一、系统维护管理

1．技术部的操作人员上岗前必须经过上岗前的专业知识培训，包括专门的信息安全培训，能正确地执行本岗位操作工作。

2．重要信息系统的操作手册和系统运行维护保养手册应作为工作秘密由各部门加以保护，由技术部存档。应依据操作手册对系统进行维护，详细记录操作日志，包括重要的日常操作、运行维护记录、参数的设置和修改等内容，严禁进行未经授权的操作。可通过运维安全审计系统监控并记录用户的日常操作，设置系统日志的保存时间。

3．定期对运行日志和审计数据进行分析，以便及时发现异常行为。

4．定期对系统使用中的信息安全管理情况进行检查，检查内容参加《信息安全检查细则》。

5．技术部应对系统中运行的软件版本进行严格控制，对系统软件版本升级、补丁更新、安全加固等活动组织评审和测试，防止因上述变更影响到应用系统的正常运行。

6．系统补丁的安装：应安装系统的最新补丁程序，在安装系统补丁前，应首先在测试环境中测试通过，并对重要文件进行备份后，方可实施系统补丁程序的安装。

7．系统安全策略中应明确系统的安全配置，如IBM AIX安全配置、Linux安全配置、SCO UNIX安全配置、Windows2000安全配置、Windows2003安全配置、Windows XP安全配置、Windows NT安全配置。（如：Windows2003安全配置包括：（1）限制不必要的用户数量。去掉所有的测试用账户、共享账号、普通部门账号等不必要账号。用户组策略设置相应权限，并且经常检查系统的账户，删除已经不使用的账户。（2）禁用不必要的服务。建议禁用如下服务：Remote Registry Service、Routing and Remote Access、DNS Client、DHCP Client、Messenger、Terminal Services、Telnet；其它的系统安全配置：禁止Guest账号、限制不必要的用户数量、系统administrator账号改名、设置屏幕保护密码、禁用TCP/IP上的NetBIOS、设置审核策略、删除默认共享、防止SYN洪水攻击、禁止IPC空连接、禁止响应ICMP路由通告报文、防止ICMP重定向报文的攻击、不支持IGMP协议等。）

8．定期对系统进行漏洞扫描，对发现的系统安全漏洞及时进行修补。

二、系统访问控制

基于业务和访问的安全要求，建立各应用系统的访问控制策略，作为系统维护手册的一部分。

1．访问控制策略应考虑到下列内容：

Ø  各个业务应用的安全要求；

Ø  业务应用中工作角色和用户访问需求；

Ø  网络环境中的访问权限的管理要求；

Ø  访问控制角色的分离，例如访问请求、访问授权、访问管理；

Ø  用户访问请求的正式授权管理要求；

Ø  用户访问控制的定期检查与评审要求；

Ø  用户访问权的取消。

2．基于访问控制策略，对操作系统的登录程序加以控制：

Ø  不显示系统或应用标识符，直到登录过程已成功完成为止；

Ø  显示只有已授权的用户才能访问计算机的告警通知；

Ø  在登录过程中，不提供对未授权用户的帮助消息；

Ø  限制所允许的不成功登录尝试的次数；

Ø  记录不成功的尝试和成功的尝试；

Ø  如果达到登录的最大尝试次数，向系统控制台发送警报消息。

3．系统管理员应限制用户对应用系统远程访问的范围和内容，在远程访问过程结束后应确保断开连接。

4．系统管理员负责记录用户远程访问操作过程，包括访问时间、连接方式、访问用户、操作过程等。

三、系统用户安全管理

1．系统用户注册与注销程序

Ø  在服务器和系统进行安装时，要改变默认的操作系统管理员账号名称和数据库账号名称。

Ø  各信息系统管理人员负责定期（每月）检查并取消或封锁多余的用户ID和账号，确保多余的用户ID不会发给其他用户。

2．系统用户口令管理

Ø  在用户初次使用应用系统时，系统管理员应提供给一个安全的临时口令，并强制其立即修改；临时口令应以安全的方式给予用户，不得使用第三方或未保护的（明文）电子邮件消息；

Ø  系统管理员应对用户口令设置进行指导和要求，如口令长度和复杂性、定期更换等，口令字符数字结合，长度超过6位，每半年更新一次；

Ø  系统管理员应确保口令不以未保护的形式存储在计算机系统内；

Ø  各系统管理员应在系统或软件安装后改变提供商的默认口令。

3．特殊权限管理应遵守用户注册和注销管理程序的规定，特殊权限包括操作系统、数据库管理系统和每个应用程序，特殊权限应被分配一个不同于正常业务用途所用的用户ID。

四、系统审计

1．系统日志包含的内容：

Ø  用户ID

Ø  日期、时间和关键事件的细节，例如登录和退出

Ø  终端身份或位置

Ø  系统配置的变化

Ø  系统实用工具和应用程序的使用

Ø  访问控制系统引发的警报

2．系统管理员须将系统所有服务器、应用软件等等系统审核、帐号审核和应用审核的日志系统的功能打开，如有警报其功能也必须打开

3．日志必须保存一定的期限，任何个人和部门不得以任何理由删除保存期之内的日志

4．系统管理员定期检查日志，特权使用、非授权访问、系统故障和异常等条目必须进行评审，以查找影响信息安全的风险来源和事实

5．系统维护部门负责人应定期评审系统管理员和系统操作员的活动日志

6．系统运维部门负责记录、分析故障日志，并对其采取适当的措施

7．系统运维管理部门负责评审纠正措施，以确保没有危及控制措施的安全，以及所采取的措施给予了充分授权

五、系统备份

1．技术部制定系统备份策略，包括系统配置备份和设备备份，并做好相应备案。

2．技术部根据系统备份策略定期做好系统配置备份和系统设备备份。

3．技术部做好系统配置及设备备份的保存与管理，保证备份的安全性。

4．技术部定期对配置备份恢复和测试，确保系统备份的可用性。