(8) 系统职守员对操作系统的任何修改,都需要进行备案,对操作系统的重大修改和
配置(如补丁安装、系统升级等操作)必须向信息技术管理员提交系统调整方案,由信息技术管理员审核通过后方可实施。操作系统的配置和修改必须在非业务时间进行,重大调整必须提前准备应急预案和回退方案。
(9) 保证操作系统日志处于运行状态,系统值守员应定期对日志进行审计分析,至少
每月审计一次,重点对登录的用户、登录时间、所做的配置和操作做检查,在发现有异常的现象时及时向信息技术管理员报告。
(10) 系统职守员应设置操作系统日志归档保存功能,历史记录保持时间不得低于一年。
3.2. 应用系统安全日常操作及维护
(1) 新的应用系统在正式上线运行前应由信息管理部信息安全管理员进行安全检查,
检查通过方能正式运行使用。严禁在不检查或检查未通过的情况下将应用部署到正式环境中。检查的内容包括:
a) 检查应用系统的软件版本;
b) 检查应用系统软件是否存在已知的系统漏洞或者其它安全缺陷; c) 检查应用系统补丁安装是否完整;
d) 检查应用系统进程和端口开放情况,并登记《系统进程及端口开放记录表》备
案;
e) 应用系统安装所在文件夹是否为只读权限;
f) 检查是否开启应用系统日志记录功能,并启用日志定期备份策略。 (2) 应用系统上线运行后,应经过一段时间的试运行,在试运行阶段,应严密监控其
运行情况;当发现应用系统运行不稳定或者出现明显可疑情况时,应立即将事件报告IT服务平台,必要时应启动应用系统应急预案。
(3) 应用系统经试运行正式上线运行后,信息技术管理员应指派专门的系统职守员,
由职守员与开发测试人员进行系统交接。
(4) 应用系统软件安装之后,应立即进行备份;在后续使用过程中,在应用系统软件
的变更以及配置的修改前后,也应立即进行备份工作;确保存储的软件和文档都是最新的,并定期验证备份和恢复策略的有效性。
8
(5) 必须严格管理应用系统账号,定期对应用系统账号和用户权限分配进行检查,至
少每月审核一次,删除长期不用和废弃的系统账号和测试账号。
(6) 必须加强应用系统口令的选择、保管和更换,系统口令做到:
? 长度要求:8位字符以上;
? 复杂度要求:使用数字、大小写字母及特殊符号混合; ? 定期更换要求:每90天至少修改一次。
(7) 信息安全管理员应指定安全职守员专门负责应用系统补丁更新工作,并根据《系
统漏洞及补丁更新流程》完成应用系统补丁更新工作。
(8) 系统职守员应对所负责的应用系统进行检查,至少每天一次,确保各系统都能正
常工作,当发现应用系统运行不稳定或者出现明显可疑情况时,应立即将事件报告IT服务平台,发生重大安全事件时,应立即报告信息管理部信息安全管理员,并记录《系统异常故障表》,必要时应启动应用系统应急预案。
(9) 系统职守员对应用系统的任何修改,都需要进行备案,对应用系统的重大修改和
配置(如补丁安装、系统升级等操作)必须向信息技术管理员提交系统调整方案,由信息技术管理员审核通过后方可实施。应用系统的配置和修改必须在非业务时间进行,重大调整必须提前准备应急预案和回退方案。
(10) 保证各应用系统的系统日志处于运行状态,系统值守员应定期对日志进行审计分
析,至少每月审计一次,重点对登录的用户、登录时间、所做的配置和操作做检查。
(11) 系统职守员应设置应用系统日志归档保存功能,历史记录保持时间不得低于一年。
3.3. 网络及安全设备日常操作及维护 3.3.1. 网络及安全设备管理
(1) 必须严格管理设备系统账号,定期对设备系统账号和用户权限分配进行检查,至
少每月审核一次,删除长期不用和废弃的用户账号。
(2) 必须加强设备系统口令的选择、保管和更换,设备口令做到:
? 长度要求:8位字符以上;
8
? 复杂度要求:使用数字、大小写字母及特殊符号混合; ? 定期更换要求:每90天至少修改一次。
(3) 对网络和安全设备的管理必须经过严格的身份认证和访问权限的授予,认证机制
应综合使用多认证方式,如强密码认证+特定IP地址认证等。
(4) 网络和安全设备的用户名和密码必须以加密方式保存在本地和系统配置文件中,
禁止使用明文密码保存方式。
(5) 网络和安全设备的配置文件,必须由负责此设备的职守员加密保存,由信息技术
管理员加密留档保存,职守员和信息技术管理员必须确保配置文件不被非法获取。
(6) 对网络和安全设备的远程维护,建议使用SSH、HTTPS等加密管理方式,禁止使
用Telnet、http等明文管理协议。
(7) 限定远程管理的用户数量,每设备管理用户不能超过5个;限定远程管理的终端
IP地址,设置控制口和远程登录口的超时响应时间,让控制口和远程登录口在空闲一定时间后自动断开,超时响应时间最多不能超过3分钟。
(8) 对网络和安全设备的管理维护,尽可能避免使用SNMP协议进行管理,如果的确
需要,应使用V3 版本代替V1、V2 版本,并启用MD5 等校验功能;SNMP协议的 Community String 字串长度应大于12位,并由数字、大小写字母和特殊字符共同组成;启用SNMP协议后,必须指定SNMP服务器的地址。
(9) 信息技术管理员应为每个网络和安全设备指定专门的职守员,由职守员对所负责
的网络和安全设备进行账户、口令、账户认证方式、密码存储方式、远程管理方式等项目的检查,具体检查标准请参见4.3.1章节中的第1至8条制度;至少每月检查一次,确保各网络和设备都能正常工作。
(10) 网络和安全设备职守员应定期对所负责的设备进行性能和故障检查,至少每天一
次,监控设备的CPU、内存、硬盘使用率和网络接口状态等使用情况,确保各设备都能正常工作,如发现异常情况,应立即报告信息管理部信息安全管理员,同时采取控制措施,并记录《系统异常故障表》。
(11) 网络和安全设备职守员对网络和安全设备的任何修改,都需要进行备案,对设备
的重大修改和配置(如路由调整、系统升级等)必须向信息技术管理员提交设备
8
调整方案,由信息技术管理员审核通过后方可实施。设备的配置和修改必须在非业务时间进行,重大调整必须提前准备应急预案和回退方案。
(12) 开启网络和安全设备日志记录功能,并将日志同步到集中网管系统上,系统值守
员应定期对日志进行审计分析,至少每月审计一次,重点对登录的用户、登录时间、所做的配置和操作做检查,在发现有异常的现象时及时向信息技术管理员报告。
(13) 网络和安全设备职守员应设置定期对设备日志进行归档保存,历史记录保持时间
不得低于一年。 3.3.2. 网络设备安全配置
以下网络设备的安全维护制度,均为Cisco路由器和交换机操作命令为例。
(1) 启用enable secret代替enable password,从而对配置文件中的password进行加密,
防止用户口令泄密。
(2) 应关闭banner显示,远程拨入维护方式,以及不需要开放的服务,如
tcp-small-servers,udp-small-servers等。
(3) 在接入层交换机中,对于不需要用来进行第三层连接的端口,通过设置使其属于
相应的VLAN,应将所有空闲交换机端口设置为Disable,防止空闲的交换机端口被非法使用。
(4) 对于交换机做流量镜像的情况,应充分评估镜像的作用以及因为镜像造成的流量
增加对交换机性能的影响,做镜像后交换机后的整体性能(如cpu、内存等)不能超过60%。
(5) 关闭非必需的网络协议。对于CISCO路由器,禁止用户侧接口的CDP协议功能。 (6) 对于交换机,防止VTP攻击,应设置口令认证,口令强度应大于12位,并由数字、
大小写字母和特殊字符共同组成。
(7) 限制SYN 包流量带宽,控制 ICMP、TCP、UDP的连接数,每秒会话连接数不超
过2000PPS。 3.3.3. 安全设备配置规范
8
(1) 防火墙设备
1) 防火墙应部署在网络边界处,如XX公司与各直属单位,公司与互联网连接处等网
络连接处进行风险和攻击隔离。
2) 防火墙应保证正常应用的连通性,保证网络和应用系统的性能不因部署防火墙有
明显下降,特别是一些重要业务系统。
3) 尽量保持防火墙规则的清晰与简洁,并遵循“默认拒绝,特殊规则靠前,普通规则
靠后,规则不重复”的原则,通过调整规则的次序进行优化。
4) 防火墙各区域的路由设置应合理,严格禁止任何旁路路由。
5) 配置或更改防火墙策略前,必须对防火墙进行配置备份,设备职守员必须向信息
技术管理员提交防火墙策略调整方案,由信息技术管理员审核通过后方可实施。防火墙的配置和更改必须在非业务时间进行,重大调整必须提前准备应急预案和回退方案。
6) 配置或更改防火墙策略时,必须根据源地址、目的地址、目标端口、时间、策略
行为这五个基本元素进行设计,确定每个元素的具体数值。尽量避免使用Any、All等全值参数进行允许访问策略配置。如:各直属单位、下属卷烟集团和下属卷烟分厂与XXXX连接的防火墙,必须针对应用以及访问主机对IP地址、开放服务端口进行访问策略设置;互联网防火墙必须严格禁止从INTERNET主动对内网发起访问请求,开放DMZ区服务器的访问,必须根据所提供业务开放固定端口,如web服务器开放TCP80端口,邮件服务器开放TCP25、110等。
7) 配置或更改防火墙策略后,必须对网络和业务的连通性进行逐一测试,保证信息
系统的可用性。
8) 临时性增加的访问控制规则在使用完成后,应及时删除。
9) 安全职守员应定期对防火墙的访问控制规则进行检查和必要调整,至少每月执行
一次。
(2) 网络版防病毒软件
1) 信息管理部对防病毒软件的部署应该做到统一规划,统一部署,统一管理。
8