【文章內(nèi)容簡(jiǎn)介】 黎連業(yè) ? （ 3）輸入 /輸出控制 ? 監(jiān)理工程師要建議、提醒建設(shè)單位對(duì)系統(tǒng)的輸入 /輸出信息或介質(zhì)必須建立管理制度，只有經(jīng)過(guò)授權(quán)的人員方可提供或獲得系統(tǒng)的輸入 /輸出信息。 ? （ 4）制定突發(fā)事件的應(yīng)急計(jì)劃 ? 監(jiān)理工程師要建議、提醒建設(shè)單位必須針對(duì)不同的系統(tǒng)故障或?yàn)?zāi)難制定應(yīng)急計(jì)劃，編寫(xiě)緊急故障恢復(fù)操作指南，并對(duì)每個(gè)崗位的工作人員按照所擔(dān)任角色和負(fù)有的責(zé)任進(jìn)行培訓(xùn)和演練。 黎連業(yè) ? （ 5）應(yīng)用軟件維護(hù)控制 ? 在應(yīng)用軟件的維護(hù)過(guò)程中，監(jiān)理工程師要建議、提醒建設(shè)單位需要對(duì)所使用的商業(yè)軟件的版權(quán)、來(lái)源，應(yīng)用軟件的文檔在維護(hù)過(guò)程是否修改，測(cè)試數(shù)據(jù)的產(chǎn)生與測(cè)試結(jié)果，是否留有軟件測(cè)試所建立的后門(mén)或熱鍵等問(wèn)題進(jìn)行規(guī)劃和評(píng)估。 ? （ 6）數(shù)據(jù)完整性與有效性控制 ? （ 7）文檔管理 ? （ 8）安全教育與培訓(xùn) 黎連業(yè) 安全管理制度與監(jiān)理實(shí)施 ? 通常情況下信息系統(tǒng)實(shí)施安全管理的有關(guān)制度包括： ? 計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)出入管理制度； ? 計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)各工作崗位的工作職責(zé)、操作規(guī)程； ? 計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)升級(jí)、維護(hù)制度； ? 計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)工作人員人事管理制度； ? 計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)安全檢查制度； ? 計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)應(yīng)急制度； ? 計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)信息資料處理制度； ? 計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)工作人員安全教育、培訓(xùn)制度； ? 計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)工作人員循環(huán)任職、強(qiáng)制休假制度等。 黎連業(yè) ? 在信息系統(tǒng)工程建設(shè)中，監(jiān)理工程師對(duì)信息系統(tǒng)的安全體系評(píng)估主要從邏輯訪(fǎng)問(wèn)的風(fēng)險(xiǎn)分析與安全管理、協(xié)助建設(shè)單位架構(gòu)安全的信息網(wǎng)絡(luò)系統(tǒng)、對(duì)應(yīng)用環(huán)境的風(fēng)險(xiǎn)分析與安全管理、對(duì)物理訪(fǎng)問(wèn)的風(fēng)險(xiǎn)分析與安全管理等方面進(jìn)行，并協(xié)助建設(shè)單位建立、健全、完善各項(xiàng)管理制度和措施。 ? 物理訪(fǎng)問(wèn)的定義 ? 物理訪(fǎng)問(wèn)的風(fēng)險(xiǎn)來(lái)源 ? 可能的錯(cuò)誤或犯罪 ? 監(jiān)理安全管理注意事項(xiàng) 黎連業(yè) 物理訪(fǎng)問(wèn)的定義 ? 物理訪(fǎng)問(wèn)控制是設(shè)計(jì)用以保護(hù)組織防止未授權(quán)的訪(fǎng)問(wèn)，并限制只有經(jīng)過(guò)管理階層授權(quán)的人員才能進(jìn)入。有些授權(quán)可能是明顯易見(jiàn)，例如管理階層授權(quán)你擁有鎖門(mén)的鑰匙，有些可能是隱含性的授權(quán)，例如你在工作內(nèi)容中說(shuō)明你必須訪(fǎng)問(wèn)敏感性的報(bào)表及文件。 黎連業(yè) 物理訪(fǎng)問(wèn)的風(fēng)險(xiǎn)來(lái)源 ? 物理訪(fǎng)問(wèn)的風(fēng)險(xiǎn)原因可能會(huì)來(lái)自有意或無(wú)意的違犯，這些風(fēng)險(xiǎn)包括： ? 未經(jīng)授權(quán)進(jìn)入； ? 毀損、破壞或竊取設(shè)備、財(cái)產(chǎn)或文件； ? 拷貝或偷看敏感或有著作權(quán)的信息； ? 變更敏感性設(shè)備及信息； ? 公開(kāi)敏感的信息； ? 濫用數(shù)據(jù)處理資源； ? 勒索； ? 盜用。 黎連業(yè) 可能的錯(cuò)誤或犯罪 ? 監(jiān)理工程師要使建設(shè)單位認(rèn)識(shí)到可能的錯(cuò)誤或犯罪的情形包括有： ? 員工經(jīng)授權(quán)或未經(jīng)授權(quán)的訪(fǎng)問(wèn)； ? 離職員工； ? 有利害關(guān)系的外來(lái)者，如競(jìng)爭(zhēng)者、盜竊者、犯罪集團(tuán)、黑客等； ? 無(wú)知造成的意外，某些人可能在無(wú)知情況下犯下罪行（可能是員工或外來(lái)者）。 黎連業(yè) 監(jiān)理安全管理注意事項(xiàng) ? 物理訪(fǎng)問(wèn)控制的風(fēng)險(xiǎn)多半可能來(lái)自那些惡意或犯罪傾向的行為。 在安全監(jiān)理中需要值得注意的問(wèn)題如下： ?硬件設(shè)施在合理范圍內(nèi)是否能防止強(qiáng)制入侵； ?計(jì)算機(jī)設(shè)備的鑰匙是否有良好的控制以降低未授權(quán)者進(jìn)入的危險(xiǎn)； ?智能終端是否上鎖或有安全保護(hù)，以防止電路板、芯片或計(jì)算機(jī)被搬移； ?計(jì)算機(jī)設(shè)備在搬動(dòng)時(shí)是否需要設(shè)備授權(quán)通行的證明。 ?物理訪(fǎng)問(wèn)的風(fēng)險(xiǎn)基本是可以事先得到控制的，關(guān)鍵就是怎樣落實(shí)和實(shí)施，也就是制度的管理與落實(shí)。 黎連業(yè) 應(yīng)用環(huán)境的安全管理 ? 應(yīng)用環(huán)境控制可降低業(yè)務(wù)中斷的風(fēng)險(xiǎn)。監(jiān)控的項(xiàng)目包括電源、地面及空間狀態(tài)。 ? 應(yīng)用環(huán)境的風(fēng)險(xiǎn)來(lái)源 ? 環(huán)境風(fēng)險(xiǎn)主要來(lái)源是自然發(fā)生的意外災(zāi)害，然而適當(dāng)?shù)目刂瓶梢越档瓦@些風(fēng)險(xiǎn)。一般情況下，應(yīng)用環(huán)境的安全風(fēng)險(xiǎn)來(lái)源可能有： ? 天災(zāi)，地震、火山爆發(fā)、臺(tái)風(fēng)、龍卷風(fēng)、雷電等； ? 洪水； ? 停電； ? 電壓突變； ? 空調(diào)故障； ? 設(shè)備故障； ? 水害，甚至在有高架地板的建筑物中，水害仍是一項(xiàng)危機(jī)，因?yàn)榭赡馨l(fā)生水管爆裂的情況； ? 炸彈威脅與攻擊，恐怖活動(dòng)或戰(zhàn)爭(zhēng)； ? 計(jì)算機(jī)設(shè)備電源供應(yīng)是否能適當(dāng)控制在制造商的規(guī)格范圍內(nèi)； ? 計(jì)算機(jī)設(shè)備的空調(diào)、濕度、通風(fēng)控制系統(tǒng)是否能維持適當(dāng)溫度和濕度，以符合在制造商規(guī)格范圍內(nèi)； ? 計(jì)算機(jī)設(shè)備是否提供靜電保護(hù)，如防靜電地毯、抗靜電噴霧器； ? 計(jì)算機(jī)設(shè)備是否保持防塵、防煙及其他特殊物品如食品； ? 是否明文規(guī)定禁止在計(jì)算機(jī)設(shè)備旁就餐及吸煙； ? 是否提供避免下列因素危害備份磁盤(pán)及磁帶的措施，如極端溫度的損害，磁場(chǎng)的影響，水的侵害等。 黎連業(yè) 監(jiān)理安全管理策略概要 ? 對(duì)于應(yīng)用環(huán)境的監(jiān)理，可以從以下幾個(gè)方面： ? （ 1）火災(zāi)的控制 ? （ 2）水災(zāi) ? （ 3）計(jì)算機(jī)機(jī)房 黎連業(yè) 邏輯訪(fǎng)問(wèn)的安全管理 ? 在邏輯訪(fǎng)問(wèn)控制方面，監(jiān)理工程師應(yīng)著重分析并評(píng)估項(xiàng)目建設(shè)過(guò)程中的信息系統(tǒng)策略、組織結(jié)構(gòu)、業(yè)務(wù)流程及訪(fǎng)問(wèn)控制，以保護(hù)信息系統(tǒng)及數(shù)據(jù)，避免非法訪(fǎng)問(wèn)泄漏或損壞的發(fā)生。 ? 監(jiān)理在邏輯訪(fǎng)問(wèn)風(fēng)險(xiǎn)分析與安全管理上，主要的原則有： ? 了解信息處理的整體環(huán)境并評(píng)估其安全需求，可通過(guò)審查相關(guān)數(shù)據(jù)，詢(xún)問(wèn)有關(guān)人員，個(gè)人觀察及風(fēng)險(xiǎn)評(píng)估等； ? 通過(guò)對(duì)一些可能進(jìn)入系統(tǒng)訪(fǎng)問(wèn)路徑進(jìn)行記錄及復(fù)核，評(píng)價(jià)這些控制點(diǎn)的正確性、有效性。這種記錄及復(fù)核包括審核系統(tǒng)軟、硬件的安全管理，以確認(rèn)其控制弱點(diǎn)或重要點(diǎn)； ? 通過(guò)相關(guān)測(cè)試數(shù)據(jù)訪(fǎng)問(wèn)控制點(diǎn)，來(lái)評(píng)價(jià)安全系統(tǒng)的功能和有效性； ? 分析測(cè)試結(jié)果和其他審核結(jié)論，評(píng)價(jià)訪(fǎng)問(wèn)控制的環(huán)境并判斷是否達(dá)到控制目標(biāo)； ? 審核書(shū)面策略，觀察實(shí)際操作和流程，與一般公認(rèn)的信息安全標(biāo)準(zhǔn)相比較，評(píng)價(jià)組織環(huán)境的安全性及其適當(dāng)性等。 黎連業(yè) ? （ 1）數(shù)據(jù)篡改 ? 在原始數(shù)據(jù)輸入計(jì)算機(jī)之前被篡改。由于這種方法容易實(shí)現(xiàn)并在安全技術(shù)管理范圍之外，故被廣泛采用。 ? （ 2）特洛伊木馬 ? 特洛伊木馬是指將一些帶有惡意的、欺詐性的代碼置于己授權(quán)的計(jì)算機(jī)程序中，當(dāng)程序啟動(dòng)時(shí)這些代碼也會(huì)啟動(dòng)。典型的例子是在對(duì)方的系統(tǒng)中放置木馬，自動(dòng)監(jiān)控或獲取對(duì)方的個(gè)人信息。特洛伊木馬攻擊的表現(xiàn)形式對(duì)被攻擊者來(lái)說(shuō)并不直觀，甚至被攻擊者根本不知道已經(jīng)被入侵，因而它是一種危害性很大的網(wǎng)絡(luò)攻擊手段。 ? （ 3）去尾法 ? 將交易發(fā)生后計(jì)算出的金額 (如利息 )中小數(shù)點(diǎn)后的余額 (如分 )刪除并轉(zhuǎn)入某個(gè)未經(jīng)授權(quán)的賬戶(hù)，因?yàn)榻痤~微小而往往不被注意。 ? （ 4）色粒米技術(shù) ? 這是一種類(lèi)似去尾法的舞弊行為，不同的是將余額切分成更小金額，再轉(zhuǎn)入未授權(quán)賬戶(hù)。這種方法與去尾法的差異是 :去尾法是去除掉分，例如 :若交易金額為 $，則去尾法的金額為$，而色粒米技術(shù)是將尾數(shù)去除或進(jìn)位，例如上述問(wèn)題，則色米粒技術(shù)金額為 $ $，其計(jì)算方法是由程序設(shè)計(jì)來(lái)決定的。 ? （ 5）計(jì)算機(jī)病毒 , 口令入侵 ,網(wǎng)絡(luò)竊聽(tīng) ,拒絕服務(wù)攻擊（ DOS） 黎連業(yè) 病毒控制 ? 計(jì)算機(jī)病毒是當(dāng)前計(jì)算機(jī)面臨的最嚴(yán)重威脅現(xiàn)象之一。目前預(yù)防、偵測(cè)病毒感染的方法主要有兩種：一種是建立規(guī)范嚴(yán)謹(jǐn)?shù)墓芾聿呗耘c管理程序；另外一種是采用技術(shù)方法，如防病毒軟件。 ? （ 1）管理控制的策略有： ? 安裝正版軟件； ? 計(jì)算機(jī)開(kāi)機(jī)時(shí)，切記使用磁盤(pán)的寫(xiě)保護(hù)功能； ? 凡是未在單機(jī)中做病毒掃描的磁盤(pán)不允許在網(wǎng)絡(luò)環(huán)境中使用； ? 隨時(shí)更新病毒代碼庫(kù)； ? 對(duì)可能感染病毒的文件做寫(xiě)保護(hù) ? 安裝新軟件前的殺毒處理 ? 新磁盤(pán)