生產系統(tǒng)信息安全網絡管理規(guī)范的副本

1、生產系統(tǒng)信息安全網絡配置規(guī)范1范圍本標準適用于XXX系統(tǒng)的網絡和網絡安全設備。2規(guī)范性引用文件人民銀行信息系統(tǒng)信息安全等級保護測評指南_V2.4（銀發(fā)2011173號）人民銀行信息系統(tǒng)信息安全等級保護實施指引_V2.4（銀發(fā)2011173號）中國人民銀行信息系統(tǒng)安全配置指引一網絡分冊（銀科技200746號）人民銀行信息安全綜合規(guī)范V2.7（銀科技2012101號）3術語和定義？3.1 路由交換設備 Routing and switching equipment是網絡互聯設備，主要分為路由器和交換機兩類，執(zhí)行物理層、數據鏈路層和網絡層功能，緩 沖、發(fā)送和接收數據包。3.2 AAA 服務器 Aut

2、hentication 、 Authorization 、 Accounting Server是支付系統(tǒng)處理用戶遠程訪問網絡設備的服務器，提供驗證授權以及帳戶服務。3.3 防火墻 Firewall是由軟件和硬件設備組合而成，部署在網絡邊界或者內部網絡不同區(qū)域之間的過濾網絡數據， 進行網絡訪問控制的專用安全設備。3.4 入侵檢測系統(tǒng)Intrusion Detection System是一種對網絡傳輸進行即時監(jiān)視，在發(fā)現可疑傳輸時發(fā)出警報或者采取主動反應措施的網絡安 全設備。3.5 運維審計系統(tǒng)Operation and Maintenance audit system是網絡環(huán)境下，為保障網絡和數

3、據不受來自內部合法用戶的不合規(guī)操作帶來的系統(tǒng)損壞和數據泄露，而運用多種技術手段實時收集和監(jiān)控網絡環(huán)境中每一個組成部分的系統(tǒng)狀態(tài)、安全事件、網絡活動的軟件和硬件設備組合。3.8 身份鑒別 Authentication驗證實體所聲稱的身份。3.9 訪問控制 Access control防止對資源的未授權使用，包括防止以未授權方式使用某一資源。3.10 審計 Audit為了測試出系統(tǒng)的控制是否足夠，為了保證與已建立的策略和操作堆積相符合，為了發(fā)現安全 中的漏洞，以及為了建議在控制、策略和堆積中作任何指定的改變，而對系統(tǒng)記錄與活動進行 的獨立觀察和考核。4配置規(guī)范以下安全配置適用于支付平臺系統(tǒng)的網絡和

4、網絡安全設備。4.1 路由器和交換機4.1.1 身份鑒別用戶應通過運維審計系統(tǒng)登錄支付系統(tǒng)網絡設備，網絡設備首先通過AAA服務器對用戶進行鑒別，AAA服務器不可用的情況下自動轉為本地用戶身份鑒別。 AAA 服務器.1 自身身份鑒別a) AAA服務器用戶口令應在8位以上并由字母、數字、符號等混合組成，并且每3個月更換口令。b) AAA 服務器設置登錄失敗處理功能，連續(xù)登錄6次以上結束會話，網絡連接超過20分鐘后自動退出登錄。a）在AAA服務器上為登錄網絡設備設置系統(tǒng)管理員（admin）和操作員（operator）兩種用戶角色。系統(tǒng)管理員可查看或修改網絡設備配置、檢查網

5、絡設備運行狀態(tài)，操作員只能檢查網絡設備運 行狀態(tài)，無法查看系統(tǒng)配置。b）設置用戶口令策略，強制網絡設備系統(tǒng)管理員用戶口令在8位以上并由字母、數字、符號等混合組成，并且每6個月更換口令。 路由交換設備.a）創(chuàng)建設備本地最高權限用戶，其口令應在 12位以上并由字母、數字、符號等混合成。.b）設備口令存儲應以密文方式保存（例如：Cisco設備全局模式下設置口令為密文式:Servicepassword-encryption）。.c）通過加密方式設置特權用戶/超級用戶口令，口令應在12位以上并由字母、數字、符號等混合組成。.d）設置登錄失敗處理功能，連續(xù)登錄6次以上結束會話，網絡連接超過2

6、0分鐘后自動退出登錄。.e）設置默認首選 AAA服務器進行身份鑒別。4.1.2 關閉服務和端口 關閉不必要的服務.a）在外聯區(qū)設備上取消全部端口的CDP/NDP/LLDP 服務。？.b）關閉 TCP Small、UDP Small 服務。？.c）關閉Finger服務。？.d）關閉HTTP服務。？.e）關閉BOOTP服務。？.f） 關閉 IP Source Routing。?.g）關閉DNS服務。？.h）關閉DHCP服務。？ 端口安全設置.a）在端口上關閉Proxy ARP。?.b）在端口上關閉IP Directed Broadcast o ?.c）關閉 ICMP 協(xié)

7、議的 IP Redirects 和unreachables。.d）關閉不使用的設備端口。？4.1.3 遠程管理a） a）關閉telnet遠程通信服務。？b） b）啟用SSH遠程加密通信服務。？c） c）設置允許登錄網絡設備的IP地址，只允許運維審計系統(tǒng)和應急終端登錄。？d） d）設置登錄網絡設備并發(fā)連接數不超過5。?e） e）設置登錄超時時間為5分鐘。？4.1.4 Console 和 AUX 端口訪問.a）在Console和AUX 口設置高強度口令，口令應在12位以上并由字母、數字、符號等混合組成。？.b）設置會話不超過 5分鐘。？4.1.5 關閉常見病毒攻擊端口通過訪問控制列表禁止以下病毒常

8、用攻擊端口。TCP135RPC （Remote Procedure Call ,遠程過程調用）協(xié)議使 用137微軟Netbios Name服務（網上鄰居傳輸文件使用）138微軟Netbios Name服務（網上鄰居傳輸文件使用）139微軟Netbios Name服務（用于文件及打印機共學）445Microsoft-DS3389遠程桌面4444Prosiak,Swift remote5631PCAnyWhere data5632PCAnyWhere5554Worm.Sasser9996Tcp Palace PalaceUDP445公共Internet文件系統(tǒng)(CIFS)1433SQLServer

9、的默認端口1434SQL Server未公開的監(jiān)聽端口netbios-nsNETBIOS Name Sevicenetbios-dgmNetBIOS數據報服務netbios-ssNETBIOS協(xié)議的監(jiān)聽端口4.1.6 SNMP網管協(xié)議安全a) 設置新的SNMP Community 通信字符串(不使用public字符串)。b) 配置網關 SNMP TRAP ,并指定網管工作站地址。c) SNMP使用ACL限制只與特定主機進行SNMP協(xié)議交互。4.1.7 VTP安全設置VTP Server或 VTP Client 模式應設置域名(Domain)。4.1.8 設置日志服務器.a)指定日志服務器IP地

10、址。.b) NTP認證采用 MD5加密技術。？.c) NTP通過ACL限制只與特定主機進行NTP協(xié)議交互。？4.1.9 設置NTP服務器指定NTP服務器IP地址。對所有客戶端進行IP和MAC地址綁定。4.2 防火墻4.2.1 身份鑒別.a）為不同的用戶分配不同的用戶名，用戶名應唯一。？.b）按照超級管理員、 管理員和日志審計員角色設置用戶實現權限分離。其中，超級管理員包含設？備的全部權限，并負責建立管理員和日志審計員，管理員具有配置管理權限，可 創(chuàng)建對象、配置策略，日志審計員可查看日志、查看系統(tǒng)配置。.c）設置用戶口令策略，強制口令在 8位以上并由字母、數字、符號等混合組成。外聯區(qū)防 火墻口令

11、應每 3個月更換，其它防火墻口令每6個月更換。？.d）設置登錄失敗處理功能，連續(xù)登錄6次以上結束會話，網絡連接超過 20分鐘后自動退出登錄。？4.2.2 訪問控制a）禁止 HTTP、FTP、TELNET、SMTP、POP3 等協(xié)議。b）禁止下列病毒常用攻擊端口。？序號服務名稱端口號1Slammertcp1434、tcp 1433、udp1434、udp14332Sassertcp 445、tcp 1068、tcp 5554、tcp 9995、tcp 9996、udp 4453Blastertcp 135、tcp4444、udp 1354Novargtcp1080、tcp 31285Bugbea

12、rudp 10806Bbeagletcp 2745、udp 27457Gobottcp 222268Gaobottcp 65506、udp 655069Ralekatcp 6667、udp 666710Zotobtcp 859411Kibuvtcp 420、tcp 5300、tcp 960412dvldr32tcp 5800、tcp 590013Mofeitcp 139、udp13914Mstsctcp 338915Pcanywheretcp 5361、536216Other_virus_porttcp137、tcp138、udp137、udp138.c）網絡邊界防火墻應只允許業(yè)務運行必須的訪

13、問，控制粒度應達到IP地址、端口。.d）局域網內部防火墻的訪問控制粒度至少應達到網段級。.e）設置TCP會話超時為 1800秒。4.2.3 遠程管理設置允許登錄防火墻的IP地址。采用 HTTPS/SSH方式遠程管理。4.2.4 SNMP網管協(xié)議安全a） 設置新的SNMP Community通信字符串（不使用public字符串）。b） 配置網關SNMP TRAP ,并指定網管工作站地址。4.2.5 設置日志服務器指定日志服務器IP地址。4.3.1自身安全.a）按照系統(tǒng)管理員、用戶管理員和審計員角色設置用戶實現權限分離。？.b）運維審計系統(tǒng)用戶口令策略應設置在8位以上并由字母、數字、符號等混合組成

14、，并且每3 ?個月更換口令。？.c）運維審計系統(tǒng)應設置登錄失敗處理功能，連續(xù)登錄6次以上結束會話，網絡連接超過 20分鐘后自動退出登錄。？4.3.2 用戶審計.a）通過運維審計系統(tǒng)登錄路由交換設備和計算機設備。？.b）為每個登錄路由交換設備和計算機設備的人員建立用戶，為不同的用戶分配不同的用戶名，用戶名應唯一。？.c）設置用戶口令策略，強制口令在8位以上并由字母、數字、符號等混合組成，并且每3個 月更換口令。？.d）應根據用戶的實際崗位職責映射登錄路由交換設備和計算機設備的用戶角色，嚴格限制訪問系統(tǒng)的權限。？4.3.3 審計記錄a）應記錄用戶登錄系統(tǒng)的日期和時間、用戶名、操作命令、操作是否成功等信息。b）只能由審計員管理審計記錄，審計記錄至少要保存三個月，未到期不能被覆蓋。4.4網絡安全管理系統(tǒng)4.4.1 自身安全.a）按照用戶管理系統(tǒng)管理員、安全管理