计算机系统安全规范
计算机信息系统安全 标准
计算机信息系统安全标准一、信息安全等级保护信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作。
在中国,信息安全等级保护分为二级和三级。
其中,二级和三级分别对应着不同的信息重要性等级,二级适用于一般的信息系统,而三级则适用于重要的信息系统。
二、信息安全管理标准信息安全管理标准是一套指导和规范组织如何保护信息安全的原则和方法。
在中国,信息安全管理标准主要参考了ISO/IEC27001系列,它包括了十个控制域和一百多个控制目标,可以帮助组织更好地管理和保护其信息安全。
三、安全技术和机制安全技术和机制是保障计算机信息系统安全的重要手段。
这些技术包括加密技术、防火墙技术、入侵检测和防御技术等。
同时,还需要建立完善的安全管理制度和安全审计机制,确保安全技术的有效实施和监督。
四、安全审计和日志管理安全审计是对计算机信息系统中的安全策略和实践进行评估的过程,以确定它们是否符合组织的安全需求。
日志管理则是记录和分析系统日志,以便及时发现和解决潜在的安全问题。
五、系统恢复和灾难恢复系统恢复和灾难恢复是为了在发生自然灾害、人为错误或恶意攻击等情况下,能够快速、有效地恢复计算机信息系统。
这需要制定详细的灾难恢复计划,并进行定期的演练和测试。
六、物理和环境安全物理和环境安全是保障计算机信息系统安全的基础。
这包括对机房、服务器、网络设备等物理设施的保护,以及对计算机信息系统运行环境的管理和控制,例如访问控制、网络安全等。
七、应用安全应用安全是保障计算机信息系统安全的重要组成部分。
这包括对应用程序的访问控制、数据加密、身份认证等,以确保应用程序的安全性和可靠性。
八、人和安全管理人和安全管理是保障计算机信息系统安全的根本。
这包括对人员的招募、培训、考核和管理,以确保组织的信息安全策略得到有效执行和维护。
同时,还需要建立完善的安全管理制度和安全审计机制,确保人和安全管理的有效实施和监督。
计算机信息系统安全 标准
计算机信息系统安全标准计算机信息系统安全是指保护计算机及其相关设备、软件和数据免受非法访问、损失、破坏和干扰的措施和方法。
在计算机信息系统安全领域,有一些标准被广泛采用和参考。
以下是一些相关的标准及其内容的简要介绍:1. ISO/IEC 27001信息安全管理系统标准:该标准提供了制定、实施、监控和持续改进信息安全管理系统(ISMS)的指南,以确保组织的信息资产得到有效保护。
包括风险评估和风险管理、安全策略和目标、组织信息安全管理、人员安全、物理和环境安全、通信和运营管理等方面的要求。
2. ISO/IEC 27002信息技术安全技术控制标准:该标准提供了关于信息安全管理实施的最佳实践指南,包含了一系列的安全控制目标和措施,适用于适度安全水平的组织。
包括安全政策、组织安全、人员安全、资产管理、访问控制、密码管理、物理和环境安全、通信和操作管理、信息安全事件管理等方面的要求。
3. NIST SP 800系列标准:这是美国国家标准与技术研究院(NIST)发布的一系列针对信息系统安全的标准和指南。
其中,NIST SP 800-53提供了信息系统安全和隐私控制目录,包括了安全管理、风险管理、安全控制和持续监控等方面的要求;NIST SP 800-61提供了信息安全事件响应指南,包括快速检测、快速响应和恢复等方面的要求。
4. COBIT(Control Objectives for Information and RelatedTechnologies):这是一套由IT治理研究机构ISACA发布的国际性IT治理框架。
COBIT提供了一系列的最佳实践和控制目标,帮助组织建立和维护信息系统安全。
包括了战略管理、风险管理、资源管理和监督等方面的要求。
5. PCI DSS(Payment Card Industry Data Security Standards):这是一套由信用卡行业共同制定的安全标准,旨在保护持有信用卡和借记卡信息的组织和商家。
中华人民共和国计算机信息系统安全保护条例
中华人民共和国计算机信息系统安全保护条例目录[隐藏]中华人民共和国国务院令第一章总则第二章安全保护制度第三章安全监督第四章法律责任第五章附则[编辑本段]中华人民共和国国务院令第147号现发布《中华人民共和国计算机信息系统安全保护条例》,自发布之日起施行。
总理李鹏1994年2月18日[编辑本段]第一章总则第一条为了保护计算机信息系统的安全,促进计算机的应用和发展,保障社会主义现代化建设的顺利进行,制定本条例。
第二条本条例所称的计算机信息系统,是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
第三条计算机信息系统的安全保护,应当保障计算机及其相关的和配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行。
第四条计算机信息系统的安全保护工作,重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全。
第五条中华人民共和国境内的计算机信息系统的安全保护,适用本条例。
未联网的微型计算机的安全保护办法,另行制定。
第六条公安部主管全国计算机信息系统安全保护工作。
国家安全部、国家保密局和国务院其他有关部门,在国务院规定的职责范围内做好计算机信息系统安全保护的有关工作。
第七条任何组织或者个人,不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动,不得危害计算机信息系统的安全。
[编辑本段]第二章安全保护制度第八条计算机信息系统的建设和应用,应当遵守法律、行政法规和国家其他有关规定。
第九条计算机信息系统实行安全等级保护。
安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。
第十条计算机机房应当符合国家标准和国家有关规定。
在计算机机房附近施工,不得危害计算机信息系统的安全。
第十一条进行国际联网的计算机信息系统,由计算机信息系统的使用单位报省级以上人民政府公安机关备案。
集团计算机网络系统安全管理规定
集团计算机网络系统安全管理规定一、管理部门:信息中心对集团计算机网络从在技术上和业务服务方面认真管理。
确保网络正常安全高效运行。
使用规定规范使用1、充分利用:各部门配置的计算机系统是实现集团办公自动化的重要工具,应充分利用计算机技术, 开拓业务,提高工作效率。
2、数据安全:妥善保管各类驱动程序,保持计算机的清洁无尘和工作软件的安全。
对重要的计算机工作数据,做好保存,防止数据丢失。
3、密码保护:各部门员工在使用集团计算机系统时,必须输入有效的用户名及授权密码。
用户名及密码必须妥善保存,密码必须定时更新,不得透露、交付给其他人。
凡因用户名及密码泄漏而造成集团资料、数据的丢失,或者影响集团计算机系统的安全,集团将对使用该用户名及密码的员工予以严肃处理。
4、维护流程:员工所使用的计算机如果出现设备故障,必须及时填写“设备、软件维护记录单”交信息中心,若是收不到对方邮件,应要求对方将反馈信息传真归来,交由信息中心,以便查找原因,不允许擅自处理开箱维修,更不允许任何人以任何借口私自更换正在使用的计算机配件、软件,对违规者,集团将根据情节轻重,给予公开批评、降级直至开除的处分。
5、病毒管理:信息中心负责集团网络系统的病毒库更新及服务器端的杀毒工作。
各部门员工必须定期对自己使用的计算机作病毒扫描处理,及时更新集团网络系统提供的病毒库。
信息中心统一进行病毒管理,集团员工不得擅自处理,为防止计算机病毒的扩散,在未做消毒处理以前,信息中心有权取消感染病毒计算机的联网,直至该计算机病毒被消除为止6、接入互联网管理:为了防止黑客的恶意攻击及计算机病毒对集团计算机系统的入侵,凡是通过调制解调器与外界联系的计算机,事先必须报请信息中心备案,并同时停止与集团计算机系统的联网,信息中心从控制服务器上停止对这些计算机的网络服务。
二、安全规定严格保密1、守法:使用集团网的所有人员必须遵守执行[中华人民共和国计算机信息网络国际联网管理暂行规定],和国家有关法律法规,严格执行安全保密制度,并对所提供信息负责。
计算机信息系统安全 标准
计算机信息系统安全标准计算机信息系统安全是指保护计算机及其相关设备、软件和数据免受未经授权的访问、更改、破坏或泄露的威胁的一系列措施。
在进行计算机信息系统安全的工作中,需要参考相关的标准来指导和规范。
一、国内外计算机信息系统安全标准的发展和现状1. 国际标准:- ISO/IEC 27001信息技术安全技术系列标准:ISO/IEC 27001是国际标准化组织和国际电工委员会在信息安全管理系统(ISMS)方面的合作成果,为组织提供了确定、实施、监督和持续改进信息安全管理系统的要求。
- NIST SP 800系列:美国国家标准与技术研究院(NIST)发布的一系列计算机安全标准,包括一般计算机安全标准(NIST SP 800-53)、云计算安全标准(NIST SP 800-144)等。
2. 国内标准:- 信息安全技术网络安全等级保护基本要求(GB/T 22240-2019):该标准规定了网络安全等级保护的基本要求,包括安全需求划分、系统安全设计、安全评估与测试、安全管理和安全保障等。
- 信息安全技术信息系统安全评估标准(GB/T 22239-2019):该标准规定了信息系统安全评估的基本要求,包括评估方法、评估管理、评估需求、评估过程和评估结果等。
二、计算机信息系统安全标准内容及参考1. 系统规划与设计:- 安全需求分析:明确系统安全目标和需求,识别系统面临的威胁、漏洞和风险。
- 安全架构设计:基于安全需求和风险评估结果,设计安全架构,包括身份认证、访问控制、数据保护等措施。
- 安全策略和政策:制定安全策略和政策,明确组织层面的安全要求和管理措施,包括密码策略、权限管理等。
2. 操作系统和应用软件安全:- 系统和软件配置安全:对操作系统和应用软件进行安全配置,禁用不必要的服务和功能,限制用户权限。
- 漏洞管理和补丁管理:及时获取、评估和应用系统和软件的安全补丁,修复已知漏洞。
- 安全审计和监控:建立日志审计机制,监控系统和软件的安全事件和异常行为,及时响应和处理。
计算机信息系统安全保护划分准则 国标
计算机信息系统安全保护划分准则国标计算机信息系统安全保护划分准则是指为了确保计算机信息系统的安全性,制定的一系列规范和指导原则。
这些准则旨在保护计算机信息系统免受恶意攻击、数据泄露和其他安全威胁,以保障信息系统的稳定运行,并保护用户的个人信息和财产安全。
1. 安全保护的重要性计算机信息系统的安全保护是非常重要的。
信息系统是现代社会的重要组成部分,几乎涵盖了各行各业的方方面面。
如果信息系统遭到恶意攻击或数据泄露,将会给企业和个人带来巨大的损失,甚至可能导致社会秩序的混乱。
因此,制定计算机信息系统安全保护划分准则是非常必要的。
2. 划分准则的目标和原则计算机信息系统安全保护划分准则的目标是确保系统的完整性、可用性和保密性。
其中完整性是指保证信息系统的数据和操作的正确性和一致性;可用性是指保证信息系统能够按照用户的需求进行正常的运行和使用;保密性是指信息系统中的敏感数据只能被授权人员访问。
3. 划分准则的内容计算机信息系统安全保护划分准则包括以下方面:3.1. 物理安全物理安全是指保护信息系统硬件设备和服务器的安全。
主要包括设置访问控制、使用视频监控和报警系统、定期巡检设备等措施,以防止设备被盗窃、损坏或非法操作。
3.2. 网络安全网络安全是指保护信息系统网络通信的安全。
主要包括网络防火墙的设置、网络流量监控、入侵检测和防御系统的使用等措施,以防止网络攻击和入侵行为。
3.3. 身份认证与访问控制身份认证与访问控制是指通过身份认证技术对用户进行身份验证,并限制用户的访问权限。
主要包括使用密码、生物识别等身份验证技术,以及设置访问权限组、访问时间限制等措施,以防止非法用户访问系统或获取敏感信息。
3.4. 数据保护与备份数据保护与备份是指对信息系统中的数据进行加密保护,并定期备份数据以防止数据丢失。
主要包括使用加密算法对数据进行加密、使用防病毒软件进行数据扫描,以及定期进行数据备份和恢复测试等措施。
4. 划分准则的应用计算机信息系统安全保护划分准则适用于各类组织和单位,包括政府机关、企事业单位、金融机构等。
2024年计算机系统安全工作守则(2篇)
2024年计算机系统安全工作守则在电力生产经营活动中,计算机系统发挥出越来越重要的作用。
制定计算机系统的安全工作守则,从制度上杜绝事故隐患,是保证计算机系统安全运行的有效保护。
以下是肇庆供电分公司制定的计算机系统安全工作守则,供同行对参考。
1进入机房工作安全守则(1)进入机房必须更换清洁的拖鞋,机房专用拖鞋不得在机房范围以外穿着。
(2)严禁在机方内吸烟、吃东西及大声喧哗。
(3)严禁携带任何易倾泻液体的容器进入机房。
(4)配电箱及机柜内的设备,需经机房专人许可,方可进行操作。
(5)所有需接入调度自动化系统的服务器、工作站、手提电脑,必须提前经专人检测、审核、批准,经许可后方能接入网络。
(6)必须保证调度自动化系统的信息安全,不得盗用、发布、传播任何数据、资料或图纸。
(7)必须保持机房的清洁和整齐,工作结束后不得留有任何垃圾。
2设备安全要求(1)系统内所有的计算机,需要增减附属设备或修改硬件配置的,应报调度中心领导审批。
(2)随机资料、软件等应由使用者或专责人妥善保管,重要的专用驱动程序要有备份。
(3)与网络相关的设施应有明确的标志,进入放置网络设备的专用场所,打开放置网络设备机柜,中断网络设备的供电,专用设备电源插座接入其它负载等,都需经调度中心许可。
(4)需经调度中心审批,方能修改网络标识的工作组名、计算机名,网络IP地址,网络权限,硬件设置和增加网络功能。
(5)网内PC、联网打印机及网络设备一经安装,任何人不得擅自增减或变更硬件设备组成。
打开机箱进行工作的,需经调度中心批准。
(6)网内PC必须从物理链路上与国际互联网或其他外部网络完全断开。
严禁未经批准擅自将本网内PC连接到国际互联网或其他外部网络。
(7)一切外来数据源,包括硬盘、磁盘、内存必须统一送信息管理部门检测,经批准后方准使用。
3软件安全要求(1)系统内所有的计算机,需要更改系统软件配置的,需经调度中心批准。
(2)系统软件和应用软件安装正常以后,需要进行删减和增加的,需经调度中心同意。
中华人民共和国计算机信息系统安全保护条例
第三条 计算机信息系统的安全保护,应当保障计算机及其相关的和配 套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全, 保障计算机功能的正常发挥,以维护计算 机信息系统的安全运行。
9
谢谢收看
10
第四条 计算机信息系统的安全保护工作,重点维护国家事务、经济建
设、国防建设、尖端科 学技术等重要领域的计算机信息系统的安全。
4
总则
第五条中华人民共和国境内的计算机信息系统的安全保护,适用本条例。 未联网的微型计算机的安全保护办法,另行制定。 第六条公安部主管全国计算机信息系统安全保护工作。 国家安全部、国家保密局和国务院其他有关部门,在国务院规定的职责范围内
中华人民共和国计算机信息系统安全保护条例
1
目录
1
• 概述
2
• 总则
3
• 安全保护制度
4
• 安全监督
5
• 法律责任
2
概述
《中华人民共和国计算机信息系统安全保护条例》于 1994年2月18日由中华人民共和国国务院第147号令发布。 主要是保护计算机系统的安全。
3
总则
第一条 பைடு நூலகம்了保护计算机信息系统的安全,促进计算机的应用和发展, 保障社会主义现代化建设的顺利进行,制定本条例。
6
安全监督
安全监督职权和义务
公安机关对计算机信息系统保护工作形势监督权。 公安机关发现影响计算机信息系统安全的隐患时,应当及时通知使用单位采取
安全保护措施。 公安部在紧急情况下,可以就涉及计算机系统安全的特定事项发布专项通令。
计算机信息系统安全管理规定
计算机信息系统安全管理制度第一章总则第一条为了保护计算机信息系统的安全,促进信息化建设的健康发展,根据国家和辽宁省相关规定,结合本院实际,制定本规定;第二条本院信息系统内所有计算机的安全保护,适用本规定;第三条工作职责一每一个计算机信息系统使用人都是计算机安全员,计算机安全员负责本人在用计算机信息系统的正确使用、日常使用维护,发现故障、异常时及时向计算机信息系统管理员报告;二计算机信息系统管理员负责院内:1、计算机信息系统使用制度、安全制度的建立、健全;2、计算机信息系统档案的建立、健全,计算机信息系统使用情况的检查;3、计算机信息系统的日常维护包括信息资料备份,病毒防护、系统安装、升级、故障维修、安全事故处理或上报等;4、计算机信息系统与外部单位的沟通、协调包括计算机信息系统相关产品的采购、安装、验收及信息交换等;5、计算机信息系统使用人员的技术培训和指导;三计算机信息系统信息审查小组负责局机关计算机信息系统对内、对外发布信息审查工作;第二章计算机信息系统使用人员要求第四条计算机信息系统管理员、计算机信息系统信息审查员必须取得省计算机安全培训考试办公室颁发的计算机安全培训合格证书,并由局领导任命,在计算机信息系统安全管理方面接受局领导的直接领导;第五条计算机安全员必须经安全知识培训,经考核合格后,方可上机操作;第六条由计算机信息管理员根据环境、条件的变化,定期组织计算机安全员开展必要的培训,以适应计算机安全防护和操作系统升级的需要;第三章计算机信息系统的安全管理第七条计算机机房安全管理制度一计算机机房由计算机信息管理员专人管理,未经计算机信息系统管理员许可,其他人员不得进入计算机房;二计算机房服务器除停电外一般情况下全天候开机;在紧急情况下,可采取暂停联网、暂时停机等安全应急措施;如果是电力停电,首先联系医院后勤部门,问清停电的原因、何时来电;然后检查UPS电池容量,看能否持续供电到院内开始发电;三计算机房服务器开机时,室内温度应控制在17度,避免温度过高影响服务器性能;四计算机房应保证全封闭,确保蚊虫、老鼠、蟑螂等不能进入机房,如在机房发现蚊虫、老鼠、蟑螂等,应及时杀灭,以防设备、线路被破坏;五计算机房应具备基本的防盗设施,防止失窃和人为破坏;第八条计算机信息系统网络安全漏洞检测和系统升级管理制度一计算机信息系统管理员应使用国家公安部指定的系统软件、安全软件,并及时对系统软件、安全软件进行升级,对系统漏洞进行扫描,采取相应措施,确保系统安全;二在进行系统升级、安全软件升级前,应进行文件备份,以防信息丢失;第九条操作权限管理制度一局机关内的计算机必须设置开机密码、管理员密码,开机密码由计算机安全员设置,管理员密码由计算机信息系统管理员设置,密码不得少于六位,并定期进行变更,密码不得告诉他人,不得窃取或擅自使用他人的密码查阅相关的信息;二每台计算机应设置屏幕保护密码,并定期变更,以防暂时离开时,计算机被他人操作;三在内部网中的共享文件,应由责任人将文件的属性设置为“只读”,以避免被别人更改;四办公软件中的权限、密码由计算机信息系统管理员根据软件的使用及管理需要设置,以确保各计算机使用人能正常使用;第十条用户登记制度一由计算机信息系统管理员在内部局域网中为每个计算机用户设置用户名,各计算机使用人凭用户名和本人的密码登录内部局域网;二计算机信息系统管理员应启动系统使用日志,对用户登录及使用情况进行跟踪记录,使用日志由计算机信息系统管理员管理,保存时间不少于90天;第十一条信息发布审查、登记、保存、清除和备份制度,信息群发服务管理制度一凡向公共信息网站提供或发布信息,必须先经局机关信息审查小组审查批准,统一交办公室登记发外,在发外的同时,应对信息进行备份,并与公共信息网所发布的信息进行核对,发现不一致时应及时与公共信息网协调处理;二向公共信息网提供的信息的备份按档案管理制度保存;三由办公室跟踪对外提供信息的及时更新、清除工作,确保网络信息时效性和准确性;四由计算机信息系统管理员定期对局域服务器信息进行备份,备份件保存期为三个月,以确保信息安全;五在局域网内登录办公自动化软件OA时,可以使用信息群发功能;登录互联网时,严禁使用信息群发功能;第十二条任何单位和个人不得用计算机信息系统从事下列行为:一查阅、复制、制作、传播有害信息;二侵犯他人隐私,窃取他人帐号,假冒他人名义发送信息,或者向他人发送垃圾信息;三以盈利或者非正常使用为目的,未经允许向第三方公开他人电子地址;四未经允许修改、删除、增加、破坏计算机信息系统的功能、程序及数据;五擅自修改计算机和网络上的配置参数、程序和信息资源;六安装盗版软件;七输入有害程序和信息;八窃取他人密码或冒用他人名义处理业务;九使用“黑客”手段,故意越权访问他人信息资源和其他保密信息资源或窃取、破坏储存在服务器中的业务数据和其他业务信息;十未经防病毒检查,随意拷入或在互联网上下载程序或软件;十一在计算机上拷入各种与工作无关的应用程序,占用硬盘空间,影响业务处理的速度;十二将游戏软件拷贝到办公用计算机或在上班时间运行游戏软件;十三其他危害计算机信息系统安全的行为;第四章计算机信息系统保密规定第十三条登录互联网的计算机严禁录入、储存涉密信息;第十四条涉密计算机必须与互联网及局域网物理隔离;第十五条凡秘密级以上内容的文件和资料,严禁在非保密传输信道上传输;第五章软件安全管理第十六条办公自动化软件和由局统一开发或应用的业务软件,由计算机信息系统管理员负责管理和维护;第十七条计算机信息系统管理员对统一维护的软件应严格管理,不断完善,发现问题要及时诊断和排除,保障软件的长期稳定运行;第十八条各科室在本制度实施前已使用的各种应用软件,由开发该软件的公司负责维护,每次维护的情况各科室应书面报告计算机信息系统管理员备案;第十九条各科室开发或应用新的软件,应先向计算机信息系统管理员申报,经批准才能应用;如属上级或政府职能部门指定统一使用的,在使用前应向办公室申报备案;如应用新的软件对原有软件的运行造成不良影响的,由办公室协调解决;第六章计算机使用及故障维修第二十条计算机使用人应严格按照操作规程正确开启和关闭电源,启动和关闭系统,正确使用移动存储媒介、打印机等设备;不得频繁开启和关闭电源,违反操作步骤强行关闭系统或带电拔插硬件和接口电缆;不得随意安装与工作无关的软硬件;第二十一条为确保计算机的正常运作,任何人不得使用来历不明或未经检查、杀毒的软盘、光盘、U盘等储存介质,以防感染、扩散病毒;第二十二条局机关计算机实行专人专机,谁使用谁保养,谁使用谁维护;出现故障时,先找有经验的人员协同诊断、处理,确需委托专业人员维修时,应由该计算机使用人按照固定资产管理制度有关规定报修;第二十三条本制度自印发之日起执行;。
计算机系统安全规范
计算机系统安全规范计算机系统安全规范是一种为保障计算机系统安全而制定的一系列规章制度和标准。
计算机系统安全规范的目的是确保计算机系统的稳定性、可靠性和保密性,防止未经授权的访问和攻击,保护计算机系统中存储的数据和信息不被窃取、篡改或损坏。
下面将从几个方面介绍计算机系统安全规范。
1.计算机系统访问控制规范计算机系统访问控制规范主要规定了用户在使用计算机系统时的授权和权限管理。
这包括用户账户管理、密码安全规范、访问控制列表等。
规范明确了用户的身份验证要求,例如要求用户使用强密码、定期更换密码,并规定了用户权限的分级和管理。
2.数据保护规范数据保护规范主要涉及数据的备份、加密和隐私保护。
规范要求对重要数据进行定期备份,确保数据的可靠性和完整性。
同时,规范还要求对敏感数据进行加密保护,防止未经授权的访问和泄露。
另外,规范还规定了个人数据的合法使用和保护要求,以保障用户隐私的安全性。
3.安全审计与监控规范安全审计与监控规范是确保计算机系统安全的关键环节。
规范要求系统管理员对计算机系统进行定期安全审计和监测,了解系统的安全态势和异常情况。
规范还要求配置安全监控工具,及时检测并响应安全事件。
此外,规范还规定了对日志记录的要求,以便追踪和分析潜在的安全风险。
4.网络安全规范网络安全规范是针对计算机系统与外部网络环境之间的安全通信和交互而制定的规范。
规范要求建立有效的防火墙和网络隔离策略,防止未经授权的网络入侵和攻击。
规范还强调对网络设备进行及时的安全更新和补丁管理,以修复系统漏洞。
此外,规范要求对网络流量进行实时监控和分析,发现并阻止网络安全威胁。
5.应急响应规范应急响应规范是针对计算机系统安全事件的紧急处理而制定的规范。
规范规定了安全事件的报告、溯源和恢复要求,要求建立和灵活的紧急响应机制。
规范还要求制定应急预案和培训计划,提高系统管理员和用户的应急响应能力。
综上所述,计算机系统安全规范通过一系列的张弛有度的规定和管理来确保计算机系统的安全性。
《中华人民共和国计算机信息系统安全保护条例》
《中华人民共和国计算机信息系统安全保护条例》中华人民共和国计算机信息系统安全保护条例第一章总则第一条为了保障计算机信息系统的安全,防范计算机病毒、网络攻击、网络侵入等危害行为,保护计算机信息安全,促进网络应用,制定本条例。
第二条本条例所称计算机信息系统,是指由计算机硬件、软件及与其它器件组成的网络系统,以及使用该系统的信息系统。
第三条本条例适用于计算机信息系统的设计、开发、生产、安装、维护、使用、监督和管理活动,适用于计算机信息系统安全行为的管理与监督。
第四条国家制定计算机信息系统安全保护标准,组织编制相关规范、技术标准和明确技术要求。
同时,加强计算机信息系统安全管理,加强对计算机信息系统安全产品、技术设备的监管和检测。
第五条国家保障计算机信息系统安全,鼓励与支持计算机信息系统安全技术和产品开发。
第二章计算机信息系统安全管理第六条计算机信息系统安全保护应当遵循分级保护、分步实施、安全预防、多重保障、防护和应急相结合的原则。
第七条计算机信息系统安全保护应当坚持国家安全与公共利益优先原则,鼓励企业、机关事业单位对内外网实行统一管理并建立统一的安全保密管理体系。
第八条计算机信息系统安全管理者应当加强信息技术安全知识、保密教育和安全意识的培训,制定安全保密责任制度。
任何单位或者个人不得泄露或者窃取国家秘密、商业秘密和个人隐私。
第九条计算机信息系统安全保护应当确保系统的完整性、可靠性、可用性。
系统设计应当具有完备的安全保障措施,并定期建立安全检测与修复制度。
第十条计算机信息系统安全保护应当始终将防御措施放在首位,不断完善应急处理机制,对可能发生的安全事故及时进行预警并采取相应的措施。
同时,应当定期制订安全保护演练计划并进行演练。
第三章计算机信息系统安全产品和技术第十一条计算机信息系统安全产品应当满足国家相关技术标准和安全标准,并经过国家认可。
第十二条计算机信息系统安全技术设备生产企业应当实行计算机信息系统安全管理制度,保证安全技术设备的生产、出售、维修符合国家的安全标准。
计算机网络安全措施与规范
计算机网络安全措施与规范1.防火墙:防火墙是一种网络安全设备,它可以控制进出网络的流量,并过滤和阻止潜在的恶意流量。
防火墙可以提供访问控制,防止网络入侵和保护敏感数据。
2.加密通信:加密是一种保护数据安全的技术。
通过使用加密算法和密钥来转换数据,只有具有正确密钥的人才能解密和访问数据。
加密通信可以防止数据在传输过程中被窃取或篡改。
3.访问控制:访问控制是一种控制网络资源访问权限的方法。
通过身份验证、授权和审核等手段,只有授权的用户才能访问特定的网络资源。
访问控制可以有效地保护敏感数据和系统安全。
4.强密码策略:强密码策略要求用户选择复杂的密码,包括大小写字母、数字和特殊符号,并定期更改密码。
强密码策略可以减少密码被猜测和破解的风险,提高系统安全性。
5.定期更新和升级:定期更新和升级操作系统、软件和应用程序是保护计算机网络安全的重要措施。
更新和升级可以修复已知的漏洞和安全问题,提高系统的稳定性和安全性。
6.常规备份和恢复:定期备份数据并测试恢复过程是防止数据丢失和系统崩溃的重要手段。
备份可以保护数据不受病毒和黑客攻击的影响,并确保数据在意外情况下可以恢复。
7.增强网络监控:网络监控可以实时检测和响应网络事件和安全威胁。
通过使用入侵检测系统(IDS)和入侵防御系统(IPS)等工具,可以及时发现并应对网络攻击和入侵行为。
8.培训和教育:对员工进行网络安全培训和教育是提高网络安全意识和减少安全漏洞的重要措施。
员工可以了解常见的网络威胁和安全最佳实践,并学习如何保护个人和组织的网络安全。
除了以上列举的安全措施外,应遵守以下网络安全规范,以确保网络系统的安全性:1.遵守软件许可协议:使用合法的和经过授权的软件,并在符合软件许可协议的条件下使用。
2.遵守网络使用政策:遵守组织或公司规定的网络使用政策,不进行非法、未经授权或可能损害网络资源和其他用户利益的行为。
3.管理员权限和访问控制:仅授权的管理员才能访问和管理网络系统,并限制其他用户的权限。
[法规]中华人民共和国计算机信息系统安全保护条例(1994年2月18日)
![[法规]中华人民共和国计算机信息系统安全保护条例(1994年2月18日)](https://img.taocdn.com/s3/m/a8a06adaa58da0116c174995.png)
[法规]中华人民共和国计算机信息系统安全保护条例(1994年2月18日)中华人民共和国国务院令(147号)现发布《中华人民共和国计算机信息系统安全保护条例》,自发布之日起施行。
总理李鹏1994年2月18日中华人民共和国计算机信息系统安全保护条例第一章总则第一条为了保护计算机信息系统的安全,促进计算机的应用和发展,保障社会主义现代化建设的顺利进行,制定本条例。
第二条本条例所称的计算机信息系统,是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
第三条计算机信息系统的安全保护,应当保障计算机及其相关的和配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行。
第四条计算机信息系统的安全保护工作,重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全。
第五条中华人民共和国境内的计算机信息系统的安全保护,适用本条例。
未联网的微型计算机的安全保护办法,另行制定。
第六条公安部主管全国计算机信息系统安全保护工作。
国家安全部、国家保密局和国务院其他有关部门,在国务院规定的职责范围内做好计算机信息系统安全保护的有关工作。
第七条任何组织或者个人,不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动,不得危害计算机信息系统的安全。
第二章安全保护制度第八条计算机信息系统的建设和应用,应当遵守法律、行政法规和国家其他有关规定。
第九条计算机信息系统实行安全等级保护。
安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。
第十条计算机机房应当符合国家标准和国家有关规定。
在计算机机房附近施工,不得危害计算机信息系统的安全。
第十一条进行国际联网的计算机信息系统,由计算机信息系统的使用单位报省级以上人民政府公安机关备案。
第十二条运输、携带、邮寄计算机信息媒体进出境的,应当如实向海关申报。
中华人民共和国计算机信息系统安全保护条例国务院第1994年...
《中华人民共和国计算机信息系统安全保护条例》(国务院第1994年147号令)第一章 总则第一条 为了保护计算机信息系统的安全,促进计算机的应用和发展,保障社会主义现代化建设的顺利进行,制定本条例。
第二条 本条例所称的计算机信息系统,是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
第三条 计算机信息系统的安全保护,应当保障计算机及其相关的和配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行。
第四条 计算机信息系统的安全保护工作,重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全。
第五条 中华人民共和国境内的计算机信息系统的安全保护,适用本条例。
未联网的微型计算机的安全保护办法,另行制定。
第六条 公安部主管全国计算机信息系统安全保护工作。
国家安全部、国家保密局和国务院其他有关部门,在国务院规定的职责范围内做好计算机信息系统安全保护的有关工作。
第七条 任何组织或个人,不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动,不得危害计算机信息系统的安全。
第二章 安全保护制度第八条 计算机信息系统的建设和应用,应当遵守法律、行政法规和国家其他有关规定。
第九条 计算机信息系统实行安全等级保护。
安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。
第十条 计算机机房应当符合国家标准和国家有关规定。
在计算机机房附近施工,不得危害计算机信息系统的安全。
第十一条 进行国际联网的计算机信息系统,由计算机信息系统的使用单位报省级以上人民政府公安机关备案。
第十二条 运输、携带、邮寄计算机信息媒体进出境的,应当如实向海关申报。
第十三条 计算机信息系统的使用单位应当建立健全安全管理制度,负责本单位计算机信息系统的安全保护工作。
计算机信息系统安全保护条例
中华人民共和国计算机信息系统安全保护条例国务院令第147号第一章总则第一条为了保护计算机信息系统的安全,促进计算机的应用和发展,保障社会主义现代化建设的顺利进行,制定本条例;第二条本条例所称的计算机信息系统,是指由计算机及其相关的和配套的设备、设施含网络构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统;第三条计算机信息系统的安全保护,应当保障计算机及其相关的和配套的设备、设施含网络的安全,运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行;第四条计算机信息系统的安全保护工作,重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全;第五条中华人民共和国境内的计算机信息系统的安全保护,适用本条例; 未联网的微型计算机的安全保护办法,另行制定;第六条公安部主管全国计算机信息系统安全保护工作; 国家安全部、国家保密局和国务院其他有关部门,在国务院规定的职责范围内做好计算机信息系统安全保护的有关工作;第七条任何组织或个人,不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动,不得危害计算机信息系统的安全;第二章安全保护制度第八条计算机信息系统的建设和应用,应当遵守法律、行政法规和国家其他有关规定;第九条计算机信息系统实行安全等级保护;安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定;第十条计算机机房应当符合国家标准和国家有关规定; 在计算机机房附近施工,不得危害计算机信息系统的安全;第十一条进行国际联网的计算机信息系统,由计算机信息系统的使用单位报省级以上人民政府公安机关备案;第十二条运输、携带、邮寄计算机信息媒体进出境的,应当如实向海关申报;第十三条计算机信息系统的使用单位应当建立健全安全管理制度,负责本单位计算机信息系统的安全保护工作;第十四条对计算机信息系统中发生的案件,有关使用单位应当在24小时内向当地县级以上人民政府公安机关报告;第十五条对计算机病毒和危害社会公共安全的其他有害数据的防治研究工作,由公安部归口管理;第十六条国家对计算机信息系统安全专用产品的销售实行许可证制度;具体办法由公安部会同有关部门制定;第三章安全监督第十七条公安机关对计算机信息系统保护工作行使下列监督职权:一监督、检查、指导计算机信息系统安全保护工作;二查处危害计算机信息系统安全的违法犯罪案件;三履行计算机信息系统安全保护工作的其他监督职责;第十八条公安机关发现影响计算机信息系统安全的隐患时,应当及时通知使用单位采取安全保护措施;第十九条公安部在紧急情况下,可以就涉及计算机信息系统安全的特定事项发布专项通令;第四章法律责任第二十条违反本条例的规定,有下列行为之一的,由公安机关处以警告或者停机整顿:一违反计算机信息系统安全等级保护制度,危害计算机信息系统安全的;二违反计算机信息系统国际联网备案制度的;三不按照规定时间报告计算机信息系统中发生的案件的;四接到公安机关要求改进安全状况的通知后,在限期内拒不改进的;五有危害计算机信息系统安全的其他行为的;第二十一条计算机机房不符合国家标准和国家其他有关规定的,或者在计算机机房附近施工危害计算机信息系统安全的,由公安机关会同有关单位进行处理;第二十二条运输、携带、邮寄计算机信息媒体进出境,不如实向海关申报的,由海关依照中华人民共和国海关法和本条例以及其他有关法律、法规的规定处理;第二十三条故意输入计算机病毒以及其他有害数据危害计算机信息系统安全的,或者未经许可出售计算机信息系统安全专用产品的,由公安机关处以警告或者对个人处以5000元以下的罚款、对单位处以15000元以下的罚款;有违法所得的,除予以没收外,可以处以违法所得1至3倍的罚款;第二十四条违反本条例的规定,构成违反治安管理行为的,依照中华人民共和国治安管理处罚条例的有关规定处罚;构成犯罪的,依法追究刑事责任;第二十五条任何组织或者个人违反本条例的规定,给国家、集体或者他人财产造成损失的,应当依法承担民事责任;第二十六条当事人对公安机关依照本条例所作出的具体行政行为不服的, 可以依法申请行政复议或者提起行政诉讼;第二十七条执行本条例的国家公务员利用职权,索取、收受贿赂或者有其他违法、失职行为,构成犯罪的,依法追究刑事责任;尚不构成犯罪的,给予行政处分;第五章附则第二十八条本条例下列用语的含义:计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码; 计算机信息系统安全专用产品,是指用于保护计算机信息系统安全的专用硬件和软件产品;第二十九条军队的计算机信息系统安全保护工作,按照军队的有关法规执行;第三十条公安部可以根据本条例制定实施办法;第三十一条本条例自发布之日起施行;。
中华人民共和国计算机信息系统安全保护条例
第二十七条 执行本条例的国家公务员利用职权!索取& 收受贿赂或者有其 他 违 法&失 职 行 为!构 成 犯 罪 的!依 法 追 究 刑 事 责 任 $尚 不 构 成 犯 罪 的 !给 予 行 政 处 分 %
第五章 附 则
第二十八条 本条例下列用语的含义’ 计算机病毒!是 指 编 制 或 者 在 计 算 机 程 序 中 插 入 的 破 坏 计 算 机 功 能 或 者 毁 坏 数 据 !影 响 计 算 机 使 用 !并 能 自 我 复 制 的 一组计算机指令或者程序代码% 计算机信息 系 统 安 全 专 用 产 品!是 指 用 于 保 护 计 算 机 信 息系统安全的专用硬件和软件产品% 第二十九条 军 队 的 计 算 机 信 息 系 统 安 全 保 护 工 作!按 照军队的有关法规执行% 第三十条 公安部可以根据本条例制定实施办法% 第三十一条 本条例自发布之日起施行%
第三条 计 算 机 信 息 系 统 的 安 全 保 护)应 当 保 障 计 算 机 及 其 相 关 的 和 配 套 的 设 备 +设 施 !含 网 络 (的 安 全 )运 行 环 境 的 安全)保障信息的安 全)保 障 计 算 机 功 能 的 正 常 发 挥)以 维 护 计算机信息系统的安全运行*
中华人民共和国计算机信息系统安全保护条例
中华人民共和国计算机信息系统安全保护条例(国务院令第147号)第一章总则第一条为了保护计算机信息系统の安全,促进计算机の应用和发展,保障社会主义现代化建设の顺利进行,制定本条例。
第二条本条例所称の计算机信息系统,是指由计算机及其相关の和配套の设备、设施(含网络)构成の,按照一定の应用目标和规则对信息进行采集、加工、存储、传输、检索等处理の人机系统。
第三条计算机信息系统の安全保护,应当保障计算机及其相关の和配套の设备、设施(含网络)の安全,运行环境の安全,保障信息の安全,保障计算机功能の正常发挥,以维护计算机信息系统の安全运行。
第四条计算机信息系统の安全保护工作,重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域の计算机信息系统の安全。
第五条中华人民共和国境内の计算机信息系统の安全保护,适用本条例。
未联网の微型计算机の安全保护办法,另行制定。
第六条公安部主管全国计算机信息系统安全保护工作。
国家安全部、国家保密局和国务院其他有关部门,在国务院规定の职责范围内做好计算机信息系统安全保护の有关工作。
第七条任何组织或个人,不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益の活动,不得危害计算机信息系统の安全。
第二章安全保护制度第八条计算机信息系统の建设和应用,应当遵守法律、行政法规和国家其他有关规定。
第九条计算机信息系统实行安全等级保护。
安全等级の划分标准和安全等级保护の具体办法,由公安部会同有关部门制定。
第十条计算机机房应当符合国家标准和国家有关规定。
在计算机机房附近施工,不得危害计算机信息系统の安全。
第十一条进行国际联网の计算机信息系统,由计算机信息系统の使用单位报省级以上人民政府公安机关备案。
第十二条运输、携带、邮寄计算机信息媒体进出境の,应当如实向海关申报。
第十三条计算机信息系统の使用单位应当建立健全安全管理制度,负责本单位计算机信息系统の安全保护工作。
第十四条对计算机信息系统中发生の案件,有关使用单位应当在24小时内向当地县级以上人民政府公安机关报告。
计算机信息系统安全管理制度
计算机信息系统安全管理制度一、引言计算机信息系统安全管理制度是为了维护企业或组织的计算机信息系统安全而制定的一系列规范和措施。
随着计算机信息系统在企业和组织中的广泛应用,保护计算机信息系统的安全已经成为一项紧迫的任务。
本文将从制度的目的、范围、责任、控制措施和应急响应等方面进行阐述。
二、目的计算机信息系统安全管理制度的主要目的是确保计算机信息系统免受各种威胁和攻击,保护企业或组织的信息资产安全。
具体目标如下:1.预防计算机信息系统遭受未经授权的访问、修改、删除等恶意行为;2.保护计算机信息系统中的敏感数据和商业机密不被泄露;3.提高计算机信息系统的可用性,防范系统故障和人为错误;4.建立完善的安全管理框架,确保各项安全措施得到贯彻执行;5.高效应对计算机信息系统安全事件,减少损失。
三、范围计算机信息系统安全管理制度适用于企业或组织内所有计算机信息系统的管理和维护工作。
包括但不限于以下范围:1.企业或组织内部使用的计算机信息系统,包括服务器、网络设备、终端设备等;2.与企业或组织相关的外部计算机信息系统,如合作伙伴的系统、客户的系统等;3.云计算和移动计算领域的计算机信息系统。
四、责任为了确保计算机信息系统安全管理制度的有效实施,需要明确各方的责任和义务。
1.高层管理人员:负责制定和审批计算机信息系统安全管理制度,并对制度的执行情况进行监督和督促。
2.信息安全管理员:负责计算机信息系统的日常管理和维护,包括配置安全策略、监控安全事件等。
3.员工:应遵守计算机信息系统安全管理制度,不得进行越权操作或泄露敏感信息。
五、控制措施为了保障计算机信息系统的安全,需要从多个方面采取控制措施。
1.访问控制:建立用户账号管理制度,合理划分用户权限,限制未授权用户的访问。
2.数据加密:对重要数据进行加密存储,确保数据在传输和存储过程中不被泄露。
3.防火墙和入侵检测系统:部署防火墙和入侵检测系统,保护计算机信息系统免受外部攻击。
计算机网络安全规范
计算机网络安全规范计算机网络安全规范是指为了保护计算机网络系统免受各种威胁和攻击,确保网络系统的机密性、完整性和可用性而制定的一系列准则和标准。
本文将从网络安全的重要性、网络安全规范的内容和实施措施等方面进行探讨。
一、网络安全的重要性随着计算机网络的广泛应用,网络安全问题日益突出。
网络攻击、数据泄露、恶意软件等安全威胁对个人、企业和国家的利益造成了严重威胁。
因此,制定和遵守网络安全规范具有重要意义。
首先,网络安全规范可以保护用户的个人信息和隐私。
在网络时代,个人信息的泄露和滥用已成为常见问题。
制定网络安全规范可以加强对个人信息的保护,防止个人信息被不法分子利用。
其次,网络安全规范可以保护企业的商业机密和核心竞争力。
企业的商业机密和核心竞争力往往存储在计算机网络系统中。
网络安全规范的实施可以防止竞争对手获取企业敏感信息,保护企业的商业利益。
最后,网络安全规范对于国家安全具有重要意义。
现代社会的运行离不开计算机网络系统,国家的重要信息和基础设施往往依赖于计算机网络。
网络安全规范的制定和实施可以保护国家的核心利益和安全。
二、网络安全规范的内容网络安全规范的内容涵盖了网络系统的各个方面,包括网络设备、网络通信、网络应用等。
下面将从几个重要方面进行介绍。
1. 网络设备安全网络设备安全是网络安全的基础。
网络设备包括路由器、交换机、防火墙等。
网络安全规范要求对网络设备进行定期维护和升级,确保设备的运行安全和稳定性。
同时,网络设备的管理密码和访问权限也需要进行合理设置,防止未经授权的人员对设备进行操作。
2. 网络通信安全网络通信安全是保障网络数据传输安全的重要环节。
网络安全规范要求对数据传输进行加密和认证,确保数据在传输过程中不被窃取和篡改。
同时,还需要对网络通信进行监控和审计,及时发现异常行为并采取相应措施。
3. 网络应用安全网络应用安全是保护网络系统的关键环节。
网络安全规范要求对网络应用进行安全评估和漏洞扫描,及时修复和更新应用程序。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
计算机系统安全规范(草案)一、引言1.1 目的随着计算机应用的广泛普及,计算机安全已成为衡量计算机系统性能的一个重要指标。
计算机系统安全包含两部分内容,一是保证系统正常运行,避免各种非故意的错误与损坏;二是防止系统及数据被非法利用或破坏。
两者虽有很大不同,但又相互联系,无论从管理上还是从技术上都难以截然分开,因此,计算机系统安全是一个综合性的系统工程。
本规范对涉及计算机系统安、全的各主要环节做了具体的说明,以便计算机系统的设计、安装、运行及监察部门有一个衡量系统安全的依据。
1.2 范围本规范是一份指导性文件,适用于国家各部门的计算机系统。
在弓I用本规范时,要根据各单位的实际情况,选择适当的范围,不强求全面采用。
二、安全组织与管理2.1安全机构2.1.1单位最高领导必须主管计算机安全工作。
2.1.2建立安全组织:2.1.2.1安全组织由单位主要领导人领导,不能隶属于计算机运行或应用部门。
2.1.2.2安全组织由管理、系统分析、软件、硬件、保卫、审计、人事、通信等有关方面人员组成。
2.1.2.3安全负责人负责安全组织的具体工作。
2.1.2.4安全组织的任务是根据本单位的实际情况定期做风险分析,提出相应的对策并监督实施。
2.1.3安全负责人制:2.1.3. I确定安全负责人对本单位的计算机安全负全部责任。
2.1.3.2只有安全负责人或其指定的专人才有权存取和修改系统授权表及系统特权口令。
2.1.3.3安全负责人要审阅每天的违章报告,控制台操作记录、系统日志、系统报警记录、系统活动统计、警卫报告、加班报表及其他与安全有关的材料。
2.1.3.4安全负责人负责制定安全培训计划。
2.1.3.5若终端分布在不同地点,则各地都应有地区安全负责人,可设专职,也可以兼任,并接受中心安全负责人的领导。
2.1.3.6各部门发现违章行为,应向中心安全负责人报告,系统中发现违章行为要通知各地有关安全负责人。
2.1.4计算机系统的建设应与计算机安全工作同步进行。
2.2人事管理2.2.1人员审查:必须根据计算机系统所定的密级确定审查标准。
如:处理机要信息的系统,接触系统的所有工作人员必须按机要人员的标准进行审查。
2.2.2关键岗位的人选。
如:系统分析员,不仅要有严格的政审,还要考虑其现实表现、工作态度、道德修养和业务能力等方面。
尽可能保证这部分人员安全可靠。
2.2.3所有工作人员除进行业务培训外,还必须进行相应的计算机安全课程培训,才能进入系统工作。
2.2.4人事部门应定期对系统所有工作人员从政治思想、业务水平、工作表现等方面进行考核,对不适于接触信息系统的人员要适时调离。
2.2.5对调离人员,特别是在不情愿的情况下被调走的人员,必须认真办理手续。
除人事手续外,必须进行调离谈话,申明其调离后的保密义务,收回所有钥匙及证件,退还全部技术手册及有关材料。
系统必须更换口令和机要锁。
在调离决定通知本人的同时,必须立即进行上述工作,不得拖延。
2. 3安全管理2.3,1应根据系统所处理数据的秘密性和重要性确定安全等级,井据此采用有关规范和制定相应管理制度。
2.3.2安全等级可分为保密等级和可靠性等级两种,系统的保密等级与可靠性等级可以不同。
2.3.2.1保密等级应按有关规定划为绝密、机密、秘密。
2.3.2.2可靠性等级可分为三级。
对可靠性要求最高的为 A级,系统运行所要求的最低限度可靠性为 C级,介于中间的为 B级。
2.3.3用于重要部门的计算机系统投入运行前,应请公安机关的计算机监察部门进行安全检查。
2.3.4必须制定有关电源设备、空凋设备,防水防盗消防等防范设备的管理规章制度。
确定专人负责设备维护和制度实施。
2.3.5应根据系统的重要程度,设立监视系统,分别监视设备的运行情况或工作人员及用户的操作情况,或安装自动录象等记录装置。
对这些设备必须制定管理制度,并确定负责人。
2.3.6制定严格的计算中心出入管理制度:2.3.6.1计算机中心要实行分区控制,限制工作人员出入与己无关的区域。
2.3.6.2规模较大的计算中心,可向所有工作人员,包括来自外单位的人员,发行带有照片的身份证件,并定期进行检查或更换。
2.3.6.3安全等级较高的计算机系‘统,除采取身份证件进行识别以外,还要考虑其他出入管理措施,如:安装自动识别登记系统,采用磁卡、结构编码卡或带有徽电脑及存储器的身份卡等手段,对人员进行自动识别、登记及出入管理。
2.3.6.4短期工作人员或维修人员的证件,应注明有效日期,届时收回。
2.3.6.5参观人员必须由主管部门办理参观手续,参观时必须有专人陪同。
2.3.6.6因系统维修或其它原因需外国籍人进入机房时,必须始终有人陪同。
2.3.6.7进出口的钥匙应保存在约定的场所,由专人管理,并明确其责任。
记录最初人室者及最后离室者和钥匙交换时间。
2.3.6.8在无警卫的场合,必须保证室内无人时,关锁所有出入口。
2.3.6.9禁止携带与上机工作无关的物品进入机房。
2.3.6.10对于带进和带出的物品,如有疑问,庞进行查验。
2.3.7制定严格的技术文件管理制度。
2.3.7.1计算机系统的技术文件如说明书、手册等应妥善保存,要有严格的借阅手续,不得损坏及丢失。
2.3.7.2应备有关计算机系统操作手册规定的文件。
2.3.7.3庞常备计算机系统出现故障时的替代措施及恢复顺序所规定的文件。
2.3.8制定严格的操作规程:2.3.8. I系统操作人员应为专职,操作时要有两名操作人员在场。
2.3.8.2对系统开发人员和系统操作人员要进行职责分离。
2.3.9制定系统运行记录编写制度,系统运行记录包括系统名称、姓名、操作时间、处理业务名称、故障记录及处理情况等。
2.3.10制定完备的系统维护制度:2.3.10.1对系统进行维护时,应采取数据保护措施。
如:数据转贮、抹除、卸下磁盘磁带,维护时安全人员必须在场等。
运程维护时,应事先通知。
2.3.10.2对系统进行预防维修或故障维修时,必须记录故障原因、维修对象、维修内容和维修前后状况等。
2,3.10.3必须建立完整的维护记录档案。
2.3.11应制定危险品管理制度。
2.3.12应制定消耗品管理制度。
2.3.13应制定机房清洁管理制度。
2.3.14必须制定数据记录媒体管理制度。
2.3.15必须定期进行安全设备维护及使用训练,保证每个工作人员都能熟练地操作有关的安全设备。
三、安全技术措施3.1实体安全3.1.1设计或改建计算机机房时必须符合下列标准:3.1.1.1《计算机场地技术要求》(GB2887—87)。
3.1.1.2《计算站场地安全要求》国家标准(待公布)。
3.1.2计算中心机房建筑和结构还应注意下列问题:3.1.2.1祝房最好为专用建筑。
3.1.2.2机房最好设置在电梯或楼梯不能直接进入的场所。
3.1.2.3机房应与外部人员频繁出入的场所隔离。
3.1.2.4机房周围应设有围墙或栅栏等防止非法进入的设施。
3.1.2.5建筑物周围应有足够照度的照明设施,以防夜间非法侵入。
3.1.2.6外部容易接近的窗口应采取防范措施。
如钢化玻璃、嵌网玻璃及卷帘和铁窗。
无人值守时应有自动报警设备。
3.1.2.7应在合适的位置上开设应急出口,作为避险通道或应急搬运通道。
3.1.2.8机房内部设计庞便于出入控制和分区控制。
3.1.3重要部门的计算机中心外部不应设置标明系统及有关设备所在位置的标志。
3.1.4安全设备除符合《计算站场地安全要求》标准外,还要注意以下几点:3.1.4.1机房进出口应设置应急电话。
3.1.4.2各房间应设置报警喇叭。
以免由于隔音及空调的原因而听不到告警通知。
3.1.4.3进出口应设置识别与记录进出人员的设备及防范设备。
3.1.4.4机房内用于动力、照明的供电线路应与计算机系统的供电线路分开。
3.1.4.5机房内不同电压的供电系统应安装互不兼容的插座。
3.1.4.6应设置温、湿度自动记录仪及温、湿度报警设备。
3.1.5主机及外设的电磁干扰辐射必须符合国家标准或军队标准的要求,外国产品则必须符合生产国的标准,如 FCC或 VDE等标准。
3.1.6机要信息处理系统中要考虑防止电磁波信息辐射被非法截收。
3.1.6.1可采取区域控制的办法,即将可能截获辐射信息的区域控制起来,不许外部人员接近。
3.1.6.2可采用机房屏蔽的方法,使得信息不能辐射出机房。
3.1.6.3可采用低辐射设备。
3.1.6.4可采取其它技术,使得难以从被截获的辐射信号中分析出有效信息。
3.1.6.5关于屏蔽技术的具体要求和技术指标可向公安部有关部门咨询。
3.1.7磁媒休管理:3.1.7.1磁盘、磁带必须按照系统管理员及制造厂确定的操作规程安装。
3.1.7.2传递过程的数据磁盘、磁带应装在金属盒中。
3.1.7.3新带在使用前庞在机房经过二十四小时温度适应。
3.1. 7.4磁带、磁盘应放在距钢筋房柱或类似结构物十厘米以上处,以防雷电经钢筋传播时产生的磁场损坏媒体上的信息。
3.1.7.5存有机要信息的磁带清除时必须进行消磁,不得只进行磁带初始化。
3.1.7.6所有入库的盘带目录清单必须具有统一格式,如文件所有者、卷系列号、文件名及其描述、作业或项目编号、建立日期及保存期限。
3.1.7.7盘带出入库必须有核准手续并有完备记录。
3.1.7.8长期保存的磁带庞定期转贮。
3.1.7.9存有记录机要信息磁带的库房,必须符合相应密级的文件保存和管理条例的要求,不得与一般数据磁带混合存放。
3.1.7.10重要的数据文件必须多份拷贝异地存放。
3.1.7.11磁带库必须有专人负责管理。
3.2软件安全3.2.1系统软件应具有以下安全措施:3.2.1.1操作系统应有较完善的存取控制功能,以防止用户越权存取信息。
3.2.1.2操作系统应有良好的存贮保护功能,以防止用户作业在指定范围以外的存贮区域进行读写。
3.2.1.3操作系统应有较完善的管理功能,以记录系统的运行情况,监测对数据文件的存取。
3.2.1.4维护人员进行维护时,应处于系统安全控制之下。
3.2.1.5操作系统发生故障时,不应暴露口令,授权表等重要信息。
3.2.1.6操作系统在作业正常或非正常结束以后,应该清除分配给该作业的全部临时工作区域。
3.2.1.7系统应能像保护信息的原件一样,精确地保护信息的拷贝。
3.2.2应用软件:3.2.2.1应用程序必须考虑充分利用系统所提供的安全控制功能。
3.2.2.2应用程序在保证完成业务处理要求的同时,应在设计时增加必要的安全控制功能。
3.2.2.3程序员与操作员职责分离。
3.2.2.4安全人员应定期用存档的源程序与现行运行程序进行对照,以有效地防止对程序的非法修改。
3.2.3数据库:3.2.3.1数据库必须有严格的存取控制措施,库管理员可以采取层次、分区、表格等各种授权方式,控制用户对数据库的存取权限。