RM新时代官方网站

企業(yè)網絡安全管理制度(企業(yè)網絡安全管理制度與操作規(guī)范)

目錄

1. 前言

2. 網絡安全管理制度

2.1 網絡安全架構規(guī)定

2.2 網絡安全訪問控制管理

2.3 網絡設備安全管理

2.4 網絡設備管理人員規(guī)范

1. 前言

本規(guī)范用于員工的生產系統(tǒng)和生產管理平臺的操作管理。

2. 網絡安全管理制度

2.1 網絡安全架構規(guī)定

公司網絡系統(tǒng)必須嚴格劃分內網和外網,中間使用多層防火墻進行隔離和安全訪問控制。

公司所有線上設備均實現熱備冗余,保證生產運營的安全可靠。

通過防火墻及其它網絡設備,可執(zhí)行802.1X認證來實現對邊界完整性檢查。

具有抗DOS攻擊以及主動防御功能,可實現對異常流量的監(jiān)控和對惡意攻擊的阻止。

所有可管理網絡設備均保存有完整可查的日志記錄,保證所有對網絡設備的操作都有據可查。

2.2 網絡安全訪問控制管理

2.2.1 內部網絡安全訪問控制

公司按照業(yè)務系統(tǒng)的安全級別,劃分不同的局域網區(qū)域,進行訪問控制。

處于同一局域網同一網段的內部設備可相互訪問,通過系統(tǒng)設備配置網卡地址直接進行訪問。

同一局域網的內部設備均通過特定的業(yè)務端口進行訪問。

不處于同一局域網的內部設備默認情況下,不能互相訪問,需通過防火墻進行地址轉換,并進行策略訪問配置后才能訪問。

不處于同一局域網的內部設備訪問,通過防火墻進行端口訪問控制,只開放必要的業(yè)務訪問端口。

2.2.2 外部網絡安全訪問控制

所有的內部系統(tǒng),除了公司網站以外,其它系統(tǒng)默認情況不能被外部系統(tǒng)訪問,也不能訪問外部系統(tǒng)。

通過專線連接的外部系統(tǒng),需訪問內部系統(tǒng)時,內部系統(tǒng)通過內部防火墻進行策略地址轉換后,進行策略訪問配置,并添加網絡路由和主機路由才能訪問。

通過專線連接的外部系統(tǒng),訪問內部系統(tǒng)時,通過內部防火墻進行端口訪問控制,只開放必要的業(yè)務訪問端口。在系統(tǒng)調試和故障處理時,臨時開放進行網絡測試ICMP等協議的相關端口,處理完成后,關閉相應的端口。

通過互聯網連接的外部系統(tǒng),不能訪問內部核心系統(tǒng),只能訪問開放互聯網業(yè)務的互聯網區(qū)域的內部系統(tǒng),內部系統(tǒng)需通過防火墻進行地址轉換,并添加策略訪問配置后才能訪問。

通過互聯網連接的外部系統(tǒng),訪問內部系統(tǒng)時,通過防火墻進行端口訪問控制,只開放必要的業(yè)務訪問端口。在系統(tǒng)調試和故障處理時,臨時開放進行網絡測試的ICMP等協議的相關端口,處理完成后,關閉相應的端口。

對于所有能基于證書認證的網絡管理訪問都采用基于證書的認證,對于基于WEB方式的管理采用基于SSL加密認證的訪問,杜絕用戶帳戶和口令被非法竊聽。

對于基于遠程撥號的訪問,在前置接入主機上進行嚴格的口令安全檢查,防止惡意用戶反復嘗試猜測口令,對于帳號和口令的發(fā)放均需通過專人統(tǒng)一授權發(fā)放,同時在防火墻上對撥號進入的用戶設置嚴格的訪問控制規(guī)則,杜絕因帳號泄露而導致的網絡攻擊行為。

2.3 網絡設備安全管理

2.3.1 設備口令管理

對于設備系統(tǒng)運行的各級管理口令,由網絡經理和網絡工程師統(tǒng)一管理。其它的運維人員,只設定查看權限。

定期修改口令??诹畹脑O置符合保密要求,均采用字母、數字和特殊符號組合而成,防止非法入侵者的猜測成功,而造成的系統(tǒng)故障發(fā)生。

維護人員發(fā)生變化,由網絡經理或網絡工程師立即修改密碼。

對于無效用戶及時刪除。

2.3.2 設備日志管理

所有可管理網絡設備均保存有完整可查的日志記錄,保證所有對網絡設備的操作都有據可查,專人對日志進行定期審查。

根據網絡設備位置設置網絡設備日志級別,設置日志服務器,保證所有告警錯誤信息及時傳送至日志服務器,定期進行備份。

必須嚴格控制設備日志的訪問權限,除網絡管理員和專用賬號之外,不得賦予其他用戶訪問通信日志的權限。

確因業(yè)務需要從生產環(huán)境中獲取日志的,必須辦理審批手續(xù),在生產環(huán)境現場的專有指定環(huán)境使用日志。所有日志不得帶離現場。確因業(yè)務需要將賬戶信息帶離現場的,執(zhí)行嚴格的審批、使用、銷毀流程。

2.3.3 設備登錄管理

一般情況下,只允許網絡經理和網絡工程師直接登錄網絡設備進行維護操作。

其它運維人員,只能登錄網絡設備進行配置查看。

在網絡經理和網絡工程師進行配置更改前,需將設備原有配置保存至FTP服務器上,配置完成后,再將現有配置保存至FTP服務器,所有的配置文檔永久保留。遠程登錄網絡設備進行維護操作。

2.3.4 網絡設備系統(tǒng)升級

網絡設備現有系統(tǒng)軟件版本存在安全漏洞,或者所配置模塊無法再現有版本下正常工作,需對網絡設備進行系統(tǒng)升級處理。

在對網絡設備系統(tǒng)軟件升級前,網絡經理和網絡工程師提出詳細的升級目標、內容、方式、步驟和應急操作方案報上級主管部門審核批準。

在進行網絡設備系統(tǒng)軟件升級操作前,將網絡設備現有系統(tǒng)和配置文件保存至FTP服務器,升級后,進行網絡測試,確保設備正常后,將網絡設備升級后的系統(tǒng)和配置文件保存至FTP服務器。

網絡設備升級的詳細的操作過程及方案部門留底保存。

2.3.5 網絡設備日常維護

實時監(jiān)控網絡設備運行狀況,建立日志服務器。

定期對系統(tǒng)數據進行備份

定期查看系統(tǒng)的安全管理軟件及系統(tǒng)日志,在發(fā)現系統(tǒng)遭到非法攻擊或非法攻擊嘗試時,應利用系統(tǒng)提供的功能進行自我保護,并對非法攻擊進行定位、跟蹤和發(fā)出警告,同時向上級主管部門匯報。如有疑難問題請相關負責系統(tǒng)安全的人員協助解決。

維護過程中發(fā)現的不正常情況應及時處理和詳細記錄,處理不了的問題,應立即向主管人員報告。

2.4 網絡設備管理人員規(guī)范

2.4.1 網絡設備管理人員

目前公司設有網絡經理和網絡工程師2個職位,共同進行網絡設備維護和安全管理。

網絡經理全面負責網絡設備的維護及安全管理,定期對網絡架構、網絡整體運行情況進行分析,及時了解公司業(yè)務對網絡的需求,提出網絡擴容和整改方案。

網絡工程師全部負責網絡設備的維護操作和故障處理,搭建網絡監(jiān)控系統(tǒng),實時監(jiān)控網絡設備運行狀況,及時處理網絡故障。

2.4.2 網絡安全培訓管理

定期組織運維人員學習網絡安全管理知識,提高運維人員的維護網絡安全的警惕性和自覺性。

負責對本公司員工進行安全教育和培訓,使用戶自覺遵守和維護《計算機信息網絡國際互聯網安全保護管理辦法》,使他們具備基本的網絡安全知識。

版權聲明:本文內容由互聯網用戶自發(fā)貢獻,該文觀點僅代表作者本人。本站僅提供信息存儲空間服務,不擁有所有權,不承擔相關法律責任。如發(fā)現本站有涉嫌抄襲侵權/違法違規(guī)的內容, 請發(fā)送郵件至 舉報,一經查實,本站將立刻刪除。

(1)
上一篇 2024年1月21日 上午11:05
下一篇 2024年1月22日 上午8:57

相關推薦

RM新时代官方网站