软件系统安全规范.pdf

一、引言

1．1目的

随着计算机应用的广泛普及，计算机正常已成为衡量计算机系统性能的一个重

要指标。

计算机系统正常包含两局限内容，一是保证系统正常运行，制止各种非存心的

错误与损坏；二是防止系统及数据被非法利用或破坏。两者虽有特别大不同，

但又相互联系，不管从治理上依旧从技术上都难以截然分开，因此，计算机系

统正常是一个综合性的系统工程。

本典型对涉及计算机系统安、全的各要紧环节做了具体的讲明，以便计算机系

统的设计、安装、运行及监察部门有一个衡量系统正常的依据。

1．2范围

本典型是一份指导性文件，适用于国家各部门的计算机系统。

在弓I用本典型时，要依据各单位的实际情况，选择适当的范围，不强求全面

采纳。

二、正常组织与治理

2．1正常机构

2．1．1单位最高领导必须主管计算机正常工作。

2．1．2建立正常组织：

2．1．2．1正常组织由单位要紧领导人领导，不能隶属于计算机运行或应用部

门。

2．1．2．2正常组织由治理、系统分析、软件、硬件、保卫、审计、人事、通

信等有关方面人员组成。

2．1．2．3正常负责人负责正常组织的具体工作。

2．1．2．4正常组织的任务是依据本单位的实际情况定期做风险分析，提出相

应的对策并监督实施。

2．1．3正常负责人制：

2．1．3．I确定正常负责人对本单位的计算机正常负全部责任。

2．1．3．2只有正常负责人或其指定的专人才有权存取和修改系统授权表及系

统特权口令。

2．1．3．3正常负责人要批阅天天的违章报告，操纵台操作记录、系统日志、

系统报警记录、系统活动统计、警卫报告、加班报表及其他与正常有关的材料。

2．1．3．4正常负责人负责制定正常培训谋划。

2．1．3．5要是终端分布在不同地点，因此各地都应有地区正常负责人，可设

专职，也能够兼任，并同意中心正常负责人的领导。

2．1．3．6各部门发现违章行为，应向中心正常负责人报告，系统中发现违章

行为要通知各地有关正常负责人。

2．1．4计算机系统的建设应与计算机正常工作同步进行。

2．2人事治理

2．2．1人员审查：必须依据计算机系统所定的密级确定审查标准。如：处理机

要信息的系统，接触系统的所有工作人员必须按机要人员的标准进行审查。

2．2．2要害岗位的人选。如：系统分析员，不仅要有严格的政审，还要考虑其

现实表现、工作态度、道德修养和业务能力等方面。尽可能保证这局限人员正

常可靠。

2．2．3所有工作人员除进行业务培训外，还必须进行相应的计算机正常课程培

训，才能进进系统工作。

2．2．4人事部门应定期对系统所有工作人员从政治思想、业务水平、工作表现

等方面进行考核，对不适于接触信息系统的人员要适时调离。

2．2．5对调离人员，特别是在不情愿的情况下被调走的人员，必须认真办理手

续。除人事手续外，必须进行调离谈话，申明其调离后的保密义务，收回所有

钥匙及证件，退还全部技术手册及有关材料。系统必须更换口令和机要锁。在

调离决定通知本人的同时，必须立即进行上述工作，不得拖延。

2.3正常治理

2．3，1应依据系统所处理数据的隐秘性和重要性确定正常等级，井据此采纳有

关典型和制定相应治理制度。

2．3．2正常等级可分为保密等级和可靠性等级两种，系统的保密等级与可靠性

等级能够不同。

2．3．2．1保密等级应按有关划为尽密、机密、隐秘。

2．3．2．2可靠性等级可分为三级。对可靠性要求最高的为A级，系统运行所

要求的最低限度可靠性为C级，介于中间的为B级。

2．3．3用于重要部门的计算机系统投进运行前，应请公安机关的计算机监察部

门进行正常检查。

2．3．4必须制定有关电源设备、空凋设备，防水防盗消防等防范设备的治理规

章制度。确定专人负责设备维护和制度实施。

2．3．5应依据系统的重要程度，设立监视系统，分不监视设备的运行情况或工

作人员及用户的操作情况，或安装自动录象等记录装置。对这些设备必须制定

治理制度，并确定负责人。

2．3．6制定严格的计算中心出进治理制度：

2．3．6．1计算机中心要实行分区操纵，限制工作人员出进与己无关的区域。

2．3．6．2规模较大的计算中心，可向所有工作人员，包括来自外单位的人员，

发行带有照片的身份证件，并定期进行检查或更换。

2．3．6．3正常等级较高的计算机系‘统，除采取身份证件进行识不以外，还

要考虑其他出进治理措施，如：安装自动识不登记系统，采纳磁卡、结构编码

卡或带有徽电脑及存储器的身份卡等手段，对人员进行自动识不、登记及出进

治理。

2．3．6．