【正文】 議、安全規(guī)定明示、定期檢查等對(duì)建設(shè)單位或承建單位的員工包括管理人員，持續(xù)宣傳安全的重要性，牢固樹立“安全第一”的意識(shí)。主管人員應(yīng)該將此授權(quán)直接交給系統(tǒng)安全管理員，以避免此項(xiàng)授權(quán)被誤用或篡改。 ? （ 1）管理控制的策略有： ? 安裝正版軟件； ? 計(jì)算機(jī)開機(jī)時(shí)，切記使用磁盤的寫保護(hù)功能； ? 凡是未在單機(jī)中做病毒掃描的磁盤不允許在網(wǎng)絡(luò)環(huán)境中使用； ? 隨時(shí)更新病毒代碼庫(kù)； ? 對(duì)可能感染病毒的文件做寫保護(hù) ? 安裝新軟件前的殺毒處理 ? 新磁盤使用時(shí)做病毒檢測(cè)； ? 確保在網(wǎng)絡(luò)環(huán)境中安裝、使用幾更新防病毒軟件； ? 文件加密和使用前解密； ? 授權(quán)方可更換必要的設(shè)備，如路由器、交換機(jī)等； ? 在網(wǎng)絡(luò)中不使用外單位的設(shè)備，如做商務(wù)演示時(shí)； ? 備份數(shù)據(jù)的殺度處理； ? 定期教育、檢查制度的執(zhí)行情況等。 ? （ 4）色粒米技術(shù) ? 這是一種類似去尾法的舞弊行為，不同的是將余額切分成更小金額，再轉(zhuǎn)入未授權(quán)賬戶。 ? （ 2）特洛伊木馬 ? 特洛伊木馬是指將一些帶有惡意的、欺詐性的代碼置于己授權(quán)的計(jì)算機(jī)程序中，當(dāng)程序啟動(dòng)時(shí)這些代碼也會(huì)啟動(dòng)。 ? 監(jiān)理在邏輯訪問(wèn)風(fēng)險(xiǎn)分析與安全管理上，主要的原則有： ? 了解信息處理的整體環(huán)境并評(píng)估其安全需求，可通過(guò)審查相關(guān)數(shù)據(jù)，詢問(wèn)有關(guān)人員，個(gè)人觀察及風(fēng)險(xiǎn)評(píng)估等； ? 通過(guò)對(duì)一些可能進(jìn)入系統(tǒng)訪問(wèn)路徑進(jìn)行記錄及復(fù)核，評(píng)價(jià)這些控制點(diǎn)的正確性、有效性。監(jiān)控的項(xiàng)目包括電源、地面及空間狀態(tài)。 黎連業(yè) 監(jiān)理安全管理注意事項(xiàng) ? 物理訪問(wèn)控制的風(fēng)險(xiǎn)多半可能來(lái)自那些惡意或犯罪傾向的行為。 ? 物理訪問(wèn)的定義 ? 物理訪問(wèn)的風(fēng)險(xiǎn)來(lái)源 ? 可能的錯(cuò)誤或犯罪 ? 監(jiān)理安全管理注意事項(xiàng) 黎連業(yè) 物理訪問(wèn)的定義 ? 物理訪問(wèn)控制是設(shè)計(jì)用以保護(hù)組織防止未授權(quán)的訪問(wèn)，并限制只有經(jīng)過(guò)管理階層授權(quán)的人員才能進(jìn)入。 ? （ 4）制定突發(fā)事件的應(yīng)急計(jì)劃 ? 監(jiān)理工程師要建議、提醒建設(shè)單位必須針對(duì)不同的系統(tǒng)故障或?yàn)?zāi)難制定應(yīng)急計(jì)劃，編寫緊急故障恢復(fù)操作指南，并對(duì)每個(gè)崗位的工作人員按照所擔(dān)任角色和負(fù)有的責(zé)任進(jìn)行培訓(xùn)和演練。 ? 數(shù)據(jù)安全，數(shù)據(jù)泄露一般有三種途徑 :直接獲取，在傳輸中截獲，通過(guò)電磁輻射泄露。 黎連業(yè) ? 物理與環(huán)境保護(hù) ? 對(duì)于物理與環(huán)境保護(hù)，監(jiān)理工程師要建議建設(shè)單位主要從以下幾個(gè)方面考慮： ? 物理訪問(wèn)控制，在重要區(qū)域限制人員的進(jìn)出。實(shí)體安全教育應(yīng)該了解計(jì)算機(jī)機(jī)房的安全技術(shù)要求、實(shí)體訪問(wèn)控制；計(jì)算機(jī)系統(tǒng)的靜電防護(hù)等。 ? 網(wǎng)絡(luò)安全教育 ：熟練掌握計(jì)算機(jī)網(wǎng)絡(luò)安全方法學(xué)；可信網(wǎng)絡(luò)指導(dǎo)標(biāo)準(zhǔn)；網(wǎng)絡(luò)安全模型；計(jì)算機(jī)網(wǎng)絡(luò)安全設(shè)計(jì)方法。 黎連業(yè) ? 凡是與信息系統(tǒng)安全有關(guān)的所有人員都可以列為信息系統(tǒng)安全教育的對(duì)象： ? 領(lǐng)導(dǎo)與管理人員； ? 計(jì)算機(jī)工程人員，包括研究開發(fā)人員和維護(hù)應(yīng)用人員； ? 計(jì)算機(jī)廠商的有關(guān)人員； ? 一般用戶； ? 計(jì)算機(jī)安全管理部門的工作人員； ? 法律工作人員； ? 其他有關(guān)人員。 黎連業(yè) 基層計(jì)算機(jī)信息網(wǎng)絡(luò)應(yīng)用單位的網(wǎng)絡(luò)安全管理組織機(jī)構(gòu)設(shè)置 : 應(yīng) 用 單 位 最 高 領(lǐng) 導(dǎo)高 層 組 織 管 理人 事 部 門 負(fù) 責(zé) 人 保 衛(wèi) 部 門 負(fù) 責(zé) 人 信 息 中 心 負(fù) 責(zé) 人 專 家安 全 審 計(jì) 安 全 管 理 安 全 保 衛(wèi)系 統(tǒng) 管 理系 統(tǒng) 操 作 黎連業(yè) 監(jiān)理在信息安全管理中的作用 ? 監(jiān)理在信息系統(tǒng)安全管理的作用如下： ?保證建設(shè)單位在信息系統(tǒng)工程項(xiàng)目建設(shè)過(guò)程中，保證信息系統(tǒng)的安全在可用性、保密性、完整性與信息系統(tǒng)工程的可維護(hù)性技術(shù)環(huán)節(jié)上沒(méi)有沖突； ?在成本控制的前提下，確保信息系統(tǒng)安全設(shè)計(jì)上沒(méi)有漏洞； ?督促建設(shè)單位的信息系統(tǒng)工程應(yīng)用人員在安全管理制度和安全規(guī)范下嚴(yán)格執(zhí)行安全操作和管理，建立安全意識(shí)； ?監(jiān)督承建單位按照技術(shù)標(biāo)準(zhǔn)和建設(shè)方案施工，檢查承建單位是否存在設(shè)計(jì)過(guò)程中的非安全隱患行為或現(xiàn)象等，確保整個(gè)項(xiàng)目建設(shè)過(guò)程中的安全建設(shè)和安全應(yīng)用。 黎連業(yè) 管理體系 ? 管理是信息系統(tǒng)安全的靈魂。 ? 應(yīng)用安全 是保障相關(guān)業(yè)務(wù)在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)上安全運(yùn)行 ? 運(yùn)行安全 是保障系統(tǒng)安全性的穩(wěn)定 黎連業(yè) 組織機(jī)構(gòu)體系 ? 組織機(jī)構(gòu)體系是信息系統(tǒng)的組織保障系統(tǒng)，由機(jī)構(gòu)、崗位和人事三個(gè)模塊構(gòu)成，一個(gè)機(jī)構(gòu)設(shè)置分為 :決策層、管理層和執(zhí)行層。 ? 機(jī)房安全 ? 設(shè)施安全 黎連業(yè) 系統(tǒng)安全 ? 系統(tǒng)安全通過(guò)對(duì)信息系統(tǒng)安全組件的選擇，使信息系統(tǒng)安全組件的軟件工作平臺(tái)達(dá)到相應(yīng)的安全等級(jí)，一方面避免操作平臺(tái)自身的脆弱性和漏洞引發(fā)的風(fēng)險(xiǎn)，另一方面阻塞任何形式的非授權(quán)行為對(duì)信息系統(tǒng)安全組件的入侵或接管系統(tǒng)管理權(quán)。 黎連業(yè) 技術(shù)體系 ? 技術(shù)體系是全面提供信息系統(tǒng)安全保護(hù)的技術(shù)保障系統(tǒng)。最簡(jiǎn)單和常用的糾錯(cuò)編碼方法是奇偶校驗(yàn)法； ? 密碼校驗(yàn)和方法，抗竄改和傳輸失敗的重要手段； ? 數(shù)字簽名 ，保障信息的真實(shí)性； ? 公證 ，請(qǐng)求網(wǎng)絡(luò)管理或中介機(jī)構(gòu)證明信息的真實(shí)性。信息完整性一方面是指信息在利用、傳輸、貯存等過(guò)程中不被刪除、修改、偽造、亂序、重放、插入等，另一方面是指信息處理的方法的正確性。 黎連業(yè) ? 保密性是在可用性基礎(chǔ)之上，保障網(wǎng)絡(luò)信息安全的重要手段 。有效性主要反映在信息系統(tǒng)的部件失效情況下，滿足業(yè)務(wù)性能要求的程度。 ? 生存性 ，是在隨機(jī)破壞下系統(tǒng)的可用性。人員可用性是指工作人員成功地完成工作或任務(wù)的概率。例如通信線路中斷故障會(huì)造成信息的在一段時(shí)間內(nèi)不可用，影響正常的商業(yè)運(yùn)作，這是信息可用性的破壞。 黎連業(yè) 信息系統(tǒng)安全的屬性 ? 信息系統(tǒng)安全屬性分為三個(gè)方面： 即可用性、保密性、完整性。 黎連業(yè) ? 對(duì)安全保密部門和國(guó)家行政部門來(lái)說(shuō)，最為關(guān)心的信息系統(tǒng)安全問(wèn)題是如何對(duì)非法的、有害的或涉及國(guó)家機(jī)密的信息進(jìn)行有效過(guò)濾和防堵，避免非法泄露。從企業(yè)用戶的角度來(lái)說(shuō)，是如何保證涉及商業(yè)利益的數(shù)據(jù)的安全。 ? 信息系統(tǒng)安全定義是：確保以電磁信號(hào)為主要形式的、在信息網(wǎng)絡(luò)系統(tǒng)進(jìn)行通信、處理和使用的信息內(nèi)容，在各個(gè)物理位置、邏輯區(qū)域、存儲(chǔ)和傳輸介質(zhì)中，處于動(dòng)態(tài)和靜態(tài)過(guò)程中的保密性、完整性和可用性，以及與人、網(wǎng)絡(luò)、環(huán)境有關(guān)的技術(shù)安全、結(jié)構(gòu)安全和管理安全的總和。網(wǎng)絡(luò)化和非網(wǎng)絡(luò)化的信息系統(tǒng)安全，泛指一切以聲、光、電信號(hào)、磁信號(hào)、語(yǔ)音以及約定形式為載體的信息的安全。 黎連業(yè) 從不同角度看待信息系統(tǒng)安全 ? 從個(gè)人用戶最為關(guān)心的信息系統(tǒng)安全問(wèn)題是如何保證涉及個(gè)人隱私的問(wèn)題。比如，避免出現(xiàn)漏洞陷阱、病毒、非法存取、拒絕服務(wù)和網(wǎng)絡(luò)資源非法占用和非法控制等現(xiàn)象，制止和防御網(wǎng)絡(luò)“黑客”的攻擊。有害的黃色內(nèi)容會(huì)對(duì)社會(huì)的穩(wěn)定和人類的發(fā)展造成不良影響。可用性是指信息及相關(guān)的信息資產(chǎn)在授權(quán)人需要的時(shí)候，可以立即獲得。軟件可用性是指在規(guī)定的時(shí)間內(nèi)，程序成功運(yùn)行的概率。增強(qiáng)抗毀性可以有效地避免因各種災(zāi)害 (戰(zhàn)爭(zhēng)、地震等 )造成的大面積癱瘓事件。 ? 有效性 ，是一種基于業(yè)務(wù)性能的可用性。信息的保密性是針對(duì)信息被允許訪問(wèn)（ Access）對(duì)象的多少而不同，所有人員都可以訪問(wèn)的信息為公開信息，需要限制訪問(wèn)的信息一般為敏感信息或秘密，秘密可以根據(jù)信息的重要性及保密要求分為不同的密級(jí)，例如國(guó)家根據(jù)秘密泄露對(duì)國(guó)家經(jīng)濟(jì)、安全利益產(chǎn)生的影響（后果）不同，將國(guó)家秘密分為秘密、機(jī)密和絕密三個(gè)等級(jí)，組織可根據(jù)其信息安全的實(shí)際，在符合《國(guó)家保密法》的前提下將其信息劃分為不同的密級(jí)；對(duì)于具體的信息的保密性有時(shí)效性，如秘密到期解密等。 黎連業(yè) 完整性 ? 完整性定義為保護(hù)信息及其處理方法