公司信息网络安全管控方案

xxxxxx公司

x年x月

目录

公司信息网络安全管控方案

第一章总则

第二章目标

第三章制定完善安全管控策略

第四章建立健全安全管理机构

（二）系统管理员职责

（三）安全管理员职责

（四）安全审计员职责

第五章网络结构升级完善

规划设计图

公司信息网络安全管控方案

第一章总则

为加强和规范公司网络信息系统安全工作，提高信息系统整体安全防护水平，实现信息安全的可控、能控、在控，依据国家有关法律法规规定，结合我司工作实际，制定本方案。

第二章目标

公司网络信息安全工作的总体目标是确保信息系统持续、稳定、可靠运行和确保信息内容的机密性、完整性、可用性，防止因信息系统本身故障导致信息系统不能正常使用和系统崩溃，抵御黑客、病毒、恶意代码等对信息系统发起的各类攻击和破坏，防止数据丢失，防止系统对外服务中断和由此造成的系统运行事故，保障公司生产业务安全稳定运行。

第三章制定完善安全管控策略

（一）物理安全策略

1.机房出入口区域应配置电子门禁系统，控制、鉴别和记录进入的人员。

2.需进入机房的来访人员经过申请和审批流程，并限制和监控其活动范围。

3.机房内部署基础防护系统和设备，如电子门禁系统、监控系统、防雷设备、消防系统、温湿度控制系统和UPS供电系统。

（二）网络安全策略

1．保证主要网络设备的业务处理能力具备冗余空间，保证网络各个部分的带宽，以满足业务高峰期需要。

2．根据业务需要，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段。

3．重要网段与其他网段之间采取可靠的技术隔离手段，不能将重要网段部署在网络边界处且直接连接外部网络。

4．在网络边界部署访问控制设备，根据实际安全需求设置访问控制策略启用访问控制功能。

5．对网络系统中的网络设备运行状况、网络流量、用户行为等进行审计，并对审计记录数据进行分析，生成审计报表，且保护审计数据。

6．对非授权联接行为进行检查，准确定出位置，并对其进行有效阻断。

7．在网络边界处监视攻击行为，记录发生的攻击行为。

8．在网络边界处监视，并维护恶意代码库的升级和检测系统的更新。

9．对登录网络设备的用户进行身份标识和鉴别，并设置身份标识和鉴别方式。

（三）主机安全策略

1．对入网的设备主机进行准入控制，未经审批的设备主机不得入网。

2．对登录操作系统和数据库系统的用户进行身份标识和鉴别，并设置身份标识和鉴别方式。

3．启用访问控制功能，设置访问控制策略，依据安全策略控制用户对资源的访问。

4．对服务器和重要客户端的重要用户行为、系统资源的异常使用和重要系统命令的使用等内容进行安全审计，并对审计记录数据进行分析，生成审计报表，且保护审计数据。

5．确保操作系统和数据库系统用户的鉴别信息，系统内的文件、目录和数据库记录等资源所在的存储空间，被释放或重新分配给其他用户前得到完全清除。

6．能够对重要服务器进行入侵的行为和对重要程序的完整性进行检测。

7．安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库，并支持恶意代码库的统一管理。

（四）应用安全策略

1．提供专用的登录控制模块对登录用户进行身份标识和鉴别，并设置身份标识和鉴别方式。

2．提供访问控制功能，依据安全策略控制用户对文件、数据库表等客体的访问。

3．提供覆盖到每个用户的安全审计功能，对应用系统重要安全事件进行审计，形成审计记录，并对审计记录数据进行分析，生成审计报表，且保护审计数据。

4．确保应用系统用户的鉴别信息，系统内的文件、目录和数据库记录等资源所在的存储空间，被释放或重新分配给其他用户前得到完全清除。

5．具有在请求的情况下为数据原发者或接收者提供数据原发、接收证据的功能。

6．应用系统须具有软件容错功能，提供数据有效性检验功能和自动保护功能。

（五）数据安全策略

1．能够检测到系统管理数据、鉴别信息和重要业务数据在传输和存储过程中完整性受到破坏，并在检测到完整性错误时采取必要的恢复措施。

2．采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输和存储保密性。

3．应提供本地数据备份与恢复功能，完全数据备份至少每天一次，备份介质场外存放。

第四章建立健全安全管理机构

（一）组织机构

1．公司技术部为网络信息安全管理工作职能部门。

2．配备一定数量的系统管理员、网络管理员、安全管理员等。

3．针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序，按照审批程序执行审批过程，对重要活动建立逐级审批制度。

4．加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通，定期或不定期召开协调会议，共同协作处理信息安全问题。

5．制定安全审核和安全检查制度规范安全审核和安全检查工作，定期按照程序进行安全审核和安全检查活动。

6．定期或不定期对安全管理制度进行检查和审定，对存在不足或需要改进的安全管理制度进行修订。

（二）职能

1.系统建设管理

1)明确信息系统的边界和安全保护等级，并组织相关部门和有关安全技术专家对信息系统定级结果的合理性和正确性进行论证和审定。

2)根据信息系统的等级划分情况，统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案，并形成配套文件

3)制定详细的工程实施方案控制实施过程，并要求工程实施单位能正式地执行安全工程过程。

4)在测试验收前根据设计方案或合同要求等制订测试验收方案，在测试验收过程中应详细记录测试验收结果，并形成测试验收报告。

2.系统运维管理

1)配备机房安全管理人员，对机房的出入、服务器的开机或关机等工作进行管理。

2)建立资产安全管理制度，对介质和设备的选型、采购、发放、领用、使用、维修、报废等方面规定，并严格执行制度规定。

3)建立监控和安全管理小组，对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报警，对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理，形成记录并妥善保存。

4)建立网络、系统安全管理制度，对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期、系统安全策略、安全配置、日志管理和日常操作流程等方面作出规定，并严格执行相关规定。

5)建立恶意代码防范管理制度，对防恶意代码软件的授权使用、恶意代码库升级、定期汇报等作出明确规定，并严格执行相关规定。

6)建立变更管理制度，系统发生变更前，向主管领导申请，变更和变更方案经过评审、审批后方可实施变更，并在实施后将变更情况向相关人员通告。

7)在统一的应急预案框架下制定不同事件的应急预案，并定期对应急预案进行演练。

（二）系统管理员职责

系统管理员分为网络管理员、应用系统管理员、终端设备管理员。

1．网络管理员职责：

1)合理规划网络、主机、存储架构，并部署；

2)服务器、网络设备等日常管理和维护；

3)定期搜集、统计、报送网络运行和管理情况；

4)接受网络和主机事件报告，并及时处理。

2．应用系统管理员职责：

1)应用系统结构和性能优化，消除性能瓶颈；

2)应用系统日常管理和维护，故障处理；

3)定期搜集、统计、报送应用系统安全管理情况；

4)定期备份应用系统数据，并在事件发生时及时恢复；

5)接受软件和系统事件报告，并及时处理。

3．终端设备管理员职责：

1)终端服务器设备配置、维护、管理；

2)终端操作系统及应用系统客户端状态监控；

3)定期对系统终端进行病毒扫描和病毒库更新；

4)终端操作系统及应用系统客户端软件升级、补丁安装等；

5)定期报送终端使用管理情况和异常事件统计信息；

6)受理来自终端设备用户的故障报告，并及时处理；

（三）安全管理员职责

1．制定并实施信息系统安全策略。

2．安全设备和安全软件日常管理和维护，包括升级更新、故障处理。

3．监控安全设备和安全软件运行状态，定期审查、维护权限列表，并对日志进行分析，及时发现安全隐患并妥善处理。

4．系统管理员账户、权限管理，应用系统管理员权限管理，定期审查、维护权限列表，并对日志进行分析，及时发现安全隐患并妥善处理。

5．定期报送安全管理情况和异常事件统计信息。

6．网络信息系统安全事件处理。

（四）安全审计员职责

1．对系统各用户名和口令管理与变更记录进行审计。

2．对系统安全策略执行情况进行审计。

3．定期备份安全审计日志。

4．监督系统管理员和安全管理员对事件（包括报送事件）处理过程。

5．定期对系统管理员和安全管理员工作和相关文档进行检查，形成审计记录，并向主管领导报送，发现异常情况及时报告。

6．对审计的安全事件进行及时处理，并对处理结果进行记录。

第五章网络结构升级完善

1．在互联网边界接入区新增两台负载均衡，实现双机热备，用于公司网络进行上网并对外网用户提供内部服务器的应用服务，保障公司互联网边界出口的数据通讯，包括服务器负载均衡，应用优化与加速，链路负载均衡，全局负载均衡，广域网优化，安全防护等全系列。

2．在互联网边界接入区新增两台入侵防御，实现双机热备，基于先进的体系架构和深度协议分析技术，结合协议异常检测、状态检测、关联分析等手段，针对木马病毒、垃圾邮件、DDoS/DoS攻击、网络资源滥用等危害网络安全的行为，采取主动防御措施，实时阻断网络流量中的恶意攻击，确保信息网络的运行安全。

3．在互联网边界接入区新增两台上网行为管理系统，实现双机热备，全网行为管理实现对全网终端、应用的可视可控，智能感知终端违规接入、敏感数据泄密、上网违规行为等内部风险，解决上网管控、终端准入管控和数据泄密管控的场景问题，真正实现“内部风险智能感知，全网行为可视可控”的一体化管控。

4．在核心交换机前端新增两台信息安全隔离网闸系统，实现双机热备，能够有效实现内外网络的安全隔离，数据只能以专有数据块方式静态地在内外网络间进行“摆渡”，从而切断了内外网络之间的所有直接连接，保证内外网数据能够安全、可靠地交换。

5．新规划一个互联网应用服务器区（DMZ区），用于部署需要对互联网用户提供服务的业务系统，同时DMZ区的业务服务也需要通过网闸与生产网进行数据交互满足业务需求。因此，需要部署两台DMZ区网关交换机作为该区域业务服务器的网关设备。