目錄

1. 前言

2. 網(wǎng)絡(luò)安全管理制度

2.1 網(wǎng)絡(luò)安全架構(gòu)規(guī)定

2.2 網(wǎng)絡(luò)安全訪問(wèn)控制管理

2.3 網(wǎng)絡(luò)設(shè)備安全管理

2.4 網(wǎng)絡(luò)設(shè)備管理人員規(guī)范

1. 前言

本規(guī)范用于員工的生產(chǎn)系統(tǒng)和生產(chǎn)管理平臺(tái)的操作管理。

2. 網(wǎng)絡(luò)安全管理制度

2.1 網(wǎng)絡(luò)安全架構(gòu)規(guī)定

公司網(wǎng)絡(luò)系統(tǒng)必須嚴(yán)格劃分內(nèi)網(wǎng)和外網(wǎng)，中間使用多層防火墻進(jìn)行隔離和安全訪問(wèn)控制。

公司所有線上設(shè)備均實(shí)現(xiàn)熱備冗余，保證生產(chǎn)運(yùn)營(yíng)的安全可靠。

通過(guò)防火墻及其它網(wǎng)絡(luò)設(shè)備，可執(zhí)行802.1X認(rèn)證來(lái)實(shí)現(xiàn)對(duì)邊界完整性檢查。

具有抗DOS攻擊以及主動(dòng)防御功能，可實(shí)現(xiàn)對(duì)異常流量的監(jiān)控和對(duì)惡意攻擊的阻止。

所有可管理網(wǎng)絡(luò)設(shè)備均保存有完整可查的日志記錄，保證所有對(duì)網(wǎng)絡(luò)設(shè)備的操作都有據(jù)可查。

2.2 網(wǎng)絡(luò)安全訪問(wèn)控制管理

2.2.1 內(nèi)部網(wǎng)絡(luò)安全訪問(wèn)控制

公司按照業(yè)務(wù)系統(tǒng)的安全級(jí)別，劃分不同的局域網(wǎng)區(qū)域，進(jìn)行訪問(wèn)控制。

處于同一局域網(wǎng)同一網(wǎng)段的內(nèi)部設(shè)備可相互訪問(wèn)，通過(guò)系統(tǒng)設(shè)備配置網(wǎng)卡地址直接進(jìn)行訪問(wèn)。

同一局域網(wǎng)的內(nèi)部設(shè)備均通過(guò)特定的業(yè)務(wù)端口進(jìn)行訪問(wèn)。

不處于同一局域網(wǎng)的內(nèi)部設(shè)備默認(rèn)情況下，不能互相訪問(wèn)，需通過(guò)防火墻進(jìn)行地址轉(zhuǎn)換，并進(jìn)行策略訪問(wèn)配置后才能訪問(wèn)。

不處于同一局域網(wǎng)的內(nèi)部設(shè)備訪問(wèn)，通過(guò)防火墻進(jìn)行端口訪問(wèn)控制，只開(kāi)放必要的業(yè)務(wù)訪問(wèn)端口。

2.2.2 外部網(wǎng)絡(luò)安全訪問(wèn)控制

所有的內(nèi)部系統(tǒng)，除了公司網(wǎng)站以外，其它系統(tǒng)默認(rèn)情況不能被外部系統(tǒng)訪問(wèn)，也不能訪問(wèn)外部系統(tǒng)。

通過(guò)專線連接的外部系統(tǒng)，需訪問(wèn)內(nèi)部系統(tǒng)時(shí)，內(nèi)部系統(tǒng)通過(guò)內(nèi)部防火墻進(jìn)行策略地址轉(zhuǎn)換后，進(jìn)行策略訪問(wèn)配置，并添加網(wǎng)絡(luò)路由和主機(jī)路由才能訪問(wèn)。

通過(guò)專線連接的外部系統(tǒng)，訪問(wèn)內(nèi)部系統(tǒng)時(shí)，通過(guò)內(nèi)部防火墻進(jìn)行端口訪問(wèn)控制，只開(kāi)放必要的業(yè)務(wù)訪問(wèn)端口。在系統(tǒng)調(diào)試和故障處理時(shí)，臨時(shí)開(kāi)放進(jìn)行網(wǎng)絡(luò)測(cè)試的ICMP等協(xié)議的相關(guān)端口，處理完成后，關(guān)閉相應(yīng)的端口。

通過(guò)互聯(lián)網(wǎng)連接的外部系統(tǒng)，不能訪問(wèn)內(nèi)部核心系統(tǒng)，只能訪問(wèn)開(kāi)放互聯(lián)網(wǎng)業(yè)務(wù)的互聯(lián)網(wǎng)區(qū)域的內(nèi)部系統(tǒng)，內(nèi)部系統(tǒng)需通過(guò)防火墻進(jìn)行地址轉(zhuǎn)換，并添加策略訪問(wèn)配置后才能訪問(wèn)。

通過(guò)互聯(lián)網(wǎng)連接的外部系統(tǒng)，訪問(wèn)內(nèi)部系統(tǒng)時(shí)，通過(guò)防火墻進(jìn)行端口訪問(wèn)控制，只開(kāi)放必要的業(yè)務(wù)訪問(wèn)端口。在系統(tǒng)調(diào)試和故障處理時(shí)，臨時(shí)開(kāi)放進(jìn)行網(wǎng)絡(luò)測(cè)試的ICMP等協(xié)議的相關(guān)端口，處理完成后，關(guān)閉相應(yīng)的端口。

對(duì)于所有能基于證書(shū)認(rèn)證的網(wǎng)絡(luò)管理訪問(wèn)都采用基于證書(shū)的認(rèn)證，對(duì)于基于WEB方式的管理采用基于SSL加密認(rèn)證的訪問(wèn)，杜絕用戶帳戶和口令被非法竊聽(tīng)。

對(duì)于基于遠(yuǎn)程撥號(hào)的訪問(wèn)，在前置接入主機(jī)上進(jìn)行嚴(yán)格的口令安全檢查，防止惡意用戶反復(fù)嘗試猜測(cè)口令，對(duì)于帳號(hào)和口令的發(fā)放均需通過(guò)專人統(tǒng)一授權(quán)發(fā)放，同時(shí)在防火墻上對(duì)撥號(hào)進(jìn)入的用戶設(shè)置嚴(yán)格的訪問(wèn)控制規(guī)則，杜絕因帳號(hào)泄露而導(dǎo)致的網(wǎng)絡(luò)攻擊行為。

2.3 網(wǎng)絡(luò)設(shè)備安全管理

2.3.1 設(shè)備口令管理

對(duì)于設(shè)備系統(tǒng)運(yùn)行的各級(jí)管理口令，由網(wǎng)絡(luò)經(jīng)理和網(wǎng)絡(luò)工程師統(tǒng)一管理。其它的運(yùn)維人員，只設(shè)定查看權(quán)限。

定期修改口令。口令的設(shè)置符合保密要求，均采用字母、數(shù)字和特殊符號(hào)組合而成，防止非法入侵者的猜測(cè)成功，而造成的系統(tǒng)故障發(fā)生。

維護(hù)人員發(fā)生變化，由網(wǎng)絡(luò)經(jīng)理或網(wǎng)絡(luò)工程師立即修改密碼。

對(duì)于無(wú)效用戶及時(shí)刪除。

2.3.2 設(shè)備日志管理

所有可管理網(wǎng)絡(luò)設(shè)備均保存有完整可查的日志記錄，保證所有對(duì)網(wǎng)絡(luò)設(shè)備的操作都有據(jù)可查，專人對(duì)日志進(jìn)行定期審查。

根據(jù)網(wǎng)絡(luò)設(shè)備位置設(shè)置網(wǎng)絡(luò)設(shè)備日志級(jí)別，設(shè)置日志服務(wù)器，保證所有告警錯(cuò)誤信息及時(shí)傳送至日志服務(wù)器，定期進(jìn)行備份。

必須嚴(yán)格控制設(shè)備日志的訪問(wèn)權(quán)限，除網(wǎng)絡(luò)管理員和專用賬號(hào)之外，不得賦予其他用戶訪問(wèn)通信日志的權(quán)限。

確因業(yè)務(wù)需要從生產(chǎn)環(huán)境中獲取日志的，必須辦理審批手續(xù)，在生產(chǎn)環(huán)境現(xiàn)場(chǎng)的專有指定環(huán)境使用日志。所有日志不得帶離現(xiàn)場(chǎng)。確因業(yè)務(wù)需要將賬戶信息帶離現(xiàn)場(chǎng)的，執(zhí)行嚴(yán)格的審批、使用、銷毀流程。

2.3.3 設(shè)備登錄管理

一般情況下，只允許網(wǎng)絡(luò)經(jīng)理和網(wǎng)絡(luò)工程師直接登錄網(wǎng)絡(luò)設(shè)備進(jìn)行維護(hù)操作。

其它運(yùn)維人員，只能登錄網(wǎng)絡(luò)設(shè)備進(jìn)行配置查看。

在網(wǎng)絡(luò)經(jīng)理和網(wǎng)絡(luò)工程師進(jìn)行配置更改前，需將設(shè)備原有配置保存至FTP服務(wù)器上，配置完成后，再將現(xiàn)有配置保存至FTP服務(wù)器，所有的配置文檔永久保留。遠(yuǎn)程登錄網(wǎng)絡(luò)設(shè)備進(jìn)行維護(hù)操作。

2.3.4 網(wǎng)絡(luò)設(shè)備系統(tǒng)升級(jí)

網(wǎng)絡(luò)設(shè)備現(xiàn)有系統(tǒng)軟件版本存在安全漏洞，或者所配置模塊無(wú)法再現(xiàn)有版本下正常工作，需對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行系統(tǒng)升級(jí)處理。

在對(duì)網(wǎng)絡(luò)設(shè)備系統(tǒng)軟件升級(jí)前，網(wǎng)絡(luò)經(jīng)理和網(wǎng)絡(luò)工程師提出詳細(xì)的升級(jí)目標(biāo)、內(nèi)容、方式、步驟和應(yīng)急操作方案報(bào)上級(jí)主管部門(mén)審核批準(zhǔn)。

在進(jìn)行網(wǎng)絡(luò)設(shè)備系統(tǒng)軟件升級(jí)操作前，將網(wǎng)絡(luò)設(shè)備現(xiàn)有系統(tǒng)和配置文件保存至FTP服務(wù)器，升級(jí)后，進(jìn)行網(wǎng)絡(luò)測(cè)試，確保設(shè)備正常后，將網(wǎng)絡(luò)設(shè)備升級(jí)后的系統(tǒng)和配置文件保存至FTP服務(wù)器。

網(wǎng)絡(luò)設(shè)備升級(jí)的詳細(xì)的操作過(guò)程及方案部門(mén)留底保存。

2.3.5 網(wǎng)絡(luò)設(shè)備日常維護(hù)

實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)設(shè)備運(yùn)行狀況，建立日志服務(wù)器。

定期對(duì)系統(tǒng)數(shù)據(jù)進(jìn)行備份

定期查看系統(tǒng)的安全管理軟件及系統(tǒng)日志，在發(fā)現(xiàn)系統(tǒng)遭到非法攻擊或非法攻擊嘗試時(shí)，應(yīng)利用系統(tǒng)提供的功能進(jìn)行自我保護(hù)，并對(duì)非法攻擊進(jìn)行定位、跟蹤和發(fā)出警告，同時(shí)向上級(jí)主管部門(mén)匯報(bào)。如有疑難問(wèn)題請(qǐng)相關(guān)負(fù)責(zé)系統(tǒng)安全的人員協(xié)助解決。

維護(hù)過(guò)程中發(fā)現(xiàn)的不正常情況應(yīng)及時(shí)處理和詳細(xì)記錄，處理不了的問(wèn)題，應(yīng)立即向主管人員報(bào)告。

2.4 網(wǎng)絡(luò)設(shè)備管理人員規(guī)范

2.4.1 網(wǎng)絡(luò)設(shè)備管理人員

目前公司設(shè)有網(wǎng)絡(luò)經(jīng)理和網(wǎng)絡(luò)工程師2個(gè)職位，共同進(jìn)行網(wǎng)絡(luò)設(shè)備維護(hù)和安全管理。

網(wǎng)絡(luò)經(jīng)理全面負(fù)責(zé)網(wǎng)絡(luò)設(shè)備的維護(hù)及安全管理，定期對(duì)網(wǎng)絡(luò)架構(gòu)、網(wǎng)絡(luò)整體運(yùn)行情況進(jìn)行分析，及時(shí)了解公司業(yè)務(wù)對(duì)網(wǎng)絡(luò)的需求，提出網(wǎng)絡(luò)擴(kuò)容和整改方案。

網(wǎng)絡(luò)工程師全部負(fù)責(zé)網(wǎng)絡(luò)設(shè)備的維護(hù)操作和故障處理，搭建網(wǎng)絡(luò)監(jiān)控系統(tǒng)，實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)設(shè)備運(yùn)行狀況，及時(shí)處理網(wǎng)絡(luò)故障。

2.4.2 網(wǎng)絡(luò)安全培訓(xùn)管理

定期組織運(yùn)維人員學(xué)習(xí)網(wǎng)絡(luò)安全管理知識(shí)，提高運(yùn)維人員的維護(hù)網(wǎng)絡(luò)安全的警惕性和自覺(jué)性。

負(fù)責(zé)對(duì)本公司員工進(jìn)行安全教育和培訓(xùn)，使用戶自覺(jué)遵守和維護(hù)《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際互聯(lián)網(wǎng)安全保護(hù)管理辦法》，使他們具備基本的網(wǎng)絡(luò)安全知識(shí)。