CentOS7 系统安全加固实施方案
CentOS7.0系统安全加固手册
目录
一、用户帐号和环境 (2)
二、系统访问认证和授权 (3)
三、核心调整 (5)
四、需要关闭的一些服务 (5)
五、SSH安全配置 (5)
六、封堵openssl的Heartbleed漏洞 (6)
七、开启防火墙策略 (7)
八、启用系统审计服务 (8)
九、部署完整性检查工具软件 (10)
十、部署系统监控环境 (11)
以下安全设置均是在CentOS7.0_x64环境下minimal安装进行的验证。
一、用户帐号和环境
检查项注释: 1清除了operator、lp、shutdown、halt、games、gopher 帐号
删除的用户组有:lp、uucp、games、dip
其它系统伪帐号均处于锁定SHELL登录的状态
2 验证是否有账号存在空口令的情况:
awk -F: '($2 == "") { print $1 }' /etc/shadow
3 检查除了root以外是否还有其它账号的UID为0:
awk -F: '($3 == 0) { print $1 }' /etc/passwd 任何UID为0的账号在系统上都具有超级用户权限.
4 检查root用户的$PATH中是否有’.’或者所有用户/组用户可写的目录超级用户的$PATH设置中如果
存在这些目录可能会导致超级
用户误执行一个特洛伊木马
5 用户的home目录许可权限设置为700 用户home目录的许可权限限制
不严可能会导致恶意用户读/修
改/删除其它用户的数据或取得
其它用户的系统权限
6 是否有用户的点文件是所有用户可读写的:
for dir in \
`awk -F: '($3 >= 500) { print $6 }' /etc/passwd` do
for file in $dir/.[A-Za-z0-9]*
do
if [ -f $file ]; then
chmod o-w $file
fi
done
done Unix/Linux下通常以”.”开头的文件是用户的配置文件,如果存在所有用户可读/写的配置文件可能会使恶意用户能读/写其它用户的数据或取得其它用户的系统权限
7 为用户设置合适的缺省umask值:
cd /etc
for file in profile csh.login csh.cshrc bashrc do
if [ `grep -c umask $file` -eq 0 ];
then
echo "umask 022" >> $file
fi 为用户设置缺省的umask值有助于防止用户建立所有用户可写的文件而危及用户的数据.
chown root:root $file
chmod 444 $file
done
8 设备系统口令策略:修改/etc/login.defs文件
将PASS_MIN_LEN最小密码长度设置为12位。
10 限制能够su为root 的用户:#vi /etc/pam.d/s u
在文件头部添加下面这样的一行
auth required pam_wheel.so use_uid 这样,只有wheel组的用户可以su到root
操作样例:
#usermod -G10 test 将test用户加入到wheel组
11 修改别名文件/etc/aliases:#vi /etc/aliases
注释掉不要的#games: root #ingres: root #system: root #toor: root #uucp: root
#manager: root #dumper: root #operator: root #decode: root #root: marc
修改后执行/usr/bin/newaliases
13 修改帐户TMOUT值,设置自动注销时间
vi /etc/profile
增加TMOUT=600
无操作600秒后自动退出
14 设置Bash保留历史命令的条数
#vi /etc/profile
修改HISTSIZE=5
即只保留最新执行的5条命令
16 防止IP SPOOF:
#vi /etc/host.conf 添加:nospoof on
不允许服务器对IP地址进行欺骗
17 使用日志服务器:
#vi /etc/rsyslog.conf 照以下样式修改
*.info;mail.none;authpriv.none;cron.none @192.168.10.199 这里只是作为参考,需要根据实际决定怎么配置参数
二、系统访问认证和授权
检查项注释:
1 限制at/cron给授权的用户:
cd /etc/
rm -f cron.deny at.deny Cron.allow和at.allow文件列出了允许允许crontab和at命令的用户名单, 在多数系统上通常只有系统管理员
echo root >cron.allow
echo root >at.allow
chown root:root cron.allow at.allow
chmod 400 cron.allow at.allow
才需要运行这些命令
5 Crontab文件限制访问权限:
chown root:root /etc/crontab
chmod 400 /etc/crontab
chown -R root:root /var/spool/cron
chmod -R go-rwx /var/spool/cron
chown -R root:root /etc/cron.*
chmod -R go-rwx /etc/cron.*系统的crontab文件应该只能被cron 守护进程(它以超级用户身份运行)来访问,一个普通用户可以修改crontab文件会导致他可以以超级用户身份执行任意程序
6 建立恰当的警告banner:
echo "Authorized uses only. All activity may be \ monitored and reported." >>/etc/motd
chown root:root /etc/motd
chmod 644 /etc/motd
echo "Authorized uses only. All activity may be \ monitored and reported." >> /etc/issue
echo "Authorized uses only. All activity may be \ monitored and reported." >> /etc/https://www.360docs.net/doc/f62929288.html, 改变登录banner可以隐藏操作系统类型和版本号和其它系统信息,这些信息可以会对攻击者有用.
7 限制root登录到系统控制台:
cat <
tty1
tty2
tty3
tty4
tty5
tty6
END_FILE
chown root:root /etc/securetty
chmod 400 /etc/securetty 通常应该以普通用户身份访问系统,然后通过其它授权机制(比如su命令和sudo)来获得更高权限,这样做至少可以对登录事件进行跟踪
8 设置守护进程掩码
vi /etc/rc.d/init.d/functions
设置为umask 022 系统缺省的umask 值应该设定为022以避免守护进程创建所有用户可写的文件
三、核心调整
设置项注释:
1 禁止core dump:
cat <
* soft core 0
* hard core 0
END_ENTRIES 允许core dump会耗费大量的磁盘空间.
2 chown root:root /etc/sysctl.conf
chmod 600 /etc/sysctl.conf log_martians将进行ip假冒的ip包记录到/var/log/messages
其它核心参数使用CentOS默认值。
四、需要关闭的一些服务
设置项注释:
1 关闭Mail Server
chkconfig postfix off 多数Unix/Linux系统运行Sendmail 作为邮件服务器, 而该软件历史上出现过较多安全漏洞,如无必要,禁止该服务
五、SSH安全配置
设置项注释:
1 配置空闲登出的超时间隔:
ClientAliveInterval 300
ClientAliveCountMax 0
Vi /etc/ssh/sshd_config
2 禁用 .rhosts 文件
IgnoreRhosts yes
Vi /etc/ssh/sshd_config
3 禁用基于主机的认证
HostbasedAuthentication no
Vi /etc/ssh/sshd_config
4 禁止root 帐号通过SSH 登录
PermitRootLogin no
Vi /etc/ssh/sshd_config
5 用警告的Banner
Banner /etc/issue
Vi /etc/ssh/sshd_config
6 iptables防火墙处理SSH 端口# 64906
-A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 64906 -j ACCEPT
-A INPUT -s 202.54.1.5/29 -m state --state NEW -p tcp --dport 64906 -j ACCEPT 这里仅作为参考,需根据实际需要调整参数
7 修改SSH 端口和限制IP 绑定:
Port 64906
安装selinux管理命令
yum -y install policycoreutils-python
修改port contexts(关键),需要对context进行修改
semanage port -a -t ssh_port_t -p tcp 64906
semanage port -l | grep ssh ----查看当前SElinux 允许的ssh端口Vi /etc/ssh/sshd_config
仅作为参考,需根据实际需要调整参数。
8 禁用空密码:
PermitEmptyPasswords no 禁止帐号使用空密码进行远程登录SSH
9 记录日志:
LogLevel INFO 确保在sshd_config 中将日志级别LogLevel 设置为INFO 或者DEBUG,可通过 logwatch or logcheck 来阅读日志。
10 重启SSH
systemctl restart sshd.service
重启ssh
六、封堵openssl的Heartbleed漏洞
检测方法:在服务器上运行以下命令确认openssl版本
# openssl version
OpenSSL 1.0.1e-fips 11 Feb 2013
以上版本的openssl存在Heartbleed bug,需要有针对性的打补丁。
升及补丁:
#yum -y install openssl
验证:
# openssl version -a
OpenSSL 1.0.1e-fips 11 Feb 2013
built on: Thu Jun 5 12:49:27 UTC 2014
以上built on 的时间是2014.6.5号,说明已经修复了该漏洞。
注:如果能够临时联网安装以上补丁,在操作上会比较简单一些。如果无法联网,则有两种处理办法:首选从安装光盘拷贝独立的rpm安装文件并更新;另一个办法是提前下载最新版本的openssl源码,编译并安装。
七、开启防火墙策略
在CentOS7.0中默认使用firewall代替了iptables service。虽然继续保留了iptables命令,但已经仅是名称相同而已。除非手动删除firewall,再安装iptables,否则不能继续使用以前的iptables配置方法。以下介绍的是firewall配置方法:
#cd /usr/lib/firewalld/services //该目录中存放的是定义好的网络服务和端口参数,只用于参考,不能修改。这个目录中只定义了一部分通用网络服务。在该目录中没有定义的网络服务,也不必再增加相关xml定义,后续通过管理命令可以直接增加。
#cd /etc/firewalld/services/ //从上面目录中将需要使用的服务的xml文件拷至这个目录中,如果端口有变化则可以修改文件中的数值。
# Check firewall state.
firewall-cmd --state
# Check active zones.
firewall-cmd --get-active-zones
# Check current active services. firewall-cmd --get-service
# Check services that will be active after next reload.
firewall-cmd --get-service
--permanent 查看firewall当前的配置信息,最后一个命令是查看写入配置文件的信息。
# # Set permanent and reload the runtime config.
# firewall-cmd --permanent
--zone=public --add-service=http # firewall-cmd --reload
# firewall-cmd --permanent
--zone=public --list-services 打开HTTP服务端口并写入配置文件从配置文件中重载至运行环境中。
# firewall-cmd --permanent
--zone=public
--remove-service=https#
firewall-cmd --reload
从已有配置中删除一个服务端口
# firewall-cmd --permanent
--zone=public
--add-port=8080-8081/tcp# firewall-cmd --reload#
firewall-cmd --zone=public
--list-ports8080-8081/tcp# firewall-cmd --permanent
--zone=public
--list-ports8080-8081/tcp## firewall-cmd --permanent
--zone=public
--remove-port=8080-8081/tcp# firewall-cmd --reload 打开或关闭一段TCP端口的方法,同理如果使用了其它非通用端口,那么也可以这么操作。
# firewall-cmd --permanent
--zone=public
--add-rich-rule="rule
family="ipv4" \
source
address="192.168.0.4/24" service name="http" accept"
# firewall-cmd --permanent
--zone=public
--remove-rich-rule="rule
family="ipv4" \ source address="192.168.0.4/24" service name="http" accept" The following command allows you to open/close HTTP access to a specific IP address.
八、启用系统审计服务
审计内容包括:系统调用、文件访问、用户登录等。编辑/etc/audit/audit.rules,在文中添加如下内容:
-w /var/log/audit/ -k LOG_audit
-w /etc/audit/ -p wa -k CFG_audit
-w /etc/sysconfig/auditd -p wa -k CFG_auditd.conf
-w /etc/libaudit.conf -p wa -k CFG_libaudit.conf
-w /etc/audisp/ -p wa -k CFG_audisp
-w /etc/cups/ -p wa -k CFG_cups
-w /etc/init.d/cups -p wa -k CFG_initd_cups
-w /etc/netlabel.rules -p wa -k CFG_netlabel.rules
-w /etc/selinux/mls/ -p wa -k CFG_MAC_policy
-w /usr/share/selinux/mls/ -p wa -k CFG_MAC_policy
-w /etc/selinux/semanage.conf -p wa -k CFG_MAC_policy
-w /usr/sbin/stunnel -p x
-w /etc/security/rbac-self-test.conf -p wa -k CFG_RBAC_self_test -w /etc/aide.conf -p wa -k CFG_aide.conf
-w /etc/cron.allow -p wa -k CFG_cron.allow
-w /etc/cron.deny -p wa -k CFG_cron.deny
-w /etc/cron.d/ -p wa -k CFG_cron.d
-w /etc/cron.daily/ -p wa -k CFG_cron.daily
-w /etc/cron.hourly/ -p wa -k CFG_cron.hourly
-w /etc/cron.monthly/ -p wa -k CFG_cron.monthly
-w /etc/cron.weekly/ -p wa -k CFG_cron.weekly
-w /etc/crontab -p wa -k CFG_crontab
-w /var/spool/cron/root -k CFG_crontab_root
-w /etc/group -p wa -k CFG_group
-w /etc/passwd -p wa -k CFG_passwd
-w /etc/gshadow -k CFG_gshadow
-w /etc/shadow -k CFG_shadow
-w /etc/security/opasswd -k CFG_opasswd
-w /etc/login.defs -p wa -k CFG_login.defs
-w /etc/securetty -p wa -k CFG_securetty
-w /var/log/faillog -p wa -k LOG_faillog
-w /var/log/lastlog -p wa -k LOG_lastlog
-w /var/log/tallylog -p wa -k LOG_tallylog
-w /etc/hosts -p wa -k CFG_hosts
-w /etc/sysconfig/network-scripts/ -p wa -k CFG_network
-w /etc/inittab -p wa -k CFG_inittab
-w /etc/rc.d/init.d/ -p wa -k CFG_initscripts
-w /etc/ld.so.conf -p wa -k CFG_ld.so.conf
-w /etc/localtime -p wa -k CFG_localtime
-w /etc/sysctl.conf -p wa -k CFG_sysctl.conf
-w /etc/modprobe.conf -p wa -k CFG_modprobe.conf
-w /etc/pam.d/ -p wa -k CFG_pam
-w /etc/security/limits.conf -p wa -k CFG_pam
-w /etc/security/pam_env.conf -p wa -k CFG_pam
-w /etc/security/namespace.conf -p wa -k CFG_pam
-w /etc/security/namespace.init -p wa -k CFG_pam
-w /etc/aliases -p wa -k CFG_aliases
-w /etc/postfix/ -p wa -k CFG_postfix
-w /etc/ssh/sshd_config -k CFG_sshd_config
-w /etc/vsftpd.ftpusers -k CFG_vsftpd.ftpusers
-a exit,always -F arch=b32 -S sethostname
-w /etc/issue -p wa -k CFG_issue
-w /etc/https://www.360docs.net/doc/f62929288.html, -p wa -k CFG_https://www.360docs.net/doc/f62929288.html,
重启audit服务
#service auditd restart
九、部署完整性检查工具软件
AIDE(Advanced Intrusion Detection Environment,高级入侵检测环境)是个入侵检测工具,主要用途是检查文档的完整性。
AIDE能够构造一个指定文档的数据库,他使用aide.conf作为其配置文档。AIDE数据库能够保存文档的各种属性,包括:权限(permission)、索引节点序号(inode number)、所属用户(user)、所属用户组(group)、文档大小、最后修改时间(mtime)、创建时间(ctime)、最后访问时间(atime)、增加的大小连同连接数。AIDE还能够使用下列算法:sha1、md5、rmd160、tiger,以密文形式建立每个文档的校验码或散列号。
在系统安装完毕,要连接到网络上之前,系统管理员应该建立新系统的AIDE数据库。这第一个AIDE数据库是系统的一个快照和以后系统升级的准绳。数据库应该包含这些信息:关键的系统二进制可执行程式、动态连接库、头文档连同其他总是保持不变的文档。这个数据库不应该保存那些经常变动的文档信息,例如:日志文档、邮件、/proc文档系统、用户起始目录连同临时目录
安装方法:
#yum -y install aide
注:如果主机不能联网安装AIDE,那么也可以从安装光盘拷贝至目标主机。
检验系统文件完整性的要求:
因为AIDE可执行程序的二进制文档本身可能被修改了或数据库也被修改了。因此,应该把AIDE的数据库放到安全的地方,而且进行检查时要使用确保没有被修改过的程序,最好是事先为AIDE执行程序生成一份MD5信息。再次使用AIDE可执行程序时,需要先验证该程序没有被篡改过。
配置说明:
序号参数注释
1 /etc/aide.conf 配置文件
2 database Aide读取文档数据库的位置,默认为/var/lib/aide,默认文
件名为aide.db.gz
3 database_out Aide生成文档数据库的存放位置,默认为/var/lib/aide,默
认文件名为aide.db.new.gz
database_new 在使用aide --compare命令时,需要在aide.conf中事先设
置好database_new并指向需要比较的库文件
4 report_url /var/log/aide,入侵检测报告的存放位置
5 其它参数继续使用默认值即可。
建立、更新样本库:
1)执行初始化,建立第一份样本库
# aide --init
# cd /var/lib/aide/
# mv aide.db.new.gz aide.db.gz //替换旧的样本库
2)更新到样本库
#aide --update
# cd /var/lib/aide/
# mv aide.db.new.gz aide.db.gz //替换旧的样本库
执行aide入侵检测:
1)查看入侵检测报告
#aide --check
报告的详细程度可以通过-V选项来调控,级别为0-255,-V0 最简略,-V255 最详细。
或
#aide --compare
这个命令要求在配置文件中已经同时指定好了新、旧两个库文件。
2)保存入侵检测报告(将检查结果保存到其他文件)
aide --check --report=file:/tmp/aide-report-20120426.txt
3)定期执行入侵检测,并发送报告
# crontab -e
45 17 * * * /usr/sbin/aide -C -V4 | /bin/mail -s "AIDE REPORT $(date +%Y%m%d)" abcdefg#https://www.360docs.net/doc/f62929288.html,
或
45 23 * * * aide -C >> /var/log/aide/'date +%Y%m%d'_aide.log
记录aide可执行文件的md5 checksum:
#md5sum /usr/sbin/aide
十、部署系统监控环境
该段落因为需要安装或更新较多的依赖包,所以目前仅作为参考。
为了在将来合适的时候,可以支持通过一台集中的监控主机全面监控主机系统和网络设备的运行状态、网络流量等重要数据,可以在安全加固主机的系统中预先安装和预留了系统监控软件nagios和cacti在被监控主机中需要使用的软件支撑环境。
由于以下软件在安装过程中需要使用源码编译的方式,由此而引发需要安装GCC和OPENSSL-DEVEL。而为了安装GCC和OPENSSL-DEVEL而引发的依赖包的安装和更新大约有20个左右。这就违返了安全加固主机要保持最小可用系统的设计原则,所以该部分监控软件支撑环境的部署工作不作为默认设置,但仍然通过下文给出了部署参考,以用于系统运行运维过程中需要部署全局性监控系统时使用。
1)安装net-snmp服务
#yum -y install net-snmp
#chkconfig snmpd off ---将该服务设置为默认关闭,这里只是为以后部署cacti先预置一个支撑环境
如果不能联网安装,则可以使用安装光盘,并安装以下几个rpm包:
lm_sensors ,net-snmp , net-snmp-libs , net-snmp-utils
2)安装nagios-plugin和nrpe
a. 增加用户&设定密码
# useradd nagios
# passwd nagios
b. 安装Nagios 插件
# tar zxvf nagios-plugins-2.0.3.tar.gz
# cd nagios-plugins-2.0.3
# ./configure --prefix=/usr/local/nagios
# make && make install
这一步完成后会在/usr/local/nagios/下生成三个目录include、libexec和share。
修改目录权限
# chown nagios.nagios /usr/local/nagios
# chown -R nagios.nagios /usr/local/nagios/libexec
c. 安装NRPE
# tar zxvf nrpe-2.15.tar.gz
# cd nrpe-2.15
# ./configure
# make all
接下来安装NPRE插件,daemon和示例配置文件。
c.1 安装check_nrpe 这个插件
# make install-plugin
监控机需要安装check_nrpe 这个插件,被监控机并不需要,在这里安装它只是为了测试目的。
c.2 安装deamon
# make install-daemon
c.3 安装配置文件
# make install-daemon-config
现在再查看nagios 目录就会发现有5个目录了
涉密信息安全体系建设方案
涉密信息安全体系建设方案 1.1需求分析 1.1.1采购范围与基本要求 建立XX高新区开发区智慧园区的信息安全规划体系、信息安全组织体系、信息安全技术体系、安全服务管理体系,编写安全方案和管理制度,建设信息安全保护系统(包括路由器、防火墙、VPN)等。要求XX高新区开发区智慧园区的信息系统安全保护等级达到第三级(见GB/T 22239-2008)。 1.1.2建设内容要求 (1)编写安全方案和管理制度 信息安全体系的建设,需要符合国家关于电子政务信息系统的标准要求,覆盖的电子政务信息系统安全保障体系,安全建设满足物理安全、操作系统安全、网络安全、传输安全、数据库安全、应用系统安全和管理安全体系,确保智慧园区项目系统的安全保密。 安全管理需求:自主访问控制、轻质访问控制、标记、身份鉴别、审计、数据完整性。 安全体系设计要求:根据安全体系规划,整个系统的安全体系建设内容包括物理安全、操作系统安全、网络安全、传输安全、数据安全、应用系统安全、终端安全和管理安全等方面。 (2)信息安全保护系统:满足信息系统安全等级三级要求的连接云计算平台的信息安全保护系统。 1.2设计方案 智慧园区信息安全管理体系是全方位的,需要各方的积极配合以及各职能部门的相互协调。有必要建立或健全安全管理体系和组织体系,完善安全运行管理机制,明确各职能部门的职责和分工,从技术、管理和法律等多方面保证智慧城市的正常运行。
1.2.1安全体系建设依据 根据公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定的《信息安全等级保护管理办法》、《信息系统安全等级保护定级指南》等标准,“平台”的信息系统安全保护等级定达到第三级(见GB/T 22239-2008),根据《信息系统安全等级保护基本要求》、《信息系统安全等级保护实施指南》的信息安全产品,包括:防专业VPN设备、WEB防火墙、防火墙、上网行为管理、终端杀毒软件网络版、网络防病毒服务器端等。 1.2.2安全体系编制原则 为实现本项目的总体目标,结合XX高新区智慧园区建设基础项目现有网络与应用系统和未来发展需求,总体应贯彻以下项目原则。 保密原则: 确保各委办局的信息在存储、使用、传输过程中不会泄漏给非授权用户或实体。 项目组成员在为XX高新区智慧园区建设基础项目实施的过程中,将严格遵循保密原则,服务过程中涉及到的任何用户信息均属保密信息,不得泄露给第三方单位或个人,不得利用这些信息损害用户利益。 完整性原则:确保信息在存储、使用、传输过程中不会被非授权用户篡改,同时还要防止授权用户对系统及信息进行不恰当的篡改,保持信息内、外部表示的一致性。 可用性原则:确保授权用户或实体对信息及资源的正常使用不会被异常拒绝,允许其可靠而及时地访问信息及资源 规范性原则:信息安全的实施必须由专业的信息安全服务人员依照规范的操作流程进行,对操作过程和结果要有相应的记录,提供完整的服务报告。 质量保障原则:在整个信息安全实施过程之中,将特别重视项目质量管理。项目的实施将严格按照项目实施方案和流程进行,并由项目协调小组从中监督、控制项目的进度和质量。 1.2.3体系建设内容 (1)安全管理体系
保安巡逻服务工作方案
保安巡逻服务工作方案 1、巡逻服务内容 1.1保安员通过对特定区域、地段和目标进行的巡视检查、警戒,保护客户安全。 1.2通过巡逻,震慑不法分子,有效防范对客户可能造成的不法侵害。 1.3通过巡逻,发现可疑人员,对有违法犯罪嫌疑的,依法扭送有关部门处理。 1.4对正在发生的不法侵害行为,采取相应措施予以制止,将不法行为人及时扭送公安机关或有关部门处理。 1.5检查、发现、报告并及时消除各种安全隐患。防止火灾、爆炸等事故或抢劫、盗窃等不法侵害。 1.6在巡逻过程中,对已经发生的不法侵害案件或治安灾害事故,应及时报告客户和公安机关或有关部门,并采取相应措施保护现场。 2、巡逻服务操作规程 2.1制定巡逻方案 1)根据@@@@@@@@@巡逻服务的实际情况,制定巡逻方案、确定巡逻人员、 巡逻路线、巡逻方式,控制重点及所需装备。 2)根据@@@@@@@@@巡逻区域的地形、地貌和要害部位、重点目标等情况, 确定巡视检查、控制的路线、巡逻方式、巡逻重点、巡逻频次等。 3)确定各类情况的处置方法,制定紧急情况的处置预案。 4)巡逻方案上报@@@@@@@@@主管部门审定后执行。 2.2巡逻前的准备 担任巡逻任务的保安员按规定着装,携带经公安机关批准使用的防护用具。根据需要携带通讯和报警设备,携带照明用具,配备巡逻登记簿并击打点更器。 2.3巡逻的实施 2.3.1徙步巡逻是保安员实施巡逻勤务的基本形式,实行单行巡逻、往返巡逻、交叉巡逻和循环巡逻相结合。在巡逻中,根据@@@@@@@@@的巡逻时间、气候、地形及临时任务的要求等具体情况实施巡逻任务。 2.3.2徙步巡逻应两人以上进行;巡逻人员之间应保持能目视联系和相互支
安全防范系统建设方案
安全防范系统建设方案 1、1 安全防范系统建设方案为加强学校内安全管理,保护校园内人员安全和财物安全,配备安全防范系统,主要包括视频监控系统、周界防护系统、无线巡更系统。 1、1、1 视频监控系统视频监控系统的主要功能是对校园和建筑物内的现场进行监视,使管理和保安人员在监控室中能观察到校园和教学楼内所有重要地点的情况,并根据现场情况迅速做出反应。 1、监控点设置1)室外监控点布置原则:在校园内主要场所布置,覆盖校区内主要建筑物,包括教学楼、计算中心、大阶梯教室楼、小阶梯教室楼、1#培训楼、2#培训楼、3#培训楼、学员宿舍楼、家属宿舍楼等。2)室内监控点布置原则:建筑物出入口;重要建筑物的各层楼梯口及走道;机房、财务室、档案室等重要场所;配备了摄像系统、投影系统的教室。3)监控点布置方案根据安全防范需求,结合校园、各建筑物的现场情况,在保安值班室设置总监控中心,将党校区1#培训楼已有监控室设置为分监控中心,设计视频监控点如下:监控分区划分一览表监控分区及设备间位置监控对象数量前端摄像设备备注教学区(教学楼、计算中心)教学区室外11室外一体化高速球机1室外固定摄像机教学楼38室内固定摄像机计算中心20室内固定摄像机小阶梯教室楼4室内固定摄像机党校区党校区室外4室外一体化高速球机5室外固定摄像机#1培训楼14室内固定摄像机已建,更换2个门厅摄像机学生和家属宿舍区学生宿舍北区4室外一体化高速球机5室外固定摄像机学生宿舍南区1室外一体化高速球机1室外固定摄像机家属宿舍区3室外一体化高速球机5室外固定摄像机培训部培训部32已建,12个因老旧无法使用已建室外监控点一览表监控分区编号监控点位置监控对象前端设备教学区RTV13监控中心屋顶北门、教学楼北广场高速球RTV14教学楼北广场西侧路灯教学楼北侧、教学楼西侧道路、教学楼北广场高速球RTV15教学楼北广场东侧路灯教学楼东侧道路、燕园、花圃高速球RTV16教学楼南楼西侧路灯教学楼西侧道路、小阶梯教室楼、图书馆高速球RTV17电教楼东侧路灯教学楼东侧道路、电教楼、大阶梯教室楼高速球RTV18计算中心北侧路灯计算中心、图书馆、电教楼、教学楼、大小阶梯教室楼高速球RTV19计算中心东侧路灯计算中心
安保服务及方案模板
目录 一、公司简介................................................. . (1) 二、公司资质................................................. . (3) 三、保安服务报价表 (15) 四、保安服务管理方案 (16) 五、保安员的训练实施方案 (21) 六、各类应急预案 (23) 七、部分正在执行的安保服务情况介绍 (27)
公司简介 自2013年7月份成立以来,公司已同十多家企事业单位签订了服务合同,其中包括国家一级安保企业、各大银行、高档写字楼、五星级酒店及大型商场等。派驻保安人数已达600多人。2014年获得ISO9OO1国际标准质量认证书、中国中小企业诚信示范单位、AAA级企业信用等级证书、广东省守合同重信用企业公示证书等,使公司的管理、经营更加规范。 企业文化 公司按照现代化企业制度的要求,顺应安保服务规范化、专业化、立体化、人性化的发展趋势,公司领导与全体员工秉承“专业服务、规范经营、诚信合作、永续发展”的经营理念遵循“专业、规范、诚信、优质、安全”的服务宗旨;崇尚“一流的理念、一流的管理、一流的服务、一流的业绩”作为企业的奋斗目标,恪守“从管理要素质,从素质夺信誉,从信誉赢客户,从服务创效益”的质量管理方针。在岗位工作中坚持“用心服务求品质,持续改进创品牌”的企业价值观;始终把“与客户真诚合作,做客户可靠朋友”作为我们公司使命,不断提高服务水平,彻底解除可以对安防的后顾之忧。公司将以“服从服务于市场经济的发展,服从服务社会治安综合治理”为提前,为社会各界提供专业化、有偿的安全防范服务。 领导团队 总经理、副总经理:曾长期从事武警、公安、保卫队伍管理工作,有较丰富的队伍管理工作经验及较强的组织指挥才能。
Windows系统安全加固技术指导书
甘肃海丰信息科技有限公司Windows系统安全加固技术指导书 ◆版 本◆密级【绝密】 ◆发布甘肃海丰科技◆编号GSHF-0005-OPM- ?2006-2020 HIGHFLYER INFORMATION TECHNOLOGY ,INC.
目录 文档信息................................................................. 错误!未定义书签。前言.................................................................... 错误!未定义书签。 一、编制说明............................................................ 错误!未定义书签。 二、参照标准文件........................................................ 错误!未定义书签。 三、加固原则............................................................ 错误!未定义书签。 1.业务主导原则..................................................... 错误!未定义书签。 2.业务影响最小化原则............................................... 错误!未定义书签。 3.实施风险控制..................................................... 错误!未定义书签。 (一)主机系统............................................................. 错误!未定义书签。 (二)数据库或其他应用 ..................................................... 错误!未定义书签。 4.保护重点......................................................... 错误!未定义书签。 5.灵活实施......................................................... 错误!未定义书签。 6.周期性的安全评估................................................. 错误!未定义书签。 四、安全加固流程........................................................ 错误!未定义书签。 1.主机分析安全加固................................................. 错误!未定义书签。 2.业务系统安全加固................................................. 错误!未定义书签。 五、W INDOWS 2003操作系统加固指南......................................... 错误!未定义书签。 1.系统信息......................................................... 错误!未定义书签。 2.补丁管理......................................................... 错误!未定义书签。 (一)补丁安装............................................................. 错误!未定义书签。 3.账号口令......................................................... 错误!未定义书签。 (一)优化账号............................................................. 错误!未定义书签。 (二)口令策略............................................................. 错误!未定义书签。 4.网络服务......................................................... 错误!未定义书签。 (三)优化服务............................................................. 错误!未定义书签。 (四)关闭共享............................................................. 错误!未定义书签。 (五)网络限制............................................................. 错误!未定义书签。
项目安全保障体系建设方案
项目安全保障体系建设方案
目录 第一部分系统建设方案 (2) 1 项目概述 (2) 1.1 项目背景 (2) 1.2 建设单位概况 (2) 1.3 建设目标 (2) 2 项目建设依据 (2) 3 安全保障体系建设方案 (3) 3.1 安全保障体系总体设计 (3) 3.2 安全保障技术设计 (4) 3.3 安全管理设计 (10) 3.4 安全服务设计 (15)
第一部分系统建设方案 1 项目概述 1.1 项目背景 1.2 建设单位概况 1.3 建设目标 2 项目建设依据 中心城区非生活用水户远程监控系统(一期)建设依据的相关标准规范包括: 《国家电子政务标准化体系》 《电子政务工程技术指南》(国信办[2003]2 ) 《关于我国电子政务建设的指导意见(即17 号文件)》 《信息资源规划—信息化建设基础工程》 《关于加强信息资源开发利用工作的若干意见》(中办发[2004]34 号)《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003] 27 号) 《电子政务信息安全等级保护实施指南》(国信办[2005]25 号) 《信息系统安全等级保护基本要求》(GB/T 22239—2008) 《关于信息安全等级保护工作的实施意见》(公通字[2004]66 号)
《信息安全等级保护管理办法》(公通字[2007]43 号) 《电子政务业务流程设计方法通用规范》(GB/T 19487-2004) 《计算机软件需求说明编制指南》(GB/T 9385-2008) 《计算机软件文档编制规范》(GB/T 8567-2006) 《中华人民共和国计算机信息系统安全保护条例》(国务院令第147 号)《信息技术安全技术信息技术安全性评估准则》(GB/T 18336-2001)《GB/T 9385-2008 计算机软件需求规格说明规范》 《计算机软件需求说明编制指南》(GB9385-1988) 《功能建模方法IDEF0》(IEEE 1320.1-1998) 《信息建模方法》(IEEE 1320.2-1998) 《中华人民共和国计算机信息系统安全保护条例》 《计算机信息系统保密管理暂行规定》(国保发[1998]1 号) 《计算机软件产品开发文件编制指南》(GB/T 8567-1988) 《计算机信息系统安全保护等级划分准则》(GB/T 17859-1999) 《涉及国家秘密的计算机信息系统安全保密方案设计指南》(BMZ2-2001)《信息技术开放系统互联高层安全模型》(GB/T 17965-2000) 《信息技术开放系统互联基本参考模型》(GB/T 9387) 《信息技术开放系统互联应用层结构》(GB/T 17176-1997) 《信息技术开放系统互联开放系统安全框架》(GB/T 18794) 《信息技术开放系统互联通用高层安全》(GB/T 18237) 《数据元和交换格式信息交换日期和时间表示法》ISO 8601—1988 《电子政务数据元》 《计算机软件需求说明编制指南》(GB/T 9385-1988) 《计算机软件产品开发文件编制指南》《GB/T 8567-1988》。
小区安保服务方案
XXX小区 安保服务案 XX物业管理有限公司 目录 一、管辖范围 二、人员编制 三、岗位职责 四、工作标准 五、治安防范责任书 六、保安部各种使用表格 一、管辖范围 我们本次的安保服务内容主要是负责辖区内重要目标、场所、出入口等进行守护和巡逻,预防违法犯罪和减少灾害事故损失。 本项目都参照《安保工作手册》,根据实际情况制定治安、
消防工作程序及职责,并履行与公司签订的《安全责任书》,将责任落实到组织、个人。 二、人员编制 1、安保部主管预计1人; 2、门岗安保员预计6人; 3、小区巡逻员预计3人; 备注:共计10人 表1.1如下:
本安保组施行三班倒。 三、岗位职责 1、安保部主管工作内容 在本小区物业经理领导下,负责本小区的治安、消防管理工作;负责辖区区域安保人员定岗和工作安排;本区域安保监控设备、通讯器材的使用管理工作并提交安保年度财务计划;负责对小区的每周不少于三次的夜间巡查;完成本小区物业经理交办的其他工作。 2、门岗安保员 在本小区安保主管的领导下,着装整齐,精神饱满的负责本职位的执勤工作;负责本班次对本小区的安保消防监控值班工作;负责按规定对本班次的监控影像进行电子录入;对进出本门口的机动车辆进行登记;认真填写值班记录,做好交接登记;保持区域环境清洁;完成其他工作。 3、小区巡逻员 在本小区安保主管领导下,着装整齐,精神饱满的负责本小区的治安、消防及公共设施的本班次巡逻检查工作;认真填写安保巡逻检查记录;完成其他工作
四、工作标准 1、按规定着装,佩戴工作证;精神饱满,姿态良好;举止 文明大方。 2、熟练掌握业主的基本情况;能准确填写各种表格记录; 能熟练掌握报警监控、对讲机、电梯等设施、设备的操作程序。 3、主动热心周到为业主服务,礼貌待人,微笑服务,不出 现业主被抢被盗案件。 4、经常注意检查和保持仪容整洁,不准袖手、背手、叉腰 和将手插入口袋中,不吸烟、吃零食,做到站如松,坐如钟,动如风。 五、治安防范责任书 1、各部门的安全保卫工作要划分责任区,要做到谁主管谁 负责,要落实到班组、个人。 2、各单位、各部门负责人要严格执行安全保卫工作的有关 规定,领导员工做好防盗消除治安隐患等防范工作,并结合本单位的实际情况,建立严格的管理安全制度,定期检查隐患查漏洞,查漏洞并配合领导和安保部门做好
医院信息安全系统建设方案设计
***医院 信息安全建设方案 ■文档编号■密级 ■版本编号V1.0■日期 ? 2019
目录 一. 概述 (2) 1.1项目背景 (2) 1.2建设目标 (3) 1.3建设内容 (3) 1.4建设必要性 (4) 二. 安全建设思路 (5) 2.1等级保护建设流程 (5) 2.2参考标准 (6) 三. 安全现状分析 (7) 3.1网络架构分析 (7) 3.2系统定级情况 (7) 四. 安全需求分析 (8) 4.1等级保护技术要求分析 (8) 4.1.1 物理层安全需求 (8) 4.1.2 网络层安全需求 (9) 4.1.3 系统层安全需求 (10) 4.1.4 应用层安全需求 (10) 4.1.5 数据层安全需求 (11) 4.2等级保护管理要求分析 (11) 4.2.1 安全管理制度 (11) 4.2.2 安全管理机构 (12) 4.2.3 人员安全管理 (12) 4.2.4 系统建设管理 (13) 4.2.5 系统运维管理 (13) 五. 总体设计思路 (14) 5.1设计目标 (14) 5.2设计原则 (15) 5.2.1 合规性原则 (15) 5.2.2 先进性原则 (15) 5.2.3 可靠性原则 (15) 5.2.4 可扩展性原则 (15) 5.2.5 开放兼容性原则 (16) 5.2.6 最小授权原则 (16) 5.2.7 经济性原则 (16)
六. 整改建议 (16) 6.1物理安全 (16) 6.2网络安全 (17) 6.3主机安全 (19) 6.3.1 业务系统主机 (19) 6.3.2 数据库主机 (21) 6.4应用安全 (22) 6.4.1 HIS系统(三级) (22) 6.4.2 LIS系统(三级) (24) 6.4.3 PACS系统(三级) (26) 6.4.4 EMR系统(三级) (27) 6.4.5 集中平台(三级) (29) 6.4.6 门户网站系统(二级) (31) 6.5数据安全与备份恢复 (32) 6.6安全管理制度 (33) 6.7安全管理机构 (33) 6.8人员安全管理 (34) 6.9系统建设管理 (34) 6.10系统运维管理 (35) 七. 总体设计网络拓扑 (38) 7.1设计拓扑图 (38) 7.2推荐安全产品目录 (39) 八. 技术体系建设方案 (41) 8.1外网安全建设 (41) 8.1.1 抗DDos攻击:ADS抗DDos系统 (41) 8.1.2 边界访问控制:下一代防火墙NF (43) 8.1.3 网络入侵防范:网络入侵防御系统NIPS (46) 8.1.4 上网行为管理:SAS (48) 8.1.5 APT攻击防护:威胁分析系统TAC (50) 8.1.6 Web应用防护:web应用防火墙 (54) 8.2内外网隔离建设 (58) 8.2.1 解决方案 (59) 8.3内网安全建设 (61) 8.3.1 边界防御:下一代防火墙NF (61) 8.3.2 入侵防御 (62) 8.3.3 防病毒网关 (63) 8.3.4 APT攻击防护 (67) 8.4运维管理建设 (68) 8.4.1 运维安全审计:堡垒机 (68) 8.4.2 流量审计:网络安全审计-SAS (70) 8.4.3 漏洞扫描:安全评估系统RSAS (75)
安保服务实施方案
3.3实施方案 3.3.1服务范围与依据 1、服务范围 按照《中华人民共和国安保服务管理条例》和相关行业反恐怖防范标准所界定的区域(禁区、监视区、防护区)及要求,为企业提供门卫、守护、巡逻、技术防范、安防监控中心值班、消防巡查、消防灭火工作、应急突发事件处理、安全咨询等安全保卫服务,保护企业人身、财产和信息等安全,维护企业合法权益。 主要范围:(坝)区(上水库、下水库出入口)、办公区、生活区及安全重点部位的治安守护、巡逻(包括白天和夜间)、技术防范、消防培训;上下库库区水域巡视;安防监控中心值班;南昌办公大楼值守巡逻;公司区域交通指挥值班执勤工作;电站周边防火巡检;电站消防器材日常巡检;消防出警等应急突发事件的处理及公司安排的有关安全保卫、消防的临时性工作。 2、服务依据 《中华人民共和国劳动法》 《中华人民共和国劳动合同法》 《中华人民共和国劳动法(修正案)》 《保安服务管理条例》中华人民共和国国务院第564号令 《单位事业单位内部治安保卫条例》中华人民共和国国务院令第421条 《保安服务操作规程与质量控制》(GA/T594-2006) 《中华人民共和国消防法》(中华人民共和国主席令第6号) 《社会消防技术服务管理规定》公安部令129号 《企业事业单位专职消防队组织条例》 《公安机关实施保安服务管理条例办法》公安部令第112号 《电力设备典型消防规程》 《机关、团体、企业、事业单位消防安全管理规定》 《江西洪屏抽水蓄能有限公司安全保卫管理执行手册》 《江西洪屏抽水蓄能有限责任公司动火工作管理执行手册》 3.3.2服务目标 1、质量目标 (1)服务人员上岗率达100%; (2)服务区域责任分工到人,明确职责,新员工到岗培训合格率100%;; (3)服务热情、周到、耐心、细心; (4)不发生精神松懈、行为散漫、无精打采、消极怠工、推诿扯皮; (5)不执行工作指令的行为或者工作状态; (6)服务所在部门负责人满意度95%以上; (7)服务对象满意度达到率达90%以上。 2、安全目标 (1)不发生人身未遂及以上事故; (2)不发生因现场安保管理服务人员巡查、处置不到位而引起的失窃、破坏电力设施等群体性事件; (3)不发生有现场消防管理服务人员责任的火灾事故,以及因现场消防管理服务人员
Linu系统主机安全加固
L i n u系统主机安全加 固 SANY标准化小组 #QS8QHH-HHGX8Q8-GNHHJ8-HHMHGN#
Linux主机安全加固 V1.0 hk有限公司 二零一五年二月 一、修改密码策略 1、cp/etc/login.defs/etc/ 2、vi/etc/login.defs PASS_MAX_DAYS90(用户的密码不过期最多的天数) PASS_MIN_DAYS0(密码修改之间最小的天数) PASS_MIN_LEN8(密码最小长度) PASS_WARN_AGE7(口令失效前多少天开始通知用户更改密码) 按要求修改这几个密码选项,修改完之后保存(:wq!)退出即可。 二、查看系统是否已设定了正确UMASK值(022) 1、用命令umask查看umask值是否是022, 如果不是用下面命令进行修改: /etc/profile/etc/profile.bak vi/etc/profile 找到umask022,修改这个数值即可。 三、锁定系统中不必要的系统用户和组 1、cp/etc/passwd/etc/passwd.bak cp/etc/shadow/etc/shadow.bak 锁定下列用户 2、foriinadmlpsyncnewsuucpgamesftprpcrpcusernfsnobodymailnullgdmdo usermod- L$idone 3、检查是否锁定成功 more/etc/shadow如:lp:!*:15980:0:99999:7:::lp帐户后面有!号为已锁定。 4、禁用无关的组: 备份: cp/etc/group/etc/group.bak
安全生产体系建设方案 .doc
安全生产体系建设方案 撰写人:XXX 本文档介绍了XXXXX. YOUR LOG
2014年我镇安全生产工作坚持以科学发展观为统领,按照通安委办《关于完善安全生产体系建设工作的实施方案》要求,坚持“安全第一、。预防为主、综合治理”方针,完善和强化安全生产体系建设,督促落实主体责任,结合实际强化安全管理,加大执法力度,深化专项整治,加强隐患排查治理,坚决遏制各类事故发生。现制定实施方案如下: 一、指导思想 坚持“安全第一、预防为主、综合治理”的方针,以安全隐患自查自报系统和安全隐患动态监管统计分析评价系统为核心,建立健全安全监管责任机制、考核机制,强化落实主体责任,完善安全生产标准体系,广泛开展安全教育培训,逐步建立镇安全隐患排查治理体系。 二、目标任务 继续以科学发展、安全发展的理念为指导,深入排查隐患,突出抓好高危作业,人员密集场所和火灾隐患的专项整治,坚持实行“平安报表”制度,积极开展“打非治违”专项行动,完善安全生产体系建设,积极构建安全生产长效机制,切实落实安全生产责任。 三、工作内容 (一)抓好高危行业,人员密集场所和火灾隐患专项整治的工作落实
切实加强消防安全管理。突出抓好商场超市、娱乐场所、学校医院、养老院、重点企业等人员密集场所、易燃易爆场所的排查整治工作,严格执行大型活动安全方案报批备案的有关规定,按照“谁主办、谁负责”的原则,加强对节日举办各种文化娱乐活动的管理,落实安全防措施。严防火灾、拥堵、踩踏等事件发生。 (二)坚持实行“平安报表”定期报送制度 继续执行每月20日定期报送平安报表制度,将安全生产、信访、维稳、治安、消防、食品药品安全等一并列为排查报告范围,由镇安监办报送县安全生产办公室内,以便全面掌握全县各类隐患和维稳工作重点,为“大平安”建设提供了最基础的数据情况分析,实现对安全隐患和平安建设工作的实时、及时的监控管理。 (三)深入推进安全生产网格化管理,明确安全生产责任 以所属各单位自查隐患、自报隐患、治理隐患三个环节的责任为重点,要求单位内部必须建立完善的隐患排查治理工作框架和隐患排查治理工作制度,并通过内部排查、实施治理和分析改进等步骤,形成完整的自查、自改和自报机制,确保隐患排查治理工作的常态化和持续改进,不断提高安全管理水平。 (四)建立考核工作机制。
安保服务方案模板
安保服务方案模板
目录 一、公司简介 (1) 二、公司资质 (3) 三、保安服务报价表 (15) 四、保安服务管理方案 (16) 五、保安员的训练实施方案 (21) 六、各类应急预案 (23) 七、部分正在执行的安保服务情况介绍 (27)
公司简介 自7月份成立以来,公司已同十多家企事业单位签订了服务合同,其中包括国家一级安保企业、各大银行、高档写字楼、五星级酒店及大型商场等。派驻保安人数已达600多人。获得ISO9OO1国际标准质量认证书、中国中小企业诚信示范单位、AAA级企业信用等级证书、广东省守合同重信用企业公示证书等,使公司的管理、经营更加规范。 企业文化 公司按照现代化企业制度的要求,顺应安保服务规范化、专业化、立体化、人性化的发展趋势,公司领导与全体员工秉承“专业服务、规范经营、诚信合作、永续发展”的经营理念遵循“专业、规范、诚信、优质、安全”的服务宗旨;崇尚“一流的理念、一流的管理、一流的服务、一流的业绩”作为企业的奋斗目标,恪守“从管理要素质,从素质夺信誉,从信誉赢客户,从服务创效益”的质量管理方针。在岗位工作中坚持“用心服务求品质,持续改进创品牌”的企业价值观;始终把“与客户真诚合作,做客户可靠朋友”作为我们公司使命,不断提高服务水平,彻底解除能够对安防的后顾之忧。公司将以“服从服务于市场经济的发展,服从服务社会治安综合治理”为提前,为社会各界提供专业化、有偿的安全防范服务。 领导团队 总经理、副总经理:曾长期从事武警、公安、保卫队伍管理工作,有较丰富的队伍管理工作经验及较强的组织指挥才能。 执行总监:曾长期从事武警、保卫工作三十多年,有较强的业务和管理能
信息系统安全加固描述
一.安全加固概述 网络设备与操作系统加固和优化服务是实现客户信息系统安全的关键环节。通过使用该项服务,将在客户信息系统的网络层、主机层等层次建立符合客户安全需求的安全状态,并以此作为保证客户信息系统安全的起点。 网络设备与操作系统加固和优化服务的目的是通过对主机和网络设备所存在安全问题执行以下操作: ●网络设备与操作系统的安全配置; ●系统安全风险防范; ●提供系统使用和维护建议; ●安装最新安全补丁(根据风险决定是否打补丁); 上述工作的结果决定了网络设备与操作系统加固和优化的流程、实施的内容、步骤和复杂程度。具体说,则可以归纳为: (1)加固目标也就是确定系统在做过加固和优化后,达到的安全级别,通常不同环境下的系统对安全级别的要求不同,由此采用的加固方案也不同。 (2)明确系统运行状况的内容包括: ●系统的具体用途,即明确系统在工作环境下所必需开放的端口和服务等。 ●系统上运行的应用系统及其正常所必需的服务。 ●我们是从网络扫描及人工评估里来收集系统的运行状况的。 (3)明确加固风险:网络设备与操作系统加固是有一定风险的,一般可能的风险包括停机、应用程序不能正常使用、最严重的情况是系统被破坏无法使用。这些风险一般是由于系统运行状况调查不清导致,也有因为加固方案的代价分析不准确,误操作引起。因此在加固前做好系统备份是非常重要的。 二.加固和优化流程概述 网络设备与操作系统加固和优化的流程主要由以下四个环节构成:
1. 状态调查 对系统的状态调查的过程主要是导入以下服务的结果: ●系统安全需求分析 ●系统安全策略制订 ●系统安全风险评估(网络扫描和人工评估) 对于新建的系统而言,主要是导入系统安全需求分析和系统安全策略制订这两项服务的结果。在导入上述服务的结果后,应确定被加固系统的安全级别,即确定被加固系统所能达到的安全程度。同时,也必须在分析上述服务结果的基础上确定对网络与应用系统加固和优化的代价。 2. 制订加固方案 制订加固方案的主要内容是根据系统状态调查所产生的结果制订对系统实施加固和优化的内容、步骤。 3. 实施加固 对系统实施加固和优化主要内容包含以下两个方面: ●对系统进行加固 ●对系统进行测试 对系统进行测试的目的是检验在对系统实施安全加固后,系统在安全性和功能性上是否能够满足客户的需求。上述两个方面的工作是一个反复的过程,即每完成一个加固或优化步骤后就要测试系统的功能性要求和安全性要求是否满足客户需求;如果其中一方面的要求不能满足,该加固步骤就要重新进行。 对有些系统会存在加固失败的情况,如果发生加固失败,则根据客户的选择,要么放弃加固,要么重建系统。 4. 生成加固报告 加固报告是向用户提供完成网络与应用系统加固和优化服务后的最终报告。其中包含以下内容:
信息系统安全建设方案
信息系统安全建设方案 摘要从信息系统安全建设规划设计、技术体系以及运行管理等三个方面对信息系统安全建设技术要点进行了分析。 关键词信息系统安全系统建设 1 建设目标 当前,随着信息技术的快速发展及本公司信息系统建设的不断深化,公司运行及业务的开展越来越依赖信息网络,公司的信息安全问题日益突出,安全建设任务更加紧迫。 由于本公司的业务特殊性,我们必须设计并建设一个技术先进、安全高效、可靠可控的信息安全系统,在实现网络系统安全的基础上,保护信息在传输、交换和存储过程中的机密性、完整性和真实性。 2 设计要点 主要考虑两个要点:一是尽可能满足国家关于信息系统安全方面的有关政策要求,二是切合本公司信息安全系统建设内涵及特点。 国家在信息系统建设方面,比较强调信息安全等级保护和安全风险管理。针对本公司的涉密系统集成资质要求和软件开发、软件外包业务的开展,这个方面的硬性规定会越来越重要。目前正在与有关主管单位咨询。 信息系统等级划分需按照国家关于计算机信息系统等级划分指南,结合本本公司实际情况进行信息系统定级,实行分级管理。 信息安全风险管理体现在信息安全保障体系的技术、组织和管理等方面。依据等级保护的思想和适度安全的原则,平衡成本与效益,合理部署和利用信息安全的信任体系、监控体系和应急处理等重要基础设施,确定合适的安全技术措施,从而确保信息安全保障能力建设的成效。 3 建设内容 信息系统的安全建设包括三方面:一是技术安全体系建设;二是管理安全体系建设;三是运行保障安全体系建设。其中,技术安全体系设计和建设是关键和重点。 按照信息系统的层次划分,信息系统安全建设技术体系包括物理层安全、网络安全、平台安全、应用安全以及用户终端安全等内容。 3.1 物理层安全 物理层的安全设计应从三个方面考虑:环境安全、设备安全、线路安全。采取的措施包括:机房屏蔽,电源接地,布线隐蔽,传输加密。对于环境安全和设备安全,国家都有相关标准和实施要求,可以按照相关要求具体开展建设。 3.2 网络安全 对于网络层安全,不论是安全域划分还是访问控制,都与网络架构设计紧密相关。网络
保安服务实施方案
保安服务方案
————————————————————————————————作者:————————————————————————————————日期:
保安服务方案 管理服务内容 服务时间 工作重点要求 拟派驻场人员配备及培训方案 第一节人员配备 第二节业务技能要求 第三节人员培训方案 第四节言行规范、仪容仪表、公众形象的培训及要求各项管理责任制度 第一节岗位责任制度 第二节执勤、巡查、工作衔接及登记制度 第三节保安服务承诺及投诉管理办法 应急突发处置预案 第一节处置原则 第二节火险的应急处置预案 第三节爆炸或其它危险物品的处置预案 第四节执勤区域被盗的处置预案 第五节一般突发情况处置预案 第六节楼内停电时的处置预案 第七节电梯困人的处置预案 第八节交通事故的处置预案 岗位操作流程 第一节守卫执勤哨兵交接班及工作流程图 第二节守卫执勤哨兵交接班及工作流程表 第三节巡逻执勤哨兵交接班及工作流程图 第四节巡逻执勤哨兵交接班及工作流程表
服务时间:全天24小时 管理服务内容 1、公共秩序安全管理和服务 (1)、管理区域人员、物品的安全及进出管理;(2)、停车场车辆进出及停放引导服务;(3)、公共秩序的管理; (4)、突发事件的应急处理; (5)、消防管理服务; 2、其他活动的配合服务 (1)、重要节日的现场气氛布置; (2)、重要领导参观、视察的配合
工作重点要求 1、检查重点防火部位,检查消防设施是否在位、完好、有效、建立消防日检表。 2、检查巡更点所到之处商户门是否完好、关闭。 3、严格按照规定的巡视路线及巡视时间进行巡查,并认真填写巡视记录。 4、履行商户二次装修、现场维修整改的保安监管、巡查责任。监督好动火安全,特 别注意动火人员证件、手续是否备齐在位,现场是否备有足够的灭火器材,动火是否有效。 5、熟悉商户人员情况,有效判断进出人员状况;加强夜间监管力度,防止未经授权 人员进入。 6、晚间巡更应仔细遵循“一摸、二闻、三看、四观察”的宗旨。如发现异常情况, 立即上报。 7、检查各配电房、电梯机房、泵房等重点机房是否保持常闭,上锁。禁止无关人员 入内。 8、针对二次装修,加强现场管理,防止装修人员乱窜楼层,禁止吸烟。 9、大楼里任何时间不允许吸烟,吸烟须至指定地点。 10、维护停车场交通秩序,指挥疏导进出车辆,做好收费工作。 11、定时定点巡视商场、地下室、各层楼面、通道、车库、广场四周等。 12、定期配合消防部门进行消防演习,对消防安全隐患,违章违规行为进行报告和处 理。 13、严格遵守执行安全管理制度和规定,并接受监督管理。 14、不得擅入商户商铺、办公区域,如在夜间发现商户门未锁或紧急情况,应及时电 话通知甲方安保负责人,由甲方安保负责人与商户取得联系,并安排当值队员在门口值守,等商户到场后,才能由值班领班、队员陪同商户进入室内检查,事后应书面报告给甲方负责人。 15、建立岗位工作日志,作好记录,根据情况作出书面报告。 16、负责物业内、外安全警卫,预防、制止和处置任何因素的破坏和灾难。 17、负责维持商场内外秩序,防止人为事故的发生,确保安全及各交通要道、安全通
(完整版)信息系统安全规划方案
信构企业信用信息管理系统安全规 划建议书
目录 1.总论 (3) 1.1. 项目背景 (3) 1.2. 项目目标 (3) 1.3. 依据及原则 (4) 1.3.1. 原则 (4) 1.3.2. 依据 (5) 1.4. 项目范围 (7) 2.总体需求 (7) 3.项目建议 (8) 3.1. 信构企业信用信息管理系统安全现状评估与分析 (8) 3.1.1. 评估目的 (8) 3.1.2. 评估内容及方法 (9) 3.1.3. 实施过程 (14) 3.2. 信构企业信用信息管理系统安全建设规划方案设计 (23) 3.2.1. 设计目标 (23) 3.2.2. 主要工作 (24) 3.2.3. 所需资源 (27) 3.2.4. 阶段成果 (27) 4.附录 (27) 4.1. 项目实施内容列表及报价清单 (27)
1.总论 1.1.项目背景 ******************(以下简称“********”)隶属***********,主要工作职责是根据…………………………………………………………的授权,负责………………;负责…………………………等工作。 ********作为*********部门,在印前,需要对………………………………。在整个…………业务流程中信构企业信用信息管理系统起了关键的作用。 1.2.项目目标 以国家信息安全等级保护相关文件及ISO27001/GBT22080为指导,结合********信构企业信用信息管理系统安全现状及未来发展趋势,建立一套完善的安全防护体系。通过体系化、标准化的信息安全风险评估,积极采取各种安全管理和安全技术防护措施,落实信息安全等级保护相关要求,提高信构企业信用信息管理系统安全防护能力。 从技术与管理上提高********网络与信构企业信用信息管理系统安全防护水平,防止信息网络瘫痪,防止应用系统破坏,防止业务数据丢失,防止企业信息泄密,防止终端病毒感染,防止有害信息传播,防止恶意渗透攻击,确保信构企业信用信息管理系统安全稳定运行,确保业务数据安全。
安全保卫工作实施方案
安全保卫工作实施方案 为加强法院机关、法庭安全保卫工作,维护法院审判、办公秩序,保证法院工作人员安全,预防和避免事故发生,及时消除不安全隐患,根据《人民法院司法警察条例》,结合我院实际情况,特制定本方案。 一、指导思想 以全国政法工作会议精神为指导,充分认识当前人民法院安全保卫工作所面临的严峻形势,以防案件、防事故、防破坏、保安全为重点,坚持以防为主,严防、严管、严控相结合,早检查,早预防,周密部署、精心组织,狠抓落实,坚决消除各类不安全隐患,积极防范和妥善处置各类矛盾纠纷,确保我院审判执行工作顺利有序进行。 二、组织领导 一般突发事件处置分队:指挥长:职能部门负责人,队员:职能部门全体人员,信访法官及物业保安。 较大突发事件处置分队:指挥长:主管院领导,队员:司法警察、信访、办公室、装备技术室、安保部门以及物业全体人员。 重(特)大突发事件处置分队:总指挥:常务副院长,队员:全院50岁以下干警。 三、具体措施和办法
1、各庭、室、队、局工作人员要树立高度的安全防范意识, 做好防火、防盗、防事故工作。 2、机关门卫实行24小时值班制度,对进入机关的外来人员 要进行必要的询问,对闲杂人员应制止进入办公大楼。 3、严禁办案部门在办公区约见案件当事人。机关各部门要 严格控制当事人进入办公区域,发现安全隐患要及时报告、处理。当事人来院约见法官的,一律由安检经验证、登记,并由安检人员与承办法官联系以后,在专用接待室接待,不得在办公区域接待当事人。来访群众一律由安检人员验证、登记后至指定地点,由信访接待人员接待。 4、来院联系公务的人员凭单位介绍信或证件可由安检人员 与相关部门或领导联系以后,经同意方可进入。律师来院阅卷的,由安检人员审验律师证件,与有关部门联系获同意以后,方可进入到指定地点阅卷,但仅限于律师本人,不得带当事人进入。 5、各业务部门(含法庭)开庭,调解需提前三天报法警大 队并申请警力,由法警大队安排安检人员进行安检、值庭,做到“凡进必检”。 6、各庭、室、队、局工作人员在下乡或外出时,要注意关 好门窗,锁好抽屉,关好一切电器的电源,并将火箱被褥拿离,严防各类安全事故发生。