ISMS-03-06-V1.0 网络安全技术管理实施细则
网络安全技术管理实施细则
第一章 总则
第一条 目的
为规范网络安全技术管理工作,指导网络安全技术日常工作,制定本细则。
第二条 适用范围
本细则适用于网络安全技术的管理工作。
第二章 组织与职责
第三条 运维中心网络管理组
负责网络安全技术管理,规范网络设备安全配置,监控和检查网络安全运行情况,确保网络的安全稳定运行。
第三章 网络安全架构
第四条 网络分层架构
思度安全运营中心的网络按照分区、分层的架构、以模块化的方式进行规划。网络整体划分为生产网、办公网、开发网、测试网,各网络按功能区域进行细分,网络区域实现核心、分布和接入三层架构。
第五条 网络冗余措施
生产核心网络应采用双设备、多链路捆绑、多路径等冗余措施,防止单点故障,确保网络可用性。
第六条 网络隔离
外网和内网之间应部署防火墙设备,对目标端口、源地址、目标地址及协议进行控制。
第七条 网络监控
网络管理组应通过网管系统对思度安全运营中心网络进行网络管理,实行7×24小时网络监控。网管系统应实现对网络拓扑、网络性能、事件、故障告警的管理,并提供网络运维报表。
第八条 网络评估
网络管理组应每年对生产网从网络架构设计、网络冗余、安全策略等方面进行评估,并根据评估结果优化网络安全。
第四章 网络设备管理
第九条 网络维护服务
网络管理组根据配置信息收集表定期检查设备的使用情况,确保网络设备在厂商维护服务范围内,并在维保合同到期前三个月提出续保申请。
第十条 网络健康检查
网络管理组应每年组织网络健康检查,依据设备管理要求对网络设备的健康状态和性能进行评估,并根据评估结果进行相应调整和改进。
第五章 网络设备安全配置
第十一条 安全配置要求
网络管理组应制订网络设备的配置规范,配置规范中应包含设备的安全配置要求,核心网络设备的配置规范应满足网络架构规划设计的要求。 所有路由和交换设备应遵循以下安全规范进行访问控制管理: (一) 原则上使用TACACS或RADIUS等协议的用户身份认证技术,由统一的用户身份认证系统进行认证; (二) 修改所有默认用户的默认密码,特权用户密码不得与其它密码相同; 路由和交换设备应进行以下安全设置: (一) 原则上禁用TCP 和UDP small 服务、Finger服务、Bootp服务; (二) 限制接收SNMP请求的源IP地址范围,在不需要通过SNMP配置设备的情况下,使SNMP工作在只读模式下; (三) 生产网禁用未使用的空闲接口,对核心网络设备设定本机回环地址; (四) 原则上禁用定向广播和IP源路由,使用专门的DNS服务器进行域名解析; (五) 原则上不允许将端口分配给默认VLAN, 所有的端口都必须手工分配,所有空闲的端口都必须不属于任何VLAN; (六) 在所有接口上禁用Auto-trunking,仅在需要时开启接口TRUNK功能。
第十二条 网络设备检查
网络管理组应根据配置规范检查网络设备的安全配置,确保网络设备在接入生产环境前符合配置规范要求。
第十三条 配置规范评估
网络管理组应每半年或在核心网络设备型号发生重大更新时对核心网络设备配置规范进行评估。
第六章 网络安全设备配置规范
第十四条 防火墙配置规范
防火墙的远程管理访问应满足: (一) 关闭所有不安全的远程管理服务,启用较安全的远程管理方式,如:SSH、HTTPS; (二) 限制可进行远程管理的网络接口,只允许指定网管系统的远程管理; (三) 远程管理用户须使用唯一的用户名和密码,密码的设置应符合要求; (四) 根据不同管理员的权限,授予最小的访问权限; 思度安全运营中心防火墙设备的网络服务应进行以下设置: 限制接收SNMP请求的源IP地址,在不需要通过SNMP配置设备的情况下,使SNMP工作在只读模式下; 将Logging Level设置在Informational水平。
第十五条 入侵检测设备配置规范
入侵检测设备应进行以下设置: (一) 开启实时监控功能,确保及时告警; (二) 针对不同等级的安全攻击,自动生成高、中、低三种安全级别,在IDS显示中心提示告警信息并保存在当日日志系统中。根据告警信息和日志分析网络中发生的各种异常事件和攻击行为。 入侵检测系统的日志应进行以下配置: (一) 日志数据至少包括:时间/日期、攻击名称(如果系统能识别)、攻击的源IP地址和目标IP地址、攻击的源端口以及目标端口、攻击所使用的服务类型、攻击事件的相关参数等; (二) 对日志数据进行归类,显示有用的信息,以方便网管人员对数据的检查。 入侵检测系统的维护需满足以下要求: (一) 至少每季度更新IDS事件特征库; (二) 系统每天生成日志报表。 防DDoS攻击的配置和管理必须遵循以下规范: (一) 对所有流入被防护区域的数据流进行分析,使用防护策略进行清洗; (二) 合理规划防DDoS设备的实际处理能力,确保适当的冗余; 防DDoS的攻击日志和流量应进行以下配置: (一) 日志数据至少包括:时间/日期、攻击IP、攻击名称和类型(如果系统能识别)、被攻击的目标IP地址; (二) 对攻击流量进行及时的统计、分析,并生成系统报表; DDos防护功能和防护策略设置: (一) 应能单独防护生产网内服务器IP地址; (二) 根据攻击日志对网络攻击进行归类分析,调整防护策略阀值,清洗攻击流量,保护正常访问流量。
第七章 IP地址安全管理
第十六条 地址空间管理
IP地址管理应根据思度安全运营中心网络IP地址规范定义网络设备的IP地址,不同的功能区采用不同的地址空间。
第十七条 IP分配原则
各功能区接入的服务器和用户,应按照不同的平台进行相应的地址分配。
第十八条 管理地址定义
所有路由和交换设备的管理地址应进行定义,包括loopback地址、内部互连地址、内部服务器和服务地址。
第十九条 IP地址分配表
网络管理组应维护思度安全运营中心IP地址分配表,根据实际使用情况及时更新《IP地址分配表》。
第八章 网络安全管理要求
第二十条 修改默认密码
网络设备接入生产环境前必须对其默认密码进行修改。
第二十一条 访问提醒功能
所有的路由和交换设备都必须设置专门的逻辑访问提醒,提醒的内容应包含对该设备的访问需要得到批准,同时强调非授权的访问将会受到相关法律法规的制裁。
第二十二条 会话超时要求
网络设备登录应启用会话超时自动中断功能,设置为若登录后空闲时间达到5分钟,则自动中断连接。
第二十三条 配置文件备份
网络设备的配置文件应每月进行备份,并要求双备份,备份文件至少保留一年。
第二十四条 补丁管理
网络系统软件应实施升级和补丁管理,确保网络设备安全漏洞及时被处理。
第二十五条 问题整改要求
网络管理组应配合由安全组组织实施的网络漏洞扫描工作,对扫描中发现的网络安全问题应制订计划、及时整改。
第二十六条 登录锁定机制
核心网络设备应设定登录密码错误输入超过3次的用户锁定机制。
第二十七条 退出登录状态
网络运维类用户在离开所操作的网络设备时,必须退出登录状态,防止他人的非授权使用。
第九章 网络安全审计
第二十八条 日志审计
日志服务器和网管系统应实现并开启采集路由和交换设备日志的功能。网络管理组应每季对核心网络设备进行日志审计,至少每年对非核心网络设备进行日志审计并形成审计报告。
第二十九条 存储容量管理
网络管理组应对网络设备日志服务器的存储容量进行管理,日志应至少保存一年。
第十章 附则
本细则由思度安全运营中心负责制定、修订和解释。 本细则自发布之日起生效。 记录 《IP地址分配表》