【正文】 替代操作167。 可能會(huì)遇到這樣的情況，問題發(fā)生時(shí)，手頭沒有可用的技術(shù)，任務(wù)又必須執(zhí)行下去。系統(tǒng)應(yīng)該提供一種替代操作方案。在恢復(fù)系統(tǒng)時(shí)可用替代系統(tǒng)工作，等問題解決后再替換過來。這一準(zhǔn)則對(duì)于戰(zhàn)時(shí)的軍事系統(tǒng)是必要的。2/2/2023 165信息 安全管理安全教育與培訓(xùn)策略167。 安全教育策略具體實(shí)施中應(yīng)有一定的層次：167。 主管信息安全工作的高級(jí)負(fù)責(zé)人或各級(jí)管理人員：重點(diǎn)是了解、掌握企業(yè)信息安全的整體策略及目標(biāo)、信息安全體系的構(gòu)成、安全管理部門的建立和管理制度的制定等；167。 負(fù)責(zé)信息安全運(yùn)行管理及維護(hù)的技術(shù)人員：重點(diǎn)是充分理解信息安全管理策略，掌握安全評(píng)估的基本方法，對(duì)安全操作和維護(hù)技術(shù)的合理運(yùn)用等。167。 用戶：重點(diǎn)是學(xué)習(xí)各種安全操作規(guī)程，了解和掌握與其相關(guān)的安全策略，包括自身應(yīng)承擔(dān)的安全職責(zé)等。2/2/2023 166信息 安全管理最終用戶策略167。 數(shù)據(jù)和應(yīng)用所有權(quán)：167。 硬件的使用：167。 互聯(lián)網(wǎng)的使用：167。 加固最終用戶：賬戶管理、補(bǔ)丁管 理、事件報(bào)告等制度167。 時(shí)時(shí)更新167。 強(qiáng)制執(zhí)行2/2/2023 167信息 安全管理簡單的安全培訓(xùn)策略167。 建立專門的機(jī)構(gòu)和崗位，負(fù)責(zé)組織范圍內(nèi)安全教育與培訓(xùn)計(jì)劃的制定和執(zhí)行；167。 制定詳細(xì)的安全教育和培訓(xùn)計(jì)劃，對(duì)信息安全技術(shù)和管理人員進(jìn)行安全專業(yè)知識(shí)技能培訓(xùn)，對(duì)普通用戶進(jìn)行安全基礎(chǔ)知識(shí)、安全策略和管理制度培訓(xùn)，提高人員的整體安全意識(shí)和安全操作水平；167。 管理機(jī)構(gòu)定期對(duì)安全教育和培訓(xùn)的成果進(jìn)行抽查和考核，檢驗(yàn)安全教育和培訓(xùn)活動(dòng)的效果。2/2/2023 168信息 安全管理可接受使用策略 AUP167。 在完成了大部分策略的編制工作后，需要對(duì)其進(jìn)行總結(jié)和提煉，產(chǎn)生的成果文檔被稱為 AUP。167。 AUP以終端用戶作為閱讀對(duì)象，具有簡短而突出重點(diǎn)的特點(diǎn)，被看作是一份信息安全策略的 “快速入門 ”文件。2/2/2023 169信息 安全管理AUP通常包含以下主要內(nèi)容167。 概述 ：描述什么事 AUP，企業(yè)、組織發(fā)布 AUP的目的，制定 AUP的原則以及一些必要的法律聲明等；167。 安全策略說明 ：說明制定 AUP所依據(jù)的信息安全策略，提示用戶信息安全策略的更便會(huì)影響到 AUP的修訂，并且告訴用戶從哪里可以獲得詳細(xì)的安全策略文檔；167。 術(shù)語說明： 將 AUP中涉及的術(shù)語名詞，以及 AUP簽署生效的有效時(shí)間進(jìn)行說明；167。 用戶責(zé)任： 對(duì)信息安全策略中所有涉及到用戶信息安全責(zé)任內(nèi)容，應(yīng)當(dāng)進(jìn)行總結(jié)和提煉，以簡單明了的語言進(jìn)行闡述，使得用戶充分了解自己對(duì)于企業(yè)、組織信息安全所承擔(dān)的責(zé)任和義務(wù)。2/2/2023 170信息 安全管理信息安全策略的執(zhí)行167。 當(dāng)安全策略編寫和批準(zhǔn)發(fā)布之后，應(yīng)當(dāng)建立保障手段確保安全策略被有效遵守和執(zhí)行，責(zé)任聲明和懲罰制度是最重要的保障手段，它應(yīng)該明確闡述違反安全策略的行為將要承擔(dān)什么樣的責(zé)任，接受哪些責(zé)任追究。所有制定好的安全策略、可接受使用策略以及保障策略執(zhí)行的制度，都要通過教育和培訓(xùn)，傳達(dá)給所有網(wǎng)絡(luò)和信息系統(tǒng)用戶。2/2/2023 171信息 安全管理信息安全策略的維護(hù)167。 信息安全策略審查周期通常為 6個(gè)月或 1年 ，或者在企業(yè)、組織業(yè)務(wù)模式以及支撐業(yè)務(wù)實(shí)現(xiàn)的信息技術(shù)發(fā)生重大變化時(shí)進(jìn)行。審查過程中最重要的內(nèi)容是從風(fēng)險(xiǎn)評(píng)估或者日志審計(jì)分析中所獲得的信息，其他有用的信息是從管理層得到的業(yè)務(wù)信息和業(yè)務(wù)過程信息，以及來自系統(tǒng)管理員和網(wǎng)絡(luò)管理員的信息反饋。167。 經(jīng)過修訂的安全策略，必須經(jīng)過高級(jí)管理層的批準(zhǔn)和發(fā)布。2/2/2023 172信息 安全管理第四節(jié) 信息安全技術(shù)167。 一、物理環(huán)境安全技術(shù)167。 二、通訊鏈路安全技術(shù)167。 三、網(wǎng)絡(luò)安全技術(shù)167。 四、系統(tǒng)安全技術(shù)167。 五、身份認(rèn)證安全技術(shù)2/2/2023 173信息 安全管理 物理環(huán)境安全技術(shù) 物理安全又叫實(shí)體安全（ Physical Security），是保護(hù)計(jì)算機(jī)設(shè)備、設(shè)施（網(wǎng)絡(luò)及通信線路）免遭地震、水災(zāi)、火災(zāi)、有害氣體和其他環(huán)境事故（如電磁污染等）破壞的措施和過程。 引言 實(shí)體安全技術(shù)主要是指對(duì)計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)的環(huán)境、場(chǎng)地、設(shè)備和通信線路等采取的安全技術(shù)措施。 物理安全技術(shù)實(shí)施的目的是保護(hù)計(jì)算機(jī)及通信線路免遭水、火、有害氣體和其他不利因素 (人為失誤、犯罪行為 )的損壞。 2/2/2023 174信息 安全管理 1）計(jì)算機(jī)及其網(wǎng)絡(luò)系統(tǒng)自身存在的脆弱性因素。 2）各種自然災(zāi)害導(dǎo)致的安全問題。 3）由于人為的錯(cuò)誤操作及各種計(jì)算機(jī)犯罪導(dǎo)致的安全問題。 物理安全包括：環(huán)境安全、電源系統(tǒng)安全、設(shè)備安全和通信線路安全。 影響計(jì)算機(jī)網(wǎng)絡(luò)實(shí)體安全的主要因素如下：2/2/2023 175信息 安全管理 物理 環(huán) 境安全的內(nèi)容 1)環(huán)境安全 ：應(yīng)具備消防報(bào)警、安全照明、不間斷供電、溫濕度控制系統(tǒng)和防盜報(bào)警。 2)電源系統(tǒng)安全 ：電源安全主要包括電力能源供應(yīng)、輸電線路安全、保持電源的穩(wěn)定性等。 3)設(shè)備安全 ：要保證硬件設(shè)備隨時(shí)處于良好的工作狀態(tài)，建立健全使用管理規(guī)章制度，建立設(shè)備運(yùn)行日志。同時(shí)要注意保護(hù)存儲(chǔ)媒體的安全性，包括存儲(chǔ)媒體自身和數(shù)據(jù)的安全。 4)通信線路安全 ：包括防止電磁信息的泄漏、線路截獲，以及抗電磁干擾。 2/2/2023 176信息 安全管理 物理環(huán)境安全包括以下主要內(nèi)容 : 1）計(jì)算機(jī)機(jī)房的場(chǎng)地、環(huán)境及各種因素對(duì)計(jì)算機(jī)設(shè)備的影響。 2）計(jì)算機(jī)機(jī)房的安全技術(shù)要求。 3）計(jì)算機(jī)的實(shí)體訪問控制。 4）計(jì)算機(jī)設(shè)備及場(chǎng)地的防火與防水。 5）計(jì)算機(jī)系統(tǒng)的靜電防護(hù)。 6）計(jì)算機(jī)設(shè)備及軟件、數(shù)據(jù)的防盜防破壞措施。 7）計(jì)算機(jī)中重要信息的磁介質(zhì)的處理、存儲(chǔ)和處理手續(xù)的有關(guān)問題。 物理環(huán)境安全的內(nèi)容2/2/2023 177信息 安全管理物理 環(huán) 境安全涉及的主要技 術(shù)標(biāo) 準(zhǔn) （ 1） GB/T 28872023 《 電 子 計(jì) 算機(jī) 場(chǎng) 地通用 規(guī) 范》 （ 2） GB/T 93611988 《 計(jì) 算站 場(chǎng) 地安全要求》 （ 3） GB/T 147151993 《 信息技術(shù)設(shè)備用 UPS通用技術(shù)條件 》 （ 4） GB 501741993 《 電 子 計(jì) 算機(jī)機(jī)房 設(shè)計(jì)規(guī) 范》 計(jì) 算機(jī)機(jī)房建 設(shè) 至少 應(yīng) 遵循國 標(biāo) GB/T 28872023和 GB/T 93611988， 滿 足防火、防磁、防水、防盜、防 電擊 、防蟲害等要求，并配 備 相 應(yīng) 的 設(shè)備 。 2/2/2023 178信息 安全管理環(huán) 境安全技 術(shù) 安全保 衛(wèi) 技 術(shù) 是 環(huán) 境安全技 術(shù) 的重要一 環(huán) ，主要的安全技 術(shù) 措施包括：防盜 報(bào) 警、 實(shí)時(shí)監(jiān) 控、安全 門 禁等。 計(jì) 算機(jī)機(jī)房的溫度、濕度 等 環(huán) 境條件保持技 術(shù) 可以通 過 加裝通 風(fēng)設(shè)備 、排煙 設(shè)備 、 專業(yè) 空 調(diào)設(shè)備 來 實(shí)現(xiàn) 。 計(jì) 算機(jī)機(jī)房的用 電 安全技 術(shù) 主要包括不同用途 電 源分離技術(shù) 、 電 源和 設(shè)備 有效接地技 術(shù) 、 電 源 過載 保 護(hù) 技 術(shù) 和防雷 擊技 術(shù) 等。 計(jì) 算機(jī)機(jī)房安全管理技 術(shù) 是指制定 嚴(yán) 格的 計(jì) 算機(jī)機(jī)房工作管理制度，并要求所有入機(jī)房的人 員嚴(yán) 格遵守管理制度，將制度落到 實(shí)處 。 2/2/2023 179信息 安全管理表 31 計(jì) 算機(jī)機(jī)房安全要求 (十：要求， — ：有要求或增加要求 ) 安全類別 A類 機(jī)房 B類 機(jī)房 C類 機(jī)房場(chǎng)地選擇 防火 內(nèi)部裝修 + 供配電系統(tǒng) + 空調(diào)系統(tǒng) + 火災(zāi)報(bào)警和消防設(shè)施+ 防水 + 防靜電 + 防雷擊 + 防鼠害 + 防電磁泄漏 場(chǎng)地選擇 2/2/2023 180信息 安全管理 機(jī)房安全要求 如何減少無關(guān)人員進(jìn)入機(jī)房的機(jī)會(huì)是計(jì)算機(jī)機(jī)房設(shè)計(jì)時(shí)首先要考慮的問題。 計(jì)算機(jī)機(jī)房最好不要安排在底層或頂層，這是因?yàn)榈讓右话爿^潮濕，而頂層有漏雨、穿窗而入的危險(xiǎn)。在較大的樓層內(nèi)，計(jì)算機(jī)機(jī)房應(yīng)靠近樓梯的一邊。 外來人員進(jìn)入手續(xù)。 計(jì) 算機(jī)機(jī)房所在建筑物的 結(jié) 構(gòu)安全 。 2/2/2023 181信息 安全管理機(jī)房防盜要求 ?視頻監(jiān)視 系 統(tǒng) 是一種更 為 可靠的防盜 設(shè)備 ， 能 對(duì)計(jì) 算機(jī)網(wǎng) 絡(luò) 系 統(tǒng) 的外 圍環(huán) 境、操作 環(huán) 境 進(jìn) 行 實(shí)時(shí) 全程 監(jiān) 控。 對(duì)重要的機(jī)房， 還應(yīng) 采取特 別 的防盜措施，如 值 班守 衛(wèi) 、出入口安裝金屬探 測(cè) 裝置等。 ?在需要保 護(hù) 的重要 設(shè)備 、存 儲(chǔ) 媒體和硬件上 貼 上特殊 標(biāo)簽 （如磁性 標(biāo)簽 ），當(dāng)有人非法攜 帶這 些重要 設(shè)備 或物品外出 時(shí) ， 檢測(cè) 器就會(huì) 發(fā) 出 報(bào) 警信號(hào)。 ?將每臺(tái)重要的 設(shè)備 通 過 光 纖電纜 串接起來，并使光束沿光 纖傳輸 ，如果光束 傳輸 受阻， 則 自 動(dòng)報(bào) 警。 2/2/2023 182信息 安全管理 機(jī)房三度要求 溫度、濕度和潔凈度并稱為三度 ，為保證計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行，對(duì)機(jī)房內(nèi)的三度都有明確的要求。為使機(jī)房內(nèi)的三度達(dá)到規(guī)定的要求，空調(diào)系統(tǒng)、去濕機(jī)、除塵器是必不可少的設(shè)備。重要的計(jì)算機(jī)系統(tǒng)安放處還應(yīng)配備專用的空調(diào)系統(tǒng)，它比公用的空調(diào)系統(tǒng)在加濕、除塵等方面有更高的要求。 溫度： 機(jī)房溫度一般 應(yīng) 控制在 18～ 22℃ 濕度： 相 對(duì) 濕度一般控制在 40％～ 60％ 為 宜 潔凈度： 塵 埃 顆 粒直徑 ，含 塵 量 1萬 顆 /升2/2/2023 183信息 安全管理 防火與防水要求 計(jì) 算機(jī)機(jī)房的火災(zāi)一般是由 電 氣原因、人 為 事故或外部火災(zāi)蔓延引起的。 計(jì) 算機(jī)機(jī)房的水災(zāi)一般是由機(jī)房內(nèi)有滲水、漏水等原因引起的。 為 避免火災(zāi)、水災(zāi)， 應(yīng) 采取如下具體措施 : （ 1）隔離 （ 2）火災(zāi) 報(bào) 警系 統(tǒng) （ 3） 滅 火 設(shè) 施 (4）管理措施 2/2/2023 184信息 安全管理 供 電 系 統(tǒng) 安全 電源是計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的命脈，電源系統(tǒng)的穩(wěn)定可靠是計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行的先決條件。電源系統(tǒng)電壓的波動(dòng)、浪涌電流和突然斷電等意外情況的發(fā)生還可能引起計(jì)算機(jī)系統(tǒng)存儲(chǔ)信息的丟失、存儲(chǔ)設(shè)備的損壞等情況的發(fā)生，電源系統(tǒng)的安全是計(jì)算機(jī)系統(tǒng)物理安全的一個(gè)重要組成部分。 GB/T 28872023將供電方式分為三類 : 一類供電：需要建立不間斷供電系統(tǒng)。 二類供電：需要建立帶備用的供電系統(tǒng)。 三類供電：按一般用戶供電考慮。 2/2/2023 185信息 安全管理 防靜 電 措施 不同物體 間 的相互摩擦、接觸會(huì) 產(chǎn) 生能量不大但 電壓非常高的靜 電 。如果靜 電 不能及 時(shí)釋 放，就可能 產(chǎn) 生火花，容易造成火災(zāi)或 損 壞芯片等意外事故。 計(jì) 算機(jī)系 統(tǒng) 的 CPU、 ROM、 RAM等關(guān) 鍵 部件大都采用 MOS工 藝 的大 規(guī) 模集成 電路， 對(duì) 靜 電 極 為 敏感，容易因靜 電 而 損 壞。 機(jī)房的內(nèi)裝修材料一般 應(yīng) 避免使用掛毯、地毯等吸塵 、容易 產(chǎn) 生靜 電 的材料，而 應(yīng) 采用乙 烯 材料。 為 了防靜電 ，機(jī)房一般要安裝防靜 電 地板 。 機(jī)房內(nèi) 應(yīng) 保持一定濕度，特 別 是在干燥季 節(jié)應(yīng) 適當(dāng)增加空氣濕度，以免因干燥而 產(chǎn) 生靜 電 。 2/2/2023 186信息 安全管理 接地與防雷要求 接地與防雷是保 護(hù)計(jì) 算機(jī)網(wǎng) 絡(luò) 系 統(tǒng) 和工作 場(chǎng) 所安全的重要安全措施。接地是指整個(gè) 計(jì) 算機(jī)系 統(tǒng) 中各 處電 位均以大地 電 位 為 零參考 電 位。接地可以 為計(jì) 算機(jī)系 統(tǒng) 的數(shù)字 電路提供一個(gè) 穩(wěn) 定的 0V參考 電 位，從而可以保 證設(shè)備 和人身的安全，同 時(shí) 也是防止 電 磁信息泄漏的有效手段。 要求良好接地的 設(shè)備 有：各種 計(jì) 算機(jī)外 圍設(shè)備 、多相位 變壓 器的中性 線 、 電纜 外套管、 電 子 報(bào) 警系 統(tǒng) 、隔離變壓 器、 電 源和信號(hào) 濾 波器、通信 設(shè)備 等。 計(jì) 算機(jī)房的接地系 統(tǒng) 要按 計(jì) 算機(jī)系 統(tǒng) 本身和 場(chǎng) 地的各種地 線 系 統(tǒng) 的 設(shè)計(jì) 要求進(jìn)行 具體 實(shí) 施。 2/2/2023 187信息 安全管理 硬件 設(shè)備 的 維護(hù) 和管理 1．硬件設(shè)備的使用管理 1）要根據(jù)硬件 設(shè)備 的具體配置情況，制定切 實(shí) 可行的硬件 設(shè)備 的操作使用 規(guī) 程，并 嚴(yán) 格按操作 規(guī) 程 進(jìn) 行操作。 2）建立 設(shè)備 使用情況日志，并 嚴(yán) 格登 記 使用 過 程的情況。 3）建立硬件 設(shè)備 故障情況登 記 表， 詳細(xì)記錄 故障性 質(zhì) 和修復(fù)情況。 4） 堅(jiān) 持 對(duì)設(shè)備進(jìn) 行例行 維護(hù) 和保養(yǎng)，并指定 專 人 負(fù)責(zé) 。 2．常用硬件 設(shè)備 的 維護(hù) 和保養(yǎng) 定期 檢查 供 電 系 統(tǒng) 的各種保 護(hù) 裝置及地 線 是否正常 對(duì)設(shè)備 的物理 訪問權(quán) 限限制在最小范 圍 內(nèi) 2/2/2023 188信息 安全管理電 磁兼容和 電 磁 輻 射的防 護(hù) 計(jì) 算