XX公司网络安全管理办法.docx

1
XX 公司网络安全管理办法
为全面贯彻落实《中华人民共和国网络安全法》、《党委（党 组）网络安全工作责任制实施办法》 (厅字【2017】32 号)文 件精神， 进一步提升集团公司网络安全管理水平， 确保各项网 络 地址使用登记簿、 VLAN 划分表和设备设施台帐 等基础资料。
第十九条 集团及各单位若发生计算机病毒、 网络攻击、 网络侵入等危害时， 必须第一时间进行隔离处置， 立即启动应 急预案，采取相应补救措施，并向有关部门报告。
第二十条 集团及各单位关键网络设应专人管理、 运维， 严禁密码外泄，运维人员调离工作岗位时，应改更密码。
第六章 主机安全
4
第二十一条 集团公司所有新购置的关键网络、信息 等电子信息设备必须选购通过国家信息安全测评/信息技术产
5
品安全测评的产品。
第二十二条 集团公司所有主机应安装正版安全防护 软件并及时更新特征库，严禁无安全防护措施设备联网。
第二十三条 集团公司所有主机接入集团内网或煤炭 专网等网络前必须安装已发布的系统补丁， 并关闭已知的高危 漏洞所使用的端口， 严禁集团公司生产类应用软件使用默认端 口交互数据。
第二十四条 所有终端用户和系统管理员必须关注操 作系统、 数据库系统和应用软件等披露的安全漏洞， 补丁安装 按照第三十三条内容执行。
第二十五条 集团公司所有信息系统管理人员、使用 人员和运维人员必须熟悉所使用信息系统的数据流走向、使用 端口号、及信息交互 IP 地址等基础情况，必须在操作系统自 带防火墙或防火墙等安全设备上设置访问控制策略。
第二十六条 生产网内交换机、服务器、工业主机等 设备 Console、USB、光驱等外设接口必须严格管理，必要时 拆除或封闭外设接口； 外部设备原则上禁止接入， 因维护需要 确需接入时必须确认外部设备安全可信， 如通过安全防护软件 扫描、配备专用配置设备等。
第二十七条 严禁生产网内服务器、主机等安装与本 生产系统无关的软件；远程访问安全执行以下规定。
1、原则上严格禁止工业控制系统面向互联网开通 HTTP、 FTP、Telnet 等高风险通用网络服务。
5
2、确需远程访问的，采用数据单向访问控制等策略进行 安全加固，对访问时限进行控制，并采用加标锁定策略。
6
3、确需远程维护的，采用虚拟专用网络（VPN）等远程接 入方式进行。
4、保留工业控制系统的相关访问日志，并对操作过程进 行安全审计。
第七章 应用安全
第二十八条 集团公司所有信息系统应使用正版操作 系统、正版应用软件或有计算机软件著作权登记证书的应用软 件，严禁使用盗版、非授权软件。
第二十九条 必须对操作系统和应用软件重命名或删 除默认账户，严禁使用默认口令，口令必须满足复杂度要求。
1、口令有效长度至少 8 位。
2、至少包含大写字母、小写字母、数字和特殊符号。
3、禁止使用 4 个及以上的重复字母或数字。
4、口令最长有效期为 90 天。
5、禁止使用最近 5 次用过的口令。
6、同一业务系统内主机及应用软件严禁使用相同或诸如 ******@001、******@002 等相似口令。
第三十条 应对各类系统、 软件分配帐户和对应的操作 权限，采取严格的认证授权机制保证按权操作。
第三十一条 集团公司业务系统所使用的软件严禁采 用系统服务默认端口进行数据流交互； 业务系统上线前必须对
6
数据流走向、互访主机 IP 地址、使用端口等配置访问控制策 略。
第三十二条 不同业务系统间应采取必要的措施实现
7
充分隔离， 防止蠕虫、 病毒、 单个应用的漏洞等安全威胁相互 扩散感染。
第三十三条 业务系统管理方必须要求软件提供方在 操作系统或应用软件相关漏洞补丁发布后， 立即进行业务系统 软件适配， 保证补丁安装成功， 不影响业务系统正常运行， 特 别是工业控制系统要在保证安全运行的前提下进行， 暂时无法 安装补丁的系统， 要求软件提供方或维护方采取措施保证系统 安全。
第三十四条 在第三方平台部署的业务系统，在上线 前必须已完成等级保护相关工作， 同时选择已经等级保护测评 并已通过的第三方平台， 且平台等级保护级别不低于业务系统 等级保护级别。相关资料文件报信息服务中心备案。
第八章 数据安全及备份恢复
第三十五条 集团公司所有产生的办公文档、办公电 子邮件、人事档案、监控数据、财务数据、技术数据、地测数 据、设备数据等全部属于集团公司数据资产。
第三十六条 数据资产管理员应自行备份、归档管理， 未经集团公司有关主管部