目錄
1. 前言
2. 網(wǎng)絡(luò)安全管理制度
2.1 網(wǎng)絡(luò)安全架構(gòu)規(guī)定
2.2 網(wǎng)絡(luò)安全訪問(wèn)控制管理
2.3 網(wǎng)絡(luò)設(shè)備安全管理
2.4 網(wǎng)絡(luò)設(shè)備管理人員規(guī)范
1. 前言
本規(guī)范用于員工的生產(chǎn)系統(tǒng)和生產(chǎn)管理平臺(tái)的操作管理。
2. 網(wǎng)絡(luò)安全管理制度
2.1 網(wǎng)絡(luò)安全架構(gòu)規(guī)定
公司網(wǎng)絡(luò)系統(tǒng)必須嚴(yán)格劃分內(nèi)網(wǎng)和外網(wǎng),中間使用多層防火墻進(jìn)行隔離和安全訪問(wèn)控制。
公司所有線上設(shè)備均實(shí)現(xiàn)熱備冗余,保證生產(chǎn)運(yùn)營(yíng)的安全可靠。
通過(guò)防火墻及其它網(wǎng)絡(luò)設(shè)備,可執(zhí)行802.1X認(rèn)證來(lái)實(shí)現(xiàn)對(duì)邊界完整性檢查。
具有抗DOS攻擊以及主動(dòng)防御功能,可實(shí)現(xiàn)對(duì)異常流量的監(jiān)控和對(duì)惡意攻擊的阻止。
所有可管理網(wǎng)絡(luò)設(shè)備均保存有完整可查的日志記錄,保證所有對(duì)網(wǎng)絡(luò)設(shè)備的操作都有據(jù)可查。
2.2 網(wǎng)絡(luò)安全訪問(wèn)控制管理
2.2.1 內(nèi)部網(wǎng)絡(luò)安全訪問(wèn)控制
公司按照業(yè)務(wù)系統(tǒng)的安全級(jí)別,劃分不同的局域網(wǎng)區(qū)域,進(jìn)行訪問(wèn)控制。
處于同一局域網(wǎng)同一網(wǎng)段的內(nèi)部設(shè)備可相互訪問(wèn),通過(guò)系統(tǒng)設(shè)備配置網(wǎng)卡地址直接進(jìn)行訪問(wèn)。
同一局域網(wǎng)的內(nèi)部設(shè)備均通過(guò)特定的業(yè)務(wù)端口進(jìn)行訪問(wèn)。
不處于同一局域網(wǎng)的內(nèi)部設(shè)備默認(rèn)情況下,不能互相訪問(wèn),需通過(guò)防火墻進(jìn)行地址轉(zhuǎn)換,并進(jìn)行策略訪問(wèn)配置后才能訪問(wèn)。
不處于同一局域網(wǎng)的內(nèi)部設(shè)備訪問(wèn),通過(guò)防火墻進(jìn)行端口訪問(wèn)控制,只開(kāi)放必要的業(yè)務(wù)訪問(wèn)端口。
2.2.2 外部網(wǎng)絡(luò)安全訪問(wèn)控制
所有的內(nèi)部系統(tǒng),除了公司網(wǎng)站以外,其它系統(tǒng)默認(rèn)情況不能被外部系統(tǒng)訪問(wèn),也不能訪問(wèn)外部系統(tǒng)。
通過(guò)專線連接的外部系統(tǒng),需訪問(wèn)內(nèi)部系統(tǒng)時(shí),內(nèi)部系統(tǒng)通過(guò)內(nèi)部防火墻進(jìn)行策略地址轉(zhuǎn)換后,進(jìn)行策略訪問(wèn)配置,并添加網(wǎng)絡(luò)路由和主機(jī)路由才能訪問(wèn)。
通過(guò)專線連接的外部系統(tǒng),訪問(wèn)內(nèi)部系統(tǒng)時(shí),通過(guò)內(nèi)部防火墻進(jìn)行端口訪問(wèn)控制,只開(kāi)放必要的業(yè)務(wù)訪問(wèn)端口。在系統(tǒng)調(diào)試和故障處理時(shí),臨時(shí)開(kāi)放進(jìn)行網(wǎng)絡(luò)測(cè)試的ICMP等協(xié)議的相關(guān)端口,處理完成后,關(guān)閉相應(yīng)的端口。
通過(guò)互聯(lián)網(wǎng)連接的外部系統(tǒng),不能訪問(wèn)內(nèi)部核心系統(tǒng),只能訪問(wèn)開(kāi)放互聯(lián)網(wǎng)業(yè)務(wù)的互聯(lián)網(wǎng)區(qū)域的內(nèi)部系統(tǒng),內(nèi)部系統(tǒng)需通過(guò)防火墻進(jìn)行地址轉(zhuǎn)換,并添加策略訪問(wèn)配置后才能訪問(wèn)。
通過(guò)互聯(lián)網(wǎng)連接的外部系統(tǒng),訪問(wèn)內(nèi)部系統(tǒng)時(shí),通過(guò)防火墻進(jìn)行端口訪問(wèn)控制,只開(kāi)放必要的業(yè)務(wù)訪問(wèn)端口。在系統(tǒng)調(diào)試和故障處理時(shí),臨時(shí)開(kāi)放進(jìn)行網(wǎng)絡(luò)測(cè)試的ICMP等協(xié)議的相關(guān)端口,處理完成后,關(guān)閉相應(yīng)的端口。
對(duì)于所有能基于證書(shū)認(rèn)證的網(wǎng)絡(luò)管理訪問(wèn)都采用基于證書(shū)的認(rèn)證,對(duì)于基于WEB方式的管理采用基于SSL加密認(rèn)證的訪問(wèn),杜絕用戶帳戶和口令被非法竊聽(tīng)。
對(duì)于基于遠(yuǎn)程撥號(hào)的訪問(wèn),在前置接入主機(jī)上進(jìn)行嚴(yán)格的口令安全檢查,防止惡意用戶反復(fù)嘗試猜測(cè)口令,對(duì)于帳號(hào)和口令的發(fā)放均需通過(guò)專人統(tǒng)一授權(quán)發(fā)放,同時(shí)在防火墻上對(duì)撥號(hào)進(jìn)入的用戶設(shè)置嚴(yán)格的訪問(wèn)控制規(guī)則,杜絕因帳號(hào)泄露而導(dǎo)致的網(wǎng)絡(luò)攻擊行為。
2.3 網(wǎng)絡(luò)設(shè)備安全管理
2.3.1 設(shè)備口令管理
對(duì)于設(shè)備系統(tǒng)運(yùn)行的各級(jí)管理口令,由網(wǎng)絡(luò)經(jīng)理和網(wǎng)絡(luò)工程師統(tǒng)一管理。其它的運(yùn)維人員,只設(shè)定查看權(quán)限。
定期修改口令??诹畹脑O(shè)置符合保密要求,均采用字母、數(shù)字和特殊符號(hào)組合而成,防止非法入侵者的猜測(cè)成功,而造成的系統(tǒng)故障發(fā)生。
維護(hù)人員發(fā)生變化,由網(wǎng)絡(luò)經(jīng)理或網(wǎng)絡(luò)工程師立即修改密碼。
對(duì)于無(wú)效用戶及時(shí)刪除。
2.3.2 設(shè)備日志管理
所有可管理網(wǎng)絡(luò)設(shè)備均保存有完整可查的日志記錄,保證所有對(duì)網(wǎng)絡(luò)設(shè)備的操作都有據(jù)可查,專人對(duì)日志進(jìn)行定期審查。
根據(jù)網(wǎng)絡(luò)設(shè)備位置設(shè)置網(wǎng)絡(luò)設(shè)備日志級(jí)別,設(shè)置日志服務(wù)器,保證所有告警錯(cuò)誤信息及時(shí)傳送至日志服務(wù)器,定期進(jìn)行備份。
必須嚴(yán)格控制設(shè)備日志的訪問(wèn)權(quán)限,除網(wǎng)絡(luò)管理員和專用賬號(hào)之外,不得賦予其他用戶訪問(wèn)通信日志的權(quán)限。
確因業(yè)務(wù)需要從生產(chǎn)環(huán)境中獲取日志的,必須辦理審批手續(xù),在生產(chǎn)環(huán)境現(xiàn)場(chǎng)的專有指定環(huán)境使用日志。所有日志不得帶離現(xiàn)場(chǎng)。確因業(yè)務(wù)需要將賬戶信息帶離現(xiàn)場(chǎng)的,執(zhí)行嚴(yán)格的審批、使用、銷毀流程。
2.3.3 設(shè)備登錄管理
一般情況下,只允許網(wǎng)絡(luò)經(jīng)理和網(wǎng)絡(luò)工程師直接登錄網(wǎng)絡(luò)設(shè)備進(jìn)行維護(hù)操作。
其它運(yùn)維人員,只能登錄網(wǎng)絡(luò)設(shè)備進(jìn)行配置查看。
在網(wǎng)絡(luò)經(jīng)理和網(wǎng)絡(luò)工程師進(jìn)行配置更改前,需將設(shè)備原有配置保存至FTP服務(wù)器上,配置完成后,再將現(xiàn)有配置保存至FTP服務(wù)器,所有的配置文檔永久保留。遠(yuǎn)程登錄網(wǎng)絡(luò)設(shè)備進(jìn)行維護(hù)操作。
2.3.4 網(wǎng)絡(luò)設(shè)備系統(tǒng)升級(jí)
網(wǎng)絡(luò)設(shè)備現(xiàn)有系統(tǒng)軟件版本存在安全漏洞,或者所配置模塊無(wú)法再現(xiàn)有版本下正常工作,需對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行系統(tǒng)升級(jí)處理。
在對(duì)網(wǎng)絡(luò)設(shè)備系統(tǒng)軟件升級(jí)前,網(wǎng)絡(luò)經(jīng)理和網(wǎng)絡(luò)工程師提出詳細(xì)的升級(jí)目標(biāo)、內(nèi)容、方式、步驟和應(yīng)急操作方案報(bào)上級(jí)主管部門審核批準(zhǔn)。
在進(jìn)行網(wǎng)絡(luò)設(shè)備系統(tǒng)軟件升級(jí)操作前,將網(wǎng)絡(luò)設(shè)備現(xiàn)有系統(tǒng)和配置文件保存至FTP服務(wù)器,升級(jí)后,進(jìn)行網(wǎng)絡(luò)測(cè)試,確保設(shè)備正常后,將網(wǎng)絡(luò)設(shè)備升級(jí)后的系統(tǒng)和配置文件保存至FTP服務(wù)器。
網(wǎng)絡(luò)設(shè)備升級(jí)的詳細(xì)的操作過(guò)程及方案部門留底保存。
2.3.5 網(wǎng)絡(luò)設(shè)備日常維護(hù)
實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)設(shè)備運(yùn)行狀況,建立日志服務(wù)器。
定期對(duì)系統(tǒng)數(shù)據(jù)進(jìn)行備份
定期查看系統(tǒng)的安全管理軟件及系統(tǒng)日志,在發(fā)現(xiàn)系統(tǒng)遭到非法攻擊或非法攻擊嘗試時(shí),應(yīng)利用系統(tǒng)提供的功能進(jìn)行自我保護(hù),并對(duì)非法攻擊進(jìn)行定位、跟蹤和發(fā)出警告,同時(shí)向上級(jí)主管部門匯報(bào)。如有疑難問(wèn)題請(qǐng)相關(guān)負(fù)責(zé)系統(tǒng)安全的人員協(xié)助解決。
維護(hù)過(guò)程中發(fā)現(xiàn)的不正常情況應(yīng)及時(shí)處理和詳細(xì)記錄,處理不了的問(wèn)題,應(yīng)立即向主管人員報(bào)告。
2.4 網(wǎng)絡(luò)設(shè)備管理人員規(guī)范
2.4.1 網(wǎng)絡(luò)設(shè)備管理人員
目前公司設(shè)有網(wǎng)絡(luò)經(jīng)理和網(wǎng)絡(luò)工程師2個(gè)職位,共同進(jìn)行網(wǎng)絡(luò)設(shè)備維護(hù)和安全管理。
網(wǎng)絡(luò)經(jīng)理全面負(fù)責(zé)網(wǎng)絡(luò)設(shè)備的維護(hù)及安全管理,定期對(duì)網(wǎng)絡(luò)架構(gòu)、網(wǎng)絡(luò)整體運(yùn)行情況進(jìn)行分析,及時(shí)了解公司業(yè)務(wù)對(duì)網(wǎng)絡(luò)的需求,提出網(wǎng)絡(luò)擴(kuò)容和整改方案。
網(wǎng)絡(luò)工程師全部負(fù)責(zé)網(wǎng)絡(luò)設(shè)備的維護(hù)操作和故障處理,搭建網(wǎng)絡(luò)監(jiān)控系統(tǒng),實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)設(shè)備運(yùn)行狀況,及時(shí)處理網(wǎng)絡(luò)故障。
2.4.2 網(wǎng)絡(luò)安全培訓(xùn)管理
定期組織運(yùn)維人員學(xué)習(xí)網(wǎng)絡(luò)安全管理知識(shí),提高運(yùn)維人員的維護(hù)網(wǎng)絡(luò)安全的警惕性和自覺(jué)性。
負(fù)責(zé)對(duì)本公司員工進(jìn)行安全教育和培訓(xùn),使用戶自覺(jué)遵守和維護(hù)《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際互聯(lián)網(wǎng)安全保護(hù)管理辦法》,使他們具備基本的網(wǎng)絡(luò)安全知識(shí)。
版權(quán)聲明:本文內(nèi)容由互聯(lián)網(wǎng)用戶自發(fā)貢獻(xiàn),該文觀點(diǎn)僅代表作者本人。本站僅提供信息存儲(chǔ)空間服務(wù),不擁有所有權(quán),不承擔(dān)相關(guān)法律責(zé)任。如發(fā)現(xiàn)本站有涉嫌抄襲侵權(quán)/違法違規(guī)的內(nèi)容, 請(qǐng)發(fā)送郵件至 舉報(bào),一經(jīng)查實(shí),本站將立刻刪除。