宁波大学信息系统管理制度VWord格式.docx
《宁波大学信息系统管理制度VWord格式.docx》由会员分享,可在线阅读,更多相关《宁波大学信息系统管理制度VWord格式.docx(28页珍藏版)》请在冰点文库上搜索。
【信息安全管理岗位】
1、安全管理员岗位
安全管理员岗位可以是安全管理员角色和安全审计员角色的组合,同时,根据具体需要,可以兼任病毒管理员和密钥管理员的角色。
2、系统管理员岗位
系统管理员岗位可以是主机系统管理员角色和网络管理员角色的组合,同时,根据具体需要,可以兼任资产管理员的角色。
也可以根据具体情况,设置多个系统管理员岗位。
3、数据库管理员岗位
数据库管理员岗位可以是数据库管理员角色和应用管理员角色的组合。
也可以根据具体情况,设置多个数据库管理员岗位。
数据库管理员不得兼任主机系统管理员。
对于其他的安全角色需要设置的岗位,可以由相关安全职能部门的人员兼任,也可以单独设置岗位。
【信息安全管理角色与职责】
为有效实施信息安全管理,保障和实施宁波大学的信息安全,在宁波大学内部应该建立自己的信息安全管理组织架构。
信息安全管理组织架构是实施系统安全,进行安全管理的必要保证。
在一个机构中,安全角色与责任的不明确是实施信息安全过程中的最大障碍,建立安全组织与落实责任是实施信息安全管理的第一步。
具体的信息安全组织和管理角色及其职责描述如下。
1.安全管理员
Ø
负责对安全产品购置提供建议,负责组织制定各种安全产品策略与配置规则,负责跟踪安全产品投产后的使用情况;
负责指导并监督系统管理员(包括主机系统管理员、网络管理员、数据库管理员和应用管理员等)及普通用户与安全相关的工作;
负责组织信息系统的安全风险评估工作,并定期进行系统漏洞扫描,形成安全评估报告;
根据本机构的信息安全需求,定期提出本机构的信息安全改进意见,并上报信息安全管理部门主管;
定期查看信息安全站点的安全公告,跟踪和研究各种信息安全漏洞和攻击手段,在发现可能影响信息安全的安全漏洞和攻击手段时,及时做出相应的对策,通知并指导系统管理员进行安全防范;
负责组织审议各种安全方案、安全审计报告、应急计划以及整体安全管理制度;
负责参与安全事故调查。
2.主机系统管理员
负责主机操作系统的安全配置(包括及时修补系统漏洞)和日常审计,系统应用软件的安装,从系统层面实现对用户与资源的访问控制;
协助安全管理员制定主机操作系统的安全配置规则,并落实执行;
负责主机设备的日常管理与维护,保持系统处于良好的运行状态;
为安全审计员提供完整、准确的主机系统运行活动的日志记录;
在主机系统异常或故障发生时,详细记载发生异常时的现象、时间和处理方式,并及时上报;
编制主机设备的维修、报损、报废计划,报主管领导审核;
3.网络管理员
负责网络的部署以及网络产品、网络安全产品的配置、管理与监控,并对关键网络配置文件进行备份,及时修补网络设备的漏洞;
协助安全管理员制定网络设备安全配置规则,并落实执行;
为安全审计员提供完整、准确地记录重要网络设备和网站运行活动的运行日志;
在网络及设备异常或故障发生时,详细记载发生异常时的现象、时间和处理方式,并及时上报;
编制网络设备的维修、报损、报废等计划,报主管领导审核;
4.数据库管理员
对数据库系统进行安全配置,修补已发现的漏洞;
负责数据库系统的用户账号管理,对系统中所有的用户进行登记备案;
对数据库系统的用户、口令的安全性进行管理;
对数据库系统登录用户进行监测和分析;
负责业务数据及系统其它重要数据的备份与备份数据管理工作;
为安全审计员提供完整、准确的数据库系统运行活动的日志记录,详细记载发生异常时的现象、时间和处理方式,并及时上报;
在发生安全问题导致数据损坏或丢失时,进行数据的恢复;
根据业务发展的需求,提交数据存储介质购买或存储系统扩容计划。
5.应用管理员
对业务应用系统进行安全配置;
督促软件开发商提供补丁来修补已发现的漏洞;
对业务应用系统的用户、口令的安全性进行管理;
对业务应用系统的登录用户进行监测和分析;
负责提出数据的备份要求,制定数据备份策略,督促数据库管理员按照备份方案按时完成,并恢复所需数据;
实施系统软件版本管理,应用软件备份和恢复管理。
6.安全审计员
负责定期对主机系统、网络产品、应用系统的日志文件进行分析审计,发现问题及时上报;
负责对信息安全保障管理活动进行独立的监督,提供内部独立的审计和评估工作,并根据需要可以协同外部审计评估机构进行评估和认证,为决策领导提供信息系统和信息安全保障执行状况的客观评价。
7.资产管理员
负责信息技术部门全部资产的采购、登记、分发、回收、废弃等管理。
8.安全保卫员(机房安全员)
负责制定和执行适当的物理安全控制;
主要负责非技术性的、常规的安全工作,如信息处理场地的保卫,办公室安全,验证出人信息中心的手续和多项规章制度的落实。
第三章人员安全管理制度
1、操作人员必须爱护电脑设备,保持办公室和电脑设备的清洁卫生。
2、操作人员必须懂得正确操作和使用计算机,加强计算机知识的学习。
3、不得让任何无关的人员使用自己计算机,不要擅自或让其他非专业技术人员修改自己计算机系统的重要设置。
4、严禁利用计算机系统上网发布、浏览、下载、传送反动、色情及暴力的信息。
5、严格遵守《中华人民共和国计算机信息网络国际联网管理暂行规定》,严禁利用计算机非法入侵他人或其他组织的计算机信息系统。
6、计算机各终端用户应保管好自己的用户帐号和密码。
严禁随意向他人泄露、借用自己的帐号和密码;
严禁不以真实身份登录系统。
计算机使用者更应定期更改密码、使用复杂密码。
7、每年度对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训,并对相关人员进行考核,并记录相关成绩。
8、规范人员的录用过程,对被录用人的身份、背景和专业资格等进行审查,对其所具有的技术技能进行考核,对从事关键岗位的人员签署保密协议。
9、人员离岗过程中,应及时终止离岗员工的所有访问权限,收回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备,应办理严格的调离手续。
第四章系统建设管理制度
一、安全方案设计
应以书面的形式描述对系统的安全保护要求、策略和措施等内容,形成系统的安全方案;
应对安全方案进行细化,形成能指导安全系统建设、安全产品采购和使用的详细设计方案;
应组织相关部门和有关安全技术专家对安全设计方案的合理性和正确性进行论证和审定,并且经过批准后,才能正式实施。
二、产品采购和使用
应确保安全产品采购和使用符合国家的有关规定;
应确保密码产品采购和使用符合国家密码主管部门的要求;
应指定或授权专门的部门负责产品的采购。
三、自行软件开发
应确保开发环境与实际运行环境物理分开;
制定软件开发管理制度,明确说明开发过程的控制方法和人员行为准则;
应确保提供软件设计的相关文档和使用指南,并由专人负责保管。
四、外包软件开发
应根据开发要求检测软件质量;
应确保提供软件设计的相关文档和使用指南;
应在软件安装之前检测软件包中可能存在的恶意代码;
应要求开发单位提供软件源代码,并审查软件中可能存在的后门。
五、工程实施
应指定或授权专门的部门或人员负责工程实施过程的管理;
应制定详细的工程实施方案,控制工程实施过程。
六、测试验收
应对系统进行安全性测试验收;
在测试验收前应根据设计方案或合同要求等制定测试验收方案,在测试验收过程中应详细记录测试验收结果,并形成测试验收报告;
应组织相关部门和相关人员对系统测试验收报告进行审定,并签字确认。
七、系统交付
应制定系统交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点;
应对负责系统运行维护的技术人员进行相应的技能培训并对培训过程进行记录表格记录(附件二、《项目交付培训记录表》);
应确保提供系统建设过程中的文档和指导用户进行系统运行维护的文档;
八、安全服务商选择
应确保安全服务商的选择符合国家的有关规定;
应与选定的安全服务商签订与安全相关的协议,明确约定相关责任;
应确保选定的安全服务商提供技术和服务承诺,并要求与安全服务商签署保密协议。
第五章机房管理制度
【出入管理】
1、严禁非机房工作人员进入机房,凡因设备安装调试等原因需要进入机房的,应填写机房登记表(附件四、《人员出入机房登记表》),在机房操作期间,机房人员应全程陪同。
2、进入机房人员应遵守机房管理制度。
3、进入机房人员不得携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质等对设备正常运行构成威胁的物品。
带出物品需填写物品出门证(附件五、《物品出门证》),并经图书馆与信息中心同意后方可带出。
【安全管理】
1、操作人员随时监控中心设备运行状况以及各网点运行情况,确保其安全高效运行,发现异常情况应立即按照预案规程进行操作,并及时上报和详细记录。
2、非机房工作人员未经许可不得擅自上机操作和对运行设备及各种配置进行更改。
3、严格执行密码管理规定,对操作密码定期更改,超级用户密码由系统管理员掌握。
4、机房工作人员应恪守保密制度,不得擅自泄露中心各种信息资料与数据。
5、中心机房内严禁吸烟、喝水、吃食物、嬉戏和进行剧烈运动,保持机房安静。
6、每学期对机房内设置的消防器材、机房火灾自动报警系统、监控设备进行检查和维护,以保证其有效性。
7、路由器、交换机、防火墙、服务器及存储等关键设备,须放置计算机机房内,不得自行配置或更换,更不能挪作它用。
【操作管理】
1、机房管理人员定期对机房基础设施进行巡检包括服务器、网络设备、空调、UPS、监控等设备的运行指示灯、CPU、内存、硬盘、应用程序等进行检查,机房温度须保持为:
20℃-25℃,机房湿度保持为:
40%RH~70%RH。
机房管理人员须认真、如实、详细填写机房基础设施巡检记录表(附件五、《机房基础设施巡检记录表》)、(附件六、《机房温湿度记录表》)及(附件七、《机房基础设施维护表》)以备后查。
3、严格按照每日预制操作流程进行操作,对新上业务及特殊情况需要变更流程的应事先进行详细安排并书面报负责人批准签字后方可执行;
所有操作变更必须有存档记录。
4、每周对机房环境进行清洁,以保持机房整洁;
每月进行一次大清扫,对机器设备吸尘清洁。
6、严格按规章制度要求做好各种数据、文件的备份工作。
应用系统定期或按需进行本地和异地备份。
所有重要文档定期整理装订,专人保管,以备后查。
【运行管理】
1、中心机房和开发调试机房隔离分设。
未经负责人批准,不得在中心机房设备上编写、修改、更换各类软件系统及更改设备参数配置。
2、各类软件系统的维护、增删、配置的更改,各类硬件设备的添加、更换必需经负责人书面批准后方可进行;
必须按规定进行详细登记和记录,对各类软件、现场资料、档案整理存档。
3、为确保数据的安全保密,对各业务单位、业务部门送交的数据及处理后的数据都必须按有关规定履行交接登记手续。
4、部门负责人应定期与不定期对制度的执行情况进行检查,督促各项制度的落实,并作为人员考核之依据。
第六章介质管理制度
【介质定义】介质是指在信息化建设当中留存的纸质文档和购买的应用软件的光盘、磁带、U盘,移动硬盘等。
【介质管理和使用】
(一)介质由专人统一管理,分类标记并存放在介质保管柜后统一登记(附件八、《介质归档登记表》)。
(二)按国家标准《电子计算机机房设计规范》的要求,介质存放的条件为:
项目
纸质介质
磁带
磁盘
光盘
已记录
未记录
温度°
C
5~40
18~28
0~40
13~20
相对度%
30~70
20~80
20~45
磁场强度A/m
<
3200
4000
(三)个人需要使用时、需凭批准手续到介质管理员处登记,填写介质借用登记表(附件九、《介质借用登记表》),归还时也需在介质借用表上签字确认归还。
保管人员应每月对登记介质和借用表核对。
(四)对存储介质的购置、分发、使用、维修、废弃、销毁等各个环节、都应认真重视,做好防泄密工作。
重要的资料至少应有两种存储介质的数据存储设备。
(五)工作人员工作时使用的光盘、磁带、硬盘、U盘等存储介质,不得随意给外人使用,不得带出办公场所。
(六)对已损坏的光盘、磁带、硬盘、U盘等存储介质,不得随意丢弃,应交专人统一处理。
第七章网络安全管理制度
1、遵守国家有关法律、法规,严格执行安全保密制度,不得利用网络从事危害国家安全、泄露国家秘密等违法犯罪活动,不得制作、浏览、复制、传播反动及黄色信息,不得在网络上发布反动、非法和虚假的消息,不得在网络上漫骂攻击他人,不得在网上泄露他人隐私。
严禁通过网络进行任何黑客活动和性质类似的破坏活动,严格控制和防范计算机病毒的侵入。
2、网络安全管理员主要负责全单位网络(包含局域网、广域网)的系统安全性。
3、良好周密的日志审计以及细致的分析经常是预测攻击,定位攻击,以及遭受攻击后追查攻击者的有力武器。
应对网络设备运行状况、网络流量、用户行为等进行日志审计,审计内容应包括事件的日期和时间、用户、事件类型、事件是否成功等内容,对网络设备日志须保存60天以上。
4、网络管理员察觉到网络处于被攻击状态后,应确定其身份,并对其发出警告,提前制止可能的网络犯罪,若对方不听劝告,在保护系统安全的情况下可做善意阻击并向主管领导汇报。
5、网络设备关键策略配置的更改,各类硬件设备的添加、更换前需经过技术验证,策略更改前后做好备份。
6、定期对网络设备进行漏洞扫描并进行分析、修复,网络设备软件存在的安全漏洞可能被利用,所以定期根据厂家提供的升级版本进行升级。
7、用户通过学校内网访问互联网需进行身份验证,开户需要填写《宁大校园网络入网申请表(个人)》。
8、对关键网络设备和关键网络链路需进行冗余,以保证高峰时的业务需求,以消除设备和链路出现单点故障。
9、IP地址为计算机网络的重要资源,计算机各终端用户应在信息科的规划下使用这些资源,不得擅自更改。
另外,某些系统服务对网络产生影响,计算机各终端用户应在信息科的指导下使用,禁止随意开启计算机中的系统服务,保证计算机网络畅通运行。
第八章主机系统安全管理制度
1、对主机上的每个操作系统用户和数据库用户进行审计,审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;
审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等,并保护审计记录,避免受到未预期的删除、修改或覆盖等。
对主机设备日志须保存三个月
2、任何用户不得进入未经许可的计算机系统更改系统信息和用户数据。
3、对操作系统盘区/文件进行访问权限的配置,关闭/禁用不需要服务如:
远程桌面服务、ComputerBrowser、Taskscheduler、Errorreportingservice、RemoteRegistry等
4、各部门定期对本部门主机系统进行备份使之能在发生故障时进行恢复。
对关键设备须进行设备冗余,以满足业务高峰期的需求及消除设备单点故障。
5、检查用户账号,停止不需要的账号和组,停用guest等账号,建议重命名administrator。
6、设定终端接入方式、对网络地址范围等进行限制,对终端登入用户数量进行限定,对终端连接的空闲时间进行限定。
7、主机系统登入用密码应是数字、字母和特殊符号的结合体,密码更新周期为30天。
如果给定的口令超过90天,则必须锁定账号。
严禁重新使用口令,强制密码历史为3。
用户登入失败三次自动锁定15分钟以上。
8、系统管理员察觉到系统处于被攻击状态后,应确定其身份,并对其发出警告,提前制止可能的网络犯罪,若对方不听劝告,在保护系统安全的情况下可做善意阻击并向主管领导汇报。
9、对主机及存储设备进行关机、重启、断电等操作时一定得安装设备的操作说明,对于主机设备按照先关闭操作系统再断电源顺序,对于存储设备先关闭与之相连的设备,再关闭存储设备系统,最后断电的顺序,以保证设备、数据的安全。
10、定期对主机系统进行漏洞扫描,补丁升级,升级前做好备份,并对补丁进行安全性测试。
第九章恶意代码防范制度
1、应在单位网络配置计算机网络病毒防治产品,其生产单位应具有《计算机信息安全专业产品销售许可证》,其病毒防治能力应达到公安部规定的合格或以上水平。
2、各部门应有较强的病毒防范意识,定期进行病毒检测,发现病毒立即处理并通知信息管理部门或专职人员。
3、各工作计算机必须进行安全配置及杀毒软件的安装。
各计算机终端用户应定期对计算机系统、杀毒软件等进行升级和更新,并定期进行病毒清查,不要下载和使用未经测试和来历不明的软件、不要打开来历不明的电子邮件、以及不要随意使用带毒U盘等介质。
4、任何人不得制造、传播计算机病毒、不得故意输入计算机病毒及其有害数据危害网络安全。
发现病毒,及时报告,及时处理。
5、定期检测恶意代码进行分析,并记录分析情况。
6、定期进行系统漏洞扫描和风险评估,发现系统漏洞要按风险等级制定解决方案并组织实……
7、应用系统投产前,必须进行系统安全配置检测和漏洞扫描,安装最新补丁包,关闭不需要的端口。
第十章数据备份制度
1、根据需要定期对的重要数据制作异地备份,离线数据应做好分类标识,确保系统一旦发生故障时能够快速恢复。
2、离线数据的备份、恢复、转出、转入的权限都应严格控制。
严禁XX将数据备份出系统,转给无关的人员或单位;
严禁XX进行数据恢复或转入操作。
3、离线备份的数据必须指定专人负责保管,由系统管理员按规定的方法同数据保管员进行数据的交接。
交接后的备份数据应在指定的数据保管室或指定的场所保管。
4、离线备份数据资料保管地点应有防火、防热、防潮、防尘、防磁、防盗设施。
5、定期对备份的使用现状进行检查,每学期抽取部分数据测试恢复,以检验备份是否有效。
6、服务器未做好备份前不得删除任何硬盘数据。
对重要的数据应准备双份,存放在不同的地点;
对采用磁性介质或光盘保存的数据,要定期进行检查,定期进行复制,防止由于磁性介质损坏而使数据丢失。
第十一章应急预案管理制度
一、导语
(一)编制预案目的
提高我校处置校园网络与信息安全突发公共事件能力,形成科学、有效、反应迅速的应急工作机制,确保重要计算机信息系统的实体安全、运行安全和数据安全,最大限度地减轻网络与信息安全突发公共事件的危害,保障国家和人民生命财产的安全,保护公众利益,维护正常的经济、政治、社会秩序,促进社会的和谐发展。
(二)编制依据
根据《中华人民共和国计算机信息系统安全保护条例》、《计算机病毒防治管理办法》、《浙江省网络与信息安全应急预案》、《宁波市突发公共事件总体应急预案》、《宁波大学校园计算机网络管理办法》、《宁波大学信息化建设管理办法》等有关法规、规定,制定本预案。
(三)适应范围
网络安全突发事件是指自然灾害、事故灾难和人为破坏引起的网络与信息系统的损坏。
(1)自然灾害是指地震、台风、雷电、火灾、洪水等。
(2)事故灾难是指电力中断、网络损坏或者是软件、硬件设备故障等。
(3)人为破坏是指人为破坏网络线路、通信设施,黑客攻击、病毒攻击等事件。
二、工作原则和要求
(一)积极防御、综合防范。
立足安全防护,加强预警,重点保护基础信息网络;
从预防、监控、应急处理、应急保障环节,在管理、技术、人才等方面,采取多种措施,充分发挥各方面的作用,共同构筑网络与信息安全保障体系。
(二)明确责任、分级负责。
按照“谁主管谁负责、谁运营谁负责”以及“条块结合、以条为主”的原则,建立和完善安全责任制、协调管理机制和联动工作机制。
(三)以人为本、快速反应。
网络与信息安全突发公共事件发生时,要按照快速反应机制,及时获取充分而准确的信息,跟踪研判,果断决策,迅速处置,最大程度地减少危害和影响。
(四)依靠科学、平战结合。
加强技术储备、规范应急处置措施与操作流程,实现网络与信息安全突发公共事件应急处置工作的科学化、程序化与规范化。
树立常备不懈的观念,定期进行预案演练,确保应急预案切实可行。
三、组织机构及职责
(一)学校成立校园网络与信息安全事件应急处置领导小组,全面负责和统一指挥校园网络与信息安全重大突发事件的应急处置工作。
领导小组组长由主管信息安全工作的副校长担任,小组成员由党委办公室、学校办公室、保卫处、宣传部、网络中心、设备与实验室管理处、基建处、后勤管理服务处/后勤服务中心等部门主要负责人组成。
领导小组的工作职责为研究制订本校网络与信息安全应急处置工作的规划、计划和政策,协调推进本校校园网与信息安全应急工作体系建设;
发生网络与信息安全突发公共事件后,决定启动本预案,组织应急处置工作。
(二)网络中心作为职能部门,负责校园主干网络与主要信息系统安全事件的预防、监测、报告和应急处置,负责对学校其他部门主管的网络信息系统的安全防护情况进行日常检查、指导和督促。
四:
应急处置程序
(一)应急预防
(1)机房:
定期检查信息中心机房电源、空调、UPS、发电机等设备的运行情况。
做好机房防漏、防火、防盗设施的安全检查。
重大自然灾害天气、重要节假日安排人员值班。
(2)应用系统:
做好系统服务器、SAN存储等关键设备日常检查,定期进行安全管理和评估。
做好操作系统、应用系统、数据库系统等软件的恢复准备,关键性的应用服务应以双机冗余、双机热备等形式提高系统的强健性。
做好应用系统和数据库数据的异机或异地备份。
做好应用系统日常运行维护,并根据需要调整安全策略,进行安全监察和评估,及时发现和解决安全隐患。
(3)网络安全:
对网络安全设备进行日常