、引言 1.1 目的随着计算机应用的广泛普及,计算机安全已成为衡量计算机系统性能的一个重要指标。计算机系统安全包含两部分内容,一是保证系统正常运行,避免各种非故意的错误与损坏;二是防止系统及数据被非法利用或破坏。两者虽有很大不同,但又相互联系,无论从管理上还是从技术上都难以截然分开,因此,计算机系统安全是一个综合性的系统工程。本规范对涉及计算机系统安、全的各主要环节做了具体的说明,以便计算机系统的设计、安装、运行及监察部门有一个衡量系统安全的依据。1.2 范围本规范是一份指导性文件,适用于国家各部门的计算机系统。在弓 I 用本规范时,要根据各单位的实际情况,选择适当的范围,不强求全面采用。二、安全组织与管理2.1 安全机构 2.1.1 单位最高领导必须主管计算机安全工作。2.1.2 建立安全组织:2.1.2.1 安全组织由单位主要领导人领导,不能隶属于计算机运行或应用部门。2.1.2.2 安全组织由管理、系统分析、软件、硬件、保卫、审计、人事、通信等有关方面人员组成。2.1.2.3 安全负责人负责安全组织的具体工作。2.1.2.4 安全组织的任务是根据本单位的实际情况定期做风险分析,提出相应的对策并监督实施。2.1.3 安全负责人制:2.1.3.I 确定安全负责人对本单位的计算机安全负全部责任。2.1.3.2 只有安全负责人或其指定的专人才有权存取和修改系统授权表及系统特权口令。2.1.3.3 安全负责人要审阅每天的违章报告,控制台操作记录、系统日志、系统报警记录、系统活动统计、警卫报告、加班报表及其他与安全有关的材料。2.1.3.4 安全负责人负责制定安全培训计划。2.1.3.5 若终端分布在不同地点,则各地都应有地区安全负责人,可设专职也可以兼任,并接受中心安全负责人的领导。2.1.3.6 各部门发现违章行为,应向中心安全负责人报告,系统中发现违章行为要通知各地有关安全负责人。2.1.4 计算机系统的建设应与计算机安全工作同步进行。2.2 人事管理2.2.1 人员审查:必须根据计算机系统所定的密级确定审查标准。如:处理机要信息的系统,接触系统的所有工作人员必须按机要人员的标准进行审查。2.2.2 关键岗位的人选。如:系统分析员,不仅要有严格的政审,还要考虑其现实表现、工作态度、道德修养和业务能力等方面。尽可能保证这部分人员安全可靠。2.2.3 所有工作人员除进行业务培训外,还必须进行相应的计算机安全课程培训,才能进入系统工作。2...
VIP
