安全管理制度文件

安全管理制度文件第一条物理安全策略（1）机房和办公室必须选择在经过防震、防火、防雷击验收合格的办公大楼内部，机房的窗户需要有防雨水渗透的能力；（2）机房出入口必须有专人值守，对工作人员进行登记；（3）进入机房的工作人员必须由安全管理员或机房管理员全程陪同；（4）机房内部必须划分重要设备区、一般设备区、过渡区等区域，对不同区域分别进行管理，区域与区域之间进行物理隔离；（5）机房内部必须部署基础防护系统和设备，如电子门禁系统、监控报警系统、防雷设备、消防灭火系统、防水监控系统、温湿度控制系统、UPS供电系统和电磁屏蔽设备。第二条网络安全策略（1）网络中必须部署路由器、交换机、防火墙、防毒墙、IPS设备和内网网络管理、补丁分发等系统（2）网络设备除接入交换机之外，必须进行双机热备，除接入交换机链接工作终端的线路外，其他线路必须进行双线冗余；（3）整体网络不能出现流量瓶颈，保证带宽充足；（4）各部门必须划分不同网段的IP地址；（5）划分网络带宽，突出优先级；（6）网络边界处必须部署防火墙、IPS等安全设备；（7）网络设备必须开启日志审计功能；第三条主机安全策略（1）登录操作系统和数据库系统的用户必须进行身份标识和鉴别；（2）操作系统和数据库系统管理用户身份标识不能出现同名用户，口令应有复杂度要求并定期更换；（3）操作系统和数据库系统必须启用登录失败处理功能；（4）对服务器进行远程管理时，必须采取必要措施，防止鉴别信息在网络传输过程中被窃听；（5）为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性，不能出重名情况；（6）操作系统和数据库必须及时删除多余的、过期的账户，避免共享账户的存在；（7）主机必须开启日志审计功能；（8）主机必须安装防恶意代码产品，并进行统一管理；第四条应用安全策略（1）应用系统必须在登录时要求输入用户名和口令；（2）登录应用系统必须进行两种或两种以上的复合身份验证（如用户名口令+Ukey或用户名口令+IP与MAC地址绑定方式）；（3）应用系统中设置的用户都必须是唯一用户，不能名称相同，且不能出现多人使用同一账户的情况；（4）应用系统必须开启登录失败处理功能；（5）应用系统必须开启登录连接超时自动退出等措施；（6）应用系统必须开启身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能，并根据安全策略配置相关参数；（7）应用系统必须开启日志审计功能；（8）应用系统存储用户信息的设备在销毁、修理或转其他用途时，必须清楚内部存储的信息；第五条数据安全策略（1）业务应用数据和设备配置文档都必须进行备份，以便发生问题时进行恢复；（2）数据备份至其他设备上时，必须使用专门的备份通道，保证数据传输的完整性；（3）数据本机备份时应检测其完整性；（4）数据备份时必须使用专业的备份设备和工具，在数据传输和数据存储时，都必须是加密传输和存储；（5）数据进行异地备份时，必须利用通信网络将关键数据定时批量传送至备用场地。