網(wǎng)絡(luò)系統(tǒng)安全管理規(guī)范.doc

文件名稱網(wǎng)絡(luò)系統(tǒng)安全管理規(guī)范密級文件編號版 本 號編寫部門編 寫 人審 批 人發(fā)布時間XXXXXXXXXXXXXXX公司業(yè)務平臺安全管理制度網(wǎng)絡(luò)系統(tǒng)安全管理規(guī)范XXXXXXX網(wǎng)絡(luò)運行維護事業(yè)部目錄一. 網(wǎng)絡(luò)系統(tǒng)架構(gòu)安全規(guī)范11.1 網(wǎng)絡(luò)安全的范圍11.2 網(wǎng)絡(luò)結(jié)構(gòu)安全要求1二. 網(wǎng)絡(luò)系統(tǒng)拓撲結(jié)構(gòu)安全22.1 安全域的設(shè)計22.2 安全域劃分原則22.3 安全域劃分方法32.4 邊界整合及控制3三. 網(wǎng)絡(luò)系統(tǒng)訪問控制53.1 通用網(wǎng)絡(luò)保護要求53.2 網(wǎng)絡(luò)設(shè)備配置要求53.2.1交換機配置要求53.2.2路由器配置要求63.2.3防火墻配置要求6四. 網(wǎng)絡(luò)系統(tǒng)設(shè)備安全74.1 變更管理要求74.2 賬號口令管理要求74.3 日志安全要求74.4 訪問控制要求74.5 SNMP安全要求84.6 版本安全要求8五. 網(wǎng)絡(luò)流量監(jiān)控分析95.1 異常流量檢測分析95.2 異常流量控制9六. 附錄106.1 交換機安全配置規(guī)范106.2 路由器安全配置規(guī)范106.3 防火墻安全配置規(guī)范10 II主機系統(tǒng)安全管理規(guī)范一. 網(wǎng)絡(luò)系統(tǒng)架構(gòu)安全規(guī)范1.1 網(wǎng)絡(luò)安全的范圍網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡(luò)服務不中斷。它涉及主機、終端和應用等多個層面的安全防護；網(wǎng)絡(luò)安全采用的技術(shù)手段也多種多樣，既有網(wǎng)絡(luò)層面的入侵檢測、遠程接入管理、內(nèi)容過濾、流量檢測，也有其它層面的文檔安全、桌面管理、病毒防護、訪問認證等。 單純的采用一種或多種安全技術(shù)手段，不能從根本上彌補網(wǎng)絡(luò)架構(gòu)所造成的缺陷，必須綜合考慮網(wǎng)絡(luò)性能、網(wǎng)絡(luò)維護、網(wǎng)絡(luò)優(yōu)化改造、邊界防護等多方面的因素，以網(wǎng)絡(luò)的整體安全為框架，融合安全技術(shù)、安全手段，并充分考慮系統(tǒng)生命周期內(nèi)的安全要素，才能達到預期的網(wǎng)絡(luò)安全目標。 1.2 網(wǎng)絡(luò)結(jié)構(gòu)安全要求網(wǎng)絡(luò)結(jié)構(gòu)的設(shè)計應滿足網(wǎng)絡(luò)整體的安全要求，包括：設(shè)備安全、訪問控制、邊界完整性、入侵防范、惡意代碼防范、網(wǎng)絡(luò)冗余、安全審計等。u 應保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務處理能力具備冗余空間，滿足業(yè)務高峰期需要；u 應保證網(wǎng)絡(luò)各個部分的帶寬滿足業(yè)務高峰期需要；u 應在業(yè)務終端與業(yè)務服務器之間進行路由控制建立安全的訪問路徑；u 應繪制與當前運行情況相符的網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖；u 應根據(jù)各系統(tǒng)的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段；u 應避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段；u 應按照對業(yè)務服務的重要次序來指定帶寬分配優(yōu)先級別，保證在網(wǎng)絡(luò)發(fā)生擁堵的時候優(yōu)先保護重要主機。二. 網(wǎng)絡(luò)系統(tǒng)拓撲結(jié)構(gòu)安全2.1 安全域的設(shè)計安全域設(shè)計應基于業(yè)務系統(tǒng)平臺的結(jié)構(gòu)，從各種業(yè)務功能、管理、控制功能出發(fā)，梳理其數(shù)據(jù)流、刻畫構(gòu)成數(shù)據(jù)流的各種數(shù)據(jù)處理活動/行為，分析數(shù)據(jù)流、數(shù)據(jù)處理活動的安全需求和安全域設(shè)計要求，將系統(tǒng)分解為若干個功能簡單、邊界清晰且結(jié)構(gòu)化的小的安全域，根據(jù)不同安全域承擔的業(yè)務使命、業(yè)務功能以及受到的潛在的威脅和安全風險，進行有針對的分等級的重點保護，構(gòu)建起多層、主動、立體的安全保障體系，并通過控制、審計等手段，達到持久、有效地保障系統(tǒng)安全的目的。2.2 安全域劃分原則安全域劃分是網(wǎng)絡(luò)安全工作的基礎(chǔ)。所謂安全域，是指網(wǎng)絡(luò)中具有相同的安全保護需求、并相互信任的區(qū)域或網(wǎng)絡(luò)實體的集合。一個安全域內(nèi)也可根據(jù)實際情況進一步細分安全區(qū)域、安全子域。 安全域劃分的基本原則包括：u 業(yè)務保障原則：安全域劃分的根本目標是為了能夠更好地保障網(wǎng)絡(luò)上承載的業(yè)務。在保證安全的同時，還要保障業(yè)務的正常運行和運行效率。u 結(jié)構(gòu)簡化原則：安全域劃分的直接目的和效果是要將整個網(wǎng)絡(luò)變得更加簡單，簡單的網(wǎng)絡(luò)結(jié)構(gòu)便于設(shè)計防護體系。因此，安全域劃分并不是粒度越細越好，安全域數(shù)量過多過雜反而可能導致安全域的管理過于復雜，實際操作過于困難。 u 立體協(xié)防原則：安全域的主要對象是網(wǎng)絡(luò)，但是圍繞安全域的防護需要考慮在各個層次上立體防守，包括在物理鏈路、網(wǎng)絡(luò)、主機系統(tǒng)、應用等層次；同時，在部署安全域防護體系的時候，要綜合運用身份鑒別、訪問控制、檢測審計、鏈路冗余、內(nèi)容檢測等各種安全功能實現(xiàn)協(xié)防。 u 生命周期原則：對于安全域的劃分和布防不僅僅要考慮靜態(tài)設(shè)計，還要考慮不斷的變化；另外，在安全域的建設(shè)和調(diào)整過程中要考慮工程化的管理。2.3 安全域劃分方法根據(jù)安全域的設(shè)計原理，業(yè)務平臺可以劃分為：核心生產(chǎn)區(qū)、內(nèi)部互聯(lián)區(qū)、互聯(lián)網(wǎng)接口區(qū)、核心交換區(qū).核心生產(chǎn)區(qū)：本區(qū)域僅和該業(yè)務系統(tǒng)其它安全子域直接互聯(lián)，不與任何外部網(wǎng)絡(luò)直接互聯(lián)。該業(yè)務系統(tǒng)中資產(chǎn)價值最高的設(shè)備位于本區(qū)域，如服務器群、數(shù)據(jù)庫以及重要存儲設(shè)備，外部不能通過互聯(lián)網(wǎng)直接訪問該區(qū)域內(nèi)設(shè)備。內(nèi)部互聯(lián)接口區(qū)：本區(qū)域放置的設(shè)備和公司內(nèi)部網(wǎng)絡(luò)，如IP專網(wǎng)等連接，具體包括與支撐系統(tǒng)、其它業(yè)務系統(tǒng)或可信任的第三方互聯(lián)的設(shè)備，如網(wǎng)管采集設(shè)備?；ヂ?lián)網(wǎng)接口區(qū)：本區(qū)域和互聯(lián)網(wǎng)直接連接，主要放置互聯(lián)網(wǎng)直接訪問的設(shè)備。如業(yè)務系統(tǒng)門戶（Portal）。該區(qū)域的設(shè)備具備實現(xiàn)互聯(lián)網(wǎng)與內(nèi)部核心生產(chǎn)區(qū)數(shù)據(jù)的轉(zhuǎn)接作用。核心交換區(qū)：負責連接核心生產(chǎn)區(qū)、內(nèi)部互聯(lián)接口區(qū)和外部互聯(lián)接口區(qū)等安全域。2.4 邊界整合及控制安全域明確定義之后，要在實際的信息系統(tǒng)環(huán)境中進行劃分并實施相應保護措施，首先應先進行安全域的邊界整合。常見的安全域邊界整合應考慮如下工作： 網(wǎng)絡(luò)邊界整合（網(wǎng)絡(luò)域） 網(wǎng)絡(luò)調(diào)整、割接（路由、交換調(diào)整）； 交換機VLAN劃分； 防火墻部署（考慮冗余、DMZ、VPN）； 增加隔離設(shè)備u 服務整合（計算域） 服務器整合； 應用接口規(guī)范整合u 終端整合（用戶域） 不同業(yè)務的管理員用戶、內(nèi)部用戶整合； 第三方用戶（廠商、VPN撥號用戶等）整合u 安全措施整合 身份認證整合； 補丁管理、病毒管理、入侵檢測、漏洞掃描、日志審計三. 網(wǎng)絡(luò)系統(tǒng)訪問控制網(wǎng)絡(luò)中的一些信息系統(tǒng)可能因含有敏感和重要數(shù)據(jù)，需要特別保護，防止其他網(wǎng)絡(luò)用戶的訪問。3.1 通用網(wǎng)絡(luò)保護要求u 只有經(jīng)授權(quán)的網(wǎng)絡(luò)設(shè)備運維操作員才可訪問相應網(wǎng)絡(luò)設(shè)備。其他人員需經(jīng)過信息安全負責人批準，且訪問時網(wǎng)絡(luò)設(shè)備運維操作員需在場。u 在沒有得到預先批準的情況下，不能公開發(fā)布內(nèi)部網(wǎng)絡(luò)地址，設(shè)置和有關(guān)系統(tǒng)和網(wǎng)絡(luò)信息。u 所有連接到第三方網(wǎng)絡(luò)或者連接公共網(wǎng)絡(luò)的內(nèi)部網(wǎng)絡(luò)應被保護。u 到其他網(wǎng)絡(luò)的連接不應危及在另一個網(wǎng)絡(luò)里處理的信息的安全，反之亦然。u 網(wǎng)絡(luò)架構(gòu)任何人都不能隨意變動，任何變更都需要經(jīng)過信息安全負責人批準u 已安裝的網(wǎng)絡(luò)資產(chǎn)的文檔清單應被維護并保持最新。一些網(wǎng)絡(luò)拓撲的細節(jié)的描述如，協(xié)議，結(jié)構(gòu)，加密等等也應被文檔化和保持最新。3.2 網(wǎng)絡(luò)設(shè)備配置要求3.2.1交換機配置要求為了加強安全保護，VLAN建設(shè)中建議采用以下功能：u 核心交換機和分布式交換機實施包過濾技術(shù)；u 只有授權(quán)用戶才能訪問服務器，用有效的IP地址進行授權(quán)。u 限制和控制訪問關(guān)鍵服務器應用的流量，例如，只允許Ftp、Telnet等從某個授權(quán)地點到某個關(guān)鍵服務器應用的流量。配置訪問控制列表，防止地址欺騙。3.2.2路由器配置要求u 共享的網(wǎng)絡(luò)，特別是那些跨過組織邊界的網(wǎng)絡(luò)，需要實施路由控制來確保計算機連接和信息流只能基于業(yè)務的需要，這種控制對于和第三方的網(wǎng)絡(luò)共享非常重要。u 路由器上應給予確實的源地址和目的地址的檢查機制。u 網(wǎng)絡(luò)地址的轉(zhuǎn)換對分隔網(wǎng)絡(luò)和防止路由從一個組織網(wǎng)絡(luò)傳播到另一個組織的網(wǎng)絡(luò)是非常有用的。u 盡可能地采用集中認證方式和一次性口令；u 通過配置協(xié)議認證，避免非授權(quán)網(wǎng)絡(luò)設(shè)備接入網(wǎng)絡(luò)。u 防止BGP路由振蕩。u 配置動態(tài)路由協(xié)議（BGP/ MP-BGP /OSPF等）時必須啟用帶加密方式的身份驗證功能，相鄰路由器只有在身份驗證通過后，才能互相通告路由信息。u 骨干路由器要求專門保護的部件要予以隔離，以降低所要求的總體保護等級；u 制定路由策略，禁止發(fā)布或接收不安全的路由信息。3.2.3防火墻配置要求在可能的情況下，防火墻需采取以下配置：u 防火墻必須隱藏內(nèi)部主機及域名，防火墻必須隱藏內(nèi)部IP結(jié)構(gòu)。u 采用NAT轉(zhuǎn)換DMZ區(qū)IP地址和公共網(wǎng)絡(luò)的地址。u 除了防火墻和應用必須提供的服務之外，避免所有其它網(wǎng)絡(luò)服務。u 除了所選擇的ICMP信息外，防火墻必須阻擋所有其它ICMP信息。u 開啟防火墻帶有的防止DOS攻擊的功能。例如IP地址欺騙，SYN攻擊等。四. 網(wǎng)絡(luò)系統(tǒng)設(shè)備安全4.1 變更管理要求u 網(wǎng)絡(luò)設(shè)備的任何變更都必須通過公司變更管理流程正式批準。u 所有與網(wǎng)絡(luò)設(shè)備相連接的網(wǎng)絡(luò)部分(包括物理線路、設(shè)備)的變更等，都需通過公司變更管理流程正式批準。u 在對網(wǎng)絡(luò)設(shè)備進行變更之后，必須經(jīng)過健康檢查。建議透過一些可靠的工具（如掃描器或手工檢查），對設(shè)備進行完整測試,包括系統(tǒng)狀態(tài)、業(yè)務功能測試、開放端口等。4.2 賬號口令管理要求u 避免用戶賬號共享。除超級用戶帳號可分配一至二人管理外，其余為一個運維操作員配置一個帳號，每個運維操作員以各自的賬號登錄。并刪除系統(tǒng)無用帳號。u 設(shè)置登錄帳號的修改周期小于90天；u 加密口令，避免用戶密碼泄露u 普通用戶帳號密碼位長需大于6位。超級用戶帳號密碼應為數(shù)字、大小寫字母中任意兩者以上的組合，位長大于8位； u 以上策略應通過設(shè)備參數(shù)配置，或與認證系統(tǒng)聯(lián)動，滿足帳號、口令和授權(quán)的強制要求。不具備上述條件的，應通過人工方式控制。4.3 日志安全要求u 網(wǎng)絡(luò)設(shè)備的登陸退出日志、操作維護日志應根據(jù)各業(yè)務平臺的維護要求，保存在本機、或轉(zhuǎn)儲到外部存儲介質(zhì)上，不得隨意刪除。4.4 訪問控制要求u 限制訪問網(wǎng)絡(luò)設(shè)備的管理終端。u 設(shè)置安全訪問控制，過濾掉已知蠕蟲常用端口。u 關(guān)閉未使用的端口，如路由器的AUX口。u 關(guān)閉網(wǎng)絡(luò)設(shè)備不必要的服務，比如FTP、TFTP服務等。u 禁用不需要的功能。u 避免遠程維護過程中出現(xiàn)用戶賬戶和設(shè)備配置信息泄露,：如采用安全的SSH登陸遠程維護設(shè)備。u 修改BANNER提示，避免缺省BANNER信息泄露系統(tǒng)平臺以及其它信息。4.5 SNMP安全要求u 系統(tǒng)應修改SNMP的Community默認通行字，通行字應符合口令強度要求。u 系統(tǒng)應配置為SNMPV2或以上版本。u 設(shè)置SNMP訪問安全限制，只允許特定主機通過SNMP訪問網(wǎng)絡(luò)設(shè)備。4.6 版本安全要求u 應根據(jù)廠商建議及時對網(wǎng)絡(luò)設(shè)備進行版本升級與補丁更新，版本應已通過廠家驗證。u 升級前應當對網(wǎng)絡(luò)設(shè)備配置進行備份,以備升級失敗回退原有配置五. 網(wǎng)絡(luò)流量監(jiān)控分析異常流量，包括DDoS攻擊流量，P2P資源濫用流量，蠕蟲病毒流量。這些流量充斥在網(wǎng)絡(luò)中，占用了網(wǎng)絡(luò)帶寬，網(wǎng)絡(luò)設(shè)備的處理能力，使得正常的業(yè)務受到影響。5.1 異常流量檢測分析u 異常流量定位應對網(wǎng)絡(luò)中的流量進行長期和不間斷的監(jiān)控和分析，對異常流量進行及時的告警和定位，準確的發(fā)現(xiàn)異常流量進入網(wǎng)絡(luò)的端口和攻擊目標。u 異常流量分析應對異常流量進行詳細的分析，對