网络安全管理程序

浙江安迅电子科技有限公司

信息安全和IT服务管理体系文件

网络安全管理程序

AX-0044-2018

受控状态受控

分发号

版本A/0

持有人

网络安全管理程序

1 目的

为了确保公司信息系统网络安全，对公司网络安全活动实施控制，特制定本程序。

2 范围

适用于对公司信息系统网络安全的管理。

3 职责

3.1 综合部

负责网络安全措施的制定、实施、维护。

3.2 相关部门

负责配合网络安全管理的实施。

4 程序

4.1 总则

本公司信息系统网络安全控制措施包括：

a) 实施有效的网络安全策略；

b) 路由器等安全配置管理；

c) 网络设备的定期维护；

d) 对用户访问网络实施授权管理；

e) 对网络设备和系统的变更进行严格控制；

f) 对网络的运行情况进行监控；

g) 对网络服务的管理。

4.2 网络安全策略

4.2.1 网络安全的通用策略如下：

a) 公司网络管理员负责信息网络和系统安全，审核系统日志。系统日志的记录内容和保存期限应符合《信息系统监控管理程序》。

b) 网络管理员负责公司网络设备的配置和内部的IP地址管理。

c) 网络管理员应编制《网络拓扑图》，描述网络结构并表示网络的各组成部分之间在逻辑上和物理上的相互连接。

d) 网络管理员应根据需要增加、修改或删除网络过滤规则，符合数据传送的保密性、可用性，使用最小化规则。

e) 任何个人不得擅自修改网络资源配置、网络权限和网络安全等级。

4.2.2 路由器设备安全配置策略如下：

a) 除内部向外部提供的服务外，其他任何从外部向内部发起的连接请求必须经过公司总经理批准；

b) 除内部向外部提供的服务相关部分外，内部向外部的访问需经总经理批准；

c) 对设备的管理控制不对外提供；

d) 路由器的策略设定，应以保证正常通信为前提，在不影响通信质量的前提下，对指定的需要禁止的通信类型进行相应的禁止设定；

e) 路由器的设定应保证各个连接设备的兼容性，并考虑冗余和容错。

f) 路由器访问清单设定：

①依照连接对象及网络协议相关事宜制定访问清单加以过滤。

②依据路由器负载程度，将可能造成网络系统无法运作的通讯端口，制定访

问控制清单加以过滤。

4.2.3 网络交换机安全配置策略：

a) 网络交换机安全配置策略应考虑和周边网络设备的连接的兼容性、安全性、可靠性和可变性；

b) 网络交换机安全配置策略应尽量减少不必要的限定以保证合理的通信能力。

4.3 网络设备配置过程

4.3.1 网络管理员根据安全配置策略和特定安全要求填写《网络设备安全配置表》，在报经部门领导审核批准后，由网络管理员对网络设备参数进行配置。网络配置参数必须要进行备份。

4.3.2 网络配置参数变更时应修改《网络设备安全配置表》，在报经部门领导审核批准后，方可对网络设备配置参数进行变更，并对变更后的网络配置参数进行备份。

4.4 网络设备标识策略

4.4.1 网络管理员应对网络设备进行标识。

a)如果通信只能从某特定位置或设备处开始，则直接使用设备标识即可。

b)设备内的或贴在设备上的标识符可用于表示此设备是否允许连接网络。

c)如果存在多个网络，尤其是如果这些网络有不同的敏感度，这些标识符应清晰的指明设备允许连接到哪个网络。

d)对于网络上的自动设备，采用标识规范PC编号定义，即（PC-人名全拼-编号-识别码）来区分各个设备。

4.5 网络端口配置策略

4.5.1对于诊断和配置端口的物理和逻辑访问应加以控制。

对于诊断和配置端口的访问可能采取的控制措施包括使用带钥匙的锁和支持程序，以控制对端口的物理访问。例如，这种支持程序是确保只有按照计算机服务管理人员和需要访问的硬件/软件支持人员之间的安排，才可访问诊断和配置端口。如果没有特别的业务需要，那么安装在计算机或网络设施中的端口、服务和类似的设施，应禁用或取消。

4.6 网络维护

4.6.1 网络设备维护按《信息处理设施管理程序》对网络设备进行维护。

4.6.2 信息系统的变更应按《信息系统开发建设管理程序》进行控制。

4.7网络作业管理

4.7.1 网络设备安装、维护

采购人员购买网络设备后，进行网络设备安装，网络管理人员负责日常的网络设备维护工作。网络通信设备安装应考虑装置场地的安全性，尽可能设置于有人员管制的地点，并考虑通风散热问题。

4.7.2 网络使用者管理

a) 授权的网络使用者（以下简称网络使用者），只能在授权范围内访问网络资源。

b) 网络使用者应遵守网络安全规定，并确实了解其应负的责任。

c) 未经许可，禁止以任何仪器设备或软件工具监听网络上的通讯。

4.7.3 网络安全管理

a) 服务器应安装防毒软件，防止病毒在网络上扩散。

b) 网络使用者应定期对计算机病毒进行扫描，并了解病毒与恶意执行文件可能入

侵的管道，采取防范措施。

c) 网络使用者如检测到计算机病毒入侵或其它恶意软件，应立即断网，全体计算

机杀毒处理，避免计算机病毒扩散。

d) 计算机设备每季度至少要扫描病毒一次。

e) 网络设备口令应每隔六个月更换一次，口令长度为8位密码以上，其中口令组

成需包含英文大写、英文小写、数字及特殊符号的其中三项的组合。

4.8 网络服务

4.8.1 公司提供Internet统一的接入服务，综合部负责就有关事宜与电信部门进行沟通。

4.8.2 公司负责提供电子邮件服务，综合部负责维护。

4.8.3 对各应用系统提供设备、系统软件维护的第三方服务，按《相关方信息安全和IT服务管理程序》进行。

4.9 网络安全监控

4.9.1 监控网络活动

监控网络活动包括：防火墙系统、网络监控软件、杀毒软件等的活动情况。网络管

理人员要每天查看网络的流量统计及病毒监控情况。

4.9.2 访问记录及系统事件审查

网络管理人员应定期审查访问记录及系统事件，并保留记录，记录应包括：防火墙系统记录、防毒系统记录。网络管理人员应至少每季度对网络环境检测一次，发现网络环境存在的弱点时，请管理人员执行修补，并确认发现的弱点是否改善。监控及检测过程中若发现重大安全事件应按《信息安全事件管理程序》执行。

4.9.3 检测的内容及周期

检测包括计算机的文件、扫描结果；系统或设备有大幅版本更新时应主动检测；当重大弱点发布可能造成严重损害应立即执行检测。

4.9.4 检测的报告

参照《信息安全事件管理程序》执行。

5 相关文件

5.1 《信息系统监控管理程序》

5.2 《信息处理设施管理程序》

5.3 《信息系统开发建设管理程序》

5.4 《相关方信息安全管理程序》

5.5 《信息安全事件管理程序》

6 记录

《网络拓扑图》

《网络设备安全配置表》