网络系统安全管理规范.docVIP

文件名称 网络系统安全管理规范 密级 文件编号 版 本 号 编写部门 编 写 人 审 批 人 发布时间 XXXXXXXXXXXXXXX公司业务平台安全管理制度 —网络系统安全管理规范 XXXXXXX网络运行维护事业部 PAGE II 目录 TOC \o 1-3 \h \z \u 一. 网络系统架构安全规范 1 1.1 网络安全的范围 1 1.2 网络结构安全要求 1 二. 网络系统拓扑结构安全 2 2.1 安全域的设计 2 2.2 安全域划分原则 2 2.3 安全域划分方法 3 2.4 边界整合及控制 3 三. 网络系统访问控制 5 3.1 通用网络保护要求 5 3.2 网络设备配置要求 5 3.2.1交换机配置要求 5 3.2.2路由器配置要求 6 3.2.3防火墙配置要求 6 四. 网络系统设备安全 7 4.1 变更管理要求 7 4.2 账号口令管理要求 7 4.3 日志安全要求 7 4.4 访问控制要求 7 4.5 SNMP安全要求 8 4.6 版本安全要求 8 五. 网络流量监控分析 9 5.1 异常流量检测分析 9 5.2 异常流量控制 9 六. 附录 10 6.1 交换机安全配置规范 10 6.2 路由器安全配置规范 10 6.3 防火墙安全配置规范 10 DOCPROPERTY Title 网络系统安全管理规范 PAGE - PAGE 10 - 网络系统架构安全规范 网络安全的范围 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。它涉及主机、终端和应用等多个层面的安全防护；网络安全采用的技术手段也多种多样，既有网络层面的入侵检测、远程接入管理、内容过滤、流量检测，也有其它层面的文档安全、桌面管理、病毒防护、访问认证等。 单纯的采用一种或多种安全技术手段，不能从根本上弥补网络架构所造成的缺陷，必须综合考虑网络性能、网络维护、网络优化改造、边界防护等多方面的因素，以网络的整体安全为框架，融合安全技术、安全手段，并充分考虑系统生命周期内的安全要素，才能达到预期的网络安全目标。 网络结构安全要求 网络结构的设计应满足网络整体的安全要求，包括：设备安全、访问控制、边界完整性、入侵防范、恶意代码防范、网络冗余、安全审计等。 应保证主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需要； 应保证网络各个部分的带宽满足业务高峰期需要； 应在业务终端与业务服务器之间进行路由控制建立安全的访问路径； 应绘制与当前运行情况相符的网络拓扑结构图； 应根据各系统的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段； 应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取可靠的技术隔离手段； 应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机。  网络系统拓扑结构安全 安全域的设计 安全域设计应基于业务系统平台的结构，从各种业务功能、管理、控制功能出发，梳理其数据流、刻画构成数据流的各种数据处理活动/行为，分析数据流、数据处理活动的安全需求和安全域设计要求，将系统分解为若干个功能简单、边界清晰且结构化的小的安全域，根据不同安全域承担的业务使命、业务功能以及受到的潜在的威胁和安全风险，进行有针对的分等级的重点保护，构建起多层、主动、立体的安全保障体系，并通过控制、审计等手段，达到持久、有效地保障系统安全的目的。 安全域划分原则 安全域划分是网络安全工作的基础。所谓安全域，是指网络中具有相同的安全保护需求、并相互信任的区域或网络实体的集合。一个安全域内也可根据实际情况进一步细分安全区域、安全子域。 安全域划分的基本原则包括： 业务保障原则：安全域划分的根本目标是为了能够更好地保障网络上承载的业务。在保证安全的同时，还要保障业务的正常运行和运行效率。 结构简化原则：安全域划分的直接目的和效果是要将整个网络变得更加简单，简单的网络结构便于设计防护体系。因此，安全域划分并不是粒度越细越好，安全域数量过多过杂反而可能导致安全域的管理过于复杂，实际操作过于困难。 立体协防原则：安全域的主要对象是网络，但是围绕安全域的防护需要考虑在各个层次上立体防守，包括在物理链路、网络、主机系统、应用等层次；同时，在部署安全域防护体系的时候，要综合运用身份鉴别、访问控制、检测审计、链路冗余、内容检测等各种安全功能实现协防。 生命周