上海大学系统安全管理规范

1系统管理基本安全策略

1.工作学习环境内的信息系统，均应实行必要的系统访问控制措施，以防止对系统资源的非授权访问和破坏。系统安装完成后，应清除默认特权账户或更改其默认口令。

2.系统管理人员实行A/B岗备份，以保证人员的可用性。

3.应定期对负责系统安全的系统管理人和信息安全管理执行人进行安全技术和安全意识培训，以保证胜任工作。

4.为保证系统的正常运行，系统管理人应在必要时维护各系统账户及进行相应排障，做好对各自系统的巡检、监控、维护及备份。

5.系统管理人应每月对系统的巡检、监控、运行、维护状况进行分析汇报。

2系统运维管理

1.所有网络信息系统账户管理由各系统管理人负责进行管理。

2.帐户新增、修改、删除时由申请人填写《帐号权限申请表》，经账号申请人的分管领导审批后，由系统管理人开通并做好记录工作。

3.系统管理人应每月对所管理系统的账号进行回顾，记录至《账号回顾记录表》，确保账号有效性。

各系统管理人须定期对系统内所有主机进行补丁升级，在安装系统补丁前，应首先在测试环境中测试通过，并对重要文件进行备份后实施补丁升级，重大升级应遵循《变更管理制度》进行。

对信息系统的重要的日常操作、运行维护记录、参数的设置和修改等工作均需通过《变更管理制度》,审批通过后方能实施。

系统管理人负责根据各系统管理手册，对所管理系统进行日常巡检。

对信息系统的日常操作管理应按照各系统管理手册的配置标准进行安装配置，以满足操作系统安全配置基线要求。

各系统管理须定期对系统内所有主机进行补丁升级，在安装系统补丁前，应首先在测试环境中测试通过，并对重要文件进行备份后实施补丁升级，重大升级应遵循《变更管理制度》进行。