网络设备安全配置管理程序

1 目的

为确保网络安全，依据安全策略，加强与信息相关网络设备的配置管理，特制定本程序。

2 范围

本程序适用于在组织内使用的所有主要网络设备的安全参数设置管理，包括：

1. 防火墙设备及软硬件；
2. 网关设备及软硬件；
3. 网络交换机及HUB等。

3 职责

3.1 运维部

负责对组织内所有主要网络设备的配置和参数设定。

4 相关文件

《信息安全管理手册》

《信息系统访问与使用监控管理程序》

5 程序

5.1 网络设备安全配置策略

5.1.1 通用策略

网络设备的配置必须由运维部人员实施。

设备系统日志的记录内容和保存期限应该符合《信息系统访问与使用监控管理程序》。

5.1.2 防火墙安全配置策略

对外连接防火墙配置要求:

1. 除内部向外部提供的服务外，其他任何从外部向内部发起的连接请求被禁止；
2. 除内部向外部提供的服务相关部分外，内部向外部的访问需经部门主管批准。

内部防火墙配置要求：

1. 内部防火墙的内外部分分为不同的安全等级，外部为等级低的部分，内部为等级高的部分；
2. 除内部向外部提供的服务外，其他任何从外部向内部发起的连接请求被禁止；
3. 除内部向外部提供的服务相关部分外，内部向外部的访问需经部门主管批准。

5.1.3 上网行为设备安全配置策略

上网行为设备安全配置策略：

1. 访问许可列表应根据组织行政结构对每个成员及进行控制，访问权需申请并经过审批获得；
2. 对许可的访问发起者的身份认证应至少在两项或以上；
3. 非许可访问的部分应禁止；
4. 许可的访问发起者应体现相对静态的信息记录，如有明确意义的用户名、静态访问IP地址等；
5. 控制许可访问者的流量，防止流量流失。

5.1.4 网络交换机设备安全配置策略

核心网络交换机安全配置策略

1. 核心网络交换机是指位于公司网络中间节点或信息交换中心位置的网络交换机；
2. 核心网络交换机安全配置策略应考虑和周边网络设备的连接的兼容性、安全性、可靠性和可变性；
3. 核心网络交换机安全配置策略应尽量减少不必要的限定以保证合理的通信能力。

周边网络交换机安全配置策略

1. 周边网络交换机是指位于公司网络非中间节点或信息交换相对不重要的位置的网络交换机；
2. 周边网络交换机安全配置策略应考虑和关键路径网络设备的连接的兼容性、安全性、可靠性和可变性；
3. 核心网络交换机安全配置策略应根据需要减少不必要信息向更高级的网络层的传输。

5.2 网络设备的验收

运维部人员根据安全配置策略和特定安全要求填写《网络设备安全配置表》，经信息安全管理组长审核批准后，由运维部人员对网络设备参数进行配置。

配置实施后必须进行检查，测试，填写《办公设备验收报告》，并在《网络设备安全配置表》签署姓名和日期。

5.3 网络设备配置信息备份

公司的所有网络设备的配置信息应进行一次完整备份，今后每次验证后的修改进行更新备份配置文件，保证配置信息的同步，以便在网络设备发生故障后能够通过配置文件还原快速恢复业务。