信息技术中心网络安全管理制度-信息技术中心

当前位置：网站首页 >> 规章制度 >> 制度建设

信息技术中心网络安全管理制度

第一章总则

第一条为审视校园网络系统的安全性，降低网络系统存在的安全风险，确保网络系统安全可靠地运行，特制订此制度。

第二条本制度适用于信息技术中心。

第二章网络设备管理

第三条信息技术部网络管理员对网络设备进行维护监控等工作。

第四条网络设备的登录口令必须足够强壮难以被破译。

第五条网络设备的当前配置文件必须在主机上有备份文件。

第六条网络设备的拓扑结构、IP地址等信息在一定范围内保密。

第七条网络整体的拓扑结构需进行严格的规划、设计和管理，一经确定，不能轻易更改。

第八条定期检查网络设备的日志，及时发现攻击行为。

第九条网络设备的软件版本应该统一升级到较新版本。

第十条网络设备的安装、配置、变更、撤销等操作必须严格按照相关流程进行。

第十一条网络管理员应每季度对网络进行漏洞扫描，并与系统管理员、安全管理员一起进行扫描结果的分析。如发现重大安全隐患，应立即上报。

第十二条网络管理员进行漏洞扫描前需提出申请，详细描述扫描的技术、范围、时间及可能的影响，在获得数据管理中心领导审批后，方可执行。

第十三条对重要网段要进行重点保护，要使用防火墙等安全设备以及VLAN或其他访问控制方式与技术将重要网段与其它网段隔离开。

第十四条网络结构要按照分层网络设计的原则来进行规划，合理清晰的层次划分和设计，可以保证网络系统骨干稳定可靠、接入安全、便于扩充和管理、易于故障隔离和排除。

第十五条网络管理员定期对网络的性能分析，以充分了解系统资源的运行情况及通信效率情况，提出网络优化方案。

第十六条按照最小服务原则为每台基础网络设备进行安全配置。

第十七条网络连接管理过程中，需明确网络的外联种类，包括互联网、合作伙伴企业网、上级部门网络和管理部门网络等，根据外联种类确定授权与批准程序，保证所有与外部系统的连接均得到授权和批准，并具备连接策略及对应的控制措施。

第十八条除网络管理员特别授权外，员工内严禁拨号上网。经授权的拨号上网，必须首先与内部网络断开。

第十九条网络互连原则：

（一）与互联网的连接中，在互连点上的防火墙上应该进行IP地址转换；

（二）任何部门不得自行建立新的信息平台，如确有需求，需经由相关部门认证批准后实施；

（三）互联网接入必须有防火墙等安全防范设备。未经许可，任何部门或个人不得私自在网络内新增与互联网的连接。

第二十条办公网络中不同业务的网络之间互连原则：

（一）互连点上必须实施安全措施，如网络访问控制列表、安装防火墙等；

（二）网络之间互连点采取集中原则，并考虑安全冗余；

（三）网络互连点及安全设备必须纳入到网管体系的监控。

第三章用户和口令管理

第二十一条要求对网络设备的登录帐号的设置权限级别，授权要遵循最小授权原则。

第二十二条保证用户身份标志的唯一性，即不同的个人用户必须采用不同的用户名和口令登录，并且拥有不同的权限级别。不同用户的登录操作在设备日志文件上均有记录，便于追查问题。

第二十三条网络设备的直接责任人拥有超级用户权限，其他网络管理员按照工作需求拥有相应的用户权限．网络管理员不得私开用户权限给其它人员。

第二十四条用户的口令尤其是超级用户的口令必须足够强壮难以被破译，这是保证设备安全性的基本条件。口令的设置应该满足规定的标准。

第四章配置文件管理

第二十五条配置文件存储着网络设备的所有配置信息。网络设备中的运行配置文件和启动配置文件应该随时保持一致。

第二十六条所有的网络配置文件有文档记录，网络设备的配置文件需要定期备份。

第二十七条通过TFTP或FTP的方式可以将设备的配置文件下载到本地主机上作备份文件以防不测，在设备配置文件损坏时可再通过TFTP或FTP的方式从本地主机上载到设备的FLASH中恢复备份的配置文件。

第二十八条网络设备的拓扑结构、IP地址等信息文档属于机密信息，应该在一定范围内予以保密。

第二十九条网络配置信息的修改要获得各业务处室安全管理员的批准方可进行。

第三十条各业务处室定期对网络配置信息是否符合当前网络状况进行检查和分析，并做详细记录。

第五章日志管理

第三十一条网络设备通常可以设置日志功能，日志可以直接登录到设备上查看，也可以设置将日志发送到某台指定的UNIX主机上查看。日志中具体包含的内容可以在命令行配置方式下设定。

第三十二条在日志文件中可以查看到曾经登录过该设备的用户名、时间和所作的命令操作等详细信息，为发现潜在攻击者的不良行为提供有力依据。

第三十三条网络管理员必须定期查看所管设备的日志文件，发现异常情况要及时处理和报告上级主管，尽早消除网络安全隐患。

第三十四条网络管理员要定期对日志文件进行备份。日志文件保存时间应在3个月以上。

第三十五条对日志文件的访问要获得各业务处室安全管理员的批准。

第六章设备软件管理

第三十六条网络设备的软件版本（IOS或VRP等）较低可能会带来安全性和稳定性方面的隐患，因此要求在设备的FLASH容量许可的情况下统一升级到较新的版本。必要情况下可升级设备的FLASH容量。

第七章设备登录管理

第三十七条网络设备一般都具有允许远程登录的功能，远程登录给网络管理员带来很多方便，但同时也带来一定的网络安全隐患，远程管理时需采用加密方式管理。

第三十八条通常在网络设备上可以设置相应的ACL限定可远程登录的主机在指定网段范围内，拒绝部分潜在的攻击者，保证网络安全。

第八章附则

第三十九条本制度的解释权归信息技术中心。

第四十条本制度自发布之日起生效。