信息安全管理体系网络安全管理制度.docx

PAGE1

信息安全管理体系网络安全管理制度

目录

TOC\h\z\u第一章 总则 1

第二章 管理职责 1

第三章 网络架构安全 1

第四章 网络配置安全 2

第五章 网络运维安全 4

第六章 附则 6

总则

为了加强集团网络安全管理工作,保障集团信息系统网络在安全、可控状态下运行，建立健全信息系统相关网络操作手册，提高网络通信质量，优化网络结构，特制定本制度。

本制度的目的是对集团业务相关网络架构安全设计、网络安全策略的制定、网络设备的安全配置、网络运维安全进行统一规范和管理。

管理职责

网络运营中心是集团信息系统网络的管理维护部门，其中网络安全工程师、网络工程师负责集团信息系统网络的具体安全管理工作。

网络安全工程师负责业务相关安全设备操作手册制定以及配置维护、更新，梳理业务系统访问关系，制定访问控制规则，负责定期检查安全设备的日志，及时发现攻击事件，排除安全隐患。

网络工程师负责网络基础架构、业务平台相关网络的方案设计、实施、优化，负责业务相关网络设备操作手册制定以及配置维护、更新，负责堡垒主机的账号权限管理，负责业务相关网络的监控、维护和故障处理，负责定期检查网络设备日志，排除安全隐患。

网络架构安全

集团业务相关网络/安全设备应满足业务高峰的流量需求，网络/安全工程师应能够明确核心和边界设备的承载能力。核心设备应满足冗余备份，不能出现单点故障问题，并明确备份方式是热备还是冷备。

网络/安全工程师应明确业务终端与业务服务器之间的访问路径、路由选择，并根据业务需求进行路由优化、更新。

网络边界应部署具有网络访问控制功能的设备，如防火墙设备，并配置适当的访问控制规则。避免将重要网段部署在网络边界处且直接连接互联网，重要网段与其他网段之间须采取可靠的技术隔离手段。

网络工程师应绘制与实际网络结构相符的网络拓扑图，网络拓扑图要求详细准确，并且要根据网络结构的变化实时更新。

网络工程师应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段。

网络工程师应根据各业务系统的重要程度顺序来指定带宽分配优先级别，保证在网络发生拥堵时能够优先保障重要业务系统稳定运行。

应建立统一的日志服务器，实时收集网络/安全设备的日志信息，保障审计记录不会被删除、修改或覆盖，并且可以根据审计记录进行分析，生成审计报告。

应建立网络准入准出控制机制，如采用终端管理软件对非授权设备接入内部网络进行定位阻断，并且可以对内部设备非法连接互联网行为进行定位阻断。

应在网络边界建立入侵防范机制，能够在网络边界处监控并记录端口扫描等攻击行为，并提供报警功能。

应在网络边界部署防恶意代码防范设备，如防毒墙，并且要及时更新恶意代码库。

网络配置安全

网络/安全设备应启用访问控制功能，网络安全工程师根据业务系统访问需求制定访问控制规则，访问控制粒度应达到端口级别。网络工程师通过堡垒主机限制用户可以访问的系统资源，控制粒度为单个用户。

交换机应启用重要网段IP/MAC绑定功能，以防止ARP攻击。

安全设备应启用对进出网络的信息内容过滤功能，实现对应用层HTTP、FTP、TELNET、SMTP、POP等协议命令级的控制。

流量控制设备应启用根据IP地址、端口、协议来限制应用数据流的最大流量功能，或者通过在防火墙设备启用根据IP地址限制网络连接数功能，保障业务应用带宽不被占用。

防火墙设备应启用会话超时退出机制，当会话处于非活跃状态一段时间如100s时，终止会话连接，并释放资源，防止拒绝服务攻击发送大量无效连接。

应基于遵循最小授权原则，根据用户需求不同建立满足其所需最小权限的网络/安全设备账户，特权用户权限应该分离，防止出现管理员账号共用的情况，重要网络/安全设备应采用两种组合鉴别技术来进行身份认证。网络/安全设备账号申请详见《信息系统安全运维管理制度》。

网络/安全设备口令应满足复杂度要求，口令最小长度为8位，至少含有大写字母、小写字母、数字和特殊符号中的三种，并保证三个月修改一次密码。

网络/安全设备应启用维护管理IP地址限制机制，限制管理员的维护登录地址，防止恶意用户随意连接网络/安全设备。

网络/安全设备远程管理应采用加密协议，如SSH、HTTPS等，防止鉴别信息在传输过程中被监听截获，保证数据传输的必威体育官网网址性和完整性。

网络/安全设备应启用登录失败处理功能，限制非法登录5次锁定该账号5分钟。

网络/安全设备应启用登录超时退出机制，当网络登录连接超过3分钟无操作时自动退出连接。

网络/安全设备应按照最小化服务原则，仅开启所需的服务，关闭不需要服务，防止开启危险服务为设备带来不必要的风险。

网络/安全设备应开启日志记录，能够记录设备运行状况、网络流量、用户行为等，记录应包括：事