58系統(tǒng)安全管理辦法

1、系統(tǒng)安全管理辦法版本編號修訂日期主要修訂摘要修訂記錄審核人員屬于部門審核日期審核記錄第一章總則第一條為規(guī)范公司系統(tǒng)的技術管理和維護工作，確保系統(tǒng)安全運轉(zhuǎn)和系統(tǒng)運行管理的及時、高效,規(guī)系統(tǒng)操作，加強內(nèi)部控制，最大程度地防范技術操作風險，特制定本管理辦法。第二條本管理辦法適用于公司信息屮心對信息系統(tǒng)的安全管理。第二章系統(tǒng)安全管理第三條禁用不必要的服務，盡量將系統(tǒng)屮不用的服務、尤其是一些暫時不用的網(wǎng)絡服務關閉，從而使系統(tǒng)遭受攻擊的可能性降至最低。第四條系統(tǒng)遵循最小權限原則，系統(tǒng)只能授予應用程序和用戶必要的權限，而不能授予額外的權限。第五條服務器需安裝軟件防火墻，由公司信息中心統(tǒng)一部署，病毒庫統(tǒng)一升級

2、。第六條對于重要的數(shù)據(jù)進行加密。第七條安全性能評估，對于安全產(chǎn)品應選用經(jīng)過國內(nèi)、國外權威第三方認證的安全產(chǎn)品，系統(tǒng)管理員應隨吋保持警惕以預防攻擊爭件的發(fā)生或者將攻擊的危害降至最低。第八條對系統(tǒng)漏洞情況每年至少進行一次掃描，對漏洞風險持續(xù)跟蹤，在經(jīng)過充分的驗證測試后對必要的漏洞開展修補工作，實施漏洞掃描或漏洞修補前，對可能的風險進 行評估和充分準備，選擇恰當吋間，并做好數(shù)據(jù)備份和回退方案，漏洞掃描或漏洞修補后應 進行驗證測試，以保證系統(tǒng)的正常運行，掃描后記錄掃描情況，填寫系統(tǒng)安全掃描情況記 錄表（附錄1）。第九條持續(xù)跟蹤廠商提供的系統(tǒng)升級更新情況，應在經(jīng)過充分的測試評估后對必要的補丁進行及時更新

3、，填寫系統(tǒng)與網(wǎng)絡設備補丁分析評估表（附錄2）,在安裝系統(tǒng)補 丁前對現(xiàn)有的重要文件進行備份，并對備份情況和系統(tǒng)升級情況進行記錄，填寫系統(tǒng)及網(wǎng) 絡設備升級記錄表（附錄3）。第十條至少每月對運行日志和審計數(shù)據(jù)進行分析0第三章系統(tǒng)訪問控制要求第十一條 用戶或者應用程序訪問系統(tǒng)資源時要求系統(tǒng)管理員通過設置必要的選項 完成以下功能：1. 提供適當?shù)纳矸蒡炞C方法。2. 識別和驗證身份。3. 記錄成功和失敗的系統(tǒng)訪問（日志信息）。4. 根據(jù)情況限制用戶連接時間。第十二條登錄程序應最大限度地減少公開的信息，以避免非法用戶使用。登錄程序 應：1. 在登錄過程未成功z前禁止顯示系統(tǒng)或應用的標識。2. 顯示一般性注意

4、事項。提醒用戶只有合法用戶才能訪問計算機。3. 登錄期間禁止提供幫助消息。4. 只有所有輸入數(shù)據(jù)完成后才能驗證登錄信息。5. 應限制允許登錄的失敗次數(shù)為3次。6. 限制登錄程序允許的時間上限和下限。如杲超過限制，則系統(tǒng)必須終止登錄過程。7. 成功登錄后，宜顯示以下信息：1）以前成功登錄的日期和時間。2）上次成功登錄以來登錄失敗的詳細情況。第十三條 登錄超時要求1. 當系統(tǒng)超時未激活時，應能夠自動鎖住系統(tǒng)，防止非法訪問，但不宜關閉應用或 網(wǎng)絡會話。2. 超時的時間設置取決于連接系統(tǒng)的重要程度、終端風險暴露程度以及終端上信息 的業(yè)務價值。第四章用戶賬號安全第十四條 用戶身份識別和驗證1. 信息系統(tǒng)

5、所有用戶都應擁有個人專用的唯一標識符（用戶id）以便操作能夠追溯 到具體責任人。但是在認證和授權體系沒有建立之前，特定操作系統(tǒng)內(nèi)所有的用 戶必須有一個唯一的id,并且該id名稱不能讓人猜測到該用戶的權限級別，如 管理員、主管等。2. 對于每一個申請使用系統(tǒng)的用戶，應要求填寫系統(tǒng)賬號申請表（附錄4）,并 在表格中包含公司的密碼安全政策規(guī)范，明確違反該規(guī)范的后果和責任，同時要 求用戶簽名以產(chǎn)生法律效力，并在系統(tǒng)賬戶登記表進行登記。3. 對于用戶身份的驗證，宜采用多種身份驗證程序來加以證實?？诹钍且环N很常見 的身份識別和驗證方法。采用加密方法和身份驗證協(xié)議也可達到同樣的效果。也 可使用用戶的內(nèi)存標記

6、或智能卡等進行身份識別和驗證。也可使用基于個人唯一 特點或特性的生物統(tǒng)計學身份驗證技術來驗證用戶身份。將安全技術和安全機制 結合起來可進行更為嚴格的身份驗證。第十五條用戶賬號過期1. 設置用戶賬號的有效有效期為一年。2. 當某一個用戶賬號過期時，系統(tǒng)維修檢查確認該用戶賬號所對應的員工是否還留 在公司，如果不是則將該賬號自動刪除，否則繼續(xù)激活該用戶賬號。3. 如果用戶賬號過期了但是用戶無法聯(lián)系到，先將其用戶賬號鎖住，等用戶冋來以 后按需要激活。第十六條 guest賬號1. 應禁止長期保留guest賬號。2. 當系統(tǒng)安裝完成后必須視情況禁用guest賬號，當用戶確實需要guest賬號進行 臨時的訪

7、問時，才可將guest賬號激活。3. 應確保guest賬號的口令安全。第十七條所有操作系統(tǒng)應禁止使用無口令的用戶賬號。第十八條除非有特殊的要求，不應有多個用戶共享一個用戶id和口令，而應使用用戶組的概念來代替。第十九條用戶賬號安全其它事項1. 用戶賬號重命名，也就是對默認的賬號重命名。包括ddministrstor、guest以 及其它一些在安裝統(tǒng)計時（如iss）自動建立的賬號。2. 建立偽管理員賬號，如在系統(tǒng)中建立用戶名為“administrator”的用戶，并設 定一個難以推測的口令，但是不賦予其真正的管理員權限。第七章文件系統(tǒng)安全第二十條 文件系統(tǒng)的安全是指系統(tǒng)中所有文件的安全，包括所有

8、操作系統(tǒng)管理的 設備資源的安全問題，例如打印機。文件系統(tǒng)的安全是系統(tǒng)安全的最后防線，主要通過兩種 方式實現(xiàn)文件系統(tǒng)安全。1. 通過文件系統(tǒng)權限控制文件被惡意地址訪問或者在任何未經(jīng)適當授權的情況下 被訪問。2. 通過對文件進行適當?shù)丶用軐崿F(xiàn)。第八章附則第二十一條 本管理辦法由信息屮心負責解釋。第二十二條 本管理辦法自發(fā)布之日起執(zhí)行。附錄1:系統(tǒng)安全掃描情況記錄表系統(tǒng)安全掃描情況匯總表編號：日期:提交人掃描日期掃描情況概述設備名稱多開端口漏洞情況主要隱患說明緊急風險高風險中風險低風險加固建議附錄2：系統(tǒng)與網(wǎng)絡設備補丁分析評估表系統(tǒng)和網(wǎng)絡設備補丁分析評估表編號：填表人:日期：補丁描述及 可能影響測試

9、服務列 表補丁分析補丁安裝測試跟蹤測試情 況補丁安裝 計劃緊急 危險 不危險 不適 用說明：o機器重啟正常o漏洞已修改o業(yè)務系統(tǒng)正常o冋退測試緊急 危險 不危險 不適 用說明：o機器重啟正常o漏洞已修改o業(yè)務系統(tǒng)正常o回退測試緊急 危險 不危險 不適 m說明：o機器重啟正常o漏洞已修改o業(yè)務系統(tǒng)正常o回退測試領導審批意見：簽字：附件3：系統(tǒng)及網(wǎng)絡設備升級記錄表系統(tǒng)及網(wǎng)絡設備升級記錄表編號：填表人：日期:審批編 號補丁完整性、安 全性校驗設備列 表數(shù)據(jù)備份具體升 級時間驗證檢查操作員復核跟蹤監(jiān)控（簽字 并注明時間）o已 備份o機器 重啟正常o漏洞 已修改o業(yè)務 系統(tǒng)正常o已 備份o機器 重啟正常o漏洞 已修改o業(yè)務 系統(tǒng)正常o已 備份o機器 重啟正常o漏洞 己修改o業(yè)務 系統(tǒng)正常o已 備份o機器 重啟正常o漏洞 已修改o業(yè)務 系統(tǒng)止常o已 備份o機器 重啟正常o漏洞 已修改o業(yè)務 系統(tǒng)正常附件4：系統(tǒng)賬號申請表系統(tǒng)帳號申請表編號：時間：中請人所屬公司/部門聯(lián)系電話工號中請時間（年月日）中請人職位描述帳號中請目的帳號所屬業(yè)務網(wǎng)名稱變更類型