系统安全管理制度
总则
本策略适用于系统管理员等使用。
本策略建立了系统层的规划、建设、运行、变更、废弃等各阶段的安全保障要求。
安全要求
2.1 系统安全规划策略
信息系统主机设备、网络设备、通讯线路及网控中心等的运行、维护经费从相关经费中支出,其他设备的维护经费由各单位从相关经费中支出。
系统硬件采购必须符合杭州市长征中学的信息安全策略或其他策略,并符合长期需求。
系统硬件采购必须考虑:新设备在满足功能需要的同时,应有优秀的性能和足够的容量,以避免影响数据处理;数据必须有适当的保护策略,以避免丢失或意外/不可预测的破坏;系统必须有较大的冗余(电源、CPU以及其他组件)来避免出现突然的意外事件。
系统硬件采购时,必须通过结构评估,应尽量获得最好的价格,性能,可靠性,容错性和售后技术支持,包括相应的技术文档或IT使用文档,以降低购买硬件设备的风险。
系统服务器操作系统应选用正版软件并且遵守软件规定的最终用户使用协议,禁止使用盗版软件。
关键业务系统服务器的操作系统选型必须符合国际B1级(如UNIX)以上标准,客户端操作系统须符合国际C2级(如Windows)以上标准。
系统服务器操作系统应该避免选用新开发的、尚未成熟稳定的系统软件。
应充分考虑所选主机硬件、操作系统和业务软件的兼容性 。
在新系统安装之前应有详细的实施计划,包括:时间进度计划,人力资源分配计划,应急响应计划;应充分考虑新系统接入网络时对原网络中系统的影响,并制定详细的应急计划,避免因新系统的接入出现意外情况造成原网络中系统的损失。
在新系统的安装过程中,应严格按照实施计划进行,并对每一步实施,都进行详细记录,最终形成实施报告。
在新系统安装完成,投入使用前,应对所有组件包括设备、服务或应用进行连通性测试、性能测试、安全性测试,并做详细记录,最终形成测试报告。测试机构应由专业的信息安全测试机构或第三方安全咨询机构进行。
在新系统安装完成,测试通过,投入使用前,应删除测试用户和口令,最小化合法用户的权限,最优化配置。
新系统安装后,应及时对系统软件、文件和重要数据进行备份。
新系统安装后,应立即更改操作系统以及应用服务默认的配置和策略,并进行备份。
2.2 系统运行与维护安全策略
应对日常运维,监控、配置管理和变更管理在职责上进行分离,由不同的人员负责;应对各个主机设备上拥有用户账号的人员、权限以及账号的认证和管理方式做出明确规定;对于重要主机设备应使用RADIUS或者TACACS+的方式实现对用户的集中管理;应对服务器上的用户账号,RADIUS或者TACACS+服务器上的用户账号进行审查,在发现有可疑的用户账号时向系统管理员进行核实并采取相应的措施;在用户权限的设置时应遵循最小授权和权限分割的原则,只给系统用户、数据库系统用户或其它应用系统用户授予业务所需的最小权限,应禁止为所管理主机系统无关的人员提供主机系统用户账号,并且关闭一切不需要的系统账号;对两个月以上不使用的用户账号进行锁定;应对主机设备中所有用户账号进行登记备案。
应对口令的选取、组成、长度、保存、修改周期做出明确规定;禁止使用名字、姓氏、电话号码、生日等容易猜测的字符作为口令,也不要使用单个单词或命令作为口令,组成口令的字符应包含大小写英文字母、数字、标点、控制字符等,口令长度要求在8位以上;严禁将口令存放在个人计算机文件中,或写到容易被其它人获取的地方;如果存储,也应将用户账号口令以加密方式存储,如MD5方式;口令文件(如:系统中的/etc/shadow)及其所有拷贝的访问权限应该严格限制为超级用户可读,并且定期检查;对于重要的主机系统,要求至少每个月修改一次口令,或者使用一次性口令设备;对于管理用的工作站和个人计算机,要求至少每两个月修改一次口令;若掌握口令的管理人员调离本职工作时,必须立即更改所有相关口令;应定期利用口令破解软件进行口令模拟破解测试,在发现脆弱性口令后及时采取强制性的补救修改措施。
严格禁止非本系统管理人员直接进入主机设备进行操作,若在特殊情况下(如系统维修、升级等)需要外部人员(主要是指厂家技术工程师、非本系统技术工程师、安全管理员等)进入主机设备进行操作时,必须由本系统管理员登录,并对操作全过程进行记录备案;禁止将系统用户账号及口令直接交给外部人员,在紧急情况下需要为外部人员开放临时账号时,必须向安全管理机构和相关领导申请,在申请中写明开放临时账号的原因、时间、期限、对外部人员操作的监控方法、负责开放和注销临时账号的人员等内容,并严格根据安全管理机构的批复进行临时账号的开放、注销、监控,并记录备案。
应尽可能减少主机设备的远程管理方式,例如Telnet等,如果的确需要进行远程管理,应使用SSH代替Telnet,并且限定远程登录的超时时间,远程管理的用户数量,远程管理的终端IP地址,同时按照“系统安全配置管理策略”中的规定进行严格的身份认证和访问权限的授予,并在配置完后,立刻关闭此类远程管理功能;应尽可能避免使用SNMP协议进行管理,如果的确需要,应使用V3版本替代V1、V2版本,并启用MD5等校验功能;进行远程管理时,应设置控制口和远程登录口的idle timeout时间,让控制口和远程登录口在空闲一定时间后自动断开;对于访问服务器的桌面机,为了保护获得访问的信息,应采取和服务器相同的保护能力,防止获得的信息被其他桌面机窃取。
严禁随意安装、卸载系统组件和驱动程序,如确实需要,应及时评测可能由此带来的影响,在获得信息安全工作组的批准下,对生产环境实施评测过的对策,并将整个过程记录备案;禁止随意下载、安装和使用来历不明,没有版权的软件,严禁安装本地或网络游戏以及即时通讯程序(ICQ,MSN,QQ等),在服务器系统上禁止安装与该服务器所提供服务和应用无关的其它软件;禁止在重要的主机系统上浏览外部网站网页、接收电子邮件、编辑文档以及进行与主机系统维护无关的其它操作。如果需要安装补丁程序,补丁程序必须通过日常维护管理用的工作站或PC机进行下载,然后再移到相应的主机系统安装。
禁止主机系统上开放具有“写”权限的共享目录,如果确实必要,可临时开放,但要设置强共享口令,并在使用完之后立刻取消共享;应禁止不被系统明确使用的服务、协议和设备的特性,避免使用不安全的服务,例如:SNMP、RPC、Telnet、Finger、Echo、Chargen、Remote Registry、Time、NIS、NFS、R系列服务等。
应严格并且合理的分配服务安装分区或者目录的权限,如果可能的话,给每项服务安装在独立分区;取消或者修改服务的banner信息;避免让应用服务运行在root或者administrator权限下。
应严格控制重要文件的许可权和拥有权,重要的数据应当加密存放在主机上,取消匿名FTP访问,并合理使用信任关系。
应对日志功能的启用、日志记录的内容、日志的管理形式、日志的审查分析做出明确的规定;对于重要主机系统,应建立集中的日志管理服务器,实现对重要主机系统日志的统一管理,以利于对主机系统日志的审查分析;应保证各设备的系统日志处于运行状态,并每两周对日志做一次全面的分析,对登录的用户、登录时间、所做的配置和操作做检查,在发现有异常的现象时应及时向信息安全工作组报告。
应及时监视、收集主机设备操作系统生产厂商公布的软件以及补丁更新,要求下载补丁程序的站点必须是相应的官方站点,并对更新软件或补丁进行评测,在获得信息安全工作组的批准下,对生产环境实施软件更新或者补丁安装;必须订阅CERT (计算机紧急响应小组)公告或其他专业安全机构提供的安全漏洞信息的相关资源,应立即提醒信息安全工作组任何可能影响网络正常运行的漏洞;及时评测对漏洞采取的对策,在获得信息安全工作组的批准下,对生产环境实施评测过的对策,并将整个过程记录备案;软件更新或者补丁安装应尽量安排在非业务繁忙时段进行,操作必须由两人以上完成,由一人监督,一人操作,并在升级(或修补)前后做好数据和软件的备份工作,同时将整个过程记录备案;软件更新或者补丁安装后应重新对系统进行安全设置,并进行系统的安全检查。
应定期进行安全漏洞扫描和病毒查杀工作,平均频率应不低于每2周一次,重大安全漏洞发布后,应在3个工作日内进行;为了防止网络安全扫描以及病毒查杀对网络性能造成影响,应根据业务的实际情况对扫描时间做出规定,应一般安排在非业务繁忙时段;当发现主机设备上存在病毒、异常开放的服务或者开放的服务存在安全漏洞时应及时上报信息安全工作组,并采取相应措施。
应至少每天1次,对所有主机设备进行检查,确保各设备都能正常工作;应通过各种手段监控主机系统的CPU利用率、进程、内存和启动脚本等的使用状况,在发现异常系统进程或者系统进程数量异常变化时,或者CPU利用率,内存占用量等突然异常时,应立即上报信息安全工作组,并同时采取适当控制措施,并记录备案。
当主机系统出现以下现象之一时,必须进行安全问题的报告和诊断:
系统中出现异常系统进程或者系统进程数量有异常变化。
系统突然不明原因的性能下降。
系统不明原因的重新启动。
系统崩溃,不能正常启动。
系统中出现异常的系统账号
系统账号口令突然失控。
系统账号权限发生不明变化。
系统出现来源不明的文件。
系统中文件出现不明原因的改动。
系统时钟出现不明原因的改变。
系统日志中出现非正常时间系统登录,或有不明IP地址的系统登录。
发现系统不明原因的在扫描网络上其它主机。
系统能跟踪各种非法请求并记录某些文件的使用情况。根据系统的位置,若错误的口令被连续地使用若干次后,系统应采取相应措施,如封锁那个终端,记录所用终端及用户名,并立即报警。
应及时报告任何已知的或可疑的信息安全问题、违规行为或紧急安全事件,并在采取适当措施的同时,应向信息安全工作组报告细节;并不得试图干扰、防止、阻碍或劝阻其他员工报告此类事件;同时禁止以任何形式报复报告或调查此类事件的个人;应定期提交安全事件和相关问题的管理报告,以备管理层检查。
设备发生故障时,操作人员应立即停止使用,详细记录故障发生时间、现象等情况,并及时通知本单位的信息员,由本单位信息员解决。本单位没信息员的通知拱墅区智慧教育发展中心,维护人员须及时到现场排故,对能够处理的,须立即进行处理;对无法处理的,通知设备维修商到现场处理。
应根据“必须知道”原则严格限制泄漏安全违规行为、安全事件或安全漏洞。如果必须向任何杭州市长征中学外部方(包括任何合法的权威机构)泄漏这类受限信息,应先咨询相关法律部门。
系统软件安装之后,应立即进行备份;在后续使用过程中,在系统软件的变更以及配置的修改之前和之后,也应立即进行备份工作;应至少每年1次对重要的主机系统进行灾难影响分析,并进行灾难恢复演习。
应至少每年1次对整个网络进行风险评估,每次风险评估时,手工检查的比例应不低于10%,渗透测试的比例应不低于5%;风险评估后应在10个工作日内完成对网络的修补和加固,并进行二次评估。
2.3 系统变更安全策略
系统维护人员应在主机设备接入、系统配置变更、废弃等变更操作前进行数据备份,为一些关键的主机设备准备备件,保证一些常用主机设备的库存,以便在不成功的情况下及时进行恢复。
新的主机设备的接入应首先向相关部门提出申请,由该部门根据实际业务需要进行审核,确定最佳接入方案,才可以进行实施,如果接入后对系统有影响,则由应急响应小组进行响应解决接入带来的故障。禁止私自安装或移动网络设备;业务系统人员如果需要使用主机设备,要求主机系统配置变更,应首先向系统维护人员提出申请,并由信息安全员进行安全确认签字后由系统维护人员负责安排实施,禁止私自变更主机系统配置;主机系统的废弃应首先向相关部门提出申请,由该部门根据实际业务需要进行审核,确定最佳废弃方案,禁止私自废弃或移动主机设备。
应对所有新接入的主机系统进行资产登记,登记记录上应该标明硬件型号,厂家,操作系统版本,已安装的补丁程序号,安装和升级的时间等内容。
任何新的主机系统的接入都应进行记录备案,记录内容应包括:接入人,接入时间,接入原因等;任何主机系统的配置变更情况都应进行记录,记录内容应包括:变更人,变更时间,变更原因,变更内容等,以便后期问题的查询分析;任何主机系统的废弃都应进行记录备案,记录内容应包括:废弃人,废弃时间,废弃原因。
任何新的主机系统接入、配置变更、废弃前,都应做好详细的应急预案,以备紧急情况时的应用,这些重大变更必须做到一人操作一人监督的管理。
新的主机系统在正式上架运行前应由系统维护人员进行功能测试,由信息安全员进行安全测试并确认签字后方能正式运行使用。严禁在不测试或测试不成功的情况下接入网络。信息安全员需要测试的内容如下:
查看硬件和软件系统的运行情况是否正常、稳定;
查看OS版本和补丁是否最新;
OS是否存在已知的系统漏洞或者其他安全缺陷。
新的主机系统在正式上架运行前,应严格按照相关系统安全配置管理规定中的内容进行配置,并记录备案。
新的主机系统在正式上架运行后,应经过一段时间的试运行,在试运行阶段,应严密监控其运行情况;当发现网络运行不稳定或者出现明显可疑情况时,应立即启动应急预案;试运行阶段后,应按照相关日常运维管理规定进行管理。
任何主机系统的配置变更前,应严格按照相关系统安全管理规定中的内容进行配置检查,主机系统的软件变更或配置变更后,应经过一段时间的试运行,在试运行阶段,同时还应严密监控其运行情况;当发现网络运行不稳定或者出现明显可疑情况时,应立即启动应急预案;试运行阶段后,应按照相关日常运维管理规定进行管理。
设备在修复过程中需要更换主要部件的,经拱墅区智慧教育发展中心按规定报批同意后方可进行。当主机系统的硬件存在变更情况时,应遵循“先废弃,再接入”的策略。
主机系统废弃的安全考虑应有一套完整的流程,防止废弃影响到其他系统。
任何主机系统废弃后,应经过一段时间的试运行,在试运行阶段,应严密监控网络中其他系统的运行情况;当发现网络运行不稳定或者出现明显可疑情况时,应立即启动应急预案;试运行阶段后,应对废弃的主机系统进行妥善保管或者按照有关规定对系统内的内容进行销毁。
2.4 操作系统安全配置策略
1.Windows系统安全配置管理策略
在应用以下安全策略之前应根据业务系统的实际情况进行操作,注意实施操作后对业务的风险。
物理安全策略
应设置 BIOS 口令以增加物理安全。
应禁止远程用户使用光驱和软驱。
补丁管理策略
对于不能访问 Internet 的 Windows 系统,应采用手工打补丁的方式。
帐户与口令策略
所有帐户均应设置口令。
应将系统管理员账号 administrator 重命名。
应禁止 Guest 账号。
应启用“密码必须符合复杂性要求”,设置“密码长度最小值”、“密码最长存留期”、“密码最短存留期”、“密码强制历史”,停用“为域中用户使用可还原的加密来存储”。
应设置“账户锁定时间”,“账户锁定阈值”,“复位账户锁定计数器”来防止远程密码猜测攻击。
在信息安全组批准下,应定期利用口令破解软件进行口令模拟破解测试,在发现脆弱性口令后及时通告并采取强制性的补救修改措施。
网络服务策略
应尽可能减少网络服务,关闭不必要的服务。
应通过修改注册表项,调整优化 TCP/IP 参数,来提高系统抵抗 DoS 攻击的能力。
应限制使用 SNMP 服务。如果的确需要,应使用 V3 版本替代 V1、V2 版本,并启用 MD5 校验等功能。
文件系统策略
所有分区均应使用 NTFS。
尽量使用磁盘配额管理、文件加密(EFS)等功能。
应卸载 OS/2 和 POSIX 操作环境子系统。
应将所有常用的管理工具放在 %systemroot% 外的特殊目录下,并对其进行严格的访问控制,保证只有管理员才具有执行这些工具的权限。
应关闭 NTFS 生成 8.3 文件名格式。
应设置访问控制列表(ACL),对重要的目录、文件进行访问权限的限制。
日志策略
应启用系统和文件审核功能,包括应用程序日志、安全日志、系统日志、以及各种服务的日志。
应更改日志存放的目录,并及时监控,特别是安全日志、系统日志。对于重要主机设备,应建立集中的日志管理服务器,实现对重要主机设备日志的统一管理,以利于对主机设备日志的审查分析。
安全性增强策略
对于独立服务器应直接检查本地的策略和配置。对于属于域的服务器,应检查域控制器上对计算机的域管理策略。检查内容主要为用户、用户组及其权限管理策略。
应限制对注册表的访问,严禁对注册表的匿名访问,严禁远程访问注册表,并对关键注册表项进行访问控制,以防止它们被攻击者用于启动特洛伊木马等恶意程序。
应定期检查注册表启动项目,避免系统被安装非法的自启动程序。
应隐含最后登陆用户名,避免攻击者猜测系统内的用户信息。
在登录系统时应显示告警信息,防止用户对远程终端服务口令进行自动化的脚本猜测,并删除关机按钮。
应删除 Windows 主机上所有默认的网络共享。
应关闭对 Windows 主机的匿名连接。
对于不需要共享服务的主机,应彻底关闭文件和打印机共享服务。
应限制 Pcanywhere 等远程管理工具的使用,如确实需要,应使用最新版本,完整安装补丁程序并经过评测,获得信息安全工作组的许可;并使用 Pcanywhere 加密方式进行管理。
应安装防病毒软件,并及时更新软件版本和病毒库。
尽量安装防火墙。
2.UNIX系统安全管理策略
补丁管理策略
应及时安装系统最新补丁。
应及时升级服务至最新版本。
帐户与口令策略
所有帐户均应设置口令。
去除不需要的帐户、修改默认帐号的 shell 变量。
除 root 外,不应存在其他 uid=0 的帐户。
应设置超时自动注销登陆,减少安全隐患。
应限制可以 su 为 root 的组。
应禁止 root 远程登陆。
在信息安全组批准下,应定期利用口令破解软件进行口令模拟破解测试,在发现脆弱性口令后及时通告并采取强制性的补救修改措施。
网络服务策略
应尽可能减少网络服务,关闭不必要的服务。
应启用 inetd 进站连接日志记录,增强审计功能。
应调整优化 TCP/IP 参数,来提高系统抵抗 DoS 攻击的能力。
应调整TCP/IP 参数,禁止 IP 源路由。
应限制使用 SNMP 服务。如果的确需要,应使用 V3 版本替代 V1、V2 版本,并启用 MD5 校验等功能。
应调整内核参数打开“TCP随机序列号”功能。
文件系统策略
尽量使系统 root 用户初始创建权限(umask)为077。
尽量使用磁盘配额管理功能。
去除适当文件的 set-uid 和 set-gid 位。
应限制 /etc 目录的可写权限。
增强对关键文件的执行权限控制。
为不同的挂载点指派不同的属性。
日志策略
应对 ssh、su 登陆日志进行记录。
除日志服务器外,应禁止 syslogd 网络监听514端口。
对于重要主机设备,应建立集中的日志管理服务器,实现对重要主机设备日志的统一管理,以利于对主机设备日志的审查分析。
安全性增强策略
只允许 root 执行 crontab 命令。
应保证 bash shell 保存少量的(或不保存)命令。
应禁止 GUI 登陆。
应隐藏系统提示信息。
尽量安装第三方安全增强软件。
操作系统在作业正常或非正常结束以后,能清除分配给该作业的全部临时工作区域。
系统能像保护信息的原件一样,精确地保护信息的拷贝。