第一篇:服务器安全评估标准
服务器安全评估标准
国外标准
国外对于计算机安全问题的评估标准较多,比较著名的是1983年美国国防部提出的《可信计算机评估标准》TCSEC(Trusted Computer System Evaluation Criteria),又称桔皮书。TCSEC根据以下几个方面进行安全性评估:
(1)安全策略:必须有一个明确的、确定的由系统实施的安全策略;
(2)识别:必须惟一而可靠地识别每个主体,以便检查主体/客体的访问请求;
(3)标记:必须给每个客体(目标)作一个“标号”,指明该客体的安全级别。这种结合必须做到对该目标进行访问请求时都能得到该标号以便进行对比;
(4)可检查性:系统对影响安全的活动必须维持完全而安全的记录。这些活动包括系统新用户的引入、主体或客体的安全级别的分配和变化以及拒绝访问的企图;
(5)保障措施:系统必须含实施安全性的机制并能评价其有效性;
(6)连续的保护:实现安全性的机制必须受到保护以防止未经批准的改变。
根据以上六条要求,“可信计算机系统评估准则”将计算机系统的可信程度(安全等级)划分成四大类(D、C、B、A),七个小类(D、C1、C2、B1、B2、B3、A)。具体标准内容如表2.3所示。表2.3 安全评估标准
类 别 名 称 主 要 特 征
A1 可验证的安全设计 形式化的最高级描述和验证,形式化的隐秘通道分析,非形式化的代码一致性证明
B3 安全域机制 安全内核,高抗渗透能力
B2 结构化安全保护 设计系统必须有一个合理的总体设计方案,面向安全的体系结构,遵循最小授权原则,较好的抗渗透能力,访问控制应对所有的主体和客体进行保护,对系统进行隐蔽通道分析
B1 标号安全控制 除了C2级的安全需求外,增加安全策略模型,数据标号(安全和属性),托管访问控制
C2 受控的访问控制 存取控制以用户为单位,广泛的审计。如Unix、Windows NT等
C1 选择的安全保护 有选择的存取控制,用户与数据分离,数据的保护以用户组为单位
D 最小保护 保护措施很少,没有安全功能。如DOS、Windows等
(1)D级。D级是最低的安全保护等级。这个级别的操作系统就像一个门户大开的房子,任何人可以自由进出,是完全不可信的。对于硬件来说,是没有任何保护措施,操作系统容易受到损害,没有系统访问限制和数据访问限制,任何人不需任何账户就可以进入系统,不受任何限制就可以访问他人的数据文件。属于D级的操作系统有:DOS、Windows 3.x、Apple的Macintosh System7.1。
(2)C级。C级有两个安全子级别:C1和C2。
① C1级。又称选择性安全保护系统,这在Unix系统中比较典型。这种级别的系统对硬件有某种程度的保护,即每个用户都有账号和口令,系统通过账号和口令来识别用户是否合法,并决定用户对程序和信息拥有什么样的访问权。但硬件受到损害的可能性仍然存在。
C1级支持对文件进行权限设置,如读(read)、写(write)、执行(execute)等权限。文件的拥有者和超级用户(root)可以改动文件中的访问属性,从而对不同的用户给予不同的访问权,例如,让文件拥有者有读、写和执行的权力,给同组用户读和执行的权力,而给其他用户以读权限。另外,许多日常的管理工作由根用户(root)来完成,如创建新的组和新的用户。根用户(root)拥有很大的权力,如同Windows NT中的Administrator用户。所以它的口令一定要保存好,不要
多人共享。
C1级保护的不足之处在于根用户(root)的设置。如果某个用户以根用户进入系统,他就可以将系统中的数据任意移走,可以控制系统配置,获取比系统管理员允许的更高权限,如改变和控制用户名。因此,从某种意义上来讲,在拥有C1级的操作系统中,硬件受到损害的可能性仍然存在。
② C2级。除了C1包含的特征外,C2级别还包含有访问控制环境。该环境具有进一步限制用户执行某些命令或访问某些文件的权限,而且还加入了身份验证级别。另外,系统对发生的事件加以审计,并写入日志当中,如何时开机,哪个用户在什么时候从哪儿登录等等,这样通过查看日志,就可以发现入侵的痕迹,如多次登录失败,也可以大致推测出可能有人想强行闯入系统。审计可以记录下系统管理员执行的活动,审计还加有身份验证,这样就可以知道谁在执行这些命令。审计的缺点在于它需要额外的处理器时间和磁盘资源。
使用附加身份认证就可以让一个C2系统用户在不是根用户的情况下有权执行系统管理任务。授权分级使系统管理员能够给用户分组,授予他们访问某些程序的权限或访问分级目录。另一方面,用户权限可以以个人为单位授权用户对某一程序所在目录进行访问。如果其他程序和数据也在同一目录下,那么用户也将自动得到访问这些信息的权限。
能够达到C2级的常见操作系统有:Unix系统、XENIX、Novell3.x或更高版本、Windows NT。
(3)B级。B级中有三个子级别:B1级、B2级和B3级。
① B1级。即标志安全保护。它是支持多级安全(比如秘密和绝密)的第一个级别,这个级别说明一个处于强制性访问控制之下的对象,系统不允许文件的拥有者改变其许可权限。
一般而言,政府机构和防御系统承包商们是B1级计算机系统的主要拥有者。
② B2级。又称结构保护,要求计算机系统中所有的对象都加标签,而且给设备(磁盘,磁带和终端)分配单个或多个安全级别。这是较高安全级别的对象与另一个较低安全级别的对象相互通信的第一个级别。
③ B3级。又称安全区域保护。它使用安装硬件的方式来加强安全区域保护。例如,内存管理硬件用于保护安全区域免遭无授权访问或其他安全区域对象的修改。该级别要求用户通过一条可信任途径连接到系统上。
(4)A级。又称验证设计,这是当前的最高级别,包括了严格的设计,控制和验证过程。与前面提到的各级别一样,这一级别包含了较低级别的所有特性。设计必须是从数学角度上经过验证的,而且必须进行秘密通道和可信任分布的分析。这里,可信任分布的含义是,硬件和软件在物理传输过程中已经受到保护,以防止破坏安全系统。
在上述七个级别中,B1级和B2级的级差最大,因为只有B2、B3和A级,才是真正的安全等级,它们至少经得起程度不同的严格测试和攻击。目前,我国普遍应用的计算机,其操作系统大都是引进国外的属于C1级和C2级产品。因此,开发我国自己的高级别的安全操作系统和数据库的任务迫在眉睫,当然其开发工作也是十分艰巨的。
计算机操作系统的评价准则的建立不仅对于评价、监察已经运行的计算机系统的安全具有指导意义,而且对于研究、设计、制造和使用计算机系统,确保其安全性具有十分重要的意义。
国内标准
公安部主持制定、国家技术标准局发布的中华人民共和国国家标准GB17895-1999《计算机信息系统安全保护等级划分准则》已经正式颁布,并于2001年1月1日起实施。该准则将信息系统安全分为5个等级:
l 自主保护级
l 系统审计保护级
l 安全标记保护级
l 结构化保护级
l 访问验证保护级
主要的安全考核指标有身份认证、自主访问控制、数据完整性、审计、隐蔽信道分析、客体重用、强制访问控制、安全标记、可信路径和可信恢复等,这些指标涵盖了不同级别的安全要求。
另外还有《信息处理系统开放系统互联基本参考模型第2部分安全体系结构》(GB/T 9387.2 1995)、《信息处理数据加密实体鉴别机制第I部分:一般模型》(GB 15834.1-1995)、《信息技术设备的安全》(GB 4943-1995)等
第二篇:服务器托管标准合同
服务器托管标准合同
甲方:
乙方: 佳木斯海讯网络科技有限公司
根据《中华人民共和国合同法》和其它相关法律的规定,甲乙双方就乙方为甲方实现数据专线接入INTERNET及提供INTERNET网络服务事宜,达成如下协议,共同遵照执行:
第一条 如无特别说明,下列用语在本协议中的含义为:
(一)“网络持续联通”是指:放置在网络数据中心的服务器与“ChinaNet”持续连接,且互联网络用户可通过相关终端设备与之通信。
(二)“网络持续联通中断”是指:放置在网络数据中心的服务器与“ChinaNet”连接中断,互联网络用户不能通过相关终端设备与之通信。
(三)“电力持续供应”是指:乙方的电力系统(市电及不间断电源系统)可持续为客户的 网络设备提供电力供应。
(四)“电力持续供应中断”是指:乙方的电力系统(市电及不间断电源系统)不能持续为客户的网络设备提供电力供应。
(五)“不可抗力”是指:
1、地震、台风、洪水、雷电等自然灾害;
2、战争、罢工、停电、政府行为;
3、电信线路被人为破坏或CHINANET的线路、设备因调试、扩容所引起的中断;
4、其它甲乙双方不能预见、不能避免的情形;
5、因Y2K问题、黑客、病毒、电信部门技术调整等引起的事件;
6、由于Internet上通路的阻塞造成甲方服务器访问速度下降,甲方均认同是正常情况。
(六)“客户”指甲方
第二条 服务内容
(一)甲方托管一个____________________________________,甲方将其客户及其附属设备,放置到乙方服务器内,以开展Internet 信息服务。
(二)为了保证甲方经营活动的正常开展,乙方提供100M共享带宽、分配给甲方使用。
(三)乙方为甲方免费提供_______个IP地址,乙方为甲方单独付费提供_______个IP地址。
(四)甲方在乙方机房内所放置设备,甲方设备最大流量不得超过_______兆,如果超过此最大流量,乙方有权暂停甲方使用网络,直到甲方将网络调试到不超过最大流量的带宽的标准方可继续开通网络使用等各项功能。
第三条 甲方的权利和义务
(一)有权通过远程系统对被服务器进行配置、管理以及更新内容等操作。
(二)授权乙方对信息服务器进行日常维护工作和设备的安全管理,以保证甲方信息服务器的正常运行。
(三)甲方应向乙方提供单位的相关证明或本人身份证复印件,留为备案。
(四)根据本合同的约定,及时履行付款义务。
(五)甲方的技术人员在严格遵守乙方的《数据中心管理办法》并办理相关手续的前提下,可以进入乙方数据中心机房相应的客户区域进行服务器的日常维护管理工作。
1、提前与乙方数据中心机房网管人员预约;
2、持有乙方数据中心机房的出入证件;
3、办理登记手续,离开时填写离开时间;
(六)甲方的信息经营必须遵守《中华人民共和国计算机信息网国际联网暂行规定》和其它有关法律、法规、规章,不得从事任何违法经营活动。因甲方的信息内容而引起的一切政治责任、法律责任、经济纠纷,乙方均不承担任何责任。
(七)甲方承诺含有下列内容的信息不进入网络:
1、涉及国家秘密和安全的信息内容。
2、涉及封建迷信,淫秽色情的信息内容。
3、违反国家民族政策和宗教政策的信息内容。
4、其它有损于社会秩序,社会治安,社会公共道德和侵害他人合法权益的信息内容。
(八)甲方委托乙方管理的信息服务器设备应符合邮电公用通信网络的各项技术接口指标和终端通信的技术标准、电信特性、通信方式等。由于甲方设备引起的任何法律纠纷、经济纠纷,乙方不承担任何责任。
(九)除非经乙方书面同意,甲方不得将本协议的权益转让给第三方。
第四条 乙方的权利义务
(一)提供放置信息服务器所需的标准机房环境,包括:照明系统、电力系统、恒温恒湿系统、服务器系统安全等。
(二)提供实现服务器托管业务所需的标准网络环境,包括标准交换机接口、互联网络出口、空间环境等,并配备专业的网管工程师为甲方提供服务。
(三)保证甲方的服务器设备可持续获得电力供应,每月持续电力供应时间在99%以上。
(四)负责甲方信息服务器的日常维护和设备的安全管理,以保证客户信息服务器的正常运行。
(五)在甲方技术人员严格遵守乙方制定的《数据中心管理办法》、并办理相关手续的前提下,同意其进入数据中心机房相应的客户区域进行甲方服务器的日常维护管理工作。
(六)向甲方提供每天24小时,一年365日全天侯技术支持响应;
1、服务器系统状态监测
2、紧急情况通知
3、授权下的服务器操作
第五条 合同有效期
本合同有效期为______年,从______年______月______日至______年______月______日止。
第六条 费用和结算
(一)本合同涉及的费用为:
(2)服务器托管费______元/年;
(3)其它:
(二)付款时间及方式:
1、付款: 本合同签订生效后________个工作日内,甲方应将托管费________元、IP地址占用费________元、其他费用________元,合计人民币________元,大写________________元整交付乙方。
第七条 违约责任
(一)甲方未在约定的期限内履行付款义务,乙方有权暂停履行自己的所有义务,直至甲方付款为止,并有权要求甲方承担付款额20%的违约金。
(二)因乙方原因,使甲方的服务器与网络持续联通中断时间每月超过180分钟但低于360分钟时,乙方将给甲方延长一天的使用时间;当甲方服务器与网络持续联通中断时间每月超过600分钟时,乙方将给甲方延长三天的使用时间。
(三)因乙方原因,使甲方的服务器设备的电力中断时间每月超过180分钟时,乙方应免费给甲方延长一天的使用时间。
(四)甲方迟延履行付款义务,每迟延一日,应向乙方支付应付款百分之三的违约金,并以此累计。
(五)如人为原因造成长时间服务器中断,乙方应立即协助甲方与IDC机房联系处理。
第八条 关于免责的约定
(一)甲方服务器与网络持续联通中断,是因以下原因造成时,乙方不负赔偿责任:
1、甲方服务器的软件故障(系统故障、软件升级、系统维护)造成的网络联通中断或甲方硬件设备所造成的网络联通中断;
2、甲方要求乙方人员维护机器(系统重新启动、软件服务终止等)造成的网络联通中断;
3、甲方网络管理人员远程或现场维护失败所造成的网络联通中断;
4、“ChinaNet”的骨干网络升级所造成的网络联通中断;
5、不可抗力所造成的网络联通中断;
(二)甲方认同:电力供应中断是因以下原因造成时,乙方不负赔偿。
1、甲方的服务器设备不符合邮电公用通信网络的技术接口指标、终端通信的技术指标、电器特性、通信方式所造成的电力供应中断;
2、甲方网络设备的异常和软硬件故障;
3、甲方网络管理人员对其服务器应用时的操作失误;
4、因不可抗力所造成的甲方网络设备电力供应中断;
5、乙方数据中心所在电力供应单位的长时间市电中断;
6、乙方的电力设备扩容所造成的电力供应中断(乙方应在扩容前两周通知甲方电力中断的时间)
7、由于甲方的疏忽,造成所提供的指定联系人的联络信息已经过时、不准确,或因其它不可抗力的原因而无法联络甲方时,乙方将解除紧急状态通报服务。
(三)由于不可抗力造成的甲方设备损坏,乙方将不予赔偿。
(四)甲乙双方认同:Internet 是全球性互联网络,因其它通路上的偶然阻塞,都有可能造成客户的访问速率下降;有时在对服务器进行设置或安装应用程序时可能会产生一段时间的中断,以上现象在任何服务器上都有可能产生,是属正常现象。
(五)当甲方服务器流量超过乙方IDC机房所限定100M共享独立IP地址最大带宽时,乙方IDC机房有权中断甲方服务器的网络连接服务(或限制甲方服务器网络流量)直到甲方服务器流量符合乙方IDC机房规定的最大流量标准为止,乙方IDC机房规定的最大流量限制随国家规定及IDC机房规定有所调整,具体流量限制条款以机房规定为准,甲、乙双方均表示认同,对此产生的损失乙方不负责任何赔偿责任。
(六)甲、乙双方均服从IDC机房根据自身规定调整IP地址(网关、DNS服务器地址)及托管服务器的机柜位置。
(七)如甲方服务器放置违反国家法律法规及互联网管理条例的内容时(包括:利用服务器发送垃圾邮件、发布反动言论、放置未经授权的文字及图片、视频、音频资料等)乙方将配合IDC机房及有关部门追究甲
方责任,并根据IDC机房及有关部门规定停止其服务器运行,中断其网络连接,所产生的托管剩余时间及款项乙方不予退还。
第九条 相互联系的确认
乙方客户服务热线: 0454-8695234
机房技术排除热线:0454-8695234
传真:0454-8695234
E-mail: gzining@126.com
Web: http://
客户服务中心办公地址:佳木斯海讯网络科技有限公司
电话:0454-8695234
邮编:154002
第十条 甲方联系人的权利
(一)本合同确定的联系人,视为甲方书面指定的授权人,其有权以书面形式,委托乙方的工程师对其服务器进行操作。
(二)书面授权必须有甲方授权人的签字。当出现紧急情况,甲方授权人无法以书面形式授权时,可以通过电话向乙方工程师授权,电话内容将被录音,操作完成后需补交书面授权书。
第十一条 协议的解除
(一)出现不可抗力事件,致使本合同无法继续履行的,甲乙双方中的任何一方均可解除本合同,并及时以书面形式通知对方。
(二)甲方拖欠乙方的托管费达15天,乙方有权解除本合同。
(三)双方协商同意,可以解除本合同。
(四)甲方根据自身业务发展,确需终止本合同,但需提前一个月向乙方提出书面终止申请,乙方自收到甲方书面申请的日期起停止提供服务。
第十二条 纠纷解决方式
本合同履行过程中,如发生争议,由双方友好协商解决,协商不成时,任何一方可向甲方所在地人民法院提起诉讼。
第十三条 其它
(一)除非得到客户的书面通知,本合同履行到期后,将自动顺延12个月,并以此类推。顺延后本合同条款将自动保留原有的法律效力。
(二)本合同履行过程中,如果甲方需求发生变更(仅限于线路升级、扩容、或其它网络修改),应与乙方签署补充协议。
(三)如因法律法规的变更或其它政府行为,导致本合同部分条款无效的,合同中的其它条款仍然有效,甲乙双方应依照公平合理、互惠互利的原则,就无效内容另行签订补充协议。
(四)本合同签订前,双方之间达成的书面或口头协议,如与本合同内容有冲突之处,均以本合同内容为主。
(五)本合同一式四份,甲持一份,乙方持三份,具有同等法律效力。
(六)本合同适用中华人民共和国法律,使用中文书写。
甲方:联 系 人:
盖章(单位代理):联系电话:
授权代表签字(单位代理):传真:
联系地址:
本人签名(个人代理):邮政编码:
身份证号(个人代理):电子邮件:
网址:
―――――――――――――――――――――――――――――――――――――――――――――― 乙方:盖章:
代表签字:身份证号:
年月日
第三篇:银行业金融机构安全评估标准
银行业金融机构安全评估标准
为全面、客观的反映银行业金融机构的安全防范情况,量化安全检查工作,确保安全检查的实效性,制定本标准。本标准共为九部分,根据项目设定分值,总分100分。对不符合标准的酌情减分(每个项目扣完为止)。具体评分标准如下:
一、营业场所安全(20分)
检查方法:实地检查营业厅、监控室人防、物防、技防设施,对照检查相应的安防检测报告、营业场所周边环境状况,检查录像回放质量。
(一)物防设施(10分)
1、二层以下窗户未安装护栏或其他安全设施的扣0.5分;
2、与外界相通出入口未安装防盗安全门的扣0.5分;
3、金属防护门锁具不符合要求的扣0.5分;
4、场所周边、围墙防护不严密的扣0.5分;
5、现金业务取出入口未安装防尾随用缓冲式电控联动门的扣3分;
6、现金出纳柜台结构不符合要求的扣3分;
7、现金出纳柜台宽度或高度不符合要求的扣0.5分;
8、现金出纳柜台上方未安装透明防护板或安装的透明防护板无检测合格报告的扣3分;
9、现金出纳柜台上方透明防护板长、宽、高、面积及其以上封顶不符合要求的扣3分;
10、现金出纳柜台的台面设置收银槽长、宽、高不符合要求的扣0.5分;
11、营业场所未建卫生设施的扣0.5分;
12、计算机房(室)未安装防盗门的扣0.5分;
13、计算机房(室)未安装出入口控制装置的扣0.5分;
14、未配备自动应急照明设备或自动应急照明设备失灵的扣0.5分;
15、未配备消防器材或消防器材失效的扣0.5分;
16、未配备自卫器材的扣0.5分。
(二)技防设施(10分)
1、监控设备
(1)营业场所与外界相通的出入口未安装监控设备的扣0.5分;
(2)营业场所门前区域未安装监控设备的扣0.5分;(3)现金业务区未安装监控设备的扣3分;(4)营业场所内设置的自助机具未安装监控设备的扣0.5分;
(5)运钞交接区未在监控范围内的扣3分;(6)非现金业务区未安装监控设备的扣0.5分;(7)场所内人员活动情况未在监控范围内的扣0.5分;(8)营业场所视频监控系统不是数字录像设备的扣1分;
(9)视频监控系统不能显示现金支付交易全过程的柜员操作和客户脸部特征的扣2分;
(10)视频监控系统不能辨别进出营业场所人员的体貌特征的扣1分;
(11)录像资料保存不到30天的扣2分。
2、报警及其他技防设施
(1)在已具备联网条件的地区,未安装与公安机关110联网的紧急报警装置的扣3分;
(2)二级风险以上单位枪弹库、计算机房(室)未安装入侵报警装置的扣0.5分;
(3)一级风险单位现金业务柜台未安装连续记录的声音复核装置的扣1分;
(4)一级风险单位与外界相通出入口未安装入侵报警装置或入侵报警装置不能及时准确报告入侵异常事件的扣1分;
(5)一级风险单位的入侵报警装置不具备与照明、视频安防监控及声音复合设备联动功能的扣1分;
(6)入侵报警装置没有记录打印功能的扣0.5分。
二、金库安全(10分,保管箱库参照执行)检查方法:实地检查金库物防技防设施,对照检查相应的安防检测报告,检查录像回放质量,制度、预案、出入登记等有关资料。
1、库房结构(墙、顶板、底板)六面非主体钢筋混凝土浇筑的扣0.5分;
2、通风、防水系统不合格的扣0.5分;
3、金库门不符合标准的扣3分;
4、金库外隔离门不符合标准的扣0.5分;
5、库区未安装2种以上探测原理的入侵探测器或入侵探测器不能准确探测报警区域内门、窗、通道等重点部位入侵事件的扣2分;
6、在已具备联网条件的地区,库区未安装与公安机关110报警服务台相连的紧急报警装置的扣2分;
7、启动紧急报警装置时不能同时启动现场声、光报警装置的扣1分;
8、守库室出入口未安装防盗安全门和可视/对讲装置的扣0.5分;
9、守库室内未安装视频安防监控装置的扣0.5分;
10、守库室设置方位不能有效控制金库出入通道的扣0.5分;
11、无人值守的业务库未安装声音复核装置的扣1分;
12、无人值守的业务库安防系统不能实现远程报警以及图像、声音等信息的传输监控扣1分;
13、一级风险单位守库室未设卫生设施的扣1分;
14、未执行双人守库(含远程监控异地守库)规定的扣1分;
15、使用枪支守库的,守库员使用枪支不熟练及违反枪支弹药管理规定的扣1分;
16、业务库清点室未安装视频安防监控装置或者视频安防监控装置不能清晰显示工作人员操作情况的扣0.5分;
17、消防系统不达标的扣0.5分;
18、没有处置突发事件预案或责任分工不明确的扣0.5分;
19、守库员对预案分工不熟悉的扣0.5分;
20、业务库无日常安全检查记录或记录不完整的扣0.5分。
三、运钞安全(10分)
检查方法:检查运钞车车况,押运人员工作状态,制度、预案、登记记录等有关资料。
1、自有专用运钞车使用率达100%或全部租用专业公司运钞的不扣分;自有专用运钞车使用率达90%以上不到100%的扣0.2分;自有专用运钞车使用率达到70%以上不到90%的扣0.5分;自有专用运钞车使用率达到50%以上不到70%的扣0.7分;自有专用运钞车使用率不足50%的扣1分。
2、自有运钞车未制定押运途中突发事件处置预案的扣0.5分;
3、押运员不熟知突发事件处置预案、责任分工不明确的扣0.5分;
4、押运员押运过程操作行为不规范或警惕性不高的扣0.5分;
5、运钞交接登记手续不齐全的扣1分;
6、押运员不穿防弹衣、不戴头盔的扣1分;
7、押运员警戒站位不合理的扣0.5分;
8、长途(大宗款项)押运没有护卫车的扣2分;
9、运钞车交接款停靠位置不合理的扣0.5分;
10、运钞停靠及交接款过程不能够全程录像的扣2分;
11、运钞车内无通讯设备的扣1分;
12、押运过程中司机下车,车辆熄火的扣0.5分。
四、自助机具、自助银行防范能力(10分)
检查方法:实地检查自助机具、自助银行物防技防设施,对照检查相应的安防检测报告,检查录像回放质量。
(一)自助机具防护
1、未安装防砸、防撬报警探测装置的扣1分;
2、不具备报警联动及报警联网功能的扣1分;
3、没有按照数字视频安防监控装置的扣2分;
4、监控设施不能看到操作人员的面部、出钞口及装钞过程的扣1分;
5、回放录像不能清晰显示操作人员面部特征的扣1分;
6、远程报警、图像、声音等信息传输不符合要求的扣1分。
(二)自助银行防护(除满足上述条件外还应满足)
1、装填现金区未安装入侵报警探测装置且不具备报警联动功能的扣1分;
2、回放图像不能看清进出人员体貌特征的扣1分;
3、未安装出入口控制装置,对装填现金区出入口未实施控制的扣1分;
4、自助银行门前及运钞车停放区域未安装监控设施的扣1分。
五、内部消防安全(10分)
检查方法:实地检查消防设施,查看相关资料。
1、没有建立领导负责的逐级防火责任制的扣0.5分;
2、没有逐级防火负责人职责、没有岗位防火责任人的扣1分;
3、没有为本单位的消防安全提供必要的经费和组织保障的扣1分;
4、职工不知道岗位责任区和岗位防火任务的扣0.5分;
5、没有专职或兼职的防火安全人员的扣1分;
6、没有群众性的义务消防队和必要的消防器材设备的扣0.5分;
7、没有建立健全各项消防安全制度的扣0.5分;
8、未配备符合国家规定的消防设施的扣1分;
9、不能保证消防设施、灭火器材完好有效的扣1分;
10、不能保证消防疏散通道畅通的扣1分;
11、没有贯彻执行消防安全制度情况记录的扣1分;
12、对火灾隐患不能及时发现或发现后未及时消除的扣0.5分;
13、不组织开展经常性的消防安全宣传教育和培训的扣0.5分;
14、未制定灭火和应急疏散预案并组织演练的扣1分;
15、消防安全重点单位未建立健全消防档案的扣1分。
六、计算机安全(10分)
检查方法:是的查看相关设施、设备和记录,询问工作人员。
1、数据处理中心计算机机房(室)在建筑物内没有设置为独立区域的扣2分;
2、没有专人值守、记录出入人员情况的扣2分;
3、防火、防水、防盗、监控、报警等设施不健全的扣2分;
4、系统不具有备份机,以便故障时切换使用的扣2分;
5、无备用电源或备用电源处于不良备用状态的扣2分;
6、没有设立专职或兼职的计算机信息系统安全管理人员的扣2分;
7、机房工作人员不熟知灭火、防水等有关操作的扣1分;
8、没有专门的设备档案备查资料的扣1分;
9、不能及时更换计算机的口令或密钥的扣2分;
10、员工不熟悉、不掌握突发事件预案分工的扣1分;
11、物防雷接地等必要防护的扣2分;
12、无机房专用灭火设施的扣2分;
13、县级金融机构没有成立计算机信息系统安全保护领导小组的扣1分;
14、发生计算机犯罪案件未向公安机关及时报告的扣1分。
七、案件方法能力(10分)
检查方法:听取汇报,查看相关资料。
1、没有对员工进行法律法规教育以及业务规范学习相关记录的扣1分;
2、二年内有内部人员违法犯罪,且违法犯罪行为与其职务有直接联系的扣1分;
3、员工业务不熟练,未能准确鉴别票据等真伪,引发案件的扣1分;
4、不具备身份证件真伪识别能力且无相关真伪识别装置的扣1分;
5、员工之间分工、复核制度不落实的扣1分;
6、无防范案件预案或员工对涉及本岗位的防范案件预案不熟悉的扣1分;
7、保卫部门未将各类案件及时通报公安机关和相关部门的扣2分;
8、未将各类案件的情况、特点向员工及时通报的扣0.5分;
9、不严格执行有关业务操作安全的各项规章制度、各项业务操作程序不规范的扣1分;
10、未开展安全检查、考核、评比工作,奖罚不分明的扣1分。
八、枪支弹药管理安全(10分)检查方法:实地检查,听取汇报。
1、未明确枪支管理责任,未制定专人负责的扣1分;
2、没有牢固的专用枪支保管设施,不实行双人管理的扣2分;
3、枪支、弹药没有分开存放的扣2分;
4、未建立严格的枪支登记、交接、检查、保养等管理制度的扣1分;
5、枪弹使用完毕,未及时收回的扣1分;
6、用枪人员未经过专门培训的扣1分;
7、携带枪支时未携带持枪证件的扣2分。
九、其他(10分)
检查方法:听取汇报,查看相关资料。
1、单位领导不重视安全保卫工作,没有领导班子成员分管的扣0.5分;
2、未按时签订各级治安保卫责任书的扣1分;
3、未成立专(兼)职保卫机构的扣0.5分;
4、未配置专(兼)职保卫人员的扣1分;
5、未能保证安全防范建设资金投入的扣0.5分;
6、未建立对安全保卫人员相关的奖惩机制的扣0.5分;
7、员工不能熟练操作自卫器材的扣0.5分;
8、营业场所无日常安全检查记录的扣0.5分;
9、一年内没有组织防抢劫演练的扣0.5分;
10、对公安机关、银监部门和上级单位日常检查指出的问题未及时整改的扣1分;
11、各类安全防范规章制度不健全的扣0.5分;
12、各类处置突发事件预案不健全的扣0.5分;
13、员工不了解安全防范制度的扣0.5分;
14、员工不熟悉应急预案规定的处置方法的扣0.5分;
15、近二年内发生可防性内、外盗案件的扣2分;
16、近二年内发生可防性抢劫既遂案件的扣3分;
17、近二年内发生可防性诈骗案件的扣2分;
18、近二年内有员工因操作风险造成伤亡的扣2分。
第四篇:银行业金融机构安全评估标准
银行业金融机构安全评估标准
一、营业场所安全(15分)
检查方法:实地检查营业场所物防技防设施、营业场所周边状况,检查录像回放质量。
(一)物防设施(8分)扣分项总和为19分,权重0.42。
1、二层以下窗户未安装金属防护栏或未采取相应防护措施(如安装具有防弹、防爆功能的透明防护屏障和入侵探测装置等)的扣0.5分;
4、场所外有围墙但未安装防止爬越的障碍物或周界报警装置的扣0.5分;主要检查围墙高度和防爬障碍物。
6、现金出纳柜台未采用砖石或钢筋混凝土结构(因楼面承重等原因经公安机关主管部门批准采用其他建筑方式的除外),柜台高度低于800mm、宽度小于500mm的扣3分;主要检查柜台长宽。
9、现金业务柜台的台面设置或收银槽长、宽、高不符合要求的扣0.5分;收银槽长30宽20高15。
10、营业场所未建卫生设施的扣0.5分;(高月路无)
11、未配备自动应急照明设备或自动应急照明设备失灵的扣0.5分;现场测试。
12、未配备自卫器材的扣0.5分。要检查灭火枪的使用情况。
(二)技防设施(7分)扣分项总和为17.5分,权重0.4。
1、监控设备(独秀、营业部为二级)
(1)二级以上风险营业场所与外界相通的出入口未安装视频监控装置的扣1分;
(2)二级以上风险营业场所现金业务区未安装监控装置的扣3分;
(3)二级以上风险营业场所非现金业务区未安装监控装置,不能实时监视营业室内人员活动情况的扣1分;
(4)二级以上风险营业场所现金业务区视频监控系统不能实时监视、记录现金支付交易全过程,回放图像不能清晰显示柜员操作和客户脸部特征的扣2分;
(5)二级以上风险营业场所出入口视频监控系统的回放图像不能清晰分辨出入大门人员体貌特征的扣1分;
(6)录像资料保存不到30天的扣2分。
2、报警及其他技防设施
(1)具备与公安110报警服务台报警联网条件尚未安装与公安机关110联网的紧急报警装置的扣3分;检查“110”和总行联网监控报警按钮。
(2)现金业务区未安装2路以上(含2路)独立防区的紧急报警装置的扣2分;
三、自助设备、自助银行安全(15分)
检查方法:实地检查自助设备、自助银行物防技防设施建设情况,检查监控录像回放质量等。
(一)自助设备安全(6分)扣分项总和为8分,权重0.75。
1、未安装报警装置(在行大堂式除外)或不能对撬盗和破坏事件进行探测报警的扣0.5分;
2、视频监控装置不能对交易时客户的正面图像、进/出钞和现金装填过程的图像进行实时录像的,每存在一项扣0.5分;
3、回放图像不能清晰辨别客户的面部特征、进/出钞过程、现金装填过程操作人员活动情况的,每存在一项扣0.5分;
五、消防安全(10分)扣分项总和为14分,权重0.71。
检查方法:实地检查消防设施,查看相关资料,询问有关人员。
10.5分;
2扣1分;
40.5分;
70.5分;
9、不能保证消防设施、灭火器材完好有效的扣1分;灭火器的有效期和是否空罐。
11扣1分;
130.5分;
14、未制定灭火和应急疏散预案并定期组织演练的扣1分;
151分;
八、案件防范(10分)扣分项总和为15.5分,权重0.65。
检查方法:听取汇报,查看相关资料。
12次的扣0.5分;
6、未执行身份证联网核查制度或无相关真伪识别装置的扣0.5分;
7的扣1分;
9、未及时向员工开展案例警示教育的扣0.5分;查是否学习了案件通报。
10、不严格执行有关业务操作安全的各项规章制度、各项业务操作程序不规范的扣1分。
九、安全保卫基础工作(10分)扣分项总和为22分,权重0.45。检查方法:听取汇报,调阅资料,询问有关人员。
1、单位负责人未定期召开会议研究安全保卫工作,查找安全防范工作隐患并研究解决问题,(重点查)的扣2分;
5、未建立保卫工作考核、评比和奖惩机制的扣2分;
6、未开展安全检查、考核、评比工作,奖罚不分明的扣1分;
72分;
81分;值班、守库、枪弹交接、押运、消防、查岗、出入门管理、金库门钥匙管理、安全设施管理、监控设备管理、ATM机管理、款项(箱)交接管理等各项安全防范规章制度,91分;防抢、防盗、防火预案
100.5分;元月份签订。
11、0.5分;安全员日志及安全检查记录簿。
14、员工不能熟练操作本岗位所需掌握的自卫器材和消防器材扣的0.5分;
15、员工不了解安全防范制度的扣0.5分;
16、员工不熟悉本岗位应急预案及处置方法的扣0.5分。
第五篇:服务器安全总结
一、系统的安装
1、按照Windows2003安装光盘的提示安装,默认情况下2003没有把IIS6.0安装在系统里面。2、IIS6.0的安装
开始菜单—>控制面板—>添加或删除程序—>添加/删除Windows组件
应用程序 ———ASP.NET(可选)
|——启用网络 COM+ 访问(必选)
|——Internet 信息服务(IIS)———Internet 信息服务管理器(必选)
[医学教育网整理发布]
|——公用文件(必选)
|——万维网服务———Active Server pages(必选)
|——Internet 数据连接器(可选)
|——WebDAV 发布(可选)[医学教育网整理发布]
|——万维网服务(必选)
|——在服务器端的包含文件(可选)
然后点击确定—>下一步安装。(具体见本文附件1)
3、系统补丁的更新
点击开始菜单—>所有程序—>Windows Update
按照提示进行补丁的安装。
4、备份系统
用GHOST备份系统 资料来源 :医 学 教 育网。
5、安装常用的软件
例如:杀毒软件、解压缩软件等;安装完毕后,配置杀毒软件,扫描系统漏洞,安装之后用GHOST再次备份系统。
6、先关闭不需要的端口 开启防火墙 导入IPSEC策略
在”网络连接”里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),由于要控制带宽流量服务,额外安装了Qos数据包计划程序。在高级tcp/ip设置里--“NetBIOS”设置“禁用tcp/IP上的NetBIOS(S)”。在高级选项里,使用“Internet连接防火墙”,这是windows 2003 自带的防火墙,在2000系统里没有的功能,虽然没什么功能,但可以屏蔽端口,这样已经基本达到了一个IPSec的功能。
修改3389远程连接端口 修改注册表.开始--运行--regedit
依次展开 HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/ TERMINAL SERVER/WDS/RDPWD/TDS/TCP 右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 10000)
HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/ WINSTATIONS/RDP-TCP/
右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 10000)注意:别忘了在WINDOWS2003自带的防火墙给+上10000端口 修改完毕.重新启动服务器.设置生效.二、用户安全设置
1、禁用Guest账号
在计算机管理的用户里面把Guest账号禁用。为了保险起见,最好给Guest加一个复杂的密码。你可以打开记事本,在里面输入一串包含特殊字符、数字、字母的长字符串,然后把它作为Guest用户的密码拷进去。
2、限制不必要的用户
去掉所有的Duplicate User用户、测试用户、共享用户等等。用户组策略设置相应权限,并且经常检查系统的用户,删除已经不再使用的用户。这些用户很多时候都是黑客们入侵系统的突破口。
3、把系统Administrator账号改名
大家都知道,Windows 2003 的Administrator用户是不能被停用的,这意味着别人可以一遍又一遍地尝试这个用户的密码。尽量把它伪装成普通用户,比如改成Guesycludx。
4、创建一个陷阱用户
什么是陷阱用户?即创建一个名为“Administrator”的本地用户,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过10位的超级复杂密码。这样可以让那些 Hacker们忙上一段时间,借此发现它们的入侵企图。
5、把共享文件的权限从Everyone组改成授权用户
任何时候都不要把共享文件的用户设置成“Everyone”组,包括打印共享,默认的属性就是“Everyone”组的,一定不要忘了改。
6、开启用户策略
使用用户策略,分别设置复位用户锁定计数器时间为20分钟,用户锁定时间为20分钟,用户锁定阈值为3次。(该项为可选)
7、不让系统显示上次登录的用户名
默认情况下,登录对话框中会显示上次登录的用户名。这使得别人可以很容易地得到系统的一些用户名,进而做密码猜测。修改注册表可以不让对话框里显示上次登录的用户名。方法为:打开注册表编辑器并找到注册表“HKLMSoftwareMicrosoftWindows TCurrentVersionWinlogonDont-DisplayLastUserName”,把REG_SZ的键值改成1。
密码安全设置
1、使用安全密码
一些公司的管理员创建账号的时候往往用公司名、计算机名做用户名,然后又把这些用户的密码设置得太简单,比如“welcome”等等。因此,要注意密码的复杂性,还要记住经常改密码。
2、设置屏幕保护密码
这是一个很简单也很有必要的操作。设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。
3、开启密码策略
注意应用密码策略,如启用密码复杂性要求,设置密码长度最小值为6位,设置强制密码历史为5次,时间为42天。
4、考虑使用智能卡来代替密码
对于密码,总是使安全管理员进退两难,密码设置简单容易受到黑客的攻击,密码设置复杂又容易忘记。如果条件允许,用智能卡来代替复杂的密码是一个很好的解决方法。
三、系统权限的设置 1、磁盘权限
系统盘及所有磁盘只给 Administrators 组和 SYSTEM 的完全控制权限
系统盘Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限
系统盘Documents and SettingsAll Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限
系统盘WindowsSystem32cacls.exe、cmd.exe、net.exe、net1.exe、ftp.exe、tftp.exe、telnet.exe、netstat.exe、regedit.exe、at.exe、attrib.exe、format.com、del文件只给 Administrators 组和SYSTEM 的完全 控制权限
另将
Documents and Settings下所有些目录都设置只给adinistrators权限。并且要一个一个目录查看,包括下面的所有子目录。删除c:inetpub目录
2、本地安全策略设置
开始菜单—>管理工具—>本地安全策略
A、本地策略——>审核策略
审核策略更改
成功 失败
审核登录事件
成功 失败
审核对象访问
失败
审核过程跟踪
无审核
审核目录服务访问
失败
审核特权使用
失败
审核系统事件
成功 失败
审核账户登录事件 成功 失败
审核账户管理
成功 失败
B、本地策略——>用户权限分配
关闭系统:只有Administrators组、其它全部删除。
通过终端服务允许登陆:只加入Administrators,Remote Desktop Users组,其他全部删除
C、本地策略——>安全选项
交互式登陆:不显示上次的用户名
启用
网络访问:不允许SAM帐户和共享的匿名枚举
启用
网络访问:不允许为网络身份验证储存凭证
启用
网络访问:可匿名访问的共享
全部删除
网络访问:可匿名访问的命
全部删除
网络访问:可远程访问的注册表路径
全部删除
网络访问:可远程访问的注册表路径和子路径
全部删除
帐户:重命名来宾帐户
重命名一个帐户
帐户:重命名系统管理员帐户
重命名一个帐户
3、禁用不必要的服务 开始-运行-services.msc TCP/IPNetBIOS Helper提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享
文件、打印和登录到网络
Server支持此计算机通过网络的文件、打印、和命名管道共享
Computer Browser 维护网络上计算机的最新列表以及提供这个列表
Task scheduler 允许程序在指定时间运行
Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息
Distributed File System: 局域网管理共享文件,不需要可禁用
Distributed linktracking client:用于局域网更新连接信息,不需要可禁用
Error reporting service:禁止发送错误报告
Microsoft Serch:提供快速的单词搜索,不需要可禁用
NTLMSecuritysupportprovide:telnet服务和Microsoft Serch用的,不需要可禁用
PrintSpooler:如果没有打印机可禁用
Remote Registry:禁止远程修改注册表
Remote Desktop Help Session Manager:禁止远程协助
Workstation 关闭的话远程NET命令列不出用户组
以上是在Windows Server 2003 系统上面默认启动的服务中禁用的,默认禁用的服务如没特别需要的话不要启动。4、修改注册表
修改注册表,让系统更强壮
1、隐藏重要文件/目录可以修改注册表实现完全隐藏 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows Current-VersionExplorerAdvancedFolderHi-ddenSHOWALL”,鼠标右击 “CheckedValue”,选择修改,把数值由1改为0
2、防止SYN洪水攻击
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD值,名为SynAttackProtect,值为2 新建EnablePMTUDiscovery REG_DWORD 0 新建NoNameReleaseOnDemand REG_DWORD 1 新建EnableDeadGWDetect REG_DWORD 0 新建KeepAliveTime REG_DWORD 300,000 新建PerformRouterDiscovery REG_DWORD 0 新建EnableICMPRedirects REG_DWORD 0
3.禁止响应ICMP路由通告报文
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface 新建DWORD值,名为PerformRouterDiscovery 值为0
4.防止ICMP重定向报文的攻击
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 将EnableICMPRedirects 值设为0
5.不支持IGMP协议
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD值,名为IGMPLevel 值为0
6、禁止IPC空连接:
cracker可以利用net use命令建立空连接,进而入侵,还有net view,nbtstat这些都是基于空连接的,禁止空连接就好了。
Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 把这个值改成”1”即可。
7、更改TTL值
cracker可以根据ping回的TTL值来大致判断你的操作系统,如:
TTL=107(WINNT);TTL=108(win2000);TTL=127或128(win9x);TTL=240或241(linux);TTL=252(solaris);TTL=240(Irix);
实际上你可以自己改的:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters:DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)改成一个莫名其妙的数字如258,起码让那些小菜鸟晕上半天,就此放弃入侵你也不一定哦
8.删除默认共享
有人问过我一开机就共享所有盘,改回来以后,重启又变成了共享是怎么回事,这是2K为管理而设置的默认共享,HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters:AutoShareServer类型是REG_DWORD把值改为0即可
9.禁止建立空连接
默认情况下,任何用户通过通过空连接连上服务器,进而枚举出帐号,猜测密码。我们可以通过修改注册表来禁止建立空连接:
Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 的值改成”1”即可。
10、建立一个记事本,填上以下代码。保存为*.bat并加到启动项目中 net share c$ /del net share d$ /del net share e$ /del net share f$ /del net share ipc$ /del net share admin$ /del
5、IIS站点设置:
1、将IIS目录&数据与系统磁盘分开,保存在专用磁盘空间内。
2、启用父级路径
3、在IIS管理器中删除必须之外的任何没有用到的映射(保留asp等必要映射即可)
4、在IIS中将HTTP404 Object Not Found出错页面通过URL重定向到一个定制HTM文件
5、Web站点权限设定(建议)读 允许 写 不允许 脚本源访问 不允许 目录浏览 建议关闭 日志访问 建议关闭 索引资源 建议关闭
执行 推荐选择 “仅限于脚本”
6、建议使用W3C扩充日志文件格式,每天记录客户IP地址,用户名,服务器端口,方法,URI字根,HTTP状态,用户代理,而且每天均要审查日志。(最好不要使用缺省的目录,建议更换一个记日志的路径,同时设置日志的访问权限,只允许管理员和system为Full Control)。
7、程序安全: 1)涉及用户名与口令的程序最好封装在服务器端,尽量少的在ASP文件里出现,涉及到与数据库连接地用户名与口令应给予最小的权限;2)需要经过验证的ASP页面,可跟踪上一个页面的文件名,只有从上一页面转进来的会话才能读取这个页面。3)防止ASP主页.inc文件泄露问题;4)防止UE等编辑器生成some.asp.bak文件泄露问题。
6、IIS权限设置的思路 ?要为每个独立的要保护的个体(比如一个网站或者一个虚拟目录)创建一个系统用户,让这个站点在系统中具有惟一的可以设置权限的身份。
?在IIS的【站点属性或者虚拟目录属性→目录安全性→匿名访问和验证控制→编辑→匿名访问→编辑】填写刚刚创建的那个用户名。
?设置所有的分区禁止这个用户访问,而刚才这个站点的主目录对应的那个文件夹设置允许这个用户访问(要去掉继承父权限,并且要加上超管组和SYSTEM组)。
7、卸载最不安全的组件
最简单的办法是直接卸载后删除相应的程序文件。将下面的代码保存为一个.BAT文件,(以下均以 WIN2000 为例,如果使用2003,则系统文件夹应该是 C:WINDOWS)regsvr32/u C:WINDOWSSystem32wshom.ocx del C:WINDOWSSystem32wshom.ocx regsvr32/u C:WINDOWSsystem32shell32.dll del C:WINNTWINDOWSshell32.dll
然后运行一下,WScript.Shell, Shell.application, WScript.Network就会被卸载了。可能会提示无法删除文件,不用管它,重启一下服务器,你会发现这三个都提示“×安全”了。
8:防止硬盘的非法访问
电脑瘫痪的原因,无非就是操作系统中的一些文件或文件夹被移走或被删除,如果把系统所在的硬盘分区禁用,让电脑盲们无法进入操作系统所在的分区,他就删不了操作系统所在分区的文件或文件夹了,系统也就没事了。
防止别人通过“我的电脑”访问C盘
点击“开始→运行”输入gpedit.msc命令,在打开的组策略编辑器窗口中依次打开“用户配置→管理模板→Windows组件→Windows资源管理器”分支,然后在右边双击“防止从„我的电脑‟访问驱动器”策略项,并在属性设置窗口中选择“已启用”选项,选择要禁止访问的硬盘盘符C盘即可(如图)。
防止别人从“命令提示符”访问C盘
当禁用了通过“我的电脑”访问硬盘后,他人还可以通过“命令提示符”方式进入C盘,所以还应同时禁止通过“命令提示符”访问C盘。方法是在打开的组策略编辑器窗口中依次打开“用户配置→管理模板→系统”分支,然后在右边窗口中将“阻止访问命令提示符”策略项启用即可。
禁止运行“cmd.exe”命令
设置完以上两个策略后,还不能完全防止他人对C盘的访问,原因是登录者仍然可以利用“运行”来执行“cmd.exe”命令,进入“命令提示符”状态,然后再访问C盘。所以,这个命令也应该禁用。方法是在打开的组策略编辑器窗口中依次打开“用户配置→管理模板→系统”分支,然后在右边的窗口中双击“不要运行指定的Windows应用程序”策略项,在该策略项的“属性”窗口中选择“已启用”选项,再单击“显示”按钮,在弹出的“显示内容”对话框中添加“cmd.exe”,这样该应用程序就被禁用了,到此,其他人员就无法访问本地计算机的C盘了。
通过以上的设置以后,我们就可以有效的保护操作系统所在的硬盘分区里的所有文件和文件夹了。我们的操作系统也就安全了。
以上你全做好拉我一般一年内你的服务器终端都是安全的。