1、系統(tǒng)安全管理制度中國科學院沈陽應用生態(tài)研究所前 言本制度旨在加強中國科學院沈陽應用生態(tài)研究所（以下簡稱沈陽生態(tài)所）信息系統(tǒng)安全管理工作。本制度由信息中心提出。本制度由信息中心歸口。本制度起草部門：信息中心本制度主要起草人：岳倩本制度起草日期：2016/01/19系統(tǒng)安全管理制度范圍本制度規(guī)定了沈陽生態(tài)所信息系統(tǒng)安全管理權(quán)限分配、授權(quán)和審批、備份和檢查等的要求。本制度適用于沈陽生態(tài)所開展信息系統(tǒng)安全管理工作。術(shù)語和定義信息系統(tǒng)：指包括操作系統(tǒng)、應用系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)。職責3.1系統(tǒng)管理員負責應用系統(tǒng)的安裝、維護和系統(tǒng)及數(shù)據(jù)備份；根據(jù)應用系統(tǒng)的安全策略，負責應用系統(tǒng)的用戶權(quán)限設置以及系統(tǒng)安全配置

2、；根據(jù)應用系統(tǒng)運行的實際情況，制定應急處理預案，提交信息管理部門審定。3.2安全管理員負責對應用系統(tǒng)的安裝、維護和系統(tǒng)及數(shù)據(jù)備份的監(jiān)督檢查和登記工作；定期檢查應用系統(tǒng)的用戶權(quán)限設置以及系統(tǒng)安全配置，與應用系統(tǒng)安全策略的符合性；定期審查應用系統(tǒng)的審計記錄，發(fā)現(xiàn)安全問題及時報告信息管理部門。安全策略旨在加強信息系統(tǒng)的運行管理，提高系統(tǒng)的安全性、可靠性，依照完善的管理制度，科學的管理方法來完成信息系統(tǒng)安全管理權(quán)限分配、授權(quán)和審批、備份和檢查等的要求。信息系統(tǒng)管理操作系統(tǒng)操作系統(tǒng)管理員賬戶的授權(quán)、審批操作系統(tǒng)管理員和操作系統(tǒng)安全員賬戶的授權(quán)由所在部門填寫操作系統(tǒng)賬戶授權(quán)審批表，經(jīng)部門領(lǐng)導批準后設置；操

3、作系統(tǒng)管理員和操作系統(tǒng)安全員人員變更后，必須及時更改賬戶設置。其他賬戶的授權(quán)、審批其他賬戶的授權(quán)由使用人填寫操作系統(tǒng)賬戶授權(quán)審批表，經(jīng)信息管理部門領(lǐng)導批準后，由操作系統(tǒng)管理員進行設置；操作系統(tǒng)管理員和操作系統(tǒng)安全員根據(jù)業(yè)務需求和系統(tǒng)安全分析制訂系統(tǒng)的訪問控制策略，控制分配信息系統(tǒng)、文件及服務的訪問權(quán)限；外單位人員需要使用審計管理系統(tǒng)時, 須經(jīng)信息管理部門領(lǐng)導同意, 填寫外單位人員操作系統(tǒng)賬戶授權(quán)審批表，報信息管理部門領(lǐng)導批準后, 由操作系統(tǒng)管理員按規(guī)定的權(quán)限、時限設置專門的用戶賬戶；嚴禁任何人將自己的用戶賬戶提供給外單位人員使用?？诹畹膹碗s性、安全性要求和檢查系統(tǒng)賬戶的口令長度設置至少為8位，

4、口令必須從小寫字符（a-zA-Z）、大寫字符（A-Z）、數(shù)字（0-9）、符號( HYPERLINK mailto:! l $% !#$%&*()_)中至少選擇兩種進行組合設置；系統(tǒng)賬戶的口令須定期更改，每次更新的口令不得與舊的口令相同，操作系統(tǒng)應設置相應的口令規(guī)則；系統(tǒng)用戶的賬號、口令、權(quán)限等禁止告知其他人員；須根據(jù)系統(tǒng)的安全要求對操作系統(tǒng)密碼策略進行設置和調(diào)整，以確保口令符合要求。系統(tǒng)維護和應急處理記錄應對系統(tǒng)安裝、設置更改、賬號變更、備份等系統(tǒng)維護工作進行記錄，以備查閱；應對系統(tǒng)異常和系統(tǒng)故障的時間、現(xiàn)象、應急處理方法及結(jié)果作詳細的記錄。操作系統(tǒng)的系統(tǒng)管理員賬戶名稱、口令的管理操作系統(tǒng)賬戶

5、應按照操作系統(tǒng)賬戶授權(quán)審批表批準的賬戶名稱、權(quán)限和有效期予以設置；必須關(guān)閉不必使用的賬號；操作系統(tǒng)管理員賬戶的口令除了滿足口令要求外，還必須每季度更改一次，發(fā)現(xiàn)有異常情況時應立即更改，每次更新的口令不得與舊的口令相同；嚴禁把操作系統(tǒng)管理員的賬戶名稱和口令告知其他人員。操作系統(tǒng)配置的備份管理操作系統(tǒng)管理員應對操作系統(tǒng)的配置參數(shù)及相關(guān)文件進行備份，當配置發(fā)生變更時必須重新備份，以便系統(tǒng)發(fā)生故障時能盡快恢復系統(tǒng)配置。操作系統(tǒng)的安全檢查操作系統(tǒng)管理員應經(jīng)常檢查操作系統(tǒng)的安全配置，并確保符合安全配置要求；系統(tǒng)管理員、網(wǎng)絡管理員和審計員應定期查看操作系統(tǒng)的運行日志和審計日志，以及時發(fā)現(xiàn)出現(xiàn)的安全問題（包含

6、并不限于對運行日志和審計數(shù)據(jù)進行分析，保存分析報告，詳細描述賬戶的連續(xù)多次登錄失敗、非工作時間的登錄、訪問受限系統(tǒng)或文件的失敗嘗試、系統(tǒng)錯誤等非正常事件）；系統(tǒng)管理員應定期使用最新的安全檢查或安全分析工具對系統(tǒng)進行檢查，并及時消除存在的漏洞；系統(tǒng)管理員實施漏洞掃描或漏洞修補前，應對可能的風險進行評估和充分準備，如選擇恰當時間，并做好數(shù)據(jù)備份和回退方案，漏洞掃描或漏洞修補后應進行驗證測試，以保證系統(tǒng)的正常運行， 應保存系統(tǒng)漏洞掃描報告，詳細描述系統(tǒng)存在的漏洞、嚴重級別和結(jié)果處理等方面內(nèi)容，方可實施系統(tǒng)補丁程序的安裝。應用系統(tǒng)應用系統(tǒng)管理員、安全員賬戶的授權(quán)、審批用于業(yè)務應用的賬戶的授權(quán)由使用計算

7、機應用系統(tǒng)相關(guān)人員負責填寫應用系統(tǒng)賬戶授權(quán)審批表，經(jīng)業(yè)務管理部門及信息系統(tǒng)運行管理部門負責人批準后，由應用系統(tǒng)管理員進行設置；外單位人員需要使用沈陽生態(tài)所信息系統(tǒng)時，須經(jīng)相關(guān)業(yè)務管理部門主管同意，填寫外單位人員應用系統(tǒng)賬戶授權(quán)審批表，報信息系統(tǒng)運行管理部門負責人批準后，應用系統(tǒng)管理員按規(guī)定的權(quán)限、時限設置專門的用戶賬號；嚴禁沈陽生態(tài)所工作人員將自己的用戶賬號提供給外單位人員使用?？诹畹膹碗s性、安全性要求和檢查應用系統(tǒng)管理員賬戶的口令長度設置至少為8位，口令必須從字符（a-z,A-Z）、數(shù)字（0-9）、符號(!#$%&*()_)中至少選擇兩種進行組合設置；應用系統(tǒng)管理員賬戶的口令必須經(jīng)常更改，至

8、少每半年更改一次，每次更新的口令不得與舊的口令相同，操作系統(tǒng)應設置相應的口令規(guī)則；應用系統(tǒng)管理員用戶的賬號、口令、權(quán)限等禁止告知其他人員；用于業(yè)務應用的賬戶的口令長度設置至少為6位，其他要求參照應用系統(tǒng)管理員賬戶的口令要求執(zhí)行。應用系統(tǒng)維護和應急處理記錄應設置應用系統(tǒng)維護和應急處理記錄，系統(tǒng)管理員記錄系統(tǒng)的運行情況；應對系統(tǒng)異常、系統(tǒng)故障的日期、現(xiàn)象、處理方法及結(jié)果等應急處理進行記錄；應對應用系統(tǒng)的安裝、設置更改、賬號變更、組變更、備份等系統(tǒng)維護工作進行記錄，以備查閱；應對應用系統(tǒng)異常和系統(tǒng)故障的時間、現(xiàn)象、應急處理方法及結(jié)果作詳細的記錄。應用系統(tǒng)配置的備份的管理系統(tǒng)管理員應對系統(tǒng)的配置參數(shù)及

9、相關(guān)文件進行備份；當配置發(fā)生變更時必須重新備份，以便系統(tǒng)故障時能盡快恢復系統(tǒng)配置。應用系統(tǒng)數(shù)據(jù)的備份的管理備份權(quán)限，備份介質(zhì)都必須加以妥善保管，防止非法訪問；制定備份策略，以高效備份與恢復為目標，與操作系統(tǒng)備份結(jié)合，物理備份與導出相結(jié)合。數(shù)據(jù)庫系統(tǒng)運行管理數(shù)據(jù)庫管理員賬戶的授權(quán)，審批數(shù)據(jù)庫管理員和數(shù)據(jù)庫安全員賬戶的授權(quán)由系統(tǒng)運行維護單位填寫數(shù)據(jù)庫系統(tǒng)賬戶授權(quán)審批表，經(jīng)信息管理部門領(lǐng)導批準后設置；數(shù)據(jù)庫管理員和數(shù)據(jù)庫安全員人員變更后，必須及時更改賬戶設置。其他賬戶的授權(quán)，審批其他數(shù)據(jù)庫賬戶的授權(quán)由使用單位填寫數(shù)據(jù)庫系統(tǒng)賬戶授權(quán)審批表，經(jīng)信息管理部門領(lǐng)導批準后，由數(shù)據(jù)庫管理員進行設置；外單位人員需

10、要使用數(shù)據(jù)庫系統(tǒng)時, 須經(jīng)部門主管同意, 填寫外單位人員數(shù)據(jù)庫系統(tǒng)賬戶授權(quán)審批表，報信息管理部門領(lǐng)導批準后, 由數(shù)據(jù)庫管理員按規(guī)定的權(quán)限、時限設置專門的用戶賬號；外單位人員數(shù)據(jù)庫系統(tǒng)賬戶授權(quán)審批表應包括使用者姓名、身份證號、工作單位、接待部門、數(shù)據(jù)庫系統(tǒng)名稱和版本、主機型號、主機號、賬戶名稱、賬戶類別、授予權(quán)限、賬號和權(quán)限授予期限等；嚴禁沈陽生態(tài)所任何人將自己的用戶賬號提供給外單位人員使用?？诹畹膹碗s性、安全性要求和檢查數(shù)據(jù)庫賬戶的口令長度設置至少為8位，口令必須從字符、數(shù)字、符號中至少選擇兩種進行組合設置；不宜使用與賬戶名稱中相同的字符或使用姓名、生日和電話號碼等其他容易猜測的字符組合；數(shù)據(jù)

11、庫賬戶的口令必須經(jīng)常更改，至少每季度更改一次，每次更新的口令不得與舊的口令相同，應設置相應的口令規(guī)則；網(wǎng)絡用戶的賬號、口令、權(quán)限等禁止告知其他人員；必須根據(jù)安全要求對數(shù)據(jù)庫管理系統(tǒng)的密碼策略進行設置和調(diào)整，以確?？诹罘弦?。系統(tǒng)維護和應急處理記錄應記錄數(shù)據(jù)庫系統(tǒng)維護和應急處理記錄；應對系統(tǒng)安裝、設置更改、賬號變更、表空間變更、數(shù)據(jù)對象變更、數(shù)據(jù)庫備份等系統(tǒng)維護工作進行記錄，以備查閱；應對系統(tǒng)異常和系統(tǒng)故障的時間、現(xiàn)象、應急處理方法及結(jié)果作詳細的記錄。數(shù)據(jù)庫管理員賬戶名稱、口令的管理數(shù)據(jù)庫管理員賬戶名稱不宜使用系統(tǒng)安裝時默認的管理員賬戶名，應按照數(shù)據(jù)庫系統(tǒng)賬戶授權(quán)審批表批準的賬戶名稱、權(quán)限和有

12、效期予以設置。必須更改系統(tǒng)安裝時默認的管理員賬戶和具有特殊權(quán)限的賬戶的口令，關(guān)閉不必使用的賬號；數(shù)據(jù)庫管理員的口令長度必須設置至少為8位，滿足口令的復雜性要求，還必須每兩周更改一次，發(fā)現(xiàn)有異常情況時應立即更改，每次更新的口令不得與舊的口令相同；嚴禁把數(shù)據(jù)庫管理員的賬戶名稱和口令告知其他人員。數(shù)據(jù)庫系統(tǒng)配置的備份的管理數(shù)據(jù)庫系統(tǒng)管理員應對數(shù)據(jù)庫系統(tǒng)的配置參數(shù)及相關(guān)文件進行備份，當配置發(fā)生變更時必須重新備份，以便系統(tǒng)故障時能盡快恢復系統(tǒng)配置。數(shù)據(jù)庫系統(tǒng)數(shù)據(jù)的備份的管理應制定數(shù)據(jù)庫系統(tǒng)的備份策略，定期對數(shù)據(jù)庫系統(tǒng)進行備份；數(shù)據(jù)庫備份策略的制定要以盡可能高效地進行備份與恢復為目標，并且與操作系統(tǒng)的備份

13、最好地結(jié)合，宜采用物理備份與邏輯備份相結(jié)合；必需對備份權(quán)限的設置加以嚴格控制；必須妥善存放和保管備份介質(zhì)（包括磁帶、從數(shù)據(jù)庫導出的文件等），防止非法訪問。對備份的介質(zhì)應做好標識，存放環(huán)境符合要求。數(shù)據(jù)庫系統(tǒng)的安全檢查數(shù)據(jù)庫管理員應經(jīng)常檢查數(shù)據(jù)庫系統(tǒng)的安全配置，并確保符合安全配置要求；數(shù)據(jù)庫管理員和數(shù)據(jù)庫安全員應定期查看數(shù)據(jù)庫系統(tǒng)的運行日志和審計日志，以及時發(fā)現(xiàn)出現(xiàn)的安全問題（包含并不限于對運行日志和審計數(shù)據(jù)進行分析，保存分析報告，詳細描述賬戶的連續(xù)多次登錄失敗、非工作時間的登錄、訪問受限系統(tǒng)或文件的失敗嘗試、系統(tǒng)錯誤等非正常事件；數(shù)據(jù)庫管理員應定期使用最新的安全檢查或安全分析工具對系統(tǒng)進行檢查

14、，并及時消除存在的漏洞；數(shù)據(jù)庫管理員在實施漏洞掃描或漏洞修補前，應對可能的風險進行評估和充分準備，如選擇恰當時間，并做好數(shù)據(jù)備份和回退方案，漏洞掃描或漏洞修補后應進行驗證測試，以保證系統(tǒng)的正常運行， 應保存系統(tǒng)漏洞掃描報告，詳細描述系統(tǒng)存在的漏洞、嚴重級別和結(jié)果處理等方面內(nèi)容，方可實施系統(tǒng)補丁程序的安裝。操作系統(tǒng)賬戶授權(quán)審批表姓名申請日期部門聯(lián)系電話授權(quán)性質(zhì)新開賬戶權(quán)限變更授權(quán)期限起始日期： 結(jié)束日期： 申請權(quán)限要求（系統(tǒng)名稱、使用資源、使用功能、權(quán)限等）：申請理由：申請部門意見：簽名： 日期： 信息部門意見：簽名： 日期執(zhí)行記錄賬戶名稱系統(tǒng)名稱主機型號資源名稱權(quán)限設置其他設置：執(zhí)行人執(zhí)行日期

15、外單位人員操作系統(tǒng)賬戶授權(quán)審批表姓名申請日期工作單位聯(lián)系電話授權(quán)性質(zhì)新開賬戶權(quán)限變更授權(quán)期限起始日期： 結(jié)束日期： 申請權(quán)限要求（系統(tǒng)名稱、使用資源、使用功能、權(quán)限等）：申請理由：接待部門意見：簽名： 日期： 信息部門意見：簽名： 日期執(zhí)行記錄賬戶名稱系統(tǒng)名稱主機型號資源名稱權(quán)限設置其他設置：執(zhí)行人執(zhí)行日期數(shù)據(jù)庫系統(tǒng)賬戶授權(quán)審批表姓名申請日期部門聯(lián)系電話授權(quán)性質(zhì)新開賬戶權(quán)限變更授權(quán)期限起始日期： 結(jié)束日期： 申請權(quán)限要求（系統(tǒng)名稱、使用資源、使用功能、權(quán)限等）：申請理由：申請部門意見：簽名： 日期： 信息部門意見：簽名： 日期執(zhí)行記錄賬戶名稱系統(tǒng)名稱主機型號資源名稱權(quán)限設置其他設置：執(zhí)行人執(zhí)行

16、日期外單位人員數(shù)據(jù)庫系統(tǒng)賬戶授權(quán)審批表姓名申請日期工作單位聯(lián)系電話授權(quán)性質(zhì)新開賬戶權(quán)限變更授權(quán)期限起始日期： 結(jié)束日期： 申請權(quán)限要求（系統(tǒng)名稱、使用資源、使用功能、權(quán)限等）：申請理由：接待部門意見：簽名： 日期： 信息部門意見：簽名： 日期執(zhí)行記錄賬戶名稱系統(tǒng)名稱主機型號資源名稱權(quán)限設置其他設置：執(zhí)行人執(zhí)行日期應用系統(tǒng)賬戶授權(quán)審批表姓名申請日期部門聯(lián)系電話授權(quán)性質(zhì)新開賬戶權(quán)限變更授權(quán)期限起始日期： 結(jié)束日期： 申請權(quán)限要求（系統(tǒng)名稱、使用資源、使用功能、權(quán)限等）：申請理由：申請部門意見：簽名： 日期業(yè)務部門意見：簽名： 日期信息部門意見：簽名： 日期執(zhí)行記錄賬戶名稱系統(tǒng)名稱主機型號資源名稱權(quán)限設置其他設置：執(zhí)行人執(zhí)行日期外單位人員應用系統(tǒng)賬戶授權(quán)審批表姓名申