操作系統(tǒng)安全保障措施

1、“操作系統(tǒng)安全保障措施集團(tuán)企業(yè)公司編碼：（LL3698-KKI1269-TM2483-LUI12689-ITT289-操 作 系 統(tǒng) 安 全 保 障 措 施 系統(tǒng)安全防護(hù)能力一.文件訪問(wèn)控制1 .所有辦公終端的命名應(yīng)符合公司計(jì)算機(jī)命名規(guī)范。2 .所有的辦公終端應(yīng)加入公司的域管理模式，正確是使用公司的各項(xiàng)資 源。3 .所有的辦公終端應(yīng)正確安裝防病毒系統(tǒng)，確保及時(shí)更新病毒碼。4 .所有的辦公終端應(yīng)及時(shí)安裝系統(tǒng)補(bǔ)丁，應(yīng)與公司發(fā)布的補(bǔ)丁保持一 致。5 .公司所有辦公終端的密碼不能為空，根據(jù)云南地方IT系統(tǒng)使用手 冊(cè)中的密碼規(guī)定嚴(yán)格執(zhí)行。6 .所有辦公終端不得私自裝配并使用可讀寫光驅(qū)、磁帶機(jī)、磁光盤機(jī)和

2、USB硬盤等外置存儲(chǔ)設(shè)備。7 .所有辦公終端不得私自轉(zhuǎn)借給他人使用，防止信息的泄密和數(shù)據(jù)破 壞。8 .所有移動(dòng)辦公終端在外出辦公時(shí)，不要使其處于無(wú)人看管狀態(tài)。9 .辦公終端不得私自安裝盜版軟件和與工作無(wú)關(guān)的軟件，不得私自安裝 掃描軟件或黑客攻擊工具。10 .未經(jīng)公司IT服務(wù)部門批準(zhǔn)，員工不得在公司使用modem進(jìn)行撥號(hào)上 網(wǎng)。11 .員工不允許向外面發(fā)送涉及公司秘密、機(jī)密和絕密的信息。二。用戶權(quán)限級(jí)別1 .各系統(tǒng)應(yīng)根據(jù)“最小授權(quán)”的原則設(shè)定賬戶訪問(wèn)權(quán)限，控制用戶僅能 夠訪問(wèn)到工作需要的信息。2 .從賬號(hào)管理的角度，應(yīng)進(jìn)行基于角色的訪問(wèn)控制權(quán)限的設(shè)定，即對(duì)系 統(tǒng)的訪問(wèn)控制權(quán)限是以角色或組為單位進(jìn)

3、行授予。3 .細(xì)分角色根據(jù)系統(tǒng)的特性和功能長(zhǎng)期存在，基本不隨人員和管理崗位 的變更而變更。4 . 一個(gè)用戶根據(jù)實(shí)際情況可以分配多個(gè)角色。5 .各系統(tǒng)應(yīng)該設(shè)置審計(jì)用戶的權(quán)限，審計(jì)用戶應(yīng)當(dāng)具備比較完整的讀權(quán) 限，審計(jì)用戶應(yīng)當(dāng)能夠讀取系統(tǒng)關(guān)鍵文件，檢查系統(tǒng)設(shè)置、系統(tǒng)口志等 信息。三.防病毒軟件/硬件1 .所有業(yè)務(wù)系統(tǒng)服務(wù)器、生產(chǎn)終端和辦公電腦都應(yīng)當(dāng)按照公司要求安裝 了相應(yīng)的病毒防護(hù)軟件或采用了相應(yīng)的病毒防護(hù)手段。2 .應(yīng)當(dāng)確保防止病毒軟件每天進(jìn)行病毒庫(kù)更新，設(shè)置防病毒軟件定期 （每周或沒(méi)月）對(duì)全部硬盤進(jìn)行病毒掃描。3 .如果自己無(wú)法對(duì)病毒防護(hù)措施的有效性進(jìn)行判斷，應(yīng)及時(shí)通知公司IT服務(wù)部門進(jìn)行解決。

4、4 .各系統(tǒng)防病毒系統(tǒng)應(yīng)遵循公司病毒防護(hù)系統(tǒng)整體規(guī)劃。5 .如果發(fā)現(xiàn)個(gè)人辦公終端感染病毒，應(yīng)首先拔掉網(wǎng)線，降低可能對(duì)公司 網(wǎng)絡(luò)造成的影響，然后進(jìn)行殺毒處理。6 .各系統(tǒng)管理員在生產(chǎn)和業(yè)務(wù)網(wǎng)絡(luò)發(fā)現(xiàn)病毒，應(yīng)立即進(jìn)行處理。操作口志記錄一、對(duì)各項(xiàng)操作均應(yīng)進(jìn)行口志記錄，內(nèi)容包括操作人、操作時(shí)間和操作 內(nèi)容等詳細(xì)信息。各級(jí)維護(hù)部門維護(hù)人員每口對(duì)操作日志、安全日志進(jìn) 行審查，對(duì)異常事件及時(shí)跟進(jìn)解決，并每周形成日志審查匯總意見報(bào)上 級(jí)維護(hù)主管部門審核。安全日志包括但不局限于以下內(nèi)容：1、對(duì)于應(yīng)用系統(tǒng)，包括系統(tǒng)管理員的所有系統(tǒng)操作記錄、所有的登錄訪 問(wèn)記錄、對(duì)敏感數(shù)據(jù)或關(guān)鍵數(shù)據(jù)有重大影響的系統(tǒng)操作記錄以及其他重

5、 要系統(tǒng)操作記錄的n志；2、對(duì)于操作系統(tǒng)，包括系統(tǒng)管理員的所有操作記錄、所有的登錄口志；3、對(duì)于數(shù)據(jù)庫(kù)系統(tǒng)，包括數(shù)據(jù)庫(kù)登錄、庫(kù)表結(jié)構(gòu)的變更記錄。二、系統(tǒng)的口常運(yùn)行維護(hù)由專人負(fù)責(zé)，定期進(jìn)行保養(yǎng)，并檢查系統(tǒng)運(yùn)行 日志。1 .對(duì)于應(yīng)用程序級(jí)別的備份有運(yùn)維部制定工程師做每周的備份，重大變 更前要整體做備份。2 .對(duì)于操作系統(tǒng)的日志備份通過(guò)定制計(jì)劃任務(wù)定期執(zhí)行，并有制定人員 檢查運(yùn)行情況，并登記在案。3 .對(duì)于數(shù)據(jù)庫(kù)系統(tǒng)的口志備份有DBA制定計(jì)劃任務(wù)定期執(zhí)行，并有DBA 人員檢查運(yùn)行情況，并登記在案。三、各級(jí)維護(hù)部門針對(duì)所維護(hù)系統(tǒng)，依據(jù)數(shù)據(jù)變動(dòng)的頻繁程度以及業(yè)務(wù) 數(shù)據(jù)重要性制定備份計(jì)劃，經(jīng)過(guò)上級(jí)維護(hù)主管

6、部門批準(zhǔn)后組織實(shí)施。四。備份數(shù)據(jù)包括系統(tǒng)軟件和數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、操作日志。五、重要系統(tǒng)的運(yùn)行日志定期異地備份。說(shuō)明：除在本地備份，每天晚上同步到異地機(jī)房。六、對(duì)系統(tǒng)的操作、使用進(jìn)行詳細(xì)記錄。七、各級(jí)維護(hù)部門按照備份計(jì)劃，對(duì)所維護(hù)系統(tǒng)進(jìn)行定期備份，原則上 對(duì)于在線系統(tǒng)應(yīng)實(shí)施每天一次的增量備份、每月一次的數(shù)據(jù)庫(kù)級(jí)備份以 及每季度一次的系統(tǒng)級(jí)備份。對(duì)于需實(shí)施變更的系統(tǒng)，在變更實(shí)施前后 均進(jìn)行數(shù)據(jù)備份，必要時(shí)進(jìn)行系統(tǒng)級(jí)備份。八、各級(jí)維護(hù)部門定期對(duì)備份口志進(jìn)行檢查，發(fā)現(xiàn)問(wèn)題及時(shí)整改補(bǔ)救。備份操作人員須檢查每次備份是否成功，并填寫備份工作匯總記 錄，對(duì)備份結(jié)果以及失敗的備份操作處理需進(jìn)行記錄、匯報(bào)及跟進(jìn)。九

7、、備份介質(zhì)由專人管理，與生產(chǎn)系統(tǒng)異地存放，并保證一定的環(huán)境條 件。除介質(zhì)保管人員外，其他人員未經(jīng)授權(quán)，不得進(jìn)入介質(zhì)存放地點(diǎn)。 介質(zhì)保管應(yīng)建立檔案，對(duì)于介質(zhì)出入庫(kù)進(jìn)行詳細(xì)記錄。對(duì)于承載備份數(shù) 據(jù)的備份介質(zhì)，確保在其安全使用期限內(nèi)使用。對(duì)于需長(zhǎng)期保存數(shù)據(jù)， 考慮通過(guò)光盤等方式進(jìn)行保存。對(duì)于有安全使用期限限制的存儲(chǔ)介質(zhì)， 在安全使用期限內(nèi)更換，確保數(shù)據(jù)存儲(chǔ)安全。十、對(duì)網(wǎng)站的運(yùn)行情況做到每口一統(tǒng)計(jì)，每周一報(bào)告。十一、各級(jí)維護(hù)部門按照本級(jí)維護(hù)工作相關(guān)要求，根據(jù)業(yè)務(wù)數(shù)據(jù)的性 質(zhì)，確定備份數(shù)據(jù)保存期限，根據(jù)備份介質(zhì)使用壽命至少每年進(jìn)行一次 恢復(fù)性測(cè)試，并記錄測(cè)試結(jié)果。十二、信息技術(shù)部負(fù)責(zé)人制定相應(yīng)的備份日志

8、審查計(jì)劃，包括由于業(yè)務(wù) 需求發(fā)起的備份口志審查以及口志文件的格式時(shí)間的內(nèi)容審查。計(jì)劃中 遵循數(shù)據(jù)重要性等級(jí)分類，保證按照優(yōu)先級(jí)對(duì)備份日志審查。十三、需要備份口志審查數(shù)據(jù)時(shí)，需求部門應(yīng)填寫備份日志審查 表，內(nèi)容包括數(shù)據(jù)內(nèi)容、備份時(shí)間、數(shù)據(jù)來(lái)源、操作系統(tǒng)時(shí)間等，由 需求部門以及信息技術(shù)部門相關(guān)負(fù)責(zé)人審批。十四、備份管理員按照備份恢復(fù)計(jì)劃制定詳細(xì)的備份恢復(fù)操作手冊(cè)，手 冊(cè)包含備份恢復(fù)的操作步驟、恢復(fù)前的準(zhǔn)備工作、恢復(fù)失敗的處理方法 和跟進(jìn)步驟、驗(yàn)收標(biāo)準(zhǔn)等。備份功能1 .各系統(tǒng)管理員對(duì)本系統(tǒng)的設(shè)備、系統(tǒng)等IT資產(chǎn)的配置進(jìn)行記錄，并備 份配置記錄信息。2 .各系統(tǒng)在發(fā)生變更操作時(shí)，根據(jù)地方信息安全管理流

9、程-安全配置變 更管理流程進(jìn)行審批、測(cè)試。3 .各系統(tǒng)執(zhí)行變更操作前:要對(duì)變更操作進(jìn)行測(cè)試；確定無(wú)不利影響 后，提交系統(tǒng)測(cè)試結(jié)果、系統(tǒng)配置變更實(shí)施方案和回退方案，由本部門 三級(jí)經(jīng)理和公司相關(guān)主管部門提出配置變更申請(qǐng)。4 .申請(qǐng)審批通過(guò)后，才可以進(jìn)行配置變更操作；進(jìn)行配置變更操作前， 需要對(duì)變更設(shè)備進(jìn)行配置備份。5 .各系統(tǒng)管理員對(duì)變更操作的具體步驟進(jìn)行記錄并保存。6 .各系統(tǒng)管理員進(jìn)行配置變更操作后，將變更后的配置信息進(jìn)行記錄。7 .各系統(tǒng)發(fā)生配置變更后，在公司信息安全小組進(jìn)行備案。專人定時(shí)負(fù)責(zé)軟件升級(jí)和補(bǔ)丁已配備專人負(fù)責(zé)進(jìn)行軟件升級(jí)，查看最新的系統(tǒng)安全公告，隨時(shí)為系統(tǒng) 打補(bǔ)?。ㄏ到y(tǒng)補(bǔ)丁公布之

10、后，會(huì)在1周之內(nèi)完成升級(jí)工作）等工作。弱口令管理1 .系統(tǒng)管理員對(duì)系統(tǒng)帳號(hào)使用情況進(jìn)行統(tǒng)一管理，并對(duì)每個(gè)帳號(hào)的使用 者信息、帳號(hào)權(quán)限、使用期限進(jìn)行記錄。2 .禁止隨意使用系統(tǒng)默認(rèn)賬號(hào)，系統(tǒng)管理員為每一個(gè)系統(tǒng)用戶設(shè)置一個(gè) 帳號(hào)，堅(jiān)決杜絕系統(tǒng)內(nèi)部存在共享帳號(hào)。3 .各系統(tǒng)管理員對(duì)系統(tǒng)中存在的賬號(hào)進(jìn)行定期檢查，確保系統(tǒng)中不存在 無(wú)用或匿名賬號(hào)。4 .部門信息安全組定期檢查各系統(tǒng)帳號(hào)管理情況，內(nèi)容應(yīng)包含如下兒個(gè) 方面：（1）員工離職或帳號(hào)已經(jīng)過(guò)期，相應(yīng)的帳號(hào)在系統(tǒng)中仍然存在上；（2）用戶是否被授予了與其工作職責(zé)不相符的系統(tǒng)訪問(wèn)權(quán)限；（3）帳號(hào)使用情況是否和系統(tǒng)管理員備案的用戶賬號(hào)權(quán)限情況一致；（4）是否存在非法賬號(hào)或者長(zhǎng)期未使用賬號(hào)；（5）是否存在弱口令賬號(hào)。5 .各系統(tǒng)具有系統(tǒng)安全日志功能，能夠記錄系統(tǒng)帳號(hào)的