【正文】 11824新建評審記錄評審方式版本號日期評審意見 文檔狀態(tài)：草稿目 錄1 概述 1 目的 1 定義 1 范圍 1 原則 12 角色與職責(zé) 13 安全要求 2 系統(tǒng)安全規(guī)劃要求 2 系統(tǒng)運(yùn)行與維護(hù)安全要求 2 操作系統(tǒng)安全配置策略 5 Windows系統(tǒng)安全配置管理策略 5 UNIX系統(tǒng)安全管理策略 84 附錄 101 概述 目的為了加強(qiáng)公司各類計(jì)算機(jī)系統(tǒng)的安全運(yùn)維管理，特制定本規(guī)定。嚴(yán)格禁止非本系統(tǒng)管理、維護(hù)人員直接進(jìn)入主機(jī)設(shè)備進(jìn)行操作，若在特殊情況下（如系統(tǒng)維修、升級等）需要外部人員（主要是指廠家技術(shù)工程師、非本系統(tǒng)技術(shù)工程師、安全管理員等）進(jìn)入主機(jī)設(shè)備進(jìn)行操作時(shí)，必須由維護(hù)人員員親自登錄，并對操作全過程進(jìn)行記錄備案。l 系統(tǒng)賬號權(quán)限發(fā)生不明變化。帳戶與口令策略l 所有帳戶均應(yīng)設(shè)置口令。日志策略l 應(yīng)啟用系統(tǒng)和文件審核功能，包括應(yīng)用程序日志、安全日志、系統(tǒng)日志、以及各種服務(wù)的日志。 UNIX系統(tǒng)安全管理策略補(bǔ)丁管理策略l 應(yīng)及時(shí)安裝系統(tǒng)最新補(bǔ)丁。文件系統(tǒng)策略l 盡量使系統(tǒng) root 用戶初始創(chuàng)建權(quán)限(umask)為077。l 盡量安裝第三方安全增強(qiáng)軟件。l 應(yīng)調(diào)整TCP/IP 參數(shù)，禁止 IP 源路由。l 對于不需要共享服務(wù)的主機(jī)，應(yīng)徹底關(guān)閉文件和打印機(jī)共享服務(wù)。l 應(yīng)卸載 OS/2 和 POSIX 操作環(huán)境子系統(tǒng)。物理安全策略l 應(yīng)設(shè)置 BIOS 口令以增加物理安全。l 系統(tǒng)突然不明原因的性能下降。系統(tǒng)的帳號、口令應(yīng)符合《帳號與密碼安全管理規(guī)定》，并定期對帳號口令實(shí)施安全評估。2 角色與職責(zé)表21系統(tǒng)安全管理規(guī)定的角色和職責(zé)序號角色職責(zé)1信息安全管理委員會負(fù)責(zé)對系統(tǒng)安全管理進(jìn)行指導(dǎo)和檢查2系統(tǒng)運(yùn)維部負(fù)責(zé)生產(chǎn)環(huán)境系統(tǒng)的維護(hù)工作3系統(tǒng)支援及維護(hù)部負(fù)責(zé)系統(tǒng)安全管理的落地和實(shí)施工作4員工遵守公司系統(tǒng)安全管理規(guī)定3 安全要求23 系統(tǒng)安全規(guī)劃要求系統(tǒng)在投入使用前需要做好前期的規(guī)劃和設(shè)計(jì)，除了要滿足公司目前業(yè)務(wù)需要外還要考慮該業(yè)務(wù)系統(tǒng)將來的應(yīng)用需求，使系統(tǒng)具有一定的擴(kuò)充能力。應(yīng)嚴(yán)格控制重要文件的許可權(quán)和擁有權(quán)，重要的數(shù)據(jù)應(yīng)當(dāng)加密存放在主機(jī)上，取消匿名FTP訪問，并合理使用信任關(guān)系。l 發(fā)現(xiàn)系統(tǒng)不明原因的在掃描網(wǎng)絡(luò)上其它主機(jī)。l 在信息安全組批準(zhǔn)下，應(yīng)定期利用口令破解軟件進(jìn)行口令模擬破解測試，在發(fā)現(xiàn)脆弱性口令后及時(shí)通告并采取強(qiáng)制性的補(bǔ)救