1、XXXX公司主機(jī)安全管理制度一、 身份鑒別系統(tǒng)與應(yīng)用管理員用戶(hù)設(shè)置對(duì)操作系統(tǒng)進(jìn)行特權(quán)用戶(hù)的特權(quán)分離（如系統(tǒng)管理員、應(yīng)用管理員等）并提供專(zhuān)用登陸控制模塊。采用最小授權(quán)原則，進(jìn)行授權(quán)。系統(tǒng)與應(yīng)用管理員口令安全啟用密碼口令復(fù)雜性要求，設(shè)置密碼長(zhǎng)度最小值為8位，密碼最長(zhǎng)使用期限90天，強(qiáng)制密碼歷史等，保證系統(tǒng)和應(yīng)用管理用戶(hù)身份標(biāo)識(shí)不易被冒用。 登陸策略采用用戶(hù)名、密碼、密鑰卡令牌實(shí)現(xiàn)用戶(hù)身份鑒別。非法訪問(wèn)警示配置賬戶(hù)鎖定策略中的選項(xiàng)，如賬戶(hù)鎖定時(shí)間、賬戶(hù)鎖定閾值等實(shí)現(xiàn)結(jié)束會(huì)話(huà)、限制非法登陸次數(shù)和自動(dòng)退出功能。二、 主機(jī)訪問(wèn)控制主機(jī)信任關(guān)系在域中設(shè)置信任與被信任關(guān)系，使一個(gè)域中的控制器驗(yàn)證另一個(gè)域中的用

2、戶(hù)，從而自助控制主機(jī)信任關(guān)系，并配置了數(shù)據(jù)庫(kù)主機(jī)信任關(guān)系。默認(rèn)過(guò)期用戶(hù)超過(guò)60天沒(méi)有更新計(jì)算機(jī)賬戶(hù)密碼的計(jì)算機(jī)賬戶(hù)設(shè)置為默認(rèn)過(guò)期用戶(hù)，為避免共享賬戶(hù)存在，及時(shí)刪除默認(rèn)過(guò)期用戶(hù)。用戶(hù)最小授權(quán)原則根據(jù)管理用戶(hù)的角色對(duì)權(quán)限做出標(biāo)準(zhǔn)細(xì)致的劃分，并授予管理用戶(hù)的最小權(quán)限，每個(gè)用戶(hù)只能擁有剛夠完成工作的最小權(quán)限。并按角色劃分權(quán)限，每個(gè)角色各負(fù)其責(zé)，權(quán)限各自分離，一個(gè)管理角色不擁有另一個(gè)管理角色的特權(quán)。三、 強(qiáng)訪問(wèn)控制資源訪問(wèn)記錄通過(guò)系統(tǒng)安全日志以及設(shè)置安全審計(jì)，記錄和分析各用戶(hù)和系統(tǒng)活動(dòng)操作記錄和信息資料，包括訪問(wèn)人員、訪問(wèn)計(jì)算機(jī)、訪問(wèn)時(shí)間、操作記錄等信息。重要系統(tǒng)文件強(qiáng)制訪問(wèn)控制范圍對(duì)重要系統(tǒng)文件進(jìn)行敏

3、感標(biāo)記，設(shè)置強(qiáng)制訪問(wèn)控制機(jī)制。根據(jù)管理用戶(hù)的角色分配權(quán)限，并作了細(xì)致劃分，禁授予管理用戶(hù)最小權(quán)限，并對(duì)用戶(hù)及用戶(hù)程序進(jìn)行限制，從而達(dá)到更高的安全級(jí)別。共享目錄關(guān)閉系統(tǒng)設(shè)置共享目錄訪問(wèn)權(quán)限時(shí)，指定了一個(gè)基于本地“Administrators”組帳戶(hù)的權(quán)限，保證共享目錄的訪問(wèn)安全。遠(yuǎn)程登陸控制服務(wù)器上啟用“路由和遠(yuǎn)程訪問(wèn)”服務(wù)，并且依據(jù)服務(wù)器操作系統(tǒng)訪問(wèn)控制的安全策略，授權(quán)訪問(wèn)用戶(hù)身份/角色，未授權(quán)用戶(hù)身份/角色訪問(wèn)客體，不允許進(jìn)行訪問(wèn)。四、 系統(tǒng)保護(hù)系統(tǒng)備份系統(tǒng)備份策略包括本地和遠(yuǎn)程兩種方式。其中，本地備份主要使用容錯(cuò)技術(shù)和冗余配置來(lái)應(yīng)對(duì)硬件故障，采用熱備軟件。系統(tǒng)所有數(shù)據(jù)存在數(shù)據(jù)庫(kù)中，實(shí)行遠(yuǎn)程

4、同步和備份數(shù)據(jù)庫(kù)。故障恢復(fù)策略正常情況下主服務(wù)器由于軟硬件故障（非人為因素）發(fā)生宕機(jī)時(shí)，網(wǎng)絡(luò)容錯(cuò)軟件立即激活備份服務(wù)器保證業(yè)務(wù)過(guò)程連續(xù)進(jìn)行，不影響用戶(hù)使用。特殊情況下由于網(wǎng)絡(luò)系統(tǒng)遭黑客入侵，或網(wǎng)絡(luò)系統(tǒng)遭病毒攻擊，或系統(tǒng)管理員操作失誤導(dǎo)致服務(wù)器癱瘓，就要恢復(fù)數(shù)據(jù)和系統(tǒng)。 故障恢復(fù)可分為數(shù)據(jù)還原和系統(tǒng)還原。安全配置新建用戶(hù)時(shí)賬戶(hù)便于記憶使用，并且密碼有一定復(fù)雜度；對(duì)不同賬戶(hù)進(jìn)行授權(quán)，擁有相應(yīng)權(quán)限；停用GUEST賬戶(hù)；將管理員賬戶(hù)權(quán)限設(shè)置最低；將共享文件權(quán)限改為授權(quán)用戶(hù)；登陸時(shí)不顯示上次登陸名；限制用戶(hù)數(shù)量并開(kāi)啟用戶(hù)策略。采用安全密碼；開(kāi)啟密碼策略；加密重要的文件和文件夾。系統(tǒng)采用NTFS格式化分區(qū)

5、；鎖定注冊(cè)表；配置安全策略，并禁止從軟盤(pán)和光驅(qū)啟動(dòng)系統(tǒng)。磁盤(pán)空間安全采用存儲(chǔ)區(qū)域網(wǎng)絡(luò)的方式集中化管理存儲(chǔ)網(wǎng)絡(luò)，包含來(lái)自多個(gè)廠商的存儲(chǔ)服務(wù)器、存儲(chǔ)管理軟件、應(yīng)用服務(wù)器和網(wǎng)絡(luò)硬件設(shè)備，隨時(shí)隨地的實(shí)現(xiàn)信息的存儲(chǔ)、訪問(wèn)、共享和保護(hù)。騰訊云機(jī)房備有不間斷電源(UPS)，保證磁盤(pán)的正常工作。做好病毒防護(hù)以及系統(tǒng)升級(jí)工作 操作系統(tǒng)都存在著很多已知和未知的漏洞，加之現(xiàn)在病毒攻擊的范圍也越來(lái)越廣泛，而硬盤(pán)作為計(jì)算機(jī)的信息存儲(chǔ)基地，通常都是計(jì)算機(jī)病毒攻擊的首選目標(biāo)。及時(shí)更新系統(tǒng)補(bǔ)丁，升級(jí)病毒庫(kù)，做好病毒防護(hù)工作，同時(shí)要注意對(duì)重要的數(shù)據(jù)進(jìn)行保護(hù)和經(jīng)常性的備份。在需要做硬件維護(hù)時(shí)，不進(jìn)行帶電操作。服務(wù)器7*24小時(shí)開(kāi)

6、啟，會(huì)長(zhǎng)時(shí)間頻繁的對(duì)硬盤(pán)進(jìn)行讀寫(xiě)，會(huì)對(duì)磁盤(pán)造成一定的損害，每月作一次到兩次磁盤(pán)碎片整理，使硬盤(pán)的讀寫(xiě)速度保持在最佳狀態(tài)，保證磁盤(pán)空間安全。主機(jī)加固系統(tǒng)按照安全策略實(shí)施，減少對(duì)外開(kāi)放的端口，在MMC中關(guān)閉不需要的服務(wù)，禁止Messenger服務(wù)、禁止Telnet服務(wù)等；切斷主機(jī)與應(yīng)用管理的聯(lián)系，不授予主機(jī)的全局管理權(quán)限；在管理員對(duì)主機(jī)進(jìn)行訪問(wèn)時(shí)，須提供用戶(hù)名，密碼才能登陸，并對(duì)密碼強(qiáng)度和密碼使用時(shí)間進(jìn)行限定；主機(jī)采用了linux操作系統(tǒng)，增加系統(tǒng)安全性，并有針對(duì)性的修改系統(tǒng)參數(shù)，如：禁止自動(dòng)登錄、禁止在藍(lán)屏后自動(dòng)啟動(dòng)機(jī)器、刪除服務(wù)器上的管理員共享等；設(shè)置防病毒系統(tǒng)升級(jí)策略，凌晨2:00下載病毒代

7、碼并分發(fā)升級(jí)，并根據(jù)病毒軟件來(lái)更新病毒庫(kù)。五、 剩余信息保護(hù)采用安全級(jí)別的操作系統(tǒng)操作系統(tǒng)級(jí)別LinuxC2為保證操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的鑒別信息所用的存儲(chǔ)空間，被釋放或分配給其他用戶(hù)前被釋放，做了如下設(shè)置：在本地安全策略中的安全選項(xiàng)中，啟用“不顯示上次的用戶(hù)名”。 為及時(shí)釋放系統(tǒng)內(nèi)文件、目錄、數(shù)據(jù)庫(kù)等所占用的存儲(chǔ)空間，進(jìn)行如下設(shè)置：在本地安全策略中的安全選項(xiàng)中，啟用“清除虛擬內(nèi)存頁(yè)面文件”；在本地安全設(shè)置，賬戶(hù)策略中的密碼策略中，啟用“用可還原的加密來(lái)存儲(chǔ)密碼”。六、 資源控制系統(tǒng)資源概念是指CPU、儲(chǔ)存空間、傳輸帶寬等軟硬件資源。通過(guò)設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄，可以極大

8、的節(jié)省系統(tǒng)資源，保證了系統(tǒng)的可用性，同時(shí)也提高了系統(tǒng)的安全性。對(duì)于Windows系統(tǒng)自身來(lái)說(shuō)，可以通過(guò)主機(jī)防火墻或TCP/IP篩選來(lái)實(shí)現(xiàn)以上功能。在“終端服務(wù)配置”中指定“限制每個(gè)用戶(hù)只使用一個(gè)會(huì)話(huà)”，限制用戶(hù)以桌面模式登錄的用戶(hù)的同時(shí)只保留一個(gè)會(huì)話(huà)。但是若用戶(hù)以特定應(yīng)用程序（在登錄時(shí)自動(dòng)啟動(dòng)某個(gè)應(yīng)用程序，該應(yīng)用程序關(guān)閉時(shí)連接即注銷(xiāo)）模式登錄時(shí)，該設(shè)置則無(wú)效。為了使在該模式下也能保證一個(gè)用戶(hù)同時(shí)只有一個(gè)會(huì)話(huà)，通過(guò)使用登錄腳本來(lái)進(jìn)行限制。啟用了TCP/IP篩選，創(chuàng)建IP篩選器并進(jìn)行IP篩選器設(shè)置，限定出相應(yīng)的IP地址上的終端可進(jìn)行登錄。并且根據(jù)公司的具體情況，在路由器上做了相關(guān)設(shè)置，僅允許特定I

9、P地址進(jìn)行終端登錄。在本地安全策略的安全選項(xiàng)中啟用了“在超過(guò)登錄時(shí)間后強(qiáng)制注銷(xiāo)”選項(xiàng)。保證系統(tǒng)安全。服務(wù)器運(yùn)行著后臺(tái)系統(tǒng)服務(wù)和業(yè)務(wù)應(yīng)用，需要保持247不間斷運(yùn)行并提供持續(xù)的服務(wù)，其運(yùn)行狀態(tài)的好壞直接影響了網(wǎng)絡(luò)用戶(hù)的使用，因此，讓服務(wù)器保持健康狀態(tài)就成為服務(wù)器管理的重中之重。比較桌面設(shè)備管理更加關(guān)注桌面系統(tǒng)和上層應(yīng)用自身的應(yīng)用狀態(tài)而言，服務(wù)器管理的首要目標(biāo)就是保證服務(wù)器的穩(wěn)定性和可靠性。利用網(wǎng)管平臺(tái)管理器提供的各種管理功能，服務(wù)器的可靠性和可用性將得到有效保證。騰訊云云監(jiān)控能夠247地監(jiān)控服務(wù)器的CPU、硬盤(pán)、內(nèi)存、網(wǎng)絡(luò)等資源的使用情況。實(shí)時(shí)系統(tǒng)警報(bào)功能，無(wú)論是硬件組件的預(yù)警，還是系統(tǒng)資源告急，

10、都能在第一時(shí)間通知到管理員并采取及時(shí)的應(yīng)對(duì)策略。主機(jī)安全維護(hù)管理制度七、 主機(jī)相關(guān)人員安全管理辦公室應(yīng)備案主機(jī)安全管理員為加強(qiáng)公司涉密服務(wù)器及終端、存儲(chǔ)介質(zhì)等相關(guān)設(shè)備的保密管理工作，結(jié)合公司實(shí)際業(yè)務(wù)工作，制定本制度。公司應(yīng)指定政治可靠，具有責(zé)任心，作風(fēng)正派，品行端正，無(wú)不良嗜好，精通計(jì)算機(jī)技術(shù)的人員擔(dān)任主機(jī)安全管理員，原則上至少配備兩人。為保障公司業(yè)務(wù)的連續(xù)性，設(shè)立了2名或以上主機(jī)安全管理員，即主機(jī)安全管理員A和主機(jī)安全管理員B，一般情況下由A管理服務(wù)器及終端、存儲(chǔ)介質(zhì)等，若A不在時(shí)由B管理。本制度所稱(chēng)計(jì)算機(jī)安全保密員是指管理涉密服務(wù)器及終端、存儲(chǔ)介質(zhì)等相關(guān)設(shè)備（以下簡(jiǎn)稱(chēng)設(shè)備）的管理人員。主機(jī)

11、安全管理員原則上應(yīng)確定為重要涉密人員。主機(jī)安全管理員的具體職責(zé)如下：負(fù)責(zé)為公司內(nèi)的涉密服務(wù)器和辦公計(jì)算機(jī)安裝防護(hù)系統(tǒng)、審計(jì)系統(tǒng)、涉密移動(dòng)存儲(chǔ)介質(zhì)管理系統(tǒng)和非法外聯(lián)監(jiān)控系統(tǒng)，并正確設(shè)置安全保密策略。負(fù)責(zé)對(duì)服務(wù)器、安全防護(hù)設(shè)備的管理員用戶(hù)進(jìn)行日常管理維護(hù)和使用登記；控制設(shè)備的訪問(wèn)權(quán)限及端口，保證使用完畢后及時(shí)退出。負(fù)責(zé)公司內(nèi)安全U盤(pán)、涉密移動(dòng)硬盤(pán)的入庫(kù)和發(fā)放，正確設(shè)置非法外聯(lián)監(jiān)控報(bào)警信息。負(fù)責(zé)設(shè)置涉密便攜式計(jì)算機(jī)、涉密存儲(chǔ)介質(zhì)外出攜帶的權(quán)限，并進(jìn)行檢查登記。負(fù)責(zé)根據(jù)所制定的安全保密策略，完成涉密設(shè)備的風(fēng)險(xiǎn)評(píng)估報(bào)告。負(fù)責(zé)對(duì)發(fā)生重大變化的、出現(xiàn)違規(guī)操作的、保密檢查發(fā)現(xiàn)問(wèn)題的設(shè)備重新進(jìn)行風(fēng)險(xiǎn)評(píng)估，并調(diào)整

12、安全保密策略。負(fù)責(zé)指導(dǎo)公司內(nèi)涉密設(shè)備的配置和使用。負(fù)責(zé)監(jiān)控公司網(wǎng)絡(luò)的安全狀況，并根據(jù)實(shí)際運(yùn)營(yíng)情況提出整改建議。嚴(yán)格按照資產(chǎn)安全管理制度和機(jī)房安全管理制度做好設(shè)備的安全管理工作。八、 機(jī)房管理 路由器、交換機(jī)和服務(wù)器以及通信設(shè)備是網(wǎng)絡(luò)的關(guān)鍵設(shè)備，須放置計(jì)算機(jī)機(jī)房?jī)?nèi)，不得自行配置或更換，更不能挪作它用。 計(jì)算機(jī)房要保持清潔、衛(wèi)生，并由專(zhuān)人7*24負(fù)責(zé)管理和維護(hù)(包括溫度、濕度、電力系統(tǒng)、網(wǎng)絡(luò)設(shè)備等)，無(wú)關(guān)人員未經(jīng)管理人員批準(zhǔn)嚴(yán)禁進(jìn)入機(jī)房。 嚴(yán)禁易燃易爆和強(qiáng)磁物品及其它與機(jī)房工作無(wú)關(guān)的物品進(jìn)入機(jī)房。 建立機(jī)房登記制度，對(duì)本地局域網(wǎng)絡(luò)、廣域網(wǎng)的運(yùn)行，建立檔案。未發(fā)生故障或故障隱患時(shí)當(dāng)班人員不可對(duì)中繼、

13、光纖、網(wǎng)線(xiàn)及各種設(shè)備進(jìn)行任何調(diào)試，對(duì)所發(fā)生的故障、處理過(guò)程和結(jié)果等做好詳細(xì)登記。 網(wǎng)管人員應(yīng)做好網(wǎng)絡(luò)安全工作，服務(wù)器的各種帳號(hào)嚴(yán)格保密。監(jiān)控網(wǎng)絡(luò)上的數(shù)據(jù)流，從中檢測(cè)出攻擊的行為并給予響應(yīng)和處理。 做好操作系統(tǒng)的補(bǔ)丁修正工作。 網(wǎng)管人員統(tǒng)一管理計(jì)算機(jī)及其相關(guān)設(shè)備，完整保存計(jì)算機(jī)及其相關(guān)設(shè)備的驅(qū)動(dòng)程序、保修卡及重要隨機(jī)文件。 計(jì)算機(jī)及其相關(guān)設(shè)備的報(bào)廢需經(jīng)過(guò)管理部門(mén)或?qū)Ｂ毴藛T鑒定，確認(rèn)不符合使用要求后方可申請(qǐng)報(bào)廢。 制定數(shù)據(jù)管理制度。對(duì)數(shù)據(jù)實(shí)施嚴(yán)格的安全與保密管理，防止系統(tǒng)統(tǒng)完整性、補(bǔ)丁和修正程序方面實(shí)時(shí)修改。九、 計(jì)算機(jī)病毒防范制度 網(wǎng)絡(luò)管理人員應(yīng)有較強(qiáng)的病毒防范意識(shí)，定期進(jìn)行病毒檢測(cè)(特別是數(shù)據(jù)的非法生成、變更、泄露、丟失及破壞。當(dāng)班人員應(yīng)在數(shù)據(jù)庫(kù)的系統(tǒng)認(rèn)證、系統(tǒng)授權(quán)、系郵件服務(wù)器)，發(fā)現(xiàn)病毒立即處理并通知管理部門(mén)或?qū)Ｂ毴藛T。 采用國(guó)家許可的正版防病毒軟件并及時(shí)更新軟件版本。 未經(jīng)上級(jí)管理人員許可，當(dāng)班人員不得在服務(wù)器上安裝新軟件，若確為需要安裝，安裝前應(yīng)進(jìn)行病毒例行檢測(cè)。 經(jīng)遠(yuǎn)程通信傳送的程序或數(shù)據(jù)，必須經(jīng)過(guò)檢測(cè)確認(rèn)無(wú)病毒后方可使用。 十、 數(shù)據(jù)保密及數(shù)據(jù)備份制度 根據(jù)數(shù)據(jù)的保密規(guī)定和用途，確定使用人員的存取權(quán)限、存取方式和審批手續(xù)。 禁止泄露、外借和轉(zhuǎn)移專(zhuān)業(yè)數(shù)據(jù)信息。 制定業(yè)務(wù)數(shù)據(jù)的更改審批制度，未經(jīng)批準(zhǔn)不得隨意更改