第一章 总则
第一条 为了规范重庆师范大学(以下简称“学校”)主机操作系统相关的网络安全工作,特制定本办法。
第二条 本办法适用于学校网络安全管理范围内的所有业务系统主机操作系统的运行维护管理工作。
第二章 职责与权限
第三条 信息技术中心
(一)全面负责学校系统安全管理工作。综合协调相关部门完成系统安全规划、建设、维护、保障工作。
(二)落实国家及市政府有关系统安全法规、方针、政策、标准和规范,联系上级主管部门并落实系统安全管理相关工作。
(三)组织制定系统安全管理规章制度和标准规范。
(四)指导、协调和检查校属各单位系统安全工作,组织落实系统等级保护制度,统筹开展系统风险评估和安全检查工作。
(五)在应急体系框架内,负责系统应急管理相关工作。
(六)负责系统一般事故的调查和处理,协助系统重大事故的调查和处理。
第四条 系统管理员/安全管理员/数据库管理员
(一)负责主机系统日常运维管理;
(二)负责主机系统账户、口令管理;
(三)负责主机系统审计日志管理;
(四)负责主机系统补丁管理;
(五)负责主机系统数据备份管理;
(六)负责主机系统变更管理;
(七)负责主机系统病毒防范管理;
(八)配合信息技术中心对系统定级及等级测评等工作。
第三章 主机安全管理要求
第一节 主机日常运维管理
第五条 系统管理员负责对主机操作系统进行操作,数据库管理员负责对数据库管理系统进行操作,未授权人员严禁对主机进行任何操作。
第六条 新增主机系统正式上线运行前,系统管理员和数据库管理员应按照系统安全配置要求配置操作系统和数据库系统的各项安全参数。
第七条 系统管理员应合理分配目录权限,禁止在主机操作系统上开放具有“写”权限的共享目录,如果确实必要,可临时开放,但要设置强共享口令,并在使用完之后立刻取消共享。
第八条 系统管理员应按照厂商提供的操作规程对主机进行操作和维护。在登录主机时,系统管理员应使用自己的用户名和口令,不得擅自使用他人用户名和口令进行登录。
第九条 禁止随意下载、安装和应用系统无关的其它软件,禁止实施与主机维护无关的其它操作。
第十条 严禁非系统管理员直接进入主机设备进行操作,若在特殊情况下需要外部人员进入设备进行操作时,必须由系统管理员登录,并全程陪同。
第十一条 系统管理员离开主机系统时,应锁定主机。
第十二条 主机发生故障时,机房值班人员应按照机房管理要求和网络安全事件处理流程及时处理。
第十三条 对主机的重要数据或配置进行操作时,应先报单位负责人审批。操作完成后,记录操作过程和结果,交系统管理员存档备案。
第二节 账户口令管理
第十四条 系统管理员、数据库管理员和安全管理员应由不同的人员担任,在职责上进行分离。
第十五条 系统管理员应为每个经过审批的操作系统和数据库系统用户建立独立账户,对系统账户分类管理,并遵循最小授权和权限分割的原则合理分配权限,只给操作系统账户、数据库系统账户授予业务所需的最小权限。
第十六条 系统管理员负责其他用户权限的管理和维护,只能掌握自己工作需要的口令,不得私自增删、修改、撤销其他账户的权限和口令。
第十七条 系统管理员应及时更改工作岗位变动的用户账户权限;及时注销或删除离职或已取消的用户账户;定期检查清理多余、过期和闲置账户;及时清理使用完毕的临时账户;所有变动都应留有审计记录。
第十八条 在新操作系统投入使用前,应删除测试用户和口令,回收超级用户权限,最小化合法用户的权限。
第十九条 系统管理员级别的主机操作系统口令长度应至少为10位,有效期最长不得超过3个月;其余口令的长度原则上应至少为8位,有效期最长不得超过3个月。
第二十条 在口令中应混合使用大小写字母、数字和特殊符号;避免使用本人的生日、身份证号码、电话号码、年龄、姓名、子女姓名等较公开或易记的数字或字母组合等;不得使用设备厂商名、主机名等内容作为口令。
第二十一条 操作系统和数据库系统用户不得向任何人泄露个人口令;不得窥探其他用户的口令。
第二十二条 用户在申请开通账户后,须立即更改初始口令,重要岗位人员变动交接或发现口令泄漏时,须立即更改口令。
第三节 审计日志管理
第二十三条 系统管理员负责开启主机日志审计策略,对非法访问的用户ID、事件发生的日期和时间、事件类型、访问的文件、使用的进程、系统的启动及停止、I/O 设备的接入/拆离、失败的访问操作等进行审计。
第二十四条 系统管理员应每天查看系统日志,每两周对主机运行日志和审计数据进行全面的分析,对登录的用户、登录时间、所做的配置和操作做检查,在发现有异常的现象时应及时向本单位负责人报告。
第二十五条 审计记录应每周备份一次并保存,保存期限不低于六个月。
第四节 补丁管理
第二十六条 安全管理员应及时获取主机安全漏洞信息,从正规渠道下载补丁程序,并在测试环境进行补丁安装和测试,测试通过后再移到相应的主机系统上进行安装。
第二十七条 安全管理员应定期对主机进行漏洞扫描,当发现主机存在安全漏洞时应及时上报本单位负责人,并采取整改措施。
第五节 数据备份管理
第二十八条 数据库管理员应严格按照《重庆师范大学数据备份和恢复管理办法》和备份策略对数据进行备份。
第二十九条 操作系统和数据库管理系统软件安装并做好策略配置后,应立即进行备份。在后续使用过程中,在系统软件变更及配置修改前后,均应进行备份工作。
第三十条 系统管理员应在主机设备接入、系统配置、废弃等变更操作前进行数据备份,做好回退方案,以便在更改不成功时及时进行恢复。
第三十一条 数据库管理员应定期检查备份介质,确保备份数据的有效性,在主机数据备份与恢复操作时严格遵循《重庆师范大学数据备份和恢复管理办法》中的相关要求。
第六节 变更管理
第三十二条 严禁随意安装、卸载主机系统组件和驱动程序,如确需进行系统变更,应评估由此带来的安全风险,在获得本单位网络安全和信息化委员会工作组的批准后方可实施变更。
第七节 病毒防范管理
第三十三条 系统管理员在安全管理员的指导下,在主机上安装具有实时查毒、杀毒和修复功能的正版杀毒软件,并及时更新病毒库。
第三十四条 系统管理员负责做好病毒防范工作,禁止未授权的移动介质接入主机,定期进行病毒查杀工作,发现病毒及时清除,控制病毒的传染。
第三十五条 病毒防范工作应严格遵守《重庆师范大学防病毒防恶意代码管理办法》的相关规定。
第四章 附则
第三十六条 本办法由信息化建设与管理办公室制定,并负责解释和修订。
第三十七条 本办法自发布之日起执行。
第三十八条 本办法未尽事宜,依照法律法规和上级文件要求确立的原则处理。