vpn互聯网内网管理规范v0.1.doc

目 录 第 1 章 网络管理概述 4 1.1 概述 4 1.2 目标 4 1.3 适用范围 4 1.4 规范引用的文件或标准 6 1.5 术语和定义 7 1.6 理论依据 9 第 2 章 通用网络管理规范 11 2.1 网络线路/设备的加固 11 2.1.1 网络线路加固 11 2.1.2 网络设备加固 12 2.2 防火墙安全管理 16 2.2.1 防火墙设置策略制定步骤 16 2.2.2 防火墙设置 16 2.2.3 防火墙对网络传输协议的控制 19 2.3 网络入侵检测 23 2.3.1 入侵检测系统（IDS）概览 23 2.3.2 实施入侵检测系统（IDS） 25 2.3.3 处理入侵检测系统（IDS）输出数据 28 2.4 网络实时监控管理 30 2.4.1 基于SNMP协议的网络实时监控管理 30 2.4.2 基于Out of Band的网络实时监控管理 31 2.5 网络渗透性测试 33 2.5.1 建立目标 33 2.5.2 定义报告格式 33 2.5.3 授权(许可证) 34 2.5.4 选择测试的工具 34 2.5.5 实施渗透性测试 34 2.5.6 评估测试并编写报告 34 2.6 网络拒绝服务攻击防范 35 2.6.1 防御分布式的拒绝服务攻击（Deny of Service） 35 2.7 通用网络服务的使用授权管理规范 39 2.7.1 外来访问者网络使用管理规范 39 2.7.2 内部员工管理办法 39 2.8 网络系统相关日志管理和权限的审计管理 41 2.8.1 网络设备配置更改登记簿管理 41 2.8.2 网络设备存放保管登记簿管理 41 2.8.3 网络事件日志定期的审计和人员权限的定期审核 42 第 3 章 VPN管理规范 43 第 4 章 公司外部网络安全管理规范 45 4.1 Internet访问安全管理规范 45 4.1.1 中国海洋石油有限公司总部Internet访问网络连接安全管理架构 45 4.1.2 地区公司Internet访问网络连接安全管理架构 49 4.1.3 地区公司下级公司Internet访问网络连接安全管理架构 51 4.1.4 用户Internet使用安全管理 53 4.2 远程访问安全管理规范 55 4.2.1 远程访问安全通用准则 55 4.2.2 第三方合作伙伴网络接入安全管理规范 55 4.2.3 外部工作人员远程接入内部网络安全管理规范 56 第 5 章 公司内部网络安全管理规范 60 5.1 内部局域网络安全管理规范 60 5.1.1 有限公司局域网络完全独立的情况 60 5.1.2 有限公司局域网络和集团公司共享的情况 62 5.2 内部网络虚拟局域网（VLAN）划分标准 64 5.2.1 划分标准 64 5.3 内部广域网络安全管理规范 67 5.3.1 总部和一级地区公司之间的广域网连接规范 67 5.3.2 地区公司之间的广域网连接规范 72 5.3.3 地区公司和下级单位之间的广域网连接规范 73 网络管理概述 概述 网络，作为企业信息管理体系的基础设施，起着连接不同的信息终端、传递信息系统内部的信息的作用。显而易见，网络在企业信息安全的体系架构中占有举足轻重的地位，保证计算机系统整个信息系统安全的前提。 规范引用的文件或标准 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是不注日期的引用文件，其最新版本适用于本标准。GB17859-1999 计算机信息系统安全保护等级划分准则 GB/T 9387-1995 信息处理系统 开放系统互连基本参考模型（ISO7498 :1989） GA/T 391-2002 计算机信息系统安全等级保护管理要求 ISO/IEC TR 13355 信息技术安全管理指南 NIST信息安全系列——美国国家标准技术院 英国国家信息安全标准BS7799 信息安全基础保护IT Baseline Protection Manual (Germany) BearingPoint Consulting 内部信息安全标准 RU Secure安全技术标准 信息系统安全专家丛书Certificate Information Systems Security Professional  术语和定义 审计audit 为了测试出系统的控制是否足够, 为了保证与已建立的策略和操作相符合, 为了发现安全中的漏洞, 以及为了建议在控制策略中作任何指定的改变, 而对系统记录与活动进行的独立观察(GB9387-95) 授权authorization 给予权利，包括信息资源访问权的授予。 攻击 attack 违反计算机安全的企图。 缓冲器溢出 buffer overflow是指通过往程序的缓冲区写超出其长度的内容，造成缓冲区的