基礎(chǔ)軟件系統(tǒng)運行安全管理制度

第一章 總則

第一條 為保障海南電網(wǎng)公司信息系統(tǒng)的操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)的安全、穩(wěn)定運行,規(guī)范操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)的安全配置和日常操作管理,特制訂本制度。

第二條 本辦法適用于海南電網(wǎng)公司(以下簡稱公司)本部、分公司,以及直屬各單位的信息系統(tǒng)的操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的管理和運行。其他聯(lián)網(wǎng)單位參照執(zhí)行。

第二章 操作系統(tǒng)運行管理

第三條 操作系統(tǒng)管理員、審計員的任命

操作系統(tǒng)管理員、審計員的任命應(yīng)遵循“任期有限、權(quán)限分散”的原則;

對每個操作系統(tǒng)要分別設(shè)立操作系統(tǒng)管理員、審計員,并分別由不同的人員擔(dān)任。在多個應(yīng)用系統(tǒng)的環(huán)境下,操作系統(tǒng)管理員和操作系統(tǒng)審計員崗位可交叉擔(dān)任;

操作系統(tǒng)管理員、審計員的任期可根據(jù)系統(tǒng)的安全性要求而定,最長為三年,期滿通過考核后可以續(xù)任;

操作系統(tǒng)管理員、審計員必須簽訂保密協(xié)議書。

第四條 操作系統(tǒng)管理員、審計員帳戶的授權(quán)、審批

操作系統(tǒng)管理員、審計員賬戶的授權(quán)由系統(tǒng)運行維護單位填寫《操作系統(tǒng)賬戶授權(quán)審批表》(參見附表1),經(jīng)信息系統(tǒng)運行管理部門負責(zé)人批準(zhǔn)后設(shè)置;

操作系統(tǒng)管理員和操作系統(tǒng)審計員人員變更后,必須及時更改帳戶設(shè)置。

第五條 其他帳戶的授權(quán)、審批

本單位其他賬戶的授權(quán)由使用部門填寫《操作系統(tǒng)賬戶授權(quán)審批表》,經(jīng)信息系統(tǒng)運行管理部門負責(zé)人批準(zhǔn)后,由操作系統(tǒng)管理員進行設(shè)置;

外單位人員需要使用本單位系統(tǒng)時, 須經(jīng)相關(guān)業(yè)務(wù)管理部門主管同意, 填寫《外單位人員操作系統(tǒng)賬戶授權(quán)審批表》(參見附表2),報信息系統(tǒng)運行管理部門負責(zé)人批準(zhǔn)后, 由操作系統(tǒng)管理員按規(guī)定的權(quán)限、時限設(shè)置專門的用戶帳號;

嚴禁本單位任何人將自己的用戶帳號提供給外單位人員使用。

第六條 口令的復(fù)雜性、安全性要求和檢查

系統(tǒng)賬戶的口令長度設(shè)置至少為8位,口令必須從字符(a-z,a-z)、數(shù)字(0-9)、符號(~!@#$%^&*()_<>)中至少選擇兩種進行組合設(shè)置;

系統(tǒng)賬戶的口令必須經(jīng)常更改,至少每月更改一次,每次更新的口令不得與舊的口令相同,操作系統(tǒng)應(yīng)設(shè)置相應(yīng)的口令規(guī)則;

系統(tǒng)用戶的帳號、口令、權(quán)限等禁止告知其他人員;

須根據(jù)系統(tǒng)的安全要求對操作系統(tǒng)密碼策略進行設(shè)置和調(diào)整,以確?？诹罘弦?。

第七條 系統(tǒng)維護和應(yīng)急處理記錄

應(yīng)設(shè)置《操作系統(tǒng)維護和應(yīng)急處理記錄》(參見附表3),系統(tǒng)管理員記錄系統(tǒng)的運行情況;

應(yīng)對系統(tǒng)安裝、設(shè)置更改、帳號變更、組變更、備份等系統(tǒng)維護工作進行記錄,以備查閱;

應(yīng)對系統(tǒng)異常和系統(tǒng)故障的時間、現(xiàn)象、應(yīng)急處理方法及結(jié)果作詳細的記錄。

第八條 操作系統(tǒng)軟件、資料以及許可證的管理

必須對操作系統(tǒng)軟件的介質(zhì)、資料和許可證進行登記,并設(shè)專人負責(zé)保管;

登記的內(nèi)容應(yīng)包括軟件的名稱和版本、軟件出版商、許可證類型和數(shù)量、介質(zhì)的編號和數(shù)量、軟件安裝序列號、手冊名稱和數(shù)量、購買日期等;

應(yīng)有軟件和資料的借用審批和借還登記手續(xù);

對重要的系統(tǒng)軟件介質(zhì)和資料要進行復(fù)制,借用時宜提供復(fù)制品,以保護好原件及避免丟失。

第九條 操作系統(tǒng)的系統(tǒng)管理員帳戶名稱、口令的管理

操作系統(tǒng)的系統(tǒng)管理員賬戶名稱不得使用系統(tǒng)安裝時默認的系統(tǒng)管理員賬戶名,應(yīng)按照《操作系統(tǒng)賬戶授權(quán)審批表》批準(zhǔn)的賬戶名稱、權(quán)限和有效期予以設(shè)置;必須更改系統(tǒng)安裝時默認系統(tǒng)管理員賬戶和具有特殊權(quán)限的賬戶的口令,關(guān)閉不必使用的賬號;

操作系統(tǒng)管理員帳戶的口令除了要滿足本規(guī)范第六條中的口令要求外,還必須每兩周更改一次,發(fā)現(xiàn)有異常情況時應(yīng)立即更改,每次更新的口令不得與舊的口令相同;

嚴禁把操作系統(tǒng)管理員的帳戶名稱和口令告知其他人員。

第十條 操作系統(tǒng)配置的備份管理

操作系統(tǒng)管理員應(yīng)對操作系統(tǒng)的配置參數(shù)及相關(guān)文件進行備份,當(dāng)配置發(fā)生變更時必須重新備份,以便系統(tǒng)發(fā)生故障時能盡快恢復(fù)系統(tǒng)配置。

第十一條 操作系統(tǒng)的安全檢查

操作系統(tǒng)管理員應(yīng)經(jīng)常檢查操作系統(tǒng)的安全配置,并確保符合安全配置要求;

操作系統(tǒng)管理員和操作系統(tǒng)審計員應(yīng)定期查看操作系統(tǒng)的運行日志和審計日志,以及時發(fā)現(xiàn)出現(xiàn)的安全問題;

操作系統(tǒng)管理員應(yīng)定期使用最新的安全檢查或安全分析工具對系統(tǒng)進行檢查,并及時消除存在的漏洞。特別是在新軟件安裝或軟件更新之后。

第三章 數(shù)據(jù)庫系統(tǒng)運行管理

第十二條 數(shù)據(jù)庫管理員、審計員的任命

第十三條 數(shù)據(jù)庫管理員(dba)的任命應(yīng)遵循“任期有限、權(quán)限分散”的原則;

對每個數(shù)據(jù)庫系統(tǒng)要分別設(shè)立數(shù)據(jù)庫管理員和數(shù)據(jù)庫審計員,并分別由不同的人員擔(dān)任。在多套系統(tǒng)的環(huán)境下,數(shù)據(jù)庫管理員和數(shù)據(jù)庫審計員崗位應(yīng)交叉擔(dān)任;

數(shù)據(jù)庫管理員、審計員的任期可根據(jù)系統(tǒng)的安全性要求而定,最長為三年,期滿通過考核后可以續(xù)任;

數(shù)據(jù)庫管理員、審計員必須簽訂保密協(xié)議書。

數(shù)據(jù)庫管理員、審計員帳戶的授權(quán),審批

數(shù)據(jù)庫管理員、審計員賬戶的授權(quán)由系統(tǒng)運行維護單位填寫《數(shù)據(jù)庫系統(tǒng)賬戶授權(quán)審批表》(參見附表4),經(jīng)信息系統(tǒng)運行管理部門負責(zé)人批準(zhǔn)后設(shè)置;

數(shù)據(jù)庫管理員、審計員人員變更后,必須及時更改帳戶設(shè)置。

第十四條 其他帳戶的授權(quán),審批

本單位其他數(shù)據(jù)庫賬戶的授權(quán)由使用部門填寫《數(shù)據(jù)庫系統(tǒng)賬戶授權(quán)審批表》,經(jīng)信息系統(tǒng)運行管理部門負責(zé)人批準(zhǔn)后,由數(shù)據(jù)庫管理員進行設(shè)置;

外單位人員需要使用本單位數(shù)據(jù)庫系統(tǒng)時,須經(jīng)相關(guān)業(yè)務(wù)管理部門主管同意,填寫《外單位人員數(shù)據(jù)庫系統(tǒng)賬戶授權(quán)審批表》(參見附表5),報信息系統(tǒng)運行管理部門負責(zé)人批準(zhǔn)后,由數(shù)據(jù)庫管理員按規(guī)定的權(quán)限、時限設(shè)置專門的用戶帳號;

《外單位人員數(shù)據(jù)庫系統(tǒng)賬戶授權(quán)審批表》應(yīng)包括使用者姓名、身份證號、工作單位、接待部門、數(shù)據(jù)庫系統(tǒng)名稱和版本、主機型號、主機號、賬戶名稱、賬戶類別、授予權(quán)限、賬號和權(quán)限授予期限等;

嚴禁本單位任何人將自己的用戶帳號提供給外單位人員使用。

第十五條 口令的復(fù)雜性、安全性要求和檢查

數(shù)據(jù)庫賬戶的口令長度設(shè)置至少為6位,口令必須從字符、數(shù)字、符號中至少選擇兩種進行組合設(shè)置;不宜使用與賬戶名稱中相同的字符或使用姓名、生日和電話號碼等其他容易猜測的字符組合;

數(shù)據(jù)庫賬戶的口令必須經(jīng)常更改,至少每季度更改一次,每次更新的口令不得與舊的口令相同,應(yīng)設(shè)置相應(yīng)的口令規(guī)則;

數(shù)據(jù)庫用戶的帳號、口令、權(quán)限等禁止告知其他人員;

必須根據(jù)安全要求對數(shù)據(jù)庫管理系統(tǒng)的密碼策略進行設(shè)置和調(diào)整,以確保口令符合要求。

第十六條 系統(tǒng)維護和應(yīng)急處理記錄

應(yīng)設(shè)置《數(shù)據(jù)庫系統(tǒng)維護和應(yīng)急處理記錄》(參見附表6),系統(tǒng)管理員記錄系統(tǒng)的運行情況;

應(yīng)對系統(tǒng)安裝、設(shè)置更改、帳號變更、表空間變更、數(shù)據(jù)對象變更、數(shù)據(jù)庫備份等系統(tǒng)維護工作進行記錄,以備查閱;

應(yīng)對系統(tǒng)異常和系統(tǒng)故障的時間、現(xiàn)象、應(yīng)急處理方法及結(jié)果作詳細的記錄。

第十七條 數(shù)據(jù)庫系統(tǒng)軟件、資料以及許可證的管理

必須對數(shù)據(jù)系統(tǒng)軟件的介質(zhì)、資料和許可證進行登記,并設(shè)專人負責(zé)保管;

登記的內(nèi)容應(yīng)包括軟件的名稱和版本、軟件出版商、許可證類型和數(shù)量、介質(zhì)的編號和數(shù)量、軟件安裝序列號、資料名稱和數(shù)量、購買日期等;

應(yīng)有軟件和資料的借用審批和借還登記手續(xù);

對數(shù)據(jù)庫系統(tǒng)軟件介質(zhì)和資料要進行復(fù)制,借用時宜提供復(fù)制品,以保護原件及避免丟失。

第十八條 數(shù)據(jù)庫管理員帳戶名稱、口令的管理

數(shù)據(jù)庫管理員賬戶名稱不宜使用系統(tǒng)安裝時默認的管理員賬戶名,應(yīng)按照《數(shù)據(jù)庫系統(tǒng)賬戶授權(quán)審批表》批準(zhǔn)的賬戶名稱、權(quán)限和有效期予以設(shè)置。必須更改系統(tǒng)安裝時默認的管理員賬戶和具有特殊權(quán)限的賬戶的口令,關(guān)閉不必使用的賬號;

數(shù)據(jù)庫管理員的口令長度必須設(shè)置至少為8位,滿足口令的復(fù)雜性要求,還必須每兩周更改一次,發(fā)現(xiàn)有異常情況時應(yīng)立即更改,每次更新的口令不得與舊的口令相同;

嚴禁把數(shù)據(jù)庫管理員的帳戶名稱和口令告知其他人員。

第十九條 數(shù)據(jù)庫系統(tǒng)配置的備份的管理

數(shù)據(jù)庫系統(tǒng)管理員應(yīng)對數(shù)據(jù)庫系統(tǒng)的配置參數(shù)及相關(guān)文件進行備份,當(dāng)配置發(fā)生變更時必須重新備份,以便系統(tǒng)故障時能盡快恢復(fù)系統(tǒng)配置。

第二十條 數(shù)據(jù)庫系統(tǒng)數(shù)據(jù)的備份管理

應(yīng)制定數(shù)據(jù)庫系統(tǒng)的備份策略,定期對數(shù)據(jù)庫系統(tǒng)進行備份;

數(shù)據(jù)庫備份策略的制定要以盡可能高效地進行備份與恢復(fù)為目標(biāo),并且與操作系統(tǒng)的備份最好地結(jié)合,宜采用物理備份與邏輯備份相結(jié)合;

必須對備份權(quán)限的設(shè)置加以嚴格控制;

必須妥善存放和保管備份介質(zhì)(包括磁帶、從數(shù)據(jù)庫導(dǎo)出的文件等),防止非法訪問。對備份的介質(zhì)應(yīng)做好標(biāo)識,存放環(huán)境符合要求。

第二十一條 數(shù)據(jù)庫系統(tǒng)的安全檢查

數(shù)據(jù)庫管理員應(yīng)經(jīng)常檢查數(shù)據(jù)庫系統(tǒng)的安全配置,并確保符合安全配置要求;

數(shù)據(jù)庫管理員、審計員應(yīng)定期查看數(shù)據(jù)庫系統(tǒng)的運行日志和審計日志,以及時發(fā)現(xiàn)出現(xiàn)的安全問題;

數(shù)據(jù)庫管理員應(yīng)定期使用最新的安全檢查或安全分析工具對系統(tǒng)進行檢查,并及時消除存在的漏洞;特別是在新軟件安裝或軟件更新之后。

第四章 附則

第二十二條 本制度由海南電網(wǎng)公司信息中心負責(zé)解釋。

第二十三條 本規(guī)定自頒布之日起實行,有新的修改版本頒布后,本規(guī)定自行終止