网络环境运行的网络设备日常维护制度.doc

此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 XXXX 安全管理制度汇编安全管理制度汇编 网络设备日常维护制度网络设备日常维护制度 文件名称 网络设备日常维护制度 密级内部 文件编号版 本 号 V1 0 编写部门XXX 部门编 写 人 审 批 人发布时间 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 目目 录录 编制说明编制说明 3 第一章第一章 总则总则 4 第二章第二章 原则原则 4 第三章第三章 安全管理规定安全管理规定 4 第四章第四章 安全管理机构职责安全管理机构职责 8 第五章第五章 安全管理员职责安全管理员职责 9 第六章第六章 网络管理员职责网络管理员职责 10 第七章第七章 普通用户职责普通用户职责 11 第八章第八章 附则附则 12 第一节 文挡信息 12 第二节 版本控制 12 第三节 其他信息 12 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 编制说明编制说明 为进一步贯彻党中央和国务院批准的 国家信息化领导小组关于加强信 息安全保障工作的意见 及其 重点保护基础信息网络和重要信息系统安全 的思想 贯彻信息产业部 积极预防 及时发现 快速反应 确保恢复 的方 针和 同步规划 同步建设 同步运行 的要求 特制定本制度 本制度依据我国信息安全的有关法律法规 结合 XXXX 的自身业务特 点 并参考国际有关信息安全标准制定的 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 第一章第一章 总则总则 第一条 制度目标 制度目标 建立网络设备的安全管理规定 并以此规定为指导 审视 XXXX 生产环境的网络设备的安全性 降低网络系统存在的安全风险 确保 网络系统安全可靠地运行 第二条 适用范围 适用范围 本制度适用于 XXXX 网络环境运行的网络设备 路由器 交换机等 第二章第二章 原则原则 第三条 网络设备的登录口令必须足够强壮难以被破译 第四条 网络设备的当前配置文件必须在主机上有备份文件 第五条 网络设备的拓扑结构 IP 地址等信息在一定范围内保密 第六条 每季度检查网络设备的日志 及时发现攻击行为 第七条 网络设备的软件版本应该统一升级到较新版本 第八条 网络设备的远程登录操作应限制在指定网段范围内 第九条 网络设备的 MIB 库设置读 写密码且访问限定在指定网段范围内 第十条 网络设备的安装 配置 变更 撤销等操作必须严格走流程 第三章第三章 安全管理规定安全管理规定 第十一条 要求对网络设备的登录采用分级用户的保护机制 不同的个人 用户必须采用不同的用户名和口令登录 并且拥有不同的权限级别 不同用户 的登录操作在设备日志文件上均有记录 便于追查问题 第十二条 网络设备的直接责任人拥有超级用户权限 其他网络管理员按 照工作需求拥有相应的用户权限 网络管理员不得私开用户权限给其他人员 第十三条 用户的口令尤其是超级用户的口令必须足够强壮难以被破译 这是保证设备安全性的基本条件 口令的设置应该满足规定的标准 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 一 口令长度不得少于 8 位 必须同时包含字母和数字 二 口令中不要使用常用单词 英文简称 个人信息等 三 不要将口令写在纸上或存在电脑上 四 至少每季度要改变一次口令 五 在配置文件中对口令进行隐藏设置 六 选择口令尽可能做到自己好记别人难猜 第十四条 配置文件存储着网络设备的所有配置信息 网络设备中的运行 配置文件和启动配置文件应该随时保持一致 第十五条 通过 TFTP 或 FTP 的方式可以将设备的配置文件下载到本地主机 上作备份文件以防不测 在设备配置文件损坏时可再通过 TFTP 或 FTP 的方式从 本地主机上载到设备的 FLASH 中恢复备份的配置文件 第十六条 在配置文件中加入适当的注释语句 便于其他人的理解 第十七条 网络设备的拓扑结构 IP 地址等信息文档属于部门的机密信息 应该在一定范围内予以保密 第十八条 网络设备通常可以设置日志功能 日志可以直接登录到设备上 查看 也可以设置将日志发送到某台指定的 UNIX 主机上查看 日志中具体包含 的内容可以在命令行配置方式下设定 第十九条 在日志文件中可以查看到曾经登录过该设备的用户名 时间和 所作的命令操作等详细信息 为发现潜在攻击者的不良行为提供有力依据 第二十条 网络管理员必须每季度查看所管设备的日志文件 发现异常情 况要及时处理和报告上级主管领导 尽早消除信息安全隐患 第二十一条网络设备的软件版本 IOS 或 VRP 等 较低可能会带来安全 性和稳定性方面的隐患 因此要求在设备的 FLASH 容量的情况下统一升级到较 新的版本 必要情况下可升级设备的 FLASH 容量 第二十二条网络设备一般都具有允许远程登录的功能 远程登录给网 络管理员带来很多方便 但同时也带来一定的网络安全隐患 第二十三条通常在网络设备上可以设置相应的 ACL 限定可远程登录的 主机在指定网段范围内 拒绝部分潜在的攻击者 保证网络安全 第二十四条网络设备一般采用 SNMP 协议提供网络管理功能 MIB 库中 包含了网络管理相关的所有信息 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 第二十五条MIB 库的读 写密码必须设定为非缺省值 防止其中的信息 被潜在攻击者获取 威胁网络安全 同时 允许对 MIB 库进行读 写操作的主 机也可通过 ACL 设置限定在指定网段范围内 第二十六条网络设备的安装 配置 变更 撤销等操作必须严格走相 应的流程进行不能由网络管理员独自进行 以使生产环境的网络设备随时处于 可控状态 第二十七条对网络设备的变更全过程进行严密的控制 在流程中明确 规定对网络设备执行一项变更操作必须经过相关的技术评审 有主管领导审批 具备变更操作指导书等条件后才能具体实施 变更实施完成后要进行测试 这 样才能将变更过程中可能带来的风险减小到最低限度 第二十八条网络安全管理员根据网络安全的需要向安全管理机构提出 网络设备系统升级或者补丁程序安装建议 第二十九条在安全管理机构同意网络设备系统升级或者补丁程序安装 建议后 在安全管理员配合网络管理员完成详细的升级 修改 目标 内容 方式 步骤和应急操作方案 报上级主管部门审核批准 第三十条 上级主管部门审核批准后进行网络设备的系统升级或者补丁程 序安装 采用双人操作 由安全管理员监督 网络管理员进行实际操作 并在 升级 修补 前后必须由网络管理员完成相应的备份工作 第三十一条网络管理员负责对网络设备系统升级 修补 过程进行记 录备案 第三十二条在升级 修补 后由安全管理员对网络设备进行安全扫描 检测 第三十三条启用对远程登录用户的 IP 地址校验功能 保证用户只能从 特定的 IP 设备上远程登录路由器进行操作 第三十四条启用对远程登录用户的 IP 地址校验功能 保证用户只能从 特定的 IP 设备上远程登录交换机进行操作 第三十五条启用对用户口令的加密功能 使本地保存的用户口令进行 加密存放 防止用户口令泄密 第三十六条对于使用 SNMP 进行网络管理的路由器必须使用 SNMP V2 以 上版本 并启用 MD5 等校验功能 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 第三十七条在每次配置等操作完成或者临时离开配置终端时必须退出 系统 第三十八条设置控制口和远程登录口的 idle timeout 时间 让控制口 或远程登录口在空闲一定时间后自动断开 第三十九条一般情况下关闭路由器的 Web 配置服务 如果实在需要 应该临时开放 并在做完配置后立刻关闭 第四十条 关闭路由器上不需要开放的服务 如 Finger NTP Echo Discard Daytime Chargen 等 第四十一条在路由器上禁止 IP 的直接广播 第四十二条在路由器上禁止 IP 源路由和 ICMP 重定向 保证网络路径 的完整性 第四十三条在接入层路由器启用对网络逻辑错误数据包的过滤功能 第四十四条在路由器上采用的路由协议如果具备对路由信息的认证 必须启用该功能 第四十五条对于接入层交换机 应该采用 VLAN 技术进行安全的隔离控 制 根据业务的需求将交换机的端口划分为不同的 VLAN 第四十六条在接入层交换机中 对于不需要用来进行第三层连接的端 口 应该设置使其属于相应的 VLAN 必要时可以将所有尚未使用的空闲交换机 端口设置为 Disable 防止空闲的交换机端口被非法使用 第四十七条对于提供第三层交换的交换机 对于交换机中的路由模块 必须参照第七条进行设置 第四十八条在防火墙控制准则的设置上应该采用 禁止除非被明确允 许 的原则 第四十九条通过合理的配置使得拨号用户首先必须通过防火墙系统的 认证 第五十条 在业务 网络或者系统发生变化时根据安全控制策略的变化对 防火墙的安全控制准则重新进行设置 保证安全控制准则和网络安全访问控制 策略保持一致 第五十一条对于提供远程配置的防火墙 必须对配置终端的 IP 地址做 限制 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 第五十二条开启防火墙系统的日志功能 第五十三条对防火墙系统不同的管理员设置相应的账号 并开启防火 墙系统对管理员操作的记录和审计功能 第五十四条如果防火墙系统提供了对逻辑错误数据包的过滤功能 必 须开启该功能 防止 IP 地址欺骗 第五十五条如果防火墙系统提供了入侵检测功能 必须开启该功能 并在发现网络入侵时发出告警 第四章第四章 安全管理机构职责安全管理机构职责 第五十六条制订网络设备用户账号的管理制度 对各个网络设备上拥 有用户账号的人员 权限以及账号认证和管理的方式做明确的规定 对于重要 网络设备建议使用 RADIUS 或者 TACACS 的方式实现对用户的集中管理 本办 法的重要网络设备指的是生产网络中的各种路由器 交换机 接入服务器等设 备 第五十七条制订网络设备用户账号口令的管理制度 要求网络设备用 户账号的口令在设置和保存是必须符合口令保密性要求 一般要求网络设备用 户账号的长度在 8 位以上 并且必须包含大小写字母 数字以及其他字符 对 于重要网络设备 要求每季度进行口令的更换 有条件的可以考虑使用一次性 口令设备 第五十八条制订网络设备日志的管理制度 对于日志功能的启用 日 志记录的内容 日志的管理形式 日志的审查分析做明确的规定 对于重要网 络设备 建议建立集中的日志管理服务器 实现对重要网络设备日志的统一管 理 以利于安全管理员对于日志的审查分析 第五十九条对安全管理员进行网络设备网络安全扫描的周期和时间做 出规定 对于重要的网络设备 要求每个月做一次全面的网络安全扫描 并且 为了防止网络安全扫描对网络性能造成影响 应根据业务的实际情况对扫描时 间做出规定 一般安排在非业务繁忙时段 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 第五章第五章 安全管理员职责安全管理员职责 第六十条 监督网络安全管理机构制订的网络设备用户账号的管理制度的 实行 对于使用 RADIUS 或者 TACACS 的方式实现对用户的集中管理 安全管 理员每个月应该对 RADIUS 或者 TACACS 服务器上的用户账号进行审查 在发 现有可疑的用户账号时向网络管理员进行核实并采取相应的措施 第六十一条根据安全管理机构规定的周期和时间 对网络设备进行全 面网络安全扫描 发现安全网络设备上存在的异常开放的网络服务或者开放的 网络服务存在安全漏洞时及时通知网络管理员采取相应的措施 第六十二条对于重要的网络设备 每两周对日志做一次全面的分析 对登录的用户 登录时间 所做的配置和操作做检查 在分析有异常的现象时 及时向网络管理员进行核实并采取相应的措施 第六十三条必须每季度查看网络安全站点的安全公告 跟踪和研究各 种网络安全漏洞和攻击手段 在发现可能影响网络设备安全的安全漏洞和攻击 手段时 及时做出相应的对策 通知并指导同级网络管理员进行安全防范的同 时 通知下面各级安全管理员 由各级安全管理员指导相应的网络管理员进行 安全防范 第六十四条必须跟踪网络设备中使用的操作系统最新版本和安全补丁 程序的发布情况 在发现有新版本或者安全补丁出现发布时 通知下面各级安 全管理员 并按照本办法第二十六条的处理流程处理 第六十五条根据业务保护要求 提出防火墙系统的部署方案 并制订 相应的网络安全访问控制策略 第六十六条负责防火墙系统的日常维护工作 并根据网络安全访问控 制策略 拟定相应的防火墙安全控制准则 并对安全控制准则和访问控制策略 的一致性进行校验 第六章第六章 网络管理员职责网络管理员职责 第六十七条负责所管理网络设备的用户账号管理 为不同的用户建立 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 相应的账号 根据对网络设备安装 配置 升级和管理的需要为用户设置相应 的级别 并对各个级别用户能够使用的命令进行限制 同时对网络设备中所有 用户账号进行登记备案 第六十八条负责自己在网络设备上所拥有用户账号和口令的保密工作 不得将自己所拥有的用户账号转借给他人使用 同时遵守网络安全管理机构制 订的网络设备用户账号口令管理制度 在用户账号口令的设置上符合保密性要 求 并每季度修改口令 第六十九条一般情况下不允许外部人员直接进入网络设备进行操作 在特殊情况下 如系统维修 升级等 情况下外部人员需要进入网络设备进行 操作 必须由网络管理员进行登录 并对操作过程进行记录并备案 禁止将系 统用户账号及口令直接交给外部人员 第七十条 对所管理的网络设备所安装的操作系统进行登记 登记记录上 应该标明厂家 操作系统版本 已安装的补丁程序号 安装和升级的时间等内 容 第七十一条对网络设备的登录提示重新进行设置 防止网络设备在用 户登录提示信息中出现系统的有关信息 必要时在用户登录提示中还可以对攻 击尝试提出警告 第七十二条在所管理网络设备上发现可能与网络安全有关的可疑现象 时及时向安全管理员报告 并协助安全管理员进行问题的诊断 第七十三条会同安全管理员对网络设备上的安全事件进行排除和修复 第七十四条在网络设备正常的系统升级后 将升级的情况报安全管理 员备案 并由安全管理员对网络设备进行网络安全扫描检测 第七十五条对于与网络安全问题有关