网络管理制度（通用模板）.docx

网络安全管理制度 访问控制 1）网络边界处部署访问控制设备如防火墙，并启用访问控制功能。 2）业务终端与业务服务器之间进行路由控制建立安全的访问路径。设备配置了严格的访问控制策略，根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制力度为端口级。 3）设备通过访问控制策略对进出网络的信息内容进行过滤，实现对应用层协议命令级的控制。 4）会话非活跃终止时间，超过此时间自动结束会话。 5）应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机。 6）对重要网段采取有效的手段防止地址欺骗，如IP-MAC地址的绑定。 7）已对管理员登录网络设备地址进行限制，只允许管理员从堡垒机上远程登录网络设备等。 安全管理 网络设备登录采用两种或两种以上的组合鉴别技术对网络设备用户进行身份鉴别。身份鉴别信息具有不易被冒用的特点，口令应有复杂度要求并定期更换。 设备已启用登录失败处理功能，已限制非法登录尝试次数，超尝试次数后实现锁定策略，并设置了网络登录连接超时自动退出。 当对网络设备进行远程管理时，鉴别信息非明文传输。 区分不同用户的操作权限，实现设备特权用户的权限分离，如可分为系统管理员、安全管理员、安全审计员等。 使用入侵检测、漏洞扫描等设备和技术定期对网络安全情况进行监控和分析，发现和弥补网络中存在的安全漏洞，对于监控到的异常行为及时进行有效的处理。 需要在网络中部署防范恶意代码设备，在网络边界处对恶意代码进行检测和清除，定期维护恶意代码库的升级和检测系统的更新。 终端接入 应当对外网接入和终端设备接入进行管控，对非授权设备私自联到内部网络的行为和内部网络用户私自联到外部网络的行为进行检查，实现安全的远程办公和移动办公。 1）终端接入系统时必须通过用户名、口令进行身份验证后方能接入； 2）外部单位人员一般不允许接入系统内部网络，如因维护需要确需连入网络，必须进行登记审批，并在有内部工作人员随工的情况下方可接入； 3）严格执行两网分离政策，禁止内网终端入互联网，接入互联网的终端。 边界隔离 网络区域边界访问控制应遵循以下原则： 1）互联网与业务专网单向访问、外联网与业务专网数据交换通过过渡系统交换； 2）核心业务系统访问总应用，必须经过前置过渡系统。 （一）内部不同安全域之间的隔离 安全区域互连点上必须实施安全措施，对网络区域和安全域间要进行保护，使用防火墙等安全设备以及其它访问控制方式或技术将安全域隔离开，安全区域间互联的基本要求是“最小化原则”，即在满足业务和维护的需求的前提下，最大限度的减少的互联地址和端口数量。 网络之间互连点采取集中原则，并考虑安全冗余。 网络互连点及安全设备必须纳入到网管体系的监控。 （二）与第三方网络之间的隔离 网络之间互连点采取集中原则，并考虑安全冗余； 互连点上必须实施安全措施，如安装防火墙、实施入侵检测等； 网络互连点及安全设备必须纳入到网管体系的监控； 在单位内部计算机网络内必须设置前置服务器，用于与第三方网络连接，禁止生产用的主机、服务器与第三方网络直接连接。 与第三方网络的连接中，在互连点上的路由器上应该进行IP地址转换，保护单位内部前置服务器真实的IP地址； 在防火墙上实施策略控制，严格限制访问的地址和端口。 （三）与互联网之间的隔离 禁止内网网络与互联网之间直接连接；通过互联网区与互联网逻辑连接。 互联网业务系统出口统一集中在街道办事处总出口，街道下属各部门禁止私自开放互联网业务出口。 网络监控管理 部署网络管理体系，管理网络资源和设备，实施监控网络系统的运行状态，降低网络故障带来的安全风险。管理部门负责网管系统和网络安全的建设和维护，以实现对网络安全情况的实时监控和管理。 1）信息系统管理部门负责网管系统和网络安全的建设和维护，以实现对网络安全情况的实时监控和管理，确保整个网络安全、稳定运行； 2）信息系统管理部门需使用入侵检测、漏洞扫描等设备和技术定期对网络安全情况进行监控和分析，对于监控到的异常行为要有及时、有效的处理机制； 3）信息系统管理部门在监控过程中，如发现网络异常、严重影响业务的问题，要立即向上一级报告； 4）网络管理员负责网络设备的日常检查，监测网络设备性能参数和网络运行状况；对关键设备要做到每日检查，发现问题应迅速解决，全部管理工作应保留记录； 5）定期或不定期对备件及备用线路进行检测和维护； 6）网络安全监控设备的运行不能影响网络的正常使用； 7）信息系统管理部门要对所有在线网络设备运行情况记录登记，并定期向上级上报网络运行状况报告。 网络审计管理 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录。对网络系统中的日志记录及涉及网络配置的更改记录进行审计。审计记录应包括事件日期和时间、用户、事件类