计算机信息系统安全的基本要求.docx

1、计算机信息系统安全的基本要求 计算机信息系统安全的基本要求转贴自：摘自法规汇编 点击数：915 文章录入：admin 根据公安部的有关规定，下面是计算机信息系统安全的基本要求： 一、实体安全 1、中心周围100米内没有危险建筑，主要指没有易燃、易爆、 有害气体等存放的场所，如加油站、燃气管道、煤气站散发较强腐蚀气体的设施等。 2、设有监控系统，指对系统运行的外围环境、操作环境实施监控（视）的设施。 3、有防火、防水措施。如机房内有火灾自动报警系统，有适用于计算机机房的灭火器材（气体灭火器），有应急计划及相关制度。防水：指机房内无渗水、漏水现象，如果机房上层有用水设施需加防水层。 4、机房环境（

2、温度、湿度、洁净度）达到要求。作为中心机房温度应保持在18-24度，相对湿度保持在40-60为好。机房和设备应保持清洁、卫生，进出机房时要更衣、换鞋，机房的门窗在建造时应考虑封闭性能。 5、防雷（防雷装置、接地）措施。机器设备应有专用地线，机房本身有避雷设施，设备（包括通信设备和电源设备）有防雷击技术设施。 6、有备用电源，如长时间ups，停电后可供电8小时或更长时间，或者自备发电机。 7、平时使用ups供电。 8、有防静电措施，如防静电地板、设备接地良好等。 9、为保证设备用电质量，采取专线供电，与空调、照明、动力等分开。 10、采取防盗措施，中心应有值班守卫，出入口安装防盗安全门，窗户安装

3、金属防护装置。 二、网络通信安全 1、装有通信设备的场所要设有标志，如“机房重地”、“请勿触摸”等醒目的文字、图形等。 2、重要的通信线路及通信控制装置要有备份，如备用网络通信线路，类似于调制解调器等服务于网络通信的设备也要有备用。 3、加密措施，包括网络通讯及软、硬件，即网络传输的信息要加密，软件、硬件有防止非法入侵的手段 4、网络运行状态应有安全审计跟踪措施，能随时掌握网络用户的工作状况。安全审计是指在计算机信息系统中模拟社会的监察机构对于系统（包括网络）的活动进行监视和记录的一种机制。其主要功能有：监视和记录系统的活动情况，使影响系统安全性的存取以及其他非法企图留下线索，以便查出非法操作

4、者；检测和判定对系统的攻击，及时提供报警和处理；提供审计报告，使系统安全管理人员能够了解运行情况；识别合法用户的误操作等。 5、网络系统有访问控制措施，根据工作性质划分网络用户的访问权限。 6、有工作站身份识别措施，以辨别该工作站是否本网络的合法用户。 三、软件与信息安全 1、操作系统及数据库要有访问控制措施，按工作性质划分对操作系统及数据库的访问权限。能对不正常的运行状况或操作及时发现并进行控制或纠正。 2、应用软件、系统信息能防止恶意攻击和非法存取。 3、对数据库及系统状态要有监控、防护措施。 （1）系统标识与验证，即将系统有关数据处理的有关成份如用户、 数据文件、软件和硬件设置唯一的机器

5、可识别的标识符，使这些组件在预先建立的存取控制规则的控制下进行运作。 （2）系统存取控制，是对处理状态下的信息进行保护的措施，它通过对所有直接存取活动进行授权的措施，对访问系统或系统资源（如数据库）的程序和行为进行是否合法的检查。 （3）隔离技术，其目的在于堵住安全缺口。隔离技术使操作系统内受到破坏的部份不影响其它部份。 4、有用户身份识别措施，工作站开机有输入用户名、口令等要求。 5、系统用户信息要有异地备份，即备份信息不能存放在同一建筑物内，至少不能放在同一楼层，是否异地备份和备份的份数视信息数据的重要性和恢复的难度而定。 四、管理组织与制度安全 1、有专门的安全防范组织和计算机安全员。

6、2、有健全的安全管理规章制度，如机房安全管理制度、设备、数据管理制度及人员调离的安全管理制度等。例如在宣布人员调离的同时应马上收回钥匙、更换口令、取消帐户等，并向被调离人员申明其保密义务。 3、要有详尽的工作手册和完整的工作记录。 4、定期进行风险分析，制定灾难处理对策，如关键岗位人员的联络方法，备份设备如何取得，如何组织系统重建等。 5、建立有安全培训制度，进行计算机安全法律教育、职业道德教育及计算机安全常识教育。 6、制定有人员的安全管理制度，如关键岗位人员的定期考核、各部门人员职责的明确、参观中心机房人员的审批和陪同等。 五、安全技术措施 1、有灾难恢复的技术措施。这里所说的灾难，是指计

7、算机系统受火灾、水灾或人为破坏而产生的严重的后果，灾难恢复是指灾难产生后迅速采取措施恢复计算机系统的正常运行。 2、采取开发工作与业务工作分离的措施 3、有应用业务、系统安全审计功能 4、有系统操作日志，如每天开、关机、设备运行状况等文字记录。 5、有服务器备份措施 6、有计算机防病毒措施，即计算机预防、清除病毒的软、硬件产品。2003-09-27 金融机构计算机信息系统安全保护工作暂行规定（公安部、中国人民中国人民银行1998年8月31日发布） 第一章 总 则 第一条 为加强金融机构计算机信息系统安全保护工作，保障国家财产的安全，保证金融事业的顺利发展，根据中华人民共和国中国人民银行法中华人

8、民共和国计算机信息系统安全保护条例等有关法律、法规制定本暂行规定。 第二条 金融机构计算机信息系统安全保护工作实行谁主管、谁负责、预防为主、综合治理、人员防范和技术防范相结合的原则，逐级建立安全保护责任制，加强制度建设，逐步实现科学化、规范化管理。 第三条 金融机构计算机信息系统安全保护工作的基本任务是：预防、打击利用或者针对金融机构计算机信息系统进行的违法犯罪活动，预防、处理各种安全事故，提高金融机构计算机信息系统的整体安全水平，保障国家、集体和个人财产的安全。 第四条 金融机构的主要负责人为本单位计算机信息系统安全保护工作的第一责任人。金融机构的计算机信息系统安全保护领导小组、专职部门和专

9、（兼）职安全管理人员以及其他有关人员应当协助第一责任人组织落实有关规定。 第五条 金融机构应当建立同公安机关计算机管理监察部门的通报联系制度，及时通报有关计算机信息系统案件和事故情况，协助公安机关查处与本单位有关的案件和事故。 第六条 公安机关计算机管理监察部门应当加强对金融机构计算机信息系统安全保护工作实施的指导和监督，及时查处金融机构计算机信息系统发生的案件和事故。 第二章 安全防范设施 第七条 本暂行规定所称金融机构计算机信息系统安全防范设施包括计算机主机房的构筑防护设施和计算机信息系统及其相关的配套设备的技术防护设施。 第八条 金融机构的数据处理中心计算机主机房应当符合下列基本要求：

10、（一）主机房在建筑内应为独立区域。 （二）主机房周围100米内不得有危险建筑，如：加油站、煤气站等。 （三）主机房必须按照有关标准配置防火、防水、防盗设施并和当地公安机关110联网，以便报警。 （四）对不能停机的主机房必须采用双回路供电，或者配置发电机、持续工作八小时以上的UPS等设施。 第九条 计算机设备必须有可靠接地，接地电阻不大于相应设备的技术要求，并装置必要的防雷电设施。 第条 金融机构应当在主机房、柜面等要害部位安装监控设备，落实值班监视制度。 第一条 对不能停机的计算机信息系统，金融机构应当配置必要的备份机，以便故障时切换使用。 第二条 重要的通讯控制装置及通讯线必须要有备份。 第

11、三条 网络通讯设施要有安全技术措施。 第三章 安全防范管理 第四条 中国人民银行和各政策性银行、商业银行应当加强信息科技管理部门，并设立专职的计算机信息系统安全管理人员。 第五条 县级以上金融机构必须成立计算机信息系统安全保护领导小组，由分管领导任组长，并确定专职部门负责日常的计算机信息系统安全保护工作。领导小组名单应当报同级人民银行计算机信息系统安全保护领导小组和公安机关计算机管理监察部门备案。其专职部门应当接受公安机关计算机管理监察部门的工作指导和监督。 第六条 金融基层单位应当设立专职或者兼职计算机信息系统安全管理人员。 第七条 各级金融机构应当将计算机信息系统安全防范工作纳入职工的岗位

12、责任制，并与其他工作同时进行检查考核。定期对职工进行法制教育、安全意识教育和防范技能训练。 第八条 计算机信息系统安全保护领导小组负责本单位内各部门计算机信息系统安全管理和检查，并积极配合和支持公安机关计算机管理监察部门开展安全监察和查处案件。 第九条 计算机信息系统安全保护专职部门或者安全管理人员应当对本单位的主要计算机信息系统资源配置、技术人员构成进行登记，报同级公安机关计算机管理监察部门备案。 第二条 金融机构应当加强主要岗位工作人员的录用、考核制度，不适宜的人员必须及时调离。对重要岗位计算机信息系统的安全情况经常进行检查，及时整改不安全隐患。 第二一条 计算机工作人员调离时，必须移交全

13、部技术手册及有关资料，并更换计算机的有关口令和密钥。涉及银行业务核心部分开发的技术人员调离本系统时，应当确认对本系统安全不会造成危害后方可调离。 第二二条 金融机构应当对与计算机有关的卫星天线、电源接口、通信接口等设备进行定期检查维护。 第二三条 金融机构应当建立计算机主机房的值班及人员出入管理登记等制度。 第二四条 金融机构应当建立操作人员密码制度，分清各自责任。密码修改要有记录。 第二五条 金融机构应当实行权限分散原则。明确系统管理员、系统操作员、终端操作员、程序员的权限和操作范围。建立系统运行日志，每天打印重要的操作清单。日志信息长期保存，以备稽查。 第二六条 金融机构应当对易受病毒攻击

14、的计算机信息系统，定期进行病毒检查。用介质交换信息要按规定手续管理，并进行病毒预检，防止病毒对系统和数据的破坏。 第二七条 金融机构对证券交易、储蓄、会计等业务的计算机数据处理，应当建立严格的管理措施，以防止各类事故的发生。 第二八条 金融机构应当用软、硬件技术严格控制各级用户对数据信息的访问权限，包括访问的方式和内容。 第二九条 金融机构应当对重要的数据建立数据备份制度，并做到异地保存。 第三条 金融机构应当对贮有重要数据的故障设备，交外单位人员修理时，本单位必须派专人在场监督。 第三一条 金融机构应当建立废弃数据、介质的处理制度。 第三二条 金融机构修改金融业务程序和系统参数，必须履行一定

15、的审批手续，并做好文档资料的相应修改。 第三三条 金融机构的开发系统应当和业务系统分离，程序员只能在开发系统上工作。业务用机不得用于项目开发，不得含有源程序、编译工具、连接工具等工具软件，不使用与业务无关的任何存贮介质。 第三四条 系统管理员不能兼任柜面及事后稽核等工作，不得参与相关软件开发。参加过应用系统开发的人员，不得担任相应系统的管理员。 第三五条 金融机构启用新的应用软件，应当按规定手续交系统维护人员安装到业务系统，并做好日志记录。 第三六条 重要系统应用软件运行过程中出现异常现象，金融机构应当立即报告本级银行安全管理职能部门，做好详细记录，经领导同意后，由系统管理人员进行检查、修改、

16、维护。 第三七条 金融机构应当建立定期的系统和程序备份制度，异地保存两个以上最新的版本及其目录打印清单，以备系统和程序的恢复。 第三八条 金融机构对重要的业务系统及设备，必须制定应急情况处理方案。 第三九条 金融机构对联网的计算机及其网络设备和通讯设备的安装、使用，应当建立严格的管理措施，以防“黑客”的侵袭。 第四条 金融机构对重要通信应当采用加密措施，并定期更换通讯密钥。重要线路应当采用专线联接方式或者虚拟专线联接方式。 第四一条 金融机构应当建立严格的密钥管理制度和在紧急情况下销毁密钥的手段和措施，以防止密钥的失密。 第四二条 金融机构对与国际联网的计算机信息系统，要按有关规定向公安机关登

17、记备案。对生产机以及存放重要数据的计算机不得以任何方式与国际互联网联网。 第四三条 公安机关应当定期对金融机构的计算机信息系统进行检查，发现有影响计算机信息系统安全的隐患时，应当及时通知该金融机构。 第四四条 公安机关应当对金融机构的计算机信息系统安全管理人员进行安全知识培训，并颁发计算机安全员上岗证，并协助金融机构建立、完善计算机信息系统安全保护制度。 第四章 事故与案件的处理 第四五条 金融机构计算机信息系统发生重大事故，应当立即报告本单位计算机信息系统安全保护领导小组和专职部门，并填写计算机事故申报表，报同级公安机关计算机管理监察部门和人民银行计算机信息系统安全保护领导小组。 第四六条

18、金融机构发现计算机犯罪案件，应当立即向当地公安机关报案，并保护好发案现场。发现其他不属公安机关管辖的案件，要将主要案情通报当地公安机关。 第四七条 公安机关接到金融单位报案后，应当立即派人赶赴现场，查处案件。 第五章 奖励与处罚 第四八条 执行本暂行规定，在金融机构计算机信息系统安全保护工作中成绩显著的单位和个人，由上级金融主管部门、本单位或者公安机关给予表彰、奖励。 第四九条 违反本暂行规定，存在计算机信息系统安全隐患的金融机构，由公安机关发出整改通知，限期整改。因不及时整改而发生重大案件和事故的，由上级金融主管部门对该单位的主管负责人和直接责任人予以行政处分；构成违反治安管理或者计算机管理监察行为的，由公安机关依法予以处罚；构成犯罪的，由司法机关依法追究刑事责任。 第六章 附 则 第五条 本暂行规定由公安部和中国人民银行负责解释。 第五一条 本暂行规定自发布之日起施行。