XX系統(tǒng)網(wǎng)絡(luò)安全建議--初稿

1、XX 系統(tǒng)網(wǎng)絡(luò)安全建議為保證 XXXX 系統(tǒng)及相關(guān)數(shù)據(jù)的安全，根據(jù)中華人民共和國計算機信 息系統(tǒng)安全保護條例、GBTGBT 222392008222392008 信息安全技術(shù)信息系統(tǒng)安 全等級保護基本要求，結(jié)合系統(tǒng)建設(shè)實際情況，特作出如下建議， 安全措施及策略包含但不限于以下內(nèi)容。一、網(wǎng)絡(luò)安全1 1、架構(gòu)安全（1 1）結(jié)合現(xiàn)有網(wǎng)絡(luò)架構(gòu)，建議 XXXX 在 XXXX 至 XXXX 專線接入點上增加網(wǎng)絡(luò)安全設(shè)備，設(shè)備功能包含但不限于以下類別：【1 1】基本防火墻功能：如黑白名單、訪問控制、安全域劃分等；【2 2】NATNAT 功能：如目的 NATNAT 源 NATNAT 雙向 NATNAT 等；【

2、3 3】入侵檢測與防御：如 SYSY NfloodNflood、蠕蟲、木馬、惡意軟件等；【4 4】反病毒及 URLURL 過濾：如自動在線更新病毒庫及 URLURL 庫；【5 5】用戶身份驗證和接入控制；【6 6】網(wǎng)絡(luò)審計：基于用戶對訪問內(nèi)容進行審計、溯源；【7 7】智能報表：支持時間、流量、威脅、等多維度呈現(xiàn)報表；（2 2） 應(yīng)保證各關(guān)鍵網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力滿足基本業(yè)務(wù)需要；（3 3） 應(yīng)保證接入網(wǎng)絡(luò)和核心網(wǎng)絡(luò)的帶寬滿足基本業(yè)務(wù)需要；（4 4） 應(yīng)繪制與當(dāng)前運行情況相符的網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖。）各單位應(yīng)配備相應(yīng)的網(wǎng)絡(luò)安全設(shè)備進行防護；5 5 （.（6 6）應(yīng)指定人員對網(wǎng)絡(luò)進行管理，負責(zé)運行日志、

3、網(wǎng)絡(luò)監(jiān)控記錄的3日常維護、報警信息的分析和處理工作；（7 7）應(yīng)定期進行網(wǎng)絡(luò)系統(tǒng)漏洞掃描，對發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)安全漏洞進 行及時的修補。2 2、訪問控制安全（1 1） 應(yīng)根據(jù)訪問控制列表對源地址、目的地址、源端口、目的端口 和協(xié)議等進行檢查，以允許/ /拒絕數(shù)據(jù)包出入；（2 2） 應(yīng)通過訪問控制列表對系統(tǒng)資源實現(xiàn)允許或拒絕用戶訪問，控 制粒度至少為用戶組；（3 3） 應(yīng)對登錄設(shè)備、系統(tǒng)及數(shù)據(jù)庫的用戶進行身份鑒別；（4 4） 應(yīng)具有登錄失敗處理功能， 可采取結(jié)束會話、 限制非法登錄次 數(shù)、登錄連接超時自動退出等措施；（5 5） 當(dāng)對設(shè)備或系統(tǒng)進行遠程管理時，應(yīng)采取必要措施防止鑒別信 息在網(wǎng)絡(luò)傳輸過程

4、中被竊聽；（6 6） 當(dāng)需要進行端口映射時，內(nèi)外端口應(yīng)不相同，對外只開放必要 的服務(wù)和端口。所有管理權(quán)限應(yīng)按照相關(guān)規(guī)定以最小權(quán)限原則進行授 權(quán)。3 3、主機安全（1 1） 應(yīng)對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進行身份標(biāo)識和鑒別。（2 2） 應(yīng)啟用主機系統(tǒng)防火墻，依據(jù)安全策略控制用戶對資源的訪問;4（3 3）應(yīng)限制默認帳戶的訪問權(quán)限，重命名系統(tǒng)默認帳戶，修改這些 帳戶的默認口令；（4 4）應(yīng)及時刪除多余的、過期的帳戶，避免共享帳戶的存在。（5 5）所有賬戶口令應(yīng)滿足密碼復(fù)雜度要求，口令長度為 816816 位，至 少包含數(shù)字、大小字母、特殊字符中的任意三種及以上，且口令應(yīng)設(shè) 定周期進行修改；（6

5、6）操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程 序，并保持系統(tǒng)補丁及時得到更新。（ 7 7）windowswindows 版本操作系統(tǒng)應(yīng)安裝相應(yīng)的防病毒軟件進行防護；（8 8）終端用戶 PCPC 機應(yīng)做到物理上內(nèi)外網(wǎng)隔離；（ 9 9）應(yīng)安裝系統(tǒng)的最新補丁程序，并在安裝系統(tǒng)補丁前對現(xiàn)有的重 要文件進行備份。（ 1010）應(yīng)提高所有用戶的防病毒意識， 告知及時升級防病毒軟件， 在讀取移動存儲設(shè)備上的數(shù)據(jù)以及網(wǎng)絡(luò)上接收文件或郵件之前， 先進行 病毒檢查，對外來計算機或存儲設(shè)備接入網(wǎng)絡(luò)系統(tǒng)之前也應(yīng)進行病毒 檢查。4 4、安全事件處置（ 1 1）應(yīng)報告所發(fā)現(xiàn)的安全弱點和可疑事件，但任何情況下

6、用戶均不 應(yīng)嘗試驗證弱點；（ 2 2）應(yīng)制定安全事件報告和處置管理制度，規(guī)定安全事件的現(xiàn)場處 理、事件報告和后期恢復(fù)的管理職責(zé)。5（3 3）應(yīng)提前制定應(yīng)急預(yù)案，如消防應(yīng)急演練、數(shù)據(jù)庫宕機演練、網(wǎng) 絡(luò)攻擊演練等，并且根據(jù)預(yù)案定期進行演練；二、信息安全1 1、 資料安全（1 1） 文檔、數(shù)據(jù)、配置參數(shù)等信息資料應(yīng)有效組織、整理、歸檔備 案。（2 2） 文檔、數(shù)據(jù)、配置參數(shù)等機密信息應(yīng)禁止外泄；（3 3） 因工作需要翻閱文檔、資料或者查詢相關(guān)數(shù)據(jù)的外部人員，應(yīng) 經(jīng)相關(guān)管理人員授權(quán)同意后方可查閱。（4 4） 重要資料、文檔、數(shù)據(jù)等信息應(yīng)采取對應(yīng)的技術(shù)手段進行加密、存儲和備份，對于加密的數(shù)據(jù)應(yīng)保證其可還

7、原性及可用性。2 2、 數(shù)據(jù)安全（1 1） 對于重要業(yè)務(wù)數(shù)據(jù)，應(yīng)保證其完整性，避免在傳輸過程中受到 破壞；（2 2） 各單位應(yīng)針對業(yè)務(wù)特點采取備份操作， 根據(jù)實際情況選擇全備、增量或差異，重要業(yè)務(wù)數(shù)據(jù)還應(yīng)采取異地備份；（3 3） 所有備份的數(shù)據(jù)應(yīng)保證其可恢復(fù)性，針對重要業(yè)務(wù)數(shù)據(jù)，應(yīng)不 定期對備份數(shù)據(jù)進行可恢復(fù)性測試；6三、物理安全 1 1、資產(chǎn)安全（1 1）所有主要設(shè)備應(yīng)放置在核心機房內(nèi)；（2 2）設(shè)備及系統(tǒng)內(nèi)的任何數(shù)據(jù)都應(yīng)嚴(yán)禁隨意修改。如必須更改，應(yīng) 在更改之前上報，且做好數(shù)據(jù)備份，經(jīng)管理人員批準(zhǔn)后方可改動。改 動后一周內(nèi)確認系統(tǒng)或設(shè)備運行無誤后，方可刪除備份數(shù)據(jù)。（3 3）應(yīng)編制與信息系統(tǒng)

8、相關(guān)的資產(chǎn)清單，包括資產(chǎn)責(zé)任部門、重要 程度和所處位置等內(nèi)容。（4 4）應(yīng)對信息系統(tǒng)相關(guān)的各種設(shè)備、線路等指定專門的部門或人員 定期進行維護管理；（5 5）應(yīng)建立基于申報、審批和專人負責(zé)的設(shè)備安全管理制度，對信 息系統(tǒng)的各種軟硬件設(shè)備的選型、 采購、發(fā)放和領(lǐng)用等過程進行規(guī)范 化管理。2 2、環(huán)境安全（1 1）核心機房建設(shè)應(yīng)符合國家相關(guān)標(biāo)準(zhǔn)，如防水、防盜、防火等；（2 2）應(yīng)保持系統(tǒng)及設(shè)備正常運行所必須的溫濕度等環(huán)境要求，對運 行環(huán)境可能出現(xiàn)的不利因素應(yīng)進行監(jiān)測并預(yù)警。（3 3） 主要設(shè)備供電至少應(yīng)采用 2N2N 架構(gòu)，核心機房應(yīng)配備 UPSUPS 電源;（4 4） 核心機房內(nèi)應(yīng)嚴(yán)禁吸煙和使用明

9、火， 不得存放各種易燃、 易爆、放射性及強磁場物品。7（5 5） 服務(wù)器、網(wǎng)絡(luò)設(shè)備、UPSUPS 電源、精密空調(diào)等重要設(shè)施應(yīng)由專人 嚴(yán)格按照規(guī)定操作，嚴(yán)禁隨意開關(guān)、設(shè)置及更改相關(guān)參數(shù)。（6 6） 核心機房出入應(yīng)安排專人負責(zé)，控制、鑒別和記錄進入的人員。四、管理安全（1 1） 應(yīng)對系統(tǒng)所涉及的各類人員進行安全意識教育和崗位技能培訓(xùn)；（2 2） 應(yīng)告知系統(tǒng)所涉及的各類人員相關(guān)的安全責(zé)任和懲戒措施。（3 3） 應(yīng)確保在外部人員訪問受控區(qū)域前得到授權(quán)或?qū)徟?。? 4） 應(yīng)建立日常管理活動中常用的安全管理制度。（5 5） 應(yīng)設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位，定義各 個工作崗位的職責(zé)，并根據(jù)實際情況配備系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等。（