第二章资讯中心安全管理与实体安全(Physical Security).pptVIP

黃明祥 目錄 2.1 前言 2.2 人力資源的安全管理 2.3 空間環境資源的安全管理 2.4 硬體設備資源之安全管理 2.5 軟體設備資源之安全管理 2.6 侵入者 2.7 電腦實體安全的評分與建議 2.2 人力資源的安全管理 2.2 人力資源的安全管理 軟體開發組 主要是開發管理資訊系統。 在安全管理上需注意之事項： 稽核人員審核系統分析與設計文件是否有安全漏洞？ 程式完成開發後，需由稽核人員逐一審查，原始程式碼是否與系統分析與設計文件一致？是否有不相干的程式碼或後門程式？ 由稽核人員與程式設計師共同編譯原始程式碼成為可執行檔。 稽核人員必須定期稽核程式是否有被篡改。 2.2 人力資源的安全管理 系統管理組 系統管理組主要任務是讓電腦設備及系統能有效率地正常運轉。 一些安全上問題需注意： 使用者申請使用權限之註冊，需謹慎查核其身份。使用者離職時，必須將其使用權限註銷 隨時監視控制台(Console)，是否有不明身份使用者企圖要登入(Login)到本系統。 定期檢查系統稽核檔(Log File)，是否有異常狀況。 定期檢查網路線是否在安全管線內（沒有漏出）。 是否定期備份資料？ 2.2 人力資源的安全管理 推廣教育組 推展資訊教育、讓相關單位所有員工均能善用資訊中心的設備資源並加強整體資訊安全之觀念。 2.2 人力資源的安全管理 技術支援組 解決使用者有關使用電腦設備之問題，包括修復個人用電腦。 維護工程師或技術員在修護電腦過程中，有時需要使用者之帳號及通行密碼，用完應請使用者即刻更改通行密碼以釐清責任。 2.2 人力資源的安全管理 資訊安全管理組 負責整個資訊系統之安全管理。 BS7799 (CH 16) 2.2 人力資源的安全管理 稽核小組 稽核資訊中心設備與系統是否有安全上漏洞，資訊中心人員是否有安全上疏忽或監守自盜等情形。 2.5 軟體設備資源之安全管理 包括作業系統(Operation System)、公用程式(Utility)或工具(Tool)、管理資訊應用系統、以及使用者資料之安全管理。 軟體程式之安全管理 資料備份對企業和組織而言是非常重要的。 敏感媒體的處理 行政院頒訂之所屬各機關資訊安全管理規範 Homework 1 (2006/10/13) P49 第一、三題 * 第二章 資訊中心安全管理與實體安全 (Physical Security) ? 各行各業仰賴電腦日深 ? 不需特殊專業能力即可威脅資訊安全 ? 以防萬一(天有不測風雲) 實體安全的重要性： 2.1 前言 實體安全就是如何保護資訊系統外 在的環境安全 ? 電腦機房環境不良 ?溫度：20OC - 25OC ?濕度：40% - 60% ?落塵：緊閉門窗、空氣濾清器 ? 停電、雷擊(UPS+穩壓) ? 機房位置規劃不當 ? 火災 ? 地震 ? 水患 影響實體安全種類 2.3 空間環境資源之安全管理 ? 電腦系統故障 ? 預防重於保養、保養重於修理 ? 設備復原：Cold Site(無AP)、Hot Site ? 容錯系統 (Fault Tolerance) 網路斷線 不正常使用 2.4 硬體設備資源之安全管理 導致電腦硬體設備與系統(含網路)不能正常使 用的原因 ping .tw [Enter] Pinging .tw [0] with 32 bytes of data: Reply from 0: bytes=32 time1ms TTL=242 Reply from 0 : bytes=32 time1ms TTL=242 Reply from 0 : bytes=32 time1ms TTL=242 Reply from 0 : bytes=32 time1ms TTL=242 ? 測試四次、每次以32 Bytes資料測試、 TTL: Time to Live尚可再經過之站數(初始值 255) ? 當Ping之網路位址不存在時，則回應錯誤訊息 Bad IP address .jp 網路品質監測軟體Ping ping -t .tw [Enter] 表示會一直送資料測試，一直到由使用者中斷它(同時 按Ctrl及C鍵)，才會停止測試，通常用於長時間監測。 ping -n 10 .tw [Enter] 表示會做十次測試，一般不指定時僅做四次測試。 ping -l 64 .tw [Enter] 表示每次以64位元組資料做測試，一般是32位元。 ping -i 10 .tw [Enter] 表示此