《桂林师范高等专科学校计算机信息网络安全管理制度 - 桂林师范高等》由会员分享,可在线阅读,更多相关《桂林师范高等专科学校计算机信息网络安全管理制度 - 桂林师范高等(8页珍藏版)》请在金锄头文库上搜索。
1、桂林师范高等专科学校计算机信息网络安全管理制度一、引 言为了国家政治、经济和社会的稳定,规范互联网信息服务活动,促进互联网信息服务健康有序发展,使国际互联网为我校的科研单位和党政管理部门以及师生员工服务,在本校计算机网络安全领导小组的指导下,制定本办法。二、安全组织与管理(一)安全机构1 单位最高领导必须主管计算机安全工作。2 建立安全组织:21 安全组织由单位主要领导人领导,不能隶属于计算机运行或应用部门。22 安全组织由管理、系统分析、软件、硬件、保卫、审计、人事、通信等有关方面人员组成。 23 安全负责人负责安全组织的具体工作。 24 安全组织的任务是根据本单位的实际情况定期做风险分析,
2、提出相应的对策并监督实施。3 安全负责人制:3I 确定安全负责人对本单位的计算机安全负全部责任。32 只有安全负责人或其指定的专人才有权存取和修改系统授权表及系统特权口令。33 安全负责人要审阅每天的违章报告,控制台操作记录、系统日志、系统报警记录、系统活动统计、警卫报告、加班报表及其他与安全有关的材料。34 安全负责人负责制定安全培训计划。35 在信义校区和甲山校区分设地区安全负责人,地区安全负责人接受中心安全负责人的领导。36 各部门发现违章行为,应向中心安全负责人报告,系统中发现违章行为要通知各地有关安全负责人。4 计算机系统的建设应与计算机安全工作同步进行。(二)保密制度和保密监督1
3、保密制度1 根据国家保密局发布的计算机信息系统国际联网保密管理规定以及教育科研网 CERNET关于加强网络安全管理的通知精神,结合我校实际,特制定本保密制度。2 未经领导批准,不允许利用计算机复制、存储各类保密文件;经批准后存储的保密文件、磁盘等视同机要文件保管。 3 严禁利用计算机网络传递保密文件。 4 重要的程序和数据文件要有备份。 5 具有保密性质的磁盘要妥善保管,未经批准不得向他人提供查询或拷贝。 7 未经领导批准,操作人员不得私自给任何外单位或私人复制、打印、拷贝带秘级的文件或材料。 8 计算机网络入网人员应遵守网络中心规定,携带身份证、工作证(学生证)到网络中心办理用户备案手续。
4、9 计算机网络帐户不得转借、转让使用。 10 发现反动、黄色、散布谣言等不健康内容的信息,须在 24 小时之内上报校保卫处和公安系统。故意浏览不健康的网站和内容,一经发现取消上网资格,并交有关部门处理。 11 需在网络上发布信息的单位和个人,须由所在单位领导审核、签字,报校长办公室主任批准后,由网络中心负责上网。未经批准私自上网者,责任自负,所在单位领导负连带责任。 2 保密监督1 各级保密工作部门应当有相应机构或人员负责计算机信息系统国际联网的保密管理工作,应当督促互联单位、接入单位及用户建立健全信息保密管理制度,监督、检查国际联网保密管理制度规定的执行情况。对于没有建立信息保密管理制度或责
5、任不明、措施不力、管理混乱,存在明显威胁国家秘密信息安全隐患的部门或单位,保密工作部门应责令其进行整改,整改后仍不符合保密要求的,应当督促其停止国际联网。2 各级保密工作部门,应当加强计算机信息系统国际联网的保密检查,依法查处各种泄密行为。3 互联单位、接入单位和用户,应当接受并配合保密工作部门实施的保密监督检查,协助保密工作部门查处利用国际联网泄露国家秘密的违法行为,并根据保密工作部门的要求,删除网上涉及国家秘密的信息。4 互联单位、接入单位和用户,发现国家秘密泄露或可能泄露情况时,应当立即向保密工作部门或机构报告。 5 各级保密工作部门和机构接到举报或检查发现网上有泄密情况时,应当立即组织
6、查处,并督促有关部门及时采取补救措施,监督有关单位限期删除网上涉及国家秘密的信息。(三)人事管理1 人员审查:根据接触计算机系统的密级确定审查标准。如:处理机要信息的系统,接触系统的所有工作人员必须按机要人员的标准进行审查。2 关键岗位的人选。如:系统分析员,不仅要有严格的政审,还要考虑其现实表现、工作态度、道德修养和业务能力等方面。尽可能保证这部分人员安全可靠。3 所有工作人员除进行业务培训外,还必须进行相应的计算机安全课程培训,才能进入系统工作。 4 人事部门应定期对系统所有工作人员从政治思想、业务水平、工作表现等方面进行考核,对不适于接触信息系统的人员要适时调离。5 对调离人员,特别是在
7、不情愿的情况下被调走的人员,必须认真办理手续。除人事手续外,必须进行调离谈话,申明其调离后的保密义务,收回所有钥匙及证件,退还全部技术手册及有关材料。系统必须更换口令和机要锁。在调离决定通知本人的同时,必须立即进行上述工作,不得拖延。(四)安全管理1 根据系统所处理数据的秘密性和重要性确定安全等级,井据此采用有关规范和制定相应管理制度。2 安全等级分为保密等级和可靠性等级两种,系统的保密等级与可靠性等级可以不同。21 保密等级按有关规定划为绝密、机密、秘密。22 可靠性等级可分为三级。对可靠性要求最高的为 A 级,系统运行所要求的最低限度可靠性为 C 级,介于中间的为 B 级。3 用于重要部门
8、的计算机系统投入运行前,向公安机关的计算机监察部门进行安全检查。4 必须制定有关电源设备、空凋设备,防水防盗消防等防范设备的管理规章制度。确定专人负责设备维护和制度实施。5 根据系统的重要程度,设立监视系统,分别监视设备的运行情况或工作人员及用户的操作情况,或安装自动录象等记录装置。对这些设备必须制定管理制度,并确定负责人。6 制定严格的计算中心出入管理制度:1 计算机中心要实行分区控制,限制工作人员出入与己无关的区域。2 向所有工作人员,包括来自外单位的人员,发行带有照片的身份证件,并定期进行检查或更换。3 网络管理人员不能带其他无关人员到网络中心。4 短期工作人员或维修人员的证件,应注明有
9、效日期,届时收回。5 参观人员必须由主管部门办理参观手续,参观时必须有专人陪同。6 因系统维修或其它原因需外国籍人进入机房时,必须始终有人陪同。7 进出口的钥匙应保存在约定的场所,由专人管理,并明确其责任。记录最初人室者及最后离室者和钥匙交换时间。8 当发生网络中心钥匙丢失时,必须在 12 小时内向校园网络安全领导小组汇报,在 24 小时内更换门锁。9 在无警卫的场合,必须保证室内无人时,关锁所有出入口。10 禁止携带与上机工作无关的物品进入机房。11 对于带进和带出的物品,如有疑问,进行查验。 7 制定严格的技术文件管理制度。1 计算机系统的技术文件如说明书、手册等应妥善保存,要有严格的借阅
10、手续,不得损坏及丢失。2 必须备有关计算机系统操作手册规定的文件。3 常备计算机系统出现故障时的替代措施及恢复顺序所规定的文件。8 制定严格的操作规程:I 系统操作人员应为专职,操作时要有两名操作人员在场。 2 对系统开发人员和系统操作人员要进行职责分离。9 制定系统运行记录编写制度,系统运行记录包括系统名称、姓名、操作时间、处理业务名称、故障记录及处理情况等。10 制定完备的系统维护制度:1 对系统进行维护时,应采取数据保护措施。如:数据转贮、抹除、卸下磁盘磁带,维护时安全人员必须在场等。运程维护时,应事先通知。2 对系统进行预防维修或故障维修时,必须记录故障原因、维修对象、维修内容和维修前
11、后状况等。3 必须建立完整的维护记录档案。11 制定危险品管理制度。13 定期进行安全设备维护及使用训练,保证每个工作人员都能熟练地操作有关的安全设备。 三、安全技术措施(一) 实体安全1 设计或改建计算机机房时必须符合下列标准:11计算机场地技术要求(GB2887-87)。12计算站场地安全要求国家标准(待公布)。2 计算中心机房建筑和结构必须具备以下条件:21 机房为专用建筑。22 机房设置在电梯或楼梯不能直接进入的场所。23 机房与外部人员频繁出入的场所隔离。24 机房周围设有围墙或栅栏等防止非法进入的设施。25 建筑物周围有足够照度的照明设施,以防夜间非法侵入。 26 外部容易接近的窗
12、口采取防范措施。如钢化玻璃、嵌网玻璃及卷帘和铁窗。无人值守时应有自动报警设备。27 在合适的位置上开设应急出口,作为避险通道或应急搬运通道。28 机房内部设计庞便于出入控制和分区控制。3 重要部门的计算机中心外部不允许设置标明系统及有关设备所在位置的标志。4 安全设备除符合计算站场地安全要求标准外,还要具备以下条件:41 机房进出口设置应急电话。42 各房间设置报警喇叭。以免由于隔音及空调的原因而听不到告警通知。43 机房内用于动力、照明的供电线路与计算机系统的供电线路分开。44 机房内不同电压的供电系统安装互不兼容的插座。45 设置温、湿度自动记录仪及温、湿度报警设备。5 主机及外设的电磁干
13、扰辐射必须符合国家标准或军队标准的要求,外国产品则必须符合生产国的标准,如 FCC 或 VDE 等标准。6 机要信息处理系统中要考虑防止电磁波信息辐射被非法截收。61 采取区域控制的办法,即将可能截获辐射信息的区域控制起来,不许外部人员接近。62 采用机房屏蔽的方法,使得信息不能辐射出机房。63 采用低辐射设备。64 采取其它技术,使得难以从被截获的辐射信号中分析出有效信息。65 向公安部有关部门咨询关于屏蔽技术的具体要求和技术指标。7 磁媒休管理:71 磁盘、磁带必须按照系统管理员及制造厂确定的操作规程安装。72 传递过程的数据磁盘、磁带应装在金属盒中。73 磁带在使用前在机房经过二十四小时
14、温度适应。74 磁带、磁盘放在距钢筋房柱或类似结构物十厘米以上处,以防雷电经钢筋传播时产生的磁场损坏媒体上的信息。75 存有机要信息的磁带清除时必须进行消磁,不得只进行磁带初始化。 76 所有入库的盘带目录清单必须具有统一格式,如文件所有者、卷系列号、文件名及其描述、作业或项目编号、建立日期及保存期限。77 盘带出入库必须有核准手续并有完备记录。78 定期转贮长期保存的磁带。79 存有记录机要信息磁带的库房,必须符合相应密级的文件保存和管理条例的要求,不得与一般数据磁带混合存放。710 重要的数据文件必须多份拷贝异地存放。711 磁带库必须有专人负责管理。(二)软件安全1 系统软件必须具有以下
15、安全措施:11 操作系统要有较完善的存取控制功能,以防止用户越权存取信息。12 操作系统要有良好的存贮保护功能,以防止用户作业在指定范围以外的存贮区域进行读写。13 操作系统要有较完善的管理功能,以记录系统的运行情况,监测对数据文件的存取。14 维护人员进行维护时,能处于系统安全控制之下。15 操作系统发生故障时,不会暴露口令,授权表等重要信息。16 操作系统在作业正常或非正常结束以后,能清除分配给该作业的全部临时工作区域。17 系统能像保护信息的原件一样,精确地保护信息的拷贝。2 应用软件:21 应用程序必须考虑充分利用系统所提供的安全控制功能。22 应用程序在保证完成业务处理要求的同时,在
16、设计时增加必要的安全控制功能。23 程序员与操作员职责分离。24 安全人员应定期用存档的源程序与现行运行程序进行对照,以有效地防止对程序的非法修改。3 数据库:31 数据库必须有严格的存取控制措施,数据库管理员采取层次、分区、表格等各种授权方式,控制用户对数据库的存取权限。32 通过实体安全、备份和恢复等多种技术手段来保护数据库的完整性。 33 对输人数据进行逻辑检验,数据库更新时保证数据的准确性。 34 数据库管理员实时检查数据库的逻辑结构、数据元素的关联及数据内容。35 数据库管理系统应具有检查跟踪能力,可以记录数据库查询、密码利用率、终端动作、系统利用率、错误情况及重新启动和恢复等。36 库管理系统应能检测出涉及事务处理内容及处理格式方面的错误,并予以记录。37 必须有可靠的日志记录。对数据完整性要求较高的场合要建立双副本日志,分别存于磁盘和磁带上以保证意外时的数据恢复。 38 应建立定期转贮制度,并根据实际
