信息安全管理制度 投標(biāo)方案（技術(shù)方案）

1信息安全管理制度投標(biāo)方案第一章信息安全管理制度 21.1.操作員安全管理制度 41.2.賬號的設(shè)置與管理 51.3.密碼與權(quán)限安全管理制度 61.4.數(shù)據(jù)信息安全管理制度 81.5.獨立域控服務(wù)器 第二章網(wǎng)絡(luò)傳輸安全管理制度 2.1.網(wǎng)絡(luò)安全 2.2.應(yīng)用安全 2.3.系統(tǒng)漏洞掃描與安全加固 第三章信息存儲安全管理 3.1.數(shù)據(jù)存儲 3.2.數(shù)據(jù)備份 3.3.終端隔離措施說明 3.4.數(shù)據(jù)防泄漏措施 3.5.建立文件保密制度 3.6.彌補系統(tǒng)漏洞 3.7.密切監(jiān)管重點崗位的核心數(shù)據(jù) 2第一章信息安全管理制度統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》,及上級信息管理部門的相關(guān)規(guī)信息安全管理，是指數(shù)據(jù)(包括但不限于委案信息，日常郵件，查詢資料，財務(wù)等信息)使用過程中傳輸、運行、計算機設(shè)備工作環(huán)境，禁止在計算機應(yīng)用環(huán)境中放置易燃、產(chǎn)區(qū)域(包括個人電腦、手機、相機、U盤、移動硬盤、光34負責(zé)一般賬號的生成和維護，負責(zé)故障恢復(fù)等管理及維護；相關(guān)負責(zé)人)應(yīng)及時注銷其賬號并生產(chǎn)新的系統(tǒng)管理員賬號。561、密碼設(shè)置應(yīng)具有安全性、保密性，不能使用簡單的數(shù)字。密碼是保護系統(tǒng)和數(shù)據(jù)安全的控制代碼，也是保護用戶自身權(quán)益的控制代碼，密碼分設(shè)為用戶密碼和操作密碼，用戶密碼是登陸系統(tǒng)時所設(shè)的密碼，操作密碼是進入各應(yīng)用系統(tǒng)的操作員密碼。密碼設(shè)置不應(yīng)是名字、生日，重復(fù)、順序、規(guī)律數(shù)字等容易猜測的數(shù)字和字符串；2、管理員密碼應(yīng)定期修改，間隔時間不得超過一個如發(fā)現(xiàn)或懷疑密碼遺失或泄漏應(yīng)立即修改，并在相應(yīng)登記簿記錄用戶名、修改時間、修改人等內(nèi)容。3、服務(wù)器、路由器等重要設(shè)備的超級用戶密碼由運行機構(gòu)負責(zé)人指定專人(不參與系統(tǒng)開發(fā)和維護的人員)設(shè)置和管理，并由密碼設(shè)置人員將密碼裝入密碼信封，在騎縫處加蓋個人名章或簽字后交給密碼管理人員存檔并登記(暫時放在經(jīng)理辦公室的保管箱中)。如遇特殊情況需要啟用封存的密碼，必須經(jīng)過經(jīng)理同意，由密碼使用人員向密碼管理人員索取，使用完畢后，須立即更改并封存，同時在“密碼管理登記簿”中登記。4、催收系統(tǒng)維護用戶的密碼只能一個人知道，每次更改密碼需要將密碼裝入密碼信封，有密碼保管員存檔保存。如遇特殊情況需要啟用封存的密碼，必須經(jīng)過經(jīng)理同意，由密碼使用人員向密碼管理人員索取，使用完畢后，須立即更782、催收錄音，監(jiān)控錄像儲存時間不得少于3年。的實施應(yīng)避開業(yè)務(wù)高峰期，避免對聯(lián)機業(yè)務(wù)運行造成影響。9設(shè)備送外維修，須經(jīng)設(shè)備管理機構(gòu)負責(zé)人批準。送修前，需將設(shè)備存儲介質(zhì)內(nèi)應(yīng)用軟件和數(shù)據(jù)等信息備份后刪除，并進行登記。對修復(fù)的設(shè)備，設(shè)備維修人員應(yīng)對設(shè)備進行驗收、病毒檢測和登記。8、管理部門應(yīng)對報廢設(shè)備中存有數(shù)據(jù)資料進行備份后清除，并妥善處理廢棄無用的資料和介質(zhì)，防止泄密。9、運行維護部門需指定專人負責(zé)計算機病毒的防范工作，建立本單位的計算機病毒防治管理制度，經(jīng)常進行計算機病毒檢查，發(fā)現(xiàn)病毒及時清除。10、用于生產(chǎn)計算機未經(jīng)有關(guān)部門允許不準私自安裝其它軟件。如工作需要必須使用其它軟件，需向部門負責(zé)人審批后，由相關(guān)技術(shù)人員安裝正規(guī)渠道軟件。1、權(quán)限管理集中、管理成本下降1.1、域環(huán)境，所有網(wǎng)絡(luò)資源，包括用戶，均是在域控制器上維護，便于集中管理。所有用戶只要登入到域，在域內(nèi)均能進行身份驗證，管理人員可以較好的管理計算機資源，管理網(wǎng)絡(luò)的成本大大降低。1.2、防止公司員工在客戶端隨意安裝軟件，能夠增強客戶端安全性、減少客戶端故障，降低維護成本。1.3、通過域管理可以有效的分發(fā)和指派軟件、補丁等，實現(xiàn)網(wǎng)絡(luò)內(nèi)的一起安裝，保證網(wǎng)絡(luò)內(nèi)軟件的統(tǒng)一性。1.4、配合ISA的話就可以根據(jù)用戶來確定可不可以上網(wǎng)。不然只能根據(jù)IP。2、安全性能加強、權(quán)限更加分明許某個人可以讀寫，但另一個人就不可以讀寫；哪一個文件只讓哪個人看；或者讓某些人可以看，但不可以刪2.3、安全性完全與活動目錄(ActiveDirectory)集成。不僅可在目錄中的每個對象上定義訪問控制，而且還可在每個對象的屬性上定義?；顒幽夸?ActiveDirectory)提供安全策略的存儲和應(yīng)用范圍。安全策略可包含帳戶信息：如域范圍內(nèi)的密碼限制或?qū)μ囟ㄓ蛸Y源的訪問權(quán)；通過組策略設(shè)置下發(fā)并執(zhí)行安全策略。3、賬戶漫游和文件夾重定向3.1、個人賬戶的工作文件及數(shù)據(jù)等可以存儲在服務(wù)器上，統(tǒng)一進行備份、管理，用戶的數(shù)據(jù)更加安全、有保障。當(dāng)客戶機故障時，只需使用其他客戶機安裝相應(yīng)軟件以用戶帳號登錄即可，用戶會發(fā)現(xiàn)自己的文件仍然在“原來的位置”(比如，我的文檔),沒有丟失，從而可以更快地進行故障修復(fù)。3.2、卷影副本技術(shù)可以讓用戶自行找回文件以前的版本或者誤刪除的文件(限保存過的32個版本)。在服務(wù)器離線時(故障或其他情況),“脫機文件夾”技術(shù)會自動讓用戶使用文件的本地緩存版本繼續(xù)工作，并在注銷或登錄系統(tǒng)時與服務(wù)器上的文件同步，保證用戶的工作不會被打斷。4、方便用戶使用各種共享資源4.1、可由管理員指派登錄腳本映射分布式文件系統(tǒng)根目錄，統(tǒng)一管理。用戶登錄后就可以像使用本地盤符一樣，使用網(wǎng)絡(luò)上的資源，且不需再次輸入密碼，用戶也只需記住一對用戶名/密碼即可。4.2、各種資源的訪問、讀取、修改權(quán)限均可設(shè)置，不同的賬戶可以有不同的訪問權(quán)限。即使資源位置改變，用戶也不需任何操作，只需管理員修改鏈接指向并設(shè)置相關(guān)權(quán)限即(如WindowsUpdates),不需每臺客戶端服務(wù)器都下載同樣Directory用戶和計算機”上的“搜索”命令，通過對象屬劃中增加新的對象類，或者給現(xiàn)有的對象類增加新的屬性。計劃包括可以存儲在目錄中的每一個對象類的定義和對象第二章網(wǎng)絡(luò)傳輸安全管理制度網(wǎng)絡(luò)安全，信息中心將立即停止該用戶使用公司網(wǎng)絡(luò)，待其計算機系統(tǒng)安全之后方予開通。第五條、嚴禁利用公司網(wǎng)絡(luò)私自對外提供互聯(lián)網(wǎng)絡(luò)接入第六條、對網(wǎng)絡(luò)病毒或其他原因影響整體網(wǎng)絡(luò)安全的子網(wǎng)，信息中心對其提供指導(dǎo)，必要時可以中斷其與骨干網(wǎng)的連接，待子網(wǎng)恢復(fù)正常后再恢復(fù)連接。1、生產(chǎn)和作業(yè)網(wǎng)絡(luò)均部署單獨VLAN并部署相關(guān)防火墻策略且斷開和互聯(lián)網(wǎng)的連接。2、存放服務(wù)商敏感數(shù)據(jù)均部署單獨VLAN并部署相關(guān)防火墻策略且斷開和互聯(lián)網(wǎng)的連接，防止數(shù)據(jù)外泄。3、已通過防火墻策略關(guān)閉所有外部開放端口，只開放生產(chǎn)必須端口。對各網(wǎng)絡(luò)和硬件設(shè)備進行監(jiān)控和監(jiān)聽，并按時對機房物理設(shè)定期自動更新病毒庫和制定查殺策略。2、購買并部署殺毒軟件同時部署相關(guān)策略。3、針對敏感數(shù)據(jù)終端設(shè)備，封鎖必要的網(wǎng)絡(luò)傳輸端口，禁止安裝傳輸軟件。1、身份鑒別要求：操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份鑒別信息應(yīng)具有不易被冒用的特點，口令應(yīng)有復(fù)雜度要求并定期更換。目的：設(shè)置有效的密碼策略，防止攻擊者破解出密碼?！疚恢谩块_始—管理工具—本地安全策略—帳戶策略—密碼策略，加固設(shè)置為下圖所示：安全設(shè)置密碼必須符合復(fù)雜性要求已啟用密碼長度最小值密碼最短使用期限密碼最長使用期限強制密碼歷史8個字符5個記住的密碼用可還原的加密來儲存密碼已禁用要求：應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施。目的：遭遇密碼破解時，暫時鎖定帳號，降低密碼被猜解【位置】開始—管理工具—本地安全策略—帳戶策略—帳號鎖定策略，加固后如下圖所示：帳戶鎖定時間10分鐘機配置，右鍵“RDP-Tcp”,選擇“屬性”—“常規(guī)”,加固備注@):加密級別@):客戶端兼容根據(jù)客戶端支持的最長密鑰長度，所有在客送的數(shù)據(jù)都受加密保護。選擇C)默認值()安全環(huán)境取消2、訪問控制要求：應(yīng)啟用訪問控制功能，依據(jù)安全策略控制用戶對資目的：如果沒有關(guān)閉系統(tǒng)默認共享，攻擊者通過IPC$方對系統(tǒng)的硬盤進行訪問【位置】開始—管理工具一共享和存儲管理，記錄當(dāng)前配置，共享名協(xié)議本地路徑右鍵依次點擊C$、D$、ADMIN$,停止共享，加固后如下圖所 共享名協(xié)議本地路徑配額文件屏蔽|卷影副體|可用空間 個鍵，類型為DWORD(32位),值為0,如下圖所示：類型數(shù)據(jù)AdjustedNullSessionPi怨EnableAuthenticateUserSharing盟Guid器requiresecuritysinature解restrictnullsessaccessSystenRoot%\system32\s要求：應(yīng)根據(jù)管理用戶的角色分配權(quán)限，實現(xiàn)管理用戶的權(quán)限分離，僅授予管理用戶所需的最小權(quán)限。目的：如果系統(tǒng)沒有對帳號進行嚴格的權(quán)限分配，則黑客可以利用低權(quán)限的帳號登陸終端，甚至關(guān)閉系統(tǒng)?！疚恢谩块_始—管理工具—本地安全策略—本地策略—用戶關(guān)訊系統(tǒng)屬性關(guān)訊系統(tǒng)屬性只保留Administrators組、其它全部刪除“允許通過遠程桌面服務(wù)登錄”,記錄當(dāng)前配置，默認如下允許通過遠程桌面服務(wù)登錄屬性允許通過遠程桌面服務(wù)登錄屬性只保留Administrators組、其它全部刪除。2.3、禁止未登錄前關(guān)機目的：禁止系統(tǒng)在未登錄前關(guān)機，防止非法用戶隨意關(guān)閉【位置】開始—管理工具一本地安全策略—本地策略—安全選項—“關(guān)機：允許系統(tǒng)在未登錄的情況下關(guān)閉”,默認如關(guān)機：允許系統(tǒng)在未登錄的情況下關(guān)閉屬性關(guān)機：允許系統(tǒng)在未登錄的情況下關(guān)閉屬性◎已禁用(S)要求：應(yīng)嚴格限制默認帳戶的訪問權(quán)限，重命名系統(tǒng)默認帳戶，修改這些帳戶的默認口令。目的：修改默認帳號，防止攻擊者破解密碼?！疚恢谩块_始—管理工具一計算機管理—系統(tǒng)工具一本地用戶和組一用戶，可修改成下圖所示：名稱要求：應(yīng)及時刪除多余的、過期的帳戶，避免共享帳戶的目的：刪除或禁用臨時、過期及可疑的帳號，防止被非法【位置】開始—管理工具一計算機管理—系統(tǒng)工具一本地用戶和組一用戶，詢問管理員每個帳號的用途，確認多余的帳號，然后右鍵點擊“刪除”或“禁用”?？墒褂胣et戶名命令查看該用戶的詳細信息，如下所示：全管理計算機(域)的內(nèi)置帳戶用戶的注釋國家/地區(qū)代碼能戶啟用密碼改以笑吸岔碼允許的工作站登錄腳本用戶配置文件上次登錄可允許的登錄小時數(shù)本地組成員集局組成員命令成功完成。008(系統(tǒng)默認值)從不次碼碼要戶上密密需用戶名釋3、安全審計審計范圍應(yīng)覆蓋到服務(wù)器和重要客戶端上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；審計內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件；審計記錄應(yīng)包括事件的日期、時間、類型、主體標(biāo)識、客體標(biāo)識和結(jié)果等；應(yīng)能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審應(yīng)保護審計進程，避免受到未預(yù)期的中斷；應(yīng)保護審計記錄，避免受到未預(yù)期的刪除、修改或覆蓋等?？梢圆榭聪到y(tǒng)日志文件，排除故障、追查入侵者的信息等。審核目錄服務(wù)訪問失敗審核帳戶登錄事件成功，失敗審核帳戶管理成功，失敗日志屬性-應(yīng)用程序(類型：管理的)訂閱訂閱%SystemRoot%\System32\Winevt\Logs2014年8月5日11:03:142017年2月26日18:06:092014年8月5日11:03:14?啟用日志記錄(E選項“交互式登錄：不顯示最后的用戶名”,默認如下圖所示：選擇“已啟用”要求：應(yīng)確保系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前得到完全清目的：及時清理存放在系統(tǒng)中的用戶鑒別信息，防止信息外泄，被黑客利用【位置】開始—管理工具一本地安全策略—本地策略—安全選項—關(guān)機：清除虛擬內(nèi)存頁面文件，設(shè)定如下所示：機：清除虛擬內(nèi)存頁面文件屬性機：清除虛擬內(nèi)存頁面文件屬性本地安全設(shè)置說明關(guān)機：清除虛擬內(nèi)存頁面文件啟用4.3、關(guān)閉調(diào)試信息啟動和故障恢復(fù)啟動和故障恢復(fù)?在需要時顯示恢復(fù)選項的時間):5秒?將事件寫入系統(tǒng)日志()□自動重新啟動(R)寫入調(diào)試信息?覆蓋任何現(xiàn)有文件@)5、入侵防范目的：卸載WScript.Shell,態(tài)：停止)務(wù)狀態(tài)：停止)服務(wù)狀服停止)(主題管理第三章信息存儲安全管理3、項目所有傳輸和存儲數(shù)據(jù)