企業應建立哪些網絡安全管理制度

機房管理規定

1、機房環境

1.1 機房環境實施集中監控和巡檢等級制度。環境監控應包括：煙霧、溫濕度、防盜系統。

1.2 機房應保持整齊、清潔。進入機房應更換專用工作服和工作鞋。

1.3 機房應滿足溫濕度的要求，配有監視溫濕度的儀表或裝置。溫度：低于28攝氏度，濕度：小于80%

1.4 機房的照明及直流應急備用電源切換正常，照明亮度應滿足運行維護的要求，照明設備設專人管理，定期檢修。

1.5 門窗應密封，防止塵埃、蚊蟲及小動物侵入。

1.6 樓頂及門窗防雨水滲漏措施完善，一樓機房地面要進行防潮處理，在滿足凈空高度的原則下，離室外地面高度不小于15cm。

2、機房安全

2.1 機房內用電要注意安全，防止明火的發生，嚴禁使用電焊和氣焊。

2.2 機房內消防系統及消防設備應定期按規定的檢查周期及項目進行檢查，消防系統自動噴淋裝置應處于自動狀態。

2.3 機房內消防系統及消防設備應設專人管理，擺放位置適當，任何人不得擅自挪用和毀壞；嚴禁在消防系統及消防設備周圍堆放雜物，維護值班人員要掌握滅火器的使用方法。

2.4 機房內嚴禁堆放汽油、酒精等易燃易爆物品。機房樓層間的電纜槽道要用防火泥進行封堵隔離。嚴禁在機房內大面積使用化學溶劑。

2.5 無人值守機房的安全防范措施要更加嚴格，重要機房應安裝視像監視系統。

3、設備安全

3.1 每年雷雨季節到來之前的要做好雷電傷害的預防工作，主要檢查機房設備與接地系統與連接處是否緊固、接觸是否良好、接地引下線有無銹蝕、接地體附近地面有無異常，必要時挖開地面抽查地下掩蔽部分銹蝕情況，如發現問題應及時處理。

3.2 接地網的接地電阻宜每年測量一次，測量方法按DL548—94標準附錄B，接地電阻符合該標準附錄A的表1所列接地電阻的要求，要防止設備地電位升高,擊穿電器絕緣,引發通信事故。

3.3 每年雷雨季節到來之前應對運行中的防雷元器件進行一次檢測，雷雨季節中要加強外觀巡視，發現異常應及時處理。

3.4 房設備應有適當的防震措施。

帳戶管理規定

?帳戶是用戶訪問網絡資源的入口，它控制哪些用戶能夠登錄到網絡并獲取對那些網絡資源有何種級別的訪問權限。帳戶作為網絡訪問的第一層訪問控制，其安全管理策略在全網占有至關重要的地位。

在日常運維中發生的許多安全問題很大程度上是由于內部的安全防范及安全管理的強度不夠。帳戶管理混亂、弱口令、授權不嚴格、口令不及時更新、舊帳號及默認帳號不及時清除等都是引起安全問題的重要原因。

對于賬戶的管理可從三個方面進行：用戶名的管理、用戶口令的管理、用戶授權的管理。

1、用戶名管理

用戶注冊時，服務器首先驗證所輸入的用戶名是否合法，如果驗證合法，才繼續驗證用戶輸入的口令，否則，用戶將被拒于網絡之外。用戶名的管理應注意以下幾個方面

• 隱藏上一次注冊用戶名
• 更改或刪除默認管理員用戶名
• 更改或刪除系統默認帳號
• 及時刪除作費帳號
• 清晰合理地規劃和命名用戶帳號及組帳號
• 根據組織結構設計帳戶結構
• 不采用易于猜測的用戶名
• 用戶帳號只有系統管理員才能建立

2、用戶口令管理

用戶的口令是對系統安全的最大安全威脅，對網絡用戶的口令進行驗證是防止非法訪問的第一道防線。用戶不像系統管理員對系統安全要求那樣嚴格，他們對系統的要求是簡單易用。而簡單和安全是互相矛盾的兩個因素，簡單就不安全，安全就不簡單。簡單的密碼是暴露自己隱私最危險的途徑，是對自己郵件服務器上的他人利益的不負責任，是對系統安全最嚴重的威脅，為保證口令的安全性，首先應當明確目前的機器上有沒有絕對安全的口令，口令的安全一味靠密碼的長度是不可以的。安全的口令真的可以讓機器算幾千年，不安全的口令只需要一次就能猜出。

3、用戶授權管理

帳戶的權限控制是針對網絡非法操作所進行的一種安全保護措施。在用戶登錄網絡時，用戶名和口令驗證有效之后，再經進一步履行用戶帳號的缺省限制檢查，用戶被賦予一定的權限，具備了合法訪問網絡的資格。?我們可以根據訪問權限將用戶分為以下幾類：

?特殊用戶（即系統管理員）；

?一般用戶，系統管理員根據他們的實際需要為他們分配操作權限；

審計用戶，負責網絡的安全控制與資源使用情況的審計。用戶對網絡資源的訪問權限可以用一個訪問控制表來描述。

?授權管理控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源。可以指定用戶對這些文件、目錄、設備能夠執行哪些操作。同時對所有用戶的訪問進行審計和安全報警，具體策略如下：

4、目錄級安全控制

?控制用戶對目錄、文件、設備的訪問。用戶在目錄一級指定的權限對所有文件和子目錄有效，用戶還可進一步指定對目錄下的子目錄和文件的權限。對目錄和文件的訪問權限一般有八種：

• 系統管理員權限（Supervisor）
• 讀權限（Read）
• 寫權限（Write）
• 創建權限（Create）
• 刪除權限（Erase）
• 修改權限（Modify）
• 文件查找權限（File?Scan）
• 存取控制權限（Access?Control）

網絡系統管理員應當為用戶指定適當的訪問權限，這些訪問權限控制著用戶對服務器的訪問。八種訪問權限的有效組合可以讓用戶有效地完成工作，同時又能有效地控制用戶對服務器資源的訪問?，從而加強了網絡和服務器的安全性。

5、屬性級安全控制

當使用文件、目錄時，網絡系統管理員應給文件、目錄等指定訪問屬性。屬性安全控制可以將給定的屬性與網絡服務器的文件、目錄和網絡設備聯系起來。屬性安全在權限安全的基礎上提供更進一步的安全性。
網絡上的資源都應預先標出一組安全屬性。用戶對網絡資源的訪問權限對應一張訪問控制表，用以表明用戶對網絡資源的訪問能力，避免引起不同的帳戶獲得其不該擁有的訪問權限。屬性設置可以覆蓋已經指定的任何有效權限。屬性往往能控制以下幾個方面的權限：

• 向某個文件寫數據
• 拷貝一個文件
• 刪除目錄或文件
• 查看目錄和文件
• 執行文件
• 隱含文件
• 共享
• 系統屬性

網絡的屬性可以保護重要的目錄和文件，防止用戶對目錄和文件的誤刪除、執行修改、顯示等

運行網絡安全管理

1、目的:保障秦熱運行網絡的安全運行，明確日常運行網絡管理責任。

2、范圍:本制度適應于對秦熱網絡系統和業務系統。

3、定義:運行網絡安全是指網絡系統和業務系統在運行過程中的訪問控制和數據的安全性。包括資源管理、入侵檢測、日常安全監控與應急響應、人員管理和安全防范。

4、日常安全監控

(1)值班操作員每隔50分鐘檢查一次業務系統的可用性、與相關主機的連通性及安全日志中的警報。

(2)網絡管理員每天對安全日志進行一次以上的檢查、分析。檢查內容包括防火墻日志、IDS日志、病毒防護日志、漏洞掃描日志等。

(3)網絡管理員每天出一份安全報告，安全報告送網絡處主管(3)。重要安全報告由主管領導轉送部門領導、安全小組和相關部門。所有安全報告存檔科技部綜合處，網絡管理員在分析處理異常情況時能夠隨時調閱。文檔的密級為A級，保存期限為二年。

(4)安全日志納入系統正常備份，安全日志的調閱執行相關手續，以磁介質形式存放，文檔的密級為B級，保存期限為一年。

5、安全響應

(1)發現異常情況，及時通知網絡管理員及網絡處主管領導，并按照授權的應急措施及時處理。???

(2)黑客入侵和不明系統訪問等安全事故，半小時內報知部門領導和安全小組。???

(3)對異常情況確認為安全事故或安全隱患時，確認當天報知部門領導
和安全小組。???

(4)系統計劃中斷服務15分鐘以上，提前一天通知業務部門、安全小組。系統計劃中斷服務1小時以上時，提前一天報業務領導。文檔的密級為C級，保存期限為半年。???

(5)非計劃中斷服務，一經發現即作為事故及時報計算機中心管理處、安全小組、科技部部門領導。非計劃中斷服務半小時以上，查清原因后，提交事故報告給安全小組、科技部部門領導。文檔的密級為A級，保存期限為兩年。??

6、運行網絡安全防范制度???

（1）網絡管理員每一周對病毒防火墻進行一次病毒碼的升級。???

（2）網絡管理員每個月對網絡結構進行分析，優化網絡，節約網絡資源，優化結果形成文檔存檔，文檔的密級為A級，保存期限為二年。??

（3）網絡管理員每個月對路由器、防火墻、安全監控系統的安全策略進行一次審查和必要的修改，并對修改部分進行備份保存，以確保安全策略的完整性和一致性。對審查和修改的過程和結果要有詳細的記錄，形成必要的文檔存檔，文檔的密級為A級，保存期限為二年。??

（4）網絡管理員每個月對網絡、系統進行一次安全掃描，包括NETRECON的檢測，及時發現并修補漏洞，檢測結果形成文檔，文檔密級為B級，保存期限為一年。???

（5）新增加應用、設備或進行大的系統調整時，必須進行安全論證并進行系統掃描和檢測，系統漏洞修補后，符合安全要求才可以正式運行。???

（6）重大系統修改、網絡優化、安全策略調整、應用或設備新增時，必須經過詳細研究討論和全面測試，并要通過安全方案審核，確保網絡和業務系統的安全和正常運行。??

（7）系統內部IP地址需要嚴格遵守相關的IP地址規定。??

（8）嚴格禁止泄露IP地址、防火墻策略、監控策略等信息。??

7、運行網絡人員管理制度???

（1）嚴格限制每個用戶的權限，嚴格執行用戶增設、修改、刪除制度，防止非授權用戶進行系統登錄和數據存取。??

（2）嚴格網絡管理人員、系統管理人員的管理，嚴格執行離崗審計制度。?

（3）對公司技術支持人員進行備案登記制度，登記結果存檔，密級為C級，保存期限為半年。??

回答所涉及的環境：聯想天逸510S、Windows 10。