内部使用 网络安全管理制度 版本号状态拟稿和修改时间说明 V1.0新建 2021/02/10 V2.0修改 2023/4/2第一章总则 第一条目的 为了确保北京思度文库股份有限公司（以下简称“公司”） 网络系统的安 全性，降低网络系统存在的安全风险，确保网络系统安全可靠地运行，特制订 本制度。 第二条适用范围 本办法适用于公司网络运行及维护工作所有相关工作。 第二章术语定义 第三条网络设备 主要包括交换机、路由器、防火墙、入侵检测系统、漏洞扫描器等。 第四条网络安全 通过采取各种技术和管理手段，防止网络系统、数据和人员遭受网络攻击 、 恶意软件、勒索软件、数据泄露等安全威胁而受到损失或被侵犯的状态。 第五条网络安全管理 网络安全的管理过程，包括对网络安全进行评估、设计和实施措施、维护 、 监测和报告等一系列活动。第六条安全策略 企业的网络安全管理制度、安全标准、网络安全相关政策、规程、指南等 各种信息安全相关内容的组合，用于指导信息安全工作和行为。 第七条风险评估 为了确定网络系统和资产有哪些潜在的网络安全威胁，对网络系统和资源 进行潜在风险的分析、评估和排除，以制定相应的安全措施。 第三章岗位职责 第八条网络管理员 负责企业的网络架构和维护，包括网络设备管理、网络优化和维护，确保 网络的连通性、可用性和安全性。 第九条安全管理员 负责企业的网络安全策略和规定制定，并负责实施、监督、评估和改进网 络安全规定。 第十条系统管理员 负责管理和维护企业的系统设施、软件和硬件设备，确保系统的安全性、 完整性和可用性。 第十一条安全审计员 负责对企业的网络系统和安全措施进行检查和审计，发现和排除可能存在的风险和漏洞，确保安全合规性。 第四章网络安全管理 第十二条配置基线 网络设备的初始配置可由系统集成商或网络管理员根据配置 /策略要求和 “最小服务配置”原则进行网络设备参数配置，关闭网络设备不需要的所有服 务，避免网络服务或网络协议自身存在的漏洞增加网络的安全风险。 第十三条管理工作 网络设备的 日常巡检、配置维护、 解决网络故障；检查主要网络设备的运 行状况、网络流量、用户行为；关键设备的升级和备份，对 危险病毒或恶意代 码进行处理；安全事件进行处理；对网络设备的配置进行维护、备份、 恢复； 记录日常巡检、解决网络故障过程中发现的异常并采取必要的应对措施，对 事 件问题进行上报。 第五章日常管理 第六条任何人员严禁扫描或猜测网络设备管理 口令。 第十四条设备准入 便携式和移动式设备不能 擅自接入内部重要安全区域网络，如必须接入的 需得到网络管理员、系统管理员和主管 领导的授权和审批，并填写《网络接入 登记表》，接入结束后及时通知网络管理员和系统管理员，网络管理员和系统 管理员及时 收回相关授权。第十五条账号管理 各网络设备的 账号、口令、权限等直接由网络管理员负责维护， 账户的审 批和权限分配需要相关部 门负责人进行 申请，网络管理员不 得擅自将账号信息 等告知未获得批准人员；当人员变更时需要对相关 账户进行注销或重新申请处 理。 第十六条备份管理 网络管理员对于主要网络设备的设置、配置进行 变更时，应当首先做好离 线备份工作， 同时须进行登记、备案工作。 第十七条安全维护 严禁设备厂家通过技术手段对 已投入运行的网络设备进行 遥控和远程维护。 已经投入运行的网络数据 未经批准严禁向设备厂家或第三方提供。 第十八条远程维护 根据项目需求， 如确实需要进行 远程访问，需严格遵守公司相应制度，并 提前进行审批，对需要进行 远程访问的账户开启满足项目的最小 权限。 第十九条流量管理 公司内部各安全 域之间需要实现 流量优先级限制，以保 证公司业务 正常运 营和不影响网络传输为第一原则， 严禁在未经授权的情况下使用多媒体资源长 时间占用公司内部网络。 第二十条文档管理 各种涉及运行维护和网络设备 情况的图纸资料要注意妥善保存，任何非相 关人员查 看需经基础技术部审 批，否则一律拒绝提供。第二十一条 安全通信 员工应严格遵守通信纪律，增强保密意识，保守通信机密，不能向无关人 员泄露信息网络的 结构、容量配置等技术资 料。 第六章网络安全策略管理 第二十二条 用户管理策略 （一）各网络设备的所有管理 方式均须启用账号/口令登录方式。 （二）当对网络设备进行 远程管理时，应采取 必要措施防止 鉴别信息在网 络传输过程中被窃听，如采取加密传输方式。 （三）网络设备 账号和口令管理按照《密码使用管理办法 》中的系统级密 码管理细则执行。 （四）启动网络设备的 登录限制功能，对网络设备的管理员 登录地址进行 限制。 第二十三条 访问控制策略 网络边界部署访问控制设备， 启用访问控制功能。所有 与外部系统的连 接 均要得到主管领导的授权和批准。 第二十四条 日志配置策略 （一）必须开启所有网络设备，包括路由器、交换机、防火墙、入侵检测 系统等的 日志功能，对网络系统 中的网络设备运行状 况、网络流量、用户行为 等进行日志记录。 （二）准确设置信息 处理设备的时 钟。 （三）记录的日志必须保存一定的 期限，任何个人和部门不得以任何理由删除保存期之内的日志，具体保存期见《日志保存期限表》。 （四）对 重要区域、重要网络设备 日志文件进行定 期备份，并保存备份的 日志。 （五）必要的时候，邀请外部信息安全 专家来对日志记录进行检查分析。 第七章网络安全配置要求 第二十五条 防火墙安全配置 边界防火墙配置规定 ：内部办公 区域访问外网，按照开放最小化配置的 方 式访问外网，如有特殊访问需求需填写《端口开放申请表》 ，由基础技术部主 管审批后方可开放使用，使用 期结束后应及时回收使用权限；内部重点服务器 区域，原则上不允许访问外网或被外网访问；内部服务器 区域，不允许被外网 访问，根据业务需要 如需外网访问内部服务， 须填写《业务开放申请表》、 《端口开放申请表》 ，经基础技术部主管 批准，为服务器 映射公网IP地址及开 放端口，使用期结束后应及时回收使用权限。 第二十六条 VPN网关安全配置 需根据申请经过审批后配置访问控制列表，对访问发起者须进行加密身份 认证。对授权的访问发起者做审计记录。 第二十七条 网络交换机安全配置 交换机以VLAN方式区分各业务 单元，交换机 须配置访问控制列表，按照 业务需求以最小化原则配置，交换机安全配置策略应 考虑和周边网络设备的连 接的兼容性、安全性、可靠性和可 变性，交换机安全配置策略应 尽量减少不必 要的限定以保 证合理的通信能 力。第八章附则 本制度自发 布之日起生效。