**公司 网络与应用系统安全管理规定 总 则 第一条 为贯彻《中华人民##国网络安全法》〔以下简称《网络安全法》〕最大限度地消除互联网应 用风险和隐患,提高**公司网络和应用系统安全防护水平,保障网络和应用系统的安全和 稳定运行,特结合**公司实际制定本规定. 第二条 把网络与应用系统安全纳入公司发展规划和预算管理.确立网络与应用系统安全在公司发 展中的重要地位,将网络与应用系统安全预算资金集中投入,统一管理,专款专用. 第三条 加强网络与应用系统安全队伍建设,将人才培养与推进信息化安全结合起来,提高全员信 息化应用安全水平. 第四条 制订公司全员信息化安全管理和应用培训计划,开展信息化安全应用相关培训,不断提高 公司对网络和应用系统安全的认识和应用水平. 第五条 本规定基本内容包括:网络管理、设备管理、系统安全管理、机房管理、数据安全管理 、信息安全管理、应急处理. 第二章 网络管理 第六条 建立网络管理台账,掌握本单位的网络结构与终端的接入情况,做到条理清楚、管理到位 . 〔一〕所有网络设备〔包括防火墙、路由器、交换机等〕应归**部统一管理,其安 装、维护等操作应由**部工作人员进行,其他任何人不得破坏或擅自进行维修和修改.同 时,登录网络设备密码应遵循复杂性原则,且位数应不低于8位. 〔二〕建立租用链路管理台账,包含但不局限于以下内容:链路供应商、本端接口、对端 、技术参数等日常维护信息. 〔三〕建立网络拓朴图,标注线路连接、设备功能、IP地址、子网掩码、出口网关等常用 管理信息. 〔四〕局域网原则上应实行静态IP管理,IP地址由**部统一分配,并制定"IP地址分配表〞 ,记录IP地址使用人、MAC地址、电脑操作系统等信息. 〔五〕IP地址为计算机网络的重要资源,公司员工应在**部的规划下使用这些资源 ,不应擅自更改. 〔六〕公司内计算机网络部分的扩展应经过**部批准,未经许可任何部门不应私自 将交换机、集线器等网络设备接入网络. 〔七〕**部负责不定时查看网络运行情况,如网络出现异常时与时采取措施进行处理. 〔八〕公司网络安全应严格执行国家《网络安全法》,对在网络上〔包括内网和外网 〕从事任何有悖网络安全法律法规的活动者,将视其情节轻重交有关部门或公安机关处理 . 第三章 设备管理 第七条 做好日常维护和保养,掌握正确的操作使用方法和规程,减少设备的故障率,确保设备能够 正常和可靠运行. 〔一〕建立设备管理台账,应包含以下内容:设备型号、序列号、设备配置、技术参数、 运行时间、保修期限等日常维护信息; 〔二〕服务器电源应保证冗余电源,有条件的情况下采用双路电源接入.对于运行重要应 用系统的服务器设备,还应配备不间断〔UPS〕电源,以避免非常规断电造成服务器设备的 物理损坏.UPS负载必须保持在总负荷80%以下,并且定期对UPS设备进行检测,确保设备运 行正常和有效; 〔三〕相关管理人员应定期对各设备进行巡检,查看设备运行日志,监测设备,并填写"巡 检情况记录〞; 〔四〕严禁撕毁、涂画或遮盖IT设备标签,或未经**部备案擅自调整部门内部计算 机信息系统的配置; 〔五〕计算机终端用户因主观操作不当导致设备、设施损坏,应承担相应修复费用,不能 修复的应按所损坏设备、设施的市场价值予以赔偿;蓄意破坏设备、设施的,除照价赔偿 外,还应视情节严重给予行政处罚; 〔六〕终端设备,特别是笔记本电脑等移动设备应采用实名制,不得赠送、出借、出 售给他人使用. 第四章 系统安全管理 第八条 系统安全管理应充分利用现有资源,完善相关的管理制度和流程,保证安全系统有效、稳 定和可靠运行. 〔一〕设置防火墙安全策略时,应考虑隔离病毒传播、非授权访问的通道等方面的内容, 而且策略应注明用途,避免冗余策略的产生; 〔二〕按照不同的访问权限,在核心交换机、路由器设置不同的访问控制策略; 〔三〕不定期开展对服务器进行安全扫描,针对发现的漏洞与时补漏加固. 〔四〕移动存储设备〔优盘、移动硬盘等〕必须进行病毒扫描确认无毒后,方能接入服务 器; 〔五〕各应用系统管理员登录密码应遵循密码复杂度原则,且位数不应少于8位; 〔七〕定期查看各应用系统、终端操作系统相关安全公告,根据需要下载操作系统相关补 丁安装包,进行测试后对服务器进行升级; 〔八〕禁止在机房服务器上安装与系统应用无关的软件,并且安装软件要确认安装包的安 全性,安装和卸载软件应做好相应记录; 〔九〕公司员工应定期对所配备的计算机终端的操作系统、杀毒软件等进行升级和更新 ,并定期进行病毒查杀; 〔十〕公司员工应妥善保管根据职责权限所掌握的各类办公账号和密码,严禁随意向他人 泄露和借用; 〔十一〕经远程通信传送的程序或数据,必须经过安全检测确认无病毒后方可安装和使用 ; 〔十二〕定期组织灾难恢复演习,提高