广东省外语艺术职业学院系统安全管理办法
第一章 总则
第一条 为落实国家、省、市关于网络信息安全与等级保护的相关政策和规定,严格执行信息安全管理体系标准,提高学校网络与信息安全管理水平,保障学校业务信息系统安全稳定,实现业务信息和系统服务的网络安全保护等级,根据《中华人民共和国网络安全法》(中华人民共和国主席令第五十三号)、《信息安全技术网络安全等级保护基本要求》GBT22239-2019等法规,结合学校实际,制订本办法。
第二条 本办法适用于学校信息化建设中所涉及信息化系统安全管理,学校系统安全管理工作的负责部门为现代教育技术中心(以下简称“现教中心”),系统日常安全管理由归属管理单位来管理,现教中心提供技术支持。
第二章 系统维护管理
第三条 现教中心的操作人员上岗前必须经过专业知识培训,包括专门的信息安全培训,能正确地执行本岗位操作工作。
第四条 重要信息系统的操作手册和系统运行维护保养手册应作为重要文件由各部门保管、现教中心存档,一般的信息系统管理手册由归属管理单位管理。根据“责任分割”的原则,各岗位操作人员只能知晓操作手册中与其岗位职责相关的内容,并要求妥善保管。操作手册有更新的,更新后由现教中心发到相关部门,同时回收旧版本的手册,确保岗位操作人员得到最新和正确的操作手册。
第五条 现教中心定期对系统使用中的信息安全管理情况进行检查。
第六条 所有的系统外包服务协议必须包含网络的安全特性、服务级别以及系统服务的管理要求等内容。
第七条 在系统服务过程中,应根据系统服务协议中规定的安全条款、安全特性、服务级别管理等要求对服务提供商的服务进行定期评审和监督。
第八条 现教中心应对系统中运行的软件版本进行严格控制,对系统软件版本升级、补丁更新、安全加固等活动组织评审和测试,防止因上述变更影响应用系统的正常运行。
第九条 现教中心定期对系统进行漏洞扫描,对发现的系统安全漏洞及时反馈给对应的系统所属管理单位,业务所属管理单位应及时对安全漏洞问题进行整改并反馈。
第三章 系统访问控制
第十条 由现教中心基于业务和访问的安全要求,建立各应用系统的访问控制策略,作为系统运行维护保养手册一部分。访问控制策略应考虑到下列内容:
(一)各个业务应用的安全要求。
(二)业务应用中工作角色和用户访问需求。
(三)网络环境中的访问权限管理要求。
(四)访问控制角色的分离,例如访问请求、访问授权、访问管理。
(五)用户访问请求的正式授权管理要求。
(六)用户访问控制的定期检查与评审要求。
(七)用户访问权的取消。
第十一条 现教中心基于访问控制策略,对操作系统的登录程序加以控制:
(一)不显示系统或应用标识符,直到登录过程已成功完成为止。
(二)显示只有已授权的用户才能访问计算机的告警通知。
(三)在登录过程中,不提供对未授权用户的帮助消息。
(四)限制所允许的不成功登录尝试的次数。
(五)记录不成功的尝试和成功的尝试。
(六)如果达到登录的最大尝试次数,向系统控制台发送警报消息。
第十二条 系统管理员应限制用户对应用系统远程访问的范围和内容,在远程访问过程结束后应确保断开连接。
第四章 系统用户安全管理
第十三条 系统用户注册与注销程序:
(一)在服务器和系统进行安装时,要改变默认的操作系统管理员账号名称和数据库账号名称。
(二)系统管理员应检查所授予的访问级别是否与业务目的相适合,是否与组织的安全方针保持一致,如:是否违背“责任分割”原则。
(三)如申请不符合业务要求,则不予批准;如符合要求,由系统管理员在系统中建立唯一用户ID。
(四)当用户的工作角色或岗位发生变更,或人员离职时,该用户所在部门(单位)应报相关系统管理员备案;系统管理员根据备案情况取消或封锁该用户的访问权。
(五)各信息系统管理员负责定期(每月)检查并取消、封锁多余的用户ID和账号,确保多余的用户ID不会发给其他用户。
第十四条 系统用户标识和鉴别:
(一)所有用户拥有唯一指定标识,如教工号。
(二)用户ID是应用系统中用户唯一的、专供其使用的标识符,系统管理员通过安全策略配置确保用户的各个活动能追踪到责任者。
(三)当需要采用一组用户或一项特定作业使用一个共享的用户ID时,应遵照组ID管理进行控制。
第十五条 系统用户口令管理:
(一)在用户初次使用应用系统时,由系统管理员提供一个临时口令,并在系统登录时强制用户立即修改;临时口令应以安全的方式给予用户,不得使用第三方或未保护的(明文)电子邮件消息。
(二)系统管理员应对用户口令设置进行指导和要求,如口令长度和复杂性、定期更换等。
(三)系统管理员应确保口令不以未保护的形式存储在计算机系统内。
(四)各系统管理员应在系统或软件安装后改变提供商的默认口令。
(五)系统用户口令必须定期修改,修改周期不得超过3个月;对涉密、保密条件差、使用人员复杂的系统应尽可能缩短口令的使用周期;口令的修改应保留相关记录或日志,重要设备、系统的管理员账号口令在每次修改之后应在现教中心备案。
第十六条 各信息系统管理员根据系统、网站备案情况为用户进行正确的授权,使用户与其行为相匹配。
第十七条 特殊权限管理应遵守用户注册和注销管理程序的规定,特殊权限包括操作系统、数据库管理系统和各个应用程序管理员账号,特殊权限应被分配给到不同于正常业务用途所用的用户ID。
第十八条 用户访问权限复查。
(一)各系统管理员负责定期(每年)或在变更之后(如人员提升、降级或雇用终止)进行用户访问权限清查。
(二)对于特殊访问权限的授权,系统管理员应每6个月进行一次访问权复查。
第五章 系统审计
第十九条 系统日志包含的内容:
(一)用户ID。
(二)日期、时间和关键事件的细节,例如登录和退出。
(三)终端身份或位置。
(四)成功的和被拒绝的对系统尝试访问的记录。
(五)成功的和被拒绝的对数据以及其他资源尝试访问的记录。
(六)系统配置的变化。
(七)特殊权限的使用。
(八)系统实用工具和应用程序的使用。
(九)访问的文件和访问类型。
(十)网络地址和协议。
(十一)访问控制系统引发的警报。
(十二)防恶意代码系统等防护设施的激活和停用。
第二十条 各系统管理员必须将系统所有服务器、应用软件的日志审核功能打开,如有告警提醒功能也必须开启。
第二十一条 日志保存时间不得少于六个月,任何部门(单位)和个人不得以任何理由删除保存期之内的日志。
第二十二条 日志必须由系统管理员定期检查,特权使用、非授权访问、系统故障和异常等条目必须进行评审,以查找影响信息安全的风险来源和事实。
第二十三条 各系统维护部门负责人应定期评审系统管理员和系统操作员的活动日志。
第二十四条 各系统维护部门确保安全审计系统处于启动状态,日志保存时间不得少于六个月,定期评审异常事件,对所有可疑或经确认的入侵行为或入侵企图需及时汇报并采取相应的响应措施。
第二十五条 现教中心负责记录、分析故障日志,并对其采取适当的措施。
第二十六条 现教中心负责评审故障日志,以确保已彻底解决故障。
第二十七条 现教中心负责评审纠正措施,以确保没有危及控制措施的安全,以及所采取的措施给予了充分授权。
第六章 附则
第二十八条 本办法自印发之日起施行,由现代教育技术中心负责解释。
