DCN网安全接入流程及规范.docVIP

DCN网安全接入流程 流程说明： 申请单位向本级DCN管理部门提交申请报告（可使用电子文档），报告内容应包括：（见附表1） 业务名称、业务性质、业务功能概述、业务归口主管部门、归口主管部门负责人及其联系方法； 业务规划（网络架构、系统组成及组网技术描述）、目前规模（地域、节点数、设备安放地等）、接入方式（LAN或WAN方式）、资源占用及分配情况（端口占用、带宽、IP地址、域名、自治系统号等）、今后发展（地域、节点数、设备安放地等）； 工程组织计划（建设工期安排、涉及部门及必要的割接方案）、系统集成方式（涉及相关的厂商情况）； 用户特殊要求。 本级DCN管理部门接到申请后应及时审阅，并与申请单位联系，确定接入方案，必要时双方技术管理人员应当面讨论协商。 申请单位的报告获得批准后，应严格按照批准执行，不得擅自接入。 凡是批复准许接入的业务系统工程负责部门，必须做好全部的接入准备工作，在DCN工程技术人员的配合下，将连接网线布放到指定地点，并做好标识。 业务子网的接入原则上从网络交换机接入，如确需从路由器接入，需报省DCN管理部门审核批准；网络交换机上业务子网接入的端口资源由省DCN管理部门负责管理，未经省DCN管理部门批准不得擅自接入业务子网； 系统接入前必须经过安全测试，符合《DCN网安全接入规范》要求后方可接入。 附表1 广东电信DCN网接入申请报告 业务名称 　 业务性质 　　 归口主管部门 　　 归口主管部门负责人 姓名 　 电话 　 传真 　 网络结构 需用图示说明（不够可附页） 联网技术描述 （不够可附页） 系统组成 （不够可附页） 接入DCN的方式 　 端口类型 　 带宽需求 　 域名 　 IP地址分配 （用附件详细说明） 目前规模（包括地域、节点数、设备安放地等）： （不够可附页） 今后的网络系统发展（包括地域、节点、设备安放地等）： （不够可附页） 工程组织计划： 建设工期安排 　 涉及部门 　 必要的割接方案、时间 （不够可附页） 系统集成商情况 　 业务系统的特殊要求 （不够可附页） DCN网安全接入规范 随着我省支撑系统的建设实施，需要接入广东电信DCN网的系统越来越多，而且各系统对DCN网的连接要求也越来越复杂。由于DCN网只保证大网的安全畅通，各个应用系统的安全性需要由各自的运维部门维护，因此，省公司网络运营部编制了DCN网生产系统安全接入规范，用于指导DCN有关使用部门和单位在新建/扩建/改建需接入到DCN网的生产系统的设计、建设、验收各个阶段的安全工作，从而达到提高接入到DCN网生产系统的安全水平，保障DCN网生产系统安全运营的目的。 本规范是各分公司进行DCN网新建接入系统安全管理的重要依据，各公司应结合本单位的具体情况，遵照本规范对本公司所辖的DCN网接入系统进行安全管理。 保证DCN网接入系统机房物理环境的安全性，包括： DCN网生产系统所处的物理环境应符合电信机房防火、防盗、防雷、防水、防震等要求（参照国家标准和中国电信有关规定）。 生产系统属于中国电信重要关键业务系统的，其网络设备和主机系统要和一般的办公和生产环境要进行物理隔离，并采用门禁系统、防盗报警器、闭路电视监控系统等进行安全防护。 系统设备的布局以及强电、弱电布线必须合理、规范。 物理安全检查验收细则参见附件1。 保证DCN网接入系统网络设备的安全性，包括： 确认网络设备使用和维护文档是否齐全。 确认交换机所划分的虚拟子网(VLAN)是否符合规划要求。 确认防火墙的隔离与访问控制策略是否符合规划的要求。 确认生产系统网络结点与公共网络相连接的进出口处安装配备的VPN设备是否符合规划要求。 已建立入侵检测系统的，确认是否能对进出网段的所有异常攻击行为进行实时监控、记录。 确认网络设备的操作系统是否已经升级到最新补丁，并禁用了不必要的服务和端口。 确认DCN网生产系统网络结点与公共网络相连接的进出口处安装配备了防病毒网关。 物理安全检查验收细则参见附件2。 保证DCN网接入系统主机设备的安全性，包括： 确认服务器主机中不存在重复用户、测试用户、共享用户、公共账号等等不必要的用户账号。 确认服务器的账号启用了用户账号管理策略，运维人员已经禁用和修改了工程阶段的测试账号和密码。 确认服务器主机系统没有开放不必要的共享文件。 确认已经对服务器主机所有的共享文件设置了用户访问权限。 确认用户账号口令不存在空口令和弱口令。 确认服务器主机系统已经升级到最新的安全补丁。 确认并登记服务器主机系统开放的服务和端口，关闭不必要使用的服务。 确认系统启用了安全日志记录功能，日志记录设置成只有系统管理员账号才有权访问。 物理安全检查验收细则参见附件3。 保证DCN网接入系统应