c操作系统及数据库运行安全管理办法.docVIP

广西区公共资源招标投标服务中心 操作系统及数据库运行安全管理办法 1.范围 为保障广西区公共资源招标投标服务中心,管理信息系统的操作系统和数据库管理系统的安全、稳定运行，规范操作系统和数据库管理系统的安全配置和日常操作管理，特制订本管理办法。 本办法适用于广西区公共资源招标投标服务中心信息系统的操作系统和数据库系统的管理和运行。 2.规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，使用本标准的相关部门、单位及人员要研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。 ——中华人民共和国计算机信息系统安全保护条例 ——中华人民共和国国家安全法 ——中华人民共和国保守国家秘密法 ——计算机信息系统国际联网保密管理规定 ——中华人民共和国计算机信息网络国际联网管理暂行规定 ——ISO27001标准/ISO27002指南 ——公通字[2007]43号 信息安全等级保护管理办法 ——GB/T 21028-2007 信息安全技术 服务器安全技术要求 ——GB/T 20273-2006 信息安全技术 数据库管理系统安全技术要求 ——GB/T 20272-2006 信息安全技术 操作系统安全技术要求 ——GB/T 20269-2006 信息安全技术 信息系统安全管理要求 ——GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求 ——GB/T 22240-2008 信息安全技术 信息系统安全等级保护定级指南 3.术语和定义 下列术语和定义适用于本标准 操作系统安全：操作系统所存储、传输和处理的信息的保密性、完整性、和可用性表征。 数据库管理系统安全：数据库管理系统所存储、传输和处理的信息的保密性、完整性和可用性的表征。 4.操作系统运行管理 4.1操作系统管理员的任命 4.1.1操作系统管理员的任命应遵循“任期有限、权限分散”的原则； 4.1.2对每个操作系统要分别设立操作系统管理员和操作系统审计员，并分别由不同的人员担任。在多套系统的环境下，操作系统管理员和操作系统审计员岗位可交叉担任； 4.1.3操作系统管理员和操作系统审计员的任期可根据系统的安全性要求而定，最长为三年，期满通过考核后可以续任； 4.1.4操作系统管理员和操作系统审计员必须签订保密协议书。 4.2操作系统管理员帐户的授权、审批 4.2.1操作系统管理员和操作系统审计员账户的授权由所在部门填写《操作系统账户授权审批表》，经部门领导批准后设置； 4.2.2操作系统管理员和操作系统审计员人员变更后，必须及时更改帐户设置。 4.3其他帐户的授权、审批 4.3.1其他账户的授权由使用人填写《操作系统账户授权审批表》，经信息管理部门领导批准后，由操作系统管理员进行设置； 4.3.2外单位人员需要使用广西区公共资源招标投标服务中心系统时, 须经信息管理部门领导同意, 填写《外单位人员操作系统账户授权审批表》，报信息管理部门领导批准后, 由操作系统管理员按规定的权限、时限设置专门的用户帐号； 4.3.3严禁广西区公共资源招标投标服务中心任何人将自己的用户帐号提供给外单位人员使用。 4.4口令的复杂性、安全性要求和检查 4.4.1系统账户的口令长度设置至少为8位，口令必须从小写字符（a-z）、大写字符（A-Z）、数字（0-9）、符号(~!@#$%^*()_)中至少选择两种进行组合设置； 4.4.2系统账户的口令必须经常更改，每次更新的口令不得与旧的口令相同，操作系统应设置相应的口令规则； 4.4.3系统用户的帐号、口令、权限等禁止告知其他人员； 4.4.4须根据系统的安全要求对操作系统密码策略进行设置和调整，以确保口令符合要求。 4.5系统维护和应急处理记录 4.5.1应对系统安装、设置更改、帐号变更、备份等系统维护工作进行记录，以备查阅； 4.5.2应对系统异常和系统故障的时间、现象、应急处理方法及结果作详细的记录 4.6操作系统软件、资料以及许可证的管理 4.6.1必须对操作系统软件的介质、资料和许可证进行登记，并设专人负责保管； 4.6.2登记的内容应包括软件的名称和版本、软件出版商、许可证类型和数量、介质的编号和数量、软件安装序列号、手册名称和数量、购买日期等； 4.6.3应有软件和资料的借用审批和借还登记手续； 4.6.4对重要的系统软件介质和资料要进行复制，借用时宜提供复制品，以保护好原件及避免丢失。 4.7操作系统的系统管理员帐户名称、口令的管理 4.7.1操作系统账户应按照《操作系统账户授权审批表》批准的账户名称、权限和有效期予以设置；必须关闭不必使用的账号； 4.7.2操作系统管理员帐户的口令除了要满足本规范第六条中的