信息系统运行维护及安全管理规定

适配人群总公司信息管理员,所属单位信息员,网络系统维护员使用场景网络接入审批,局域网运维,数据异地备份
制定目的怕系统出问题,影响工作。想让网络稳稳的,数据安安全全,大家用得放心。
适用范围管所有用公司网络的人和电脑,还有服务器、交换机这些设备。
职责分工办公室管总公司网络,各单位信息员管自己单位网络。办公室检查,信息员执行,一起配合。
禁止行为不准私设ip地址,不准盗用别人ip,不准随便卸载杀毒软件,不准外网远程改数据库。
检查与监督办公室发通知,各单位信息员学完签字。每月抽查一次,没做到就停网整改,再犯要通报。

第一章 总则

第一条 为了确保总公司信息系统的安全、稳定和可靠运行,充分发挥信息系统的作用,依据《计算机信息网络国际联网安全保护管理办法》,结合总公司实际,特制定本规定。

第二条 本规定所称的信息系统,是指由网络传输介质、网络设备及服务器、计算机终端所构成的,为正常业务提供应用及服务的硬件、软件的集成系统。

第三条 信息系统安全管理实行统一规划、统一规范、分级管理和分级负责的原则。

第二章 管理机构及职责

第四条 总公司办公室是公司信息系统运行维护和安全管理的主管部门,其安全管理职责是:

(一)负责总公司机关内互联网的运行管理,保证与城建局、各所属单位网络连接的畅通;

(二)负责总公司机关局域网的运行维护管理;

(三)落实安全技术措施,保障总公司信息系统的运行安全和信息安全;

(四)指导、协调所属单位局域网系统的安全运行管理。

第五条 总公司各所属单位信息员负责本单位局域网的运行维护和安全管理,服从总公司办公室的指导和管理。其安全管理职责是:

(一)负责广域网本单位节点、本单位局域网的运行维护和安全管理,保证与总公司网络连接的畅通;

(二)负责本单位人员的信息安全教育和培训,建立健全安全管理制度;

(三)与总公司办公室密切配合,共同做好总公司信息系统的安全运行、管理和维护工作。

第三章 网络接入及ip地址管理

第六条 需要接入总公司网络的所属单位应向总公司办公室提交申请,经审批同意后方可接入。

第七条 总公司机关内部局域网的ip地址由办公室统一规划、管理和分配,ip地址的申请、补充、更换均需办理相关手续。

第八条 申请与使用ip地址,应与登记的联网计算机网卡的以太网地址(mac地址,即硬件地址)捆绑,以保证一个ip地址只对应一个网卡地址。

第九条 入网单位和个人应严格使用由总公司办公室及本单位网络管理员分配的ip地址和指定的网关和掩码。严禁盗用他人ip地址或私自设置ip地址。总公司办公室有权切断私自设置的ip地址入网,以保证总公司内部局域网的正常运行。

第四章 安全运行管理

第十条 总公司机关和各所属单位均应指定专人担任信息系统管理员,负责信息系统的日常运行维护、故障处理及性能调优工作。

第十一条 建立电子设备运行档案,对所发生的故障、处理过程和结果等要做好详细的记录。关键设备应有备品备件,并进行定期的检测和维护,确保随时处于可用状态。

第十二条 系统软件(操作系统和数据库)必须使用正版软件,其选用应充分考虑软件的安全性、可靠性、稳定性,并具备身份验证、访问控制、故障恢复、安全保护、安全审计、分权制约等功能。

第十三条 对会影响到全公司的硬件设备或软件的更改、调试等操作应预先制定具体实施方案,必要时准备好后备配件和应急措施。

第十四条 数据库管理系统和关键网络设备(如服务器、防火墙、交换机等)的口令必须使用强口令,由专人掌管,定期更换。

第十五条 业务信息系统应严格控制操作权限,原则上采用专人专用的用户名及密码登录;对数据库的维护不允许通过外网远程登录进行。

第十六条 接入总公司信息系统的所有服务器和计算机均应采用国家许可的正版防病毒软件并及时更新软件版本,发现问题及时解决。具体措施如下:

(一)所有计算机全部安装和使用网络版防毒软件,未经许可,不得随意禁用或卸载,并设置好定期升级和杀毒的安全策略;

(二)对新购进的、修复的或重新启用的计算机设备,必须预先进行计算机病毒检查后方可安装运行;

(三)杜绝病毒传播的各种途径,光盘和优盘等存储介质及经远程通信传送的程序或数据在使用前应进行病毒检测,如工作需要使用共享目录,必须做好有关防范措施;

(四)在接入internet网时,严格控制下载软件,谨慎接收电子邮件;在接收电子邮件时,不随意打开附件;

(五)当出现计算机病毒传染迹象时,立即拔掉网线,隔离被感染的系统和网络,并进行处理,不应带“毒”继续运行。

第十七条 总公司及所属各单位信息系统如发生严重的网络中断故障,应按规定进行先期处置,同时报总公司办公室。

第六章 数据管理

第十八条 系统管理员应对系统数据(主要包括数据字典、权限设置、存储分配、网络地址、网管参数、硬件配置及其他系统配置参数)实施严格的安全与保密管理,并定期核对,防止系统数据的非法生成、变更、泄漏、丢失与破坏。

第十九条 各单位应定期进行数据备份,保证系统发生故障时能够迅速恢复;业务数据必须设置在线定时自动备份策略,必要时应采用双机备份。

第二十条 各单位重要业务数据必须每年定期、完整、真实、准确地转储到不可更改的介质上,实行集中存储和异地保管,保存期至少2年。备份数据不得更改,应指定专人负责保管和登记。

第二十一条 各单位业务数据不得随意进行数据恢复,因数据丢失或故障确需恢复的,应由系统管理员报本单位信息化工作部门,经批准后方可进行数据恢复操作,并做好记录。

第二十二条 总公司信息系统的数据采集、存储、处理、传递、输出和发布应遵守计算机信息系统相关保密管理规定,以保证公司信息系统无泄密事件发生。

第七章 附则

第二十三条 本办法由总公司办公室负责解释。

第二十四篥 本办法自印发之日起施行。

信息系统运行维护及安全管理规定:信息系统运行维护安全

适配人群信息系统管理员,单位信息员,网络运维人员使用场景网络接入管理,局域网运维,数据备份恢复
制定目的信息系统老出问题,怕影响业务,想让网络稳一点、安全一点、别老断网。
适用范围总公司和所有下属单位,管电脑、服务器、网络设备、ip地址、防病毒这些事。
职责分工办公室牵头管全局,各单位信息员管自己地盘,管理员盯日常运行,办公室查落实。
禁止行为不准私设ip、不准盗用别人ip、不准随便卸载杀毒软件、不准外网远程登数据库、不准带毒上网。
检查与监督办公室定方案,信息员执行,每月检查记录,没做到就断网整改,故障要马上报,备份要定期做,不按时做就通报。

第一章 总则

第一条 为了确保总公司信息系统的安全、稳定和可靠运行,充分发挥信息系统的作用,依据《计算机信息网络国际联网安全保护管理办法 <>;;》,结合总公司实际,特制定本规定。

第二条 本规定所称的信息系统,是指由网络传输介质、网络设备及服务器、计算机终端所构成的,为正常业务提供应用及服务的硬件、软件的集成系统。

第三条 信息系统安全管理实行统一规划、统一规范、分级管理和分级负责的原则。

第二章 管理机构及职责

第四条 总公司办公室是公司信息系统运行维护和安全管理的主管部门,其安全管理职责是:

(一)负责总公司机关内互联网的运行管理,保证与城建局、各所属单位网络连接的畅通;

(二)负责总公司机关局域网的运行维护管理;

(三)落实安全技术措施,保障总公司信息系统的运行安全和信息安全;

(四)指导、协调所属单位局域网系统的安全运行管理。

第五条 总公司各所属单位信息员负责本单位局域网的运行维护和安全管理,服从总公司办公室的指导和管理。其安全管理职责是:

(一)负责广域网本单位节点、本单位局域网的运行维护和安全管理,保证与总公司网络连接的畅通;

(二)负责本单位人员的信息安全教育和培训,建立健全安全管理制度;

(三)与总公司办公室密切配合,共同做好总公司信息系统的安全运行、管理和维护工作。

第三章 网络接入及ip地址管理

第六条 需要接入总公司网络的所属单位应向总公司办公室提交申请,经审批同意后方可接入。

第七条 总公司机关内部局域网的ip地址由办公室统一规划、管理和分配,ip地址的申请、补充、更换均需办理相关手续。

第八条 申请与使用ip地址,应与登记的联网计算机网卡的以太网地址(mac地址,即硬件地址)捆绑,以保证一个ip地址只对应一个网卡地址。

第九条 入网单位和个人应严格使用由总公司办公室及本单位网络管理员分配的ip地址和指定的网关和掩码。严禁盗用他人ip地址或私自设置ip地址。总公司办公室有权切断私自设置的ip地址入网,以保证总公司内部局域网的正常运行。

第四章 安全运行管理

第十条 总公司机关和各所属单位均应指定专人担任信息系统管理员,负责信息系统的日常运行维护、故障处理及性能调优工作。

第十一条 建立电子设备运行档案,对所发生的故障、处理过程和结果等要做好详细的记录。关键设备应有备品备件,并进行定期的检测和维护,确保随时处于可用状态。

第十二条 系统软件(操作系统和数据库)必须使用正版软件,其选用应充分考虑软件的安全性、可靠性、稳定性,并具备身份验证、访问控制、故障恢复、安全保护、安全审计、分权制约等功能。

第十三条 对会影响到全公司的硬件设备或软件的更改、调试等操作应预先制定具体实施方案,必要时准备好后备配件和应急措施。

第十四条 数据库管理系统和关键网络设备(如服务器、防火墙、交换机等)的口令必须使用强口令,由专人掌管,定期更换。

第十五条 业务信息系统应严格控制操作权限,原则上采用专人专用的用户名及密码登录;对数据库的维护不允许通过外网远程登录进行。

第十六条 接入总公司信息系统的所有服务器和计算机均应采用国家许可的正版防病毒软件并及时更新软件版本,发现问题及时解决。具体措施如下:

(一)所有计算机全部安装和使用网络版防毒软件,未经许可,不得随意禁用或卸载,并设置好定期升级和杀毒的安全策略;

(二)对新购进的、修复的或重新启用的计算机设备,必须预先进行计算机病毒检查后方可安装运行;

(三)杜绝病毒传播的各种途径,光盘和优盘等存储介质及经远程通信传送的程序或数据在使用前应进行病毒检测,如工作需要使用共享目录,必须做好有关防范措施;

(四)在接入internet网时,严格控制下载软件,谨慎接收电子邮件;在接收电子邮件时,不随意打开附件;

(五)当出现计算机病毒传染迹象时,立即拔掉网线,隔离被感染的系统和网络,并进行处理,不应带“毒”继续运行。

第十七条 总公司及所属各单位信息系统如发生严重的网络中断故障,应按规定进行先期处置,同时报总公司办公室。

第六章 数据管理

第十八条 系统管理员应对系统数据(主要包括数据字典、权限设置、存储分配、网络地址、网管参数、硬件配置及其他系统配置参数)实施严格的安全与保密管理,并定期核对,防止系统数据的非法生成、变更、泄漏、丢失与破坏。

第十九条 各单位应定期进行数据备份,保证系统发生故障时能够迅速恢复;业务数据必须设置在线定时自动备份策略,必要时应采用双机备份。

第二十条 各单位重要业务数据必须每年定期、完整、真实、准确地转储到不可更改的介质上,实行集中存储和异地保管,保存期至少2年。备份数据不得更改,应指定专人负责保管和登记。

第二十一条 各单位业务数据不得随意进行数据恢复,因数据丢失或故障确需恢复的,应由系统管理员报本单位信息化工作部门,经批准后方可进行数据恢复操作,并做好记录。

第二十二条 总公司信息系统的数据采集、存储、处理、传递、输出和发布应遵守计算机信息系统相关保密管理规定,以保证公司信息系统无泄密事件发生。

第七章 附则

第二十三条本办法由总公司办公室负责解释。

第二十四篥本办法自印发之日起施行。

信息系统运行维护及安全管理规定:某大学继续教育学院信息系统安全

适配人群学院网管人员,部门网络安全责任人,教学机房管理员使用场景教学机房管理,科研数据保护,校园网站运维
制定目的怕系统出事,设备坏、数据丢、人乱搞,让网一直能用,课能上,资料不丢。
适用范围全院老师学生和电脑、服务器、网络、账号、数据这些玩意儿。
职责分工网安部门牵头定规矩、查问题;各部门指定一人管自己地盘;院领导盯着落实。
禁止行为不准私接网线、改ip、装无关软件;不准盗号、乱登设备;不准发违法信息、开代理服务。
检查与监督网安部每月查一次,登记备案;发现毛病三天内整改;没改就通报批评,再犯扣绩效;年底统一考核。

第一章 总则

第一条 为了进一步加强我院信息系统安全管理,保证设施设备、人员及信息安全,确保网络正常运行,根据《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》、《中华人民共和国治安处罚法》第29条、《互联网安全保护技术措施》、《教育行业信息系统安全等级保护定级工作指南(试行)》等相关法律法规的要求,特制定本规定。

第二条 本管理规定所称的网络系统,是指由学校或学院投资购买,由我院维护和管理的,为教学、科研、管理服务的各类网络设备、配套设施、数据资料等软硬件系统的总和。

第二章 机构与制度

第三条 信息系统安全管理应遵循统一管理、分级负责的原则。学院应成立专门部门负责网络安全管理工作。该部门在网络安全责任人的领导下,负责制定和完善相关的管理制度,组织和指导各部门实施网络安全管理工作,监督和评估制度的执行效果。

第四条 学院各部门应指定专人(部门网络安全责任人)负责本部门业务范围所涉及的信息系统安全的管理工作。各部门应结合自身工作性质和特点,制定具体的网络安全管理实施细则,明确工作职责和管理权限,责任要落实到人。

第五条 网络安全主管部门要强化有关网络安全法律、法规和网络安全意识的宣传教育工作,开展多种形式的安全检查,对发现的网络安全隐患,要及时督促整改。

第三章 技术措施

第六条 学院应对服务器、交换机、通信线路、ip地址等网络软硬件资源的使用进行统筹管理,按需分配。任何部门或个人不得通过任何手段私自使用以上资源或更改其用途。网络安全主管部门要对网络资源的使用和分配情况进行登记,并上报学校相关部门备案。

第七条 重要的网络设施设备必须实行专人专管。

第八条 信息系统中账号、密码、权限的安全设置必须符合相关的技术规范。重要的服务器应做到“功能单一、专机专用”,严禁在服务器中安装与其功能无关的服务类软件,不得用服务器做与其功能无关的事。

第九条 严格管理信息系统中的账号和密码,不得向无关的单位和个人提供相关信息(法律法规另有规定除外)。任何人不得以任何手段侦听、破解、盗用账号和密码,严禁登录与本人工作职责无关的网络设备。

第十条 所有接入网络的计算机必须安装防病毒软件;网络服务器必须采取防范网络入侵和攻击的技术手段;定期备份重要数据;网络中的重要设备应采取容灾措施。

第十一条 学院开设的服务器必须启用日志记录功能,记录并留存用户登录和退出时间、操作内容、访问地址或域名等关键信息,历史记录保留时间不得低于60天。

第十二条 对网络中的各类应用软件、数据库系统等信息资源应视其重要程度采取相应的保密措施和权限控制。

第十三条 养成良好的计算机使用习惯,不随意下载和安装不熟悉的软件、不无序存放数据资料、不使用盗版软件、不接收和转发来历不明的电子邮件、不随意访问不熟悉的网站、不随意修改系统参数,及时升级系统和应用软件、及时备份重要的数据资料。

第十四条 学院教学用机房一律不准对社会开放,严禁向学生提供有偿网络服务。在教学过程中不能无限制对教师和学生开通上网服务,应视具体的教学内容而定。

第四章 审查与备案制度

第十五条 学院应建立完备的审查与备案制度。需要审查和备案的事项包括:信息发布、提供网络服务、新建网络设施、申请网络账号等。

第十六条 各部门对外的信息发布的审查和备案工作由部门网络安全责任人负责。学院对外提供网络服务、新建网络设施或申请网络账号等由网络安全主管部门负责向学校提交相关申请和备案工作。

第十七条 未经批准,任何部门和个人不得以学院的名义对外发布信息,不得私自对外开设代理、邮件、文件、信息等网络服务服务。如无特殊需要,学院的服务器一般不对学生和学院以外的人员开通信息发布功能。

第五章 应急处置机制和信息通报制度

第十八条 网络安全事件的处理应坚持“加强监控、主动防范、先期处置、及时汇报”的原则。

第十九条 出现以下情况可视为网络安全事件:

1.网站主页被恶意篡改,出现*、反政府、分裂国家、危害社会稳定等违法言论,出现宣扬色情、暴力、封建迷信的信息或损害他人利益、声誉的不实言论以及其他违法的信息。

2.网络服务器遭受入侵,数据被非法复制、修改、删除等。

3.网络服务器受到攻击,导致服务中断或严重受阻。

4.网络服务器感染计算机病毒,导致重大损失。

第二十条 若发生网络安全事件或疑似网络安全事件,应按以下步骤处理:

1.相关技术人员应立即停止受到影响的服务器、工作站的运行,关闭交换机等网络设备,防止势态蔓延、危害扩大;备份系统和应用软件的各类日志文件及重要的数据文件。

2.立即向学院网络安全主管部门汇报情况,由网络安全责任人召集技术人员对事件的性质进行认定。若确认为网络安全事件,应及时以书面形式向学校相关部门汇报。并在保留证据的前提下,及时修复受损的网络设备和数据。若确由必要,可向学校相关部门提出技术支持的请求。

3.处置完成后应总结教训、查找漏洞,制定相应的防范措施,尽量杜绝相同事件再次发生。

第六章 违约责任与处罚

第二十一条 违反本规定的行为一经查实,学院将视情节给予相应的行政纪律处分,情节严重或造成重大影响和损失的向学校相关部门报告,违反法律者,依法承担相关责任。

第七章 其他

第二十二条 本规定自公布之日起实行。

继续教育学院、应用技术学院

信息系统运行维护及安全管理规定:信息系统设备

适配人群系统工程师,技术部人员,设备管理员使用场景设备入网,机房安置,设备移动
制定目的设备老出问题,怕丢数据,想让机器用得久点,安全点,别一上网就出事。
适用范围管公司所有硬件设备,从买来装上到用坏扔掉全过程。
职责分工技术部牵头干所有事,系统工程师具体操作,信息安全管理小组盯着风险评估和验收。
禁止行为设备不许乱放外面,没做安全测试不能直接联网,敏感信息不删干净不能扔,机房设备不许随便搬走。
检查与监督系统工程师按步骤测试再申请,技术部批了才能入网,入网后要监控一周,有问题马上修,没填《设备维护记录》扣绩效,每月查一次执行情况。

1. 目的和范围

本程序是对信息资产分类中物理资产下的硬件设备的规划、购置、安装、验收、使用、维护、处置等各阶段进行有效控制,在保证设备安全的前提下最大限度发挥设备的效能,同时减少由于设备入网造成安全安全风险。

2. 引用文件

(1) 下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。

(2) iso/iec27001:____信息技术-安全技术-信息安全管理体系要求

(3) iso/iec27002:____信息技术-安全技术-信息安全管理实施细则

(4) 介质管理规定

(5) 笔记本电脑管理规定

(6) 机房管理规定

3. 职责

1) 技术部:负责信息设备的规划、安装、验收、使用、维护、处置。信息设备指公司综合部建设方面所需的硬件设备。负责重大设备或新类设备的安全评估、风险分析和安全验收。

4. 设备管理流程

(1)设备入网

1) 需按设备本身提供的“设备安全操作说明书”进行正确操作和使用,设备在日常使用过程中应注意安全;

2) 系统工程师应查找有关的风险评估报告,确定准备入网的设备是否已做过风险评估。

3) 如果没有类似的设备做过风险分析和处置计划,则应按风险评估的要求,通知信息安全管理小组进行。

4) 如果做过风险分析和处置计划,则应按照相关的处置计划和实施要求,制定设备入网计划。

5) 系统工程师对计划入网的设备在独立的测试环境中进行测试,测试通过后提交综合部审批。

6) 技术部批准入网申请后,由系统工程师组织设备入网。

7) 设备入网应按照处置计划和入网计划对设备进行安全加固。

8) 对入网系统进行一段时间的监控,以观察入网是否生效。如果发现问题,要及时进行处理,必要时要寻求供应商的协助。监控一段时间后,设备担当组织人员进行验收,并通知信息安全管理小组对系统进行安全检测。

(2)设备安置与保护

(3)信息设备安装管理

1) 技术部对信息设备安全的安置与保护工作,包括对温度、湿度的监测和日常的巡检等,详见《机房管理规定》。

2) 信息安全设备的安置应按照设备制造商的说明,安置工作由专业人员进行。

3) 信息安全设备安置要选择能够避免或减少未授权访问的物理场所,应采取措施以减小潜在的物理威胁的风险。

4) 重要系统使用的信息设备安置在专用的机房内。

5) 安置在室外的信息设备要注意防盗、防雨、防雷、防尘、防腐蚀等工作。

6) 确保消防设备充足并随时可用,定期进行消防演练。

(4)支持性设施安置管理

1) 技术部负责信息安全设备支持性设施的管理工作,包括提供、维护、维修等。

2) 对支持关键业务操作的信息设备,使用不间断电源(ups)。ups设备要定期地检查,详见《机房管理规定》。

3) 应急电源开关应位于设备房间应急出口附近,以便紧急情况时快速切断电源。万一主电源出现故障时要提供应急照明。

4) 技术部要确保通风和空调系统等运行良好,对其运行情况可进行定期检查。

(5)线缆安全

1) 公司网络系统进入信息设备的电源和电信线路布在地板上,要建有冗余线路或留有可替换线路,以保障线路的可用性。

2) 电缆要避开公众区域,铺设电缆要有线槽保护,以避免未授权窃听或损坏的危害。为了防止干扰,电源电缆要与通信电缆分开布线。

3) 要采取切实有效的措施防范鼠患,防止电缆被鼠噬。

4) 电缆要使用牢固、清晰、可识别的标记,使用文件化配线列表减少布线失误的可能性,以使失误最小化,详见《机房管理规定》。

(6)设备移动

1) 在公司物理环境以外严禁放置服务器、交换机、电脑等信息设备。

2) 公司原则上禁止机房设备移出公司物理环境。如确因工作需要,如展会、维修等,需将公司的服务器、交换机、路由器等信息设备移到办公地点外使用,需经研发主管批准后才能移出公司的物理环境。

3) 如需要供应商将设备移出公司物理环境进行维修时,在设备移出前,设备管理人员要将设备中敏感信息从设备中删除或确保维护人员对其不可访问或获取。

4) 离开建筑物的信息设备和移动介质在公共场所要有专人看护和保管,不允许无人值守,适当时,还要施加其它措施进行控制,例如上锁,以防止损坏、盗窃等事件发生。

5) 笔记本在公司办公场所以外使用,依《笔记本电脑管理规定》。

(7)维护、保养

1) 机器设备日常维护由设备使用者在日常使用时进行,维护项目限于查看设备外观有无明显损坏、是否正常工作、是否通电正常等内容。

2) 定期维护由技术部专业工程师或供应商进行,定期维护根据不同设备决定不同的维护周期,从一周一次到半年一次不等,定期维护项目包括软硬件更换、性能检查、性能调优等。

3) 定期维护和年底维护后,要将维护项目、维护过程、维护人员、维护结果等内容详细记录在《设备维护记录》中。

(8)设备处置

1) 设备的处置由设备使用部门提出,经经总经理批准后,对设备进行处理;

2) 信息设备在处置过程中须考虑信息安全。

3) 设备报废前设备管理责任人要负责删除所有信息,对包含敏感信息的设备要对其信息载体在物理上应予以销毁,或者采用使原始信息不可获取的技术将其安全地重写,如消磁。

4) 信息设备的报废工作由综合部负责,需要填写《废弃介质处置记录》,经总经理批准后,才能进行报废。

5) 对于因闲置、人员离辞或设备换代等原因不再使用的信息设备,特别是个人电脑,在设备归仓前,要采用信息不可获取的技术将其敏感信息、工作信息和个人信息删除。以确保在设备重用时,重用者不会获得与其工作无关的内容。

6) 对试用设备和测试设备(无论是自有的还是供应商的)中的信息在试用和测试后,由试用或测试人员立即清除,防止重要信息泄露。

7) 废弃介质处理方法参见《介质管理规定》

5. 实施策略

(1) 设备管理规定涉及到包括《设备维护记录》共1个表单。

(2) 对设备的定期维护等内容详细填写《设备维护记录》。

6. 相关记录

本程序发生的记录汇总表

表1-1 isms文件日常应用表格

表号

记录编号

记录名称

保管 场所

保存期限

保存形式

备注

表a.1

isms-3009-01

设备维护记录表

技术部

1年

信息系统运行维护及安全管理规定:某物业公司计算机信息系统

适配人群IT管理员,部门资产专员,系统运维员使用场景设备采购,系统维护,数据备份
制定目的电脑乱七八糟老出问题,想让系统稳一点,大家用得顺手,帮公司干活更利索。
适用范围所有部门和员工,管电脑、打印机这些设备,还有数据录入、系统使用这些事。
职责分工行政与人力资源部牵头买设备、定规矩、管文档;各部门自己管好本部门电脑;行政部还要检查各部门执行情况。
禁止行为不准装来路不明的软件,不准上班玩电脑,不准随便让外人碰自己电脑,不准乱删重要文件。
检查与监督行政部每季度查一次设备使用情况,各部门每月报维修需求,没按时登记或弄坏设备要赔钱,年底统一考核打分。

物业公司计算机信息系统管理规定

第一章总则

第一条本规定旨在加强公司计算机信息管理工作,推进公司计算机信息化建设,保证计算机信息系统标准化和规范化管理,促使计算机信息工作更好地为公司各项经营活动和管理、决策等工作服务。

第二条本规定所称"公司"系指"物业管理有限公司";本规定所称"各部门"包括公司各职能部门、管理中心(处)。

第三条本规定所称的计算机信息管理工作,是指涉及计算机信息系统规划、开发、应用、维护、安全等相关内容的工作。

第四条本规定所称的计算机信息系统,是指由计算机及其相关的和配套的设备、设施(含网络)的硬件系统,和按照一定的应用目标和规则对数据信息进行采集、加工、存储、传输、检索等处理的软件系统所构成的系统。

第五条本规定所称的计算机及相关it类设备,是指由电脑主机、显示器及相关配件组成的电脑整体以及喷墨打印机、激光打印机、扫描仪、刻录机等电脑外设。电脑消耗品是指墨盒、硒鼓、光碟、磁盘等。

第二章管理职责

第六条公司行政与人力资源部在计算机信息管理方面的主要职责是:

(一)组织并构建公司计算机管理信息系统,满足公司领导和各部门的使用需求,保证计算机信息系统正常安全、稳定运行。

(二)制定、实施公司计算机信息管理工作的规章制度。

(三)负责设备选型、管理、购置和维护公司及各部门计算机系统相关设备。

(四)管理公司计算机信息系统文档。

(五)根据需求和行业发展,负责电脑硬件和软件的升级。

(六)协调各部门的计算机系统管理工作。

第七条各部门在计算机信息管理方面的主要职责是:

(一)管理本部门计算机管理信息系统,保证计算机信息系统安全、稳定运行。

(二)主动配合计算机信息系统主管部门的工作,制定、落实本部门计算机信息管理工作的规则,提出系统需求。

(三)指派专人负责保管本部门所使用的计算机及相关it设备,保证本部门所使用的计算机硬件及资料的安全,主动向公司计算机系统主管部门提出本部门计算机系统使用情况、建议和要求。

第八条行政与人力资源部和各部门应加强联系,互通情况。

第三章计算机信息系统维护及使用人员管理

第九条计算机系统信息维护及使用人员必须遵守公司员工守则,对工作尽职尽责。

第十条对数据输入工作要严肃、认真、负责,数据输入要准确、及时、完整。

第十一条使用人员在正式使用有关系统前,须先接受培训。并在使用实践中通过学习不断提高和更新相关知识。

第十二条任何人不得在单位计算机设备上安装、使用来历不明或未经公司授权许可的软件。否则,由此造成的一切后果由使用人承担。

第十三条在工作时间任何人不可以利用计算机设备从事与工作无关的事项。

第十四条各部门所有工作人员都有保护部门计算机设备、数据信息安全的责任,除非得到许可,否则不得让他人特别是公司以外的任何人使用自己的电脑。

第十五条需要使用公用电脑或手提电脑的个人或部门自行保存电脑内的重要数据和文件,并在使用后及时删除,否则,由此造成的泄密或文件丢失等责任由使用者自行承担。

第四章计算机设备管理

硬件管理

第十六条公司各部门电脑及相关it设备由行政与人力资源部统一管理。

第十七条各部门应指派专人对本部门的电脑及相关it设备进行管理登记,由行政与人力资源部提供指引。各部门之间的设备调动须得到公司领导的书面同意。

第十八条员工调离公司时,需经行政与人力资源部核实使用的电脑及相关设备已经归还并配置完好,并在《员工离职会签表》上注明意见。没有行政与人力资源部意见,员工不得办理调离手续。

采购管理

第十九条公司各部门在每年10月31日前向计划财务部、企业管理与培训部及行政与人力资源部申报第二年的电脑及相关设备采购计划,经计划财务部、企业管理与培训部及行政与人力资源部核准后由计划财务部汇总年度采购计划,上报公司经理办公会审批。如因业务发展或人员变化严重偏离计划时,可于当年的6月份提出计划变更申报。

第二十条对公司各部门计划内电脑整机或打印机设备采购,由部门直接填写《采购申请表》,经本部门领导、行政与人力资源部、计划财务部及企业管理与培训部签字后,并经公司领导签字同意后方可采购。

第二十一条由行政与人力资源部根据各部门实际业务需要对电脑及相关it设备选型、购买。

第二十二条公司行政与人力资源部负责对电脑消耗品及电脑维护部件的采购,并负责电脑维护部件及电脑消耗品的发放及领取登记。

第二十三条计划财务部每季度汇总各部门电脑及相关it设备采购费用的使用情况并提出警示,必要时可以每月进行。

第五章数据信息管理

第二十四条公司各部门员工都有保证数据真实性的责任。

第二十五条加强对计算机信息系统有关人员的业务和工作能力的培训,鼓励其参加有关继续教育,不断提高本单位的信息技术管理和应用水平。

第二十六条办公自动化系统和网站、邮件的使用管理,另行制定管理办法。

第六章安全管理

第二十七条注意对计算机信息系统工作人员的职业道德教育,加强主要岗位工作人员的录用、考核制度,不适宜的人员必须及时调离。

第二十八条计算机信息系统工作人员调离时,须移交全部技术手册及有关资料,并更新有关口令和密匙。

第二十九条计算机信息系统安全管理主要包括对于硬件设备、软件、数据信息和网络的安全管理,主要内容有:

(一)监控计算机病毒。为每台计算机安装防病毒软件,并定期更新。

(二)系统用户密码管理,系统管理员级用户密码须定期更新。

(三)数据备份、恢复及保存。

第三十条公司网络如与国际互联网相联时,应采用防火墙等手段进行隔离。

第七章附则

第三十一条本规定由公司行政与人力资源部、计划财务部负责解释。

第三十二条本规定经公司总经理办公会议审议通过后实施。

信息系统运行维护及安全管理规定:绿谷集团计算机信息系统安全

适配人群IT运维人员,部门终端使用者,系统管理员使用场景网络接入管理,终端设备操作,数据保密传输
制定目的怕网络出问题,大家用得不安心,想让系统稳稳当当跑起来,数据安安全全存住。
适用范围所有用公司电脑和网络的人,管上网、装软件、传文件、开电脑这些事儿。
职责分工信息设计部带头干,各人管好自己电脑,部门领导盯着,信息设计部随时查。
禁止行为不能乱装软件,不能偷看别人电脑,不能发谣言、黄图、骂人话,不能把密件发到网上。
检查与监督每人每天关机前锁屏,软件统一装,杀毒天天扫,信息设计部每月查一次,没做到就提醒,再犯要登记,三次找领导谈。

第一章 总则

第一条 为了保护绿谷集团网络系统的安全、促进计算机网络的应用和发展、保证网络的正常运行和网络用户的使用权益,制定本安全管理规定。

第二条 本管理规定所称的网络系统,是指由绿谷集团投资购买、由网络与信息中心负责维护和管理的网络节点设备、配套的网络线缆设施及网络服务器、工作站所构成的、为网络应用及服务的硬件、软件的集成系统。

第三条 绿谷网络系统的安全运行和系统设备管理维护工作由信息设计部负责。任何单位和个人,未经网络负责单位同意、不得擅自安装、拆卸或改变网络设备。

第四条 任何单位和个人、不得利用联网计算机从事危害绿谷网站及本地局域网服务器、工作站的活动,不得危害或侵入未授权的服务器、工作站。

第五条 任何单位和个人不得利用公司内部网和国际联网危害公司安全、泄露公司秘密,不得侵犯公司的利益,不得从事违法犯罪活动。

第二章安全保护运行

一、操作管理

第六条 除网络负责单位,其它单位或个人不得以任何方式对计算机信息网络功能及计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加;

第七条未经保管人允许,任何人不得擅自使用她人电脑;

第八条 任何单位和个人不得利用内部网国际联网制作、复制、查阅和传播下列信息:

1、捏造或者歪曲事实,散布谣言,扰乱公司秩序的;

2、宣扬淫秽、色情的;

3、公然侮辱她人或者捏造事实诽谤她人的;

4、损害公司形象的;

第九条 任何单位和个人不得将涉及公司秘密的计算机信息系统,直接或间接地与国际互联网或其它公共信息网络相联接;

第十条 任何单位和个人不得将公司秘密的信息,在国际联网的计算机信息系统中存储、处理、传递;

第十一条 任何单位和个人不得在电子公告系统、聊天室、网络新闻组上发布、谈论和传播公司秘密信息;

第十二条 未经允许,任何单位和个人不得私自将计算机接入局域网;

第十三条 有密码功能的计算机要求设置密码;人员离开计算机后,要求退出系统并关机,或设计屏幕保护密码;

二、软件管理

第十四条 公司上网计算机操作软件必须由专人负责同一安装,任何单位和个人不得擅自安装其它软件;

第十五条 严禁在公司网络及计算机上使用来历不明、引发病毒传染的软件;

第十六条 严禁在公司网络及计算机上使用盗版软件;

三、文件管理

第十七条 重要文件必须及时备份;

第十八条 尽量减少文件共享,共享文件必须设置密码;

四、病毒管理

第十九条 每台计算机必须安装杀毒软件及防火墙;

第二十条 每台计算机必须定时查毒和升级杀毒软件,发现病毒立即上报信息设计部;

第二十一条 严禁故意制作、传播计算机病毒等破坏性程序;

第二十二条 严禁使用未经杀毒的软盘;

第二十三条 严禁未经杀毒拷贝文件,或将文件发送到其它客户机上;

第二十四条 严禁接受和发送未经杀毒的电子邮件;

第二十五条 新系统安装前必须进行病毒检测;

五、硬件管理

第二十五条 任何单位和个人不得以任何借口盗窃、破坏网络设施;

第二十六条 公司内从事施工、建设,不得危害计算机网络系统的安全;

第二十七条 除计算机维护人员,任何单位和个人不得随意拆卸所使用的计算机或相关设备;

第二十八条 计算机房间钥匙不得随意转借她人使用,做到人走锁门;

第二十九条 装有计算机房间内的电线必须按规定铺设,不得私拉乱接;

六、监督管理

第三十条 每台计算机由使用人负责日常维护及安全管理;

第三十一条 网络各类服务器中开设的帐户和口令为个人用户所拥有,信息设计部对用户口令保密,任何单位和个人不得随意提供这些信息。

第三十二条 各单位和用户,应当接受并配合信息设计部实施的监督检查,并根据信息设计部的要求,删除计算机及网上不符合规定的内容;

第三十三条 各部门和用户,发现违反规定情况时,应当立即向信息设计部报告;

第三十四条 负责部门必须定期检查安全情况,对网络上有害信息及时控制并删除,不得传播;

第三十五条 人员离岗离职必须到信息设计部登记,做好软硬件及帐号、密码交接工作;

第三章 违规责任与处罚

第三十六条 违反上述规定造成公司秘密泄漏、数据丢失、硬件损坏、病毒感染、对公司或她人造成不良影响者以及使用盗版软件者,根据具体情况追究当事人及其直接领导责任;

第四章 其她

第三十七条 本管理制度自公布之日起实行。

信息系统运行维护及安全管理规定:计算机信息系统使用

适配人群涉密系统管理员,信息审核负责人,保密载体保管员使用场景涉密系统管理,网络信息审批,保密载体管控
制定目的怕秘密被偷走或传出去,让单位电脑更安全,大家心里踏实些。
适用范围所有用涉密电脑的人,管电脑、网线、磁盘、光盘这些玩意儿。
职责分工单位领导拍板,信息科管日常,办公室盯着执行,纪检偶尔查一查。
禁止行为不准连外网,不准在联网电脑上碰密件,不准乱扔磁盘光盘,不准随便修带密硬盘。
检查与监督信息科每月查一次设备登记本,发现没登记扣当月绩效,月底前补完,漏三次要谈话。

1、涉密计算机信息系统要完全处于其主管部门(单位)独立使用和管理。不得直接或间接连接国际互联网,必须实行物理隔离。

2、不得在与国际网络联网的计算机信息系统中存储、处理、传递国家秘密信息。任何人不得在公众网上发布、存储、处理、传递、转发、抄送涉及国家秘密信息。

3、对秘密数据、资料载体如:磁盘、磁带、光盘等视同“三密”文件,履行借阅、使用、复制、传递、携带、移交、保存、销毁等登记手续。

4、存储过国家秘密信息的计算机媒体(包括软盘和硬盘)不能降低密级使用,维修时应保证所存储的国家秘密信息不被泄露,不再使用的应及时销毁。

5、上网信息的保密管理坚持“谁上网谁负责”的原则。上网的信息内容须经单位领导审批。

信息系统运行维护及安全管理规定:信息系统安全

适配人群系统运维部,系统支援部,信息安全组使用场景系统上线,主机运维,漏洞修复
制定目的公司电脑系统老出问题,怕丢数据、被黑、影响业务。想让系统稳一点,安全一点,大家用得放心。
适用范围所有用公司电脑系统的员工,管服务器、操作系统、账号密码、软件安装这些事。
职责分工信息安全管理委员会盯着看,系统运维部修生产系统,系统支援及维护部具体干活,员工照着做。
禁止行为不准用盗版软件,不准随便装卸程序,不准开带写权限的共享,不准让外人乱碰主机,不准关日志功能。
检查与监督按文档里一条条做,系统支援及维护部每月查扫描记录,每季度审管理员账号,没做到就补做并登记;测试不通过不能上线,备份不做完不能启用新系统,检查发现漏洞3天内要处理。

系统安全管理规定

文档号csljc_com_std_isms_1202_p_v0.1密级

iso27001信息安全管理体系文件

isms-mp-a.12-01活动

签名

日期

创建

____-8-24审核

批准ii

文档变更历史

作者(或修订人)版本号

修改内容与原因

v0.1____-8-24新建

评审记录

评审方式

版本号

评审意见

文档状态:草稿

目录

1概述11.1目的11.2定义11.3范围11.4原则12角色与职责13安全要求23.1系统安全规划要求23.2系统运行与维护安全要求23.3操作系统安全配置策略53.3.1windows系统安全配置管理策略53.3.2uni*系统安全管理策略84附录10概述

1.1目的

为了加强公司各类计算机系统的安全运维管理,特制定本规定。

1.2定义

本程序引用iso/iec

17799:____标准中的术语。

1.3范围

本文档适用于公司建立的信息安全管理体系。

1.4原则

本文档将依据信息技术和信息安全技术的不断发展和信息安全风险与信息安全保护目标的不断变化而进行版本升级。

角色与职责

表2-1系统安全管理规定的角色和职责

序号

角色

职责

信息安全管理委员会

负责对系统安全管理进行指导和检查

系统运维部

负责生产环境系统的维护工作

系统支援及维护部

负责系统安全管理的落地和实施工作

员工遵守公司系统安全管理规定

安全要求

3.1系统安全规划要求

1、系统在投入使用前需要做好前期的规划和设计,除了要满足公司目前业务需要外还要考虑该业务系统将来的应用需求,使系统具有一定的扩充能力。

2、系统服务器操作系统应选用正版软件并且遵守软件规定的最终用户使用协议,禁止使用盗版软件。

3、新规划使用系统应考虑和原来系统的兼容性问题。

4、在新系统安装之前应有详细的实施计划,并严格按照计划来实施。

5、在新系统安装完成,投入使用前,应对所有组件包括设备、服务或应用进行连通性测试、性能测试、安全性测试,并在《系统测试记录》做详细记录,最终形成测试报告。

6、在新系统安装完成,测试通过,投入使用前,应删除测试用户和口令,最小化合法用户的权限,最优化配置,应及时对系统软件、文件和重要数据进行备份。

3.2系统运行与维护安全要求

1、各个系统设备应进行资产登记。

2、系统的帐号、口令应符合《帐号与密码安全管理规定》,并定期对帐号口令实施安全评估。

3、严格限制操作系统管理员权限帐号和普通账号的数量和使用范围。对于系统管理员的帐号要详细登记备案,编制《管理员权限账号记录》,每季度对该记录进行审核,更新帐号记录。

4、操作系统帐号的申请与变更参考《帐号与密码安全管理规定》3.5节“账号权限控制流程”。

5、严格禁止非本系统管理、维护人员直接进入主机设备进行操作,若在特殊情况下(如系统维修、升级等)需要外部人员(主要是指厂家技术工程师、非本系统技术工程师、安全管理员等)进入主机设备进行操作时,必须由维护人员员亲自登录,并对操作全过程进行记录备案。

6、应尽可能减少主机设备的远程管理方式。

7、严禁随意安装、卸载系统组件和驱动程序,如确实需要,应及时评测可能由此带来的影响;如果需要安装补丁程序,参考《病毒与补丁安全管理规定》进行安装。

8、禁止主机系统上开放具有“写”权限的共享目录,如果确实必要,优先考虑建立ftp站点,紧急情况下可临时开放,但要设置强共享口令,并在使用完之后立刻取消共享;应禁止不被系统明确使用的服务、协议和设备的特性,避免使用不安全的服务。

9、应严格并且合理的分配服务安装分区或者目录的权限,如果可能的话,给每项服务安装在独立分区;取消或者修改服务的banner信息;避免让应用服务运行在root或者administrator权限下。

10、应严格控制重要文件的许可权和拥有权,重要的数据应当加密存放在主机上,取消匿名ftp访问,并合理使用信任关系。

11、应对日志功能的启用、日志记录的内容、日志的管理形式、日志的审查分析做出明确的规定;对于重要主机系统,应建立集中的日志管理服务器,实现对重要主机系统日志的统一管理,以利于对主机系统日志的审查分析;应保证各设备的系统日志处于运行状态,并定期对日志做一次全面的分析,对登录的用户、登录时间、所做的配置和操作做检查,在发现有异常的现象时应及时向相关人员报告,日志审核要求详见《安全审计管理规定》。

12、应及时监视、收集主机设备操作系统生产厂商公布的软件以及补丁更新,要求下载补丁程序的站点必须是相应的官方站点,并对更新软件或补丁进行评测,在获得部门领导的批准下,对实际环境实施软件更新或者补丁安装;必须订阅cert

(计算机紧急响应小组)公告或其他专业安全机构提供的安全漏洞信息的相关资源,应立即提醒信息安全工作组任何可能影响网络正常运行的漏洞;及时评测对漏洞采取的对策,在获得部门领导的批准下,对实际环境实施评测过的对策,并将整个过程记录备案;软件更新或者补丁安装应尽量安排在非业务繁忙时段进行,操作必须由两人以上完成,由一人监督,一人操作,并在升级(或修补)前后做好数据和软件的备份工作,同时将整个过程记录备案;软件更新或者补丁安装后应重新对系统进行安全设置,并进行系统的安全检查。

13、应定期进行安全漏洞扫描和病毒查杀工作,平均频率应不低于每月一次,并在《月度网络安全扫描记录》中详细记录评估扫描结果。重大安全漏洞发布后,应在3个工作日内进行;为了防止网络安全扫描以及病毒查杀对网络性能造成影响,应根据业务的实际情况对扫描时间做出规定,应一般安排在非业务繁忙时段;当发现主机设备上存在病毒、异常开放的服务或者开放的服务存在安全漏洞时应及时上报信息安全工作组,并采取相应措施。

14、应至少每周1次,对所有主机设备进行检查,确保各设备都能正常工作;应通过各种手段监控主机系统的cpu利用率、进程、内存和启动脚本等的使用状况,在发现异常系统进程或者系统进程数量异常变化时,或者cpu利用率,内存占用量等突然异常时,应立即上报信息安全工作组,并同时采取适当控制措施,并记录备案。

15、当主机系统出现以下现象之一时,必须进行安全问题的报告和诊断:

系统中出现异常系统进程或者系统进程数量有异常变化。

系统突然不明原因的性能下降。

系统不明原因的重新启动。

系统崩溃,不能正常启动。

系统中出现异常的系统账号

系统账号口令突然失控。

系统账号权限发生不明变化。

系统出现来源不明的文件。

系统中文件出现不明原因的改动。

系统时钟出现不明原因的改变。

系统日志中出现非正常时间系统登录,或有不明ip地址的系统登录。

发现系统不明原因的在扫描网络上其它主机。

16、应及时报告任何已知的或可疑的信息安全问题、违规行为或紧急安全事件,并在采取适当措施的同时,应向信息安全工作组报告细节;应定期提交安全事件和相关问题的管理报告,以备管理层检查。

17、应根据“知所必需”原则严格限制泄漏安全违规行为、安全事件或安全漏洞。如果必须向任何公司外部方(包括任何合法的权威机构)泄漏这类受限信息,应先咨询公司相关法律部门。

18、系统软件安装之后,应立即进行备份;在后续使用过程中,在系统软件的变更以及配置的修改之前和之后,也应立即进行备份工作;应至少每年1次对重要的主机系统进行灾难影响分析,并进行灾难恢复演习。

19、应至少每年1次对整个网络进行风险评估,每次风险评估时,手工检查的比例应不低于10%,渗透测试的比例应不低于5%;风险评估后应在10个工作日内完成对网络的修补和加固,并进行二次评估。

3.3操作系统安全配置策略

3.13.23.33.3.1windows系统安全配置管理策略在应用以下安全策略之前应根据业务系统的实际情况进行操作,注意实施操作后对业务的风险。

1、物理安全策略

应设置bios口令以增加物理安全。

应禁止远程用户使用光驱和软驱。

2、补丁管理策略

应启动windows自动更新功能,及时安装windows补丁(sp、hotfi*)。

对于不能访问internet的windows系统,应采用手工打补丁的方式。

3、帐户与口令策略所有帐户均应设置口令。

应将系统管理员账号administrator重命名。

应禁止guest账号。

应启用“密码必须符合复杂性要求”,设置“密码长度最小值”、“密码最长存留期”、“密码最短存留期”、“密码强制历史”,停用“为域中用户使用可还原的加密来存储”。

应设置“账户锁定时间”,“账户锁定阈值”,“复位账户锁定计数器”来防止远程密码猜测攻击。

在信息安全组批准下,应定期利用口令破解软件进行口令模拟破解测试,在发现脆弱性口令后及时通告并采取强制性的补救修改措施。

4、网络服务策略

应尽可能减少网络服务,关闭不必要的服务。

应通过修改注册表项,调整优化tcp/ip参数,来提高系统抵抗dos攻击的能力。

应限制使用snmp服务。如果的确需要,应使用v3版本替代v1、v2版本,并启用md5校验等功能。

5、文件系统策略

所有分区均应使用ntfs。

尽量使用磁盘配额管理、文件加密(efs)等功能。

应卸载os/2和posi*操作环境子系统。

应将所有常用的管理工具放在%systemroot%外的特殊目录下,并对其进行严格的访问控制,保证只有管理员才具有执行这些工具的权限。

应关闭ntfs生成

8.3文件名格式。

应设置访问控制列表(acl),对重要的目录、文件进行访问权限的限制。

6、日志策略

应启用系统和文件审核功能,包括应用程序日志、安全日志、系统日志、以及各种服务的日志。

应更改日志存放的目录,并及时监控,特别是安全日志、系统日志。对于重要主机设备,应建立集中的日志管理服务器,实现对重要主机设备日志的统一管理,以利于对主机设备日志的审查分析。

7、安全性增强策略

对于独立服务器应直接检查本地的策略和配置。对于属于域的服务器,应检查域控制器上对计算机的域管理策略。检查内容主要为用户、用户组及其权限管理策略。

应限制对注册表的访问,严禁对注册表的匿名访问,严禁远程访问注册表,并对关键注册表项进行访问控制,以防止它们被攻击者用于启动特洛伊木马等恶意程序。

应定期检查注册表启动项目,避免系统被安装非法的自启动程序。

应隐含最后登陆用户名,避免攻击者猜测系统内的用户信息。

在登录系统时应显示告警信息,防止用户对远程终端服务口令进行自动化的脚本猜测,并删除关机按钮。

应删除windows主机上所有默认的网络共享。

应关闭对windows主机的匿名连接。

对于不需要共享服务的主机,应彻底关闭文件和打印机共享服务。

应限制pcanywhere等远程管理工具的使用,如确实需要,应使用最新版本,完整安装补丁程序并经过评测,获得信息安全工作组的许可;并使用pcanywhere加密方式进行管理。

应安装防病毒软件,并及时更新软件版本和病毒库。

尽量安装防火墙。

3.3.2uni*系统安全管理策略

1、补丁管理策略

应及时安装系统最新补丁。

应及时升级服务至最新版本。

2、帐户与口令策略

所有帐户均应设置口令。

去除不需要的帐户、修改默认帐号的shell变量。

除root外,不应存在其他uid=0的帐户。

应设置超时自动注销登陆,减少安全隐患。

应限制可以su为root的组。

应禁止root远程登陆。

在信息安全组批准下,应定期利用口令破解软件进行口令模拟破解测试,在发现脆弱性口令后及时通告并采取强制性的补救修改措施。

3、网络服务策略

应尽可能减少网络服务,关闭不必要的服务。

应启用inetd进站连接日志记录,增强审计功能。

应调整优化tcp/ip参数,来提高系统抵抗dos攻击的能力。

应调整tcp/ip参数,禁止ip源路由。

应限制使用snmp服务。如果的确需要,应使用v3版本替代v1、v2版本,并启用md5校验等功能。

应调整内核参数打开“tcp随机序列号”功能。

4、文件系统策略

尽量使系统root用户初始创建权限(umask)为077。

尽量使用磁盘配额管理功能。

去除适当文件的set-uid和set-gid位。

应限制/etc目录的可写权限。

增强对关键文件的执行权限控制。

为不同的挂载点指派不同的属性。

5、日志策略

应对ssh、su登陆日志进行记录。

除日志服务器外,应禁止syslogd网络监听514端口。

对于重要主机设备,应建立集中的日志管理服务器,实现对重要主机设备日志的统一管理,以利于对主机设备日志的审查分析。

6、安全性增强策略

应保证bashshell保存少量的(或不保存)命令。

应禁止gui登陆。

应隐藏系统提示信息。

尽量安装第三方安全增强软件。

附录

附录一:相关文件

《信息安全管理体系手册》

《系统测试记录》

《操作系统管理员权限帐号记录》

《操作系统普通权限账号记录》

《操作系统账号开通申请》

信息系统运行维护及安全管理规定(优选8篇)

信息系统运行维护及安全管理规定适配人群总公司信息管理员,所属单位信息员,网络系统维护员使用场景网络接入审批,局域网运维,数据异地备份制定目的怕系统出问题,影响工作。想让网
推荐度:
点击下载文档文档为doc格式