為確保公司ERP軟件穩定安全的運行,現根據公司的網絡運行環境及硬件設施特制定出如下安全保密措施及制度:

一、服務器安全防護措施

1、在兩臺ERP服務器上均安裝了正版的防病毒軟件,對計算機病毒、有害電子郵件有整套的防范措施,防止有害信息對服務器系統的干擾和破壞。

2、做好生產日志的留存。服務器具有保存60天以上的系統運行日志和用戶使用日志記錄功能,內容包括IP地址及使用情況等。

3、ERP系統軟件建立雙機熱備份機制,一旦主服務器系統遇到故障或受到攻擊導致不能正常運行,保證備用服務器系統能及時替換主系統提供服務。

4、關閉服務器系統中暫不使用的服務功能,及相關端口,并及時用補丁修復系統漏洞,設置定期病毒查殺。

5、服務器平時處于鎖定狀態,并保管好登錄密碼;遠程桌面連接設置超級用戶名及密碼,并綁定IP及MAC地址,以防他人登入。

6、服務器提供集中式權限管理,針對不同的應用系統、終端、操作人員,由服務器系統管理員設置共享數據庫信息的訪問權限,并設置相應的密碼及口令。不同的操作人員設定不同的用戶名,且定期更換,嚴禁操作人員泄漏自己的口令。對操作人員的權限嚴格按照崗位職責設定,并由服務器系統管理員定期檢查操作人員權限。

7、公司機房按照電信機房標準建設,內有必備的獨立UPS不間斷電源、高靈敏度的煙霧探測系統和消防系統,定期進行電力、防火、防潮、防磁和防鼠檢查。

二、網絡與數據安全保障措施

1、服務器網絡安全保障措施:

(1)公司采用多層華為賽門鐵克USG5000企業級網絡硬件防火墻對公司的網絡及服務器進行全面的保護。

(2)服務器安裝專業的安全軟件,提供基于網絡、數據庫、客戶端、應用程序的入侵檢測服務,在防火墻的基礎上又增加了幾道安全措施,確保服務器系統的高度安全。

(3)定期對服務器系統進行安全漏洞掃描和分析,排除安全隱患,做到安全防患于未然。

2、軟件數據安全保障措施:

(1)數據安全關系到整個信息系統正常運轉,影響到公司ERP軟件正常的運行秩序,責任十分重大,必須具有高度的責任感和一絲不茍萬無一失的嚴謹工作作風。

(2)ERP系統主服務器必須每天做一次數據全備份到ERP系統備用服務器(此備份為計劃備份,系統自動執行),時間為晚上20點整。

(3)每兩周對備份數據進行一次校對試驗,以確保ERP備用服務器上的數據安全可靠。

(4)根據服務器數據增長量,應定期對過期數據進行處理,以保障系統運作效率。

(5)對清除數據必須刻成光盤存檔,保存期限至少三年,以供后期查詢所用。

(6)根據軟件數據的保密制度和用途,確定ERP軟件使用人員的賬號權限。禁止泄露、外借和轉移任何數據信息。

(7)制定ERP軟件工作流程的各級賬號審批權限,未經批準不得隨意更改業務數據。

(8)備份數據光盤保管地點應有防火、防熱、防潮、防塵、防磁、防盜設施。

(9)使用備份數據時由網絡中心經理提出申請,經運營中心副總裁審批后,方可使用。

三、服務器及軟件安全保密制度

1、公司內部員工不得對外泄露關于服務器的任何信息;

2、公司內部員工不得利用服務器進行除ERP軟件運行所需以外的任何行為;

3、對公司相關管理人員設定服務器管理權限,不得越權管理服務器信息;

4、根據公司各部門各級工作人員設定相應賬號權限,使用人員嚴格保存自己使用賬號密碼;

5、ERP軟件使用人員不得惡意刪除任何軟件基本信息及他人錄入信息;

6、一旦發生服務器信息安全事故,應立即報告公司領導人并及時進行事故處理;

7、ERP軟件管理員對有毒有害的信息進行過濾、用戶信息進行保密。

8、服務器管理員定期或不定期檢查服務器信息內容,實施有效監控,做好安全監督工作;

9、系統管理員未經許可不得隨意修改或刪除數據庫內的任何數據信息,更不能對外提供。

10、除授權管理人員外,未經許可,任何人不能動用他人設備,不得通過網絡(局域網、VPN虛擬專網、內部網等)聯機調閱數據。

11、對服務器的管理人員,以及領導明確各級人員的責任,管理服務器的正常運行,嚴格抓管理工作,實行誰管理誰負責。

12、強化信息安全保密管理,加強安全保密意識教育。因人為原因造成信息數據泄密及安全事故,追究當事人責任;觸犯法律的,依法追究。

篇2:服務器機房安全管理制度

為科學、有效地管理服務器機房,促進網絡系統安全的應用、高效運行,特制定本規章制度,請遵照執行。

一、機房管理

1、路由器、交換機和服務器以及通信設備是網絡的關鍵設備,須放置服務器機房內,不得自行配置或更換,更不能挪作它用。

2、服務器房要保持清潔、衛生,并由專人7×24負責管理和維護(包括溫度、濕度、電力系統、網絡設備等),無關人員未經管理人員批準嚴禁進入機房。

3、嚴禁易燃易爆和強磁物品及其它與機房工作無關的物品進入機房。

4、建立機房登記制度,對本地局域網絡、廣域網的運行,建立檔案。未發生故障或故障隱患時當班人員不可對中繼、光纖、網線及各種設備進行任何調試,對所發生的故障、處理過程和結果等做好詳細登記。

6、做好操作系統的補丁修正工作。

7、網管人員統一管理服務器及其相關設備,完整保存服務器及其相關設備的驅動程序、保修卡及重要隨機文件。

8、服務器及其相關設備的報廢需經過管理部門或專職人員鑒定,確認不符合使用要求后方可申請報廢。

二、服務器病毒防范制度

1、網絡管理人員應有較強的病毒防范意識,定期進行病毒檢測(特別是郵件服務器),發現病毒立即處理并通知管理部門或專職人員。

2、采用國家許可的正版防病毒軟件并及時更新軟件版本。

3、未經上級管理人員許可,當班人員不得在服務器上安裝新軟件,若確為需要安裝,安裝前應進行病毒例行檢測。

4、經遠程通信傳送的程序或數據,必須經過檢測確認無病毒后方可使用。

三、機房安全保密制度

1.機房所有人員必須嚴格遵守單位各項安全保密制度,高度重視信息系統的安全保密工作,積極參加各種形式的安全保密工作的學習培訓活動,接受安全檢查。機房信息系統涉及全單位的管理、業務等企業核心信息,維護人員不得窺探、抄錄、復制;不得轉告與工作無關的人員;不得隨意向外界透露。操作人員未經財務審批不得私自動用、開設、查看、變更營業軟件。

2.機房所有人員未經允許不得訪問信息系統中用戶信息、公文、報表、郵件等屬于授權訪問數據信息或私人信息。

3.機房所有人員未經授權,不得私自修改、查閱系統的有關信息。

4.嚴格遵守帳號口令管理制度和安全操作條例,根據訪問數據級別使用相應權限的口令進入系統;不得竊取、破譯他人權限密碼。

5.機房所有人員未經允許不得擅自抄錄、復制設備圖紙、電路組織資料、內部文件、系統軟件、技術檔案、用戶資料,也不得擅自帶離機房,使用后歸還原處。

6.各種涉及密級的圖紙、資料、文件等應嚴格管理,認真履行使用登記手續。IP地址及密碼等涉密信息不得讓無關人員輕易獲取。

7.機房內重要保密文件、數據的銷毀,應使用碎紙機進行銷毀,不得任意丟棄。

8.機房內部的廢棄設備、測試數據由倉管部門統一保存和處理。

9.機房所有人員嚴格遵守通信紀律,增強保密意識和法制觀念,不得隨意監測用戶通信。

10.機房內部所有維護和管理人員,均應熟悉并嚴格執行安全保密規定。

篇3:服務器安全設置規范

服務器安裝

1.安裝系統最少需要兩個邏輯分區,主分區和邏輯分區格式都采用NTFS格式。windows2003操作系統系統分區不得低于60G,windows2008操作系統系統分區不得低于80G。

2.硬盤及文件夾權限:

⑴系統盤及其他邏輯磁盤只給Administrators組和System賬戶完全控制權限:

Administrators

完全控制

該文件夾,子文件夾及文件

SYSTEM

完全控制

該文件夾,子文件夾及文件

⑵系統盤/Inetpub/目錄下所有目錄、文件只給Administrtors和System賬戶完全控制權限:

Administrators

完全控制

該文件夾,子文件夾及文件

SYSTEM

完全控制

該文件夾,子文件夾及文件

⑶C:/DocumentsandSettings目錄只給Administrtors和System賬戶完全控制權限:

Administrators

完全控制

該文件夾,子文件夾及文件

SYSTEM

完全控制

該文件夾,子文件夾及文件

⑷C:/DocumentsandSettings/AllUsers目錄只給Administrtors和System賬戶完全控制權限:

Administrators

完全控制

該文件夾,子文件夾及文件

SYSTEM

完全控制

該文件夾,子文件夾及文件

其他權限部分:

Users

讀取和運行

該文件夾,子文件夾及文件

USERS組的權限僅限制于讀取和運行,絕對不能加上寫入權限

賬戶安全設置賬戶要盡可能少,并且要經常檢查系統賬戶、賬戶權限及密碼。刪除已經不再使用的賬戶。停用Guest賬號,并給Guest加一個復雜的密碼。把系統Administrator賬號改名,盡量把它偽裝成普通用戶,名稱不要帶有Admin字樣。不讓系統顯示上次登錄的用戶名,具體操作如下:

修改注冊表“HKLM/Software/Microsoft/WindowsNT/CurrentVersion/Winlogon/DontDisplayLastUserName”的鍵值,把REG_SZ的鍵值改成1。

(5)應用密碼策略,啟用密碼復雜性要求,設置密碼長度最小值。

本地安全策略設置

打開“本地安全策略”(開始菜單—>管理工具—>本地安全策略)

A、本地策略——>審核策略(可選用)

審核系統登陸事件成功,失敗

審核帳戶管理成功,失敗

審核登陸事件成功,失敗

審核對象訪問成功

審核策略更改成功,失敗

審核特權使用成功,失敗

審核系統事件成功,失敗

B、本地策略——>用戶權限分配

關閉系統:只有Administrators組、其它全部刪除。

通過終端服務拒絕登陸:加入Guests、Users組

通過終端服務允許登陸:只加入Administrators組,其他全部刪除

C、本地策略——>安全選項

交互式登陸:不顯示上次的用戶名啟用

網絡訪問:可匿名訪問的共享全部刪除

網絡訪問:可匿名訪問的命名管道全部刪除

網絡訪問:可遠程訪問的注冊表路徑全部刪除

網絡訪問:可遠程訪問的注冊表路徑和子路徑全部刪除

系統防火墻設置:開啟系統防火墻功能,添加業務系統相關端口訪問權限。修改系統默認遠程桌面端口號3389為其他端口,并在防火墻允許通過(如不修改的話,務必將3389映射到外網的其他端口,不允許外網通過3389來遠程服務器)

7.操作系統安裝完成,不要立即把服務器接入網絡,因為這時的服務器還沒有打上各種補丁,存在各種漏洞,非常容易感染病毒和被入侵。補丁的安裝應該在所有應用程序安裝完之后(具體順序如:IIS、.Net環境、數據庫、應用系統),因為補丁程序往往要替換或修改某些系統文件,如果先安裝補丁再安裝應用程序有可能導致補丁不能起到應有的效果。在安裝補丁時有些補丁不要盲目安裝例如.Net的相關補丁盡量不要安裝。

8.操作系統除安裝以下工具軟件:Office辦公軟件、解壓縮軟件、殺毒軟件之外,禁止安裝QQ、迅雷等與使用此系統無關的軟件,工具軟件中對操作系統自動更新的功能需要關閉。

9.規劃好各邏輯分區的功能分類,如:應用程序&數據庫、文件備份等;辦公軟件、數據庫安裝文件、.NET安裝文件、補丁文件等。統一存放到命名為tools的文件夾中。

10.操作系統桌面上禁止存放程序安裝包、程序升級腳本以及其他文件,可在規劃的非系統分區建立文件夾并快鍵方式到桌面存儲此類文件。

數據庫設置

1.各版本Sql數據庫服務器必須安裝相應的servicepack。

2.禁止Mssql數據庫sa帳號的密碼設置為空。保證sa的密碼足夠復雜。

3.盡量每個數據庫使用一個帳號和密碼,比如建立了一個數據庫,只給PUBLIC和DB_OWNER權限,不使用sa帳號。

4.數據庫訪問端口1433如需外網訪問,務必將1433映射成其他端口或更改數據庫訪問端口1433為其他端口。

5.禁用*p_cmdshell,在外圍應用配置里。