信息安全管理體系網(wǎng)絡安全管理制度

第一章 總則 1第二章 管理職責 1第三章 網(wǎng)絡架構(gòu)安全 1第四章 網(wǎng)絡配置安全 2第五章 網(wǎng)絡運維安全 4第六章 附則 6總則為了加強集團網(wǎng)絡安全管理工作,保障集團信息系統(tǒng)網(wǎng)絡在安全、可控狀態(tài)下運行，建立健全信息系統(tǒng)相關網(wǎng)絡操作手冊，提高網(wǎng)絡通信質(zhì)量，優(yōu)化網(wǎng)絡結(jié)構(gòu)，特制定本制度。本制度的目的是對集團業(yè)務相關網(wǎng)絡架構(gòu)安全設計、網(wǎng)絡安全策略的制定、網(wǎng)絡設備的安全配置、網(wǎng)絡運維安全進行統(tǒng)一規(guī)范和管理。管理職責網(wǎng)絡運營中心是集團信息系統(tǒng)網(wǎng)絡的管理維護部門，其中網(wǎng)絡安全工程師、網(wǎng)絡工程師負責集團信息系統(tǒng)網(wǎng)絡的具體安全管理工作。網(wǎng)絡安全工程師負責業(yè)務相關安全設備操作手冊制定以及配置維護、更新，梳理業(yè)務系統(tǒng)訪問關系，制定訪問控制規(guī)則，負責定期檢查安全設備的日志，及時發(fā)現(xiàn)攻擊事件，排除安全隱患。網(wǎng)絡工程師負責網(wǎng)絡基礎架構(gòu)、業(yè)務平臺相關網(wǎng)絡的方案設計、實施、優(yōu)化，負責業(yè)務相關網(wǎng)絡設備操作手冊制定以及配置維護、更新，負責堡壘主機的賬號權(quán)限管理，負責業(yè)務相關網(wǎng)絡的監(jiān)控、維護和故障處理，負責定期檢查網(wǎng)絡設備日志，排除安全隱患。網(wǎng)絡架構(gòu)安全集團業(yè)務相關網(wǎng)絡/安全設備應滿足業(yè)務高峰的流量需求，網(wǎng)絡/安全工程師應能夠明確核心和邊界設備的承載能力。核心設備應滿足冗余備份，不能出現(xiàn)單點故障問題，并明確備份方式是熱備還是冷備。網(wǎng)絡/安全工程師應明確業(yè)務終端與業(yè)務服務器之間的訪問路徑、路由選擇，并根據(jù)業(yè)務需求進行路由優(yōu)化、更新。網(wǎng)絡邊界應部署具有網(wǎng)絡訪問控制功能的設備，如防火墻設備，并配置適當?shù)脑L問控制規(guī)則。避免將重要網(wǎng)段部署在網(wǎng)絡邊界處且直接連接互聯(lián)網(wǎng)，重要網(wǎng)段與其他網(wǎng)段之間須采取可靠的技術隔離手段。網(wǎng)絡工程師應繪制與實際網(wǎng)絡結(jié)構(gòu)相符的網(wǎng)絡拓撲圖，網(wǎng)絡拓撲圖要求詳細準確，并且要根據(jù)網(wǎng)絡結(jié)構(gòu)的變化實時更新。網(wǎng)絡工程師應根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段。網(wǎng)絡工程師應根據(jù)各業(yè)務系統(tǒng)的重要程度順序來指定帶寬分配優(yōu)先級別，保證在網(wǎng)絡發(fā)生擁堵時能夠優(yōu)先保障重要業(yè)務系統(tǒng)穩(wěn)定運行。應建立統(tǒng)一的日志服務器，實時收集網(wǎng)絡/安全設備的日志信息，保障審計記錄不會被刪除、修改或覆蓋，并且可以根據(jù)審計記錄進行分析，生成審計報告。應建立網(wǎng)絡準入準出控制機制，如采用終端管理軟件對非授權(quán)設備接入內(nèi)部網(wǎng)絡進行定位阻斷，并且可以對內(nèi)部設備非法連接互聯(lián)網(wǎng)行為進行定位阻斷。應在網(wǎng)絡邊界建立入侵防范機制，能夠在網(wǎng)絡邊界處監(jiān)控并記錄端口掃描等攻擊行為，并提供報警功能。應在網(wǎng)絡邊界部署防惡意代碼防范設備，如防毒墻，并且要及時更新惡意代碼庫。網(wǎng)絡配置安全網(wǎng)絡/安全設備應啟用訪問控制功能，網(wǎng)絡安全工程師根據(jù)業(yè)務系統(tǒng)訪問需求制定訪問控制規(guī)則，訪問控制粒度應達到端口級別。網(wǎng)絡工程師通過堡壘主機限制用戶可以訪問的系統(tǒng)資源，控制粒度為單個用戶。交換機應啟用重要網(wǎng)段IP/MAC綁定功能，以防止ARP攻擊。安全設備應啟用對進出網(wǎng)絡的信息內(nèi)容過濾功能，實現(xiàn)對應用層HTTP、FTP、TELNET、SMTP、POP等協(xié)議命令級的控制。流量控制設備應啟用根據(jù)IP地址、端口、協(xié)議來限制應用數(shù)據(jù)流的最大流量功能，或者通過在防火墻設備啟用根據(jù)IP地址限制網(wǎng)絡連接數(shù)功能，保障業(yè)務應用帶寬不被占用。防火墻設備應啟用會話超時退出機制，當會話處于非活躍狀態(tài)一段時間如100s時，終止會話連接，并釋放資源，防止拒絕服務攻擊發(fā)送大量無效連接。應基于遵循最小授權(quán)原則，根據(jù)用戶需求不同建立滿足其所需最小權(quán)限的網(wǎng)絡/安全設備賬戶，特權(quán)用戶權(quán)限應該分離，防止出現(xiàn)管理員賬號共用的情況，重要網(wǎng)絡/安全設備應采用兩種組合鑒別技術來進行身份認證。網(wǎng)絡/安全設備賬號申請詳見《信息系統(tǒng)安全運維管理制度》。網(wǎng)絡/安全設備口令應滿足復雜度要求，口令最小長度為8位，至少含有大寫字母、小寫字母、數(shù)字和特殊符號中的三種，并保證三個月修改一次密碼。網(wǎng)絡/安全設備應啟用維護管理IP地址限制機制，限制管理員的維護登錄地址，防止惡意用戶隨意連接網(wǎng)絡/安全設備。網(wǎng)絡/安全設備遠程管理應采用加密協(xié)議，如SSH、HTTPS等，防止鑒別信息在傳輸過程中被監(jiān)聽截獲，保證數(shù)據(jù)傳輸?shù)谋Ｃ苄院屯暾?。網(wǎng)絡/安全設備應啟用登錄失敗處理功能，限制非法登錄5次鎖定該賬號5分鐘。網(wǎng)絡/安全設備應啟用登錄超時退出機制，當網(wǎng)絡登錄連接超過3分鐘無操作時自動退出連接。網(wǎng)絡/安全設備應按照最小化服務原則，僅開啟所需的服務，關閉不需要服務，防止開啟危險服務為設備帶來不必要的風險。網(wǎng)絡/安全設備應開啟日志記錄，能夠記錄設備運行狀況、網(wǎng)絡流量、用戶行為等，記錄應包括：事件的日期和時間、用戶、事件類型、事件是否成功等信息。堡壘主機應開啟用戶操作審計，記錄用戶的操作內(nèi)容。日志應至少保存1個月，重要設備日志應至少保存半年。安全設備應啟用防范DOS/DDOS攻擊的功能。網(wǎng)絡運維安全網(wǎng)絡工程師應對網(wǎng)絡的運行情況進行監(jiān)控，一旦發(fā)現(xiàn)網(wǎng)絡故障，及時上報網(wǎng)絡運營中心，并盡快解決問題，恢復網(wǎng)絡暢通。各業(yè)務部門人員在工作過程中發(fā)現(xiàn)網(wǎng)絡故障，也應及時通知網(wǎng)絡運營中心技術人員解決問題。所有的網(wǎng)絡故障都應進行記錄，根據(jù)記錄結(jié)果查找原因形成分析結(jié)果，記錄表詳見《信息系統(tǒng)安全事件管理制度》。網(wǎng)絡/安全工程師應建立詳細的網(wǎng)絡/安全設備操作手冊，人員在操作設備時應嚴格按照操作手冊進行，避免誤操作影響網(wǎng)絡的正常運行。網(wǎng)絡安全工程師應根據(jù)集團業(yè)務系統(tǒng)訪問關系制定相應的安全策略，定期梳理安全策略，保證安全策略的有效性。應嚴格遵守內(nèi)外網(wǎng)隔離的原則，所有接入集團內(nèi)部網(wǎng)絡的終端設備必須符合集團接入終端的安全管理要求，安裝指定的防病毒軟件和準入管理軟件，對于不符合要求的終端設備禁止其接入；禁止任何部門和個人私自安裝、搭設各種網(wǎng)絡設備連接互聯(lián)網(wǎng)，一經(jīng)發(fā)現(xiàn)立即斷開其網(wǎng)絡連接，并上報集團領導。嚴格遵守網(wǎng)絡變更管理，網(wǎng)絡/安全工程師在調(diào)整網(wǎng)絡配置參數(shù)前，應書面請示部門領導，變更信息應做好記錄。實施有可能影響網(wǎng)絡正常運行的重大網(wǎng)絡變更，應提前通知所有使用部門并安排在節(jié)假日進行，同時做好配置參數(shù)的備份和應急恢復準備，網(wǎng)絡變更流程參見《信息系統(tǒng)變更安全管理制度》。網(wǎng)絡/安全工程師對機房網(wǎng)絡/安全設備進行遠程維護都要經(jīng)過堡壘機進行連接，并通過堡壘機限制登錄用戶的操作權(quán)限，對登錄用戶進行操作審計。網(wǎng)絡安全工程師應實時關注重要網(wǎng)絡/安全設備OS版本的安全問題，如發(fā)現(xiàn)使用的OS版本存在嚴重安全漏洞時，應邀請設備廠商對該OS版本進行補丁升級，升級前做好備份、測試工作。如設備廠商發(fā)布新OS版本，技術人員確認是否有必要升級新版本，如有必要升級，應邀請設備廠商進行版本升級，升級前做好備份、測試工作。OS補丁、版本變更流程參見《信息系統(tǒng)變更安全管理制度》。網(wǎng)絡/安全工程師應定期對網(wǎng)絡/安全設備開啟的服務進行梳理，關閉非必須的服務。定期對設備配置信息進行備份，防止設備出現(xiàn)故障無法及時恢復配置信息。網(wǎng)絡安全工作主要內(nèi)容包括：集團信息安全管理體系的建設、實施；集團日常信息安全的檢查審計；集團新上線業(yè)務的安全檢測；集團突發(fā)信息安全事件的應急響應；集團信息安全第三方服務項目的配合、監(jiān)督；集團人員信息安全的培訓教育；集團信息安全相關審計報告的編寫；集團信息安全相關報告、記錄的整理歸檔。網(wǎng)絡安全工作具體內(nèi)容如下：編寫制定集團信息安全管理制度、安全配置規(guī)范、安全工作流程以及安全工作記錄表單，經(jīng)討論通過后裝訂成冊，下發(fā)集團各相關業(yè)務部門執(zhí)行；日常的網(wǎng)絡設備、安全設備、服務器操作系統(tǒng)、數(shù)據(jù)庫、存儲設備、應用中間件安全檢查、日志審計以及漏洞掃描，提交周安全報告，與網(wǎng)絡運營中心及技術中心相關部門溝通確認后進行整改，監(jiān)督整改進度；日常的業(yè)務系統(tǒng)的安全檢查，主要包括對業(yè)務系統(tǒng)進行應用漏洞掃描，滲透測試，提交周安全報告，與技術中心溝通確認后進行整改，監(jiān)督整改進度。檢測集團新上線業(yè)務系統(tǒng)的安全，對業(yè)務系統(tǒng)進行應用漏洞掃描，滲透測試及代碼審計，出具安全檢測報告，符合上線要求則由網(wǎng)絡運營中心提供基礎環(huán)境予以上線，不符合上線要求則由技術中心進行整改，監(jiān)督整改進度；及時對集團突發(fā)的信息安全事件進行應急響應，配合相關技術人員分析事件原因，制定處理方案。事件處理完成后詳細記錄處理過程，加強防范措施，監(jiān)督整改進度；配合第三方安全服務公司的評估項目實施，監(jiān)督實施過程，審核實施報告（如風險評估報告、漏洞掃描報告、滲透測試報告），監(jiān)督整改進度。第三方項目人員的安全管理詳見《第三方人員安全管理制度》；定期開展針對業(yè)務相關人員的安全意識、安全操作流程培訓教育，提高員工的安全意識水平，保障集團業(yè)務系統(tǒng)安全；