文檔信息
|
文檔名稱
|
世界杯官网網絡安全管理制度
|
|
文檔編號
|
|
|
文檔類別
|
策略方针 □ 管理制度 ■ 工作流程 □ 操作指南 □ 运维记录 □ 其他 □
|
|
當前版本
|
1.0
|
|
創建日期
|
2020-10-18
|
|
文檔編輯部門
|
信息中心
|
|
文檔作者
|
|
|
聯系方式
|
|
修訂記錄
|
文檔版本
|
日期
|
修改人員
|
審閱人員
|
摘要
|
|
V1.0
|
2020-10-18
|
|
|
建立文檔
|
|
|
|
|
|
|
審批發布
|
序號
|
審核記錄
|
日期
|
審閱人員
|
|
1
|
審閱
|
2020-10-18
|
|
|
2
|
正式核准發布
|
2020-10-18
|
|
|
3
|
|
|
|
一 總則
目的。爲加強和規範世界杯官网信息系統安全管理,杜絕非授權的網絡資源的訪問、使用及控制,確保學校內部網絡的安全平穩運行,依據國家有關法律法規以及世界杯官网相關管理規定,特制定本制度。
對象。本管理制度的對象是指支撐世界杯官网信息系統的內部網絡系統。
範圍。本管理制度適用于世界杯官网的網絡安全运维管理。
要求。世界杯官网信息系统網絡安全管理制度統一遵循《GB/T 22239-2019信息安全技术 信息系统安全等级保护基本要求》。
二 職責與權限
1.網絡管理員負責網絡結構的調整和維護;網絡設備日常監控和管理;負責網絡設備以及防火牆設備的安全配置的檢查、維護、加固和更新。
2.网络管理员负责网络的安全风险评估检查;網絡安全事件的处理;各种網絡安全管理流程的制定和维护。
三 網絡設備的管理
1.應每天通過網管系統對網絡設備的運行狀態及各種性能指標實時監控,監控內容包括但不限于:CPU及內存利用率,端口狀態及數據流量信息等。
2.應定期對網絡設備配置信息進行安全檢查,對發現的網絡設備配置文件中存在的安全脆弱性進行及時的分析與修補,至少半年進行一次。
3.應定期對網絡設備IOS版本信息進行檢查,對低版本或存在安全漏洞的系統IOS版本進行安全分析和相應的更新,至少半年進行一次。
四 網絡接入管理
1.核心交換網絡區域及關鍵網絡區域應實現網絡設備和鏈路冗余備份,並且定期進行冗余恢複測試,至少每年進行一次。
2.需要通過外部網絡訪問內網的網絡接入應采取專用網絡通道方式(專用物理通道或虛擬邏輯通道)。
3.遠程用戶通過互聯網對內部網絡資源的訪問均應得到授權和批准並通過VPN接入方式,以達到對傳輸的數據加密保護。
五 安全隔離與訪問控制
1.內部網絡與Internet互聯網連接須通過防火牆等安全防護設備進行隔離與控制。
2.應在安全網絡區域邊界部署安全防護設施(如防火牆),並根據業務訪問需求進行訪問控制,以實現網絡訪問服務最小化,(以嚴格控制其他區域對安全網絡區域數據的訪問行爲),防止非授權訪問行爲的發生。
六 認證加密管理
1.網絡系統中應部署統一集中的用戶身份認證管理系統,負責管理和維護整個網絡系統的用戶認證管理。
2.網絡系統中應嚴格限制明文傳輸敏感信息(用戶賬號口令信息等),需要采用加密或其他手段進行有效控制,如:采取SSH安全登錄方式代替明文的telnet登錄方式,或者對telnet的登錄方式進行嚴格控制。
七 網絡變更管理
1.網絡變更包括:網絡設備更換、網絡線路調整、網絡配置修改、網絡系統升級等的所有網絡變更行爲。
2.網絡變更都須經過申請,禁止在沒有通過審批流程的情況下私自進行網絡變更或網絡結構調整。
3.針對網絡設備的任何配置變更,都應在變更前和變更後做好配置文件的備份工作,並且制定詳細可行的回退方案,以應對變更失敗時的變更回退操作。
4.所有的網絡變更操作都應記錄,並且做好網絡變更的記錄保存工作。
八 用戶管理
1.網絡設備系統的賬戶管理,包括用戶賬號的申請、注銷及變更,必須按照相關流程執行。
2.入网用户不得从事下列危害单位網絡安全的活动:
(1)未經允許,對單位網絡及其功能進行刪除、修改或增加;
(2)未經允許,對單位網絡中存儲、處理或傳輸的數據和應用程序進行刪除、修改或增加;
(3)使用的系統軟件和應用軟件、關鍵數據、重要技術文檔未經主管領導批准,不得擅自拷貝提供給外單位或個人,如因非法拷貝而引起的問題,由拷貝人承擔全部責任。
3.入網用戶必須遵守國家的有關法律法規和單位的有關規定,如有違反,信息中心將停止其入網使用權,並追究其相應的責任。
4.用戶必須做好防火、防潮、防雷、防盜、防塵和防泄密等防範措施,重要文件和資料須做好備份。
九 監控管理
1.網絡中應部署網絡監控系統,對整體網絡設備運行實時有效的監控。
2.網絡中應部署統一的時鍾系統,並且保證時鍾的精確程度,以確保網絡設備的時鍾同步。
十 備份與恢複管理
1.應對網絡設備的重要數據(網絡設備的配置文件和安全設備的安全策略配置文件等)定期進行備份,至少半年進行一次。
2.網絡設備的備份策略要滿足以下策略:
(1)配置文件的變更前變更後進行完全備份;
(2)備份數據應進行獨立安全存儲;
(3)備份數據存儲時間至少兩年以上。
3.應對網絡設備配置文件進行定期的檢查核對,保證備份文件數據的完整性和可用性。
十一 安全事件管理
1. 网络系统中应部署安全运维监控系统,对网络系统中所发生的網絡安全事件进行监控和预警,定期对网络系统进行漏洞扫描,对发现的网络系统安全漏洞进行及时的修补。
2.对于日常发生的網絡安全事件,应按照世界杯官网的事件處理流程處理。
十二 无线網絡安全管理
1.世界杯官网職工人員使用的無線SSID名稱應設定爲至少8位。
2.世界杯官网職工人員使用的無線网络禁止开启无线网络的SSID廣播。
3.無線網絡應采用WPA的加密級別或更高級別。
十三 網絡安全风险评估
網絡安全风险评估至少每年进行一次。
十四 網絡設備安全配置管理
1.賬戶
(1)應按照用戶分配賬號。避免不同用戶間共享賬號。避免用戶賬號和設備間通信使用的賬號共享。
(2)應刪除與設備運行、維護等工作無關的賬號。
2.口令
靜態口令必須使用不可逆加密算法加密,以密文形式存放。密碼的设置符合密碼管理的基本要求。
3.認證
设备通过相关参数配置,与認證系统联动,满足賬戶、口令和授权的强制要求。
4.日志
(1)网络管理员每天通过监控软件查看网络及網絡安全设备日志中产生的错误或可疑项。如无法分析判断错误或可疑项,应提交至信息中心安全管理员处,以便安排进行分析处理,处理结果应补充记录到日志检查记录中。各类设备本地日志保留时间根据磁盘空间状况确定,清理重要本地日志前需进行备份。
(2)网络设备及網絡安全设备的日志应每三个月进行一次全面的检查,参与日志检查的人员需签字确认。
(3)在有技術手段支持的情況下,應定期進行日志的備份,要求如下:
? 每月至少一次将网络设备及網絡安全设备生成的日志,进行集中备份。可单独备份到光盘介质。
? 日志備份需保留至少6個月不能被改變,日志的備份介質應存放在安全區域,防止非授權人員查看、拷貝日志資料,避免因爲各種原因的損壞導致收集到的相關日志不可用。
? 除審計人員外,由于工作的需要查看日志備份時,需要進行申請審批後才能查看。
? 日志的失效:日志在通常情況下,保存6個月之後,可以由網絡管理員進行失效處理。如果有設備對日志的保留要求超過6個月,則在超過日志保留有效期後再作失效處理。對于日志保存在介質中,需清空介質中數據後再做處理。
5.軟件版本和補丁
(1)設備的軟件版本必須處于廠家維護期,如果廠家已不再進行補丁維護,需要及時更新設備版本或者撤換。
(2)網絡管理員應根據廠商發布的最新補丁公告進行安全分析,確定在不影響網絡系統正常運行的情況下,對存在安全漏洞的設備進行補丁升級。
(3)網絡管理員應在廠商的指導下進行設備補丁升級。
6.IP協議安全
(1)基本協議安全
配置路由器,防止地址欺騙。路由器以UDP/TCP协议对外提供服务,供外部主机进行访问,如作为NTP服务器、TELNET服务器、TFTP服务器、FTP服务器、SSH服务器等,应配置路由器,只允许特定主机访问。过滤已知攻击:在网络边界,设置安全访问控制,过滤掉已知安全攻击数据包,例如udp 1434端口(防止SQL slammer蠕虫)、tcp445,5800,5900(防止Della蠕虫)。
功能禁用:
n 禁用IP源路由功能,除非特別需要。
n 禁用PROXY ARP功能,除非路由器端口工作在桥接模式。
n 禁用直播(IP DIRECTED BROADCAST)功能
n 在非可信網段內禁用IP重定向功能。
n 在非可信網段內禁用IP 掩码响应功能
在条件允许的情况下,启用协议的認證加密功能,保证通信安全。
(2)路由協議安全
n 在條件允許的情況下,啓用動態IGP(RIPV2、OSPF、ISIS等)或EGP协议时,启用路由协议認證功能,如MD5加密,确保与可信方进行路由协议交互。
n 在網絡邊界運行IGP或EGP動態路由協議時,配置路由更新策略,只接受合法的路由更新,防止非法路由注入。只發布所需的路由更新,防止路由信息泄漏。
(3)SNMP協議安全
修改SNMP的Community默認通行字,通行字符串應符合口令強度要求。
只與特定主機進行SNMP協議交互
應根據需要確定是否啓用SNMP的寫(WRITE)功能,無特殊需要時禁用SNMP的寫(WRITE)功能。
7.其他安全配置
(1)關閉未使用的接口,如路由器的AUX口。
(2)要修改路由缺省器缺省BANNER,BANNER最好不要有系統平台或地址等有礙安全的信息。
(3)配置定时賬戶自动登出。如TELNET、SSH、HTTP等管理连接和CONSOLE口登录连接等。
(4)配置CONSOLE口密碼保护功能。
關閉不必要的网络服务或功能
? 禁用TCP SMALL SERVERS
? 禁用UDP SMALL SERVERS
? 禁用Finger
? 禁用HTTP SERVER
? 禁用BOOTP SERVER
? 關閉DNS查询功能,如要使用该功能,则显式配置DNS SERVER
8. 配置備份和恢複
(1)針對網絡設備的配置備份由網絡管理員負責,一般在配置完成後或者配置變更前後需要進行備份和記錄。
(2)備份所需介質的管理遵循世界杯官网相關安全要求。
(3)如需進行配置恢複,由網絡管理員審批後完成恢複並記錄。
(4)網絡管理員每季度應進行備份記錄、備份介質使用情況和恢複記錄的整理統計。
9.安全配置維護和定期檢查
(1)配置變更前,需要進行審批、測試以及備份。
(2)管理員每年至少一次進行網絡設備安全配置的符合性檢查,針對檢查發現的問題進行處理。
(3)在有技術手段支持的情況下,可使用漏洞掃描工具輔助進行符合性檢查。
十五 防火牆安全配置管理
1.安全策略配置
(1)在配置访问规则时,源地址,目的地址,服务或端口的范围必须以实际访问需求为前提,尽可能的缩小範圍。
(2)防火墙设备必须關閉非必要服务。
2.攻擊防護配置
(1)配置訪問控制規則,拒絕對防火牆保護的系統中常見漏洞所對應端口或者服務的訪問。
(2)對于防火牆各邏輯接口配置開啓防源地址欺騙功能。
3.軟件版本和補丁
(1)設備的軟件版本必須處于廠家維護期,如果廠家已不再進行補丁維護,需要及時更新設備版本或者撤換。
(2)網絡管理員應根據廠商發布的補丁公告進行安全分析,確定在必要情況下且不影響網絡系統正常運行的情況下,對存在安全漏洞的設備進行補丁升級。
(3)網絡管理員應在廠商的指導下進行設備補丁升級。
4.告警配置
配置告警功能:報告防火牆的軟硬件故障報警,包括系統內部錯誤。
5.其他安全配置
(1)对于外网口地址,關閉对ping包的回应。建议通过VPN隧道获得内网地址,从内网口进行远程管理。(若网管系统需要开放,可不考虑)
(2)鉴于目前情况,使用SNMP V2版本对防火墙做远程管理。
(在今後條件具備的情況下,建議升級到SNMP V3版本),去除SNMP默认的共同体名称(Community Name)和用户名。并且不同的用户名和共同体名称对应不同的权限(只读或者读写)。
(3)對防火牆的管理地址做源地址限制。可以使用防火牆自身的限定功能,也可以在防火牆管理口的接入設備上設置ACL。
6.配置備份和恢複
(1)針對防火牆的配置備份由網絡管理員負責,應確保重要的防火牆配置變更前以及完成後進行備份和記錄,每半年至少進行一次配置備份和記錄。
(2)如需進行配置恢複,應由網絡管理員審批後完成恢複並記錄。
7.日志
(1)防火牆應配置日志功能:
? 配置記錄流量日志,記錄通過防火牆的重要的網絡連接的信息。
? 配置防火牆規則,記錄重要的防火牆拒絕和丟棄報文的日志。
? 配置记录防火墙管理员操作日志,如管理员登录,修改管理员组操作,賬戶解锁等信息。
(2)网络管理员通过监控软件接收网络及網絡安全设备日志中产生的错误或可疑项的报警。接到报警后,如果无法分析判断错误或可疑项,应提交至信息中心安全管理员处,以便安排进行分析处理,处理结果应补充记录到日志检查记录中。各类设备本地日志保留时间根据磁盘空间状况确定,清理重要本地日志前需进行备份。
(3)网络设备及網絡安全设备的日志应每三个月进行一次全面的检查,参与日志检查的人员需签字确认。
(4)在有技術手段支持的情況下,應定期進行日志的備份,要求如下:
? 每月至少一次将网络设备及網絡安全设备生成的日志,进行集中备份。可单独备份到光盘介质。
? 日志備份需保留至少6個月不能被改變,日志的備份介質應存放在安全區域,防止非授權人員查看、拷貝日志資料,避免因爲各種原因的損壞導致收集到的相關日志不可用。
? 除審計人員外,由于工作的需要查看日志備份時,需要進行申請審批後才能查看。
? 日志的失效:日志在通常情況下,保存6個月之後,可以由網絡管理員進行失效處理。如果有設備對日志的保留要求超過6個月,則在超過日志保留有效期後再作失效處理。對于日志保存在介質中,需清空介質中數據後再做處理。
十六 安全檢測管理
1.入網計算機必須有防病毒和安全保密措施,確因工作需要與外單位通過各種存儲媒體及網絡通訊等方式進行數據交換,必須進行病毒檢查。因違反規定造成電子數據失密或病毒感染,由違反人承擔相應責任,同時應追究其所在部門負責人的領導責任。
2.所有辦公電腦都應安裝全省統一指定的趨勢防病毒系統,並定期升級病毒碼及殺毒引擎,按時查殺病毒。未經信息中心同意,不得以任何理由刪除或換用其他殺毒軟件(防火牆),發現病毒應及時向信息中心彙報,由系統管理員統一清除病毒。
3. 应定期检查防火墙、防病毒软件等網絡安全设备、设施的配置,以防止網絡安全设备、设施漏洞对网络及设备安全稳定运行造成影响;每季度对网络系统进行一次漏洞扫描,保证系统运行的安全,对发现的系统安全漏洞进行及时的修补。
十七 VPN安全配置管理
1.VPN賬戶
(1)在訪問控制規則中設置不同級別的訪問權限。
(2)設置一個用戶一次至多可以建立兩個連接。
(3)實現同一終端通過VPN連接後不能同時連接互聯網。
2.訪問控制策略
在配置访问规则时,必须以实际访问需求为前提,尽可能的缩小範圍。可参考防火墙安全策略配置中的内容。
3.軟件版本和補丁
(1)設備的軟件版本必須處于廠家維護期,如果廠家已不再進行補丁維護,需要及時更新設備版本或者撤換。
(2)網絡管理員應根據廠商發布的最新補丁公告進行安全分析,確定在不影響網絡系統正常運行的情況下,對存在安全漏洞的設備進行補丁升級。
(3)網絡管理員應在廠商的指導下進行設備補丁升級。
4.配置備份與恢複
(1)針對VPN的配置備份由網絡管理員負責,一般在配置完成後或者配置變更前後需要進行備份和記錄。
(2)備份所需介質的管理遵循世界杯官网相關安全要求。
(3)如需進行配置恢複,應由網絡管理員審批後完成恢複並記錄。
(4)網絡管理員每半年應進行備份記錄、備份介質使用情況和恢複記錄的整理統計。
5.日志
(1)應開啓VPN連接日志記錄功能,記錄VPN訪問登陸、退出等信息。
(2)网络管理员每天通过监控软件查看网络及網絡安全设备日志中产生的错误或可疑项。如无法分析判断错误或可疑项,应提交至信息安全技术主管处,以便安排进行分析处理,处理结果应补充记录到日志检查记录中。各类设备本地日志保留时间根据磁盘空间状况确定,清理重要本地日志前需进行备份。
(3)网络设备及網絡安全设备的日志应每三个月进行一次全面的检查,参与日志检查的人员需签字确认。
(4)在有技術手段支持的情況下應定期進行日志的備份,要求如下:
? 每月至少一次将网络设备及網絡安全设备生成的日志,进行集中备份。可单独备份到光盘介质。
? 日志備份需保留至少6個月不能被改變,日志的備份介質應存放在安全區域,防止非授權人員查看、拷貝日志資料,避免因爲各種原因的損壞導致收集到的相關日志不可用。
? 除審計人員外,由于工作的需要查看日志備份時,需要進行申請審批後才能查看。
? 日志的失效:日志在通常情況下,保存6個月之後,可以由網絡管理員進行失效處理。如果有設備對日志的保留要求超過6個月,則在超過日志保留有效期後再作失效處理。對于日志保存在介質中,需清空介質中數據後再做處理。
十八 附則
對違反本制度的人員,將按照世界杯官网有關規定進行處罰。
本制度由信息安全工作小組負責制定、解釋和修改。
本管理制度自發布之日起執行。
世界杯官网信息安全工作小組
2020年10月18日