安全管理软件系统安全规范
IT系统安全管理规范(2023版)
IT系统安全管理规范IT系统安全管理规范⒈引言本文档旨在规范IT系统的安全管理要求和措施,以确保信息系统的保密性、完整性和可用性,并保护IT资产免受未经授权的访问、使用、披露、修改和破坏。
本文档适用于所有使用和管理IT系统的人员,包括管理人员、维护人员和用户。
⒉术语和定义⑴ IT系统:指包括硬件、软件、网络和数据等在内的信息技术系统。
⑵安全管理:指对IT系统的安全性进行规划、组织、实施和监督的活动。
⑶保密性:指确保信息只能被授权人员访问的级别。
⑷完整性:指确保信息保持完整和准确的级别。
⑸可用性:指确保信息系统和数据能够及时正常地被授权用户使用的级别。
⒊安全政策和目标⑴安全政策制定⒊⑴确定公司的安全政策,包括对安全问题的立场和目标。
⒊⑵将安全政策与组织的战略目标相一致。
⒊⑶定期审查和更新安全政策,以适应变化的安全威胁和技术环境。
⑵安全目标设定⒊⑴设定明确的安全目标,包括保障信息的机密性、完整性和可用性。
⒊⑵将安全目标与组织和业务目标相一致。
⒊⑶制定具体的计划和措施,以实现安全目标。
⒋组织安全管理⑴安全组织架构⒋⑴指定安全责任人,负责制定、实施和监督安全政策和规定。
⒋⑵设立安全委员会,定期审查和改进安全管理措施。
⒋⑶制定和发布安全管理的组织结构图和职责分工。
⑵人员安全管理⒋⑴建立员工安全意识培训计划,并定期进行培训和测试。
⒋⑵确立离职人员的安全处理程序,包括收回权限和访问凭证。
⒋⑶定期评估员工的安全行为和合规性,对违规行为进行处理。
⑶供应商管理⒋⑴建立供应商安全评估和选择程序,只选择合规的供应商。
⒋⑵与供应商签订明确的安全协议和合同,约定安全要求和责任。
⒋⑶对供应商进行定期的安全审核和监督,确保其合规性。
⒌安全控制措施⑴访问控制⒌⑴制定访问控制策略,包括身份验证、授权和权限管理。
⒌⑵实施强密码策略,包括复杂度要求和定期更换密码。
⒌⑶限制对敏感数据和系统的访问,根据权限进行授权。
⑵数据保护⒌⑴制定数据分类和保护策略,根据数据敏感性分级管理。
办公软件系统安全管理制度
第一章总则第一条为加强公司办公软件系统的安全管理,确保公司信息资源的安全与完整,防止信息泄露和系统故障,保障公司各项工作顺利进行,特制定本制度。
第二条本制度适用于公司内部所有使用办公软件系统的员工。
第三条本制度遵循以下原则:1. 预防为主,防治结合;2. 安全可靠,便于管理;3. 依法合规,保障权益。
第二章安全责任第四条公司信息管理部门负责办公软件系统的安全管理工作,包括制定、实施、监督和检查。
第五条各部门负责人对本部门办公软件系统的安全负责,确保本部门员工遵守本制度。
第六条员工应自觉遵守办公软件系统的安全规定,保护公司信息资源的安全。
第三章安全措施第七条办公软件系统应采用安全可靠的密码保护,员工应设置复杂且不易被破解的密码,并定期更换。
第八条严格控制权限,对办公软件系统进行分类管理,不同级别的员工使用相应权限,防止信息泄露。
第九条定期进行系统备份,确保数据安全,避免因系统故障导致数据丢失。
第十条对办公软件系统进行安全检查,及时修复系统漏洞,提高系统安全性。
第十一条加强员工安全意识教育,定期开展安全培训,提高员工安全防范能力。
第十二条严格监控办公软件系统的使用情况,对异常行为进行记录和分析,及时发现和处理安全隐患。
第四章违规处理第十三条员工违反本制度,导致信息泄露、系统故障等安全事件的,根据情节轻重,给予警告、记过、降职、解聘等处分。
第十四条员工故意泄露公司秘密,涉嫌违法犯罪的,移交司法机关处理。
第五章附则第十五条本制度由公司信息管理部门负责解释。
第十六条本制度自发布之日起施行。
以下为具体条款:一、办公软件系统使用规定1. 员工使用办公软件系统时,应遵守国家有关法律法规,不得利用系统进行违法活动。
2. 不得擅自修改、删除系统文件,严禁恶意攻击、破坏系统。
3. 不得利用办公软件系统传播有害信息,不得利用系统进行商业欺诈、侵犯他人权益等行为。
二、密码管理1. 员工应设置复杂且不易被破解的密码,密码长度不少于8位,包含大小写字母、数字和特殊字符。
IT系统安全管理规范
IT系统安全管理规范引言概述:IT系统安全管理规范是保障信息系统安全的重要措施,它涵盖了信息系统的建设、维护、监控等方面。
本文将从五个方面详细阐述IT系统安全管理规范的内容和要求。
一、安全策略制定1.1 确定安全目标:明确信息系统安全的目标,包括保护机密性、完整性和可用性等方面。
1.2 制定安全政策:制定适合组织的安全政策,包括密码策略、访问控制策略、备份策略等,以确保信息系统的安全性。
1.3 安全意识教育:开展定期的安全意识教育培训,提高员工对安全风险的认识和防范能力。
二、风险评估与管理2.1 风险评估:对信息系统进行全面的风险评估,包括对系统漏洞、恶意代码、网络攻击等进行评估和分析。
2.2 风险管理:制定相应的风险管理计划,包括漏洞修复、应急响应、安全事件处理等,确保及时有效地应对各类安全威胁。
2.3 安全审计:定期进行安全审计,检查信息系统的安全控制措施是否有效,并及时修复发现的安全漏洞。
三、访问控制与身份认证3.1 用户权限管理:建立完善的用户权限管理制度,包括用户账号管理、权限分配和撤销等,确保用户只能访问其所需的资源。
3.2 强化身份认证:采用多因素身份认证方式,如密码加指纹、密码加令牌等,提高身份认证的安全性。
3.3 审计访问日志:记录用户的访问日志,包括登录时间、访问行为等,以便追溯和分析安全事件。
四、数据保护与备份4.1 数据分类与加密:对重要数据进行分类,根据不同的安全级别采取相应的加密措施,确保数据的机密性。
4.2 数据备份与恢复:建立定期的数据备份和恢复机制,确保数据的可用性和完整性,以应对数据丢失或损坏的情况。
4.3 灾难恢复计划:制定灾难恢复计划,包括备份数据的存储位置、恢复时间目标等,以应对灾难事件对系统的影响。
五、安全监控与应急响应5.1 安全事件监控:建立安全事件监控系统,对系统的安全事件进行实时监测和分析,及时发现和应对安全威胁。
5.2 安全漏洞修复:及时修复系统中的安全漏洞,包括安全补丁的安装和系统配置的优化等。
IT系统安全管理规范
IT系统安全管理规范引言概述:IT系统安全管理规范是指为了保护企业的信息系统和数据安全而制定的一系列准则和规定。
在当前信息技术高速发展的背景下,IT系统安全管理规范变得尤为重要。
本文将从四个方面详细阐述IT系统安全管理规范的内容。
一、建立安全意识1.1 培训员工意识:通过定期的安全培训,使员工了解信息安全的重要性,掌握基本的安全知识和技能,提高员工对安全问题的敏感性。
1.2 制定安全政策:企业应制定明确的安全政策,包括密码规范、访问控制规则、数据备份策略等,明确员工在使用信息系统时的行为准则。
1.3 安全意识考核:定期对员工进行安全意识考核,评估员工对安全规范的理解和遵守情况,及时发现问题并进行纠正。
二、加强访问控制2.1 强化身份认证:采用多重身份认证方式,如密码、指纹、刷卡等,确保只有授权人员才能访问系统和数据。
2.2 控制权限分配:根据员工的职责和需要,合理分配访问权限,避免权限过大或过小带来的安全隐患。
2.3 监控访问日志:建立访问日志记录机制,及时发现异常访问行为,如未授权访问、频繁登录失败等,以便及时采取相应的安全措施。
三、加强系统保护3.1 更新安全补丁:及时安装操作系统和应用程序的安全补丁,修复已知的漏洞,防止黑客利用已知漏洞进行攻击。
3.2 配置防火墙:设置防火墙,限制外部网络对内部网络的访问,阻止未经授权的访问和攻击。
3.3 定期备份数据:建立定期备份数据的机制,保证数据的安全性和完整性,以防止数据丢失或被篡改。
四、加强安全监控4.1 安全事件响应:建立安全事件响应机制,及时发现和处理安全事件,减少安全事件对系统和数据的影响。
4.2 安全漏洞扫描:定期进行安全漏洞扫描,发现系统和应用程序中的安全漏洞,并及时采取措施进行修复。
4.3 安全审计与监控:实施安全审计,对系统和网络进行监控,发现异常行为和安全漏洞,及时采取措施进行修复和防范。
总结:IT系统安全管理规范是企业保护信息系统和数据安全的重要手段。
软件系统的安全管理规定(3篇)
第1篇第一章总则第一条为加强软件系统的安全管理,确保信息系统安全、稳定、可靠运行,维护国家安全和社会公共利益,保障用户合法权益,根据《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》等相关法律法规,结合我单位实际情况,制定本规定。
第二条本规定适用于我单位所有软件系统的安全管理,包括但不限于内部办公系统、业务系统、客户服务系统等。
第三条软件系统安全管理应遵循以下原则:(一)安全第一、预防为主:将安全工作贯穿于软件系统的设计、开发、部署、运维等全过程。
(二)统一管理、分级负责:建立健全软件系统安全管理体系,明确各级职责,实现安全管理的规范化、标准化。
(三)持续改进、动态监控:定期开展安全风险评估,持续改进安全防护措施,确保软件系统安全态势稳定。
第二章安全组织与管理第四条成立软件系统安全工作领导小组,负责统筹协调、组织落实软件系统安全管理工作。
第五条设立软件系统安全管理办公室,负责日常安全管理工作,具体职责如下:(一)制定软件系统安全管理制度和操作规程;(二)组织开展安全培训、宣传教育活动;(三)负责安全事件的监测、预警、处置和报告;(四)负责安全评估、检查、审计等工作;(五)协调各部门、各业务系统间的安全管理工作。
第六条各部门、各业务系统应设立安全责任人,负责本部门、本系统软件系统的安全管理工作。
第三章安全制度与措施第七条软件系统安全管理制度:(一)网络安全管理制度;(二)信息系统安全管理制度;(三)数据安全管理制度;(四)个人信息保护制度;(五)应急管理制度;(六)安全培训制度。
第八条软件系统安全措施:(一)物理安全措施:确保软件系统硬件设施的安全,如服务器、存储设备、网络设备等;(二)网络安全措施:采用防火墙、入侵检测系统、安全协议等技术手段,保障网络传输安全;(三)系统安全措施:采用操作系统、数据库、应用程序等安全配置,防止系统漏洞被利用;(四)数据安全措施:对敏感数据进行加密存储和传输,定期进行数据备份,确保数据安全;(五)个人信息保护措施:依法收集、使用、存储、处理个人信息,加强个人信息保护技术措施,防止个人信息泄露、篡改、损毁;(六)应急措施:制定应急预案,定期开展应急演练,提高应急处置能力。
IT系统安全管理规范
IT系统安全管理规范一、引言IT系统安全管理规范是为了保护企业的信息系统免受未经授权的访问、使用、披露、破坏、修改或丢失的风险而制定的。
本规范旨在确保企业的IT系统和数据得到充分的保护,以防止潜在的安全威胁和损失。
二、范围本规范适用于企业内部的所有IT系统,包括硬件设备、软件应用、网络设施以及相关的人员和流程。
三、安全策略1. 确立安全策略:企业应制定适合自身需求的安全策略,明确安全目标、原则和控制措施。
2. 安全意识培训:企业应定期组织安全意识培训,提高员工对安全风险的认识和应对能力。
四、身份和访问管理1. 用户身份验证:所有用户必须通过严格的身份验证才能访问系统,包括强密码要求、多因素身份验证等。
2. 访问控制:根据用户的角色和职责,分配适当的访问权限,并定期审查和更新权限。
3. 账号管理:及时禁用或删除离职员工的账号,避免未经授权的访问。
五、数据安全1. 数据备份:定期备份企业的重要数据,并将备份存储在安全的地方,以防止数据丢失。
2. 数据加密:对敏感数据进行加密处理,确保数据在传输和存储过程中的安全性。
3. 数据访问控制:限制对敏感数据的访问权限,只允许授权人员进行访问和操作。
六、网络安全1. 防火墙配置:企业应配置和维护防火墙,限制非授权访问和网络攻击。
2. 网络监控:实施网络监控措施,及时发现和应对网络安全事件。
3. 漏洞管理:定期进行系统漏洞扫描和修复,确保系统的安全性。
七、物理安全1. 机房安全:机房应设有严格的门禁措施和监控设备,只有授权人员才能进入。
2. 设备管理:对所有IT设备进行管理,包括标记、防盗措施和定期检查。
八、事件响应和恢复1. 安全事件响应:建立安全事件响应机制,及时发现、报告和处理安全事件。
2. 业务连续性计划:制定业务连续性计划,确保在安全事件发生时能够迅速恢复业务。
九、合规性与审计1. 合规性检查:定期进行合规性检查,确保企业的IT系统符合相关法规和标准要求。
软件系统安全管理制度
软件系统安全管理制度一、引言随着信息化技术的不断发展,软件系统在企业和社会生活中扮演着越来越重要的角色。
然而,随之而来的是软件安全管理工作的日益复杂和重要。
为了保障软件系统的安全,我们制定了以下软件系统安全管理制度,旨在确保软件系统的正常运行和信息安全。
二、软件系统安全管理的基本要求1. 确保软件系统的稳定性和安全性,保障信息资产的完整性和可用性。
2. 遵守相关法律法规,严格保护用户隐私和数据安全。
3. 加强对软件系统安全管理工作的组织和领导。
4. 建立健全的软件系统安全保障体系,包括安全保密制度、安全技术措施、安全管理措施等。
5. 做好软件系统安全风险评估和应急预案制定工作。
三、软件系统安全管理的组织架构和职责分工1. 软件系统安全管理委员会软件系统安全管理委员会是软件系统安全管理的最高决策机构,由公司高层领导组成,负责审议和决定软件系统安全管理的重大事项。
2. 安全管理部门安全管理部门是负责软件系统安全管理工作的部门,主要职责包括:(1)制定软件系统安全管理制度和规章制度;(2)建立健全软件系统安全档案和安全管理制度;(3)组织开展软件系统安全培训和教育工作;(4)开展软件系统安全评估和审计工作;(5)制定软件系统安全控制标准和技术规范。
3. 软件系统管理员软件系统管理员是负责软件系统安全管理的具体执行人员,主要职责包括:(1)负责软件系统的日常管理和维护工作;(2)负责软件系统的安全配置和漏洞修复工作;(3)负责软件系统的安全监控和风险预警工作;(4)负责软件系统的安全事件处置和安全报告工作。
四、软件系统安全管理制度1. 安全准入管理(1)软件系统安全准入原则:严格按照“谁制定、谁审批、谁负责”的原则开展软件系统安全准入工作;(2)准入审批流程:确保软件系统安全准入符合公司相关规定,按照准入审批流程进行安全准入审批。
2. 安全配置管理(1)安全配置原则:严格按照“最小权限原则”开展软件系统安全配置管理;(2)安全配置标准:建立健全软件系统安全配置标准,规范软件系统安全配置工作;(3)安全配置审核:对软件系统安全配置进行定期审核和检查,确保符合公司安全配置标准。
软件系统安全之管理制度
一、引言随着信息技术的飞速发展,软件系统已成为现代社会生产、生活的重要基础设施。
然而,软件系统安全事件频发,给国家、企业和个人带来了严重损失。
为了保障软件系统的安全稳定运行,建立健全软件系统安全管理制度至关重要。
本文将围绕软件系统安全管理制度展开论述。
二、软件系统安全管理制度内容1. 安全组织架构(1)设立安全管理部门,负责统筹规划、组织实施和监督软件系统安全管理工作。
(2)明确各级人员的安全职责,确保安全管理工作落实到位。
2. 安全策略制定(1)制定符合国家法律法规、行业标准和企业内部规定的安全策略。
(2)根据业务需求,合理配置安全策略,确保系统安全。
3. 安全漏洞管理(1)定期对软件系统进行安全漏洞扫描,及时发现并修复安全漏洞。
(2)建立漏洞库,对已知漏洞进行跟踪、更新和修复。
4. 访问控制管理(1)实施严格的用户身份认证和授权管理,确保用户权限与实际需求相符。
(2)定期审计用户访问记录,及时发现异常行为。
5. 数据安全与隐私保护(1)对敏感数据进行加密存储和传输,防止数据泄露。
(2)建立数据备份和恢复机制,确保数据安全。
6. 系统安全审计(1)定期对软件系统进行安全审计,发现安全隐患并及时整改。
(2)建立安全事件报告和处置制度,确保安全事件得到有效处理。
7. 安全教育与培训(1)定期开展安全教育活动,提高员工安全意识。
(2)对关键岗位人员进行专业培训,确保其具备必要的安全技能。
8. 应急预案与演练(1)制定应急预案,明确安全事件应对流程。
(2)定期组织应急演练,提高应急处置能力。
三、实施与监督1. 落实安全管理制度,确保各项措施得到有效执行。
2. 定期对安全管理制度进行评估,根据实际情况进行调整和完善。
3. 加强对安全工作的监督,确保安全管理工作取得实效。
四、结语软件系统安全管理制度是保障软件系统安全稳定运行的重要保障。
企业应高度重视安全管理工作,不断完善安全管理制度,提高安全防护能力,为我国信息化建设贡献力量。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
一、引言1.1目的随着计算机应用的广泛普及,计算机安全已成为衡量计算机系统性能的一个重要指标。
计算机系统安全包含两部分内容,一是保证系统正常运行,避免各种非故意的错误与损坏;二是防止系统及数据被非法利用或破坏。
两者虽有很大不同,但又相互联系,无论从管理上还是从技术上都难以截然分开,因此,计算机系统安全是一个综合性的系统工程。
本规范对涉及计算机系统安、全的各主要环节做了具体的说明,以便计算机系统的设计、安装、运行及监察部门有一个衡量系统安全的依据。
1.2范围本规范是一份指导性文件,适用于国家各部门的计算机系统。
在弓I用本规范时,要根据各单位的实际情况,选择适当的范围,不强求全面采用。
二、安全组织与管理2.1安全机构2.1.1单位最高领导必须主管计算机安全工作。
2.1.2建立安全组织:2.1.2.1安全组织由单位主要领导人领导,不能隶属于计算机运行或应用部门。
2.1.2.2安全组织由管理、系统分析、软件、硬件、保卫、审计、人事、通信等有关方面人员组成。
2.1.2.3安全负责人负责安全组织的具体工作。
2.1.2.4安全组织的任务是根据本单位的实际情况定期做风险分析,提出相应的对策并监督实施。
2.1.3安全负责人制:2.1.3.I确定安全负责人对本单位的计算机安全负全部责任。
2.1.3.2只有安全负责人或其指定的专人才有权存取和修改系统授权表及系统特权口令。
2.1.3.3安全负责人要审阅每天的违章报告,控制台操作记录、系统日志、系统报警记录、系统活动统计、警卫报告、加班报表及其他与安全有关的材料。
2.1.3.4安全负责人负责制定安全培训计划。
2.1.3.5若终端分布在不同地点,则各地都应有地区安全负责人,可设专职,也可以兼任,并接受中心安全负责人的领导。
2.1.3.6各部门发现违章行为,应向中心安全负责人报告,系统中发现违章行为要通知各地有关安全负责人。
2.1.4计算机系统的建设应与计算机安全工作同步进行。
2.2人事管理2.2.1人员审查:必须根据计算机系统所定的密级确定审查标准。
如:处理机要信息的系统,接触系统的所有工作人员必须按机要人员的标准进行审查。
2.2.2关键岗位的人选。
如:系统分析员,不仅要有严格的政审,还要考虑其现实表现、工作态度、道德修养和业务能力等方面。
尽可能保证这部分人员安全可靠。
2.2.3所有工作人员除进行业务培训外,还必须进行相应的计算机安全课程培训,才能进入系统工作。
2.2.4人事部门应定期对系统所有工作人员从政治思想、业务水平、工作表现等方面进行考核,对不适于接触信息系统的人员要适时调离。
2.2.5对调离人员,特别是在不情愿的情况下被调走的人员,必须认真办理手续。
除人事手续外,必须进行调离谈话,申明其调离后的保密义务,收回所有钥匙及证件,退还全部技术手册及有关材料。
系统必须更换口令和机要锁。
在调离决定通知本人的同时,必须立即进行上述工作,不得拖延。
2.3安全管理2.3,1应根据系统所处理数据的秘密性和重要性确定安全等级,井据此采用有关规范和制定相应管理制度。
2.3.2安全等级可分为保密等级和可靠性等级两种,系统的保密等级与可靠性等级可以不同。
2.3.2.1保密等级应按有关规定划为绝密、机密、秘密。
2.3.2.2可靠性等级可分为三级。
对可靠性要求最高的为A级,系统运行所要求的最低限度可靠性为C级,介于中间的为B级。
2.3.3用于重要部门的计算机系统投入运行前,应请公安机关的计算机监察部门进行安全检查。
2.3.4必须制定有关电源设备、空凋设备,防水防盗消防等防范设备的管理规章制度。
确定专人负责设备维护和制度实施。
2.3.5应根据系统的重要程度,设立监视系统,分别监视设备的运行情况或工作人员及用户的操作情况,或安装自动录象等记录装置。
对这些设备必须制定管理制度,并确定负责人。
2.3.6制定严格的计算中心出入管理制度:2.3.6.1计算机中心要实行分区控制,限制工作人员出入与己无关的区域。
2.3.6.2规模较大的计算中心,可向所有工作人员,包括来自外单位的人员,发行带有照片的身份证件,并定期进行检查或更换。
2.3.6.3安全等级较高的计算机系‘统,除采取身份证件进行识别以外,还要考虑其他出入管理措施,如:安装自动识别登记系统,采用磁卡、结构编码卡或带有徽电脑及存储器的身份卡等手段,对人员进行自动识别、登记及出入管理。
2.3.6.4短期工作人员或维修人员的证件,应注明有效日期,届时收回。
2.3.6.5参观人员必须由主管部门办理参观手续,参观时必须有专人陪同。
2.3.6.6因系统维修或其它原因需外国籍人进入机房时,必须始终有人陪同。
2.3.6.7进出口的钥匙应保存在约定的场所,由专人管理,并明确其责任。
记录最初人室者及最后离室者和钥匙交换时间。
2.3.6.8在无警卫的场合,必须保证室内无人时,关锁所有出入口。
2.3.6.9禁止携带与上机工作无关的物品进入机房。
2.3.6.10对于带进和带出的物品,如有疑问,庞进行查验。
2.3.7制定严格的技术文件管理制度。
2.3.7.1计算机系统的技术文件如说明书、手册等应妥善保存,要有严格的借阅手续,不得损坏及丢失。
2.3.7.2应备有关计算机系统操作手册规定的文件。
2.3.7.3庞常备计算机系统出现故障时的替代措施及恢复顺序所规定的文件。
2.3.8制定严格的操作规程:2.3.8.I系统操作人员应为专职,操作时要有两名操作人员在场。
2.3.8.2对系统开发人员和系统操作人员要进行职责分离。
2.3.9制定系统运行记录编写制度,系统运行记录包括系统名称、姓名、操作时间、处理业务名称、故障记录及处理情况等。
2.3.10制定完备的系统维护制度:2.3.10.1对系统进行维护时,应采取数据保护措施。
如:数据转贮、抹除、卸下磁盘磁带,维护时安全人员必须在场等。
运程维护时,应事先通知。
2.3.10.2对系统进行预防维修或故障维修时,必须记录故障原因、维修对象、维修内容和维修前后状况等。
2,3.10.3必须建立完整的维护记录档案。
2.3.11应制定危险品管理制度。
2.3.12应制定消耗品管理制度。
2.3.13应制定机房清洁管理制度。
2.3.14必须制定数据记录媒体管理制度。
2.3.15必须定期进行安全设备维护及使用训练,保证每个工作人员都能熟练地操作有关的安全设备。
三、安全技术措施3.1实体安全3.1.1设计或改建计算机机房时必须符合下列标准:3.1.1.1《计算机场地技术要求》(GB2887—87)。
3.1.1.2《计算站场地安全要求》国家标准(待公布)。
3.1.2计算中心机房建筑和结构还应注意下列问题:3.1.2.1祝房最好为专用建筑。
3.1.2.2机房最好设置在电梯或楼梯不能直接进入的场所。
3.1.2.3机房应与外部人员频繁出入的场所隔离。
3.1.2.4机房周围应设有围墙或栅栏等防止非法进入的设施。
3.1.2.5建筑物周围应有足够照度的照明设施,以防夜间非法侵入。
3.1.2.6外部容易接近的窗口应采取防范措施。
如钢化玻璃、嵌网玻璃及卷帘和铁窗。
无人值守时应有自动报警设备。
3.1.2.7应在合适的位置上开设应急出口,作为避险通道或应急搬运通道。
3.1.2.8机房内部设计庞便于出入控制和分区控制。
3.1.3重要部门的计算机中心外部不应设置标明系统及有关设备所在位置的标志。
3.1.4安全设备除符合《计算站场地安全要求》标准外,还要注意以下几点:3.1.4.1机房进出口应设置应急电话。
3.1.4.2各房间应设置报警喇叭。
以免由于隔音及空调的原因而听不到告警通知。
3.1.4.3进出口应设置识别与记录进出人员的设备及防范设备。
3.1.4.4机房内用于动力、照明的供电线路应与计算机系统的供电线路分开。
3.1.4.5机房内不同电压的供电系统应安装互不兼容的插座。
3.1.4.6应设置温、湿度自动记录仪及温、湿度报警设备。
3.1.5主机及外设的电磁干扰辐射必须符合国家标准或军队标准的要求,外国产品则必须符合生产国的标准,如FCC或VDE等标准。
3.1.6机要信息处理系统中要考虑防止电磁波信息辐射被非法截收。
3.1.6.1可采取区域控制的办法,即将可能截获辐射信息的区域控制起来,不许外部人员接近。
3.1.6.2可采用机房屏蔽的方法,使得信息不能辐射出机房。
3.1.6.3可采用低辐射设备。
3.1.6.4可采取其它技术,使得难以从被截获的辐射信号中分析出有效信息。
3.1.6.5关于屏蔽技术的具体要求和技术指标可向公安部有关部门咨询。
3.1.7磁媒休管理:3.1.7.1磁盘、磁带必须按照系统管理员及制造厂确定的操作规程安装。
3.1.7.2传递过程的数据磁盘、磁带应装在金属盒中。
3.1.7.3新带在使用前庞在机房经过二十四小时温度适应。
3.1.7.4磁带、磁盘应放在距钢筋房柱或类似结构物十厘米以上处,以防雷电经钢筋传播时产生的磁场损坏媒体上的信息。
3.1.7.5存有机要信息的磁带清除时必须进行消磁,不得只进行磁带初始化。
3.1.7.6所有入库的盘带目录清单必须具有统一格式,如文件所有者、卷系列号、文件名及其描述、作业或项目编号、建立日期及保存期限。
3.1.7.7盘带出入库必须有核准手续并有完备记录。
3.1.7.8长期保存的磁带庞定期转贮。
3.1.7.9存有记录机要信息磁带的库房,必须符合相应密级的文件保存和管理条例的要求,不得与一般数据磁带混合存放。
3.1.7.10重要的数据文件必须多份拷贝异地存放。
3.1.7.11磁带库必须有专人负责管理。
3.2软件安全3.2.1系统软件应具有以下安全措施:3.2.1.1操作系统应有较完善的存取控制功能,以防止用户越权存取信息。
3.2.1.2操作系统应有良好的存贮保护功能,以防止用户作业在指定范围以外的存贮区域进行读写。
3.2.1.3操作系统应有较完善的管理功能,以记录系统的运行情况,监测对数据文件的存取。
3.2.1.4维护人员进行维护时,应处于系统安全控制之下。
3.2.1.5操作系统发生故障时,不应暴露口令,授权表等重要信息。
3.2.1.6操作系统在作业正常或非正常结束以后,应该清除分配给该作业的全部临时工作区域。
3.2.1.7系统应能像保护信息的原件一样,精确地保护信息的拷贝。
3.2.2应用软件:3.2.2.1应用程序必须考虑充分利用系统所提供的安全控制功能。
3.2.2.2应用程序在保证完成业务处理要求的同时,应在设计时增加必要的安全控制功能。
3.2.2.3程序员与操作员职责分离。
3.2.2.4安全人员应定期用存档的源程序与现行运行程序进行对照,以有效地防止对程序的非法修改。
3.2.3数据库:3.2.3.1数据库必须有严格的存取控制措施,库管理员可以采取层次、分区、表格等各种授权方式,控制用户对数据库的存取权限。