng)絡人員管理制度3.7.1、 嚴格限制每個用戶的權(quán)限，嚴格執(zhí)行用戶增設、修改、刪除制度，防止非授權(quán)用戶進行系統(tǒng)登錄和數(shù)據(jù)存取。3.7.2、 嚴格網(wǎng)絡管理人員、系統(tǒng)管理人員的管理，嚴格執(zhí)行離崗審計制度。3.7.3、 對公司技術支持人員進行

22、備案登記制度，登記結(jié)果存檔，密級為C級，保存期限為半年。4數(shù)據(jù)備份4.1、 目的規(guī)范業(yè)務數(shù)據(jù)備份和恢復操作，確保業(yè)務系統(tǒng)和數(shù)據(jù)安全。4.2、 適用范圍業(yè)務系統(tǒng)各服務器的磁帶備份和硬盤備份。其它服務器備份可參考本制度。4.3、 定義循環(huán)日志備份方式，也稱為脫機備份方式，是指當備份任務運行時，只有備份任務可以與數(shù)據(jù)庫連接，其他任務都不能與數(shù)據(jù)庫連接。利用數(shù)據(jù)庫的脫機備份映像（Image）文件可以恢復數(shù)據(jù)庫到與備份時間點一致的狀態(tài)。歸檔日志備份方式，也稱為聯(lián)機備份方式，是指當備份任務運行的同時，其他應用程序或者進程可以繼續(xù)與該數(shù)據(jù)庫連接并繼續(xù)讀取盒修改數(shù)據(jù)。利用數(shù)據(jù)庫的聯(lián)機備份映像文件和日志（Log

23、）文件，可以恢復數(shù)據(jù)庫到與日志文件相符的某個時間點一致的狀態(tài)。4.4、 規(guī)定4.4.1、 系統(tǒng)和配置備份系統(tǒng)安裝、升級、調(diào)整和配置修改時做系統(tǒng)備份。包括系統(tǒng)備份和數(shù)據(jù)庫備份。數(shù)據(jù)庫采用循環(huán)日志備份方式，也就是脫機備份方式。備份由管理員執(zhí)行。備份一份。長期保存。4.4.2、 應用數(shù)據(jù)備份4.4.3、 日備份日備份的數(shù)據(jù)庫，分別采用兩盤磁帶進行備份，備份的數(shù)據(jù)保留三個月。為了實現(xiàn)業(yè)務系統(tǒng)24小時的不間斷對外服務，數(shù)據(jù)庫的備份方式是歸檔日志備份方式，也就是聯(lián)機備份方式。采用這種方式進行備份，系統(tǒng)的服務不需要停止，數(shù)據(jù)庫采用其內(nèi)部的機制實現(xiàn)備份前后數(shù)據(jù)的一致。備份由操作員執(zhí)行。4.4.4、 月備份系統(tǒng)

24、每月進行一次月備份。備份的內(nèi)容包括應用程序、數(shù)據(jù)庫應用程序以及進行數(shù)據(jù)庫的循環(huán)日志備份。備份由管理員執(zhí)行。備份一份。長期保存。4.4.5、 應用變更備份應用系統(tǒng)應用變更時，做一次系統(tǒng)備份。備份由管理員執(zhí)行。備份一份，長期保存。4.5、 備份磁帶命名依據(jù)設備或者秦熱的相關設備命名規(guī)范。4.6、 備份數(shù)據(jù)的保管需要專人和專用設備進行保管。4.7、 備份數(shù)據(jù)的使用參考秦熱的相關規(guī)定5應急方案5.1、 目的確保網(wǎng)絡和業(yè)務系統(tǒng)安全有效運行，及時、有效處理各種突發(fā)事件，防范降低風險，提高計算機系統(tǒng)的運行效率。5.2、 定義應急方案包括：主機系統(tǒng)故障應急方案、通信系統(tǒng)故障應急方案、系統(tǒng)和數(shù)據(jù)的災難備份與恢復

25、、黑客攻擊的應急方案、主機感染病毒后的應急方案、安全體系受損或癱瘓的應急方案5.3、 應急方案5.3.1、 主機系統(tǒng)故障應急方案5.3.2、 通信系統(tǒng)故障應急方案5.3.3、 系統(tǒng)和數(shù)據(jù)的災難備份與恢復5.3.4、 黑客攻擊的應急方案5.3.5、 主機感染病毒后的應急方案5.3.6、 安全體系受損或癱瘓的應急方案5.4、 應急方案的管理5.4.1、 應急方案要歸檔管理。5.4.2、 應急方案隨著網(wǎng)絡和業(yè)務系統(tǒng)的改變而即時進行修改。5.4.3、 要保證應急方案啟動的快速性、實施的高效性、結(jié)果的正確性。5.4.4、 定時進行應急演練。6計算機安全產(chǎn)品管理制度6.1、 安全產(chǎn)品的管理1 .目的規(guī)范計

26、算機安全產(chǎn)品的使用和管理，合理使用和管理現(xiàn)有的計算機安全產(chǎn)品，防范風險堵塞漏洞，提高秦熱的計算機信息系統(tǒng)的安全等級。2 .定義計算機安全產(chǎn)品包括：防火墻產(chǎn)品、防病毒產(chǎn)品、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)等。3 .適用范圍適用于秦熱網(wǎng)絡環(huán)境和應用環(huán)境。4 .管理原則防病毒安全產(chǎn)品遵循公安部病毒防護的有關管理制度；其他安全產(chǎn)品遵守國家的相關安全管理規(guī)定。6.2、 防火墻的管理制度1 .目的加強和統(tǒng)一防火墻的管理和使用，保證防火墻的安全可靠運行，保障各種網(wǎng)絡和業(yè)務系統(tǒng)的安全運行，2 .定義防火墻是指設置在不同網(wǎng)絡（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡安全域之間的一系列部件的組合。它是不同網(wǎng)絡或網(wǎng)絡

27、安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務，實現(xiàn)網(wǎng)絡和信息安全的基礎設施。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器。防火墻有硬件的，也有軟件的。3 .適用范圍所有的防火墻產(chǎn)品。4 .防火墻的購置和使用4.1 遵循安全最大化的原則和有關程序進行購置。4.2 防火墻必須是其所隔離的網(wǎng)絡之間的唯一信息通道。5 .管理規(guī)定5.1 防火墻要有專人管理和維護，任務是：1）整理防火墻的有關的配置、技術資料以及相關軟件，并進行備份和歸檔。2）負責防火墻的日常管理和維護。3）定期查看和備份日志信息，日

28、志信息要歸檔長期保存。4）經(jīng)授權(quán)后方可修改防火墻的有關配置，修改過程要記錄備案。5）經(jīng)授權(quán)后方可對防火墻的內(nèi)核和管理軟件的進行升級，升級的詳細過程要記錄備案。5.2 防火墻的安全策略要參考廠家或安全公司的意見，結(jié)合秦熱的網(wǎng)絡環(huán)境和安全建設需求，由計算機中心根據(jù)實際的安全需求負責制訂和實施配置。由廠家或者安全公司提供技術支持。5.3 防火墻的安全策略和配置參數(shù)一經(jīng)確定和完成,任何人不得隨意修改。若確有需求，由當事人或部門提出書面申請，提交安全主管，獲準后，由專管人員進行修改或升級，詳細記錄有關修改升級情況并上報有關部門備案。5.4 防火墻的有關技術資料、安全策略、重要參數(shù)的配置以及修改記錄等要整

29、理歸檔，作為絕密資料保存。5.5 防火墻出現(xiàn)故障后，要立即啟用備用防火墻，并盡可能在最短的時間內(nèi)排除故障。附防火墻修改、升級記錄格式:1）申請人（部）、申請時間2）申請原因3）安全主管批示4）相關領導批示5）修改、升級情況記錄6）結(jié)果7）操作人簽字6.3、 防病毒的管理制度1 .目的統(tǒng)一及加強對防病毒軟件的管理，保證防病毒軟件的合法運行，提高使用效率，合理、充分利用該系統(tǒng)，避免非法使用及秦熱系統(tǒng)的重復開發(fā)和資源浪費。2 .適用范圍防病毒軟件產(chǎn)品；防病毒軟件的硬件載體即計算機設備；防病毒軟件載體即磁盤、光盤、資料與手冊等。3 .防病毒軟件的使用3.1 各部門使用軟件時應提出書面申請，經(jīng)計算機中心

30、領導簽字后交防病毒主管人員審核同意，交由相關技術人員實施。3.2 外單位需使用有關軟件產(chǎn)品，必須持有關證明，并報請部門領導審核后，再交由文檔資料管理員辦理有關手續(xù)。3.3 存檔保管的軟件產(chǎn)品屬秦熱的資產(chǎn)，不得隨意復制和外傳，否則，將承擔法律責任。4 .防病毒軟件的管理與維護4.1 防病毒軟件管理人員與任務防病毒軟件管理由計算機中心相關領導負責，并做下列工作:1)對防病毒軟件歸檔入庫并進行登錄、保管；2)防病毒軟件拷貝和資料印刷等工作；3)防病毒軟件的安裝、調(diào)試及卸載；4)制定防病毒軟件的安全策略；5)一周三次定期查看防病毒系統(tǒng)的日志記錄，并做備份。6)如發(fā)現(xiàn)異常報警或情況需及時通知相關負責人。

31、4.2 防病毒軟件的登記4.2.1、 運行于本網(wǎng)絡的防病毒軟件系統(tǒng)的安全策略，均需由計算機中心相關領導批準并登記在案方可進行。4.2.2、 凡使用其他的防病毒軟件也應由使用人將其名稱和使用記錄交給計算機中心文檔資料管理員登記、存檔。4.2.3、 凡第三方公司使用本系統(tǒng)軟件，均需得到計算機中心領導批準并登記在案方可進行。防病毒軟件的登記格式如附錄。附錄：(1) 防病毒軟件的使用者姓名或單位；(2) 開始、結(jié)束或使用時間：(3) 服務器的情況：IP地址，服務器的類型，服務器的用途;(4) 防病毒軟件使用情況；(5) 安全策略的詳細說明；(6) 管理人員的簽字。6.4、 入侵檢測的管理制度1 .目的

32、統(tǒng)一及加強對入侵檢測系統(tǒng)軟（硬）件的管理，保證入侵檢測系統(tǒng)的合法運行，提高使用效率，合理、充分利用該系統(tǒng)，避免非法使用及秦熱系統(tǒng)的重復開發(fā)和資源浪費。2 .適用范圍a）入侵檢測系統(tǒng)軟件產(chǎn)品；b）入侵檢測系統(tǒng)的硬件載體即計算機設備；c）入侵檢測系統(tǒng)的軟件載體即磁盤、光盤、資料與手冊等。3 .入侵檢測系統(tǒng)的使用3.1 存檔保管的入侵檢測資料屬秦熱的資產(chǎn)，不得隨意復制和外傳，否則,將承擔法律責任。3.2 正常運行的入侵檢測系統(tǒng)必須由專人負責，相關規(guī)則設計屬秦熱內(nèi)部機密，不得外傳，否則，將承擔法律責任。4 .入侵檢測系統(tǒng)的管理與維護4.1 入侵檢測系統(tǒng)管理人員與任務入侵檢測系統(tǒng)管理由計算機中心相關領導

33、負責，并做下列工作：1）對入侵檢測系統(tǒng)軟件及相關資料歸檔入庫并進行登錄、保管；2）入侵檢測系統(tǒng)軟件拷貝和資料印刷等工作；3）入侵檢測系統(tǒng)的安裝、調(diào)試及卸載；4）一周三次定期查看入侵檢測系統(tǒng)日志記錄，并做備份。5）如發(fā)現(xiàn)異常報警或情況需及時通知相關負責人。4.2入侵檢測系統(tǒng)的登記4.2.1、 運行于本網(wǎng)絡的入侵檢測系統(tǒng)的各條規(guī)則設計，均需由計算機中心相關領導批準并登記在案方可進行。4.2.2、 凡引進（包括其它方式）的入侵檢測系統(tǒng)軟件也應由承辦人將其交給計算機中心文檔資料管理員登記、存檔。4.2.3、 凡第三方公司對本網(wǎng)絡進行入侵檢測測試，均需得到計算機中心相關領導批準并登記在案方可進行。入侵檢

34、測的登記格式如附錄。附錄：（1）入侵檢測系統(tǒng)使用者姓名或單位；（2）開始、結(jié)束或使用時間：（3）服務器的情況：IP地址，服務器的類型，服務器的用途；（4）入侵檢測系統(tǒng)情況；6.5、漏洞掃描的管理制度1 .目的統(tǒng)一管理漏洞掃描，加強漏洞掃描軟件的管理，保證漏洞掃描的合法進行,提高使用效率，合理、充分進行漏洞掃描，避免不正當非法使用。2 .適用范圍日常漏洞掃描:上述漏洞掃描軟件的載體即磁盤、光盤、資料與手冊等。3 .漏洞掃描軟件使用a）秦熱各部門如果需要使用本軟件時應提出書面申請，經(jīng)該計算機中心相關領導簽字后交計算機中心相關負責人審核同意。b）外單位如果需使用有關軟件產(chǎn)品，必須持有關證明，并報請計

35、算機中心相關領導審核后，再交由文檔資料管理員辦理有關手續(xù)。c）存檔保管的軟件產(chǎn)品屬秦熱的資產(chǎn)，不得隨意復制和外傳，否則，將承擔法律責任。4 .漏洞掃描的管理與維護4.1 漏洞掃描管理人員與任務漏洞掃描管理由計算機中心領導負責，并做下列工作：4.1.1、 對漏洞掃描軟件歸檔入庫并進行登錄、保管；4.2.1、 漏洞掃描軟件拷貝和資料印刷等工作；4.2.2、 一個月一次定期對本網(wǎng)絡進行漏洞掃描檢查。4.2漏洞掃描的登記4.2.1、 凡對本網(wǎng)絡進行漏洞掃描，均需由計算機中心領導批準并登記在案方可進行。4.2.2、 凡引進（包括其它方式）的漏洞掃描軟件也應由承辦人將其交給主管安全部門文檔資料管理員登記、

36、存檔。4.2.3、 凡第三方公司對本網(wǎng)絡進行漏洞掃描，均需得到計算機中心相關領導批準并登記在案方可進行。漏洞掃描的登記格式如附錄。附錄：a）漏洞掃描者姓名或單位；b）開始、結(jié)束或使用時間：c）服務器的情況：IP地址，服務器的類型，服務器的用途；d）漏洞掃描情況：有潛在危險的服務器，漏洞的等級，漏洞的簡要說明;e）漏洞的詳細說明；f）漏洞的解決方案；g）管理人員的簽字。7日常審計管理7.1、 目的保障秦熱網(wǎng)絡和業(yè)務系統(tǒng)的安全運行，明確網(wǎng)絡和業(yè)務系統(tǒng)的審計責任。7.2、 范圍本制度適應于對網(wǎng)絡和業(yè)務系統(tǒng)的安全審計。7.3、 定義安全審計指對秦熱網(wǎng)絡和業(yè)務安全與運行網(wǎng)絡安全的審計，主要指業(yè)務審計、投

37、產(chǎn)審計、安全策略與制度的審計、安全評估、制度與規(guī)范執(zhí)行情況的審計7.4、 規(guī)定7.4.1、 業(yè)務審計由業(yè)務管理人員與信心中心相關領導按項目管理辦法執(zhí)行。7.4.2、 由安全小組每月組織一次關于網(wǎng)絡和業(yè)務使用情況的審計。審計內(nèi)容包括：上月安全報告的內(nèi)容及歸檔情況、安全日志的歸檔情況、計劃中斷報告的歸檔情況、病毒代碼的升級更新情況、外來人員管理情況、IP地址的更新情況。審計結(jié)果報計算機中心領導和負責信息化的廠領導，同時抄送相關單位的網(wǎng)絡處、綜合處。7.4.3、 安全小組組織審議安全策略更新報告、漏洞檢測與處理報告、網(wǎng)絡拓樸結(jié)構(gòu)。7.4.4、 小組組織審議關于網(wǎng)絡和業(yè)務的安全事故報告、安全隱患報告、

38、非計劃中斷報告。7.4.5、 由安全小組組織進行安全評估。7.4.6、 由安全小組組織審議關于網(wǎng)絡管理人員、系統(tǒng)管理人員的離崗審計報告。7.5、 安全教育培訓由安全小組定期組織網(wǎng)絡管理人員和系統(tǒng)維護人員進行安全教育培訓。主要有法制教育、安全意識教育和安全防范技能訓練。安全教育培訓內(nèi)容：保護計算機和專有數(shù)據(jù)；保護文件和專有信息；計算機安全管理；信息安全保密；防范計算機病毒和黑客；預防計算機犯罪；相關的法律法規(guī)等。7.6、 安全檢查考核由安全小組定期組織安全檢查考核，網(wǎng)絡和系統(tǒng)的工作人員要從政治思想、業(yè)務水平、工作表現(xiàn)、遵守安全規(guī)程等方面進行考核，對考核發(fā)現(xiàn)有違反安全法規(guī)的人員或不適合接觸計算機信息系統(tǒng)的人員要及時調(diào)離崗位，不應讓其再接觸系統(tǒng)，對情節(jié)嚴重的要追究其法律責任。8應急演練8.1、 目的測試應急方案，確保應急方案的正確性、有效性、快速性。8.2、 適用范圍網(wǎng)絡和業(yè)務系統(tǒng)的各種應急方案。8.3、 規(guī)定8.3.1、 每一種應急方案都要經(jīng)過兩次以上的應急演練。8.3.2、 由安全小組制定和組織實施應急演練，并對演練結(jié)果進行分析研究，查找問題，將存在的問題反饋給方案的制定部門，要求其對應急方案進行修訂。修訂后的應急方案要重新進行測試演練。9.1、 目的保障重大方案的安全實施。9.2、 定義安全方案包括：變更運行機房現(xiàn)有環(huán)境及設備、設施；修改系統(tǒng)參數(shù)；查詢、修改、恢復業(yè)