信息系统管理办法.docxVIP

. 信息系统管理办法 专业资料 . 目录 第一章 用户和密码管理 3 第二章 网络安全管理 4 第三章 操作系统安全管理 4 第四章 数据安全管理 5 第五章 主机安全管理 5 第六章 终端安全管理 5 第七章 病毒防治 6 专业资料 . 第八章 机房安全管理 ........................................................................................................... 7 第一章 用户和密码管理 第一条 对于网络设备、主机、操作系统、数据库、业务应用程序，系统用户都必须 通过用户和密码认证可访问。 第二条 用户权限分为普通用户、 维护用户与超级用户三个级别。 普通用户为各应用 系统的使用者，维护用户为各层面系统维护者，超级用户为各层面的管理员用户。 第三条 具有重要权限的帐号密码设置必须符合以下安全要求 : （一） 密码不得包含常用可以识别的名称或单词、 易于猜测的字母或数字序列或者 容易同用户发生联系的数据，比如自己、配偶或者子女的生日和姓名等容。 （二） 密码长度至少是六个字符， 组成上必须包含大小写字母、 数字、标点等不同 的字符。 （三） 如果数据库系统、 应用系统提供了密码安全期机制， 则帐户密码必须至少每 120 天修改一次。 （四） 同一密码不得被给定账户在一年重复使用。 （五） 如果数据库系统、应用系统提供了密码安全机制，则必须在 30 分钟之连续 出现 5 次无效的登录尝试，其账户必须锁定 15 分钟。在此期间，超级用户 可以采用经过批准的备用验证机制重新启用账户。 （六） 厂商默认密码必须在软件或硬件安装调试完毕后进行修改。 （七） 对于操作系统，必须禁用 GUEST 帐户，并将管理员帐户重命名。 第四条 密码保护与备份策略： （一） 围：网络设备、服务器操作系统、数据库、应用系统、 ADSL 帐户拨号信息； （二） 包含项目：网络设备包括访问的 IP 地址、端口，所有超级用户的用户名以及 密码； 服务器操作系统的 IP 地址、所有管理员帐户名、密码； 专业资料 . 数据库中所有具有系统数据库管理员权限的用户的用户名和密码； 应用系统中所有超级用户的用户名以及密码；帐户的用户名以及密码。 第二章 网络安全管理 第五条 需要全面、系统地考虑整个网络的安全控制措施，并紧密协调，一致实施， 以便优化公司 IT 系统运营。明确规定有关网络的规划、实施、运作、更改和监控的安全技 术要求，对网络安全状态进行持续监控，保存有关错误、故障和补救措施的记录。 第六条 网络层次管理必须遵循以下要求： （一） 应用系统所有者相关部门必须同集团信息管理部密切合作。 （二） 必须编制并保留网络连接拓扑结构。 第七条 网络管理员负责生产网络、办公网络的安全管理，网络管理员必须掌握网 络管理和网络安全面的知识。 第八条 网络管理员必须使用安全工具或技术进行系统间的访问控制，并根据系统 的安全等级，相应的在系统的接入点部署防火墙等网络安全产品，保证网络安全。 第三章 操作系统安全管理 第九条 操作系统管理员由信息管理部领导指定专人担任。 第十条 操作系统管理员主要责任包括： （一） 对操作系统登录帐号、权限、帐号持有人进行登记分配管理。 （二） 制定并实施操作系统的备份和恢复计划。 （三） 管理系统资源并根据实际需要提出系统变更、升级计划。 （四） 监控系统运行状况，发现不良侵入立即采取措施制止。 （五） 每 1 个月检查系统漏洞，根据实际需要提出版本升级计划，及时安装系 统补丁，并记录。 （六） 检查系统 CPU 、存、文件系统空间的使用情况等。 （七） 检查服务器端口的开放情况。 （八） 每月分析系统日志和告警信息，根据分析结果提出解决案。 第十一条 在信息系统正式上线前，操作系统管理员必须删除操作系统中所有测试帐 号，对操作系统中无关的默认帐号进行删除或禁用。 第十二条 操作系统管理员与应用系统管理员不可兼职 ,当操作系统管理员变化时，必 须及时更换管理员口令。操作系统管理员必须创建专门的操作系统维护帐号进行日常维护。 第十三条 本地或远程登录主机操作系统进行配置等操作完成后或临时离开配置终端 时，必须退出操作系统。 在操作系统设置上， 操作系统管理员必须将操作系统帐号自动退出 专业资料 . 时间参数设置为 10 分钟以。 第十四条 操作系统管理员执行重要操作时， 必须开启操作系统日志， 对于一些系统 无法自动记录的重要操作，由操作系统管理员将操作容记录在《系统维护日志》上。 第四章 数据安全管理 第十五条 数据库管理员由信息管理部领导根据工作需要指定专人担任。数据库管理 员与应用系统管理员不能为同一个人， 不可兼职。