网络与信息安全管理标准

1范围

本标准规定了单位网络与信息安全管理的术语和定义、职责与权限、管理内容与方法以及检查与考核、报告与记录等要求。

本标准适用于单位网络与信息安全管理。

2规范性引用文件

下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。

全国人大常委会关于维护互联网安全的决定(2000年12月28日第九届全国人民代表大会常务委员会第十九次会议通过)

国务院147号令中华人民共和国计算机信息系统安全保护条例

公安部51号令计算机病毒防治管理办法

3术语和定义

下列术语和定义适用于本标准。

3.1

信息系统

指由计算机及其相关的和配套的设备、设施（含网络）构成的，且按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。包括我公司通信传输网络、山东电力数据网胶州网(Jznet)、银电联网、98898ip电话网和在网络承载下运行的或未联网运行的各类应用系统。

3.2

电力调度数据网

指为电网监控系统联网服务的电力系统专用数据网络，包括各级电力调度专用广域数据网络、用于远程维护及电能量计费等的调度专用拨号网络、各计算机监控系统内部的本地局域网络等。

3.3

公司信息网

指为非电网监控系统联网服务的公司内联网络，覆盖我公司系统公司、变电所、集控站、供电营业所，并负责与外网、因特网的连接。

3.4

网络与信息安全事件

指导致信息系统不能提供正常服务或服务质量下降的技术故障事件、利用信息系统从事的反动有害信息和涉密信息的传播事件、利用网络所从事的对信息系统的破坏窃密事件。

3.5

涉密系统

指对密级信息进行采集、加工、存储、传输、检索等处理的信息系统，密级信息包括国家秘密、公司商业秘密。

3.6

重要应用系统

指同公司生产经营活动、经济利益、社会利益密切相关的应用系统，系统故障会导致企业生产经营业务中断或造成直接经济损失。一般包括电网监控、生产管理、财务、营销、银电联网、客户服务等系统。

3.7

安全防护系统

指对信息系统实施安全防护的安全技术设施（硬件、软件），一般包括安全隔离装置、防火墙、防病毒、入侵监测、身份识别、安全认证、数据加密、备份与恢复等。

3.8

计算机病毒

指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。

3.9

网络与信息安全

可简称为信息安全，指信息系统在所处的环境中所具有的一种能够识别和消除不安全因素的能力，通过信息保密性、信息完整性、信息可用性、信息不可否认性四个方面来度量，包括物理安全、网络通信安全、系统安全、数据安全等层面。

3.10

我公司系统

指与单位有资产关系和管理关系的单位组合，资产关系包括全资、控股关系的三产。

（说明：术语条目编号顶格排，与术语不在同一行，下同。）

4职责与权限

4.1经理

4.1.1组织网络与信息安全管理领导小组成员定期召开网络与信息安全管理会议。

4.1.2带领和引导网络与信息安全管理领导小组工作的展开。

4.2网络与信息安全管理领导小组。

4.2.1参加网络与信息安全管理会议，表决通过网络与信息安全管理的各项决议和策略。

4.2.2讨论网络与信息安全管理实施方案的可行性，提出改进意见。

4.2.3对网络与信息安全管理工作的焦点与难点问题进行剖析，完善实施方案。

4.2.4审批网络与信息安全改造所需的各种软硬件购置申请。

4.2.5协调各部室做好网络与信息安全管理的准备工作。

4.3生产技术部

4.3.1核实设备的购置申请送交分管领导审批。

4.3.2列入生产计划。

4.3.3设备到位后，进行开箱验收。

4.3.4验收通过后，生产MIS数据录入。

4.4物资部

4.4.1根据设备购置申请的要求进行设备招标采购。

4.5信息中心

4.5.1应用系统的开发与引进。

4.5.2应用系统的监控、备份与维护。

4.5.3数据库备份与检查。

4.5.4机房监控与管理。

4.5.5网络与信息系统安全管理。

4.5.6维护微机、打印机的正常运行。

4.5.7微机、打印机的保修与送修管理。

4.5.8信息网络的维护与故障排查。

4.5.9信息安全管理标准的制定与执行。

4.5.10信息网络安全改造方案的制定与实施。

4.6网络管理员

4.6.1维护单位信息网络的安全稳定运行。

4.6.2维护交换机、路由器等网络设备的正常运行。

4.6.3合理分配网络资源和网络带宽。

4.6.4审核入网终端的合法身份。

4.6.5撰写信息网络运行分析报告,分析网络运行状况。。

4.6.6设计信息网络升级改造方案。

4.6.7升级数据的安全共享和可靠交付实施方案。

4.6.8制定信息网络应用培训计划。

4.7终端维护员

4.8设备管理员

4.9各终端使用单位

4.9.1执行信息安全管理的各项制度与规定。

4.9.2不随意安装非法软件和恶意插件。

4.9.3保护计算机上涉秘密数据的安全。

4.9.4进行终端安全策略的升级。

4.9.5设置系统自动下载更新与安装。

（说明:职责与权限应明确实施该项管理活动直接相关的领导、主管部门、协作部门的职责、权限、分工协作及其接口和相互关系。应按该项管理的管理流程图职能带从左至右顺序描述，并在“管理内容与方法”中体现。不涉及企业外部门。）

5管理内容与方法

5.1本标准依据的流程

网络与信息安全管理流程见附录A.1

信息网络安全改造流程见附录A.2

终端入内网流程见附录A.3

终端入外网流程见附录A.4

网络与信息系统故障处理流程见附录A.5

网络与信息系统监控流程见附录A.6

服务器、终端故障处理流程见附录A.7

网络设备故障处理流程见附录A.8

设备报废流程见附录A.9

终端外修流程见附录A.10

外网申批流程见附录A.11

OA申批流程见附录A.12

5.2网络与信息安全管理流程

5.2.1方案制定

5.2.1.1信息中心制定网络与信息安全管理规划方案，呈报网络与信息安全管理领导小组申批。方案内容包括：内外网隔离改造实施方案，列出网络改造所需设备明细，估算施工周期；终端和存储介质安全管理方案，注明引进配套管理软件所需资金；职工信息安全培训计划和考评标准。

5.2.1.2网络与信息安全管理领导小组进行方案申核和可行性评估，提出改进意见由信息中心进行方案修订；方案通过后，落实改造所需设备、资金、协调有关单位配合方案的实施。

5.2.1.3信息中心制定方案实施细则，明确工作分工，针对技术难点进行业务攻关。

5.2.2网络安全改造

5.2.2.1公司各部室协调终端的使用，进行业务分流，在保证业务正常进行的情况下配合信息中心进行内外网隔离建设与网络安全改造工作。

5.2.2.2执行信息网络安全改造流程，搭建无线网络用于访问互联网和公网业务的开展，无线网络逻辑上划分为2个网段，外网业务应用网段和互联网浏览网段。办公内网与外网完全分离，交换机安全设置，实施终端MAC-IP地址绑定，对未分配IP地址绑定全0的MAC地址，防止非法用户盗用IP地址造成访问权限失控，办公内网与无线外网分别布署网管软件，实时监控网络运行。营销、生产、OA等重要应用服务器通过防火墙与公司办公网络互联，提高数据安全性，建立机房、服务器监控系统，时刻掌握机房设备运行状况和服务器运行状态。

5.2.2.3信息网络安全改造完成后，网络与信息安全管理领导小组组织人员对信息网络安全进行整体

评估，提出改进意见，进行信息网络安全整改。

5.2.3服务器安全升级

5.2.3.1信息网络安全评估通过后信息中心利用BTNM网管软件、IPS、SYMANTEC END POINT MANAGER等管理平台，通过端口扫描，弱口令猜解等方式检测网络漏洞和终端漏洞。

5.2.3.2根据检测结果从网络运行状况、终端安全漏洞、病毒威胁分布等角度全面分析信息网络运行现状书写网络运行分析报告提交网络与信息安全管理领导小组审批。

5.2.3.3网络与信息安全管理领导小组针对网络运行分析报告内容召开信息网络安全会议，确立下一步工作目标和工作重心。

5.2.3.4信息中心根据领导小组确立的工作目标制定工作方案，强化网络安全架构，对检测出的漏洞及时封堵。

5.2.3.5对小型机、服务器进行全方位扫描，全面检测小型机、服务器和数据库存在的漏洞，从而进行针对性处理。

5.2.3.6下载官方发布的AIX-UNIX、HP-UNIX、WINDOWS2003系统补丁，对对小型机、服务器进行安全升级。

5.2.3.7下载官方发布的SQL-SERVER、ORACL数据库补丁，弥补数据库漏洞。

5.2.3.8加强数据备份工作，重新制定数据备份策略，缩短数据备份周期，重要服务器每天备份，提高数据安全性。

5.2.4终端安全管理

5.2.4.1终端杀毒软件从SYMANTEC10.0升级至SYMANTEC11.0版本，增加主动型威胁防护和网络威胁模块，加强终端的病毒防御能力。

5.2.4.2升级终端的系统补丁至最新版本，配置终端系统补丁自动升级，定制策略在指定时间自动从内网补丁服务器下载更新，及时封堵漏洞。

5.2.4.3部署终端安全管理系统，使全网终端使终处于可控、在控状态，发现问题，及时处理。

5.2.4.4强化U盘、移动硬盘的安全管理，部署移动存储介质认证系统，对进入办公网络的移动存储设备进行安全认证，配合终端安全管理系统，阻止没有经过安全认证的移动存储设备进入办公网络。5.2.4.5通知公司各部室是否有移动存储设备需要接入办公网络，如有需要将移动存储设备交由信息中心进行安全认证。

5.2.4.6对需要接入办公网络的移动存储设备由服务器管理员集中进行安全认证。

5.2.5信息安全培训

5.2.5.1服务器、终端的安全升级阶段全面完成，信息中心作出书面工作总结向网络与信息安全管理领导小组汇报，同时请示信息安全培训工作的工作安排。

5.2.5.2网络与信息安全管理领导小组听取汇报后，对信息安全培训工作提出具体的工作要求和预期目标。

5.2.5.3信息中心制定网络与信息安全培训计划，确定培训地点和学习内容，进行课时安排。

5.2.5.4公司各部室向信息中心提报培训名单，协调科室内部工作安排，保证与训人员准时参加培训。

5.2.5.5进行网络与信息安全培训，分析信息安全的严峻现状和病毒、木马常见的攻击方式，操作系统和安全设置以及浏览器的安全漏洞和防范措施。

5.2.5.6培训结束后进行测验考试，进行培训效果评估，同与训人员进行互动交流，了解培训需求，修订培训内容，制定下一轮培训计划。

5.2.6安全评估

5.2.

6.1同多络与信息安全管理小组对网络与信息安全进行整体评估，提出改进意见，交由信息中心实施。

5.2.

6.2信息中心常态监控网络与信息系统的运行状况，持续进行安全改进。

5.3信息网络安全改造流程

5.3.1安全改造准备阶段

5.3.1.1信息中心分析信息网络安全改造所需的设备，列出设备明细，包括设备类型、型号、接口数、IOS版本、实现功能等信息，提报设备购置申请，交由生产技术部审批。

5.3.1.2生产技术部进行申请核实，在确认无误后交由公司领导审批。

5.3.1.3公司领导对购置申请进行批复，通过后申请转至物资部。物资部根据设备购置申请明细进行设备招标采购。

5.3.1.4所需设备到位。信息中心和生产技术部设备专责人对设备进行验收，验收通过后设备专责人进行设备登记。

5.3.2办公内网安全改造

5.3.2.1信息中心网络管理员对核心交换机CISCO6509、CISCO4506进行安全设置，配置HSRP双机，配置安全访问控制列表，只允许网络管理员的终端IP地址可以远程登陆交换机进行访问，配置SSH，采用SSH协议替代TELNET远程访问交换机，对报文进行加密，防止被嗅探；加强IP地址的管理，执行终端IP-MAC地址绑定，对没有分配的IP地址，将其与全O的MAC地址绑定，防止IP地址被盗用，防止非法终端接入网络。

5.3.2.2对二层交换机进行安全设置，配置SSH，采用SSH协议替代TELNET远程访问交换机，对报文进行加密，防止被嗅探；执行端口-MAC地址绑定，关闭交换机未分配端口。

对机房汇聚交换机CISCO4948进行安全配置，配置SSH，采用SSH协议替代TELNET远程访问交换机，对报文进行加密，防止被嗅探；4948交换机同时与6509和4506相连，提供冗余链路，保证服务器与办公网络的可靠连接。

5.3.2.3交换机安全设置完成后进行安全测试，如有问题返回检查交换机设置，查找原因，重新进行安全设置。

5.3.2.4交换机安全设置完成后，执行终端入内网子流程，实施终端安全策略后，终端接入办公内网。

5.3.2.5设置内网服务器防火墙，配置安全策略用于保护营销、生产等重要应用服务器，防范来自内网的攻击。同时用于和青岛公司网络的安全互联。部署办公内网网络管理软件，实时监控链路流量、设备负载、端口状态等信息。

5.3.3无线外网安全架设

5.3.3.1配置无线网络POE交换机，实施IP-MAC地址绑定，配置SSH，采用SSH协议替代TELNET远程访问交换机，对报文进行加密，防止被嗅探。

5.3.3.2部署无线AP，覆盖公司办公区域，提供无线网络接入端口。

5.3.3.3集抄、负控、车辆定位等与外网应用服务器从办公网络剥离，迁移至无线外网，实现办公网络与外网的完全隔离。执行终端入外网子流程，实施终端安全策略后，终端接入无线外网。

5.3.3.4设置防火墙，启用安全策略，防范来自外网的攻击；添加安全访问规则，使用NAT和反向NAT 实现外网应用服务器与互联网的访问，通过地址映射和端口映射控制无线外网终端访问外网的权限。防火墙设置完毕后，部署无线外网网络管理软件，全方位监控网络运行状况。

5.3.4机房安全建设

5.3.4.1安装机房监控摄像头，配合红外探头，启用触发录像方式自动记录机房内的活动。

5.3.4.2铺设机房漏水检测线，检测是否有漏水情况发生，同时铺设防水坝，当机房加湿系统出现故障有漏水情况发生时，将其限制在小范围内，同时监控系统以手机短信和电话通知的方式告警，以便及时处理。

5.3.4.3安装温湿度探头实时记录机房温湿度数据，安装烟感探头在机房发生火灾时第一时间发出告警，通知管理人员到达现场进行处理。

5.3.4.4安装部署机房监控平台，集中管理机房内UPS、空调等设备并监控这些设备的运行。

5.3.4.5设置UPS、空调、温湿度等敏感参数的告警阀值和告警方式。

5.3.4.6建立服务器集中管理平台，通过KVM交换机接管所有服务器的操作，实现服务器的集中管理与控制。

5.4终端入内网流程

5.4.1终端设备通过生产技术部、信息中心联合验收，下发到使用单位。网络管理员根据终端使用单位所在VLAN分配IP地址，并进行登记。

5.4.2终端维护员根据使用单位的需求安装操作系统和应用软件，操作系统安装完毕后，配置WINDOWS 自动更新，从内网补丁服务器下载更新并安装，修复系统漏洞，安装SYMANTEC11.0病毒防火墙并升级病毒库，完成终端的安全设置。

5.4.3终端使用单位是否需要OA邮箱。使用单位如有需求，则提交OA申请报告领导审批。审批通过后交由信息中心处理。服务器管理员在接到OA申请报告后登陆OA服务器为用户申请OA邮箱。

5.4.4邮箱申请完毕后，导出OA用户标识符文件交给终端维护员。终端维护员下载安装OA，并配置HOSTS文件，然后进行OA标识符导入和OA配置。网络管理员在核心交换机上将分配给终端的IP地址与MAC地址绑定。