ISMS-03-08-V1.0 网络接入管理实施细则

网络接入管理实施细则

第一章 总则

第一条 目标

为规范思度安全运营中心网络接入，指导网络接入的日常管理工作，特制定本细则。

第二条 适用范围

本细则适用于思度安全运营中心网络接入（包括生产网络、办公网络、互联网、测试网络、开发网络）的管理工作。

第二章 组织与职责

第三条 网络支持组

负责思度安全运营中心范围内网络接入的管理，对网络接入进行监控，确保思度安全运营中心网络安全。

第四条 各部门负责人

负责根据本规定落实具体的控制措施，实施职责范围内的网络接入安全管理，定期开展自查。

第五条 全体员工

必须严格遵守本规定及所属部门有关网络接入的各项安全管理要求。

第三章 基本要求

第六条 变更管理流程

网络接入的申请、变更和撤销按照变更管理流程执行。由需求方提交申请，需求部门负责人审核，经网络支持组负责人审批后实施。网络接入申请必须包括申请原因、需求内容、使用人、责任人、接入类型和使用期限等信息。

第七条 网络接入撤消

网络支持组在需求方提交撤销申请、需求方确认需求已停用、需求使用期限到期时，实施网络接入撤消。

第八条 终端安全管理

用户不得在接入生产或办公网络的终端上安装使用网络嗅探工具、黑客控制软件等网络工具；不得开启DHCP/DNS服务；不得将交换机、集线器和无线路由器等私自接入网络。

第九条 静态IP管理

生产网采用全静态方式管理IP地址，系统接入时应按照规范进行IP地址分配，防止地址冲突。

第十条 形成接入信息表

思度安全运营中心网络支持组应定期对生产网第三方接入信息进行整理、归档，形成《生产网第三方接入信息表》并发给相关责任人确认，经相关责任人确认后更新相关信息，接入信息应每年整理、归档一次。

第十一条 无线接入

应使用基于IEEE 802.1X的WPA等方式进行接入认证,并通过 TKIP等方式进行数据加密。

第四章 第三方网络接入管理

第十二条 端口白名单

生产网对外仅开通经业务部门申请和相关部门审批的服务或端口, 并记录连接信息、端口、协议和申请人信息。

第十三条 网络审计

对第三方网络的访问必须进行审计，要求如下： (一) 应生成第三方网络的访问日志，日志内容应包括源地址和目标地址信息等； (二) 对所记录的日志具有格式化的审计功能，能针对不同源地址、目标地址等情况进行统计并格式化输出;

第五章 互联网接入管理

第十四条 专网接入管理

INTERNET专网接入管理遵照思度安全运营中心互联网访问管理规定执行。

第十五条 网银冗余接入

生产网网银接入子区应至少通过双设备、双链路接入不同运营商，实现冗余。

第十六条 DMZ区

生产网网银接入子区设立DMZ区，DMZ区部署在双层异构防火墙之间，来自互联网的访问只能到达DMZ区，禁止直接访问内部网络。

第十七条 防DDOS攻击

生产网网银接入子区部署防DDOS设备,防止互联网的DDOS攻击。

第十八条 IDS设备

生产网网银接入子区部署IDS设备，分析和报告网络中发生的攻击行为。

第十九条 访问记录

生产网网银接入子区对进入DMZ区的主体限制到目标主机,仅开通经业务部门申请和相关部门审批的服务或端口, 并记录连接信息、端口、协议和申请人信息。

第六章 附则

本细则由思度安全运营中心负责制定、修订和解释。 本细则自发布之日起生效。 记录 《生产网第三方接入信息表》