网络安全管理办法

信息网络安全管理制度

第一章总则

第一条为了保护公司络系统的安全、促进公司计算机网络的应用和发展、保证公司络的正常运行和网络用户的使用权益，制定本安全管理制度。

第二条本管理制度所称的公司网络系统，是指由公司投资购买、由网络与信息中心负责维护和管理的公司络主、辅节点设备、配套的网络线缆设施及网络服务器、工作站所构成的、为公司网络应用及服务的硬件、软件的集成系统。

第三条公司系统的安全运行和系统设备管理维护工作由网络与信息中心负责，网络与信息中心可以委托相关单位指定人员代为管理子节点设备。任何部门和个人，未经公司负责部门同意、不得擅自安装、拆卸或改变网络设备。

第四条任何单位和个人、不得利用联网计算机从事危害公司及本地局域网服务器、工作站的活动，不得危害或侵入未授权的（包括CERNET或其它互联网在内的）服务器、工作站。

第二章安全保护运行

第一条除公司负责部门，其他单位或个人不得以任何方式试图登陆进入公司主、辅节点、服务器等设备进行修改、设置、删除等操作；任何单位和个人不得以任何借口盗窃、破坏网络设施，这些行为被视为对公司安全运行的破坏行为。第二条公司中对外发布信息的WWW服务器中的内容必须经各单位领导审核，由单位负责人签署意见后，交办公室审核备案后，由网络与信息中心从技术上开通其对外的信息服务。

第三条公司各类服务器中开设的帐户和口令为个人用户所拥有，网络与信息中心对用户口令保密，不得向任何单位和个人提供这些信息。

第四条网络使用者不得利用各种网络设备或软件技术从事用户帐户及口令的侦听、盗用活动，该活动被认为是对网络用户权益的侵犯。

第五条公司内从事施工、建设，不得危害计算机网络系统的安全。

第六条公司主、辅节点设备及服务器等发生案件、以及遭到黑客攻击后，公司负责单位必须在二十四小时内向公司保卫部门及公安机关报告。

第七条严禁在公司网络上使用来历不明、引发病毒传染的软件；对于来历不

明的可能引起计算机病毒的软件应使用公安部门推荐的杀毒软件检查、杀毒。第八条任何单位和个人不得在公司及其联网计算机上传送危害国家安全的信息(包括多媒体信息)、录阅传送淫秽、色情资料。

第九条公司网络及子网的系统软件、应用软件及信息数据要实施保密措施。信息资源保密等级可分为：（1）可向Internet公开的；（2）可向公司公开的；（3）可向本单位公开的；（4）可向有关单位或个人公开的；（5）仅限于本单位内使用的；（6）仅限于个人使用的。

第十条对所有联网计算机及上网人员要及时、准确登记备案。多人共用计算机上网的部门上网计算机的使用要严格管理，部门负责人为网络安全负责人。第十一条公司负责部门必须落实各项管理制度和技术规范，监控、封堵、清除网上有害信息。为了有效地防范网上非法活动，公司要统一出口管理、统一用户管理，进出公司访问信息的所有用户必须使用公司负责部门设立的代理服务器、Email服务器。未经公司网络安全领导小组批准，各部门一律不得开设代理服务器、Email服务器。

第十二条经公司网络安全领导小组批准开设的服务器必须保持日志记录功能，历史记录保持时间不得低于6个月。

第三章违约责任与处罚

第一条违反第五条及第十二条规定的行为一经查实，将向公司安全领导小组及保卫部门报告，视情节给予相应的行政纪律处分；造成重大影响和损失的将向公安部门报告，由个人依法承担相关责任。

第二条违反第八条规定的侦听、盗用行为一经查实，将提请公司给予行政处分，并在公司上公布；对他人造成经济损失的，由本人加倍赔偿受害人损失，关闭其拥有的各类服务帐号；行为恶劣、影响面大、造成他人重大损失的，将向公安部门报案。

第三条故意传播或制造计算机病毒，造成危害公司系统安全的按《中华人民共和国计算机信息系统安全保护条例》中第二十三条的规定予以处罚。

第四章对外安全防护

第一条公司使用H3C MSR系列企业路由器和锐捷NBR2500D网络管理器，内置有防火墙及攻击防范配置，可有效避免病毒感染及黑客入侵。

第二条公司使用的安全手段有内外网隔离技术、加密技术、身份认证、访问控制、安全路由、网络防病毒等，这些技术对防止非法入侵系统起到了一定的防御作用。

第三条公司网络安全负责部门对网络设备进行周期跟进、维护及更新。

第四条代理及防火墙作为一种将内外网隔离的技术，普遍运用于公司安全建设中。