国有企业财务信息系统安全管理细则模版.doc

1、 *财务信息化安全管理细则 第一章　总则 第一条 为保证财务信息化各系统安全、稳定、高效运行，根据*财务信息化管理办法的有关规定，特制订本管理细则。 第二条 本管理细则主要规范财务信息化各系统主机设备、网络、操作系统、数据库、应用系统软件的安全管理和应急预案。 第三条 本细则适用于*所有各级单位。 第二章　设备安全 第四条 各单位应将财务信息系统服务器纳入计算机机房进行统一管理，制定计算机机房管理办法，对机房环境、设备、人员出入等进行管理。 第五条 应将主要设备放置在物理受控的范围内，进行必要的物理固定，并对其进行规范标识。 第六条 双机热备的设备要定期(至少半年一次)激活备

2、用服务器，测试接替主服务器服务的功能。 第七条 应对磁带机等备份设备进行安全检测和管理，包括： （一）定期（至少每季一次）检查其可靠性； （二）定期（至少每季一次）清洁和检查磁带机，以确保其正确操作。磁带存储应放置在远离磁性设备的无尘安全位置； （三）备份磁带保存地点的设置，应该考虑免遭偷窃、蓄意破坏等； （四）正确保存磁带。盒式磁带的磁带卷轴要垂直放置，与驱动器接触的边朝下。 第三章　网络安全 第八条 各单位应在与外部网络连接的接口边界处部署防火墙等安全设备以保证网络安全，绘制与当前运行情况相符的网络拓扑结构图，报*信息部门备案。 第九条 整个

3、网络系统须划分为相对独立的安全域，通过对安全域的边界防护和安全域内的统一安全管理来实现安全域内的网络安全。安全域划分后，域间的互相访问要进行严格的访问权限控制。 第十条 来自安全域外部的访问必须对用户进行身份认证，保证只有可信的和合法的用户才能访问网络系统。 第十一条 严格控制远程访问，并且保证远程访问的安全。 第十二条 严格规定使用拨号的范围、时间和方式，并对拨号的使用情况进行详细记录。 第十三条 定期（至少每月一次）对网络设备进行安全扫描，检测未授权的行为，检测网络配置和管理中存在的漏洞。 第十四条 对发生的异常网络事件日志进行存档，以便为审计提供资料。 第四章 操作系统安全

4、 第十五条 各单位应对财务信息系统服务器操作系统进行安全配置，包括： （一）设置操作系统管理员帐号和口令； （二）设置操作系统用户帐号和口令； （三）输入错误密码5次以上，锁定该用户账号； （四）禁用不必要的用户和用户组。 第十六条 应对登录操作系统的用户进行身份标识和鉴别，禁止有病毒隐患的外单位电脑连接登录。 第十七条 应定期（至少每季一次）对财务信息化各系统服务器进行安全扫描，确保扫描过程不影响系统安全，并且扫描的结果至少保留12个月。 第十八条 定期进行操作系统日志和权限检查，填写《操作系统日志和权限例行检查表》（附件1），如发现异常情况，采取相应

5、的控制措施。 第五章　数据库安全 第十九条 原则上不允许直接访问数据库，如确有需要，应严格执行申请、审批流程，填写《直接数据访问申请表》（附件2），并且需有人监督访问过程；系统责任人应定期（至少每季一次）回顾直接访问数据的日志记录。 第二十条 定期（建议为一个月）进行数据库系统日志和权限检查，填写《数据库日志和权限例行检查表》（附件3），如发现异常情况，采取相应的控制措施。 第六章　应用系统安全 第二十一条 应用系统的更新、维护、升级应由应用系统管理员操作。未经授权，不得对应用系统进行操作。 第二十二条 应用系统管理员必须严格按照权限管理的要求操作。每次操作应记录相应的操作日志

6、日志包括操作人、操作时间、执行命令等。 第二十三条 应用系统管理员应每月检查工作日志，核实操作人员的上机时间、操作内容等，并整理相应的日志文件。应用系统管理员每月检查操作用户的权限。日志检查和权限检查工作记录需填写《应用日志和权限例行检查表》（附件4）。 第二十四条 系统管理员变动前必须办理交接手续，经接管人员、监交人员与系统管理员三方签字确认，并进行存档。具体移交内容包括： （一）管辖范围内的服务器地址分布、账套的详细资料； （二）应用系统相关配置表及明细表； （三）所有的备份数据； （四）应用系统相关技术资料； （五）系统维护记录本； （六）应用系统所有版本的软件； （

7、七）下级单位应用系统管理员名单及联系方式； （八）其他应交接的内容。 第二十五条 对交接内容应进行必要的检查，以确保交接质量。一旦交接，接替人员应立即更换密码。 第七章　病毒防范管理 第二十六条 应统一部署和管理网络杀毒软件，并设置每天自动升级检查病毒特征库并自动部署。每周通过比较当前版本与软件厂商在网站上公布的版本，对病毒特征库的升级情况进行人工检查。 第二十七条 每日对服务器进行病毒检测，对检测或截获的各种高风险病毒及时分析处理。 第二十八条 系统管理员应及时掌握最新的病毒动态，做好病毒防范工作，及时发布病毒预警通知。用户应提高病毒防范意识，重视有关人员发布的病毒和补丁通告，及

8、时安装操作系统补丁。 第二十九条 当用户计算机出现病毒传染迹象时，应使用防病毒软件对病毒进行查杀，杀毒完成重启计算机后，再次用最新版本的防病毒软件检查系统是否还存在该病毒。如存在系统漏洞应及时打上补丁，并确定被感染破坏的数据是否确实完全恢复。 第三十条 用户遇到无法清除的计算机病毒时，应首先断开网络、关闭计算机，以防病毒扩散和数据丢失，同时报告信息部门，由有关专业人员进行处理。 第八章　操作人员安全管理 第三十一条 信息部门技术岗位职责的定义，应执行以下角色分离原则。 （一）系统开发人员与系统测试人员分离。 （二）系统使用人员与系统开发人员分离。 （三）系统的维护人员与系统开发人

9、员分离。 （四）系统的访问授权人员与权限复核人员分离。 （五）系统操作人员与日志审计人员分离。 第三十二条 财务部门岗位职责的定义参见《会计核算单位及用户管理细则》。 第三十三条 操作人员登录系统后，离开工位时要锁定或退出应用系统，以确保账户安全。 第九章 密码管理 第三十四条 各单位应制定密码管理规定，规范密码的长度、复杂程度、密码更换周期等内容。 第三十五条 密码（口令）的设置要求 （一）不得使用单一的英语单词或汉语拼音作为密码。 （二）密码中不能是个人（如姓名、家庭电话等）及公司缩拼。 （三）密码长度应该至少不低于八位字符且使用不易被猜测的密码。 第三十六条 密码

10、口令）的使用要求 （一）所有操作系统的特权帐号密码（例如，root帐号、enable帐号、NT admin帐号、应用系统的管理员帐号等）至少一个季度更改一次。 （二）所有的用户级密码（如，email密码、桌面电脑密码等）至少六个月更改一次。 （三）用户初次登录系统时，必须更改初始密码。 （四）用户更改密码时，应避免采用在近期内使用过的密码。 （五）密码不得采用自动保存的方式记录在电脑中。 第三十七条 财务人员应妥善保管操作密码，严禁他人代替进行操作。其他财务人员需要进行权限外操作的，必须将操作业务交代清楚，向财务主管申请权限，并使用本人的账

11、号及密码。 第三十八条 用户应对自己的登陆密码负责， 未按照密码管理规定执行造成数据泄露，追究其事故责任。 第十章 应急预案 第三十九条 财务管理信息系统安全事件包括机房电力系统故障、消防系统故障、网络系统故障、应用系统故障、大规模病毒（含恶意软件）攻击和黑客入侵等事件。 第四十条 安全突发事件管理的工作原则：统一领导、统一指挥、各司其职、整体作战、发挥优势、保障安全。 第四十一条 各单位应编制财务信息化系统突发事件应急预案，以保证财务信息化各系统的正常运行。 第四十二条 由信息管理部门会同财务部门负责财务信息化系统的安全管理工作，对财务信息系统内的核心和重要子系统进行冗余配置

12、对系统及其重要数据进行备份。 第四十三条 应作好应急准备，通过相应的技术手段建立预警和报警系统，使警报信息能够及时通知到有关人员。 第四十四条 系统管理员在发现财务信息系统安全突发事件后，应当迅速了解、核实发生安全事件的类型、位置、时间、对系统的影响和造成的损失等有关情况并进行评估分析，财务部门负责人报告。 第四十五条 发生较大、重大和特别重大级的信息系统安全事件时，有关负责人在向上级报告的同时，应及时启动相关应急预案，有针对性地进行应急安排和部署，采取应急相应措施。 第四十六条 应对信息系统安全事件的有关情况及其处置情况进行记录，并负责证据保全的相关工作。 第四十七条 在确认关键

13、数据信息被破坏时，及时启动数据恢复机制，采用备份数据进行恢复，若建立了数据容灾系统，应立即启用容灾备份系统保证财务信息化各系统数据的连续性。 第四十八条 信息系统安全事件应急处置工作结束，或者相关危险因素消除后，应当终止相关应急工作，恢复系统正常运行并向局级单位汇报并备案。 附件：1.XX操作系统和权限例行检查表 2.直接数据访问申请表 3.数据库服务器日志和权限例行检查表 4.应用日志和权限例行检查表 附件1： XX操作系统日志和权限例行检查表 编号：DEPT- -YYYYMM

14、DD-NN 时间： 年 月 日 至 年 月 日 系统IP(s) 是 否 检查项目 关键文件/目录/系统用户/用户组 其它说明 例如. 192.168.1.1 ■ □ ■ ■ □ ■ ■ ■ ■ □ ■ □ □ ■ □ □ □ □ 每个用户拥有各自的帐号 有共享帐号 限定登陆IP地址 启动了密码过期政

15、策 天 手工限时更改密码 是否发生了权限变更 权限变更是否执行了变更手续 权限清单符合权限最小性原则 去除了无用帐号 例如： 应用程序采用了固定用户名称和口令字，不能修改；数据库管理员与系统管理员是同一个人 权限清单（至少每季度最后一个月一次，系统文件拷贝或拷屏，可以为附件）： 系统IP(s)和日志文件路径 检查方式 正常 异常 检查项目 发现的问题及解决方法 补充说明 192.168.1.1 /var/log/messages /var/log/secure /var/log/wtmp Ps aux

16、■■ ■□ □ □ □ □ □ ■■□ CPU/内存/硬盘利用率 可疑的进程/服务 停止的进程/服务 系统登陆记录 文件系统状态 其他________________ 发现内部网络有试探登陆失败，继续跟踪；文件系统满，清除了一些老文件，系统得以恢复。 试探性攻击不作为严重隐患 系统管理员签字/日期： 负责人签字/日期： 注：检查方式代码： 1..每日例行检查 2.每周至少查一次 3.一次性综合检查 4.不定期检查 5.感觉没问题就没有检查 A.仔细检查 B.大致浏览 C.用工具过滤后检查 附件2: 直接数据访问申请表 编号：XXX- YYYY

17、MMDD-NN 申请人姓名 申请部门 申请日期 系统名称 1.__________________系统 2.__________________系统 3.__________________系统 程序或数据名称 访问情况说明 申请人 签章： 年 月 日 部门经理审批 签章： 年 月 日 系统管理员审核意见

18、 签章： 年 月 日 附件3: 数据库服务器日志和权限例行检查表 编号：DEPT-SE-DBSCHK-YYYYMMDD-NN 时间： 年 月 日 至 年 月 日 DBMS IP(s) 是 否 检查项目 关键数据库/表/用户/用户组 其它说明 □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ 每个用户拥有各自的帐号 应用程序有固定帐号 限定访问数据库的IP地址

19、 启动了密码过期政策 天 手工限时更改密码 是否发生了权限变更 权限变更是否执行了变更手续 权限清单符合权限最小性原则 权限清单（至少每季度最后一个月一次，系统文件拷贝或拷屏，可以为附件）： 系统IP(s)和日志文件路径 检查方式 正常 异常 检查项目 发现的问题及解决方法 补充说明 数据库日志 □ □ □ □ □ □ □ □ □ □ □ □ □

20、 □ □ □ □ □ 服务的关闭/启动 数据库结构修改 死锁 存储空间增加失败 回滚段错误 其他错误警告信息 可疑网络连接 可疑用户登录 其他可疑操作记录 数据库管理员签字/日期： 负责人签字/日期： 注：检查方式代码： 1.每日例行检查 2.每周至少查一次 3.一次性综合检查 4.不定期检查 5.感觉没问题就没有检查 A.仔细检查 B.大致浏览 C.用工具过滤后检查 附件4: 应用日志和权限例行检查表 编号：DEPT- YYYYMMDD-NN 时间： 年 月 日 至 年 月 日 应用地址U

21、RL(s)或者IP(s) 是 否 检查项目 关键应用/用户/用户组 其它说明 □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ 每个用户拥有各自的帐号 有多人采用同一个帐号 限定访问数据库的IP地址 启动了密码过期政策 天 手工限时更改密码 是否发生了权限变更 权限变更是否执行了变更手续 权限清单符合权限最小性原则 权限清单（至少

22、每季度最后一个月一次，系统导出文件或拷屏，可以为附件）： IP(s)和日志文件路径 检查方式 正常 异常 检查项目 发现的问题及解决方法 补充说明 □ □ □ □ □ □ □ □ □ □ □ □ □ □ 访问速度 存储空间不足 应用的启动/关闭 其他警告信息 可疑用户登录 其他可疑操作记录 其它： 应用管理员签字/日期： 负责人签字/日期： 注：检查方式代码： 1.每日例行检查 2.每周至少查一次 3.一次性综合检查 4.不定期检查 5.感觉没问题就没有检查 A.仔细检查 B.大致浏览 C.用工具过滤后检查 52