文本描述
网络接入管理实施细则
总则
为规范科技发展部网络接入,指导网络接入的日常管理工作,特制定本细则。
本细则适用于科技发展部网络接入(包括生产网络、办公网络、互联网、测试网络、开发网络)的管理工作。
组织与职责
网络支持组负责科技发展部范围内网络接入的管理,对网络接入进行监控,确保科技发展部网络安全。
各部门负责根据本规定落实具体的控制措施,实施职责范围内的网络接入安全管理,定期开展自查。
全体员工必须严格遵守本规定及所属部门有关网络接入的各项安全管理要求。
基本要求
网络接入的申请、变更和撤销按照变更管理流程执行。由需求方提交申请,需求部门负责人审核,经网络支持组负责人审批后实施。网络接入申请必须包括申请原因、需求内容、使用人、责任人、接入类型和使用期限等信息。
网络支持组在需求方提交撤销申请、需求方确认需求已停用、需求使用期限到期时,实施网络接入撤消。
用户不得在接入生产或办公网络的终端上安装使用网络嗅探工具、黑客控制软件等网络工具;不得开启DHCP/DNS服务;不得将交换机、集线器和无线路由器等私自接入网络。
生产网采用全静态方式管理IP地址,系统接入时应按照规范进行IP地址分配,防止地址冲突。
科技发展部网络支持组应定期对生产网第三方接入信息进行整理、归档,形成《生产网第三方接入信息表》并发给相关责任人确认,经相关责任人确认后更新相关信息,接入信息应每年整理、归档一次。
无线接入应使用基于IEEE 802.1X的WPA等方式进行接入认证,并通过 TKIP等方式进行数据加密。
第三方网络接入管理
生产网对外仅开通经业务部门申请和相关部门审批的服务或端口, 并记录连接信息、端口、协议和申请人信息。
对第三方网络的访问必须进行审计,要求如下:
应生成第三方网络的访问日志,日志内容应包括源地址和目标地址信息等;
对所记录的日志具有格式化的审计功能,能针对不同源地址、目标地址等情况进行统计并格式化输出;
互联网接入管理
INTERNET专网接入管理遵照科技发展部互联网访问管理规定执行。
生产网网银接入子区应至少通过双设备、双链路接入不同运营商,实现冗余。
生产网网银接入子区设立DMZ区,DMZ区部署在双层异构防火墙之间,来自互联网的访问只能到达DMZ区,禁止直接访问内部网络。
生产网网银接入子区部署防DDOS设备,防止互联网的DDOS攻击。
生产网网银接入子区部署IDS设备,分析和报告网络中发生的攻击行为。
生产网网银接入子区对进入DMZ区的主体限制到目标主机,仅开通经业务部门申请和相关部门审批的服务或端口, 并记录连接信息、端口、协议和申请人信息。
附则
本细则由科技发展部负责制定、修订和解释。
本细则自发布之日起生效。
记录
《生产网第三方接入信息表》
附件一:
修订记录
日期(年月日)
版本
描述
作者
审批人
审批日期
20161019
1.0 发布稿
魏雷
李树峰
20161104