设备日常维护制度

《XXXX安全管理制度汇编》网络设备日常维护制度

目录

编制说明....................................................... 第一章总则.................................................... 第二章原则.................................................... 第三章安全管理规定............................................ 第四章安全管理机构职责 (6)

第五章安全管理员职责.......................................... 第六章网络管理员职责.......................................... 第七章普通用户职责............................................ 第八章附则.................................................... 第一节文挡信息................................................ 第二节版本控制................................................ 第三节其他信息................................................

编制说明

为进一步贯彻党中央和国务院批准的《国家信息化领导小组关于加强信息安全保障工作的意见》及其“重点保护基础信息网络和重要信息系统安全”的思想、贯彻信息产业部“积极预防、及时发现、快速反应、确保恢复”的方针和“同步规划、同步建设、同步运行”的要求，特制定本制度。

本制度依据我国信息安全的有关法律法规，结合XXXX的自身业务特点、并参考国际有关信息安全标准制定的。

总则

第一条制度目标：建立网络设备的安全管理规定，并以此规定为指导，审视XXXX 生产环境的网络设备的安全性，降低网络系统存在的安全风险，确保网络系统安全可靠地运行。

第二条适用范围：本制度适用于XXXX网络环境运行的网络设备（路由器、交换机等）。

原则

第三条网络设备的登录口令必须足够强壮难以被破译。

第四条网络设备的当前配置文件必须在主机上有备份文件。

第五条网络设备的拓扑结构、IP地址等信息在一定范围内保密。

第六条每季度检查网络设备的日志，及时发现攻击行为。

第七条网络设备的软件版本应该统一升级到较新版本。

第八条网络设备的远程登录操作应限制在指定网段范围内。

第九条网络设备的MIB库设置读/写密码且访问限定在指定网段范围内。

第十条网络设备的安装、配置、变更、撤销等操作必须严格走流程。

安全管理规定

第十一条要求对网络设备的登录采用分级用户的保护机制，不同的个人用户必须采用不同的用户名和口令登录，并且拥有不同的权限级别。不同用户的登录操作在设备日志文件上均有记录，便于追查问题。

第十二条网络设备的直接责任人拥有超级用户权限，其他网络管理员按照工作需求拥有相应的用户权限．网络管理员不得私开用户权限给其他人员。

第十三条用户的口令尤其是超级用户的口令必须足够强壮难以被破译，这是保证设备安全性的基本条件。口令的设置应该满足规定的标准：

（一）口令长度不得少于8位，必须同时包含字母和数字；

（二）口令中不要使用常用单词、英文简称、个人信息等；

（三）不要将口令写在纸上或存在电脑上；

（四）至少每季度要改变一次口令；

（五）在配置文件中对口令进行隐藏设置；

（六）选择口令尽可能做到自己好记别人难猜。

第十四条配置文件存储着网络设备的所有配置信息。网络设备中的运行配置文件和启动配置文件应该随时保持一致。

第十五条通过TFTP或FTP的方式可以将设备的配置文件下载到本地主机上作备份文件以防不测，在设备配置文件损坏时可再通过TFTP或FTP的方式从本地主机上载到设备的FLASH中恢复备份的配置文件。

第十六条在配置文件中加入适当的注释语句，便于其他人的理解。

第十七条网络设备的拓扑结构、IP地址等信息文档属于部门的机密信息，应该在一定范围内予以保密。

第十八条网络设备通常可以设置日志功能，日志可以直接登录到设备上查看，也可以设置将日志发送到某台指定的UNIX主机上查看。日志中具体包含的内容可以在命令行配置方式下设定。

第十九条在日志文件中可以查看到曾经登录过该设备的用户名、时间和所作的命令操作等详细信息，为发现潜在攻击者的不良行为提供有力依据。

第二十条网络管理员必须每季度查看所管设备的日志文件，发现异常情况要及时处理和报告上级主管领导，尽早消除信息安全隐患。

第二十一条网络设备的软件版本（IOS或VRP等）较低可能会带来安全性和稳定性方面的隐患，因此要求在设备的FLASH容量的情况下统一升级到较新的版本。必要情况下可升级设备的FLASH容量。

第二十二条网络设备一般都具有允许远程登录的功能，远程登录给网络管理员带来很多方便，但同时也带来一定的网络安全隐患。

第二十三条通常在网络设备上可以设置相应的ACL限定可远程登录的主机在指定网段范围内，拒绝部分潜在的攻击者，保证网络安全。

第二十四条网络设备一般采用SNMP协议提供网络管理功能，MIB库中包含了网络管理相关的所有信息。

第二十五条MIB库的读／写密码必须设定为非缺省值，防止其中的信息被潜在攻击者获取，威胁网络安全。同时，允许对MIB库进行读／写操作的主机也可通过ACL设置限定在指定网段范围内。

第二十六条网络设备的安装、配置、变更、撤销等操作必须严格走相应的流程进行不能由网络管理员独自进行，以使生产环境的网络设备随时处于可控状态。

第二十七条对网络设备的变更全过程进行严密的控制，在流程中明确规定对网络设备执行一项变更操作必须经过相关的技术评审，有主管领导审批，具备变更操作指导书等条件后才能具体实施，变更实施完成后要进行测试，这样才能将变更过程中可能带来的风险减小到最低限度。

第二十八条网络安全管理员根据网络安全的需要向安全管理机构提出网络设备系统升级或者补丁程序安装建议。

第二十九条在安全管理机构同意网络设备系统升级或者补丁程序安装建议后，在安全管理员配合网络管理员完成详细的升级（修改）目标、内容、方式、步骤和应急操作方案，报上级主管部门审核批准。

第三十条上级主管部门审核批准后进行网络设备的系统升级或者补丁程序安装，采用双人操作，由安全管理员监督，网络管理员进行实际操作，并在升级（修补）前后必须由网络管理员完成相应的备份工作。

第三十一条网络管理员负责对网络设备系统升级（修补）过程进行记录备案。

第三十二条在升级（修补）后由安全管理员对网络设备进行安全扫描检测。

第三十三条启用对远程登录用户的IP地址校验功能，保证用户只能从特定的IP设备上远程登录路由器进行操作。

第三十四条启用对远程登录用户的IP地址校验功能，保证用户只能从特定的IP设备上远程登录交换机进行操作。

第三十五条启用对用户口令的加密功能，使本地保存的用户口令进行加密存放，防止用户口令泄密。

第三十六条对于使用SNMP进行网络管理的路由器必须使用SNMP V2以上版本，并启用MD5等校验功能。

第三十七条在每次配置等操作完成或者临时离开配置终端时必须退出系统。

第三十八条设置控制口和远程登录口的idle timeout时间，让控制口或远程登录口在空闲一定时间后自动断开。

第三十九条一般情况下关闭路由器的Web配置服务，如果实在需要，应该临时开放，并在做完配置后立刻关闭。

第四十条关闭路由器上不需要开放的服务，如Finger、NTP、Echo、Discard、Daytime、Chargen等。

第四十一条在路由器上禁止IP的直接广播。

第四十二条在路由器上禁止IP源路由和ICMP重定向，保证网络路径的完整性。

第四十三条在接入层路由器启用对网络逻辑错误数据包的过滤功能。