doc文档可能在WAP端浏览体验不佳。建议您优先选择TXT，或下载源文件到本机查看。

中国石化 网络安全设备管理规范 网络安全设备管理规范 管理

V 1.1

2007 年 5 月 16 日

- 1 -

目

1 2 3 4

录

目的…… - 4 目的 范围…… - 4 范围 术语…… - 4 术语 管理员职责…… - 4 4.1 4.2 系统管理员职责 ……- 4 信息安全管理员职责 ……- 5 -

5

管理员账号和权限管理…… - 5 5.1 5.2 5.3 5.4 管理员账号 ……- 5 系统管理员权限 ……- 5 信息安全管理员权限 ……- 6 管理员身份鉴别 ……- 6 -

6

策略和部署管理…… - 6 6.1 6.2 制定安全策略 ……- 6 安全设备统一部署 ……- 6 -

6.2.1 6.2.2 6.2.3

7 7.1 7.2 7.3 7.4 7.5 7.6 7.7 8 8.1 8.2 8.3 8.4 8.5 8.6 8.7 9 9.1 9.2 9.3

安全网关类设备部署 …… - 6 入侵检测类设备部署 …… - 7 漏洞扫描设备部署 …… - 7 -

配置和变更管理 …… - 7 配置和变更授权 ……- 7 防火墙设备配置 ……- 7 VPN 设备配置 ……- 8 代理服务器设备配置 ……- 8 IP 加密机设备配置 ……- 9 入侵检测设备配置 ……- 9 漏洞扫描设备配置 ……- 9 运行维护管理 …… - 10 安全设备的检测和维护 …… - 10 安全设备的监视和记录 …… - 10 安全设备配置备份和恢复 …… - 10 安全设备的审计 …… - 10 安全事件处理和报告 …… - 11 漏洞扫描设备的专项要求 …… - 11 安全设备的维修 …… - 11 安全数据管理 …… - 12 安全设备的数据 …… - 12 检测获得数据的管理 …… - 12 审计获得数据的管理 …… - 12 -

- 2 -

9.4 9.5 10 11

配置数据管理 …… - 12 存储空间管理 …… - 12 设备选型管理 …… - 13 附则 …… - 13 -

- 3 -

1 目的

中国石化信息系统已覆盖全国范围的下属企业，成为中国石化系统生产、经 营和管理提供信息化手段的根本， 网络安全设备是保障中国石化信息系统安全运 行的基础。为保障中国石化信息系统的安全、稳定运行，特制定本规范。

2 范围

本规范适用于中国石化股份公司统一建设的计算机网络内所有网络安全设 备的管理和运行。集团公司及集团公司所属部门和单位参照本规范执行。 本规范中所指网络安全设备包括各种安全网关类设备（防火墙、VPN、代理 服务器、IP 加密机等） 、入侵检测类设备、漏洞扫描类设

备等。

3 术语

系统管理员 系统管理员 系统管理员指对安全网关类设备、入侵检测类设备、漏洞扫描类设备等进行 日常维护和管理的人员。 信息安全管理员 信息安全管理员指对安全网关类设备、入侵检测类设备、漏洞扫描类设备等 进行日常维护工作的审计人员。

4 管理员职责 管理员职责

4.1 系统管理员职责

系统管理员主要职责如下： 1） 恪守职业道德，严守企业秘密，熟悉生产法以及有关信息安全 - 4 -

管理的相关规程； 2） 负责网络安全设备的安全策略部署、配置及变更管理，更新和维护等日 常工作； 3） 对数据网络实行分级授权管理，按照岗位职责授予不同的管理级别和权 限； 4） 密切注意最新网络攻击行为的发生、发展情况，关注和追踪业界公布的 攻击事件； 5） 密切关注信息系统安全隐患，及时变更信息安全策略或升级安全设备。

4.2 信息安全管理员职责

信息安全管理员主要职责如下： 1） 恪守职业道德，严守企业秘密，熟悉生产法以及有关信息安全 管理的相关规程； 2） 每周对系统管理员的登录和操作记录进行审计； 3） 对系统管理员部署的安全策略、配置和变更内容进行审计； 4） 密切注意最新漏洞的发生、发展情况，关注和追踪业界公布的漏洞疫情。

5 管理员账号和权限管理 管理员账号和权限管理

5.1 管理员账号 管理员账号

系统管理员和信息安全管理员的用户账号应分开设置， 其他人员不得设置账 户。在安全设备上建立用户账号，需要经过本级信息部门安全主管的审批并保留 审批记录。

5.2 系统管理员权限 系统管理员权限

系统管理员具有设置、修改安全设备策略配置，以及读取和分析检测数据的 权限。

- 5 -

5.3 信息安全管理员权限

信息安全管理员具有读取安全设备审计日志信息， 以及检查安全设备策略配 置内容的权限。

5.4 管理员身份鉴别 管理员身份鉴别

管理员身份鉴别可以采用口令方式。应为用户级和级模式设置口令，不 能使用缺省口令，确保用户级和级模式口令不同。安全设备口令长度应采用 8 位以上，由非纯数字或字母组成，并保证每季度至少更换一次。 安全设备的身份鉴别，必要时可以采用数字证书方式。

6 策略和部署管理 策略和部署管理

6.1 制定安全策略

安全设备系统管理员应依据中国石化信息安全规划，结合实际需求，制定、 配置具体网络安全设备的安全策略，并且进行规范化和文档化；安全设备的策略 文档应妥善保存。 对关键的安全设备要采用双机热备或冷备的方式进行部署

以减小系统运行 的风险。

6.2 安全设备统一部署

安全设备部署应依据中国石化的信息安全规划统一部署， 保证安全设备的可 用性。安全设备部署的具体实施须经信息管理部门的审批并保留审批记录。

6.2.1 安全网关类设备部署

安全网关类设备部署应根据网络安全域的划分情况进行正确部署， 满足不同 网络安全域之间访问控制的要求。

- 6 -

6.2.2 入侵检测类设备部署

入侵检测类设备的部署要根据网络和信息系统的安全需求， 选择合理的检测 节点，能够完整的检测到被保护网络的数据流量，并能抓取含有足够信息的 IP 包，如：MAC 地址、IP 地址等。

6.2.3 漏洞扫描设备部署 漏洞扫描设备部署

漏洞扫描设备可采取离线或在线方式部署， 部署前应进行漏洞扫描设备运行 可能对系统影响的分析，避免对信息系统运行产生不良影响。

7 配置和变更管理

7.1 配置和变更授权

网络安全设备的配置、变更应满足信息系统变更管理的要求，配置和变更前 应充分评估对信息系统可能产生的影响，报信息管理部门审批、授权后执行，保 留审批记录。

7.2 防火墙设备配置

防火墙设备配置操作规程要点如下： 1） 记录网络环境，定义防火墙网络接口； 2） 定义防火墙的网络对象和应用端口； 3） 定义安全策略； 4） 定义系统管理员和信息安全管理员权限； 5） 测试防火墙性能； 6） 编写和整理防火墙设备配置文档和技术资料。

- 7 -

7.3 VPN 设备配置

VPN 设备配置操作规程要点如下： 1） 环境配置，指网络环境的设置，VPN 网关的控制台的设置； 2） 设置 VPN 网关的各种网络参数特性，包括网络接口、透明网络、静态路 由、ADSL 用户设置、MODEM 用户设置等； 3） VPN 设置，将证书导入 VPN 网关系统；进行 SMC 设置，对 SMC 进行 身份认证并下载策略，加载加密算法；添加静态隧道，从 SMC 中下载与 本机有信任关系的主机信息；设置与信任设备之间的隧道各项参数，定 义虚拟路由，并进行客户端配置； 4） 防火墙设置，包括进行包过滤规则设置和 NAT 规则设置； 5） 服务器设置，包括 VPN 安全网关提供的 DHCP 服务器、拨号服务器、 L2tp 服务器、设置拨号用户、DNS 代理和 SNMP 代理等功能的话设置； 6） 带宽管理，对流经网络接口的网络流量预先进行分配管理，保证用户对 网络连接带宽的要求。带宽管理针对所有网络接口进行管理； 7） 定义系统管理员和信息安全管理员权限； 8） 测试 VPN 安全网关性能； 9） 编写和整理 VPN 安全网关设备配置文档和技术资料。

7.4 代理服务器设备配置

代理服务器设备配

置操作规程要点如下： 1） 环境配置，指网络环境的设置，包括代理服务器对网络参数的设置； 2） 代理服务器安全策略设置； 3） 客户端的相关设置； 4） 定义系统管理员和信息安全管理员权限； 5） 性能参数测试，估测网络代理服务器吞吐量、延迟、并发连接数等； 6） 编写和整理代理服务器设备配置文档和技术资料。

- 8 -

7.5 IP 加密机设备配置

IP 加密机设备配置操作规程要点如下： 1） 环境配置，指网络环境的设置，包括对密码机网络参数的设置； 2） 配置各加密机的安全策略； 3） 定义系统管理员和信息安全管理员权限； 4） 安全协议通用性测试，通过各种高层应用程序的测试，验证安全协议对 高层应用的通用性； 5） 应用测试，包括网页浏览、文件传输、远程登录、邮件收发、视频播放； 6） 性能参数测试，估测加密机的吞吐率； 7） 编写和整理 IP 加密机设备配置文档和技术资料。

7.6 入侵检测设备配置

入侵检测设备配置操作规程要点如下： 1） 记录当前网络环境，定义入侵检测接口； 2） 安装引擎（包括事件库）和管理软件； 3） 定义入侵检测系统要保护的网络对象（网络或主机） ； 4） 定义检测策略，阻断级别和事件报警； 5） 定义系统管理员和信息安全管理员权限； 6） 编写和整理入侵检测设备配置文档和技术资料。

7.7 漏洞扫描设备配置

漏洞扫描设备配置操作规程要点如下： 1） 记录网络环境，定义漏洞扫描的网络接口； 2） 定义漏洞扫描的 IP 地址范围； 3） 定义漏洞扫描的安全级别和扫描选项； 4） 安装、升级最新的漏洞库； 5） 定义系统管理员和信息安全管理员权限； 6） 编写和整理漏洞扫描设备配置文档和技术资料。 - 9 -

8 运行维护管理

8.1 安全设备的检测和维护

安全网关及入侵检测类设备定期检测和维护要求如下： 1） 每月安装、更新厂家发布的设备补丁程序，及时修补设备操作系统的漏 洞； 2） 每周审计一次日志报表； 3） 一个月内至少重新启动一次安全网关及入侵检测类设备。

8.2 安全设备的监视和记录

安全网关及入侵检测类设备运行状况的监视和记录要求如下： 1） 系统管理员应定期和不定期地检查设备的运行状况，及时查看日志，对 异常情况的发生，及时上报，并保存记录； 2） 对安全设备 CPU 和内存利用率、数据流量、地址翻译数量、报警次数 等进行均时的监测、跟踪工作，每周形成报表。

8.3 安全设备配置备份和恢复

安全设备配置备份和恢复要求如下： 1） 定期备份安全设备配置； 2） 修改安全设备配置前应对现有配置进行备份

，以便修改失败后可快速恢 复； 3） 跟踪软件及事件库的变更，确保使用当前有效的软件及事件库。

8.4 安全设备的审计

信息安全管理员定期对网络安全设备的操作记录和内容本身进行审计， 保证 审计内容的完全性，保留审计记录。

- 10 -

8.5 安全事件处理和报告

防火墙设备发生宕机或入侵检测设备出现告警或工作不正常引起网络拥塞 或网络瘫痪等安全事件时， 系统管理员应立即启动紧急响应程序， 保留相应记录。 对网络进行紧急处理，堵塞攻击入口，恢复网络的正常运行，并追查攻击来源， 及时上报，必要的情况下提交机关处理。

8.6 漏洞扫描设备的专项要求

1） 漏洞扫描设备工作时会对网络造成一定程度的影响，应避免在网络运行 高峰期进行扫描，如有特殊情况应通知系统管理员； 2） 对扫描结果进行分析和对扫描出的安全漏洞进行修补； 3） 漏洞扫描设备定期检测和维护要求（首次实施） 。系统管理员对服务器和 专用网络设备实施首次漏洞扫描。服务器和专用网络设备上线前，必须 进行漏洞扫描，并保留记录； 4） 漏洞扫描设备定期检测和维护要求（周期实施） 。系统管理员对服务器和 专用网络设备实施周期性漏洞扫描，并保留记录。

8.7 安全设备的维修

1） 安全设备的维修应防止安全设备配置信息的泄漏，送出外修应注意清除 安全设备内部存储的安全配置； 2） 不允许厂商或服务商通过因特网或其它方式远程登录进行安全设备的维 护； 3） 厂商或服务商进入现场维护安全设备，须指定专人全程陪同，维修完成 后应进行安全检查。

- 11 -

9 安全数据管理

9.1 安全设备的数据

网络安全设备的安全数据主要包括安全设备对网络和系统检测得到的安全 数据， 对系统管理员操作的审计数据， 对安全设备进行设置安全策略的配置数据， 还有安全设备部署的网络逻辑图、安全策略等文档，应保证数据的完整性。

9.2 检测获得数据的管理

对于安全设备对网络和系统检测得到的安全数据， 对系统管理员操作的审计 数据，系统管理员和信息安全管理员应分别进行备份和保管；任何人不得进行修 改，未经主管领导批准任何人不得删除。 系统管理员定期分析安全设备对网络和系统检测得到的安全数据， 发现漏洞 或隐患应及时报告，并形成分析报告。

9.3 审计获得数据的管理

信息安全管理员应定期分析安全设备对系统管理员操作的审计数据， 发现违 规问题或隐患应及时报告，并形成分析报告。

9.4 配置数据管理

系统管理员应及时对安全设备进行设置安全策略

（规则）的配置数据进行备 份和保存，对安全设备部署的网络逻辑图、安全策略等文档也应进行妥善保管。

9.5 存储空间管理

系统管理员应经常检查安全设备的存储空间， 注意防止安全设备中对网络和 系统检测得到的安全数据，以及对系统管理员操作的审计数据的丢失。

- 12 -

10 设备选型管理

网络安全设备（产品）的使用应符合国家的有关规定，尽量采用具有计算机 信息系统安全专用产品销售许可证的信息安全产品， 且具有中国信息安全产品测 评认证中心认证的信息安全产品。 密码设备选型应符合国家密码主管部门的有关要求， 加密算法应得到国家密 码主管部门的批准。

11 附则

本规范由中国石化股份公司信息系统管理部统一解释。 本规范自正式发布之 日起执行。

- 13 -

1下载本文