【正文】 高級(jí)管理層的介入可以確保災(zāi)難發(fā)生時(shí)能夠從他們那里得到思想和財(cái)政上的支持； ? 召開(kāi)一次解決方案研討會(huì)，設(shè)計(jì)組織獨(dú)有的恢復(fù)解決方案并提出項(xiàng)目實(shí)現(xiàn)計(jì)劃，探討如何實(shí)施在解決方案研討會(huì)中所提出的項(xiàng)目計(jì)劃； ? 選定負(fù)責(zé)人，潛在的人選包括業(yè)務(wù)主管、數(shù)據(jù)中心主管甚至是基礎(chǔ)設(shè)施管理人員； ? 進(jìn)行業(yè)務(wù)影響分析，鑒別關(guān)鍵的業(yè)務(wù)過(guò)程，評(píng)估重要恢復(fù)點(diǎn)和恢復(fù)時(shí)間目標(biāo)以及IT環(huán)境。由于硬陣列是一個(gè)完整的系統(tǒng)，所有需要的功能均可以做進(jìn)去，所以硬陣列所提供的功能和性能均比軟陣列好，而且，如果你想把系統(tǒng)也做到磁盤(pán)陣列中，硬陣列是唯一的選擇。比如磁盤(pán)鏡像、磁盤(pán)陣列、雙機(jī)容錯(cuò)等方式。另外，還可以按策略配置響應(yīng)，可分別采取立即、緊急、適時(shí)、本地的長(zhǎng)期和全局的長(zhǎng)期等行動(dòng)。它首先構(gòu)建分析器，把收集到的信息經(jīng)過(guò)預(yù)處理，建立一個(gè)行為分析引擎或模型，然后向模型中植入時(shí)間數(shù)據(jù)，在知識(shí)庫(kù)中保存植入數(shù)據(jù)的模型。 黎連業(yè) 防火墻 ? 防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。 黎連業(yè) 訪問(wèn)控制 ? 訪問(wèn)控制軟件可以禁止未經(jīng)授權(quán)的數(shù)據(jù)訪問(wèn)、系統(tǒng)功能的調(diào)用及程序的使用、修改或變更，察覺(jué)或防范未經(jīng)授權(quán)使用系統(tǒng)資源的企圖。同時(shí)還要注意不應(yīng)泄露安全數(shù)據(jù)，提供給員工的安全策略手冊(cè)不應(yīng)刊登敏感度高的安全數(shù)據(jù)，如計(jì)算機(jī)密碼文檔名、技術(shù)安全架構(gòu)、基礎(chǔ)設(shè)施安全措施或系統(tǒng)軟件上的盲點(diǎn)等內(nèi)容。 ? （ 3） 訪問(wèn)控制的授權(quán)與核準(zhǔn)，為方便用戶訪問(wèn)信息系統(tǒng)，負(fù)責(zé)系統(tǒng)信息正確使用及報(bào)告的主管應(yīng)提供給用戶書(shū)面授權(quán)及使用方法。 ? （ 3）去尾法 ? 將交易發(fā)生后計(jì)算出的金額 (如利息 )中小數(shù)點(diǎn)后的余額 (如分 )刪除并轉(zhuǎn)入某個(gè)未經(jīng)授權(quán)的賬戶，因?yàn)榻痤~微小而往往不被注意。 黎連業(yè) 監(jiān)理安全管理策略概要 ? 對(duì)于應(yīng)用環(huán)境的監(jiān)理，可以從以下幾個(gè)方面： ? （ 1）火災(zāi)的控制 ? （ 2）水災(zāi) ? （ 3）計(jì)算機(jī)機(jī)房 黎連業(yè) 邏輯訪問(wèn)的安全管理 ? 在邏輯訪問(wèn)控制方面，監(jiān)理工程師應(yīng)著重分析并評(píng)估項(xiàng)目建設(shè)過(guò)程中的信息系統(tǒng)策略、組織結(jié)構(gòu)、業(yè)務(wù)流程及訪問(wèn)控制，以保護(hù)信息系統(tǒng)及數(shù)據(jù)，避免非法訪問(wèn)泄漏或損壞的發(fā)生。 黎連業(yè) 可能的錯(cuò)誤或犯罪 ? 監(jiān)理工程師要使建設(shè)單位認(rèn)識(shí)到可能的錯(cuò)誤或犯罪的情形包括有： ? 員工經(jīng)授權(quán)或未經(jīng)授權(quán)的訪問(wèn)； ? 離職員工； ? 有利害關(guān)系的外來(lái)者，如競(jìng)爭(zhēng)者、盜竊者、犯罪集團(tuán)、黑客等； ? 無(wú)知造成的意外，某些人可能在無(wú)知情況下犯下罪行（可能是員工或外來(lái)者）。 黎連業(yè) ? （ 3）輸入 /輸出控制 ? 監(jiān)理工程師要建議、提醒建設(shè)單位對(duì)系統(tǒng)的輸入 /輸出信息或介質(zhì)必須建立管理制度，只有經(jīng)過(guò)授權(quán)的人員方可提供或獲得系統(tǒng)的輸入 /輸出信息。 授權(quán)規(guī)范化，建立起申請(qǐng)、建立、發(fā)出和關(guān)閉用戶授權(quán)的嚴(yán)格的制度，以及管理和監(jiān)督用戶操作責(zé)任的機(jī)制。 ? 安全技術(shù)教育 ：熟練掌握使用一般的安全工具；了解計(jì)算機(jī)的硬件參數(shù)與軟件參數(shù)；一般信息系統(tǒng)的薄弱點(diǎn)和風(fēng)險(xiǎn)等。 黎連業(yè) ? 制度管理是信息系統(tǒng)內(nèi)部依據(jù)必要的安全需求制定的一系列內(nèi)部 規(guī)章制度，主要包括： ?安全管理和執(zhí)行機(jī)構(gòu)的行為規(guī)范； ?崗位設(shè)定及其操作規(guī)范； ?崗位人員的素質(zhì)要求及行為規(guī)范； ?內(nèi)部關(guān)系與外部關(guān)系的行為規(guī)范等 。 ? 通信安全 目標(biāo)是防止系統(tǒng)之間通信的安全脆弱性威脅，為保障系統(tǒng)之間通信的安全采取的措施有：通信線路和網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全性測(cè)試與優(yōu)化、安裝網(wǎng)絡(luò)加密設(shè)施、設(shè)置通信加密軟件、設(shè)置身份鑒別機(jī)制、設(shè)置并測(cè)試安全通道、測(cè)試各項(xiàng)網(wǎng)絡(luò)協(xié)議運(yùn)行漏洞。為了系統(tǒng)地、完整地構(gòu)建信息系統(tǒng)的安全體系框架，信息系統(tǒng)安全體系應(yīng)當(dāng)由技術(shù)體系、組織機(jī)構(gòu)體系和管理體系共同構(gòu)建。 黎連業(yè) 完整性 ? 完整性定義為保護(hù)信息及其處理方法的準(zhǔn)確性和完整性。 ? 有效性 ，是一種基于業(yè)務(wù)性能的可用性。軟件可用性是指在規(guī)定的時(shí)間內(nèi)，程序成功運(yùn)行的概率。有害的黃色內(nèi)容會(huì)對(duì)社會(huì)的穩(wěn)定和人類(lèi)的發(fā)展造成不良影響。 黎連業(yè) 從不同角度看待信息系統(tǒng)安全 ? 從個(gè)人用戶最為關(guān)心的信息系統(tǒng)安全問(wèn)題是如何保證涉及個(gè)人隱私的問(wèn)題。 ? 信息系統(tǒng)安全定義是：確保以電磁信號(hào)為主要形式的、在信息網(wǎng)絡(luò)系統(tǒng)進(jìn)行通信、處理和使用的信息內(nèi)容，在各個(gè)物理位置、邏輯區(qū)域、存儲(chǔ)和傳輸介質(zhì)中，處于動(dòng)態(tài)和靜態(tài)過(guò)程中的保密性、完整性和可用性，以及與人、網(wǎng)絡(luò)、環(huán)境有關(guān)的技術(shù)安全、結(jié)構(gòu)安全和管理安全的總和。 黎連業(yè) ? 對(duì)安全保密部門(mén)和國(guó)家行政部門(mén)來(lái)說(shuō)，最為關(guān)心的信息系統(tǒng)安全問(wèn)題是如何對(duì)非法的、有害的或涉及國(guó)家機(jī)密的信息進(jìn)行有效過(guò)濾和防堵，避免非法泄露。例如通信線路中斷故障會(huì)造成信息的在一段時(shí)間內(nèi)不可用，影響正常的商業(yè)運(yùn)作，這是信息可用性的破壞。 ? 生存性 ，是在隨機(jī)破壞下系統(tǒng)的可用性。 黎連業(yè) ? 保密性是在可用性基礎(chǔ)之上，保障網(wǎng)絡(luò)信息安全的重要手段 。最簡(jiǎn)單和常用的糾錯(cuò)編碼方法是奇偶校驗(yàn)法； ? 密碼校驗(yàn)和方法，抗竄改和傳輸失敗的重要手段； ? 數(shù)字簽名 ，保障信息的真實(shí)性； ? 公證 ，請(qǐng)求網(wǎng)絡(luò)管理或中介機(jī)構(gòu)證明信息的真實(shí)性。 ? 機(jī)房安全 ? 設(shè)施安全 黎連業(yè) 系統(tǒng)安全 ? 系統(tǒng)安全通過(guò)對(duì)信息系統(tǒng)安全組件的選擇，使信息系統(tǒng)安全組件的軟件工作平臺(tái)達(dá)到相應(yīng)的安全等級(jí)，一方面避免操作平臺(tái)自身的脆弱性和漏洞引發(fā)的風(fēng)險(xiǎn)，另一方面阻塞任何形式的非授權(quán)行為對(duì)信息系統(tǒng)安全組件的入侵或接管系統(tǒng)管理權(quán)。 黎連業(yè) 管理體系 ? 管理是信息系統(tǒng)安全的靈魂。 黎連業(yè) ? 凡是與信息系統(tǒng)安全有關(guān)的所有人員都可以列為信息系統(tǒng)安全教育的對(duì)象： ? 領(lǐng)導(dǎo)與管理人員； ? 計(jì)算機(jī)工程人員，包括研究開(kāi)發(fā)人員和維護(hù)應(yīng)用人員； ? 計(jì)算機(jī)廠商的有關(guān)人員； ? 一般用戶； ? 計(jì)算機(jī)安全管理部門(mén)的工作人員； ? 法律工作人員； ? 其他有關(guān)人員。實(shí)體安全教育應(yīng)該了解計(jì)算機(jī)機(jī)房的安全技術(shù)要求、實(shí)體訪問(wèn)控制；計(jì)算機(jī)系統(tǒng)的靜電防護(hù)等。 ? 數(shù)據(jù)安全，數(shù)據(jù)泄露一般有三種途徑 :直接獲取，在傳輸中截獲，通過(guò)電磁輻射泄露。 ? 物理訪問(wèn)的定義 ? 物理訪問(wèn)的風(fēng)險(xiǎn)來(lái)源 ? 可能的錯(cuò)誤或犯罪 ? 監(jiān)理安全管理注意事項(xiàng) 黎連業(yè) 物理訪問(wèn)的定義 ? 物理訪問(wèn)控制是設(shè)計(jì)用以保護(hù)組織防止未授權(quán)的訪問(wèn)，并限制只有經(jīng)過(guò)管理階層授權(quán)的人員才能進(jìn)入。監(jiān)控的項(xiàng)目包括電源、地面及空間狀態(tài)。 ? （ 2）特洛伊木馬 ? 特洛伊木馬是指將一些帶有惡意的、欺詐性的代碼置于己授權(quán)的計(jì)算機(jī)程序中，當(dāng)程序啟動(dòng)時(shí)這些代碼也會(huì)啟動(dòng)。 ? （ 1）管理控制的策略有： ? 安裝正版軟件； ? 計(jì)算機(jī)開(kāi)機(jī)時(shí)，切記使用磁盤(pán)的寫(xiě)保護(hù)功能； ? 凡是未在單機(jī)中做病毒掃描的磁盤(pán)不允許在網(wǎng)絡(luò)環(huán)境中使用； ? 隨時(shí)更新病毒代碼庫(kù)； ? 對(duì)可能感染病毒的文件做寫(xiě)保護(hù) ? 安裝新軟件前的殺毒處理 ? 新磁盤(pán)使用時(shí)做病毒檢測(cè)； ? 確保在網(wǎng)絡(luò)環(huán)境中安裝、使用幾更新防病毒軟件； ? 文件加密和使用前解密； ? 授權(quán)方可更換必要的設(shè)備，如路由器、交換機(jī)等； ? 在網(wǎng)絡(luò)中不使用外單位的設(shè)備，如做商務(wù)演示時(shí)； ? 備份數(shù)據(jù)的殺度處理； ? 定期教育、檢查制度的執(zhí)行情況等。 ? （ 5） 安全認(rèn)知及宣傳，應(yīng)通過(guò)培訓(xùn)、簽訂保密協(xié)議、安全規(guī)定明示、定期檢查等對(duì)建設(shè)單位或承建單位的員工包括管理人員，持續(xù)宣傳安全的重要性，牢固樹(shù)立“安全第一”的意識(shí)。 ? （ 4） 在安全策略的指導(dǎo)下，通過(guò)口令、用戶無(wú)法改變的安全標(biāo)記、會(huì)話控制、屏幕鎖、軟件與操作系統(tǒng)補(bǔ)丁更