数据安全管理办法

1、公司名称XXX科技有限公司文件编码AQ2G-04-S003文件名称服务器安全管理办法页次/总页码 9/10 数据安全管理办法文件编码AQ2G-04-S003版本 V1.0 文件层级一阶 二阶 三阶文件类别体系文件技术文件编制部门IT部机密等级内文 秘密机密 绝密编制人文件类别通用项目 审核编制日期审批生效日期总页数分发编号文件发布盖章文件制/修订记录页码章节制/修订记录版本修订人修订日期备注修订前修订后全部全部首次制定V1.0杨大伟2013-9-11总则作为高科技型企业，公司有大量的业务服务器，分别部署在公司自有机房和外部IDC机房，承担着业务支撑、后台运营、内部管理等重要功能。为保证服务器的

2、安全可靠运行，规范服务器的管理和维护，特制定本规定。 2服务器管理2.1 系统管理员要明确各自服务器的用途、应用范围及使用对象，并对整个系统资源进行合理的规划。2.2 系统管理员应遵守服务器安装工作流程，从系统划分、安全设置等方面规范管理工作。2.3 系统管理员负责各自服务器的日常管理和维护，主要有：帐户管理、网络管理、安全管理、数据库管理、运行状态监控、资源占用情况统计等，合理地分配系统资源，保证服务器的可靠运行。2.4 为确保系统安全性、可靠性，及数据的一致性和完整性，必须对系统进行备份工作。管理员根据各自服务器的情况，制定出相应的备份及恢复策略，定期进行备份。2.5 系统管理员要深入了解

3、系统的工作原理，制定应急预案。在系统出现一般性故障时，能快速解决。出现重大故障时，能够最大限度降低故障影响，快速恢复。2.6 系统管理员对负责的服务器应提供详细的技术文档，包括系统安装、软件安装、开关机步骤、维护手册、安全策略、参数设置等主要信息。2.7 应加强系统安全的管理和研究，提高系统的安全性。有可靠的杀毒软件和防火墙，对端口进行实时监控，防止外部攻击。2.8 系统管理员必须建立系统维护档案，详细记录服务器的维护和故障情况。如：1）服务器故障记录：发生时间，故障描述，原因分析，解决方案，改进措施；2）建立“任务申请表”制度，使管理工作有案可查、有章可寻；3）系统的备份日期、内容、类别、操

4、作者等；4）系统及软件的安装或版本升级，要有时间和内容的详细记录；2.9 系统管理员必须定期更改服务器帐号，特别是超级用户的管理密码，建议每月更新一次。2.10 建立完善的系统监控手段，设置预警阀值，将故障隐患消灭在萌芽中。2.11 定期对服务器进行巡检，及时发现可能存在的问题，预先采取处理措施，避免故障发生。 3服务器安装规范3.1 服务器接收：检查外包装，对照清单是否与预定的配置相符。3.2 开箱检查：检查配置是否符合装箱单以及是否符合预定要求。符合则填写设备接收清单表，同时填写设备登记单，并将保修单送交管理员。如有问题，应通知负责人作进一步处理。3.3 确定操作系统安装方案。根据用途，确

5、定安装的操作系统及软件，明确硬盘分区，填写服务器安装单。3.4 安装操作系统：根据安装方案安装服务器操作系统，确保所有必需的组件全部正确安装。安装以后要进行逐项检查，填写安装报告。3.5 安全检查：做好服务器的各项安全配置，包括杀毒软件和软件防火墙的配置。配置完成后，逐项检查服务器的安全性，Windows操作系统的安全检查项参见附表4。Linux操作系统的安全检查项参见附表5。3.6 服务器上架：进入机房，将服务器固定在预定位置，确保服务器安装牢固，供电正常，外部连接线全部连接正常。3.7开机运行：开机后检查系统启动是否正常，业务程序和各项服务是否启动正常，网络连接是否正常，安全机制是否运行正

6、常，监控系统是否运行正常等。3.8 设备验收：由业务部门、运维部和IT部共同对服务器进行验收，要求必须满足业务部门使用需求，并填写设备验收报告。3.9 文件归档：所有安装文档由系统管理员妥善保管，建立设备档案。3.10 为保证工作的有序进行，每项工作完成后由负责人签字，流程按附表1进行。附表1 服务器安装工作流程表编号：UI-39-2013接收配置及型号外观检查日期接收人开箱保修单接收日 期完成设备登记单?是 / 否日 期接收日期负责人签字备 注安装方案系统管理员签字提交方案日期备 注安装接收方案签字日 期安全 检 查意见：签字：日期：正式 运 行说明：签字：日期附表2设备接收清单编号：UI-

7、40-2013设备名称用途配置主机编号保修单产品清单设备箱数资料（书籍、光盘）产品编号类型名称配件备注接收人签字 日期：附表3：服务器安装备案表编号：UI-41-2013配置主机名IP地址操作系统系统分区分区路径设备名大小备注（文件系统类型）应用应用类别软件名称版本路径服务端口帐号密码帐号密码（初始设置）用途(如有数据库用户，请标明)补丁程序串口配置完成： 是 否键盘设置完成：是 否安全配置安装SSH停止无用的服务将日志达到日志服务器数据库有数据库应用则应在本栏说明表空间划分，其他各项目填在以上各栏中安装备注包括有争议的问题备案、RAID配置说明等 安装人签字： 日期：完成日期系统管理员签字附

8、表4：Windows系统安全检查列表 编号：UI-42-2013服务器名IP地址用途检查项目是否配置备注安装前和安装中是否将所有的磁盘分区都格式化为NTFS分区是否只安装了必要的组件是否安装了最新的Win2k补丁是否安装了IE 5.01 SP2，IE 5.5 SP2或直接安装IE6是否安装了IIS Security Rollup Package安装后是否禁用了guest帐号是否删除或禁用了不必要的帐号是否重命名了administrator帐号是否正确设置了文件共享administrator帐号的密码是否满足“健壮性”要求：administrator的口令至少有9位长，而且在前7位中至少包括一个

9、标点符号或非打印字符是否安装并运行了防病毒软件是否禁止了对注册表的匿名访问是否禁止了对公共的LSA（Local Security Authority）信息的匿名访问是否禁用了不必要的服务是否建立了一定的审核策略是否已经设置在登陆界面中不显示最后登录的用户名是否使用Windows2003提供的安全配置和分析工具，对系统进行了安全分析管理员签字日期 附表5：Linux安全检查列表编号：UI-44-2013服务器名IP地址用途检查项说明基本网络服务补丁/etc/inetd.confTcp_wapperFingerd“r-”命令/etc/services/etc/host.lpd用户缺省环境的设置Cr

10、on安全终端文件RPCNFS其它文件系统安全清查系统中的.exec检查用户目录中的.forward文件清查系统中的.rhost和.rhost.equiv文件检查PATH环境变量检查/etc/fstab文件检查系统和用户的umask，将之设置为022设置/var/log/utmp*和/var/log/wtmp*的权限设置/etc/motd的权限设置/etc/syslog.pid的权限去除普通用户对启动脚本的读权限将/var/log下的日志文件的权限设为600将/etc，/usr/etc，/bin，/usr/bin，/sbin，/usr/sbin的属主设置为root设置/tmp目录的权限清查系统中是否有group或世界可写的文件及目录清查系统中的s