信息安全管理制度

信息安全管理制度計算機機房安全管理制度為了進(jìn)一步加強計算機信息網(wǎng)絡(luò)的安全管理，凈化我院院文化環(huán)境秩序，規(guī)范我院計算機機房管理，根據(jù)公安廳和教育廳《關(guān)于加強學(xué)校計算機信息網(wǎng)絡(luò)安全管理的通知》的有關(guān)精神，現(xiàn)對我院計算機機房的管理作出如下規(guī)定:1、重視安全工作的思想教育，防患于未然。2、遵守“教學(xué)儀器設(shè)備和實驗室管理辦法”，做好安全保衛(wèi)工作。3、凡進(jìn)入機房的人員除須遵守院規(guī)院紀(jì)外，還必須遵守機房的各項管理規(guī)定，愛護(hù)機房內(nèi)的所有財產(chǎn)，愛護(hù)儀器設(shè)備，未經(jīng)管理人員許可不得隨意使用，更不得損壞，如發(fā)現(xiàn)人為損壞將視情節(jié)按有關(guān)規(guī)定嚴(yán)肅處理。4、機房內(nèi)禁止吸煙，嚴(yán)禁明火。5、工作人員必須熟悉計算機機房用電線路、性能及安全工作的有關(guān)規(guī)定。6、機房使用的用電線路必須符合安全要求，定期檢查、檢修。7、杜絕黃色、迷信、反動軟件，嚴(yán)禁登錄黃色、迷信、反動網(wǎng)站，做好計算機病毒的防范工作。8、工作人員須隨時監(jiān)測機器和網(wǎng)絡(luò)狀況，確保計算機和網(wǎng)絡(luò)安全運轉(zhuǎn)。9、機房開放結(jié)束時，工作人員必須要關(guān)妥門窗，認(rèn)真檢查并切斷每一臺微機的電源和所有電器的電源，然后切斷電源總開關(guān)。操作人員權(quán)限等級分配制度第一、網(wǎng)站用戶分管理員與普通用戶兩種，普通用戶只能瀏覽信息。第二、管理員采用審核制度，未經(jīng)注冊審核，不能成為注冊管理用戶。第三、管理員分為系統(tǒng)管理員、欄目管理員、通訊管理員等級別，不同級別的用戶擁有不同的權(quán)限，其中，系統(tǒng)管理員擁有最高權(quán)限。第四、各用戶賬號實行密碼管理第五、樹立安全意識，強化保密觀念，加強對本網(wǎng)站計算機用戶安全、保密意識的教育和培訓(xùn)。賬號安全保密制度1、提高安全認(rèn)識，禁止非工作人員操縱系統(tǒng)主機，不使用系統(tǒng)主機時，應(yīng)注意鎖屏。2、每周檢查主機登錄日志，及時發(fā)現(xiàn)不合法的登錄情況。3、對網(wǎng)絡(luò)管理員、系統(tǒng)管理員和系統(tǒng)操作員所用口令每十五天更換一次，口令要無規(guī)則，重要口令要多于八位。4、加強口令管理，對PASSWORD文件用隱性密碼方式保存;每半月檢查本地的PASSWORD文件，確認(rèn)所有帳號都有口令；當(dāng)系統(tǒng)中的帳號不再被使用時，應(yīng)立即從相應(yīng)PASSWORD數(shù)據(jù)庫中清除。5、ROOT口令只被系統(tǒng)管理員掌握，盡量不直接使用ROOT口令登錄系統(tǒng)主機。6、系統(tǒng)目錄應(yīng)屬ROOT所有，應(yīng)完全禁止其他用戶有寫權(quán)限。7、對TELNET、FTP到主機的用戶進(jìn)行權(quán)限限制，或完全禁止。8、網(wǎng)絡(luò)管理員、系統(tǒng)管理員、操作員調(diào)離崗位后一小時內(nèi)由接任人員監(jiān)督檢查更換新的密碼;廠方設(shè)備調(diào)試人員調(diào)試維護(hù)完成后一小時內(nèi)，由系統(tǒng)管理員關(guān)閉或修改其所用帳號和密碼。設(shè)備維護(hù)保養(yǎng)日志記載制度1、設(shè)備維護(hù)保養(yǎng)實行專人負(fù)責(zé)制，定期認(rèn)真組織檢查，保證設(shè)備外觀整潔、性能良好。2、設(shè)備維護(hù)保養(yǎng)分為日維護(hù)、月維護(hù)和半年（換季）維護(hù)。日維護(hù):對設(shè)備進(jìn)行檢查、擦拭、調(diào)整，并保持環(huán)境清潔。月維護(hù):每月安排半天時間對設(shè)備進(jìn)行加電、測試和性能檢查。半年（換季）維護(hù):主要工作包括檢測設(shè)備技術(shù)指標(biāo)，調(diào)整參數(shù)，消除隱患。3、機電設(shè)備的定期保養(yǎng)按各設(shè)備保養(yǎng)維護(hù)規(guī)程進(jìn)行。4、登記統(tǒng)計是設(shè)備管理的一項基礎(chǔ)工作，必須及時、準(zhǔn)確，須用鋼筆或圓珠筆認(rèn)真填寫，字跡工整清晰，不得隨意涂改。5、故障登記:由故障排除人員填寫并簽名。主要記載設(shè)備故障時間，故障現(xiàn)象、分析、排除過程，結(jié)論及排除時間。信息發(fā)布制度發(fā)布申請人員應(yīng)當(dāng)確保發(fā)布信息準(zhǔn)確、真實，符合國家有關(guān)的各項法律、法規(guī)制度;信息發(fā)布人員應(yīng)當(dāng)對所發(fā)布的信息備案記錄，以加強管理;信息審核領(lǐng)導(dǎo)應(yīng)在充分理解國家有關(guān)的各項法律、法規(guī)制度的基礎(chǔ)上及時處理申請人員的請求，并將審核意見及時反饋給申請人員;在審核人員同意的基礎(chǔ)上應(yīng)將信息及時轉(zhuǎn)發(fā)給信息中心;信息審核領(lǐng)導(dǎo)應(yīng)當(dāng)做好信息請求、處理、轉(zhuǎn)發(fā)的備案工作;信息中心對所收到的經(jīng)過審核后的信息在確認(rèn)審核意見后，應(yīng)及時在網(wǎng)上發(fā)布，并確保發(fā)布信息的準(zhǔn)確性;七（信息中心對所發(fā)布的信息應(yīng)當(dāng)做好備案工作。計算機病毒防治管理制度第一條為加強計算機的安全監(jiān)察工作，預(yù)防和控制計算機病毒，保障計算機系統(tǒng)的正常運行，根據(jù)國家有關(guān)規(guī)定，結(jié)合實際情況，制定本制度。第二條凡在本網(wǎng)站所轄計算機進(jìn)行操作、運行、管理、維護(hù)、使用計算機系統(tǒng)以及購置、維修計算機及其軟件的部門，必須遵守本辦法。第三條本辦法所稱計算機病毒，是指編制或者在計算機程序中插入的破壞計算機系統(tǒng)功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復(fù)制的一組計算機指令或者程序代碼。第四條任何工作人員不得制作和傳播計算機病毒。第五條任何工作人員不得有下列傳播計算機病毒的行為:一、故意輸入計算機病毒，危害計算機信息系統(tǒng)安全。二、向計算機應(yīng)用部門提供含有計算機病毒的文件、軟件、媒體。三、購置和使用含有計算機病毒的媒體。第六條預(yù)防和控制計算機病毒的安全管理工作，由計算機信息安全管理小組統(tǒng)一領(lǐng)導(dǎo)，信息中心負(fù)責(zé)實施。其主要職責(zé)是:一、制定計算機病毒防治管理制度和技術(shù)規(guī)程，并檢查執(zhí)行情況;二、培訓(xùn)計算機病毒防治管理人員;三、采取計算機病毒安全技術(shù)防治措施;四、對網(wǎng)站計算機信息系統(tǒng)應(yīng)用和使用人員進(jìn)行計算機病毒防治教育和培訓(xùn);五、及時檢測、清除計算機系統(tǒng)中的計算機病毒，并做好檢測、清除的記錄;六、購置和使用具有計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證的計算機病毒防治產(chǎn)品;七、向公安機關(guān)報告發(fā)現(xiàn)的計算機病毒，并協(xié)助公安機關(guān)追查計算機病毒的來源;八、對因計算機病毒引起的計算機信息系統(tǒng)癱瘓、程序和數(shù)據(jù)嚴(yán)重破壞等重大事故及時向公安機關(guān)報告，并保護(hù)現(xiàn)場。第七條計算機安全管理部門應(yīng)加強對計算機操作人員的審查，并定期進(jìn)行安全教育和培訓(xùn)。第八條計算機信息系統(tǒng)應(yīng)用部門應(yīng)建立計算機運行記錄制度，未經(jīng)審定的任何程序、指令或數(shù)據(jù)，不得輸入計算機系統(tǒng)運行。第九條計算機安全管理部門應(yīng)對引起的計算機及其軟件進(jìn)行計算機病毒檢測，發(fā)現(xiàn)染有計算機病毒的，應(yīng)采取措施加以消除，在未消除病毒之前不準(zhǔn)投入使用。第十條通過網(wǎng)絡(luò)進(jìn)行電子郵件或文件傳輸，應(yīng)及時對傳輸媒體進(jìn)行病毒檢測，接收到郵件時也要及時進(jìn)行病毒檢測，以防止計算機病毒的傳播。第十一條任何部門和個人不得從事下列活動:一、收集、研究有害數(shù)據(jù);二、出版、刊登、講解、出租有害數(shù)據(jù)原理、源程序的書籍、資料或文章;三、復(fù)制有害數(shù)據(jù)的檢測、清除工具。第十二條積極接受公安機關(guān)對計算機病毒防治管理工作的監(jiān)督、檢查和指導(dǎo)。安全教育培訓(xùn)制度一、定期組織管理員認(rèn)真學(xué)習(xí)《計算機信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)安全保護(hù)管理辦法》、《網(wǎng)絡(luò)安全管理制度》及《信息審核管理制度》，提高工作人員的維護(hù)網(wǎng)絡(luò)安全的警惕性和自覺性。二、負(fù)責(zé)對本網(wǎng)絡(luò)用戶進(jìn)行安全教育和培訓(xùn)，使用戶自覺遵守和維護(hù)《計算機信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)安全保護(hù)管理辦法》，使他們具備基本的網(wǎng)絡(luò)安全知識。三、對信息源接入單位進(jìn)行安全教育和培訓(xùn)，使他們自覺遵守和維護(hù)《計算機信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)安全保護(hù)管理辦法》，杜絕發(fā)布違犯《計算機信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)安全保護(hù)管理辦法》的信息內(nèi)容。四、不定期地邀請公安機關(guān)有關(guān)人員進(jìn)行信息安全方面的培訓(xùn)，加強對有害信息，特別是影射性有害信息的識別能力，提高防犯能力。五、遇到安全問題時，及時匯報上級領(lǐng)導(dǎo)，采取措施及時解決。事故和安全及時報告制度計算機信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)上充斥著大量的黑客、病毒、網(wǎng)絡(luò)陷阱、色情、非法言論等不安全因素和有害信息。為了加強對互聯(lián)網(wǎng)的安全保護(hù)，維護(hù)公共秩序和社會穩(wěn)定，有效地打擊利用互聯(lián)網(wǎng)進(jìn)行違法犯罪活動，從事互聯(lián)網(wǎng)業(yè)務(wù)的單位和個人應(yīng)當(dāng)接受公安機關(guān)的安全監(jiān)督、檢查和指導(dǎo)，如實向公安機關(guān)提供有關(guān)安全保護(hù)的信息、資料及數(shù)據(jù)文件，協(xié)助公安機關(guān)查處通過互聯(lián)網(wǎng)進(jìn)行的違法犯罪活動。如發(fā)現(xiàn)以下行為之一的，應(yīng)及時向公安機關(guān)計算機安全監(jiān)察機構(gòu)進(jìn)行報告。一、單位和個人利用國際聯(lián)網(wǎng)危害國家安全、泄露國家秘密，侵犯國家的、社會的、集體的利益和公民的合法權(quán)益，從事違法犯罪活動。二、單位和個人利用國際聯(lián)網(wǎng)制作、復(fù)制、查閱和傳播下列信息:1、煽動抗拒、破壞憲法和法律、行政法規(guī)實施的;2、煽動顛覆國家政權(quán)，推翻社會主義制度的;3、煽動分裂國家，破壞國家統(tǒng)一的;4、煽動民族仇恨、民族歧視，破壞民族團結(jié)的;5、捏造或者歪曲事實，散布謠言，擾亂社會秩序;6、宣揚封建迷信、淫穢、色情、賭博、暴力、兇殺、恐怖、教唆犯罪的;7、公然侮辱他人或者捏造事實誹謗他人的;8、損害國家機關(guān)信譽的;9、其他違反憲法和法律、行政法規(guī)的。三、單位和個人從事下列危害計算機信息網(wǎng)絡(luò)安全的活動:1、未經(jīng)允許，進(jìn)入計算機信息網(wǎng)絡(luò)或者使用計算機信息網(wǎng)絡(luò)資源的;2、未經(jīng)允許，對計算機信息網(wǎng)絡(luò)功能進(jìn)行刪除、修改或者增加的;3、未經(jīng)允許，對計算機信息網(wǎng)絡(luò)中存儲、處理或者傳輸?shù)臄?shù)據(jù)和應(yīng)用程序進(jìn)行刪除、修改或者增加的;4、故意制作、傳播計算機病毒等破壞性程序的;5、其他危害計算機信息網(wǎng)絡(luò)安全的。四、單位和個人違反法律規(guī)定，利用國際互聯(lián)網(wǎng)侵犯用戶的通信自由和通信秘密。應(yīng)急處理方案指導(dǎo)思想保障網(wǎng)絡(luò)暢通，使教育教學(xué)資源及時高效地發(fā)揮其作用，使計算機及網(wǎng)絡(luò)在遭受攻擊、癱瘓的情況下能迅速恢復(fù)數(shù)據(jù)，最大限度地減少損失。工作要求1(重要數(shù)據(jù)及時備份，注意兩份以上的備份，備份在不同的機器、介質(zhì)上。2、磁盤實現(xiàn)磁盤鏡像，減少硬盤文件出錯幾率。應(yīng)急措施1(保證學(xué)校內(nèi)部數(shù)據(jù)庫的數(shù)據(jù)不因各種可能的電腦故障而丟失，系統(tǒng)可長時間不停機，保證工作連續(xù)性。2、重要的數(shù)據(jù)自動/手動備份到另一臺網(wǎng)管計算機上。3、采用磁盤鏡像，使用同樣型號和容量的硬盤實現(xiàn)磁盤鏡像，減少硬盤文件出錯幾率。醫(yī)院信息安全管理制度一、計算機設(shè)備管理制度1.計算機的使用部門要保持清潔、安全、良好的計算機設(shè)備工作環(huán)境，禁止在計算機應(yīng)用環(huán)境中放置易燃、易爆、強腐蝕、強磁性等有害計算機設(shè)備安全的物品。2.非本單位技術(shù)人員對我單位的設(shè)備、系統(tǒng)等進(jìn)行維修、維護(hù)時，必須由本單位相關(guān)技術(shù)人員現(xiàn)場全程監(jiān)督。計算機設(shè)備送外維修，須經(jīng)有關(guān)部門負(fù)責(zé)人批準(zhǔn)。3.嚴(yán)格遵守計算機設(shè)備使用、開機、關(guān)機等安全操作規(guī)程和正確的使用方法。任何人不允許帶電插撥計算機外部設(shè)備接口，計算機出現(xiàn)故障時應(yīng)及時向電腦負(fù)責(zé)部門報告，不允許私自處理或找非本單位技術(shù)人員進(jìn)行維修及操作。二、操作員安全管理制度（一）.操作代碼是進(jìn)入各類應(yīng)用系統(tǒng)進(jìn)行業(yè)務(wù)操作、分級對數(shù)據(jù)存取進(jìn)行控制的代碼。操作代碼分為系統(tǒng)管理代碼和一般操作代碼。代碼的設(shè)置根據(jù)不同應(yīng)用系統(tǒng)的要求及崗位職責(zé)而設(shè)置;（二）.系統(tǒng)管理操作代碼的設(shè)置與管理1、系統(tǒng)管理操作代碼必須經(jīng)過經(jīng)營管理者授權(quán)取得;2、系統(tǒng)管理員負(fù)責(zé)各項應(yīng)用系統(tǒng)的環(huán)境生成、維護(hù)，負(fù)責(zé)一般操作代碼的生成和維護(hù)，負(fù)責(zé)故障恢復(fù)等管理及維護(hù);3、系統(tǒng)管理員對業(yè)務(wù)系統(tǒng)進(jìn)行數(shù)據(jù)整理、故障恢復(fù)等操作，必須有其上級授權(quán);4、系統(tǒng)管理員不得使用他人操作代碼進(jìn)行業(yè)務(wù)操作;5、系統(tǒng)管理員調(diào)離崗位，上級管理員（或相關(guān)負(fù)責(zé)人）應(yīng)及時注銷其代碼并生成新的系統(tǒng)管理員代碼;（三）.一般操作代碼的設(shè)置與管理1、一般操作碼由系統(tǒng)管理員根據(jù)各類應(yīng)用系統(tǒng)操作要求生成，應(yīng)按每操作用戶一碼設(shè)置。2、操作員不得使用他人代碼進(jìn)行業(yè)務(wù)操作。3、操作員調(diào)離崗位，系統(tǒng)管理員應(yīng)及時注銷其代碼并生成新的操作員代碼。三、密碼與權(quán)限管理制度1.密碼設(shè)置應(yīng)具有安全性、保密性，不能使用簡單的代碼和標(biāo)記。密碼是保護(hù)系統(tǒng)和數(shù)據(jù)安全的控制代碼，也是保護(hù)用戶自身權(quán)益的控制代碼。密碼分設(shè)為用戶密碼和操作密碼，用戶密碼是登陸系統(tǒng)時所設(shè)的密碼，操作密碼是進(jìn)入各應(yīng)用系統(tǒng)的操作員密碼。2.密碼應(yīng)定期修改，間隔時間不得超過一個月，如發(fā)現(xiàn)或懷疑密碼遺失或泄漏應(yīng)立即修改，并在相應(yīng)登記簿記錄用戶名、修改時間、修改人等內(nèi)容。3.服務(wù)器、路由器等重要設(shè)備的超級用戶密碼由運行機構(gòu)負(fù)責(zé)人指定專人（不參與系統(tǒng)開發(fā)和維護(hù)的人員）設(shè)置和管理。如遇特殊情況需要啟用封存的密碼，必須經(jīng)過相關(guān)部門負(fù)責(zé)人同意。4.系統(tǒng)維護(hù)用戶的密碼應(yīng)至少由兩人共同設(shè)置、保管和使用。5.有關(guān)密碼授權(quán)工作人員調(diào)離崗位，有關(guān)部門負(fù)責(zé)人須指定專人接替并對密碼立即修改或用戶刪除，同時在“密碼管理登記簿”中登記。四、數(shù)據(jù)安全管理制度存放備份數(shù)據(jù)的介質(zhì)必須具有明確的標(biāo)識。備份數(shù)據(jù)必須異地存放，并明確落實異地備份數(shù)據(jù)的管理職責(zé);注意計算機重要信息資料和數(shù)據(jù)存儲介質(zhì)的存放、運輸安全和保密管理，保證存儲介質(zhì)的物理安全。任何非應(yīng)用性業(yè)務(wù)數(shù)據(jù)的使用及存放數(shù)據(jù)的設(shè)備或介質(zhì)的調(diào)撥、轉(zhuǎn)讓、廢棄或銷毀必須嚴(yán)格按照程序進(jìn)行逐級審批，以保證備份數(shù)據(jù)安全完整。數(shù)據(jù)恢復(fù)前，必須對原環(huán)境的數(shù)據(jù)進(jìn)行備份，防止有用數(shù)據(jù)的丟失。數(shù)據(jù)恢復(fù)過程中要嚴(yán)格按照數(shù)據(jù)恢復(fù)手冊執(zhí)行，出現(xiàn)問題時由技術(shù)部門進(jìn)行現(xiàn)場技術(shù)支持。數(shù)據(jù)恢復(fù)后，必須進(jìn)行驗證、確認(rèn)，確保數(shù)據(jù)恢復(fù)的完整性和可用性。5.數(shù)據(jù)清理前必須對數(shù)據(jù)進(jìn)行備份，在確認(rèn)備份正確后方可進(jìn)行清理操作。歷次清理前的備份數(shù)據(jù)要根據(jù)備份策略進(jìn)行定期保存或永久保存，并確?？梢噪S時使用。數(shù)據(jù)清理的實施應(yīng)避開業(yè)務(wù)高峰期，避免對聯(lián)機業(yè)務(wù)運行造成影響。6.需要長期保存的數(shù)據(jù)，數(shù)據(jù)管理部門需與相關(guān)部門制定轉(zhuǎn)存方案，根據(jù)轉(zhuǎn)存方案和查詢使用方法要在介質(zhì)有效期內(nèi)進(jìn)行轉(zhuǎn)存，防止存儲介質(zhì)過期失效，通過有效的查詢、使用方法保證數(shù)據(jù)的完整性和可用性。轉(zhuǎn)存的數(shù)據(jù)必須有詳細(xì)的文檔記錄。7.非本單位技術(shù)人員對本公司的設(shè)備、系統(tǒng)等進(jìn)行維修、維護(hù)時，必須由本公司相關(guān)技術(shù)人員現(xiàn)場全程監(jiān)督。計算機設(shè)備送外維修，須經(jīng)設(shè)備管理機構(gòu)負(fù)責(zé)人批準(zhǔn)。送修前，需將設(shè)備存儲介質(zhì)內(nèi)應(yīng)用軟件和數(shù)據(jù)等涉經(jīng)營管理的信息備份后刪除，并進(jìn)行登記。對修復(fù)的設(shè)備，設(shè)備維修人員應(yīng)對設(shè)備進(jìn)行驗收、病毒檢測和登記。8.管理部門應(yīng)對報廢設(shè)備中存有的程序、數(shù)據(jù)資料進(jìn)行備份后清除，并妥善處理廢棄無用的資料和介質(zhì)，防止泄密。.運行維護(hù)部門需指定專人負(fù)責(zé)計算機病毒的防范工作，建立本單位的計算機病毒防治管理制度，經(jīng)常進(jìn)行計算機病毒檢查，發(fā)現(xiàn)病毒及時清除。.營業(yè)用計算機未經(jīng)有關(guān)部門允許不準(zhǔn)安裝其它軟件、不準(zhǔn)使用來歷不明的載體（包括軟盤、光盤、移動硬盤等）。五、機房管理制度1.進(jìn)入主機房至少應(yīng)當(dāng)有兩人在場，并登記“機房出入管理登記簿”，記錄出入機房時間、人員和操作內(nèi)容。2.IT部門人員進(jìn)入機房必須經(jīng)領(lǐng)導(dǎo)許可，其他人員進(jìn)入機房必須經(jīng)IT部門領(lǐng)導(dǎo)許可，并有有關(guān)人員陪同。值班人員必須如實記錄來訪人員名單、進(jìn)出機房時間、來訪內(nèi)容等。非IT部門工作人員原則上不得進(jìn)入中心對系統(tǒng)進(jìn)行操作。如遇特殊情況必須操作時，經(jīng)IT部門負(fù)責(zé)人批準(zhǔn)同意后有關(guān)人員監(jiān)督下進(jìn)行。對操作內(nèi)容進(jìn)行記錄，由操作人和監(jiān)督人簽字后備查。3.保持機房整齊清潔，各種機器設(shè)備按維護(hù)計劃定期進(jìn)行保養(yǎng)，保持清潔光亮。4.工作人員進(jìn)入機房必須更換干凈的工作服和拖鞋。5.機房內(nèi)嚴(yán)禁吸煙、吃東西、會客、聊天等。不得進(jìn)行與業(yè)務(wù)無關(guān)的活動。嚴(yán)禁攜帶液體和食品進(jìn)入機房，嚴(yán)禁攜帶與上機無關(guān)的物品，特別是易燃、易爆、有腐蝕等危險品進(jìn)入機房。6.機房工作人員嚴(yán)禁違章操作，嚴(yán)禁私自將外來軟件帶入機房使用。7.嚴(yán)禁在通電的情況下拆卸，移動計算機等設(shè)備和部件。8.定期檢查機房消防設(shè)備器材。9.機房內(nèi)不準(zhǔn)隨意丟棄儲蓄介質(zhì)和有關(guān)業(yè)務(wù)保密數(shù)據(jù)資料，對廢棄儲蓄介質(zhì)和業(yè)務(wù)保密資料要及時銷毀（碎紙），不得作為普通垃圾處理。嚴(yán)禁機房內(nèi)的設(shè)備、儲蓄介質(zhì)、資料、工具等私自出借或帶出。.主機設(shè)備主要包括:服務(wù)器和業(yè)務(wù)操作用PC機等。在計算機機房中要保持恒溫、恒濕、電壓穩(wěn)定，做好靜電防護(hù)和防塵等項工作，保證主機系統(tǒng)的平穩(wěn)運行。服務(wù)器等所在的主機要實行嚴(yán)格的門禁管理制度，及時發(fā)現(xiàn)和排除主機故障，根據(jù)業(yè)務(wù)應(yīng)用要求及運行操作規(guī)范，確保業(yè)務(wù)系統(tǒng)的正常工作。.定期對空調(diào)系統(tǒng)運行的各項性能指標(biāo)（如風(fēng)量、溫升、濕度、潔凈度、溫度上升率等）進(jìn)行測試，并做好記錄，通過實際測量各項參數(shù)發(fā)現(xiàn)問題及時解決，保證機房空調(diào)的正常運行。.計算機機房后備電源（UPS）除了電池自動檢測外，每年必須充放電一次到兩次。計算機信息網(wǎng)絡(luò)安全管理制度一、引言為了國家政治、經(jīng)濟和社會的穩(wěn)定，規(guī)范互聯(lián)網(wǎng)信息服務(wù)活動，促進(jìn)互聯(lián)網(wǎng)信息服務(wù)健康有序發(fā)展，使國際互聯(lián)網(wǎng)為我校的科研單位和黨政管理部門以及師生員工服務(wù)，在本校計算機網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組的指導(dǎo)下，制定本辦法。二、安全組織與管理(一)安全機構(gòu)1單位最高領(lǐng)導(dǎo)必須主管計算機安全工作。2建立安全組織:2(1安全組織由單位主要領(lǐng)導(dǎo)人領(lǐng)導(dǎo)，不能隸屬于計算機運行或應(yīng)用部門。2(2安全組織由管理、系統(tǒng)分析、軟件、硬件、保衛(wèi)、審計、人事、通信等有關(guān)方面人員組成。2(3安全負(fù)責(zé)人負(fù)責(zé)安全組織的具體工作。2(4安全組織的任務(wù)是根據(jù)本單位的實際情況定期做風(fēng)險分析，提出相應(yīng)的對策并監(jiān)督實施。3安全負(fù)責(zé)人制:3(1確定安全負(fù)責(zé)人對本單位的計算機安全負(fù)全部責(zé)任。3(2只有安全負(fù)責(zé)人或其指定的專人才有權(quán)存取和修改系統(tǒng)授權(quán)表及系統(tǒng)特權(quán)口令。3(3安全負(fù)責(zé)人要審閱每天的違章報告，控制臺操作記錄、系統(tǒng)日志、系統(tǒng)報警記錄、系統(tǒng)活動統(tǒng)計、警衛(wèi)報告、加班報表及其他與安全有關(guān)的材料。3(4安全負(fù)責(zé)人負(fù)責(zé)制定安全培訓(xùn)計劃。3(5在信義校區(qū)和甲山校區(qū)分設(shè)地區(qū)安全負(fù)責(zé)人，地區(qū)安全負(fù)責(zé)人接受中心安全負(fù)責(zé)人的領(lǐng)導(dǎo)。3(6各部門發(fā)現(xiàn)違章行為，應(yīng)向中心安全負(fù)責(zé)人報告，系統(tǒng)中發(fā)現(xiàn)違章行為要通知各地有關(guān)安全負(fù)責(zé)人。4計算機系統(tǒng)的建設(shè)應(yīng)與計算機安全工作同步進(jìn)行。（二）保密制度和保密監(jiān)督1保密制度1根據(jù)國家保密局發(fā)布的《計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》以及教育科研網(wǎng)CERNET《關(guān)于加強網(wǎng)絡(luò)安全管理的通知》精神，結(jié)合我校實際，特制定本保密制度。2未經(jīng)領(lǐng)導(dǎo)批準(zhǔn)，不允許利用計算機復(fù)制、存儲各類保密文件;經(jīng)批準(zhǔn)后存儲的保密文件、磁盤等視同機要文件保管。嚴(yán)禁利用計算機網(wǎng)絡(luò)傳遞保密文件。重要的程序和數(shù)據(jù)文件要有備份。具有保密性質(zhì)的磁盤要妥善保管，未經(jīng)批準(zhǔn)不得向他人提供查詢或拷貝。7未經(jīng)領(lǐng)導(dǎo)批準(zhǔn)，操作人員不得私自給任何外單位或私人復(fù)制、打印、拷貝帶秘級的文件或材料。計算機網(wǎng)絡(luò)入網(wǎng)人員應(yīng)遵守網(wǎng)絡(luò)中心規(guī)定，攜帶身份證、工作證（學(xué)生證）到網(wǎng)絡(luò)中心辦理用戶備案手續(xù)。計算機網(wǎng)絡(luò)帳戶不得轉(zhuǎn)借、轉(zhuǎn)讓使用。發(fā)現(xiàn)反動、黃色、散布謠言等不健康內(nèi)容的信息，須在24小時之內(nèi)上報校保衛(wèi)處和公安系統(tǒng)。故意瀏覽不健康的網(wǎng)站和內(nèi)容，一經(jīng)發(fā)現(xiàn)取消上網(wǎng)資格，并交有關(guān)部門處理。11需在網(wǎng)絡(luò)上發(fā)布信息的單位和個人，須由所在單位領(lǐng)導(dǎo)審核、簽字，報校長辦公室主任批準(zhǔn)后，由網(wǎng)絡(luò)中心負(fù)責(zé)上網(wǎng)。未經(jīng)批準(zhǔn)私自上網(wǎng)者，責(zé)任自負(fù)，所在單位領(lǐng)導(dǎo)負(fù)連帶責(zé)任。2保密監(jiān)督1各級保密工作部門應(yīng)當(dāng)有相應(yīng)機構(gòu)或人員負(fù)責(zé)計算機信息系統(tǒng)國際聯(lián)網(wǎng)的保密管理工作，應(yīng)當(dāng)督促互聯(lián)單位、接入單位及用戶建立健全信息保密管理制度，監(jiān)督、檢查國際聯(lián)網(wǎng)保密管理制度規(guī)定的執(zhí)行情況。對于沒有建立信息保密管理制度或責(zé)任不明、措施不力、管理混亂，存在明顯威脅國家秘密信息安全隱患的部門或單位，保密工作部門應(yīng)責(zé)令其進(jìn)行整改，整改后仍不符合保密要求的，應(yīng)當(dāng)督促其停止國際聯(lián)網(wǎng)。2各級保密工作部門，應(yīng)當(dāng)加強計算機信息系統(tǒng)國際聯(lián)網(wǎng)的保密檢查，依法查處各種泄密行為?；ヂ?lián)單位、接入單位和用戶，應(yīng)當(dāng)接受并配合保密工作部門實施的保密監(jiān)督檢查，協(xié)助保密工作部門查處利用國際聯(lián)網(wǎng)泄露國家秘密的違法行為，并根據(jù)保密工作部門的要求，刪除網(wǎng)上涉及國家秘密的信息?；ヂ?lián)單位、接入單位和用戶，發(fā)現(xiàn)國家秘密泄露或可能泄露情況時，應(yīng)當(dāng)立即向保密工作部門或機構(gòu)報告。5各級保密工作部門和機構(gòu)接到舉報或檢查發(fā)現(xiàn)網(wǎng)上有泄密情況時，應(yīng)當(dāng)立即組織查處，并督促有關(guān)部門及時采取補救措施，監(jiān)督有關(guān)單位限期刪除網(wǎng)上涉及國家秘密的信息。（三）人事管理1人員審查:根據(jù)接觸計算機系統(tǒng)的密級確定審查標(biāo)準(zhǔn)。如:處理機要信息的系統(tǒng)，接觸系統(tǒng)的所有工作人員必須按機要人員的標(biāo)準(zhǔn)進(jìn)行審查。2關(guān)鍵崗位的人選。如:系統(tǒng)分析員，不僅要有嚴(yán)格的政審，還要考慮其現(xiàn)實表現(xiàn)、工作態(tài)度、道德修養(yǎng)和業(yè)務(wù)能力等方面。盡可能保證這部分人員安全可靠。3所有工作人員除進(jìn)行業(yè)務(wù)培訓(xùn)外，還必須進(jìn)行相應(yīng)的計算機安全課程培訓(xùn)，才能進(jìn)入系統(tǒng)工作。4人事部門應(yīng)定期對系統(tǒng)所有工作人員從政治思想、業(yè)務(wù)水平、工作表現(xiàn)等方面進(jìn)行考核，對不適于接觸信息系統(tǒng)的人員要適時調(diào)離。5對調(diào)離人員，特別是在不情愿的情況下被調(diào)走的人員，必須認(rèn)真辦理手續(xù)。除人事手續(xù)外，必須進(jìn)行調(diào)離談話，申明其調(diào)離后的保密義務(wù)，收回所有鑰匙及證件，退還全部技術(shù)手冊及有關(guān)材料。系統(tǒng)必須更換口令和機要鎖。在調(diào)離決定通知本人的同時，必須立即進(jìn)行上述工作，不得拖延。(四)安全管理1根據(jù)系統(tǒng)所處理數(shù)據(jù)的秘密性和重要性確定安全等級，井據(jù)此采用有關(guān)規(guī)范和制定相應(yīng)管理制度。2安全等級分為保密等級和可靠性等級兩種，系統(tǒng)的保密等級與可靠性等級可以不同。2(1保密等級按有關(guān)規(guī)定劃為絕密、機密、秘密。2(2可靠性等級可分為三級。對可靠性要求最高的為A級，系統(tǒng)運行所要求的最低限度可靠性為C級，介于中間的為B級。3用于重要部門的計算機系統(tǒng)投入運行前，向公安機關(guān)的計算機監(jiān)察部門進(jìn)行安全檢查。4必須制定有關(guān)電源設(shè)備、空凋設(shè)備，防水防盜消防等防范設(shè)備的管理規(guī)章制度。確定專人負(fù)責(zé)設(shè)備維護(hù)和制度實施。5根據(jù)系統(tǒng)的重要程度，設(shè)立監(jiān)視系統(tǒng)，分別監(jiān)視設(shè)備的運行情況或工作人員及用戶的操作情況，或安裝自動錄象等記錄裝置。對這些設(shè)備必須制定管理制度，并確定負(fù)責(zé)人。6制定嚴(yán)格的計算中心出入管理制度:1計算機中心要實行分區(qū)控制，限制工作人員出入與己無關(guān)的區(qū)域。2向所有工作人員，包括來自外單位的人員，發(fā)行帶有照片的身份證件，并定期進(jìn)行檢查或更換。3網(wǎng)絡(luò)管理人員不能帶其他無關(guān)人員到網(wǎng)絡(luò)中心。4短期工作人員或維修人員的證件，應(yīng)注明有效日期，屆時收回。5參觀人員必須由主管部門辦理參觀手續(xù)，參觀時必須有專人陪同。6因系統(tǒng)維修或其它原因需外國籍人進(jìn)入機房時，必須始終有人陪同。7進(jìn)出口的鑰匙應(yīng)保存在約定的場所，由專人管理，并明確其責(zé)任。記錄最初人室者及最后離室者和鑰匙交換時間。8當(dāng)發(fā)生網(wǎng)絡(luò)中心鑰匙丟失時，必須在12小時內(nèi)向校園網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組匯報，在24小時內(nèi)更換門鎖。9在無警衛(wèi)的場合，必須保證室內(nèi)無人時，關(guān)鎖所有出入口。10禁止攜帶與上機工作無關(guān)的物品進(jìn)入機房。11對于帶進(jìn)和帶出的物品，如有疑問，進(jìn)行查驗。7制定嚴(yán)格的技術(shù)文件管理制度。1計算機系統(tǒng)的技術(shù)文件如說明書、手冊等應(yīng)妥善保存，要有嚴(yán)格的借閱手續(xù)，不得損壞及丟失。2必須備有關(guān)計算機系統(tǒng)操作手冊規(guī)定的文件。3常備計算機系統(tǒng)出現(xiàn)故障時的替代措施及恢復(fù)順序所規(guī)定的文件。8制定嚴(yán)格的操作規(guī)程:I系統(tǒng)操作人員應(yīng)為專職，操作時要有兩名操作人員在場。2對系統(tǒng)開發(fā)人員和系統(tǒng)操作人員要進(jìn)行職責(zé)分離。9制定系統(tǒng)運行記錄編寫制度，系統(tǒng)運行記錄包括系統(tǒng)名稱、姓名、操作時間、處理業(yè)務(wù)名稱、故障記錄及處理情況等。10制定完備的系統(tǒng)維護(hù)制度:1對系統(tǒng)進(jìn)行維護(hù)時，應(yīng)采取數(shù)據(jù)保護(hù)措施。如:數(shù)據(jù)轉(zhuǎn)貯、抹除、卸下磁盤磁帶，維護(hù)時安全人員必須在場等。運程維護(hù)時，應(yīng)事先通知。2對系統(tǒng)進(jìn)行預(yù)防維修或故障維修時，必須記錄故障原因、維修對象、維修內(nèi)容和維修前后狀況等。3必須建立完整的維護(hù)記錄檔案。11制定危險品管理制度。13定期進(jìn)行安全設(shè)備維護(hù)及使用訓(xùn)練，保證每個工作人員都能熟練地操作有關(guān)的安全設(shè)備。三、安全技術(shù)措施（一）實體安全1設(shè)計或改建計算機機房時必須符合下列標(biāo)準(zhǔn):1(1《計算機場地技術(shù)要求》(GB2887-87)。1(2《計算站場地安全要求》國家標(biāo)準(zhǔn)(待公布)。2計算中心機房建筑和結(jié)構(gòu)必須具備以下條件:2(1機房為專用建筑。2(2機房設(shè)置在電梯或樓梯不能直接進(jìn)入的場所。2(3機房與外部人員頻繁出入的場所隔離。2(4機房周圍設(shè)有圍墻或柵欄等防止非法進(jìn)入的設(shè)施。2(5建筑物周圍有足夠照度的照明設(shè)施，以防夜間非法侵入。2(6外部容易接近的窗口采取防范措施。如鋼化玻璃、嵌網(wǎng)玻璃及卷簾和鐵窗。無人值守時應(yīng)有自動報警設(shè)備。2(7在合適的位置上開設(shè)應(yīng)急出口，作為避險通道或應(yīng)急搬運通道。2(8機房內(nèi)部設(shè)計龐便于出入控制和分區(qū)控制。3重要部門的計算機中心外部不允許設(shè)置標(biāo)明系統(tǒng)及有關(guān)設(shè)備所在位置的標(biāo)志。4安全設(shè)備除符合《計算站場地安全要求》標(biāo)準(zhǔn)外，還要具備以下條件:4(1機房進(jìn)出口設(shè)置應(yīng)急電話。4(2各房間設(shè)置報警喇叭。以免由于隔音及空調(diào)的原因而聽不到告警通知。4(3機房內(nèi)用于動力、照明的供電線路與計算機系統(tǒng)的供電線路分開。4(4機房內(nèi)不同電壓的供電系統(tǒng)安裝互不兼容的插座。4(5設(shè)置溫、濕度自動記錄儀及溫、濕度報警設(shè)備。5主機及外設(shè)的電磁干擾輻射必須符合國家標(biāo)準(zhǔn)或軍隊標(biāo)準(zhǔn)的要求，外國產(chǎn)品則必須符合生產(chǎn)國的標(biāo)準(zhǔn)，如FCC或VDE等標(biāo)準(zhǔn)。6機要信息處理系統(tǒng)中要考慮防止電磁波信息輻射被非法截收。6(1采取區(qū)域控制的辦法，即將可能截獲輻射信息的區(qū)域控制起來，不許外部人員接近。6(2采用機房屏蔽的方法，使得信息不能輻射出機房。6(3采用低輻射設(shè)備。6(4采取其它技術(shù)，使得難以從被截獲的輻射信號中分析出有效信息。6(5向公安部有關(guān)部門咨詢關(guān)于屏蔽技術(shù)的具體要求和技術(shù)指標(biāo)。7磁媒休管理:7(1磁盤、磁帶必須按照系統(tǒng)管理員及制造廠確定的操作規(guī)程安裝。7(2傳遞過程的數(shù)據(jù)磁盤、磁帶應(yīng)裝在金屬盒中。7(3磁帶在使用前在機房經(jīng)過二十四小時溫度適應(yīng)。7(4磁帶、磁盤放在距鋼筋房柱或類似結(jié)構(gòu)物十厘米以上處，以防雷電經(jīng)鋼筋傳播時產(chǎn)生的磁場損壞媒體上的信息。7(5存有機要信息的磁帶清除時必須進(jìn)行消磁，不得只進(jìn)行磁帶初始化。7(6所有入庫的盤帶目錄清單必須具有統(tǒng)一格式，如文件所有者、卷系列號、文件名及其描述、作業(yè)或項目編號、建立日期及保存期限。7(7盤帶出入庫必須有核準(zhǔn)手續(xù)并有完備記錄。7(8定期轉(zhuǎn)貯長期保存的磁帶。7(9存有記錄機要信息磁帶的庫房，必須符合相應(yīng)密級的文件保存和管理條例的要求，不得與一般數(shù)據(jù)磁帶混合存放。7(10重要的數(shù)據(jù)文件必須多份拷貝異地存放。7(11磁帶庫必須有專人負(fù)責(zé)管理。(二)軟件安全1系統(tǒng)軟件必須具有以下安全措施:1(1操作系統(tǒng)要有較完善的存取控制功能，以防止用戶越權(quán)存取信息。1(2操作系統(tǒng)要有良好的存貯保護(hù)功能，以防止用戶作業(yè)在指定范圍以外的存貯區(qū)域進(jìn)行讀寫。1(3操作系統(tǒng)要有較完善的管理功能，以記錄系統(tǒng)的運行情況，監(jiān)測對數(shù)據(jù)文件的存取。1(4維護(hù)人員進(jìn)行維護(hù)時，能處于系統(tǒng)安全控制之下。1(5操作系統(tǒng)發(fā)生故障時，不會暴露口令，授權(quán)表等重要信息。1(6操作系統(tǒng)在作業(yè)正常或非正常結(jié)束以后，能清除分配給該作業(yè)的全部臨時工作區(qū)域。1(7系統(tǒng)能像保護(hù)信息的原件一樣，精確地保護(hù)信息的拷貝。2應(yīng)用軟件:2(1應(yīng)用程序必須考慮充分利用系統(tǒng)所提供的安全控制功能。2(2應(yīng)用程序在保證完成業(yè)務(wù)處理要求的同時，在設(shè)計時增加必要的安全控制功能。2(3程序員與操作員職責(zé)分離。2(4安全人員應(yīng)定期用存檔的源程序與現(xiàn)行運行程序進(jìn)行對照，以有效地防止對程序的非法修改。3數(shù)據(jù)庫:3(1數(shù)據(jù)庫必須有嚴(yán)格的存取控制措施，數(shù)據(jù)庫管理員采取層次、分區(qū)、表格等各種授權(quán)方式，控制用戶對數(shù)據(jù)庫的存取權(quán)限。3(2通過實體安全、備份和恢復(fù)等多種技術(shù)手段來保護(hù)數(shù)據(jù)庫的完整性。3(3對輸人數(shù)據(jù)進(jìn)行邏輯檢驗，數(shù)據(jù)庫更新時保證數(shù)據(jù)的準(zhǔn)確性。3(4數(shù)據(jù)庫管理員實時檢查數(shù)據(jù)庫的邏輯結(jié)構(gòu)、數(shù)據(jù)元素的關(guān)聯(lián)及數(shù)據(jù)內(nèi)容。3(5數(shù)據(jù)庫管理系統(tǒng)應(yīng)具有檢查跟蹤能力，可以記錄數(shù)據(jù)庫查詢、密碼利用率、終端動作、系統(tǒng)利用率、錯誤情況及重新啟動和恢復(fù)等。3(6庫管理系統(tǒng)應(yīng)能檢測出涉及事務(wù)處理內(nèi)容及處理格式方面的錯誤，并予以記錄。3(7必須有可靠的日志記錄。對數(shù)據(jù)完整性要求較高的場合要建立雙副本日志，分別存于磁盤和磁帶上以保證意外時的數(shù)據(jù)恢復(fù)。3(8應(yīng)建立定期轉(zhuǎn)貯制度，并根據(jù)實際情況決定轉(zhuǎn)貯頻度。3(9數(shù)據(jù)庫軟件應(yīng)具備從各種人為故障、軟件故障和硬件故障中進(jìn)行恢復(fù)的能力。3(10數(shù)據(jù)庫管理軟件應(yīng)能確定是否由于系統(tǒng)故障而引起了文件或數(shù)據(jù)的丟失。3(11重要的系統(tǒng)應(yīng)采取安全控制實時終端，專門處理各類報警信息。3(12對于從日志或?qū)崟r終端上查獲的全部非法操作都應(yīng)加以分析，找出原因及對策。4軟件開發(fā):4(1軟件開發(fā)過程應(yīng)按照下述標(biāo)準(zhǔn)的要求進(jìn)行:(l)《軟件工程術(shù)語》國家標(biāo)準(zhǔn)(待公布)。(2)《軟件開發(fā)中的產(chǎn)品文件編制指南》國家標(biāo)準(zhǔn)(待公布)。(3)《軟件需求說明規(guī)范》國家標(biāo)準(zhǔn)(待公布)。(4)《軟件開發(fā)規(guī)范》國家標(biāo)準(zhǔn)(待公布)。(5)《軟件測試規(guī)范》國家標(biāo)準(zhǔn)(待公布)。4(2產(chǎn)品鑒定驗收:(l)鑒定驗收是軟件產(chǎn)品化的關(guān)鍵環(huán)節(jié)，必須給予足夠的重視。提交鑒定的軟件產(chǎn)品，應(yīng)具有上述標(biāo)準(zhǔn)中列出的各種產(chǎn)品文件。(2)將鑒定會上提供的上述文件裝訂成冊，編好頁碼目錄，作為技術(shù)檔案，妥善保存。(3)未經(jīng)鑒定驗收的軟件，不得投入運行。(4)購買的軟件應(yīng)附有完整的技術(shù)文件。5軟件維護(hù)與管理:5(1較重要的軟件產(chǎn)品，其技術(shù)檔案應(yīng)復(fù)制副本，正本存檔，不準(zhǔn)外借。5(2軟件產(chǎn)品除建立檔案文件外，其源文件應(yīng)記在磁盤或磁帶上，并編寫詳細(xì)目錄，以便長期保存。5(3重要的軟件，均應(yīng)復(fù)制兩份，一份作為主拷貝存檔，一份作為備份。5(4對系統(tǒng)軟件的維護(hù)和二次開發(fā)要慎重，必須事先對系統(tǒng)有足夠的了解。5(5對軟件進(jìn)行維護(hù)和二次開發(fā)前，必須寫出書面申請報告，經(jīng)有關(guān)領(lǐng)導(dǎo)批準(zhǔn)，方可進(jìn)行。5(6在維護(hù)和二次開發(fā)中，必須有詳細(xì)的規(guī)范化的書面記載，主要記載修補部位，修改內(nèi)容，增加功能，修改人，修改日期等，以便查找或別人接替。5(7二次開發(fā)只能在系統(tǒng)軟件的副本上進(jìn)行。5(8對軟件的任何修改都必須有文字記載，并與修改前后的軟件副本一起并人軟件技術(shù)檔案，妥善保存。5(9對軟件的修改必須保證不降低系統(tǒng)的安全性。(三)輸入輸出控制。1明確系統(tǒng)各環(huán)節(jié)工作人員的責(zé)任:1(1系統(tǒng)各程序設(shè)計人員與操作人員必須分離。1(2重要事務(wù)處理項目，必須規(guī)定由合法文件的法定人提交。1(3修改文件必須規(guī)定批準(zhǔn)和執(zhí)行的手續(xù)。1(4工作期間至少應(yīng)有兩人在機房值班，以防止非法使用計算機。1(5保存控制臺打印記錄。2制定統(tǒng)一的數(shù)據(jù)格式并盡可能使用統(tǒng)一編碼。3操作控制:3(1對操作人員制定有關(guān)處理輸人數(shù)據(jù)的操作制度和規(guī)程。3(2必須建立一個整齊、清潔、安靜符合生理衛(wèi)生要求的操作環(huán)境，以減少操作失誤。3(3嚴(yán)格規(guī)定媒體管理制度，以防止媒體中數(shù)據(jù)的破壞和損失。如:磁帶在保管、傳遞及安裝時的要求，卡片、磁盤、膠片、紙帶的管理規(guī)程等。3(4向操作人員提供完整的操作指南，以便掌握有關(guān)作業(yè)安排，作業(yè)優(yōu)先級分配，建立和控制作業(yè)，規(guī)定場所安全措施和作業(yè)運行等的合理規(guī)程。3(5需要保存的數(shù)據(jù)文件必須有完備的記錄，存人符合要求的媒體庫中。3(6充分利用作業(yè)統(tǒng)計功能提供的信息，如:調(diào)查完成某個特定功能所需的時間，比較實際機器工作時間與預(yù)定時間的差異，判別實際的作業(yè)資源需求所預(yù)定需求的差異。3(7處理機要數(shù)據(jù)的終端室各終端，采用屏風(fēng)隔離，以防各用戶互看屏幕內(nèi)容。4數(shù)據(jù)在投入使用前，必須確保其準(zhǔn)確可靠，采用各種方法進(jìn)行檢驗。如:標(biāo)號檢查、順序檢查、極限校驗、運算驗證、記錄數(shù)核對等。5輸出控制:5(1數(shù)據(jù)處理部門的輸出控制應(yīng)有專人負(fù)責(zé)。5(2輸出文件必須有可讀的密級標(biāo)志，如:秘密、機密、絕密等宇樣或顏色標(biāo)志。5(3等級標(biāo)志必須與相應(yīng)文件在整個處理環(huán)節(jié)中同時生存。5(4輸出文件在發(fā)到用戶之前，應(yīng)由數(shù)據(jù)處理部門進(jìn)行審核。5(5輸出文件的發(fā)放應(yīng)有完備手續(xù)。6可以設(shè)置獨立于用戶和數(shù)據(jù)處理部門兩者的管理小組，以監(jiān)督和指導(dǎo)進(jìn)入或離開數(shù)據(jù)處理中心的數(shù)據(jù)。(四)聯(lián)機處理1聯(lián)機系統(tǒng)應(yīng)該確定系統(tǒng)安全管理員，對系統(tǒng)安全負(fù)責(zé)。2用戶識別:2(1必須充分利用系統(tǒng)提供的技術(shù)手段。如:用戶授權(quán)表，存取控制矩陣等。⑴由于計算機識別用戶的最常用的方法是口令，所以必須對口令的產(chǎn)生、登記、更換期限實行嚴(yán)格管理。(2)研究和采用多種口令密碼方式，如:單一密碼、可變或隨機密碼、函數(shù)型密碼等。(3)口令應(yīng)加密存貯。(4)系統(tǒng)能跟蹤各種非法請求并記錄某些文件的使用情況。(5)根據(jù)系統(tǒng)的位置，若錯誤的口令被連續(xù)地使用若干次后，系統(tǒng)應(yīng)采取相應(yīng)措施，如封鎖那個終端，記錄所用終端及用戶名，并立即報警。(6)教育用戶必須遵循口令的使用規(guī)則。3需要保護(hù)的數(shù)據(jù)和軟件必須加有標(biāo)志，在整個生存期，標(biāo)志應(yīng)和數(shù)據(jù)或軟件結(jié)合在一起，不能丟失。特別是在復(fù)制、轉(zhuǎn)移、輸出打印時，不能丟失。4計算機通信線路安全問題:4(I通信線路必須遠(yuǎn)離強電磁場輻射源，埋于地下或采用金屬套管。4(2定期測試信號強度，以確定是否有非法裝置接人線路。4(3定期檢查接線盒及其他易被人接近的線路部位。5加密:5(1傳輸需要保密的數(shù)據(jù)，應(yīng)該加密保護(hù)。5(2需長期保存的機要文件，應(yīng)加密后保存。5(3系統(tǒng)應(yīng)建立完善的密鑰產(chǎn)生、管理和分配系統(tǒng)。5(4所有數(shù)據(jù)應(yīng)由數(shù)據(jù)主管部門負(fù)責(zé)劃分密級，密級確定后交數(shù)據(jù)處理部門進(jìn)行分類處理。5(5根據(jù)數(shù)據(jù)的密級和保密時效的長短，選擇相應(yīng)強度的密碼算法，既不能強度太高，過多增加系統(tǒng)開銷，又不要強度太低，起不到保密效果。5(6不要擴大加密的范圍。對于可加密可不加密的數(shù)據(jù)，不要加密。5(7對于密鑰管理人員要盡可能地縮小范圍，并嚴(yán)格審查。5(8定期對工作人員進(jìn)行保密教育。6當(dāng)系統(tǒng)密級發(fā)生變化，特別是密級降低時，應(yīng)用疊寫的方法清除全部磁存貯器，用停電的方法清除非磁存貯器。7計算機系統(tǒng)必須有完整的日志記錄。7(1重要計算機日志記錄:⑴每次成功的使用:記錄節(jié)點名、用戶名、口令、終端名、上下機時間、操作的數(shù)據(jù)或程序名、操作的類型、修改前后的數(shù)據(jù)值。(2)用戶每次越權(quán)存取的嘗試:記錄節(jié)點名、用戶名、終端名、時間、欲越權(quán)存取的數(shù)據(jù)及操作類型、存取失敗的原因。(3)每次不成功的用戶身份:記錄節(jié)點名、用戶名、終端名、時間。7(2操作員對越權(quán)存取龐通過控制臺進(jìn)行干預(yù)。7(3打印出的日志應(yīng)完整而連續(xù)，不得拼接。7(4重要的日志應(yīng)由安全負(fù)責(zé)人簽名，規(guī)定保存期限。8對特定的終端設(shè)備，限定操作人員。特定終端設(shè)備指:可對重要數(shù)據(jù)進(jìn)行存取的、有控制臺功能的、系統(tǒng)管理員所用的終端等。限定操作人員的方法有:采用口令、識別碼等資格認(rèn)定或設(shè)置終端設(shè)備的鑰匙等。(五)網(wǎng)絡(luò)安全1網(wǎng)絡(luò)安全比單機系統(tǒng)或聯(lián)機系統(tǒng)更為重要。如果沒有必要的安全措施，網(wǎng)絡(luò)不能正式投入使用。2重要部門的計算機網(wǎng)絡(luò)應(yīng)設(shè)立全網(wǎng)管理中心，由專人實施對全網(wǎng)的統(tǒng)一管理、監(jiān)督與控制，不經(jīng)網(wǎng)絡(luò)主管領(lǐng)導(dǎo)同意，任何人不得變更網(wǎng)絡(luò)拓?fù)?、網(wǎng)絡(luò)配置及網(wǎng)絡(luò)參數(shù)。3從實際出發(fā)，分階段、分層次逐步完善網(wǎng)絡(luò)安全可。可以采用存貯加密、傳輸加密、存取控制、數(shù)字簽名及驗證等安全措施。四、安全監(jiān)督(一)應(yīng)急計劃與備份1系統(tǒng)安全人員必須詳細(xì)列出影響系統(tǒng)正常工作的各種可能出現(xiàn)的緊急情況。如火災(zāi)、水災(zāi)、意外停電、外部攻擊、誤操作等。2必須制定萬一發(fā)生意外時的應(yīng)急計劃。3應(yīng)急計劃必須確定所要采取的具體步驟、確定每個步驟的內(nèi)容。4與執(zhí)行應(yīng)急計劃有關(guān)人員的姓名、住址、電話號碼以及有關(guān)職能部門(如消防、公安等有關(guān)部門)的聯(lián)系方法應(yīng)放在明顯、易取的地方或貼在墻上。5應(yīng)付緊急情況的具體步驟也應(yīng)貼在墻上。如:如何使用備份設(shè)備、緊急情況下關(guān)機步驟等。6應(yīng)定期進(jìn)行應(yīng)急計劃實施演習(xí)，保證每個系統(tǒng)值班人員都能正確實施應(yīng)急計劃。7除了必須備份的基本數(shù)據(jù)文件。如:操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、應(yīng)用程序等以外，各單位必須根據(jù)自己的實際情況定出需備份的數(shù)據(jù)文件。8必須在機房附近存放一套備份文件的副本，以便緊急情況下能迅速取出。9重要的實時系統(tǒng)在建立時必須進(jìn)行備份。如:CPU備份，主機備份，系統(tǒng)備份等。9(1備份系統(tǒng)應(yīng)安裝在主機房有一定距離的備份機房。9(2備份機房應(yīng)具有與主機房相同的安全標(biāo)準(zhǔn)與措施。9(3備份系統(tǒng)必須定期進(jìn)行實際運行，以檢驗備份系統(tǒng)的可靠性。10在對數(shù)據(jù)完整性要求較高的場合，必須采取嚴(yán)格的數(shù)據(jù)備份措施，以保證在發(fā)生意外時數(shù)據(jù)的可靠恢復(fù)。10(1數(shù)據(jù)庫轉(zhuǎn)貯。應(yīng)根據(jù)本單位情況確定轉(zhuǎn)貯周期。10(2日志文件。日志必須雙副本，即保存在盤、帶上的聯(lián)機日志與檔案日志。10(3對于較長的作業(yè)，要考慮在其中間設(shè)置檢查點、重新啟動人口、恢復(fù)與備份。(二)審計1在對計算機安全要求較高的場合，必須建立審計制度，配備專職審計人員。2審計人員應(yīng)該是精通業(yè)務(wù)，對計算機系統(tǒng)有較好的掌握又有一定實際工作經(jīng)驗的高級技術(shù)人員。3在系統(tǒng)設(shè)計階段就應(yīng)有審計人員參加，以評價系統(tǒng)設(shè)計是否滿足安全要求。4在系統(tǒng)設(shè)計中增加安全控制以后，要重新評價系統(tǒng)，以保證系統(tǒng)功能不退化。5系統(tǒng)安全控制包括以下幾方面:5(1實體控制:防止天災(zāi)、人為事故以及電氣和機械支持系統(tǒng)的失效。5(2系統(tǒng)控制:涉及系統(tǒng)的邏輯和實體結(jié)構(gòu)以及有關(guān)硬、軟件的保護(hù)措施。5(3管理控制:有關(guān)人員、文件資料的處理、存貯等類似事務(wù)的安全制度及有關(guān)規(guī)定。6系統(tǒng)運行狀態(tài)下的審計應(yīng)包括:6(1數(shù)據(jù)輸人階段。由于多數(shù)問題是因數(shù)據(jù)輸入時的錯誤造成的，放這個階段應(yīng)作為重點進(jìn)行調(diào)查。6(2數(shù)據(jù)的處理過程。選擇一個處理過程，對其每個環(huán)節(jié)進(jìn)行跟蹤檢查，以便發(fā)現(xiàn)非法行為。6(3計算機程序的檢查。必須保存所有程序的完整技術(shù)說明文件及其拷貝，以便必要時對重要的程序?qū)彶槌绦虼a。6(4遠(yuǎn)程通信環(huán)節(jié)。由于租用郵電通信線路，數(shù)據(jù)傳送過程中被截取的可能性難以避免，所以必須對加密手段進(jìn)行認(rèn)真研究，并通過測試防止對通信系統(tǒng)的滲透。6(5輸出的用途及利用。6(6系統(tǒng)的管理環(huán)節(jié)。如:崗位責(zé)任制的劃分與分離狀況、用戶、程序員、操作員是否有越權(quán)行為等。7審計方法主要有以下兩種:7(1檢查性審計。對正常運行的系統(tǒng)的某一部分進(jìn)行抽樣檢查。如:抽樣打印某部分文件，尋找錯誤或矛盾。將已知預(yù)期結(jié)果的一批數(shù)據(jù)送人系統(tǒng)進(jìn)行處理，核對結(jié)果。追蹤檢查某一交易的所有環(huán)節(jié)并進(jìn)行核對等。7(2攻擊性審計。由審計人員采用各種非法分子可能采取的手段及可能出現(xiàn)的意外情況對系統(tǒng)進(jìn)行滲透，或破壞的試驗，分析成功的可能性及所需的條件，找出系統(tǒng)的薄弱環(huán)節(jié)及其相應(yīng)的對策。8審計工作應(yīng)該長期不間斷地進(jìn)行，以對非法行為形成一種威懾力量。9重要的計算機系統(tǒng)應(yīng)定期與公安機關(guān)的計算機監(jiān)察部門共同進(jìn)行安全檢查。(三)風(fēng)險分析1組織專門小組定期對系統(tǒng)進(jìn)行風(fēng)險分析。2工作小組成員應(yīng)由與系統(tǒng)有關(guān)的各方面的專家組成。3風(fēng)險分析包括:3(1硬件資源的破壞及丟失。3(2數(shù)據(jù)與程序文件的破壞與丟失。3(3數(shù)據(jù)的失竊。3(4對實現(xiàn)系統(tǒng)功能的不利影響。3(5對系統(tǒng)資源的非法使用。4風(fēng)險分析應(yīng)盡可能具體，有些可能的損失應(yīng)繪出預(yù)計的定量值。5分析結(jié)果必須包括相應(yīng)的預(yù)防措施。如:大多數(shù)損失源于操作錯誤，那么就應(yīng)該對業(yè)務(wù)培訓(xùn)、思想教育、技術(shù)措施、人事管理等有關(guān)規(guī)定或計劃做出必要的調(diào)整。6并非每一個有風(fēng)險的脆弱性的部位都需要保護(hù)。若保護(hù)措施的代價高于可能出現(xiàn)的風(fēng)險損失，這些措施應(yīng)該放棄。7保護(hù)措施的可靠程度只需使系統(tǒng)變得對滲透者是非常困難或代價昂貴，以致勝過可能給滲透者帶來的利益即可。8分析的過程與結(jié)果應(yīng)該保密，以免招致對系統(tǒng)弱點的非法利用。五、本制度自發(fā)布之日起實施執(zhí)行。市財政局計算機信息網(wǎng)絡(luò)安全管理制度市財政局計算機信息網(wǎng)絡(luò)安全管理制度第一條為了加強對計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)的安全保護(hù)，維護(hù)公共秩序和社會穩(wěn)定，根據(jù)中華人民共和國計算機信息系統(tǒng)安全保護(hù)條例(國務(wù)院第147號令)和計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法（公安部第33號令），制定我局計算機信息網(wǎng)絡(luò)安全管理制度。第二條本單位任何人不得利用國際聯(lián)網(wǎng)危害國家安全、泄露國家秘密，不得侵犯國家的、社會的、集體的利益和公民的合法權(quán)益，不得從事違法犯罪活動。第三條本單位任何人要嚴(yán)格遵守信息發(fā)布審核制度，不得利用國際聯(lián)網(wǎng)制作、復(fù)制、查閱和傳播下列信息:（一）煽動抗拒、破壞憲法和法律、行政法規(guī)實施的;（二）煽動顛覆國家政權(quán)，推翻社會主義制度的;（三）煽動分裂國家、破壞國家統(tǒng)一的;（四）煽動民族仇恨、民族歧視，破壞民族團結(jié)的;（五）捏造或者歪曲事實，散布謠言，擾亂社會秩序的;（六）宣揚封建迷信、淫穢、色情、賭博、暴力、兇殺、恐怖，教唆犯罪的;（七）公然侮辱他人或者捏造事實誹謗他人的;（八）損害國家機關(guān)信譽的;（九）其他違反憲法和法律、行政法規(guī)的。第四條本單位任何人不得從事下列危害計算機信息網(wǎng)絡(luò)安全的活動:（一）未經(jīng)允許，進(jìn)入計算機信息網(wǎng)絡(luò)或者使用計算機信息網(wǎng)絡(luò)資源的;（二）未經(jīng)允許，對計算機信息網(wǎng)絡(luò)功能進(jìn)行刪除、修改或者增加的;（三）未經(jīng)允許，對計算機信息網(wǎng)絡(luò)中存儲、處理或者傳輸?shù)臄?shù)據(jù)和應(yīng)用程序進(jìn)行刪除、修改或者增加的;（四）故意制作、傳播計算機病毒等破壞性程序的;（五）其他危害計算機信息網(wǎng)絡(luò)安全的。第五條用戶的通信自由和通信秘密受法律保護(hù)。任何科室和個人不得違反法律規(guī)定，利用國際聯(lián)網(wǎng)侵犯用戶的通信自由和通信秘密。第六條互聯(lián)科室、接入科室及使用計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)的個人應(yīng)當(dāng)履行下列安全保護(hù)職責(zé):（一）負(fù)責(zé)本網(wǎng)絡(luò)的安全保護(hù)管理工作，建立健全安全保護(hù)管理制度;（二）落實安全保護(hù)技術(shù)措施，保障本網(wǎng)絡(luò)的運行安全和信息安全;（三）負(fù)責(zé)對本網(wǎng)絡(luò)用戶的安全教育和培訓(xùn);（四）對委托發(fā)布信息的單位和個人進(jìn)行登記，并對所提供的信息內(nèi)容按照本辦法第五條進(jìn)行審核;（五）建立計算機信息網(wǎng)絡(luò)電子公告系統(tǒng)的用戶登記和信息管理制度;（六）發(fā)現(xiàn)有本制度第二條、第三條、第四條所列情形之一的，應(yīng)當(dāng)保留有關(guān)原始記錄，并在二十四小時內(nèi)向當(dāng)信息中心報告;（七）按照國家有關(guān)規(guī)定，刪除本網(wǎng)絡(luò)中含有本辦法第五條內(nèi)容的地址、目錄或者關(guān)閉服務(wù)器。第六條使用公用帳號的注冊者應(yīng)當(dāng)加強對公用帳號的管理，建立帳號使用登記制度。用戶帳號不得轉(zhuǎn)借、轉(zhuǎn)讓。第七條違反本制度辦法第三條、第四條所列行為之一的，由信息中心給予警告，情節(jié)嚴(yán)重的，并告知領(lǐng)導(dǎo)可以給予六個月以內(nèi)停止聯(lián)網(wǎng)、停機整改，構(gòu)成犯罪的，依法追究刑事責(zé)任。第八條信息中心應(yīng)立健全安全管理制度，負(fù)責(zé)本單位計算機信息系統(tǒng)的安全保護(hù)工作，障計算機及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）的安全，運行環(huán)境的安全，保障信息的安全，保障計算機功能的正常發(fā)揮，以維護(hù)計算機信息傳輸數(shù)據(jù)暢通。第九條信息中心發(fā)現(xiàn)影響計算機信息系統(tǒng)安全的隱患時，應(yīng)當(dāng)及時通知使用個科室采取安全保護(hù)措施。第十條信息中心在緊急情況下，可以就涉及計算機信息系統(tǒng)安全的特定事項發(fā)布專項公告，告明各個科室真相。第十一我局各個科室對計算機信息系統(tǒng)安全保護(hù)工作，按照制度嚴(yán)格實施。第十二本制度自發(fā)布之日起施行。計算機信息網(wǎng)絡(luò)安全管理制度為加強對局系統(tǒng)計算機信息網(wǎng)絡(luò)的保護(hù)，確保計算機數(shù)據(jù)、資料的安全，杜絕計算機泄密事件，更好地發(fā)揮計算機信息網(wǎng)絡(luò)在財政工作中的作用，根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護(hù)條例》、《中華人民共和國計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》、“金財工程”的相關(guān)規(guī)定，以及其它相關(guān)的法律、法規(guī)，制定本規(guī)定。一、本規(guī)定適用范圍本規(guī)定的適用范圍為局機關(guān)各股室、局屬各單位的所有計算機（包括臺式電腦、手提電腦、掌上電腦等）、多功能一體機等。局機關(guān)各股室、局屬各單位均必須嚴(yán)格遵守本規(guī)定。二、計算機信息網(wǎng)絡(luò)安全管理組織局系統(tǒng)計算機信息網(wǎng)絡(luò)的安全管理工作由局計算機信息網(wǎng)絡(luò)安全管理領(lǐng)導(dǎo)小組負(fù)責(zé)，局信息中心負(fù)責(zé)具體工作。三、計算機安全等級劃分局系統(tǒng)所有計算機按用途分為“專網(wǎng)計算機”和“一般計算機”兩類。（一）、“專網(wǎng)計算機”包括:1、部門預(yù)算專網(wǎng)計算機;2、集中支付專網(wǎng)計算機;3、其它財政業(yè)務(wù)專網(wǎng)計算機（二）、“一般計算機”包括:上述專網(wǎng)計算機以外的計算機。四、計算機管理（一）、“專網(wǎng)計算機”管理1、所有有“專網(wǎng)計算機”的單位、股室負(fù)責(zé)人為計算機信息系統(tǒng)安全負(fù)責(zé)人。2、所有有“專網(wǎng)計算機”的單位、股室都要明確一名計算機信息安全管理員;3、所有“專網(wǎng)計算機”及其專用移動存儲介質(zhì)，都必須明確固定使用者。4、所有“專網(wǎng)計算機”都必須設(shè)置好相關(guān)密碼，密碼要盡量復(fù)雜，防止猜出;必須保管好所有密碼，防止密碼泄漏或丟失;不得使用保存密碼、自動登陸等功能。5、所有“專網(wǎng)計算機”必須安裝1套正版殺毒軟件并開啟病毒實時監(jiān)控，要經(jīng)常、及時升級，保證查殺毒引擎、病毒庫文件最新;要經(jīng)常全面查殺病毒。6、所有“專網(wǎng)計算機”都不得隨意安裝軟件。（1）、只能安裝必要的辦公軟件（如：office、wps）、由對口機構(gòu)規(guī)定使用的業(yè)務(wù)處理專業(yè)軟件、殺毒軟件、防火墻軟件。（2）、不得安裝任何游戲軟件、聊天軟件、網(wǎng)絡(luò)硬盤軟件、網(wǎng)絡(luò)優(yōu)盤軟件及其它與本計算機所處理的