曾道免费资料-香港曾道免费资料 大全-曾道正版资料免费大全

规章制度 正文

网络关键设备安全规章

2018-03-13

 对设备本身安全进行配置,并建设完备的安全保障体系,包括:使用访问控制、身份验证配置;关闭不必要的端口、服务、协议;用户名口令安全、权限控制、验证;部署安全产品等。应考虑的安全点主要有:
1.安全配置是否合理,路由、交换、防火、IDS等网络设备及网络安全产品的不必要的服务、端口、协议是否关闭,网络设备的安全漏洞及其脆弱的安全配置方面的优化,如路

由器的安全漏洞、访问控制设置不严密、数据传输未加密、网络边界未完全隔离等。
2.在网络建设完成、测试通过、投入使用前,应删除测试用户和口令,最小化合法用户的权限,最优化系统配置。

3.在接入层交换机中,对于不需要用来进行第三层连接的端口,通过设置使其属于相应的VLAN,应将所有空闲交换机端口设置为Disable,防止空闲的交换机端口被非法使用。

4.应尽量保持防火墙规则的清晰与简洁,并遵循默认拒绝,特殊规则靠前,普通规则靠后,规则不重复的原则,通过调整规则的次序进行优化。

5.应为不同的用户建立相应的账号,根据对网络设备安装、配置、升级和管理的需要为用户设置相应的级别,并对各个级别用户能够使用的命令进行限制,严格遵循不同权限的人实行不同等级的命令集。同时对网络设备中所有用户账号进行登记备案。

6.应制订网络设备用户账号口令的管理策略,对口令的选取、组成、长度、保存、修改周期以及存储做出规定。

7.使用强口令认证,对于不宜定期更新的口令,如SNMP字串、VTP认证密码、动态路由协议认证口令等,其口令强度应大于12位,并由数字、大小写字母和特殊字符共同组成。

8.设置网络登录连接超时,例如,超过60秒无操作应自动退出。

9.采用带加密保护的远程访问方式,如用SSH代替Telnet
10.严格禁止非本系统管理人员直接进入网络设备进行操作,若在特殊情况下(如系统维修、升级等)需要外部人员(主要是指厂家技术工程师、非本系统技术工程师、安全管理员等)进入网络设备进行操作时,必须由本系统管理员登录,并对操作全过程进行记录备案。

11.对设备进行安全配置和变更管理,并且对设备配置和变更的每一步更改,都必须进行详细的记录备案。
12.安全存放路由器的配置文件,保护配置文件的备份和不被非法获取。

13.应马上更改相关网络设备默认的配置和策略。

14.应充分考虑网络建设时对原有网络的影响,并制定详细的应急计划,避免因网络建设出现意外情况造成原有网络的瘫痪。
15.关键业务数据在传输时应采用加密手段,以防止被监听或数据泄漏。

16.对网络设备本身的扩展性、性能和功能、网络负载、网络延迟、网络背板等方面应充分考虑。设备功能的有效性与部署、配置及管理密切相关,倘若功能具备却没有正确配置及管理,就不能发挥其应有的作用。

17.网络安全技术体系建设主要包括安全评估、安全防护、入侵检测、应急恢复四部分内容,要对其流程完备性进行深入分析。

18.安全防护体系是否坚固,要分析整个网络系统中是否部署了防火墙及VPN系统、抗拒绝服务系统、漏洞扫描系统、IDS&IPS系统、流量负载均衡系统部署、防病毒网关、网络层验证系统、动态口令认证系统,各个安全系统之间的集成是否合理。

19.应安全存放防火墙的配置文件,专人保管,保护配置文件不被非法获取。

20.及时检查入侵检测系统厂商的规则库升级信息,离线下载或使用厂商提供的定期升级包对规则库进行升级。具体包括:

查看硬件和App系统的运行情况是否正常、稳定;

查看OS版本和补丁是否最新;

●OS是否存在已知的系统漏洞或者其他安全缺陷


XML 地图 | Sitemap 地图