(完整)外部系统接入制度.doc

(完整)外部系统接入制度.doc

《(完整)外部系统接入制度.doc》由会员分享，可在线阅读，更多相关《(完整)外部系统接入制度.doc（4页珍藏版）》请在冰豆网上搜索。

（完整）外部系统接入制度

外部系统接入管理制度

XXXXXX有限公司

日期：

2011年7月8日

修订记录

版本号

日期

作者

备注

1。

0。

0

2011年7月8日

XXXXX

初始版本

单纯的杀毒、防火墙、加密等手段无法从核心解决安全问题，防止核心数据从内部网络泄密成为重点。

失控的外部开发人员接入是企业内部网络中最薄弱的一环，需要有更严格的外部接入管控来提高应用系统和数据的安全等级。

为了加强企业内部网络和数据的安全,防止外来系统对公司数据网络的入侵,杜绝了来自非企业内部人员的访问、攻击和非法数据复制，保证了信息系统和数据的安全，特制定外部系统接入管理制度

一、管控需求

对企业内部的网络用户（员工），接入管控已经做到接入交换机的端口与接入设备的获得MAC、IP地址进行绑定.但不是所有管理员都能对每个接入的用户（组）制定访问控制策略,这使得外部外部接入系统可能获得与企业内部员工同样多的访问权限。

对于没有作接入管控的外部外部接入系统,其可以访问的服务器数量与企业最高管理层一样多，唯一能阻止他们获得数据访问权限的就仅剩下用户名和密码。

而对于专业的IT开发者，接管整台服务器并不比试探或截取密码更难.

失控的外部接入可能会产生相当严重的后果，例如，接入计算机的病毒传入内部网络；不正常广播或攻击引起内部网络阻塞;越权访问重要应用系统（如财务系统）;非法的数据复制及外泄；如果接入计算机同时又接入互联网，黑客还可以通过接管该计算机对内部网络及服务器进行攻击。

因此，必须有相应的措施进行接入管控。

二、外部接入系统对内部网络资源的需求的管控

接入管控必须做到在满足外部外部接入系统需求的同时,保证企业数据中心的安全。

一般说来,外部接入系统对网络接入的需求包括：

每个外部接入系统内的接入设备是否允许互访；不同外部接入系统的局域网之间是否允许互访；外部接入系统成员与内部网络用户之间是否允许互访;外部接入系统能访问的服务器及其端口：

以及对上述访问是否要做时间限制及行为审计等.

三、管控的过程控制

管控的工作流程包括“接入内部网络的外部接入系统网络"和“使用企业网络的外部开发人员”两部分,每部分有不同的处理方式和步骤。

对于接入内部网络的外部接入系统网络,过程控制可以分为以下四个步骤：

1.       申请:

对于要接入内部网络的外部接入系统局域网，需该项目负责人提出申请.申请表包含了该外部接入系统需要访问的服务器和端口.

2。

       审查：

使用网络区域的信息部门负责人批准。

3。

       批准：

企业信息中心负责人批准。

4。

       实施：

由当地信息部门的网络管理员开通相应的权限.

对于使用企业内部网络的外部开发人员的管理,可以分为五个步骤，具体为：

1.       申请:

每个要使用企业内部网络的外部开发人员必须提交上网申请表并签字.

2。

       证明：

申请人所在公司负责该项目的项目经理或项目负责人签字。

3.       担保：

该项目的甲方项目经理或负责人签字担保;担保人需承担对申请人作上网前安全培训的义务。

4.       批准：

使用网络区域的信息部门负责人批准.

5.       实施：

由当地信息部门的网络管理员开通相应的权限,并向申请人发放用户名和密码。

四、管控的技术和策略

最小的管控策略包含了对接入设备、接入过程和访问策略三个方面的控制。

接入设备通常是指开发用计算机和应用系统服务器。

首先，每个外部接入系统应该有一个独立的办公区域,保证计算机设备的安全。

项目开发实施单位都为开发工程师配备了笔记本电脑，但工程师通常也用来上网或收发邮件。

为了防止内部数据、程序代码及技术资料非法拷贝外泄,企业值得为每个外部接入系统配备专用的开发计算机。

开发计算机上应安装桌面及外设控制，关闭USB接口和光驱，避免内部数据的非法复制和外泄。

对于需要导入数据的操作，可以制定统一的数据录入策略:

在数据介质安全性检查通过后，由专用计算机导入开发系统。

此外,还可以通过建立域控制器提高管控的等级，为每个开发者建立域帐号，不仅可以提高开发用计算机的利用率,还可以实施更细致的接入控制策略。

当然，接入设备的健康检查仍然不可或缺.

接入过程的控制主要是防止未经许可的设备通过开发局域网接入企业内部网络。

为外部接入系统建设专用的局域网，使用独立的交换机。

每台开发用计算机和测试服务器的MAC、IP与接入交换机端口绑定,不同外部接入系统的连接端口设置成独立的VLAN。

每个VLAN采用不同于企业内部规划的IP地址段，这样不仅可以节约内部IP地址,而且避免外部人员了解企业内部的网络地址结构,也方便安全设备的策略设置。

对于VLAN内部或与其它外部接入系统互访的VLAN，可以在交换机设置访问策略。

所有外部开发用的局域网通过防火墙做NAT后接入企业内部网络.对于开发和测试服务器在企业数据中心的项目，在防火墙上针对允许访问的服务器的IP地址和端口设置访问控制策略,以防止访问权限的失控.

附:

外部系统接入申请表表样式：

外部系统接入申请表

系统名称

提供方

使用人员

接入原因

接入权限

接入时间

断开时间

确认人签字

4/4