科技中心-内部网络安全管理

作者:陈太闯 于 2020年07月09日 发布在分类/ 项目规范

一、员工须知

1、公司员工必须严格执行员工保密制度,对所提供的信息负责。不得利用公司网络从事危害公司安全、泄露公司数据信息等违规活动。

2、公司员工不得在公司网络上进行任何干扰网络用户、破坏公司内部网络服、网络设备的操作活动。活动主要包括在网络上发布不真实的信息、散布计算机病毒、严禁非法使用网络进入未经授权的业务服务器、以及不真实身份使用网络资源等。

3、公司员工必须接受并配合公司综合部门进行的监督检查。

二、管理规范

1、 员工正常浏览信息时,不要随便下载不知名网页的信息,特别是不要随便打开不明来历的邮件及附件,以免网上感染病毒和病毒入侵。

2、 邮件与网络系统都属于公司资产,严禁使用公司内部电子邮件发送恶意攻击软件。

3、 严禁公司员工沉迷于网络、占用网络带宽、影响他人正常办公;个人电脑应妥善保管个电脑避免感染病毒、导致网络中断无法正常运行,限制、阻断网络无法使用办公网络资源。

4、 安全保密

    4.1 未经授权人员,一律不得通过各种方式非法获取账户密码,不得非法操作入侵公司服务系统,不得以任意方式篡改系统服务数据。 

    4.2 非网络管理人员不得私自修改公司任何服务器系统的网络设备、安全设置等;造成严重后将按公司行政部门相关规定条令处理,情节严重将移交司法部门进行处理;

    4.3 为确保密码保密性,运维人员将定期更换密码和密码复杂度。

        如:已经授权使用安人员,如发现密码遗失或失窃,应速与网络管理员或者运维人员联系及时更换密码。

三、安全防范

1、严禁公司员工私自使个人账号/他人账号进行恶意攻击/扫描/纂改开发、测试及生产环境。

    (如:弱口令扫描、非法渗透、扫描器/爬虫、Webshell后门、SQL注入、POST请求XSS命令/代码、特殊/其他攻击、文件包含/注入、XSS跨站工具等等)

2、发现以上违规操作者(包括未经授权的渗透者安全人员)将进行法律追究或情节严重将直接交由司法机关处理,同时也将直接追究直属负责人并上报行政部门、人力资源部门。

3、将定期安排特定人员对生产/开发/测试进行安全漏洞扫描包含:Web服务、应用服务、中间件/缓存服务器以及数据库漏洞扫描和安全检测。

4、授权安全人员针对扫描出的漏洞将上报小分队负责人研发人员有责任进行漏洞/代码及时更新修复(补丁)

四、安全检测

安全人员/运维人员将定期使用漏洞工具进行扫描监测Nessus、awvs、Nmap 进行安全漏洞扫描排查

  • 漏洞扫描工具 Nessus

  • 网络漏洞扫描工具 AWVS

  • 网络安全审计工具Nmap

五、安全级别定义:

安全级别:

  • 安全等级一:保密数据资料

      (泄露的公司机密信息数据等)

  •  安全等级二:生产数据资料

      (泄露的公司生产数据)

  •  安全等级三:其他

      (其他数据)

、事故分析收集与定责:

1、事故原因分析?  

  • 人为原因:人为因素意外泄露账号密码

  • 程序BUG:代码逻辑问题或者服务未进行漏洞补丁修复

  • 其他

2、事故等级划分?  

  (主要依据为:对线上业务稳定性的影响多大)

  • 事故定级,由运维团和技术负责人共同确定

  • 事故等级划分标准:根据应用等级和应用中断时长定级

事故级别划分表:

服务级别P4(一般事故)P3(严重事故)P2(重大事故)P1(特大事故)
一级应用1-3分钟3-10分钟10-30分钟30分钟以上
二级应用5-10分钟10-30分钟30-60分钟60分钟以上
三级应用10-30分钟30-60分钟60分钟以上不适用

应用级别划分表:

划分逻辑应用级别包含应用
基础服务一级应用主数据,用户中心,订单号服务,系统管理
业务系统二级应用仓储管理(wms),商超,BBC,NCRM,企业购,供应商协同,综合结算,成本核算,运费管理,财务中心,工厂,供应链(SCM),销售对账(SSS)
支撑系统三级应用报表系统,数据中心,报价,供应商协同

3、责任人评定?     

  • 第一责任人(小分队leader)

  • 第二责任人(由小分队leader根据实际情况定责)


分享到朋友圈 分享到微信
发表评论
验证码