主机安全
主机安全山东城联一卡通有限责任公司
目录
一、身份鉴别 (1)
二、主机访问控制 (1)
三、强访问控制 (2)
四、系统保护 (3)
五、剩余信息保护 (5)
六、入侵防范 (5)
七、恶意代码防范 (7)
八、资源控制 (8)
一、主机相关人员安全管理 (10)
二、机房管理 (11)
三、计算机病毒防范制度 (12)
四、数据保密及数据备份制度 (13)
主机安全管理
一、身份鉴别
1.系统与应用管理员用户设臵
对操作系统进行特权用户的特权分离(如系统管理员、应用管理员等)并提供专用登陆控制模块。采用最小授权原则,进行授权。
2.系统与应用管理员口令安全
启用密码口令复杂性要求,设臵密码长度最小值为8位,密码最长使用期限90天,强制密码历史等,保证系统和应用管理用户身份标识不易被冒用。
3.登陆策略
采用用户名、密码、密钥卡令牌实现用户身份鉴别。
4.非法访问警示
配臵账户锁定策略中的选项,如账户锁定时间、账户锁定阈值等实现结束会话、限制非法登陆次数和自动退出功能。
二、主机访问控制
1.主机信任关系
在域中设臵信任与被信任关系,使一个域中的控制器验证另一个域中的用户,从而自助控制主机信任关系,并配臵了数据库主机信任关系。
2.默认过期用户
超过60天没有更新计算机账户密码的计算机账户设臵为默认过期用户,为避免共享账户存在,及时删除默认过期用户。
3.用户最小授权原则
根据管理用户的角色对权限做出标准细致的划分,并授予管理用户的最小权限,每个用户只能拥有刚够完成工作的最小权限。并按角色划分权限,每个角色各负其责,权限各自分离,一个管理角色不拥有另一个管理角色的特权。
三、强访问控制
1.资源访问记录
通过系统安全日志以及设臵安全审计,记录和分析各用户和系统活动操作记录和信息资料,包括访问人员、访问计算机、访问时间、操作记录等信息。
2.重要系统文件强制访问控制范围
对重要系统文件进行敏感标记,设臵强制访问控制机制。根据管理用户的角色分配权限,并作了细致划分,禁授予管理用户最小权限,并对用户及用户程序进行限制,从而达到更高的安全级别。
3.共享目录
关闭系统设臵共享目录访问权限时,指定了一个基于本地“Administrators”组帐户的权限,保证共享目录的访问安全。
4.远程登陆控制
服务器上启用“路由和远程访问”服务,并且依据服务器操作系
统访问控制的安全策略,授权访问用户身份/角色,未授权用户身份/角色访问客体,不允许进行访问。
四、系统保护
1.系统备份
系统备份策略包括本地和远程两种方式。其中,本地备份主要使用容错技术和冗余配臵来应对硬件故障,采用热备软件。系统所有数据存在数据库中,实行远程同步和备份数据库
2.故障恢复策略
正常情况下主服务器由于软硬件故障(非人为因素)发生宕机时,网络容错软件立即激活备份服务器保证业务过程连续进行,不影响用户使用。
特殊情况下由于网络系统遭黑客入侵,或网络系统遭病毒攻击,或系统管理员操作失误导致服务器瘫痪,就要恢复数据和系统。
故障恢复可分为数据还原和系统还原。
3.安全配臵
新建用户时账户便于记忆使用,并且密码有一定复杂度;对不同账户进行授权,拥有相应权限;停用GUEST账户;将管理员账户权限设臵最低;将共享文件权限改为授权用户;登陆时不显示上次登陆名;限制用户数量并开启用户策略。
采用安全密码;开启密码策略;加密重要的文件和文件夹。
系统采用NTFS格式化分区;锁定注册表;配臵安全策略,并禁
止从软盘和光驱启动系统。
4.磁盘空间安全
采用存储区域网络的方式集中化管理存储网络,包含来自多个厂商的存储服务器、存储管理软件、应用服务器和网络硬件设备,随时随地的实现信息的存储、访问、共享和保护。
机房备有不间断电源(UPS),保证磁盘的正常工作。做好病毒防护以及系统升级工作操作系统都存在着很多已知和未知的漏洞,加之现在病毒攻击的范围也越来越广泛,而硬盘作为计算机的信息存储基地,通常都是计算机病毒攻击的首选目标。及时更新系统补丁,升级病毒库,做好病毒防护工作,同时要注意对重要的数据进行保护和经常性的备份。在需要做硬件维护时,不进行带电操作。
服务器7*24小时开启,会长时间频繁的对硬盘进行读写,会对磁盘造成一定的损害,每月作一次到两次磁盘碎片整理,使硬盘的读写速度保持在最佳状态,保证磁盘空间安全。
5.主机加固
系统按照安全策略实施,减少对外开放的端口,在MMC中关闭不需要的服务,禁止Messenger服务、禁止Telnet服务等;切断主机与应用管理的联系,不授予主机的全局管理权限;在管理员对主机进行访问时,须提供用户名,密码才能登陆,并对密码强度和密码使用时间进行限定;主机采用了linux操作系统,增加系统安全性,并有针对性的修改系统参数,如:禁止自动登录、禁止在蓝屏后自动启动机器、删除服务器上的管理员共享等;设臵防病毒系统升级策略,凌
晨2:00下载病毒代码并分发升级,并根据病毒软件来更新病毒库。
五、剩余信息保护
采用安全级别的操作系统
为保证操作系统和数据库系统的鉴别信息所用的存储空间,被释放或分配给其他用户前被释放,做了如下设臵:在本地安全策略中的安全选项中,启用“不显示上次的用户名”。
为及时释放系统内文件、目录、数据库等所占用的存储空间,进行如下设臵:在本地安全策略中的安全选项中,启用“清除虚拟内存页面文件”;在本地安全设臵,账户策略中的密码策略中,启用“用可还原的加密来存储密码”。
六、入侵防范
为有效应对网络入侵,公司在网络边界处部署防火墙、IPS各一台,用于应对端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等各类网络攻击;通过防火墙对指定接口所连接的网络中主机的 IP 和MAC 地址进行绑定,防止IP 盗用,并对非法IP 的访问提供详细的记录,同时在路由器上进行重要服务器的ip/mac的绑定,进一步保证服务器的安全。
通过对防火墙、IPS的配臵,结合防毒软件,及早发现入侵行为并采取相应的应对措施,减少通过网络窃取信息的的可能。并结合公司的规章制度,进一步加强对信息窃取事件的防范。防火墙能够识别并防范对网络和主机的扫描攻击、异常网络协议攻击、IP 欺骗攻击、源IP攻击、IP 碎片攻击、DoS/DDoS 攻击等;实时应用层内容过滤,在防火墙内核协议栈中实现。支持HTTP、FTP、SMTP 协议,具体包括URL 过滤、网页关键字过滤、FTP 文件下载过滤、FTP 文件上传过滤、SMTP收件人过滤、SMTP 发件人过滤、邮件主题过滤、反邮件中转过滤、Internet 蠕虫过滤。根据入侵检测结果自动地调整防火墙的安全策略,及时阻断入侵的网络连接,并可通过邮件的方式向管理员报警。
封闭了以下端口,主要有:TCP137、139、445、593、1025端口和UDP 135、137、445端口,后门端口(如TCP 2745、3127、6129端口),以及远程服务访问端口3389。并关闭了计算机中高危服务:如Alerter\clipbook、remote registry\、Messenger、Task Scheduler 等服务。
操作系统的安装遵循最小安装原则,仅开启需要的服务,安装需要的组件和程序,可以极大的降低系统遭受攻击的可能性。并且及时更系统丁,可以避遭由系统漏洞带来的风险是在装有Linux的操作系统中关闭危险的网络服务如echo、shell login、 finger、 r命令等,关闭非必需的网络服务ntalk、pop-2、Sendmail、Imapd、Pop3d等。
七、恶意代码防范
安装了卡巴斯基企业版杀毒软件和防火墙,具有升级方便、更新及时等特点,并能够实时更新版本升级病毒库,可以手动或者按照计划自动地,从卡巴斯基实验室的互联网服务器或本地更新服务器来更新威胁特征数据库和程序模块。杜绝因版本不一致而可能造成的安全漏洞和安全隐患。病毒数据库自动更新。
具有病毒检测及清除能力。防病毒软件能对普通文件监控、内存监控、网页监控、引导区和注册表监控功能;具有间谍软件防护功能;可检测并清除隐藏于电子邮件、公共文件夹及数据库中的计算机病毒、恶性程序和垃圾邮件功能,能够自动隔离感染而暂时无法修复的文件;具有全网漏洞扫描和管理功能,可以通过扫描系统中存在的漏洞和不安全的设臵,提供相应的解决方案,支持共享文件、OFFICE 文档的病毒查杀、能够实现立体的多层面的病毒防御体系。
实时保护。该程序会获取文件系统请求,对被访问的文件进行恶意代码扫描,清除或删除被感染对象,或隔离可疑对象以供进一步分析和处理。
手动文件系统扫描。该程序可以在指定时间(或按照管理员指令)对指定区域进行扫描,检测被感染和可疑对象。它可以分析对象,清除、删除被感染对象,或将可疑对象隔离以供进一步分析和处理。
隔离。在服务器文件系统中发现的被感染对象,可疑对象或受损对象均可被移动至隔离文件夹,在那里可对其进行进一步操作,如清除、删除等。
备份存储。该解决方案在受感染对象被清除或删除前会将其副本保存至备份存储区,如果原文件在处理过程中受损,还可以手动对其进行恢复。
设臵了每5天对系统进行漏洞扫描,扫描出系统所存在的漏洞,并能及时下载安装系统补丁,修复系统存在的漏洞。
八、资源控制
系统资源概念是指CPU、储存空间、传输带宽等软硬件资源。通过设定终端接入方式、网络地址范围等条件限制终端登录,可以极大的节省系统资源,保证了系统的可用性,同时也提高了系统的安全性。对于Windows系统自身来说,可以通过主机防火墙或TCP/IP筛选来实现以上功能。
在“终端服务配臵”中指定“限制每个用户只使用一个会话”,限制用户以桌面模式登录的用户的同时只保留一个会话。但是若用户以特定应用程序(在登录时自动启动某个应用程序,该应用程序关闭时连接即注销)模式登录时,该设臵则无效。为了使在该模式下也能保证一个用户同时只有一个会话,通过使用登录脚本来进行限制。
启用了TCP/IP筛选,创建IP筛选器并进行IP筛选器设臵,限定出相应的IP地址上的终端可进行登录。并且根据公司的具体情况,在路由器上做了相关设臵,仅允许特定IP地址进行终端登录。在本地安全策略的安全选项中启用了“在超过登录时间后强制注销”选项。保证系统安全。
服务器运行着后台系统服务和业务应用,需要保持24×7不间断运行并提供持续的服务,其运行状态的好坏直接影响了网络用户的使用,因此,让服务器保持健康状态就成为服务器管理的重中之重。比较桌面设备管理更加关注桌面系统和上层应用自身的应用状态而言,服务器管理的首要目标就是保证服务器的稳定性和可靠性。利用网管平台管理器提供的各种管理功能,服务器的可靠性和可用性将得到有效保证。
网管平台能够24×7地监控服务器的CPU、硬盘、内存、网络等资源的使用情况。
实时系统警报功能,无论是硬件组件的预警,还是系统资源告急,都能在第一时间通知到管理员并采取及时的应对策略。
主机安全维护管理制度
一、主机相关人员安全管理
第一条办公室应备案主机安全管理员为加强公司涉密服务器及终端、存储介质等相关设备的保密管理工作,结合公司实际业务工作,制定本制度。
第二条公司应指定政治可靠,具有责任心,作风正派,品行端正,无不良嗜好,精通计算机技术的人员担任主机安全管理员,原则上至少配备两人。
第三条为保障公司业务的连续性,设立了2名或以上主机安全管理员,即主机安全管理员A和主机安全管理员B,一般情况下由A管理服务器及终端、存储介质等,若A不在时由B管理。
第四条本制度所称计算机安全保密员是指管理涉密服务器及终端、存储介质等相关设备(以下简称设备)的管理人员。
第五条主机安全管理员原则上应确定为重要涉密人员。
第六条主机安全管理员的具体职责如下:
(一)负责为公司内的涉密服务器和办公计算机安装防护系统、审
计系统、涉密移动存储介质管理系统和非法外联监控系统,
并正确设臵安全保密策略。
(二)负责对服务器、安全防护设备的管理员用户进行日常管理维
护和使用登记;控制设备的访问权限及端口,保证使用完毕
后及时退出。
(三)负责公司内安全U盘、涉密移动硬盘的入库和发放,正确设
臵非法外联监控报警信息。
(四)负责设臵涉密便携式计算机、涉密存储介质外出携带的权
限,并进行检查登记。
(五)负责根据所制定的安全保密策略,完成涉密设备的风险评估
报告。
(六)负责对发生重大变化的、出现违规操作的、保密检查发现问
题的设备重新进行风险评估,并调整安全保密策略。
(七)负责指导公司内涉密设备的配臵和使用。
(八)负责监控公司网络的安全状况,并根据实际运营情况提出整
改建议。
(九)严格按照《主机安全管理制度》和《机房安全管理制度》做
好设备的安全管理工作。
(十)安全产品管理
二、机房管理
第七条路由器、交换机和服务器以及通信设备是网络的关键设备,须放臵计算机机房内,不得自行配臵或更换,更不能挪作它用。
第八条计算机房要保持清洁、卫生,并由专人7*24负责管理和维护(包括温度、湿度、电力系统、网络设备等),无关人员未经管理人员批准严禁进入机房。
第九条严禁易燃易爆和强磁物品及其它与机房工作无关的物品进
入机房。
第十条建立机房登记制度,对本地局域网络、广域网的运行,建立档案。未发生故障或故障隐患时当班人员不可对中继、光纤、网线及各种设备进行任何调试,对所发生的故障、处理过程和结果等做好详细登记。
第十一条网管人员应做好网络安全工作,服务器的各种帐号严格保密。监控网络上的数据流,从中检测出攻击的行为并给予响应和处理。
第十二条做好操作系统的补丁修正工作。
第十三条网管人员统一管理计算机及其相关设备,完整保存计算机及其相关设备的驱动程序、保修卡及重要随机文件。
第十四条计算机及其相关设备的报废需经过管理部门或专职人员鉴定,确认不符合使用要求后方可申请报废。
第十五条制定数据管理制度。对数据实施严格的安全与保密管理,防止系统统完整性、补丁和修正程序方面实时修改。
三、计算机病毒防范制度
第十六条网络管理人员应有较强的病毒防范意识,定期进行病毒检测(特别是数据的非法生成、变更、泄露、丢失及破坏。当班人员应在数据库的系统认证、系统授权、系邮件服务器),发现病毒立即处理并通知管理部门或专职人员。
第十七条采用国家许可的正版防病毒软件并及时更新软件版本。
第十八条未经上级管理人员许可,当班人员不得在服务器上安装新
软件,若确为需要安装,安装前应进行病毒例行检测。
第十九条经远程通信传送的程序或数据,必须经过检测确认无病毒后方可使用。
四、数据保密及数据备份制度
第二十条根据数据的保密规定和用途,确定使用人员的存取权限、存取方式和审批手续。
第二十一条禁止泄露、外借和转移专业数据信息。
第二十二条制定业务数据的更改审批制度,未经批准不得随意更改业务数据。
第二十三条每周五当班人员制作数据的备份并异地存放,确保系统一旦发生故障时能够快速恢复,备份数据不得更改。
第二十四条业务数据必须定期、完整、真实、准确地转储到不可更改的介质上,并要求集中和异地保存,保存期限至少2年。
第二十五条备份的数据必须指定专人负责保管,由管理人员按规定的方法同数据保管员进行数据的交接。交接后的备份数据应在指定的数据保管室或指定的场所保管。
第二十六条备份数据资料保管地点应有防火、防热、防潮、防尘、防磁、防盗设施。据保密及数据备份制度。
云计算服务安全能力要求
云计算服务安全能力要求 1 范围 本标准规定了以社会化方式提供云计算服务的服务商应满足的信息安全基本要求。 本标准适用于指导云服务商建设安全的云计算平台和提供安全的云计算服务,也适用于对云计算服务进行安全审查。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T XXXXX-XXXX 信息安全技术云计算服务安全管理指南 GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求 GB 50174-2008 电子信息系统机房设计规范 GB/T 9361-2011 计算机场地安全要求 3 术语和定义 GB/T 25069-2010、GB/T XXXXX-XXXX确立的以及下列术语和定义适用于本标准。 3.1 云计算cloud computing 云计算是一种通过网络便捷地访问海量计算资源(如网络、服务器、存储器、应用和服务)的模式,使客户只需极少的管理工作或云服务商的配合即可实现计算资源的快速获得和释放。 3.2 云服务商cloud service provider 为个人、组织提供云计算服务的企事业单位。云服务商管理、运营支撑云计算服务的计算基础设施及软件,通过网络将云计算服务交付给客户。 3.3 客户cloud consumer 使用云计算平台处理、存储数据和开展业务的组织。 3.4 第三方评估机构third party assessment organization 独立于云服务商和客户的专业评估机构。 3.5 云基础设施cloud infrastructure 云基础设施包括硬件资源层和资源抽象控制层。硬件资源层包括所有的物理计算资源,主要包括服务器(CPU、内存等)、存储组件(硬盘等)、网络组件(路由器、防火墙、交换机、网络链接和接口等)及其他物理计算基础元素。资源抽象控制层由部署在硬件资源层之上,对物理计算资源进行软件抽象的系统组件构成,云服务商用这些组件提供和管理物理硬件资源的访问。
安全生产综合监管信息平台
安全生产综合监管信息平台 1平台概述 安全生产综合监管信息平台是公司打造的一款面向安全生产监管领域、提供 企业生产过程的全程监控和安全服务的产品。平台监控的数据包括了各类安全生产监控探测设备的实时数据、实时的视频数以及设备的状态数据。本平台监管的对象包括所有生产、存储、运输、销售、使用危险化学品的企业(化工生产、加工企业、加油加气站、油库、气库等)、工业加工企业、建筑行业(建筑工地现场视频监控)、公共服务行业(各类电梯含公共场所电梯、生活小区电梯以及商用电梯的安全监控)。本平台通过对企业各个环节的安全生产数据实行信息化集成监管,能够为安全生产监管部门提供相应的实时动态监管服务功能,能够为接 入平台的企业提供各类安全服务功能,同时实现企业和政府部门之间的双向互动,增强政企之间的沟通。 平台由前端的数据采集设备、数据上报传输网络及后端数据处理系统构成,系统全面采用物联网技术、云计算和移动互联网相结合的技术模式,实现感知、传输、处理的闭环系统,并将结合移动计算实现信息的多渠道发布。 2系统体系架构 感知耒梢节点传感网绪感知匸集节点携入网传強:承联网檢心阿应用蒸轨 图2.1:系统体系架构图
本系统作为物联网项目的典型应用,整体系统架构的设计思路是基于从数据 的感知、传输处理、应用和展示着三个层次结构对系统进行设计。数据感知依靠 前端的企业端数据采集软件实现对企业不同类型的传感器数据进行采集, 然后采 集的数据在物联网网关中进行初步的处理,然后再通过物联网关加密压缩后传输 到中心数据库。在中心通过在GIS 地图上或者其他功能对接入的数据进行处理和 展示。 3软件架构设计 系统软件框架如下图所示: 屐 示层 国家法律法规政策保障 国家信息技术标准及安全生产 相关技术标准保障 应曲殴蜿 匝鶴?8?^ 去輟待系蛻 性则5輕数实 危瀚渝血管平台 应用层 I 安监业务平岂丿动弊歸晒 右】£应用平台 基砒组伴层 网络平台、系统安全平台 可诙网垂关 数据层 (昶展示购j 廳/巒片抓蔬 、 务 数据感知层
网络安全主机安全加固
网络安全主机安全加固 一、安全加固概述 网络与应用系统加固和优化服务是实现客户信息系统安全的关键环节。通过使用该项服务,将在客户信息系统的网络层、主机层和应用层等层次建立符合客户安全需求的安全状态,并以此作为保证客户信息系统安全的起点。 网络与应用系统加固和优化服务的目的是通过对主机和网络设备所存在安全问题执行以下操作: ●? 正确的安装; ●? 安装最新和全部OS和应用软件的安全补丁; ●? 操作系统和应用软件的安全配置; ●? 系统安全风险防范; ●? 提供系统使用和维护建议; ●? 系统功能测试; ●? 系统安全风险测试; ●? 系统完整性备份; ●? 必要时重建系统等。 上述工作的结果决定了网络与应用系统加固和优化的流程、实施的内容、步骤和复杂程度。具体说,则可以归纳为: (1)加固目标也就是确定系统在做过加固和优化后,达到的安全级别,通常不同环境下的系统对安全级别的要求不同,由此采用的加固方案也不同。 (2)明确系统运行状况的内容包括: ●? 系统的具体用途,即明确系统在工作环境下所必需开放的端口和服务等。
●? 系统上运行的应用系统及其正常所必需的服务。 ●? 我们是从网络扫描及人工评估里来收集系统的运行状况的。 (3)明确加固风险:网络与应用系统加固是有一定风险的,一般可能的风险包括停机、应用程序不能正常使用、最严重的情况是系统被破坏无法使用。这些风险一般是由于系统运行状况调查不清导致,也有因为加固方案的代价分析不准确,误操作引起。因此在加固前做好系统备份是非常重要的。 (4)系统备份:备份内容包括:文件系统、关键数据、配置信息、口令、用户权限等内容;最好做系统全备份以便快速恢复。 二.加固和优化流程概述 网络与应用系统加固和优化的流程主要由以下四个环节构成: 1. 状态调查 对系统的状态调查的过程主要是导入以下服务的结果: ●? 系统安全需求分析 ●? 系统安全策略制订 ●? 系统安全风险评估(网络扫描和人工评估) 对于新建的系统而言,主要是导入系统安全需求分析和系统安全策略制订这两项服务的结果。在导入上述服务的结果后,应确定被加固系统的安全级别,即确定被加固系统所能达到的安全程度。同时,也必须在分析上述服务结果的基础上确定对网络与应用系统加固和优化的代价。 2. 制订加固方案 制订加固方案的主要内容是根据系统状态调查所产生的结果制订对系统实施加固和优化的内容、步骤和时间表。
互联网交通安全综合服务平台单位用户注册申请表
互联网单位用户注册/变更申请表档案编号:
填表说明 一、打印或者使用黑色、蓝色墨水笔,用中文填写,字体工整,不得涂改。 二、标注有“□”符号的为选择项目,选择后在“□”中划“√”。 三、“申请单位信息”中包含的各栏均应认真填写,不得空项。其中: 1、“单位种类”,只能通过复选框选择一项。校车服务提供者请勾选道路运输企业选项。 2、“单位名称”,应填写组织机构代码证上签注的单位名称。 四、“申请人信息”中包含的各栏均应认真填写,不得空项。其中: 1、“身份证明名称”,属于居民的,填写“居民身份证”或者“临时居民身份证”和证件号码,在暂住地居住的内地居民还要填写公安机关核发的居住、暂住证明名称和证明号码;属于香港、澳门特别行政区居民的,填写香港、澳门特别行政区“居民身份证”和证件号码;属于台湾地区居民的,填写“台湾居民来往大陆通行证”或者“中华人民共和国旅行证”和证件号码;属于华侨的,填写“中华人民共和国护照”和证件号码;属于外国人的,填写“护照”或者其他旅行证件的名称和证件号码;属于外国驻华使、领馆人员及国际组织驻华代表机构人员的,填写外交部核发的有效身份证件名称和证件号码。 2、“手机号码”,填写申请人手机号码,用于接收手机短信告知、提示信息。 3、“电子信箱”,填写申请人电子信箱,用于接收电子邮件告知信息,可以不填写。 4、“邮寄地址”,填写可以通过邮寄送达的地址,应包括区县或县级市、乡镇信息。 五、“申请事项”请按照办理业务勾选。其中: 1、“申请服务”,当单位种类为“道路运输企业”时,可申请服务1、2和3;当单位种类为“驾驶培训机构”、“汽车销售商”、“医院”时,可申请服务3和6;当单位种类为“学校”时,可申请服务2和3;当单位种类为“其他”,可申请服务3;当单位种类为“道路运输管理部门”、“安监部门”时,可申请服务3和4;当单位种类为“教育行政部门”,可申请服务3和5。 2、对于申请了6的汽车销售商单位用户,可以办理网上机动车临时号牌核发业务;对于申请了6的医院单位用户,可以办理网上医院体检、提交身体条件证明业务;对于申请了6的驾校单位用户,可以办理网上本单位学员预约信息查询业务。 3、对于申请了1、2、3中单项或多项的单位用户账号,可以办理网上预选机动车号牌业务。 4、选择用户变更事项为“变更手机号码”的,还需填写变更后用于接收单位告知信息的手机号码。
Windows系统安全加固技术指导书
甘肃海丰信息科技有限公司Windows系统安全加固技术指导书 ◆版本◆密级【绝密】 ◆发布甘肃海丰科技◆编号GSHF-0005-OPM- ?2006-2020 HIGHFLYER INFORMATION TECHNOLOGY ,INC.
目录 文档信息 (2) 前言 (3) 一、编制说明 (3) 二、参照标准文件 (3) 三、加固原则 (3) 1.业务主导原则 (3) 2.业务影响最小化原则 (4) 3.实施风险控制 (4) (一)主机系统 (4) (二)数据库或其他应用 (4) 4.保护重点 (5) 5.灵活实施 (5) 6.周期性的安全评估 (5) 四、安全加固流程 (5) 1.主机分析安全加固 (6) 2.业务系统安全加固 (7) 五、W INDOWS 2003操作系统加固指南 (8) 1.系统信息 (8) 2.补丁管理 (8) (一)补丁安装 (8) 3.账号口令 (8) (一)优化账号 (8) (二)口令策略 (8) 4.网络服务 (9) (三)优化服务 (9) (四)关闭共享 (9) (五)网络限制 (10) 5.文件系统 (10) (一)使用NTFS (10) (二)检查Everyone权限 (10) (三)限制命令权限 (10) 6.日志审核 (11) (一)增强日志 (11) (二)增强审核 (11)
文档信息 ■版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属甘肃海丰所有,受到有关产权及版权法保护。任何个人、机构未经甘肃海丰的书面授权许可,不得以任何方式复制或引用本文的任何片断。 ■变更记录 时间版本说明修改人 2008-07-09新建本文档郑方 2009-05-27修正了4处错误、删除了IIS5加固部分郑方 2010-10-11新增加固IIS6、SQL2000加固操作指南郑方
网络安全风险评估最新版本
网络安全风险评估 从网络安全威胁看,该集团网络的威胁主要包括外部的攻击和入侵、内部的攻击或误用、企业内的病毒传播,以及安全管理漏洞等方面。因此要采取以下措施增强该集团网络安全: A:建立集团骨干网络边界安全,在骨干网络中Internet出口处增加入侵检测系统或建立DMZ区域,实时监控网络中的异常流量,防止恶意入侵,另外也可部署一台高档PC服务器,该服务器可设置于安全管理运行中心网段,用于对集团骨干网部署的入侵检测进行统一管理和事件收集。 B:建立集团骨干网络服务器安全,主要考虑为在服务器区配置千兆防火墙,实现服务器区与办公区的隔离,并将内部信息系统服务器区和安全管理服务器区在防火墙上实现逻辑隔离。还考虑到在服务器区配置主机入侵检测系统,在网络中配置百兆网络入侵检测系统,实现主机及网络层面的主动防护。 C:漏洞扫描,了解自身安全状况,目前面临的安全威胁,存在的安全隐患,以及定期的了解存在那些安全漏洞,新出现的安全问题等,都要求信息系统自身和用户作好安全评估。安全评估主要分成网络安全评估、主机安全评估和数据库安全评估三个层面。 D:集团内联网统一的病毒防护,包括总公司在内的所有子公司或分公司的病毒防护。通过对病毒传播、感染的各种方式和途径进行分析,结合集团网络的特点,在网络安全的病毒防护方面应该采用“多级防范,集中管理,以防为主、防治结合”的动态防毒策略。 E:增强的身份认证系统,减小口令危险的最为有效的办法是采用双因素认证方式。双因素认证机制不仅仅需要用户提供一个类似于口令或者PIN的单一识别要素,而且需要第二个要素,也即用户拥有的,通常是认证令牌,这种双因素认证方式提供了比可重用的口令可靠得多的用户认证级别。用户除了知道他的PIN号码外,还必须拥有一个认证令牌。而且口令一般是一次性的,这样每次的口令是动态变化的,大大提高了安全性。 补充:最后在各个设备上配置防火墙、杀毒软件,通过软件加强网络安全
网络安全措施
电子政务保密管理工作措施 网络时代的到来,就是信息化时代的到来。随着Internet的不断发展,信息技术已成为促进经济发展、社会进步的巨大推动力网络带给大家的优越性是有目共睹的。但是随之而来的网络安全问题成为了大家所关注的交点。为了认真贯彻执行省委办公厅、省政府办公厅,关于加强电子政务保密管理工作应采取措施: 第一章:网络安全性 第二章:保密性与系统管理 第三章:人员培训 第四章:管理制度 第一章:网络安全性 网络安全是一项动态的、整体的系统工程,从技术上来说,网络安全由安全的操作系统、应用系统、防病毒、防火墙、入侵检测、网络监控、实时监控与恢复系统安全扫描等多个安全组件组成,一个单独的组件是无法确保您信息网络的安全性。这就需要硬件与软件相结合来使用才能使得网络安全得到进一步的保障。 第一节:硬件方面 计算机本身的硬件是否稳定可靠,整体性能是否优越。是否有加密设备(比如:热狗),是否有硬件防火墙。这样也为网络安全性进一步的提供了条件。 第二节:软件方面 1.防病毒软件 2001年是不平凡的一年,是计算机病毒疯狂肆虐的一年,红色代码病毒、尼姆达病毒、求职病毒触动了信息网络脆弱的安全神经,更使部分信息网络用户一度陷入通讯瘫痪的尴尬局面…… 为了免受病毒所造成的损失,建议采用多层的病毒防卫体系。所谓的多层病毒防卫体系,是指在每台PC机上安装单机版反病毒软件,在服务器上安装基于服务器的反病毒软件(比如:瑞星、熊猫卫士、江民等等),在网关上安装基于网关的反病毒软件。因为防止病毒的攻击是每个员工的责任,人人都要做到自己使用的台式机上不受病毒的感染,从而保证整个网络不受病毒的感染。 考虑到病毒在网络中存储、传播、感染的方式各异且途径多种多样,故相应地在构建网络防病毒系统时,应利用全方位的企业防毒产品,实施"层层设防、集中控制、以防为主、防杀结合"的策略。具体而言,就是针对网络中所有可能的病毒攻击设置对应的防毒软件,通过全方位、多层次的防毒系统配置,使网络没有薄弱环节成为病毒入侵的缺口。 2.软件防火墙 防火墙技术是重要网络安全技术,其主要作用是在网络入口处检查网络通讯,根据客户设定的安全规则,在保护内部网络安全的前提下,保障内外网络通讯。 在网络出口处安装防火墙后,内部网络与外部网络进行了有效的隔离,所
信息安全等级保护初级测评师模拟试题
信息安全等级测评师模拟考试 考试形式:闭卷考试时间:120分钟 一、单选题(每题1.5分,共30分) 1.以下关于等级保护的地位和作用的说法中不正确的是(C ) A.是国家信息安全保障工作的基本制度、基本国策。 B.是开展信息安全工作的基本方法。 C.是提高国家综合竞争力的主要手段。 D.是促进信息化、维护国家信息安全的根本保障。 2. 以下关于信息系统安全建设整改工作工作方法说法中不正确的是:(A ) A.突出重要系统,涉及所有等级, 试点示范,行业推广,国家强制执行。 B.利用信息安全等级保护综合工作平台使等级保护工作常态化。 C.管理制度建设和技术措施建设同步或分步实施。 D.加固改造缺什么补什么也可以进行总体安全建设整改规划。 3.以下关于定级工作说法不正确的是:(A ) A.确定定级对象过程中,定级对象是指以下内容:起支撑、传输作用的信息网络(包括专网、内网、外网、网管系统)以及用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统。 B.确定信息系统安全保护等级仅仅是指确定信息系统属于五个等级中的哪一个。 C.在定级工作中同类信息系统的安全保护等级不能随着部、省、市行政级别的降低而降低。 D.新建系统在规划设计阶段应确定等级,按照信息系统等级,同步规划、同步设计、同步实施安全保护技术措施和管理措施。 4. 安全建设整改的目的是(D ) (1)探索信息安全工作的整体思路;(2)确定信息系统保护的基线要求;(3)了解信息系统的问题和差距;(4)明确信息系统安全建设的目标;(5)提升信息系统的安全保护能力; A.(1)、(2)、(3)、(5) B.(3)、(4)、(5) C.(2)、(3)、(4)、(5) D.全部
什么是信息安全服务
信息安全服务 目录 什么是信息安全服务 信息安全服务的作用 选择信息安全服务的基本的法则 对信息安全服务商的基本要求 信息安全服务商的面临的问题 我国信息安全服务的重点发展方向 什么是信息安全服务 信息安全服务的作用 选择信息安全服务的基本的法则 对信息安全服务商的基本要求 信息安全服务商的面临的问题 我国信息安全服务的重点发展方向 展开 编辑本段什么是信息安全服务 信息安全服务是指适应整个安全管理的需要,为企业、政府提供全面或部分信息安全解决方案的服务。信息安全服务提供包含从高端的全面安全体系到细节的技术解决措施。 编辑本段信息安全服务的作用 目前,国内政府和企业中信息安全建设多处在较初级的阶段,缺乏信息安全的合理规划,也普遍缺乏相应的安全管理机制,这些问题受到整体管理水平和信息化水平的限制,在短期内很难根本改变。当前国内的信息安全服务商纷纷提出了自己的安全服务体系,一般都包括信息安全评估、加固、运维、教育、风险管理等。这些西方背景的先进的理念在吸引用户的同时,给用户造成了很大的迷茫,很多用户购买安全服务的直接动机是应付当前的安全事件、满足管理层的意志或减轻来自内外的舆论压力,服务形式内容和现实需求之间存在较大落差。 必须承认当前信息安全服务对用户的帮助主要在技术方面,对管理的影响是有限的。用户普遍遇到的最大问题是自身资源不足,实际是“安全管理员”的缺位,其次是对基本管理体系探索的需求。从用户的角度来看,信息安全服务能带来的实际好处包括:弥补用户人力的不足,弥补用户技术的不足,弥补用户信息的不足,弥补用户管理思想的不足。这些服务内
容主要通过服务团队特别是一线人员传递到用户的手中,服务人员的技术技能和态度将直接决定用户的收益。 编辑本段选择信息安全服务的基本的法则 1、谨慎选择厂商和服务内容 用户在选择服务商的时候,遇到的困惑之一是服务厂商的服务内容的同质化,市场排名或成本因素往往成了选择的主要标准,这是不理性的。真正重要因素是服务商的安全现状和安全目标的理解和认可程度,并能否针对性地提出合理的服务内容和方案;服务人员的技能考察非常重要,取得安全服务资格的厂商并不一定能具有真正的服务能力,用户方的负责人员和实际服务人员的深入交流一般会提供鉴别的依据;服务商的服务管理能力和信用等也是考察的要点。 2、引导与监控安全服务进程 在安全服务的实施过程中,需要用户的积极参与。虽然在服务契约签订时,双方已经初步确定了服务的内容和目标,但这些内容和目标往往是抽象的,高素质的服务人员会依此主动发现问题,提供合理的建议,普通服务人员常常不具备这种能力。但无论哪种情况,用户的引导和监控都是必要的,服务商对用户的信息系统的认识程度是有限的,能够介入的范围也很狭窄,用户应当用需求或目标来引导和监控服务的实施,甩手掌柜式的用户会导致安全服务的效力无法发挥和自身能力的停滞。 3、善于放大安全服务的效力 信息安全服务是一项借用外脑的活动,一般用户更情愿在软硬件系统的购买上投入资金,却对安全服务比较质疑,原因是认为服务既是无形的,又不创造经济效益。其实,用户是可以将安全服务的效力放大的,如果仅把安全服务看作是仅对it部门的服务,那效力就仅限于一个部门,如果为更大的范围服务,就会取得更大的效力,如安全预警。另外创造性的服务也可带来经济上的效益,一个合理的安全建设方案可能会带来实际的成本的节约,一个安全管理的认可,可能会带来企业形象的提升,甚至一项安全增值业务可能会带来直接的收益。 编辑本段对信息安全服务商的基本要求 信息安全的特点决定了对信息安全服务商有较高的要求,我们将之分为管理要求、技术要求和高级要求,其中管理原则和技术原则主要基于实践应急反应层面,高级要求主要针对安全管理、安全策略和发展层面。 管理要求 * 信息安全要求建立一个24小时不间断反应。 * 能够建立一个针对不同攻击的正确行动方案。
网络安全防护技术
《网络安全防护技术》课程标准一、课程基本信息 课程名称网络安全防护技术先修课计算机组网技术、网络操作系统、网络管理 学分 4 学时建议68学时 授课对象网络专业三年级学生后续课攻防对抗、网络安全检 测与评估 课程性质专业核心课 二、课程定位 计算机网络技术专业从“组网、管网、用网”三个方向分别设置课程,《网络安全防护技术》则是其中承上启下,为这三个专业方向提供支撑,是计算机网络技术专业的核心课程。 《网络安全防护技术》课程通过三大应用情境的12个典型工作任务的学习,帮助学生学会正确使用各娄安全技术:加密、身份认证、资源权限管理、操作系统加固、病毒防范、链路加密、漏洞修补、安全检测等,能实施包括防水墙、入侵检测等安全产品配置,更能根据不同应用网络环境规划安全方案及应急响应策略。从内容上看,它涵盖了个人主机、办公网络和企业网络在安全防范中最常用的技术,也是网络安全工程师NCSE一、二级职业资格考试的重要内容,在整个课程体系中具有重要的作用。 学生学习了这门课程,既有助于学生深化前导的《网络操作系统》、《网络管理》、《计算机组网技术》等专业课程,又能辅助学生学习后续的《攻防对抗》、《网络安全检测与评估》的理解,提高学生的网络安全管理能力,培养更适应计算机网络相关岗位的合格从业人员。 三、课程设计(参照信息产业部NCSE一、二级证书的考试大纲) 1、课程目标设计 (1)能力目标 能够解决不同的网络应用环境中遇到的信息安全问题,成为具备基本安全知识和技能的安全应用型人才。能正确配置网络安全产品、实施应用安全技术、熟练掌握各类安全工具的使用方法,并能规划不同应用网络环境中的安全方案及应急响应策略。 (2)知识目标 掌握网络安全技术的概念与相关知识,了解网络安全相关标准,对于各类网络环境所使用的各类防护技术原理有正确的认识。 (3)态度目标 遵守国家关于信息安全的相关法律法规,不利用所掌握的技术进行入侵攻击方面的活动;正确认识攻击事件,有应急处理维护和恢复信息系统的意识。 (4)终极目标 培养掌握较全面的网络安全防护技能,同时具备较高的安全素养,能够从事企事业单位的网络安全与管理的合格从业人员。
等级保护测评考试真题汇总简答题部分)
等级保护测评考试(简答题部分) 应用: 1、基本要求中,在应用安全层面的访问控制要求中,三级系统较二级系统增加的措施有哪些?答:三级比二级增加的要求项有:应提供对重要信息资源设置敏感标记的功能;应按照安全策略严格控制用户对有敏感标记重要信息资源的访问。 2、在应用安全测评中,如何理解安全审计的“a)应该覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计”? 主机: 1、在主机测评前期调研活动中,收集信息的内容(至少写出六项)?在选择主机测评对象时应该注意哪些要点?(10分) 答:至少需要收集服务器主机的设备名称、型号、操作系统、IP地址、安装的应用软件情况、主要的业务情况、重要程度、是否热备等信息。测评对象选择时应该注意重要性、代表性、完整性、安全性、共享性五大原则。 2、主机常见评测的问题? 答:①检测用户的安全防范意识,检查主机的管理文档。②网络服务的配置。③安装有漏洞的软件包。④缺省配置。⑤不打补丁或补丁不全。⑥网络安全敏感信息的泄露。7缺乏安全防范体系。⑧信息资产不明,缺乏分类的处理。⑨安全管理信息单一,缺乏单一的分析和管理平台。 3、数据库常见威胁有哪些?针对于工具测试需要注意哪些内容? 答:①非授权访问、特权提升、SQL注入针对漏洞进行攻击、绕过访问控制进行非授权访问等。 ②工具测试接入测试设备之前,首先要有被测系统人员确定测试条件是否具备。测试条件包括被测网络设备、主机、安全设备等是否都在正常运行,测试时间段是否为可测试时间段等等。接入系统的设备、工具和IP地址等配置要经过被测系统相关人员确认。对于测试过程可能造成的对目标系统的网络流量及主机性能等方面的影响,要事先告知被测系统相关人员对于测试过程中的关键步骤、重要证据要及时利用抓图工具取证。对于测试过程中出现的异常情况要及时记录,需要被测方人员确认被测系统状态正常并签字后离场。 4、主机按照其规模或系统功能来区分为哪些类?主机安全在测评时会遇到哪些类型操作系统?网络安全三级信息系统的安全子类是什么?三级网络安全的安全审计的内容是什么? 答:①巨型、大型、中型、小型、微型计算机和单片机。②目前运行在主机上的主流操作系统有:windows、linux、sunsolaris、ibm aix、hp-ux等等。③结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护。④应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录。审计记录应包括:事件的日期和时间、用户、时间类型、事件是否成功及其他与审计相关的信息。应能够根据记录数据进行分析,并生成审计报表。应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。
通信网络安全服务能力评定申请指南
通信网络安全服务能力评定申请指南 ?2014—中国通信企业协会通信网络安全专业委员会 2014年3月20日
目录 引言......................................... 错误!未定义书签。 一、评定依据................................. 错误!未定义书签。 二、类型与级别划分........................... 错误!未定义书签。 三、评定准则................................. 错误!未定义书签。 四、评定流程................................. 错误!未定义书签。 4.1通信网络安全服务能力评定工作流程图........ 错误!未定义书签。 4.2申请阶段.................................. 错误!未定义书签。 4.3材料审查阶段.............................. 错误!未定义书签。 4.4能力评定阶段.............................. 错误!未定义书签。 4.4.1书面评定............................... 错误!未定义书签。 4.4.2现场评定............................... 错误!未定义书签。 4.4.3综合评定............................... 错误!未定义书签。 4.4.4出具《报告》........................... 错误!未定义书签。 4.4.5专家评审............................... 错误!未定义书签。 4.5证书发放阶段.............................. 错误!未定义书签。 4.5.1公示................................... 错误!未定义书签。 4.5.2签订《承诺书》......................... 错误!未定义书签。 4.5.3颁发证书............................... 错误!未定义书签。 五、证后监督管理............................. 错误!未定义书签。 六、争议、投诉与申诉......................... 错误!未定义书签。
计算机网络安全教程课后答案(武科大考试版)
计算机网络安全教程复习资料 (标红的是部分10级考过的) 第1章(P27) 一、选择题 1. 狭义上说的信息安全,只是从自然科学的角度介绍信息安全的研究内容。 2. 信息安全从总体上可以分成5个层次,密码技术是信息安全中研究的关键点。 3. 信息安全的目标CIA指的是机密性,完整性,可用性。 4. 1999年10月经过国家质量技术监督局批准发布的《计算机信息系统安全保护等级划分准则》将计算机安全保护划分为以下5个级别。 二、填空题 1. 信息保障的核心思想是对系统或者数据的4个方面的要求:保护(Protect),检测(Detect),反应(React),恢复(Restore)。 2. TCG目的是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台Trusted Computing Platform,以提高整体的安全性。 3. 从1998年到2006年,平均年增长幅度达50%左右,使这些安全事件的主要因素是系统和网络安全脆弱性(Vulnerability)层出不穷,这些安全威胁事件给Internet带来巨大的经济损失。 4. B2级,又叫结构保护(Structured Protection)级别,它要求计算机系统中所有的对象都要加上标签,而且给设备(磁盘、磁带和终端)分配单个或者多个安全级别。 5. 从系统安全的角度可以把网络安全的研究内容分成两大体系:攻击和防御。 三、简答题 1. 网络攻击和防御分别包括哪些内容? 答:①攻击技术:网络扫描,网络监听,网络入侵,网络后门,网络隐身 ②防御技术:安全操作系统和操作系统的安全配置,加密技术,防火墙技术,入侵检测,网络安全协议。 2. 从层次上,网络安全可以分成哪几层?每层有什么特点? 答:从层次体系上,可以将网络安全分为4个层次上的安全: (1)物理安全特点:防火,防盗,防静电,防雷击和防电磁泄露。 (2)逻辑安全特点:计算机的逻辑安全需要用口令、文件许可等方法实现。 (3)操作系统特点:操作系统是计算机中最基本、最重要的软件。操作系统的安全是网络安全的基础。(4)联网安全特点:联网的安全性通过访问控制和通信安全两方面的服务来保证。 3.为什么要研究网络安全? 答:目前研究网络安全已经不只为了信息和数据的安全性。网络安全已经渗透到国家的 政治、经济、军事等领域,并影响到社会的稳定。 第2章(P56) 一、选择题 1. OSI参考模型是国际标准化组织制定的模型,把计算机与计算机之间的通信分成7个互相连接的协议层。 2. 表示层服务的一个典型例子是用一种一致选定的标准方法对数据进行编码。。 3. 子网掩码是用来判断任意两台计算机的IP地址是否属于同一子网络的根据。。 4. 通过ICMP协议,主机和路由器可以报告错误并交换相关的状态信息。 5. 常用的网络服务中,DNS使用UDP协议。 二、填空题 1. 网络层的主要功能是完成网络中主机间的报文传输,在广域网中,这包括产生从源端到目的端的路由。 2. TCP/IP协议族包括4个功能层:应用层、传输层、网络层和网络接口层。这4层概括了相对于OSI参考模型中的7层。 3. 目前E-mail服务使用的两个主要协议是简单邮件传输协议和邮局协议。 4. ping指令通过发送ICMP包来验证与另一台TCP/IP计算机的IP级连接,应答消息的接收情况将和往返过
网络安全主机安全加固
网络安全主机安全加固 网络安全主机安全加固 、安全加固概述 网络与应用系统加固和优化服务是实现客户信息系统安全的关键环节。通过使用该项服务,将在客户信息系统的网络层、主机层和应用层等层次建立符合客户安全需求的安全状态,并以此作为保证客户信息系统安全的起点。 网络与应用系统加固和优化服务的目的是通过对主机和网络设备所存在安全问题执行以下操作: ?正确的安装; ?安装最新和全部OS和应用软件的安全补丁; ?操作系统和应用软件的安全配置; ?系统安全风险防范; ?提供系统使用和维护建议; ?系统功能测试; ?系统安全风险测试; ?系统完整性备份;
?必要时重建系统等。 上述工作的结果决定了网络与应用系统加固和优化的流程、实施的内容、步骤和复杂程度。具体说,贝U可以归纳为: (1)加固目标也就是确定系统在做过加固和优化后,达到的安全级别,通常不同环境下的系统对安全级别的要求不同,由此采用的加固方案也不同。 (2 )明确系统运行状况的内容包括: ?系统的具体用途,即明确系统在工作环境下所必需开放的端口和服务等。 ?系统上运行的应用系统及其正常所必需的服务。 ?我们是从网络扫描及人工评估里来收集系统的运行状况的。 (3)明确加固风险:网络与应用系统加固是有一定风险的,一般可能的风险包括停机、应用程序不能正常使用、最严重的情况是系统被破坏无法使用。这些风险一般是由于系统运行状况调查不清导致,也有因为加固方案的代价分析不准确,误操作引起。因此在加固前做好系统备份是非常重要的。 (4 )系统备份:备份内容包括:文件系统、关键数据、配置信息、口令、用户权限等内容;最好做系统全备份以便快速恢复。 二?加固和优化流程概述 网络与应用系统加固和优化的流程主要由以下四个环节构成: 1. 状态调查 对系统的状态调查的过程主要是导入以下服务的结果: ?系统安全需求分析 ?系统安全策略制订
通信网络安全服务能力评定管理办法第一章总则
通信网络安全服务能力评定管理办法 第一章总则 第一条为提高通信网络安全服务质量,确保服务过程的安全可控性,促进通信网络安全服务行业的健康发展,协助政府主管部门加强对通信网络安全服务的指导,依据《通信网络安全防护管理办法》,制定本办法。 第二条本办法适用于对中华人民共和国境内的通信网络安全服务单位提供安全服务的能力进行评定,可作为电信管理机构把握通信网络安全服务整体情况的参考,可作为电信运营企业选择通信网络安全服务的依据,也可以作为通信网络安全服务单位改进自身能力的指导。 第三条通信网络安全服务能力评定(以下简称能力评定)是指对通信网络安全服务单位从事通信网络安全服务综合能力的评定,包括技术能力、服务能力、质量保证能力、人员构成与素质、经营业绩、资产状况、获得奖励情况等要素。 第四条通信网络安全服务单位经过能力评定可取得《中国通信企业协会通信网络安全服务能力资格证书》(以下简称证书)。 第二章能力评定类型与等级 第五条通信网络安全服务能力分为两种类型:风险评估、安全设计与集成。
风险评估是指运用科学的方法和手段,系统地分析通信网络及相关系统所面临的威胁及其存在的脆弱性,评估安全事件可能造成的危害程度,并提出有针对性的防护对策和安全措施,防范和化解通信网络及相关系统安全风险,将风险控制在可接受的水平,为最大限度地保障通信网络及相关系统的安全提供科学依据; 安全设计与集成是指对所服务的通信网络的安全框架进行设计,形成安全建设规划,并对计划实施的安全策略细化,在安全解决方案的基础上,实施安全产品集成、安全软件定制开发、安全加固或其它的安全技术和咨询服务。 第六条通信网络安全服务能力分为三个级别,由低至高依次是:一级、二级和三级。 第七条对各级别能力的具体要求可参见《通信网络安全服务能力评定准则》的有关规定。 第三章能力评定组织管理 第八条中国通信企业协会负责能力评定的发证工作,中国通信企业协会通信网络安全专业委员会(以下简称通信安委会)负责能力评定一级级别组织专家评审工作;二级及以上级别申请的协调和管理工作,包括组织技术专家评定1、组织专家评审2、公布能力评定结果和管理证后监督。 1由通信安委会组建技术专家库,由来自通信行业政府、事业单位、运营企业的安全技术专家组成,每批评定 工作从专家库随机抽取至少3名专家进行评定; 2由通信安委会专家指导组成员组成,每批评审随机抽取4名(一级)/5名(二级和三级)专家进行评审,评 审专家具有一票否决权。
平台安全运维保障方案
平台运维保障方案 1.目的 为了保障平台各项业务的正常开展,确保信息系统的正常运行,规范信息系统日常操作及维护阶段安全要求,特制订此方案。 2.系统日常操作及维护管理 2.1.建立双向联动责任人机制 所有涉及到业务平台的资源,包括主机操作系统、应用系统、网络设备和安全设备,指定电信接口人和支撑单位接口人双向联动,由电信公司指定维护接口人专门负责对接支撑单位的技术负责人和维护人员,电信公司的接口人对支撑单位的日常工作进行监督,支撑单位对业务系统的日常操作和维护按照本方案进行记录,做到责任到人,保证各个业务平台的正常运行。 2.2.操作系统日常操作及维护 (1)必须严格管理操作系统账号,定期对操作系统账号和用户权限分配进行检查,系 统维护人员至少每月检查一次,并报信息技术管理员审核,删除长期不用和废弃 的系统账号和测试账号。 (2)必须加强操作系统口令的选择、保管和更换,系统口令做到: ●长度要求:8位字符以上; ●复杂度要求:使用数字、大小写字母及特殊符号混合; ●定期更换要求:每90天至少修改一次。 (3)支撑单位维护人员需定期进行安全漏洞扫描和病毒查杀工作,平均频率应不低于 每月一次,重大安全漏洞发布后,应在3个工作日内进行上述工作。为了防止网 络安全扫描以及病毒查杀对网络性能造成影响,应根据业务的实际情况对扫描时 间做出规定,需安排在非业务繁忙时段。技术负责人应为每个系统指定专门的系 统维护人员,由系统维护人员对所负责的服务器进行检查,至少每天一次,确保 各系统都能正常工作;监控系统的CPU利用率、进程、内存和启动脚本等使用情况。
(4)当支撑单位维护人员监测到以下几种已知的或可疑的信息安全问题、违规行为或 紧急安全事件系统时,应立即报告技术负责人,同时采取控制措施,并进行记录: a)系统出现异常进程; b)CPU利用率,内存占用量异常; c)系统突然不明原因的性能下降; d)系统不明原因的重新启动; e)系统崩溃,不能正常启动; f)系统中出现异常的系统账户; g)系统账户口令突然失控; h)系统账户权限发生不明变化; i)系统出现来源不明的文件; j)系统中文件出现不明原因的改动; k)系统时钟出现不明原因的改变; (5)系统日志中出现非正常时间登录,或有不明IP地址的登录; (6)系统维护人员对操作系统的任何修改,都需要进行备案,对操作系统的重大修改 和配置(如补丁安装、系统升级等操作)必须向技术负责人提交系统调整方案,由信息技术管理员审核通过后方可实施。操作系统的配置和修改必须在非业务时间进行,重大调整必须提前准备应急预案和回退方案。 (7)保证操作系统日志处于运行状态,系统维护人员应定期对日志进行审计分析,至 少每月审计一次,重点对登录的用户、登录时间、所做的配置和操作做检查,在发现有异常的现象时及时向信息技术管理员报告。 (8)系统维护人员应设置操作系统日志归档保存功能,历史记录保持时间不得低于一 年。 2.3.业务系统安全日常操作及维护 (1)新的应用系统在正式上线运行前应由技术负责人进行安全检查,检查通过方能正 式运行使用。严禁在不检查或检查未通过的情况下将应用部署到正式环境中。检查的内容包括: a)检查应用系统的软件版本;
服务器主机操作系统安全加固方案
主机问题解决方案 部分主机未禁用GUEST 账户,需禁用所有主机Guest 账号 (只适用于windows)。旗标曝露操作系统的版本: AIX : 修改/etc/motd 中的内容为“ hello ” “ welcome” 或其 他,以覆盖系统版本信息。 HP-UNIX 修改/etc/issue 中的内容。 超时退出功能,已加固部分服务器,剩余服务器,Windows 设置屏保,时间为10 分钟以内,启用屏保密码功能。HP-UNIX:修改/etc/profile 文件,增加TMOUT值,建议设定600以 内。AIX:编辑/etc/profile 文件,添加TMOUT参数设置,例如TMOUT=600 以内,系统600 秒无操作后将自动执行帐户注销操作。 明文管理方式,部分设备目前还需要使用TELNET 服务,逐步关闭,建议采用SSH ,在网络和主机层面逐步关闭TELNET协议,禁用TELNET启用SSH协议(适用于AIX与HP-UNIX): 1.禁用telnet vi /etc/inetd.conf 把telnet 行注释掉,然后refresh -s inetd 2.加速ssh 的登录 第一: 如有/etc/resolv.conf ,rm 掉 第二:vi /etc/ssh/sshd_config 去掉注释userDns , 把yes 改
为no stopsrs -s sshd startsrc -s sshd 未关闭远程桌面,易受本地局域网恶意用户攻击,需转运行后,在网络层面增加访问控制策略。 允许root 账户远程登录,各网省建立专用账号实现远程管理,关闭root 账号运程管理功能在。 主机操作系统提供FTP 服务,匿名用户可访问,易导致病毒的传播,禁用AIX 自身的FTP 服务(适用于AIX 与HP-UNIX) 1、编辑/etc/inetd.conf 将ftpd 一项注释; 2、refresh -s inetd 。 其它FTP服务软件使用注意:先关闭所有FTP服务,用时开启,用完后关闭。
牢固树立安全意识自觉提升服务水平
牢固树立安全意识自觉提升服务水平各位领导、各位来宾、各位朋友:大家好! 我叫XXX,是金河宾馆的餐厅服务经理。我有幸做为全市餐饮服务企业代表在这里表态发言,内心无比的激动和自豪。 我们都知道,餐饮消费环节是食品监管环节的终端,存在着许多安全隐患,关系着人民群众的身体健康和生命安全,关系着社会的稳定与和谐,影响着我市的投资环境和经济发展。一个地方的城市建设和经济发展的快与否,餐饮服务业是标志,是窗口,是形象和文明的象征。因此,抓好餐饮服务环节食品安全工作不仅仅是民生工程,也是良心工程、惠民工程。 市场经济的基本规律告诉我们,只有规范有序的秩序才能获得欣欣向荣的发展。严格执法、科学监管、对违法违规行为的打击本身就是对守法者合法利益的保护,也是对市场的有效规范。 今天,市食品药品监督管理局隆重召开2012年度全市食品药品监督管理工作会议,充分体现了市委、市政府对食品药品监管工作的高度
重视和监管部门整治医药市场秩序、打造放心就餐环境的决心和信心!做为餐饮服务业的其中一员,我既为我市餐饮服务业的美好未来而憧憬,也为新时期做好餐饮服务工作,提高服务水平而倍感压力! 因此,做为餐饮企业的负责人一定要认真贯彻落实《中华人民共和国食品安全法》及其实施条例等法律法规,牢固树立餐饮服务单位是食品安全第一责任人的意识,强化守法意识、安全意识、自律意识、服务意识、大局意识和责任意识,将被动的管理转变为自觉的行动,做到法律法规常学、规范经营常说、打击假劣常讲,时刻绷紧食品安全这根弦,做到诚信经营、守法经营。加强对从业人员食品安全知识的培训,建立并严格落实食品及其原料进货查验记录制度,不滥用食品添加剂,杜绝使用病死或来源不明的肉禽及其制品,正确对餐饮用具进行消毒,从源头上将食品安全隐患消除在萌芽状态,杜绝违法违规事件的发生,为我市餐饮服务水平迈上新台阶做出自己应有的贡献。 我相信,在市委、市政府的正确领导下,在食品药品监管部门的科学监管下,在全市餐饮服务业领导和员工的共同努力下,我们有信心也有能力把好食品安全关,提升服务质量和水平,为我市的经济发展和餐饮服务水平整体提升做出自己的贡献。