大學(xué)計算機信息系統(tǒng)安全管理制度

1、XX大學(xué)計算機信息系統(tǒng)安全管理制度第一條 為了加強對計算機信息系統(tǒng)的安全保護(hù)，進(jìn)一步推進(jìn)校園信息化建設(shè)，落實安全等保制度，確保校園網(wǎng)絡(luò)與信息系統(tǒng)安全、高效的運行。根據(jù)信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求和其他法律、行政法規(guī)，結(jié)合我校實際，特制定本制度。第二條 操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并保證系統(tǒng)補丁及時得到更新。第三條 及時報告所發(fā)現(xiàn)的安全漏洞和可疑事件。必須每周一次進(jìn)行系統(tǒng)漏洞掃描，對發(fā)現(xiàn)的系統(tǒng)安全漏洞進(jìn)行及時修補。第四條 主機須安裝防病毒軟件，必須每周一次升級防病毒軟件及病毒庫，對系統(tǒng)進(jìn)行病毒檢查，及時清除病毒和惡意代碼。第五條 主機須安裝防火墻軟件，啟

2、用訪問控制功能，應(yīng)根據(jù)訪問控制列表對源地址、目的地址、源端口、目的端口和協(xié)議等進(jìn)行檢查，以允許/拒絕數(shù)據(jù)包出入。關(guān)閉與應(yīng)用系統(tǒng)無關(guān)的所有網(wǎng)絡(luò)端口。第六條 登錄操作系統(tǒng)和應(yīng)用系統(tǒng)的用戶須進(jìn)行身份鑒別。操作系統(tǒng)和應(yīng)用系統(tǒng)的用戶身份標(biāo)識應(yīng)具有不易被冒用的特點，不同用戶分配不同的用戶名，確保用戶名具有唯一性?？诹顟?yīng)有復(fù)雜度要求（例如采用字母、數(shù)字及特殊字符的組合，口令長度至少為八個字符），每個月更換一次口令。第七條 系統(tǒng)的管理員登錄地址須進(jìn)行限制。第八條 提供登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施。第九條 啟用訪問控制功能，控制用戶組/用戶對系統(tǒng)功能和用戶數(shù)據(jù)的訪問。第十條

3、 應(yīng)限制默認(rèn)賬戶的訪問權(quán)限，重命名系統(tǒng)默認(rèn)賬戶，修改這些賬戶的默認(rèn)口令。第十一條 系統(tǒng)管理員應(yīng)及時刪除多余的、過期的賬戶，避免共享賬戶的存在。第十二條 應(yīng)具有數(shù)據(jù)備份功能，每周一次對重要數(shù)據(jù)進(jìn)行備份。第十三條 系統(tǒng)管理員應(yīng)對系統(tǒng)的運行狀況、用戶行為等進(jìn)行日志記錄，每周備份一次日志，至少保存一個月的日志量。每周對日志分析一次，以便及時發(fā)現(xiàn)異常行為。第十四條 系統(tǒng)管理員應(yīng)對系統(tǒng)代碼進(jìn)行安全檢查，找出安全漏洞及安全隱患并改正。第十五條 系統(tǒng)管理員應(yīng)對上傳到服務(wù)器的數(shù)據(jù)內(nèi)容進(jìn)行合法性和安全性檢查，禁止上傳病毒、木馬后門等惡意代碼。禁止上傳可執(zhí)行文件。對上傳文件所存放的目錄進(jìn)行執(zhí)行權(quán)限的限制。第十六條

4、賬戶及口令的保護(hù)應(yīng)遵循“誰管理，誰負(fù)責(zé)”的原則，賬戶所引發(fā)的安全事故由該賬戶的具有人員負(fù)全部責(zé)任。系統(tǒng)管理人員離崗時應(yīng)及時上報信息化中心，離崗人員的系統(tǒng)賬戶將被立即刪除，并取消其具有的所有系統(tǒng)訪問權(quán)限。第十七條 應(yīng)對系統(tǒng)的各類相關(guān)信息嚴(yán)格保密，如系統(tǒng)的軟件廠商和版本號、系統(tǒng)的IP地址、系統(tǒng)的域名、系統(tǒng)的配置信息等。第十八條 系統(tǒng)安全管理員優(yōu)先享有參加安全方面的技術(shù)培訓(xùn)和相關(guān)活動的權(quán)力。第十九條 應(yīng)每個月進(jìn)行安全巡檢一次，并填寫信息系統(tǒng)安全檢查報告。第二十條 系統(tǒng)安全管理員發(fā)現(xiàn)重大安全問題要及時上報信息化中心，應(yīng)保持通信手段的暢通，具有應(yīng)急響應(yīng)的能力。第二十一條 信息系統(tǒng)出現(xiàn)重大安全事件時，應(yīng)果斷采取控制措施，立即上報信息化中心領(lǐng)導(dǎo)以及學(xué)校網(wǎng)絡(luò)信息安全領(lǐng)導(dǎo)小組。重大安全事件發(fā)