公司信息系统安全管理制度.docxVIP

公司信息系统安全管理制度 第一章 总则 第一条 目的 为保护计算机信息系统安全，加强系统的安全管理，最大限度减少系统故障的损失，特制定本制度； 第二条 适用范围 本制度适用于 （以下简称“ 高速公路”）所有网络系统、主机系统及应用系统等可操作性系统。 第三条 职责 收费部负责对系统进行安全管理，主要职责如下： 负责制定、组织实施系统统一安全策略； 负责安全机制集中管理； 负责维护活动的管理； 负责制定、评审、组织安全教育培训； 第二章 物理安全管理 第四条 对系统服务器设备的物理操作应由系统管理员或经系统管理员允许的专业人员进行。 第五条 对于Intel 架构服务器系统，应设置 BIOS 口令以增加物理安全。 第六条对于Windows系统，应禁止远程用户使用光驱和软驱。 第七条服务器远程操作管理：为了确保机房的安全，逐步实现对服务器的远程操作。 第八条特权及特权程序的管理：不得将系统特权授予普通用户，不得随意转给他人；对过期用户应及时收回所授予的权力。 第九条重要数据的输入及修改管理。重要数据不得外泄，重要数据的输入及修改应有专人来完成。 第十条服务器运行管理：工作人员可根据需要启动或关闭服务器系统；监视并记录服务器系统运行情况，特别是出现的异常情况；监视电压、电流、湿温度等环境条件；监视运行的作业和信息传输情况；建立服务器运行情况登记制度。 第十一条重要数据的打印输出及外存介质的管理。打印输出及外存介质应存放在安全的地方，打印出的废纸应及时销毁。 第十二条服务器安装软件的管理：服务器上不使用外来的光盘与软盘，不装与业务无关的软件。对服务器正常运行所需软件，最好先在其它机器上进行安全运行验证。 第三章 操作和维护管理 第十三条对各个系统的用户形成清单，包含用户信息、权限等基本情况的说明，对系统关键部分的操作需系统管理员在场监管，并产生审计记录。 第十四条所有帐户必须设置口令,工作人员不得随意泄漏口令。 第十五条对于Windows系统，应禁止 Guest 账号。 第十六条对于Windows系统，应启用“密码必须符合复杂性要求”，设置“密码长度最小值”、“密码最长存留期”、“密码最短存留期”、“密码强制历史”，停用“为域中用户使用可还原的加密来存储”。 第十七条对于Windows系统，应设置“账户锁定时间”，“账户锁定阈值”，“复位账户锁定计数器”来防止远程密码猜测攻击。 第十八条限制不必要的用户。去掉所有的测试用户、共享用户等。用户组策略设置相应权限，并且经常检查系统的用户，删除已经不再使用的用户。 第十九条创建两个管理员账号。创建一个仅有审计权限的审计员账户，另一个拥有系统管理权限的用户只在需要的时候使用。 第二十条将系统Administrator账号改名。建议尽量将其伪装成普通用户，比如改成Guestuser。 第二十一条 将共享文件的权限从Everyone组改成授权用户。 第二十二条开启用户策略。建议使用用户策略，分别设置复位用户锁定计数器时间为20分钟，用户锁定时间为20分钟，用户锁定阈值为3次。 第二十三条对于Windows系统，建议禁止系统显示上次登录的用户名。 第二十四条相关密码设置应使用安全密码，要注意密码的复杂性，并且经常改密码。应用密码策略，例如启用密码复杂性要求，设置密码长度最小值为8位 ，设置强制密码历史为5次，时间为60天。 第二十五条建议设置屏幕保护密码。 第二十六条应定期利用口令破解软件进行口令模拟破解测试，在发现脆弱性口令后及时通告并采取强制性的补救修改措施。 第二十七条账户及口令管理详见《帐户与密码管理制度》）。 第四章 网络服务配置管理 第二十八条应尽可能减少网络服务，关闭不必要的服务。 第二十九条调整优化 TCP/IP 参数，来提高系统抵抗 DoS 攻击的能力。 第三十条应限制使用 SNMP 服务。如果的确需要，应使用 V3 版本替代 V1、V2 版本，并启用 MD5 校验等功能。 第五章 补丁及漏洞扫描管理 第三十一条及时安装系统必威体育精装版补丁，及时升级服务至必威体育精装版版本。 第三十二条系统补丁的安装和服务升级应经过专业测试，以确保现有运行业务系统的正常运行和将来的稳定性。 第三十三条系统补丁的安装和服务升级必须经过系统管理员和相关业务部门负责人批准。 第三十四条定期（每半年）由安全管理员对网络整体安全情况进行漏洞扫描，并形成相关分析报告。 第六章 日志管理 第三十五条对于Windows系统，应启用系统和文件审核功能，包括应用程序日志、安全日志、系统日志、以及各种服务的日志。 第三十六条对于Windows系统，应更改日志存放的目录，并及时监控，特别是安全日志、系统日志。对于重要主机设备，应建立集中的日志管理服务器，实现对重要主机设备日志的统一管理，以利于对主机设备日志的审查分析。 第三十七条 对于重要