1、編號： ISMS-L2-023商密三級XX信息安全管理體系文檔XX系統安全管理制度編號： ISMS-L2-003XX二一六年十月文檔密級：商密三級B版本控制信息版本日期擬稿和修改說明A初版發行本文檔中的所有內容為XX有限公司的機密和專屬所有。未經XX有限公司的明確書面許可，任何組織或個人不得以任何目的、任何形式及任何手段復制或傳播本文檔部分或全部內容。目 錄目 錄B第一章總則1第二章 網絡建設1第三章 網絡管理1第四章 網絡安全2第五章 附則31. 管理規定1.1. 安全管理范圍本管理制度主要涉及服務器的操作系統安全、數據庫安全以及應用系統安全。1.2. 系統安全管理過程（1） 系統日常安全管

2、理由系統管理員負責，系統管理員包括操作系統管理員、數據庫管理員、應用系統管理員。1) 操作系統管理員負責管理服務器的操作系統、中間件。2) 數據庫管理員負責管理數據庫。3) 應用系統管理員負責Web應用、業務系統。（2） 服務器的操作系統、數據庫以及應用系統的初始配置分別由操作系統管理員、數據庫管理員、應用系統管理員或系統集成商根據業務需求分析、系統安全分析以及管理制度規定完成并填寫系統配置表，報技術部負責人審核批準后，進行系統參數配置。（3） 系統安全日常管理分別由操作系統管理員、數據庫管理員、應用系統管理員執行，內容包括系統的日常巡檢、配置維護、解決系統故障等。1) 系統管理員對操作系統、

3、應用軟件、數據庫的運行情況每周進行一次例行檢查，并填寫系統安全巡檢登記表。u 操作系統管理員定期檢查運行狀態、操作系統日志、存儲空間等操作系統配置情況，分析是否有異常用戶行為。u 數據庫管理員定期檢查運行狀態、數據庫日志、存儲空間、數據庫配置情況，分析是否有異常用戶行為。u 應用系統管理員定期檢查運行狀態、應用系統日志、存儲空間、應用系統配置情況，分析是否有異常用戶行為。2) 操作系統管理員負責每月檢查或下載操作系統升級包，應用管理員負責每月檢查或下載應用軟件升級包，數據庫管理員負責每月檢查或下載數據庫升級包，操作系統管理員負責定期檢查或下載殺毒軟件升級包，并及時進行補丁升級，升級前需對升級包

4、進行殺毒處理，應用系統、操作系統、數據庫系統升級前須獲得應用系統開發商確認并首先在測試環境中測試通過。在升級前需對重要文件進行備份。3) 在網絡管理員協助下系統管理員每年對服務器進行漏洞掃描，對發現的網絡系統安全漏洞由系統管理員進行及時的修補。4) 操作系統管理員每月對服務器進行全盤殺毒，應由管理員進行手動選擇病毒處理方式，病毒查殺結果需及時備份，并及時將備份介質交資料管理員保管。應定期檢查信息系統內各種產品的惡意代碼庫的升級情況并進行記錄，對發現的惡意代碼進行及時分析處理，并填寫系統攔截病毒報表。5) 系統管理員依據業務需求分析、系統安全分析以及管理制度規定對系統的配置每年至少維護一次，并填

5、寫系統安全巡檢登記表，如需要進行系統配置修改填寫系統修改記錄，報技術部負責人批準后進行配置。6) 系統管理員應做好備份工作，按照備份與恢復管理制度中細則執行。7) 系統管理在日常巡檢、或解決系統故障過程中發現任何異常均應及時進行分析并記錄，按照信息安全事件管理制度，采取必要的應對措施，形成信息安全事件記錄。1.3. 日常管理規定（1） 任何人員嚴禁掃描或猜測系統管理口令。（2） 便攜式和移動式設備不能擅自接入內部重要安全區域，如接入后需訪問應用系統，需經主管領導審批后，由系統管理員授予相關權限。接入結束后及時通知系統管理員及時收回相關授權。（3） 各系統的賬號、口令、權限等直接由系統管理員負責

6、維護，系統管理員不得擅自將賬號信息等告知不相關人員。（4） 系統管理員對于主要系統的設置、修改應當做好登記、備案工作。（5） 嚴禁廠家通過技術手段對已投入運行的系統進行遙控和遠程維護。已經投入運行的系統數據未經批準嚴禁向廠家或第三方提供。 （6） 各種系統設計及配置相關資料要注意妥善保存，任何非相關人員查看需經審批，否則一律拒絕提供。（7） 嚴格遵守通信紀律，增強保密意識，保守通信機密，不能向無關人員泄露信息系統的結構、容量、配置等技術資料。1.4. 管理制度1.4.1. 操作系統安全（1） 應使用成熟、正版的操作系統（2） 在首次使用操作系統時，應對操作系統進行配置管理、網絡訪問控制、口令管

7、理控制以及屏幕加鎖控制（3） 系統安裝應遵循最少化安裝原則，只安裝必需的組件。（4） 在系統安裝后應檢查系統默認賬戶。刪除非必須的默認賬戶。保留的默認賬戶應修改默認密碼。（5） 賬戶權限授予依據最小化原則，僅授予賬戶所需的最小權限。（6） 應設置超時鎖定功能。（7） 對于易受攻擊的重要服務器應安裝防病毒軟件，并定期更新病毒庫。（8） 對于新安裝系統應及時記錄服務器相關信息。在相關信息修改后應及時修改服務器基礎信息，并填寫系統配置表（操作系統）（9） 重要系統賬戶密碼定期修改，密碼設置應符合密碼管理制度。（10） 應及時刪除多余、過期的賬戶。（11） 對于賬戶名稱、權限更改應及時更新操作系統權限

8、分配清單，以及記錄操作系統賬戶權限修改記錄。填寫系統修改記錄。（12） 應及時安裝系統和應用系統的補丁包，定期檢查賬戶和審計文件。（13） 對于重要系統的服務器，監視其CPU、硬盤、內存、網絡、IO等資源的使用情況。（14） 服務器上不應長期存儲臨時文件。應確保系統內的文件、目錄和數據庫記錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前得到完全清除。（15） 重要系統應開啟系統審計功能。記錄系統登錄日期、時間、類型等相關信息。審計信息不應被隨意刪除或修改。在審計信息被刪除前應存檔保存至少3年。1.4.2. 數據庫安全（1） 應使用成熟、正版的數據庫系統軟件。（2） 數據庫安裝應遵循最少化安

9、裝原則，只安裝必需的組件。（3） 對于新安裝數據庫應及時記錄數據庫配置信息。在相關信息修改后應及時修改相關的配置信息，并填寫系統配置表（數據庫）。（4） 在數據庫安裝后應檢查數據庫默認賬戶。刪除非必須的默認賬戶。保留的默認賬戶應修改默認密碼。（5） 賬戶權限授予依據最小化原則，僅授予賬戶所需的最小權限。（6） 對系統新增加用戶應嚴格控制。對于應用用戶應只授予connect，resource權限。超出此范圍的權限應單獨申請，并提出明確原因。不允許對應用程序用戶賦予DBA權限。詳細內容見系統修改記錄（7） 對于新安裝數據庫系統應及時記錄數據庫相關信息。在相關信息修改后應及時修改數據庫基礎信息。詳細

10、內容見數據庫檔案（8） 數據庫用戶密碼定期修改，密碼設置應符合密碼管理制度。（9） 應及時刪除多余、過期的用戶。（10） 對于用戶名稱、權限更改應填寫數據庫用戶更改申請并及時更新數據庫檔案。（11） 對于重要系統開啟數據庫審計功能，對以系統權限登錄數據庫以及其他敏感信息執行審計功能。審計成功以及未成功操作。審計信息不應被隨意刪除或修改。在審計信息被刪除前應存檔保存至少3年。（12） 重要數據庫應根據需要定期備份，詳細內容見備份與恢復管理制度。1.4.3. 應用系統安全（1） 系統應具備輸入數據的確認功能，以確保輸入數據的正確性和適用性。（2） 重要系統應有專門的登錄控制模塊對登錄用戶進行身份標識和鑒別。（3） 對于新安裝應用系統應及時記錄應用系統配置信息。在相關信息修改后應及時修改相關的配置信息，并填寫系統配置表（應用系統）。（4） 重要系統應提供登錄失敗處理功能，限制非法登錄次數。采取結束會話或自動退出等措施。（5） 重要系統用戶登錄密碼設置應符合密碼管理制度。（6） 應具有訪問控制功能，用戶僅能訪問其必須的數據、文件。（7） 嚴格控制系統中的默認賬戶。默認賬戶密碼可以更改，在系統正式上線后修改所有默認賬戶的密碼。（8） 用戶權限授予最小化原則。僅授予其完成承擔任務所需的最小權限。（9） 重要系統安全事件進行審計。審計自動與應用同時啟動，審計信息不能隨意刪除。刪