中小企业数据资产安全运维建议20200606
1.一般PC终端全面升级到MS-window7-64位企业版,推荐MS-Windows10-64位企业版,或采用Linux桌面系统办公(推荐深度Linux等国产Linux桌面系统)。不符合系统版本要求或性能较低的xp等PC终端尽快淘汰更新,或更换为Linux桌面系统办公(一般适合上网和文档处理)。
2.服务器系统现有Windows系统建议升级到MS-2012R2或2016以上版本,MS-SQL数据库推荐升级到2012R2或更高版本。由于相关应用程序限制不能升级的,做好必要的备份机制和防御设备部署;同时建议考虑迁入到虚拟化环境部署,同时搭配数据库防火墙和数据库备份设备做好防御和备份机制;
3.定期对核心数据进行归档保存(NAS存储设备归档,光盘刻录归档,磁带机归档,移动硬盘归档等多种形式,按3个副本,两种以上介质方式保存),并制定核心数据安全管理备份机制,由专人负责管理执行。
4.核心交换机确保为支持IPV6协议,三层千兆或万兆网管型交换机,PC终端IP段与服务器IP段建议分开,同时与监控系统、无线网络,以及其他IT应用系统都进行网段分隔,以免在同一IP段相互影响。分支交换机推荐更新为支持IPV6协议的网管型交换机,
5.建议外网前端部署硬件防火墙,数据库服务器等核心服务器前端部署IPS和数据库防火墙等防御设备,且需要专业工程师做好相关安全策略,由专人负责每天检查网络安全预警信息,遇到网络安全威胁预警,及时与专业工程师进行沟通处理,最大化降低各类威胁灾害,防患于未然。
6.推荐采用本地部署的企业网盘系统取代本地文档存储和FTP等传统共享存储方式,同时屏蔽常用的445等威胁端口,积极推进以网盘客户端形式使用和传输文件资料,避免U盘传输或局域网通讯工具传输文件,最大化的规避文件中转导致的各类***病毒传播。
7.统一PC终端杀毒工具,每天闲时进行快速查杀病毒,每周定期进行全盘查杀,做好异常问题及时处理的机制;推荐采用有管理端的商业杀毒软件。
8.推荐采用网络打印机作为共享打印机,淘汰原有打印服务器共享打印机的模式,防止勒索软件等通过445等端口侵入造成危害。
9.单位办公电脑做好相关管理制度,禁止随意安装程序,规范现有办公程序,office办公软件推荐使用wps等国产软件,对于允许使用的常用应用程序建立一个规范列表。同时,配备相关上网行为管理设备,对非相关网址进行屏蔽,尤其是可能会遭遇恶意程序的相关类别网址。
10.单位办公电脑避免用U盘传输文件,以免***病毒传播;推荐采用本地部署的企业网盘或内网通等局域网通讯软件传输文件;原有FTP服务器建议尽快转移到新的企业网盘架构上,以便于规避高风险共享访问端口,同时企业网盘系统对文档也能有更好的管理机制。每台办公电脑保存的工作文档,建议配合企业网盘进行数据同步归档,以便于保障数据安全。
11.单位对数据有安全管理要求的,要做好文档密级分类的明确规定,涉密文档应当部署文档安全管控系统和设备,以便于做好文档从创建、传递、打印输出等方面的安全管控审计。
12.对于核心数据较多的部门,建议定期(每月、季度等时间段)做好合适数据的归档查验工作,确保核心数据做好二次备份归档工作;或采用NAS备份服务器、高密度光盘刻录、磁带机等设备进行数据同步归档保存工作。
13.机房服务器及智能化管理设备较多的,建议对现有机房运行环境进行评估,将相关环境隐患或不足问题通过专家调研后,提出整改报告,以便于进行后期整改或机房迁移。
14.机房核心设备,包括服务器、防护墙、交换机、监控系统等建议做好日志审计设备的配置,同时有必要配备堡垒机(运维审计系统),以便于做好对相关设备的运维和日程运行的行为管控和日志记录,避免不合规操作,同时可以进行事件追溯日志查询。
15.避免采用非加密的无线网络进行办公、工业系统控制等网络服务,以防止遭遇网络窃听、无线网络***、无线网络泄密等问题。同时涉密电脑避免采用无线WIF或蓝牙键盘鼠标等无线设备。
16.单位确需采用U盘、移动硬盘等移动介质存储调用资料的,应当对相关设备进行标识,定期进行检查。采用相关移动存储介质存储涉密文件或重要资料的,建议做好使用登记和设备定期更新的工作。
17.通过引入安全运维服务团队,定期对公司数据资产进行安全审计,提供信息安全培训等;每年对公司网络进行网络安全测试,数据防泄露测试等,通过相关测试报告,对公司信息安全存在的问题进行整改,规避信息安全问题。
18.定期组织全员学习《中华人民共和国网络安全法》等信息安全相关法律法规及实际案例,学习信息安全相关预防技巧,做好对数据安全的基本工作规程的贯彻实施工作。中小企业数据资产安全运维建议20200606
原文:https://blog.51cto.com/7001610/2502186