网络设备在新设备入网前,必须与现网网络设备进行严格的互通性测试,由新入网设备厂家提供测试报告及测试案例,确保新设备符合相关设备的技术要求。任何设备接入到数据中心网络前必须做好详细的割接实施方案和集成方案,方案必须经过严格的审核。方案中应对实施的风险进行预测并采取相关措施降低风险程度。网络设备必须采用经过厂家测试并正式发布的、性能稳定可靠的内核软件和操作系统软件版本;所采用的硬件和软件产品本身应具备一定的安全功能。
数据机房网络设备原则上设置不少于两台核心设备,并保证核心设备间直连。每台非核心网络设备通过双或多链路上联核心设备,防止单链路失效导致设备脱网。双或多上联链路原则上从本设备的不同板卡引出,连接到不同核心设备或同一核心设备的不同板卡。必须关闭网络设备未使用的物理端口。定期拨测检查带外网管通道,保证其通畅性,如果开展IDC业务,需要了解数据中心运行维护。
数据中心网络设备维护单位应定期查看 IP 网络安全站点的安全公告,跟踪和研究各种 IP 网络安全漏洞和攻击手段,跟踪主机系统使用的操作系统、应用系统最新版本和安全补丁程序的发布情况,以便及时制定相应的对策,做好安全防护工作。当出现由安全问题引起的重大故障时,应及时上报。
数据中心网络设备维护人员负责防火墙系统的日常维护工作,并根据网络安全访问控制策略拟定相应的防火墙安全控制准则,并对安全控制准则和访问控制策略的一致性进行校验。如发现客户设备因病毒、攻击或其他原因出现危及网络安全,危及其他客户正常使用的情况,数据中心维护人员应立即通知业务部门,同时积极配合客户协商处理办法。
网络设备应开启路由器、以太网交换机日志功能,同时必须保证日志功能对设备性能的影响较小。应针对路由器、交换机配置 AAA 功能。关闭路由器、以太网交换机、服务器上不必要的服务。发现安全漏洞时,应采取必要的防护措施,并及时升级软件版本或安装补丁。
病毒防护和账号口令的管理按照安全管理的相关要求执行。应对网络设备进行周期性安全审计和评估,形成评估报告,对评估报告中发现的安全隐患,应采取措施予以消除,同时做好相关资料的存档。
