系統(tǒng)安全管理規(guī)范

系 統(tǒng) 安 全 管 理 規(guī) 范Documentserialnumber【KK89K-LLS98YT-SS8CB-SSUT-SST108】ISO20000系統(tǒng)安 全管理規(guī)范（版次：0/A）人（部門）：電子政務(wù) 日期審核人： 日期：批準(zhǔn)人： 201031201031手冊(cè)修訂履歷版本版本修改日期修訂人審核人批準(zhǔn)人說(shuō)明A草案A初次發(fā)布目錄、配置維持避免未獲并重要可用性(信可供)用圍文檔所ITPVIT文檔所ITPV文檔PV術(shù)語(yǔ)定義計(jì)算機(jī)：包括主機(jī)、其相關(guān)配套（含線路）相關(guān)軟件等。角色使用者職責(zé)依需求填寫賬號(hào)角色使用者職責(zé)依需求填寫賬號(hào)服務(wù)申請(qǐng)表使用者單位主管審查賬號(hào)服務(wù)申請(qǐng)表申請(qǐng)內(nèi)容符合實(shí)際需求。員 員 、分發(fā)等實(shí)施防病毒員 防病毒防病毒軟件升級(jí)、分發(fā)等實(shí)施審計(jì)員 審查各項(xiàng)情況查單位主管 復(fù)并督導(dǎo)有效進(jìn)要求一般要求因需要而產(chǎn)生對(duì)信息訪問(wèn)其要求于下列各章節(jié)進(jìn)約使用者僅于訪問(wèn)授范圍信息、不得未授權(quán)訪問(wèn)。職區(qū)域：開發(fā)開發(fā)；及備；(相關(guān)審計(jì)審；各于授范圍信息遭未授用。有要各(及備)要需按程序進(jìn)心信息訪問(wèn)必需盡可能過(guò)審計(jì)要自動(dòng)審記日志記錄每次訪問(wèn)用戶、時(shí)間、操等妥善并期審查這些 日志。有備特別是用戶信息加妥善、分配對(duì)要進(jìn)行分級(jí)具體如下：分員普通戶員由員普通戶由員建立要由系員審查其必要性后予只予必要；對(duì)于分、屬主、應(yīng)只讀由員屬主是中具體應(yīng)屬主于中具體應(yīng)如份、還等應(yīng)只讀可AP配置上將給運(yùn)維人員特殊情況下過(guò)領(lǐng)導(dǎo)審批可予個(gè)別表只讀上由員要進(jìn)行時(shí)向員或數(shù)員申請(qǐng)并相關(guān)者單位主核準(zhǔn)后始在申請(qǐng)時(shí)必說(shuō)明必要期者單位主應(yīng)申請(qǐng)者的務(wù)要要只予必要?jiǎng)?wù)或人員時(shí)向員或員。員者應(yīng)者個(gè)人并要者后應(yīng)立并期修如果行修要員期修后通知者。 正式投入運(yùn)行使用的系統(tǒng)及數(shù)據(jù)庫(kù)，相關(guān)密碼由責(zé)任系統(tǒng)管理員和系統(tǒng)管理單位主管保管和管理。無(wú)特殊需要，在系統(tǒng)正式使用后，一般的項(xiàng)目組成員及系統(tǒng)集成人員，不賦予正式的系統(tǒng)設(shè)備的訪問(wèn)權(quán)限。如有特殊需要由項(xiàng)目經(jīng)理通過(guò) OA工作聯(lián)絡(luò)單申請(qǐng)，責(zé)任系統(tǒng)管理員可在短期內(nèi)開設(shè)臨時(shí)普通帳號(hào)（只賦予必要的權(quán)限），供項(xiàng)目組使用，在規(guī)定時(shí)間內(nèi)及使用完畢后要及時(shí)收回權(quán)限。密碼使用安全原則 管理員和使用者應(yīng)負(fù)責(zé)其口令及信息處理設(shè)備的使用符合下列要求，以避 免其口令及信息處理設(shè)備招致誤用。 對(duì)口令的使用應(yīng)符合下列規(guī)定： 密碼長(zhǎng)度至少為六個(gè)字符。 密碼中應(yīng)包含至少四個(gè)英字。密碼中應(yīng)包含至少一個(gè)英字的字符。 不使用者號(hào)、、、字號(hào)單位個(gè)人或單位相關(guān)的信息為密碼。 不英單為密碼。 密碼一般一，管理員可據(jù)系統(tǒng)對(duì)周期進(jìn)行調(diào)整。使用者應(yīng)負(fù)責(zé)確保所使用的信息設(shè)備在處于無(wú)人看管的狀態(tài)(例如使用時(shí) 中途離開)時(shí)有適當(dāng)?shù)谋Ｗo(hù)。提高系統(tǒng)安全原則和措施 為保系統(tǒng)的安全性，在安裝配置操作系統(tǒng)時(shí)要注意以下問(wèn)題：第1：只啟動(dòng)必要的服務(wù) 除了當(dāng)前必要的服務(wù)，其他服務(wù)都應(yīng)該消，。 第2：及時(shí)安裝系統(tǒng)補(bǔ)丁 為了加強(qiáng)系統(tǒng)安全，一定要及時(shí)安裝系統(tǒng)補(bǔ)丁，特別是涉及系統(tǒng)安全漏洞的補(bǔ) 丁。 第3：安裝和啟動(dòng)防火墻 核心系統(tǒng)還需要借助防火墻等其他安全工具，只開放使用的端口，共同防御黑 客入侵。 第3：限制系統(tǒng)的出入 在進(jìn)入系統(tǒng)之前，所有用戶都需要登錄，也就是說(shuō)，用戶需要輸入用戶賬號(hào)和 密碼，只有它們通過(guò)系統(tǒng)驗(yàn)證之后，用戶才能進(jìn)入系統(tǒng)。避免空口令和弱口令。對(duì) 于核心系統(tǒng)還要避免明文在網(wǎng)絡(luò)傳輸口令。 第4：設(shè)定用戶賬號(hào)的安全等級(jí) 除密碼之外，用戶賬號(hào)也有安全等級(jí)，系統(tǒng)管理員應(yīng)該根據(jù)需要賦予該賬號(hào)不 同的權(quán)限，并且歸并到不同的用戶組中。每個(gè)賬號(hào)應(yīng)該有專人負(fù)責(zé)。 第5：定期登錄密碼和設(shè)定登錄密碼是一要的安全用戶的密碼設(shè)定不，就很其是級(jí)用戶使用權(quán)限的用戶，的密碼，系的安全漏洞。系統(tǒng)管理員要，并且時(shí)系統(tǒng)文，一、網(wǎng)絡(luò)連接、文傳輸以及用戶登錄等。在這些時(shí)，要否有不理的時(shí)間載。對(duì)于WINDOWS系統(tǒng)，應(yīng)該以下問(wèn)題：驗(yàn)證所有磁盤分區(qū)是否都用 NTFS格式化驗(yàn)證管理員帳戶是否有強(qiáng)密碼禁用不必要的服務(wù)禁用或刪除不必要的帳戶保護(hù)文和目錄確保禁用來(lái)賓帳戶防止冊(cè)表匿名訪問(wèn)應(yīng)用當(dāng)?shù)南拗茖?duì)公用本地安全機(jī)構(gòu)(LSA)進(jìn)行訪問(wèn)ACLServicePackServicePackWSUS、進(jìn)入IT等敏區(qū)域避免無(wú)進(jìn)入?yún)^(qū)域觸鏈路。加質(zhì)量、質(zhì)量、。進(jìn)動(dòng)，違反將按公司相處罰。得損區(qū)域插槽、跳線、標(biāo)簽等。一進(jìn)專門器并立測(cè)試具體工內(nèi)容如下：析析影響了根據(jù)影響相計(jì)劃在析之前一先威脅、重性等級(jí)義：等級(jí) 義 時(shí)間

方式 取權(quán)限

堆、棧溢出 2天 非方式修如火墻或限功能等方式,、棧溢出5-10天補(bǔ)丁方式修補(bǔ)???中等限/提升權(quán)限/遠(yuǎn)絕服務(wù)客戶端溢出、競(jìng)爭(zhēng)條?10－30天????限制使用丁方式低等信息泄漏、本地拒絕服務(wù)返回信息過(guò)多30天－90天補(bǔ)丁方式針對(duì)Microsoft從安全角度考慮點(diǎn)要關(guān)注安全修補(bǔ)、安全更新、更新ServicePack。其中安全修補(bǔ)是針對(duì)特定的某一個(gè)安全漏洞的補(bǔ)丁因此可以參照其對(duì)應(yīng)的漏洞等級(jí)進(jìn)行補(bǔ)丁安裝；安全更新是針對(duì)多個(gè)安全漏洞的補(bǔ)丁因此可以參照其對(duì)應(yīng)的最漏洞的等級(jí)進(jìn)行補(bǔ)丁安裝；更新匯總是安全修補(bǔ)、要更新、更新修補(bǔ)的集因此比較適ServicePack從的一系修補(bǔ)、安全修補(bǔ)、要更新更新因此比較適新安裝系統(tǒng)或者階段性安裝。定的補(bǔ)丁等級(jí)針對(duì)系統(tǒng)制定出補(bǔ)丁的修補(bǔ)計(jì)修補(bǔ)、修補(bǔ)方式等。測(cè)試補(bǔ)丁雖然軟件補(bǔ)丁前已經(jīng)對(duì)補(bǔ)丁進(jìn)行測(cè)試但是測(cè)試永遠(yuǎn)是不充分的從實(shí)際經(jīng)驗(yàn)來(lái)看目前軟件解決安全問(wèn)都會(huì)盡量壓制測(cè)試補(bǔ)丁而且每個(gè)應(yīng)用系統(tǒng)都有的特應(yīng)用環(huán)境因此補(bǔ)丁往往不穩(wěn)定會(huì)造多未知問(wèn)。因此必須應(yīng)用系統(tǒng)的實(shí)際應(yīng)用環(huán)境進(jìn)行補(bǔ)丁測(cè)試以判斷該補(bǔ)丁現(xiàn)有應(yīng)用系統(tǒng)環(huán)境下的兼容狀況。分補(bǔ)丁補(bǔ)丁測(cè)試后如果沒有問(wèn)要緊急度制定計(jì)。計(jì)中關(guān)要的環(huán)境分批安裝原則是務(wù)要、價(jià)值大、威脅等級(jí)的系統(tǒng)優(yōu)先安裝定提交變更組織相關(guān)人員進(jìn)行補(bǔ)丁安裝。軟的補(bǔ)丁補(bǔ)丁管理員WSUS器上進(jìn)行審核批準(zhǔn)WSUS補(bǔ)丁動(dòng)下推到windows系統(tǒng)管理員管理的應(yīng)用系統(tǒng)情況選擇安裝方式。原則上所有服務(wù)器都必須接受WSUS管理因特的因無(wú)法接受管理的要系統(tǒng)管理員情況選擇安裝補(bǔ)丁并填寫《補(bǔ)丁檢查記錄表》。補(bǔ)丁安裝檢查補(bǔ)丁安裝情況系統(tǒng)管理員應(yīng)對(duì)負(fù)責(zé)的系統(tǒng)補(bǔ)丁安裝進(jìn)行檢查。異處理記錄補(bǔ)丁的安裝過(guò)中由于系統(tǒng)的多性負(fù)責(zé)性生很多一可以分為兩種情況：不能安裝補(bǔ)丁就需要定一個(gè)的解決辦法消除漏洞的威脅或者接受這個(gè)風(fēng)險(xiǎn)。安裝補(bǔ)丁系統(tǒng)或者應(yīng)用不能正行就需要用應(yīng)方用備份系統(tǒng)或者卸載補(bǔ)丁等臨辦法解決。處理上述的中補(bǔ)丁管理員及集解決方組織異的提跟蹤并且將信息及給系統(tǒng)師桌面師。WSUS1、每天檢查上定義碼載情況是否正；2、每天檢查上定義碼情況是否正未正通知查找原；3、每周檢查上火墻志記錄情況每周析并析。上廠并。定全檢查和審計(jì) 開啟全審計(jì)志存志志通知。WINDOWS議使用全模板擴(kuò)全志文小（議最 10M）果啟用了登陸事、策略、登陸、失審核那么任何侵都將在志痕跡。定掃描（查和全面檢查相結(jié)合）檢查是否安最全是否用、文面它應(yīng)用定志記錄全事析計(jì)。UNIX登陸、全相志定查、歸檔通用全通用應(yīng)了解全情況