深圳万操作系统的安全管理.docVIP

草案 流程描述 Page  PAGE 4 公司万科企业股份有限公司（深圳万科）流程信息系统安全子流程操作系统安全管理子流程参考号#SZ-GC-B 修正日期 制作人复核人20/9/2007古学庆李宝昌 流程总述 本流程描述了深圳万科操作系统安全管理方面的一般性流程，包括对用户、系统的管理以及安全监控等方面。 流程描述 2.1操作系统安全综述 2.2对用户的管理 2.2.1帐号管理 2.2.2认证管理 2.2.3权限管理 2.3对系统的管理 2.4 监控管理 操作系统安全综述 深圳万科经理办公室负责公司内部操作系统的安全管理，实施、配置、管理逻辑安全工具和技术，以限制对操作系统的访问，保证系统的安全，避免出现对信息系统及数据未授权和不恰当访问的情况。 对用户的管理 本流程描述中对用户的管理包括用户管理、认证管理和权限管理，其逻辑关系表现为：系统中的用户首先需要按照业务需求进行增加、修改和删除并设置相应的安全机制；为了保证逻辑权限安全，必须具有一定的身份识别和认证机制，保证只有有效的用户才能进入系统；一旦认证为合格用户进入系统，系统应该识别该用户具有哪些经过审批的权限并允许用户实际进行操作。 2.2.1帐号管理 用户帐号的管理是对用户管理的基础，集团IT中心制定了《AD帐号管理规定》GC-b-1，规定设置用户帐号的时候，系统中的每一个帐号只能对应一个用户或合作方，以区别身份 [操作系统中的每一帐号必须只能对应一个用户，以区分身份和划分责任。]（控制活动编号：GC-B-1）。用户登录操作系统时，使用自己的帐号进行登录。 为了保证系统安全，遵照集团IT中心相关管理制度，在系统投入使用后，要求操作系统管理员修改系统默认密码。系统管理员将系统中不使用的默认用户设为非激活状态。在WINDOWS中的Guest帐号被禁用或不被授予任何权限 [操作系统管理员在系统正式使用前，必须修改操作系统默认帐号和密码，同时对不需要的帐号进行删除或锁定。]（控制活动编号：GC-B-2）。 操作系统管理员拥有操作系统的最高权限，对系统特权的不当使用经常成为导致系统产生漏洞和故障的一个主要因素，因此总经理办公室必须明确定义操作系统管理员的职责。系统管理员应正确设置和管理系统的各项参数和用户，处理系统出现的故障，监控系统运行状态和日志，保证系统安全、高效的运行。同时总经理办公室对具有操作系统管理员权限的人员数量必须进行严格限制。当操作系统正式运行时，总经理办公室明确定义具有系统管理员权限的人员和责任，现操作系统管理员、应用系统管理员、数据库管理员为同一人。如果当操作系统管理员变化时，总经理办公室(副)主任重新指定操作系统管理员，并立即进行密码的变更与更新记录。操作系统管理员的职责在《岗位说明书》GC-b-2中明确说明[信息系统管理部门必须明确定义具有操作系统管理员权限的人员和责任。操作系统管理员与应用系统管理员、数据库管理员不能为同一个人。]（控制活动编号：GC-B-3）。（缺陷：操作系统管理员与应用系统管理员、数据库管理员相同） 为提高系统的安全性，降低操作系统管理员帐号和密码被窃取的几率，总经理办公室规定操作系统管理员在进行日常维护时，根据需要的权限建立专门的维护帐号，以区分责任，提高系统的安全性 [操作系统管理员必须创建专门的维护帐号进行日常维护。]（控制活动编号：GC-B-4）。 2.2.2认证管理 密码或其它鉴别机制提供了一种验证用户身份的手段，建立了对信息处理设备和服务的访问权限。系统管理员对操作系统建立身份认证机制，用户登录系统需通过密码进行身份认证。集团IT中心制定的《AD帐号管理规定》，对密码长度、密码复杂性、更换周期（每季度一次）等作出具体要求。对于使用口令动态密码的系统，通过使用登记等监控制度，以保证系统的操作可以对应到执行人员[操作系统的本地和远程用户必须通过密码或其它鉴别机制进行认证。密码应定期更换 （至少每季度一次），并有格式规定（密码长度、复杂度要求）。]（控制活动编号：GC-B-5）。 2.2.3权限管理 操作系统管理员拥有操作系统的最高权限，对系统特权的不当使用经常成为导致系统产生漏洞和故障的一个主要因素，因此对拥有操作系统管理员权限的用户需要进行严格管理。操作系统管理员执行的重要操作(帐号管理)必须记录《用户帐号申请表》GC-b-3。总经理办公室信息技术组主管或(副)主任每月对维护日志中执行人、执行时间、执行命令等内容进行审核[操作系统管理员执行的操作必须记录日志。信息系统管理部门主管应定期（至少每月一次）审核操作系统管理员的操作日志。]（控制活动编号：GC-B-6）。 操作系统的用户权限必须和用户的岗位需求一致。用户申请帐号和权限时，必须提交《用户帐号申请表》,由用户所