信息系统安全管理标准规范.doc

信息系统安全管理规范 目标 此文档用于规范公司业务系统的安全管理，安全管理所达到的目标如下： 确保业务系统中所有数据及文件的有效保护，未经许可的用户无法访问数据。对用户权限进行合理规划，使系统在安全状态下满足工作的需求。 机房访问控制 机房做为设备的集中地，对于进入有严格的要求。 只有公司指定的系统管理员及数据库管理员才有权限申请进入机房。系统管理员及数据库管理员因工作需要进入机房前必须经过公司书面批准。 严格遵守机房管理制度。 操作系统访问控制 保护系统数据安全的第一道防线是保障网络访问的安全，不允许未经许可的 用户进入到公司网络中。 第二道防线就是要控制存放数据及应用文件的主机系统 不能被未经许可的用户直接访问。 为防止主机系统被不安全访问， 采取以下措施： 操作系统级的超级管理用户口令、数据库管理用户口令、应用管理用户口令 只能由系统管理员设定并经办公室审核，１个月做一次修改，口令要向其他人员 保密。 在应用系统实施阶段，考虑到应用软件提供商需要对自己的产品进行调试， 可以在调试时将应用管理用户口令暂时开放给应用软件提供商； 调试一结束系统 管理员马上更改口令。 对口令设定必需满足以下规范： 最多允许尝试次数 口令最长有效期 口令的最大长度 口令的最小长度 5 30 天 不受限 6 口令的唯一性要求。 系统的安全控制 最近三次所更改的口令不能相同 通过口令控制及对象的安全控制实现。 数据库访问控制 为有效的保障业务数据的安全，采取以下措施： 数据库内具有较高权限的管理用户口令由办公室数据库管理员设定,并由办公室审核，不能向其他人开放。口令必须１个月做一次修改。业务系统后台数据库对象创建用户的口令由办公室数据库管理员设定，由办公室审核。不能向其他人开放。口令必须 1 个月做一次修改。 对口令设定必需满足以下规范： 口令最长有效期 口令的最大长度 口令的最小长度 口令的唯一性要求 30 天 不受限 6 最近三次所更改的口令不能相同 根据操作需求，在数据库中分别建立对业务数据只有“增、删、改”权限的用户；对业务数据只有“查询”权限的用户。不同的操作需求开放不同权限的用 户。 除办公室门的人员外， 其他部门的任何人员均没有权限从后台数据库直接进行数据的“增、删、改”操作 对于业务必须的后台 job 或批处理，必须由办公室门人员执行。 应用系统访问控制 应用系统访问依靠系统内部定义的操作用户权限来控制,操作用户权限控制到菜单一级，对于操作用户的安全管理有如下规范： 所有应用级的操作用户及初始口令统一由办公室门设定，以个人邮件的形式分别发给各部门的操作人员。各部门操作人员在首次登录时必须修改口令，口令必须１个月做一次修改。 对于口令设定必需满足以下规范： 口令最长有效期 口令的最大长度口令的最小长度口令的唯一性要求 30 天 不受限 6 最近三次所更改的口令不能相同操作人员不能将自己的用户及口令随意告诉他人所有使用者的认可都由系统管理员来逐一分配。必须由部门经理提交访问权认可的申请表，然后由办公室批准。当应用系统中需要加入新的使用者时，首先使用者需要填写“权限申请表” 。 该申请表应该得到部门经理和办公室的共同批准。之后，IT 系统管理员会帮助 应用系统的使用者开通账户，并建立相应的访问等级和权限。 当应用系统需要关闭某位使用者的账户时，首先该部门应该填写“权限申请 表” ，并得到部门经理和办公室的共同批准。之后，IT 系统管理员会帮助应用系 统使用者关闭该账户。 大多数的主文件都会与审查日志一起更新。使用者号码、处理日期以及时间 将写入日志，以备今后查询之用。 个人义务 如果技术上可行， 每一位使用者都应该通过一个唯一的使用者身份号码来识别，该号码设有密码，并不得与任何人共享。 使用者的身份号码意味着不允许存在公共使用。然而，支持网关和服务器的设备是一个例外，例如：互联网服务器等。只有得到 IT 经理的批准，才能使用这些公共使用身份号码。使用者不得与他人共享密码。如果已经告知了他人，那么使用者将对他人利 用密码所做的任何行为的后果负责。 若使用者怀疑他的密码已经被泄露了，那么他应该尽快更换密码。并应该在 第一时间向 IT 系统管理员汇报。 3使用者不应该书面记录下密码，并放在别人可以轻易看到的地方。密码不得设置成特定词汇或其他能被轻易猜到的字词。类似姓名、电话号码、身份证号、 生日等都是不合格的密码。 使用者不得向他人泄漏密码。如果 IT 技术支持人员要求运用使用者的号码 访问，则必须当着使用者的面登录。如果使用者泄漏了密码，则必须尽快更改密 码。如果他们因诱骗而泄漏了密码，则必须尽快向 IT 系统管理员汇报。 如果使用者怀疑我们信息系统的安全性受到威胁，则必须尽快向 IT 系统管 理员汇报。 使用者对