- 1、本文档共4页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
信息安全管理完全手册.docx
信息安全管理完全手册
一、信息安全管理的范围 网络信息的安全管理包括以下四类活动: 1. 系统安全管理,涉及安全管理的各个方面,典型活动为: (1) 总体安全策略的管理,包括一致性的修改与维护; (2) 与其他管理功能的相互作用; (3) 与安全服务管理和安全机制管理的交互作用; (4) 事件处理管理; (5) 安全审计管理; (6) 安全恢复管理。 2.安全服务管理,涉及特定安全服务管理的各个方面,典型活动为: (1)为某种安全服务决定与指派安全保护目标; (2)在可选情况下,指定并维护选择规则,选取安全服务使用的特定的安全机制; (3) 对那些需要事先取得管理同意的可用安全机制进行协商(本地的与远程的); (4) 通过适当的安全机制管理功能调用特定的安全机制(例如提供行政管理强加的
安全服务); (5) 与其他安全服务管理功能和安全机制管理功能的交互作用。 3.安全机制管理,涉及特定安全机制的管理,典型活动为: (1)密钥管理; (2)加密管理; (3)数字签名管理; (4)访问控制管理; (5)数据完整性管理; (6)路由选择控制管理。 4.安全管理本身涉及信息的安全。这也是网络信息安全管理的重要部分。这一类安全管理将借助选择适当的安全服务和安全机制来确保安全管理协议和信息获得足够的保护。 二、信息安全管理规范 信息管理部门应根据管理原则和各部门具体情况,制订相应的管理制度或采用相应的规范。具体工作是: 1. 根据工作的重要程度,确定该系统的安全需求。 2. 根据确定的安全需求,确定安全管理的范围。 3. 制订相应的机房出入管理制度。对于安全要求较高的系统,实行分区控制,限制工作人员出入与己无关的区域。出入管理可采用证件识别或安装自动识别登记系统,采用磁卡、身份卡等手段,对人员进行识别、登记管理。 4. 制订严格的操作规程。操作规程要根据职责分离和多人负责的原则,各负其责,不能超越自己的管辖范围。 5. 制订完备的系统维护制度。对系统进行维护时,应采取数据保护措施,如数据备份等。维护时要首先经主管部门批准,并有安全管理人员在场,故障的原因、维护内容和维护前后的情况要详细记录。 6. 制订应急措施。要制订系统在紧急情况下尽快恢复的应急措施,使损失减至最小。建立人员雇用和解聘制度,对工作调动和离职人员要及时调整相应的授权。 三、人员管理机制 在以下活动中,需要规范的人员管理机制来保障网络应用系统的信息安全: 1. 访问控制证件的发放与回收; 2. 信息处理系统使用的媒介发放与回收; 3. 处理保密信息; 4. 硬件和软件的维护; 5.系统软件的设计、实现和修改; 6. 重要程序和数据的删除和销毁等。 人员管理方面可以采用以下原则: 1.多人负责原则。每一项与安全有关的活动,都必须有两人或多人在场。这些人应是系统主管领导指派的,忠诚可靠,能胜任此项工作;他们应该签署工作情况记录以证明安全工作已得到保障。 2.任期有限原则。为遵循任期有限原则,工作人员应不定期地循环任职,强制实行作假制度,并规定对工作人员进行轮流培训,以使任期有限制度切实可行。 3.职责分离原则。在信息处理系统工作的人员不要打听、了解或参与职责以外的任何与安全有关的事情,除非系统主管领导批准。出于对安全的考虑,下面每组内的两项信息处理工作应当分开: (1) 计算机操作与计算机编程; (2) 机密资料的接收和传送; (3) 安全管理和系统管理; (4) 应用程序和系统程序的编制; (5) 访问证件的管理与其他工作; (6) 计算机操作与信息处理系统使用媒介的保管等。 四、物理设施的管理 为获得系统安全的完全保护,物理安全措施总是必需的。但物理安全的代价通常较高,一般力求通过使用更廉价的技术把对它的需要降到最低限度。 网络应用系统的物理设施包括: 1.机房场地环境; 2.通信线路和网络设备; 3.存储媒体; 4.主机、服务器、终端及各类外设。 五、系统配置的管理 系统配置包括: 1. 网络的拓扑选择、构件的选型与装配,布线设计和参数设置; 2. 主机、服务器、终端及各类外设的选型与参数设置; 3.操作系统、编译系统、数据库管理系统、系统工具的选
文档评论(0)