网络安全管理制度汇编整理.docx
- 文档编号:29076168
- 上传时间:2023-07-20
- 格式:DOCX
- 页数:19
- 大小:25.44KB
网络安全管理制度汇编整理.docx
《网络安全管理制度汇编整理.docx》由会员分享,可在线阅读,更多相关《网络安全管理制度汇编整理.docx(19页珍藏版)》请在冰豆网上搜索。
网络安全管理制度汇编整理
******公司网络安全管理制度
1、机房管理规定
1.1、机房环境
°C湿度:
小于80%
1.2、机房安全
1.3、设备安全
—94标准附录B,接地电阻符合该标准附录A的表1所列接地电阻的要求,要防止设备地电位升高,击穿电器绝缘,引发通信事故。
1.4、接地要求
—94标准附录A的表1所列接地电阻的要求后才可与附近建筑物或变电站的接地系统连接,连接点不得少于两点。
1.5、人身安全
2、帐户管理规定
帐户是用户访问网络资源的入口,它控制哪些用户能够登录到网络并获取对那些网络资源有何种级别的访问权限。
帐户作为网络访问的第一层访问控制,其安全管理策略在全网占有至关重要的地位。
在日常运维中发生的许多安全问题很大程度上是由于内部的安全防范及安全管理的强度不够。
帐户管理混乱、弱口令、授权不严格、口令不及时更新、旧帐号及默认帐号不及时清除等都是引起安全问题的重要原因。
对于账户的管理可从三个方面进行:
用户名的管理、用户口令的管理、用户授权的管理。
2.1、用户名管理
用户注册时,服务器首先验证所输入的用户名是否合法,如果验证合法,才继续验证用户输入的口令,否则,用户将被拒于网络之外。
用户名的管理应注意以下几个方面:
隐藏上一次注册用户名
更改或删除默认管理员用户名
更改或删除系统默认帐号
及时删除作费帐号
清晰合理地规划和命名用户帐号及组帐号
根据组织结构设计帐户结构
不采用易于猜测的用户名
用户帐号只有系统管理员才能建立
2.2、口令管理
用户的口令是对系统安全的最大安全威胁,对网络用户的口令进行验证是防止非法访问的第一道防线。
用户不像系统管理员对系统安全要求那样严格,他们对系统的要求是简单易用。
而简单和安全是互相矛盾的两个因素,简单就不安全,安全就不简单。
简单的密码是暴露自己隐私最危险的途径,是对自己邮件服务器上的他人利益的不负责任,是对系统安全最严重的威胁,为保证口令的安全性,首先应当明确目前的机器上有没有绝对安全的口令,口令的安全一味靠密码的长度是不可以的。
安全的口令真的可以让机器算几千年,不安全的口令只需要一次就能猜出。
不安全的口令有如下几种情况:
(1)使用用户名(账号)作为口令。
尽管这种方法在便于记忆上有着相当的优势,可是在安全上几乎是不堪一击。
几乎所有以破解口令为手段的黑客软件,都首先会将用户名作为口令的突破口,而破解这种口令几乎不需要时间。
在一个用户数超过一千的电脑网络中,一般可以找到10至20个这样的用户。
(2)使用用户名(账号)的变换形式作为口令。
将用户名颠倒或者加前后缀作为口令,既容易记忆又可以防止许多黑客软件。
不错,对于这种方法的确是有相当一部分黑客软件无用武之地,不过那只是一些初级的软件。
比如说着名的黑客软件John,如果你的用户名是fool,那么它在尝试使用fool作为口令之后,还会试着使用诸如fool123、fool1、loof、loof123、lofo等作为口令,只要是你想得到的变换方法,John也会想得到,它破解这种口令,几乎也不需要时间。
(3)使用自己或者亲友的生日作为口令。
这种口令有着很大的欺骗性,因为这样往往可以得到一个6位或者8位的口令,但实际上可能的表达方式只有100×12×31=37200种,即使再考虑到年月日三者共有六种排列顺序,一共也只有37200×6=223200种。
(4)使用常用的英文单词作为口令。
这种方法比前几种方法要安全一些。
如果你选用的单词是十分偏僻的,那么黑客软件就可能无能为力了。
不过黑客多有一个很大的字典库,一般包含10万~20万的英文单词以及相应的组合,如果你不是研究英语的专家,那么你选择的英文单词恐怕十之八九可以在黑客的字典库中找到。
如果是那样的话,以20万单词的字典库计算,再考虑到一些DES(数据加密算法)的加密运算,每秒1800个的搜索速度也不过只需要110秒。
不安全的口令很容易导致口令被盗,口令被盗将导致用户在这台机器上的一切信息将全部丧失,并且危及他人信息安全,计算机只认口令不认人。
最常见的是电子邮件被非法截获,上网时被盗用。
而且黑客可以利用一般用户用不到的功能给主机带来更大的破坏。
例如利用主机和Internet连接高带宽的特点出国下载大型软件,然后在从国内主机下载;利用系统管理员给用户开的shell和unix系统的本身技术漏洞获得超级用户的权利;进入其他用户目录拷贝用户信息。
获得主机口令的途径有两个:
利用技术漏洞。
如缓冲区溢出,Sendmail漏洞,Sun的ftpd漏洞,Ultrix的fingerd,AIX的rlogin等等。
利用管理漏洞。
如root身份运行httpd,建立shadow的备份但是忘记更改其属性,用电子邮件寄送密码等等。
安全的口令应有以下特点:
用户口令不能未经加密显示在显示屏上
设置最小口令长度
强制修改口令的时间间隔
口令字符最好是数字、字母和其他字符的混合
用户口令必须经过加密
口令的唯一性
限制登录失败次数
制定口令更改策略
确保口令文件经过加密
确保口令文件不会被盗取
对于系统管理员的口令即使是8位带~!
@#$%^&*的也不代表是很安全
的,安全的口令应当是每月更换的带~!
@#%^...的口令。
而且如果一个管理员
管理多台机器,请不要将每台机器的密码设成一样的,防止黑客攻破一台机器后
就可攻击所有机器。
对于用户的口令,目前的情况下系统管理员还不能依靠用户自觉保证口令的
安全,管理员应当经常运用口令破解工具对自己机器上的用户口令进行检查,发
现如在不安全之列的口令应当立即通知用户修改口令。
邮件服务器不应该给用户
进shell的权利,新加用户时直接将其shell指向/bin/passwd。
对能进shell
的用户更要小心保护其口令,一个能进shell的用户等于半个超级用户。
保护好
/etc/passwd和/etc/shadow当然是首要的事情。
不应该将口令以明码的形式放在任何地方,系统管理员口令不应该很多人都
知道。
另外,还应从技术上保密,最好不要让root远程登录,少用Telnet或安装
SSL加密Telnet信息。
另外保护用户名也是很重要的事情。
登录一台机器需要知道两个部分——用户名和口令。
如果要攻击的机器用户名都需要猜测,可以说
攻破这台机器是不可能的。
2.3、授权管理
帐户的权限控制是针对网络非法操作所进行的一种安全保护措施。
在用户登录网络时,用户名和口令验证有效之后,再经进一步履行用户帐号的缺省限制检
查,用户被赋予一定的权限,具备了合法访问网络的资格。
我们可以根据访问权限将用户分为以下几类:
特殊用户(即系统管理员);
一般用户,系统管理员根据他们的实际需要为他们分配操作权限;
审计用户,负责网络的安全控制与资源使用情况的审计。
用户对网络资源的
访问权限可以用一个访问控制表来描述。
授权管理控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。
可以指定用户对这些文件、目录、设备能够执行哪些操作。
同时对所有用户的访
问进行审计和安全报警,具体策略如下:
2.4、目录级安全控制
控制用户对目录、文件、设备的访问。
用户在目录一级指定的权限对所有文
件和子目录有效,用户还可进一步指定对目录下的子目录和文件的权限。
对目录和文件的访问权限一般有八种:
系统管理员权限(Supervisor)
读权限(Read)
写权限(Write)
创建权限(Create)
删除权限(Erase)
修改权限(Modify)
文件查找权限(FileScan)
存取控制权限(AccessControl)
网络系统管理员应当为用户指定适当的访问权限,这些访问权限控制着用户
对服务器的访问。
八种访问权限的有效组合可以让用户有效地完成工作,同时又
能有效地控制用户对服务器资源的访问,从而加强了网络和服务器的安全性。
2.5、属性级安全控制
属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。
属性安全在权限安全的基础上提供更进一步的安全性。
网络上的资源都应预先标出一组安全属性。
用户对网络资源的访问权限对应一张访问控制表,用以表明用户对网络资源的访问能力,避免引起不同的帐户获得其不该拥有的访问权限。
属性设置可以覆盖已经指定的任何有效权限。
属性往往能控制以下几个方面的权限:
向某个文件写数据
拷贝一个文件
删除目录或文件
查看目录和文件
执行文件
隐含文件
共享
系统属性
网络的属性可以保护重要的目录和文件,防止用户对目录和文件的误删除、
执行修改、显示等。
网络管理员还应对网络资源实施监控,网络服务器应记录用户对网络资源的访问,对非法的网络访问,服务器应以图形或文字或声音等形式报警,以引起网络管理员的注意。
定期扫描与帐户安全有关的问题。
由于帐户设置的问题使得系统用户可以有意或无意地插入帐户。
用户帐号检测可以在系统的口令文件中寻找这类问题,同时寻找非活动帐号,它们往往是被攻击的对象。
对帐户进行安全问题的检测,应使第三方扫描软件搜索不到您的内部帐户名称和口令,将可能出现的安全问题提前处理掉,并将当前系统帐户设置同上一次系统安全扫描评价时的设置相比较,将发现的新增的未认证帐户和用户修改过的标识删除,及时将发现的其它安全问题修正。
3、运行网络安全管理
3.1、目的
保障连云港菜篮子网的网络的安全运行,明确日常运行网络管理责任。
3.2、范围
本制度适应于对连云港菜篮子网网络系统和业务系统。
3.3、定义
运行网络安全是指网络系统和业务系统在运行过程中的访问控制和数据的安全性。
包括资源管理、入侵检测、日常安全监控与应急响应、人员管理和安全防范。
3.4、日常安全监控
3.5、安全响应
和安全小组。
3.6、运行网络安全防范制度
3.7、运行网络人员管理制度
4、数据备份
4.1、目的
规范业务数据备份和恢复操作,确保业务系统和数据安全。
4.2、适用范围
业务系统各服务器的磁带备份和硬盘备份。
其它服务器备份可参考本制度。
4.3、定义
循环日志备份方式,也称为脱机备份方式,是指当备份任务运行时,只有备份任务可以与数据库连接,其他任务都不能与数据库连接。
利用数据库的脱机备份映像(Image)文件可以恢复数据库到与备份时间点一致的状态。
归档日志备份方式,也称为联机备份方式,是指当备份任务运行的同时,其他应用程序或者进程可以继续与该数据库连接并继续读取盒修改数据。
利用数据库的联机备份映像文件和日志(Log)文件,可以恢复数据库到与日志文件相符的某个时间点一致的状态。
4.4、规定
系统安装、升级、调整和配置修改时做系统备份。
包括系统备份和数据库备份。
数据库采用循环日志备份方式,也就是脱机备份方式。
备份由管理员执行。
备份一份。
长期保存。
日备份的数据库,分别采用两盘磁带进行备份,备份的数据保留三个月。
为了实现业务系统24小时的不间断对外服务,数据库的备份方式是归档日志备份方式,也就是联机备份方式。
采用这种方式进行备份,系统的服务不需要停止,数据库采用其内部的机制实现备份前后数据的一致。
备份由操作员执行。
系统每月进行一次月备份。
备份的内容包括应用程序、数据库应用程序以及进行数据库的循环日志备份。
备份由管理员执行。
备份一份。
长期保存。
应用系统应用变更时,做一次系统备份。
备份由管理员执行。
备份一份,长期保存。
4.5、备份磁带命名
依据设备或者秦热的相关设备命名规范。
4.6、备份数据的保管
需要专人和专用设备进行保管。
4.7、备份数据的使用
参考秦热的相关规定。
4、应急方案
5.1、目的
确保网络和业务系统安全有效运行,及时、有效处理各种突发事件,防范降低风险,提高计算机系统的运行效率。
5.2、定义
应急方案包括:
主机系统故障应急方案、通信系统故障应急方案、系统和数据的灾难备份与恢复、黑客攻击的应急方案、主机感染病毒后的应急方案、安全体系受损或瘫痪的应急方案。
5.3、应急方案
5.4、应急方案的管理
6、计算机安全产品管理制度
6.1、安全产品的管理
1.目的
规范计算机安全产品的使用和管理,合理使用和管理现有的计算机安全产品,防范风险堵塞漏洞,提高秦热的计算机信息系统的安全等级。
2.定义
计算机安全产品包括:
防火墙产品、防病毒产品、入侵检测系统、漏洞扫描系统等。
3.适用范围
适用于秦热网络环境和应用环境。
4.管理原则
防病毒安全产品遵循公安部病毒防护的有关管理制度;
其他安全产品遵守国家的相关安全管理规定。
6.2、防火墙的管理制度
1.目的
加强和统一防火墙的管理和使用,保证防火墙的安全可靠运行,保障各种网络和业务系统的安全运行,
2.定义
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。
它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。
它是提供信息安全服务,实现网络和信息安全的基础设施。
在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器。
防火墙有硬件的,也有软件的。
3.适用范围
所有的防火墙产品。
4.防火墙的购置和使用
4.1遵循安全最大化的原则和有关程序进行购置。
4.2防火墙必须是其所隔离的网络之间的唯一信息通道。
5.管理规定
5.1防火墙要有专人管理和维护,任务是:
1)整理防火墙的有关的配置、技术资料以及相关软件,并进行备份和归档。
2)负责防火墙的日常管理和维护。
3)定期查看和备份日志信息,日志信息要归档长期保存。
4)经授权后方可修改防火墙的有关配置,修改过程要记录备案。
5)经授权后方可对防火墙的内核和管理软件的进行升级,升级的详细过程要记录备案。
5.2防火墙的安全策略要参考厂家或安全公司的意见,结合秦热的网络环境和安全建设需求,由计算机中心根据实际的安全需求负责制订和实施配置。
由厂家或者安全公司提供技术支持。
5.3防火墙的安全策略和配置参数一经确定和完成,任何人不得随意修改。
若确有需求,由当事人或部门提出书面申请,提交安全主管,获准后,由专管人员进行修改或升级,详细记录有关修改升级情况并上报有关部门备案
5.4防火墙的有关技术资料、安全策略、重要参数的配置以及修改记录等要整理归档,作为绝密资料保存。
5.5防火墙出现故障后,要立即启用备用防火墙,并尽可能在最短的时间内排除故障。
附防火墙修改、升级记录格式:
1)申请人(部)、申请时间
2)申请原因
3)安全主管批示
4)相关领导批示
5)修改、升级情况记录
6)结果
7)操作人签字
6.3、防病毒的管理制度
1.目的
统一及加强对防病毒软件的管理,保证防病毒软件的合法运行,提高使用效率,合理、充分利用该系统,避免非法使用及秦热系统的重复开发和资源浪费。
2.适用范围
防病毒软件产品;防病毒软件的硬件载体即计算机设备;防病毒软件载体即磁盘、光盘、资料与手册等。
3.防病毒软件的使用
3.1各部门使用软件时应提出书面申请,经计算机中心领导签字后交防病毒主管人员审核同意,交由相关技术人员实施。
3.2外单位需使用有关软件产品,必须持有关证明,并报请部门领导审核后,再交由文档资料管理员办理有关手续。
3.3存档保管的软件产品属秦热的资产,不得随意复制和外传,否则,将承担法律责任。
4.防病毒软件的管理与维护
4.1防病毒软件管理人员与任务
防病毒软件管理由计算机中心相关领导负责,并做下列工作:
1)对防病毒软件归档入库并进行登录、保管;
2)防病毒软件拷贝和资料印刷等工作;
3)防病毒软件的安装、调试及卸载;
4)制定防病毒软件的安全策略;
5)一周三次定期查看防病毒系统的日志记录,并做备份。
6)如发现异常报警或情况需及时通知相关负责人。
4.2防病毒软件的登记
附录:
(1)防病毒软件的使用者姓名或单位;
(2)开始、结束或使用时间:
(3)服务器的情况:
IP地址,服务器的类型,服务器的用途;
(4)防病毒软件使用情况;
(5)安全策略的详细说明;
(6)管理人员的签字。
6.4、入侵检测的管理制度
1.目的
统一及加强对入侵检测系统软(硬)件的管理,保证入侵检测系统的合法运行,提高使用效率,合理、充分利用该系统,避免非法使用及连云港菜篮子网系统的重复开发和资源浪费。
2.适用范围
a)入侵检测系统软件产品;
b)入侵检测系统的硬件载体即计算机设备;
c)入侵检测系统的软件载体即磁盘、光盘、资料与手册等。
3.入侵检测系统的使用
3.1存档保管的入侵检测资料属连云港菜篮子网的资产,不得随意复制和外传,否则,将承担法律责任。
3.2正常运行的入侵检测系统必须由专人负责,相关规则设计属连云港菜篮子网内部机密,不得外传,否则,将承担法律责任。
4.入侵检测系统的管理与维护
4.1入侵检测系统管理人员与任务
入侵检测系统管理由计算机中心相关领导负责,并做下列工作:
1)对入侵检测系统软件及相关资料归档入库并进行登录、保管;
2)入侵检测系统软件拷贝和资料印刷等工作;
3)入侵检测系统的安装、调试及卸载;
4)一周三次定期查看入侵检测系统日志记录,并做备份。
5)如发现异常报警或情况需及时通知相关负责人。
4.2入侵检测系统的登记
附录:
(1)入侵检测系统使用者姓名或单位;
(2)开始、结束或使用时间:
(3)服务器的情况:
IP地址,服务器的类型,服务器的用途;
(4)入侵检测系统情况;
6.5、漏洞扫描的管理制度
1.目的
统一管理漏洞扫描,加强漏洞扫描软件的管理,保证漏洞扫描的合法进行,提高使用效率,合理、充分进行漏洞扫描,避免不正当非法使用。
2.适用范围
日常漏洞扫描:
上述漏洞扫描软件的载体即磁盘、光盘、资料与手册等。
3.漏洞扫描软件使用
a)连云港菜篮子网各部门如果需要使用本软件时应提出书面申请,经该计算机中心相关领导签字后交计算机中心相关负责人审核同意。
b)外单位如果需使用有关软件产品,必须持有关证明,并报请计算机中心相关领导审核后,再交由文档资料管理员办理有关手续。
c)存档保管的软件产品属连云港菜篮子网的资产,不得随意复制和外传,否则,将承担法律责任。
4.漏洞扫描的管理与维护
4.1漏洞扫描管理人员与任务
漏洞扫描管理由计算机中心领导负责,并做下列工作:
4.2漏洞扫描的登记
附录:
a)漏洞扫描者姓名或单位;
b)开始、结束或使用时间:
c)服务器的情况:
IP地址,服务器的类型,服务器的用途;
d)漏洞扫描情况:
有潜在危险的服务器,漏洞的等级,漏洞的简要说明;
e)漏洞的详细说明;
f)漏洞的解决方案;
g)管理人员的签字。
7、日常审计管理
7.1、目的
保障连云港菜篮子网网络和业务系统的安全运行,明确网络和业务系统的审计责任。
7.2、范围
本制度适应于对网络和业务系统的安全审计。
7.3、定义
安全审计指对连云港菜篮子网网络和业务安全与运行网络安全的审计,主要指业务审计、投产审计、安全策略与制度的审计、安全评估、制度与规范执行情况的审计。
7.4、规定
7.5、安全教育培训
由安全小组定期组织网络管理人员和系统维护人员进行安全教育培训。
主要有法制教育、安全意识教育和安全防范技能训练。
安全教育培训内容:
保护计算机和专有数据;保护文件和专有信息;计算机安全管理;信息安全保密;防范计算机病毒和黑客;预防计算机犯罪;相关的法律法规等。
7.6、安全检查考核
由安全小组定期组织安全检查考核,网络和系统的工作人员要从政治思想、业务水平、工作表现、遵守安全规程等方面进行考核,对考核发现有违反安全法规的人员或不适合接触计算机信息系统的人员要及时调离岗位,不应让其再接触系统,对情节严重的要追究其法律责任。
8、应急演练
8.1、目的
测试应急方案,确保应急方案的正确性、有效性、快速性。
8.2、适用范围
网络和业务系统的各种应急方案。
8.3、规定
8.3.1、每一种应急方案都要经过两次以上的应急演练。
8.3.2、由安全小组制定和组织实施应急演练,并对演练结果进行分析研究,查找问题,将存在的问题反馈给方案的制定部门,要求其对应急方案进行修订。
修订后的应急方案要重新进行测试演练。
9、安全方案审核
9.1、目的
保障重大方案的安全实施。
9.2、定义
安全方案包括:
变更运行机房现有环境及设备、设施;修改系统参数;查询、修改、恢复业务数据库数据;增加、删除网络节点;修改网络参数。
修改有关安全产品(如防火墙、IDS)的安全策略、重要参数;远程主机系统登录;系统软件的升级和安装、系统切换;应用软件的维护修改、升级换版;应急计划的实施;结息、年终结转。
9.3、适用范围
计算机网络系统和业务系统。
9.4、规定
9.4.1、安全小组负责安全方案可行性的论证工作。
9.4.2、安全小组负责实施安全方案的审批工作。
9.4.3、安全小组负责监控安全方案的实施情况。
10、事故响应及处理
10.1、目的
确保计算机系统安全有效运行,及时响应和处理各种计算机事故。
10.2、定义
计算机事故的定义可以参见计算机中心的有关规定。
10.3、适用范围
计算机系统事故的响应和处理。
10.4、规定
10.4.1、发生计算机事故时,当事人要迅速报告安全小组以及相关部门,并详细记录事故发生的时间、地点、现象以及可能的原因。
10.4.2、安全小组接到报告后,根据事故的严重程度,决定启动何种形式的应急方案,并上报计算机中心和相关业务领导。
事故结束后,要和有关人员、部门分析事故发生的原因,并根据情节的轻重对事故责任人作出相应的处理。
10.4.3、出现重大计算机事故,有计算机犯罪嫌疑的,除了采取相应的补救措施外,还要及时上报公安机关,依法追究事故责任人的法律责任。
11、技术档案管理制度
11.1、目的
规范所有技术档案的管理,严格有关借阅手续。
11.2、定义
技术档案是指各种硬件、系统软件、数据库的技术资料,应用软件使用说明、运营维护手册,以及各种设备、应用软件的运行档案
11.3、适用范围
计算机系统中各种软、硬件产品的技术档案以及相应的载体。
11.4、规定
11.4.1、技术档案要有专人负责保管,也可一主一辅进行管理。
11.4.2、技术档案管理人员要对档案登录《技术档案归档登记簿》造册,注明名称、类别、数量、存放位置和入库时间等,正式入档保管。
11.4.3、根据有关档案管理规定,对技术资料按其重要价值进行密级分类管理,要有一套技术档案作为永久保存,此套技术档案一般不外借。
11.4.4、技术档案保管环境须满足防盗、防火、防潮、防水、防鼠、防虫、防磁、防震等要求,重要技术档案应有冗余保护措施。
11.4.5、备份介质要存放在专用的介质库内,重要的系统软件、应用软件,以及业务数据备份还须异地保存,填写数据介质档案登记簿。
11.4.6、定期检查技术档案的完整性及有效性,对受损档案要及时整理和修复,对介质档案还应定期进行重绕、重写、复制等维护措施。
11.4.7、借阅技
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络安全 管理制度 汇编 整理