1、1 政策为医院工作人员在工作中,必须严格遵守的信息系统安全制度。2 目的保证医院信息系统的正常运营,更好地协助医务人员完毕临床工作。3 标准3.1安全管理制度总则3.1.1保密协议因电脑部是医院内涉密较多的部门之一,电脑部所有在职工工、新入职工工已所有签署竞业严禁保密协议,该协议对电脑部员工的工作实现了较严格的限制和制约。3.1.2医院敏感数据定义涉及医院内经营运作的财务数据,医院经营性单位的平常运作数据,医院内员工薪资数等等也许被竞争对手运用的敏感信息。具体牵涉部门/科室:3.1.2.1医院财务部:医院运营财务数据;员工工资数据。3.1.2.2医院人事部:员工资料、薪酬、花红等信息。3.1.
2、2.3医院各科室:平常经营信息;患者病历等信息。3.1.2.4医院电脑部:医院IT资产数量、分布信息;各类自行开发软件的源代码信息;各类密码信息。3.1.3中心机房管理3.1.3.1机房设备规定3.1.3.1.1原则上一服务器带一显示器,以便于目测是否存在死机等非正常现象。3.1.3.1.2所有非电脑部的本地服务器,所有严禁安装PCAnyWhere等远程控制软件。3.1.3.1.3 UPS5000W至少两台。3.1.3.1.4空调设备必须保证机房恒温、恒湿。3.1.3.1.5备份磁带机必须处在24小时稳定运营状态。3.1.3.1.6气体灭火设备可用。3.1.3.1.7本地、异地各有防火柜一台用
3、于保管磁带。3.1.3.2机房管理3.1.3.2.1门禁权限持有者:部门经理/主任、网络安全负责人。3.1.3.2.2门禁权限持有者分工:l 部门经理/主任:掌握各类服务器核心用户及密码的设立和管理,负责监控各类数据、代码向正式应用服务器更新的过程。l 网络安全负责人:掌握上网服务器、邮件服务器的有关用户及密码,该用户的权限涉及用户上网设立,网络安全管理。同时负责机房网络设备的监控、维护工作。3.1.3.3机房进出安全管理l 具有刷IC卡进入机房权限的人员,如单独进入机房进行平常维护检查,则无须进行进出登记。但每月月报中要递交IC卡出入机房的人员、时间的记录数据。l 严禁非机房工作人员进入机房
4、,特殊情况需经机房管理负责人批准,并认真填写中心机房进出登记表后方可进入,登记项涉及:姓名,进入时间,进入事由,离开时间,是否携同其别人员等,其它内容详见“附件2”,必须将此表打印出来装订成册悬挂在机房门口。l 如发现进入机房者而当天未进行及时登记的,将按员工手册A类过失计算,累计三次则升级为B类过失,以此类推,望各位同事严格遵守相关制度。l 进入机房人员不得携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质等对设备正常运行构成威胁的物品。l 天天上午8:30分前,天天下班17:30分后,机房负责人或值班人员必须对各服务器运营状态、备份磁带机运营状态进行例行巡检,并进行登记。l 天天上午8:
5、30分前,天天下班17:30分后,网络负责人必须对各网络机柜内的互换机、路由器、防火墙、上网拨号器等网络设备进行巡检,并对相关上网服务器进行检查,并进行登记。l 每周一上午9:00,每月卫生主管负责引领并监督卫生清理员对机房进行清洁除尘等工作,并及时登记进出时间。l 如显示器不能满足一台服务器配一台显示器的规定,则规定所有进入机房人员在离开时,必须将显示器切换到重要运营服务器上,技术支持组组长在例行巡检时应注意检查。l 所有进出登记由主管和QA进行监督,每周对进出登记情况进行检查,对于错漏登记者给予口头提醒。严重者部门周会警告并按附件一所示进行解决。l 机房内严禁吸烟、喝水、吃食物、嬉戏和进行
6、剧烈运动,保持机房安静。l 不定期对机房内设立的消防器材、监控设备进行检查,以保证其有效性。l 对机房管理指定双人配备,即在进行机房重大设备的维护时必须双人跟进,且2人非同一组,否则单人跟进导致的问题故障责任由单人承担。l 机房不得乱拉乱接电线,应选用安全有保证的供电用电器材。在真正接通设备电源之前必须先检查线路,接头是否安全连接以及设备是否已经就绪,人员是否已经具有安全保护。l 严禁随意对机房设备断电,更改设备供电线路,严禁随意串接、并接、搭接各种供电线路。如发现用电安全隐患,应即时采用措施解决,不能解决的必须及时向相关负责人员提出解决。l 机房消防安全制度机房工作人员应熟悉机房内部消防安全
7、操作和规则,了解消防设备操作原理,掌握消防应急解决环节,措施和要领。l 机房人员必须熟知机房内设备的基本安全操作和规则,应定期检查,整理硬件物理连接线路,定期检查硬件运作状态(如设备指示灯),定期调阅硬件运作自检报告,从而及时了解硬件运作状态。l 机房财产登记和保护制度机房的平常物品、设备,消耗品等必须有清楚的数量,型号登记记录, 对于公共使用的物品和重要设备,必须严格根据借取和归还制度进行管理。l 定期对空调系统运营的各项性能指标(如风量、温升、湿度、洁净度、温度上升率等)进行测试,并做好记录,通过实际测量各项参数发现问题及时解决,保证机房空调的正常运营。l 每年至少一次对机房中的服务器进行
8、除尘清洁。l 机房后备电源(UPS)除了电池自动检测外,每年必须充放电一次到两次。3.1.4医院安全管理3.1.4.1医院内部网络安全管理重要指内部行政办公、平常运营网络的安全管理。目前医院各科室、部门使用不同的网段,彼此间不可见,以保证内部的网络安全。3.1.4.2同期已开始进行网络设备升级改造的工作,同时亦在紧密选型测试防火墙设备,以求最大化的保证医院内网络的安全、稳定运作。网络管理员应做好网络安全工作,监控网络上的数据流,从中检测出袭击的行为并给予响应和解决。3.1.4.3网络管理人员应有较强的病毒防范意识,采用国家许可的正版防病毒软件并及时更新软件版本。定期进行病毒检测(特别是邮件服务
9、器),发现病毒立即解决并告知管理人员或专职人员。3.1.4.4未经上级管理人员许可,值班人员不得在服务器上安装新软件,若确为需要安装,安装前应进行病毒例行检测。经远程通信传送的程序或数据,必须通过检测确认无病毒后方可使用。3.1.4.5建立网络故障登记制度,对本地局域网络、广域网的运营,建立档案,未发生故障或故障隐患时值班人员不可对中继、光纤、网线及各种设备进行任何调试,对所发生的故障、解决过程和结果等做好具体登记。3.1.4.6下一阶段,将进一步进行网络监控管理,入侵检测等软件的测试选型,继续完善医院运营网络的安全。3.1.5网络安全管理为加强医院网络安全管理,保证医院网络的正常运营,依照中
10、华人民共和国计算机信息网络国际联网管理暂行规定、计算机信息网络国际联网安全保护管理办法和国家有关的法律法规的规定,特制定本安全管理办法(试行)。3.1.5.1 网络安全总则3.1.5.1.1医院网络的安全管理,应当保障计算机网络设备和配套设施的安全、信息的安全、运营环境的安全。3.1.5.1.2保障网络系统的正常运营,保障信息系统的安全运营。3.1.5.1.3医院网络由电脑部负责相应的网络安全和信息安全工作,定期对上网信息进行审查。3.1.5.1.4不得安装非授权的软件对医院网络进行内部干扰和袭击。3.1.5.2网络系统安全3.1.5.2.1医院网络统一由电脑部规划、建设并负责运营、管理及维护
11、。涉及设立路由器、防火墙以及与网络安全相关的软硬件。3.1.5.2.2医院网络的IP地址分派、子网规划等由电脑部集中管理。连入医院网的用户必须严格使用由电脑部分派的IP地址,电脑部管理员对入网计算机和使用者进行登记,由管理员负责对其进行监督和检查,任何人不得更改IP及网络设立。不得盗用别人的IP地址及账号。 3.1.5.2.3接入医院网络的电脑必须安装防病毒软件,及时向电脑部报告陌生、可疑邮件和计算机非正常运营等情况。 3.1.5.2.4电脑部网络管理员负责全院网络及信息的安全工作,建立网络事故报告并定期报告,及时解决突发事件和问题。3.1.5.2.5在医院网上不允许进行任何破坏网络服务和破坏
12、网络设备的活动,涉及不允许在网络上发布不真实的信息、散布计算机病毒、使用网络进入未经授权使用的计算机和非法访问网络资源。3.1.5.2.6经电脑部授权或允许,不得擅自关闭网络机柜和网络设备的电源,不得擅自插拨网络线路,不得擅自接入医院网络。3.1.5.2.7接internet,必须通过科室主任/部门经理审批,再通过医院相关领导审批后,方可由电脑部开通连接internet。3.1.5.3信息数据安全3.1.5.3.1使用医院网的成员,不得运用计算机网络从事危害国家安全、泄露国家秘密等犯罪活动,不得制作、查阅、复制和传播“法轮功”、封建迷信、淫秽色情以及有碍社会治安的信息。 3.1.5.3.2医院
13、网络成员有义务向电脑部报告违法犯罪行为和有害的、不健康的信息。3.1.5.3.3严禁制造和传播计算机病毒,以及其他危害计算机信息系统安全的有害数据。3.1.5.3.4严禁使用医院电脑连接外部数据源设备,如非医院的U盘、MP3、光盘、网络盘、蓝牙、红外、无线等。3.1.5.3.5严禁通过各种网络方式(如网络盘、蓝牙、红外、无线、邮件等)泄露公司机密或盗取公司数据资料。3.1.6服务器管理3.1.6.1所有一类服务器的任何操作,必须进行登记,否则每月如从系统日记中发现未登记操作,按员工手册A类过失进行解决。如引发系统故障的操作,则视性质严重限度,分别考虑按员工手册B或C类过失进行解决。3.1.6.
14、2必须完整保存服务器及其相关设备的驱动程序、保修卡及重要随机文献,做好操作系统的补丁修正工作。3.1.6.3服务器及其相关设备的报废需通过管理部门或专职人员鉴定,确认不符合使用规定后方可申请报废。3.1.6.4机房内生产设备和开发调试设立隔离分设。未经负责人批准,不得在机房生产设备上编写、修改、更换各类软件系统及更改设备参数配置。3.1.6.5负责人每月定期2次对机房管理制度的执行情况进行检查,督促各项制度的贯彻,并作为人员考核之依据。3.1.6.6服务器密码策略:服务器管理员密码必须符合复杂性规定,具有英文大小写字母、数字、特殊字符等,必须十位以上。每隔三个月必须变更一次。且只能由集团电脑部
15、经理与本地主管掌握。其它内容具体见3.2密码安全策略。3.1.6.7服务器安全策略3.1.6.7.1服务器必须启用存储“安全性”、“系统”、“应用程序”日记记录。3.1.6.7.2服务器密码必须尊从密码策略。3.1.6.7.3服务器guest帐号须禁用。3.1.6.7.4服务器帐户启用锁定阈值,三次登录不成功,锁定期间为10分钟。3.1.6.7.5服务器数据库sa帐户不能应用到各软件系统。3.1.6.7.6服务器数据库sa密码必须符合复杂性规定,具有英文大小写字母、数字、特殊字符、十位以上、每隔三个月必须变更一次。3.1.6.7.7严禁在服务器上进行实验性质的配置操作,需要对服务器进行配置,应
16、在其它可进行实验的电脑上调试通过并确认可行后,才干对服务器进行准确的配置。3.1.6.7.8不允许任何人在服务器进行与工作范围无关的任何操作。未经部门主管/经理允许,更不允许别人操作机房内部的设备,对于核心服务器的调整配置,更需要部门经理和所负责组人员的共同批准后才干进行。3.1.6.7.9软件安全使用制度必须定期检查软件的运营状况,定期调阅软件运营日记记录,进行数据和软件日记备份。3.1.6.7.10严禁对服务器系统随意打操作系统补丁、数据库补丁,所有补丁必须经在测试机检测正常,再申请对服务器打补丁。3.1.6.7.11严禁任何人员将服务器的资料、文档、数据、配置参数等信息擅自以任何形式提供
17、应其它无关人员或向外随意传播。3.1.6.7.12服务器上应用系统每次修改后备份一次,并保存最新的版本。3.1.6.7.13如遇系统有重大改动或更新,需在改动之前备份和改动之后当天进行备份。3.1.6.7.14对不是7*24运营的服务器须设立每日自动定期关机开机。3.1.6.7.15每周对服务器进行一次病毒检查,每周对服务器病毒库进行3.1.6.7.16服务器上数据实行天天本机备份、每周异机备份,对特别重要的数据须实行天天异地备份策略。3.1.6.7.17对备份的数据每三个月模拟实际环境,进行恢复测试,以保证数据备份的对的性、有效性。3.1.6.7.18对于不同的数据,应有不同的备份周期,但各
18、类数据至少七天循环备份一次。3.1.6.7.19服务器管理员天天早上上班时要对各服务器进行例行检查:服务器硬盘空间是否足够、服务器上各应用系统运营是否正常、事件查看器是否有严重错误提醒、备份作业是否正常运营。3.1.7数据库安全管理3.1.7.1所有数据库设立为数据库管理员和操作系统管理员不同(及操作系统管理员不能登录连接管理数据库)。3.1.7.2数据库管理员用户A/密码 电脑部经理保存。(在数据库创建时使用)3.1.7.3受控业务数据库专用用户/密码 项目经理。3.1.7.4假如数据加密软件采购回,将对关键字段进行随机加密。3.1.7.5所有一类数据库、应用服务器必须采用集群方式运作,以避
19、免意外劫难发生影响系统正常运作。3.1.7.6根据数据的保密规定和用途,拟定使用人员的存取权限、存取方式和审批手续严禁泄露、外借和转移专业数据信息。3.1.7.7制定业务数据的变更申请审批流程规范,未经批准不得随意更改业务数据。3.1.7.8由专人负责定期进行数据的备份并异地存放,保证系统一旦发生故障时可以快速恢复,备份数据不得更改。备份数据资料保管地点应有防火、防热、防潮、防尘、防磁、防盗设施。3.1.7.9 HIS系统数据实时备份,异地磁带备份。PACS系统对超过两年以上数据采用光盘介质备份。其它如财务、JCI文档、各种重要的电子数据应不定期备份。3.1.7.10由于业务需要从外部导入的数
20、据,需提前完毕数据的测试,保证现有数据的完整性。3.1.7.11医院向外部机构提供数据或者信息,需遵守医院的相关规定与国家法律法规。3.1.7.12医院应定期运用外部获得的信息与医院进行对比分析,发现局限性之处。3.1.8 OS/DB/APP管理分工服务器操作系统、数据库、应用系统作为IT管理的核心部分,相应的服务器管理员、数据库管理员、应用系统管理员这三个角色,明确分工管理如下:3.1.8.1服务器管理员负责服务器硬件、网络、基础软件(操作系统、杀毒软件、补丁)的安装、管理、检查、应用程序变更、备份、性能优化等工作,并负责具体记录服务器登记表,在表中如实记录服务器管理员、数据库管理员、应用系
21、统管理员这三个角色的具体负责人。3.1.8.2数据库管理员负责数据库的安装、管理、检查、应用数据变更、备份、性能优化等工作。3.1.8.3应用系统管理员负责应用系统权限的分派、管理工作。 注:在人力资源相对不充沛的情况下,上述工作可暂由一人承担。3.1.9应用程序、数据发布更新过程管理3.1.9.1用户提出修改需求:当用户向电脑部提出修改需求后,项目经理一方面拟定所使用软件系统的版本信息,然后分析用户的修改需求,和用户进行需求沟通,再向部门经理提出工作申请,等待工作批复。3.1.9.2代码修改过程:得到批复后,部门经理开放代码控制软件下相关项目的具体某目录权限给到任务接受人。负责修改程序的程序
22、员从代码控制软件中提取相关程序的部分源代码到本机,程序员/项目经理根据个人帐号,登陆电脑部开发服务器,检查开发服务器的开发环境是否满足该项目调试需求,在规定期间段内,进行代码修改,严格按照每日预制操作流程进行操作,对新上业务及特殊情况需要变更流程的,应事先进行具体安排,并填写变更申请表报负责人批准签字后方可执行,所有操作变更必须有存档记录。3.1.9.3代码修改完毕后:修改完毕后,参照客户需求进行内部白盒、黑盒测试。根据测试中的问题进一步进行调整。确认无误后,发布到电脑部测试服务器,并更新源代码到代码控制软件上。告知用户部门相关链接地址,请用户部门进行测试,当确认用户测试无误后,请用户部门在工
23、作任务单上进行签署确认。请用户部门相关人员到服务器机房,进行服务器登录登记。申请专用帐号,对具体WEB/数据库服务器的代码/数据进行更新,此更行过程应在客户监控下进行。发布完毕后,退出机房,进行相关操作具体登记。所有过程应在服务器管理员的监控下完毕。细则参见集团电脑部的软件代码发布规范。3.1.9.4服务器、数据库、代码发布分工:安排专职人员负责服务器、数据库、代码发布的管理。QA:负责对上述有关工作的检查及考核。3.1.10 OS、DB和应用的管理员用户变更流程为了保证服务器操作系统、数据库、应用系统的安全性,根据医院电脑部IT分布特点,特制订以下OS、DB和应用的管理员用户变更审批流程:
24、3.1.10.1申请者填写OS、DB、应用的管理员用户变更申请表,详见附件1,并发Email给所在部/组的主管申请。3.1.10.2主管批准后,发MAIL给电脑部经理提交申请。3.1.10.3电脑部经理将审批意见回复予主管和系统管理员。3.1.10.4主管和系统管理员根据集团电脑部经理的审批意见进行管理员用户变更操作。3.1.10.5变更操作完毕后,发送MAIL告知申请人,并抄送予电脑部经理、QA、主管。3.1.10.6电脑部主管/经理的系统管理员权限也要通过上述申请变更流程进行确认。3.1.11假日值班管理电脑部所有节假日都安排有值班技术人员,节假日值班将采用如下措施:3.1.11.1中心机
25、房电脑摄像头处在常开状态,并设为自动录像状态,对任何进出机房者进行监控。3.1.11.2节假日采用授权方式进行管理,非机房管理人员在节假日发生必须进入机房进行操作维护时,必须一方面电话对相关上级进行请示,获得授权后,采用就近获得机房钥匙,可进入机房进行相关维护。3.2密码安全策略3.2.1系统安全之-Windows篇3.2.1.1组策略组策略设立定义了系统管理员需要管理的用户桌面环境的多种组件,包含“用户配置”策略设立和“计算机配置”策略设立,windows xp、2023、2023等操作系统都是有组策略设立的,本章以组策略设立来说明如何为Windows系统建立安全稳定的帐户和密码策略。3.2
26、.1.2策略设立值及解释3.2.1.2.1密码策略策略名称安全设立值策略说明密码必须符合复杂性规定已启用假如启用了此安全策略,当所配置的用户密码不符合此配置规定期系统会提醒错误。启用该策略,则密码必须符合以下最低规定:(1)不包含所有或部分的用户帐户名(2)长度至少为六个字符(3)包含来自以下四个类别中的三个的字符:英文大写字母(从A到Z)。英文小写字母(从a到z)。10个基本数字(从0到9)。非字母字符(例如,!、$、#、%)强制密码历史24重新使用旧密码之前,该安全设立拟定某个用户帐户所使用的新密码必须不能与该帐户所使用的最近多少旧密码同样。该值必须为0到24之间的一个数值。该策略通过保证
27、旧密码不能在某段时间内反复使用,使用户帐户更安全。密码最长使用期限90该安全设立拟定系统规定用户更改密码之前可以使用该密码的时间(单位为天)。可将密码的过期天数设立在1至999天之间。假如将天数设立为0,则指定密码永但是期。假如密码最长使用期限在1至999天之间,那么“密码最短使用期限”(下面将介绍)必须小于密码最长使用期限。假如密码最长使用期限设立为0,则密码最短使用期限可以是1至998天之间的任何值。密码最短使用期限1该安全策略设立拟定用户可以更改密码之前必须使用该密码的时间(单位为天)。可以设立1到998天之间的某个值,或者通过将天数设立为0,允许立即更改密码。密码最短使用期限必须小于上
28、面设立的“密码最长使用期限”,除非密码最长使用期限设立为0(表白密码永但是期)。假如密码最长使用期限设立为0,那么密码最短使用期限可设立为0到998天之间的任意值。密码长度最小值6该安全设立拟定用户帐户的密码可以包含的最少字符个数。可以设立为1到14个字符之间的某个值,或者通过将字符数设立为0,可设立不需要密码。3.2.1.2.2帐户策略策略名称安全设立值策略说明帐户锁定期间30该安全设立拟定锁定的帐户在自动解锁前保持锁定状态的分钟数。有效范围从0到99,999分钟。假如将帐户锁定期间设立为0,那么在管理员明确将其解锁前,该帐户将被锁定。假如定义了帐户锁定阈值,则帐户锁定期间必须大于或等于重置
29、时间。只有当指定了帐户锁定阈值时,该策略设立才故意义帐户锁定阈值3该安全设立拟定导致用户帐户被锁定的登录失败尝试的次数。无法使用锁定的帐户,除非管理员进行了重新设立或该帐户的锁定期间已过期。登录尝试失败的范围可设立为0至999之间。复位帐户锁定计数器30该安全设立拟定在登录尝试失败计数器被复位为0(即0次失败登录尝试)之前,尝试登录失败之后所需的分钟数。有效范围为1到99,999分钟之间。假如定义了帐户锁定阈值,则该复位时间必须小于或等于帐户锁定期间。3.2.1.3 XP Professional、Server设立3.2.1.3.1停用Guest 帐号 在计算机管理的用户里面把guest帐号停
30、用,任何时候都不允许guest帐号登陆系统。为了保险起见,最佳给guest 加一个复杂的密码,你可以打开记事本,在里面输入一串包含特殊字符,数字,字母的长字符串,然后把它作为guest帐号的密码拷进去。操作环节:我的电脑管理系统工具本地用户和组用户guest用户,如下图:3.2.1.3.2创建两个管理员用帐号创建一个一般权限用户用来解决一些平常事务,此外创建一个具有administrators权限的用户在需要的时候使用。3.2.1.3.3administrator帐号改名,创建一个administrator伪装帐号在2023或2023中administrator用户是不能被停用的,不轨者可以不
31、断的尝试这个用户的密码,所以将该用户改名。此外还应创建一个伪装的administrator帐号并提供最小权限,设立复杂密码用来迷惑不轨者。3.2.1.3.4设立密码策略使用安全密码安全密码应是指在安全期内无法破解出来的密码。操作:“开始”“运营”输入“gpedit.msc”确认,弹出“组策略编辑器”对话框,依次展开“计算机配置”“Windows设立”“安全设立”“帐户策略”-“密码策略”,依照本文3.2.1.2.1节进行设立,如下图所示为已经设立好后的策略:3.2.1.3.5设立帐户策略操作:“开始”-“运营”-“输入gpedit.msc”,弹出“组策略编辑器”对话框,依次展开“计算机配置”“
32、Windows设立”“安全设立”“帐户策略”“帐户锁定策略”,如下图所示,依照本文3.2.1.2.2节进行设立3.2.1.3.6不让系统显示上次登陆系统的用户名默认下,系统会保存上次登陆在系统中的用户名,修改注册表进行设立方法(1):“开始”“运营”输入“regedit”,弹出注册表,依次展开HKLMSoftwareMicrosoftWindowsNTCurrentVersionWinlogonDontDisplayLastUserName 把 REG_SZ 的键值改成 1方法(2)在“组策略编辑器”对话框,展开“计算机配置”下的“Windows 设立”“安全设立”“本地策略”“安全选项”,如
33、图所示:双击“交互式登录:不显示上次的用户名”策略项选择“已启用”,然后点击“拟定”即可3.2.1.3.7严禁空连接任何用户通过空连接连入服务器,从而枚举出帐号,猜测密码,可以修改注册表如下位置来严禁空连接:Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 的值改成1。3.2.1.3.8屏幕保护程序设立使用组策略的功能可以对屏幕保护进行严格的控制,在“开始运营”中输入gpedit.msc即可打开组策略画面,依次展开左边目录树“用户配置控制面板显示”,与屏幕保护有关的设立都在此处,在该配置中与屏幕保护相关的设立有下图
34、中设立为启用的项目:且使用该配置后,可以达成以下需求:l 用户不能更改墙纸。l 用户不能更改指定的屏幕保护程序。l 1分钟后系统进入屏幕保护状态,用户无法修改该时间且恢复需要输入密码。用户在屏幕保护设立中所看到的将如下图所示:以下对该策略设立中的涉及项进行简要说明:l 阻止更改墙纸,启用该项后,用户将不能更改桌面背景,如下图:l “可执行的屏幕保护程序的名称”、“密码保护屏幕保护程序”、“屏幕保护程序超时”这三项只有当“屏幕保护程序”设立为启用时才会生效屏幕保护程序:禁用该策略,系统将不会进入屏幕保护。可执行的屏幕保护程序名称:启用该策略指定屏幕保护使用的程序,用户将不能使用其他屏保,设立方法
35、及用户修改视图如下:密码保护屏幕保护程序:启用该策略后,系统在进入屏保恢复时将需要密码,不配置该策略用户将可以修改在恢复时是否需要密码屏幕保护程序超时:启用该策略后用户将无法修改善入屏幕保护的等待时间,且在此处是使用“秒”为最小单位3.2.1.4 XP HOME版设立由于XP HOME是XP PROFERSSINAL版的一个简化,减少了许多的功能,该版并不包具有组策略,因此其在安全设立上相对较少,当然安全性也减弱很多,使用者一般为客户端,其重要设立有以下几点:3.2.1.4.1设立屏幕保护密码隐藏屏幕保护的办法:方法一:修改注册表法,可以运用修改注册表将显示属性隐藏,在“开始”-“运营”中,输
36、入regedit,单击“拟定”,打开注册表编辑器,进入HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicies后,在子键“System”下新建以下DWORD值(=1时为有效): NoDispCPL 严禁设立显示属性。 NoDispScrSavPage 隐藏显示属性中的“屏幕保护”属性页。重启电脑。再打开“控制面板”或在桌面上单击右键,显示属性不再出现。方法二:改变位置法,假如紧张修改注册表不小心会导致系统瘫痪,可以运用更简朴的方法将显示属性文献移动到别的位置。假如系统安装在C盘,将C:WindowssystemDesk.cp
37、l(win9X)、C:WindowssystemDesk.cpl(Windows2023/XP/2023)文献移动到其他盘符的文献夹下设立为隐藏,便无法打开显示属性了3.2.1.4.2设立复杂的安全密码密码必须满足以下3点规定,1)不包含所有或部分的用户帐户名。2)长度至少为6个字符。3)包含数字、字母、非字母字符(!# %.)中的至少3个3.2.2系统安全之linux篇 3.2.2.1安全守则 3.2.2.1.1废除系统所有默认的帐号和密码。 3.2.2.1.2使用6到14位的字母数字式密码。 3.2.2.1.3限制用户尝试登录到系统的次数。 3.2.2.1.4记录违反安全性的情况并对安全记
38、录进行复查。 3.2.2.1.5对于重要信息,上网传输前要先进行加密。 3.2.2.1.6 安装系统“补丁”。 3.2.2.1.7限制不需密码即可访问的主机文献。3.2.2.2配置文献/etc/login.defs在Linux 中,只需要修改一个文献/etc/login.defs即可,只需要修改这个文献内的以下几个项的值即可轻松完毕任务:PASS_MAX_DAYS 90PASS_MIN_DAYS1PASS_MIN_LEN6PASS_WARN_AGE 7设立项解释:PASS_MAX_DAYS密码的最大有效期限,90天PASS_MIN_DAYS密码的最小有效期限,1天PASS_MIN_LEN密码的
39、最小长度,6位字符,假如服务器改为10位字符PASS_WARN_AGE设立在密码过期之前的多长时间内发出报警信息,7天3.2.2.3 LINUX下的安全配置3.2.2.3.1删除特殊帐户删除所有不用的系统缺省帐户和组帐户(lp,sync,shutdown,halt,news,uucp,operator,games,gopher)删除用户:userdel sync删除组:groupdel sync3.2.2.3.2配置密码策略在WINDOWS中使用组策略来设立用户密码策略,在LINUX中通过修改配置文献/etc/login.defs即可对密码进行策略控制,参见本章第二节。3.2.2.3.3 Ro
40、ot帐户的使用在LINUX中,root帐户拥有至高无上的权利,因此对其密码的控制及使用者都应有严格的限制。此外,应通过修改配置文献/etc/profile来设立自动注销root帐户,打开/etc/profile文献,在HISTFILESIZE=后面加入下面这行:“TMOUT=3600” 。3600表达一小时。3.2.2.3.4阻止系统响应任何从内部/外部来的ping请求用文本编辑器打开文献/etc/rc.d/rc.local,在文献最后处增长下面一行:Echo 1 ; /proc/sys/net/ipv4/icmp-echo-ignore-all3.2.2.3.5阻止任何人su作为root用文
41、本编辑器打开文献/etc/pam.d/su,在文献最后处增长下面两行:auth sufficient /lib/security/pam_rootok.so debugauth required /lib/security/pam_wheel.so group=qf设立仅仅“qf”组的用户可以su作为root,假如想添加可以su作为root的用户,可以运营以下的命令:usermod G qf username3.2.2.3.6重新设立/etc/rc.d/init.d/目录下所有文献的许可限使用如下命令进行设立:chmod R 700 /etc/rc.d/init.d/*,仅仅root可以读,写
42、,执行上述所有scriptfile。3.2.2.3.7拟定/etc/inetd.conf的所有者是root,且文献权限为600使用如下命令进行设立:chmod 600 /etc/inetd.conf3.2.2.3.8不要显示出操作系统和版本信息当使用远程维护服务器时不显示操作系统和版本信息,修改/etc/inetd.conf中的一行如下:telnet srteam tcp nowait root /usr/sbin/tcpd in.telnetd h加-h标志在最后使得telnet后台不显示系统信息,仅仅显示login:3.2.3密码设立原则根据以上对电脑密码安全上各个方面的阐述,我们在工作中
43、对电脑密码的设立可以遵循以下原则:3.2.3.1服务器端l 严格控制系统帐户的数量、权限、名称(详见3.2.1.3.13.2.1.3.3)l 设立密码策略,使用安全密码:请参阅下表密码策略:策略名称安全设立值策略说明密码必须符合复杂性规定已启用假如启用了此安全策略,当所配置的用户密码不符合此配置规定期系统会提醒错误。启用该策略,则密码必须符合以下最低规定:(1)不包含所有或部分的用户帐户名(2)长度至少为六个字符(3)包含来自以下四个类别中的三个的字符:英文大写字母(从A到Z)。英文小写字母(从a到z)。10个基本数字(从0到9)。非字母字符(例如,!、$、#、%)强制密码历史24重新使用旧密
44、码之前,该安全设立拟定某个用户帐户所使用的新密码必须不能与该帐户所使用的最近多少旧密码同样。该值必须为0到24之间的一个数值。该策略通过保证旧密码不能在某段时间内反复使用,使用户帐户更安全。密码最长使用期限90该安全设立拟定系统规定用户更改密码之前可以使用该密码的时间(单位为天)。可将密码的过期天数设立在1至999天之间。假如将天数设立为0,则指定密码永但是期。假如密码最长使用期限在1至999天之间,那么“密码最短使用期限”(下面将介绍)必须小于密码最长使用期限。假如密码最长使用期限设立为0,则密码最短使用期限可以是1至998天之间的任何值。密码最短使用期限1该安全策略设立拟定用户可以更改密码
45、之前必须使用该密码的时间(单位为天)。可以设立1到998天之间的某个值,或者通过将天数设立为0,允许立即更改密码。密码最短使用期限必须小于上面设立的“密码最长使用期限”,除非密码最长使用期限设立为0(表白密码永但是期)。假如密码最长使用期限设立为0,那么密码最短使用期限可设立为0到998天之间的任意值。密码长度最小值10该安全设立拟定用户帐户的密码可以包含的最少字符个数。可以设立为1到14个字符之间的某个值,或者通过将字符数设立为0,可设立不需要密码。l 设立严谨的帐户策略策略名称安全设立值策略说明帐户锁定期间30该安全设立拟定锁定的帐户在自动解锁前保持锁定状态的分钟数。有效范围从0到99,9
46、99分钟。假如将帐户锁定期间设立为0,那么在管理员明确将其解锁前,该帐户将被锁定。假如定义了帐户锁定阈值,则帐户锁定期间必须大于或等于重置时间。只有当指定了帐户锁定阈值时,该策略设立才故意义帐户锁定阈值3该安全设立拟定导致用户帐户被锁定的登录失败尝试的次数。无法使用锁定的帐户,除非管理员进行了重新设立或该帐户的锁定期间已过期。登录尝试失败的范围可设立为0至999之间。复位帐户锁定计数器30该安全设立拟定在登录尝试失败计数器被复位为0(即0次失败登录尝试)之前,尝试登录失败之后所需的分钟数。有效范围为1到99,999分钟之间。假如定义了帐户锁定阈值,则该复位时间必须小于或等于帐户锁定期间。l 对
47、于Windows系统及时打“补丁”,Linux系统要更新“内核”l 数据库用户设立规范:假如数据库用户是用于应用系统数据连接专用配置的,则此数据库用户 不能为SA权限,且不能把此数据库用户和密码再给个人使用,假如个人的确需要申请的,应另开个人使用的数据库用户名。3.2.3.2客户端3.2.3.2.1设立规则 对于客户端电脑密码设立制定以下原则:l 系统是XP HOME的,可以参照3.2.1.4.节所述l XP PRO、WIN2023的电脑,参照3.2.1.3.3节所述进行规则设立l 系统是LINUX的,可以按照如下方法进行修改:u 打开终端,输入:passwd usernameu 注意:username指的是你登陆系统的用户名,例如你登陆系统的用户
浙ICP备2021020529号-1 | 浙B2-20240490 
