信息安全管理制度_第1页
信息安全管理制度_第2页
信息安全管理制度_第3页
信息安全管理制度_第4页
信息安全管理制度_第5页
已阅读5页,还剩30页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

信息安全管理制度计算机机房安全管理制度为了进一步加强计算机信息网络的安全管理,净化我院院文化环境秩序,规范我院计算机机房管理,根据公安厅和教育厅《关于加强学校计算机信息网络安全管理的通知》的有关精神,现对我院计算机机房的管理作出如下规定:1、重视安全工作的思想教育,防患于未然。2、遵守“教学仪器设备和实验室管理办法”,做好安全保卫工作。3、凡进入机房的人员除须遵守院规院纪外,还必须遵守机房的各项管理规定,爱护机房内的所有财产,爱护仪器设备,未经管理人员许可不得随意使用,更不得损坏,如发现人为损坏将视情节按有关规定严肃处理。4、机房内禁止吸烟,严禁明火。5、工作人员必须熟悉计算机机房用电线路、性能及安全工作的有关规定。6、机房使用的用电线路必须符合安全要求,定期检查、检修。7、杜绝黄色、迷信、反动软件,严禁登录黄色、迷信、反动网站,做好计算机病毒的防范工作。8、工作人员须随时监测机器和网络状况,确保计算机和网络安全运转。9、机房开放结束时,工作人员必须要关妥门窗,认真检查并切断每一台微机的电源和所有电器的电源,然后切断电源总开关。操作人员权限等级分配制度第一、网站用户分管理员与普通用户两种,普通用户只能浏览信息。第二、管理员采用审核制度,未经注册审核,不能成为注册管理用户。第三、管理员分为系统管理员、栏目管理员、通讯管理员等级别,不同级别的用户拥有不同的权限,其中,系统管理员拥有最高权限。第四、各用户账号实行密码管理第五、树立安全意识,强化保密观念,加强对本网站计算机用户安全、保密意识的教育和培训。账号安全保密制度1、提高安全认识,禁止非工作人员操纵系统主机,不使用系统主机时,应注意锁屏。2、每周检查主机登录日志,及时发现不合法的登录情况。3、对网络管理员、系统管理员和系统操作员所用口令每十五天更换一次,口令要无规则,重要口令要多于八位。4、加强口令管理,对PASSWORD文件用隐性密码方式保存;每半月检查本地的PASSWORD文件,确认所有帐号都有口令;当系统中的帐号不再被使用时,应立即从相应PASSWORD数据库中清除。5、ROOT口令只被系统管理员掌握,尽量不直接使用ROOT口令登录系统主机。6、系统目录应属ROOT所有,应完全禁止其他用户有写权限。7、对TELNET、FTP到主机的用户进行权限限制,或完全禁止。8、网络管理员、系统管理员、操作员调离岗位后一小时内由接任人员监督检查更换新的密码;厂方设备调试人员调试维护完成后一小时内,由系统管理员关闭或修改其所用帐号和密码。设备维护保养日志记载制度1、设备维护保养实行专人负责制,定期认真组织检查,保证设备外观整洁、性能良好。2、设备维护保养分为日维护、月维护和半年(换季)维护。日维护:对设备进行检查、擦拭、调整,并保持环境清洁。月维护:每月安排半天时间对设备进行加电、测试和性能检查。半年(换季)维护:主要工作包括检测设备技术指标,调整参数,消除隐患。3、机电设备的定期保养按各设备保养维护规程进行。4、登记统计是设备管理的一项基础工作,必须及时、准确,须用钢笔或圆珠笔认真填写,字迹工整清晰,不得随意涂改。5、故障登记:由故障排除人员填写并签名。主要记载设备故障时间,故障现象、分析、排除过程,结论及排除时间。信息发布制度发布申请人员应当确保发布信息准确、真实,符合国家有关的各项法律、法规制度;信息发布人员应当对所发布的信息备案记录,以加强管理;信息审核领导应在充分理解国家有关的各项法律、法规制度的基础上及时处理申请人员的请求,并将审核意见及时反馈给申请人员;在审核人员同意的基础上应将信息及时转发给信息中心;信息审核领导应当做好信息请求、处理、转发的备案工作;信息中心对所收到的经过审核后的信息在确认审核意见后,应及时在网上发布,并确保发布信息的准确性;七(信息中心对所发布的信息应当做好备案工作。计算机病毒防治管理制度第一条为加强计算机的安全监察工作,预防和控制计算机病毒,保障计算机系统的正常运行,根据国家有关规定,结合实际情况,制定本制度。第二条凡在本网站所辖计算机进行操作、运行、管理、维护、使用计算机系统以及购置、维修计算机及其软件的部门,必须遵守本办法。第三条本办法所称计算机病毒,是指编制或者在计算机程序中插入的破坏计算机系统功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。第四条任何工作人员不得制作和传播计算机病毒。第五条任何工作人员不得有下列传播计算机病毒的行为:一、故意输入计算机病毒,危害计算机信息系统安全。二、向计算机应用部门提供含有计算机病毒的文件、软件、媒体。三、购置和使用含有计算机病毒的媒体。第六条预防和控制计算机病毒的安全管理工作,由计算机信息安全管理小组统一领导,信息中心负责实施。其主要职责是:一、制定计算机病毒防治管理制度和技术规程,并检查执行情况;二、培训计算机病毒防治管理人员;三、采取计算机病毒安全技术防治措施;四、对网站计算机信息系统应用和使用人员进行计算机病毒防治教育和培训;五、及时检测、清除计算机系统中的计算机病毒,并做好检测、清除的记录;六、购置和使用具有计算机信息系统安全专用产品销售许可证的计算机病毒防治产品;七、向公安机关报告发现的计算机病毒,并协助公安机关追查计算机病毒的来源;八、对因计算机病毒引起的计算机信息系统瘫痪、程序和数据严重破坏等重大事故及时向公安机关报告,并保护现场。第七条计算机安全管理部门应加强对计算机操作人员的审查,并定期进行安全教育和培训。第八条计算机信息系统应用部门应建立计算机运行记录制度,未经审定的任何程序、指令或数据,不得输入计算机系统运行。第九条计算机安全管理部门应对引起的计算机及其软件进行计算机病毒检测,发现染有计算机病毒的,应采取措施加以消除,在未消除病毒之前不准投入使用。第十条通过网络进行电子邮件或文件传输,应及时对传输媒体进行病毒检测,接收到邮件时也要及时进行病毒检测,以防止计算机病毒的传播。第十一条任何部门和个人不得从事下列活动:一、收集、研究有害数据;二、出版、刊登、讲解、出租有害数据原理、源程序的书籍、资料或文章;三、复制有害数据的检测、清除工具。第十二条积极接受公安机关对计算机病毒防治管理工作的监督、检查和指导。安全教育培训制度一、定期组织管理员认真学习《计算机信息网络国际互联网安全保护管理办法》、《网络安全管理制度》及《信息审核管理制度》,提高工作人员的维护网络安全的警惕性和自觉性。二、负责对本网络用户进行安全教育和培训,使用户自觉遵守和维护《计算机信息网络国际互联网安全保护管理办法》,使他们具备基本的网络安全知识。三、对信息源接入单位进行安全教育和培训,使他们自觉遵守和维护《计算机信息网络国际互联网安全保护管理办法》,杜绝发布违犯《计算机信息网络国际互联网安全保护管理办法》的信息内容。四、不定期地邀请公安机关有关人员进行信息安全方面的培训,加强对有害信息,特别是影射性有害信息的识别能力,提高防犯能力。五、遇到安全问题时,及时汇报上级领导,采取措施及时解决。事故和安全及时报告制度计算机信息网络国际互联网上充斥着大量的黑客、病毒、网络陷阱、色情、非法言论等不安全因素和有害信息。为了加强对互联网的安全保护,维护公共秩序和社会稳定,有效地打击利用互联网进行违法犯罪活动,从事互联网业务的单位和个人应当接受公安机关的安全监督、检查和指导,如实向公安机关提供有关安全保护的信息、资料及数据文件,协助公安机关查处通过互联网进行的违法犯罪活动。如发现以下行为之一的,应及时向公安机关计算机安全监察机构进行报告。一、单位和个人利用国际联网危害国家安全、泄露国家秘密,侵犯国家的、社会的、集体的利益和公民的合法权益,从事违法犯罪活动。二、单位和个人利用国际联网制作、复制、查阅和传播下列信息:1、煽动抗拒、破坏宪法和法律、行政法规实施的;2、煽动颠覆国家政权,推翻社会主义制度的;3、煽动分裂国家,破坏国家统一的;4、煽动民族仇恨、民族歧视,破坏民族团结的;5、捏造或者歪曲事实,散布谣言,扰乱社会秩序;6、宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪的;7、公然侮辱他人或者捏造事实诽谤他人的;8、损害国家机关信誉的;9、其他违反宪法和法律、行政法规的。三、单位和个人从事下列危害计算机信息网络安全的活动:1、未经允许,进入计算机信息网络或者使用计算机信息网络资源的;2、未经允许,对计算机信息网络功能进行删除、修改或者增加的;3、未经允许,对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的;4、故意制作、传播计算机病毒等破坏性程序的;5、其他危害计算机信息网络安全的。四、单位和个人违反法律规定,利用国际互联网侵犯用户的通信自由和通信秘密。应急处理方案指导思想保障网络畅通,使教育教学资源及时高效地发挥其作用,使计算机及网络在遭受攻击、瘫痪的情况下能迅速恢复数据,最大限度地减少损失。工作要求1(重要数据及时备份,注意两份以上的备份,备份在不同的机器、介质上。2、磁盘实现磁盘镜像,减少硬盘文件出错几率。应急措施1(保证学校内部数据库的数据不因各种可能的电脑故障而丢失,系统可长时间不停机,保证工作连续性。2、重要的数据自动/手动备份到另一台网管计算机上。3、采用磁盘镜像,使用同样型号和容量的硬盘实现磁盘镜像,减少硬盘文件出错几率。医院信息安全管理制度一、计算机设备管理制度1.计算机的使用部门要保持清洁、安全、良好的计算机设备工作环境,禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。2.非本单位技术人员对我单位的设备、系统等进行维修、维护时,必须由本单位相关技术人员现场全程监督。计算机设备送外维修,须经有关部门负责人批准。3.严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许带电插拨计算机外部设备接口,计算机出现故障时应及时向电脑负责部门报告,不允许私自处理或找非本单位技术人员进行维修及操作。二、操作员安全管理制度(一).操作代码是进入各类应用系统进行业务操作、分级对数据存取进行控制的代码。操作代码分为系统管理代码和一般操作代码。代码的设置根据不同应用系统的要求及岗位职责而设置;(二).系统管理操作代码的设置与管理1、系统管理操作代码必须经过经营管理者授权取得;2、系统管理员负责各项应用系统的环境生成、维护,负责一般操作代码的生成和维护,负责故障恢复等管理及维护;3、系统管理员对业务系统进行数据整理、故障恢复等操作,必须有其上级授权;4、系统管理员不得使用他人操作代码进行业务操作;5、系统管理员调离岗位,上级管理员(或相关负责人)应及时注销其代码并生成新的系统管理员代码;(三).一般操作代码的设置与管理1、一般操作码由系统管理员根据各类应用系统操作要求生成,应按每操作用户一码设置。2、操作员不得使用他人代码进行业务操作。3、操作员调离岗位,系统管理员应及时注销其代码并生成新的操作员代码。三、密码与权限管理制度1.密码设置应具有安全性、保密性,不能使用简单的代码和标记。密码是保护系统和数据安全的控制代码,也是保护用户自身权益的控制代码。密码分设为用户密码和操作密码,用户密码是登陆系统时所设的密码,操作密码是进入各应用系统的操作员密码。2.密码应定期修改,间隔时间不得超过一个月,如发现或怀疑密码遗失或泄漏应立即修改,并在相应登记簿记录用户名、修改时间、修改人等内容。3.服务器、路由器等重要设备的超级用户密码由运行机构负责人指定专人(不参与系统开发和维护的人员)设置和管理。如遇特殊情况需要启用封存的密码,必须经过相关部门负责人同意。4.系统维护用户的密码应至少由两人共同设置、保管和使用。5.有关密码授权工作人员调离岗位,有关部门负责人须指定专人接替并对密码立即修改或用户删除,同时在“密码管理登记簿”中登记。四、数据安全管理制度存放备份数据的介质必须具有明确的标识。备份数据必须异地存放,并明确落实异地备份数据的管理职责;注意计算机重要信息资料和数据存储介质的存放、运输安全和保密管理,保证存储介质的物理安全。任何非应用性业务数据的使用及存放数据的设备或介质的调拨、转让、废弃或销毁必须严格按照程序进行逐级审批,以保证备份数据安全完整。数据恢复前,必须对原环境的数据进行备份,防止有用数据的丢失。数据恢复过程中要严格按照数据恢复手册执行,出现问题时由技术部门进行现场技术支持。数据恢复后,必须进行验证、确认,确保数据恢复的完整性和可用性。5.数据清理前必须对数据进行备份,在确认备份正确后方可进行清理操作。历次清理前的备份数据要根据备份策略进行定期保存或永久保存,并确保可以随时使用。数据清理的实施应避开业务高峰期,避免对联机业务运行造成影响。6.需要长期保存的数据,数据管理部门需与相关部门制定转存方案,根据转存方案和查询使用方法要在介质有效期内进行转存,防止存储介质过期失效,通过有效的查询、使用方法保证数据的完整性和可用性。转存的数据必须有详细的文档记录。7.非本单位技术人员对本公司的设备、系统等进行维修、维护时,必须由本公司相关技术人员现场全程监督。计算机设备送外维修,须经设备管理机构负责人批准。送修前,需将设备存储介质内应用软件和数据等涉经营管理的信息备份后删除,并进行登记。对修复的设备,设备维修人员应对设备进行验收、病毒检测和登记。8.管理部门应对报废设备中存有的程序、数据资料进行备份后清除,并妥善处理废弃无用的资料和介质,防止泄密。.运行维护部门需指定专人负责计算机病毒的防范工作,建立本单位的计算机病毒防治管理制度,经常进行计算机病毒检查,发现病毒及时清除。.营业用计算机未经有关部门允许不准安装其它软件、不准使用来历不明的载体(包括软盘、光盘、移动硬盘等)。五、机房管理制度1.进入主机房至少应当有两人在场,并登记“机房出入管理登记簿”,记录出入机房时间、人员和操作内容。2.IT部门人员进入机房必须经领导许可,其他人员进入机房必须经IT部门领导许可,并有有关人员陪同。值班人员必须如实记录来访人员名单、进出机房时间、来访内容等。非IT部门工作人员原则上不得进入中心对系统进行操作。如遇特殊情况必须操作时,经IT部门负责人批准同意后有关人员监督下进行。对操作内容进行记录,由操作人和监督人签字后备查。3.保持机房整齐清洁,各种机器设备按维护计划定期进行保养,保持清洁光亮。4.工作人员进入机房必须更换干净的工作服和拖鞋。5.机房内严禁吸烟、吃东西、会客、聊天等。不得进行与业务无关的活动。严禁携带液体和食品进入机房,严禁携带与上机无关的物品,特别是易燃、易爆、有腐蚀等危险品进入机房。6.机房工作人员严禁违章操作,严禁私自将外来软件带入机房使用。7.严禁在通电的情况下拆卸,移动计算机等设备和部件。8.定期检查机房消防设备器材。9.机房内不准随意丢弃储蓄介质和有关业务保密数据资料,对废弃储蓄介质和业务保密资料要及时销毁(碎纸),不得作为普通垃圾处理。严禁机房内的设备、储蓄介质、资料、工具等私自出借或带出。.主机设备主要包括:服务器和业务操作用PC机等。在计算机机房中要保持恒温、恒湿、电压稳定,做好静电防护和防尘等项工作,保证主机系统的平稳运行。服务器等所在的主机要实行严格的门禁管理制度,及时发现和排除主机故障,根据业务应用要求及运行操作规范,确保业务系统的正常工作。.定期对空调系统运行的各项性能指标(如风量、温升、湿度、洁净度、温度上升率等)进行测试,并做好记录,通过实际测量各项参数发现问题及时解决,保证机房空调的正常运行。.计算机机房后备电源(UPS)除了电池自动检测外,每年必须充放电一次到两次。计算机信息网络安全管理制度一、引言为了国家政治、经济和社会的稳定,规范互联网信息服务活动,促进互联网信息服务健康有序发展,使国际互联网为我校的科研单位和党政管理部门以及师生员工服务,在本校计算机网络安全领导小组的指导下,制定本办法。二、安全组织与管理(一)安全机构1单位最高领导必须主管计算机安全工作。2建立安全组织:2(1安全组织由单位主要领导人领导,不能隶属于计算机运行或应用部门。2(2安全组织由管理、系统分析、软件、硬件、保卫、审计、人事、通信等有关方面人员组成。2(3安全负责人负责安全组织的具体工作。2(4安全组织的任务是根据本单位的实际情况定期做风险分析,提出相应的对策并监督实施。3安全负责人制:3(1确定安全负责人对本单位的计算机安全负全部责任。3(2只有安全负责人或其指定的专人才有权存取和修改系统授权表及系统特权口令。3(3安全负责人要审阅每天的违章报告,控制台操作记录、系统日志、系统报警记录、系统活动统计、警卫报告、加班报表及其他与安全有关的材料。3(4安全负责人负责制定安全培训计划。3(5在信义校区和甲山校区分设地区安全负责人,地区安全负责人接受中心安全负责人的领导。3(6各部门发现违章行为,应向中心安全负责人报告,系统中发现违章行为要通知各地有关安全负责人。4计算机系统的建设应与计算机安全工作同步进行。(二)保密制度和保密监督1保密制度1根据国家保密局发布的《计算机信息系统国际联网保密管理规定》以及教育科研网CERNET《关于加强网络安全管理的通知》精神,结合我校实际,特制定本保密制度。2未经领导批准,不允许利用计算机复制、存储各类保密文件;经批准后存储的保密文件、磁盘等视同机要文件保管。严禁利用计算机网络传递保密文件。重要的程序和数据文件要有备份。具有保密性质的磁盘要妥善保管,未经批准不得向他人提供查询或拷贝。7未经领导批准,操作人员不得私自给任何外单位或私人复制、打印、拷贝带秘级的文件或材料。计算机网络入网人员应遵守网络中心规定,携带身份证、工作证(学生证)到网络中心办理用户备案手续。计算机网络帐户不得转借、转让使用。发现反动、黄色、散布谣言等不健康内容的信息,须在24小时之内上报校保卫处和公安系统。故意浏览不健康的网站和内容,一经发现取消上网资格,并交有关部门处理。11需在网络上发布信息的单位和个人,须由所在单位领导审核、签字,报校长办公室主任批准后,由网络中心负责上网。未经批准私自上网者,责任自负,所在单位领导负连带责任。2保密监督1各级保密工作部门应当有相应机构或人员负责计算机信息系统国际联网的保密管理工作,应当督促互联单位、接入单位及用户建立健全信息保密管理制度,监督、检查国际联网保密管理制度规定的执行情况。对于没有建立信息保密管理制度或责任不明、措施不力、管理混乱,存在明显威胁国家秘密信息安全隐患的部门或单位,保密工作部门应责令其进行整改,整改后仍不符合保密要求的,应当督促其停止国际联网。2各级保密工作部门,应当加强计算机信息系统国际联网的保密检查,依法查处各种泄密行为。互联单位、接入单位和用户,应当接受并配合保密工作部门实施的保密监督检查,协助保密工作部门查处利用国际联网泄露国家秘密的违法行为,并根据保密工作部门的要求,删除网上涉及国家秘密的信息。互联单位、接入单位和用户,发现国家秘密泄露或可能泄露情况时,应当立即向保密工作部门或机构报告。5各级保密工作部门和机构接到举报或检查发现网上有泄密情况时,应当立即组织查处,并督促有关部门及时采取补救措施,监督有关单位限期删除网上涉及国家秘密的信息。(三)人事管理1人员审查:根据接触计算机系统的密级确定审查标准。如:处理机要信息的系统,接触系统的所有工作人员必须按机要人员的标准进行审查。2关键岗位的人选。如:系统分析员,不仅要有严格的政审,还要考虑其现实表现、工作态度、道德修养和业务能力等方面。尽可能保证这部分人员安全可靠。3所有工作人员除进行业务培训外,还必须进行相应的计算机安全课程培训,才能进入系统工作。4人事部门应定期对系统所有工作人员从政治思想、业务水平、工作表现等方面进行考核,对不适于接触信息系统的人员要适时调离。5对调离人员,特别是在不情愿的情况下被调走的人员,必须认真办理手续。除人事手续外,必须进行调离谈话,申明其调离后的保密义务,收回所有钥匙及证件,退还全部技术手册及有关材料。系统必须更换口令和机要锁。在调离决定通知本人的同时,必须立即进行上述工作,不得拖延。(四)安全管理1根据系统所处理数据的秘密性和重要性确定安全等级,井据此采用有关规范和制定相应管理制度。2安全等级分为保密等级和可靠性等级两种,系统的保密等级与可靠性等级可以不同。2(1保密等级按有关规定划为绝密、机密、秘密。2(2可靠性等级可分为三级。对可靠性要求最高的为A级,系统运行所要求的最低限度可靠性为C级,介于中间的为B级。3用于重要部门的计算机系统投入运行前,向公安机关的计算机监察部门进行安全检查。4必须制定有关电源设备、空凋设备,防水防盗消防等防范设备的管理规章制度。确定专人负责设备维护和制度实施。5根据系统的重要程度,设立监视系统,分别监视设备的运行情况或工作人员及用户的操作情况,或安装自动录象等记录装置。对这些设备必须制定管理制度,并确定负责人。6制定严格的计算中心出入管理制度:1计算机中心要实行分区控制,限制工作人员出入与己无关的区域。2向所有工作人员,包括来自外单位的人员,发行带有照片的身份证件,并定期进行检查或更换。3网络管理人员不能带其他无关人员到网络中心。4短期工作人员或维修人员的证件,应注明有效日期,届时收回。5参观人员必须由主管部门办理参观手续,参观时必须有专人陪同。6因系统维修或其它原因需外国籍人进入机房时,必须始终有人陪同。7进出口的钥匙应保存在约定的场所,由专人管理,并明确其责任。记录最初人室者及最后离室者和钥匙交换时间。8当发生网络中心钥匙丢失时,必须在12小时内向校园网络安全领导小组汇报,在24小时内更换门锁。9在无警卫的场合,必须保证室内无人时,关锁所有出入口。10禁止携带与上机工作无关的物品进入机房。11对于带进和带出的物品,如有疑问,进行查验。7制定严格的技术文件管理制度。1计算机系统的技术文件如说明书、手册等应妥善保存,要有严格的借阅手续,不得损坏及丢失。2必须备有关计算机系统操作手册规定的文件。3常备计算机系统出现故障时的替代措施及恢复顺序所规定的文件。8制定严格的操作规程:I系统操作人员应为专职,操作时要有两名操作人员在场。2对系统开发人员和系统操作人员要进行职责分离。9制定系统运行记录编写制度,系统运行记录包括系统名称、姓名、操作时间、处理业务名称、故障记录及处理情况等。10制定完备的系统维护制度:1对系统进行维护时,应采取数据保护措施。如:数据转贮、抹除、卸下磁盘磁带,维护时安全人员必须在场等。运程维护时,应事先通知。2对系统进行预防维修或故障维修时,必须记录故障原因、维修对象、维修内容和维修前后状况等。3必须建立完整的维护记录档案。11制定危险品管理制度。13定期进行安全设备维护及使用训练,保证每个工作人员都能熟练地操作有关的安全设备。三、安全技术措施(一)实体安全1设计或改建计算机机房时必须符合下列标准:1(1《计算机场地技术要求》(GB2887-87)。1(2《计算站场地安全要求》国家标准(待公布)。2计算中心机房建筑和结构必须具备以下条件:2(1机房为专用建筑。2(2机房设置在电梯或楼梯不能直接进入的场所。2(3机房与外部人员频繁出入的场所隔离。2(4机房周围设有围墙或栅栏等防止非法进入的设施。2(5建筑物周围有足够照度的照明设施,以防夜间非法侵入。2(6外部容易接近的窗口采取防范措施。如钢化玻璃、嵌网玻璃及卷帘和铁窗。无人值守时应有自动报警设备。2(7在合适的位置上开设应急出口,作为避险通道或应急搬运通道。2(8机房内部设计庞便于出入控制和分区控制。3重要部门的计算机中心外部不允许设置标明系统及有关设备所在位置的标志。4安全设备除符合《计算站场地安全要求》标准外,还要具备以下条件:4(1机房进出口设置应急电话。4(2各房间设置报警喇叭。以免由于隔音及空调的原因而听不到告警通知。4(3机房内用于动力、照明的供电线路与计算机系统的供电线路分开。4(4机房内不同电压的供电系统安装互不兼容的插座。4(5设置温、湿度自动记录仪及温、湿度报警设备。5主机及外设的电磁干扰辐射必须符合国家标准或军队标准的要求,外国产品则必须符合生产国的标准,如FCC或VDE等标准。6机要信息处理系统中要考虑防止电磁波信息辐射被非法截收。6(1采取区域控制的办法,即将可能截获辐射信息的区域控制起来,不许外部人员接近。6(2采用机房屏蔽的方法,使得信息不能辐射出机房。6(3采用低辐射设备。6(4采取其它技术,使得难以从被截获的辐射信号中分析出有效信息。6(5向公安部有关部门咨询关于屏蔽技术的具体要求和技术指标。7磁媒休管理:7(1磁盘、磁带必须按照系统管理员及制造厂确定的操作规程安装。7(2传递过程的数据磁盘、磁带应装在金属盒中。7(3磁带在使用前在机房经过二十四小时温度适应。7(4磁带、磁盘放在距钢筋房柱或类似结构物十厘米以上处,以防雷电经钢筋传播时产生的磁场损坏媒体上的信息。7(5存有机要信息的磁带清除时必须进行消磁,不得只进行磁带初始化。7(6所有入库的盘带目录清单必须具有统一格式,如文件所有者、卷系列号、文件名及其描述、作业或项目编号、建立日期及保存期限。7(7盘带出入库必须有核准手续并有完备记录。7(8定期转贮长期保存的磁带。7(9存有记录机要信息磁带的库房,必须符合相应密级的文件保存和管理条例的要求,不得与一般数据磁带混合存放。7(10重要的数据文件必须多份拷贝异地存放。7(11磁带库必须有专人负责管理。(二)软件安全1系统软件必须具有以下安全措施:1(1操作系统要有较完善的存取控制功能,以防止用户越权存取信息。1(2操作系统要有良好的存贮保护功能,以防止用户作业在指定范围以外的存贮区域进行读写。1(3操作系统要有较完善的管理功能,以记录系统的运行情况,监测对数据文件的存取。1(4维护人员进行维护时,能处于系统安全控制之下。1(5操作系统发生故障时,不会暴露口令,授权表等重要信息。1(6操作系统在作业正常或非正常结束以后,能清除分配给该作业的全部临时工作区域。1(7系统能像保护信息的原件一样,精确地保护信息的拷贝。2应用软件:2(1应用程序必须考虑充分利用系统所提供的安全控制功能。2(2应用程序在保证完成业务处理要求的同时,在设计时增加必要的安全控制功能。2(3程序员与操作员职责分离。2(4安全人员应定期用存档的源程序与现行运行程序进行对照,以有效地防止对程序的非法修改。3数据库:3(1数据库必须有严格的存取控制措施,数据库管理员采取层次、分区、表格等各种授权方式,控制用户对数据库的存取权限。3(2通过实体安全、备份和恢复等多种技术手段来保护数据库的完整性。3(3对输人数据进行逻辑检验,数据库更新时保证数据的准确性。3(4数据库管理员实时检查数据库的逻辑结构、数据元素的关联及数据内容。3(5数据库管理系统应具有检查跟踪能力,可以记录数据库查询、密码利用率、终端动作、系统利用率、错误情况及重新启动和恢复等。3(6库管理系统应能检测出涉及事务处理内容及处理格式方面的错误,并予以记录。3(7必须有可靠的日志记录。对数据完整性要求较高的场合要建立双副本日志,分别存于磁盘和磁带上以保证意外时的数据恢复。3(8应建立定期转贮制度,并根据实际情况决定转贮频度。3(9数据库软件应具备从各种人为故障、软件故障和硬件故障中进行恢复的能力。3(10数据库管理软件应能确定是否由于系统故障而引起了文件或数据的丢失。3(11重要的系统应采取安全控制实时终端,专门处理各类报警信息。3(12对于从日志或实时终端上查获的全部非法操作都应加以分析,找出原因及对策。4软件开发:4(1软件开发过程应按照下述标准的要求进行:(l)《软件工程术语》国家标准(待公布)。(2)《软件开发中的产品文件编制指南》国家标准(待公布)。(3)《软件需求说明规范》国家标准(待公布)。(4)《软件开发规范》国家标准(待公布)。(5)《软件测试规范》国家标准(待公布)。4(2产品鉴定验收:(l)鉴定验收是软件产品化的关键环节,必须给予足够的重视。提交鉴定的软件产品,应具有上述标准中列出的各种产品文件。(2)将鉴定会上提供的上述文件装订成册,编好页码目录,作为技术档案,妥善保存。(3)未经鉴定验收的软件,不得投入运行。(4)购买的软件应附有完整的技术文件。5软件维护与管理:5(1较重要的软件产品,其技术档案应复制副本,正本存档,不准外借。5(2软件产品除建立档案文件外,其源文件应记在磁盘或磁带上,并编写详细目录,以便长期保存。5(3重要的软件,均应复制两份,一份作为主拷贝存档,一份作为备份。5(4对系统软件的维护和二次开发要慎重,必须事先对系统有足够的了解。5(5对软件进行维护和二次开发前,必须写出书面申请报告,经有关领导批准,方可进行。5(6在维护和二次开发中,必须有详细的规范化的书面记载,主要记载修补部位,修改内容,增加功能,修改人,修改日期等,以便查找或别人接替。5(7二次开发只能在系统软件的副本上进行。5(8对软件的任何修改都必须有文字记载,并与修改前后的软件副本一起并人软件技术档案,妥善保存。5(9对软件的修改必须保证不降低系统的安全性。(三)输入输出控制。1明确系统各环节工作人员的责任:1(1系统各程序设计人员与操作人员必须分离。1(2重要事务处理项目,必须规定由合法文件的法定人提交。1(3修改文件必须规定批准和执行的手续。1(4工作期间至少应有两人在机房值班,以防止非法使用计算机。1(5保存控制台打印记录。2制定统一的数据格式并尽可能使用统一编码。3操作控制:3(1对操作人员制定有关处理输人数据的操作制度和规程。3(2必须建立一个整齐、清洁、安静符合生理卫生要求的操作环境,以减少操作失误。3(3严格规定媒体管理制度,以防止媒体中数据的破坏和损失。如:磁带在保管、传递及安装时的要求,卡片、磁盘、胶片、纸带的管理规程等。3(4向操作人员提供完整的操作指南,以便掌握有关作业安排,作业优先级分配,建立和控制作业,规定场所安全措施和作业运行等的合理规程。3(5需要保存的数据文件必须有完备的记录,存人符合要求的媒体库中。3(6充分利用作业统计功能提供的信息,如:调查完成某个特定功能所需的时间,比较实际机器工作时间与预定时间的差异,判别实际的作业资源需求所预定需求的差异。3(7处理机要数据的终端室各终端,采用屏风隔离,以防各用户互看屏幕内容。4数据在投入使用前,必须确保其准确可靠,采用各种方法进行检验。如:标号检查、顺序检查、极限校验、运算验证、记录数核对等。5输出控制:5(1数据处理部门的输出控制应有专人负责。5(2输出文件必须有可读的密级标志,如:秘密、机密、绝密等宇样或颜色标志。5(3等级标志必须与相应文件在整个处理环节中同时生存。5(4输出文件在发到用户之前,应由数据处理部门进行审核。5(5输出文件的发放应有完备手续。6可以设置独立于用户和数据处理部门两者的管理小组,以监督和指导进入或离开数据处理中心的数据。(四)联机处理1联机系统应该确定系统安全管理员,对系统安全负责。2用户识别:2(1必须充分利用系统提供的技术手段。如:用户授权表,存取控制矩阵等。⑴由于计算机识别用户的最常用的方法是口令,所以必须对口令的产生、登记、更换期限实行严格管理。(2)研究和采用多种口令密码方式,如:单一密码、可变或随机密码、函数型密码等。(3)口令应加密存贮。(4)系统能跟踪各种非法请求并记录某些文件的使用情况。(5)根据系统的位置,若错误的口令被连续地使用若干次后,系统应采取相应措施,如封锁那个终端,记录所用终端及用户名,并立即报警。(6)教育用户必须遵循口令的使用规则。3需要保护的数据和软件必须加有标志,在整个生存期,标志应和数据或软件结合在一起,不能丢失。特别是在复制、转移、输出打印时,不能丢失。4计算机通信线路安全问题:4(I通信线路必须远离强电磁场辐射源,埋于地下或采用金属套管。4(2定期测试信号强度,以确定是否有非法装置接人线路。4(3定期检查接线盒及其他易被人接近的线路部位。5加密:5(1传输需要保密的数据,应该加密保护。5(2需长期保存的机要文件,应加密后保存。5(3系统应建立完善的密钥产生、管理和分配系统。5(4所有数据应由数据主管部门负责划分密级,密级确定后交数据处理部门进行分类处理。5(5根据数据的密级和保密时效的长短,选择相应强度的密码算法,既不能强度太高,过多增加系统开销,又不要强度太低,起不到保密效果。5(6不要扩大加密的范围。对于可加密可不加密的数据,不要加密。5(7对于密钥管理人员要尽可能地缩小范围,并严格审查。5(8定期对工作人员进行保密教育。6当系统密级发生变化,特别是密级降低时,应用叠写的方法清除全部磁存贮器,用停电的方法清除非磁存贮器。7计算机系统必须有完整的日志记录。7(1重要计算机日志记录:⑴每次成功的使用:记录节点名、用户名、口令、终端名、上下机时间、操作的数据或程序名、操作的类型、修改前后的数据值。(2)用户每次越权存取的尝试:记录节点名、用户名、终端名、时间、欲越权存取的数据及操作类型、存取失败的原因。(3)每次不成功的用户身份:记录节点名、用户名、终端名、时间。7(2操作员对越权存取庞通过控制台进行干预。7(3打印出的日志应完整而连续,不得拼接。7(4重要的日志应由安全负责人签名,规定保存期限。8对特定的终端设备,限定操作人员。特定终端设备指:可对重要数据进行存取的、有控制台功能的、系统管理员所用的终端等。限定操作人员的方法有:采用口令、识别码等资格认定或设置终端设备的钥匙等。(五)网络安全1网络安全比单机系统或联机系统更为重要。如果没有必要的安全措施,网络不能正式投入使用。2重要部门的计算机网络应设立全网管理中心,由专人实施对全网的统一管理、监督与控制,不经网络主管领导同意,任何人不得变更网络拓扑、网络配置及网络参数。3从实际出发,分阶段、分层次逐步完善网络安全可。可以采用存贮加密、传输加密、存取控制、数字签名及验证等安全措施。四、安全监督(一)应急计划与备份1系统安全人员必须详细列出影响系统正常工作的各种可能出现的紧急情况。如火灾、水灾、意外停电、外部攻击、误操作等。2必须制定万一发生意外时的应急计划。3应急计划必须确定所要采取的具体步骤、确定每个步骤的内容。4与执行应急计划有关人员的姓名、住址、电话号码以及有关职能部门(如消防、公安等有关部门)的联系方法应放在明显、易取的地方或贴在墙上。5应付紧急情况的具体步骤也应贴在墙上。如:如何使用备份设备、紧急情况下关机步骤等。6应定期进行应急计划实施演习,保证每个系统值班人员都能正确实施应急计划。7除了必须备份的基本数据文件。如:操作系统、数据库管理系统、应用程序等以外,各单位必须根据自己的实际情况定出需备份的数据文件。8必须在机房附近存放一套备份文件的副本,以便紧急情况下能迅速取出。9重要的实时系统在建立时必须进行备份。如:CPU备份,主机备份,系统备份等。9(1备份系统应安装在主机房有一定距离的备份机房。9(2备份机房应具有与主机房相同的安全标准与措施。9(3备份系统必须定期进行实际运行,以检验备份系统的可靠性。10在对数据完整性要求较高的场合,必须采取严格的数据备份措施,以保证在发生意外时数据的可靠恢复。10(1数据库转贮。应根据本单位情况确定转贮周期。10(2日志文件。日志必须双副本,即保存在盘、带上的联机日志与档案日志。10(3对于较长的作业,要考虑在其中间设置检查点、重新启动人口、恢复与备份。(二)审计1在对计算机安全要求较高的场合,必须建立审计制度,配备专职审计人员。2审计人员应该是精通业务,对计算机系统有较好的掌握又有一定实际工作经验的高级技术人员。3在系统设计阶段就应有审计人员参加,以评价系统设计是否满足安全要求。4在系统设计中增加安全控制以后,要重新评价系统,以保证系统功能不退化。5系统安全控制包括以下几方面:5(1实体控制:防止天灾、人为事故以及电气和机械支持系统的失效。5(2系统控制:涉及系统的逻辑和实体结构以及有关硬、软件的保护措施。5(3管理控制:有关人员、文件资料的处理、存贮等类似事务的安全制度及有关规定。6系统运行状态下的审计应包括:6(1数据输人阶段。由于多数问题是因数据输入时的错误造成的,放这个阶段应作为重点进行调查。6(2数据的处理过程。选择一个处理过程,对其每个环节进行跟踪检查,以便发现非法行为。6(3计算机程序的检查。必须保存所有程序的完整技术说明文件及其拷贝,以便必要时对重要的程序审查程序代码。6(4远程通信环节。由于租用邮电通信线路,数据传送过程中被截取的可能性难以避免,所以必须对加密手段进行认真研究,并通过测试防止对通信系统的渗透。6(5输出的用途及利用。6(6系统的管理环节。如:岗位责任制的划分与分离状况、用户、程序员、操作员是否有越权行为等。7审计方法主要有以下两种:7(1检查性审计。对正常运行的系统的某一部分进行抽样检查。如:抽样打印某部分文件,寻找错误或矛盾。将已知预期结果的一批数据送人系统进行处理,核对结果。追踪检查某一交易的所有环节并进行核对等。7(2攻击性审计。由审计人员采用各种非法分子可能采取的手段及可能出现的意外情况对系统进行渗透,或破坏的试验,分析成功的可能性及所需的条件,找出系统的薄弱环节及其相应的对策。8审计工作应该长期不间断地进行,以对非法行为形成一种威慑力量。9重要的计算机系统应定期与公安机关的计算机监察部门共同进行安全检查。(三)风险分析1组织专门小组定期对系统进行风险分析。2工作小组成员应由与系统有关的各方面的专家组成。3风险分析包括:3(1硬件资源的破坏及丢失。3(2数据与程序文件的破坏与丢失。3(3数据的失窃。3(4对实现系统功能的不利影响。3(5对系统资源的非法使用。4风险分析应尽可能具体,有些可能的损失应绘出预计的定量值。5分析结果必须包括相应的预防措施。如:大多数损失源于操作错误,那么就应该对业务培训、思想教育、技术措施、人事管理等有关规定或计划做出必要的调整。6并非每一个有风险的脆弱性的部位都需要保护。若保护措施的代价高于可能出现的风险损失,这些措施应该放弃。7保护措施的可靠程度只需使系统变得对渗透者是非常困难或代价昂贵,以致胜过可能给渗透者带来的利益即可。8分析的过程与结果应该保密,以免招致对系统弱点的非法利用。五、本制度自发布之日起实施执行。市财政局计算机信息网络安全管理制度市财政局计算机信息网络安全管理制度第一条为了加强对计算机信息网络国际联网的安全保护,维护公共秩序和社会稳定,根据中华人民共和国计算机信息系统安全保护条例(国务院第147号令)和计算机信息网络国际联网安全保护管理办法(公安部第33号令),制定我局计算机信息网络安全管理制度。第二条本单位任何人不得利用国际联网危害国家安全、泄露国家秘密,不得侵犯国家的、社会的、集体的利益和公民的合法权益,不得从事违法犯罪活动。第三条本单位任何人要严格遵守信息发布审核制度,不得利用国际联网制作、复制、查阅和传播下列信息:(一)煽动抗拒、破坏宪法和法律、行政法规实施的;(二)煽动颠覆国家政权,推翻社会主义制度的;(三)煽动分裂国家、破坏国家统一的;(四)煽动民族仇恨、民族歧视,破坏民族团结的;(五)捏造或者歪曲事实,散布谣言,扰乱社会秩序的;(六)宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖,教唆犯罪的;(七)公然侮辱他人或者捏造事实诽谤他人的;(八)损害国家机关信誉的;(九)其他违反宪法和法律、行政法规的。第四条本单位任何人不得从事下列危害计算机信息网络安全的活动:(一)未经允许,进入计算机信息网络或者使用计算机信息网络资源的;(二)未经允许,对计算机信息网络功能进行删除、修改或者增加的;(三)未经允许,对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的;(四)故意制作、传播计算机病毒等破坏性程序的;(五)其他危害计算机信息网络安全的。第五条用户的通信自由和通信秘密受法律保护。任何科室和个人不得违反法律规定,利用国际联网侵犯用户的通信自由和通信秘密。第六条互联科室、接入科室及使用计算机信息网络国际联网的个人应当履行下列安全保护职责:(一)负责本网络的安全保护管理工作,建立健全安全保护管理制度;(二)落实安全保护技术措施,保障本网络的运行安全和信息安全;(三)负责对本网络用户的安全教育和培训;(四)对委托发布信息的单位和个人进行登记,并对所提供的信息内容按照本办法第五条进行审核;(五)建立计算机信息网络电子公告系统的用户登记和信息管理制度;(六)发现有本制度第二条、第三条、第四条所列情形之一的,应当保留有关原始记录,并在二十四小时内向当信息中心报告;(七)按照国家有关规定,删除本网络中含有本办法第五条内容的地址、目录或者关闭服务器。第六条使用公用帐号的注册者应当加强对公用帐号的管理,建立帐号使用登记制度。用户帐号不得转借、转让。第七条违反本制度办法第三条、第四条所列行为之一的,由信息中心给予警告,情节严重的,并告知领导可以给予六个月以内停止联网、停机整改,构成犯罪的,依法追究刑事责任。第八条信息中心应立健全安全管理制度,负责本单位计算机信息系统的安全保护工作,障计算机及其相关的和配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息传输数据畅通。第九条信息中心发现影响计算机信息系统安全的隐患时,应当及时通知使用个科室采取安全保护措施。第十条信息中心在紧急情况下,可以就涉及计算机信息系统安全的特定事项发布专项公告,告明各个科室真相。第十一我局各个科室对计算机信息系统安全保护工作,按照制度严格实施。第十二本制度自发布之日起施行。计算机信息网络安全管理制度为加强对局系统计算机信息网络的保护,确保计算机数据、资料的安全,杜绝计算机泄密事件,更好地发挥计算机信息网络在财政工作中的作用,根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、“金财工程”的相关规定,以及其它相关的法律、法规,制定本规定。一、本规定适用范围本规定的适用范围为局机关各股室、局属各单位的所有计算机(包括台式电脑、手提电脑、掌上电脑等)、多功能一体机等。局机关各股室、局属各单位均必须严格遵守本规定。二、计算机信息网络安全管理组织局系统计算机信息网络的安全管理工作由局计算机信息网络安全管理领导小组负责,局信息中心负责具体工作。三、计算机安全等级划分局系统所有计算机按用途分为“专网计算机”和“一般计算机”两类。(一)、“专网计算机”包括:1、部门预算专网计算机;2、集中支付专网计算机;3、其它财政业务专网计算机(二)、“一般计算机”包括:上述专网计算机以外的计算机。四、计算机管理(一)、“专网计算机”管理1、所有有“专网计算机”的单位、股室负责人为计算机信息系统安全负责人。2、所有有“专网计算机”的单位、股室都要明确一名计算机信息安全管理员;3、所有“专网计算机”及其专用移动存储介质,都必须明确固定使用者。4、所有“专网计算机”都必须设置好相关密码,密码要尽量复杂,防止猜出;必须保管好所有密码,防止密码泄漏或丢失;不得使用保存密码、自动登陆等功能。5、所有“专网计算机”必须安装1套正版杀毒软件并开启病毒实时监控,要经常、及时升级,保证查杀毒引擎、病毒库文件最新;要经常全面查杀病毒。6、所有“专网计算机”都不得随意安装软件。(1)、只能安装必要的办公软件(如:office、wps)、由对口机构规定使用的业务处理专业软件、杀毒软件、防火墙软件。(2)、不得安装任何游戏软件、聊天软件、网络硬盘软件、网络优盘软件及其它与本计算机所处理的

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论