第一篇：網絡與應用系統安全管理規定

**公司

網絡與應用系統安全管理規定

第一章 總 則

第一條 為貫徹《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）最大限度地消除互聯網應用風險和隱患,提高**公司網絡和應用系統安全防護水平,保障網絡和應用系統的安全和穩定運行,特結合**公司實際制定本規定。

第二條 把網絡與應用系統安全納入公司發展規劃和預算管理。確立網絡與應用系統安全在公司發展中的重要地位，將網絡與應用系統安全預算資金集中投入，統一管理，專款專用。

第三條 加強網絡與應用系統安全隊伍建設，將人才培養與推進信息化安全結合起來，提高全員信息化應用安全水平。

第四條 制訂公司全員信息化安全管理和應用培訓計劃，開展信息化安全應用相關培訓，不斷提高公司對網絡和應用系統安全的認識和應用水平。

第五條 本規定基本內容包括：網絡管理、設備管理、系統安全管理、機房管理、數據安全管理、信息安全管理、應急處理。

第二章 網絡管理

第六條 建立網絡管理臺賬，掌握本單位的網絡結構及終端的接入情況，做到條理清楚、管理到位。

（一）所有網絡設備（包括防火墻、路由器、交換機等）應歸**部統一管理，其安裝、維護等操作應由**部工作人員進行，其他任何人不得破壞或擅自進行維修和修改。同時，登錄網絡設備密碼應遵循復雜性原則，且位數應不低于8位。

（二）建立租用鏈路管理臺賬，包含但不局限于以下內容：鏈路供應商、本端接口、對端、技術參數等日常維護信息。

（三）建立網絡拓樸圖，標注線路連接、設備功能、IP地址、子網掩碼、出口網關等常用管理信息。

（四）局域網原則上應實行靜態IP管理，IP地址由**部統一分配，并制定“IP地址分配表”，記錄IP地址使用人、MAC地址、電腦操作系統等信息。

（五）IP地址為計算機網絡的重要資源，公司員工應在**部的規劃下使用這些資源，不應擅自更改。

（六）公司內計算機網絡部分的擴展應經過**部批準，未經許可任何部門不應私自將交換機、集線器等網絡設備接入網絡。

（七）**部負責不定時查看網絡運行情況，如網絡出現異常時及時采取措施進行處理。

（八）公司網絡安全應嚴格執行國家《網絡安全法》，對在網絡上（包括內網和外網）從事任何有悖網絡安全法律法規的活動者，將視其情節輕重交有關部門或公安機關處理。

第三章 設備管理

第七條 做好日常維護和保養，掌握正確的操作使用方法和規程，減少設備的故障率，確保設備能夠正常和可靠運行。

（一）建立設備管理臺賬，應包含以下內容：設備型號、序列號、設備配置、技術參數、運行時間、保修期限等日常維護信息；

（二）服務器電源應保證冗余電源，有條件的情況下采用雙路電源接入。對于運行重要應用系統的服務器設備，還應配備不間斷（UPS）電源，以避免非常規斷電造成服務器設備的物理損壞。UPS負載必須保持在總負荷80％以下，并且定期對UPS設備進行檢測，確保設備運行正常和有效；

（三）相關管理人員應定期對各設備進行巡檢，查看設備運行日志，監測設備，并填寫“巡檢情況記錄”；

（四）嚴禁撕毀、涂畫或遮蓋IT設備標簽，或未經**部備案擅自調整部門內部計算機信息系統的配置；

（五）計算機終端用戶因主觀操作不當導致設備、設施損壞，應承擔相應修復費用，不能修復的應按所損壞設備、設施的市場價值予以賠償；蓄意破壞設備、設施的，除照價賠償外，還應視情節嚴重給予行政處罰；

（六）終端設備，特別是筆記本電腦等移動設備應采用實名制，不得贈送、出借、出售給他人使用。

第四章 系統安全管理

第八條 系統安全管理應充分利用現有資源，完善相關的管理制度和流程，保證安全系統有效、穩定和可靠運行。

（一）設置防火墻安全策略時，應考慮隔離病毒傳播、非授權訪問的通道等方面的內容，而且策略應注明用途，避免冗余策略的產生；

（二）按照不同的訪問權限，在核心交換機、路由器設置不同的訪問控制策略；

（三）不定期開展對服務器進行安全掃描，針對發現的漏洞及時補漏加固。

（四）移動存儲設備（優盤、移動硬盤等）必須進行病毒掃描確認無毒后，方能接入服務器；

（五）各應用系統管理員登錄密碼應遵循密碼復雜度原則，且位數不應少于8位；

（七）定期查看各應用系統、終端操作系統相關安全公告，根據需要下載操作系統相關補丁安裝包，進行測試后對服務器進行升級；

（八）禁止在機房服務器上安裝與系統應用無關的軟件，并且安裝軟件要確認安裝包的安全性，安裝和卸載軟件應做好相應記錄；

（九）公司員工應定期對所配備的計算機終端的操作系統、殺毒軟件等進行升級和更新，并定期進行病毒查殺；

（十）公司員工應妥善保管根據職責權限所掌握的各類辦公賬號和密碼，嚴禁隨意向他人泄露和借用；

（十一）經遠程通信傳送的程序或數據，必須經過安全檢測確認無病毒后方可安裝和使用；

（十二）定期組織災難恢復演習，提高相關管理人員的應急反應能力，確保恢復過程安全、迅速和有效；

（十三）重大節假日之前，相關人員應對網絡、各應用系統進行巡檢，確保節假日期間網絡和各應用系統運行安全、穩定和有效。

第五章 機房管理

第九條 對機房進行科學、規范管理，確保計算機網絡、各應用系統安全、高效和穩定運行。

（一）采取措施確保機房設備物理安全；

（二）機房溫、濕度達到《電子計算機機房設計規范》國家標準（GB50174-93）要求；

（三）未經公司授權且機房管理人員在場監督，任何人不得自行配置、更換或挪用機房內的路由器、交換機和服務器以及其他通信設備等；

（四）嚴禁攜帶易燃易爆和強磁物品及其它與機房工作無關的物品進入機房；

（五）機房定期做好清潔除塵工作，未經機房管理人員同意嚴禁無關人員進入機房。

第六章 數據安全管理

第十條 高度重視各類數據備份的重要性，制定備份策略，并定期進行恢復檢查，確保備份數據的安全和有效。

（一）服務器磁盤采用冗余磁盤陣列（RAID）容錯方式，以避免磁盤因物理損壞而造成數據丟失；

（二）制定數據備份策略，對服務器操作系統、數據庫、文件進行備份，根據數據重要性、更新頻率要求設置備份頻率；

（三）定期對備份數據進行還原測試，確保備份數據的安全性和有效性；

（四）計算機終端用戶必須將重要數據存放在計算機硬盤中除系統盤分區(一般是 C盤)外的硬盤分區。計算機信息系統發生故障，應及時與**部聯系并采取相應數據保護措施；

（五）計算機終端用戶未做好備份前不能刪除任何硬盤數據。對重要的數據必須準備雙份，存放在不同的地點；對采用光盤等介質保存的數據，必須做好防火、防潮和防塵工作，并定期進行檢查、復制，防止介質損壞，丟失數據。

第七章 信息安全管理

第十一條 加強涉密信息的安全管理工作，嚴格落實內、外網物理隔離，做到“涉密不上網，上網不涉密”。

（一）對涉密的設備運行和使用情況進行定期檢查；

（二）涉密的電腦不得接入局域網，更不能直接接入互聯網使用。涉密電腦因工作需要必須接入內網或者互聯網時，原使用者應進行資料清理后再進行使用；

（三）涉密電腦密碼不得向無關人員泄露，必須定期進行更換，原則上至少每半年更換一次，而且密碼應具有一定復雜性；

（四）規范和細化存儲介質的使用范圍，如用于處理敏感信息的存儲介質，不應處理和傳輸涉密信息，更不得在連接互聯網的計算機上使用；

（五）員工具有信息保密的義務。任何人不應利用計算機網絡泄漏公司機密、技術資料和其它保密資料；

（六）計算機終端用戶計算機內的資料涉及公司機密的，須為計算機設定開機密碼或將文件加密；凡涉及公司機密的數據或文件，非工作需要不得以任何形式轉移，更不得透露給他人。離開原工作崗位的員工由所在部門負責人將其所有工作資料收回并保存；

（七）嚴禁外來人員對計算機數據和文件進行拷貝或抄寫以免泄漏公司機密，對公司各應用系統登錄賬號不得相互知曉，每個人必須保證自己帳號的唯一登陸性，否則由此產生的數據安全問題由其本人負全部責任。

第八章 應急處理

第十二條 制定網絡安全應急處理預案，明確責任，日常管理及日常處置的應急要求。當發生網絡安全事件時，及時啟動應急處理程序，調動有關資源作出響應，降低安全事件對網絡運行的影響。

（一）當黑客攻擊時的應急處理措施

1、當發現服務器內容被篡改，或通過防火墻發現有黑客正在進行攻擊時,首先將被攻擊的服務器等設備從網絡中隔離出來，同時向網絡安全與信息化領導小組匯報情況；

2、網絡管理員負責被破壞系統的恢復與重建工作；

3、故障排除后，盡快恢復網絡連接。

（二）病毒安全應急處理措施

1、當發現網絡中有計算機感染病毒后，立即將該機從網絡上隔離出來；

2、對設備的硬盤進行數據備份；

3、啟用殺毒程序進行殺毒處理，同時進行全網查毒，對其他機器進行病毒掃描和清除工作；

4、如發現殺毒程序無法清除該病毒，應作好相關記錄，同時立即向網絡安全與信息化領導小組報告，并迅速聯系有關產品供應商進行溝通、研究和解決。

（三）數據庫系統應急處理措施

1、如發現是數據庫故障導致應用系統不能運行，由應用系統相關部門應用管理員負責查找故障原因，并進行恢復；

2、如問題不能解決，應聯系應用系統服務商進行技術支持或現場服務；

3、如服務商也無法解決故障，啟用備份恢復系統，將數據庫恢復至最近的備份時間點；

4、故障排除后，應恢復應用系統，并進行驗證性測試。

（四）應用系統應急處理措施

1、如發現是應用系統軟件故障導致應用系統不能運行，由相關部門應用系統管理員查找故障原因，并進行恢復；

2、如應用系統管理員不能解決故障，應立即聯系應用系統開發商進行技術支持或進行現場服務；

3、如開發商也無法解決故障，啟用備份恢復系統，將應用系統恢復至最近的備份時間點；

4、故障排除后，應恢復應用系統，并進行驗證測試。

（五）互聯網線路中斷應急處理措施

1、網絡管理員發現問題或接到報告后，應迅速判斷故障節點，查明故障原因；

2、如屬公司管轄范圍，由網絡管理員采取相應措施第一時間予以恢復。如遇無法恢復情況，應向有關設備廠商尋求支持；

3、如屬網絡鏈路運營商管轄范圍，應立即與網絡鏈路運營商相關人員聯系，進行故障報修，尋求盡快修復，并對修復進展進行實時跟進；

4、故障排除后，應恢復網絡連接，并進行測試，保證網絡穩定、正常運行。

第九章 附則

第十三條 本規定由**公司**部制定并負責解釋。

第十四條 本規定自發布之日起實施。

第二篇：醫院網絡系統安全保密管理規定專題

醫院網絡系統安全保密管理規定

1.0目的：

防止醫院的保密信息外瀉，保證網絡系統安全。2.0適用范圍：

適用于全院的電腦網絡系統。3.0工作內容：

3.1不得擅自進入未經許可的計算機系統，篡改他人信息；不得在網絡上散發惡意信息，冒用他人名義發出信息，侵犯他人隱私；不得制造、傳播計算機病毒及從事其它侵犯網絡和他人合法權益的活動。

3.2網絡管理員、技術員和全院的計算機網絡用戶要加強保密意識，網絡系統的相關密碼不能隨便泄露。如有技術人員調離本單位，應及時把其網絡權限刪除。

3.3系統管理員定期進行網絡安全工作情況檢查，對全體使用本系統的人員定期進行網絡安全教育。

3.4系統管理員要嚴格控制各網絡用戶的權限，保護好網絡系統的密碼文件和用戶資料。3.5對計算機系統，必須設定多級系統維護口令，信息中心主任指定專門系統維護員。一般維護口令設為三級：一級維護包括網絡系統及后臺數據庫的維護；二級維護包括應用程序及應用程序的代碼數據的維護；三級維護包括前臺用戶操作系統級硬件維護。

3.6系統管理員定期檢查系統的運行情況，需對系統進行維護與改動時，必須采取數據保護措施，以確保各類業務數據的準確完好，重要數據要進行備份，以便在必要情況下進行數據恢復。

3.7重要的數據文件必須多份拷貝并異地分別存放。

3.8 涉外的設備維修或借調，必須按規定的處置流程，徹底地把相關設備的敏感數據、保密數據的進行安全備份以及防泄漏處理。3.9必須定期升級殺毒軟件極其病毒代碼。

3.9嚴禁擅自修改計算機固有的硬件信息以及軟件系統的原有信息（如注冊表信息、文件共享設置、IP地址等）。

3.10未經允許，嚴禁私自安裝軟件。3.11 院內工作站不得同時連接內外網絡。

第三篇：銀行網絡系統安全管理規定

銀行網絡

系統安全管理規定

第一章 總則

第一條 為加強銀行（以下簡稱我行）網絡系統安全工作，保障我行網絡系統可靠、穩定、連續、高效運行，特制定本規定。

第二條 本規定所指的網絡系統，是指由計算機（包括相關和配套設備）為終端設備，利用計算機、通信、網絡等技術進行信息采集、處理、存儲和傳輸的設備、技術、管理的組合。

第三條 本規定適用于銀行。

第二章

組織和職責

第四條 成立網絡安全管理員崗位，由分管領導主抓，接受我行相關領導小組的領導，在我行科技部門的具體指導和組織下工作。網絡安全管理員工作職責是：

（1）與上級信息系統安全主管部門建立相關工作關系；（2）組織制定和執行我行網絡安全的規劃、策略、標準、流程、應急計劃、落實宣傳教育與培訓計劃等；

（3）健全并監督執行網絡安全規定，定期對所屬網絡進行安全檢查和風險分析，提出相應的對策；

（4）實施我行網絡安全系統的建設。

（5）負責網絡審計系統的管理和維護，認真記錄、檢查和保管審計日志。

（6）定期進行總結，并向領導、主管部門匯報安全工作，提交報告；

（7）做好我行網絡系統的安全運行、維護、管理等工作。（8）如發生網絡系統的重大安全事故、事件，及時向主管領導報告。

第三章 管理原則

第五條 綜合防范原則

以預防為主、綜合治理、人員防范與技術防范相結合，逐級建立安全保護體系和責任制，加強制度建設，加強安全建設，全面加強管理，逐步實現信息系統安全管理工作的科學化、規范化。

第六條 動態管理原則

網絡安全工作要按照系統工程的要求，注意各方面、各層次、各時期的相互協調、匹配和銜接，根據系統環境的變化以及對系統安全認識的深化，及時復查、修改、調整安全策略。

第七條 適度投資原則

網絡安全管理需要在投資與效益之間加以權衡。安全工作既要充分有效，又要適度投資，力爭取得綜合最佳的安全效果。

第八條 以人為本原則

加強人員的信息安全教育、培訓和管理，強化安全意識和法治觀念，提升職業道德，掌握安全技術，做好網絡安全管理工作。

第九條 最小特權原則

為網絡資源規定明確的使用權限，對系統的所有人員，按其職責劃定必要的最小的授權范圍，明確安全責任，通過技術和行政管理措施有效地阻止越權使用行為。

第四章

過程和方法

第十條 安全管理過程主要包括安全風險分析與評估、安全策略制定、安全需求分析、安全措施實施與監理和生命周期管理等主要環節。

第十一條 風險分析與評估：網絡安全管理員負責我行網絡系統的風險分析與評估工作，并提交風險分析與評估報告。

第十二條 安全策略制定：網絡安全管理員負責制定、完善網絡安全策略，提出網絡安全框架、管理方法，規定各部門要遵守的規范及責任，以調動、協調和組織各方面的資源共同保障網絡系統的安全。

第十三條 安全需求分析：依據安全風險分析與評估報告以及安全策略，網絡安全管理員進行系統的安全需求分析，保證網絡安全服務和安全機制的有效性和針對性，形成安全需求分析報告。

第十四條 安全措施實施與監理：依據需求分析報告制定完備的實施方案，從實施的規范、流程、資金、進度等方面進行監督與檢查，對實施過程進行嚴格控制。

第十五條 生命周期管理：在計劃階段，通過風險分析明確安全需求，確定安全目標，制定安全策略，擬定安全要求的性能指標；在實施階段，依據安全要求選擇相應的安全措施，采購或設計安全系統，根據工程要求實施和部署，并對安全措施進行驗證與驗收、認證與認可；在運行維護階段，通過檢查、檢測、審計和對風險變更的監視和評估，保證運行安全；在生命周期結束階段，對網絡系統和設備進行安全處置。

第五章

設備安全管理

第十六條 為保證基于網絡的業務系統可靠、穩定、連續、高效運行，場地和設施必須滿足網絡設備對環境的要求。

第十七條 對重要網絡設備配備專用電源或電源保護設備，保證其正常運行。

第十八條 終端設備安全管理

（1）使用人員應愛護終端與之相關的網絡連接設備（包括網卡、網線、集線器、調制解調器等），按規操作，不得對其實施人為損壞。

（2）終端使用人員不得擅自更改網絡設置，杜絕一切影響網絡

正常運行的行為發生。

（3）網絡中的終端計算機在使用完畢后應及時關閉計算機和電源。

第十八條 科技部指定專人負責網絡設施的安全工作，劃分安全區域，進行分級管理，建立、健全網絡設施運行監控、巡檢等有關措施；對通信信道（X.25、DDN、幀中繼、光纖、撥號線等）、通信引接設備（調制解調器、光端機等）進行監控、巡檢。

第十九條 對業務系統使用的關鍵網絡設備建立嚴格的登記制度，保證設備購置、安裝、調試、維護、維修、報廢等處置活動安全可控。

第六章

網絡安全管理

第二十條 我行網絡分為內聯網、外聯網和因特網。內部網由行內廣域網、局域網組成，為我行內部辦公與開展業務提供網絡服務；外聯網指與國家有關部門和其他單位連接的網絡；因特網用于與國際互聯網互聯，實現對外業務信息服務和內外信息交換。

第二十一條 內聯網系統與因特網系統必須物理隔離。第二十二條 對通過公共通信設施傳輸的重要業務信息實施加密，保證信息傳輸的安全；對外進行公共服務的信息系統，采取嚴格的安全措施，保證外部用戶對特定服務的訪問不危及內部信息系統的安全；對從內向外及從外到內的連接資源（如電話撥號、ISDN、ADSL

聯網等）實施嚴格控制，建立健全管理制度，完善監控手段。

第二十三條 網絡安全管理員應盡可能地改善網絡系統的安全策略設置，盡量減少安全漏洞。關閉不使用的服務，對不同級別的網絡用戶設置相應的資源訪問權限。

第二十四條 網絡安全管理員參與網絡系統設計，負責網絡安全設備、網管系統的維護，網絡安全日志的收集和分析，網絡系統的安全檢查，保證網絡安全運行。

第二十五條 網絡反病毒。病毒的危害性巨大，對系統和信息的破壞程度具有不可測性，計算機用戶和系統管理員應針對具體情況采取預防病毒技術、檢測病毒技術和殺毒技術。

第七章

運行安全管理

第二十六條 網絡值班人員每日填寫各類運行記錄，定期檢查系統日志文件，對系統安全進行及時維護，對存在的安全缺陷和漏洞及時控制和消除，對發生的安全事件，按照相應的處置規程和應急計劃進行處理。

第二十七條 定期檢查備份、備用資源的可用性，保證在系統崩潰等特殊情況下，可將系統恢復至原始狀態或正常狀態。

第二十八條 網絡安全管理員應制定網絡應急、災難恢復計劃及

相應的實施規程，并進行必要驗證、演練。計劃包括緊急措施、硬件、軟件、人力等資源配備、恢復過程等。

第二十九條 網絡安全檢測。為使網絡長期保持較高的安全水平，網絡安全管理員應當用網絡安全檢測工具對網絡系統進行安全性分析，及時發現并修正存在的安全漏洞。網絡安全員在系統檢測完成后，應編寫檢測報告，需詳細記敘檢測的對象、手段、結果、建議和實施的補救措施與安全策略。檢測報告存入系統檔案。

第八章 口令管理

第三十條 網絡系統口令每十五天更換一次，口令要無規則，重要口令要多于八位。

第三十一條 廠方調試人員調試維護完成后一小時內，關閉或修改其所用帳號和密碼。

第九章

人員管理

第三十條 根據最小特權原則，建立崗位責任制度和授權許可制度，明確有關人員安全職責和權限。

第三十一條 建立人員考核制度。定期從政治思想、業務水平、工作表現、安全意識、循章守紀等方面對有關人員進行考核。

第三十二條 對關鍵崗位的工作人員建立人員備用制度；關鍵崗位工作人員一旦辭職或調離，應及時更換網絡管理系統口令，注銷其所有賬號，撤銷其出入安全區域、接觸關鍵網絡設施的權限。

信息科技部

第四篇：網站與應用系統安全管理

網站與應用系統安全管理

第一節審核與備案

第二十一條 各級管理部門在??信息網上建立的網站和應用系統，在正式運行前，必須向本級信息部門提交《信息通信網應用系統注冊登記表》進行審核。

第二十二條 已經注冊的網站和應用系統需要進行系統升級或變更時，使用單位應重新報審；需停用、報廢的應用系統，使用單位應向同級部門提出申請。

第二節運行和安全管理

第二十三條 各級管理部門的信息網站、網頁及欄目的信息發布要落實責任單位和責任人，按照?誰發布、誰負責，誰審批、誰負責?的原則。

第二十四條 嚴禁私自在??信息網站上建立???、論壇及視頻點播站點，確因工作需要開設上述站點時，應經領導審核批準，并向本級信息部門提交《xxxx類網站開設交互式欄目申請表》，經登記備案后才能開設。

第二十五條 嚴禁在??信息網站上建立各類游戲、聊天室、個人主頁等非工作性質的網站（頁）。嚴禁刊載任何商業性廣告。嚴禁在??信息網站上復制、制造和傳播有害數據以及與工作無關、含有低級趣味內容的信息和有損政府形象的信息。

第二十六條 從國際互聯網下載的信息要經過嚴格審查和安全

處理后方準??信息網發布。

第二十七條 各單位發布信息，要嚴格執行保密規定，遵循涉密信息不上網，上網信息不涉密的原則。凡是涉密的各類信息刊物、簡報、文件、明傳和密碼電報，以及其他不宜公開的涉及工作秘密的內容不得在??信息網上公布。

第二十八條 各單位安全管理員對網站的信息要進行實時監控，一旦發現有違規信息應當及時督促有關部門或責任人刪除修改。第二十九條 提供視頻點播（???）服務的信息站點，視頻點播信息實行誰發布，誰負責采集、編輯、更新的原則。各站點只允許在局域網內提供視頻點播（???）服務，不得擅自在廣域網上提供此類占用大量帶寬的服務。

第三十條 各級部門的信息網站設備放置的計算機機房應符合國家標準和有關規定，網站涉及的重要應用系統必須建立安全措施（網絡防毒、防入侵以及防災難等），待建項目的安全措施必須與項目建設方案同步規劃，按項目建設管理程序實施；已建項目的安全措施完善建設方案應報經信息通信部門會同有關部門審核，完善措施建成后，經檢測合格方能投入使用。

第三十一條 ??信息網涉及的各類業務應用系統服務器都必須設置口令、統一由系統管理員負責，并且做到定期更改；用戶賬號（登錄應用系統的用戶名）要專項專用，妥善管理，不得向外單位或其他無關人員泄露；不得重復或交叉使用；賬號和口令不得相同；重要的系統管理員賬號，每月須改變口令一次；口令

必須符合復雜度要求。要建立嚴格的口令管理制度和在緊急情況下銷毀口令的手段和措施?信息管理員調離崗位時，要交出口令及其它資料，接任人應當及時掌握情況并更換新口令。

第三十二條 各單位系統管理員應定期進行服務器安全檢查，一旦發現機器非法登錄和非法操作，必須及時報告領導及有關人員，同時保留日志信息，并做好記錄，以便進一步核查，最大限度地確保機器安全運作。

第三十三條 各單位要認真做好系統信息數據的日常備份工作，并有計劃有步驟地組織建立異地容災數據備份機制，防止信息丟失和系統災害事故的發生。

第三十四條 各單位應與承擔應用系統開發和維護工作的公司簽訂保密協議；對參與系統開發和維護的非有關部門的有關人員應開展安全保密教育并簽訂保密協議。

第三十五條 不得允許承擔開發和維護工作的非相關人員（尤其是社會商業公司的技術人員）采用遠程撥號上網方式進行系統維護和軟件安裝操作。確因工作需要進行系統維護的必須經過部門領導批準后在本地機房內進行，并由專人全程陪同并作好記錄并修改口令。

第三十六條 如在各單位內出現下列情形之一的，本單位主管部門可中斷應用系統的網絡連接：

（一）計算機病毒在應用系統中潛伏、感染、發作、傳播。

（二）黑客程序或破壞性程序在應用系統中潛伏、竊密、傳播、攻擊。

（三）出現違法、有害信息以及存在安全隱患的應用系統。

（四）其他應停止聯網的情形。

第五篇：系統安全管理規定

全國國土資源信息網絡 系統安全管理規定（試行）

國土資源部信息中心

二〇〇二年

目錄

第一章 第二章 第三章 第四章 第五章 第六章 第七章

總則……………………………………………………3 物理安全管理…………………………………………3 網絡系統安全管理……………………………………5 信息安全管理…………………………………………7 口令管理………………………………………………9 人員組織管理………………………………10 附則…………………………………………12 1 全國國土資源信息網絡系統

安全管理規定

本規定由國土資源部信息中心提出。本規定由國土資源部歸口。

本規定起草單位：國土資源部信息中心。

本規定主要起草人：周俊杰、李曉波、劉志剛、葉興茂、祝孔強、咸容禹

本規范于2002年3月1日首次發布。本規范由國土資源部信息中心負責解釋。

第一章

總

則

第一條

為了保證全國國土資源信息網絡系統的安全，根據中華人民共和國有關計算機、網絡和信息安全的相關法律、法規和安全規定，結合全國國土資源信息網絡系統建設的實際情況，特制定本規定。

第二條

各單位應據此制訂具體的安全管理規定。

第三條

本規定所指的信息網絡系統，是指由計算機（包括相關和配套設備）為終端設備，利用計算機、通信、網絡等技術進行信息采集、處理、存儲和傳輸的設備、技術、管理的組合。

第四條

本規定適用于國土資源部所屬的網絡系統、單機，以及下屬單位通過其他方式接入到國土資源部網絡系統的單機和局域網系統。

第五條

接入范圍。可以接入國土資源信息網絡系統的單位包括：國土資源部公務員辦公系統、部所屬在京直屬單位、各省、自治區、直轄市、計劃單列市的國土資源政府管理機構和國土資源部批準的其他單位。

第六條

信息網絡系統安全的含義是通過各種計算機、網絡、密碼技術和信息安全技術，在實現網絡系統安全的基礎上，保護信息在傳輸、交換和存儲過程中的機密性、完整性和真實性。

第二章

物理安全管理

第七條

物理安全是指保護計算機網絡設施以及其他媒體免遭地震、水災、火災等環境事故與人為操作失誤或錯誤，以及計算機犯罪行為而導致的破壞。

第八條

為了保障信息網絡系統的物理安全，對系統所在環境的安全保護，應遵守國家標準GB50173－93《電子計算機機房設計規范》、國標GB2887－89《計算站場地技術條件》、GB9361－88《計算站場地安全要求》。

第九條

網絡設備、設施應配備相應的安全保障措施，包括防盜、防毀、防電磁干擾等，并定期或不定期地進行檢查。

第十條

對重要網絡設備配備專用電源或電源保護設備，保證其正常運行。

第十一條

全國國土資源信息網絡系統所使用的鏈路必須符合國家相關的技術標準和規定。

第十二條

鏈路安全包括鏈路本身的物理安全和鏈路上所傳輸的信息的安全。物理安全指鏈路的物理介質符合國家的技術標準，安裝架設符合國家相關建設規范，具有穩定、安全、可靠的使用性。傳輸信息的安全是指傳輸不同密級信息的鏈路采用相應級別的密碼技術和設備或其他技術措施，保障所傳輸信息具有可靠的反截獲、反破譯和反篡改能力。

第十三條

鏈路安全主要采取密碼技術，用于傳輸涉及國家秘密的鏈路必須使用中辦機要局認可的密碼技術和設備。

第十四條

鏈路加密措施的申請遵照國家《涉及國家秘密的通信、辦公自動化和計算機信息系統審批暫行辦法》執行。

第十五條

涉密系統單位須依據國家的有關規定和法律法規建立保密管理制度。

第十六條

客戶機的物理安全管理

（一）客戶機指所有連接到國土資源部信息網絡系統的個人計算機、工作站、服務器、網絡打印機及各種終端設備；

（二）使用人員應愛護客戶機及與之相關的網絡連接設備（包括網卡、網線、集線器、調制解調器等），按規操作，不得對其實施 4 人為損壞；

（三）客戶機使用人員不得擅自更改網絡設置，杜絕一切影響網絡正常運行的行為發生；

（四）網絡中的終端計算機在使用完畢后應及時關閉計算機和電源；

（五）客戶機使用人員不得利用客戶機進行違法活動。第十七條

緊急情況

（一）火災發生。切斷電源，迅速報警，根據火情，選擇正確的滅火方式滅火；

（二）水災發生。切斷電源，迅速報告有關部門，盡可能地弄清水災原因，采取關閉閥門、排水、堵漏、防洪等措施；

（三）地震發生。切斷電源，避免引發短路和火災；

（四）密碼設備丟失。根據中辦的有關規定處理。

第三章

網絡系統安全管理

第十八條

網絡系統安全的內涵包括五個方面： 機密性：確保信息不暴露給未授權的實體或進程；

完整性：未經授權的人不能修改數據，只有得到允許的人才能修改數據，并且能夠分辨出被篡改的數據。

可用性：得到授權的實體在合法的范圍內可以隨時隨地訪問數據，網絡的攻擊者不能阻礙網絡資源的合法使用。

可控性：可以控制授權范圍內的信息流向和行為方式。可審查性：一旦出現安全問題，網絡系統可以提供調查的依據和手段。

第十九條

涉及國家機密、部門敏感信息的局域網的安全標準不得低于中華人民共和國國家標準《計算機信息系統安全保護等級劃分 5 準則》（GB 17859-1999）中規定的第二級－系統審計保護級。

第二十條

根據有關規定以及我國目前的安全技術水平，內部信息網絡系統與外部公共信息網絡系統必須物理隔離。

第二十一條

接入INTERNET公共信息網的重要信息網絡系統須安裝防火墻或其他安全設備。入網的安全設備必須具有國家保密局、公安部、中國國家信息安全測評認證中心的技術鑒定、銷售許可和產品評測等資質，并符合國家的相關規定。

第二十二條

網絡管理員應盡可能地改善網絡系統的安全策略設置，盡量減少安全漏洞。關閉不使用的服務，對不同級別的網絡用戶設置相應的資源訪問權限。重要網絡系統的安全配置應達到中華人民共和國國家標準《計算機信息系統安全保護等級劃分準則》（GB 17859-1999）中規定的第二級－系統審計保護級以上。

第二十三條

網絡管理員應當做好系統記錄，定期檢查，發現問題，及時解決。

第二十四條

重要的信息網絡系統自運行開始必須作好備份與恢復等應急措施，一旦系統出現問題能夠及時恢復正常。網絡管理員負責網絡系統的備份與恢復的技術規劃、實施和操作，并作好詳細的記錄。

第二十五條

管理員應對操作系統和數據庫管理系統中進行系統運行記錄（Log）和數據庫運行記錄（Data Base Log）的轉儲保存以備查。

第二十六條

重要大型數據庫必須運行于專門的服務器或工作站上，并異地備份。

第二十七條

網絡安全檢測。為使網絡長期保持較高的安全水平，網絡管理員應當用網絡安全檢測工具對網絡系統進行安全性分析，及時發現并修正存在的安全漏洞。網絡管理員在系統檢測完成后，應編寫檢測報告，需詳細記敘檢測的對象、手段、結果、建議和實施 6 的補救措施與安全策略。檢測報告存入系統檔案。

第二十八條

網絡反病毒。病毒的危害性巨大，對系統和信息的破壞程度具有不可測性，計算機用戶和系統管理員應針對具體情況采取預防病毒技術、檢測病毒技術和殺毒技術。

第四章

信息安全管理

第二十九條

信息安全是指通過各種計算機、網絡和密碼技術，保護信息在傳輸、交換和存儲過程中的機密性、完整性和真實性。具體包括以下幾個方面。

（一）信息處理和傳輸系統的安全

系統管理員應對處理信息的系統進行詳細的安全檢查和定期維護，避免因為系統崩潰和損壞而對系統內存儲、處理和傳輸的信息造成破壞和損失。

（二）信息內容的安全

側重于保護信息的機密性、完整性和真實性。系統管理員應對所負責系統的安全性進行評測，采取技術措施對所發現的漏洞進行補救，防止竊取、冒充信息等。

（三）信息傳播安全

要加強對信息的審查，防止和控制非法、有害的信息通過我部的信息網絡系統傳播，避免對國家利益、公共利益以及個人利益造成損害。

第三十條

國土資源部涉及國家秘密信息的安全工作實行首長負責制。國土資源部所屬單位涉及國家秘密信息的安全工作實行單位一把手負責制。

第三十一條

信息的內部管理

（一）各單位在向部網絡系統提交信息前要作好查毒、殺毒工 7 作，確保信息文件無毒上載；

（二）根據情況，采取網絡病毒監測、查毒、殺毒等技術措施，提高網絡的整體抗病毒能力；

（三）各應用單位對本單位所負責的信息必須作好備份；

（四）各單位應對本單位的信息進行審查，各網站和欄目信息的負責單位必須對所發布信息制定審查制度，對信息來源的合法性，發布范圍，信息欄目維護的負責人等作出明確的規定。信息發布后還要隨時檢查信息的完整性、合法性；如發現被刪改，應及時報告辦公廳和信息中心；

（五）涉及國家秘密的信息的存儲、傳輸等應指定專人負責，并嚴格按照國家有關保密的法律、法規執行；

（六）涉及國家秘密的土地、礦產資源、海洋、測繪等信息，未經所屬單位安全主管負責人的批準不得在網絡上發布和明碼傳輸；

（七）個人計算機中的涉密文件不可設置為共享，個人電子郵件的收發要實行病毒查殺。

第三十二條

信息加密

（一）涉及國家秘密的信息，其電子文檔資料須加密存儲；

（二）涉及國家和部門利益的敏感信息的電子文檔資料應當加密存儲；

（三）涉及社會安定的敏感信息的電子文檔資料應當加密存儲；

（四）涉及國家秘密、國家與部門利益和社會安定的秘密信息和敏感信息在傳輸過程中視情況及國家的有關規定采用文件加密傳輸或鏈路傳輸加密。

第三十三條

任何單位和個人不得從事以下活動：

（一）利用信息網絡系統制作、傳播、復制有害信息；

（二）入侵他人計算機；

（三）未經允許使用他人在信息網絡系統中未公開的信息；

（四）未經授權對信息網絡系統中存儲、處理或傳輸的信息（包括系統文件和應用程序）進行增加、修改、復制和刪除等；

（五）未經授權查閱他人郵件；

（六）盜用他人名義發送電子郵件；

（七）故意干擾網絡的暢通運行；

（八）從事其他危害信息網絡系統安全的活動。

第五章

口令管理

第三十四條

具有口令功能的計算機、網絡設備等系統處理國家秘密信息，必須使用口令對用戶的身份進行驗證和確認。對于重要網絡系統，使用單位要有專職或兼職系統保密員，負責日常的口令管理工作。

第三十五條

系統保密員負責給新增加的用戶分配初始口令；指導用戶正確使用口令；檢查用戶使用口令情況；幫助用戶開啟被鎖定的口令，對非法操作及時查明原因；解決口令使用過程中出現的問題；協助用戶保護國家秘密不受侵害；定期向主管領導和單位保密機構匯報口令使用情況和需要解決的問題。

第三十六條

定期更換口令。口令的最長使用時間不能超過半年，在涉密較多、人員復雜、保密條件較差的地方應盡可能縮短口令的使用時間。當口令使用期滿時，應更換新的口令。

第三十七條

系統保密員必須有能力更改口令。當口令使用期滿、被其他人知悉或認為口令不保密時，系統保密員可按照口令更改程序變換口令。口令更換操作應在保密條件下進行。

第三十八條

對口令數據庫的訪問和存取必須加以控制，以防止口令被非法修改或泄露。

當系統提供的訪問和存取控制機制不夠完善時或機制雖然完善，9 但可能出現系統轉儲等情況時，應對存儲的口令加密。

第三十九條

口令的密級與系統處理國家秘密信息的密級相同。根據《涉及國家秘密的通信、辦公自動化和計算機信息系統審批暫行辦法》第十七條的規定，涉密系統的身份認證應當符合以下要求：

（一）口令應當由系統安全保密管理人員集中產生供用戶選用，并有口令更換記錄，不得由用戶產生；

（二）處理秘密級信息的系統口令長度不得少于六個字符，口令更換周期不得長于一個月；處理機密級信息的系統，口令長度不得少于八個字符，口令更換周期不得長于一周；處理絕密級信息的系統，應當采用一次性口令或生理特征等強認證措施；

（三）口令必須加密存儲，并且保證口令存放載體的物理安全；

（四）口令在網絡中必須加密傳輸。

第四十條

用戶應記住自己的口令，不應把它記載在不保密的媒介物上，嚴禁將口令貼在終端上。輸入的口令不應顯示在顯示終端上。

第六章

人員組織管理

第四十一條

安全的人員組織管理原則

網絡信息系統的安全管理的最根本核心是人員管理，提高安全意識，行于具體的安全技術工作中。為此，安全的人事組織管理主要基于以下三個原則。

（一）多人負責

每一項與安全有關的活動，都必須有兩人或多人在場。這些人應是系統主管領導指派的，工作認真可靠，能勝任此項工作；他們應該簽署工作情況記錄以證明安全工作已得到保障。

負責的安全活動范圍包括：

1.訪問控制使用證件的發放與回收；

2.信息處理系統使用的媒介發放與回收； 3.處理保密信息； 4.硬件和軟件的維護；

5.系統軟件的設計、實現和修改； 6.重要程序和數據的刪除和銷毀等。

（二）任期有限

任何人最好不要長期擔任與安全有關的職務，遵循任期有限原則，工作人員應不定期地循環任職，并規定對工作人員進行輪流培訓，以使任期有限制度切實可行。

（三）職責明確

在信息處理系統工作的人員不要打聽、了解或參與職責以外的任何與安全有關的事情，除非系統主管領導批準。

出于對安全的考慮，下面每組內的兩項信息處理工作應當盡可能分開。

1.系統管理與計算機編程； 2.機密資料的接收和傳送； 3.安全管理和系統管理； 4.訪問證件的管理與其它工作；

5.計算機操作與信息處理系統使用媒介的保管等。第四十二條 安全的人事組織管理的實現

信息系統的安全管理部門應根據管理原則和該系統處理數據的保密性，制訂相應的管理制度或采用相應的規范。具體工作是：

（一）根據工作的重要程度，確定該系統的安全等級 ；

（二）根據確定的安全等級，確定安全管理的范圍；

（三）制訂相應的機房出入管理制度；

對于安全等級要求較高的系統，要實行分區控制，限制工作人員出入與己無關的區域。出入管理可采用證件識別或安裝自動識別登記 11 系統，采用磁卡、身份卡等手段，對人員進行識別、登記和管理。

（四）制訂嚴格的操作規程；

操作規程要根據職責明確和多人負責的原則，各負其責，不能超越自己的管轄范圍；對工作調動和離職人員要及時調整相應的授權。

（五）制訂完備的系統維護制度；

對系統進行維護時，應采取數據保護措施，如數據備份等。維護時要首先經主管部門批準，并有安全管理人員在場，故障的原因、維護內容和維護前后的情況要詳細記錄。

（六）制訂應急措施。

要制訂系統在緊急情況下，如何盡快恢復的應急措施，使損失減至最小。

第七章

附

則

第四十三條

本規定自正式頒布之日起實施。第四十四條

本規定由國土資源部信息中心負責解釋。第四十五條

本規定與國家有關法律、法規不一致的以國家法律、法規為準。