软件系统安全规范

合集下载

IT系统规范

IT系统规范一、引言IT系统规范是指为了确保信息技术系统的正常运行和安全性，对系统进行统一的规范和标准化管理。

本文将从系统硬件、软件、网络和数据安全等方面，论述IT系统规范的重要性和实施方法。

二、系统硬件规范1. 设备选购与配置在选购计算机设备时，应根据实际需求和预算合理选择硬件配置。

同时，要确保设备的质量和性能达到规定标准，以提高系统的稳定性和可靠性。

2. 设备安装与维护设备安装应按照制定的规范进行，包括设备摆放、接线等。

定期进行设备的维护和保养，及时清理设备内部灰尘，检查设备运行状态，确保设备正常工作。

三、系统软件规范1. 软件选用与安装在选择软件时，要考虑软件的功能、性能和安全性。

确保软件来源可靠，防止非法软件的安装和使用。

安装软件时，要按照规范进行，避免安装无关或冲突的软件。

2. 软件更新与升级定期对软件进行更新和升级，以修复漏洞和提升性能。

在更新和升级过程中，要备份重要数据，防止数据丢失或损坏。

同时，要测试更新后的软件是否与系统其他部分兼容。

四、系统网络规范1. 网络拓扑与架构根据实际需求，制定合理的网络拓扑和架构，确保网络的稳定性和可扩展性。

合理划分子网，设置防火墙和访问控制策略，保护系统免受网络攻击。

2. 网络设备配置与管理对网络设备进行合理的配置和管理，包括路由器、交换机等。

设置设备的访问权限和密码，定期检查设备的运行状态和安全性，及时更新设备的固件和软件。

五、系统数据安全规范1. 数据备份与恢复建立完善的数据备份和恢复机制，定期备份重要数据，并将备份数据存储在安全的地方。

同时，要测试备份数据的可用性，确保在发生数据丢失或损坏时能够及时恢复。

2. 数据访问与权限控制对系统中的数据进行合理的访问控制和权限管理，确保只有授权人员可以访问和修改数据。

设置用户账号和密码，并定期更换密码，防止非法用户的访问。

六、系统安全监控与管理1. 安全事件监测与响应建立安全事件监测系统，实时监测系统中的安全事件和异常行为。

开发安全管理制度规范

一、总则为加强公司信息系统开发过程中的安全管理，保障信息系统安全稳定运行，防止信息泄露、系统故障等安全事件的发生，特制定本制度。

二、制度范围本制度适用于公司所有信息系统开发项目，包括但不限于软件开发、系统集成、网络建设等。

三、安全管理原则1. 预防为主：在信息系统开发过程中，始终把安全放在首位，加强安全意识，预防安全事件的发生。

2. 综合管理：建立健全安全管理组织体系，明确各级人员的安全责任，实现安全管理工作的全面覆盖。

3. 持续改进：根据信息系统安全形势的变化，不断完善安全管理措施，提高安全管理水平。

四、安全管理内容1. 安全规划（1）制定信息系统安全规划，明确安全目标、安全策略和安全措施。

（2）根据安全规划，编制年度安全工作计划，明确安全工作重点和任务。

2. 安全组织（1）成立信息系统安全工作领导小组，负责组织、协调和指导信息系统安全工作。

（2）设立信息系统安全管理员，负责日常安全管理工作。

3. 安全制度（1）制定信息系统安全管理制度，包括安全保密制度、网络安全制度、系统维护制度等。

（2）制定信息系统安全操作规程，明确操作流程、权限管理、应急处理等内容。

4. 安全培训（1）定期开展信息系统安全培训，提高员工安全意识和技能。

（2）对新员工进行入职安全培训，确保其具备基本的安全知识。

5. 安全检查（1）定期开展信息系统安全检查，发现问题及时整改。

（2）对信息系统进行安全风险评估，制定风险应对措施。

6. 安全应急（1）制定信息系统安全事件应急预案，明确应急响应流程、职责分工等。

（2）定期开展应急演练，提高应急处理能力。

五、安全责任1. 信息系统安全工作领导小组负责组织、协调和指导信息系统安全工作。

2. 信息系统安全管理员负责日常安全管理工作，包括安全制度执行、安全检查、安全事件处理等。

3. 项目经理负责项目安全管理工作，确保项目安全目标的实现。

4. 项目组成员应遵守安全制度，提高安全意识，积极参与安全工作。

系统软件安全要求

系统软件安全要求导言系统软件安全是保障计算机系统的安全性和可靠性的核心之一。

在现今的信息时代，计算机系统日益重要，系统软件也被越来越多地应用于各种场景中，如航空、航天、金融、医疗等领域，系统软件安全问题更加凸显。

因此，对于系统软件的安全要求也越来越高。

安全要求代码安全各种操作系统、数据库等系统软件都需要编写安全可靠的代码。

为了保证代码的安全性和可靠性，有以下几个方面的安全要求：1.代码规范：编写代码时应遵守一定的代码规范，包括但不限于代码格式、命名规范、注释规范等。

这有利于提高代码的可读性，方便代码维护和代码审查。

2.安全编程：编写代码时应遵守安全编程的原则，包括数据加密、输入验证、错误处理等。

这有助于防范恶意攻击和错误输入所带来的危险。

3.学习与改进：开发人员应不断学习新的技术和理念，以进一步提高代码安全性。

同时，应不断完善和改进代码，解决已知的安全问题和缺陷。

访问控制系统软件需要对用户进行访问控制，保证系统只被授权的用户使用。

为了实现访问控制，需要考虑以下几个方面的安全要求：1.用户身份认证：系统应提供身份认证机制，确保只有授权的用户能够登录系统。

认证机制可以采用密码、指纹、证书等方式。

2.权限管理：系统应提供细粒度的权限管理机制，保证用户只能访问他们被授权的资源。

这需要对系统中的资源进行分类和赋权，以实现资源的精确控制。

3.监控和日志：系统应实时监控操作行为，并记录日志，以便发现异常操作和审计。

数据安全系统软件需要保证数据的安全性，防止数据被窃取、篡改或损坏。

为了实现数据安全，需要考虑以下几个方面的安全要求：1.数据加密：对于敏感数据，如用户隐私信息、密码等，需要进行加密存储，防止信息被窃取和泄露。

2.安全传输：在数据传输过程中需要采用安全传输协议，如HTTPS，确保数据传输过程中不被窃取、篡改或丢失。

3.数据备份和恢复：对于重要数据，应进行备份和恢复策略的规划，以防止数据丢失和灾难恢复。

计算机安全使用规范

计算机安全使用规范1.密码安全：-在使用计算机系统时，用户应该设置强密码，并且定期更改密码。

-密码应该包含字母、数字和特殊字符，并且长度不少于8个字符。

-用户不应该将密码写在纸上，也不应该与他人共享密码。

-避免使用容易猜测的密码，例如生日、姓名等个人信息。

-不要在公共场所或不安全的网络上输入密码。

2.软件安全：-定期更新操作系统、应用程序和安全补丁程序，以确保获得最新的安全性修复程序。

-不要使用盗版软件，盗版软件可能包含恶意代码。

-不要随意安装未经验证、来路不明的软件。

-安装杀毒软件和防火墙，并定期更新其病毒库。

3.网络安全：-只在安全的、加密的网络上进行在线交易和网银操作。

-在使用公共Wi-Fi网络时，不要访问敏感的个人账户或进行重要的在线交易。

-仔细检查URL，确保访问的是正确的网站，以防钓鱼攻击。

4.数据安全：-定期备份重要的文件和数据，并将备份存储在安全的地方。

-不要将个人隐私信息存储在公共场所或者不安全的存储设备上。

-对重要的文件和数据进行加密，以防止非法访问。

-不要随意插入不明存储设备，以免遭受病毒或恶意软件感染。

-在不再需要的文件和设备上完全清除数据，以防止敏感信息被他人恢复。

5.社交媒体安全：-仔细控制个人社交媒体账户的隐私设置，并严格限制可见性和接收消息的权限。

-不要接受来自未知人士的朋友请求，以防止遭受钓鱼或恶意攻击。

-当接收到可疑的消息或链接时，不要点击或回复，以避免个人信息泄露或受到影响。

综上所述，计算机安全使用规范事关个人隐私和信息安全，每个人都应该充分认识到这一点，并且采取相应的措施保护自己的计算机系统和数据安全。

通过遵循上述规范，我们可以最大程度地保护个人隐私和信息免受攻击和泄露的风险。

软件安全使用制度(5篇)

软件安全使用制度(一)必须定期检查软件的运行状况、定期调阅软件运行日志记录，进行数据和软件日志备份。

(二)禁止在服务器上进行试验性质的软件调试，禁止在服务器上随意安装软件。

需要对软件进行配置时，必须在其它可进行试验的机器上调试，通过并确认可行后，再对服务器上的软件进行配置。

(三)对会影响到全局的软件更改、调试等操作应提前发布通知，并且应有充分的时间、方案准备，才能进行软件配置的更改。

(四)对重大软件配置的更改，应先形成方案文件，经过讨论确认可行后，再进行更改，并应做好详细的更改和操作记录。

在进行软件的更改、升级、配置等操作之前，应对更改、升级、配置所带来的负面后果做好充分的准备，必要时需要先备份原有软件系统和落实好应急措施。

(五)禁止在服务器等核心设备上进行与工作范围无关的软件调试和操作。

未经允许，不得带领、指使他人进入机房对网络及软件环境进行更改和操作。

软件安全使用制度（2）是指企业或组织为了保障使用软件过程中的安全性，制定的一系列规定和措施。

这些规定和措施旨在防止或减少软件系统遭受攻击、泄漏敏感信息、数据丢失等安全风险。

以下是一些常见的软件安全使用制度内容：1. 软件采购和评估制度：企业需要明确规定采购软件的程序和标准，同时对已有软件进行定期的评估和更新。

2. 软件安装和配置规范：规定只能从可靠的来源下载软件，并确保软件在安装和配置过程中的安全性，比如禁止默认密码、关闭不必要的服务等。

3. 软件许可管理：对于企业拥有的软件许可进行统一管理，禁止使用盗版软件。

4. 软件更新和补丁管理：制定软件更新和补丁管理的规范，及时安装系统和软件的更新和补丁，以修复已知的安全漏洞。

5. 数据备份和恢复：要求对重要数据进行定期备份，并测试备份和恢复功能，以防止数据丢失或损坏。

6. 用户权限管理：限制用户权限，根据岗位和工作需要分配不同的权限，避免未授权的操作和访问。

7. 安全培训和意识提升：定期进行安全培训，提高员工对软件安全的意识，教育员工遵守安全制度和规定。

应急管理业务软件系统安全设计规范

应急管理业务软件系统安全设计规范1范围本规范规定了应急管理业务软件系统安全设计规范，包括软件研发流程、软件系统所包含的安全设计规范范围，主要有身份鉴别、访问控制、安全审计、通信安全、容错设计、通用要求以及数据库安全，并对软件开发管理做了要求。

本规范适用于山西省应急管理业务软件系统安全设计规范。

2规范性引用文件下列文件对于本文件的应用是必不可少的。

凡是注日期的引用文件，仅注日期的版本适用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

中华人民共和国网络安全法关于印发信息安全等级保护管理办法的通知（公通字【2007】43号）GB/T30998-2014信息技术软件安全保障规范GB/T22239-2019信息安全技术网络安全等级保护基本要求3术语和定义下列术语和定义适用于本文件。

3.1安全设计security design系统在设计阶段开展的结构分析、专项防护及方案评审等一系列活动的总称。

3.2安全策略security policy业务系统中制定一系列规则，实现安全目标的总称。

3.3系统级资源system level resources系统级资源包括：文件、文件夹、注册表项、ActiveDirectory对象、数据库对象、事件日志等。

3.4前端Front-end前端即网站前台部分，在浏览器上展现给用户浏览的网页。

3.51后端Back-End后端是负责与数据库的交互，实现相应的业务逻辑。

3.6双因子认证SecureID密码以及实物(SMS手机、令牌等生物标志)两种或多种条件对用户进行认证的方法。

3.7单向散列One-Way Hash是根据输入消息计算后，输出固定长度数值的算法，输出数值也称为“散列值”或“消息摘要”，其长度通常在128～256位之间。

3.8反向代理Reverse Proxy是指内部网络对Internert发出连接请求，需要制定代理服务将原本直接传输至Web服务器的HTTP 发送至代理服务器中。

安全要求规格书srs

安全要求规格书srs全文共四篇示例，供读者参考第一篇示例：安全要求规格书SRS（Safety Requirement Specification）是软件项目开发过程中必不可少的一份文档，它主要用于描述软件系统中的安全要求和需求。

在如今信息安全日益受到重视的时代，安全要求规格书对于保障软件系统的安全性至关重要。

一、引言随着科技的不断发展和应用，软件系统在我们的生活中扮演着越来越重要的角色。

随之而来的是信息安全问题的不断出现，例如数据泄露、网络攻击等。

对软件系统的安全性要求也越来越严格。

安全要求规格书在软件开发过程中有着不可替代的作用。

它可以帮助项目团队明确安全需求，制定安全策略，并最终确保软件系统的安全性。

二、安全要求规格书的编写内容1. 系统概述：对软件系统做一个简要的介绍，包括系统的功能、用途、目标用户等。

2. 安全需求：描述系统中的各种安全需求，包括机密性、完整性、可用性等方面的要求。

3. 安全策略：制定系统的安全策略，包括访问控制、身份认证、数据加密、安全审计等。

4. 安全风险评估：对系统进行安全风险评估，识别潜在的安全风险并提出相应的应对措施。

5. 安全测试计划：制定系统的安全测试计划，包括安全功能测试、安全性能测试等内容。

6. 安全验证与审计：对系统进行安全验证和审计，确保系统符合安全标准和规范。

7. 安全培训与意识：制定安全培训计划，提高项目团队成员和用户的安全意识，并加强安全培训。

4.编写安全要求规格书：根据系统的安全目标和需求，编写详细的安全要求规格书，确保安全要求得到充分的体现和满足。

5.验证和审计：对编写的安全要求规格书进行验证和审计，确保规格书中的安全要求和策略是合理有效的。

四、总结安全要求规格书在软件项目开发中扮演着重要的角色。

通过对系统的安全需求和风险进行认真分析，制定有效的安全策略，编写完整的安全要求规格书，可以有效地保障软件系统的安全性。

项目团队成员和用户应该加强安全意识和培训，共同维护系统的安全。

集团系统、软件安全行为规范

信息安全管理办法（系统、软件安全行为规范）第一章总则第一条本规范的目的在于建立用户在使用信息资源时应遵循的基本安全行为。

第二条本规范适用于管理和使用所有信息资源的任何个人、部门和单位。

第二章规范内容第三条用户不得在明知不被授权的情况下，仍试图访问权限以外的系统功能、服务和数据。

第四条操作系统由公司统一提供。

第五条公司提供的全部软件仅限于员工完成公司的工作使用第六条任何由公司组织开发的软件或外购的软件，属公司所有，由公司对系统统一管理、备份、维护、升级。

任何部门或个人不能私自拷贝或提供给其它单位或个人。

第七条擅自安装使用非公司提供的软件，导致系统损坏、信息丢失者，全部后果由使用人自行承担。

（公司提供软件列表参考附件）第八条员工私自将公司提供软件用于私人或泄密公司正版软件的，使用者承担全部责任，并视情节予以处罚。

第九条用户不得故意发起或参与以下行为，包括：-中断或降低系统功能或性能；-未经许可剥夺或更改经授权的用户的正常访问权限；-试图获取授权范围以外的数据和信息；-试图阻挠或绕过公司的安全防护措施。

第十条禁止以下活动，因为其会大量占用网络资源，造成网络堵塞：-下载和安装P2P软件（P2P软件包括但不限于：BT、电驴、迅雷）；-下载和安装网络视频类软件（网络视频类软件包括但不限于：PPLive、PPStream）；-下载和安装网络扫描工具（网络扫描工具包括但不限于：LanSee）。

第十一条用户不得下载和安装任何在功能上试探或测试公司现有安全防护技术措施的软件，包括：密码破译软件、包侦测软件、端口扫描软件或其它未经公司许可的此类软件。

第十二条用户不得下载和安装任何与工作无关的软件，包括：游戏类软件或其它未经公司许可的此类软件。

第十三条所有公司计算机必须按照《软件安装标准》进行安装，公司信息技术部负责按照《软件安装标准》中所列软件，进行安装、维护、修复和升级工作，并将对《软件安装标准》进行不断的更新和调整。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

一、引言1．1目的随着计算机应用的广泛普及，计算机安全已成为衡量计算机系统性能的一个重要指标。

计算机系统安全包含两部分内容，一是保证系统正常运行，避免各种非故意的错误与损坏；二是防止系统及数据被非法利用或破坏。

两者虽有很大不同，但又相互联系，无论从管理上还是从技术上都难以截然分开，因此，计算机系统安全是一个综合性的系统工程。

本规范对涉及计算机系统安、全的各主要环节做了具体的说明，以便计算机系统的设计、安装、运行及监察部门有一个衡量系统安全的依据。

1．2范围本规范是一份指导性文件，适用于国家各部门的计算机系统。

在弓I用本规范时，要根据各单位的实际情况，选择适当的范围，不强求全面采用。

二、安全组织与管理2．1安全机构2．1．1单位最高领导必须主管计算机安全工作。

2．1．2建立安全组织：2．1．2．1安全组织由单位主要领导人领导，不能隶属于计算机运行或应用部门。

2．1．2．2安全组织由管理、系统分析、软件、硬件、保卫、审计、人事、通信等有关方面人员组成。

2．1．2．3安全负责人负责安全组织的具体工作。

2．1．2．4安全组织的任务是根据本单位的实际情况定期做风险分析，提出相应的对策并监督实施。

2．1．3安全负责人制：2．1．3．I确定安全负责人对本单位的计算机安全负全部责任。

2．1．3．2只有安全负责人或其指定的专人才有权存取和修改系统授权表及系统特权口令。

2．1．3．3安全负责人要审阅每天的违章报告，控制台操作记录、系统日志、系统报警记录、系统活动统计、警卫报告、加班报表及其他与安全有关的材料。

2．1．3．4安全负责人负责制定安全培训计划。

2．1．3．5若终端分布在不同地点，则各地都应有地区安全负责人，可设专职，也可以兼任，并接受中心安全负责人的领导。

2．1．3．6各部门发现违章行为，应向中心安全负责人报告，系统中发现违章行为要通知各地有关安全负责人。

2．1．4计算机系统的建设应与计算机安全工作同步进行。

2．2人事管理2．2．1人员审查：必须根据计算机系统所定的密级确定审查标准。

如：处理机要信息的系统，接触系统的所有工作人员必须按机要人员的标准进行审查。

2．2．2关键岗位的人选。

如：系统分析员，不仅要有严格的政审，还要考虑其现实表现、工作态度、道德修养和业务能力等方面。

尽可能保证这部分人员安全可靠。

2．2．3所有工作人员除进行业务培训外，还必须进行相应的计算机安全课程培训，才能进入系统工作。

2．2．4人事部门应定期对系统所有工作人员从政治思想、业务水平、工作表现等方面进行考核，对不适于接触信息系统的人员要适时调离。

2．2．5对调离人员，特别是在不情愿的情况下被调走的人员，必须认真办理手续。

除人事手续外，必须进行调离谈话，申明其调离后的保密义务，收回所有钥匙及证件，退还全部技术手册及有关材料。

系统必须更换口令和机要锁。

在调离决定通知本人的同时，必须立即进行上述工作，不得拖延。

2.3安全管理2．3，1应根据系统所处理数据的秘密性和重要性确定安全等级，井据此采用有关规范和制定相应管理制度。

2．3．2安全等级可分为保密等级和可靠性等级两种，系统的保密等级与可靠性等级可以不同。

2．3．2．1保密等级应按有关规定划为绝密、机密、秘密。

2．3．2．2可靠性等级可分为三级。

对可靠性要求最高的为A级，系统运行所要求的最低限度可靠性为C级，介于中间的为B级。

2．3．3用于重要部门的计算机系统投入运行前，应请公安机关的计算机监察部门进行安全检查。

2．3．4必须制定有关电源设备、空凋设备，防水防盗消防等防范设备的管理规章制度。

确定专人负责设备维护和制度实施。

2．3．5应根据系统的重要程度，设立监视系统，分别监视设备的运行情况或工作人员及用户的操作情况，或安装自动录象等记录装置。

对这些设备必须制定管理制度，并确定负责人。

2．3．6制定严格的计算中心出入管理制度：2．3．6．1计算机中心要实行分区控制，限制工作人员出入与己无关的区域。

2．3．6．2规模较大的计算中心，可向所有工作人员，包括来自外单位的人员，发行带有照片的身份证件，并定期进行检查或更换。

2．3．6．3安全等级较高的计算机系‘统，除采取身份证件进行识别以外，还要考虑其他出入管理措施，如：安装自动识别登记系统，采用磁卡、结构编码卡或带有徽电脑及存储器的身份卡等手段，对人员进行自动识别、登记及出入管理。

2．3．6．4短期工作人员或维修人员的证件，应注明有效日期，届时收回。

2．3．6．5参观人员必须由主管部门办理参观手续，参观时必须有专人陪同。

2．3．6．6因系统维修或其它原因需外国籍人进入机房时，必须始终有人陪同。

2．3．6．7进出口的钥匙应保存在约定的场所，由专人管理，并明确其责任。

记录最初人室者及最后离室者和钥匙交换时间。

2．3．6．8在无警卫的场合，必须保证室内无人时，关锁所有出入口。

2．3．6．9禁止携带与上机工作无关的物品进入机房。

2．3．6．10对于带进和带出的物品，如有疑问，庞进行查验。

2．3．7制定严格的技术文件管理制度。

2．3．7．1计算机系统的技术文件如说明书、手册等应妥善保存，要有严格的借阅手续，不得损坏及丢失。

2．3．7．2应备有关计算机系统操作手册规定的文件。

2．3．7．3庞常备计算机系统出现故障时的替代措施及恢复顺序所规定的文件。

2．3．8制定严格的操作规程：2．3．8．I系统操作人员应为专职，操作时要有两名操作人员在场。

2．3．8．2对系统开发人员和系统操作人员要进行职责分离。

2．3．9制定系统运行记录编写制度，系统运行记录包括系统名称、姓名、操作时间、处理业务名称、故障记录及处理情况等。

2．3．10制定完备的系统维护制度：2．3．10．1对系统进行维护时，应采取数据保护措施。

如：数据转贮、抹除、卸下磁盘磁带，维护时安全人员必须在场等。

运程维护时，应事先通知。

2．3．10．2对系统进行预防维修或故障维修时，必须记录故障原因、维修对象、维修内容和维修前后状况等。

2，3．10．3必须建立完整的维护记录档案。

2．3．11应制定危险品管理制度。

2．3．12应制定消耗品管理制度。

2．3．13应制定机房清洁管理制度。

2．3．14必须制定数据记录媒体管理制度。

2．3．15必须定期进行安全设备维护及使用训练，保证每个工作人员都能熟练地操作有关的安全设备。

三、安全技术措施3．1实体安全3．1．1设计或改建计算机机房时必须符合下列标准：3．1．1．1《计算机场地技术要求》(GB2887—87)。

3．1．1．2《计算站场地安全要求》国家标准(待公布)。

3．1．2计算中心机房建筑和结构还应注意下列问题：3．1．2．1祝房最好为专用建筑。

3．1．2．2机房最好设置在电梯或楼梯不能直接进入的场所。

3．1．2．3机房应与外部人员频繁出入的场所隔离。

3．1．2．4机房周围应设有围墙或栅栏等防止非法进入的设施。

3．1．2．5建筑物周围应有足够照度的照明设施，以防夜间非法侵入。

3．1．2．6外部容易接近的窗口应采取防范措施。

如钢化玻璃、嵌网玻璃及卷帘和铁窗。

无人值守时应有自动报警设备。

3．1．2．7应在合适的位置上开设应急出口，作为避险通道或应急搬运通道。

3．1．2．8机房内部设计庞便于出入控制和分区控制。

3．1．3重要部门的计算机中心外部不应设置标明系统及有关设备所在位置的标志。

3．1．4安全设备除符合《计算站场地安全要求》标准外，还要注意以下几点：3．1．4．1机房进出口应设置应急电话。

3．1．4．2各房间应设置报警喇叭。

以免由于隔音及空调的原因而听不到告警通知。

3．1．4．3进出口应设置识别与记录进出人员的设备及防范设备。

3．1．4．4机房内用于动力、照明的供电线路应与计算机系统的供电线路分开。

3．1．4．5机房内不同电压的供电系统应安装互不兼容的插座。

3．1．4．6应设置温、湿度自动记录仪及温、湿度报警设备。

3．1．5主机及外设的电磁干扰辐射必须符合国家标准或军队标准的要求，外国产品则必须符合生产国的标准，如FCC或VDE等标准。

3．1．6机要信息处理系统中要考虑防止电磁波信息辐射被非法截收。

3．1．6．1可采取区域控制的办法，即将可能截获辐射信息的区域控制起来，不许外部人员接近。

3．1．6．2可采用机房屏蔽的方法，使得信息不能辐射出机房。

3．1．6．3可采用低辐射设备。

3．1．6．4可采取其它技术，使得难以从被截获的辐射信号中分析出有效信息。

3．1．6．5关于屏蔽技术的具体要求和技术指标可向公安部有关部门咨询。

3．1．7磁媒休管理：3．1．7．1磁盘、磁带必须按照系统管理员及制造厂确定的操作规程安装。

3．1．7．2传递过程的数据磁盘、磁带应装在金属盒中。

3．1．7．3新带在使用前庞在机房经过二十四小时温度适应。

3．1.7．4磁带、磁盘应放在距钢筋房柱或类似结构物十厘米以上处，以防雷电经钢筋传播时产生的磁场损坏媒体上的信息。

3．1．7．5存有机要信息的磁带清除时必须进行消磁，不得只进行磁带初始化。

3．1．7．6所有入库的盘带目录清单必须具有统一格式，如文件所有者、卷系列号、文件名及其描述、作业或项目编号、建立日期及保存期限。

3．1．7．7盘带出入库必须有核准手续并有完备记录。

3．1．7．8长期保存的磁带庞定期转贮。

3．1．7．9存有记录机要信息磁带的库房，必须符合相应密级的文件保存和管理条例的要求，不得与一般数据磁带混合存放。

3．1．7．10重要的数据文件必须多份拷贝异地存放。

3．1．7．11磁带库必须有专人负责管理。

3．2软件安全3．2．1系统软件应具有以下安全措施：3．2．1．1操作系统应有较完善的存取控制功能，以防止用户越权存取信息。

3．2．1．2操作系统应有良好的存贮保护功能，以防止用户作业在指定范围以外的存贮区域进行读写。

3．2．1．3操作系统应有较完善的管理功能，以记录系统的运行情况，监测对数据文件的存取。

3．2．1．4维护人员进行维护时，应处于系统安全控制之下。

3．2．1．5操作系统发生故障时，不应暴露口令，授权表等重要信息。

3．2．1．6操作系统在作业正常或非正常结束以后，应该清除分配给该作业的全部临时工作区域。

3．2．1．7系统应能像保护信息的原件一样，精确地保护信息的拷贝。

3．2．2应用软件：3．2．2．1应用程序必须考虑充分利用系统所提供的安全控制功能。

3．2．2．2应用程序在保证完成业务处理要求的同时，应在设计时增加必要的安全控制功能。

3．2．2．3程序员与操作员职责分离。

3．2．2．4安全人员应定期用存档的源程序与现行运行程序进行对照，以有效地防止对程序的非法修改。

3．2．3数据库：3．2．3．1数据库必须有严格的存取控制措施，库管理员可以采取层次、分区、表格等各种授权方式，控制用户对数据库的存取权限。