信息安全網(wǎng)絡(luò)篇配置建議

1、1.網(wǎng)絡(luò)安全篇目的通過針對網(wǎng)絡(luò)安全相應(yīng)技術(shù)標(biāo)準(zhǔn)，規(guī)范的定義，以能夠配合相關(guān)管理辦法， 進一步指導(dǎo)億咖通在技術(shù)層面實現(xiàn)合理的網(wǎng)絡(luò)安全的實現(xiàn)和部署，達(dá)到網(wǎng)絡(luò)層面 的安全防護能力。網(wǎng)絡(luò)安全技術(shù)標(biāo)準(zhǔn)網(wǎng)絡(luò)結(jié)構(gòu)安全及網(wǎng)絡(luò)設(shè)備通用安全配置標(biāo)準(zhǔn)網(wǎng)絡(luò)冗余局域網(wǎng)網(wǎng)絡(luò).局域網(wǎng)必須采用冗余設(shè)計，不存在網(wǎng)絡(luò)單點故障。核心交換機都采用雙冗余 設(shè)備；.各接入換機必須有雙鏈路（光纖或超5類線路）上聯(lián)核心交換機；.總部核心交換機配置雙電源、雙引擎卡。廣域網(wǎng)網(wǎng)絡(luò)冗余備份技術(shù)規(guī)范.核心路由器配置雙電源、雙引擎卡；.城域網(wǎng)連接采用冗余網(wǎng)絡(luò)，使用雙線路、雙路由器設(shè)備；.總部Internet出口采用雙電信運行商鏈路。網(wǎng)絡(luò)設(shè)備安全通用安全

2、配置標(biāo)準(zhǔn).網(wǎng)絡(luò)設(shè)備的不必要的服務(wù)須關(guān)閉，包括ftp服務(wù)、http服務(wù)、dhcp服務(wù)， domain-lookup 等；.網(wǎng)絡(luò)設(shè)備的本地登錄密碼不允許以明文方式在配置文件中體現(xiàn)；網(wǎng)絡(luò)設(shè)備需開啟AAA認(rèn)證模式；網(wǎng)絡(luò)設(shè)備需設(shè)置NTP并和并設(shè)定指定的NTP服務(wù)器IP地址；網(wǎng)絡(luò)設(shè)備須設(shè)定Console及遠(yuǎn)程登錄的Idle Timeout時間在5分鐘內(nèi)。網(wǎng)絡(luò)訪問控制數(shù)據(jù)中心及同城災(zāi)備中心網(wǎng)絡(luò)安全域訪問控制策略總體原則OA與生產(chǎn)區(qū)域： OA區(qū)域應(yīng)該通過功能互聯(lián)子區(qū)和生產(chǎn)網(wǎng)絡(luò)核心設(shè)備連接，主要用于普通用 戶接入生產(chǎn)網(wǎng)絡(luò)，在功能互聯(lián)子區(qū)邊界配置安全設(shè)備做訪問控制；運行維護人員僅可通過運行管理區(qū)域?qū)ιa(chǎn)網(wǎng)設(shè)備進行

3、維護。測試開發(fā)與生產(chǎn)區(qū)域：測試開發(fā)區(qū)域必須和生產(chǎn)區(qū)域必須完全隔離；測試開發(fā)區(qū)域必須和生產(chǎn)區(qū)域邏輯隔離（同城災(zāi)備中心）。測試開發(fā)和OA區(qū)域：原則上測試開發(fā)區(qū)域可以通過功能互聯(lián)子區(qū)和OA區(qū)域互聯(lián)但需要通過防 火墻。具體的網(wǎng)絡(luò)安全域訪問控制策略可以參考數(shù)據(jù)中心網(wǎng)絡(luò)安全域訪問控制策 略。第三方接入控制第三方連接：在日常工作過程中，億咖通與第三方系統(tǒng)的連接需進行合理的管 理與控制，提高對第三方的安全管理。第三方對億咖通內(nèi)網(wǎng)服務(wù)器的訪問應(yīng)通過DMZ區(qū)域。和第三方的連接應(yīng)有網(wǎng)絡(luò)路由控制。總部的第三方連接網(wǎng)絡(luò)必須使用防火墻，并在防火墻上設(shè)置控制策略和 NAT地址翻譯策略，屏蔽公司內(nèi)網(wǎng)結(jié)構(gòu)；在防火墻DMZ區(qū)部署

4、前置機或通訊服務(wù)器，只允許對方合法IP地址通過 特定端口訪問億咖通前置機。總部的第三方連接前置機或通訊服務(wù)器訪問內(nèi)部系統(tǒng)也需進行安全控制。公司內(nèi)網(wǎng)如需訪問第三方前置機，需將前置機IP地址映射為公司內(nèi)網(wǎng)地 址，禁止內(nèi)網(wǎng)直接訪問第三方前置機IP地址。遠(yuǎn)程接入訪問遠(yuǎn)程訪問：遠(yuǎn)程訪問是造成網(wǎng)絡(luò)安全威脅的主要來源，合理的對遠(yuǎn)程訪問進 行控制，能提高網(wǎng)絡(luò)安全，減少由于遠(yuǎn)程訪問帶來的風(fēng)險。通過公共網(wǎng)絡(luò)的遠(yuǎn)程連接必須使用經(jīng)批準(zhǔn)的認(rèn)證方法和設(shè)備，每個連接的 用戶需識別。采用VPN的遠(yuǎn)程連接需使用雙因素認(rèn)證的方式（如數(shù)字證書加口令）；用戶通過遠(yuǎn)程接入之前通過一個額外的訪問控制點（防火墻）；通過遠(yuǎn)程連接來訪問IT內(nèi)

5、網(wǎng)的設(shè)備，進行操作或管理必須經(jīng)億咖通安全 組織同意。如果通過Internet的數(shù)據(jù)應(yīng)進行加密，并要求安全認(rèn)證。Internet接入訪問控制Internet連接：保護員工安全使用Internet連接，提供對Internet連接進行 安全控制，保護整個網(wǎng)絡(luò)安全。從連在任何億咖通網(wǎng)絡(luò)的設(shè)備上撥號訪問Internet是被禁止的。在特殊 情況下，任何通過調(diào)制解調(diào)器撥號連接Internet都需經(jīng)過集團信息安全 與內(nèi)控管理部門的批準(zhǔn)； Interent連接網(wǎng)絡(luò)必須使用防火墻并在防火墻上設(shè)置控制策略和NAT地址翻譯策略，屏蔽公司內(nèi)網(wǎng)結(jié)構(gòu)； 在防火墻DMZ區(qū)部署前置機或通訊服務(wù)器，只允許Internet訪問前置

6、機 特定端口。不允許開放Internet訪問公司內(nèi)網(wǎng)策略；.總，分公司必須使用代理服務(wù)器或其他用戶認(rèn)證方式，對Internet訪問 用戶進行控制。入侵防御入侵防御系統(tǒng)的部署需在總部及數(shù)據(jù)中心的每個Internet入口部署入侵防御系統(tǒng)（IPS）；需在分公司的每個Internet入口部署入侵防御系統(tǒng)（IPS）；需在總部廣域網(wǎng)互聯(lián)接口間部署入侵防御系統(tǒng)（IPS）；需在分公司的廣域網(wǎng)接口間部署入侵防御系統(tǒng)（IPS）。郵件病毒及垃圾郵件的過濾需對所有公網(wǎng)發(fā)給億咖通域的郵件進行病毒過濾；需對所有公網(wǎng)發(fā)給億咖通域的郵件進行垃圾郵件過濾；拒絕服務(wù)（DoS或DDoS）功能的防護采用將不同的網(wǎng)絡(luò)安全域及每個安全域

7、的子域分為不同的虛網(wǎng)（VLAN）， 有效控制MAC地址欺騙的影響區(qū)域；入侵防御系統(tǒng)需要開啟的防御功能包括高級入侵防護拒絕服務(wù)（DoS）和 分布式拒絕服務(wù)（DDoS）防護、網(wǎng)絡(luò)監(jiān)控等；對于重要區(qū)域，考慮使用運營商的公網(wǎng)IP地址和域名的攻擊流量清洗和 過濾服務(wù)。網(wǎng)絡(luò)傳輸加密.對于億咖通認(rèn)可的終端，通過Internet接入億咖通內(nèi)部網(wǎng)絡(luò)需采用VPN 連接，VPN實現(xiàn)身份驗證和通信連接的加密方式可選取SSL VPN，IPSEC， SOCKS V5等方式；.其他網(wǎng)絡(luò)層面的數(shù)據(jù)傳輸加密請參考IT安全技術(shù)標(biāo)準(zhǔn)的加密、密鑰管理 及PKI章節(jié)。網(wǎng)管、監(jiān)控與審計.網(wǎng)管與監(jiān)控.采用SSH協(xié)議來取代Telnet進行設(shè)

8、備的遠(yuǎn)程登錄；.采用了 SSH協(xié)議后，并不一定就能保證其安全性，要求通過訪問地址限制 提高訪問的安全性。訪問地址限制是通過ACL訪問控制列表實現(xiàn)的；.對不支持SSH協(xié)議的設(shè)備遠(yuǎn)程訪問管理，只能通過telnet進行維護管理 工作，必須通過必要手段提高telnet安全性，具體如下：/加強登錄用戶密碼的管理，如采用AAA認(rèn)證等；/針對數(shù)據(jù)中心內(nèi)網(wǎng)絡(luò)設(shè)備，對登錄該設(shè)備的IP地址進行嚴(yán)格限制；/設(shè)置登錄并發(fā)數(shù)、空閑時間、嘗試次數(shù)等相關(guān)限制措施。.提供遠(yuǎn)程登陸SSH的開啟方式和SSH相關(guān)屬性的設(shè)置，包括：/要求設(shè)定登錄連接空閑時間限制，讓系統(tǒng)自動檢查當(dāng)前連接是否長時 間處于空閑狀態(tài)，若是則自動將其斷開。T

9、imeout具體取值應(yīng)視實際需 要而定，建議設(shè)置為5分鐘左右以內(nèi)。如果出于排障目的，需要長時 間登錄設(shè)備檢查系統(tǒng)狀態(tài)，則需臨時延長或取消這項設(shè)置。/要求設(shè)置登錄嘗試次數(shù)限制，當(dāng)系統(tǒng)收到一個連接請求，若提供的帳 號或密碼連續(xù)不能通過驗證的的次數(shù)超過設(shè)定值（3次），就自動中斷 該連接；/要求設(shè)置并發(fā)登錄個數(shù)限制，該限制必須與上述的空閑時間限制一并 使用。在日常維護過程中周期性的（至少每半年）更改登錄密碼，甚至登錄帳號；當(dāng)外方人員需要登錄設(shè)備時，應(yīng)創(chuàng)建臨時帳號，并指定合適的權(quán)限，臨時 帳號使用完后應(yīng)及時刪除；登錄帳號及密碼的保管和更新應(yīng)由專人負(fù)責(zé)，并注意保密；條件許可的話，要求使用SNMPv3；限制

10、發(fā)起SNMP連接的源地址；刪除或關(guān)閉“Public ”和“Private”Community；除特殊情況，否則要求不設(shè)置SNMP RW Community；關(guān)閉網(wǎng)絡(luò)及安全設(shè)備的HTTP服務(wù)；對非要使用HTTP服務(wù)的設(shè)備，要求通過下列措施保證其安全性：/更改HTTP服務(wù)的端口，不采用標(biāo)準(zhǔn)的80端口，而采用非標(biāo)準(zhǔn)端口；/加強登錄用戶密碼的管理，如采用AAA認(rèn)證等；/對登錄設(shè)備的IP地址進行嚴(yán)格限制，或通過VPN等安全手段控制對設(shè) 備的訪問；/設(shè)置登錄并發(fā)數(shù)、空閑事件、嘗試次數(shù)等相關(guān)限制措施。.網(wǎng)絡(luò)安全日志通過安全審計，網(wǎng)絡(luò)管理者能及時的發(fā)生網(wǎng)絡(luò)安全問題，即時解決，并且， 當(dāng)發(fā)生網(wǎng)絡(luò)安全問題時，可通

11、過審計進行回顧，分析問題發(fā)生的原因，采用相應(yīng) 的對策，阻止類似的問題再次發(fā)生。通過設(shè)置NTP，確保所有的網(wǎng)絡(luò)設(shè)備獲得一致的NTP服務(wù)，在總部核心交 換、分公司核心路由器、各樓層交換機、總部局域網(wǎng)各路由器上進行NTP 設(shè)置；日志審計一下面一些基于系統(tǒng)的活動要求寫入日志：/非授權(quán)的訪問嘗試要寫入日志/成功和不成功的登錄嘗試寫入日志/用戶訪問權(quán)限的改變寫入日志/安全信息的維護、敏感命令的使用要寫入日志/具有特定權(quán)限的用戶活動要寫入日志/系統(tǒng)日志文件的訪問要寫入日志所有的系統(tǒng)審核日志應(yīng)該至少保留6個月；跟蹤安全事件的記錄應(yīng)得到維護；計算機系統(tǒng)時鐘應(yīng)該和正確的記錄時間同步；日志文件的訪問應(yīng)該嚴(yán)格限制在那

12、些根據(jù)業(yè)務(wù)需求已得到批準(zhǔn)的和具有 適當(dāng)訪問權(quán)限的個人；所有軟件、硬件、和數(shù)據(jù)的更改的審核歷史記錄應(yīng)該被維護。此審核記錄 應(yīng)包括，更改的原因，誰認(rèn)可這個更改，誰實施了這個更改，更改的日期， 誰測試了這個更改，測試的日期，測試的結(jié)果，任何測試結(jié)果糾正的日期， 復(fù)測，等等；安全監(jiān)控：/所有億咖通Web服務(wù)器、防火墻和應(yīng)用服務(wù)器應(yīng)當(dāng)受到實時監(jiān)控，以 確保這些設(shè)備的可用性；/網(wǎng)絡(luò)級實施適當(dāng)?shù)娜肭址烙驒z測系統(tǒng)(IPS/IDS)和事件監(jiān)控系統(tǒng)。入 侵防御/檢測設(shè)備應(yīng)當(dāng)在CPIC整個網(wǎng)絡(luò)架構(gòu)的關(guān)鍵部分實施和分布；/應(yīng)采用自動報警機制。無線局域網(wǎng)安全無線局域網(wǎng)接入應(yīng)該選擇更加先進的加密技術(shù)，禁止使用WEP加密，應(yīng)首 選使用WPA2+802.1X的認(rèn)證及加密方式；如使用802.1X條件條件不允許的情況，可選擇使用WPA2-PSK，并使用至 少8位的數(shù)字加字母的Preshare Key, Preshare Key至少每6個月更換 一次密碼；除僅為外來訪客供Internet接入服務(wù)的無線接入設(shè)備的SSID，禁止其它 SSID廣播；除僅供外來客戶提供Internet接入服務(wù)的無線接入設(shè)備，其余太保內(nèi)部 的無線局域網(wǎng)設(shè)備需采用太保統(tǒng)一的