信息安全管理制度投標(biāo)方案

目錄

第一章信息安全管理制度...........................2

1.1.操作員安全管理制度.........................4

1.2.賬號的設(shè)置與管理...........................5

1.3.密碼與權(quán)限安全管理制度...................6

1.4.數(shù)據(jù)信息安全管理制度.......................8

1.5.獨立域控服務(wù)器...........................10

第二章網(wǎng)絡(luò)傳輸安全管理制度.....................13

2.1.網(wǎng)絡(luò)安全.................................15

2.2.應(yīng)用安全.................................16

2.3.系統(tǒng)漏洞掃描與安全加固...................17

第三章信息存儲安全管理.........................30

3.1.數(shù)據(jù)存儲.................................30

3.2.數(shù)據(jù)備份.................................31

3.3.終端隔離措施說明.........................32

3.4.數(shù)據(jù)防泄漏措施...........................33

3.5.建立文件保密制度.........................34

3.6.彌補(bǔ)系統(tǒng)漏洞.............................36

3.7.密切監(jiān)管重點崗位的核心數(shù)據(jù)...............37

1

第一章信息安全管理制度

為加強(qiáng)公司各信息系統(tǒng)管理，保證信息系統(tǒng)安全，根據(jù)

《中華人民共和國保守國家秘密法》和國家保密局《計算機(jī)

信息系統(tǒng)保密管理暫行規(guī)定》、國家保密局《計算機(jī)信息系

統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》,及上級信息管理部門的相關(guān)規(guī)

定和要求，結(jié)合公司實際，制定本制度。

信息安全管理，是指數(shù)據(jù)(包括但不限于委案信息，日

常郵件，查詢資料，財務(wù)等信息)使用過程中傳輸、運行、

維護(hù)、廢止等操作安全的系列管理活動。

第一條、計算機(jī)的使用部門要保持清潔、安全、良好的

計算機(jī)設(shè)備工作環(huán)境，禁止在計算機(jī)應(yīng)用環(huán)境中放置易燃、

易爆、強(qiáng)腐蝕、強(qiáng)磁性等有害計算機(jī)設(shè)備安全的物品。

第二條、非本單位技術(shù)人員對我單位的設(shè)備、系統(tǒng)等進(jìn)

行維修、維護(hù)時，必須由本單位相關(guān)技術(shù)人員現(xiàn)場全程監(jiān)督。

計算機(jī)設(shè)備送外維修，須經(jīng)有關(guān)部門負(fù)責(zé)人批準(zhǔn)。

第三條、嚴(yán)格遵守計算機(jī)設(shè)備使用、開機(jī)、關(guān)機(jī)等安全

操作規(guī)程和正確的使用方法。任何人不允許帶電插撥計算機(jī)

外部設(shè)備接口，計算機(jī)出現(xiàn)故障時應(yīng)及時向電腦負(fù)責(zé)部門報

告，不允許私自處理或找非本單位技術(shù)人員進(jìn)行維修及操作。

第四條、未經(jīng)批準(zhǔn)禁止攜帶非公司電子設(shè)備進(jìn)入公司生

產(chǎn)區(qū)域(包括個人電腦、手機(jī)、相機(jī)、U盤、移動硬盤、光

碟等帶入公司，以防止公司網(wǎng)絡(luò)感染病毒及數(shù)據(jù)外泄。公司

2

設(shè)備需由專人管理并定期盤點。

第五條、員工不得在互聯(lián)網(wǎng)上以任何形式張貼涉及公司

的保密或者敏感信息，如發(fā)現(xiàn)，公司保留追究其法律責(zé)任的

權(quán)利。

第六條、員工在工作過程中未經(jīng)批準(zhǔn)不能通過個人電話、

微信、QQ等通訊工具進(jìn)行催收及聯(lián)系客戶。

第七條、公司內(nèi)部設(shè)立信息安全專項小組，各部門選舉

安全專員負(fù)責(zé)監(jiān)督、落實安全制度，定期開展安全培訓(xùn)加強(qiáng)

員工信息安全意識。

3

1.1.操作員安全管理制度

1、操作賬號是進(jìn)入各類應(yīng)用系統(tǒng)進(jìn)行業(yè)務(wù)操作、分級

對數(shù)據(jù)存取進(jìn)行控制的唯一憑證。賬號等級分為系統(tǒng)管理員

賬號、二級管理員賬號及普通用戶賬號。

2、系統(tǒng)管理員賬號授權(quán)二級管理員賬號相應(yīng)管理權(quán)限，

二級管理員根據(jù)普通用戶崗位需求不同授予相應(yīng)的技能權(quán)

限組。

3、系統(tǒng)管理員賬號必須經(jīng)過經(jīng)營管理者授權(quán)取得；

4、系統(tǒng)管理員負(fù)責(zé)各項應(yīng)用系統(tǒng)的環(huán)境生成、維護(hù)，

負(fù)責(zé)一般賬號的生成和維護(hù)，負(fù)責(zé)故障恢復(fù)等管理及維護(hù)；

5、系統(tǒng)管理員對業(yè)務(wù)系統(tǒng)進(jìn)行數(shù)據(jù)整理、故障恢復(fù)等

操作，必須有其上級授權(quán)；

6、系統(tǒng)管理員不得使用他人密碼進(jìn)行業(yè)務(wù)操作；

7、系統(tǒng)管理員及二級管理員調(diào)離崗位，上級管理員(或

相關(guān)負(fù)責(zé)人)應(yīng)及時注銷其賬號并生產(chǎn)新的系統(tǒng)管理員賬號。

4

1.2.賬號的設(shè)置與管理

1、普通用戶賬號由系統(tǒng)管理員根據(jù)各類應(yīng)用系統(tǒng)操作

要求生成，應(yīng)按每用戶一賬號設(shè)置。

2、所有用戶不得使用其他用戶賬號進(jìn)行業(yè)務(wù)操作。

3、用戶調(diào)離崗位，系統(tǒng)管理員應(yīng)及時注銷其使用賬號

或更改到新崗位對于技能權(quán)限組。

5

1.3.密碼與權(quán)限安全管理制度

1、密碼設(shè)置應(yīng)具有安全性、保密性，不能使用簡單的

數(shù)字。密碼是保護(hù)系統(tǒng)和數(shù)據(jù)安全的控制代碼，也是保護(hù)用

戶自身權(quán)益的控制代碼，密碼分設(shè)為用戶密碼和操作密碼，

用戶密碼是登陸系統(tǒng)時所設(shè)的密碼，操作密碼是進(jìn)入各應(yīng)用

系統(tǒng)的操作員密碼。密碼設(shè)置不應(yīng)是名字、生日，重復(fù)、順

序、規(guī)律數(shù)字等容易猜測的數(shù)字和字符串；

2、管理員密碼應(yīng)定期修改，間隔時間不得超過一個月，

如發(fā)現(xiàn)或懷疑密碼遺失或泄漏應(yīng)立即修改，并在相應(yīng)登記簿

記錄用戶名、修改時間、修改人等內(nèi)容。

3、服務(wù)器、路由器等重要設(shè)備的超級用戶密碼由運行

機(jī)構(gòu)負(fù)責(zé)人指定專人(不參與系統(tǒng)開發(fā)和維護(hù)的人員)設(shè)置

和管理，并由密碼設(shè)置人員將密碼裝入密碼信封，在騎縫處

加蓋個人名章或簽字后交給密碼管理人員存檔并登記(暫時

放在經(jīng)理辦公室的保管箱中)。如遇特殊情況需要啟用封存

的密碼，必須經(jīng)過經(jīng)理同意，由密碼使用人員向密碼管理人

員索取，使用完畢后，須立即更改并封存，同時在“密碼管

理登記簿”中登記。

4、催收系統(tǒng)維護(hù)用戶的密碼只能一個人知道，每次更

改密碼需要將密碼裝入密碼信封，有密碼保管員存檔保存。

如遇特殊情況需要啟用封存的密碼，必須經(jīng)過經(jīng)理同意，由

密碼使用人員向密碼管理人員索取，使用完畢后，須立即更

6

改并封存，同時在“密碼管理登記簿”中登記。

5、有關(guān)密碼授權(quán)工作人員調(diào)離崗位，有關(guān)部門負(fù)責(zé)人

須指定專人接替并對密碼立即修改或用戶刪除，同時在“密

碼管理登記簿”中登記。

7

1.4.數(shù)據(jù)信息安全管理制度

1、存放備份數(shù)據(jù)的介質(zhì)必須具有明確的標(biāo)識。備份數(shù)據(jù)

必須雙機(jī)備份，設(shè)置自動備份。

2、催收錄音，監(jiān)控錄像儲存時間不得少于3年。

3、任何數(shù)據(jù)的使用及存放數(shù)據(jù)的設(shè)備或介質(zhì)的調(diào)撥、轉(zhuǎn)

讓、廢棄或銷毀必須嚴(yán)格按照程序進(jìn)行審批，以保證備份數(shù)

據(jù)安全完整。

4、數(shù)據(jù)恢復(fù)前，必須對原環(huán)境的數(shù)據(jù)進(jìn)行備份，防止有

用數(shù)據(jù)的丟失。數(shù)據(jù)恢復(fù)過程中要嚴(yán)格按照數(shù)據(jù)恢復(fù)手冊執(zhí)

行，出現(xiàn)問題時由技術(shù)部門進(jìn)行現(xiàn)場技術(shù)支持。數(shù)據(jù)恢復(fù)后，

必須進(jìn)行驗證、確認(rèn)，確保數(shù)據(jù)恢復(fù)的完整性和可用性。

5、數(shù)據(jù)清理前必須對數(shù)據(jù)進(jìn)行備份，在確認(rèn)備份正確后

方可進(jìn)行清理操作。歷次清理前的備份數(shù)據(jù)要根據(jù)備份策略

進(jìn)行定期保存或永久保存，并確?？梢噪S時使用。數(shù)據(jù)清理

的實施應(yīng)避開業(yè)務(wù)高峰期，避免對聯(lián)機(jī)業(yè)務(wù)運行造成影響。

6、需要長期保存的數(shù)據(jù)，數(shù)據(jù)管理部門需與相關(guān)部門制

定轉(zhuǎn)存方案，根據(jù)轉(zhuǎn)存方案和查詢使用方法要在介質(zhì)有效期

內(nèi)進(jìn)行轉(zhuǎn)存，防止存儲介質(zhì)過期失效，通過有效的查詢、使

用方法保證數(shù)據(jù)的完整性和可用性。轉(zhuǎn)存的數(shù)據(jù)必須有詳細(xì)

的文檔記錄。

7、非本單位技術(shù)人員對本公司的設(shè)備、系統(tǒng)等進(jìn)行維修、

維護(hù)時，必須由本公司相關(guān)技術(shù)人員現(xiàn)場全程監(jiān)督。計算機(jī)

8

設(shè)備送外維修，須經(jīng)設(shè)備管理機(jī)構(gòu)負(fù)責(zé)人批準(zhǔn)。送修前，需

將設(shè)備存儲介質(zhì)內(nèi)應(yīng)用軟件和數(shù)據(jù)等信息備份后刪除，并進(jìn)

行登記。對修復(fù)的設(shè)備，設(shè)備維修人員應(yīng)對設(shè)備進(jìn)行驗收、

病毒檢測和登記。

8、管理部門應(yīng)對報廢設(shè)備中存有數(shù)據(jù)資料進(jìn)行備份后清

除，并妥善處理廢棄無用的資料和介質(zhì)，防止泄密。

9、運行維護(hù)部門需指定專人負(fù)責(zé)計算機(jī)病毒的防范工作，

建立本單位的計算機(jī)病毒防治管理制度，經(jīng)常進(jìn)行計算機(jī)病

毒檢查，發(fā)現(xiàn)病毒及時清除。

10、用于生產(chǎn)計算機(jī)未經(jīng)有關(guān)部門允許不準(zhǔn)私自安裝其它

軟件。如工作需要必須使用其它軟件，需向部門負(fù)責(zé)人審批

后，由相關(guān)技術(shù)人員安裝正規(guī)渠道軟件。

9

1.5.獨立域控服務(wù)器

1、權(quán)限管理集中、管理成本下降

1.1、域環(huán)境，所有網(wǎng)絡(luò)資源，包括用戶，均是在域控制

器上維護(hù)，便于集中管理。所有用戶只要登入到域，在域內(nèi)

均能進(jìn)行身份驗證，管理人員可以較好的管理計算機(jī)資源，

管理網(wǎng)絡(luò)的成本大大降低。

1.2、防止公司員工在客戶端隨意安裝軟件，能夠增強(qiáng)客

戶端安全性、減少客戶端故障，降低維護(hù)成本。

1.3、通過域管理可以有效的分發(fā)和指派軟件、補(bǔ)丁等，

實現(xiàn)網(wǎng)絡(luò)內(nèi)的一起安裝，保證網(wǎng)絡(luò)內(nèi)軟件的統(tǒng)一性。

1.4、配合ISA的話就可以根據(jù)用戶來確定可不可以上網(wǎng)。

不然只能根據(jù)IP。

2、安全性能加強(qiáng)、權(quán)限更加分明

2.1、有利于企業(yè)的一些保密資料的管理，比如說某個盤允

許某個人可以讀寫，但另一個人就不可以讀寫；哪一個文件

只讓哪個人看；或者讓某些人可以看，但不可以刪/改/移等。

2.2、可以封掉客戶端的USB端口，防止公司機(jī)密資料的

外泄。

2.3、安全性完全與活動目錄(ActiveDirectory)集成。

不僅可在目錄中的每個對象上定義訪問控制，而且還可在每

個對象的屬性上定義?；顒幽夸?ActiveDirectory)提供安

全策略的存儲和應(yīng)用范圍。安全策略可包含帳戶信息：如域

10

范圍內(nèi)的密碼限制或?qū)μ囟ㄓ蛸Y源的訪問權(quán)；通過組策略設(shè)

置下發(fā)并執(zhí)行安全策略。

3、賬戶漫游和文件夾重定向

3.1、個人賬戶的工作文件及數(shù)據(jù)等可以存儲在服務(wù)器上，

統(tǒng)一進(jìn)行備份、管理，用戶的數(shù)據(jù)更加安全、有保障。當(dāng)客

戶機(jī)故障時，只需使用其他客戶機(jī)安裝相應(yīng)軟件以用戶帳號

登錄即可，用戶會發(fā)現(xiàn)自己的文件仍然在“原來的位置”(比

如，我的文檔),沒有丟失，從而可以更快地進(jìn)行故障修復(fù)。

3.2、卷影副本技術(shù)可以讓用戶自行找回文件以前的版本

或者誤刪除的文件(限保存過的32個版本)。在服務(wù)器離線

時(故障或其他情況),“脫機(jī)文件夾”技術(shù)會自動讓用戶使

用文件的本地緩存版本繼續(xù)工作，并在注銷或登錄系統(tǒng)時與

服務(wù)器上的文件同步，保證用戶的工作不會被打斷。

4、方便用戶使用各種共享資源

4.1、可由管理員指派登錄腳本映射分布式文件系統(tǒng)根目

錄，統(tǒng)一管理。用戶登錄后就可以像使用本地盤符一樣，使

用網(wǎng)絡(luò)上的資源，且不需再次輸入密碼，用戶也只需記住一

對用戶名/密碼即可。

4.2、各種資源的訪問、讀取、修改權(quán)限均可設(shè)置，不同

的賬戶可以有不同的訪問權(quán)限。即使資源位置改變，用戶也

不需任何操作，只需管理員修改鏈接指向并設(shè)置相關(guān)權(quán)限即

可，用戶甚至不會意識到資源位置的改變，不用像從前那樣，

11

必須記住哪些資源在哪臺服務(wù)器上。

5、SMS系統(tǒng)管理服務(wù)(SystemManagementServer)

通過能夠分發(fā)應(yīng)用程序、系統(tǒng)補(bǔ)丁等，用戶可以選擇安裝，

也可以由系統(tǒng)管理員指派自動安裝。并能集中管理系統(tǒng)補(bǔ)丁

(如WindowsUpdates),不需每臺客戶端服務(wù)器都下載同樣

的補(bǔ)丁，從而節(jié)省大量網(wǎng)絡(luò)帶寬。

6、靈活的查詢機(jī)制

用戶和管理員可使用“開始”菜單、“網(wǎng)上鄰居”或“Active

Directory用戶和計算機(jī)”上的“搜索”命令，通過對象屬

性快速查找網(wǎng)絡(luò)上的對象。例如，您可通過名字、姓氏、電

子郵件名、辦公室位置或用戶帳戶的其他屬性來查找用戶。

通過使用全局編錄來優(yōu)化查找信息。

7、擴(kuò)展性能較好

WIN2K的活動目錄具有很強(qiáng)的可擴(kuò)展性，管理員可以在計

劃中增加新的對象類，或者給現(xiàn)有的對象類增加新的屬性。

計劃包括可以存儲在目錄中的每一個對象類的定義和對象

類的屬性。

8、方便在MS軟件方面集成

如ISA、Exchange、TeamFoundationServer、SharePoint、

SQLServer等。

12

第二章網(wǎng)絡(luò)傳輸安全管理制度

第一條、公司網(wǎng)絡(luò)的安全管理，應(yīng)當(dāng)保障網(wǎng)絡(luò)系統(tǒng)設(shè)備

和配套設(shè)施的安全，保障信息的安全，保障運行環(huán)境的安全。

第二條、任何單位和個人不得從事下列危害公司網(wǎng)絡(luò)安

全的活動：

1、任何單位或者個人利用公司網(wǎng)絡(luò)從事危害公司計算

機(jī)網(wǎng)絡(luò)及信息系統(tǒng)的安全。

2、對于公司網(wǎng)絡(luò)主結(jié)點設(shè)備、光纜、網(wǎng)線布線設(shè)施，

以任何理由破壞、挪用、改動。

3、未經(jīng)允許，對信息網(wǎng)絡(luò)功能進(jìn)行刪除、修改或增加。

4、未經(jīng)允許，對計算機(jī)信息網(wǎng)絡(luò)中的共享文件和存儲、

處理或傳輸?shù)臄?shù)據(jù)和應(yīng)用程序進(jìn)行刪除、修改或增加。

5、故意制作、傳播計算機(jī)病毒等破壞性程序。

6、利用公司網(wǎng)絡(luò)，訪問帶有“黃、賭、毒”、反動言論

內(nèi)容的網(wǎng)站。

7、向其它非本單位用戶透露公司網(wǎng)絡(luò)登錄用戶名和密

碼。

8、其他危害信息網(wǎng)絡(luò)安全的行為。

第三條、各單位信息管理部門負(fù)責(zé)本單位網(wǎng)絡(luò)的安全和

信息安全工作，對本單位單位所屬計算機(jī)網(wǎng)絡(luò)的運行進(jìn)行巡

檢，發(fā)現(xiàn)問題及時上報信息中心。

第四條、連入公司網(wǎng)絡(luò)的用戶必須在其本機(jī)上安裝防病

13

毒軟件，一經(jīng)發(fā)現(xiàn)個人計算機(jī)由感染病毒等原因影響到整體

網(wǎng)絡(luò)安全，信息中心將立即停止該用戶使用公司網(wǎng)絡(luò)，待其

計算機(jī)系統(tǒng)安全之后方予開通。

第五條、嚴(yán)禁利用公司網(wǎng)絡(luò)私自對外提供互聯(lián)網(wǎng)絡(luò)接入

服務(wù)，一經(jīng)發(fā)現(xiàn)立即停止該用戶的使用權(quán)。

第六條、對網(wǎng)絡(luò)病毒或其他原因影響整體網(wǎng)絡(luò)安全的子

網(wǎng)，信息中心對其提供指導(dǎo)，必要時可以中斷其與骨干網(wǎng)的

連接，待子網(wǎng)恢復(fù)正常后再恢復(fù)連接。

14

2.1.網(wǎng)絡(luò)安全

1、生產(chǎn)和作業(yè)網(wǎng)絡(luò)均部署單獨VLAN并部署相關(guān)防火墻策

略且斷開和互聯(lián)網(wǎng)的連接。

2、存放服務(wù)商敏感數(shù)據(jù)均部署單獨VLAN并部署相關(guān)防火

墻策略且斷開和互聯(lián)網(wǎng)的連接，防止數(shù)據(jù)外泄。

3、已通過防火墻策略關(guān)閉所有外部開放端口，只開放生

產(chǎn)必須端口。

4、已安裝監(jiān)控和端口監(jiān)聽系統(tǒng)及syslog日志審計系統(tǒng)，

對各網(wǎng)絡(luò)和硬件設(shè)備進(jìn)行監(jiān)控和監(jiān)聽，并按時對機(jī)房物理設(shè)

備進(jìn)行巡檢。

15

2.2.應(yīng)用安全

1、對生產(chǎn)PC統(tǒng)一部署殺毒軟件，實際病毒的查殺和監(jiān)控。

定期自動更新病毒庫和制定查殺策略。

2、購買并部署殺毒軟件同時部署相關(guān)策略。

3、針對敏感數(shù)據(jù)終端設(shè)備，封鎖必要的網(wǎng)絡(luò)傳輸端口，

禁止安裝傳輸軟件。

16

2.3.系統(tǒng)漏洞掃描與安全加固

1、身份鑒別

1.1、密碼安全策略

要求：操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份鑒別信息應(yīng)具

有不易被冒用的特點，口令應(yīng)有復(fù)雜度要求并定期更換。

目的：設(shè)置有效的密碼策略，防止攻擊者破解出密碼。

操作步驟：

【位置】開始—管理工具一本地安全策略—帳戶策略—密碼

策略，加固設(shè)置為下圖所示：

策略安全設(shè)置

密碼必須符合復(fù)雜性要求已啟用

密碼長度最小值8個字符

密碼最短使用期限2天

密碼最長使用期限90天

強(qiáng)制密碼歷史5個記住的密碼

用可還原的加密來儲存密碼已禁用

1.2、帳號鎖定策略

要求：應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會話、限制

非法登錄次數(shù)和自動退出等措施。

目的：遭遇密碼破解時，暫時鎖定帳號，降低密碼被猜解

的可能性。

操作步驟：

【位置】開始—管理工具一本地安全策略—帳戶策略—帳號

鎖定策略，加固后如下圖所示：

17

策略▲安全設(shè)置

帳戶鎖定時間10分鐘

帳戶鎖定閾值10次無效登錄

重置帳戶鎖定計數(shù)器10分鐘之后

1.3、安全的遠(yuǎn)程管理方式

要求：當(dāng)對服務(wù)器進(jìn)行遠(yuǎn)程管理時，應(yīng)采取必要措施，防

止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽。

目的：防止遠(yuǎn)程管理過程中，密碼等敏感信息被竊聽

操作步驟：

【位置】開始—管理工具一遠(yuǎn)程桌面服務(wù)—遠(yuǎn)程桌面會話主

機(jī)配置，右鍵“RDP-Tcp”,選擇“屬性”—“常規(guī)”,加固

后如下圖所示：

18

RDF-Tep民性區(qū)

遠(yuǎn)程控制客戶端設(shè)置網(wǎng)絡(luò)適配器安全

常規(guī)登錄設(shè)置會話環(huán)境

類型：RDP-Tep

傳輸：tep

備注@):

-安全性

安全層():SSL(TLS1.0)

SSL(TL1.Q),掙用于服務(wù)器身份驗證，并用于加密服務(wù)器和客

戶滿之間像輸?shù)乃袛?shù)據(jù)。

加密級別區(qū)):客戶端兼容

根據(jù)客戶端支持的最長密鑰長度，所有在客戶端和服務(wù)器之間發(fā)

送的數(shù)據(jù)都變加密保護(hù)。

口僅允許運行使用網(wǎng)絡(luò)級別身份驗證的遠(yuǎn)程桌面的計算機(jī)連接L)

證書：已自動生成

選擇(C)默認(rèn)值@)

了解關(guān)于配置安全設(shè)置的更多信息

確定取消應(yīng)用(A)

2、訪問控制

2.1、關(guān)閉默認(rèn)共享

要求：應(yīng)啟用訪問控制功能，依據(jù)安全策略控制用戶對資

源的訪問。

目的：如果沒有關(guān)閉系統(tǒng)默認(rèn)共享，攻擊者通過IPC$方

式暴力破解帳戶的密碼，而后利用系統(tǒng)默認(rèn)共享如：C$、D$等，

對系統(tǒng)的硬盤進(jìn)行訪問

操作步驟：

【位置】開始—管理工具一共享和存儲管理，記錄當(dāng)前配置，

默認(rèn)如下圖所示：

19

共享名協(xié)議本地路徑配額|文件屏蔽|卷影副本可用空間

曰協(xié)議：SB(4項)

3ADRIN$SMBC;\Windows5.94GB

8*SMBc:(5.94GB

SMBD:\6.38GB

IPC$SMB

右鍵依次點擊C$、D$、ADMIN$,停止共享，加固后如下圖所

示：

netshareC$/del

netshareD$/del

netshareADMIN$/del

共享名協(xié)議本地路徑配額文件屏蔽|卷影副本|可用空間

曰協(xié)議：SMB(1項)

IPC$SMB

操作步驟：

【位置】運行一regedit進(jìn)入注冊表，在HKEY_LOCAL_MACHINE

—SYSTEM—CurrentControlSet—Services—LanmanServer

—Parameters下，新增AutoShareServer、AutoShareWks兩

個鍵，類型為DWORD(32位),值為0,如下圖所示：

20

名稱類型數(shù)據(jù)

ab賦認(rèn))RBG_SZ(數(shù)值未設(shè)置)

AdjustedfullSessionfipesREG_DWORD0x000000033)

autedisconneetRPG_DWORDOx0000000f(15)

解EnableAuthentieatelserSharingRPG_DNORDOx0O000000(0)

enablefercedlogoffREG_DWORDOx00000001(1)

enablesecuritysignatureREG_WORD0x00000000(0)

GuidRBG_BINARTfeb097c9dd802c46ad9fef994d73.

LenounceREG_DWORD0x00000000(0)

abWullSessionPipesREG_MULTI_SZ

解requiresecuritysiatureREG_DWORD0x00000000(0)

restrietnullsesssceessRPG_DWORD0x000000014)

ab]Servieell1PCEIPA_SZSystenRootk\systen32\srvave.dl1

ServicelllVnloadOnStPPEDWORDOx00000001l)

SiuREG_DWORD0x00000003(3)

AnteShareServerREG_DWORD0x00000000(0)W

AoteShare?ksREG_DWORD0x00000000(0)

2.2、用戶權(quán)限分配

要求：應(yīng)根據(jù)管理用戶的角色分配權(quán)限，實現(xiàn)管理用戶的

權(quán)限分離，僅授予管理用戶所需的最小權(quán)限。

目的：如果系統(tǒng)沒有對帳號進(jìn)行嚴(yán)格的權(quán)限分配，則黑客

可以利用低權(quán)限的帳號登陸終端，甚至關(guān)閉系統(tǒng)。

操作步驟：

【位置】開始—管理工具一本地安全策略—本地策略—用戶

權(quán)限分配，“關(guān)閉系統(tǒng)”,記錄當(dāng)前配置，默認(rèn)如下圖所示：

關(guān)閉系統(tǒng)屬性

本地安全設(shè)置說明

關(guān)閉系統(tǒng)

Administrators

BackupOperator

只保留Administrators組、其它全部刪除

21

“允許通過遠(yuǎn)程桌面服務(wù)登錄”,記錄當(dāng)前配置，默認(rèn)如下

圖所示：

允許通過遠(yuǎn)程桌面服務(wù)登錄民性

本地安全設(shè)置說明

允許通過遠(yuǎn)程桌面服務(wù)登錄

Administrators

RemoteDesktopUsers

只保留Administrators組、其它全部刪除。

2.3、禁止未登錄前關(guān)機(jī)

目的：禁止系統(tǒng)在未登錄前關(guān)機(jī)，防止非法用戶隨意關(guān)閉

系統(tǒng)。

操作步驟：

【位置】開始—管理工具一本地安全策略—本地策略—安全

選項—“關(guān)機(jī)：允許系統(tǒng)在未登錄的情況下關(guān)閉”,默認(rèn)如

下圖所示：

關(guān)機(jī)：允許系統(tǒng)在未登錄的情況下關(guān)閉屬性

本地安全設(shè)置說明

關(guān)機(jī)：允許系統(tǒng)在未登錄的情況下關(guān)閉

已啟用(E)

◎已禁用(S)

2.4、重命名默認(rèn)帳號

22

要求：應(yīng)嚴(yán)格限制默認(rèn)帳戶的訪問權(quán)限，重命名系統(tǒng)默認(rèn)

帳戶，修改這些帳戶的默認(rèn)口令。

目的：修改默認(rèn)帳號，防止攻擊者破解密碼。

操作步驟：

【位置】開始—管理工具一計算機(jī)管理—系統(tǒng)工具一本地用

戶和組一用戶，可修改成下圖所示：

名稱全名」描述

Admini008管理計算機(jī)(域)的內(nèi)置帳戶

Guest008供來賓訪問計算機(jī)或訪問域的內(nèi)置帳戶

2.5、多余帳號

要求：應(yīng)及時刪除多余的、過期的帳戶，避免共享帳戶的

存在。

目的：刪除或禁用臨時、過期及可疑的帳號，防止被非法

利用。

操作步驟：

【位置】開始—管理工具一計算機(jī)管理一系統(tǒng)工具一本地用

戶和組—用戶，詢問管理員每個帳號的用途，確認(rèn)多余的帳

號，然后右鍵點擊“刪除”或“禁用”?？墒褂胣etuser用

戶名命令查看該用戶的詳細(xì)信息，如下所示：

23

\Users\Administrator>netNseradministrator

戶名

用名Administrator

釋管理計算機(jī)(域)的內(nèi)置帳戶

用戶的注釋

國家/地區(qū)代碼000(系統(tǒng)默認(rèn)值)

Ves

多鵬從不

上相的提世

次設(shè)置密碼2017/2/1510:15:07

碼到期2017/5/1610:15:07

碼可更改2017/2/1710:15:07

要密碼

Ves

戶可

以更改密碼Ves

允許的工作站A11

童錄腳本

用戶配置文件

主目錄

上次登錄2017/2/279:08:12

可允許的登錄小時數(shù)A11

本地組成員×Adninistratorsxora_dba

全局組成員×None

命令成功完成。

3、安全審計

要求：

審計范圍應(yīng)覆蓋到服務(wù)器和重要客戶端上的每個操作系

統(tǒng)用戶和數(shù)據(jù)庫用戶；

審計內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重

要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件；

審計記錄應(yīng)包括事件的日期、時間、類型、主體標(biāo)識、客

體標(biāo)識和結(jié)果等；應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審

計報表；

應(yīng)保護(hù)審計進(jìn)程，避免受到未預(yù)期的中斷；

應(yīng)保護(hù)審計記錄，避免受到未預(yù)期的刪除、修改或覆蓋等。

24

3.1、審核策略設(shè)置

目的：開啟審核策略，若日后系統(tǒng)出現(xiàn)故障、安全事故則

可以查看系統(tǒng)日志文件，排除故障、追查入侵者的信息等。

操作步驟：

【位置】運行一管理工具一本地安全策略—本地策略—審核

策略，策略建議設(shè)置為：

策略安全設(shè)置

審核策略更改成功，失敗

審核登錄事件成功，失敗

審核對象訪問失敗

審核進(jìn)程跟蹤無審核

審核目錄服務(wù)訪問失敗

審核特權(quán)使用失敗

審核系統(tǒng)事件成功，失敗

審核帳戶登錄事件成功，失敗

審核帳戶管理成功，失敗

3.2、安全日志屬性設(shè)置

目的：防止重要日志信息被覆蓋

操作步驟：

【位置】開始—管理工具一事件查看器—Windows日志，“應(yīng)

用程序”、“系統(tǒng)”、“安全”依次如下操作：

25

日志民性-應(yīng)用程序(類型：管理的)

常規(guī)訂閱

全名(E:Application

日志路徑山%SystemRoot%\System32\Winevt\Logs\Application.evtx

日志大?。?3.07MB(13,701,120個字節(jié))

創(chuàng)建時間：2014年8月5日11:03:14

修改時間：2017年2月26日18:06:09

訪問時間：2014年8月5日11:03;14200M

?啟用日志記錄(E

日志最大大小(KB)兇20480d3

達(dá)到事件日志最大大小時：

按需要要蓋事件(B事件優(yōu)先)WD

C日志滿時格其存檔，不覆蓋事件(A)l

C不要蓋事件(手動清除日志)(N)

4、剩余信息保護(hù)

4.1、不記住用戶名和密碼

目的：應(yīng)保證操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)用戶的鑒別信息

所在的存儲空間，被釋放或再分配給其他用戶前得到完全清

除，無論這些信息是存放在硬盤上還是在內(nèi)存中。

操作步驟：

【位置】開始—管理工具一本地安全策略—本地策略—安全

選項

“交互式登錄：不顯示最后的用戶名”,默認(rèn)如下圖所示：

26

交互式登錄：不顯示最后的用戶名屬性

本地安全設(shè)置說明

交互式登錄：不顯示最后的用戶名

C已啟用E)

○已禁用G)

選擇“已啟用”

4.2、清理內(nèi)存信息

要求：應(yīng)確保系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所

在的存儲空間，被釋放或重新分配給其他用戶前得到完全清

除。

目的：及時清理存放在系統(tǒng)中的用戶鑒別信息，防止信息

外泄，被黑客利用

操作步驟：

【位置】開始—管理工具一本地安全策略—本地策略—安全

選項一關(guān)機(jī)：清除虛擬內(nèi)存頁面文件，設(shè)定如下所示：

機(jī)：清除虛擬內(nèi)存頁面文件屬性

本地安全設(shè)置說明

關(guān)機(jī)：清除虛擬內(nèi)存頁面文件

已啟用C)

已禁用S)

27

4.3、關(guān)閉調(diào)試信息

目的：系統(tǒng)啟動失敗時，為了分析啟動失敗的原因，內(nèi)存

信息會自動轉(zhuǎn)儲到硬盤中。其中數(shù)據(jù)對普通用戶無用，及時

清理存這些信息或禁止出錯轉(zhuǎn)儲，防止外泄被黑客利用。

操作步驟：

【位置】開始一計算機(jī)一右鍵“屬性”—高級系統(tǒng)設(shè)置—高

級—啟動和故障恢復(fù)一設(shè)置，設(shè)定如下所示：

動和故障恢復(fù)

系統(tǒng)啟動

默認(rèn)操作系統(tǒng)(S):

WindowsServer2008R2

?顯示操作系統(tǒng)列表的時間(T):秒

?在需要時顯示恢復(fù)選項的時間@):同日秒

系統(tǒng)失敗

?將事件寫入系統(tǒng)日志(@

□自動重新啟動R)

寫入調(diào)試信息

(無)

轉(zhuǎn)儲文件：

KSystenRoot%\MEMORY.DMP

?覆蓋任何現(xiàn)有文件@

5、入侵防范

5.1、卸載冗余組件

28

要求：操作系統(tǒng)遵循最小安裝的原則，僅安裝需要的組件

和應(yīng)用程序，并通過設(shè)置升級服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及

時得到更新。

目的：卸載WScript.Shell,Shell.application這兩個

組件，防止黑客通過腳本來提權(quán)。

操作步驟：

【位置】運行一cmd,執(zhí)行如下信息：

C:\Users\Administrator>regsur32/uwshom.0cx

C:\Users\Administrator>regsur32/ushel132.d11

5.2、關(guān)閉不必要服務(wù)

目的：關(guān)閉與系統(tǒng)業(yè)務(wù)無關(guān)或不必要的服務(wù)，減小系統(tǒng)被

黑客被攻擊、滲透的風(fēng)險。

操作步驟：

【位置】開始—管理工具一服務(wù)，可禁用如下服務(wù)：

IPHelper(Ipv6技術(shù)啟動類型：禁用服務(wù)狀

態(tài)：停止)

RemoteRegistry(Ipv6技術(shù)啟動類型：禁用服

務(wù)狀態(tài)：停止)

Themes(主題管理