范圍及職責(zé)

第一條  本制度適用于網(wǎng)絡(luò)安全管理，包括：網(wǎng)絡(luò)系統(tǒng)安全管理、賬號管理、病毒防治管理、網(wǎng)絡(luò)事件報告和查處。

第二條  網(wǎng)絡(luò)安全管理員主要負責(zé)網(wǎng)絡(luò)安全管理制度的制定和修訂；網(wǎng)絡(luò)管理員負責(zé)網(wǎng)絡(luò)維護。

網(wǎng)絡(luò)管理

第三條 應(yīng)在信息系統(tǒng)內(nèi)外網(wǎng)網(wǎng)絡(luò)邊界部署防火墻、審計系統(tǒng)、IPS/IDS等安全設(shè)備；對內(nèi)部網(wǎng)絡(luò)進行區(qū)域隔離、保護。重要的業(yè)務(wù)應(yīng)用服務(wù)器區(qū)部署單獨的防火墻進行保護。

第四條 內(nèi)外網(wǎng)網(wǎng)絡(luò)之間要實行物理隔離。如需進行數(shù)據(jù)交換時，應(yīng)使用符合國家政策和保密部門認可的安全產(chǎn)品或技術(shù)措施進行數(shù)據(jù)傳輸。

第五條 所有在互聯(lián)網(wǎng)發(fā)布的應(yīng)用系統(tǒng)必須使用網(wǎng)頁防篡改技術(shù)或?qū)Ｓ冒踩O(shè)備進行保護，確保網(wǎng)站在受到破壞時能自動恢復(fù)。

第六條 所有在互聯(lián)網(wǎng)發(fā)布的應(yīng)用系統(tǒng)必須經(jīng)過信息與教育技術(shù)的安全測評，確保網(wǎng)站的安全性。

第七條 采用技術(shù)手段對網(wǎng)絡(luò)接入進行控制。內(nèi)部終端如因工作需要接入Internet或其他網(wǎng)絡(luò)，應(yīng)向所在部門領(lǐng)導(dǎo)提出申請，經(jīng)批準(zhǔn)后由網(wǎng)絡(luò)管理員提供接入服務(wù)。管理員對接入端信息做詳細登記并存檔備案。外部人員如需接入網(wǎng)絡(luò)，需由部門主管領(lǐng)導(dǎo)批準(zhǔn)，再由網(wǎng)絡(luò)管理員提供臨時接入服務(wù)。

第八條 網(wǎng)絡(luò)管理員負責(zé)網(wǎng)絡(luò)拓撲圖的繪制。若網(wǎng)絡(luò)結(jié)構(gòu)發(fā)生變化要及時更新拓撲圖，確保網(wǎng)絡(luò)拓撲圖完整、真實。

第九條 未經(jīng)部門主管領(lǐng)導(dǎo)批準(zhǔn)，任何人不得改變網(wǎng)絡(luò)拓撲結(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備布局、服務(wù)器和路由器配置以及網(wǎng)絡(luò)參數(shù)。

第十條 在未經(jīng)許可的情況下，任何人不得進入計算機系統(tǒng)更改系統(tǒng)信息和用戶數(shù)據(jù)。

第十一條 任何人不得利用計算機技術(shù)侵害用戶合法利益，不得制作和傳播有害信息。

運維管理

第十二條  對信息系統(tǒng)核心設(shè)備采取冗余措施（包括線路及設(shè)備冗余），確保網(wǎng)絡(luò)正常運行。

第十三條 對網(wǎng)絡(luò)、安全設(shè)備進行管理時須采用安全的方式（如加密、SSH等），并嚴(yán)格控制可訪問該設(shè)備的地址和網(wǎng)段。

第十四條 定期對網(wǎng)絡(luò)系統(tǒng)（服務(wù)器、網(wǎng)絡(luò)設(shè)備）進行漏洞掃描，并及時修補已發(fā)現(xiàn)的安全漏洞。

第十五條 根據(jù)設(shè)備廠商提供的更新軟件對網(wǎng)絡(luò)設(shè)備和安全設(shè)備進行升級，在升級之前要注意對重要文件的配置進行備份。

第十六條 定期對重要的網(wǎng)絡(luò)、安全設(shè)備進行巡檢，確保重要設(shè)施工作正常，并填寫相關(guān)記錄表單歸檔保存。若在巡檢中發(fā)現(xiàn)安全問題要及時上報處理。

第十七條 定期對重要系統(tǒng)服務(wù)器和相關(guān)業(yè)務(wù)數(shù)據(jù)進行備份，備份數(shù)據(jù)應(yīng)一式兩份，分別進行保存管理。

第十八條 部署專用的網(wǎng)絡(luò)審計設(shè)備記錄網(wǎng)絡(luò)訪問日志，日志的最小保存期限不低于60天，且應(yīng)保證無一天以上的中斷。

賬號管理

第十九條 對網(wǎng)絡(luò)管理員、安全審計員等不同用戶建立不同的賬號，并對資源管理權(quán)限進行劃分，以便于審計。

第二十條 網(wǎng)絡(luò)賬號、密碼設(shè)計必須滿足長度、復(fù)雜度要求，用戶須定期更改密碼以保障網(wǎng)絡(luò)賬戶安全。

第二十一條 指定專人對服務(wù)器和網(wǎng)絡(luò)設(shè)備的賬號、密碼進行統(tǒng)一登記，一式兩份存檔管理。管理員須嚴(yán)守職業(yè)道德和職業(yè)紀(jì)律，不得將任何賬號、密碼等信息泄露出去。

惡意代碼管理

第二十二條 不得制造和傳播任何計算機病毒。

第二十三條 網(wǎng)絡(luò)服務(wù)器的病毒防治由網(wǎng)絡(luò)管理員負責(zé)，網(wǎng)絡(luò)管理員負責(zé)對各部門計算機的病毒防治工作進行指導(dǎo)和協(xié)助。

第二十四條 及時更新網(wǎng)絡(luò)系統(tǒng)服務(wù)器病毒庫，定期對服務(wù)器進行全盤掃描殺毒。

第二十五條 提高自身的惡意代碼防范意識，在接收文件或郵件之前，必須先進行惡意代碼檢查。

第二十六條 已授權(quán)的外來計算機或存儲設(shè)備在接入網(wǎng)絡(luò)之前，必須對其進行惡意代碼掃描。

惡意事件處理

第二十七條 發(fā)現(xiàn)制造病毒、故意傳播病毒等行為，須立即通知XX部門，并協(xié)助有關(guān)部門進行調(diào)查。

第二十八條 發(fā)現(xiàn)惡意網(wǎng)絡(luò)攻擊行為，須立即通知XX部門，并協(xié)助有關(guān)部門進行調(diào)查。