第10章信息系統(tǒng)的安全策略

第10章信息系統(tǒng)的平安戰(zhàn)略10.1信息系統(tǒng)平安戰(zhàn)略的內(nèi)涵10.2信息系統(tǒng)平安戰(zhàn)略的方案10.3信息系統(tǒng)平安管理的實(shí)施10.4系統(tǒng)備份和恢復(fù)10.5審計(jì)與評(píng)價(jià)

10.1信息系統(tǒng)平安戰(zhàn)略的內(nèi)涵10.1.1平安戰(zhàn)略是平安管理的指點(diǎn)原那么10.1.2平安戰(zhàn)略的目的與內(nèi)容10.1.3平安戰(zhàn)略的根本流程10.1.4平安戰(zhàn)略的特征10.1.5與信息平安戰(zhàn)略有關(guān)的名詞簡(jiǎn)介

10.1信息系統(tǒng)平安戰(zhàn)略的內(nèi)涵信息平安戰(zhàn)略〔InformationSecurityPolicies〕是對(duì)信息平安管理系統(tǒng)〔informationsecuritymanagementsystemISMS〕的目的和意圖的高層次描畫。平安戰(zhàn)略應(yīng)符合業(yè)務(wù)需求和相關(guān)法律、法規(guī)，應(yīng)能提供管理的方向和支持。平安戰(zhàn)略構(gòu)成的文件應(yīng)獲得管理層的同意，應(yīng)與內(nèi)外部相關(guān)的團(tuán)體、部門溝通并向一切員工發(fā)布，應(yīng)按方案或變化進(jìn)展評(píng)審和改良，確保戰(zhàn)略的繼續(xù)性、穩(wěn)定性、充分性與有效性。概括地講，平安戰(zhàn)略為確保ISMS的“平安〞，提供ISMS“資源與現(xiàn)狀〞的“需求〞、提出ISMS“目的與原那么〞的“要求〞。實(shí)踐上的平安管理都是分級(jí)、分層次的，所以可以有各級(jí)、各層次的平安戰(zhàn)略。10.1.1平安戰(zhàn)略是平安管理的指點(diǎn)原那么信息平安戰(zhàn)略是組織對(duì)信息系統(tǒng)平安進(jìn)展管理、維護(hù)的指點(diǎn)原那么。在平安戰(zhàn)略的指點(diǎn)下開展平安技術(shù)工程、訂立平安管理制度、組織協(xié)調(diào)實(shí)施、監(jiān)視、檢查與改良，并構(gòu)成為對(duì)系統(tǒng)平安的要求和目的進(jìn)展詳細(xì)描畫的高層的管理文檔。信息平安戰(zhàn)略陳說(shuō)信息平安系統(tǒng)應(yīng)該做什么以及如何去做。信息系統(tǒng)的平安戰(zhàn)略是信息平安管理的重要組成部分。沒(méi)有一個(gè)好的平安戰(zhàn)略，就能夠?qū)π畔⑵桨驳闹笓]發(fā)生破綻與混亂，對(duì)平安呵斥極大的危害，對(duì)社會(huì)與經(jīng)濟(jì)帶來(lái)極大的損失。10．1．2平安戰(zhàn)略的目的與內(nèi)容平安戰(zhàn)略的目的是提供建立、實(shí)施、運(yùn)作、監(jiān)控、評(píng)審、維護(hù)和改良信息平安管理體系〔ISMS〕的規(guī)范，實(shí)現(xiàn)信息平安的性、完好性和可用性。制定平安戰(zhàn)略的目的，是為了保證網(wǎng)絡(luò)平安維護(hù)任務(wù)的整體、方案性及規(guī)范性，保證各項(xiàng)措施和管理手段的正確實(shí)施，使網(wǎng)絡(luò)系統(tǒng)信息數(shù)據(jù)的性、完好性及可運(yùn)用性遭到全面、可靠的維護(hù)。內(nèi)容主要是確定所維護(hù)的對(duì)象是什么、要防備的對(duì)象是什么、在平安防備上能投入多少等。10．1．3平安戰(zhàn)略的根本流程1、進(jìn)展平安需求分析2、對(duì)網(wǎng)絡(luò)系統(tǒng)資源進(jìn)展評(píng)價(jià)、3、對(duì)能夠存在的風(fēng)險(xiǎn)進(jìn)展分析4、確定內(nèi)部信息對(duì)外開放的種類5、明確網(wǎng)絡(luò)系統(tǒng)管理人員的責(zé)任與義務(wù)6、確定針對(duì)潛在風(fēng)險(xiǎn)才去的平安維護(hù)措施的主要構(gòu)成方面10．1．4平安戰(zhàn)略的特征網(wǎng)絡(luò)的平安問(wèn)題不是單純的技術(shù)問(wèn)題，平安管理在整個(gè)網(wǎng)絡(luò)平安維護(hù)任務(wù)中的位置非常重要。任何先進(jìn)的網(wǎng)絡(luò)平安技術(shù)都必需在有效、正確的管理控制下才干得到較好的實(shí)施。平安戰(zhàn)略具有以下一些根本特征：1.全面性：平安戰(zhàn)略的全面性是指它可以適用于系統(tǒng)的一切情況，具有不用修正就可以適用于出現(xiàn)的新情況。2.耐久性：平安戰(zhàn)略的耐久性是指它可以較長(zhǎng)時(shí)間地適用于系統(tǒng)不斷開展變化的情況。為了堅(jiān)持耐久性，在制定平安戰(zhàn)略時(shí)可將能夠發(fā)生變化的部分單列，允許有權(quán)限的人員在未來(lái)系統(tǒng)變化時(shí)修正。10．1．4平安戰(zhàn)略的特征3.現(xiàn)實(shí)性：平安戰(zhàn)略的現(xiàn)實(shí)性是指它可以適用于系統(tǒng)所采用的現(xiàn)有技術(shù)實(shí)現(xiàn)。4.預(yù)見(jiàn)性：平安戰(zhàn)略的預(yù)見(jiàn)性是指它可以適用于系統(tǒng)的5.有效性：平安戰(zhàn)略的有效性是指對(duì)于系統(tǒng)的有關(guān)人員都是可用的。10．1．5與信息平安戰(zhàn)略有關(guān)的名詞簡(jiǎn)介1.資產(chǎn)(asset)：具有價(jià)值的信息與相關(guān)財(cái)富；2.嚴(yán)密性(confidentiality)：資產(chǎn)不能被未授權(quán)的個(gè)人、實(shí)體、流程訪問(wèn)披露。3.完好性(integrity)：資產(chǎn)的真實(shí)、可靠、準(zhǔn)確、可確認(rèn)和不可否認(rèn)性。4.可用性(availability)：信息與相關(guān)資產(chǎn)可保證被授權(quán)的運(yùn)用者訪問(wèn)。5.信息平安(informationsecurity)：信息的嚴(yán)密性、完好性、可用性及其他屬性遭到平安維護(hù)；6.管理系統(tǒng)(managementsystem)：包括組織構(gòu)造、戰(zhàn)略、指點(diǎn)、職責(zé)、實(shí)際、程序、流程和資源的整體。7.信息平安管理系統(tǒng)〔informationsecuritymanagementsystemISMS〕：建立在信息平安的根底上，以開發(fā)、實(shí)施、運(yùn)轉(zhuǎn)、評(píng)審、維護(hù)和改良信息平安的管理系統(tǒng)。8.風(fēng)險(xiǎn)分析(riskanalysis)：系統(tǒng)化地運(yùn)用信息識(shí)別來(lái)源和估計(jì)風(fēng)險(xiǎn)。10．2信息系統(tǒng)平安戰(zhàn)略的方案10.2.1制定信息系統(tǒng)平安戰(zhàn)略方案的參考規(guī)范10.2.2信息系統(tǒng)平安戰(zhàn)略需求思索的范圍10.2.3制定信息系統(tǒng)平安戰(zhàn)略方案的重點(diǎn)和原那么10.2.4信息系統(tǒng)平安戰(zhàn)略的文檔格式10.2.5電子商務(wù)平安戰(zhàn)略方案設(shè)計(jì)模擬

10.2.1制定信息系統(tǒng)平安戰(zhàn)略方案的參考規(guī)范1.ISO/IEC27000系列規(guī)范：國(guó)際規(guī)范化組織〔ISO〕與國(guó)際電工委員會(huì)〔IEC〕從2005年起，陸續(xù)修訂出信息平安管理系統(tǒng)的ISO/IEC27000規(guī)范族，成為國(guó)際信息平安領(lǐng)域的重要規(guī)范，目前已發(fā)布和待發(fā)布的部分規(guī)范簡(jiǎn)介如下：●ISO/IEC27000：概述信息平安管理系統(tǒng)的原測(cè)與術(shù)語(yǔ)?！馡SO/IEC27001：2005信息平安管理系統(tǒng)-規(guī)范與適用指南?！馡SO/IEC27002：2005-信息平安實(shí)際規(guī)那么?！睮SO/IEC17799)〕●ISO/IEC27003：將提供附加指點(diǎn)?！馡SO/IEC27004：將提供評(píng)價(jià)測(cè)試規(guī)范?！馡SO/IEC27005：信息平安風(fēng)險(xiǎn)管理規(guī)范。10．2．2信息系統(tǒng)平安戰(zhàn)略需求思索的范圍ISO/IEC27001:2005附錄A〔援用自ISO/IEC17799〕中列舉了信息平安管理體系的控制目的和控制措施，主要涉及11個(gè)領(lǐng)域的39個(gè)控制目的,133個(gè)控制要點(diǎn)。這些內(nèi)容涵蓋了制定信息系統(tǒng)平安戰(zhàn)略的內(nèi)容時(shí)需求思索的范圍。信息平安管理系統(tǒng)〔ISMS〕的控制目的和控制措施涉及11個(gè)領(lǐng)域簡(jiǎn)介如下：1.平安戰(zhàn)略(SecurityPolicy)2.信息平安的組織(Organizationofinformationsecurity)3.資產(chǎn)管理(Assetmanagement)4.人力資源平安(Humanresourcessecurity)5.物理與環(huán)境平安(Physicalandenvironmentalsecurity)6.通訊與運(yùn)作管理(Communicationsandoperationsmanagement)10．2．2信息系統(tǒng)平安戰(zhàn)略需求思索的范圍7.訪問(wèn)控制(Accesscontrol)8.信息系統(tǒng)采集、開發(fā)與維護(hù)(Informationsystemsacquisition,developmentandmaintenance)9.信息平安事件管理(Informationsecurityincidentmanagement)10.營(yíng)運(yùn)繼續(xù)性管理(Businesscontinuitymanagement)11.符合性(Compliance)10．2．3制定信息系統(tǒng)平安戰(zhàn)略方案的重點(diǎn)和原那么1.信息系統(tǒng)平安戰(zhàn)略的重點(diǎn)在全面思索信息系統(tǒng)平安戰(zhàn)略需求思索的范圍的根底上，突出重點(diǎn)：〔1〕建立信息系統(tǒng)平安的目的框架、整體的方向和原那么。〔2〕業(yè)務(wù)及法律法規(guī)的要求，承當(dāng)合同的平安義務(wù)?！?〕建立組織戰(zhàn)略、風(fēng)險(xiǎn)管理和維護(hù)信息平安管理體系?！?〕建立風(fēng)險(xiǎn)評(píng)價(jià)規(guī)范。〔5〕獲取管理層的同意。10．2．3制定信息系統(tǒng)平安戰(zhàn)略方案的重點(diǎn)和原那么2.制定詳細(xì)方案的原那么〔1〕以“信息系統(tǒng)平安戰(zhàn)略需求思索的范圍〞為參考。〔2〕以本組織的信息系統(tǒng)的需求、運(yùn)轉(zhuǎn)實(shí)際與風(fēng)險(xiǎn)分析為根據(jù)?！?〕權(quán)衡平安投資與風(fēng)險(xiǎn)損失的利弊。〔4〕兼顧有關(guān)各方的權(quán)益。〔5〕思索法律、規(guī)定的要求。 10．2．4信息系統(tǒng)平安戰(zhàn)略的文檔格式平安戰(zhàn)略構(gòu)成的文件是一個(gè)高層的方案方案,是對(duì)平安戰(zhàn)略的全面闡明與部署，信息系統(tǒng)平安戰(zhàn)略的文檔格式如下：1.企業(yè)電子商務(wù)系統(tǒng)概略。2.企業(yè)網(wǎng)絡(luò)架構(gòu)、設(shè)備、信息資產(chǎn)現(xiàn)狀，運(yùn)轉(zhuǎn)實(shí)際與風(fēng)險(xiǎn)分析。3.提供信息平安管理系統(tǒng)〔ISMS〕“資源與現(xiàn)狀〞的“需求〞；提出ISMS對(duì)各項(xiàng)管理的“目的與原那么〞的“要求〞。4.ISMS所要求的保管在各種介質(zhì)中的記錄。5.文檔發(fā)布、溝通與保管的流程安排。6.申報(bào)審批等有關(guān)闡明與補(bǔ)充。10．2．5電子商務(wù)平安戰(zhàn)略方案設(shè)計(jì)模擬經(jīng)過(guò)一個(gè)模擬的中小企業(yè)“信控電子有限責(zé)任公司〞進(jìn)展綜述?！惨弧称髽I(yè)電子商務(wù)平安概略、網(wǎng)絡(luò)架構(gòu)與設(shè)備現(xiàn)狀1.企業(yè)概略中小型企業(yè)，人數(shù)約500人，年?duì)I業(yè)額約6億，電子產(chǎn)品制造與營(yíng)銷。估計(jì)稅后年利潤(rùn)1000萬(wàn)。組織與人員：董事會(huì)5人〔兼總經(jīng)理、副總經(jīng)理〕，人事財(cái)務(wù)約10人，設(shè)計(jì)約35人，消費(fèi)制造約300人，營(yíng)銷約100人，采購(gòu)、保管約20人，保安10人，網(wǎng)站編程約10人，與網(wǎng)管維護(hù)約10人；10．2．5電子商務(wù)平安戰(zhàn)略方案設(shè)計(jì)模擬2.企業(yè)電子商務(wù)概略環(huán)境：公司處于高新開發(fā)區(qū)，辦公室10間〔經(jīng)理、人事財(cái)務(wù)、設(shè)計(jì)、營(yíng)銷、保管與倉(cāng)庫(kù)〕，消費(fèi)車間20間，計(jì)算機(jī)網(wǎng)絡(luò)機(jī)房3間，場(chǎng)地1000平方米。網(wǎng)絡(luò)：三層構(gòu)造的效力器與企業(yè)電子商務(wù)網(wǎng)站。3.網(wǎng)絡(luò)架構(gòu)與設(shè)備現(xiàn)狀〔1〕網(wǎng)絡(luò)架構(gòu)與設(shè)備電子商務(wù)的根底是信息化和網(wǎng)絡(luò)化。電子商務(wù)的平安主要采用數(shù)據(jù)加密和身份認(rèn)證技術(shù)。電子商務(wù)平安要以平安管理為中心，做好是維護(hù)、監(jiān)控、呼應(yīng)和恢復(fù)任務(wù)。本公司電子商務(wù)網(wǎng)絡(luò)可采用〔Web效力器層-運(yùn)用效力器層-數(shù)據(jù)庫(kù)效力器層〕三級(jí)構(gòu)造，圖10.2表示如下：10．2．5電子商務(wù)平安戰(zhàn)略方案設(shè)計(jì)模擬圖10.2電子商務(wù)平安戰(zhàn)略方案10．2．5電子商務(wù)平安戰(zhàn)略方案設(shè)計(jì)模擬4.風(fēng)險(xiǎn)分析該公司的的物理環(huán)境、計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、信息資源構(gòu)建、電子買賣、數(shù)據(jù)存取、訪問(wèn)及組織人事等方面都存在平安風(fēng)險(xiǎn)，需求加以維護(hù)。5.審批與發(fā)布方案經(jīng)各部門討論、研討制定后將向各主管部門申報(bào)審批。同意后，將由人事組織部門組織全體人員學(xué)習(xí)并實(shí)施。同時(shí)由人事組織部門向有關(guān)方面通報(bào)、溝通。10．3信息系統(tǒng)平安管理的實(shí)施10.3.1建立信息平安管理體系〔ISMS〕10.3.2制定實(shí)施方案10.3.3平安管理的實(shí)施

10.3.1建立信息平安管理體系〔ISMS〕1.根據(jù)業(yè)務(wù)的性質(zhì)、組織、位置、資產(chǎn)和技術(shù)定義ISMS范圍和界限，以及被排除范圍的詳細(xì)理由。2.根據(jù)業(yè)務(wù)的性質(zhì)、組織、位置、資產(chǎn)和技術(shù)定義ISMS戰(zhàn)略。3.定義組織風(fēng)險(xiǎn)評(píng)價(jià)的方法。4.識(shí)別風(fēng)險(xiǎn)。5.分析和評(píng)價(jià)風(fēng)險(xiǎn)。6.識(shí)別和評(píng)價(jià)處置風(fēng)險(xiǎn)的選項(xiàng)。7.選擇風(fēng)險(xiǎn)處置的控制目的和控制措施。8.管理層同意建議的剩余風(fēng)險(xiǎn)。9.獲得管理層授權(quán)實(shí)施和運(yùn)作的ISMS。10.預(yù)備適用性聲明。10．3．2制定實(shí)施方案根據(jù)已確定的平安戰(zhàn)略，還要制定平安體系實(shí)施方案，以詳細(xì)實(shí)現(xiàn)平安戰(zhàn)略。1．實(shí)施方案的主要內(nèi)容在方案中要提出詳細(xì)平安防護(hù)措施，如系統(tǒng)標(biāo)識(shí)與認(rèn)證、資源存取控制、密碼加密措施、數(shù)字簽名與認(rèn)證、完好性控制、多層防御措施、網(wǎng)絡(luò)防火墻、隱藏內(nèi)部信息、網(wǎng)絡(luò)系統(tǒng)平臺(tái)平安、數(shù)據(jù)庫(kù)平安、防殺病毒、緊急恢復(fù)、設(shè)立平安監(jiān)控中心、備份(包括關(guān)鍵設(shè)備設(shè)備、系統(tǒng)軟件、信息數(shù)據(jù)的備份)等。在確定網(wǎng)絡(luò)總體設(shè)計(jì)方案的根底上選擇平安防火墻的類型，從平安性、開放性及系統(tǒng)開銷、通訊效率多方面綜合思索選擇采用包過(guò)濾網(wǎng)關(guān)、電路層網(wǎng)關(guān)、運(yùn)用層網(wǎng)關(guān)等方式。此外，制定實(shí)施方案要思索資金投入等實(shí)踐情況，以后還要在“方案一執(zhí)行一維修〞的循環(huán)中不斷完善平安戰(zhàn)略。10．3．2制定實(shí)施方案2．選擇平安技術(shù)正確評(píng)價(jià)、選用平安技術(shù)對(duì)于平安方案的實(shí)施非常重要。為做到選擇較佳方案組合，可制造詳細(xì)的咨詢意見(jiàn)方案，向平安技術(shù)專家和平安產(chǎn)品供應(yīng)商咨詢意見(jiàn)。咨詢意見(jiàn)表中至少應(yīng)包括以下問(wèn)題闡明：1)內(nèi)部網(wǎng)與外部網(wǎng)的銜接關(guān)系，如是單個(gè)主機(jī)相連還是整個(gè)內(nèi)部網(wǎng)系統(tǒng)相連，希望以什么方式接入外部網(wǎng)絡(luò)(如撥號(hào)靈敏度、專線接入等)。2)內(nèi)部網(wǎng)的類型(如Novell、SNA、DECnet、WindowsNT)，網(wǎng)絡(luò)種類的不同將影響到平安方案接口的選擇。10．3．2制定實(shí)施方案3)內(nèi)部網(wǎng)能否為一切用戶都提供訪問(wèn)外部網(wǎng)的效力，以及都提供哪些效力，或者只是建立一個(gè)“虛擬公用網(wǎng)〞(如VPN)并限制對(duì)特定的網(wǎng)址進(jìn)展存取s內(nèi)部網(wǎng)中運(yùn)用外部網(wǎng)的用戶是固定的還是挪動(dòng)的(如有大批挪動(dòng)用戶的單位可采取智能卡與堡壘主機(jī)式防火墻相結(jié)合的方式)。4)能否有加密要求，以及被加密信息的性質(zhì)(國(guó)家、企業(yè)或個(gè)人敏感數(shù)據(jù))、類型(文字、圖片、電子郵件等)；加密是針對(duì)國(guó)內(nèi)的還是針對(duì)國(guó)際的等，以便使被咨詢機(jī)構(gòu)或人員可以做出正確的反響。10．3．3平安管理的實(shí)施1平安管理的類型按OSI的平安體系構(gòu)造規(guī)范定義的四種平安管理類型：1)系統(tǒng)平安管理(systemsecudtymanagement)，主要是管理整個(gè)網(wǎng)絡(luò)環(huán)境的平安。2)平安效力管理(Securityservicemanagement)，對(duì)單個(gè)的平安效力進(jìn)展管理。3)平安機(jī)制管理(securitymechanismmanagement)，即管理平安機(jī)制中的有用信息，這些平安機(jī)制支持有效的平安效力，平安機(jī)制包括密鑰管理、加密、數(shù)字簽名及訪問(wèn)控制等。4)OSI管理的平安(securrityofOSImanagement)，一切OSI網(wǎng)絡(luò)管理函數(shù)、控制參數(shù)和管理信息的平安都是OSI平安的中心，其平安管理能確保OSI的管理協(xié)議和信息被很好地維護(hù)起來(lái)。根據(jù)這四種類型，網(wǎng)絡(luò)管理部門可選擇適當(dāng)?shù)娜蝿?wù)平臺(tái)，建立有效的網(wǎng)絡(luò)平安體系。10．3．3平安管理的實(shí)施2平安管理的行政原那么系統(tǒng)的平安管理在行政安排上遵照三個(gè)原那么，從以下可以看出遵守這些原那么并不困難，關(guān)鍵在于一直堅(jiān)持。(1)多人擔(dān)任原那么每項(xiàng)事關(guān)系統(tǒng)平安的任務(wù)在進(jìn)展時(shí)應(yīng)有兩人以上在場(chǎng)，并且這些人員應(yīng)是經(jīng)過(guò)考核的，以確保這些人員忠實(shí)可靠；另一方面，不能將系統(tǒng)平安維系在某個(gè)人的身上，至少應(yīng)有兩人能掌握、控制網(wǎng)絡(luò)系統(tǒng)平安。(2)系統(tǒng)管理崗位任期有限原那么在普通情況下，系統(tǒng)管理特別是平安管理的職務(wù)不能長(zhǎng)期由某個(gè)人擔(dān)任，這樣一是防止別有用心的人利用長(zhǎng)期的任務(wù)時(shí)機(jī)，從事?lián)p害單位或他人的利益卻不容易暴露：二是防止誤以為該職務(wù)是永久的，一旦被調(diào)離崗位便心懷不滿而損害系統(tǒng)平安。10．3．3平安管理的實(shí)施(3)職責(zé)有限、分別原那么系統(tǒng)管理人員擁有管理網(wǎng)絡(luò)平安的權(quán)益，但這種特權(quán)不能隨意運(yùn)用，要規(guī)定須經(jīng)指點(diǎn)同意才干運(yùn)用的權(quán)益。網(wǎng)絡(luò)各用戶有不應(yīng)探聽、掌握或參與超越本人業(yè)務(wù)范圍以外的與平安有關(guān)的事務(wù)。10．3．3平安管理的實(shí)施3平安管理根底1)根據(jù)平安等級(jí)，確定平安管理的范圍，分別進(jìn)展平安管理。對(duì)平安等級(jí)要求較高的系統(tǒng)，要實(shí)行分區(qū)控制，限制任務(wù)人員出入與己無(wú)關(guān)的區(qū)域。2)制定平安制度和操作規(guī)程，如機(jī)房出入管理制度、設(shè)備管理制度、軟件管理制度、系統(tǒng)維護(hù)制度、備份制度等；制定嚴(yán)厲的操作規(guī)程，操作規(guī)程要遵照職責(zé)分別和多人擔(dān)任的原那么，各負(fù)其責(zé)，事事有人管，各人不越權(quán)。3)注重系統(tǒng)維護(hù)的平安管理，維護(hù)前要報(bào)指點(diǎn)同意，并有平安管理人員在場(chǎng)，要詳細(xì)記錄缺點(diǎn)緣由、維護(hù)內(nèi)容和系統(tǒng)在維護(hù)前后的情況等。10．3．3平安管理的實(shí)施4數(shù)據(jù)管理由于網(wǎng)絡(luò)平安的最終目的是維護(hù)數(shù)據(jù)的平安、完好和可用，但在一個(gè)網(wǎng)絡(luò)系統(tǒng)中存儲(chǔ)的信息數(shù)據(jù)，根據(jù)運(yùn)用者和數(shù)據(jù)本身的性質(zhì)具有不同的重要和程度，如何維護(hù)這些數(shù)據(jù)是一個(gè)非常重要的任務(wù)。目前，業(yè)內(nèi)人士感到數(shù)據(jù)平安和管理方面的問(wèn)題很多。比如，分布式計(jì)算環(huán)境的開展取代了原來(lái)的集中式的主機(jī)系統(tǒng)，導(dǎo)致數(shù)據(jù)分布存儲(chǔ)在微機(jī)(PC)、效力器、小型機(jī)等主機(jī)上。10．3．3平安管理的實(shí)施5實(shí)施和運(yùn)作ISMS1.制定風(fēng)險(xiǎn)處置方案，制定風(fēng)險(xiǎn)處置方案，為信息系統(tǒng)平安管理指出適當(dāng)?shù)墓芾泶胧?、資源、職責(zé)、優(yōu)先級(jí)。同時(shí)要做到：“八定〞：定方案、定崗、定位、定時(shí)間、定員、定目的、定制度、定流程。2.明確風(fēng)險(xiǎn)識(shí)別的要求，明確風(fēng)險(xiǎn)識(shí)別的控制目的、對(duì)資金的需求、平安崗位和職責(zé)分配。3.實(shí)施控制措施和目的，實(shí)施在信息系統(tǒng)平安管理方案中的控制措施以到達(dá)控制目的。10．4系統(tǒng)備份和恢復(fù)10.4.1系統(tǒng)備份10.4.2數(shù)據(jù)備份10.4.3緊急恢復(fù)

10.4.1系統(tǒng)備份通常，人們說(shuō)起備份普通是指數(shù)據(jù)備份，但是從網(wǎng)絡(luò)系統(tǒng)和整體平安思索，全面地說(shuō)，除了數(shù)據(jù)備份外，需求備份的對(duì)象還有其他與網(wǎng)絡(luò)系統(tǒng)平安運(yùn)轉(zhuǎn)有關(guān)的設(shè)備和部件。如網(wǎng)卡缺點(diǎn)、效力器和交換機(jī)缺點(diǎn)、線路缺點(diǎn)等。1．系統(tǒng)備份的主要對(duì)象1)數(shù)據(jù)備份。2)關(guān)鍵設(shè)備及部件，如主機(jī)、路由器、調(diào)制解調(diào)器、網(wǎng)卡、驅(qū)動(dòng)器等。3)電源備份，如運(yùn)用UPS電源、發(fā)電機(jī)、雙回路供電等。4)外部設(shè)備及空調(diào)設(shè)備備份。5)通訊線路備份等。10.4.1系統(tǒng)備份2.設(shè)備備份方式1)在同一部位運(yùn)用兩臺(tái)完全一樣或根本一樣的處置機(jī)，其中一臺(tái)作為備份。2)在本單位附近的某一地點(diǎn)安裝一樣的處置機(jī)作為備份，備份機(jī)地點(diǎn)應(yīng)拉開較大的間隔，以添加其平安程度。3)建立專門后備效力單位，專門提供備用設(shè)備和部件。13．4．2數(shù)據(jù)備份數(shù)據(jù)備份是指將計(jì)算機(jī)系統(tǒng)中硬盤上的一部分?jǐn)?shù)據(jù)經(jīng)過(guò)適當(dāng)?shù)姆绞睫D(zhuǎn)錄到可脫機(jī)保管的介質(zhì)(如磁帶、軟盤和光盤)上，以便需求時(shí)再輸入計(jì)算機(jī)系統(tǒng)運(yùn)用。數(shù)據(jù)備份可防止因天災(zāi)人禍致使計(jì)算機(jī)系統(tǒng)中的數(shù)據(jù)喪失，或由于硬件缺點(diǎn)、誤操作、病毒等呵斥聯(lián)機(jī)數(shù)據(jù)喪失而帶來(lái)的損失，它對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的平安性、可靠性非常重要。在當(dāng)前信息技術(shù)快速開展、信息量日益膨脹的時(shí)代，數(shù)據(jù)備份更加顯示出了其突出的位置。脫機(jī)保管數(shù)據(jù)的另一個(gè)緣由，是計(jì)算機(jī)中硬盤上許多數(shù)據(jù)并不經(jīng)常運(yùn)用，這些數(shù)據(jù)長(zhǎng)期存儲(chǔ)在硬盤上，既占用了珍貴的存儲(chǔ)空間添加存儲(chǔ)本錢，又降低了存儲(chǔ)設(shè)備的存取速度。因此，為了能更有效地利用、管理信息數(shù)據(jù)，只把經(jīng)常運(yùn)用的數(shù)據(jù)放在計(jì)算機(jī)中的硬盤或聯(lián)機(jī)的磁盤陣列等設(shè)備上，而常運(yùn)用的、但又不能失去的數(shù)據(jù)放在聯(lián)機(jī)的后備設(shè)備如磁帶庫(kù)、光盤庫(kù)上，大量的長(zhǎng)期不用的信息那么保管在脫機(jī)介質(zhì)上。13．4．3緊急恢復(fù)不論從技術(shù)、管理、環(huán)境等各方面做了多少任務(wù)，采取了多少措施，還是有能夠出現(xiàn)一些會(huì)呵斥危害網(wǎng)絡(luò)平安的緊急事件，或稱災(zāi)難事件。緊急恢復(fù)又稱災(zāi)難恢復(fù)，是指災(zāi)難產(chǎn)生后迅速采取措施恢復(fù)網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)轉(zhuǎn)。為在發(fā)生災(zāi)難事件以后對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)展快速的恢復(fù)，以減少由此而產(chǎn)生的非直接損失，管理部門有必要制定一個(gè)萬(wàn)一發(fā)生災(zāi)難事件的緊急恢復(fù)方案。該方案應(yīng)建立對(duì)這類事件多長(zhǎng)時(shí)間發(fā)生一次的估計(jì)和對(duì)現(xiàn)有維護(hù)才干的評(píng)價(jià)等內(nèi)容。10．5審計(jì)與評(píng)價(jià)10.5.1平安審計(jì)10.5.2網(wǎng)絡(luò)平安評(píng)價(jià)

10.5.1平安審計(jì)網(wǎng)絡(luò)系統(tǒng)平安審計(jì)，是指在網(wǎng)絡(luò)系統(tǒng)中模擬社會(huì)的監(jiān)察機(jī)構(gòu)對(duì)網(wǎng)絡(luò)系統(tǒng)的活動(dòng)進(jìn)展監(jiān)視和記錄的一種機(jī)制。1．平安審計(jì)的目的利用審計(jì)機(jī)制可以有針對(duì)性地對(duì)網(wǎng)絡(luò)運(yùn)轉(zhuǎn)的情況和過(guò)程進(jìn)展記錄、跟蹤和審查，以從中發(fā)現(xiàn)平安問(wèn)題。比如，經(jīng)過(guò)跟蹤審計(jì)，網(wǎng)絡(luò)管理員不斷地搜集和積累有關(guān)的平安事件記錄并加以分析，有選擇地對(duì)其中的某些站點(diǎn)或用戶進(jìn)展進(jìn)一步跟蹤審計(jì)，以便為能夠產(chǎn)生的破壞性行為提供有力的證據(jù)。此外，審計(jì)還能為制定網(wǎng)上信息過(guò)濾規(guī)那么