數(shù)據(jù)安全管理辦法

數(shù)據(jù)安全管理方法文獻(xiàn)編碼AQ2G-04-S003版本V1.0文獻(xiàn)層級(jí)一階□二階■三階文獻(xiàn)類別■體系文獻(xiàn)□技術(shù)文獻(xiàn)編制部門IT部機(jī)密等級(jí)□內(nèi)文□秘密■機(jī)密□絕密編制人文獻(xiàn)類別■通用□項(xiàng)目審核編制日期審批生效日期總頁數(shù)分發(fā)編號(hào)文獻(xiàn)公布蓋章

文獻(xiàn)制/修訂統(tǒng)計(jì)頁碼章節(jié)制/修訂統(tǒng)計(jì)版本修訂人修訂日期備注修訂前修訂后全部全部初次制訂V1.0楊大偉-9-11總則作為高科技型公司，公司有大量的業(yè)務(wù)服務(wù)器，分別布署在公司自有機(jī)房和外部IDC機(jī)房，承當(dāng)著業(yè)務(wù)支撐、后臺(tái)運(yùn)行、內(nèi)部管理等重要功效。為確保服務(wù)器的安全可靠運(yùn)行，規(guī)范服務(wù)器的管理和維護(hù)，特制訂本規(guī)定。2服務(wù)器管理2.1系統(tǒng)管理員要明確各自服務(wù)器的用途、應(yīng)用范疇及使用對象，并對整個(gè)系統(tǒng)資源進(jìn)行合理的規(guī)劃。2.2系統(tǒng)管理員應(yīng)恪守服務(wù)器安裝工作流程，從系統(tǒng)劃分、安全設(shè)立等方面規(guī)范管理工作。2.3系統(tǒng)管理員負(fù)責(zé)各自服務(wù)器的日常管理和維護(hù)，重要有：帳戶管理、網(wǎng)絡(luò)管理、安全管理、數(shù)據(jù)庫管理、運(yùn)行狀態(tài)監(jiān)控、資源占用狀況統(tǒng)計(jì)等，合理地分派系統(tǒng)資源，確保服務(wù)器的可靠運(yùn)行。2.4為確保系統(tǒng)安全性、可靠性，及數(shù)據(jù)的一致性和完整性，必須對系統(tǒng)進(jìn)行備份工作。管理員根據(jù)各自服務(wù)器的狀況，制訂出對應(yīng)的備份及恢復(fù)方略，定時(shí)進(jìn)行備份。2.5系統(tǒng)管理員要進(jìn)一步理解系統(tǒng)的工作原理，制訂應(yīng)急預(yù)案。在系統(tǒng)出現(xiàn)普通性故障時(shí)，能快速解決。出現(xiàn)重大故障時(shí)，能夠最大程度減少故障影響，快速恢復(fù)。2.6系統(tǒng)管理員對負(fù)責(zé)的服務(wù)器應(yīng)提供具體的技術(shù)文檔，涉及系統(tǒng)安裝、軟件安裝、開關(guān)機(jī)環(huán)節(jié)、維護(hù)手冊、安全方略、參數(shù)設(shè)立等重要信息。2.7應(yīng)加強(qiáng)系統(tǒng)安全的管理和研究，提高系統(tǒng)的安全性。有可靠的殺毒軟件和防火墻，對端口進(jìn)行實(shí)時(shí)監(jiān)控，避免外部攻擊。2.8系統(tǒng)管理員必須建立系統(tǒng)維護(hù)檔案，具體統(tǒng)計(jì)服務(wù)器的維護(hù)和故障狀況。如：1）服務(wù)器故障統(tǒng)計(jì)：發(fā)生時(shí)間，故障描述，因素分析，解決方案，改善方法；2）建立“任務(wù)申請表”制度，使管理工作有案可查、有章可尋；3）系統(tǒng)的備份日期、內(nèi)容、類別、操作者等；4）系統(tǒng)及軟件的安裝或版本升級(jí)，要有時(shí)間和內(nèi)容的具體統(tǒng)計(jì)；2.9系統(tǒng)管理員必須定時(shí)更改服務(wù)器帳號(hào)，特別是超級(jí)顧客的管理密碼，建議每月更新一次。2.10建立完善的系統(tǒng)監(jiān)控手段，設(shè)立預(yù)警閥值，將故障隱患消亡在萌芽中。2.11定時(shí)對服務(wù)器進(jìn)行巡檢，及時(shí)發(fā)現(xiàn)可能存在的問題，預(yù)先采用解決方法，避免故障發(fā)生。3服務(wù)器安裝規(guī)范3.1服務(wù)器接受：檢查外包裝，對照清單與否與預(yù)定的配備相符。3.2開箱檢查：檢查配備與否符合裝箱單以及與否符合預(yù)定規(guī)定。符合則填寫設(shè)備接受清單表，同時(shí)填寫設(shè)備登記單，并將保修單送交管理員。如有問題，應(yīng)告知負(fù)責(zé)人作進(jìn)一步解決。3.3擬定操作系統(tǒng)安裝方案。根據(jù)用途，擬定安裝的操作系統(tǒng)及軟件，明確硬盤分區(qū)，填寫服務(wù)器安裝單。3.4安裝操作系統(tǒng)：根據(jù)安裝方案安裝服務(wù)器操作系統(tǒng)，確保全部必需的組件全部對的安裝。安裝后來要進(jìn)行逐項(xiàng)檢查，填寫安裝報(bào)告。3.5安全檢查：做好服務(wù)器的各項(xiàng)安全配備，涉及殺毒軟件和軟件防火墻的配備。配備完畢后，逐項(xiàng)檢查服務(wù)器的安全性，Windows操作系統(tǒng)的安全檢查項(xiàng)參見附表4。Linux操作系統(tǒng)的安全檢查項(xiàng)參見附表5。3.6服務(wù)器上架：進(jìn)入機(jī)房，將服務(wù)器固定在預(yù)定位置，確保服務(wù)器安裝牢固，供電正常，外部連接線全部連接正常。3.7開機(jī)運(yùn)行：開機(jī)后檢查系統(tǒng)啟動(dòng)與否正常，業(yè)務(wù)程序和各項(xiàng)服務(wù)與否啟動(dòng)正常，網(wǎng)絡(luò)連接與否正常，安全機(jī)制與否運(yùn)行正常，監(jiān)控系統(tǒng)與否運(yùn)行正常等。3.8設(shè)備驗(yàn)收：由業(yè)務(wù)部門、運(yùn)維部和IT部共同對服務(wù)器進(jìn)行驗(yàn)收，規(guī)定必須滿足業(yè)務(wù)部門使用需求，并填寫設(shè)備驗(yàn)收報(bào)告。3.9文獻(xiàn)歸檔：全部安裝文檔由系統(tǒng)管理員妥善保管，建立設(shè)備檔案。3.10為確保工作的有序進(jìn)行，每項(xiàng)工作完畢后由負(fù)責(zé)人簽字，流程按附表1進(jìn)行。附表1服務(wù)器安裝工作流程表編號(hào)：UI-39-接受配備及型號(hào)外觀檢查日期接受人開箱保修單接受日期完畢設(shè)備登記單?是/否日期接受日期負(fù)責(zé)人簽字備注安裝方案系統(tǒng)管理員簽字提交方案日期備注安裝接受方案簽字日期安全檢查意見：簽字：日期：正式運(yùn)行闡明：簽字：日期附表2設(shè)備接受清單編號(hào)：UI-40-設(shè)備名稱用途配備主機(jī)編號(hào)保修單產(chǎn)品清單設(shè)備箱數(shù)資料（書籍、光盤）產(chǎn)品編號(hào)類型名稱配件備注接受人簽字日期：附表3：服務(wù)器安裝備案表編號(hào)：UI-41-配備主機(jī)名IP地址操作系統(tǒng)系統(tǒng)分區(qū)分區(qū)途徑設(shè)備名大小備注（文獻(xiàn)系統(tǒng)類型）應(yīng)用應(yīng)用類別軟件名稱版本途徑服務(wù)端口帳號(hào)密碼帳號(hào)密碼（初始設(shè)立）用途(如有數(shù)據(jù)庫顧客，請標(biāo)明)補(bǔ)丁程序串口配備完畢：是否鍵盤設(shè)立完畢：是否安全配備安裝SSH停止無用的服務(wù)將日志達(dá)成日志服務(wù)器數(shù)據(jù)庫有數(shù)據(jù)庫應(yīng)用則應(yīng)在本欄闡明表空間劃分，其它各項(xiàng)目填在以上各欄中安裝備注涉及有爭議的問題備案、RAID配備闡明等安裝人簽字：日期：完畢日期系統(tǒng)管理員簽字附表4：Windows系統(tǒng)安全檢查列表編號(hào)：UI-42-服務(wù)器名IP地址用途檢查項(xiàng)目與否配備備注安裝前和安裝中與否將全部的磁盤分區(qū)都格式化為NTFS分區(qū)與否只安裝了必要的組件與否安裝了最新的Win2k補(bǔ)丁與否安裝了IE5.01SP2，IE5.5SP2或直接安裝IE6與否安裝了IISSecurityRollupPackage安裝后與否禁用了guest帳號(hào)與否刪除或禁用了不必要的帳號(hào)與否重命名了administrator帳號(hào)與否對的設(shè)立了文獻(xiàn)共享administrator帳號(hào)的密碼與否滿足“強(qiáng)健性”規(guī)定：administrator的口令最少有9位長，并且在前7位中最少涉及一種標(biāo)點(diǎn)符號(hào)或非打印字符與否安裝并運(yùn)行了防病毒軟件與否嚴(yán)禁了對注冊表的匿名訪問與否嚴(yán)禁了對公共的LSA（LocalSecurityAuthority）信息的匿名訪問與否禁用了不必要的服務(wù)與否建立了一定的審核方略與否已經(jīng)設(shè)立在登陸界面中不顯示最后登錄的顧客名與否使用Windows提供的安全配備和分析工具，對系統(tǒng)進(jìn)行了安全分析管理員簽字日期附表5：Linux安全檢查列表編號(hào)：UI-44-服務(wù)器名IP地址用途檢查項(xiàng)闡明基本網(wǎng)絡(luò)服務(wù)補(bǔ)丁/etc/inetd.confTcp_wapperFingerd“r-”命令/etc/services/etc/host.lpd顧客缺省環(huán)境的設(shè)立Cron安全終端文獻(xiàn)RPCNFS其它文獻(xiàn)系統(tǒng)安全清查系統(tǒng)中的.exec檢查顧客目錄中的.forward文獻(xiàn)清查系統(tǒng)中的.rhost和.rhost.equiv文獻(xiàn)檢查PATH環(huán)境變量檢查/etc/fstab文獻(xiàn)檢查系統(tǒng)和顧客的umask，將之設(shè)立為022設(shè)立/var/log/utmp*和/var/log/wtmp*的權(quán)限設(shè)立/etc/motd的權(quán)限設(shè)立/etc/syslog.pid的權(quán)限去除普通顧客對啟動(dòng)腳本的讀權(quán)限將/var/log下的日志文獻(xiàn)的權(quán)限設(shè)為600將/etc，/usr/etc，/bin，/usr/bin，/sbin，/usr/sbin的屬主設(shè)立為root設(shè)立/tmp目錄的權(quán)限清查系統(tǒng)中與否有g(shù)roup或世界可寫的文獻(xiàn)及目錄清查系統(tǒng)中的suid和sgid文獻(xiàn)檢查/dev中與否有非特殊文獻(xiàn)，清查/de