公司网络安全管理制度

上海好司机网络科技有限公司网络安全管理制度1?机房管理规定1.1、机房环境1.1.128C15CM2?帐户管理规定？利用管理漏洞。如root身份运行httpd，建立shadow的备份但是忘记更改其属性， 用电子邮件寄送密码等等。安全的口令应有以下特点：用户口令不能未经加密显示在显示屏上设置最小口令长度强制修改口令的时间间隔口令字符最好是数字、字母和其他字符的混合用户口令必须经过加密口令的唯一性限制登录失败次数制定口令更改策略确保口令文件经过加密确保口令文件不会被盗取对于系统管理员的口令即使是8位带!#$% ” &大的也不代表是很安全的，安 全的口令应当是每月更换的带!#%”.的口令。而且如果一个管理员管理多台机 器，请不要将每台机器的密码设成一样的，防止黑客攻破一台机器后就可攻击所有机器。对于用户的口令，目前的情况下系统管理员还不能依靠用户自觉保证口令的安全， 管理员应当经常运用口令破解工具对自己机器上的用户口令进行检查，发现如在不安全 之列的口令应当立即通知用户修改口令。邮件服务器不应该给用户进shell的权利，新 加用户时直接将其shell指向/bin/passwd。对能进shell的用户更要小心保护其口令， 一个能进shell的用户等于半个超级用户。保护好/etc/passwd和/etc/shadow当然是 首要的事情。不应该将口令以明码的形式放在任何地方，系统管理员口令不应该很多人都知道。另外，还应从技术上保密，最好不要让root远程登录，少用Telnet或安装SSL 加密Telnet信息。另外保护用户名也是很重要的事情。登录一台机器需要知道两个部 分一一用户名和口令。如果要攻击的机器用户名都需要猜测，可以说攻破这台机器是不 可能的。2.3、授权管理帐户的权限控制是针对网络非法操作所进行的一种安全保护措施。在用户登录网络 时，用户名和口令验证有效之后，再经进一步履行用户帐号的缺省限制检查，用户被赋 予一定的权限，具备了合法访问网络的资格。我们可以根据访问权限将用户分为以下几类：特殊用户（即系统管理员）；一般用户，系统管理员根据他们的实际需要为他们分配操作权限；审计用户，负责网络的安全控制与资源使用情况的审计。用户对网络资源的访问权 限可以用一个访问控制表来描述。授权管理控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指 定用户对这些文件、目录、设备能够执行哪些操作。同时对所有用户的访问进行审计和 安全报警，具体策略如下：控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子 目录有效，用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问 权限一般有八种：系统管理员权限（Supervisor）读权限（Read）写权限（Write）创建权限（Create）删除权限（Erase）修改权限（Modify）文件查找权限（File Scan）存取控制权限（Access Control）网络系统管理员应当为用户指定适当的访问权限，这些访问权限控制着用户对服务 器的访问。八种访问权限的有效组合可以让用户有效地完成工作，同时又能有效地控制 用户对服务器资源的访问，从而加强了网络和服务器的安全性。2.5、属性级安全控制当使用文件、目录时，网络系统管理员应给文件、目录等指定访问属性。属性安全 控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权 限安全的基础上提供更进一步的安全性。网络上的资源都应预先标出一组安全属性。用户对网络资源的访问权限对应一张访 问控制表，用以表明用户对网络资源的访问能力，避免引起不同的帐户获得其不该拥有 的访问权限。属性设置可以覆盖已经指定的任何有效权限。属性往往能控制以下几个方 面的权限：向某个文件写数据拷贝一个文件删除目录或文件查看目录和文件执行文件隐含文件共享系统属性网络的属性可以保护重要的目录和文件，防止用户对目录和文件的误删除、执行修 改、显示等。网络管理员还应对网络资源实施监控，网络服务器应记录用户对网络资源的访问， 对非法的网络访问，服务器应以图形或文字或声音等形式报警，以引起网络管理员的注 意。定期扫描与帐户安全有关的问题。由于帐户设置的问题使得系统用户可以有意或无 意地插入帐户。用户帐号检测可以在系统的口令文件中寻找这类问题，同时寻找非活动 帐号，它们往往是被攻击的对象。对帐户进行安全问题的检测，应使第三方扫描软件搜 索不到您的内部帐户名称和口令，将可能出现的安全问题提前处理掉，并将当前系统帐 户设置同上一次系统安全扫描评价时的设置相比较，将发现的新增的未认证帐户和用户 修改过的标识删除，及时将发现的其它安全问题修正。3运行网络安全管理3.1、目的保障秦热运行网络的安全运行，明确日常运行网络管理责任。3.2、范围本制度适应于对秦热网络系统和业务系统。3.3、定义运行网络安全是指网络系统和业务系统在运行过程中的访问控制和数据的安全性。 包括资源管理、入侵检测、日常安全监控与应急响应、人员管理和安全防范。3.4、日常安全监控3.4.15应急方案5.1、目的确保网络和业务系统安全有效运行，及时、有效处理各种突发事件，防范降低风险， 提高计算机系统的运行效率。5.2、定义应急方案包括：主机系统故障应急方案、通信系统故障应急方案、系统和数据的灾 难备份与恢复、黑客攻击的应急方案、主机感染病毒后的应急方案、安全体系受损或瘫 痪的应急方案。5.3、应急方案5.3.16计算机安全产品管理制度6.1、安全产品的管理1. 目的规范计算机安全产品的使用和管理，合理使用和管理现有的计算机安全产品，防范 风险堵塞漏洞，提高秦热的计算机信息系统的安全等级。2. 定义计算机安全产品包括：防火墙产品、防病毒产品、入侵检测系统、漏洞扫描系统等。3. 适用范围适用于秦热网络环境和应用环境。4. 管理原则防病毒安全产品遵循公安部病毒防护的有关管理制度；其他安全产品遵守国家的相关安全管理规定。6.2、防火墙的管理制度1. 目的加强和统一防火墙的管理和使用，保证防火墙的安全可靠运行，保障各种网络和业 务系统的安全运行，2. 定义防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安 全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能 根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的 抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。在逻辑上，防 火墙是一个分离器，一个限制器，也是一个分析器。防火墙有硬件的，也有软件的。3. 适用范围所有的防火墙产品。4. 防火墙的购置和使用4.1遵循安全最大化的原则和有关程序进行购置。4.2防火墙必须是其所隔离的网络之间的唯一信息通道。5. 管理规定5.1防火墙要有专人管理和维护，任务是：1）整理防火墙的有关的配置、技术资料以及相关软件，并进行备份和归档。2）负责防火墙的日常管理和维护。3）定期查看和备份日志信息，日志信息要归档长期保存。4）经授权后方可修改防火墙的有关配置，修改过程要记录备案。5）经授权后方可对防火墙的内核和管理软件的进行升级，升级的详细过程要记 录备案。5.2防火墙的安全策略要参考厂家或安全公司的意见，结合秦热的网络环境和 安全建设需求，由计算机中心根据实际的安全需求负责制订和实施配置。由厂家或者安 全公司提供技术支持。5.3防火墙的安全策略和配置参数一经确定和完成，任何人不得随意修改。若 确有需求，由当事人或部门提出书面申请，提交安全主管，获准后，由专管人员进行修 改或升级，详细记录有关修改升级情况并上报有关部门备案。5.4防火墙的有关技术资料、安全策略、重要参数的配置以及修改记录等要整 理归档，作为绝密资料保存。5.5防火墙出现故障后，要立即启用备用防火墙，并尽可能在最短的时间内排 除故障。附防火墙修改、升级记录格式：1）申请人（部）、申请时间2）申请原因3）安全主管批示4）相关领导批示5）修改、升级情况记录6）结果7）操作人签字6.3、防病毒的管理制度1. 目的统一及加强对防病毒软件的管理，保证防病毒软件的合法运行，提高使用效率，合 理、充分利用该系统，避免非法使用及秦热系统的重复开发和资源浪费。2. 适用范围防病毒软件产品；防病毒软件的硬件载体即计算机设备；防病毒软件载体即磁盘、光盘、资料与手册等。3. 防病毒软件的使用3.1各部门使用软件时应提出书面申请，经计算机中心领导签字后交防病毒主 管人员审核同意，交由相关技术人员实施。3.2外单位需使用有关软件产品，必须持有关证明，并报请部门领导审核后， 再交由文档资料管理员办理有关手续。3.3存档保管的软件产品属秦热的资产，不得随意复制和外传，否则，将承担 法律责任。4. 防病毒软件的管理与维护4.1防病毒软件管理人员与任务防病毒软件管理由计算机中心相关领导负责，并做下列工作：1) 对防病毒软件归档入库并进行登录、保管；2) 防病毒软件拷贝和资料印刷等工作；3) 防病毒软件的安装、调试及卸载；4) 制定防病毒软件的安全策略；5) 一周三次定期查看防病毒系统的日志记录，并做备份。6) 如发现异常报警或情况需及时通知相关负责人。4.2 防病毒软件的登记4.2.1、运行于本网络的防病毒软件系统的安全策略，均需由计算机中心相关 领导批准并登记在案方可进行。4.2.2、凡使用其他的防病毒软件也应由使用人将其名称和使用记录交给计算 机中心文档资料管理员登记、存档。4.2.3、凡第三方公司使用本系统软件，均需得到计算机中心领导批准并登记 在案方可进行。防病毒软件的登记格式如附录。附录：(1) 防病毒软件的使用者姓名或单位；(2) 开始、结束或使用时间：(3) 服务器的情况：IP地址，服务器的类型，服务器的用途；(4) 防病毒软件使用情况；(5) 安全策略的详细说明；(6) 管理人员的签字。6.4、入侵检测的管理制度1. 目的统一及加强对入侵检测系统软（硬）件的管理，保证入侵检测系统的合法运行，提 高使用效率，合理、充分利用该系统，避免非法使用及秦热系统的重复开发和资源浪费。2. 适用范围&）入侵检测系统软件产品；员入侵检测系统的硬件载体即计算机设备；入侵检测系统的软件载体即磁盘、光盘、资料与手册等。3. 入侵检测系统的使用3.1存档保管的入侵检测资料属秦热的资产，不得随意复制和外传，否则，将承 担法律责任。3.2正常运行的入侵检测系统必须由专人负责，相关规则设计属秦热内部机密， 不得外传，否则，将承担法律责任。4. 入侵检测系统的管理与维护4.1入侵检测系统管理人员与任务入侵检测系统管理由计算机中心相关领导负责，并做下列工作：1）对入侵检测系统软件及相关资料归档入库并进行登录、保管；2）入侵检测系统软件拷贝和资料印刷等工作；3）入侵检测系统的安装、调试及卸载；4）一周三次定期查看入侵检测系统日志记录，并做备份。5）如发现异常报警或情况需及时通知相关负责人。4.2入侵检测系统的登记4.2.1、运行于本网络的入侵检测系统的各条规则设计，均需由计算机中心相 关领导批准并登记在案方可进行。4.2.2、凡引进（包括其它方式）的入侵检测系统软件也应由承办人将其交给 计算机中心文档资料管理员登记、存档。4.2.3、凡第三方公司对本网络进行入侵检测测试，均需得到计算机中心相关 领导批准并登记在案方可进行。入侵检测的登记格式如附录。附录：（1）入侵检测系统使用者姓名或单位；（2）开始、结束或使用时间：（3）服务器的情况：IP地址，服务器的类型，服务器的用途；（4）入侵检测系统情况；6.5、漏洞扫描的管理制度1. 目的统一管理漏洞扫描，加强漏洞扫描软件的管理，保证漏洞扫描的合法进行，提高使 用效率，合理、充分进行漏洞扫描，避免不正当非法使用。2. 适用范围日常漏洞扫描：上述漏洞扫描软件的载体即磁盘、光盘、资料与手册等。3. 漏洞扫描软件使用a）秦热各部门如果需要使用本软件时应提出书面申请，经该计算机中心相关领导 签字后交计算机中心相关负责人审核同意。b）外单位如果需使用有关软件产品，必须持有关证明，并报请计算机中心相关领 导审核后，再交由文档资料管理员办理有关手续。c）存档保管的软件产品属秦热的资产，不得随意复制和外传，否则，将承担法律 责任。4. 漏洞扫描的管理与维护4.1漏洞扫描管理人员与任务 漏洞扫描管理由计算机中心领导负责，并做下列工作:4.1.1、对漏洞扫描软件归档入库并进行登录、保管;4.2.1、漏洞扫描软件拷贝和资料印刷等工作；4.3.1、一个月一次定期对本网络进行漏洞扫描检查。4.2漏洞扫描的登记4.2.1、凡对本网络进行漏洞扫描，均需由计算机中心领导批准并登记在案方可 进行。4.2.2、凡引进（包括其它方式）的漏洞扫描软件也应由承办人将其交给主管安 全部门文档资料管理员登记、存档。4.2.3、凡第三方公司对本网络进行漏洞扫描，均需得到计算机中心相关领导批 准并登记在案方可进行。漏洞扫描的登记格式如附录。附录：a）漏洞扫描者姓名或单位；b）开始、结束或使用时间：c）服务器的情况：IP地址，服务器的类型，服务器的用途；d）漏洞扫描情况：有潜在危险的服务器，漏洞的等级，漏洞的简要说明；e）漏洞的详细说明；f）漏洞的解决方案；g）管理人员的签字。7日常审计管理7.1、目的保障秦热网络和业务系统的安全运行，明确网络和业务系统的审计责任。7.2、范围本制度适应于对网络和业务系统的安全审计。7.3、定义安全审计指对秦热网络和业务安全与运行网络安全的审计，主要指业务审计、投产 审计、安全策略与制度的审计、安全评估、制度与规范执行情况的审计。7.4、规定7.4.18应急演练8.1、目的测试应急方案，确保应急方案的正确性、有效性、快速性。8.2、适用范围网络和业务系统的各种应急方案。8.3、规定8.3.19安全方案审核10事故响应及处理10.1、目的确保计算机系统安全有效运行，及时响应和处理各种计算机事故。10.2、定义计算机事故的定义可以参见计算机中心的有关规定。10.3、适用范围计算机系统事故的响应和处理。10.4、规定10.4.1、发生计算机事故时，当事人要迅速报告安全小组以及相关部门，并 详细记录事故发生的时间、地点、现象以及可能的原因。10.4.2、安全小组接到报告后，根据事故的严重程度，决定启动何种形式的 应急方案，并上报计算机中心和相关业务领导。事故结束后，要和有关人员、部 门分析事故发生的原因，并根据情节的轻重对事故责任人作出相应的处理。10.4.3、出现重大计算机事故，有计算机犯罪嫌疑的，除了采取相应的补救 措施外，还要及时上报公安机关，依法追究事故责任人的法律责任。11 技术档案管理制度11.1、目的规范所有技术档案的管理，严格有关借阅手续。11.2、定义技术档案是指各种硬件、系统软件、数据库的技术资料，应用软件使用说明、运营维护手册，以及各种设备、应用软件的运行档案11.3、适用范围计算机系统中各种软、硬件产品的技术档案以及相应的载体。11.4、规定11.4.1、技术档案要有专人负责保管，也可一主一辅进行管理。11.4.2、技术档案管理人员要对档案登录技术档案归档登记簿造册，注 明名称、类别、数量、存放位置和入库时间等，正式入档保管。11.4.3、根据有关档案管理规定，对技术资料按其重要价值进行密级分类管 理，要有一套技术档案作为永久保存，此套技术档案一般不外借。11.4.4、技术档案保管环境须满足防盗、防火、防潮、防水、防鼠、防虫、 防磁、防震等要求，重要技术档案应有冗余保护措施。11.4.5、备份介质要存放在专用的介质库内，重要的系统软件、应用软件， 以及业务数据备份还须异地保存，填写数据介质档案登记簿。11.4.6、定期检查技术档案的完整性及有效性，对受损档案要及时整理和修 复，对介质档案还应定期进行重绕、重写、复制等维护措施。11.4.7、借阅技术档案要向管理人员提出口头申请，填写技术档案借阅登 记簿，借阅档案要及时归还，借阅永久保存的技术资料要经领导同意。11.4.8、档案工作人员应严格按照档案工作的各项规定、制度办事，严格遵 守国家的保密制度，不得擅自提供档案或向他人泄露档案内容，不得擅自转移、 分散和销毁档案。11.4.9、过期和报废技术档案销毁时，应严格履行审批手续、登记过期、 报废技术档案销毁登记簿，并采取严格的监销制度。12 安全保密制度遵循国电对电力行业的有关规定和国家经贸委30号令，遵守国家相应的保 密制度。