应考虑如何添加新的设备以及确定其他可能的场地,重新建造计算机网络。
(3)场地破坏
场地破坏事件是灾难恢复计划通常需要考虑的一类事件。虽然这类事件发生的概率较小,但对一个单位的危害极大。对每类事件,单位的每个部门都应参与。第一步是识别必须重建的关键能力,以使该单位继续生存。如果是一个电子商务站点,则最关键的可能是计算机网络。如果是生产产品的工厂,则制造部门是关键,它的优先度高于计算机网络。
(4)灾难恢复的测试
灾难恢复计划是一个十分复杂的文档,通常不是一次写成就立即成功,因此需要测试。测试的必要性不仅在于检验其正确性,而且在于检查其是否处于备用状态。
灾难恢复计划的测试可能十分昂贵且有破坏作用。所以一个单位通常要安排安全管理员定期地对灾难恢复计划进行巡视,而且每年进行一次全面的测试。
8.安全策略的部署
安全策略若要有效部署和实施,需要全体人员介入。 (1)贯彻
安全策略对每个部门都有影响,必须在各部门贯彻。由于在策略生成时征得了各部门管理者的意见,这些管理者的介入非常有助于安全策略在各个部门的贯彻。最高层领导强调安全策略的重要性,强调应予以贯彻更有效。
(2)培训教育
因为安全策略对单位的全体员工都有影响,所以安全专业人员必须负责对员工进行安全教育,人力资源管理部门和培训部门要协助进行。特别重要的是,当某些安全策略改变时会影响到全体员工,例如,需更改口令,必须事先告知全体员工,否则会造成一时混乱。
(3)执行
有时安全环境的突然改变会产生相反的效果,所以采取很好的计划和平滑过渡会更好。安全工作要与网络管理部门和其他有影响的部门密切配合,使执行更有效。
9.安全策略的有效使用
一个新的网络及项目启动时,就应同时进行安全策略的程序设计。也就是说,将安全作为新网络和项目设计的组成部分,使得安全要求在设计之初就能被识别和实施。如果新网络不能满足安全要求,该单位就要知道存在的风险,并提供某些机制来管理存在的风险。
(1)已有的网络及项目
当一个新的安全策略被批谁后,应该检查每个网络,看其是否和新的安全策略相符合。如果不符合,确定是否需要采取措施来遵守新的策略。应该和网络管理员以及使用该网络的部门一起工作,对安全策略作出相应的变更。
(2)审计
很多单位内部的审计部门,定期地审计网络是否遵守安全策略。安全部门应及时将新的安全策略通知审计部门,并配合他们的工作,使他们在审计时了解这些变更。一般来说,这个变更应是双向的。安全部门应向审计部门解释安全策略如何开发以及期望达到什么的目标,审计部门应向安全部门解释审计如何进行以及审计的目标。
(3)安全策略的审查
即使是一个好的安全策略也不是一劳永逸,对大部分策略,应每年审查一次,对某些程序,如事故响应程序或灾难恢复计划,可能需要更加频繁的审查。
在审查时,应和所有与安全有关的部门接触,听取他们对现有的安全策略的意见和建议。对重要的问题还要召开专门的调研会,在此基础上调整安全策略、申报批准、开始培训、贯彻实施。
信息网络安全管理制度 一、人员管理
1.人员管理的原则:相互监督的原则、授权的原则、培训后上岗的原则。
(1)相互监督的原则
在人员允许的情况下,由最高领导人指定两个以上的专业人员,共同参与每项与安全相关的活动,并通过签字、记录、注册等方式证明。对于重要的操作,一定要实行相互监督的原则。如在一些特权操作方面,特权口令就应该是多人分段掌握口令,操作时必须两人以上到场,共同完成操作,并通过签字、记录、注册等方式记录此次操作的目的和内容,及操作开始和完成的时间。如果操作网络、网络的鉴别与认证及访问控制机制的安全级别较低时,这样相互监督就更有必要了。
(2)任期有限的原则
任何人在任何与安全相关的岗位上,不能长期的工作下去。应该定期的轮岗。在信息网络的各个层面上,总会存在这样那样的脆弱性,会被利用成为攻击网络的突破口。特别是在应用层面上,既直接关系到网络的服务与数据的安全,而且又是最容易产生脆弱性的环节。长期的工作,就有可能发现网络的脆弱性,而产生利用这些脆弱性的动机。
(3)分权制约的原则
在工作人员素质和数量允许的情况下,不集中一个人实施全部与安全相关的工作。责任分散主要采取建立物理屏障和制定规则来实现。
(4)最小授权的原则
最小授权的原则指的是:所有人员的工作、活动范围和访问权限,应当被限制在完成其任务的最小范围内。对于所有人员都应做到得知、仅知。各职责权限都是有限的,实行最小授权,并规定授权的有限时效。对于一些重要的操作尽可能地采用临时授权。
(5)安全培训的原则
人员的培训,对于信息网络的安全来说是十分重要的,良好的培训可以说是信息安全管理的基础性工作。培训应该在人员上岗之前,只不过培训的内容和时间是不同的。对全体人员,以下的培训内容都应该参加:
①信息网络安全相关的法律、法规;
②单位的信息安全策略和与之相关的规章制度; ③安全、保密意识和必备的安全技能; ④工作及操作程序。
2.人员审查制度
应根据计算机信息网络安全等级的需要确定人员审查内容。 信息网络的有关人员应具备:政治可靠、思想进步、作风正派、技术合格、职业道德良好等基本素质。录用关键工作岗位的工作人员时,应按照其申请表中的个人简历逐一审查,必要时要亲自会见证明人,对以前的经历和人品进行确认。
对在职人员应进行定期审查,当工作人员婚姻、经济、身体等状况发生变化,或被怀疑违反了安全规则,或对其可靠性产生怀疑时,都应进行重新审查。
3.岗位责任和授权
根据分权制约和最小授权原则,建立岗位责任制度和授权制度。 明确所有人员在网络中的安全职责和权限,职责和权限要文档化,并要求签字确认。所有人员的工作和活动范围应当被限制在完成其任务的最小范围内。
信息网络关键岗位的人选如:安全负责人、安全管理员、网络管理员、安全分析员、安全设备操作员、保密员,必须通过严格的政审,并要考核其业务能力。关键岗位人员不得兼职。
4.人员考核
(1)建立人员考核制度
人事部门要定期组织对信息网络所有的工作人员,从政治思想、业务水平、工作表现、遵守安全规程等方面进行考核。对于考核合格者应给予表扬和奖励。不合格的应予以教育、批评或处罚。对于考核发现有违反安全法规行为的人员,或发现不适合接触信息网络的人员要及时调离岗位,不应让其再接触网络。
(2)签订保密合同
计算机信息网络所涉及的工作人员(长期或临时),应签订保密合同,承诺其对网络应尽的安全保密义务,保证在岗工作期间和离岗后一定时期内,均不得违反保密合同、泄漏网络秘密。保密合同的内容应符合国家有关规定,对违反保密合同的应设有惩罚条款,对接触机密信息
的人员应规定在离岗的相应时间内不得离境。
5.人员调离管理
对调离人员,特别是因不适合安全管理要求而被调离的人,必须严格办理调离手续,进行调离谈话,承诺其调离后的保密义务,交回所有钥匙及证件,退还技术手册、软件及有关资料。网络必须及时更换口令和开机要锁,撤销其用过的所有帐号。
重要机房或岗位的工作人员一旦辞职或调离,应立即撤销其出入安全区域、接触敏感信息的授权。
二、物理安全方面的管理制度
在信息网络安全管理中,我们还应该考虑到信息网络的运行环境(机房)安全、设备安全和介质安全、网络设施的安全。因此应建立机房安全管理制度、主机设备安全管理制度、网络设施安全管理制度、物理设施及分类标记安全管理制度。
1.机房管理制度
(1)机房出入管理制度。机房是中心计算机设备和网络核心交换设备的运行区,应该保证这里是一个安全区域,办公区与运行区应该从区域上隔离开,进人运行区的出入口要有可靠的限制控制和监督措施。
(2)机房区域防护制度:主要包括对机房与其他区域隔离及区域防护。
(3)出入控制制度:机房进出的控制;重要运行区的控制;携带物品的限制。
(4)会客制度:报告批准制度;会客区域限制;时间限制。
2.危险品管理制度 3.卫生管理制度 包括卫生责任人;防尘和除尘措施,清扫机房制度;桌面清理制度。 4.防火管理制度
包括防火责任人;防火预案;各类报警器材及消防器材的年检,消防与报警器材的更换;防火疏散方案,紧急出口管理,重要设备、设施、数据的抢救方案,以及上述各项的定期培训与演练制度等。
5.机房环境检查制度
如对温湿度的检测、接地情况检测、静电检测等。 6.机房报警制度