02-设备安全入网流程

密级：文档编号：项目代号：EpsonSecurityFrameworkPolicy设备安全入网流程V1.0保密申明这份说明书涉及到EPSON的商业机密的信息。接受这份说明书表示同意对其内容保密，未经书面请求并得到EPSON的书面认可，不得复制，泄露或散布这份说明书。如果你不是有意接受者，请注意对这份说明书内容的任何形式的泄露、复制或散布都有可能引起法律纠纷。设备安全入网流程EpsonSecurityFrameworkPolicyPage2of10文档控制属性内容客户名称:EPSON项目名称:项目编号:文档主题:设备安全入网流程文档副标题:拟制:周发桂审核:金海批准:标准化:金海读者:EPSON、ISCA版本控制版本提交日期相关组织和人员版本描述V1.005月29日EPSON、ISCA初始化，建立文档框架V1.006月07日金海文档审核设备安全入网流程EpsonSecurityFrameworkPolicyPage3of10目录1目的..................................................................................................................................................42范围..................................................................................................................................................43流程启动条件..................................................................................................................................44相关人员及其职责..........................................................................................................................45流程描述..........................................................................................................................................55.1流程图.......................................................................................................................55.2流程说明...................................................................................................................75.3相关文档...................................................................................................................86流程解释和维护..............................................................................................................................9附件..........................................................................................................................................................9设备安全入网确认单...............................................................................................................9设备安全入网流程EpsonSecurityFrameworkPolicyPage4of101目的为了规范EPSON设备在入网后，能够处于一个安全的状态。特制定本流程。2范围主机：HP-UX、Solaris、AIX、Linux、Windows等网络设备：Cisco、华为、Extreme、Juniper等数据库：Oracle、DB2等应用：WEB、MAIL等维护终端：指维护生产主机的终端，桌面终端不在维护终端范围内计费采集机3流程启动条件项目经理通知维护人员安装设备维护人员在系统扩容时准备安装新设备重新安装初始化设备时（主机重新安装操作系统、网络设备重新初始化、数据库重新安装）4相关人员及其职责项目经理：在新设备需要上线时，通知维护人员安装上线；安全管理员：负责对新设备进行安全扫描；负责审核设备加固是否按加固手册完成，如果完成，则批准入网；负责提供最新的加固手册；设备安全入网流程EpsonSecurityFrameworkPolicyPage5of10维护人员：包括EPSON的管理员（分为一线和二线）和代维人员，负责设备的安装、安全加固和上线；在网络设备入网时，维护人员是指网络管理员；在主机、数据库和应用入网时，维护人员是指系统管理员；机房管理员：负责设备上架前的电源和机架相关工作；设备供应商：协助维护人员安装设备和上线；应用系统厂商：在应用调试过程，和EPSON维护人员一起调试应用；5流程描述5.1流程图设备安全入网管理流程业务流程职责工作要求/控制点*文件/记录责任人/部门配合人/部门项目经理维护人员1、项目经理通知上架，填写《设备安全入网确认单》，并提交给相应的维护人员；2、项目经理提供上架需求，包括网线接口、设备大小、设备位置需求、设备电源需求等信息；3、《设备安全入网确认单》必须包含设备的类型、名称、编号、入网各流程进行情况等信息。《设备安全入网确认单》维护人员机房管理员设备供应商1、维护人员接到项目经理上架通知后，根据项目经理提供的上架信息上架，并分配交换机端口、IP地址；2、机房管理员接到项目经理上架通知后，为设备分配机架与电源；3、在设备接入网络前将对应交换机端口关闭以防止未经过加固的新设备受到攻击。《设备安全入网确认单》《机房管理标准》开始通知上架设备上架设备安全入网流程EpsonSecurityFrameworkPolicyPage6of10业务流程职责工作要求/控制点*文件/记录责任人/部门配合人/部门维护人员设备供应商1、维护人员对设备安装或者重新安装操作系统，将系统初始化以保证没有可能存在的安全问题。《设备安全入网确认单》安全管理员维护人员1、维护人员在经过系统初始化后，通知安全管理员进行安全扫描，安全扫描前，安全管理员应先升级安全扫描软件，更新扫描引擎和漏洞库；2、安全管理员对设备进行安全扫描，完成后产生安全扫描报告；《设备安全入网确认单》《安全扫描报告》维护人员安全管理员1、维护人员向安全管理员领取安全扫描报告以及最新的安全加固手册；2、维护人员按照加固手册及扫描结果进行安全加固，并测试安全加固的有效性；3、具体加固流程参见《EPSON日常加固维护流程》。《设备安全入网确认单》《安全扫描报告》《加固手册》《EPSON日常加固维护流程》安全管理员维护人员1、维护人员通知安全管理员对设备安全进行审核；2、如安全管理员审核通过，则批准上线，进入下一流程；3、如安全管理员审核未通过，则回退到上一流程，直至审核通过。《设备安全入网确认单》《安全扫描报告》《加固手册》维护人员1、维护人员将设备对应交换机端口打开，设备上线完成。《设备安全入网确认单》维护人员应用系统厂商1、由维护人员和相应的厂商对设备进行应用系统的调试及测试。2、应用调试结束后，应用系统厂商输出《新设备系统配置列表》《设备安全入网确认单》《新设备系统配置列表》安全管理员维护人员1、安全管理员对经过应用调试后的系统结合《新设备系统配置列表》进行安全检查，发现不安全的配置以及与系统无关的配置，通知维护人员进行补充加固；2、维护人员对设备进行补充加固。《设备安全入网确认单》《新设备系统配置信息》设备安全扫描设备安全加固系统初始化加固复核补充应用调试设备上线安全管理员审批是否设备安全入网流程EpsonSecurityFrameworkPolicyPage7of10业务流程职责工作要求/控制点*文件/记录责任人/部门配合人/部门项目经理文档管理员项目经理确认流程结束，将《设备安全入网确认单》归档至文档管理员。《设备安全入网确认单》5.2流程说明1、项目经理通知上架：项目经理在有新设备需要上架时，通知维护人员把新设备安装到机架上，并提供上架需求，包括网线接口、设备大小、设备位置需求、设备电源需求等信息，启动本流程；2、新设备上架：维护人员接到项目经理上架通知后，根据项目经理提供的上架信息上架，并分配交换机端口、IP地址；机房管理员接到项目经理上架通知后，为设备分配机架与电源；并将机架信息和电源情况写入《设备入网确认单》中“设备上架”一栏，在分配机架与电源时，机房管理员需要遵守《机房管理标准》；情况一：维护人员接到项目经理通知，需要新设备上架，则把新设备安装到机架上；情况二：维护人员在系统扩容时，需要增加新设备，则把新设备安装到机架上；3、维护人员对新设备或需要重新初始化的设备进行系统安装初始化；4、安全扫描：安全管理员在扫描前，将安全扫描软件升级，扫描软件的引擎和漏洞库更新，然后对设备进行安全扫描；情况一：有一批设备上线时，应该在阻断这些设备所在交换机与移动网络之间连接的情况下，对其进行安全漏洞扫描，保证其在加固前与移动网络隔离；情况二：当设备只有一台时，采用双机直连进行安全漏扫描即可。5、设备安全加固：维护人员向安全管理员领取最新的安全加固手册，按照加固手册并结合安全扫描结果对设备进行安全加固，并测试安全加固的有效性，具体加固流程参见《EPSON日常加固维护流程》；结束设备安全入网流程EpsonSecurityFrameworkPolicyPage8of106、安全管理员审批：在维护人员加固完成后，维护人员通知安全管理员对设备上架和安全加固进行审核和批准上线。如果安全管理员审核通过，则批准上线，如果安全管理员审核未通过，则维护人员需要重新加固，回退到“设备安全加固”，直到安全管理员审核通过；7、设备上线：在安全管理审批后，由维护人员为设备接上网线，设备上线完成；8、应用调试：EPSON维护人员和厂商在设备上进行应用系统的调试工作，此过程中会改变系统环境；应用调试结束后，应用系统厂商根据系统调试后的现状，输出《新设备系统配置列表》；9、加固复核补充：在应用调试结束后、应用系统割接之前，安全管理员、维护人员针对系统进行加固复核，发现不安全的配置并与应用系统无关的配置，由维护人员对设备进行补充加固，安全管理员指导确认，加固复核是一个可循环的进程，可根据情况进行多次加固复核补充；10、流程结束：项目确认流程结束，《设备安全入网确认单》归档至部门文档管理员，流程结束。5.3相关文档主机类：《HP-UX系统加固手册》《Solaris系统加固手册》《IBMAIX系统加固手册》《Linux系统加固手册》《Windows2000加固手册》网络设备类：《CiscoIOS加固手册》《CiscoCatOS加固手册》《华为设备加固手册》《Juniper设备加固手