1.网络安全篇1.1.目的通过针对网络安全相应技术标准，规范的定义，以能够配合相关管理办法，进一步指导太保在技术层面实现合理的网络安全的实现和部署，达到网络层面的安全防护能力。

1.2.网络安全技术标准1.2.1.网络结构安全及网络设备通用安全配置标准1.2.1.1.网络冗余局域网网络∙局域网必须采用冗余设计，不存在网络单点故障。

核心交换机都采用双冗余设备；∙各接入换机必须有双链路（光纤或超5类线路）上联核心交换机；∙总部核心交换机配置双电源、双引擎卡。

广域网网络冗余备份技术规范∙核心路由器配置双电源、双引擎卡；∙城域网连接采用冗余网络，使用双线路、双路由器设备；∙总部Internet出口采用双电信运行商链路。

1.2.1.2.网络设备安全通用安全配置标准∙网络设备的不必要的服务须关闭，包括ftp服务、http服务、dhcp服务，domain-lookup等；∙网络设备的本地登录密码不允许以明文方式在配置文件中体现；∙网络设备需开启AAA认证模式；∙网络设备需设置NTP并和并设定指定的NTP服务器IP地址；∙网络设备须设定Console及远程登录的Idle Timeout时间在5分钟内。

1.2.2.网络访问控制1.2.2.1.数据中心及同城灾备中心网络安全域访问控制策略总体原则OA与生产区域：∙OA区域应该通过功能互联子区和生产网络核心设备连接，主要用于普通用户接入生产网络，在功能互联子区边界配置安全设备做访问控制；∙运行维护人员仅可通过运行管理区域对生产网设备进行维护。

测试开发与生产区域：∙测试开发区域必须和生产区域必须完全隔离（田林数据中心）；∙测试开发区域必须和生产区域逻辑隔离（同城灾备中心）。

测试开发和OA区域：∙原则上测试开发区域可以通过功能互联子区和OA区域互联但需要通过防火墙。

具体的网络安全域访问控制策略可以参考《数据中心网络安全域访问控制策略》。

1.2.2.2.第三方接入控制第三方连接：在日常工作过程中，CPIC与第三方系统的连接需进行合理的管理与控制，提高对第三方的安全管理。

∙第三方对CPIC内网服务器的访问应通过DMZ区域。

∙和第三方的连接应有网络路由控制。

∙总部的第三方连接网络必须使用防火墙，并在防火墙上设置控制策略和NAT地址翻译策略，屏蔽公司内网结构；∙在防火墙DMZ区部署前置机或通讯服务器，只允许对方合法IP地址通过特定端口访问CPIC前置机。

∙总部的第三方连接前置机或通讯服务器访问内部系统也需进行安全控制。

∙公司内网如需访问第三方前置机，需将前置机IP地址映射为公司内网地址，禁止内网直接访问第三方前置机IP地址。

1.2.2.3.远程接入访问远程访问：远程访问是造成网络安全威胁的主要来源，合理的对远程访问进行控制，能提高网络安全，减少由于远程访问带来的风险。

∙通过公共网络的远程连接必须使用经批准的认证方法和设备，每个连接的用户需识别。

∙采用VPN的远程连接需使用双因素认证的方式（如数字证书加口令）；∙用户通过远程接入之前通过一个额外的访问控制点（防火墙）；∙通过远程连接来访问IT内网的设备，进行操作或管理必须经CPIC安全组织同意。

如果通过Internet的数据应进行加密，并要求安全认证。

1.2.2.4.Internet接入访问控制Internet连接：保护员工安全使用Internet连接，提供对Internet连接进行安全控制，保护整个网络安全。

∙Internet出口只限于总公司和一级分公司，营运中心，大型职场；∙从连在任何CPIC网络的设备上拨号访问Internet是被禁止的。

在特殊情况下，任何通过调制解调器拨号连接Internet都需经过集团信息安全与内控管理部门的批准；∙Interent连接网络必须使用防火墙并在防火墙上设置控制策略和NAT地址翻译策略，屏蔽公司内网结构；∙在防火墙DMZ区部署前置机或通讯服务器，只允许Internet访问前置机特定端口。

∙不允许开放Internet访问公司内网策略；∙总，分公司必须使用代理服务器或其他用户认证方式，对Internet访问用户进行控制。

1.2.3.入侵防御1.2.3.1.入侵防御系统的部署∙需在四总部及数据中心的每个Internet入口部署入侵防御系统（IPS）；∙需在分公司的每个Internet入口部署入侵防御系统（IPS）；∙需在四总部广域网互联接口间部署入侵防御系统（IPS）；∙需在分公司与田林数据中心的广域网接口间部署入侵防御系统（IPS）。

1.2.3.2.邮件病毒及垃圾邮件的过滤∙需对所有公网发给CPIC域的邮件进行病毒过滤；∙需对所有公网发给CPIC域的邮件进行垃圾邮件过滤；∙需对通过田林代理10.191.113.100进行的Internet访问内容进行病毒过滤。

1.2.3.3.拒绝服务（DoS或DDoS）功能的防护∙采用将不同的网络安全域及每个安全域的子域分为不同的虚网（VLAN），有效控制MAC地址欺骗的影响区域；∙入侵防御系统需要开启的防御功能包括高级入侵防护拒绝服务 (DoS) 和分布式拒绝服务 (DDoS) 防护、网络监控等；∙对于重要区域（如田林数据中心的Internet入口），考虑使用运营商的公网IP地址和域名的攻击流量清洗和过滤服务。

1.2.4.网络传输加密∙对于CPIC认可的终端，通过Internet接入CPIC内部网络需采用VPN连接，VPN实现身份验证和通信连接的加密方式可选取SSL VPN，IPSEC，SOCKS V5等方式；∙其他网络层面的数据传输加密请参考IT安全技术标准的加密、密钥管理及PKI章节。

1.2.5.网管、监控与审计1.2.5.1.网管与监控∙采用SSH协议来取代Telnet进行设备的远程登录；∙采用了SSH协议后，并不一定就能保证其安全性，要求通过访问地址限制提高访问的安全性。

访问地址限制是通过ACL访问控制列表实现的；∙对不支持SSH协议的设备远程访问管理，只能通过telnet进行维护管理工作，必须通过必要手段提高telnet安全性，具体如下：✓加强登录用户密码的管理，如采用AAA认证等；✓针对数据中心内网络设备，对登录该设备的IP地址进行严格限制；✓设置登录并发数、空闲时间、尝试次数等相关限制措施。

∙提供远程登陆SSH的开启方式和SSH相关属性的设置，包括：✓要求设定登录连接空闲时间限制，让系统自动检查当前连接是否长时间处于空闲状态，若是则自动将其断开。

Timeout具体取值应视实际需要而定，建议设置为5分钟左右以内。

如果出于排障目的，需要长时间登录设备检查系统状态，则需临时延长或取消这项设置。

✓要求设置登录尝试次数限制，当系统收到一个连接请求，若提供的帐号或密码连续不能通过验证的的次数超过设定值（3次），就自动中断该连接；✓要求设置并发登录个数限制，该限制必须与上述的空闲时间限制一并使用。

∙在日常维护过程中周期性的（至少每半年）更改登录密码，甚至登录帐号；∙当外方人员需要登录设备时，应创建临时帐号，并指定合适的权限，临时帐号使用完后应及时删除；∙登录帐号及密码的保管和更新应由专人负责，并注意保密；∙条件许可的话，要求使用SNMPv3；∙限制发起SNMP连接的源地址；∙删除或关闭“Public”和“Private”Community；∙除特殊情况，否则要求不设置SNMP RW Community；∙关闭网络及安全设备的HTTP服务；∙对非要使用HTTP服务的设备，要求通过下列措施保证其安全性：✓更改HTTP服务的端口，不采用标准的80端口，而采用非标准端口；✓加强登录用户密码的管理，如采用AAA认证等；✓对登录设备的IP地址进行严格限制，或通过VPN等安全手段控制对设备的访问；✓设置登录并发数、空闲事件、尝试次数等相关限制措施。

1.2.5.2.网络安全日志通过安全审计，网络管理者能及时的发生网络安全问题，即时解决，并且，当发生网络安全问题时，可通过审计进行回顾，分析问题发生的原因，采用相应的对策，阻止类似的问题再次发生。

∙通过设置NTP，确保所有的网络设备获得一致的NTP服务，在总部核心交换、分公司核心路由器、各楼层交换机、总部局域网各路由器上进行NTP 设置；∙日志审计--下面一些基于系统的活动要求写入日志：✓非授权的访问尝试要写入日志✓成功和不成功的登录尝试写入日志✓用户访问权限的改变写入日志✓安全信息的维护、敏感命令的使用要写入日志✓具有特定权限的用户活动要写入日志✓系统日志文件的访问要写入日志∙所有的系统审核日志应该至少保留6个月；∙跟踪安全事件的记录应得到维护；∙计算机系统时钟应该和正确的记录时间同步；∙日志文件的访问应该严格限制在那些根据业务需求已得到批准的和具有适当访问权限的个人；∙所有软件、硬件、和数据的更改的审核历史记录应该被维护。

此审核记录应包括，更改的原因，谁认可这个更改，谁实施了这个更改，更改的日期，谁测试了这个更改，测试的日期，测试的结果，任何测试结果纠正的日期，复测，等等；∙安全监控：✓所有CPIC Web服务器、防火墙和应用服务器应当受到实时监控，以确保这些设备的可用性；✓网络级实施适当的入侵防御或检测系统(IPS/IDS)和事件监控系统。

入侵防御/检测设备应当在CPIC整个网络架构的关键部分实施和分布；✓应采用自动报警机制。

1.2.6.无线局域网安全∙无线局域网接入应该选择更加先进的加密技术，禁止使用WEP加密，应首选使用WPA2+802.1X的认证及加密方式；∙如使用802.1X条件条件不允许的情况，可选择使用WPA2-PSK，并使用至少8位的数字加字母的Preshare Key, Preshare Key至少每6个月更换一次密码；∙除仅为外来访客供Internet接入服务的无线接入设备的SSID，禁止其它SSID广播；∙除仅供外来客户提供Internet接入服务的无线接入设备，其余太保内部的无线局域网设备需采用太保统一的命名规则命名，禁止使用无线接入设备默认的SSID；∙对接入无线局域网的用户终端需绑定MAC地址或用户名或通过与Radius、LDAP或AD结合的身份验证；∙需考虑无线用户的网络访问控制，采用网络层隔离手段使无线接入对某些区域或应用的访问进控制；∙外来访客用户的无线接入不允许访问CPIC内网。

∙对无线接入点（AP）在公司的部署应合理分配，考虑无线网络覆盖范围和强度，无线接入设备在办公区域的放置应固定。

2.主机及服务器安全篇2.1.目的为太保的操作系统、数据库和中间件提供详细的安全技术标准（包括对系统服务、端口、权限及其他安全项的配置标准），结合相应的技术解决方案与管理流程，提高系统的安全性，降低操作系统、数据库和中间件受到外部攻击和未经授权访问的风险。