网络安全管理规范和流程要点

8
第四部分：网络安全管理
网络安全维护系统包含移动办公(以下 简称“VPN”),防火墙,入侵检测系统（以下 简称“IDS”），微软补丁分发系统（以下 简称“SMS”）和病毒防护，共5部分。
9
第一章 VPN的安全管理
为了满足各地方 公司有移动办公 需求，使出差的 员工，能够更方 便、更快捷地访 问公司网络，获 取有效信息，总 部更新了VPN系 统。

域；新疆区域；兰州区域；西安区域； 西南区域。
12
工作目标
信息系统的安全性和服务的便利性是中 国石油考虑的首要问题，因此如何在开放 的互联网上构筑安全的信息通道，如何对 遍布全国的用户进行身份认证和权限检查， 同时保证各地用户快速，方便的接入中国 石油专网是目前工作的主要目标。
13
工作任务
3
整个系统由5大板块组成，分别是:移动办公 (以下简称“VPN”)，防火墙，入侵检测系统 （以下简称“IDS”），微软补丁分发系统 （以下简称“SMS”）和病毒防护。 作为企业网络安全的守护者，中国石油企业网 络安全管理系统在企业的生产、经营、管理活 动中，发挥着重要作用。因此，做好它的运行 维护工作，保证系统高速、安全、可靠地运行 是极其重要的，这也正是安全组的工作宗旨， 同时也是各个地区公司网络安全管理员积极配 合的结果。
6
第三部分：行为规范
衣着整洁、得体，符合工作身份，不戴与环境不相称 的饰品； 文明用语、礼貌待人；咨询解答，热情耐心；迅速受 理、及时反馈； 认真执行“首问负责”制。凡是涉及信息技术的问题， 作为第一受理人，即使不属于本人职责范围，也不能 以任何理由推脱，而应通过适当的方式，为用户解决 问题，或做好衔接和引导工作，力争为用户提供更多 方便与支持；
11
中国石油SSL VPN部署示意图
SPX3000：SPX3000是SSL VPN设备，
实现远程用户的接入。
TMX2000 – TMX2000主要用于全国范围内用户接 入的负载均衡。 – TMX2000对各接入中心的SPX3000设 备和互联网出口链路进行检查，实现 SSL VPN接入的冗余功能，提高服务 的可用性。 – 两台TMX2000部署在不同的地方，实 现自身的冗余备份。 在洲际大厦和勘探院分别部署一台 TMX2000和SPX3000设备 在其余的7个接入中心各部署一台SPX3000 设备：集团总部；大庆区域；辽河区
10
中国石油VPN系统
中国石油设立了九大VPN接入点，分别是集团公司总部、 股份公司总部、北京区域、大庆区域、辽河区域、新疆 区域、兰州区域、西南区域、长庆区域，为中国石油系 统内用户服务。 系统采用相同的VPN 接入域名，用户就近接入，各点之 间互为备份；使用统一的用户身份验证策略和加密策略， 采用同一的AD（域控制器）用户管理，集团公司和股份 公司使用各自的AD。 中国石油采用GSLB（全局负载均衡）整体解决方案，通 过在两个全国中心节点（洲际大厦和勘探院）部署GSLB 设备(TMX)和各接入中心部署SSL VPN设备（SPX），将用 户的访问请求进行全局的负载均衡处理，将用户定向到 最近的接入中心访问，使用户的请求得到最快的响应。
中国石油VPN系统的主要任务是根据公 司移动办公用户的需求，快速审核申请， 及时开通和注销账户，保证满足用户的工 作需求，切实保障系统的安全。
14
VPN移动办公设备权限管理规定
4
第二部分：总则
第一条 为保障网络安全管理系统高速、安全、可靠 运行，规范日常的维护、操作和使用行为，使其高效、 优质地服务于中国石油生产、经营和管理活动，为企 业内部用户提供便捷、高效、安全、可靠的网络安全 服务，根据《中国石油信息技术管理规定》及相关管 理的要求，编制本网络安全管理规范。 第二条 本管理规范所指的内部网络系统，是由广域 网项目组（以下简称“项目组”）统一部署、维护和 管理的内部网络主、辅节点设备、配套的网络线缆设 施及网络服务器、工作站所构成的，服务于内部网络 应用的软硬件集成系统。
网络安全管理规范
编撰人：网络安全设计组 郭宏礼
目录
第一部分：概述 第二部分：总则 第三部分：行为规范 第四部分：网络安全管理
VPN的安全管理 防火墙的安全管理 IDS的安全管理 SMS的安全管理 病毒防护的安全管理
2
第一部分:概述
中国石油信息管理部精心组织，建成广域网改进项目网络 安全设计组（以下简称：安全组）,形成了分级运行，集 中管理，安全、快捷、易使用、可扩展的中国石油企业网 络安全管理系统。 安全设计组——负责防病毒网站的推广，防病毒工具研究， 防病毒工作检查；负责网络接入、防火墙、VPN、IDS、代 理服务器等控制、服务器安全、终端安全等；负责协助信 息安全项目建设；负责密码的管理和操作确认。 为防止黑客攻击、入侵、病毒、不良内容和垃圾邮件等通 过区域网络中心的Internet的入口进入中国石油广域网， 同时也为通过网络管理数据，提升中国石油的企业管理效 率和效益,使得网络信息的安全风险得到有效降低,保障企 业网络的高可用性。

Baidu Nhomakorabea
7
接听电话时，首先问好，然后报出自己的身份；用语文明 礼貌，态度和蔼，口齿清楚；耐心解答用户的各种问题， 不得无礼怠慢，推诿搪塞； 对待用户的态度要热情周到，切忌冷漠、恶劣；回答问题 时要详尽、细致、全面、不厌其烦，直到用户满意；对于 当时不能解答的问题要认真记录，在最短的时间内与其它 服务人员沟通，一旦得到解决方案，马上反馈用户。
5
第三条 项目组可以委托相关指定人员代为管理 子节点设备。任何部门和个人，未经信息管理部 授权、不得擅自安装、拆卸或改变网络设备；如 确需改动，应事先与信息管理部取得联系，确保 公司内部网络系统正常运行。 第四条 任何部门和个人、不得利用联网计算机 从事危害内部网络及本地局域网服务器、工作站、 网络节点等行为。 第五条 网络安全管理规范适用于中国石油总部 及下属各企事业单位的网络安全系统管理人员、 技术支持人员。