【正文】 ? 設(shè)立專職或兼職的安全管理員，是為了確保系統(tǒng)日常的系統(tǒng)安全，管理員的任務(wù)就是負(fù)責(zé)建立、監(jiān)控并執(zhí)行安全管理規(guī)定。 ? （ 5） 安全認(rèn)知及宣傳，應(yīng)通過培訓(xùn)、簽訂保密協(xié)議、安全規(guī)定明示、定期檢查等對建設(shè)單位或承建單位的員工包括管理人員，持續(xù)宣傳安全的重要性，牢固樹立“安全第一”的意識。主管人員應(yīng)該將此授權(quán)直接交給系統(tǒng)安全管理員，以避免此項授權(quán)被誤用或篡改。 ? （ 1）管理控制的策略有： ? 安裝正版軟件； ? 計算機開機時，切記使用磁盤的寫保護(hù)功能； ? 凡是未在單機中做病毒掃描的磁盤不允許在網(wǎng)絡(luò)環(huán)境中使用； ? 隨時更新病毒代碼庫； ? 對可能感染病毒的文件做寫保護(hù) ? 安裝新軟件前的殺毒處理 ? 新磁盤使用時做病毒檢測； ? 確保在網(wǎng)絡(luò)環(huán)境中安裝、使用幾更新防病毒軟件； ? 文件加密和使用前解密； ? 授權(quán)方可更換必要的設(shè)備，如路由器、交換機等； ? 在網(wǎng)絡(luò)中不使用外單位的設(shè)備，如做商務(wù)演示時； ? 備份數(shù)據(jù)的殺度處理； ? 定期教育、檢查制度的執(zhí)行情況等。 ? （ 4）色粒米技術(shù) ? 這是一種類似去尾法的舞弊行為，不同的是將余額切分成更小金額，再轉(zhuǎn)入未授權(quán)賬戶。 ? （ 2）特洛伊木馬 ? 特洛伊木馬是指將一些帶有惡意的、欺詐性的代碼置于己授權(quán)的計算機程序中，當(dāng)程序啟動時這些代碼也會啟動。 ? 監(jiān)理在邏輯訪問風(fēng)險分析與安全管理上，主要的原則有： ? 了解信息處理的整體環(huán)境并評估其安全需求，可通過審查相關(guān)數(shù)據(jù)，詢問有關(guān)人員，個人觀察及風(fēng)險評估等； ? 通過對一些可能進(jìn)入系統(tǒng)訪問路徑進(jìn)行記錄及復(fù)核，評價這些控制點的正確性、有效性。監(jiān)控的項目包括電源、地面及空間狀態(tài)。 黎連業(yè) 監(jiān)理安全管理注意事項 ? 物理訪問控制的風(fēng)險多半可能來自那些惡意或犯罪傾向的行為。 ? 物理訪問的定義 ? 物理訪問的風(fēng)險來源 ? 可能的錯誤或犯罪 ? 監(jiān)理安全管理注意事項 黎連業(yè) 物理訪問的定義 ? 物理訪問控制是設(shè)計用以保護(hù)組織防止未授權(quán)的訪問，并限制只有經(jīng)過管理階層授權(quán)的人員才能進(jìn)入。 ? （ 4）制定突發(fā)事件的應(yīng)急計劃 ? 監(jiān)理工程師要建議、提醒建設(shè)單位必須針對不同的系統(tǒng)故障或災(zāi)難制定應(yīng)急計劃，編寫緊急故障恢復(fù)操作指南，并對每個崗位的工作人員按照所擔(dān)任角色和負(fù)有的責(zé)任進(jìn)行培訓(xùn)和演練。 ? 數(shù)據(jù)安全，數(shù)據(jù)泄露一般有三種途徑 :直接獲取，在傳輸中截獲，通過電磁輻射泄露。 黎連業(yè) ? 物理與環(huán)境保護(hù) ? 對于物理與環(huán)境保護(hù)，監(jiān)理工程師要建議建設(shè)單位主要從以下幾個方面考慮： ? 物理訪問控制，在重要區(qū)域限制人員的進(jìn)出。實體安全教育應(yīng)該了解計算機機房的安全技術(shù)要求、實體訪問控制；計算機系統(tǒng)的靜電防護(hù)等。 ? 網(wǎng)絡(luò)安全教育 ：熟練掌握計算機網(wǎng)絡(luò)安全方法學(xué)；可信網(wǎng)絡(luò)指導(dǎo)標(biāo)準(zhǔn)；網(wǎng)絡(luò)安全模型；計算機網(wǎng)絡(luò)安全設(shè)計方法。 黎連業(yè) ? 凡是與信息系統(tǒng)安全有關(guān)的所有人員都可以列為信息系統(tǒng)安全教育的對象： ? 領(lǐng)導(dǎo)與管理人員； ? 計算機工程人員，包括研究開發(fā)人員和維護(hù)應(yīng)用人員； ? 計算機廠商的有關(guān)人員； ? 一般用戶； ? 計算機安全管理部門的工作人員； ? 法律工作人員； ? 其他有關(guān)人員。 黎連業(yè) 基層計算機信息網(wǎng)絡(luò)應(yīng)用單位的網(wǎng)絡(luò)安全管理組織機構(gòu)設(shè)置 : 應(yīng) 用 單 位 最 高 領(lǐng) 導(dǎo)高 層 組 織 管 理人 事 部 門 負(fù) 責(zé) 人 保 衛(wèi) 部 門 負(fù) 責(zé) 人 信 息 中 心 負(fù) 責(zé) 人 專 家安 全 審 計 安 全 管 理 安 全 保 衛(wèi)系 統(tǒng) 管 理系 統(tǒng) 操 作 黎連業(yè) 監(jiān)理在信息安全管理中的作用 ? 監(jiān)理在信息系統(tǒng)安全管理的作用如下： ?保證建設(shè)單位在信息系統(tǒng)工程項目建設(shè)過程中，保證信息系統(tǒng)的安全在可用性、保密性、完整性與信息系統(tǒng)工程的可維護(hù)性技術(shù)環(huán)節(jié)上沒有沖突； ?在成本控制的前提下，確保信息系統(tǒng)安全設(shè)計上沒有漏洞； ?督促建設(shè)單位的信息系統(tǒng)工程應(yīng)用人員在安全管理制度和安全規(guī)范下嚴(yán)格執(zhí)行安全操作和管理，建立安全意識； ?監(jiān)督承建單位按照技術(shù)標(biāo)準(zhǔn)和建設(shè)方案施工，檢查承建單位是否存在設(shè)計過程中的非安全隱患行為或現(xiàn)象等，確保整個項目建設(shè)過程中的安全建設(shè)和安全應(yīng)用。 黎連業(yè) 管理體系 ? 管理是信息系統(tǒng)安全的靈魂。 ? 應(yīng)用安全 是保障相關(guān)業(yè)務(wù)在計算機網(wǎng)絡(luò)系統(tǒng)上安全運行 ? 運行安全 是保障系統(tǒng)安全性的穩(wěn)定 黎連業(yè) 組織機構(gòu)體系 ? 組織機構(gòu)體系是信息系統(tǒng)的組織保障系統(tǒng)，由機構(gòu)、崗位和人事三個模塊構(gòu)成，一個機構(gòu)設(shè)置分為 :決策層、管理層和執(zhí)行層。 ? 機房安全 ? 設(shè)施安全 黎連業(yè) 系統(tǒng)安全 ? 系統(tǒng)安全通過對信息系統(tǒng)安全組件的選擇，使信息系統(tǒng)安全組件的軟件工作平臺達(dá)到相應(yīng)的安全等級，一方面避免操作平臺自身的脆弱性和漏洞引發(fā)的風(fēng)險，另一方面阻塞任何形式的非授權(quán)行為對信息系統(tǒng)安全組件的入侵或接管系統(tǒng)管理權(quán)。 黎連業(yè) 技術(shù)體系 ? 技術(shù)體系是全面提供信息系統(tǒng)安全保護(hù)的技術(shù)保障系統(tǒng)。最簡單和常用的糾錯編碼方法是奇偶校驗法； ? 密碼校驗和方法，抗竄改和傳輸失敗的重要手段； ? 數(shù)字簽名 ，保障信息的真實性； ? 公證 ，請求網(wǎng)絡(luò)管理或中介機構(gòu)證明信息的真實性。信息完整性一方面是指信息在利用、傳輸、貯存等過程中不被刪除、修改、偽造、亂序、重放、插入等，另一方面是指信息處理的方法的正確性。 黎連業(yè) ? 保密性是在可用性基礎(chǔ)之上，保障網(wǎng)絡(luò)信息安全的重要手段 。有效性主要反映在信息系統(tǒng)的部件失效情況下，滿足業(yè)務(wù)性能要求的程度。 ? 生存性 ，是在隨機破壞下系統(tǒng)的可用性。人員可用性是指工作人員成功地完成工作或任務(wù)的概率。例如通信線路中斷故障會造成信息的在一段時間內(nèi)不可用，影響正常的商業(yè)運作，這是信息可用性的破壞。 黎連業(yè) 信息系統(tǒng)安全的屬性 ? 信息系統(tǒng)安全屬性分為三個方面： 即可用性、保密性、完整性。 黎連業(yè) ? 對安全保密部門和國家行政部門來說，最為關(guān)心的信息系統(tǒng)安全問題是如何對非法的、有害的或涉及國家機密的信息進(jìn)行有效過濾和防堵，避免非法泄露。從企業(yè)用戶的角度來說，是如何保證涉及商業(yè)利益的數(shù)據(jù)的安全。 ? 信息系統(tǒng)安全定義是：確保以電磁信號為主要形式的、在信息網(wǎng)絡(luò)系統(tǒng)進(jìn)行通信、處理和使用的信息內(nèi)容，在各個物理位置、邏輯區(qū)域、存儲和傳輸介質(zhì)中，處于動態(tài)和靜態(tài)過程中的保密性、完整性和可用性，以及與人、網(wǎng)絡(luò)、環(huán)境有關(guān)的技術(shù)安全、結(jié)構(gòu)安全和管理安全的總和。網(wǎng)絡(luò)化和非網(wǎng)絡(luò)化的信息系統(tǒng)安全，泛指一切以聲、光、電信號、磁信號、語音以及約定形式為載體的信息的安全。 黎連業(yè) 從不同角度看待信息系統(tǒng)安全 ? 從個人用戶最為關(guān)心的信息系統(tǒng)安全問題是如何保證涉及個人隱私的問題。比如，避免出現(xiàn)漏洞陷阱、病毒、非法存取、拒絕服務(wù)和網(wǎng)絡(luò)資源非法占用和非法控制等現(xiàn)象，制止和防御網(wǎng)絡(luò)“黑客”的攻擊。有害的黃色內(nèi)容會對社會的穩(wěn)定和人類的發(fā)展造成不良影響?？捎眯允侵感畔⒓跋嚓P(guān)的信息資產(chǎn)在授權(quán)人需要的時候，可以立即獲得。軟件可用性是指在規(guī)定的時間內(nèi)，程序成功運行的概率。增強抗毀性可以有效地避免因各種災(zāi)害 (戰(zhàn)爭、地震等 )造成的大面積癱瘓事件。 ? 有效性 ，是一種基于業(yè)務(wù)性能的可用性。信息的保密性是針對信息被允許訪問（ Access）對象的多少而不同，所有人員都可以訪問的信息為公開信息，需要限制訪問的信息一般為敏感信息或秘密，秘密可以根據(jù)信息的重要性及保密要求分為不同的密級，例如國家根據(jù)秘密泄露對國家經(jīng)濟、安全利益產(chǎn)生的影響（后果）不同，將國家秘密分為秘