XXX單位系統安全管理制度V1.020XX年XX月XX日目錄TOC\o"1-5"\h\z\o"CurrentDocument"1目的3\o"CurrentDocument"2適用范圍33管理內容和辦法3操作系統安全管理3\o"CurrentDocument"數據庫系統安全管理4\o"CurrentDocument"系統上線前的安全檢查5\o"CurrentDocument"系統補丁安全管理5\o"CurrentDocument"漏洞發現與安全通告要求5\o"CurrentDocument"測試與安裝前準備要求6\o"CurrentDocument"信息安全等級保護6\o"CurrentDocument"4附則71目的為規范系統的管理和運行維護，提高服務質量，保障信息系統安全、穩定運行，特制定本制度。2適用范圍本制度適用于XXX單位系統安全管理和運行工作。3管理內容和辦法操作系統安全管理1）身份鑒別應提供用戶身份標識唯一和鑒別信息復雜度檢查功能，保證系統中不存在重復用戶身份標識，身份鑒別信息不易被冒用。應更改默認的系統管理員帳號和口令，管理員帳號應采用實名制。應啟用控制臺鎖定功能，屏幕保護程序在恢復控制臺顯示之前，應要求用戶名和口令認證。應對操作系統文件、目錄的訪問權限進行控制。應提供登錄失敗處理功能，并且采取結束會話、限制非法登錄次數和自動退出等措施。禁止從互聯網遠程登錄服務器，內部網絡登錄服務器應該限制其登錄源IP或MAC地址以及用戶捆綁。2）只啟用系統需要發揮作用的服務，并開啟其端口，限制或關閉不需要的服務或端口。3）關鍵業務信息系統要定期進行漏洞檢查，并確定是否需要進行安全加固，必須定期更新操作系統防病毒軟件特征庫，并做好記錄。Windows操作系統應進行注冊表安全檢查（如：禁止在任何驅動器上自動運行任何程序，用星號掩藏任何口令輸入等）。5）應開啟訪問、認證、授權的安全審計策略；啟用日志審計功能。6）時鐘同步設置，XX單位內所有等保二、三級的信息系統及相關的重要網絡設備的時鐘應使用已設的精確時間源進行同步。數據庫系統安全管理1）數據庫環境安全數據庫服務器應當置于單獨的服務器區域，任何對這些數據庫服務器的物理訪問均應受到控制。數據庫服務器所在的服務器區域邊界應部署防火墻或其它邏輯隔離設施。數據庫系統的宿主操作系統除提供數據庫服務外，不得提供其它網絡服務，如：WWW、FTP、DNS等。應在宿主操作系統中設置本地數據庫專用帳號，并賦予該賬戶除運行各種數據庫服務外的最低權限。應對數據庫系統安裝目錄及相應文件訪問權限進行控制，如：禁止除專用賬戶外的其它賬戶修改、刪除、創建子目錄或文件。2）數據庫系統安裝、啟動與更新應注意生產數據庫系統應與開發數據庫系統物理分離，確保沒有安裝未使用的數據庫系統組件或模塊。僅開啟必須的數據庫系統服務。經過測試，在確保數據庫系統穩定運行的前提下，安裝最新補丁。數據庫系統管理員應定期檢查數據庫系統完整性。3）數據庫對象安全應更改默認數據系統管理員帳號和口令。應對數據文件訪問權限進行控制，如：禁止除專用賬戶外的其它賬戶訪問、修改、刪除數據文件。刪除不需要的示例數據庫，在允許存在的示例數據庫中嚴格控制數據庫賬戶的權限。具體數據庫權限管理要求參見532章節部分。應注意刪除或禁用不需要的數據庫存儲過程。對于數據庫中的敏感字段，如：口令等，應加密保存。應啟用數據庫日志審計功能。定期對數據庫配置參數進行備份，數據庫數據備份、恢復管理。系統上線前的安全檢查系統在上線前應進行安全檢查，檢查至少包括以下內容：1）認證口令存儲是否加密。2）是否具有登錄認證失敗后的處理方式。3）是否對不同用戶的訪問權限進行嚴格的訪問控制，特定權限的用戶只能看到和使用特定的界面及相應的功能。4）系統是否存在安全漏洞。5）日志記錄內容是否滿足審計要求，日志保存時間是否在兩個月以上。6）是否設置了時鐘同步。系統補丁安全管理1）系統軟件管理范圍包括服務器上運行的操作系統和應用軟件，網絡及安全設備上運行的操作系統等。2）安全補丁根據其對應漏洞的嚴重程度分為三個級別：緊急補丁、重要補丁和一般補丁；緊急補丁必須在15天內完成安裝，重要補丁必須在一個月內完成安裝，一般補丁要求六個月內完成安裝。特殊情況另外處理。3）本局范圍內同類型設備應保持裝載軟件版本，補丁的一致性。4）做好應用軟件版本及安全補丁的歸檔管理，以備回滾或系統重裝時使用，并建立相關的文檔資料收集和整理工作。漏洞發現與安全通告要求1）信息中心及時收集系統軟件存在的漏洞，及時發布預警工作。2）應定期進行漏洞掃描，對發現的安全漏洞進行及時的修補。3）安全管理員通過郵件形式統一向各級系統管理員、系統維護人員通告安全補丁信息。4）安全管理員負責對安全補丁進行完整性校驗，確保獲取的安全補丁軟件未被修改和可用。測試與安裝前準備要求1）補丁安裝之前應經過嚴格的測試，不應未經測試直接在現有系統上安裝補丁。2）應用軟件版本升級測試盡可能由系統集成商負責實施，業務系統管理員負責協調，應對補丁的現場測試限定測試時間，測試完成后需要編寫詳細的測試報告,給出明確的測試結論。補丁測試的內容包括補丁安裝測試、補丁功能性測試、補丁兼容性測試和補丁回退測試。3）服務器的補丁安裝，盡可能在其他備用設備上進行測試。4）安全測試主要測試補丁安裝過程是否正確無誤，補丁安裝后系統是否正常啟動；5）補丁功能性測試主要測試補丁是否對安全漏洞進行了修補；6）補丁兼容性測試主要測試補丁加載后是否對應用系統帶來影響，業務是否可以正常運行；7）補丁回退測試主要包括補丁卸載測試、系統還原測試。8）各業務系統管理員應把補丁的測試報告，提交給安全管理員，并提交信息中心負責人進行審核，審核通過后方可進行補丁安裝。9）為確保系統集成商及時配合補丁的測試和安裝工作，需要通過合同的方式，明確集成商的安全補丁測試和安裝責任，約束條款至少應包括：實驗室測試環境的搭建，在規定時間內完成補丁測試，補丁的安裝，補丁安裝失敗時的測試與分析，補丁與應用沖突時的系統改造和升級工作。10）補丁安裝的觸發條件是安全檢查，巡檢發現，功能需求，主動漏洞掃描等。補丁應經測試并得到信息安全工作組審核通過，由負責業務組在ITSM服務系統上發起事件申請，并提交實施方案，測試工作具體由涉及相關業務組測試或協助測試。信息安全等級保護1）系統定級及審批xx單位本部、直屬中心機構及其直屬單位應依據國家頒布的《信息安全等級保護管理辦法》對信息系統安全進行定級。安全保護等級為第二級及以上的系統，應當在系統投入運行后30日內辦理備案手續。信息安全等級保護應遵循“自主定級、自主保護”原則，各直屬單位三級及以上信息系統，報XX單位審核批準后，到所在地的公安機關辦理備案手續；XX單位本部三級及以上信息系統向廣東省公安廳備案。2）信息系統等級測評等級測評工作應由具有國家相關技術資質和安全資質的測評單位承擔。對于新建、改建、擴建的二級及以上信息系統，應該依照相關規定，經測評機構測評合格方可投入使用，安全測評