信息安全管理體系網(wǎng)絡(luò)安全管理制度

第一章 總則 1第二章 管理職責(zé) 1第三章 網(wǎng)絡(luò)架構(gòu)安全 1第四章 網(wǎng)絡(luò)配置安全 2第五章 網(wǎng)絡(luò)運維安全 4第六章 附則 6總則為了加強(qiáng)集團(tuán)網(wǎng)絡(luò)安全管理工作,保障集團(tuán)信息系統(tǒng)網(wǎng)絡(luò)在安全、可控狀態(tài)下運行，建立健全信息系統(tǒng)相關(guān)網(wǎng)絡(luò)操作手冊，提高網(wǎng)絡(luò)通信質(zhì)量，優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)，特制定本制度。本制度的目的是對集團(tuán)業(yè)務(wù)相關(guān)網(wǎng)絡(luò)架構(gòu)安全設(shè)計、網(wǎng)絡(luò)安全策略的制定、網(wǎng)絡(luò)設(shè)備的安全配置、網(wǎng)絡(luò)運維安全進(jìn)行統(tǒng)一規(guī)范和管理。管理職責(zé)網(wǎng)絡(luò)運營中心是集團(tuán)信息系統(tǒng)網(wǎng)絡(luò)的管理維護(hù)部門，其中網(wǎng)絡(luò)安全工程師、網(wǎng)絡(luò)工程師負(fù)責(zé)集團(tuán)信息系統(tǒng)網(wǎng)絡(luò)的具體安全管理工作。網(wǎng)絡(luò)安全工程師負(fù)責(zé)業(yè)務(wù)相關(guān)安全設(shè)備操作手冊制定以及配置維護(hù)、更新，梳理業(yè)務(wù)系統(tǒng)訪問關(guān)系，制定訪問控制規(guī)則，負(fù)責(zé)定期檢查安全設(shè)備的日志，及時發(fā)現(xiàn)攻擊事件，排除安全隱患。網(wǎng)絡(luò)工程師負(fù)責(zé)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)、業(yè)務(wù)平臺相關(guān)網(wǎng)絡(luò)的方案設(shè)計、實施、優(yōu)化，負(fù)責(zé)業(yè)務(wù)相關(guān)網(wǎng)絡(luò)設(shè)備操作手冊制定以及配置維護(hù)、更新，負(fù)責(zé)堡壘主機(jī)的賬號權(quán)限管理，負(fù)責(zé)業(yè)務(wù)相關(guān)網(wǎng)絡(luò)的監(jiān)控、維護(hù)和故障處理，負(fù)責(zé)定期檢查網(wǎng)絡(luò)設(shè)備日志，排除安全隱患。網(wǎng)絡(luò)架構(gòu)安全集團(tuán)業(yè)務(wù)相關(guān)網(wǎng)絡(luò)/安全設(shè)備應(yīng)滿足業(yè)務(wù)高峰的流量需求，網(wǎng)絡(luò)/安全工程師應(yīng)能夠明確核心和邊界設(shè)備的承載能力。核心設(shè)備應(yīng)滿足冗余備份，不能出現(xiàn)單點故障問題，并明確備份方式是熱備還是冷備。網(wǎng)絡(luò)/安全工程師應(yīng)明確業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間的訪問路徑、路由選擇，并根據(jù)業(yè)務(wù)需求進(jìn)行路由優(yōu)化、更新。網(wǎng)絡(luò)邊界應(yīng)部署具有網(wǎng)絡(luò)訪問控制功能的設(shè)備，如防火墻設(shè)備，并配置適當(dāng)?shù)脑L問控制規(guī)則。避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接互聯(lián)網(wǎng)，重要網(wǎng)段與其他網(wǎng)段之間須采取可靠的技術(shù)隔離手段。網(wǎng)絡(luò)工程師應(yīng)繪制與實際網(wǎng)絡(luò)結(jié)構(gòu)相符的網(wǎng)絡(luò)拓?fù)鋱D，網(wǎng)絡(luò)拓?fù)鋱D要求詳細(xì)準(zhǔn)確，并且要根據(jù)網(wǎng)絡(luò)結(jié)構(gòu)的變化實時更新。網(wǎng)絡(luò)工程師應(yīng)根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段。網(wǎng)絡(luò)工程師應(yīng)根據(jù)各業(yè)務(wù)系統(tǒng)的重要程度順序來指定帶寬分配優(yōu)先級別，保證在網(wǎng)絡(luò)發(fā)生擁堵時能夠優(yōu)先保障重要業(yè)務(wù)系統(tǒng)穩(wěn)定運行。應(yīng)建立統(tǒng)一的日志服務(wù)器，實時收集網(wǎng)絡(luò)/安全設(shè)備的日志信息，保障審計記錄不會被刪除、修改或覆蓋，并且可以根據(jù)審計記錄進(jìn)行分析，生成審計報告。應(yīng)建立網(wǎng)絡(luò)準(zhǔn)入準(zhǔn)出控制機(jī)制，如采用終端管理軟件對非授權(quán)設(shè)備接入內(nèi)部網(wǎng)絡(luò)進(jìn)行定位阻斷，并且可以對內(nèi)部設(shè)備非法連接互聯(lián)網(wǎng)行為進(jìn)行定位阻斷。應(yīng)在網(wǎng)絡(luò)邊界建立入侵防范機(jī)制，能夠在網(wǎng)絡(luò)邊界處監(jiān)控并記錄端口掃描等攻擊行為，并提供報警功能。應(yīng)在網(wǎng)絡(luò)邊界部署防惡意代碼防范設(shè)備，如防毒墻，并且要及時更新惡意代碼庫。網(wǎng)絡(luò)配置安全網(wǎng)絡(luò)/安全設(shè)備應(yīng)啟用訪問控制功能，網(wǎng)絡(luò)安全工程師根據(jù)業(yè)務(wù)系統(tǒng)訪問需求制定訪問控制規(guī)則，訪問控制粒度應(yīng)達(dá)到端口級別。網(wǎng)絡(luò)工程師通過堡壘主機(jī)限制用戶可以訪問的系統(tǒng)資源，控制粒度為單個用戶。交換機(jī)應(yīng)啟用重要網(wǎng)段IP/MAC綁定功能，以防止ARP攻擊。安全設(shè)備應(yīng)啟用對進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容過濾功能，實現(xiàn)對應(yīng)用層HTTP、FTP、TELNET、SMTP、POP等協(xié)議命令級的控制。流量控制設(shè)備應(yīng)啟用根據(jù)IP地址、端口、協(xié)議來限制應(yīng)用數(shù)據(jù)流的最大流量功能，或者通過在防火墻設(shè)備啟用根據(jù)IP地址限制網(wǎng)絡(luò)連接數(shù)功能，保障業(yè)務(wù)應(yīng)用帶寬不被占用。防火墻設(shè)備應(yīng)啟用會話超時退出機(jī)制，當(dāng)會話處于非活躍狀態(tài)一段時間如100s時，終止會話連接，并釋放資源，防止拒絕服務(wù)攻擊發(fā)送大量無效連接。應(yīng)基于遵循最小授權(quán)原則，根據(jù)用戶需求不同建立滿足其所需最小權(quán)限的網(wǎng)絡(luò)/安全設(shè)備賬戶，特權(quán)用戶權(quán)限應(yīng)該分離，防止出現(xiàn)管理員賬號共用的情況，重要網(wǎng)絡(luò)/安全設(shè)備應(yīng)采用兩種組合鑒別技術(shù)來進(jìn)行身份認(rèn)證。網(wǎng)絡(luò)/安全設(shè)備賬號申請詳見《信息系統(tǒng)安全運維管理制度》。網(wǎng)絡(luò)/安全設(shè)備口令應(yīng)滿足復(fù)雜度要求，口令最小長度為8位，至少含有大寫字母、小寫字母、數(shù)字和特殊符號中的三種，并保證三個月修改一次密碼。網(wǎng)絡(luò)/安全設(shè)備應(yīng)啟用維護(hù)管理IP地址限制機(jī)制，限制管理員的維護(hù)登錄地址，防止惡意用戶隨意連接網(wǎng)絡(luò)/安全設(shè)備。網(wǎng)絡(luò)/安全設(shè)備遠(yuǎn)程管理應(yīng)采用加密協(xié)議，如SSH、HTTPS等，防止鑒別信息在傳輸過程中被監(jiān)聽截獲，保證數(shù)據(jù)傳輸?shù)谋Ｃ苄院屯暾?。網(wǎng)絡(luò)/安全設(shè)備應(yīng)啟用登錄失敗處理功能，限制非法登錄5次鎖定該賬號5分鐘。網(wǎng)絡(luò)/安全設(shè)備應(yīng)啟用登錄超時退出機(jī)制，當(dāng)網(wǎng)絡(luò)登錄連接超過3分鐘無操作時自動退出連接。網(wǎng)絡(luò)/安全設(shè)備應(yīng)按照最小化服務(wù)原則，僅開啟所需的服務(wù)，關(guān)閉不需要服務(wù)，防止開啟危險服務(wù)為設(shè)備帶來不必要的風(fēng)險。網(wǎng)絡(luò)/安全設(shè)備應(yīng)開啟日志記錄，能夠記錄設(shè)備運行狀況、網(wǎng)絡(luò)流量、用戶行為等，記錄應(yīng)包括：事件的日期和時間、用戶、事件類型、事件是否成功等信息。堡壘主機(jī)應(yīng)開啟用戶操作審計，記錄用戶的操作內(nèi)容。日志應(yīng)至少保存1個月，重要設(shè)備日志應(yīng)至少保存半年。安全設(shè)備應(yīng)啟用防范DOS/DDOS攻擊的功能。網(wǎng)絡(luò)運維安全網(wǎng)絡(luò)工程師應(yīng)對網(wǎng)絡(luò)的運行情況進(jìn)行監(jiān)控，一旦發(fā)現(xiàn)網(wǎng)絡(luò)故障，及時上報網(wǎng)絡(luò)運營中心，并盡快解決問題，恢復(fù)網(wǎng)絡(luò)暢通。各業(yè)務(wù)部門人員在工作過程中發(fā)現(xiàn)網(wǎng)絡(luò)故障，也應(yīng)及時通知網(wǎng)絡(luò)運營中心技術(shù)人員解決問題。所有的網(wǎng)絡(luò)故障都應(yīng)進(jìn)行記錄，根據(jù)記錄結(jié)果查找原因形成分析結(jié)果，記錄表詳見《信息系統(tǒng)安全事件管理制度》。網(wǎng)絡(luò)/安全工程師應(yīng)建立詳細(xì)的網(wǎng)絡(luò)/安全設(shè)備操作手冊，人員在操作設(shè)備時應(yīng)嚴(yán)格按照操作手冊進(jìn)行，避免誤操作影響網(wǎng)絡(luò)的正常運行。網(wǎng)絡(luò)安全工程師應(yīng)根據(jù)集團(tuán)業(yè)務(wù)系統(tǒng)訪問關(guān)系制定相應(yīng)的安全策略，定期梳理安全策略，保證安全策略的有效性。應(yīng)嚴(yán)格遵守內(nèi)外網(wǎng)隔離的原則，所有接入集團(tuán)內(nèi)部網(wǎng)絡(luò)的終端設(shè)備必須符合集團(tuán)接入終端的安全管理要求，安裝指定的防病毒軟件和準(zhǔn)入管理軟件，對于不符合要求的終端設(shè)備禁止其接入；禁止任何部門和個人私自安裝、搭設(shè)各種網(wǎng)絡(luò)設(shè)備連接互聯(lián)網(wǎng)，一經(jīng)發(fā)現(xiàn)立即斷開其網(wǎng)絡(luò)連接，并上報集團(tuán)領(lǐng)導(dǎo)。嚴(yán)格遵守網(wǎng)絡(luò)變更管理，網(wǎng)絡(luò)/安全工程師在調(diào)整網(wǎng)絡(luò)配置參數(shù)前，應(yīng)書面請示部門領(lǐng)導(dǎo)，變更信息應(yīng)做好記錄。實施有可能影響網(wǎng)絡(luò)正常運行的重大網(wǎng)絡(luò)變更，應(yīng)提前通知所有使用部門并安排在節(jié)假日進(jìn)行，同時做好配置參數(shù)的備份和應(yīng)急恢復(fù)準(zhǔn)備，網(wǎng)絡(luò)變更流程參見《信息系統(tǒng)變更安全管理制度》。網(wǎng)絡(luò)/安全工程師對機(jī)房網(wǎng)絡(luò)/安全設(shè)備進(jìn)行遠(yuǎn)程維護(hù)都要經(jīng)過堡壘機(jī)進(jìn)行連接，并通過堡壘機(jī)限制登錄用戶的操作權(quán)限，對登錄用戶進(jìn)行操作審計。網(wǎng)絡(luò)安全工程師應(yīng)實時關(guān)注重要網(wǎng)絡(luò)/安全設(shè)備OS版本的安全問題，如發(fā)現(xiàn)使用的OS版本存在嚴(yán)重安全漏洞時，應(yīng)邀請設(shè)備廠商對該OS版本進(jìn)行補(bǔ)丁升級，升級前做好備份、測試工作。如設(shè)備廠商發(fā)布新OS版本，技術(shù)人員確認(rèn)是否有必要升級新版本，如有必要升級，應(yīng)邀請設(shè)備廠商進(jìn)行版本升級，升級前做好備份、測試工作。OS補(bǔ)丁、版本變更流程參見《信息系統(tǒng)變更安全管理制度》。網(wǎng)絡(luò)/安全工程師應(yīng)定期對網(wǎng)絡(luò)/安全設(shè)備開啟的服務(wù)進(jìn)行梳理，關(guān)閉非必須的服務(wù)。定期對設(shè)備配置信息進(jìn)行備份，防止設(shè)備出現(xiàn)故障無法及時恢復(fù)配置信息。網(wǎng)絡(luò)安全工作主要內(nèi)容包括：集團(tuán)信息安全管理體系的建設(shè)、實施；集團(tuán)日常信息安全的檢查審計；集團(tuán)新上線業(yè)務(wù)的安全檢測；集團(tuán)突發(fā)信息安全事件的應(yīng)急響應(yīng)；集團(tuán)信息安全第三方服務(wù)項目的配合、監(jiān)督；集團(tuán)人員信息安全的培訓(xùn)教育；集團(tuán)信息安全相關(guān)審計報告的編寫；集團(tuán)信息安全相關(guān)報告、記錄的整理歸檔。網(wǎng)絡(luò)安全工作具體內(nèi)容如下：編寫制定集團(tuán)信息安全管理制度、安全配置規(guī)范、安全工作流程以及安全工作記錄表單，經(jīng)討論通過后裝訂成冊，下發(fā)集團(tuán)各相關(guān)業(yè)務(wù)部門執(zhí)行；日常的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫、存儲設(shè)備、應(yīng)用中間件安全檢查、日志審計以及漏洞掃描，提交周安全報告，與網(wǎng)絡(luò)運營中心及技術(shù)中心相關(guān)部門溝通確認(rèn)后進(jìn)行整改，監(jiān)督整改進(jìn)度；日常的業(yè)務(wù)系統(tǒng)的安全檢查，主要包括對業(yè)務(wù)系統(tǒng)進(jìn)行應(yīng)用漏洞掃描，滲透測試，提交周安全報告，與技術(shù)中心溝通確認(rèn)后進(jìn)行整改，監(jiān)督整改進(jìn)度。檢測集團(tuán)新上線業(yè)務(wù)系統(tǒng)的安全，對業(yè)務(wù)系統(tǒng)進(jìn)行應(yīng)用漏洞掃描，滲透測試及代碼審計，出具安全檢測報告，符合上線要求則由網(wǎng)絡(luò)運營中心提供基礎(chǔ)環(huán)境予以上線，不符合上線要求則由技術(shù)中心進(jìn)行整改，監(jiān)督整改進(jìn)度；及時對集團(tuán)突發(fā)的信息安全事件進(jìn)行應(yīng)急響應(yīng)，配合相關(guān)技術(shù)人員分析事件原因，制定處理方案。事件處理完成后詳細(xì)記錄處理過程，加強(qiáng)防范措施，監(jiān)督整改進(jìn)度；配合第三方安全服務(wù)公司的評估項目實施，監(jiān)督實施過程，審核實施報告（如風(fēng)險評估報告、漏洞掃描報告、滲透測試報告），監(jiān)督整改進(jìn)度。第三方項目人員的安全管理詳見《第三方人員安全管理制度》；定期開展針對業(yè)務(wù)相關(guān)人員的安全意識、安全操作流程培訓(xùn)教育，提高員工的安全意識水平，保障集團(tuán)業(yè)務(wù)系統(tǒng)安全；