1 网络安全设备管理规范基本要求
1.1 公司信息系统已覆盖分公司范围的下属企业,成为公司生 产、经营和管理提供信息化手段的根本, 网络安全设备是保障公 司信息系统安全运行的基础。 为保障公司信息系统的安全、 稳定 运行,根据《集团公司网络安全设备管理规范》特制定本规范。
1.2 本规范合用于公司统一建设的计算机网络内所有网络安全 设备的管理和运行。
1.3 本规范中所指网络安全设备包括各种安全网关类设备(防火 墙、 汽车杀人案VPN、代理服务器、 IP 加密机等)、入侵检测类设备、漏洞 扫描类设备等。
1.4 网络安全设备(产品)的使用应符合国家的有关规定, 尽量 数字频率计设计采用具有计算机信息系统安全专用产品销售许可证的信息安全 产品,且具有中国信息安全产品测评认证中心认证的信息安全产 品。密码设备选型应符合国家密码主管部门的有关要求, 加密算 法应得到国家密码主管部门的批准。
2 各级信息管理部门职责
2.1 科技开辟处是公司网络安全设备管理工作的归口管理部门。
2.2 信息技术管理中心负责分公司网络安全设备管理工作。 设系 统管理员、信息安全管理员。
3 管理内容和要求
3.1 管理员职责
3.1.1 系统管理员职责:
——恪守职业道德,严守企业秘密,熟悉国家安全生产法 以及有关信息安全管理的相关规程;
理,更新和维护等日常工作;
——对数据网络实行分级授权管理,按照岗位职责授予不 同的管理级别和权限;
——密切注意最新网络攻击行为的发生、发展情况,关注 和追踪业界发布的攻击事件;
——密切关注信息系统安全隐患,及时变更信息安全策略 或者升级安全设备。
3.1.2 信息安全管理员职责:
——恪守职业道德,严守企业秘密,熟悉国家安全生产法 以及有关信息安全管理的相关规程;
——每周对系统管理员的登录和操作记录进行审计;
——对系统管理员部署的安全策略、配置和变更内容进行中沙关系的重要里程碑 审计;
——密切注意最新漏洞的发生、发展情况,关注和追踪业 界发布的漏洞疫情。
3.2 账号与权限、策略和部署、配置和变更管理
3.2.1 账号与权限
3.2.1.1 系统管理员和信息安全管理员的用户账号应分开设置, 其他人员不得设置账户。 在安全设备上建立用户账号, 需要经过 人情练达即文章
本级信息部门安全主管的审批并保留审批记录。 3.2.1.2 系统管理员具有设置、 修改安全设备策略配置, 以及读 取和分析检测数据的权限。
3.2.1.3 信息安全管理员具有读取安全设备审计日志信息, 以及 检查安全设备策略配置内容的权限。
3.2.1.4 管理员身份鉴别可以采用口令方式。 应为用户级和特权
级模式设置口令, 不能使用缺省口令, 确保用户级和特权级模式 口令不同。 安全设备口令长度应采用 8 位以上, 由非纯数字或者字 母组成,并保证每季度至少更换一次。
3.2.1.5 安全设备的身份鉴别,必要时可以采用数字证书方式。
3.2.2 策略和部署管理
3.2.2.1 安全设备系统管理员应依据公司信息安全规划, 结合实 际需求,制定、配置具体网络安全设备的安全策略, 并且进行规 范化和文档化;安全设备的策略文档应妥善保存。
3.2.2.2 对关键的安全设备要采用双机热备或者冷备的方式进行 部署以减小系统运行的风险。
3.2.2.3 安全设备部署应依据公司的信息安全规划统一部署, 保 证安全设备的可用性。安全设备部署的具体实施须经信息管理部 门的审批并保留审批记录。
3.2.2.4 安全网关类设备部署应根据网络安全域的划分情况进 行正确部署,满足不同网络安全域之间访问控制的要求。
3.2.2.5 入侵检测类设备的部署要根据网络和信息系统的安全 需求, 选择合理的检测节点, 能够完整的检测到被保护网络的数 据流量,并能抓取含有足够信息的 IP 包,如: MAC 地址、 IP 地 址等。
3.2.2.6 漏洞扫描设备可采取离线或者在线方式部署, 部署前应进 行漏洞扫描设备运行可能对系统影响的分析, 避免对信息系统运 行产生不良影响。
3.2.3配置和变更管理。
3.2.3.1 配置和变更授权网络安全设备的配置、 变更应满足信息 系统变更管理的要求, 配置和变更前应充分评估对信息系统可能
产生的影响, 报信息管理部门审批、 授权后执行, 保留审批记录。
3.2.3.2 防火墙设备配置:
——记录网络环境,定义防火墙网络接口;
——定义防火墙的网络对象和应用端口;
——定义安全策略;
—
—定义系统管理员和信息安全管理员权限;
——测试防火墙性能。
3.2.3.3 VPN 设备配置:
——环境配置, 指网络环境的设置, VPN 网关的控制台的设 置;
——设置 VPN 网关的各种网络参数特性,包括网络接口、 透明网络、静态路由、 ADSL 用户设置、 MODEM 用户设 置等;
——VPN 设置,将证书导入 VPN 网关系统;进行 SMC 设置, 对 SMC 进行身份认证并下载策略,加载加密算法;添 加静态隧道,从 SMC 中下载与本机有信任关系的主机 信息;设置与信任设备之间的隧道各项参数,定义虚 拟路由,并进行客户端配置;
——防火墙设置,包括进行包过滤规则设置和 NAT 规则设 置;
——服务器设置,包括 VPN 安全网关提供的DHCP 服务器、 拨号服务器、 L2tp 服务器、设置拨号用户、 DNS 代理拼车生活 和 SNMP 代理等功能的话设置;
——带宽管理,对流经网络接口的网络流量预先进行分配 管理,保证用户对网络连接带宽的要求。带宽管理针