企业网络设备运维管理制度全套.docx

企业网络设备运维管理制度目录1 .概述1.1 编写目的2 .网络安全管理制度2.1 网络安全架构规定2.2 网络安全访问控制管理2.3 网络设备安全管理2.4 网络设备管理人员规范1 .概述1.1 编写目的本规范用于员工的生产系统和生产管理平台的操作管理。本规范自发布之日起实行.2 .网络安全管理制度2.1 网络安全架构规定I公司网络系统必须严格划分内网和外网，中间使用多层防火墙进行隔离和安全访问控制.I公司所有线上设备均实现热备冗余，保证生产运营的安全可靠。I通过防火墙及其它网络设备，可执行802.1X认证来实现对边界完整性检查。I具有抗DOS攻击以及主动防御功能，可实现对异常流量的监控和对恶意攻击的阻止。I所有可管理网络设备均保存有完整可查的日志记录，保证所有对网络设备的操作都有据可直.2.2 网络安全访问控制管理2.2.1 内部网络安全访问控制I公司按照业务系统的安全级别，划分不同的局域网区域，进行访问控制。I处于同一局域网同一网段的内部设备可相互访问，通过系统设备配置网卡地址置黜行访问。I同一局域网的内部设备均通过特定的业务端口进行访问。I不处于同一局域网的内部设备默认情况下，不能互相访问，需通过防火墙进行地址转换，并进行策略访问配置后才能访问.I不处于同一局域网的内部设备访问，通过防火墙进行端口访问控制，只开放必要的业务访问端口。2.2.2 外部网络安全访问控制I所有的内部系统，除了公司网站以外，其它系统默认情况不能被外部系统访问，也不能访问外部系统。I通过专线连接的外部系统,需访问内部系统时，内部系统通过内部防火墙进行策略地址转换后，进行策略访问配置，并添加网络路由和主机路由才能访问。I通过专线连接的外部系统，访问内部系统时，通过内部防火墙进行端口访问控制，只开放必要的业务访问端口.在系统调试和故障处理时，I临时开放进行网络测试的ICMP等协议的相关端口，处理完成后，关闭相应的端口。I通过互联网连接的外部系统，不能访问内部核心系统，只能访问开放互联网业务的互联网区域的内部系统，内部系统需通过防火墙进行地址转换，并添加策略访问配置后才能访问。I通过互联网连接的外部系统，访问内部系统时,通过防火墙进行端口访问控制，只开放必要的业务访问端口。在系统调试故障处理时，临时开放进行网络测试的ICMP等协议的相关端口，处理完成后，关闭相应的端口。I对于所有能基于证书认证的网络管理访问都采用基于证书的认证，对于基于WEB方式的管理采用基于SS1.加密认证的访问，杜绝用户帐户和口令被非法窃听.I对于基于远程拨号的访问，在前置接入主机上进行严格的口令安全检查，防止恶意用户反复尝试猜测口令，对于帐号和口令的发放均需通过专人统一授权发放，同时在防火墙上对拨号进入的用户设置严格的访问控制规则，杜绝因帐号泄露而导致的网络攻击行为。23网络设备安全管理2.3.1 设备口令管理I对于设备系统运行的各级管理口令，由网络经理和网络工程师统一管理。其它的运维人员，只设定查看权限。I定期修改口令。口令的设置符合保密要求，均采用字母、数字和特殊符号组合而成，防止非法入侵者的猜测成功，而造成的系统故障发生。I维护人员发生变化，由网络经理或网络工程师立即修改密码。I对于无效用户及时删除。2.3.2 设备日志管理I所有可管理网络设备均保存有完整可查的日志记录，保证所有对网络设备的操作都有据可直，专人对日志进行定期审直。I根据网络设备位置设置网络设备日志级别，设置日志服务器，保证所有告警错误信息及时传送至日志服务器,定期进行备份。I必须严格控制设备日志的访问权限，除网络管理员和专用账号之外,不得赋予其他用户访问通信日志的权限。I确因业务需要从生产环境中获取日志的，必须办理审批手续，在生产环境现场的专有指定环境使用日志。所有日志不得带离现场。确因业务需要将账户信息带离现场的，执行严格的审批、使用、销毁流程。2.3.3 设备登录管理I一般情况下，只允许网络经理和网络工程师直接登录网络设备进行维护操作。I其它运维人员，只能登录网络设备进行配置查看。I在网络经理和网络工程师进行配置更改前，需将设备原有配置保存至FTP服务器上，配置完成后，再将现有配置保存至FTP服务器，所有的配置文档永久保留。国i登录网络设备进行维护操作。2.3.4 网络设备系统升级I网络设备现有系统软件版本存在安全漏洞，或者所配置模块无法再现有版本下正常工作，需对网络设备进行系统升级处理.I在对网络设备系统软件升级前，网络经理和网络工程师提出详细的升级目标、内容、方式、步骤和应急操作方案报上级主管部门审核批准。I在进行网络设备系统软件升级操作前，将网络设备现有系筋口配置文件保存至FTP服务器，升级后,进行网络测试，确保设备正常后，将网络设备升级后的系统和配置文件保存至FTP服务器.I网络设备升级的详细的操作过程及方案部门留底保存。2.3.5 网络设备日常维护I实时监控网络设备运行状况，建立日志服务器。I日志至少保存半年以上，采用循环惹盖方式。I定期对系统数据进行备份。I定期查看系统的安全管理软件及系统日志，在发现系统遭到非法攻击期E法攻击尝试时，应利用系统提供的功能进行自我保护，并对非法攻击进行定位、跟踪和发出警告，同时向上级主管部门汇报。如有疑难问题请相关负责系统安全的人员协助解决。I维护过程中发现的不正常情况应及时处理和详细记录，处理不了的问题，应立即向主管人员报告。2.4网络设备管理人员规范2.4.1 网络设备管理人员I目前公司设有网络经理和网络工程师2个职位，共同进行网络设备维护和安全管理。I网络经理全面负责网络设备的维护及安全管理，定期对网络架构、网络整体运行情况进行分析，及时了解公司业务对网络的需求，提出网络扩容和整改方案。I网络工程师全部负责网络设备的维护操作和:处理，搭建网络监控系统，实时监控网络设备运行状况，及时处理网络故障.2A2网络安全培训管理I定期组织运维人员学习网络安全管理知识，提高运维人员的维护网络安全的警惕性和自觉性.负责对本公司员工进行安全教育和培训I,使用户自觉遵守和维护计算机信息网络国际互联网安全保护管理办法，使他们具备基本的网络安全知识。