网络安全管理规定
【ISMS-2-08】
以下为模板,请依据发布的信息安全策略,并基于实际情况进行制定
目录
一、目的 (1)
二、适用范围 (1)
三、术语与定义 (1)
3.1职责分离 (1)
3.2基础平台 (1)
四、所属/负责部门职责 (1)
4.1信息安全部门 (1)
4.2IT部 (2)
4.3机房管理员 (2)
五、网络架构安全 (2)
六、网络区域与隔离 (2)
6.1网络安全域划分 (2)
6.2网络隔离要求 (3)
七、网络安全控制 (3)
7.1网络行为管理 (3)
7.2网络设备安全配置 (3)
7.3网络容量管理 (4)
八、网络安全标准 (4)
8.1通用网络保护 (4)
8.2网络设备远程访问 (4)
一、目的
为了加强(以下简称“”)信息系统操作过程中的安全管控,规范网络、应用及相关设备设施的日常运维安全管理,保障各类业务持续稳定运行,特制定本管理规定。
二、适用范围
本规定适用于。
三、术语与定义
3.1 职责分离
指职责不相容的岗位由不同的人来担任,以减少两人或多人串通舞弊的机会,降低错误发生和权限滥用的可能性。
3.2 基础平台
指中间件、数据库、操作系统、网络系统、虚拟化系统等支撑业务运行的底层平台。
四、所属/负责部门职责
4.1 信息安全部门
负责建立网络设备安全配置规范;
负责网络区域隔离安全设计;
负责进行漏洞扫描和安全测试。
4.2 IT部
负责办公网络接入设备、个人终端的管理和维护;
定期对网络设备进行安全巡检,并形成巡检报告;
负责网络的日常运维管理;
配合信息安全部建立网络设备安全配置规范;
负责生产网网络设备的管理和维护。
4.3 机房管理员
负责生产网服务器、网络基础设施的设备管理和维护。
五、网络架构安全
•须保持关键网络链路的可用性,可采取必要的冗余措施(包括热备、冷备);
•在网络上传输涉密信息时必须采取加密措施或采用加密信道,以确保传输过程的机密性与完整性;
六、网络区域与隔离
6.1 网络安全域划分
按照安全级别和功能进行区域划分,各区域应根据其安全级别的不同采用适当的安全防护措施,根据各服务器所运行的业务应用,存储数据的机密级别,将网络划分不同的安全域,以更好的控制网络安全风险。
例如:运维区域、生产区域、办公区域、开发测试区域、DMZ 区域、非信任网络。
6.2 网络隔离要求
•生产网络中不同用户的网络资源(用户数据、虚拟机、虚拟网络等)应实现逻辑隔离,并部署相应的安全机制(如虚拟防火墙访问策略、虚拟资源访问策略等)来进行用户资源边界控制,并对异常访问情况进行监控和告警;
•合理设置访问控制规则,只允许经授权的网络访问,且仅开放必须的网络服务功能与通讯协议。
6.3 敏感信息保护
在网络安全域划分和隔离的基础上,对存储用户数据的系统平台进行更细粒度的访问限制,确保所有用户资源的访问均受到有效管控,严禁通过非授权的输入/输出流量访问生产区域网络托管的用户敏感数据。
七、网络安全控制
7.1 网络行为管理
•使用网络的用户须经过正确授权后赋予相关访问权限方能访问网络,且使用网络的用户应仅在授权允许的网络区域内工作,对于跨越权限使用网络的情况,相关运维人员应及时上报违规情况并修改/禁用其权限;
•禁止所有人员在公司内部网络进行非授权的扫描,嗅探等动作;
7.2 网络设备安全配置
•必须建立良好的访问控制机制,避免网络设备的非授权访问;
•网络设备应开启必要的日志记录功能,能够在安全事件发生后进行追踪和审计;
7.3 网络容量管理
应在网络建设时对网络容量进行充分的规划和设计,确保当前的网络安全需求符合业务发展的需要。
八、网络安全标准
8.1 通用网络保护
•所有连接到第三方网络或者连接公共网络的内部网络应被保护;
•任何网络变更都需要经过批准;
8.2 网络设备远程访问
•应对错误登录网络设备进行次数限制;
•应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施。