信息安全管理制度投標(biāo)方案（技術(shù)方案）

信息安全管理制度投標(biāo)方案

目錄

第一章信息安全管理制度...........................2

1.1.操作員安全管理制度.........................4

1.2.賬號(hào)的設(shè)置與管理...........................5

1.3.密碼與權(quán)限安全管理制度...................6

1.4.數(shù)據(jù)信息安全管理制度.......................8

1.5.獨(dú)立域控服務(wù)器...........................10

第二章網(wǎng)絡(luò)傳輸安全管理制度.....................13

2.1.網(wǎng)絡(luò)安全.................................15

2.2.應(yīng)用安全.................................16

2.3.系統(tǒng)漏洞掃描與安全加固...................17

第三章信息存儲(chǔ)安全管理.........................30

3.1.數(shù)據(jù)存儲(chǔ).................................30

3.2.數(shù)據(jù)備份.................................31

3.3.終端隔離措施說(shuō)明.........................32

3.4.數(shù)據(jù)防泄漏措施...........................33

3.5.建立文件保密制度.........................34

3.6.彌補(bǔ)系統(tǒng)漏洞.............................36

3.7.密切監(jiān)管重點(diǎn)崗位的核心數(shù)據(jù)...............37

1

第一章信息安全管理制度

為加強(qiáng)公司各信息系統(tǒng)管理，保證信息系統(tǒng)安全，根據(jù)

《中華人民共和國(guó)保守國(guó)家秘密法》和國(guó)家保密局《計(jì)算機(jī)

信息系統(tǒng)保密管理暫行規(guī)定》、國(guó)家保密局《計(jì)算機(jī)信息系

統(tǒng)國(guó)際聯(lián)網(wǎng)保密管理規(guī)定》,及上級(jí)信息管理部門(mén)的相關(guān)規(guī)

定和要求，結(jié)合公司實(shí)際，制定本制度。

信息安全管理，是指數(shù)據(jù)(包括但不限于委案信息，日

常郵件，查詢(xún)資料，財(cái)務(wù)等信息)使用過(guò)程中傳輸、運(yùn)行、

維護(hù)、廢止等操作安全的系列管理活動(dòng)。

第一條、計(jì)算機(jī)的使用部門(mén)要保持清潔、安全、良好的

計(jì)算機(jī)設(shè)備工作環(huán)境，禁止在計(jì)算機(jī)應(yīng)用環(huán)境中放置易燃、

易爆、強(qiáng)腐蝕、強(qiáng)磁性等有害計(jì)算機(jī)設(shè)備安全的物品。

第二條、非本單位技術(shù)人員對(duì)我單位的設(shè)備、系統(tǒng)等進(jìn)

行維修、維護(hù)時(shí)，必須由本單位相關(guān)技術(shù)人員現(xiàn)場(chǎng)全程監(jiān)督。

計(jì)算機(jī)設(shè)備送外維修，須經(jīng)有關(guān)部門(mén)負(fù)責(zé)人批準(zhǔn)。

第三條、嚴(yán)格遵守計(jì)算機(jī)設(shè)備使用、開(kāi)機(jī)、關(guān)機(jī)等安全

操作規(guī)程和正確的使用方法。任何人不允許帶電插撥計(jì)算機(jī)

外部設(shè)備接口，計(jì)算機(jī)出現(xiàn)故障時(shí)應(yīng)及時(shí)向電腦負(fù)責(zé)部門(mén)報(bào)

告，不允許私自處理或找非本單位技術(shù)人員進(jìn)行維修及操作。

第四條、未經(jīng)批準(zhǔn)禁止攜帶非公司電子設(shè)備進(jìn)入公司生

產(chǎn)區(qū)域(包括個(gè)人電腦、手機(jī)、相機(jī)、U盤(pán)、移動(dòng)硬盤(pán)、光

碟等帶入公司，以防止公司網(wǎng)絡(luò)感染病毒及數(shù)據(jù)外泄。公司

2

設(shè)備需由專(zhuān)人管理并定期盤(pán)點(diǎn)。

第五條、員工不得在互聯(lián)網(wǎng)上以任何形式張貼涉及公司

的保密或者敏感信息，如發(fā)現(xiàn)，公司保留追究其法律責(zé)任的

權(quán)利。

第六條、員工在工作過(guò)程中未經(jīng)批準(zhǔn)不能通過(guò)個(gè)人電話(huà)、

微信、QQ等通訊工具進(jìn)行催收及聯(lián)系客戶(hù)。

第七條、公司內(nèi)部設(shè)立信息安全專(zhuān)項(xiàng)小組，各部門(mén)選舉

安全專(zhuān)員負(fù)責(zé)監(jiān)督、落實(shí)安全制度，定期開(kāi)展安全培訓(xùn)加強(qiáng)

員工信息安全意識(shí)。

3

1.1.操作員安全管理制度

1、操作賬號(hào)是進(jìn)入各類(lèi)應(yīng)用系統(tǒng)進(jìn)行業(yè)務(wù)操作、分級(jí)

對(duì)數(shù)據(jù)存取進(jìn)行控制的唯一憑證。賬號(hào)等級(jí)分為系統(tǒng)管理員

賬號(hào)、二級(jí)管理員賬號(hào)及普通用戶(hù)賬號(hào)。

2、系統(tǒng)管理員賬號(hào)授權(quán)二級(jí)管理員賬號(hào)相應(yīng)管理權(quán)限，

二級(jí)管理員根據(jù)普通用戶(hù)崗位需求不同授予相應(yīng)的技能權(quán)

限組。

3、系統(tǒng)管理員賬號(hào)必須經(jīng)過(guò)經(jīng)營(yíng)管理者授權(quán)取得；

4、系統(tǒng)管理員負(fù)責(zé)各項(xiàng)應(yīng)用系統(tǒng)的環(huán)境生成、維護(hù)，

負(fù)責(zé)一般賬號(hào)的生成和維護(hù)，負(fù)責(zé)故障恢復(fù)等管理及維護(hù)；

5、系統(tǒng)管理員對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行數(shù)據(jù)整理、故障恢復(fù)等

操作，必須有其上級(jí)授權(quán)；

6、系統(tǒng)管理員不得使用他人密碼進(jìn)行業(yè)務(wù)操作；

7、系統(tǒng)管理員及二級(jí)管理員調(diào)離崗位，上級(jí)管理員(或

相關(guān)負(fù)責(zé)人)應(yīng)及時(shí)注銷(xiāo)其賬號(hào)并生產(chǎn)新的系統(tǒng)管理員賬號(hào)。

4

1.2.賬號(hào)的設(shè)置與管理

1、普通用戶(hù)賬號(hào)由系統(tǒng)管理員根據(jù)各類(lèi)應(yīng)用系統(tǒng)操作

要求生成，應(yīng)按每用戶(hù)一賬號(hào)設(shè)置。

2、所有用戶(hù)不得使用其他用戶(hù)賬號(hào)進(jìn)行業(yè)務(wù)操作。

3、用戶(hù)調(diào)離崗位，系統(tǒng)管理員應(yīng)及時(shí)注銷(xiāo)其使用賬號(hào)

或更改到新崗位對(duì)于技能權(quán)限組。

5

1.3.密碼與權(quán)限安全管理制度

1、密碼設(shè)置應(yīng)具有安全性、保密性，不能使用簡(jiǎn)單的

數(shù)字。密碼是保護(hù)系統(tǒng)和數(shù)據(jù)安全的控制代碼，也是保護(hù)用

戶(hù)自身權(quán)益的控制代碼，密碼分設(shè)為用戶(hù)密碼和操作密碼，

用戶(hù)密碼是登陸系統(tǒng)時(shí)所設(shè)的密碼，操作密碼是進(jìn)入各應(yīng)用

系統(tǒng)的操作員密碼。密碼設(shè)置不應(yīng)是名字、生日，重復(fù)、順

序、規(guī)律數(shù)字等容易猜測(cè)的數(shù)字和字符串；

2、管理員密碼應(yīng)定期修改，間隔時(shí)間不得超過(guò)一個(gè)月，

如發(fā)現(xiàn)或懷疑密碼遺失或泄漏應(yīng)立即修改，并在相應(yīng)登記簿

記錄用戶(hù)名、修改時(shí)間、修改人等內(nèi)容。

3、服務(wù)器、路由器等重要設(shè)備的超級(jí)用戶(hù)密碼由運(yùn)行

機(jī)構(gòu)負(fù)責(zé)人指定專(zhuān)人(不參與系統(tǒng)開(kāi)發(fā)和維護(hù)的人員)設(shè)置

和管理，并由密碼設(shè)置人員將密碼裝入密碼信封，在騎縫處

加蓋個(gè)人名章或簽字后交給密碼管理人員存檔并登記(暫時(shí)

放在經(jīng)理辦公室的保管箱中)。如遇特殊情況需要啟用封存

的密碼，必須經(jīng)過(guò)經(jīng)理同意，由密碼使用人員向密碼管理人

員索取，使用完畢后，須立即更改并封存，同時(shí)在“密碼管

理登記簿”中登記。

4、催收系統(tǒng)維護(hù)用戶(hù)的密碼只能一個(gè)人知道，每次更

改密碼需要將密碼裝入密碼信封，有密碼保管員存檔保存。

如遇特殊情況需要啟用封存的密碼，必須經(jīng)過(guò)經(jīng)理同意，由

密碼使用人員向密碼管理人員索取，使用完畢后，須立即更

6

改并封存，同時(shí)在“密碼管理登記簿”中登記。

5、有關(guān)密碼授權(quán)工作人員調(diào)離崗位，有關(guān)部門(mén)負(fù)責(zé)人

須指定專(zhuān)人接替并對(duì)密碼立即修改或用戶(hù)刪除，同時(shí)在“密

碼管理登記簿”中登記。

7

1.4.數(shù)據(jù)信息安全管理制度

1、存放備份數(shù)據(jù)的介質(zhì)必須具有明確的標(biāo)識(shí)。備份數(shù)據(jù)

必須雙機(jī)備份，設(shè)置自動(dòng)備份。

2、催收錄音，監(jiān)控錄像儲(chǔ)存時(shí)間不得少于3年。

3、任何數(shù)據(jù)的使用及存放數(shù)據(jù)的設(shè)備或介質(zhì)的調(diào)撥、轉(zhuǎn)

讓、廢棄或銷(xiāo)毀必須嚴(yán)格按照程序進(jìn)行審批，以保證備份數(shù)

據(jù)安全完整。

4、數(shù)據(jù)恢復(fù)前，必須對(duì)原環(huán)境的數(shù)據(jù)進(jìn)行備份，防止有

用數(shù)據(jù)的丟失。數(shù)據(jù)恢復(fù)過(guò)程中要嚴(yán)格按照數(shù)據(jù)恢復(fù)手冊(cè)執(zhí)

行，出現(xiàn)問(wèn)題時(shí)由技術(shù)部門(mén)進(jìn)行現(xiàn)場(chǎng)技術(shù)支持。數(shù)據(jù)恢復(fù)后，

必須進(jìn)行驗(yàn)證、確認(rèn)，確保數(shù)據(jù)恢復(fù)的完整性和可用性。

5、數(shù)據(jù)清理前必須對(duì)數(shù)據(jù)進(jìn)行備份，在確認(rèn)備份正確后

方可進(jìn)行清理操作。歷次清理前的備份數(shù)據(jù)要根據(jù)備份策略

進(jìn)行定期保存或永久保存，并確?？梢噪S時(shí)使用。數(shù)據(jù)清理

的實(shí)施應(yīng)避開(kāi)業(yè)務(wù)高峰期，避免對(duì)聯(lián)機(jī)業(yè)務(wù)運(yùn)行造成影響。

6、需要長(zhǎng)期保存的數(shù)據(jù)，數(shù)據(jù)管理部門(mén)需與相關(guān)部門(mén)制

定轉(zhuǎn)存方案，根據(jù)轉(zhuǎn)存方案和查詢(xún)使用方法要在介質(zhì)有效期

內(nèi)進(jìn)行轉(zhuǎn)存，防止存儲(chǔ)介質(zhì)過(guò)期失效，通過(guò)有效的查詢(xún)、使

用方法保證數(shù)據(jù)的完整性和可用性。轉(zhuǎn)存的數(shù)據(jù)必須有詳細(xì)

的文檔記錄。

7、非本單位技術(shù)人員對(duì)本公司的設(shè)備、系統(tǒng)等進(jìn)行維修、

維護(hù)時(shí)，必須由本公司相關(guān)技術(shù)人員現(xiàn)場(chǎng)全程監(jiān)督。計(jì)算機(jī)

8

設(shè)備送外維修，須經(jīng)設(shè)備管理機(jī)構(gòu)負(fù)責(zé)人批準(zhǔn)。送修前，需

將設(shè)備存儲(chǔ)介質(zhì)內(nèi)應(yīng)用軟件和數(shù)據(jù)等信息備份后刪除，并進(jìn)

行登記。對(duì)修復(fù)的設(shè)備，設(shè)備維修人員應(yīng)對(duì)設(shè)備進(jìn)行驗(yàn)收、

病毒檢測(cè)和登記。

8、管理部門(mén)應(yīng)對(duì)報(bào)廢設(shè)備中存有數(shù)據(jù)資料進(jìn)行備份后清

除，并妥善處理廢棄無(wú)用的資料和介質(zhì)，防止泄密。

9、運(yùn)行維護(hù)部門(mén)需指定專(zhuān)人負(fù)責(zé)計(jì)算機(jī)病毒的防范工作，

建立本單位的計(jì)算機(jī)病毒防治管理制度，經(jīng)常進(jìn)行計(jì)算機(jī)病

毒檢查，發(fā)現(xiàn)病毒及時(shí)清除。

10、用于生產(chǎn)計(jì)算機(jī)未經(jīng)有關(guān)部門(mén)允許不準(zhǔn)私自安裝其它

軟件。如工作需要必須使用其它軟件，需向部門(mén)負(fù)責(zé)人審批

后，由相關(guān)技術(shù)人員安裝正規(guī)渠道軟件。

9

1.5.獨(dú)立域控服務(wù)器

1、權(quán)限管理集中、管理成本下降

1.1、域環(huán)境，所有網(wǎng)絡(luò)資源，包括用戶(hù)，均是在域控制

器上維護(hù)，便于集中管理。所有用戶(hù)只要登入到域，在域內(nèi)

均能進(jìn)行身份驗(yàn)證，管理人員可以較好的管理計(jì)算機(jī)資源，

管理網(wǎng)絡(luò)的成本大大降低。

1.2、防止公司員工在客戶(hù)端隨意安裝軟件，能夠增強(qiáng)客

戶(hù)端安全性、減少客戶(hù)端故障，降低維護(hù)成本。

1.3、通過(guò)域管理可以有效的分發(fā)和指派軟件、補(bǔ)丁等，

實(shí)現(xiàn)網(wǎng)絡(luò)內(nèi)的一起安裝，保證網(wǎng)絡(luò)內(nèi)軟件的統(tǒng)一性。

1.4、配合ISA的話(huà)就可以根據(jù)用戶(hù)來(lái)確定可不可以上網(wǎng)。

不然只能根據(jù)IP。

2、安全性能加強(qiáng)、權(quán)限更加分明

2.1、有利于企業(yè)的一些保密資料的管理，比如說(shuō)某個(gè)盤(pán)允

許某個(gè)人可以讀寫(xiě)，但另一個(gè)人就不可以讀寫(xiě)；哪一個(gè)文件

只讓哪個(gè)人看；或者讓某些人可以看，但不可以刪/改/移等。

2.2、可以封掉客戶(hù)端的USB端口，防止公司機(jī)密資料的

外泄。

2.3、安全性完全與活動(dòng)目錄(ActiveDirectory)集成。

不僅可在目錄中的每個(gè)對(duì)象上定義訪(fǎng)問(wèn)控制，而且還可在每

個(gè)對(duì)象的屬性上定義。活動(dòng)目錄(ActiveDirectory)提供安

全策略的存儲(chǔ)和應(yīng)用范圍。安全策略可包含帳戶(hù)信息：如域

10

范圍內(nèi)的密碼限制或?qū)μ囟ㄓ蛸Y源的訪(fǎng)問(wèn)權(quán)；通過(guò)組策略設(shè)

置下發(fā)并執(zhí)行安全策略。

3、賬戶(hù)漫游和文件夾重定向

3.1、個(gè)人賬戶(hù)的工作文件及數(shù)據(jù)等可以存儲(chǔ)在服務(wù)器上，

統(tǒng)一進(jìn)行備份、管理，用戶(hù)的數(shù)據(jù)更加安全、有保障。當(dāng)客

戶(hù)機(jī)故障時(shí)，只需使用其他客戶(hù)機(jī)安裝相應(yīng)軟件以用戶(hù)帳號(hào)

登錄即可，用戶(hù)會(huì)發(fā)現(xiàn)自己的文件仍然在“原來(lái)的位置”(比

如，我的文檔),沒(méi)有丟失，從而可以更快地進(jìn)行故障修復(fù)。

3.2、卷影副本技術(shù)可以讓用戶(hù)自行找回文件以前的版本

或者誤刪除的文件(限保存過(guò)的32個(gè)版本)。在服務(wù)器離線(xiàn)

時(shí)(故障或其他情況),“脫機(jī)文件夾”技術(shù)會(huì)自動(dòng)讓用戶(hù)使

用文件的本地緩存版本繼續(xù)工作，并在注銷(xiāo)或登錄系統(tǒng)時(shí)與

服務(wù)器上的文件同步，保證用戶(hù)的工作不會(huì)被打斷。

4、方便用戶(hù)使用各種共享資源

4.1、可由管理員指派登錄腳本映射分布式文件系統(tǒng)根目

錄，統(tǒng)一管理。用戶(hù)登錄后就可以像使用本地盤(pán)符一樣，使

用網(wǎng)絡(luò)上的資源，且不需再次輸入密碼，用戶(hù)也只需記住一

對(duì)用戶(hù)名/密碼即可。

4.2、各種資源的訪(fǎng)問(wèn)、讀取、修改權(quán)限均可設(shè)置，不同

的賬戶(hù)可以有不同的訪(fǎng)問(wèn)權(quán)限。即使資源位置改變，用戶(hù)也

不需任何操作，只需管理員修改鏈接指向并設(shè)置相關(guān)權(quán)限即

可，用戶(hù)甚至不會(huì)意識(shí)到資源位置的改變，不用像從前那樣，

11

必須記住哪些資源在哪臺(tái)服務(wù)器上。

5、SMS系統(tǒng)管理服務(wù)(SystemManagementServer)

通過(guò)能夠分發(fā)應(yīng)用程序、系統(tǒng)補(bǔ)丁等，用戶(hù)可以選擇安裝，

也可以由系統(tǒng)管理員指派自動(dòng)安裝。并能集中管理系統(tǒng)補(bǔ)丁

(如WindowsUpdates),不需每臺(tái)客戶(hù)端服務(wù)器都下載同樣

的補(bǔ)丁，從而節(jié)省大量網(wǎng)絡(luò)帶寬。

6、靈活的查詢(xún)機(jī)制

用戶(hù)和管理員可使用“開(kāi)始”菜單、“網(wǎng)上鄰居”或“Active

Directory用戶(hù)和計(jì)算機(jī)”上的“搜索”命令，通過(guò)對(duì)象屬

性快速查找網(wǎng)絡(luò)上的對(duì)象。例如，您可通過(guò)名字、姓氏、電

子郵件名、辦公室位置或用戶(hù)帳戶(hù)的其他屬性來(lái)查找用戶(hù)。

通過(guò)使用全局編錄來(lái)優(yōu)化查找信息。

7、擴(kuò)展性能較好

WIN2K的活動(dòng)目錄具有很強(qiáng)的可擴(kuò)展性，管理員可以在計(jì)

劃中增加新的對(duì)象類(lèi)，或者給現(xiàn)有的對(duì)象類(lèi)增加新的屬性。

計(jì)劃包括可以存儲(chǔ)在目錄中的每一個(gè)對(duì)象類(lèi)的定義和對(duì)象

類(lèi)的屬性。

8、方便在MS軟件方面集成

如ISA、Exchange、TeamFoundationServer、SharePoint、

SQLServer等。

12

第二章網(wǎng)絡(luò)傳輸安全管理制度

第一條、公司網(wǎng)絡(luò)的安全管理，應(yīng)當(dāng)保障網(wǎng)絡(luò)系統(tǒng)設(shè)備

和配套設(shè)施的安全，保障信息的安全，保障運(yùn)行環(huán)境的安全。

第二條、任何單位和個(gè)人不得從事下列危害公司網(wǎng)絡(luò)安

全的活動(dòng)：

1、任何單位或者個(gè)人利用公司網(wǎng)絡(luò)從事危害公司計(jì)算

機(jī)網(wǎng)絡(luò)及信息系統(tǒng)的安全。

2、對(duì)于公司網(wǎng)絡(luò)主結(jié)點(diǎn)設(shè)備、光纜、網(wǎng)線(xiàn)布線(xiàn)設(shè)施，

以任何理由破壞、挪用、改動(dòng)。

3、未經(jīng)允許，對(duì)信息網(wǎng)絡(luò)功能進(jìn)行刪除、修改或增加。

4、未經(jīng)允許，對(duì)計(jì)算機(jī)信息網(wǎng)絡(luò)中的共享文件和存儲(chǔ)、

處理或傳輸?shù)臄?shù)據(jù)和應(yīng)用程序進(jìn)行刪除、修改或增加。

5、故意制作、傳播計(jì)算機(jī)病毒等破壞性程序。

6、利用公司網(wǎng)絡(luò)，訪(fǎng)問(wèn)帶有“黃、賭、毒”、反動(dòng)言論

內(nèi)容的網(wǎng)站。

7、向其它非本單位用戶(hù)透露公司網(wǎng)絡(luò)登錄用戶(hù)名和密

碼。

8、其他危害信息網(wǎng)絡(luò)安全的行為。

第三條、各單位信息管理部門(mén)負(fù)責(zé)本單位網(wǎng)絡(luò)的安全和

信息安全工作，對(duì)本單位單位所屬計(jì)算機(jī)網(wǎng)絡(luò)的運(yùn)行進(jìn)行巡

檢，發(fā)現(xiàn)問(wèn)題及時(shí)上報(bào)信息中心。

第四條、連入公司網(wǎng)絡(luò)的用戶(hù)必須在其本機(jī)上安裝防病

13

毒軟件，一經(jīng)發(fā)現(xiàn)個(gè)人計(jì)算機(jī)由感染病毒等原因影響到整體

網(wǎng)絡(luò)安全，信息中心將立即停止該用戶(hù)使用公司網(wǎng)絡(luò)，待其

計(jì)算機(jī)系統(tǒng)安全之后方予開(kāi)通。

第五條、嚴(yán)禁利用公司網(wǎng)絡(luò)私自對(duì)外提供互聯(lián)網(wǎng)絡(luò)接入

服務(wù)，一經(jīng)發(fā)現(xiàn)立即停止該用戶(hù)的使用權(quán)。

第六條、對(duì)網(wǎng)絡(luò)病毒或其他原因影響整體網(wǎng)絡(luò)安全的子

網(wǎng)，信息中心對(duì)其提供指導(dǎo)，必要時(shí)可以中斷其與骨干網(wǎng)的

連接，待子網(wǎng)恢復(fù)正常后再恢復(fù)連接。

14

2.1.網(wǎng)絡(luò)安全

1、生產(chǎn)和作業(yè)網(wǎng)絡(luò)均部署單獨(dú)VLAN并部署相關(guān)防火墻策

略且斷開(kāi)和互聯(lián)網(wǎng)的連接。

2、存放服務(wù)商敏感數(shù)據(jù)均部署單獨(dú)VLAN并部署相關(guān)防火

墻策略且斷開(kāi)和互聯(lián)網(wǎng)的連接，防止數(shù)據(jù)外泄。

3、已通過(guò)防火墻策略關(guān)閉所有外部開(kāi)放端口，只開(kāi)放生

產(chǎn)必須端口。

4、已安裝監(jiān)控和端口監(jiān)聽(tīng)系統(tǒng)及syslog日志審計(jì)系統(tǒng)，

對(duì)各網(wǎng)絡(luò)和硬件設(shè)備進(jìn)行監(jiān)控和監(jiān)聽(tīng)，并按時(shí)對(duì)機(jī)房物理設(shè)

備進(jìn)行巡檢。

15

2.2.應(yīng)用安全

1、對(duì)生產(chǎn)PC統(tǒng)一部署殺毒軟件，實(shí)際病毒的查殺和監(jiān)控。

定期自動(dòng)更新病毒庫(kù)和制定查殺策略。

2、購(gòu)買(mǎi)并部署殺毒軟件同時(shí)部署相關(guān)策略。

3、針對(duì)敏感數(shù)據(jù)終端設(shè)備，封鎖必要的網(wǎng)絡(luò)傳輸端口，

禁止安裝傳輸軟件。

16

2.3.系統(tǒng)漏洞掃描與安全加固

1、身份鑒別

1.1、密碼安全策略

要求：操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)管理用戶(hù)身份鑒別信息應(yīng)具

有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換。

目的：設(shè)置有效的密碼策略，防止攻擊者破解出密碼。

操作步驟：

【位置】開(kāi)始—管理工具一本地安全策略—帳戶(hù)策略—密碼

策略，加固設(shè)置為下圖所示：

策略安全設(shè)置

密碼必須符合復(fù)雜性要求已啟用

密碼長(zhǎng)度最小值8個(gè)字符

密碼最短使用期限2天

密碼最長(zhǎng)使用期限90天

強(qiáng)制密碼歷史5個(gè)記住的密碼

用可還原的加密來(lái)儲(chǔ)存密碼已禁用

1.2、帳號(hào)鎖定策略

要求：應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會(huì)話(huà)、限制

非法登錄次數(shù)和自動(dòng)退出等措施。

目的：遭遇密碼破解時(shí)，暫時(shí)鎖定帳號(hào)，降低密碼被猜解

的可能性。

操作步驟：

【位置】開(kāi)始—管理工具一本地安全策略—帳戶(hù)策略—帳號(hào)

鎖定策略，加固后如下圖所示：

17

策略▲安全設(shè)置

帳戶(hù)鎖定時(shí)間10分鐘

帳戶(hù)鎖定閾值10次無(wú)效登錄

重置帳戶(hù)鎖定計(jì)數(shù)器10分鐘之后

1.3、安全的遠(yuǎn)程管理方式

要求：當(dāng)對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施，防

止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)。

目的：防止遠(yuǎn)程管理過(guò)程中，密碼等敏感信息被竊聽(tīng)

操作步驟：

【位置】開(kāi)始—管理工具一遠(yuǎn)程桌面服務(wù)—遠(yuǎn)程桌面會(huì)話(huà)主

機(jī)配置，右鍵“RDP-Tcp”,選擇“屬性”—“常規(guī)”,加固

后如下圖所示：

18

RDF-Tep民性區(qū)

遠(yuǎn)程控制客戶(hù)端設(shè)置網(wǎng)絡(luò)適配器安全

常規(guī)登錄設(shè)置會(huì)話(huà)環(huán)境

類(lèi)型：RDP-Tep

傳輸：tep

備注@):

-安全性

安全層():SSL(TLS1.0)

SSL(TL1.Q),掙用于服務(wù)器身份驗(yàn)證，并用于加密服務(wù)器和客

戶(hù)滿(mǎn)之間像輸?shù)乃袛?shù)據(jù)。

加密級(jí)別區(qū)):客戶(hù)端兼容

根據(jù)客戶(hù)端支持的最長(zhǎng)密鑰長(zhǎng)度，所有在客戶(hù)端和服務(wù)器之間發(fā)

送的數(shù)據(jù)都變加密保護(hù)。

口僅允許運(yùn)行使用網(wǎng)絡(luò)級(jí)別身份驗(yàn)證的遠(yuǎn)程桌面的計(jì)算機(jī)連接L)

證書(shū)：已自動(dòng)生成

選擇(C)默認(rèn)值@)

了解關(guān)于配置安全設(shè)置的更多信息

確定取消應(yīng)用(A)

2、訪(fǎng)問(wèn)控制

2.1、關(guān)閉默認(rèn)共享

要求：應(yīng)啟用訪(fǎng)問(wèn)控制功能，依據(jù)安全策略控制用戶(hù)對(duì)資

源的訪(fǎng)問(wèn)。

目的：如果沒(méi)有關(guān)閉系統(tǒng)默認(rèn)共享，攻擊者通過(guò)IPC$方

式暴力破解帳戶(hù)的密碼，而后利用系統(tǒng)默認(rèn)共享如：C$、D$等，

對(duì)系統(tǒng)的硬盤(pán)進(jìn)行訪(fǎng)問(wèn)

操作步驟：

【位置】開(kāi)始—管理工具一共享和存儲(chǔ)管理，記錄當(dāng)前配置，

默認(rèn)如下圖所示：

19

共享名協(xié)議本地路徑配額|文件屏蔽|卷影副本可用空間

曰協(xié)議：SB(4項(xiàng))

3ADRIN$SMBC;\Windows5.94GB

8*SMBc:(5.94GB

SMBD:\6.38GB

IPC$SMB

右鍵依次點(diǎn)擊C$、D$、ADMIN$,停止共享，加固后如下圖所

示：

netshareC$/del

netshareD$/del

netshareADMIN$/del

共享名協(xié)議本地路徑配額文件屏蔽|卷影副本|可用空間

曰協(xié)議：SMB(1項(xiàng))

IPC$SMB

操作步驟：

【位置】運(yùn)行一regedit進(jìn)入注冊(cè)表，在HKEY_LOCAL_MACHINE

—SYSTEM—CurrentControlSet—Services—LanmanServer

—Parameters下，新增AutoShareServer、AutoShareWks兩

個(gè)鍵，類(lèi)型為DWORD(32位),值為0,如下圖所示：

20

名稱(chēng)類(lèi)型數(shù)據(jù)

ab賦認(rèn))RBG_SZ(數(shù)值未設(shè)置)

AdjustedfullSessionfipesREG_DWORD0x000000033)

autedisconneetRPG_DWORDOx0000000f(15)

解EnableAuthentieatelserSharingRPG_DNORDOx0O000000(0)

enablefercedlogoffREG_DWORDOx00000001(1)

enablesecuritysignatureREG_WORD0x00000000(0)

GuidRBG_BINARTfeb097c9dd802c46ad9fef994d73.

LenounceREG_DWORD0x00000000(0)

abWullSessionPipesREG_MULTI_SZ

解requiresecuritysiatureREG_DWORD0x00000000(0)

restrietnullsesssceessRPG_DWORD0x000000014)

ab]Servieell1PCEIPA_SZSystenRootk\systen32\srvave.dl1

ServicelllVnloadOnStPPEDWORDOx00000001l)

SiuREG_DWORD0x00000003(3)

AnteShareServerREG_DWORD0x00000000(0)W

AoteShare?ksREG_DWORD0x00000000(0)

2.2、用戶(hù)權(quán)限分配

要求：應(yīng)根據(jù)管理用戶(hù)的角色分配權(quán)限，實(shí)現(xiàn)管理用戶(hù)的

權(quán)限分離，僅授予管理用戶(hù)所需的最小權(quán)限。

目的：如果系統(tǒng)沒(méi)有對(duì)帳號(hào)進(jìn)行嚴(yán)格的權(quán)限分配，則黑客

可以利用低權(quán)限的帳號(hào)登陸終端，甚至關(guān)閉系統(tǒng)。

操作步驟：

【位置】開(kāi)始—管理工具一本地安全策略—本地策略—用戶(hù)

權(quán)限分配，“關(guān)閉系統(tǒng)”,記錄當(dāng)前配置，默認(rèn)如下圖所示：

關(guān)閉系統(tǒng)屬性

本地安全設(shè)置說(shuō)明

關(guān)閉系統(tǒng)

Administrators

BackupOperator

只保留Administrators組、其它全部刪除

21

“允許通過(guò)遠(yuǎn)程桌面服務(wù)登錄”,記錄當(dāng)前配置，默認(rèn)如下

圖所示：

允許通過(guò)遠(yuǎn)程桌面服務(wù)登錄民性

本地安全設(shè)置說(shuō)明

允許通過(guò)遠(yuǎn)程桌面服務(wù)登錄

Administrators

RemoteDesktopUsers

只保留Administrators組、其它全部刪除。

2.3、禁止未登錄前關(guān)機(jī)

目的：禁止系統(tǒng)在未登錄前關(guān)機(jī)，防止非法用戶(hù)隨意關(guān)閉

系統(tǒng)。

操作步驟：

【位置】開(kāi)始—管理工具一本地安全策略—本地策略—安全

選項(xiàng)—“關(guān)機(jī)：允許系統(tǒng)在未登錄的情況下關(guān)閉”,默認(rèn)如

下圖所示：

關(guān)機(jī)：允許系統(tǒng)在未登錄的情況下關(guān)閉屬性

本地安全設(shè)置說(shuō)明

關(guān)機(jī)：允許系統(tǒng)在未登錄的情況下關(guān)閉

已啟用(E)

◎已禁用(S)

2.4、重命名默認(rèn)帳號(hào)

22

要求：應(yīng)嚴(yán)格限制默認(rèn)帳戶(hù)的訪(fǎng)問(wèn)權(quán)限，重命名系統(tǒng)默認(rèn)

帳戶(hù)，修改這些帳戶(hù)的默認(rèn)口令。

目的：修改默認(rèn)帳號(hào)，防止攻擊者破解密碼。

操作步驟：

【位置】開(kāi)始—管理工具一計(jì)算機(jī)管理—系統(tǒng)工具一本地用

戶(hù)和組一用戶(hù)，可修改成下圖所示：

名稱(chēng)全名」描述

Admini008管理計(jì)算機(jī)(域)的內(nèi)置帳戶(hù)

Guest008供來(lái)賓訪(fǎng)問(wèn)計(jì)算機(jī)或訪(fǎng)問(wèn)域的內(nèi)置帳戶(hù)

2.5、多余帳號(hào)

要求：應(yīng)及時(shí)刪除多余的、過(guò)期的帳戶(hù)，避免共享帳戶(hù)的

存在。

目的：刪除或禁用臨時(shí)、過(guò)期及可疑的帳號(hào)，防止被非法

利用。

操作步驟：

【位置】開(kāi)始—管理工具一計(jì)算機(jī)管理一系統(tǒng)工具一本地用

戶(hù)和組—用戶(hù)，詢(xún)問(wèn)管理員每個(gè)帳號(hào)的用途，確認(rèn)多余的帳

號(hào)，然后右鍵點(diǎn)擊“刪除”或“禁用”?？墒褂胣etuser用

戶(hù)名命令查看該用戶(hù)的詳細(xì)信息，如下所示：

23

\Users\Administrator>netNseradministrator

戶(hù)名

用名Administrator

釋管理計(jì)算機(jī)(域)的內(nèi)置帳戶(hù)

用戶(hù)的注釋

國(guó)家/地區(qū)代碼000(系統(tǒng)默認(rèn)值)

Ves

多鵬從不

上相的提世

次設(shè)置密碼2017/2/1510:15:07

碼到期2017/5/1610:15:07

碼可更改2017/2/1710:15:07

要密碼

Ves

戶(hù)可

以更改密碼Ves

允許的工作站A11

童錄腳本

用戶(hù)配置文件

主目錄

上次登錄2017/2/279:08:12

可允許的登錄小時(shí)數(shù)A11

本地組成員×Adninistratorsxora_dba

全局組成員×None

命令成功完成。

3、安全審計(jì)

要求：

審計(jì)范圍應(yīng)覆蓋到服務(wù)器和重要客戶(hù)端上的每個(gè)操作系

統(tǒng)用戶(hù)和數(shù)據(jù)庫(kù)用戶(hù)；

審計(jì)內(nèi)容應(yīng)包括重要用戶(hù)行為、系統(tǒng)資源的異常使用和重

要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件；

審計(jì)記錄應(yīng)包括事件的日期、時(shí)間、類(lèi)型、主體標(biāo)識(shí)、客

體標(biāo)識(shí)和結(jié)果等；應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審

計(jì)報(bào)表；

應(yīng)保護(hù)審計(jì)進(jìn)程，避免受到未預(yù)期的中斷；

應(yīng)保護(hù)審計(jì)記錄，避免受到未預(yù)期的刪除、修改或覆蓋等。

24

3.1、審核策略設(shè)置

目的：開(kāi)啟審核策略，若日后系統(tǒng)出現(xiàn)故障、安全事故則

可以查看系統(tǒng)日志文件，排除故障、追查入侵者的信息等。

操作步驟：

【位置】運(yùn)行一管理工具一本地安全策略—本地策略—審核

策略，策略建議設(shè)置為：

策略安全設(shè)置

審核策略更改成功，失敗

審核登錄事件成功，失敗

審核對(duì)象訪(fǎng)問(wèn)失敗

審核進(jìn)程跟蹤無(wú)審核

審核目錄服務(wù)訪(fǎng)問(wèn)失敗

審核特權(quán)使用失敗

審核系統(tǒng)事件成功，失敗

審核帳戶(hù)登錄事件成功，失敗

審核帳戶(hù)管理成功，失敗

3.2、安全日志屬性設(shè)置

目的：防止重要日志信息被覆蓋

操作步驟：

【位置】開(kāi)始—管理工具一事件查看器—Windows日志，“應(yīng)

用程序”、“系統(tǒng)”、“安全”依次如下操作：

25

日志民性-應(yīng)用程序(類(lèi)型：管理的)

常規(guī)訂閱

全名(E:Application

日志路徑山%SystemRoot%\System32\Winevt\Logs\Application.evtx

日志大小：13.07MB(13,701,120個(gè)字節(jié))

創(chuàng)建時(shí)間：2014年8月5日11:03:14

修改時(shí)間：2017年2月26日18:06:09

訪(fǎng)問(wèn)時(shí)間：2014年8月5日11:03;14200M

?啟用日志記錄(E

日志最大大小(KB)兇20480d3

達(dá)到事件日志最大大小時(shí)：

按需要要蓋事件(B事件優(yōu)先)WD

C日志滿(mǎn)時(shí)格其存檔，不覆蓋事件(A)l

C不要蓋事件(手動(dòng)清除日志)(N)

4、剩余信息保護(hù)

4.1、不記住用戶(hù)名和密碼

目的：應(yīng)保證操作系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng)用戶(hù)的鑒別信息

所在的存儲(chǔ)空間，被釋放或再分配給其他用戶(hù)前得到完全清

除，無(wú)論這些信息是存放在硬盤(pán)上還是在內(nèi)存中。

操作步驟：

【位置】開(kāi)始—管理工具一本地安全策略—本地策略—安全

選項(xiàng)

“交互式登錄：不顯示最后的用戶(hù)名”,默認(rèn)如下圖所示：

26

交互式登錄：不顯示最后的用戶(hù)名屬性

本地安全設(shè)置說(shuō)明

交互式登錄：不顯示最后的用戶(hù)名

C已啟用E)

○已禁用G)

選擇“已啟用”

4.2、清理內(nèi)存信息

要求：應(yīng)確保系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫(kù)記錄等資源所

在的存儲(chǔ)空間，被釋放或重新分配給其他用戶(hù)前得到完全清

除。

目的：及時(shí)清理存放在系統(tǒng)中的用戶(hù)鑒別信息，防止信息

外泄，被黑客利用

操作步驟：

【位置】開(kāi)始—管理工具一本地安全策略—本地策略—安全

選項(xiàng)一關(guān)機(jī)：清除虛擬內(nèi)存頁(yè)面文件，設(shè)定如下所示：

機(jī)：清除虛擬內(nèi)存頁(yè)面文件屬性

本地安全設(shè)置說(shuō)明

關(guān)機(jī)：清除虛擬內(nèi)存頁(yè)面文件

已啟用C)

已禁用S)

27

4.3、關(guān)閉調(diào)試信息

目的：系統(tǒng)啟動(dòng)失敗時(shí)，為了分析啟動(dòng)失敗的原因，內(nèi)存

信息會(huì)自動(dòng)轉(zhuǎn)儲(chǔ)到硬盤(pán)中。其中數(shù)據(jù)對(duì)普通用戶(hù)無(wú)用，及時(shí)

清理存這些信息或禁止出錯(cuò)轉(zhuǎn)儲(chǔ)，防止外泄被黑客利用。

操作步驟：

【位置】開(kāi)始一計(jì)算機(jī)一右鍵“屬性”—高級(jí)系統(tǒng)設(shè)置—高

級(jí)—啟動(dòng)和故障恢復(fù)一設(shè)置，設(shè)定如下所示：

動(dòng)和故障恢復(fù)

系統(tǒng)啟動(dòng)

默認(rèn)操作系統(tǒng)(S):

WindowsServer2008R2

?顯示操作系統(tǒng)列表的時(shí)間(T):秒

?在需要時(shí)顯示恢復(fù)選項(xiàng)的時(shí)間@):同日秒

系統(tǒng)失敗

?將事件寫(xiě)入系統(tǒng)日志(@

□自動(dòng)重新啟動(dòng)R)

寫(xiě)入調(diào)試信息

(無(wú))

轉(zhuǎn)儲(chǔ)文件：

KSystenRoot%\MEMORY.DMP

?覆蓋任何現(xiàn)有文件@

5、入侵防范

5.1、卸載冗余組件

28

要求：操作系統(tǒng)遵循最小安裝的原則，僅安裝需要的組件

和應(yīng)用程序，并通過(guò)設(shè)置升級(jí)服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及

時(shí)得到更新。

目的：卸載WScript.Shell,Shell.application這兩個(gè)

組件，防止黑客通過(guò)腳本來(lái)提權(quán)。

操作步驟：

【位置】運(yùn)行一cmd,執(zhí)行如下信息：

C:\Users\Administrator>regsur32/uwshom.0cx

C:\Users\Administrator>regsur32/ushel132.d11

5.2、關(guān)閉不必要服務(wù)

目的：關(guān)閉與系統(tǒng)業(yè)務(wù)無(wú)關(guān)或不必要的服務(wù)，減小系統(tǒng)被

黑客被攻擊、滲透的風(fēng)險(xiǎn)。

操作步驟：

【位置】開(kāi)始—管理工具一服務(wù)，可禁用如下服務(wù)：

IPHelper(Ipv6技術(shù)啟動(dòng)類(lèi)型：禁用服務(wù)狀

態(tài)：停止)

RemoteRegistry(Ipv6技術(shù)啟動(dòng)類(lèi)型：禁用服

務(wù)狀態(tài)：停止)

Themes(主題管理