信息系统安全策略-文库吧资料

　　

【正文】 范。第八十条 第七十九条 数据库中的数据来自于不同的业务，根据不同业务的性质对数据进行分级。对于无用数据的排查结果，应通知相关信息系统应用部门进行确认，对方认可后方能清除。应定时检查数据库表锁，如发现异常的表锁应分析异常表锁原因及相关语句，及时解开表锁。第七十七条 信息的存储介质必须以物理标签形式标明其密级。信息的密级必须被明确标注。信息具有不同的敏感度和重要性，信息使用部门应从其机密性、完整性和可用性等安全属性对其进行分级，反映不同的保护要求、优先级和程度。数据库系统服务支撑人员必须按照信息安全策略使用信息安全工具来记录及报告安全事件（如安全违反记录、非法访问报告），数据库系统管理部门管理人员定期审阅（至少每月一次）这些报告。第七十四条 为了防止由于单点硬件存储设备的故障,导致数据库的损坏，对于要求持续、无故障运行的数据库，在设计时应使用双机、主备式等技术手段，配置冗余部件，提高系统的可靠性。第七十三条 第七十二条 数据库的用户权限和用户的岗位需求必须保持一致。数据库管理员拥有数据库的最高权限，数据库管理员执行的重要操作都必须进行记录（自动或手动），部门领导每月对记录进行检查。第六十九条 数据库系统管理部门必须对数据库管理员帐号和密码采取备份保护措施，并必须建立在紧急的、无法通过正常授权的情况下，数据库管理员帐号的使用流程。数据库管理员在对重要数据库端口进行修改或执行影响数据库安全和性能的操作前应提交申请，经主管部门领导审批后方可实施，并及时（至少在一周内）更新记录。第六十七条 第六十六条 在系统正式使用前，数据库管理员应修改系统默认密码，并对不需要的帐号进行删除或锁定。 每月对数据库日志进行分类、归纳，总结当月安全及生产运行情况，编写数据库服务支撑月报，交部门领导审阅并归档。 监测有关数据库的告警，检查并分析数据库系统日志，及时提出解决方案，并记录服务支撑日志；（七） 制定并实施数据库的备份及恢复计划，根据备份计划进行数据库数据和配置备份，并检查数据库备份是否成功；（五）必要时进行数据库碎片整理、重建索引等；（三） 对数据库系统存储空间进行管理，根据实际需要提出扩容计划。第六十四条 数据库管理员的职责：（一）数据库管理员与应用系统管理员不能为同一个人，不可兼职。数据安全管理第六十三条 第七章第六十二条 操作系统帐号开通、注销以及相关权限的授予应有严格的申请、开通、审核流程。将未经授权而试图访问信息资源等安全事件记录到《操作系统服务支撑日志》，每月交部门领导审阅。操作系统管理员必须定期（至少每3个月一次）检测操作系统漏洞，发现问题及时修正。操作系统中的系统配置参数和关键操作的正确设置是系统安全运行的保障，操作系统管理员每月根据《系统配置表》对系统设置进行复核，记录复核情况到《操作系统服务支撑日志》，并提交部门主管审核。操作系统管理员在执行影响操作系统安全和性能的操作时，首先提出修改操作的方案，内容包括：修改原因、修改方法、回退方法、修改时间、业务影响程度等，提交部门领导审批，审批通过后，操作系统管理员进行修改并记录，修改后一周内由操作系统管理员更新《系统配置表》。对这些端口的使用要进行审批和记录，并采取必要的安全措施对端口进行监控、管理和防护。第五十六条 第五十五条 操作系统的用户权限必须和用户的岗位需求一致。操作系统管理员执行重要操作时，应开启操作系统日志，对于一些系统无法自动记录的重要操作，由操作系统管理员将操作内容记录在《操作系统服务支撑日志》上，并由部门领导每月进行抽查复核。在操作系统设置上，操作系统管理员将操作系统帐号自动退出时间参数设置为10分钟以内。第五十二条 操作系统管理员与应用系统管理员不可兼职,当操作系统管理员变化时，应及时更换管理员口令。 在信息系统正式上线前，由操作系统管理员删除操作系统中所有测试帐号，对操作系统中无关的默认帐号进行删除或锁定。 每月分析系统日志和告警信息，根据分析结果提出解决方案。 检查系统CPU、内存、文件系统空间的使用情况等；（七） 监控系统安全状况，发现不良侵入立即采取措施制止；（五） 制定并实施操作系统的备份和恢复计划；（三）操作系统管理员主要责任包括：（一）操作系统管理员由信息系统服务支撑部门领导指定专人担任。 网络管理部门根据系统和数据的重要程度，应对网络用户的出口信息进行审计。网络系统管理部门必须对网络系统管理员帐号和密码采取备份保护措施，并必须建立在紧急的、无法通过正常授权的情况下，网络管理员帐号的使用流程。采取加密机或加密软件等控制措施，保护通过公共网络传输的数据的机密性和完整性，敏感数据（特别是与财务相关的数据）通过外部网络传输时，必须经过加密处理。未经允许，任何单位或个人不得擅自外借、移动、拆除和接入网络设备，不得随意变更网络设备及网络结构，确需变更的，严格履行审批手续后，在确保不影响现有系统运行的情况下，由相关技术人员实施或监督实施。网络管理员必须定期（每3个月）对网络设备进行安全漏洞检测，升级或安装必要的系统补丁，预防网络安全漏洞，并记录操作内容。第四十二条 严格禁止同一台终端在使用公司内部网络的同时采用拨号、无线、LAN等方式连接其他网络,有业务需要，需要取得信息管理部审批同意后方可实施。禁止私自将系统内的计算机和其他单位的网络互联，如确实需要和其他单位网络互联，应由双方的系统管理人员和网络管理人员相互配合，设计出切实可行的互联方案（该方案中必须考虑双方的网络和系统安全），取得相关部门审批同意后方可实施。 网络的IP地址是网络中的重要的资源，严禁盗用他人IP地址、用户名及密码；不得擅自进入未经许可的信息系统或利用网络设备、软件技术更改或者盗用其他单位的网络信息，严禁修改任何网络设备的技术参数。各接入单位应当在规定的范围内，设置计算机及网络设备IP地址。第三十九条 负责对网络结构等进行相应优化、调整，以进一步提高网络效率及安全可靠性；（九） 建立并管理网络组织、结构、路由等网络技术档案；（七） 管理网络设备软件版本，以及软件和配置修改工作，进行相应操作时，应做出详细记录，并接受网络管理部门主管定期（至少每月一次）审核；（五） 至少每月一次对网络设备配置进行检查；（三）将网络管理权限赋予给网络管理人员，明确网络管理员的管理范围（包括所管理的设备清单和管理内容），网络管理员职责如下：