园区信息安全管理体系文档—网络安全管理规定.docx

《园区信息安全管理体系文档—网络安全管理规定.docx》由会员分享，可在线阅读，更多相关《园区信息安全管理体系文档—网络安全管理规定.docx（10页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、园区信息安全管理体系文档一网络安全管理规定本文档版权由（单位名称）所有。未经版权人书面许可，任何单位和个人 不得以任何形式摘抄、复制本文档的部分或全部，并以任何形式传播。文件编码：（单位名称）-GFXY_3_11版 本：发布日期：2019年7月附录2网络设备安全配置变更申请表编号：变更申请设备编 号放置位置责任人安全配置变更要求：责任人：年 月 日变更审批年 月 日变更操作及复核年 月 日年 月 日备注6、文档信息基本信息版本修订生效日期版本号版本说明制作复审批准V0. 1注：文档基本信息记录本文档提交时的当前有效的基本控制信息，当前版 本文档有效期将在新版本文档生效时自动结束。文档版本小于L

2、0时，表示该 版本文档为草案，仅可作为参照资料之目的。1目的42适用范围43职责与分工44网络管理要求44.1设备管理规定44. 2网络隔离54. 3 INTERNE!使用规定 54.4 内部用户使用特殊网络资源流程54.5 第三方或临时用户使用网络资源流程65设备配置管理要求65.1 网络设备安全配置规定65.2 路由器设备安全配置规定6外部路由器设备安全配置规定65. 2.2内部路由器设备安全配置规定65. 3交换机设备安全配置规定75. 3.1关键路径网络交换机安全配置规定75. 3. 2周边网络交换机安全配置规定75. 4防火墙安全配置规定75. 4.1对外连接防火墙配置规定75. 4

3、.2内部防火墙配置规定85. 5 VPN网关设备安全配置规定85. 6网络设备配置过程86附录9附录1网络设备安全配置列表9附录2网络设备安全配置变更申请表 10 为加强对（单位名称）网络设备的配置管理，确保网络设备的安全，确保（单 位名称）网络的安全平稳运行、有效管理，杜绝非授权的资源访问、使用及控制。2适用范围本规定适用于（单位名称）内部的业务网络、办公网络和用户办公网络，以 及网络设备的配置及操作使用人员等。3职责与分工.信息安全工作主管领导：负责审核用户网络资源申请，监督本规定的落 实。1 .信息安全实施小组：负责所有重要网络设备的配置和参数的设定；2 .信息安全审计小组：负责定期对网

4、络安全进行审计。3 .各部门：负责在本部门内落实此规定。4网络管理要求3.1 设备管理规定1 .机房网络设备采用带外管理的方式在管理上与业务数据隔离。2 .机房网络设备禁止直接从外网访问，开放的访问须经过防火墙的允许。3 .机房网络设备只对办公网络内授权IP地址范围开放登录。4 .机房网络设备拒绝发起自外网的访问，在外网需登录机房网络设备时须 先登录指定的登录服务器，再向目标设备登录。5 .机房网络设备登录须凭登录者的帐号登录，口令应避免使用弱口令（帐 号口令制定规则详见账号、口令和权限管理规定）。6 .机房网络设备只能对授权监控设备开放SNMP读取功能。7 .须对机房网络设备的互联状况和设备

5、本身健康情况进行监控。8 .被监控对象出现异常时，监控系统发出报警。9 .由专门的日志服务器接收并保存机房网络设备发送的日志。10 .由专人负责每天查看日志服务器记录的日志信息。11 .必须保证机房网络设备的所在的物理区域的安全，未经授权的人员不得 进入。12 .信息安全实施小组根据厂家提供的软件升级版本对网络设备进行更新， 在更新前对现有的重要文件进行备份。13 .信息安全实施小组定期对网络系统进行漏洞扫描，对发现的网络系统安 全漏洞进行及时的修补。14 .信息安全实施小组对网络设备对配置文件进行定期备份。15 .所有与外部系统的连接均得到授权和批准。3.2 网络隔离机房办公网络各部门之间必

6、须进行网络隔离，各部门分处不同广播域中，无 特殊授权本部门的职员的设备不得接入到其它部门/组的子中。3.3 intemet使用规定1 .机房内各部门与internet的连接须经过防火墙的控制管理。2 .未经明确允许的协议和端口会被防火墙禁止。3 .防火墙不得在UNTRUST侧进行管理。4 .机房内各部门服务器和监控部门的监控终端均不能用作浏览网站、下载 软件、收发邮件、即时消息软件客户端等用途。3.4 内部用户使用特殊网络资源流程.内部部门或职员如有特殊网络资源使用需求须向相关信息安全实施小组 提出申请，注明缘由、何种资源、使用时间段、使用期限。1 .信息安全实施小组须对内部部门或职员提出的特

7、殊网络资源申请进行审 核，审核通过后分配资源并作记录，建立相关监控。2 .特殊资源使用完毕后，信息安全实施小组将资源收回并作记录。3 .如需变更或延期使用资源须向信息安全实施小组提出申请，流程同本流 程第一步。3.5 第三方或临时用户使用网络资源流程.第三方或临时用户如需要办公用途的网络资源须向相关信息安全实施小 组提出申请，说明缘由、何种资源、使用时间段、使用期限。1 .信息安全实施小组须对第三方或临时用户提出的申请进行审核，审核通 过后分配资源并作记录，建立相关监控。2 .资源使用完毕后，信息安全实施小组将资源收回并作记录。3 .如需变更或延期使用资源须向信息中心提出申请，流程同本流程第一

8、步。5设备配置管理要求5.1 网络设备安全配置规定1、网络设备的配置必须由指定网络设备管理员实施。2、设备系统日志的记录内容和保存期限应该符合（单位名称）信息安全策 略的规定。3、网络设备管理员统计、填写网络设备安全配置列表（见附录1）,需 要填写网络设备现有的安全配置信息，并在配置发生变化后及时更新。4、网络设备管理员负责保存、归档网络设备安全配置列表，以备安全 管理员定期检查。5.2 路由器设备安全配置规定5.2.1 外部路由器设备安全配置规定1、除内部向外部提供的服务外，其他任何从外部向内部发起的连接请求被 禁止。2、除内部向外部提供的服务外，内部向外部的访问需经信息安全工作主管 领导批

9、准。3、建议不对外提供对设备的管理控制。5.2.2 内部路由器设备安全配置规定1、路由器的策略设定，应以保证正常通信为前提，在不影响通信质量的前提下，对指定的需要禁止的通信类型进行相应的禁止设定。2、路由器的设定应保证各个连接设备的兼容性，并考虑冗余和容错。3、路由器分离的各个逻辑网络间的通信，应防止不必要的UDP等信息的传 输。5.3 交换机设备安全配置规定5.3.1 关键路径网络交换机安全配置规定1、关键路径网络交换机是指位于网络中间节点或信息交换中心位置的网 络交换机。2、关键路径网络交换机安全配置策略应考虑和周边网络设备的连接的兼 容性、安全性、可靠性和可变性。3、关键路径网络交换机安

10、全配置策略应尽量减少不必要的限定以保证合 理的通信能力。53.2周边网络交换机安全配置规定1、周边网络交换机是指位于网络非中间节点或信息交换相对不重要的位 置的网络交换机。2、周边网络交换机安全配置策略应考虑和关键路径网络设备的连接的兼 容性、安全性、可靠性和可变性。3、周边网络交换机安全配置策略应根据需要减少不必要信息向更高级的 网络层的传输。5.4防火墙安全配置规定5.4.1 对外连接防火墙配置规定1、除内部向外部提供的服务外，其他任何从外部向内部发起的连接请求被 禁止。2、除内部向外部提供的服务相关部分外，其他的内部向外部的访问需经信息安全主管领导批准。5.4.2 内部防火墙配置规定1、

11、内部防火墙的内外部分为不同的安全等级，外部为等级低的部分，内部 为等级高的部分。2、除内部向外部提供的服务外，其他任何从外部向内部发起的连接请求被 禁止。3、除内部向外部提供的服务外，内部向外部的访问需经信息安全工作主管 领导批准。5.5 VPN网关设备安全配置规定1、需根据申请经过审批后配置访问控制列表。2、对访问发起者须进行身份认证。3、禁止非授权用户的访问。4、对授权的访问发起者做审计记录。5、授权的访问发起者不能滥用其访问权利。5.6 网络设备配置过程1、网络管理员根据安全配置策略和特定安全要求填写网络设备安全配置 变更申请表（见附录2）,在报经信息安全工作主管领导审核批准后，由网络管 理员对网络设备参数进行配置。2、配置实施至少需要两人同时来操作，其中网络管理员负责配置操作，另 一人负责检查、测试，并在网络设备安全配置变更申请表（见附录2）签署 姓名和配置日期。3、配置参数的备份根据需要进行，并记录在网络设备安全配置变更申请 表（见附录2）中。4、由设备负责人保存、归档网络设备安全配置变更申请表（见附录2）, 以备安全管理员定期检查。6附录附录1网络设备安全配置列表编号：号放置位置责任人安全要求：安全策略及配置参数：年 月 日安全配置变更信息序号变更日期安全配置变更信息复核人12345备注5、