2015CA《风险》第八章 管理信息系统的应用与管理07.docVIP

第八章 管理信息系统的应用与管理 第三节 管理信息系统的管理 二、信息系统安全管理 （二）信息系统安全管理策略（★★） 1.基于网络的安全策略。 管理者为防止对网络的非法访问或非授权用户使用的情况发生，应采取以下策略。 （1）监视日志。 ①读取日志，根据日志的内容至少可确定访问者的情况； ②确保日志本身的安全； ③对日志进行定期检查； ④应将日志保存到下次检查时。 （2）对不正当访问的检测功能。 当出现不正当访问时应设置能够将其查出并通知风险管理者的检测功能。 ①设置对网络及主机等工作状态的监控功能； ②若利用终端进行访问，则对该终端设置指定功能； ③设置发现异常情况时能够使网络、主机等停止工作的功能。 （3）口令。 对依据口令进行认证的网络应采取以下策略： ①用户必须设定口令，并努力做到保密； ②若用户设定口令时，应指导他们尽量避免设定易于猜测的词语，并在系统上设置拒绝这种口令的机制； ③指导用户每隔适当时间就更改口令，并在系统中设置促使更改的功能； ④限制口令的输入次数，采取措施使他人难以推测口令； ⑤用户一旦忘记口令，就提供口令指示，确认后口令恢复； ⑥对口令文本采取加密方法，努力做到保密； ⑦在网络访问登录时，进行身份识别和认证； ⑧对于认证方法，应按照信息系统的安全需求进行选择； ⑨设定可以确认前次登录日期与时间的功能。 （4）用户身份识别（用户ID）管理 ①对于因