1、的社会。在上篇,我从空间格局中说到了乡下人没有文字的需要,在这里我是想从时间格局中说明同一结果。我说过我们要发展记忆,那是因为我们生活中有此需要。没有文化的动物中,能以本能来应付生活,就不必有记忆。我这样说,其实也包含了另一项意思,就是人在记忆上发展的程度是依他们生活需要而决定的。我们每个人,每一刻,所接触的外界是众多复杂,但是并不尽入我们的感觉,我们有所选择。和我们眼睛所接触的外界我们并不都看见,我们只看见我们所注意的,我们的视线有焦点,焦点依着我们的注意而移动。注意的对象由我们选择,选择的根据是我们生活的需要。对于我们生活无关的,我们不关心,熟视无睹。我们的记忆也是如此,我们并不记取一切的
2、过去,只记取一切过去中极小的一部分。我说记取,其实不如说过后回忆为妥当。“记”带有在当前为了将来有用而加以认取的意思,“忆”是为了当前有关而会想到过去经验。事实上,在当前很难预测将来之用,大多是出于当前的需要而追忆过去。有时这过程非常吃力,所以成为“苦忆”。可是无论如何记忆并非无所为的,而是实用的,是为了生活。在一个乡土社会中生活的人所需记忆的范围和生活在现代都市的人是不同的。乡土社会是一个生活很安定的社会。我已说过,向泥土讨生活的人是不能老是移动的。在一个地方出生的就在这地方生长下去,一直到死。极端的乡土社会是老子所理想的社会,“鸡犬相闻,老死不相往来。”不但个人不常抛井离乡,而且每个人住的
3、地方常是他的父母之邦。“生于斯,死于斯”的结果必是世代的黏着。这种极端的乡土社会固然不常实现,但是我们的确有历世不移的企图,不然为什么死在外边的人,一定要把棺材运会故乡,葬在祖茔上呢?一生取给于这块泥土,死了,骨肉还得回入这块泥土。历世不移的结果,人不但在熟人中长大,而在熟悉的地方上生长大。熟悉的地方可以包括极长时间的人和土的混合。祖先们在这地方混熟了,他们的经验也必然就是子孙们所会得到的经验。时间的悠久是从谱系上说的,从每个人可能得到经验说,却是同一方式的反覆重演。同一戏台上演着同一的戏,这个班子里演员所需要记得的,也只有一套戏文。他们个别的经验,就等于世代的经验。经验无需不断累积,只需老是
4、保存。我记得在小学里读书时,老师逼着我记日记,我执笔苦思,结果只写下“同上”两字。那是真情,天天是“晨起,上课,游戏,睡觉”,有何可记的呢?老师下令不准“同上”,小学生们只有扯谎了。在定型生活中长大的有着深入生理基础的习惯帮着我们“日出而起,日入而息”的工作节奏。记忆都是多余的。“不知老之将至”就是描写“忘时”的生活。秦亡汉兴,没有关系。乡土社会中不怕忘,而且忘得舒服。只有在轶出于生活常轨的事,当我怕忘记时,方在指头上打一个结。指头上的结是文字的原始方式,目的就是用外在的象征,利用联想作用,帮助人的记忆。在一个常常变动的环境中,我们感觉到自己记忆力不够时,方需要这些外在的象征。从语言变到文字,
5、也就是从用声音来说词,变到用绳打结,用刀刻图,用笔写字,是出于我们生活从定型到不定型的过程中。在都市中生活,一天到晚接触着陌生面孔的人才需要在袋里藏着本姓名录、通信簿。在乡土社会中黏着相片的身份证,是毫无意义的。在一个村子里可以有一打以上的“王大哥”,绝不会因之认错了人。在一个每代的生活等于开映同一部影片的社会中,历史也是多余的,有的只是“传奇”。一说到来历就得从“开天辟地”说起;不从这开始,下文不是只有“寻常”的当前了么?都市社会里有新闻;在乡土社会,“新闻”是希奇古怪,荒诞不经的意思。在都市社会里有名人,乡土社会里是“人怕出名,猪怕壮”。不为人先,不为人后,做人就得循规蹈矩。这种社会用不上
6、常态曲线,而是一个模子里印出来的一套。在这种社会里,语言是足够传递世代间的经验了。当一个人碰着生活上的问题时,他必然能在一个比他年长的人那里问得到解决这问题的有效办法,因为大家在同一环境里,走同一道路,他先走,你后走;后走的所踏的是先走的人的脚印,口口相传,不会有遗漏。那里用得着文字?时间里没有阻隔,拉得十分紧,全部文化可以在亲子之间传授无缺。 这样说,中国如果是乡土社会,怎么会有文字的呢?我的回答是中国社会从基层上看去是乡土性,中国的文字并不是在基层上发生。最早的文字就是庙堂性的,一直到目前还不是我们乡下人的东西。我们的文字另有它发生的背境,我在本文所需要指出的是在这基层上,有语言而无文字。
7、不论在空间和时间的格局上,这种乡土社会,在面对面的亲密接触中,在反覆地在同一生活定型中生活的人们,并不是愚到字都不认得,而是没有用字来帮助他们在社会中生活的需要。我同时也等于说,如果中国社会乡土性的基层发生了变化,也只有发生了变化之后,文字才能下乡。 乡土中国之(4):差序格局 在乡村工作者看来,中国乡下老最大的毛病是“私”。说起私,我们就会想到“各人自扫门前雪,莫管他人屋上霜”的俗语。谁也不敢否认这俗语多少是中国人的信条。其实抱有这种态度的并不只是乡下人,就是所谓城里人,何尝不是如此。扫清自己门前雪的还算是了不起的有公德的人,普通人家把垃圾在门口的街道上一倒,就完事了。苏州人家后门常通一条河
8、,听起来是最美丽也没有了,文人笔墨里是中国的威尼思,可是我想天下没有比苏州城里的水道更脏的了。什么东西可以向这种出路本来不太畅通的小河沟里一倒,有不少人家根本就不必有厕所。明知人家在这河里洗衣洗菜,毫不觉得有什么需要自制的地方。为什么呢?这种小河是公家的。一说是公家的,差不多就是说大家可以占一点便宜的意思,有权利而没有义务了。小到两三家合住的院子,公共的走廊上照例是尘灰堆积,满院生了荒草,谁也不想去拔拔清楚,更难以插足的自然是厕所。没有一家愿意去管“闲事”,谁看不惯,谁就得白服侍人,半声谢意都得不到。于是象格兰亨姆的公律,坏钱驱逐好钱一般,公德心就在这里被自私心驱走。从这些事来说,私的毛病在中
9、国实在比了愚和病更普遍得多,从上到下似乎没有不害这毛病的。现在已成了外国舆论一致攻击我们的把柄了。所谓贪污无能,并不是每个人绝对的能力问题,而是相对的,是从个人对公家的服务和责任上说的。中国人并不是不善经营,只要看南洋那些华侨在商业上的成就,西洋人谁不侧目?中国人更不是无能,对于自家的事,抓起钱来,拍起马来,比哪一个国家的人能力都大。因之这里所谓“私”的问题却是个群己、人我的界线怎样划法的问题。我们传统的划法,显然是和西洋的划法不同。因之,如果我们要讨论私的问题就得把整个社会结构的格局提出来考虑一下了。西洋的社会有些象我们在田里捆柴,几根稻草束成一把,几把束成一扎,几扎束成一捆,几捆束成一挑。
10、每一根柴在整个挑里都属于一定的捆、扎、把。每一根柴也可以找到同把、同扎、同捆的柴,分扎得清楚不会乱的。在社会,这些单位就是团体。我说西洋社会组织象捆柴就是想指明:他们常常由若干人组成一个个的团体。团体是有一定界限的,谁是团体里的人,谁是团体外的人,不能模糊,一定分得清楚。在团体里的人是一伙,对*有限责任公司信息安全管理办法第一章总则第一条 为了加强*有限责任公司(以下简称:我行)计算机信息系统安全保护工作,确保我行计算机信息系统安全、稳定、高效运行,根据中华人民共和国计算机信息系统安全保护条例、金融机构计算机信息安全保护工作暂行规定等有关法律、法规,结合自身实际制定本办法。第二条 *有限责任公
11、司计算机信息系统安全管理工作的指导方针是“预防为主,安全第一,依法办事,综合治理”。其中“预防为主”是计算机安全管理工作的基本方针。第三条 *有限责任公司计算机信息系统安全工作实行统一领导和分级管理。按照“谁主管谁负责、谁运行谁负责,谁使用谁负责”的原则,逐级落实单位与个人信息安全责任制。第四条 成立计算机信息安全管理工作领导小组,由科技、财会、保卫、稽核、办公室、电子银行等部门组成,实行一把手负责制,计算机信息安全管理工作领导小组负责组织、协调、监督和检查我行计算机安全管理工作。第五条 权限说明:*有限责任公司作为吉林省农村信用联合社(以下简称:省联社)信息系统平台的终端使用者,享有使用其系
12、统、数据库、网络等其他IT资源的权利,吉林省农村信用联合社享有开发、管理、控制其系统、数据库的权利,当出现各种事故时由*向吉林省农村信用联合社进行通知报告,系统、数据库、网络等故障根据事故级别情况由吉林省农村信用联合社进行处理解决。本办法适用于*计算机设备、系统的使用部门和各分支机构。本办法与相关制度对应关系如下第四章对应*有限责任公司系统运行维护实施细则须结合上述制度开展工作。第五章对应*有限责任公司网络运行维护实施细则须结合上述制度开展工作。第六章对应*有限责任公司办公设备日常操作管理办法、*计算机物品管理指导意见(试行)须结合上述制度开展工作。第八章对应*数据备份管理规定结合该制度开展工
13、作。第二章人员与岗位管理第一节人员基本要求与安全教育第六条 本办法所称计算机安全人员,是指各级机构专(兼)职计算机安全管理人员。第七条 计算机安全人员应当遵纪守法、政治过硬、业务精通、恪尽职守。违反国家法律、法规和受到行政处分的人员,不得从事计算机安全管理工作。第八条 计算机安全人员变动,应向上级科技管理部门备案。第九条 营业机构对全体员工应进行计算机安全法律法规及相关规章制度的培训。第十条 计算机安全人员应定期接受政治思想教育、职业道德教育、安全保密教育。第十一条 计算机安全教育由科技信息部负责实施。第二节计算机关键岗位人员安全管理第十二条 本办法所称计算机信息系统关键岗位人员(简称关键岗位
14、人员),是指与重要计算机信息系统直接相关的系统管理员、网络管理员、系统开发员、系统维护员、操作运营等岗位人员。第十三条 关键岗位人员上岗前,必须经过人事部门的政治素质审查,科技信息部的信息安全教育、业务操作技能考核,合格者方可上岗。第十四条 关键岗位人员上岗必须实行“权限分散、不得交叉覆盖”的原则。系统管理人员、网络管理人员、系统开发人员、系统维护人员不得操作任何业务;系统开发人员不得兼任系统管理员。第十五条 岗位人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务。涉及基层业务保密信息的关键岗位人员调离单位时,必须进行离岗稽核,关键岗位人员在调离后应继续履行保密义务。第十六条 关键岗位
15、人员离岗后,必须及时注销其用户,并更换相关密码。第三节计算机岗位人员的安全责任第十七条 系统管理员安全责任1负责系统的运行管理,实施系统安全运行细则。2严格用户权限管理,维护系统安全正常运行。3认真记录系统安全事项,及时向科技信息部负责人报告安全事件。4对进行系统操作的其他人员予以安全监督。第十八条 网络管理员安全责任1负责网络的运行管理,检测网络运行状况,实施网络安全策略和安全运行细则。2合理配置网络应用,严格控制网络用户访问权限,维护网络安全正常运行。3监控网络关键设备、网络端口、网络物理链路,防范黑客入侵,及时向部门负责人报告安全事件。4对操作网络管理功能的其他人员进行安全监督。第十九条
16、 开发人员安全责任1系统开发建设中,应严格执行系统安全策略,保证系统安全功能的准确实现。2系统投产运行前,应完整移交系统源代码和相关涉密资料。3不得对系统设置“后门”。4对系统核心技术保密。第二十条 应用系统、操作系统维护员安全责任1负责系统维护,及时解除系统故障,确保系统正常运行。2不得擅自改变系统功能及相关参数。3不得安装与系统无关的其它计算机程序。4维护过程中,发现安全漏洞应及时报告部门负责人。第二十一条 业务操作员安全责任1严格执行系统操作规程和运行安全管理制度。2不得向他人提供自己的操作密码,柜员卡不得借给他人。3及时向科技信息部报告系统各种异常事件。第二十二条 各部门、营业机构计算
17、机管理员责任1各部门、营业机构应指派素质好、较熟悉计算机知识的人员担任本单位的计算机管理员或科技协管员,并报科技信息部备案。如有变更应做好交接工作,并及时通知科技信息部。2各部门、营业机构计算机管理员或科技协管员要配合科技人员工作,并参加各项信息安全技能培训。3各部门、营业机构计算机管理员或科技协管员负责本部门、本网点计算机病毒防治工作,监督检查本部门客户端安全管理情况;负责提出本部门信息安全保障需求,及时与科技信息部沟通信息安全监测情况;协助科技信息部完成对本部门的信息安全检查工作。第四节一般计算机用户的安全管理责任第二十三条 本办法所称一般计算机用户是指使用计算机设备的我行所有工作人员。第
18、二十四条 一般计算机用户应承担如下安全义务:1不得安装与办公和业务处理无关的其他计算机软件和硬件,不得修改系统和网络配置参数。2未经科技信息部检测和授权,不得将接入系统内部网络所用计算机转接国际互联网,不得将便携式计算机接入总行内部网络,不得随意将私人计算机带入机房或私自拷贝任何信息。所造成的后果和相关经济损失由本人承担。第五节外来人员的安全管理第二十五条 各单位要针对不同的外来人员,制定相应的安全策略,严格控制外来人员对我行信息系统、网络设备、安全设备、办公主机、主机服务器的访问,外来人员对敏感的信息资产进行访问时,应与其签订安全保密协议,明确安全责任和义务。第二十六条 各单位必须做好外来人
19、员的出入管理和陪同工作。第二十七条 严禁外来人员在未经科技信息部允许的情况情况下通过办公用户网访问生产网络。第二十八条 对需要长期进入各级单位工作的外公司人员,必须报外来人员管理部门审批,做好其工作区域的隔离和访问控制,并对访问过程进行全程监控、详细记录和及时审计。 第三章设备的安全管理第二十九条 设备安全管理是指对所有保证系统正常运行的主机设备、网络通信设备及外围设备的安全管理。第三十条 生产环境、测试环境、开发环境的相关设备相互之间必须有明确的物理安全边界,物理安全区必须有明确的标志。 第三十一条 设备所在的物理安全区应具备符合国家相关标准与规范的配电、照明、湿度、防水、防火、防雷及防盗等
20、基本环境条件。第三十二条 对路由器、交换机、防火墙和主机服务器等设备必须采取严格的管理措施,未经批准不得随意移动和接入。第三十三条 设备安装时,应由相关技术人员制定详细可行的操作步骤,其中关键设备的安装必须请供货厂商(代理商)技术人员现场支持。第三十四条 主机和网络通信关键设备必须有备份,并处于实时备用状态。第三十五条 重要设备使用单位应做好设备日常运行维护工作:1做好设备的日常检测、检查、记录,及时掌握设备的运行状况。2设备发生故障时应及时维修,必要时,通知设备维护商的技术人员到场解决。3制定设备维护计划,为维护的项目、步骤、周期、责任人等做出明确规定,并严格按照设备维护计划定期进行设备的保
21、养和维护,做好设备维护记录。第四章系统的安全管理第三十六条 本办法所指的计算机系统是指*业务处理系统、管理信息系统和日常办公自动化系统等,包括数据库、软件和硬件支撑环境等。第三十七条 系统规划与立项要充分考虑系统的安全需求,系统建设要充分考虑实现安全功能,计算机安全管理部门应对重要系统的立项进行安全性专项审查。第三十八条 系统选用的操作系统、数据库管理系统、中间件等必须具备与系统相适应的安全性。第三十九条 系统投入运行前,必须进行系统的安全评估与审批;对已投入运行的系统需跟踪进行评估并根据评估结果不断改进和提高系统安全性。第四十条 系统运行安全管理1严禁在生产系统上安装编译工具、应用系统源程序
22、及其他与系统业务无关的软件。2备份系统与生产系统的系统构成与配置应保持一致,以保证生产系统出现故障时能顺利切换。3严禁擅自修改系统参数,确需修改应严格履行审批手续,由维护岗位人员实施,实施时应有监督,修改后的参数应记录在案。4严禁擅自对业务数据库的数据进行修改或恢复操作,确需操作时应严格履行审批手续,由相关岗位人员实施,并由有关人员监督执行。5对于系统软件升级、应用软件升级或更新、系统切换、年终结转、结息等重大事件操作,按*有限责任公司系统升级管理办法由科技信息部从安全角度出发与业务部门密切配合,共同制定详细的计划和方案。第四十一条 做好系统的日常安全运行维护工作,不断完善系统运行制度、日志管
23、理制度、密码密钥管理制度、操作规程的安全管理制度等。定期对系统进行备份,并对备份媒体按有关规定指定专人妥善保管,重要业务系统的备份媒体必须异地保存。重要业务系统应由业务部门制定计算机安全保护的应急计划,保证业务的不间断运行,并不断完善应急计划。对涉密的应用系统,应严格执行保密管理的有关规定。第四十二条 各级运行机构必须做好对系统的安全监测工作。非营业机构接入生产网,须向科技信息部申请,连接单独设立的服务器。第四十三条 严格执行系统废止和销毁的有关安全管理规定。第五章网络安全管理第一节 网络管理第四十四条 科技信息部应持续建立健全网络安全运行制度,不断健全*网络运行维护实施细则、*系统运行维护实
24、施细则、*计算机系统应急预案等涉及到网络方面的制度,并按制度开展日常工作。第四十五条 应配备专职网络管理员。重要网络设备应放置在机房内,由网络管理员负责管理。其他人员不得对网络设备进行任何操作。网管设备属专管设备,必须严格控制其管理员密码。第四十六条 重要网络通信硬件设施、网管应用软件设施及网络参数配置应有备份,按*数据备份管理规定执行备份有关工作。 第四十七条 新建网络、网络改造或变更在投入使用前,科技信息部应制订相应的网络安全防范措施,组织对新建网络或改造后网络实施安全检验,未通过检验不允许投产使用。第四十八条 网络管理员调整网络重要参数配置和服务端口前,应书面请示本部门主管领导,改变网络
25、路由配置和通信地址等参数的操作,必须具有包括时间、目的、内容及维护人员等要素的书面记录。实施有可能影响网络正常运行的重大网络变更,应提前通知所有使用部门并安排在节假日进行,同时做好配置参数的备份和应急恢复准备。 第四十九条 网络管理员应按照省联社统一发布安全规范实施所负责网络的安全配置,并定期检查与规范的符合性。对网络设备配置命令和响应信息的完整性、合理性及保密性必须进行验证。第五十条 与其他业务相关机构的网络连接,应采用必要的技术隔离保护措施,提出具体实施方案,并得到充分论证,经过科技信息部审核通过方可实施。第五十一条 网络管理人员应随时掌握监测网络运行状况,定期检查网络状况,双机热备对获得
26、的信息进行分析,发现安全隐患应报告部门负责人。第五十二条 网络扫描、监测结果和网络运行日志等重要信息应备份存储。第五十三条 联网计算机应定期进行查、杀病毒操作,发现计算机病毒,应及时处理。第五十四条 科技信息部人员严禁超越网络管理权限,非法操作业务数据信息,不得擅自设置路由与非相关网络进行连接。第五十五条 按照我行制定的相关网络安全技术规范要求,对办公用户网、测试网与生产网络实施严格的物理、逻辑隔离措施。第五十六条 对计算机网络和数据通信设备的停用、维修、重用和作废环节,应建立安全机制有效清除或销毁敏感信息,防止泄露。第二节内网的使用管理第五十七条 由总行办公室(党办)统一为各级机构、各专业分
27、配内部网络电子邮箱和即时通讯软件工具账号,用于日常信息传递。第五十八条 由总行办公室(党办)统一为各机构、各部门分配内部相关群组,用于实时信息传递。第五十九条 加强内网操作人员权限管理,严格按照权限规定办理业务,无关人员禁止使用内网。第六十条 接入内网的计算机未经科技信息部允许不准安装其它软件。第六十一条 接入内网的计算机禁止使用各种游戏、娱乐软件。第六十二条 严禁擅自将我行内网与外网直接连接。(一)我行内网与企业外单位网络利用专线进行互连的方案,必须报我行总行科技信息部审批,经省联社相关部门同意后方可实施;(二)我行专用网络与INTERNET互联网连接的方案,必须报总行科技信息部审批。不得同
28、一台主机进行内外网切换,严格保持内、外网物理隔离。 第六十三条 内网的网络设备用户访问内网网络资源应经过安全认证、合理授权。认证应采用高安全强度的认证方式,对用户的权限应合理规划,实现角色的分离和相互制约,限制用户权限尤其是超级用户权限的滥用和误用。 第六十四条 防火墙策略的制定要严格按照相关网络技术规范进行,防火墙策略的变更应经过科技部部门审批。利用防火墙、防病毒、安全漏洞扫描、网络非法外联、网络入侵检测等软件和工具对获得的信息进行分析时,如发现安全事件,必须按照规定及时处理和报告,并对其日志进行保存和审计。 第六十五条 严禁外单位(包括供应商和服务商等)通过专线或拨号方式对我行信息系统进行
29、远程维护和技术支持。第三节接入国际互联网管理第六十六条 各级机构办公场所禁止私自用各种方式接入互联网。确有特殊需要接入互联网的部门,必须由部门负责人提出书面申请,经主管领导审批,报科技信息部备案,方可接入。并严格保持内、外网物理隔离。第六十七条 使用国际互联网的安全管理1 接入国际互联网的机器不得存有涉密金融数据信息,接入国际互联网的计算机上不得使用存有涉密金融数据信息的媒体。2从国际互联网下载的任何信息资源,未经检测并得到许可,不得在本行系统内网上使用。禁止访问或下载与工作无关的信息,禁止访问高风险网站,禁止安装、使用各类游戏、娱乐软件。3接入国际互联网的计算机须安装防病毒系统,并定期升级。
30、严禁利用互联网络传播病毒、散播非法信息、泄露国家和机构的机密。5本单位所属的国际互联网账号不得在本单位之外的其它场所使用。6国际互联网接入账户和密码必须实行专人管理,并不定期更换密码。7确有需要接入国际互联网的部门必须由负责人提出书面申请,送科技信息部初审,报分管行领导签批同意后方可接入。8使用国际互联网的所有用户应遵守国家有关法律法规和相关管理规定,不得从事任何违法违规活动。9. 无线网络只允许访问国际互联网,严禁通过无线网络访问业务运行类系统,无线网络的应用开通范围需由本单位安全管理岗审核。第六十八条 各使用部门应自觉接受总行信息安全工作领导小组的监督检查。第六章 计算机安全保密管理第一节
31、计算机及相关产品安全管理第六十九条 涉密计算机要与公用网络实行物理隔离,不得与因特网、非保密的局域网、非涉密的单机等有任何形式的物理连接。 第七十条 涉密计算机的使用要由专人负责管理,建立专门用户,并设立密码。第七十一条 计算机须安装具有实时监控病毒功能的防毒软件和防火墙产品,并及时升级。利用防毒软件,对需要在计算机使用的外来软盘、光盘等存储介质、下载的网络文件、电子邮件及其附件等进行病毒检查、清除。 第七十二条 任何单位或个人不得在连接互联网的计算机或网络中存储、处理、传递、发布涉及国家秘密以及*内部商业秘密的信息,当发现信息泄漏,应立即向有关部门报告。第七十三条 进行互联网连接的单位和个人
32、,应遵守国家有关法律、法规,严格执行安全保密制度,不得利用计算机国际互联网从事危害国家安全、泄漏国家秘密等违法犯罪活动;不得利用计算机国际互联网进行搜集、整理、窃取国家秘密的活动。第七十四条 各级单位和用户原则上不准开设电子公告系统、聊天室等,如确有需要必须上报有关部门审批、备案。第七十五条 用户使用电子邮件进行网上信息交流应遵守国家有关保密规定,不得利用电子邮件传递、转发或抄送涉密信息。互联单位、接入单位如有邮件服务器,对其管理的邮件服务器用户应当明确保守国家秘密的要求。第七十六条 对于建立主页的单位,应与保密部门签订保密责任协议,并协助保密部门对其主页内容进行保密监督、检查,指定专人负责对
33、信息内容的监督审查。第七十七条 由省计算机中心负责开发的软件产品、密钥及技术资料等要进行登记并妥善保管,严防泄漏,指定专人管理已开发的全部程序源码和技术资料,未经科技信息部主管领导批准,不得向外复制、销售、转让软件产品。第七十八条 对于操作系统、数据库、网络通讯及安全设备等重要区域均应设置口令,对记录密码的载体应严格管理,确保安全。第二节 数据信息的管理第七十九条 计算机的存储媒体要依据文件内容准确界定并标注涉密介质的密级和保密期限,按照所标密级和保密期限严格管理。密级和保密期限的界定标注方法等同于同内容的纸质文件。第八十条 必须加强数据信息处理全过程的安全管理,保证数据信息的保密性、完整性、
34、可用性、可控性。数据信息的安全管理应做到:1严把数据信息采集关,确保真实、可靠、合法。2据实录入数据信息,严禁凭空输入,对数据信息的修改,必须得到有关部门的批准,并记录备案。3必须采用必要的技术措施保证数据信息传输过程的安全,应使用加密技术对涉密或重要的数据信息实施加密处理。4使用部门应按规定进行数据备份,并检查备份媒体的有效性,送往异地的重要数据磁盘、磁带必须有加密措施,严防泄漏。5在设备维修、报废过程中,要确保其中的数据信息的保密性、完整性。第八十一条 涉密媒体包括记录档案资料、软件、数据等的各种载体。保证涉密媒体信息的安全应做到:1各种媒体的收集、保管、使用须按科技档案管理办法执行。2严
35、格分级管理,在媒体使用上,根据媒体的密级,要做到分级使用、定人操作,保留在现场的媒体数量应是系统有效运行所需要的最小数量。3涉密数据在系统进行下载存贮过程中必须采取相应的加密技术措施。4涉密媒体的保管要防磁、防潮、防腐、防霉变,重要磁介质每年要进行翻录或复制,实行异地保管,时限四年。5涉密媒体的传递与外借,应有审批手续和传递记录,涉密媒体传递过程中,要采取必要的防复制及加密等安全措施。6涉密媒体必须按照有关保密管理规定进行管理,严格录入、查询、复制、传递、保管、归档、销毁等各环节的手续;同一媒体上不得混录密和非密信息,如果必须同时录用不同密级的信息,应按存储信息的较高密级进行管理并标明密级。7
36、媒体要根据需要与存储环境定期进行循环复制备份,并进行登记;全部涉密媒体信息的转交、挪动和销毁,相关人员均须在场。8废弃媒体,相关部门应详细登记,妥善保管,每年底报请分管领导批准后,集中统一在保密管理人员监督下进行不可恢复性销毁。第八十二条 金融电子化系统中的信息应根据其重要性、密级、应用需求等分别实行相应的加密措施。对绝密级(金融电子化设计方案、金融主要业务的源代码、联行或电子汇兑密押、密钥的文字说明等),机密级(计算机网络设计方案、数据库设计说明、有关电子帐务数据文件、主要业务的目标程序等),秘密级(省市级项目电报、会计报表、银行重要凭证及帐务等)等信息不得通过互联网传送,机密信息不得以明文
37、形式传送。第三节数据备份与恢复第八十三条 省计算机中心负责业务数据和系统方面的备份及恢复。各业务部门负责本部门重要业务数据和资料方面的备份和恢复。第八十四条 要确认备份操作准确无误后进行备份操作。各业务部门应将计算机信息数据备份媒体视同重要空白凭证,指定专人负责备份数据媒体的管理。备份数据媒体应按要求写明标识,要确保存放地的安全,并定期进行检查,确保数据的完整性、可用性。第七章第三方访问和外包服务安全管理第一节第三方访问控制第八十五条 本办法所称第三方访问是指*之外的单位和个人物理访问省计算机中心机房或者通过网络连接逻辑访问省计算机中心数据库和计算机系统等活动。第八十六条 省计算机中心负责涉密
38、计算机系统和网络相关的第三方访问授权审批,科技信息部负责非涉密计算机系统和网络相关的第三方访问授权审批。未经*授权的任何第三方访问均视为非法入侵行为。第八十七条 允许被第三方访问的计算机系统和资源应建立存取控制机制、认证机制,列明所有用户名单及其权限,严格监督第三方访问活动。第八十八条 获得第三方访问授权的所有单位和个人应与省计算机中心签订安全保密协议,不得进行未授权的修改、增加、删除数据操作,不得复制和泄露*的任何信息。第二节外包服务管理第八十九条 本办法所称外包服务是指由*之外的其他社会厂商为*计算机系统、网络或桌面环境提供全面或部分的技术支持、咨询等服务。外包服务应签订正式的外包服务协议
39、,明确约定双方义务。第九十条 经科技信息部主管领导批准,外包服务提供商可提供上门维修服务并由*科技人员在场准确记录所有技术配置变更信息。外包服务提供商不得查看、复制涉密信息或将涉密介质带离*。第九十一条 计算机设备确需送外单位维修时,应彻底清除所存工作信息,与密码设备配套使用的计算机设备送修前必须请生产设备的科研单位拆除与密码有关的硬件,并彻底清除与密码有关的软件和信息。第八章计算机病毒防范的安全管理第九十二条 必须指定专人定期用防病毒软件查杀本单位计算机信息系统,并做检测、清除的记录;必须按有关操作规定定期更新防病毒产品版本。从计算机信息网络上下载程序、数据或购置、维修、接入计算机设备时,应
40、当进行计算机病毒检测。第九十三条 必须采用有公安部“销售许可”标志的防病毒产品,对本单位的病毒防治产品或系统必须有专人管理,并由科技档案管理人员妥善保存产品媒体及其备份。 第九十四条 对于生产网使用的计算机,各级单位必须根据总行科技信息部的部署,安装统一的防火墙、防病毒、入侵监测、安全漏洞扫描等安全产品。第九十五条 不得制作、传播计算机病毒。对因计算机病毒引起的计算机信息系统瘫痪、程序和数据严重破坏等重大事故要逐级向计算机管理部门报告。第九章 信息通报与灾难备份第一节信息通报第九十六条 各支行应对网点信息安全事件实行报告制度。一般信息安全事件应逐级通报,发生因人为、自然原因造成信息系统瘫痪以及
41、利用计算机实施犯罪等影响和损失较大的信息安全事件(下称“重大信息安全事件”)发生后的20分钟内逐级报省计算机中心及相关部门,省计算机中心主管领导决定是否发布预警信息或启动辖内应急预案。第九十七条 重大信息安全事件发生后,各机构相关人员应注意保护事件现场,采取必要的控制措施,调查事件原因,并及时报告本单位主管领导。第二节灾难备份管理第九十八条 灾难备份是指利用技术、管理手段以及相关资源,确保已有业务数据和计算机系统在地震、水灾、火灾、战争、恐怖袭击、网络攻击、设备系统故障、人为破坏等无法预料的突发事件(以下称“灾难”)发生后在规定的时间内可以恢复和继续运营的有序管理过程。第九十九条 由省计算机中
42、心按照“统筹安排、资源共享、平战结合”的原则,负责重要信息系统灾难备份的统一规划、实施和管理。第一百条 应建立健全灾难恢复计划,定期开展灾难恢复培训。在条件许可的情况下,由相关部门统一部署,重要信息系统至少每年进行一次灾难恢复演练,包括异地备份站点切换演练和本地系统灾难恢复演练。第十章 安全监测、检查、评估与审计第一节安全监测第一百零一条 科技信息部要及时预警、响应和处置运行监测中发现的问题,发现重大隐患和运行事故应及时协调解决,并逐级上报省计算机中心。第二节安全检查第一百零二条 科技信息部应至少每年组织一次本单位或辖内的信息安全专项检查,检查方式可以是自查、互查或上级检查等多种方式。第一百零
43、三条 在开展安全检查前应以安全管理制度为依据,制定详细的检查方案和计划,确保检查工作的可操作性和规范性。安全检查完成后应及时形成检查报告,经主管领导批准后将检查整改报告尽快送达被检查单位,要求限期整改的,需要对相关整改情况进行后续跟踪。第一百零四条 参加检查的人员对检查中的涉密信息负有保密责任。所有检查报告和资料应作为我行内部材料妥善保管,不得向外界泄漏。第三节安全评估第一百零五条 科技信息部可采用自评估、检查评估和委托评估等方式对辖内信息系统进行安全评估。第一百零六条 安全评估应在不影响信息系统正常运行的情况下进行。评估开始前应制定评估方案并进行必要的培训。评估结束后,形成评估报告,提出整改意见报科技信息部主管领导。第一百
个人主页
