信息安全操作系统及数据库配置建议

1.网络安全篇

1.1.目的

通过针对网络安全相应技术标准，规范的定义，以能够配合相关管理办法，进一步指导太保在技术层面实现合理的网络安全的实现和部署，达到网络层面的安全防护能力。

1.2.网络安全技术标准

1.2.1.网络结构安全及网络设备通用安全配置标准

1.2.1.1.网络冗余

局域网网络

∙局域网必须采用冗余设计，不存在网络单点故障。核心交换机都采用双冗余设备；

∙各接入换机必须有双链路（光纤或超5类线路）上联核心交换机；

∙总部核心交换机配置双电源、双引擎卡。

广域网网络冗余备份技术规范

∙核心路由器配置双电源、双引擎卡；

∙城域网连接采用冗余网络，使用双线路、双路由器设备；

∙总部Internet出口采用双电信运行商链路。

1.2.1.2.网络设备安全通用安全配置标准

∙网络设备的不必要的服务须关闭，包括ftp服务、http服务、dhcp服务，domain-lookup等；

∙网络设备的本地登录密码不允许以明文方式在配置文件中体现；

∙网络设备需开启AAA认证模式；

∙网络设备需设置NTP并和并设定指定的NTP服务器IP地址；

∙网络设备须设定Console及远程登录的Idle Timeout时间在5分钟内。

1.2.2.网络访问控制

1.2.2.1.数据中心及同城灾备中心网络安全域访问控制策略总体原则

OA与生产区域：

∙OA区域应该通过功能互联子区和生产网络核心设备连接，主要用于普通用户接入生产网络，在功能互联子区边界配置安全设备做访问控制；

∙运行维护人员仅可通过运行管理区域对生产网设备进行维护。

测试开发与生产区域：

∙测试开发区域必须和生产区域必须完全隔离（田林数据中心）；

∙测试开发区域必须和生产区域逻辑隔离（同城灾备中心）。

测试开发和OA区域：

∙原则上测试开发区域可以通过功能互联子区和OA区域互联但需要通过防火墙。

具体的网络安全域访问控制策略可以参考《数据中心网络安全域访问控制策略》。

1.2.2.2.第三方接入控制

第三方连接：在日常工作过程中，CPIC与第三方系统的连接需进行合理的管理与控制，提高对第三方的安全管理。

∙第三方对CPIC内网服务器的访问应通过DMZ区域。

∙和第三方的连接应有网络路由控制。

∙总部的第三方连接网络必须使用防火墙，并在防火墙上设置控制策略和NAT地址翻译策略，屏蔽公司内网结构；

∙在防火墙DMZ区部署前置机或通讯服务器，只允许对方合法IP地址通过特定端口访问CPIC前置机。

∙总部的第三方连接前置机或通讯服务器访问内部系统也需进行安全控制。

∙公司内网如需访问第三方前置机，需将前置机IP地址映射为公司内网地址，禁止内网直接访问第三方前置机IP地址。

1.2.2.3.远程接入访问

远程访问：远程访问是造成网络安全威胁的主要来源，合理的对远程访问进行控制，能提高网络安全，减少由于远程访问带来的风险。

∙通过公共网络的远程连接必须使用经批准的认证方法和设备，每个连接的用户需识别。

∙采用VPN的远程连接需使用双因素认证的方式（如数字证书加口令）；

∙用户通过远程接入之前通过一个额外的访问控制点（防火墙）；

∙通过远程连接来访问IT内网的设备，进行操作或管理必须经CPIC安全组织同意。如果通过Internet的数据应进行加密，并要求安全认证。

1.2.2.4.Internet接入访问控制

Internet连接：保护员工安全使用Internet连接，提供对Internet连接进行安全控制，保护整个网络安全。

∙Internet出口只限于总公司和一级分公司，营运中心，大型职场；

∙从连在任何CPIC网络的设备上拨号访问Internet是被禁止的。在特殊情况下，任何通过调制解调器拨号连接Internet都需经过集团信息安全与

内控管理部门的批准；

∙Interent连接网络必须使用防火墙并在防火墙上设置控制策略和NAT地址翻译策略，屏蔽公司内网结构；

∙在防火墙DMZ区部署前置机或通讯服务器，只允许Internet访问前置机特定端口。

∙不允许开放Internet访问公司内网策略；

∙总，分公司必须使用代理服务器或其他用户认证方式，对Internet访问用户进行控制。

1.2.3.入侵防御

1.2.3.1.入侵防御系统的部署

∙需在四总部及数据中心的每个Internet入口部署入侵防御系统（IPS）；∙需在分公司的每个Internet入口部署入侵防御系统（IPS）；

∙需在四总部广域网互联接口间部署入侵防御系统（IPS）；

∙需在分公司与田林数据中心的广域网接口间部署入侵防御系统（IPS）。

1.2.3.2.邮件病毒及垃圾邮件的过滤

∙需对所有公网发给CPIC域的邮件进行病毒过滤；

∙需对所有公网发给CPIC域的邮件进行垃圾邮件过滤；

∙需对通过田林代理10.191.113.100进行的Internet访问内容进行病毒过滤。

1.2.3.3.拒绝服务（DoS或DDoS）功能的防护

∙采用将不同的网络安全域及每个安全域的子域分为不同的虚网（VLAN），有效控制MAC地址欺骗的影响区域；

∙入侵防御系统需要开启的防御功能包括高级入侵防护拒绝服务 (DoS) 和分布式拒绝服务 (DDoS) 防护、网络监控等；

∙对于重要区域（如田林数据中心的Internet入口），考虑使用运营商的公网IP地址和域名的攻击流量清洗和过滤服务。