上(superior)海大(big)學網絡安全策略

第一(one)章引言

1.1編寫目的(of)

本策略爲(for)信息安全管理制度中的(of)信息保護制度部分。爲(for)了(Got it)加強信息系統的(of)信息安全管理，建立健全本校各信息系統的(of)安全管理責任制，提高整體的(of)安全水平，保證網絡通信暢通和(and)信息系統的(of)正常運營，提高網絡服務質量，特制定本策略。

1.2術語定義

1.信息（Information）：以(by)任何形式存在(exist)或傳播的(of)對本校具有價值的(of)内容，包括電子信息、紙質數據文件、語音圖像等。信息安全關注的(of)是(yes)信息的(of)保密性、可用(use)性和(and)完整性。

2.信息資産（Information Assets）：任何對本校具有價值的(of)信息存在(exist)形式或者載體，包括計算機硬件、通信設施、IT環境、數據庫、軟件、文檔資料、信息服務和(and)人(people)員等，所有這(this)些資産都需要(want)妥善保護。

3.信息安全（Information Security）:保護信息的(of)保密性、完整性和(and)可用(use)性。

4.保密性（Confidentiality）:确保信息隻被授權人(people)員訪問。

5.完整性（Integrity）:保證信息不(No)被非授權竄改或不(No)恰當改動。

6.可用(use)性（Availability）:保證信息能夠被授權用(use)戶在(exist)需要(want)時(hour)訪問。

第二章範圍

Ø邏輯範圍：本策略邏輯範圍包括生(born)産系統及内部辦公網絡等信息系統的(of)物理資産、軟件資産、數據資産、服務資産等。本策略涉及的(of)工作(do)包括了(Got it)對所有上(superior)述系統的(of)保密性、完整性和(and)可用(use)性的(of)安全管理工作(do)。

Ø物理範圍：本策略物理範圍包括整個(indivual)學校和(and)IDC數據中心環境。

第三章網絡配置

3.1基本要(want)求

防火牆配置策略适用(use)于(At)Internet連接、DMZ與内部網絡等各安全域之間的(of)防火牆規則。

Ø應至少每六個(indivual)月由信息辦分管領導檢查審核全部防火牆和(and)路由器規則設置，并進行記錄。

Ø通過防火牆和(and)路由器的(of)配置，嚴格限制不(No)信任網絡與任何受保護網絡内部系

統組件的(of)連接。

Ø應确認路由器配置文件進行了(Got it)保護和(and)同步，例如運行配置文件（用(use)于(At)正常的(of)路由器運行）和(and)啓動配置文件（當機器重新啓動時(hour)使用(use)）有相同的(of)安全配置。

Ø在(exist)任何無線網絡安裝外圍防火牆，并且将這(this)些防火牆配置爲(for)禁止或控制（如果業務目的(of)需要(want)這(this)樣的(of)流量）從無線環境流入的(of)任何流量。應實施DMZ，隻允許必要(want)的(of)協議流量通過。應确認所有不(No)必要(want)的(of)進出(out)流量都是(yes)明确禁止的(of)，例如通過使用(use)"禁止所有（Deny all）"規則禁止所有流量，然後隻打開允許的(of)通過。應限制Internet流量進入DMZ以(by)外的(of)内部IP地(land)址。不(No)允許Internet和(and)本校之間進出(out)流量的(of)任何直接路由。不(No)允許從Internet至DMZ的(of)内部地(land)址通過。應實施狀态檢測，即動态包過濾。（也就是(yes)隻有"建立"的(of)連接才允許進入網絡。）關鍵數據庫應放置在(exist)内部網絡區域，不(No)允許放置在(exist)DMZ。

應實施IP僞裝以(by)防止内部地(land)址被轉換和(and)發布到(arrive)Internet上(superior)，使用(use)RFC 1918所規定的(of)網段。使用(use)網絡地(land)址轉譯(NAT)技術，例如端口地(land)址轉譯(PAT)。所有無線網絡應實施嚴格的(of)加密機制（例如AES）：

加密密鑰在(exist)安裝時(hour)更改默認值，并且确保在(exist)任何知道密鑰的(of)人(people)離開學校或改變崗位的(of)時(hour)候能夠随時(hour)更改；

更改無線設備上(superior)的(of)默認SNMP community strings；

更改訪問點上(superior)的(of)默認密碼/口令（參見《加密策略》）；

升級無線設備上(superior)的(of)固件，以(by)支持無線網絡上(superior)的(of)嚴格認證和(and)傳輸加密（例如WPA/WPA2）

3.2網絡拓撲結構

應保證網絡拓撲結構圖最新且完整，包括所有的(of)無線連接，以(by)及網絡範圍内的(of)所有連接略網絡傳輸環境：

用(use)戶先訪問DMZ區域，在(exist)解析得到(arrive)應用(use)系統的(of)IP地(land)址後，用(use)戶需要(want)經過ISG1000防火牆的(of)過慮，符合訪問規則的(of)防火牆放行。應用(use)系統與數據庫布置在(exist)不(No)同的(of)網絡IP段,通過交換機VLAN策略進行隔離保護。應用(use)系統訪問數據庫時(hour)，VLAN策略會進行對比源到(arrive)目的(of)的(of)IP地(land)址、協議、端口；隻有符合策略的(of)，才能允許相應的(of)應用(use)服務器訪問數據庫。

3.3網絡連接測試和(and)策略審批流程

批準和(and)測試所有網絡連接以(by)及更改防火牆和(and)路由器配置的(of)流程如下：

由系統部收集書面需求，制訂策略，并書面遞交信息辦分管領導确認，由信息辦分管領導召集系統、運營以(by)及開發團隊會議，分析讨論該策略，并制訂第一(one)階段（在(exist)測試環境進行）實驗時(hour)間表。

由系統部按照時(hour)間表和(and)會議書面确定的(of)策略進行第一(one)階段實驗，實驗後，由安全負責人(people)召集系統、運營以(by)及開發團隊會議，根據實驗結果決定是(yes)否需要(want)調整策略、是(yes)否需要(want)再次進行在(exist)測試環境的(of)實驗或進行在(exist)IDC機房的(of)第二階段實驗。

在(exist)進行的(of)第一(one)階段實驗完成後，由系統部按照時(hour)間表和(and)會議書面确定的(of)策略進行在(exist)IDC的(of)第二階段實驗。根據實驗結果，由信息辦分管領導召集系統、運營以(by)及開發團隊會議，決定是(yes)否需要(want)調整策略繼續實驗或确認該策略可以(by)上(superior)線并進入生(born)産環境的(of)實施流程。按照會議的(of)書面實施流程，由系統部實施上(superior)線，運營和(and)技術開發進行測試，完成後正式策略書面遞交信息辦分管領導。

網絡連接的(of)測試内容包括但不(No)限于(At)性能測試、壓力測試、穩定性測試。運行過程中任何變更應遵從本流程。

3.4組、角色和(and)責任

系統管理相應的(of)角色及職責定義如下：

所屬角色職責描述權限範圍

系統工程師：服務器應用(use)硬件維護；包括日常監控、-應用(use)程序和(and)日志備份、服務器的(of)規劃和(and)上(superior)線等。服務器管理和(and)操作(do)權限。

數據庫工程師：對數據庫進行管理，負責DB2數據庫應用(use)系統的(of)運營及監控。數據庫系統的(of)管理和(and)維護權限。

網絡管理員：保證學校辦公環境持續穩定運營（包含服務器及客戶端）；建立完善的(of)辦公環境網絡結構并持續改進網絡安全；網絡設備（包括交換機、路由器和(and)防火牆等）的(of)管理權限。

高級運維總監：全面負責學校運維項目的(of)系統升級、擴容需求與資源落實；配合開發需求，測試、調整運維平台，提供優化的(of)網絡與服務器系統平台對上(superior)述角色的(of)工作(do)進行監控和(and)指導；對管理和(and)運維中的(of)日志進行審計；

3.5服務、協議和(and)端口

對于(At)每項服務的(of)安全功能必須按檢測防火牆和(and)路由器配置标準進行記錄和(and)實施。對于(At)不(No)安全的(of)服務（如FTP需要(want)純文本的(of)用(use)戶認證），必須進行改造和(and)加固。

Ø對于(At)互聯網到(arrive)内網區的(of)訪問，全部禁止。

第四章個(indivual)人(people)網絡安全

通過Internet直接連接的(of)計算機上(superior)（例如員工使用(use)的(of)筆記本電腦）必須安裝主機防火牆軟件。主機防火牆軟件配置爲(for)特定的(of)标準，且用(use)戶不(No)得更改。對于(At)使用(use)windows的(of)用(use)戶，應使用(use)系統自帶的(of)防火牆，通過域策略設置其防火牆規則，用(use)戶無法停用(use)或者修改防火牆規則。所有師生(born)使用(use)的(of)設備，必須得到(arrive)網絡管理員審批通過後才能使用(use)；且至少使用(use)用(use)戶+口令方式進行身份認證。

第五章系統配置

5.1網絡設備

在(exist)網絡上(superior)安裝系統以(by)前，必須更改供應商提供的(of)默認設置，包括密碼、簡單網絡管理協議(SNMP)機構字串，并删除不(No)必要(want)的(of)賬戶。應明确路由器、防火牆和(and)交換機等網絡組件上(superior)用(use)于(At)本地(land)管理的(of)組、角色和(and)權限。應明确路由器、防火牆和(and)交換機等網絡組件的(of)服務、協議和(and)端口，以(by)及所有系統組件的(of)服務和(and)協議，确保隻有業務需要(want)才能開啓。确保删除或禁用(use)了(Got it)在(exist)所有組件上(superior)不(No)必要(want)的(of)功能或服務，如腳本、驅動、特性、子系統和(and)文件等。

5.2服務器系統

參考業界公認的(of)标準比如：SysAdmin Audit Network Security (SANS)、National Institute of Standards Technology (NIST)和(and)Center for Internet Security(CIS)進行系統配置。

Ø每台服務器應隻執行了(Got it)一(one)項主要(want)功能。例如，Web服務器、數據庫服務器和(and)DNS應該在(exist)獨立的(of)服務器上(superior)實施。

Ø禁用(use)所有不(No)必要(want)和(and)不(No)安全的(of)服務和(and)協議（不(No)直接需要(want)用(use)來(Come)執行設備特定功能的(of)服務和(and)協議）。

Ø明确常用(use)安全參數設置，從而合理地(land)配置系統安全參數，以(by)防止濫用(use)。

Ø删除所有不(No)必要(want)的(of)功能，例如腳本、驅動程序、屬性、子系統和(and)不(No)必要(want)的(of)服務。應建立流程識别新發現的(of)安全漏洞（例如，訂閱來(Come)自CVE、BUGTRAQ以(by)及各廠商的(of)漏洞通過，并使用(use)最新的(of)安全評估工具進行内、外部弱點掃描）。并根據上(superior)述發現的(of)問題以(by)及PCI DSS要(want)求2.2更新配置标準，以(by)解決新的(of)漏洞問題。

5.3需遠程訪問的(of)系統

對于(At)所有非控制台的(of)管理訪問，必須對傳輸鏈路進行加密（如SSH、IPSEC VPN或SSL/TLS等）；對于(At)生(born)産系統，遠程訪問時(hour)必須使用(use)RSA動态口令+PIN進行認證以(by)登陸到(arrive)堡壘機，并通過堡壘機進行生(born)産系統的(of)訪問。

對于(At)辦公環境，遠程訪問時(hour)必須使用(use)VPN進行鏈路的(of)加密。所有遠程連接設備應配置爲(for)在(exist)15分鍾内不(No)活動，自動中斷會話。所有系統組件上(superior)應實施訪問控制，并根據工作(do)職責分配的(of)必要(want)性提供相關員工權限。所有訪問控制機制默認都設置爲(for)"Deny-all"。參見《訪問控制安全策略》。

對于(At)需要(want)進行遠程維護的(of)第三方人(people)員訪問，在(exist)訪問之前必須向CISO進行申請，由後者基于(At)最小化原則進行授權。授予權限後，第三方人(people)員應在(exist)規定的(of)時(hour)間内僅對被授權的(of)系統進行遠程訪問。在(exist)訪問過程中，第三方人(people)員仍應遵守本校對加密、認證、數據保護等方面的(of)安全要(want)求，并且訪問的(of)行爲(for)應受到(arrive)全面的(of)監控。如果是(yes)共享托管提供商（Shared Hosting Provider），必須保護每個(indivual)機構托管環境和(and)持卡人(people)數據。

第六章網絡測試和(and)監控

系統管理員應每個(indivual)季度使用(use)無線分析器（如Windows上(superior)使用(use)的(of)NetStumbler或Unix上(superior)使用(use)的(of)Kismet）檢測是(yes)否有未授權的(of)無線網絡存在(exist)。如果發現未授權的(of)無線設備，則按《應急響應計劃》中的(of)方法進行處理。每季度應對進行内部和(and)外部網絡漏洞掃描：在(exist)網絡出(out)現任何重大(big)變動（如安裝新的(of)系統組件、更改網絡拓撲、修改防火牆規則、産品更新）後，也應進行上(superior)述掃描。應由聘請外部安全專家或者由信息辦每年執行一(one)次滲透測試（包括基于(At)網絡層和(and)應用(use)層的(of)外部和(and)内部的(of)滲透測試），并提供報告；相關部門應根據掃描和(and)滲透測試結果做出(out)相應的(of)調整。應使用(use)并合理部署入侵檢測系統（IDS）或入侵防禦系統（IPS），以(by)監控中的(of)所有流量并在(exist)發現可疑威脅時(hour)提醒員工。應及時(hour)更新所有入侵檢測引擎和(and)入侵防禦引擎，每天至少檢查一(one)次IDS或IPS日志，參見《訪問控制安全策略》。

應在(exist)中使用(use)文件完整性監控産品。需要(want)監控的(of)文件包括但不(No)限于(At)：

Ø系統可執行文件

Ø應用(use)程序可執行文件

Ø配置文件和(and)參數文件

Ø集中存儲的(of)文件、曆史或存檔文件、日志文件和(and)核查文件

第七章安全補丁

應确保所有系統組件和(and)軟件都安裝了(Got it)最新的(of)安全補丁，關鍵的(of)安全補丁必須在(exist)發布的(of)一(one)個(indivual)月内更新。

本校辦公網内部的(of)Windows主機通過WSUS或域環境的(of)實現補丁更新，一(one)周内必須更新一(one)次。IDC機房設備以(by)及辦公環境中的(of)Linux設備，通過手工方式定期更新，更新原則爲(for)：

ØIDC機房的(of)系統和(and)設備必須在(exist)兩周以(by)内安裝高危補丁，其它補丁應在(exist)一(one)個(indivual)月内安裝更新；

ØIDC機房中的(of)其它設備和(and)辦公環境中的(of)Linux設備一(one)月内完成補丁的(of)更新。