- 目录
第1篇 信息系统安全管理规定
系统安全管理规定
文档号CSLJC_COM_STD_ISMS_1202_P_V0.1密级
ISO27001信息安全管理体系文件
系统安全管理规定
ISMS-MP-A.12-01活动
签名
日期
创建
2011-8-24审核
批准II
文档变更历史
作者(或修订人)版本号
日期
修改内容与原因
V0.12011-8-24新建
评审记录
评审方式
版本号
日期
评审意见
文档状态:草稿
目录
1概述11.1目的11.2定义11.3范围11.4原则12角色与职责13安全要求23.1系统安全规划要求23.2系统运行与维护安全要求23.3操作系统安全配置策略53.3.1Windows系统安全配置管理策略53.3.2UNI*系统安全管理策略84附录10概述
1.1目的
为了加强公司各类计算机系统的安全运维管理,特制定本规定。
1.2定义
本程序引用ISO/IEC
17799:2005标准中的术语。
1.3范围
本文档适用于公司建立的信息安全管理体系。
1.4原则
本文档将依据信息技术和信息安全技术的不断发展和信息安全风险与信息安全保护目标的不断变化而进行版本升级。
角色与职责
表2-1系统安全管理规定的角色和职责
序号
角色
职责
信息安全管理委员会
负责对系统安全管理进行指导和检查
系统运维部
负责生产环境系统的维护工作
系统支援及维护部
负责系统安全管理的落地和实施工作
员工遵守公司系统安全管理规定
安全要求
3.1系统安全规划要求
1、系统在投入使用前需要做好前期的规划和设计,除了要满足公司目前业务需要外还要考虑该业务系统将来的应用需求,使系统具有一定的扩充能力。
2、系统服务器操作系统应选用正版软件并且遵守软件规定的最终用户使用协议,禁止使用盗版软件。
3、新规划使用系统应考虑和原来系统的兼容性问题。
4、在新系统安装之前应有详细的实施计划,并严格按照计划来实施。
5、在新系统安装完成,投入使用前,应对所有组件包括设备、服务或应用进行连通性测试、性能测试、安全性测试,并在《系统测试记录》做详细记录,最终形成测试报告。
6、在新系统安装完成,测试通过,投入使用前,应删除测试用户和口令,最小化合法用户的权限,最优化配置,应及时对系统软件、文件和重要数据进行备份。
3.2系统运行与维护安全要求
1、各个系统设备应进行资产登记。
2、系统的帐号、口令应符合《帐号与密码安全管理规定》,并定期对帐号口令实施安全评估。
3、严格限制操作系统管理员权限帐号和普通账号的数量和使用范围。对于系统管理员的帐号要详细登记备案,编制《管理员权限账号记录》,每季度对该记录进行审核,更新帐号记录。
4、操作系统帐号的申请与变更参考《帐号与密码安全管理规定》3.5节“账号权限控制流程”。
5、严格禁止非本系统管理、维护人员直接进入主机设备进行操作,若在特殊情况下(如系统维修、升级等)需要外部人员(主要是指厂家技术工程师、非本系统技术工程师、安全管理员等)进入主机设备进行操作时,必须由维护人员员亲自登录,并对操作全过程进行记录备案。
6、应尽可能减少主机设备的远程管理方式。
7、严禁随意安装、卸载系统组件和驱动程序,如确实需要,应及时评测可能由此带来的影响;如果需要安装补丁程序,参考《病毒与补丁安全管理规定》进行安装。
8、禁止主机系统上开放具有“写”权限的共享目录,如果确实必要,优先考虑建立FTP站点,紧急情况下可临时开放,但要设置强共享口令,并在使用完之后立刻取消共享;应禁止不被系统明确使用的服务、协议和设备的特性,避免使用不安全的服务。
9、应严格并且合理的分配服务安装分区或者目录的权限,如果可能的话,给每项服务安装在独立分区;取消或者修改服务的banner信息;避免让应用服务运行在root或者administrator权限下。
10、应严格控制重要文件的许可权和拥有权,重要的数据应当加密存放在主机上,取消匿名FTP访问,并合理使用信任关系。
11、应对日志功能的启用、日志记录的内容、日志的管理形式、日志的审查分析做出明确的规定;对于重要主机系统,应建立集中的日志管理服务器,实现对重要主机系统日志的统一管理,以利于对主机系统日志的审查分析;应保证各设备的系统日志处于运行状态,并定期对日志做一次全面的分析,对登录的用户、登录时间、所做的配置和操作做检查,在发现有异常的现象时应及时向相关人员报告,日志审核要求详见《安全审计管理规定》。
12、应及时监视、收集主机设备操作系统生产厂商公布的软件以及补丁更新,要求下载补丁程序的站点必须是相应的官方站点,并对更新软件或补丁进行评测,在获得部门领导的批准下,对实际环境实施软件更新或者补丁安装;必须订阅CERT
(计算机紧急响应小组)公告或其他专业安全机构提供的安全漏洞信息的相关资源,应立即提醒信息安全工作组任何可能影响网络正常运行的漏洞;及时评测对漏洞采取的对策,在获得部门领导的批准下,对实际环境实施评测过的对策,并将整个过程记录备案;软件更新或者补丁安装应尽量安排在非业务繁忙时段进行,操作必须由两人以上完成,由一人监督,一人操作,并在升级(或修补)前后做好数据和软件的备份工作,同时将整个过程记录备案;软件更新或者补丁安装后应重新对系统进行安全设置,并进行系统的安全检查。
13、应定期进行安全漏洞扫描和病毒查杀工作,平均频率应不低于每月一次,并在《月度网络安全扫描记录》中详细记录评估扫描结果。重大安全漏洞发布后,应在3个工作日内进行;为了防止网络安全扫描以及病毒查杀对网络性能造成影响,应根据业务的实际情况对扫描时间做出规定,应一般安排在非业务繁忙时段;当发现主机设备上存在病毒、异常开放的服务或者开放的服务存在安全漏洞时应及时上报信息安全工作组,并采取相应措施。
14、应至少每周1次,对所有主机设备进行检查,确保各设备都能正常工作;应通过各种手段监控主机系统的CPU利用率、进程、内存和启动脚本等的使用状况,在发现异常系统进程或者系统进程数量异常变化时,或者CPU利用率,内存占用量等突然异常时,应立即上报信息安全工作组,并同时采取适当控制措施,并记录备案。
15、当主机系统出现以下现象之一时,必须进行安全问题的报告和诊断:
系统中出现异常系统进程或者系统进程数量有异常变化。
系统突然不明原因的性能下降。
系统不明原因的重新启动。
系统崩溃,不能正常启动。
系统中出现异常的系统账号
系统账号口令突然失控。
系统账号权限发生不明变化。
系统出现来源不明的文件。
系统中文件出现不明原因的改动。
系统时钟出现不明原因的改变。
系统日志中出现非正常时间系统登录,或有不明IP地址的系统登录。
发现系统不明原因的在扫描网络上其它主机。
16、应及时报告任何已知的或可疑的信息安全问题、违规行为或紧急安全事件,并在采取适当措施的同时,应向信息安全工作组报告细节;应定期提交安全事件和相关问题的管理报告,以备管理层检查。
17、应根据“知所必需”原则严格限制泄漏安全违规行为、安全事件或安全漏洞。如果必须向任何公司外部方(包括任何合法的权威机构)泄漏这类受限信息,应先咨询公司相关法律部门。
18、系统软件安装之后,应立即进行备份;在后续使用过程中,在系统软件的变更以及配置的修改之前和之后,也应立即进行备份工作;应至少每年1次对重要的主机系统进行灾难影响分析,并进行灾难恢复演习。
19、应至少每年1次对整个网络进行风险评估,每次风险评估时,手工检查的比例应不低于10%,渗透测试的比例应不低于5%;风险评估后应在10个工作日内完成对网络的修补和加固,并进行二次评估。
3.3操作系统安全配置策略
3.13.23.33.3.1Windows系统安全配置管理策略在应用以下安全策略之前应根据业务系统的实际情况进行操作,注意实施操作后对业务的风险。
1、物理安全策略
应设置BIOS口令以增加物理安全。
应禁止远程用户使用光驱和软驱。
2、补丁管理策略
应启动Windows自动更新功能,及时安装Windows补丁(SP、hotfi*)。
对于不能访问Internet的Windows系统,应采用手工打补丁的方式。
3、帐户与口令策略所有帐户均应设置口令。
应将系统管理员账号administrator重命名。
应禁止Guest账号。
应启用“密码必须符合复杂性要求”,设置“密码长度最小值”、“密码最长存留期”、“密码最短存留期”、“密码强制历史”,停用“为域中用户使用可还原的加密来存储”。
应设置“账户锁定时间”,“账户锁定阈值”,“复位账户锁定计数器”来防止远程密码猜测攻击。
在信息安全组批准下,应定期利用口令破解软件进行口令模拟破解测试,在发现脆弱性口令后及时通告并采取强制性的补救修改措施。
4、网络服务策略
应尽可能减少网络服务,关闭不必要的服务。
应通过修改注册表项,调整优化TCP/IP参数,来提高系统抵抗DoS攻击的能力。
应限制使用SNMP服务。如果的确需要,应使用V3版本替代V1、V2版本,并启用MD5校验等功能。
5、文件系统策略
所有分区均应使用NTFS。
尽量使用磁盘配额管理、文件加密(EFS)等功能。
应卸载OS/2和POSI*操作环境子系统。
应将所有常用的管理工具放在%systemroot%外的特殊目录下,并对其进行严格的访问控制,保证只有管理员才具有执行这些工具的权限。
应关闭NTFS生成
8.3文件名格式。
应设置访问控制列表(ACL),对重要的目录、文件进行访问权限的限制。
6、日志策略
应启用系统和文件审核功能,包括应用程序日志、安全日志、系统日志、以及各种服务的日志。
应更改日志存放的目录,并及时监控,特别是安全日志、系统日志。对于重要主机设备,应建立集中的日志管理服务器,实现对重要主机设备日志的统一管理,以利于对主机设备日志的审查分析。
7、安全性增强策略
对于独立服务器应直接检查本地的策略和配置。对于属于域的服务器,应检查域控制器上对计算机的域管理策略。检查内容主要为用户、用户组及其权限管理策略。
应限制对注册表的访问,严禁对注册表的匿名访问,严禁远程访问注册表,并对关键注册表项进行访问控制,以防止它们被攻击者用于启动特洛伊木马等恶意程序。
应定期检查注册表启动项目,避免系统被安装非法的自启动程序。
应隐含最后登陆用户名,避免攻击者猜测系统内的用户信息。
在登录系统时应显示告警信息,防止用户对远程终端服务口令进行自动化的脚本猜测,并删除关机按钮。
应删除Windows主机上所有默认的网络共享。
应关闭对Windows主机的匿名连接。
对于不需要共享服务的主机,应彻底关闭文件和打印机共享服务。
应限制Pcanywhere等远程管理工具的使用,如确实需要,应使用最新版本,完整安装补丁程序并经过评测,获得信息安全工作组的许可;并使用Pcanywhere加密方式进行管理。
应安装防病毒软件,并及时更新软件版本和病毒库。
尽量安装防火墙。
3.3.2UNI*系统安全管理策略
1、补丁管理策略
应及时安装系统最新补丁。
应及时升级服务至最新版本。
2、帐户与口令策略
所有帐户均应设置口令。
去除不需要的帐户、修改默认帐号的shell变量。
除root外,不应存在其他uid=0的帐户。
应设置超时自动注销登陆,减少安全隐患。
应限制可以su为root的组。
应禁止root远程登陆。
在信息安全组批准下,应定期利用口令破解软件进行口令模拟破解测试,在发现脆弱性口令后及时通告并采取强制性的补救修改措施。
3、网络服务策略
应尽可能减少网络服务,关闭不必要的服务。
应启用inetd进站连接日志记录,增强审计功能。
应调整优化TCP/IP参数,来提高系统抵抗DoS攻击的能力。
应调整TCP/IP参数,禁止IP源路由。
应限制使用SNMP服务。如果的确需要,应使用V3版本替代V1、V2版本,并启用MD5校验等功能。
应调整内核参数打开“TCP随机序列号”功能。
4、文件系统策略
尽量使系统root用户初始创建权限(umask)为077。
尽量使用磁盘配额管理功能。
去除适当文件的set-uid和set-gid位。
应限制/etc目录的可写权限。
增强对关键文件的执行权限控制。
为不同的挂载点指派不同的属性。
5、日志策略
应对ssh、su登陆日志进行记录。
除日志服务器外,应禁止syslogd网络监听514端口。
对于重要主机设备,应建立集中的日志管理服务器,实现对重要主机设备日志的统一管理,以利于对主机设备日志的审查分析。
6、安全性增强策略
应保证bashshell保存少量的(或不保存)命令。
应禁止GUI登陆。
应隐藏系统提示信息。
尽量安装第三方安全增强软件。
附录
附录一:相关文件
《信息安全管理体系手册》
《系统测试记录》
《操作系统管理员权限帐号记录》
《操作系统普通权限账号记录》
《操作系统账号开通申请》
《月度网络安全扫描记录》
第2篇 某大学继续教育学院信息系统安全管理规定
z大学继续教育学院信息系统安全管理规定
第一章 总则
第一条 为了进一步加强我院信息系统安全管理,保证设施设备、人员及信息安全,确保网络正常运行,根据《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》、《中华人民共和国治安处罚法》第29条、《互联网安全保护技术措施》、《教育行业信息系统安全等级保护定级工作指南(试行)》等相关法律法规的要求,特制定本规定。
第二条 本管理规定所称的网络系统,是指由学校或学院投资购买,由我院维护和管理的,为教学、科研、管理服务的各类网络设备、配套设施、数据资料等软硬件系统的总和。
第二章 机构与制度
第三条 信息系统安全管理应遵循统一管理、分级负责的原则。学院应成立专门部门负责网络安全管理工作。该部门在网络安全责任人的领导下,负责制定和完善相关的管理制度,组织和指导各部门实施网络安全管理工作,监督和评估制度的执行效果。
第四条 学院各部门应指定专人(部门网络安全责任人)负责本部门业务范围所涉及的信息系统安全的管理工作。各部门应结合自身工作性质和特点,制定具体的网络安全管理实施细则,明确工作职责和管理权限,责任要落实到人。
第五条 网络安全主管部门要强化有关网络安全法律、法规和网络安全意识的宣传教育工作,开展多种形式的安全检查,对发现的网络安全隐患,要及时督促整改。
第三章 技术措施
第六条 学院应对服务器、交换机、通信线路、IP地址等网络软硬件资源的使用进行统筹管理,按需分配。任何部门或个人不得通过任何手段私自使用以上资源或更改其用途。网络安全主管部门要对网络资源的使用和分配情况进行登记,并上报学校相关部门备案。
第七条 重要的网络设施设备必须实行专人专管。
第八条 信息系统中账号、密码、权限的安全设置必须符合相关的技术规范。重要的服务器应做到“功能单一、专机专用”,严禁在服务器中安装与其功能无关的服务类软件,不得用服务器做与其功能无关的事。
第九条 严格管理信息系统中的账号和密码,不得向无关的单位和个人提供相关信息(法律法规另有规定除外)。任何人不得以任何手段侦听、破解、盗用账号和密码,严禁登录与本人工作职责无关的网络设备。
第十条 所有接入网络的计算机必须安装防病毒软件;网络服务器必须采取防范网络入侵和攻击的技术手段;定期备份重要数据;网络中的重要设备应采取容灾措施。
第十一条 学院开设的服务器必须启用日志记录功能,记录并留存用户登录和退出时间、操作内容、访问地址或域名等关键信息,历史记录保留时间不得低于60天。
第十二条 对网络中的各类应用软件、数据库系统等信息资源应视其重要程度采取相应的保密措施和权限控制。
第十三条 养成良好的计算机使用习惯,不随意下载和安装不熟悉的软件、不无序存放数据资料、不使用盗版软件、不接收和转发来历不明的电子邮件、不随意访问不熟悉的网站、不随意修改系统参数,及时升级系统和应用软件、及时备份重要的数据资料。
第十四条 学院教学用机房一律不准对社会开放,严禁向学生提供有偿网络服务。在教学过程中不能无限制对教师和学生开通上网服务,应视具体的教学内容而定。
第四章 审查与备案制度
第十五条 学院应建立完备的审查与备案制度。需要审查和备案的事项包括:信息发布、提供网络服务、新建网络设施、申请网络账号等。
第十六条 各部门对外的信息发布的审查和备案工作由部门网络安全责任人负责。学院对外提供网络服务、新建网络设施或申请网络账号等由网络安全主管部门负责向学校提交相关申请和备案工作。
第十七条 未经批准,任何部门和个人不得以学院的名义对外发布信息,不得私自对外开设代理、邮件、文件、信息等网络服务服务。如无特殊需要,学院的服务器一般不对学生和学院以外的人员开通信息发布功能。
第五章 应急处置机制和信息通报制度
第十八条 网络安全事件的处理应坚持“加强监控、主动防范、先期处置、及时汇报”的原则。
第十九条 出现以下情况可视为网络安全事件:
1.网站主页被恶意篡改,出现*、反政府、分裂国家、危害社会稳定等违法言论,出现宣扬色情、暴力、封建迷信的信息或损害他人利益、声誉的不实言论以及其他违法的信息。
2.网络服务器遭受入侵,数据被非法复制、修改、删除等。
3.网络服务器受到攻击,导致服务中断或严重受阻。
4.网络服务器感染计算机病毒,导致重大损失。
第二十条 若发生网络安全事件或疑似网络安全事件,应按以下步骤处理:
1.相关技术人员应立即停止受到影响的服务器、工作站的运行,关闭交换机等网络设备,防止势态蔓延、危害扩大;备份系统和应用软件的各类日志文件及重要的数据文件。
2.立即向学院网络安全主管部门汇报情况,由网络安全责任人召集技术人员对事件的性质进行认定。若确认为网络安全事件,应及时以书面形式向学校相关部门汇报。并在保留证据的前提下,及时修复受损的网络设备和数据。若确由必要,可向学校相关部门提出技术支持的请求。
3.处置完成后应总结教训、查找漏洞,制定相应的防范措施,尽量杜绝相同事件再次发生。
第六章 违约责任与处罚
第二十一条 违反本规定的行为一经查实,学院将视情节给予相应的行政纪律处分,情节严重或造成重大影响和损失的向学校相关部门报告,违反法律者,依法承担相关责任。
第七章 其他
第二十二条 本规定自公布之日起实行。
继续教育学院、应用技术学院
第3篇 绿谷集团计算机信息系统安全管理规定
绿谷集团计算机信息系统安全管理规定
第一章 总则
第一条 为了保护绿谷集团网络系统的安全、促进计算机网络的应用和发展、保证网络的正常运行和网络用户的使用权益,制定本安全管理规定。
第二条 本管理规定所称的网络系统,是指由绿谷集团投资购买、由网络与信息中心负责维护和管理的网络节点设备、配套的网络线缆设施及网络服务器、工作站所构成的、为网络应用及服务的硬件、软件的集成系统。
第三条 绿谷网络系统的安全运行和系统设备管理维护工作由信息设计部负责。任何单位和个人,未经网络负责单位同意、不得擅自安装、拆卸或改变网络设备。
第四条 任何单位和个人、不得利用联网计算机从事危害绿谷网站及本地局域网服务器、工作站的活动,不得危害或侵入未授权的服务器、工作站。
第五条 任何单位和个人不得利用公司内部网和国际联网危害公司安全、泄露公司秘密,不得侵犯公司的利益,不得从事违法犯罪活动。
第二章安全保护运行
一、操作管理
第六条 除网络负责单位,其它单位或个人不得以任何方式对计算机信息网络功能及计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加;
第七条未经保管人允许,任何人不得擅自使用她人电脑;
第八条 任何单位和个人不得利用内部网国际联网制作、复制、查阅和传播下列信息:
1、捏造或者歪曲事实,散布谣言,扰乱公司秩序的;
2、宣扬淫秽、色情的;
3、公然侮辱她人或者捏造事实诽谤她人的;
4、损害公司形象的;
第九条 任何单位和个人不得将涉及公司秘密的计算机信息系统,直接或间接地与国际互联网或其它公共信息网络相联接;
第十条 任何单位和个人不得将公司秘密的信息,在国际联网的计算机信息系统中存储、处理、传递;
第十一条 任何单位和个人不得在电子公告系统、聊天室、网络新闻组上发布、谈论和传播公司秘密信息;
第十二条 未经允许,任何单位和个人不得私自将计算机接入局域网;
第十三条 有密码功能的计算机要求设置密码;人员离开计算机后,要求退出系统并关机,或设计屏幕保护密码;
二、软件管理
第十四条 公司上网计算机操作软件必须由专人负责同一安装,任何单位和个人不得擅自安装其它软件;
第十五条 严禁在公司网络及计算机上使用来历不明、引发病毒传染的软件;
第十六条 严禁在公司网络及计算机上使用盗版软件;
三、文件管理
第十七条 重要文件必须及时备份;
第十八条 尽量减少文件共享,共享文件必须设置密码;
四、病毒管理
第十九条 每台计算机必须安装杀毒软件及防火墙;
第二十条 每台计算机必须定时查毒和升级杀毒软件,发现病毒立即上报信息设计部;
第二十一条 严禁故意制作、传播计算机病毒等破坏性程序;
第二十二条 严禁使用未经杀毒的软盘;
第二十三条 严禁未经杀毒拷贝文件,或将文件发送到其它客户机上;
第二十四条 严禁接受和发送未经杀毒的电子邮件;
第二十五条 新系统安装前必须进行病毒检测;
五、硬件管理
第二十五条 任何单位和个人不得以任何借口盗窃、破坏网络设施;
第二十六条 公司内从事施工、建设,不得危害计算机网络系统的安全;
第二十七条 除计算机维护人员,任何单位和个人不得随意拆卸所使用的计算机或相关设备;
第二十八条 计算机房间钥匙不得随意转借她人使用,做到人走锁门;
第二十九条 装有计算机房间内的电线必须按规定铺设,不得私拉乱接;
六、监督管理
第三十条 每台计算机由使用人负责日常维护及安全管理;
第三十一条 网络各类服务器中开设的帐户和口令为个人用户所拥有,信息设计部对用户口令保密,任何单位和个人不得随意提供这些信息。
第三十二条 各单位和用户,应当接受并配合信息设计部实施的监督检查,并根据信息设计部的要求,删除计算机及网上不符合规定的内容;
第三十三条 各部门和用户,发现违反规定情况时,应当立即向信息设计部报告;
第三十四条 负责部门必须定期检查安全情况,对网络上有害信息及时控制并删除,不得传播;
第三十五条 人员离岗离职必须到信息设计部登记,做好软硬件及帐号、密码交接工作;
第三章 违规责任与处罚
第三十六条 违反上述规定造成公司秘密泄漏、数据丢失、硬件损坏、病毒感染、对公司或她人造成不良影响者以及使用盗版软件者,根据具体情况追究当事人及其直接领导责任;
第四章 其她
第三十七条 本管理制度自公布之日起实行。