返回
58系统安全管理办法

58系统安全管理办法

ID:41565555

大小:65.57 KB

页数:7页

时间:2019-08-27

58系统安全管理办法_第1页
58系统安全管理办法_第2页
58系统安全管理办法_第3页
58系统安全管理办法_第4页
58系统安全管理办法_第5页
资源描述:

《58系统安全管理办法》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、系统安全管理办法版本编号修订日期主要修订摘要修订记录审核人员属于部门审核日期审核记录第一章总则第一条为规范公司系统的技术管理和维护工作,确保系统安全运转和系统运行管理的及时、高效,规系统操作,加强内部控制,最大程度地防范技术操作风险,特制定本管理办法。第二条本管理办法适用于公司信息屮心对信息系统的安全管理。第二章系统安全管理第三条禁用不必要的服务,尽量将系统屮不用的服务、尤其是一些暂时不用的网络服务关闭,从而使系统遭受攻击的可能性降至最低。第四条系统遵循最小权限原则,系统只能授予应用程序和用户必要的权限,而不能

2、授予额外的权限。第五条服务器需安装软件防火墙,由公司信息中心统一部署,病毒库统一升级。第六条对于重要的数据进行加密。第七条安全性能评估,对于安全产品应选用经过国内、国外权威第三方认证的安全产品,系统管理员应随吋保持警惕以预防攻击爭件的发生或者将攻击的危害降至最低。第八条对系统漏洞情况每年至少进行一次扫描,对漏洞风险持续跟踪,在经过充分的验证测试后对必要的漏洞开展修补工作,实施漏洞扫描或漏洞修补前,对可能的风险进行评估和充分准备,选择恰当吋间,并做好数据备份和回退方案,漏洞扫描或漏洞修补后应进行验证测试,以保证系

3、统的正常运行,扫描后记录扫描情况,填写《系统安全扫描情况记录表》(附录1)。第九条持续跟踪厂商提供的系统升级更新情况,应在经过充分的测试评估后对必要的补丁进行及时更新,填写《系统与网络设备补丁分析评估表》(附录2),在安装系统补丁前对现有的重要文件进行备份,并对备份情况和系统升级情况进行记录,填写《系统及网络设备升级记录表》(附录3)。第十条至少每月对运行日志和审计数据进行分析0第三章系统访问控制要求第十一条用户或者应用程序访问系统资源时要求系统管理员通过设置必要的选项完成以下功能:1.提供适当的身份验证方法。

4、2.识别和验证身份。3.记录成功和失败的系统访问(日志信息)。4.根据情况限制用户连接时间。第十二条登录程序应最大限度地减少公开的信息,以避免非法用户使用。登录程序应:1.在登录过程未成功Z前禁止显示系统或应用的标识。2.显示一般性注意事项。提醒用户只有合法用户才能访问计算机。3.登录期间禁止提供帮助消息。4.只有所有输入数据完成后才能验证登录信息。5.应限制允许登录的失败次数为3次。6.限制登录程序允许的时间上限和下限。如杲超过限制,则系统必须终止登录过程。7.成功登录后,宜显示以下信息:1)以前成功登录的日

5、期和时间。2)上次成功登录以来登录失败的详细情况。第十三条登录超时要求1.当系统超时未激活时,应能够自动锁住系统,防止非法访问,但不宜关闭应用或网络会话。2.超时的时间设置取决于连接系统的重要程度、终端风险暴露程度以及终端上信息的业务价值。第四章用户账号安全第十四条用户身份识别和验证1.信息系统所有用户都应拥有个人专用的唯一标识符(用户ID)以便操作能够追溯到具体责任人。但是在认证和授权体系没有建立之前,特定操作系统内所有的用户必须有一个唯一的ID,并且该ID名称不能让人猜测到该用户的权限级别,如管理员、主管等

6、。2.对于每一个申请使用系统的用户,应要求填写《系统账号申请表》(附录4),并在表格中包含公司的密码安全政策规范,明确违反该规范的后果和责任,同时要求用户签名以产生法律效力,并在《系统账户登记表》进行登记。3.对于用户身份的验证,宜采用多种身份验证程序来加以证实。口令是一种很常见的身份识别和验证方法。采用加密方法和身份验证协议也可达到同样的效果。也可使用用户的内存标记或智能卡等进行身份识别和验证。也可使用基于个人唯一特点或特性的生物统计学身份验证技术来验证用户身份。将安全技术和安全机制结合起来可进行更为严格的身

7、份验证。第十五条用户账号过期1.设置用户账号的有效有效期为一年。2.当某一个用户账号过期时,系统维修检查确认该用户账号所对应的员工是否还留在公司,如果不是则将该账号自动删除,否则继续激活该用户账号。3.如果用户账号过期了但是用户无法联系到,先将其用户账号锁住,等用户冋来以后按需要激活。第十六条Guest账号1.应禁止长期保留Guest账号。2.当系统安装完成后必须视情况禁用Guest账号,当用户确实需要Guest账号进行临时的访问时,才可将Guest账号激活。3.应确保Guest账号的口令安全。第十七条所有操作

8、系统应禁止使用无口令的用户账号。第十八条除非有特殊的要求,不应有多个用户共享一个用户ID和口令,而应使用用户组的概念来代替。第十九条用户账号安全其它事项1.用户账号重命名,也就是对默认的账号重命名。包括ddministrstor、Guest以及其它一些在安装统计时(如ISS)自动建立的账号。2.建立伪管理员账号,如在系统中建立用户名为“administrator”的用户,并设定一个难以

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。