网络管理指导书
A单位网络安全管理办法与技术指导书

一、网络安全管理办法
    为加强本单位网络系统的安全管理,防止因偶发性事件、网络病毒等造成系统故障,防止信息泄露造成单位、个人损失,防止不当言论导致舆论风险,妨碍正常的工作秩序,经讨论决定,特制定本管理办法。
    为了保障本管理办法的顺利实施,单位已采购某品牌上网行为管理设备作为技术保障,请员工自觉遵守。
  
1.用户入网管理办法

    1.管理员依据本单位组织结构建立用户上网账号数据库,采用分组管理,并详细登记:用户姓名、部门名称、相应账号名及口令。
    2. 新入网的个人专用计算机、需要临时开通上网权限的用户,应到管理员处备案并由管理员分配给网络账号,账号将和IP、MAC进行绑定。
    3. 未登记、未备案的新用户没有上网权限,私改IP、MAC的用户将不能上网,如需改动,请到管理员处申请。
    4. 申请临时账号申请时需一并注明账号有效期,到期系统将自动回收该账号以及相关权限。
    5. 使用公用区电脑(一机多用)上网需通过认证,用户必须到管理员处申请开通账号,离开时必须注销。帐户持有人有确保账号安全的义务,严禁将账号借给他人使用,网络管理员有权对异常用户帐号执行冷冻处理。
     6.(使用域认证的用户)具有域帐户的用户在申请上网权限时,按规定必须使用域认证,未通过认证的用户将不被授予互联网访问权限。管理员已对指定用户强制使用域认证。  
  2.计算机终端安全管理办法
    1.用户应自觉安装单位要求安装的XX品牌桌面管理软件、XX品牌杀毒软件,及时升级病毒库并定期查毒(周期为一周或者10天),管理员将通过web页面定期提醒用户更新6月发布该功能。管理员已设置定期查毒任务。如有困难,请向管理员求助。
    2. 若私自卸载桌面管理软件、杀毒软件,或者病毒库未达到管理员设置要求,终端将不能上网。
    3. 任何人不得制造、传播任何计算机病毒,不得故意引入病毒,不要打开不明链接、随意安装插件,运行未知的脚本;对于从互联网上下载的邮件附件、软件安装包等需经过杀毒软件查杀后再打开;不要接受来自不明网友的远程控制请求。网管员将禁止远程控制,并对病毒、恶意控件/脚本进行查杀,用户应协助配合。
 3.联网与带宽管理办法
    1.办公用计算机必须通过单位统一的互联网出口上网,网管员已封堵非法外联线路,私拉物理路由、非本单位的无线AP、3G网络等均无法使用,并禁用私装代理上网。如确有需要,请向管理员申请放通。6月发布该功能
    2.为保障业务系统访问速度,防止非业务相关的应用占用带宽,合理利用已有网络资源,管理员依据各部门具体情况分配带宽,上班时间对P2P、BT、在线视频等占用大量带宽资源的应用进行流控。具体分配情况如下(根据具体情况调整):

部门

规模

总带宽

详细情况

研发部门A

30人

4M

人均带宽上限60K;其中保障FTP、OA、邮件带宽不少于40K,上班时间禁止P2P工具;

市场部门A

100人

10M

人均带宽上限100K;其中限制P2P占用不超过40KB,保障SSL、OA不少于50K;

行政办公室

8人

2M

……

总裁办公室

1人

2M

……

    管理员会依据每周带宽分析结果对带宽分配策略进行调整。如果各部门需要调整,请向管理员提出申请。
    3. 管理员定期使用管理设备出具带宽统计分析报表,并将对滥用带宽的用户和部门做出提醒警告,请用户注意遵守相关规定,共同维护网络顺畅。

4.各部门上网权限管理办法

    1. 为保证单位网络、办公用计算机切实用于办公需要,提高人员办公效率,管理员依据各部门具体职能开放上网权限,具体情况如下(根据具体情况调整):

部门

规模

管控时间

禁用

允许

研发部门A

30人

上班时间

禁用炒股、IM、网游、P2P工具;

其他允许;

市场部门A

100人

上班时间

禁用炒股、网游、web游戏;

其他允许;

财务部

9人

上班时间

禁用炒股(交易)、IM传文件(允许IM聊天)、网游、P2P工具;

其他允许;

……

 

……

……

 

  各部门如需调整,请向管理员提出申请。以上权限不包含临时用户和临时项目组,如需开通相关权限,请在入网登记时向管理员申请。
    2.为维持正常的上班秩序,管理员已禁用上班时间的BBS、BLOG发帖权限,保留帖子浏览权限。
    3.单位全网禁用代理,包括外网代理和内网代理软件,用户如使用代理将不能上网。研发部门如因项目需要需使用代理工具,请向管理员申请。
    4.各地办事处已统一部署同品牌上网行为管理设备,并加入总部统一管理平台。各地办事处设备实现与总部数据中心的安全互访和网络管理,其中,上网权限管理策略由总部统一下发,流控管理策略由各地办事处依据具体情况自行管理。

5.邮件收发管理办法

    1.为配合《信息安全保密协议》需要,研发部、财务部、采购部必须使用单位邮箱发送邮件。其他邮箱(webmail)已被禁用“发送”,仅允许“接收”邮件,请用户自觉遵守。
    2.根据《信息安全保密协议》要求,任职期间,任何人不得以任何方式向任何个人、合伙单位或其他单位泄露涉及单位机密、内部信息的文档、数据、图片、报表等(包括但不限于技术类、财务类、销售类、营销类资料)。管理员已按规定对相关外发邮件进行监控。
    3.任何人不得利用单位邮箱散发垃圾邮件。除营销部门之外,管理员已对其他部门的邮件发送频率做相应控制。

6. 信息发布与追查管理办法

    1.任何人不得轻信网络上流传的信息,不得浏览违反宪法和法律、行政法规,宣扬封建迷信、色情、赌博、暴力、凶杀、教唆犯罪的网站。
管理员已封堵赌博、暴力、色情、反动等网站。任何人不得发布带有侮辱他人或者捏造事实诽谤他人等造成不良影响的信息,不得发布违反宪法和法律、行政法规,宣扬封建迷信、色情、赌博、暴力、凶杀、教唆犯罪的信息。
    2.管理员已依据网监要求定期对某些特定关键字进行过滤。管理员一旦发现有用户在本单位BBS等公告栏传播上述信息,将立即按照国家有关规定,删除上述内容,并保留原始记录,向当地公安机关报告。
    3.管理员一旦发现有内网用户在外网BBS、BLOG等发布上述信息,将按照国家有关规定,保留原始记录,留待公安机关被查。
    4.特殊时期,如接到相关单位要求,管理员将关闭内网、外网BBS、BLOG发帖权限或访问权限,届时另行通知。
    5.根据《信息安全保密协议》要求,任职期间,任何人不得以任何方式向任何个人、合伙单位或其他单位泄露涉及单位机密、内部信息的文档、数据、图片、报表等(包括但不限于技术类、财务类、销售类、营销类资料)。管理员将对HTTP、FTP、mail、webmail、IM、USB口等文件传播途径进行监控。
    6.任何人不得入侵、窃取如上提及所有涉及单位外发信息的日志,管理员已对日志中心启用安全防护,仅在发生安全事故或相关部门检查时,由信息安全管理委员代表和党组代表在场监督,方可查看日志信息。
二、网络安全管理技术指导综述
    为了配合本管理办法,单位已采购某品牌上网行为管理设备,管理员使用如下配置进行相关管理,本章为指导综述,具体可查看相关《网络管理指导书一/二/三/四/五》。

1.新用户入网管理

    参考《网络管理指导书之一:使用技术手段规范组织IT管理制度》。
    使用“身份认证”、“强制AD域账号认证”、“IP/MAC绑定认证技术”构建用户上网账号数据库,统一IP规划,实行上网认证制度;对未通过认证的用户实行“有限权限开放”;
    使用“强制认证”功能保障公用电脑的合法使用,并做好公用电脑的上网情况追踪,冻结情况异常的上网账号。
    使用“临时权限开放”建立临时用户、为临时项目组分配权限,到期自动回收。

2.计算机终端安全管理

    参考《网络管理指导书之一:使用技术手段规范组织IT管理制度》、《网络管理指导书之四:防范组织信息泄露,保障组织信息安全》
使用“终端安全级别检查与提醒”,检查登陆终端的安全级别,如杀软版本、病毒库日期、桌面管理软件是否安装,根据具体情况给达到不同安全等级要求的客户端分配上网权限;
    设置客户端定期执行查杀计划。
    使用“网关杀毒”、“危险插件与脚本过滤”进行安全防护,在数据到达客户端之前先经过安全查杀;使用“防ARP欺骗”、“防DOS攻击”、“危险流量识别功能”防止已中毒客户端欺骗、攻击网络设备及其他客户端,及时发现并控制异常端口扫描行为与异常流量,避免内网出现被黑客控制的肉鸡,导致信息窃取。

3.联网与带宽管理

    参考《网络管理指导书之一:使用技术手段规范组织IT管理制度》、《网络管理指导书之三:控制无关应用带宽,保障业务系统访问速度》。
    使用“禁用组织外上网线路非法外联”防止内网用户私拉线路、拔掉网线绕开管理。
    使用“个性化流控策略”、“P2P等流量管控”等技术为不同部门制定个性化带宽管理策略,避免带宽堵塞,优化单位带宽使用情况,改善用户体验;使用“智能提醒”技术提醒超额使用的用户,促进自觉。
    使用“分级管理员”、“集中管理平台”(《网络管理指导书之二:管控组织的网络应用,提高组织工作效率》)在统一基本策略的同时,也允许下放带宽管理权限给不同部门、不同子单位。
    使用“流量分析报表”功能,出具流控报表,作为策略调整依据并定期提交委员会备案。

4.各部门上网权限管理

    参考《网络管理指导书之二:管控组织的网络应用,提高组织工作效率》。

    使用“上网授权”技术,基于各部门业务开展需要,管控网页浏览、文件传送、邮件权限,控制与上班无关的应用如IM、网游、炒股等;为了防止用户私用代理绕开管理,使用“禁用代理”功能。
    对于各地子单位,由总部“集中管理平台”统一管理基本策略,各地可以根据具体情况配置其他策略,但不能修改基本策略。

5.邮件收发管理

    参考《网络管理指导书之四:防范组织信息泄露,保障组织信息安全》、《网络管理指导书之二:管控组织的网络应用,提高组织工作效率》。
    使用“邮件管理”禁用相关部门webmail发送权限(部分部门允许使用webmail收邮件,但不允许发送)。启用“关键字过滤”功能,过滤某些不适宜发送的邮件,对研发部门、财务部门启用“延迟审计”功能,过滤条件参照《信息安全保密协议》规定。

6.信息发布与追查管理

    参考《网络管理指导书之一:使用技术手段规范组织IT管理制度》、《网络管理指导书之四:防范组织信息泄露,保障组织信息安全》、《网络管理指导书之五:规避非法网络行为带来的法律风险、政治风险》。
    使用“URL过滤与智能识别”、“关键字过滤”、“SSL钓鱼网站识别”过滤不良网站、拦截不良发帖言论;开启“实时告警”功能,及时发现不良言论并进行处理;在特殊时期,应相关部门要求,开启“看帖禁止发帖”功能。
本着防范不良言论带来法律风险,以及防止泄密风险,使用“日志中心”保留相关上网日志和外发信息日志,日志中心使用“日志中心查看权限key”保护仅在发生安全事故或相关部门检查时,由信息安全管理委员代表和党组代表在场监督,方可查看日志信息。

以上管理办法自XX年XX月XX日起施行。

A单位信息安全管理委员会
XX年XX月XX日