文档介绍:信息系统管理办法
目录
第一章 用户和密码管理 3
第二章 网络安全管理 4
第三章 操作系统安全管理 4
第四章 数据安全管理 5
第五章 主机安全管理 5
第六章 终端安全管理 5
第七章 病毒防治 6
第八章 机房安全管理 7
第一章 用户和密码管理
第一条 对于网络设备、主机、操作系统、数据库、业务应用程序,系统用户都必须 通过用户和密码认证方可访问。
第二条 用户权限分为普通用户、 维护用户与超级用户三个级别。 普通用户为各应用
系统的使用者,维护用户为各层面系统维护者,超级用户为各层面的管理员用户。 第三条 具有重要权限的帐号密码设置必须符合以下安全要求 :
(一) 密码不得包含常用可以识别的名称或单词、 易于猜测的字母或数字序列或者
容易同用户发生联系的数据,比如自己、配偶或者子女的生日和姓名等容。
(二) 密码长度至少是六个字符, 组成上必须包含大小写字母、 数字、 标点等不同的字符。
(三) 如果数据库系统、 应用系统提供了密码安全周期机制, 则帐户密码必须至少
每 120 天修改一次。
(四) 同一密码不得被给定账户在一年重复使用。
(五) 如果数据库系统、应用系统提供了密码安全机制,则必须在 30 分钟之连续出现 5 次无效的登录尝试,其账户必须锁定 15 分钟。在此期间,超级用户可以采用经过批准的备用验证机制重新启用账户。
(六) 厂商默认密码必须在软件或硬件安装调试完毕后进行修改。
(七) 对于操作系统,必须禁用 GUEST 帐户,并将管理员帐户重命名。
第四条 密码保护与备份策略:
(一) 围:网络设备、服务器操作系统、数据库、应用系统、 ADSL 帐户拨号信息;
(二) 包含项目:网络设备包括访问的 IP 地址、端口,所有超级用户的用户名以及密码;
服务器操作系统的 IP 地址、所有管理员帐户名、密码;
数据库中所有具有系统数据库管理员权限的用户的用户名和密码;
应用系统中所有超级用户的用户名以及密码;帐户的用户名以及密码。
第二章 网络安全管理
第五条 需要全面、系统地考虑整个网络的安全控制措施,并紧密协调,一致实施, 以便优化公司 IT 系统运营。明确规定有关网络的规划、实施、运作、更改和监控的安全技术要求,对网络安全状态进行持续监控,保存有关错误、故障和补救措施的记录。
第六条 网络层次管理必须遵循以下要求:
(一) 应用系统所有者相关部门必须同集团信息管理部密切合作。
(二) 必须编制并保留网络连接拓扑结构。
第七条 网络管理员负责生产网络、办公网络的安全管理,网络管理员必须掌握网 络管理和网络安全方面的知识。
第八条 网络管理员必须使用安全工具或技术进行系统间的访问控制,并根据系统
的安全等级,相应的在系统的接入点部署防火墙等网络安全产品,保证网络安全。
第三章 操作系统安全管理
第九条 操作系统管理员由信息管理部领导指定专人担任。第十条 操作系统管理员主要责任包括:
(一) 对操作系统登录帐号