发布者:商学院办公室 时间:2019-12-16
一、总则
为明确岗位职责,规范操作流程,保障学院信息系统安全、有效运行,根据有关法律、法规和政府及学校有关规定,结合商学院实际情况,特制定本办法。
二、 用户和密码管理
第一条 对于网络设备、主机、操作系统、数据库、业务应用程序,系统用户都必须通过用户和密码认证方可访问。
第二条 用户权限分为普通用户、维护用户与超级用户三个级别。普通用户为各应用系统的使用者,维护用户为各层面系统维护者,超级用户为各层面的管理员用户。
第三条 具有重要权限的账号密码设置必须符合以下安全要求:
(1) 密码长度至少是八个字符,组成上必须包含字母、数字等不同的字符
(2) 服务器的基础账号,如数据库系统、操作系统必须设置密码安全周期机制,账户密码必须至少每120天修改一次
(3) 厂商默认密码必须在软件或硬件安装调试完毕后进行修改
(4) 对于操作系统,禁用GUEST账户,并将管理员账户重命名
第四条 密码保护与备份策略:
(1) 范围:网络设备、服务器操作系统、数据库、应用系统、校外上网认证账户信息
(2) 包含项目:网络设备访问的IP地址、端口及所有超级用户的用户名以及密码;服务器操作系统的IP地址、所有管理员账户名、密码;数据库中所有具有系统数据库管理员权限的用户名和密码;应用系统中所有超级用户的用户名以及密码
第五条 监控系统运行状况,发现不良侵入立即采取措施制止。
第六条 所有校内操作系统需部署在学校信息办具备安全措施的机房内运行。
第七条 定期检查系统漏洞,根据实际需要提出版本升级计划,及时安装系统补丁。
第八条 定期检查系统CPU、内存、文件系统空间的使用情况等。
第九条 记录服务器端口的开放情况。
第十条 在信息系统正式上线前,操作系统管理员必须删除操作系统中所有测试账号,对操作系统中无关的默认账号进行删除或禁用。
第十一条 本地或远程登录主机操作系统进行配置等操作时,在操作完成后或临时离开配置终端时,必须退出操作系统。
第十二条 对数据库系统存储空间进行管理,根据实际需要提出扩容计划。对数据库系统性能进行分析、监测,优化数据库的性能。
第十三条 制定并实施数据库的备份及恢复计划,根据备份计划检查数据库备份是否成功。
第十四条 至少每3个月对数据库版本进行管理,提出版本升级计划,需要时安装数据库系统补丁,并做好记录。
第十五条 定期检查数据库对主机系统CPU、内存的占用情况。
第十六条 信息管理中心应在信息系统的主机和终端上统一安装防病毒软件,并及时对其进行更新。
第十七条 信息管理中心网络管理员必须了解最新的病毒信息和病毒动向,及时检查并下载杀毒防毒补丁。
第十八条 信息管理中心网络管理员定期对系统中新增的程序或数据文件进行病毒检查。
第十九条 对于因计算机病毒而引起的重要信息系统瘫痪、程序和数据损坏等重大事故,应及时启动部门相关应急预案。
六、 信息系统的运行与维护
第二十条 信息系统的日常管理和维护由信息管理中心负责。信息管理中心按实际情况制定各模块的具体操作规范,及时跟踪、发现和解决系统运行中存在的问题,确保信息系统按照规定的程序、制度和操作规范持续稳定运行。
第二十一条 信息管理中心对服务器等关键信息设备指定专人负责检查维护,及时处理异常情况。未经授权,任何人不得接触关键信息设备。机房设备发生故障时,应及时联系设备供应厂商解决。
第二十二条 信息系统需求变更应当严格按照管理流程进行操作。信息系统操作人员不得擅自进行系统内软件的删除、修改等操作;不得擅自升级、改变系统软件版本;不得擅自改变软件系统环境配置
第二十三条 对于重大信息系统配置的更改,应先形成方案文件,经信息管理中心讨论确认可行,报信息管理中心主管领导批准后执行
第二十四条 信息管理中心人员必须严格遵守信息传递操作流程,严禁外泄网络用户密码及共享权限密码,严禁擅改他人文件。
第二十五条 信息管理中心全体人员均有权制止违反规定、可能损害信息系统安全的行为,并有义务及时向信息管理中心主管领导汇报。
第二十六条 信息系统设备完成安装调试后,未经信息管理中心同意,任何个人或部门不得擅自移动或拆除。如因工作需要,确实要对有关设备进行移动或拆除,需报信息管理中心审批同意后,由信息管理中心组织有关技术人员实施,并做好相应的登记变更工作。关键硬件设备完成安装后,运行地点要相对固定,移动或拆除要在完成审批程序后,方可实施。
七、 附则
第二十七条 本管理办法经学院党政联席会议讨论通过,由信息管理中心负责解释。