Windows2000的安全配置
操作系统的安全策略基本配置原则(新版)
When the lives of employees or national property are endangered, production activities are stopped to rectify and eliminate dangerous factors. (安全管理) 单位:___________________ 姓名:___________________ 日期:___________________ 操作系统的安全策略基本配置原 则(新版)
操作系统的安全策略基本配置原则(新版)导语:生产有了安全保障,才能持续、稳定发展。生产活动中事故层出不穷,生产势必陷于混乱、甚至瘫痪状态。当生产与安全发生矛盾、危及职工生命或国家财产时,生产活动停下来整治、消除危险因素以后,生产形势会变得更好。"安全第一" 的提法,决非把安全摆到生产之上;忽视安全自然是一种错误。 安全配置方案中级篇主要介绍操作系统的安全策略配置,包括十 条基本配置原则: (1)操作系统安全策略,(2)关闭不必要的服务(3)关闭不必要的端口,(4)开启审核策略(5)开启密码策略,(6)开启帐户策略,(7)备份敏 感文件,(8)不显示上次登陆名,(9)禁止建立空连接(10)下载最新的补丁 1操作系统安全策略 利用Windows2000的安全配置工具来配置安全策略,微软提供了一套的基于管理控制台的安全配置和分析工具,可以配置服务器的安全 策略.在管理工具中可以找到"本地安全策略".可以配置四类安全策略:帐户策略,本地策略,公钥策略和IP安全策略.在默认的情况下,这些策略都是没有开启的. 2关闭不必要的服务 Windows2000的TerminalServices(终端服务)和IIS(Internet信
XXXX农商银行信息系统安全基线技术规范
XXXX农商银行 信息系统安全配置基线规范 1范围 本规范适用于XXXX农商银行所有信息系统相关主流支撑平台设备。 2规范性引用文件 下列文件对于本规范的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本规范。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本规范。 ——中华人民共和国计算机信息系统安全保护条例 ——中华人民共和国国家安全法 ——中华人民共和国保守国家秘密法 ——计算机信息系统国际联网保密管理规定 ——中华人民共和国计算机信息网络国际联网管理暂行规定 ——ISO27001标准/ISO27002指南 ——公通字[2007]43号信息安全等级保护管理办法 ——GB/T 21028-2007 信息安全技术服务器安全技术要求 ——GB/T 20269-2006 信息安全技术信息系统安全管理要求 ——GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求 ——GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南 3术语和定义 安全基线:指针对IT设备的安全特性,选择合适的安全控制措施,定义不同IT设备的最低安全配置要求,则该最低安全配置要求就称为安全基线。 管理信息大区:发电企业、电网企业、供电企业内部基于计算机和网络技术的业务系统,原则上划分为生产控制大区和管理信息大区。生产控制大区可以分为控制区(安全区I)和非控制区(安全区Ⅱ);管理信息大区内部在不影响生产控制大区安全的前提下,可以根据各企业不同安全要求划分安全区。根据应用系统实际情况,在满足总体安全要求的前提下,可以简化安全区的设置,但是应当避免通过广域网形成不同安全区的纵向交叉连接。 4总则 4.1指导思想 围绕公司打造经营型、服务型、一体化、现代化的国内领先、国际著名企业的战略总体目标,为切实践行南网方略,保障信息化建设,提高信息安全防护能力,通过规范IT主流设备安全基线,建立公司管理信息大区IT主流设备安全防护的最低标准,实现公司IT主流设备整体防护的技术措施标准化、规范化、指标化。 4.2目标
AI操作系统安全配置规范
AIX安全配置程序
1 账号认证 编号:安全要求-设备-通用-配置-1 编号:安全要求-设备-通用-配置-2
2密码策略 编号:安全要求-设备-通用-配置-3
编号:安全要求-设备-通用-配置-4 编号:安全要求-设备-通用-配置-5
编号:安全要求-设备-通用-配置-6 3审核授权策略 编号:安全要求-设备-通用-配置-7 (1)设置全局审核事件
配置/etc/security/audit/config文件,审核特权帐号和应用管理员帐号登录、注销,用户帐号增删,密码修改,执行任务更改,组更改,文件属主、模式更改,TCP连接等事件。 classes: custom = USER_Login,USER_Logout,USER_SU,PASSWORD_Change,USER_Create, USER_Change,USER_Remove,USER_Chpass,GROUP_Create,GROUP_Change,GROUP_Remove,CRON_J obAdd,CRON_JobRemove,TCPIP_config,TCPIP_host_id,TCPIP_connect,TCPIP_access,TCPIP_route,USER _Reboot,USER_SetGroups,INSTALLP_Inst,INSTALLP_Exec,FS_Rmdir,FS_Chroot,PORT_Locked,PORT_ Change,PROC_kill,PROC_Reboot,FS_Mount,FS_Umount,PROC_Settimer,PROC_Adjtime (2)审核系统安全文件修改 配置/etc/security/audit/objects文件,审核如下系统安全相关文件的修改。 /etc/security/environ: w = "S_ENVIRON_WRITE" /etc/security/group: w = "S_GROUP_WRITE" /etc/security/limits: w = "S_LIMITS_WRITE" /etc/security/login.cfg: w = "S_LOGIN_WRITE" /etc/security/passwd: r = "S_PASSWD_READ" w = "S_PASSWD_WRITE" /etc/security/user: w = "S_USER_WRITE" /etc/security/audit/config: w = "AUD_CONFIG_WR" 编号:安全要求-设备-通用-配置-8
系统安全配置技术规范-Cisco防火墙
系统安全配置技术规范—Cisco防火墙
文档说明(一)变更信息 (二)文档审核人
目录 1适用范围 (4) 2账号管理与授权 (4) 2.1【基本】设置非特权模式密码 (4) 2.2【基本】ENABLE PASSWORD的使用 (4) 2.3【基本】设置与认证系统联动 (5) 2.4【基本】设置登录失败处理功能 (5) 2.5认证授权最小化 (6) 3日志配置要求 (7) 3.1【基本】设置日志服务器 (7) 4IP协议安全要求 (7) 4.1【基本】设置SSH方式访问系统 (7) 4.2【基本】远程访问源地址限制 (8) 4.3【基本】设置F AILOVER KEY (8) 4.4【基本】关闭不使用的SNMP服务或更正不当权限设置 (9) 4.5【基本】SNMP服务的共同体字符串设置 (9) 4.6【基本】SNMP服务的访问控制设置 (9) 4.7【基本】防火墙策略修订 (10) 4.8常见攻击防护 (10) 4.9VPN安全加固 (10) 5服务配置要求 (11) 5.1【基本】启用NTP服务 (11) 5.2禁用HTTP配置方式 (11) 5.3禁用DHCP服务 (12) 5.4启用SERVICE RESETOUTSIDE (12) 5.5启用F LOODGUARD (12) 5.6启用F RAGMENT CHAIN保护 (13) 5.7启用RPF保护 (13) 6其他配置要求 (13) 6.1【基本】系统漏洞检测 (13) 6.2【基本】设置登录超时时间 (14) 6.3【基本】检查地址转换超时时间 (14) 6.4信息内容过滤 (14)
Windows操作系统安全配置方案
Windows操作系统安全配置方案 一、物理安全 服务器应当放置在安装了监视器的隔离房间内,并且监视器应当保留15天以内的录像记录。另外,机箱、键盘、抽屉等要上锁,以保证旁人即使在无人值守时也无法使用此计算机,钥匙要放在安全的地方。 二、停止Guest帐号 在[计算机管理]中将Guest帐号停止掉,任何时候不允许Guest帐号登录系统。为了保险起见,最好给Guest帐号加上一个复杂的密码,并且修改Guest帐号属性,设置拒绝远程访问。 三、限制用户数量 去掉所有的测试帐户、共享帐号和普通部门帐号,等等。用户组策略设置相应权限、并且经常检查系统的帐号,删除已经不适用的帐号。 很多帐号不利于管理员管理,而黑客在帐号多的系统中可利用的帐号也就更多,所以合理规划系统中的帐号分配。 四、多个管理员帐号 管理员不应该经常使用管理者帐号登录系统,这样有可能被一些能够察看Winlogon进程中密码的软件所窥探到,应该为自己建立普通帐号来进行日常工作。 同时,为了防止管理员帐号一旦被入侵者得到,管理员拥有备份的管理员帐号还可以有机会得到系统管理员权限,不过因此也带来了多个帐号的潜在安全问题。 五、管理员帐号改名 在Windows 2000系统中管理员Administrator帐号是不能被停用的,这意味着攻击者可以一再尝试猜测此帐户的密码。把管理员帐户改名可以有效防止这一点。 不要将名称改为类似Admin之类,而是尽量将其伪装为普通用户。 六、陷阱帐号 和第五点类似、在更改了管理员的名称后,可以建立一个Administrator的普通用户,将其权限设置为最低,并且加上一个10位以上的复杂密码,借此花费入侵者的大量时间,并且发现其入侵企图。
操作系统的安全策略基本配置原则(正式)
编订:__________________ 单位:__________________ 时间:__________________ 操作系统的安全策略基本配置原则(正式) Standardize The Management Mechanism To Make The Personnel In The Organization Operate According To The Established Standards And Reach The Expected Level. Word格式 / 完整 / 可编辑
文件编号:KG-AO-8263-70 操作系统的安全策略基本配置原则 (正式) 使用备注:本文档可用在日常工作场景,通过对管理机制、管理原则、管理方法以及管理机构进行设置固定的规范,从而使得组织内人员按照既定标准、规范的要求进行操作,使日常工作或活动达到预期的水平。下载后就可自由编辑。 安全配置方案中级篇主要介绍操作系统的安全策略配置,包括十条基本配置原则: (1)操作系统安全策略,(2)关闭不必要的服务 (3)关闭不必要的端口, (4)开启审核策略(5)开启密码策略, (6)开启帐户策略,(7)备份敏感文件,(8)不显示上次登陆名,(9)禁止建立空连接(10)下载最新的补丁 1 操作系统安全策略 利用Windows 2000的安全配置工具来配置安全策略,微软提供了一套的基于管理控制台的安全配置和分析工具,可以配置服务器的安全策略.在管理工具中可以找到"本地安全策略".可以配置四类安全策略:帐户策略,本地策略,公钥策略和IP安全策略.在默认
的情况下,这些策略都是没有开启的. 2 关闭不必要的服务 Windows 2000的Terminal Services(终端服务)和IIS(Internet 信息服务)等都可能给系统带来安全漏洞.为了能够在远程方便的管理服务器,很多机器的终端服务都是开着的,如果开了,要确认已经正确的配置了终端服务. 有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务.要留意服务器上开启的所有服务并每天检查.Windows2000可禁用的服务服务名说明Computer Browser维护网络上计算机的最新列表以及提供这个列表Task scheduler允许程序在指定时间运行Routing and Remote Access在局域网以及广域网环境中为企业提供路由服务Removable storage管理可移动媒体,驱动程序和库Remote Registry Service允许远程注册表操作Print Spooler将文件加载到内存中以便以后打印.要用打印机的用户不能禁用这项服务IPSEC Policy Agent管
系统安全配置技术规范-Windows
系统安全配置技术规范—Windows
212211文档说明(一)变更信息 (二)文档审核人
目录 1.适用范围.................................................. 错误!未定义书签。 2.帐号管理与授权............................................ 错误!未定义书签。 1 ........................................................... 错误!未定义书签。 2 ........................................................... 错误!未定义书签。 【基本】删除或锁定可能无用的帐户 ..................... 错误!未定义书签。 【基本】按照用户角色分配不同权限的帐号................ 错误!未定义书签。 【基本】口令策略设置不符合复杂度要求 ................. 错误!未定义书签。 【基本】设定不能重复使用口令 ......................... 错误!未定义书签。 不使用系统默认用户名 ................................. 错误!未定义书签。 口令生存期不得长于90天 .............................. 错误!未定义书签。 设定连续认证失败次数 ................................. 错误!未定义书签。 远端系统强制关机的权限设置 ........................... 错误!未定义书签。 关闭系统的权限设置 ................................... 错误!未定义书签。 取得文件或其它对象的所有权设置 ....................... 错误!未定义书签。 将从本地登录设置为指定授权用户 ....................... 错误!未定义书签。 将从网络访问设置为指定授权用户 ....................... 错误!未定义书签。 3.日志配置要求.............................................. 错误!未定义书签。 3 ........................................................... 错误!未定义书签。 【基本】审核策略设置中成功失败都要审核................ 错误!未定义书签。 【基本】设置日志查看器大小 ........................... 错误!未定义书签。 4.IP协议安全要求 ........................................... 错误!未定义书签。 4 ........................................................... 错误!未定义书签。 开启TCP/IP筛选 ...................................... 错误!未定义书签。 启用防火墙 ........................................... 错误!未定义书签。 启用SYN攻击保护 ..................................... 错误!未定义书签。
安全生产监管部门基础设施建设及装备参考标准
安全生产监管部门基础设施建设及装备参考标准
安全生产监管部门基础设施建设及装备参考标准 序号类别 参考标准 备注省级市级县级乡级 一基础设施 (一)办公用房 24㎡ /人 18㎡ /人 12㎡ /人 60㎡ (1)省、市、县级办公及辅助用房 依照计投资[1999]2250号文核 定。 (2)开展乡镇安全生产委托执法的 地区,乡镇安监部门可参照县级标 准进行配备。 (二)业务用房 2680 ㎡ 1680 ㎡ 950 ㎡ 120 ㎡ (1) 按功能核定。包括事故鉴定与 分析用房、执法专用设备保管库、 执法文书和行政许可档案室、政务 公开办事大厅、安全生产投诉举报 受理业务用房、听证室、应急救援
序号类别备注 省级市级县级乡级 指挥业务用房、政府门户网站业务 用房和专用车库等。 (2)省级编制人数超过80人、市级 超过45人、县级超过20人的部门 编制人数每增加10人业务用房面 积增加8%。 (三)保障服务用 房 1500 ㎡ 1100 ㎡ 310 ㎡ (1)按功能核定。包括执法人员交 流用房、老干部活动用房、执法人 员素质拓展用房和信息化建设等 其它保障服务用房。 (2)省级编制人数超过80人、市级 超过45人、县级超过20人的部门 编制人数每增加10人保障服务用 房面积增加8%。 二装备配备
序号类别备注 省级市级县级乡级 (一)交通工具 1 监管业务车 辆 2辆/ 内设 监管 业务 机构 2辆/ 内设 监管 业务 机构 1辆/ 内设 监管 业务 机构 1辆 (1)按实际承担监管执法业务的内 设机构配备。编制人数超过6人 时,每增加2人增配1辆。 (2)根据当地经济和地理条件确定 车型。 2 应急抢险指 挥车 1辆1辆1辆 (1)选用越野车。 (2)配备车载移动应急平台终端。 其中,市级应配卫星通讯系统、短 波超短波通讯系统和单兵图传系 统等车载通讯及指挥设备。 (二)现场监督检测设备 1 通用设备
安全生产应急装备分类编码标准
应指技装〔2012〕24号附件3 安全生产应急 装备分类编码标准 (试行) 国家安全生产应急救援指挥中心 二〇一二年八月
安全生产应急救援装备分类编码标准 (试行) 1适用范围 本标准适用于安全生产应急资源数据库建设。 本标准适用于安全生产应急资源管理软件产品的开发过程。 本标准规定了安全生产应急救援装备编码内容。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 《国家级矿山救援基地建设条件》 《国家级危险化学品救援基地建设条件》 《中央企业应急救援队伍(基地)装备、设施配置指导目录》 3术语和定义 3.1安全生产应急救援装备 安全生产应急救援装备是指用于安全生产应急管理与安全生产应急救援的各类装备。 4编码定义 安全生产应急救援装备分类编码由2段编码组成。 第1段采用国家应急平台体系信息资源分类与编码,有5位编码。 第2段表示应急救援装备编码,由8位数字,从左至右按每2位逐级分段分层。其中1至2位表示应急救援装备行业分类,3至4位表示应急救援装备分类
大类,5至6位表示应急救援装备分类中类,7至8位表示应急救援装备分类小类。 编码缺省值为0。 XXXXX XX XX XX XX | | | | | | | | | ˉˉˉˉˉˉ应急救援装备分类小类 | | | ˉˉˉˉˉˉˉˉˉˉˉˉ应急救援装备分类中类 | | ˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉ应急救援装备分类大类 | ˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉ应急救援装备行业分类 ˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉˉ应急救援装备资源分类 5编码表 5.1应急救援装备资源编码 表1 应急救援装备资源编码表 43D00 应急装备 5.2矿山应急救援装备分类编码 表2 矿山应急救援装备分类编码表 编码名称 01000000 矿山 01010000 救援车辆 01010100 指挥车 01010200 气体化验车 01010300 装备车 01010400 移动卫星通信车 01010500 多功能救护车 01010600 多功能集成式救援装备工具车 01010700 集成式照明侦检车 01010800 移动式排水供电车 01010900 大型载重汽车 01011000 救援宿营车 01011100 野外生活保障车 01011200 越野吊装车
Windows 安全配置规范
Windows 安全配置规范 2010年11月
第1章概述 1.1适用范围 本规范明确了Windows操作系统在安全配置方面的基本要求,可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。 适用于中国电信所有运行的Windows操作系统,包括Windows 2000、Windows XP、Windows2003, Windows7 , Windows 2008以及各版本中的Sever、Professional版本。 第2章安全配置要求 2.1账号 编号:1 要求内容应按照不同的用户分配不同的账号,避免不同用户间共享账号,避 免用户账号和设备间通信使用的账号共享。 操作指南1、参考配置操作 进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用 户和组”: 根据系统的要求,设定不同的账户和账户组。 检测方法1、判定条件 结合要求和实际业务情况判断符合要求,根据系统的要求,设定不 同的账户和账户组 2、检测操作 进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用 户和组”:
查看根据系统的要求,设定不同的账户和账户组编号:2 要求内容应删除与运行、维护等工作无关的账号。 操作指南1.参考配置操作 A)可使用用户管理工具: 开始-运行-compmgmt.msc-本地用户和组-用户B)也可以通过net命令: 删除账号:net user account/de1 停用账号:net user account/active:no 检测方法1.判定条件 结合要求和实际业务情况判断符合要求,删除或锁定与设备运行、维护等与工作无关的账号。 注:主要指测试帐户、共享帐号、已经不用账号等 2.检测操作 开始-运行-compmgmt.msc-本地用户和组-用户 编号:3 要求内容重命名Administrator;禁用guest(来宾)帐号。 操作指南1、参考配置操作 进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用 户和组”: Administrator->属性-> 更改名称 Guest帐号->属性-> 已停用 检测方法1、判定条件 缺省账户Administrator名称已更改。 Guest帐号已停用。 2、检测操作 进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用 户和组”: 缺省帐户->属性-> 更改名称
系统安全配置技术规范-Windows
系统安全配置技术规范- W i n d o w s -标准化文件发布号:(9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII
系统安全配置技术规范—Windows
212211文档说明(一)变更信息 (二)文档审核人
目录 1. 适用范围 ..................................................................................................... 错误!未定义书签。 2. 帐号管理与授权 ......................................................................................... 错误!未定义书签。 【基本】删除或锁定可能无用的帐户 ................................................. 错误!未定义书签。 【基本】按照用户角色分配不同权限的帐号 ..................................... 错误!未定义书签。 【基本】口令策略设置不符合复杂度要求 ......................................... 错误!未定义书签。 【基本】设定不能重复使用口令......................................................... 错误!未定义书签。 不使用系统默认用户名 .................................................................... 错误!未定义书签。 口令生存期不得长于90天 .............................................................. 错误!未定义书签。 设定连续认证失败次数 .................................................................... 错误!未定义书签。 远端系统强制关机的权限设置 ........................................................ 错误!未定义书签。 关闭系统的权限设置 ........................................................................ 错误!未定义书签。 取得文件或其它对象的所有权设置 ................................................ 错误!未定义书签。 将从本地登录设置为指定授权用户 ................................................ 错误!未定义书签。 将从网络访问设置为指定授权用户 ................................................ 错误!未定义书签。 3. 日志配置要求 ............................................................................................. 错误!未定义书签。 【基本】审核策略设置中成功失败都要审核 ..................................... 错误!未定义书签。 【基本】设置日志查看器大小............................................................. 错误!未定义书签。 4. IP协议安全要求 ......................................................................................... 错误!未定义书签。 开启TCP/IP筛选................................................................................ 错误!未定义书签。 启用防火墙 ........................................................................................ 错误!未定义书签。 启用SYN攻击保护............................................................................ 错误!未定义书签。 5. 服务配置要求 ............................................................................................. 错误!未定义书签。 【基本】启用NTP服务 ........................................................................ 错误!未定义书签。 【基本】关闭不必要的服务................................................................. 错误!未定义书签。 【基本】关闭不必要的启动项............................................................. 错误!未定义书签。 【基本】关闭自动播放功能................................................................. 错误!未定义书签。 【基本】审核HOST文件的可疑条目 .................................................. 错误!未定义书签。 【基本】存在未知或无用的应用程序 ................................................. 错误!未定义书签。 【基本】关闭默认共享......................................................................... 错误!未定义书签。 【基本】非EVERYONE的授权共享 ......................................................... 错误!未定义书签。 【基本】SNMP C OMMUNITY S TRING设置................................................. 错误!未定义书签。 【基本】删除可匿名访问共享 ........................................................ 错误!未定义书签。 关闭远程注册表 ................................................................................ 错误!未定义书签。 对于远程登陆的帐号,设置不活动断开时间为1小时................. 错误!未定义书签。 IIS服务补丁更新 ............................................................................... 错误!未定义书签。 6. 其它配置要求 ............................................................................................. 错误!未定义书签。 【基本】安装防病毒软件..................................................................... 错误!未定义书签。 【基本】配置WSUS补丁更新服务器 ................................................. 错误!未定义书签。 【基本】S ERVICE P ACK补丁更新 ............................................................. 错误!未定义书签。 【基本】H OTFIX补丁更新...................................................................... 错误!未定义书签。 设置带密码的屏幕保护 .................................................................... 错误!未定义书签。
安全生产管理安全装备设施管理台账
安全生产管理安全装备设施管理台 账 台账编号: 十四 台账种类: 安全装备设施管理 单位名称:
说明 一、管理要求 1、安全装备设施:指企业在生产经营活动中将危险、有害因素控制在安全范围内,用于预防、减少、消除危害的设备、措施,分为预防事故设施、控制事故设施、减少与消除事故影响设施3类。 2、相关标准、规定: (1)企业应确保建设项目安全设施与主体工程同时设计、同时施工、同时投入生产和使用; (2)企业应严格执行安全设施管理制度; (3)企业确保安全设施配备符合国家规定和标准:①按照SH50353-1999在易燃、易爆、有毒区域设置固定式可燃气体和/或有毒气体的检测报警设施,报警信号应发送至工艺装置、储存设施等控制室或操作室;②按照GB50351在可燃液体罐区设置防火堤、在酸、碱罐区设置围堤并进行防腐处理;③按照SH3097-2000在输送易燃物料的设备、管道安装防静电设施;④按照GB50016、GB50140配置消防设施与器材;⑤按照GB50058设置电力装置;⑥按照GB11651配备个体防护设施;⑦在工
艺装置上可能引起火灾、爆炸的的部位设置超温、超压等检测仪表、声或光报警和安全联锁装置等设施。 3、安全设施管理要求:公司的各种安全设施应编入设备检维修计划,制定专人负责管理,定期检查和维护保养。安全设施不得随意拆除、挪用或弃用,因检维修拆除的,检维修完毕后应立即复原。 4、法律责任:《安全生产法》第八十三条:生产经营单位有下列行为之一的,责令限期改正;逾期未改正的,责令停止建设或者停产停业整顿,可以并处5万元以下的罚款;造成严重后果,构成犯罪的,依照刑法有关规定追究刑事责任:①矿山建设项目或者用于生产、储存危险物品的建设项目没有安全设施设计或者安全设施设计未按照规定报经有关部门审查同意的;②矿山建设项目或者用于生产、储存危险物品的建设项目的施工单位未按照批准的安全设施设计施工的;③矿山建设项目或者用于生产、储存危险物品的建设项目竣工投入生产或者使用前,安全设施未经验收合格的。 二、填报要求 1、安全设施安装部位名称:填写安全设施所服务的设备(部位)、车间或地点名称。
操作系统安全配置管理办法
行业资料:________ 操作系统安全配置管理办法 单位:______________________ 部门:______________________ 日期:______年_____月_____日 第1 页共8 页
操作系统安全配置管理办法 1范围 1.1为了指导、规范海南电网公司信息通信分公司信息系统的操作系统安全配置方法和日常系统操作管理,提高重要信息系统的安全运行维护水平,规范化操作,确保信息系统安全稳定可靠运行,特制定本管理办法。 1.2本办法适用公司信息大区所有信息系统操作系统安全配置管理。主要操作系统包括:AIx系统、Windows系统、Linux系统及HPUNIx 系统等。 2规范性引用文件 下列文件对于本规范的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本规范。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本规范。 --中华人民共和国计算机信息系统安全保护条例 --中华人民共和国国家安全法 --中华人民共和国保守国家秘密法 --ISO27001标准/ISO27002指南 --公通字[xx]43号信息安全等级保护管理办法 --GB/T21028-xx信息安全技术服务器安全技术要求 --GB/T20272-xx信息安全技术操作系统安全技术要求 --GB/T20269-xx信息安全技术信息系统安全管理要求 --GB/T22239-xx信息安全技术信息系统安全等级保护基本要求 --GB/T22240-xx信息安全技术信息系统安全等级保护定级指南 第 2 页共 8 页
3支持文件 《IT主流设备安全基线技术规范》(Q/CSG11804-xx) 4操作系统配置管理责任 4.1操作系统安全配置管理的主要责任人员是系统管理员,负责对所管辖的服务器操作系统进行安全配置。 4.2对于终端计算机操作系统的安全配置,应由终端管理员负责进行配置,或者在终端管理员指导下进行配置。 4.3系统管理员和终端管理员应定期对所管辖的服务器操作系统的配置、终端计算机操作系统的配置进行安全检查或抽查。 4.4系统管理员和终端管理员负责定期对所管辖的服务器和终端计算机操作系统安全配置的变更管理,变更应填写配置变更申请表。 4.5系统管理员和终端管理员负责定期对所管辖的服务器和终端计算机操作系统安全配置方法的修订和完善,由信息安全管理员对操作系统安全配置修订进行规范化和文档化,并经审核批准后统一发布。 5操作系统安全配置方法 5.1操作系统的安全配置规范应该根据不同的操作系统类型,不同的应用环境及不同的安全等级,结合信息系统和终端安全特性,制定合适的操作系统安全配置,以采取合适的安全控制措施。 5.2根据应用系统实际情况,在总体安全要求的前提下,操作系统的安全配置应满足《IT主流设备安全基线技术规范》(Q/CSG11804-xx)文件中对AIx系统、Windows系统、Linux系统及HPUNIx等最低安全配置要求的基础上可进行适当调节。 5.3操作系统安全配置方法应该根据技术发展和信息系统实际发展情况不断修订和完善。 第 3 页共 8 页
操作系统的安全策略基本配置原则通用版
管理制度编号:YTO-FS-PD674 操作系统的安全策略基本配置原则通 用版 In Order T o Standardize The Management Of Daily Behavior, The Activities And T asks Are Controlled By The Determined Terms, So As T o Achieve The Effect Of Safe Production And Reduce Hidden Dangers. 标准/ 权威/ 规范/ 实用 Authoritative And Practical Standards
操作系统的安全策略基本配置原则 通用版 使用提示:本管理制度文件可用于工作中为规范日常行为与作业运行过程的管理,通过对确定的条款对活动和任务实施控制,使活动和任务在受控状态,从而达到安全生产和减少隐患的效果。文件下载后可定制修改,请根据实际需要进行调整和使用。 安全配置方案中级篇主要介绍操作系统的安全策略配置,包括十条基本配置原则: (1)操作系统安全策略,(2)关闭不必要的服务(3)关闭不必要的端口, (4)开启审核策略(5)开启密码策略, (6)开启帐户策略,(7)备份敏感文件,(8)不显示上次登陆名,(9)禁止建立空连接(10)下载最新的补丁 1 操作系统安全策略 利用Windows 2000的安全配置工具来配置安全策略,微软提供了一套的基于管理控制台的安全配置和分析工具,可以配置服务器的安全策略.在管理工具中可以找到"本地安全策略".可以配置四类安全策略:帐户策略,本地策略,公钥策略和IP安全策略.在默认的情况下,这些策略都是没有开启的. 2 关闭不必要的服务 Windows 2000的Terminal Services(终端服务)和IIS(Internet 信息服务)等都可能给系统带来安全漏洞.为了
GBT 29315-2012 中小学、幼儿园安全技术防范系统要求
中小学、幼儿园安全技术防范系统要求 1 范围 本标准规定了中小学校和幼儿园安全技术防范系统基本要求、重点部位和区域及其防护要求、系统技术要求、保障措施等。 本标准适用于各类中小学、幼儿园(以下统称学校),其他未成年人集中教育培训机构或场所参照执行。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T 7401 彩色电视图像质量主观评价方法 GB/T 15408-2011 安全防范系统供电技术要求 GB 50348 安全防范工程技术规范 GB 50394 入侵报警系统工程设计规范 GB 50395 视频安防监控系统工程设计规范 GB 50396 出入口控制系统工程设计规范 GA/T 644 电子巡查系统技术要求 GA/T 678 联网型可视对讲系统技术要求 3 术语和定义 GB 50348、GB 50394、GB 50395、GB 50396中界定的术语和定义适用于本文件。 4 基本要求 4.1 学校安全技术防范系统建设,应符合国家现行相关法律、法规的规定。 4.2 安全技术防范系统建设应统筹规划,坚持人防、物防、技防相结合的原则,以保障学生和教职员工的人身安全为重点。 4.3 学校安全技术防范系统中使用的产品应符合国家现行相关标准的要求,经检验或认证合格,并防止造成对人员的伤害。 4.4 学校安全技术防范系统应留有联网接口。 5 防护要求
5.1 重点部位和区域 5.1.1 下列部位和区域确定为学校安全技术防范系统的重点部位和区域: a)学校大门外一定区域; b)学校周界; c)学校大门口; d)门卫室(传达室); e)室外人员集中活动区域; f)教学区域主要通道和出入口; g)学生宿舍楼(区)主要出入口和值班室; h)食堂操作间和储藏室及其出入口、就餐区域; i)易燃易爆等危险品储存室、实验室; j)贵重物品存放处; k)水电气热等设备间; l)安防监控室。 注:学校大门外一定区域是指学生上下学时段,校门外人员密集集中的区域。 5.2 防护要求 5.2.1 学校大门外一定区域应设置视频监控装置,监视及回放图像应能清晰显示监视区域内学生出入校园、人员活动和治安秩序情况。 5.2.2 学校周界应设置实体屏障,宜设置周界入侵报警装置。 5.2.3 学校大门口应设置视频监控装置,监视及回放图像应能清楚辨别进出人员的体貌特征和进出车辆的车型及车牌号。 5.2.4 学校大门口宜配置隔离装置,用于在学生上学、放学的人流高峰时段,大门内外一定区域内通过隔离装置设置临时隔离区,作为学生接送区。 5.2.5 学校大门口宜设置对学生、教职员工、访客等人员进行身份识别的出入口控制通道装置。 5.2.6 幼儿园大门口宜安装访客可视对讲装置。 5.2.7 学校门卫室(传达室)应设置紧急报警装置。 5.2.8 室外人员集中活动区域(操场等)宜设置视频监控装置,监视及回放图像应能清晰显示监视区域内人员活动情况。 5.2.9 教学区域内学生集中出入的主要通道和出入口宜设置视频监控装置。
各种操作系统安全配置方案
操作系统安全配置方案 内容提要 Windows 的安全配置。 操作系统的安全将决定网络的安全,从保护级别上分成安全初级篇、中级篇和高级篇,共36 条基本配置原则。 安全配置初级篇讲述常规的操作系统安全配置,中级篇介绍操作系统的安全策略配置,高级篇介绍操作系统安全信息通信配置。 操作系统概述 目前服务器常用的操作系统有三类: Unix Linux Windows NT/2000/2003 Server 。 这些操作系统都是符合C2 级安全级别的操作系统。但是都存在不少漏洞,如果对这些漏洞不了解,不采取相应的措施,就会使操作系统完全暴露给入侵者。 UNIX 系统 UNIX 操作系统是由美国贝尔实验室开发的一种多用户、多任务的通用操作系统。它从一个实验室的产品发展成为当前使用普遍、影响深远的主流操作系统。 UNIX 诞生于20 世纪60 年代末期,贝尔实验室的研究人员于1969 年开始在GE645 计算机上实现一种分时操作系统的雏形,后来该系统被移植到了DEC 的PDP-7 小型机上。 1970 年给系统正式取名为Unix 操作系统。到1973 年,Unix 系统的绝大部分源代码都用C 语言重新编写过,大大提高了Unix 系统的可移植性,也为提高系统软件的开发效率创造了条件。 主要特色 UNIX 操作系统经过20 多年的发展后,已经成为一种成熟的主流操作系统,并在发展过程中逐步形成了一些新的特色,其中主要特色包括5 个方面。 (1 )可靠性高 (2 )极强的伸缩性 (3 )网络功能强 (4 )强大的数据库支持功能 (5 )开放性好 Linux 系统 Linux 是一套可以免费使用和自由传播的类Unix 操作系统,主要用于基于Intel x86 系列CPU 的计算机上。这个系统是由全世界各地的成千上万的程序员设计和实现的。其目的是建立不受任何商品化软件的版权制约的、全世界都能自由使用的Unix 兼容产品。 Linux 最早开始于一位名叫Linus Torvalds 的计算机业余爱好者,当时他是芬兰赫尔辛基大学的学生。 目的是想设计一个代替Minix (是由一位名叫Andrew Tannebaum 的计算机教授编写的一个操作系统示教程序)的操作系统。这个操作系统可用于386 、486 或奔腾处理器的个人计算机上,并且具有Unix 操作系统的全部功能。 Linux 是一个免费的操作系统,用户可以免费获得其源代码,并能够随意修改。 它是在共用许可证GPL(General Public License) 保护下的自由软件,也有好几种版本,如Red Hat Linux 、Slackware ,以及国内的Xteam Linux 、红旗Linux 等等。Linux 的