网站主机系统安全管理规范要点.pdfVIP

文件名称 主机系统完全管理规范 密级 文件编号 版 本 号 编写部门 编 写 人 审 批 人 发布时间 主机系统安全管理规范 网络运行维护事业部 I 目录 II 一. 主机系统安全概述 主机系统作为信息存储、传输、应用处理的基础设施，其自身安全性可能影响整个业务 平台的安全。作为业务平台系统中重要的组成部分，各种业务系统主机数量众多，资产价值 高，面临的安全风险极大。 一方面，主机系统是各类业务系统数据和信息的主要载体，这些业务数据和信息是系统 信息资产的重要组成部分；另一方面，病毒、攻击入侵等安全威胁很容易通过访问主机系统 的终端渗透到后台各种业务应用和服务主机中，从而对业务平台系统的整体安全带来危害。 本规范制定的目标是统一业务平台的主机系统技术规范，指导业务平台主机的安全配置 和维护，从而提高业务平台各系统总体安全水平。 1 二. 操作系统安全 2.1 补丁状况及安全防护 2.1.1 系统补丁安装原则 对于操作系统，安全漏洞的存在是不可避免的，因此需要针对系统的缺陷进行漏洞的修 补，但考虑到补丁与现有业务系统的兼容性不能盲目的进行漏洞修补，漏洞的修复工作必须 慎重操作，主机系统的漏洞补丁升级需要满足以下技术要求：  应采用专业的漏洞扫描、评估技术对操作系统（如：Windows 、Linux、Unix、第三方软 件）进行定期安全评估，并根据结果对系统进行修复；  在对操作系统的补丁进行更新前，应对补丁与现有业务系统的兼容性进行测试，确认后 与系统提供厂商配合进行相应的修复；  应对操作系统的漏洞发展情况进行跟踪，形成详细的安全更新状态报表。  安装补丁软件包则以必要为原则，非必需的包就不装。 2.1.2 病毒防范 考虑现阶段类 UNIX 平台的病毒风险情况，暂时对 UNIX 平台病毒防护不作特别要求，但 需要关注最新 UNIX 平台病毒发展状况和对已知病毒进行严格的防范。 针对业务平台中 windows 平台主机系统需要采用适当的病毒防护系统进行病毒、恶意代 码等的防治，防病毒系统应满足如下要求：  主机系统必须安装统一的病毒防治产品，应在应用系统厂商指导下部署实时检测和查杀 恶意代码的软件产品；  支持通过防病毒服务器设置统一的防毒策略，实时防治病毒；  防病毒系统应自动保持防病毒代码的更新，或者通过运维操作员进行手动更新。 2 2.1.3 入侵检测与防范 通过主机入侵检测系统、主机日志系统等主机安全技术，结合网络安全技术（如网络入 侵检测系统、防火墙等），实现对各种已知入侵行为的检测，记录入侵的源 IP、攻击的类型、 攻击的目的、攻击的时间，并在发生严重入侵事件时提供报警。 2.2 鉴别与控制 2.2.1 身份鉴别 身份鉴别用于验证实体身份（是用户、计算机、程序等）的过程，该过程确定实体是它 所声称的身份。 由于主机系统承载着应用系统重要的业务和数据信息，这对于业务平台系统资产重要性 和保护力度来说是重中之重，因此应采用严格身份鉴别技术用于主机系统用户的身份鉴别， 操作系统的身份鉴别应满足下列技术要求：  应对登录操作系统的用户进行身份标识和鉴别；  满足登录过程的身份认证，提供多种身份鉴别方式，如设置复杂的口令，数字证书，动 态口令，PKI 体系等主流的身份鉴别方式；对于重要业务系统可考虑对同一用户采用两种 或两种以上组合的鉴别技术实现用户身份鉴别； 2.2.2 口令与帐号  操作系统安全的一个重要方面是对