绍兴文理学院信息系统安全使用管理规定
绍兴文理学院信息系统安全使用管理规定
第一章 总则
第一条 为规范信息系统日常安全使用管理,特制定本规定。
第二条 本规定所指重要信息系统,为绍兴文理学院信息安全等级保护定级为二级的系统。
第三条 绍兴文理学院办公室是本规定的归口管理部门,负责本规定的修订、解释和说明及协调实施工作,并监督本规定的实施。
第四条 网络管理办公室按照本规定要求负责承载重要信息系统的服务器、网络环境安全管理工作,包括病毒防范、网络监管、以及设备日常运行状态管理工作,定期发布病毒检测报告。
第二章 使用原则
第五条 不得以非法或不正当的方式,恶意地使用信息系统。
第六条 使用信息系统时,必须遵守绍兴文理学院信息系统相关规章制度以及相关法律法规,包括但不限于著作权法相关的保护法和知识产权相关的法规。
第三章 网络接入安全
第七条 使用人必须自行保管信息系统接入信息,如账户名和口令等,禁止共用接入信息。
第八条 内网接入采取固定IP的方式。网络管理办公室负责分配IP地址、计算机域名等相关信息(各部门根据网络管理办公室分配的IP地址段自行分配管理IP地址等相关信息)。
任何人不得自行设置IP地址接入内网。
第九条 内外网采用物理隔离,禁止内网计算机连接外部网络。
第十条 禁止擅自设定路由、拨号连接以及提供http/ftp访问服务、E-mail服务等行为。
第四章 计算机安全管理
第十一条 重要信息系统设备如需要远程登录管理时应限制管理员远程登录的IP地址在专用网段范围内。
第十二条 安装微软操作系统的计算机,包括服务器、测试机、个人计算机、笔记本电脑,必须遵循以下安全管理策略:
1、应使用统一配备的杀毒软件,并具有统一管理功能。杀毒软件防护功能应默认设置为有效启用状态,如有特殊原因或需要,不能安装杀毒软件,必须要取得网络管理办公室的许可。具体要求如下:
a) 杀毒软件应使用国家规定的、服务技术支持优秀、具有“计算机信息系统安全专用产品销售许可证”的防病毒产品;
b) 杀毒软件服务器端病毒特征库至少每月更新一次;
c) 杀毒软件客户端应开启病毒特征库自动更新功能,定期更新病毒特征库,以保证杀毒软件对病毒的查杀能力;
d) 机房内所管理的服务器每季度至少进行一次完全扫描,其他计算机终端由使用人员每两个月至少进行一次完全扫描;
e) 针对发现病毒的计算机,应及时断开网络进行隔离,通知相关技术人员,技术人员应及时对隔离后的计算机进行查杀,并在病毒清除完毕后将计算机接入网络。
2、重要信息系统服务器除工作需要外,应关闭多余的服务(如Alter、Telnet、Remote Registry Service、Messenger、Print Spooler、Task Scheduler等);
3、重要信息系统服务器应关闭多余默认共享(如IPC$、C$、D$等)。
4、不应使用Administrator作为服务器日常管理默认账户,应使用新建管理员账户进行管理,并及时修改Administrator默认用户名。
5、服务器应开启操作系统审计功能,配置审核策略,确定审计范围应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件(如审计账户登录事件、审计账户管理、审计登录事件、审计策略更改、审计系统事件等),同时应修改默认的系统日志记录文件大小,限制不少于50M,审计日志应设置可以导出成审计分析报表,日志文件除超级管理员与授权日志审计人员外,其他用户应无法对其进行删除、修改、覆盖等操作。
6、服务器上应根据安全策略设置登录终端的操作超时锁定策略,空闲会话时间不超过10分钟。
7、服务器上应设置不显示上一次成功登录的用户信息,登录系统应至少需要输入完整的用户名、口令,关机前应设置及时清除虚拟内存页面。
8、应及时更新服务器操作系统补丁。
9、计算机在无人值守或者不再使用时应及时锁定、注销或关机。
10、计算机应启用带口令保护的定时屏保功能,可参考其默认触发时间值进行设定。
11、用户管理、口令管理、系统权限设定须符合《绍兴文理学院信息系统用户口令和权限管理办法》。
12、应对重要信息系统服务器进行监视,包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况。
13、每年应对重要信息系统服务器操作系统重要配置进行记录,系统配置变更时应及时做好配置记录和备份工作,至少保留近两次配置文件。
第十三条 所有安装UNIX类操作系统(包括Solaris、HPunix、Aix、Linux等)的计算机,包括服务器、测试机,必须遵循以下安全管理策略:
1、重要信息系统服务器除工作需要外,应关闭多余的服务(如sendmail、echo、shell、login、finger、r命令、talk、ntalk、pop-2、Imapd、Pop3d等);
2、应使用SSH等安全加密方式登录操作系统,禁止身份信息在传输过程中明文传输。
3、兼容杀毒软件的UNIX类计算机应安装杀毒软件,每季度至少进行一次完全扫描。
4、应及时更新升级服务器操作系统补丁。
5、服务器应根据安全策略设置登录终端的操作超时锁定策略,空闲会话时间不超过10分钟。
6、用户管理、口令管理、系统权限设定须符合《绍兴文理学院信息系统用户口令和权限管理办法》要求。
7、应对重要服务器进行监视,包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况。
8、应及时备份操作系统配置文件信息,选择至少两个月以上的备份周期,至少保留两份配置文件,如系统配置变更应及时做好配置记录备份工作。
9、应开启操作系统审计子功能(audit),配置审核策略,确定审计范围应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件(如审计账户登录事件、审计账户管理、审计登录事件、审计策略更改、审计系统事件等),同时应修改默认的系统日志记录文件大小,限制不少于50M。审计日志应设置可以导出成审计分析报表,日志文件除超级管理员与授权日志审计人员外,其他用户应无法对其进行删除、修改、覆盖等操作。
第十四条 其他类型的操作系统参照第十四条、第十五条安全管理策略结合操作系统本身特点进行配置。
第十五条 绍兴文理学院内网不得擅自连接。非本单位设备因工作要求确需连接内网,应取得网络管理办公室批准。
第五章 附则
第十六条 本规定自发布之日起执行。