【精编】信息系统工程的信息安全管理.pptVIP

* 监理督促建设单位进行信息安全规划 5.应用软件维护控制 监理工程师要建议、提醒建设单位需要对所使用的商业软件的版权、来源，应用软件的文档在维护过程是否修改，测试数据的产生与测试结果，是否留有软件测试所建立的后门或热键等问题进行规划和评估。 6.数据完整性与有效性控制 监理工程师要建议、提醒建设单位需要规划和评估的内容包括：系统的备份与恢复措施;计算机病毒的防范与检测制度;是否有实时监控系统日志文件、记录与系统可用性相关的问题，如对系统的主动攻击，处理速度下降和异常停机等。 123 * 监理督促建设单位进行信息安全规划 7.文档管理 监理工程师要建议、提醒建设单位文档管理对信息安全管理文档的协同性的重要，文档是信息安全管理的一部分。 8.安全教育与培训 监理要建议、提醒建设单位必须建立定期进行信息系统的安全教育与培训的制度，对于与重要应用系统相关的工作人员还应以多种方式，针对特定系统进行安全教育与培训。 123 * 信息系统安全管理分析与对策 1、物理访问的安全管理 2、应用环境的安全管理 3、逻辑访问的安全管理 4、架构安全的信息网络系统 5、数据备份与灾难恢复的安全管理 123 * 1、物理访问的安全管理 1.物理访问的定义 物理访问控制是设计用于保护组织防止未授权的访问，并限制只有经过管理阶层授权的人员才能进入。 2.物理访问的风险来源 (1)未经授权进入; (2)毁损、破坏或窃取设备、财产或文件; (3)复制或偷看敏感或有著作权的信息; (4)变更敏感性设备及信息; (5)公开敏感的信息; (6)滥用数据处理资源: (7)勒索; (8)盗用。 123 * 1、物理访问的安全管理 3.可能的错误或犯罪 监理工程师要使建设单位认识到可能的错误或犯罪的情形包括有: (1)员工经授权或未经授权的访问; (2)离职员工; (3)有利害关系的外来者，如竞争者、盗窃者、犯罪集团、黑客等; (4)无知造成的意外，某些人可能在无知情况下犯下错误(可能是员工或外来者)。 4.监理安全管理注意事项 物理访问控制的风险大多可能来自那些恶意或犯罪倾向的行为。在安全监理中值得注意的问题如下: (1)硬件设施在合理范围内是否能防止强制入侵; (2)计算机设备的钥匙是否有良好的控制以降低未授权者进入的危险; (3)智能终端是否上锁或有安全保护，以防止电路板、芯片或计算机被搬移; (4)计算机设备在搬动时是否需要设备授权通行的证明。 123 * 2、应用环境的安全管理 监理工程师在信息系统工程建设过程中，应该提醒、建议建设单位关注的要点有： (1)机房所在楼层，不可在地下室，3, 4, 5, 6层为最佳: (2)门禁系统及出入日志管理，单一出入口; (3)摄影监控; (4)警报系统; (5)机房建设使用具有防火的建材，如防火墙、地板、天花板等; (6)电流脉冲保护装置; (7)备份电力系统; (8)紧急断电装置; (9)不间断电源/发电机; (10)设施中的电线是否配置在防火板槽里; (11)湿度/温度控制设备; (12)防静电、防尘设施; (13)防雷措施; (14)禁止在信息处理场所就餐和吸烟规定; (15)疏散计划的书面文件及测试; (16)计算机终端设备锁定; (17)不公开敏感性设施的位置; (18)文件公用柜的保护: (19)访客的出入控制与陪同制度等。 123 * 3、逻辑访问的安全管理 在逻辑访问控制方面，监理工程师应着重分析并评估项目建设过程中的信息系统策略、组织结构、业务流程及访问控制，以保护信息系统及数据，避免非法访问泄漏或损坏的发生。 监理在逻辑访问风险分析与安全管理上，主要的原则有: (1)了解信息处理的整体环境并评估其安全需求，可通过审查相关数据，询问有关人员，个人观察及风险评估等; (2)通过对一些可能进入系统访问路径进行记录及复核，评价这些控制点的正确性、有效性。这种记录及复核包括审核系统软、硬件的安全管理，以确认其控制弱点或重要点; (3)通过相关测试数据访问控制点，评价安全系统的功能和有效性; (4)分析测试结果和其他审核结论，评价访问控制的环境并判断是否达到控制目标; (5)审核书面策略，观察实际操作和流程，与一般公认的信息安全标准相比较，评价组织环境的安全性及其适