XX大學信息化建設與管理處

　　第一部分 網絡與信息安全規章制度

　　XX大學網絡設備日常維護制度

　　第一章 總則

　　第一條 制度目標：建立網絡設備的安全管理規定，并以此規定為指導，審視XX大學網絡生產環境的網絡設備的安全性，降低網絡系統存在的安全風險，確保網絡系統安全可靠地運行。

　　第二條 適用范圍：本制度適用于XX大學網絡安全網絡環境運行的網絡設備(路由器、交換機等)。

　　第二章 原則

　　第三條 網絡設備的登錄口令必須足夠強壯難以被破譯。

　　第四條 網絡設備的當前配置文件必須在主機上有備份文件。

　　第五條 網絡設備的拓撲結構、IP地址等信息在一定范圍內保密。

　　第六條 每季度檢查網絡設備的日志，及時發現攻擊行為。

　　第七條 網絡設備的軟件版本應該統一升級到較新版本。

　　第八條 網絡設備的遠程登錄操作應限制在指定網段范圍內。

　　第九條 網絡設備的MIB庫設置讀/寫密碼且訪問限定在指定網段范圍內。

　　第十條 網絡設備的安裝、配置、變更、撤銷等操作必須嚴格走流程。

　　第三章 安全管理規定

　　第十一條 要求對網絡設備的登錄采用分級用戶的保護機制，不同的個人用戶必須采用不同的用戶名和口令登錄，并且擁有不同的權限級別。不同用戶的登錄操作在設備日志文件上均有記錄，便于追查問題。

　　第十二條 網絡設備的直接責任人擁有超級用戶權限，其他網絡管理員按照工作需求擁有相應的用戶權限.網絡管理員不得私開用戶權限給其他人員。

　　第十三條 用戶的口令尤其是超級用戶的口令必須足夠強壯難以被破譯，這是保證設備安全性的基本條件?？诹畹脑O置應該滿足規定的標準：

　　第十四條 口令長度不得少于8位，必須同時包含字母和數字;

　　第十五條 口令中不要使用常用單詞、英文簡稱、個人信息等;

　　第十六條 不要將口令寫在紙上或存在電腦上;

　　第十七條 至少每季度要改變一次口令;

　　第十八條 在配置文件中對口令進行隱藏設置;

　　第十九條 選擇口令盡可能做到自己好記別人難猜。

　　第二十條 配置文件存儲著網絡設備的所有配置信息。網絡設備中的運行配置文件和啟動配置文件應該隨時保持一致。

　　第二十一條 通過TFTP或FTP的方式可以將設備的配置文件下載到本地主機上作備份文件以防不測，在設備配置文件損壞時可再通過TFTP或FTP的方式從本地主機上載到設備的FLASH中恢復備份的配置文件。

　　第二十二條 在配置文件中加入適當的注釋語句，便于其他人的理解。

　　第二十三條 網絡設備的拓撲結構、IP地址等信息文檔屬于部門的機密信息，應該在一定范圍內予以保密。

　　第二十四條 網絡設備通?？梢栽O置日志功能，日志可以直接登錄到設備上查看，也可以設置將日志發送到某臺指定的UNIX主機上查看。日志中具體包含的內容可以在命令行配置方式下設定。

　　第二十五條 在日志文件中可以查看到曾經登錄過該設備的用戶名、時間和所作的命令操作等詳細信息，為發現潛在攻擊者的不良行為提供有力依據。

　　第二十六條 網絡管理員必須每季度查看所管設備的日志文件，發現異常情況要及時處理和報告上級主管領導，盡早消除信息安全隱患。

　　第二十七條 網絡設備的軟件版本(IOS或VRP等)較低可能會帶來安全性和穩定性方面的隱患，因此要求在設備的FLASH容量的情況下統一升級到較新的版本。必要情況下可升級設備的FLASH容量。

　　第二十八條 網絡設備一般都具有允許遠程登錄的功能，遠程登錄給網絡管理員帶來很多方便，但同時也帶來一定的網絡安全隱患。

　　第二十九條 通常在網絡設備上可以設置相應的ACL限定可遠程登錄的主機在指定網段范圍內，拒絕部分潛在的攻擊者，保證網絡安全。

　　第三十條 網絡設備一般采用SNMP協議提供網絡管理功能，MIB庫中包含了網絡管理相關的所有信息。

　　第三十一條 MIB庫的讀/寫密碼必須設定為非缺省值，防止其中的信息被潛在攻擊者獲取，威脅網絡安全。同時，允許對MIB庫進行讀/寫操作的主機也可通過ACL設置限定在指定網段范圍內。

　　第三十二條 網絡設備的安裝、配置、變更、撤銷等操作必須嚴格走相應的流程進行不能由網絡管理員獨自進行，以使生產環境的網絡設備隨時處于可控狀態。

　　第三十三條 對網絡設備的變更全過程進行嚴密的控制，在流程中明確規定對網絡設備執行一項變更操作必須經過相關的技術評審，有主管領導審批，具備變更操作指導書等條件后才能具體實施，變更實施完成后要進行測試，這樣才能將變更過程中可能帶來的風險減小到最低限度。

　　第三十四條 網絡安全管理員根據網絡安全的需要向安全管理機構提出網絡設備系統升級或者補丁程序安裝建議。

　　第三十五條 在安全管理機構同意網絡設備系統升級或者補丁程序安裝建議后，在安全管理員配合網絡管理員完成詳細的升級(修改)目標、內容 、方式、步驟和應急操作方案，報上級主管部門審核批準。

　　第三十六條 上級主管部門審核批準后進行網絡設備的系統升級或者補丁程序安裝，采用雙人操作，由安全管理員監督，網絡管理員進行實際操作，并在升級(修補)前后必須由網絡管理員完成相應的備份工作。

　　第三十七條 網絡管理員負責對網絡設備系統升級(修補)過程進行記錄備案。

　　第三十八條 在升級(修補)后由安全管理員對網絡設備進行安全掃描檢測。

　　第三十九條 啟用對遠程登錄用戶的IP地址校驗功能，保證用戶只能從特定的IP設備上遠程登錄路由器進行操作。

　　第四十條 啟用對遠程登錄用戶的IP地址校驗功能，保證用戶只能從特定的IP設備上遠程登錄交換機進行操作。

　　第四十一條 啟用對用戶口令的加密功能，使本地保存的用戶口令進行加密存放，防止用戶口令泄密。

　　第四十二條 對于使用SNMP進行網絡管理的路由器必須使用SNMP V2以上版本，并啟用MD5等校驗功能。

　　第四十三條 在每次配置等操作完成或者臨時離開配置終端時必須退出系統。

　　第四十四條 設置控制口和遠程登錄口的idle timeout時間，讓控制口或遠程登錄口在空閑一定時間后自動斷開。

　　第四十五條 一般情況下關閉路由器的Web配置服務，如果實在需要，應該臨時開放，并在做完配置后立刻關閉。

　　第四十六條 關閉路由器上不需要開放的服務，如Finger、NTP、Echo、Discard、Daytime、Chargen等。

　　第四十七條 在路由器上禁止IP的直接廣播。

　　第四十八條 在路由器上禁止IP源路由和ICMP重定向，保證網絡路徑的完整性。

　　第四十九條 在接入層路由器啟用對網絡邏輯錯誤數據包的過濾功能。

　　第五十條 在路由器上采用的路由協議如果具備對路由信息的認證，必須啟用該功能。

　　第五十一條 對于接入層交換機，應該采用VLAN技術進行安全的隔離控制，根據業務的需求將交換機的端口劃分為不同的VLAN。

　　第五十二條 在接入層交換機中，對于不需要用來進行第三層連接的端口，應該設置使其屬于相應的VLAN，必要時可以將所有尚未使用的空閑交換機端口設置為“Disable”，防止空閑的交換機端口被非法使用。

　　第五十三條 對于提供第三層交換的交換機，對于交換機中的路由模塊，必須參照第七條進行設置。

　　第五十四條 在防火墻控制準則的設置上應該采用“禁止除非被明確允許”的原則。

　　第五十五條 通過合理的配置使得撥號用戶首先必須通過防火墻系統的認證。

　　第五十六條 在業務、網絡或者系統發生變化時根據安全控制策略的變化對防火墻的安全控制準則重新進行設置，保證安全控制準則和網絡安全訪問控制策略保持一致。

　　第五十七條 對于提供遠程配置的防火墻，必須對配置終端的IP地址做限制。

　　第五十八條 開啟防火墻系統的日志功能。

　　第五十九條 對防火墻系統不同的管理員設置相應的賬號，并開啟防火墻系統對管理員操作的記錄和審計功能。

　　第六十條 如果防火墻系統提供了對邏輯錯誤數據包的過濾功能，必須開啟該功能，防止IP地址欺騙。

　　第六十一條 如果防火墻系統提供了入侵檢測功能，必須開啟該功能，并在發現網絡入侵時發出告警。

篇2：物業工程維護保養記錄工作制度

　　物業工程維護保養記錄工作制度

　　第一章　總則

　　第一條 目的

　　為了規范物業工程維護保養工作，確保設施設備安全、高效運行，延長使用壽命，特制定本制度。

　　第二條 范圍

　　本制度適用于本物業管理區域內所有設施設備的維護保養記錄管理。

　　第三條 原則

　　維護保養工作應遵循預防為主、定期檢查、及時維修的原則。

　　第二章　組織機構與職責

　　第四條 組織機構

　　設立專門的工程維護部門，負責設施設備的維護保養工作。

　　第五條 職責

　　1.工程維護部門負責制定維護保養計劃，組織實施日常維護保養工作。

　　2.物業經理負責監督維護保養工作的執行情況，確保工作質量。

　　第三章　維護保養計劃

　　第六條 制定計劃

　　工程維護部門應根據設施設備的使用情況和制造商的建議，制定年度、月度維護保養計劃。

　　第七條 計劃內容

　　維護保養計劃應包括但不限于以下內容：

　　1.設施設備的檢查周期和方法

　　2.清潔、潤滑、調整等常規保養措施

　　3.零部件更換和大修的計劃安排

　　第四章　維護保養記錄

　　第八條 記錄要求

　　所有維護保養活動必須有詳細的記錄，記錄應包括以下信息：

　　1.設施設備名稱、型號、規格

　　2.維護保養日期和時間

　　3.維護保養內容和方法

　　4.維護保養人員姓名

　　5.發現的問題及處理結果

　　6.監督人員確認

　　第九條 記錄管理

　　1.維護保養記錄應由專人負責管理，確保記錄的完整性和準確性。

　　2.記錄應定期歸檔，便于查詢和分析。

　　第五章　監督檢查

　　第十條 定期檢查

　　物業經理或指定人員應定期對維護保養記錄進行檢查，確保維護保養工作按計劃執行。

　　第十一條 問題處理

　　對于檢查中發現的問題，應及時通知相關部門和人員進行整改，并跟蹤整改結果。

　　第六章　附則

　　第十二條 制度修訂

　　本制度由物業經理負責解釋，根據實際情況和需要進行修訂。

　　第十三條 生效時間

　　本制度自發布之日起生效。

篇3：大學網絡設備與系統配置及密碼管理制度

　　大學網絡設備與系統配置及密碼管理制度

　　第一章 總則

　　第1條 為保證XX大學網絡及系統的正常運行，特制定本規范，本規范適用XX大學網絡設備與系統管理人員。

　　第2條 網絡設備是指構建校園網的防火墻、存儲設備、交換機、路由器和服務器等連接到網絡中的關鍵設備。

　　第3條 系統是指校園網內各類應用系統及網站。

　　第4條 網絡設備及系統的配置必須由相關技術人員實施。

　　第二章 網絡設備與系統配置

　　第5條 主干網絡設備配置及各服務器配置實施至少需要2人進行，其中一人負責配置操作，另一人負責檢查、測試。

　　第6條 基礎服務器如：網站、郵件、域名解析，辦公系統等服務器，其中參數一旦設定不得隨意修改，非特殊情況，不得隨意關閉系統服務。

　　第7條 網絡設備正常運行后，不得隨意修改配置。

　　第8條 設備配置需要更改的，必須提交更改說明和更改方案，經研究確認后由部門負責人簽字方可實施。原配置文件必須備份，無配置文件的進行截圖，保證歷史配置可追溯。

　　第9條 每次更改配置、策略后，需要備份的及時更新備份文件，保證當前備份為最新數據。

　　第10條 設備配置做出重大更改的，需將最新配置文件的電子版或者紙質版本，交由學院、部門領導保存。配置文件的電子版或者紙質版本每半年重新提交一次給學院、部門領導。

　　第三章 密碼管理制度

　　第11條 密級界定。依照數據的重要程度和設備的作用，把全部密碼分成三級，一級最高，三級最低。核心交換設備密碼、匯聚交換設備密碼、接入交換設備密碼、防火墻密碼、審計設備密碼、存儲設備密碼、各類服務器超級用戶密碼、郵件系統管理密碼、辦公系統管理密碼、數據庫用戶密碼、數據庫管理員密碼為一級密碼;各應用系統登錄密碼，應用軟件登錄密碼、普通數據庫用戶密碼為二級密碼;應用軟件及系統中用戶的操作密碼為三級密碼。

　　第12條 所有賬戶必須設置密碼，不同的密級設備與系統，嚴禁設置同一密碼。

　　第13條 密碼設定由專人負責。重要網絡設備及系統的口令和密碼，由部門負責人和系統管理員商議確定，必須兩人同時在場設定。密碼設定嚴禁使用諸如名字、生日、電話等容易被人破解的字符串。密碼一旦設定或更換，要及時通知相關人員。

　　第14條 密碼更換周期。一級密碼三個月更換一次，二級密碼更換將帶來非常大的應用軟件維護工作量，可采用不定期更換或密碼泄露、丟失情況下立即更換，三級密碼根據具體情況，隨時更換。

　　第15條 密碼長度規定。所有的密碼長度不得低于八位，而且密碼要由數字、英文字母和符號組成，具備一定復雜度，避免弱口令。

　　第16條 工作人員通過密碼校驗后，不得隨意離開操作終端，必須要退出或鎖定當前賬號環境后，才能離開。

　　第17條 如發現密碼及口令有泄密跡象，系統管理員要立刻報告部門負責人，經批示后再更換密碼和口令。

　　第18條 如因安裝、調試網絡設備或軟件而需告知廠商技術人員賬號、密碼的，在安裝、調試完畢后，應及時刪除、停用或更改相關賬號或密碼。

　　第19條　重要設備密碼應有密碼本，密碼更改后，應填寫密碼本并交由部門負責人妥善保管。

　　第四章　附 則

　　第20條　本規定中的條款如與國家有關的法律、法規不一致的，以國家法律、法規為準。

　　第21條　本規定由現信中心負責解釋，并組織制定相關實施細則。

　　第22條　本規定自發布之日起執行。