网络系统安全管理

网络系统安全管理

从系统工程的角度来看，再也没有什么比规章制度的制定以及严格执行更加重要的事情了。多少次的教训提醒我们，管理的疏忽、人员的失职以及叛变是造成系统损坏的最重要的因素。规章制度可以根据具体情况合理制定。所谓合理，就是要最大限度地减少使用上的不便和限制。

下面的管理规定是我们在与诸多客户实际交流中总结出来的，这些建议只是提出了安全管理的几个粗略轮廓，仅供广州市工商行政管理局参考。

一、机房管理

要制定严格的机房管理制度，主要应该包括：

1、对机房内的设备运行情况认真记录备案。

2、对机房内的人员出入情况认真记录备案。

3、机房专管人员变动要有详尽的交接记录。

二、软件管理

1、信息中心负责各业务应用软件的统一规划及开发工作。各部门、室及其他下属部门不得自行修改下发的软件，确需修改，应报信息中心统一修改或授权修改。软件改动部分应详细记录，并报信息中心备案。

2、各类软件、软盘及技术资料必须专人负责统一管理，分类登记，妥善保管，做好备份。

3、各种软件资料不准外借，各类日志、记录、计算机报表资料要归档管理，以备查用。

4、保守本单位软件、数据、密码等机密。

三、操作管理

1、计算机软件开发人员、计算机应用操作人员要各负其责，不准混岗。

2、所有操作员要严格按操作规程办事，不准做授权范围外的任何工作。

3、操作人员和系统管理员的密码（或代码）要绝对保密。操作员开机键入密码时，其他人员要回避。确因软件维护需要，需要经主管领导批准程序员或管理人员上机操作使用密码后，操作员必须立即更换密码，禁止再使用原密码进行业务操作。

四、监督管理

1、对计算机的审计工作

主要由审计部门与计算机技术人员对计算机处理记录情况进行系统分析和检查，对各种制度执行情况审计。

2、操作权限与登录密码

各级计算机室操作人员必须严格按照操作手册遵循业务操作流程使用业务用计算机。业务主管、系统管理员及其他计算机操作员必须明确自己的操作权限，认真管理好自己的登录密码，登录密码要经常更换。

3、专职计算机系统安全管理员

信息中心要与安全保卫部门协同负责全网计算机系统的安全，配备专职计算机系统安全管理员，直接负责全网计算机系统的安全，其职责如下：

①定期召集各级计算机室安全员开会。

②不定期检查各级计算机室的计算机系统安全工作，处理下属机构的相关问题。

③全面负责病毒检查与清理、防火墙规则配置与日志审计、入侵检测系统策略配置与日志审计、数据备份与恢复系统的有效性检查。

④负责所使用的系统软件、应用软件的登记管理工作。要对所使用的各类软件的软件名称、版本号、开发研制单位、开发时间、投入使用时间、使用部门等详细情况进行登记。

4、兼职计算机系统安全员

在各级计算机室指定一位兼职计算机系统安全员，安全员不得由业务主管、系统管理员兼任，安全员的职责是负责本级计算机室计算机应用系统的安全。

5、用户安全性监督

①内存保护：在多用户环境下的内存保护随着硬件技术和系统设计技术的进步得到发展。

②文件保护：通常操作系统上的文件保护方案以三层到四层格式的保护为基础，把访问控制的细度限制在少数的级别上。

③访问控制：通过以每个目标或用户为基础组织起来的访问控制矩阵或访问控制表来得到访问控制。

④用户认证：必须杜绝不认识的用户谋求通过计算机网络共享计算机设备。通常的做法是输入口令。

6、操作系统安全性监督

①最少特权：每个用户和每个程序应该使用可能的最少特权进行操作。

②节省机制：保护系统的设计应该小而简单，直接了当。

③开放设计：保护机制必须不依赖于潜在攻击者的无知。

④完全中介：必须检查每一次访问。

⑤基于许可：默认的条件应该是拒绝访问。

⑥分离特权：使对目标的访问依赖于多个条件，比如用户的认证加上密钥。

⑦最少的公共机制：因为被大家共享的目标可提供潜在的信息流通道。

⑧便于使用。

7、个人计算机安全性监督

①用户责任心引起的问题：使用计算机的专业人员必须了解计算机安全上的弱点和个人机在安全上的特殊之处，计算机专业人员必须帮助管理人员和其他用户清楚地认识并负起有关PC机安全问题的责任。

②使用程序引起的问题：可以通过下面的行政措施来控制。

a. 如果机器内有敏感信息或者正在进行敏感计算，要有人照看。

b. 打印敏感数据时要有人照看打印机。

c. 将介质当成机密文件一样仔细保管。

d. 介质远离灰尘和热源，磁盘应该放在远离诸如电话或大的电机引起的磁场中。

e. 定期备份并将所有的备份连同系统软盘和软件放在另外的房屋中，避免火灾、失窃等。

f. 实施权限分离。制定出机密的措施使任何人都不能单独改变敏感数据。

③由硬件引起的问题：应对设备进行认真防护。

④由软件控制引出的问题：应该

a. 弄清楚所使用软件潜在的威胁。

b. 不使用来源不可靠的软件。

c. 对所有结果持慎重态度。

d. 定期对所有系统资源作完整的备份。

8、访问控制系统安全性监督

①防止用户不通过访问控制系统而启用系统。

②控制用户对存有敏感鉴别数据的存储单元或其他地方的访问。

③使所有的I/O操作都由控制系统处理。

④防止用户绕过访问控制直接进行网络访问。

⑤防止用户对访问日志的恶意更改。

9、数据库系统安全性监督

①物理上的数据库完整性，以便灾祸破坏后能重构数据库。

②逻辑上的数据库完整性，以便保持数据库的结构。

③元素的完整性，以便包含在每个元素中的数据是准确的。

④可审计性，使能够追踪到某人曾访问过（或修改过）的数据库元素。

⑤访问控制，限制不同的用户有不同的访问模式（如读或写）。

⑥用户认证，以确保每个用户被正确地识别。

⑦可用性，用户一般可以访问数据库以及所有被批准访问的数据。

五、自然灾害

要防止水、火、震、电、温度、磁等自然灾害对计算机设备带来的损害。

（1）要把计算机及其它设备安置在易防水的房间，把所有的备份和文档保存在易抢救的密封容器内，作好标记，便于在灾难时进行抢救；

（2）配备适当功率的不间断电源来防止掉电，配备电涌抑制器来保证电的纯度；

（3）控制好机房内的温度；

（4）存放或使用时要远离磁场。

六、安全策略