设备日常维护制度.docx
《设备日常维护制度.docx》由会员分享,可在线阅读,更多相关《设备日常维护制度.docx(7页珍藏版)》请在冰豆网上搜索。
设备日常维护制度
《XXXX安全管理制度汇编》
网络设备日常维护制度
文件名称
网络设备日常维护制度
密级
内部
文件编号
版本号
V1.0
编写部门
XXX部门
编写人
审批人
发布时间
编制说明
为进一步贯彻党中央和国务院批准的《国家信息化领导小组关于加强信息安全保障工作的意见》及其“重点保护基础信息网络和重要信息系统安全”的思想、贯彻信息产业部“积极预防、及时发现、快速反应、确保恢复”的方针和“同步规划、同步建设、同步运行”的要求,特制定本制度。
本制度依据我国信息安全的有关法律法规,结合XXXX的自身业务特点、并参考国际有关信息安全标准制定的。
第一章
总则
第一条制度目标:
建立网络设备的安全管理规定,并以此规定为指导,审视XXXX生产环境的网络设备的安全性,降低网络系统存在的安全风险,确保网络系统安全可靠地运行。
第二条适用范围:
本制度适用于XXXX网络环境运行的网络设备(路由器、交换机等)。
第二章原则
第三条网络设备的登录口令必须足够强壮难以被破译。
第四条网络设备的当前配置文件必须在主机上有备份文件。
第五条网络设备的拓扑结构、IP地址等信息在一定范围内保密。
第六条每季度检查网络设备的日志,及时发现攻击行为。
第七条网络设备的软件版本应该统一升级到较新版本。
第八条网络设备的远程登录操作应限制在指定网段范围内。
第九条网络设备的MIB库设置读/写密码且访问限定在指定网段范围内。
第十条网络设备的安装、配置、变更、撤销等操作必须严格走流程。
第三章安全管理规定
第十一条要求对网络设备的登录采用分级用户的保护机制,不同的个人用户必须采用不同的用户名和口令登录,并且拥有不同的权限级别。
不同用户的登录操作在设备日志文件上均有记录,便于追查问题。
第十二条网络设备的直接责任人拥有超级用户权限,其他网络管理员按照工作需求拥有相应的用户权限.网络管理员不得私开用户权限给其他人员。
第十三条用户的口令尤其是超级用户的口令必须足够强壮难以被破译,这是保证设备安全性的基本条件。
口令的设置应该满足规定的标准:
(一)口令长度不得少于8位,必须同时包含字母和数字;
(二)口令中不要使用常用单词、英文简称、个人信息等;
(三)不要将口令写在纸上或存在电脑上;
(四)至少每季度要改变一次口令;
(五)在配置文件中对口令进行隐藏设置;
(六)选择口令尽可能做到自己好记别人难猜。
第十四条配置文件存储着网络设备的所有配置信息。
网络设备中的运行配置文件和启动配置文件应该随时保持一致。
第十五条通过TFTP或FTP的方式可以将设备的配置文件下载到本地主机上作备份文件以防不测,在设备配置文件损坏时可再通过TFTP或FTP的方式从本地主机上载到设备的FLASH中恢复备份的配置文件。
第十六条在配置文件中加入适当的注释语句,便于其他人的理解。
第十七条网络设备的拓扑结构、IP地址等信息文档属于部门的机密信息,应该在一定范围内予以保密。
第十八条网络设备通常可以设置日志功能,日志可以直接登录到设备上查看,也可以设置将日志发送到某台指定的UNIX主机上查看。
日志中具体包含的内容可以在命令行配置方式下设定。
第十九条在日志文件中可以查看到曾经登录过该设备的用户名、时间和所作的命令操作等详细信息,为发现潜在攻击者的不良行为提供有力依据。
第二十条网络管理员必须每季度查看所管设备的日志文件,发现异常情况要及时处理和报告上级主管领导,尽早消除信息安全隐患。
第二十一条网络设备的软件版本(IOS或VRP等)较低可能会带来安全性和稳定性方面的隐患,因此要求在设备的FLASH容量的情况下统一升级到较新的版本。
必要情况下可升级设备的FLASH容量。
第二十二条网络设备一般都具有允许远程登录的功能,远程登录给网络管理员带来很多方便,但同时也带来一定的网络安全隐患。
第二十三条通常在网络设备上可以设置相应的ACL限定可远程登录的主机在指定网段范围内,拒绝部分潜在的攻击者,保证网络安全。
第二十四条网络设备一般采用SNMP协议提供网络管理功能,MIB库中包含了网络管理相关的所有信息。
第二十五条MIB库的读/写密码必须设定为非缺省值,防止其中的信息被潜在攻击者获取,威胁网络安全。
同时,允许对MIB库进行读/写操作的主机也可通过ACL设置限定在指定网段范围内。
第二十六条网络设备的安装、配置、变更、撤销等操作必须严格走相应的流程进行不能由网络管理员独自进行,以使生产环境的网络设备随时处于可控状态。
第二十七条对网络设备的变更全过程进行严密的控制,在流程中明确规定对网络设备执行一项变更操作必须经过相关的技术评审,有主管领导审批,具备变更操作指导书等条件后才能具体实施,变更实施完成后要进行测试,这样才能将变更过程中可能带来的风险减小到最低限度。
第二十八条网络安全管理员根据网络安全的需要向安全管理机构提出网络设备系统升级或者补丁程序安装建议。
第二十九条在安全管理机构同意网络设备系统升级或者补丁程序安装建议后,在安全管理员配合网络管理员完成详细的升级(修改)目标、内容、方式、步骤和应急操作方案,报上级主管部门审核批准。
第三十条上级主管部门审核批准后进行网络设备的系统升级或者补丁程序安装,采用双人操作,由安全管理员监督,网络管理员进行实际操作,并在升级(修补)前后必须由网络管理员完成相应的备份工作。
第三十一条网络管理员负责对网络设备系统升级(修补)过程进行记录备案。
第三十二条在升级(修补)后由安全管理员对网络设备进行安全扫描检测。
第三十三条启用对远程登录用户的IP地址校验功能,保证用户只能从特定的IP设备上远程登录路由器进行操作。
第三十四条启用对远程登录用户的IP地址校验功能,保证用户只能从特定的IP设备上远程登录交换机进行操作。
第三十五条启用对用户口令的加密功能,使本地保存的用户口令进行加密存放,防止用户口令泄密。
第三十六条对于使用SNMP进行网络管理的路由器必须使用SNMPV2以上版本,并启用MD5等校验功能。
第三十七条在每次配置等操作完成或者临时离开配置终端时必须退出系统。
第三十八条设置控制口和远程登录口的idletimeout时间,让控制口或远程登录口在空闲一定时间后自动断开。
第三十九条一般情况下关闭路由器的Web配置服务,如果实在需要,应该临时开放,并在做完配置后立刻关闭。
第四十条关闭路由器上不需要开放的服务,如Finger、NTP、Echo、Discard、Daytime、Chargen等。
第四十一条在路由器上禁止IP的直接广播。
第四十二条在路由器上禁止IP源路由和ICMP重定向,保证网络路径的完整性。
第四十三条在接入层路由器启用对网络逻辑错误数据包的过滤功能。
第四十四条在路由器上采用的路由协议如果具备对路由信息的认证,必须启用该功能。
第四十五条对于接入层交换机,应该采用VLAN技术进行安全的隔离控制,根据业务的需求将交换机的端口划分为不同的VLAN。
第四十六条在接入层交换机中,对于不需要用来进行第三层连接的端口,应该设置使其属于相应的VLAN,必要时可以将所有尚未使用的空闲交换机端口设置为“Disable”,防止空闲的交换机端口被非法使用。
第四十七条对于提供第三层交换的交换机,对于交换机中的路由模块,必须参照第七条进行设置。
第四十八条在防火墙控制准则的设置上应该采用“禁止除非被明确允许”的原则。
第四十九条通过合理的配置使得拨号用户首先必须通过防火墙系统的认证。
第五十条在业务、网络或者系统发生变化时根据安全控制策略的变化对防火墙的安全控制准则重新进行设置,保证安全控制准则和网络安全访问控制策略保持一致。
第五十一条对于提供远程配置的防火墙,必须对配置终端的IP地址做限制。
第五十二条开启防火墙系统的日志功能。
第五十三条对防火墙系统不同的管理员设置相应的账号,并开启防火墙系统对管理员操作的记录和审计功能。
第五十四条如果防火墙系统提供了对逻辑错误数据包的过滤功能,必须开启该功能,防止IP地址欺骗。
第五十五条如果防火墙系统提供了入侵检测功能,必须开启该功能,并在发现网络入侵时发出告警。
第四章安全管理机构职责
第五十六条制订网络设备用户账号的管理制度,对各个网络设备上拥有用户账号的人员、权限以及账号认证和管理的方式做明确的规定。
对于重要网络设备建议使用RADIUS或者TACACS+的方式实现对用户的集中管理,本办法的重要网络设备指的是生产网络中的各种路由器、交换机、接入服务器等设备。
第五十七条制订网络设备用户账号口令的管理制度,要求网络设备用户账号的口令在设置和保存是必须符合口令保密性要求。
一般要求网络设备用户账号的长度在8位以上,并且必须包含大小写字母、数字以及其他字符。
对于重要网络设备,要求每季度进行口令的更换。
有条件的可以考虑使用一次性口令设备。
第五十八条制订网络设备日志的管理制度,对于日志功能的启用、日志记录的内容、日志的管理形式、日志的审查分析做明确的规定。
对于重要网络设备,建议建立集中的日志管理服务器,实现对重要网络设备日志的统一管理,以利于安全管理员对于日志的审查分析。
第五十九条对安全管理员进行网络设备网络安全扫描的周期和时间做出规定。
对于重要的网络设备,要求每个月做一次全面的网络安全扫描,并且为了防止网络安全扫描对网络性能造成影响,应根据业务的实际情况对扫描时间做出规定,一般安排在非业务繁忙时段。
第五章安全管理员职责
第六十条监督网络安全管理机构制订的网络设备用户账号的管理制度的实行,对于使用RADIUS或者TACACS+的方式实现对用户的集中管理,安全管理员每个月应该对RADIUS或者TACACS+服务器上的用户账号进行审查,在发现有可疑的用户账号时向网络管理员进行核实并采取相应的措施。
第六十一条根据安全管理机构规定的周期和时间,对网络设备进行全面网络安全扫描,发现安全网络设备上存在的异常开放的网络服务或者开放的网络服务存在安全漏洞时及时通知网络管理员采取相应的措施。
第六十二条对于重要的网络设备,每两周对日志做一次全面的分析,对登录的用户、登录时间、所做的配置和操作做检查,在分析有异常的现象时及时向网络管理员进行核实并采取相应的措施。
第六十三条必须每季度查看网络安全站点的安全公告,跟踪和研究各种网络安全漏洞和攻击手段,在发现可能影响网络设备安全的安全漏洞和攻击手段时,及时做出相应的对策,通知并指导同级网络管理员进行安全防范的同时,通知下面各级安全管理员,由各级安全管理员指导相应的网络管理员进行安全防范。
第六十四条必须跟踪网络设备中使用的操作系统最新版本和安全补丁程序的发布情况,在发现有新版本或者安全补丁出现发布时,通知下面各级安全管理员,并按照本办法第二十六条的处理流程处理。
第六十五条根据业务保护要求,提出防火墙系统的部署方案,并制订相应的网络安全访问控制策略。
第六十六条负责防火墙系统的日常维护工作,并根据网络安全访问控制策略,拟定相应的防火墙安全控制准则,并对安全控制准则和访问控制策略的一致性进行校验。
第六章网络管理员职责
第六十七条负责所管理网络设备的用户账号管理,为不同的用户建立相应的账号,根据对网络设备安装、配置、升级和管理的需要为用户设置相应的级别,并对各个级别用户能够使用的命令进行限制。
同时对网络设备中所有用户账号进行登记备案。
第六十八条负责自己在网络设备上所拥有用户账号和口令的保密工作,不得将自己所拥有的用户账号转借给他人使用。
同时遵守网络安全管理机构制订的网络设备用户账号口令管理制度,在用户账号口令的设置上符合保密性要求,并每季度修改口令。
第六十九条一般情况下不允许外部人员直接进入网络设备进行操作。
在特殊情况下(如系统维修、升级等)情况下外部人员需要进入网络设备进行操作,必须由网络管理员进行登录,并对操作过程进行记录并备案,禁止将系统用户账号及口令直接交给外部人员。
第七十条对所管理的网络设备所安装的操作系统进行登记,登记记录上应该标明厂家、操作系统版本、已安装的补丁程序号、安装和升级的时间等内容。
第七十一条对网络设备的登录提示重新进行设置,防止网络设备在用户登录提示信息中出现系统的有关信息,必要时在用户登录提示中还可以对攻击尝试提出警告。
第七十二条在所管理网络设备上发现可能与网络安全有关的可疑现象时及时向安全管理员报告,并协助安全管理员进行问题的诊断。
第七十三条会同安全管理员对网络设备上的安全事件进行排除和修复。
第七十四条在网络设备正常的系统升级后,将升级的情况报安全管理员备案,并由安全管理员对网络设备进行网络安全扫描检测。
第七十五条对于与网络安全问题有关的由安全管理员发起的对于网络设备的系统升级,按照本办法第二十六条处理。
第七章普通用户职责
第七十六条负责本人所拥有个人用网络设备(例如调制解调器)的安全管理。
第七十七条负责本人在网络设备上所拥有的用户账号和口令(例如防火墙系统的用户和账号)的安全管理,禁止将用户账号转借他人使用。
第七十八条负责监控设备及系统运行状态。
第八章
附则
第一节文挡信息
第七十九条本制度由业务科技处制定,并负责解释和修订。
由信息安全工作组讨论通过,发布执行。
第八十条本制度自发布之日起执行。
版本控制
第八十一条对本制度所有修改及审批、发布都按时间顺序记录在此。
版本
日期
修改内容
修改人
审批人
V1.0
文档定稿
其他信息
第八十二条本制度中所称的人员角色职责由各部门人员分别担任,可能现有岗位的职工在不同时期所担任的角色不同,甚至身兼多种角色,这种情况下该职工应该履行所兼每种角色的安全职责。
第八十三条《XXXX安全管理制度汇编》定义了信息安全体系的整体结构、安全组织及各角色岗位的职责、以及覆盖各项安全内容的安全管理制度。
所有职工均应把《XXXX安全管理制度汇编》的规定作为信息安全工作的基本要求,其内容一经颁布将在一定时间内长期有效,其涉及的所有部门或个人均需对其负责。
升级会员 