上海大学网络安全策略

第一章引言

1.1编写目的

本策略为信息安全管理制度中的信息保护制度部分。为了加强信息系统的信息安全管理，建立健全本校各信息系统的安全管理责任制，提高整体的安全水平，保证网络通信畅通和信息系统的正常运营，提高网络服务质量，特制定本策略。

1.2术语定义

1.信息（Information）：以任何形式存在或传播的对本校具有价值的内容，包括电子信息、纸质数据文件、语音图像等。信息安全关注的是信息的保密性、可用性和完整性。

2.信息资产（Information Assets）：任何对本校具有价值的信息存在形式或者载体，包括计算机硬件、通信设施、IT环境、数据库、软件、文档资料、信息服务和人员等，所有这些资产都需要妥善保护。

3.信息安全（Information Security）:保护信息的保密性、完整性和可用性。

4.保密性（Confidentiality）:确保信息只被授权人员访问。

5.完整性（Integrity）:保证信息不被非授权窜改或不恰当改动。

6.可用性（Availability）:保证信息能够被授权用户在需要时访问。

第二章范围

Ø逻辑范围：本策略逻辑范围包括生产系统及内部办公网络等信息系统的物理资产、软件资产、数据资产、服务资产等。本策略涉及的工作包括了对所有上述系统的保密性、完整性和可用性的安全管理工作。

Ø物理范围：本策略物理范围包括整个学校和IDC数据中心环境。

第三章网络配置

3.1基本要求

防火墙配置策略适用于Internet连接、DMZ与内部网络等各安全域之间的防火墙规则。

Ø应至少每六个月由信息办分管领导检查审核全部防火墙和路由器规则设置，并进行记录。

Ø通过防火墙和路由器的配置，严格限制不信任网络与任何受保护网络内部系

统组件的连接。

Ø应确认路由器配置文件进行了保护和同步，例如运行配置文件（用于正常的路由器运行）和启动配置文件（当机器重新启动时使用）有相同的安全配置。

Ø在任何无线网络安装外围防火墙，并且将这些防火墙配置为禁止或控制（如果业务目的需要这样的流量）从无线环境流入的任何流量。应实施DMZ，只允许必要的协议流量通过。应确认所有不必要的进出流量都是明确禁止的，例如通过使用"禁止所有（Deny all）"规则禁止所有流量，然后只打开允许的通过。应限制Internet流量进入DMZ以外的内部IP地址。不允许Internet和本校之间进出流量的任何直接路由。不允许从Internet至DMZ的内部地址通过。应实施状态检测，即动态包过滤。（也就是只有"建立"的连接才允许进入网络。）关键数据库应放置在内部网络区域，不允许放置在DMZ。

应实施IP伪装以防止内部地址被转换和发布到Internet上，使用RFC 1918所规定的网段。使用网络地址转译(NAT)技术，例如端口地址转译(PAT)。所有无线网络应实施严格的加密机制（例如AES）：

加密密钥在安装时更改默认值，并且确保在任何知道密钥的人离开学校或改变岗位的时候能够随时更改；

更改无线设备上的默认SNMP community strings；

更改访问点上的默认密码/口令（参见《加密策略》）；

升级无线设备上的固件，以支持无线网络上的严格认证和传输加密（例如WPA/WPA2）

3.2网络拓扑结构

应保证网络拓扑结构图最新且完整，包括所有的无线连接，以及网络范围内的所有连接略网络传输环境：

用户先访问DMZ区域，在解析得到应用系统的IP地址后，用户需要经过ISG1000防火墙的过虑，符合访问规则的防火墙放行。应用系统与数据库布置在不同的网络IP段,通过交换机VLAN策略进行隔离保护。应用系统访问数据库时，VLAN策略会进行对比源到目的的IP地址、协议、端口；只有符合策略的，才能允许相应的应用服务器访问数据库。

3.3网络连接测试和策略审批流程

批准和测试所有网络连接以及更改防火墙和路由器配置的流程如下：

由系统部收集书面需求，制订策略，并书面递交信息办分管领导确认，由信息办分管领导召集系统、运营以及开发团队会议，分析讨论该策略，并制订第一阶段（在测试环境进行）实验时间表。

由系统部按照时间表和会议书面确定的策略进行第一阶段实验，实验后，由安全负责人召集系统、运营以及开发团队会议，根据实验结果决定是否需要调整策略、是否需要再次进行在测试环境的实验或进行在IDC机房的第二阶段实验。

在进行的第一阶段实验完成后，由系统部按照时间表和会议书面确定的策略进行在IDC的第二阶段实验。根据实验结果，由信息办分管领导召集系统、运营以及开发团队会议，决定是否需要调整策略继续实验或确认该策略可以上线并进入生产环境的实施流程。按照会议的书面实施流程，由系统部实施上线，运营和技术开发进行测试，完成后正式策略书面递交信息办分管领导。

网络连接的测试内容包括但不限于性能测试、压力测试、稳定性测试。运行过程中任何变更应遵从本流程。

3.4组、角色和责任

系统管理相应的角色及职责定义如下：

所属角色职责描述权限范围

系统工程师：服务器应用硬件维护；包括日常监控、-应用程序和日志备份、服务器的规划和上线等。服务器管理和操作权限。

数据库工程师：对数据库进行管理，负责DB2数据库应用系统的运营及监控。数据库系统的管理和维护权限。

网络管理员：保证学校办公环境持续稳定运营（包含服务器及客户端）；建立完善的办公环境网络结构并持续改进网络安全；网络设备（包括交换机、路由器和防火墙等）的管理权限。

高级运维总监：全面负责学校运维项目的系统升级、扩容需求与资源落实；配合开发需求，测试、调整运维平台，提供优化的网络与服务器系统平台对上述角色的工作进行监控和指导；对管理和运维中的日志进行审计；

3.5服务、协议和端口

对于每项服务的安全功能必须按检测防火墙和路由器配置标准进行记录和实施。对于不安全的服务（如FTP需要纯文本的用户认证），必须进行改造和加固。

Ø对于互联网到内网区的访问，全部禁止。

第四章个人网络安全

通过Internet直接连接的计算机上（例如员工使用的笔记本电脑）必须安装主机防火墙软件。主机防火墙软件配置为特定的标准，且用户不得更改。对于使用windows的用户，应使用系统自带的防火墙，通过域策略设置其防火墙规则，用户无法停用或者修改防火墙规则。所有师生使用的设备，必须得到网络管理员审批通过后才能使用；且至少使用用户+口令方式进行身份认证。

第五章系统配置

5.1网络设备

在网络上安装系统以前，必须更改供应商提供的默认设置，包括密码、简单网络管理协议(SNMP)机构字串，并删除不必要的账户。应明确路由器、防火墙和交换机等网络组件上用于本地管理的组、角色和权限。应明确路由器、防火墙和交换机等网络组件的服务、协议和端口，以及所有系统组件的服务和协议，确保只有业务需要才能开启。确保删除或禁用了在所有组件上不必要的功能或服务，如脚本、驱动、特性、子系统和文件等。

5.2服务器系统

参考业界公认的标准比如：SysAdmin Audit Network Security (SANS)、National Institute of Standards Technology (NIST)和Center for Internet Security(CIS)进行系统配置。

Ø每台服务器应只执行了一项主要功能。例如，Web服务器、数据库服务器和DNS应该在独立的服务器上实施。

Ø禁用所有不必要和不安全的服务和协议（不直接需要用来执行设备特定功能的服务和协议）。

Ø明确常用安全参数设置，从而合理地配置系统安全参数，以防止滥用。

Ø删除所有不必要的功能，例如脚本、驱动程序、属性、子系统和不必要的服务。应建立流程识别新发现的安全漏洞（例如，订阅来自CVE、BUGTRAQ以及各厂商的漏洞通过，并使用最新的安全评估工具进行内、外部弱点扫描）。并根据上述发现的问题以及PCI DSS要求2.2更新配置标准，以解决新的漏洞问题。

5.3需远程访问的系统

对于所有非控制台的管理访问，必须对传输链路进行加密（如SSH、IPSEC VPN或SSL/TLS等）；对于生产系统，远程访问时必须使用RSA动态口令+PIN进行认证以登陆到堡垒机，并通过堡垒机进行生产系统的访问。

对于办公环境，远程访问时必须使用VPN进行链路的加密。所有远程连接设备应配置为在15分钟内不活动，自动中断会话。所有系统组件上应实施访问控制，并根据工作职责分配的必要性提供相关员工权限。所有访问控制机制默认都设置为"Deny-all"。参见《访问控制安全策略》。

对于需要进行远程维护的第三方人员访问，在访问之前必须向CISO进行申请，由后者基于最小化原则进行授权。授予权限后，第三方人员应在规定的时间内仅对被授权的系统进行远程访问。在访问过程中，第三方人员仍应遵守本校对加密、认证、数据保护等方面的安全要求，并且访问的行为应受到全面的监控。如果是共享托管提供商（Shared Hosting Provider），必须保护每个机构托管环境和持卡人数据。

第六章网络测试和监控

系统管理员应每个季度使用无线分析器（如Windows上使用的NetStumbler或Unix上使用的Kismet）检测是否有未授权的无线网络存在。如果发现未授权的无线设备，则按《应急响应计划》中的方法进行处理。每季度应对进行内部和外部网络漏洞扫描：在网络出现任何重大变动（如安装新的系统组件、更改网络拓扑、修改防火墙规则、产品更新）后，也应进行上述扫描。应由聘请外部安全专家或者由信息办每年执行一次渗透测试（包括基于网络层和应用层的外部和内部的渗透测试），并提供报告；相关部门应根据扫描和渗透测试结果做出相应的调整。应使用并合理部署入侵检测系统（IDS）或入侵防御系统（IPS），以监控中的所有流量并在发现可疑威胁时提醒员工。应及时更新所有入侵检测引擎和入侵防御引擎，每天至少检查一次IDS或IPS日志，参见《访问控制安全策略》。

应在中使用文件完整性监控产品。需要监控的文件包括但不限于：

Ø系统可执行文件

Ø应用程序可执行文件

Ø配置文件和参数文件

Ø集中存储的文件、历史或存档文件、日志文件和核查文件

第七章安全补丁

应确保所有系统组件和软件都安装了最新的安全补丁，关键的安全补丁必须在发布的一个月内更新。

本校办公网内部的Windows主机通过WSUS或域环境的实现补丁更新，一周内必须更新一次。IDC机房设备以及办公环境中的Linux设备，通过手工方式定期更新，更新原则为：

ØIDC机房的系统和设备必须在两周以内安装高危补丁，其它补丁应在一个月内安装更新；

ØIDC机房中的其它设备和办公环境中的Linux设备一月内完成补丁的更新。