系统安全管理制度 (2).docx

《系统安全管理制度 (2).docx》由会员分享，可在线阅读，更多相关《系统安全管理制度 (2).docx（13页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、系统安全管理制度前言本制度旨在加强中国科学院沈阳应用生态研究所下面简称沈阳生态所信息系统安全管理工作。本制度由信息中心提出。本制度由信息中心归口。本制度起草部门：信息中心本制度主要起草人：岳倩本制度起草日期：2016/01/19系统安全管理制度1范围本制度规定了沈阳生态所信息系统安全管理权限分配、受权和审批、备份和检查等的要求。本制度适用于沈阳生态所开展信息系统安全管理工作。2术语和定义信息系统：指包括操作系统、应用系统和数据库管理系统。3职责3.1系统管理员1)负责应用系统的安装、维护和系统及数据备份；2)根据应用系统的安全策略，负责应用系统的用户权限设置以及系统安全配置；3)根据应用系统运

2、行的实际情况，制定应急处理预案，提交信息管理部门审定。3.2安全管理员1)负责对应用系统的安装、维护和系统及数据备份的监督检查和登记工作；2)定期检查应用系统的用户权限设置以及系统安全配置，与应用系统安全策略的符合性；3)定期审查应用系统的审计记录，发现安全问题及时报告信息管理部门。4安全策略旨在加强信息系统的运行管理，提高系统的安全性、可靠性，按照完善的管理制度，科学的管理方法来完成信息系统安全管理权限分配、受权和审批、备份和检查等的要求。5信息系统管理5.1操作系统1)操作系统管理员账户的受权、审批操作系统管理员和操作系统安全员账户的受权由所在部门填写（操作系统账户受权审批表），经部门领导

3、批准后设置；操作系统管理员和操作系统安全员人员变更后，必须及时更改账户设置。2)其他账户的受权、审批其他账户的受权由使用人填写（操作系统账户受权审批表），经信息管理部门领导批准后，由操作系统管理员进行设置；操作系统管理员和操作系统安全员根据业务需求和系统安全分析制订系统的访问控制策略，控制分配信息系统、文件及服务的访问权限；外单位人员需要使用审计管理系统时,须经信息管理部门领导同意,填写（外单位人员操作系统账户受权审批表），报信息管理部门领导批准后,由操作系统管理员按规定的权限、时限设置专门的用户账户；严禁任何人将本人的用户账户提供应外单位人员使用。3)口令的复杂性、安全性要求和检查系统账户的

4、口令长度设置至少为8位，口令必须从小写字符a-zA-Z、大写字符A-Z、数字0-9、符号(!#$%&*()_)中至少选择两种进行组合设置；系统账户的口令须定期更改，每次更新的口令不得与旧的口令相同，操作系统应设置相应的口令规则；系统用户的账号、口令、权限等禁止告知其别人员；须根据系统的安全要求对操作系统密码策略进行设置和调整，以确保口令符合要求。4)系统维护和应急处理记录应对系统安装、设置更改、账号变更、备份等系统维护工作进行记录，以备查阅；应对系统异常和系统故障的时间、现象、应急处理方法及结果作具体的记录。5)操作系统的系统管理员账户名称、口令的管理操作系统账户应根据（操作系统账户受权审批表

5、）批准的账户名称、权限和有效期予以设置；必须关闭不必使用的账号；操作系统管理员账户的口令除了知足口令要求外，还必须每季度更改一次，发现有异常情况时应立即更改，每次更新的口令不得与旧的口令一样；严禁把操作系统管理员的账户名称和口令告知其别人员。6)操作系统配置的备份管理操作系统管理员应对操作系统的配置参数及相关文件进行备份，当配置发生变更时必须重新备份，以便系统发生故障时能尽快恢复系统配置。7)操作系统的安全检查操作系统管理员应经常检查操作系统的安全配置，并确保符合安全配置要求；系统管理员、网络管理员和审计员应定期查看操作系统的运行日志和审计日志，以及时发现出现的安全问题包含并不限于对运行日志和

6、审计数据进行分析，保存分析报告，具体描绘账户的连续屡次登录失败、非工作时间的登录、访问受限系统或文件的失败尝试、系统错误等非正常事件；系统管理员应定期使用最新的安全检查或安全分析工具对系统进行检查，并及时消除存在的漏洞；系统管理员施行漏洞扫描或漏洞修补前，应对可能的风险进行评估和充分准备，如选择恰当时间，并做好数据备份和回退方案，漏洞扫描或漏洞修补后应进行验证测试，以保证系统的正常运行，应保存系统漏洞扫描报告，具体描绘系统存在的漏洞、严重级别和结果处理等方面内容，方可施行系统补丁程序的安装。5.2应用系统1)应用系统管理员、安全员账户的受权、审批用于业务应用的账户的受权由使用计算机应用系统相关

7、人员负责填写（应用系统账户受权审批表），经业务管理部门及信息系统运行管理部门负责人批准后，由应用系统管理员进行设置；外单位人员需要使用沈阳生态所信息系统时，须经相关业务管理部门主管同意，填写（外单位人员应用系统账户受权审批表），报信息系统运行管理部门负责人批准后，应用系统管理员按规定的权限、时限设置专门的用户账号；严禁沈阳生态所工作人员将本人的用户账号提供应外单位人员使用。2)口令的复杂性、安全性要求和检查应用系统管理员账户的口令长度设置至少为8位，口令必须从字符a-z,A-Z、数字0-9、符号(!#$%&*()_)中至少选择两种进行组合设置；应用系统管理员账户的口令必须经常更改，至少每半年更

8、改一次，每次更新的口令不得与旧的口令一样，操作系统应设置相应的口令规则；应用系统管理员用户的账号、口令、权限等禁止告知其别人员；用于业务应用的账户的口令长度设置至少为6位，其他要求参照应用系统管理员账户的口令要求执行。3)应用系统维护和应急处理记录应设置（应用系统维护和应急处理记录），系统管理员记录系统的运行情况；应对系统异常、系统故障的日期、现象、处理方法及结果等应急处理进行记录；应对应用系统的安装、设置更改、账号变更、组变更、备份等系统维护工作进行记录，以备查阅；应对应用系统异常和系统故障的时间、现象、应急处理方法及结果作具体的记录。4)应用系统配置的备份的管理系统管理员应对系统的配置参数

9、及相关文件进行备份；当配置发生变更时必须重新备份，以便系统故障时能尽快恢复系统配置。5)应用系统数据的备份的管理备份权限，备份介质都必须加以妥善保管，防止非法访问；制定备份策略，以高效备份与恢复为目的，与操作系统备份结合，物理备份与导出相结合。5.3数据库系统运行管理1)数据库管理员账户的受权，审批数据库管理员和数据库安全员账户的受权由系统运行维护单位填写（数据库系统账户受权审批表），经信息管理部门领导批准后设置；数据库管理员和数据库安全员人员变更后，必须及时更改账户设置。2)其他账户的受权，审批其他数据库账户的受权由使用单位填写（数据库系统账户受权审批表），经信息管理部门领导批准后，由数据库管理员进行设置；外单位人员需要使用数据库系统时,须经部门主管同意,填写（外单位人员数据库系统账户受权审批表），报信息管理部门领导批准后,由数据库管理员按规定的权限、时限设置专门的用户账号；（外单位人员数据库系统账户受权审批表）应包括使用者姓名、身份证号、工作单位、接待部门、数据库系统名称和版本、主机型号、主机号、账户名称、账户类别、授予权限、账号和权限授予期限等；严禁沈阳生态所任何人将本人的用户账号提供应外单位人员使用。3)口令的复杂性、安全性要求和检查