系统安全管理制度

商密三级

XXX信息安全管理体系文档

XXX

系统安全管理制度

编号： XXX-L2-003

XXX网安技术有限公司

二○一六年十月

编号： XXXX-L2-023

版本控制信息

拟稿和修改 说明 初版发行 A

文档密级：商密三级版本 A

日期

编号： XXXX-L2-023

目 录

目 录 B

第一章 总则 ............................................................................................. 错误!未定义书签。 第二章 网络建设 .................................................................................... 错误!未定义书签。 第三章 网络管理 .................................................................................... 错误!未定义书签。 第四章 网络安全 .................................................................................... 错误!未定义书签。 第五章 附则 ........................................................................................... 错误!未定义书签。

B

文档密级：商密三级

编号： XXXX-L2-023

1. 管理规定

1.1. 安全管理范围

本管理制度主要涉及服务器的操作系统安全、数据库安全以及应用系统安全。

1.2. 系统安全管理过程

（1） 系统日常安全管理由系统管理员负责，系统管理员包括操作系统管理员、

数据库管理员、应用系统管理员。

1) 操作系统管理员负责管理服务器的操作系统、中间件。 2) 数据库管理员负责管理数据库。

3) 应用系统管理员负责Web应用、业务系统。

（2） 服务器的操作系统、数据库以及应用系统的初始配置分别由操作系统管理

员、数据库管理员、应用系统管理员或系统集成商根据业务需求分析、系统安全分析以及管理制度规定完成并填写《系统配置表》，报技术部负责人审核批准后，进行系统参数配置。

（3） 系统安全日常管理分别由操作系统管理员、数据库管理员、应用系统管理

员执行，内容包括系统的日常巡检、配置维护、解决系统故障等。 1) 系统管理员对操作系统、应用软件、数据库的运行情况每周进行一次

例行检查，并填写《系统安全巡检登记表》。

 操作系统管理员定期检查运行状态、操作系统日志、存储空间等

操作系统配置情况，分析是否有异常用户行为。

 数据库管理员定期检查运行状态、数据库日志、存储空间、数据

库配置情况，分析是否有异常用户行为。

 应用系统管理员定期检查运行状态、应用系统日志、存储空间、

应用系统配置情况，分析是否有异常用户行为。

2) 操作系统管理员负责每月检查或下载操作系统升级包，应用管理员负

第1页 共5页

文档密级：商密三级

编号： XXXX-L2-023

责每月检查或下载应用软件升级包，数据库管理员负责每月检查或下载数据库升级包，操作系统管理员负责定期检查或下载杀毒软件升级包，并及时进行补丁升级，升级前需对升级包进行杀毒处理，应用系统、操作系统、数据库系统升级前须获得应用系统开发商确认并首先在测试环境中测试通过。在升级前需对重要文件进行备份。 3) 在网络管理员协助下系统管理员每年对服务器进行漏洞扫描，对发现

的网络系统安全漏洞由系统管理员进行及时的修补。

4) 操作系统管理员每月对服务器进行全盘杀毒，应由管理员进行手动选

择病毒处理方式，病毒查杀结果需及时备份，并及时将备份介质交资料管理员保管。应定期检查信息系统内各种产品的恶意代码库的升级情况并进行记录，对发现的恶意代码进行及时分析处理，并填写《系统拦截病毒报表》。

5) 系统管理员依据业务需求分析、系统安全分析以及管理制度规定对系

统的配置每年至少维护一次，并填写《系统安全巡检登记表》，如需要进行系统配置修改填写《系统修改记录》，报技术部负责人批准后进行配置。

6) 系统管理员应做好备份工作，按照《备份与恢复管理制度》中细则执

行。

7) 系统管理在日常巡检、或解决系统故障过程中发现任何异常均应及时

进行分析并记录，按照《信息安全事件管理制度》，采取必要的应对措施，形成《信息安全事件记录》。

1.3. 日常管理规定

（1） 任何人员严禁扫描或猜测系统管理口令。

（2） 便携式和移动式设备不能擅自接入内部重要安全区域，如接入后需访问应

用系统，需经主管领导审批后，由系统管理员授予相关权限。接入结束后及时通知系统管理员及时收回相关授权。

（3） 各系统的账号、口令、权限等直接由系统管理员负责维护，系统管理员不

得擅自将账号信息等告知不相关人员。

第2页 共5页

文档密级：商密三级

编号： XXXX-L2-023

（4） 系统管理员对于主要系统的设置、修改应当做好登记、备案工作。 （5） 严禁厂家通过技术手段对已投入运行的系统进行遥控和远程维护。已经投

入运行的系统数据未经批准严禁向厂家或第三方提供。

（6） 各种系统设计及配置相关资料要注意妥善保存，任何非相关人员查看需经

审批，否则一律拒绝提供。

（7） 严格遵守通信纪律，增强保密意识，保守通信机密，不能向无关人员泄露

信息系统的结构、容量、配置等技术资料。

1.4. 管理制度

1.4.1. 操作系统安全

（1） 应使用成熟、正版的操作系统

（2） 在首次使用操作系统时，应对操作系统进行配置管理、网络访问控制、口

令管理控制以及屏幕加锁控制

（3） 系统安装应遵循最少化安装原则，只安装必需的组件。

（4） 在系统安装后应检查系统默认账户。删除非必须的默认账户。保留的默认

账户应修改默认密码。

（5） 账户权限授予依据最小化原则，仅授予账户所需的最小权限。 （6） 应设置超时锁定功能。

（7） 对于易受攻击的重要服务器应安装防病毒软件，并定期更新病毒库。 （8） 对于新安装系统应及时记录服务器相关信息。在相关信息修改后应及时修

改服务器基础信息，并填写《系统配置表（操作系统）》

（9） 重要系统账户密码定期修改，密码设置应符合《密码管理制度》。 （10） 应及时删除多余、过期的账户。

（11） 对于账户名称、权限更改应及时更新操作系统权限分配清单，以及记录

操作系统账户权限修改记录。填写《系统修改记录》。

（12） 应及时安装系统和应用系统的补丁包，定期检查账户和审计文件。 （13） 对于重要系统的服务器，监视其CPU、硬盘、内存、网络、IO等资源

的使用情况。

第3页 共5页

文档密级：商密三级

编号： XXXX-L2-023

（14） 服务器上不应长期存储临时文件。应确保系统内的文件、目录和数据库

记录等资源所在的存储空间，被释放或重新分配给其他用户前得到完全清除。

（15） 重要系统应开启系统审计功能。记录系统登录日期、时间、类型等相关

信息。审计信息不应被随意删除或修改。在审计信息被删除前应存档保存至少3年。 1.4.2. 数据库安全

（1） 应使用成熟、正版的数据库系统软件。

（2） 数据库安装应遵循最少化安装原则，只安装必需的组件。

（3） 对于新安装数据库应及时记录数据库配置信息。在相关信息修改后应及时

修改相关的配置信息，并填写《系统配置表（数据库）》。

（4） 在数据库安装后应检查数据库默认账户。删除非必须的默认账户。保留的

默认账户应修改默认密码。

（5） 账户权限授予依据最小化原则，仅授予账户所需的最小权限。

（6） 对系统新增加用户应严格控制。对于应用用户应只授予connect，resource

权限。超出此范围的权限应单独申请，并提出明确原因。不允许对应用程序用户赋予DBA权限。详细内容见《系统修改记录》

（7） 对于新安装数据库系统应及时记录数据库相关信息。在相关信息修改后应

及时修改数据库基础信息。详细内容见《数据库档案》 （8） 数据库用户密码定期修改，密码设置应符合《密码管理制度》。 （9） 应及时删除多余、过期的用户。

（10） 对于用户名称、权限更改应填写数据库用户更改申请并及时更新数据库

档案。

（11） 对于重要系统开启数据库审计功能，对以系统权限登录数据库以及其他

敏感信息执行审计功能。审计成功以及未成功操作。审计信息不应被随意删除或修改。在审计信息被删除前应存档保存至少3年。

（12） 重要数据库应根据需要定期备份，详细内容见《备份与恢复管理制度》。

第4页 共5页

文档密级：商密三级

编号： XXXX-L2-023

1.4.3. 应用系统安全

（1） 系统应具备输入数据的确认功能，以确保输入数据的正确性和适用性。 （2） 重要系统应有专门的登录控制模块对登录用户进行身份标识和鉴别。 （3） 对于新安装应用系统应及时记录应用系统配置信息。在相关信息修改后应

及时修改相关的配置信息，并填写《系统配置表（应用系统）》。 （4） 重要系统应提供登录失败处理功能，限制非法登录次数。采取结束会话或

自动退出等措施。

（5） 重要系统用户登录密码设置应符合《密码管理制度》。 （6） 应具有访问控制功能，用户仅能访问其必须的数据、文件。

（7） 严格控制系统中的默认账户。默认账户密码可以更改，在系统正式上线后

修改所有默认账户的密码。

（8） 用户权限授予最小化原则。仅授予其完成承担任务所需的最小权限。 （9） 重要系统安全事件进行审计。审计自动与应用同时启动，审计信息不能随

意删除。删除前应做存档处理。

（10） 确保用户会话结束后，程序自动清除访问痕迹，并清除访问的cookie。 （11） 系统卸载后，所有系统目录中的文件均自动完全卸载和清除。

2. 相关文件

《系统配置表（操作系统）》、《系统配置表（数据库）》、《系统配置表（应用系统）》、《系统安全巡检登记表》、《系统拦截病毒报表》、《系统修改记录》、《信息安全事件记录》。

第5页 共5页

文档密级：商密三级