信息安全保证措施.docxVIP

信息安全保证措施 1.1. 信息系统及信息资源安全保障措施 1.1.1. 管理制度 加强信息系统运行维护制度建设 ,就是保障系统的安全运行的关键。制定的 运行维护管理制度应包括系统管理员工作职责、 系统安全员工作职责、 系统密钥 员工作职责、信息系统安全管理制度等安全运行维护制度。 1.1.2. 运行管理 1.1.2.1. 组织机构 按照信息系统安全的要求 ,建立安全运行管理领导机构与工作机构。建立信 息系统“三员”管理制度 , 即设立信息系统管理员、系统安全员、系统密钥员 ,负 责系统安全运行维护与管理 ,为信息系统安全运行提供组织保障。 1.1.2.2. 监控体系 监控体系包括监控策略、监控技术措施等。在信息系统运行管理中 ,需要制 定有效的监控策略 ,采用多种技术措施与管理手段加强系统监控 ,从而构建有效的 监控体系 ,保障系统安全运行。 1.1.3. 终端安全 加强信息系统终端安全建设与管理应该做到如下几点 : (1)突出防范重点 :安全建设应把终端安全与各个层面自身的安全放在同等重 要的位置。 在安全管理方面尤其要突出强化终端安全。 终端安全的防范重点包括 接入网络计算机本身安全及用户操作行为安全。 (2)强化内部审计 :对信息系统来说 ,如果内部审计没有得到重视 ,会对安全造 成较大的威胁。强化内部审计不但要进行网络级审计 ,更重要就是对内网里用户 进行审计。 (3)技术与管理并重 :在终端安全方面 ,单纯的技术或管理都不能解决终端安 全问题 , 因为终端安全与每个系统用户相联系。通过加强内部安全管理以提高终 端用户的安全意识 ;通过加强制度建设 ,规范与约束终端用户的操作行为 ;通过内 部审计软件部署审计规则 ,对用户终端系统本身与操作行为进行控制与审计 ,做到 状态可监控 ,过程可跟踪 ,结果可审计。从而在用户终端层面做到信息系统安全。 1.1.4. 物理层安全 物理层的安全设计应从三个方面考虑 :环境安全、设备安全、线路安全。采 取的措施包括 :机房屏蔽 , 电源接地 ,布线隐蔽 ,传输加密。 对于环境安全与设备安全 , 信息安全保证措施 国家都有相关标准与实施要求 ,可以按照相关要求具体开展建设。 1.1.5. 应用安全 应用层安全的目标就是建立集中的应用程序认证与授权机制 , 统一管理应用 系统用户的合法访问。应用安全问题包括信息内容保护与信息内容使用管理。 (1) 信息内容保护 :系统分析设计时 ,须充分考虑应用与功能的安全性。 对应用 系统的不同层面 ,如表现层、 业务逻辑层、 数据服务层等 ,采取软件技术安全措施。 同时 ,要考虑不同应用层面与身份认证与代理服务器等交互。 数据加密技术。通过采用一定的加密算法对信息数据进行加密 ,可提高信息 内容的安全性。 防病毒技术。病毒就是系统最常见、威胁最大的安全隐患。对信息系统中关 键的服务器 ,如应用服务器、 数据服务器等 ,应安装网络版防病毒软件客户端 , 由防 病毒服务器进行集中管理。 (2) 信息内容管理 :采用身份认证技术、 单点登录以及授权对各种应用的安全 性增强配置服务来保障信息系统在应用层的安全。 根据用户身份与现实工作中的 角色与职责 ,确定访问应用资源的权限。应做到对用户接入网络的控制与对信息 资源访问与用户权限进行绑定。 单点登录实现一次登录可以获得多个应用程序的访问能力。 在提高系统访问 效率与便捷方面扮演重要角色。有助于用户账号与口令管理 ,减少因口令破解引 起的风险。 门户系统 (内部网站 )作为企业访问集中入口。用户可通过门户系统访问集成 化的各个应用系统。 (3) 建立数据备份与恢复机制 建立数据备份与恢复系统 ,制定备份与恢复 策略 , 系统发生故障后能较短时间恢复应用与数据。 1.1.6. 平台安全 信息系统平台安全包括操作系统安全与数据库安全。服务器包括数据库服 务器、应用服务器、 Web 服务器、代理服务器、 Email 服务器、防病毒服务器、 域服务器等 ,应采用服务器版本的操作系统。典型的操作系统有 :IBM AIX、 SUN Solaris、HP Unix、Windows NT Server、Windows2000 Server、Windows2003 Server。 网管