【正文】 :47:0201:47:02February 11, 2023 ? 1意志堅強的人能把世界放在手中像泥塊一樣任意揉捏。 2023年 2月 上午 1時 47分 :47February 11, 2023 ? 1少年十五二十時，步行奪得胡馬騎。 上午 1時 47分 2秒 上午 1時 47分 01:47: ? 沒有失敗，只有暫時停止成功！。 01:47:0201:47:0201:472/11/2023 1:47:02 AM ? 1以我獨沈久，愧君相見頻。 ?安全技術(shù)要求 —— 系統(tǒng)冗余 ? 在實時性及可用性要求較高的系統(tǒng)中，應(yīng)對關(guān)鍵的網(wǎng)絡(luò)鏈路、網(wǎng)絡(luò)設(shè)備、主機及數(shù)據(jù)庫平臺 進行 冗余 備份，并進行合理的配置，當(dāng)系統(tǒng)的某一節(jié)點發(fā)生故障時能在有效時間內(nèi)進行切換分配，保證網(wǎng)絡(luò)及系統(tǒng)相關(guān)服務(wù)正常運行。審計記錄應(yīng)包括日期和時間、觸發(fā)事件的主體與客體、事件的類型、事件成功或失敗、事件的結(jié)果等；審計記錄應(yīng)受到保護避免受到未預(yù)期的刪除、修改或覆蓋。 數(shù)據(jù)庫安全 —— 案例 ?具體安全要求 ? 定期更新數(shù)據(jù)庫版本，修補漏洞； ? 修改默認(rèn)用戶的口令或禁止默認(rèn)用戶訪問 ? 設(shè)置合理的口令長度、復(fù)雜性和更新周期； ? 取消不必要的權(quán)限開放，嚴(yán)格限制 Public角色權(quán)限； ? 禁用或刪除數(shù)據(jù)庫不需要的內(nèi)置存儲過程及函數(shù)； ? 嚴(yán)格限制系統(tǒng)管理員及應(yīng)用系統(tǒng)用戶的權(quán)限分配，按照最小授權(quán)原則，分別授予不同用戶各自為完成自身承擔(dān)任務(wù)所需的最小權(quán)限； 數(shù)據(jù)庫安全 —— 要求 ?具體安全要求 ? 嚴(yán)格限制數(shù)據(jù)庫鏈接的設(shè)置； ? 對數(shù)據(jù)庫的安全事件進行審計，建議應(yīng)審計：用戶管理、審計功能啟動關(guān)閉、審計策略調(diào)整、權(quán)限變更、數(shù)據(jù)字典訪問、管理員用戶各項操作、對存儲重要信息的數(shù)據(jù)表的各項操作； ? 限制單個用戶對數(shù)據(jù)庫資源的最大使用額度 數(shù)據(jù)庫安全 —— 要求 安全技術(shù)要求之 —— 應(yīng)用平臺安全 應(yīng)用 平臺 ?版本更新與漏洞修補 ?默認(rèn) 口令 ?默認(rèn) 權(quán)限 開放 ?安全審計 ?…… ?典型案例 ? 2023年陜西省地震局門戶網(wǎng)站虛假信息發(fā)布： “今晚陜西等地會有強烈地震發(fā)生”， 網(wǎng)站后臺管理員弱口令被破解 。 ? 禁止非授權(quán) 設(shè)備接入 內(nèi)部網(wǎng)絡(luò)，尤其是服務(wù)器區(qū)域。 信息系統(tǒng)安全保障體系 ?產(chǎn)品選擇 —— 必須選用經(jīng)國家主管部門許可、并經(jīng)國家 測評 認(rèn)證機構(gòu)認(rèn)可的安全產(chǎn)品。 ? 蘋果為 Safari瀏覽器推出了安全補丁，修復(fù)了 48個安全漏洞。 ? 某單位內(nèi)網(wǎng) ：服務(wù)器區(qū)和終端接入?yún)^(qū)僅劃分了不同VLAN，無訪問控制規(guī)則，無法防止病毒及蠕蟲的傳播及內(nèi)部非授權(quán)人員的訪問 。 操作系統(tǒng)安全 —— 案例 ?具體安全要求 ? 定期更新操作系統(tǒng)版本，修補漏洞； ? 關(guān)閉與應(yīng)用無關(guān)的服務(wù)、啟動腳本或網(wǎng)絡(luò)功能； ? 對登錄用戶進行身份標(biāo)識和鑒別；用戶的身份標(biāo)識唯一； ? 身份鑒別如采用用戶名 /口令方式，應(yīng)設(shè)置口令長度、復(fù)雜性和更新周期； ? 修改默認(rèn)用戶的口令或禁止默認(rèn)用戶訪問，禁止匿名訪問或限制訪問的范圍； ? 具有登錄失敗處理功能，當(dāng)?shù)卿浭〈螖?shù)達(dá)到限制值時，應(yīng)結(jié)束會話、鎖定用戶； 操作系統(tǒng)安全 —— 要求 ?具體安全要求 ? 實行特權(quán)用戶的權(quán)限分離，按照最小授權(quán)原則，分別授予不同用戶各自為完成自身承擔(dān)任務(wù)所需的最小權(quán)限，并在他們之間形成相互制約的關(guān)系； ? 對系統(tǒng)內(nèi)的重要文件（如啟動腳本文件、口令文件、服務(wù)配置文件）、服務(wù)、環(huán)境變量、進程等實施訪問控制； ? 系統(tǒng)管理員實施遠(yuǎn)程登錄時，應(yīng)使用強鑒別機制，且操作系統(tǒng)應(yīng)記錄詳細(xì)的登錄信息； ? 通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端的登錄； 操作系統(tǒng)安全 —— 要求 ?具體安全要求 ? 對安全事件進行審計，審計事件至少包括：用戶管理、審計功能啟停及審計策略調(diào)整、權(quán)限變更、系統(tǒng)資源的異常使用、重要的系統(tǒng)操作、重要用戶的各項操作進行審計； ? 審計記錄應(yīng)包括日期和時間、觸發(fā)事件的主體與客體、事件的類型、事件成功或失敗、事件的結(jié)果等；審計記錄應(yīng)受到保護避免受到未預(yù)期的刪除、修改或覆蓋； ? 用戶鑒別信息及與應(yīng)用信息所在的存儲空間，被釋放或再分配給其他用戶之前應(yīng)完全清除； ? 限制單個用戶對系統(tǒng)資源的最大使用額度。 ?當(dāng)采用密碼技術(shù)時，應(yīng)在密鑰的 產(chǎn)生、分配、銷毀、備份與恢復(fù) 等環(huán)節(jié)具備安全機制。 ? 系統(tǒng)管理員應(yīng)對設(shè)置的數(shù)據(jù)自動備份任務(wù)進行定期監(jiān)控，確認(rèn)備份任務(wù)得到了有效的執(zhí)行； ? 系統(tǒng)管理員應(yīng)對備份進行數(shù)據(jù)恢復(fù)的有效性驗證，以確保備份數(shù)據(jù)的正確性； ? 對以加密方式保存重要數(shù)據(jù)備份的，應(yīng)同時保存數(shù)據(jù)恢復(fù)密鑰的備份。 各部門 10 業(yè)務(wù)連續(xù)性管理 業(yè)務(wù)連續(xù)性管理過程 、 業(yè)務(wù)連續(xù)性和影響分析 、制定和實施連續(xù)性計劃 業(yè)務(wù)部門 、 行政 、IT 11 符合性 法規(guī)要求的符合性 、 安全政策符合性及技術(shù)符合性的審查 、 系統(tǒng)審核的考慮 行政 （ 法律 ） 安全管理體系 —— 實現(xiàn)途徑 計劃 PLAN 檢查 CHECK 措施 ACTION 實施 DO 根據(jù)風(fēng)險評估結(jié)果、法律法規(guī)的要求、組織業(yè)務(wù)運作自身需要來確定控制目標(biāo)與控制措施。 。 :47:0201:47:02February 11, 2023 ? 1意志堅強的人能把世界放在手中像泥塊一樣任意揉捏。 :47:0201:47Feb2311Feb23 ? 1越是無能的人，越喜歡挑剔別人的錯兒。 2023年 2月 11日星期六 1時 47分 2秒 01:47:0211 February 2023 ? 1一個人即使已登上頂峰，也仍要自強不息。 , February 11, 2023 ? 閱讀一切好書如同和過去最杰出的人談話。 :47:0201:47Feb2311Feb23 ? 1世間成事，不求其絕對圓滿，留一份不足，可得無限完美。 :47:0201:47:02February 11, 2023 ? 1他鄉(xiāng)生白發(fā)，舊國見青山。深圳福彩 承認(rèn)管理疏漏，對技術(shù)合作公司人員監(jiān)