1、XX系统网络安全建议为保证XX系统及相关数据的安全,根据中华人民共和国计算机信息系统安全保护条例、GBT 22239-2008 信息安全技术 信息系统安全等级保护基本要求,结合系统建设实际情况,特作出如下建议,安全措施及策略包含但不限于以下内容。一、网络安全1、架构安全(1) 结合现有网络架构,建议XX在XX至XX专线接入点上增加网络安全设备,设备功能包含但不限于以下类别:【1】基本防火墙功能:如黑白名单、访问控制、安全域划分等;【2】NAT功能:如目的NAT、源NAT、双向NAT等;【3】入侵检测与防御:如SYN-flood、蠕虫、木马、恶意软件等;【4】反病毒及URL过滤:如自动在线更新病
2、毒库及URL库;【5】用户身份验证和接入控制;【6】网络审计:基于用户对访问内容进行审计、溯源;【7】智能报表:支持时间、流量、威胁、等多维度呈现报表;(2)应保证各关键网络设备的业务处理能力满足基本业务需要;(3)应保证接入网络和核心网络的带宽满足基本业务需要;(4)应绘制与当前运行情况相符的网络拓扑结构图。(5)各单位应配备相应的网络安全设备进行防护;(6)应指定人员对网络进行管理,负责运行日志、网络监控记录的日常维护、报警信息的分析和处理工作;(7)应定期进行网络系统漏洞扫描,对发现的网络系统安全漏洞进行及时的修补。2、访问控制安全(1)应根据访问控制列表对源地址、目的地址、源端口、目的
3、端口和协议等进行检查,以允许/拒绝数据包出入;(2)应通过访问控制列表对系统资源实现允许或拒绝用户访问,控制粒度至少为用户组;(3)应对登录设备、系统及数据库的用户进行身份鉴别;(4)应具有登录失败处理功能,可采取结束会话、限制非法登录次数、登录连接超时自动退出等措施;(5)当对设备或系统进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;(6)当需要进行端口映射时,内外端口应不相同,对外只开放必要的服务和端口。所有管理权限应按照相关规定以最小权限原则进行授权。3、主机安全(1)应对登录操作系统和数据库系统的用户进行身份标识和鉴别。(2)应启用主机系统防火墙,依据安全策略控制用户
4、对资源的访问;(3)应限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令;(4)应及时删除多余的、过期的帐户,避免共享帐户的存在。(5)所有账户口令应满足密码复杂度要求,口令长度为816位,至少包含数字、大小字母、特殊字符中的任意三种及以上,且口令应设定周期进行修改;(6)操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并保持系统补丁及时得到更新。(7)windows版本操作系统应安装相应的防病毒软件进行防护;(8)终端用户PC机应做到物理上内外网隔离;(9)应安装系统的最新补丁程序,并在安装系统补丁前对现有的重要文件进行备份。(10)应提高所有用户的防病毒意识, 告
5、知及时升级防病毒软件, 在读取移动存储设备上的数据以及网络上接收文件或邮件之前,先进行病毒检查,对外来计算机或存储设备接入网络系统之前也应进行病毒检查。4、安全事件处置(1)应报告所发现的安全弱点和可疑事件,但任何情况下用户均不应尝试验证弱点;(2)应制定安全事件报告和处置管理制度, 规定安全事件的现场处理、 事件报告和后期恢复的管理职责。(3)应提前制定应急预案,如消防应急演练、数据库宕机演练、网络攻击演练等,并且根据预案定期进行演练;二、信息安全1、资料安全(1)文档、数据、配置参数等信息资料应有效组织、整理、归档备案。(2)文档、数据、配置参数等机密信息应禁止外泄;(3)因工作需要翻阅文
6、档、资料或者查询相关数据的外部人员,应经相关管理人员授权同意后方可查阅。(4)重要资料、文档、数据等信息应采取对应的技术手段进行加密、存储和备份,对于加密的数据应保证其可还原性及可用性。2、数据安全(1)对于重要业务数据,应保证其完整性,避免在传输过程中受到破坏;(2)各单位应针对业务特点采取备份操作,根据实际情况选择全备、增量或差异,重要业务数据还应采取异地备份;(3)所有备份的数据应保证其可恢复性,针对重要业务数据,应不定期对备份数据进行可恢复性测试;三、物理安全1、资产安全(1)所有主要设备应放置在核心机房内;(2)设备及系统内的任何数据都应严禁随意修改。如必须更改,应在更改之前上报,且
7、做好数据备份,经管理人员批准后方可改动。改动后一周内确认系统或设备运行无误后,方可删除备份数据。(3)应编制与信息系统相关的资产清单,包括资产责任部门、重要程度和所处位置等内容。(4)应对信息系统相关的各种设备、线路等指定专门的部门或人员定期进行维护管理;(5)应建立基于申报、审批和专人负责的设备安全管理制度,对信息系统的各种软硬件设备的选型、采购、发放和领用等过程进行规范化管理。2、环境安全(1)核心机房建设应符合国家相关标准,如防水、防盗、防火等;(2)应保持系统及设备正常运行所必须的温湿度等环境要求,对运行环境可能出现的不利因素应进行监测并预警。(3)主要设备供电至少应采用2N架构,核心
8、机房应配备UPS电源;(4)核心机房内应严禁吸烟和使用明火,不得存放各种易燃、易爆、放射性及强磁场物品。(5)服务器、网络设备、UPS电源、精密空调等重要设施应由专人严格按照规定操作,严禁随意开关、设置及更改相关参数。(6)核心机房出入应安排专人负责,控制、鉴别和记录进入的人员。四、管理安全(1)应对系统所涉及的各类人员进行安全意识教育和岗位技能培训;(2)应告知系统所涉及的各类人员相关的安全责任和惩戒措施。(3)应确保在外部人员访问受控区域前得到授权或审批。(4)应建立日常管理活动中常用的安全管理制度。(5)应设立系统管理员、网络管理员、安全管理员等岗位,定义各个工作岗位的职责,并根据实际情况配备系统管理员、网络管理员、安全管理员等。(6)应根据各个部门和岗位的职责明确授权审批部门及批准人, 对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批。(7)应对被录用人员的身份和专业资格等进行审查, 并确保其具有基本的专业技术水平和安全管理知识。(8)应立即终止由于各种原因离岗员工的所有访问权限。
