信息安全保證措施

1、WORD格式 - 專業(yè)學(xué)習(xí)資料 - 可編輯1.1. 信息系統(tǒng)及信息資源安全保障措施1.1.1.管理制度加強信息系統(tǒng)運行維護(hù)制度建設(shè)， 是保障系統(tǒng)的安全運行的關(guān)鍵。 制定的運行維護(hù)管理制度應(yīng)包括系統(tǒng)管理員工作職責(zé)、 系統(tǒng)安全員工作職責(zé)、 系統(tǒng)密鑰員工作職責(zé)、信息系統(tǒng)安全管理制度等安全運行維護(hù)制度。1.1.2.運行管理1.1.2.1.組織機構(gòu)按照信息系統(tǒng)安全的要求，建立安全運行管理領(lǐng)導(dǎo)機構(gòu)和工作機構(gòu)。建立信息系統(tǒng)“三員”管理制度，即設(shè)立信息系統(tǒng)管理員、系統(tǒng)安全員、系統(tǒng)密鑰員，負(fù)責(zé)系統(tǒng)安全運行維護(hù)和管理，為信息系統(tǒng)安全運行提供組織保障。1.1.2.2.監(jiān)控體系監(jiān)控體系包括監(jiān)控策略、監(jiān)控技術(shù)措施等。在

2、信息系統(tǒng)運行管理中，需要制定有效的監(jiān)控策略，采用多種技術(shù)措施和管理手段加強系統(tǒng)監(jiān)控，從而構(gòu)建有效的監(jiān)控體系，保障系統(tǒng)安全運行。1.1.3.終端安全加強信息系統(tǒng)終端安全建設(shè)和管理應(yīng)該做到如下幾點：(1)突出防范重點：安全建設(shè)應(yīng)把終端安全和各個層面自身的安全放在同等重要的位置。 在安全管理方面尤其要突出強化終端安全。 終端安全的防范重點包括接入網(wǎng)絡(luò)計算機本身安全及用戶操作行為安全。(2)強化內(nèi)部審計：對信息系統(tǒng)來說，如果內(nèi)部審計沒有得到重視，會對安全造成較大的威脅。 強化內(nèi)部審計不但要進(jìn)行網(wǎng)絡(luò)級審計， 更重要是對內(nèi)網(wǎng)里用戶進(jìn)行審計。(3)技術(shù)和管理并重：在終端安全方面，單純的技術(shù)或管理都不能解決終

3、端安全問題，因為終端安全與每個系統(tǒng)用戶相聯(lián)系。通過加強內(nèi)部安全管理以提高終端用戶的安全意識；通過加強制度建設(shè)， 規(guī)范和約束終端用戶的操作行為； 通過內(nèi)部審計軟件部署審計規(guī)則， 對用戶終端系統(tǒng)本身和操作行為進(jìn)行控制和審計，做到狀態(tài)可監(jiān)控，過程可跟蹤，結(jié)果可審計。從而在用戶終端層面做到信息系統(tǒng)安全。1.1.4.物理層安全物理層的安全設(shè)計應(yīng)從三個方面考慮：環(huán)境安全、設(shè)備安全、線路安全。采- 學(xué)習(xí)資料分享 -WORD格式 - 專業(yè)學(xué)習(xí)資料 - 可編輯取的措施包括：機房屏蔽，電源接地，布線隱蔽，傳輸加密。對于環(huán)境安全和設(shè)備安全，國家都有相關(guān)標(biāo)準(zhǔn)和實施要求，可以按照相關(guān)要求具體開展建設(shè)。1.1.5.應(yīng)用安

4、全應(yīng)用層安全的目標(biāo)是建立集中的應(yīng)用程序認(rèn)證與授權(quán)機制，統(tǒng)一管理應(yīng)用系統(tǒng)用戶的合法訪問。應(yīng)用安全問題包括信息內(nèi)容保護(hù)和信息內(nèi)容使用管理。(1) 信息內(nèi)容保護(hù)：系統(tǒng)分析設(shè)計時，須充分考慮應(yīng)用和功能的安全性。對應(yīng)用系統(tǒng)的不同層面，如表現(xiàn)層、業(yè)務(wù)邏輯層、數(shù)據(jù)服務(wù)層等，采取軟件技術(shù)安全措施。同時，要考慮不同應(yīng)用層面和身份認(rèn)證和代理服務(wù)器等交互。數(shù)據(jù)加密技術(shù)。通過采用一定的加密算法對信息數(shù)據(jù)進(jìn)行加密，可提高信息內(nèi)容的安全性。防病毒技術(shù)。病毒是系統(tǒng)最常見、威脅最大的安全隱患。對信息系統(tǒng)中關(guān)鍵的服務(wù)器，如應(yīng)用服務(wù)器、數(shù)據(jù)服務(wù)器等，應(yīng)安裝網(wǎng)絡(luò)版防病毒軟件客戶端，由防病毒服務(wù)器進(jìn)行集中管理。(2) 信息內(nèi)容管理：

5、采用身份認(rèn)證技術(shù)、單點登錄以及授權(quán)對各種應(yīng)用的安全性增強配置服務(wù)來保障信息系統(tǒng)在應(yīng)用層的安全。 根據(jù)用戶身份和現(xiàn)實工作中的角色和職責(zé)， 確定訪問應(yīng)用資源的權(quán)限。 應(yīng)做到對用戶接入網(wǎng)絡(luò)的控制和對信息資源訪問和用戶權(quán)限進(jìn)行綁定。單點登錄實現(xiàn)一次登錄可以獲得多個應(yīng)用程序的訪問能力。 在提高系統(tǒng)訪問效率和便捷方面扮演重要角色。 有助于用戶賬號和口令管理， 減少因口令破解引起的風(fēng)險。門戶系統(tǒng)（內(nèi)部網(wǎng)站）作為企業(yè)訪問集中入口。用戶可通過門戶系統(tǒng)訪問集成化的各個應(yīng)用系統(tǒng)。(3) 建立數(shù)據(jù)備份和恢復(fù)機制建立數(shù)據(jù)備份和恢復(fù)系統(tǒng)，制定備份和恢復(fù)策略，系統(tǒng)發(fā)生故障后能較短時間恢復(fù)應(yīng)用和數(shù)據(jù)。1.1.6.平臺安全信息

6、系統(tǒng)平臺安全包括操作系統(tǒng)安全和數(shù)據(jù)庫安全。服務(wù)器包括數(shù)據(jù)庫服務(wù)器、應(yīng)用服務(wù)器、Web 服務(wù)器、代理服務(wù)器、Email 服務(wù)器、防病毒服務(wù)器、域服務(wù)器等，應(yīng)采用服務(wù)器版本的操作系統(tǒng)。典型的操作系統(tǒng)有：IBM AIX、SUN Solaris、HP Unix、Windows NT Server、Windows2000 Server、Windows2003 Server。網(wǎng)管終端、辦公終端可以采用通用圖形窗口操作系統(tǒng)，如Windows XP 等。- 學(xué)習(xí)資料分享 -WORD格式 - 專業(yè)學(xué)習(xí)資料 - 可編輯(1) 操作系統(tǒng)加固Windows 操作系統(tǒng)平臺加固通過修改安全配置、增加安全機制等方法，合理進(jìn)行安全性加強，包括打補丁、文件系統(tǒng)、帳號管理、網(wǎng)絡(luò)及服務(wù)、注冊表、共享、應(yīng)用軟件、審計/ 日志，其他（包括緊急恢復(fù)、數(shù)字簽名等）。Unix 操作系統(tǒng)平臺加固包括：補丁、文件系統(tǒng)、配置文件、帳號管理、網(wǎng)絡(luò)及服務(wù)、 NFS 系統(tǒng)、應(yīng)用軟件、審計/ 日志，其他（包括專用安全軟件、加密通信，及數(shù)字簽名等）。(2) 數(shù)據(jù)庫加固數(shù)據(jù)庫加固包括：主流數(shù)據(jù)庫系統(tǒng)（包括Oracle、SQL Server、Sybase、MySQL 、Informix ）的補丁、賬號管理、口令強度和有效期檢查、遠(yuǎn)程登陸和遠(yuǎn)程服務(wù)、存儲過程、審核層次、備份過程、角色和權(quán)限審核、并發(fā)事件資源限制、訪