企業(yè)信息安全整體方案設(shè)計(jì)

企業(yè)信息安全整體方案設(shè)計(jì)一、企業(yè)安全背景與現(xiàn)狀全球信息網(wǎng)的出現(xiàn)和信息化社會(huì)的來臨，使得社會(huì)的生產(chǎn)方 式發(fā)生深刻的變化。 面對(duì)著激烈的市場(chǎng)競(jìng)爭(zhēng)， 公司對(duì)信息的收集、傳輸、加工、存貯、查詢以及預(yù)測(cè)決策等工作量越來越大，原來的電腦只是停留在單機(jī)工作的模式，各科室間的數(shù)據(jù)不能實(shí)現(xiàn)共享，致使工作效率大大下降，純粹手工管理方式和手段已不能適應(yīng)需求，這將嚴(yán)重妨礙公司的生存和發(fā)展。1. 企業(yè)組織機(jī)構(gòu)和信息系統(tǒng)簡(jiǎn)介該企業(yè)包括生產(chǎn)，市場(chǎng)，財(cái)務(wù)，資源等部門.該企業(yè)的的信息系統(tǒng)包括公司內(nèi)部員工信息交流，部門之間的消息公告，還有企業(yè)總部和各地的分公司、辦事處以及出差的員工需要實(shí)時(shí)地進(jìn)行信息傳輸和資源共享等。2. 用戶安全需求分析在日常的企業(yè)辦公中，企業(yè)總部和各地的分公司、辦事處以及出差的員工需要實(shí)時(shí)地進(jìn)行信息傳輸和資源共享等，企業(yè)之間-可編輯修改 -的業(yè)務(wù)來往越來越多地依賴于網(wǎng)絡(luò)。但是由于互聯(lián)網(wǎng)的開放性和通信協(xié)議原始設(shè)計(jì)的局限性影響，所有信息采用明文傳輸，導(dǎo)致互聯(lián)網(wǎng)的安全性問題日益嚴(yán)重，非法訪問、網(wǎng)絡(luò)攻擊、信息竊取等頻頻發(fā)生，給公司的正常運(yùn)行帶來安全隱患，甚至造成不可估量的損失。3. 信息安全威脅類型目前企業(yè)信息化的安全威脅主要來自以下幾個(gè)方面：（1） 、來自網(wǎng)絡(luò)攻擊的威脅，會(huì)造成我們的服務(wù)器或者工作站癱瘓。（2） 、來自信息竊取的威脅，造成我們的商業(yè)機(jī)密泄漏，內(nèi)部服務(wù)器被非法訪問， 破壞傳輸信息的完整性或者被直接假冒。（3） 、來自公共網(wǎng)絡(luò)中計(jì)算機(jī)病毒的威脅，造成服務(wù)器或者工作站被計(jì)算機(jī)病毒感染，而使系統(tǒng)崩潰或陷入癱瘓，甚至造成網(wǎng)絡(luò)癱瘓。（4） 、 管理及操作人員缺乏安全知識(shí)。由于信息和網(wǎng)絡(luò)技術(shù)發(fā)展迅猛，信息的應(yīng)用和安全技術(shù)相對(duì)滯后，用戶在引入和采用安全設(shè)備和系統(tǒng)時(shí)，缺乏全面和深入的培訓(xùn)和學(xué)習(xí)，對(duì)信息安全的重要性與技術(shù)認(rèn)識(shí)不足，很容易使安全設(shè)備系統(tǒng)成為擺設(shè)，不能使其發(fā)揮正確的作用。如本來對(duì)某些通信和操作需要限制， 為了方便，設(shè)置成全開放狀態(tài)等等，從而出現(xiàn)網(wǎng)絡(luò)漏洞。（5） 、 雷擊。由于網(wǎng)絡(luò)系統(tǒng)中涉及很多的網(wǎng)絡(luò)設(shè)備、終端、線路等，而這些都是通過通信電纜進(jìn)行傳輸，因此極易受到雷擊， 造成連鎖反應(yīng)，使整個(gè)網(wǎng)絡(luò)癱瘓，設(shè)備損壞，造成嚴(yán)重后果。二企業(yè)安全需求分析1、對(duì)信息的保護(hù)方式進(jìn)行安全需求分析該企業(yè)目前已建成覆蓋整個(gè)企業(yè)的網(wǎng)絡(luò)平臺(tái)，網(wǎng)絡(luò)設(shè)備以cisco 為主。在數(shù)據(jù)通信方面，以企業(yè)所在地為中心與數(shù)個(gè)城市通過 1m 幀中繼專線實(shí)現(xiàn)點(diǎn)對(duì)點(diǎn)連接，其他城市和移動(dòng)用戶使用adsl 、cdma 登錄互聯(lián)網(wǎng)后通過vpn 連接到企業(yè)內(nèi)網(wǎng)， 或者通過 pstn 撥號(hào)連接。在公司的網(wǎng)絡(luò)平臺(tái)上運(yùn)行著辦公自動(dòng)化系統(tǒng)、sap 的 erp 系統(tǒng)、電子郵件系統(tǒng)、網(wǎng)絡(luò)視頻會(huì)議系統(tǒng)、voip 語(yǔ)音系統(tǒng)、企業(yè) web 網(wǎng)站，以及 fhs 自動(dòng)加油系統(tǒng)接口、互聯(lián)網(wǎng)接入、網(wǎng)上銀行等數(shù)字化應(yīng)用，對(duì)企業(yè)的日常辦公和經(jīng)營(yíng)管理起 到重要的支撐作用。根據(jù)企業(yè)網(wǎng)絡(luò)現(xiàn)狀及發(fā)展趨勢(shì)，對(duì)信息的保護(hù)方式進(jìn)行安全需求分析主要從以下幾個(gè)方面進(jìn)行考慮：1、網(wǎng)絡(luò)傳輸保護(hù)：主要是數(shù)據(jù)加密，防竊聽保護(hù)。2 、密碼賬戶信息保護(hù)：對(duì)網(wǎng)絡(luò)銀行和客戶信息進(jìn)行保護(hù)， 防止泄露3 、網(wǎng)絡(luò)病毒防護(hù)：采用網(wǎng)絡(luò)防病毒系統(tǒng)，并對(duì)巨暈網(wǎng)內(nèi)的一些可能攜帶病毒的設(shè)備進(jìn)行防護(hù)與查殺。4、廣域網(wǎng)接入部分的入侵檢測(cè)：采用入侵檢測(cè)系統(tǒng)5 、系統(tǒng)漏洞分析：采用漏洞分析設(shè)備，并及時(shí)對(duì)已知漏洞修補(bǔ)。（ 2）與風(fēng)險(xiǎn)的對(duì)抗方式進(jìn)行安全需求分析1、定期安全審計(jì)：主要包括兩部分：內(nèi)容審計(jì)和網(wǎng)絡(luò)通信審計(jì)2、重要數(shù)據(jù)的備份：對(duì)一些重要交易，客戶信息備份3、網(wǎng)絡(luò)安全結(jié)構(gòu)的可伸縮性：包括安全設(shè)備的可伸縮性， 即能根據(jù)用戶的需要隨時(shí)進(jìn)行規(guī)模、功能擴(kuò)展。4、網(wǎng)絡(luò)設(shè)備防雷5、重要信息點(diǎn)的防電磁泄露三、安全解決方案1、物理安全和運(yùn)行安全企業(yè)網(wǎng)絡(luò)系統(tǒng)的物理安全要求是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)和雷擊等環(huán)境事故以及人為操 作失誤或錯(cuò)誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過程。企業(yè)的運(yùn)行安全即計(jì)算機(jī)與網(wǎng)絡(luò)設(shè)備運(yùn)行過程中的系統(tǒng)安全， 是指對(duì)網(wǎng)絡(luò)與信息系統(tǒng)的運(yùn)行過程和運(yùn)行狀態(tài)的保護(hù)。主要的保護(hù)方式有防火墻與物理隔離、風(fēng)險(xiǎn)分析與漏洞掃描、應(yīng)急響應(yīng)、病毒防治、訪問控制、安全審計(jì)、入侵檢測(cè)、源路由過濾、降級(jí)使用、數(shù)據(jù)備份等。2、選擇和購(gòu)買安全硬件和軟件產(chǎn)品（1）、硬件產(chǎn)品主要是防火墻的選購(gòu)。對(duì)于防火墻的選購(gòu)要 具備明確防火墻的保護(hù)對(duì)象和需求的安全等級(jí)、根據(jù)安全級(jí)別確定防火墻的安全標(biāo)準(zhǔn)、 選用功能適中且能擴(kuò)展和安全有保障的防火墻、 能滿足不同平臺(tái)需求，并可集成于網(wǎng)絡(luò)設(shè)備中、應(yīng)能提供良好地售后服務(wù)的產(chǎn)品等要求。（2）、 軟件產(chǎn)品主要是殺毒軟件的選擇，本方案中在選擇 殺毒軟件時(shí)應(yīng)當(dāng)注意幾個(gè)方面的要求：具有卓越的病毒防治技術(shù)、程序內(nèi)核安全可靠、 對(duì)付國(guó)產(chǎn)和國(guó)外病毒能力超群、全中文產(chǎn)品， 系統(tǒng)資源占用低，性能優(yōu)越、可管理性高，易于使用、產(chǎn)品集成度高、高可靠性、可調(diào)配系統(tǒng)資源占用率、便捷的網(wǎng)絡(luò)化自動(dòng)升級(jí)等優(yōu)點(diǎn)。（3）、產(chǎn)品推薦數(shù)關(guān)鍵參數(shù)及備產(chǎn)品型號(hào)部署量注機(jī)架式天網(wǎng)流控總公司與/4fe/40 萬(wàn)并sns-fw-1500tc1防火墻分公司發(fā)連接/150m吞吐量機(jī)架式天網(wǎng)流控網(wǎng)絡(luò)總出/4ge/120萬(wàn)sns-fw-4500tc1防火墻口并發(fā)連接 /800m 吞吐量機(jī)架式/4fe/天網(wǎng)防毒服務(wù)器區(qū) +sns-vw-2501提供相應(yīng)客戶墻辦公室端軟件天網(wǎng)網(wǎng)絡(luò)機(jī)架式流量?jī)?yōu)化ts-tc-100網(wǎng)絡(luò)出口1/4fe系統(tǒng)天網(wǎng)行為機(jī)架式sns-nam-500t辦公區(qū)1管理系統(tǒng)/4fe機(jī)架式天網(wǎng) ssl/4fe/acsns-ssl-100t服務(wù)器區(qū)1vpnpower/100并發(fā)用戶3、網(wǎng)絡(luò)規(guī)劃與子網(wǎng)劃分組網(wǎng)規(guī)則， 規(guī)劃網(wǎng)絡(luò)要規(guī)劃到未來的三到五年。并且在未來， 企業(yè)的電腦會(huì)不斷增加。比較環(huán)形、星形、總線形三種基本拓?fù)浣Y(jié)構(gòu)，星形連接在將用戶接入網(wǎng)絡(luò)時(shí)具有更大的靈活性。當(dāng)系統(tǒng)不斷發(fā)展或系統(tǒng)發(fā)生重大變化時(shí)，這種優(yōu)點(diǎn)將變得更加突出，所以選擇星形網(wǎng)絡(luò)最好。（1）、實(shí)際的具體的設(shè)計(jì)拓?fù)鋱D如下（2） ）、子網(wǎng)的劃分和地址的分配經(jīng)理辦子網(wǎng) (vlan2) ：子網(wǎng)掩碼 : 網(wǎng)關(guān)： 生產(chǎn)子網(wǎng) (vlan3) ： 子網(wǎng)掩碼 : 網(wǎng)關(guān)： 市場(chǎng)子網(wǎng) (vlan4) ： 子網(wǎng)掩碼 : 網(wǎng)關(guān)： 財(cái)務(wù)子網(wǎng) (vlan5) ： 子網(wǎng)掩碼 : 網(wǎng)關(guān)： 資源子網(wǎng) (vlan6):子網(wǎng)掩碼 : 網(wǎng)關(guān)： 4、網(wǎng)絡(luò)隔離與訪問控制（1）、每一級(jí)的設(shè)置及管理方法相同。即在每一級(jí)的中心 網(wǎng)絡(luò)安裝一臺(tái) vpn 設(shè)備和一臺(tái) vpn 認(rèn)證服務(wù)器 (vpn-ca) ，在所屬的直屬單位的網(wǎng)絡(luò)接入處安裝一臺(tái)vpn 設(shè)備，由上級(jí)的 vpn 認(rèn)證服務(wù)器通過網(wǎng)絡(luò)對(duì)下一級(jí)的vpn 設(shè)備進(jìn)行集中統(tǒng)一的網(wǎng)絡(luò)化管理。下屬機(jī)構(gòu)的 vpn 設(shè)備放置于內(nèi)部網(wǎng)絡(luò)與路由器之間，其配置、管理由上級(jí)機(jī)構(gòu)通過網(wǎng)絡(luò)實(shí)現(xiàn)，下屬機(jī)構(gòu)不需要做任何的管理，僅需要檢查是否通電即可。由于安全設(shè)備屬于特殊的網(wǎng)絡(luò)設(shè)備，其維護(hù)、管理需要相應(yīng)的專業(yè)人員，而采取這種管理方式以后，就可以降低下屬機(jī)構(gòu)的維護(hù)成本和對(duì)專業(yè)技術(shù)人員的要求，這對(duì)有著龐大下屬、分支機(jī)構(gòu)的單位來講將是一筆不小的費(fèi)用。由于網(wǎng)絡(luò)安全的是一個(gè)綜合的系統(tǒng)工程，是由許多因素決定的，而不是僅僅采用高檔的安全產(chǎn)品就能解決，因此對(duì)安全設(shè)備的管理就顯得尤為重要。由于一般的安全產(chǎn)品在管理上是各自管理，因而很容易因?yàn)槟硞€(gè)設(shè)備的設(shè)置不當(dāng)，而使整個(gè)網(wǎng)絡(luò)出現(xiàn)重大的安全隱患。 而用戶的技術(shù)人員往往不可能都是專業(yè)的，因此， 容易出現(xiàn)上述現(xiàn)象 ;同時(shí)， 每個(gè)維護(hù)人員的水平也有差異，容易出現(xiàn)相互配置上的錯(cuò)誤使網(wǎng)絡(luò)中斷。所以，在安全設(shè)備的選擇上應(yīng)當(dāng)選擇可以進(jìn)行網(wǎng)絡(luò)化集中管理的設(shè)備，這樣，由少量的專業(yè)人員對(duì)主要安全設(shè)備進(jìn)行管理、配置，提高整體網(wǎng)絡(luò)的安全性和穩(wěn)定性。（2） ）、訪問權(quán)限控制策略a 、經(jīng)理辦 vlan2 可以訪問其余所有 vlan 。b 、財(cái)務(wù)vlan5可以訪問生產(chǎn)vlan3 、市場(chǎng)vlan4 、資源 vlan6 ，不可以訪問經(jīng)理辦vlan2 。c 、市場(chǎng) vlan4 、生產(chǎn) vlan3 、資源 vlan6都不能訪問經(jīng)理辦vlan2 、財(cái) 務(wù) vlan5 。d 、生產(chǎn) vlan4和銷售 vlan3可以互訪。5、操作系統(tǒng)安全增強(qiáng)企業(yè)各級(jí)網(wǎng)絡(luò)系統(tǒng)平臺(tái)安全主要是指操作系統(tǒng)的安全。由于目前主要的操作系統(tǒng)平臺(tái)是建立在國(guó)外產(chǎn)品的基礎(chǔ)上，因而存在很大的安全隱患，因此要加強(qiáng)對(duì)系統(tǒng)后門程序的管理，對(duì)一些可能被利用的后門程序要及時(shí)進(jìn)行系統(tǒng)的補(bǔ)丁升級(jí)。企業(yè)網(wǎng)絡(luò)系統(tǒng)在主要的應(yīng)用服務(wù)平臺(tái)中采用國(guó)內(nèi)自主開發(fā)的 安全操作系統(tǒng)，針對(duì)通用os 的安全問題，對(duì)操作系統(tǒng)平臺(tái)的登錄方式、文件系統(tǒng)、網(wǎng)絡(luò)傳輸、安全日志審計(jì)、加密算法及算法 替換的支持和完整性保護(hù)等方面進(jìn)行安全改造和性能增強(qiáng)。一般 用戶運(yùn)行在 pc 機(jī)上的 nt 平臺(tái)，在選擇性地用好nt 安全機(jī)制的同時(shí)，應(yīng)加強(qiáng)監(jiān)控管理。6、應(yīng)用系統(tǒng)安全企業(yè)網(wǎng)絡(luò)系統(tǒng)的應(yīng)用平臺(tái)安全，一方面涉及用戶進(jìn)入系統(tǒng)的身份鑒別與控制，以及使用網(wǎng)絡(luò)資源的權(quán)限管理和訪問控制，對(duì)安全相關(guān)操作進(jìn)行的審計(jì)等。其中的用戶應(yīng)同時(shí)包括各級(jí)管理員用戶和各類業(yè)務(wù)用戶。另一方面涉及各種數(shù)據(jù)庫(kù)系統(tǒng)、www 服務(wù)、e-mail 服務(wù)、ftp 和 telnet 應(yīng)用中服務(wù)器系統(tǒng)自身的安全以及提供服務(wù)的安全。在選擇這些應(yīng)用系統(tǒng)時(shí)，應(yīng)當(dāng)盡量選擇 國(guó)內(nèi)軟件開發(fā)商進(jìn)行開發(fā)，系統(tǒng)類型也應(yīng)當(dāng)盡量采用國(guó)內(nèi)自主開 發(fā)的應(yīng)用系統(tǒng)。作為一個(gè)完善的通用安全系統(tǒng)，應(yīng)當(dāng)包含完善的 安全措施，定期的安全評(píng)估及安全分析同樣相當(dāng)重要。由于網(wǎng)絡(luò)安全系統(tǒng)在建立后并不是長(zhǎng)期保持很高的安全性，而是隨著時(shí)間的推移和技術(shù)的發(fā)展而不斷下降的，同時(shí)，在使用過程中會(huì)出現(xiàn)新的安全問題，因此，作為安全系統(tǒng)建設(shè)的補(bǔ)充，采取相應(yīng)的措施也是必然。本方案中，采用漏洞掃描設(shè)備對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行定期掃描，對(duì)存在的系統(tǒng)漏洞、網(wǎng)絡(luò)漏洞、應(yīng)用程序漏洞、操作系統(tǒng)漏洞等進(jìn)行探測(cè)、掃描，發(fā)現(xiàn)相應(yīng)的漏洞并告警，自動(dòng)提出解決措施，或參考意見，提醒網(wǎng)絡(luò)安全管理員作好相應(yīng)調(diào)整。7、重點(diǎn)主機(jī)防護(hù)為重點(diǎn)主機(jī)，堡壘機(jī)建立主機(jī)防御系統(tǒng)，簡(jiǎn)稱hips 。hips 是一種能監(jiān)控你電腦中文件的運(yùn)行和文件運(yùn)用了其他的文件以及文件對(duì)注冊(cè)表的修改，并向你報(bào)告請(qǐng)求允許的軟件。當(dāng)主機(jī)入侵防御系統(tǒng)具有的程序訪問控制列表 (pacl) 功能使得同樣一個(gè)用戶訪問同樣的資源的時(shí)候，如果采用不同的應(yīng)用程序訪問，將會(huì)得到不同的權(quán)限。也就是說，對(duì)于一些重要的資源，我們可以采用主機(jī)入侵防御系統(tǒng)這種功能限定不同應(yīng)用程序的訪問權(quán)限，只允許已知的合法的應(yīng)用程序訪問這些資源。這樣，即使入侵者在被攻擊的服務(wù)器上運(yùn)行了木馬程序，但是木馬程序需要竊取關(guān)鍵信息的時(shí)候必須要經(jīng)過主機(jī)入侵防御系統(tǒng)的安全驗(yàn)證。由于 pacl 中沒有定義木馬程序的訪問權(quán)限，按照默認(rèn)權(quán)限是不能夠訪問的，由此就起到了對(duì)木馬信息竊取的防范。8、連接與傳輸安全由于企業(yè)中心內(nèi)部網(wǎng)絡(luò)存在兩套網(wǎng)絡(luò)系統(tǒng)，其中一套為企業(yè) 內(nèi)部網(wǎng)絡(luò)，主要運(yùn)行的是內(nèi)部辦公、業(yè)務(wù)系統(tǒng)等;另一套是與internet相連，通過 adsl 接入，并與企業(yè)系統(tǒng)內(nèi)部的上、下級(jí)機(jī)構(gòu)網(wǎng)絡(luò)相連。通過公共線路建立跨越internet的企業(yè)集團(tuán)內(nèi)部局域網(wǎng)，并通過網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)交換、 信息共享。而 internet 本身就缺乏有效的安全保護(hù)，如果不采取相應(yīng)的安全措施，易受 到來自網(wǎng)絡(luò)上任意主機(jī)的監(jiān)聽而造成重要信息的泄密或非法篡改，產(chǎn)生嚴(yán)重的后果。所以在每一級(jí)的中心網(wǎng)絡(luò)安裝一臺(tái)vpn 設(shè)備和一臺(tái) vpn 認(rèn)證服務(wù)器 (vpn-ca) ，在所屬的直屬單位的網(wǎng)絡(luò)接入處安裝一臺(tái)vpn 設(shè)備，由上級(jí)的 vpn 認(rèn)證服務(wù)器通過網(wǎng)絡(luò)對(duì)下一級(jí)的vpn 設(shè)備進(jìn)行集中統(tǒng)一的網(wǎng)絡(luò)化管理。這樣可達(dá)到以下幾個(gè)目的：1、網(wǎng)絡(luò)傳輸數(shù)據(jù)保護(hù) ;由安裝在網(wǎng)絡(luò)上的vpn 設(shè)備實(shí)現(xiàn)各內(nèi)部網(wǎng)絡(luò)之間的數(shù)據(jù)傳輸加密保護(hù)，并可同時(shí)采取加密或隧道的方式進(jìn)行傳輸2 、網(wǎng)絡(luò)隔離保護(hù)與 internet 進(jìn)行隔離，控制內(nèi)網(wǎng)與internet的相互訪問3 、集中統(tǒng)一管理，提高網(wǎng)絡(luò)安全性4、 降低成本 (設(shè)備成本和維護(hù)成本9、安全綜合管理與控制方案設(shè)計(jì)為了保護(hù)網(wǎng)絡(luò)的安全性，除了在網(wǎng)絡(luò)設(shè)計(jì)上增加安全服務(wù)功能，完善系統(tǒng)的安全保密措施外，安全管理規(guī)范也是網(wǎng)絡(luò)安全所必須的。安全管理策略一方面從純粹的管理上來實(shí)現(xiàn)，另一方面從技術(shù)上建立高效的管理平臺(tái)。安全管理策略主要有：定義完善的安全管理模型；建立長(zhǎng)遠(yuǎn)的并且可實(shí)施的安全策略；徹底貫徹規(guī)范的安全防范措施；建立恰當(dāng)?shù)陌踩u(píng)估尺度，并且進(jìn)行經(jīng)常性的規(guī)則審核。當(dāng)然，還需要建立高效的管理平臺(tái)。a. 安全管理安全管理的主要功能指對(duì)安全設(shè)備的管理；監(jiān)視網(wǎng)絡(luò)危險(xiǎn)情況，對(duì)危險(xiǎn)進(jìn)行隔離，并把危險(xiǎn)控制在最小范圍內(nèi)；身份認(rèn)證， 權(quán)限設(shè)置；對(duì)資源的存取權(quán)限的管理；對(duì)資源或用戶動(dòng)態(tài)的或靜態(tài)的審計(jì)；對(duì)違規(guī)事件，自動(dòng)生成報(bào)警或生成事件消息；口令管理（如操作員的口令鑒權(quán)），對(duì)無權(quán)操作人員進(jìn)行控制；密鑰管理：對(duì)于與密鑰相關(guān)的服務(wù)器，應(yīng)對(duì)其設(shè)置密鑰生命期、密鑰備份等管理功能；冗余備份：為增加網(wǎng)絡(luò)的安全系數(shù)，對(duì)于關(guān)鍵的服務(wù)器應(yīng)冗余備份。安全管理應(yīng)該從管理制度和管理平臺(tái)技術(shù)實(shí)現(xiàn)兩個(gè)方面來實(shí)現(xiàn)。安全管理產(chǎn)品盡可能的支持統(tǒng)一的中心控制平臺(tái)。b. 安全管理的實(shí)現(xiàn)信息系統(tǒng)的安全管理部門應(yīng)根據(jù)管理原則和該系統(tǒng)處理數(shù)據(jù)的保密性，制定相應(yīng)的管理制度或采用相應(yīng)的規(guī)范。具體工作是： 確定該系統(tǒng)的安全等級(jí)、 確定安全管理的范圍、制訂相應(yīng)的機(jī)房出入管理制度、制訂嚴(yán)格的操作規(guī)程、制訂完備的系統(tǒng)維護(hù)制度及制訂應(yīng)急措施。四、安全運(yùn)維措施1、 數(shù)據(jù)備份企業(yè)采用 hp 1/8 磁帶自動(dòng)裝載機(jī)對(duì)企業(yè)數(shù)據(jù)進(jìn)行備份，該磁帶庫(kù)可以同時(shí)裝載9 盒磁帶，能夠根據(jù)預(yù)先定義好的備份策略自動(dòng)裝載磁帶，自動(dòng)執(zhí)行定義好的備份策略，壓縮后最大存儲(chǔ)容 量為 640gb 。備份軟件采用legato networker網(wǎng)絡(luò)備份管理系統(tǒng)。該系統(tǒng)運(yùn)行穩(wěn)定，備份和恢復(fù)效果較好。由于企業(yè)內(nèi)部存在 大量的數(shù)據(jù)，而這里面又有許多重要的、機(jī)密的信息。而整個(gè)數(shù) 據(jù)的安全保護(hù)就顯得特別重要，對(duì)數(shù)據(jù)進(jìn)行定期備份是必不可少 的安全措施。在采取數(shù)據(jù)備份時(shí)應(yīng)該注意以下幾點(diǎn)：（1） 、存儲(chǔ)介質(zhì)安全在選擇存儲(chǔ)介質(zhì)上應(yīng)選擇保存時(shí)間長(zhǎng)，對(duì)環(huán)境要求低的存儲(chǔ)產(chǎn)品，并采取多種存儲(chǔ)介質(zhì)備份。如同時(shí)采用硬盤、光盤備份的方式。（2） 、數(shù)據(jù)安全即數(shù)據(jù)在備份前是真實(shí)數(shù)據(jù)，沒有經(jīng)過篡改或含有病毒。（3） 、備份過程安全確保數(shù)據(jù)在備份時(shí)是沒有受到外界任何干擾，包括因異常斷電而使數(shù)據(jù)備份中斷的或其它情況。（4） 、備份數(shù)據(jù)的保管對(duì)存有備份數(shù)據(jù)的存儲(chǔ)介質(zhì)，應(yīng)保存在安全的地方，防火、 防盜及各種災(zāi)害，并注意保存環(huán)境(溫度、濕度等 )的正常。同時(shí)對(duì)特別重要的備份數(shù)據(jù)，還應(yīng)當(dāng)采取異地備份保管的方式，來確 保數(shù)據(jù)安全。對(duì)重要備份數(shù)據(jù)的異地、多處備份。2、日志審計(jì)和備份由于企業(yè)是一個(gè)非常龐大的網(wǎng)絡(luò)系統(tǒng)，因而對(duì)整個(gè)網(wǎng)絡(luò)