公司网络安全设备管理规范.docx

《公司网络安全设备管理规范.docx》由会员分享，可在线阅读，更多相关《公司网络安全设备管理规范.docx（9页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、公司网络安全设备管理规范91网络安全设备管理规范基本要求1.1公司信息系统已覆盖分公司范围的下属企业，成为公司生 产、经营和管理提供信息化手段的根本，网络安全设备是保障公 司信息系统安全运行的基础。为保障公司信息系统的安全、稳定 运行，根据集团公司网络安全设备管理规范特制定本规范。1.2本规范合用于公司统一建设的计算机网络内所有网络安全 设备的管理和运行。1. 3本规范中所指网络安全设备包括各种安全网关类设备（防火 墙、VPN、代理服务器、IP加密机等）、入侵检测类设备、漏洞 扫描类设备等。1.4网络安全设备（产品）的使用应符合国家的有关规定，尽量 采用具有计算机信息系统安全专用产品销售许可证

2、的信息安全 产品，且具有中国信息安全产品测评认证中心认证的信息安全产 品。密码设备选型应符合国家密码主管部门的有关要求，加密算 法应得到国家密码主管部门的批准。2各级信息管理部门职责2. 1科技开辟处是公司网络安全设备管理工作的归口管理部门。2.2信息技术管理中心负责分公司网络安全设备管理工作。设系 统管理员、信息安全管理员。3管理内容和要求3.1管理员职责3.1.1系统管理员职责：，恪守职业道德，严守企业秘密，熟悉国家安全生产法 以及有关信息安全管理的相关规程；负责网络安全设备的安全策略部署、配置及变更管理，更新和维护等日常工作；对数据网络实行分级授权管理，按照岗位职责授予不 同的管理级别和

3、权限；密切注意最新网络攻击行为的发生、发展情况，关注 和追踪业界发布的攻击事件；密切关注信息系统安全隐患，及时变更信息安全策略 或者升级安全设备。3. 1.2信息安全管理员职责：，恪守职业道德，严守企业秘密，熟悉国家安全生产法 以及有关信息安全管理的相关规程；每周对系统管理员的登录和操作记录进行审计；对系统管理员部署的安全策略、配置和变更内容进行 审计；密切注意最新漏洞的发生、发展情况，关注和追踪业 界发布的漏洞疫情。3.2账号与权限、策略和部署、配置和变更管理3.2.1账号与权限3. 2. 1. 1系统管理员和信息安全管理员的用户账号应分开设置， 其他人员不得设置账户。在安全设备上建立用户账

4、号，需要经过 本级信息部门安全主管的审批并保留审批记录。3.2.1.2系统管理员具有设置、修改安全设备策略配置，以及读 取和分析检测数据的权限。3.2.1.3信息安全管理员具有读取安全设备审计日志信息，以及 检查安全设备策略配置内容的权限。3.2.1.4管理员身份鉴别可以采用口令方式。应为用户级和特权 级模式设置口令，不能使用缺省口令，确保用户级和特权级模式 口令不同。安全设备口令长度应采用8位以上，由非纯数字或者 字母组成，并保证每季度至少更换一次。3. 2.1.5安全设备的身份鉴别，必要时可以采用数字证书方式。3.2.2策略和部署管理3.2.2.1安全设备系统管理员应依据公司信息安全规划，

5、结合实 际需求，制定、配置具体网络安全设备的安全策略，并且进行规 范化和文档化；安全设备的策略文档应妥善保存。3.2.2.2对关键的安全设备要采用双机热备或者冷备的方式进 行部署以减小系统运行的风险。3.2.2.3安全设备部署应依据公司的信息安全规划统一部署，保 证安全设备的可用性。安全设备部署的具体实施须经信息管理部 门的审批并保留审批记录。3. 2. 2.4安全网关类设备部署应根据网络安全域的划分情况进 行正确部署，满足不同网络安全域之间访问控制的要求。3. 2. 2. 5入侵检测类设备的部署要根据网络和信息系统的安全 需求，选择合理的检测节点，能够完整的检测到被保护网络的数 据流量，并能

6、抓取含有足够信息的IP包，如：MAC地址、IP地 址等。3.2.2.6漏洞扫描设备可采取离线或者在线方式部署，部署前应 进 行漏洞扫描设备运行可能对系统影响的分析，避免对信息系 统运 行产生不良影响。3.2.3配置和变更管理。3.2.3.1配置和变更授权网络安全设备的配置、变更应满足信息 系统变更管理的要求，配置和变更前应充分评估对信息系统可能 产生的影响，报信息管理部门审批、授权后执行，保留审批记录。 3.2.3.2防火墙设备配置：记录网络环境，定义防火墙网络接口；定义防火墙的网络对象和应用端口；定义安全策略；定义系统管理员和信息安全管理员权限；测试防火墙性能。3.2.3.3 VPN设备配置

7、：环境配置，指网络环境的设置，VPN网关的控制台的设 置；设置VPN网关的各种网络参数特性，包括网络接口、 透明网络、静态路由、ADSL用户设置、MODEM用户设 置等；VPN设置，将证书导入VPN网关系统；进行SMC设置， 对SMC进行身份认证并下载策略，加载加密算法；添 加静态隧道，从SMC中下载与本机有信任关系的主机 信息；设置与信任设备之间的隧道各项参数，定义虚 拟路由，并进行客户端配置；防火墙设置，包括进行包过滤规则设置和NAT规则设 置；服务器设置，包括VPN安全网关提供的DHCP服务器、 拨号服务器、L2tp服务器、设置拨号用户、DNS代理 和SNMP代理等功能的话设置；带宽管理

8、，对流经网络接口的网络流量预先进行分配 管理，保证用户对网络连接带宽的要求。带宽管理针对所有网络接口进行管理；定义系统管理员和信息安全管理员权限；测试VPN安全网关性能；编写和整理VPN安全网关设备配置文档和技术资料。3.2.3.3代理服务器设备配置：环境配置，指网络环境的设置，包括代理服务器对网 络参数的设置；代理服务器安全策略设置；客户端的相关设置；定义系统管理员和信息安全管理员权限；性能参数测试，估测网络代理服务器吞吐量、延迟、并发连接数等；编写和整理代理服务器设备配置文档和技术资料。3.2.3.4 IP加密机设备配置：环境配置，指网络环境的设置，包括对密码机网络参数的设置；配置各加密机

9、的安全策略；定义系统管理员和信息安全管理员权限；安全协议通用性测试，通过各种高层应用程序的测试，验证安全协议对高层应用的通用性；应用测试，包括网页浏览、文件传输、远程登录、邮 件收发、视频播放；，性能参数测试，估测加密机的吞吐率；编写和整理IP加密机设备配置文档和技术资料。3.2.3.5入侵检测设备配置：记录当前网络环境，定义入侵检测接口；安装引擎（包括事件库）和管理软件；定义入侵检测系统要保护的网络对象（网络或者主机）;定义检测策略，阻断级别和事件报警；定义系统管理员和信息安全管理员权限；编写和整理入侵检测设备配置文档和技术资料。3.2.3.6漏洞扫描设备配置：记录网络环境，定义漏洞扫描的网

10、络接口； 定义漏洞扫描的IP地址范围；定义漏洞扫描的安全级别和扫描选项；安装、升级最新的漏洞库； 定义系统管理员和信息安全管理员权限； 编写和整理漏洞扫描设备配置文档和技术资料。3. 3运行维护管理3.3.1安全网关及入侵检测类设备定期检测和维护要求：每月安 装、更新厂家发布的设备补丁程序，及时修补设备操作系统的漏 洞；每周审计一次日志报表；一个月内至少重新启动一次安全网 关及入侵检测类设备。3. 3. 2安全网关及入侵检测类设备运行状况的监视和记录要求： 系统管理员应定期和不定期地检查设备的运行状况，及时查看日 志，对异常情况的发生，及时上报，并保存记录；对安全设备 CPU和内存利用率、数据

11、流量、地址翻译数量、报警次数等进行 均时的监测、跟踪工作，每周形成报表。3. 3. 3安全设备配置备份和恢复要求：定期备份安全设备配置； 修改安全设备配置前应对现有配置进行备份，以便修改失败后可 快速恢复；跟踪软件及事件库的变更，确保使用当前有效的软件 及事件库。3. 3.4信息安全管理员定期对网络安全设备的操作记录和内容 本身进行审计，保证审计内容的彻底性，保留审计记录。3. 3. 5防火墙设备发生宕机或者入侵检测设备浮现告警或者工 作不正常引起网络拥塞或者网络瘫痪等安全事件时，系统管理 员应即将启动紧急响应程序，保留相应记录。对网络进行紧急 处理，阻塞攻击入口，恢复网络的正常运行，并追查攻

12、击来源， 及时上报，必要的情况下提交公安机关处理。3.3.6漏洞扫描设备的专项要求：3.3.6.1漏洞扫描设备工作时会对网络造成一定程度的影响， 应避免在网络运行高峰期进行扫描，如有特殊情况应通知系统管 理员；3. 3. 6. 2对扫描结果进行分析和对扫描出的安全漏洞进行修 补；3.3.6.3漏洞扫描设备定期检测和维护要求（首次实施）。系统 管理员对服务器和专用网络设备实施首次漏洞扫描。服务器和专 用网络设备上线前，必须进行漏洞扫描，并保留记录；3.3.6.4漏洞扫描设备定期检测和维护要求（周期实施）。系统 管理员对服务器和专用网络设备实施周期性漏洞扫描，并保留记 录。3.4安全设备的维修：安

13、全设备的维修应防止安全设备配置信息 的泄漏，送出外修应注意清除安全设备内部存储的安全配置；不 允许厂商或者服务商通过因特网或者其它方式远程登录进行安 全设备的维护；厂商或者服务商进入现场维护安全设备，须指 定专人全程陪同，维修完成后应进行安全检查。3.5机房内的信息存储介质和资料等，未经信息系统管理部许可 严禁带出机房。存有重要数据的设备、零部件等送外维修或者退 库时，应确保所有重要数据已经被删除。随机软件及数据应做 好备份。3.6机房管理员统一管理机房相关的技术资料（建造结构承重、 消防、强弱电、空调和环境监控等），详细造册登记，如有变动 须及时变更。外借时，须经信息系统管理部批准后办理外借

14、手续， 并限期归还。3.7机房电源、空调、消防等系统需由机房电气维护人员操作， 其他人员不得擅自动用或者变更；每季度对机房电源、UPS、空调、 新风等系统进行检修、维护、保养，确保机房环境满足机房内设 备的要求。3.4安全数据管理3.4.1安全设备的数据：网络安全设备的安全数据主要包括安全 设备对网络和系统检测得到的安全数据，对系统管理员操作的审 计数据，对安全设备进行设置安全策略的配置数据，还有安全设 备部署的网络逻辑图、安全策略等文档，应保证数据的完整性。3.4.2检测获得数据的管理：对于安全设备对网络和系统检测得 到的安全数据， 对系统管理员操作的审计数据， 系统管理员和信 息安全管理员

15、应分别进行备份和保管；任何人不得进行修改，未 经主管领导批准任何人不得删除。系统管理员定期分析安全设备 对网络和系统检测得到的安全数据，发现漏洞或者隐患应及时 报 告，并形成份析报告。3.4.3 审计获得数据的管理： 信息安全管理员应定期分析安全设 备对系统管理员操作的审计数据，发现违规问题或者隐患应及时 报告，并形成份析报告。3.4.4配置数据管理：系统管理员应及时对安全设备进行设置安 全策略（规则）的配置数据进行备份和保存，对安全设备部署的 网络逻辑图、安全策略等文档也应进行妥善保管。3.4.5存储空间管理：系统管理员应时常检查安全设备的存储空 间，注意防止安全设备中对网络和系统检测得到的安全数据，以 及对系统管理员操作的审计数据的丢失。4监督、检查与考核4.1科技开辟处对公司网络安全设备管理等进行监督、检查。4. 2科技开辟处制定公司网络安全设备管理的考核指标和考核 办法，并结合内控“基础设施IT普通性控制”相关控制点考核 进行检查。