中国石油天然气集团公司企业标准
Q/SY 1334—2010
互联网出口建设与运行维护规范
Specifications for internet export construction, operation & maintenance
2010-08-01实施
2010-05-25发布
中国石油天然气集团公司 发布 目 次
L
前言 1 范围 2 规范性引用文件 3术语和定义 4组织机构及职责 4.1组织机构 4.2总部运行维护队伍职责 4.3区域网络中心运行维护队伍职责 5 建设管理 5.1 互联网建设 5.2 资源分配 5.3 技术要求 5.4 设备管理 5.5 设备配置 6运维管理 6.1运维服务 6.2 使用管理 6.3 互联网资源申请附录A(规范性附录) 运维工作流程附录B (资料性附录) 运维工作表单 前言
本标准是中国石油天然气集团公司技术专业基础设施层系列企业标准之一。信息技术专业基础设施层系列企业标准共8项标准，另外7项标准是：
Q/SY1333—2010《广域网建设与运行维护规范》； Q/SY1335—2010《局域网建设与运行维护规范》； Q/SY1336—2010《数据中心机房建设规范》； Q/SY1337—2010《数据中心机房管理规范》； Q/SY1338—2010《电子邮件管理规范》； Q/SY1339—2010《计算机硬件评估指南》； -Q/SY1340—2010《计算机软件评估指南》。
本标准的附录A为规范性附录，附录B为资料性附录。 本标准由中国石油天然气集团公司信息技术专业标准化技术委员会提出并归口。 本标准起草单位：中国石油勘探开发研究院。 本标准主要起草人：冯梅、杨志贤、石国伟、刘磊、郭晓东、孙军军、叶铭、戴震坤、魏萍、陈
靓、胡静、王振欣。 互联网出口建设与运行维护规范
1范围
本标准给出了互联网出口建设和运维的组织机构及职责，确定了互联网出口建设管理、运维管理的基本原则。
本标准适用于中国石油天然气集团公司（以下简称中国石油）总部及所属各企事业单位互联网出口建设与运行维护。 2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。
SY/T5231—2010石油工业计算机信息系统安全管理规范 Q/SY1021—2009-计算机网络管理规范
3术语和定义
Q/SY1021一2009确立的以及下列术语和定义适用于本标准。
3.1
运行维护队伍 operational maintenance troops 由中国石油所属各企事业单位经中国石油总部信息管理部门授权的信息部门人员组成。
3.2
区域网络中心regionalnetworkcenter 上联中国石油核心网络，汇接本地域所属各企事业单位及部分所属各企事业单位分支机构网络的
区域性网络汇聚中心。
[Q/SY1021—2009，定义2.6]
3.3
互联网出internet export 通过网络设备、网络安全设备在满足国家有关标准条件下，与互联网相连的出口。
3.4
互联网设备internet equipments 接入互联网使用的网络设备、网络安全设备。
3.5
网络流量分析network traffic analysis 一个有助于网络管理者进行网络规划、网络优化、网络监控、流量趋势分析等工作的工具，通过
对网络信息流的采集、分析，可帮助网络管理者得到网络流量的准确信息，为网络的正常、稳定、可靠运行提供保障。 3.6
虚拟专用网络virtualprivatenetwork（VPN）一种常用于连接中、大型企业或团体与团体间的私有网络的通讯方式。虚拟专用网络的信息透
过公用的网络架构（例如互联网）来传送内联网的网络信息。虚拟专用网络利用已加密的通道协议（TunnelingProtocol）来达到保密、传送端认证、信息准确性等私密信息安全效果。 4组织机构及职责 4.1组织机构 4.1.1中国石油互联网出口建设、运维及安全规划的管理部门是中国石油总部信息管理部门。 4.1.2在中国石油总部信息管理部门的指导下，由总部运行维护团队（包括总部运行维护队伍和区域网络中心运行维护队伍）统一进行互联网出口建设、运维及安全规划。 4.2总部运行维护队伍职责 4.2.1评估互联网出口安全状况，制定统一的互联网出口安全策略，建立互联网出口安全规范与流程，报总部信息管理部门审批后实施。 4.2.2负责总部统一建设的互联网出口管理。 4.2.3 制定互联网出口突发事件处理预案，按流程及时处理，结果上报总部信息管理部门。 4.2.4 监控互联网出口网络情况，及时处理，并通报相关单位的信息安全负责人。
4.2.5 满足总部和信息技术总体规划中项目对互联网出口的需求，对重点应用提供服务质量保证。 4.2.6 受理呼叫中心、区域网络中心的互联网出口服务请求。 4.2.7 指导、监督、培训、考核各区域网络中心运行维护队伍的互联网出口运行维护工作。 4.2.8 监督、协调互联网出口通信链路服务商和产品供应商的售后服务。 4.2.9 汇总、分析全网互联网出口运行情况，向总部信息管理部门提交互联网出口运行维护周报和年度运行维护总结报告。 4.3区域网络中心运行维护队伍职责 4.3.1 按照统一的互联网出口安全策略，配合完成区域互联网出口网络建设与运行维护。 4.3.2 监控、维护本区域内的互联网出口网络设备和通信链路。 4.3.3 协助地方网络监管部门做好相关网络安全的监控。 4.3.4 按4.3.1给出的互联网出口安全策略，核查本区域内的互联网出口使用情况。 4.3.5 受理接人单位的互联网出口故障申告和服务请求。 4.3.6 定期组织区域内接人单位网络安全培训。 4.3.7 汇总、分析本区域内互联网出口运行情况，向总部运行维护队伍提交运行维护周报和年报。 5建设管理 5.1 互联网建设
按Q/SY1021一2009中第3章的规定，使用计算机网络互联技术进行互联网建设。 5.2资源分配
链路资源分配应考虑申请单位的人员规模、业务模式，选择可以适用所属单位的最小链路资源予以分配。 5.3技术要求 5.3.1访问控制 5.3.1.1按SY/T5231—2010中第9章的规定，制定访问控制策略。 5.3.1.2对互联网出口资源的访问应是受限的访问，不同的用户角色应有不同的访问权限。 5.3.1.3来自互联网出口的访问，原则上不应进入内网服务器，只能访问DMZ（demilitarized zone，隔离区）业务。 5.3.1.4有互联网出口业务需求的应用系统，应提取到DMZ单独防护。 5.3.1.5内网用户对DMZ服务器的数据修改，应进行授权和审计。 5.3.2认证系统 5.3.2.1应采取AAA（Authentication身份验证、Authorization授权、Accounting统计）机制，限制非法访问，保证正常通信以及信息传输的完整性，满足网络的可靠互联与正常运行。 5.3.2.2应确保用户身份的真实性、合法性，并详细记录用户对互联网资源的访问行为和访问信息，便于事后审计和事件追溯。 5.3.2.3用户名和密码进行统一认证管理，对用户身份合法性进行鉴别，对访问权限进行授权。 5.3.3入侵检测系统/入侵防御系统 5.3.3.1互联网出口应部署人侵检测系统或人侵防御系统。 5.3.3.2应对流经的数据包进行数据分析，过滤掉含有攻击指令和操作的数据包，保护网络的安全。 5.3.3.3提供对内部攻击、外部攻击和误操作的实时检测。 5.3.4行为管理
行为管理是互联网出口安全系统的重要组成部分，可以控制、限制或阻止用户对互联网出口某些资源的使用，并对用户行为进行记录。 5.3.4.1应与桌面统一管理系统、身份认证系统形成统一可监控的审计内容。 5.3.4.2应与身份认证系统形成对上网用户行为的限制、控制或阻止。 5.3.4.3应对即时通信软件进行管理和控制。 5.3.4.4应形成日志文件并统一存放。 5.3.5日志与审计
互联网出口防护设备上产生的日志应通过网络传送到安全管理平台，使网络事件序列化，便于日后的事件追溯。 5.4设备管理 5.4.1制定标准
应编制设备选型标准。 5.4.2测试 5.4.2.1设备选购前，应按实际使用需求，编写测试计划，协调人员进行测试。 5.4.2.2设备测试后，应给出测试报告，宜包括可用性、可靠性、安全性等多个方面。 5.4.3选型 5.4.3.1网络设备应根据其所在的网络层次，按测试报告、用户规模、端口需求、带宽情况等，确定设备型号。 5.4.3.2安全设备选型应满足国家安全规定以及企业规定。 5.4.4安装及验收 5.4.4.1i 设备安装应严格按该设备配套的安装手册进行安装。 5.4.4.2安装时应确保弱电线缆与强电线缆分开，光纤与网线分开。 5.4.4.3设备调试安装结束后，应进行验收。 5.4.4.4验收合格后，设备才可使用。 5.4.5维护 5.4.5.1 设备质保期限应为五年。 5.4.5.2应按照总部信息管理部门规定的设备维护流程实施设备的维护、保养工作。 5.5设备配置 5.5.1互联网出口设备应制定统一的设备命名规范及接口命名规范。 5.5.2互联网出口应考虑设备及链路允余。 5.5.3远程登录。 5.5.3.1应采用基于统一认证平台的远程认证方式。 5.5.3.2统一认证服务器应赋予不同用户不同权限，并记录访问日志。 5.5.3.3当认证服务器出现故障时，用户应能通过本地认证对设备进行管理。 6运维管理 6.1运维服务 6.1.1 健康性检查
对总部统建的互联网出口相关设备和链路状态进行实时监控，预防为主。 6.1.1.1通过人侵检测或人侵防护系统对保护的关键资源进行智能化的实时安全监控，发现异常情况（异常操作、用户的误操作等）后，按照用户设置的安全策略进行处理。 6.1.1.2定期对安全管理平台日志进行审计，发现针对互联网出口设备或服务器可能发生的攻击，或者可查询管理人员操作的历史记录。 6.1.1.3定期对日志信息进行分析，及时杜绝安全漏洞；当安全策略中的漏洞引起系统出现安全故障时，可根据日志信息进行系统分析和事件追踪，发现责任人。 6.1.2网络流量分析
对总部统建互联网出口进行流量分析，合理利用互联网出口资源。 6.1.2.1通过流量分析工具和上网行为管理设备，对网络或上传流量和工具进行限制或约束，保障业务流量。 6.1.2.2通过流量分析工具和入侵检测或人侵防御系统，分析网络异常流量，及时发现问题，并对异常情况按工作流程进行处理。 6.1.3应急响应
因网络设备故障或运营商传输链路故障，导致互联网出口中断，实施应急响应机制。参照信息安全应急处理预案。 6.1.4服务保障 6.1.4.1应依据业务的重要程度对不同类别的业务进行服务保障。 6.1.4.2经公安部确认的等级保护三级的应用系统应重点保障业务的连续性、可用性和安全性。 6.1.4.3经公安部确认的等级保护二级的应用系统应重点保障业务的连续性和可用性。 6.1.4.4经公安部确认的等级保护一级的应用系统应重点保障业务系统的可用性。 6.2使用管理 6.2.1互联网
对互联网出口有需求的单位，应按互联网资源申请工作流程（见图A.1)，进行互联网出口资源申请、使用。 6.2.2VPN
对移动办公有需求的单位，应按互联网资源申请工作流程（见图A.1），进行VPN资源申请、使
用。 6.3互联网资源申请 6.3.1申请单位提出互联网出口或VPN资源申请，填写互联网出口申请表（参见表B.1）或VPN端口开放关闭申请表（参见表B.2)，上报总部信息管理部门。 6.3.2总部信息管理部门接收申请，反馈审批结果。 6.3.3总部运行维护队伍进行实施工作。 6.3.4实施结束后，总部运行维护队伍将重点资料归档。 6.3.5图A.1给出了互联网资源申请工作流程。