网络安全技术管理实施细则
总则
为规范网络安全技术管理工作，指导网络安全技术日常工作，制定本细则。
本细则适用于网络安全技术的管理工作。
组织与职责
运维中心网络管理组负责网络安全技术管理，规范网络设备安全配置，监控和检查网络安全运行情况，确保网络的安全稳定运行。
网络安全架构
科技发展部的网络按照分区、分层的架构、以模块化的方式进行规划。网络整体划分为生产网、办公网、开发网、测试网，各网络按功能区域进行细分，网络区域实现核心、分布和接入三层架构。
生产核心网络应采用双设备、多链路捆绑、多路径等冗余措施，防止单点故障，确保网络可用性。
外网和内网之间应部署防火墙设备,对目标端口、源地址、目标地址及协议进行控制。
网络管理组应通过网管系统对科技发展部网络进行网络管理，实行7×24小时网络监控。网管系统应实现对网络拓扑、网络性能、事件、故障告警的管理，并提供网络运维报表。
网络管理组应每年对生产网从网络架构设计、网络冗余、安全策略等方面进行评估,并根据评估结果优化网络安全。
网络设备管理
网络管理组根据配置信息收集表定期检查设备的使用情况，确保网络设备在厂商维护服务范围内，并在维保合同到期前三个月提出续保申请。
网络管理组应每年组织网络健康检查，依据设备管理要求对网络设备的健康状态和性能进行评估，并根据评估结果进行相应调整和改进。
网络设备安全配置
网络管理组应制订网络设备的配置规范，配置规范中应包含设备的安全配置要求，核心网络设备的配置规范应满足网络架构规划设计的要求。
所有路由和交换设备应遵循以下安全规范进行访问控制管理：
原则上使用TACACS或RADIUS等协议的用户身份认证技术，由统一的用户身份认证系统进行认证；
修改所有默认用户的默认密码，特权用户密码不得与其它密码相同；
路由和交换设备应进行以下安全设置：
原则上禁用TCP 和UDP small 服务、Finger服务、Bootp服务；
限制接收SNMP请求的源IP地址范围，在不需要通过SNMP配置设备的情况下，使SNMP工作在只读模式下；
生产网禁用未使用的空闲接口，对核心网络设备设定本机回环地址；
原则上禁用定向广播和IP源路由，使用专门的DNS服务器进行域名解析；
原则上不允许将端口分配给默认VLAN, 所有的端口都必须手工分配，所有空闲的端口都必须不属于任何VLAN；
在所有接口上禁用Auto-trunking，仅在需要时开启接口TRUNK功能。
网络管理组应根据配置规范检查网络设备的安全配置，确保网络设备在接入生产环境前符合配置规范要求。
网络管理组应每半年或在核心网络设备型号发生重大更新时对核心网络设备配置规范进行评估。
网络安全设备配置规范
防火墙设备应遵循以下安全配置规范：
防火墙的远程管理访问应满足：
关闭所有不安全的远程管理服务，启用较安全的远程管理方式，如：SSH、HTTPS；
限制可进行远程管理的网络接口，只允许指定网管系统的远程管理；
远程管理用户须使用唯一的用户名和密码，密码的设置应符合要求；
根据不同管理员的权限，授予最小的访问权限；
科技发展部防火墙设备的网络服务应进行以下设置：
限制接收SNMP请求的源IP地址，在不需要通过SNMP配置设备的情况下，使SNMP工作在只读模式下；
将Logging Level设置在Informational水平。
科技发展部入侵检测设备的配置和管理必须遵循以下规范：
入侵检测设备应进行以下设置：
开启实时监控功能，确保及时告警；
针对不同等级的安全攻击，自动生成高、中、低三种安全级别，在IDS显示中心提示告警信息并保存在当日日志系统中。根据告警信息和日志分析网络中发生的各种异常事件和攻击行为。
入侵检测系统的日志应进行以下配置：
日志数据至少包括：时间/日期、攻击名称（如果系统能识别）、攻击的源IP地址和目标IP地址、