系統(tǒng)安全管理辦法(共7頁(yè))

1、精選優(yōu)質(zhì)文檔-傾情為你奉上系統(tǒng)安全管理辦法修訂記錄版本編號(hào)修訂日期主要修訂摘要審核記錄審核人員屬于部門審核日期第一章 總則第一條 為規(guī)范動(dòng)研所中國(guó)航發(fā)湖南動(dòng)力機(jī)械研究所（以下簡(jiǎn)稱“動(dòng)研所”）系統(tǒng)的技術(shù)管理和維護(hù)工作，確保系統(tǒng)安全運(yùn)轉(zhuǎn)和系統(tǒng)運(yùn)行管理的及時(shí)、高效、規(guī)范系統(tǒng)操作，加強(qiáng)內(nèi)部控制，最大程度地防范技術(shù)操作風(fēng)險(xiǎn)，特制定本管理辦法。第二條 本管理辦法適用于動(dòng)研所信息化技術(shù)研究部對(duì)信息系統(tǒng)的安全管理。第二章 系統(tǒng)安全管理第三條 禁用不必要的服務(wù)，盡量將系統(tǒng)中不用的服務(wù)、尤其是一些暫時(shí)不用的網(wǎng)絡(luò)服務(wù)關(guān)閉，從而使系統(tǒng)遭受攻擊的可能性降至最低。第四條 系統(tǒng)遵循最小權(quán)限原則，系統(tǒng)只能授予應(yīng)用程序和用戶必

2、要的權(quán)限，而不能授予額外的權(quán)限。第五條 服務(wù)器需安裝軟件防火墻，由動(dòng)研所信息化技術(shù)研究部統(tǒng)一部署，病毒庫(kù)統(tǒng)一升級(jí)。第六條 對(duì)于重要的數(shù)據(jù)進(jìn)行加密。第七條 安全性能評(píng)估，對(duì)于安全產(chǎn)品應(yīng)選用經(jīng)過國(guó)內(nèi)、國(guó)外權(quán)威第三方認(rèn)證的安全產(chǎn)品，系統(tǒng)管理員應(yīng)隨時(shí)保持警惕以預(yù)防攻擊事件的發(fā)生或者將攻擊的危害降至最低。第八條 對(duì)系統(tǒng)漏洞情況每年至少進(jìn)行一次掃描，對(duì)漏洞風(fēng)險(xiǎn)持續(xù)跟蹤，在經(jīng)過充分的驗(yàn)證測(cè)試后對(duì)必要的漏洞開展修補(bǔ)工作，實(shí)施漏洞掃描或漏洞修補(bǔ)前，對(duì)可能的風(fēng)險(xiǎn)進(jìn)行評(píng)估和充分準(zhǔn)備,選擇恰當(dāng)時(shí)間，并做好數(shù)據(jù)備份和回退方案，漏洞掃描或漏洞修補(bǔ)后應(yīng)進(jìn)行驗(yàn)證測(cè)試，以保證系統(tǒng)的正常運(yùn)行，掃描后記錄掃描情況，填寫系統(tǒng)安全掃描

3、情況記錄表（附錄1）。第九條 持續(xù)跟蹤廠商提供的系統(tǒng)升級(jí)更新情況，應(yīng)在經(jīng)過充分的測(cè)試評(píng)估后對(duì)必要的補(bǔ)丁進(jìn)行及時(shí)更新，填寫系統(tǒng)與網(wǎng)絡(luò)設(shè)備補(bǔ)丁分析評(píng)估表（附錄2），在安裝系統(tǒng)補(bǔ)丁前對(duì)現(xiàn)有的重要文件進(jìn)行備份，并對(duì)備份情況和系統(tǒng)升級(jí)情況進(jìn)行記錄，填寫系統(tǒng)及網(wǎng)絡(luò)設(shè)備升級(jí)記錄表（附錄3）。第十條 至少每月對(duì)運(yùn)行日志和審計(jì)數(shù)據(jù)進(jìn)行分析。第三章 系統(tǒng)訪問控制要求第十一條 用戶或者應(yīng)用程序訪問系統(tǒng)資源時(shí)要求系統(tǒng)管理員通過設(shè)置必要的選項(xiàng)完成以下功能：1. 提供適當(dāng)?shù)纳矸蒡?yàn)證方法。2. 識(shí)別和驗(yàn)證身份。3. 記錄成功和失敗的系統(tǒng)訪問（日志信息）。4. 根據(jù)情況限制用戶連接時(shí)間。第十二條 登錄程序應(yīng)最大限度地減少公開

4、的信息，以避免非法用戶使用。登錄程序應(yīng)：1. 在登錄過程未成功之前禁止顯示系統(tǒng)或應(yīng)用的標(biāo)識(shí)。2. 顯示一般性注意事項(xiàng)。提醒用戶只有合法用戶才能訪問計(jì)算機(jī)。3. 登錄期間禁止提供幫助消息。4. 只有所有輸入數(shù)據(jù)完成后才能驗(yàn)證登錄信息。5. 應(yīng)限制允許登錄的失敗次數(shù)為3次。6. 限制登錄程序允許的時(shí)間上限和下限。如果超過限制，則系統(tǒng)必須終止登錄過程。7. 成功登錄后，宜顯示以下信息：1) 以前成功登錄的日期和時(shí)間。2) 上次成功登錄以來(lái)登錄失敗的詳細(xì)情況。第十三條 登錄超時(shí)要求1. 當(dāng)系統(tǒng)超時(shí)未激活時(shí)，應(yīng)能夠自動(dòng)鎖住系統(tǒng)，防止非法訪問，但不宜關(guān)閉應(yīng)用或網(wǎng)絡(luò)會(huì)話。2. 超時(shí)的時(shí)間設(shè)置取決于連接系統(tǒng)的

5、重要程度、終端風(fēng)險(xiǎn)暴露程度以及終端上信息的業(yè)務(wù)價(jià)值。第四章 用戶賬號(hào)安全第十四條 用戶身份識(shí)別和驗(yàn)證1. 信息系統(tǒng)所有用戶都應(yīng)擁有個(gè)人專用的唯一標(biāo)識(shí)符（用戶ID）以便操作能夠追溯到具體責(zé)任人。但是在認(rèn)證和授權(quán)體系沒有建立之前，特定操作系統(tǒng)內(nèi)所有的用戶必須有一個(gè)唯一的ID，并且該ID名稱不能讓人猜測(cè)到該用戶的權(quán)限級(jí)別，如管理員、主管等。2. 對(duì)于每一個(gè)申請(qǐng)使用系統(tǒng)的用戶，應(yīng)要求填寫系統(tǒng)賬號(hào)申請(qǐng)表（附錄4），并在表格中包含動(dòng)研所的密碼安全政策規(guī)范，明確違反該規(guī)范的后果和責(zé)任，同時(shí)要求用戶簽名以產(chǎn)生法律效力，并在系統(tǒng)賬戶登記表進(jìn)行登記。3. 對(duì)于用戶身份的驗(yàn)證，宜采用多種身份驗(yàn)證程序來(lái)加以證實(shí)?？诹?/p>

6、是一種很常見的身份識(shí)別和驗(yàn)證方法。采用加密方法和身份驗(yàn)證協(xié)議也可達(dá)到同樣的效果。也可使用用戶的內(nèi)存標(biāo)記或智能卡等進(jìn)行身份識(shí)別和驗(yàn)證。也可使用基于個(gè)人唯一特點(diǎn)或特性的生物統(tǒng)計(jì)學(xué)身份驗(yàn)證技術(shù)來(lái)驗(yàn)證用戶身份。將安全技術(shù)和安全機(jī)制結(jié)合起來(lái)可進(jìn)行更為嚴(yán)格的身份驗(yàn)證。第十五條 用戶賬號(hào)過期1. 設(shè)置用戶賬號(hào)的有效有效期為一年。2. 當(dāng)某一個(gè)用戶賬號(hào)過期時(shí)，系統(tǒng)維修檢查確認(rèn)該用戶賬號(hào)所對(duì)應(yīng)的員工是否還留在動(dòng)研所，如果不是則將該賬號(hào)自動(dòng)刪除，否則繼續(xù)激活該用戶賬號(hào)。3. 如果用戶賬號(hào)過期了但是用戶無(wú)法聯(lián)系到，先將其用戶賬號(hào)鎖住，等用戶回來(lái)以后按需要激活。第十六條 Guest賬號(hào)1. 應(yīng)禁止長(zhǎng)期保留Guest賬

7、號(hào)。2. 當(dāng)系統(tǒng)安裝完成后必須視情況禁用Guest賬號(hào)，當(dāng)用戶確實(shí)需要Guest賬號(hào)進(jìn)行臨時(shí)的訪問時(shí)，才可將Guest賬號(hào)激活。3. 應(yīng)確保Guest賬號(hào)的口令安全。第十七條 所有操作系統(tǒng)應(yīng)禁止使用無(wú)口令的用戶賬號(hào)。第十八條 除非有特殊的要求，不應(yīng)有多個(gè)用戶共享一個(gè)用戶ID和口令，而應(yīng)使用用戶組的概念來(lái)代替。第十九條 用戶賬號(hào)安全其它事項(xiàng)1. 用戶賬號(hào)重命名，也就是對(duì)默認(rèn)的賬號(hào)重命名。包括administrator、Guest以及其它一些在安裝統(tǒng)計(jì)時(shí)（如ISS）自動(dòng)建立的賬號(hào)。2. 建立偽管理員賬號(hào)，如在系統(tǒng)中建立用戶名為“administrator”的用戶，并設(shè)定一個(gè)難以推測(cè)的口令，但是不賦

8、予其真正的管理員權(quán)限。第七章 文件系統(tǒng)安全第二十條 文件系統(tǒng)的安全是指系統(tǒng)中所有文件的安全，包括所有操作系統(tǒng)管理的設(shè)備資源的安全問題，例如打印機(jī)。文件系統(tǒng)的安全是系統(tǒng)安全的最后防線，主要通過兩種方式實(shí)現(xiàn)文件系統(tǒng)安全。1. 通過文件系統(tǒng)權(quán)限控制文件被惡意地址訪問或者在任何未經(jīng)適當(dāng)授權(quán)的情況下被訪問。2. 通過對(duì)文件進(jìn)行適當(dāng)?shù)丶用軐?shí)現(xiàn)。第八章 附則第二十一條 本管理辦法由信息化技術(shù)研究部負(fù)責(zé)解釋。第二十二條 本管理辦法自發(fā)布之日起執(zhí)行。附錄1：系統(tǒng)安全掃描情況記錄表系統(tǒng)安全掃描情況匯總表編號(hào)： 日期：提交人掃描日期掃描情況概述設(shè)備名稱多開端口漏洞情況主要隱患說明緊急風(fēng)險(xiǎn)高風(fēng)險(xiǎn)中風(fēng)險(xiǎn)低風(fēng)險(xiǎn)加固建議附

9、錄2：系統(tǒng)與網(wǎng)絡(luò)設(shè)備補(bǔ)丁分析評(píng)估表系統(tǒng)和網(wǎng)絡(luò)設(shè)備補(bǔ)丁分析評(píng)估表編號(hào)： 填表人： 日期：補(bǔ)丁描述及可能影響測(cè)試服務(wù)列表補(bǔ)丁分析補(bǔ)丁安裝測(cè)試跟蹤測(cè)試情況補(bǔ)丁安裝計(jì)劃緊急 危險(xiǎn) 不危險(xiǎn) 不適用說明： 機(jī)器重啟正常 漏洞已修改 業(yè)務(wù)系統(tǒng)正常 回退測(cè)試緊急 危險(xiǎn) 不危險(xiǎn) 不適用說明： 機(jī)器重啟正常 漏洞已修改 業(yè)務(wù)系統(tǒng)正常 回退測(cè)試緊急 危險(xiǎn) 不危險(xiǎn) 不適用說明： 機(jī)器重啟正常 漏洞已修改 業(yè)務(wù)系統(tǒng)正常 回退測(cè)試領(lǐng)導(dǎo)審批意見： 簽字：附件3：系統(tǒng)及網(wǎng)絡(luò)設(shè)備升級(jí)記錄表系統(tǒng)及網(wǎng)絡(luò)設(shè)備升級(jí)記錄表編號(hào)： 填表人： 日期： 審批編號(hào)補(bǔ)丁完整性、安全性校驗(yàn)設(shè)備列表數(shù)據(jù)備份具體升級(jí)時(shí)間驗(yàn)證檢查操作員復(fù)核跟蹤監(jiān)控 (簽字并注明時(shí)間) 已備份 機(jī)器重啟正常 漏洞已修改 業(yè)務(wù)系統(tǒng)正常 已備份 機(jī)器重啟正常 漏洞已修改 業(yè)務(wù)系統(tǒng)正常 已備份 機(jī)器重啟正常 漏洞已修改 業(yè)務(wù)系統(tǒng)正常 已備份 機(jī)器重啟正常 漏洞已修改 業(yè)務(wù)系統(tǒng)正常 已備份 機(jī)器重啟正常 漏洞已修改 業(yè)務(wù)系統(tǒng)正常附件4：系統(tǒng)賬號(hào)申請(qǐng)表系統(tǒng)帳號(hào)申請(qǐng)表編號(hào)： 時(shí)間：申請(qǐng)人所屬動(dòng)研所/部門聯(lián)系電話工號(hào)申請(qǐng)時(shí)間（年月日）申請(qǐng)人職位描述帳號(hào)申請(qǐng)目的帳號(hào)所屬業(yè)務(wù)網(wǎng)名稱變更類型創(chuàng)建 變更 撤銷帳號(hào)使