《网络安全管理制度》-等级保护安全管理制度

XXX系统

管理平台

信息安全管理制度- 网络安全管理规范

目录

1.总则 (3)

2.人员及职责 (3)

3.设备管理规定 (3)

4.网络隔离 (4)

5.INTERNET使用规定 (4)

6.内部用户使用特殊网络资源流程 (4)

7.用户使用网络资源流程 (5)

8.第三方或临时用户使用网络资源流程 (5)

9.检查表 (5)

10.相关记录 (5)

11.相关文件 (6)

12.附则 (6)

1. 总则

第一条目标

本规定的目的是确保XXX系统平台安全平稳运行，有效管理，杜绝非授权的资源访问、使用及控制。

第二条范围

本规定适用于XXX系统平台所有的网络设备及相关人员。

2. 人员及职责

第三条xxx负责落实并监督此规定的实施。

第四条XXX管理部所属员工和客户均须遵守本规定。

3. 设备管理规定

第五条网络设备采用带外管理的方式在管理上与业务数据隔离。

第六条网络设备只对办公网络内授权IP地址范围开放登录功能。

第七条网络设备拒绝发起自外网的访问，在外网需登录网络设备时须先登录指定的登录服务器，再向目标设备登录。

第八条从外网到内网的登录连接须采用加密协议，不允许使用明文传输。

第九条登录须通过ACS认证，采用动态口令认证系统。

第十条网络设备登录须凭登录者的账号登录，口令应避免使用弱口令（账号口令制定规则详见《权限、口令、加密管理规定》）。

第十一条网络设备不得开放SNMP写入功能。

第十二条网络设备只能对授权监控设备开放SNMP读取功能。

第十三条须对网络设备的互联状况和设备本身健康情况进行监控。

第十四条被监控对象出现异常时，监控系统发出报警。

第十五条由专门的日志服务器接收并保存网络设备发送的日志。

第十六条由专人负责每天查看日志服务器记录的日志信息。

第十七条必须保证网络设备的所在的物理区域的安全，未经授权的人员不得进入。

第十八条定期检查网络设备配置文件；

第十九条定期对网络系统进行脆弱性扫描评估并产生相应报告

第二十条统计所有网络设备操作软件的版本并检测是否有最新适用之版本可升级。如果最新适用版本，在升级前对原有软件系统和配置进行备份。并将此次升级纳入变

更管理流程。

4. 网络隔离

第二十一条门户网站网络与办公网络有效、严格网络隔离措施。

第二十二条不同的网络内部应根据功能不同、重要程度不同进行网络分组隔离；；

第二十三条在办公网络内部，应为用户和第三方分别划分单独的网络，将办公网络与用户和第三方网络隔离；

第二十四条定期检查更新各网络之间的隔离策略；

5. Internet使用规定

第二十五条办公网络与Internet的连接须经过防火墙的控制管理。

第二十六条在访问控制设备上（一般指防火墙或出口的核心路由设备）禁止未经明确允许的协议和端口。

第二十七条防火墙不得在UNTRUST侧进行管理。

第二十八条各类服务器和网络监控班的监控终端不能用作浏览网站、下载软件、收发邮件、即时消息软件客户端等用途。

第二十九条定期检查更新访问控制设备上的访问控制策略。

6. 内部用户使用特殊网络资源流程

第三十条XXX管理部内部部门或员工如有特殊网络资源使用需求，须向xxx提出纸面申请，纸质申请中需明确注明缘由、何种资源、使用时间段、使用期限。

第三十一条信息安全组织批准后向xxx以纸质形式派单，由xxx实现需求。

第三十二条特殊资源使用到期后，由xxx收回特殊网络资源。

第三十三条如需变更或延期使用资源同本流程第一步。

7. 用户使用网络资源流程

第三十四条用户在使用网络资源前，需首先以书面形式向上级主管或相关负责人提交申请表单，待批准和授权后，相关资源系统管理人员授予用户合适的使用资源的

权限，这个过程必须遵循最小权限原则。

8. 第三方或临时用户使用网络资源流程

第三十五条第三方或临时用户如需要办公用途的网络资源须向xxx发单提出申请，申请中需明确注明缘由、何种资源、使用时间段、使用期限。

第三十六条 xxx确认同意后，经信息安全组织审核同意，由xxx实现需求。

第三十七条网络资源使用到期后，由xxx收回资源。

第三十八条如需变更或延期使用资源同本流程第一步。

9. 检查表

10. 相关记录

第三十九条设备评估记录

第四十条网络资源申请审批记录（xx中的记录）

第四十一条网络系统漏洞评估报告

第四十二条网络设备操作系统或软件升级记录表

11. 相关文件

第四十三条《权限、口令、加密管理规定》

12. 附则

第四十四条本管理规定自发布之日起开始实施；

第四十五条本管理规定的解释和修改权属于XXX管理部；

第四十六条 XXX在业务环境和安全需求发生重大变化时，XXX管理部信息安全组织应对本管理规定进行及时更新，并加以说明。