信息安全保证措施

1 1 信息系统及信息资源安全保障措施信息系统及信息资源安全保障措施 1 1 1 管理制度 加强信息系统运行维护制度建设 是保障系统的安全运行的关键 制定的 运行维护管理制度应包括系统管理员工作职责 系统安全员工作职责 系统密 钥员工作职责 信息系统安全管理制度等安全运行维护制度 1 1 2 运行管理 1 1 2 1 组织机构 按照信息系统安全的要求 建立安全运行管理领导机构和工作机构 建立 信息系统 三员 管理制度 即设立信息系统管理员 系统安全员 系统密钥 员 负责系统安全运行维护和管理 为信息系统安全运行提供组织保障 1 1 2 2 监控体系 监控体系包括监控策略 监控技术措施等 在信息系统运行管理中 需要 制定有效的监控策略 采用多种技术措施和管理手段加强系统监控 从而构建 有效的监控体系 保障系统安全运行 1 1 3 终端安全 加强信息系统终端安全建设和管理应该做到如下几点 1 突出防范重点 安全建设应把终端安全和各个层面自身的安全放在同等 重要的位置 在安全管理方面尤其要突出强化终端安全 终端安全的防范重点 包括接入网络计算机本身安全及用户操作行为安全 2 强化内部审计 对信息系统来说 如果内部审计没有得到重视 会对安 全造成较大的威胁 强化内部审计不但要进行网络级审计 更重要是对内网里 用户进行审计 3 技术和管理并重 在终端安全方面 单纯的技术或管理都不能解决终端 安全问题 因为终端安全与每个系统用户相联系 通过加强内部安全管理以提 高终端用户的安全意识 通过加强制度建设 规范和约束终端用户的操作行为 通过内部审计软件部署审计规则 对用户终端系统本身和操作行为进行控制和 审计 做到状态可监控 过程可跟踪 结果可审计 从而在用户终端层面做到 信息系统安全 1 1 4 物理层安全 物理层的安全设计应从三个方面考虑 环境安全 设备安全 线路安全 采取的措施包括 机房屏蔽 电源接地 布线隐蔽 传输加密 对于环境安全 和设备安全 国家都有相关标准和实施要求 可以按照相关要求具体开展建设 1 1 5 应用安全 应用层安全的目标是建立集中的应用程序认证与授权机制 统一管理应用 系统用户的合法访问 应用安全问题包括信息内容保护和信息内容使用管理 1 信息内容保护 系统分析设计时 须充分考虑应用和功能的安全性 对 应用系统的不同层面 如表现层 业务逻辑层 数据服务层等 采取软件技术 安全措施 同时 要考虑不同应用层面和身份认证和代理服务器等交互 数据加密技术 通过采用一定的加密算法对信息数据进行加密 可提高信 息内容的安全性 防病毒技术 病毒是系统最常见 威胁最大的安全隐患 对信息系统中关 键的服务器 如应用服务器 数据服务器等 应安装网络版防病毒软件客户端 由防病毒服务器进行集中管理 2 信息内容管理 采用身份认证技术 单点登录以及授权对各种应用的安 全性增强配置服务来保障信息系统在应用层的安全 根据用户身份和现实工作 中的角色和职责 确定访问应用资源的权限 应做到对用户接入网络的控制和 对信息资源访问和用户权限进行绑定 单点登录实现一次登录可以获得多个应用程序的访问能力 在提高系统访 问效率和便捷方面扮演重要角色 有助于用户账号和口令管理 减少因口令破 解引起的风险 门户系统 内部网站 作为企业访问集中入口 用户可通过门户系统访问 集成化的各个应用系统 3 建立数据备份和恢复机制 建立数据备份和恢复系统 制定备份和恢复 策略 系统发生故障后能较短时间恢复应用和数据 1 1 6 平台安全 信息系统平台安全包括操作系统安全和数据库安全 服务器包括数据库服 务器 应用服务器 Web 服务器 代理服务器 Email 服务器 防病毒服务器 域服务器等 应采用服务器版本的操作系统 典型的操作系统有 IBM AIX SUN Solaris HP Unix Windows NT Server Windows2000 Server Windows2003 Server 网管终端 办公终端可以采用通用图形窗口操作 系统 如 Windows XP 等 1 操作系统加固 Windows 操作系统平台加固通过修改安全配置 增加安全机制等方法 合 理进行安全性加强 包括打补丁 文件系统 帐号管理 网络及服务 注册表 共享 应用软件 审计 日志 其他 包括紧急恢复 数字签名等 Unix 操作系统平台加固包括 补丁 文件系统 配置文件 帐号管理 网 络及服务 NFS 系统 应用软件 审计 日志 其他 包括专用安全软件 加密 通信 及数字签名等 2 数据库加固 数据库加固包括 主流数据库系统 包括 Oracle SQL Server Sybase MySQL Informix 的补丁 账号管理 口令强度和有效期检 查 远程登陆和远程服务 存储过程 审核层次 备份过程 角色和权限审核 并发事件资