企業(yè)網絡設備運維管理制度全套

企業(yè)網絡設備運維管理制度目錄1.概述1.1編寫目的2.網絡安全管理制度2.1網絡安全架構規(guī)定2.2網絡安全訪問控制管理2.3網絡設備安全管理2.4網絡設備管理人員規(guī)范1.概述1.1編寫目的本規(guī)范用于員工的生產系統(tǒng)和生產管理平臺的操作管理。本規(guī)范自發(fā)布之日起實行。2.網絡安全管理制度2.1網絡安全架構規(guī)定l公司網絡系統(tǒng)必須嚴格劃分內網和外網，中間使用多層防火墻進行隔離和安全訪問控制。l公司所有線上設備均實現(xiàn)熱備冗余，保證生產運營的安全可靠。l通過防火墻及其它網絡設備，可執(zhí)行802.1X認證來實現(xiàn)對邊界完整性檢查。l具有抗DOS攻擊以及主動防御功能，可實現(xiàn)對異常流量的監(jiān)控和對惡意攻擊的阻止。l所有可管理網絡設備均保存有完整可查的日志記錄，保證所有對網絡設備的操作都有據(jù)可查。2.2網絡安全訪問控制管理2.2.1內部網絡安全訪問控制l公司按照業(yè)務系統(tǒng)的安全級別，劃分不同的局域網區(qū)域，進行訪問控制。l處于同一局域網同一網段的內部設備可相互訪問，通過系統(tǒng)設備配置網卡地址直接進行訪問。l同一局域網的內部設備均通過特定的業(yè)務端口進行訪問。l不處于同一局域網的內部設備默認情況下，不能互相訪問，需通過防火墻進行地址轉換，并進行策略訪問配置后才能訪問。l不處于同一局域網的內部設備訪問，通過防火墻進行端口訪問控制，只開放必要的業(yè)務訪問端口。2.2.2外部網絡安全訪問控制l所有的內部系統(tǒng)，除了公司網站以外，其它系統(tǒng)默認情況不能被外部系統(tǒng)訪問，也不能訪問外部系統(tǒng)。l通過專線連接的外部系統(tǒng)，需訪問內部系統(tǒng)時，內部系統(tǒng)通過內部防火墻進行策略地址轉換后，進行策略訪問配置，并添加網絡路由和主機路由才能訪問。l通過專線連接的外部系統(tǒng)，訪問內部系統(tǒng)時，通過內部防火墻進行端口訪問控制，只開放必要的業(yè)務訪問端口。在系統(tǒng)調試和故障處理時，臨時開放進行網絡測試的ICMP等協(xié)議的相關端口，處理完成后，關閉相應的端口。l通過互聯(lián)網連接的外部系統(tǒng)，不能訪問內部核心系統(tǒng)，只能訪問開放互聯(lián)網業(yè)務的互聯(lián)網區(qū)域的內部系統(tǒng)，內部系統(tǒng)需通過防火墻進行地址轉換，并添加策略訪問配置后才能訪問。l通過互聯(lián)網連接的外部系統(tǒng)，訪問內部系統(tǒng)時，通過防火墻進行端口訪問控制，只開放必要的業(yè)務訪問端口。在系統(tǒng)調試和故障處理時，臨時開放進行網絡測試的ICMP等協(xié)議的相關端口，處理完成后，關閉相應的端口。l對于所有能基于證書認證的網絡管理訪問都采用基于證書的認證，對于基于WEB方式的管理采用基于SSL加密認證的訪問，杜絕用戶帳戶和口令被非法竊聽。l對于基于遠程撥號的訪問，在前置接入主機上進行嚴格的口令安全檢查，防止惡意用戶反復嘗試猜測口令，對于帳號和口令的發(fā)放均需通過專人統(tǒng)一授權發(fā)放，同時在防火墻上對撥號進入的用戶設置嚴格的訪問控制規(guī)則，杜絕因帳號泄露而導致的網絡攻擊行為。2.3網絡設備安全管理2.3.1設備口令管理l對于設備系統(tǒng)運行的各級管理口令，由網絡經理和網絡工程師統(tǒng)一管理。其它的運維人員，只設定查看權限。l定期修改口令?？诹畹脑O置符合保密要求，均采用字母、數(shù)字和特殊符號組合而成，防止非法入侵者的猜測成功，而造成的系統(tǒng)故障發(fā)生。l維護人員發(fā)生變化，由網絡經理或網絡工程師立即修改密碼。l對于無效用戶及時刪除。2.3.2設備日志管理l所有可管理網絡設備均保存有完整可查的日志記錄，保證所有對網絡設備的操作都有據(jù)可查，專人對日志進行定期審查。l根據(jù)網絡設備位置設置網絡設備日志級別，設置日志服務器，保證所有告警錯誤信息及時傳送至日志服務器，定期進行備份。l必須嚴格控制設備日志的訪問權限，除網絡管理員和專用賬號之外，不得賦予其他用戶訪問通信日志的權限。l確因業(yè)務需要從生產環(huán)境中獲取日志的，必須辦理審批手續(xù)，在生產環(huán)境現(xiàn)場的專有指定環(huán)境使用日志。所有日志不得帶離現(xiàn)場。確因業(yè)務需要將賬戶信息帶離現(xiàn)場的，執(zhí)行嚴格的審批、使用、銷毀流程。2.3.3設備登錄管理l一般情況下，只允許網絡經理和網絡工程師直接登錄網絡設備進行維護操作。l其它運維人員，只能登錄網絡設備進行配置查看。l在網絡經理和網絡工程師進行配置更改前，需將設備原有配置保存至FTP服務器上，配置完成后，再將現(xiàn)有配置保存至FTP服務器，所有的配置文檔永久保留。遠程登錄網絡設備進行維護操作。2.3.4網絡設備系統(tǒng)升級l網絡設備現(xiàn)有系統(tǒng)軟件版本存在安全漏洞，或者所配置模塊無法再現(xiàn)有版本下正常工作，需對網絡設備進行系統(tǒng)升級處理。l在對網絡設備系統(tǒng)軟件升級前，網絡經理和網絡工程師提出詳細的升級目標、內容、方式、步驟和應急操作方案報上級主管部門審核批準。l在進行網絡設備系統(tǒng)軟件升級操作前，將網絡設備現(xiàn)有系統(tǒng)和配置文件保存至FTP服務器，升級后，進行網絡測試，確保設備正常后，將網絡設備升級后的系統(tǒng)和配置文件保存至FTP服務器。l網絡設備升級的詳細的操作過程及方案部門留底保存。2.3.5網絡設備日常維護l實時監(jiān)控網絡設備運行狀況，建立日志服務器。l日志至少保存半年以上，采用循環(huán)覆蓋方式。l定期對系統(tǒng)數(shù)據(jù)進行備份。l定期查看系統(tǒng)的安全管理軟件及系統(tǒng)日志，在發(fā)現(xiàn)系統(tǒng)遭到非法攻擊或非法攻擊嘗試時，應利用系統(tǒng)提供的功能進行自我保護，并對非法攻擊進行定位、跟蹤和發(fā)出警告，同時向上級主管部門匯報。如有疑難問題請相關負責系統(tǒng)安全的人員協(xié)助解決。l維護過程中發(fā)現(xiàn)的不正常情況應及時處理和詳細記錄，處理不了的問題，應立即向主管人員報告。2.4網絡設備管理人員規(guī)范2.4.1網絡設備管理人員l目前公司設有網絡經理和網絡工程師2個職位，共同進行網絡設備維護和安全管理。l網絡經理全面負責網絡設備的維護及安全管理，定期對網絡架構、網絡整體運行情況進行分析，及時了解公司業(yè)務對網絡的需求，提出網絡擴容和整改方案。l網絡工程師全部負責網絡設備的維護操作和故障處理，搭建網絡監(jiān)控系統(tǒng)，實時監(jiān)控網絡設備運行狀況，及時處