目錄
1. 前言
2. 網絡安全管理制度
2.1 網絡安全架構規(guī)定
2.2 網絡安全訪問控制管理
2.3 網絡設備安全管理
2.4 網絡設備管理人員規(guī)范
1. 前言
本規(guī)范用于員工的生產系統(tǒng)和生產管理平臺的操作管理。
2. 網絡安全管理制度
2.1 網絡安全架構規(guī)定
公司網絡系統(tǒng)必須嚴格劃分內網和外網,中間使用多層防火墻進行隔離和安全訪問控制。
公司所有線上設備均實現熱備冗余,保證生產運營的安全可靠。
通過防火墻及其它網絡設備,可執(zhí)行802.1X認證來實現對邊界完整性檢查。
具有抗DOS攻擊以及主動防御功能,可實現對異常流量的監(jiān)控和對惡意攻擊的阻止。
所有可管理網絡設備均保存有完整可查的日志記錄,保證所有對網絡設備的操作都有據可查。
2.2 網絡安全訪問控制管理
2.2.1 內部網絡安全訪問控制
公司按照業(yè)務系統(tǒng)的安全級別,劃分不同的局域網區(qū)域,進行訪問控制。
處于同一局域網同一網段的內部設備可相互訪問,通過系統(tǒng)設備配置網卡地址直接進行訪問。
同一局域網的內部設備均通過特定的業(yè)務端口進行訪問。
不處于同一局域網的內部設備默認情況下,不能互相訪問,需通過防火墻進行地址轉換,并進行策略訪問配置后才能訪問。
不處于同一局域網的內部設備訪問,通過防火墻進行端口訪問控制,只開放必要的業(yè)務訪問端口。
2.2.2 外部網絡安全訪問控制
所有的內部系統(tǒng),除了公司網站以外,其它系統(tǒng)默認情況不能被外部系統(tǒng)訪問,也不能訪問外部系統(tǒng)。
通過專線連接的外部系統(tǒng),需訪問內部系統(tǒng)時,內部系統(tǒng)通過內部防火墻進行策略地址轉換后,進行策略訪問配置,并添加網絡路由和主機路由才能訪問。
通過專線連接的外部系統(tǒng),訪問內部系統(tǒng)時,通過內部防火墻進行端口訪問控制,只開放必要的業(yè)務訪問端口。在系統(tǒng)調試和故障處理時,臨時開放進行網絡測試的ICMP等協議的相關端口,處理完成后,關閉相應的端口。
通過互聯網連接的外部系統(tǒng),不能訪問內部核心系統(tǒng),只能訪問開放互聯網業(yè)務的互聯網區(qū)域的內部系統(tǒng),內部系統(tǒng)需通過防火墻進行地址轉換,并添加策略訪問配置后才能訪問。
通過互聯網連接的外部系統(tǒng),訪問內部系統(tǒng)時,通過防火墻進行端口訪問控制,只開放必要的業(yè)務訪問端口。在系統(tǒng)調試和故障處理時,臨時開放進行網絡測試的ICMP等協議的相關端口,處理完成后,關閉相應的端口。
對于所有能基于證書認證的網絡管理訪問都采用基于證書的認證,對于基于WEB方式的管理采用基于SSL加密認證的訪問,杜絕用戶帳戶和口令被非法竊聽。
對于基于遠程撥號的訪問,在前置接入主機上進行嚴格的口令安全檢查,防止惡意用戶反復嘗試猜測口令,對于帳號和口令的發(fā)放均需通過專人統(tǒng)一授權發(fā)放,同時在防火墻上對撥號進入的用戶設置嚴格的訪問控制規(guī)則,杜絕因帳號泄露而導致的網絡攻擊行為。
2.3 網絡設備安全管理
2.3.1 設備口令管理
對于設備系統(tǒng)運行的各級管理口令,由網絡經理和網絡工程師統(tǒng)一管理。其它的運維人員,只設定查看權限。
定期修改口令??诹畹脑O置符合保密要求,均采用字母、數字和特殊符號組合而成,防止非法入侵者的猜測成功,而造成的系統(tǒng)故障發(fā)生。
維護人員發(fā)生變化,由網絡經理或網絡工程師立即修改密碼。
對于無效用戶及時刪除。
2.3.2 設備日志管理
所有可管理網絡設備均保存有完整可查的日志記錄,保證所有對網絡設備的操作都有據可查,專人對日志進行定期審查。
根據網絡設備位置設置網絡設備日志級別,設置日志服務器,保證所有告警錯誤信息及時傳送至日志服務器,定期進行備份。
必須嚴格控制設備日志的訪問權限,除網絡管理員和專用賬號之外,不得賦予其他用戶訪問通信日志的權限。
確因業(yè)務需要從生產環(huán)境中獲取日志的,必須辦理審批手續(xù),在生產環(huán)境現場的專有指定環(huán)境使用日志。所有日志不得帶離現場。確因業(yè)務需要將賬戶信息帶離現場的,執(zhí)行嚴格的審批、使用、銷毀流程。
2.3.3 設備登錄管理
一般情況下,只允許網絡經理和網絡工程師直接登錄網絡設備進行維護操作。
其它運維人員,只能登錄網絡設備進行配置查看。
在網絡經理和網絡工程師進行配置更改前,需將設備原有配置保存至FTP服務器上,配置完成后,再將現有配置保存至FTP服務器,所有的配置文檔永久保留。遠程登錄網絡設備進行維護操作。
2.3.4 網絡設備系統(tǒng)升級
網絡設備現有系統(tǒng)軟件版本存在安全漏洞,或者所配置模塊無法再現有版本下正常工作,需對網絡設備進行系統(tǒng)升級處理。
在對網絡設備系統(tǒng)軟件升級前,網絡經理和網絡工程師提出詳細的升級目標、內容、方式、步驟和應急操作方案報上級主管部門審核批準。
在進行網絡設備系統(tǒng)軟件升級操作前,將網絡設備現有系統(tǒng)和配置文件保存至FTP服務器,升級后,進行網絡測試,確保設備正常后,將網絡設備升級后的系統(tǒng)和配置文件保存至FTP服務器。
網絡設備升級的詳細的操作過程及方案部門留底保存。
2.3.5 網絡設備日常維護
實時監(jiān)控網絡設備運行狀況,建立日志服務器。
定期對系統(tǒng)數據進行備份
定期查看系統(tǒng)的安全管理軟件及系統(tǒng)日志,在發(fā)現系統(tǒng)遭到非法攻擊或非法攻擊嘗試時,應利用系統(tǒng)提供的功能進行自我保護,并對非法攻擊進行定位、跟蹤和發(fā)出警告,同時向上級主管部門匯報。如有疑難問題請相關負責系統(tǒng)安全的人員協助解決。
維護過程中發(fā)現的不正常情況應及時處理和詳細記錄,處理不了的問題,應立即向主管人員報告。
2.4 網絡設備管理人員規(guī)范
2.4.1 網絡設備管理人員
目前公司設有網絡經理和網絡工程師2個職位,共同進行網絡設備維護和安全管理。
網絡經理全面負責網絡設備的維護及安全管理,定期對網絡架構、網絡整體運行情況進行分析,及時了解公司業(yè)務對網絡的需求,提出網絡擴容和整改方案。
網絡工程師全部負責網絡設備的維護操作和故障處理,搭建網絡監(jiān)控系統(tǒng),實時監(jiān)控網絡設備運行狀況,及時處理網絡故障。
2.4.2 網絡安全培訓管理
定期組織運維人員學習網絡安全管理知識,提高運維人員的維護網絡安全的警惕性和自覺性。
負責對本公司員工進行安全教育和培訓,使用戶自覺遵守和維護《計算機信息網絡國際互聯網安全保護管理辦法》,使他們具備基本的網絡安全知識。
版權聲明:本文內容由互聯網用戶自發(fā)貢獻,該文觀點僅代表作者本人。本站僅提供信息存儲空間服務,不擁有所有權,不承擔相關法律責任。如發(fā)現本站有涉嫌抄襲侵權/違法違規(guī)的內容, 請發(fā)送郵件至 舉報,一經查實,本站將立刻刪除。