中小企业数据资产及信息安全运维建议发表时间:2021-10-07 09:20 中小企业数据资产及信息安全运维建议 1. 一般PC终端全面升级到MS-window10-64位专业版-2004版本或更高版本,或采用Linux桌面系统办公(推荐深度Linux等国产Linux桌面系统)。不符合系统版本要求或性能较低的xp等PC终端尽快淘汰更新,或更换为Linux桌面系统办公(一般适合上网和文档处理、CAD制图等,请咨询相关操作系统厂家技术支持)推荐深度linux或Ubuntu桌面版本。 2. 服务器系统现有Windows系统建议升级到MS-2016以上版本,MS-SQL数据库推荐升级到2014或更高版本。由于相关应用程序限制不能升级的,做好必要的备份机制和防御设备部署;同时建议考虑迁入到虚拟化环境部署,同时搭配数据库防火墙和数据库备份设备做好防御和备份机制;centos-Linux系统推荐升级到7.7或更高版本;操作系统升级版本,建议通过咨询软硬件技术支持后,制定一个升级规划,在保证业务系统安全的前提下进行。 3. 定期对核心数据进行归档保存(NAS存储设备归档,光盘刻录归档,磁带机归档,移动硬盘归档等多种形式,按3个副本,两种以上介质方式保存),并制定核心数据安全管理备份机制,由专人负责管理执行。 4. 核心交换机确保为支持IPV6协议,三层千兆或万兆网管型交换机,PC终端IP段与服务器IP段建议分开,同时与监控系统、无线网络,以及其他IT应用系统都进行网段分隔,以免在同一IP段相互影响。分支交换机推荐更新为支持IPV6协议的网管型交换机。 5. 建议外网前端部署硬件防火墙,数据库服务器等核心服务器前端部署IPS和数据库防火墙等防御设备,且需要专业工程师做好相关安全策略,由专人负责每天检查网络安全预警信息,遇到网络安全威胁预警,及时与专业工程师进行沟通处理,最大化降低各类威胁灾害,防患于未然。 6. 推荐采用本地部署的企业网盘系统取代本地文档存储和FTP等传统共享存储方式,同时屏蔽常用的445等威胁端口,积极推进以网盘客户端形式使用和传输文件资料,避免U盘传输或局域网通讯传输文件,最大化的规避文件中转导致的各类木马病毒传播。 7. 统一PC终端杀毒工具,每天闲时进行快速查杀病毒,每周定期进行全盘查杀,做好异常问题及时处理的机制;推荐采用有管理端的商业杀毒软件,通过杀毒软件的管理端进行终端系统安全策略分发和预警管理。 8. 推荐采用网络打印机作为共享打印机,淘汰原有打印服务器共享打印机的模式,防止勒索软件等通过445等端口侵入造成危害。若属于需要保密的办公文档打印和扫描的,建议单独部署设备到相关终端,推荐考虑采购国产品牌的外设设备及耗材。 9. 单位办公电脑做好相关管理制度,禁止随意安装程序,规范现有办公软件使用,office办公软件推荐使用wps等国产软件,对于允许使用的常用应用程序建立一个规范列表,以便于参考管理。同时,配备相关上网行为管理设备,对非相关网址进行屏蔽,尤其是可能会遭遇恶意程序的相关类别网址。 10. 单位办公电脑避免用U盘传输文件,以免木马病毒传播;推荐采用本地部署的企业网盘或内网通等局域网通讯软件传输文件;原有FTP服务器建议尽快转移到新的企业网盘架构上,以便于规避高风险共享访问端口,同时企业网盘系统对文档也能有更好的管理机制。每台办公电脑保存的工作文档,建议配合企业网盘进行数据同步归档,以便于保障数据安全。 11. 单位对数据有安全管理要求的,要做好文档密级分类的明确规定,涉密文档应当部署文档安全管控系统和设备,以便于做好文档从创建、传递、打印输出等方面的安全管控审计。 12. 对于核心数据较多的部门,建议定期(每月、季度等时间段)做好合适数据的归档查验工作,确保核心数据做好二次备份归档工作;或采用NAS备份服务器、高密度光盘刻录、磁带机等设备进行数据同步归档保存工作。 13. 单位所用的操作系统(包括PC、服务器)、数据库软件、设计软件、压缩软件等涉及商业知识产权的,请注意做好相关的正版化管理工作,以免遭遇知识产权纠纷,对公司造成重大损失。部分版权不好落实正版化的,推荐过好部分应用软件的国产化替代工作,以便于保证相关业务的稳定安全运行。 14. 涉及到公共信息安全的,比如会员系统、物流系统、字幕屏和宣传用的广告屏幕等,请注意做好信息安全的相关监管工作,避免由于被黑客侵入或非法操作导致发布不良信息,从而产生较大损失和社会不良影响。 15. 机房服务器及智能化管理设备较多的,建议对现有机房运行环境进行评估,将相关环境隐患或不足问题通过专家调研后,提出整改报告,以便于进行后期整改或机房迁移。 16. 业务服务器较多,且均属于对单位较为重要的业务系统环境,务必做好备份及业务系统的容灾规划设计,考虑备用服务器或应急计划,以免业务系统宕机或遭遇其他停机问题,实现最短时间内可恢复业务运行。 17. 针对重要业务系统做好应急响应策略机制,做好备用业务系统环境的搭建和相关测试环境,每年定期进行业务系统的灾难故障应急演练,以便于做到一旦重要业务系统出现问题,及时进行快速应急干预,以便于尽快恢复业务系统的正常运行。 18. 机房核心设备,包括服务器、防护墙、交换机、监控系统等建议做好日志审计设备的配置,同时有必要配备堡垒机(运维审计系统),以便于做好对相关设备的运维和日程运行的行为管控和日志记录,避免不合规操作,同时可以进行事件追溯日志查询。 19. 避免采用非加密的无线网络进行办公、工业系统控制等网络服务,以防止遭遇网络窃听、无线网络入侵、无线网络泄密等问题。同时涉密电脑避免采用无线WIF或蓝牙键盘鼠标等无线设备。 20. 单位确需采用U盘、移动硬盘等移动介质存储调用资料的,应当对相关设备进行标识管理,定期进行检查。采用相关移动存储介质存储涉密文件或重要资料的,建议做好使用登记和设备定期更新的工作。 21. 通过引入安全运维服务团队,定期对公司数据资产进行安全审计,提供信息安全培训等;每年对公司网络进行网络安全测试,数据防泄露测试等,通过相关测试报告,对公司信息安全存在的问题进行整改,规避信息安全问题。 22. 第三位远程运维的远程工具推荐采用向日葵、帮我吧等有追溯记录功能的远程软件系统,推荐部署一台单独的远程服务器,部署好远程客户端,设置好远程录像等参数,进行跳转访问服务器。需要传送文件的,推荐传送到远程服务器的缓冲存储区域或NAS网盘,通过远程服务器的杀毒软件进行检测后再进行相关安装。 23. 企业机房设备较多,且符合进行等保体系测评要求的,推荐进行符合相应级别的等保体系的环境建设,部署必要的安全审计设备和系统,以及相关容灾环境。 24. 老旧业务系统属于仅应用于业务备查的,尽快做好系统虚拟化迁移的工作,以便于后期运维安全,同时也降低了老旧操作系统后期硬件维护的运维难度,相关业务数据也建议做好相关的数据电子归档保存计划,以便于降低对原有老旧系统的依赖程度。 25. 推荐采用运维管理系统监测和协助管理服务器、三层网络设备等基于SNMP协议的可管理设备,提高运维管理的信息管理的效率,及时发现设备的异常情况,也有助于综合管理整体信息化环境,降低运维管理的信息收集难度。 26. 定期组织全员学习《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等信息安全相关法律法规及实际案例,学习信息安全相关预防技巧,做好对数据安全的基本工作规程的贯彻实施工作。 |