信息安全管理制度

1 目的

为确保网络安全，数据安全，依据安全策略，加强与信息相关网络设备的配置管理，特制定本程序。

2 范围

本制度适用于在组织内使用的所有主要网络设备的安全参数设置管理，包括：

a) 防火墙设备及软硬件；

b) 网关设备及软硬件；

c) 信用信息监管平台等。

3 职责

3.1 综合管理部

负责对组织内所有主要网络设备的配置和参数设定。

4 程序

4.1 网络设备安全配置策略

4.1.1 通用策略

网络设备的配置必须由综合管理部实施。

设备系统日志的记录内容和保存期限应该符合国家相关法律法规要求。

1. 上网要求

1) 上网用户不得利用公司网络从事危害公司安全、泄露公司秘密等违规活动，不得制作、查阅、复制和传播有碍社会治安和有伤风化的信息。

2) 上网用户不得利用公司网络进行任何干扰网络用户、破坏网络服务和破坏网络设备的活动。这些活动主要 包括（但并不局限于）在网络上发布不真实的信息、散布计算机病毒、使用网络进入未经授权使用的计算机、以不真实身份使用网络资源等。

3) 上网用户必须接受并配合公司相关部门依法进行的监督检查，有义务向管理部门报告网上违法犯罪行为和有害信息。

4) 遵守国家有关法律、法规。不允许利用网络传播小道消息或进行人身攻击。

5) 上网时，禁止浏览色情、反动及与工作无关的网页。浏览信息时，不要随意下载网页信息，特别是不要随意打开不明来历的邮件及附件，避免网上病毒入侵。

2. 网络开通

1) 公司网络出口防火墙由综合管理部集中管理，默认对外只开放WEB、FTP等常用端口；

2) 对外联系如需使用到其他端口，必须由使用的团队领导向网络管理员提出申请；

3) 经网管测试，如果适合，向综合管理部经理申请；

4) 经理批准后，由综合管理部负责实施创建或更改规则，网管在完成后测试；

5) 防火墙日志记录，监控和分析等工作，由综合管理部负责。

3. 网络管理

1) 上网时，禁止浏览与工作无关的内容；禁止浏览色情、反动及与工作无关的网页。浏览信息时，不要随便下载网页的信息，特别是不要随便打开不明来历的邮件及附件，以免网上病毒入侵。禁止进行与工作无关的各种网上活动。

2) 邮件与网络系统都属于公司资产，公司有权监视公司内部电子邮件与网络行为。

3) 为避免员工沉迷于网络、占用网络带宽、影响其它人正常使用网络工作、以及电脑感染病毒、网络无法正常运行，公司利用网络管理系统进行网络自动控制，对各种网络应用进行控制和记录，包括实时记录局域网内电脑所有对外收发的邮件、浏览的网页以及上传下载的文件，监视和管理网内用户的聊天行为，限制、 阻断网内用户访问指定网络资源或网络协议等。

4. 行为控制

网络用户必须接受公司网络主管部门的监督检查，对违规的用户，将视其情节轻重分别对其进行警告、处罚、记过、辞退等处理，情节严重者将追究其法律责任。

1) 避免浪费电力、保护电脑设施及安全考虑，各人员白天下班时，应自行把显示器关闭，晚上不加班者或加班完毕后，电脑主机及显示器需统一关闭。若因工作需要不能关机的应在电脑上贴标识或小标签说明“电脑在处理工作运行中”，避免他人不知情帮你关闭。

2) 不允许安装使用破解的系统主题。

3) 接收到不明或病毒邮件，必须立即报告系统管理员，须按系统管理员提示及时删除，不得点击运行造成感染病毒。

4) 严禁使用网络下载与工作无关的内容，因工作需要下载资料，应安排合理时间下载(如下班或晚上加班时间)。

5) 工作时间内，禁止上网浏览与工作无关的内容或出现异常上网记录（如:上班时间有淘宝，网银，Bt等记录）若因个人事务需要使用网络资源, 如接收邮件或搜寻数据, 在与本规定没有抵触的情况下, 可在用餐后的工余时间使用。

6) 严禁盗用他人IP地址及帐户，窃取他人电脑资料；严禁利用“黑客软件”、“木马程序”等攻击他人计算机，窃取他人网络资源。

7) 利用公司网络传播病毒，危害公司网络安全；制作、下载、复制、查阅、发布、传播或以其它方式使用反动、淫秽色情等有害信息的，情节严重的追究其法律责任。

8) 利用网络泄露公司机密的，将根据《劳动合同》相关条款追究责任。

4.1.2 防火墙安全配置策略

对外连接防火墙配置要求:

a) 除内部向外部提供的服务外，其他任何从外部向内部发起的连接请求被禁止；

b) 除内部向外部提供的服务相关部分外，内部向外部的访问需经需求部门经理以及工程与运维部经理批准。

c) 内部需要对外部提供服务，需经运营总监、需求部门经理、综合管理部经理批准。

内部防火墙配置要求：

a) 内部防火墙的内外部分分为不同的安全等级，外部为等级低的部分，内部为等级高的部分；

b) 除内部向外部提供的服务外，其他任何从外部向内部发起的连接请求被禁止；

c) 除内部向外部提供的服务相关部分外，内部向外部的访问需经需求部门经理、工程与运维部经理批准。

4.1.3 网关设备安全配置策略

VPN网关设备安全配置策略：

a) 访问许可列表应根据申请并经过审批获得；

b) 对许可的访问发起者的身份认证应至少在两项或以上；

c) 非许可访问的部分应禁止；

d) 许可的访问发起者应体现相对静态的信息记录，如有明确意义的用户名、静态访问IP地址等；

e) 许可的访问发起者的访问权利应不被滥用。

4.1.4 网络交换机设备安全配置策略

关键路径网络交换机安全配置策略

a) 关键路径网络交换机是指位于公司网络中间节点或信息交换中心位置的网络交换机；

b) 关键路径网络交换机安全配置策略应考虑和周边网络设备的连接的兼容性、安全性、可靠性和可变性；

c) 关键路径网络交换机安全配置策略应尽量减少不必要的限定以保证合理的通信能力。

周边网络交换机安全配置策略

a) 周边网络交换机是指位于公司网络非中间节点或信息交换相对不重要的位置的网络交换机；

b) 周边网络交换机安全配置策略应考虑和关键路径网络设备的连接的兼容性、安全性、可靠性和可变性；

c) 关键路径网络交换机安全配置策略应根据需要减少不必要信息向更高级的网络层的传输。

4.2 网络中间设备配置过程

综合管理部人员根据安全配置策略和特定安全要求填写《网络设备安全配置表》，经部门经理审核批准后，对网络设备参数进行配置。

配置实施后必须进行检查，测试，填写《网络设备安全配置表》签署姓名和日期。

                                              广东东方安卓信用评估有限公司

                                               2023年8月10起实施