文档介绍:系统安全管理办法版本编号修订日期主要修订摘要修订记录审核人员属于部门审核日期审核记录第一章总则第一条为规范公司系统的技术管理和维护工作,确保系统安全运转和系统运行管理的及时、高效,规系统操作,加强内部控制,最大程度地防范技术操作风险,特制定本管理办法。第二条本管理办法适用于公司信息屮心对信息系统的安全管理。第二章系统安全管理第三条禁用不必要的服务,尽量将系统屮不用的服务、尤其是一些暂时不用的网络服务关闭,从而使系统遭受攻击的可能性降至最低。第四条 系统遵循最小权限原则,系统只能授予应用程序和用户必要的权限,而不能授予额外的权限。第五条服务器需安装软件防火墙,由公司信息中心统一部署,病毒库统一升级。第六条对于重要的数据进行加密。第七条安全性能评估,对于安全产品应选用经过国内、国外权威第三方认证的安全产品,系统管理员应随吋保持警惕以预防攻击爭件的发生或者将攻击的危害降至最低。第八条 对系统漏洞情况每年至少进行一次扫描,对漏洞风险持续跟踪,在经过充分的验证测试后对必要的漏洞开展修补工作,实施***或漏洞修补前,对可能的风险进行评估和充分准备,选择恰当吋间,并做好数据备份和回退方案,***或漏洞修补后应进行验证测试,以保证系统的正常运行,扫描后记录扫描情况,填写《系统安全扫描情况记录表》(附录1)。第九条 持续跟踪厂商提供的系统升级更新情况,应在经过充分的测试评估后对必要的补丁进行及时更新,填写《系统与网络设备补丁分析评估表》(附录2),在安装系统补丁前对现有的重要文件进行备份,并对备份情况和系统升级情况进行记录,填写《系统及网络设备升级记录表》(附录3)。第十条 至少每月对运行日志和审计数据进行分析0第三章系统访问控制要求第十一条用户或者应用程序访问系统资源时要求系统管理员通过设置必要的选项完成以下功能:提供适当的身份验证方法。识别和验证身份。记录成功和失败的系统访问(日志信息)。根据情况限制用户连接时间。第十二条登录程序应最大限度地减少公开的信息,以避免非法用户使用。登录程序应:在登录过程未成功Z前禁止显示系统或应用的标识。显示一般性注意事项。提醒用户只有合法用户才能访问计算机。登录期间禁止提供帮助消息。只有所有输入数据完成后才能验证登录信息。应限制允许登录的失败次数为3次。限制登录程序允许的时间上限和下限。如杲超过限制,则系统必须终止登录过程。成功登录后,宜显示以下信息:1) 以前成功登录的日期和时间。2) 上次成功登录以来登录失败的详细情况。第十三条登录超时要求当系统超时未激活时,应能够自动锁住系统,防止非法访问,但不宜关闭应用或网络会话。超时的时间设置取决于连接系统的重要程度、终端风险暴露程度以及终端上信息的业务价值。第四章用户账号安全第十四条用户身份识别和验证信息系统所有用户都应拥有个人专用的唯一标识符(用户ID)以便操作能够追溯到具体责任人。但是在认证和授权体系没有建立之前,特定操作系统内所有的用户必须有一个唯一的ID,并且该ID名称不能让人猜测到该用户的权限级别,如管理员、主管等。对于每一个申请使用系统的用户,应要求填写《系统账号申请表》(附录4),并在表格中包含公司的密码安全政策规范,明确违反该规范的后果和责任,同时要求用户签名以产生法律效力,并在《系统账户登记表》进行登记。对于用户身份的验证,宜采用多种身份验证程序来加以证实。口令是一