XX系統(tǒng)網(wǎng)絡(luò)安全建議--初稿

1、XX 系統(tǒng)網(wǎng)絡(luò)安全建議為保證 XXXX 系統(tǒng)及相關(guān)數(shù)據(jù)的安全，根據(jù)中華人民共和國計(jì)算機(jī)信 息系統(tǒng)安全保護(hù)條例、GBTGBT 222392008222392008 信息安全技術(shù)信息系統(tǒng)安 全等級(jí)保護(hù)基本要求，結(jié)合系統(tǒng)建設(shè)實(shí)際情況，特作出如下建議， 安全措施及策略包含但不限于以下內(nèi)容。一、網(wǎng)絡(luò)安全1 1、架構(gòu)安全（1 1）結(jié)合現(xiàn)有網(wǎng)絡(luò)架構(gòu)，建議 XXXX 在 XXXX 至 XXXX 專線接入點(diǎn)上增加網(wǎng)絡(luò)安全設(shè)備，設(shè)備功能包含但不限于以下類別：【1 1】基本防火墻功能：如黑白名單、訪問控制、安全域劃分等；【2 2】NATNAT 功能：如目的 NATNAT 源 NATNAT 雙向 NATNAT 等；【

2、3 3】入侵檢測(cè)與防御：如 SYSY NfloodNflood、蠕蟲、木馬、惡意軟件等；【4 4】反病毒及 URLURL 過濾：如自動(dòng)在線更新病毒庫及 URLURL 庫；【5 5】用戶身份驗(yàn)證和接入控制；【6 6】網(wǎng)絡(luò)審計(jì)：基于用戶對(duì)訪問內(nèi)容進(jìn)行審計(jì)、溯源；【7 7】智能報(bào)表：支持時(shí)間、流量、威脅、等多維度呈現(xiàn)報(bào)表；（2 2） 應(yīng)保證各關(guān)鍵網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力滿足基本業(yè)務(wù)需要；（3 3） 應(yīng)保證接入網(wǎng)絡(luò)和核心網(wǎng)絡(luò)的帶寬滿足基本業(yè)務(wù)需要；（4 4） 應(yīng)繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖。）各單位應(yīng)配備相應(yīng)的網(wǎng)絡(luò)安全設(shè)備進(jìn)行防護(hù)；5 5 （.（6 6）應(yīng)指定人員對(duì)網(wǎng)絡(luò)進(jìn)行管理，負(fù)責(zé)運(yùn)行日志、

3、網(wǎng)絡(luò)監(jiān)控記錄的3日常維護(hù)、報(bào)警信息的分析和處理工作；（7 7）應(yīng)定期進(jìn)行網(wǎng)絡(luò)系統(tǒng)漏洞掃描，對(duì)發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)安全漏洞進(jìn) 行及時(shí)的修補(bǔ)。2 2、訪問控制安全（1 1） 應(yīng)根據(jù)訪問控制列表對(duì)源地址、目的地址、源端口、目的端口 和協(xié)議等進(jìn)行檢查，以允許/ /拒絕數(shù)據(jù)包出入；（2 2） 應(yīng)通過訪問控制列表對(duì)系統(tǒng)資源實(shí)現(xiàn)允許或拒絕用戶訪問，控 制粒度至少為用戶組；（3 3） 應(yīng)對(duì)登錄設(shè)備、系統(tǒng)及數(shù)據(jù)庫的用戶進(jìn)行身份鑒別；（4 4） 應(yīng)具有登錄失敗處理功能， 可采取結(jié)束會(huì)話、 限制非法登錄次 數(shù)、登錄連接超時(shí)自動(dòng)退出等措施；（5 5） 當(dāng)對(duì)設(shè)備或系統(tǒng)進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施防止鑒別信 息在網(wǎng)絡(luò)傳輸過程

4、中被竊聽；（6 6） 當(dāng)需要進(jìn)行端口映射時(shí)，內(nèi)外端口應(yīng)不相同，對(duì)外只開放必要 的服務(wù)和端口。所有管理權(quán)限應(yīng)按照相關(guān)規(guī)定以最小權(quán)限原則進(jìn)行授 權(quán)。3 3、主機(jī)安全（1 1） 應(yīng)對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和鑒別。（2 2） 應(yīng)啟用主機(jī)系統(tǒng)防火墻，依據(jù)安全策略控制用戶對(duì)資源的訪問;4（3 3）應(yīng)限制默認(rèn)帳戶的訪問權(quán)限，重命名系統(tǒng)默認(rèn)帳戶，修改這些 帳戶的默認(rèn)口令；（4 4）應(yīng)及時(shí)刪除多余的、過期的帳戶，避免共享帳戶的存在。（5 5）所有賬戶口令應(yīng)滿足密碼復(fù)雜度要求，口令長度為 816816 位，至 少包含數(shù)字、大小字母、特殊字符中的任意三種及以上，且口令應(yīng)設(shè) 定周期進(jìn)行修改；（6

5、6）操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程 序，并保持系統(tǒng)補(bǔ)丁及時(shí)得到更新。（ 7 7）windowswindows 版本操作系統(tǒng)應(yīng)安裝相應(yīng)的防病毒軟件進(jìn)行防護(hù)；（8 8）終端用戶 PCPC 機(jī)應(yīng)做到物理上內(nèi)外網(wǎng)隔離；（ 9 9）應(yīng)安裝系統(tǒng)的最新補(bǔ)丁程序，并在安裝系統(tǒng)補(bǔ)丁前對(duì)現(xiàn)有的重 要文件進(jìn)行備份。（ 1010）應(yīng)提高所有用戶的防病毒意識(shí)， 告知及時(shí)升級(jí)防病毒軟件， 在讀取移動(dòng)存儲(chǔ)設(shè)備上的數(shù)據(jù)以及網(wǎng)絡(luò)上接收文件或郵件之前， 先進(jìn)行 病毒檢查，對(duì)外來計(jì)算機(jī)或存儲(chǔ)設(shè)備接入網(wǎng)絡(luò)系統(tǒng)之前也應(yīng)進(jìn)行病毒 檢查。4 4、安全事件處置（ 1 1）應(yīng)報(bào)告所發(fā)現(xiàn)的安全弱點(diǎn)和可疑事件，但任何情況下

6、用戶均不 應(yīng)嘗試驗(yàn)證弱點(diǎn)；（ 2 2）應(yīng)制定安全事件報(bào)告和處置管理制度，規(guī)定安全事件的現(xiàn)場(chǎng)處 理、事件報(bào)告和后期恢復(fù)的管理職責(zé)。5（3 3）應(yīng)提前制定應(yīng)急預(yù)案，如消防應(yīng)急演練、數(shù)據(jù)庫宕機(jī)演練、網(wǎng) 絡(luò)攻擊演練等，并且根據(jù)預(yù)案定期進(jìn)行演練；二、信息安全1 1、 資料安全（1 1） 文檔、數(shù)據(jù)、配置參數(shù)等信息資料應(yīng)有效組織、整理、歸檔備 案。（2 2） 文檔、數(shù)據(jù)、配置參數(shù)等機(jī)密信息應(yīng)禁止外泄；（3 3） 因工作需要翻閱文檔、資料或者查詢相關(guān)數(shù)據(jù)的外部人員，應(yīng) 經(jīng)相關(guān)管理人員授權(quán)同意后方可查閱。（4 4） 重要資料、文檔、數(shù)據(jù)等信息應(yīng)采取對(duì)應(yīng)的技術(shù)手段進(jìn)行加密、存儲(chǔ)和備份，對(duì)于加密的數(shù)據(jù)應(yīng)保證其可還

7、原性及可用性。2 2、 數(shù)據(jù)安全（1 1） 對(duì)于重要業(yè)務(wù)數(shù)據(jù)，應(yīng)保證其完整性，避免在傳輸過程中受到 破壞；（2 2） 各單位應(yīng)針對(duì)業(yè)務(wù)特點(diǎn)采取備份操作， 根據(jù)實(shí)際情況選擇全備、增量或差異，重要業(yè)務(wù)數(shù)據(jù)還應(yīng)采取異地備份；（3 3） 所有備份的數(shù)據(jù)應(yīng)保證其可恢復(fù)性，針對(duì)重要業(yè)務(wù)數(shù)據(jù)，應(yīng)不 定期對(duì)備份數(shù)據(jù)進(jìn)行可恢復(fù)性測(cè)試；6三、物理安全 1 1、資產(chǎn)安全（1 1）所有主要設(shè)備應(yīng)放置在核心機(jī)房內(nèi)；（2 2）設(shè)備及系統(tǒng)內(nèi)的任何數(shù)據(jù)都應(yīng)嚴(yán)禁隨意修改。如必須更改，應(yīng) 在更改之前上報(bào)，且做好數(shù)據(jù)備份，經(jīng)管理人員批準(zhǔn)后方可改動(dòng)。改 動(dòng)后一周內(nèi)確認(rèn)系統(tǒng)或設(shè)備運(yùn)行無誤后，方可刪除備份數(shù)據(jù)。（3 3）應(yīng)編制與信息系統(tǒng)

8、相關(guān)的資產(chǎn)清單，包括資產(chǎn)責(zé)任部門、重要 程度和所處位置等內(nèi)容。（4 4）應(yīng)對(duì)信息系統(tǒng)相關(guān)的各種設(shè)備、線路等指定專門的部門或人員 定期進(jìn)行維護(hù)管理；（5 5）應(yīng)建立基于申報(bào)、審批和專人負(fù)責(zé)的設(shè)備安全管理制度，對(duì)信 息系統(tǒng)的各種軟硬件設(shè)備的選型、 采購、發(fā)放和領(lǐng)用等過程進(jìn)行規(guī)范 化管理。2 2、環(huán)境安全（1 1）核心機(jī)房建設(shè)應(yīng)符合國家相關(guān)標(biāo)準(zhǔn)，如防水、防盜、防火等；（2 2）應(yīng)保持系統(tǒng)及設(shè)備正常運(yùn)行所必須的溫濕度等環(huán)境要求，對(duì)運(yùn) 行環(huán)境可能出現(xiàn)的不利因素應(yīng)進(jìn)行監(jiān)測(cè)并預(yù)警。（3 3） 主要設(shè)備供電至少應(yīng)采用 2N2N 架構(gòu)，核心機(jī)房應(yīng)配備 UPSUPS 電源;（4 4） 核心機(jī)房內(nèi)應(yīng)嚴(yán)禁吸煙和使用明

9、火， 不得存放各種易燃、 易爆、放射性及強(qiáng)磁場(chǎng)物品。7（5 5） 服務(wù)器、網(wǎng)絡(luò)設(shè)備、UPSUPS 電源、精密空調(diào)等重要設(shè)施應(yīng)由專人 嚴(yán)格按照規(guī)定操作，嚴(yán)禁隨意開關(guān)、設(shè)置及更改相關(guān)參數(shù)。（6 6） 核心機(jī)房出入應(yīng)安排專人負(fù)責(zé)，控制、鑒別和記錄進(jìn)入的人員。四、管理安全（1 1） 應(yīng)對(duì)系統(tǒng)所涉及的各類人員進(jìn)行安全意識(shí)教育和崗位技能培訓(xùn)；（2 2） 應(yīng)告知系統(tǒng)所涉及的各類人員相關(guān)的安全責(zé)任和懲戒措施。（3 3） 應(yīng)確保在外部人員訪問受控區(qū)域前得到授權(quán)或?qū)徟?。? 4） 應(yīng)建立日常管理活動(dòng)中常用的安全管理制度。（5 5） 應(yīng)設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位，定義各 個(gè)工作崗位的職責(zé)，并根據(jù)實(shí)際情況配備系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等。（