计算机系统安全规范
计算机系统安全规范 (草案) 一、引言 1 1..1 1 目的目的 随着计算机应用的广泛普及, 计算机安全已成为衡量计算机系统性能的一个重要 指标。 计算机系统安全包含两部分内容,一是保证系统正常运行,避免各种非故意的错 误与损坏;二是防止系统及数据被非法利用或破坏。两者虽有很大不同,但又相 互联系,无论从管理上还是从技术上都难以截然分开,因此,计算机系统安全是 一个综合性的系统工程。 本规范对涉及计算机系统安、全的各主要环节做了具体的说明,以便计算机系统 的设计、安装、运行及监察部门有一个衡量系统安全的依据。 1 1..2 2 范围范围 本规范是一份指导性文件,适用于国家各部门的计算机系统。 在弓 I 用本规范时,要根据各单位的实际情况,选择适当的范围,不强求全面采 用。 二、安全组织与管理 2 2..1 1 安全机构安全机构 2.1.1 单位最高领导必须主管计算机安全工作。 2.1.2 建立安全组织: 2.1.2.1 安全组织由单位主要领导人领导,不能隶属于计算机运行或应用部 门。 2.1.2.2 安全组织由管理、系统分析、软件、硬件、保卫、审计、人事、通 信等有关方面人员组成。 2.1.2.3 安全负责人负责安全组织的具体工作。 2.1.2.4 安全组织的任务是根据本单位的实际情况定期做风险分析,提出相 应的对策并监督实施。 2.1.3 安全负责人制: 2.1.3. I 确定安全负责人对本单位的计算机安全负全部责任。 2.1.3.2 只有安全负责人或其指定的专人才有权存取和修改系统授权表及系 统特权口令。 2.1.3.3 安全负责人要审阅每天的违章报告,控制台操作记录、系统日志、 系统报警记录、系统活动统计、警卫报告、加班报表及其他与安全有关的材料。 2.1.3.4 安全负责人负责制定安全培训计划。 2.1.3.5 若终端分布在不同地点,则各地都应有地区安全负责人,可设专职, 也可以兼任,并接受中心安全负责人的领导。 2.1.3.6 各部门发现违章行为,应向中心安全负责人报告,系统中发现违章 行为要通知各地有关安全负责人。 2.1.4 计算机系统的建设应与计算机安全工作同步进行。 2 2..2 2 人事管理人事管理 2.2.1 人员审查:必须根据计算机系统所定的密级确定审查标准。如:处理机 要信息的系统,接触系统的所有工作人员必须按机要人员的标准进行审查。 2.2.2 关键岗位的人选。如:系统分析员,不仅要有严格的政审,还要考虑其 现实表现、工作态度、道德修养和业务能力等方面。尽可能保证这部分人员安全 可靠。 2.2.3 所有工作人员除进行业务培训外,还必须进行相应的计算机安全课程培 训,才能进入系统工作。 2.2.4 人事部门应定期对系统所有工作人员从政治思想、业务水平、工作表现 等方面进行考核,对不适于接触信息系统的人员要适时调离。 2.2.5 对调离人员,特别是在不情愿的情况下被调走的人员,必须认真办理手 续。除人事手续外,必须进行调离谈话,申明其调离后的保密义务,收回所有钥 匙及证件,退还全部技术手册及有关材料。系统必须更换口令和机要锁。在调离 决定通知本人的同时,必须立即进行上述工作,不得拖延。 2. 32. 3 安全管理安全管理 2.3,1 应根据系统所处理数据的秘密性和重要性确定安全等级,井据此采用有 关规范和制定相应管理制度。 2.3.2 安全等级可分为保密等级和可靠性等级两种,系统的保密等级与可靠性 等级可以不同。 2.3.2.1 保密等级应按有关规定划为绝密、机密、秘密。 2.3.2.2 可靠性等级可分为三级。对可靠性要求最高的为 A 级,系统运行所 要求的最低限度可靠性为 C 级,介于中间的为 B 级。 2.3.3 用于重要部门的计算机系统投入运行前,应请公安机关的计算机监察部 门进行安全检查。 2.3.4 必须制定有关电源设备、空凋设备,防水防盗消防等防范设备的管理规 章制度。确定专人负责设备维护和制度实施。 2.3.5 应根据系统的重要程度,设立监视系统,分别监视设备的运行情况或工 作人员及用户的操作情况,或安装自动录象等记录装置。对这些设备必须制定管 理制度,并确定负责人。 2.3.6 制定严格的计算中心出入管理制度: 2.3.6.1 计算机中心要实行分区控制,限制工作人员出入与己无关的区域。 2.3.6.2 规模较大的计算中心,可向所有工作人员,包括来自外单位的人员, 发行带有照片的身份证件,并定期进行检查或更换。 2.3.6.3 安全等级较高的计算机系‘统,除采取身份证件进行识别以外,还 要考虑其他出入管理措施,如:安装自动识别登记系统,采用磁卡、结构编码卡 或带有徽电脑及存储器的身份卡等手段, 对人员进行自动识别、 登记及出入管理。 2.3.6.4 短期工作人员或维修人员的证件,应注明有效日期,届时收回。 2.3.6.5 参观人员必须由主管部门办理参观手续,参观时必须有专人陪同。 2.3.6.6 因系统维修或其它原因需外国籍人进入机房时,必须始终有人陪同。 2.3.6.7 进出口的钥匙应保存在约定的场所,由专人管理,并明确其责任。 记录最初人室者及最后离室者和钥匙交换时间。 2.3.6.8 在无警卫的场合,必须保证室内无人时,关锁所有出入口。 2.3.6.9 禁止携带与上机工作无关的物品进入机房。 2.3.6.10 对于带进和带出的物品,如有疑问,庞进行查验。 2.3.7 制定严格的技术文件管理制度。 2.3.7.1 计算机系统的技术文件如说明书、手册等应妥善保存,要有严格的 借阅手续,不得损坏及丢失。 2.3.7.2 应备有关计算机系统操作手册规定的文件。 2.3.7.3 庞常备计算机系统出现故障时的替代措施及恢复顺序所规定的文件。 2.3.8 制定严格的操作规程: 2.3.8. I 系统操作人员应为专职,操作时要有两名操作人员在场。 2.3.8.2 对系统开发人员和系统操作人员要进行职责分离。 2.3.9 制定系统运行记录编写制度,系统运行记录包括系统名称、姓名、操作 时间、处理业务名称、故障记录及处理情况等。 2.3.10 制定完备的系统维护制度: 2.3.10.1 对系统进行维护时,应采取数据保护措施。如:数据转贮、抹除、 卸下磁盘磁带,维护时安全人员必须在场等。运程维护时,应事先通知。 2.3.10.2 对系统进行预防维修或故障维修时,必须记录故障原因、维修对象、 维修内容和维修前后状况等。 2,3.10.3 必须建立完整的维护记录档案。 2.3.11 应制定危险品管理制度。 2.3.12 应制定消耗品管理制度。 2.3.13 应制定机房清洁管理制度。 2.3.14 必须制定数据记录媒体管理制度。 2.3.15 必须定期进行安全设备维护及使用训练,保证每个工作人员都能熟练 地操作有关的安全设备。 三、安全技术措施 3 3..1 1 实体安全实体安全 3.1.1 设计或改建计算机机房时必须符合下列标准: 3.1.1.1《计算机场地技术要求》(GB2887—87)。 3.1.1.2《计算站场地安全要求》国家标准(待公布)。 3.1.2 计算中心机房建筑和结构还应注意下列问题: 3.1.2.1 祝房最好为专用建筑。 3.1.2.2 机房最好设置