3《中国石化网络安全设备管理规范》(信系[2007]17号)
石油公司网络安全管理制度
一、总则为加强石油公司网络安全管理,保障公司信息系统安全稳定运行,维护国家能源安全和社会稳定,根据《中华人民共和国网络安全法》等相关法律法规,结合公司实际情况,制定本制度。
二、适用范围本制度适用于公司所有信息系统、网络设备、网络设施、数据及信息安全相关的活动。
三、组织机构及职责1. 公司成立网络安全领导小组,负责公司网络安全工作的统筹规划、组织协调和监督检查。
2. 信息安全管理部门负责具体实施网络安全管理工作,包括但不限于以下职责:(1)制定公司网络安全管理制度、规范和操作流程;(2)组织开展网络安全培训和宣传教育;(3)监测、分析网络安全威胁和风险,提出应对措施;(4)监督、检查网络安全防护措施落实情况;(5)组织网络安全应急响应,处理网络安全事件。
3. 各部门、单位应按照职责分工,落实网络安全管理工作。
四、网络安全管理制度1. 网络安全策略(1)公司应制定网络安全策略,明确网络安全目标、原则和基本要求;(2)网络安全策略应涵盖网络设备、系统、数据、应用等方面;(3)网络安全策略应根据国家法律法规、行业标准和技术发展趋势进行动态调整。
2. 网络设备管理(1)公司应使用符合国家标准、行业标准的网络设备,并定期进行检测、维护和更新;(2)网络设备应设置合理的访问控制策略,防止未授权访问;(3)网络设备应配置防火墙、入侵检测系统等安全防护措施。
3. 系统安全管理(1)公司应使用正版操作系统、数据库和办公软件,并定期更新补丁;(2)公司应加强对系统管理员的管理,严格控制系统管理员权限;(3)公司应定期进行系统安全检查,及时修复漏洞。
4. 数据安全管理(1)公司应建立数据分类分级制度,明确数据安全保护等级;(2)公司应采取数据加密、访问控制、备份等措施,确保数据安全;(3)公司应加强数据安全管理,防止数据泄露、篡改和丢失。
5. 应急响应(1)公司应建立网络安全事件应急预案,明确事件处理流程、职责分工和应急响应措施;(2)公司应定期开展应急演练,提高应急响应能力;(3)公司应按照应急预案要求,及时、有效地处理网络安全事件。
中国石化集团信息系统安全等级保护评估和检查细则
中国石化集团信息系统安全等级保护评估和检查细则信息系统管理部编制××××-××-××发布××××-××-××实施目次目次 (1)1.范围 (4)2.规范性引用文件 (4)3.术语和定义 (4)3.1.工作单元 (4)3.2.评估和检查强度 (4)4.总则 (4)4.1.评估和检查原则 (4)4.2.评估和检查内容 (5)5.Ⅰ级安全评估和检查 (6)5.1.信息安全管理评估和检查 (6)5.1.1.安全管理机构 (6)5.1.2.安全管理制度 (6)5.1.3.人员安全管理 (7)5.1.4.系统建设管理 (8)5.1.5.系统运行维护管理 (10)5.2.信息安全技术评估和检查 (13)5.2.1.物理安全 (13)5.2.2.网络安全 (14)5.2.3.主机安全 (15)5.2.4.应用安全 (17)5.2.5.数据安全及备份恢复 (18)6.ⅡA级安全评估和检查 (20)6.1.信息安全管理评估和检查 (20)6.1.1.安全管理机构 (20)6.1.2.安全管理制度 (22)6.1.3.人员安全管理 (22)6.1.4.系统建设管理 (25)6.1.5.系统运行维护管理 (27)6.2.信息安全技术评估和检查 (32)6.2.1.物理安全 (32)6.2.2.网络安全 (36)6.2.3.主机安全 (39)6.2.4.应用安全 (42)6.2.5.数据安全及备份恢复 (45)7.ⅡB级安全评估和检查 (47)7.1.信息安全管理评估和检查 (47)7.1.1.安全管理机构 (47)7.1.2.安全管理制度 (50)7.1.3.人员安全管理 (50)7.1.4.系统建设管理 (53)7.1.5.系统运行维护管理 (55)7.2.信息安全技术评估和检查 (60)7.2.1.物理安全 (60)7.2.2.网络安全 (63)7.2.3.主机安全 (67)7.2.4.应用安全 (69)7.2.5.数据安全及备份恢复 (72)8.ⅢA级安全评估和检查 (75)8.1.信息安全管理评估和检查 (75)8.1.1.安全管理机构 (75)8.1.2.安全管理制度 (78)8.1.3.人员安全管理 (79)8.1.4.系统建设管理 (81)8.1.5.系统运行维护管理 (84)8.2.信息安全技术评估和检查 (91)8.2.1.物理安全 (91)8.2.2.网络安全 (95)8.2.3.主机安全 (98)8.2.4.应用安全 (102)8.2.5.数据安全及备份恢复 (107)9.ⅢB级安全评估和检查 (108)9.1.信息安全管理评估和检查 (108)9.1.1.安全管理机构 (108)9.1.2.安全管理制度 (112)9.1.3.人员安全管理 (113)9.1.4.系统建设管理 (116)9.1.5.系统运行维护管理 (120)9.2.信息安全技术评估和检查 (127)9.2.1.物理安全 (127)9.2.2.网络安全 (132)9.2.3.主机安全 (137)9.2.4.应用安全 (144)9.2.5.数据安全及备份恢复 (150)10.Ⅳ级安全评估和检查 (153)10.1.信息安全管理评估和检查 (153)10.1.1.安全管理机构 (153)10.1.2.安全管理制度 (157)10.1.3.人员安全管理 (158)10.1.4.系统建设管理 (162)10.1.5.系统运行维护管理 (168)10.2.信息安全技术评估和检查 (177)10.2.1.物理安全 (177)10.2.2.网络安全 (185)10.2.3.主机安全 (191)10.2.4.应用安全 (201)10.2.5.数据安全及备份恢复 (210)引言根据《中国石化集团信息系统安全等级保护基本要求》,为推动中国石化信息系统安全等级保护工作的开展,结合国家信息系统安全等级保护检查细则的相关要求,修订本细则。
石化_网络安全管理制度
第一章总则第一条为加强石化行业网络安全管理,保障网络安全,维护国家安全和社会公共利益,根据《中华人民共和国网络安全法》、《中华人民共和国计算机信息网络国际联网安全保护管理办法》等法律法规,结合我单位实际情况,制定本制度。
第二条本制度适用于我单位所有涉及网络安全的工作,包括但不限于网络安全规划、建设、运维、监测、应急处置等。
第三条本制度遵循以下原则:(一)依法合规:严格遵守国家法律法规和行业标准,确保网络安全管理工作合法、合规。
(二)安全优先:将网络安全放在首位,确保网络安全事件得到及时发现、处置。
(三)预防为主:加强网络安全防护,从源头上防范网络安全风险。
(四)责任到人:明确网络安全责任,确保网络安全管理工作落实到位。
第二章组织机构与职责第四条成立网络安全领导小组,负责网络安全工作的统筹规划、组织协调和监督检查。
第五条网络安全领导小组下设网络安全办公室,负责网络安全工作的具体实施。
第六条网络安全办公室主要职责:(一)组织制定网络安全管理制度和操作规程,并组织实施。
(二)负责网络安全技术防护措施的落实。
(三)负责网络安全事件的监测、预警、处置和报告。
(四)负责网络安全培训和宣传。
(五)负责网络安全信息收集、分析和报告。
第三章网络安全规划与建设第七条制定网络安全规划,明确网络安全建设目标和任务。
第八条建立网络安全防护体系,包括网络安全基础设施、网络安全技术、网络安全管理制度等方面。
第九条网络安全基础设施应满足以下要求:(一)满足业务需求,保障业务连续性。
(二)符合国家网络安全标准,具有较高安全性能。
(三)易于维护和管理。
第十条网络安全技术应包括:(一)入侵检测和防御技术。
(二)漏洞扫描和修复技术。
(三)数据加密和完整性保护技术。
(四)安全审计和监控技术。
第四章网络安全运维与管理第十一条建立网络安全运维管理制度,明确运维流程和职责。
第十二条定期进行网络安全检查,发现安全隐患及时整改。
第十三条加强网络安全设备、系统、应用等运维管理,确保其正常运行。
网络设备使用、管理规定.doc
某某石油管理局企业标准网络设备使用、管理规定1总则为保证某某油田网络的正常运行,根据《中华人民共和国信息安全管理条例》等国家规定,制定某某油田管理局《网络设备使用管理规范》,本规范适用于某某油田管理局网络使用和管理人员。
2适用范围本规范适用于某某油田管理局及下属单位配置的网络设备的购置、使用、维修、储存等方面。
3规范解释权某某油田管理局信息安全管理中心对本规范拥有解释权。
4网络设备的管理4.1设备的购置管理4.1.1设备的选型1)严禁使用未经国家质量认证的网络产品。
2)尽量采用我国自主开发研制的网络技术和设备。
3)涉及网络安全的网络产品(如:防火墙,路由器,交换机等等),必须使用经过国家信息安全质量认证的产品。
4)严禁直接采用境外密码设备。
5)必须采用境外安全产品时,该产品必须经过国家信息安全测评机构的认可。
6)对一般网络设备的选型须遵守以下注意事项:确保网络具有良好的可扩充性,系统易于升级;确保网络具有开放性,支持异种网络互联;确保所选的网管系统,具有数据流量分析、系统故障及运行状态检测和虚拟网络管理功能;确保网络的安全性和保密性4.1.2设备监测设备符合系统选型并获得批准后,方可购置。
凡购回的设备应在测试环境下经过连续72小时以上的单机运行和48小时的应用系统兼容性运行测试。
通过测试后,设备才能进入时运行阶段。
时间长短根据需要自行确定。
通过试运行的设备,才能正式运行。
4.1.3设备登记对所有设备必须建立项目齐全。
管理严格的购置、移交、使用、维护、维修、报废等登记制度,并认真做好登记及检查工作,保证设备管理工作正规化。
4.2设备使用管理4.2.1机房设备各种连接线较多,电源管理应科学、合理,保持电脑和各种外设处于最佳状态。
4.2.2主服务器如Web、Mail、WWW、DNS等服务器,其中设置参数不得随意再修改,如果不是特殊情况,不要随意关闭服务器。
4.2.3防火墙,交换机,HUB,路由器等按规定配置,一旦配置成功,不得随意修改。
3《中国石化网络安全设备管理规范》(信系[2007]17号)
![3《中国石化网络安全设备管理规范》(信系[2007]17号)](https://img.taocdn.com/s3/m/de1aba240722192e4536f614.png)
本文由CAPFyn贡献doc文档可能在WAP端浏览体验不佳。
建议您优先选择TXT,或下载源文件到本机查看。
中国石化网络安全设备管理规范网络安全设备管理规范管理V 1.12007 年 5 月 16 日- 1 -目1 2 3 4录目的…… - 4 目的范围…… - 4 范围术语…… - 4 术语管理员职责…… - 4 4.14.2 系统管理员职责……- 4 信息安全管理员职责……- 5 -5管理员账号和权限管理…… - 5 5.1 5.2 5.3 5.4 管理员账号……- 5 系统管理员权限……- 5 信息安全管理员权限……- 6 管理员身份鉴别……- 6 -6策略和部署管理…… - 6 6.1 6.2 制定安全策略……- 6 安全设备统一部署……- 6 -6.2.1 6.2.2 6.2.37 7.1 7.2 7.3 7.4 7.5 7.6 7.7 8 8.1 8.2 8.3 8.4 8.5 8.6 8.7 9 9.1 9.2 9.3安全网关类设备部署…… - 6 入侵检测类设备部署…… - 7 漏洞扫描设备部署……- 7 -配置和变更管理…… - 7 配置和变更授权……- 7 防火墙设备配置……- 7 VPN 设备配置……- 8 代理服务器设备配置……- 8 IP 加密机设备配置……- 9 入侵检测设备配置……- 9 漏洞扫描设备配置……- 9 运行维护管理…… - 10 安全设备的检测和维护…… - 10 安全设备的监视和记录…… - 10 安全设备配置备份和恢复…… - 10 安全设备的审计…… - 10 安全事件处理和报告…… - 11 漏洞扫描设备的专项要求…… - 11 安全设备的维修…… - 11 安全数据管理…… - 12 安全设备的数据…… - 12 检测获得数据的管理…… - 12 审计获得数据的管理…… - 12 -- 2 -9.4 9.5 10 11配置数据管理…… - 12 存储空间管理…… - 12 设备选型管理…… - 13 附则…… - 13 -- 3 -1 目的中国石化信息系统已覆盖全国范围的下属企业,成为中国石化系统生产、经营和管理提供信息化手段的根本,网络安全设备是保障中国石化信息系统安全运行的基础。
中国石化信息安全标准与流程总则
中国石化信息安全标准与流程总则V 1.02006年5月10日文档控制版本控制目录第1章. 概述 (1)1.1. 目的 (1)1.2. 适用范围 (1)1.3. 实施 (1)1.4. 检查和评估 (1)第2章. 信息安全政策标准体系结构 (2)2.1. 第一层:中国石化信息安全策略 (4)2.2. 第二层:中国石化安全规范和标准 (4)2.3. 第三层:中国石化安全操作手册、流程和细则 (7)第1章.概述1.1. 目的中国石化针对信息安全制定了一系列由概括到具体的政策,规范和操作手册,这些文件组成了中国石化信息安全政策标准体系。
本文件是针对该政策标准体系的全面描述。
本文件可以作为政策和标准体系中所有文件的索引和入口,以帮助相关人员全面地了解信息安全政策标准体系的组成。
1.2. 适用范围本总则在中国石化范围内发布,面向所有中国石化的员工。
1.3. 实施所有中国石化总部和下属企业的负责人和安全人员需要理解此文档描述的信息安全政策标准体系,根据本企业范围内的现实情况,制定具体可行的实施计划,确保符合此文档所描述的信息安全体系的要求。
集团公司信息安全负责部门将根据此体系的要求检查各企业的落实情况。
1.4. 检查和评估由集团公司信息安全负责部门根据经营活动的需要,每年检查和评估本文档,并做出适当更新。
如果在风险评估过程和突发事件处理过程中,发现对本文档变更要求,也需要进行检查。
任何变更草案将由集团公司信息安全负责部门审核批准,并由权威人士审阅。
各企业负责人有责任与其下属的组织和员工沟通变更的内容。
第2章.信息安全政策标准体系结构中国石化的安全政策标准体系包括安全策略、安全标准规范、安全操作流程和细则,涉及管理要素和技术要素,覆盖信息化系统的物理层、网络层、系统层、应用层等各个层面。
中国石化的安全政策标准体系可以分为三层架构,包括安全策略、安全规范、安全操作流程和细则。
如下图所示。
图中国石化安全政策标准体系结构2.1. 第一层:中国石化信息安全策略信息安全策略是在高层面上为企业安全提出方向和要求,体现管理层对安全的支持和对安全的期望。
中国石化windows服务器系统安全配置指南
中国石化Windows服务器系统安全配置指南V2007年05 月16 日目录1概述............................................................................................................................................. - 3 -1.1适用范围 (3)1.2实施 (3)1.3例外条款 (3)1.4检查和维护 (3)2适用版本..................................................................................................................................... - 4 -3用户账号控制............................................................................................................................. - 4 -3.1密码策略 (4)3.2复杂性要求 (4)3.3账户锁定策略 (5)3.4内置默认账户安全 (5)3.5安全选项策略 (6)4注册表安全配置......................................................................................................................... - 8 -4.1注册表访问授权 (8)4.2禁止匿名访问注册表 (9)4.3针对网络攻击的安全考虑事项 (9)4.4禁用格式文件名的自动生成 (10)4.5禁用L MHASH 创建 (10)4.6配置NTLMSSP安全 (11)4.7禁用自动运行功能 (11)4.8附加的注册表安全配置 (11)5服务管理................................................................................................................................... - 12 -5.1成员服务器 (12)5.2域控制器 (13)6文件/目录控制 ......................................................................................................................... - 14 -6.1目录保护 (14)6.2文件保护 (15)7服务器操作系统补丁管理....................................................................................................... - 19 -7.1确定修补程序当前版本状态 (19)7.2部署修补程序 (19)8系统审计日志........................................................................................................................... - 19 -9其它配置安全........................................................................................................................... - 20 -9.1确保所有的磁盘卷使用NTFS文件系统 (20)9.2系统启动设置 (20)9.3屏幕保护设置 (20)9.4远程管理访问要求 (21)1概述本规范规定了中国石化范围内安装有Windows操作系统的主机应当遵循的操作系统安全性设置标准,旨在指导系统管理人员进行Windows操作系统的安全配置。
加油站网络数据安全管理制度
第一章总则第一条为确保加油站网络数据安全,防止数据泄露、篡改、损坏等安全事件的发生,保障加油站业务运营的稳定和安全,特制定本制度。
第二条本制度适用于加油站所有网络数据,包括但不限于客户信息、加油记录、财务数据、设备运行数据等。
第三条加油站网络数据安全管理工作遵循以下原则:1. 预防为主,防治结合;2. 安全与发展并重;3. 依法合规,保障权益。
第二章组织与管理第四条加油站成立网络数据安全管理小组,负责制定、实施、监督和检查本制度。
第五条网络数据安全管理小组职责:1. 制定和完善加油站网络数据安全管理制度;2. 监督和检查加油站网络数据安全工作;3. 定期组织网络安全培训和应急演练;4. 及时处理网络数据安全事件。
第三章数据安全措施第六条数据分类分级1. 加油站数据分为一般数据和重要数据,重要数据需进行加密处理;2. 对客户信息、加油记录、财务数据等敏感数据进行严格保密。
第七条数据访问控制1. 严格控制数据访问权限,仅限于授权人员;2. 实施最小权限原则,确保访问者只能访问其工作职责范围内的数据。
第八条数据传输安全1. 采取加密传输方式,确保数据在传输过程中的安全;2. 定期检查网络传输设备,确保设备安全可靠。
第九条数据存储安全1. 采用安全的存储设备,定期进行数据备份;2. 对重要数据进行加密存储,防止数据泄露。
第十条病毒防护1. 定期对加油站网络进行病毒扫描和清除;2. 及时更新病毒库,确保病毒防护能力。
第四章应急处理第十一条网络数据安全事件应急处理流程:1. 发现网络数据安全事件,立即报告网络数据安全管理小组;2. 网络数据安全管理小组迅速启动应急预案,采取措施控制事态;3. 分析事件原因,采取补救措施,恢复数据安全;4. 对事件进行调查,总结经验教训,完善安全管理制度。
第五章奖励与惩罚第十二条对在加油站网络数据安全工作中表现突出的个人和部门给予表彰和奖励。
第十三条对违反本制度,造成数据安全事件的个人和部门,依据情节轻重,给予通报批评、经济处罚等处分。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
3《中国石化网络安全设备管理规范》(信系[2007]17号).txt30生命的美丽,永远展现在她的进取之中;就像大树的美丽,是展现在它负势向上高耸入云的蓬勃生机中;像雄鹰的美丽,是展现在它搏风击雨如苍天之魂的翱翔中;像江河的美丽,是展现在它波涛汹涌一泻千里的奔流中。
本文由CAPFyn贡献doc文档可能在WAP端浏览体验不佳。
建议您优先选择TXT,或下载源文件到本机查看。
中国石化网络安全设备管理规范网络安全设备管理规范管理V 1.12007 年 5 月 16 日- 1 -目1 2 3 4录目的…… - 4 目的范围…… - 4 范围术语…… - 4 术语管理员职责…… - 4 4.14.2 系统管理员职责……- 4 信息安全管理员职责……- 5 -5管理员账号和权限管理…… - 5 5.1 5.2 5.3 5.4 管理员账号……- 5 系统管理员权限……- 5 信息安全管理员权限……- 6 管理员身份鉴别……- 6 -6策略和部署管理…… - 6 6.1 6.2 制定安全策略……- 6 安全设备统一部署……- 6 -6.2.1 6.2.2 6.2.37 7.1 7.2 7.3 7.4 7.5 7.6 7.7 8 8.1 8.2 8.3 8.4 8.5 8.6 8.7 9 9.1 9.2 9.3安全网关类设备部署…… - 6 入侵检测类设备部署…… - 7 漏洞扫描设备部署……- 7 -配置和变更管理…… - 7 配置和变更授权……- 7 防火墙设备配置……- 7 VPN 设备配置……- 8 代理服务器设备配置……- 8 IP 加密机设备配置……- 9 入侵检测设备配置……- 9 漏洞扫描设备配置……- 9 运行维护管理…… - 10 安全设备的检测和维护…… - 10 安全设备的监视和记录…… - 10 安全设备配置备份和恢复…… - 10 安全设备的审计…… - 10 安全事件处理和报告…… - 11 漏洞扫描设备的专项要求…… - 11 安全设备的维修…… - 11 安全数据管理…… - 12 安全设备的数据…… - 12 检测获得数据的管理…… - 12 审计获得数据的管理…… - 12 -- 2 -9.4 9.5 10 11配置数据管理…… - 12 存储空间管理…… - 12 设备选型管理…… - 13 附则…… - 13 -- 3 -1 目的中国石化信息系统已覆盖全国范围的下属企业,成为中国石化系统生产、经营和管理提供信息化手段的根本,网络安全设备是保障中国石化信息系统安全运行的基础。
为保障中国石化信息系统的安全、稳定运行,特制定本规范。
2 范围本规范适用于中国石化股份公司统一建设的计算机网络内所有网络安全设备的管理和运行。
集团公司及集团公司所属部门和单位参照本规范执行。
本规范中所指网络安全设备包括各种安全网关类设备(防火墙、VPN、代理服务器、IP 加密机等)、入侵检测类设备、漏洞扫描类设备等。
3 术语系统管理员系统管理员系统管理员指对安全网关类设备、入侵检测类设备、漏洞扫描类设备等进行日常维护和管理的人员。
信息安全管理员信息安全管理员指对安全网关类设备、入侵检测类设备、漏洞扫描类设备等进行日常维护工作的审计人员。
4 管理员职责管理员职责4.1 系统管理员职责系统管理员主要职责如下: 1)恪守职业道德,严守企业秘密,熟悉国家安全生产法以及有关信息安全 - 4 -管理的相关规程; 2)负责网络安全设备的安全策略部署、配置及变更管理,更新和维护等日常工作; 3)对数据网络实行分级授权管理,按照岗位职责授予不同的管理级别和权限; 4)密切注意最新网络攻击行为的发生、发展情况,关注和追踪业界公布的攻击事件; 5)密切关注信息系统安全隐患,及时变更信息安全策略或升级安全设备。
4.2 信息安全管理员职责信息安全管理员主要职责如下: 1)恪守职业道德,严守企业秘密,熟悉国家安全生产法以及有关信息安全管理的相关规程; 2)每周对系统管理员的登录和操作记录进行审计;3)对系统管理员部署的安全策略、配置和变更内容进行审计; 4)密切注意最新漏洞的发生、发展情况,关注和追踪业界公布的漏洞疫情。
5 管理员账号和权限管理管理员账号和权限管理5.1 管理员账号管理员账号系统管理员和信息安全管理员的用户账号应分开设置,其他人员不得设置账户。
在安全设备上建立用户账号,需要经过本级信息部门安全主管的审批并保留审批记录。
5.2 系统管理员权限系统管理员权限系统管理员具有设置、修改安全设备策略配置,以及读取和分析检测数据的权限。
- 5 -5.3 信息安全管理员权限信息安全管理员具有读取安全设备审计日志信息,以及检查安全设备策略配置内容的权限。
5.4 管理员身份鉴别管理员身份鉴别管理员身份鉴别可以采用口令方式。
应为用户级和特权级模式设置口令,不能使用缺省口令,确保用户级和特权级模式口令不同。
安全设备口令长度应采用 8 位以上,由非纯数字或字母组成,并保证每季度至少更换一次。
安全设备的身份鉴别,必要时可以采用数字证书方式。
6 策略和部署管理策略和部署管理6.1 制定安全策略安全设备系统管理员应依据中国石化信息安全规划,结合实际需求,制定、配置具体网络安全设备的安全策略,并且进行规范化和文档化;安全设备的策略文档应妥善保存。
对关键的安全设备要采用双机热备或冷备的方式进行部署以减小系统运行的风险。
6.2 安全设备统一部署安全设备部署应依据中国石化的信息安全规划统一部署,保证安全设备的可用性。
安全设备部署的具体实施须经信息管理部门的审批并保留审批记录。
6.2.1 安全网关类设备部署安全网关类设备部署应根据网络安全域的划分情况进行正确部署,满足不同网络安全域之间访问控制的要求。
- 6 -6.2.2 入侵检测类设备部署入侵检测类设备的部署要根据网络和信息系统的安全需求,选择合理的检测节点,能够完整的检测到被保护网络的数据流量,并能抓取含有足够信息的 IP 包,如:MAC 地址、IP 地址等。
6.2.3 漏洞扫描设备部署漏洞扫描设备部署漏洞扫描设备可采取离线或在线方式部署,部署前应进行漏洞扫描设备运行可能对系统影响的分析,避免对信息系统运行产生不良影响。
7 配置和变更管理7.1 配置和变更授权网络安全设备的配置、变更应满足信息系统变更管理的要求,配置和变更前应充分评估对信息系统可能产生的影响,报信息管理部门审批、授权后执行,保留审批记录。
7.2 防火墙设备配置防火墙设备配置操作规程要点如下: 1)记录网络环境,定义防火墙网络接口; 2)定义防火墙的网络对象和应用端口; 3)定义安全策略; 4)定义系统管理员和信息安全管理员权限; 5)测试防火墙性能; 6)编写和整理防火墙设备配置文档和技术资料。
- 7 -7.3 VPN 设备配置VPN 设备配置操作规程要点如下: 1)环境配置,指网络环境的设置,VPN 网关的控制台的设置; 2)设置 VPN 网关的各种网络参数特性,包括网络接口、透明网络、静态路由、ADSL 用户设置、MODEM 用户设置等; 3) VPN 设置,将证书导入 VPN 网关系统;进行 SMC 设置,对 SMC 进行身份认证并下载策略,加载加密算法;添加静态隧道,从 SMC 中下载与本机有信任关系的主机信息;设置与信任设备之间的隧道各项参数,定义虚拟路由,并进行客户端配置; 4)防火墙设置,包括进行包过滤规则设置和 NAT 规则设置; 5)服务器设置,包括 VPN 安全网关提供的 DHCP 服务器、拨号服务器、 L2tp 服务器、设置拨号用户、DNS 代理和 SNMP 代理等功能的话设置; 6)带宽管理,对流经网络接口的网络流量预先进行分配管理,保证用户对网络连接带宽的要求。
带宽管理针对所有网络接口进行管理; 7)定义系统管理员和信息安全管理员权限; 8)测试 VPN 安全网关性能; 9)编写和整理 VPN 安全网关设备配置文档和技术资料。
7.4 代理服务器设备配置代理服务器设备配置操作规程要点如下: 1)环境配置,指网络环境的设置,包括代理服务器对网络参数的设置; 2)代理服务器安全策略设置; 3)客户端的相关设置; 4)定义系统管理员和信息安全管理员权限; 5)性能参数测试,估测网络代理服务器吞吐量、延迟、并发连接数等; 6)编写和整理代理服务器设备配置文档和技术资料。
- 8 -7.5 IP 加密机设备配置IP 加密机设备配置操作规程要点如下: 1)环境配置,指网络环境的设置,包括对密码机网络参数的设置; 2)配置各加密机的安全策略; 3)定义系统管理员和信息安全管理员权限; 4)安全协议通用性测试,通过各种高层应用程序的测试,验证安全协议对高层应用的通用性; 5)应用测试,包括网页浏览、文件传输、远程登录、邮件收发、视频播放; 6)性能参数测试,估测加密机的吞吐率; 7)编写和整理 IP 加密机设备配置文档和技术资料。
7.6 入侵检测设备配置入侵检测设备配置操作规程要点如下: 1)记录当前网络环境,定义入侵检测接口; 2)安装引擎(包括事件库)和管理软件; 3)定义入侵检测系统要保护的网络对象(网络或主机); 4)定义检测策略,阻断级别和事件报警; 5)定义系统管理员和信息安全管理员权限; 6)编写和整理入侵检测设备配置文档和技术资料。
7.7 漏洞扫描设备配置漏洞扫描设备配置操作规程要点如下: 1)记录网络环境,定义漏洞扫描的网络接口;2)定义漏洞扫描的 IP 地址范围; 3)定义漏洞扫描的安全级别和扫描选项; 4)安装、升级最新的漏洞库; 5)定义系统管理员和信息安全管理员权限; 6)编写和整理漏洞扫描设备配置文档和技术资料。
- 9 -8 运行维护管理8.1 安全设备的检测和维护安全网关及入侵检测类设备定期检测和维护要求如下: 1)每月安装、更新厂家发布的设备补丁程序,及时修补设备操作系统的漏洞; 2)每周审计一次日志报表; 3)一个月内至少重新启动一次安全网关及入侵检测类设备。
8.2 安全设备的监视和记录安全网关及入侵检测类设备运行状况的监视和记录要求如下: 1)系统管理员应定期和不定期地检查设备的运行状况,及时查看日志,对异常情况的发生,及时上报,并保存记录;2)对安全设备 CPU 和内存利用率、数据流量、地址翻译数量、报警次数等进行均时的监测、跟踪工作,每周形成报表。
8.3 安全设备配置备份和恢复安全设备配置备份和恢复要求如下: 1)定期备份安全设备配置; 2)修改安全设备配置前应对现有配置进行备份,以便修改失败后可快速恢复; 3)跟踪软件及事件库的变更,确保使用当前有效的软件及事件库。
8.4 安全设备的审计信息安全管理员定期对网络安全设备的操作记录和内容本身进行审计,保证审计内容的完全性,保留审计记录。