(1)例行备份与恢复。
(2)安装和拆卸可安装的介质。 (3)监督本单位的网站运行情况。 8.网络管理员的职责 (1)管理网络软件。 (2)设置BU
文件,允许使用UUCP、UUTO等进行通信。
(3)设置与连接服务器、CRI认证机构、ID映射机构、地址映射机构和网络选择管理文件。
(4)启动和停止远程文件、网络文件,通过远程文件和网络文件来共享和使用资源。
9.信息内容审核员的职责
由于互联网的发展,许多单位都建立了自己的信息发布平台。但是.对于信息的发布应该有严格的审核制度,应设审核员,对信息内容的审核要求是:
(1)审核发布的信息内容是否符合国家的法律、法规和政策要求。 (2)是否泄露国家、单位的秘密信息,个人的隐私信息。
(3)是否产生对社会及单位的负面影响,是否会造成对个人的伤害。 二、信息安全专家的意见和单位间的合作
很多机构都需要信息安全专家的意见,最好内部有这样经验丰富的安全专家。如果没有,建议确定一位员工负责协调机构内部的安全事件。机构也应该找外部的专家,为自己没有经验的安全事件提供意见。
信息安全顾问应负责提供信息安全方面的意见,他们对安全威胁的评估及对控制的意见会确定机构信息安全的有效性。为了发挥最大效益,顾问可以直接与整个机构的管理层接触。
在发生安全事件时,应在第一时间由信息安全顾问提供专业的意见,并在管理层的控制下正常执行调查。
信息网络安全管理的策略体系
信息网络运行部门的安全管理工作应首先研究确定信息网络安全策略,再确定网络安全保护工作的目标和对象。信息网络安全策略涵盖面很广,如总体安全策略、网络安全策略、应用系统安全策略、部门安全策略、设备安全策略等。一个信息网络的总体安全策略,可以概括为“实体可信,行为可控,资源可管,事件可查,运行可靠”几个原则,总体安全策略为其他安全策略的制定提供总的依据。
一、网络和网络安全策略 1.用户身份鉴别
安全策略应确定如何识别用户,对用户的鉴别强度与相应权限相匹配。
2.访问控制
主访问控制或强制访问控制或混合使用。 3.审计
制定审计策略,明确网络应该对哪些操作进行审计。
4.网络连接
针对每一种接到单位网络的连接形式,安全策略应说明连接的规则以及保护机制。
5.恶意代码
安全策略应确定搜索恶意代码(如病毒、木马、逻辑炸弹等)的安全程序的存放位置。
6.加密
确定单位的可接受的加密算法,并且这些算法必须符合国家相关规定。井对密钥进行符合规定的管理。
二、网络安全策略原则 1.计算机所有权
策略中应该明确地说明计算机属于本单位、并且提供给员工在单位内用于工作相一致的用途。应该禁止使用非单位的计算机用于单位的业务活动。
2.信息所有权
应规定所有存储的并于单位内用的计算机信息属于单位所有。某些员工可能使用单位的计算机存储个人信息,如果策略没有特殊说明,则个人信息可分开存在私人目录下并且非公开。
3.计算机使用许可
大部分单位期望员工使用单位提供的计算机,只用于和工作有关的应用,但这不是一个很好的假定。因此在策略中要明确说明,例如,单位的计算机只允许用于工作目的,如果单位在非工作时间允许员工使用计算机用于非工作目的,也要在策略中写清楚。
4.没有隐私要求
计算机用户策略应该规定,在单位的计算机存储、传输的信息没有隐私。
三、互联网使用策略
对于单位登录互联网,除了要考虑防范来自互联网上的威胁外,还要考虑单位内部人员对互联网上其他连接的侵害,或利用互联网进行的其他违法犯罪。
1.邮件策略
电子邮件正越来越多地用于单位的业务处理,电子邮件是使单位的敏感信息毫无价值的另一种方法,有些单位为电子邮件的使用开发了专门的策略,应考虑到内外两方面的问题。
(1)内部邮件问题
电子邮件策略不应和其他的人力资源策略相冲突。例如,电子邮件策略应规定禁止利用电子邮件进行性骚扰,又如,规定在电子邮件中不得使用非正式的语言。
如果单位要对电子邮件的某些关键字或附件进行监控,则策略应说明这类监控是存在的,策略还应说明在邮件中不能涉及个人隐私。
(2)外部邮件
电子邮件可能包含一些敏感信息。邮件策略应说明在什么条件下是可以接受的.并且在信息策略中指出该类信息应如何保护,并对邮件的附件进行病毒测试。
2.用户管理策略
用户管理是一个极为重要又往往被忽视的问题,作为信息网络的访问者,网络既要满足对他的服务,同时又要对他的行为进行管理和限制。应制定以下策略:
(1)新员工调入:新员工调入应该有一个调入的考察程序,同时对新员工使用计算机和访问信息网络资源应规定相应的程序。
(2)临时员工:临时员工访问信息网络要有相应的策略加以控制。 (3)员工调动:对员工的调动要有相应的程序,由人力资源和网络管理部门对调动人员原岗位与新岗位对信息资源的使用进行管理。
(4)离职员工:对由单位确定的离职人员,应提前通知网络管理员;员工本人提出离职的,网络管理员应立即采取策略所规定的措施,保证离职人员不可能再有访问本单位信息网络的机会。
(5)外协人员:策略中应该规定对外协人员的管理,防止对网络的破坏。
3.网络管理策略
网络管理策略是确定网络安全和网络管理如何更好的配合工作,使单位的网络更安全稳定。需要完成如下与安全相关的管理:
(1)软件更新:防病毒软件的升级,补丁程序、应用软件更新前的测试与过程管理等。
(2)漏洞扫描:确定扫描的时间和方法。
(3)策略检查:定期利用审计网络来检查策略的合理性 (4)登录检查:定期的登录检查。
(5)常规监控:对网络及用户行为的监控。
4.事件响应策略
信息网络发生安全事件是不可避免的,我们的目的是为了降低发生的概率和频率,但无法避免发生。在发生了安全事件后,单位对安全事件进行何种响应,采取什么样的响应策略直接关系到单位因事件而导致的损失。对事件应做事前准备、事中响应与检测、及事后追究与恢复等。事件响应策略包括:
(1)事件处理目标:包括保护信息网络、保护信息、恢复运行、降低影响等。
(2)事件识别:事件的类型和性质。 (3)信息控制:如何发布相关的消息。 (4)响应:检测、阻断和跟踪。 (5)授权:接相关人员的授权。 (6)文档:预案和事件的总结。 (7)程序测试:恢复后的测试。
5.配置管理策略
网络的配置是维护信息网络运行状态的重要环节。
(1)网络初始状态:对于一个新网络,它的状态应有:文档、应用程序等详细记录。
(2)更新控制程序:当网络变更时,应执行变更配置控制程序。该程序应该在变更实施前对计划的变更进行测试。当提出变更请求时,应将变更前后的程序存档,再变更新配置以反映网络的新状态。
6.网络设计策略
(1)需求定义(业务战略):在任何项目的需求定义阶段,应该将安全需求列入。设计方法应该指出单位的安全策略和信息策略的要求,特别是要确定敏感信息和关键信息的要求。
(2)设计:在项目设计阶段,设计方法应确保项目是安全的,安全人员应成为设计组成员或作为项目设计审查人员。在设计中对不能满足安全要求之处应特别说明,并及时妥善解决。
(3)测试:当项目进入测试阶段,应同时进行安全测试。安全人员应协助编写测试计划。
(4)实施:项目实施阶段同样有安全要求。实施组应使用合适的配置管理程序。在新网络成为产品以前,安全人员应检查网络的漏洞和合适的安全策略规则。
7.灾难恢复策略
(1)单个网络和单点故障
单个网络或设备故障包括硬盘、主板、网络接口卡、元件的故障。对每个故障,应在可允许的时间内修复并恢复运行。“可允许的时间”是根据对网络的关键程度以及解决方案所使用的费用而定。
不论什么样的解决方案,灾难恢复计划必须能修复故障,使网络继续运行。计划必须和单位的运行部门相结合,使他们知道应采取什么步骤恢复网络运行。
(2)数据中心
灾难恢复计划还为数据中心的主要事件提供一个程序。例如,发生火灾,数据中心不能使用,应采取什么步骤重新恢复其能力。其中必须解决的一个问题是有可能丢失设备,灾难恢复计划应包括如何得到备用的设备。假如数据中心不能用了,但仍有一些设备完好,灾难恢复计划