前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇公司網(wǎng)絡安全管理制度范文，相信會為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

公司網(wǎng)絡安全管理制度范文第1篇

【關鍵詞】企事業(yè)；網(wǎng)絡現(xiàn)狀；安全管理；體系構建

1 引言

企事業(yè)單位網(wǎng)絡，作為在互聯(lián)網(wǎng)上業(yè)務延伸的平臺，它的功能和效果越來越受到各單位的重視。在各類單位系統(tǒng)建設中，安全無不被提高到戰(zhàn)略高度對待。各單位或從技術手段出發(fā)，采用各類信息安全技術來保障網(wǎng)絡安全，或是輔之以信息安全的制度保障，從技術加管理的角度來落實安全措施。但是由于開發(fā)和管理單位網(wǎng)絡時，在技術人員、意識、監(jiān)督上的缺陷，造成軟件與管理上存在一定程度的漏洞，給單位的網(wǎng)絡安全帶來了影響，甚至影響了工作的開展。

1.1 實例分析

某市一企業(yè)2007年為了方便業(yè)務對象的手續(xù)辦理和咨詢，自建了互聯(lián)網(wǎng)服務器，開設網(wǎng)上辦理手續(xù)的網(wǎng)站，網(wǎng)站主要服務為業(yè)務手續(xù)所需表格的下載、申請審批的預約、申請審批進程的查詢、程序規(guī)范的宣傳和注意事項、疑問解答等，有需要的客戶在家就可了解該項手續(xù)的辦理，獲取申請表格、了解審批的進程。該網(wǎng)站采用access+asp，服務器操作系統(tǒng)使用windows2003，web服務使用操作系統(tǒng)自帶的IIS，系統(tǒng)安全措施采用kill6.0殺毒軟件。該站源代碼采用動易網(wǎng)站管理系統(tǒng)，是網(wǎng)上下載的一個免費源代碼程序，委托電腦公司根據(jù)實際業(yè)務需要經過修改而成。因該企業(yè)對網(wǎng)絡制作與管理不熟悉，也為了管理的方便，所以在管理上，超級管理員帳號由委托的電腦公司網(wǎng)絡制作人員掌握，出現(xiàn)網(wǎng)絡或服務器的問題則由該電腦公司派員進行維護，業(yè)務操作的帳號則由該企業(yè)人員掌握。開始籌劃并建立伊始，該企業(yè)對網(wǎng)絡的安全管理比較重視，特地咨詢技術人員制定了安全管理制度，確定每日檢查的事項，以及應急處理的方案。但由于該企業(yè)人員都只會業(yè)務操作，對安全管理這塊沒有概念，對此也不知如何監(jiān)督管理，故日常的服務器檢查等都未開展，全靠電腦公司進行。由于服務器屬于該企業(yè)，故放置在辦公室，電腦公司維護人員通過在服務器安裝serve-u軟件開通了ftp功能，以及安裝Remote Administrator可以進行遠程控制，使網(wǎng)絡的一些代碼更改上的操作和一些簡單的系統(tǒng)問題可以進行遠程維護，服務器的系統(tǒng)登錄密碼該企業(yè)和電腦公司都掌握。

電腦公司在技術上有優(yōu)勢，如果能按照安全管理制度做好日常維護管理，包給電腦公司進行網(wǎng)絡和服務器的維護這也是一個很適合該企業(yè)現(xiàn)狀的安全管理方案，但電腦公司技術員由于責任心問題未認真進行日常檢查維護，只是在該企業(yè)提出修改時進行一下網(wǎng)絡代碼的修改，或者系統(tǒng)局部問題的處理，在2007年初服務器的操作系統(tǒng)安裝完畢，系統(tǒng)補丁打全、殺毒軟件kill的病毒庫升級后，就沒有再次更新。由于網(wǎng)絡數(shù)據(jù)沒有及時備份，導致了業(yè)務信息全部丟失，無法及時進行應急恢復，給企業(yè)造成了很大的損失。

1.2 分析問題存在原因

發(fā)生這次攻擊并不是黑客的技術有多么的高超，仔細分析一下造成目前狀況的主要原因，其實很明顯：

（1）缺乏熟悉計算機技術的人員

該企業(yè)原有工作人員不熟悉計算機技術，水平僅停留在網(wǎng)絡的業(yè)務信息基本操作上，對網(wǎng)絡的安全管理一無所知。雖然網(wǎng)絡創(chuàng)建伊始制定了安全管理制度，確定每日檢查的事項，以及應急處理的方案，但是由于技術水平的限制，無法監(jiān)督貫徹制度中的規(guī)定。

（2）存在重創(chuàng)建輕安防的意識

在網(wǎng)絡安全問題上該企業(yè)還存在認知盲區(qū)和制約因素，網(wǎng)絡是新生事物，很多人一接觸就忙著用于學習、工作等，對網(wǎng)絡信息的安全性無暇顧及，對網(wǎng)絡信息不安全的事實認識不足，造成安全意識淡薄。

（3）維護外包但監(jiān)督未及時跟進

應該來說，該企業(yè)針對自身缺少技術人員的情況，將網(wǎng)絡和服務器包給電腦公司進行維護這個方案還是可行的，但問題出在外包后沒有將監(jiān)督及時跟進，沒有對電腦公司的維護工作作出嚴格的監(jiān)督，完全靠電腦公司技術人員發(fā)揮主觀能動性來進行維護，還是存在很大風險的。

2 網(wǎng)絡安全管理體系構建思路

2.1 技術保障體系中

技術研發(fā)：重新構建該網(wǎng)絡源代碼，或者在原先基礎上，可以購買收費版的動易系統(tǒng)，獲得開發(fā)商技術支持，可以有效防范代碼漏洞的危險。

防護系統(tǒng)：采用在殺毒性能強、用戶界面友好、升級方便的殺毒軟件，比如卡巴斯基殺毒軟件；采用防火墻，可以采用軟件防火墻（如天網(wǎng)，設置好詳盡的安全規(guī)則，屏蔽不用的端口）甚至硬件防火墻（如firebox），防止外部網(wǎng)絡用戶以非法手段通過外部網(wǎng)絡非法訪問服務器。

2.2 運行管理體系中

行政管理：在該企業(yè)內部建立安全組織機構，如電子商務網(wǎng)絡安全管理小組，由該企業(yè)的經理直接管轄，提升對安全管理的認識層次、制定完善的安全措施，協(xié)調管理和監(jiān)督方面的事宜。

2.3 社會服務體系中

安全管理____隨著社會發(fā)展，安全管理外包服務越來越顯出其重要性，可以由MSSP（安全服務提供商）提供信息安全咨詢、安全技術管理、數(shù)據(jù)安全分析、安全管理評估等服務，使安全管理工作專業(yè)化。

應急響應____制定應急處置預案，進行演練

教育培訓____信息安全教育和培訓是該電子商務網(wǎng)絡的管理人員目前急需的，是對電子商務網(wǎng)絡進行有效管理、應用和維護系統(tǒng)安全的重要基礎。

2.4 基礎設施體系中

標準建設____參加計算機信息系統(tǒng)等級保護申報等。

3 體系構建存在問題的解決方法

3.1 增強單位工作人員安防憂患意識

該企業(yè)可以組織開展多層次、多方位的信息網(wǎng)絡安全培訓和技術學習，提高基本的計算機技術能力和對網(wǎng)絡安全的認識，形成網(wǎng)絡信息安全的概念，從而增強內部工作人員安全防范意識和防范能力，這是避免網(wǎng)絡安全事件發(fā)生的有效途徑。只要安防意識提高，就能帶動提高查找管理漏洞的能力和加強學習、彌補漏洞的動力。

3.2 配備與電子商務網(wǎng)絡相適應的技術力量

單位網(wǎng)絡的信息安全管理不是一成不變的，它應該是一個動態(tài)的過程，但又是一個必須“長抓不懈”的系統(tǒng)工程。隨著安全攻擊和防范技術的發(fā)展，網(wǎng)絡的安全策略也要因時因勢分階段調整，只有時刻保持住這種動態(tài)的平衡，才能使網(wǎng)絡的安全立于不敗之地，而前提是有相適應的技術力量，因為人是網(wǎng)絡最終使用者，也是在網(wǎng)絡整個生命周期中，如規(guī)劃設計、建設實施、運行維護等過程中的參與者和管理者，人的因素是保證網(wǎng)絡正常工作不可缺少的重要部分。

3.3 依托中介進行管理，完善監(jiān)督機制

該企業(yè)將網(wǎng)絡和服務器的創(chuàng)建和維護包給電腦公司進行，按照安全管理制度做好日常維護管理，這也是一個很適合該企業(yè)現(xiàn)狀的安全管理方案，但電腦公司的技術員由于責任心的問題，未認真進行日常的檢查維護，而該企業(yè)工作人員由于技術水平問題以及安全防范上的意識問題，沒有對照安全管理制度對該電腦公司進行有效的督促。

4 結論

網(wǎng)絡是依賴于計算機和網(wǎng)絡技術而存在的，因此它的安全與否主要取決于服務器和網(wǎng)絡安全與否，即系統(tǒng)自身的安全隱患和信息安全隱患。我們只有在包括技術人員、意識、監(jiān)督等在內的多方面措施支撐下，積極查漏補缺，防止和修補好單位網(wǎng)絡這個木桶出現(xiàn)的某一塊缺損木板，才能使這個木桶不因我們僵化靜止的觀念而漏水，使企事業(yè)單位網(wǎng)絡能發(fā)揮出它的積極作用。

參考文獻：

[1]張莉.計算機網(wǎng)絡應用基礎[M]，中國農業(yè)出版社，2005.

[2]褚峻.構建電子政務安全管理體系研究[J] .檔案學通訊，2003（3）.

公司網(wǎng)絡安全管理制度范文第2篇

【關鍵詞】信息時代；企業(yè)檔案；安全管理

《企業(yè)檔案管理規(guī)定》第十條強調：“ 企業(yè)采取有效措施對檔案進行安全保管，并切實加強對知識產權檔案和涉及商業(yè)秘密檔案的管理?！彪S著信息化的迅猛發(fā)展和電子檔案的廣泛應用，檔案信息安全問題日益突出。特別是在電子檔案誕生，檔案信息載體的多樣化和電子文件、檔案數(shù)量迅速增長的情況下，如何做好企業(yè)檔案的安全管理工作？筆者認為必須把檔案信息安全問題提高到企業(yè)管理的重要位置，采取有效措施，加強檔案的安全管理。檔案的安全管理應當包括檔案安全管理職責、檔案實體安全管理、電子檔案安全管理和檔案庫房安全管理等方面。

筆者所在的淮北華星工貿有限責任公司，是集煤炭洗選、礦山設備制造、配件加工及安裝；選煤用重介質、高效復合浮選劑生產；礦用玻璃鋼管道、管材、玻璃鋼柵欄生產及研發(fā)為一體的綜合性企業(yè)。由于企業(yè)產品科技含量較高、知識產權檔案和涉及商業(yè)秘密的檔案較多，因此企業(yè)非常重視檔案安全管理工作，制訂了《華星公司檔案管理制度》、《華星公司安全工作制度》、《華星公司檔案管理工作規(guī)范》、《華星公司檔案查閱制度》、《華星公司技術檔案管理辦法》等規(guī)章制度。為確保檔案安全，公司強化檔案實體的管理，做到責任到人，確保檔案庫房防火、防潮、防塵、防鼠、防盜、防光、防蟲、防水“八防”工作落實到位。另一方面加強計算機和網(wǎng)絡安全管理，保證電子檔案的信息安全。筆者在實際工作中體會到，做好企業(yè)檔案安全管理工作，必須從以下幾方面入手：

1 加強檔案實體與電子檔案的管理

檔案的存在形式包括了紙質檔案和電子檔案。企業(yè)在工作中形成的文件材料不管以何種形式保存，首先要保證檔案的信息安全。

1.1 加強檔案實體安全管理

企業(yè)應確保在生產經營等活動過程中形成的具有保存價值的文件材料收集齊全、完整、真實、準確，并及時歸檔。還應依法定期將具有長遠保存價值的檔案向上級檔案館移交。要建立健全檔案調歸卷制度，規(guī)范檔案提供利用過程中借閱登記、利用效果登記和及時歸卷的程序；建立檔案、人員出入庫登記制度，確保檔案安全萬無一失。檔案室工作人員每年應對室藏檔案進行一次清點核對，做到登記臺賬與檔案實體相符。對老化、破損、褪色、霉變等受損檔案載體，必須采取搶救措施，按檔案保護技術要求進行修復或復制。不同載體材質的檔案應分類存放、規(guī)范保存。對特殊載體檔案的存放，按其特性和要求，使用規(guī)范、合理的裝載器具加以保管和保存。檔案室對珍貴、重要的檔案應進行復制，并用復制件代替原件提供利用，其別珍貴重要、有特殊意義的檔案和特殊載體、對保管條件有特殊要求的檔案，可建特藏室專門管理。

1.2 強化電子檔案的安全管理

電子檔案指在數(shù)字設備及環(huán)境中生成，以數(shù)碼形式存儲于磁帶、磁盤、光盤等載體，依賴計算機等數(shù)字設備閱讀、處理，并可在通信網(wǎng)絡上傳送的文件。電子檔案整理、歸檔過程的安全管理包括：要建立和執(zhí)行科學的歸檔制度，保證電子檔案內容邏輯上的準確，歸檔時要盡可能地以主流技術統(tǒng)一電子檔案的保存格式。

電子檔案保管和利用過程中的信息安全要做到以下幾個方面：要保證電子檔案載體物理上的安全；要對電子檔案載體進行有效的檢測與維護；要密切關注計算機技術的發(fā)展方向，不斷對歷年來電子檔案使用的軟件升級、更新情況進行記錄、保存，適時對電子檔案的格式進行轉換；要加強對電子文件利用活動的管理，保證電子檔案的信息安全。

由于企業(yè)信息化建設步伐加快，有許多重要的電子檔案都存儲于辦公自動化管理系統(tǒng)里，必須采取各種措施加以控制確保安全。對于涉及檔案信息管理的辦公系統(tǒng)，設定權限，規(guī)定哪些人可以登錄系統(tǒng)，并設置登陸密碼；登錄后只能查閱到規(guī)定權限范圍內的文件，有的內容應由檔案管理人員審批后才能看；并設置好借閱期限，及時跟蹤催還；查閱的文件內容格式保存為PDF格式，不能被隨便復制；檔案管理人員還應設置好檔案的密級程度（絕密、秘密、公開等）。為登錄系統(tǒng)的計算機裝上防毒軟件，并注重及時更新。電子檔案保存在軟盤、磁盤里的，要使軟盤保持干凈并不受損害，要讓磁盤遠離磁場，并做到防塵、防油漬。

2 保證計算機網(wǎng)絡安全

電子檔案運行環(huán)境主要是計算機網(wǎng)絡系統(tǒng)，計算機網(wǎng)絡安全是保障檔案信息資源安全的主要問題，保證電子檔案運行環(huán)境的安全管理就是要加強對計算機網(wǎng)絡系統(tǒng)的安全管理。計算機網(wǎng)絡安全隱患主要表現(xiàn)為：存在著各種物理安全問題，如因自然災害或人為原因對計算機硬件設施造成損害；來自內部或外部的非法訪問，尤其是黑客的入侵不僅能盜取、修改信息，而且可以導致網(wǎng)絡部分或全部癱瘓；防不勝防的計算機病毒侵害；普遍缺乏基本的備份系統(tǒng)，一旦發(fā)生問題難以及時恢復等。要確保檔案信息資源的安全，就必須消除這些不安全因素。

首先，要堅持防管并舉，建設檔案信息網(wǎng)絡安全保密系統(tǒng)，確保網(wǎng)絡安全連接和信息安全傳輸，保證檔案信息、數(shù)據(jù)庫安全；其次，為應付突發(fā)事件，要建立檔案信息資源災害恢復備份系統(tǒng)，提供可靠的系統(tǒng)備份、應用備份、數(shù)據(jù)備份和系統(tǒng)恢復能力，保證檔案網(wǎng)絡工作不間斷地運行；再次，要加強檔案信息系統(tǒng)的安全技術防范管理，檔案室應安裝入侵報警、電視監(jiān)控、防盜屏障、周界報警等設備設施。此外，要及時做好網(wǎng)站的維護和更新工作，定期對計算機以及網(wǎng)絡進行檢查維護，適時更新防病毒軟件。

3 建立健全檔案安全管理的制度

檔案安全管理的條款分布在《保密法》、《國家安全法》、《檔案法》等中間，并沒有專門的檔案安全管理制度，企業(yè)需要建立一套檔案安全管理制度，明確規(guī)定安全管理職責、管理要求、管理目標、管理內容等。

筆者所在的企業(yè)就制定了一系列管理制度：文件材料歸檔制度主要包括歸檔范圍、歸檔時間、歸檔要求以及控制歸檔質量的措施；利用制度明確了提供利用的方式、方法，規(guī)定查（借）閱檔案的權限和審批手續(xù)，提出接待查（借）閱檔案的要求；保密制度明確檔案形成者、檔案管理者、檔案利用者承擔保密的責任；檔案保管制度包括了保管工作原則、各門類檔案保管條件，特殊載體檔案保管方式，檔案進、出庫房要求，對受損檔案的處置原則和要求；電子檔案管理操做制度明確了檔案管理系統(tǒng)操作人員的職責、檔案管理系統(tǒng)軟件、硬件的操作要求；庫房管理制度明確了庫房管理員職責、庫房管理要求，進出庫房要求等。構建一套系統(tǒng)、透明的檔案安全管理制度，能為企業(yè)檔案安全管理的實施提供保障作用。

公司網(wǎng)絡安全管理制度范文第3篇

關鍵詞：形態(tài)煙草；內網(wǎng)安全；內網(wǎng)安全建設

Abstract: in this paper, the morphological tobacco a network security made simple introduction

Keywords: form tobacco; A network security; Internal network security construction

中圖分類號： TM727.4 文獻標識碼：A 文章編號：2095-2104（2012）

引言

隨著邢臺煙草內外網(wǎng)的物理隔離，直接來自Internet威脅消失了。與此同時網(wǎng)絡邊界部署防火墻和入侵檢測，終端計算機安裝網(wǎng)絡版的殺毒軟件，病毒服務器病定期升級。在這些安全設備的監(jiān)控下，來自網(wǎng)絡外部的安全威脅大大減少。然而，邢臺煙草面臨的網(wǎng)絡安全形勢沒有大的好轉，而且從近幾年出現(xiàn)的網(wǎng)絡安全事件來看還有上升的趨勢。

一、煙草內網(wǎng)安全問題表現(xiàn)形式

1.大量的計算機受病毒侵害。病毒是煙草內網(wǎng)中最大的威脅，其出現(xiàn)的頻率最高、影響最廣，最嚴重的可導致信息損失。病毒主要通過邢煙FTP、內網(wǎng)電子郵件、可移動媒體、共享文件夾、系統(tǒng)漏洞等方式傳播。如果一臺計算機一旦感染了病毒，在極其短暫的時間內就能夠感染連接內網(wǎng)多數(shù)計算機，最為典型的是ARP病毒、Office宏病毒、U盤病毒等。病毒感染可導致網(wǎng)絡的不通、系統(tǒng)數(shù)據(jù)和文件系統(tǒng)的損壞。如果數(shù)據(jù)是先前積累的，則損失將是災難性的。

2.內部操作系統(tǒng)存在漏洞。有許多新的病毒，或者現(xiàn)有的病毒，利用來系統(tǒng)漏洞傳播病毒。很多內網(wǎng)的計算機，即使安裝最新的反病毒軟件，如果系統(tǒng)有漏洞仍然感染病毒和木馬。

3.安全自我防護意識薄弱。煙草內部網(wǎng)絡上的用戶為內部職工等非專業(yè)人士，大多數(shù)人對于網(wǎng)絡安全和問題的自我防護意識非常淡薄,對病毒、系統(tǒng)漏洞、蠕蟲、木馬等知道甚少，少數(shù)人員根本就不懂，一般大多采用防病毒軟件作為防護手段，自己中病毒或者木馬，全然不知。由此產生的現(xiàn)象是用戶的操作系統(tǒng)頻繁死機，或者啟動慢，或者程序反應慢，或者打不開程序等等現(xiàn)象,這就意味著網(wǎng)絡的安全存在極大的風險和隱患。

二、煙草內網(wǎng)安全問題原因分析

1.防范措施相對簡單的。由于受傳統(tǒng)防護技術和觀念的制約，沒有采取有效的防范措施來維護內網(wǎng)環(huán)境。在網(wǎng)絡邊界部署防火墻、IDS入侵檢測系統(tǒng)和防護設備的同時，不重視安全內部網(wǎng)絡管理。雖采用安全措施如：訪問控制列表（ACL）和虛擬局域網(wǎng)（VLAN）技術，但沒有統(tǒng)一的網(wǎng)絡管理平臺，出現(xiàn)網(wǎng)絡完全威脅不容易找到源頭。使得企業(yè)內部網(wǎng)絡的管理和監(jiān)測計劃缺乏系統(tǒng)監(jiān)管機制，這將導致內部網(wǎng)絡的安全風險不容易被發(fā)現(xiàn)。

2.內部缺乏一個完善的補丁管理系統(tǒng)。目前，我單位內外網(wǎng)計算機分離，有搭建統(tǒng)一系統(tǒng)升級服務的服務器，導致許多計算機尤其是Windows系統(tǒng)計算機漏洞不能夠及時升級，導致存在各種類型的安全漏洞。

3.網(wǎng)絡安全管理制度不完善，使用人員安全意識不高。煙草內網(wǎng)是一個特殊的網(wǎng)絡，雖然已建立了相應的內部網(wǎng)絡安全管理制度，但是不完整或不全面的，缺乏明確的責任追究機制，不能有效地規(guī)范和約束有些員工使用行為。使用人員安全意識不高，隨意使用U盤，對于出現(xiàn)的安全威脅不知道。出現(xiàn)網(wǎng)絡安全問題，也沒有嚴厲的懲罰措施。

4.網(wǎng)絡安全管理員也存在職業(yè)素養(yǎng)欠缺。在思想意識中只要網(wǎng)絡不癱瘓，就不會有其他問題；在技術方面，由于管理員的工作較多，遇到嚴重問題的處理方式就只是重新安裝系統(tǒng)，并不去過多思考產生的原因，另外也沒有參加系統(tǒng)專業(yè)培訓；在處理網(wǎng)絡安全問題，依賴的網(wǎng)絡工具比較單一。

三、煙草內網(wǎng)安全建設的解決方案

1.建立多層次立體縱深病毒防護體系。當前計算機病毒形式和傳播途徑日趨多樣化，因此內網(wǎng)的防病毒工作已經不再是單純的某一臺計算機病毒的檢測和清除，必須建立一個多層次、立體的縱深病毒有效防護體系，并且還要建立和維護病毒防護策略。內部網(wǎng)絡病毒防護體系要對一般用戶的客戶端和服務器進行全面防護。服務器要關閉默認的共享、關閉多余端口、采用安全的Linux操作系統(tǒng)等。搭建統(tǒng)一管理的升級服務器，通過安裝網(wǎng)絡漏洞掃描系統(tǒng)，及時發(fā)現(xiàn)網(wǎng)絡漏洞，并在網(wǎng)絡攻擊者掃描和利用漏洞之前予以修補。

2.建立網(wǎng)絡安全管理制度。實現(xiàn)相對安全和健全的安全管理體系是網(wǎng)絡安全管理的重要保證，不但要注重技術手段，而且更要注重操作人員的職業(yè)操守，盡一切可能控制和減少違法違規(guī)行為，最大限度地減少不安全因素。

3.提高網(wǎng)絡管理人員素質，建立統(tǒng)一的網(wǎng)絡監(jiān)控。一方面為其提供專業(yè)的信息安全培訓；另一方面要給其壓力：出現(xiàn)大規(guī)模網(wǎng)絡事件，追究責任，要納入公司績效考核，督促其不斷提高個人能力。建立網(wǎng)絡監(jiān)控系統(tǒng)，能夠實現(xiàn)對內網(wǎng)監(jiān)控、終端管理（設備、外設、程序及上網(wǎng)行為的控制）、威脅預警、設備接入進行監(jiān)控，還可以阻止未經允許的外來移動設備接入，防止內網(wǎng)信息的泄露和外來病毒、木馬等惡意程序的入侵；同時實現(xiàn)對內網(wǎng)終端的紀錄和監(jiān)視，包括對程序、打印、即時通訊、文件、郵件等全方位的紀錄，實現(xiàn)事后查證。

公司網(wǎng)絡安全管理制度范文第4篇

關鍵詞：軍工企業(yè)；網(wǎng)絡信息；安全問題

中圖分類號：TP393.08 文獻標識碼：A文章編號：1007-9599 (2011) 08-0000-02

Military Enterprise Network Security Issues

Wang Huqiang,Wu Suqin,Gu Wenhui

(Luoyang Bearing Science&Technology Co.,Ltd.,Luoyang471039,China)

Abstract:The military enterprises in the national economy and play an important role,along with in-depth information technology,network information security issues are also increasingly prominent.This information from the affected area enterprise network security defense several major factors,discusses military enterprise network information security solutions.

Keywords:Military enterprises;Network information;Security issues

一、概述

軍工企業(yè)是國防科技工業(yè)的重要組成部分，是國家綜合實力的重要基礎。當前，不少軍工企業(yè)除了承擔著軍工科研任務和生產任務外，同時也是行業(yè)先進技術和生產力的代表，擔負著國民經濟建設的重大歷史使命。

在信息技術高度發(fā)展的今天，軍工企業(yè)的信息化建設也在積極科學的開展。網(wǎng)絡已經成為企業(yè)研發(fā)、生產、經營不可或缺的工具，是企業(yè)信息化建設的重要資產。網(wǎng)絡充分發(fā)揮了現(xiàn)代化工具的作用，為企業(yè)發(fā)展提供更加快捷和強大的支撐以提高整體的核心競爭力。

但是，隨著信息技術的迅猛發(fā)展，企業(yè)信息化水平的逐步提高，網(wǎng)絡信息的安全問題也日益突出。特別是通過網(wǎng)絡發(fā)生的一些失密、泄密事件，暴露出軍工企業(yè)科研生產過程中網(wǎng)絡信息安全方面存在的問題和隱患。加強軍工企業(yè)的網(wǎng)絡信息安全管理，關系到企業(yè)的利益，關系到國家的安全，還關系到包括企業(yè)員工在內的廣大人民群眾的根本利益。

二、影響軍工企業(yè)網(wǎng)絡信息安全的幾個主要因素

（一）管理因素

1.體制方面

軍工企業(yè)因保密工作的需要，大多成立了計算機安全保密領導小組，但往往只是為工作需要所設，未能發(fā)揮其真正的作用。目前大多數(shù)軍工企業(yè)信息部門的技術人員除了維護全企業(yè)的計算機和網(wǎng)絡之外，還負責企業(yè)信息化的推廣和實施工作，現(xiàn)在很多企業(yè)的信息部門還承擔著保密管理工作的重要任務，多數(shù)技術人員還兼顧著其他的業(yè)務，網(wǎng)絡信息安全管理實際很難到位。

2.制度方面

軍工企業(yè)一般都制定有嚴格的安全保密制度，但這些制度主要是針對網(wǎng)絡來制定的，對非網(wǎng)絡，往往是疏于管理。一方面非網(wǎng)絡的安全管理制度不完善，另一方面，即使制定了合理完善的安全管理制度，卻難以付諸實施。原因有二：其一為對安全制度的學習不夠全面，甚至很少安排學習；其二是執(zhí)行不力。例如，雖然要求所有的非計算機都要設置相應的口令和安裝殺毒軟件，但還是有計算機沒有設置任何密碼，沒有安裝殺毒軟件，一臺計算機上甚至能夠查殺到200多個木馬病毒。

（二）人員因素

網(wǎng)絡信息的安全工作未得到應有的重視，大家普遍認為只要硬件設備工作正常，數(shù)據(jù)完好無損，網(wǎng)絡正常工作就高枕無憂。甚至認為網(wǎng)絡安全僅是網(wǎng)絡管理員的職責，殊不知網(wǎng)絡安全需要全體人員的參與和積極配合，從根本上認識到網(wǎng)絡安全關乎每個人的切身利益。

另外，網(wǎng)絡安全管理技術人員的主要工作是軟硬件的維護，常常因為經費的問題或工作太忙走不開等原因而得不到系統(tǒng)、專業(yè)的培訓，尤其是在網(wǎng)絡知識日新月異的今天，網(wǎng)絡安全知識的積累往往跟不上業(yè)務發(fā)展的需要，嚴重制約了安全管理在網(wǎng)絡應用上的實施。

（三）技術因素

1.軟硬件漏洞

當前，軟硬件的漏洞無處不在。眾所周知，計算機網(wǎng)絡的主要軟硬件大多依賴進口。這些軟硬件都存在大量的安全漏洞，極易給病毒、隱蔽信道和可恢復密碼等開辟捷徑，極易為他人利用。每當發(fā)現(xiàn)新的漏洞，就會在短短的幾分鐘內傳遍整個網(wǎng)絡，攻擊者就可以利用這些漏洞對網(wǎng)絡進行攻擊，網(wǎng)絡信息處于被竊聽、監(jiān)視等多種安全威脅中，信息安全極度脆弱。

2.計算機病毒

互連互通的網(wǎng)絡給人們傳輸信息和共享信息帶來了極大的方便，但同時也給病毒的傳播大開方便之門。而且現(xiàn)在病毒的隱蔽性、傳染性、破壞性歷經演變之后都有了很大的提高，使網(wǎng)絡用戶防不慎防，給企業(yè)帶來巨大的損失。

3.黑客攻擊

境內外各種敵對勢力一直把我國軍工單位作為滲透、情報竊取的重點目標，無時不在對我進行情報竊密活動，黑客攻擊是常用手段之一。黑客利用企業(yè)網(wǎng)絡存在的一些安全漏洞，經過一些非法手段訪問企業(yè)內部網(wǎng)絡和數(shù)據(jù)資源，可以刪除、復制、修改甚至毀壞一些重要數(shù)據(jù)，從而給企業(yè)和個人用戶帶來意想不到的損失。

4.內外網(wǎng)隔離不力

大多數(shù)軍工企業(yè)既有網(wǎng)絡，也有非網(wǎng)絡，非網(wǎng)絡一般又有與互聯(lián)網(wǎng)隔離的運行辦公、管理信息系統(tǒng)的內部網(wǎng)絡（簡稱“內網(wǎng)”）和與互聯(lián)網(wǎng)聯(lián)通的外部網(wǎng)絡（簡稱“外網(wǎng)”）。網(wǎng)絡一般能夠做到與其他非網(wǎng)絡物理隔離，但非的內外網(wǎng)還是存在以下問題：

（1）非的內外部網(wǎng)絡隔離執(zhí)行不力，一機多用現(xiàn)象普遍。大部分軍工企業(yè)沒有做到非的內外部網(wǎng)絡的物理隔離，或邏輯隔離強度不夠；另外存在一機多用的情況，在內外網(wǎng)之間隨意轉換使用。致使病毒在多個網(wǎng)絡中流傳，存在一點突破全網(wǎng)盡失的現(xiàn)象。

（2）一些單位內部文件共享情況比較普遍，缺乏有效的授權訪問機制，對內不設防的情況比較多。

（3）移動存儲介質管理不嚴。對于一些物理隔離較好的內外部網(wǎng)絡，因移動存儲介質能夠在兩個網(wǎng)絡之間能交叉使用，致使病毒仍能在網(wǎng)絡之間流轉，甚至能通過接入互聯(lián)網(wǎng)的計算機把信息傳輸出去，致使內外網(wǎng)的隔離失去實際意義。

三、解決對策和措施

解決網(wǎng)絡信息安全的對策和措施的遵旨是技術與管理相結合：技術和管理不是相互孤立的。對于任何一個企業(yè)來說，網(wǎng)絡信息的安全不僅是技術方面的問題，更是管理的問題。

（一）制定完善的安全管理制度，擬定可行的培訓計劃

真正發(fā)揮計算機安全保密領導小組的職能作用，把非網(wǎng)絡的安全管理也作為工作的重點來抓，提高全體員工對網(wǎng)絡安全事故危害性的認識。制定完善的安全管理制度，精確到細節(jié)，從企業(yè)高管到部門負責人以及普通員工，確定每個用戶在網(wǎng)絡中扮演的角色和承擔的安全責任義務，職責分明。隨著計算機網(wǎng)絡延伸至企業(yè)業(yè)務的各個層面，僅靠信息中心的少數(shù)幾位技術人員已無法保證所有存在安全風險的業(yè)務系統(tǒng)的安全管理，所以應在各個部門配置兼職的安全管理人員來落實安全管理，對這些安全管理人員應每年都安排企業(yè)內外的安全管理工作的培訓，以便他們研究安全防范技術，分析本企業(yè)可能存在的安全風險和薄弱環(huán)節(jié)，并進行重點管理。企業(yè)應將網(wǎng)絡安全管理工作作為一項重要指標納入年度考核，營造“網(wǎng)絡安全，人人有責”的全體動員的氛圍。

同時應制定詳細的安全管理策略，并每年定時或不定時的對非網(wǎng)絡的服務器和計算機進行抽查，根據(jù)檢查結果，對不符合要求的要實事求是的下發(fā)整改通知，并在公司網(wǎng)絡安全管理會議上進行通報。

（二）安裝防火墻

防火墻是目前比較有效的阻止黑客入侵的技術防范措施之一，能夠有效地防止黑客隨意更改、移動、刪除網(wǎng)絡中的重要數(shù)據(jù)信息。但要安全管理人員時刻關注日志信息，并根據(jù)日志信息對防火墻的安全策略配置進行調整，適時的應對網(wǎng)絡環(huán)境的變化。

（三）統(tǒng)一對網(wǎng)絡安全進行掃描和補丁管理

在網(wǎng)絡環(huán)境中，病毒的傳播速度非?？?，僅依靠單機來防病毒已經很難阻止病毒在網(wǎng)絡中的擴散，所以應該配置一套適合局域網(wǎng)的全方位的防病毒產品。例如，可以以一臺服務器作為平臺，在此基礎之上配置有效的防病毒軟件，然后在規(guī)定的時間段對局域網(wǎng)的所有計算機進行安全掃描，發(fā)現(xiàn)漏洞統(tǒng)一進行安裝。這既減輕了安全管理人員的工作量，也保證了網(wǎng)絡中的單機不會因使用人員的麻痹大意和疏忽導致病毒反反復復發(fā)作而查殺不盡。

（四）劃分VLAN，嚴格做好內外網(wǎng)隔離

按照部門劃分為多個VLAN，部門內部也可以根據(jù)需要劃分VLAN，各VLAN之間不能互相訪問，嚴格做好內外網(wǎng)隔離，對實行物理隔離的要定期查看是否有效。各VLAN之間的資源訪問必須通過核心交換機訪問數(shù)據(jù)中心的數(shù)據(jù)服務器。數(shù)據(jù)服務器設置了防火墻，利用防火墻來實現(xiàn)對用戶的訪問控制。

（五）加強對員工上網(wǎng)行為的管控

軍工企業(yè)因其特殊性，對接入互聯(lián)網(wǎng)管理得非常嚴格。除了因工作需要必須上網(wǎng)且經層層審批之外，在技術上進行了相應的處理，用戶名、IP地址、MAC地址實行綁定，做到實名上網(wǎng)。

對員工上網(wǎng)行為的管控不僅僅局限于對某些軟件的限制和網(wǎng)絡行為的監(jiān)控，最主要的是監(jiān)控網(wǎng)絡上是否流轉了信息或一些敏感信息。所以，配置員工上網(wǎng)行為管控系統(tǒng)也非常重要，除了設置一些安全審計策略實現(xiàn)自動報警外，安全管理人員對日志的仔細篩查才能保證管控系統(tǒng)有效性，并根據(jù)日志記錄及時調整安全審計策略。同時，這些日志也是安全管理人員對網(wǎng)絡中的單機進行抽查的重要憑證和依據(jù)，以此為基礎，找出非網(wǎng)絡中可能存在的隱患，確保信息不在非網(wǎng)絡中傳輸、存儲和處理。

（六）加強對移動存儲設備的管理

網(wǎng)絡安全管理人員應準確掌握企業(yè)移動存儲設備的現(xiàn)有情況，建立臺帳，將移動存儲設備的序列號、責任人一一對應，盡可能的統(tǒng)一進行編號以便于管理。另外，可以在網(wǎng)絡中部署移動存儲設備的管理軟件，限制移動存儲設備的使用范圍，并可對移動存儲設備的存儲格式進行加密，使其無法在限定范圍外使用或讀取，從而確保網(wǎng)絡信息的安全。同時，可收集管理軟件中的日志信息，分析移動存儲設備管理存在的安全漏洞，及時調整安全策略配置。

四、結語

軍工企業(yè)的網(wǎng)絡信息安全建設是一項系統(tǒng)的、龐雜的、長期的工程。但我們也清醒的認識到，安全不是技術，而是技術與管理的結合，任何先進的安全技術都需要嚴謹?shù)墓芾碜鳛楹蠖埽駝t，只是一堆軟硬件的組合。我們必須從自身做起，堅持不懈，確保軍工企業(yè)的網(wǎng)絡信息安全。

參考文獻：

[1]徐明.網(wǎng)絡信息安全[M].西安:西安電子科技大學出版社,2006

[2]蔡立軍.計算機網(wǎng)絡安全技術[M].北京:中國水利水電出版社,2002

公司網(wǎng)絡安全管理制度范文第5篇

1、維護內容

日常運行維護管理的內容主要包括主機維護、存儲系統(tǒng)維護、系統(tǒng)軟件維護、安全系統(tǒng)維護、應用系統(tǒng)維護、軟件版本升級。

（1）主機維護

主要是對小型機、PC服務器進行日常維護。包括硬件外觀檢查，系統(tǒng)狀態(tài)指示燈檢查，清除灰塵等。

（2）存儲系統(tǒng)維護

主要是對數(shù)據(jù)備份設備進行維護。包括對雙機備份系統(tǒng)的日常檢查和維護、系統(tǒng)運行日志的監(jiān)控、服務器系統(tǒng)內存、CPU以及負載檢查、服務器系統(tǒng)空間檢查、綜合調整系統(tǒng)配置使系統(tǒng)性能最優(yōu)、按照備份管理辦法完成對操作系統(tǒng)、數(shù)據(jù)庫及應用系統(tǒng)的日常備份、完成諸如增加用戶、修改系統(tǒng)配置、提供系統(tǒng)咨詢、解決系統(tǒng)問題等。

（3）系統(tǒng)軟件維護

主要是對數(shù)據(jù)庫、中間件、操作系統(tǒng)等系統(tǒng)軟件的維護。對運行數(shù)據(jù)庫進行日常檢查、維護和操作、調整數(shù)據(jù)庫配置參數(shù)等。

（4）安全系統(tǒng)維護

主要是對主要對安全保障的平臺進行維護。包括安全系統(tǒng)狀態(tài)、關鍵安全功能測試和安全日志檢查、服務器系統(tǒng)安全檢查，檢查系統(tǒng)是否有可疑帳戶及工作組、系統(tǒng)安全掃描、漏洞掃描等。

（5）網(wǎng)絡維護

主要維護網(wǎng)絡設備、鏈路和相關軟件，保證網(wǎng)絡的正常運行。包括網(wǎng)絡系統(tǒng)狀態(tài)與聯(lián)通性檢測、Internet網(wǎng)絡聯(lián)通檢測等。

（6）應用系統(tǒng)維護

主要是對各個應用軟件、應用平臺進行維護。包括對應用程序執(zhí)行情況的監(jiān)控和維護，系統(tǒng)運行日志的監(jiān)控等。

（7）軟件版本升級

在需要軟件升級時，首先應從原廠商那里取得要更新的軟件在信息中心模擬環(huán)境下首先進行測試，確保正確；并由原廠商提供詳細的操作說明，說明可進行軟件升級的內容，軟件升級、遷移，在原廠商指導下進行；在必要的情況下，應由原廠商提供遠程或現(xiàn)場的指導、支持。

2、維護方式及人員安排

對以上內容的維護管理一般分為日常性維護、預防性維護與巡檢。

（1）日常性維護管理

維護管理人員應在工作日內每天對各項系統(tǒng)的工作情況按照維護內容進行嚴格檢查。查看各類設備是否清潔，如有粉塵要及時清除。查看各類設備工作是否正常，有無故障，有無隱患。一旦發(fā)現(xiàn)問題，應及時報告股室負責人，由股室負責人視問題性質和輕重程度組織安排人員處理解決，問題嚴重的需及時報告分管領導。

維護管理人員應對每天的檢查情況做好檢查記錄，發(fā)現(xiàn)問題的，還應詳細記錄問題描述、問題處理過程以及處理結果等。

日常維護管理人員由二名信息中心專職人員組成，其中一人負責主機維護、存儲系統(tǒng)維護和安全系統(tǒng)維護，另一人負責系統(tǒng)軟件維護、應用系統(tǒng)維護和軟件版本升級。

（2）預防性維護與巡檢

預防性維護主要是針對正常運行的設備、應用軟件、系統(tǒng)軟件等定期進行設備測試檢查，找出隱患，盡早排除。對于系統(tǒng)性能問題予以調整，并定期進行設備的清潔保養(yǎng)。主要工作方式為巡檢，由軟件集成商進行現(xiàn)場維護。一般情況下要求一個月一次的定期巡檢，如遇突況下，要求2小時之內到場。同時，要求做好維護與巡檢記錄。

二、安全防范管理制度

安全防范管理制度內容主要包括機房安全管理制度、網(wǎng)絡安全管理制度、設備安全管理制度、介質和資料安全管理制度、數(shù)據(jù)備份管理制度、用戶權限管理制度、人員安全管理制度、應急管理制度、工作人員安全教育制度。

1、機房安全管理制度

（1）信息中心配備機房安全人員，專門負責機房的防火、防盜，負責機房供電系統(tǒng)、空調系統(tǒng)、通風系統(tǒng)的安全和日常養(yǎng)護工作，定期檢查機房設施情況，做好安全記錄，并對機房全體工作人員經常進行防火、防盜、防爆、防破壞教育，提高安全意識。

（2）機房工作人員要進行必要的消防器具使用培訓，做到會使用滅火器具。

（3）嚴禁易燃、易爆、易腐蝕品進入機房。嚴禁將水灑落在機房設備和地板上。嚴禁踩踏機房電源插座或網(wǎng)線插座。未經許可,非機房工作人員嚴禁動用各種電源開關，嚴禁動用任何線路和設備。

（4）機房工作人員必須嚴格遵守各項操作規(guī)程。拆裝設備時，不準帶電作業(yè)；維修設備時，必須先切斷電源，再行維修；禁止使用汽油、酒精等易燃、易爆品清洗帶電設備。

（5）機房必須保持安靜、整潔，嚴禁喧嘩、會客、吸煙。機房內實際溫度應保持在20℃—25℃之間，相對濕度保持為45%—65%。所有進入機房人員必須換拖鞋。

（6）嚴格執(zhí)行機房值班制度,做好值班記錄。值班記錄應載明機房設備使用登記情況，凡機房的系統(tǒng)、設備及其圖紙、隨機資料等只限在機房內使用，未經批準不得帶離機房。

（7）嚴禁無關人員進入機房。機房禁止會客。對外來參觀單位，需由信息中心派專人陪同。

（8）機房內的網(wǎng)絡設備、計算機設備采用實時監(jiān)控、定期養(yǎng)護，確保設備始終處于良好的運行狀態(tài)。

（9）為保證系統(tǒng)安全,除網(wǎng)絡管理員外,任何人未經批準,不準對機房內網(wǎng)絡或計算機設備進行操作。

（10）機房值班員應認真負責，及時解決問題。當出現(xiàn)突發(fā)事故，機房報警時，值班員應立即報告，并采取緊急措施。

（11）嚴禁攜帶病毒盤和游戲進入機房，嚴禁在因特網(wǎng)上下載與工作無關的內容，以防系統(tǒng)被破壞。

（12）嚴格機房鑰匙管理。機房鑰匙不準轉借，若丟失應及時采取補救措施。

（13）每周由安全負責人對整個安全情況做一次徹底檢查，并作好安全檢查記錄。

（14）除工作需要,下班后,任何人不許在機房停留。

（15）嚴格遵守國家及各級有關安全與保密方面的法規(guī)和規(guī)章制度。

2、網(wǎng)絡安全管理制度

（1）部署防病毒軟件，通過服務器設置統(tǒng)一的防毒策略，獲取完整的病毒活動報表，實施集中的病毒碼和程序更新。

（2）部署防火墻，實時監(jiān)控網(wǎng)絡數(shù)據(jù)包的狀態(tài)，網(wǎng)絡上流量的動態(tài)變化，并對非法數(shù)據(jù)包進行阻斷，防范網(wǎng)絡上的攻擊行為。

（3）部署IDS設備，作為防火墻的合理補充，入侵檢測技術IDS可以識別黑客常用入侵與攻擊手段、監(jiān)控網(wǎng)絡異常通信、鑒別對系統(tǒng)漏洞及后門的利用、完善網(wǎng)絡安全管理，主動發(fā)現(xiàn)網(wǎng)絡的隱患，幫助防火墻對付網(wǎng)絡攻擊。

（4）部署漏洞掃描系統(tǒng)，通過對網(wǎng)絡中的工作站、服務器、數(shù)據(jù)庫等各種系統(tǒng)以及路由器、交換機、防火墻等網(wǎng)絡設備可能存在的安全漏洞進行逐項檢查，測試該系統(tǒng)上有沒有安全漏洞存在；系統(tǒng)管理員通過了解掃描出來的安全漏洞報告，及時修補漏洞，從根本上解決網(wǎng)絡安全問題，有效的阻止入侵事件的發(fā)生。

（5）部署物理隔離網(wǎng)閘，對來自可信網(wǎng)及不可信網(wǎng)的數(shù)據(jù)進行預處理及內容檢測、協(xié)議分析、訪問控制，安全決策、查病毒等一系列安全檢測，完全阻斷網(wǎng)絡間的TCP/IP連接，剝離通用協(xié)議，將數(shù)據(jù)通過專有數(shù)據(jù)格式由網(wǎng)絡的一端發(fā)送到另一端，同時集成多種安全技術對進出數(shù)據(jù)進行安全檢測，保證交換信息的安全，并完美的解決了網(wǎng)絡間邊界防護和安全信息交換的需求。

3、設備安全管理制度

（1）數(shù)據(jù)中心機房所有設備必需設立設備操作管理檔案,詳細記錄人員對設備操作情況，包括操作人員、操作開始時間、結束時間、操作命令等記錄。

（2）數(shù)據(jù)中心機房所有設備必需設立中心所有設備信息管理檔案，詳細記錄設備及軟件的名稱、型號、購買日期、保存場地、運行及維修情況等。

（3）如設備出現(xiàn)故障需要維修時，機房值班人員應該全程陪同指明須維修的設備，避免誤操作。中心設備如需運出中心機房進行維修，維修前業(yè)務軟件及數(shù)據(jù)要完全備份并徹底清理。

（4）定期清理數(shù)據(jù)中心設備外殼及工作臺，需保持設備所在場所干凈衛(wèi)生，嚴禁在設備周圍放置食物、易燃、易爆、易污染等物品。

（5）定期對主機設備進行殺毒、運行狀態(tài)檢查。

（6）嚴禁非專業(yè)維修人員拆卸數(shù)據(jù)中心相關設備，操作時應配帶防靜電手腕。

4、介質、資料安全管理制度

（1）介質、資料包括應用軟件、系統(tǒng)軟件或業(yè)務數(shù)據(jù)的光盤、磁盤、磁帶和硬盤以及所有設備的使用說明、維護手冊等。

（2）介質、資料入庫要登記造冊，介質的升級、報廢等，由專人負責保管，所有介質、資料應存放在專門的管理柜中。介質、資料的存放地點應通風良好，溫濕度適宜，對特殊要求的介質、資料應放置在規(guī)定要求的環(huán)境內。

（3）運行維護人員因檢修設備需要領取介質、資料時，必須先登記。使用歸還情況應及時做記錄。緊急情況下可口頭通知，但事后須及時補填登記。

（4）應定期檢查介質、資料的可用性，版本不是最新時應盡快通知設備廠商升級。

（5）淘汰、損廢的磁盤、磁帶等重要介質要經中心主任同意后集中銷毀。

5、數(shù)據(jù)備份管理制度

（1）定期、及時的對數(shù)據(jù)庫數(shù)據(jù)、日志等進行備份。數(shù)據(jù)備份實行日備、月備。

（3）制作備份的數(shù)據(jù)要確保系統(tǒng)一旦發(fā)生故障時能夠快速恢復，備份數(shù)據(jù)不得更改。

6、用戶權限管理制度

（1）用戶采用"分級授權，統(tǒng)一管理"方式，即操作員所能進行的業(yè)務操作要設定權限級別。

（2）權限級別由專人管理，信息中心由系統(tǒng)管理員管理，主要職責是負責各鎮(zhèn)（街道）用戶和各單位網(wǎng)管員操作帳戶管理，并嚴格按照各鎮(zhèn)（街道）以及各業(yè)務單位職責分配部門操作權限。

部門職責分配按照局相關部門規(guī)定執(zhí)行。若部門職責變動應及時通知信息中心，以便重新分配部門權限。

各單位應指派一名網(wǎng)管員，負責本單位內部操作用戶的管理，并根據(jù)本單位各業(yè)務人員的工作職責分配操作權限。

（3）用戶只能擁有自己業(yè)務范圍內的操作權限，系統(tǒng)管理人員以及各單位網(wǎng)管員不得隨意授予與其無關的操作權限；對于隨意授權造成的后果將追究相關人員的責任。

（4）賬號是計算機鑒定操作員合法身份的依據(jù)，凡用合法賬號登錄所進行的操作均視為賬號持有者所為。

（5）操作員本人應對密碼必須嚴格保密，不得外泄。若因密碼外泄造成損失的，將追究當事人責任。

（6）為防止弱口令，密碼應是字母、數(shù)字和特殊字符的組合，且不能小于6位。

（7）各單位，鎮(zhèn)（街道）由于人員離職、操作員用戶必須予以封存，不允許刪除。

7、人員安全管理制度

（1）安全管理員、系統(tǒng)管理人員等要重要崗位人員，上崗前要嚴格進行審查和業(yè)務技能考核，擇優(yōu)上崗。

（2）運行維護人員應熟悉系統(tǒng)設備的基本原理和結構，熟悉系統(tǒng)及運行方式，能熟練地進行正常操作，并能夠處理系統(tǒng)異常和故障。

（3）定期對各類計算機人員進行法制教育、安全意識教育和防范技能培訓。

（4）重要崗位人員調離時，嚴格按照規(guī)定辦理調離手續(xù)，各種資料的移交，系統(tǒng)密碼、操作員密碼的更換要在安全管理員監(jiān)督下完成，并辦理接交手續(xù)。

（5）調離人員離崗后，不得泄漏任何涉及安全保密的信息。

8、應急管理制度

災難應急處理流程是對因人為或自然災害造成的涉及全局的一時難以恢復的破壞性事件的處理流程。具體流程如下：

1）制定應急計劃

風險評估

關鍵業(yè)務影響分析；

關鍵業(yè)務持續(xù)運行計劃；

技術恢復流程制定等。

2）應急設備的維護

提供與設備系統(tǒng)及配置相匹配的備機；

7X24小時的監(jiān)控與維護

3）應急恢復流程培訓

對維護人員進行災難恢復流程培訓

使用災難發(fā)生后會涉及的所有設備

模仿真正災難發(fā)生后的設備配置和系統(tǒng)加載狀況

4）應急業(yè)務恢復

災難核實及業(yè)務恢復方案啟動；

備用設備在約定時間內到位；

供應商提供技術支持和指導；

故障設備的維修；

業(yè)務恢復后，恢復計劃的回顧和改進。

病毒應急處理流程

病毒應急處理包括在病毒爆發(fā)前的預防性處理和病毒爆發(fā)后的緊急處理流程。具體內容如下：

病毒處理流程建立

預防性病毒警告

應急病毒防范與處理機制

全網(wǎng)性升級與病毒查殺措施

危害降低機制

后續(xù)報告與補救措施

安全事件應急處理流程

安全事件應急處理流程包括：

安全應急流程建立

事件識別

縮小事件影響范圍

事件解決

后續(xù)報告與處理機制

補救措施

9、工作人員安全教育培訓制度

應根據(jù)上級規(guī)定的培訓制度和年度培訓計劃要求，將系統(tǒng)的學習納入培訓計劃并按期完成。

（1）規(guī)程學習，根據(jù)本單位實際安排有關規(guī)程的學習。

（2）現(xiàn)場培訓項目，按規(guī)定進行反事故演習。

通過培訓使維護人員達到以下標準：

1）熟悉系統(tǒng)設備的基本原理和結構，熟悉系統(tǒng)連接及運行方式。

2）能審核設備維修、檢測記錄，并能根據(jù)設備運行情況和巡視結果，分析設備健康狀況，掌握設備缺陷和薄弱環(huán)節(jié)，能對設備狀態(tài)做出基本評估。

3）熟悉運行規(guī)程內容，遇有設備變更時，能及時修訂和補充運行規(guī)程，保證運行操作、事故處理正確。

4）熟悉設備的操作要領和相應的操作程序。

5）能熟練、正確地進行事故處理。

10、安全保密管理辦法

（1）、遵守國家有關法律、法規(guī)，嚴格執(zhí)行中華人民共和國計算機信息網(wǎng)絡安全保密規(guī)定。

（2）不得泄漏有關市勞動保障信息系統(tǒng)的機密信息，數(shù)據(jù)以及文件等

（3）不得泄漏如帳號，密碼等信息。

（4）未經授權，任何人不得使用與自己操作權限無關的功能。

（5）不得干擾和妨礙他人的正常工作。

（6）各部門要配合信息中心進行必要的安全檢查。如有違反安全保密制度的情況，將視其情節(jié)輕重，根據(jù)信息中心管理規(guī)定，對當事人進行必要的處理。

（7）未經允許嚴禁擅自復制、下載、傳播市勞動保障信息系統(tǒng)數(shù)據(jù)。

（8）業(yè)務數(shù)據(jù)必須按規(guī)定進行日備、月備和年備，并妥善保存?zhèn)浞荼P。月終和年終盤備份兩份，一份異地(與中心機房不同建筑物)長期保存。非經領導允許，嚴禁攜帶數(shù)據(jù)盤外出。

三、應用程序及數(shù)據(jù)維護管理制度

1、市勞動保障信息系統(tǒng)需求提交及問題處理規(guī)范

所有涉及業(yè)務應用系統(tǒng)功能新增、減少、變更以及出現(xiàn)問題的處理均按下述步驟執(zhí)行。

第一步：需求變更和問題處理申請

各單位在應用軟件使用過程中，根據(jù)實際工作需要，提出系統(tǒng)功能新增、減少、變更以及發(fā)現(xiàn)問題需處理的，首先應由需求提交人（一般情況下為股室負責人）填寫《信息系統(tǒng)需求變更和問題處理提交表》（附件一），一表一需求，經單位負責人簽字后提交給信息中心指定人員。

各鎮(zhèn)（街道）在使用軟件過程中提出的新需求和問題處理，集中反映到歸口部門后，由該部門按上述過程統(tǒng)一提出申請。

第二步：現(xiàn)場解釋和交流

為保證信息中心人員和軟件開發(fā)人員對業(yè)務部門提出的需求和問題有一個正確的理解，需求提出人提交申請后，信息中心指定人員應積極引導其與軟件開發(fā)人員進行現(xiàn)場交流，對需求和問題進行詳盡的解釋，并積極參與。

第三步，需求變更、問題處理的評估、實施和意見反饋

分現(xiàn)場即時處理和限時處理：

1、現(xiàn)場即時處理：經現(xiàn)場解釋交流后，信息中心人員和軟件開發(fā)商要共同對需求變更做綜合性和可行性評估，在對現(xiàn)有系統(tǒng)和數(shù)據(jù)沒有較大影響或者改變、不涉及其他業(yè)務部門業(yè)務、技術可行的條件下，各單位的需求變更和問題處理申請經信息中心軟件技術人員和開發(fā)公司項目經理在簽署接收同意意見后實施。并將同意實施意見當場反饋給需求提交人，由需求提交人簽字確認已接收到反饋意見。

2、限時處理：若信息中心技術人員和軟件開發(fā)商中有一方認為提交的需求變更涉及到原有系統(tǒng)和數(shù)據(jù)的重大改變，不適宜實施變更的，或技術不可行的情況下，需簽署接收意見，說明暫不能接收原由后，由信息中心負責組織相關人員開展進一步的評估后確認實施與否。事情重大的，報分管局長同意后實施。并在需求提出日期后二個工作日內將處理意見反饋給需求提交人，由需求提交人簽字確認已接收到反饋意見。

需求若涉及其他部門業(yè)務的，需業(yè)務雙方單位負責人簽字同意后提交申請；涉及政策調整變更的，需相應行政科室負責人簽字同意后提交申請。

若經現(xiàn)場解釋交流后，需求提交人認為需求申請需要有所調整或變更的，需重新按申請程序提交申請。

第四步，處理結果反饋

1、信息中心和開發(fā)商應盡量滿足業(yè)務部門的信息需求，并在計劃完成日內對系統(tǒng)程序作出相應調整，并使程序達到最大優(yōu)化。

業(yè)務部門有需求調整的，要盡早向信息中心提出，以保證信息中心有充裕的時間完成程序調整。一般的簡單需求在信息中心接收后2至3個工作日內完成，稍復雜的在7至10個工作日內完成，涉及到政策變更以及程序調整較大的視具體情況而定。

2、需求變更和問題處理完畢后，開發(fā)人員要及時告知信息中心指定人員，由該人員通知需求提交人進行程序的測試和使用，并簽字確認處理結果。需求提交人有責任對處理情況及時告知本部門簽字領導。

其他事項：

信息中心人員應認真做好各單位需求變更和問題處理登記記錄，并將妥善保管、存檔。

3、數(shù)據(jù)后臺修改管理辦法數(shù)據(jù)后臺修改程序規(guī)范

（1）嚴禁任何業(yè)務人員隨意地要求信息中心或開發(fā)人員進行數(shù)據(jù)后臺修改，也嚴禁信息中心和開發(fā)人員擅自對后臺數(shù)據(jù)進行處理，造成的后果將追究相關當事人的責任。

（2）在前臺業(yè)務辦理出現(xiàn)差錯時，應主動積極尋求在前臺修正解決的辦法。除以下三種特殊情況外，一般情況下不允許進行數(shù)據(jù)后臺修改。

（1）老系統(tǒng)遺留的數(shù)據(jù)問題；

（2）老系統(tǒng)數(shù)據(jù)經合并后出現(xiàn)部分信息不準確或缺失；

（3）前臺業(yè)務處理差錯，經業(yè)務部門、信息中心、開發(fā)商三方共同確認前臺操作無法補救或修正的。

（4）由于以上三種情況確需進行數(shù)據(jù)后臺修改的均需嚴格遵照以下流程進行操作:

第一步：申請

由申請部門填寫《數(shù)據(jù)后臺修改申請單》（附件二），將申請事項寫明原由以及修改要求由申請部門負責人簽署同意修改的意見后，將申請單遞交給信息中心。

各鎮(zhèn)（街道）若需申請數(shù)據(jù)后臺修改應先向業(yè)務單位提出，由業(yè)務部門按上述過程提出申請。

第二步：評估

遞交申請后，由信息中心指定人員和開發(fā)公司共同對其修改事項進行可行性評估，確實可行的確定修改方案，并需對該數(shù)據(jù)修改產生的后果進行全面細致的分析。

第三步：確認

開發(fā)公司和信息中心對后臺數(shù)據(jù)修改進行評估和風險分析后，根據(jù)評估和風險評估結果，簽署是否同意修改的意見，若不同意修改，需寫明原因。此意見需由開發(fā)公司項目經理和信息中心主任分別簽署，并需經申請部門負責人確認簽字。評估和確認過程信息中心應在申請部門提出申請之日起三個工作日之內完成。

第四步：實施

三方共同確認同意修改的進入實施階段，一般情況下由信息中心指定人員對數(shù)據(jù)實施后臺修改。修改人需嚴格根據(jù)已定的修改方案實施修改，堅決杜絕隨意修改的情況。修改時需由信息中心技術人在場監(jiān)督。

第五步：記錄和結果確認

所有涉及數(shù)據(jù)后臺修改的，應由修改人做好詳細的修改過程記錄并簽字，同時在登記表上做好登記。修改完成后修改結果交由申請部門負責人簽字確認。

3、數(shù)據(jù)定時檢查糾錯和質量控制制度

（1）對勞動保障信息系統(tǒng)內的所有業(yè)務存儲數(shù)據(jù)實行一個月一次的定期檢查。

（2）數(shù)據(jù)檢查內容包括是業(yè)務數(shù)據(jù)是否輸入錯誤（主要從邏輯關系上判斷）、業(yè)務辦理數(shù)據(jù)是否符合政策規(guī)定、系統(tǒng)參數(shù)設置是否正確、計算公式是否準確等。

（3）明確分工，落實責任，定時做好數(shù)據(jù)檢查糾錯工作。