网络信息中心
设备安全管理制度
文件编号 使用部门 维护人 初版日期 修订日期
修订及复核记录
修订记录 版次 V0.0 修订 复核 批准 发行日期 发行以评审 摘要 审核栏 条目 批准 复核 起草
姓名 审核 日期
目 录
第一章 总则 ...........................................................................................................................4 第二章 职责定义 ....................................................................................................................4 第三章 设备安全管理要求 .....................................................................................................5 第十二章 附则 .......................................................................................................................6
第一章 总则
第一条 为了加强对网络信息中心部门管理的网络设备的安全管理,维护国有固定资产的完好和完整,有效使用和合理分配资源,在执行《X固定资产管理办法》的通知基础上,结合本部门工作实际,特制定X网络信息中心网络设备安全管理规定。
第二条 规定中的所涉及的设备主要包括:IDS、防火墙、路由器、交换机、流控、网关、监控及其它网络服务器设备。。
第三条 网络信息中心将全面负责管理、保养、维护,并设立固定资产副卡,始终保持卡、物一致。维护国有固定资产的完好和完整,提高其使用效益,并按招考业务需要提供服务第二章人员及职责
第四条 X授权网络信息中心主任负责落实并监督此规定的实施。 第五条 X所属员工和第三方运维公司人员均须遵守本管理规定。
第二章 职责定义
第六条 按照“设备落实到人”的原则,管理者是实物保管的第一责任人,负责设备安全、有效的使用,不得擅自更改硬件配置,不得损坏、丢失、转借及调换,不得将网络设备无故带出机房,定期安排对网络设备硬件的可靠性测试。维护者是实物保管的第二责任人,负责设备使用期间的安全使用,不得擅自更改硬件配置,不得损坏、转借及调换。
第七条 由网络信息中心部门主任指定专人负责网络基础设施设备安全的管理。X的其它部门因业务需要更改设备连接方式或者设备策略或配置变更时,需要依照《变更管理制度》进行操作并评估其风险。
第八条 涉及使用和维护网络安全设备的部门,各部门主任指定相应人员参加由网络信息中心组织的相应培训,掌握网络安全设备的基本使用方法和了解相关管理规范。
第九条 网络或安全设备接入业务和办公网络前,由使用人根据工作需要提出增加接入申请,并经网络信息中心部门主任批准后指定管理人员进行配合方可接入。
第十条 如存在第三方用户协助完成网络或安全设备的安装和调试任务时,第三方用户终端接入院内办公网络前亦应严格遵守上述审批流程,申请部门应对第三方用户终端产生的所有行为进行监控和审查。
第十一条 设备维护人在网络或安全设备维护过程中有责任及时上报发生的故障、错误和各类安全事件以保证维护部门能够及时采取相应措施,并应当协助维护人员工作。
第十二条 网络信息中心指定专人负责网络或安全设备的日常管理和使用情况的监督检查,并定期或不定期的组织针对网络或安全设备相关软硬件配置和使用情况的检查。
第三章 设备安全管理要求
第十三条 每台(套)安全设备的使用均应指定专人负责,均应设定严格的管理员身份鉴别和访问控制,严禁盗用帐号和密码,超越管理权限,非法操作安全设备。
第十四条 安全设备的口令不得少于10位,须使用包含大小写字母、数字等在内的不易猜测的强口令,并遵循X的统一的帐号和口令安全的管理办法。
第十五条 安全设备的网络配置应遵循统一的规划和分配,相关网络配置应向网络信息中心网络管理部门备案。
第十六条 安全设备的安全策略应进行统一管理,安全策略固化后的变更应经过网络信息中心审核批准,并及时更新策略配置库。
第十七条 关键的安全设备须有备机备件,由信息中心统一进行保管、分发和替换。 第十八条 加强安全设备外联控制,严禁擅自接入国际互联网或其他公众信息网络。 第十九条 因工作需要,设备需携带出工作环境时,应递交申请并由相关责任人签字并留档。
第二十条 存储介质(含磁盘、磁带、光盘和优盘)的管理应遵循: (一)如因工作原因需使用外来介质,应首先进行病毒检查。 (二)存储介质上粘贴统一标识,注明编号、部门、责任人。
(三)存储介质如有损坏或其他原因更换下来的,需交回网络信息中心处理。 第二十一条 安全设备的使用管理:
(一)安全设备每月详细检查一次,记录并分析相关日志,对可疑行为及时进行处理; (二)关键安全设备每天须进行日常巡检;
(三)当设备的配置更改时,应做好配置的备份工作;
(四)安全设备出现故障要立即报告主管领导,并及时通知系统集成商或有关单位进行故障排除,处理过程要有文档记录;
(五)安全设备操作,应填写操作记录和技术文档。 第二十二条 设备相应责任人负责:
(一) 建立详细的运行日志记录、备份制度。
(二) 负责设备的使用登记,登记内容应包括运行起止时间、累计运行时数及运行状况等。
(三) 负责进行设备的日常清洗及定期保养维护,做好维护记录,保证设备处于最佳状态。
(四) 一旦设备出现故障,责任人应立即如实填写故障报告,通知有关人员理。 (五) 设备责任人应保证设备在其出厂标称的使用环境(如温度、湿度、电压、电磁干扰、粉尘度等)下工作。
(六) 及时关注下发的各类信息安全通告,关注最新的病毒防治信息和提示,根据要求调节相应设备参数配置。
(七) 安全管理员应界定重要设备,对重要设备的配置技术文档应考虑双份以上的备份,并存放一份于异地。
第二十三条 网络设备或安全设备的软件或固件的版本需要做好管理并关注相关设备厂商发布的安全漏洞和补丁信息,以评估是否需要对目前设备的软件进行升级。
第二十四条 在决定对网络或安全设备的控制软件进行升级前,需要提交升级需求分析报告给网络信息中心主任审核并批准。
第二十五条 在涉及网络或安全设备的软件升级时,需要提前对相关设备的策略配置、IOS进行备份。
第十二章 附则
第二十六条 本管理规定自发布之日起开始实施;
第二十七条 本管理规定的解释和修改权属于X网络信息中心;
第二十八条 X在业务环境和安全需求发生重大变化时,X网络信息中心应对本管理规定进行及时更新,并加以说明。
因篇幅问题不能全部显示,请点此查看更多更全内容