目录
1. 概述
1.1 编写目的
2. 网络安全管理制度
2.1 网络安全架构规定
2.2 网络安全访问控制管理
2.3 网络设备安全管理
2.4 网络设备管理人员规范
1. 概述
1.1 编写目的
本规范用于员工的生产系统和生产管理平台的操作管理。
本规范自发布之日起实行。
2. 网络安全管理制度
2.1 网络安全架构规定
l 公司网络系统必须严格划分内网和外网,中间使用多层防火墙进行隔离和安全访问控制。
l 公司所有线上设备均实现热备冗余,保证生产运营的安全可靠。
l 通过防火墙及其它网络设备,可执行802.1X认证来实现对边界完整性检查。
l 具有抗DOS攻击以及主动防御功能,可实现对异常流量的监控和对恶意攻击的阻止。
l 所有可管理网络设备均保存有完整可查的日志记录,保证所有对网络设备的操作都有据可查。
2.2 网络安全访问控制管理
2.2.1 内部网络安全访问控制
l 公司按照业务系统的安全级别,划分不同的局域网区域,进行访问控制。
l 处于同一局域网同一网段的内部设备可相互访问,通过系统设备配置网卡地址直接进行访问。
l 同一局域网的内部设备均通过特定的业务端口进行访问。
l 不处于同一局域网的内部设备默认情况下,不能互相访问,需通过防火墙进行地址转换,并进行策略访问配置后才能访问。
l 不处于同一局域网的内部设备访问,通过防火墙进行端口访问控制,只开放必要的业务访问端口。
2.2.2 外部网络安全访问控制
l 所有的内部系统,除了公司网站以外,其它系统默认情况不能被外部系统访问,也不能访问外部系统。
l 通过专线连接的外部系统,需访问内部系统时,内部系统通过内部防火墙进行策略地址转换后,进行策略访问配置,并添加网络路由和主机路由才能访问。
l 通过专线连接的外部系统,访问内部系统时,通过内部防火墙进行端口访问控制,只开放必要的业务访问端口。在系统调试和故障处理时,临时开放进行网络测试的ICMP等协议的相关端口,处理完成后,关闭相应的端口。
l 通过互联网连接的外部系统,不能访问内部核心系统,只能访问开放互联网业务的互联网区域的内部系统,内部系统需通过防火墙进行地址转换,并添加策略访问配置后才能访问。
l 通过互联网连接的外部系统,访问内部系统时,通过防火墙进行端口访问控制,只开放必要的业务访问端口。在系统调试和故障处理时,临时开放进行网络测试的ICMP等协议的相关端口,处理完成后,关闭相应的端口。
l 对于所有能基于证书认证的网络管理访问都采用基于证书的认证,对于基于WEB方式的管理采用基于SSL加密认证的访问,杜绝用户帐户和口令被非法窃听。
l 对于基于远程拨号的访问,在前置接入主机上进行严格的口令安全检查,防止恶意用户反复尝试猜测口令,对于帐号和口令的发放均需通过专人统一授权发放,同时在防火墙上对拨号进入的用户设置严格的访问控制规则,杜绝因帐号泄露而导致的网络攻击行为。
2.3 网络设备安全管理
2.3.1 设备口令管理
l 对于设备系统运行的各级管理口令,由网络经理和网络工程师统一管理。其它的运维人员,只设定查看权限。
l 定期修改口令。口令的设置符合保密要求,均采用字母、数字和特殊符号组合而成,防止非法入侵者的猜测成功,而造成的系统故障发生。
l 维护人员发生变化,由网络经理或网络工程师立即修改密码。
l 对于无效用户及时删除。
2.3.2 设备日志管理
l 所有可管理网络设备均保存有完整可查的日志记录,保证所有对网络设备的操作都有据可查,专人对日志进行定期审查。
l 根据网络设备位置设置网络设备日志级别,设置日志服务器,保证所有告警错误信息及时传送至日志服务器,定期进行备份。
l 必须严格控制设备日志的访问权限,除网络管理员和专用账号之外,不得赋予其他用户访问通信日志的权限。
l 确因业务需要从生产环境中获取日志的,必须办理审批手续,在生产环境现场的专有指定环境使用日志。所有日志不得带离现场。确因业务需要将账户信息带离现场的,执行严格的审批、使用、销毁流程。
2.3.3 设备登录管理
l 一般情况下,只允许网络经理和网络工程师直接登录网络设备进行维护操作。
l 其它运维人员,只能登录网络设备进行配置查看。
l 在网络经理和网络工程师进行配置更改前,需将设备原有配置保存至FTP服务器上,配置完成后,再将现有配置保存至FTP服务器,所有的配置文档永久保留。远程登录网络设备进行维护操作。
2.3.4 网络设备系统升级
l 网络设备现有系统软件版本存在安全漏洞,或者所配置模块无法再现有版本下正常工作,需对网络设备进行系统升级处理。
l 在对网络设备系统软件升级前,网络经理和网络工程师提出详细的升级目标、内容、方式、步骤和应急操作方案报上级主管部门审核批准。
l 在进行网络设备系统软件升级操作前,将网络设备现有系统和配置文件保存至FTP服务器,升级后,进行网络测试,确保设备正常后,将网络设备升级后的系统和配置文件保存至FTP服务器。
l 网络设备升级的详细的操作过程及方案部门留底保存。
2.3.5 网络设备日常维护
l 实时监控网络设备运行状况,建立日志服务器。
l 日志至少保存半年以上,采用循环覆盖方式。
l 定期对系统数据进行备份。
l 定期查看系统的安全管理软件及系统日志,在发现系统遭到非法攻击或非法攻击尝试时,应利用系统提供的功能进行自我保护,并对非法攻击进行定位、跟踪和发出警告,同时向上级主管部门汇报。如有疑难问题请相关负责系统安全的人员协助解决。
l 维护过程中发现的不正常情况应及时处理和详细记录,处理不了的问题,应立即向主管人员报告。
2.4 网络设备管理人员规范
2.4.1 网络设备管理人员
l 目前公司设有网络经理和网络工程师2个职位,共同进行网络设备维护和安全管理。
l 网络经理全面负责网络设备的维护及安全管理,定期对网络架构、网络整体运行情况进行分析,及时了解公司业务对网络的需求,提出网络扩容和整改方案。
l 网络工程师全部负责网络设备的维护操作和故障处理,搭建网络监控系统,实时监控网络设备运行状况,及时处理网络故障。
2.4.2 网络安全培训管理
l 定期组织运维人员学习网络安全管理知识,提高运维人员的维护网络安全的警惕性和自觉性。
负责对本公司员工进行安全教育和培训,使用户自觉遵守和维护《计算机信息网络国际互联网安全保护管理办法》,使他们具备基本的网络安全知识。
暂无评论内容