基礎軟件系統運行安全管理制度
第一章 總則
第一條 為保障海南電網公司信息系統的操作系統和數據庫管理系統的安全、穩定運行,規范操作系統和數據庫管理系統的安全配置和日常操作管理,特制訂本制度。
第二條 本辦法適用于海南電網公司(以下簡稱公司)本部、分公司,以及直屬各單位的信息系統的操作系統和數據庫系統的管理和運行。其他聯網單位參照執行。
第二章 操作系統運行管理
第三條 操作系統管理員、審計員的任命
操作系統管理員、審計員的任命應遵循“任期有限、權限分散”的原則;
對每個操作系統要分別設立操作系統管理員、審計員,并分別由不同的人員擔任。在多個應用系統的環境下,操作系統管理員和操作系統審計員崗位可交叉擔任;
操作系統管理員、審計員的任期可根據系統的安全性要求而定,最長為三年,期滿通過考核后可以續任;
操作系統管理員、審計員必須簽訂保密協議書。
第四條 操作系統管理員、審計員帳戶的授權、審批
操作系統管理員、審計員賬戶的授權由系統運行維護單位填寫《操作系統賬戶授權審批表》(參見附表1),經信息系統運行管理部門負責人批準后設置;
操作系統管理員和操作系統審計員人員變更后,必須及時更改帳戶設置。
第五條 其他帳戶的授權、審批
本單位其他賬戶的授權由使用部門填寫《操作系統賬戶授權審批表》,經信息系統運行管理部門負責人批準后,由操作系統管理員進行設置;
外單位人員需要使用本單位系統時, 須經相關業務管理部門主管同意, 填寫《外單位人員操作系統賬戶授權審批表》(參見附表2),報信息系統運行管理部門負責人批準后, 由操作系統管理員按規定的權限、時限設置專門的用戶帳號;
嚴禁本單位任何人將自己的用戶帳號提供給外單位人員使用。
第六條 口令的復雜性、安全性要求和檢查
系統賬戶的口令長度設置至少為8位,口令必須從字符(a-z,a-z)、數字(0-9)、符號(~!@#$%^&*()_<>)中至少選擇兩種進行組合設置;
系統賬戶的口令必須經常更改,至少每月更改一次,每次更新的口令不得與舊的口令相同,操作系統應設置相應的口令規則;
系統用戶的帳號、口令、權限等禁止告知其他人員;
須根據系統的安全要求對操作系統密碼策略進行設置和調整,以確保口令符合要求。
第七條 系統維護和應急處理記錄
應設置《操作系統維護和應急處理記錄》(參見附表3),系統管理員記錄系統的運行情況;
應對系統安裝、設置更改、帳號變更、組變更、備份等系統維護工作進行記錄,以備查閱;
應對系統異常和系統故障的時間、現象、應急處理方法及結果作詳細的記錄。
第八條 操作系統軟件、資料以及許可證的管理
必須對操作系統軟件的介質、資料和許可證進行登記,并設專人負責保管;
登記的內容應包括軟件的名稱和版本、軟件出版商、許可證類型和數量、介質的編號和數量、軟件安裝序列號、手冊名稱和數量、購買日期等;
應有軟件和資料的借用審批和借還登記手續;
對重要的系統軟件介質和資料要進行復制,借用時宜提供復制品,以保護好原件及避免丟失。
第九條 操作系統的系統管理員帳戶名稱、口令的管理
操作系統的系統管理員賬戶名稱不得使用系統安裝時默認的系統管理員賬戶名,應按照《操作系統賬戶授權審批表》批準的賬戶名稱、權限和有效期予以設置;必須更改系統安裝時默認系統管理員賬戶和具有特殊權限的賬戶的口令,關閉不必使用的賬號;
操作系統管理員帳戶的口令除了要滿足本規范第六條中的口令要求外,還必須每兩周更改一次,發現有異常情況時應立即更改,每次更新的口令不得與舊的口令相同;
嚴禁把操作系統管理員的帳戶名稱和口令告知其他人員。
第十條 操作系統配置的備份管理
操作系統管理員應對操作系統的配置參數及相關文件進行備份,當配置發生變更時必須重新備份,以便系統發生故障時能盡快恢復系統配置。
第十一條 操作系統的安全檢查
操作系統管理員應經常檢查操作系統的安全配置,并確保符合安全配置要求;
操作系統管理員和操作系統審計員應定期查看操作系統的運行日志和審計日志,以及時發現出現的安全問題;
操作系統管理員應定期使用最新的安全檢查或安全分析工具對系統進行檢查,并及時消除存在的漏洞。特別是在新軟件安裝或軟件更新之后。
第三章 數據庫系統運行管理
第十二條 數據庫管理員、審計員的任命
第十三條 數據庫管理員(dba)的任命應遵循“任期有限、權限分散”的原則;
對每個數據庫系統要分別設立數據庫管理員和數據庫審計員,并分別由不同的人員擔任。在多套系統的環境下,數據庫管理員和數據庫審計員崗位應交叉擔任;
數據庫管理員、審計員的任期可根據系統的安全性要求而定,最長為三年,期滿通過考核后可以續任;
數據庫管理員、審計員必須簽訂保密協議書。
數據庫管理員、審計員帳戶的授權,審批
數據庫管理員、審計員賬戶的授權由系統運行維護單位填寫《數據庫系統賬戶授權審批表》(參見附表4),經信息系統運行管理部門負責人批準后設置;
數據庫管理員、審計員人員變更后,必須及時更改帳戶設置。
第十四條 其他帳戶的授權,審批
本單位其他數據庫賬戶的授權由使用部門填寫《數據庫系統賬戶授權審批表》,經信息系統運行管理部門負責人批準后,由數據庫管理員進行設置;
外單位人員需要使用本單位數據庫系統時,須經相關業務管理部門主管同意,填寫《外單位人員數據庫系統賬戶授權審批表》(參見附表5),報信息系統運行管理部門負責人批準后,由數據庫管理員按規定的權限、時限設置專門的用戶帳號;
《外單位人員數據庫系統賬戶授權審批表》應包括使用者姓名、身份證號、工作單位、接待部門、數據庫系統名稱和版本、主機型號、主機號、賬戶名稱、賬戶類別、授予權限、賬號和權限授予期限等;
嚴禁本單位任何人將自己的用戶帳號提供給外單位人員使用。
第十五條 口令的復雜性、安全性要求和檢查
數據庫賬戶的口令長度設置至少為6位,口令必須從字符、數字、符號中至少選擇兩種進行組合設置;不宜使用與賬戶名稱中相同的字符或使用姓名、生日和電話號碼等其他容易猜測的字符組合;
數據庫賬戶的口令必須經常更改,至少每季度更改一次,每次更新的口令不得與舊的口令相同,應設置相應的口令規則;
數據庫用戶的帳號、口令、權限等禁止告知其他人員;
必須根據安全要求對數據庫管理系統的密碼策略進行設置和調整,以確保口令符合要求。
第十六條 系統維護和應急處理記錄
應設置《數據庫系統維護和應急處理記錄》(參見附表6),系統管理員記錄系統的運行情況;
應對系統安裝、設置更改、帳號變更、表空間變更、數據對象變更、數據庫備份等系統維護工作進行記錄,以備查閱;
應對系統異常和系統故障的時間、現象、應急處理方法及結果作詳細的記錄。
第十七條 數據庫系統軟件、資料以及許可證的管理
必須對數據系統軟件的介質、資料和許可證進行登記,并設專人負責保管;
登記的內容應包括軟件的名稱和版本、軟件出版商、許可證類型和數量、介質的編號和數量、軟件安裝序列號、資料名稱和數量、購買日期等;
應有軟件和資料的借用審批和借還登記手續;
對數據庫系統軟件介質和資料要進行復制,借用時宜提供復制品,以保護原件及避免丟失。
第十八條 數據庫管理員帳戶名稱、口令的管理
數據庫管理員賬戶名稱不宜使用系統安裝時默認的管理員賬戶名,應按照《數據庫系統賬戶授權審批表》批準的賬戶名稱、權限和有效期予以設置。必須更改系統安裝時默認的管理員賬戶和具有特殊權限的賬戶的口令,關閉不必使用的賬號;
數據庫管理員的口令長度必須設置至少為8位,滿足口令的復雜性要求,還必須每兩周更改一次,發現有異常情況時應立即更改,每次更新的口令不得與舊的口令相同;
嚴禁把數據庫管理員的帳戶名稱和口令告知其他人員。
第十九條 數據庫系統配置的備份的管理
數據庫系統管理員應對數據庫系統的配置參數及相關文件進行備份,當配置發生變更時必須重新備份,以便系統故障時能盡快恢復系統配置。
第二十條 數據庫系統數據的備份管理
應制定數據庫系統的備份策略,定期對數據庫系統進行備份;
數據庫備份策略的制定要以盡可能高效地進行備份與恢復為目標,并且與操作系統的備份最好地結合,宜采用物理備份與邏輯備份相結合;
必須對備份權限的設置加以嚴格控制;
必須妥善存放和保管備份介質(包括磁帶、從數據庫導出的文件等),防止非法訪問。對備份的介質應做好標識,存放環境符合要求。
第二十一條 數據庫系統的安全檢查
數據庫管理員應經常檢查數據庫系統的安全配置,并確保符合安全配置要求;
數據庫管理員、審計員應定期查看數據庫系統的運行日志和審計日志,以及時發現出現的安全問題;
數據庫管理員應定期使用最新的安全檢查或安全分析工具對系統進行檢查,并及時消除存在的漏洞;特別是在新軟件安裝或軟件更新之后。
第四章 附則
第二十二條 本制度由海南電網公司信息中心負責解釋。
第二十三條 本規定自頒布之日起實行,有新的修改版本頒布后,本規定自行終止