1、游戏公司网络、服务器系统及数据安全管理制度编 制： 审 核： 批 准： 版 本 号: ESZAQDGF001 编 制： 审 核： 批 准： 版 本 号: 1. 网络安全1、所有信息系统内的资源，包括主机操作系统、应用系统、网络设备和安全设备，运维部都应指派专门的运维管理人员，进行日常操作和维护的管理工作，责任到人，保证信息系统的正常运行。2、服务器实行724小时运行。在法定工作日的工作时间应安排具备相应专业技术水平的人员进行值班，遇当月有重大节假日，应根据实际情况提前安排值班表，并通知到值班人员。1.1.操作系统日常操作及维护1、必须严格管理操作系统账号，定期对操作系统账号和用户权限分配进行检2、查，运维管理人员至少每月检查一次，并报运维部主管审核，删除长期不用和废弃的系统账号和测试账号。2、必须加强操作系统口令的选择、保管和更换，系统口令做到：（1）长度要求：8位字符以上；（2）复杂度要求：使用数字、大小写字母及特殊符号混合；l（3）定期更换要求：每90天至少修改一次。3、订阅计算机紧急响应机构的公告或第三方专业安全机构提供的安全漏洞信息的相关资源，及时提醒运维管理人员任何可能影响系统正常运行的漏洞。4、运维管理人员需定期进行安全漏洞扫描和病毒查杀工作，平均频率应不低于每周一次，重大安全漏洞发布后，应在3个工作日内进行上述工作。为了防止网络安全扫描以及病毒查杀对网络性能造成影响，应根3、据业务的实际情况对扫描时间做出规定，需安排在非业务繁忙时段。5、当运维管理人员监测到以下几种已知的或可疑的信息安全问题、违规行为或紧急安全事件系统时，应立即运维主管，同时采取控制措施，并记录工单：a)系统出现异常进程；b)CPU利用率，内存占用量异常；c)系统突然不明原因的性能下降；d)系统不明原因的重新启动；e)系统崩溃，不能正常启动；f)系统中出现异常的系统账户；g)系统账户口令突然失控；h)系统账户权限发生不明变化；i)系统出现来源不明的文件；j)系统中文件出现不明原因的改动；k)系统时钟出现不明原因的改变；l)运行的进程突然中断或重启。流程如图：1.2网络设备安全1.2.1网络、安全设4、备日常操作基本原则（1）操作前通报原则。对设备的任何更改都需要事先通知部门主管，在评估的基础上，经批准才能进行操作。（2）操作前细化步骤。任何修改都需要提前准备操作步骤。对各种更改操作，准备可行的操作步骤，及操作后的验收步骤。对系统的配置和操作要完成相关的操作记录。（3）对所有的操作，要求操作之前充分考虑并能预计操作之后的结果，每次操作都必须主动作好记录，以便事后审核跟踪。（4）操作后测试原则。操作完成后，立即验证是否影响到相关服务正常运行。1.2.2网络及安全设备管理（1）、对网络和安全设备的管理必须经过严格的身份认证和访问权限的授予，认证机制应综合使用多认证方式，如强密码认证+特定IP地址5、认证等。（2）网络和安全设备的用户名和密码必须以加密方式保存在本地和系统配置文件中，禁止使用明文密码保存方式。（3）网络和服务器的配置文件，必须由负责此设备的运维管理人员加密保存，由专人加密留档保存，必须确保配置文件不被非法获取。（5）运维管理人员对网络和安全设备的任何修改，都需要进行备案，对设备的重大修改和配置（如路由调整、系统升级等）必须向运维主管提交设备调整方案，由运维主管审核通过后方可实施。设备的配置和修改必须在非业务时间进行，重大调整必须提前准备应急预案和回退方案。（6）开启网络和安全设备日志记录功能，并将日志同步到集中网管系统上，运维管理人员应定期对日志进行审计分析，至少每月审计一6、次，重点对登录的用户、登录时间、所做的配置和操作做检查。（7）对网络和安全设备的远程维护，建议使用SSH、HTTPS等加密管理方式，禁止使用Telnet、http等明文管理协议。（8）所有网络设备（包含路由器、交换机、服务器、集线器等）均由运维部管理，其安装、维护等操作由运维部人员进行，其他人任何人不得破坏或擅自修改维护。（9）未经许可，任何部门或个人不得私自连接交换机、路由器等网络设备，不得私自接入网络。（10）公司局域网的网络配置信息由运维部统一规划管理，其他任何人不得私自更改网络配置。2. 服务器系统安全2.1应用系统安全日常操作及维护1、新的应用系统在正式上线运行前应由运维管理人员进行7、安全检查，检查通过方能正式运行使用。严禁在不检查或检查未通过的情况下将应用部署到正式环境中。检查的内容包括：a)检查应用系统的软件版本；b)检查应用系统软件是否存在已知的系统漏洞或者其它安全缺陷；c)检查应用系统补丁安装是否完整；d)检查应用系统进程和端口开放情况；e)应用系统安装所在文件夹是否为只读权限；f)检查是否开启应用系统日志记录功能，并启用日志定期备份策略。2、应用系统上线运行后，应经过一段时间的试运行，在试运行阶段，应严密监控其运行情况；当发现应用系统运行不稳定或者出现明显可疑情况时，应立即将事件报告运维主管，并采取相应措施。3、应用系统软件安装之后，应立即进行备份；在后续使用过程8、中，在应用系统软件的变更以及配置的修改前后，也应立即进行备份工作；确保存储的软件和文档都是最新的，并定期验证备份和恢复策略的有效性。4、限定远程管理的用户数量，每设备管理用户不能超过5个；限定远程管理的终端IP地址，设置控制口和远程登录口的超时响应时间，让控制口和远程登录口在空闲一定时间后自动断开，超时响应时间最多不能超过3分钟。 5、网络和安全设备运维人员应定期对所负责的设备进行性能和故障检查，监控设备的CPU、内存、硬盘使用率和网络接口状态等使用情况，确保各设备都能正常工作，如发现异常情况，应立即报告信息管理部信息安全管理员，同时采取控制措施。2.2系统监控为保证认证系统7*24的可靠稳定9、运行，需采用监控工具对整个系统进行全方位的监控，主要包含网络状态、硬件运行状态及系统服务状态等多个方面。1、网络状态主要监控网络的运行情况，如网络进出流量，当前线路质量，检测各种安全事件（入侵、探测、攻击）等等。2、硬件设备状态用情况进行监控，如硬盘空间、CPU使用率、内存占用情况等等，对网络设备如路由器、交换机、负载均衡设备的运行状态进行监控。3、系统服务状态对系统的所有服务进程的状态进行监控，可使用监控工具或脚本工具对服务的端口进行检测，也可通过定时运行模拟业务过程的检测程序对整个系统服务状态进行监测。4、系统监控流程系统的监控目前由安全监控室的运维值班完成，在上述监控内容出现异常时会通过10、监控屏幕及短信进行报警，根据出现的故障级别与故障类型响应处理。值班人员通知上报后依据值班规定完成相关的记录工作。2.3网络病毒安全策略1、运维部对防病毒软件的部署应该做到统一规划，统一部署，统一管理。2、运维部防病毒软件必须统一进行病毒特征库的更新，至少每周进行一次。重大安全漏洞和病毒发布后，应立即进行更新，并在3个工作日内完成所有终端和主机的扫描工作。3、运维管理人员应及时了解防病毒厂商公布的计算机病毒情报，关注新产生的、传播面广的计算机病毒，并了解它们的发作特征和存在形态，及时发现计算机系统出现的异常是否与新的计算机病毒有关。4、运维管理人员应至少每次/月统计病毒报告，以分析历史病毒事件，11、加强安全策略防范。5、新入网的终端及主机，在安装完操作系统后，要在第一时间内安装信息管理部统一部署的防病毒软件；没有安装统一防病毒软件的Windows系统不得接入公司网络；终端及主机不得私自安装非统一部署的防病毒软件。6、所有运维管理人员操作系统上都应装有公司指定的杀毒软件，并开启相应功能。不允许在没有安装杀毒软件的电脑上执行相关服务器的操作。7、服务器上应做相应的安全策略，限制只开启相关服务需要的端口。3. 数据安全3.1数据安全日常操作及维护1、公司内部服务端程序及数据属于保密内容，任何个人或部门不得泄露。拥有重要数据的部门应该及时对数据进行备份，防止数据的丢失；涉及数据备份和恢复的部门要12、指定DBA负责数据备份工作。2、数据备份应根据不同业务制定不同的备份周期和备份策略，存放备份数据的介质必须具有明确的标识。备份数据应定期测试，以确保备份数据的可恢复性。目前采用的策略如下：（1）数据库备份分为7天和30天两套备份方案（2）30天备份方案为每天凌晨4点进行备份，存于本机上和备份机上，对于本机上的数据会自动删除历史数据。（3）30天备份方案为每隔2小时进行备份，存于本机上和备份机上，对于本机上的数据会自动删除历史数据。（4）对于临时需求的备份（临时备份指在特殊情况下，如软件升级，设备更换，感染病毒或更新前的容灾备份等），需由项目组提交申请准予后，由运维管理人员负责备份。（5）对备份13、内容需确保业务数据完整、真实、准确地转储到备份介质上，备份介质需表明备份日期以及相关分类，备份数据应由专人保管。3、备份介质必须归档。备份介质要有业务管理员负责保管工作。4、数据清理前DBA必须对数据进行备份，在确认备份正确后方可进行清理操作。历次清理前的备份数据要根据备份策略进行定期保存或永久保存，并确保可以随时使用。数据清理的实施应避开业务高峰期，避免对联机业务运行造成影响。5、数据恢复前，DBA必须对原环境的数据进行备份，防止有用数据的丢失。数据恢复过程中要严格按照数据恢复手册执行。数据恢复后，必须进行验证、确认，确保数据恢复的完整性和可用性。6、数据的备份、恢复、转出、转入的权限都应严格控制。严禁未经授权将数据备份出系统，转给无关的人员或单位；严禁未经授权进行数据恢复或转入操作。当存储过重要数据的存储介质报废时应由专业技术人员进行物理性销毁。7、建立双备份制度，对重要资料除在服务器存储外，外应拷贝到其他介质上，以防遭病毒损坏而遗失。8、涉密文件和资料备份应严加控制。对管理权限应严格控制，未经允许禁止私自复制、转储。9、对新上线的业务运行时应做好系统的完全备份，根据业务频率和数据的重要程度做好增量备份。