为加强信息资源保障部的服务器安全管理,保证设备正常运转,更好地服务于用户,特制定本规定。
一、基本原则
1.按工作需要确定责任范围,服务器的使用者即为服务器责任人。
2.服务器责任人对服务器的正常运转和数据安全负责。
3.禁止任何人以任何形式访问自己责任范围以外的服务器,一经发现将严肃处理。
二、技术要求
1.对操作系统的基本要求:至少一周一次升级系统补丁,在服务器群组策略里禁止共享服务,关闭所有不必要的端口,打开审核策略和安全日志,加强口令和审核机制,设置复杂的口令密码,三个月更换一次,并在主管处备案。
2.杀毒基本要求:安装360安全卫士实时保护系统,至少每月升级一次。
3.数据安全管理基本要求:按信息的重要程度将信息分为三类:第一类是极为重要数据,须有本地与异地双重备份;第二类为重要数据,须进行本地备份;第三类为一般性数据,可不进行备份。服务器责任人须按信息重要程度定时对自己负责的数据进行备份。
三、管理要求
1.服务器须放置在指定机房内,不得自行配置或更换,更不能挪作它用。不得故意破坏服务器系统,要保证服务器24小时正常运行。
2.不得利用服务器从事工作以外的事情,无工作需要不得擅自拆卸服务器零部件,严禁更换服务器配套设备。
3.不得在服务器上使用带有病毒和木马的软件、光盘。禁止在服务器上使用U盘。
4.发生服务器故障或数据问题时,责任人应及时排除,并向主管汇报备案。不能解决的故障应及时通知主管,并报相关部门协助维修。记录故障发生的时间、现象、原因、解决方法、处理人等信息,每月上报信息中心备案。
5.管理员对超级账户口令应严格保密、定期修改,以保证系统安全,防止对系统的非法入侵。
6.对数据实施严格的安全与保密管理,防止系统数据的非法生成、变更、泄露、丢失及破坏。禁止泄露、外借和转移服务器内的重要数据信息。
7.未经上级管理人员许可,不得在服务器上安装新软件。对在运行系统软件的重大修改,须报上级领导批准后方可上线运行。