DB37T 313-2002计算机信息网络安全管理要求.pdf

山东省地方标准DB 37/T313-—2002计算机信息网络安全管理要求2002-08—01实施2002—05—14发布山东省质量技术监督局发布 DB 37/T 313-2002前言本标准附录 A 是资料性的附录,附录 B 和附录 C 是规范性的附录。本标准由山东省公安厅提出。本标准由山东省计算中心与山东省公安厅公共信息网络安全监察处联合起草。本标准起草人：顾卫东、王连海、王英龙、李春林、张兵、阳光、杨卫国、朱金义、徐宜中、孟光、郑云娅 DB 37/T313-20025.7.3防止恶意代码(基本项)应有检测和防护控制，以防止恶意代码进人网络系统，并实施适当的程序使用户了解有关检测、控制恶意代码的必要信息。5.7. 4日常维护维护信息处理和通信服务的完整性和可用性。5.7.4.1操作人员日志(基本项)操作人员应填写并维护操作活动日志。5.7.4.2错误日志(基本项）应填写错误日志报告错误内容和采取的纠正活动。5.7.4.3信息备份(基本项)应定期进行关键业务信息和软件的备份。应保证在灾难发生或媒体失效时，关键业务信息和软件能够从备份媒体上恢复。备份媒体应有多个副本，并安全地存放在不同的地点。5.7.5媒体的处置和安全确保适当地处理和保护网络系统的各种媒体，防止资产的破坏和业务活动的中断。5.7.5.1可移动计算机媒体的管理(基本项)应有可移动计算机媒体诸如磁带、磁盘和打印的报告等的管理程序，保证这类媒体受到适当的控制。5.7.5.2信息处理程序（基本项）为了保护信息免受非授权的泄露和误用，应建立信息处理和存储的程序。5.7.5.3媒体处置(基本项）当不再需要媒体时，应安全地如以处置，避免非授权人员从已经弃置的媒体中获得信息。5.7.5.4系统文件的安全(建议项）应保护系统文件免受非授权的访问。5.7.6信息和软件的交换应防止在组织之间交换信息和软件时造成信息和软件的丢失、修改或误用。5.7.6.1电子邮件的安全(基本项）应开发使用电子邮件的安全策略，并在合适的位置使用控制措施来降低由电子邮件引起的安全风险。5.7.6.2办公自动化系统的安全（基本项）应该准备和实施一系列的策略、指南来控制与办公自动化系统相关的业务及其安全风险。应考虑使用标推中列出的控制措施保证办公自动化系统的安全。5.7.6.3信息和软件的交换协议（建议项）应建立组织之间通过电子或手工方式进行信息和软件交换的协议，其中有些协议应当是正式的。5.7.6.4媒体传输安全（建议项）用于传输信息的媒体应该受到保护，避免非授权的访问、误用或恶意损害。5.7.6.5电子商务安全（建议项)应该保护电子商务的安全，防止电子交易各方遭到欺骗。应当避免合同争议、信息泄露和非法修改。5.7.6. 6*公用系统(建议项)在信息为公众使用之前，应该有一个正式的授权过程，并应采取适当的控制保护这些信息的完整性，以防止非授权的修改。5.7.6.7其它形式的信息交换(建议项)在合适的位暨，应使用程序和适当的控制措施来保护通过声音、传真和视频等通信设施进行的信息交换。9 DB 37/T313-20025.8访问控制5.8.1访问控制策略(基本项）应定义对访问控制的业务需求并将其文件化，访问应限制在访问控制策略中规定的范围内。应考虑如下类型的访问控制：安全区域访问控制、用户访问控制、网络访问控制、信息和服务访问控制。5.8.2用户访问控制应控制用户对网络系统的访问，防止其对网络信息的非授权访问。5.8.2.1用户注册(基本项)应该有正式的用户注册和注销程序，该程序用来批准对所有多用户信息系统和服务的访问。5.8.2.2权限管理（基本项）应该限制和控制用户对网络访问权限的分配和使用。5.8.2.3用户口令管理（基本项）应通过一个正式的管理程序来控制口令的分配。管理程序应规定口令的选择规则、长度限制、时间限制以及注销。5.8.2.4用户访问权限的审核(建议项）应定期执行一个正式的程序来审核用户访问权限，包括由于人员增减和职位变动带来的变化。5.8.3用户责任5.8.3.1使用口令（基本项）在选择和使用口令时应要求用户遵循良好的安全习馈。5.8.3.2无人值守的用户设备（建议项）应要求用户确保无人值守设备有适当的保护，应明确规定需要保护的无人值守设备和采取的控制措施。控制措施应经过测试证明是有效的。5.8.4网络访问控制应提供网络服务的安全保护以控制对网络服务的访问。5.8.4.1网络服务的安全性(基本项)应提供组织使用的所有网络服务安全属性的清晰描述。5.8.4.2网络服务应用策略（基本项）应提供网络服务访问控制，确保只有服务被明确授权使用时，用户才能直接访问这些服务。5.8.4.3增强路径(建议项)用户终端到计算机服务的连接应避免高风险的路径。从用户终端到计算机服务的路径应受到控制。5.8.4