还剩4页未读,继续阅读
文本内容:
设备安全管理规范目录编制说明1适用范围1依据标准1安全管理细则
24.
1.定义2范围2设备资产编号规范
24.设备验收规范
25.设备存储与发放规范
36.服务器设备安全管理
37.网络/安全设备安全管理4责任要求4规范执行4编制说明本管理规范定义了的设备安全管理方面的相关要求本管理规范由技术部进行维护和解释适用范围本安全管理规范适用于的设备管理员依据标准.《计算机信息系统安全保护等级划分准则》(GB17859).《信息安全管理体系标准》(BS7799/IS017799).《信息技术安全管理指南》(IS013335).《信息技术安全性通用评估准则》(IS015408/GB18336).《计算机信息系统安全保护条例》(国务院令第147号).《计算机信息网络国际联网安全保护管理办法》.《计算机信息系统国际联网保密管理规定》.《计算机病毒防治管理办法》(公安部令第51号令).《计算机场地安全要求》(GB9361-88)
4.安全管理细则定义通过制定、实施设备安全管理规范,确保设备本身提供的安全保障技术机制发挥作用范围设备包括信息资产中的所有硬件设备,包括服务器、终端设备、网络设备等设备资产编号规范.所有硬件设备采购、变更、废弃时,资产管理员必须首先在资产清单进行记录和描述资产清单应记录设备以下相关信息设备编号、设备名称、设备物理位置、设备用途、设备所有者、设备使用者及联系方式、设备IP信息、设备采购变更废弃时间、设备供货商及联系方式.设备在到货验收或配置之后,必须由资产管理员,作出相应的标识,直接体现在设备上醒目的位置标识应包括以下内容设备编号、设备使用部门、设备名称、设备用途、设备IP信息、设备供货商及联系方式设备验收规范.设备验收后资产管理员应保留如下文档测试验收方案、验收实施方案、各种质量记录、验收报告和不合格报告.测试验收方案由管理员负责督促供应厂商在到货前两周提出,并由资产管理员审核,并得到最终用户的认可.在测试开始前,应保证测试参与人员清楚测试步骤和相应需要填写的质量记录.在清点和测试过程中必须详细填写相应质量记录测试通过的设备贴上“测试通过标签,然后入库保管设备存储与发放规范.设备的存贮与发放应严格管理,由资产管理部门负责.入库接收时库房管理员应首先同设备经手人一道检查有无状态标识,然后填写入库单,记录设备号.不同种类设备一定要分开,各自单独存放.存放过程中要注意存贮环境的条件及安全,定期检查,并向领导决策组提交检查报告.需要领取设备时,库房管理员应与设备领取人共同检查设备状态标识,填写出库单,记录设备号服务器设备安全管理.服务器初始安装后必须安装厂商提供的最新系统补丁管理员在接受到安全管理员的安全通告后,应根据软件安全规范中的要求进行补丁升级.服务器上线运行前必须经过全面的系统加固配置流程,至少包括1)关闭不必要的服务2)禁用不必要的用户和用户组3)开启或安装必要的日志审计功能4)调整增强用户和密码策略5)严格按照《服务器安全配置手册》对不同类型的服务器进行相应的安全增强配置.如果没有特殊情况,严格禁止使用在线运行的服务器进行浏览网页或下载操作.在线运行的服务器禁止任何未正式批准的变更操作,包括安装不相关的软件、修改配置、增加用户等所有变更操作必须经系统管理员批准并进行变更记录有重大影响的变更需要得到相关部门领导批准,并及时通知所有用户.系统管理员需要定期检查系统日志,特别是安全日志网络/安全设备安全管理.网络/安全设备在购入时要保证是最新的设备软件版本,并且定期进行升级保证其安全性.网络/安全设备上线时要进行一些专门的安全功能设置,比如采用安全方式如安全协议、串口连接等对网络设备进行远程或本地管理,禁止以明文传输协议进行远程管理网络设备配置身份认证、授权和统计AAA对密码进行高级别的加密保护加强对基于广播的风暴攻击的防范加强对内部地址欺骗的防范加强对源路由欺骗的防范禁止不必要的服务,实行最小服务原则加强对于SNMP的默认管理字符串的安全管理依据需求提升访问控制规则的严格程度设置明确的禁止非授权访问的警告提示.责任要求的设备管理员必须遵照设备安全管理规范,技术部门加强管理,防止设备管理存在安全问题如由于未遵循以上规范导致出现设备安全问题,相关部门和人员负有责任规范执行本标准由技术部发布,对标准具有解释、增加和修改的权力本规范自下发之日起正式执行。