完善网络安全管理制度

1、精品文档完善网络安全管理制度*县人民政府网络安全管理制度2018年8月修订前言本文档制定了信息系统的总体方针和策略， 是网络信息安全工作的最高层的安全文件，是所有网络安全 行为的指导方针，规范信息系统生命周期相关活动的安全管 理制度则以安全方针政策为指导。该文档阐明了机构信息安全工作的使命和意愿、定义信息安 全的总体目标、规定信息安全责任机构和职责、建立信息安 全工作运行模式等，以保证信息安全工作的正确执行，也是 建立完整的安全体系最根本的基础。本文档的编制参照了以下国家、中心的标准和文件：（一） 中华人民共和国计算机信息系统安全保护条例（二）关于信息安全等级保护建设的实施指导意见（信息运安

2、200927号） （三）信息安全技术 信息系统安全 等级保护基本要求（GB/T 22239-2008）（四）信息安全技术信息系统安全管理要求（GB/T 20269 2006）（五）信息系统等级保护 安全建设技术方案设计要求（报批稿）（六）关于开展信息安全等级保护安全建设整改工作的指导意见（公信安20091429 号）目 录 系统安全管理制度1附件一：计算机信息系统安全管理员工作职责6网络安全管理制度系统（设备）变更登记表 理制度申请/登记表制度中心系统用户责任与义务 统管理员责任与义务 故障应急预案全相关工作流程图8附表二：12机房管 13附表三：出入机房 - 18账户及口令管理 19附件四：

3、信息 26附件五：系 27网络安全 28网络安35系统安全管理制度一、总则为保障计算机系统、网络系统安全、 稳定、有效运行，提高计算机系统、网络系统安全运行管理 的科学化、规范化水平，特制定本办法。1、本办法所涉及的范围包括：办公网内的所有计算机（包 括服务器、网络设备、办公电脑、笔记本电脑）及所涉及到 的所有网络。2、*县人民政府信息中心（以下简称“信息中心”）负责本 单位的信息系统、网络系统的安全管理工作。任何部门和个 人，未经有关领导或信息中心同意，不得擅自安装、拆卸或 改变信息中心信息设备及网络结构。3、外来设备（计算机、存储等）严禁接入业务网，如有需 要接入，应由信息中心提供接入设备

4、（计算机、存储等）。4、信息中心员工必须严格遵守本办法。二、基本要求1、*县人民政府网络只供政府机关内部使用，任何内部使用的 数据传输，未经过信息中心批准，不得进入信息中心的网络。2、任何人不得以各种手段破坏、阻碍、修改或窃取信息中 心网络正常传输的数据，不得对信息中心的各种网络设备和 系统软件进行攻击和非法侵入。3、任何人不得利用本信息中心网络从事违反国家法律法规 和信息中心有关规章制度的活动，严禁在互联网上散布反动、 煽动、误导等言论，不得登陆非法、反动等政府禁止的网站。4、依据“谁主管，谁负责”、“谁使用，谁负责”的原则明 确安全责任。三、网络及服务器管理1、信息中心网络的拓扑结构和设备

5、 接入由信息中心负责，任何部门、个人未经信息中心批准， 不得随意增加、减少和更改网络及设备的接入点和接入方式， 管理员职责见附表一。2、信息中心网络IP地址的分配由信息中心统一规划并登记， 任何人不得随意更改。3、所有服务器、网络设备等要设置登陆密码，删除不需要 的用户，在满足运行需要的前提下，采用最小化用户权限分 配原则，禁用不必要的系统服务。4、严禁在工作时间内修改服务器或网络设备的配置，或是 进行系统升级、线路切换等可能影响工作的操作。5、严禁在服务器上运行无关的软件程序。四、计算机及存储设备管理1、信息中心遵循权限最小原则 为个人计算机设置用户权限。超级用户权限由信息中心统一 使用。2

6、、外来计算机原则上不允许接入办公网。对于需要接入办 公网络的计算机，经信息中心批准后，信息中心首先进行严 格的安全检查，确认不存在安全隐患后，由专人负责接入。3、由信息中心人员每周不定时抽查部分部门的计算机安全 情况，并形成记录。4、外来计算机要在信息中心人员的安排下，在指定的地点 使用，使用的时候要由专人陪同。5、外来计算机必须装有有效的杀毒软件和防火墙。6、外来存储设备使用前必须进行严格的病毒检测，确认不 存在安全隐患方可使用。7、新购进或送出维修后的计算机及其设备，须经信息中心 检测后，方可安装运行，防止病毒的侵害。8、禁止在信息中心办公网计算机上使用来历不明、可能导 致病毒传染的软件。

7、使用类似软件需经信息中心安全管理员 认可，在使用前应对其进行病毒扫描。9、办公网用户应谨慎接收电子邮件，从网络上接受电子邮 件时要进行病毒查杀。10、对员工使用的办公或个人电脑应该符合下列要求：（1）禁止同一计算机既接入生产网又接入互联网。（2）接入生产网的设备需设置开机口令，长度不得少于8 个字符，并定期更换，防止口令被盗。（3）安装正版杀毒防护软件，并及时进行升级，及时更新 操作系统补丁程序。（4）未经信息中心或信息中心允许，不得修改个人上网IP 地址、网关、DNS服务器等设置。（5）禁止将办公计算机带到与工作无关的场所；确因工作需要携带有重要信息的电脑外出的，必须确保重要 信息的安全。1

8、1、办公网内的个人计算机设备上360安全卫士，进行插件 管理、木马查杀，以及进行其它Windows平台下软件更新与 漏洞修复工作。12、办公网内的个人计算机设备统一从信息中心的杀毒服务 器上安装受控杀毒软件客户端，由病毒服务器统一配置策略， 设置为自动扫描、自动更新病毒库，并定于每周自动进行全 盘扫描。13、若需安装其它杀毒软件，需经过信息中心负责人同意并 由信息中心人员进行安装，同时应保证病毒库的及时更新。14、办公网内的个人计算机设备需开启Windows软件自动更 新功能，以完成微软安全补丁程序的安装。不能自动更新时 需人工安装，可通过360安全卫士的修复漏洞功能完成。15、办公计算机及相

9、关设备报废时，应由信息中心拆除存储部件，由信息中心按有关要求统一销毁，同时作好备案登记。 严禁各部门自行处理报废计算机。16、接入业务网的柜员机要避免使用移动存储设备进行数据 拷贝。因工作需要必须使用的，要严格遵守设备专用的原则。 用于拷贝数据的存储设备在写入、读取前必须进行病毒查杀， 确保设备无安全隐患。五、违约责任与处罚1、违反本办法的规定，根据情节及后 果的严重情况，对违规人员给予相应的处理。2、故意输入计算机病毒，造成信息中心网络故障的，信息 中心将提交至相关管理部门。3、信息中心任何部门或个人违反本管理办法，给信息中心 造成损失及不良影响的，均应承担责任，进行处理。附表一：计算机信息

10、系统安全管理员工作职责 附表一：计算机信息系统安全管理员工作职责一、为了加强对计 算机信息系统的安全保护，根据中华人民共和国计算机信 息系统安全保护条例、中华人民共和国计算机信息网络国 际联网管理暂行条例、计算机信息网络国际联网安全保护 管理办法和其他法律行政法规的规定，特制定本制度。二、严格遵守信息安全保密制度，不得泄露操作系统、数据 库的系统管理员帐号、密码，切实保障系统安全。合理配置 操作系统、数据库管理系统所提供的安全审计功能，以达到 相应安全等级标准。关闭与应用系统无关的所有网络端口， 制定严格的网络安全策略机制，防止非法用户的侵入。 及时安装正式发布的系统补丁，修补系统存在的安全漏

11、洞， 防止系统遭受各种恶意攻击。启用系统提供的审计功能，监 测系统运行日志，掌握系统运行状况。三、加强口令密码、密钥安全管理。严格按照相关规定 设 置符合安全保密策略的口令密码并定期或不定期进行更 换。 严格按照安全保密机制对所用密钥生命周期的全过程（产生、 存储、分配、使用、废除、归档、销毁）进行管理。密钥应 作为绝密数据保管，必须通过机要渠道传递或采用加 密通 信方式网内分配。密钥必须定期更换，对已泄露或怀疑 泄 露的密钥应及时废除，旧密钥必须安全归档。密钥备份是针 对主要密码设备和保密工作人员的意外事件而采取的必要 措施，密钥副本的保存必须是物理安全的。要有在紧急情况 下销毁密钥的手段和

12、措施，以防密钥丢失。四、加强信息系统的安全监测。安全管理人员要制定各 种 紧急情况应对方案并经常监测、分析计算机信息系统运行状 况，切实提高信息系统的安全效能。要协助业务操作人员审 查业务处理结果，发现问题应及时查明原因。对不能确认的 异常现象，必须向计算机安全管理部门报告。要对计算机信 息系统安全运行的监测记录及其分析结果严格管理，未经 相关领导许可不得对外发布或引用。五、重大安全事件和应急处理。确认计算机信息系统出现重 大安全事件，必须果断采取控制措施，立即报告相关安全工 作领导小组并逐级如实上报计算机安全主管部门。重大安全 事件发生后，协助有关人员保护事件现场，积极协助安全事 件的调查，

13、做好善后处理工作。重大安全事件的处理情况， 安全管理员必须形成书面材料，报告上级计算机安全主管部 门。六、定期对信息安全工作进行巡检，并在其他业务管理员的 协助下建立完整的安全巡检报告。要根据信息系统安全 需 求及网络系统建设的发展，提出网络系统安全整改意见和实 施方案。网络安全管理制度一、总则为了确保信息中心计算机 信息网络的安全、保密运行，根据中华人民共和国信息系 统安全保护条例、中华人民共和国计算机信息网络国际联 网管理暂行规定及保密工作的有关规定，结合我院计算机 信息网络使用情况，特制定如下管理办法。二、适用范围 适用于信息中心计算机网络方面的管理。三、计算机设备管理制度1、计算机的使

14、用部门要保持清 洁、安全、良好的计算机设备工作环境，禁止在计算机应用 环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备 安全的物品。2、非本单位技术人员对我单位的设备、系统等进行维修、 维护时，必须由本单位相关技术人员现场全程监督。计算机 设备送外维修，须经有关部门负责人批准。设备用户变更时， 须填写系统（设备）变更登记表（附表二）。3、严格遵守计算机设备使用、开机、关机等安全操作规程 和正确的使用方法。任何人不允许带电插拨计算机外部设备 接口，计算机出现故障时应及时向电脑负责部门报告，不允 许私自处理或找非本单位技术人员进行维修及操作。四、操作员安全管理制度1、操作代码是进入各类应用系

15、统进行业务操作、分级对数据存取进行控制的代码。操作代 码分为系统管理代码和一般操作代码。代码的设置根据不同 应用系统的要求及岗位职责而设置；2、系统管理操作代码的设置与管理（1）系统管理操作代码必须经过经营管理者授权取得；（2）系统管理员负责各项应用系统的环境生成、维护，负 责一般操作代码的生成和维护，负责故障恢复等管理及维护;（3）系统管理员对业务系统进行数据整理、故障恢复等操 作，必须有其上级授权；（4）系统管理员不得使用他人操作代码进行业务操作；（5）系统管理员调离岗位，上级管理员（或相关负责人） 应及时注销其代码并生成新的系统管理员代码；3、一般操作代码的设置与管理 （1）一般操作码由

16、系统 管理员根据各类应用系统操作要求生成，应按每操作用户代 码设置。（2）操作员不得使用他人代码进行业务操作。（3）操作员调离岗位，系统管理员应及时注销其代码并生 成新的操作员代码。4、密码与权限管理制度 （1）密码设置应具有安全性、 保密性，不能使用简单的代码和标记。密码是保护系统和数 据安全的控制代码，也是保护用户自身权益的控制代码。密 码分设为用户密码和操作密码，用户密码是登陆系统时所设 的密码，操作密码是进入各应用系统的操作员密码。密码设 置不应是名字、生日，重复、顺序、规律数字等容易猜测的 数字和字符串；（2）密码应定期修改，间隔时间不得超过一个月，如发现 或怀疑密码遗失或泄漏应立即

17、修改，并在相应登记簿记录用 户名、修改时间、修改人等内容。（3）服务器、路由器等重要设备的超级用户密码由运行机 构负责人指定专人（不参与系统开发和维护的人员）设置和 管理，并由密码设置人员将密码装入密码信封，在骑缝处加 盖个人名章或签字后交给密码管理人员存档并登记。如遇特 殊情况需要启用封存的密码，必须经过相关部门负责人同意， 由密码使用人员向密码管理人员索取，使用完毕后，须立即 更改并封存，同时在“密码管理登记簿”中登记。（4）系统维护用户的密码应至少由两人共同设置、保管和 使用。（5）有关密码授权工作人员调离岗位，有关部门负责人须 指定专人接替并对密码立即修改或用户删除，同时在“密码 管理

18、登记簿”中登记。5、数据安全管理制度 （1）存放备份数据的介质必须具 有明确的标识。备份数据必须异地存放，并明确落实异地备 份数据的管理职责；（2）注意计算机重要信息资料和数据 存储介质的存放、运输安全和保密管理，保证存储介质的物 理安全。（3）任何非应用性业务数据的使用及存放数据的设备或介 质的调拨、转让、废弃或销毁必须严格按照程序进行逐级审 批，以保证备份数据安全完整。（4）数据恢复前，必须对原环境的数据进行备份，防止有 用数据的丢失。数据恢复过程中要严格按照数据恢复手册执 行，出现问题时由信息中心门进行现场技术支持。数据恢复 后，必须进行验证、确认，确保数据恢复的完整性和可用性。（5）数

19、据清理前必须对数据进行备份，在确认备份正确后 方可进行清理操作。历次清理前的备份数据要根据备份策略 进行定期保存或永久保存，并确保可以随时使用。数据清理 的实施应避开业务高峰期，避免对联机业务运行造成影响。（6）需要长期保存的数据，数据管理部门需与相关部门制 定转存方案，根据转存方案和查询使用方法要在介质有效期 内进行转存，防止存储介质过期失效，通过有效的查询、使 用方法保证数据的完整性和可用性。转存的数据必须有详细 的文档记录。（7）非本单位技术人员对本信息中心的设备、系统等进行 维修、维护时，必须由本信息中心相关技术人员现场全程监 督。计算机设备送外维修，须经设备管理机构负责人批准。 送修

20、前，需将设备存储介质内应用软件和数据等涉经营管理 的信息备份后删除，并进行登记。对修复的设备，设备维修 人员应对设备进行验收、病毒检测和登记。（8）管理部门应对报废设备中存有的程序、数据资料进行 备份后清除，并妥善处理废弃无用的资料和介质，防止泄密。（9）运行维护部门需指定专人负责计算机病毒的防范工作， 建立本单位的计算机病毒防治管理制度，经常进行计算机病 毒检查，发现病毒及时清除。（10）营业用计算机未经有关部门允许不准安装其它软件、 不准使用来历不明的载体（包括软盘、光盘、移动硬盘等）。附表二：系统（设备）变更登记表 附表二： 系统（设备）变更登记表申请时间： 经办人： 计划变更时间：变更

21、事由 申请变更内容 变更项目 原设备（系统）现设 备（系统）部门领导审核意见 年 月日 主管领导审核意见 年 月 日 机 房管理制度一、总则1、本暂行规定所指机房是安装小型 机和服务器、网络通信设备、UPS电源、机房监控设备等关 键电子设备的区域。2、机房工作人员一般为系统管理员、 数据库管理员、网络管理员、机房管理人员。 二、机房 出入制度1、除机房工作人员外，其他人员未经批准不得进 入机房。2、进入机房人员须进彳丁机房出入登记（附表三）， 外来人员进入机房需填写机房出入申请表，经相关领导审批 通过后方可由机房管理人员陪同进入，机房管理员需全程陪 同并监控其访问范围。3、未经批准不得引领无关

22、人员参观机房。 三、机房工作 制度1、机房工作人员要严格遵守操作规程，不在主机上进 行与业务无关的操作。 机房管理人员应注意机房的温度和 湿度，使温度在205C,相对湿度45%65%。2、机房内要防尘和清洁，进入机房需更换拖鞋或穿戴鞋套。 机房内要保持安静、严禁大声喧哗。3、机房内要保持整 洁，物品摆放有序，未经机房管理人员允许不得随意移动位 置。 4、禁止将与工作无关的物品带入机房。 5、机房 内严禁吸烟、进食、喝水。 6、机房内严禁玩电子游戏和 擅自安装非法软件。配备UPS及应急电池，并保证无人看守 的电力供应；严禁在机房内私自配接电器；UPS应妥善保养，每3个月放电一次。四、机房硬件设备

23、使用与管理1、请外单位人员调试、维修机房设备和维护系 统软件，需经主管领导批准并对操作内容进行详细记 录。 2、机房内所有设备须进行登记，设备进出机房须经 主管领导批准并办理有关手续。3、开启、关闭设备应严格按照操作规程进行，遇异常情况要及时报告系统管理人员， 其它人员不得轻率处理。系统管理员负责服务器的开关机操 作，操作完成后填写服务器开关机记录表，除安装调试 或者例行维护外，服务器不得频繁开关机。服务器维护应安 排在非工作时间段进行。4、严禁带电插拔信号线、连接线，严禁擅自拆装设备。5、接插计算机设备的电源时，要确保三项插头对正电源插座后再插入。应先将电源线插入 电源插座后再接插计算机设备

24、。6、机房设备应贴有明显的不易去除的标签。定期对机房内的计算机设备、软件、存 储介质、资料和工具进行检查、核对，并列明清单，以便于 审计。保持设备清洁，定期进行设备维护。7、定期检修 信息设备及附属设施。检修的项目涉及服务器、交换机、集 线器、中继器、路由器、防火墙、配线架、网线、UPS电源、 电池等公用网络实体。在出现异常征兆或故障情况下可进行 临时检修。临时检修包括检查、分析、确定故障设备或故障 部位，并进行应急维修。五、机房安全应急措施1、停电处理。（1）工作时间内市电停电，机房的UPS电源可以自动给机 房设备提供不间断电源。如果UPS电源未正常启动，应及时 报修并监视UPS电源的放电状

25、态，在达到放电临界点前，要 通知所有用户断开与机房主机等设备的联接，然后按操作规 程规定的顺序关闭小型机、服务器、网络通信设备等机房内 的一切用电设备，最后关闭UPS电源。 （2）双休日、节 假日市电停电，机房的UPS电源可以自动给机房设备提供不 间断电源。除了通讯系统、门禁系统外，按操作规程规定的 顺序关闭小型机、服务器、网络设备。（3）机房值班员要密切监视机房环境状况，当机房温、湿度超过规定的指标 时，要通知所有用户断开与机房主机等设备的联接，然后按 操作规程规定的顺序关闭小型机、服务器、网络通信设备、 UPS电源等机房内的一切用电设备。2、有异常的烟雾、味道、声响机房值班人员应立即通知部

26、门负责人和有关人员，查明原因，并采取相应的解决措施。绝不允许麻痹大 意，未查明异常情况的原因就放弃检查，以免留下事故隐患。 3、发生火灾 保持冷静，机房专用气体消防设备 会自动启动灭火，值班人员应按规定采取必要的处置措施。 如消防设备未正常自动启动，应手动将消防灭火设备打开或 按操作规程使用手工灭火设备。立即向部门负责人和公司领导报告。同时拨打119报警电话，说清机房的地理位置， 设备性质为高级计算机设备，不宜用水来灭火。 灭火时注 意保护计算机设备，注意抢救重要的信息载体。 若火势太 大应首先保证工作人员人身安全，安排人员从消防通道撤离 现场。 4、被盗。应立即通知部门及公司领导，情况严重应

27、报告公安部门，注 意保护好现场。六、机房事故报告制度1、出现计算机事故后，机房值班人员要立即向系统管理员、信息技术部领 导汇报事故情况。2、在找到解决问题的办法后，值班人员首先按照系统管理员指令，解决问题，将事故控制住，使 其不再发展。 3、根据事故大小、影响情况不同，分别汇 报系统管理员、处领导，同时作好各个部门的反馈记录和事 故报告。4、事故报告内容包括：事故发生的时间、地点； 发生事故的现象、硬件状态、软件应用状态、网络通讯状态、 供电状态、环境、温度状态、报警装置状态等，以及事故前 后的操作步骤；现场处理涉及的相关人员、到过现场人员、事故造成的影响 和后果等。 5、机房人员填写的事故报

28、告，是作为事故的 第一目击，要求记录尽量详实，重点记录观察到的现象及相 关情况。六、附则1、暂行规定由运维部负责解释。2、本暂行规定自发布之日起实施。附表三：出入机房申请/登记表 附表三：出入机房申请/登记表 申请部门（出入人员管理单位）出入人员：联系电话：事由：出入机房名称：进入机房时间：预计停留时间：是否携带物品：口是否物品名称：审批人签字：陪同人员签字：离开机房：离开机房时间：是否携带物品（设备）物品（设备）名称带出理由：机房设备等是否正常是否 进入机房人员签字陪同人员签字：时间年月 日账户及口令管理制度一、总则本条例为信息中 心各网络系统的用户帐号及口令的使用、维护及处罚的依据。二、适

29、用范围1、适用于信息中心范围内的各网络系统，包 括但不限于各种操作系统，路由器，交换机，数据库，营业、 帐务等业务应用系统等。2、本规定适用信息中心系统的用户，包括但不限于数据库 系统管理员、业务系统管理员、网络管理员、业务系统使用 人员、个人计算机使用者、合作软件开发商、系统集成商等。 同样适用于信息中心范围内所有使用个人计算机及网络的 员工。三、名词解释1、授权用户：（1）信息中心内部人员：指与信息中心签定“员工聘用协 议书”，属于信息中心的正式员工；（2）使用信息中心网络资源的非信息中心人员：指临时到 信息中心工作不与信息中心签定“员工聘用协议书”的人员， 包括但不限于开发商、集成商、供

30、应商、顾问、合作人员、 实习生、临时工、信息中心外包业务人员等，这类人员不是 正式员工，不进入信息中心的人力资源管理系统。2、帐号（1）帐号：指在系统内设定的可以访问本系统内 部资源的ID或其他许可形式；（2）管理员帐号：指在系统中具有较大的权限，对网络的 运行和安全具有巨大影响的帐号，典型用户为系统管理员；（3）超级管理员帐号：指对系统具有超级权限的帐号，包 含但不限于UNIX的ROOT，WINNT的administrators组成员， 数据库的DBA等用户；（4）公用帐号：指供一组人使用的帐号，其合法使用人限 于一个组内；（5）匿名帐号：只供不确定人员使用的帐号，多用于通过 INTERNE

31、T的访问。3、口令（1）口令：指系统为了鉴别帐号使用人的身份而 要求使用人提供的证据，如在数据库系统的口令，NOTES系 统的帐号文件及帐号口令；（2）健壮口令：具有足够的长度和复杂度，难于被猜测的 口令；（3）弱口令：仅由字母、单词、数字或其简单的组合，易 于猜测的口令。四、帐号设立1、系统要求（1）信息中心所使用的操作系 统、业务系统、数据库、网络设备等均需要支持基于帐号的 访问控制功能；（2）所有需要使用口令的应用软件、业务软件都需要对口 令文件提供妥善的保护。2、帐号申请原则（1）只有授权用户才可以申请系统帐号；（2）任何系统的帐号设立必须按照第七章规定的相应流程 规定进行；（3）员工

32、申请帐号前应该接受适当的培训，以确保能够正 常的操作，避免对系统安全造成隐患；（4）帐号相应的权限应该以满足用户需要为原则，不得有 与用户职责无关的权限；（5）对于确因工作需要而必须申请系统帐号的XXX外部人 员，则必须经部门主管批准，且有XXX正式员工作为安全责 任人，如果需要接触XXX秘密信息，必须通过安全中心审批 并且签署保密协议；（6）任何系统的帐号必须是可以区分责任人，责任人必须 细化到个人，不得以部门或个人组作为责任人。3、公用帐号（1）系统应当严格限制开设公用帐号，一般 情况下公用帐号不得具有访问保密信息和对系统写的权限；（2）公用帐号应该设立责任人，负责帐号的正常使用及维 护。

33、4、匿名帐号（1）匿名帐号只被允许访问系统中可公开的 且对XXX有益的资源，不得访问任何内部公开及以上秘密等 级的资源；（2）对匿名用户对系统的访问必须有详细的记录。五、口令设立1、口令的生成（1）系统帐号分配时必须同 时生成相应的口令，并且与帐号一起传送给用户；（2）用户在接受到帐号和口令后，必须马上修改口令，任 何时间都不得存在没有口令的帐号，除非该帐号已经失效；（3）对于系统的帐号验证只有口令作为证据的系统，如果 帐号名由确定的且公开的规则产生的，则口令不应当为公开 的口令；（4）管理员在传递帐号和口令时，应当采取加密或其他安 全的传输途径，以保证口令不会被中途截取。2、口令设立的原则（

34、1）帐号口令必须是具有足够的长度 和复杂度，使口令难于被猜测；（2）帐号口令必须是在必要时间或次数内不循环使用；（3）帐号的各个口令之间应当是没有直接联系的，以保证 不可由以前的口令推知现在的口令；（4）帐号的前后两个口令之间的相同部分应当尽量减少， 减低由前一个口令分析出后一个口令的机会；（5）帐号的口令不应当取有意义的词语或其他符号，如使 用者的姓名、生日或其它易于猜测的信息。3、口令的最低标准（1）普通用户口令长度不得低于6位， 最近6个口令不可重复，口令中必须包含字母和数字；（2）管理员和超级管理员帐号口令长度不得低于6位，最 近10个口令不可重复，口令中必须包含字母和数字，口令 中同

35、一个符号出现不得多于2次，各个口令中相同位置的字 符相同的不得多于3个，口令不得为有意义的单词或短语。六、变更与取消1、帐号的使用（1）任何帐号的使用人只 限于申请帐号过程中声明的使用人使用，禁止其他人使用此 帐号；（2）帐号系统正式使用前，必须更改原来系统中的缺省帐 号的所有口令，以保证正式环境的安全；（3）帐号使用人在使用的过程中，不得使用帐号访问与自 己工作无关的资源。2、帐号的权限变更（1）帐号使用人在工作职责发生转变， 造成现有职责与原有的在系统中的职责不同时，应当申请权 限的修改；管理员发现用户具有工作不需要的权限，可以直接停止多余 的权限；（2）帐号使用人在工作职责发生转变，而不

36、再需要使用系 统资源的情况下，应当申请关闭帐号；对不能关闭的帐号则需要转移帐号的责任人。3、口令的修改（1）帐号的使用人应当定期修改帐号口令， 修改口令的间隔应小于本标准的相关规定，对于本标准没有 规定的用户，其间隔应当小于6个月；（2）帐号用户必须在管理员要求更改口令时进行更改口令; 如果用户拒绝配合，管理员可以在通知用户及其主管后，关 闭用户的帐号，以保证系统的安全；（3）帐号用户丢失或遗忘口令，必须通过规定的流程向管 理员申请初始化口令，用户在接到回执后，应马上更改口令;（4）帐号用户要求口令修改的方式必须是可以确保用户身 份的，且管理员必须有记录；（5）管理员不可在没有用户申请的时候私

37、自更改用户帐号 的口令，除非XXX安全中心需要；（6）系统的超级管理员帐号的口令属于系统最高机密，应 该严格限定使用范围；其他人员确因工作需要而使用超级管理员帐号和口令的，应 当向超级管理员帐号和口令的责任人申请口令，并在完成操 作后，由责任人更改口令。4、帐号的取消（1）用户如果因职责变动而离岗，不再需 要系统权限且无须将帐号移交给其他责任人，其原岗位主管 应当申请帐号的销户，由管理员取消其权限；（2）用户离职后，管理员应当关闭用户在系统中的所有权 限。5、内部人员的信息系统帐号的开户/权限变更流程（1）首 先由用户提出书面申请，详细列出所需权限，由其部门主管 审批其申请的权限是因为工作需要

38、；（2）如果用户申请系统规定的需要高级主管或其他部门主 管审批的权限则需要其他部门或高级主管审批；（3）如果有必要，由系统中业务部门的负责人员进行用户 的要求是否合理的审批；（4）然后由安全负责人员审核其安全性，相应负责人员进 行开户操作，在以上各审批人的审批环节中，如任何一个审 批人不同意该申请，则退回用户的申请。6、非信息中心人员在信息系统中开户流程 （1）由接口部 门的责任人代替非XXX人员申请，并明确指明责任；（2）由非XXX人员的接口部门或以上部门主管进行审批， 如需要，由其他部门主管审批；（3）安全管理人员进行审批、备案;业务负责人审批申请的合理性；相应负责人员进行开户。在以上各审

39、批人的审批环节中，如任意一个审批人不 同意用户的申请，则退回用户的申请。附件四：信息中心系统用户责任与义务 附件五：系统管 理员责任与义务 附件四：信息中心系统用户责任与义务1、所有用户有义务确保自 己的口令的安全，系统帐号与口令不泄漏给他人，同时避免 使用弱口令；2、对于使用便携式计算机的用户，应确保设置开机BIOS 口 令；3、使用远程登陆的用户，确保不将口令保留在计算机上；4、不将XXX系统中使用的帐号和口令用于其他个人应用；5、任何人不得公开其本人或他人口令的全部或部分，除非 这种行为不会影响系统帐号的安全性；6、严禁任何人通过任何手段非法取得他人帐号和口令进入系统，对违反者应当进行严

40、厉制裁，直至追究法律责任；7、任何人不得将其帐号的口令告之无权使用此帐号的人， 如果用户此种行为导致其他人用此帐号造成对XXX和系统的 影响，帐号持有人和造成影响的行为的实施人负有相同的责 任；8、严禁任何人利用系统安全漏洞访问其权限之外的资源， 一经发现，立即严惩。附件五：系统管理员责任与义务1、确保除匿名帐号外，所有系统 用户都必须有口令；2、定期审计，检查系统用户的数量和权限；3、确保系统和网络设备无默认帐号和口令；4、确保关键应用服务器启用口令强制策略；5、对用户进行口令安全培训；6、建议同一个管理员在不同主机上使用不同的帐号和口令。网络安全故障应急预案一、总则1、目的本预案旨在全 面

41、提高应对系统运行中各种突发事件的能力，提供科学的指 挥方案，最大限度地减少突发事件所造成的业务停顿时间。 力争在最短的时间内恢复系统运行，保证生产系统的稳定、 安全运行。2、工作原则（1）贯彻统一领导，分级负责，反应及时，措施果断，依靠科学，加强合作的原则。系统故障具有 突发性强、影响大、范围广的特点，一旦出现重大故障必须 在相关领导的统一指挥下，以技术部门为中心，相关部门积 极配合，协同作战，迅速反应，最大限度地保证业务的连续 性和安全性。（2）遵循预防为主，常备不懈的方针。做好应对突发事件 的思想准备和思想教育； 加强生产系统的日常监控；通过技术创新和技术进步完善监控和预警手段；加强专业队

42、伍建设和培训；制定完善的单项应急处理流程，提高处理速度。定期进行预 演。二、组织结构与职责 技术应急组织机构由突发事件领导小 组，突发事件应急办公室和各技术应急小组构成。1、应急领导小组应急领导小组由相关技术领导组成，负责 重大故障应急对应的决策。2、工作职责（1）贯彻执行上级领导部门的工作部署。（2）进行生产环境安全教育，定期演练。（3）组织安全检查；监督应急措施的落实和整改。（4）遇到故障发生，协调相关各部门、厂商和相关部门，行使指挥职能。3、技术应急小组。（1）技术应急小组由技术部门的运行维护技术人员组成。（2）技术应急小组职能：制定具体的应急措施，不断完善 应急措施；24小时监控系统运

43、行，发生故障及时预警、上报：执行上级 制定的应急措施。三、监测和预警1、故障监测与预警发布（1）监控。交易 中心建立了网络和主要设备、系统的运行监控系统，一旦发 生故障，会产生报警。其他设备和系统采用设备巡检制度， 定时对设备运行状态进行记录。（2）监控部门一旦发现故障报警，要及时应急办公室。应 急办公室按上报的故障分类和级别，组织应急处理。预警级别在二级（含二级）以上报应急办公室，由应急办公 室上报应急领导小组。当故障预警的应急处理在规定的时限内没有处理完成，或故 障预警级别上升，则由应急办公室启动相应级别的应急处理， 超过二级预警上报应急领导小组。2、预警级别（1）设备一般预警：预警级别为

44、四级。外 围系统硬件设备或核心系统硬件设备只是产生硬件故障报 警，出现了设备故障的提示。预警信息用蓝色表示。较重预警：预警级别为三级。外围系统硬件发生故障，但业 务仍可维持进行。预警信息用黄色表示。严重预警：预警级别为二级。核心系统一台主机出现重大故 障，无法运行；或部分外围系统出现严重硬件故障而导致业务停止。预警信 息用橙色表示。特别严重预警：预警级别为一级。发生不可预测性自然灾害， 导致省中心机房严重破坏；或核心主机、存储等出现重大故障，无法运行（主、备机均 无法运行）。预警信息用红色表示。（2）系统一般预警：预警级别为四级。外围系统cpu、内 存、网络和存储等资源占用较大，导致网点交易缓

45、慢。预警 信息用蓝色表示。较重预警：预警级别为三级。储蓄主机系统cpu、内存、网 络和存储等资源占用较大，导致网点储蓄等主要交易缓慢； 外围系统cpu、内存、网络、存储等资源占用严重，导致部 分或全部前端交易无法进行，并且故障在1小时内无法解决 的。预警信息用黄色表示。严重预警：预警级别为二级。储蓄系统出现严重的交易堵塞 现象，网点业务无法正常开展，并且在1小时内没有解决； 外围系统出现严重故障，无法开展业务，在2小时内无法解 决的。预警信息用橙色表示。特别严重预警：预警级别为一级。出现严重的系统故障，导 致全省无法开展业务，并且在2小时内无法解决的（外围系 统时限为1天）；或结息没有结束，导致业务停顿。预