网络安全管理制度

　　第一条为保证中共深圳市委党校网络能够安全稳定地运行，充分发挥信息服务方面的重要作用，更好地为中共深圳市委党校工作人员提供服务，参照《信息系统安全等级保护基本要求（GBT 22239-2008）》，并结合中共深圳市委党校实际，制定本制度。

　　第二条信息安全和技术规划部负责网络安全管理及监督检查的牵头工作。

　　第三条网络安全管理工作包括建设安全的网络结构、采取有效的访问控制措施、防护网络设备安全、病毒/漏洞扫描等。

第一章    建设安全的网络结构

　　第四条保证关键网络设备（交换机和路由器）的业务处理能力具备冗余空间，满足业务高峰期需要。

　　第五条保证接入网络和核心网络的带宽满足业务高峰期需要。

　　第六条网络安全管理部门应绘制完整的网络拓扑结构图，同时在《终端资产统计表》上登记所有接入各类网络的主机资料、使用人员情况等，由网络管理员负责并及时更新并存档备查。

　　第七条网络安全管理部门应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段。中共深圳市委党校所在终端接入计算机网络时，都应按照已规划的域名、IP地址规范进行配置，未经批准不得随意改动。

　　第八条网络安全管理人员负责IP地址的清理，6个月未使用过的IP地址经与用户确认后回收。

第二章    采取有效的访问控制

　　第九条在网络边界部署访问控制设备，启用访问控制功能。

　　第十条网络边界访问控制设备设定过滤规则集。

　　第十一条按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户。

　　第十二条限制具有拨号访问权限的用户数量，原则上不应通过互联网对重要信息系统进行远程维护和管理。

　　第十三条系统内所有工作人员均需按权限使用涉密网、政务内网和政务外网。

　　第十四条任何联接系统网络的计算机设备不得通过任何非安全方式（如安装调制解调器、多块网卡等）直接接入国际互联网。

　　第十五条对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志查看。

　　第十六条做好边界完整性检查。能够对内部网络中出现的内部用户未通过批准私自联到外部网络的行为进行检查，包括使用电话拨号、ADSL拨号、手机、无线上网卡等无线拨号方式与外部网络连接方式。

　　第十七条采取有效的入侵防范措施，包括但不限于以下措施：

　　1.在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。

　　2.禁止在联网的机器上随意安装影响内网安全、稳定和性能的软件。

　　3.各部门要积极配合网络安全管理人员的工作，防病毒软件要及时升级，设置策略定期对计算机设备进行查毒。

第三章   防护网络设备安全

　　第十八条对登录网络设备的用户进行身份鉴别，删除默认用户或修改默认用户的口令，根据管理需要开设用户，不得使用缺省口令、空口令或弱口令。

　　第十九条网络账号、密码设计必须满足长度、复杂度要求，密码每隔180天必须至少更改一次以保障网络账户安全。

　　第二十条具有登录失败处理功能。口令输错5次，则相应帐号将自动锁定，当网络登录连接超过20分钟自动退出。

　　第二十一条当对网络设备进行远程管理时，需采取必要措施防止鉴别信息在网络传输过程中被窃听。

　　第二十二条防火墙、交换机的日常维护管理参考附件一《防火墙管理规范》和附件二《交换机管理规范》。其他网络设备在未形成正式的管理规范之前，按照《资产设备管理制度》要求进行管理。

第四章    扫描病毒/漏洞

　　第二十三条每有重大漏洞出现时，网络安全管理人员对机房内部所有服务器进行漏洞扫描，并通知设备责任人进行漏洞修补工作。

　　第二十四条对病毒或漏洞引起的问题，网络安全管理人员应及时解决。对无法解决的问题，应及时报信息安全职能部门负责人。

　　第二十五条网络安全管理人员每工作日对病毒服务器进行检查，并不断收集最新的病毒信息，做好预防工作。

　　第二十六条网络安全管理人员每周到相关公司网站搜索操作系统和有关应用服务器补丁，并及时通知、督促相关人员进行补丁程序升级。

　　附件一：防火墙管理规范

　　第一条网络安全管理人员负责内部防火墙的管理与维护，对防火墙所作的操作和修改均需要进行记录。

　　第二条防火墙设置信任区(Trust)、 非信任区(Untrust)、非军事区(DMZ)三个区段。

　　第三条内部网放置在信任区，因特网处于非信任区，公用服务器及其他网络处于非军事区。

　　第四条通过web界面管理、命令行界面管理、基于第三方管理服务器的中央集群统一管理、通过web界面管理使用(HTTPS) 远程访问、监控和控制的网络安全配置，必须遵循以下原则：

　　1.防火墙登陆需设置强密码(包含大小写字母、数字、特殊符号等)，具体可参考《系统运行维护管理制度》中的“口令、权限管理”部分，用以保证不被恶意人员暴力破解。

　　2.系统或安全策略未设置完成，防火墙不得接入网络。

　　3.通过https协议对WEB界面进行管理。

　　4.若通过Internet连接防火墙WEB界面，应通过虚拟专用网 (VPN) 通道中封装 HTTP 流量或通过“安全套接字层”(SSL) 协议保障安全。

　　5.通过将管理流量与网络用户流量完全隔离来保障管理安全（如将一个接口（例如：DMZ）完全专用于管理流量来运行所有的管理流量）。

　　6.严禁任何人以任何形式开启除WEB管理方式之外的防火墙管理方式。

　　第五条如遇以下情形之一网络安全管理人员只能使用Web界面管理：

　　1.防火墙基本策略添加/删除/更改时。

　　2.防火墙日志信息察看/处理时。

　　3.防火墙管理权限更改时。

　　第六条如遇以下情形之一网络安全管理人员只能使用超级终端形式的命令行管理：

　　1.防火墙系统配置恢复到默认的出厂设置时。

　　2.执行某些只能在CLI下运行的命令时。

　　3.防火墙遭受外部攻击被非法控制而情况紧急时。

　　第七条网络安全管理员每周五进行防火墙日常维护。

　　第八条防火墙默认记录系统日志。系统日志等级分为紧急、关键、错误、消息、调试五类。对不同等级的系统日志，网络安全管理员需采取不同的措施处理。

　　第九条网络安全管理人员负责每月月末将防火墙日志信息处理情况向相关领导汇报。

　　第十条如遇以下情形之一，需察看特殊日志信息时，必须报经相关领导同意后方能察看：

　　1.监控特定策略信息流的信息时。

　　2.监控受指定策略影响的流量的信息时。

　　3.监控所有或部分被防火墙丢弃的封包信息时。

　　4.指定接口信息流的信息时。

　　5.流量报警的信息时。

　　6.资源恢复日志（如防火墙被恢复到出厂默认设置）的信息时。

　　第十一条防火墙策略修改原则上需通知相关部门。对于以下情形之一可不通知：

　　1.修改防火墙日志记录策略。

　　2.添加/删除与其他部门无关的只读管理员权限。

　　第十二条对于以下情形之一，需经网络安全管理部门相关领导批准后由网络安全管理人员执行：

　　1.处于防火墙信任区、非军事区信息处理系统（例如ISA代理）网络地址、使用服务/协议更改时。

　　2.删除信任区、非军事区信息处理系统的策略时。

　　3.允许非信任区访问信任区，非军事区信息系统/网络，范围/服务变更时。

　　第十三条防火墙策略每半年复审一次，用以保证策略的可用性。

　　第十四条网络安全管理人员负责备份防火墙的配置文件、操作系统。如遇以下情形之一，网络安全管理人员需更新防火墙的配置文件与策略：

　　1.任何情形之策略更改完成时。

　　2.防火墙版本升级完成时。

　　3.定期备份（备份周期：至少一个月一次）完成时。

　　第十五条防火墙一旦投入到生产环境中，1年之内连续停机时间不得超过24小时。

　　第十六条网络安全管理人员负责防火墙的操作系统版本更新工作。防火墙的策略、配置等信息须严格保密，确保防火墙的安全。

　　附件二：交换机管理规范

　　第一条对于上架的交换机，单电源的使用UPS的供电，双电源的注意好市电和UPS电的同时启用。

　　第二条交换机上架前，应准备好上架联通交换机所使用的六类网线，千兆光纤模块，光纤跳线等网络材料。对于光纤跳线的使用在插拔接头时一定要小心。对于上架的交换机必须做好接地。

　　第三条通过SNMP协议的网管软件来管理所在地区的交换机。通过NTP来配置交换机的时间统一，设置好时间服务器。每天按时对网络设备状态进行检查。

　　第四条注意交换机的防尘，定期进行清洁，频率为3个月一次。对于无法正常加载的交接机，做好冷备份，在确认无法工作后，进行更换。

　　第五条网络安全管理人员负责拓扑图的维护和更新。

　　交换机故障的发现，一般由用户提出或者是通过交换机日志看出。由网络安全管理人员负责排除并将故障记录以邮件的形式，通知所影响的相关部门负