网络安全和使用管理制度
发布时间:2023年08月09日 点击数:
第一章 总则
第一条为加强单位信息系统网络的安全规划、安全建设、安全运行维护、安全变更等各方面的管理,实现单位信息系统的网络安全保障,特制订本制度。
第二条本制度适用于廊坊师范学院教育技术中心负责管理和维护信息系统路由器、交换机、防火墙的安全管理。管理内容包括网络安全配置、日志保存时间、安全策略、IP地址管理等。
第二章 管理要求
第三条网络安全规划要求
(一)网络拓扑结构应由专业人员进行严格设计和规划,网络架构清晰、层次分明,必须明确定义并维护安全边界,将敏感系统(涉密或重要网段)同其他系统以物理隔离、防火墙或者划分VLAN的方式进行隔离。
(二)合理设计网络路由协议和路由策略,保证网络的连通性、可达性,以及网内业务流向分布的均衡性。
(三)充分考虑不可信网络特别是Internet的接入问题,防止出现多Internet接入点,Internet出口必须设计部署防火墙等访问控制设备;对外服务器系统与内网分离,并单独接入在边界防火墙的独立保护区域(DMZ);跨公网访问的情况,应采取VPN等加密手段在公网上进行通信传输。
(四)充分考虑电源、网络设备和通信链路的冗余问题,防止出现单点故障,以及对今后网络变更或扩充产生不利的影响。
(五)合理设计网络地址,充分考虑地址的连续性管理以及业务流量分布的均衡性。
第四条网络安全建设要求
(一)网络建设时应有详细的实施计划,包括:时间进度计划、设备和软件采购计划、人力资源分配计划、应急响应计划;应充分考虑网络建设时对原有网络的影响,并制定详细的应急计划,避免因网络建设出现意外情况造成原有网络的损失。
(二)严格按照网络规划中的设计进行实施,需要变更部分,应在专业人士的配合下,经过严格的变更设计方案论证方可。
(三)在网络建设的过程中,应严格按照实施计划进行,并对每一步实施,都进行详细记录,最终形成实施报告。
(四)在网络建设完成投入使用前,应对所有组件包括设备、服务或应用进行连通性测试、性能测试、安全性测试,并做详细记录,最终形成测试报告。
(五)在网络建设完成,测试通过投入使用前,应删除测试用户和口令,最小化合法用户的权限,最优化配置。
(六)在网络建设完成后,应立即更改相关网络设备默认的配置和策略,并进行备份。
第五条网络安全运行维护要求
(一)所有网络设备(包括交换机、路由器、防火墙等)应由专职的网络管理员负责管理和维护,网络管理员应对上述设备进行必要的资产登记(参见附录1),登记记录上应该至少包括设备名称、设备型号、操作系统版本、IP地址等信息。
(二)接入网络的服务器、终端的网络参数(VLAN、IP地址、子网掩码网关、DNS等)信息应由网络管理员统一负责分配和管理,网络管理员应对上述设备的网络参数进行必要的登记记录。
(三)网络设备必须实现账号口令的认证管理方式,并对其登录账号、权限进行限制,对于重要网络设备可以使用增强的认证方式。组成口令的字符应至少包含大小写英文字母、数字、特殊符号等,口令长度8位以上,三个月修改一次口令,或者使用一次性口令设备。若掌握口令的管理人员调离本职工作时,必须立即更改所有相关口令。
(四)严格禁止非本系统管理人员直接进入网络设备进行操作,若在特殊情况下(如系统维修、升级等)需要外部人员(主要是指厂家技术工程师、非本系统技术工程师、安全管理员等)进入网络设备进行操作时,必须由本系统网络管理员登录,并对操作全过程进行记录备案。禁止将系统用户账号及口令直接交给外部人员,在紧急情况下需要为外部人员开放临时账号时,必须获取相关领导授权。
(五)尽可能减少网络设备的远程管理方式,例如Telnet、Web等,如果的确需要远程管理,应使用SSH代替Telnet,使用HTTPS代替HTTP;应限定远程管理的用户数量,远程管理的终端IP地址,设置控制口和远程登录口的idle timeout时间,让控制口和远程登录口在空闲一定时间后自动断开;进行严格的身份认证和访问权限的授予,并在配置完后,立刻关闭此类远程管理功能;应尽可能避免使用SNMP协议进行管理,如果的确需要,应使用V3版本替代V1、V2版本,并启用MD5等校验功能。(需要讨论是否可行)
(六)网络边界安全访问控制设备(如防火墙。路由器、交换机等)应在保证正常应用连通性的前提下,根据业务通信情况设置严格的访问控制策略;应尽量保持访问控制规则的清晰与简洁,对每台设备的每条规则进行详细注释说明,并至少每月进行1次规则的检查和必要的调整;防火墙策略应遵循“默认拒绝,特殊规则靠前,普通规则靠后,规则不重复”的原则,通过调整规则的次序进行优化。
(七)确保对重要网络设备的系统日志处于运行状态,并每月对日志做一次全面的分析,对网络设备登录的用户、登录时间、所做的配置和操作进行检查;对防火墙的敏感网络连接活动进行全面日志记录,至少包括用户身份、访问时间、访问源 IP、访问目标 IP、访问动作等,在发现有异常的现象时应及时向安全管理员报告。
(八)重要网络设备的系统日志应该集中保存,至少保存一年。
(九)及时监视、收集网络设备以及安全设备生产厂商公布的软件以及补丁信息,对于非常重要的补丁程序在经过测试无影响的情况下尽快对生产环境设备实施软件更新或者补丁安装;软件更新或者补丁安装应尽量安排在非业务繁忙时段进行,在升级(或修补)前后做好数据和软件的备份工作,同时将整个过程记录备案;软件更新或者补丁安装后应重新对系统进行安全设置,并进行系统的安全检查。
(十)至少每季度1次对所有网络设备进行安全漏洞扫描,重大安全漏洞发布后,应在1周内进行;当发现网络设备上存在异常开放的网络服务或者开放的网络服务存在安全漏洞时应及时上报信息安全管理员,并采取相应措施。
(十一)至少每天1次对所有网络设备进行检查,确保各设备都能正常工作;通过各种手段监控网络的流量状况,当突发异常流量时,应立即上报信息安全管理员,同时采取适当控制措施,并记录备案。(由统一网管平台实现)
(十二)至少每年1次对整个网络进行全面安全评估,评估后应在尽快完成对网络设备的修补和加固,并进行二次评估。
(十三)至少每半年1次对拨号上网或其他违反网络安全的行为进行检查。
第六条网络安全变更要求
(一)网络管理员应对所有网络设备的变更(新增、变更、废弃)情况对资产登记记录进行变更。
(二)网络管理员应在网络设备接入、配置变更、废弃等系统变更操作前进行数据备份,为一些关键的网络设备准备备品备件,保证一些常用网络设备的库存,以便在不成功的情况下及时进行恢复。
(三)新的网络设备的接入应首先由相关部门提出申请,信息技术部门根据实际业务需要进行审核,确定最佳接入方案,才可以进行实施,禁止私自安装或移动网络设备。网络管理员应对任何新的网络设备的接入进行记录备案,记录内容应包括:接入人、接入时间、接入原因等。
(四)根据业务系统应用的需要,要求设备配置变更时,应首先向网络管理员提出申请,经确认后由网络管理员负责安排实施,禁止私自变更网络设备配置。网络管理员应对任何网络设备的配置变更情况都应进行记录,记录内容应包括:变更人、变更时间、变更原因、变更内容等,以便后期问题的查询分析。
(五)网络设备的废弃应首先向相关部门提出申请,由信息技术部门根据实际业务需要进行审核,确定最佳废弃方案。网络管理员应对任何网络设备的废弃都应进行记录备案,记录内容应包括:废弃人、废弃时间、废弃原因。
(六)任何新的网络设备接入、配置变更、废弃前,都应做好详细的应急预案,以备紧急情况时的应用,这些重大变更必须做到一人操作一人监督的管理。
(七)由任何网络设备、服务器、终端导致的网络变更后,网络管理员应及时调整相关访问控制设备的安全策略,安全管理员应确认网络是否具有清晰的网络拓扑结构,网络边界安全是否控制严格。
(八)新的网络设备在正式上架运行前应由网络管理员进行功能测试,由安全管理员进行安全检查并确认后方能正式运行使用。严禁在不测试或测试不成功的情况下接入网络。安全管理员需要检查的内容如下:
1、查看硬件和软件系统的运行情况是否正常、稳定;
2、查看OS版本和补丁是否最新;
3、OS是否存在已知的系统漏洞或者其他安全缺陷。
(九)新的网络设备在正式上架运行或网络设备出现重大配置变更后,应经过一段时间的试运行,在试运行阶段,应严密监控其运行情况,以及对网络是否带来影响;当发现网络运行不稳定或者出现明显可疑情况时,应立即启动应急预案;试运行阶段后,应按照3.3节网络安全运行维护要求进行管理。
第三章 附则
第七条本制度由廊坊师范学院教育技术中心负责制定、解释和监督实施。
第八条本制度自发布之日起实施。
教育技术中心
2023年8月7日