【正文】 ? 在網(wǎng)絡(luò)中不使用外單位的設(shè)備，如做商務(wù)演示時； ? 備份數(shù)據(jù)的殺度處理； ? 定期教育、檢查制度的執(zhí)行情況等。 ? （ 5）計算機病毒 , 口令入侵 ,網(wǎng)絡(luò)竊聽 ,拒絕服務(wù)攻擊（ DOS） 黎連業(yè) 病毒控制 ? 計算機病毒是當(dāng)前計算機面臨的最嚴(yán)重威脅現(xiàn)象之一。 ? （ 4）色粒米技術(shù) ? 這是一種類似去尾法的舞弊行為，不同的是將余額切分成更小金額，再轉(zhuǎn)入未授權(quán)賬戶。特洛伊木馬攻擊的表現(xiàn)形式對被攻擊者來說并不直觀，甚至被攻擊者根本不知道已經(jīng)被入侵，因而它是一種危害性很大的網(wǎng)絡(luò)攻擊手段。 ? （ 2）特洛伊木馬 ? 特洛伊木馬是指將一些帶有惡意的、欺詐性的代碼置于己授權(quán)的計算機程序中，當(dāng)程序啟動時這些代碼也會啟動。 黎連業(yè) ? （ 1）數(shù)據(jù)篡改 ? 在原始數(shù)據(jù)輸入計算機之前被篡改。 ? 監(jiān)理在邏輯訪問風(fēng)險分析與安全管理上，主要的原則有： ? 了解信息處理的整體環(huán)境并評估其安全需求，可通過審查相關(guān)數(shù)據(jù)，詢問有關(guān)人員，個人觀察及風(fēng)險評估等； ? 通過對一些可能進入系統(tǒng)訪問路徑進行記錄及復(fù)核，評價這些控制點的正確性、有效性。一般情況下，應(yīng)用環(huán)境的安全風(fēng)險來源可能有： ? 天災(zāi)，地震、火山爆發(fā)、臺風(fēng)、龍卷風(fēng)、雷電等； ? 洪水； ? 停電； ? 電壓突變； ? 空調(diào)故障； ? 設(shè)備故障； ? 水害，甚至在有高架地板的建筑物中，水害仍是一項危機，因為可能發(fā)生水管爆裂的情況； ? 炸彈威脅與攻擊，恐怖活動或戰(zhàn)爭； ? 計算機設(shè)備電源供應(yīng)是否能適當(dāng)控制在制造商的規(guī)格范圍內(nèi)； ? 計算機設(shè)備的空調(diào)、濕度、通風(fēng)控制系統(tǒng)是否能維持適當(dāng)溫度和濕度，以符合在制造商規(guī)格范圍內(nèi)； ? 計算機設(shè)備是否提供靜電保護，如防靜電地毯、抗靜電噴霧器； ? 計算機設(shè)備是否保持防塵、防煙及其他特殊物品如食品； ? 是否明文規(guī)定禁止在計算機設(shè)備旁就餐及吸煙； ? 是否提供避免下列因素危害備份磁盤及磁帶的措施，如極端溫度的損害，磁場的影響，水的侵害等。監(jiān)控的項目包括電源、地面及空間狀態(tài)。 ?物理訪問的風(fēng)險基本是可以事先得到控制的，關(guān)鍵就是怎樣落實和實施，也就是制度的管理與落實。 黎連業(yè) 監(jiān)理安全管理注意事項 ? 物理訪問控制的風(fēng)險多半可能來自那些惡意或犯罪傾向的行為。 黎連業(yè) 物理訪問的風(fēng)險來源 ? 物理訪問的風(fēng)險原因可能會來自有意或無意的違犯，這些風(fēng)險包括： ? 未經(jīng)授權(quán)進入； ? 毀損、破壞或竊取設(shè)備、財產(chǎn)或文件； ? 拷貝或偷看敏感或有著作權(quán)的信息； ? 變更敏感性設(shè)備及信息； ? 公開敏感的信息； ? 濫用數(shù)據(jù)處理資源； ? 勒索； ? 盜用。 ? 物理訪問的定義 ? 物理訪問的風(fēng)險來源 ? 可能的錯誤或犯罪 ? 監(jiān)理安全管理注意事項 黎連業(yè) 物理訪問的定義 ? 物理訪問控制是設(shè)計用以保護組織防止未授權(quán)的訪問，并限制只有經(jīng)過管理階層授權(quán)的人員才能進入。 ? （ 6）數(shù)據(jù)完整性與有效性控制 ? （ 7）文檔管理 ? （ 8）安全教育與培訓(xùn) 黎連業(yè) 安全管理制度與監(jiān)理實施 ? 通常情況下信息系統(tǒng)實施安全管理的有關(guān)制度包括： ? 計算機信息網(wǎng)絡(luò)系統(tǒng)出入管理制度； ? 計算機信息網(wǎng)絡(luò)系統(tǒng)各工作崗位的工作職責(zé)、操作規(guī)程； ? 計算機信息網(wǎng)絡(luò)系統(tǒng)升級、維護制度； ? 計算機信息網(wǎng)絡(luò)系統(tǒng)工作人員人事管理制度； ? 計算機信息網(wǎng)絡(luò)系統(tǒng)安全檢查制度； ? 計算機信息網(wǎng)絡(luò)系統(tǒng)應(yīng)急制度； ? 計算機信息網(wǎng)絡(luò)系統(tǒng)信息資料處理制度； ? 計算機信息網(wǎng)絡(luò)系統(tǒng)工作人員安全教育、培訓(xùn)制度； ? 計算機信息網(wǎng)絡(luò)系統(tǒng)工作人員循環(huán)任職、強制休假制度等。 ? （ 4）制定突發(fā)事件的應(yīng)急計劃 ? 監(jiān)理工程師要建議、提醒建設(shè)單位必須針對不同的系統(tǒng)故障或災(zāi)難制定應(yīng)急計劃，編寫緊急故障恢復(fù)操作指南，并對每個崗位的工作人員按照所擔(dān)任角色和負(fù)有的責(zé)任進行培訓(xùn)和演練。特別應(yīng)當(dāng)注意對便攜式計算機建立安全保管制度，如果其中保存了敏感數(shù)據(jù)應(yīng)進行加密，避免丟失或被盜時造成數(shù)據(jù)泄露。 ? 數(shù)據(jù)安全，數(shù)據(jù)泄露一般有三種途徑 :直接獲取，在傳輸中截獲，通過電磁輻射泄露。 ? 建筑物安全，要考慮建筑物防火、地震，結(jié)構(gòu)擁塌、漏水等造成的風(fēng)險。 黎連業(yè) ? 物理與環(huán)境保護 ? 對于物理與環(huán)境保護，監(jiān)理工程師要建議建設(shè)單位主要從以下幾個方面考慮： ? 物理訪問控制，在重要區(qū)域限制人員的進出。 授權(quán)分散化，對于關(guān)鍵的任務(wù)必須在功能上進行劃分，由多人來共同承擔(dān)，保證沒有任何個人具有完成任務(wù)的全部授權(quán)或信息。實體安全教育應(yīng)該了解計算機機房的安全技術(shù)要求、實體訪問控制；計算機系統(tǒng)的靜電防護等。運行安全教育應(yīng)該了解 :信息系統(tǒng)的安全運行與管理、計算機系統(tǒng)的維護、機房環(huán)境的監(jiān)測及維護、隨機故障的維修、風(fēng)險分析、應(yīng)急、恢復(fù)與備份。 ? 網(wǎng)絡(luò)安全教育 ：熟練掌握計算機網(wǎng)絡(luò)安全方法學(xué)；可信網(wǎng)絡(luò)指導(dǎo)標(biāo)準(zhǔn)；網(wǎng)絡(luò)安全模型；計算機網(wǎng)絡(luò)安全設(shè)計方法。 黎連業(yè) ? 安全基礎(chǔ)知識教育包括網(wǎng)絡(luò)安全教育、運行安全教育、實體安全教育、安全技術(shù)基礎(chǔ)知識等。 黎連業(yè) ? 凡是與信息系統(tǒng)安全有關(guān)的所有人員都可以列為信息系統(tǒng)安全教育的對象： ? 領(lǐng)導(dǎo)與管理人員； ? 計算機工程人員，包括研究開發(fā)人員和維護應(yīng)用人員； ? 計算機廠商的有關(guān)人員； ? 一般用戶； ? 計算機安全管理部門的工作人員； ? 法律工作人員； ? 其他有關(guān)人員。信息系統(tǒng)安全教育是建設(shè)單位或承建單位保證信息系統(tǒng)安全的重要組成部分，是信息安全體系建設(shè)不可缺少的一項重要工作內(nèi)容。 黎連業(yè) 基層計算機信息網(wǎng)絡(luò)應(yīng)用單位的網(wǎng)絡(luò)安全管理組織機構(gòu)設(shè)置 : 應(yīng) 用 單 位 最 高 領(lǐng) 導(dǎo)高 層 組 織 管 理人 事 部 門 負(fù) 責(zé) 人 保 衛(wèi) 部 門 負(fù) 責(zé) 人 信 息 中 心 負(fù) 責(zé) 人 專 家安 全 審 計 安 全 管 理 安 全 保 衛(wèi)系 統(tǒng) 管 理系 統(tǒng) 操 作 黎連業(yè) 監(jiān)理在信息安全管理中的作用 ? 監(jiān)理在信息系統(tǒng)安全管理的作用如下： ?保證建設(shè)單位在信息系統(tǒng)工程項目建設(shè)過程中，保證信息系統(tǒng)的安全在可用性、保密性、完整性與信息系統(tǒng)工程的可維護性技術(shù)環(huán)節(jié)上沒有沖突； ?在成本控制的前提下，確保信息系統(tǒng)安全設(shè)計上沒有漏洞； ?督促建設(shè)單位的信息系統(tǒng)工程應(yīng)用人員在安全管理制度和安全規(guī)范下嚴(yán)格執(zhí)行安全操作和管理，建立安全意識； ?監(jiān)督承建單位按照技術(shù)標(biāo)準(zhǔn)和建設(shè)方案施工，檢查承建單位是否存在設(shè)計過程中的非安全隱患行為或現(xiàn)象等，確保整個項目建設(shè)過程中的安全建設(shè)和安全應(yīng)用。管理安全設(shè)置的機制有：人員管理、培訓(xùn)管理、應(yīng)用系統(tǒng)管理、軟件管理、設(shè)備管理、文檔管理、數(shù)據(jù)管理、操作管理、運行管理和機房管理 。 黎連業(yè) 管理體系 ? 管理是信息系統(tǒng)安全的靈魂。管理層是決策層的日常管理機關(guān)，根據(jù)決策機構(gòu)的決定，全面規(guī)劃并協(xié)調(diào)各方面力量，實施信息系統(tǒng)的安全方案，制定、修改安全策略，處理安全事故，設(shè)置安全相關(guān)的崗位。 ? 應(yīng)用安全 是保障相關(guān)業(yè)務(wù)在計算機網(wǎng)絡(luò)系統(tǒng)上安全運行 ? 運行安全 是保障系統(tǒng)安全性的穩(wěn)定 黎連業(yè) 組織機構(gòu)體系 ? 組織機構(gòu)體系是信息系統(tǒng)的組織保障系統(tǒng)，由機構(gòu)、崗位和人事三個模塊構(gòu)成，一個機構(gòu)設(shè)置分為 :決策層、管理層和執(zhí)行層。 平臺安全 泛指操作系統(tǒng)和通用基礎(chǔ)服務(wù)安全，主要用于防范黑客攻擊手段，目前市場上大多數(shù)安全產(chǎn)品均限于解決平臺安全，包括以下內(nèi)容： ? 操作系統(tǒng)漏洞檢測與修復(fù)，包括： Unix系統(tǒng)、Windows系統(tǒng)、網(wǎng)絡(luò)協(xié)議；