内容简介
Q/SY中国石油天然气集团公司企业标准
Q/SY 10334—2016 代替Q/SY1334—2010
互联网出口建设与运行维护规范
Specifications for internet export construction, operation and maintenance
2016-10—27发布
2017-01-01实施
发布
中国石油天然气集团公司 Q/SY10334—2016
目 次
前言范围 2 规范性引用文件 3 术语和定义 4组织机构及职责 4.1 总部信息管理部门 4.2 集团公司信息安全专家中心 4.3 总部技术支持中心 4.4 区域网络中心 4.5 企事业单位建设管理
中
5
5.1 规划设计 5.2 实施建设 5.3 技术要求 5.4 管理要求运维管理 6.1 系统运维 6.2 故障管理 6.3 应急响应业务服务 7.1 用户管理 7.2 风险管理 7.3 互联网资源申请附录A(资料性附录) 工作流程附录B(规范性附录) 工作表单
6
1
6
-10 Q/SY10334—2016
前言
本标准按照GB/T1.1一2009《标准化工作导则第1部分:标准的结构和编写》给出的规则起
草。
本标准代替Q/SY1334—2010《互联网出口建设与运行维护规范》,与Q/SY1334—2010相比,除编辑性修改外,主要技术变化如下:
修改了“术语和定义”一章的描述,增加了定义“统建互联网出口”,“互联网出口资源” 删除了“互联网出口”、“区域网络中心”、“互联网设备”、“网络流量分析”、“虚拟专用网络(见第3章,2010年版的第3章):修改了“组织机构及职责”的内容,增加了“集团公司信息安全专家中心”、“企事业单位运行维护队伍职责”(见4.2,4.5);修改并完善了2010年版的5.1.15.2.4,5.3.2。5.3.3,5.4.1的内容:修改并完善了2010年版的6.1.2和6.2.1的内容:增加了“6.3应急响应”章节内容增加了“业务服务”章节内容(见第7章):修改了附录A中故障处理流程和运维工作流程,删除了互联网资源申请工作流程,增加了用户互联网资源申请业务处理工作流程和应用系统互联网资源申请业务受理工作流程(见附录A,2010年版的附录A):修改了附录B运维工作表单。删除了互联网出口申请表和VPN端口开放关闭申请表,增加了互联网资源特殊应用申请表。企事业单位代理服务申请表。应用系统互联网资源申请表。
本标准由中国石油天然气集团公司信息管理部提出。 本标准由中国石油天然气集团公司标准化委员会信息技术专业标准化技术委员会归口。 本标准起草单位:中国石油勘探开发研究院,信息管理部,东方地球物理公司,新疆油由分公
司。
本标准主要起草人:冯梅。靖小伟。杨志贤。刘磊、陈靓。滕征岑。于普。刘建兵。可为。曹然,郭晓东。孙军军。魏萍。柏东明、彭军、董之光。胡静。陈国松。宋佳佳。
11 Q/SY 10334—2016
互联网出口建设与运行维护规范
1范围
本标准规定了统建互联网出口(以下简称“互联网出口”)建设与运行维护的组织机构及职责,确定了互联网出口建设管理。运行维护管理和业务服务的基本原则。
本标准适用于中国石油天然气集团公司(以下简称“集团公司")互联网出口建设与运行维护。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的号「用件,仅注日期的版本适用于本支
件。凡是不注日期的引用文件:其最新版本(包括所有的修改单)适用于本文件。
GB/T22239—2008信息安全技术信息系统安全等级保护基本要求 GB/T22240—2008 信息安全技术信息系统安全等级保护定级指南 SY/T5231—2010石油工业计算机信息系统安全管理规范 Q/SY1021—2009 计算机网络互联技术规范 Q/SY1342—2010 终端计算机安全管理规范 Q/SY1343—2010 信息安全风险评估实施指南 Q/SY1345—2015 信息安全事件与应急响应管理规范 Q/SY1346—2010 信息系统用户管理规范中华人民共和国保守国家秘密法实施条例中华人民共和国国务院令第646号中国石油天然气集团公司信息化管理办法中油信【20121581号
术语和定义
5
下列术语和定义适用于本文件。
3.1
统建互联网出口enterprise internet exportation 由集团公司总部信息管理部门统一规划、设计、建设、运维并进行安全防护与管理,为集团公司
应用系统提供互联网服务,为内网用户在工作场所提供满足工作需要的互联网资源服务的访问通道。 3.2
互联网出口资源 resource of internet export 集团公司互联网出口的带宽资源和地址资源等内容。
3.3
互联网设备internetequipments 接人互联网使用的网络设备。网络安全设备。
I Q/SY10334—2016
4组织机构及职责 4.1 总部信息管理部门
负责领导和组织互联网出口的统一规划。建设,实施,运行维护,安全防护与管理。 4.2集团公司信息安全专家中心
负责对企事业单位提出的互联网出口资源申请进行技术和安全可行性审核,并给出意见。 4.3总部技术支持中心 4.3.1承担互联网出口建设与运维工作。 4.3.2负责制定集团公司互联网出口建设与安全防护方案,以及互联网出口访问控制策略。 4.3.3负责完成互联网出口实施,完成互联网出口调整与优化,制定统一安全策略,建立统一的互联网出口运维。使用规范和有关工作流程。 4.3.4负责按照《中国石油天然气集团公司信息化管理办法》(中油信[2012]581号)开展互联网出口建设工作。 4.3.5负责受理帮助热线。地区公司的互联网出口服务请求,开通用户申请的服务。 4.3.6负责按照Q/SY1345一2015第4章和第6章的规定制定互联网出口信息安全事件应急预案,每年至少进行一次应急演练。完成应急演练报告并上报信息管理部门。 4.3.7每季度对互联网出口自身安全性进行检查,对发现的问题应及时整改,完成整改报告并提交信息管理部门。 4.3.8指导各企事业单位处理使用互联网出口过程中发生的信息安全事件,完成处理报告并提交信息管理部门。 4.4区域网络中心 4.4.1负责按照统一的互联网出口安全策略完成本区域互联网出口网络建设与运行维护。 4.4.2负责监控、维护互联网设备所在机房场地设备、环境。 4.4.3配合总部技术支持中心处理互联网出口信息安全事件,负责区域内的事件处理与上报。 4.4.4参加由总部技术支持中心组织的应急演练,负责本区域的应急演练组织与实施,完成并提交应急演练报告。 4.5企事业单位 4.5.1负责管理本单位用户互联网出口使用,包括用户的互联网访问服务请求申请,变更,撤销及审核。 4.5.2负责管理本单位应用系统互联网出口使用,包括应用系统的互联网访问服务请求申请。变更撤销及审核。 4.5.3配合总部技术支持中心处理互联网出口信息安全事件,负责本单位的信息安全事件处理,对安全风险与隐患进行检查,对发现的问题应及时进行整改:整改完成后,以纸质格式向总部技术支持中心提交信息安全事件处理报告,整改报告,报告应签学,盖章。 4.5.4负责对本单位互联网出口使用过程中存在的安全风险与隐患进行检查,对发现的问题应及时进行整改。 4.5.5参加由总部技术支持中心组织的应急演练,负责本单位的应急演练组织与实施,完成并提交应急演练报告。 2 Q/SY10334—2016
5建设管理
5.1规划设计 5.1.1互联网出口由集团公司统一规划设计。集团公司内网中的各企事业单位和用户应遵循集团公司规定,使用统一规划的互联网出口访问互联网资源,各企事业单位不应自行建设。使用互联网出口如企事业单位确有特殊业务需求需自建互联网出口时,应向总部信息管理部门提出申请和备案,经批准后参照本标准进行建设及运维。 5.1.2互联网出口应根据用户分布情况及应用系统使用需求进行规划设计。 5.1.3互联网出口应进行允余结构设计,实现高可用性。 5.1.4互联网出口链路运营商应不唯一,并合理分配带宽。 5.1.5互联网出口应按照GB/T222392008中7.1.2的规定进行安全防护规划。 5.2实施建设 5.2.1互联网出口建设应采取“先试点,后推广*的步骤和方法。 5.2.2总部技术支持中心按Q/SY1021一2009中第3章的规定使用计算机网络互联技术进行互联网出口建设。 5.3技术要求 5.3.1访问控制 5.3.1.1总部技术支持中心应按照SY/T5231—2010中第9章的规定制定访问控制策略 5.3.1.2总部技术支持中心按照GB/T222392008中7.1.2.2的规定进行网络访问控制。 5.3.1.3中国石油广域网与因特网之间应强逻辑隔离,来自于因特网的访问请求不应进人中国石油广域网。 5.3.1.4 互联网出口统一建设DMZ(demilitarizedzone)区域,需通过互联网出口对外提供服务的应用系统,应部署在DMZ区域。 5.3.2行为管理与审计 5.3.2.1 互联网出口应部署设备对用户访问互联网行为进行管理与审计。 5.3.2.2互联网设备应对用户访问行为。访问内容等信息进行审计。 5.3.3入侵检测 5.3.3.1互联网出口应部署入侵检测系统或人侵防御系统。 5.3.3.2应对流经的数据包进行数据分析,过滤掉含有攻击指令和操作的数据包,保护网络的安全。 5.3.3.3提供对内部攻击、外部攻击和误操作的实时检测。 5.3.4吴 异常流量检测 5.3.4.1互联网设备应对由互联网出口进人中国石油广域网的数据中的异常流量检测。 5.3.4.2互联网设备发现数据中存在异常流量时,应自动采取保护机制对异常流量进行过滤。 5.3.5结构安全 5.3.5.1互联网出口应根据使用用户规模,应用系统数量配置设备与出口链路带宽,处理能力应具备 Q/SY 10334—2016
余,满足业务高峰期使用需求。 5.3.5.2互联网出口重要设备应元余配备,具备自动故障切换能力,主设备出现故障时可自动切换到备份设备。 5.3.6日志管理与监测 5.3.6.1 互联网设备应启用日志策略,记录相关访问信息、安全告警信息,设备运行状态信息等内容。 5.3.6.2 日志信息应统一集中存储,通过统一日志管理与分析平台进行管理与分析。 5.3.6.3对互联网出口各设备运行状态。网络流量信息进行监测。 5.4 管理要求 5.4.1音 部署在DMZ区域的应用系统应按照等级保护三级要求进行安全防护与管理。 5.4.2互联网设备处理的业务数据流应与设备管理数据流分离。 5.4.3 互联网设备运维操作过程应进行审计。
6运维管理 6.1 1系统运维 6.1.1 健康性检查 6.1.1.1 每季度对互联网设备运行状态进行巡检。 6.1.1.2 每季度对日志信息进行分析,防备可能发生的攻击。 6.1.1.34 每季度对互联网设备进行安全漏洞检查,发现并修复设备自身存在安全漏洞。 6.1.1.4每季度对互联网设备配置进行检查,并进行优化与完善。 6.1.2网络流量分析 6.1.2.1 应对网络或上传流量进行管理,保障业务带宽的合理分配。 6.1.2.2 应分析网络异常流量,及时发现问题,并对异常情况按安全策略统一处理。 6.1.3月 服务保障 6.1.3.1 应用系统应按照GB/T222402008确定的安全保护等级,对应用系统分等级业务保障。 6.1.3.2 应用系统运行维护队伍应按照根据系统确定的等保级别,按照GB/T22239一2008。从技术要求和管理要求出发,对使用互联网出口业务的应用系统的可用性和安全性进行保障。 6.1.4带宽管理 6.1.4.1 互联网出口链路带宽由总部技术支持中心统一管理。 6.1.4.2互联网出口链路带宽应根据链路利用率增加或缩减出口带宽。 6.2故障管理 6.2.1故障定级 6.2.1.1互联网出口故障根据影响范围、严重程度分为四级。 4