【正文】 應(yīng)首先考慮采用存貯加密、傳輸加密、存取控制、數(shù)字簽名及驗(yàn)證等安全措施。 第五十九條 重要部門的計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)設(shè)立全網(wǎng)管理中心，由專人實(shí)施對(duì)全網(wǎng)的統(tǒng)一管理 、監(jiān)督與控制，不經(jīng)網(wǎng)絡(luò)主管領(lǐng)導(dǎo)同意，任何人不得變更網(wǎng)絡(luò)拓?fù)?、網(wǎng)絡(luò)配置及網(wǎng)絡(luò)參數(shù)。 第十二章 網(wǎng)絡(luò)安全管理 第五十八條 網(wǎng)絡(luò)安全比單系統(tǒng)或聯(lián)系統(tǒng)更為重要。 第五十六條 計(jì)算機(jī)系統(tǒng)必須有完整的日志記錄，具體包括：每次成功的使用，記錄節(jié)點(diǎn)名、用戶名、口令、終端名、上下機(jī)時(shí)間、操作的數(shù)據(jù)或程序名、操作的類型、修改前后的數(shù)據(jù)值；用戶每次越權(quán)存取的嘗試，記錄節(jié)點(diǎn)名、用戶名、終端名、時(shí)間、欲越權(quán)存取的數(shù)據(jù)及操作類型、存取失敗的 原因；每次不成功的用戶身份，記錄節(jié)點(diǎn)名、用戶名、終端名、時(shí)間。對(duì)于可加密不可加密的數(shù)據(jù)，不要加密；對(duì)于密鑰管理人員要盡可能地縮小范圍，并嚴(yán)格審查；定期對(duì)工作人員進(jìn)行保密教育。 第五十四條 傳輸需要保密的數(shù)據(jù)，應(yīng)該加密保護(hù)；需要長(zhǎng)期保存的機(jī)要文件，應(yīng)加密后保存；系統(tǒng)應(yīng)建立完善的密鑰產(chǎn)生、管理和分配系統(tǒng)；所有數(shù)據(jù)應(yīng)由數(shù)據(jù)主管部門負(fù)責(zé)劃分密級(jí)，密級(jí)確定后交數(shù)據(jù)處理部門進(jìn)行分類處理；根據(jù)數(shù)據(jù)處理的密級(jí)和保密時(shí)效的長(zhǎng)短，選擇相應(yīng)強(qiáng)度的密碼算法，既不能強(qiáng)度太高，過多增加系統(tǒng)開銷，又不要強(qiáng)度太低，起不到保密效果。通信線路最好鋪設(shè)或租用專線。 第五十三條 計(jì)算機(jī)通信線路安全問題。如指紋。 第五十一條 證件識(shí)別，可使用磁條、金屬結(jié)構(gòu)或微型芯片制成的卡式證件對(duì)用戶進(jìn)行識(shí)別。 第十一章 聯(lián)機(jī)處理管理 第四十九條 聯(lián)機(jī)系統(tǒng)應(yīng)該確定系統(tǒng)安全管理員，對(duì)系統(tǒng)安全負(fù)責(zé)。遠(yuǎn)程維護(hù)時(shí)，應(yīng)事先通知，且必須建立完整的維護(hù)記錄檔案。 第四十七條 制定完備的系統(tǒng)維護(hù)制度 對(duì)系統(tǒng)進(jìn)行維護(hù)時(shí)，應(yīng) 采取數(shù)據(jù)保護(hù)措施。 第四十五條 對(duì)系統(tǒng)開發(fā)人員和系統(tǒng)操作人員要進(jìn)行職責(zé)分離。 科技管理制度手冊(cè) 38 第十章 操作管理 第四十四條 制定嚴(yán)格的操作規(guī)程 系統(tǒng)操作人員應(yīng)為專職，操作時(shí)要有二名操作人員在場(chǎng)。充分利用作業(yè)統(tǒng)計(jì)功能提供的信息。以便掌握有關(guān)作業(yè)安排，作業(yè)優(yōu)先級(jí)分配，建立和控制作業(yè)，規(guī)定場(chǎng)所安全措施和作業(yè)運(yùn)行等的合理規(guī)程。嚴(yán)格規(guī)定媒體管理制度，以防止媒體中數(shù)據(jù)的破壞和損失。 第四十三條 操作控制 對(duì)操作人員制定有關(guān)處理輸入數(shù)據(jù)的操作制度的規(guī)程。 第四十一條 輸出控制 （一）輸出控制應(yīng)有專人負(fù)責(zé)； （二 ）輸出文件應(yīng)設(shè)有審批制度； （三）輸出文件的使用應(yīng)有完備手續(xù)； （四）輸出文件必須有可讀的密級(jí)標(biāo)志，等級(jí)標(biāo)志必須與相應(yīng)文件在整個(gè)處理環(huán)節(jié)中同時(shí)生存； （五）輸出文件在發(fā)到用戶之前，應(yīng)由數(shù)據(jù)處理部門進(jìn)行審核； （六）計(jì)算機(jī)系統(tǒng)運(yùn)行日志應(yīng)有專人定期審核，打印的日志應(yīng)完整而連續(xù)，不得拼接。可以設(shè)置獨(dú)立于用戶和數(shù)據(jù)處理部門兩者的管理小組，以監(jiān)督和指導(dǎo)進(jìn)入或離開數(shù)據(jù)處理中心的數(shù)據(jù)。 第三十八條 軟件維護(hù)與管理 （一）較重要的軟件產(chǎn)品，其技術(shù)檔案應(yīng)復(fù)制副本，正本存檔，不準(zhǔn)外借； （二）軟件產(chǎn)品除建立檔案文件外，其源文件應(yīng)記在磁盤或磁帶上，并編寫詳細(xì)目錄，以便長(zhǎng)期保存； （三）重要的軟件，均應(yīng)復(fù)制兩份，一份作為主拷貝存檔，一份作為備份； （四）對(duì) 系統(tǒng)軟件的維護(hù)和二次開發(fā)要慎重，必須事先對(duì)系統(tǒng)有足夠的了解； （五）對(duì)軟件進(jìn)行維護(hù)和二次開發(fā)前，必須寫出書面申請(qǐng)報(bào)告，經(jīng)有關(guān)領(lǐng)導(dǎo)批準(zhǔn)，方可進(jìn)行； （六）在維護(hù)和二次開發(fā)中，必須有詳細(xì)的規(guī)范化的書面記載，主要記載修補(bǔ)部位，修改內(nèi)容，增加功能，修改人，修改日期等，以便查找或別人接替； （七）二次開發(fā)只能在系統(tǒng)軟件的副本上進(jìn)行； （八）對(duì)軟件的任何修改都必須有文字記載，并與修改前后的軟件副本一起并入軟件技術(shù)檔案，妥善保存； （九）對(duì)軟件的修改必須保證不降低系統(tǒng)的安全性。將鑒定會(huì)上提供的上述文件裝訂成冊(cè)，編好頁(yè)碼目錄，作為技術(shù)檔案，妥善保存。軟件需求，要相關(guān)的業(yè)務(wù)、技術(shù)人員參與完成； 科技管理制度手冊(cè) 36 （二）產(chǎn)品鑒定驗(yàn)收：鑒定驗(yàn)收是軟件產(chǎn)品化的關(guān)鍵環(huán)節(jié)， 必須給予足夠的重視。對(duì)數(shù)據(jù)完整性要求較高的場(chǎng)合要建立雙副本日志，分別存于磁盤和磁帶上以保證意外的數(shù)據(jù)恢復(fù)； （八）應(yīng)建立定期轉(zhuǎn)貯制度，并根據(jù)交易量的大小 決定轉(zhuǎn)貯頻度； （九）數(shù)據(jù)庫(kù)軟件應(yīng)具備從各種人為故障、軟件故障和硬件故障中進(jìn)行恢復(fù)的能力； （十）數(shù)據(jù)庫(kù)管理軟件應(yīng)能確定是否由于系統(tǒng)故障而引起了文件或交易數(shù)據(jù)的丟失； （十一）重要的系統(tǒng)應(yīng)采取安全控制實(shí)時(shí)終端，專門處理各類報(bào)警信息； （十二）對(duì)于從日志或?qū)崟r(shí)終端上查獲的全部非法操作都應(yīng)加以分析，找出原因及對(duì)策。 科技管理制度手冊(cè) 35 第三十五條 應(yīng)用軟件 （ 一）應(yīng)用程序必須考慮充分利用系統(tǒng)所提供的安全控制功能； （二）應(yīng)用程序在保證完成業(yè)務(wù)處理要求的同時(shí)，應(yīng)在設(shè)計(jì)時(shí)增加必要的安全控制功能； （三）程序員與操作員應(yīng)職責(zé)分離； （四）安全人員應(yīng)定期用存檔的應(yīng)用程序與現(xiàn)行運(yùn)行程序進(jìn)行對(duì)照，以有效地防止對(duì)程序的非法修改。 科技管理制度手冊(cè) 34 第三十三條 磁媒體管理 （一）磁盤、磁帶必須按照系統(tǒng)管理員及制造廠商確定的操作規(guī)程安裝； （二）傳遞過程的數(shù)據(jù)磁盤、磁帶應(yīng)裝在金屬盒中； （三）新磁帶在使用前應(yīng)在機(jī)房經(jīng)過二十四小時(shí)溫度適應(yīng)； （四）磁帶、磁盤應(yīng)放在距鋼筋房柱或類似結(jié)構(gòu)手 10CM 以上處，以防雷電經(jīng)鋼筋傳播時(shí)產(chǎn)生的磁場(chǎng)損壞媒體上的信息； （五）存有機(jī)要信息的磁帶清除時(shí)必須進(jìn)行消磁，不得只進(jìn)行磁帶初始化； （六）所有入庫(kù)的盤帶目錄清單必須具有統(tǒng)一格式，如文件所有者、系列號(hào)、文件名及其描述、作業(yè)或項(xiàng)目編號(hào)、建立日期及保存期限； （七）盤帶出入庫(kù)必須有核準(zhǔn)手續(xù)并有完備記錄； （八）長(zhǎng)期保存的磁帶應(yīng)定期轉(zhuǎn)貯； （九）存有記錄機(jī)要信息磁帶的庫(kù)房，必須符合相應(yīng)密級(jí)的文件保存和管理?xiàng)l例的要求，不得與一般數(shù)據(jù)磁帶混合存放； （十）重要的數(shù)據(jù)文件必須多份拷貝異地存放； （十一）磁帶庫(kù)必須有專人負(fù)責(zé)管理。 第三十一條 系統(tǒng)安裝要建立完備的記錄，特別是重要系統(tǒng)軟件和應(yīng)用軟件的磁介質(zhì)的使用要有安裝記錄 。 第二十九條 各級(jí)單位應(yīng)對(duì)數(shù)據(jù)按照密級(jí)進(jìn)行管理，同時(shí)制定相應(yīng)的規(guī)章制度。 第二十八條 安全等級(jí)可分為保密等級(jí)和可靠性等級(jí)兩種，系統(tǒng)的保密等級(jí)與可靠性等級(jí)可以不同，具體分類如下： （一）保密等級(jí)應(yīng)按有關(guān)規(guī)定劃為絕密、機(jī)密、秘密； （二）可靠性等級(jí)可分為三級(jí)。 第二十六條 機(jī)要信息處理系統(tǒng)中要考慮防止電磁波信息輻射被非法截收，可采用以下方法： （一）可采取區(qū)域控制的辦法，即將可能截獲輻射信息的區(qū)域控制起來，不許外部人員接近； （二）可采用機(jī)房屏蔽的方法，使得信息不能輻射出機(jī)房； 科技管理制度手冊(cè) 33 （三）可采用低輻射設(shè)備； （四）可采取其他技術(shù)，使得難以從被截獲的輻射信號(hào)中分析出有效信息； （五）關(guān)于屏蔽技術(shù) 的具體要求和技術(shù)指標(biāo)可向有關(guān)部門咨詢。以免由于隔音及空調(diào)的原因而聽不到告警通知； （三）進(jìn)出口設(shè)置識(shí)別與記錄進(jìn)出人員的設(shè)備及防范設(shè)備； （四）機(jī)房?jī)?nèi)用于動(dòng)力、照明的供電線路應(yīng)與計(jì)算機(jī)系統(tǒng)的供電線路分開。 第二十四條 計(jì)算機(jī)機(jī)房應(yīng)制定各種其他管理制度 ,具體包括： （一）計(jì)算機(jī)機(jī)房進(jìn)出管理制度； （二）計(jì)算機(jī)上機(jī)人員登記制度、計(jì)算機(jī)運(yùn)行日志和權(quán)限、密碼、口令管理制度； （三）計(jì)算機(jī)事故的報(bào)告制度； （四）計(jì)算機(jī)機(jī)房日常管理制度，其中包括危險(xiǎn)品管理制度、消耗品管理制度、清潔管理制度； （五）計(jì)算機(jī)機(jī)房磁介質(zhì)管理制度、數(shù)據(jù)備份及災(zāi)難恢復(fù)管理制度； （六）計(jì)算機(jī)機(jī)房設(shè)備維護(hù)制度； （七）計(jì)算機(jī)機(jī)房技術(shù)資料管理制度； （八）計(jì)算機(jī)機(jī)房數(shù)據(jù)查詢、調(diào)閱管理制度。無(wú)人值守時(shí)應(yīng)有自動(dòng)報(bào)警設(shè)備； （七）應(yīng)在合適的位置上開設(shè)應(yīng)急出口，作為避險(xiǎn)通道或應(yīng)急搬運(yùn)通道； （八）機(jī)房?jī)?nèi)部設(shè)計(jì)應(yīng)便于出入控制和分區(qū)控制； 第二十三條 各級(jí)機(jī)構(gòu)應(yīng)制定嚴(yán)格的網(wǎng)絡(luò)中心出入管理制度，具體包括： （一）網(wǎng)絡(luò)中心要實(shí)行分區(qū)控制，限制工作人員出入與己無(wú)關(guān)的區(qū)域； （二）科技部可向工作人員，包括來自外單位的人員，發(fā)行帶有照片的身份證件，并定期進(jìn)行檢查或更換； （三）安全等級(jí)較高的計(jì)算機(jī)系統(tǒng)，除采取身份證件進(jìn)行識(shí)別以外，還要考慮其他出入管理措施，如安裝自動(dòng)識(shí)別登記系統(tǒng)，實(shí)行門禁管理； （四）短期工作人員或維修人員的證件，應(yīng)注明有效日期，屆時(shí)收回； （五）參加人員必須由主管部門辦理參觀手續(xù)，參觀時(shí)必須有專人陪同； （六）因系統(tǒng)維修或其它原因需外國(guó)籍人進(jìn)入機(jī)房時(shí)，必須始終有人陪同； （七）進(jìn)出口的鑰匙應(yīng)保存在約定的場(chǎng)所，由專人管理，并明確其責(zé)任。 第二十二條 網(wǎng)絡(luò)中心機(jī)房建筑和結(jié)構(gòu)應(yīng)注意下列問題： （一）機(jī)房最好為專用建筑； （二）機(jī)房最好設(shè)置在電梯或樓梯不能直接進(jìn)入的場(chǎng)所； （三）機(jī)房應(yīng)與外部人員頻繁出入的場(chǎng)所隔離； （四）機(jī)房周圍應(yīng)設(shè)有圍墻或柵欄等防止非法進(jìn)入的設(shè)施； （五）建筑物周圍 應(yīng)有足夠亮度的照明設(shè)施，以防夜間非法侵入； （六）外部容易接近的窗口應(yīng)采取防范措施。應(yīng)常備計(jì)算機(jī)系統(tǒng)出現(xiàn)故障時(shí)的替代措施及恢復(fù)順序所規(guī)定的文件。技術(shù)文件和磁介質(zhì)備份保管期限按國(guó)家有關(guān)規(guī)定 執(zhí)行。計(jì)算機(jī)系統(tǒng)管理員和數(shù)據(jù)庫(kù)管理員的直系親屬不得操作系統(tǒng)，參與業(yè)務(wù)處理工作。在調(diào)離決定通知本人的同時(shí)，必須立即進(jìn)行上述工作，不得拖延。除人事手續(xù)外，必須進(jìn)行調(diào)離談話，申明其調(diào)離后的保密義務(wù)，收回所有鑰匙及證件，退還全部技術(shù)手冊(cè)及有關(guān)材料。 第十六條 人力資源管理部門將定期對(duì)系統(tǒng)所有工作人員從政治思想、業(yè)務(wù)水平、工作表現(xiàn)等方面進(jìn)行考核，對(duì)不適于接觸信息系統(tǒng)的人員要適時(shí)調(diào)離。盡可能保證這部分人員安全可靠。如處理機(jī)要信息 的系統(tǒng)，接觸系統(tǒng)的所有工作人員必須按機(jī)要人員的標(biāo)準(zhǔn)進(jìn)行審查。 1. 程序員不得操作業(yè)務(wù)應(yīng)用系統(tǒng)； 2. 操作員既不能編寫也不能修改程序； 3. 信息系統(tǒng)安全性能的實(shí)現(xiàn)和維護(hù)工作必須是分立的，互不相同的二項(xiàng)工作； 4. 質(zhì)量控制和審查工作應(yīng)該分立。即從事每一項(xiàng)與計(jì)算機(jī)信息系統(tǒng)安全有關(guān)的工作必須有二人以上的人在場(chǎng)，并簽署工作情況記錄以證明安全工作已得到保障。 （六）計(jì)算機(jī)系統(tǒng)的建設(shè)應(yīng)與計(jì)算機(jī)安全工作同步進(jìn)行。 第十條 計(jì)算機(jī)安全領(lǐng)導(dǎo)小組職責(zé) （一）對(duì)本單位的計(jì)算機(jī)信息系統(tǒng)安全負(fù)責(zé)； （二）組織制定、實(shí)施、監(jiān)督和計(jì)算機(jī)信息系統(tǒng)安全管理規(guī)章制度； （ 三）定期對(duì)轄區(qū)內(nèi)計(jì)算機(jī)系統(tǒng)安全進(jìn)行檢查，發(fā)現(xiàn)問題提出有效整改措施，督促落實(shí)，檢查執(zhí)行結(jié)果，編制報(bào)告，報(bào)送上一級(jí)計(jì)算機(jī)安全領(lǐng)導(dǎo)小組； （四）審閱違章報(bào)告，運(yùn)行日志和其它與計(jì)算機(jī)信息系統(tǒng)安全有關(guān)的材料，及時(shí)查處不安全因素； （五）協(xié)助公安機(jī)關(guān)偵破計(jì)算機(jī)犯罪案件； （六）加強(qiáng)科技管理人員安全意識(shí)教育，定期組織人員培訓(xùn)； （七）強(qiáng)化計(jì)算機(jī)安全管理； （八）其他與計(jì)算機(jī)信息系統(tǒng)安全相關(guān)的工作。 第八條 計(jì)算機(jī)安全領(lǐng)導(dǎo)小組組長(zhǎng)是本單位計(jì)算機(jī)安全工作負(fù)責(zé)人，科技工作管理部門履行計(jì)算機(jī)安全工作領(lǐng)導(dǎo)小組辦公室職能，負(fù)責(zé)計(jì)算機(jī)安全領(lǐng)導(dǎo)小組日常工作。 第七條 各級(jí)機(jī)構(gòu)要建立計(jì)算機(jī)安全領(lǐng)導(dǎo)小組，設(shè)組長(zhǎng)與副組長(zhǎng)，組長(zhǎng)由主管 科技科技管理制度手冊(cè) 29 領(lǐng)導(dǎo)擔(dān)任，副組長(zhǎng)由各專業(yè)部門負(fù)責(zé)人擔(dān)任。 第五條 計(jì)算機(jī)安全管理實(shí)行誰(shuí)主管誰(shuí)負(fù)責(zé)，安全教育與規(guī)章制度約束相結(jié)合，積極預(yù)防事件發(fā)生和有效地應(yīng)急處理相結(jié)合、安全管理和安全檢查相結(jié)合的原則。 （四）建立學(xué)術(shù)平臺(tái)，開展計(jì)算機(jī)安全研究，培訓(xùn)高層次技術(shù)人才。成立計(jì)算機(jī)信息系統(tǒng)安全機(jī)構(gòu)，制定安全政策、系統(tǒng)安全制度；制定計(jì)算機(jī)信息系統(tǒng)安全標(biāo)準(zhǔn)，完善各項(xiàng)規(guī)范性文件，有計(jì)劃地開展安全檢查，保證制度的約束力。沒有嚴(yán)格管理措施和管理制度，必然對(duì)計(jì)算機(jī)信息系統(tǒng)安全構(gòu)成嚴(yán)重威脅。 第三條 本規(guī)范適用于遼寧省農(nóng)村信用社各類計(jì)算機(jī)系統(tǒng)。 二 OO 五年十月二十一日 科技管理制度手冊(cè) 28 遼寧省農(nóng)村信用社計(jì)算機(jī)安全管理規(guī)定 第一章 總 則 第一條 為提高計(jì)算機(jī)安全防范技術(shù)的水平，防范計(jì)算機(jī)犯罪和計(jì)算機(jī)病毒，保證計(jì)算機(jī)安全使用，特制定本規(guī)定。 科技管理制度手冊(cè) 27 遼寧省農(nóng)村信用社聯(lián)合社關(guān)于印發(fā)《遼寧省 農(nóng)村信用社計(jì)算機(jī)安全管理規(guī)定 》的通知 遼農(nóng)信聯(lián)［ 2021］ 58 號(hào) 各市聯(lián)社、辦事處，縣級(jí)聯(lián)社： 《遼寧省農(nóng)村信用社計(jì)算機(jī)安全管理規(guī)定》已經(jīng)遼寧省農(nóng)村信用社聯(lián)合社第一屆社員大會(huì)第二次會(huì)議審議通過。 第三十五條 本規(guī)定由省聯(lián)社負(fù)責(zé)解釋、修改。 第三十三條 科技素質(zhì)培訓(xùn) 為提高全省農(nóng)村信用社系統(tǒng)干部、職工科技素質(zhì)，提高電子綜合應(yīng)用能力，省聯(lián)社科技部