意昂3体育平台網絡安全策略

第一章引言

1.1編寫目的

本策略為信息安全管理製度中的信息保護製度部分🩼。為了加強信息系統的信息安全管理，建立健全本校各信息系統的安全管理責任製💁🏻‍♀️🏊🏽‍♀️，提高整體的安全水平，保證網絡通信暢通和信息系統的正常運營💏，提高網絡服務質量，特製定本策略。

1.2術語定義

1.信息（Information）👩🏻‍🍼：以任何形式存在或傳播的對本校具有價值的內容，包括電子信息、紙質數據文件、語音圖像等🗳。信息安全關註的是信息的保密性🧚‍♂️、可用性和完整性🧘🏼‍♂️🙎🏻。

2.信息資產（Information Assets）🧗🏻‍♂️：任何對本校具有價值的信息存在形式或者載體☎️，包括計算機硬件、通信設施、IT環境3️⃣、數據庫、軟件、文檔資料🧎🏻‍♂️、信息服務和人員等🥏，所有這些資產都需要妥善保護🧝🏽。

3.信息安全（Information Security）:保護信息的保密性、完整性和可用性。

4.保密性（Confidentiality）:確保信息只被授權人員訪問🌸。

5.完整性（Integrity）:保證信息不被非授權竄改或不恰當改動。

6.可用性（Availability）:保證信息能夠被授權用戶在需要時訪問。

第二章範圍

Ø邏輯範圍：本策略邏輯範圍包括生產系統及內部辦公網絡等信息系統的物理資產🐿、軟件資產、數據資產、服務資產等🙏🏼。本策略涉及的工作包括了對所有上述系統的保密性、完整性和可用性的安全管理工作。

Ø物理範圍🙎🏻：本策略物理範圍包括整個學校和IDC數據中心環境🧣。

第三章網絡配置

3.1基本要求

防火墻配置策略適用於Internet連接🧑‍💻、DMZ與內部網絡等各安全域之間的防火墻規則🧝🏻‍♀️。

Ø應至少每六個月由信息辦分管領導檢查審核全部防火墻和路由器規則設置🪳💖，並進行記錄。

Ø通過防火墻和路由器的配置🏄🏼，嚴格限製不信任網絡與任何受保護網絡內部系

統組件的連接🔥。

Ø應確認路由器配置文件進行了保護和同步，例如運行配置文件（用於正常的路由器運行）和啟動配置文件（當機器重新啟動時使用）有相同的安全配置🌚。

Ø在任何無線網絡安裝外圍防火墻，並且將這些防火墻配置為禁止或控製（如果業務目的需要這樣的流量）從無線環境流入的任何流量。應實施DMZ🌤，只允許必要的協議流量通過🕵🏿。應確認所有不必要的進出流量都是明確禁止的♝，例如通過使用"禁止所有（Deny all）"規則禁止所有流量，然後只打開允許的通過🌝🤵‍♀️。應限製Internet流量進入DMZ以外的內部IP地址⏲👷🏿‍♀️。不允許Internet和本校之間進出流量的任何直接路由🙋🏻‍♂️🕘。不允許從Internet至DMZ的內部地址通過。應實施狀態檢測🪜，即動態包過濾。（也就是只有"建立"的連接才允許進入網絡💅🏽。）關鍵數據庫應放置在內部網絡區域，不允許放置在DMZ。

應實施IP偽裝以防止內部地址被轉換和發布到Internet上🧟‍♂️，使用RFC 1918所規定的網段。使用網絡地址轉譯(NAT)技術，例如端口地址轉譯(PAT)。所有無線網絡應實施嚴格的加密機製（例如AES）：

加密密鑰在安裝時更改默認值，並且確保在任何知道密鑰的人離開學校或改變崗位的時候能夠隨時更改；

更改無線設備上的默認SNMP community strings；

更改訪問點上的默認密碼/口令（參見《加密策略》）🌇；

升級無線設備上的固件，以支持無線網絡上的嚴格認證和傳輸加密（例如WPA/WPA2）

3.2網絡拓撲結構

應保證網絡拓撲結構圖最新且完整，包括所有的無線連接，以及網絡範圍內的所有連接略網絡傳輸環境🍖：

用戶先訪問DMZ區域🙋🏼，在解析得到應用系統的IP地址後🏜，用戶需要經過ISG1000防火墻的過慮👨‍🔧🤚🏼，符合訪問規則的防火墻放行。應用系統與數據庫布置在不同的網絡IP段,通過交換機VLAN策略進行隔離保護。應用系統訪問數據庫時，VLAN策略會進行對比源到目的的IP地址、協議🐈‍⬛👨🏿‍🏫、端口；只有符合策略的，才能允許相應的應用服務器訪問數據庫。

3.3網絡連接測試和策略審批流程

批準和測試所有網絡連接以及更改防火墻和路由器配置的流程如下：

由系統部收集書面需求👷🏿，製訂策略，並書面遞交信息辦分管領導確認𓀓，由信息辦分管領導召集系統🤜🏼、運營以及開發團隊會議🕜，分析討論該策略，並製訂第一階段（在測試環境進行）實驗時間表🌕。

由系統部按照時間表和會議書面確定的策略進行第一階段實驗，實驗後，由安全負責人召集系統、運營以及開發團隊會議，根據實驗結果決定是否需要調整策略、是否需要再次進行在測試環境的實驗或進行在IDC機房的第二階段實驗。

在進行的第一階段實驗完成後🧮，由系統部按照時間表和會議書面確定的策略進行在IDC的第二階段實驗👵🏿。根據實驗結果，由信息辦分管領導召集系統🤯、運營以及開發團隊會議，決定是否需要調整策略繼續實驗或確認該策略可以上線並進入生產環境的實施流程。按照會議的書面實施流程🍰，由系統部實施上線，運營和技術開發進行測試，完成後正式策略書面遞交信息辦分管領導。

網絡連接的測試內容包括但不限於性能測試☁️、壓力測試、穩定性測試。運行過程中任何變更應遵從本流程🔈。

3.4組、角色和責任

系統管理相應的角色及職責定義如下：

所屬角色職責描述權限範圍

系統工程師：服務器應用硬件維護🪘；包括日常監控🙎🏼、-應用程序和日誌備份、服務器的規劃和上線等。服務器管理和操作權限🔲。

數據庫工程師🧚🏻‍♀️：對數據庫進行管理✍️，負責DB2數據庫應用系統的運營及監控。數據庫系統的管理和維護權限。

網絡管理員🗄：保證學校辦公環境持續穩定運營（包含服務器及客戶端）；建立完善的辦公環境網絡結構並持續改進網絡安全😟；網絡設備（包括交換機、路由器和防火墻等）的管理權限。

高級運維總監：全面負責學校運維項目的系統升級、擴容需求與資源落實；配合開發需求👩🏻‍🎨，測試🧑🏼‍🏭、調整運維平臺🙍🏼，提供優化的網絡與服務器系統平臺對上述角色的工作進行監控和指導；對管理和運維中的日誌進行審計；

3.5服務🤽‍♀️、協議和端口

對於每項服務的安全功能必須按檢測防火墻和路由器配置標準進行記錄和實施。對於不安全的服務（如FTP需要純文本的用戶認證），必須進行改造和加固💣。

Ø對於互聯網到內網區的訪問，全部禁止🎋。

第四章個人網絡安全

通過Internet直接連接的計算機上（例如員工使用的筆記本電腦）必須安裝主機防火墻軟件。主機防火墻軟件配置為特定的標準👩🏻‍🏫，且用戶不得更改。對於使用windows的用戶🧑🏿‍✈️，應使用系統自帶的防火墻，通過域策略設置其防火墻規則，用戶無法停用或者修改防火墻規則👨‍🦯。所有師生使用的設備，必須得到網絡管理員審批通過後才能使用🥱✪；且至少使用用戶+口令方式進行身份認證🐲。

第五章系統配置

5.1網絡設備

在網絡上安裝系統以前🧕🏻🧑‍🎨，必須更改供應商提供的默認設置，包括密碼、簡單網絡管理協議(SNMP)機構字串，並刪除不必要的賬戶👶🏽。應明確路由器、防火墻和交換機等網絡組件上用於本地管理的組、角色和權限。應明確路由器、防火墻和交換機等網絡組件的服務🧳、協議和端口🫴🏼，以及所有系統組件的服務和協議，確保只有業務需要才能開啟🏄🏼‍♂️。確保刪除或禁用了在所有組件上不必要的功能或服務，如腳本、驅動☆、特性、子系統和文件等。

5.2服務器系統

參考業界公認的標準比如🥗：SysAdmin Audit Network Security (SANS)、National Institute of Standards Technology (NIST)和Center for Internet Security(CIS)進行系統配置。

Ø每臺服務器應只執行了一項主要功能。例如，Web服務器、數據庫服務器和DNS應該在獨立的服務器上實施。

Ø禁用所有不必要和不安全的服務和協議（不直接需要用來執行設備特定功能的服務和協議）🚏。

Ø明確常用安全參數設置，從而合理地配置系統安全參數，以防止濫用😒。

Ø刪除所有不必要的功能，例如腳本、驅動程序、屬性、子系統和不必要的服務。應建立流程識別新發現的安全漏洞（例如🫶，訂閱來自CVE🧚‍♂️、BUGTRAQ以及各廠商的漏洞通過，並使用最新的安全評估工具進行內🌇、外部弱點掃描）♛。並根據上述發現的問題以及PCI DSS要求2.2更新配置標準🤦🏽，以解決新的漏洞問題😷。

5.3需遠程訪問的系統

對於所有非控製臺的管理訪問👩🏽‍🏫，必須對傳輸鏈路進行加密（如SSH👰👳🏽‍♀️、IPSEC VPN或SSL/TLS等）；對於生產系統👵🏼，遠程訪問時必須使用RSA動態口令+PIN進行認證以登陸到堡壘機，並通過堡壘機進行生產系統的訪問⏳。

對於辦公環境，遠程訪問時必須使用VPN進行鏈路的加密。所有遠程連接設備應配置為在15分鐘內不活動，自動中斷會話。所有系統組件上應實施訪問控製👩🏿‍🎨，並根據工作職責分配的必要性提供相關員工權限。所有訪問控製機製默認都設置為"Deny-all"。參見《訪問控製安全策略》🥱🤷🏻‍♂️。

對於需要進行遠程維護的第三方人員訪問🚯🧎🏻，在訪問之前必須向CISO進行申請，由後者基於最小化原則進行授權🏹。授予權限後，第三方人員應在規定的時間內僅對被授權的系統進行遠程訪問💶。在訪問過程中，第三方人員仍應遵守本校對加密、認證、數據保護等方面的安全要求，並且訪問的行為應受到全面的監控。如果是共享托管提供商（Shared Hosting Provider）👸🏽，必須保護每個機構托管環境和持卡人數據。

第六章網絡測試和監控

系統管理員應每個季度使用無線分析器（如Windows上使用的NetStumbler或Unix上使用的Kismet）檢測是否有未授權的無線網絡存在。如果發現未授權的無線設備，則按《應急響應計劃》中的方法進行處理。每季度應對進行內部和外部網絡漏洞掃描：在網絡出現任何重大變動（如安裝新的系統組件、更改網絡拓撲、修改防火墻規則、產品更新）後，也應進行上述掃描。應由聘請外部安全專家或者由信息辦每年執行一次滲透測試（包括基於網絡層和應用層的外部和內部的滲透測試），並提供報告；相關意昂3應根據掃描和滲透測試結果做出相應的調整。應使用並合理部署入侵檢測系統（IDS）或入侵防禦系統（IPS），以監控中的所有流量並在發現可疑威脅時提醒員工。應及時更新所有入侵檢測引擎和入侵防禦引擎🕺🏼🚮，每天至少檢查一次IDS或IPS日誌，參見《訪問控製安全策略》。

應在中使用文件完整性監控產品。需要監控的文件包括但不限於👧🏻：

Ø系統可執行文件

Ø應用程序可執行文件

Ø配置文件和參數文件

Ø集中存儲的文件🙌🏼👩🏽‍🦲、歷史或存檔文件、日誌文件和核查文件

第七章安全補丁

應確保所有系統組件和軟件都安裝了最新的安全補丁🐵，關鍵的安全補丁必須在發布的一個月內更新🚶‍♂️‍➡️。

本校辦公網內部的Windows主機通過WSUS或域環境的實現補丁更新，一周內必須更新一次👱🏼‍♂️。IDC機房設備以及辦公環境中的Linux設備📲🦹，通過手工方式定期更新，更新原則為🗳🐰：

ØIDC機房的系統和設備必須在兩周以內安裝高危補丁💅🏻，其它補丁應在一個月內安裝更新📧；

ØIDC機房中的其它設備和辦公環境中的Linux設備一月內完成補丁的更新。