【干货】信息系统安全运维必备的制度和手段【干货】信息系统安全运维必备的制度和手段当前信息技术正不断变革性发展随着人工智能、大数据、云计算、5G、物联网以及边缘计算等新技术在产业与组织中的普及应用数字化、信息化带来的安全管理工作也日益繁重责任重大。业务的不断演进系统的数据量不断扩大技术栈越来越复杂系统模块越来越多造成信息系统中断的事件的风险场景越来越多。而国内外网络安全形势趋于复杂外部网络攻击以及内部威胁等网络安全事件也持续性发生。提升网络安全运维与事件处置的能力成为所有机构组织和网络安全运维人员共同关注的重点问题。另一边数字资产是企业乃至国家新的增长引擎国家对于网络安全和数据安全的重视和管控也越来越严格以及规范各类安全法规、政策条例正不断落地实施引导企业落实网络安全运维管理工作。只有搭建全方位、多层次、全维度的网络安全运维管理体系才能保护企业的网络安全。信息系统安全运维工作涉及的维度十分广泛需要从人员组织、安全策略制定、安全运维规章制度和相关技术手段等多方面着手多管齐下相辅相成才能成功。以下分享一个可行的//《信息系统运维安全管理规定》//供大家作为参考。# 信息系统运维安全管理规定 #【第一章 总则】第一条 为加强XXXXX信息系统运维的安全管理保障信息系统的网络安全与信息安全依据国家有关法律、法规和XXXXX有关规章制度特制定本规定。第二条 XXXXX信息系统运维安全管理范围包括网络安全管理、操作系统安全管理、用户访问授权管理、密码管理、防病毒管理、系统补丁管理、介质管理、信息交换管理、安全监控和审计管理、数据备份和恢复管理、日常运行维护管理以及监督检查等相关内容。第三条 本规定适用于XXXXX信息系统运维中的安全管理。【第二章 网络安全管理】第四条 信息中心统一规划XXXXX网络架构并根据安全风险情况部署安全设备确保网络安全和信息安全。第五条 网络管理员应对网络拓扑进行统一管理应保持拓扑结构图与现行网络运行环境的一致性拓扑图应包括网络设备、安全设备的型号、名称以及与链路的链接情况等。第六条 网络管理员应维护所有网络设备的物理连接情况控制和管理网络接口的使用。第七条 网络管理员应监控网络的运行状况发现影响较大的网络故障时必须及时向XXXXX信息中心报告。第八条 通信链路及带宽资源管理应当遵循合理分配、高效使用的原则禁止使用网络传送非业务需要的内容。第九条 未经允许网络中严禁随意使用无线网络通讯设备进行访问。第十条 未经允许任何计算机、网络设备、安全设备不允许随意接入网络中。第十一条 外部人员在接入互联网时应经过部门领导的审核审批后才可接入同时要指定IP地址并进行记录,根据《人员安全管理规定》进行管理。第十二条 应对网络区域中的非法访问部署检测和审计措施能够做到安全事件可监控、可追踪和可审计。第十三条 对于网络中重要的网络设备、安全设备应开启审计功能记录对于设备配置变更的操作。第十四条 网络安全管理应建立必要的安全技术措施确保网络的统一管理包括信息资产管理、网络拓扑管理、信息资源管理、网络异常流量管理、安全事件监控管理、安全策略管理、安全预警管理等网络安全管理内容。第十五条 应根据不同的业务安全等级合理划分网络安全域安全域间应采取逻辑隔离措施根据业务需要仅开放必要的网络访问端口和服务区域和边界的访问控制策略应根据业务需要进行设置。第十六条 关键业务应用和网络访问应使用静态路由如果使用动态路由应启用路由协议的安全认证机制并控制路由信息的广播范围。第十七条 干路和核心的网络设备、安全设备、网络链路应建立冗余备份机制如果出现全网安全事件应根据《应急处理预案》进行应急响应。【第三章 操作系统安全管理】第十八条 对于每个管理员建立单独的用户账号特别要区分普通用户账户号和管理员账号账号不得共享。第十九条 操作系统中应限制登录和认证的次数避免外界尝试登录和暴力破解的安全风险。第二十条 操作系统的安装须遵从最小化安装原则仅仅安装并运行必须的系统服务和应用程序第二十一条 各应用系统主管在按规定安装各类软件时遵从最小化安装原则关闭和卸载与办公和业务无关的功能和服务。第二十二条 运行业务应用系统时要使用保证应用系统正常运行的最小账户权限原则上禁止使用最高权限账号。第二十三条 为了能够发现和跟踪系统中发生的各种可疑事件需要启用安全审计功能以日志的形式记录用户登录系统、文件访问操作、账户修改等行为的过程和结果信息做到发生可疑事件时有据可查。【第四章 用户访问授权管理】第二十四条 XXXXX各系统应根据不同角色确定不同的用户账号账号至少分为以下角色一 系统管理员负责维护系统的管理员一般具有超级用户权限二 普通用户访问系统的普通用户一般只具有相应访问内容和操作的最小权限三 第三方人员临时或长期进行系统维护的非XXXXX内部人员根据第三方人员的维护范围确定其使用权限四 系统安全管理员XXXXX进行安全审计的人员具有能够查看系统的日志和审计信息。第二十五条 XXXXX各系统应根据“最小授权”的原则设定账户访问权限控制用户仅能够访问到工作需要的信息。第二十六条 应根据XXXXX要求和员工岗位来创建、变更和撤销用户的账号及权限并定期对用户账号和权限进行监督、检查。第二十七条 各系统的账号能标识系统访问的不同角色并尽量避免使用系统默认账号。第二十八条 应避免系统中存在多余、无用和测试账号确保服务器中所有的操作系统账号能够唯一标识操作人员。第二十九条 系统安全管理员应当对系统中存在的账号进行定期审计系统中不能存在无用或匿名账号。第三十条 各系统应该设置审计用户的权限审计用户应当具备比较完整的读权限审计用户应当能够读取系统关键文件检查系统设置、系统日志等信息。第三十一条 各系统应《人员安全管理规定》的要求限制第三方人员的访问权限对第三方的访问进行定期的检查和审计。【第五章 密码管理】第三十二条 XXXXX设备及系统的密码的设置至少符合以下要求一 长度大于8位二 大小写字母、数字以及特殊字符混合使用三 不是任何语言的单词四 不能使用缺省设置的密码。第三十三条 账号密码至少应该保证每三个月换一次包括UNIX/Linux系统root用户的密码、网络设备的enable密码、Windows系统Administrator用户的密码以及应用系统的后台管理用户密码等。第三十四条 系统须强制指定密码的策略包括密码的最短有效期、最长有效期、最短长度、复杂性等。第三十五条 密码不能以明文的方式通过电子邮件或者其它网络传输方式进行传输。第三十六条 不得将密码告诉与该工作无关的人员如果第三方系统维护人员需要登录系统系统管理员为其设置临时密码完成工作后必须立刻修改密码第三十七条 系统管理员不能共享超级用户的密码应采用组策略控制超级用户的访问。第三十八条 除了系统管理员外一般用户不能改变其它用户的密码。第三十九条 当密码使用期满时被其他人知悉或认为密码不保密时网络管理人员可按照密码更改程序变换密码。第四十条 所有用户严禁将密码贴在终端上输入的密码不应显示在显示屏幕上严禁随意丢弃记载有用户名密码的纸条等媒介物不准用电话、电子邮件等告诉密码。第四十一条 对于系统重要性高、资产价值高、威胁可能性大可以使用强度更高的认证机制例如采用双因素认证等。【第六章 防病毒管理】第四十二条 信息中心统一规划、统一部署具有国家许可的正版计算机防病毒系统软件。所有服务器和终端必须安装XXXXX配发的计算机防病毒软件否则不允许连入网络和处理工作。第四十三条 所有的服务器和计算机终端应安装XXXXX要求的网络防病毒软件并对安装情况做相应记录使用各种介质复制或者从网络上下载文件到计算机上应首先进行病毒查杀。第四十四条 应使用XXXXX下发的正版软件禁止随意安装软件防止其中可能存在恶意软件。第四十五条 信息安全管理员对防病毒软件系统进行监控并记录病毒查杀情况。安全管理员负责每周对防病毒系统的病毒库进行两次升级升级完成后进行记录。第四十六条 XXXXX服务器、桌面计算机及便携式计算机一旦发现被计算机病毒感染应先将计算机与网络隔离确保病毒库已更新至最新版本,并及时进行病毒查杀处理当情况严重且无法在规定时限内紧急恢复或有效控制时应按照《信息安全事件应急管理规定》及时上报启动相应应急响应预案应注意保留防病毒系统记录。【第七章 系统补丁管理】第四十七条 应及时跟进各产品的安全漏洞信息和产品厂商发布的安全补丁信息。第四十八条 安全补丁根据其对应漏洞的严重程度分为三个级别紧急补丁、重要补丁和一般补丁紧急补丁必须在15天内完成加载重要补丁必须在一个月内完成加载一般补丁要求六个月内完成加载对于不能加载补丁的情况一定要采取其他的有效安全控制措施。第四十九条 必须从各产品厂商官方渠道获取安全补丁补丁加载应制定严格的计划。第五十条 补丁加载之前必须经过严格的测试测试环境与生产环境尽可能一致严禁未经测试直接在生产系统上加载补丁。第五十一条 补丁测试的内容包括补丁安装测试、补丁功能性测试、补丁兼容性测试和补丁回退测试一 安装测试主要测试补丁安装过程是否正确无误补丁安装后系统是否正常启动。二 补丁功能性测试主要测试补丁是否对安全漏洞进行了修补。三 补丁兼容性测试主要测试补丁加载后是否对应用系统带来影响业务是否可以正常运行。四 补丁回退测试主要包括补丁卸载测试、系统还原测试。第五十二条 补丁加载必须安排在业务比较空闲的时间进行对补丁加载的操作过程必须按照计划严格操作并详细记录。第五十三条 系统管理员对加载补丁后的系统必须按照计划和验证方案进行的测试验证确保补丁加载后不影响系统的性能确保各项业务操作正常。第五十四条 补丁加载后的一周内系统管理员必须对系统性能和事件进行密切的监控。第五十五条 完成补丁加载后系统管理员应将补丁安装情况通知系统安全管理员。【第八章 介质管理】第五十六条 本规定中的存储介质是指设备内或者独立存放的磁介质、光介质及其它记录载体如计算机硬盘、光盘、移动硬盘、U盘、软盘和录音带、录像带等。第五十七条 对存储介质应根据信息中心机房信息资产登记记录进行统一的登记和记录介质的使用、转移、维修和销毁必须严格管理。第五十八条 存储介质应贴好标签进行标识标识标志必须贴在表面易于辨识的地方应标注介质编号、介质有效期截止日、日期、操作人员、环境名称、内容、用途和数据保存时间等信息。第五十九条 所有含有内部信息的存储介质对外部人员访问是受控的严禁任何人带离工作场所如外出进行更换或者维修的损坏介质需要签订保密协议。第六十条 存储介质应保存在安全的物理环境下如防火、电力、空调、湿度、静电及其他环境保护措施对于存放重要数据的存储介质应当在异地进行备份。第六十一条 应根据存储介质的使用寿命制定数据恢复测试计划以避免数据丢失。第六十二条 对含有重要数据的存储介质不再使用时必须执行重复写操作防止数据恢复。第六十三条 对于磁带、光盘、纸质等存储介质进行报废处理时应采取切碎或者烧毁的方式进行。【第九章 信息交换】第六十四条 防止XXXXX与外部单位间或者XXXXX内部交换信息时信息受损、修改或者滥用做到对信息交换的有效控制确保信息交换的有效性和安全性第六十五条 信息交换方式包括传输介质、电子邮件、OA办公系统、电话、传真及其他信息交换形式第六十六条 通过信息系统进行自动信息交换或者数据传送时必须选择安全的通讯协议要在信息系统间进行认证确认发送方和接受方并对传输的数据进行完整性验证对于敏感数据的传输要采用加密措施。第六十七条 在电子邮件中不得明文发送XXXXX敏感信息可通过对信息加密再传送的方法实现明确要求不能在网络中明文传送密码信息。第六十八条 在使用办公系统时应控制业务信息的扩散范围禁止非XXXXX人员访问办公系统。第六十九条 通过传真发送重要信息时要确保收件人号码正确并先通知收件人接收后再正式开始发送发送后并立即与接受方确认。第七十条 传送物理介质如纸质、光盘、移动介质时要使用可靠的传输工具或投递人以保证传送过程的安全并在提交时识别投递人身份包装外观必须采取非透明材料并且包装本身应能够保证介质本身的物理安全需要的时候采取特殊的控制措施保护敏感数据免遭非法公开或修改。【第十章 安全监控和审计管理】第七十一条 各个网络设备、服务器及服务应根据实际情况调整时间的一致性。第七十二条 应监控网络、主机、数据库及应用系统的运行状态并定期对日志信息进行审计如发现存在错误或可疑日志信息并将该信息详细记录并通知系统安全管理员进行详细调查。第七十三条 应对网络系统中的网络设备运行状况、网络流量、网络基础服务等信息进行监控。第七十四条 应对关键主机的重要用户行为、系统资源的异常使用和重要系统命令的使用等重要安全相关事件进行监控。第七十五条 应对数据库的操作进行监控监控内容包括数据库系统重启及关闭信息、记录数据系统用户访问、数据库系统运行状态提示、出错信息、记录数据库文件修改/删除/更新等信息。第七十六条 应对应用系统的运行状况进行监控包括应用系统的启动关闭、用户访问行为、异常出错提示、应用系统的其它信息。第七十七条 应定期审计网络系统、主机系统、数据库系统和应用系统的日志信息发现异常行为信息和可能的安全事件。【第十一章 数据备份和恢复管理】第七十八条 数据备份包括各信息系统配置备份、操作系统层备份、数据库层备份和应用系统层备份等。第七十九条 操作系统层备份的范围包括操作系统和系统运行所产生的登录和操作日志文件。第八十条 数据库备份的范围包括数据库数据文件和数据库日志文件包括归档日志文件、告警日志文件和跟踪文件第八十一条 应用系统备份的范围包括程序文件、并发日志和并发输出文件。第八十二条 应用系统和数据库备份应备份至磁盘阵列设备中并每日进行增量备份每月进行完整备份备份信息至少应保存三年。第八十三条 在对网络及信息系统配置变更、数据转换前要进行数据备份。第八十四条 应对备份结果进行检查检查备份日志确认备份有效性进行相应记录并签字确认。第八十五条 如果发现备份失败系统管理员须检查失败原因编写故障报告并尽快安排重新备份。第八十六条 备份完成后如需保存备份介质系统管理员须取出备份介质在标签上按要求记录备份信息并移交备份介质管理员。第八十七条 对于关键的备份数据应建立异地数据备份异地备份介质的存放环境和管理要求与本地相一致。第八十八条 数据恢复测试每年至少进行一次数据恢复测试不得影响XXXXX业务系统、生产环境的正常运行。第八十九条 数据中心管理员在进行数据恢复测试时须确认备份数据的可读性和完整性以及恢复方案的可执行性并填写测试记录编写恢复性测试报告签字确认并存档第九十条 如果数据恢复测试失败数据中心管理员须检查失败原因编写故障报告并尽快安排重新测试。第九十一条 完成数据恢复测试后数据中心管理员须及时清除测试环境中的生产数据并归还测试用备份介质。【第十二章 日常运行维护管理】第九十二条 应对信息资产指定维护管理人员并形成日常工作计划和时间安排第九十三条 在指定运维管理人员时应遵从“责任分离”原则例如对于操作的授权和执行职责相分离如果难于把责任分离应当考虑采取其它的管理措施例如活动监测、审查追踪和管理层监督。第九十四条 应对信息资产的操作和日常维护等活动流程形成规范化文件如操作手册并经过管理层授权第九十五条 在日常运行维护管理过程中需要对所管理的系统进行变更操作时应当根据《XXXXX信息安全变更管理规定》进行。第九十六条 在日常运行维护管理过程中出现紧急安全事件时时应根据《应急预案管理规定》相关要求和流程启动相应的应急响应预案。【第十三章 监督检查和奖惩】第九十七条 安全管理员应每季度进行安全检查检查内容包括系统日常运行、系统漏洞和数据备份等情况。第九十八条 XXXXX信息中心主管领导应每年进行一次全面的安全检查检查内容至少包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。根据全面安全检查的结果汇总安全检查数据形成安全检查报告并对安全检查结果进行通报。第九十九条 XXXXX信息安全领导小组应每两年对信息系统安全管理规定进行审核一次确保管理规定和XXXXX总体安全策略相适应。第一百条 对于认真执行信息系统安全管理规定的组织和人员并取得了较好成绩XXXXX应给予必要的鼓励和宣传。第一百〇一条 对于违反XXXXX信息系统安全管理规定的组织和人员根据对XXXXX造成业务损害程度给予必要的惩罚。【第十四章 附则】第一百〇二条 本规定由XXXXX信息中心制定并负责解释和修订。第一百〇三条 本规定自发布之日起执行。在技术手段阶段作为国内领先的安全产品提供商和安全托管服务运营商聚铭网络可以提供相应的网络安全产品从设备、网络、数据等不同维度提供纵深的网络安全防御手段。学习计划安排这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包需要的小伙伴可以扫描下方CSDN官方合作二维码免费领取哦无偿分享如果你对网络安全入门感兴趣那么你需要的话可以点击这里网络安全重磅福利入门进阶全套282G学习资源包免费分享①网络安全学习路线②上百份渗透测试电子书③安全攻防357页笔记④50份安全攻防面试指南⑤安全红队渗透工具包⑥HW护网行动经验总结⑦100个漏洞实战案例⑧安全大厂内部视频资源⑨历年CTF夺旗赛题解析《网络安全从零到精通全套学习大礼包》96节从入门到精通的全套视频教程免费领取如果你也想通过学网络安全技术去帮助就业和转行我可以把我自己亲自录制的96节 从零基础到精通的视频教程以及配套学习资料无偿分享给你。网络安全学习路线图想要学习 网络安全作为新手一定要先按照路线图学习方向不对努力白费。对于从来没有接触过网络安全的同学我帮大家准备了从零基础到精通学习成长路线图以及学习规划。可以说是最科学最系统的学习路线大家跟着这个路线图学习准没错。配套实战项目/源码所有视频教程所涉及的实战项目和项目源码学习电子书籍学习网络安全必看的书籍和文章的PDF市面上网络安全书籍确实太多了这些是我精选出来的面试真题/经验以上资料如何领取以上资料如何领取文章来自网上侵权请联系博主
【干货】信息系统安全运维必备的制度和手段
发布时间:2026/5/26 16:26:33
【干货】信息系统安全运维必备的制度和手段【干货】信息系统安全运维必备的制度和手段当前信息技术正不断变革性发展随着人工智能、大数据、云计算、5G、物联网以及边缘计算等新技术在产业与组织中的普及应用数字化、信息化带来的安全管理工作也日益繁重责任重大。业务的不断演进系统的数据量不断扩大技术栈越来越复杂系统模块越来越多造成信息系统中断的事件的风险场景越来越多。而国内外网络安全形势趋于复杂外部网络攻击以及内部威胁等网络安全事件也持续性发生。提升网络安全运维与事件处置的能力成为所有机构组织和网络安全运维人员共同关注的重点问题。另一边数字资产是企业乃至国家新的增长引擎国家对于网络安全和数据安全的重视和管控也越来越严格以及规范各类安全法规、政策条例正不断落地实施引导企业落实网络安全运维管理工作。只有搭建全方位、多层次、全维度的网络安全运维管理体系才能保护企业的网络安全。信息系统安全运维工作涉及的维度十分广泛需要从人员组织、安全策略制定、安全运维规章制度和相关技术手段等多方面着手多管齐下相辅相成才能成功。以下分享一个可行的//《信息系统运维安全管理规定》//供大家作为参考。# 信息系统运维安全管理规定 #【第一章 总则】第一条 为加强XXXXX信息系统运维的安全管理保障信息系统的网络安全与信息安全依据国家有关法律、法规和XXXXX有关规章制度特制定本规定。第二条 XXXXX信息系统运维安全管理范围包括网络安全管理、操作系统安全管理、用户访问授权管理、密码管理、防病毒管理、系统补丁管理、介质管理、信息交换管理、安全监控和审计管理、数据备份和恢复管理、日常运行维护管理以及监督检查等相关内容。第三条 本规定适用于XXXXX信息系统运维中的安全管理。【第二章 网络安全管理】第四条 信息中心统一规划XXXXX网络架构并根据安全风险情况部署安全设备确保网络安全和信息安全。第五条 网络管理员应对网络拓扑进行统一管理应保持拓扑结构图与现行网络运行环境的一致性拓扑图应包括网络设备、安全设备的型号、名称以及与链路的链接情况等。第六条 网络管理员应维护所有网络设备的物理连接情况控制和管理网络接口的使用。第七条 网络管理员应监控网络的运行状况发现影响较大的网络故障时必须及时向XXXXX信息中心报告。第八条 通信链路及带宽资源管理应当遵循合理分配、高效使用的原则禁止使用网络传送非业务需要的内容。第九条 未经允许网络中严禁随意使用无线网络通讯设备进行访问。第十条 未经允许任何计算机、网络设备、安全设备不允许随意接入网络中。第十一条 外部人员在接入互联网时应经过部门领导的审核审批后才可接入同时要指定IP地址并进行记录,根据《人员安全管理规定》进行管理。第十二条 应对网络区域中的非法访问部署检测和审计措施能够做到安全事件可监控、可追踪和可审计。第十三条 对于网络中重要的网络设备、安全设备应开启审计功能记录对于设备配置变更的操作。第十四条 网络安全管理应建立必要的安全技术措施确保网络的统一管理包括信息资产管理、网络拓扑管理、信息资源管理、网络异常流量管理、安全事件监控管理、安全策略管理、安全预警管理等网络安全管理内容。第十五条 应根据不同的业务安全等级合理划分网络安全域安全域间应采取逻辑隔离措施根据业务需要仅开放必要的网络访问端口和服务区域和边界的访问控制策略应根据业务需要进行设置。第十六条 关键业务应用和网络访问应使用静态路由如果使用动态路由应启用路由协议的安全认证机制并控制路由信息的广播范围。第十七条 干路和核心的网络设备、安全设备、网络链路应建立冗余备份机制如果出现全网安全事件应根据《应急处理预案》进行应急响应。【第三章 操作系统安全管理】第十八条 对于每个管理员建立单独的用户账号特别要区分普通用户账户号和管理员账号账号不得共享。第十九条 操作系统中应限制登录和认证的次数避免外界尝试登录和暴力破解的安全风险。第二十条 操作系统的安装须遵从最小化安装原则仅仅安装并运行必须的系统服务和应用程序第二十一条 各应用系统主管在按规定安装各类软件时遵从最小化安装原则关闭和卸载与办公和业务无关的功能和服务。第二十二条 运行业务应用系统时要使用保证应用系统正常运行的最小账户权限原则上禁止使用最高权限账号。第二十三条 为了能够发现和跟踪系统中发生的各种可疑事件需要启用安全审计功能以日志的形式记录用户登录系统、文件访问操作、账户修改等行为的过程和结果信息做到发生可疑事件时有据可查。【第四章 用户访问授权管理】第二十四条 XXXXX各系统应根据不同角色确定不同的用户账号账号至少分为以下角色一 系统管理员负责维护系统的管理员一般具有超级用户权限二 普通用户访问系统的普通用户一般只具有相应访问内容和操作的最小权限三 第三方人员临时或长期进行系统维护的非XXXXX内部人员根据第三方人员的维护范围确定其使用权限四 系统安全管理员XXXXX进行安全审计的人员具有能够查看系统的日志和审计信息。第二十五条 XXXXX各系统应根据“最小授权”的原则设定账户访问权限控制用户仅能够访问到工作需要的信息。第二十六条 应根据XXXXX要求和员工岗位来创建、变更和撤销用户的账号及权限并定期对用户账号和权限进行监督、检查。第二十七条 各系统的账号能标识系统访问的不同角色并尽量避免使用系统默认账号。第二十八条 应避免系统中存在多余、无用和测试账号确保服务器中所有的操作系统账号能够唯一标识操作人员。第二十九条 系统安全管理员应当对系统中存在的账号进行定期审计系统中不能存在无用或匿名账号。第三十条 各系统应该设置审计用户的权限审计用户应当具备比较完整的读权限审计用户应当能够读取系统关键文件检查系统设置、系统日志等信息。第三十一条 各系统应《人员安全管理规定》的要求限制第三方人员的访问权限对第三方的访问进行定期的检查和审计。【第五章 密码管理】第三十二条 XXXXX设备及系统的密码的设置至少符合以下要求一 长度大于8位二 大小写字母、数字以及特殊字符混合使用三 不是任何语言的单词四 不能使用缺省设置的密码。第三十三条 账号密码至少应该保证每三个月换一次包括UNIX/Linux系统root用户的密码、网络设备的enable密码、Windows系统Administrator用户的密码以及应用系统的后台管理用户密码等。第三十四条 系统须强制指定密码的策略包括密码的最短有效期、最长有效期、最短长度、复杂性等。第三十五条 密码不能以明文的方式通过电子邮件或者其它网络传输方式进行传输。第三十六条 不得将密码告诉与该工作无关的人员如果第三方系统维护人员需要登录系统系统管理员为其设置临时密码完成工作后必须立刻修改密码第三十七条 系统管理员不能共享超级用户的密码应采用组策略控制超级用户的访问。第三十八条 除了系统管理员外一般用户不能改变其它用户的密码。第三十九条 当密码使用期满时被其他人知悉或认为密码不保密时网络管理人员可按照密码更改程序变换密码。第四十条 所有用户严禁将密码贴在终端上输入的密码不应显示在显示屏幕上严禁随意丢弃记载有用户名密码的纸条等媒介物不准用电话、电子邮件等告诉密码。第四十一条 对于系统重要性高、资产价值高、威胁可能性大可以使用强度更高的认证机制例如采用双因素认证等。【第六章 防病毒管理】第四十二条 信息中心统一规划、统一部署具有国家许可的正版计算机防病毒系统软件。所有服务器和终端必须安装XXXXX配发的计算机防病毒软件否则不允许连入网络和处理工作。第四十三条 所有的服务器和计算机终端应安装XXXXX要求的网络防病毒软件并对安装情况做相应记录使用各种介质复制或者从网络上下载文件到计算机上应首先进行病毒查杀。第四十四条 应使用XXXXX下发的正版软件禁止随意安装软件防止其中可能存在恶意软件。第四十五条 信息安全管理员对防病毒软件系统进行监控并记录病毒查杀情况。安全管理员负责每周对防病毒系统的病毒库进行两次升级升级完成后进行记录。第四十六条 XXXXX服务器、桌面计算机及便携式计算机一旦发现被计算机病毒感染应先将计算机与网络隔离确保病毒库已更新至最新版本,并及时进行病毒查杀处理当情况严重且无法在规定时限内紧急恢复或有效控制时应按照《信息安全事件应急管理规定》及时上报启动相应应急响应预案应注意保留防病毒系统记录。【第七章 系统补丁管理】第四十七条 应及时跟进各产品的安全漏洞信息和产品厂商发布的安全补丁信息。第四十八条 安全补丁根据其对应漏洞的严重程度分为三个级别紧急补丁、重要补丁和一般补丁紧急补丁必须在15天内完成加载重要补丁必须在一个月内完成加载一般补丁要求六个月内完成加载对于不能加载补丁的情况一定要采取其他的有效安全控制措施。第四十九条 必须从各产品厂商官方渠道获取安全补丁补丁加载应制定严格的计划。第五十条 补丁加载之前必须经过严格的测试测试环境与生产环境尽可能一致严禁未经测试直接在生产系统上加载补丁。第五十一条 补丁测试的内容包括补丁安装测试、补丁功能性测试、补丁兼容性测试和补丁回退测试一 安装测试主要测试补丁安装过程是否正确无误补丁安装后系统是否正常启动。二 补丁功能性测试主要测试补丁是否对安全漏洞进行了修补。三 补丁兼容性测试主要测试补丁加载后是否对应用系统带来影响业务是否可以正常运行。四 补丁回退测试主要包括补丁卸载测试、系统还原测试。第五十二条 补丁加载必须安排在业务比较空闲的时间进行对补丁加载的操作过程必须按照计划严格操作并详细记录。第五十三条 系统管理员对加载补丁后的系统必须按照计划和验证方案进行的测试验证确保补丁加载后不影响系统的性能确保各项业务操作正常。第五十四条 补丁加载后的一周内系统管理员必须对系统性能和事件进行密切的监控。第五十五条 完成补丁加载后系统管理员应将补丁安装情况通知系统安全管理员。【第八章 介质管理】第五十六条 本规定中的存储介质是指设备内或者独立存放的磁介质、光介质及其它记录载体如计算机硬盘、光盘、移动硬盘、U盘、软盘和录音带、录像带等。第五十七条 对存储介质应根据信息中心机房信息资产登记记录进行统一的登记和记录介质的使用、转移、维修和销毁必须严格管理。第五十八条 存储介质应贴好标签进行标识标识标志必须贴在表面易于辨识的地方应标注介质编号、介质有效期截止日、日期、操作人员、环境名称、内容、用途和数据保存时间等信息。第五十九条 所有含有内部信息的存储介质对外部人员访问是受控的严禁任何人带离工作场所如外出进行更换或者维修的损坏介质需要签订保密协议。第六十条 存储介质应保存在安全的物理环境下如防火、电力、空调、湿度、静电及其他环境保护措施对于存放重要数据的存储介质应当在异地进行备份。第六十一条 应根据存储介质的使用寿命制定数据恢复测试计划以避免数据丢失。第六十二条 对含有重要数据的存储介质不再使用时必须执行重复写操作防止数据恢复。第六十三条 对于磁带、光盘、纸质等存储介质进行报废处理时应采取切碎或者烧毁的方式进行。【第九章 信息交换】第六十四条 防止XXXXX与外部单位间或者XXXXX内部交换信息时信息受损、修改或者滥用做到对信息交换的有效控制确保信息交换的有效性和安全性第六十五条 信息交换方式包括传输介质、电子邮件、OA办公系统、电话、传真及其他信息交换形式第六十六条 通过信息系统进行自动信息交换或者数据传送时必须选择安全的通讯协议要在信息系统间进行认证确认发送方和接受方并对传输的数据进行完整性验证对于敏感数据的传输要采用加密措施。第六十七条 在电子邮件中不得明文发送XXXXX敏感信息可通过对信息加密再传送的方法实现明确要求不能在网络中明文传送密码信息。第六十八条 在使用办公系统时应控制业务信息的扩散范围禁止非XXXXX人员访问办公系统。第六十九条 通过传真发送重要信息时要确保收件人号码正确并先通知收件人接收后再正式开始发送发送后并立即与接受方确认。第七十条 传送物理介质如纸质、光盘、移动介质时要使用可靠的传输工具或投递人以保证传送过程的安全并在提交时识别投递人身份包装外观必须采取非透明材料并且包装本身应能够保证介质本身的物理安全需要的时候采取特殊的控制措施保护敏感数据免遭非法公开或修改。【第十章 安全监控和审计管理】第七十一条 各个网络设备、服务器及服务应根据实际情况调整时间的一致性。第七十二条 应监控网络、主机、数据库及应用系统的运行状态并定期对日志信息进行审计如发现存在错误或可疑日志信息并将该信息详细记录并通知系统安全管理员进行详细调查。第七十三条 应对网络系统中的网络设备运行状况、网络流量、网络基础服务等信息进行监控。第七十四条 应对关键主机的重要用户行为、系统资源的异常使用和重要系统命令的使用等重要安全相关事件进行监控。第七十五条 应对数据库的操作进行监控监控内容包括数据库系统重启及关闭信息、记录数据系统用户访问、数据库系统运行状态提示、出错信息、记录数据库文件修改/删除/更新等信息。第七十六条 应对应用系统的运行状况进行监控包括应用系统的启动关闭、用户访问行为、异常出错提示、应用系统的其它信息。第七十七条 应定期审计网络系统、主机系统、数据库系统和应用系统的日志信息发现异常行为信息和可能的安全事件。【第十一章 数据备份和恢复管理】第七十八条 数据备份包括各信息系统配置备份、操作系统层备份、数据库层备份和应用系统层备份等。第七十九条 操作系统层备份的范围包括操作系统和系统运行所产生的登录和操作日志文件。第八十条 数据库备份的范围包括数据库数据文件和数据库日志文件包括归档日志文件、告警日志文件和跟踪文件第八十一条 应用系统备份的范围包括程序文件、并发日志和并发输出文件。第八十二条 应用系统和数据库备份应备份至磁盘阵列设备中并每日进行增量备份每月进行完整备份备份信息至少应保存三年。第八十三条 在对网络及信息系统配置变更、数据转换前要进行数据备份。第八十四条 应对备份结果进行检查检查备份日志确认备份有效性进行相应记录并签字确认。第八十五条 如果发现备份失败系统管理员须检查失败原因编写故障报告并尽快安排重新备份。第八十六条 备份完成后如需保存备份介质系统管理员须取出备份介质在标签上按要求记录备份信息并移交备份介质管理员。第八十七条 对于关键的备份数据应建立异地数据备份异地备份介质的存放环境和管理要求与本地相一致。第八十八条 数据恢复测试每年至少进行一次数据恢复测试不得影响XXXXX业务系统、生产环境的正常运行。第八十九条 数据中心管理员在进行数据恢复测试时须确认备份数据的可读性和完整性以及恢复方案的可执行性并填写测试记录编写恢复性测试报告签字确认并存档第九十条 如果数据恢复测试失败数据中心管理员须检查失败原因编写故障报告并尽快安排重新测试。第九十一条 完成数据恢复测试后数据中心管理员须及时清除测试环境中的生产数据并归还测试用备份介质。【第十二章 日常运行维护管理】第九十二条 应对信息资产指定维护管理人员并形成日常工作计划和时间安排第九十三条 在指定运维管理人员时应遵从“责任分离”原则例如对于操作的授权和执行职责相分离如果难于把责任分离应当考虑采取其它的管理措施例如活动监测、审查追踪和管理层监督。第九十四条 应对信息资产的操作和日常维护等活动流程形成规范化文件如操作手册并经过管理层授权第九十五条 在日常运行维护管理过程中需要对所管理的系统进行变更操作时应当根据《XXXXX信息安全变更管理规定》进行。第九十六条 在日常运行维护管理过程中出现紧急安全事件时时应根据《应急预案管理规定》相关要求和流程启动相应的应急响应预案。【第十三章 监督检查和奖惩】第九十七条 安全管理员应每季度进行安全检查检查内容包括系统日常运行、系统漏洞和数据备份等情况。第九十八条 XXXXX信息中心主管领导应每年进行一次全面的安全检查检查内容至少包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。根据全面安全检查的结果汇总安全检查数据形成安全检查报告并对安全检查结果进行通报。第九十九条 XXXXX信息安全领导小组应每两年对信息系统安全管理规定进行审核一次确保管理规定和XXXXX总体安全策略相适应。第一百条 对于认真执行信息系统安全管理规定的组织和人员并取得了较好成绩XXXXX应给予必要的鼓励和宣传。第一百〇一条 对于违反XXXXX信息系统安全管理规定的组织和人员根据对XXXXX造成业务损害程度给予必要的惩罚。【第十四章 附则】第一百〇二条 本规定由XXXXX信息中心制定并负责解释和修订。第一百〇三条 本规定自发布之日起执行。在技术手段阶段作为国内领先的安全产品提供商和安全托管服务运营商聚铭网络可以提供相应的网络安全产品从设备、网络、数据等不同维度提供纵深的网络安全防御手段。学习计划安排这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包需要的小伙伴可以扫描下方CSDN官方合作二维码免费领取哦无偿分享如果你对网络安全入门感兴趣那么你需要的话可以点击这里网络安全重磅福利入门进阶全套282G学习资源包免费分享①网络安全学习路线②上百份渗透测试电子书③安全攻防357页笔记④50份安全攻防面试指南⑤安全红队渗透工具包⑥HW护网行动经验总结⑦100个漏洞实战案例⑧安全大厂内部视频资源⑨历年CTF夺旗赛题解析《网络安全从零到精通全套学习大礼包》96节从入门到精通的全套视频教程免费领取如果你也想通过学网络安全技术去帮助就业和转行我可以把我自己亲自录制的96节 从零基础到精通的视频教程以及配套学习资料无偿分享给你。网络安全学习路线图想要学习 网络安全作为新手一定要先按照路线图学习方向不对努力白费。对于从来没有接触过网络安全的同学我帮大家准备了从零基础到精通学习成长路线图以及学习规划。可以说是最科学最系统的学习路线大家跟着这个路线图学习准没错。配套实战项目/源码所有视频教程所涉及的实战项目和项目源码学习电子书籍学习网络安全必看的书籍和文章的PDF市面上网络安全书籍确实太多了这些是我精选出来的面试真题/经验以上资料如何领取以上资料如何领取文章来自网上侵权请联系博主
 ①八自由度包括纵向,横向,横摆,侧倾...)
)
:测试如何提前在代码提交阶段发现 Bug?)
)
