计算机安全管理规定

1、省联社一届二次社员大会会议材料之十八辽宁省农村信用社计算机安全管理规定（审议稿）第一章总则第一条 为提高计算机安全防范技术的水平，防范计算机犯罪和计算机病毒，保证计算机安全使 用，特制定本规定。第二条计算机安全管理是指：（一）保证系统正常运行，避免各种非故意的错误与损坏；（二）从技术上防止系统及数据被非法利用和破坏。第三条本规范适用于辽宁省农村信用社各类计算机系统。第四条计算机安全管理策略制定应该遵循下面原则：（一）提高领导者的安全意识，制定完善的制度。没有严格管理措施和管理制度,必然对计算机 信息系统安全构成严重威胁。（二）建立计算机安全检查机制。成立计算机信息系统安全机构，制定安全政策、系

2、统安全制度； 制定计算机信息系统安全标准，完善各项规范性文件，有计划地开展安全检查，保证制度的约束力（三）制定计算机信息系统安全培训计划，提高安全技术素质。（四）建立学术平台，开展计算机安全研究，培训高层次技术人才。（五）针对现行系统采取有效的措施，建立突发事件应急预案，并定期演练，提应急能力。第五条 计算机安全管理实行谁主管谁负责，安全教育与规章制度约束相结合，积极预防事件发 生和有效地应急处理相结合、安全管理和安全检查相结合的原则。职能部门与职责第六条 省联社负责全省农村信用社计算机安全工作的管理、监督、检查。第七条 各级机构要建立计算机安全领导小组，设组长与副组长，组长由主管科技领导担任

3、，副 组长由各专业部门负责人担任。负责其辖属单位计算机安全工作和领导专业部门安全小组工作。第八条计算机安全领导小组组长是本单位计算机安全工作负责人科技工作管理部门履行计算 机安全工作领导小组办公室职能，负责计算机安全领导小组日常工作。各级计算机安全工作领导小组对上一级计算机安全领导小组负责，受上一级计算机安全领导小组监督。第十条 计算机安全领导小组职责（一）对本单位的计算机信息系统安全负责；（二）组织制定、实施、监督和计算机信息系统安全管理规章制度；（3） 定期对辖区内计算机系统安全进行检查，发现问题提出有效整改措施，督促落实，检查执行结果，编制报告，报送上一级计算机安全领导小组；（4） 审阅

4、违章报告，运行日志和其它与计算机信息系统安全有关的材料，及时查处不安全因素；（五）协助公安机关侦破计算机犯罪案件；（六）加强科技管理人员安全意识教育，定期组织人员培训，（七）强化计算机安全管理；（八）其他与计算机信息系统安全相关的工作。第十一条安全负责人责任制（一）各级安全负责人对本单位的计算机安全负责；（二）只有安全负责人或其指定的部门或专人，才有权存取和修改系统授权及系统特权口令；（3） 安全负责人要审阅每天的违章报告，控制台操作记录、系统日志、系统报警记录、系统活动统计、警卫报告、加班报表及其他与安全有关的材料；（4） 若终端分布在不同地点，则各地都应有地区安全负责人，可设在职，也可以兼

5、任，并接受省联社的领导；（五）各部门发现违章行为，应向省联社安全组织报告;（六）计算机系统的建设应与计算机安全工作同步进行。第三章 人员管理第十二条人员须按照人力资源部门相关要求和辽宁省农村信用社科技工作管理规定，进行审查、教育、考核，并遵循如下原则：（一） 多人员负责原则。即从事每一项与计算机信息系统安全有关的工作必须有二人以上的人在场，并签署工作情况记录以证明安全工作已得到保障。（二）职责分离原则。1、程序员不得操作业务应用系统；2、操作员既不能编写也不能修改程序；3、信息系统安全性能的实现和维护工作必须是分立的，互不相同的二项工作；4、质量控制和审查工作应该分立。第十三条人员审查必须根据

6、计算机系统所定的密级确定审查标准。如处理机要信息的系统，接触系统的所有工作人员必须按机要人员的标准进行审查。第十四条关键岗位的人选,不仅要有严格的政审，还要考虑其现实表现、工作态度、道德修养和业务能力等方面。尽可能保证这部分人员安全可靠。第十五条 所有工作人员除进行业务培训I外，还必须进行相应的计算机安全课程培训，才能进入 系统工作。第十六条人力资源管理部门将定期对系统所有工作人员从政治思想业务水平、工作表现等方 面进行考核，对不适于接触信息系统的人员要适时调离。第十七条 对调离人员，特别是在不情愿的情况下被调走的人员，必须认真办理手续。除人事手 续外，必须进行调离谈话，中明其调离后的保密义务

7、，收回所有钥匙及证件，退还全部技术手册及有 关材料。系统必须更换口令和机要锁。在调离决定通知本人的同时,必须立即进行上述工作,不得拖 延。第十八条 计算机重要数据管理员亲属回避。计算机系统管理员和数据库管理员的直系亲属不得 操作系统，参与业务处理工作。第四章档案资料管理第十九条要制定严格的技术文件管理制度，计算机系统的技术文件如说明书、手册等应妥善保 存，要有严格的借阅手续，不得损坏及丢失。技术文件和磁介质备份保管期限按国家有关规定执行.第二十条应常备有关计算机系统操作手册规定的文件应常备计算机系统出现故障时的替代措 施及恢复顺序所规定的文件。第五章机房管理第二十一条设计或改建计算机机房时必须

8、符合计算机场地技术要求和计算机场地安全要求国 家标准。第二十二条网络中心机房建筑和结构应注意下列问题：（一）机房最好为专用建筑；（二）机房最好设置在电梯或楼梯不能直接进入的场所；（三）机房应与外部人员频繁出入的场所隔离；（四）机房周围应设有围墙或栅栏等防止非法进入的设施；（五）建筑物周围应有足够亮度的照明设施，以防夜间非法侵入；（六）外部容易接近的窗口应采取防范措施。如钢化玻璃、嵌网玻璃及卷帘和铁窗。无人值守时 应有自动报警设备；（七）应在合适的位置上开设应急出口，作为避险通道或应急搬运通道；（八）机房内部设计应便于出入控制和分区控制；第二十三条 各级机构应制定严格的网络中心出入管理制度，具体

9、包括：（一）网络中心要实行分区控制，限制工作人员出入与已无关的区域；（二）科技部可向工作人员，包括来自外单位的人员，发行带有照片的身份证件，并定期进行检 查或更换；（3） 安全等级较高的计算机系统，除采取身份证件进行识别以外，还要考虑其他出入管理措施，如安装自动识别登记系统，实行门禁管理；（四）短期工作人员或维修人员的证件，应注明有效日期，届时收回；（五）参加人员必须由主管部门办理参观手续，参观时必须有专人陪同；（六）因系统维修或其它原因需外国籍人进入机房时，必须始终有人陪同；（七） 进出口的钥匙应保存在约定的场所，由专人管理，并明确其责任。记录最初入室者及最后离室者和钥匙交换时间；（八）在无

10、警卫的场合，必须保证室内无人时，关锁所有出入口；（九）禁止携带与上机工作无关的物品进入机房；（十）对于带进和带出的物品，如有疑问，应进行查验。第二十四条计算机机房应制定各种其他管理制度,具体包括：（一）计算机机房进出管理制度；（二）计算机上机人员登记制度、计算机运行日志和权限、密码、口令管理制度；（三）计算机事故的报告制度；（四）计算机机房日常管理制度，其中包括危险品管理制度、消耗品管理制度、清洁管理制度；（五）计算机机房磁介质管理制度、数据备份及灾难恢复管理制度；（六）计算机机房设备维护制度；（七）计算机机房技术资料管理制度；（八）计算机机房数据查询、调阅管理制度。第二十五条网络中心外部不应

11、设置标明系统及有关设备所在位置的标志，安全设备除符合计算机场地安全要求标准外，还要注意以下几点：（一）机房进出口应设置应急电话；（二）各房间应设置报警嗽叭。以免由于隔音及空调的原因而听不到告警通知；（三）进出口设置识别与记录进出人员的设备及防范设备；（4） 机房内用于动力、照明的供电线路应与计算机系统的供电线路分开。实行双回路供电，配备不间断电源和发电机；（五）机房内不同电压的供电系统应安装互不兼容的插座；（六）应设置温、湿度自动记录仪及温、湿度报警设备；（七）主机及外设的电磁干扰辐射必须符合国家标准。第二十六条机要信息处理系统中要考虑防止电磁波信息辐射被非法截收，可采用以下方法：（一）可采取

12、区域控制的办法，即将可能截获辐射信息的区域控制起来，不许外部人员接近；（二）可采用机房屏蔽的方法，使得信息不能辐射出机房；（三）可采用低辐射设备；（四）可采取其他技术，使得难以从被截获的辐射信号中分析出有效信息；（五）关于屏蔽技术的具体要求和技术指标可向有关部门咨询。第六章 数据管理第二十七条对那些必须保护的数据要提供足够的保护:（一）数据使用必须有严格的存取控制措施和权限；（二）数据应有准确性和完整性检验方法；（三）数据应有不同介质的双备份和数据恢复功能，实行异地备份。第二十八条安全等级可分为保密等级和可靠性等级两种，系统的保密等级与可靠性等级可以不同，具体分类如下：（一）保密等级应按有关规

13、定划为绝密、机密、秘密；（二） 可靠性等级可分为三级。对可靠性要求最高的为A 级， 系统运行所要求的最低限度可靠性为 C 级，介于中间的为B 级。第二十九条各级单位应对数据按照密级进行管理，同时制定相应的规章制度。第七章 磁介质管理第三十条磁介质的存放（一）磁介质存放必须有专门磁介质库，并设专人负责管理，必须有出入库手续和记录；（二）重要的数据文件必须备份，与机房分离异地存放；需长期保存的磁介质，应定期翻录转储；（三）存有机要信息的磁介质，要保证信息不被非法重新复制。第三十一条系统安装要建立完备的记录，特别是重要系统软件和应用软件的磁介质的使用要有安装记录。第三十二条对重要应用系统要严禁在同一

14、台机器上安装两种操作系统，严禁在同一台机器上安装两种重要应用软件。第三十三条磁媒体管理（一）磁盘、磁带必须按照系统管理员及制造厂商确定的操作规程安装；（二）传递过程的数据磁盘、磁带应装在金属盒中；（三）新磁带在使用前应在机房经过二十四小时温度适应；（四）磁带、磁盘应放在距钢筋房柱或类似结构手 10CM以上处，以防雷电经钢筋传播时产生的 磁场损坏媒体上的信息；（五）存有机要信息的磁带清除时必须进行消磁，不得只进行磁带初始化；（六）所有入库的盘带目录清单必须具有统一格式，如文件所有者、系列号、文件名及其描述、作业或项目编号、建立日期及保存期限；（七）盘带出入库必须有核准手续并有完备记录；（八）长期

15、保存的磁带应定期转贮；（九） 存有记录机要信息磁带的库房，必须符合相应密级的文件保存和管理条例的要求，不得与般数据磁带混合存放;（十）重要的数据文件必须多份拷贝异地存放；（十一）磁带库必须有专人负责管理。第八章软件管理第三十四条 系统软件应具有以下安全措施（一）操作系统应有较完善的存取控制功能，以防止用户越权存取信息；（二）操作系统应有良好的存贮保护功能，以防止用户作业在指定范围的存贮区域进行读写；（三）操作系统应有较完善的管理功能，以记录系统的运行情况，监测对数据文件的存取；（四）维护人员进行维护时，应处于系统安全控制之下；（五）操作系统发生故障时，不应暴露口令、授权表等重要信息；（六）操作

16、系统在作业正常或非正常结束以后，应该清除分配给该作业的全部临时工作区域；（七）系统应能像保护信息的原件一样，精确地保护信息的拷贝。第三十五条应用软件（一）应用程序必须考虑充分利用系统所提供的安全控制功能；（二）应用程序在保证完成业务处理要求的同时，应在设计时增加必要的安全控制功能；（三）程序员与操作员应职责分离；（四）安全人员应定期用存档的应用程序与现行运行程序进行对照以有效地防止对程序的非法 修改。第三十六条数据库（一）数据库必须有严格的存取控制措施，库管理员可以采取层次、分区、表格等各种授权方式， 控制用户来保护数据库的存取权限；（二）通过实体安全、备份和恢复等多种技术手段来保护数据库的完

17、整性；（三）应对输入数据进行逻辑检验，数据库更新时应保证数据的准确性；（四）数据库管理员应实时检查数据库的逻辑结构、数据元素的关联及数据内容；（五）数据库管理系统应具有检查跟踪能力，可以记录数据库查询，密码利用率、终端动作、系 统利用率、错误情况及重新启动和恢复等；（六）数据库管理系统应能检测出涉及事务处理内容及处理格式方面的错误，并予以记录；（七）必须有可靠的日志记录。对数据完整性要求较高的场合要建立双副本日志分别存于磁盘 和磁带上以保证意外的数据恢复；（八）应建立定期转贮制度，并根据交易量的大小决定转贮频度；（九）数据库软件应具备从各种人为故障、软件故障和硬件故障中进行恢复的能力；（十）数

18、据库管理软件应能确定是否由于系统故障而引起了文件或交易数据的丢失；（十一）重要的系统应采取安全控制实时终端，专门处理各类报警信息；（十二）对于从日志或实时终端上查获的全部非法操作都应加以分析，找出原因及对策。第三十七条软件开发（一）软件开发的一切过程应按照国家有关标准要求进行软件需求，要相关的业务、技术人员 参与完成；（二）产品鉴定验收：鉴定验收是软件产品化的关键环节，必须给予足够的重视。提交鉴定的软 件产品，应具有上述标准中列出的各种产品文件。将鉴定会上提供的上述文件装订成册，编好页码目 录，作为技术档案，妥善保存。未经鉴定验收的软件，不得投入运行；（三）购买的软件应附有完整的技术文件。第三

19、十八条软件维护与管理（一）较重要的软件产品，具技术档案应复制副本，正本存档，不准外借；（二）软件产品除建立档案文件外，其源文件应记在磁盘或磁带上，并编写详细目录，以便长期 保存；（三）重要的软件，均应复制两份，一份作为主拷贝存档，一份作为备份；（四）对系统软件的维护和二次开发要慎重，必须事先对系统有足够的了解；（五）对软件进行维护和二次开发前，必须写出书面申请报告，经有关领导批准，方可进行；（六）在维护和二次开发中，必须有详细的规范化的书面记载，主要记载修补部位，修改内容, 增加功能，修改人，修改日期等，以便查找或别人接替；（七）二次开发只能在系统软件的副本上进行；（八）对软件的任何修改都必须

20、有文字记载，并与修改前后的软件副本一起并入软件技术档案, 妥善保存；（九）对软件的修改必须保证不降低系统的安全性。第九章输入输出控制第三十九条 数据在投入使用前，必须确保其准确可靠，可采用各种方法进行检查。可以设置独 立于用户和数据处理部门两者的管理小组，以监督和指导进入或离开数据处理中心的数据。第四十条输入控制（一）对操作人员制定明确而严格的输入数据的操作制度和规程；（二）向操作人员提供完整的操作指南；（三）处理数据的前端设备应有保密措施；（四）操作人员必须严格遵循口令使用规则；（五）应建立一个整齐、清洁、安静的操作环境。第四十一条输出控制（一）输出控制应有专人负责；（二）输出文件应设有审批

21、制度；（三）输出文件的使用应有完备手续；（四）输出文件必须有可读的密级标志，等级标志必须与相应文件在整个处理环节中同时生存;（五）输出文件在发到用户之前，应由数据处理部门进行审核；（六）计算机系统运行日志应有专人定期审核，打印的日志应完整而连续，不得拼接。第四十二条 明确系统各环节工作人员的责任：（一）系统及程序设计人员与操作人员必须分离；（二）重要事务处理项目，必须规定由合法文件的法定人提交；（三）修改文件必须规定批准和执行的手续；（四）工作期间至少应有二人在机房值班，以防止非法使用计算机；（五）保存控制台打印记录；（六）制定统一的数据格式并尽可能使用统一编码。第四十三条操作控制对操作人员制

22、定有关处理输入数据的操作制度的规程必须建立一个整齐、清洁、安静符合生理 卫生要求的操作环境，以减少操作失误。严格规定媒体管理制度，以防止媒体中数据的破坏和损失。 向操作人员提供完整的操作指南。以便掌握有关作业安排，作业优先级分配，建立和控制作业，规定 场所安全措施和作业运行等的合理规程。需要保存的数据文件必须有完备的记录，存入符合要求的媒 体库中。充分利用作业统计功能提供的信息。处理机要数据的终端室各终端，可以考虑隔离，以防各 用户互相偷看。第十章操作管理第四十四条 制定严格的操作规程系统操作人员应为专职，操作时要有二名操作人员在场。严格执行重要工作双人监督程序。第四十五条对系统开发人员和系统

23、操作人员要进行职责分离。第四十六条 制定系统运行记录编写制度，系统运行记录包括系统名称、姓名、操作时间、处理 业务名称、故障记录及处理情况等。第四十七条制定完备的系统维护制度对系统进行维护时，应采取数据保护措施。如数据翻录、抹除、卸下磁盘磁带，维护时安全人员 必须在场等。远程维护时，应事先通知，且必须建立完整的维护记录档案。第四十八条 对系统进行预防维修或故障维修时，必须记录故障原因、维修对象、维修内容和 维修前后状况等。第十一章联机处理管理第四十九条联机系统应该确定系统安全管理员，对系统安全负责。第五十条用户识别（一）必须充分利用系统提供的技术手段；（二）必须对口令的产生、登记、更换期实行严

24、格管理，研究和采用多种口令密码方式；（三）口令应加密存贮；（四）系统能跟踪各种非法请求并记录某些文件的使用情况；（五）若错误的口令被连续地使用若干次后，系统应采取相应措施；（六）教育用户必须遵循口令的使用规则；（七）系统应能识别终端，以查出非法用户的位置。第五十一条 证件识别，可使用磁条、金属结构或微型芯片制成的卡式证件对用户进行识别。特征识别，采用专门设备检验用户具有的物理特征。如指纹。第五十二条 需要保护的数据和软件必须加有标志，在整个生存期，标志应和数据软件结合在一 起，不能丢失。第五十三条 计算机通信线路安全问题。通信线路应远离强电磁场辐射源,最好埋于地下或采用 金属套管。通信线路最好

25、铺设或租用专线。定期测信号强度，以确定是否有非法装置接入线路;定期 检查接线盒及其他易被人接近的线路部位。第五十四条 传输需要保密的数据，应该加密保护；需要长期保存的机要文件，应加密后保存; 系统应建立完善的密钥产生、管理和分配系统；所有数据应由数据主管部门负责划分密级，密级确定 后交数据处理部门进行分类处理根据数据处理的密级和保密时效的长短选择相应强度的密码算法， 既不能强度太高，过多增加系统开销，又不要强度太低，起不到保密效果。不要扩大加密的范围。对 于可加密不可加密的数据，不要加密；对于密钥管理人员要尽可能地缩小范围,并严格审查；定期对 工作人员进行保密教育。第五十五条 当系统密级发生变

26、化，特别是密级降低时，应用特定的方法清除全部磁存贮器，用 停电的方法清除非磁存贮器。第五十六条 计算机系统必须有完整的日志记录，具体包括：每次成功的使用，记录节点名、用 户名、口令、终端名、上下机时间、操作的数据或程序名操作的类型、修改前后的数据值;用户每 次越权存取的尝试，记录节点名、用户名、终端名、时间、欲越权存取的数据及操作类型、存取失败 的原因；每次不成功的用户身份，记录节点名、用户名、终端名、时间。第五十七条还要注意以下几点要求：（一）操作员对越权存取应通过控制台进行干预；（二）打印出的日志应完整而连续，不得拼接；（三）重要的日志应由安全负责人签名，规定保存期限；（四）对特定的终端设

27、备，应限定操作人员。第十二章网络安全管理第五十八条网络安全比单系统或联系统更为重要。如果没有必要的安全措施，网络不能正式投 入使用。第五十九条 重要部门的计算机网络应设立全网管理中心，由专人实施对全网的统一管理、监督 与控制，不经网络主管领导同意，任何人不得变更网络拓扑、网络配置及网络参数。第六十条 网络安全可从实际出发，分阶段、分层次逐步完善。应首先考虑采用存贮加密、传输 加密、存取控制、数字签名及验证等安全措施。第六十一条以公用数据网作为通信子网的各重要部门的计算机网络应设置闭合用户组等限制 非法外来或外出访问措施，确保网络安全。第十三章安全监督检查第六十二条安全监督检查应贯彻落实在系统建设各个阶段：（一）在系统设计阶段就应有安全人员参加，以评价系统设计是否满足安全要求；（二）在系统设计中增加安全控制以后，要重新评价系统，以保证系统功能不退化。系统安全控 制包括：实体控制；系统控制；管理控制；（三）