【文章內(nèi)容簡(jiǎn)介】 硬盤使用率和網(wǎng)絡(luò)接口狀態(tài)等使用情況，確保各設(shè)備都能正常工作，如發(fā)現(xiàn)異常情況，應(yīng)立即報(bào)告信息管理部信息安全管理員，同時(shí)采取控制措施，并記錄《系統(tǒng)異常故障表》。(11)網(wǎng)絡(luò)和安全設(shè)備職守員對(duì)網(wǎng)絡(luò)和安全設(shè)備的任何修改，都需要進(jìn)行備案，對(duì)設(shè)備的重大修改和配置（如路由調(diào)整、系統(tǒng)升級(jí)等）必須向信息技術(shù)管理員提交設(shè)備調(diào)整方案，由信息技術(shù)管理員審核通過(guò)后方可實(shí)施。設(shè)備的配置和修改必須在非業(yè)務(wù)時(shí)間進(jìn)行，重大調(diào)整必須提前準(zhǔn)備應(yīng)急預(yù)案和回退方案。(12)開(kāi)啟網(wǎng)絡(luò)和安全設(shè)備日志記錄功能，并將日志同步到集中網(wǎng)管系統(tǒng)上，系統(tǒng)值守員應(yīng)定期對(duì)日志進(jìn)行審計(jì)分析，至少每月審計(jì)一次，重點(diǎn)對(duì)登錄的用戶、登錄時(shí)間、所做的配置和操作做檢查，在發(fā)現(xiàn)有異常的現(xiàn)象時(shí)及時(shí)向信息技術(shù)管理員報(bào)告。(13)網(wǎng)絡(luò)和安全設(shè)備職守員應(yīng)設(shè)置定期對(duì)設(shè)備日志進(jìn)行歸檔保存，歷史記錄保持時(shí)間不得低于一年。. 網(wǎng)絡(luò)設(shè)備安全配置以下網(wǎng)絡(luò)設(shè)備的安全維護(hù)制度，均為Cisco路由器和交換機(jī)操作命令為例。(1)啟用enablesecret代替enablepassword，從而對(duì)配置文件中的password進(jìn)行加密，防止用戶口令泄密。(2)應(yīng)關(guān)閉banner顯示，遠(yuǎn)程撥入維護(hù)方式，以及不需要開(kāi)放的服務(wù)，如tcpsmallservers，udpsmallservers等。(3)在接入層交換機(jī)中，對(duì)于不需要用來(lái)進(jìn)行第三層連接的端口，通過(guò)設(shè)置使其屬于相應(yīng)的VLAN，應(yīng)將所有空閑交換機(jī)端口設(shè)置為Disable，防止空閑的交換機(jī)端口被非法使用。(4)對(duì)于交換機(jī)做流量鏡像的情況，應(yīng)充分評(píng)估鏡像的作用以及因?yàn)殓R像造成的流量增加對(duì)交換機(jī)性能的影響，做鏡像后交換機(jī)后的整體性能（如cpu、內(nèi)存等）不能超過(guò)60%。8(5)關(guān)閉非必需的網(wǎng)絡(luò)協(xié)議。對(duì)于CISCO路由器，禁止用戶側(cè)接口的CDP協(xié)議功能。(6)對(duì)于交換機(jī)，防止VTP攻擊，應(yīng)設(shè)置口令認(rèn)證，口令強(qiáng)度應(yīng)大于12位，并由數(shù)字、大小寫字母和特殊字符共同組成。(7)限制SYN包流量帶寬，控制ICMP、TCP、UDP的連接數(shù)，每秒會(huì)話連接數(shù)不超過(guò)2000PPS。. 安全設(shè)備配置規(guī)范(1) 防火墻設(shè)備1)防火墻應(yīng)部署在網(wǎng)絡(luò)邊界處，如XX公司與各直屬單位，公司與互聯(lián)網(wǎng)連接處等網(wǎng)絡(luò)連接處進(jìn)行風(fēng)險(xiǎn)和攻擊隔離。2)防火墻應(yīng)保證正常應(yīng)用的連通性，保證網(wǎng)絡(luò)和應(yīng)用系統(tǒng)的性能不因部署防火墻有明顯下降，特別是一些重要業(yè)務(wù)系統(tǒng)。3)盡量保持防火墻規(guī)則的清晰與簡(jiǎn)潔，并遵循“默認(rèn)拒絕，特殊規(guī)則靠前，普通規(guī)則靠后，規(guī)則不重復(fù)”的原則，通過(guò)調(diào)整規(guī)則的次序進(jìn)行優(yōu)化。4)防火墻各區(qū)域的路由設(shè)置應(yīng)合理，嚴(yán)格禁止任何旁路路由。5)配置或更改防火墻策略前，必須對(duì)防火墻進(jìn)行配置備份，設(shè)備職守員必須向信息技術(shù)管理員提交防火墻策略調(diào)整方案，由信息技術(shù)管理員審核通過(guò)后方可實(shí)施。防火墻的配置和更改必須在非業(yè)務(wù)時(shí)間進(jìn)行，重大調(diào)整必須提前準(zhǔn)備應(yīng)急預(yù)案和回退方案。6)配置或更改防火墻策略時(shí)，必須根據(jù)源地址、目的地址、目標(biāo)端口、時(shí)間、策略行為這五個(gè)基本元素進(jìn)行設(shè)計(jì)，確定每個(gè)元素的具體數(shù)值。盡量避免使用Any、All等全值參數(shù)進(jìn)行允許訪問(wèn)策略配置。如：各直屬單位、下屬卷煙集團(tuán)和下屬卷煙分廠與XXXX連接的防火墻，必須針對(duì)應(yīng)用以及訪問(wèn)主機(jī)對(duì)IP地址、開(kāi)放服務(wù)端口進(jìn)行訪問(wèn)策略設(shè)置；互聯(lián)網(wǎng)防火墻必須嚴(yán)格禁止從INTERNET主動(dòng)對(duì)內(nèi)網(wǎng)發(fā)起訪問(wèn)請(qǐng)求，開(kāi)放DMZ區(qū)服務(wù)器的訪問(wèn)，必須根據(jù)所提供業(yè)務(wù)開(kāi)放固定端口，如web服務(wù)器開(kāi)放TCP80端口，郵件服務(wù)器開(kāi)放TCP2110等。87)配置或更改防火墻策略后，必須對(duì)網(wǎng)絡(luò)和業(yè)務(wù)的連通性進(jìn)行逐一測(cè)試，保證信息系統(tǒng)的可用性。8)臨時(shí)性增加的訪問(wèn)控制規(guī)則在使用完成后，應(yīng)及時(shí)刪除。9)安全職守員應(yīng)定期對(duì)防火墻的訪問(wèn)控制規(guī)則進(jìn)行檢查和必要調(diào)整，至少每月執(zhí)行一次。(2) 網(wǎng)絡(luò)版防病毒軟件1)信息管理部對(duì)防病毒軟件的部署應(yīng)該做到統(tǒng)一規(guī)劃，統(tǒng)一部署，統(tǒng)一管理。2)安全職守員應(yīng)根據(jù)XXXX終端和主機(jī)所在部門進(jìn)行邏輯分組，并根據(jù)終端和主機(jī)的工作時(shí)間，制定掃描策略，建議每周掃描一次，在中午休息時(shí)間啟動(dòng)病毒掃描，避免在業(yè)務(wù)繁忙時(shí)執(zhí)行。3)信息管理部防病毒軟件必須統(tǒng)一進(jìn)行病毒特征庫(kù)的更新，至少每周進(jìn)行一次。重大安全漏洞和病毒發(fā)布后，應(yīng)立即進(jìn)行更新，并在3個(gè)工作日內(nèi)完成所有終端和主機(jī)的掃描工作。4)安全職守員應(yīng)及時(shí)了解防病毒廠商公布的計(jì)算機(jī)病毒情報(bào)，關(guān)注新產(chǎn)生的、傳播面廣的計(jì)算機(jī)病毒，并了解它們的發(fā)作特征和存在形態(tài)，及時(shí)發(fā)現(xiàn)計(jì)算機(jī)系統(tǒng)出現(xiàn)的異常是否與新的計(jì)算機(jī)病毒有關(guān)。5)安全職守員應(yīng)及時(shí)了解各系統(tǒng)廠商所發(fā)布的漏洞情況，對(duì)于很可能被病毒利用的遠(yuǎn)程控制的漏洞要及時(shí)提醒用戶安裝相關(guān)補(bǔ)丁。6)安全職守員負(fù)責(zé)防病毒軟件的總體維護(hù)，每天定時(shí)登陸防病毒總控制臺(tái)，檢查XXXX和各地市公司防病毒軟件服務(wù)的運(yùn)行狀態(tài)，病毒實(shí)時(shí)監(jiān)測(cè)和掃描狀況以及防病毒服務(wù)器的運(yùn)轉(zhuǎn)情況，發(fā)現(xiàn)異常馬上采取控制措施，如發(fā)現(xiàn)大規(guī)模病毒爆發(fā)，應(yīng)及時(shí)上報(bào)信息安全管理員。7)安全職守員有責(zé)任維護(hù)各應(yīng)用服務(wù)器及終端防病毒系統(tǒng)的正常運(yùn)轉(zhuǎn)，也需要定期對(duì)防病毒軟件的升級(jí)情況進(jìn)行監(jiān)控。如果遇到問(wèn)題或者病毒報(bào)警，應(yīng)采取控制措施并及時(shí)上報(bào)信息安全管理員。88)安全職守員應(yīng)至少每次/月統(tǒng)計(jì)病毒報(bào)告，以分析歷史病毒事件，加強(qiáng)安全策略防范。9)新入網(wǎng)的終端及主機(jī)，在安裝完操作系統(tǒng)后，要在第一時(shí)間內(nèi)安裝信息管理部統(tǒng)一部署的防病毒軟件；沒(méi)有安裝統(tǒng)一防病毒軟件的Windows系統(tǒng)不得接入公司網(wǎng)絡(luò)；終端及主機(jī)不得私自安裝非統(tǒng)一部署的防病毒軟件。(3) 終端安全管理軟件1)信息管理部對(duì)終端安全管理軟件的部署應(yīng)該做到統(tǒng)一規(guī)劃，統(tǒng)一部署，統(tǒng)一管理。2)安全職守員應(yīng)根據(jù)XXXX終端和主機(jī)所在部門進(jìn)行邏輯分組，以便于統(tǒng)一管理。3)安全職守員負(fù)責(zé)終端安全管理軟件的總體維護(hù)，每天定時(shí)登陸終端安全管理總控制臺(tái)，檢查XXXX和各地市公司終端安全管理軟件服務(wù)的運(yùn)行狀態(tài)，以及終端違規(guī)狀況，發(fā)現(xiàn)異常馬上采取控制措施，應(yīng)及時(shí)上報(bào)信息安全管理員。4)安全職守員應(yīng)根據(jù)終端和XXXXXX的實(shí)際安全需求來(lái)制定終端控制策略，策略下發(fā)前，必須進(jìn)行不少于兩天的策略測(cè)試運(yùn)行工作，必須在測(cè)試成功后才能對(duì)終端進(jìn)行應(yīng)用。5)新入網(wǎng)的終端及主機(jī)，應(yīng)及時(shí)安裝信息管理部統(tǒng)一部署的終端安全管理軟件；沒(méi)有安裝統(tǒng)一終端安全管理軟件的Windows系統(tǒng)不得接入公司網(wǎng)絡(luò)；終端及主機(jī)不得私自安裝或開(kāi)啟非統(tǒng)一部署的終端安全管理軟件。(4) 入侵檢測(cè)/保護(hù)系統(tǒng)1) 入侵檢測(cè)系統(tǒng)應(yīng)實(shí)施旁路部署，部署于關(guān)鍵交換區(qū)域，建議部署在公司核心交換機(jī)、服務(wù)器交換機(jī)等區(qū)域上，用于檢測(cè)內(nèi)網(wǎng)、互聯(lián)網(wǎng)出口處、服務(wù)器區(qū)域出口線路等節(jié)點(diǎn)的網(wǎng)絡(luò)入侵事件。2) 入侵保護(hù)系統(tǒng)應(yīng)實(shí)施串聯(lián)部署，部署于關(guān)鍵交換區(qū)域，建議部署在公司核心交換機(jī)、服務(wù)器交換機(jī)等區(qū)域上，用于檢測(cè)并阻攔內(nèi)網(wǎng)、互聯(lián)網(wǎng)出口處、服務(wù)器區(qū)域出口線路等節(jié)點(diǎn)的網(wǎng)絡(luò)入侵事件。83) 入侵檢測(cè)/防護(hù)系統(tǒng)必須定期進(jìn)行入侵特征庫(kù)的更新，至少每周進(jìn)行一次。重大安全漏洞和事件發(fā)布后，應(yīng)立即進(jìn)行更新。4) 入侵檢測(cè)/防護(hù)系統(tǒng)根據(jù)攻擊特性啟用入侵攻擊、蠕蟲病毒、間諜軟件、P2P下載等監(jiān)控/防護(hù)規(guī)則。5) 入侵防護(hù)系統(tǒng)應(yīng)針