WebSphere系统加固规范
2013年3月
目录
1账号管理、认证授权 (1)
1.1账号 (1)
1.1.1SHG-WebSphere-01-01-01 (1)
1.1.2SHG-WebSphere-01-01-02 (3)
1.2认证授权 (5)
1.2.1SHG-WebSphere-01-02-01 (5)
1.2.2SHG-WebSphere-01-02-02 (6)
1.2.3SHG-WebSphere-01-02-03 (8)
2日志配置 (9)
2.1.1SHG-WebSphere-02-01-01 (9)
3通信协议 (11)
3.1.1SHG-WebSphere-03-01-01 (11)
4设备其他安全要求 (13)
4.1安装部署 (13)
4.1.1SHG-WebSphere-04-01-01 (13)
4.1.2SHG-WebSphere-04-01-02 (14)
4.1.3SHG-WebSphere-04-01-03 (15)
4.1.4SHG-WebSphere-04-01-04 (16)
4.1.5SHG-WebSphere-04-01-05 (17)
4.1.6SHG-WebSphere-04-01-06 (18)
4.1.7SHG-WebSphere-04-01-07 (19)
4.1.8SHG-WebSphere-04-01-08 (20)
4.1.9SHG-WebSphere-04-01-09 (22)
4.2运行维护 (23)
4.2.1SHG-WebSphere-04-02-01 (23)
4.2.2SHG-WebSphere-04-02-02 (28)
4.2.3SHG-WebSphere-04-02-03 (29)
4.3备份容错 (30)
4.3.1SHG-WebSphere-04-03-01 (30)
5附录:系统开放端口及对应服务说明 (31)
1账号管理、认证授权1.1账号
1.1.1S H G-W e b S p h e r e-01-01-01
回复用户角色到加固前状态
以管理员身份打开管理控制台,执行:
5.点击“应用程序”-->”企业应用程序”
6.双击要查看的应用程序
中
★★★
1.1.2S H G-W e b S p h e r e-01-01-02
删除EVERYONE组将ALL_AUTHENTICATED组角色仅设为”
控制台命名读”
与应用程序开发人员确认命名服务权限修改对应用程序的影响,
一般来说,除非J2EE应用程序明确指定了它的命名空间访问
需求,否则更改缺省策略可能会导致在运行时发生意外的
org.omg.CORBA.NO_PERMISSION 异常
5. 删除EVERYONE组
6. 将ALL_AUTHENTICATED组角色仅设为”控制台命名读”
以管理员身份打开管理控制台,执行:
5.点击“环境”-->命名-->CORBA 命名服务用户
6.查看服务用户
1.2认证授权
1.2.1S H G-W e b S p h e r e-01-02-01
1.2.2S H G-W e b S p h e r e-01-02-02
3. 分配用户角色为monitor(监控员)、Configurator(配置员)、Operator(操作员)Administrator(管理员)之一
使用管理角色分配给用户合适的管理权限
1.2.3S H G-W e b S p h e r e-01-02-03
2日志配置
2.1.1S H G-W e b S p h e r e-02-01-01
3通信协议
3.1.1S H G-W e b S p h e r e-03-01-01
回复加固前状态
4设备其他安全要求4.1安装部署
4.1.1S H G-W e b S p h e r e-04-01-01
4.1.2S H G-W e b S p h e r e-04-01-02
4.1.3S H G-W e b S p h e r e-04-01-03
4.1.4S H G-W e b S p h e r e-04-01-04
4.1.5S H G-W e b S p h e r e-04-01-05
4.1.6S H G-W e b S p h e r e-04-01-06
甘肃海丰信息科技有限公司Windows系统安全加固技术指导书 ◆版 本◆密级【绝密】 ◆发布甘肃海丰科技◆编号GSHF-0005-OPM- ?2006-2020 HIGHFLYER INFORMATION TECHNOLOGY ,INC.
目录 文档信息................................................................. 错误!未定义书签。前言.................................................................... 错误!未定义书签。 一、编制说明............................................................ 错误!未定义书签。 二、参照标准文件........................................................ 错误!未定义书签。 三、加固原则............................................................ 错误!未定义书签。 1.业务主导原则..................................................... 错误!未定义书签。 2.业务影响最小化原则............................................... 错误!未定义书签。 3.实施风险控制..................................................... 错误!未定义书签。 (一)主机系统............................................................. 错误!未定义书签。 (二)数据库或其他应用 ..................................................... 错误!未定义书签。 4.保护重点......................................................... 错误!未定义书签。 5.灵活实施......................................................... 错误!未定义书签。 6.周期性的安全评估................................................. 错误!未定义书签。 四、安全加固流程........................................................ 错误!未定义书签。 1.主机分析安全加固................................................. 错误!未定义书签。 2.业务系统安全加固................................................. 错误!未定义书签。 五、W INDOWS 2003操作系统加固指南......................................... 错误!未定义书签。 1.系统信息......................................................... 错误!未定义书签。 2.补丁管理......................................................... 错误!未定义书签。 (一)补丁安装............................................................. 错误!未定义书签。 3.账号口令......................................................... 错误!未定义书签。 (一)优化账号............................................................. 错误!未定义书签。 (二)口令策略............................................................. 错误!未定义书签。 4.网络服务......................................................... 错误!未定义书签。 (三)优化服务............................................................. 错误!未定义书签。 (四)关闭共享............................................................. 错误!未定义书签。 (五)网络限制............................................................. 错误!未定义书签。
企业信息管理系统管理办法 第一章总则 第一条为保证公司信息系统的安全性、可靠性,确保数据的完整性和准确性,防止计算机网络失密、泄密时间发生,制定本办法。 第二条公司信息系统的安全与管理,由公司信息部负责。 第三条本办法适用于公司各部门。 第二章信息部安全职责 第四条信息部负责公司信息系统及业务数据的安全管理。明确信息部主要安全职责如下: (一)负责业务软件系统数据库的正常运行与业务软件软件的安全运行; (二)负责银行卡刷卡系统服务器的安全运行与终端刷卡器的正常使用; (三)保证业务软件进销调存数据的准确获取与运用; (四)负责公司办公网络与通信的正常运行与安全维护; (五)负责公司杀毒软件的安装与应用维护; (六)负责公司财务软件与协同办公系统的维护。 第五条及时向总经理汇报信息安全事件、事故。 第三章信息部安全管理内容 第六条信息部负责管理公司各计算机管理员用户名与密码,不得外泄。
第七条定期监测检查各计算机运行情况,如业务软件系统数据库出现异常情况,首先做好系统日志,并及时向总经理汇报,提出应急解决方案。 第八条信息部在做系统需求更新测试时,需先进入备份数据库中测试成功后,方可对正式系统进行更新操作。 第九条业务软件系统是公司数据信息的核心部位,也是各项数据的最原始存储位置,信息部必须做好设备的监测与记录工作,如遇异常及时汇报。 第十条信息部负责收银机的安装与调试维护,收银网络的规划与实施。 第十一条信息部负责公司办公网络与收银机(POS)IP地址的规划、分配和管理工作。包括IP地址的规划、备案、分配、IP地址和网卡地址的绑定、IP地址的监管和网络故障监测等。个人不得擅自更改或者盗用IP地址。 第十二条公司IP地址的设置均采用固定IP分配方式,外来人员的电脑需要在信息部主管领导的批准下分配IP进行办公。 第十三条用户发现有人未经同意擅自盗用、挪用他人或本人的IP地址,应及时向信息部报告。 第十四条信息部负责公司办公网络与通信网络的规划与实施,任何个人或部门不得擅自挪动或关闭部门内存放的信息设备。 第十五条办公电脑安全操作管理
信息工作管理制度 第一章总则 第一条为了加强信息管理,规范信息安全操作行为,提高信息安全保障能力和水平,维护信息安全,促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等规定,以《环境信息网络管理维护规范》(环保部制定)等标准为基本管理操作准则,制订本管理制度。 第二条本制度适用范围为信息与监控中心,其他单位可参照执行。 第二章岗位管理 第三条业务信息工作人员(包括监控与信息中心技术人员及机关业务系统管理人员)、机房运维人员(包括外包机构人员),应遵循《环境信息网络管理维护规范》等规定。 第四条机房运维人员根据运维合同规定由机房管理部门对其实行管理。 第五条信息工作人员岗位设置为系统管理员、业务管理员、网络管理员、安全管理员、安全审计员。 人员岗位及职责 (一)系统管理员 系统管理员是从事服务器及存储设备运行管理的人
员,业务上应具备熟练掌握操作系统、熟练操作服务器和存储设备的能力。 1、负责指定的服务器、存储等设备的资料登记、软件保管及设备报修。 2、配合完成指定的业务软件运行环境的建立,正式运行后的服务器系统软硬件操作的监管,执行中心的备份策略。 3、在所负责的的服务器、存储设备发生硬件故障时,及时组织有关人员恢复系统的运行,针对系统事故找到系统事故原因。 4、负责指定的服务器操作系统的管理口令修改。 5、负责制定、执行服务器及存储设备故障应急预案。 (二)业务管理员(业务联系人) 业务管理员是部署在应用服务器上的操作系统及业务系统运行管理的人员,业务上应具备业务系统安装及基本调试操作的能力(业务软件厂家负责培训),业务系统及部署操作系统故障分析的能力,预防系统风险的能力。 1、负责维护业务系统的运行及业务系统的安装环境。 2、负责制定、执行业务系统及其数据的备份计划。 3、负责业务数据的数据备份及数据恢复。 4、负责制定执行本业务系统的故障应急预案。 (三)网络管理员
Linux主机操作系统加固规范 目录 第1章概述 (2) 1、1目得..................................... 错误!未定义书签。 1、2适用范围................................. 错误!未定义书签。 1、3适用版本................................. 错误!未定义书签。 1、4实施..................................... 错误!未定义书签。 1、5例外条款................................. 错误!未定义书签。 第2章账号管理、认证授权 (2) 2、1账号 (2) 2、1、1用户口令设置 (2) 2、1、2.......................................................... root用户远程登录限制 3 2、1、3检查就是否存在除root之外UID为0得用户 (3) 2、1、4...................................................... root用户环境变量得安全性 3 2、2认证..................................... 错误!未定义书签。 2、2、1远程连接得安全性配置 (4) 2、2、2用户得umask安全配置 (4) 2、2、3重要目录与文件得权限设置 (5) 2、2、4查找未授权得SUID/SGID文件 (5) 2、2、5检查任何人都有写权限得目录 (6) 2、2、6查找任何人都有写权限得文件 (6) 2、2、7检查没有属主得文件 (7) 2、2、8检查异常隐含文件 (8) 第3章日志审计 (9) 3、1日志 (9) 3、1、1............................................................ syslog登录事件记录 9 3、2审计 (9) 3、2、1........................................................ Syslog、conf得配置审核 9 第4章系统文件 (11) 4、1系统状态 (11) 4、1、1系统core dump状态 (11)
Windows 操作系统安全防护 强制性要求 二〇一四年五月
目录 1.系统用户口令及策略加固1 1.1.系统用户口令策略加固 1 1.2.用户权限设置 1 1.3.禁用Guest(来宾)帐户 2 1.4.禁止使用超级管理员帐号 3 1.5.删除多余的账号 4 2.日志审核策略配置4 2.1.设置主机审核策略 4 2.2.调整事件日志的大小及覆盖策略 5 2.3.启用系统失败日志记录功能 5 3.安全选项策略配置6 3.1.设置挂起会话的空闲时间 6 3.2.禁止发送未加密的密码到第三方SMB 服务器
6 3.3.禁用对所有驱动器和文件夹进行软盘复制和访问 7 3.4.禁止故障恢复控制台自动登录 7 3.5.关机时清除虚拟内存页面文件 7 3.6.禁止系统在未登录前关机 8 3.7.不显示上次登录的用户名 8 3.8.登录时需要按CTRL+ALT+DEL 8 3.9.可被缓存的前次登录个数 9 3.10. 不允许SAM 帐户和共享的匿名枚举 (9) 3.11.不允许为网络身份验证储存凭证或.NET Passports 9 3.12. 如果无法记录安全审核则立即关闭系统 (10) 3.13. 禁止从本机发送远程协助邀请 (10) 3.14. 关闭故障恢复自动重新启动 (11) 4.用户权限策略配置11 4.1.禁止用户组通过终端服务登录 11 4.2.只允许管理组通过终端服务登录 11
4.3.限制从网络访问此计算机 12 5.用户权限策略配置12 5.1.禁止自动登录 12 5.2.禁止光驱自动运行 12 5.3.启用源路由欺骗保护 13 5.4.删除IPC 共享 13 6.网络与服务加固14 6.1.卸载、禁用、停止不需要的服务 14 6.2.禁用不必要进程,防止病毒程序运行 15 6.3.关闭不必要启动项,防止病毒程序开机启动 24 6.4.检查是否开启不必要的端口 34 6.5.修改默认的远程桌面端口 34 6.6.启用客户端自带防火墙 35 6.7.检测DDOS 攻击保护设置
信息系统安全管理规定 1 信息系统安全管理的基本要求 1.1 信息系统安全管理原则 信息系统安全管理按照“三同步”原则进行,即同步设计、同步建设、同步运行。 1.2 信息系统安全的管控方式 信息系统安全管理工作由公司信息化委员会统一领导,信息系统管理部归口管理,信息管理部门负责,相关业务部门密切配合。 2 各级管理部门职责 2.1 公司信息系统管理部负责公司信息系统安全工作的归口管理,负责全局性信息系统安全统一规划、统一建设、统一部署、统一协调和监督检查;负责公司层面信息系统安全建设和管理工作,行使防范与保护、监控与检查、响应与处置职能;指导企业信息系统安全工作。 2.2 公司信息管理部门负责公司信息系统安全建设和管理工作,行使防范与保护、监控与检查、响应与处置职能;接受信息系统管理部信息安全管理。 2.3 业务部门负责本部门相关业务信息系统应用和数据安全,配合信息管理部门做好日常信息系统安全工作。 3 信息系统安全管理内容与方法 3.1组织和人员安全管理 3.1.1 公司信息化委员会下设信息系统安全工作组,由信息系统管理部牵头,负责各部门间的信息系统安全协调工作和紧急事件的应急指挥,为信息化委员会提供信息系统安全管理方面的建
议。 3.1.2 设备工程部设立信息系统安全管理岗位,对公司信息系统安全实施统一管理。依据不相容原则,信息系统设置安全管理员,负责落实信息系统安全管理制度的有关要求,检查信息系统安全管理日常工作,负责对系统管理员、应用管理员等人员操作的审查,检查信息安全设备和软件配置情况,协助处理安全威胁、违例行为和其他信息安全突发事件。 3.1.3 建立信息系统关键岗位制度。对信息系统设计、建设、运维和应用中直接接触或使用重要、敏感信息的关键岗位进行管理,关键岗位包括安全管理员、应用管理员、系统管理员、数据库管理员、开发人员等有关信息技术岗位和业务岗位。涉及业务的关键岗位由业务部门具体负责并报信息管理部门备案。 3.1.4 设备工程部和业务部门分别对公司信息系统关键岗位人员的资格、职责、权限、培训、考核、监督进行管理,并报人事部门备案。设备工程部每年向公司信息系统管理部上报本单位信息系统关键岗位的设置和人员情况。 3.1.5 设备工程部负责对公司信息系统建设、运行、维护的第三方单位相关资格进行审查,签署信息安全协议书,并对执行情况进行检查。 3.1.6 设备工程部协助人事部门组织信息系统安全教育和培训,将信息系统安全培训纳入公司年度培训计划。 3.2 信息系统安全等级保护 3.2.1 信息系统安全保护等级划分是在国家信息系统安全保护等级基础上,结合公司实际情况,定为五个级别,分为Ⅰ级、Ⅱ级(A、B)、Ⅲ级(A、B)、Ⅳ级、Ⅴ级:
Linux主机操作系统加固规范
目录 第1章概述 (3) 1.1 目的............................................................................................................ 错误!未定义书签。 1.2 适用范围..................................................................................................... 错误!未定义书签。 1.3 适用版本..................................................................................................... 错误!未定义书签。 1.4 实施............................................................................................................ 错误!未定义书签。 1.5 例外条款..................................................................................................... 错误!未定义书签。第2章账号管理、认证授权.. (4) 2.1 账号 (4) 2.1.1 用户口令设置 (4) 2.1.2 root用户远程登录限制 (4) 2.1.3 检查是否存在除root之外UID为0的用户 (5) 2.1.4 root用户环境变量的安全性 (5) 2.2 认证............................................................................................................ 错误!未定义书签。 2.2.1 远程连接的安全性配置 (6) 2.2.2 用户的umask安全配置 (6) 2.2.3 重要目录和文件的权限设置 (6) 2.2.4 查找未授权的SUID/SGID文件 (7) 2.2.5 检查任何人都有写权限的目录 (8) 2.2.6 查找任何人都有写权限的文件 (8) 2.2.7 检查没有属主的文件 (9) 2.2.8 检查异常隐含文件 (9) 第3章日志审计 (11) 3.1 日志 (11) 3.1.1 syslog登录事件记录 (11) 3.2 审计 (11) 3.2.1 Syslog.conf的配置审核 (11) 第4章系统文件 (13) 4.1 系统状态 (13) 4.1.1 系统core dump状态 (13)
一.安全加固概述 网络设备与操作系统加固和优化服务是实现客户信息系统安全的关键环节。通过使用该项服务,将在客户信息系统的网络层、主机层等层次建立符合客户安全需求的安全状态,并以此作为保证客户信息系统安全的起点。 网络设备与操作系统加固和优化服务的目的是通过对主机和网络设备所存在安全问题执行以下操作: ●网络设备与操作系统的安全配置; ●系统安全风险防范; ●提供系统使用和维护建议; ●安装最新安全补丁(根据风险决定是否打补丁); 上述工作的结果决定了网络设备与操作系统加固和优化的流程、实施的内容、步骤和复杂程度。具体说,则可以归纳为: (1)加固目标也就是确定系统在做过加固和优化后,达到的安全级别,通常不同环境下的系统对安全级别的要求不同,由此采用的加固方案也不同。 (2)明确系统运行状况的内容包括: ●系统的具体用途,即明确系统在工作环境下所必需开放的端口和服务等。 ●系统上运行的应用系统及其正常所必需的服务。 ●我们是从网络扫描及人工评估里来收集系统的运行状况的。 (3)明确加固风险:网络设备与操作系统加固是有一定风险的,一般可能的风险包括停机、应用程序不能正常使用、最严重的情况是系统被破坏无法使用。这些风险一般是由于系统运行状况调查不清导致,也有因为加固方案的代价分析不准确,误操作引起。因此在加固前做好系统备份是非常重要的。 二.加固和优化流程概述 网络设备与操作系统加固和优化的流程主要由以下四个环节构成:
1. 状态调查 对系统的状态调查的过程主要是导入以下服务的结果: ●系统安全需求分析 ●系统安全策略制订 ●系统安全风险评估(网络扫描和人工评估) 对于新建的系统而言,主要是导入系统安全需求分析和系统安全策略制订这两项服务的结果。在导入上述服务的结果后,应确定被加固系统的安全级别,即确定被加固系统所能达到的安全程度。同时,也必须在分析上述服务结果的基础上确定对网络与应用系统加固和优化的代价。 2. 制订加固方案 制订加固方案的主要内容是根据系统状态调查所产生的结果制订对系统实施加固和优化的内容、步骤。 3. 实施加固 对系统实施加固和优化主要内容包含以下两个方面: ●对系统进行加固 ●对系统进行测试 对系统进行测试的目的是检验在对系统实施安全加固后,系统在安全性和功能性上是否能够满足客户的需求。上述两个方面的工作是一个反复的过程,即每完成一个加固或优化步骤后就要测试系统的功能性要求和安全性要求是否满足客户需求;如果其中一方面的要求不能满足,该加固步骤就要重新进行。 对有些系统会存在加固失败的情况,如果发生加固失败,则根据客户的选择,要么放弃加固,要么重建系统。 4. 生成加固报告 加固报告是向用户提供完成网络与应用系统加固和优化服务后的最终报告。其中包含以下内容:
信息系统安全人员管理制度1信息系统安全人员管理制度汇编 第一章总则 第一条为规范公司信息系统安全人员管理,保障公司信息安全,根据公司相关规章制度汇编整理,制订本制度。 第二条公司所有涉及信息系统安全人员(简称信息安全人员),适用本制度。 第二章录用与入职 第三条信息安全人员招聘、录用一般流程参考《人才引进与任用管理暂行办法》 第四条对拟录用信息安全人员应进行详细的背景调查,对其经历背景确认无误后才可办理录用手续。 第五条信息安全人员在签订《劳动合同》同时应签订《劳动合同补充协议》约定纪律、保密及其他方面条款。 第六条对信息安全人员进行入职培训时,应加强信息安全规章制度的教育培训,将制度掌握及执行情况纳入试用期考核。 第三章信息安全规范 第七条公司信息安全管理应严格遵照《信息安全管理责任制度》及《公司保密制度》执行。 第八条未经公司同意,信息安全人员不得复制公司资料,不得
将公司机密资料向公众展示、发行,不得向第三方出售公司机密资料或产品。 第九条信息安全人员接受外部邀请进行演讲、交流或授课,应事先 征得公司批准,并就可能涉及的有关公司业务的重要内容征求领导意见。 第十条信息安全人员不得利用职务之便,以盗窃、欺诈、胁 迫等不正当手段窃取公司的技术秘密或商业秘密、人事秘密、财务(税)秘密。未经公司许可,不得擅自允许第三方使用公司的技术成果。 第^一条信息安全人员应对各种工作密码保密,不对外提供 和泄露。严禁盗用他人密码。 第十二条信息安全人员在传阅文件时不得擅自扩大传阅范围,不得与无关人员或在公共场所谈论,不得擅自翻印、复制、抄袭或在公开发表的文章中引用。 第十三条需销毁的文件资料由综合办公室统一集中处理。 第十四条从事核心技术岗位的员工,如中途离开公司,自离 开之日起两年之内,不得从事与本行业及本岗位相关的活动。 第十五条信息安全人员在公司工作中接触到公司的技术秘密、关键技术及其他机密信息的,在离职后不得向第三方泄漏其所熟知有关公司机密的信息。
信息安全管理规范公司
版本信息 当前版本: 最新更新日期: 最新更新作者: 作者: 创建日期: 审批人: 审批日期: 修订历史 版本号更新日期修订作者主要修订摘要
Table of Contents(目录) 1. 公司信息安全要求 (5) 1.1信息安全方针 (5) 1.2信息安全工作准则 (5) 1.3职责 (6) 1.4信息资产的分类规定 (6) 1.5信息资产的分级(保密级别)规定 (7) 1.6现行保密级别与原有保密级别对照表 (7) 1.7信息标识与处置中的角色与职责 (8) 1.8信息资产标注管理规定 (9) 1.9允许的信息交换方式 (9) 1.10信息资产处理和保护要求对应表 (9) 1.11口令使用策略 (11) 1.12桌面、屏幕清空策略 (11) 1.13远程工作安全策略 (12) 1.14移动办公策略 (12) 1.15介质的申请、使用、挂失、报废要求 (13) 1.16信息安全事件管理流程 (14) 1.17电子邮件安全使用规范 (16) 1.18设备报废信息安全要求 (17) 1.19用户注册与权限管理策略 (17) 1.20用户口令管理 (18) 1.21终端网络接入准则 (18) 1.22终端使用安全准则 (18) 1.23出口防火墙的日常管理规定 (19) 1.24局域网的日常管理规定 (19) 1.25集线器、交换机、无线AP的日常管理规定 (19) 1.26网络专线的日常管理规定 (20) 1.27信息安全惩戒 (20) 2. 信息安全知识 (21) 2.1什么是信息? (21) 2.2什么是信息安全? (21)
XXXX业务网网络信息安全加固项目案例介绍 一、概述 随着信息化技术的深入和互联网的迅速发展,整个世界正在迅速地融为一体,IT系统已经成为XXX整合、共享内部资源的核心平台,同时,随着XXX经营理念的不断深化,利用各种各样的业务平台来为XXX提供更多的增值业务服务的情况越来越多,因此IT系统及各种各样的业务平台在XXX系统内的地位越来越重要,更为XXX提供的新业务利润增长做出了不可磨灭的贡献。 伴随着网络的发展,也产生了各种各样的安全风险和威胁,网络中蠕虫、病毒及垃圾邮件肆意泛滥,木马无孔不入,DDOS攻击越来越常见、WEB应用安全事件层出不穷、,黑客攻击行为几乎每时每刻都在发生,而伴随着上级主管部门对于信息安全的重视及审查工作愈加深化,所有这些风险防范及安全审查工作极大的困扰着XXX运维人员,能否及时发现网络黑客的入侵,有效地检测出网络中的异常流量,并同时在“事前”、“事中”及“事后”都能主动协助XXX完成自身信息安全体系的建设以及满足上级部门审查规范,已成为XXX运维人员所面临的一个重要问题。 本方案针对XXXX公司业务平台的安全现状进行分析,并依据我公司安全体系建设的总体思路来指导业务平台信息安全体系建设解决方案的制作,从安全技术体系建设的角度给出详细的产品及服务解决方案。
二、网络现状及风险分析 2.1 网络现状 业务平台拓扑图 XXXX公司业务平台网络共有包括XXX、XXX、XXX平台等四十余个业务系统,(因涉及客户信息,整体网络架构详述略)业务平台内部根据业务种类的不同,分别部署有数据库、报表、日志等相应业务系统服务器。 2.2 风险及威胁分析 根据上述网络架构进行分析,我们认为该业务平台存在如下安全隐患: 1.随着攻击者知识的日趋成熟,攻击工具与手法的日趋复杂多样,单纯XX的已经 无法满足信息安全防护的需要,部署了×XX的安全保障体系仍需要进一步完善, 防火墙系统的不足主要有以下几个方面(略) 2.当前网络不具备针对X攻击专项的检测及防护能力。(略) 3.对正常网络访问行为导致的信息泄密事件、网络资源滥用行为等方面难以实现针 对内容、行为的监控管理及安全事件的追查取证。 4.当前XX业务平台仍缺乏针对网络内容及已经授权的正常内部网络访问行为的有 效监控技术手段,因此对正常网络访问行为导致的信息泄密事件、网络资源滥用
主机问题解决方案 部分主机未禁用GUEST 账户,需禁用所有主机Guest 账号 (只适用于windows)。旗标曝露操作系统的版本: AIX : 修改/etc/motd 中的内容为“ hello ” “ welcome” 或其 他,以覆盖系统版本信息。 HP-UNIX 修改/etc/issue 中的内容。 超时退出功能,已加固部分服务器,剩余服务器,Windows 设置屏保,时间为10 分钟以内,启用屏保密码功能。HP-UNIX:修改/etc/profile 文件,增加TMOUT值,建议设定600以 内。AIX:编辑/etc/profile 文件,添加TMOUT参数设置,例如TMOUT=600 以内,系统600 秒无操作后将自动执行帐户注销操作。 明文管理方式,部分设备目前还需要使用TELNET 服务,逐步关闭,建议采用SSH ,在网络和主机层面逐步关闭TELNET协议,禁用TELNET启用SSH协议(适用于AIX与HP-UNIX): 1.禁用telnet vi /etc/inetd.conf 把telnet 行注释掉,然后refresh -s inetd 2.加速ssh 的登录 第一: 如有/etc/resolv.conf ,rm 掉 第二:vi /etc/ssh/sshd_config 去掉注释userDns , 把yes 改
为no stopsrs -s sshd startsrc -s sshd 未关闭远程桌面,易受本地局域网恶意用户攻击,需转运行后,在网络层面增加访问控制策略。 允许root 账户远程登录,各网省建立专用账号实现远程管理,关闭root 账号运程管理功能在。 主机操作系统提供FTP 服务,匿名用户可访问,易导致病毒的传播,禁用AIX 自身的FTP 服务(适用于AIX 与HP-UNIX) 1、编辑/etc/inetd.conf 将ftpd 一项注释; 2、refresh -s inetd 。 其它FTP服务软件使用注意:先关闭所有FTP服务,用时开启,用完后关闭。
计算机信息系统安全管理制度 第一章总则 第一条为了保护计算机信息系统的安全,促进信息化 建设的健康发展,根据国家和辽宁省相关规定,结合本院实际,制定本规定。 第二条本院信息系统内所有计算机的安全保护,适用 本规定。 第三条工作职责 (一)每一个计算机信息系统使用人都是计算机安全员,计算机安全员负责本人在用计算机信息系统的正确使用、日常使用维护,发现故障、异常时及时向计算机信息系统管理员报告; (二)计算机信息系统管理员负责院内: 1、计算机信息系统使用制度、安全制度的建立、健全; 2、计算机信息系统档案的建立、健全,计算机信息系统使用情况的检查; 3、计算机信息系统的日常维护(包括信息资料备份, 病毒防护、系统安装、升级、故障维修、安全事故处理或上报等); 4、计算机信息系统与外部单位的沟通、协调(包括计 算机信息系统相关产品的采购、安装、验收及信息交换等);5、计算机信息系统使用人员的技术培训和指导。 (三)计算机信息系统信息审查小组负责局机关计算机信息系统对内、对外发布信息审查工作。
第二章计算机信息系统使用人员要求 第四条计算机信息系统管理员、计算机信息系统信息 审查员必须取得省计算机安全培训考试办公室颁发的计算 机安全培训合格证书,并由局领导任命,在计算机信息系统安全管理方面接受局领导的直接领导。 第五条计算机安全员必须经安全知识培训,经考核合 格后,方可上机操作。 第六条由计算机信息管理员根据环境、条件的变化, 定期组织计算机安全员开展必要的培训,以适应计算机安全防护和操作系统升级的需要。 第三章计算机信息系统的安全管理 第七条计算机机房安全管理制度 (一)计算机机房由计算机信息管理员专人管理,未经计算机信息系统管理员许可,其他人员不得进入计算机房。 (二)计算机房服务器除停电外一般情况下全天候开机;在紧急情况下,可采取暂停联网、暂时停机等安全应急措施。如果是电力停电,首先联系医院后勤部门,问清停电的原因、何时来电。然后检查UPS电池容量,看能否持续供电到院内开始发电。 (三)计算机房服务器开机时,室内温度应控制在17度,避免温度过高影响服务器性能。 (四)计算机房应保证全封闭,确保蚊虫、老鼠、蟑螂等不能进入机房,如在机房发现蚊虫、老鼠、蟑螂等,应及时杀灭,以防设备、线路被破坏。
信息系统安全管理制度 目录 信息安全管理制度............................... 计算机管理制度................................. 机房管理制度................................... 网络安全管理制度............................... 计算机病毒防治管理制度......................... 密码安全保密制度............................... 涉密和非涉密移动存储介质管理制度............... 病毒检测和网络安全漏洞检测制度................. 案件报告和协查制度............................. 网络资源管理...................................
信息安全管理制度 为维护公司信息安全,保证公司网络环境的稳定,特制定本制度。 第一条信息安全是指通过各种计算机、网络(内部信息平台)和密码技术,保护信息在传输、交换和存储过程中的机密性、完整性和真实性。具体包括以下几个方面。 1、信息处理和传输系统的安全。系统管理员应对处理信息的系统进行详细的安全检查和定期维护,避免因为系统崩溃和损坏而对系统内存储、处理和传输的信息造成破坏和损失。 2、信息内容的安全。侧重于保护信息的机密性、完整性和真实性。系统管理员应对所负责系统的安全性进行评测,采取技术措施对所发现的漏洞进行补救,防止窃取、冒充信息等。 3、信息传播安全。要加强对信息的审查,防止和控制非法、有害的信息通过本委的信息网络(内部信息平台)系统传播,避免对国家利益、公共利益以及个人利益造成损害。 第二条涉及国家秘密信息的安全工作实行领导负责制。 第三条信息的内部管理 1、各科室(下属单位)在向网络(内部信息平台)系统提交信息前要作好查毒、杀毒工作,确保信息文件无毒上载; 2、根据情况,采取网络(内部信息平台)病毒监测、查毒、杀毒等技术措施,提高网络(内部信息平台)的整体搞病毒能力; 3、各信息应用科室对本单位所负责的信息必须作好备份; 4、各科室应对本部门的信息进行审查,网站各栏目信息的负责科室必须对发布信息制定审查制度,对信息来源的合法性,发布范围,信息栏目维护的负责人等作出明确的规定。信息发布后还要随时检查信息的完整性、合法性;如发现被删改,应及时向信息安全协调科报告;
Solaris系统安全文档(for solaris 10) 1.禁用不需要的用户 备份:备份/etc/passwd cp /etc/passwd /etc/passwd.080903 cp /etc/shadow /etc/shadow.080903 修改: 编辑/etc/shadow,将需要禁止帐户的**用NP代替 Example: noaccess:NP:60002:60002:No Access User:/:/sbin/noshell 恢复: 编辑/etc/shadow,将需要恢复帐户的NP用**代替 Example: noaccess:**:60002:60002:No Access User:/:/sbin/noshell 或使用备份还原 cp /etc/passwd.080903 /etc/passwd cp /etc/shadow.080903 /etc/shadow 恢复:用原始备份还原 cp /etc/group.bak.2008 /etc/group 2.设置用户密码安全策略(根据具体要求修改) 修改全局密码策略 备份:备份/etc/default/passwd cp /etc/default/passwd /etc/default/passwd.080903 #MINDIFF=3 #最小的差异数,新密码和旧密码的差异数。 #MINALPHA=2 #最少字母要多少 #MINNONALPHA=1 #最少的非字母,包括了数字和特殊字符。 #MINUPPER=0 #最少大写 #MINLOWER=0 #最少小写 #MAXREPEATS=0 #最大的重复数目 #MINSPECIAL=0 #最小的特殊字符 #MINDIGIT=0 #最少的数字 #WHITESPACE=YES #能使用空格吗? 修改:(以下只针对除root用户外的其他用户) 编辑/etc/default/passwd,设置: MINWEEKS= 最短改变时间 MAXWEEKS=8 密码最长有效时间 WARNWEEKS=5 密码失效前几天通知用户 PASSLENGTH=8 最短密码长度
计算机操作系统的安全加固探析 在当前的信息化社会,由于信息资源传输和共享的需要,计算机技术与计算机网络技术在各个领域和行业中都得到了前所未有的发展。在整个计算机的运行过程中,计算机操作系统的安全直接影响着其性能的有效发挥,也影响着信息传输的稳定和安全。文章对计算机操作系统中存在的安全问题进行了分析,并就相应的安全加固策略进行了研究和阐述。 标签:计算机;操作系统;安全加固 前言 在科学技术快速发展的带动下,计算机网络应用日益普遍,也使得网络安全问题成为社会发展中一个非常重要的问题。计算机操作系统作为用户针对信息进行处理的软件环境,其运行的高效性、安全性和可靠性直接关系着信息处理质量。因此,重视计算机操作系统的安全问题,做好相应的防范和加固措施,切实保障计算机操作系统的运行安全,是需要相关技术人员重点关注的问题。 1 计算机操作系统常见安全问题 在计算机运行过程中,受各种因素的影响,计算机操作系统中经常会出现一些安全问题,影响系统安全,这些问题主要体现在以下几个方面。 1.1 系统漏洞 系统漏洞是指在操作系统内部存在的,可能允许未经授权用户对系统进行访问的软硬件特征,属于操作系统自身的缺陷。系统漏洞表现为三种形式,一是物理漏洞,即未经授权的用户能够对系统中不被允许的内容进行访问,导致系统信息的泄露;二是软件漏洞,主要是由于错误授权的应用程序所导致的漏洞;三是不兼容漏洞,即由于操作系统在开发过程中存在不兼容问题,进而导致的漏洞。计算机漏洞的存在严重影响了系统安全,如果不能及时打上安全补丁,则系统可能会遭受黑客的恶意攻击,从而造成难以估量的损失。 1.2 程序安全 用户程序自身的安全性通常表现在程序的耗时性、兼容性、稳定性、病毒性以及死锁问题等,受各种因素的影响,在用户程序中,或多或少都存在着一定的缺陷,这些缺陷多是由于程序设计或者编程过程中的不合理逻辑造成的,可能是设计人员无意识的误操作,也可能是有意为之。 1.3 数据库安全 操作系统中的数据库安全,通常体现在数据库的完整性、可审计性、访问控
信息系统安全管理规定公司内部编号:(GOOD-TMMT-MMUT-UUPTY-UUYY-DTTI-
计算机信息系统安全 管理制度 2008年8月 目录 第一章总则 第1条依据《中华人民共和国保守国家秘密法》和有关保密规定,为进一步加强本单位计算机信息系统安全保密管理,并结合本单位的实际情况,制定本制度。 第2条计算机信息系统包括:涉密计算机信息系统和非涉密计算机信息系统。 其中,涉密计算机信息系统指以计算机或者计算机网络为主体,按照一定的应用目标和规则构成的处理涉密信息的人机系统。 第3条涉密计算机信息系统的保密工作坚持积极防范、突出重点,既确保国家秘密安全又有利于信息化发展的方针。
第4条涉密计算机信息系统的安全保密工作实行分级保护与分类管理相结合、行政管理与技术防范相结合、防范外部与控制内部相结合的原则。 第5条涉密计算机信息系统的安全保密管理,坚持“谁使用,谁负责”的原则,同时实行主要领导负责制。 第二章系统管理人员的职责 第6条本单位的涉密计算机信息系统的管理由各科室负责,具体技术工作由信息中心承担,设置以下安全管理岗位:系统管理员、安全保密管理员、密钥管理员。 第7条系统管理员负责信息系统和网络系统的运行维护管理,主要职责是:信息系统主机的日常运行维护;信息系统的系统安装、备份、维护;信息系统数据库的备份管理;应用系统访问权限的管理;网络设备的管 理;网络的线路保障;网络服务器平台的运行管理,网络病毒入侵防 范。 第8条安全保密管理员负责网络信息系统的安全保密技术管理,主要职责是:网络信息安全策略管理;网络信息系统安全检查;涉密计算机的安全管理;网络信息系统的安全审计管理;违规外联的监控。 第9条密钥管理员负责密钥的管理,主要职责是:身份认证系统的管理;密钥的制作;密钥的更换;密钥的销毁。 第10条对涉密计算机信息系统安全管理人员的管理要遵循“从不单独原则”、“责任分散原则”和“最小权限原则”。 第11条新调入或任用涉密岗位的系统管理人员,必须先接受保密教育和网络安全保密知识培训后方可上岗工作。
******有限公司数据安全管理规范 为了确保ERP系统的安全和保密管理,保障公司各项数据的安全准确,特制定本制度。 1、信息部是公司信息系统的管理部门,负责全公司信息化设备的管理、ERP系统的正常运行,基本参数的设置,系统用户权限的划分管理,系统数据的提取变更。信息部门负责人为公司信息安全第一责任人,负责信息安全和保密管理。 2、信息部指派专人负责按照本规范所制定的相关流程执行操作,用户授权和权限管理采取保守原则,选择最小的权限满足使用者需求。 3、公司ERP系统权限管理遵循以下原则: (1)为各部门各门店管理人员统一发放系统登陆账号,账号专人专用,账号下发后需立即更改初始密码,严禁使用他人工号或泄露密码。一经发现处以500元每次罚款,并永久性取消登录权限,由此造成的后果个人承担责任;情节严重的予以辞退。 (2)公司非一线销售部门如人事、企划、行政等只开通OA系统权限。各门店楼层主管和经理只有本楼层销售查询权限。各门店店长和招商经理有各自门店销售查询权限。运营中心总监有百货、时代、车南外租区和自营品牌的权限。(3)如需信息部配合提取系统销售数据或者需变更工号操作权限,需填写业务联系函写明原因并由部门负责人和执行副总签字,否则信息部不予配合。(4)人事部每月应将主管级以上人员离职名单传递信息中心,信息部接到通知后立即给予权限终止,防止数据外泄。 (5)公司员工计算机内涉及公司机密数据的,应给计算机设定开机密码并把文件进行加密处理,非工作需要不得以任何形式进行转移,不得随便拷贝到移动存储设备。 (6)离开原工作岗位的员工,各部门负责人需把其工作资料进行回收保存,并通知信息部对其电脑进行相关处理。公司人员岗位内部调拨的,电脑保留原岗位不变。 (7)公司内部经信息部确认需要送外维修的电脑,送修前需联系信息部拆除电脑的存储设备并由信息部保管,维修好后再联系信息部进行安装。 (8)对于公司连接外网的电脑,不得浏览来历不明的网站或下载不明网站的程