系统安全管理规范

太极计算机股份有限公司

ISO20000体系文件

系统安全管理规范

（版次：0/A）

编制人（部门）：电子政务日期：2010-3-1

审核人：日期：

批准人：日期：

2010年3月1日发布2010年3月1日实施

手册修订履历

目录

1概述 (4)

1.1目的 (4)

1.2适用范围 (4)

2术语定义 (4)

3角色及职责 (4)

4工作要求 (5)

4.1一般要求 (5)

4.2帐号管理原则 (5)

4.3密码使用安全原则 (6)

4.4提高系统安全原则和措施 (6)

4.5系统设备物理安全 (7)

4.6系统补丁管理 (8)

4.7系统防病毒管理 (9)

4.8定期进行安全检查和审计 (10)

4.9通用软件的安全管理 (10)

4.10备份数据和介质的管理 (10)

5相关文件及记录 (11)

5.1相关文件 (11)

5.2表单和记录 (11)

1概述

1.1 目的

本程序的目的是就安全与管理层面，规范系统设备管理以及系统和数据库访问行为，以确保信息与系统的访问与权限能适当的授权、配置及维持，避免未获授权的访问，并确保系统和重要信息的可用性(信息可供访问)和完整性(信息未被篡改)。

1.2 适用范围

本文档所规定IT服务是指运维服务部PV分部提供的IT服务；

本文档所规定IT服务商是指运维服务部PV分部；

本文档适用于运维服务部PV分部的所有领域。

2术语定义

计算机系统：包括系统主机、系统设备及其相关配套的设备（含系统线路）及相关软件等。3角色及职责

4工作要求

4.1 一般要求

●因业务需要而产生对信息的访问，其管理的要求于下列各章节进行约定，使用者仅限

于访问授权范围内的信息、系统与数据库，不得作未经授权的访问。

●职责区域：系统开发人员负责系统开发与测试；系统管理员负责系统及设备管理；数

据库管理员负责数据库管理(含相关硬件)；安全审计人员负责安全审核；前述各类人员均应于授权责任范围内运作，以降低信息或服务遭受未授权的修改或误用。

●所有的系统和数据库的重要配置参数（包括系统和数据库密码），均由各系统管理员负

责设定与管理(含数据保存及备份)。重要配置的修改，需按变更管理程序进行。

●核心系统和信息的访问必需尽可能经过审计，要设置自动审记（日志），记录每次访问

的用户、时间、操作内容等，妥善保管并定期审查这些日志。

●所有业务系统数据包括备份数据，特别是用户信息，应加以妥善保管，非经授权不得

访问。

●所有信息处理和设备的使用，均需经适当的授权，以防止该设备的不当使用。

4.2 帐号管理原则

为确保系统和数据库的访问与权限均能适当地授权、分配和管理，对系统的帐号要进行分级管理，具体如下：

●系统访问权限分为系统管理员帐号和普通用户帐号，系统管理员帐号由系统管理员管

理和使用，普通用户由系统管理员建立，所需要权限由系统管理员审查其必要性后授

予，确保只授予必要的权限；

●对于数据库的帐号分为管理帐号、属主帐号、应用帐号和只读帐号，数据库管理帐号

由数据库管理员管理和使用，属主帐号是数据库中具体应用的属主，用于管理数据库

中的具体应用，如备份、还原等，应用帐号和只读帐号可用于AP服务器上连接数据

库的配置，原则上不能将数据库的帐号授权给非系统运维人员，特殊情况下经过领导

审批，可授予个别表的只读权限。数据库上的帐号由数据库管理员管理和授权。

●使用者需要进行系统与数据库访问时，均需向该系统的系统管理员或数据库管理员申

请并经相关的使用者单位主管核准授权后始得使用，在申请时必需说明必要的权限和

使用期限，使用者单位主管应考虑申请者的实际业务需要，要确保只授予必要的权限，任务解除或人员离职时亦须向该系统管理员或数据库管理员办理注销。

i.系统管理员授与使用者的初次密码，应以适当方式交付使用者个人，并要求使用者获

得初次密码后，应立即更改成自订的密码，并定期修改密码，如果不能自行修改密码

的，需要系统管理员定期修改后通知使用者。

●正式投入运行使用的系统及数据库，相关密码由责任系统管理员和系统管理单位主管

保管和管理。无特殊需要，在系统正式使用后，一般的项目组成员及系统集成人员，

不赋予正式的系统设备的访问权限。如有特殊需要由项目经理通过OA工作联络单申

请，责任系统管理员可在短期内开设临时普通帐号（只赋予必要的权限），供项目组使

用，在规定时间内及使用完毕后要及时收回权限。

4.3 密码使用安全原则

管理员和使用者应负责其口令及信息处理设备的使用符合下列要求，以避免其口令及信息处理设备招致误用。

●对口令的使用应符合下列规定：

●密码长度至少为六个字符。

●密码中应包含至少四个英文大小写字母。

●密码中应包含至少一个非英文字母的字符。

●不得选取使用者账号、姓名、生日、身分证字号或单位代名等与个人或单位相关的信

息做为密码。

●不得选取英文单词为密码。

●密码一般三月更换一次，管理员可根据系统情况对周期进行调整。

●使用者应负责确保所使用的信息设备在处于无人看管的状态(例如使用时中途离开)时

有适当的保护。

4.4 提高系统安全原则和措施

为保证系统的安全性，在安装配置操作系统时要注意以下问题：

第1：只启动必要的服务

除了当前必要的服务，其他服务都应该取消，。

第2：及时安装系统补丁

为了加强系统安全，一定要及时安装系统补丁，特别是涉及系统安全漏洞的补丁。

第3：安装和启动防火墙

核心系统还需要借助防火墙等其他安全工具，只开放使用的端口，共同防御黑客入侵。

第3：限制系统的出入

在进入系统之前，所有用户都需要登录，也就是说，用户需要输入用户账号和密码，只有它们