**县人民政府网络安全管理制度
一、总则
为保障计算机系统、网络系统安全、稳定、有效运行,提高计算机系统、网络系统安全运行管理的科学化、规范化水平,特制定本办法。
1、本办法所涉及的范围包括:办公网内的所有计算机(包括服务器、网络设备、办公电脑、笔记本电脑)及所涉及到的所有网络。
2、**县人民政府信息中心(以下简称“信息中心”)负责本单位的信息系统、网络系统的安全管理工作。任何部门和个人,未经有关领导或信息中心同意,不得擅自安装、拆卸或改变信息中心信息设备及网络结构。
3、外来设备(计算机、存储等)严禁接入业务网,如有需要接入,应由信息中心提供接入设备(计算机、存储等)。
4、信息中心员工必须严格遵守本办法。
二、基本要求
1、**县人民政府网络只供政府机关内部使用,任何内部使用的数据传输,未经过信息中心批准,不得进入信息中心的网络。
2、任何人不得以各种手段破坏、阻碍、修改或窃取信息中心网络正常传输的数据,不得对信息中心的各种网络设备和系统软件进行攻击和非法侵入。
3、任何人不得利用本信息中心网络从事违反国家法律法规和信息中心有关规章制度的活动,严禁在互联网上散布反动、煽动、误导等言论,不得登陆非法、反动等政府禁止的网站。
4、依据“谁主管,谁负责”、“谁使用,谁负责”的原则明确安全责任。
三、网络及服务器管理
1、信息中心网络的拓扑结构和设备接入由信息中心负责,任何部门、个人未经信息中心批准,不得随意增加、减少和更改网络及设备的接入点和接入方式,管理员职责见附表一。
2、信息中心网络IP地址的分配由信息中心统一规划并登记,任何人不得随意更改。
3、所有服务器、网络设备等要设置登陆密码,删除不需要的用户,在满足运行需要的前提下,采用最小化用户权限分配原则,禁用不必要的系统服务。
4、严禁在工作时间内修改服务器或网络设备的配置,或是进行系统升级、线路切换等可能影响工作的操作。
5、严禁在服务器上运行无关的软件程序。
四、计算机及存储设备管理
1、信息中心遵循权限最小原则为个人计算机设置用户权限。超级用户权限由信息中心统一使用。
2、外来计算机原则上不允许接入办公网。对于需要接入办公网络的计算机,经信息中心批准后,信息中心首先进行严格的安全检查,确认不存在安全隐患后,由专人负责接入。
3、由信息中心人员每周不定时抽查部分部门的计算机安全情况,并形成记录。
4、外来计算机要在信息中心人员的安排下,在指定的地点使用,使用的时候要由专人陪同。
5、外来计算机必须装有有效的杀毒软件和防火墙。
6、外来存储设备使用前必须进行严格的病毒检测,确认不存在安全隐患方可使用。
7、新购进或送出维修后的计算机及其设备,须经信息中心检测后,方可安装运行,防止病毒的侵害。
8、禁止在信息中心办公网计算机上使用来历不明、可能导致病毒传染的软件。使用类似软件需经信息中心安全管理员认可,在使用前应对其进行病毒扫描(转载于 :www.bjyLd.com 月亮岛教育 网: **县人民政府网络安全管理制度)。
9、办公网用户应谨慎接收电子邮件,从网络上接受电子邮件时要进行病毒查杀。
10、对员工使用的办公或个人电脑应该符合下列要求:
(1)禁止同一计算机既接入生产网又接入互联网。
(2)接入生产网的设备需设置开机口令,长度不得少于8个字符,并定期更换,防止口令被盗。
(3)安装正版杀毒防护软件,并及时进行升级,及时更新操作系统补丁程序。
(4)未经信息中心或信息中心允许,不得修改个人上网IP地址、网关、DNS服务器等设置。
(5)禁止将办公计算机带到与工作无关的场所;确因工作需要携带有重要信息的电脑外出的,必须确保重要信息的安全。
11、办公网内的个人计算机设备上360安全卫士,进行插件管理、木马查杀,以及进行其它Windows平台下软件更新与漏洞修复工作。
12、办公网内的个人计算机设备统一从信息中心的杀毒服务器上安装受控杀毒软件客户端,由病毒服务器统一配置策略,设置为自动扫描、自动更新病毒库,并定于每周自动进行全盘扫描。
13、若需安装其它杀毒软件,需经过信息中心负责人同意并由信息中心人员进行安装,同时应保证病毒库的及时更新。
14、办公网内的个人计算机设备需开启Windows软件自动更新功能,以完成微软安全补丁程序的安装。不能自动更新时需人工安装,可通过360安全卫士的修复漏洞功能完成。
15、办公计算机及相关设备报废时,应由信息中心拆除存储部件,由信息中心按有关要求统一销毁,同时作好备案登记。严禁各部门自行处理报废计算机。
16、接入业务网的柜员机要避免使用移动存储设备进行数据拷贝。因工作需要必须使用的,要严格遵守设备专用的原则。用于拷贝数据的存储设备在写入、读取前必须进行病毒查杀,确保设备无安全隐患。
五、违约责任与处罚
1、违反本办法的规定,根据情节及后果的严重情况,对违规人员给予相应的处理。
2、故意输入计算机病毒,造成信息中心网络故障的,信息中心将提交至相关管理部门。
3、信息中心任何部门或个人违反本管理办法,给信息中心造成损失及不良影响的,均应承担责任,进行处理。
**县人民政府网络安全管理制度
一、为了加强对计算机信息系统的安全保护,根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行条例》、《计算机信息网络国际联网安全保护管理办法》和其他法律行政法规的规定,特制定本制度。
二、严格遵守信息安全保密制度,不得泄露操作系统、数据库的系统管理员帐号、密码,切实保障系统安全。合理配置操作系统、数据库管理系统所提供的安全审计功能,以达到相应安全等级标准。关闭与应用系统无关的所有网络端口,制定严格的网络安全策略机制,防止非法用户的侵入。
及时安装正式发布的系统补丁,修补系统存在的安全漏洞, 防止系统遭受各种恶意攻击(转载 于:wWw.bjylD.com 月亮 岛教育网: **县人民政府网络安全管理制度)。启用系统提供的审计功能,监测系统运行日志,掌握系统运行状况。
三、加强口令密码、密钥安全管理。严格按照相关规定 设置符合安全保密策略的口令密码并定期或不定期进行更 换。严格按照安全保密机制对所用密钥生命周期的全过程(产生、存储、分配、使用、废除、归档、销毁)进行管理。密钥应作为绝密数据保管,必须通过机要渠道传递或采用加 密通信方式网内分配。密钥必须定期更换,对已泄露或怀疑 泄露的密钥应及时废除,旧密钥必须安全归档。密钥备份是针对主要密码设备和保密工作人员的意外事件而采取的必 要措施,密钥副本的保存必须是物理安全的。要有在紧急情况下销毁密钥的手段和措施,以防密钥丢失。
四、加强信息系统的安全监测。安全管理人员要制定各 种紧急情况应对方案并经常监测、分析计算机信息系统运行状况,切实提高信息系统的安全效能。要协助业务操作人员审查业务处理结果,发现问题应及时查明原因。对不能确认的异常现象,必须向计算机安全管理部门报告。要对计算机信息系统安全运行的监测记录及其分析结果严格管理,未经 相关领导许可不得对外发布或引用。
五、重大安全事件和应急处理。确认计算机信息系统出现重大安全事件,必须果断采取控制措施,立即报告相关安全工作领导小组并逐级如实上报计算机安全主管部门。重大安全事件发生后,协助有关人员保护事件现场,积极协助安全事件的调查,做好善后处理工作。重大安全事件的处理情况,安全管理员必须形成书面材料,报告上级计算机安全主管部门。
六、定期对信息安全工作进行巡检,并在其他业务管理员的协助下建立完整的安全巡检报告。要根据信息系统安全 需求及网络系统建设的发展,提出网络系统安全整改意见和实施方案。
**县人民政府网络安全管理制度
一、 配置备份流程
二、配置恢复流程 三、信息系统补丁管理流程
四、 网络安全扫描及加固流程
五、 系统账户与权限申请审批流程
