3《中国石化网络安全设备管理规范》信系17号.docx

1、3中国石化网络安全设备管理规范信系17号中国石化网络安全设备管理规范V 1.12007年5 月16 日目 录1 目的 - 4 -2 范围 - 4 -3 术语 - 4 -4 管理员职责 - 4 -4.1 系统管理员职责 - 4 -4.2 信息安全管理员职责 - 5 -5 管理员账号和权限管理 - 5 -5.1 管理员账号 - 5 -5.2 系统管理员权限 - 5 -5.3 信息安全管理员权限 - 6 -5.4 管理员身份鉴别 - 6 -6 策略和部署管理 - 6 -6.1 制定安全策略 - 6 -6.2 安全设备统一部署 - 6 -6.2.1 安全网关类设备部署 - 6 -6.2.2 入侵检测类

2、设备部署 - 7 -6.2.3 漏洞扫描设备部署 - 7 -7 配置和变更管理 - 7 -7.1 配置和变更授权 - 7 -7.2 防火墙设备配置 - 7 -7.3 VPN设备配置 - 8 -7.4 代理服务器设备配置 - 8 -7.5 IP加密机设备配置 - 9 -7.6 入侵检测设备配置 - 9 -7.7 漏洞扫描设备配置 - 9 -8 运行维护管理 - 10 -8.1 安全设备的检测和维护 - 10 -8.2 安全设备的监视和记录 - 10 -8.3 安全设备配置备份和恢复 - 10 -8.4 安全设备的审计 - 10 -8.5 安全事件处理和报告 - 11 -8.6 漏洞扫描设备的专项

3、要求 - 11 -8.7 安全设备的维修 - 11 -9 安全数据管理 - 12 -9.1 安全设备的数据 - 12 -9.2 检测获得数据的管理 - 12 -9.3 审计获得数据的管理 - 12 -9.4 配置数据管理 - 12 -9.5 存储空间管理 - 12 -10 设备选型管理 - 13 -11 附则 - 13 -目的中国石化信息系统已覆盖全国范围的下属企业，成为中国石化系统生产、经营和管理提供信息化手段的根本，网络安全设备是保障中国石化信息系统安全运行的基础。为保障中国石化信息系统的安全、稳定运行，特制定本规范。范围本规范适用于中国石化股份公司统一建设的计算机网络内所有网络安全设备的

4、管理和运行。集团公司及集团公司所属部门和单位参照本规范执行。本规范中所指网络安全设备包括各种安全网关类设备（防火墙、VPN、代理服务器、IP加密机等）、入侵检测类设备、漏洞扫描类设备等。术语系统管理员系统管理员指对安全网关类设备、入侵检测类设备、漏洞扫描类设备等进行日常维护和管理的人员。信息安全管理员信息安全管理员指对安全网关类设备、入侵检测类设备、漏洞扫描类设备等进行日常维护工作的审计人员。管理员职责4.1 系统管理员职责系统管理员主要职责如下：1） 恪守职业道德，严守企业秘密，熟悉国家安全生产法以及有关信息安全管理的相关规程；2） 负责网络安全设备的安全策略部署、配置及变更管理，更新和维护

5、等日常工作；3） 对数据网络实行分级授权管理，按照岗位职责授予不同的管理级别和权限；4） 密切注意最新网络攻击行为的发生、发展情况，关注和追踪业界公布的攻击事件；5） 密切关注信息系统安全隐患，及时变更信息安全策略或升级安全设备。4.2 信息安全管理员职责信息安全管理员主要职责如下：1） 恪守职业道德，严守企业秘密，熟悉国家安全生产法以及有关信息安全管理的相关规程；2） 每周对系统管理员的登录和操作记录进行审计；3） 对系统管理员部署的安全策略、配置和变更内容进行审计；4） 密切注意最新漏洞的发生、发展情况，关注和追踪业界公布的漏洞疫情。管理员账号和权限管理管理员账号系统管理员和信息安全管理员

6、的用户账号应分开设置，其他人员不得设置账户。在安全设备上建立用户账号，需要经过本级信息部门安全主管的审批并保留审批记录。系统管理员权限系统管理员具有设置、修改安全设备策略配置，以及读取和分析检测数据的权限。信息安全管理员权限信息安全管理员具有读取安全设备审计日志信息，以及检查安全设备策略配置内容的权限。管理员身份鉴别管理员身份鉴别可以采用口令方式。应为用户级和特权级模式设置口令，不能使用缺省口令，确保用户级和特权级模式口令不同。安全设备口令长度应采用8位以上，由非纯数字或字母组成，并保证每季度至少更换一次。安全设备的身份鉴别，必要时可以采用数字证书方式。策略和部署管理制定安全策略安全设备系统管

7、理员应依据中国石化信息安全规划，结合实际需求，制定、配置具体网络安全设备的安全策略，并且进行规范化和文档化；安全设备的策略文档应妥善保存。对关键的安全设备要采用双机热备或冷备的方式进行部署以减小系统运行的风险。安全设备统一部署安全设备部署应依据中国石化的信息安全规划统一部署，保证安全设备的可用性。安全设备部署的具体实施须经信息管理部门的审批并保留审批记录。安全网关类设备部署安全网关类设备部署应根据网络安全域的划分情况进行正确部署，满足不同网络安全域之间访问控制的要求。入侵检测类设备部署入侵检测类设备的部署要根据网络和信息系统的安全需求，选择合理的检测节点，能够完整的检测到被保护网络的数据流量，

8、并能抓取含有足够信息的IP包，如：MAC地址、IP地址等。漏洞扫描设备部署漏洞扫描设备可采取离线或在线方式部署，部署前应进行漏洞扫描设备运行可能对系统影响的分析，避免对信息系统运行产生不良影响。配置和变更管理配置和变更授权网络安全设备的配置、变更应满足信息系统变更管理的要求，配置和变更前应充分评估对信息系统可能产生的影响，报信息管理部门审批、授权后执行，保留审批记录。防火墙设备配置防火墙设备配置操作规程要点如下：1） 记录网络环境，定义防火墙网络接口；2） 定义防火墙的网络对象和应用端口；3） 定义安全策略；4） 定义系统管理员和信息安全管理员权限；5） 测试防火墙性能；6） 编写和整理防火墙

9、设备配置文档和技术资料。VPN设备配置VPN设备配置操作规程要点如下：1） 环境配置，指网络环境的设置，VPN网关的控制台的设置；2） 设置VPN网关的各种网络参数特性，包括网络接口、透明网络、静态路由、ADSL用户设置、MODEM用户设置等；3） VPN设置，将证书导入VPN网关系统；进行SMC设置，对SMC进行身份认证并下载策略，加载加密算法；添加静态隧道，从SMC中下载与本机有信任关系的主机信息；设置与信任设备之间的隧道各项参数，定义虚拟路由，并进行客户端配置；4） 防火墙设置，包括进行包过滤规则设置和NAT规则设置；5） 服务器设置，包括VPN安全网关提供的DHCP服务器、拨号服务器、

10、L2tp服务器、设置拨号用户、DNS代理和SNMP代理等功能的话设置；6） 带宽管理，对流经网络接口的网络流量预先进行分配管理，保证用户对网络连接带宽的要求。带宽管理针对所有网络接口进行管理；7） 定义系统管理员和信息安全管理员权限；8） 测试VPN安全网关性能；9） 编写和整理VPN安全网关设备配置文档和技术资料。代理服务器设备配置代理服务器设备配置操作规程要点如下：1） 环境配置，指网络环境的设置，包括代理服务器对网络参数的设置；2） 代理服务器安全策略设置；3） 客户端的相关设置；4） 定义系统管理员和信息安全管理员权限；5） 性能参数测试，估测网络代理服务器吞吐量、延迟、并发连接数等；

11、6） 编写和整理代理服务器设备配置文档和技术资料。IP加密机设备配置IP加密机设备配置操作规程要点如下：1） 环境配置，指网络环境的设置，包括对密码机网络参数的设置；2） 配置各加密机的安全策略；3） 定义系统管理员和信息安全管理员权限；4） 安全协议通用性测试，通过各种高层应用程序的测试，验证安全协议对高层应用的通用性；5） 应用测试，包括网页浏览、文件传输、远程登录、邮件收发、视频播放；6） 性能参数测试，估测加密机的吞吐率；7） 编写和整理IP加密机设备配置文档和技术资料。入侵检测设备配置入侵检测设备配置操作规程要点如下：1） 记录当前网络环境，定义入侵检测接口；2） 安装引擎（包括事件

12、库）和管理软件；3） 定义入侵检测系统要保护的网络对象（网络或主机）；4） 定义检测策略，阻断级别和事件报警；5） 定义系统管理员和信息安全管理员权限；6） 编写和整理入侵检测设备配置文档和技术资料。漏洞扫描设备配置漏洞扫描设备配置操作规程要点如下：1） 记录网络环境，定义漏洞扫描的网络接口；2） 定义漏洞扫描的IP地址范围；3） 定义漏洞扫描的安全级别和扫描选项；4） 安装、升级最新的漏洞库；5） 定义系统管理员和信息安全管理员权限；6） 编写和整理漏洞扫描设备配置文档和技术资料。运行维护管理安全设备的检测和维护安全网关及入侵检测类设备定期检测和维护要求如下：1） 每月安装、更新厂家发布的设

13、备补丁程序，及时修补设备操作系统的漏洞；2） 每周审计一次日志报表；3） 一个月内至少重新启动一次安全网关及入侵检测类设备。安全设备的监视和记录安全网关及入侵检测类设备运行状况的监视和记录要求如下：1） 系统管理员应定期和不定期地检查设备的运行状况，及时查看日志，对异常情况的发生，及时上报，并保存记录；2） 对安全设备CPU和内存利用率、数据流量、地址翻译数量、报警次数等进行均时的监测、跟踪工作，每周形成报表。安全设备配置备份和恢复安全设备配置备份和恢复要求如下：1） 定期备份安全设备配置；2） 修改安全设备配置前应对现有配置进行备份，以便修改失败后可快速恢复；3） 跟踪软件及事件库的变更，确

14、保使用当前有效的软件及事件库。安全设备的审计信息安全管理员定期对网络安全设备的操作记录和内容本身进行审计，保证审计内容的完全性，保留审计记录。安全事件处理和报告防火墙设备发生宕机或入侵检测设备出现告警或工作不正常引起网络拥塞或网络瘫痪等安全事件时，系统管理员应立即启动紧急响应程序，保留相应记录。对网络进行紧急处理，堵塞攻击入口，恢复网络的正常运行，并追查攻击来源，及时上报，必要的情况下提交公安机关处理。漏洞扫描设备的专项要求1） 漏洞扫描设备工作时会对网络造成一定程度的影响，应避免在网络运行高峰期进行扫描，如有特殊情况应通知系统管理员；2） 对扫描结果进行分析和对扫描出的安全漏洞进行修补；3）

15、 漏洞扫描设备定期检测和维护要求（首次实施）。系统管理员对服务器和专用网络设备实施首次漏洞扫描。服务器和专用网络设备上线前，必须进行漏洞扫描，并保留记录；4） 漏洞扫描设备定期检测和维护要求（周期实施）。系统管理员对服务器和专用网络设备实施周期性漏洞扫描，并保留记录。安全设备的维修1） 安全设备的维修应防止安全设备配置信息的泄漏，送出外修应注意清除安全设备内部存储的安全配置；2） 不允许厂商或服务商通过因特网或其它方式远程登录进行安全设备的维护；3） 厂商或服务商进入现场维护安全设备，须指定专人全程陪同，维修完成后应进行安全检查。安全数据管理安全设备的数据网络安全设备的安全数据主要包括安全设备

16、对网络和系统检测得到的安全数据，对系统管理员操作的审计数据，对安全设备进行设置安全策略的配置数据，还有安全设备部署的网络逻辑图、安全策略等文档，应保证数据的完整性。检测获得数据的管理对于安全设备对网络和系统检测得到的安全数据，对系统管理员操作的审计数据，系统管理员和信息安全管理员应分别进行备份和保管；任何人不得进行修改，未经主管领导批准任何人不得删除。系统管理员定期分析安全设备对网络和系统检测得到的安全数据，发现漏洞或隐患应及时报告，并形成分析报告。审计获得数据的管理信息安全管理员应定期分析安全设备对系统管理员操作的审计数据，发现违规问题或隐患应及时报告，并形成分析报告。配置数据管理系统管理员

17、应及时对安全设备进行设置安全策略（规则）的配置数据进行备份和保存，对安全设备部署的网络逻辑图、安全策略等文档也应进行妥善保管。存储空间管理系统管理员应经常检查安全设备的存储空间，注意防止安全设备中对网络和系统检测得到的安全数据，以及对系统管理员操作的审计数据的丢失。设备选型管理网络安全设备（产品）的使用应符合国家的有关规定，尽量采用具有计算机信息系统安全专用产品销售许可证的信息安全产品，且具有中国信息安全产品测评认证中心认证的信息安全产品。密码设备选型应符合国家密码主管部门的有关要求，加密算法应得到国家密码主管部门的批准。附则本规范由中国石化股份公司信息系统管理部统一解释。本规范自正式发布之日起执行。