数据安全管理办法.docx
《数据安全管理办法.docx》由会员分享,可在线阅读,更多相关《数据安全管理办法.docx(14页珍藏版)》请在冰豆网上搜索。
数据安全管理办法
内部资料
数据安全管理办法
文件编码
AQ2G-04-S003
版本
V1.0
文件层级
口一阶口二阶
■三阶
文件类别
■体系文件口技术文件
编制部门
IT部
机密等级
□内文口秘密
■机密口绝密
编制人
文件类别
■通用
□项目
审核
编制日期
审批
生效日期
总页数
分发编号
文件发布盖章
公司名称
XXX科技有限公司
文件编码
AQ2G-04-S003
文件名称
服务器安全管理办法
页次/总页码
1/10
文件制/修订记录
虫他
章节
制/修订记录
版本
修订人
修订日期
备注
修订前
修订后
全部
全部
首次制定
V1.0
杨大伟
2013-9-1
———
__r^ri~?
ja
■■
■--
J
■
■
.■,r
ifi
■■
■
J
■■■■■
■
1
■
1_
公司名称
XXX科技有限公司
文件编码
AQ2G-04-S003
文件名称
服务器安全管理办法
页次/总页码
2/10
1总则
作为高科技型企业,公司有大量的业务服务器,分别部署在公司自有机房和外部IDC机房,承担着业务支撑、后台运营、内部管理等重要功能。
为保证服务器的安全可靠运行,规范服务器的管理和维护,特制定本规定。
2服务器管理
2.1系统管理员要明确各自服务器的用途、应用范围及使用对象,并对整个系统资源进行合理的规划。
2.2系统管理员应遵守服务器安装工作流程,从系统划分、安全设置等方面规范管理工作。
2.3|系统管理员负责各自服务器的日常管理和维护,主要有:
,
帐户管理、网络管理、安全管理、数据库管理、运行状态监控、资源占用情况统计
等,合理地分配系统资源,保证服务器的可靠运行。
2.4为确保系统安全性、可靠性,及数据的一致性和完整性,必须对系统进行备份工作。
管理员根据各自服务器的情况,制定出相应的备份及恢复策略,定期进行备份
2.5系统管理员要深入了解系统的工作原理,制定应急预案。
在系统出现一般性故障时,能快速解决。
出现重大故障时,能够最大限度降低故障影响,快速恢复。
2.6系统管理员对负责的服务器应提供详细的技术文档,包括系统安装、软件安装、开关机步骤、维护手册、安全策略、参数设置等主要信息。
2.7应加强系统安全的管理和研究,提高系统的安全性。
有可靠的杀毒软件和防火
墙,对端口进行实时监控,防止外部攻击。
2.8系统管理员必须建立系统维护档案,详细记录服务器的维护和故障情况。
如:
1)服务器故障记录:
发生时间,故障描述,原因分析,解决方案,改进措施;
2)建立“任务申请表”制度,使管理工作有案可查、有章可寻;
3)系统的备份日期、内容、类别、操作者等;
4)系统及软件的安装或版本升级,要有时间和内容的详细记录;
公司名称
XXX科技有限公司
文件编码
AQ2G-04-S003
文件名称
服务器安全管理办法
页次/总页码
3/10
2.9系统管理员必须定期更改服务器帐号,特别是超级用户的管理密码,建议每月更新一次。
2.10建立完善的系统监控手段,设置预警阀值,将故障隐患消灭在萌芽中。
2.11定期对服务器进行巡检,及时发现可能存在的问题,预先采取处理措施,避免故障发生。
3服务器安装规范
3.1服务器接收:
检查外包装,对照清单是否与预定的配置相符。
3.2开箱检查:
检查配置是否符合装箱单以及是否符合预定要求。
符合则填写设备「「一士、〜,乂…………~士,接收清单表,同时填写设备登记单,并将保修单送交管理员。
如有问题,应通知负责人
作进一步处理。
3.3确定操作系统安装方案。
根据用途,确定安装的操作系统及软件,明确硬盘分区,填写服务器安装单。
3.4安装操作系统:
根据安装方案安装服务器操作系统,确保所有必需的组件全部正确安装。
安装以后要进行逐项检查,填写安装报告。
jfl/
3.5安全检查:
做好服务器的各项安全配置,包括杀毒软件和软件防火墙的配置。
■WJ■
配置完成后,逐项检查服务器的安全性,Windows操作系统的安全检查项参见附表4。
Linux操作系统的安全检查项参见附表5。
3.6服务器上架:
进入机房,将服务器固定在预定位置,确保服务器安装牢固,供1I
电正常,外部连接线全部连接正常。
■■
3.7开机运行:
开机后检查系统启动是否正常,业务程序和各项服务是否启动正常,网络连接是否正常,安全机制是否运行正常,监控系统是否运行正常等。
3.8设备验收:
由业务部门、运维部和IT部共同对服务器进行验收,要求必须满足业务部门使用需求,并填写设备验收报告
3.9文件归档:
所有安装文档由系统管理员妥善保管,建立设备档案。
3.10为保证工作的有序进行,每项工作完成后由负责人签字,流程按附表1进行
公司名称
XXX科技有限公司
文件编码
AQ2G-04-S003
文件名称
服务器安全管理办法
页次/总页码
4/10
附表1服务器安装工作流程表
编号:
UI-39-2013
配置及型号
接收
外观检查
日期接收人
保修单接收
日期
完成设备登记单?
是/否:
日期
开箱
接收日期
负责人签字
备注
安装方
系统管理员签字
提交方案日期:
案
备注
———s-T.:
安装
接收方案签字
期
意见:
;1
安全
■A■■
,一■■;‘
检查
,/.■■,■1j
/■■■
较空.
JI日期,
1:
Mr.-
正式
运行
■
较空♦
佥子.
日期
公司名称
XXX科技有限公司
文件编码
AQ2G-04-S003
文件名称
服务器安全管理办法
页次/总页码
5/10
附表2设备接收清单
编号:
UI-40-2013
设备名称
用途
配置
主机编p
保修单
产品清单
设备箱数
产品编号
名称
资料
(书籍、
比)
「-
VJ■
配件
7//
♦/...
Vw.
备注
T
接收人签字
日期:
公司名称
XXX科技有限公司
文件编码
AQ2G-04-S003
文件名称
服务器安全管理办法
页次/总页码
6/10
附表3:
服务器安装备案表
编号:
UI-41-2013
配置
主机名
IP地址
操作系统
系统分区
分区路径
设备名
大小
备注(文件系统类型)
应用
应用类别
软件名称
版本
路径
服务端口
■■
Fw
FJV
帐号密码
帐号
密码(初始设置)
用途(如有数据库用户,请标明)
」;4
■.
补丁程序
串口配置
完成:
」是否键盘设置
-"SESSJ
完成:
是否
安全配置
安装SSH
停止无用的服务
将日志达到日志服务器
数据库
有数据库应用则应在本栏说明表空间划分,其他各项目填在以上各栏中
V
安装备注
包括有争议的问题备案、RAID配置说明等
安装人签字:
日期:
完成日期
系统管理员签字
公司名称
XXX科技有限公司
文件编码
AQ2G-04-S003
文件名称
服务器安全管理办法
页次/总页码
7/10
附表4:
Windows系统安全检查列表
编号:
UI-42-2013
服务器名
IP地址
用途
检查项目
是否配置
备注
安装前和安装中
是否将所有的磁盘分区都格式化为NTFS分区
是否只安装了必要的组件
/1
L
是否安装了最新的Win2k补丁
是否安装了IE5.01SP2,IE5.5SP2或直接安装IE6
矗.■■■爵.H露,■常■■■■■■■■■■:
■翼
是否安装了IISSecurityRollupPackage
WtL
安装后
是否禁用了guest帐号
Y.
是否删除或禁用了不必要的帐号
■
是否重命名了administrator帐号
■
是前E确设置了文件共享/
■
administrator帐号的留码是否满足健壮性要求:
administrator的口令至少有9位长,而且在前7位中至少
包一个标点符号或非打印字符IK
■■■
■
是否安装并运行了防爪软件
1
是否禁止了对注册表的匿名访问
J
是否禁止了对公共的LSA(LocalSecurityAuthority)信
息的匿名访问
.
是否禁用了不必要的服务
是否建立了一定的审核策略
是否已经设置在登陆界面中不显示最后登录的用户名
是否使用Windows2003提供的安全配置和分析工具,对系统
进行了安全分析
管理员
签字
日期
公司名称
XXX科技有限公司
文件编码
AQ2G-04-S003
文件名称
服务器安全管理办法
页次/总页码
8/10
附表5:
Linux安全检查列表
编号:
UI-44-2013
服务器名IP地址
用途
检查项
说明
补丁
/etc/inetd.conf
Tcp_wapper
基本网络
Fingerd
“r-”命令
/etc/services
/etc/host.lpd
一L一I
月艮务
用户缺省环境的设置
Cron
安全终端文件
RPC
NFS
其它
清查系统中的.exec
检查用户目录中的.forward,文件
清查系统中的.rhost
FA■
和.rhost.equiv文件
.
检查PATHW境变量
W/
检查/etc/fstab文件
检查系统和用户的umask,将之设
置为022
文件系
设置/var/log/utmp*和
/var/log/wtmp*的权限
统
设置/etc/motd的权限
女
全
设置/etc/syslog.pid的权限
去除普通用户对启动脚本的读权限
y
将/var/log下的日志文件的权限
T
设为600
将/etc,/usr/etc,/bin,
/usr/bin,/sbin,/usr/sbin的
属主设置为root
设置/tmp目录的权限
公司名称
XXX科技有限公司
文件编码
AQ2G-04-S003
文件名称
服务器安全管理办法
页次/总页码
9/10
清查系统申是否有group或世界
可写的文件及目录
清查系统中的suid和sgid文件
检查/dev中是否有非特殊文件,清查/dev之外的特殊文件
检查由root运行的文件
帐号安
y全
策略
管理
特殊帐号
root帐号
使用lsmod检查是否有陌生的
kernelmodule
.■
rpm-V-a校验所有的rpm包是
否完整
检查/etc/syslog.conf的配置
检查人签字:
日期:
jBIf
管理员签字:
日期:
4V