【正文】 使用時(shí)做病毒檢測(cè)； ? 確保在網(wǎng)絡(luò)環(huán)境中安裝、使用幾更新防病毒軟件； ? 文件加密和使用前解密； ? 授權(quán)方可更換必要的設(shè)備，如路由器、交換機(jī)等； ? 在網(wǎng)絡(luò)中不使用外單位的設(shè)備，如做商務(wù)演示時(shí)； ? 備份數(shù)據(jù)的殺度處理； ? 定期教育、檢查制度的執(zhí)行情況等。 黎連業(yè) 協(xié)助建設(shè)單位制定完善的安全策略 ? 為使得安全管理落到實(shí)處并持續(xù)改進(jìn)，關(guān)于信息安全管理策略的設(shè)計(jì)及目標(biāo)包含以下各點(diǎn)： ? （ 1） 來(lái)自領(lǐng)導(dǎo)的重視，通過(guò)對(duì)安全觀念的宣傳與貫徹，管理層必須表現(xiàn)出對(duì)安全策略支持到底的決心，尤其針對(duì)不了解其重要性的某些部門(mén)主管，更要加強(qiáng)培訓(xùn)，確保安全策略的全面整體落實(shí)。 ? （ 2） 控制原則，系統(tǒng)數(shù)據(jù)的訪問(wèn)應(yīng)該建立在“業(yè)務(wù)需要”的基礎(chǔ)上，也就是有業(yè)務(wù)上需要者才能訪問(wèn)信息系統(tǒng)，并且只能訪問(wèn)應(yīng)該使用的數(shù)據(jù)。 ? （ 3） 訪問(wèn)控制的授權(quán)與核準(zhǔn)，為方便用戶訪問(wèn)信息系統(tǒng)，負(fù)責(zé)系統(tǒng)信息正確使用及報(bào)告的主管應(yīng)提供給用戶書(shū)面授權(quán)及使用方法。主管人員應(yīng)該將此授權(quán)直接交給系統(tǒng)安全管理員，以避免此項(xiàng)授權(quán)被誤用或篡改。 ? （ 4） 訪問(wèn)授權(quán)的核準(zhǔn)與審查，同其他控制點(diǎn)一樣，訪問(wèn)控制應(yīng)該定期審查以確定其有效性。組織結(jié)構(gòu)或人員的改變，惡意破壞，甚至單純?nèi)藶槭韬鼍阋詫?duì)訪問(wèn)控制的功能造成負(fù)面的影響。因此，安全管理員通過(guò)相關(guān)人員的協(xié)助應(yīng)該定期 (至少每年一次 )檢查評(píng)估訪問(wèn)控制規(guī)則，任何系統(tǒng)或數(shù)據(jù)訪問(wèn)超越“業(yè)務(wù)需要”的原則，均應(yīng)禁止。 ? （ 5） 安全認(rèn)知及宣傳，應(yīng)通過(guò)培訓(xùn)、簽訂保密協(xié)議、安全規(guī)定明示、定期檢查等對(duì)建設(shè)單位或承建單位的員工包括管理人員，持續(xù)宣傳安全的重要性，牢固樹(shù)立“安全第一”的意識(shí)。 ? （ 6） 要讓每一位涉及信息系統(tǒng)安全的員工切實(shí)認(rèn)識(shí)到：熟知安全管理規(guī)定；建立安全意識(shí)，提高安全警覺(jué)，發(fā)現(xiàn)違反規(guī)定的可疑事件，主動(dòng)報(bào)請(qǐng)安全管理員處理；將登錄賬號(hào)及密碼放置在安全的地方，不得轉(zhuǎn)借給他人使用；維持良好安全管理習(xí)慣，如出門(mén)上鎖、不隨意泄露門(mén)鎖號(hào)碼、妥善保管鑰匙，主動(dòng)詢問(wèn)可疑的陌生人等。 ? 監(jiān)理工程師還要提醒建設(shè)單位：非本單位員工接觸有關(guān)的信息系統(tǒng)時(shí)也必須遵守安全管理規(guī)定，包括承建單位的服務(wù)人員、程序員、系統(tǒng)分析員、軟硬件維修人員和服務(wù)廠商的人員等。同時(shí)還要注意不應(yīng)泄露安全數(shù)據(jù)，提供給員工的安全策略手冊(cè)不應(yīng)刊登敏感度高的安全數(shù)據(jù)，如計(jì)算機(jī)密碼文檔名、技術(shù)安全架構(gòu)、基礎(chǔ)設(shè)施安全措施或系統(tǒng)軟件上的盲點(diǎn)等內(nèi)容。 黎連業(yè) 建議建設(shè)單位設(shè)立安全管理員并明確其職責(zé) ? 設(shè)立專(zhuān)職或兼職的安全管理員，是為了確保系統(tǒng)日常的系統(tǒng)安全，管理員的任務(wù)就是負(fù)責(zé)建立、監(jiān)控并執(zhí)行安全管理規(guī)定。安全管理員的主要職責(zé)和權(quán)利有： ? （ 1） 必須充分了解系統(tǒng)配置、系統(tǒng)組件本質(zhì)的安全弱點(diǎn)與安全政策，針對(duì)潛在的威脅，安全管理員必須發(fā)現(xiàn)可能對(duì)系統(tǒng)造成影響的脆弱點(diǎn)。 ? （ 2） 口令管理，包括其保護(hù)、分發(fā)、存儲(chǔ)、字符長(zhǎng)度與有效期。 ? （ 3） 必須分配有足夠的系統(tǒng)資源，以便其監(jiān)控操作更新及任何違反安全的行為。 ? （ 4） 在安全策略的指導(dǎo)下，通過(guò)口令、用戶無(wú)法改變的安全標(biāo)記、會(huì)話控制、屏幕鎖、軟件與操作系統(tǒng)補(bǔ)丁更新以及安全管理等機(jī)制建立或運(yùn)行一個(gè)安全系統(tǒng)。 ? （ 5） 必須通過(guò)監(jiān)控正確的文檔與站點(diǎn)及時(shí)掌握系統(tǒng)的潛在弱點(diǎn)，接受已發(fā)布的操作系統(tǒng)補(bǔ)丁與計(jì)算機(jī)應(yīng)急響應(yīng)組的建議。 ? （ 6） 鑒于職責(zé)劃分的原則，安全管理員不應(yīng)負(fù)責(zé)或介入應(yīng)用系統(tǒng)的開(kāi)發(fā)與維護(hù)，也不應(yīng)是系統(tǒng)用戶、程序員、系統(tǒng)分析員或計(jì)算機(jī)操作員。 黎連業(yè) 訪問(wèn)控制 ? 訪問(wèn)控制軟件可以禁止未經(jīng)授權(quán)的數(shù)據(jù)訪問(wèn)、系統(tǒng)功能的調(diào)用及程序的使用、修改或變更，察覺(jué)或防范未經(jīng)授權(quán)使用系統(tǒng)資源的企圖。系統(tǒng)安全軟件與操作系統(tǒng)互相配合，扮演所有系統(tǒng)安全的中心控制角色，在操作系統(tǒng)之上運(yùn)作，提供管理數(shù)據(jù)訪問(wèn)的功能。 ? （ 1）系統(tǒng)安全軟件通常執(zhí)行下列工作： ? 對(duì)用戶身份的驗(yàn)證； ? 授權(quán)使用預(yù)先定義的資源； ? 限制用戶從特定終端設(shè)備訪問(wèn)數(shù)據(jù)； ? 報(bào)告未經(jīng)授權(quán)訪問(wèn)數(shù)據(jù)及程序的企圖。 黎連業(yè) ? （ 2）訪問(wèn)控制軟件可以提供下列功能： ? 用戶在網(wǎng)絡(luò)和子系統(tǒng)層面的登錄驗(yàn)證； ? 用戶在應(yīng)用程序和交易類(lèi)別的驗(yàn)證； ? 用戶在數(shù)據(jù)庫(kù)中的驗(yàn)證； ? 用戶在子系統(tǒng)數(shù)據(jù)層面的驗(yàn)證。 黎連業(yè) ? （ 3）授權(quán)是訪問(wèn)控制軟件的最重要部分，有關(guān)授權(quán)的項(xiàng)目可以分為下列幾類(lèi)： ? 建立登錄賬戶和用戶授權(quán)使用的機(jī)制； ? 限制某些特殊賬號(hào)只能從某些特定的終端設(shè)備登錄； ? 在預(yù)定時(shí)間內(nèi)的訪問(wèn)； ? 從預(yù)先定義授權(quán)程序庫(kù)中調(diào)用程序執(zhí)行特定任務(wù)； ? 建立訪問(wèn)的規(guī)則； ? 建立個(gè)人賬戶管理和日志審計(jì)機(jī)制； ? 數(shù)據(jù)文檔和數(shù)據(jù)庫(kù)變更的記錄； ? 登錄事件的記錄； ? 記錄用戶的活動(dòng)； ? 記錄數(shù)據(jù)庫(kù)異常訪問(wèn)活動(dòng)，監(jiān)控違規(guī)事件； ? 報(bào)告生成及事件通知的功能。 黎連業(yè) 邏輯安全的處理方法 ? 監(jiān)理工程師在對(duì)建設(shè)單位提出邏輯安全的處理方法建議時(shí)，主要考慮的因素有： ? 驗(yàn)證技術(shù)，即身份認(rèn)證的方法，設(shè)定的基本原則是：只有你知道的事情，如帳號(hào)和密碼；只有你擁有的東西，如身份證、工作證；只有你具有的特征，如指紋、聲音、虹膜等； ? 帳號(hào)和密碼，雙層控制； ? 訪問(wèn)日志； ? 在線日志記錄； ? 生物特征安全訪問(wèn)控制； ? 終端設(shè)備使用限制； ? 控制撥號(hào)訪問(wèn)的回?fù)芗夹g(shù)； ? 限制并監(jiān)控系統(tǒng)的安全旁路； ? 數(shù)據(jù)保密分級(jí)； ? 保密數(shù)據(jù)的防護(hù)，通過(guò)邏輯或物理訪問(wèn)控制來(lái)避免未授權(quán)人閱讀或修改； ? 設(shè)定訪問(wèn)控制的命名規(guī)則； ? 安全測(cè)試等。 黎連業(yè) 架構(gòu)安全的信息網(wǎng)絡(luò)系統(tǒng) ? 需要關(guān)注的要點(diǎn)有： ? 由于未授權(quán)的變更導(dǎo)致數(shù)據(jù)和程序的完整性受損； ? 由于無(wú)法維護(hù)版本控制而缺乏對(duì)現(xiàn)有數(shù)據(jù)的保護(hù)； ? 由于缺少對(duì)用戶有效的訪問(wèn)驗(yàn)證及潛在的威脅 (如通過(guò)撥號(hào)連接非法訪問(wèn)局域網(wǎng)等 )； ? 病毒感染； ? 由于沒(méi)有遵守 需要知道 的授權(quán)原則，而導(dǎo)致數(shù)據(jù)存在不適當(dāng)?shù)谋┞讹L(fēng)險(xiǎn)； ? 侵犯軟件版權(quán) (如使用盜版或使用超過(guò)許可用戶數(shù)的軟件 )； ? 非法進(jìn)入 (如模仿或偽裝成一個(gè)合法的局域網(wǎng)用戶 )； ? 內(nèi)部用戶的非法竊取 (Sniffing)； ? 內(nèi)部用戶的電子欺騙 (Spoofing)； ? 登錄的資料被破壞。 黎連業(yè) ? 有效的網(wǎng)絡(luò)安全管理有： ? 聲明程序、文件幾儲(chǔ)存介質(zhì)的所有權(quán)； ? 限制訪問(wèn)時(shí)只能執(zhí)行寫(xiě)保護(hù)； ? 監(jiān)理記錄及文件鎖定以防同時(shí)更新； ? 強(qiáng)制用戶執(zhí)行帳號(hào)與密碼登錄程序，包括密碼長(zhǎng)度、格式和定期更換的規(guī)則等。 黎連業(yè) 防火墻 ? 防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)建設(shè)單位的安全政策控制（允許、拒絕、監(jiān)測(cè)）出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。 黎連業(yè) ? 防火墻作為主要的安全產(chǎn)品有以下幾種分類(lèi)方式： ? 按照采用的防御技術(shù)方式，可以分為包過(guò)濾防火墻、應(yīng)用網(wǎng)關(guān)防火墻和復(fù)合防火墻； ? 按照防火墻存在形式，可以分為硬件防火墻、軟件防火墻和軟硬結(jié)合防火墻； ? 按照應(yīng)用對(duì)象類(lèi)型，可以分為企業(yè)級(jí)防火墻和個(gè)人防火墻； ? 按照支持網(wǎng)絡(luò)吞吐能力，可以分為百兆防火墻和千兆防火墻 黎連業(yè) ? 入侵檢測(cè)系統(tǒng)執(zhí)行的主要任務(wù)包括： ? 監(jiān)視、分析用戶及系統(tǒng)活動(dòng)；審計(jì)系統(tǒng)構(gòu)造和弱點(diǎn)； ? 識(shí)別、反映已知進(jìn)攻的活動(dòng)模式，向相關(guān)人士報(bào)警； ? 統(tǒng)計(jì)分析異常行為模式；