目录
1. 前言
2. 网络安全管理制度
2.1 网络安全架构规定
2.2 网络安全访问控制管理
2.3 网络设备安全管理
2.4 网络设备管理人员规范
1. 前言
本规范用于员工的生产系统和生产管理平台的操作管理。
2. 网络安全管理制度
2.1 网络安全架构规定
公司网络系统必须严格划分内网和外网,中间使用多层防火墙进行隔离和安全访问控制。
公司所有线上设备均实现热备冗余,保证生产运营的安全可靠。
通过防火墙及其它网络设备,可执行802.1X认证来实现对边界完整性检查。
具有抗DOS攻击以及主动防御功能,可实现对异常流量的监控和对恶意攻击的阻止。
所有可管理网络设备均保存有完整可查的日志记录,保证所有对网络设备的操作都有据可查。
2.2 网络安全访问控制管理
2.2.1 内部网络安全访问控制
公司按照业务系统的安全级别,划分不同的局域网区域,进行访问控制。
处于同一局域网同一网段的内部设备可相互访问,通过系统设备配置网卡地址直接进行访问。
同一局域网的内部设备均通过特定的业务端口进行访问。
不处于同一局域网的内部设备默认情况下,不能互相访问,需通过防火墙进行地址转换,并进行策略访问配置后才能访问。
不处于同一局域网的内部设备访问,通过防火墙进行端口访问控制,只开放必要的业务访问端口。
2.2.2 外部网络安全访问控制
所有的内部系统,除了公司网站以外,其它系统默认情况不能被外部系统访问,也不能访问外部系统。
通过专线连接的外部系统,需访问内部系统时,内部系统通过内部防火墙进行策略地址转换后,进行策略访问配置,并添加网络路由和主机路由才能访问。
通过专线连接的外部系统,访问内部系统时,通过内部防火墙进行端口访问控制,只开放必要的业务访问端口。在系统调试和故障处理时,临时开放进行网络测试的ICMP等协议的相关端口,处理完成后,关闭相应的端口。
通过互联网连接的外部系统,不能访问内部核心系统,只能访问开放互联网业务的互联网区域的内部系统,内部系统需通过防火墙进行地址转换,并添加策略访问配置后才能访问。
通过互联网连接的外部系统,访问内部系统时,通过防火墙进行端口访问控制,只开放必要的业务访问端口。在系统调试和故障处理时,临时开放进行网络测试的ICMP等协议的相关端口,处理完成后,关闭相应的端口。
对于所有能基于证书认证的网络管理访问都采用基于证书的认证,对于基于WEB方式的管理采用基于SSL加密认证的访问,杜绝用户帐户和口令被非法窃听。
对于基于远程拨号的访问,在前置接入主机上进行严格的口令安全检查,防止恶意用户反复尝试猜测口令,对于帐号和口令的发放均需通过专人统一授权发放,同时在防火墙上对拨号进入的用户设置严格的访问控制规则,杜绝因帐号泄露而导致的网络攻击行为。
2.3 网络设备安全管理
2.3.1 设备口令管理
对于设备系统运行的各级管理口令,由网络经理和网络工程师统一管理。其它的运维人员,只设定查看权限。
定期修改口令。口令的设置符合保密要求,均采用字母、数字和特殊符号组合而成,防止非法入侵者的猜测成功,而造成的系统故障发生。
维护人员发生变化,由网络经理或网络工程师立即修改密码。
对于无效用户及时删除。
2.3.2 设备日志管理
所有可管理网络设备均保存有完整可查的日志记录,保证所有对网络设备的操作都有据可查,专人对日志进行定期审查。
根据网络设备位置设置网络设备日志级别,设置日志服务器,保证所有告警错误信息及时传送至日志服务器,定期进行备份。
必须严格控制设备日志的访问权限,除网络管理员和专用账号之外,不得赋予其他用户访问通信日志的权限。
确因业务需要从生产环境中获取日志的,必须办理审批手续,在生产环境现场的专有指定环境使用日志。所有日志不得带离现场。确因业务需要将账户信息带离现场的,执行严格的审批、使用、销毁流程。
2.3.3 设备登录管理
一般情况下,只允许网络经理和网络工程师直接登录网络设备进行维护操作。
其它运维人员,只能登录网络设备进行配置查看。
在网络经理和网络工程师进行配置更改前,需将设备原有配置保存至FTP服务器上,配置完成后,再将现有配置保存至FTP服务器,所有的配置文档永久保留。远程登录网络设备进行维护操作。
2.3.4 网络设备系统升级
网络设备现有系统软件版本存在安全漏洞,或者所配置模块无法再现有版本下正常工作,需对网络设备进行系统升级处理。
在对网络设备系统软件升级前,网络经理和网络工程师提出详细的升级目标、内容、方式、步骤和应急操作方案报上级主管部门审核批准。
在进行网络设备系统软件升级操作前,将网络设备现有系统和配置文件保存至FTP服务器,升级后,进行网络测试,确保设备正常后,将网络设备升级后的系统和配置文件保存至FTP服务器。
网络设备升级的详细的操作过程及方案部门留底保存。
2.3.5 网络设备日常维护
实时监控网络设备运行状况,建立日志服务器。
定期对系统数据进行备份
定期查看系统的安全管理软件及系统日志,在发现系统遭到非法攻击或非法攻击尝试时,应利用系统提供的功能进行自我保护,并对非法攻击进行定位、跟踪和发出警告,同时向上级主管部门汇报。如有疑难问题请相关负责系统安全的人员协助解决。
维护过程中发现的不正常情况应及时处理和详细记录,处理不了的问题,应立即向主管人员报告。
2.4 网络设备管理人员规范
2.4.1 网络设备管理人员
目前公司设有网络经理和网络工程师2个职位,共同进行网络设备维护和安全管理。
网络经理全面负责网络设备的维护及安全管理,定期对网络架构、网络整体运行情况进行分析,及时了解公司业务对网络的需求,提出网络扩容和整改方案。
网络工程师全部负责网络设备的维护操作和故障处理,搭建网络监控系统,实时监控网络设备运行状况,及时处理网络故障。
2.4.2 网络安全培训管理
定期组织运维人员学习网络安全管理知识,提高运维人员的维护网络安全的警惕性和自觉性。
负责对本公司员工进行安全教育和培训,使用户自觉遵守和维护《计算机信息网络国际互联网安全保护管理办法》,使他们具备基本的网络安全知识。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
