计算机信息系统安全的基本要求

最新资料欢迎阅读

计算机信息系统安全的基本要求

转贴自：摘自法规汇编 点击数：915 文章录入：admin ］根据公安部的有关规定，下面是计算机信息系统安全的基本要求：

一、实体安全

1、中心周围100米内没有危险建筑，主要指没有易燃、易爆、 有害气体等存放的场所，如加油站、燃气管道、煤气站散发较强腐蚀气体的设施等。

2、设有监控系统，指对系统运行的外围环境、操作环境实施监控（视）的设施。

3、有防火、防水措施。如机房内有火灾自动报警系统，有适用于计算机机房的灭火器材（气体灭火器），有应急计划及相关制度。防水：指机房内无渗水、漏水现象，如果机房上层有用水设施需加防水层。

4、机房环境（温度、湿度、洁净度）达到要求。作为中心机房温度应保持在18-24度，相对湿度保持在40-60％为好。机房和设备应保持清洁、卫生，进出机房时要更衣、换鞋，机房的门窗在建造时应考虑封闭性能。

5、防雷（防雷装置、接地）措施。机器设备应有专用地线，机房本身有避雷设施，设备（包括通信设备和电源设备）有防雷击技术设施。

6、有备用电源，如长时间ups，停电后可供电8小时或更长时间，或者自备发电机。

7、平时使用ups供电。

8、有防静电措施，如防静电地板、设备接地良好等。

1

最新资料欢迎阅读

9、为保证设备用电质量，采取专线供电，与空调、照明、动力等分开。

10、采取防盗措施，中心应有值班守卫，出入口安装防盗安全门，窗户安装金属防护装置。

二、网络通信安全

1、装有通信设备的场所要设有标志，如“机房重地”、“请勿触摸”等醒目的文字、图形等。

2、重要的通信线路及通信控制装置要有备份，如备用网络通信线路，类似于调制解调器等服务于网络通信的设备也要有备用。

3、加密措施，包括网络通讯及软、硬件，即网络传输的信息要加密，软件、硬件有防止非法入侵的手段

4、网络运行状态应有安全审计跟踪措施，能随时掌握网络用户的工作状况。安全审计是指在计算机信息系统中模拟社会的监察机构对于系统（包括网络）的活动进行监视和记录的一种机制。其主要功能有：监视和记录系统的活动情况，使影响系统安全性的存取以及其他非法企图留下线索，以便查出非法操作者；检测和判定对系统的攻击，及时提供报警和处理；提供审计报告，使系统安全管理人员能够了解运行情况；识别合法用户的误操作等。

5、网络系统有访问控制措施，根据工作性质划分网络用户的访问权限。

6、有工作站身份识别措施，以辨别该工作站是否本网络的合法用户。

1

最新资料欢迎阅读 三、软件与信息安全

1、操作系统及数据库要有访问控制措施，按工作性质划分对操作系统及数据库的访问权限。能对不正常的运行状况或操作及时发现并进行控制或纠正。

2、应用软件、系统信息能防止恶意攻击和非法存取。

3、对数据库及系统状态要有监控、防护措施。

（1）系统标识与验证，即将系统有关数据处理的有关成份如用户、 数据文件、软件和硬件设置唯一的机器可识别的标识符，使这些组件在预先建立的存取控制规则的控制下进行运作。

（2）系统存取控制，是对处理状态下的信息进行保护的措施，它通过对所有直接存取活动进行授权的措施，对访问系统或系统资源（如数据库）的程序和行为进行是否合法的检查。

（3）隔离技术，其目的在于堵住安全缺口。隔离技术使操作系统内受到破坏的部份不影响其它部份。

4、有用户身份识别措施，工作站开机有输入用户名、口令等要求。

5、系统用户信息要有异地备份，即备份信息不能存放在同一建筑物内，至少不能放在同一楼层，是否异地备份和备份的份数视信息数据的重要性和恢复的难度而定。

四、管理组织与制度安全

1、有专门的安全防范组织和计算机安全员。

2、有健全的安全管理规章制度，如机房安全管理制度、设备、数据管理制度及人员调离的安全管理制度等。例如在宣布人员调离的同时应马上收回钥匙、

1

最新资料欢迎阅读 更换口令、取消帐户等，并向被调离人员申明其保密义务。

3、要有详尽的工作手册和完整的工作记录。

4、定期进行风险分析，制定灾难处理对策，如关键岗位人员的联络方法，备份设备如何取得，如何组织系统重建等。

5、建立有安全培训制度，进行计算机安全法律教育、职业道德教育及计算机安全常识教育。

6、制定有人员的安全管理制度，如关键岗位人员的定期考核、各部门人员职责的明确、参观中心机房人员的审批和陪同等。

五、安全技术措施

1、有灾难恢复的技术措施。这里所说的灾难，是指计算机系统受火灾、水灾或人为破坏而产生的严重的后果，灾难恢复是指灾难产生后迅速采取措施恢复计算机系统的正常运行。

2、采取开发工作与业务工作分离的措施

3、有应用业务、系统安全审计功能

4、有系统操作日志，如每天开、关机、设备运行状况等文字记录。

5、有服务器备份措施

6、有计算机防病毒措施，即计算机预防、清除病毒的软、硬件产品。2003-09-27

1

最新资料欢迎阅读 金融机构计算机信息系统安全保护工作暂行规定（公安部、中国人民中国人民银行1998年8月31日发布） 第一章 第一条

总

则

为加强金融机构计算机信息系统安全保护工作，保障国家财产的

安全，保证金融事业的顺利发展，根据《中华人民共和国中国人民银行法》《中华人民共和国计算机信息系统安全保护条例》等有关法律、法规制定本暂行规定。 第二条

金融机构计算机信息系统安全保护工作实行谁主管、谁负责、预

防为主、综合治理、人员防范和技术防范相结合的原则，逐级建立安全保护责任制，加强制度建设，逐步实现科学化、规范化管理。 第三条

金融机构计算机信息系统安全保护工作的基本任务是：预防、打

击利用或者针对金融机构计算机信息系统进行的违法犯罪活动，预防、处理各种安全事故，提高金融机构计算机信息系统的整体安全水平，保障国家、集体和个人财产的安全。 第四条

金融机构的主要负责人为本单位计算机信息系统安全保护工作

的第一责任人。金融机构的计算机信息系统安全保护领导小组、专职部门和专（兼）职安全管理人员以及其他有关人员应当协助第一责任人组织落实有关规定。 第五条

金融机构应当建立同公安机关计算机管理监察部门的通报联系

制度，及时通报有关计算机信息系统案件和事故情况，协助公安机关查处与本单位有关的案件和事故。 第六条

公安机关计算机管理监察部门应当加强对金融机构计算机信息

系统安全保护工作实施的指导和监督，及时查处金融机构计算机信息系统发生的案件和事故。 第二章 第七条

安全防范设施

本暂行规定所称金融机构计算机信息系统安全防范设施包括计

算机主机房的构筑防护设施和计算机信息系统及其相关的配套设备的技术防护设施。 第八条

1

金融机构的数据处理中心计算机主机房应当符合下列基本要求：