服务器安全管理制度范本
1.目的
为科学有效地管理机房,促进网络系统安全的应用。高效运行,特制定本规章制度,请遵照执行。
2.服务器管理
2.1不得在服务器上使用带有病毒和木马的软件、光盘和可移动存贮设备,使用上述设备前一定要先做好病毒检测;不得利用服务器从事工作以外的事情,无工作需要不得擅自拆卸服务器零部件,严禁更换服务器配套设备。不得擅自删除、移动、更改服务器数据;不得故意破坏服务器系统;不得擅自修改服务器系统时间。
2.2服务器系统必须及时升级安装安全补丁,弥补系统漏洞;必须为服务器系统做好病毒及木马的实时监测,及时升级病毒库。
2.3管理员对管理员账户与口令应严格保密、定期修改,以保证系统安全,防止对系统的非法入侵。
2.4任何无关人员不得擅自进入主机房,确属需要进入的须征得服务器管理人员同意,爱护主机房内的设备和物品,未经允许非管理人员不得擅自操作机房内设备。
2.5严禁易燃易爆和强磁物品及其它与机房工作无关的物品进入机房,严禁吸咽。
2.6服务器主机房内必须配备一定数量的防火(灭火)器材,并有专人负责管理,注意妥善保管,定期检查,使其处于随时可用的良好状态。
2.7做好机房的防火。防潮、防尘、防虫工作,坚持“预防为主,防治结合”的原则。
2.8双休日。节假日,要有专人检查网络运行情况,如发现问题及时解决,并做好记录处理,解决不了的及时报告。
3.上机人员守则
3.1除管理员外,闲杂人员一律不准进入主机房,必须登记进入和退出机房的时间。
3.2管理员在日常工作中,要加强对服务器的维护,及时查毒。杀毒,导入下载数据,对数据作备份等如有异常,应及时处理。
3.3对于各服务器,管理员不准在服务器上下载软件,也不准在服务器上作除本服务器用途外其它的操作,只能作为管理网络所用。
3.4管理员要定期更改服务器密码,要及时关闭无需的共享。
3.5严格禁止携带与工作无关的物品进入机房,特别是危险。易燃和易爆物品。
3.6不准在机房内吃食品。吸烟或做其他与工作无关的事宜。
3.7不能乱动与自己无关的设备,不得将机房内的公物携带出去。
3.8在机房内工作时,如果发生意外事故,应及时报告并采取应急措施。
3.9保持机房内良好的卫生和工作秩序,不随意乱丢纸屑或其他物品
3.10应服从管理,熟悉在机房内工作应遵守的各种制度和要求。
3.11如需装入其他软件,需经电脑部批准,由管理员监督下安装。
3.12除系统管理员或授权参加系统管理的人员外,任何用户不得以任何方式获取(或企图获取)超级用户权限。
3.13发现系统受到黑客攻击时,应采取有效防御措施,并立即向经理汇报。
3.14不得随意改动机器的IP地址。
4.0服务器病毒防范制度
4.1网络管理人员应有较强的病毒防范意识,定期进行病毒检测,发现病毒立即处理。
4.2未经上级管理人员许可,不得在服务器上安装新软件,若确需要安装,安装前应进行病毒例行检测。
4.3经远程通信传送的程序或数据,必须经过检测确认无病毒后方可使用。
4.4及时关注电脑界病毒防治情况和提示,根据要求调节电脑参数,避免服务器被侵袭。
4.5建立动态防护为主,静态杀毒为辅的病毒防护体系。在系统执行拷贝。运行等操作前,自动检测文件是否感染病毒,发现病毒自动清除或由操作员选择处理。
4.6定期实施静态杀毒,对服务器统一杀毒处理。发现系统遭到严重病毒攻击并形成一定破坏时,应立即向经理报告,同时向领导反映情况,并尽快采取有效措施组织抢救,最大限度控制受损面。
5.数据保密及数据备份制度
5.1必须遵守《服务器例行维护制度》。
5.2服务器的数据库必须做好实时备份,每天定期做好日志文件的备份,同时做好服务器的系统备份。服务器内的重要数据每周制作数据的备份并异地存放,确保系统一旦发生故障时能够快速恢复。重要的数据必须定期、完整地转储到不可更改的介质上,并要求集中和异地保存。每月定期检查备份数据,如有损坏,及时重新备份。
5.3备份的数据必须指定专人负责保管,备份数据应在指定的数据保管室或指定的场所保管,资料保管地点应有防火、防热、防潮、防尘、防磁、防盗设施。
5.4建立双备份制度,对重要资料除在服务器贮存外,还应拷贝到其他介质上,以防遭病毒破坏而遗失。
篇2:服务器机房安全管理制度
为科学、有效地管理服务器机房,促进网络系统安全的应用、高效运行,特制定本规章制度,请遵照执行。
一、机房管理
1、路由器、交换机和服务器以及通信设备是网络的关键设备,须放置服务器机房内,不得自行配置或更换,更不能挪作它用。
2、服务器房要保持清洁、卫生,并由专人7×24负责管理和维护(包括温度、湿度、电力系统、网络设备等),无关人员未经管理人员批准严禁进入机房。
3、严禁易燃易爆和强磁物品及其它与机房工作无关的物品进入机房。
4、建立机房登记制度,对本地局域网络、广域网的运行,建立档案。未发生故障或故障隐患时当班人员不可对中继、光纤、网线及各种设备进行任何调试,对所发生的故障、处理过程和结果等做好详细登记。
6、做好操作系统的补丁修正工作。
7、网管人员统一管理服务器及其相关设备,完整保存服务器及其相关设备的驱动程序、保修卡及重要随机文件。
8、服务器及其相关设备的报废需经过管理部门或专职人员鉴定,确认不符合使用要求后方可申请报废。
二、服务器病毒防范制度
1、网络管理人员应有较强的病毒防范意识,定期进行病毒检测(特别是邮件服务器),发现病毒立即处理并通知管理部门或专职人员。
2、采用国家许可的正版防病毒软件并及时更新软件版本。
3、未经上级管理人员许可,当班人员不得在服务器上安装新软件,若确为需要安装,安装前应进行病毒例行检测。
4、经远程通信传送的程序或数据,必须经过检测确认无病毒后方可使用。
三、机房安全保密制度
1.机房所有人员必须严格遵守单位各项安全保密制度,高度重视信息系统的安全保密工作,积极参加各种形式的安全保密工作的学习培训活动,接受安全检查。机房信息系统涉及全单位的管理、业务等企业核心信息,维护人员不得窥探、抄录、复制;不得转告与工作无关的人员;不得随意向外界透露。操作人员未经财务审批不得私自动用、开设、查看、变更营业软件。
2.机房所有人员未经允许不得访问信息系统中用户信息、公文、报表、邮件等属于授权访问数据信息或私人信息。
3.机房所有人员未经授权,不得私自修改、查阅系统的有关信息。
4.严格遵守帐号口令管理制度和安全操作条例,根据访问数据级别使用相应权限的口令进入系统;不得窃取、破译他人权限密码。
5.机房所有人员未经允许不得擅自抄录、复制设备图纸、电路组织资料、内部文件、系统软件、技术档案、用户资料,也不得擅自带离机房,使用后归还原处。
6.各种涉及密级的图纸、资料、文件等应严格管理,认真履行使用登记手续。IP地址及密码等涉密信息不得让无关人员轻易获取。
7.机房内重要保密文件、数据的销毁,应使用碎纸机进行销毁,不得任意丢弃。
8.机房内部的废弃设备、测试数据由仓管部门统一保存和处理。
9.机房所有人员严格遵守通信纪律,增强保密意识和法制观念,不得随意监测用户通信。
10.机房内部所有维护和管理人员,均应熟悉并严格执行安全保密规定。
篇3:服务器安全设置规范
服务器安装
1.安装系统最少需要两个逻辑分区,主分区和逻辑分区格式都采用NTFS格式。windows2003操作系统系统分区不得低于60G,windows2008操作系统系统分区不得低于80G。
2.硬盘及文件夹权限:
⑴系统盘及其他逻辑磁盘只给Administrators组和System账户完全控制权限:
Administrators
完全控制
该文件夹,子文件夹及文件
SYSTEM
完全控制
该文件夹,子文件夹及文件
⑵系统盘/Inetpub/目录下所有目录、文件只给Administrtors和System账户完全控制权限:
Administrators
完全控制
该文件夹,子文件夹及文件
SYSTEM
完全控制
该文件夹,子文件夹及文件
⑶C:/DocumentsandSettings目录只给Administrtors和System账户完全控制权限:
Administrators
完全控制
该文件夹,子文件夹及文件
SYSTEM
完全控制
该文件夹,子文件夹及文件
⑷C:/DocumentsandSettings/AllUsers目录只给Administrtors和System账户完全控制权限:
Administrators
完全控制
该文件夹,子文件夹及文件
SYSTEM
完全控制
该文件夹,子文件夹及文件
其他权限部分:
Users
读取和运行
该文件夹,子文件夹及文件
USERS组的权限仅限制于读取和运行,绝对不能加上写入权限
账户安全设置账户要尽可能少,并且要经常检查系统账户、账户权限及密码。删除已经不再使用的账户。停用Guest账号,并给Guest加一个复杂的密码。把系统Administrator账号改名,尽量把它伪装成普通用户,名称不要带有Admin字样。不让系统显示上次登录的用户名,具体操作如下:
修改注册表“HKLM/Software/Microsoft/WindowsNT/CurrentVersion/Winlogon/DontDisplayLastUserName”的键值,把REG_SZ的键值改成1。
(5)应用密码策略,启用密码复杂性要求,设置密码长度最小值。
本地安全策略设置
打开“本地安全策略”(开始菜单—>管理工具—>本地安全策略)
A、本地策略——>审核策略(可选用)
审核系统登陆事件成功,失败
审核帐户管理成功,失败
审核登陆事件成功,失败
审核对象访问成功
审核策略更改成功,失败
审核特权使用成功,失败
审核系统事件成功,失败
B、本地策略——>用户权限分配
关闭系统:只有Administrators组、其它全部删除。
通过终端服务拒绝登陆:加入Guests、Users组
通过终端服务允许登陆:只加入Administrators组,其他全部删除
C、本地策略——>安全选项
交互式登陆:不显示上次的用户名启用
网络访问:可匿名访问的共享全部删除
网络访问:可匿名访问的命名管道全部删除
网络访问:可远程访问的注册表路径全部删除
网络访问:可远程访问的注册表路径和子路径全部删除
系统防火墙设置:开启系统防火墙功能,添加业务系统相关端口访问权限。修改系统默认远程桌面端口号3389为其他端口,并在防火墙允许通过(如不修改的话,务必将3389映射到外网的其他端口,不允许外网通过3389来远程服务器)
7.操作系统安装完成,不要立即把服务器接入网络,因为这时的服务器还没有打上各种补丁,存在各种漏洞,非常容易感染病毒和被入侵。补丁的安装应该在所有应用程序安装完之后(具体顺序如:IIS、.Net环境、数据库、应用系统),因为补丁程序往往要替换或修改某些系统文件,如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果。在安装补丁时有些补丁不要盲目安装例如.Net的相关补丁尽量不要安装。
8.操作系统除安装以下工具软件:Office办公软件、解压缩软件、杀毒软件之外,禁止安装QQ、迅雷等与使用此系统无关的软件,工具软件中对操作系统自动更新的功能需要关闭。
9.规划好各逻辑分区的功能分类,如:应用程序&数据库、文件备份等;办公软件、数据库安装文件、.NET安装文件、补丁文件等。统一存放到命名为tools的文件夹中。
10.操作系统桌面上禁止存放程序安装包、程序升级脚本以及其他文件,可在规划的非系统分区建立文件夹并快键方式到桌面存储此类文件。
数据库设置
1.各版本Sql数据库服务器必须安装相应的servicepack。
2.禁止Mssql数据库sa帐号的密码设置为空。保证sa的密码足够复杂。
3.尽量每个数据库使用一个帐号和密码,比如建立了一个数据库,只给PUBLIC和DB_OWNER权限,不使用sa帐号。
4.数据库访问端口1433如需外网访问,务必将1433映射成其他端口或更改数据库访问端口1433为其他端口。
5.禁用*p_cmdshell,在外围应用配置里。