1、計算機信息系統安全管理制度2008 年 8 月目錄第一章 總則 . 第二章 系統管理人員的職責 第三章 機房管理制度 第四章 系統管理員工作細則 第五章 安全保密管理員工作細則 第六章 密鑰管理員工作細則 第七章 計算機信息系統應急預案 第八章 附則 . 第一章 總則第1條 依據中華人民共和國保守國家秘密法和有關保密規定，為進一步加強本單位計 算機信息系統安全保密管理，并結合本單位的實際情況，制定本制度。第2條 計算機信息系統包括：涉密計算機信息系統和非涉密計算機信息系統。其中，涉密 計算機信息系統指以計算機或者計算機網絡為主體，按照一定的應用目標和規則構 成的處理涉密信息的人機系統。第3條

2、涉密計算機信息系統的保密工作堅持積極防范、突出重點，既確保國家秘密安全又 有利于信息化發展的方針。第4條 涉密計算機信息系統的安全保密工作實行分級保護與分類管理相結合、行政管理與 技術防范相結合、防范外部與控制內部相結合的原則。第5條 涉密計算機信息系統的安全保密管理，堅持“誰使用，誰負責”的原則，同時實行 主要領導負責制。第二章 系統管理人員的職責第6條 本單位的涉密計算機信息系統的管理由各科室負責， 具體技術工作由信息中心承擔， 設置以下安全管理崗位：系統管理員、安全保密管理員、密鑰管理員。第7條 系統管理員負責信息系統和網絡系統的運行維護管理，主要職責是：信息系統主機 的日常運行維護；信

3、息系統的系統安裝、備份、維護；信息系統數據庫的備份管理； 應用系統訪問權限的管理；網絡設備的管理；網絡的線路保障；網絡服務器平臺的 運行管理，網絡病毒入侵防范。第8條 安全保密管理員負責網絡信息系統的安全保密技術管理，主要職責是：網絡信息安 全策略管理；網絡信息系統安全檢查；涉密計算機的安全管理；網絡信息系統的安 全審計管理；違規外聯的監控。第9條 密鑰管理員負責密鑰的管理，主要職責是：身份認證系統的管理；密鑰的制作；密 鑰的更換；密鑰的銷毀。第10條 對涉密計算機信息系統安全管理人員的管理要遵循“從不單獨原則” 、“責任分散原 則”和“最小權限原則” 。第11條 新調入或任用涉密崗位的系統管

4、理人員，必須先接受保密教育和網絡安全保密知識 培訓后方可上崗工作。第12條 保密單位負責定期組織系統管理人員進行保密法規知識的宣傳教育和培訓工作。第三章 機房管理制度第13條 出入機房要有登記記錄。非機房工作人員不得進入機房。外來人員進機房參觀需經 保密辦批準，并有專人陪同。第14條 進入機房人員不得攜帶任何易燃、易爆、腐蝕性、強電磁、輻射性、流體物質、食 品等對設備正常運行構成威脅的物品。嚴禁在機房內吸煙。嚴禁在機房內堆放與工 作無關的雜物。第15條 機房內不得使用無線通訊設備，禁止拍照和攝影。第16條 各類技術檔案、資料由專人妥善保管并定期檢查。第17條 機房內應按要求配置足夠量的消防器材

5、，并做到三定（定位存放、定期檢查、定時 更換）。加強防火安全知識教育，做到會使用消防器材。加強電源管理，嚴禁亂接電 線和違章用電。發現火險隱患，及時報告，并采取安全措施。第18條 機房應保持整潔有序，地面清潔。設備要排列整齊，布線要正規，儀表要齊備，工 具要到位，資料要齊全。機房的門窗不得隨意打開。第19條 每天上班前和下班后對機房做日常巡檢，檢查機房環境、電源、設備等并做好相應 記錄（見表一）。第20條 機房大門必須隨時關閉上鎖。機房鑰匙由信息中心專人管理。第21條 機房門禁磁卡（以下簡稱門禁卡）由信息中心管理 。第22條 門禁卡的發放范圍是：系統管理員、安全保密管理員和密鑰管理員。第23條

6、 對臨時進入機房工作的人員， 不再發放門禁卡， 在向主管部門提出申請得到批準后， 由安全保密管理員陪同進入機房工作。第24條 門禁卡應妥善保管，不得遺失和互相借用。第25條 門禁卡遺失后，應立即上報信息中心，同時寫出書面說明。第四章 系統管理員工作細則第一節 系統主機維護管理辦法第26條 系統主機由系統管理員負責維護，未經允許任何人不得對系統主機進行操作。第27條 根據系統設計方案和應用系統運行要求進行主機系統安裝、調試，建立系統管理員 賬戶，設置管理員密碼，建立用戶賬戶，設置系統策略、用戶訪問權利和資源訪問 權限，并根據安全風險最小化原則及運行效率最大化原則配置系統主機。第28條 建立系統設

7、備檔案（見表二） 、包括系統主機詳細的技術參數，如：品牌、型號、購 買日期、序列號、硬件配置信息、軟件配置信息、網絡配置信息、系統配置信息， 妥善保管系統主機保修卡，在系統主機軟硬件信息發生變更時對設備檔案進行及時 更新。第29條 每周修改系統主機管理員密碼，密碼長度不得低于八位，要求有數字、字符、字母 并區分大小寫。第30條 每周通過系統性能分析軟件對系統主機進行運行性能分析， 并做詳細記錄（見表四）， 根據分析情況對系統主機進行系統優化，包括磁盤碎片整理、系統日志文件清理， 系統升級等。第31條 每周對系統日志、系統策略、系統數據進行備份，做詳細記錄（見表四） 。第32條 每天檢查系統主機

8、各硬件設備是否正常運行，并做詳細記錄（見表五） 。第33條 每天檢查系統主機各應用服務系統是否運行正常，并做詳細記錄（見表五） 。第34條 每周下載安裝最新版的系統補丁，對系統主機進行升級，做詳細記錄（見表四） 。第35條 每天記錄系統主機運行維護日記，對系統主機運行情況進行總結。第36條 在系統主機發生故障時應及時通知用戶，用最短的時間解決故障，保證系統主機盡 快正常運行，并對系統故障情況做詳細記錄（見表六） 。第37條 每月對系統主機運行情況進行總結、并寫出系統主機運行維護月報，上報保密辦。第二節 信息系統運行維護管理辦法第38條 信息系統的運行維護由系統管理員負責維護，未經允許任何人不得

9、對信息系統進行 任何操作。第39條 根據信息系統的設計要求及實施細則安裝、調試、配置信息系統，建立信息系統管 理員賬號，設置管理員密碼，密碼要求由數字、字符、字母組成，區分大小寫，密 碼長度不得低于 8 位。第40條 對信息系統的基本配置信息做詳細記錄，包括系統配置信息、用戶帳戶名稱，系統 安裝目錄、數據文件存貯目錄，在信息系統配置信息發生改變時及時更新記錄（見 表三）。第41條 每周對信息系統系統數據、用戶 ID 文件、系統日志進行備份，并做詳細記錄（見表 四），備份介質交保密辦存檔。第42條 當信息系統用戶發生增加、減少、變更時，新建用戶帳戶，新建用戶郵箱，需經保 密單位審批， 并填寫系統

10、用戶申請單或系統用戶變更申請單 （見表七），審批通過后， 由系統管理員進行操作，并做詳細記錄。第43條 根據用戶需求設置信息系統各功能模塊訪問權限，并提交保密辦審批。第44條 每天檢查信息系統各項應用功能是否運行正常，并做詳細記錄（見表五） 。第45條 在信息系統發生故障時，應及時通知用戶，并用最短的時間解決故障，保證信息系 統盡快正常運行，并對系統故障情況做詳細記錄（見表六） 。第46條 每天記錄信息系統運行維護日志，對信息系統運行情況進行總結。第47條 每月對信息系統運行維護情況進行總結， 并寫出信息系統維護月報， 并上報保密辦。第三節 網絡系統運行維護管理辦法第48條 網絡系統運行維護由

11、系統管理員專人負責，未經允許任何人不得對網絡系統進行操 作。第49條 根據網絡系統設計方案和實施細則安裝、調試、配置網絡系統，包括交換機配置、 路由器配置，建立管理員賬號，設置管理員密碼，并關閉所有遠程管理端口。第50條 建立系統設備檔案（見表二） ，包括交換機、路由器的品牌、型號、序列號、購買日 期、硬件配置信息，詳細記錄綜合布線系統信息配置表，交換機系統配置，路由器 系統配置，網絡拓撲機構圖， VLAN 劃分表，并在系統配置發生變更時及時對設備 檔案進行更新。第51條 每天檢查網絡系統設備（交換機、路由器）是否正常運行。第52條 每周對網絡系統設備（交換機、路由器）進行清潔。第53條 每周

12、修改網絡系統管理員密碼。第54條 每周檢測網絡系統性能，包括數據傳輸的穩定性、可靠性、傳輸速率。第55條 網絡變更后進行網絡系統配置資料備份。第56條 當網絡系統發生故障時，應及時通知用戶，并在最短的時間內解決問題，保證網絡 系統盡快正常運行，并對系統故障情況作詳細記錄（見表六） 。第57條 每月對網絡系統運行維護情況進行總結，并作出網絡系統運行維護月報。第四節 終端電腦運行維護管理辦法第58條 終端電腦的維護由系統管理員負責， 未經允許任何人不得對終端電腦進行維護操作。第59條 根據用戶應用需求和安全要求安裝、調試電腦主機，安裝操作系統、應用軟件、殺 毒軟件、技防軟件。第60條 建立系統設備

13、檔案（見表二） 、包括電腦的品牌、型號、購買日期、序列號、硬件配 置信息、軟件配置信息、網絡配置信息、系統配置信息，在電腦主機軟硬件信息發 生變更時對設備檔案進行及時更新。第61條 在電腦主機發生故障時應及時進行處理，備份用戶文件，用最短的時間解決故障， 保證電腦主機盡快能夠正常運行， 并對電腦主機故障情況做詳細記錄 （見表六），涉 及存儲介質損壞，直接送交保密辦處理。第五節 網絡病毒入侵防范管理辦法第62條 網絡病毒入侵防護系統由系統管理員專人負責， 任何人未經允許不得進行此項操作。第63條 根據網絡系統安全設計要求安裝、配置瑞星網絡病毒防護系統，包括服務器端系統 配置和客戶機端系統配置，開

14、啟客戶端防病毒系統的實時監控。第64條 每日監測防病毒系統的系統日志，檢測是否有病毒入侵、安全隱患等，對所發現的 問題進行及時處理，并做詳細記錄（見表八） 。第65條 每周登陸防病毒公司網站，下載最新的升級文件，對系統進行升級，并作詳細記錄 （見表九）。第66條 每周對網絡系統進行全面的病毒查殺，對病毒查殺結果做系統分析，并做詳細記錄 （見表十）。第67條 每日瀏覽國家計算機病毒應急處理中心網站，了解最新病毒信息發布情況，及時向用戶發布病毒預警和預防措施。第五章 安全保密管理員工作細則第一節 網絡信息安全策略管理辦法第68條 網絡安全策略管理由安全保密管理員專職負責， 未經允許任何人不得進行此

15、項操作。第69條 根據網絡信息系統的安全設計要求及主機審計系統數據的分析結果，制定、配置、 修改、刪除主機審計系統的各項管理策略，并做記錄（見表十一） 。第70條 根據網絡信息系統的安全設計要求制定、配置、修改、刪除網絡安全評估分析系統 的各項管理策略，并做記錄（見表十一） 。第71條 根據網絡信息系統的安全設計要求制定、配置、修改、刪除入侵檢測系統的各項管 理策略，并做記錄（見表十一） 。第72條 根據網絡信息系統的安全設計要求制定、配置、修改、刪除、內網主機安全監控與 審計系統的各項管理策略，并做記錄（見表十一） 。第73條 每周對網絡信息系統安全管理策略進行數據備份，并作詳細記錄（見表十

16、二） 。 第 74條 網絡信息安全技術防護系統（主機審計系統、漏洞掃描系統、防病毒系統、內網主 機安全監控與審計系統）由網絡安全保密管理員統一負責安裝和卸載。第二節 網絡信息系統安全檢查管理辦法第75條 網絡信息系統安全檢查由安全保密管理員專職負責執行，未經允許任何人不得進行 此項操作。第76條 每天根據入侵檢測系統的系統策略檢測、審計系統日志，檢查是否有網絡攻擊、異 常操作、不正常數據流量等，對異常情況做及時處理，遇有重大安全問題上報保密 辦，并做詳細記錄（見表十三） 。第77條 每周登陸入侵檢測系統產品網站，下載最新升級文件包，對系統進行更新，并做詳 細記錄（見表十四） 。第78條 每月通

17、過漏洞掃描系統對網絡系統終端進行安全評估分析， 并對掃描結果進行分析， 及時對終端系統漏洞及安全隱患進行處理， 作詳細記錄 （見表十五），并將安全評估 分析報告上報保密辦。第79條 每周登錄全評估產品網站，下載最新升級文件包，對系統進行更新，并作詳細記錄 （見表十六）。第80條 每周備份入侵檢測系統和漏洞掃描系統的審計信息，并作詳細記錄（見表十七）第三節 涉密計算機安全管理辦法第81條 涉密計算機安全管理由安全保密管理員專人負責，未經允許任何人不得進行此項操 作。第82條 根據網絡系統安全設計要求制定、修改、刪除涉密計算機安全審計策略，包括打印 控制策略、外設輸入輸出控制策略、應用程序控制策略

18、，并做記錄。第83條 每日對涉密計算機進行安全審計，及時處理安全問題，并做詳細記錄（見表十八） 遇有重大問題上報保密部門。第84條 涉密計算機的新增、變更、淘汰需經保密部門審批，審批通過后由安全保密管理員 統一進行操作，并做詳細記錄（見表十八） 。第85條 新增涉密計算機聯入涉密網絡， 需經保密辦審批， 由安全保密管理員統一進行操作， 并做詳細記錄（見表十八） 。第四節 安全審計管理辦法第86條 網絡信息安全審計系統由安全保密管理員負責， 未經允許任何人不得進行此項操作。第87條 根據網絡系統主機安全設計要求安裝、配置、管理主機安全審計系統，制定審計規 則，包括系統運行狀態、用戶登錄信息，網絡

19、文件共享操作等。第88條 每日查看安全審計系統信息，對審計結果進行分析整理，及時處理所發生的設備安 全問題，并做詳細記錄（見表十九） 。第89條 每周備份設備安全審計系統審計信息，并做詳細記錄（見表二十） 。第90條 每月對主機安全審計系統記錄信息進行分析總結，并向保密部門提交分析報告。第五節 違規聯接管理辦法第91條 違規外聯管理系統（北信源安全補丁管理軟件）由安全保密管理員負責，未經允許 任何人不得進行此項操作。第92條 根據網絡信息系統安全管理要求安裝、配置違規外聯管理系統策略，包括聯網涉密 電腦，單機涉密電腦，便攜式涉密電腦。第93條 每日檢查違規外聯系統審計信息，查看聯網涉密電腦是否

20、有違規外聯操作。第94條 每月檢查單機涉密電腦、便攜式電腦是否有違規外聯操作。第95條 每三個月協助保密辦進行所有涉密電腦巡檢，檢查是否存在違規外聯操作，并做詳 細記錄。第96條 每日通過違規外聯系統檢查網絡系統是否有非法主機聯入，并做詳細記錄第六章 密鑰管理員工作細則第97條 身份認證系統由密鑰管理員專人負責，未經允許任何人不得進行此項操作。第98條 每日檢查身份認證系統是否正常運行。第99條 負責向用戶單位派發安全鑰匙，用戶需填寫審批表，并提交保密部門審批（見表二十一）。第100條 根據用戶需求，見保密部門審批單要求，制作、修改、注銷證書（見表七） 。第101條 負責為每臺計算機安裝主機登

21、錄系統。第102條負責主機登錄系統、身份認證系統的系統維護。第七章 計算機信息系統應急預案第103條系統管理人員參與制定各種意外事件處置預案，并具體執行，包括火災、停電、設 備故障等，每年進行預案演練。第104條遇到火災應根據火情采取以下措施：1 如火情較輕時，應立即切斷機房總電源，并迅速用消防器材，力爭把火撲滅、控制 在初期階段，同時上報集團保衛部門。2 如火情嚴重應迅速撥打報警電話“ 119”，同時通知集團保衛部門，聽從消防工作人 員的現場指揮，協助處理有關事項。第105條如遇機房突發性停電，應迅速通知用戶，同時關閉設備電源，來電后，及時通知用 戶，并檢測設備是否正常運行。第106條系統出

22、現災難性故障時，系統管理員應立刻通知部門主管，制定詳細的系統恢復方 案。第107條遇緊急情況，值班員應立即通知保密辦和系統管理員， 保持 24小時通訊暢通， 隨時 處理緊急事件。第108條 線路故障應立即撥打線路故障電話“ 112”，同時上報部門主管，協助電信部門查找 故障原因，盡快使線路恢復正常。第八章 附則 第109條本管理制度自發布之日起執行，未盡事宜以用戶單位的保密工作管理實施辦法 為準。第110條本制度每年度審訂一次，本制度所有表格請見附錄。附錄機房日常巡檢記錄表（表一）部門：文件編號:日期溫度濕度電源系統設備運行情況巡檢員上班下班上班下班上班下班上班下班上班下班上班下班上班下班上班

23、下班上班下班上班下班第系統設備檔案表（表二）基本信息設備編號設備名稱設備品牌設備型號設備序列號安裝日期隨機材料名稱單位/數量隨機材料名稱單位/數量主機配置硬件配置變更記錄配置說明數量內容簽署/日期CPU控制器硬盤內存光驅網卡軟驅卡其它軟件配置變更記錄簽署：日期：簽署：日期：簽署：日期：系統配置變更記錄簽署：日期：簽署：日期：簽署：日期：網絡配置變更記錄簽署：日期：簽署：日期：簽署：日期：首次建檔日期登記員系統軟件檔案表（表二）部門:文件編號:基本信息軟件編號軟件名稱軟件品牌軟件版本軟件序列號安裝日期隨機附件名稱單位/數量隨機附件名稱單位/數量軟件使用說明軟件安裝環境變更記錄簽署：日期：簽署：日

24、期：簽署：日期：軟件網絡設置變更記錄簽署：日期：簽署：日期：簽署：日期：首次建檔日期登記員系統維護系列表（表四）部門:文件編號:年月日系析 分 匕匕 厶冃 性 統員 人 析 分PU-符比 分 白 /(豊 總 內C 盤 磁M否 O 是 O計 統間 空 用 使 已D 片 碎M否 O 是 O間 空 用 可E 理 整M否 O 是 OF否 O 是 O- C否1是-)G否 O 是 O析 分議 建系份 備 據 數 統日 份 備年月日員 人 份 備份 備 量 增 O匚統 系志 日據 數 統 系略 策 統 系統 系補丁升級記錄年月日員 人 級系統工作狀態、應用服務檢測表（表五）部門：文件編號:檢測 日期設備編號

25、檢測項目檢測 結果應用服務名稱是否 正常檢測人員年 月 日OCPU O內存O硬盤O網卡月 日OCPU O內存O硬盤O網卡月 日OCPU O內存O硬盤O網卡月 日OCPU O內存O硬盤O網卡月 日OCPU O內存O硬盤O網卡月 日OCPU O內存O硬盤O網卡年 月 日OCPU O內存O硬盤O網卡年 月 日OCPU O內存O硬盤O網卡年 月 日OCPU O內存O硬盤O網卡年 月 日OCPU O內存O硬盤O網卡年 月 日OCPU O內存O硬盤O網卡年 月 日OCPU O內存O硬盤O網卡年 月 日OCPU O內存O硬盤O網卡年 月 日OCPU O內存 O硬盤 O網卡年 月 日OCPU O內存 O硬盤

26、O網卡年 月 日OCPU O內存 O硬盤 O網卡年 月 日OCPU O內存O硬盤O網卡年 月 日OCPU O內存 O硬盤 O網卡年 月 日OCPU O內存 O硬盤 O網卡年 月 日OCPU O內存 O硬盤 O網卡年 月 日OCPU O內存O硬盤O網卡年 月 日OCPU O內存 O硬盤 O網卡年 月 日OCPU O內存 O硬盤 O網卡年 月 日OCPU O內存 O硬盤 O網卡年 月 日OCPU O內存O硬盤O網卡年 月 日OCPU O內存O硬盤O網卡年 月 日OCPU O內存O硬盤O網卡年 月 日OCPU O內存 O硬盤 O網卡第 頁系統運行維護申請單（表六）部門：文件編號:報修單位報修時間申請

27、人聯系方式設備編號設備名稱維護地點報修填寫人：時間安排申請年月日要 求服務方式現場電話故 障 診 斷 與 處 理 方 法硬 件 故 障 CPU內存主板顯卡硬盤網卡顯示器電源鍵盤鼠標漢王筆交換機路由器打印機網線軟 件 故 障操作系統故障應用軟件故障驅動程序故障應用及設置故障維護人員：年月日處 理 結 果維護 完成 是口 否口遺留問題及處理建議： 填寫人：年月日用 戶 驗 收驗收人（設備使用人）：年月日費 用 處 理 情 況經辦人：年月日用戶單位主管：年月日身份認證系統變更申請表（表七）部門：文件編號:部門申請證書編號人證書使用范圍 OA系統檔案管理系統部門主管批準簽字保密辦審批簽字執行人簽字病毒

28、防護系統檢測記錄表（表八）部門：文件編號:設備編號主機名稱病毒名稱感染時間系統帳戶病毒類型備注檢測人員檢測日期更新日期升級包版本升級結果設備編號操作人員200 年 月日正常異常200 年 月日正常異常200 年 月日正常異常200 年 月日正常異常200 年 月日正常異常200 年 月日正常異常200 年 月日正常異常200 年 月日正常異常200 年 月日正常異常200 年 月日正常異常200 年 月日正常異常200 年 月日正常異常200 年 月日正常異常200 年 月日正常異常200 年 月日正常異常200 年 月日正常異常200 年 月日正常異常200 年 月日正常異常部門:查殺病毒防

29、護系統升級記錄表（表九）文件編號:病毒防護系統查殺病毒記錄表（表十）部門:文件編號:主機名稱設備編號查毒日期事 件描述感染時間感染文件病毒名稱病毒類型感染方式破壞程度系統帳戶原始位置解 決 方 案操作人員網絡信息安全策略記錄表（表十一一）部門：文件編號:記錄日期記錄人員主機審計系統策略名稱策略描述網絡巡警系統策略名稱策略描述漏洞掃描系統策略名稱策略描述入侵檢測系統策略名稱策略描述網絡信息安全策略備份表（表十二）部門：文件編號:備份設備備份形式。全部備份。增量備份備份內容主機審計系 統北信源安全 管理系統漏洞掃描系 統入侵檢測系 統備份介質完成情況備份人員備份日期入侵檢測系統檢測記錄表（表十二）部門：文件編號:發生時間事件類型網絡攻擊異常操作端口掃描不正常數據流量其他事件描述入侵檢測系統升級記錄表（表十四）部門：文件編號:更新日期升級包版本升級結果設備編號操作人員200年 月日正常異常200年 月日正常異常200年 月日