【正文】 類構(gòu)成 。 ? 一類是物理安全技術(shù) ，通過物理機(jī)械強(qiáng)度標(biāo)準(zhǔn)的控制使信息系統(tǒng)的建筑物、機(jī)房條件及硬件設(shè)備等條件，滿足信息系統(tǒng)的機(jī)械防護(hù)安全；通過對電力供應(yīng)設(shè)備以及信息系統(tǒng)組件的抗電磁干擾和電磁泄露性能的選擇性措施達(dá)到兩個安全目的，信息統(tǒng)組件具有抗擊外界電磁輻射或噪聲干擾能力而保持正常運(yùn)行，控制信息系統(tǒng)組件電磁輻射造成的信息泄露 。 黎連業(yè) ? 物理安全技術(shù)包括機(jī)房安全和設(shè)施安全。 ? 機(jī)房安全 ? 設(shè)施安全 黎連業(yè) 系統(tǒng)安全 ? 系統(tǒng)安全通過對信息系統(tǒng)安全組件的選擇，使信息系統(tǒng)安全組件的軟件工作平臺達(dá)到相應(yīng)的安全等級，一方面避免操作平臺自身的脆弱性和漏洞引發(fā)的風(fēng)險(xiǎn)，另一方面阻塞任何形式的非授權(quán)行為對信息系統(tǒng)安全組件的入侵或接管系統(tǒng)管理權(quán)。 ? 系統(tǒng)安全技術(shù)包括平臺安全、數(shù)據(jù)安全、通信安全、應(yīng)用安全和運(yùn)行安全。 平臺安全 泛指操作系統(tǒng)和通用基礎(chǔ)服務(wù)安全，主要用于防范黑客攻擊手段，目前市場上大多數(shù)安全產(chǎn)品均限于解決平臺安全，包括以下內(nèi)容： ? 操作系統(tǒng)漏洞檢測與修復(fù)，包括： Unix系統(tǒng)、Windows系統(tǒng)、網(wǎng)絡(luò)協(xié)議； ? 網(wǎng)絡(luò)基礎(chǔ)設(shè)施漏洞檢測與修復(fù)，包括：路由器、路由器、交換機(jī)、防火墻等 黎連業(yè) ? 數(shù)據(jù)安全 目標(biāo)是防止數(shù)據(jù)丟失、崩潰和被非法訪問，為保障數(shù)據(jù)安全提供如下實(shí)施內(nèi)容：介質(zhì)與載體安全保護(hù)、數(shù)據(jù)訪問控制、系統(tǒng)數(shù)據(jù)訪問控制檢查、標(biāo)識與鑒別、數(shù)據(jù)完整性、數(shù)據(jù)可用性、數(shù)據(jù)監(jiān)控和審計(jì)、數(shù)據(jù)存儲與備份安全。 ? 通信安全 目標(biāo)是防止系統(tǒng)之間通信的安全脆弱性威脅，為保障系統(tǒng)之間通信的安全采取的措施有：通信線路和網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全性測試與優(yōu)化、安裝網(wǎng)絡(luò)加密設(shè)施、設(shè)置通信加密軟件、設(shè)置身份鑒別機(jī)制、設(shè)置并測試安全通道、測試各項(xiàng)網(wǎng)絡(luò)協(xié)議運(yùn)行漏洞。 ? 應(yīng)用安全 是保障相關(guān)業(yè)務(wù)在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)上安全運(yùn)行 ? 運(yùn)行安全 是保障系統(tǒng)安全性的穩(wěn)定 黎連業(yè) 組織機(jī)構(gòu)體系 ? 組織機(jī)構(gòu)體系是信息系統(tǒng)的組織保障系統(tǒng)，由機(jī)構(gòu)、崗位和人事三個模塊構(gòu)成，一個機(jī)構(gòu)設(shè)置分為 :決策層、管理層和執(zhí)行層。決策層是信息系統(tǒng)用戶單位中決定信息系統(tǒng)安全重大事宜的領(lǐng)導(dǎo)機(jī)構(gòu)，由有保密職能的部門負(fù)責(zé)人及信息系統(tǒng)主要負(fù)責(zé)人參與組成。管理層是決策層的日常管理機(jī)關(guān)，根據(jù)決策機(jī)構(gòu)的決定，全面規(guī)劃并協(xié)調(diào)各方面力量，實(shí)施信息系統(tǒng)的安全方案，制定、修改安全策略，處理安全事故，設(shè)置安全相關(guān)的崗位。執(zhí)行層是在管理層協(xié)調(diào)下，具體負(fù)責(zé)某一個或某幾個特定安全事務(wù)的一個邏輯群體，這個群體分布在信息系統(tǒng)的各個操作層或崗位上。 黎連業(yè) 管理體系 ? 管理是信息系統(tǒng)安全的靈魂。 信息系統(tǒng)安全的管理體系由法律管理、制度管理和培訓(xùn)管理三部分組成。管理安全設(shè)置的機(jī)制有：人員管理、培訓(xùn)管理、應(yīng)用系統(tǒng)管理、軟件管理、設(shè)備管理、文檔管理、數(shù)據(jù)管理、操作管理、運(yùn)行管理和機(jī)房管理 。 黎連業(yè) ? 制度管理是信息系統(tǒng)內(nèi)部依據(jù)必要的安全需求制定的一系列內(nèi)部 規(guī)章制度，主要包括： ?安全管理和執(zhí)行機(jī)構(gòu)的行為規(guī)范； ?崗位設(shè)定及其操作規(guī)范； ?崗位人員的素質(zhì)要求及行為規(guī)范； ?內(nèi)部關(guān)系與外部關(guān)系的行為規(guī)范等 。 黎連業(yè) 基層計(jì)算機(jī)信息網(wǎng)絡(luò)應(yīng)用單位的網(wǎng)絡(luò)安全管理組織機(jī)構(gòu)設(shè)置 : 應(yīng) 用 單 位 最 高 領(lǐng) 導(dǎo)高 層 組 織 管 理人 事 部 門 負(fù) 責(zé) 人 保 衛(wèi) 部 門 負(fù) 責(zé) 人 信 息 中 心 負(fù) 責(zé) 人 專 家安 全 審 計(jì) 安 全 管 理 安 全 保 衛(wèi)系 統(tǒng) 管 理系 統(tǒng) 操 作 黎連業(yè) 監(jiān)理在信息安全管理中的作用 ? 監(jiān)理在信息系統(tǒng)安全管理的作用如下： ?保證建設(shè)單位在信息系統(tǒng)工程項(xiàng)目建設(shè)過程中，保證信息系統(tǒng)的安全在可用性、保密性、完整性與信息系統(tǒng)工程的可維護(hù)性技術(shù)環(huán)節(jié)上沒有沖突； ?在成本控制的前提下，確保信息系統(tǒng)安全設(shè)計(jì)上沒有漏洞； ?督促建設(shè)單位的信息系統(tǒng)工程應(yīng)用人員在安全管理制度和安全規(guī)范下嚴(yán)格執(zhí)行安全操作和管理，建立安全意識； ?監(jiān)督承建單位按照技術(shù)標(biāo)準(zhǔn)和建設(shè)方案施工，檢查承建單位是否存在設(shè)計(jì)過程中的非安全隱患行為或現(xiàn)象等，確保整個項(xiàng)目建設(shè)過程中的安全建設(shè)和安全應(yīng)用。 黎連業(yè) 監(jiān)理督促建設(shè)單位進(jìn)行信息安全管理的教育 ? 為了保證信息系統(tǒng)安全，我們要從防范計(jì)算機(jī)犯罪，需要從技術(shù)、法律、管理和教育等幾方面著手。信息系統(tǒng)安全教育是建設(shè)單位或承建單位保證信息系統(tǒng)安全的重要組成部分，是信息安全體系建設(shè)不可缺少的一項(xiàng)重要工作內(nèi)容。 ? 教育的特點(diǎn)和對象 : ? 計(jì)算機(jī)硬件、計(jì)算機(jī)軟件、電磁泄漏和屏蔽、通信、密碼學(xué)、電磁材料、工程生理學(xué)、管理學(xué)、社會心理學(xué)、法學(xué)、審計(jì)學(xué)、安全保衛(wèi)等。 黎連業(yè) ? 凡是與信息系統(tǒng)安全有關(guān)的所有人員都可以列為信息系統(tǒng)安全教育的對象： ? 領(lǐng)導(dǎo)與管理人員； ? 計(jì)算機(jī)工程人員，包括研究開發(fā)人員和維護(hù)應(yīng)用人員； ? 計(jì)算機(jī)廠商的有關(guān)人員； ? 一般用戶； ? 計(jì)算機(jī)安全管理部門的工作人員； ? 法律工作人員； ? 其他有關(guān)人員。 黎連業(yè) 教育的主要內(nèi)容 ? 法規(guī)教育 ? 安全基礎(chǔ)知識教育 ? 職業(yè)道德教育。 黎連業(yè) ? 安全基礎(chǔ)知識教育包括網(wǎng)絡(luò)安全教育、運(yùn)行安全教育、實(shí)體安全教育、安全技術(shù)基礎(chǔ)知識等。 ? 安全技術(shù)教育 ：熟練掌握使用一般的安全工具；了解計(jì)算機(jī)的硬件參數(shù)與軟件參數(shù)；一般信息系統(tǒng)的薄弱點(diǎn)和風(fēng)險(xiǎn)等。 ? 網(wǎng)絡(luò)安全教育 ：熟練掌握計(jì)算機(jī)網(wǎng)絡(luò)安全方法學(xué)；可信網(wǎng)絡(luò)指導(dǎo)標(biāo)準(zhǔn)；網(wǎng)絡(luò)安全模型；計(jì)算機(jī)網(wǎng)絡(luò)安全設(shè)計(jì)方法。 ? 運(yùn)行安全教育 ：保障信息系統(tǒng)功能的實(shí)現(xiàn)，提供一套安全措施來保護(hù)信息處理過程的安全。運(yùn)行安全教育應(yīng)該了解 :信息系統(tǒng)的安全運(yùn)行與管理、計(jì)算機(jī)系統(tǒng)的維護(hù)、機(jī)房環(huán)境的監(jiān)測及維護(hù)、隨機(jī)故障的維修、風(fēng)險(xiǎn)分析、應(yīng)急、恢復(fù)與備份。 ? 實(shí)體安全教育：保護(hù)信息系統(tǒng)設(shè)備、設(shè)施以及其他媒體免遭地震、水災(zāi)、火災(zāi)、有害氣體和其他環(huán)境事故破壞的措施。實(shí)體安全教育應(yīng)該了解計(jì)算機(jī)機(jī)房的安全技術(shù)要求、實(shí)體訪問控制；計(jì)算機(jī)系統(tǒng)的靜電防護(hù)等。 黎連業(yè) 監(jiān)理督促建設(shè)單位進(jìn)行信息安全規(guī)劃 ? 監(jiān)理工程師有義務(wù)建議建設(shè)單位在信息系統(tǒng)安全管理上有應(yīng)對的措施和規(guī)劃，在制定信息安全規(guī)劃方面， 應(yīng)建議建設(shè)單位從以下幾個方面進(jìn)行： ? （ 1）人員安全管理 監(jiān)理工程師要建議建設(shè)單位遵循有以下原則： 授權(quán)最小化，只授予操作人員為完成本職工作所必須的最小授權(quán)，包括對數(shù)據(jù)文件的訪問，計(jì)算機(jī)和外設(shè)的使用等。 授權(quán)分散化，對于關(guān)鍵的任務(wù)必須在功能上進(jìn)行劃分，由多人來共同承擔(dān)，保證沒有任何個人具有完成任務(wù)的全部授權(quán)或信息。 授權(quán)規(guī)范化，建立起申請、建立、發(fā)出和關(guān)閉用戶授權(quán)的嚴(yán)格的制度，以及管理和監(jiān)督用戶操作責(zé)任的機(jī)制。 黎連業(yè) ? 物理與環(huán)境保護(hù) ? 對于物理與環(huán)境保護(hù)，監(jiān)理工程師要建議建設(shè)單位主要從以下幾個方面考慮： ? 物理訪問控制，在重要區(qū)域限制人員的進(jìn)出。重要區(qū)域不僅包括機(jī)房，也應(yīng)包括能夠接觸到內(nèi)部網(wǎng)絡(luò)的區(qū)域，供電系統(tǒng)備份介質(zhì)存放的地點(diǎn)等。 ? 建筑物安全，要考慮建筑物防火、地震，結(jié)構(gòu)擁塌、漏水等造成的風(fēng)險(xiǎn)。 ? 公用設(shè)施的保證，為了使系統(tǒng)能夠不間斷地提供服務(wù)及硬件設(shè)備不受損害，評價供電、供水、空調(diào)等設(shè)施的可用性，并提出相應(yīng)的措施。 ? 數(shù)據(jù)安全，數(shù)據(jù)泄露一般有三種途徑 :直接獲取，在傳輸中截獲，通過電磁輻射泄露。對這三種風(fēng)險(xiǎn)要加以充分評估。特別應(yīng)當(dāng)注意對便攜式計(jì)算機(jī)建立安全保管制度，如果其中保存了敏感數(shù)據(jù)應(yīng)進(jìn)行加密，避免丟失或被盜時造成數(shù)據(jù)泄露。