網(wǎng)絡(luò)安全-系統(tǒng)安全管理制度V1

XXX單位系統(tǒng)安全管理制度V1.020XX年XX月XX日目錄TOC\o"1-5"\h\z\o"CurrentDocument"1目的3\o"CurrentDocument"2適用范圍33管理內(nèi)容和辦法3操作系統(tǒng)安全管理3\o"CurrentDocument"數(shù)據(jù)庫(kù)系統(tǒng)安全管理4\o"CurrentDocument"系統(tǒng)上線前的安全檢查5\o"CurrentDocument"系統(tǒng)補(bǔ)丁安全管理5\o"CurrentDocument"漏洞發(fā)現(xiàn)與安全通告要求5\o"CurrentDocument"測(cè)試與安裝前準(zhǔn)備要求6\o"CurrentDocument"信息安全等級(jí)保護(hù)6\o"CurrentDocument"4附則71目的為規(guī)范系統(tǒng)的管理和運(yùn)行維護(hù)，提高服務(wù)質(zhì)量，保障信息系統(tǒng)安全、穩(wěn)定運(yùn)行，特制定本制度。2適用范圍本制度適用于XXX單位系統(tǒng)安全管理和運(yùn)行工作。3管理內(nèi)容和辦法操作系統(tǒng)安全管理1）身份鑒別應(yīng)提供用戶身份標(biāo)識(shí)唯一和鑒別信息復(fù)雜度檢查功能，保證系統(tǒng)中不存在重復(fù)用戶身份標(biāo)識(shí)，身份鑒別信息不易被冒用。應(yīng)更改默認(rèn)的系統(tǒng)管理員帳號(hào)和口令，管理員帳號(hào)應(yīng)采用實(shí)名制。應(yīng)啟用控制臺(tái)鎖定功能，屏幕保護(hù)程序在恢復(fù)控制臺(tái)顯示之前，應(yīng)要求用戶名和口令認(rèn)證。應(yīng)對(duì)操作系統(tǒng)文件、目錄的訪問權(quán)限進(jìn)行控制。應(yīng)提供登錄失敗處理功能，并且采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施。禁止從互聯(lián)網(wǎng)遠(yuǎn)程登錄服務(wù)器，內(nèi)部網(wǎng)絡(luò)登錄服務(wù)器應(yīng)該限制其登錄源IP或MAC地址以及用戶捆綁。2）只啟用系統(tǒng)需要發(fā)揮作用的服務(wù)，并開啟其端口，限制或關(guān)閉不需要的服務(wù)或端口。3）關(guān)鍵業(yè)務(wù)信息系統(tǒng)要定期進(jìn)行漏洞檢查，并確定是否需要進(jìn)行安全加固，必須定期更新操作系統(tǒng)防病毒軟件特征庫(kù)，并做好記錄。Windows操作系統(tǒng)應(yīng)進(jìn)行注冊(cè)表安全檢查（如：禁止在任何驅(qū)動(dòng)器上自動(dòng)運(yùn)行任何程序，用星號(hào)掩藏任何口令輸入等）。5）應(yīng)開啟訪問、認(rèn)證、授權(quán)的安全審計(jì)策略；啟用日志審計(jì)功能。6）時(shí)鐘同步設(shè)置，XX單位內(nèi)所有等保二、三級(jí)的信息系統(tǒng)及相關(guān)的重要網(wǎng)絡(luò)設(shè)備的時(shí)鐘應(yīng)使用已設(shè)的精確時(shí)間源進(jìn)行同步。數(shù)據(jù)庫(kù)系統(tǒng)安全管理1）數(shù)據(jù)庫(kù)環(huán)境安全數(shù)據(jù)庫(kù)服務(wù)器應(yīng)當(dāng)置于單獨(dú)的服務(wù)器區(qū)域，任何對(duì)這些數(shù)據(jù)庫(kù)服務(wù)器的物理訪問均應(yīng)受到控制。數(shù)據(jù)庫(kù)服務(wù)器所在的服務(wù)器區(qū)域邊界應(yīng)部署防火墻或其它邏輯隔離設(shè)施。數(shù)據(jù)庫(kù)系統(tǒng)的宿主操作系統(tǒng)除提供數(shù)據(jù)庫(kù)服務(wù)外，不得提供其它網(wǎng)絡(luò)服務(wù)，如：WWW、FTP、DNS等。應(yīng)在宿主操作系統(tǒng)中設(shè)置本地?cái)?shù)據(jù)庫(kù)專用帳號(hào)，并賦予該賬戶除運(yùn)行各種數(shù)據(jù)庫(kù)服務(wù)外的最低權(quán)限。應(yīng)對(duì)數(shù)據(jù)庫(kù)系統(tǒng)安裝目錄及相應(yīng)文件訪問權(quán)限進(jìn)行控制，如：禁止除專用賬戶外的其它賬戶修改、刪除、創(chuàng)建子目錄或文件。2）數(shù)據(jù)庫(kù)系統(tǒng)安裝、啟動(dòng)與更新應(yīng)注意生產(chǎn)數(shù)據(jù)庫(kù)系統(tǒng)應(yīng)與開發(fā)數(shù)據(jù)庫(kù)系統(tǒng)物理分離，確保沒有安裝未使用的數(shù)據(jù)庫(kù)系統(tǒng)組件或模塊。僅開啟必須的數(shù)據(jù)庫(kù)系統(tǒng)服務(wù)。經(jīng)過測(cè)試，在確保數(shù)據(jù)庫(kù)系統(tǒng)穩(wěn)定運(yùn)行的前提下，安裝最新補(bǔ)丁。數(shù)據(jù)庫(kù)系統(tǒng)管理員應(yīng)定期檢查數(shù)據(jù)庫(kù)系統(tǒng)完整性。3）數(shù)據(jù)庫(kù)對(duì)象安全應(yīng)更改默認(rèn)數(shù)據(jù)系統(tǒng)管理員帳號(hào)和口令。應(yīng)對(duì)數(shù)據(jù)文件訪問權(quán)限進(jìn)行控制，如：禁止除專用賬戶外的其它賬戶訪問、修改、刪除數(shù)據(jù)文件。刪除不需要的示例數(shù)據(jù)庫(kù)，在允許存在的示例數(shù)據(jù)庫(kù)中嚴(yán)格控制數(shù)據(jù)庫(kù)賬戶的權(quán)限。具體數(shù)據(jù)庫(kù)權(quán)限管理要求參見532章節(jié)部分。應(yīng)注意刪除或禁用不需要的數(shù)據(jù)庫(kù)存儲(chǔ)過程。對(duì)于數(shù)據(jù)庫(kù)中的敏感字段，如：口令等，應(yīng)加密保存。應(yīng)啟用數(shù)據(jù)庫(kù)日志審計(jì)功能。定期對(duì)數(shù)據(jù)庫(kù)配置參數(shù)進(jìn)行備份，數(shù)據(jù)庫(kù)數(shù)據(jù)備份、恢復(fù)管理。系統(tǒng)上線前的安全檢查系統(tǒng)在上線前應(yīng)進(jìn)行安全檢查，檢查至少包括以下內(nèi)容：1）認(rèn)證口令存儲(chǔ)是否加密。2）是否具有登錄認(rèn)證失敗后的處理方式。3）是否對(duì)不同用戶的訪問權(quán)限進(jìn)行嚴(yán)格的訪問控制，特定權(quán)限的用戶只能看到和使用特定的界面及相應(yīng)的功能。4）系統(tǒng)是否存在安全漏洞。5）日志記錄內(nèi)容是否滿足審計(jì)要求，日志保存時(shí)間是否在兩個(gè)月以上。6）是否設(shè)置了時(shí)鐘同步。系統(tǒng)補(bǔ)丁安全管理1）系統(tǒng)軟件管理范圍包括服務(wù)器上運(yùn)行的操作系統(tǒng)和應(yīng)用軟件，網(wǎng)絡(luò)及安全設(shè)備上運(yùn)行的操作系統(tǒng)等。2）安全補(bǔ)丁根據(jù)其對(duì)應(yīng)漏洞的嚴(yán)重程度分為三個(gè)級(jí)別：緊急補(bǔ)丁、重要補(bǔ)丁和一般補(bǔ)??；緊急補(bǔ)丁必須在15天內(nèi)完成安裝，重要補(bǔ)丁必須在一個(gè)月內(nèi)完成安裝，一般補(bǔ)丁要求六個(gè)月內(nèi)完成安裝。特殊情況另外處理。3）本局范圍內(nèi)同類型設(shè)備應(yīng)保持裝載軟件版本，補(bǔ)丁的一致性。4）做好應(yīng)用軟件版本及安全補(bǔ)丁的歸檔管理，以備回滾或系統(tǒng)重裝時(shí)使用，并建立相關(guān)的文檔資料收集和整理工作。漏洞發(fā)現(xiàn)與安全通告要求1）信息中心及時(shí)收集系統(tǒng)軟件存在的漏洞，及時(shí)發(fā)布預(yù)警工作。2）應(yīng)定期進(jìn)行漏洞掃描，對(duì)發(fā)現(xiàn)的安全漏洞進(jìn)行及時(shí)的修補(bǔ)。3）安全管理員通過郵件形式統(tǒng)一向各級(jí)系統(tǒng)管理員、系統(tǒng)維護(hù)人員通告安全補(bǔ)丁信息。4）安全管理員負(fù)責(zé)對(duì)安全補(bǔ)丁進(jìn)行完整性校驗(yàn)，確保獲取的安全補(bǔ)丁軟件未被修改和可用。測(cè)試與安裝前準(zhǔn)備要求1）補(bǔ)丁安裝之前應(yīng)經(jīng)過嚴(yán)格的測(cè)試，不應(yīng)未經(jīng)測(cè)試直接在現(xiàn)有系統(tǒng)上安裝補(bǔ)丁。2）應(yīng)用軟件版本升級(jí)測(cè)試盡可能由系統(tǒng)集成商負(fù)責(zé)實(shí)施，業(yè)務(wù)系統(tǒng)管理員負(fù)責(zé)協(xié)調(diào)，應(yīng)對(duì)補(bǔ)丁的現(xiàn)場(chǎng)測(cè)試限定測(cè)試時(shí)間，測(cè)試完成后需要編寫詳細(xì)的測(cè)試報(bào)告,給出明確的測(cè)試結(jié)論。補(bǔ)丁測(cè)試的內(nèi)容包括補(bǔ)丁安裝測(cè)試、補(bǔ)丁功能性測(cè)試、補(bǔ)丁兼容性測(cè)試和補(bǔ)丁回退測(cè)試。3）服務(wù)器的補(bǔ)丁安裝，盡可能在其他備用設(shè)備上進(jìn)行測(cè)試。4）安全測(cè)試主要測(cè)試補(bǔ)丁安裝過程是否正確無誤，補(bǔ)丁安裝后系統(tǒng)是否正常啟動(dòng)；5）補(bǔ)丁功能性測(cè)試主要測(cè)試補(bǔ)丁是否對(duì)安全漏洞進(jìn)行了修補(bǔ)；6）補(bǔ)丁兼容性測(cè)試主要測(cè)試補(bǔ)丁加載后是否對(duì)應(yīng)用系統(tǒng)帶來影響，業(yè)務(wù)是否可以正常運(yùn)行；7）補(bǔ)丁回退測(cè)試主要包括補(bǔ)丁卸載測(cè)試、系統(tǒng)還原測(cè)試。8）各業(yè)務(wù)系統(tǒng)管理員應(yīng)把補(bǔ)丁的測(cè)試報(bào)告，提交給安全管理員，并提交信息中心負(fù)責(zé)人進(jìn)行審核，審核通過后方可進(jìn)行補(bǔ)丁安裝。9）為確保系統(tǒng)集成商及時(shí)配合補(bǔ)丁的測(cè)試和安裝工作，需要通過合同的方式，明確集成商的安全補(bǔ)丁測(cè)試和安裝責(zé)任，約束條款至少應(yīng)包括：實(shí)驗(yàn)室測(cè)試環(huán)境的搭建，在規(guī)定時(shí)間內(nèi)完成補(bǔ)丁測(cè)試，補(bǔ)丁的安裝，補(bǔ)丁安裝失敗時(shí)的測(cè)試與分析，補(bǔ)丁與應(yīng)用沖突時(shí)的系統(tǒng)改造和升級(jí)工作。10）補(bǔ)丁安裝的觸發(fā)條件是安全檢查，巡檢發(fā)現(xiàn)，功能需求，主動(dòng)漏洞掃描等。補(bǔ)丁應(yīng)經(jīng)測(cè)試并得到信息安全工作組審核通過，由負(fù)責(zé)業(yè)務(wù)組在ITSM服務(wù)系統(tǒng)上發(fā)起事件申請(qǐng)，并提交實(shí)施方案，測(cè)試工作具體由涉及相關(guān)業(yè)務(wù)組測(cè)試或協(xié)助測(cè)試。信息安全等級(jí)保護(hù)1）系統(tǒng)定級(jí)及審批xx單位本部、直屬中心機(jī)構(gòu)及其直屬單位應(yīng)依據(jù)國(guó)家頒布的《信息安全等級(jí)保護(hù)管理辦法》對(duì)信息系統(tǒng)安全進(jìn)行定級(jí)。安全保護(hù)等級(jí)為第二級(jí)及以上的系統(tǒng)，應(yīng)當(dāng)在系統(tǒng)投入運(yùn)行后30日內(nèi)辦理備案手續(xù)。信息安全等級(jí)保護(hù)應(yīng)遵循“自主定級(jí)、自主保護(hù)”原則，各直屬單位三級(jí)及以上信息系統(tǒng)，報(bào)XX單位審核批準(zhǔn)后，到所在地的公安機(jī)關(guān)辦理備案手續(xù)；XX單位本部三級(jí)及以上信息系統(tǒng)向廣東省公安廳備案。2）信息系統(tǒng)等級(jí)測(cè)評(píng)等級(jí)測(cè)評(píng)工作應(yīng)由具有國(guó)家相關(guān)技術(shù)資質(zhì)和安全資質(zhì)的測(cè)評(píng)單位承擔(dān)。對(duì)于新建、改建、擴(kuò)建的二級(jí)及以上信息系統(tǒng)，應(yīng)該依照相關(guān)規(guī)定，經(jīng)測(cè)評(píng)機(jī)構(gòu)測(cè)評(píng)合格方可投入使用，安全測(cè)評(píng)