系统安全管理制度

                                            第一章  总则

第一条 为保障华8188cc威尼斯信息系统的操作系统和数据库管理系统的安全、稳定运行，规范操作系统和数据库管理系统的安全配置和日常操作管理，特制订本制度。

第二条 本办法适用于本单位，以及各部门的信息系统的操作系统和数据库系统的管理和运行。其他联网单位参照执行。

                             第二章  操作系统运行管理

第三条 系统管理员、信息安全管理员、信息安全审计员的任命

系统管理员、信息安全管理员、信息安全审计员的任命应遵循“任期有限、权限分散”的原则；

对每个操作系统要分别设立系统管理员、信息安全管理员、信息安全审计员，并分别由不同的人员担任。在多个应用系统的环境下，系统管理员、信息安全管理员、信息安全审计员岗位可交叉担任；

系统管理员、信息安全管理员、信息安全审计员的任期可根据系统的安全性要求而定，最长为三年，期满通过考核后可以续任；

系统管理员、信息安全管理员、信息安全审计员必须签订保密协议书。

第四条 口令的复杂性、安全性要求和检查

系统账户的口令长度设置至少为8位，口令必须从字符（a-z,A-Z）、数字（0-9）、符号(~!@#$%^&*()_<>)中至少选择两种进行组合设置；

系统账户的口令必须经常更改，至少每月更改一次，每次更新的口令不得与旧的口令相同，操作系统应设置相应的口令规则；

系统用户的帐号、口令、权限等禁止告知其他人员；

须根据系统的安全要求对操作系统密码策略进行设置和调整，以确保口令符合要求。

第五条 系统维护和应急处理记录

系统管理员记录系统的运行情况；

应对系统安装、设置更改、帐号变更、组变更、备份等系统维护工作进行记录，以备查阅；

应对系统异常和系统故障的时间、现象、应急处理方法及结果作详细的记录。

第六条 操作系统软件、资料以及许可证的管理

必须对操作系统软件的介质、资料和许可证进行登记，并设专人负责保管；

登记的内容应包括软件的名称和版本、软件出版商、许可证类型和数量、介质的编号和数量、软件安装序列号、手册名称和数量、购买日期等；

应有软件和资料的借用审批和借还登记手续；

对重要的系统软件介质和资料要进行复制，借用时宜提供复制品，以保护好原件及避免丢失。

第七条 操作系统的系统管理员帐户名称、口令的管理

操作系统的系统管理员账户名称不得使用系统安装时默认的系统管理员账户名，应按照经技术部经理批准的账户名称、权限和有效期予以设置；必须更改系统安装时默认系统管理员账户和具有特殊权限的账户的口令，关闭不必使用的账号；

系统管理员帐户的口令除了要满足本规范第六条中的口令要求外，还必须每两周更改一次，发现有异常情况时应立即更改，每次更新的口令不得与旧的口令相同；

严禁把系统管理员的帐户名称和口令告知其他人员。

第八条 操作系统配置的备份管理

系统管理员应对操作系统的配置参数及相关文件进行备份，当配置发生变更时必须重新备份，以便系统发生故障时能尽快恢复系统配置。

第九条 操作系统的安全检查

信息安全管理员应经常检查操作系统的安全配置，并确保符合安全配置要求；

信息安全审计员应定期查看操作系统的运行日志和审计日志，以及时发现出现的安全问题；

信息安全管理员应定期使用最新的安全检查或安全分析工具对系统进行检查，并及时消除存在的漏洞。特别是在新软件安装或软件更新之后。

                           第三章  数据库系统运行管理

第十条 数据库管理员、审计员的任命

第十一条 数据库管理员(DBA)的任命应遵循“任期有限、权限分散”的原则；

对每个数据库系统要分别设立数据库管理员和数据库审计员，并分别由不同的人员担任。在多套系统的环境下，数据库管理员和数据库审计员岗位应交叉担任；

数据库管理员、审计员的任期可根据系统的安全性要求而定，最长为三年，期满通过考核后可以续任；

数据库管理员、审计员必须签订保密协议书。

数据库管理员、审计员帐户的授权，审批

数据库管理员、审计员人员变更后，必须及时更改帐户设置。

第十二条 其他帐户的授权，审批

本单位其他数据库账户的授权由管理部门负责人批准后，由数据库管理员进行设置；

外单位人员需要使用本单位数据库系统时，须经相关业务管理部门主管同意，报管理部门负责人批准后，由数据库管理员按规定的权限、时限设置专门的用户帐号；

严禁本单位任何人将自己的用户帐号提供给外单位人员使用。

第十三条 口令的复杂性、安全性要求和检查

数据库账户的口令长度设置至少为6位，口令必须从字符、数字、符号中至少选择两种进行组合设置；不宜使用与账户名称中相同的字符或使用姓名、生日和电话号码等其他容易猜测的字符组合；

数据库账户的口令必须经常更改，至少每季度更改一次，每次更新的口令不得与旧的口令相同，应设置相应的口令规则；

数据库用户的帐号、口令、权限等禁止告知其他人员；

必须根据安全要求对数据库管理系统的密码策略进行设置和调整，以确保口令符合要求。

第十四条 系统维护和应急处理记录

数据库管理员记录系统的运行情况；

应对系统安装、设置更改、帐号变更、表空间变更、数据对象变更、数据库备份等系统维护工作进行记录，以备查阅；

应对系统异常和系统故障的时间、现象、应急处理方法及结果作详细的记录。

第十五条 数据库系统软件、资料以及许可证的管理

必须对数据系统软件的介质、资料和许可证进行登记，并设专人负责保管；

登记的内容应包括软件的名称和版本、软件出版商、许可证类型和数量、介质的编号和数量、软件安装序列号、资料名称和数量、购买日期等；

应有软件和资料的借用审批和借还登记手续；

对数据库系统软件介质和资料要进行复制，借用时宜提供复制品，以保护原件及避免丢失。

第十六条 数据库管理员帐户名称、口令的管理

数据库管理员账户名称不宜使用系统安装时默认的管理员账户名，应按照《数据库系统账户授权审批表》批准的账户名称、权限和有效期予以设置。必须更改系统安装时默认的管理员账户和具有特殊权限的账户的口令，关闭不必使用的账号；

数据库管理员的口令长度必须设置至少为8位，满足口令的复杂性要求，还必须每两周更改一次，发现有异常情况时应立即更改，每次更新的口令不得与旧的口令相同；

严禁把数据库管理员的帐户名称和口令告知其他人员。

第十七条 数据库系统配置的备份的管理

数据库系统管理员应对数据库系统的配置参数及相关文件进行备份，当配置发生变更时必须重新备份，以便系统故障时能尽快恢复系统配置。

第十八条 数据库系统数据的备份管理

应制定数据库系统的备份策略，定期对数据库系统进行备份；

数据库备份策略的制定要以尽可能高效地进行备份与恢复为目标，并且与操作系统的备份最好地结合，宜采用物理备份与逻辑备份相结合；

必须对备份权限的设置加以严格控制；

必须妥善存放和保管备份介质（包括磁带、从数据库导出的文件等），防止非法访问。对备份的介质应做好标识，存放环境符合要求。

第十九条 数据库系统的安全检查

数据库管理员应经常检查数据库系统的安全配置，并确保符合安全配置要求；

数据库管理员、审计员应定期查看数据库系统的运行日志和审计日志，以及时发现出现的安全问题；

数据库管理员应定期使用最新的安全检查或安全分析工具对系统进行检查，并及时消除存在的漏洞；特别是在新软件安装或软件更新之后。