第一百条 应使用安全稳定的DNS软件,并以最小权限运行DNS服务。
第一百零一条 DNS服务器应防止未授权的区传送。
第一百零二条 域名解析服务器对Internet用户不提供递归解析。
第四节 动态主机配置服务
第一百零三条 网络设备IP地址的分配可采用静态地址分配和动态地址分配两种方式。对于各类服务器和网络设备如文件服务器、打印服务器、路由器、网关或其它为客户计算机提供资源和服务的IP装置应采用静态地址分配方式;对于不管理网络资源的计算机,如桌面计算机,可采用静态地址分配方式,或采用DHCP服务器进行动态地址分配。
第一百零四条 如采用动态地址分配方式,必须制订严格的管理制度,禁止用户自行建立未经授权的DHCP服务器,禁止用户自行设置静态IP地址。
第五节 远程拨号访问服务
第一百零五条 用户申请拨号入网账户必须经过严格的审查,并须经有关部门批准。应实行用户备案制度。用户调离本单位后,应立即注销其账号。
第一百零六条 用户账户落实到个人,不使用公用账户,一人一账号,以便事故追查。账号只限本人(账号所有者)使用,并由账号所有者对该账号的安全负全部责任。对私自将账户转让他人使用的,一经发现,网络管理部门有权关闭其账号。
第一百零七条 远程拨号访问必须经过身份认证。
第一百零八条 对拨号访问服务器本身必须采取足够的安全防护措施,禁止远程配置,取消不必要的网络协议、服务与接口。
第一百零九条 拨号访问服务器必须能够设置访问控制规则,对远程用户、IP地址、传输协议、应用、访问时间等进行限制。
第一百一十条 拨号访问服务器必须具备完整的日志,并且及时进行安全审计。要记录用户访问信息,包括主叫号码、用户账号、上网时间、下网时间、访问时长等。
第一百一十一条 拨号访问服务器与企业网络之间必须具有一定强度的安全防护措施。
应用系统
第一节 应用系统的接入管理
第一百一十二条 各级网络运行管理部门对应用系统接入应制定严格的接入管理规范,对应用系统服务器的接入网络设备端口、服务器节点命名、IP地址分配、VLAN划分等有关运行配置参数进行严格管理。
第一百一十三条 对接入信息网络运行的应用系统,在系统投入运行前,应对系统运行的稳定性、安全性进行严格测试。包括检查应用系统自身是否存在安全漏洞和隐患,系统是否安装最新的补丁软件,是否已关闭所有不必要的服务端口,是否已关闭所有不必要的服务进程,是否已删除所有不必要的用户,各级用户口令是否足够强壮等。有条件的情况下,应使用相关工具软件进行安全检查,确认没有系统漏洞后方可正式上线运行。
第一百一十四条 对纳入网络运行管理部门集中管理的应用系统,在系统投入运行前,应用系统开发单位和运行管理部门应相互配合,确定与该应用系统相关的网络环境参数、故障处理流程、数据备份管理流程、系统故障应急预案等。应用系统开发单位应提供能满足日常运行管理需求的系统开发及运行维护文档和系统软件介质(系统软件应包括可供系统进行完全安装和恢复的完整系统软件介质盘,软件功能说明书,软件使用说明书,程序清单,数据结构清单等)。
第一百一十五条 对投入运行的应用系统,信息网络运行管理部门应建立运行台帐,明确系统维护专责,做好运行日志。
第一百一十六条 接入信息网络的各应用系统未采取有效防范手段并经网络管理部门同意,不得以专线、拨号等方式与系统外网络及国际互联网相连。
第二节 应用系统的变更
第一百一十七条 投入运行的应用系统服务器和终端上的软、硬件配置不得随意更改,严禁安装与本应用系统无关的应用程序和软件。应用系统的管理和维护人员应严格按照各自的权限和业务流程使用系统。未经网络管理部门同意,各单位应用系统服务器及工作站不得随意调整其网络连接。
第一百一十八条 进行应用系统的配置参数调整、系统软件重装、网络环境调整等系统变更,应有详细的操作方案,并经相关审批流程审批同意后方可实施。
第一百一十九条 用户账号建立、用户账号权限更改、用户节点增加等日常维护业务,应及时记录并定期整理归档。
第一百二十条 应用系统变更前后都应按相应的备份管理规定进行备份。
第三节 应用系统的故障处理
第一百二十一条 运行值班人员应及时发现系统故障。对简单故障可先处理后汇报,对较大故障要立即通知应用系统维护专责和运行部门负责人,并填写值班记录。
第一百二十二条 信息网络运行管理部门负责人在接到故障报告后,应立即组织相关工程师及时判断故障影响及故障发生的主要原因,提出解决方案,组织实施,对事后的故障分析及文档形成进行审核。
第一百二十三条 对于故障的分析、处理过程应有文档记录。
