操作系统的安全策略基本配置原则通用版
管理制度编号:YTO-FS-PD674
操作系统的安全策略基本配置原则通
用版
In Order T o Standardize The Management Of Daily Behavior, The Activities And T asks Are Controlled By The Determined Terms, So As T o Achieve The Effect Of Safe Production And Reduce Hidden Dangers.
标准/ 权威/ 规范/ 实用
Authoritative And Practical Standards
操作系统的安全策略基本配置原则
通用版
使用提示:本管理制度文件可用于工作中为规范日常行为与作业运行过程的管理,通过对确定的条款对活动和任务实施控制,使活动和任务在受控状态,从而达到安全生产和减少隐患的效果。文件下载后可定制修改,请根据实际需要进行调整和使用。
安全配置方案中级篇主要介绍操作系统的安全策略配置,包括十条基本配置原则:
(1)操作系统安全策略,(2)关闭不必要的服务(3)关闭不必要的端口, (4)开启审核策略(5)开启密码策略, (6)开启帐户策略,(7)备份敏感文件,(8)不显示上次登陆名,(9)禁止建立空连接(10)下载最新的补丁
1 操作系统安全策略
利用Windows 2000的安全配置工具来配置安全策略,微软提供了一套的基于管理控制台的安全配置和分析工具,可以配置服务器的安全策略.在管理工具中可以找到"本地安全策略".可以配置四类安全策略:帐户策略,本地策略,公钥策略和IP安全策略.在默认的情况下,这些策略都是没有开启的.
2 关闭不必要的服务
Windows 2000的Terminal Services(终端服务)和IIS(Internet 信息服务)等都可能给系统带来安全漏洞.为了
能够在远程方便的管理服务器,很多机器的终端服务都是开着的,如果开了,要确认已经正确的配置了终端服务.
有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务.要留意服务器上开启的所有服务并每天检查.Windows2000可禁用的服务服务名说明
Computer Browser维护网络上计算机的最新列表以及提供这个列表Task scheduler允许程序在指定时间运行Routing and Remote Access在局域网以及广域网环境中为企业提供路由服务Removable storage管理可移动媒体,驱动程序和库Remote Registry Service允许远程注册表操作Print Spooler将文件加载到内存中以便以后打印.要用打印机的用户不能禁用这项服务IPSEC Policy Agent 管理IP安全策略以及启动ISAKMP/Oakley(IKE)和IP安全驱动程序Distributed Link Tracking Client当文件在网络域的NTFS卷中移动时发送通知Com+ Event System提供事件的自动发布到订阅COM组件。
3 关闭不必要的端口
关闭端口意味着减少功能,如果服务器安装在防火墙的后面,被入侵的机会就会少一些,但是不可以认为高枕无忧了.用端口扫描器扫描系统所开放的端口,在
Winnt\system32\drivers\etc\services文件中有知名端口和服务的对照表可供参考.该文件用记事本打开.
设置本机开放的端口
设置本机开放的端口和服务,在IP地址设置窗口中点击按钮"高级"。
在出现的对话框中选择选项卡"选项",选中"TCP/IP筛选",点击按钮"属性".
设置端口界面.
一台Web服务器只允许TCP的80端口通过就可以了.TCP/IP筛选器是Windows自带的防火墙,功能比较强大,可以替代防火墙的部分功能.
4 开启审核策略
安全审核是Windows 2000最基本的入侵检测方法.当有人尝试对系统进行某种方式(如尝试用户密码,改变帐户策略和未经许可的文件访问等等)入侵的时候,都会被安全审核记录下来.必须开启的审核如下表:
策略设置
审核系统登陆事件成功,失败
审核帐户管理成功,失败
审核登陆事件成功,失败
审核对象访问成功
审核策略更改成功,失败
审核特权使用成功,失败
审核系统事件成功,失败
审核策略默认设置
审核策略在默认的情况下都是没有开启的.
设置审核策略
双击审核列表的某一项,出现设置对话框,将复选框"成功"和"失败"都选中.
5 开启密码策略
密码对系统安全非常重要.本地安全设置中的密码策略在默认的情况下都没有开启.需要开启的密码策略如表所示策略设置
密码复杂性要求启用
密码长度最小值6位
密码最长存留期15天
强制密码历史5个
设置密码策略
设置选项.
6 开启帐户策略
开启帐户策略可以有效的防止字典式攻击.
策略设置
复位帐户锁定计数器30分钟
帐户锁定时间30分钟
帐户锁定阈值5次
设置帐户策略
7 备份敏感文件
把敏感文件存放在另外的文件服务器中;把一些重要的用户数据(文件,数据表和项目文件等)存放在另外一个安全的服务器中,并且经常备份它们.
8 不显示上次登录名
默认情况下,终端服务接入服务器时,登陆对话框中会显示上次登陆的帐户名,本地的登陆对话框也是一样.黑客们可以得到系统的一些用户名,进而做密码猜测.修改注册表禁止显示上次登录名,在HKEY_LOCAL_MACHINE主键下修改子键
Software\Microsoft\WindowsNT\CurrentVersion\Winl ogon\Dont
DisplayLastUserName,将键值改成1.
9 禁止建立空连接
默认情况下,任何用户通过空连接连上服务器,进而可以枚举出帐号,猜测密码. 可以通过修改注册表来禁止建立空连接.在HKEY_LOCAL_MACHINE主键下修改子键:
System\CurrentControlSet\Control\LSA\RestrictAnon ymous,将键值改成"1"即可.
10 下载最新的补丁
很多网络管理员没有访问安全站点的习惯,以至于一些
漏洞都出了很久了,还放着服务器的漏洞不补给人家当靶子用.经常访问微软和一些安全站点,下载最新的Service Pack 和漏洞补丁,是保障服务器长久安全的唯一方法.
该位置可输入公司/组织对应的名字地址
The Name Of The Organization Can Be Entered In This Location
操作系统的安全策略基本配置原则(新版)
When the lives of employees or national property are endangered, production activities are stopped to rectify and eliminate dangerous factors. (安全管理) 单位:___________________ 姓名:___________________ 日期:___________________ 操作系统的安全策略基本配置原 则(新版)
操作系统的安全策略基本配置原则(新版)导语:生产有了安全保障,才能持续、稳定发展。生产活动中事故层出不穷,生产势必陷于混乱、甚至瘫痪状态。当生产与安全发生矛盾、危及职工生命或国家财产时,生产活动停下来整治、消除危险因素以后,生产形势会变得更好。"安全第一" 的提法,决非把安全摆到生产之上;忽视安全自然是一种错误。 安全配置方案中级篇主要介绍操作系统的安全策略配置,包括十 条基本配置原则: (1)操作系统安全策略,(2)关闭不必要的服务(3)关闭不必要的端口,(4)开启审核策略(5)开启密码策略,(6)开启帐户策略,(7)备份敏 感文件,(8)不显示上次登陆名,(9)禁止建立空连接(10)下载最新的补丁 1操作系统安全策略 利用Windows2000的安全配置工具来配置安全策略,微软提供了一套的基于管理控制台的安全配置和分析工具,可以配置服务器的安全 策略.在管理工具中可以找到"本地安全策略".可以配置四类安全策略:帐户策略,本地策略,公钥策略和IP安全策略.在默认的情况下,这些策略都是没有开启的. 2关闭不必要的服务 Windows2000的TerminalServices(终端服务)和IIS(Internet信
XXXX农商银行信息系统安全基线技术规范
XXXX农商银行 信息系统安全配置基线规范 1范围 本规范适用于XXXX农商银行所有信息系统相关主流支撑平台设备。 2规范性引用文件 下列文件对于本规范的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本规范。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本规范。 ——中华人民共和国计算机信息系统安全保护条例 ——中华人民共和国国家安全法 ——中华人民共和国保守国家秘密法 ——计算机信息系统国际联网保密管理规定 ——中华人民共和国计算机信息网络国际联网管理暂行规定 ——ISO27001标准/ISO27002指南 ——公通字[2007]43号信息安全等级保护管理办法 ——GB/T 21028-2007 信息安全技术服务器安全技术要求 ——GB/T 20269-2006 信息安全技术信息系统安全管理要求 ——GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求 ——GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南 3术语和定义 安全基线:指针对IT设备的安全特性,选择合适的安全控制措施,定义不同IT设备的最低安全配置要求,则该最低安全配置要求就称为安全基线。 管理信息大区:发电企业、电网企业、供电企业内部基于计算机和网络技术的业务系统,原则上划分为生产控制大区和管理信息大区。生产控制大区可以分为控制区(安全区I)和非控制区(安全区Ⅱ);管理信息大区内部在不影响生产控制大区安全的前提下,可以根据各企业不同安全要求划分安全区。根据应用系统实际情况,在满足总体安全要求的前提下,可以简化安全区的设置,但是应当避免通过广域网形成不同安全区的纵向交叉连接。 4总则 4.1指导思想 围绕公司打造经营型、服务型、一体化、现代化的国内领先、国际著名企业的战略总体目标,为切实践行南网方略,保障信息化建设,提高信息安全防护能力,通过规范IT主流设备安全基线,建立公司管理信息大区IT主流设备安全防护的最低标准,实现公司IT主流设备整体防护的技术措施标准化、规范化、指标化。 4.2目标
DCS系统安全防护规定
DCS系统安全防护规定 (试行) 为了保证甲醇分公司DCS系统的安全稳定运行,特制定本规定。 1、综述: 分散控制系统DCS( distributed control system的简称)是以微处理器及微型机为基础,融算机技术、数据通信技术、C RT屏幕显示技术和自动控制技术为一体的计算机控制系统。它对生产过程进行集中操作管理和分散控制。 DCS系统已成为控制的中枢神经系统,是装置的大脑,装置中各设备的运行状态,设备参数的监视和控制都要通过DCS系统来实现的。正因为DCS系统在生产中举足轻重的作用,它的安全稳定运行就关系着生产的安全稳定。 DCS是由控制器、I/O模件、操作站、通讯网络、图形及遍程软件、历史站等组成。 2、DCS系统的工作环境 2.1 温湿度环境要求 环境条件是保证DCS系统能够长期正常运转的前提,严格控制机柜间和中控室的环境条件,做好消防、、通风及照明等工作。尤其是通风和空调,中央空调时出风口的不能正对机柜或D
CS其他电子设备,以免冷凝水渗透到设备内造成危害。DCS系统所在的房间的温度、湿度及洁净度要求一般是: 温度要求:夏季23±2℃,冬季20±2℃,温度变化率小于5℃/h。 相对湿度:45%~60%。 洁净度要求:尘埃粒度≥0.5μ,平均尘埃浓度≤3500粒/升。 机柜间和中控室内应有监视室内温度和湿度的仪表,以便时时监控DCS系统的工作环境。 2.2 接地要求 DCS接地系统设计关系到系统的安全性、抗干扰能力的强弱及通讯系统畅通。 2.2.1 DCS工作接地必须有单独的接地系统,接地点要与避雷接地点距离大于4米,与其它设备接地点距离大于3米。 2.2.2 DCS接地电阻要求不同,在接地连线后需要实测工作接地电阻和安全接地电阻等符合技术要求的数据。 2.2.3进DCS系统的屏蔽线接地应属于DCS系统的工作接地,不能接入保护接地中,另外屏蔽线接地只能在一点接地。
AI操作系统安全配置规范
AIX安全配置程序
1 账号认证 编号:安全要求-设备-通用-配置-1 编号:安全要求-设备-通用-配置-2
2密码策略 编号:安全要求-设备-通用-配置-3
编号:安全要求-设备-通用-配置-4 编号:安全要求-设备-通用-配置-5
编号:安全要求-设备-通用-配置-6 3审核授权策略 编号:安全要求-设备-通用-配置-7 (1)设置全局审核事件
配置/etc/security/audit/config文件,审核特权帐号和应用管理员帐号登录、注销,用户帐号增删,密码修改,执行任务更改,组更改,文件属主、模式更改,TCP连接等事件。 classes: custom = USER_Login,USER_Logout,USER_SU,PASSWORD_Change,USER_Create, USER_Change,USER_Remove,USER_Chpass,GROUP_Create,GROUP_Change,GROUP_Remove,CRON_J obAdd,CRON_JobRemove,TCPIP_config,TCPIP_host_id,TCPIP_connect,TCPIP_access,TCPIP_route,USER _Reboot,USER_SetGroups,INSTALLP_Inst,INSTALLP_Exec,FS_Rmdir,FS_Chroot,PORT_Locked,PORT_ Change,PROC_kill,PROC_Reboot,FS_Mount,FS_Umount,PROC_Settimer,PROC_Adjtime (2)审核系统安全文件修改 配置/etc/security/audit/objects文件,审核如下系统安全相关文件的修改。 /etc/security/environ: w = "S_ENVIRON_WRITE" /etc/security/group: w = "S_GROUP_WRITE" /etc/security/limits: w = "S_LIMITS_WRITE" /etc/security/login.cfg: w = "S_LOGIN_WRITE" /etc/security/passwd: r = "S_PASSWD_READ" w = "S_PASSWD_WRITE" /etc/security/user: w = "S_USER_WRITE" /etc/security/audit/config: w = "AUD_CONFIG_WR" 编号:安全要求-设备-通用-配置-8
系统安全配置技术规范-Cisco防火墙
系统安全配置技术规范—Cisco防火墙
文档说明(一)变更信息 (二)文档审核人
目录 1适用范围 (4) 2账号管理与授权 (4) 2.1【基本】设置非特权模式密码 (4) 2.2【基本】ENABLE PASSWORD的使用 (4) 2.3【基本】设置与认证系统联动 (5) 2.4【基本】设置登录失败处理功能 (5) 2.5认证授权最小化 (6) 3日志配置要求 (7) 3.1【基本】设置日志服务器 (7) 4IP协议安全要求 (7) 4.1【基本】设置SSH方式访问系统 (7) 4.2【基本】远程访问源地址限制 (8) 4.3【基本】设置F AILOVER KEY (8) 4.4【基本】关闭不使用的SNMP服务或更正不当权限设置 (9) 4.5【基本】SNMP服务的共同体字符串设置 (9) 4.6【基本】SNMP服务的访问控制设置 (9) 4.7【基本】防火墙策略修订 (10) 4.8常见攻击防护 (10) 4.9VPN安全加固 (10) 5服务配置要求 (11) 5.1【基本】启用NTP服务 (11) 5.2禁用HTTP配置方式 (11) 5.3禁用DHCP服务 (12) 5.4启用SERVICE RESETOUTSIDE (12) 5.5启用F LOODGUARD (12) 5.6启用F RAGMENT CHAIN保护 (13) 5.7启用RPF保护 (13) 6其他配置要求 (13) 6.1【基本】系统漏洞检测 (13) 6.2【基本】设置登录超时时间 (14) 6.3【基本】检查地址转换超时时间 (14) 6.4信息内容过滤 (14)
Windows操作系统安全配置方案
Windows操作系统安全配置方案 一、物理安全 服务器应当放置在安装了监视器的隔离房间内,并且监视器应当保留15天以内的录像记录。另外,机箱、键盘、抽屉等要上锁,以保证旁人即使在无人值守时也无法使用此计算机,钥匙要放在安全的地方。 二、停止Guest帐号 在[计算机管理]中将Guest帐号停止掉,任何时候不允许Guest帐号登录系统。为了保险起见,最好给Guest帐号加上一个复杂的密码,并且修改Guest帐号属性,设置拒绝远程访问。 三、限制用户数量 去掉所有的测试帐户、共享帐号和普通部门帐号,等等。用户组策略设置相应权限、并且经常检查系统的帐号,删除已经不适用的帐号。 很多帐号不利于管理员管理,而黑客在帐号多的系统中可利用的帐号也就更多,所以合理规划系统中的帐号分配。 四、多个管理员帐号 管理员不应该经常使用管理者帐号登录系统,这样有可能被一些能够察看Winlogon进程中密码的软件所窥探到,应该为自己建立普通帐号来进行日常工作。 同时,为了防止管理员帐号一旦被入侵者得到,管理员拥有备份的管理员帐号还可以有机会得到系统管理员权限,不过因此也带来了多个帐号的潜在安全问题。 五、管理员帐号改名 在Windows 2000系统中管理员Administrator帐号是不能被停用的,这意味着攻击者可以一再尝试猜测此帐户的密码。把管理员帐户改名可以有效防止这一点。 不要将名称改为类似Admin之类,而是尽量将其伪装为普通用户。 六、陷阱帐号 和第五点类似、在更改了管理员的名称后,可以建立一个Administrator的普通用户,将其权限设置为最低,并且加上一个10位以上的复杂密码,借此花费入侵者的大量时间,并且发现其入侵企图。
系统安全操作规程通用版
操作规程编号:YTO-FS-PD419 系统安全操作规程通用版 In Order T o Standardize The Management Of Daily Behavior, The Activities And T asks Are Controlled By The Determined Terms, So As T o Achieve The Effect Of Safe Production And Reduce Hidden Dangers. 标准/ 权威/ 规范/ 实用 Authoritative And Practical Standards
系统安全操作规程通用版 使用提示:本操作规程文件可用于工作中为规范日常行为与作业运行过程的管理,通过对确定的条款对活动和任务实施控制,使活动和任务在受控状态,从而达到安全生产和减少隐患的效果。文件下载后可定制修改,请根据实际需要进行调整和使用。 1、上班前四小时内不准喝酒,正确穿戴好劳保用品,严格遵守劳动纪律。 2、设备运转前及运转中必须确认风、油、水、气是否符合标准,检查传动部件是否良好,各阀门是否正常。 3、开机前必须检查各人孔门是否关闭,机内无漏物,方可关闭人孔门,下属设备无故障方可开机。 4、停机检修检查时,应和中控人员取得联系,必须通知电工切断高压电源,将转换开关置于“闭锁”位置;慢转磨机时确认各油泵是否工作正常,并同各现场作业负责人取得联系,确认安全,磨内无人,方可慢转。 5、进入设备内部检查必须两人以上,并配备低压照明或手电筒,并在设备控制盘上挂上“禁止合闸”牌。 6、巡检时不要接触设备运转部位,确保巡检通道畅通无障碍物。 7、斗提跳停后,必须确认斗提物料量是否超过正常值,如超过正常值,打开斗提下部放料,具备慢转条件的必须慢转,在其正常后方可开主电机。
操作系统的安全策略基本配置原则(正式)
编订:__________________ 单位:__________________ 时间:__________________ 操作系统的安全策略基本配置原则(正式) Standardize The Management Mechanism To Make The Personnel In The Organization Operate According To The Established Standards And Reach The Expected Level. Word格式 / 完整 / 可编辑
文件编号:KG-AO-8263-70 操作系统的安全策略基本配置原则 (正式) 使用备注:本文档可用在日常工作场景,通过对管理机制、管理原则、管理方法以及管理机构进行设置固定的规范,从而使得组织内人员按照既定标准、规范的要求进行操作,使日常工作或活动达到预期的水平。下载后就可自由编辑。 安全配置方案中级篇主要介绍操作系统的安全策略配置,包括十条基本配置原则: (1)操作系统安全策略,(2)关闭不必要的服务 (3)关闭不必要的端口, (4)开启审核策略(5)开启密码策略, (6)开启帐户策略,(7)备份敏感文件,(8)不显示上次登陆名,(9)禁止建立空连接(10)下载最新的补丁 1 操作系统安全策略 利用Windows 2000的安全配置工具来配置安全策略,微软提供了一套的基于管理控制台的安全配置和分析工具,可以配置服务器的安全策略.在管理工具中可以找到"本地安全策略".可以配置四类安全策略:帐户策略,本地策略,公钥策略和IP安全策略.在默认
的情况下,这些策略都是没有开启的. 2 关闭不必要的服务 Windows 2000的Terminal Services(终端服务)和IIS(Internet 信息服务)等都可能给系统带来安全漏洞.为了能够在远程方便的管理服务器,很多机器的终端服务都是开着的,如果开了,要确认已经正确的配置了终端服务. 有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务.要留意服务器上开启的所有服务并每天检查.Windows2000可禁用的服务服务名说明Computer Browser维护网络上计算机的最新列表以及提供这个列表Task scheduler允许程序在指定时间运行Routing and Remote Access在局域网以及广域网环境中为企业提供路由服务Removable storage管理可移动媒体,驱动程序和库Remote Registry Service允许远程注册表操作Print Spooler将文件加载到内存中以便以后打印.要用打印机的用户不能禁用这项服务IPSEC Policy Agent管
系统安全配置技术规范-Windows
系统安全配置技术规范—Windows
212211文档说明(一)变更信息 (二)文档审核人
目录 1.适用范围.................................................. 错误!未定义书签。 2.帐号管理与授权............................................ 错误!未定义书签。 1 ........................................................... 错误!未定义书签。 2 ........................................................... 错误!未定义书签。 【基本】删除或锁定可能无用的帐户 ..................... 错误!未定义书签。 【基本】按照用户角色分配不同权限的帐号................ 错误!未定义书签。 【基本】口令策略设置不符合复杂度要求 ................. 错误!未定义书签。 【基本】设定不能重复使用口令 ......................... 错误!未定义书签。 不使用系统默认用户名 ................................. 错误!未定义书签。 口令生存期不得长于90天 .............................. 错误!未定义书签。 设定连续认证失败次数 ................................. 错误!未定义书签。 远端系统强制关机的权限设置 ........................... 错误!未定义书签。 关闭系统的权限设置 ................................... 错误!未定义书签。 取得文件或其它对象的所有权设置 ....................... 错误!未定义书签。 将从本地登录设置为指定授权用户 ....................... 错误!未定义书签。 将从网络访问设置为指定授权用户 ....................... 错误!未定义书签。 3.日志配置要求.............................................. 错误!未定义书签。 3 ........................................................... 错误!未定义书签。 【基本】审核策略设置中成功失败都要审核................ 错误!未定义书签。 【基本】设置日志查看器大小 ........................... 错误!未定义书签。 4.IP协议安全要求 ........................................... 错误!未定义书签。 4 ........................................................... 错误!未定义书签。 开启TCP/IP筛选 ...................................... 错误!未定义书签。 启用防火墙 ........................................... 错误!未定义书签。 启用SYN攻击保护 ..................................... 错误!未定义书签。
软件系统安全规范
一、引言 1.1目的 随着计算机应用的广泛普及,计算机安全已成为衡量计算机系统性能的一个重要指标。 计算机系统安全包含两部分内容,一是保证系统正常运行,避免各种非故意的错误与损坏;二是防止系统及数据被非法利用或破坏。两者虽有很大不同,但又相互联系,无论从管理上还是从技术上都难以截然分开,因此,计算机系统安全是一个综合性的系统工程。 本规范对涉及计算机系统安、全的各主要环节做了具体的说明,以便计算机系统的设计、安装、运行及监察部门有一个衡量系统安全的依据。 1.2范围 本规范是一份指导性文件,适用于国家各部门的计算机系统。 在弓I用本规范时,要根据各单位的实际情况,选择适当的范围,不强求全面采用。 二、安全组织与管理 2.1安全机构 2.1.1单位最高领导必须主管计算机安全工作。 2.1.2建立安全组织: 2.1.2.1安全组织由单位主要领导人领导,不能隶属于计算机运行或应用部门。 2.1.2.2安全组织由管理、系统分析、软件、硬件、保卫、审计、人事、通信等有关方面人员组成。 2.1.2.3安全负责人负责安全组织的具体工作。 2.1.2.4安全组织的任务是根据本单位的实际情况定期做风险分析,提出相应的对策并监督实施。 2.1.3安全负责人制: 2.1.3.I确定安全负责人对本单位的计算机安全负全部责任。 2.1.3.2只有安全负责人或其指定的专人才有权存取和修改系统授权表及系统特权口令。 2.1.3.3安全负责人要审阅每天的违章报告,控制台操作记录、系统日志、系统报警记录、系统活动统计、警卫报告、加班报表及其他与安全有关的材料。2.1.3.4安全负责人负责制定安全培训计划。 2.1.3.5若终端分布在不同地点,则各地都应有地区安全负责人,可设专职,也可以兼任,并接受中心安全负责人的领导。 2.1.3.6各部门发现违章行为,应向中心安全负责人报告,系统中发现违章行为要通知各地有关安全负责人。 2.1.4计算机系统的建设应与计算机安全工作同步进行。 2.2人事管理 2.2.1人员审查:必须根据计算机系统所定的密级确定审查标准。如:处理机要信息的系统,接触系统的所有工作人员必须按机要人员的标准进行审查。
信息系统安全操作规程
信息系统安全操作规程(维护人员) 1、信息设备严禁非法关机,严禁在未关机的情况下直接断开电源开关。 2、信息设备开机后,检查各功能指示正常,系统无报警提示;否则应查找故障原因,直至故障排除。 3、系统设置严格遵循各信息系统操作说明,禁止不安说明操作;当与操作说明有出入,需要咨询相关供应商技术支持人员确认后方可操作。 4、禁止删除需要保留的信息,需要删除某项关键信息或数据时,必须得到许可,必要时进行信息备份。 5、禁止在未经许可的情况下修改或透露信息系统中的信息和数据。 6、发生信息系统故障,有可能影响公司正常运营时,应立即层层上报至最高领导,并提出可行的意见和措施。 7、当发生非正常停电事故时,因立即采取措施,在UPS供电时限内确保信息系统正常关机。 8、各信息系统所在的机房,严格控制温湿度,确保降温除湿设备正常运行。 9、机房内设备严禁非专业人员操作,必须操作时,应在专业人员指示并监护下进行。
信息系统安全操作规程(通则)(应用人员) 1.新员工上岗前,应仔细阅读本岗位信息系统操作说明,严禁未经 培训上岗操作。 2.岗位配备的个人云桌面,禁止私自下载安装应用软件,确实需要 安装的,须经信息维护人员测试认证通过后方可安装。 3.当发现使用的信息系统有问题时,需先自行检查电源和网络接口 是否正常,然后再找相关信息系统维护人员处理。 4.信息系统报错时,使用人员应保留报错信息,并提供给维护人员 进行正确维护。 5.禁止将信息系统登入密码随意告诉他人,禁止使用他人账号登入 操作,必要时,需征得相关领导同意。 6.离开岗位10分钟以上者,需锁定屏幕; 7.出差人员利用公网接入办公时,需确保设备安全,并禁止打开含 病毒网页。个人便携设备被盗时,应立即联系公司信息化管理部锁定账号,以防信息泄露。
信息安全系统管理系统要求规范
信息安全管理规范公司
版本信息 当前版本: 最新更新日期: 最新更新作者: 作者: 创建日期: 审批人: 审批日期: 修订历史 版本号更新日期修订作者主要修订摘要
Table of Contents(目录) 1. 公司信息安全要求 (5) 1.1信息安全方针 (5) 1.2信息安全工作准则 (5) 1.3职责 (6) 1.4信息资产的分类规定 (6) 1.5信息资产的分级(保密级别)规定 (7) 1.6现行保密级别与原有保密级别对照表 (7) 1.7信息标识与处置中的角色与职责 (8) 1.8信息资产标注管理规定 (9) 1.9允许的信息交换方式 (9) 1.10信息资产处理和保护要求对应表 (9) 1.11口令使用策略 (11) 1.12桌面、屏幕清空策略 (11) 1.13远程工作安全策略 (12) 1.14移动办公策略 (12) 1.15介质的申请、使用、挂失、报废要求 (13) 1.16信息安全事件管理流程 (14) 1.17电子邮件安全使用规范 (16) 1.18设备报废信息安全要求 (17) 1.19用户注册与权限管理策略 (17) 1.20用户口令管理 (18) 1.21终端网络接入准则 (18) 1.22终端使用安全准则 (18) 1.23出口防火墙的日常管理规定 (19) 1.24局域网的日常管理规定 (19) 1.25集线器、交换机、无线AP的日常管理规定 (19) 1.26网络专线的日常管理规定 (20) 1.27信息安全惩戒 (20) 2. 信息安全知识 (21) 2.1什么是信息? (21) 2.2什么是信息安全? (21)
Windows 安全配置规范
Windows 安全配置规范 2010年11月
第1章概述 1.1适用范围 本规范明确了Windows操作系统在安全配置方面的基本要求,可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。 适用于中国电信所有运行的Windows操作系统,包括Windows 2000、Windows XP、Windows2003, Windows7 , Windows 2008以及各版本中的Sever、Professional版本。 第2章安全配置要求 2.1账号 编号:1 要求内容应按照不同的用户分配不同的账号,避免不同用户间共享账号,避 免用户账号和设备间通信使用的账号共享。 操作指南1、参考配置操作 进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用 户和组”: 根据系统的要求,设定不同的账户和账户组。 检测方法1、判定条件 结合要求和实际业务情况判断符合要求,根据系统的要求,设定不 同的账户和账户组 2、检测操作 进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用 户和组”:
查看根据系统的要求,设定不同的账户和账户组编号:2 要求内容应删除与运行、维护等工作无关的账号。 操作指南1.参考配置操作 A)可使用用户管理工具: 开始-运行-compmgmt.msc-本地用户和组-用户B)也可以通过net命令: 删除账号:net user account/de1 停用账号:net user account/active:no 检测方法1.判定条件 结合要求和实际业务情况判断符合要求,删除或锁定与设备运行、维护等与工作无关的账号。 注:主要指测试帐户、共享帐号、已经不用账号等 2.检测操作 开始-运行-compmgmt.msc-本地用户和组-用户 编号:3 要求内容重命名Administrator;禁用guest(来宾)帐号。 操作指南1、参考配置操作 进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用 户和组”: Administrator->属性-> 更改名称 Guest帐号->属性-> 已停用 检测方法1、判定条件 缺省账户Administrator名称已更改。 Guest帐号已停用。 2、检测操作 进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用 户和组”: 缺省帐户->属性-> 更改名称
系统安全配置技术规范-Windows
系统安全配置技术规范- W i n d o w s -标准化文件发布号:(9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII
系统安全配置技术规范—Windows
212211文档说明(一)变更信息 (二)文档审核人
目录 1. 适用范围 ..................................................................................................... 错误!未定义书签。 2. 帐号管理与授权 ......................................................................................... 错误!未定义书签。 【基本】删除或锁定可能无用的帐户 ................................................. 错误!未定义书签。 【基本】按照用户角色分配不同权限的帐号 ..................................... 错误!未定义书签。 【基本】口令策略设置不符合复杂度要求 ......................................... 错误!未定义书签。 【基本】设定不能重复使用口令......................................................... 错误!未定义书签。 不使用系统默认用户名 .................................................................... 错误!未定义书签。 口令生存期不得长于90天 .............................................................. 错误!未定义书签。 设定连续认证失败次数 .................................................................... 错误!未定义书签。 远端系统强制关机的权限设置 ........................................................ 错误!未定义书签。 关闭系统的权限设置 ........................................................................ 错误!未定义书签。 取得文件或其它对象的所有权设置 ................................................ 错误!未定义书签。 将从本地登录设置为指定授权用户 ................................................ 错误!未定义书签。 将从网络访问设置为指定授权用户 ................................................ 错误!未定义书签。 3. 日志配置要求 ............................................................................................. 错误!未定义书签。 【基本】审核策略设置中成功失败都要审核 ..................................... 错误!未定义书签。 【基本】设置日志查看器大小............................................................. 错误!未定义书签。 4. IP协议安全要求 ......................................................................................... 错误!未定义书签。 开启TCP/IP筛选................................................................................ 错误!未定义书签。 启用防火墙 ........................................................................................ 错误!未定义书签。 启用SYN攻击保护............................................................................ 错误!未定义书签。 5. 服务配置要求 ............................................................................................. 错误!未定义书签。 【基本】启用NTP服务 ........................................................................ 错误!未定义书签。 【基本】关闭不必要的服务................................................................. 错误!未定义书签。 【基本】关闭不必要的启动项............................................................. 错误!未定义书签。 【基本】关闭自动播放功能................................................................. 错误!未定义书签。 【基本】审核HOST文件的可疑条目 .................................................. 错误!未定义书签。 【基本】存在未知或无用的应用程序 ................................................. 错误!未定义书签。 【基本】关闭默认共享......................................................................... 错误!未定义书签。 【基本】非EVERYONE的授权共享 ......................................................... 错误!未定义书签。 【基本】SNMP C OMMUNITY S TRING设置................................................. 错误!未定义书签。 【基本】删除可匿名访问共享 ........................................................ 错误!未定义书签。 关闭远程注册表 ................................................................................ 错误!未定义书签。 对于远程登陆的帐号,设置不活动断开时间为1小时................. 错误!未定义书签。 IIS服务补丁更新 ............................................................................... 错误!未定义书签。 6. 其它配置要求 ............................................................................................. 错误!未定义书签。 【基本】安装防病毒软件..................................................................... 错误!未定义书签。 【基本】配置WSUS补丁更新服务器 ................................................. 错误!未定义书签。 【基本】S ERVICE P ACK补丁更新 ............................................................. 错误!未定义书签。 【基本】H OTFIX补丁更新...................................................................... 错误!未定义书签。 设置带密码的屏幕保护 .................................................................... 错误!未定义书签。
信息系统安全措施细则
信息系统安全措施细则 撰写人:___________ 部门:___________
信息系统安全措施细则 总则 第一条为加强医院网络管理,明确岗位职责,规范操作流程,维护网络正常运行,确保计算机信息系统的安全,现根据《中华人民共和国计算机信息系统安全保护条例》等有关规定,结合本医院实际,特制订本措施。 第二条计算机信息系统是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。 第三条医院办公室下设信息中心,专门负责本医院范围内的计算机信息系统安全及网络管理工作。 第一章网络安全措施 第四条遵守国家有关法律、法规,严格执行安全保密制度,不得利用网络从事危害国家安全、泄露国家秘密等违法犯罪活动,不得制作、浏览、复制、传播反动及色情信息,不得在网络上发布反动、非法和虚假的消息,不得在网络上漫骂攻击他人,不得在网上泄露他人隐私。严禁通过网络进行任何黑客活动和性质类似的破坏活动,严格控制和防范计算机病毒的侵入。 第五条各工作计算机未进行安全配置、未装防火墙或杀毒软件的,不得入网(需入网的电脑需打报告)。各计算机终端用户应定期对计算 第 2 页共 2 页
机系统、杀毒软件等进行升级和更新,并定期进行病毒清查,不要下载和使用未经测试和来历不明的软件、不要打开来历不明的电子邮件、以及不要随意使用带毒U盘等介质。 第六条禁止未授权用户接入医院计算机网络及访问网络中的资源,禁止未授权用户使用BT、迅雷等占用大量带宽的下载工具。 第七条任何员工不得制造或者故意输入、传播计算机病毒和其他有害数据,不得利用非法手段复制、截收、篡改计算机信息系统中的数据。 第八条医院员工禁止利用扫描、监听、伪装等工具对网络和服务器进行恶意攻击,禁止非法侵入他人网络和服务器系统,禁止利用计算机和网络干扰他人正常工作的行为。 第九条计算机各终端用户应保管好自己的用户帐号和密码。严禁随意向他人泄露、借用自己的帐号和密码;严禁不以真实身份登录系统。计算机使用者更应定期更改密码、使用复杂密码。 第十条IP地址为计算机网络的重要资源,计算机各终端用户应在信息中心的规划下使用这些资源,不得擅自更改。另外,某些系统服务对网络产生影响,计算机各终端用户应在信息中心的指导下使用,禁止随意开启计算机中的系统服务,保证计算机网络畅通运行。医院各部门科室原则上只能使用一台电脑上外网,根据部门内部需要,由部门负责人统一调配。若有业务需求需要增加时,由业务部门上报办公室审批,并报信息中心处理。 第二章设备安全措施 第 2 页共 2 页
操作系统安全配置管理办法
行业资料:________ 操作系统安全配置管理办法 单位:______________________ 部门:______________________ 日期:______年_____月_____日 第1 页共8 页
操作系统安全配置管理办法 1范围 1.1为了指导、规范海南电网公司信息通信分公司信息系统的操作系统安全配置方法和日常系统操作管理,提高重要信息系统的安全运行维护水平,规范化操作,确保信息系统安全稳定可靠运行,特制定本管理办法。 1.2本办法适用公司信息大区所有信息系统操作系统安全配置管理。主要操作系统包括:AIx系统、Windows系统、Linux系统及HPUNIx 系统等。 2规范性引用文件 下列文件对于本规范的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本规范。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本规范。 --中华人民共和国计算机信息系统安全保护条例 --中华人民共和国国家安全法 --中华人民共和国保守国家秘密法 --ISO27001标准/ISO27002指南 --公通字[xx]43号信息安全等级保护管理办法 --GB/T21028-xx信息安全技术服务器安全技术要求 --GB/T20272-xx信息安全技术操作系统安全技术要求 --GB/T20269-xx信息安全技术信息系统安全管理要求 --GB/T22239-xx信息安全技术信息系统安全等级保护基本要求 --GB/T22240-xx信息安全技术信息系统安全等级保护定级指南 第 2 页共 8 页
3支持文件 《IT主流设备安全基线技术规范》(Q/CSG11804-xx) 4操作系统配置管理责任 4.1操作系统安全配置管理的主要责任人员是系统管理员,负责对所管辖的服务器操作系统进行安全配置。 4.2对于终端计算机操作系统的安全配置,应由终端管理员负责进行配置,或者在终端管理员指导下进行配置。 4.3系统管理员和终端管理员应定期对所管辖的服务器操作系统的配置、终端计算机操作系统的配置进行安全检查或抽查。 4.4系统管理员和终端管理员负责定期对所管辖的服务器和终端计算机操作系统安全配置的变更管理,变更应填写配置变更申请表。 4.5系统管理员和终端管理员负责定期对所管辖的服务器和终端计算机操作系统安全配置方法的修订和完善,由信息安全管理员对操作系统安全配置修订进行规范化和文档化,并经审核批准后统一发布。 5操作系统安全配置方法 5.1操作系统的安全配置规范应该根据不同的操作系统类型,不同的应用环境及不同的安全等级,结合信息系统和终端安全特性,制定合适的操作系统安全配置,以采取合适的安全控制措施。 5.2根据应用系统实际情况,在总体安全要求的前提下,操作系统的安全配置应满足《IT主流设备安全基线技术规范》(Q/CSG11804-xx)文件中对AIx系统、Windows系统、Linux系统及HPUNIx等最低安全配置要求的基础上可进行适当调节。 5.3操作系统安全配置方法应该根据技术发展和信息系统实际发展情况不断修订和完善。 第 3 页共 8 页