太极计算机股份有限公司ISO20000体系文件-系统安全管理规范及情侣对讲机营销策划方案

PAGE太极计算机股份有限公司ISO20000体系文件系统安全管理规范（版次：0/A）编制人（部门）：电子政务日期：20**-3-1审核人：日期：批准人：日期：20**年3月1日发布20**年3月1日实施

手册修订履历版本修改日期修订人审核人批准人说明A草案A初次发布

目录1 概述 41.1 目的 41.2 适用范围 42 术语定义 43 角色及职责 44 工作要求 54.1 一般要求 54.2 帐号管理原则 54.3 密码使用安全原则 64.4 提高系统安全原则和措施 64.5 系统设备物理安全 74.6 系统补丁管理 84.7 系统防病毒管理 94.8 定期进行安全检查和审计 104.9 通用软件的安全管理 104.10 备份数据和介质的管理 105 相关文件及记录 115.1 相关文件 115.2 表单和记录 11

概述目的本程序的目的是就安全与管理层面，规范系统设备管理以及系统和数据库访问行为，以确保信息与系统的访问与权限能适当的授权、配置及维持，避免未获授权的访问，并确保系统和重要信息的可用性(信息可供访问)和完整性(信息未被篡改)。适用范围本文档所规定IT服务是指运维服务部PV分部提供的IT服务；本文档所规定IT服务商是指运维服务部PV分部；本文档适用于运维服务部PV分部的所有领域。术语定义计算机系统：包括系统主机、系统设备及其相关配套的设备（含系统线路）及相关软件等。角色及职责角色职责使用者依需求填写账号与服务权限管理申请表使用者单位主管审查账号与服务权限管理申请表的申请内容，符合实际需求。管理员包含系统管理员和数据库管理员负责系统安全的设置和执行工作依照申请人员提出经核准的账号与系统或数据库权限管理申请表内容，执行权限设定作业与检核作业结果。补丁管理员补丁管理服务器管理补丁测试环境管理补丁测试、分发等实施工作防病毒管理员防病毒服务器管理防病毒软件升级、分发等实施工作安全审计人员审查各项安全设置和工作执行情况检查系统管理单位主管复核账号与服务权限管理申请表的申请，并督导系统和数据库权限设定作业的有效进行。工作要求一般要求因业务需要而产生对信息的访问，其管理的要求于下列各章节进行约定，使用者仅限于访问授权范围内的信息、系统与数据库，不得作未经授权的访问。职责区域：系统开发人员负责系统开发与测试；系统管理员负责系统及设备管理；数据库管理员负责数据库管理(含相关硬件)；安全审计人员负责安全审核；前述各类人员均应于授权责任范围内运作，以降低信息或服务遭受未授权的修改或误用。所有的系统和数据库的重要配置参数（包括系统和数据库密码），均由各系统管理员负责设定与管理(含数据保存及备份)。重要配置的修改，需按变更管理程序进行。核心系统和信息的访问必需尽可能经过审计，要设置自动审记（日志），记录每次访问的用户、时间、操作内容等，妥善保管并定期审查这些日志。所有业务系统数据包括备份数据，特别是用户信息，应加以妥善保管，非经授权不得访问。所有信息处理和设备的使用，均需经适当的授权，以防止该设备的不当使用。帐号管理原则为确保系统和数据库的访问与权限均能适当地授权、分配和管理，对系统的帐号要进行分级管理，具体如下：系统访问权限分为系统管理员帐号和普通用户帐号，系统管理员帐号由系统管理员管理和使用，普通用户由系统管理员建立，所需要权限由系统管理员审查其必要性后授予，确保只授予必要的权限；对于数据库的帐号分为管理帐号、属主帐号、应用帐号和只读帐号，数据库管理帐号由数据库管理员管理和使用，属主帐号是数据库中具体应用的属主，用于管理数据库中的具体应用，如备份、还原等，应用帐号和只读帐号可用于AP服务器上连接数据库的配置，原则上不能将数据库的帐号授权给非系统运维人员，特殊情况下经过领导审批，可授予个别表的只读权限。数据库上的帐号由数据库管理员管理和授权。使用者需要进行系统与数据库访问时，均需向该系统的系统管理员或数据库管理员申请并经相关的使用者单位主管核准授权后始得使用，在申请时必需说明必要的权限和使用期限，使用者单位主管应考虑申请者的实际业务需要，要确保只授予必要的权限，任务解除或人员离职时亦须向该系统管理员或数据库管理员办理注销。系统管理员授与使用者的初次密码，应以适当方式交付使用者个人，并要求使用者获得初次密码后，应立即更改成自订的密码，并定期修改密码，如果不能自行修改密码的，需要系统管理员定期修改后通知使用者。正式投入运行使用的系统及数据库，相关密码由责任系统管理员和系统管理单位主管保管和管理。无特殊需要，在系统正式使用后，一般的项目组成员及系统集成人员，不赋予正式的系统设备的访问权限。如有特殊需要由项目经理通过OA工作联络单申请，责任系统管理员可在短期内开设临时普通帐号（只赋予必要的权限），供项目组使用，在规定时间内及使用完毕后要及时收回权限。密码使用安全原则管理员和使用者应负责其口令及信息处理设备的使用符合下列要求，以避免其口令及信息处理设备招致误用。对口令的使用应符合下列规定：密码长度至少为六个字符。密码中应包含至少四个英文大小写字母。密码中应包含至少一个非英文字母的字符。不得选取使用者账号、姓名、生日、身分证字号或单位代名等与个人或单位相关的信息做为密码。不得选取英文单词为密码。密码一般三月更换一次，管理员可根据系统情况对周期进行调整。使用者应负责确保所使用的信息设备在处于无人看管的状态(例如使用时中途离开)时有适当的保护。提高系统安全原则和措施为保证系统的安全性，在安装配置操作系统时要注意以下问题：第1：只启动必要的服务除了当前必要的服务，其他服务都应该取消，。第2：及时安装系统补丁为了加强系统安全，一定要及时安装系统补丁，特别是涉及系统安全漏洞的补丁。第3：安装和启动防火墙核心系统还需要借助防火墙等其他安全工具，只开放使用的端口，共同防御黑客入侵。第3：限制系统的出入在进入系统之前，所有用户都需要登录，也就是说，用户需要输入用户账号和密码，只有它们通过系统验证之后，用户才能进入系统。避免空口令和弱口令。对于核心系统还要避免明文在网络传输口令。第4：设定用户账号的安全等级除密码之外，用户账号也有安全等级，系统管理员应该根据需要赋予该账号不同的权限，并且归并到不同的用户组中。每个账号应该有专人负责。第5：定期检查登录密码和日志审记设定登录密码是一项非常重要的安全措施，如果用户的密码设定不合适，就很容易被破译，尤其是拥有超级用户使用权限的用户，如果没有良好的密码，将给系统造成很大的安全漏洞。系统管理员要经常提高警惕，随时注意各种可疑状况，并且按时检查各种系统日志文件，包括一般信息日志、网络连接日志、文件传输日志以及用户登录日志等。在检查这些日志时，要注意是否有不合常理的时间记载。对于WINDOWS系统，应该注意以下问题：验证所有磁盘分区是否都用NTFS格式化验证管理员帐户是否有强密码禁用不必要的服务禁用或删除不必要的帐户保护文件和目录确保禁用来宾帐户防止注册表被匿名访问应用适当的注册表ACL限制对公用本地安全机构(LSA)信息进行访问设置较强的密码策略设置帐户锁定策略配置管理员帐户删除所有不必要的文件共享对所有必要的文件共享设置适当的ACL安装防病毒软件和更新安装最新的ServicePack安装适当的ServicePack后的安全修补程序针对微软操作系统，要求安装完关键补丁后，立即联网配置WSUS，接受其补丁分发管理，继续完成补丁安装，确保系统不会因为漏洞而被感染病毒或者被黑客攻击。系统设备物理安全所有人员应遵守《机房环境安全管理规范》中对系统设备物理访问控制的规定。机房管理人员应严格执行对人员、设备进入IT机房等安全敏感区域的控制，避免无关人员进入区域，接触系统设备或链路。应加强对系统设备的质量控制、安装维护的质量控制，以及建立系统的冗余机制和应急机制，防止设备缺陷、故障或突发事件引起的系统瘫痪。不允许进行任何干扰其他系统用户，破坏系统服务和系统设备的活动，违反者将按公司相关规定予以处罚。员工不得损坏所在区域内的插槽、跳线、标签等。系统补丁管理补丁管理员建立统一的补丁管理机制，进行补丁管理，配置专门的补丁管理服务器，并建立补丁测试环境。具体工作内容如下：1．补丁分析分析漏洞的影响为了根据漏洞和漏洞对应用系统的影响制定相应的计划，在分析补丁之前一定要先分析一下漏洞的威胁、成因和严重性。漏洞等级定义：等级定义成因允许修补时间修补方式紧急利用漏洞可以远程获取管理员权限堆、栈溢出2天用非补丁方式修补，如用防火墙或者限制功能等方式,同时增加监控严重攻击程序和病毒结合，形成蠕虫

堆、栈溢出5-10天补丁方式修补中等获取普通用户访问权限/提升权限/远程拒绝服务客户端程序堆栈溢出、竞争条件、协议设计

10－30天

限制使用程序、补丁方式低等信息泄漏、本地拒绝服务返回信息过多30天－90天补丁方式针对Microsoft的软件系统，从安全角度考虑，重点要关注安全修补程序、安全更新、更新汇总、ServicePack。其中安全修补程序是针对特定的某一个安全漏洞的补丁，因此可以参照其对应的漏洞严重等级进行补丁安装；安全更新是针对多个安全漏洞的补丁，因此可以参照其对应的最严重漏洞的严重等级进行补丁安装；更新汇总是安全修补程序、重要更新、更新和修补程序的集合，因此比较适合重新安装系统或者阶段性安装。ServicePack包含了从产品发布至今，累积的一系列修补程序、安全修补程序、重要更新和更新，因此比较适合重新安装系统或者阶段性安装。在日常工作中可以根据厂商的安全公告和安全补丁信息，确定符合企业自己的补丁严重等级，针对系统制定出补丁的修补计划，包括修补时间、修补方式等。2．测试补丁虽然软件厂商在发布补丁前已经对补丁进行了测试，但是测试永远是不充分的，从实际经验来看，目前软件厂商为了解决安全问题，都会尽量压制测试补丁时间，而且每个应用系统都有自己的特殊应用环境，因此补丁往往不稳定，会造成很多未知问题。因此必须根据应用系统的实际应用环境进行补丁测试，以判断该补丁在现有应用系统环境下的兼容状况。3．分发补丁补丁测试后，如果没有问题，则要根据紧急程度制定分发计划。计划中关键要根据企业的环境分批安装，原则是业务重要、资产价值大、威胁等级高的系统优先安装，确定顺序后，提交变更，组织相关人员进行补丁安装。微软的补丁发布由补丁管理员在WSUS服务器上进行审核批准，通过WSUS将补丁自动下推到windows客户端，系统管理员根据各自管理的应用系统情况选择安装方式和时间。原则上，所有服务器都必须接受统一的WSUS管理，因特殊的原因无法接受管理的，需要系统管理员根据情况选择安装补丁，并填写《补丁检查记录表》。4．补丁安装检查为了确认补丁安装情况，各系统管理员应对负责的系统在补丁发布和安装后进行检查。5. 异常处理和记录在补丁的安装过程中，由于系统的多样性和负责性，经常会发生很多异常，一般可以分为两种情况：不能安装补丁，这时就需要确定一个临时的解决办法消除漏洞的威胁，或者暂时接受这个风险。安装上补丁后系统或者应用不能正常运行，这时就需要采用应急方案，采用备份系统或者卸载补丁等临时办法解决。在处理上述的异常中，补丁管理员及时收集异常和解决方案，组织异常的提交和跟踪，并且将信息及时公布给系统工程师和桌面工程师。针对一般微软操作系统，要求安装完关键补丁后，立即联网配置WSUS，接受其补丁分发管理，继续完成补丁安装，确保系统不会因为漏洞而被感染病毒或者被黑客攻击。特殊系统按要求进行补丁安装。系统防病毒管理防病毒管理员建立集中式的防病毒机制，进行防病毒系统管理，配置专门的防病毒服务器，所有微软操作系统必须先安装防病毒软件客户端，方可连入局域网。防病毒日常管理工作内容如下：1、每天检查防病毒服务器上病毒定义码下载情况是否正常；2、每天检查防病毒服务器上病毒定义码下发情况是否正常，如有未正常下发的客户端，通知防病毒管理员查找原因；3、每周检查防病毒服务器上防火墙日志中记录的病毒发作情况，每周进行分析并发出《病毒分析报告》。对于出现集中式的防病毒无法处理的新病毒，管理员及时提取病毒样本，上传到防病毒厂家，并跟进处理。如得到防病毒厂家的专杀工具，及时进行下发，避免更大损失。定期进行安全检查和审计开启所有系统中必要的安全审计，建立集中式的日志保存机制，配置专门的日志处理服务器，自动对日志进行初步的过滤，紧急的安全事件自动向管理员发出通知。对于WINDOWS系统建议使用安全模板，扩大安全日志文件大小（建议最小10M），如果启用了登陆事件、策略更改、账户登陆、系统事件的成功失败的审核，那么任何成功的入侵都将在安全日志中留下痕迹。定期用安全工具扫描系统（抽查和全面检查相结合），检查系统是否安装最新安全补丁，是否有用户管理、文件系统方面的漏洞及其它应用软件的漏洞。定期对日志中记录的安全事件进行分析统计。对UNIX系统中的用户登陆、网络连接等安全相关的日志进行定期审查、归档管理。通用软件的安全管理对于通用软件应及时了解其安全漏洞情况，在必要情况下及时安装补丁。对于通用软件配置应全面了解其安全漏洞情况，关闭会引起安全问题的配置。对通用软件使用帐号要进行严格管理，尽量分离管理和使用帐号，对使用帐号只给必要的权限。对于重要的数据要建立合理的备份方案，防止由于计算机系统的故障（硬件故障、软件故障、网络故障和系统故障）影响到数据的正确性，甚至造成数据全部或部分丢失。Oracle数据库安全性管理基本措施Oracle数据库系统在实现数据库安全性管理方面采取的基本措施有：◆通过验证用户名称和口令，防止非Oracle用户注册到Oracle数据库，对数据库进行非法存取操作。◆授予用户一定的权限，例如connect，resource等，限制用户操纵数据库的权力。◆授予用户对数据库实体(如表、表空间、过程等)的存取执行权限，阻止用户访问非授权数据。◆采用视图机制，限制存取基表的行和列集合。备份数据和介质的管理备份用帐号管理：由系统管理员建立备份用帐号，授权给进行备份的人员使用，确保只访问需要备份的数据，帐号密码按规定定期更改；备份文件管理：备份的文件需要保存有合理安全配置的存贮空间上，防止未经授权的访问；对文件应按备份计划定期归档，不再需要的文件应该按计划清除。备份介质管理：特别注意对移动备份介质的管理，应保存在专用的库房，由专人登记保管；介质的外借应有审批手续和记录；过期备份介质管理：对于过期的介质要进行销毁，避免数据外流。相关文件及记录相关文件文件编号文件名称机房环境安全管理规范表单和记录记录编号记录名称病毒分析报告补丁检查记录表情侣对讲机营销策划书方案名称：情侣对讲机营销策划方案策划人员：完成日期：适用时间：目录概要提示3策划目的3市场调查方法3研究方法42、市场调查发现的问题及建议6营销环境分析7（一）、宏观环境分析7（二）、SWOT分析8营销策划达到的目标9营销组合策略10具体推广方案11（一）广告宣传11（二）推广活动11费用预算13情侣对讲机营销策划方案概要提示情侣对讲机，它是一种双向移动通信工具,在不需要任何网络支持的情况下,就可以通话,没有话费产生，适用于相对固定且频繁通过话的场合，然而目前孝感大学生中了解及使用情侣对讲机的人数并不多。我通过对情侣对讲机的分析，明确它所面临的问题，再制定一系列的营销策略，使扩大情侣对讲机在学生人群中的知名度，并发展潜在客户，增加使用人数。策划目的本次策划目的主要是为了宣传情侣对讲机，使能够发展潜在用户，增加情侣对讲机在大学生中的使用人数。二、市场调查分析1.研究方法采用随机抽样和问卷调查方法，以孝感学院、孝感学院新技术学院等的在校大学生为调查对象。调查问卷主要有4部分组成：孝感各大高校大学生的基本情况孝感各高校大学生对情侣对讲机认知情况；孝感各高校大学生对情侣对讲机的接受情况；孝感各高校大学生对情侣对讲机的未来期望。调查内容包括：孝感各高校大学生的个人信息、生活费用、恋爱情况、选择情侣对讲机的动机、购买方式和用完处理情况；孝感各高校大学生对情侣对讲机功能特点的一些期望等。此次问卷调查设计类型属于综合型，以封闭式问题为主，并根据相关要求融入了开放式问题。问卷填写与记录同步进行，以便能了解和掌握更为详实的资料。据此次问卷调查结果统计结果显示，有200（男92，女108）名消费者参与了此次调查，有效问卷182（男80，女102）份。孝感各大高校大学生对情侣对讲机的认知孝感各高校大学生对情侣对讲机的态度购买动机理想价位2.市场调查发现的问题及建议A.通信工具的使用情况：基本上都是使用手机或者使用网络工具进行沟通联系，且忠诚度较高B.情侣对其它类通信工具的了解情况：很少有人了解或者是使用C.对讲机是否具有吸引力：百分之七十以上的情侣表示愿意尝试，希望拥有属于自己特别的通信工具D.愿意或者不愿意选择对讲机的主要原因：愿意的情侣主要是从节省话费和有特色出于好奇的方面考虑的；而不愿意的主要是更中意于手机，并且觉得对讲机受到距离限制，不方便E.情侣对对讲机价格的期望值：各种消费层次的情侣预期价格都不太一样，总体上看，希望价格在300元以下的接近80%，所以对讲机总体上不能定价过高F.对讲机在孝感各大高校的市场占有率：所有调查对象中，只有个别情侣表示已经在使用对讲机类通讯工具，不难看出，在这一领域，基本上是处于空白阶段，如果推广得当将有很大的上升空间三、营销环境分析（一）、宏观环境分析1.对讲机产业是我国移动通信比较重要的一部分，产业布局呈现相应的比较明显的区域性，主要制造企业大部分分布在东南沿海、珠三角一带。近年来，我国对讲机产业在通信产业快速发展的拉动下，超常规高速发展，仅深圳无线电通信制造企业就有近２００家，无线电通信设备制造总产值有４００亿元之巨，位居全国前列，是全国最重要的对讲机生产基地，也是全球最多生产对讲机企业基地之一，专业从事对讲机生产的企业（包括外销企业）就有四十多家。2.人们对对讲机的认识达到空前的高度，对讲机在国民经济各部门和人们生活各个领域的广泛应用得到了充分的体现，已成为国家安全、公安警察、交通管理、石油化工、建筑施工、机械制造、宾馆酒楼等部门重要的无线通信装备。3.目前我国公众对讲机仅作为公众通信用，并非真正的民用，公众对讲机的消费市场才刚刚启动，其发展潜力巨大。（二）、情侣对讲机SWOT分析1、优势A、对讲机不受网络限制，在网络未覆盖到的地方，对讲机可以让使用者轻松沟通；B、对讲机提供一对一，一对多的通话方式，一按就说，操作简单，令沟通更自由，尤其是紧急调度和集体协作工作的情况下，这些特点是非常重要的；C、通话成本低；D、不会掉线、占线。2、劣势A、对讲机的使用距离有限制，一般民用对讲机使用距离仅为3-5公里；B、功能单一，无其他附属功能；C、在国内或是在更广范围内知名度不高，没有树立品牌，也没有一个挂牌专门从事情侣对讲机的厂家；D、在产品的设计风格上也存在款式不够新颖、不能满足现代大学生个性化需求。3、机会在接受调查的学生当中62.7%（愿意8.8%，可以试试27.7%，看情况而定26.2%）的同学表示有意愿尝试使用情侣对讲机，能够看出情侣对讲机在大学生市场里还是有很大的需求。4、威胁中国市场移动电话(包括手机和小灵通)在大学中的普及率非常高，资费竞争也非常激烈，这对情侣对讲机而言，是一个严峻的考验。目前中国移动、中国联通推出的亲情号码、V网、情侣套餐等优惠套餐，使打电话和发短信的资费大大降低。并且手机的上网功能是对讲机无法匹及的。四、营销策划达到的目标1、为情侣对讲机做宣传，让大家了解认识情侣对讲机，并且相信它。零距离与目标顾客群接触，快速传播产品概念、产品利益点。2、让目标消费群认识、了解、体验新产品。3、让目标消费群认知到他需要什么，引导、教育消费者。4、制造校园热点，使情侣对讲机成为时尚。5、吸引大量目标消费群。五、营销组合策略（一）、定价策略折扣和折让定价策略：1、数量折扣在确定商品价格时，可根据消费者购买商品所达到的数量标准，给予不同的折扣。购买量越多，折扣就越多。2、节日折扣策略在情人节、圣诞节、七夕等浪漫节日里推出优惠活动（二）、促销策略1、人员推销通过派出推销人员或委托人员亲自向顾客介绍，推广，宣传，以促进产品的销售，可以是面对面交谈，也可以是通过电话、信函交流，推销人员的任务除了完成一定的销售量以外，还必须及时发现顾客的需求，并开拓新的市场，创造新的需求。2、广告A、在孝感学院的各个宣传栏、食堂或者大门出入口刊登广告B、通过发宣传单页的形势让大家了解情侣对讲机C、与各大社团合作，拉横幅广告。横幅标语：“让爱情不再占线”，横幅下