本帖最后由 monicazhang 于 2015-7-9 11:39 编辑
20150709 淡然
目 录 [ /a/150.html#_Toc238024231]1 目的[/url] [ /a/150.html#_Toc238024232]2 适用范围[/url] [ /a/150.html#_Toc238024233]3 术语/缩略语/定义[/url] [ /a/150.html#_Toc238024234]4 角色及职责[/url] [ /a/150.html#_Toc238024235]5 管理内容[/url] [ /a/150.html#_Toc238024236]5.1 一般要求[/url] [ /a/150.html#_Toc238024237]5.2 使用者访问管理[/url] [ /a/150.html#_Toc238024238]5.3 使用者责任[/url] [ /a/150.html#_Toc238024239]5.4 网络访问控制措施[/url] [ /a/150.html#_Toc238024240]5.5 网络设备物理安全[/url] [ /a/150.html#_Toc238024241]5.6 网络流量监视[/url] [ /a/150.html#_Toc238024242]5.7 其他网络运行管理[/url] [ /a/150.html#_Toc238024243]6 支持性文件[/url] [ /a/150.html#_Toc238024244]7 相关记录[/url]
1 目的
本程序的目的是就安全与管理层面,规范网络设备管理以及网络访问行为,以确保信息与网络的访问与权限能适当的授权、配置及维持,避免未获授权的访问,并确保使用便携式计算机与远程访问时的信息安全。
2 适用范围
本文档所规定IT服务是指IT运维服务部提供的IT服务; ITSS培训 本文档适用于IT运维服务部的网络安全管理。
3 术语/缩略语/定义
计算机网络:包括网络主机、网络设备及其相关配套的设备、设施(含网络线路)及相关软件等。
4 角色及职责
角色 | | | | | l 审查账号与服务权限管理申请表的申请内容,符合实际需求。 | | l 依照申请人员提出经核准的账号与服务权限管理申请表内容,执行权限设定作业与检核作业结果。 | | l 复核账号与服务权限管理申请表的申请,并督导网络权限设定作业的有效进行。 |
5 管理内容
5.1 一般要求
l 因业务需要而产生对信息的访问,其管理的要求于下列各章节进行约定,使用者仅限于访问授权范围内的信息、服务与设备,不得作未经授权的访问。 ITSS认证 l 所有的网络的重要参数与设定,均由各网络管理者负责设定与管理(含数据保存及备份)。 l 职责区域:网络开发人员负责网络开发与测试;网络管理工程师负责网络及设备管理;网络操作人员负责网络的运作;安全审核人员负责安全审核;前述各类人员均应于授权责任范围内运作,以降低信息或服务遭受未授权的修改或误用。 l 所有业务网络中与业务经办所保管的个人人事数据应加以妥善保管,非经授权不得访问。 l 所有信息处理设施的使用,均需经适当的授权,以防止该设施的不当使用。
5.2 使用者访问管理
l 为确保信息系统的访问与权限均能适当地授权、分配及维持,应依下列要求对使用者予以管理。 l 需要对信息系统与服务访问时,均需向该网络的管理者申请并经相关的领域主管核准授权后始得使用,任务解除或人员离职时亦须向该网络管理者办理注销。 l 网络管理者或相关的领域主管,应考虑申请者的实际业务需要,按层级授与适当的权限,并采最低可用权限的匹配方式。 l 服务器密码采用一次一密形式,需要授权才可获取,无授权者无权访问服务器。
5.3 使用者责任
l 使用者应负责其口令及信息处理设备的使用符合下列要求,以避免其口令及信息处理设备招致误用。 l 使用者应负责确保所使用的信息设备在处于无人看管的状态(例如使用时中途离开)时有适当的保护。
5.4 网络访问控制措施
为有效管理网络访问避免误用与破坏。所有网络的访问均应符合下列要求: l 各项网络服务,仅限于业务的需要并经授权使用者使用,并应注意不得有超出授权范围的行为。 l 所有从使用者终端(机)至计算机服务(例如数据库伺服主机、应用网络伺服主机等)的访问路径,均应予以控管。 l 远程使用者的访问均应有身份鉴别,至少应鉴别其使用者账号与口令。 l 远程计算机网络与各个服务器网络的联机应经过身分鉴别,或检查其网络地址以管理远程作业的来源。 l 执行诊断程序的权限需加以管理,尤其是自远程执行的诊断程序更需加以控管,为避免远程诊断可能引发的信息安全危机,除核准者外,禁止从远程执行诊断程序。 l 应订定不同的网络区域以将信息服务、计算机网络及使用者依其性质加以区隔,对于机密性的服务与计算机网络可设置防火墙及身份认证等网络防护。 l 网络用户的连接权限应依据业务需要与访问范围两项原则,限制使用者仅能连接其申请且被核准的网络服务与设备。 l 网络应有路由管理,非合法的IP不准通行,对于联机的实际来源及目的地址应加以检查,以避免计算机的连接与信息的流动违反访问管理要求。
5.5 网络设备物理安全
l 网络设备包括路由器、交换机、防火墙、集线器、入侵检测系统等。 l 所有人员应遵守《机房环境安全管理规范》中对网络设备物理访问控制的规定。 l 严格控制有关人员对网络系统及其相关设备的使用权限。有关的设备使用、管理和维护要使用适当的技术手段,控制访问并做好日志登记工作。 l 机房管理人员应严格执行对人员、设备进入机房等安全敏感区域的控制,避免无关人员进入区域,接触网络设备或链路。 l 应加强对网络设备的质量控制、安装维护的质量控制,以及建立网络的冗余机制和应急机制,防止设备缺陷、故障或突发事件引起的网络瘫痪。 l 不允许进行任何干扰其他网络用户,破坏网络服务和网络设备的活动,违反者将按公司相关规定予以处罚。 l 员工不得损坏所在区域内的网线插槽、跳线、标签等。 l 未经允许不得随意挪用、关启网络设备。 l 严禁在使用HUB的网络环境中使用远程登录。 l 严格加强网络资源管理,对服务器、路由器、节点机等重要网络设备,要有故障及安全防范措施。
5.6 网络流量监视
为保证数据安全,网络管理工程师应该对企业网内对网络出口线路、各内部网络的区域或公司分机构互联广域网线路和重点服务器流量制定和部署流量监控机制,并定期进行监控统计分析。运行人员应提早并直观发现网络异常或网络攻击。 网络管理工程师应该部署网管工具监控全网络核心网络设备的cpu、memory利用率,并设置告警阀值,在出现异常情况(如外网发起的DDOS等非法攻击)的时候发出警报和及时通知相关负责人防范处理。
5.7 其他网络运行管理
l 日常运行中,要实时监控网络的运行状态,定期察看日志记录,发生异常现象、安全事故必须按规定及时向部门领导汇报。 l 严格控制各级用户对远程数据信息的访问权限,包括访问的方式和内容。凡发生远程登录,必须经过批准,并如实记录远程登录的日期、时间、过程、处理的问题及批准和实施的人员等内容。 ITSS考试 l 供应商工程师来行对网络系统作检查、维护和维修时,游戏维护部应派专人陪同进行,认真做好维修检查的记录工作,禁止网络工程师用自带的笔记本接入局域网,限制其使用任何移动存储设备。 l 对重要网络设备,应制订应急处理备份方案并定期演练,定期检查网络备份设备
6 相关文件
7 相关记录
本帖关键字:ITSS
| 
转播
分享
淘帖
()