《(安全管理)DCN网安全接入流程及规范》由会员分享,可在线阅读,更多相关《(安全管理)DCN网安全接入流程及规范(15页珍藏版)》请在金锄头文库上搜索。
1、DCN网安全接入流程流程说明:1、 申请单位向本级DCN管理部门提交申请报告(可使用电子文档),报告内容应包括:(见附表1)a) 业务名称、业务性质、业务功能概述、业务归口主管部门、归口主管部门负责人及其联系方法;b) 业务规划(网络架构、系统组成及组网技术描述)、目前规模(地域、节点数、设备安放地等)、接入方式(LAN或WAN方式)、资源占用及分配情况(端口占用、带宽、IP地址、域名、自治系统号等)、今后发展(地域、节点数、设备安放地等);c) 工程组织计划(建设工期安排、涉及部门及必要的割接方案)、系统集成方式(涉及相关的厂商情况);d) 用户特殊要求。2、 本级DCN管理部门接到申请后应
2、及时审阅,并与申请单位联系,确定接入方案,必要时双方技术管理人员应当面讨论协商。3、 申请单位的报告获得批准后,应严格按照批准执行,不得擅自接入。4、 凡是批复准许接入的业务系统工程负责部门,必须做好全部的接入准备工作,在DCN工程技术人员的配合下,将连接网线布放到指定地点,并做好标识。5、 业务子网的接入原则上从网络交换机接入,如确需从路由器接入,需报省DCN管理部门审核批准;网络交换机上业务子网接入的端口资源由省DCN管理部门负责管理,未经省DCN管理部门批准不得擅自接入业务子网;6、 系统接入前必须经过安全测试,符合DCN网安全接入规范要求后方可接入。附表1 广东电信DCN网接入申请报告
3、业务名称 业务性质 归口主管部门 归口主管部门负责人姓名 电话 传真 网络结构需用图示说明(不够可附页)联网技术描述(不够可附页)系统组成(不够可附页)接入DCN的方式 端口类型 带宽需求 域名 IP地址分配(用附件详细说明)目前规模(包括地域、节点数、设备安放地等):(不够可附页)今后的网络系统发展(包括地域、节点、设备安放地等):(不够可附页)工程组织计划:建设工期安排 涉及部门 必要的割接方案、时间(不够可附页)系统集成商情况 业务系统的特殊要求(不够可附页)DCN网安全接入规范第一条 随着我省支撑系统的建设实施,需要接入广东电信DCN网的系统越来越多,而且各系统对DCN网的连接要求也越
4、来越复杂。由于DCN网只保证大网的安全畅通,各个应用系统的安全性需要由各自的运维部门维护,因此,省公司网络运营部编制了DCN网生产系统安全接入规范,用于指导DCN有关使用部门和单位在新建/扩建/改建需接入到DCN网的生产系统的设计、建设、验收各个阶段的安全工作,从而达到提高接入到DCN网生产系统的安全水平,保障DCN网生产系统安全运营的目的。第二条 本规范是各分公司进行DCN网新建接入系统安全管理的重要依据,各公司应结合本单位的具体情况,遵照本规范对本公司所辖的DCN网接入系统进行安全管理。第三条 保证DCN网接入系统机房物理环境的安全性,包括:1. DCN网生产系统所处的物理环境应符合电信机
5、房防火、防盗、防雷、防水、防震等要求(参照国家标准和中国电信有关规定)。2. 生产系统属于中国电信重要关键业务系统的,其网络设备和主机系统要和一般的办公和生产环境要进行物理隔离,并采用门禁系统、防盗报警器、闭路电视监控系统等进行安全防护。3. 系统设备的布局以及强电、弱电布线必须合理、规范。4. 物理安全检查验收细则参见附件1。第四条 保证DCN网接入系统网络设备的安全性,包括:1. 确认网络设备使用和维护文档是否齐全。2. 确认交换机所划分的虚拟子网(VLAN)是否符合规划要求。3. 确认防火墙的隔离与访问控制策略是否符合规划的要求。4. 确认生产系统网络结点与公共网络相连接的进出口处安装配
6、备的VPN设备是否符合规划要求。5. 已建立入侵检测系统的,确认是否能对进出网段的所有异常攻击行为进行实时监控、记录。6. 确认网络设备的操作系统是否已经升级到最新补丁,并禁用了不必要的服务和端口。7. 确认DCN网生产系统网络结点与公共网络相连接的进出口处安装配备了防病毒网关。8. 物理安全检查验收细则参见附件2。第五条 保证DCN网接入系统主机设备的安全性,包括:1. 确认服务器主机中不存在重复用户、测试用户、共享用户、公共账号等等不必要的用户账号。2. 确认服务器的账号启用了用户账号管理策略,运维人员已经禁用和修改了工程阶段的测试账号和密码。3. 确认服务器主机系统没有开放不必要的共享文
7、件。4. 确认已经对服务器主机所有的共享文件设置了用户访问权限。5. 确认用户账号口令不存在空口令和弱口令。6. 确认服务器主机系统已经升级到最新的安全补丁。7. 确认并登记服务器主机系统开放的服务和端口,关闭不必要使用的服务。8. 确认系统启用了安全日志记录功能,日志记录设置成只有系统管理员账号才有权访问。9. 物理安全检查验收细则参见附件3。第六条 保证DCN网接入系统应用系统的安全性,包括:1. 确认应用程序在登录过程中提供了身份认证功能。2. 确认应用程序对登录者根据其操作权限进行了相应的限制。3. 确认应用程序本身的日志功能是否满足事后对用户操作进行安全审核的需求。4. 确认应用程序
8、通过加密通信的方式与远程主机进行数据交换和传输。5. 物理安全检查验收细则参见附件4。第七条 保证DCN网接入系统重要数据的安全性,包括:1. 确认制定了对数据库等重要数据定时做安全备份。2. 确认有通过网络备份系统等对数据库等重要数据进行远程(异地)备份。3. 物理安全检查验收细则参见附件5。附件一、物理环境安全性检查验收细则序号问题描述回答1是否严格按照机房物理环境安全建设的要求,有火灾检测系统、灭火系统、防静电措施、电力保障系统等? 是 否2是否明确规定机房严禁吸烟,并且不允许带食物饮料进入? 是 否3进入机房是否门禁系统,防止非授权人员进入? 是 否4机房内是否有温度、湿度的检测和控制
9、系统,如温度计、湿度计以及空调、除湿机等? 是 否5关键系统是否有UPS和备用电源? 是 否6机房是否有安全监视系统? 是 否7机房建设和系统设备是否严格遵照设计院的设计进行布局,强电和弱电分别布线? 是 否附件二、网络设备安全性检查验收细则序号问题描述回答1是否有文档化的系统操作程序,内容须有如下信息:(1)设备的有关硬件信息;(2)正常情况下的操作步骤和规程;(3)处理错误和其他异常情况的命令和流程;(4)在出现意外操作或技术问题时的支持联络方式;(5)系统出现故障时系统恢复的步骤。 是 否2是否有网络系统所安装操作系统和应用系统软件记录,应该包括标明软件名称、厂家、版本、已安装的补丁程序
10、号、安装和升级的时间等内容,并且在每次系统安装、升级、补丁程序安装、系统设置变化时对所做操作进行记录。 是 否3对于重要的网络设备是否使用RADIUS或者TACACS的方式实现对用户的集中管理? 是 否4对于重要网络设备,是否建立集中的日志管理服务器,实现对重要网络设备日志的统一管理,以利于对网络设备日志的审查分析 是 否5是否有明确的补丁修补制度,应包括补丁下载的步骤、站点说明、补丁实验等? 是 否6是否制订网络设备操作系统的口令管理制度,对口令的选取、组成、长度、修改周期做出规定? 是 否7是否明确禁止使用超级管理员身份直接登录系统? 是 否8是否根据业务保护要求,制订相应的网络安全访问控
11、制策略? 是 否9是否对网络设备的登录提示重新进行设置,防止网络设备在用户登录提示信息中出现系统的有关信息,必要时在用户登录提示中还可以对攻击尝试提出警告 是 否10是否启用网络设备对远程登录用户的IP地址校验功能,保证用户只能从特定的IP设备上远程登录设备进行配置等操作? 是 否11是否根据网络安全访问控制策略,拟定相应的防火墙安全控制准则,并对安全控制准则和访问控制策略的一致性进行校验? 是 否12是否有明确的规定,要求启用对用户口令的加密功能,对本地保存的用户口令进行加密存放,防止用户口令泄密? 是 否13是否有明确的规定,要求设置控制口和远程登录口的空闲超时,让控制口或远程登录口在空闲
12、一定时间后自动断开? 是 否14是否明确规定,限制路由器、交换机的Web服务的使用,一般情况下关闭路由器的Web配置服务,如果确实需要,应该临时开放,并在做完配置后立刻关闭? 是 否15是否明令禁止开放路由器、交换机上不需要的服务,如Finger、NTP、Echo、Discard、Daytime、Chargen等 是 否16是否制订了路由安全策略,包括禁止IP直接广播、禁止IP源路由、ICMP重定向、以及与外部互联时,必须采用静态路由等路由安全策略。 是 否17是否有明确的策略,要求在防火墙控制准则的设置上应该采用“禁止除非被明确允许”的原则? 是 否18是否明确要求对防火墙系统不同的管理员设
13、置相应的账号,并开启防火墙系统对管理员操作的记录和审计功能? 是 否附件三、主机设备安全性检查验收细则序号问题描述回答1是否有文档化的系统操作程序,内容须有如下信息:(1)设备的有关信息;(2)正常情况下的操作步骤和规程;(3)处理错误和其他异常情况的命令和流程;(4)在出现意外操作或技术问题时的支持联络方式;(5)系统出现故障时系统恢复的步骤。 是 否2是否制定了软件使用制度,内容应包括禁止用户安装和使用来历不明、没有版权的软件,在服务器系统上还应该禁止安装与服务器所提供服务和应用无关的其它软件。 是 否3是否有主机系统所安装操作系统和应用系统软件记录,应该包括标明软件名称、厂家、版本、已安装的补丁程序号、安装和升级的时间等内容,并且在每次系统安装、升级、补丁程序安装、系统设置变化时对所做操作进行记录。 是 否4是否制定重要主机系统的安全使用制度,内容应包括禁止在重要的主机系统上浏览外部网站网页、接收电子邮件、编辑文档、编程以及进行与主机系统维护无关的其它操作。 是 否5是否有明确的补丁修补制度,
