1、信息系統管理辦法目錄第一章用戶和密碼管理 2第二章網絡安全管理 4第三章操作系統安全管理 4第四章數據安全管理 5第五章主機安全管理 6第六章終端安全管理 6第七章病毒防治 7第八章機房安全管理 8第一章 用戶和密碼管理第一條 對于網絡設備、主機、操作系統、數據庫、業務應用程序，系統用戶都必須 通過用戶和密碼認證方可訪問。第二條 用戶權限分為普通用戶、維護用戶與超級用戶三個級別。普通用戶為各應用 系統的使用者，維護用戶為各層面系統維護者，超級用戶為各層面的管理員用戶。第三條 具有重要權限的帳號密碼設置必須符合以下安全要求 :（一）密碼不得包含常用可以識別的名稱或單詞、易于猜測的字母或數字序列或

2、者容易同用戶發生聯系的數據， 比如自己、配偶或者子女的生日和姓名等內容。（二）密碼長度至少是六個字符，組成上必須包含大小寫字母、數字、標點等不同 的字符。（三）如果數據庫系統、應用系統提供了密碼安全周期機制，則帳戶密碼必須至少 每 120 天修改一次。（四）同一密碼不得被給定賬戶在一年內重復使用。（五）如果數據庫系統、 應用系統提供了密碼安全機制， 則必須在 30 分鐘之內連續 出現 5 次無效的登錄嘗試， 其賬戶必須鎖定 15 分鐘。在此期間，超級用戶可 以采用經過批準的備用驗證機制重新啟用賬戶。（六）廠商默認密碼必須在軟件或硬件安裝調試完畢后進行修改。（七）對于操作系統，必須禁用 GUES

3、帳戶，并將管理員帳戶重命名。（八）第四條 密碼保護與備份策略：（一）范圍：網絡設備、服務器操作系統、數據庫、應用系統、ADSL帳戶撥號信息；（二）包含項目：網絡設備包括訪問的 IP 地址、端口，所有超級用戶的用戶名以及密碼；（三）服務器操作系統的 IP 地址、所有管理員帳戶名、密碼；（四）數據庫中所有具有系統數據庫管理員權限的用戶的用戶名和密碼；（五）應用系統中所有超級用戶的用戶名以及密碼；帳戶的用戶名以及密碼。第二章 網絡安全管理第五條 需要全面、系統地考慮整個網絡的安全控制措施，并緊密協調，一致實施， 以便優化公司 IT 系統運營。明確規定有關網絡的規劃、實施、運作、更改和監控的安全技 術

4、要求，對網絡安全狀態進行持續監控，保存有關錯誤、故障和補救措施的記錄。第六條 網絡層次管理必須遵循以下要求：（一）應用系統所有者相關部門必須同集團信息管理部密切合作。（二）必須編制并保留網絡連接拓撲結構。第七條 網絡管理員負責生產網絡、 辦公網絡的安全管理， 網絡管理員必須掌握網絡 管理和網絡安全方面的知識。第八條 網絡管理員必須使用安全工具或技術進行系統間的訪問控制， 并根據系統的 安全等級，相應的在系統的接入點部署防火墻等網絡安全產品，保證網絡安全。第三章 操作系統安全管理第九條 操作系統管理員由信息管理部領導指定專人擔任。第十條 操作系統管理員主要責任包括：（一）對操作系統登錄帳號、權限

5、、帳號持有人進行登記分配管理。（二）制定并實施操作系統的備份和恢復計劃。（三）管理系統資源并根據實際需要提出系統變更、升級計劃。（四）監控系統運行狀況，發現不良侵入立即采取措施制止。（五）每 1 個月檢查系統漏洞，根據實際需要提出版本升級計劃，及時安裝系統 補丁，并記錄。（六）檢查系統CPU內存、文件系統空間的使用情況等。七）檢查服務器端口的開放情況（八） 每月分析系統日志和告警信息，根據分析結果提出解決方案。第十一條 在信息系統正式上線前， 操作系統管理員必須刪除操作系統中所有測試帳號， 對操作系統中無關的默認帳號進行刪除或禁用。第十二條 操作系統管理員與應用系統管理員不可兼職 , 當操作系

6、統管理員變化時， 必須 及時更換管理員口令。操作系統管理員必須創建專門的操作系統維護帳號進行日常維護。第十三條 本地或遠程登錄主機操作系統進行配置等操作完成后或臨時離開配置終端 時，必須退出操作系統。在操作系統設置上，操作系統管理員必須將操作系統帳號自動退 出時間參數設置為 10 分鐘以內。第十四條 操作系統管理員執行重要操作時，必須開啟操作系統日志，對于一些系統 無法自動記錄的重要操作，由操作系統管理員將操作內容記錄在系統維護日志上。第四章 數 據安全管理第十五條 數據庫管理員由信息管理部領導根據工作需要指定專人擔任。 數據庫管理員 與應用系統管理員不能為同一個人，不可兼職。數據庫管理員必須

7、創建專門的服務支撐帳 號進行日常服務支撐。第十六條 數據庫管理員的職責：（一）數據庫用戶注冊管理及其相關安全管理。（二）對數據庫系統存儲空間進行管理，根據實際需要提出擴容計劃。對數據庫 系統性能進行分析、監測，優化數據庫的性能。必要時進行數據庫碎片整理、重建索引等。（三）制定并實施數據庫的備份及恢復計劃，根據備份計劃進行數據庫數據和配 置備份，并檢查數據庫備份是否成功。（四）至少每 3 個月對數據庫版本進行管理，提出版本升級計劃，需要時安裝數 據庫系統補丁，并做好記錄。五） 監測有關數據庫的告警，檢查并分析數據庫系統日志， 及時提出解決方案，并記錄服務支撐日志。（六）檢查數據庫對主機系統 CP

8、U內存的占用情況。第五章 主機安全管理第十七條 主機系統管理員由信息管理部領導指定專人負責，主機系統管理員與應用系 統管理員不可兼職。主機的訪問權限由主機系統管理員統一管理，并為系統應用人員分配 與其工作相適應的權限。第十八條 主機系統管理員必須每日檢查主機機房工作環境是否滿足主機的工作條件， 包括不間斷電源、溫度、濕度、潔凈程度等。若主機機房的工作條件不能滿足主機的工作 要求，應及時向上級主管部門反映，提出改善主機機房的要求，以保障主機設備的安全。第十九條 主機系統管理員負責系統安全措施的設置， 系統用戶管理和授權， 制定系統 安全檢查規則，實施對生產系統服務器的訪問控制、日志監測、系統升級

9、，防止非法入侵。第六章 終端安全管理第二十條 各計算機終端用戶不允許進行任何干擾網絡用戶、 破壞網絡服務和破壞網絡 設備的活動，不得私自調整網絡參數配置。第二十一條 計算機終端設備為公司生產設備，不得私用，轉讓借出，除筆記本電 腦外，其它設備嚴禁無故帶出生產工作場所。第二十二條 計算機終端設備均應用于與公司辦公生產相關的活動，不得安裝與辦 公生產無關的軟件和進行與辦公生產無關的活動。第二十三條 所有計算機終端設備必須統一安裝網絡防病毒軟件，接受公司防病毒服 務器的統一管理，未經網絡管理員同意，不得私自在計算機中安裝非公司統一規定的任何 防病毒軟件及個人防火墻。對于特殊專業使用的終端設備必須安裝

10、適合的防病毒軟件，符 合防病毒安全管理規定。長期在外使用的計算機終端設備，必須及時升級操作系統補丁和 防病毒軟件。第二十四條信息管理部采取必要的管理工具或手段，檢查終端設備是否及時升級操作系統補丁、是否及時更新防病毒軟件的病毒庫信息。第二十五條信息管理部定期組織檢查辦公用機器上是否安裝或使用非辦公軟件及任何與工作無關的軟件，定期檢查是否訪問反動、不良網站。第二十六條 各計算機終端用戶負責自己所擁有的一切口令的保密，并根據密碼管理 的要求及時修改口令。不得將自己所擁有系統帳號轉借他人使用。第二十七條 禁止在計算機終端上開放具有“寫”權限的共享目錄，如果確實必要， 可臨時開放，必須設置基于用戶的共

11、享，禁止將共享權限賦予“Every one ”，在共享使用完之后應立刻取消。在下班時將自己使用的個人計算機關機。第二十八條 禁止在個人計算機操作系統分區或卷上存放重要數據，以及以軟盤、移 動存儲設備、紅外設備或手提電腦等形式將重要數據帶出系統。如需要將移動存儲設備連 接到個人計算機，需征得信息管理部同意并進行病毒查殺后方可接入，未經同意使用U盤、 移動硬盤等設備造成機器故障或網絡故障的，根據情節，將提交領導進行行政處理或其它 處罰。第二十九條 如因工作需要，需將非公司計算機或者筆記本電腦接入公司內部，必須 經信息管理部同意并檢查后，方可接入。第七章 病毒防治第三十條 信息管理部應在信息系統的主

12、機和終端上統一安裝性能優良的防病毒軟件， 并及時對其進行更新。因硬件或操作系統比較生僻而無法安裝防病毒軟件的主機應注意升 級系統補丁、關閉不使用的系統服務和配置相應的訪問控制規則。第三十一條網絡管理員通過人工或者系統自動提醒的方式完成定期（每天一次）更新終端防毒軟件內的病毒碼。第三十二條網絡管理員必須了解最新的病毒信息和病毒動向，及時檢查并下載殺第三十三條毒防毒補丁。公司內部計算機終端用戶必須啟用防病毒產品的實時檢測功能，任何主機系統和終端在加載任何軟件或數據前，先對該軟件或數據進行病毒檢查。第三十四條 信息管理部網絡管理員定期（至少每月一次）對系統中的程序或數據文件進行病毒檢查，填寫病毒掃描

13、記錄提交本部門主管領導審閱。由于個人計算機系統漏洞或者誤操作導致計算機感染病毒程序的，必須及時切斷本機網絡連接。在病毒發作時，必須進行相應的診斷、分析和記錄，對于因計算機病毒而引起的重要信息系統癱瘓、程序和數據損壞等重大事故，及時報告信息管理部領導以及相關信息系 統應用部門及時進行處理。第八章 機房安全管理第三十五條 機房的電源系統、空調系統、門禁系統、消防系統的服務支撐以及對電源電壓，地線、接地，環境溫、濕度，各種電纜走線，清潔度，防靜電，防霉，防蟲害，防火，防水，防易燃、易爆品，防電磁波等方面都應當符合國家標準及國家和集團有關規 定。第三十六條 信息管理部配合公司物業安全保衛部門對防火、防

14、盜、防雷、應急出口、應急照明等系統定期檢查，并記錄檢查結果。第三十七條 機房環境管理（一）機房附近不應有污染氣體、強電磁場、強震動源、強噪聲源及所有危害系統正常運行的因素。（二）機房的潔凈程度必須滿足設備制造廠家要求的工作條件，地面要最大程度的達到整潔，機房門窗必須封閉。（三）機房必須保持清潔，排列正規，布線整齊，儀表正常，工具到位，資料齊全，設備有序，使用方便。機房周圍應保持清潔，凡路口、過道、門窗附近，不得堆放物品和雜物妨礙交通。（四）機房內核心設備與服務器必須配備 ups至少保證斷電情況下ups可對核心設備與服務器持續供電 30 分鐘（五）必須嚴格遵守設備制造商有關設備保護的要求。（六）

15、信息管理部應監控及調節機房的環境條件，保證機房的溫度在18-25 攝氏度內。（七）機房有足夠的照明設備、通信設施和良好的防靜電設施。第三十八條 用電防火安全管理（一）機房必須配備滅火裝置等防火設施。（二）嚴禁在機房使用與生產無關的各種電器，非電氣人員不準裝、修電氣設備 和線路，不準帶電作業。（三）加強機房施工監護，防止人為事故的發生，各種安裝施工禁止使用UPS電源，施工人員撤離現場后應關閉工具電源。（四）機房內電器設備外殼要接地良好，高壓操作時必須使用絕緣防護工具，并 注意人身和設備安全。（五）機房應設置滅火裝置和安全防護用具，安放在指定位置，并有專人負責定 期檢查。維護人員必須熟悉一般的消防和安全操作方法。（六）消防系統需要定期委托請公司