第一条 网络安全设备是保障安徽艺术职业学院各信息系统安全运行的基础。为保障安徽艺术职业学院信息系统的安全、稳定运行，特制定本规范。降低病毒、蠕虫、黑客等因素对信息系统产生的风险，特制定本安全制度。
    第二条 计算机中心负责本制度的实施，并对其进行不定期检查。
    第三条 本制度适用于安徽艺术职业学院网内所有安全设备的管理和运行。
    第四条 本制度中所指网络安全设备包括各种安全网关类设备（防火墙、VPN、WAF、代理服务器、IP加密机等）、入侵检测类设备、漏洞扫描类设备等。
2.1 设备管理员职责
    负责配置、维护网络安全设备人员，称为设备管理员。设备管理员的职责如下：
    1）恪守职业道德，严守企业秘密，熟悉《中华人民共和国网络安全法》的相关规程；
    2）负责网络安全设备的安全策略部署、配置及变更管理，更新和维护等日常工作；
    3）对设备实行分级授权管理，按照岗位职责授予不同的管理级别和权限；
    4）密切注意最新网络攻击行为的发生、发展情况，关注和追踪业界公布的攻击事件；
    5）密切关注信息系统安全隐患，及时变更信息安全策略或升级安全设备；
    2.2 策略管理
2.2.1 制定安全策略
    安全设备管理员应依据安徽艺术职业学院信息安全规划，结合实际需求，制定、配置具体网络安全设备的安全策略，并且进行规范化和文档化；
    安全设备的策略文档应妥善保存；
    对关键的安全设备要采用双机热备或冷备的方式进行部署以减小系统运行的风险；
2.2.2 统一部署安全设备
    安全设备部署应依据安徽艺术职业学院的信息安全规划统一部署，保证安全设备的可用性；
    安全设备部署的具体实施须经信息管理部门的审批并保留审批记录；
2.2.3 安全网关类设备部署
    安全网关类设备部署应根据网络安全域的划分情况进行正确部署，满足不同网络安全域之间访问控制的要求。
2.2.4 入侵检测类设备部署
    入侵检测类设备的部署要根据网络和信息系统的安全需求，选择合理的检测节点，能够完整的检测到被保护网络的数据流量，并能抓取含有足够信息的IP包，如：MAC地址、IP地址、端口信息等。
2.2.5 漏洞扫描设备部署
    漏洞扫描设备可采取离线或在线方式部署，部署前应进行漏洞扫描设备运行可能对系统影响的分析，避免对信息系统运行产生不良影响。
    2.3 配置和变更管理
2.3.1 配置和变更授权
    网络安全设备的配置、变更应满足信息系统变更管理的要求，配置和变更前应充分评估对信息系统可能产生的影响，报相关部门审批、授权后执行，保留审批记录。
2.3.2 防火墙配置
    防火墙设备配置操作流程要点如下：
    1) 记录网络环境，完成防火墙网络接口等基本配置；
    2) 定义防火墙的地址对象和端口对象；
    3) 创建安全域；
    4) 创建安全策略；
    5) 定义设备管理员权限；
    6) 配置防火墙日志服务器；
    7) 编写和整理防火墙设备配置文档和技术资料。
2.3.3 VPN设备配置
    VPN设备配置操作流程要点如下：
    1) 记录网络环境，完成VPN网络接口等基本配置；
    2) 定义VPN的地址对象和端口对象；
    3) 创建VPN用户；
    4) 定义VPN资源；
    5) 创建VPN用户角色，并与用户和资源关联；
    6) 定义设备管理员权限；
    7) 配置防火墙日志服务器；
    8) 编写和整理VPN设备配置文档、用户使用手册、技术资料。
2.3.4 WAF设备配置
    WAF设备配置操作流程要点如下：
    1) 记录网络环境，完成WAF网络接口等基本配置；
    2) 定义WAF的服务器IP地址对象；
    3) 创建站点安全策略；
    4) 创建事件集，并与安全策略关联；
    5) 创建虚拟服务，将服务器、安全策略、站点安全策略关联；
    6) 定义设备管理员权限；
    7) 配置WAF设备日志服务器；
    8) 编写和整理WAF设备配置文档、技术资料。
2.3.5 IPS设备配置
    入侵检测设备配置操作规程要点如下：
    1) 记录当前网络环境，定义入侵检测接口；
    2) 安装引擎（包括事件库）和管理软件；
    3) 定义入侵检测系统要保护的网络对象（网络或主机）；
    4) 定义检测策略，阻断级别和事件报警；
    5) 定义系统管理员和信息安全管理员权限；
    6) 编写和整理入侵检测设备配置文档和技术资料。
2.3.6 漏洞扫描设备配置
    漏洞扫描设备配置操作规程要点如下：
    1) 记录网络环境，定义漏洞扫描的网络接口；
    2) 定义漏洞扫描的IP地址范围；
    3) 定义漏洞扫描的安全级别和扫描选项；
    4) 安装、升级最新的漏洞库；
    5) 定义系统管理员和信息安全管理员权限；
    6) 编写和整理漏洞扫描设备配置文档和技术资料。
    2.4 运行维护管理
2.4.1 安全设备检查和维护
    安全设备检查和维护要点如下：
    1) 及时安装、更新厂家发布的设备补丁程序，及时修补设备操作系统的漏洞；
    2) 每周审计一次日志报表，发现攻击或异常立即上报领导，同时配置安全策略阻断攻击；
    3) 定期和不定期地检查设备的运行状况，及时查看日志，对异常情况的发生，及时上报，并保存记录；
    4) 对安全设备CPU和内存利用率、数据流量、报警次数等进行监测、跟踪；
2.4.2 安全设备配置管理
    安全设备配置备份要求如下：
    1) 定期备份安全设备配置；
    2) 修改安全设备配置前应对现有配置进行备份，以便修改失败后可快速恢复；
    3) 跟踪软件及特征库的变更，确保使用当前有效的、最新的软件及特征库；
    第一条 网络安全设备是保障安徽艺术职业学院各信息系统安全运行的基础。为保障安徽艺术职业学院信息系统的安全、稳定运行，特制定本规范。降低病毒、蠕虫、黑客等因素对信息系统产生的风险，特制定本安全制度。
    第二条 计算机中心负责本制度的实施，并对其进行不定期检查。
    第三条 本制度适用于安徽艺术职业学院网内所有安全设备的管理和运行。
    第四条 本制度中所指网络安全设备包括各种安全网关类设备（防火墙、VPN、WAF、代理服务器、IP加密机等）、入侵检测类设备、漏洞扫描类设备等。
4.1 设备管理员职责
    负责配置、维护网络安全设备人员，称为设备管理员。设备管理员的职责如下：
    1） 恪守职业道德，严守企业秘密，熟悉《中华人民共和国网络安全法》的相关规程；
    2） 负责网络安全设备的安全策略部署、配置及变更管理，更新和维护等日常工作；
    3） 对设备实行分级授权管理，按照岗位职责授予不同的管理级别和权限；
    4） 密切注意最新网络攻击行为的发生、发展情况，关注和追踪业界公布的攻击事件；
    5） 密切关注信息系统安全隐患，及时变更信息安全策略或升级安全设备；
    4.2 策略管理
4.2.1 制定安全策略
    安全设备管理员应依据安徽艺术职业学院信息安全规划，结合实际需求，制定、配置具体网络安全设备的安全策略，并且进行规范化和文档化；
    安全设备的策略文档应妥善保存；
    对关键的安全设备要采用双机热备或冷备的方式进行部署以减小系统运行的风险；
4.2.2 统一部署安全设备
    安全设备部署应依据安徽艺术职业学院的信息安全规划统一部署，保证安全设备的可用性；
    安全设备部署的具体实施须经信息管理部门的审批并保留审批记录；
4.2.3 安全网关类设备部署
    安全网关类设备部署应根据网络安全域的划分情况进行正确部署，满足不同网络安全域之间访问控制的要求。
4.2.4 入侵检测类设备部署
    入侵检测类设备的部署要根据网络和信息系统的安全需求，选择合理的检测节点，能够完整的检测到被保护网络的数据流量，并能抓取含有足够信息的IP包，如：MAC地址、IP地址、端口信息等。
4.2.5 漏洞扫描设备部署
    漏洞扫描设备可采取离线或在线方式部署，部署前应进行漏洞扫描设备运行可能对系统影响的分析，避免对信息系统运行产生不良影响。
4.3 配置和变更管理
4.3.1 配置和变更授权
    网络安全设备的配置、变更应满足信息系统变更管理的要求，配置和变更前应充分评估对信息系统可能产生的影响，报相关部门审批、授权后执行，保留审批记录。
4.3.2 防火墙配置
    防火墙设备配置操作流程要点如下：
    1) 记录网络环境，完成防火墙网络接口等基本配置；
    2) 定义防火墙的地址对象和端口对象；
    3) 创建安全域；
    4) 创建安全策略；
    5) 定义设备管理员权限；
    6) 配置防火墙日志服务器；
    7) 编写和整理防火墙设备配置文档和技术资料。
4.3.3 VPN设备配置
    VPN设备配置操作流程要点如下：
    1) 记录网络环境，完成VPN网络接口等基本配置；
    2) 定义VPN的地址对象和端口对象；
    3) 创建VPN用户；
    4) 定义VPN资源；
    5) 创建VPN用户角色，并与用户和资源关联；
    6) 定义设备管理员权限；
    7) 配置防火墙日志服务器；
    8) 编写和整理VPN设备配置文档、用户使用手册、技术资料。
4.3.4 WAF设备配置
    WAF设备配置操作流程要点如下：
    1) 记录网络环境，完成WAF网络接口等基本配置；
    2) 定义WAF的服务器IP地址对象；
    3) 创建站点安全策略；
    4) 创建事件集，并与安全策略关联；
    5) 创建虚拟服务，将服务器、安全策略、站点安全策略关联；
    6) 定义设备管理员权限；
    7) 配置WAF设备日志服务器；
    8) 编写和整理WAF设备配置文档、技术资料。
4.3.5 IPS设备配置
    入侵检测设备配置操作规程要点如下：
    1) 记录当前网络环境，定义入侵检测接口；
    2) 安装引擎（包括事件库）和管理软件；
    3) 定义入侵检测系统要保护的网络对象（网络或主机）；
    4) 定义检测策略，阻断级别和事件报警；
    5) 定义系统管理员和信息安全管理员权限；
    6) 编写和整理入侵检测设备配置文档和技术资料。
4.3.6 漏洞扫描设备配置
    漏洞扫描设备配置操作规程要点如下：
    1) 记录网络环境，定义漏洞扫描的网络接口；
    2) 定义漏洞扫描的IP地址范围；
    3) 定义漏洞扫描的安全级别和扫描选项；
    4) 安装、升级最新的漏洞库；
    5) 定义系统管理员和信息安全管理员权限；
    6) 编写和整理漏洞扫描设备配置文档和技术资料。
    4.4 运行维护管理
4.4.1 安全设备检查和维护
    安全设备检查和维护要点如下：
    1) 及时安装、更新厂家发布的设备补丁程序，及时修补设备操作系统的漏洞；
    2) 每周审计一次日志报表，发现攻击或异常立即上报领导，同时配置安全策略阻断攻击；
    3) 定期和不定期地检查设备的运行状况，及时查看日志，对异常情况的发生，及时上报，并保存记录；
    4) 对安全设备CPU和内存利用率、数据流量、报警次数等进行监测、跟踪；
4.4.2 安全设备配置管理
    安全设备配置备份要求如下：
    1) 定期备份安全设备配置；
    2) 修改安全设备配置前应对现有配置进行备份，以便修改失败后可快速恢复；
跟踪软件及特征库的变更，确保使用当前有效