XXX 单位系统安全管理制度V1.020XX 年 XX 月 XX 日目录1目的........................................................................................................................12适用范围................................................................................................................13管理内容和办法.....................................................................................................13.1 操作系统安全管理......................................................................................13.2 数据库系统安全管理..................................................................................23.3 系统上线前的安全检查..............................................................................33.4 系统补丁安全管理......................................................................................33.5 漏洞发现与安全通告要求..........................................................................33.6 测试与安装前准备要求..............................................................................43.7 信息安全等级保护......................................................................................54附则........................................................................................................................51目的为规范系统的管理和运行维护,提高服务质量,保障信息系统安全、稳定运行,特制定本制度。2适用范围本制度适用于 XXX 单位系统安全管理和运行工作。3管理内容和办法3.1操作系统安全管理1)身份鉴别应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证系统中不存在重复用户身份标识,身份鉴别信息不易被冒用。应更改默认的系统管理员帐号和口令,管理员帐号应采用实名制。应启用控制台锁定功能,屏幕保护程序在恢复控制台显示之前,应要求用户名和口令认证。应对操作系统文件、目录的访问权限进行控制。应提供登录失败处理功能,并且采取结束会话、限制非法登录次数和自动退出等措施。禁止从互联网远程登录服务器,内部网络登录服务器应该限制其登录源IP 或 MAC 地址以及用户捆绑。2)只启用系统需要发挥作用的服务,并开启其端口,限制或关闭不需要的服务或端口。3)关键业务信息系统要定期进行漏洞检查,并确定是否需要进行安全加固,必须定期更新操作系统防病毒软件特征库,并做好记录。4) Windows 操作系统应进行注册表安全检查(如:禁止在任何驱动器上自动运行任何程序,用星号掩藏任何口令输入等)。 1 / 755)应开启访问、认证、授权的安全审计策略;启用日志审计功能。6)时钟同步设置,XX 单位内所有等保二、三级的信息系统及相关的重要网络设备的时钟应使用已设的精确时间源进行同步。3.2数据库系统安全管理1)数据库环境安全数据库服务器应当置于单独的服务器区域,任何对这些数据库服务器的物理访问均应受到控制。数据库服务器所在的服务器区域边界应部署防火墙或其它逻辑隔离设施。数据库系统的宿主操作系统除提供数据库服务外,不得提供其它网络服务,如:WWW、FTP、DNS 等。应在宿主操作系统中设置本地数据库专用帐号,并赋予该账户除运行各种数据库服务外的最低权限。应对数据库系统安装目录及相应文件访问权限进行控制,如:禁止除专用账户外的其它账户修改、删除、创建子目录或文件。2)数据库系统安装、启动与更新应注意生产数据库系统应与开发数据库系统物理分离,确保没有安装未使用的数据库系统组件或模块。仅开启必须的数据库系统服务。经过测试,在确保数据库系统稳定运行的前提下,安装最新补丁。数据库系统管理员应定期检查数据库系统完整性。3)数据库对象安全应更改默认数据系统管理员帐号和口令。应对数据文件访问权限进行控制,如:禁止除专用账户外的其它账户访问、修改、删除数据文件。删除不需要的示...
