第六讲信息安全管理之物理安全教案分析.ppt

物理安全概述 人员安全 1 人员安全管理原则 1、多人负责原则，即每一项与安全有关的活动，都必须有2人或多人在场。 2、任期有限原则，任何人最好不要长期担任与安全有关的职务，以保持该职务具有竞争性和流动性。 3、职责分离原则，处于对安全的考虑，科技开发、生产运行和业务操作都应当职责分离。 2 人员安全管理措施 领导者安全意识 系统管理员意识 一般用户安全意识 外部人员 （1） 组织应监视和分析系统维护前后源代码及信息系统运行情况，防止开发维护人员的破坏行为。 （2） 将特殊身份人员（如警察、记者等）的权限限制在最小范围。 （3） 密切注视竞争对手的近况，防止商业间谍偷袭。 物理安全概述 人员安全 3 内部人员管理制度 1 员工雇佣前 目前在国内人才市场上假文凭、假履历满天飞。各种权学交易、钱学交易的博士硕士班泛滥成灾。 假文凭的泛滥，动摇了社会的公平和信用基础。这种行为本身已经对社会与组织的道德、信用及安全造成了严重侵害。 因此，在招聘新员工或员工升迁时，实施人员安全审查是非常重要的控制措施。 2 员工雇用中 为保证组织在员工雇用中的安全，组织应将安全需求列入员工职责中，确定管理职责及安全事故与安全故障反应机制来确保安全应用于组织内个人的整个雇用期。 （1）员工工作职责 组织在信息安全方针中所规定的安全角色及责任，应适度地书面化与工作职责说明书中。工作职责说明书中的责任应当包含执行、维护组织安全政策的所有一般责任及与员工相关的保护特定信息资产的特殊责任，有关执行特殊安全管理程序或者活动的责任也可以写入说明书中，并通过适宜的方式把相关安全责任要求传达到每一个员工，使其理解并遵照执行。 物理安全概述 人员安全 （2）组织管理职责。 为尽可能减少安全风险，组织应对所有雇员、合同方和第三方用户提供安全程序和信息处理设施的正确使用方面的教育和培训。还应建立一个正式的处理安全违规的纪录处理。 （3）安全事故与安全故障反应机制 安全事故是可能导致资产丢失和损害的任何事件，或是会使组织安全程序破坏的活动。 为把安全事故和安全故障的损害降到最低程度，追踪并从事故中吸取教训，组织应明确有关事故、故障和薄弱点的管理部门，并根据安全事故和安全故障的反应过程建立一个报告、反应、评价和惩戒的机制。 1）确保及时发现问题 2）对事故、故障、薄弱点作出迅速、有序、有效的响应，减少损失 3）从事故中吸取教训 4）建立惩戒机制 物理安全概述 人员安全 3 雇佣的终止和变更 当员工、合同方和第三方用户离开组织或雇用变更时，应有合适的职责确保管理雇员、合同方和第三方用户以一种有序的方式从组织退出，并确保他们归还所有设备及删除他们的所有访问权利。 物理安全概述 人员安全 4 职员授权管理 大量的安全问题关系到人员如何与计算机进行交流以及他们进行工作所需的授权。职员授权管理主要涉及职员定岗、用户管理及承包人或公众访问系统时需要考虑的特殊因素。 （1）职员定岗 安排职员通常涉及至少四个步骤，它们既适用于一般用户也适用于应用管理者、系统管理人员和安全人员。这四个步骤是：（1）定义工作，通常涉及职位描述的制定；（2）确定职位的敏感性；（3）填充职位，涉及审查应聘者和选择人员；（4）培训。 物理安全概述 人员安全 用户管理 对用户计算机访问权的有效管理对于维护系统安全是很重要的。用户账户管理主要是识别、认证和访问授权。审计过程以及定期的验证当前帐户和访问授权的合法性是一种加强措施。最后，还要考虑在员工调职、晋升或离职、退休时及时修改或取消其访问权等相关问题。 （1）用户帐户管理 （2）审计和管理检查 ? 检查每位人员所拥有的访问权水平。 ? 检查对最小特权原则的符合程度。 ? 所有账户是否处于活动状态。 ? 管理授权是否处于更新状态。 ? 是否完成所需的培训。 （3）探测非授权活动 除了审计和审计跟踪分析之外还有几种机制被用于探测非授权和非法活动。 关键系统和应用人员的强制假期可以帮助探测这种活动（但并不保证做到，例如职员返回处理时还没有来得及发现问题）。这对避免产生对单个人员的过度依赖是有用的。 （4）临时任命和部门内调动职位变更和离职 管理系统的一个重要方面涉及保持用户访问授权的更新状态。当出现临时任命和部门内调动时，需要对其访问权限进行相应更改。 物理安全概述 人员安全 3 承包人管理 许多政府机构以及私营机构使用承包人和顾问协助其进行计算机处理。承包人的使用期限经常比员工短，这一因素可能会改变执行审查的成本效益。承包人员的频繁转换增加了安全项目用户管理方面的开销。 4 公众访问管理 政府机构设计、开发和使用的向公众散发信息的公众访问系统，是公开了电话