设备安全管理规范.docxVIP

- - PAGE II - 设备安全管理规范 目录 TOC \o 1-3 \h \z \u 1. 编制说明 1 2. 适用范围 1 3. 依据标准 1 4. 安全管理细则 2 4.1. 定义 2 4.2. 范围 2 4.3. 设备资产编号规范 2 4.4. 设备验收规范 2 4.5. 设备存储与发放规范 3 4.6. 服务器设备安全管理 3 4.7. 网络/安全设备安全管理 4 5. 责任要求 4 6. 规范执行 4 PAGE PAGE 1 - - PAGE 4 - 编制说明 本管理规范定义了的设备安全管理方面的相关要求。 本管理规范由技术部进行维护和解释。 适用范围 本安全管理规范适用于的设备管理员。 依据标准 《计算机信息系统安全保护等级划分准则》（GB17859） 《信息安全管理体系标准》（BS7799/ISO17799） 《信息技术安全管理指南》（ISO13335） 《信息技术安全性通用评估准则》（ISO15408/GB18336） 《计算机信息系统安全保护条例》（国务院令第147号） 《计算机信息网络国际联网安全保护管理办法》 《 计算机信息系统国际联网保密管理规定》 《计算机病毒防治管理办法》（公安部令第51号令） 《计算机场地安全要求》（GB9361-88） 相关管理规定 4.安全管理细则 4.1 定义 通过制定、实施设备安全管理规范，确保设备本身提供的安全保障技术机制发挥作用。 4.2 范围 设备包括信息资产中的所有硬件设备，包括服务器、终端设备、网络设备等。 4.3 设备资产编号规范 1. 所有硬件设备采购、变更、废弃时，资产管理员必须首先在资产清单进行记录和描述。资产清单应记录设备以下相关信息：设备编号、设备名称、设备物理位置、设备用途、设备所有者、设备使用者及联系方式、设备IP信息、设备采购\变更\废弃时间、设备供货商及联系方式。 2. 设备在到货验收或配置之后，必须由资产管理员，作出相应的标识，直接体现在设备上醒目的位置。标识应包括以下内容：设备编号、设备使用部门、设备名称、设备用途、设备IP信息、设备供货商及联系方式。 4.4 设备验收规范 1. 设备验收后资产管理员应保留如下文档：测试验收方案、验收实施方案、各种质量记录、验收报告和不合格报告。 2. 测试验收方案由管理员负责督促供应厂商在到货前两周提出，并由资产管理员审核，并得到最终用户的认可。 3. 在测试开始前，应保证测试参与人员清楚测试步骤和相应需要填写的质量记录。 4. 在清点和测试过程中必须详细填写相应质量记录。测试通过的设备贴上“测试通过”标签，然后入库保管。 4.5 设备存储与发放规范 1. 设备的存贮与发放应严格管理，由资产管理部门负责。 2. 入库接收时库房管理员应首先同设备经手人一道检查有无状态标识，然后填写入库单，记录设备号。 3. 不同种类设备一定要分开，各自单独存放。 4. 存放过程中要注意存贮环境的条件及安全，定期检查，并向领导决策组提交检查报告。 5. 需要领取设备时，库房管理员应与设备领取人共同检查设备状态标识，填写出库单，记录设备号。 4.6 服务器设备安全管理 1. 服务器初始安装后必须安装厂商提供的最新系统补丁。管理员在接受到安全管理员的安全通告后，应根据软件安全规范中的要求进行补丁升级。 2. 服务器上线运行前必须经过全面的系统加固配置流程，至少包括： 1) 关闭不必要的服务 2) 禁用不必要的用户和用户组 3) 开启或安装必要的日志审计功能 4) 调整增强用户和密码策略 5) 严格按照《服务器安全配置手册》对不同类型的服务器进行相应的安全增强配置。 3. 如果没有特殊情况，严格禁止使用在线运行的服务器进行浏览网页或下载操作。 4. 在线运行的服务器禁止任何未正式批准的变更操作，包括安装不相关的软件、修改配置、增加用户等。所有变更操作必须经系统管理员批准并进行变更记录。有重大影响的变更需要得到相关部门领导批准，并及时通知所有用户。 5. 系统管理员需要定期检查系统日志，特别是安全日志。 4.7 网络/安全设备安全管理 1. 网络/安全设备在购入时要保证是最新的设备软件版本，并且定期进行升级，保证其安全性。 2. 网络/安全设备上线时要进行一些专门的安全功能设置，比如： 采用安全方式(如安全协议、串口连接等)对网络设备进行远程或本地管理，禁止以明文传输协议进行远程管理网络设备 配置身份认证、授权和统计（AAA） 对密码进行高级别的加密保护 加强对基于广播的风暴攻击的防范 加强对内部地址欺骗的防范 加强对源路由欺骗的防范 禁止不必要的服务，实行最小服务原则 加强对于SNMP的默认管理字符串的安全管理 依据需