您当前的位置:首 页 > 教育教学 > 信息安全 > 安全制度

信息安全

    复旦中学系统安全管理规范

    作者:管理员     发布时间:2016-11-23 点击数:4730

    一、            系统访问控制

    1、应根据业务需求和安全要求制定访问控制策略,明确访问控制的具体要求,清楚地说明信息系统的访问控制准则和用户的访问权限。

    2、访问控制策略应考虑以下内容:

    (1)    每个系统的安全要求

    (2)    同系统间,访问控制与信息分级的一致性。

    (3)    符合相关法律法规及合同义务

    (4)    访问权限的管理

    (5)    信息发布和授权的管理,如根据工作需要确定信息发布和授权范围,并明确信息的安全级别。

    (6)    普通用户所能访问的基本信息

    3、访问控制准则应明确规定禁止事项和允许事项,应注意以下几点:

    (1)    区分强制执行的准则与可选或条件性的准则

    (2)    以“除非明确许可,否则必须禁止”为基础简历准则,而不是“除非明确禁止,否则通常允许”

    (3)    信息标签的变更,包括系统自动生效和用户决定的。

    (4)    涉及用户权限的变更,包括系统自动生效的和管理员批准生效的。

    (5)    访问规则需经主管人员审查批准方可执行。

    二、            系统账号管理

    1、账号使用要求

    (1)        所有操作系统、业务系统、数据库等均需要支持基于账号的访问控制功能。

    (2)        应用系统用户按个人创建单独的账号,并赋予相应权限,以避免共享账号的产生。

    (3)        系统管理员应对账号申请者提供适当的培训与指导,以确保申请者能够进行正确的操作,避免对系统安全造成隐患。

    (4)        系统正式投入前,必须更改原来系统中的缺省账号的所有口令,以保证正式环境的安全。

    (5)        账号使用人在使用过程中,不得使用账号访问与自己工作无关的资源。

    2、特权用户的新增、变更和注销。

    (1)        如需在系统中新增特权用户、变更或注销已有特权用户的,申请人需通过学校信息中心批准。

    3、账号权限管理要求

    (1)        对账号的授权须遵守“最小权限”原则,即以其能进行系统管理、操作的最小权限进行授权,权限与具体人员的职责匹配,并根据岗位变更进行相应调整。

    (2)        从账号管理的角度,可以进行基于角色的访问控制权限的设定,即对资源的访问控制权限是以角色或组为单位进行授予,角色定义不随人员的管理岗位的变更而变更。

    三、            系统操作安全风险

    1、所有用户都必须设置口令,口令应具备一定长度要求,且不可选择常用易猜的名字或单词,口令应定期更换。

    2、严格按岗位职责设置各岗位工作人员的操作权限。

    3、对于已经调离的工作人员,应及时清理其操作权限。

    4、应删除系统中的来宾用户,服务器及应用系统中其它的冗余用户或过期用户也需定期清理。

    5、对于应用系统及其它系统设备的日常使用和维护应严格按照操作流程进行,不得违反规范随意操作。

    6、对于信息系统的重要维护操作坚持复核制度,即一人操作,另一人复核,以保证操作正确性。

    7、信息系统出现重大技术故障,应及时汇报并按应急计划实施应急措施。

    四、            系统软件维护

    1、系统软件维护

    (1)    当操作系统有安全补丁需要安装时,应判断安全补丁的安装对现有应用系统的影响程度。

    (2)    安全补丁安装前应对当前操作系统进行一次完全备份,安装之后对操作系统再做一次完全备份,并做好记录。

    2、应用软件维护

    (1)    应用软件有新版本需要升级时,应判断新版本是否可以在现有平台上安装,并由相关系统负责人决定是否可以安装,确定允许安装后联系软件供应商取得最新稳定版由公司技术支持人员安装。

    (2)    应用软件升级前应当对当前操作系统及应用软件配置和数据进行完全备份,安装完后作好记录。

    (3)    应用软件系统配置、参数需要变更时,要得到学校相关负责人的同意。先在少数几台设备上进行测试,保证这几台设备的数据安全并做好备份。测试未发现问题后进行正式变更,并在变更前做好备份,并做好记录。

    五、            系统日志管理

    1、系统日志管理包括生产系统的操作系统日志、应用系统日志及数据库日志。

    2、系统日志应每月备份并存档,保存周期至少半年

    六、            漏洞扫描

    1、对重要业务系统需定期漏洞扫描以发现系统潜在的安全隐患,扫描对象包括服务器操作系统和数据库系统。

     

    本文共1页 

    关闭窗口

    电话62800172-8214

    沪ICP备06032912号-1

     
    当前在线人数:754;累计访问人数:15401860