網(wǎng)絡(luò)安全管理制度

1、網(wǎng)絡(luò)安全管理制度 中國科學(xué)院沈陽應(yīng)用生態(tài)研究所 、八 、- 前言 網(wǎng)絡(luò)安全是保障中國科學(xué)院沈陽應(yīng)用生態(tài)研究所 （以下簡稱沈陽生態(tài)所） 信 息系統(tǒng)安全運(yùn)行的基礎(chǔ)。 為保障沈陽生態(tài)所信息系統(tǒng)的安全、 穩(wěn)定運(yùn)行， 特制定 本規(guī)范。 本制度由信息中心提出。 本制度由信息中心歸口。 本制度起草部門：信息中心。 本制度主要起草人：岳倩 本制度起草日期： 2015/12/05 網(wǎng)絡(luò)安全管理制度 1 范圍 本制度適用于沈陽生態(tài)所信息系統(tǒng)網(wǎng)絡(luò)安全管理工作。 2 組織及職責(zé) 系統(tǒng)管理員職責(zé) 恪守職業(yè)道德，嚴(yán)守企業(yè)秘密，熟悉國家安全生產(chǎn)法以及有關(guān)信息 安全管理的相關(guān)規(guī)程； 負(fù)責(zé)網(wǎng)絡(luò)安全設(shè)備的安全策略部署、配置及變更

2、管理、內(nèi)網(wǎng)運(yùn)行情 況、更新和維護(hù)等日常工作； 對數(shù)據(jù)網(wǎng)絡(luò)實(shí)行分級授權(quán)管理，按照崗位職責(zé)授予不同的管理級別 和權(quán)限； 密切注意最新網(wǎng)絡(luò)攻擊行為的發(fā)生、發(fā)展情況，關(guān)注和追蹤業(yè)界公 布的攻擊事件； 密切關(guān)注信息系統(tǒng)安全隱患，及時(shí)變更信息安全策略或升級安全設(shè) 備。 信息安全管理員職責(zé) 恪守職業(yè)道德，嚴(yán)守企業(yè)秘密，熟悉國家安全生產(chǎn)法以及有關(guān)信息 安全管理的相關(guān)規(guī)程； 每周對系統(tǒng)管理員的登錄和操作記錄進(jìn)行審計(jì)； 對系統(tǒng)管理員部署的安全策略、配置和變更內(nèi)容進(jìn)行審計(jì)； 密切注意最新漏洞的發(fā)生、發(fā)展情況，關(guān)注和追蹤業(yè)界公布的漏洞 疫情。 3 管理員賬號和權(quán)限管理 3.1 管理員賬號 系統(tǒng)管理員和信息安全管理員的

3、用戶賬號應(yīng)分開設(shè)置， 其他人員不得設(shè) 置賬戶。在安全設(shè)備上建立用戶賬號，需要經(jīng)過本級信息部門安全主管的審 批并保留審批記錄。 3.2 系統(tǒng)管理員權(quán)限 系統(tǒng)管理員具有設(shè)置、修改安全設(shè)備策略配置，以及讀取和分析檢測數(shù) 據(jù)的權(quán)限。 3.3 信息安全管理員權(quán)限 信息安全管理員具有讀取安全設(shè)備日志信息， 以及檢查安全設(shè)備策略配 置內(nèi)容的權(quán)限。 3.4 管理員身份鑒別 管理員身份鑒別可以采用口令方式。應(yīng)為用戶級和特權(quán)級模式設(shè)置口 令，不能使用缺省口令，確保用戶級和特權(quán)級模式口令不同。安全設(shè)備口令 長度應(yīng)采用 8位以上，由非純數(shù)字或字母組成，并保證每季度至少更換一次。 安全設(shè)備的身份鑒別，必要時(shí)可以采用數(shù)字

4、證書方式。 4 策略和部署管理 4.1 制定安全策略 系統(tǒng)管理員應(yīng)依據(jù)沈陽生態(tài)所管理系統(tǒng)信息安全規(guī)劃，結(jié)合實(shí)際需求， 制定、配置具體網(wǎng)絡(luò)安全設(shè)備的安全策略，并且進(jìn)行規(guī)范化和文檔化；安全 設(shè)備的策略文檔應(yīng)妥善保存。 對關(guān)鍵的安全設(shè)備要采用雙機(jī)熱備或冷備的方式進(jìn)行部署以減小系統(tǒng) 運(yùn)行的風(fēng)險(xiǎn)。 4.2 安全設(shè)備統(tǒng)一部署 安全設(shè)備部署應(yīng)依據(jù)沈陽生態(tài)所管理系統(tǒng)的信息安全規(guī)劃統(tǒng)一部署， 保 證安全設(shè)備的可用性。 安全設(shè)備部署的具體實(shí)施須經(jīng)信息管理部門的審批并 保留審批記錄。 4.3 安全網(wǎng)關(guān)類設(shè)備部署 安全網(wǎng)關(guān)類設(shè)備部署應(yīng)根據(jù)網(wǎng)絡(luò)安全域的劃分情況進(jìn)行正確部署， 滿足 不同網(wǎng)絡(luò)安全域之間訪問控制的要求。 5

5、 配置和變更管理 5.1 配置和變更授權(quán) 網(wǎng)絡(luò)安全設(shè)備的配置、變更應(yīng)滿足信息系統(tǒng)變更管理的要求，配置和變 更前應(yīng)充分評估對信息系統(tǒng)可能產(chǎn)生的影響，報(bào)信息管理部門審批、授權(quán)后 執(zhí)行，保留審批記錄。 5.2 防火墻設(shè)備配置 防火墻設(shè)備配置操作規(guī)程要點(diǎn)如下： 1) 記錄網(wǎng)絡(luò)環(huán)境，定義防火墻網(wǎng)絡(luò)接口； 2) 定義防火墻的網(wǎng)絡(luò)對象和應(yīng)用端口； 3) 定義安全策略； 4) 定義系統(tǒng)管理員和信息安全管理員權(quán)限； 5) 測試防火墻性能； 6) 編寫和整理防火墻設(shè)備配置文檔和技術(shù)資料。 5.3 VPN設(shè)備配置 VPN設(shè)備配置操作規(guī)程要點(diǎn)如下： 1) 環(huán)境配置，指網(wǎng)絡(luò)環(huán)境的設(shè)置， VPN網(wǎng)關(guān)的控制臺的設(shè)置； 2)

6、 設(shè)置VPN網(wǎng)關(guān)的各種網(wǎng)絡(luò)參數(shù)特性，包括網(wǎng)絡(luò)接口、透明網(wǎng)絡(luò)、靜 態(tài)路由等； 3) VPN設(shè)置，將證書導(dǎo)入VPN網(wǎng)關(guān)系統(tǒng)；進(jìn)行SM(設(shè)置，對SMC進(jìn)行身 份認(rèn)證并下載策略，加載加密算法；添加靜態(tài)隧道，從SMC中下載 與本機(jī)有信任關(guān)系的主機(jī)信息；設(shè)置與信任設(shè)備之間的隧道各項(xiàng)參 數(shù)，定義虛擬路由，并進(jìn)行客戶端配置； 4) 防火墻設(shè)置，包括進(jìn)行包過濾規(guī)則設(shè)置和 NAT規(guī)則設(shè)置； 5) 服務(wù)器設(shè)置，包括VPN安全網(wǎng)關(guān)提供的DHCP艮務(wù)器、撥號服務(wù)器、 L2tp服務(wù)器、設(shè)置撥號用戶、DNS代理和SNM代理等功能的話設(shè)置； 6) 帶寬管理，對流經(jīng)網(wǎng)絡(luò)接口的網(wǎng)絡(luò)流量預(yù)先進(jìn)行分配管理，保證用 戶對網(wǎng)絡(luò)連接帶寬的

7、要求。帶寬管理針對所有網(wǎng)絡(luò)接口進(jìn)行管理； 7) 定義系統(tǒng)管理員和信息安全管理員權(quán)限； 8) 測試VPNS全網(wǎng)關(guān)性能； 9) 編寫和整理VPNS全網(wǎng)關(guān)設(shè)備配置文檔和技術(shù)資料。 5.4 代理服務(wù)器設(shè)備配置 代理服務(wù)器設(shè)備配置操作規(guī)程要點(diǎn)如下： 1) 環(huán)境配置，指網(wǎng)絡(luò)環(huán)境的設(shè)置，包括代理服務(wù)器對網(wǎng)絡(luò)參數(shù)的設(shè)置； 2) 代理服務(wù)器安全策略設(shè)置； 3) 客戶端的相關(guān)設(shè)置； 4) 定義系統(tǒng)管理員和信息安全管理員權(quán)限； 5) 性能參數(shù)測試，估測網(wǎng)絡(luò)代理服務(wù)器吞吐量、延遲、并發(fā)連接數(shù)等； 6) 編寫和整理代理服務(wù)器設(shè)備配置文檔和技術(shù)資料。 6 運(yùn)行維護(hù)管理 6.1 安全設(shè)備的檢測和維護(hù) 安全網(wǎng)關(guān)及入侵檢測類設(shè)

8、備定期檢測和維護(hù)要求如下： 1) 每月安裝、更新廠家發(fā)布的設(shè)備補(bǔ)丁程序，及時(shí)修補(bǔ)設(shè)備操作系統(tǒng) 的漏洞； 2) 每周審計(jì)一次日志報(bào)表； 3) 一個(gè)月內(nèi)至少重新啟動一次安全網(wǎng)關(guān)及入侵檢測類設(shè)備。 6.2 安全設(shè)備的監(jiān)視和記錄 安全網(wǎng)關(guān)及入侵檢測類設(shè)備運(yùn)行狀況的監(jiān)視和記錄要求如下： 1) 系統(tǒng)管理員應(yīng)定期和不定期地檢查設(shè)備的運(yùn)行狀況， 及時(shí)查看日志， 對異常情況的發(fā)生，及時(shí)上報(bào)，并保存記錄； 2) 對安全設(shè)備CPU和內(nèi)存利用率、數(shù)據(jù)流量、地址翻譯數(shù)量、報(bào)警次 數(shù)等進(jìn)行均時(shí)的監(jiān)測、跟蹤工作，每周形成報(bào)表。 6.3 安全設(shè)備配置備份和恢復(fù) 安全設(shè)備配置備份和恢復(fù)要求如下： 1) 定期備份安全設(shè)備配置；

9、2) 修改安全設(shè)備配置前應(yīng)對現(xiàn)有配置進(jìn)行備份，以便修改失敗后可快 速恢復(fù)； 3) 跟蹤軟件及事件庫的變更，確保使用當(dāng)前有效的軟件及事件庫。 6.4 安全設(shè)備的審計(jì) 信息安全管理員定期對網(wǎng)絡(luò)安全設(shè)備的操作記錄和內(nèi)容本身進(jìn)行審計(jì)， 保證內(nèi)容的完全性，保留記錄。 6.5 安全事件處理和報(bào)告 防火墻設(shè)備發(fā)生宕機(jī)或入侵檢測設(shè)備出現(xiàn)告警或工作不正常引起網(wǎng)絡(luò) 擁塞或網(wǎng)絡(luò)癱瘓等安全事件時(shí)，系統(tǒng)管理員應(yīng)立即啟動緊急響應(yīng)程序，保留 相應(yīng)記錄。對網(wǎng)絡(luò)進(jìn)行緊急處理，堵塞攻擊入口，恢復(fù)網(wǎng)絡(luò)的正常運(yùn)行，并 追查攻擊來源，及時(shí)上報(bào)，必要的情況下提交公安機(jī)關(guān)處理。 6.6 安全設(shè)備的維修 1) 安全設(shè)備的維修應(yīng)防止安全設(shè)備配

10、置信息的泄漏，送出外修應(yīng)注意 清除安全設(shè)備內(nèi)部存儲的安全配置； 2) 不允許廠商或服務(wù)商通過因特網(wǎng)或其它方式遠(yuǎn)程登錄進(jìn)行安全設(shè)備 的維護(hù)； 3) 廠商或服務(wù)商進(jìn)入現(xiàn)場維護(hù)安全設(shè)備，須指定專人全程陪同，維修 完成后應(yīng)進(jìn)行安全檢查。 7 安全數(shù)據(jù)管理 7.1 安全設(shè)備的數(shù)據(jù) 網(wǎng)絡(luò)安全設(shè)備的安全數(shù)據(jù)主要包括安全設(shè)備對網(wǎng)絡(luò)和系統(tǒng)檢測得到的 安全數(shù)據(jù)，對系統(tǒng)管理員操作的數(shù)據(jù)，對安全設(shè)備進(jìn)行設(shè)置安全策略的配置 數(shù)據(jù)，還有安全設(shè)備部署的網(wǎng)絡(luò)邏輯圖、安全策略等文檔，應(yīng)保證數(shù)據(jù)的完 整性。 7.1 檢測獲得數(shù)據(jù)的管理 對于安全設(shè)備對網(wǎng)絡(luò)和系統(tǒng)檢測得到的安全數(shù)據(jù)， 對系統(tǒng)管理員操作的 數(shù)據(jù)，系統(tǒng)管理員和信息安全管

11、理員應(yīng)分別進(jìn)行備份和保管；任何人不得進(jìn) 行修改，未經(jīng)主管領(lǐng)導(dǎo)批準(zhǔn)任何人不得刪除。 系統(tǒng)管理員定期分析安全設(shè)備對網(wǎng)絡(luò)和系統(tǒng)檢測得到的安全數(shù)據(jù)， 發(fā)現(xiàn) 漏洞或隱患應(yīng)及時(shí)報(bào)告，并形成分析報(bào)告。 7.2 獲得數(shù)據(jù)的管理 信息安全管理員應(yīng)定期分析安全設(shè)備對系統(tǒng)管理員操作的數(shù)據(jù)， 發(fā)現(xiàn)違 規(guī)問題或隱患應(yīng)及時(shí)報(bào)告，并形成分析報(bào)告。 7.3 配置數(shù)據(jù)管理 系統(tǒng)管理員應(yīng)及時(shí)對安全設(shè)備進(jìn)行設(shè)置安全策略(規(guī)則)的配置數(shù)據(jù)進(jìn) 行備份和保存，對安全設(shè)備部署的網(wǎng)絡(luò)邏輯圖、安全策略等文檔也應(yīng)進(jìn)行妥 善保管。 7.4 存儲空間管理 系統(tǒng)管理員應(yīng)經(jīng)常檢查安全設(shè)備的存儲空間， 注意防止安全設(shè)備中對網(wǎng) 絡(luò)和系統(tǒng)檢測得到的安全數(shù)據(jù)，

12、以及對系統(tǒng)管理員操作的數(shù)據(jù)的丟失。 8 設(shè)備選型管理 網(wǎng)絡(luò)安全設(shè)備 (產(chǎn)品)的使用應(yīng)符合國家的有關(guān)規(guī)定， 盡量采用具有計(jì)算機(jī) 信息系統(tǒng)安全專用產(chǎn)品銷售許可證的信息安全產(chǎn)品， 且具有中國信息安全產(chǎn)品測 評認(rèn)證中心認(rèn)證的信息安全產(chǎn)品。 密碼設(shè)備選型應(yīng)符合國家密碼主管部門的有關(guān)要求， 加密算法應(yīng)得到國家密 碼主管部門的批準(zhǔn)。 9 沈陽生態(tài)所計(jì)算機(jī)上國際互聯(lián)網(wǎng)的規(guī)定 1) 管理系統(tǒng)與互聯(lián)網(wǎng)實(shí)行嚴(yán)格的物理隔離，嚴(yán)禁用處理管理系統(tǒng)秘密信息 的計(jì)算機(jī)上互聯(lián)網(wǎng)，違者嚴(yán)肅查處。 2) 采取切實(shí)措施，加強(qiáng)對計(jì)算機(jī)的使用管理，上互聯(lián)網(wǎng)的計(jì)算機(jī)必須與處 理管理系統(tǒng)秘密信息的計(jì)算機(jī)嚴(yán)格區(qū)分，做到專機(jī)專用，不得既用于上 互聯(lián)網(wǎng)又用于處理國家秘密信息。 3) 使用物理隔離計(jì)算機(jī)一機(jī)兩用的，物理隔離計(jì)算機(jī)必須采用經(jīng)國家保密 局批準(zhǔn)的產(chǎn)品，使用中應(yīng)嚴(yán)格規(guī)范操作，嚴(yán)防由于誤操作造成泄密。在 目前尚不能確保安全的情況下，禁止任何單位將網(wǎng)絡(luò)安全隔離與交換設(shè) 備(又稱網(wǎng)閘)用于涉密信息網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間