网络安全管理规范和流程

20
2、账号管理员工作流程
1)每日监督VPN用户访问的内容，根据用户权限查看用 户是否在相应的权限内访问，如发现违规行为应修改其 权限。 2)及时发现软件在运行时出现的故障与问题，出现问题 应及时排除； 3)定期查看VPN系统的日志信息，填写远程登录权限检 查表，由负责人签字交系统管理员； 4)定期对VPN用户的申请进行审核、统计、存档，并通 知已到期的用户，及时关闭过期用户。 5)定期做文档的维护整理和存档工作； 6)定期与区域数据中心之间沟通；
5
第三条 项目组可以委托相关指定人员代为管理 子节点设备。任何部门和个人，未经信息管理部 授权、不得擅自安装、拆卸或改变网络设备；如 确需改动，应事先与信息管理部取得联系，确保 公司内部网络系统正常运行。 第四条 任何部门和个人、不得利用联网计算机 从事危害内部网络及本地局域网服务器、工作站、 网络节点等行为。 第五条 网络安全管理规范适用于中国石油总部 及下属各企事业单位的网络安全系统管理人员、 技术支持人员。
17
账号管理员岗位职责
1)基本掌握移动办公系统的功能和操作程序； 2)负责账号的审核、开通、注销、变更等服务工作； 3)负责解答用户的服务咨询和一般性技术咨询； 4)负责提交用户申请表给系统管理员； 5)负责通知移动办公用户账号是否开通； 6)负责移动办公用户日志的检查，分析； 7)协助系统管理员处理紧急故障； 8)负责文档的整理和存档工作； 9)完成领导交办的临时任务。
3
整个系统由5大板块组成，分别是:移动办公 (以下简称“VPN”)，防火墙，入侵检测系统 （以下简称“IDS”），微软补丁分发系统 （以下简称“SMS”）和病毒防护。 作为企业网络安全的守护者，中国石油企业网 络安全管理系统在企业的生产、经营、管理活 动中，发挥着重要作用。因此，做好它的运行 维护工作，保证系统高速、安全、可靠地运行 是极其重要的，这也正是安全组的工作宗旨， 同时也是各个地区公司网络安全管理员积极配 合的结果。

域；新疆区域；兰州区域；西安区域； 西南区域。
12
工作目标
信息系统的安全性和服务的便利性是中 国石油考虑的首要问题，因此如何在开放 的互联网上构筑安全的信息通道，如何对 遍布全国的用户进行身份认证和权限检查， 同时保证各地用户快速，方便的接入中国 石油专网是目前工作的主要目标。
13
工作任务
6
第三部分：行为规范
衣着整洁、得体，符合工作身份，不戴与环境不相称 的饰品； 文明用语、礼貌待人；咨询解答，热情耐心；迅速受 理、及时反馈； 认真执行“首问负责”制。凡是涉及信息技术的问题， 作为第一受理人，即使不属于本人职责范围，也不能 以任何理由推脱，而应通过适当的方式，为用户解决 问题，或做好衔接和引导工作，力争为用户提供更多 方便与支持；
16
系统管理员岗位职责
1)全面掌握移动办公系统的功能和操作程序； 2)遵守《中华人民共和国计算机信息网络国际联网管理 暂行规定》的各项管理规定； 3)负责所有VPN设备及相关服务器的日常维护工作； 4)负责移动办公系统紧急故障的处理； 5)负责移动办公系统运行过程的监控工作； 6)负责接收账号管理员提交的用户申请表，核查用户使 用权限； 7)负责为呼叫中心进行故障问题解答； 8)负责与总部网络中心和区域数据中心进行沟通； 9)负责编写移动办公系统日常维护计划； 10)负责文档的整理和存档工作； 11)完成领导交办的临时任务。
24
防火墙设备管理权限
由项目组部署的防火墙设备由项目组 防火墙管理员统一管理，统一制定出口策 略，地区公司网络管理员负责防火墙设备 的7*24小时供电，保证相关线路、设备正 常运行。如果区域数据中心需要对网络结 构作改动，请提前上报项目组，确保网络 正常运行。
25
防火墙日常运行与维护
1、防火墙、代理服务器日志定期检查，对告警信息作详 细的检查，定期做代理服务器RIAD维护，有问题及时联系 厂家解决。 2、防火墙、代理服务器上开设端口或服务必须以书面的 形式上报项目组。 3、防火墙管理员每周对出口网络运行情况进行测试，保 障内网的安全高效运行。 4、防火墙、代理服务器管理账户和口令为项目组所拥有， 相关负责人员对用户口令保密，不得向任何部门和个人透 露相关信息。
19
VPN工作流程
1、系统管理员工作流程
1)每日检查所有VPN设备及相关服务器的运行情况，出现 故障应及时排除； 2)每日监控办公系统运行过程； 3)定期对系统进行检测，包括电源、VPN设备配置、相关 网络、系统安全保障等，填写定期检测情况记录，由负责 人签字存档。 4)定期检查用户申请表、核查和修改用户使用权限； 5)定期组织总部网络中心和区域数据中心沟通； 6)定期做文档的整理和存档工作； 7)系统管理员复查远程登陆检查表，并入库存档。
4
第二部分：总则
第一条 为保障网络安全管理系统高速、安全、可靠 运行，规范日常的维护、操作和使用行为，使其高效、 优质地服务于中国石油生产、经营和管理活动，为企 业内部用户提供便捷、高效、安全、可靠的网络安全 服务，根据《中国石油信息技术管理规定》及相关管 理的要求，编制本网络安全管理规范。 第二条 本管理规范所指的内部网络系统，是由广域 网项目组（以下简称“项目组”）统一部署、维护和 管理的内部网络主、辅节点设备、配套的网络线缆设 施及网络服务器、工作站所构成的，服务于内部网络 应用的软硬件集成系统。
21
第二章 防火墙的安全管理
防火墙部署范围现在包括集团公司总部、 股份公司总部、北京区域、大庆区域、辽 河区域、新疆区域、兰州区域、西南区域、 长庆区域的防火墙设备、相关服务器、相 应的网络链路和网络设备。 系统管理实行总部统一管理、分工负责的 原则。 安全组负责对防火墙策略的管理，各区域 中心网络管理员配合工作。
18
VPN设备管理规定
为保障 VPN系统安全、可靠运行，规范日常维护、操 作和使用行为，制定此设备管理规定。 1、VPN系统运行维护工作，由总部网络安全组承担，其主 要的工作职责是：在信息管理部的领导下，负责中国石油 VPN系统的运行、维护；负责VPN系统申请表的审核、开通 与整理；负责中国石油VPN系统的安全运行。 2、在VPN系统运行期间，VPN系统维护人员、网络维护人 员要保证VPN系统7×24稳定运行，如设备出现故障，应尽 快排除。
10
中国石油VPN系统
中国石油设立了九大VPN接入点，分别是集团公司总部、 股份公司总部、北京区域、大庆区域、辽河区域、新疆 区域、兰州区域、西南区域、长庆区域，为中国石油系 统内用户服务。 系统采用相同的VPN 接入域名，用户就近接入，各点之 间互为备份；使用统一的用户身份验证策略和加密策略， 采用同一的AD（域控制器）用户管理，集团公司和股份 公司使用各自的AD。 中国石油采用GSLB（全局负载均衡）整体解决方案，通 过在两个全国中心节点（洲际大厦和勘探院）部署GSLB 设备(TMX)和各接入中心部署SSL VPN设备（SPX），将用 户的访问请求进行全局的负载均衡处理，将用户定向到 最近的接入中心访问，使用户的请求得到最快的响应。
网络安全管理规范
编撰人：网络安全设计组 郭宏礼
目录
第一部分：概述 第二部分：总则 第三部分：行为规范 第四部分：网络安全管理
VPN的安全管理 防火墙的安全管理 IDS的安全管理 SMS的安全管理 病毒防护的安全管理
2
第一部分:概述
中国石油信息管理部精心组织，建成广域网改进项目网络 安全设计组（以下简称：安全组）,形成了分级运行，集 中管理，安全、快捷、易使用、可扩展的中国石油企业网 络安全管理系统。 安全设计组——负责防病毒网站的推广，防病毒工具研究， 防病毒工作检查；负责网络接入、防火墙、VPN、IDS、代 理服务器等控制、服务器安全、终端安全等；负责协助信 息安全项目建设；负责密码的管理和操作确认。 为防止黑客攻击、入侵、病毒、不良内容和垃圾邮件等通 过区域网络中心的Internet的入口进入中国石油广域网， 同时也为通过网络管理数据，提升中国石油的企业管理效 率和效益,使得网络信息的安全风险得到有效降低,保障企 业网络的高可用性。

7
接听电话时，首先问好，然后报出自己的身份；用语文明 礼貌，态度和蔼，口齿清楚；耐心解答用户的各种问题， 不得无礼怠慢，推诿搪塞； 对待用户的态度要热情周到，切忌冷漠、恶劣；回答问题 时要详尽、细致、全面、不厌其烦，直到用户满意；对于 当时不能解答的问题要认真记录，在最短的时间内与其它 服务人员沟通，一旦得到解决方案，马上反馈用户。
23
防火墙设备权限管理规定
1、 防火墙的登录口令和更改口令必须由至 少两个人掌握，通常为网络维护人员和网 络管理人员，该口令只有经过授权的人可 以进行更改。相关口令和更改的记录需在 网络管理部门领导处登记备案。 2、 防火墙的控制策略应根据业务需求进 行调整和设置。所有的改动必须经过网络 维护技术人员反复确认其正确性，并且在 改动之前必须备份原有设置，最后在经过 部门领导人员认可的情况下方可执行。
11
中国石油SSL VPN部署示意图
SPX3000：SPX3000是SSL VPN设备，
实现远程用户的接入。
TMX2000 – TMX2000主要用于全国范围内用户接 入的负载均衡。 – TMX2000对各接入中心的SPX3000设 备和互联网出口链路进行检查，实现 SSL VPN接入的冗余功能，提高服务 的可用性。 – 两台TMX2000部署在不同的地方，实 现自身的冗余备份。 在洲际大厦和勘探院分别部署一台 TMX2000和SPX3000设备 在其余的7个接入中心各部署一台SPX3000 设备：集团总部；大庆区域；辽河区
8
第四部分：网络安全管理
网络安全维护系统包含移动办公(以下 简称“VPN”),防火墙,入侵检测系统（以下 简称“IDS”），微软补丁分发系统（以下 简称“SMS”）和病毒防护，共5部分。
9
第一章 VPN的安全管理
为了满足各地方 公司有移动办公 需求，使出差的 员工，能够更方 便、更快捷地访 问公司网络，获 取有效信息，总 部更新了VPN系 统。
中国石油VPN系统的主要任务是根据公 司移动办公用户的需求，快速审核申请， 及时开通和注销账户，保证满足用户的工 作需求，切实保障系统的安全。
14
VPN移动办公设备权限管理规定
1、管Baidu Nhomakorabea员权限
为保障VPN系统安全、可靠地运行，规范日常维护、 操作和使用行为，特制定本规定。 管理员分为系统管理员和账号管理员。 1)系统管理员具有对整个设备管理和账号管理的权限; 2)账号管理员具有添加、删除、管理用户账号的权限，能 够查看用户的登陆信息，分析用户的需求，分配用户相应 的权限。
15
2、管理员权限申请 系统管理员的账号是在VPN系统安装与维护过程中建立的， 系统管理员账号主要用于对整个设备管理。 账号管理员的申请需要向系统管理员申请，经技术主管 签字后，由系统管理员在中国石油账号管理工具的组中 添加账号。 3、管理员账号注销 账号管理员的账号注销需要向系统管理员申请，经许可 后，在中国石油账号管理工具（管理软件）的组中删除 账号。
22
岗位职责
1、负责区域数据中心Internet出口防火墙的管理工作，制定相应的 访问控制策略等工作。 2、负责区域数据中心Internet出口安全控制，保障中国石油内部网 络安全，为VPN设备提供相应的出口策略。 3、负责区域数据中心的防火墙运行情况检查，地区公司网络管理员 保证防火墙设备的7*24小时供电，保证相关线路、设备正常运行。 如果区域数据中心需要对网络结构作改动，请提前上报项目组，确 保网络正常运行。 4、禁止利用职权私自在防火墙、代理服务器上开通未经许可的对外 信息服务。 5、数据中心防火墙设备损坏，应立即向总部网络安全组呈交书面报 告，以便及时安排更换或维修，并同时发出通知公告。 6、项目组的相关负责人必须落实各项管理制度和技术规范，监控、 封堵、清除网上有害信息。 7、进出内部网络，访问信息的所有用户，必须使用内部网络部门设 立的代理服务器。