安全配置规范实施细则.docxVIP

文档标题*文件名称信息系统安全配置规范实施细则*文件编号*文件所有者*文件属性*关联文件文件密级负责人日期意见*拟制*签发文件版本记录*生效日期*作者版本变更说明文件说明*目的本文件目的在于规范对操作系统、硬件设备、数据库、中间件、应用系统等进行的安全配置及检查，明确该项工作的基本要求。*适用范围公司文件结构名词解释基线一种在测量、计算或定位中的基本参照。安全基线是设备功能和配置方面的基本安全要求，是信息系统的最小安全保证和最基本的、必须满足的安全要求。它适用于未上线和已上线系统，用于保障组织内信息系统安全。脆弱性是IT系统中存在的弱点、缺陷与不足，不直接对资产造成危害，但可能被威胁所利用从而危害资产的安全。注：*项为必填项目录一、组织和职责31信息安全小组32信息管理部门各职能线3二、管理规定31背景32安全基线制定的方法论33安全基线框架说明和覆盖范围44安全基线内容45安全基线使用要求5三、表单5信息系统安全配置规范实施细则组织和职责信息安全小组信息安全小组负责牵头安全配置规范管理工作，总体协调信息管理部门制定其职权范围内系统的安全基线集，并定期检查各信息系统对安全配置规范的执行状况。信息管理部门各职能线信息管理部门各职能线负责制定其职责范围系统的安全基线集，并严格落实各项安全配置内容。管理规定背景为了保证信息系统整体安全水平，防止信息系统因为安全配置不到位而带来安全风险，必须对系统的安全性进行检查和加固，以确保系统和设备安全符合性达到要求，杜绝安全隐患。为此，信息管理部门各职能线必须制定各系统的安全基线，以作为系统上线、日常安全检查的依据，同时也作为满足内部信息安全管控要求的依据。安全基线应覆盖操作系统、硬件设备、数据库、中间件、应用系统，并依据这些安全基线建立准入措施，从源头和根本上控制和提高信息系统的安全性。安全基线的基本要求如下：覆盖面广，包括软件系统及硬件设备，并涵盖Web应用和源代码；可操作性强，针对每个检查项均有简洁的操作说明；定期更新，应当周期性的对基线进行补充和更新；成果可固化，基线可以被集成为检查工具；安全基线将作为软件系统和硬件设备准入的必要条件。安全基线制定的方法论安全基线制定主要基于以下方法：参考产品原厂商的技术资料； 参考安全服务及安全研究的成果； 参考国内外大型研究机构及企业现行的安全基线； 结合公司的实际情况安全基线框架说明和覆盖范围按设备和系统种类，分为主机操作系统类安全基线、数据库类安全基线、网络设备类安全基线、中间件与应用类安全基线，公司信息管理部门可根据需要对包含的设备和系统进行扩充。（与客户实际情况之间的差别，重点在应用系统）现阶段安全基线制定的范围包括：1、应用系统：Web应用层安全基线，针对Web应用的身份与访问控制、代码质量等方面制定安全检查项2、中间件：ApacheWebSphereTomcatOracle Application Server3、数据库：OracleSQLServer4、主机：WindowsLinux设备：网络设备存储设备服务器小型机安全基线内容安全基线可分为两大类，第一大类为应用层基线，由于本类的应用系统包含定制开发，因此重在考虑设计、开发、测试环节引入的安全问题，所以该类的安全基线通常包括以下九个范畴的要求：身份与访问控制会话管理代码质量内容管理防钓鱼与防垃圾邮件密码算法系统日志安装配置安全维护第二大类为通用的IT基础设施系统层基线，这类系统包括网络设备、操作系统、数据库，中间件等，它们多为标准化产品，原厂商技术支持较好，资料完整，因此这一类的安全基线的内容主要关注账号口令、安全策略，补丁情况，网络协议，日志等问题，其基本安全基线通常包括四个范畴的要求：账号管理，认证授权日志配置操作IP协议安全设置设备其它配置操作安全基线使用要求新系统上线时必须完成安全基线检查，符合基线要求才能上线，安全基线符合性将作为设备安全准入的依据。已上线系统在日常运维中也必须符合安全基线要求，运行维护部门配合信息安全管理部门每季度对基线符合性进行抽检，可以使用专业的安全基线检查工具对基线各个要求项进行自动化的基线检查，并形成基线检查报告。具体业务系统的安全要求应按照业务系统的组成，选择对应的安全基线集合进行检测，要求业务系统的网络设备、主机操作系统、数据库和应用系统必须通过安全基线的检测，对于确实因特殊业务需求无法达到的不符合项，应当做出合理说明。表单无