【正文】 的服務(wù)和功能不會因此而間斷。也就是說，一旦意外發(fā)生，備份技術(shù)只保證數(shù)據(jù)可以恢復(fù)，但是恢復(fù)過程需要一定的時間，在此期間，系統(tǒng)是不可用的。 信息災(zāi)難恢復(fù)規(guī)劃 ?備份技術(shù)的目的，是將整個系統(tǒng)的數(shù)據(jù)或狀態(tài)保存下來，這種方式不僅可以挽回硬件設(shè)備壞損帶來的損失，也可以挽回邏輯錯誤和人為惡意破壞的損失。對最終用戶來說，可把這個集群系統(tǒng)當(dāng)作一個虛擬的服務(wù)器來使用。雖然這些技術(shù)都是為了消除或減弱意外事件給系統(tǒng)帶來的影響，但是，由于其側(cè)重的方向不同，實現(xiàn)的手段和產(chǎn)生的效果也不盡相同。 信息災(zāi)難恢復(fù)規(guī)劃 ?在前面的學(xué)習(xí)中，我們了解了“數(shù)據(jù)備份”的有關(guān)知識，這一部分我們繼續(xù)學(xué)習(xí)與之相關(guān)的“容災(zāi)技術(shù)”和“信息災(zāi)難恢復(fù)規(guī)劃”。 實訓(xùn)與思考 ?本節(jié)“實訓(xùn)與思考”的目的是： – (1) 熟悉信息安全管理的基本概念和內(nèi)容。 信息安全工程的實施與監(jiān)理 ?信息安全工程的實施是為信息與網(wǎng)絡(luò)系統(tǒng)設(shè)計實現(xiàn)安全防護體系的最后一個階段，包含了很多領(lǐng)域的內(nèi)容，其中最關(guān)鍵的一點是要保證安全工程的質(zhì)量和避免重復(fù)建設(shè)。為了便于安全體系的統(tǒng)一運轉(zhuǎn)，發(fā)揮各個功能組件的功能，必須對體系實施集中的管理。為了減少由于安全事故造成的損失，必須規(guī)定必要的恢復(fù)措施，能夠使系統(tǒng)盡快地恢復(fù)正常的運轉(zhuǎn)，并對重要的信息進行周期性的備份。 – 12) 災(zāi)難恢復(fù)與備份。 信息安全工程的設(shè)計步驟 – 11) 病毒防治。桌面系統(tǒng)包含著用戶能夠直接接觸到的信息資源，也是訪問信息系統(tǒng)的一個入口，對它的管理和使用不當(dāng)會造成敏感信息的泄露。需要規(guī)定可以采取的安全措施。鏈路層是網(wǎng)絡(luò)協(xié)議的下層協(xié)議，針對它的攻擊一般是破壞鏈路通信，竊取傳輸?shù)臄?shù)據(jù)。為了達到這個目的，需要規(guī)定所采用的數(shù)據(jù)庫系統(tǒng)的類型、管理、使用制度與方式。 – 8) 數(shù)據(jù)庫安全。 – 7) 應(yīng)用安全。需要對用戶的身份和操作的合法性進行檢查。為了實現(xiàn)這個目的，可以來用不同安全級別的操作系統(tǒng)，或者在現(xiàn)有的操作系統(tǒng)上添加安全外殼。 – 5) 系統(tǒng)安全。 信息安全工程的設(shè)計步驟 – 4) 安全邊界。 – 3) 信息管理。 信息安全工程的設(shè)計步驟 – 2) 行為管理。一個完整的安全體系應(yīng)該包含以下幾個基本的部分： – 1) 風(fēng)險管理。要想保持分析結(jié)果的有效性，必須保證結(jié)果時刻最新，安全需求分析的過程也應(yīng)該與系統(tǒng)同步發(fā)展。由于基于網(wǎng)絡(luò)的應(yīng)用很多，供應(yīng)商很多，所以存在的安全問題很多，相應(yīng)的安全防護技術(shù)也很多，需要根據(jù)實際情況來衡量對它們的需求程度。 信息安全工程的設(shè)計步驟 – 5) 應(yīng)用層。因此，針對網(wǎng)絡(luò)層的攻擊和破壞很多。操作系統(tǒng)是信息網(wǎng)絡(luò)系統(tǒng)的基礎(chǔ)平臺，要研究為保證安全，應(yīng)該要求操作平臺達到什么樣的安全級別？為達到所要求的級別，應(yīng)該選用什么樣的操作系統(tǒng)？如何使用、管理、配置操作系統(tǒng)？ 信息安全工程的設(shè)計步驟 – 4) 網(wǎng)絡(luò)層。物理層的安全需求分析就是根據(jù)單位的實際情況，確定單位各實體財產(chǎn)的安全級別，需要什么程度的安全防護？達到什么樣的安全目的？ 信息安全工程的設(shè)計步驟 – 3) 系統(tǒng)層。物理層的安全就是保證實體財產(chǎn)的安全。 信息安全工程的設(shè)計步驟 – 管理層的安全需求分析就是研究為了保證系統(tǒng)的安全，應(yīng)該建立一個怎樣的管理體制。一個嚴密、完整的管理體制，不但可以最大限度地在確保在信息安全的前提下實現(xiàn)信息資源共享，而且可以彌補技術(shù)性安全隱患的部分弱點。一般情況下，要考慮以下 5個層次的安全需求： – 1) 管理層。安全需求分析工作是在安全風(fēng)險分析與評估工作的基礎(chǔ)上進行的。因此，要注意定期根據(jù)相關(guān)因素的變化，進行安全策略的修改，保證安全策略的可用性。 信息安全工程的設(shè)計步驟 ?(2) 制定信息安全策略 ?信息安全策略的制定過程是一個循序漸進、不斷完善的過程，在制定時必須兼顧它的可理解性、技術(shù)上的可實現(xiàn)性、組織上的可執(zhí)行性。對一個企業(yè)來說，解決信息安全的首要問題就是明白企業(yè)信息與網(wǎng)絡(luò)系統(tǒng)目前與未來的風(fēng)險所在，充分評估這些風(fēng)險可能帶來的威脅與影響的程度，做到“對癥下藥”，這就是信息與網(wǎng)絡(luò)系統(tǒng)的風(fēng)險分析與評估。 信息安全工程的設(shè)計步驟 ?信息安全工程的設(shè)計包括信息安全風(fēng)險分析與評估、制定信息安全策略、需求分析和設(shè)計企業(yè)信息系統(tǒng)的安全體系等幾個方面。 信息安全工程的設(shè)計原則 – (9) 易操作性原則。 – (8) 動態(tài)發(fā)展原則。是指安全層次和安全級別。隨著規(guī)模的擴大及應(yīng)用的增加，應(yīng)用和復(fù)雜程度的變化，調(diào)整或增強安全防護力度，保證最根本的安全需求。由于政策規(guī)定或服務(wù)需求的不明朗，環(huán)境、條件與時間的變化，攻擊手段的進步等，安全防護不可能一步到位。因此，必須將各種安全技術(shù)與運行管理機制、人員思想教育與技術(shù)培訓(xùn)、安全規(guī)章制度建設(shè)相結(jié)合。 – (5) 技術(shù)與管理相結(jié)合原則。 信息安全工程的設(shè)計原則 – (4) 標準化與一致性原則。安全體系設(shè)計要正確處理需求、風(fēng)險與代價的關(guān)系，做到安全性與可用性相容。任何網(wǎng)絡(luò)都難以達到絕對的安全，況且也不一定是必要的。因此，信息安全系統(tǒng)應(yīng)該包括安全防護機制、安全檢測機制和安全恢復(fù)機制。 信息安全工程的設(shè)計原則 – (2) 整體性原則。充分、全面、完整地對系統(tǒng)的安全漏洞和安全威脅進行分析，評估和檢測 (包括模擬攻擊 ) 是設(shè)計信息安全系統(tǒng)的必要前提條件。 信息安全工程的設(shè)計原則 – (1) 木桶原則。信息安全工程采用工程的概念、原理、技術(shù)和方法，來研究、開發(fā)、實施與維護企業(yè)級信息與網(wǎng)絡(luò)系統(tǒng)安全的過程，它是將經(jīng)過時間考驗證明是正確的工程實施流程、管理技術(shù)和當(dāng)前能夠得到的最好的技術(shù)方法相結(jié)合的過程。我國憲法明確規(guī)定了公民具有保守國家秘密的義務(wù)；基本法律中有 《 保守國家秘密法 》 、 《 刑法 》 分則中的相關(guān)規(guī)定； 信息安全的法律保障 ?行政法規(guī)有 《 中華人民共和國計算機信息系統(tǒng)安全保護條例 》 、 《 中華人民共和國計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定 》 、 《 計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法 》 等；此外，大量的行政規(guī)章和地方性法規(guī)也對計算機信息系統(tǒng)安全做了規(guī)定。BS77992標準主要用于對組織進行信息安全管理體系的認證，因此，組織在建立信息安全管理體系時，必須考慮滿足 BS77992的要求。該標準不是認證標準，但組織在建立和實施信息安全管理體系時，可考慮采取該標準建議性的措施。 信息安全管理標準 ?其中， BS7799l目前已正式轉(zhuǎn)換成 ISO國際標準，即 《 信息安全管理體系實施指南 》 ISO17799，并于 2023年 12月 1日頒布。 ?BS7799是英國標準協(xié)會 (BSI) 制定的在國際上具有代表性的信息安全管理體系標準。 信息安全管理制度 ?此外，在信息安全管理的具體實施過程中還應(yīng)遵循如分權(quán)制衡、最小特權(quán)、職權(quán)分離、普遍參與、獨立審計等一些原則。 – 10) 均衡防護。 – 9) 成本效益。 信息安全管理制度 – 8) 動態(tài)。 – 7) 風(fēng)險評估。 – 6) 預(yù)防。 – 5) 首長負責(zé)。 信息安全管理制度 – 4) 以人為本。 – 3) 綜合保障。 – 2) 系統(tǒng)化。 信息安全管理制度 ?制定信息安全管理制度應(yīng)遵循如下原則： – 1) 規(guī)范化。信息安全管理制度是保證信息安全的基礎(chǔ)，需要通過一系列規(guī)章制度的實施，來確保各類人員按照規(guī)定的職責(zé)行事，做到各行其職、各負其責(zé)，避免責(zé)任事故的發(fā)生和防止惡意侵犯。因為工作的需要或不適合繼續(xù)做信息安全工作而調(diào)離崗位的，必須要求其履行保密協(xié)議，承諾保密事項，并交出有關(guān)的資料或證件。要注意合理分配權(quán)限，將權(quán)限控制在合理范圍內(nèi)，以便于相互制約。對從事信息安全工作的各類人員要從思想作風(fēng)、工作態(tài)度、遵守規(guī)章制度、業(yè)務(wù)能力等方面定期進行考核。培訓(xùn)的內(nèi)容包括法律法規(guī)、職業(yè)道德、技術(shù)技能等方面。 信息安全機構(gòu)和隊伍 – 4) 人員培訓(xùn)。 – 3) 持證上崗。 – 2) 簽訂保密協(xié)定。 信息安全機構(gòu)和隊伍 ?因此，對安全人員的管理應(yīng)該是全方位的，其主要原則包括： – 1) 人員審查。 信息安全機構(gòu)和隊伍 ?對信息安全工作