第一章 总则

第一条  为保障单位网络和系统的安全稳定运行，抵御内部和外部各种形式的网络攻击或威胁，特制定本制度。

第二章 适用范围

第二条  本制度适用于单位各系统、网络安全管理过程。管理对象为各系统负责人、管理员及所有使用IT设备的员工。

第三章 组织职责

第三条  信息中心是本单位网络和系统安全管理的责任主体，负责组织单位系统的维护和管理。

第四条  系统管理员职责

（一）负责设备及系统的安全策略部署、账户、配置及变更管理、内网运行情况、更新和维护等日常工作；

（二）对系统实行分级授权管理，按照岗位职责授予不同的管理级别和权限；

（三）密切注意最新网络攻击行为的发生、发展情况，关注和追踪业界公布的攻击事件；

（四）密切关注信息系统安全隐患，及时变更信息安全策略或升级安全设备。

第五条  安全管理员负责对系统中的安全策略进行配置，并对单位信息系统安全管理过程进行监督和检查。

第六条  审计管理员负责对审计记录进行分析，并根据分析结果进行处理。

第四章 账户管理

第七条  各系统应采用用户名和口令认证方式实现登录控制，对系统的访问应使用唯一的账号和口令。

第八条  账号权限的分配应遵循最小授权原则，即为用户分配权限时，以其能进行系统管理、操作的最小权限进行授权，避免为其分配无关的或更大的权限。

第九条  系统因维护需要使用特权账号，但系统管理员因特殊原因不能够在现场实施特权账号登录操作，则系统管理员可以指定一个临时使用人使用特权账号处理问题，任务完成后，系统管理员应立即更新相应的特权账号口令以收回特权账号的使用权限。

第十条  如果系统中存在第三方厂商人员使用账号的情况，应和第三方厂商签订相关的安全保密协议。如果外部人员需要通过远程登录访问对系统进行操作及更新，应向安全管理员提出账户开通申请，由相关系统管理员临时开通远程登录功能，在操作完成后，系统管理员应及时终止远程登录。

第十一条  当员工工作调动或离职时，其在系统中的账号应立即撤销，不得继续将账号分配给他人使用。

第十二条  系统中的账号口令应避免使用弱口令，口令长度不得低于8位，须由数字、大小字母以及特殊字符组成，并至少3个月进行更新。

第十三条  各业务系统安全管理员负责检查监督生产系统的特权账户口令管理，至少3个月进行1次检查。

第五章 网络和主机设备安全管理

第十四条  网络及主机设备的登录口令应符合复杂性要求、长度要求、有效期要求。

第十五条  根据不同的使用人员分配不同的账号或账号组，修改系统默认的账号及口令，删除或锁定与设备运行和维护无关的账号。

第十六条  网络及主机设备应启用用户登录失败锁定功能，并限制失败登录次数和频率。

第十七条  应对网络及主机设备的连接超时进行限制，当用户登录设备后，一段时间未进行操作后，就将自动中断此用户的连接。

第十八条  网络及主机设备远程管理过程中，应采用安全可靠的加密协议对通信过程中的整个报文或会话过程进行加密。

第十九条  终端接入系统时必须通过用户名、口令进行身份验证后方能接入。

第六章 配置管理

第二十条  信息中心负责制定重要设备的配置和操作手册。

第二十一条  信息中心负责网络与信息系统的统一配置管理工作，未经上级信息安全管理部门或相关主管领导同意，不得随意更改网络与信息系统的基本配置。

第二十二条  在实施配置信息改变前，应按照变更管理制度提交变更申请，并依据手册对设备进行安全配置和优化配置。

第二十三条  应将基本配置信息改变纳入变更范畴，实施对配置信息改变的控制，并及时更新基本配置信息库

第二十四条  网络与信息系统配置或变更实施完毕，持续正常运行后，需填写《配置记录表》，应包括网络拓扑结构、各个设备安装的软件组件、软件组件的版本和补丁信息、各个设备或软件组件的配置参数。

第七章 日志管理

第二十五条  日志不能被无关人员随意查看，日志本身需要保持完整性，不得被非授权人员更改，需定期对日志进行备份，以便审计时使用。

第二十六条  日志需至少包括以下内容：

（一）用户账号；

（二）登录和退出的日期和时间；

（三）尽可能地识别出终端的身份代号或地址；

（四）记录有相关系统访问成功和失败的登录日志；

（五）成功和拒绝处理的数据和其他资源访问登录的相关记录。

第二十七条  为了统一日志管理，便于审计，应当建立日志服务器，实时对所有日志进行收集、保存，日志传送可以通过SNMP，SYSLOG等方式。

第二十八条  审计管理员要定期对分散在各个设备上的审计数据进行收集汇总和集中分析，如果在审计和检查工作中发现有安全事故，应遵照安全事故处理流程进行处理。

第八章 补丁管理

第二十九条  应采用专业的漏洞扫描、评估技术对系统及设备进行定期安全评估，并根据结果对漏洞进行修复。

第三十条  在对系统及设备的补丁进行更新前，应对补丁与现有业务系统的兼容性进行测试，测试过程和测试结果要保留记录备查，测试没有通过的补丁不得在生产系统中加载。

第三十一条  各系统或设备管理员负责组织进行补丁测试工作，重要生产系统进行补丁测试工作必须安排相关厂商进行配合。

第三十二条  对每一个需要进行补丁管理的重要信息资产（服务器操作系统、数据库、网络设备、安全设备、应用系统等）建立补丁加载记录，对于没有加载的补丁标注原因和相应的防范措施。

第九章 监控管理

第三十三条  信息中心系统管理员负责对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测，如发现网络异常、严重影响业务的问题，要启动应急处理机制，并向上一级报告。

第三十四条  在网络边界处部署入侵监测设备，监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP 碎片攻击和网络蠕虫攻击等。

第三十五条  通过网络管理软件对内部网络中未通过准许私自联到外部网络的行为进行检测，并及时阻断，追查源头并向相关部门进行报告。

第十章 惩戒

第三十六条  违反本管理制度，将提请单位行政部门视情节给予相应的批评教育、通报批评、行政处分或处以警告，以及追究其他责任。触犯国家法律、行政法规的，依照有关法律、行政法规的规定予以处罚。构成犯罪的，依法追究刑事责任。

第十一章 持续改进

第三十七条  为了保证本文件的时效性、可用性，必须根据相关审核规定进行评审和修订，修订后重新发布。

第十二章 附则

第三十八条  本文件由信息中心负责制定、解释和修改，单位过去制定和颁布的有关规定与本文件不一致的，以本文件为准。

第三十九条  本文件自发布之日起执行。