收集设备日常掩护轨制

第二条 适用范围：本制度适用于客服系统网络环境运行的网络设备（路由器、交流机等）。

第三条 网络设备的登录口令必须足够强壮难以被破译。

第四条 网络设备的拓扑构造、IP地址等信息在一定范围内保密。

第五条 网络设备的软件版本该当统一升级到较新版本。

第六条 网络设备的远程登录操作应限定在指定网段范围内。

第七条 网络设备的MIB库设置读/写密码且访问限定在指定网段范围内。

第八条 网络设备的安装、配置、变更、撤销等操作必须严格走流程。

第九条 哀求对网络设备的登录采取分级用户的保护机制，不同的个人用户必须采取不同的用户名和口令登录，并且拥有不同的权限级别。
不同用户的登录操作在设备日志文件上均有记录，便于追查问题。

第十条 网络设备的直接任务人拥有超级用户权限，其他网络管理员按照事情需求拥有相应的用户权限．网络管理员不得私开用户权限给其他职员。

第十一条 用户的口令尤其是超级用户的口令必须足够强壮难以被破译，这是担保设备安全性的基本条件。
口令的设置该当知足规定的标准：

（一） 口令长度不得少于8位，必须同时包含字母和数字；

（二） 口令中不要利用常用单词、英文简称、个人信息等；

（三） 不要将口令写在纸上或存在电脑上；

（四） 至少每季度要改变一次口令；

（五） 在配置文件中对口令进行隐蔽设置；

（六） 选择口令尽可能做到自己好记别人难猜。

第十二条 配置文件存储着网络设备的所有配置信息。
网络设备中的运行配置文件和启动配置文件该当随时保持同等。

第十三条 通过TFTP或FTP的办法可以将设备的配置文件***到本地主机上作备份文件以防不测，在设备配置文件破坏时可再通过TFTP或FTP的办法从本地主机上载到设备的FLASH中规复备份的配置文件。

第十四条 在配置文件中加入适当的注释语句，便于其他人的理解。

第十五条 网络设备的拓扑构造、IP地址等信息文档属于部门的机密信息，该当在一定范围内予以保密。

第十六条 网络设备常日可以设置日志功能，日志可以直接登录到设备上查看，也可以设置将日志发送到某台指定的UNIX主机上查看。
日志中详细包含的内容可以在命令行配置办法下设定。

第十七条 在日志文件中可以查看到曾经登录过该设备的用户名、韶光和所作的命令操作等详细信息，为创造潜在攻击者的不良行为供应有力依据。

第十八条 网络管理员必须每季度查看所管设备的日志文件，创造非常情形要及时处理和报告上级主管领导，尽早肃清信息安全隐患。

第十九条 网络设备的软件版本（IOS或VRP等）较低可能会带来安全性和稳定性方面的隐患，因此哀求在设备的FLASH容量的情形下统一升级到较新的版本。
必要情形下可升级设备的FLASH容量。

第二十条 网络设备一样平常都具有许可远程登录的功能，远程登录给网络管理员带来很多方便，但同时也带来一定的网络安全隐患。

第二十一条 常日在网络设备上可以设置相应的ACL限定可远程登录的主机在指定网段范围内，谢绝部分潜在的攻击者，担保网络安全。

第二十二条 网络设备一样平常采取SNMP协议供应网络管理功能，MIB库中包含了网络管理干系的所有信息。

第二十三条 MIB库的读／写密码必须设定为非缺省值，防止个中的信息被潜在攻击者获取，威胁网络安全。
同时，许可对MIB库进行读／写操作的主机也可通过ACL设置限定在指定网段范围内。

第二十四条 网络设备的安装、配置、变更、撤销等操作必须严格走相应的流程进行不能由网络管理员独自进行，以使生产环境的网络设备随时处于可控状态。

第二十五条 对网络设备的变更全过程进行严密的掌握，在流程中明确规定对网络设备实行一项变更操作必须经由干系的技能评审，有主管领导审批，具备变更操作辅导书等条件后才能详细履行，变更履行完成后要进行测试，这样才能将变更过程中可能带来的风险减小到最低限度。

第二十六条 网络安全管理员根据网络安全的须要向安全管理机构提出网络设备系统升级或者补丁程序安装建议。

第二十七条 在安全管理机构赞许网络设备系统升级或者补丁程序安装建议后，在安全管理员合营网络管理员完成详细的升级（修正）目标、内容 、办法、步骤和应急操作方案，报上级主管部门审核批准。

第二十八条 上级主管部门审核批准后进行网络设备的系统升级或者补丁程序安装，采取双人操作，由安全管理员监督，网络管理员进行实际操作，并在升级（修补）前后必须由网络管理员完成相应的备份事情。

第二十九条 网络管理员卖力对网络设备系统升级（修补）过程进行记录备案。

第三十条 在升级（修补）后由安全管理员对网络设备进行安全扫描检测。

第三十一条 启用对远程登任命户的IP地址校验功能，担保用户只能从特定的IP设备上远程登录路由器进行操作。

第三十二条 启用对远程登任命户的IP地址校验功能，担保用户只能从特定的IP设备上远程登录交流机进行操作。

第三十三条 启用对用户口令的加密功能，使本地保存的用户口令进行加密存放，防止用户口令泄密。

第三十四条 对付利用SNMP进行网络管理的路由器必须利用SNMP V2以上版本，并启用MD5等校验功能。

第三十五条 在每次配置等操作完成或者临时离开配置终端时必须退出系统。

第三十六条 设置掌握口和远程登录口的idle timeout韶光，让掌握口或远程登录口在空闲一定韶光后自动断开。

第三十七条 一样平常情形下关闭路由器的Web配置做事，如果实在须要，该当临时开放，并在做完配置后急速关闭。

第三十八条 关闭路由器上不须要开放的做事，如Finger、NTP、Echo、Discard、Daytime、Chargen等。

第三十九条 在路由器上禁止IP的直接广播。

第四十条 在路由器上禁止IP源路由和ICMP重定向，担保网络路径的完全性。

第四十一条 在接入层路由器启用对网络逻辑缺点数据包的过滤功能。

第四十二条 在路由器上采取的路由协议如果具备对路由信息的认证，必须启用该功能。

第四十三条 对付接入层交流机，该当采取VLAN技能进行安全的隔离掌握，根据业务的需求将交流机的端口划分为不同的VLAN。

第四十四条 在接入层交流机中，对付不须要用来进行第三层连接的端口，该当设置使其属于相应的VLAN，必要时可以将所有尚未利用的空闲交流机端口设置为“Disable”，防止空闲的交流机端口被造孽利用。

第四十五条 对付供应第三层交流的交流机，对付交流机中的路由模块，必须参照第七条进行设置。

第四十六条 在防火墙掌握准则的设置上该当采取“禁止除非被明确许可”的原则。

第四十七条 通过合理的配置使得拨号用户首先必须通过防火墙系统的认证。

第四十八条 在业务、网络或者系统发生变革时根据安全掌握策略的变革对防火墙的安全掌握准则重新进行设置，担保安全掌握准则和网络安全访问掌握策略保持同等。

第四十九条 对付供应远程配置的防火墙，必须对配置终真个IP地址做限定。

第五十条 开启防火墙系统的日志功能。

第五十一条 对防火墙系统不同的管理员设置相应的账号，并开启防火墙系统对管理员操作的记录和审计功能。

第五十二条 如果防火墙系统供应了对逻辑缺点数据包的过滤功能，必须开启该功能，防止IP地址欺骗。

第五十三条 如果防火墙系统供应了入侵检测功能，必须开启该功能，并在创造网络入侵时发出告警。

第五十四条 订定网络设备用户账号的管理制度，对各个网络设备上拥有用户账号的职员、权限以及账号认证和管理的办法做明确的规定。
对付主要网络设备建议利用RADIUS或者TACACS＋的办法实现对用户的集中管理，本办法的主要网络设备指的是生产网络中的各种路由器、交流机、接入做事器等设备。

第五十五条 订定网络设备用户账号口令的管理制度，哀求网络设备用户账号的口令在设置和保存是必须符合口令保密性哀求。
一样平常哀求网络设备用户账号的长度在8位以上，并且必须包含大小写字母、数字以及其他字符。
对付主要网络设备，哀求每季度进行口令的改换。
有条件的可以考虑利用一次性口令设备。

第五十六条 订定网络设备日志的管理制度，对付日志功能的启用、日志记录的内容、日志的管理形式、日志的审查剖析做明确的规定。
对付主要网络设备，建议建立集中的日志管理做事器，实现对主要网络设备日志的统一管理，以利于安全管理员对付日志的审查剖析。

第五十七条 对安全管理员进行网络设备网络安全扫描的周期和韶光做出规定。
对付主要的网络设备，哀求每个月做一次全面的网络安全扫描，并且为了防止网络安全扫描对网络性能造成影响，应根据业务的实际情形对扫描韶光做出规定，一样平常安排在非业务繁忙时段。

第五十八条 根据安全管理机构规定的周期和韶光，对网络设备进行全面网络安全扫描，创造安全网络设备上存在的非常开放的网络做事或者开放的网络做事存在安全漏洞时及时关照网络管理员采纳相应的方法。

第五十九条 对付主要的网络设备，每两周对日志做一次全面的剖析，对登录的用户、登录韶光、所做的配置和操作做检讨，在剖析有非常的征象时及时向网络管理员进行核实并采纳相应的方法。

第六十条 必须每季度查看网络安全站点的安全公告，跟踪和研究各种网络安全漏洞和攻击手段，在创造可能影响网络设备安全的安全漏洞和攻击手段时，及时做出相应的对策，关照并辅导同级网络管理员进行安全戒备的同时，关照下面各级安全管理员，由各级安全管理员辅导相应的网络管理员进行安全戒备。

第六十一条 必须跟踪网络设备中利用的操作系统最新版本和安全补丁程序的发布情形，在创造有新版本或者安全补丁涌现发布时，关照下面各级安全管理员，并按照本办法第二十六条的处理流程处理。

第六十二条 根据业务保护哀求，提出防火墙系统的支配方案，并订定相应的网络安全访问掌握策略。

第六十三条 卖力防火墙系统的日常掩护事情，并根据网络安全访问掌握策略，拟定相应的防火墙安全掌握准则，并对安全掌握准则和访问掌握策略的同等性进行校验。

第六十四条 卖力所管理网络设备的用户账号管理，为不同的用户建立相应的账号，根据对网络设备安装、配置、升级和管理的须要为用户设置相应的级别，并对各个级别用户能够利用的命令进行限定。
同时对网络设备中所有用户账号进行登记备案。

第六十五条 卖力自己在网络设备上所拥有用户账号和口令的保密事情，不得将自己所拥有的用户账号转借给他人利用。
同时遵守网络安全管理机构订定的网络设备用户账号口令管理制度，在用户账号口令的设置上符合保密性哀求，并每季度修正口令。

第六十六条 一样平常情形下不许可外部职员直接进入网络设备进行操作。
在分外情形下（如系统维修、升级等）情形下外部职员须要进入网络设备进行操作，必须由网络管理员进行登录，并对操作过程进行记录并备案，禁止将系统用户账号及口令直接交给外部职员。

第六十七条 对所管理的网络设备所安装的操作系统进行登记，登记记录上该当标明厂家、操作系统版本、已安装的补丁程序号、安装和升级的韶光等内容。

第六十八条 对网络设备的登录提示重新进行设置，防止网络设备在用户登录提示信息中涌现系统的有关信息，必要时在用户登录提示中还可以对攻击考试测验提出警告。

第六十九条 在所管理网络设备上创造可能与网络安全有关的可疑征象时及时向安全管理员报告，并帮忙安全管理员进行问题的诊断。

第七十条 会同安全管理员对网络设备上的安全事宜进行打消和修复。

第七十一条 在网络设备正常的系统升级后，将升级的情形报安全管理员备案，并由安全管理员对网络设备进行网络安全扫描检测。

第七十二条 对付与网络安全问题有关的由安全管理员发起的对付网络设备的系统升级，按照本办法第二十六条处理。

第七十三条 卖力本人所拥有个人用网络设备（例如调制解调器）的安全管理。

第七十四条 卖力本人在网络设备上所拥有的用户账号和口令（例如防火墙系统的用户和账号）的安全管理，禁止将用户账号转借他人利用。

第七十五条 卖力监控设备及系统运行状态。

第七十六条 本制度由无锡核心信息科技有限公司制订，并卖力阐明和修订。
由信息安全事情组谈论通过，发布实行。

第七十七条 本制度自发布之日起实行。