网络安全管理规范和流程
20
2、账号管理员工作流程
1)每日监督VPN用户访问的内容,根据用户权限查看用 户是否在相应的权限内访问,如发现违规行为应修改其 权限。 2)及时发现软件在运行时出现的故障与问题,出现问题 应及时排除; 3)定期查看VPN系统的日志信息,填写远程登录权限检 查表,由负责人签字交系统管理员; 4)定期对VPN用户的申请进行审核、统计、存档,并通 知已到期的用户,及时关闭过期用户。 5)定期做文档的维护整理和存档工作; 6)定期与区域数据中心之间沟通;
11
中国石油SSL VPN部署示意图
SPX3000:SPX3000是SSL VPN设备,
实现远程用户的接入。
TMX2000 – TMX2000主要用于全国范围内用户接 入的负载均衡。 – TMX2000对各接入中心的SPX3000设 备和互联网出口链路进行检查,实现 SSL VPN接入的冗余功能,提高服务 的可用性。 – 两台TMX2000部署在不同的地方,实 现自身的冗余备份。 在洲际大厦和勘探院分别部署一台 TMX2000和SPX3000设备 在其余的7个接入中心各部署一台SPX3000 设备:集团总部;大庆区域;辽河区
7
接听电话时,首先问好,然后报出自己的身份;用语文明 礼貌,态度和蔼,口齿清楚;耐心解答用户的各种问题, 不得无礼怠慢,推诿搪塞; 对待用户的态度要热情周到,切忌冷漠、恶劣;回答问题 时要详尽、细致、全面、不厌其烦,直到用户满意;对于 当时不能解答的问题要认真记录,在最短的时间内与其它 服务人员沟通,一旦得到解决方案,马上反馈用户。
3
整个系统由5大板块组成,分别是:移动办公 (以下简称“VPN”),防火墙,入侵检测系统 (以下简称“IDS”),微软补丁分发系统 (以下简称“SMS”)和病毒防护。 作为企业网络安全的守护者,中国石油企业网 络安全管理系统在企业的生产、经营、管理活 动中,发挥着重要作用。因此,做好它的运行 维护工作,保证系统高速、安全、可靠地运行 是极其重要的,这也正是安全组的工作宗旨, 同时也是各个地区公司网络安全管理员积极配 合的结果。
22
岗位职责
1、负责区域数据中心Internet出口防火墙的管理工作,制定相应的 访问控制策略等工作。 2、负责区域数据中心Internet出口安全控制,保障中国石油内部网 络安全,为VPN设备提供相应的出口策略。 3、负责区域数据中心的防火墙运行情况检查,地区公司网络管理员 保证防火墙设备的7*24小时供电,保证相关线路、设备正常运行。 如果区域数据中心需要对网络结构作改动,请提前上报项目组,确 保网络正常运行。 4、禁止利用职权私自在防火墙、代理服务器上开通未经许可的对外 信息服务。 5、数据中心防火墙设备损坏,应立即向总部网络安全组呈交书面报 告,以便及时安排更换或维修,并同时发出通知公告。 6、项目组的相关负责人必须落实各项管理制度和技术规范,监控、 封堵、清除网上有害信息。 7、进出内部网络,访问信息的所有用户,必须使用内部网络部门设 立的代理服务器。
24
防火墙设备管理权限
由项目组部署的防火墙设备由项目组 防火墙管理员统一管理,统一制定出口策 略,地区公司网络管理员负责防火墙设备 的7*24小时供电,保证相关线路、设备正 常运行。如果区域数据中心需要对网络结 构作改动,请提前上报项目组,确保网络 正常运行。
25
防火墙日常运行与维护
1、防火墙、代理服务器日志定期检查,对告警信息作详 细的检查,定期做代理服务器RIAD维护,有问题及时联系 厂家解决。 2、防火墙、代理服务器上开设端口或服务必须以书面的 形式上报项目组。 3、防火墙管理员每周对出口网络运行情况进行测试,保 障内网的安全高效运行。 4、防火墙、代理服务器管理账户和口令为项目组所拥有, 相关负责人员对用户口令保密,不得向任何部门和个人透 露相关信息。
4
第二部分:总则
第一条 为保障网络安全管理系统高速、安全、可靠 运行,规范日常的维护、操作和使用行为,使其高效、 优质地服务于中国石油生产、经营和管理活动,为企 业内部用户提供便捷、高效、安全、可靠的网络安全 服务,根据《中国石油信息技术管理规定》及相关管 理的要求,编制本网络安全管理规范。 第二条 本管理规范所指的内部网络系统,是由广域 网项目组(以下简称“项目组”)统一部署、维护和 管理的内部网络主、辅节点设备、配套的网络线缆设 施及网络服务器、工作站所构成的,服务于内部网络 应用的软硬件集成系统。
8
第四部分:网络安全管理
网络安全维护系统包含移动办公(以下 简称“VPN”),防火墙,入侵检测系统(以下 简称“IDS”),微软补丁分发系统(以下 简称“SMS”)和病毒防护,共5部分。
9
第一章 VPN的安全管理
为了满足各地方 公司有移动办公 需求,使出差的 员工,能够更方 便、更快捷地访 问公司网络,获 取有效信息,总 部更新了VPN系 统。
中国石油VPN系统的主要任务是根据公 司移动办公用户的需求,快速审核申请, 及时开通和注销账户,保证满足用户的工 作需求,切实保障系统的安全。
14
VPN移动办公设备权限管理规定
1、管理员权限
为保障VPN系统安全、可靠地运行,规范日常维护、 操作和使用行为,特制定本规定。 管理员分为系统管理员和账号管理员。 1)系统管理员具有对整个设备管理和账号管理的权限; 2)账号管理员具有添加、删除、管理用户账号的权限,能 够查看用户的登陆信息,分析用户的需求,分配用户相应 的权限。
网络安全管理规范
编撰人:网络安全设计组 郭宏礼
目录
第一部分:概述 第二部分:总则 第三部分:行为规范 第四部分:网络安全管理
VPN的安全管理 防火墙的安全管理 IDS的安全管理 SMS的安全管理 病毒防护的安全管理
2
第一部分:概述
中国石油信息管理部精心组织,建成广域网改进项目网络 安全设计组(以下简称:安全组),形成了分级运行,集 中管理,安全、快捷、易使用、可扩展的中国石油企业网 络安全管理系统。 安全设计组——负责防病毒网站的推广,防病毒工具研究, 防病毒工作检查;负责网络接入、防火墙、VPN、IDS、代 理服务器等控制、服务器安全、终端安全等;负责协助信 息安全项目建设;负责密码的管理和操作确认。 为防止黑客攻击、入侵、病毒、不良内容和垃圾邮件等通 过区域网络中心的Internet的入口进入中国石油广域网, 同时也为通过网络管理数据,提升中国石油的企业管理效 率和效益,使得网络信息的安全风险得到有效降低,保障企 业网络的高可用性。
域;新疆区域;兰州区域;西安区域; 西南区域。
12
工作目标
信息系统的安全性和服务的便利性是中 国石油考虑的首要问题,因此如何在开放 的互联网上构筑安全的信息通道,如何对 遍布全国的用户进行身份认证和权限检查, 同时保证各地用户快速,方便的接入中国 石油专网是目前工作的主要目标。
13
工作任务
18
VPN设备管理规定
为保障 VPN系统安全、可靠运行,规范日常维护、操 作和使用行为,制定此设备管理规定。 1、VPN系统运行维护工作,由总部网络安全组承担,其主 要的工作职责是:在信息管理部的领导下,负责中国石油 VPN系统的运行、维护;负责VPN系统申请表的审核、开通 与整理;负责中国石油VPN系统的安全运行。 2、在VPN系统运行期间,VPN系统维护人员、网络维护人 员要保证VPN系统7×24稳定运行,如设备出现故障,应尽 快排除。
10
中国石油VPN系统
中国石油设立了九大VPN接入点,分别是集团公司总部、 股份公司总部、北京区域、大庆区域、辽河区域、新疆 区域、兰州区域、西南区域、长庆区域,为中国石油系 统内用户服务。 系统采用相同的VPN 接入域名,用户就近接入,各点之 间互为备份;使用统一的用户身份验证策略和加密策略, 采用同一的AD(域控制器)用户管理,集团公司和股份 公司使用各自的AD。 中国石油采用GSLB(全局负载均衡)整体解决方案,通 过在两个全国中心节点(洲际大厦和勘探院)部署GSLB 设备(TMX)和各接入中心部署SSL VPN设备(SPX),将用 户的访问请求进行全局的负载均衡处理,将用户定向到 最近的接入中心访问,使用户的请求得到最快的响应。
6
第三部分:行为规范
衣着整洁、得体,符合工作身份,不戴与环境不相称 的饰品; 文明用语、礼貌待人;咨询责”制。凡是涉及信息技术的问题, 作为第一受理人,即使不属于本人职责范围,也不能 以任何理由推脱,而应通过适当的方式,为用户解决 问题,或做好衔接和引导工作,力争为用户提供更多 方便与支持;
16
系统管理员岗位职责
1)全面掌握移动办公系统的功能和操作程序; 2)遵守《中华人民共和国计算机信息网络国际联网管理 暂行规定》的各项管理规定; 3)负责所有VPN设备及相关服务器的日常维护工作; 4)负责移动办公系统紧急故障的处理; 5)负责移动办公系统运行过程的监控工作; 6)负责接收账号管理员提交的用户申请表,核查用户使 用权限; 7)负责为呼叫中心进行故障问题解答; 8)负责与总部网络中心和区域数据中心进行沟通; 9)负责编写移动办公系统日常维护计划; 10)负责文档的整理和存档工作; 11)完成领导交办的临时任务。
15
2、管理员权限申请 系统管理员的账号是在VPN系统安装与维护过程中建立的, 系统管理员账号主要用于对整个设备管理。 账号管理员的申请需要向系统管理员申请,经技术主管 签字后,由系统管理员在中国石油账号管理工具的组中 添加账号。 3、管理员账号注销 账号管理员的账号注销需要向系统管理员申请,经许可 后,在中国石油账号管理工具(管理软件)的组中删除 账号。
5
第三条 项目组可以委托相关指定人员代为管理 子节点设备。任何部门和个人,未经信息管理部 授权、不得擅自安装、拆卸或改变网络设备;如 确需改动,应事先与信息管理部取得联系,确保 公司内部网络系统正常运行。 第四条 任何部门和个人、不得利用联网计算机 从事危害内部网络及本地局域网服务器、工作站、 网络节点等行为。 第五条 网络安全管理规范适用于中国石油总部 及下属各企事业单位的网络安全系统管理人员、 技术支持人员。