第一篇:银行网络系统安全管理规定
银行网络
系统安全管理规定
第一章 总则
第一条 为加强银行(以下简称我行)网络系统安全工作,保障我行网络系统可靠、稳定、连续、高效运行,特制定本规定。
第二条 本规定所指的网络系统,是指由计算机(包括相关和配套设备)为终端设备,利用计算机、通信、网络等技术进行信息采集、处理、存储和传输的设备、技术、管理的组合。
第三条 本规定适用于银行。
第二章
组织和职责
第四条 成立网络安全管理员岗位,由分管领导主抓,接受我行相关领导小组的领导,在我行科技部门的具体指导和组织下工作。网络安全管理员工作职责是:
(1)与上级信息系统安全主管部门建立相关工作关系;(2)组织制定和执行我行网络安全的规划、策略、标准、流程、应急计划、落实宣传教育与培训计划等;
(3)健全并监督执行网络安全规定,定期对所属网络进行安全检查和风险分析,提出相应的对策;
(4)实施我行网络安全系统的建设。
(5)负责网络审计系统的管理和维护,认真记录、检查和保管审计日志。
(6)定期进行总结,并向领导、主管部门汇报安全工作,提交年度报告;
(7)做好我行网络系统的安全运行、维护、管理等工作。(8)如发生网络系统的重大安全事故、事件,及时向主管领导报告。
第三章 管理原则
第五条 综合防范原则
以预防为主、综合治理、人员防范与技术防范相结合,逐级建立安全保护体系和责任制,加强制度建设,加强安全建设,全面加强管理,逐步实现信息系统安全管理工作的科学化、规范化。
第六条 动态管理原则
网络安全工作要按照系统工程的要求,注意各方面、各层次、各时期的相互协调、匹配和衔接,根据系统环境的变化以及对系统安全认识的深化,及时复查、修改、调整安全策略。
第七条 适度投资原则
网络安全管理需要在投资与效益之间加以权衡。安全工作既要充分有效,又要适度投资,力争取得综合最佳的安全效果。
第八条 以人为本原则
加强人员的信息安全教育、培训和管理,强化安全意识和法治观念,提升职业道德,掌握安全技术,做好网络安全管理工作。
第九条 最小特权原则
为网络资源规定明确的使用权限,对系统的所有人员,按其职责划定必要的最小的授权范围,明确安全责任,通过技术和行政管理措施有效地阻止越权使用行为。
第四章
过程和方法
第十条 安全管理过程主要包括安全风险分析与评估、安全策略制定、安全需求分析、安全措施实施与监理和生命周期管理等主要环节。
第十一条 风险分析与评估:网络安全管理员负责我行网络系统的风险分析与评估工作,并提交风险分析与评估报告。
第十二条 安全策略制定:网络安全管理员负责制定、完善网络安全策略,提出网络安全框架、管理方法,规定各部门要遵守的规范及责任,以调动、协调和组织各方面的资源共同保障网络系统的安全。
第十三条 安全需求分析:依据安全风险分析与评估报告以及安全策略,网络安全管理员进行系统的安全需求分析,保证网络安全服务和安全机制的有效性和针对性,形成安全需求分析报告。
第十四条 安全措施实施与监理:依据需求分析报告制定完备的实施方案,从实施的规范、流程、资金、进度等方面进行监督与检查,对实施过程进行严格控制。
第十五条 生命周期管理:在计划阶段,通过风险分析明确安全需求,确定安全目标,制定安全策略,拟定安全要求的性能指标;在实施阶段,依据安全要求选择相应的安全措施,采购或设计安全系统,根据工程要求实施和部署,并对安全措施进行验证与验收、认证与认可;在运行维护阶段,通过检查、检测、审计和对风险变更的监视和评估,保证运行安全;在生命周期结束阶段,对网络系统和设备进行安全处置。
第五章
设备安全管理
第十六条 为保证基于网络的业务系统可靠、稳定、连续、高效运行,场地和设施必须满足网络设备对环境的要求。
第十七条 对重要网络设备配备专用电源或电源保护设备,保证其正常运行。
第十八条 终端设备安全管理
(1)使用人员应爱护终端与之相关的网络连接设备(包括网卡、网线、集线器、调制解调器等),按规操作,不得对其实施人为损坏。
(2)终端使用人员不得擅自更改网络设置,杜绝一切影响网络
正常运行的行为发生。
(3)网络中的终端计算机在使用完毕后应及时关闭计算机和电源。
第十八条 科技部指定专人负责网络设施的安全工作,划分安全区域,进行分级管理,建立、健全网络设施运行监控、巡检等有关措施;对通信信道(X.25、DDN、帧中继、光纤、拨号线等)、通信引接设备(调制解调器、光端机等)进行监控、巡检。
第十九条 对业务系统使用的关键网络设备建立严格的登记制度,保证设备购置、安装、调试、维护、维修、报废等处置活动安全可控。
第六章
网络安全管理
第二十条 我行网络分为内联网、外联网和因特网。内部网由行内广域网、局域网组成,为我行内部办公与开展业务提供网络服务;外联网指与国家有关部门和其他单位连接的网络;因特网用于与国际互联网互联,实现对外业务信息服务和内外信息交换。
第二十一条 内联网系统与因特网系统必须物理隔离。第二十二条 对通过公共通信设施传输的重要业务信息实施加密,保证信息传输的安全;对外进行公共服务的信息系统,采取严格的安全措施,保证外部用户对特定服务的访问不危及内部信息系统的安全;对从内向外及从外到内的连接资源(如电话拨号、ISDN、ADSL
联网等)实施严格控制,建立健全管理制度,完善监控手段。
第二十三条 网络安全管理员应尽可能地改善网络系统的安全策略设置,尽量减少安全漏洞。关闭不使用的服务,对不同级别的网络用户设置相应的资源访问权限。
第二十四条 网络安全管理员参与网络系统设计,负责网络安全设备、网管系统的维护,网络安全日志的收集和分析,网络系统的安全检查,保证网络安全运行。
第二十五条 网络反病毒。病毒的危害性巨大,对系统和信息的破坏程度具有不可测性,计算机用户和系统管理员应针对具体情况采取预防病毒技术、检测病毒技术和杀毒技术。
第七章
运行安全管理
第二十六条 网络值班人员每日填写各类运行记录,定期检查系统日志文件,对系统安全进行及时维护,对存在的安全缺陷和漏洞及时控制和消除,对发生的安全事件,按照相应的处置规程和应急计划进行处理。
第二十七条 定期检查备份、备用资源的可用性,保证在系统崩溃等特殊情况下,可将系统恢复至原始状态或正常状态。
第二十八条 网络安全管理员应制定网络应急、灾难恢复计划及
相应的实施规程,并进行必要验证、演练。计划包括紧急措施、硬件、软件、人力等资源配备、恢复过程等。
第二十九条 网络安全检测。为使网络长期保持较高的安全水平,网络安全管理员应当用网络安全检测工具对网络系统进行安全性分析,及时发现并修正存在的安全漏洞。网络安全员在系统检测完成后,应编写检测报告,需详细记叙检测的对象、手段、结果、建议和实施的补救措施与安全策略。检测报告存入系统档案。
第八章 口令管理
第三十条 网络系统口令每十五天更换一次,口令要无规则,重要口令要多于八位。
第三十一条 厂方调试人员调试维护完成后一小时内,关闭或修改其所用帐号和密码。
第九章
人员管理
第三十条 根据最小特权原则,建立岗位责任制度和授权许可制度,明确有关人员安全职责和权限。
第三十一条 建立人员考核制度。定期从政治思想、业务水平、工作表现、安全意识、循章守纪等方面对有关人员进行考核。
第三十二条 对关键岗位的工作人员建立人员备用制度;关键岗位工作人员一旦辞职或调离,应及时更换网络管理系统口令,注销其所有账号,撤销其出入安全区域、接触关键网络设施的权限。
信息科技部
第二篇:医院网络系统安全保密管理规定专题
医院网络系统安全保密管理规定
1.0目的:
防止医院的保密信息外泻,保证网络系统安全。2.0适用范围:
适用于全院的电脑网络系统。3.0工作内容:
3.1不得擅自进入未经许可的计算机系统,篡改他人信息;不得在网络上散发恶意信息,冒用他人名义发出信息,侵犯他人隐私;不得制造、传播计算机病毒及从事其它侵犯网络和他人合法权益的活动。
3.2网络管理员、技术员和全院的计算机网络用户要加强保密意识,网络系统的相关密码不能随便泄露。如有技术人员调离本单位,应及时把其网络权限删除。
3.3系统管理员定期进行网络安全工作情况检查,对全体使用本系统的人员定期进行网络安全教育。
3.4系统管理员要严格控制各网络用户的权限,保护好网络系统的密码文件和用户资料。3.5对计算机系统,必须设定多级系统维护口令,信息中心主任指定专门系统维护员。一般维护口令设为三级:一级维护包括网络系统及后台数据库的维护;二级维护包括应用程序及应用程序的代码数据的维护;三级维护包括前台用户操作系统级硬件维护。
3.6系统管理员定期检查系统的运行情况,需对系统进行维护与改动时,必须采取数据保护措施,以确保各类业务数据的准确完好,重要数据要进行备份,以便在必要情况下进行数据恢复。
3.7重要的数据文件必须多份拷贝并异地分别存放。
3.8 涉外的设备维修或借调,必须按规定的处置流程,彻底地把相关设备的敏感数据、保密数据的进行安全备份以及防泄漏处理。3.9必须定期升级杀毒软件极其病毒代码。
3.9严禁擅自修改计算机固有的硬件信息以及软件系统的原有信息(如注册表信息、文件共享设置、IP地址等)。
3.10未经允许,严禁私自安装软件。3.11 院内工作站不得同时连接内外网络。
第三篇:网络与应用系统安全管理规定
**公司
网络与应用系统安全管理规定
第一章 总 则
第一条 为贯彻《中华人民共和国网络安全法》(以下简称《网络安全法》)最大限度地消除互联网应用风险和隐患,提高**公司网络和应用系统安全防护水平,保障网络和应用系统的安全和稳定运行,特结合**公司实际制定本规定。
第二条 把网络与应用系统安全纳入公司发展规划和预算管理。确立网络与应用系统安全在公司发展中的重要地位,将网络与应用系统安全预算资金集中投入,统一管理,专款专用。
第三条 加强网络与应用系统安全队伍建设,将人才培养与推进信息化安全结合起来,提高全员信息化应用安全水平。
第四条 制订公司全员信息化安全管理和应用培训计划,开展信息化安全应用相关培训,不断提高公司对网络和应用系统安全的认识和应用水平。
第五条 本规定基本内容包括:网络管理、设备管理、系统安全管理、机房管理、数据安全管理、信息安全管理、应急处理。
第二章 网络管理
第六条 建立网络管理台账,掌握本单位的网络结构及终端的接入情况,做到条理清楚、管理到位。
(一)所有网络设备(包括防火墙、路由器、交换机等)应归**部统一管理,其安装、维护等操作应由**部工作人员进行,其他任何人不得破坏或擅自进行维修和修改。同时,登录网络设备密码应遵循复杂性原则,且位数应不低于8位。
(二)建立租用链路管理台账,包含但不局限于以下内容:链路供应商、本端接口、对端、技术参数等日常维护信息。
(三)建立网络拓朴图,标注线路连接、设备功能、IP地址、子网掩码、出口网关等常用管理信息。
(四)局域网原则上应实行静态IP管理,IP地址由**部统一分配,并制定“IP地址分配表”,记录IP地址使用人、MAC地址、电脑操作系统等信息。
(五)IP地址为计算机网络的重要资源,公司员工应在**部的规划下使用这些资源,不应擅自更改。
(六)公司内计算机网络部分的扩展应经过**部批准,未经许可任何部门不应私自将交换机、集线器等网络设备接入网络。
(七)**部负责不定时查看网络运行情况,如网络出现异常时及时采取措施进行处理。
(八)公司网络安全应严格执行国家《网络安全法》,对在网络上(包括内网和外网)从事任何有悖网络安全法律法规的活动者,将视其情节轻重交有关部门或公安机关处理。
第三章 设备管理
第七条 做好日常维护和保养,掌握正确的操作使用方法和规程,减少设备的故障率,确保设备能够正常和可靠运行。
(一)建立设备管理台账,应包含以下内容:设备型号、序列号、设备配置、技术参数、运行时间、保修期限等日常维护信息;
(二)服务器电源应保证冗余电源,有条件的情况下采用双路电源接入。对于运行重要应用系统的服务器设备,还应配备不间断(UPS)电源,以避免非常规断电造成服务器设备的物理损坏。UPS负载必须保持在总负荷80%以下,并且定期对UPS设备进行检测,确保设备运行正常和有效;
(三)相关管理人员应定期对各设备进行巡检,查看设备运行日志,监测设备,并填写“巡检情况记录”;
(四)严禁撕毁、涂画或遮盖IT设备标签,或未经**部备案擅自调整部门内部计算机信息系统的配置;
(五)计算机终端用户因主观操作不当导致设备、设施损坏,应承担相应修复费用,不能修复的应按所损坏设备、设施的市场价值予以赔偿;蓄意破坏设备、设施的,除照价赔偿外,还应视情节严重给予行政处罚;
(六)终端设备,特别是笔记本电脑等移动设备应采用实名制,不得赠送、出借、出售给他人使用。
第四章 系统安全管理
第八条 系统安全管理应充分利用现有资源,完善相关的管理制度和流程,保证安全系统有效、稳定和可靠运行。
(一)设置防火墙安全策略时,应考虑隔离病毒传播、非授权访问的通道等方面的内容,而且策略应注明用途,避免冗余策略的产生;
(二)按照不同的访问权限,在核心交换机、路由器设置不同的访问控制策略;
(三)不定期开展对服务器进行安全扫描,针对发现的漏洞及时补漏加固。
(四)移动存储设备(优盘、移动硬盘等)必须进行病毒扫描确认无毒后,方能接入服务器;
(五)各应用系统管理员登录密码应遵循密码复杂度原则,且位数不应少于8位;
(七)定期查看各应用系统、终端操作系统相关安全公告,根据需要下载操作系统相关补丁安装包,进行测试后对服务器进行升级;
(八)禁止在机房服务器上安装与系统应用无关的软件,并且安装软件要确认安装包的安全性,安装和卸载软件应做好相应记录;
(九)公司员工应定期对所配备的计算机终端的操作系统、杀毒软件等进行升级和更新,并定期进行病毒查杀;
(十)公司员工应妥善保管根据职责权限所掌握的各类办公账号和密码,严禁随意向他人泄露和借用;
(十一)经远程通信传送的程序或数据,必须经过安全检测确认无病毒后方可安装和使用;
(十二)定期组织灾难恢复演习,提高相关管理人员的应急反应能力,确保恢复过程安全、迅速和有效;
(十三)重大节假日之前,相关人员应对网络、各应用系统进行巡检,确保节假日期间网络和各应用系统运行安全、稳定和有效。
第五章 机房管理
第九条 对机房进行科学、规范管理,确保计算机网络、各应用系统安全、高效和稳定运行。
(一)采取措施确保机房设备物理安全;
(二)机房温、湿度达到《电子计算机机房设计规范》国家标准(GB50174-93)要求;
(三)未经公司授权且机房管理人员在场监督,任何人不得自行配置、更换或挪用机房内的路由器、交换机和服务器以及其他通信设备等;
(四)严禁携带易燃易爆和强磁物品及其它与机房工作无关的物品进入机房;
(五)机房定期做好清洁除尘工作,未经机房管理人员同意严禁无关人员进入机房。
第六章 数据安全管理
第十条 高度重视各类数据备份的重要性,制定备份策略,并定期进行恢复检查,确保备份数据的安全和有效。
(一)服务器磁盘采用冗余磁盘阵列(RAID)容错方式,以避免磁盘因物理损坏而造成数据丢失;
(二)制定数据备份策略,对服务器操作系统、数据库、文件进行备份,根据数据重要性、更新频率要求设置备份频率;
(三)定期对备份数据进行还原测试,确保备份数据的安全性和有效性;
(四)计算机终端用户必须将重要数据存放在计算机硬盘中除系统盘分区(一般是 C盘)外的硬盘分区。计算机信息系统发生故障,应及时与**部联系并采取相应数据保护措施;
(五)计算机终端用户未做好备份前不能删除任何硬盘数据。对重要的数据必须准备双份,存放在不同的地点;对采用光盘等介质保存的数据,必须做好防火、防潮和防尘工作,并定期进行检查、复制,防止介质损坏,丢失数据。
第七章 信息安全管理
第十一条 加强涉密信息的安全管理工作,严格落实内、外网物理隔离,做到“涉密不上网,上网不涉密”。
(一)对涉密的设备运行和使用情况进行定期检查;
(二)涉密的电脑不得接入局域网,更不能直接接入互联网使用。涉密电脑因工作需要必须接入内网或者互联网时,原使用者应进行资料清理后再进行使用;
(三)涉密电脑密码不得向无关人员泄露,必须定期进行更换,原则上至少每半年更换一次,而且密码应具有一定复杂性;
(四)规范和细化存储介质的使用范围,如用于处理敏感信息的存储介质,不应处理和传输涉密信息,更不得在连接互联网的计算机上使用;
(五)员工具有信息保密的义务。任何人不应利用计算机网络泄漏公司机密、技术资料和其它保密资料;
(六)计算机终端用户计算机内的资料涉及公司机密的,须为计算机设定开机密码或将文件加密;凡涉及公司机密的数据或文件,非工作需要不得以任何形式转移,更不得透露给他人。离开原工作岗位的员工由所在部门负责人将其所有工作资料收回并保存;
(七)严禁外来人员对计算机数据和文件进行拷贝或抄写以免泄漏公司机密,对公司各应用系统登录账号不得相互知晓,每个人必须保证自己帐号的唯一登陆性,否则由此产生的数据安全问题由其本人负全部责任。
第八章 应急处理
第十二条 制定网络安全应急处理预案,明确责任,日常管理及日常处置的应急要求。当发生网络安全事件时,及时启动应急处理程序,调动有关资源作出响应,降低安全事件对网络运行的影响。
(一)当黑客攻击时的应急处理措施
1、当发现服务器内容被篡改,或通过防火墙发现有黑客正在进行攻击时,首先将被攻击的服务器等设备从网络中隔离出来,同时向网络安全与信息化领导小组汇报情况;
2、网络管理员负责被破坏系统的恢复与重建工作;
3、故障排除后,尽快恢复网络连接。
(二)病毒安全应急处理措施
1、当发现网络中有计算机感染病毒后,立即将该机从网络上隔离出来;
2、对设备的硬盘进行数据备份;
3、启用杀毒程序进行杀毒处理,同时进行全网查毒,对其他机器进行病毒扫描和清除工作;
4、如发现杀毒程序无法清除该病毒,应作好相关记录,同时立即向网络安全与信息化领导小组报告,并迅速联系有关产品供应商进行沟通、研究和解决。
(三)数据库系统应急处理措施
1、如发现是数据库故障导致应用系统不能运行,由应用系统相关部门应用管理员负责查找故障原因,并进行恢复;
2、如问题不能解决,应联系应用系统服务商进行技术支持或现场服务;
3、如服务商也无法解决故障,启用备份恢复系统,将数据库恢复至最近的备份时间点;
4、故障排除后,应恢复应用系统,并进行验证性测试。
(四)应用系统应急处理措施
1、如发现是应用系统软件故障导致应用系统不能运行,由相关部门应用系统管理员查找故障原因,并进行恢复;
2、如应用系统管理员不能解决故障,应立即联系应用系统开发商进行技术支持或进行现场服务;
3、如开发商也无法解决故障,启用备份恢复系统,将应用系统恢复至最近的备份时间点;
4、故障排除后,应恢复应用系统,并进行验证测试。
(五)互联网线路中断应急处理措施
1、网络管理员发现问题或接到报告后,应迅速判断故障节点,查明故障原因;
2、如属公司管辖范围,由网络管理员采取相应措施第一时间予以恢复。如遇无法恢复情况,应向有关设备厂商寻求支持;
3、如属网络链路运营商管辖范围,应立即与网络链路运营商相关人员联系,进行故障报修,寻求尽快修复,并对修复进展进行实时跟进;
4、故障排除后,应恢复网络连接,并进行测试,保证网络稳定、正常运行。
第九章 附则
第十三条 本规定由**公司**部制定并负责解释。
第十四条 本规定自发布之日起实施。
第四篇:系统安全管理规定
全国国土资源信息网络 系统安全管理规定(试行)
国土资源部信息中心
二〇〇二年
目录
第一章 第二章 第三章 第四章 第五章 第六章 第七章
总则……………………………………………………3 物理安全管理…………………………………………3 网络系统安全管理……………………………………5 信息安全管理…………………………………………7 口令管理………………………………………………9 人员组织管理………………………………10 附则…………………………………………12 1 全国国土资源信息网络系统
安全管理规定
本规定由国土资源部信息中心提出。本规定由国土资源部归口。
本规定起草单位:国土资源部信息中心。
本规定主要起草人:周俊杰、李晓波、刘志刚、叶兴茂、祝孔强、咸容禹
本规范于2002年3月1日首次发布。本规范由国土资源部信息中心负责解释。
第一章
总
则
第一条
为了保证全国国土资源信息网络系统的安全,根据中华人民共和国有关计算机、网络和信息安全的相关法律、法规和安全规定,结合全国国土资源信息网络系统建设的实际情况,特制定本规定。
第二条
各单位应据此制订具体的安全管理规定。
第三条
本规定所指的信息网络系统,是指由计算机(包括相关和配套设备)为终端设备,利用计算机、通信、网络等技术进行信息采集、处理、存储和传输的设备、技术、管理的组合。
第四条
本规定适用于国土资源部所属的网络系统、单机,以及下属单位通过其他方式接入到国土资源部网络系统的单机和局域网系统。
第五条
接入范围。可以接入国土资源信息网络系统的单位包括:国土资源部公务员办公系统、部所属在京直属单位、各省、自治区、直辖市、计划单列市的国土资源政府管理机构和国土资源部批准的其他单位。
第六条
信息网络系统安全的含义是通过各种计算机、网络、密码技术和信息安全技术,在实现网络系统安全的基础上,保护信息在传输、交换和存储过程中的机密性、完整性和真实性。
第二章
物理安全管理
第七条
物理安全是指保护计算机网络设施以及其他媒体免遭地震、水灾、火灾等环境事故与人为操作失误或错误,以及计算机犯罪行为而导致的破坏。
第八条
为了保障信息网络系统的物理安全,对系统所在环境的安全保护,应遵守国家标准GB50173-93《电子计算机机房设计规范》、国标GB2887-89《计算站场地技术条件》、GB9361-88《计算站场地安全要求》。
第九条
网络设备、设施应配备相应的安全保障措施,包括防盗、防毁、防电磁干扰等,并定期或不定期地进行检查。
第十条
对重要网络设备配备专用电源或电源保护设备,保证其正常运行。
第十一条
全国国土资源信息网络系统所使用的链路必须符合国家相关的技术标准和规定。
第十二条
链路安全包括链路本身的物理安全和链路上所传输的信息的安全。物理安全指链路的物理介质符合国家的技术标准,安装架设符合国家相关建设规范,具有稳定、安全、可靠的使用性。传输信息的安全是指传输不同密级信息的链路采用相应级别的密码技术和设备或其他技术措施,保障所传输信息具有可靠的反截获、反破译和反篡改能力。
第十三条
链路安全主要采取密码技术,用于传输涉及国家秘密的链路必须使用中办机要局认可的密码技术和设备。
第十四条
链路加密措施的申请遵照国家《涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法》执行。
第十五条
涉密系统单位须依据国家的有关规定和法律法规建立保密管理制度。
第十六条
客户机的物理安全管理
(一)客户机指所有连接到国土资源部信息网络系统的个人计算机、工作站、服务器、网络打印机及各种终端设备;
(二)使用人员应爱护客户机及与之相关的网络连接设备(包括网卡、网线、集线器、调制解调器等),按规操作,不得对其实施 4 人为损坏;
(三)客户机使用人员不得擅自更改网络设置,杜绝一切影响网络正常运行的行为发生;
(四)网络中的终端计算机在使用完毕后应及时关闭计算机和电源;
(五)客户机使用人员不得利用客户机进行违法活动。第十七条
紧急情况
(一)火灾发生。切断电源,迅速报警,根据火情,选择正确的灭火方式灭火;
(二)水灾发生。切断电源,迅速报告有关部门,尽可能地弄清水灾原因,采取关闭阀门、排水、堵漏、防洪等措施;
(三)地震发生。切断电源,避免引发短路和火灾;
(四)密码设备丢失。根据中办的有关规定处理。
第三章
网络系统安全管理
第十八条
网络系统安全的内涵包括五个方面: 机密性:确保信息不暴露给未授权的实体或进程;
完整性:未经授权的人不能修改数据,只有得到允许的人才能修改数据,并且能够分辨出被篡改的数据。
可用性:得到授权的实体在合法的范围内可以随时随地访问数据,网络的攻击者不能阻碍网络资源的合法使用。
可控性:可以控制授权范围内的信息流向和行为方式。可审查性:一旦出现安全问题,网络系统可以提供调查的依据和手段。
第十九条
涉及国家机密、部门敏感信息的局域网的安全标准不得低于中华人民共和国国家标准《计算机信息系统安全保护等级划分 5 准则》(GB 17859-1999)中规定的第二级-系统审计保护级。
第二十条
根据有关规定以及我国目前的安全技术水平,内部信息网络系统与外部公共信息网络系统必须物理隔离。
第二十一条
接入INTERNET公共信息网的重要信息网络系统须安装防火墙或其他安全设备。入网的安全设备必须具有国家保密局、公安部、中国国家信息安全测评认证中心的技术鉴定、销售许可和产品评测等资质,并符合国家的相关规定。
第二十二条
网络管理员应尽可能地改善网络系统的安全策略设置,尽量减少安全漏洞。关闭不使用的服务,对不同级别的网络用户设置相应的资源访问权限。重要网络系统的安全配置应达到中华人民共和国国家标准《计算机信息系统安全保护等级划分准则》(GB 17859-1999)中规定的第二级-系统审计保护级以上。
第二十三条
网络管理员应当做好系统记录,定期检查,发现问题,及时解决。
第二十四条
重要的信息网络系统自运行开始必须作好备份与恢复等应急措施,一旦系统出现问题能够及时恢复正常。网络管理员负责网络系统的备份与恢复的技术规划、实施和操作,并作好详细的记录。
第二十五条
管理员应对操作系统和数据库管理系统中进行系统运行记录(Log)和数据库运行记录(Data Base Log)的转储保存以备查。
第二十六条
重要大型数据库必须运行于专门的服务器或工作站上,并异地备份。
第二十七条
网络安全检测。为使网络长期保持较高的安全水平,网络管理员应当用网络安全检测工具对网络系统进行安全性分析,及时发现并修正存在的安全漏洞。网络管理员在系统检测完成后,应编写检测报告,需详细记叙检测的对象、手段、结果、建议和实施 6 的补救措施与安全策略。检测报告存入系统档案。
第二十八条
网络反病毒。病毒的危害性巨大,对系统和信息的破坏程度具有不可测性,计算机用户和系统管理员应针对具体情况采取预防病毒技术、检测病毒技术和杀毒技术。
第四章
信息安全管理
第二十九条
信息安全是指通过各种计算机、网络和密码技术,保护信息在传输、交换和存储过程中的机密性、完整性和真实性。具体包括以下几个方面。
(一)信息处理和传输系统的安全
系统管理员应对处理信息的系统进行详细的安全检查和定期维护,避免因为系统崩溃和损坏而对系统内存储、处理和传输的信息造成破坏和损失。
(二)信息内容的安全
侧重于保护信息的机密性、完整性和真实性。系统管理员应对所负责系统的安全性进行评测,采取技术措施对所发现的漏洞进行补救,防止窃取、冒充信息等。
(三)信息传播安全
要加强对信息的审查,防止和控制非法、有害的信息通过我部的信息网络系统传播,避免对国家利益、公共利益以及个人利益造成损害。
第三十条
国土资源部涉及国家秘密信息的安全工作实行首长负责制。国土资源部所属单位涉及国家秘密信息的安全工作实行单位一把手负责制。
第三十一条
信息的内部管理
(一)各单位在向部网络系统提交信息前要作好查毒、杀毒工 7 作,确保信息文件无毒上载;
(二)根据情况,采取网络病毒监测、查毒、杀毒等技术措施,提高网络的整体抗病毒能力;
(三)各应用单位对本单位所负责的信息必须作好备份;
(四)各单位应对本单位的信息进行审查,各网站和栏目信息的负责单位必须对所发布信息制定审查制度,对信息来源的合法性,发布范围,信息栏目维护的负责人等作出明确的规定。信息发布后还要随时检查信息的完整性、合法性;如发现被删改,应及时报告办公厅和信息中心;
(五)涉及国家秘密的信息的存储、传输等应指定专人负责,并严格按照国家有关保密的法律、法规执行;
(六)涉及国家秘密的土地、矿产资源、海洋、测绘等信息,未经所属单位安全主管负责人的批准不得在网络上发布和明码传输;
(七)个人计算机中的涉密文件不可设置为共享,个人电子邮件的收发要实行病毒查杀。
第三十二条
信息加密
(一)涉及国家秘密的信息,其电子文档资料须加密存储;
(二)涉及国家和部门利益的敏感信息的电子文档资料应当加密存储;
(三)涉及社会安定的敏感信息的电子文档资料应当加密存储;
(四)涉及国家秘密、国家与部门利益和社会安定的秘密信息和敏感信息在传输过程中视情况及国家的有关规定采用文件加密传输或链路传输加密。
第三十三条
任何单位和个人不得从事以下活动:
(一)利用信息网络系统制作、传播、复制有害信息;
(二)入侵他人计算机;
(三)未经允许使用他人在信息网络系统中未公开的信息;
(四)未经授权对信息网络系统中存储、处理或传输的信息(包括系统文件和应用程序)进行增加、修改、复制和删除等;
(五)未经授权查阅他人邮件;
(六)盗用他人名义发送电子邮件;
(七)故意干扰网络的畅通运行;
(八)从事其他危害信息网络系统安全的活动。
第五章
口令管理
第三十四条
具有口令功能的计算机、网络设备等系统处理国家秘密信息,必须使用口令对用户的身份进行验证和确认。对于重要网络系统,使用单位要有专职或兼职系统保密员,负责日常的口令管理工作。
第三十五条
系统保密员负责给新增加的用户分配初始口令;指导用户正确使用口令;检查用户使用口令情况;帮助用户开启被锁定的口令,对非法操作及时查明原因;解决口令使用过程中出现的问题;协助用户保护国家秘密不受侵害;定期向主管领导和单位保密机构汇报口令使用情况和需要解决的问题。
第三十六条
定期更换口令。口令的最长使用时间不能超过半年,在涉密较多、人员复杂、保密条件较差的地方应尽可能缩短口令的使用时间。当口令使用期满时,应更换新的口令。
第三十七条
系统保密员必须有能力更改口令。当口令使用期满、被其他人知悉或认为口令不保密时,系统保密员可按照口令更改程序变换口令。口令更换操作应在保密条件下进行。
第三十八条
对口令数据库的访问和存取必须加以控制,以防止口令被非法修改或泄露。
当系统提供的访问和存取控制机制不够完善时或机制虽然完善,9 但可能出现系统转储等情况时,应对存储的口令加密。
第三十九条
口令的密级与系统处理国家秘密信息的密级相同。根据《涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法》第十七条的规定,涉密系统的身份认证应当符合以下要求:
(一)口令应当由系统安全保密管理人员集中产生供用户选用,并有口令更换记录,不得由用户产生;
(二)处理秘密级信息的系统口令长度不得少于六个字符,口令更换周期不得长于一个月;处理机密级信息的系统,口令长度不得少于八个字符,口令更换周期不得长于一周;处理绝密级信息的系统,应当采用一次性口令或生理特征等强认证措施;
(三)口令必须加密存储,并且保证口令存放载体的物理安全;
(四)口令在网络中必须加密传输。
第四十条
用户应记住自己的口令,不应把它记载在不保密的媒介物上,严禁将口令贴在终端上。输入的口令不应显示在显示终端上。
第六章
人员组织管理
第四十一条
安全的人员组织管理原则
网络信息系统的安全管理的最根本核心是人员管理,提高安全意识,行于具体的安全技术工作中。为此,安全的人事组织管理主要基于以下三个原则。
(一)多人负责
每一项与安全有关的活动,都必须有两人或多人在场。这些人应是系统主管领导指派的,工作认真可靠,能胜任此项工作;他们应该签署工作情况记录以证明安全工作已得到保障。
负责的安全活动范围包括:
1.访问控制使用证件的发放与回收;
2.信息处理系统使用的媒介发放与回收; 3.处理保密信息; 4.硬件和软件的维护;
5.系统软件的设计、实现和修改; 6.重要程序和数据的删除和销毁等。
(二)任期有限
任何人最好不要长期担任与安全有关的职务,遵循任期有限原则,工作人员应不定期地循环任职,并规定对工作人员进行轮流培训,以使任期有限制度切实可行。
(三)职责明确
在信息处理系统工作的人员不要打听、了解或参与职责以外的任何与安全有关的事情,除非系统主管领导批准。
出于对安全的考虑,下面每组内的两项信息处理工作应当尽可能分开。
1.系统管理与计算机编程; 2.机密资料的接收和传送; 3.安全管理和系统管理; 4.访问证件的管理与其它工作;
5.计算机操作与信息处理系统使用媒介的保管等。第四十二条 安全的人事组织管理的实现
信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性,制订相应的管理制度或采用相应的规范。具体工作是:
(一)根据工作的重要程度,确定该系统的安全等级 ;
(二)根据确定的安全等级,确定安全管理的范围;
(三)制订相应的机房出入管理制度;
对于安全等级要求较高的系统,要实行分区控制,限制工作人员出入与己无关的区域。出入管理可采用证件识别或安装自动识别登记 11 系统,采用磁卡、身份卡等手段,对人员进行识别、登记和管理。
(四)制订严格的操作规程;
操作规程要根据职责明确和多人负责的原则,各负其责,不能超越自己的管辖范围;对工作调动和离职人员要及时调整相应的授权。
(五)制订完备的系统维护制度;
对系统进行维护时,应采取数据保护措施,如数据备份等。维护时要首先经主管部门批准,并有安全管理人员在场,故障的原因、维护内容和维护前后的情况要详细记录。
(六)制订应急措施。
要制订系统在紧急情况下,如何尽快恢复的应急措施,使损失减至最小。
第七章
附
则
第四十三条
本规定自正式颁布之日起实施。第四十四条
本规定由国土资源部信息中心负责解释。第四十五条
本规定与国家有关法律、法规不一致的以国家法律、法规为准。
第五篇:计算机信息系统安全管理规定
信息安全管理制度
一、安全管理人员岗位工作职责
1、组织工作人员认真学习《计算机信息网络国际互联网安全保护管理办法》,提高工作人员的维护信息安全的警惕性和自觉性。
2、负责对信息系统用户进行安全教育和培训,使用户自觉遵守和维护《计算机信息网络国际互联网安全保护管理办法》,使他们具备基本的网络安全知识。
3、加强对信息发布的审核管理工作,杜绝违犯《计算机信息网络国际互联网安全保护管理办法》的内容出现。
4、一旦发现从事各种危害计算机信息网络安全的活动的行为做好记录并立即向当地公安处网络监察科报告。
5、接受并配合公安机关的安全监督、检查和指导,如实向公安机关提供有关安全保护的信息、资料及数据文件,协助公安机关查处通过国际联网的计算机信息网络的违法犯罪行为。
二、病毒以及系统漏洞检测制度:
1、工作计算机中一律要求安装杀毒软件,计算机病毒库要求定期升级。
2、任何个人或团体未经同意,不得在工作计算机上安装和工作无关的软件,不得制造传播病毒。
3、各种操作系统要打上最新系统补丁,杜绝各种系统漏洞带来的安全隐患。
4、严禁任何非法对网络进行端口扫描的行为。
5、发现不能处理的病毒要报告本部门安全员。
三、密码管理制度:
1、工作计算机一律要按要求设置密码,不得采用缺省方式。
2、密码设置要有字母和数字,位数不得少于六位,不能随意用明纸记载放置公开处,口令应定期修改。
3、重要密码在可以的情况下,要在部门主管领导处备份。
4、密码权限要根据实际情况授予,操作员不能拥有系统维护人员的权限,对于有特殊要求的系统,要实行特殊制度。
5、计算机操作人员,任何非系统管理员严禁使用、猜测各类管理员口令,不能利用工作之便,把获取的特权密码泄露给其他人,或未经计算机管理人员授权,使用特权用户对计算机或网络进行操作。
6、发现密码丢失,要通报相关部门,同时尽快修改密码,一旦发现密码已经被改,要采取措施找回密码,必要时更换系统设备,同时根据具体情况通知保卫、公安部门。
四、信息发布审核、登记制度
1、网站工作人员必须认真执行信息发布审核管理工作,杜绝违犯《计算机信息网络国际联网安全保护管理办法》的情形出现。
2、对在本网站发布信息的信源单位提供的信息进行程序限定,限制带有某些不良词汇的信息发布。
3、对在本网站发布信息的信源单位提供的信息进行认真人工检查,不得有危害国家安全、泄露国家秘密,侵犯国家的、社会的、集体的利益和公民的合法权益的内容出现。
4、对委托发布信息的单位和个人进行登记并存档。
五、信息监视、保存、清除和备份制度
1、本制度适用于所有本网站发布信息及网站用户发布信息。
2、对本网站自身发布的信息,必须认真检查,杜绝不良内容出现。
3、对网站引用的他人信息,必须注明来源。
4、若发现本网有不良有害信息,应主动举报。
5、对网站用户发布信息,必须首先经过程序核查,对其发布内容进行检查、过滤、限制。
六、安全教育和培训制度
1、应定期开办信息系统安全培训班,组织工作人员学习信息安全法律、法规,提高工作人员的信息安全水平。
2、应对信息系统用户进行安全教育和培训,使用户自觉遵守和维护《计算机信息网络国际互联网安全保护管理办法》,使他们具备基本的信息安全知识,强化信息安全意识。增强守法观念。
3、定期召开信息安全会议,通报信息安全状况,解决信息安全问题。
4、应积极配合当地公安局及其他上级管理中心的工作,自觉参加各种培训活动。
点击咨询 