網(wǎng)絡(luò)系統(tǒng)安全管理規(guī)范.doc

文件名稱網(wǎng)絡(luò)系統(tǒng)安全管理規(guī)范密級(jí)文件編號(hào)版 本 號(hào)編寫(xiě)部門(mén)編 寫(xiě) 人審 批 人發(fā)布時(shí)間XXXXXXXXXXXXXXX公司業(yè)務(wù)平臺(tái)安全管理制度網(wǎng)絡(luò)系統(tǒng)安全管理規(guī)范XXXXXXX網(wǎng)絡(luò)運(yùn)行維護(hù)事業(yè)部目錄一. 網(wǎng)絡(luò)系統(tǒng)架構(gòu)安全規(guī)范11.1 網(wǎng)絡(luò)安全的范圍11.2 網(wǎng)絡(luò)結(jié)構(gòu)安全要求1二. 網(wǎng)絡(luò)系統(tǒng)拓?fù)浣Y(jié)構(gòu)安全22.1 安全域的設(shè)計(jì)22.2 安全域劃分原則22.3 安全域劃分方法32.4 邊界整合及控制3三. 網(wǎng)絡(luò)系統(tǒng)訪問(wèn)控制53.1 通用網(wǎng)絡(luò)保護(hù)要求53.2 網(wǎng)絡(luò)設(shè)備配置要求53.2.1交換機(jī)配置要求53.2.2路由器配置要求63.2.3防火墻配置要求6四. 網(wǎng)絡(luò)系統(tǒng)設(shè)備安全74.1 變更管理要求74.2 賬號(hào)口令管理要求74.3 日志安全要求74.4 訪問(wèn)控制要求74.5 SNMP安全要求84.6 版本安全要求8五. 網(wǎng)絡(luò)流量監(jiān)控分析95.1 異常流量檢測(cè)分析95.2 異常流量控制9六. 附錄106.1 交換機(jī)安全配置規(guī)范106.2 路由器安全配置規(guī)范106.3 防火墻安全配置規(guī)范10 II主機(jī)系統(tǒng)安全管理規(guī)范一. 網(wǎng)絡(luò)系統(tǒng)架構(gòu)安全規(guī)范1.1 網(wǎng)絡(luò)安全的范圍網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。它涉及主機(jī)、終端和應(yīng)用等多個(gè)層面的安全防護(hù)；網(wǎng)絡(luò)安全采用的技術(shù)手段也多種多樣，既有網(wǎng)絡(luò)層面的入侵檢測(cè)、遠(yuǎn)程接入管理、內(nèi)容過(guò)濾、流量檢測(cè)，也有其它層面的文檔安全、桌面管理、病毒防護(hù)、訪問(wèn)認(rèn)證等。 單純的采用一種或多種安全技術(shù)手段，不能從根本上彌補(bǔ)網(wǎng)絡(luò)架構(gòu)所造成的缺陷，必須綜合考慮網(wǎng)絡(luò)性能、網(wǎng)絡(luò)維護(hù)、網(wǎng)絡(luò)優(yōu)化改造、邊界防護(hù)等多方面的因素，以網(wǎng)絡(luò)的整體安全為框架，融合安全技術(shù)、安全手段，并充分考慮系統(tǒng)生命周期內(nèi)的安全要素，才能達(dá)到預(yù)期的網(wǎng)絡(luò)安全目標(biāo)。 1.2 網(wǎng)絡(luò)結(jié)構(gòu)安全要求網(wǎng)絡(luò)結(jié)構(gòu)的設(shè)計(jì)應(yīng)滿足網(wǎng)絡(luò)整體的安全要求，包括：設(shè)備安全、訪問(wèn)控制、邊界完整性、入侵防范、惡意代碼防范、網(wǎng)絡(luò)冗余、安全審計(jì)等。u 應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要；u 應(yīng)保證網(wǎng)絡(luò)各個(gè)部分的帶寬滿足業(yè)務(wù)高峰期需要；u 應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立安全的訪問(wèn)路徑；u 應(yīng)繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖；u 應(yīng)根據(jù)各系統(tǒng)的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段；u 應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段；u 應(yīng)按照對(duì)業(yè)務(wù)服務(wù)的重要次序來(lái)指定帶寬分配優(yōu)先級(jí)別，保證在網(wǎng)絡(luò)發(fā)生擁堵的時(shí)候優(yōu)先保護(hù)重要主機(jī)。二. 網(wǎng)絡(luò)系統(tǒng)拓?fù)浣Y(jié)構(gòu)安全2.1 安全域的設(shè)計(jì)安全域設(shè)計(jì)應(yīng)基于業(yè)務(wù)系統(tǒng)平臺(tái)的結(jié)構(gòu)，從各種業(yè)務(wù)功能、管理、控制功能出發(fā)，梳理其數(shù)據(jù)流、刻畫(huà)構(gòu)成數(shù)據(jù)流的各種數(shù)據(jù)處理活動(dòng)/行為，分析數(shù)據(jù)流、數(shù)據(jù)處理活動(dòng)的安全需求和安全域設(shè)計(jì)要求，將系統(tǒng)分解為若干個(gè)功能簡(jiǎn)單、邊界清晰且結(jié)構(gòu)化的小的安全域，根據(jù)不同安全域承擔(dān)的業(yè)務(wù)使命、業(yè)務(wù)功能以及受到的潛在的威脅和安全風(fēng)險(xiǎn)，進(jìn)行有針對(duì)的分等級(jí)的重點(diǎn)保護(hù)，構(gòu)建起多層、主動(dòng)、立體的安全保障體系，并通過(guò)控制、審計(jì)等手段，達(dá)到持久、有效地保障系統(tǒng)安全的目的。2.2 安全域劃分原則安全域劃分是網(wǎng)絡(luò)安全工作的基礎(chǔ)。所謂安全域，是指網(wǎng)絡(luò)中具有相同的安全保護(hù)需求、并相互信任的區(qū)域或網(wǎng)絡(luò)實(shí)體的集合。一個(gè)安全域內(nèi)也可根據(jù)實(shí)際情況進(jìn)一步細(xì)分安全區(qū)域、安全子域。 安全域劃分的基本原則包括：u 業(yè)務(wù)保障原則：安全域劃分的根本目標(biāo)是為了能夠更好地保障網(wǎng)絡(luò)上承載的業(yè)務(wù)。在保證安全的同時(shí)，還要保障業(yè)務(wù)的正常運(yùn)行和運(yùn)行效率。u 結(jié)構(gòu)簡(jiǎn)化原則：安全域劃分的直接目的和效果是要將整個(gè)網(wǎng)絡(luò)變得更加簡(jiǎn)單，簡(jiǎn)單的網(wǎng)絡(luò)結(jié)構(gòu)便于設(shè)計(jì)防護(hù)體系。因此，安全域劃分并不是粒度越細(xì)越好，安全域數(shù)量過(guò)多過(guò)雜反而可能導(dǎo)致安全域的管理過(guò)于復(fù)雜，實(shí)際操作過(guò)于困難。 u 立體協(xié)防原則：安全域的主要對(duì)象是網(wǎng)絡(luò)，但是圍繞安全域的防護(hù)需要考慮在各個(gè)層次上立體防守，包括在物理鏈路、網(wǎng)絡(luò)、主機(jī)系統(tǒng)、應(yīng)用等層次；同時(shí)，在部署安全域防護(hù)體系的時(shí)候，要綜合運(yùn)用身份鑒別、訪問(wèn)控制、檢測(cè)審計(jì)、鏈路冗余、內(nèi)容檢測(cè)等各種安全功能實(shí)現(xiàn)協(xié)防。 u 生命周期原則：對(duì)于安全域的劃分和布防不僅僅要考慮靜態(tài)設(shè)計(jì)，還要考慮不斷的變化；另外，在安全域的建設(shè)和調(diào)整過(guò)程中要考慮工程化的管理。2.3 安全域劃分方法根據(jù)安全域的設(shè)計(jì)原理，業(yè)務(wù)平臺(tái)可以劃分為：核心生產(chǎn)區(qū)、內(nèi)部互聯(lián)區(qū)、互聯(lián)網(wǎng)接口區(qū)、核心交換區(qū).核心生產(chǎn)區(qū)：本區(qū)域僅和該業(yè)務(wù)系統(tǒng)其它安全子域直接互聯(lián)，不與任何外部網(wǎng)絡(luò)直接互聯(lián)。該業(yè)務(wù)系統(tǒng)中資產(chǎn)價(jià)值最高的設(shè)備位于本區(qū)域，如服務(wù)器群、數(shù)據(jù)庫(kù)以及重要存儲(chǔ)設(shè)備，外部不能通過(guò)互聯(lián)網(wǎng)直接訪問(wèn)該區(qū)域內(nèi)設(shè)備。內(nèi)部互聯(lián)接口區(qū)：本區(qū)域放置的設(shè)備和公司內(nèi)部網(wǎng)絡(luò)，如IP專網(wǎng)等連接，具體包括與支撐系統(tǒng)、其它業(yè)務(wù)系統(tǒng)或可信任的第三方互聯(lián)的設(shè)備，如網(wǎng)管采集設(shè)備。互聯(lián)網(wǎng)接口區(qū)：本區(qū)域和互聯(lián)網(wǎng)直接連接，主要放置互聯(lián)網(wǎng)直接訪問(wèn)的設(shè)備。如業(yè)務(wù)系統(tǒng)門(mén)戶（Portal）。該區(qū)域的設(shè)備具備實(shí)現(xiàn)互聯(lián)網(wǎng)與內(nèi)部核心生產(chǎn)區(qū)數(shù)據(jù)的轉(zhuǎn)接作用。核心交換區(qū)：負(fù)責(zé)連接核心生產(chǎn)區(qū)、內(nèi)部互聯(lián)接口區(qū)和外部互聯(lián)接口區(qū)等安全域。2.4 邊界整合及控制安全域明確定義之后，要在實(shí)際的信息系統(tǒng)環(huán)境中進(jìn)行劃分并實(shí)施相應(yīng)保護(hù)措施，首先應(yīng)先進(jìn)行安全域的邊界整合。常見(jiàn)的安全域邊界整合應(yīng)考慮如下工作： 網(wǎng)絡(luò)邊界整合（網(wǎng)絡(luò)域） 網(wǎng)絡(luò)調(diào)整、割接（路由、交換調(diào)整）； 交換機(jī)VLAN劃分； 防火墻部署（考慮冗余、DMZ、VPN）； 增加隔離設(shè)備u 服務(wù)整合（計(jì)算域） 服務(wù)器整合； 應(yīng)用接口規(guī)范整合u 終端整合（用戶域） 不同業(yè)務(wù)的管理員用戶、內(nèi)部用戶整合； 第三方用戶（廠商、VPN撥號(hào)用戶等）整合u 安全措施整合 身份認(rèn)證整合； 補(bǔ)丁管理、病毒管理、入侵檢測(cè)、漏洞掃描、日志審計(jì)三. 網(wǎng)絡(luò)系統(tǒng)訪問(wèn)控制網(wǎng)絡(luò)中的一些信息系統(tǒng)可能因含有敏感和重要數(shù)據(jù)，需要特別保護(hù)，防止其他網(wǎng)絡(luò)用戶的訪問(wèn)。3.1 通用網(wǎng)絡(luò)保護(hù)要求u 只有經(jīng)授權(quán)的網(wǎng)絡(luò)設(shè)備運(yùn)維操作員才可訪問(wèn)相應(yīng)網(wǎng)絡(luò)設(shè)備。其他人員需經(jīng)過(guò)信息安全負(fù)責(zé)人批準(zhǔn)，且訪問(wèn)時(shí)網(wǎng)絡(luò)設(shè)備運(yùn)維操作員需在場(chǎng)。u 在沒(méi)有得到預(yù)先批準(zhǔn)的情況下，不能公開(kāi)發(fā)布內(nèi)部網(wǎng)絡(luò)地址，設(shè)置和有關(guān)系統(tǒng)和網(wǎng)絡(luò)信息。u 所有連接到第三方網(wǎng)絡(luò)或者連接公共網(wǎng)絡(luò)的內(nèi)部網(wǎng)絡(luò)應(yīng)被保護(hù)。u 到其他網(wǎng)絡(luò)的連接不應(yīng)危及在另一個(gè)網(wǎng)絡(luò)里處理的信息的安全，反之亦然。u 網(wǎng)絡(luò)架構(gòu)任何人都不能隨意變動(dòng)，任何變更都需要經(jīng)過(guò)信息安全負(fù)責(zé)人批準(zhǔn)u 已安裝的網(wǎng)絡(luò)資產(chǎn)的文檔清單應(yīng)被維護(hù)并保持最新。一些網(wǎng)絡(luò)拓?fù)涞募?xì)節(jié)的描述如，協(xié)議，結(jié)構(gòu)，加密等等也應(yīng)被文檔化和保持最新。3.2 網(wǎng)絡(luò)設(shè)備配置要求3.2.1交換機(jī)配置要求為了加強(qiáng)安全保護(hù)，VLAN建設(shè)中建議采用以下功能：u 核心交換機(jī)和分布式交換機(jī)實(shí)施包過(guò)濾技術(shù)；u 只有授權(quán)用戶才能訪問(wèn)服務(wù)器，用有效的IP地址進(jìn)行授權(quán)。u 限制和控制訪問(wèn)關(guān)鍵服務(wù)器應(yīng)用的流量，例如，只允許Ftp、Telnet等從某個(gè)授權(quán)地點(diǎn)到某個(gè)關(guān)鍵服務(wù)器應(yīng)用的流量。配置訪問(wèn)控制列表，防止地址欺騙。3.2.2路由器配置要求u 共享的網(wǎng)絡(luò)，特別是那些跨過(guò)組織邊界的網(wǎng)絡(luò)，需要實(shí)施路由控制來(lái)確保計(jì)算機(jī)連接和信息流只能基于業(yè)務(wù)的需要，這種控制對(duì)于和第三方的網(wǎng)絡(luò)共享非常重要。u 路由器上應(yīng)給予確實(shí)的源地址和目的地址的檢查機(jī)制。u 網(wǎng)絡(luò)地址的轉(zhuǎn)換對(duì)分隔網(wǎng)絡(luò)和防止路由從一個(gè)組織網(wǎng)絡(luò)傳播到另一個(gè)組織的網(wǎng)絡(luò)是非常有用的。u 盡可能地采用集中認(rèn)證方式和一次性口令；u 通過(guò)配置協(xié)議認(rèn)證，避免非授權(quán)網(wǎng)絡(luò)設(shè)備接入網(wǎng)絡(luò)。u 防止BGP路由振蕩。u 配置動(dòng)態(tài)路由協(xié)議（BGP/ MP-BGP /OSPF等）時(shí)必須啟用帶加密方式的身份驗(yàn)證功能，相鄰路由器只有在身份驗(yàn)證通過(guò)后，才能互相通告路由信息。u 骨干路由器要求專門(mén)保護(hù)的部件要予以隔離，以降低所要求的總體保護(hù)等級(jí)；u 制定路由策略，禁止發(fā)布或接收不安全的路由信息。3.2.3防火墻配置要求在可能的情況下，防火墻需采取以下配置：u 防火墻必須隱藏內(nèi)部主機(jī)及域名，防火墻必須隱藏內(nèi)部IP結(jié)構(gòu)。u 采用NAT轉(zhuǎn)換DMZ區(qū)IP地址和公共網(wǎng)絡(luò)的地址。u 除了防火墻和應(yīng)用必須提供的服務(wù)之外，避免所有其它網(wǎng)絡(luò)服務(wù)。u 除了所選擇的ICMP信息外，防火墻必須阻擋所有其它ICMP信息。u 開(kāi)啟防火墻帶有的防止DOS攻擊的功能。例如IP地址欺騙，SYN攻擊等。四. 網(wǎng)絡(luò)系統(tǒng)設(shè)備安全4.1 變更管理要求u 網(wǎng)絡(luò)設(shè)備的任何變更都必須通過(guò)公司變更管理流程正式批準(zhǔn)。u 所有與網(wǎng)絡(luò)設(shè)備相連接的網(wǎng)絡(luò)部分(包括物理線路、設(shè)備)的變更等，都需通過(guò)公司變更管理流程正式批準(zhǔn)。u 在對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行變更之后，必須經(jīng)過(guò)健康檢查。建議透過(guò)一些可靠的工具（如掃描器或手工檢查），對(duì)設(shè)備進(jìn)行完整測(cè)試,包括系統(tǒng)狀態(tài)、業(yè)務(wù)功能測(cè)試、開(kāi)放端口等。4.2 賬號(hào)口令管理要求u 避免用戶賬號(hào)共享。除超級(jí)用戶帳號(hào)可分配一至二人管理外，其余為一個(gè)運(yùn)維操作員配置一個(gè)帳號(hào)，每個(gè)運(yùn)維操作員以各自的賬號(hào)登錄。并刪除系統(tǒng)無(wú)用帳號(hào)。u 設(shè)置登錄帳號(hào)的修改周期小于90天；u 加密口令，避免用戶密碼泄露u 普通用戶帳號(hào)密碼位長(zhǎng)需大于6位。超級(jí)用戶帳號(hào)密碼應(yīng)為數(shù)字、大小寫(xiě)字母中任意兩者以上的組合，位長(zhǎng)大于8位； u 以上策略應(yīng)通過(guò)設(shè)備參數(shù)配置，或與認(rèn)證系統(tǒng)聯(lián)動(dòng)，滿足帳號(hào)、口令和授權(quán)的強(qiáng)制要求。不具備上述條件的，應(yīng)通過(guò)人工方式控制。4.3 日志安全要求u 網(wǎng)絡(luò)設(shè)備的登陸退出日志、操作維護(hù)日志應(yīng)根據(jù)各業(yè)務(wù)平臺(tái)的維護(hù)要求，保存在本機(jī)、或轉(zhuǎn)儲(chǔ)到外部存儲(chǔ)介質(zhì)上，不得隨意刪除。4.4 訪問(wèn)控制要求u 限制訪問(wèn)網(wǎng)絡(luò)設(shè)備的管理終端。u 設(shè)置安全訪問(wèn)控制，過(guò)濾掉已知蠕蟲(chóng)常用端口。u 關(guān)閉未使用的端口，如路由器的AUX口。u 關(guān)閉網(wǎng)絡(luò)設(shè)備不必要的服務(wù)，比如FTP、TFTP服務(wù)等。u 禁用不需要的功能。u 避免遠(yuǎn)程維護(hù)過(guò)程中出現(xiàn)用戶賬戶和設(shè)備配置信息泄露,：如采用安全的SSH登陸遠(yuǎn)程維護(hù)設(shè)備。u 修改BANNER提示，避免缺省BANNER信息泄露系統(tǒng)平臺(tái)以及其它信息。4.5 SNMP安全要求u 系統(tǒng)應(yīng)修改SNMP的Community默認(rèn)通行字，通行字應(yīng)符合口令強(qiáng)度要求。u 系統(tǒng)應(yīng)配置為SNMPV2或以上版本。u 設(shè)置SNMP訪問(wèn)安全限制，只允許特定主機(jī)通過(guò)SNMP訪問(wèn)網(wǎng)絡(luò)設(shè)備。4.6 版本安全要求u 應(yīng)根據(jù)廠商建議及時(shí)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行版本升級(jí)與補(bǔ)丁更新，版本應(yīng)已通過(guò)廠家驗(yàn)證。u 升級(jí)前應(yīng)當(dāng)對(duì)網(wǎng)絡(luò)設(shè)備配置進(jìn)行備份,以備升級(jí)失敗回退原有配置五. 網(wǎng)絡(luò)流量監(jiān)控分析異常流量，包括DDoS攻擊流量，P2P資源濫用流量，蠕蟲(chóng)病毒流量。這些流量充斥在網(wǎng)絡(luò)中，占用了網(wǎng)絡(luò)帶寬，網(wǎng)絡(luò)設(shè)備的處理能力，使得正常的業(yè)務(wù)受到影響。5.1 異常流量檢測(cè)分析u 異常流量定位應(yīng)對(duì)網(wǎng)絡(luò)中的流量進(jìn)行長(zhǎng)期和不間斷的監(jiān)控和分析，對(duì)異常流量進(jìn)行及時(shí)的告警和定位，準(zhǔn)確的發(fā)現(xiàn)異常流量進(jìn)入網(wǎng)絡(luò)的端口和攻擊目標(biāo)。u 異常流量分析應(yīng)對(duì)異常流量進(jìn)行詳細(xì)的分析，對(duì)