当前位置:首页 >> 规章制度
 
信息系统安全运维管理规定
发布时间:2023年10月17日  点击数:
第一章  总 则
第一条 为保障唐山学院信息系统运维过程中的安全,确保系统业务连续性和数据安全,特制定本规定
第二条 本规定适用于唐山学院所有部门。
第二章  系统维护
第三条 系统安装部署应遵从最小化安装原则,应仅开放必要的端口和服务,关闭和卸载与业务运行无关的功能和服务。
第四条 信息系统管理员应定期对配置文件、应用程序文件进行备份。
第五条 信息系统管理员定期填写《信息系统安全巡检记录》(见附件一),对系统运行状况,如系统可用性,操作系统/数据库的 CPU、内存、磁盘空间,系统用户账号,可疑进程等进行监控和分析,及时上报安全隐患。
第六条 信息系统管理员应启用系统安全审计功能,以日志的形式记录用户登录系统、访问操作、账户修改等行为的过程和结果信息,做到发生可疑事件时有据可查。
第七条 信息系统管理员应确保审计记录集中存储在日志审计系统或日志服务器中,至少保存六个月。审计记录包括信息系统操作日志、WEB 系统中间件访问日志、操作系统/数据库日志等。
第八条 信息系统管理员应关注系统主机、数据库、应用层面存在的安全漏洞、隐患,及时进行补丁升级,对安全漏洞、挂马、暗链、页面篡改等安全隐患及时整改。
第九条 信息系统发生安全事件时,信息系统管理员应根据《唐山学院网络与信息安全类突发公共事件应急处置办法》中相关要求,以及应急预案开展安全事件应急响应。
第三章  系统停用
第十条 停用告知。信息系统主管单位在系统停用前,应向信息系统的用户做好解释与说明工作,确保所有用户都知晓。
第十一条 停止服务。信息系统主管单位指导信息系统运维单位停止系统的日常服务与运维,关停信息系统的互联网访问服务。合理处置信息系统所用的IP地址、计算、存储等资源。
第十二条 注销备案。信息系统主管单位应在系统关停后一个月内,登录备案系统进行系统注销操作同时注销域名。等保定级为二级及以上系统,由网信办统筹向公安机关申请办理撤销系统的网络安全等级保护备案。
第四章  重要变更
第十三条 信息系统发生应用层面变更时,如功能模块调整、版本升级等,应由系统管理员和系统运维单位讨论实施。
第十四条 信息系统发生基础设施层面变更时,如需调整网络策略、变更对外开放端口和服务、变更访问控制策略、系统迁移等,应参考《网络和信息系统变更管理规定》执行,并填写《变更申请审批表》。
第十五条 系统变更可能影响学校师生服务和管理活动时,应提前通知可能涉及的学校相关部门、教师和学生。重要变更应事先制定变更方案,做好系统和数据备份,明确回退程序。
第十六条 系统变更对服务造成影响的,应立即采取措施解决问题或采用恢复、回退等方式,降低影响、恢复服务。
第五章  口令设置
第十七条 基础运行环境(包括网络系统、安全系统、主机服务器操作系统、数据库、存储、公共平台、中间件等)的系统管理员口令设置要求如下:
(一) 长度:不得少于8个字符;
(二) 复杂度要求:至少包含以下四类字符中的三类字符:英文小写字母(a到z),英文大写字母(A到Z),10个基本数字(0到9),非字母字符(例如!、$、#、%);
(三) 修改周期:半年;
(四) 口令修改:再次修改的口令应确保未使用最近5次内的重复的口令。
第十八条 应用系统管理员权限的用户口令设置要求如下:
(一) 长度:不得少于8个字符;
(二) 复杂度要求:至少包含以下四类字符中的三类字符: 英文小写字母(a到z),英文大写字母(A到Z),10 个基本数字(0到9),非字母字符(例如!、$、#、%);
(三) 修改周期:半年;
(四) 口令修改:再次修改的口令应确保未使用最近5次内的重复的口令;
(五) 三级以上信息系统,应使用两种以上鉴别方式。
第十九条 应用系统普通用户(非管理员)口令设置要求如下:
(一) 长度:不得少于8个字符;
(二) 复杂度要求:至少包含以下四类字符中的两类字符: 英文小写字母(a到z),英文大写字母(A到Z),10个基本数字(0到9),非字母字符(例如!、$、#、%);
(三) 修改周期:一年。
第二十条 口令设置应避免以下选择:
(一) 账号名、本人、亲戚、朋友、同事、单位等的名字、生日、车牌号、门牌号、电话号码;
(二) 一串相同的数字或字母;
(三) 明显的键盘序列;
(四) 所有上面情况的逆序或前后加一个数字;
(五) 与用户在其他网站使用的密码相同或者相似的密码;
(六) 常见的词语或字典词语。
第二十一条 系统安装后应及时更改系统的默认口令。应强制首次使用系统用户修改默认口令。
第二十二条 用户在每个系统中只能拥有一个账户,以便将用户与其操作联系起来,使用户对其操作负责。
第二十三条 为信息系统用户分配的权限应以满足其所在岗位最低工作要求为准。
第二十四条 管理员和用户应妥善保管所使用口令,不得泄露给他人或明文存储于计算机内。
第二十五条 以下情况,相关口令应立即更改并做好记录:
(一) 口令使用人由于工作的变动不再需要访问权限;
(二) 工程施工、厂商维护完成;
(三) 口令使用人违背了有关口令管理规定;
(四) 一旦有迹象表明口令可能被泄露;
(五) 发生其他情况,系统/设备主管领导认为口令使用人不应再具有访问权限的。
第六章  备份和恢复
第二十六条 备份范围和内容应涵盖如下方面:
(一) 网络:网络设备和安全设备的配置文件、日志记录。
(二) 主机:操作系统和系统运行所产生的登录和操作日志文件、配置文件;
(三) 数据库:业务数据(含结构化数据和非结构化数据)、数据库日志文件(包括归档日志文件、告警日志文件和跟踪文件)、配置(参数)文件等;
(四) 应用系统:应用程序文件、应用日志文件和配置文件。
第二十七条 网络管理员、信息系统管理员(涵盖主机操作系统管理员、应用系统管理员)根据其所具备的管理和操作权限,确定其在网络、操作系统、数据库和应用系统层面的备份责任。
第二十八条 信息系统主管部门和运维部门根据信息系统的资产价值、系统影响范围及影响程度设计备份需求,综合考虑关键业务功能、恢复的优先顺序、恢复的时间范围等因素,确保发生问题时信息系统快速恢复。数据备份策略包括备份方式、备份频度、备份介质、存放地点等方面,具体见附件二《数据备份策略表》。
第二十九条 对于关键的备份数据,应建立异地数据备份,异地备份介质的存放环境和管理要求与本地相一致。
第三十条 等级保护定级为三级以上信息系统,应每天对业务数据进行备份。等级保护定级为二级以上信息系统,应每周对业务数据进行全量备份,定期开展增量备份。
第三十一条 信息系统管理员应检查备份结果和备份日志,确保备份成功。
第三十二条 等级保护定级为二级以上系统,应由信息系统管理员根据需要定期组织数据恢复测试,检查和测试备份介质的有效性,确保可以在规定时间内完成备份程序的恢复。
第三十三条 信息系统管理员应对所有备份恢复活动进行记录并存档,包括备份时间、备份内容、备份操作、备份介质存放、操作人等。
第七章  附 则
第三十四条 本规定是《唐山学院网络与信息安全管理办法》配套系列制度之一,从属于《唐山学院网络与信息安全管理办法》。
第三十 本规定由现代教育技术中心负责解释,自发布之日起施行。