SY-T 5231-1999 石油工业计算机安全保密管理规程.pdf

FO7 E01
备案号:3082-1999
中华人民共和国石油天然气行业标准
SY/T5231-1999
石油工业计算机安全保密管理规程
Computer security and confidentiality management procedure
for petroleum industry
1999-05-17发布
1999-12-01实施
bY/I25ュ1ッy
目次
1范
2引用标准……
3安全保密组织和管理…
4硬件设备安全
场地和场地设备安全
软件安全保密
7数据库安全保密…
8防止计算机病毒…
本标准是対SY5231-91《石油工业计算机安全保密规程》进行修订而成的。
本次修订增加了对光盘存储介质的安全保密规定,充实了数据庳安全以及计算杋病彭防范等方面
的内容,去掉了陈旧、过时的条文、规定。对其他章节也都不同程度地进行了修订,以使本标准能适
合当前及未来一段时间内在石油C.业计算机系统安全、保密方面的发展需求和倍息技术的飞速发展
同时也使本标准更具操作性、实用性。
本次修订还増加了“目次”和“前言”。
通过本次修订,可使石油天然气行业的计算机安全保密领域内的标准、规程更趋完善
本标准从生效之钰起,同时代替SY5231-91。
本标准由中国石油天然气集团公司提出。
本标准由石油信息与计算机专业标准化委员会归。
本标准起草単位:中国石油天然气集团公同地球物理勘探局研究院软件中心
本标准主要起草人邵仲鸿孙福来葛贵亭李新宅赵振文
本标准于1991年7月19ロ首次发布,1999年5月第一次修订。
中华人民共和国石油天然气行业标准
石油工业计算机安全保密管理规程s/r5231-199
Computer security and confidentiality management procedure #tt SY 5231-91
for petroleum industry
范
本标准规定了计箅机硬件、软件及其信息安全的组织机构,设备、信息资源的安全保密技术措施
和管理制度。
本标准适用于石油T业各级计算机中心机房的各种计算机系统。
2引用标准
下列标准所包含的条文,通过在本标准中引用而构成为本标准的条文。本标准出版时,所示版本
均为有效。所有标准都会被修订,使用本标准的各方应探讨使用下列标准最新版本的可能性。
GEB/J1687建筑设计防火规范
GEB/J45-82高层民用建筑设计防火规范
GB/12887~-1989计算站场地技术要求
中华人民共和国计算机信息系统安全保护条例1994年2月18日147号国务院令
3安全保密组织和管理
3.安全保密组织机构和职责
3.1.1管理计算机系统的部门应设立安全保密领导小组,对本単位的计算机安全保密负全部责任。
3.1.2部『了安全保密负责人受上级安全保密负责人的委托担负所委托的责任。
3.1,3安全工作的组织应与计算机系统的建设同步进行。
.1.4由安全保密领导小玺监督计算机系统的安全,尤其对人为违章与人为故障应有详细报告,并
提出处理意见和防范揹施
1.5安全保密领导小组根据本单位的实际情况定期对安全保密情况进行隐患分析,对硬件、软件
资源和数耨的破坏、失窃和非法利用等进行系统分析,对工作环境和设备环境状况等进行隘督和系统
分析,并提出相应的对策
3.].6安全保密领导小组应定期或不定期组织安全保密检奄,找出薄弱环节并制定相应的对策。重
要的计箅机系统应定期与公安机关计算机安全监察部门共同进行安全保密检查
3.2人员箐理
3.2.1应按计算机系统所要求的保密程或所确定的密级制定人员审查标准。
3.2.2应按计算机系统的不同岗位制定相应人员审査标准,对触及计算机系统核心的关键岗位应有
严格的审査
2.3调离人员应交清一切有关计算机的资料(应是最初时的原件),包括有关的手册、枝术资料、
图纸、各种软件介质、软件产品使用许可证、ロ令密码、备件、工具、钥匙、证件、说明书、应对调
离人员申明其调离后的保密义务。问吋,度立即删除调离人员的用户账号及相应的文件,并应及时廷
改系统口令或重新进行加密。
3.2.4对工作人员应经常进行安全保密教育、安全保密培训和安全保密考核。对安全保密作出贡献
国家石油和化学工业局1999-05-17批准
1999-12-01实施
SY/T5231ー1999
的,应子以表扬和奖励;对违反安全标准规范,无意或有意造成安全事故或泄密的,应于以批评和惩
处
建立安全保密管理制度
3,3,1应根据计算机系统的重要性和所处理数据的保密性,确定安全等级和保密等级。系统的这两
种等级可以不相同。
3.3.1.1系统安全等级可分为A,B,C三级,A级对安全可輩性要求最高,B级次之,C级为最低
要求。
3.3,1,2保密等級应按有关标准分为绝密、机密、秘密三个等级。
3.3.2应制定下列安全保密管理制度
a)技术文件管理制度。
b)设备管理制度。
c)系统维护制度
d)机房值班制度
e)危险品管理制度。
f)数据记录媒体管理制度。
g)对已经不用的荜稿、数据、图件、资料、中间成果等,应制定相应的销毁制度。
h)消耗品管理制度。
i)设备的安全管理制度,并保证每个工作人员都会操作有关的安全设备。
机房清浩卫生制度,包括防止污染的措施。
3.4人员出入管理
进入计算机机房的人员应有出入证件。在条件许可时应实行磁卡、条码卡、身份卡或结构編
码卡等管理手段。
3,4,2对临时需要进入计算机机房的人员应持有临时出入证件,并需注明有效期限,按时收回,并
按进出时间签名登记在案。
3.4.3参观人员进入机房,应办理参观手续,并有专人陪同。
3.4,4禁止工作人员私自帯人参观机房。
3.4.5禁止携带与上机无关的物品进入机房。
3.4.6计算机机房停止工作时,应有专人全面检查设备状况、并关掉所有出入口,由专人管理钥匙
必要时可派专人值班箐理。
3.5操作安全管理
3.5,1系统控制台方式的操作人员应是经过培训的专职人员。
3.5.2具有系统特权的超级管理用户(账号)应严格保密,定期更政,并严格限于极少量的机房系
统管理员在维护系统时使用。
3.5.3系统命令和操作命令的修改应按完备的审批手续进行。
应有完整的系统运行记录和操作命令记录日志文件
应制定严格的操作规程和操作顺序
3.5.6对操作人员应详细说明各种设备的加电、去电顺序和规定,并进行必要培训。
3.5.7操作人员对影响系统运行的不安全因素应及时处理、及时报告,并协助査明原因和采取必要
措施。
3.5.8执行《中华人民共和国计算机信息安全保护条例》的有关规定。
硬件设备安全
4.1安装和加电