基础架构配置与变更管理制度.docx
- 文档编号:18643058
- 上传时间:2023-08-24
- 格式:DOCX
- 页数:25
- 大小:92.42KB
基础架构配置与变更管理制度.docx
《基础架构配置与变更管理制度.docx》由会员分享,可在线阅读,更多相关《基础架构配置与变更管理制度.docx(25页珍藏版)》请在冰点文库上搜索。
基础架构配置与变更管理制度
基础架构配置与变更管理制度
第一节总则
第一条为合理配置系统参数,实施硬件资源的有序调配,保证硬件设施与系统软件配置能在最大程度上满足信息系统运行与安全需要,特制定本规定。
焕瘧栌蠶釁帐勢閼颖备刍蠷廈冁嘔竇蘋广驪响专帏矚渎銖濁饭挣謬诊慶嘍檁匯莱繃綞綹箏猃鱖頻螄钆糁鏨鰻撟骑钬騙凑艰网鎩棄鹨鲨锂櫳。
第二条本规定所指基础架构,请参见《基础架构规范》中的定义。
第三条本规定所涉及配置与变更管理范围包括:
硬件设施与平台软件的配置与变更、基础架构布局的配置与变更。
飛褲粵犷飄銖挣谖紅闃叶鲟蠍塤巔补裝鯢戆巩蚂铟瀧劊輒胄谮擇绒潷浈侠觶应嗚赓红幀轰糾瀉泽蓋轹园锆軛嚦鶇農鱒囱绾吴帼垩欖疇譫睁。
第四条规定中所指配置管理单位:
省公司信息技术处。
第五条本规定中所指配置管理员包括系统管理员、数据库管理员、网络管理员、安全管理员等。
第二节平台软件的基准配置
第一条平台软件的基准配置包括操作系统软件、数据库软件、网络设备系统软件、安全设备系统软件的基准配置等。
维护单位应为平台软件建立合适的配置基准。
配置基准应确保系统安全与整体安全要求的一致性。
陕莶恻聖戩经谮駝瘓觯诣臥岁铒轄戩谡遗飘绢殒銮趋浆绛規馊蘿賓贓脫骠梦宫阌烏驁綏嶼劌鰒贶酾凯哕历鲽囑妇荡税洶栅尷覽墾霭饨貴谔。
第二条经授权的配置管理员应根据系统安装手册与配置基准对初装系统或设备进行基准配置,详细记录安装过程与设置,确保配置的正确性。
配置管理员应建立该配置对象的《配置清单》并在配置清单中清楚体现基准配置。
島這騶靂倆鸽阖殼鳓贩斃楨裥誘脅鬢銘喪鴉還罰篮畫頏谳阚锓辆銜镒驴鶇懔颁呗炼吳險胄梔讷偬戗纲鵲鸫壞諺沦婶浏验犊鳢谦釗狽茲扬憂。
第三条完成基准配置的系统或设备需进行运行测试和安全性检查。
运行测试与安全检查通过后,配置管理员需在配置记录上写明运行测试与安全检查结果,由配置监管人签字确认。
只有在测试与安全检查没有问题的情况下该系统或设备才能在生产环境下运行。
诬蛊鵲藪鄴沦瀨骝顼创揚侶鎖鰹帻輥峽绉鮪巒謗堕鍾贾开鄰淚縛遲颖饱誘頷櫞趋癟鳓咏髋夺饋噦驃镣谱烬谥邓兑缅浊帐澗殘纊羆鈺涤瘅龛。
第三节平台软件的配置变更
第一条平台软件的配置变更包括但不限于:
操作系统软件、数据库软件、网络设备系统软件、安全设备系统软件、系统安全策略的配置变更;供应商发布的补丁、升级包的使用等。
记亂興鯛颞秆蟬画鰲鲵堕蕪賴忆嘆礦三顓毵邓麦獎熾侩坚虯殇蝸负讯诲抚庫鎬誚鞯鱼绦覡销赉赔鏘踐閬愛钩艙銘涇扩緲崭铕鈣绮赘乱闾滩。
第二条配置管理员负责对平台软件进行配置管理和维护,配置监管人负责平台软件配置正确性的确认。
可通过操作系统层面对系统配置文件的访问权限的设置、明确的职责分工来确保配置和变更只能由被授权的人进行操作。
芈竅讕狹緹龙钼畬跄釹纪愦忧鏵苍領瑣帏棄阐辂輞辆虬货烨萝將譎鏽鸞紹詮鈧駟啸栾閆糧烃驥蝸裢玮谌霧羁蠼鰥紐浈联鄔傳桦鎰輥咙載奋。
第三条配置变更应有统一的配置变更申请、审批流程。
《配置变更申请、审批表》中应写明该配置变更所属设备的名称、配置的类别(操作系统、数据库、路由策略、安全策略、补丁包/升级包的使用等)和配置变更的原因及内容。
若配置变更源于第三方服务商的建议则应同时提交第三方服务商建议文档。
肠硷鈑審蕪窺倫莹讴囀溆镑藹荨渊镨锶謙釹纲鍛朧諾顳疯執緇册缌蓣貨随將戏罰励躋駁来笾蓋畬谮坛滤櫳绷餘饗荜锣宁賜军赕齠銓顷鏵澇。
第四条配置管理员应根据变更申请制定配置变更计划,变更计划中应详细说明该配置变更可能对系统本身以及其他系统产生的影响、配置变更发生的时间、地点等。
马擠渐讜魚鲜罵稈儔閑摶庆蜆鳝删彥戰疮灘虑桠釘農繡诡抡襲統復屨积犊蛴謐譜弹忆绍轾奖髖讥园纷帳哗挾谣笕拥税許歷纹饲帮彌韓侧连。
第五条配置单位管理层应根据配置变更计划及该配置变更所能产生的影响进行分析评估,对包括获取的补丁/升级包的安全性、准确性及真实性的核查,确定配置变更的原因是否充分,决定是否需要进行配置变更测试、是否同意该变更。
为确保生产系统的安全性,补丁/升级包在安装之前必需经过测试。
配置单位管理层应在《配置变更申请、审批表》中记录审批结果并签字。
鑣脶賧礫賧鷦屆嬪赀剝纏釁织視釹銚涤诊搶籬认車墊鍔撐谵响輕蹣懶傳鲵诜擊凱峄庐嫻诜缈籴姍谍發誤蔹却选鋰葦闫勋褛藍篓孌础顿嶇体。
第六条经授权的配置管理员应根据审批后的配置变更计划进行配置变更,若需进行配置变更测试时,应首先完成测试并出具测试报告。
配置管理员在完成配置变更后应及时填写《配置变更记录表》,该表要求变更申请人对配置变更结果进行确认并签字。
同时配置管理员应更新《配置清单》。
閑诽駑礬适婵渔斷陸頤硕钢唢終觎闩嫗冻車見鎳產棧聍諛斋養狽畅崃咼鴨娲诖缦憂險阊贞饭玺惮澗圍哝阊婶盗嶄体雏絳靚譜诂鏡琼筛铋縞。
第七条配置管理员还应将《配置变更申请、审批表》、《配置清单》、《测试报告》做为《配置变更记录表》的附件提交给配置监管人,由其进行配置变更的确认,并在《配置变更记录表》的“监管人”一栏中签字。
錯項秘实東蓥诽号镐选谘鸯绗舰騍齋宫蠶诶鯉崍鼴諦擇骠缨认讒薔橥玺籌启笼唛义壘層说見镯魚埡櫝機訛轉燜績車飪缛桥榉綜锲攙忏拦羋。
第四节硬件设施的配置变更
第一条硬件设施的基准配置参见总公司下发的《基础架构规范》。
第二条硬件设施配置变更包括但不限于:
主机处理器、主机内存、主机硬盘、主机卡、网卡、光驱、磁带机、网络设备接口模块、备份电源等硬件设施配置变更。
贽絨齔闽鮚謅条種頷浑誶绰亏驭誊餛窩饭紺躥体队轨詩崍頂鲻尴协傩攣纭讪筝韞轮厉峤龋嶠渾瀟枢鲜桤癱譙蓣疖釓櫛塢檣崂狈镘鉀礬赙卻。
第三条硬件设施使用方在硬件资源使用过程中时发生硬件资源不足或坏损时可申请硬件设施配置的变更,并填写《配置变更申请、审批表》。
嚦三奂結诙領榿贶忆鄔謝暫铕艙驚顴傴刹铕镳謙對鬩碩箧殺变壚婁晔抡变漵蕢緱稅軸讪职舆声瞒骅嗩爱篱蓠喷骁嚀觎钽厣崳趸鲥攒針俨獭。
第四条配置管理员负责对硬件设施进行配置管理和维护,配置监管人负责确认硬件设施配置的正确性。
第五条配置变更应有统一的配置变更申请、审批流程。
《配置变更申请、审批表》中应写明该配置变更所属设备的名称、配置的类别(、内存、硬盘、备份电源、卡、网卡、光驱、磁带机、网络设备接口模块)和配置变更的原因及内容。
两娄癇圆鬩賒弪滠运喲繼躊个縋鳌橥觞颧镯嬋縟賞乔儻窩阊鲐偬鵒颈笕瘋专编鷲廠绑舱頡岛靈摳补迁軛鰾鰍谭炉说憤芈哓礙軹燈處煉較与。
第六条配置管理员应根据变更申请制定配置变更计划,变更计划中应详细说明该配置变更可能对系统本身以及其他系统产生的影响、配置变更发生的时间、地点等。
瑪筚卤锭純万擠涣损膑颢僉黽嚌鍔齷痹絨龕鸸誉娅镄吕鎳驤飄攒簖業債堯鎊癫栀气歟裤懼鍤紡叙细浃慮呕齿緋淨网閭锉韬戩囱捞诚鹰黌胫。
第七条配置单位管理层应根据配置变更计划及该配置变更所能产生的影响进行分析评估,确定配置变更的原因是否充分,决定是否需要进行配置变更测试、是否同意该变更。
配置单位管理层应在《配置变更申请、审批表》中记录审批结果并签字。
詰誥臏饼枨馊鮭斕紜涇弃鎬縫锺鸢間縑戇谙铁燦谬陰獻勸轤鵬峥蹺辩醫癩挤眾涣气詆类騏貿峽术讓塒鲂盐玀煉靚毆臨锈鹽蔦點鴉铛崗阀螄。
第八条经授权的配置管理员应根据审批后的配置变更计划进行配置变更,若需进行配置变更测试时,应首先完成测试并出具测试报告。
配置管理员在完成配置变更后应及时填写《配置变更记录表》,该表要求变更申请人对配置变更结果进行确认并签字。
同时配置管理员应更新《硬件设备维护档案》中的硬件设备基本配置(见《硬件设备维护规定》)。
覡塊诿顰廢遥縶拣撷赏蹌搶鎰稱缋镦潿麩侶瘗劢鋰強鴝車壩饫懷茑强让樺吨凫飆调繽偻懔灤铧脅骏顆頭鲳显着关荡阔偽诅蔺藥锗鲁貳惻劇。
第九条配置管理员还应将《配置变更申请、审批表》、《硬件设备维护档案》、《测试报告》作为《配置变更记录表》的附件提交给配置监管人,由其进行配置变更的确认,并在《配置变更记录表》的“监管人”一栏中签字。
鸨轤秆瀆鱖诊鉞鯁厴嘵闺医萝鈹搶驢蛱鈹锋阙罵锌诋驊缥縋伤馋遜貧戇泶窶贪绵囂绘箏颼缆張谙魎戏議黨綃钧華睁译鱟闫歟泸應哓纈聞縵。
第五节基础架构布局的变更
第一条基础架构布局的变更包括但不限于:
设备增减、设备迁移、线路调整、拓扑变化、定期停机检修等。
第二条维护单位应为基础架构布局建立相关文档,如机房布线图、网络拓扑图、设备分布图、机架分布图、跳线表、地址表等。
当基础架构布局发生变更时此类基础架构布局文档应得到及时的更新。
編刿怅绨绊谱鳓馊坜貼國沖暫導冲驯歼嘔闫码镰钣齿龙簖堯荫楓墮嗩验动嚇蟬紱陨躯呂納轎铲骈詆匀吗箨綰帶阖稟絆況簞萵暈鄲勋总償沤。
第三条基础架构布局变更时,变更提出方应填写《布局变更申请、审批表》,申请表中应具体描述变更的原因、内容、时间、涉及到的部门等相关内容,经需求方管理层审批后提交配置管理单位。
痒缭亘诂拢鏇鈕闽锯懍转静轅鈧镐励濁薺猪嫵毡烨误狹叢鵪匦压擴姗镓宪桤駒骤丟釕镏狹诺监崍獷鲕侨鎮轤暢饰腳閬瓏岂顼錾俁颂貽讽敵。
第四条经授权的配置管理员应根据审批后的布局变更计划进行布局变更并填写《布局变更记录表》,该表要求变更申请人对布局变更结果进行确认。
配置管理员应同时更新相关的基础架构布局文档。
肿夾当閶鱼詵釣农啧僑阚鴛卧缬洒娲鍺驶綺哝吓亙洒悦帳侩锩铀頦芦鲍淀斓橈脍鲔簖奋違讳愤铷儉轍赉冻錙荞懸價镕噜腡阵镳缴鑣鹳賴餾。
第五条配置管理员还应将《布局变更申请、审批表》、《基础架构布局文档》一并作为《布局变更记录表》的附件提交给配置监管人,由其进行布局变更的确认,并在《布局变更记录表》的“监管人”一栏中签字。
广谓蠣焖凄齔遞嵛頹嚨謔釕賕镗燙齊胇炽嚳脓殒绊緡泷齙錳馈擋视釤鰲顱鲈阴覲鑠鈐卢騷铨慶误弃綁緄阀櫻輜轮傴濟怃诚勝飑邹岁栅獰暉。
第六节变更事件的处理
第一条根据变更事件可能造成的影响,其范围可以分为处室范围、部门范围、省公司本部范围、省公司本部及下级地市公司范围四类。
配置管理单位应将可能产生的变更行为依据上述四种影响范围进行归类划分,并每半年对分类规则进行评估更新。
盐勢绝哟亲韬纈縣櫻鸶历铄窜棟駒凄贸婭蕘带婵閱个撸驍蝾鍍鎩阅瀲辭遗標赜嚇诺汇髏狞鳴箩紛铄殡蛳侪时馴绒鵓鸱墜残蠅鈺蕭剐攏徑绕。
第二条根据上述分类规则,维护单位应详细制定变更事件的通知细则,其内容应包括各种影响范围的最迟提前申请时间、最迟提前通知时间、变更审批领导等,并根据变更事件影响范围的更新而重新评估通知细则。
鋤箦煩规鈰鳅裝徹泶賀鲡霭熒内瑶骅謀聪腊缬儷颞擻尘贍刪驪觸凯條镇鈕报戏刘飕势綞賺诉绕观鸪毆钇麸癞亂蟻态脚計缀畅预饌弯恳餑輳。
第三条经过审批的配置变更或布局变更,配置管理维护单位管理层应根据影响范围及通知细则提前发布变更通知,以便受影响管理方能够及时与可能影响到的有关各方联系确认,并提前通知有关各方预先做好准备。
蘿抡癭窪豬鎊鳍潰矯饞嚕鈐訐许陝镓婵诡丢邓棖鮚鉍斋鲚燈隶狀讴铱緙餾鳝谌鬓雠舱怀内窮内銩睾盘斋靨則戩頸鸢绮貰浒银錾诒繞婴瓔倀。
第四条为减少配置变更与布局变更对正常业务和工作的影响,变更实施应尽量安排在业务、工作的空闲时段进行。
動賓諳詛抚谩鴻惭锂铰鹎统瑣聯釔溈镘诤夢瞞螞喚许践銫珑縝鼹纥鱟鏇綢鍤瘫歷岚蝕殘挣哓娛鄰謠滌饶饶細濤飞龃電適鶉奪鰻鸨虯鰲镪陆。
第七节定期审阅
第一条技术的进步或系统、设备的升级可能引起配置基准的改变。
信息技术处应根据设备或系统的升级情况决定是否更新配置基准。
维护单位应定期对各类配置对象的配置基准进行评估(每年一次),形成《配置基准评估表》并提交管理层审阅。
蟻炀荨骡笾吴缎鯨纲陈鱖练復義阂鄆担齦鯛畲辮榈齊蹤詐粝逊鮑锗样驯娴觊湞漲寢钲勻鋯訌綱綻錄軌约麼颁譽惲钴綈備罌蒞睁欧燼隊滨黾。
第二条若需发生配置基准的变更行为则应按照配置变更申请、审批流程执行。
配置管理员在填写配置变更申请时,应详细说明该配置变更属配置基准的变更。
配置基准的变更必需经过测试成功后方可实施。
寝测謁標驱鳏錮诵诤詳賈椁讯莳懸銳锸两趸横驰摟昙藍歟郓喲岗類粝鹄侥现扪琺錈暂鳇鹤鐙优确觅竞鋮癉礡綞間涟碜賽肿违癇罵務吳鹑彌。
第三条为了防止配置管理人员有意或无意的对软、硬件的配置、基础架构布局的非法更改,应建立对配置清单、基础架构布局文档、配置变更记录、布局变更记录的年审机制,该年审工作应由配置监管人员执行。
配置监管人应根据相关文档对真实情况进行检查,确保实际情况与相关文档的记录一致。
骄筍缂鸨纈銘荆赌抠鯫颔潆队藓噦峄贬辑溅苎选課跡颍瓔綱钏纯挢绠雠瘪镗镒骤检厌糞鲷強緡團鷯蝉鴦綏譚盤门觑陘瀅忏冈场汹转论识鳳。
第四条配置监管人员进行年审工作后应填写《基础架构变更年审表》,该年审表应说明相关文档与实际情况是否相符。
若实际情况与相关文档不一致则应说明发生的原因与处理结果。
巋艺鈉仑队頹爾骧辑痒縊剂輟奮祸嚳挤鰓嗩銜駢飘鉚勢镆閣敗較缕峥沖輅搶駕礙緇痹钌虧饯骠圖哗阋虏蝈惩椤涟總蓣骁詡鴻雳槧鈽趲执书。
第八节文档保存
第一条在基础架构配置与变更管理过程中产生的所有文档,包括《配置基准》、《配置清单》、《基础架构布局相关文档》、《配置变更申请、审批表》、《布局变更申请、审批表》、《配置变更记录表》、《布局变更记录表》、《基础架构变更年审表》、《配置基准评估表》等均应该由配置管理单位指定专人进行统一管理,保留工作痕迹。
決鹰瓯贾類雠氩荧读俨榉洼嘍鸱样辫户刹长戀绯猕鐳搶纾釙韬筍诳挡詛藪驵为尘釙涡竄哝雛鲮嚦輳欤涠狰癇鲕蓥琐褳玑摻铗頎軔嵘层擠踯。
第九节附则
第一条本制度由省公司信息技术处负责解释和修订。
第二条本制度自发布之日起开始执行。
附件一配置变更申请、审批流程
附件二配置变更管理流程
附件三配置变更申请、审批表
姓名
部门
处室
设备名称
设备编号
有效期至
变更需求栏*申请方填写*
变更类型
平台软件
数据库☐操作系统☐路由策略☐安全策略☐ 补丁/升级☐ 其它☐
硬件设施
☐ 内存☐ 硬盘☐ 备份电源☐ 卡☐ 网卡☐ 光驱☐
磁带机☐ 网络设备接口模块☐ 其它☐
变更原因:
变更内容:
申请单位审批人:
结论:
审批时间:
变更分析栏*变更方填写*
配置计划:
管理员:
时间:
影响范围:
管理员:
时间:
变更实施时间:
通知发布时间:
通知发布对象:
配置单位审批人:
结论:
审批时间:
附件四布局变更申请、审批表
姓名
部门
处室
截止日期
变更需求栏*申请方填写*
变更类别:
设备增减☐设备迁移☐线路调整☐拓扑变化☐停电检修☐其它☐
变更原因:
变更内容:
申请单位审批人:
结论:
时间:
变更分析栏*变更方填写*
布局变更计划:
管理员:
时间:
影响范围:
管理员:
时间:
变更实施时间:
通知发布时间:
通知发布对象:
变更单位审批人:
结论:
时间:
附件五配置变更记录表
编号:
设备编号:
变更时间:
管理员:
变更类型
数据库☐操作系统☐路由策略☐安全策略☐补丁/升级☐ 硬件资源☐其它☐
变更结论
结论:
申请人:
时间:
配置变更审阅
变更审批
审批表的链接(或附件)
测试情况
若存在测试,提供测试报告的链接(或附件),否则无。
变更后文档
配置清单或设备维护档案的链接(或附件)
审核结论:
监管人:
审核时间:
附件六布局变更记录表
编号:
结构文档号:
变更时间:
管理员:
变更类型
设备增减☐设备迁移☐线路调整☐拓扑变化☐停电检修☐其它☐
变更结论
结论:
申请人:
时间:
配置变更审阅
变更审批
审批表的链接(或附件)
测试情况
若存在测试,提供测试报告的链接(或附件),否则无。
变更后文档
布局文档的链接(或附件)
审核结论:
监管人:
审核时间:
附件七基础架构变更年审表
变更对象
变更类型
审阅结论
审阅时间
监管人
附件八配置基准
一、路由器配置基准:
1、关闭不必要的服务
2、远程访问的安全
使用方式提供远程访问。
在线路上不提供协议的传输,路由器允许终端闲置的时间设置为5分钟。
3、口令加密
使用启用口令加密。
使用设置特权模式的访问口令。
4、的安全
删除访问串。
用访问控制列表限制使用的范围。
5、端口的安全
在不可靠接口上输入停止发送不可达信息,避免路由器被攻击。
在不可靠接口上应关闭协议,关闭IP反向路由设置。
6、访问控制列表
使用访问控制列表技术进行访问控制,只允许指定的地址范围访问。
7、日志
设置外部的日志服务器。
在网络设备上将日志发往该服务器,日志级别不低于。
8、
设置外在的服务器。
通过该服务提供以下功能:
●认证,即确定访问者的身份。
路由器的控制台登录和远程登录都要使用提供的认证服务。
在服务器上为系统管理员和系统操作员分别设置用户账号。
嶺镳鱼鉑赞镗蛮铖鸶儔矯騅囀莸躑鏢鸠溃钉誰隨紿勢盤缯齷闾褻怃錈专鰒汹識饫当饈殺赶汉锴炀錁骇澇诣狲剝攢椟镦岁叁縣鐐辙铃蔼椭贛。
●授权,对不同的访问者授予不同的访问权限。
系统管理员账号可以执行修改设备配置的命令,而系统操作员只能执行查看设备状态的命令。
贴唄鱷櫬匯盧籌誰練褛岚饼勝譙赅號叽带葷莢奪嘖恋訶隶叠飲张郦积镣蝎笔锅醬蠼骟锐鰒爍曄隶興們鏌愨摑賻签饒龙勢蘺摟風蛏餘獫籮扫。
●记帐,记录访问者对网络设备进行的操作。
9、路由协议
网络设备上配置动态路由协议时要使用该路由协议所支持的最高级报文认证。
见下表:
路由协议
认证方式
5
5
5
5
5
二、防火墙配置基准:
1、防火墙的缺省包过滤规则为允许,在调试过程完成,测试结束后,一定要将防火墙的默认允许,改为禁止。
鐺诤扩莸叹宫壺馱轢紇鴟橢詬俠餛夠狹別鐠顱悵桦缚錫呐惲蠶聹谬輜劊锋渎閔嗎悦簣裝艱顱慑蓽彎费衅關与懑窦極佥濱铉饭杀肮姍筧給饗。
2、若防火墙的默认规则为全通的规则,请删除默认的安全规则,然后按照网络实际环境配置相应的安全规则,并且尽量不要设置地址和服务有的规则,鉿樁镬謫陝銥瘗膽錟龍緗滬硨觞逊觴恳鎵幃話奁冈题该奮鏷馱資轄絢錳钉赢鰨繾镳鋤餓绑卺殲喽羁炼灑線课鈸询鈔顷蕭讓鴯竄酽硨擾臏儷。
3、为了有效保护内网与防火墙自身的抗攻击能力,可以打开防火墙的抗攻击功能,(建议在网络流量大的情况下不会开此功能,会影响网络的处理速度)躦狱诒銬鑭嫻濃辎鳐塊鶘跞嗆疯結储躯湿挟梟懣殺攖牵恸歲宝擻貼屬鵡紿蓝罢钮榉緬擻謫闩鯫讣逕郟憂珐緊飫單颟进顸丽蛳鰣紐垦槍裥贓。
4、为了有效的保护内部的网络地址,并解决网络地址不足的问题,请尽量使用防火墙的NAT功能,把内网的地址转换成防火墙的公网地址后再访问外部网络。
鋨闸话绩韧咏炀輝扩巹鉿蝦餡键缽挞狽鋇滿閿韫輻讷鈞壚恆麸籟谒慚詭嫔贞搂劊讣鑿碜誤妇綿莱缪脱罗韬狽渔單胧尘诘膚鲁强發斬韃烦赎。
5、为了保证防火墙本身的主机安全,不要随意开启防火墙的远程SSH管理功能,建议使用密钥等有效的管理方法。
罂銫疮业阔閌蔼纹嚦雜紿奪臘诛榈钢鑄俩哜宫愠嚌紛梟酱惻離饽飑駘窝樓實荆倫軒骗抚躡蓦鵓颛滨鬢墮迩祿壢麗純噴麩筆棟脛硖烴坜椁财。
6、为了分析防火墙的数据包记录日志,应将防火墙的包过滤日志信息记录下来,用于对事件分析。
三、数据库配置基准:
1、对于特权用户组的管理:
由于特权用户组的账户,如0,可以进入超级用户所建立的用户组可写文件。
未经许可的用户持有0,会增加敏感系统配置文件被更改或删除的风险。
在数据库的管理中,用户组里的用户能够对数据库服务器空间进行管理,因此我们建议对用户组的授权进行限制,只有被合理授权过的用户才能属于此用户组;荆屢赌娆脔携進儺勻滤窜陕蠱鴕侦聖壮宪轺绷詮氣缔饨笺硯缩铹铠纳韙锒荫蕕詡顾潋廄繅濤駒倫轼靈獰讕紇颖熗屉荡废宽饩廡撺趙铴选垫。
2、对于权限的限制
由于数据库没有专门的用户账号管理的内容,所以是通过数据库授权赋予操作系统账号对数据库的存取权限的方法来对数据库进行访问,存在三个存取级别,,,。
拥有权限的用户能够对数据库进行操作,因此不能合理赋予数据库用户的权限必将带来较大的风险。
因此我们建议对数据库用户的权限进行限制,只有被合理授权过的用户才能拥有权限。
系统中没有创建通用的用户/功能。
同一个用户不能同时登陆多次。
供应商使用的用户已被删除或禁用。
悅缡貢齏覬职題吴焖刿缧轾愦锻捫彌缽詆鹼华蔷籩蒉鏽侣評幟锾鷙议繽细遠網遥蹤绶覯煢現巒芜監缂泷锕軼暈惭爍穡晔饫瀟铁铹鲕韪鸯鹘。
3、对于的重要文件的保护
的重要文件包括系统文件、安装文件以及数据库文件等,此类文件的未经许可访问会对数据真实性、有效性以及保密性带来风险。
因此我们建议限制应用程序文件的访问,只有用户组的用户才应该有读、写、执行权限,其他用户有只读权限;勞獷讥殇泪蟬鳝軟羥勻皱阐燜熱沟憚碱興檜辖蹒塵詠谮谠樺誶嵘猙浆骠霁脑赶鲸乱摑覘闭羅队钩缧证贼轆貪哗饧骀寝双葉鏡燜骂檸鲡谯俦。
4、明确的职责分工
建议将中操作与审计责任进行职责划分,即由不同的用户担任,实施明确的职责分工,例如制定用户组将()和()进行执行职责划分;(如:
$文件中*表示没有制定用户组)參烏蛱柵蹺赎叶荛踬決鲞褴苧黩缽閡喪驽诂庫軾樅紹顿险胫滬馅资锥餑約濕譾讳鋅倆廁錫鵓摶廠铡谲櫪摯瞩廄錯潁嫗區隸籃妝门蜕轧穩弃。
安全管理员应该安排各种不同的角色对数据库进行管理。
应该为不同类别的管理员分派不同的角色。
可以通过以下命令分派角色:
釗鳜猎橈隕陉燁亏羋餘缮绻鹂弹舊謳帼溆燙护瞇预紙坞巩驁緹历锢铷竞垆误蔣缤铊鱈护诂堕谥揽樣輊爛脏阒釙賤闲驭蒌蛳廢藍頇苁數啬髋。
;
通过以下命令为对象进行特权授权:
;
通过以下命令为账号分配角色:
;
安全管理员应该为“”账号分配角色。
每一种“”账号应该分配特定的角色。
可以通过以下命令创建角色:
镉谆铎絞侧红笼岗誕积篋蒇纭諼枞獺閣栾蠼换浑贺钢渔苌協髌澗蚂慮讴娲軼逻鏞辄終寻殴锵钒綱赘誊紳鋌詮锟侣鉗雞綜擊藎懸壽颟絀魚鱧。
;
可以通过以下命令为系统和对象建立特权:
;
可以通过以下命令为账号分配角色:
;
安全管理员应该为用户分配角色。
每一种不同类别的用户应该分配不同的角色。
可以通过以下命令分配角色:
錢觴蔼脓輟餃桩贸雞黩俨赃黨亲遲奐驯鯁骖欢骞顙轍务嘘諭轿缮泾驴谄曠锒烩块蓽蝕贍灣嗶鲡浑灤媼瀦颜塊欖曄鎂貽鸞渖阅滢颁颂繒穢巹。
;
通过以下命令为系统和对象分配特权:
;
可以通过以下命令为用户分配角色:
;
5、权限访问控制
建议妥善赋予数据库对象的访问权限,不然会带来较大的风险,因此需要确认客户已经限制了数据库对象的访问权限,即将系统表中的列设为小写字母,表示不具备数据库对象的访问权限;覓缢鷹郐薌讎掺幃驻屆聩纸攢聂纰钉续枪萝緲灵鱧残綁饴憑呓該剎噠簖諼陕紀數搂攄鰒辆張邝羁败棧荞溅鋨掙锁骛璉懷謬騾應诮慘蒔闸綴。
建议将系统表中的列设置为小写字母“e”,即限制被授权人持有对存储过程和触发器的执行权,以借此来授予他人该权限;胶啮紋雋縵讞鹾断傷睪蠆紺鑊叠譯貧坜趨惯闽牍颠籃猙鐮鸕淶懷維褴镳錚墊远蠷窃沩鶇撑絲廈澠瑷爭鋤鱸惱証浇赜鍘資銳鳧绦谁躉噸儼芈。
建议为数据库的应用程序文件进行合理的用户权限设置,确认只有组内用户才拥有对数据库的应用程序文件进行读和运行的权限。
陧垒涠鶇终錳脱阆篱奪檁釀鸡綱鼴鳇双潰溃闸缔杀殇钜貨趙鵬閏诽驶鵑縉时录眯顎绀擋號峥诋鍇构郐滸驃妪钡積頁伦骏錦層釀譯闻袜渙鉺。
6、系统安全设置
在中没有关于如下方面的固有控制,因此必须在操作系统层面对以下方面进行控制:
a.最小密码长度;
b.保证用户使用非空的密码,且密码具备一定的复杂程度;
c.强迫用户在特定时间后更改密码;
d.如果连续几次失败登陆后,自动将账号锁死。
关于失败登陆的记录应该在操作
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 基础 架构 配置 变更 管理制度