网络安全管理规范与流程课件.ppt

网络安全管理规范 编撰人：网络安全设计组 郭宏礼 目录 第一部分：概述 第二部分：总则 第三部分：行为规范 第四部分：网络安全管理 VPN的安全管理 防火墙的安全管理 IDS的安全管理 SMS的安全管理 病毒防护的安全管理 第一部分:概述 中国石油信息管理部精心组织，建成广域网改进项目网络安全设计组（以下简称：安全组）,形成了分级运行，集中管理，安全、快捷、易使用、可扩展的中国石油企业网络安全管理系统。 安全设计组——负责防病毒网站的推广，防病毒工具研究，防病毒工作检查；负责网络接入、防火墙、VPN、IDS、代理服务器等控制、服务器安全、终端安全等；负责协助信息安全项目建设；负责密码的管理和操作确认。 为防止黑客攻击、入侵、病毒、不良内容和垃圾邮件等通过区域网络中心的Internet的入口进入中国石油广域网，同时也为通过网络管理数据，提升中国石油的企业管理效率和效益,使得网络信息的安全风险得到有效降低,保障企业网络的高可用性。 第二部分：总则 第一条 为保障网络安全管理系统高速、安全、可靠运行，规范日常的维护、操作和使用行为，使其高效、优质地服务于中国石油生产、经营和管理活动，为企业内部用户提供便捷、高效、安全、可靠的网络安全服务，根据《中国石油信息技术管理规定》及相关管理的要求，编制本网络安全管理规范。 第二条 本管理规范所指的内部网络系统，是由广域网项目组（以下简称“项目组”）统一部署、维护和管理的内部网络主、辅节点设备、配套的网络线缆设施及网络服务器、工作站所构成的，服务于内部网络应用的软硬件集成系统。 第三条　项目组可以委托相关指定人员代为管理子节点设备。任何部门和个人，未经信息管理部授权、不得擅自安装、拆卸或改变网络设备；如确需改动，应事先与信息管理部取得联系，确保公司内部网络系统正常运行。 第四条　任何部门和个人、不得利用联网计算机从事危害内部网络及本地局域网服务器、工作站、网络节点等行为。 第五条 网络安全管理规范适用于中国石油总部及下属各企事业单位的网络安全系统管理人员、技术支持人员。 第三部分：行为规范 衣着整洁、得体，符合工作身份，不戴与环境不相称的饰品； 文明用语、礼貌待人；咨询解答，热情耐心；迅速受理、及时反馈； 认真执行“首问负责”制。凡是涉及信息技术的问题，作为第一受理人，即使不属于本人职责范围，也不能以任何理由推脱，而应通过适当的方式，为用户解决问题，或做好衔接和引导工作，力争为用户提供更多方便与支持； 接听电话时，首先问好，然后报出自己的身份；用语文明礼貌，态度和蔼，口齿清楚；耐心解答用户的各种问题，不得无礼怠慢，推诿搪塞； 对待用户的态度要热情周到，切忌冷漠、恶劣；回答问题时要详尽、细致、全面、不厌其烦，直到用户满意；对于当时不能解答的问题要认真记录，在最短的时间内与其它服务人员沟通，一旦得到解决方案，马上反馈用户。 第四部分：网络安全管理 网络安全维护系统包含移动办公(以下简称“VPN”),防火墙,入侵检测系统（以下简称“IDS”），微软补丁分发系统（以下简称“SMS”）和病毒防护，共5部分。 第一章 VPN的安全管理 中国石油VPN系统 中国石油设立了九大VPN接入点，分别是集团公司总部、股份公司总部、北京区域、大庆区域、辽河区域、新疆区域、兰州区域、西南区域、长庆区域，为中国石油系统内用户服务。 系统采用相同的VPN 接入域名，用户就近接入，各点之间互为备份；使用统一的用户身份验证策略和加密策略，采用同一的AD（域控制器）用户管理，集团公司和股份公司使用各自的AD。 中国石油采用GSLB（全局负载均衡）整体解决方案，通过在两个全国中心节点（洲际大厦和勘探院）部署GSLB设备(TMX)和各接入中心部署SSL VPN设备（SPX），将用户的访问请求进行全局的负载均衡处理，将用户定向到最近的接入中心访问，使用户的请求得到最快的响应。 中国石油SSL VPN部署示意图 SPX3000：SPX3000是SSL VPN设备，实现远程用户的接入。 TMX2000 TMX2000主要用于全国范围内用户接入的负载均衡。 TMX2000对各接入中心的SPX3000设备和互联网出口链路进行检查，实现SSL VPN接入的冗余功能，提高服务的可用性。 两台TMX2000部署在不同的地方，实现自身的冗余备份。 在洲际大厦和勘探院分别部署一台TMX2000和SPX3000设备 在其余的7个接入中心各部署一台SPX3000设备：集团总部；大庆区域；辽河区域；新疆区域；兰州区域；西安区域；西南区域。 工作目标 信息系统的安全性和服务的便利性是中国石油考虑的首要问题，因此如何在开放的互联网上构筑安全的信息通道，如何对遍布全