信息安全管理完全手冊

1、信息安全管理完全手冊一、信息安全管理的范圍 網(wǎng)絡信息的安全管理包括以下四類活動： 1 系統(tǒng)安全管理，涉及安全管理的各個方面，典型活動為： （1） 總體安全策略的管理，包括一致性的修改與維護; （2） 與其他管理功能的相互作用; （3） 與安全服務管理和安全機制管理的交互作用; （4） 事件處理管理; （5） 安全審計管理; （6） 安全恢復管理。 2安全服務管理，涉及特定安全服務管理的各個方面，典型活動為： （1）為某種安全服務決定與指派安全保護目標; （2）在可選情況下，指定并維護選擇規(guī)則，選取安全服務使用的特定的安全機制; （3） 對那些需要事先取得管理同意的可用安全機制進行協(xié)商（本地的與

2、遠程的）; （4） 通過適當?shù)陌踩珯C制管理功能調(diào)用特定的安全機制（例如提供行政管理強加的 安全服務）; （5） 與其他安全服務管理功能和安全機制管理功能的交互作用。 3安全機制管理，涉及特定安全機制的管理，典型活動為： （1）密鑰管理; （2）加密管理; （3）數(shù)字簽名管理; （4）訪問控制管理; （5）數(shù)據(jù)完整性管理; （6）路由選擇控制管理。 4安全管理本身涉及信息的安全。這也是網(wǎng)絡信息安全管理的重要部分。這一類安全管理將借助選擇適當?shù)陌踩蘸桶踩珯C制來確保安全管理協(xié)議和信息獲得足夠的保護。 二、信息安全管理規(guī)范 信息管理部門應根據(jù)管理原則和各部門具體情況，制訂相應的管理制度或采用相應的

3、規(guī)范。具體工作是： 1 根據(jù)工作的重要程度，確定該系統(tǒng)的安全需求。 2 根據(jù)確定的安全需求，確定安全管理的范圍。 3 制訂相應的機房出入管理制度。對于安全要求較高的系統(tǒng)，實行分區(qū)控制，限制工作人員出入與己無關的區(qū)域。出入管理可采用證件識別或安裝自動識別登記系統(tǒng)，采用磁卡、身份卡等手段，對人員進行識別、登記管理。 4 制訂嚴格的操作規(guī)程。操作規(guī)程要根據(jù)職責分離和多人負責的原則，各負其責，不能超越自己的管轄范圍。 5 制訂完備的系統(tǒng)維護制度。對系統(tǒng)進行維護時，應采取數(shù)據(jù)保護措施，如數(shù)據(jù)備份等。維護時要首先經(jīng)主管部門批準，并有安全管理人員在場，故障的原因、維護內(nèi)容和維護前后的情況要詳細記錄。 6 制

4、訂應急措施。要制訂系統(tǒng)在緊急情況下盡快恢復的應急措施，使損失減至最小。建立人員雇用和解聘制度，對工作調(diào)動和離職人員要及時調(diào)整相應的授權。 三、人員管理機制 在以下活動中，需要規(guī)范的人員管理機制來保障網(wǎng)絡應用系統(tǒng)的信息安全： 1 訪問控制證件的發(fā)放與回收; 2 信息處理系統(tǒng)使用的媒介發(fā)放與回收; 3 處理保密信息; 4 硬件和軟件的維護; 5系統(tǒng)軟件的設計、實現(xiàn)和修改; 6 重要程序和數(shù)據(jù)的刪除和銷毀等。 人員管理方面可以采用以下原則： 1多人負責原則。每一項與安全有關的活動，都必須有兩人或多人在場。這些人應是系統(tǒng)主管領導指派的，忠誠可靠，能勝任此項工作；他們應該簽署工作情況記錄以證明安全工作已

5、得到保障。 2任期有限原則。為遵循任期有限原則，工作人員應不定期地循環(huán)任職，強制實行作假制度，并規(guī)定對工作人員進行輪流培訓，以使任期有限制度切實可行。 3職責分離原則。在信息處理系統(tǒng)工作的人員不要打聽、了解或參與職責以外的任何與安全有關的事情，除非系統(tǒng)主管領導批準。出于對安全的考慮，下面每組內(nèi)的兩項信息處理工作應當分開： （1） 計算機操作與計算機編程; （2） 機密資料的接收和傳送; （3） 安全管理和系統(tǒng)管理; （4） 應用程序和系統(tǒng)程序的編制; （5） 訪問證件的管理與其他工作; （6） 計算機操作與信息處理系統(tǒng)使用媒介的保管等。 四、物理設施的管理 為獲得系統(tǒng)安全的完全保護，物理安全措

6、施總是必需的。但物理安全的代價通常較高，一般力求通過使用更廉價的技術把對它的需要降到最低限度。 網(wǎng)絡應用系統(tǒng)的物理設施包括： 1機房場地環(huán)境; 2通信線路和網(wǎng)絡設備; 3存儲媒體; 4主機、服務器、終端及各類外設。 五、系統(tǒng)配置的管理 系統(tǒng)配置包括: 1 網(wǎng)絡的拓撲選擇、構件的選型與裝配，布線設計和參數(shù)設置; 2 主機、服務器、終端及各類外設的選型與參數(shù)設置; 3操作系統(tǒng)、編譯系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、系統(tǒng)工具的選擇、安裝與參數(shù)設置; 4 業(yè)務應用系統(tǒng)的安裝與參數(shù)設置。 六、事件處理管理 事件處理管理包括: 1遠程報告那些明顯企圖威脅系統(tǒng)安全的行為; 2修改用來觸發(fā)事件報告的閾值。 七、安全審計管

7、理 安全審計管理包括: 1選擇將被記錄和被遠程收集的事件; 2授予或取消對所選事件進行審計跟蹤日志記錄的能力; 3對所選審計記錄的遠程收集; 4準備安全審計報告。 八、安全恢復管理 安全恢復管理包括： 1維護那些用來對實有的或可疑的安全事故做出反應的規(guī)則; 2遠程報告明顯威脅系統(tǒng)安全的行為; 3安全管理者的交互作用。 九、密鑰管理 密鑰管理包括： 1 產(chǎn)生與所要求安全級別相稱的合適密鑰; 2根據(jù)訪問控制的要求，對于每個密鑰決定哪個實體應該接受密鑰的拷貝；3 用可靠辦法使這些密鑰對開放系統(tǒng)中的實體是可用的，或將這些密鑰分配給它們。 某些密鑰管理功能將在網(wǎng)絡應用實現(xiàn)環(huán)境之外執(zhí)行，包括用可靠手段對密鑰進行物理的分配。用于一次聯(lián)系中的工作密鑰的交換是一種正常的協(xié)議功能。工作密鑰的選取也可以通過訪問密鑰分配中心來完成，或經(jīng)管理協(xié)議作事先的分配。 十、訪問控制管理 訪問控制管理可涉及到: