成都信息工程学院银杏酒店管理学院本科毕业论文
图3-5 安全管理体系
3.5.1 人事管理
人事管理就是对安全人员的管理。安全人员包括:系统管理员、安全管理员、系统分析员、系统操作员、软硬件维护人员、技术文档管理人员。
(1)人事管理原则:一般情况下,每项与安全有关的活动不允许一人单独完成,并且所有安全功能的实施不集中于一人;应用程序开发人员与操作人员分离,开发人员不参与日常操作,操作人员不参与开发。所有人员的工作、活动范围和访问权应被限制在完成其任务的最小范围内。
(2)岗位人选:信息系统的关键岗位人选:安全负责人、安全管理员、网络管理员、系统管理员、系统分析员等必须经过严格的政审并要考核其业务能力。相关联的关键岗位人员不能兼职。
(3)签订保密合同:关键岗位人员和涉密人员要与企业签订保密合同,承诺其对系统应尽的安全保密义务。 3.5.2 场地设施管理
(1)建立机房出入登记管理制度,无关人员限制进入机房。 (2)建立机房主要设备维护记录文档;及时检查机房主要设备,确保设备处于正常状态。
(3)及时做好系统备份和系统日志备份,必要时打印系统日志 (4)制定应急措施,出现与安全有关的故障时,按规定时间处理的同时报安全管理部门。 3.5.3 设备管理
首先是设备购置登记:对所有设备均应建立项目齐全、管理严格的购置、移交、使用、维护、维修和报废等登记制度,并认真做好登记及检查工作,保证设备管理工作正规化。
再次是设备维修管理:对系统进行维修时应采取数据保护措施;涉密系统的维修应在设备责任人监督下进行;安全设备维修时应有安全管理员在场。双方在维修记录上签字。 3.5.4 软件管理
软件管理范围包括操作系统、应用软件、数据库、安全软件和工具软件等的采购、安装、使用、更新和维护。
13
成都信息工程学院银杏酒店管理学院本科毕业论文
(1)重要的操作系统和应用软件应在安全管理员的监督下进行安装。 (2)软件安装后,原件应进行登记造册,由专人保管。软件更新后,软件的新旧版本均应登记造册,由专人保管。旧版本的销毁应受严格控制。
(3)定期对操作系统、数据库管理系统及其它相关软件进行稽核审计,分析与安全有关的事件,堵塞漏洞。 3.5.5 口令管理
(1)信息系统口令一般集中产生。
(2)口令的长度根据访问等级确定;涉及国家绝密级的信息的口令不少于十二个字符(或六个汉字):涉及国家机密级信息的口令不少于十个字符(或五个汉字) [10]。
(3)不能把口令以明码方式保留在任何媒介上:输入的口令不应显示在显示终端上。
(4)口令传送必须加密,并与用户身份识别码一一对应。 (5)强度特别高的访问控制应使用一次性口令机制。 3.5.6 网络管理
(1)缺少必要安全措施的网络不能正式投入使用。
(2)网络方案设计必须充分考虑其安全性,网络建设过程中应有安全管理人员参加。
(3)由专人实施对网络的统一管理、监督与控制,网络调整及运行状况详细记录归档。 3.5.7 安全审计管理
(1)制定保存和调阅审计日志的管理制度,定期检查信息系统中网络、操作系统、应用等环节的审计功能模块,确保其访问审计记录和运行日志没有被修改和毁坏。
(2)及时对审计内容进行分析,找出潜在的安全威胁和异常行为,追查发生异常行为的原因和人员。
(3)根据对信息系统安全漏洞扫描报告和通知,及时调整安全策略。 (4)定期将审计结果报企业领导,并归档。 3.5.8 应急管理
信息系统运转过程的每个环节都必须对可能发生的安全事件和故障,制
14
成都信息工程学院银杏酒店管理学院本科毕业论文
定应急管理制度。
(1)根据不同的安全事件和故障类型,按照最坏程度制定相应的应急措施,进行测试和演练。
(2)一旦事件发生,启用应急措施,记录现场情况和系统断点,了解事件的范围,判断事件的危害性和损失,按规定报主管领导和有关部门。
(3)事后要分析原因,总结教训,弥补系统的脆弱性,完善安全策略、服务和过程。
4 企业信息安全体系建立实例
对企业来说,建立一个合理、经济的信息安全管理体系是十分重要和必要的。但如何建立信息安全管理体系,却有多种方法和手段,但根本方法是要建立健全的信息安全管理制度和采用相应的技术手段。通过制度和手段的有机结合,可以达到最佳的信息安全管理效果。下面通过百川科技有限公司的信息安全管理体系的建立过程,来说明怎样建立企业信息安全体系。
4.1 公司简介
本人曾在这家公司实习过,对之有所了解。成都百川科技有限公司(简称百川公司)是一家专业机械制造厂家,公司从1999年开始采用计算机技术应用于产品开发、生产管理之中,形成了具有百川特色的信息化应用体系。
百川公司信息安全管理体系的建立和运行过程分为四个步骤,如图4-1:并以循环的方式给予完善和巩固。
信息安全体系管理与控制中心 信息安全风险 分析与评估 信息安全防护 策略与制度 信息安全防 护技术实施 信息安全管理效果分析评估 图4-1 百川公司信息安全防护体系建立过程示意图
(1)信息安全风险分析与评估是建立信息安全管理体系的第一步,利用“失误模型及后果分析法”技术,发现系统中每一个环节所产生的(或潜
15
成都信息工程学院银杏酒店管理学院本科毕业论文
在的)失误条件,对信息安全的影响程度。
(2)信息安全防护策略与制度是建立信息安全管理体系的基础,通过确定关键信息、岗位配置、工作人员的权限,明确企业信息的使用范围和处理方式。
(3)信息安全防护技术实施是对信息安全防护策略与制度执行情况的监控手段,是维护信息安全管理体系的保障。
(4)信息安全防护效果分析评估是为完善动态信息安全管理体系提供必要的依据。通过信息安全管理效果分析和评估,可以不断发现新的安全漏洞和隐患,进一步完善信息安全防护策略和制度。
4.2 信息安全体系的构建
(1)信息安全风险分析与评估与信息安全防护效果分析评估,是百川公司建立信息安全体系的重要组成部分,前者是发现问题,并提出可行性方案,后者是对已经成型的管理模式进行分析,发现问题,并提出整改意见。两者是有机的统一体。
(2)信息安全防护策略与制度
百川公司按照信息流的层次、使用单位和使用对象,在信息安全管理体系中给予充分体现。总经理办公室和公司信息中心是信息安全管理体系的管理部门,总经理办公室主要负责建立涉及企业信息安全管理体系的各种行政管理制度和日常的监督检查,信息中心负责计算机硬件、软件、局域网、操作日志、各部门子系统管理员的购买、维护、监督和授权等。而企业各部门只负责本部门的授权事宜。百川公司对各级员工分为两类五级,即普通工作人员的初级、中级、高级3级和管理人员2级。各级人员的权限是不同的,越往上权限越高。
百川公司针对企业信息安全管理体系的要求,设置了专门人员负责计算机网络和信息安全管理体系的日常维护。设置了系统管理员、日志管理员、安全管理员、数据管理员和文件打印员等岗位,在工作权限方面进行分工,相互制约。
系统管理员主要负责企业局域网的建设和维护、外购软件的安全性能测试以及日志管理员、安全管理员、数据管理员和文件打印员的权限分配和授权。
16
成都信息工程学院银杏酒店管理学院本科毕业论文
日志管理员主要负责对日志文件的内容进行检查、清理,对日志内容所描述的事件进行分析,提出信息安全和系统运行等方面的报告和预防建议。经过整理的日志文件,通过数据管理员进行备份与保存。
安全管理员主要负责软件的防“病毒”侵袭、电子文件的解密以及各客户端的权限分配和授权。
数据管理员主要负责定期对企业各系统所产生的数据、电子文挡进行有效备份,确保数据和电子文挡的安全,以便在企业信息网络出现“灾难”时恢复数据和电子文挡。同时,维护计算机数据库管理系统。
文件打印员主要负责与产品开发有关的技术文挡、企业允许外发文挡的打印,所打印的电子文档必须得到相关权限的批准和授权。一般情况下,所打印的电子文档应通过OA、PDM或ERP系统的打印审批流程。
在百川公司计算机应用软件中,通过对商品化软件的二次开发和设定,使所有应用软件,如CAD、WORD等建立了软件操作登录窗口,每个操作人员必须输入自己的用户名和登录口令,方可进入或启动软件进行操作。操作人员在CAPP(工艺人员)、OA(所有办公人员)、PDM(工艺、设计人员)、ERP(生产经营人员)和Windows(所有员工)等系统中,进行身份确认,并授予相应的操作权限,保证企业信息的安全。
(3)信息安全防护技术实施:
17