【推荐】软件系统安全规范
软件开发安全设计规范
软件开发安全设计规范一、引言在现代社会中,软件已经渗透到各个领域,并在数据处理和信息传输中扮演着关键角色。
然而,由于无良分子的存在以及技术的快速发展,软件安全问题也愈发凸显出来。
为了保护用户隐私、确保软件功能的稳定性和可靠性,制定软件开发安全设计规范是至关重要的。
二、风险评估与分析在软件开发过程中,风险评估与分析是首要任务。
该阶段的目标是识别可能的安全漏洞和威胁,并进行优先级排序以制定相应的应对措施。
风险评估与分析的步骤包括但不限于以下几点:确定威胁的类型与潜在影响、搜集相关安全数据、评估漏洞的概率与影响程度、制定应对策略等。
三、安全要求与功能设计基于风险评估与分析的结果,我们应制定软件的安全要求与功能设计。
首先,确保软件的用户认证和访问控制功能的健全,以防止未经授权的访问。
其次,考虑软件错误处理和恢复机制,保证软件在面临攻击或异常情况下的稳定性。
此外,关注数据隐私保护、传输安全、日志记录与审计等功能的实现,提高软件的整体安全性。
四、代码实现与测试在软件开发过程中,代码实现与测试是关键环节。
为确保代码的安全性,我们需要遵循以下几个原则:编写安全的代码,避免出现常见的漏洞类型(如缓冲区溢出、代码注入等);采用安全的开发框架和库,减少已知的安全风险;进行安全编码规范的培训,提高开发人员的安全意识。
此外,充分的黑盒和白盒测试是确保软件安全的关键步骤。
五、安全审查与优化在软件开发完成后,必须进行安全审查与优化。
通过安全审查,我们能够发现潜在的安全弱点和漏洞,并及时进行修复。
除此之外,在软件发布后,还需要建立安全事件响应机制,及时处理用户报告的安全问题,并进行反馈与改进。
六、培训与意识提升软件开发安全的成果不仅仅取决于技术手段的应用,还离不开开发人员的安全意识和素养。
因此,组织开发人员的安全培训与意识提升是至关重要的。
通过教育和强化安全意识,开发人员能够更好地理解和应对安全风险,从而提高软件开发过程中的安全性。
软件系统安全管理制度
软件系统安全管理制度篇一:公司IT信息安全管理制度**IT信息安全管理制度第一条总则通过加强公司计算机系统、办公网络、服务器系统的管理。
保证网络系统安全运行,保证公司机密文件的安全,保障服务器、数据库的安全运行。
加强计算机办公人员的安全意识和团队合作精神,把各部门相关工作做好。
第二条范围1、计算机网络系统由计算机硬件设备、软件及客户机的网络系统配置组成。
2、软件包括:服务器操作系统、数据库及应用软件、有关专业的网络应用软件等。
3、客户机的网络系统配置包括客户机在网络上的名称,IP地址分配,用户登陆名称、用户密码、及Internet的配置等。
4、系统软件是指:操作系统(如WINDOWS XP、WINDOWS 2003等)软件。
5、平台软件是指:防伪防窜货系统、办公用软件(如OFFICE 2003)等平台软件。
6、专业软件是指:设计工作中使用的绘图软件(如Photoshop等)。
第三条职责1、信息网络部门为网络安全运行的管理部门,负责公司计算机网络系统、计算机系统、数据库系统的日常维护和管理。
2、负责系统软件的调研、采购、安装、升级、保管工作。
3、网络管理人员负责计算机网络系统、办公自动化系统、平台系统的安全运行;服务器安全运行和数据备份;Internet 对外接口安全以及计算机系统防病毒管理;各种软件的用户密码及权限管理协助各部门进行数据备份和数据归档。
4、网络管理人员执行公司保密制度,严守公司商业机密。
5、员工执行计算机安全管理制度,遵守公司保密制度。
6、系统管理员的密码必须由网络管理部门相关人员掌握。
第三条管理办法I、公司电脑使用管理制度1、从事计算机网络信息活动时,必须遵守《计算机信息网络国际联网安全保护管理办法》的规定,应遵守国家法律、法规,加强信息安全教育。
2、电脑由公司统一配置并定位,任何部门和个人不得允许私自挪用调换、外借和移动电脑。
3、电脑硬件及其配件添置应列出清单报行政部,在征得公司领导同意后,由网络信息管理员负责进行添置。
软件安全使用制度
软件安全使用制度一、背景和目的企业和个人在日常工作和生活中都越来越依赖软件系统,而软件安全问题也日益突出。
为了保护用户的信息安全、维护企业的商业机密和保障数字化社会的稳定运行,制定软件安全使用制度是必不可少的。
二、适用范围本制度适用于企业和个人使用软件的场景,包括但不限于办公软件、生产管理软件、网络应用软件等。
三、原则和要求1. 法律合规原则:用户在使用软件时必须遵守国家相关法律法规,不得利用软件从事非法活动,包括但不限于侵犯他人隐私、盗取他人信息等;2. 安全保密原则:用户在使用软件时必须保护企业的商业机密和用户的个人信息,不得泄露、篡改、销毁等;3. 信息准确性原则:用户在使用软件时必须确保输入和处理的信息准确无误,不得故意输入错误或误导他人;4. 安全操作原则:用户在使用软件时必须遵守软件操作规范,不得使用未授权的软件、擅自修改软件配置等;5. 审计追溯原则:软件使用过程中的操作记录必须进行审计和追溯,确保软件使用过程的可追溯性;6. 安全更新原则:用户在使用软件时必须及时更新软件及其相关组件,以保障软件系统的漏洞修复和安全性。
四、责任与义务1. 用户责任:用户在使用软件时要严格遵守本制度和软件提供方的使用协议,确保自己的行为合法、合规;2. 管理部门责任:管理部门负责对软件使用情况进行监管,发现违规行为及时进行处理和纠正;3. 软件提供方责任:软件提供方要为用户提供安全稳定的软件服务,及时修复漏洞,保证软件的安全性;4. 审计责任:管理部门要对软件使用情况进行定期审计,发现问题及时解决,并保留审计痕迹。
五、教育和培训企业和个人应定期对软件安全使用制度进行教育和培训,提高软件安全意识和技能,避免因操作不当导致的安全漏洞。
六、制度执行1. 制度宣传:制度应在企业内部向全体员工宣传,加强员工对制度的认知和理解;2. 制度监督:管理部门应对软件使用情况进行监督,对违规行为进行指导和纠正;3. 制度改进:根据实际情况,及时对制度进行改进和完善,以适应软件安全形势的发展。
软件系统的安全管理规定(3篇)
第1篇第一章总则第一条为加强软件系统的安全管理,确保信息系统安全、稳定、可靠运行,维护国家安全和社会公共利益,保障用户合法权益,根据《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》等相关法律法规,结合我单位实际情况,制定本规定。
第二条本规定适用于我单位所有软件系统的安全管理,包括但不限于内部办公系统、业务系统、客户服务系统等。
第三条软件系统安全管理应遵循以下原则:(一)安全第一、预防为主:将安全工作贯穿于软件系统的设计、开发、部署、运维等全过程。
(二)统一管理、分级负责:建立健全软件系统安全管理体系,明确各级职责,实现安全管理的规范化、标准化。
(三)持续改进、动态监控:定期开展安全风险评估,持续改进安全防护措施,确保软件系统安全态势稳定。
第二章安全组织与管理第四条成立软件系统安全工作领导小组,负责统筹协调、组织落实软件系统安全管理工作。
第五条设立软件系统安全管理办公室,负责日常安全管理工作,具体职责如下:(一)制定软件系统安全管理制度和操作规程;(二)组织开展安全培训、宣传教育活动;(三)负责安全事件的监测、预警、处置和报告;(四)负责安全评估、检查、审计等工作;(五)协调各部门、各业务系统间的安全管理工作。
第六条各部门、各业务系统应设立安全责任人,负责本部门、本系统软件系统的安全管理工作。
第三章安全制度与措施第七条软件系统安全管理制度:(一)网络安全管理制度;(二)信息系统安全管理制度;(三)数据安全管理制度;(四)个人信息保护制度;(五)应急管理制度;(六)安全培训制度。
第八条软件系统安全措施:(一)物理安全措施:确保软件系统硬件设施的安全,如服务器、存储设备、网络设备等;(二)网络安全措施:采用防火墙、入侵检测系统、安全协议等技术手段,保障网络传输安全;(三)系统安全措施:采用操作系统、数据库、应用程序等安全配置,防止系统漏洞被利用;(四)数据安全措施:对敏感数据进行加密存储和传输,定期进行数据备份,确保数据安全;(五)个人信息保护措施:依法收集、使用、存储、处理个人信息,加强个人信息保护技术措施,防止个人信息泄露、篡改、损毁;(六)应急措施:制定应急预案,定期开展应急演练,提高应急处置能力。
软件系统安全管理制度
软件系统安全管理制度一、引言随着信息化技术的不断发展,软件系统在企业和社会生活中扮演着越来越重要的角色。
然而,随之而来的是软件安全管理工作的日益复杂和重要。
为了保障软件系统的安全,我们制定了以下软件系统安全管理制度,旨在确保软件系统的正常运行和信息安全。
二、软件系统安全管理的基本要求1. 确保软件系统的稳定性和安全性,保障信息资产的完整性和可用性。
2. 遵守相关法律法规,严格保护用户隐私和数据安全。
3. 加强对软件系统安全管理工作的组织和领导。
4. 建立健全的软件系统安全保障体系,包括安全保密制度、安全技术措施、安全管理措施等。
5. 做好软件系统安全风险评估和应急预案制定工作。
三、软件系统安全管理的组织架构和职责分工1. 软件系统安全管理委员会软件系统安全管理委员会是软件系统安全管理的最高决策机构,由公司高层领导组成,负责审议和决定软件系统安全管理的重大事项。
2. 安全管理部门安全管理部门是负责软件系统安全管理工作的部门,主要职责包括:(1)制定软件系统安全管理制度和规章制度;(2)建立健全软件系统安全档案和安全管理制度;(3)组织开展软件系统安全培训和教育工作;(4)开展软件系统安全评估和审计工作;(5)制定软件系统安全控制标准和技术规范。
3. 软件系统管理员软件系统管理员是负责软件系统安全管理的具体执行人员,主要职责包括:(1)负责软件系统的日常管理和维护工作;(2)负责软件系统的安全配置和漏洞修复工作;(3)负责软件系统的安全监控和风险预警工作;(4)负责软件系统的安全事件处置和安全报告工作。
四、软件系统安全管理制度1. 安全准入管理(1)软件系统安全准入原则:严格按照“谁制定、谁审批、谁负责”的原则开展软件系统安全准入工作;(2)准入审批流程:确保软件系统安全准入符合公司相关规定,按照准入审批流程进行安全准入审批。
2. 安全配置管理(1)安全配置原则:严格按照“最小权限原则”开展软件系统安全配置管理;(2)安全配置标准:建立健全软件系统安全配置标准,规范软件系统安全配置工作;(3)安全配置审核:对软件系统安全配置进行定期审核和检查,确保符合公司安全配置标准。
软件工程中的安全规范与政策
什么是软件工程安全规范与政策?
软件工程安全规范是指针对软件开发过程中 的安全性管理规范,而软件工程安全政策则 是为保障软件系统安全而制定的政策性文件。 它们的主要作用是确保软件系统的稳定性和 可靠性,防止恶意攻击和数据泄露,同时维
护法律合规和公司声誉。
软件工程安全规范的重要性
保障软件系统的安 全性和可靠性
分析用户行为,及时发现 异常活动
安全事件响应与处理
安全事件的分类和 级别
鉴别事件严重程度 确定处理优先级
应急响应流程和措 施
建立响应流程 实施紧急措施 调查事件原因
安全审计与监控在软件工程中的作用
在软件工程中,安全审计与监控起着至关重 要的作用。通过不断审计和监控,可以提升 安全防护能力,及时发现和应对安全威胁。 保障系统和数据的安全性,确保软件工程项
目的顺利进行。
●05
第五章 软件工程中的风险管理与应 急预案
风险管理流程
风险管理是软件工程中至关重要的一环。通 过风险评估和分类,我们可以识别潜在的危 险因素,进一步进行风险治理和控制,确保
项目顺利进行。
应急响应计划制定
确保及时有效的应对突发 事件
应急预案设计
应急演练和评估
提升团队对应急预案的执 行能力
以有效确保用户的身份安全。
访问控制模型
DAC
RBAC
MAC
ห้องสมุดไป่ตู้
基于角色的访问控 制
Discretionary Access Control
Role-Based Access Control
Mandatory Access Control
Role-Based Access Control
身份认证与访问控制在软件工程中的实 践
软件系统安全管理制度
一、总则为了保障公司软件系统的安全稳定运行,防止系统遭受各种安全威胁,确保公司业务数据的完整性和保密性,特制定本制度。
二、安全责任1. 公司全体员工都应遵守本制度,增强安全意识,自觉维护软件系统的安全。
2. 各部门负责人对本部门软件系统的安全负直接责任。
3. IT部门负责制定和实施软件系统安全管理制度,对全公司的软件系统安全进行监督和管理。
三、安全措施1. 硬件设备安全(1)确保服务器、网络设备等硬件设备安全,防止非法侵入。
(2)定期检查硬件设备,及时更新设备固件和驱动程序,确保设备安全。
2. 软件安全(1)选用合法、安全的软件,避免使用来历不明的软件。
(2)对系统软件、应用程序等进行定期更新,修复已知漏洞。
(3)对关键软件进行安全加固,提高系统安全性。
3. 用户权限管理(1)根据员工职责,合理分配用户权限,确保用户权限与职责相匹配。
(2)定期审查用户权限,及时调整不合理的权限设置。
(3)对离职或调离岗位的员工,及时回收其用户权限。
4. 数据安全(1)对重要数据实行加密存储,防止数据泄露。
(2)定期备份关键业务数据,确保数据安全。
(3)对数据传输进行加密,防止数据在传输过程中被窃取。
5. 安全监控与审计(1)建立安全监控体系,实时监测系统安全状况。
(2)定期进行安全审计,发现安全隐患及时整改。
(3)对安全事件进行记录、分析、报告和处理。
四、应急处理1. 建立应急预案,明确应急处理流程。
2. 定期进行应急演练,提高员工应对突发事件的能力。
3. 对发生的安全事件,立即启动应急预案,采取有效措施进行处理。
五、附则1. 本制度由IT部门负责解释。
2. 本制度自发布之日起施行。
3. 本制度如与国家法律法规及行业标准相冲突,以国家法律法规及行业标准为准。
基础软件系统运行安全管理制度(四篇)
基础软件系统运行安全管理制度是指对基础软件系统的运行进行安全管理的一系列制度和规定。
以下是一个基础软件系统运行安全管理制度的基本框架:1. 安全责任制度:明确各级管理人员的安全职责和权利,并建立安全管理组织架构。
2. 安全保密制度:对基础软件系统中的信息、数据和知识进行分类、保密和管理,并建立保密责任制度。
3. 安全审计制度:建立基础软件系统的安全审计制度,定期对系统进行安全审计和检查。
4. 安全测试制度:建立基础软件系统安全测试制度,确保系统的安全性能和稳定性。
5. 安全备份制度:建立基础软件系统的定期备份制度,确保数据的安全和可恢复性。
6. 安全培训制度:对基础软件系统相关人员进行安全培训,提升其安全意识和技能。
7. 安全事故处理制度:建立基础软件系统的安全事故处理制度,及时处理和报告安全事故。
8. 安全监控制度:建立基础软件系统的安全监控制度,对系统的安全状态进行实时监控。
9. 安全更新制度:建立基础软件系统的安全更新制度,及时更新系统的安全补丁和版本。
10. 安全评估制度:定期对基础软件系统进行安全评估,发现并解决安全隐患。
通过以上制度的建立和执行,可以有效管理和控制基础软件系统的安全风险,提高系统的安全性和可靠性,保护系统中的信息和数据安全。
基础软件系统运行安全管理制度(二)第一章总则第一条为保障海南电网公司信息系统的操作系统和数据库管理系统的安全、稳定运行,规范操作系统和数据库管理系统的安全配置和日常操作管理,特制订本制度。
第二条本办法适用于海南电网公司(以下简称公司)本部、分公司,以及直属各单位的信息系统的操作系统和数据库系统的管理和运行。
其他联网单位参照执行。
第二章操作系统运行管理第三条操作系统管理员、审计员的任命操作系统管理员、审计员的任命应遵循“任期有限、权限分散”的原则;对每个操作系统要分别设立操作系统管理员、审计员,并分别由不同的人员担任。
在多个应用系统的环境下,操作系统管理员和操作系统审计员岗位可交叉担任;操作系统管理员、审计员的任期可根据系统的安全性要求而定,最长为三年,期满通过考核后可以续任;操作系统管理员、审计员必须签订保密协议书。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
软件系统安全规范一、引言1.1目的随着计算机应用的广泛普及,计算机安全已成为衡量计算机系统性能的一个重要指标。
计算机系统安全包含两部分内容,一是保证系统正常运行,避免各种非故意的错误与损坏;二是防止系统及数据被非法利用或破坏。
两者虽有很大不同,但又相互联系,无论从管理上还是从技术上都难以截然分开,因此,计算机系统安全是一个综合性的系统工程。
本规范对涉及计算机系统安、全的各主要环节做了具体的说明,以便计算机系统的设计、安装、运行及监察部门有一个衡量系统安全的依据。
1.2范围本规范是一份指导性文件,适用于国家各部门的计算机系统。
在弓I用本规范时,要根据各单位的实际情况,选择适当的范围,不强求全面采用。
二、安全组织与管理2.1安全机构2.1.1单位最高领导必须主管计算机安全工作。
2.1.2建立安全组织:2.1.2.1安全组织由单位主要领导人领导,不能隶属于计算机运行或应用部门。
2.1.2.2安全组织由管理、系统分析、软件、硬件、保卫、审计、人事、通信等有关方面人员组成。
2.1.2.3安全负责人负责安全组织的具体工作。
2.1.2.4安全组织的任务是根据本单位的实际情况定期做风险分析,提出相应的对策并监督实施。
2.1.3安全负责人制:2.1.3.I确定安全负责人对本单位的计算机安全负全部责任。
2.1.3.2只有安全负责人或其指定的专人才有权存取和修改系统授权表及系统特权口令。
2.1.3.3安全负责人要审阅每天的违章报告,控制台操作记录、系统日志、系统报警记录、系统活动统计、警卫报告、加班报表及其他与安全有关的材料。
2.1.3.4安全负责人负责制定安全培训计划。
2.1.3.5若终端分布在不同地点,则各地都应有地区安全负责人,可设专职,也可以兼任,并接受中心安全负责人的领导。
2.1.3.6各部门发现违章行为,应向中心安全负责人报告,系统中发现违章行为要通知各地有关安全负责人。
2.1.4计算机系统的建设应与计算机安全工作同步进行。
2.2人事管理2.2.1人员审查:必须根据计算机系统所定的密级确定审查标准。
如:处理机要信息的系统,接触系统的所有工作人员必须按机要人员的标准进行审查。
2.2.2关键岗位的人选。
如:系统分析员,不仅要有严格的政审,还要考虑其现实表现、工作态度、道德修养和业务能力等方面。
尽可能保证这部分人员安全可靠。
2.2.3所有工作人员除进行业务培训外,还必须进行相应的计算机安全课程培训,才能进入系统工作。
2.2.4人事部门应定期对系统所有工作人员从政治思想、业务水平、工作表现等方面进行考核,对不适于接触信息系统的人员要适时调离。
2.2.5对调离人员,特别是在不情愿的情况下被调走的人员,必须认真办理手续。
除人事手续外,必须进行调离谈话,申明其调离后的保密义务,收回所有钥匙及证件,退还全部技术手册及有关材料。
系统必须更换口令和机要锁。
在调离决定通知本人的同时,必须立即进行上述工作,不得拖延。
2.3安全管理2.3,1应根据系统所处理数据的秘密性和重要性确定安全等级,井据此采用有关规范和制定相应管理制度。
2.3.2安全等级可分为保密等级和可靠性等级两种,系统的保密等级与可靠性等级可以不同。
2.3.2.1保密等级应按有关规定划为绝密、机密、秘密。
2.3.2.2可靠性等级可分为三级。
对可靠性要求最高的为A级,系统运行所要求的最低限度可靠性为C级,介于中间的为B级。
2.3.3用于重要部门的计算机系统投入运行前,应请公安机关的计算机监察部门进行安全检查。
2.3.4必须制定有关电源设备、空凋设备,防水防盗消防等防范设备的管理规章制度。
确定专人负责设备维护和制度实施。
2.3.5应根据系统的重要程度,设立监视系统,分别监视设备的运行情况或工作人员及用户的操作情况,或安装自动录象等记录装置。
对这些设备必须制定管理制度,并确定负责人。
2.3.6制定严格的计算中心出入管理制度:2.3.6.1计算机中心要实行分区控制,限制工作人员出入与己无关的区域。
2.3.6.2规模较大的计算中心,可向所有工作人员,包括来自外单位的人员,发行带有照片的身份证件,并定期进行检查或更换。
2.3.6.3安全等级较高的计算机系‘统,除采取身份证件进行识别以外,还要考虑其他出入管理措施,如:安装自动识别登记系统,采用磁卡、结构编码卡或带有徽电脑及存储器的身份卡等手段,对人员进行自动识别、登记及出入管理。
2.3.6.4短期工作人员或维修人员的证件,应注明有效日期,届时收回。
2.3.6.5参观人员必须由主管部门办理参观手续,参观时必须有专人陪同。
2.3.6.6因系统维修或其它原因需外国籍人进入机房时,必须始终有人陪同。
2.3.6.7进出口的钥匙应保存在约定的场所,由专人管理,并明确其责任。
记录最初人室者及最后离室者和钥匙交换时间。
2.3.6.8在无警卫的场合,必须保证室内无人时,关锁所有出入口。
2.3.6.9禁止携带与上机工作无关的物品进入机房。
2.3.6.10对于带进和带出的物品,如有疑问,庞进行查验。
2.3.7制定严格的技术文件管理制度。
2.3.7.1计算机系统的技术文件如说明书、手册等应妥善保存,要有严格的借阅手续,不得损坏及丢失。
2.3.7.2应备有关计算机系统操作手册规定的文件。
2.3.7.3庞常备计算机系统出现故障时的替代措施及恢复顺序所规定的文件。
2.3.8制定严格的操作规程:2.3.8.I系统操作人员应为专职,操作时要有两名操作人员在场。
2.3.8.2对系统开发人员和系统操作人员要进行职责分离。
2.3.9制定系统运行记录编写制度,系统运行记录包括系统名称、姓名、操作时间、处理业务名称、故障记录及处理情况等。
2.3.10制定完备的系统维护制度:2.3.10.1对系统进行维护时,应采取数据保护措施。
如:数据转贮、抹除、卸下磁盘磁带,维护时安全人员必须在场等。
运程维护时,应事先通知。
2.3.10.2对系统进行预防维修或故障维修时,必须记录故障原因、维修对象、维修内容和维修前后状况等。
2,3.10.3必须建立完整的维护记录档案。
2.3.11应制定危险品管理制度。
2.3.12应制定消耗品管理制度。
2.3.13应制定机房清洁管理制度。
2.3.14必须制定数据记录媒体管理制度。
2.3.15必须定期进行安全设备维护及使用训练,保证每个工作人员都能熟练地操作有关的安全设备。
三、安全技术措施3.1实体安全3.1.1设计或改建计算机机房时必须符合下列标准:3.1.1.1《计算机场地技术要求》(GB2887—87)。
3.1.1.2《计算站场地安全要求》国家标准(待公布)。
3.1.2计算中心机房建筑和结构还应注意下列问题:3.1.2.1祝房最好为专用建筑。
3.1.2.2机房最好设置在电梯或楼梯不能直接进入的场所。
3.1.2.3机房应与外部人员频繁出入的场所隔离。
3.1.2.4机房周围应设有围墙或栅栏等防止非法进入的设施。
3.1.2.5建筑物周围应有足够照度的照明设施,以防夜间非法侵入。
3.1.2.6外部容易接近的窗口应采取防范措施。
如钢化玻璃、嵌网玻璃及卷帘和铁窗。
无人值守时应有自动报警设备。
3.1.2.7应在合适的位置上开设应急出口,作为避险通道或应急搬运通道。
3.1.2.8机房内部设计庞便于出入控制和分区控制。
3.1.3重要部门的计算机中心外部不应设置标明系统及有关设备所在位置的标志。
3.1.4安全设备除符合《计算站场地安全要求》标准外,还要注意以下几点:3.1.4.1机房进出口应设置应急电话。
3.1.4.2各房间应设置报警喇叭。
以免由于隔音及空调的原因而听不到告警通知。
3.1.4.3进出口应设置识别与记录进出人员的设备及防范设备。
3.1.4.4机房内用于动力、照明的供电线路应与计算机系统的供电线路分开。
3.1.4.5机房内不同电压的供电系统应安装互不兼容的插座。
3.1.4.6应设置温、湿度自动记录仪及温、湿度报警设备。
3.1.5主机及外设的电磁干扰辐射必须符合国家标准或军队标准的要求,外国产品则必须符合生产国的标准,如FCC或VDE等标准。
3.1.6机要信息处理系统中要考虑防止电磁波信息辐射被非法截收。
3.1.6.1可采取区域控制的办法,即将可能截获辐射信息的区域控制起来,不许外部人员接近。
3.1.6.2可采用机房屏蔽的方法,使得信息不能辐射出机房。
3.1.6.3可采用低辐射设备。
3.1.6.4可采取其它技术,使得难以从被截获的辐射信号中分析出有效信息。
3.1.6.5关于屏蔽技术的具体要求和技术指标可向公安部有关部门咨询。
3.1.7磁媒休管理:3.1.7.1磁盘、磁带必须按照系统管理员及制造厂确定的操作规程安装。
3.1.7.2传递过程的数据磁盘、磁带应装在金属盒中。
3.1.7.3新带在使用前庞在机房经过二十四小时温度适应。
3.1.7.4磁带、磁盘应放在距钢筋房柱或类似结构物十厘米以上处,以防雷电经钢筋传播时产生的磁场损坏媒体上的信息。
3.1.7.5存有机要信息的磁带清除时必须进行消磁,不得只进行磁带初始化。
3.1.7.6所有入库的盘带目录清单必须具有统一格式,如文件所有者、卷系列号、文件名及其描述、作业或项目编号、建立日期及保存期限。
3.1.7.7盘带出入库必须有核准手续并有完备记录。
3.1.7.8长期保存的磁带庞定期转贮。
3.1.7.9存有记录机要信息磁带的库房,必须符合相应密级的文件保存和管理条例的要求,不得与一般数据磁带混合存放。
3.1.7.10重要的数据文件必须多份拷贝异地存放。
3.1.7.11磁带库必须有专人负责管理。
3.2软件安全3.2.1系统软件应具有以下安全措施:3.2.1.1操作系统应有较完善的存取控制功能,以防止用户越权存取信息。
3.2.1.2操作系统应有良好的存贮保护功能,以防止用户作业在指定范围以外的存贮区域进行读写。
3.2.1.3操作系统应有较完善的管理功能,以记录系统的运行情况,监测对数据文件的存取。
3.2.1.4维护人员进行维护时,应处于系统安全控制之下。
3.2.1.5操作系统发生故障时,不应暴露口令,授权表等重要信息。
3.2.1.6操作系统在作业正常或非正常结束以后,应该清除分配给该作业的全部临时工作区域。
3.2.1.7系统应能像保护信息的原件一样,精确地保护信息的拷贝。
3.2.2应用软件:3.2.2.1应用程序必须考虑充分利用系统所提供的安全控制功能。
3.2.2.2应用程序在保证完成业务处理要求的同时,应在设计时增加必要的安全控制功能。
3.2.2.3程序员与操作员职责分离。
3.2.2.4安全人员应定期用存档的源程序与现行运行程序进行对照,以有效地防止对程序的非法修改。
3.2.3数据库:3.2.3.1数据库必须有严格的存取控制措施,库管理员可以采取层次、分区、表格等各种授权方式,控制用户对数据库的存取权限。