目錄
1. 前言
2. 網絡安全管理制度
2.1 網絡安全架構規定
2.2 網絡安全訪問控制管理
2.3 網絡設備安全管理
2.4 網絡設備管理人員規范
1. 前言
本規范用于員工的生產系統和生產管理平臺的操作管理。
2. 網絡安全管理制度
2.1 網絡安全架構規定
公司網絡系統必須嚴格劃分內網和外網,中間使用多層防火墻進行隔離和安全訪問控制。
公司所有線上設備均實現熱備冗余,保證生產運營的安全可靠。
通過防火墻及其它網絡設備,可執行802.1X認證來實現對邊界完整性檢查。
具有抗DOS攻擊以及主動防御功能,可實現對異常流量的監控和對惡意攻擊的阻止。
所有可管理網絡設備均保存有完整可查的日志記錄,保證所有對網絡設備的操作都有據可查。
2.2 網絡安全訪問控制管理
2.2.1 內部網絡安全訪問控制
公司按照業務系統的安全級別,劃分不同的局域網區域,進行訪問控制。
處于同一局域網同一網段的內部設備可相互訪問,通過系統設備配置網卡地址直接進行訪問。
同一局域網的內部設備均通過特定的業務端口進行訪問。
不處于同一局域網的內部設備默認情況下,不能互相訪問,需通過防火墻進行地址轉換,并進行策略訪問配置后才能訪問。
不處于同一局域網的內部設備訪問,通過防火墻進行端口訪問控制,只開放必要的業務訪問端口。
2.2.2 外部網絡安全訪問控制
所有的內部系統,除了公司網站以外,其它系統默認情況不能被外部系統訪問,也不能訪問外部系統。
通過專線連接的外部系統,需訪問內部系統時,內部系統通過內部防火墻進行策略地址轉換后,進行策略訪問配置,并添加網絡路由和主機路由才能訪問。
通過專線連接的外部系統,訪問內部系統時,通過內部防火墻進行端口訪問控制,只開放必要的業務訪問端口。在系統調試和故障處理時,臨時開放進行網絡測試的ICMP等協議的相關端口,處理完成后,關閉相應的端口。
通過互聯網連接的外部系統,不能訪問內部核心系統,只能訪問開放互聯網業務的互聯網區域的內部系統,內部系統需通過防火墻進行地址轉換,并添加策略訪問配置后才能訪問。
通過互聯網連接的外部系統,訪問內部系統時,通過防火墻進行端口訪問控制,只開放必要的業務訪問端口。在系統調試和故障處理時,臨時開放進行網絡測試的ICMP等協議的相關端口,處理完成后,關閉相應的端口。
對于所有能基于證書認證的網絡管理訪問都采用基于證書的認證,對于基于WEB方式的管理采用基于SSL加密認證的訪問,杜絕用戶帳戶和口令被非法竊聽。
對于基于遠程撥號的訪問,在前置接入主機上進行嚴格的口令安全檢查,防止惡意用戶反復嘗試猜測口令,對于帳號和口令的發放均需通過專人統一授權發放,同時在防火墻上對撥號進入的用戶設置嚴格的訪問控制規則,杜絕因帳號泄露而導致的網絡攻擊行為。
2.3 網絡設備安全管理
2.3.1 設備口令管理
對于設備系統運行的各級管理口令,由網絡經理和網絡工程師統一管理。其它的運維人員,只設定查看權限。
定期修改口令。口令的設置符合保密要求,均采用字母、數字和特殊符號組合而成,防止非法入侵者的猜測成功,而造成的系統故障發生。
維護人員發生變化,由網絡經理或網絡工程師立即修改密碼。
對于無效用戶及時刪除。
2.3.2 設備日志管理
所有可管理網絡設備均保存有完整可查的日志記錄,保證所有對網絡設備的操作都有據可查,專人對日志進行定期審查。
根據網絡設備位置設置網絡設備日志級別,設置日志服務器,保證所有告警錯誤信息及時傳送至日志服務器,定期進行備份。
必須嚴格控制設備日志的訪問權限,除網絡管理員和專用賬號之外,不得賦予其他用戶訪問通信日志的權限。
確因業務需要從生產環境中獲取日志的,必須辦理審批手續,在生產環境現場的專有指定環境使用日志。所有日志不得帶離現場。確因業務需要將賬戶信息帶離現場的,執行嚴格的審批、使用、銷毀流程。
2.3.3 設備登錄管理
一般情況下,只允許網絡經理和網絡工程師直接登錄網絡設備進行維護操作。
其它運維人員,只能登錄網絡設備進行配置查看。
在網絡經理和網絡工程師進行配置更改前,需將設備原有配置保存至FTP服務器上,配置完成后,再將現有配置保存至FTP服務器,所有的配置文檔永久保留。遠程登錄網絡設備進行維護操作。
2.3.4 網絡設備系統升級
網絡設備現有系統軟件版本存在安全漏洞,或者所配置模塊無法再現有版本下正常工作,需對網絡設備進行系統升級處理。
在對網絡設備系統軟件升級前,網絡經理和網絡工程師提出詳細的升級目標、內容、方式、步驟和應急操作方案報上級主管部門審核批準。
在進行網絡設備系統軟件升級操作前,將網絡設備現有系統和配置文件保存至FTP服務器,升級后,進行網絡測試,確保設備正常后,將網絡設備升級后的系統和配置文件保存至FTP服務器。
網絡設備升級的詳細的操作過程及方案部門留底保存。
2.3.5 網絡設備日常維護
實時監控網絡設備運行狀況,建立日志服務器。
定期對系統數據進行備份
定期查看系統的安全管理軟件及系統日志,在發現系統遭到非法攻擊或非法攻擊嘗試時,應利用系統提供的功能進行自我保護,并對非法攻擊進行定位、跟蹤和發出警告,同時向上級主管部門匯報。如有疑難問題請相關負責系統安全的人員協助解決。
維護過程中發現的不正常情況應及時處理和詳細記錄,處理不了的問題,應立即向主管人員報告。
2.4 網絡設備管理人員規范
2.4.1 網絡設備管理人員
目前公司設有網絡經理和網絡工程師2個職位,共同進行網絡設備維護和安全管理。
網絡經理全面負責網絡設備的維護及安全管理,定期對網絡架構、網絡整體運行情況進行分析,及時了解公司業務對網絡的需求,提出網絡擴容和整改方案。
網絡工程師全部負責網絡設備的維護操作和故障處理,搭建網絡監控系統,實時監控網絡設備運行狀況,及時處理網絡故障。
2.4.2 網絡安全培訓管理
定期組織運維人員學習網絡安全管理知識,提高運維人員的維護網絡安全的警惕性和自覺性。
負責對本公司員工進行安全教育和培訓,使用戶自覺遵守和維護《計算機信息網絡國際互聯網安全保護管理辦法》,使他們具備基本的網絡安全知識。
版權聲明:本文內容由互聯網用戶自發貢獻,該文觀點僅代表作者本人。本站僅提供信息存儲空間服務,不擁有所有權,不承擔相關法律責任。如發現本站有涉嫌抄襲侵權/違法違規的內容, 請發送郵件至 舉報,一經查實,本站將立刻刪除。
