湖北职业技术学院数字档案管理系统安全管理制度
第一章 总则
第一条 为保障学校数字档案管理系统信息安全、稳定运行和使用,特制定本制度。
第二条 系统管理员和安全管理人员负责数字档案管理系统的安全管理相关工作。
第三条 档案管理员协助完成对应业务信息系统的安全管理工作。
第二章 系统安全管理原则
第四条 最小权限原则:只能授予应用程序和用户必要的权限,而不能授予额外的权限。
第五条 最少服务原则:在保证系统和应用运行正常的前提下,关闭其它无关的系统服务和网络服务。
第三章 密码管理
第六条 密码保管落实到人,密码所有人需妥善保存。服务器密码由系统管理员和安全管理员共同保管,系统管理员更改密码需经由安全管理员审核。
第七条 密码应由不少于8位的大小写字母、数字以及特殊符号等字符组成。
第八条 常规情况下,用户至少每隔90天更改一次密码。服务器密码至少每隔30天更换一次密码,由相应保管人形成更换记录。
第九条 当发生以下情况时,必须立刻更改密码并做好相关记录:
(一) 掌握密码的管理人员离开岗位;
(二) 因工作需要,由厂家或第三方公司人员使用过的账号及密码;
(三) 其他密码可能被泄露的情况。
第四章 用户账号安全管理
第十条 系统所有用户都应拥有个人专用的唯一标识符(用户ID,以便操作能有效追溯到具体责任人),多个用户不得共用同一身份ID访问系统。
第十一条 系统采用口令认证方式。
第十二条 系统管理员定期对业务系统用户身份进行检查, 及时根据管理用户的安全责任和工作要求对用户身份和管理权限进行变更。
第十三条 做好特殊用户和用户组的管理,系统或应用缺省账户的安全管理。
第十四条 用户的口令尤其是管理员的口令必须足够复杂,防止暴力破解。口令太弱,系统应给予提示。
第十五条 系统安装部署完成后应及时更改默认厂商口令并妥善保管。
第五章 补丁安全管理
第十六条 补丁管理就是通过技术和管理两种手段,对操作系统、网络设备、应用软件等进行安全补丁管理与维护,从而保证设备和系统的安全性,由系统管理员进行操作。
第十七条 对支撑业务系统运行的服务器操作系统,在加载补丁前应做好系统备份和数据备份,并制定回退机制和流程。
第六章 系统网络安全管理
第十八条 系统网络安全主要是指服务器的操作系统本身提供网络服务的安全性,例如Web服务、FTP服务、命令服务以及网络功能设置的安全入网协议等。
第十九条 对系统网络安全应该采取以下措施:
(一) 关闭无关的网络服务;
(二) 通过防火墙进行网络访问控制;
(三) 对网络访问进行充分的认证和授权控制;
(四) 做好应用服务的用户管理和权限控制;
(五) 及时更新应用服务的安全补丁。
第七章 文件系统安全管理
第二十条 文件系统的安全是指操作系统中所有文件的安全,包括所有操作系统管理的设备资源的安全。
第二十一条 文件系统的安全管理主要通过以下方式实施:制订文件系统备份策略,做好文件系统的备份和恢复。
第八章 日志管理
第二十二条 系统日志信息应存储并定期备份,日志文件保存应在3个月以上。
第二十三条 日志文件中应记录登录用户名、操作时间等详细信息,为发现潜在攻击者的不良行为提供有力证据。
第二十四条 系统管理员应定期查看系统日志文件,发现异常情况要及时处理和报告,查明并消除系统安全隐患。
第二十五条 对日志文件的访问要获得安全管理员的批准。
第九章 安全监控
第二十六条 安全监控是通过操作系统日志分析和网络实时监控等方式对系统行为、网络行为进行审计,及时检查发现安全隐患并进行处置排除。
第二十七条 安全监控一般包括对系统的未经授权访问以及操作系统本身是否存在安全漏洞等两个方面,安全监控的对象主要包括用户账号、网络行为、文件系统三个方面。
第二十八条 系统管理员应每季度对系统进行扫描,及时发现系统漏洞,并会同安全管理员分析扫描结果,对高风险漏洞及时修补。
第二十九条 系统漏洞扫描前,系统管理员应提出扫描申请,扫描时间、扫描范围、扫描可能造成的影响及应急措施等。扫描申请获得批准后,方可进行扫描。
第三十条 通过对用户账号的登录和用户行为进行审计,探测非授权访问和非法登录尝试等,对发现的问题及时处置。
第三十一条 通过对网络服务监控及基于网络的入侵监控系统探测对系统的网络攻击行为,并进行安全处置。
第三十二条 通过对文件系统安全的监控,保证文件系统的完整性,防止对于文件系统的非法访问,监控文件备份策略和规范是否得到了切实的执行。