银行业科技部科技专员系统安全维护手册（执行版）.docxVIP

银行业科技部科技专员系统安全维护手册（执行版）

第一章基础架构与网络防护

1.1核心服务器集群部署与硬件加固

在启动部署阶段，需严格遵循“最小化安装”原则，仅安装操作系统、数据库及必要的中间件，严禁预装企业、钉钉或各类即时通讯软件，以防止恶意软件通过系统服务窃取敏感数据。硬件层面必须全面启用BIOS中的“安全启动”（SecureBoot）功能，并配置UEFI安全配置，确保所有运行在BIOS中的软件均经过数字签名验证，杜绝未授权固件篡改带来的系统崩溃风险。

针对核心数据库服务器，必须部署双机热备（HA）架构，配置主备切换时间目标（RTO）不超过30秒，并启用主备数据库的自动高可用（HA）功能，确保业务中断时数据零丢失。在物理介质管理上，所有存储设备必须采用本地加密文件系统（LVM）或云盘加密存储，并配置“只读挂载”策略，禁止普通用户直接访问底层存储卷，防止数据被非法拷贝。启用网络层面的“网络隔离”功能，将核心业务数据库网络与办公网、互联网完全物理或逻辑隔离，禁止任何外部端口直接访问数据库端口，切断横向攻击路径。

定期执行“漏洞扫描与补丁管理”，利用Nmap等工具扫描端口开放情况，并严格遵循厂商安全建议，在系统更新窗口期（如24小时内）完成所有高危漏洞的补丁修复。

1.2内部网络拓扑设计与隔离策略

构建“核心-汇聚-接入”三层