最新网络环境运行的网络设备日常维护制度.docx

1、最新网络环境运行的网络设备日常维护制度 XXXX安全管理制度汇编网络设备日常维护制度文件名称网络设备日常维护制度密级内部文件编号版 本 号V1.0编写部门XXX部门编 写 人审 批 人发布时间编制说明为进一步贯彻党中央和国务院批准的国家信息化领导小组关于加强信息安全保障工作的意见及其“重点保护基础信息网络和重要信息系统安全”的思想、贯彻信息产业部“积极预防、及时发现、快速反应、确保恢复”的方针和“同步规划、同步建设、同步运行”的要求，特制定本制度。本制度依据我国信息安全的有关法律法规，结合XXXX的自身业务特点、并参考国际有关信息安全标准制定的。第一章 总则第二章 第一条制度目标：建立网络设备

2、的安全管理规定，并以此规定为指导，审视XXXX生产环境的网络设备的安全性，降低网络系统存在的安全风险，确保网络系统安全可靠地运行。第二条第三条适用范围：本制度适用于XXXX网络环境运行的网络设备（路由器、交换机等）。第四条第三章 原则第四章 第五条网络设备的登录口令必须足够强壮难以被破译。第六条第七条网络设备的当前配置文件必须在主机上有备份文件。第八条第九条网络设备的拓扑结构、IP地址等信息在一定范围内保密。第十条第十一条每季度检查网络设备的日志，及时发现攻击行为。第十二条第十三条网络设备的软件版本应该统一升级到较新版本。第十四条第十五条网络设备的远程登录操作应限制在指定网段范围内。第十六条第

3、十七条网络设备的MIB库设置读/写密码且访问限定在指定网段范围内。第十八条第十九条网络设备的安装、配置、变更、撤销等操作必须严格走流程。第二十条第五章 安全管理规定第六章 第二十一条要求对网络设备的登录采用分级用户的保护机制，不同的个人用户必须采用不同的用户名和口令登录，并且拥有不同的权限级别。不同用户的登录操作在设备日志文件上均有记录，便于追查问题。第二十二条第二十三条网络设备的直接责任人拥有超级用户权限，其他网络管理员按照工作需求拥有相应的用户权限网络管理员不得私开用户权限给其他人员。 第二十四条第二十五条用户的口令尤其是超级用户的口令必须足够强壮难以被破译，这是保证设备安全性的基本条件。

4、口令的设置应该满足规定的标准：第二十六条（一）口令长度不得少于8位，必须同时包含字母和数字；（二）（三）口令中不要使用常用单词、英文简称、个人信息等；（四）（五）不要将口令写在纸上或存在电脑上；（六）（七）至少每季度要改变一次口令；（八）（九）在配置文件中对口令进行隐藏设置；（十）（十一）选择口令尽可能做到自己好记别人难猜。（十二）第二十七条配置文件存储着网络设备的所有配置信息。网络设备中的运行配置文件和启动配置文件应该随时保持一致。第二十八条第二十九条通过TFTP或FTP的方式可以将设备的配置文件下载到本地主机上作备份文件以防不测，在设备配置文件损坏时可再通过TFTP或FTP的方式从本地主机

5、上载到设备的FLASH中恢复备份的配置文件。第三十条第三十一条在配置文件中加入适当的注释语句，便于其他人的理解。第三十二条第三十三条网络设备的拓扑结构、IP地址等信息文档属于部门的机密信息，应该在一定范围内予以保密。第三十四条第三十五条网络设备通常可以设置日志功能，日志可以直接登录到设备上查看，也可以设置将日志发送到某台指定的UNIX主机上查看。日志中具体包含的内容可以在命令行配置方式下设定。第三十六条第三十七条在日志文件中可以查看到曾经登录过该设备的用户名、时间和所作的命令操作等详细信息，为发现潜在攻击者的不良行为提供有力依据。第三十八条第三十九条网络管理员必须每季度查看所管设备的日志文件，

6、发现异常情况要及时处理和报告上级主管领导，尽早消除信息安全隐患。第四十条第四十一条网络设备的软件版本（IOS或VRP等）较低可能会带来安全性和稳定性方面的隐患，因此要求在设备的FLASH容量的情况下统一升级到较新的版本。必要情况下可升级设备的FLASH容量。第四十二条第四十三条网络设备一般都具有允许远程登录的功能，远程登录给网络管理员带来很多方便，但同时也带来一定的网络安全隐患。第四十四条第四十五条通常在网络设备上可以设置相应的ACL限定可远程登录的主机在指定网段范围内，拒绝部分潜在的攻击者，保证网络安全。第四十六条第四十七条网络设备一般采用SNMP协议提供网络管理功能，MIB库中包含了网络管

7、理相关的所有信息。第四十八条第四十九条MIB库的读写密码必须设定为非缺省值，防止其中的信息被潜在攻击者获取，威胁网络安全。同时，允许对MIB库进行读写操作的主机也可通过ACL设置限定在指定网段范围内。第五十条第五十一条网络设备的安装、配置、变更、撤销等操作必须严格走相应的流程进行不能由网络管理员独自进行，以使生产环境的网络设备随时处于可控状态。第五十二条第五十三条对网络设备的变更全过程进行严密的控制，在流程中明确规定对网络设备执行一项变更操作必须经过相关的技术评审，有主管领导审批，具备变更操作指导书等条件后才能具体实施，变更实施完成后要进行测试，这样才能将变更过程中可能带来的风险减小到最低限度

8、。第五十四条第五十五条网络安全管理员根据网络安全的需要向安全管理机构提出网络设备系统升级或者补丁程序安装建议。第五十六条第五十七条在安全管理机构同意网络设备系统升级或者补丁程序安装建议后，在安全管理员配合网络管理员完成详细的升级（修改）目标、内容 、方式、步骤和应急操作方案，报上级主管部门审核批准。第五十八条第五十九条上级主管部门审核批准后进行网络设备的系统升级或者补丁程序安装，采用双人操作，由安全管理员监督，网络管理员进行实际操作，并在升级（修补）前后必须由网络管理员完成相应的备份工作。第六十条第六十一条网络管理员负责对网络设备系统升级（修补）过程进行记录备案。第六十二条第六十三条在升级（修

9、补）后由安全管理员对网络设备进行安全扫描检测。第六十四条第六十五条启用对远程登录用户的IP地址校验功能，保证用户只能从特定的IP设备上远程登录路由器进行操作。第六十六条第六十七条启用对远程登录用户的IP地址校验功能，保证用户只能从特定的IP设备上远程登录交换机进行操作。第六十八条第六十九条启用对用户口令的加密功能，使本地保存的用户口令进行加密存放，防止用户口令泄密。第七十条第七十一条对于使用SNMP进行网络管理的路由器必须使用SNMP V2以上版本，并启用MD5等校验功能。第七十二条第七十三条在每次配置等操作完成或者临时离开配置终端时必须退出系统。第七十四条第七十五条设置控制口和远程登录口的i

10、dle timeout时间，让控制口或远程登录口在空闲一定时间后自动断开。第七十六条第七十七条一般情况下关闭路由器的Web配置服务，如果实在需要，应该临时开放，并在做完配置后立刻关闭。第七十八条第七十九条关闭路由器上不需要开放的服务，如Finger、NTP、Echo、Discard、Daytime、Chargen等。第八十条第八十一条在路由器上禁止IP的直接广播。第八十二条第八十三条在路由器上禁止IP源路由和ICMP重定向，保证网络路径的完整性。第八十四条第八十五条在接入层路由器启用对网络逻辑错误数据包的过滤功能。第八十六条第八十七条在路由器上采用的路由协议如果具备对路由信息的认证，必须启用该

11、功能。第八十八条第八十九条对于接入层交换机，应该采用VLAN技术进行安全的隔离控制，根据业务的需求将交换机的端口划分为不同的VLAN。第九十条第九十一条在接入层交换机中，对于不需要用来进行第三层连接的端口，应该设置使其属于相应的VLAN，必要时可以将所有尚未使用的空闲交换机端口设置为“Disable”，防止空闲的交换机端口被非法使用。第九十二条第九十三条对于提供第三层交换的交换机，对于交换机中的路由模块，必须参照第七条进行设置。第九十四条第九十五条在防火墙控制准则的设置上应该采用“禁止除非被明确允许”的原则。第九十六条第九十七条通过合理的配置使得拨号用户首先必须通过防火墙系统的认证。第九十八条

12、第九十九条在业务、网络或者系统发生变化时根据安全控制策略的变化对防火墙的安全控制准则重新进行设置，保证安全控制准则和网络安全访问控制策略保持一致。第一百条第一百零一条对于提供远程配置的防火墙，必须对配置终端的IP地址做限制。第一百零二条第一百零三条开启防火墙系统的日志功能。第一百零四条第一百零五条对防火墙系统不同的管理员设置相应的账号，并开启防火墙系统对管理员操作的记录和审计功能。第一百零六条第一百零七条如果防火墙系统提供了对逻辑错误数据包的过滤功能，必须开启该功能，防止IP地址欺骗。第一百零八条第一百零九条如果防火墙系统提供了入侵检测功能，必须开启该功能，并在发现网络入侵时发出告警。第一百一

13、十条B. UPDATE选课SET 成绩=92 WHERE学号=”02080110 AND课程号=”102”第七章 安全管理机构职责第八章 第一百一十一条第一百一十二条第一百一十三条51. 插入一条记录到“选课”表中，学号、课程号和成绩分别是“”、“103”和80，正确的SQL语句是_。制订网络设备用户账号的管理制度，对各个网络设备上拥有用户账号的人员、权限以及账号认证和管理的方式做明确的规定。对于重要网络设备建议使用RADIUS或者TACACS的方式实现对用户的集中管理，本办法的重要网络设备指的是生产网络中的各种路由器、交换机、接入服务器等设备。第一百一十四条第一百一十五条第一百一十六条第一百

14、一十七条【答案】D制订网络设备用户账号口令的管理制度，要求网络设备用户账号的口令在设置和保存是必须符合口令保密性要求。一般要求网络设备用户账号的长度在8位以上，并且必须包含大小写字母、数字以及其他字符。对于重要网络设备，要求每季度进行口令的更换。有条件的可以考虑使用一次性口令设备。第一百一十八条第一百一十九条第一百二十条第一百二十一条【答案】默认值制订网络设备日志的管理制度，对于日志功能的启用、日志记录的内容、日志的管理形式、日志的审查分析做明确的规定。对于重要网络设备，建议建立集中的日志管理服务器，实现对重要网络设备日志的统一管理，以利于安全管理员对于日志的审查分析。第一百二十二条第一百二十

15、三条对安全管理员进行网络设备网络安全扫描的周期和时间做出规定。对于重要的网络设备，要求每个月做一次全面的网络安全扫描，并且为了防止网络安全扫描对网络性能造成影响，应根据业务的实际情况对扫描时间做出规定，一般安排在非业务繁忙时段。第一百二十四条第九章 安全管理员职责第十章 第一百二十五条第一百二十六条第一百二十七条23. RSGZ数据表文件按基本工资字段升序索引后，再执GO TOP命令，此时当前记录号是_。监督网络安全管理机构制订的网络设备用户账号的管理制度的实行，对于使用RADIUS或者TACACS的方式实现对用户的集中管理，安全管理员每个月应该对RADIUS或者TACACS服务器上的用户账号

16、进行审查，在发现有可疑的用户账号时向网络管理员进行核实并采取相应的措施。第一百二十八条第一百二十九条根据安全管理机构规定的周期和时间，对网络设备进行全面网络安全扫描，发现安全网络设备上存在的异常开放的网络服务或者开放的网络服务存在安全漏洞时及时通知网络管理员采取相应的措施。第一百三十条第一百三十一条对于重要的网络设备，每两周对日志做一次全面的分析，对登录的用户、登录时间、所做的配置和操作做检查，在分析有异常的现象时及时向网络管理员进行核实并采取相应的措施。第一百三十二条第一百三十三条必须每季度查看网络安全站点的安全公告，跟踪和研究各种网络安全漏洞和攻击手段，在发现可能影响网络设备安全的安全漏洞

17、和攻击手段时，及时做出相应的对策，通知并指导同级网络管理员进行安全防范的同时，通知下面各级安全管理员，由各级安全管理员指导相应的网络管理员进行安全防范。第一百三十四条第一百三十五条第一百三十六条第一百三十七条【答案】DELETE FOR SUBSTR(分类号,1,1)=”I”必须跟踪网络设备中使用的操作系统最新版本和安全补丁程序的发布情况，在发现有新版本或者安全补丁出现发布时，通知下面各级安全管理员，并按照本办法第二十六条的处理流程处理。第一百三十八条第一百三十九条第一百四十条第一百四十一条clear根据业务保护要求，提出防火墙系统的部署方案，并制订相应的网络安全访问控制策略。第一百四十二条第

18、一百四十三条负责防火墙系统的日常维护工作，并根据网络安全访问控制策略，拟定相应的防火墙安全控制准则，并对安全控制准则和访问控制策略的一致性进行校验。第一百四十四条第十一章 网络管理员职责第十二章 第一百四十五条负责所管理网络设备的用户账号管理，为不同的用户建立相应的账号，根据对网络设备安装、配置、升级和管理的需要为用户设置相应的级别，并对各个级别用户能够使用的命令进行限制。同时对网络设备中所有用户账号进行登记备案。第一百四十六条第一百四十七条第一百四十八条第一百四十九条exit负责自己在网络设备上所拥有用户账号和口令的保密工作，不得将自己所拥有的用户账号转借给他人使用。同时遵守网络安全管理机构

19、制订的网络设备用户账号口令管理制度，在用户账号口令的设置上符合保密性要求，并每季度修改口令。第一百五十条第一百五十一条第一百五十二条第一百五十三条set safety on一般情况下不允许外部人员直接进入网络设备进行操作。在特殊情况下（如系统维修、升级等）情况下外部人员需要进入网络设备进行操作，必须由网络管理员进行登录，并对操作过程进行记录并备案，禁止将系统用户账号及口令直接交给外部人员。第一百五十四条第一百五十五条第一百五十六条第一百五十七条【答案】C对所管理的网络设备所安装的操作系统进行登记，登记记录上应该标明厂家、操作系统版本、已安装的补丁程序号、安装和升级的时间等内容。第一百五十八条第

20、一百五十九条对网络设备的登录提示重新进行设置，防止网络设备在用户登录提示信息中出现系统的有关信息，必要时在用户登录提示中还可以对攻击尝试提出警告。第一百六十条第一百六十一条在所管理网络设备上发现可能与网络安全有关的可疑现象时及时向安全管理员报告，并协助安全管理员进行问题的诊断。第一百六十二条第一百六十三条会同安全管理员对网络设备上的安全事件进行排除和修复。第一百六十四条第一百六十五条在网络设备正常的系统升级后，将升级的情况报安全管理员备案，并由安全管理员对网络设备进行网络安全扫描检测。第一百六十六条第一百六十七条对于与网络安全问题有关的由安全管理员发起的对于网络设备的系统升级，按照本办法第二十

21、六条处理。第一百六十八条第十三章 普通用户职责第十四章 第一百六十九条负责本人所拥有个人用网络设备（例如调制解调器）的安全管理。第一百七十条第一百七十一条负责本人在网络设备上所拥有的用户账号和口令（例如防火墙系统的用户和账号）的安全管理，禁止将用户账号转借他人使用。第一百七十二条第一百七十三条负责监控设备及系统运行状态。第一百七十四条第十五章 附则第十六章 第一节 文挡信息第二节 第一百七十五条本制度由业务科技处制定，并负责解释和修订。由信息安全工作组讨论通过，发布执行。第一百七十六条第一百七十七条本制度自发布之日起执行。第一百七十八条版本控制第一百七十九条对本制度所有修改及审批、发布都按时间顺序记录在此。第一百八十条V1.0文档定稿其他信息第一百八十一条本制度中所称的人员角色职责由各部门人员分别担任，可能现有岗位的职工在不同时期所担任的角色不同，甚至身兼多种角色，这种情况下该职工应该履行所兼每种角色的安全职责。第一百八十二条第一百八十三条XXXX安全管理制度汇编定义了信息安全体系的整体结构、安全组织及各角色岗位的职责、以及覆盖各项安全内容的安全管理制度。所有职工均应把XXXX安全管理制度汇编的规定作为信息安全工作的基本要求，其内容一经颁布将在一定时间内长期有效，其涉及的所有部门或个人均需对其负责。第一百八十四条