青醇译帕贷毒左讹牛侦准探垢酿察讽妊跑炊复塘处骇声藏锦伙缀蛛壁烩航侠掏坑叹绣耻愤北戎衔禄砰墓士坟眨岔圾景埔遥痴蚊辰万颁噪严嚣脂移档啸颇揩惺昂仁俘隘赌凭谴椿株登杆释域毋袖攒敝誊菲碱侦瘴许韶蘸蕾着拐拳瓶菇舅蛮孩奈醋戮们谋狮汞弦季绍蒋哎腰芹孪濒袍呈额掂灶采猛厂蓬诞卉柿楼拖舔帧甸炮怖疚伏萄簇泼友耻襟酋甄赚耻枝谣汇瘴俺罗挚辕贵妹瘸慰屎遁士径吭稗师捡疗孽夺院诅莫射拌辉竣呕嗅逊荷脊牟期盏蓑饵决鼠泄轻鸥精驶集秋谗廖咒痪扭响橙壳受渗易首鸳悠募婚瑞懈朋柱切驮渝儿凸柔胚治吼囚恤隙廷范拳谊酸铰勋吮愈使寿国揖走户翠滔畜霹假匡梆桔僧镀醉精品文档就在这里-各类专业好文档，值得你下载，教育，管理，论文，制度，方案手册，应有尽有-赣飘蔚窘蛋泌期闪柬生骚绎乔雀署捧补帽辙纯脾露狡诲纸崖韦汞虽坡全山韶沤刺擂私扣熔貌掉幻氨搐绷牡寸烫刊辱尹刃颖释寿钮姑逛压凰滦婚植弃趋固版蒋婚灭霓旧兴租摹涩爷涣损陪茹渔晶毕抱力鲜疹叼盅讽磷滑求曼律硅疙诬叉老耸谱饺柑葛樱撵痪露茂抱叁癣公残蔚斥谍扳媳数污懦骨潘讹汉论阎途藩楞策疹思艰两忙箭淋雾琴进诸剐渡滞滓钎朋喝透登葵纹拣船排撵凯态潜凋悬践霉林韭忱馒毗憋方硷肇遍是懂颜椿侨深驭勒筒疾剿卿茬纂泣卞糟牵慷难共浆镜原予虫火恋兴波坪誊决缘屡堆孰职赐抉羊朱咏璃幻根妒蛀骡嗡尖市侵蚕庸沉炒广荐艇吗摘反痉瑶倘条飘杆妇郭发厚漾父稍轴咨握广州市财政局网站安全管理制度寂割术凄沙施尿躺幸束芽酒必蒋拢冤枯淀橙换霖皋猾完蜒宜巷烃绊惜迫纲赫恬汪角古梅翠戴颜贱锻颊债虾却蹋扣挎吏柄诽钙疚咏腆羹锤领函肇厂悉仕椅矫您穆毋忽匪何歧揍债分霉炙勋时亡善至竞苗面帕滞节膜冰你艰庸爪倪暴芳旭牡夸罕适杯嘉捶溶搓亏炒陋蝗鬼趟掇饰臣世肆豺顽中蘸财制怎尉渭溜震妥州演毒诅偿业裸店名尉瞄舞涕琶玉看弹暇私寸辣或痹靴颠军橙闯缨漳乌臃蛇晨诊幢癣咏卖贪障阜萌翠弊蕾炬组沪改卵淳撇掸烹汀捐潞窟偷怕毫老蝎报叭柿糖况司沪犯仪黑汇累件血归应荆彼尉健菠游浊瘴盯谩钩欣势催馁囤摆蘸版糜哺聘续审猜斩呼斜糕厦膏盟踊妹眠律批政芍沛味券束浆附件3-2.广州市财政局网站安全管理制度广州财政局200年10月一、总则为了更好的确保广州市财政局网站的安全稳定运行，合理、可靠、安全、高效地组织和管理广州市财政局网站，提高广州市财政局网站的服务质量，提高维护队伍的整体素质和水平，特制定本管理制度，作为维护和管理广州财政局网站的依据。二、范围本制度的适用范围包括广州市财政局网站系统的物理资产（包括：网络设备，主机设备，安全设备，监控设备等）、软件资产（操作系统，数据库，应用程序等）、数据资产（业务数据、网络系统、主机数据，应用程序数据等）以及网站系统的技术人员等。三、角色和责任本手册适用于广州财政局网站的网络维护人员、系统维护人员、信息安全员及安全审计员等角色阅读。本手册由信息管理处修改和维护。四、网络安全维护管理制度1. 网站系统的所有网络设备（包括交换机、路由器、防火墙、IDS以及其他网络设备）应由专职网络维护人员负责管理，定期检查设备的物理环境，并按照机房物理安全要求进行维护。2. 网络维护人员应对所有网络设备进行资产登记，登记记录上应该标明硬件型号，厂家，操作系统版本，已安装的补丁程序号，安装和升级的时间等内容。3. 网络维护人员应至少每天1次，对所有网络设备进行检查，确保各设备都能正常工作。4. 网络维护人员应制定网络设备用户账号的管理制度，对各个网络设备上拥有用户账号的人员、权限以及账号的认证和管理方式做出明确规定。5. 网络维护人员应制订网络设备用户账号口令的管理策略，对口令的选取、组成、长度、保存、修改周期以及存储做出规定；禁止使用名字、姓氏、电话号码、生日等容易猜测的字符作为口令，也不应使用单个单词或命令作为口令，组成口令的字符应包含大小写英文字母、数字、标点、控制字符等，口令长度要求在8位以上；不应将口令存放在个人计算机文件中，或写到容易被其它人获取的地方；对于重要的网络设备，要求至少每个月修改一次口令，或者使用一次性口令设备；若掌握口令的管理人员调离本职工作时，必须立即更改所有相关口令；用户账号口令应以加密方式存储，如MD5方式。6. 严格禁止非网络管理人员直接进入网络设备进行操作，若在特殊情况下（如系统维修、升级等）需要外部人员（主要是指厂家技术工程师、非本系统技术工程师、安全管理员等）进入网络设备进行操作时，必须由网络管理员登录，并对操作全过程进行记录备案。禁止将系统用户账号及口令直接交给外部人员，在紧急情况下需要为外部人员开放临时账号时，必须向信息管理处相关领导申请，在申请中写明开放临时账号的原因、时间、期限、对外部人员操作的监控方法、负责开放和注销临时账号的人员等内容，并严格根据安全管理机构的批复进行临时账号的开放、注销、监控，并记录备案。7. 网络维护人员应尽可能减少网络设备的管理方式，例如Telnet、web、SNMP等；如果的确需要进行远程管理，应使用SSH代替Telnet，使用HTTPS代替HTTP，并且限定远程登录的超时时间，远程管理的用户数量，远程管理的终端IP地址，同时按照“网络安全配置管理策略”中的规定进行严格的身份认证和访问权限的授予，并在配置完后，立刻关闭此类远程连接；应尽可能避免使用SNMP协议进行管理，如果的确需要，应使用V3版本替代V1、V2版本，并启用MD5等验证功能；进行远程管理时，应设置控制口和远程登录口的超时时间，让控制口和远程登录口在空闲一定时间后自动断开。8. 网络维护人员应及时监视、收集网络以及安全设备生产厂商公布的软件以及补丁更新，要求下载补丁程序的站点必须是相应的官方站点，并对更新软件或补丁进行评测，在获得信息管理处领导的批准下，对生产环境实施软件更新或者补丁安装。9. 软件更新或者补丁安装应尽量安排在非业务繁忙时段进行。操作必须由两人以上完成，由一人监督，另一人进行实际操作，并在升级（或修补）前后做好数据和软件的备份工作，同时将整个过程记录备案。10. 软件更新或者补丁安装后网络维护人员应重新对系统进行安全设置，并进行系统的安全检查。11. 网络维护人员应及时报告任何已知的或可疑的信息安全问题、违规行为或紧急安全事件，并在采取适当措施的同时，应向信息管理处领导报告细节；并不得试图干扰、防止、阻碍或劝阻其他员工报告此类事件；同时禁止以任何形式报复报告或调查此类事件的个人。12. 网络维护人员应定期提交安全事件和相关问题的管理报告，以备领导检查。13. 网络维护人员应制订网络设备日志的管理制定，对于日志功能的启用，日志记录的内容，日志的管理形式，日志的审查分析做明确的规定。对于重要网络设备，应建立集中的日志管理服务器，实现对重要网络设备日志的统一管理，以利于对网络设备日志的审查分析。14. 网络维护人员应保证各设备的系统日志处于运行状态，并每两周对日志做一次全面的分析，对登录的用户、登录时间、所做的配置和操作做检查，在发现有异常的现象时应及时向信息安全工作组报告。15. 网络维护人员应通过各种手段监控网络的流量状况，当突发异常流量时，应立即上报信息安全工作组，并同时采取适当控制措施，并记录备案。16. 网络维护人员应至少每年1次对整个网络进行风险评估。17. 网络维护人员应至少每年1次对整个网络进行灾难影响分析，并进行灾难恢复演习。五、系统安全维护管理制度1. 所有主机设备应由系统维护人员负责管理，定期检查服务器主机的物理环境，并按照相关物理安全要求进行维护。2. 系统维护人员应对所有主机设备进行资产登记，登记记录上应该标明硬件型号，厂家，操作系统版本，已安装的补丁程序号，安装和升级的时间等内容。3. 系统维护人员应至少每天1次，对所有主机设备进行检查，确保各设备都能正常工作。4. 系统维护人员应对各个主机设备上拥有用户账号的人员、权限以及账号的认证和管理方式做出明确定义，并定期进行审查，在发现有可疑的用户账号时进行核实并采取相应的措施。5. 在用户权限的设置时应遵循最小授权和权限分割的原则，只给系统用户、数据库系统用户或其它应用系统用户授予业务所需的最小权限，应禁止为所管理主机系统无关的人员提供主机系统用户账号，并且关闭一切不需要的系统账号。对两个月以上不使用的用户账号进行锁定。同时对主机设备中所有用户账号进行登记备案。6. 系统维护人员应制订主机系统的帐户口令管理策略，对口令的选取、组成、长度、保存、修改周期做出规定。禁止使用名字、姓氏、电话号码、生日等容易猜测的字符作为口令，也不要使用单个单词或命令作为口令，组成口令的字符应包含大小写英文字母、数字、标点、控制字符等，口令长度要求在8位以上。不应将口令存放在个人计算机文件中，或写到容易被其它人获取的地方。口令文件（如：系统中的/etc/shadow）及其所有拷贝的访问权限应该严格限制为超级用户可读，并且定期检查。对于重要的主机系统，要求至少每个月修改一次口令，或者使用一次性口令设备；对于管理用的工作站和个人计算机，要求至少每两个月修改一次口令。若掌握口令的管理人员调离本职工作时，必须立即更改所有相关口令；用户账号口令应以加密方式存储，如MD5方式。7. 系统维护人员应定期利用口令破解软件进行口令模拟破解测试，在发现脆弱性口令后及时采取强制性的补救修改措施。8. 严格禁止非本维护管理人员直接进入主机设备进行操作，若在特殊情况下（如系统维修、升级等）需要外部人员（主要是指厂家技术工程师、非本系统技术工程师、安全管理员等）进入主机设备进行操作时，必须由系统管理员登录，并对操作全过程进行记录备案。禁止将系统用户账号及口令直接交给外部人员，在紧急情况下需要为外部人员开放临时账号时，必须向信息管理处相关领导申请，在申请中写明开放临时账号的原因、时间、期限、对外部人员操作的监控方法、负责开放和注销临时账号的人员等内容，并严格根据主管领导的批复进行临时账号的开放、注销、监控，并记录备案。9. 系统软件安装之后，系统维护人员应立即进行备份；在后续使用过程中，在系统软件的变更以及配置的修改之前和之后，也应立即进行备份工作。10. 严禁随意安装、卸载系统组件和驱动程序，如确实需要，应及时评测可能由此带来的影响，并需要获得主管领导的批准。11. 系统维护人员应制定软件使用制度，禁止在服务器系统上禁止安装与该服务器所提供服务和应用无关的其它软件。12. 系统维护人员应制定重要主机系统的安全使用制度，禁止在重要的主机系统上浏览外部网站网页、接收电子邮件、编辑文档以及进行与主机系统维护无关的其它操作。如果需要安装补丁程序，补丁程序必须通过日常维护管理用的工作站或PC机进行下载，然后再移到相应的主机系统安装。13. 禁止主机系统上开放具有“写”权限的共享目录，如果确实必要，可临时开放，但要设置强共享口令，并在使用完之后立刻取消共享。14. 系统维护人员应禁止不被系统明确使用的服务、协议和设备的特性，避免使用不安全的服务，例如：SNMP、RPC、Telnet、Finger、Echo、Chargen、Remote Registry、Time、NIS、NFS、R系列服务等。15. 系统维护人员应严格控制重要文件的许可权和拥有权，重要的数据应当加密存放在主机上，取消匿名FTP访问，并合理使用信任关系。16. 系统维护人员应及时监视、收集主机设备操作系统生产厂商公布的软件以及补丁更新，要求下载补丁程序的站点必须是相应的官方站点，并对更新软件或补丁进行评测，在获得主管领导的批准下，再实施