信息安全管理办法(完整资料).doc
信息安全管理办法
信息安全管理办法信息安全管理办法第一章总则第一条为加强公司信息安全管理,推进信息安全体系建设,保障信息系统安全稳定运行,根据国家有关法律、法规和《公司信息化工作管理规定》,制定本办法。
第二条本办法所指的信息安全管理,是指计算机网络及信息系统(以下简称信息系统)的硬件、软件、数据及环境受到有效保护,信息系统的连续、稳定、安全运行得到可靠保障。
第三条公司信息安全管理坚持“谁主管谁负责、谁运行谁负责”的基本原则,各信息系统的主管部门、运营和使用单位各自履行相关的信息系统安全建设和管理的义务与责任。
第四条信息安全管理,包括管理组织与职责、信息安全目标与工作原则、信息安全工作基本要求、信息安全监控、信息安全风险评估、信息安全培训、信息安全检查与考核。
第五条本办法适用于公司总部、各企事业单位及其全体员工。
第二章信息安全管理组织与职责第六条公司信息化工作领导小组是信息安全工作的最高决策机构,负责信息安全政策、制度和体系建设规划的审批,部署并协调信息安全体系建设,领导信息系统等级保护工作。
第七条公司建立和健全由总部、企事业单位以及信息技术支持单位三方面组成,协调一致、密切配合的信息安全组织和责任体系。
各级信息安全组织均要明确主管领导,确定相关责任,设置相应岗位,配备必要人员。
第八条信息管理部是公司信息安全的归口管理部门,负责落实信息化工作领导小组的决策,实施公司信息安全建设与管理,确保重要信息系统的有效保护和安全运行。
具体职责包括:组织制定和实施公司信息安全政策标准、管理制度和体系建设规划,组织实施信息安全项目和培训,组织信息安全工作的监督和检查。
第九条公司保密部门负责信息安全工作中有关保密工作的监督、检查和指导。
第十条企事业单位信息部门负责本单位信息安全的管理,具体职责包括:在本单位宣传和贯彻执行信息安全政策与标准,确保本单位信息系统的安全运行,实施本单位信息安全项目和培训,追踪和查处本单位信息安全违规行为,组织本单位信息安全工作检查,完成公司部署的信息安全工作。
信息安全管理办法
信息安全管理办法
1. 制定信息安全政策:明确和规范信息安全管理的原则、目标和责任。
2. 进行安全风险评估:评估系统和数据的安全风险,确定安全控制措施的优先级。
3. 实施访问控制:采用用户认证、授权和审计等控制措施,限制未授权人员对系统和数据的访问。
4. 加强数据防泄漏控制:采用数据加密、备份和存储控制等技术手段,防止数据泄漏和丢失。
5. 设立安全管理组织和岗位:明确安全管理部门和岗位职责,建立信息安全管理体系。
6. 进行安全培训和意识教育:对员工进行信息安全培训,提高他们的安全意识和防范能力。
7. 建立事件响应和恢复机制:制定应急预案和响应程序,及时处理安全事件并恢复服务。
8. 加强供应链管理:对与信息系统和数据相关的供应商和合作伙伴进行安全评估和监督。
9. 定期进行安全审计和评估:对信息系统和数据进行定期的安全审计和评估,发现和解决安全问题。
,信息安全管理办法是一系列规定和措施的集合,旨在保护信息系统和数据的安全,确保业务的可靠性和稳定性。
信息安全管理办法
信息安全管理办法第一条为加强公司信息安全管理工作,完善信息安全体系,保护信息资产,特制定本办法。
第二条信息安全管理包含数据安全管理、程序安全管理、密码权限管理、设备管理、网络安全管理及代码监督。
第三条数据安全管理的要求及规定1、所有系统的数据由数据安全员设置数据库系统统一存储,各部门不得在本地存储或公司设计的系统之外存储。
2、数据库由数据安全员分级设置权限密码,原则上不允许一个人掌握所有权限密码(密码权限员、董事长除外)。
3、数据库系统实行分库存储机制,原则上一个数据库表不得存储所有的信息。
4、数据库分为生产库、测试库及开发库,开发库由该库所属项目经理根据项目开发规范进行管理,测试库只能由程序测试员进行操作和管理,生产库只能由数据安全员操作和管理。
5、开发人员原则上根据项目模块分配表的操作权限实行分权限开发模式。
例如:用户模块开发人员,只能拥有用户相关表的操作权限。
6、数据库系统必须建立备份机制。
定期备份:每天进行一次完整备份;临时备份:在特殊情况(如软件升级、设备更换、感染病毒等)下,临时对数据进行备份;按需备份:应用系统需要调整部分数据时,仅备份应用系统需要的部分数据。
7、公司提供的信息终端设备在外借或报废时,由设备管理员对系统和数据做相应处理,防止泄密。
存储设备报废前需进行重要数据的备份,备份后对报废设备中存储的信息进行彻底清除处理。
8、开发及过程文档使用git服务器统一存储及管理,新文档必须及时上传到服务器。
9、禁止将数据库结构、代码及相关文档私自拷贝或通过网络对外传输。
第四条代码安全管理的要求及规定1、禁止使用已公布的、有漏洞的第三方程序依赖包。
2、禁止在程序中植入木马病毒。
3、每月要进行一次依赖包漏洞检测,在特殊情况(如感染病毒)下,必须立即对依赖包进行漏洞检测。
已公布的高危漏洞,必须在依赖包提供更新版本后3天内升级到新版本。
4、代码使用git服务器统一存储及管理,开发人员要每日提交代码。
信息安全管理办法(2023范文免修改)
信息安全管理办法1. 引言信息安全是指为了保护信息系统及其信息资源免遭未经授权的访问、使用、泄露、破坏、干扰等威胁而采取的一系列管理措施。
信息安全的重要性日益凸显,越来越多的企业和个人开始重视信息安全的管理。
本文档旨在提供一套完整的信息安全管理办法,帮助企业和个人建立和实施信息安全管理体系,保护信息系统和信息资源的安全。
2. 安全政策制定2.1 安全目标制定安全目标是信息安全管理的首要任务。
根据企业的实际情况,制定明确的安全目标,包括保护信息的机密性、完整性和可用性等方面。
安全目标应当与企业的业务目标相一致,并经过定期评估和更新。
2.2 安全意识培养安全意识培养是构建良好信息安全管理体系的重要环节。
企业应通过安全教育和培训,提高员工的安全意识,使其能够正确处理和保护信息资源。
定期组织安全意识培训活动,加强员工对信息安全的认识和理解。
3. 访问控制管理3.1 身份验证身份验证是对用户身份进行确认的过程。
企业应该建立合理的身份验证机制,确保只有经过身份验证的用户才能获得系统和数据的访问权限。
可以采用密码、指纹识别、智能卡等多种身份验证手段。
3.2 权限管理权限管理是控制用户对系统和数据的访问权限的过程。
企业需要根据用户的工作职责和需要,分配合适的权限,避免权限过大或过小造成的安全隐患。
定期审查权限设置,及时撤销不必要的权限。
4. 网络安全管理4.1 防火墙企业应通过配置防火墙,控制网络流量,限制非法的网络访问。
防火墙可以阻止未经授权的访问,保护内部网络的安全。
定期更新防火墙规则,提升安全性。
4.2 入侵检测和防御入侵检测和防御是保护网络免受攻击的重要手段。
企业应配置入侵检测和防御系统,监控网络流量,及时发现并阻止恶意攻击。
定期对入侵检测和防御系统进行维护和更新,确保其有效性。
5. 数据安全管理5.1 数据备份数据备份是保护数据免受丢失和损坏的重要措施。
企业应定期对重要数据进行备份,并将备份数据存储在安全可靠的地方。
信息安全管理办法
信息安全管理办法一、引言随着信息技术的快速发展,信息安全管理已经成为各个组织和企业不可忽视的重要问题。
为了保护组织中的重要信息资产,我们制定了以下信息安全管理办法,以确保信息的机密性、完整性和可用性。
二、信息分类与等级为了更好地管理信息安全,我们将信息按照其重要性进行分类与等级划分。
根据信息的敏感程度和商业价值,我们将信息分为公开信息、内部信息和核心信息,并为每个等级设置了相应的安全要求与措施。
1. 公开信息公开信息是指不会对组织造成重大损失的普通信息,可以向公众自由公开。
我们对公开信息的安全管理要求相对较低,但仍需保证信息的完整性和可用性,防止信息被非法篡改或者人为破坏。
2. 内部信息内部信息是指组织内部使用的、对组织运营有重要影响的信息,包括员工信息、财务信息等。
我们对内部信息的安全管理要求较高,包括严格限制权限、加密通信、定期备份等措施,以确保信息的机密性和完整性。
3. 核心信息核心信息是组织中最重要、最敏感的信息,包括商业秘密、研发成果等。
我们将核心信息的安全管理要求提到了最高级别,包括严格的访问控制、数据加密、定期安全审计等措施,以最大程度保护信息的机密性、完整性和可用性。
三、信息安全管理措施为保证信息安全管理的有效实施,我们将采取以下措施:1. 制定安全政策与规范制定明确的信息安全政策与规范,明确各级别信息安全管理的要求和责任,指导全体员工遵守安全规范,确保信息的安全使用和传输。
2. 完善的访问控制机制建立严格的访问控制机制,限制各级别用户对信息的访问权限,确保只有授权人员才能获取相应的信息。
同时,对于核心信息的访问,采取多重认证措施,如指纹识别、动态口令等。
3. 数据加密与传输安全对于重要的信息数据,采用加密技术进行保护,防止信息在传输过程中被窃取或篡改。
同时,建立安全的传输通道,使用安全协议和安全套接字层(SSL)等技术,确保信息在传输中的安全性。
4. 定期备份与灾备恢复定期对重要信息进行备份,并将备份数据存储在安全的地方,以防止信息的丢失。
信息安全管理办法4完整篇.doc
信息安全管理办法4第2页(一)及时更新所用计算机的病毒防治软件和安装补丁程序,自觉接受本部门信息安全员的指导与管理。
(二)不得安装与办公和业务处理无关的其他计算机软件和硬件,不得修改系统和网络配置参数。
(三)未经科技信息部检测和授权,不得将接入XX省XX 内部网络的所用计算机转接入国际互联网;不得将便携式计算机接入XX省XX内部网络;不得随意将个人计算机带入机房或私自拷贝任何信息。
第六节信息系统要害岗位人员第二十八条本办法所称信息系统要害岗位人员,是指与重要信息系统直接相关的系统管理员、网络管理员、系统开发人员、系统维护员等内部技术支持人员和重要业务操作等岗位人员。
第二十九条本办法所称重要信息系统是指XX省XX面向客户的业务处理类、渠道类和涉及客户风险管理等业务的管理类信息系统,以及支撑系统运行的机房和网络等基础设施。
第三十条要害岗位人员上岗前必须经XX人事部门进行政治素质审查,技术部门进行业务技能考核,合格者方可上岗。
第三十一条要害岗位人员上岗必须实行“权限分散、不得交叉覆盖”的原则,按照“必需知道”和“最小授权”原则,严格设定各用户的操作权限。
第三十二条对要害岗位人员应实行年度强制休假办法和定期考查办法,并进行必要的安全教育和培训。
第三十三条要害岗位人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务。
涉及信用社业务保密信息的要害岗位人员调离单位,必须进行离岗审计,在规定的脱密期后,方可调离。
第三十四条要害岗位人员离岗后,必须即刻更换操作密码或注销用户。
第三十五条系统管理员安全责任(一)负责系统的运行管理,实施系统安全运行细则;(二)严格用户权限管理,维护系统安全正常运行;(三)认真记录系统安全事项,及时向计算机安全人员报告安全事件;(四)对进行系统操作的其他人员予以安全监督。
第三十六条系统开发员安全责任(一)系统开发建设中,应严格执行系统安全策略,保证系统安全功能的准确实现;(二)系统投产运行前,应完整移交系统源代码和相关涉密资料;(三)不得对系统设置后门;(四)对系统核心技术保密。
信息安全管理办法
6.3.5文控中心应对权限及密码统一管理分配,并及时更新记录,对网络盘产品资料定期备份。
6.3.5权限分配模式见下:
如:
注:“项目夹”项目完全控制权限,总监、ID、工模、助理只读权限。
****** 修订履历 ******
版次
修订内容
页次
新版发行
核准
审核
承办
发行/制订部门
签名
日期
1、目的
为保守公司秘密,维护公司权益,控制对公司网络运行的访问权限,使应用人员得到应有的信息,并防止信息不必要的泄露和泄密。特制定本制度。
适用范围
本文件适用于公司相关邮件;各项规章制度、流程文件、表格;与产品相关文件(ID、工模、BOM、ECO、配色、软件)等信息资料的安全保密管理。
6.5.4网管每天定时稽核各部门的文件保密及网页流程情况。
6.5.5文控中心及网管的稽核报表每天必须交总经办及人事部备档。
6.6违规处理:
6.6.1针对违规情况,第一次记警告一次,第二次记小过一次。第三次记大过一次。
6.6.2出现下列情况之一的,予以辞退并酌情赔偿经济损失,或根据所签订的保密合同追究法律责任:
“工模夹”工模完全控制权限,项目、总总监、ID、助理只读权限。
“共用夹”为与本项目人员的日常沟通类文件,项目、总监、工模、ID、助理读写权限。
6.4网络安全审计系统管理
6.4.1公司信息资料的安全及保密管理,由公司网管在局域网服务器安装网络安全审计系统,对设备使用、应用程序、上网行为、文件操作、网络该问等实施监控。
6.1.6公司所有外来邮件由文控中心外部邮箱统一接收,转发到各相关责任人。
《信息安全等级保护管理办法》.doc
《信息安全等级保护管理办法》1 信息安全等级保护管理办法(公通字[2007]43号)作者: 来源: 公安部、国家保密局、国家密码管理局、字体:大中小国务院信息工作办公室时间:2007-06-22第一章总则第一条为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。
第二条国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。
第三条公安机关负责信息安全等级保护工作的监督、检查、指导。
国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。
国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。
涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。
国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。
第四条信息系统主管部门应当依照本办法及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。
第五条信息系统的运营、使用单位应当依照本办法及其相关标准规范,履行信息安全等级保护的义务和责任。
第二章等级划分与保护第六条国家信息安全等级保护坚持自主定级、自主保护的原则。
信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
第七条信息系统的安全保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
【最新整理,下载后即可编辑】
信息安全管理办法
1.概述
1.1目的
为指导安全等级保护相关工作,做好的信息安全保障工作。
1.2范围
为信息安全职能部门进行监督、检查和指导的依据。
随着内容的补充和丰富,为等级保护工作的开展提供指导。
1.3术语
1.敏感数据
敏感数据是指一旦泄露可能会对用户或人民银行造成损失的数据,包括但不限于:
1.用户敏感数据,如用户口令、密钥;
2.系统敏感数据,如系统的密钥、关键的系统管理数据;
3.其它需要保密的敏感业务数据;
4.关键性的操作指令;
5.系统主要配置文件;
6.其他需要保密的数据。
2.风险
某种威胁会利用一种资产或若干资产的脆弱性使这些资产损失
或破坏的可能性。
3.安全策略
主要指为信息系统安全管理制定的行动方针、路线、工作方式、指导原则或程序。
4.安全需求
为使设备、信息、应用及设施符合安全策略的要求而需要采取的保护类型及保护等级。
5.完整性
包括数据完整性和系统完整性。
数据完整性表征数据所具有的特征,即无论数据形式作何变化,数据的准确性和一致性均保持不变的程度;系统完整性表征系统在防止非授权用户修改或使用资源和防止授权用户不正确地修改或使用资源的情况下,系统能履行其操作目的的品质。
6.可用性
表征数据或系统根据授权实体的请求可被访问与使用程度的安全属性。
7.弱口令
指在计算机使用过程中,设置的过于简单或非常容易被破解的口令或密码。
2.信息安全保障框架
2.1 信息安全保障总体框架
2.2 信息安全管理体系框架
2.3 安全管理内容
3.信息安全管理规范
3.1 物理安全
3.1.1.物理位置的选择
机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。
3.1.2 物理访问控制
需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围;
机房划分为生产区、辅助区。
3.1.3 防盗窃和防破坏
应将主要设备放置在机房内;
应将设备或主要部件进行固定,并设置明显的不易除去的标记;应将通信线缆铺设在隐蔽处,可铺设在地下或管道中;
应对介质分类标识,存储在介质库或档案室中;
主机房应安装必要的防盗报警设施。
3.1.4 防雷击
机房建筑应设置避雷装置;
机房应设置交流电源地线。
3.1.5 防火
机房应设置灭火设备和火灾自动报警系统。
3.1.6 防水和防潮
水管安装,不得穿过机房屋顶和活动地板下;
应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;
应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。
3.1.7 防静电
关键设备应采用必要的接地防静电措施。
3.1.8 温湿度控制
机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设
备运行所允许的范围之内。
3.1.9 电力供应
应在机房供电线路上配置稳压器和过电压防护设备;
应提供短期的备用电力供应,至少满足关键设备在断电情况下的正常运行要求;
机房重要区域、重要设备应提供UPS单独供电。
3.1.10 电磁防护
电源线和通信线缆应隔离铺设,避免互相干扰。
3.2网络安全
3.2.1 结构安全
应保证关键网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;
应保证接入网络和核心网络的带宽满足业务高峰期需要;
应绘制与当前运行情况相符的网络拓扑结构图;
应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段。
3.2.2 访问控制
应在网络边界部署访问控制设备,启用访问控制功能;
应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为网段级;
应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户;
应限制具有拨号访问权限的用户数量。
3.2.3 安全审计
应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;
审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。
3.2.4 边界完整性检查
应能够对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查。
3.2.5 入侵防范
应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。
3.2.6 网络设备防护
应对登录网络设备的用户进行身份鉴别;
应对网络设备的管理员登录地址进行限制;
网络设备用户的标识应唯一;
身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换;
应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施;
当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。
3.3 主机安全
3.3.1 身份鉴别
应对登录操作系统和数据库系统的用户进行身份标识和鉴别;
操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换;
应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;
当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听;
应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性。
3.3.2 访问控制
应启用访问控制功能,依据安全策略控制用户对资源的访问;
应实现操作系统和数据库系统特权用户的权限分离;
应限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令;
应及时删除多余的、过期的帐户,避免共享帐户的存在。
3.3.3 安全审计
审计范围应覆盖到服务器上的每个操作系统用户和数据库用户;审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;
审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等;
应保护审计记录,避免受到未预期的删除、修改或覆盖等。
3.3.4 入侵防范
操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新。
3.3.5 恶意代码防范
应安装防恶意代码软件,对于依附于病毒库进行恶意代码查杀的
软件应及时更新防恶意代码软件版本和恶意代码库,对于非依赖于病毒库进行恶意代码防御的软件,如主动防御类软件,应保证软件所采用的特征库有效性与实时性;
应支持防恶意代码软件的统一管理。
3.3.6 资源控制
应通过设定终端接入方式、网络地址范围等条件限制终端登录;应根据安全策略设置登录终端的操作超时锁定;
应限制单个用户对系统资源的最大或最小使用限度。
3.4应用安全
3.4.1 身份鉴别
应提供专用的登录控制模块对登录用户进行身份标识和鉴别;应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用;应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;
应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关参数。
3.4.2 访问控制
应提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体的访问;
访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作;
应由授权主体配置访问控制策略,并严格限制默认帐户的访问权限;
应授予不同帐户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系。
3.4.3 安全审计
应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计;
应保证无法删除、修改或覆盖审计记录;
审计记录的内容至少应包括事件日期、时间、发起者信息、类型、描述和结果等。
3.4.4 通信完整性
应采用校验码技术保证通信过程中数据的完整性。
3.4.5 通信保密性
在通信双方建立连接之前,应用系统应利用密码技术进行会话初始化验证;
应对通信过程中的敏感信息字段进行加密。
3.4.6 软件容错
应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求;
在故障发生时,应用系统应能够继续提供一部分功能,确保能够实施必要的措施。
3.4.7 资源控制
当应用系统的通信双方中的一方在一段时间内未作任何响应,另一方应能够自动结束会话;
应能够对应用系统的最大并发会话连接数进行限制;
应能够对单个帐户的多重并发会话进行限制。
3.5 数据安全及备份恢复
3.5.1 数据完整性
应能够检测到鉴别信息和重要业务数据在传输过程中完整性受到破坏。
3.5.2 数据保密性
应采用加密或其他保护措施实现鉴别信息的存储保密性。
3.5.3 备份和恢复
应能够对重要信息进行备份和恢复;
应提供关键网络设备、通信线路和数据处理系统的硬件冗余,保证系统的可用性。
【最新整理,下载后即可编辑】。