长江师范学院
信息系统安全管理办法
第一条 为规范长江师范学院信息系统安全管理,控制和保护计算机主机及其系统,防止主机和系统受到破坏和滥用,避免和降低由于主机和系统的问题对业务系统的损害,制定本办法。
第二条 本办法适用于长江师范学院教学院(部)、机关部门,各专职科研机构、学术传播机构、校医院等二级单位用于规范信息系统安全管理。
第三条 应遵循以下系统访问控制的基本原则:
1.最小权限:信息系统应根据完所需应用开放最小访问权限。
2.按需审批:权限审批时应根据实际需要授权,避免权限过大。
3.职责分离:一个用户不能同时承担多个存在权力冲突的角色,访问的请求方、授权方、管理方也应实现职责分离。
4.默认拒绝:未经明确授权,视为禁止。
第四条 确保账号和口令管理符合安全要求,系统中无用的系统账号,应进行删除或其他安全处理。
第五条 通过设定登录超时、会话超时和定时锁屏等策略为用户登录及访问系统的连接安全有效提供安全保障。
第六条 应根据最小权限原则,合理关闭操作系统不必要的服务,减少系统安全弱点。
第七条 应根据服务器操作系统的补丁发布情况,及时更新补丁。补丁更新前,需进行测试,防止更新后对系统产生不利影响。
第八条 对系统日志及配置定期备份,备份措施应参照《备份与恢复管理》办法。
第九条 应按照上述访问控制的基本原则对系统文件实施有效控制,避免被恶意或未经授权的访问,保护系统文件安全。
第十条 系统管理员应对包括计算机病毒在内的恶意软件进行必要的安全防护,防护措施参照《计算机病毒防护管理》办法。
第十一条 对于外来的软盘、光盘、外部可移动存储设备及介质,在使用之前应经过病毒检查,确定没有病毒并经审批之后才能在系统上使用。
第十二条 系统管理员应负责根据日志和审核要求开启必要的安全策略,以协助审核工作。
第十三条 所有提供审核的功能需保留日志,以便成为定期审核时的依据。
第十四条 应按照上述访问控制的基本原则对日志记录实施有效控制,防止未经授权的更改和出现操作问题。
第十五条 系统管理员应根据系统的安全等级定期(至少每季度一次)评审各个系统生成的日志信息,如发现报警信息或异常信息,应进行分析,查找故障原因并采取适当的处理措施,对处理过程和结果进行跟踪。
第十六条 系统管理员应根据系统的安全等级定期(至少每季度一次)对日志进行归档,重要日志应进行磁带备份。
第十七条 加强系统配置管理,系统变更应按《变更管理》办法有关规定进行申请和审批。
1.物理安全策略
(1)应设置 BIOS 口令以增加物理安全。
(2)应禁止远程用户使用光驱和软驱。
2.补丁管理策略
(1)应启动 Windows 自动更新功能,及时安装 Windows 补丁(SP、hotfix)。
(2)对于不能访问 Internet 的 Windows 系统,应采用手工打补丁的方式。
3.帐户与口令策略
(1)所有帐户均应设置口令。
(2)应将系统管理员账号 administrator 重命名。
(3)应禁止 Guest 账号。
(4)应启用“密码必须符合复杂性要求”,设置“密码长度最小值”、“密码最长存留期”、“密码最短存留期”、“密码强制历史”,停用“为域中用户使用可还原的加密来存储”。
(5)应设置“账户锁定时间”,“账户锁定阈值”,“复位账户锁定计数器”来防止远程密码猜测攻击。
(6)在学校网络安全和信息化领导小组批准下,应定期利用口令破解软件进行口令模拟破解测试,在发现脆弱性口令后及时通告并采取强制性的补救修改措施。
4.网络服务策略
(1)应尽可能减少网络服务,关闭不必要的服务。
(2)应通过修改注册表项,调整优化 TCP/IP 参数,来提高系统抵抗 DOS 攻击的能力。
(3)应限制使用 SNMP 服务。如果的确需要,应使用 V3 版本替代 V1、V2 版本,并启用 MD5 校验等功能。
5.文件系统策略
(1)所有分区均应使用 NTFS。
(2)尽量使用磁盘配额管理、文件加密(EFS)等功能。
(3)应卸载 OS/2 和 POSIX 操作环境子系统。
(4)应将所有常用的管理工具放在 %system root% 外的特殊目录下,并对其进行严格的访问控制,保证只有管理员才具有执行这些工具的权限。
(5)应关闭 NTFS 生成 8.3 文件名格式。
(6)应设置访问控制列表(ACL),对重要的目录、文件进行访问权限的限制。
7.日志策略
(1)应启用系统和文件审核功能,包括应用程序日志、安全日志、系统日志、以及各种服务的日志。
(2)应更改日志存放的目录,并及时监控,特别是安全日志、系统日志。对于重要主机设备,应建立集中的日志管理服务器,实现对重要主机设备日志的统一管理,以利于对主机设备日志的审查分析。
8.安全性增强策略
(1)对于独立服务器应直接检查本地的策略和配置。对于属于域的服务器,应检查域控制器上对计算机的域管理策略。检查内容主要为用户、用户组及其权限管理策略。
(2)应限制对注册表的访问,严禁对注册表的匿名访问,严禁远程访问注册表,并对关键注册表项进行访问控制,以防止它们被攻击者用于启动特洛伊木马等恶意程序。
(3)应定期检查注册表启动项目,避免系统被安装非法的自启动程序。
(4)应隐含最后登陆用户名,避免攻击者猜测系统内的用户信息。
(5)在登录系统时应显示告警信息,防止用户对远程终端服务口令进行自动化的脚本猜测,并删除关机按钮。
(6)应删除 Windows 主机上所有默认的网络共享。
(7)应关闭对 Windows 主机的匿名连接。
(8)对于不需要共享服务的主机,应彻底关闭文件和打印机共享服务。
(9)应限制 Pcanywhere 等远程管理工具的使用,如确实需要,应使用最新版本,完整安装补丁程序并经过评测,获得信息安全工作组的许可;并使用 Pcanywhere 加密方式进行管理。
(11)应安装防病毒软件,并及时更新软件版本和病毒库。
1.补丁管理策略
(1)应及时安装系统最新补丁。
(2)应及时升级服务至最新版本。
2.帐户与口令策略
(1)所有帐户均应设置口令。
(2)去除不需要的帐户、修改默认帐号的 shell 变量。
(3)除 root 外,不应存在其他 uid=0 的帐户。
(4)应设置超时自动注销登陆,减少安全隐患。
(5)以 su 为 root 的组。
(6) root 远程登陆。
(7)网络安全与信息化领导小组批准下,应定期利用口令破解软件进行口令模拟破解测试,在发现脆弱性口令后及时通告并采取强制性的补救修改措施。
3.服务策略
(1)应减少网络服务,关闭不必要的服务。
(2)应启用 inetd 进站连接日志记录,增强审计功能。
(3)应调整优化 TCP/IP 参数,来提高系统抵抗 DOS 攻击的能力。
(4)应调整TCP/IP 参数,禁止 IP 源路由。
(5)应限制使用 SNMP 服务。如果的确需要,应使用 V3 版本替代 V1、V2 版本,并启用 MD5 校验等功能。
(6)应调整内核参数打开“TCP随机序列号”功能。
4.文件系统策略
(1)尽量使系统 root 用户初始创建权限(umask)为077。
(2)尽量使用磁盘配额管理功能。
(3)去除适当文件的 set-uid 和 set-gid 位。
(4)应限制 /etc 目录的可写权限。
(5)增强对关键文件的执行权限控制。
(6)为不同的挂载点指派不同的属性。
5.日志策略
(1)应对 ssh、su 登陆日志进行记录。
(2)除日志服务器外,应禁止 syslogd 网络监听514端口。
(3)对于重要主机设备,应建立集中的日志管理服务器,实现对重要主机设备日志的统一管理,以利于对主机设备日志的审查分析。
6.安全性增强策略
(1)只允许 root 执行 crontab 命令。
(2)应保证 bash shell 保存少量的(或不保存)命令。
(3)应禁止 GUI 登陆。
(4)应隐藏系统提示信息。
(5)尽量安装第三方安全增强软件。
第二十条 本办法自发布之日起执行。