（安全管理）软件系统安全规范.pdf

（安全管理）软件系统安全 规范 一、引言 1 ．1 目的 随着计算机应用的广泛普及，计算机安全已成为衡量计算机系统性能的一个重要 指标。 计算机系统安全包含两部分内容，一是保证系统正常运行，避免各种非故意的错 误与损坏；二是防止系统及数据被非法利用或破坏。两者虽有很大不同，但又相 互联系，无论从管理上还是从技术上都难以截然分开，因此，计算机系统安全是 一个综合性的系统工程。 本规范对涉及计算机系统安、全的各主要环节做了具体的说明，以便计算机系统 的设计、安装、运行及监察部门有一个衡量系统安全的依据。 1 ．2 范围 本规范是一份指导性文件，适用于国家各部门的计算机系统。 在弓 I 用本规范时，要根据各单位的实际情况，选择适当的范围，不强求全面采 用。 二、安全组织与管理 2 ．1 安全机构 2 ．1 ．1 单位最高领导必须主管计算机安全工作。 2 ．1 ．2 建立安全组织： 2 ．1 ．2 ．1 安全组织由单位主要领导人领导，不能隶属于计算机运行或应用部门。 2 ．1 ．2 ．2 安全组织由管理、系统分析、软件、硬件、保卫、审计、人事、通信 等有关方面人员组成。 2 ．1 ．2 ．3 安全负责人负责安全组织的具体工作。 2 ．1 ．2 ．4 安全组织的任务是根据本单位的实际情况定期做风险分析，提出相应 的对策并监督实施。 2 ．1 ．3 安全负责人制： 2 ．1 ．3 ．I 确定安全负责人对本单位的计算机安全负全部责任。 2 ．1 ．3 ．2 只有安全负责人或其指定的专人才有权存取和修改系统授权表及系统 特权口令。 2 ．1 ．3 ．3 安全负责人要审阅每天的违章报告，控制台操作记录、系统日志、系 统报警记录、系统活动统计、警卫报告、加班报表及其他与安全有关的材料。 2 ．1 ．3 ．4 安全负责人负责制定安全培训计划。 2 ．1 ．3 ．5 若终端分布在不同地点，则各地都应有地区安全负责人，可设专职， 也可以兼任，并接受中心安全负责人的领导。 2 ．1 ．3 ．6 各部门发现违章行为，应向中心安全负责人报告，系统中发现违章行 为要通知各地有关安全负责人。 2 ．1 ．4 计算机系统的建设应与计算机安全工作同步进行。 2 ．2 人事管理 2 ．2 ．1 人员审查：必须根据计算机系统所定的密级确定审查标准。如：处理机 要信息的系统，接触系统的所有工作人员必须按机要人员的标准进行审查。 2 ．2 ．2 关键岗位的人选。如：系统分析员，不仅要有严格的政审，还要考虑其 现实表现、工作态度、道德修养和业务能力等方面。尽可能保证这部分人员安全 可靠。 2 ．2 ．3 所有工作人员除进行业务培训外，还必须进行相应的计算机安全课程培 训，才能进入系统工作。 2 ．2 ．4 人事部门应定期对系统所有工作人员从政治思想、业务水平、工作表现 等方面进行考核，对不适于接触信息系统的人员要适时调离。 2 ．2 ．5 对调离人员，特别是在不情愿的情况下被调走的人员，必须认真办理手 续。除人事手续外，必须进行调离谈话，申明其调离后的必威体育官网网址义务，收回所有钥 匙及证件，退还全部技术手册及有关材料。系统必须更换口令和机要锁。在调离 决定通知本人的同时，必须立即进行上述工作，不得拖延。 2.3 安全管理 2 ．3 ，1 应根据系统所处理数据的秘密性和重要性确定安全等级，井据此采用有 关规范和制定相应管理制度。 2 ．3 ．2 安全等级可分为必威体育官网网址等级和可靠性等级两种，系统的必威体育官网网址等级与可靠性 等级可以不同。 2 ．3 ．2 ．1 必威体育官网网址等级应按有关规定划为绝密、机密、秘密。 2 ．3 ．2 ．2 可靠性等级可分为三级。对可靠性要求最高的为A 级，系统运行所要 求的最低限度可靠性为C 级，介于中间的为 B 级。 2 ．3 ．3 用于重要部门的计算机系统投入运行前，应请公安机关的计算机监察部 门进行安全检查。 2 ．3 ．4 必须制定有关电源设备、空凋设备，防水防盗消防等防范设备的管理规 章制度。确定专人负责设备维护和制度实施。 2 ．3 ．5 应根据系统的重要程度，设立监视系统，分别监视设备的运行情况或工 作人员及用户的操作情况，或安装自动录象等记录装置。对这些设备必须制定管 理制度，并确定负责人。 2 ．3 ．6 制定严格的计算中心出入管理制度： 2 ．3 ．6 ．1 计算机中心要实行分区控制，限制工作人员出入与己无关的区域。 2 ．3 ．6 ．2 规模较大的计算中心，可向所有工作人员，包括来自外单位的人员， 发行带有照片的身份证件，并定期进行检查或更换。 2 ．3 ．6