企业网络设备运维管理制度全套

企业网络设备运维管理制度目录1.概述1.1编写目的2.网络安全管理制度2.1网络安全架构规定2.2网络安全访问控制管理2.3网络设备安全管理2.4网络设备管理人员规范1.概述1.1编写目的本规范用于员工的生产系统和生产管理平台的操作管理。本规范自发布之日起实行。2.网络安全管理制度2.1网络安全架构规定l公司网络系统必须严格划分内网和外网，中间使用多层防火墙进行隔离和安全访问控制。l公司所有线上设备均实现热备冗余，保证生产运营的安全可靠。l通过防火墙及其它网络设备，可执行802.1X认证来实现对边界完整性检查。l具有抗DOS攻击以及主动防御功能，可实现对异常流量的监控和对恶意攻击的阻止。l所有可管理网络设备均保存有完整可查的日志记录，保证所有对网络设备的操作都有据可查。2.2网络安全访问控制管理2.2.1内部网络安全访问控制l公司按照业务系统的安全级别，划分不同的局域网区域，进行访问控制。l处于同一局域网同一网段的内部设备可相互访问，通过系统设备配置网卡地址直接进行访问。l同一局域网的内部设备均通过特定的业务端口进行访问。l不处于同一局域网的内部设备默认情况下，不能互相访问，需通过防火墙进行地址转换，并进行策略访问配置后才能访问。l不处于同一局域网的内部设备访问，通过防火墙进行端口访问控制，只开放必要的业务访问端口。2.2.2外部网络安全访问控制l所有的内部系统，除了公司网站以外，其它系统默认情况不能被外部系统访问，也不能访问外部系统。l通过专线连接的外部系统，需访问内部系统时，内部系统通过内部防火墙进行策略地址转换后，进行策略访问配置，并添加网络路由和主机路由才能访问。l通过专线连接的外部系统，访问内部系统时，通过内部防火墙进行端口访问控制，只开放必要的业务访问端口。在系统调试和故障处理时，临时开放进行网络测试的ICMP等协议的相关端口，处理完成后，关闭相应的端口。l通过互联网连接的外部系统，不能访问内部核心系统，只能访问开放互联网业务的互联网区域的内部系统，内部系统需通过防火墙进行地址转换，并添加策略访问配置后才能访问。l通过互联网连接的外部系统，访问内部系统时，通过防火墙进行端口访问控制，只开放必要的业务访问端口。在系统调试和故障处理时，临时开放进行网络测试的ICMP等协议的相关端口，处理完成后，关闭相应的端口。l对于所有能基于证书认证的网络管理访问都采用基于证书的认证，对于基于WEB方式的管理采用基于SSL加密认证的访问，杜绝用户帐户和口令被非法窃听。l对于基于远程拨号的访问，在前置接入主机上进行严格的口令安全检查，防止恶意用户反复尝试猜测口令，对于帐号和口令的发放均需通过专人统一授权发放，同时在防火墙上对拨号进入的用户设置严格的访问控制规则，杜绝因帐号泄露而导致的网络攻击行为。2.3网络设备安全管理2.3.1设备口令管理l对于设备系统运行的各级管理口令，由网络经理和网络工程师统一管理。其它的运维人员，只设定查看权限。l定期修改口令。口令的设置符合保密要求，均采用字母、数字和特殊符号组合而成，防止非法入侵者的猜测成功，而造成的系统故障发生。l维护人员发生变化，由网络经理或网络工程师立即修改密码。l对于无效用户及时删除。2.3.2设备日志管理l所有可管理网络设备均保存有完整可查的日志记录，保证所有对网络设备的操作都有据可查，专人对日志进行定期审查。l根据网络设备位置设置网络设备日志级别，设置日志服务器，保证所有告警错误信息及时传送至日志服务器，定期进行备份。l必须严格控制设备日志的访问权限，除网络管理员和专用账号之外，不得赋予其他用户访问通信日志的权限。l确因业务需要从生产环境中获取日志的，必须办理审批手续，在生产环境现场的专有指定环境使用日志。所有日志不得带离现场。确因业务需要将账户信息带离现场的，执行严格的审批、使用、销毁流程。2.3.3设备登录管理l一般情况下，只允许网络经理和网络工程师直接登录网络设备进行维护操作。l其它运维人员，只能登录网络设备进行配置查看。l在网络经理和网络工程师进行配置更改前，需将设备原有配置保存至FTP服务器上，配置完成后，再将现有配置保存至FTP服务器，所有的配置文档永久保留。远程登录网络设备进行维护操作。2.3.4网络设备系统升级l网络设备现有系统软件版本存在安全漏洞，或者所配置模块无法再现有版本下正常工作，需对网络设备进行系统升级处理。l在对网络设备系统软件升级前，网络经理和网络工程师提出详细的升级目标、内容、方式、步骤和应急操作方案报上级主管部门审核批准。l在进行网络设备系统软件升级操作前，将网络设备现有系统和配置文件保存至FTP服务器，升级后，进行网络测试，确保设备正常后，将网络设备升级后的系统和配置文件保存至FTP服务器。l网络设备升级的详细的操作过程及方案部门留底保存。2.3.5网络设备日常维护l实时监控网络设备运行状况，建立日志服务器。l日志至少保存半年以上，采用循环覆盖方式。l定期对系统数据进行备份。l定期查看系统的安全管理软件及系统日志，在发现系统遭到非法攻击或非法攻击尝试时，应利用系统提供的功能进行自我保护，并对非法攻击进行定位、跟踪和发出警告，同时向上级主管部门汇报。如有疑难问题请相关负责系统安全的人员协助解决。l维护过程中发现的不正常情况应及时处理和详细记录，处理不了的问题，应立即向主管人员报告。2.4网络设备管理人员规范2.4.1网络设备管理人员l目前公司设有网络经理和网络工程师2个职位，共同进行网络设备维护和安全管理。l网络经理全面负责网络设备的维护及安全管理，定期对网络架构、网络整体运行情况进行分析，及时了解公司业务对网络的需求，提出网络扩容和整改方案。l网络工程师全部负责网络设备的维护操作和故障处理，搭建网络监控系统，实时监控网络设备运行状况，及时处