设备安全管理规范.docx

上传人:p** 文档编号:712474 上传时间:2024-01-20 格式:DOCX 页数:6 大小:20.52KB
下载 相关 举报
设备安全管理规范.docx_第1页
第1页 / 共6页
设备安全管理规范.docx_第2页
第2页 / 共6页
设备安全管理规范.docx_第3页
第3页 / 共6页
设备安全管理规范.docx_第4页
第4页 / 共6页
设备安全管理规范.docx_第5页
第5页 / 共6页
设备安全管理规范.docx_第6页
第6页 / 共6页
亲,该文档总共6页,全部预览完了,如果喜欢就下载吧!
资源描述

《设备安全管理规范.docx》由会员分享,可在线阅读,更多相关《设备安全管理规范.docx(6页珍藏版)》请在第壹文秘上搜索。

1、设备安全管理规范目录1 .编制说明12 .适用范围13 .依据标准14 .安全管理细则24.1.定义24.2.范围24.3.设备资产编号规范24.4.设备验收规范24.5.设备存储与发放规范31. 6.服务器设备安全管理34. 7.网络/安全设备安全管理45. 责任要求46. 规范执行4编制说明本管理规范定义了的设备安全管理方面的相关要求。本管理规范由技术部进行维护和解释。适用范围本安全管理规范适用于的设备管理员。依据标准1 .计算机信息系统安全保护等级划分准则(GB17859)2 .信息安全管理体系标准(BS7799/IS017799)3 .信息技术安全管理指南(ISOI3335)4 .信息

2、技术安全性通用评估准则(IS015408/GB18336)5 .计算机信息系统安全保护条例(国务院令第147号)6 .计算机信息网络国际联网安全保护管理办法7 .计算机信息系统国际联网保密管理规定8 .计算机病毒防治管理办法(公安部令第51号令)9 .计算机场地安全要求(GB9361-88)10 .相关管理规定4 .安全管理细则4.1 定义通过制定、实施设备安全管理规范,确保设备本身提供的安全保障技术机制发挥作用。4.2 范围设备包括信息资产中的所有硬件设备,包括服务器、终端设备、网络设备等。4.3 设备资产编号规范1 .所有硬件设备采购、变更、废弃时,资产管理员必须首先在资产清单进行记录和描

3、述。资产清单应记录设备以下相关信息:设备编号、设备名称、设备物理位置、设备用途、设备所有者、设备使用者及联系方式、设备IP信息、设备采购变更废弃时间、设备供货商及联系方式。2 .设备在到货验收或配置之后,必须由资产管理员,作出相应的标识,直接体现在设备上醒目的位置。标识应包括以下内容:设备编号、设备使用部门、设备名称、设备用途、设备IP信息、设备供货商及联系方式。4.4 设备验收规范1 .设备验收后资产管理员应保留如下文档:测试验收方案、验收实施方案、各种质量记录、验收报告和不合格报告。2 .测试验收方案由管理员负责督促供应厂商在到货前两周提出,并由资产管理员审核,并得到最终用户的认可。3 .

4、在测试开始前,应保证测试参与人员清楚测试步骤和相应需要填写的质量记录。4 .在清点和测试过程中必须详细填写相应质量记录。测试通过的设备贴上“测试通过标签,然后入库保管。4.5 设备存储与发放规范1 .设备的存贮与发放应严格管理,由资产管理部门负责。2 .入库接收时库房管理员应首先同设备经手人一道检查有无状态标识,然后填写入库单,记录设备号。3 .不同种类设备一定要分开,各自单独存放。4 .存放过程中要注意存贮环境的条件及安全,定期检查,并向领导决策组提交检查报告。5 .需要领取设备时,库房管理员应与设备领取人共同检查设备状态标识,填写出库单,记录设备号。4.6 服务器设备安全管理1 .服务器初

5、始安装后必须安装厂商提供的最新系统补丁。管理员在接受到安全管理员的安全通告后,应根据软件安全规范中的要求进行补丁升级。2 .服务器上线运行前必须经过全面的系统加固配置流程,至少包括:3 )关闭不必要的服务4 )禁用不必要的用户和用户组5 )开启或安装必要的日志审计功能6 )调整增强用户和密码策略7 )严格按照服务器安全配置手册对不同类型的服务器进行相应的安全增强配置。8 .如果没有特殊情况,严格禁止使用在线运行的服务器进行浏览网页或下载操作。9 .在线运行的服务器禁止任何未正式批准的变更操作,包括安装不相关的软件、修改配置、增加用户等。所有变更操作必须经系统管理员批准并进行变更记录。有重大影响

6、的变更需要得到相关部门领导批准,并及时通知所有用户。10 系统管理员需要定期检查系统日志,特别是安全日志。4.7 网络/安全设备安全管理1 .网络/安全设备在购入时要保证是最新的设备软件版本,并且定期进行升级,保证其安全性。2 .网络/安全设备上线时要进行一些专门的安全功能设置,比如:采用安全方式(如安全协议、串口连接等)对网络设备进行远程或本地管理,禁止以明文传输协议进行远程管理网络设备配置身份认证、授权和统计(AAA)对密码进行高级别的加密保护加强对基于广播的风暴攻击的防范加强对内部地址欺骗的防范加强对源路由欺骗的防范禁止不必要的服务,实行最小服务原则加强对于SNMP的默认管理字符串的安全管理依据需求提升访问控制规则的严格程度设置明确的禁止非授权访问的警告提示5 .责任要求的设备管理员必须遵照设备安全管理规范,技术部门加强管理,防止设备管理存在安全问题。如由于未遵循以上规范导致出现设备安全问题,相关部门和人员负有责任。6 .规范执行本标准由技术部发布,对标准具有解释、增加和修改的权力。本规范自下发之日起正式执行。

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 行业资料 > 国内外标准规范

copyright@ 2008-2023 1wenmi网站版权所有

经营许可证编号:宁ICP备2022001189号-1

本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。第壹文秘仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知第壹文秘网,我们立即给予删除!