信息系統(tǒng)工程監(jiān)理信息安全管理

工程監(jiān)理基本知識(shí)（11）第11講：信息安全管理

第11講：信息安全管理

在本講中您能了解如下知識(shí)點(diǎn)：信息系統(tǒng)安全概論監(jiān)理在信息安全管理中的作用信息系統(tǒng)安全管理分析與對(duì)策11.1信息系統(tǒng)安全概論

信息系統(tǒng)安全定義與認(rèn)識(shí)信息系統(tǒng)安全的屬性信息安全管理的重要性架構(gòu)安全管理體系信息系統(tǒng)安全定義與認(rèn)識(shí)定義

從不同角度看待信息系統(tǒng)安全

定義

在信息系統(tǒng)工程中，信息安全涵蓋了人工和自動(dòng)信息處理的安全。網(wǎng)絡(luò)化和非網(wǎng)絡(luò)化的信息系統(tǒng)安全，泛指一切以聲、光、電信號(hào)、磁信號(hào)、語(yǔ)音以及約定形式為載體的信息的安全。信息系統(tǒng)安全定義是：確保以電磁信號(hào)為主要形式的、在信息網(wǎng)絡(luò)系統(tǒng)進(jìn)行通信、處理和使用的信息內(nèi)容，在各個(gè)物理位置、邏輯區(qū)域、存儲(chǔ)和傳輸介質(zhì)中，處于動(dòng)態(tài)和靜態(tài)過(guò)程中的保密性、完整性和可用性，以及與人、網(wǎng)絡(luò)、環(huán)境有關(guān)的技術(shù)安全、結(jié)構(gòu)安全和管理安全的總和。在信息系統(tǒng)安全定義中，人是指信息系統(tǒng)應(yīng)用的主體，包括各類用戶支持人員技術(shù)管理人員行政管理人員等。網(wǎng)絡(luò)則指以計(jì)算機(jī)、網(wǎng)絡(luò)互連設(shè)備、傳輸介質(zhì)以及操作系統(tǒng)、通信協(xié)議和應(yīng)用程序所構(gòu)成的物理的和邏輯的完整體系；環(huán)境則是系統(tǒng)穩(wěn)定和可靠運(yùn)行所需要的保障體系，包括建筑物機(jī)房電力保障與備份應(yīng)急與恢復(fù)體系等。從不同角度看待信息系統(tǒng)安全

從個(gè)人用戶最為關(guān)心的信息系統(tǒng)安全問題是如何保證涉及個(gè)人隱私的問題。從企業(yè)用戶的角度來(lái)說(shuō)，是如何保證涉及商業(yè)利益的數(shù)據(jù)的安全。個(gè)人數(shù)據(jù)或企業(yè)的信息在傳輸過(guò)程中要保證其受到保密性、完整性和可用性的保護(hù)，如何避免其他人，特別是其競(jìng)爭(zhēng)對(duì)手利用竊聽、冒充、竄改、抵賴等手段，對(duì)其利益和隱私造成損害和侵犯，同時(shí)用戶也希望其保存在某個(gè)網(wǎng)絡(luò)信息系統(tǒng)中的數(shù)據(jù)，不會(huì)受其他非授權(quán)用戶的訪問和破壞。從網(wǎng)絡(luò)運(yùn)行和管理者角度說(shuō)，最為關(guān)心的信息系統(tǒng)安全問題是如何保護(hù)和控制其他人對(duì)本地網(wǎng)絡(luò)信息的訪問、讀寫等操作。比如，避免出現(xiàn)漏洞陷阱、病毒、非法存取、拒絕服務(wù)和網(wǎng)絡(luò)資源非法占用和非法控制等現(xiàn)象，制止和防御網(wǎng)絡(luò)“黑客”的攻擊。

對(duì)安全保密部門和國(guó)家行政部門來(lái)說(shuō)，最為關(guān)心的信息系統(tǒng)安全問題是如何對(duì)非法的、有害的或涉及國(guó)家機(jī)密的信息進(jìn)行有效過(guò)濾和防堵，避免非法泄露。機(jī)密敏感的信息被泄密后將會(huì)對(duì)社會(huì)的安定產(chǎn)生危害，對(duì)國(guó)家造成巨大的經(jīng)濟(jì)損失和政治損失。從社會(huì)教育和意識(shí)形態(tài)角度來(lái)說(shuō)，最為關(guān)心的信息系統(tǒng)安全問題則是如何杜絕和控制網(wǎng)絡(luò)上不健康的內(nèi)容。有害的黃色內(nèi)容會(huì)對(duì)社會(huì)的穩(wěn)定和人類的發(fā)展造成不良影響。信息系統(tǒng)安全的屬性信息系統(tǒng)安全屬性分為三個(gè)方面：即可用性、保密性、完整性?？捎眯钥捎眯允切畔⑾到y(tǒng)工程能夠在規(guī)定條件下和規(guī)定的時(shí)間內(nèi)完成規(guī)定的功能的特性?？捎眯允切畔⑾到y(tǒng)安全的最基本要求之一，是所有信息網(wǎng)絡(luò)系統(tǒng)的建設(shè)和運(yùn)行目標(biāo)?？捎眯允侵感畔⒓跋嚓P(guān)的信息資產(chǎn)在授權(quán)人需要的時(shí)候，可以立即獲得。例如通信線路中斷故障會(huì)造成信息的在一段時(shí)間內(nèi)不可用，影響正常的商業(yè)運(yùn)作，這是信息可用性的破壞?？捎眯灾饕憩F(xiàn)在硬件可用性、軟件可用性、人員可用性、環(huán)境可用性等方面。硬件可用性最為直觀和常見。軟件可用性是指在規(guī)定的時(shí)間內(nèi)，程序成功運(yùn)行的概率。人員可用性是指工作人員成功地完成工作或任務(wù)的概率。

信息網(wǎng)絡(luò)系統(tǒng)可用性還體現(xiàn)在5性：抗毀性，是指系統(tǒng)在人為破壞下的可用性。比如，部分線路或節(jié)點(diǎn)失效后，系統(tǒng)是否仍然能夠提供一定程度的服務(wù)。增強(qiáng)抗毀性可以有效地避免因各種災(zāi)害(戰(zhàn)爭(zhēng)、地震等)造成的大面積癱瘓事件。生存性，是在隨機(jī)破壞下系統(tǒng)的可用性。生存性主要反映隨機(jī)性破壞和網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)對(duì)系統(tǒng)可用性的影響。這里，隨機(jī)性破壞是指系統(tǒng)部件因?yàn)樽匀焕匣仍斐傻淖匀皇?。有效性，是一種基于業(yè)務(wù)性能的可用性。有效性主要反映在信息系統(tǒng)的部件失效情況下，滿足業(yè)務(wù)性能要求的程度。比如，信息系統(tǒng)部件失效雖然沒有引起連接性故障，但是卻造成質(zhì)量指標(biāo)下降、平均延時(shí)增加、線路阻塞等現(xiàn)象。保密性

保密性是信息不被泄露給非授權(quán)的用戶、實(shí)體或過(guò)程，信息只為授權(quán)用戶使用的特性。信息的保密性是針對(duì)信息被允許訪問（Access）對(duì)象的多少而不同，所有人員都可以訪問的信息為公開信息，需要限制訪問的信息一般為敏感信息或秘密，秘密可以根據(jù)信息的重要性及保密要求分為不同的密級(jí)，例如國(guó)家根據(jù)秘密泄露對(duì)國(guó)家經(jīng)濟(jì)、安全利益產(chǎn)生的影響（后果）不同，將國(guó)家秘密分為秘密、機(jī)密和絕密三個(gè)等級(jí)，組織可根據(jù)其信息安全的實(shí)際，在符合《國(guó)家保密法》的前提下將其信息劃分為不同的密級(jí)；對(duì)于具體的信息的保密性有時(shí)效性，如秘密到期解密等。保密密性性是是在在可可用用性性基基礎(chǔ)礎(chǔ)之之上上，，保保障障網(wǎng)網(wǎng)絡(luò)絡(luò)信信息息安安全全的的重重要要手手段段。常用用的的保保密密技技術(shù)術(shù)包包括括：防偵偵測(cè)測(cè)，使使對(duì)對(duì)手手偵偵測(cè)測(cè)不不到到有有用用的的信信息息；；防輻輻射射，防防止止有有用用信信息息以以各各種種途途徑徑輻輻射射出出去去；；信息息加加密密，在在密密鑰鑰的的控控制制下下，，用用加加密密算算法法對(duì)對(duì)信信息息進(jìn)進(jìn)行行加加密密處處理理。。即即使使對(duì)對(duì)手手得得到到了了加加密密后后的的信信息息也也會(huì)會(huì)因因?yàn)闉闆]沒有有密密鑰鑰而而無(wú)無(wú)法法讀讀懂懂有有效效信信息息；；物理理保保密密，利利用用各各種種物物理理方方法法，，如如限限制制、、隔隔離離、、掩掩蔽蔽、、控控制制等等措措施施，，保保護(hù)護(hù)信信息息不不被被泄泄露露。。完整性完整性定定義為保保護(hù)信息息及其處處理方法法的準(zhǔn)確確性和完完整性。。信息完完整性一一方面是是指信息息在利用用、傳輸輸、貯存存等過(guò)程程中不被被刪除、、修改、、偽造、、亂序、、重放、、插入等等，另一一方面是是指信息息處理的的方法的的正確性性。不正正當(dāng)?shù)牟俨僮鳎缛缯`刪除除文件，，有可能能造成重重要文件件的丟失失。完整性與與保密性性不同，，保密性性要求信信息不被被泄露給給未授權(quán)權(quán)的人，，而完整整性則要要求信息息不致受受到各種種原因的的破壞。。保障信息息網(wǎng)絡(luò)系系統(tǒng)完整整性的主主要方法法有以下下幾種：：協(xié)議，通過(guò)各各種安全全協(xié)議可可以有效效地檢測(cè)測(cè)出被復(fù)復(fù)制的信信息、被被刪除的的字段、、失效的的字段和和被修改改的字段段；糾錯(cuò)編碼碼方法，由此完完成檢錯(cuò)錯(cuò)和糾錯(cuò)錯(cuò)功能。。最簡(jiǎn)單單和常用用的糾錯(cuò)錯(cuò)編碼方方法是奇奇偶校驗(yàn)驗(yàn)法；密碼校驗(yàn)驗(yàn)和方法法，抗竄竄改和傳傳輸失敗敗的重要要手段；；數(shù)字簽名名，保障信信息的真真實(shí)性；；公證，請(qǐng)求網(wǎng)網(wǎng)絡(luò)管理理或中介介機(jī)構(gòu)證證明信息息的真實(shí)實(shí)性。信息安全全管理的的重要性性從系統(tǒng)本本身存在在的問題題認(rèn)識(shí)政府和企企業(yè)對(duì)信信息系統(tǒng)統(tǒng)安全的的重視架構(gòu)安全全管理體體系信息系統(tǒng)統(tǒng)安全的的總體目目標(biāo)是物物理安全全、信息息基礎(chǔ)設(shè)設(shè)備安全全、網(wǎng)絡(luò)絡(luò)安全、、數(shù)據(jù)安安全、信信息內(nèi)容容安全與與公共信信息安全全的總和和，最終終目標(biāo)是是確保信信息的可可用性、、保密性性和完整整性，確確保信息息系統(tǒng)工工程的主主體，不不僅是用用戶，還還包括組組織、社社會(huì)和國(guó)國(guó)家，對(duì)對(duì)于信息息資源的的控制。。從信息安安全管理理目標(biāo)來(lái)來(lái)看，其其中的網(wǎng)網(wǎng)絡(luò)安全全、數(shù)據(jù)據(jù)安全、、信息內(nèi)內(nèi)容安全全等可通通過(guò)開放放系統(tǒng)互互連安全全體系的的安全服服務(wù)、安安全機(jī)制制及其管管理實(shí)現(xiàn)現(xiàn)，但所所獲得的的這些安安全特性性只解決決了與通通信和互互連有關(guān)關(guān)的安全全問題，，而涉及及與信息息系統(tǒng)工工程的構(gòu)構(gòu)成組件件及其運(yùn)運(yùn)行環(huán)境境安全有有關(guān)的其其他安全全問題（（如物理理安全、、系統(tǒng)安安全等））還需從從技術(shù)措措施和管管理措施施兩方面面結(jié)合起起來(lái)。為為了系統(tǒng)統(tǒng)地、完完整地構(gòu)構(gòu)建信息息系統(tǒng)的的安全體體系框架架，信息息系統(tǒng)安安全體系系應(yīng)當(dāng)由由技術(shù)體體系、組組織機(jī)構(gòu)構(gòu)體系和和管理體體系共同同構(gòu)建。。技術(shù)體系系技術(shù)體系系是全面面提供信信息系統(tǒng)統(tǒng)安全保保護(hù)的技技術(shù)保障障系統(tǒng)。。該體系由兩兩大類構(gòu)構(gòu)成。一類是物物理安全全技術(shù)，通過(guò)物物理機(jī)械械強(qiáng)度標(biāo)標(biāo)準(zhǔn)的控控制使信信息系統(tǒng)統(tǒng)的建筑筑物、機(jī)機(jī)房條件件及硬件件設(shè)備等等條件，，滿足信信息系統(tǒng)統(tǒng)的機(jī)械械防護(hù)安安全；通過(guò)對(duì)電電力供應(yīng)應(yīng)設(shè)備以以及信息息系統(tǒng)組組件的抗抗電磁干干擾和電電磁泄露露性能的的選擇性性措施達(dá)達(dá)到兩個(gè)個(gè)安全目目的，信信息統(tǒng)組組件具有有抗擊外外界電磁磁輻射或或噪聲干干擾能力力而保持持正常運(yùn)運(yùn)行，控控制信息息系統(tǒng)組組件電磁磁輻射造造成的信信息泄露露。物理安全全技術(shù)包包括機(jī)房房安全和和設(shè)施安安全。機(jī)房安全全設(shè)施安全全系統(tǒng)安全全系統(tǒng)安全全通過(guò)對(duì)對(duì)信息系系統(tǒng)安全全組件的的選擇，，使信息息系統(tǒng)安安全組件件的軟件件工作平平臺(tái)達(dá)到到相應(yīng)的的安全等等級(jí)，一一方面避避免操作作平臺(tái)自自身的脆脆弱性和和漏洞引引發(fā)的風(fēng)風(fēng)險(xiǎn)，另另一方面面阻塞任任何形式式的非授授權(quán)行為為對(duì)信息息系統(tǒng)安安全組件件的入侵侵或接管管系統(tǒng)管管理權(quán)。。系統(tǒng)安全全技術(shù)包包括平臺(tái)臺(tái)安全、、數(shù)據(jù)安安全、通通信安全全、應(yīng)用用安全和和運(yùn)行安安全。平臺(tái)安全全泛指操作作系統(tǒng)和和通用基基礎(chǔ)服務(wù)務(wù)安全，，主要用用于防范范黑客攻攻擊手段段，目前前市場(chǎng)上上大多數(shù)數(shù)安全產(chǎn)產(chǎn)品均限限于解決決平臺(tái)安安全，包包括以下下內(nèi)容：：操作系統(tǒng)統(tǒng)漏洞檢檢測(cè)與修修復(fù)，包包括：Unix系統(tǒng)、、Windows系統(tǒng)統(tǒng)、網(wǎng)絡(luò)絡(luò)協(xié)議；；網(wǎng)絡(luò)基礎(chǔ)礎(chǔ)設(shè)施漏漏洞檢測(cè)測(cè)與修復(fù)復(fù)，包括括：路由由器、路路由器、、交換機(jī)機(jī)、防火火墻等數(shù)據(jù)安全全目標(biāo)是防防止數(shù)據(jù)據(jù)丟失、、崩潰和和被非法法訪問，，為保障障數(shù)據(jù)安安全提供供如下實(shí)實(shí)施內(nèi)容容：介質(zhì)質(zhì)與載體體安全保保護(hù)、數(shù)數(shù)據(jù)訪問問控制、、系統(tǒng)數(shù)數(shù)據(jù)訪問問控制檢檢查、標(biāo)標(biāo)識(shí)與鑒鑒別、數(shù)數(shù)據(jù)完整整性、數(shù)數(shù)據(jù)可用用性、數(shù)數(shù)據(jù)監(jiān)控控和審計(jì)計(jì)、數(shù)據(jù)據(jù)存儲(chǔ)與與備份安安全。通信安全全目標(biāo)是防防止系統(tǒng)統(tǒng)之間通通信的安安全脆弱弱性威脅脅，為保保障系統(tǒng)統(tǒng)之間通通信的安安全采取取的措施施有：通通信線路路和網(wǎng)絡(luò)絡(luò)基礎(chǔ)設(shè)設(shè)施安全全性測(cè)試試與優(yōu)化化、安裝裝網(wǎng)絡(luò)加加密設(shè)施施、設(shè)置置通信加加密軟件件、設(shè)置置身份鑒鑒別機(jī)制制、設(shè)置置并測(cè)試試安全通通道、測(cè)測(cè)試各項(xiàng)項(xiàng)網(wǎng)絡(luò)協(xié)協(xié)議運(yùn)行行漏洞。。應(yīng)用安全全是保障相相關(guān)業(yè)務(wù)務(wù)在計(jì)算算機(jī)網(wǎng)絡(luò)絡(luò)系統(tǒng)上上安全運(yùn)運(yùn)行運(yùn)行安全全是保障系系統(tǒng)安全全性的穩(wěn)穩(wěn)定組織機(jī)構(gòu)構(gòu)體系組織機(jī)構(gòu)構(gòu)體系是是信息系系統(tǒng)的組組織保障障系統(tǒng)，，由機(jī)構(gòu)構(gòu)、崗位位和人事事三個(gè)模模塊構(gòu)成成，一個(gè)個(gè)機(jī)構(gòu)設(shè)設(shè)置分為為:決策策層、管管理層和和執(zhí)行層層。決策策層是信信息系統(tǒng)統(tǒng)用戶單單位中決決定信息息系統(tǒng)安安全重大大事宜的的領(lǐng)導(dǎo)機(jī)機(jī)構(gòu)，由由有保密密職能的的部門負(fù)負(fù)責(zé)人及及信息系系統(tǒng)主要要負(fù)責(zé)人人參與組組成。管管理層是是決策層層的日常常管理機(jī)機(jī)關(guān)，根根據(jù)決策策機(jī)構(gòu)的的決定，，全面規(guī)規(guī)劃并協(xié)協(xié)調(diào)各方方面力量量，實(shí)施施信息系系統(tǒng)的安安全方案案，制定定、修改改安全策策略，處處理安全全事故，，設(shè)置安安全相關(guān)關(guān)的崗位位。執(zhí)行行層是在在管理層層協(xié)調(diào)下下，具體體負(fù)責(zé)某某一個(gè)或或某幾個(gè)個(gè)特定安安全事務(wù)務(wù)的一個(gè)個(gè)邏輯群群體，這這個(gè)群體體分布在在信息系系統(tǒng)的各各個(gè)操作作層或崗崗位上。。管理體系系管理是信信息系統(tǒng)統(tǒng)安全的的靈魂。。信息系統(tǒng)統(tǒng)安全的的管理體體系由法法律管理理、制度度管理和和培訓(xùn)管管理三部部分組成成。管理理安全設(shè)設(shè)置的機(jī)機(jī)制有：：人員管管理、培培訓(xùn)管理理、應(yīng)用用系統(tǒng)管管理、軟軟件管理理、設(shè)備備管理、、文檔管管理、數(shù)數(shù)據(jù)管理理、操作作管理、、運(yùn)行管管理和機(jī)機(jī)房管理理。制度管理理是信息息系統(tǒng)內(nèi)內(nèi)部依據(jù)據(jù)必要的的安全需需求制定定的一系系列內(nèi)部部規(guī)章制度度，主要要包括：：安全管理理和執(zhí)行行機(jī)構(gòu)的的行為規(guī)規(guī)范；崗位設(shè)定定及其操操作規(guī)范范；崗位人員員的素質(zhì)質(zhì)要求及及行為規(guī)規(guī)范；內(nèi)部關(guān)系系與外部部關(guān)系的的行為規(guī)規(guī)范等。11.2監(jiān)監(jiān)理在信信息安全全管理中中的作用用監(jiān)理在信信息系統(tǒng)統(tǒng)安全管管理的作作用如下下：保證建設(shè)設(shè)單位在在信息系系統(tǒng)工程程項(xiàng)目建建設(shè)過(guò)程程中，保保證信息息系統(tǒng)的的安全在在可用性性、保密密性、完完整性與與信息系系統(tǒng)工程程的可維維護(hù)性技技術(shù)環(huán)節(jié)節(jié)上沒有有沖突；；在成本控控制的前前提下，，確保信信息系統(tǒng)統(tǒng)安全設(shè)設(shè)計(jì)上沒沒有漏洞洞；督促建設(shè)設(shè)單位的的信息系系統(tǒng)工程程應(yīng)用人人員在安安全管理理制度和和安全規(guī)規(guī)范下嚴(yán)嚴(yán)格執(zhí)行行安全操操作和管管理，建建立安全全意識(shí)；；監(jiān)督承建建單位按按照技術(shù)術(shù)標(biāo)準(zhǔn)和和建設(shè)方方案施工工，檢查查承建單單位是否否存在設(shè)設(shè)計(jì)過(guò)程程中的非非安全隱隱患行為為或現(xiàn)象象等，確確保整個(gè)個(gè)項(xiàng)目建建設(shè)過(guò)程程中的安安全建設(shè)設(shè)和安全全應(yīng)用。。監(jiān)理督促促建設(shè)單單位進(jìn)行行信息安安全管理理的教育育為了保證證信息系系統(tǒng)安全全，我們們要從防防范計(jì)算算機(jī)犯罪罪，需要要從技術(shù)術(shù)、法律律、管理理和教育育等幾方方面著手手。信息息系統(tǒng)安安全教育育是建設(shè)設(shè)單位或或承建單單位保證證信息系系統(tǒng)安全全的重要要組成部部分，是是信息安安全體系系建設(shè)不不可缺少少的一項(xiàng)項(xiàng)重要工工作內(nèi)容容。教育的特特點(diǎn)和對(duì)對(duì)象:計(jì)算機(jī)硬硬件、計(jì)計(jì)算機(jī)軟軟件、電電磁泄漏漏和屏蔽蔽、通信信、密碼碼學(xué)、電電磁材料料、工程程生理學(xué)學(xué)、管理理學(xué)、社社會(huì)心理理學(xué)、法法學(xué)、審審計(jì)學(xué)、、安全保保衛(wèi)等。。凡是與信信息系統(tǒng)統(tǒng)安全有有關(guān)的所所有人員員都可以以列為信信息系統(tǒng)統(tǒng)安全教教育的對(duì)對(duì)象：領(lǐng)導(dǎo)與管管理人員員；計(jì)算機(jī)工工程人員員，包括括研究開開發(fā)人員員和維護(hù)護(hù)應(yīng)用人人員；計(jì)算機(jī)廠廠商的有有關(guān)人員員；一般用戶戶；計(jì)算機(jī)安安全管理理部門的的工作人人員；法律工作作人員；；其他有關(guān)關(guān)人員。。教育的主主要內(nèi)容容法規(guī)教育育安全基礎(chǔ)礎(chǔ)知識(shí)教教育職業(yè)道德德教育。。安全基礎(chǔ)礎(chǔ)知識(shí)教教育包括括網(wǎng)絡(luò)安安全教育育、運(yùn)行行安全教教育、實(shí)實(shí)體安全全教育、、安全技技術(shù)基礎(chǔ)礎(chǔ)知識(shí)等等。安全技術(shù)術(shù)教育：熟練掌掌握使用用一般的的安全工工具；了了解計(jì)算算機(jī)的硬硬件參數(shù)數(shù)與軟件件參數(shù)；；一般信信息系統(tǒng)統(tǒng)的薄弱弱點(diǎn)和風(fēng)風(fēng)險(xiǎn)等。。網(wǎng)絡(luò)安全全教育：熟練掌掌握計(jì)算算機(jī)網(wǎng)絡(luò)絡(luò)安全方方法學(xué)；；可信網(wǎng)網(wǎng)絡(luò)指導(dǎo)導(dǎo)標(biāo)準(zhǔn)；；網(wǎng)絡(luò)安安全模型型；計(jì)算算機(jī)網(wǎng)絡(luò)絡(luò)安全設(shè)設(shè)計(jì)方法法。運(yùn)行安全全教育：保障信信息系統(tǒng)統(tǒng)功能的的實(shí)現(xiàn)，，提供一一套安全全措施來(lái)來(lái)保護(hù)信信息處理理過(guò)程的的安全。。運(yùn)行安安全教育育應(yīng)該了了解:信信息系統(tǒng)統(tǒng)的安全全運(yùn)行與與管理、、計(jì)算機(jī)機(jī)系統(tǒng)的的維護(hù)、、機(jī)房環(huán)環(huán)境的監(jiān)監(jiān)測(cè)及維維護(hù)、隨隨機(jī)故障障的維修修、風(fēng)險(xiǎn)險(xiǎn)分析、、應(yīng)急、、恢復(fù)與與備份。。實(shí)體安全全教育：：保護(hù)信信息系統(tǒng)統(tǒng)設(shè)備、、設(shè)施以以及其他他媒體免免遭地震震、水災(zāi)災(zāi)、火災(zāi)災(zāi)、有害害氣體和和其他環(huán)環(huán)境事故故破壞的的措施。。實(shí)體安安全教育育應(yīng)該了了解計(jì)算算機(jī)機(jī)房房的安全全技術(shù)要要求、實(shí)實(shí)體訪問問控制；；計(jì)算機(jī)機(jī)系統(tǒng)的的靜電防防護(hù)等。。監(jiān)理督促促建設(shè)單單位進(jìn)行行信息安安全規(guī)劃劃監(jiān)理工程程師有義義務(wù)建議議建設(shè)單單位在信信息系統(tǒng)統(tǒng)安全管管理上有有應(yīng)對(duì)的的措施和和規(guī)劃，，在制定定信息安安全規(guī)劃劃方面，，應(yīng)建議建建設(shè)單位位從以下下幾個(gè)方方面進(jìn)行行：（1）人人員安全全管理監(jiān)理工程程師要建建議建設(shè)設(shè)單位遵遵循有以以下原則則：授權(quán)最小小化，只只授予操操作人員員為完成成本職工工作所必必須的最最小授權(quán)權(quán)，包括括對(duì)數(shù)據(jù)據(jù)文件的的訪問，，計(jì)算機(jī)機(jī)和外設(shè)設(shè)的使用用等。授權(quán)分散散化，對(duì)對(duì)于關(guān)鍵鍵的任務(wù)務(wù)必須在在功能上上進(jìn)行劃劃分，由由多人來(lái)來(lái)共同承承擔(dān)，保保證沒有有任何個(gè)個(gè)人具有有完成任任務(wù)的全全部授權(quán)權(quán)或信息息。授權(quán)規(guī)范范化，建建立起申申請(qǐng)、建建立、發(fā)發(fā)出和關(guān)關(guān)閉用戶戶授權(quán)的的嚴(yán)格的的制度，，以及管管理和監(jiān)監(jiān)督用戶戶操作責(zé)責(zé)任的機(jī)機(jī)制。物理與環(huán)環(huán)境保護(hù)護(hù)對(duì)于物理理與環(huán)境境保護(hù)，，監(jiān)理工工程師要要建議建建設(shè)單位位主要從從以下幾幾個(gè)方面面考慮：：物理訪問問控制，，在重要要區(qū)域限限制人員員的進(jìn)出出。重要要區(qū)域不不僅包括括機(jī)房，，也應(yīng)包包括能夠夠接觸到到內(nèi)部網(wǎng)網(wǎng)絡(luò)的區(qū)區(qū)域，供供電系統(tǒng)統(tǒng)備份介介質(zhì)存放放的地點(diǎn)點(diǎn)等。建筑物安安全，要要考慮建建筑物防防火、地地震，結(jié)結(jié)構(gòu)擁塌塌、漏水水等造成成的風(fēng)險(xiǎn)險(xiǎn)。公用設(shè)施施的保證證，為了了使系統(tǒng)統(tǒng)能夠不不間斷地地提供服服務(wù)及硬硬件設(shè)備備不受損損害，評(píng)評(píng)價(jià)供電電、供水水、空調(diào)調(diào)等設(shè)施施的可用用性，并并提出相相應(yīng)的措措施。數(shù)據(jù)安全全，數(shù)據(jù)據(jù)泄露一一般有三三種途徑徑:直接接獲取，，在傳輸輸中截獲獲，通過(guò)過(guò)電磁輻輻射泄露露。對(duì)這這三種風(fēng)風(fēng)險(xiǎn)要加加以充分分評(píng)估。。特別應(yīng)應(yīng)當(dāng)注意意對(duì)便攜攜式計(jì)算算機(jī)建立立安全保保管制度度，如果果其中保保存了敏敏感數(shù)據(jù)據(jù)應(yīng)進(jìn)行行加密，，避免丟丟失或被被盜時(shí)造造成數(shù)據(jù)據(jù)泄露。。（3）輸入入/輸出出控制監(jiān)理工程程師要建建議、提提醒建設(shè)設(shè)單位對(duì)對(duì)系統(tǒng)的的輸入/輸出信信息或介介質(zhì)必須須建立管管理制度度，只有有經(jīng)過(guò)授授權(quán)的人人員方可可提供或或獲得系系統(tǒng)的輸輸入/輸輸出信息息。（4）制制定突發(fā)發(fā)事件的的應(yīng)急計(jì)計(jì)劃監(jiān)理工程程師要建建議、提提醒建設(shè)設(shè)單位必必須針對(duì)對(duì)不同的的系統(tǒng)故故障或?yàn)?zāi)災(zāi)難制定定應(yīng)急計(jì)計(jì)劃，編編寫緊急急故障恢恢復(fù)操作作指南，，并對(duì)每每個(gè)崗位位的工作作人員按按照所擔(dān)擔(dān)任角色色和負(fù)有有的責(zé)任任進(jìn)行培培訓(xùn)和演演練。（5）應(yīng)應(yīng)用軟件件維護(hù)控控制在應(yīng)用軟軟件的維維護(hù)過(guò)程程中，監(jiān)監(jiān)理工程程師要建建議、提提醒建設(shè)設(shè)單位需需要對(duì)所所使用的的商業(yè)軟軟件的版版權(quán)、來(lái)來(lái)源，應(yīng)應(yīng)用軟件件的文檔檔在維護(hù)護(hù)過(guò)程是是否修改改，測(cè)試試數(shù)據(jù)的的產(chǎn)生與與測(cè)試結(jié)結(jié)果，是是否留有有軟件測(cè)測(cè)試所建建立的后后門或熱熱鍵等問問題進(jìn)行行規(guī)劃和和評(píng)估。。（6）數(shù)數(shù)據(jù)完整整性與有有效性控控制（7）文文檔管理理（8）安安全教育育與培訓(xùn)訓(xùn)安全管理理制度與與監(jiān)理實(shí)實(shí)施通常情況況下信息息系統(tǒng)實(shí)實(shí)施安全全管理的的有關(guān)制制度包括括：計(jì)算機(jī)信信息網(wǎng)絡(luò)絡(luò)系統(tǒng)出出入管理理制度；；計(jì)算機(jī)信信息網(wǎng)絡(luò)絡(luò)系統(tǒng)各各工作崗崗位的工工作職責(zé)責(zé)、操作作規(guī)程；；計(jì)算機(jī)信信息網(wǎng)絡(luò)絡(luò)系統(tǒng)升升級(jí)、維維護(hù)制度度；計(jì)算機(jī)信信息網(wǎng)絡(luò)絡(luò)系統(tǒng)工工作人員員人事管管理制度度；計(jì)算機(jī)信信息網(wǎng)絡(luò)絡(luò)系統(tǒng)安安全檢查查制度；；計(jì)算機(jī)信信息網(wǎng)絡(luò)絡(luò)系統(tǒng)應(yīng)應(yīng)急制度度；計(jì)算機(jī)信信息網(wǎng)絡(luò)絡(luò)系統(tǒng)信信息資料料處理制制度；計(jì)算機(jī)信信息網(wǎng)絡(luò)絡(luò)系統(tǒng)工工作人員員安全教教育、培培訓(xùn)制度度；計(jì)算機(jī)信信息網(wǎng)絡(luò)絡(luò)系統(tǒng)工工作人員員循環(huán)任任職、強(qiáng)強(qiáng)制休假假制度等等。11.3信息系系統(tǒng)安全全管理分分析與對(duì)對(duì)策在信息系系統(tǒng)工程程建設(shè)中中，監(jiān)理理工程師師對(duì)信息息系統(tǒng)的的安全體體系評(píng)估估主要從從邏輯訪訪問的風(fēng)風(fēng)險(xiǎn)分析析與安全全管理、、協(xié)助建建設(shè)單位位架構(gòu)安安全的信信息網(wǎng)絡(luò)絡(luò)系統(tǒng)、、對(duì)應(yīng)用用環(huán)境的的風(fēng)險(xiǎn)分分析與安安全管理理、對(duì)物物理訪問問的風(fēng)險(xiǎn)險(xiǎn)分析與與安全管管理等方方面進(jìn)行行，并協(xié)協(xié)助建設(shè)設(shè)單位建建立、健健全、完完善各項(xiàng)項(xiàng)管理制制度和措措施。物理訪訪問的的定義義物理訪訪問的的風(fēng)險(xiǎn)險(xiǎn)來(lái)源源可能的的錯(cuò)誤誤或犯犯罪監(jiān)理安安全管管理注注意事事項(xiàng)物理訪訪問的的定義義物理訪訪問控控制是是設(shè)計(jì)計(jì)用以以保護(hù)護(hù)組織織防止止未授授權(quán)的的訪問問，并并限制制只有有經(jīng)過(guò)過(guò)管理理階層層授權(quán)權(quán)的人人員才才能進(jìn)進(jìn)入。。有些些授權(quán)權(quán)可能能是明明顯易易見，，例如如管理理階層層授權(quán)權(quán)你擁?yè)碛墟i鎖門的的鑰匙匙，有有些可可能是是隱含含性的的授權(quán)權(quán)，例例如你你在工工作內(nèi)內(nèi)容中中說(shuō)明明你必必須訪訪問敏敏感性性的報(bào)報(bào)表及及文件件。物理訪訪問的的風(fēng)險(xiǎn)險(xiǎn)來(lái)源源物理訪訪問的的風(fēng)險(xiǎn)險(xiǎn)原因因可能能會(huì)來(lái)來(lái)自有有意或或無(wú)意意的違違犯，，這些些風(fēng)險(xiǎn)險(xiǎn)包括括：未經(jīng)授授權(quán)進(jìn)進(jìn)入；；毀損、、破壞壞或竊竊取設(shè)設(shè)備、、財(cái)產(chǎn)產(chǎn)或文文件；；拷貝或或偷看看敏感感或有有著作作權(quán)的的信息息；變更敏敏感性性設(shè)備備及信信息；；公開敏敏感的的信息息；濫用數(shù)數(shù)據(jù)處處理資資源；；勒索；；盜用。?？赡艿牡腻e(cuò)誤誤或犯犯罪監(jiān)理工工程師師要使使建設(shè)設(shè)單位位認(rèn)識(shí)識(shí)到可可能的的錯(cuò)誤誤或犯犯罪的的情形形包括括有：：?jiǎn)T工經(jīng)經(jīng)授權(quán)權(quán)或未未經(jīng)授授權(quán)的的訪問問；離職員員工；；有利害害關(guān)系系的外外來(lái)者者，如如競(jìng)爭(zhēng)爭(zhēng)者、、盜竊竊者、、犯罪罪集團(tuán)團(tuán)、黑黑客等等；無(wú)知造造成的的意外外，某某些人人可能能在無(wú)無(wú)知情情況下下犯下下罪行行（可可能是是員工工或外外來(lái)者者）。。監(jiān)理安安全管管理注注意事事項(xiàng)物理訪訪問控控制的的風(fēng)險(xiǎn)險(xiǎn)多半半可能能來(lái)自自那些些惡意意或犯犯罪傾傾向的的行為為。在安全全監(jiān)理理中需需要值值得注注意的的問題題如下下：硬件設(shè)設(shè)施在在合理理范圍圍內(nèi)是是否能能防止止強(qiáng)制制入侵侵；計(jì)算機(jī)機(jī)設(shè)備備的鑰鑰匙是是否有有良好好的控控制以以降低低未授授權(quán)者者進(jìn)入入的危危險(xiǎn)；；智能終終端是是否上上鎖或或有安安全保保護(hù)，，以防防止電電路板板、芯芯片或或計(jì)算算機(jī)被被搬移移；計(jì)算機(jī)機(jī)設(shè)備備在搬搬動(dòng)時(shí)時(shí)是否否需要要設(shè)備備授權(quán)權(quán)通行行的證證明。。物理訪訪問的的風(fēng)險(xiǎn)險(xiǎn)基本本是可可以事事先得得到控控制的的，關(guān)關(guān)鍵就就是怎怎樣落落實(shí)和和實(shí)施施，也也就是是制度度的管管理與與落實(shí)實(shí)。應(yīng)用環(huán)環(huán)境的的安全全管理理應(yīng)用環(huán)環(huán)境控控制可可降低低業(yè)務(wù)務(wù)中斷斷的風(fēng)風(fēng)險(xiǎn)。。監(jiān)控控的項(xiàng)項(xiàng)目包包括電電源、、地面面及空空間狀狀態(tài)。。應(yīng)用環(huán)環(huán)境的的風(fēng)險(xiǎn)險(xiǎn)來(lái)源源環(huán)境風(fēng)風(fēng)險(xiǎn)主主要來(lái)來(lái)源是是自然然發(fā)生生的意意外災(zāi)災(zāi)害，，然而而適當(dāng)當(dāng)?shù)目乜刂瓶煽梢越到档瓦@這些風(fēng)風(fēng)險(xiǎn)。。一般般情況況下，，應(yīng)用用環(huán)境境的安安全風(fēng)風(fēng)險(xiǎn)來(lái)來(lái)源可可能有有：天災(zāi)，，地震震、火火山爆爆發(fā)、、臺(tái)風(fēng)風(fēng)、龍龍卷風(fēng)風(fēng)、雷雷電等等；洪水；；停電；；電壓突突變；；空調(diào)故故障；；設(shè)備故故障；；水害，，甚至至在有有高架架地板板的建建筑物物中，，水害害仍是是一項(xiàng)項(xiàng)危機(jī)機(jī)，因因?yàn)榭煽赡馨l(fā)發(fā)生水水管爆爆裂的的情況況；炸彈威威脅與與攻擊擊，恐恐怖活活動(dòng)或或戰(zhàn)爭(zhēng)爭(zhēng)；計(jì)算機(jī)機(jī)設(shè)備備電源源供應(yīng)應(yīng)是否否能適適當(dāng)控控制在在制造造商的的規(guī)格格范圍圍內(nèi)；；計(jì)算機(jī)機(jī)設(shè)備備的空空調(diào)、、濕度度、通通風(fēng)控控制系系統(tǒng)是是否能能維持持適當(dāng)當(dāng)溫度度和濕濕度，，以符符合在在制造造商規(guī)規(guī)格范范圍內(nèi)內(nèi)；計(jì)算機(jī)機(jī)設(shè)備備是否否提供供靜電電保護(hù)護(hù)，如如防靜靜電地地毯、、抗靜靜電噴噴霧器器；計(jì)算機(jī)機(jī)設(shè)備備是否否保持持防塵塵、防防煙及及其他他特殊殊物品品如食食品；；是否明明文規(guī)規(guī)定禁禁止在在計(jì)算算機(jī)設(shè)設(shè)備旁旁就餐餐及吸吸煙；；是否提提供避避免下下列因因素危危害備備份磁磁盤及及磁帶帶的措措施，，如極極端溫溫度的的損害害，磁磁場(chǎng)的的影響響，水水的侵侵害等等。監(jiān)理安安全管管理策策略概概要對(duì)于應(yīng)應(yīng)用環(huán)環(huán)境的的監(jiān)理理，可可以從從以下下幾個(gè)個(gè)方面面：（1））火災(zāi)災(zāi)的控控制（2））水災(zāi)災(zāi)（3））計(jì)算算機(jī)機(jī)機(jī)房邏輯訪訪問的的安全全管理理在邏輯輯訪問問控制制方面面，監(jiān)監(jiān)理工工程師師應(yīng)著著重分分析并并評(píng)估估項(xiàng)目目建設(shè)設(shè)過(guò)程程中的的信息息系統(tǒng)統(tǒng)策略略、組組織結(jié)結(jié)構(gòu)、、業(yè)務(wù)務(wù)流程程及訪訪問控控制，，以保保護(hù)信信息系系統(tǒng)及及數(shù)據(jù)據(jù)，避避免非非法訪訪問泄泄漏或或損壞壞的發(fā)發(fā)生。。監(jiān)理在在邏輯輯訪問問風(fēng)險(xiǎn)險(xiǎn)分析析與安安全管管理上上，主主要的的原則則有：：了解信信息處處理的的整體體環(huán)境境并評(píng)評(píng)估其其安全全需求求，可可通過(guò)過(guò)審查查相關(guān)關(guān)數(shù)據(jù)據(jù)，詢?cè)儐栍杏嘘P(guān)人人員，，個(gè)人人觀察察及風(fēng)風(fēng)險(xiǎn)評(píng)評(píng)估等等；通過(guò)對(duì)一些些可能進(jìn)入入系統(tǒng)訪問問路徑進(jìn)行行記錄及復(fù)復(fù)核，評(píng)價(jià)價(jià)這些控制制點(diǎn)的正確確性、有效效性。這種種記錄及復(fù)復(fù)核包括審審核系統(tǒng)軟軟、硬件的的安全管理理，以確認(rèn)認(rèn)其控制弱弱點(diǎn)或重要要點(diǎn)；通過(guò)相關(guān)測(cè)測(cè)試數(shù)據(jù)訪訪問控制點(diǎn)點(diǎn)，來(lái)評(píng)價(jià)價(jià)安全系統(tǒng)統(tǒng)的功能和和有效性；；分析測(cè)試結(jié)結(jié)果和其他他審核結(jié)論論，評(píng)價(jià)訪訪問控制的的環(huán)境并判判斷是否達(dá)達(dá)到控制目目標(biāo)；審核書面策策略，觀察察實(shí)際操作作和流程，，與一般公公認(rèn)的信息息安全標(biāo)準(zhǔn)準(zhǔn)相比較，，評(píng)價(jià)組織織環(huán)境的安安全性及其其適當(dāng)性等等。（1）數(shù)據(jù)據(jù)篡改在原始數(shù)據(jù)據(jù)輸入計(jì)算算機(jī)之前被被篡改。由由于這種方方法容易實(shí)實(shí)現(xiàn)并在安安全技術(shù)管管理范圍之之外，故被被廣泛采用用。（2）特洛洛伊木馬特洛伊木馬馬是指將一一些帶有惡惡意的、欺欺詐性的代代碼置于己己授權(quán)的計(jì)計(jì)算機(jī)程序序中，當(dāng)程程序啟動(dòng)時(shí)時(shí)這些代碼碼也會(huì)啟動(dòng)動(dòng)。典型的的例子是在在對(duì)方的系系統(tǒng)中放置置木馬，自自動(dòng)監(jiān)控或或獲取對(duì)方方的個(gè)人信信息。特洛洛伊木馬攻攻擊的表現(xiàn)現(xiàn)形式對(duì)被被攻擊者來(lái)來(lái)說(shuō)并不直直觀，甚至至被攻擊者者根本不知知道已經(jīng)被被入侵，因因而它是一一種危害性性很大的網(wǎng)網(wǎng)絡(luò)攻擊手手段。（3）去尾尾法將交易發(fā)生生后計(jì)算出出的金額(如利息)中小數(shù)點(diǎn)點(diǎn)后的余額額(如分)刪除并轉(zhuǎn)轉(zhuǎn)入某個(gè)未未經(jīng)授權(quán)的的賬戶，因因?yàn)榻痤~微微小而往往往不被注意意。（4）色粒粒米技術(shù)這是一種類類似去尾法法的舞弊行行為，不同同的是將余余額切分成成更小金額額，再轉(zhuǎn)入入未授權(quán)賬賬戶。這種種方法與去去尾法的差差異是:去去尾法是去去除掉分，，例如:若若交易金額額為$1235954.39，則去尾尾法的金額額為$1235954.35，而色粒粒米技術(shù)是是將尾數(shù)去去除或進(jìn)位位，例如上上述問題，，則色米粒粒技術(shù)金額額為$1235954.30或$1235954.40，其計(jì)算算方法是由由程序設(shè)計(jì)計(jì)來(lái)決定的的。（5）計(jì)算算機(jī)病毒,口令入入侵,網(wǎng)網(wǎng)絡(luò)竊聽,拒絕服服務(wù)攻擊（（DOS））病毒控制計(jì)算機(jī)病毒毒是當(dāng)前計(jì)計(jì)算機(jī)面臨臨的最嚴(yán)重重威脅現(xiàn)象象之一。目目前預(yù)防、、偵測(cè)病毒毒感染的方方法主要有有兩種：一一種是建立立規(guī)范嚴(yán)謹(jǐn)謹(jǐn)?shù)墓芾聿卟呗耘c管理理程序；另另外一種是是采用技術(shù)術(shù)方法，如如防病毒軟軟件。（1）管理理控制的策策略有：安裝正版軟軟件；計(jì)算機(jī)開機(jī)機(jī)時(shí)，切記記使用磁盤盤的寫保護(hù)護(hù)功能；凡是未在單單機(jī)中做病病毒掃描的的磁盤不允允許在網(wǎng)絡(luò)絡(luò)環(huán)境中使使用；隨時(shí)更新病病毒代碼庫(kù)庫(kù)；對(duì)可能感染染病毒的文文件做寫保保護(hù)安裝新軟件件前的殺毒毒處理新磁盤使用用時(shí)做病毒毒檢測(cè)；確保在網(wǎng)絡(luò)絡(luò)環(huán)境中安安裝、使用用幾更新防防病毒軟件件；文件加密和和使用前解解密；授權(quán)方可更更換必要的的設(shè)備，如如路由器、、交換機(jī)等等；在網(wǎng)絡(luò)中不不使用外單單位的設(shè)備備，如做商商務(wù)演示時(shí)時(shí)；備份數(shù)據(jù)的的殺度處理理；定期教育、、檢查制度度的執(zhí)行情情況等。協(xié)助建設(shè)單單位制定完完善的安全全策略為使得安全全管理落到到實(shí)處并持持續(xù)改進(jìn)，，關(guān)于信息息安全管理理策略的設(shè)設(shè)計(jì)及目標(biāo)標(biāo)包含以下下各點(diǎn)：（1）來(lái)來(lái)自領(lǐng)導(dǎo)的的重視，通通過(guò)對(duì)安全全觀念的宣宣傳與貫徹徹，管理層層必須表現(xiàn)現(xiàn)出對(duì)安全全策略支持持到底的決決心，尤其其針對(duì)不了了解其重要要性的某些些部門主管管，更要加加強(qiáng)培訓(xùn)，，確保安全全策略的全全面整體落落實(shí)。（2）控控制原則，，系統(tǒng)數(shù)據(jù)據(jù)的訪問應(yīng)應(yīng)該建立在在“業(yè)務(wù)需需要”的基基礎(chǔ)上，也也就是有業(yè)業(yè)務(wù)上需要要者才能訪訪問信息系系統(tǒng)，并且且只能訪問問應(yīng)該使用用的數(shù)據(jù)。。（3）訪訪問控制的的授權(quán)與核核準(zhǔn)，為方方便用戶訪訪問信息系系統(tǒng)，負(fù)責(zé)責(zé)系統(tǒng)信息息正確使用用及報(bào)告的的主管應(yīng)提提供給用戶戶書面授權(quán)權(quán)及使用方方法。主管管人員應(yīng)該該將此授權(quán)權(quán)直接交給給系統(tǒng)安全全管理員，，以避免此此項(xiàng)授權(quán)被被誤用或篡篡改。（4）訪訪問授權(quán)的的核準(zhǔn)與審審查，同其其他控制點(diǎn)點(diǎn)一樣，訪訪問控制應(yīng)應(yīng)該定期審審查以確定定其有效性性。組織結(jié)結(jié)構(gòu)或人員員的改變，，惡意破壞壞，甚至單單純?nèi)藶槭枋韬鼍阋砸詫?duì)訪問控控制的功能能造成負(fù)面面的影響。。因此，安安全管理員員通過(guò)相關(guān)關(guān)人員的協(xié)協(xié)助應(yīng)該定定期(至少少每年一次次)檢查評(píng)評(píng)估訪問控控制規(guī)則，，任何系統(tǒng)統(tǒng)或數(shù)據(jù)訪訪問超越““業(yè)務(wù)需要要”的原則則，均應(yīng)禁禁止。（5）安安全認(rèn)知及及宣傳，應(yīng)應(yīng)通過(guò)培訓(xùn)訓(xùn)、簽訂保保密協(xié)議、、安全規(guī)定定明示、定定期檢查等等對(duì)建設(shè)單單位或承建建單位的員員工包括管管理人員，，持續(xù)宣傳傳安全的重重要性，牢牢固樹立““安全第一一”的意識(shí)識(shí)。（6）要要讓每一位位涉及信息息系統(tǒng)安全全的員工切切實(shí)認(rèn)識(shí)到到：熟知安安全管理規(guī)規(guī)定；建立立安全意識(shí)識(shí)，提高安安全警覺，，發(fā)現(xiàn)違反反規(guī)定的可可疑事件，，主動(dòng)報(bào)請(qǐng)請(qǐng)安全管理理員處理；；將登錄賬賬號(hào)及密碼碼放置在安安全的地方方，不得轉(zhuǎn)轉(zhuǎn)借給他人人使用；維維持良好安安全管理習(xí)習(xí)慣，如出出門上鎖、、不隨意泄泄露門鎖號(hào)號(hào)碼、妥善善保管鑰匙匙，主動(dòng)詢?cè)儐柨梢傻牡哪吧说鹊?。監(jiān)理理工工程程師師還還要要提提醒醒建建設(shè)設(shè)單單位位：：非非本本單單位位員員工工接接觸觸有有關(guān)關(guān)的的信信息息系系統(tǒng)統(tǒng)時(shí)時(shí)也也必必須須遵遵守守安安全全管管理理規(guī)規(guī)定定，，包包括括承承建建單單位位的的服服務(wù)務(wù)人人員員、、程程序序員員、、系系統(tǒng)統(tǒng)分分析析員員、、軟軟硬硬件件維維修修人人員員和和服服務(wù)務(wù)廠廠商商的的人人員員等等。。同同時(shí)時(shí)還還要要注注意意不不應(yīng)應(yīng)泄泄露露安安全全數(shù)數(shù)據(jù)據(jù)，，提提供供給給員員工工的的安安全全策策略略手手冊(cè)冊(cè)不不應(yīng)應(yīng)刊刊登登敏敏感感度度高高的的安安全全數(shù)數(shù)據(jù)據(jù)，，如如計(jì)計(jì)算算機(jī)機(jī)密密碼碼文文檔檔名名、、技技術(shù)術(shù)安安全全架架構(gòu)構(gòu)、、基基礎(chǔ)礎(chǔ)設(shè)設(shè)施施安安全全措措施施或或系系統(tǒng)統(tǒng)軟軟件件上上的的盲盲點(diǎn)點(diǎn)等等內(nèi)內(nèi)容容。。建議議建建設(shè)設(shè)單單位位設(shè)設(shè)立立安安全全管管理理員員并并明明確確其其職職責(zé)責(zé)設(shè)立立專專職職或或兼兼職職的的安安全全管管理理員員，，是是為為了了確確保保系系統(tǒng)統(tǒng)日日常常的的系系統(tǒng)統(tǒng)安安全全，，管管理理員員的的任任務(wù)務(wù)就就是是負(fù)負(fù)責(zé)責(zé)建建立立、、監(jiān)監(jiān)控控并并執(zhí)執(zhí)行行安安全全管管理理規(guī)規(guī)定定。。安安全全管管理理員員的的主主要要職職責(zé)責(zé)和和權(quán)權(quán)利利有有：：（1））必必須須充充分分了了解解系系統(tǒng)統(tǒng)配配置置、、系系統(tǒng)統(tǒng)組組件件本本質(zhì)質(zhì)的的安安全全弱弱點(diǎn)點(diǎn)與與安安全全政政策策，，針針對(duì)對(duì)潛潛在在的的威威脅脅，，安安全全管管理理員員必必須須發(fā)發(fā)現(xiàn)現(xiàn)可可能能對(duì)對(duì)系系統(tǒng)統(tǒng)造造成成影影響響的的脆脆弱弱點(diǎn)點(diǎn)。。（2））口口令令管管理理，，包包括括其其保保護(hù)護(hù)、、分分發(fā)發(fā)、、存存儲(chǔ)儲(chǔ)、、字字符符長(zhǎng)長(zhǎng)度度與與有有效效期期。。（3））必必須須分分配配有有足足夠夠的的系系統(tǒng)統(tǒng)資資源源，，以以便便其其監(jiān)監(jiān)控控操操作作更更新新及及任任何何違違反反安安全全的的行行為為。。（4））在在安安全全策策略略的的指指導(dǎo)導(dǎo)下下，，通通過(guò)過(guò)口口令令、、用用戶戶無(wú)無(wú)法法改改變變的的安安全全標(biāo)標(biāo)記記、、會(huì)會(huì)話話控控制制、、屏屏幕幕鎖鎖、、軟軟件件與與操操作作系系統(tǒng)統(tǒng)補(bǔ)補(bǔ)丁丁更更新新以以及及安安全全管管理理等等機(jī)機(jī)制制建建立立或或運(yùn)運(yùn)行行一一個(gè)個(gè)安安全全系系統(tǒng)統(tǒng)。。（5））必必須須通通過(guò)過(guò)監(jiān)監(jiān)控控正正確確的的文文檔檔與與站站點(diǎn)點(diǎn)及及時(shí)時(shí)掌掌握握系系統(tǒng)統(tǒng)的的潛潛在在弱弱點(diǎn)點(diǎn)，，接接受受已已發(fā)發(fā)布布的的操操作作系系統(tǒng)統(tǒng)補(bǔ)補(bǔ)丁丁與與計(jì)計(jì)算算機(jī)機(jī)應(yīng)應(yīng)急急響響應(yīng)應(yīng)組組的的建建議議。。（6））鑒鑒于于職職責(zé)責(zé)劃劃分分的的原原則則，，安安全全管管理理員員不不應(yīng)應(yīng)負(fù)負(fù)責(zé)責(zé)或或介介入入應(yīng)應(yīng)用用系系統(tǒng)統(tǒng)的的開開發(fā)發(fā)與與維維護(hù)護(hù)，，也也不不應(yīng)應(yīng)是是系系統(tǒng)統(tǒng)用用戶戶、、程程序序員員、、系系統(tǒng)統(tǒng)分分析析員員或或計(jì)計(jì)算算機(jī)機(jī)操操作作員員。。訪問問控控制制訪問問控控制制軟軟件件可可以以禁禁止止未未經(jīng)經(jīng)授授權(quán)權(quán)的的數(shù)數(shù)據(jù)據(jù)訪訪問問、、系系統(tǒng)統(tǒng)功功能能的的調(diào)調(diào)用用及及程程序序的的使使用用、、修修改改或或變變更更，，察察覺覺或或防防范范未未經(jīng)經(jīng)授授權(quán)權(quán)使使用用系系統(tǒng)統(tǒng)資資源源的的企企圖圖。。系系統(tǒng)統(tǒng)安安全全軟軟件件與與操操作作系系統(tǒng)統(tǒng)互互相相配配合合，，扮扮演演所所有有系系統(tǒng)統(tǒng)安安全全的的中中心心控控制制角角色色，，在在操操作作系系統(tǒng)統(tǒng)之之上上運(yùn)運(yùn)作作，，提提供供管管理理數(shù)數(shù)據(jù)據(jù)訪訪問問的的功功能能。。（1）系統(tǒng)安安全軟件通常常執(zhí)行下列工工作：對(duì)用戶身份的的驗(yàn)證；授權(quán)使用預(yù)先先定義的資源源；限制用戶從特特定終端設(shè)備備訪問數(shù)據(jù)；；報(bào)告未經(jīng)授權(quán)權(quán)訪問數(shù)據(jù)及及程序的企圖圖。（2）訪問控控制軟件可以以提供下列功功能：用戶在網(wǎng)絡(luò)和和子系統(tǒng)層面面的登錄驗(yàn)證證；用戶在應(yīng)用程程序和交易類類別的驗(yàn)證；；用戶在數(shù)據(jù)庫(kù)庫(kù)中的驗(yàn)證；；用戶在子系統(tǒng)統(tǒng)數(shù)據(jù)層面的的驗(yàn)證。（3）授權(quán)是是訪問控制軟軟件的最重要要部分，有關(guān)關(guān)授權(quán)的項(xiàng)目目可以分為下下列幾類：建立登錄賬戶戶和用戶授權(quán)權(quán)使用的機(jī)制制；限制某些特殊殊賬號(hào)只能從從某些特定的的終端設(shè)備登登錄；在預(yù)定時(shí)間內(nèi)內(nèi)的訪問；從預(yù)先定義授授權(quán)程序庫(kù)中中調(diào)用程序執(zhí)執(zhí)行特定任務(wù)務(wù)；建立訪問的規(guī)規(guī)則；建立個(gè)人賬戶戶管理和日志志審計(jì)機(jī)制；；數(shù)據(jù)文檔和數(shù)數(shù)據(jù)庫(kù)變更的的記錄；登錄事件的記記錄；記錄用戶的活活動(dòng)；記錄數(shù)據(jù)庫(kù)異異常訪問活動(dòng)動(dòng)，監(jiān)控違規(guī)規(guī)事件；報(bào)告生成及事事件通知的功功能。邏輯安全的處處理方法監(jiān)理工程師在在對(duì)建設(shè)單位位提出邏輯安安全的處理方方法建議時(shí)，，主要考慮的的因素有：驗(yàn)證技術(shù)，即即身份認(rèn)證的的方法，設(shè)定定的基本原則則是：只有你你知道的事情情，如帳號(hào)和和密碼；只有有你擁有的東東西，如身份份證、工作證證；只有你具具有的特征，，如指紋、聲聲音、虹膜等等；帳號(hào)和密碼，，雙層控制；；訪問日志；在線日志記錄錄；生物特征安全全訪問控制；；終端設(shè)備使用用限制；控制撥號(hào)訪問問的回?fù)芗夹g(shù)術(shù)；限制并監(jiān)控系系統(tǒng)的安全旁旁路；數(shù)據(jù)保密分級(jí)級(jí)；保密數(shù)據(jù)的防防護(hù)，通過(guò)邏邏輯或物理訪訪問控制來(lái)避避免未授權(quán)人人閱讀或修改改；設(shè)定訪問控制制的命名規(guī)則則；安全測(cè)試等。。架構(gòu)安全的信信息網(wǎng)絡(luò)系統(tǒng)統(tǒng)需要關(guān)注的要要點(diǎn)有：由于未授權(quán)的的變更導(dǎo)致數(shù)數(shù)據(jù)和程序的的完整性受損損；由于無(wú)法維護(hù)護(hù)版本控制而而缺乏對(duì)現(xiàn)有有數(shù)據(jù)的保護(hù)護(hù)；由于缺少對(duì)用用戶有效的訪訪問驗(yàn)證及潛潛在的威脅(如通過(guò)撥號(hào)號(hào)連接非法訪訪問局域網(wǎng)等等)；病毒感染；由于沒有遵守守"需要知道道"的授權(quán)原原則，而導(dǎo)致致數(shù)據(jù)存在不不適當(dāng)?shù)谋┞堵讹L(fēng)險(xiǎn)；侵犯軟件版權(quán)權(quán)(如使用盜盜版或使用超超過(guò)許可用戶戶數(shù)的軟件)；非法進(jìn)入(如如模仿或偽裝裝成一個(gè)合法法的局域網(wǎng)用用戶)；內(nèi)部用戶的非非法竊取(Sniffing)；內(nèi)部用戶的電電子欺騙(Spoofing)；登錄的資料被被破壞。有效的網(wǎng)絡(luò)安安全管理有：：聲明程序、文文件幾儲(chǔ)存介介質(zhì)的所有權(quán)權(quán)；限制訪問時(shí)只只能執(zhí)行寫保保護(hù)；監(jiān)理記錄及文文件鎖定以防防同時(shí)更新；；強(qiáng)制用戶執(zhí)行行帳號(hào)與密碼碼登錄程序，，包括密碼長(zhǎng)長(zhǎng)度、格式和和定期更換的的規(guī)則等。防火墻防火墻是指設(shè)設(shè)置在不同網(wǎng)網(wǎng)絡(luò)（如可信信任的企業(yè)內(nèi)內(nèi)部網(wǎng)和不可可信的公共網(wǎng)網(wǎng)）或網(wǎng)絡(luò)安安全域之間的的一系列部件件的組合。它它是不同網(wǎng)絡(luò)絡(luò)或網(wǎng)絡(luò)安全全域之間信息息的唯一出入入口，能根據(jù)據(jù)建設(shè)單位的的安全政策控控制（允許、、拒絕、監(jiān)測(cè)測(cè)）出入網(wǎng)絡(luò)絡(luò)的信息流，，且本身具有有較強(qiáng)的抗攻攻擊能力。它它是提供信息息安全服務(wù)，，實(shí)現(xiàn)網(wǎng)絡(luò)和和信息安全的的基礎(chǔ)設(shè)施。。防火墻作為主主要的安全產(chǎn)產(chǎn)品有以下幾幾種分類方式式：按照采用的防防御技術(shù)方式式，可以分為為包過(guò)濾防火火墻、應(yīng)用網(wǎng)網(wǎng)關(guān)防火墻和和復(fù)合防火墻墻；按照防火墻存存在形式，可可以分為硬件件防火墻、軟軟件防火墻和和軟硬結(jié)合防防火墻；按照應(yīng)用對(duì)象象類型，可以以分為企業(yè)級(jí)級(jí)防火墻和個(gè)個(gè)人防火墻；；按照支持網(wǎng)絡(luò)絡(luò)吞吐能力，，可以分為百百兆防火墻和和千兆防火墻墻入侵檢測(cè)系統(tǒng)統(tǒng)執(zhí)行的主要要任務(wù)包括：：監(jiān)視、分析用用戶及系統(tǒng)活活動(dòng)；審計(jì)系系統(tǒng)構(gòu)造和弱弱點(diǎn)；識(shí)別、反映已已知進(jìn)攻的活活動(dòng)模式，向向相關(guān)人士報(bào)報(bào)警；統(tǒng)計(jì)分析異常常行為模式；；評(píng)估重要系統(tǒng)統(tǒng)和數(shù)據(jù)文件件的完整性；；審計(jì)、跟蹤管管理操作系統(tǒng)統(tǒng)，識(shí)別用戶戶違反安全策策略的行為。。入侵檢測(cè)一般般分為3個(gè)步步驟：信息收收集、數(shù)據(jù)分分析、響應(yīng)。。信息收集的內(nèi)內(nèi)容包括系統(tǒng)統(tǒng)、網(wǎng)絡(luò)、數(shù)數(shù)據(jù)及用戶活活動(dòng)的狀態(tài)和和行為。入侵侵檢測(cè)利用的的信息一般來(lái)來(lái)自系統(tǒng)日志志、目錄以及及文件中的異異常改變、程程序執(zhí)行中的的異常行為及及物理形式的的入侵信息。。數(shù)據(jù)分析是入入侵檢測(cè)的核核心。它首先先構(gòu)建分析器器，把收集到到的信息經(jīng)過(guò)過(guò)預(yù)處理，建建立一個(gè)行為為分析引擎或或模型，然后后向模型中植植入時(shí)間數(shù)據(jù)據(jù)，在知識(shí)庫(kù)庫(kù)中保存植入入數(shù)據(jù)的模型型。數(shù)據(jù)分析析一般通過(guò)模模式匹配、統(tǒng)統(tǒng)計(jì)分析和完完整性分析３３種手段進(jìn)行行。前兩種方方法用于實(shí)時(shí)時(shí)入侵檢測(cè)，，而完整性分分析則用于事事后分析?？煽捎茫捣N統(tǒng)計(jì)計(jì)模型進(jìn)行數(shù)數(shù)據(jù)分析：操操作模型、方方差、多元模模型、馬爾柯柯夫過(guò)程模型型、時(shí)間序列列分析。統(tǒng)計(jì)計(jì)分析的最大大優(yōu)點(diǎn)是可以以學(xué)習(xí)用戶的的使用習(xí)慣。。入侵檢測(cè)系統(tǒng)統(tǒng)在發(fā)現(xiàn)入侵侵后會(huì)及時(shí)作作出響應(yīng)，包包括切斷網(wǎng)絡(luò)絡(luò)連接、記錄錄事件和報(bào)警警等。響應(yīng)一一般分為主動(dòng)動(dòng)響應(yīng)（阻止止攻擊或影響響進(jìn)而改變攻攻擊的進(jìn)程））和被動(dòng)響應(yīng)應(yīng)（報(bào)告和記記錄所檢測(cè)出出的問題）兩兩種類型。主主動(dòng)響應(yīng)由用用戶驅(qū)動(dòng)或系系統(tǒng)本身自動(dòng)動(dòng)執(zhí)行，可對(duì)對(duì)入侵者采取取行動(dòng)（如斷斷開連接）、、修正系統(tǒng)環(huán)環(huán)境或收集有有用信息；被被動(dòng)響應(yīng)則包包括告警和通通知、簡(jiǎn)單網(wǎng)網(wǎng)絡(luò)管理協(xié)議議（SNMP）陷阱和插插件等。另外外，還可以按按策略配置響響應(yīng)，可分別別采取立即、、緊急、適時(shí)時(shí)、本地的長(zhǎng)長(zhǎng)期和全局的的長(zhǎng)期等行動(dòng)動(dòng)。入侵檢測(cè)系統(tǒng)統(tǒng)可以分為如如下幾種類型型：基于主機(jī)的入入侵檢測(cè)系統(tǒng)統(tǒng)，其輸入數(shù)數(shù)據(jù)來(lái)源于系系統(tǒng)的審計(jì)日日志，一般只只能檢測(cè)該主主機(jī)上發(fā)生的的入侵?；诰W(wǎng)絡(luò)的入入侵檢測(cè)系統(tǒng)統(tǒng)，其輸入數(shù)數(shù)據(jù)來(lái)源于網(wǎng)網(wǎng)絡(luò)的信息流流，能夠檢測(cè)測(cè)該網(wǎng)段上發(fā)發(fā)生的網(wǎng)絡(luò)入入侵。分布式入侵檢檢測(cè)系統(tǒng)，能能夠同時(shí)分析析來(lái)自主機(jī)系系統(tǒng)審計(jì)日志志和網(wǎng)絡(luò)數(shù)據(jù)據(jù)流的入侵檢檢測(cè)系統(tǒng)，系系統(tǒng)由多個(gè)部部件組成，采采用分布式結(jié)結(jié)構(gòu)。數(shù)據(jù)備份與災(zāi)災(zāi)難恢復(fù)的安安全管理原因主要有以以下幾個(gè)方面面：自然災(zāi)害，如如水災(zāi)、火災(zāi)災(zāi)、雷擊、地地震等造成計(jì)計(jì)算機(jī)系統(tǒng)的的破壞，導(dǎo)致致存儲(chǔ)數(shù)據(jù)被被破壞或完全全丟失；系統(tǒng)管理員及及維護(hù)人員的的誤操作；計(jì)算機(jī)設(shè)備故故障，其中包包括存儲(chǔ)介質(zhì)質(zhì)的老化、失失效；病毒感染造成成的數(shù)據(jù)破壞壞；Internet上“黑黑客”的侵入入和來(lái)自內(nèi)部部網(wǎng)的蓄意破破壞等。災(zāi)難恢復(fù)的意意義在于：降低風(fēng)險(xiǎn)，保保證在發(fā)生各各種不可預(yù)料料的故障、破破壞性事故或或其他災(zāi)難情情況下，能夠夠持續(xù)服務(wù)，，確保業(yè)務(wù)系系統(tǒng)的不間斷斷運(yùn)行，降低低各種損失；；在遇到災(zāi)難襲襲擊時(shí)，最大大限度地保護(hù)護(hù)數(shù)據(jù)的實(shí)時(shí)時(shí)性、完整性性和一致性，，降低數(shù)據(jù)的的損失，快速速恢復(fù)系統(tǒng)的的操作、應(yīng)用用和數(shù)據(jù)；提供各種恢復(fù)復(fù)策略的選擇擇，盡量減少少數(shù)據(jù)備份策略的選選擇備份與恢復(fù)是是一種數(shù)據(jù)安安全策略，通通過(guò)備份軟件件把數(shù)據(jù)備份份到磁帶上，，在原始數(shù)據(jù)據(jù)丟失或遭到到破壞的情況況下，利用備備份數(shù)據(jù)把原原始數(shù)據(jù)恢復(fù)復(fù)出來(lái)，使系系統(tǒng)能夠正常常工作。全備份，將系系統(tǒng)中所有的的數(shù)據(jù)信息全全部備份；差分備份，只只備份上次備備份后系統(tǒng)中中變化過(guò)的數(shù)數(shù)據(jù)信息；增量備份，只只備份上次完完全備份后系系統(tǒng)中變化過(guò)過(guò)的數(shù)據(jù)信息息數(shù)據(jù)備份與恢恢復(fù)技術(shù)通常常會(huì)涉及到以以下幾個(gè)方面面：存儲(chǔ)設(shè)備：磁磁盤陣列、磁磁帶、光盤、、SAN設(shè)備備存儲(chǔ)優(yōu)化：DAS、NAS、SAN存儲(chǔ)保護(hù)：磁磁盤陣列、雙雙機(jī)容錯(cuò)、集集群、備份與與恢復(fù)存儲(chǔ)管理：文文件與卷管理理、復(fù)制、SAN管理備份與恢復(fù)技技術(shù)。備份方式的選選擇硬件備備份硬件備備份是是指用用冗余余的硬硬件來(lái)來(lái)保證證系統(tǒng)統(tǒng)的連連續(xù)運(yùn)運(yùn)行。。比如如磁盤盤鏡像像、磁磁盤陣陣列、、雙機(jī)機(jī)容錯(cuò)錯(cuò)等方方式。。簡(jiǎn)單地地講，，磁盤盤鏡像像（Mirroring）就就是一一個(gè)原原始的的設(shè)備備虛擬擬技術(shù)術(shù)，它它的原原理是是：系系統(tǒng)產(chǎn)產(chǎn)生的的每個(gè)個(gè)I/O操操作都都在兩兩個(gè)磁磁盤上上執(zhí)行行，而而兩個(gè)個(gè)磁盤盤看起起來(lái)就就像一一個(gè)磁磁盤一一樣。。有三三種方方式可可以實(shí)實(shí)現(xiàn)磁磁盤鏡鏡像：：運(yùn)行行在主主機(jī)系系統(tǒng)的的軟件件，外外部磁磁盤子子系統(tǒng)統(tǒng)和主主機(jī)I/O控制制器。。第一一種方方式是是軟件件方式式，而而后兩兩種主主要是是硬件件實(shí)現(xiàn)現(xiàn)方式式。磁盤陣陣列（（DiskArray）分分為軟軟陣列列(SoftwareRaid)和硬硬陣列列(HardwareRaid)兩兩種。。軟陣陣列即即通過(guò)過(guò)軟件件程序序并由由計(jì)算算機(jī)的的CPU提提供運(yùn)運(yùn)行能能力所所成。。由于于軟件件程序序不是是一個(gè)個(gè)完整整系統(tǒng)統(tǒng)，它它只能能提供供最基基本的的RAID容容錯(cuò)功功能。。硬陣陣列是是由獨(dú)獨(dú)立操操作的的硬件件提供供整個(gè)個(gè)磁盤盤陣列列的控控制和和計(jì)算算功能能，不不依靠靠系統(tǒng)統(tǒng)的CPU資源源。由由于硬硬陣列列是一一個(gè)完完整的的系統(tǒng)統(tǒng)，所所有需需要的的功能能均可可以做做進(jìn)去去，所所以硬硬陣列列所提提供的的功能能和性性能均均比軟軟陣列列好，，而且且，如如果你你想把把系統(tǒng)統(tǒng)也做做到磁磁盤陣陣列中中，硬硬陣列列是唯唯一的的選擇擇。建議建建設(shè)單單位制制定災(zāi)災(zāi)難恢恢復(fù)計(jì)計(jì)劃為有效效進(jìn)行行災(zāi)難難恢復(fù)復(fù)，需需要編編制災(zāi)災(zāi)難恢恢復(fù)計(jì)計(jì)劃。。有效效地制制定災(zāi)災(zāi)難恢恢復(fù)計(jì)計(jì)劃必必須和和商業(yè)業(yè)優(yōu)先先權(quán)以以及現(xiàn)現(xiàn)有的的IT基礎(chǔ)礎(chǔ)及預(yù)預(yù)算相相配合合。災(zāi)災(zāi)難恢恢復(fù)計(jì)計(jì)劃的