227.信息化部网络安全管理规程.docVIP

江苏联通业务支撑系统部 【网络安全运维规程】 Document No. 撰写： 胡凯 完成日期： 2009-11-23 审校： 完成日期： 批准： 日 期： 文档修改记录 (记录文档首稿与列次修改的时间) 日期 版本 作者 备注 2009-11-23 V1.0 胡凯 初稿。 2009-11-28 V1.0 李寅 整理格式。 运维规范业务支撑系统部江苏联通业务支撑系统部 运维规范 业务支撑系统部 江苏联通业务支撑系统部 PAGE 8 / NUMPAGES 9 PAGE 8 / NUMPAGES 9 前言 本管理规范于2009年11月制定，版本V1.0。 目的 为了达到总部《中国联通业务支撑系统安全管理规程（V1.0）》对网络安全管理内容的要求,具体指导全省业务支撑系统网络安全管理的工作，在总部的管理规程基础上，细化制定本管理规程。 适用范围 江苏联通业务支撑网络所有网络设备安全管理必须遵照执行。 定义、术语和说明 相关角色和职责 无 相关管理制度 基础管理 网络结构管理： 省分业务支撑系统部负责省中心BSS网络的安全建设和维护，各地市分公司业务支撑系统部负责各地市BSS网络的安全建设和维护管理； BSS网络整体的拓扑结构需要全面系统的规划、建设和管理，网络的结构调整按照运维管理规程履行审批手续； 对核心系统和设备的网段进行重点保护，使用防火墙等安全设备以及其他访问控制方式与其它网段隔离，保证网络系统稳定可靠、接入安全、易于故障隔离和排除； BSS域IP地址资源由集团统一规划和管理,各接入单位应当在规定的范围内设置计算机及网络设备IP地址。 网络配置管理： 网络配置管理按照集团统一进行配置管理，未经省分主管部门批准，各地市分公司无权更改广域网的网络配置； 各省网络配置由省公司主管部门负责进行省内的广域网络的统一配置管理工作； 按照最小服务原则为每台网络设备进行安全配置,所有的网络配置工作都要有文档记录，网络设备的配置文件需要定期备份； 核心网络必须有备份设备，采取热备方式，骨干链路应有备份路由，重要的服务器采用“双上联”方式网络接入。 网络配置管理： 网络配置管理按照集团统一进行配置管理，未经总部主管部门批准，各分公司无权更改广域网的网络配置； 各省网络配置由省公司主管部门负责进行省内的广域网络的统一配置管理工作； 按照最小服务原则为每台网络设备进行安全配置,所有的网络配置工作都要有文档记录，网络设备的配置文件需要定期备份； 核心网络必须有备份设备，采取热备方式，骨干链路应有备份路由，重要的服务器采用“双上联”方式网络接入。 网络互连管理： 网络按访问控制策略划分不同的安全区域，同一网络层次内的资源，根据其重要性、面临的外来攻击风险、内在的运行风险不同，需进一步划分成多个网络安全区域，划分原则是将同一网络安全层次内服务器之间的连接尽量控制在区域内部，尽量减少同一安全层次内部安全区域之间的连接； BSS网络终端域和核心域之间应实施安全措施，如安装防火墙、实施入侵检测、部署互访内容审计系统等。 BSS网络内部不同安全域之间的互连原则: 互连点上必须实施安全措施，如VLAN隔离等； 网络之间互连点采取集中原则，并考虑安全冗余； 网络互连点及安全设备必须纳入到网管体系的监控。 BSS网络和外部网络之间的互连原则： 网络之间互连点采取集中原则，并考虑安全冗余； 互连点上必须实施安全措施，如安装防火墙、实施入侵检测、部署互访内容审计系统等； 网络互连点及安全设备必须纳入到网管体系的监控。 BSS网络内必须设置接口机或代理服务器，用于与外部网络连接，禁止生产用的主机、服务器与外部网络直接连接； 与外部网络连接中，在互连点上的防火墙上应该进行IP地址转换，保护BSS网络接口机或代理服务器真实的IP地址； 在防火墙上实施策略控制，严格限制访问的地址和端口。 BSS网络和互联网或与互联网连接的网络之间的互连原则： 禁止BSS网络与互联网之间直接连接； 严格控制BSS网络与互联网连接，由于业务需要，必须进行连接的，必须实施严格的安全措施，如安装防火墙、实施入侵检测、部署互访内容审计系统等； 遵循BSS网络和联通公司以外的网络之间的互连原则。 终端的接入管理 只有遵循本规程《终端用户安全管理》的计算机终端方能接入联通业务支撑系统网络； 外单位人员不允许接入业务支撑网络，如因维护需要确需连入网络，必须履行审批手续，并在有联通员工随工的情况下方可接入，同时对连接时间、事由都要有详细记录； 确需通过网络进行远程访问的，必须履行审批手续，在固定时间，通过身份验证后接入，同时对连接时间、事由都要有详细记录； 严格执行两网分离政策，禁止业务支撑系统维护终端接入互联网，普通办公终端不得同时接入BSS网络和非BSS网络。 运行管理 网络监