DCN网安全接入流程及规范

1、.：.；DCN网平安接入流程流程阐明：恳求单位向本级DCN管理部门提交恳求报告可运用电子文档，报告内容应包括：见附表1业务称号、业务性质、业务功能概述、业务归口主管部门、归口主管部门担任人及其联络方法；业务规划网络架构、系统组成及组网技术描画、目前规模地域、节点数、设备安放地等、接入方式LAN或WAN方式、资源占用及分配情况端口占用、带宽、IP地址、域名、自治系统号等、今后开展地域、节点数、设备安放地等；工程组织方案建立工期安排、涉及部门及必要的割接方案、系统集成方式涉及相关的厂商情况；用户特殊要求。本级DCN管理部门接到恳求后应及时审阅，并与恳求单位联络，确定接入方案，必要时双方技术管理人员

2、该当面讨论协商。恳求单位的报告获得同意后，应严厉按照同意执行，不得擅自接入。凡是批复准许接入的业务系统工程担任部门，必需做好全部的接入预备任务，在DCN工程技术人员的配合下，将衔接网线布放到指定地点，并做好标识。业务子网的接入原那么上从网络交换机接入，如确需从路由器接入，需报省DCN管理部门审核同意；网络交换机上业务子网接入的端口资源由省DCN管理部门担任管理，未经省DCN管理部门同意不得擅自接入业务子网；系统接入前必需经过平安测试，符合要求后方可接入。附表1 广东电信DCN网接入恳求报告业务称号 业务性质 归口主管部门 归口主管部门担任人姓名 网络构造需用图示阐明不够可附页联网技术描画不够可

3、附页系统组成不够可附页接入DCN的方式 端口类型 带宽需求 域名 IP地址分配用附件详细阐明目前规模包括地域、节点数、设备安放地等：不够可附页今后的网络系统开展包括地域、节点、设备安放地等：不够可附页工程组织方案：建立工期安排 涉及部门 必要的割接方案、时间不够可附页系统集成商情况 业务系统的特殊要求不够可附页DCN网平安接入规范随着我省支撑系统的建立实施，需求接入广东电信DCN网的系统越来越多，而且各系统对DCN网的衔接要求也越来越复杂。由于DCN网只保证大网的平安畅通，各个运用系统的平安性需求由各自的运维部门维护，因此，省公司网络运营部编制了DCN网消费系统平安接入规范，用于指点DCN有关

4、运用部门和单位在新建/扩建/改建需接入到DCN网的消费系统的设计、建立、验收各个阶段的平安任务，从而到达提高接入到DCN网消费系统的平安程度，保证DCN网消费系统平安运营的目的。本规范是各分公司进展DCN网新建接入系统平安管理的重要根据，各公司应结合本单位的详细情况，遵照本规范对本公司所辖的DCN网接入系统进展平安管理。保证DCN网接入系统机房物理环境的平安性，包括：DCN网消费系统所处的物理环境应符合电信机房防火、防盗、防雷、防水、防震等要求参照国家规范和中国电信有关规定。消费系统属于中国电信重要关键业务系统的，其网络设备和主机系统要和普通的办公和消费环境要进展物理隔离，并采用门禁系统、防盗

5、报警器、闭路电视监控系统等进展平安防护。系统设备的规划以及强电、弱电布线必需合理、规范。物理平安检查验收细那么参见附件1。保证DCN网接入系统网络设备的平安性，包括：确认网络设备运用和维护文档能否齐全。确认交换机所划分的虚拟子网(VLAN)能否符合规划要求。确认防火墙的隔离与访问控制战略能否符合规划的要求。确认消费系统网络结点与公共网络相衔接的进出口处安装配备的VPN设备能否符合规划要求。已建立入侵检测系统的，确认能否能对进出网段的一切异常攻击行为进展实时监控、记录。确认网络设备的操作系统能否曾经晋级到最新补丁，并禁用了不用要的效力和端口。确认DCN网消费系统网络结点与公共网络相衔接的进出口处

6、安装配备了防病毒网关。物理平安检查验收细那么参见附件2。保证DCN网接入系统主机设备的平安性，包括：确认效力器主机中不存在反复用户、测试用户、共享用户、公共账号等等不用要的用户账号。确认效力器的账号启用了用户账号管理战略，运维人员曾经禁用和修正了工程阶段的测试账号和密码。确认效力器主机系统没有开放不用要的共享文件。确认曾经对效力器主机一切的共享文件设置了用户访问权限。确认用户账号口令不存在空口令和弱口令。确认效力器主机系统曾经晋级到最新的平安补丁。确认并登记效力器主机系统开放的效力和端口，封锁不用要运用的效力。确认系统启用了平安日志记录功能，日志记录设置成只需系统管理员账号才有权访问。物理平安

7、检查验收细那么参见附件3。保证DCN网接入系统运用系统的平安性，包括：确认运用程序在登录过程中提供了身份认证功能。确认运用程序对登录者根据其操作权限进展了相应的限制。确认运用程序本身的日志功能能否满足事后对用户操作进展平安审核的需求。确认运用程序经过加密通讯的方式与远程主机进展数据交换和传输。物理平安检查验收细那么参见附件4。保证DCN网接入系统重要数据的平安性，包括：确认制定了对数据库等重要数据定时做平安备份。确认有经过网络备份系统等对数据库等重要数据进展远程异地备份。物理平安检查验收细那么参见附件5。附件一、物理环境平安性检查验收细那么序号问题描画回答1能否严厉按照机房物理环境平安建立的要

8、求，有火灾检测系统、灭火系统、防静电措施、电力保证系统等？ 是 否2能否明确规定机房严禁吸烟，并且不允许带食物饮料进入？ 是 否3进入机房能否门禁系统，防止非授权人员进入？ 是 否4机房内能否有温度、湿度的检测和控制系统，如温度计、湿度计以及空调、除湿机等？ 是 否5关键系统能否有UPS和备用电源？ 是 否6机房能否有平安监视系统？ 是 否7机房建立和系统设备能否严厉遵照设计院的设计进展规划，强电和弱电分别布线？ 是 否附件二、网络设备平安性检查验收细那么序号问题描画回答1能否有文档化的系统操作程序，内容须有如下信息：1设备的有关硬件信息；2正常情况下的操作步骤和规程；3处置错误和其他异常情况

9、的命令和流程；4在出现不测操作或技术问题时的支持联络方式；5系统出现缺点时系统恢复的步骤。 是 否2能否有网络系统所安装操作系统和运用系统软件记录，应该包括标明软件称号、厂家、版本、已安装的补丁程序号、安装和晋级的时间等内容，并且在每次系统安装、晋级、补丁程序安装、系统设置变化时对所做操作进展记录。 是 否3对于重要的网络设备能否运用RADIUS或者TACACS的方式实现对用户的集中管理？ 是 否4对于重要网络设备，能否建立集中的日志管理效力器，实现对重要网络设备日志的一致管理，以利于对网络设备日志的审查分析 是 否5能否有明确的补丁修补制度，应包括补丁下载的步骤、站点阐明、补丁实验等？ 是

10、否6能否制定网络设备操作系统的口令管理制度，对口令的选取、组成、长度、修正周期做出规定？ 是 否7能否明确制止运用超级管理员身份直接登录系统？ 是 否8能否根据业务维护要求，制定相应的网络平安访问控制战略？ 是 否9能否对网络设备的登录提示重新进展设置，防止网络设备在用户登录提示信息中出现系统的有关信息，必要时在用户登录提示中还可以对攻击尝试提出警告 是 否10能否启用网络设备对远程登录用户的IP地址校验功能，保证用户只能从特定的IP设备上远程登录设备进展配置等操作？ 是 否11能否根据网络平安访问控制战略，拟定相应的防火墙平安控制准那么，并对平安控制准那么和访问控制战略的一致性进展校验？ 是

11、 否12能否有明确的规定，要求启用对用户口令的加密功能，对本地保管的用户口令进展加密存放，防止用户口令泄密？ 是 否13能否有明确的规定，要求设置控制口和远程登录口的空闲超时，让控制口或远程登录口在空闲一定时间后自动断开？ 是 否14能否明确规定，限制路由器、交换机的Web效力的运用，普通情况下封锁路由器的Web配置效力，假设确实需求，应该暂时开放，并在做完配置后立刻封锁？ 是 否15能否明令制止开放路由器、交换机上不需求的效力，如Finger、NTP、Echo、Discard、Daytime、Chargen等 是 否16能否制定了路由平安战略，包括制止IP直接广播、制止IP源路由、ICMP重

12、定向、以及与外部互联时，必需采用静态路由等路由平安战略。 是 否17能否有明确的战略，要求在防火墙控制准那么的设置上应该采用“制止除非被明确允许的原那么？ 是 否18能否明确要求对防火墙系统不同的管理员设置相应的账号，并开启防火墙系统对管理员操作的记录和审计功能？ 是 否附件三、主机设备平安性检查验收细那么序号问题描画回答1能否有文档化的系统操作程序，内容须有如下信息：1设备的有关信息；2正常情况下的操作步骤和规程；3处置错误和其他异常情况的命令和流程；4在出现不测操作或技术问题时的支持联络方式；5系统出现缺点时系统恢复的步骤。 是 否2能否制定了软件运用制度，内容应包括制止用户安装和运用来历

13、不明、没有版权的软件，在效力器系统上还应该制止安装与效力器所提供效力和运用无关的其它软件。 是 否3能否有主机系统所安装操作系统和运用系统软件记录，应该包括标明软件称号、厂家、版本、已安装的补丁程序号、安装和晋级的时间等内容，并且在每次系统安装、晋级、补丁程序安装、系统设置变化时对所做操作进展记录。 是 否4能否制定重要主机系统的平安运用制度，内容应包括制止在重要的主机系统上阅读外部网站网页、接纳电子邮件、编辑文档、编程以及进展与主机系统维护无关的其它操作。 是 否5能否有明确的补丁修补制度，应包括补丁下载的步骤、站点阐明、补丁实验等？ 是 否6能否制定主机系统的口令管理制度，对口令的选取、组

14、成、长度、修正周期做出规定？ 是 否7能否制定了平安检查制度，对检查的周期、内容、原那么、时间做出明确的规定？ 是 否8能否有明确的制度，规定对操作系统日志、系统进程、系统用户进展定期分析和检查？ 是 否9能否明确规定系统出现异常时，必需对系统进展全面的平安问题诊断，并记录备案？异常包括系统解体、系统账号权限的变化、系统忽然的不明缘由的性能下降等。 是 否10能否对系统所开放的网络效力进展登记备案，包括端口号、进程等根本信息。 是 否11能否认期对所开放的效力进展平安扫描，同时，要求对平安扫描软件进展定期的更新 是 否12能否对扫描到的平安破绽进展了适当的处置并记录备案，包括修补破绽、加强访问

15、控制等方法。 是 否13能否对系统上能够走漏操作系统、后台效力进程及版本号的效力重新进展平安设置，包括Banner隐藏以及其它系统信息隐藏，这些效力包括Telnet、FTP、Email等 是 否14能否明确制止运用超级管理员身份直接登录系统？ 是 否15对于WEB效力，能否有明确管理员操作规程，包括不得以系统最高权限用户运转Web后台进程、将Web文档根据类型分别存放于不同目录，并对目录权限作相应的设置、制止以输入“.的方式来对上一级目录的访问等内容。 是 否16对于MAIL效力器的管理，能否有明确管理员操作规程，包括制止启用Email效力器的Open Relay功能、设置Email效力的访问

16、控制文件，回绝接纳渣滓邮件列表的邮件、正确设置邮件主目录的属主和权限等内容 是 否17对于FTP效力器，能否有明确管理员操作规程，包括为匿名FTP用户建立专门的用户组，并设置制止该组用户执行系统Shell命令；正确设置FTP主目录的属主和权限，目录属主设置为超级用户，权限设置应为对一切用户都可读、不可写、可执行；为FTP用户建立专门的Shell命令目录如bin，并将该目录的属主设置为超级用户，权限设置应为对一切用户都不可读、不可写、可执行。 是 否18能否对用户权限的划分进展了明确的规定，遵照最小授权和权限分割原那么，只给系统用户、数据库系统或其它运用系统用户授予业务所需的最小权限，制止与所管

17、理主机系统无关的人员在系统上拥有用户账号，并且封锁不需求的系统账号。对两个月以上不用的用户账号进展锁定。 是 否19对于重要的主机系统，在系统启用、重新安装或者晋级时建立系统镜像，在发生网络平安问题时利用系统镜像对系统进展完好性检查。 是 否附件四、运用系统平安性检查验收细那么序号问题描画回答1确认运用程序能否在登录过程中提供了身份认证功能。 是 否2确认运用程序能否对登录者根据其操作权限进展了相应的限制。 是 否3确认运用程序本身的日志功能能否满足事后对用户操作进展平安审核的需求。 是 否4确认运用程序能否经过加密通讯的方式与远程主机进展数据交换和传输。 是 否附件五、数据平安性检查验收细那

18、么序号问题描画回答1能否有明确的要求，维护以下重要数据：计费数据、系统数据、客户数据等？ 是 否2能否制定了重要数据的备份战略，内容应包括备份的数据对象、备份方式、备份周期、备份采用的介质、数据备份保管的期限、以及操作人员 是 否3能否制定了数据备份介质的管理制度，内容包括对数据备份必需有明确的记录，在记录中标明备份内容、备份时间，备份操作人员等信息。假设有条件，对于重要数据的备份还必需异地严密存放？ 是 否4能否明确规定，要求验证所制定的数据备份战略的有效性，对数据恢复过程进展实验，确保在发生平安问题时可以从数据备份中进展恢复 是 否5能否明确规定，对于重要数据的备份，做定期的检查，确保备份的内容和周期以及备份的保管符合有关的规定，普通一个月至少有一次？ 是 否6能否制定了重要数据的灾难恢复方案，内容包括重要数据对象、数据存储及备份的位置、从数据备份进展恢复的详细过程和步骤、以及执行恢复操作的人员。 是 否7能否对重要数据的存储有登记记录，内容包括需求维护的数据、存储的位置、存储的方