公司遠程接入安全管理實施細(xì)則

1、遠程接入安全管理實施細(xì)則L1第一章總則第一條 為加強（以下簡稱“”）省公司及各市分公司對遠程接入的管理，保障在安全可控 的前提下實現(xiàn)遠程維護、使用業(yè)務(wù)、獲取數(shù)據(jù)等目的，根據(jù)國家要求及網(wǎng)絡(luò) 與信息安全保障體系（NISS）總綱、遠程接入安全管理辦法、內(nèi)控手 冊（2007版）等公司相關(guān)規(guī)定，特制定本實施細(xì)則。第二條 遠程接入應(yīng)符合“誰主管、誰負(fù)責(zé)，誰接入、誰負(fù)責(zé)”總體原則，遵從“基于需求”、 “集中化”及“可控”等具體原則，并與維保方式改革相一致。通過規(guī)范申請、審批 等過程，實現(xiàn)安全接入。第三條 本細(xì)則適用于省公司及各市分公司通信網(wǎng)、業(yè)務(wù)網(wǎng)和各支撐系統(tǒng)維護部門，使 用相關(guān)系統(tǒng)的一般員工以及所有由于特

2、定目的、需要短期訪問網(wǎng)絡(luò)的合作伙伴， 如SP、CP、代維公司、設(shè)備供應(yīng)商的支持人員等等。第四條“遠程接入”特指從網(wǎng)絡(luò)之外的其它場所，如家庭、酒店、交通途中、第三方辦公 場所等，在逐次審批的前提下通過部署的撥號、CMNet、VPN或者綜合維護接 入平臺等方式，訪問網(wǎng)絡(luò)的情形。其它兩個網(wǎng)絡(luò)之間的互聯(lián)管理要求參見網(wǎng) 絡(luò)互聯(lián)管理辦法。第五條 本實施細(xì)則自發(fā)布之日起執(zhí)行。第二章職責(zé)與分工第六條總體原則（一）“誰主管、誰負(fù)責(zé)，誰接入、誰負(fù)責(zé)”原則。通信網(wǎng)、業(yè)務(wù)網(wǎng)和各支撐系統(tǒng)的 維護部門作為第一責(zé)任人，分別直接負(fù)責(zé)所轄網(wǎng)絡(luò)的遠程接入管理工作；（二）“基于需求”原則。所有遠程接入需求應(yīng)符合業(yè)務(wù)發(fā)展、運維管理的

3、實際需要， 必須有明確的接入目的，接入所開放的訪問權(quán)限（如訪問時限、可訪問時間 段、可發(fā)起訪問的地址段、需要訪問的系統(tǒng)、操作權(quán)限等等）應(yīng)以滿足而且 不超出實際需求為標(biāo)準(zhǔn)；（三）“集中化”原則。遠程接入應(yīng)盡量減少接入點，通過逐步設(shè)置集中的接入點， 為實現(xiàn)對遠程訪問的集中控管奠定基礎(chǔ)；（四）“可控”原則。所有遠程接入必須通過申請、審批、備案及審計，確保在安全 可控的前提下實現(xiàn)遠程接入；（五）與維保方式改革思路相一致。非代維方式的廠家支持人員，原則上應(yīng)在每次 接入前進行審批，并在接入完成后收回分配的帳號權(quán)限。第七條 網(wǎng)絡(luò)安全職能管理部門：省公司網(wǎng)絡(luò)與信息安全工作辦公室作為網(wǎng)絡(luò)安全職能 管理部門，其主

4、要負(fù)責(zé)：（一）落實上級主管部門宏觀要求，配合上級部門完成必要的遠程接入實施工作；（二）制定公司層面的遠程接入管理辦法；（三）對本公司或者下級部門遠程接入管理實施細(xì)則執(zhí)行情況進行定期審核、檢 查。第八條 遠程接入點管理部門：指所部署的撥號、VPN等遠程接入手段的維護部門，省 業(yè)務(wù)支撐中心負(fù)責(zé)BOSS、客服等系統(tǒng)維護的遠程接入點管理；省網(wǎng)管中心負(fù) 責(zé)通信網(wǎng)、業(yè)務(wù)網(wǎng)和網(wǎng)管系統(tǒng)維護的遠程接入點管理；省發(fā)展計劃部IT中心負(fù) 責(zé)信息管理系統(tǒng)維護的遠程接入點管理；省網(wǎng)絡(luò)部負(fù)責(zé)跨專業(yè)維護遠程接入點 管理，主要負(fù)責(zé)為：（一）落實上級主管部門宏觀要求，并配合上級主管部門組織實施的接入工作；（二）制定本部門的遠程接

5、入實施細(xì)則；（三）接收、審批相關(guān)遠程接入需求申請；對遠程接入情況，如所轄范圍內(nèi)設(shè)置的 接入點數(shù)量、部署位置、用途、責(zé)任人等，保存相關(guān)數(shù)據(jù)；（四）組織制定、審核接入技術(shù)方案；按照支撐系統(tǒng)安全域劃分與邊界整合技術(shù) 要求、防火墻部署總體技術(shù)要求和具體的接入相關(guān)系統(tǒng)安全防護方案要 求、尤其是邊界訪問控制相關(guān)要求，明確對接入點的安全防護技術(shù)要求及管 理要求；（五）向遠程接入需求人員提供接入能力，如發(fā)放接入設(shè)備中的帳號權(quán)限、VPN 客戶端軟件、設(shè)置接入配置數(shù)據(jù)，提供接入咨詢；（六）遠程接入人員權(quán)限到期或者接入任務(wù)完成后，應(yīng)及時刪除相應(yīng)帳號或者修改 帳號口令；（七）負(fù)責(zé)審核本部門所轄網(wǎng)絡(luò)的遠程接入情況并產(chǎn)生

6、審核情況記錄。對每次接入 進行實時監(jiān)控，并定期審核遠程操作記錄，及時發(fā)現(xiàn)違規(guī)操作。第九條 遠程接入需求人員：指為實現(xiàn)業(yè)務(wù)、管理、維護等目的而提出接入需求的部門 或人員，如各系統(tǒng)維護部門、業(yè)務(wù)部門、工程建設(shè)部門的相關(guān)人員，相關(guān)合作 伙伴，如SP、CP、代維公司、銀行、設(shè)備供應(yīng)商的相關(guān)人員等等。主要職責(zé)包 括：（一）按照接入審批要求，提出書面申請；（二）按照遠程接入管理部門提出的安全技術(shù)要求和管理要求，配置用于訪問的終端，確保安全接入；（三）訪問結(jié)束后，如遠程接入點管理部門有明確要求，應(yīng)及時說明并終止接入；（四）不得將相關(guān)帳號、口令告訴其它人，或者用于其它目的，否則應(yīng)承擔(dān)由此引 起的一切后果。第三

7、章遠程接入管理流程第十條遠程接入申請階段（-）遠程接入需求人員按照遠程接入管理部門制定的遠程接入申請表格式要求， 填寫申請表，申請方填寫內(nèi)容至少包括：申請單位、申請單位聯(lián)系人、申請 單位負(fù)責(zé)人、擬接入的系統(tǒng)、申請目的描述（如訪問哪些數(shù)據(jù)、進行什么維 護等等）、申請開通時間、接入有效期，如果申請人為第三方，單位負(fù)責(zé)人 需要簽字蓋章，并提交與簽署的保密協(xié)議復(fù)印件或者協(xié)議序號；（二）提交遠程接入管理部門。第十一條接入需求審批階段（一）遠程接入管理部門聯(lián)合遠程接入需求擬訪問系統(tǒng)的維護人員，對接入申請進 行評估審核，對于信息不全、描述不夠清晰的申請，應(yīng)要求提供者補充完善； 對于需求目的不合理的申請，應(yīng)予

8、以拒絕，并對其說明理由；（二）對合理的遠程接入申請，應(yīng)分配并配置相應(yīng)接入點設(shè)備及擬訪問系統(tǒng)中的帳 號，并通知需求人員；（三）遠程接入管理部門對接入情況進行備案，以備查詢、審計。（四）審批流程如下：第十二條遠程接入階段（一）需求人員按照接入管理規(guī)定具體要求，訪問相關(guān)系統(tǒng)；（二）建立認(rèn)證服務(wù)器，對所有遠程接入訪問進行認(rèn)證，認(rèn)證的用戶名統(tǒng)一規(guī)范管 理，認(rèn)證的用戶與用戶名必須一一對應(yīng)，禁止使用公用的認(rèn)證帳號。（三）遠程接入的計算機終端（包括公司內(nèi)部員工與第三方）不強制安全域與安裝 NUMEN客戶端，但建議有條件的計算機終端安裝NUMEN客戶端，通過 NUMEN用戶名及密碼認(rèn)證及嚴(yán)格的終端合規(guī)性檢查（操

9、作系統(tǒng)補丁、防病 毒軟件版本及病毒定義、禁止無密碼共享、禁止多網(wǎng)卡同時使用、規(guī)范計算 機名，合法登陸帳號及合規(guī)密碼等）。（四）保留各專業(yè)的應(yīng)急故障處理快速通道，各專業(yè)對應(yīng)急故障處理快速通道的接 入進行嚴(yán)格審批。（五）遠程接入點管理部門對遠程接入的用戶進行分級，限制訪問權(quán)限，按照最小 權(quán)限原則分配訪問權(quán)限，并對遠程用戶登陸過程進行記錄（包括但不限于以 下信息：用戶名、登陸方式、登入時間、登出時間）。（六）遠程接入時由撥號服務(wù)器或VPN接入網(wǎng)關(guān)負(fù)責(zé)分配IP地址，并保證遠程接 入用戶獲得的IP地址全部處于可控的范圍內(nèi)，只能訪問指定的系統(tǒng)資源。（七）通過遠程接入進入公司網(wǎng)絡(luò)的遠程用戶必須對遠程接入的認(rèn)

10、證設(shè)備、用戶名 和口令嚴(yán)格保密，禁止向無關(guān)人員提供訪問權(quán)限。（八）通過遠程接入進入公司網(wǎng)絡(luò)的用戶有責(zé)任保證其它無關(guān)人員不利用接入連 接訪問公司敏感信息資源。（九）遠程接入用戶必須尊重他人的隱私，例如，不得故意搜索和拷貝、修改他人 的數(shù)據(jù)和文件，不得以任何方式竊取他人口令，不得訪問非授權(quán)資源。（十）遠程接入維護用戶不得破壞公司網(wǎng)絡(luò)和系統(tǒng)的完整性，例如不得開發(fā)或者安 裝威脅和破壞系統(tǒng)和其它用戶的程序。（十一）遠程接入用戶不得利用公司網(wǎng)絡(luò)進行網(wǎng)絡(luò)攻擊行為（十二）遠程接入管理部門及所訪問系統(tǒng)維護人員應(yīng)在需求人員接入過程中，監(jiān) 控其重點或者高危操作情況，及時發(fā)現(xiàn)違規(guī)操作，并對除查詢命令外的所有 操作記錄

11、在“遠程接入反饋表”中。第十三條遠程接入終止階段（一）訪問完畢后，遠程接入需求人員應(yīng)按照遠程接入點管理部門要求，及時聲明 并終止接入。遠程接入點管理部門應(yīng)及時刪除遠程接入帳號或者修改該帳號 口令；（二）在需求人員遠程接入過程中，如出現(xiàn)違反權(quán)限規(guī)定的操作，遠程接入管理部 門應(yīng)及時終止該接入人員的連接，并對其提出警告或者處理要求。第十四條特殊情況處理方法（一）為提高效率，對于員工、代維人員，可在嚴(yán)格管理的前提下，采用長期授權(quán) 方式進行授權(quán)，并按照移動帳號口令管理辦法，指定開設(shè)的帳號責(zé)任人；（二）系統(tǒng)交維之前，可采用代維人員模式管理長期且固定的廠家維護人員的接入，交維之后，應(yīng)按照按次審批的方式進行管

12、理。（三）在出現(xiàn)重大故障等緊急情況時，可在向接入需求人員及其公司、內(nèi)部系統(tǒng)維 護人員簡單核實人員身份和目的后，允許接入，但需要在事后及時補辦相關(guān) 遠程接入申請手續(xù)及填寫相關(guān)遠程接入反饋表。第四章審核管理第十五條遠程接入管理部門應(yīng)定期組織審核遠程接入設(shè)備以及接入雙方設(shè)備的運行情況，及時發(fā)現(xiàn)違反遠程接入技術(shù)要求和管理要求的問并提出整改要求、監(jiān)督落實。如發(fā)現(xiàn)存在嚴(yán)重違反相關(guān)要求的情況，應(yīng)向網(wǎng)絡(luò)安全職能管理部門和 主管領(lǐng)導(dǎo)匯報。第十六條網(wǎng)絡(luò)安全職能管理部門應(yīng)采用定期或者抽查方式，檢查、審計、監(jiān)督遠程接入 管理各項要求、系統(tǒng)日志及遠程接入訪問策略的執(zhí)行情況，對違反本實施細(xì)則 的行為要及時指正，對嚴(yán)重違反或者導(dǎo)致重大安全事件者要立即上報。第十七條對于違反以上規(guī)定的情況，將根據(jù)有關(guān)法律、法規(guī)、條例和公司內(nèi)部管理辦法, 視情節(jié)輕給予不同程度的處罰。第十八條任何員工及第三方對他人違反本規(guī)定的行為，有義務(wù)及責(zé)任提出更正意見；對 拒不改正的員工及第三方，應(yīng)向有關(guān)部門舉報。第四十一條第二十條第二十一條申請單位:第二十二條 申請單位聯(lián)系人：第二十三條聯(lián)系電話：第二十四條 申請單位負(fù)責(zé)人：第二十五條聯(lián)系電話：第二十六條擬 接入系 統(tǒng)第二十七條第二十八條 第二十九條第三十條第三十一條申請目的描述