1、基础软件系统运行安全管理制度第一章 总则第一条 为保障海南电网公司信息系统的操作系统和数据库管理系统的安全、稳定运行,规范操作系统和数据库管理系统的安全配置和日常操作管理,特制订本制度。第二条 本办法适用于海南电网公司(以下简称公司)本部、分公司,以及直属各单位的信息系统的操作系统和数据库系统的管理和运行。其他联网单位参照执行。第二章 操作系统运行管理第三条 操作系统管理员、审计员的任命操作系统管理员、 审计员的任命应遵循“任期有限、 权限分散”的原则;对每个操作系统要分别设立操作系统管理员、审计员,并分别由不同的人员担任。在多个应用系统的环境下,操作系统管理员和操作系统审计员岗位可交叉担任;
2、操作系统管理员、审计员的任期可根据系统的安全性要求而定,最长为三年,期满通过考核后可以续任;操作系统管理员、审计员必须签订保密协议书。第四条 操作系统管理员、审计员帐户的授权、审批操作系统管理员、审计员账户的授权由系统运行维护单位填写操作系统账户授权审批表 (参见附表 1) ,经信息系统运行管理部门负责人批准后设置;操作系统管理员和操作系统审计员人员变更后,必须及时更改帐户设置。第五条 其他帐户的授权、审批本单位其他账户的授权由使用部门填写操作系统账户授权审批表 ,经信息系统运行管理部门负责人批准后,由操作系统管理员进行设置;外单位人员需要使用本单位系统时, 须经相关业务管理部门主管同意,填写
3、外单位人员操作系统账户授权审批表 (参见附表 2) ,报信息系统运行管理部门负责人批准后, 由操作系统管理员按规定的权限、时限设置专门的用户帐号;严禁本单位任何人将自己的用户帐号提供给外单位人员使用。第六条 口令的复杂性、安全性要求和检查系统账户的口令长度设置至少为 8 位,口令必须从字符(a-z,A-Z) 、数字(0-9) 、符号(!#$%&*()_)中至少选择两种进行组合设置;系统账户的口令必须经常更改,至少每月更改一次,每次更新的口令不得与旧的口令相同,操作系统应设置相应的口令规则;系统用户的帐号、口令、权限等禁止告知其他人员;须根据系统的安全要求对操作系统密码策略进行设置和调整,以确保
4、口令符合要求。第七条 系统维护和应急处理记录应设置操作系统维护和应急处理记录 (参见附表 3) ,系统管理员记录系统的运行情况;应对系统安装、设置更改、帐号变更、组变更、备份等系统维护工作进行记录,以备查阅;应对系统异常和系统故障的时间、现象、应急处理方法及结果作详细的记录。第八条 操作系统软件、资料以及许可证的管理必须对操作系统软件的介质、资料和许可证进行登记,并设专人负责保管;登记的内容应包括软件的名称和版本、软件出版商、许可证类型和数量、介质的编号和数量、软件安装序列号、手册名称和数量、购买日期等;应有软件和资料的借用审批和借还登记手续;对重要的系统软件介质和资料要进行复制,借用时宜提供
5、复制品,以保护好原件及避免丢失。第九条 操作系统的系统管理员帐户名称、口令的管理操作系统的系统管理员账户名称不得使用系统安装时默认的系统管理员账户名,应按照操作系统账户授权审批表批准的账户名称、权限和有效期予以设置;必须更改系统安装时默认系统管理员账户和具有特殊权限的账户的口令,关闭不必使用的账号;操作系统管理员帐户的口令除了要满足本规范第六条中的口令要求外,还必须每两周更改一次,发现有异常情况时应立即更改,每次更新的口令不得与旧的口令相同;严禁把操作系统管理员的帐户名称和口令告知其他人员。第十条 操作系统配置的备份管理操作系统管理员应对操作系统的配置参数及相关文件进行备份,当配置发生变更时必须重新备份,以便系统发生故障时能尽快恢复系统配置。第十一条 操作系统的安全检查操作系统管理员应经常检查操作系统的安全配置,并确保符合安全配置要求;操作系统管理员和操作系统审计员应定期查看操作系统的运行日志和审计日志,以及时发现出现的安全问题;操作系统管理员应定期使用最新的安全检查或安全分析工具对系统进行检查, 并及时消除存在的漏洞。 特别是在新软件安装或软件更新之后。