《设备安全管理规范.docx》由会员分享,可在线阅读,更多相关《设备安全管理规范.docx(6页珍藏版)》请在优知文库上搜索。
1、设备安全管理规范目录1 .编制说明12 .适用范围13 .依据标准14 .安全管理细则24.1.定义24.2.范围24.3.设备资产编号规范24.4.设备验收规范24.5.设备存储与发放规范31. 6.服务器设备安全管理34. 7.网络/安全设备安全管理45. 责任要求46. 规范执行4编制说明本管理规范定义了的设备安全管理方面的相关要求。本管理规范由技术部进行维护和解释。适用范围本安全管理规范适用于的设备管理员。依据标准1 .计算机信息系统安全保护等级划分准则(GB17859)2 .信息安全管理体系标准(BS7799/IS017799)3 .信息技术安全管理指南(ISOI3335)4 .信息
2、技术安全性通用评估准则(IS015408/GB18336)5 .计算机信息系统安全保护条例(国务院令第147号)6 .计算机信息网络国际联网安全保护管理办法7 .计算机信息系统国际联网保密管理规定8 .计算机病毒防治管理办法(公安部令第51号令)9 .计算机场地安全要求(GB9361-88)10 .相关管理规定4 .安全管理细则4.1 定义通过制定、实施设备安全管理规范,确保设备本身提供的安全保障技术机制发挥作用。4.2 范围设备包括信息资产中的所有硬件设备,包括服务器、终端设备、网络设备等。4.3 设备资产编号规范1 .所有硬件设备采购、变更、废弃时,资产管理员必须首先在资产清单进行记录和描
3、述。资产清单应记录设备以下相关信息:设备编号、设备名称、设备物理位置、设备用途、设备所有者、设备使用者及联系方式、设备IP信息、设备采购变更废弃时间、设备供货商及联系方式。2 .设备在到货验收或配置之后,必须由资产管理员,作出相应的标识,直接体现在设备上醒目的位置。标识应包括以下内容:设备编号、设备使用部门、设备名称、设备用途、设备IP信息、设备供货商及联系方式。4.4 设备验收规范1 .设备验收后资产管理员应保留如下文档:测试验收方案、验收实施方案、各种质量记录、验收报告和不合格报告。2 .测试验收方案由管理员负责督促供应厂商在到货前两周提出,并由资产管理员审核,并得到最终用户的认可。3 .
4、在测试开始前,应保证测试参与人员清楚测试步骤和相应需要填写的质量记录。4 .在清点和测试过程中必须详细填写相应质量记录。测试通过的设备贴上“测试通过标签,然后入库保管。4.5 设备存储与发放规范1 .设备的存贮与发放应严格管理,由资产管理部门负责。2 .入库接收时库房管理员应首先同设备经手人一道检查有无状态标识,然后填写入库单,记录设备号。3 .不同种类设备一定要分开,各自单独存放。4 .存放过程中要注意存贮环境的条件及安全,定期检查,并向领导决策组提交检查报告。5 .需要领取设备时,库房管理员应与设备领取人共同检查设备状态标识,填写出库单,记录设备号。4.6 服务器设备安全管理1 .服务器初
5、始安装后必须安装厂商提供的最新系统补丁。管理员在接受到安全管理员的安全通告后,应根据软件安全规范中的要求进行补丁升级。2 .服务器上线运行前必须经过全面的系统加固配置流程,至少包括:3 )关闭不必要的服务4 )禁用不必要的用户和用户组5 )开启或安装必要的日志审计功能6 )调整增强用户和密码策略7 )严格按照服务器安全配置手册对不同类型的服务器进行相应的安全增强配置。8 .如果没有特殊情况,严格禁止使用在线运行的服务器进行浏览网页或下载操作。9 .在线运行的服务器禁止任何未正式批准的变更操作,包括安装不相关的软件、修改配置、增加用户等。所有变更操作必须经系统管理员批准并进行变更记录。有重大影响
6、的变更需要得到相关部门领导批准,并及时通知所有用户。10 系统管理员需要定期检查系统日志,特别是安全日志。4.7 网络/安全设备安全管理1 .网络/安全设备在购入时要保证是最新的设备软件版本,并且定期进行升级,保证其安全性。2 .网络/安全设备上线时要进行一些专门的安全功能设置,比如:采用安全方式(如安全协议、串口连接等)对网络设备进行远程或本地管理,禁止以明文传输协议进行远程管理网络设备配置身份认证、授权和统计(AAA)对密码进行高级别的加密保护加强对基于广播的风暴攻击的防范加强对内部地址欺骗的防范加强对源路由欺骗的防范禁止不必要的服务,实行最小服务原则加强对于SNMP的默认管理字符串的安全管理依据需求提升访问控制规则的严格程度设置明确的禁止非授权访问的警告提示5 .责任要求的设备管理员必须遵照设备安全管理规范,技术部门加强管理,防止设备管理存在安全问题。如由于未遵循以上规范导致出现设备安全问题,相关部门和人员负有责任。6 .规范执行本标准由技术部发布,对标准具有解释、增加和修改的权力。本规范自下发之日起正式执行。