《计算机信息系统安全的基本要求(DOC格式)》由会员分享,可在线阅读,更多相关《计算机信息系统安全的基本要求(DOC格式)(7页珍藏版)》请在金锄头文库上搜索。
1、计算机信息系统安全的基本要求 作者:佚名 转贴自:摘自法规汇编 点击数:915 文章录入:admin 根据公安部的有关规定,下面是计算机信息系统安全的基本要求:一、实体安全1、中心周围 100 米内没有危险建筑,主要指没有易燃、易爆、 有害气体等存放的场所,如加油站、燃气管道、煤气站散发较强腐蚀气体的设施等。2、设有监控系统,指对系统运行的外围环境、操作环境实施监控(视)的设施。3、有防火、防水措施。如机房内有火灾自动报警系统,有适用于计算机机房的灭火器材(气体灭火器) ,有应急计划及相关制度。防水:指机房内无渗水、漏水现象,如果机房上层有用水设施需加防水层。4、机房环境(温度、湿度、洁净度)
2、达到要求。作为中心机房温度应保持在 18-24 度,相对湿度保持在 40-60为好。机房和设备应保持清洁、卫生,进出机房时要更衣、换鞋,机房的门窗在建造时应考虑封闭性能。5、防雷(防雷装置、接地)措施。机器设备应有专用地线,机房本身有避雷设施,设备(包括通信设备和电源设备)有防雷击技术设施。6、有备用电源,如长时间 ups,停电后可供电 8 小时或更长时间,或者自备发电机。7、平时使用 ups 供电。8、有防静电措施,如防静电地板、设备接地良好等。9、为保证设备用电质量,采取专线供电,与空调、照明、动力等分开。10、采取防盗措施,中心应有值班守卫,出入口安装防盗安全门,窗户安装金属防护装置。二
3、、网络通信安全1、装有通信设备的场所要设有标志,如“机房重地” 、 “请勿触摸”等醒目的文字、图形等。2、重要的通信线路及通信控制装置要有备份,如备用网络通信线路,类似于调制解调器等服务于网络通信的设备也要有备用。3、加密措施,包括网络通讯及软、硬件,即网络传输的信息要加密,软件、硬件有防止非法入侵的手段4、网络运行状态应有安全审计跟踪措施,能随时掌握网络用户的工作状况。安全审计是指在计算机信息系统中模拟社会的监察机构对于系统(包括网络)的活动进行监视和记录的一种机制。其主要功能有:监视和记录系统的活动情况,使影响系统安全性的存取以及其他非法企图留下线索,以便查出非法操作者;检测和判定对系统的
4、攻击,及时提供报警和处理;提供审计报告,使系统安全管理人员能够了解运行情况;识别合法用户的误操作等。5、网络系统有访问控制措施,根据工作性质划分网络用户的访问权限。6、有工作站身份识别措施,以辨别该工作站是否本网络的合法用户。三、软件与信息安全1、操作系统及数据库要有访问控制措施,按工作性质划分对操作系统及数据库的访问权限。能对不正常的运行状况或操作及时发现并进行控制或纠正。2、应用软件、系统信息能防止恶意攻击和非法存取。3、对数据库及系统状态要有监控、防护措施。(1)系统标识与验证,即将系统有关数据处理的有关成份如用户、 数据文件、软件和硬件设置唯一的机器可识别的标识符,使这些组件在预先建立
5、的存取控制规则的控制下进行运作。(2)系统存取控制,是对处理状态下的信息进行保护的措施,它通过对所有直接存取活动进行授权的措施,对访问系统或系统资源(如数据库)的程序和行为进行是否合法的检查。(3)隔离技术,其目的在于堵住安全缺口。隔离技术使操作系统内受到破坏的部份不影响其它部份。4、有用户身份识别措施,工作站开机有输入用户名、口令等要求。5、系统用户信息要有异地备份,即备份信息不能存放在同一建筑物内,至少不能放在同一楼层,是否异地备份和备份的份数视信息数据的重要性和恢复的难度而定。四、管理组织与制度安全1、有专门的安全防范组织和计算机安全员。2、有健全的安全管理规章制度,如机房安全管理制度、
6、设备、数据管理制度及人员调离的安全管理制度等。例如在宣布人员调离的同时应马上收回钥匙、更换口令、取消帐户等,并向被调离人员申明其保密义务。3、要有详尽的工作手册和完整的工作记录。4、定期进行风险分析,制定灾难处理对策,如关键岗位人员的联络方法,备份设备如何取得,如何组织系统重建等。5、建立有安全培训制度,进行计算机安全法律教育、职业道德教育及计算机安全常识教育。6、制定有人员的安全管理制度,如关键岗位人员的定期考核、各部门人员职责的明确、参观中心机房人员的审批和陪同等。五、安全技术措施1、有灾难恢复的技术措施。这里所说的灾难,是指计算机系统受火灾、水灾或人为破坏而产生的严重的后果,灾难恢复是指
7、灾难产生后迅速采取措施恢复计算机系统的正常运行。2、采取开发工作与业务工作分离的措施3、有应用业务、系统安全审计功能4、有系统操作日志,如每天开、关机、设备运行状况等文字记录。5、有服务器备份措施6、有计算机防病毒措施,即计算机预防、清除病毒的软、硬件产品。2003-09-27金融机构计算机信息系统安全保护工作暂行规定(公安部、中国人民中国人民银行1998 年 8 月 31 日发布)第一章 总 则第一条 为加强金融机构计算机信息系统安全保护工作,保障国家财产的安全,保证金融事业的顺利发展,根据中华人民共和国中国人民银行法 中华人民共和国计算机信息系统安全保护条例等有关法律、法规制定本暂行规定。
8、第二条 金融机构计算机信息系统安全保护工作实行谁主管、谁负责、预防为主、综合治理、人员防范和技术防范相结合的原则,逐级建立安全保护责任制,加强制度建设,逐步实现科学化、规范化管理。第三条 金融机构计算机信息系统安全保护工作的基本任务是:预防、打击利用或者针对金融机构计算机信息系统进行的违法犯罪活动,预防、处理各种安全事故,提高金融机构计算机信息系统的整体安全水平,保障国家、集体和个人财产的安全。第四条 金融机构的主要负责人为本单位计算机信息系统安全保护工作的第一责任人。金融机构的计算机信息系统安全保护领导小组、专职部门和专(兼)职安全管理人员以及其他有关人员应当协助第一责任人组织落实有关规定。
9、第五条 金融机构应当建立同公安机关计算机管理监察部门的通报联系制度,及时通报有关计算机信息系统案件和事故情况,协助公安机关查处与本单位有关的案件和事故。第六条 公安机关计算机管理监察部门应当加强对金融机构计算机信息系统安全保护工作实施的指导和监督,及时查处金融机构计算机信息系统发生的案件和事故。第二章 安全防范设施第七条 本暂行规定所称金融机构计算机信息系统安全防范设施包括计算机主机房的构筑防护设施和计算机信息系统及其相关的配套设备的技术防护设施。第八条 金融机构的数据处理中心计算机主机房应当符合下列基本要求: (一)主机房在建筑内应为独立区域。 (二)主机房周围 100 米内不得有危险建筑,
10、如:加油站、煤气站等。 (三)主机房必须按照有关标准配置防火、防水、防盗设施并和当地公安机关 110 联网,以便报警。 (四)对不能停机的主机房必须采用双回路供电,或者配置发电机、持续工作八小时以上的 UPS 等设施。第九条 计算机设备必须有可靠接地,接地电阻不大于相应设备的技术要求,并装置必要的防雷电设施。第十条 金融机构应当在主机房、柜面等要害部位安装监控设备,落实值班监视制度。第十一条 对不能停机的计算机信息系统,金融机构应当配置必要的备份机,以便故障时切换使用。第十二条 重要的通讯控制装置及通讯线必须要有备份。第十三条 网络通讯设施要有安全技术措施。 第三章 安全防范管理第十四条 中国
11、人民银行和各政策性银行、商业银行应当加强信息科技管理部门,并设立专职的计算机信息系统安全管理人员。第十五条 县级以上金融机构必须成立计算机信息系统安全保护领导小组,由分管领导任组长,并确定专职部门负责日常的计算机信息系统安全保护工作。领导小组名单应当报同级人民银行计算机信息系统安全保护领导小组和公安机关计算机管理监察部门备案。其专职部门应当接受公安机关计算机管理监察部门的工作指导和监督。第十六条 金融基层单位应当设立专职或者兼职计算机信息系统安全管理人员。第十七条 各级金融机构应当将计算机信息系统安全防范工作纳入职工的岗位责任制,并与其他工作同时进行检查考核。定期对职工进行法制教育、安全意识教
12、育和防范技能训练。第十八条 计算机信息系统安全保护领导小组负责本单位内各部门计算机信息系统安全管理和检查,并积极配合和支持公安机关计算机管理监察部门开展安全监察和查处案件。第十九条 计算机信息系统安全保护专职部门或者安全管理人员应当对本单位的主要计算机信息系统资源配置、技术人员构成进行登记,报同级公安机关计算机管理监察部门备案。第二十条 金融机构应当加强主要岗位工作人员的录用、考核制度,不适宜的人员必须及时调离。对重要岗位计算机信息系统的安全情况经常进行检查,及时整改不安全隐患。第二十一条 计算机工作人员调离时,必须移交全部技术手册及有关资料,并更换计算机的有关口令和密钥。涉及银行业务核心部分
13、开发的技术人员调离本系统时,应当确认对本系统安全不会造成危害后方可调离。第二十二条 金融机构应当对与计算机有关的卫星天线、电源接口、通信接口等设备进行定期检查维护。第二十三条 金融机构应当建立计算机主机房的值班及人员出入管理登记等制度。第二十四条 金融机构应当建立操作人员密码制度,分清各自责任。密码修改要有记录。第二十五条 金融机构应当实行权限分散原则。明确系统管理员、系统操作员、终端操作员、程序员的权限和操作范围。建立系统运行日志,每天打印重要的操作清单。日志信息长期保存,以备稽查。第二十六条 金融机构应当对易受病毒攻击的计算机信息系统,定期进行病毒检查。用介质交换信息要按规定手续管理,并进
14、行病毒预检,防止病毒对系统和数据的破坏。第二十七条 金融机构对证券交易、储蓄、会计等业务的计算机数据处理,应当建立严格的管理措施,以防止各类事故的发生。第二十八条 金融机构应当用软、硬件技术严格控制各级用户对数据信息的访问权限,包括访问的方式和内容。第二十九条 金融机构应当对重要的数据建立数据备份制度,并做到异地保存。第三十条 金融机构应当对贮有重要数据的故障设备,交外单位人员修理时,本单位必须派专人在场监督。第三十一条 金融机构应当建立废弃数据、介质的处理制度。第三十二条 金融机构修改金融业务程序和系统参数,必须履行一定的审批手续,并做好文档资料的相应修改。第三十三条 金融机构的开发系统应当
15、和业务系统分离,程序员只能在开发系统上工作。业务用机不得用于项目开发,不得含有源程序、编译工具、连接工具等工具软件,不使用与业务无关的任何存贮介质。第三十四条 系统管理员不能兼任柜面及事后稽核等工作,不得参与相关软件开发。参加过应用系统开发的人员,不得担任相应系统的管理员。第三十五条 金融机构启用新的应用软件,应当按规定手续交系统维护人员安装到业务系统,并做好日志记录。第三十六条 重要系统应用软件运行过程中出现异常现象,金融机构应当立即报告本级银行安全管理职能部门,做好详细记录,经领导同意后,由系统管理人员进行检查、修改、维护。第三十七条 金融机构应当建立定期的系统和程序备份制度,异地保存两个以上最新的版本及其目录打印清单,以备系统和程序的恢复。第三十八条 金融机构对重要的业务系统及设备,必须制定应急情况处理方案。第三十九条 金融机构对联网的计算机及其网络设备和通讯设备的安装、使用,应当建立严格的管理措施,以防“黑客”的侵袭。第四十条 金融机构对重要通信应当采用加密措施,并定期更换通讯密钥。重要线路应当采用专线联接方式或者虚拟专线联接方式。第四十一条 金融机构应当建立严格的密钥管理制度和在紧急情况下销毁密钥的手段和措施,以防止密钥的失密。第四十二条 金融机构对与国际联网的计算机信息系统,要按有关规定向公安机关登记备案。对生产机以及存放重要数据的计算机不得以任何方式与国际互联网联网