XX系統(tǒng)網(wǎng)絡(luò)安全建議-初稿資料

系統(tǒng)網(wǎng)絡(luò)安全建議-初稿精品文檔系統(tǒng)網(wǎng)絡(luò)安全建議為保證XX系統(tǒng)及相關(guān)數(shù)據(jù)的安全，根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《GBT22239-2008信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》，結(jié)合系統(tǒng)建設(shè)實際情況，特作出如下建議，安全措施及策略包含但不限于以下內(nèi)容。一、網(wǎng)絡(luò)安全1、架構(gòu)安全1）結(jié)合現(xiàn)有網(wǎng)絡(luò)架構(gòu)，建議XX在XX至XX專線接入點上增加網(wǎng)絡(luò)安全設(shè)備，設(shè)備功能包含但不限于以下類別：【1】基本防火墻功能：如黑白名單、訪問控制、安全域劃分等；【2】NAT功能：如目的 NAT、源NAT、雙向NAT等；【3】入侵檢測與防御：如 SYN-flood、蠕蟲、木馬、惡意軟件等；【4】反病毒及URL過濾：如自動在線更新病毒庫及 URL庫；【5】用戶身份驗證和接入控制；【6】網(wǎng)絡(luò)審計：基于用戶對訪問內(nèi)容進行審計、溯源；【7】智能報表：支持時間、流量、威脅、等多維度呈現(xiàn)報表；2）應(yīng)保證各關(guān)鍵網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力滿足基本業(yè)務(wù)需要；3）應(yīng)保證接入網(wǎng)絡(luò)和核心網(wǎng)絡(luò)的帶寬滿足基本業(yè)務(wù)需要；4）應(yīng)繪制與當前運行情況相符的網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖。收集于網(wǎng)絡(luò)，如有侵權(quán)請聯(lián)系管理員刪除精品文檔5）各單位應(yīng)配備相應(yīng)的網(wǎng)絡(luò)安全設(shè)備進行防護；6）應(yīng)指定人員對網(wǎng)絡(luò)進行管理，負責運行日志、網(wǎng)絡(luò)監(jiān)控記錄的日常維護、報警信息的分析和處理工作；7）應(yīng)定期進行網(wǎng)絡(luò)系統(tǒng)漏洞掃描，對發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)安全漏洞進行及時的修補。2、訪問控制安全1）應(yīng)根據(jù)訪問控制列表對源地址、目的地址、源端口、目的端口和協(xié)議等進行檢查，以允許/拒絕數(shù)據(jù)包出入；2）應(yīng)通過訪問控制列表對系統(tǒng)資源實現(xiàn)允許或拒絕用戶訪問，控制粒度至少為用戶組；3）應(yīng)對登錄設(shè)備、系統(tǒng)及數(shù)據(jù)庫的用戶進行身份鑒別；4）應(yīng)具有登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)、登錄連接超時自動退出等措施；5）當對設(shè)備或系統(tǒng)進行遠程管理時，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；6）當需要進行端口映射時，內(nèi)外端口應(yīng)不相同，對外只開放必要的服務(wù)和端口。所有管理權(quán)限應(yīng)按照相關(guān)規(guī)定以最小權(quán)限原則進行授權(quán)。3、主機安全（1）應(yīng)對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進行身份標識和鑒別。收集于網(wǎng)絡(luò)，如有侵權(quán)請聯(lián)系管理員刪除精品文檔2）應(yīng)啟用主機系統(tǒng)防火墻，依據(jù)安全策略控制用戶對資源的訪問；3）應(yīng)限制默認帳戶的訪問權(quán)限，重命名系統(tǒng)默認帳戶，修改這些帳戶的默認口令；4）應(yīng)及時刪除多余的、過期的帳戶，避免共享帳戶的存在。5）所有賬戶口令應(yīng)滿足密碼復(fù)雜度要求，口令長度為8~16位，至少包含數(shù)字、大小字母、特殊字符中的任意三種及以上，且口令應(yīng)設(shè)定周期進行修改；6）操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并保持系統(tǒng)補丁及時得到更新。7）windows版本操作系統(tǒng)應(yīng)安裝相應(yīng)的防病毒軟件進行防護；8）終端用戶PC機應(yīng)做到物理上內(nèi)外網(wǎng)隔離；9）應(yīng)安裝系統(tǒng)的最新補丁程序，并在安裝系統(tǒng)補丁前對現(xiàn)有的重要文件進行備份。10）應(yīng)提高所有用戶的防病毒意識，告知及時升級防病毒軟件，在讀取移動存儲設(shè)備上的數(shù)據(jù)以及網(wǎng)絡(luò)上接收文件或郵件之前，先進行病毒檢查，對外來計算機或存儲設(shè)備接入網(wǎng)絡(luò)系統(tǒng)之前也應(yīng)進行病毒檢查。4、安全事件處置1）應(yīng)報告所發(fā)現(xiàn)的安全弱點和可疑事件，但任何情況下用戶均不應(yīng)嘗試驗證弱點；收集于網(wǎng)絡(luò)，如有侵權(quán)請聯(lián)系管理員刪除精品文檔（2）應(yīng)制定安全事件報告和處置管理制度，規(guī)定安全事件的現(xiàn)場處理、事件報告和后期恢復(fù)的管理職責。3）應(yīng)提前制定應(yīng)急預(yù)案，如消防應(yīng)急演練、數(shù)據(jù)庫宕機演練、網(wǎng)絡(luò)攻擊演練等，并且根據(jù)預(yù)案定期進行演練；二、信息安全1、資料安全1）文檔、數(shù)據(jù)、配置參數(shù)等信息資料應(yīng)有效組織、整理、歸檔備案。2）文檔、數(shù)據(jù)、配置參數(shù)等機密信息應(yīng)禁止外泄；3）因工作需要翻閱文檔、資料或者查詢相關(guān)數(shù)據(jù)的外部人員，應(yīng)經(jīng)相關(guān)管理人員授權(quán)同意后方可查閱。4）重要資料、文檔、數(shù)據(jù)等信息應(yīng)采取對應(yīng)的技術(shù)手段進行加密、存儲和備份，對于加密的數(shù)據(jù)應(yīng)保證其可還原性及可用性。2、數(shù)據(jù)安全1）對于重要業(yè)務(wù)數(shù)據(jù)，應(yīng)保證其完整性，避免在傳輸過程中受到破壞；2）各單位應(yīng)針對業(yè)務(wù)特點采取備份操作，根據(jù)實際情況選擇全備、增量或差異，重要業(yè)務(wù)數(shù)據(jù)還應(yīng)采取異地備份；3）所有備份的數(shù)據(jù)應(yīng)保證其可恢復(fù)性，針對重要業(yè)務(wù)數(shù)據(jù)，應(yīng)不定期對備份數(shù)據(jù)進行可恢復(fù)性測試；收集于網(wǎng)絡(luò)，如有侵權(quán)請聯(lián)系管理員刪除精品文檔三、物理安全1、資產(chǎn)安全1）所有主要設(shè)備應(yīng)放置在核心機房內(nèi)；2）設(shè)備及系統(tǒng)內(nèi)的任何數(shù)據(jù)都應(yīng)嚴禁隨意修改。如必須更改，應(yīng)在更改之前上報，且做好數(shù)據(jù)備份，經(jīng)管理人員批準后方可改動。改動后一周內(nèi)確認系統(tǒng)或設(shè)備運行無誤后，方可刪除備份數(shù)據(jù)。3）應(yīng)編制與信息系統(tǒng)相關(guān)的資產(chǎn)清單，包括資產(chǎn)責任部門、重要程度和所處位置等內(nèi)容。4）應(yīng)對信息系統(tǒng)相關(guān)的各種設(shè)備、線路等指定專門的部門或人員定期進行維護管理；5）應(yīng)建立基于申報、審批和專人負責的設(shè)備安全管理制度，對信息系統(tǒng)的各種軟硬件設(shè)備的選型、采購、發(fā)放和領(lǐng)用等過程進行規(guī)范化管理。2、環(huán)境安全1）核心機房建設(shè)應(yīng)符合國家相關(guān)標準，如防水、防盜、防火等；2）應(yīng)保持系統(tǒng)及設(shè)備正常運行所必須的溫濕度等環(huán)境要求，對運行環(huán)境可能出現(xiàn)的不利因素應(yīng)進行監(jiān)測并預(yù)警。3）主要設(shè)備供電至少應(yīng)采用2N架構(gòu)，核心機房應(yīng)配備UPS電源；收集于網(wǎng)絡(luò)，如有侵權(quán)請聯(lián)系管理員刪除精品文檔4）核心機房內(nèi)應(yīng)嚴禁吸煙和使用明火，不得存放各種易燃、易爆、放射性及強磁場物品。5）服務(wù)器、網(wǎng)絡(luò)設(shè)備、UPS電源、精密空調(diào)等重要設(shè)施應(yīng)由專人嚴格按照規(guī)定操作，嚴禁隨意開關(guān)、設(shè)置及更改相關(guān)參數(shù)。6）核心機房出入應(yīng)安排專人負責，控制、鑒別和記錄進入的人員。四、管理安全1）應(yīng)對系統(tǒng)所涉及的各類人員進行安全意識教育和崗位技能培訓；2）應(yīng)告知系統(tǒng)所涉及的各類人員相關(guān)的安全責任和懲戒措施。3）應(yīng)確保在外部人員訪問受控區(qū)域前得到授權(quán)或?qū)徟?）應(yīng)建立日常管理活動中常用的安全管理制度。5）應(yīng)設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位，定義各個工作崗位的職責，并根據(jù)實際情況配備系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等。6）應(yīng)根據(jù)各個部門和崗位的職責明