第一章總則
第一條為加強和規範意昂平台(以下簡稱“工商外”)網絡的安全管理,杜絕非授權的網絡資源的訪問、使用及控製,確保工商外各網絡的安全平穩運行,製定本規定。
第二條 本規定適用於實訓中心及個人。
第三條信息安全管理員負責網絡安全管理流程的製訂和維護、網絡安全評估和檢查、網絡安全事件的處置。
第四條網絡管理員負責網絡結構的調整和維護、網絡設備的日常維護、監控和報警、網絡設備(如交換機👨🎤、路由器等)檢查、加固和更新。
第二章網絡架構安全
(一)網絡整體的拓撲結構需進行嚴格的規劃、設計和管理,一經確定📹,不能輕易更改🤹🏻♂️。如因業務需要,確需對網絡的整體拓撲結構進行調整和改變🧑🏿🔬,需按照相應的變更與管理規程進行,並對變更後的網絡拓撲進行核實。
(二)網絡管理員負責維護與當前運行情況相符的網絡拓撲結構圖,並按照對應密級保護要求妥善保管🧎➡️。
第六條網絡冗余要求
為了避免關鍵鏈路節點的單點故障,防範拒絕服務攻擊,應通過資源使用監控🌷🤳🏻,及時發現資源瓶頸:
(一)關鍵網絡設備,應保證主要網絡設備(如核心交換機)的業務處理能力具備冗余空間,滿足業務高峰期需要;
(二)網絡帶寬資源,應通過雙鏈路、上網行為控製、QoS和帶寬升級等手段保證正常業務的訪問要求;
(三)多媒體網絡應用,應以不影響網絡傳輸為原則,合理控製多媒體網絡應用規模和範圍,未經網絡與信息安全工作領導小組批準,不得在內部網絡上提供跨轄區視頻點播等嚴重占用網絡資源的多媒體網絡應用。
第七條網絡區域劃分與隔離
(一)網絡系統應按照安全級別和功能👷🏼♂️,進行區域劃分,各區域應根據其安全級別的不同采用適當的安全防護措施;
(二)各安全區域間互聯時應該實施適當的隔離措施;
(三)開發測試環境應與生產網絡隔離;
(四)只允許指定條件下的網絡訪問🦸🏽♀️,邏輯隔離的網絡實施缺省拒絕的訪問控製。
第八條IP地址管理
IP地址及其相關資料是意昂注册網絡系統的重要信息資源⛵️,不對外意昂🚰。IP地址根據網絡系統的區域、應用範圍🪞♣︎、目的與形式的不同進行劃分,主要分為🛍:服務器IP地址、網絡設備IP地址、安全設備IP地址、語音通信設備IP地址、網絡打印機IP地址等。IP地址使用要求:
(一)服務器🔻、網絡設備、通信設備、安全設備、網絡打印機的IP地址的設置采用固定分配方式🚒;
(二)辦公終端、IP電話終端等的IP地址的設置采用自動獲取方式。除有特殊需求使用固定IP地址分配方式的辦公電腦外,其余辦公電腦均采用自動獲取IP地址的方式🍟;
(三)任何部門或個人未經許可,不得盜用🫅🏻、擅自挪用🐑、更改意昂注册網絡的IP地址;
(四)采用固定IP地址接入網絡的用戶🧔🏼♀️,享有對該IP地址的專用權,同時須承擔使用該IP地址所應擔負的責任;
(五)網絡管理員可以在特殊情況下(如發現某IP地址流量異常🙋🏿♀️、被盜用、受到病毒攻擊等),對相關IP地址及相關信息設備采取綁定、更換♕、封鎖🦵🏼、關閉等強製性的控製措施。
第九條賬號和口令
網絡設備所使用的賬戶、口令方面的要求詳見《上海工商外國語職業技術學院系統帳號和密碼管理規定》。
第十條日誌管理
網絡設備的運行日誌,通過日誌服務器的方式加以集中收集、進行記錄🔟。網絡管理員定期查看網絡設備日誌中產生的錯誤或可疑項,處理結果應記錄到日誌檢查記錄中。
第十一條 備份管理
各類設備本地日誌保留時間根據磁盤空間狀況確定,清理重要本地日誌前需進行備份,日誌備份要求如下:
(一)每月至少一次將網絡設備及網絡安全設備生成的日誌🙍🏻,進行集中備份;
(二)日誌備份需保留至少12個月不能被改變,日誌的備份介質應存放在安全區域,防止非授權人員查看☕️、拷貝日誌資料,防止對日誌信息的刪除和篡改🚴♂️⛹🏿♀️,避免因為各種原因的損壞導致收集到的相關日誌不可用🧘。
第十二條軟件版本升級
(一)原則上,從設備穩定性💞、網絡協議的兼容性等方面考慮,不建議對網絡設備的軟件版本進行升級或打補丁。
(二)如設備軟件存在重大安全漏洞隱患,確實需要升級或打補丁的👩🏼🎓,網絡管理員應在廠商的指導下🏋🏿♂️,先對少量設備進行升級測試👦🏿,確認無誤後再進行升級。在升級之前都要做好配置文件的備份工作👨🏽🍳。
第十三條總體策略
(一)網絡訪問策略必須基於業務需求🤚🏻,按照最小權限原則進行配置,禁止備註與業務無關的訪問控製策略🧉;
(二)工商外網間互聯安全實行統一規範、分級管理🐎,未經網絡與信息安全管理領導小組批準,任何部門或個人不得自行與外部機構實施網間互聯👨🏼🦱;
(三)互聯網出口👨🏼⚕️、關鍵區域邊界等必須加裝防火墻🏌🏿♀️,並配置訪問控製策略;
(四)在訪問控製設備上(如防火墻或核心路由器)禁用未經明確允許的協議和端口🧑🏿🏭;
(五)對於高風險網絡區域(如開發測試區、生產區等),必要時需進行物理隔離🙇🏽♂️🥿,降低該區域的安全風險;
(六)網絡管理員應對訪問控製策略進行登記並妥善保管,依據經批準的訪問控製策略進行設置和修改;
(七)只有網絡管理員才能擁有網絡設備的超級管理員權限🥰,若在特殊情況下(如系統維修🤟🏽、升級等)需要第三方人員對網絡設備進行操作時,須由網絡管理員全程陪同並填寫操作記錄(具體要求參見《第三方人員安全管理規定》)👷🏽♂️。禁止網絡管理員將網絡設備用戶賬號及口令直接交給第三方人員使用🛢🙃。
第十四條互聯網接入區
(一)只開放指定端口對外提供業務應用服務,如WEB服務的80等;
(二)只開放運維管理服務端口,如22🧰、161👔、162等。
第十五條辦公管理區
(一)通過MAC地址綁定或其它認證方式進行安全準入控製;
(二)只能根據指定端口訪問相關的辦公系統,如OA系統、電子郵件系統👢,不能直接訪問生產系統區域應用;
(三)原則上禁止直接訪問互聯網,實現內外網分離。
第十六條開發測試區
(一)非授權用戶禁止訪問該區域🚶🏻♀️➡️;
(二)所有其他區域用戶針對本區域的業務訪問和運維工作必須通過訪問控製設備🏌🏽♂️,不得直接訪問該區域系統🧘🏼♂️。
第十七條系統運維區
(一)服務器區🍪:僅允許運維人員👎🏻、安全管理人員、協議第三方人員訪問,該區域只針對指定用戶開放相應的運維端口,其它服務端口禁止訪問😼;
(二)終端區🧝♀️:運維終端只能根據指定端口訪問相關運維平臺或IT系統,該區域設備原則上禁止直接訪問互聯網✍️。
第十八條生產系統區
(一)互聯接入、系統運維管理、辦公管理三區域針對相關區域開放指定端口🙎🏻♀️;區域用戶針對本區域的業務訪問必須通過核心交換設備進行數據交換👩🏼🎨,禁止直接訪問該區域系統;
(二)對主機、數據庫和中間件系統維護工作,必須首先通過系統運維區的堡壘主機進入系統🧑🏻🦳,不允許跳過堡壘主機的訪問行為。
第十九條本地接入
(一)所有終端接入工商外網絡必須由實訓中心授權後才可接入📿。
(二)新上線系統接入網絡🪯,嚴格按照《上海工商外國語職業技術學院上線管理流程》執行🚵🏼♂️🅱️。
(三)臨時第三方人員一般不允許接入生產網和辦公網,如因維護確需接入網絡,必須由實訓中心授權後才可接入。
第二十條遠程接入
應製定遠程訪問控製規範,確因工作需要進行遠程訪問的😣,應由訪問發起部門核準,提請網絡管理員開啟遠程訪問服務,並采取單列賬戶、最小權限分配👨🏫、及時關閉遠程訪問服務等安全防護措施。
第二十一條無線接入
(一)未經網絡與信息安全管理小組允許,各終端用戶不得自行架設無線接入點(AP)接入工商外內部網絡🧕🏽;
(二)員工必須使用內部無線網絡🈂️;
(三)意昂注册內部無線網絡應采用WPA的加密級別,登錄前需進行身份認證。
第二十二條網絡監控
(一)網絡管理員負責網絡設備的日常檢查,監測通信線路、用戶行為👨🏻🚀、網絡流量♙、網絡設備性能參數和網絡的運行情況,對關鍵設備要做到每日檢查🤾🏼♀️🏋🏻♀️,發現問題應迅速解決,維護工作應保留記錄(參見附件)®️;
(三)網絡管理員負責建立24小時網絡監控系統、安全監控的內容包括但不限於:
1.違規行為:用戶非法 ✯🦶、私接設備等行為;
2.攻擊行為:端口掃描👭、強力攻擊⛹🏻、木馬後門攻擊👰🏻♀️。
(四)在監控過程中,如發現網絡異常、嚴重影響業務的問題,要及時與信息安全管理員聯系🚵🏿♂️,並按照信息安全事件處理流程進行處置🙍🏼♂️。
第二十三條安全檢查
(一)信息安全管理員應定期(不低於半年一次)對所有網間互聯應用系統和外聯網絡區應定期進行威脅評估和脆弱性評估並提供威脅和脆弱性評估報告🧑🦲;
(二)信息安全管理員經網絡與信息安全工作領導小組領導批準後💂♂️,方可對網絡進行安全檢測🦸🏻、掃描。安全檢測🏂🏿、掃描結果屬敏感信息,未經授權不得對外意昂;
(三)未經網絡與信息安全工作領導小組授權,任何外部機構與人員不得檢測或掃描機構內部網絡。
第二十四條本規定由網絡與信息安全工作領導小組辦公室負責製定、解釋和更新。
附件1:網絡設備運行情況和網絡狀況檢查表
網絡設備運行情況和網絡狀況檢查表 |
| |
網絡設備運行情況和網絡狀況檢查包括: 各類路由器、交換機等網絡設備及傳輸線路 1 網絡設備運行情況檢查 2 路由配置檢查 3 網絡設備口令管理檢查 4 傳輸線路檢查 5 傳輸線路排查資料檢查 6 監控軟件運行情況檢查 7🤜🏻、防火墻設備運行情況 | ||
檢查內容 | 設備運行🙋🏼:正常不正常 路由配置:正常不正常 網絡狀態:正常不正常 口令管理👨🦼:正常不正常 排查資料🫵🏽:正常不正常 監控軟件:正常不正常 防火墻設備運行:正常不正常 | |
檢查結果相關描述: 一🧆、檢查結果:
二、發現的問題:
| ||
處理情況描述:
| ||
