网络安全管理办法.doc

新能源有限公司
网络安全管理办法
第一章总则
第一条 为规范新能源有限公司（以下简称公司）网络安全建设和管理，健全网 络安全管理责任体系，建立公司网络安全技术标准和规范，根据《中华人民共和国网 络安全法》《电力监控系统安全防护规定》（柜空间管理、综合布线管理等规范。
（四） 相关表单文档。含机房来访人员登记表、机房设备出入记录、机房重要设 备管理登记表、机房设施巡检记录表、机房进入申请单等。
第十三条基础网络安全管理
保障公司在网络规划、建设、管理、运维等各阶段操作符合网络安全规范，网络 安全管理主要包括以下主要内容：
（一）网络规划建设
网络拓扑结构进行严格设计和规划，使网络架构清晰，层次分明；考虑网络设备 和线路的冗余问题，防止出现单点故障，应为网络的扩充或调整预留一定资源；根据 安全属性的不同划分安全区域，并在安全区域的边界处部署边界防护产品或应用边界 防护技术，如防火墙、VLAN访问控制、入侵防护、威胁发现及阻断、边界完整性检查 等；合理设计网络路由协议和路由策略，保证网络的连通性、可达性，以及网内业务 流向分布的均衡性；考虑内部网络的安全需求，按照工作职能、职责等具体情况，规 划部门或个人对其它网段、子网的访问权限；考虑设备认证、用户认证等认证机制， 以便在网络建设时采取相应的安全措施，重要网段应采取MAC地址接入限制、IP地址 与MAC地址绑定等措施，禁止无关设备接入；网络边界应具备入侵保护、防病毒、反 垃圾邮件的能力，确保恶意代码不流入内部网络；部署上网行为管理设备或系统，记 录用户上网行为，日志保存不少于三个月。
（二） 网络安全配置
在网络安全设备保障稳定运行前提下，及时更新防攻击规则库、防病毒库、防垃 圾邮件库等；网络设备对管理权限进行划分和限制，同时确保系统账户口令长度和复 杂度满足安全要求，避免使用弱口令，并将登录口令加密保存；网络设备中不需要的 服务及功能应全部关闭，确保网络设备只开启承载业务所必需的网络服务；网络设备 除维护管理账户外，不应存在多余自建账户；禁止私自架设无线网络
AP （接入点）。
（三） 网络运行维护
网络设备应指定专人负责管理维护，定期检查部署物理环境和运行状态；定期对 网络安全设备库文件进行更新；定期对网络设备进行漏洞扫描，发现漏洞应及时与设 备厂商联系，由厂商人员协助更新；定期对网络设备进行账户审核，删除过期账户和 不明账户；网络设备当前账户口令应定期进行复杂度审核；定期备份网络设备配置信 息，备份文件需异地加密保存。
（四） 网络日志审计
审计网络设备操作记录、设备提示、系统异常等信息；启用多种告警方式，如： 记录日志、控制台显示告警、电子邮件告警、短信告警等，并根据告警严重等级不同， 采取不同的告警方式；审计日志应统一收集保存，保存时间不低于半年；定期对审计 日志进行分析，发现恶意行为。
第十四条服务器系统安全管理
服务器系统应指派专人进行管理，公司总部由信息中心指派专人进行管理，各单 位由本单位指派专人进行管理，建立公司服务器系统在配置、管理、维护等各方面操 作规范，主要包括以下内容：
（一） 服务器系统安全配置
操作系统、应用系统、数据库在保障业务前提下，需更新最新补丁；操作系统、 应用系统、数据库应关闭多余服务、去除无用配置，限制系统账号的登陆范围；操作 系统除系统账户、应用账户外，不存在多余的自建账户；应用系统单独建立启动账户， 避免应用服务运行在超级用户权限下；数据库单独建立启动账户，避免数据库服务运 行在超级用户权限下；数据库系统访问需建立单独账户，并根据不同操作授予不同权 限，权限设定应遵循最小化原则；操作系统及数据库设置口令策略，限制密码复杂度、 最小长度及更新周期；数据库系统根据应用特点及访问需求，制定数据库访问策略， 限制非法连接。
（二） 服务器系统安全维护
需定期对业务系统进行漏洞检查，发现漏洞（含操作系统漏洞、应用系统漏洞、 数据库漏洞）需按照系统漏洞发现及补丁更新流程进行操作，补丁更新应参考系统厂 商建议；系统重大变更（含操作系统变更、应用系统变更、数据库变更）应提交包括 变更目的、变更步骤说明等详细信息在内的变更建议文档，并提供变更回退方案；补 丁更新或系统变更等敏感操作前，应对系统、数据进行备份；定期对操作系统、数据 库进行账户审核，删除过期账户和不明账户；操作系统账户、应用系统账户、数据库 账户申请需统一申报，提交用户名，操作范围等信息，审批后方可创建激活；操作系 统、应用系统、数据库账户口令应定期进行复杂度审核；系统管理员按照系统安全检 查流程对服务器进行日常检查，采用多种手段监控主机系统
CPU、内存、主要进程等 工作状态，确保系统服务正常；新系统入网前，应进行补丁、配置等方面安全基线核 查