公司網(wǎng)絡(luò)設(shè)備日常維護(hù)安全管理制度及職責(zé).doc
下載文檔
上傳人:職z****i
編號:1153751
2024-09-08
11頁
48KB
1、公司網(wǎng)絡(luò)設(shè)備日常維護(hù)安全管理制度及職責(zé)編 制: 審 核: 批 準(zhǔn): 版 本 號: ESZAQDGF001 編 制: 審 核: 批 準(zhǔn): 版 本 號: 目 錄編制說明3第一章 總則4第二章 原則4第三章 安全管理規(guī)定4第四章 安全管理機(jī)構(gòu)職責(zé)8第五章 安全管理員職責(zé)9第六章 網(wǎng)絡(luò)管理員職責(zé)10第七章 普通用戶職責(zé)11第八章 附則12第一節(jié) 文擋信息12第二節(jié) 版本控制12第三節(jié) 其他信息12編制說明為進(jìn)一步貫徹黨中央和國務(wù)院批準(zhǔn)的國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見及其“重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全”的思想、貫徹信息產(chǎn)業(yè)部“積極預(yù)防、及時發(fā)現(xiàn)、快速反應(yīng)、確保恢復(fù)”的方針和“2、同步規(guī)劃、同步建設(shè)、同步運(yùn)行”的要求,特制定本制度。本制度依據(jù)我國信息安全的有關(guān)法律法規(guī),結(jié)合XXXX的自身業(yè)務(wù)特點(diǎn)、并參考國際有關(guān)信息安全標(biāo)準(zhǔn)制定的。第一章 總則第一條 制度目標(biāo):建立網(wǎng)絡(luò)設(shè)備的安全管理規(guī)定,并以此規(guī)定為指導(dǎo),審視XXXX生產(chǎn)環(huán)境的網(wǎng)絡(luò)設(shè)備的安全性,降低網(wǎng)絡(luò)系統(tǒng)存在的安全風(fēng)險,確保網(wǎng)絡(luò)系統(tǒng)安全可靠地運(yùn)行。第二條 適用范圍:本制度適用于XXXX網(wǎng)絡(luò)環(huán)境運(yùn)行的網(wǎng)絡(luò)設(shè)備(路由器、交換機(jī)等)。 第二章 原則第三條 網(wǎng)絡(luò)設(shè)備的登錄口令必須足夠強(qiáng)壯難以被破譯。第四條 網(wǎng)絡(luò)設(shè)備的當(dāng)前配置文件必須在主機(jī)上有備份文件。第五條 網(wǎng)絡(luò)設(shè)備的拓?fù)浣Y(jié)構(gòu)、IP地址等信息在一定范圍內(nèi)保密。第六條 每季度檢3、查網(wǎng)絡(luò)設(shè)備的日志,及時發(fā)現(xiàn)攻擊行為。第七條 網(wǎng)絡(luò)設(shè)備的軟件版本應(yīng)該統(tǒng)一升級到較新版本。第八條 網(wǎng)絡(luò)設(shè)備的遠(yuǎn)程登錄操作應(yīng)限制在指定網(wǎng)段范圍內(nèi)。第九條 網(wǎng)絡(luò)設(shè)備的MIB庫設(shè)置讀/寫密碼且訪問限定在指定網(wǎng)段范圍內(nèi)。第十條 網(wǎng)絡(luò)設(shè)備的安裝、配置、變更、撤銷等操作必須嚴(yán)格走流程。第三章 安全管理規(guī)定第十一條 要求對網(wǎng)絡(luò)設(shè)備的登錄采用分級用戶的保護(hù)機(jī)制,不同的個人用戶必須采用不同的用戶名和口令登錄,并且擁有不同的權(quán)限級別。不同用戶的登錄操作在設(shè)備日志文件上均有記錄,便于追查問題。第十二條 網(wǎng)絡(luò)設(shè)備的直接責(zé)任人擁有超級用戶權(quán)限,其他網(wǎng)絡(luò)管理員按照工作需求擁有相應(yīng)的用戶權(quán)限網(wǎng)絡(luò)管理員不得私開用戶權(quán)限給其他人員4、。 第十三條 用戶的口令尤其是超級用戶的口令必須足夠強(qiáng)壯難以被破譯,這是保證設(shè)備安全性的基本條件。口令的設(shè)置應(yīng)該滿足規(guī)定的標(biāo)準(zhǔn):(一) 口令長度不得少于8位,必須同時包含字母和數(shù)字;(二) 口令中不要使用常用單詞、英文簡稱、個人信息等;(三) 不要將口令寫在紙上或存在電腦上;(四) 至少每季度要改變一次口令;(五) 在配置文件中對口令進(jìn)行隱藏設(shè)置;(六) 選擇口令盡可能做到自己好記別人難猜。第十四條 配置文件存儲著網(wǎng)絡(luò)設(shè)備的所有配置信息。網(wǎng)絡(luò)設(shè)備中的運(yùn)行配置文件和啟動配置文件應(yīng)該隨時保持一致。第十五條 通過TFTP或FTP的方式可以將設(shè)備的配置文件下載到本地主機(jī)上作備份文件以防不測,在設(shè)備配置5、文件損壞時可再通過TFTP或FTP的方式從本地主機(jī)上載到設(shè)備的FLASH中恢復(fù)備份的配置文件。第十六條 在配置文件中加入適當(dāng)?shù)淖⑨屨Z句,便于其他人的理解。第十七條 網(wǎng)絡(luò)設(shè)備的拓?fù)浣Y(jié)構(gòu)、IP地址等信息文檔屬于部門的機(jī)密信息,應(yīng)該在一定范圍內(nèi)予以保密。第十八條 網(wǎng)絡(luò)設(shè)備通常可以設(shè)置日志功能,日志可以直接登錄到設(shè)備上查看,也可以設(shè)置將日志發(fā)送到某臺指定的UNIX主機(jī)上查看。日志中具體包含的內(nèi)容可以在命令行配置方式下設(shè)定。第十九條 在日志文件中可以查看到曾經(jīng)登錄過該設(shè)備的用戶名、時間和所作的命令操作等詳細(xì)信息,為發(fā)現(xiàn)潛在攻擊者的不良行為提供有力依據(jù)。第二十條 網(wǎng)絡(luò)管理員必須每季度查看所管設(shè)備的日志文件6、,發(fā)現(xiàn)異常情況要及時處理和報告上級主管領(lǐng)導(dǎo),盡早消除信息安全隱患。第二十一條 網(wǎng)絡(luò)設(shè)備的軟件版本(IOS或VRP等)較低可能會帶來安全性和穩(wěn)定性方面的隱患,因此要求在設(shè)備的FLASH容量的情況下統(tǒng)一升級到較新的版本。必要情況下可升級設(shè)備的FLASH容量。第二十二條 網(wǎng)絡(luò)設(shè)備一般都具有允許遠(yuǎn)程登錄的功能,遠(yuǎn)程登錄給網(wǎng)絡(luò)管理員帶來很多方便,但同時也帶來一定的網(wǎng)絡(luò)安全隱患。第二十三條 通常在網(wǎng)絡(luò)設(shè)備上可以設(shè)置相應(yīng)的ACL限定可遠(yuǎn)程登錄的主機(jī)在指定網(wǎng)段范圍內(nèi),拒絕部分潛在的攻擊者,保證網(wǎng)絡(luò)安全。第二十四條 網(wǎng)絡(luò)設(shè)備一般采用SNMP協(xié)議提供網(wǎng)絡(luò)管理功能,MIB庫中包含了網(wǎng)絡(luò)管理相關(guān)的所有信息。第二十五條7、 MIB庫的讀寫密碼必須設(shè)定為非缺省值,防止其中的信息被潛在攻擊者獲取,威脅網(wǎng)絡(luò)安全。同時,允許對MIB庫進(jìn)行讀寫操作的主機(jī)也可通過ACL設(shè)置限定在指定網(wǎng)段范圍內(nèi)。第二十六條 網(wǎng)絡(luò)設(shè)備的安裝、配置、變更、撤銷等操作必須嚴(yán)格走相應(yīng)的流程進(jìn)行不能由網(wǎng)絡(luò)管理員獨(dú)自進(jìn)行,以使生產(chǎn)環(huán)境的網(wǎng)絡(luò)設(shè)備隨時處于可控狀態(tài)。第二十七條 對網(wǎng)絡(luò)設(shè)備的變更全過程進(jìn)行嚴(yán)密的控制,在流程中明確規(guī)定對網(wǎng)絡(luò)設(shè)備執(zhí)行一項(xiàng)變更操作必須經(jīng)過相關(guān)的技術(shù)評審,有主管領(lǐng)導(dǎo)審批,具備變更操作指導(dǎo)書等條件后才能具體實(shí)施,變更實(shí)施完成后要進(jìn)行測試,這樣才能將變更過程中可能帶來的風(fēng)險減小到最低限度。第二十八條 網(wǎng)絡(luò)安全管理員根據(jù)網(wǎng)絡(luò)安全的需要向安8、全管理機(jī)構(gòu)提出網(wǎng)絡(luò)設(shè)備系統(tǒng)升級或者補(bǔ)丁程序安裝建議。第二十九條 在安全管理機(jī)構(gòu)同意網(wǎng)絡(luò)設(shè)備系統(tǒng)升級或者補(bǔ)丁程序安裝建議后,在安全管理員配合網(wǎng)絡(luò)管理員完成詳細(xì)的升級(修改)目標(biāo)、內(nèi)容 、方式、步驟和應(yīng)急操作方案,報上級主管部門審核批準(zhǔn)。第三十條 上級主管部門審核批準(zhǔn)后進(jìn)行網(wǎng)絡(luò)設(shè)備的系統(tǒng)升級或者補(bǔ)丁程序安裝,采用雙人操作,由安全管理員監(jiān)督,網(wǎng)絡(luò)管理員進(jìn)行實(shí)際操作,并在升級(修補(bǔ))前后必須由網(wǎng)絡(luò)管理員完成相應(yīng)的備份工作。第三十一條 網(wǎng)絡(luò)管理員負(fù)責(zé)對網(wǎng)絡(luò)設(shè)備系統(tǒng)升級(修補(bǔ))過程進(jìn)行記錄備案。第三十二條 在升級(修補(bǔ))后由安全管理員對網(wǎng)絡(luò)設(shè)備進(jìn)行安全掃描檢測。第三十三條 啟用對遠(yuǎn)程登錄用戶的IP地址校驗(yàn)9、功能,保證用戶只能從特定的IP設(shè)備上遠(yuǎn)程登錄路由器進(jìn)行操作。第三十四條 啟用對遠(yuǎn)程登錄用戶的IP地址校驗(yàn)功能,保證用戶只能從特定的IP設(shè)備上遠(yuǎn)程登錄交換機(jī)進(jìn)行操作。第三十五條 啟用對用戶口令的加密功能,使本地保存的用戶口令進(jìn)行加密存放,防止用戶口令泄密。第三十六條 對于使用SNMP進(jìn)行網(wǎng)絡(luò)管理的路由器必須使用SNMP V2以上版本,并啟用MD5等校驗(yàn)功能。第三十七條 在每次配置等操作完成或者臨時離開配置終端時必須退出系統(tǒng)。第三十八條 設(shè)置控制口和遠(yuǎn)程登錄口的idle timeout時間,讓控制口或遠(yuǎn)程登錄口在空閑一定時間后自動斷開。第三十九條 一般情況下關(guān)閉路由器的Web配置服務(wù),如果實(shí)在需要10、,應(yīng)該臨時開放,并在做完配置后立刻關(guān)閉。第四十條 關(guān)閉路由器上不需要開放的服務(wù),如Finger、NTP、Echo、Discard、Daytime、Chargen等。第四十一條 在路由器上禁止IP的直接廣播。第四十二條 在路由器上禁止IP源路由和ICMP重定向,保證網(wǎng)絡(luò)路徑的完整性。第四十三條 在接入層路由器啟用對網(wǎng)絡(luò)邏輯錯誤數(shù)據(jù)包的過濾功能。第四十四條 在路由器上采用的路由協(xié)議如果具備對路由信息的認(rèn)證,必須啟用該功能。第四十五條 對于接入層交換機(jī),應(yīng)該采用VLAN技術(shù)進(jìn)行安全的隔離控制,根據(jù)業(yè)務(wù)的需求將交換機(jī)的端口劃分為不同的VLAN。第四十六條 在接入層交換機(jī)中,對于不需要用來進(jìn)行第三層連接11、的端口,應(yīng)該設(shè)置使其屬于相應(yīng)的VLAN,必要時可以將所有尚未使用的空閑交換機(jī)端口設(shè)置為“Disable”,防止空閑的交換機(jī)端口被非法使用。第四十七條 對于提供第三層交換的交換機(jī),對于交換機(jī)中的路由模塊,必須參照第七條進(jìn)行設(shè)置。第四十八條 在防火墻控制準(zhǔn)則的設(shè)置上應(yīng)該采用“禁止除非被明確允許”的原則。第四十九條 通過合理的配置使得撥號用戶首先必須通過防火墻系統(tǒng)的認(rèn)證。第五十條 在業(yè)務(wù)、網(wǎng)絡(luò)或者系統(tǒng)發(fā)生變化時根據(jù)安全控制策略的變化對防火墻的安全控制準(zhǔn)則重新進(jìn)行設(shè)置,保證安全控制準(zhǔn)則和網(wǎng)絡(luò)安全訪問控制策略保持一致。第五十一條 對于提供遠(yuǎn)程配置的防火墻,必須對配置終端的IP地址做限制。第五十二條 開啟12、防火墻系統(tǒng)的日志功能。第五十三條 對防火墻系統(tǒng)不同的管理員設(shè)置相應(yīng)的賬號,并開啟防火墻系統(tǒng)對管理員操作的記錄和審計功能。第五十四條 如果防火墻系統(tǒng)提供了對邏輯錯誤數(shù)據(jù)包的過濾功能,必須開啟該功能,防止IP地址欺騙。第五十五條 如果防火墻系統(tǒng)提供了入侵檢測功能,必須開啟該功能,并在發(fā)現(xiàn)網(wǎng)絡(luò)入侵時發(fā)出告警。第四章 安全管理機(jī)構(gòu)職責(zé)第五十六條 制訂網(wǎng)絡(luò)設(shè)備用戶賬號的管理制度,對各個網(wǎng)絡(luò)設(shè)備上擁有用戶賬號的人員、權(quán)限以及賬號認(rèn)證和管理的方式做明確的規(guī)定。對于重要網(wǎng)絡(luò)設(shè)備建議使用RADIUS或者TACACS的方式實(shí)現(xiàn)對用戶的集中管理,本辦法的重要網(wǎng)絡(luò)設(shè)備指的是生產(chǎn)網(wǎng)絡(luò)中的各種路由器、交換機(jī)、接入服務(wù)器等13、設(shè)備。第五十七條 制訂網(wǎng)絡(luò)設(shè)備用戶賬號口令的管理制度,要求網(wǎng)絡(luò)設(shè)備用戶賬號的口令在設(shè)置和保存是必須符合口令保密性要求。一般要求網(wǎng)絡(luò)設(shè)備用戶賬號的長度在8位以上,并且必須包含大小寫字母、數(shù)字以及其他字符。對于重要網(wǎng)絡(luò)設(shè)備,要求每季度進(jìn)行口令的更換。有條件的可以考慮使用一次性口令設(shè)備。第五十八條 制訂網(wǎng)絡(luò)設(shè)備日志的管理制度,對于日志功能的啟用、日志記錄的內(nèi)容、日志的管理形式、日志的審查分析做明確的規(guī)定。對于重要網(wǎng)絡(luò)設(shè)備,建議建立集中的日志管理服務(wù)器,實(shí)現(xiàn)對重要網(wǎng)絡(luò)設(shè)備日志的統(tǒng)一管理,以利于安全管理員對于日志的審查分析。第五十九條 對安全管理員進(jìn)行網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)安全掃描的周期和時間做出規(guī)定。對于重要的14、網(wǎng)絡(luò)設(shè)備,要求每個月做一次全面的網(wǎng)絡(luò)安全掃描,并且為了防止網(wǎng)絡(luò)安全掃描對網(wǎng)絡(luò)性能造成影響,應(yīng)根據(jù)業(yè)務(wù)的實(shí)際情況對掃描時間做出規(guī)定,一般安排在非業(yè)務(wù)繁忙時段。第五章 安全管理員職責(zé)第六十條 監(jiān)督網(wǎng)絡(luò)安全管理機(jī)構(gòu)制訂的網(wǎng)絡(luò)設(shè)備用戶賬號的管理制度的實(shí)行,對于使用RADIUS或者TACACS的方式實(shí)現(xiàn)對用戶的集中管理,安全管理員每個月應(yīng)該對RADIUS或者TACACS服務(wù)器上的用戶賬號進(jìn)行審查,在發(fā)現(xiàn)有可疑的用戶賬號時向網(wǎng)絡(luò)管理員進(jìn)行核實(shí)并采取相應(yīng)的措施。第六十一條 根據(jù)安全管理機(jī)構(gòu)規(guī)定的周期和時間,對網(wǎng)絡(luò)設(shè)備進(jìn)行全面網(wǎng)絡(luò)安全掃描,發(fā)現(xiàn)安全網(wǎng)絡(luò)設(shè)備上存在的異常開放的網(wǎng)絡(luò)服務(wù)或者開放的網(wǎng)絡(luò)服務(wù)存在安全漏15、洞時及時通知網(wǎng)絡(luò)管理員采取相應(yīng)的措施。第六十二條 對于重要的網(wǎng)絡(luò)設(shè)備,每兩周對日志做一次全面的分析,對登錄的用戶、登錄時間、所做的配置和操作做檢查,在分析有異常的現(xiàn)象時及時向網(wǎng)絡(luò)管理員進(jìn)行核實(shí)并采取相應(yīng)的措施。第六十三條 必須每季度查看網(wǎng)絡(luò)安全站點(diǎn)的安全公告,跟蹤和研究各種網(wǎng)絡(luò)安全漏洞和攻擊手段,在發(fā)現(xiàn)可能影響網(wǎng)絡(luò)設(shè)備安全的安全漏洞和攻擊手段時,及時做出相應(yīng)的對策,通知并指導(dǎo)同級網(wǎng)絡(luò)管理員進(jìn)行安全防范的同時,通知下面各級安全管理員,由各級安全管理員指導(dǎo)相應(yīng)的網(wǎng)絡(luò)管理員進(jìn)行安全防范。第六十四條 必須跟蹤網(wǎng)絡(luò)設(shè)備中使用的操作系統(tǒng)最新版本和安全補(bǔ)丁程序的發(fā)布情況,在發(fā)現(xiàn)有新版本或者安全補(bǔ)丁出現(xiàn)發(fā)布時16、,通知下面各級安全管理員,并按照本辦法第二十六條的處理流程處理。第六十五條 根據(jù)業(yè)務(wù)保護(hù)要求,提出防火墻系統(tǒng)的部署方案,并制訂相應(yīng)的網(wǎng)絡(luò)安全訪問控制策略。第六十六條 負(fù)責(zé)防火墻系統(tǒng)的日常維護(hù)工作,并根據(jù)網(wǎng)絡(luò)安全訪問控制策略,擬定相應(yīng)的防火墻安全控制準(zhǔn)則,并對安全控制準(zhǔn)則和訪問控制策略的一致性進(jìn)行校驗(yàn)。第六章 網(wǎng)絡(luò)管理員職責(zé)第六十七條 負(fù)責(zé)所管理網(wǎng)絡(luò)設(shè)備的用戶賬號管理,為不同的用戶建立相應(yīng)的賬號,根據(jù)對網(wǎng)絡(luò)設(shè)備安裝、配置、升級和管理的需要為用戶設(shè)置相應(yīng)的級別,并對各個級別用戶能夠使用的命令進(jìn)行限制。同時對網(wǎng)絡(luò)設(shè)備中所有用戶賬號進(jìn)行登記備案。第六十八條 負(fù)責(zé)自己在網(wǎng)絡(luò)設(shè)備上所擁有用戶賬號和口令的保17、密工作,不得將自己所擁有的用戶賬號轉(zhuǎn)借給他人使用。同時遵守網(wǎng)絡(luò)安全管理機(jī)構(gòu)制訂的網(wǎng)絡(luò)設(shè)備用戶賬號口令管理制度,在用戶賬號口令的設(shè)置上符合保密性要求,并每季度修改口令。第六十九條 一般情況下不允許外部人員直接進(jìn)入網(wǎng)絡(luò)設(shè)備進(jìn)行操作。在特殊情況下(如系統(tǒng)維修、升級等)情況下外部人員需要進(jìn)入網(wǎng)絡(luò)設(shè)備進(jìn)行操作,必須由網(wǎng)絡(luò)管理員進(jìn)行登錄,并對操作過程進(jìn)行記錄并備案,禁止將系統(tǒng)用戶賬號及口令直接交給外部人員。第七十條 對所管理的網(wǎng)絡(luò)設(shè)備所安裝的操作系統(tǒng)進(jìn)行登記,登記記錄上應(yīng)該標(biāo)明廠家、操作系統(tǒng)版本、已安裝的補(bǔ)丁程序號、安裝和升級的時間等內(nèi)容。第七十一條 對網(wǎng)絡(luò)設(shè)備的登錄提示重新進(jìn)行設(shè)置,防止網(wǎng)絡(luò)設(shè)備在用戶登18、錄提示信息中出現(xiàn)系統(tǒng)的有關(guān)信息,必要時在用戶登錄提示中還可以對攻擊嘗試提出警告。第七十二條 在所管理網(wǎng)絡(luò)設(shè)備上發(fā)現(xiàn)可能與網(wǎng)絡(luò)安全有關(guān)的可疑現(xiàn)象時及時向安全管理員報告,并協(xié)助安全管理員進(jìn)行問題的診斷。第七十三條 會同安全管理員對網(wǎng)絡(luò)設(shè)備上的安全事件進(jìn)行排除和修復(fù)。第七十四條 在網(wǎng)絡(luò)設(shè)備正常的系統(tǒng)升級后,將升級的情況報安全管理員備案,并由安全管理員對網(wǎng)絡(luò)設(shè)備進(jìn)行網(wǎng)絡(luò)安全掃描檢測。第七十五條 對于與網(wǎng)絡(luò)安全問題有關(guān)的由安全管理員發(fā)起的對于網(wǎng)絡(luò)設(shè)備的系統(tǒng)升級,按照本辦法第二十六條處理。第七章 普通用戶職責(zé)第七十六條 負(fù)責(zé)本人所擁有個人用網(wǎng)絡(luò)設(shè)備(例如調(diào)制解調(diào)器)的安全管理。第七十七條 負(fù)責(zé)本人在網(wǎng)絡(luò)設(shè)19、備上所擁有的用戶賬號和口令(例如防火墻系統(tǒng)的用戶和賬號)的安全管理,禁止將用戶賬號轉(zhuǎn)借他人使用。第七十八條 負(fù)責(zé)監(jiān)控設(shè)備及系統(tǒng)運(yùn)行狀態(tài)。第八章 附則第一節(jié) 文擋信息第七十九條 本制度由業(yè)務(wù)科技處制定,并負(fù)責(zé)解釋和修訂。由信息安全工作組討論通過,發(fā)布執(zhí)行。第八十條 本制度自發(fā)布之日起執(zhí)行。第二節(jié) 版本控制第八十一條 對本制度所有修改及審批、發(fā)布都按時間順序記錄在此。V1.0文檔定稿第三節(jié) 其他信息第八十二條 本制度中所稱的人員角色職責(zé)由各部門人員分別擔(dān)任,可能現(xiàn)有崗位的職工在不同時期所擔(dān)任的角色不同,甚至身兼多種角色,這種情況下該職工應(yīng)該履行所兼每種角色的安全職責(zé)。第八十三條 XXXX安全管理制度匯編定義了信息安全體系的整體結(jié)構(gòu)、安全組織及各角色崗位的職責(zé)、以及覆蓋各項(xiàng)安全內(nèi)容的安全管理制度。所有職工均應(yīng)把XXXX安全管理制度匯編的規(guī)定作為信息安全工作的基本要求,其內(nèi)容一經(jīng)頒布將在一定時間內(nèi)長期有效,其涉及的所有部門或個人均需對其負(fù)責(zé)。
管理運(yùn)營
上傳時間:2024-12-16
18份
管理運(yùn)營
上傳時間:2024-12-19
18份
管理運(yùn)營
上傳時間:2024-12-16
13份
管理運(yùn)營
上傳時間:2024-12-17
17份
管理運(yùn)營
上傳時間:2024-12-17
19份
管理運(yùn)營
上傳時間:2024-12-16
20份