● 网络安全管理条例 - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: Chair (银发之射手), 信区: Security
标  题: 网络安全管理条例
发信站: 荔园晨风BBS站 (Mon May 21 17:01:44 2001) , 转信

针对ISP的营运特点与性质，网络安全管理分为安全技术与策略管理，机房与操作人员管理
，
用户安全管理3个方面。
严格遵守《计算机信息网络国际互联网安全保护管理办法》。
安全技术与策略管理
1.      物理层面上的安全策略
        物理层面上的安全主要体现为物理拓扑连接结构，物理层为网络结构中最基础的一
层，所以
也就是关键的一层。
a)      把服务器，用户，公司内部等不同性质和使用特点的机器划分在不同的网段上，中
间使用
路由或相应的具有路由功能的设备连接起来，避免物理上的直接相连。
b)      严格划分访问权限，遵从不被允许的就是被拒绝的访问原则。
c)      把不同功能的和不需要相互通信的服务器用VLAN划分出去,等同与物理层上的断开
d)      把处于机密通信内容的设备加上电磁屏蔽和接地以防止泄露与干扰。
e)      定期检查线路完整，保证线路正常运作。
f)      遇上紧急事件网管需要从远程登陆时应该使用专用通道进行登陆和操作（如使用
VPN回拨
电话）

2.      数据层面上的安全策略
数据层面上的的安全主要体现在数据的保密程度上
a)      如非必要，使用交换机而不使用共享式的HUB。
b)      在敏感数据区或不得以需要使用HUB的地方应该使用软件探测是否有人/机器在使用
探嗅器
sniffer。（查看网卡是否处于混杂模式）。
c)      敏感数据需要使用相应的加密方式传输。如SSL，SSH，IPSec，DES，3DES，RSA等
。

3.      IP层面上的安全策略
IP层面上的安全主要体现在访问控制，防止IP欺骗,防止端口扫描等方面上。
a)      把internet和用户与服务器之间用防火墙隔离。严格遵从不被允许就是被禁止的原
则，分
为3个区域，可信任区（trusted），不可信任区(untrusted)，中立区(DMZ)。任何在可信任
区内的机器不能被其他2个区的机器访问，DMZ的SERVER经过NAT后能被untrusted区的机器访
问。根据IP作出详细的访问控制，流量控制等。
b)      在敏感数据区再使用多一层防火墙隔离。形成双重防火墙结构。双防火墙结构最好
使用不
同类型的防火墙（如包过滤或应用网关型防火墙或NAT主机）。使入侵变得困难（如使用普
通
计算机作为防火墙，最好是用双主穴型堡垒主机）。
c)      安装防止网络扫描的工具，一发现扫描行为立刻断开此IP连接并记录下来。
d)      安装防D.O.S.软件，限制流量，防止受到拒绝服务攻击。
e)      网络结点设备如非必要不要对其设置IP和远程管理模块，以免给非授权者访问的机
会。
如必须使用远程管理，则必须设置访问地址范围，尽量减少被发现和非授权利用的机会。
f)      尽量减少服务器之间的访问，做好服务器之间的访问控制列表，防止跳板式攻击。
g)      在关键位置装置能与交换机相连的sinffer，定期分析数据包，检查是否存在IP层
攻击行
为和访问控制列表的疏漏之处。

4.      应用层面上的安全策略。
应用层面上的安全策略主要体现在应用层（通常是服务）上经常出现的漏洞对策。
a)      安装针对性高的,实时性强软件（如snort，ISS等）来发现漏洞，捕获企图利用漏
洞的事
件。
b)      管理员每天必须到其所有使用的系统和服务软件的UPDATE网页上浏览一次，确保以
最快的
时间修补好被发现的漏洞。
c)      定期下载一些漏洞检测工具主动检测是否存在因疏漏而存在的漏洞。
d)      经常和网站开发人员讨论其CGI,ASP，PHP，JSP程序，减少因人为错误而造成的漏
洞
e)      网管应该订阅关于安全漏洞的邮件列表。

5.      日志，备份与报警
a)      所有机器都必须把一个月内的日志必须保存下来。
b)      每个星期1网管必须检查日志文件1次以发现问题。
c)      所有日志只能是最高权限管理员root或者administrator才有读写访问的权限。
d)      网络内部需要一台日志主机服务器，把接收所有服务器的日志信息。此服务器只作
为日志
服务器使用，不得用于其他用途。
e)      日志服务器要求保存6个月或以上的日志记录，方便日后的查询工作。
f)      所有重要的数据必须每1-2天备份一次，用磁带或者CD –R.
g)      备份数据一般保存1星期左右。
h)      使用实时报警系统，分等级报告故障，当网络发生发生严重故障时自动向网管手机
报警。

机房与操作人员管理
        1.      机房管理
a)      网管中心机房为网络交换平台的核心部分，为保证安全，除机房工作人员外，任何
人不得
擅自进入机房，不得擅自接触机房设备。如因工作需要，机房管理人员以外的人员进入机房
，须经有关领导批准，在机房内的行动必须服从机房工作人员的安排
b)      机房工作人员必须遵守国家有关法律、法规。执行安全保密制度，严格按照工作程
序和操
作规范对机房进行管理。
c)      机房工作人员应坚守工作岗位，严格执行操作规程，认真填写值班日志。
d)      机房工作人员应对设备进行定期性的全面检查和维护，确保设备正常运行。对运行
信息要
定期进行备份保护，确保信息运行安全。
e)      严禁任何人以任何理由携带易燃爆物品和具有强磁干扰性的设备进入机房，严禁在
机房内
吸烟、吃东西、会客、闲聊及大声喧哗，严禁网上聊天、玩游戏等。
f)      机房工作人员要自觉保持机房卫生整洁，爱护机房设施，注意设备用电安全，遇有
紧急情
况及时向机房管理部门报告。

2.      操作人员管理
a)      提高安全认识，禁止非工作人员操纵系统主机，不使用系统主机时，应注意锁屏。

b)      每周检查主机登录日志，及时发现不合法的登录情况。
c)      对网络管理员、系统管理员和系统操作员所用口令每十五天更换一次，口令要无规
则，重要口令要多于八位。
d)      加强口令管理，对PASSWORD文件用隐性密码方式保存；每半月检查本地的
PASSWORD文件，
确认所有帐号都有口令；当系统中的帐号不再被使用时，应立即从相应PASSWORD数据库中清
除。
e)      ROOT口令只被系统管理员掌握，尽量不直接使用ROOT口令登录系统主机。
f)      系统目录应属ROOT所有，应完全禁止其他用户有写权限。
g)      对TELNET、FTP到主机的用户进行权限限制，或完全禁止。
h)      网络管理员、系统管理员、操作员调离岗位后一小时内由班组长监督检查更换新的
密
码；厂方调试人员调试维护完成后一小时内，由系统管理员关闭或修改其所用帐号和
密码。
i)      遇到安全问题时，及时汇报上级领导，采取措施及时解决。

用户安全管理
a)      用户将使用PPPOE的方式进行登陆认证。
b)      使用动态分配IP
c)      建议用户自行安装个人防火墙
d)      建议用户自行安装病毒防火墙
e)      设有用户咨询热线，随时欢迎用户咨询

--

        假使龙城飞将在，

            不叫胡虏渡关山。
※ 来源:．荔园晨风BBS站WWW bbs.szu.edu.cn. [FROM: 210.21.196.38]

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店