网络安全规范（范例）

                                   网络安全规范

1. 目的

   1. 规范网络资源访问，确保公司内部网络安全

2. 范围

   1. 适用于访问公司内部网络资源的所有员工

3. 定义

   1. 计算机网络：计算机网络包括网络主机、网络设备及其相关配套的设备、设施（含网络线路）及相关软件等
   2. 上网权限：在公司局域网内通过网页、通信工具如QQ及其他软件链接公司局域网以外资源的权限；或是在公司局域网外部访问公司内部资源的权限，如通过VPN等方式访问公司局域网资源的权限。

4. 原则

   1. 无

5. 权责

   1. 业务部门文员：负责部门邮箱申请，提交《帐号申请表》，员工入职当天内提起。
   2. 业务部门经理：根据工作需要审核员工上网权限（外网、VPN、QQ及其他）；当天内完成。
   3. 业务部门总监：根据工作需要与业务风险程度对上网权限进行审核，当天完成审核。
   4. 信息管理部运维部经理：审核邮箱申请合法性，当天完成审核。
   5. 信息管理系统管理员：开通上网权限，当天完成。

1. 内容描述

   1. 网络设备安全
      1. 严格执行对人员、设备进入信息管理部机房等安全敏感区域的控制，避免无关人员进入区域，接触网络设备或链路。
      2. 加强对网络设备的质量控制、安装维护的质量控制，以及建立网络系统的冗余机制和应急机制，防止设备缺陷、故障或突发事件引起的网络瘫痪。
      3. 不允许进行任何干扰其他网络用户，破坏网络服务和网络设备的活动。网线、光缆及其它网络设施应妥善保护,避免人为损坏
      4. 员工不得损坏所在区域内的网线插槽、跳线、标签等。
   2. 公司内部网络的安全
      1. 未经信息管理部运维部许可，任何部门和个人不得在所连网络上改动或连接其它设备，包括交换机、路由器、AP、代理服务器。所有网络设备的增减与变动，其技术方案必须经信息管理部运维部认可，并由信息管理部运维部组织实施。
      2. 所有未使用的交换机等网络设备的网络端口必须采取控制措施保证其安全。
      3. 公司所有关键线缆上都应有明确的标签标识，并有与之对应的识别文档。
      4. 用户在使用网络资源时，不得下载、测试、使用各种恶意代码、病毒或其他可能危害网络安全的程序，不得在网络上安装各种黑客工具、密码探测程序、包嗅探程序，使用网络进入未授权的计算机、系统，散布计算机病毒，破坏网络服务和网络设备的行为，干扰网络中其他用户正常使用。
      5. 各部门不得将测试环境直接接入公司网络测试，如必须进行，需经过信息管理部的审核，并在测试生产环境与公司网络环境之间采取一定的隔离措施。
      6. 如果发现用户针对网络的恶意攻击，信息管理部必须立即取消攻击者对公司的信息、系统、网络和工作场所的访问权限。
      7. 所有上网用户有义务向信息管理部报告所有违反规范的行为。
      8. 用户对工作用PC进行网络设置时需遵守信息管理部发布的网络设置相关规定，包括但不限于DNS、组、IP的设置。
      9. 确保每个网络用户都具有唯一的身份标识（例如：UserID），当使用者访问网络时，需要采用密码验证等方式来识别使用者身份的合法性。认证通过后才能获得相关负责人规定的IT资源访问权限。
      10. 员工必须在联网PC上安装公司指定的品牌和版本的防病毒软件，按公司要求进行系统加固，安装公司要求的补丁服务，防止病毒影响网络。
      11. 对在公司内部进行无线联网应有登录认证，传输加密等安全手段；并至少每3个月更改一次认证密码。
   3. 公司内部网络与外部网络的安全互联
      1. 公司员工从外部网络访问公司内部网络，必须遵守公司安全标准中的访问控制、授权、身份验证规定。
      2. 公司移动办公的员工需要访问公司内部的IT资源，信息管理部必须严格审核提供远程访问服务的互联系统，并且，对远程访问公司员工采用强身份验证机制，并建立相关审计机制。
      3. 员工从公司内部网络访问Internet，必须填写“网络帐号申请表”申请帐号权限，开放INTERNET上欲访问的URL的访问权限。
      4. 必须建立和完善公司内部对INTERNET访问的认证、授权和审计机制。
      5. 公司各部门等申请其它接入INTERNET，必须经过信息管理部的审批和备案。
      6. 对公司内部和外部之间的链接必须采取安全隔离、过滤、审计等安全保护措施。
   4. 病毒防治管理
      1. 员工办公用计算机、笔记本电脑，其责任人为使用者本人；部门公用计算机必须由其固定资产责任人为该公用计算机责任人。
      2.  所有计算机应安装公司指定的品牌和版本的防病毒软件，安装指定的企业防病毒客户端程序。系统无法安装的，需信息管理部确认并备案，由信息管理部提供其他解决方案。
      3. 员工应主动更新防病毒软件病毒库定义，或至少每周查看所负责的计算机病毒库定义自动升级情况，保证最新病毒库定义。
      4. 员工应当保证开启防病毒软件的实时按访问扫描，不得随意终止防病毒软件服务进程。
      5. 如果员工发现计算机上有病毒，应当立即进行防病毒处理工作。
      6. 员工发现计算机上有新病毒，应当及时向信息管理部运维部报告。公司鼓励即时报告系统安全漏洞及病毒事件。
      7.  紧急病毒事件响应，以信息管理部发布的紧急安全公告为准。
      8. 个人病毒事件响应：员工首先借助公司防病毒软件处理病毒事件，不能自行处理解决的，求助公司信息管理部运维部服务热线。
   5. 上网管理
      1. 上网权限申请：邮箱申请须填写OA系统的《帐号申请单》。
      2. 不能登陆到与工作无关的论坛进行聊天。
      3. 禁止使用占用网络资源或线路资源的工具进行下载或上传文件。
      4. 禁止浏览不健康网站，如成人网站、色情网站、色情小说等。
      5. 禁止利用公司资源上网玩游戏。
      6. 信息管理部负责每周进行上网行为统计，并于每周一将上周的《上网情况统计表》上报并进行公布。
   6. 日志与审计
      1. 任何安全架构都不能够避免非授权访问的发生。每个系统必须估计这种非授权访问。每一个系统必须具备日志审计功能。
      2. 通过对交换机、路由器、代理服务器等网络设备日志的审计应能唯一地识别和认证个人，监视和记录员工的访问。
      3. 上网日志保留期为12个月，以备公司审计部门或公安机关进行审计或查阅。
2. 附件