Windows操作系统安全加固实施细则

-1-Q/ZD浙江省电力公司企业标准编号：Q/×××————————————————————————————Windows操作系统安全加固作业指导书2009-12-28发布2010-01-01实施————————————————————————————————————XXX省电力公司发布-2-前言为进一步规范XXX省电力公司Windows操作系统安全加固作业，提高作业质量，促进操作系统安全加固标准化作业，确保业务系统的安全、可靠运行，特制订《XXX省电力公司Windows操作系统安全加固作业指导书》。本作业指导书可作为XXX省电力公司信息专业岗位培训内容和Windows操作系统加固工作要求。本作业指导书由XXX省电力公司科技信息部归口。本作业指导书由XXX省电力公司信息技术中心、长兴县供电局提出并起草。本作业指导书主要起草人：吕斌斌。本作业指导书由XXX省电力公司信息技术中心负责解释。-3-目录1.适用范围.............................................................................................................................................................................................................................................42.引用标准.............................................................................................................................................................................................................................................43.作业准备.............................................................................................................................................................................................................................................53.1准备工作.........................................................................................................................................................................................................................53.2工器具.............................................................................................................................................................................................................................63.3危险点分析及预控措施..................................................................................................................................................................................................64.工作流程图.........................................................................................................................................................................................................................................74.1总图.................................................................................................................................................................................................................................74.2加固流程.........................................................................................................................................................................................................................85.作业程序及作业标准.........................................................................................................................................................................................................................96.记录及报告.......................................................................................................................................................................................................................................22-4-Windows操作系统安全加固作业指导书1.适用范围本作业指导书适用于XXX省电力公司Windows操作系统加固工作。2.引用标准下列标准及技术资料所包含的条文，通过在本作业指导书中的引用，而构成为本作业指导书的条文。本作业指导书出版时，所有版本均为有效。所有标准及技术资料都会被修订，使用本作业指导书的各方应探讨使用下列标准及技术资料最新版本的可能性。《国家电网公司电力安全工作规程》2009版国家电网生[2004]503号《国家电网公司现场标准化作业指导书编制导则（试行）》信息运安〔2008〕60号《国家电网公司信息安全加固实施指南（试行）》信息运安〔2009〕44号《国家电网公司SG186工程信息系统安全等级保护验收标准（试行）》浙电科信字[2009]65号《XXX省电力公司信息系统工作票、操作票使用管理办法（试行）》-5-3.作业准备3.1准备工作序号内容标准责任人1查看《信息安全加固工作计划》中有关Windows操作系统相关部分，明确系统安全加固工作的范围与职责，准备安全加固所需的资料。确定安全加固系统的范围，明确加固的Windows操作系统的资产；确定加固各相关单位的职责，确定加固实施时间以及加固实施过程控制方式；准备加固所需的资料,如资产列表、风险评估报告、安全建议报告等。2核实《Windows操作系统信息安全加固方案》、《Windows操作系统安全加固实施确认单》、《Windows操作系统安全加固后运行情况核查操作单》等加固方案实施相关资料。根据加固范围内的信息系统存在的脆弱性和风险，设计信息安全加固实施方法；组织安全加固相关单位对加固方案的可行性进行论证，对于可能影响信息系统正常运行的加固项需在测试环境中测试后进行，无法加固的脆弱性需提出详细说明，并形成可替代的加固方案；安全加固实施前，根据业务系统运行使用的实际情况，设计加固后系统运行状态核查操作的步骤（命令、参数、脚本等），加固实施完成后依据该步骤对系统的运行状态进行核查。3加固前根据业务系统恢复的难易程度采取有效的备份恢复措施，应确保在安全加固造成系统异常时能够使用备份数据使系统恢复到加固前的状态。安全加固实施前根据业务系统恢复的难易程度采取系统级别备份、应用程序级别备份或数据级别备份；安全加固过程中需修改的配置文件应在加固前进行备份。4填写、核实工作票、操作票。根据《XXX省电力公司信息系统工作票、操作票使用管理办法（试行）》要求，填写工作票、操作票，并经相关责任人、-6-签发人书面认可。5拥有拟加固的Windows操作系统临时管理员权限。加固实施过程中启用系统管理员帐号和权限。3.2工器具序号名称规格/编号单位数量备注1安装Nessus扫描软件计算机Nessus扫描软件更新至最新版本台13.3危险点分析及预控措施序号危险点防范措施1违反信息安全加固规范性原则。Windows系统安全加固的方案设计、加固实施应依据国家或公司的相关标准进行。2违反信息安全加固可控性原则。Windows系统安全加固工作应该做到人员可控、工具可控、项目过程可控，严格执行“两票”制，严禁执行两票规定范围以外的操作；加固工作中涉及的笔记本、扫描器等工具在加固实施前应遵照设备接入的有关规定进行设备核查、补丁升级、病毒查杀、残余信息清除等操作，加固过程中产生的数据在分析完成后及时删除。3违反信息安全加固最小影响原则。Windows系统安全加固工作应尽可能小地影响系统的正常运行，不得对运行中的业务系统产生较大影响。关键业务系统的信息安全加固应搭建模拟环境做加固测试，同时，加固操作应尽量安排在系统资源空闲和业务访问量少的时段，降低可能发生的风险。4违反信息安全加固保密原则。对加固的过程数据和结果数据严格保密，不得泄露给任何第三方单位或个人，不得利用此数据进行任何侵害国家电网公司信息系统的行为，应通过工作票、保密协议等方式确保数据保密。-7-4.工作流程图4.1总图确认系统运行状态加固操作加固验证检查系统运行状态确认准备工作完成删除临时帐号加固开始加固完成数据整理-8-4.2加固操作流程否是登录系统帐帐帐帐帐帐未完成项目替代方案退出系统帐帐帐帐帐否完成加固项目加固成功？否是帐帐帐帐帐帐加固成功？否是帐帐帐帐帐帐帐帐加固成功？否是帐帐帐帐帐帐帐帐加固成功？否是帐帐帐帐帐帐加固成功？否是帐帐帐帐帐帐加固成功？否是帐帐帐帐帐帐加固成功？否是帐帐帐帐加固成功？是帐帐帐帐帐帐-9-5.作业程序及作业标准序号工作内容操作方法及标准安全措施及注意事项实施风险帐号权限加固1合理配置应用帐号或用户自建帐号权限1、列出应用帐号或用户自建帐号所对应的相关应用程序；2、根据应用程序实际系统资源、对象的使用情况配置应用帐号或用户自建帐号的权限，具体操作如下；3、单击“开始”和“控制面板”，双击“管理工具”，再双击“本地安全策略”，打开“本地安全设置”控制台；4、进入控制台树中的“安全设置