当前位置:文档之家› 网络安全管理制度汇编整理

网络安全管理制度汇编整理

******公司网络安全管理制度1、机房管理规定1.1、机房环境°C湿度:小于80%1.2、机房安全1.3、设备安全—94标准附录B,接地电阻符合该标准附录A的表1所列接地电阻的要求,要防止设备地电位升高,击穿电器绝缘,引发通信事故。

1.4、接地要求—94标准附录A的表1所列接地电阻的要求后才可与附近建筑物或变电站的接地系统连接,连接点不得少于两点。

1.5、人身安全2、帐户管理规定帐户是用户访问网络资源的入口,它控制哪些用户能够登录到网络并获取对那些网络资源有何种级别的访问权限。

帐户作为网络访问的第一层访问控制,其安全管理策略在全网占有至关重要的地位。

在日常运维中发生的许多安全问题很大程度上是由于内部的安全防范及安全管理的强度不够。

帐户管理混乱、弱口令、授权不严格、口令不及时更新、旧帐号及默认帐号不及时清除等都是引起安全问题的重要原因。

对于账户的管理可从三个方面进行:用户名的管理、用户口令的管理、用户授权的管理。

2.1、用户名管理用户注册时,服务器首先验证所输入的用户名是否合法,如果验证合法,才继续验证用户输入的口令,否则,用户将被拒于网络之外。

用户名的管理应注意以下几个方面:隐藏上一次注册用户名更改或删除默认管理员用户名更改或删除系统默认帐号及时删除作费帐号清晰合理地规划和命名用户帐号及组帐号根据组织结构设计帐户结构不采用易于猜测的用户名用户帐号只有系统管理员才能建立2.2、口令管理用户的口令是对系统安全的最大安全威胁,对网络用户的口令进行验证是防止非法访问的第一道防线。

用户不像系统管理员对系统安全要求那样严格,他们对系统的要求是简单易用。

而简单和安全是互相矛盾的两个因素,简单就不安全,安全就不简单。

简单的密码是暴露自己隐私最危险的途径,是对自己邮件服务器上的他人利益的不负责任,是对系统安全最严重的威胁,为保证口令的安全性,首先应当明确目前的机器上有没有绝对安全的口令,口令的安全一味靠密码的长度是不可以的。

安全的口令真的可以让机器算几千年,不安全的口令只需要一次就能猜出。

不安全的口令有如下几种情况:(1)使用用户名(账号)作为口令。

尽管这种方法在便于记忆上有着相当的优势,可是在安全上几乎是不堪一击。

几乎所有以破解口令为手段的黑客软件,都首先会将用户名作为口令的突破口,而破解这种口令几乎不需要时间。

在一个用户数超过一千的电脑网络中,一般可以找到10至20个这样的用户。

(2)使用用户名(账号)的变换形式作为口令。

将用户名颠倒或者加前后缀作为口令,既容易记忆又可以防止许多黑客软件。

不错,对于这种方法的确是有相当一部分黑客软件无用武之地,不过那只是一些初级的软件。

比如说着名的黑客软件John,如果你的用户名是fool,那么它在尝试使用fool作为口令之后,还会试着使用诸如fool123、fool1、loof、loof123、lofo等作为口令,只要是你想得到的变换方法,John也会想得到,它破解这种口令,几乎也不需要时间。

(3)使用自己或者亲友的生日作为口令。

这种口令有着很大的欺骗性,因为这样往往可以得到一个6位或者8位的口令,但实际上可能的表达方式只有100×12×31=37200种,即使再考虑到年月日三者共有六种排列顺序,一共也只有37200×6=223200种。

(4)使用常用的英文单词作为口令。

这种方法比前几种方法要安全一些。

如果你选用的单词是十分偏僻的,那么黑客软件就可能无能为力了。

不过黑客多有一个很大的字典库,一般包含10万~20万的英文单词以及相应的组合,如果你不是研究英语的专家,那么你选择的英文单词恐怕十之八九可以在黑客的字典库中找到。

如果是那样的话,以20万单词的字典库计算,再考虑到一些DES(数据加密算法)的加密运算,每秒1800个的搜索速度也不过只需要110秒。

不安全的口令很容易导致口令被盗,口令被盗将导致用户在这台机器上的一切信息将全部丧失,并且危及他人信息安全,计算机只认口令不认人。

最常见的是电子邮件被非法截获,上网时被盗用。

而且黑客可以利用一般用户用不到的功能给主机带来更大的破坏。

例如利用主机和Internet连接高带宽的特点出国下载大型软件,然后在从国内主机下载;利用系统管理员给用户开的shell和unix系统的本身技术漏洞获得超级用户的权利;进入其他用户目录拷贝用户信息。

获得主机口令的途径有两个:利用技术漏洞。

如缓冲区溢出,Sendmail漏洞,Sun的ftpd漏洞,Ultrix的fingerd,AIX的rlogin等等。

利用管理漏洞。

如root身份运行httpd,建立shadow的备份但是忘记更改其属性,用电子邮件寄送密码等等。

安全的口令应有以下特点:用户口令不能未经加密显示在显示屏上设置最小口令长度强制修改口令的时间间隔口令字符最好是数字、字母和其他字符的混合用户口令必须经过加密口令的唯一性限制登录失败次数制定口令更改策略确保口令文件经过加密确保口令文件不会被盗取对于系统管理员的口令即使是8位带~!@#$%^&*的也不代表是很安全的,安全的口令应当是每月更换的带~!@#%^...的口令。

而且如果一个管理员管理多台机器,请不要将每台机器的密码设成一样的,防止黑客攻破一台机器后就可攻击所有机器。

对于用户的口令,目前的情况下系统管理员还不能依靠用户自觉保证口令的安全,管理员应当经常运用口令破解工具对自己机器上的用户口令进行检查,发现如在不安全之列的口令应当立即通知用户修改口令。

邮件服务器不应该给用户进shell的权利,新加用户时直接将其shell指向/bin/passwd。

对能进shell的用户更要小心保护其口令,一个能进shell的用户等于半个超级用户。

保护好/etc/passwd和/etc/shadow当然是首要的事情。

不应该将口令以明码的形式放在任何地方,系统管理员口令不应该很多人都知道。

另外,还应从技术上保密,最好不要让root远程登录,少用Telnet或安装SSL加密Telnet信息。

另外保护用户名也是很重要的事情。

登录一台机器需要知道两个部分——用户名和口令。

如果要攻击的机器用户名都需要猜测,可以说攻破这台机器是不可能的。

2.3、授权管理帐户的权限控制是针对网络非法操作所进行的一种安全保护措施。

在用户登录网络时,用户名和口令验证有效之后,再经进一步履行用户帐号的缺省限制检查,用户被赋予一定的权限,具备了合法访问网络的资格。

我们可以根据访问权限将用户分为以下几类:特殊用户(即系统管理员);一般用户,系统管理员根据他们的实际需要为他们分配操作权限;审计用户,负责网络的安全控制与资源使用情况的审计。

用户对网络资源的访问权限可以用一个访问控制表来描述。

授权管理控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。

可以指定用户对这些文件、目录、设备能够执行哪些操作。

同时对所有用户的访问进行审计和安全报警,具体策略如下:2.4、目录级安全控制控制用户对目录、文件、设备的访问。

用户在目录一级指定的权限对所有文件和子目录有效,用户还可进一步指定对目录下的子目录和文件的权限。

对目录和文件的访问权限一般有八种:系统管理员权限(Supervisor)读权限(Read)写权限(Write)创建权限(Create)删除权限(Erase)修改权限(Modify)文件查找权限(FileScan)存取控制权限(AccessControl)网络系统管理员应当为用户指定适当的访问权限,这些访问权限控制着用户对服务器的访问。

八种访问权限的有效组合可以让用户有效地完成工作,同时又能有效地控制用户对服务器资源的访问,从而加强了网络和服务器的安全性。

2.5、属性级安全控制属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。

属性安全在权限安全的基础上提供更进一步的安全性。

网络上的资源都应预先标出一组安全属性。

用户对网络资源的访问权限对应一张访问控制表,用以表明用户对网络资源的访问能力,避免引起不同的帐户获得其不该拥有的访问权限。

属性设置可以覆盖已经指定的任何有效权限。

属性往往能控制以下几个方面的权限:向某个文件写数据拷贝一个文件删除目录或文件查看目录和文件执行文件隐含文件共享系统属性网络的属性可以保护重要的目录和文件,防止用户对目录和文件的误删除、执行修改、显示等。

网络管理员还应对网络资源实施监控,网络服务器应记录用户对网络资源的访问,对非法的网络访问,服务器应以图形或文字或声音等形式报警,以引起网络管理员的注意。

定期扫描与帐户安全有关的问题。

由于帐户设置的问题使得系统用户可以有意或无意地插入帐户。

用户帐号检测可以在系统的口令文件中寻找这类问题,同时寻找非活动帐号,它们往往是被攻击的对象。

对帐户进行安全问题的检测,应使第三方扫描软件搜索不到您的内部帐户名称和口令,将可能出现的安全问题提前处理掉,并将当前系统帐户设置同上一次系统安全扫描评价时的设置相比较,将发现的新增的未认证帐户和用户修改过的标识删除,及时将发现的其它安全问题修正。

3、运行网络安全管理3.1、目的保障连云港菜篮子网的网络的安全运行,明确日常运行网络管理责任。

3.2、范围本制度适应于对连云港菜篮子网网络系统和业务系统。

3.3、定义运行网络安全是指网络系统和业务系统在运行过程中的访问控制和数据的安全性。

包括资源管理、入侵检测、日常安全监控与应急响应、人员管理和安全防范。

3.4、日常安全监控3.5、安全响应和安全小组。

3.6、运行网络安全防范制度3.7、运行网络人员管理制度4、数据备份4.1、目的规范业务数据备份和恢复操作,确保业务系统和数据安全。

4.2、适用范围业务系统各服务器的磁带备份和硬盘备份。

其它服务器备份可参考本制度。

4.3、定义循环日志备份方式,也称为脱机备份方式,是指当备份任务运行时,只有备份任务可以与数据库连接,其他任务都不能与数据库连接。

利用数据库的脱机备份映像(Image)文件可以恢复数据库到与备份时间点一致的状态。

归档日志备份方式,也称为联机备份方式,是指当备份任务运行的同时,其他应用程序或者进程可以继续与该数据库连接并继续读取盒修改数据。

利用数据库的联机备份映像文件和日志(Log)文件,可以恢复数据库到与日志文件相符的某个时间点一致的状态。

4.4、规定系统安装、升级、调整和配置修改时做系统备份。

包括系统备份和数据库备份。

数据库采用循环日志备份方式,也就是脱机备份方式。

备份由管理员执行。

备份一份。

长期保存。

日备份的数据库,分别采用两盘磁带进行备份,备份的数据保留三个月。

为了实现业务系统24小时的不间断对外服务,数据库的备份方式是归档日志备份方式,也就是联机备份方式。

采用这种方式进行备份,系统的服务不需要停止,数据库采用其内部的机制实现备份前后数据的一致。

相关主题