《中国石化网络安全设备管理规范》.doc

中国石化 网络安全设备管理规范V 1.1 2007年5 月16 日 目 录 1 目的 - 4 - 2 范围 - 4 - 3 术语 - 4 - 4 管理员职责 - 4 - 4.1 系统管理员职责 - 4 - 4.2 信息安全管理员职责 - 5 - 5 管理员账号和权限管理 - 5 - 5.1 管理员账号 - 5 - 5.2 系统管理员权限 - 5 - 5.3 信息安全管理员权限 - 6 - 5.4 管理员身份鉴别 - 6 - 6 策略和部署管理 - 6 - 6.1 制定安全策略 - 6 - 6.2 安全设备统一部署 - 6 - 6.2.1 安全网关类设备部署 - 6 - 6.2.2 入侵检测类设备部署 - 7 - 6.2.3 漏洞扫描设备部署 - 7 - 7 配置和变更管理 - 7 - 7.1 配置和变更授权 - 7 - 7.2 防火墙设备配置 - 7 - 7.3 VPN设备配置 - 8 - 7.4 代理服务器设备配置 - 8 - 7.5 IP加密机设备配置 - 9 - 7.6 入侵检测设备配置 - 9 - 7.7 漏洞扫描设备配置 - 9 - 8 运行维护管理 - 10 - 8.1 安全设备的检测和维护 - 10 - 8.2 安全设备的监视和记录 - 10 - 8.3 安全设备配置备份和恢复 - 10 - 8.4 安全设备的审计 - 10 - 8.5 安全事件处理和报告 - 11 - 8.6 漏洞扫描设备的专项要求 - 11 - 8.7 安全设备的维修 - 11 - 9 安全数据管理 - 12 - 9.1 安全设备的数据 - 12 - 9.2 检测获得数据的管理 - 12 - 9.3 审计获得数据的管理 - 12 - 9.4 配置数据管理 - 12 - 9.5 存储空间管理 - 12 - 10 设备选型管理 - 13 - 11 附则 - 13 -  目的 中国石化已覆盖全国范围的下属，成为中国石化系统生产经营管理提供信息化手段的根本，网络安全设备是保障中国石化信息系统安全运行的基础。为保障中国石化信息系统的安全、稳定运行，特制本规范。 范围 本规范适用于计算机网络所有网络安全设备的管理和运行。 本规范中所指包括各种安全网关类设备（防火墙、VPN、代理服务器、IP加密机等）、入侵检测类设备、漏洞扫描类设备等。职责 系统管理员职责恪守职业道德，严守企业秘密熟悉国家安全生产法以及有关信息安全管理的相关规程； 负责网络安全策略，更新和维护等工作；对数据网络实行分级授权管理，按照岗位职责授予不同的管理级别和权限；密切注意最新网络攻击行为的发生、发展情况，关注和追踪业界公布的攻击事件 信息安全管理员职责 恪守职业道德，严守企业秘密，熟悉国家安全生产法以及有关信息安全管理的相关规程； 系统管理员的登录和操作进行审计密切注意最新漏洞的发生、发展情况，关注和追踪业界公布的漏洞疫情管理 系统管理员和的用户应分开设置，其他人员不得设置。在安全设备上建立用户，需要经过本级信息部门安全主管的审批。系统管理员 系统管理员具有设置修改安全设备策略配置以及分析的权限。 信息安全管理员具有读取安全设备审计信息，以及检查安全设备策略配置的权限。身份鉴别身份鉴别为用户级和特权级模式设置口令不能使用缺省口令，确保用户级和特权级模式口令不同。安全设备口令长度应采用8位以上，由非纯数字或字母组成，并更换。 安全设备的身份鉴别，必要时可以采用证书方式。策略和部署管理安全设备系统管理员应依据中国石化，，制定具体的安全策略，并且进行规范化和文档化；安全设备的策略文档应妥善保存。对关键的安全设备采用双机热备或冷备的方式进行部署减小系统运行的风险。 安全设备安全设备部署应依据中国石化的信息安全统一部署，保证安全设备的可用性。安全设备部署的具体实施部门的审批。安全网关类设备部署安全网关类设备部署应。入侵检测类设备部署检测到被保护网络的数据流量，并能抓取含有足够信息的IP包，如：MAC地址、IP地址等漏洞扫描设备部署 漏洞扫描设备部署，应进行漏洞扫描设备运行可能对系统影响的分析，配置和变更管理置 网络安全设备置、审批、授权防火墙设备配置防火墙设备配置操作规程要点如下： 记录网络环境，定义防火墙网络接口； 定义防火墙的网络对象和应用端口； 定义安全策略；定义管理员权限； 测试防火墙性能； 编写和整理防火墙设备配置文档和技术资料。VPN设备配置VPN设备配置操作规程要点如下： 环境配置，网络环境的设置，VPN网关的控制台的设置； 设置VPN网关的各种网络参数特性，包括网络接口、透明网络、静态路由、ADSL用户设置、MODEM用户设置等； VPN设置，将证书导入VPN网关系统；进行SMC设置，对SMC进行身份认证并下载策略，加载加密算法；添加静态隧道，从SMC中下载与本机有信任关系