1、文檔類型內部文檔文檔編號文檔版本保密等級主機(zhj)安全 山東(shn dn)城聯一卡通有限責任公司目 錄 TOC o 1-3 h z u HYPERLINK l _Toc308965506 一、身份(shn fen)鑒別 PAGEREF _Toc308965506 h 1 HYPERLINK l _Toc308965507 二、主機(zhj)訪問控制 PAGEREF _Toc308965507 h 1 HYPERLINK l _Toc308965508 三、強訪問控制 PAGEREF _Toc308965508 h 2 HYPERLINK l _Toc308965509 四、系統(xtng

2、)保護 PAGEREF _Toc308965509 h 2 HYPERLINK l _Toc308965510 五、剩余信息保護 PAGEREF _Toc308965510 h 4 HYPERLINK l _Toc308965511 六、入侵防范 PAGEREF _Toc308965511 h 5 HYPERLINK l _Toc308965512 七、惡意代碼防范 PAGEREF _Toc308965512 h 6 HYPERLINK l _Toc308965513 八、資源控制 PAGEREF _Toc308965513 h 8 HYPERLINK l _Toc308965514 一、主機

3、相關人員安全管理 PAGEREF _Toc308965514 h 10 HYPERLINK l _Toc308965515 二、機房管理 PAGEREF _Toc308965515 h 11 HYPERLINK l _Toc308965516 三、計算機病毒防范制度 PAGEREF _Toc308965516 h 12 HYPERLINK l _Toc308965517 四、數據保密及數據備份制度 PAGEREF _Toc308965517 h 13 PAGE 15主機安全(nqun)管理一、身份(shn fen)鑒別1.系統與應用管理員用戶(yngh)設置對操作系統進行特權用戶的特權分離（如

4、系統管理員、應用管理員等）并提供專用登陸控制模塊。采用最小授權原則，進行授權。2.系統與應用管理員口令安全啟用密碼口令復雜性要求，設置密碼長度最小值為8位，密碼最長使用期限90天，強制密碼歷史等，保證系統和應用管理用戶身份標識不易被冒用。 3.登陸策略采用用戶名、密碼、密鑰卡令牌實現用戶身份鑒別。4.非法訪問警示配置賬戶鎖定策略中的選項，如賬戶鎖定時間、賬戶鎖定閾值等實現結束會話、限制非法登陸次數和自動退出功能。二、主機訪問控制1.主機信任關系 在域中設置信任與被信任關系，使一個域中的控制器驗證另一個域中的用戶，從而自助控制主機信任關系，并配置了數據庫主機信任關系。2.默認過期(guq)用戶超

5、過60天沒有更新計算機賬戶密碼的計算機賬戶設置為默認過期用戶(yngh)，為避免共享賬戶存在，及時刪除默認過期用戶。3.用戶最小授權(shuqun)原則根據管理用戶的角色對權限做出標準細致的劃分，并授予管理用戶的最小權限，每個用戶只能擁有剛夠完成工作的最小權限。并按角色劃分權限，每個角色各負其責，權限各自分離，一個管理角色不擁有另一個管理角色的特權。三、強訪問控制資源訪問記錄通過系統安全日志以及設置安全審計，記錄和分析各用戶和系統活動操作記錄和信息資料，包括訪問人員、訪問計算機、訪問時間、操作記錄等信息。重要系統文件強制訪問控制范圍對重要系統文件進行敏感標記，設置強制訪問控制機制。根據管理用戶

6、的角色分配權限，并作了細致劃分，禁授予管理用戶最小權限，并對用戶及用戶程序進行限制，從而達到更高的安全級別。共享目錄 關閉系統設置共享目錄訪問(fngwn)權限時，指定了一個基于本地“Administrators”組帳戶的權限，保證共享目錄的訪問(fngwn)安全。遠程登陸控制(kngzh) 服務器上啟用“路由和遠程訪問”服務，并且依據服務器操作系統訪問控制的安全策略，授權訪問用戶身份/角色，未授權用戶身份/角色訪問客體，不允許進行訪問。四、系統保護系統備份系統備份策略包括本地和遠程兩種方式。其中，本地備份主要使用容錯技術和冗余配置來應對硬件故障，采用熱備軟件。系統所有數據存在數據庫中，實行遠

7、程同步和備份數據庫故障恢復策略正常情況下主服務器由于軟硬件故障（非人為因素）發生宕機時，網絡容錯軟件立即激活備份服務器保證業務過程連續進行，不影響用戶使用。特殊情況下由于網絡系統遭黑客入侵，或網絡系統遭病毒攻擊，或系統管理員操作失誤導致服務器癱瘓，就要恢復數據和系統。 故障恢復可分為數據還原和系統還原。安全配置新建用戶時賬戶便于記憶使用，并且密碼有一定(ydng)復雜度；對不同賬戶進行授權，擁有相應權限；停用GUEST賬戶；將管理員賬戶權限設置最低；將共享文件權限改為授權用戶；登陸時不顯示上次登陸名；限制用戶數量并開啟用戶策略。采用安全密碼；開啟密碼策略(cl)；加密重要的文件和文件夾。系統采

8、用NTFS格式化分區；鎖定注冊表；配置安全策略，并禁止從軟盤和光驅(un q)啟動系統。磁盤空間安全采用存儲區域網絡的方式集中化管理存儲網絡，包含來自多個廠商的存儲服務器、存儲管理軟件、應用服務器和網絡硬件設備，隨時隨地的實現信息的存儲、訪問、共享和保護。機房備有不間斷電源(UPS)，保證磁盤的正常工作。做好病毒防護以及系統升級工作 操作系統都存在著很多已知和未知的漏洞，加之現在病毒攻擊的范圍也越來越廣泛，而硬盤作為計算機的信息存儲基地，通常都是計算機病毒攻擊的首選目標。及時更新系統補丁，升級病毒庫，做好病毒防護工作，同時要注意對重要的數據進行保護和經常性的備份。在需要做硬件維護時，不進行帶電

9、操作。服務器7*24小時開啟，會長時間頻繁的對硬盤進行讀寫，會對磁盤造成一定的損害，每月作一次到兩次磁盤碎片整理，使硬盤的讀寫速度保持在最佳狀態，保證磁盤空間安全。主機加固系統(xtng)按照安全策略實施，減少對外開放的端口，在MMC中關閉不需要(xyo)的服務，禁止(jnzh)Messenger服務、禁止Telnet服務等；切斷主機與應用管理的聯系，不授予主機的全局管理權限；在管理員對主機進行訪問時，須提供用戶名，密碼才能登陸，并對密碼強度和密碼使用時間進行限定；主機采用了linux操作系統，增加系統安全性，并有針對性的修改系統參數，如：禁止自動登錄、禁止在藍屏后自動啟動機器、刪除服務器上的

10、管理員共享等；設置防病毒系統升級策略，凌晨2:00下載病毒代碼并分發升級，并根據病毒軟件來更新病毒庫。五、剩余信息保護采用安全級別的操作系統操作系統級別LinuxC2Windows server2003C2為保證操作系統和數據庫系統的鑒別信息所用的存儲空間，被釋放或分配給其他用戶前被釋放，做了如下設置：在本地安全策略中的安全選項中，啟用“不顯示上次的用戶名”。 為及時釋放系統內文件、目錄、數據庫等所占用的存儲空間，進行如下設置：在本地安全策略中的安全選項中，啟用“清除虛擬內存頁面文件”；在本地安全設置，賬戶策略中的密碼策略中，啟用“用可還原的加密來存儲密碼”。六、入侵(rqn)防范為有效應對網

11、絡入侵，公司在網絡邊界處部署防火墻、IPS各一臺，用于應對端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區溢出攻擊、IP碎片攻擊和網絡蠕蟲攻擊等各類網絡攻擊；通過防火墻對指定接口所連接的網絡中主機的 IP 和MAC 地址進行綁定，防止IP 盜用，并對非法IP 的訪問提供詳細的記錄，同時在路由器上進行重要服務器的ip/mac的綁定，進一步保證服務器的安全。 通過對防火墻、IPS的配置，結合防毒軟件，及早發現入侵行為并采取相應的應對措施，減少通過網絡竊取信息的的可能。并結合公司的規章制度，進一步加強對信息竊取事件的防范。防火墻能夠識別并防范對網絡和主機的掃描攻擊、異常(ychng)網絡協議攻

12、擊、IP 欺騙攻擊、源IP攻擊、IP 碎片攻擊、DoS/DDoS 攻擊等；實時應用層內容過濾，在防火墻內核協議棧中實現。支持HTTP、FTP、SMTP 協議，具體包括URL 過濾、網頁關鍵字過濾、FTP 文件下載過濾、FTP 文件上傳過濾、SMTP收件人過濾、SMTP 發件人過濾、郵件主題過濾、反郵件中轉過濾、Internet 蠕蟲過濾。根據入侵檢測結果自動地調整防火墻的安全策略，及時阻斷(z dun)入侵的網絡連接，并可通過郵件的方式向管理員報警。封閉了以下端口，主要有：TCP137、139、445、593、1025端口和UDP 135、137、445端口，后門端口(如TCP 2745、31

13、27、6129端口)，以及遠程服務訪問端口3389。并關閉了計算機中高危服務：如Alerterclipbook、remote registry、Messenger、Task Scheduler等服務。操作系統的安裝遵循最小安裝原則，僅開啟需要的服務，安裝需要的組件和程序，可以極大的降低系統遭受攻擊的可能性。并且及時(jsh)更系統丁，可以避遭由系統漏洞帶來的風險是在裝有Linux的操作系統中關閉危險的網絡服務如echo、shell login、 finger、 r命令等，關閉非必需的網絡服務ntalk、pop-2、Sendmail、Imapd、Pop3d等。七、惡意代碼防范(fngfn)安裝了

14、卡巴斯基企業版殺毒軟件和防火墻，具有升級方便(fngbin)、更新及時等特點，并能夠實時更新版本升級病毒庫，可以手動或者按照計劃自動地，從卡巴斯基實驗室的互聯網服務器或本地更新服務器來更新威脅特征數據庫和程序模塊。杜絕因版本不一致而可能造成的安全漏洞和安全隱患。病毒數據庫自動更新。具有病毒檢測及清除能力。防病毒軟件能對普通文件監控、內存監控、網頁監控、引導區和注冊表監控功能；具有間諜軟件防護功能；可檢測并清除隱藏于電子郵件、公共文件夾及數據庫中的計算機病毒、惡性程序和垃圾郵件功能，能夠自動隔離感染而暫時無法修復的文件；具有全網漏洞掃描和管理功能，可以通過掃描系統中存在的漏洞和不安全的設置，提供

15、相應的解決方案，支持共享文件、OFFICE文檔的病毒查殺、能夠實現立體的多層面的病毒防御體系。實時保護。該程序會獲取文件(wnjin)系統請求，對被訪問的文件進行惡意代碼掃描，清除或刪除被感染對象，或隔離可疑對象以供進一步分析和處理。手動文件系統掃描。該程序可以在指定時間（或按照管理員指令）對指定區域進行掃描，檢測被感染和可疑對象。它可以分析(fnx)對象，清除、刪除被感染對象，或將可疑對象隔離以供進一步分析和處理。隔離。在服務器文件系統中發現的被感染對象(duxing)，可疑對象或受損對象均可被移動至隔離文件夾，在那里可對其進行進一步操作，如清除、刪除等。備份存儲。該解決方案在受感染對象被清

16、除或刪除前會將其副本保存至備份存儲區，如果原文件在處理過程中受損，還可以手動對其進行恢復。設置了每5天對系統進行漏洞掃描，掃描出系統所存在的漏洞，并能及時下載安裝系統補丁，修復系統存在的漏洞。八、資源控制系統資源概念是指CPU、儲存空間、傳輸帶寬等軟硬件資源。通過設定終端接入方式、網絡地址范圍等條件限制終端登錄，可以極大的節省系統資源，保證了系統的可用性，同時也提高了系統的安全性。對于Windows系統自身來說，可以通過主機防火墻或TCP/IP篩選來實現以上功能。在“終端(zhn dun)服務配置”中指定(zhdng)“限制每個用戶只使用(shyng)一個會話”，限制用戶以桌面模式登錄的用戶的

17、同時只保留一個會話。但是若用戶以特定應用程序（在登錄時自動啟動某個應用程序，該應用程序關閉時連接即注銷）模式登錄時，該設置則無效。為了使在該模式下也能保證一個用戶同時只有一個會話，通過使用登錄腳本來進行限制。啟用了TCP/IP篩選，創建IP篩選器并進行IP篩選器設置，限定出相應的IP地址上的終端可進行登錄。并且根據公司的具體情況，在路由器上做了相關設置，僅允許特定IP地址進行終端登錄。在本地安全策略的安全選項中啟用了“在超過登錄時間后強制注銷”選項。保證系統安全。服務器運行著后臺系統服務和業務應用，需要保持247不間斷運行并提供持續的服務，其運行狀態的好壞直接影響了網絡用戶的使用，因此，讓服務

18、器保持健康狀態就成為服務器管理的重中之重。比較桌面設備管理更加關注桌面系統和上層應用自身的應用狀態而言，服務器管理的首要目標就是保證服務器的穩定性和可靠性。利用網管平臺管理器提供的各種管理功能，服務器的可靠性和可用性將得到有效保證。 網管平臺(pngti)能夠247地監控(jin kn)服務器的CPU、硬盤、內存、網絡等資源的使用情況。實時系統警報功能，無論是硬件組件的預警，還是系統資源告急，都能在第一時間通知(tngzh)到管理員并采取及時的應對策略。主機安全維護管理制度一、主機相關(xinggun)人員安全管理辦公室應備案主機(zhj)安全管理員為加強公司涉密服務器及終端、存儲介質等相關設

19、備的保密管理工作，結合公司實際業務工作，制定本制度(zhd)。公司應指定政治可靠，具有責任心，作風正派，品行端正，無不良嗜好，精通計算機技術的人員擔任主機安全管理員，原則上至少配備兩人。為保障公司業務的連續性，設立了2名或以上主機安全管理員，即主機安全管理員A和主機安全管理員B，一般情況下由A管理服務器及終端、存儲介質等，若A不在時由B管理。本制度所稱計算機安全保密員是指管理涉密服務器及終端、存儲介質等相關設備（以下簡稱設備）的管理人員。主機安全管理員原則上應確定為重要涉密人員。 主機安全管理員的具體職責如下：負責為公司內的涉密服務器和辦公計算機安裝防護系統、審計系統、涉密移動存儲介質管理系統

20、和非法外聯監控系統，并正確設置安全保密策略。負責對服務器、安全防護設備的管理員用戶進行日常管理維護和使用登記；控制設備的訪問權限及端口，保證使用完畢后及時退出。負責公司內安全U盤、涉密移動硬盤的入庫和發放(ffng)，正確設置非法外聯監控報警信息。負責(fz)設置涉密便攜式計算機、涉密存儲介質外出攜帶的權限，并進行檢查登記。負責根據所制定的安全保密策略，完成涉密設備的風險(fngxin)評估報告。負責對發生重大變化的、出現違規操作的、保密檢查發現問題的設備重新進行風險評估，并調整安全保密策略。負責指導公司內涉密設備的配置和使用。負責監控公司網絡的安全狀況，并根據實際運營情況提出整改建議。嚴格按

21、照主機安全管理制度和機房安全管理制度做好設備的安全管理工作。安全產品管理二、機房管理 路由器、交換機和服務器以及通信設備是網絡的關鍵設備，須放置計算機機房內，不得自行配置或更換，更不能挪作它用。 計算機房要保持清潔、衛生，并由專人7*24負責管理和維護(包括溫度、濕度、電力系統、網絡設備等)，無關人員未經管理人員批準嚴禁進入機房。 嚴禁易燃易爆和強磁物品及其它與機房(j fn)工作無關的物品進入機房。 建立機房(j fn)登記制度，對本地局域網絡、廣域網的運行，建立檔案。未發生故障或故障隱患時當班人員不可對中繼、光纖、網線及各種設備進行任何調試，對所發生的故障、處理過程和結果等做好詳細登記。 網管人員應做好網絡安全工作，服務器的各種帳號嚴格保密。監控(jin kn)網絡上的數據流，從中檢測出攻擊的行為并給予響應和處理。 做好操作