信息安全保证措施

1、信息安全保证措施 1.1. 信息系统及信息资源安全保障措施 1.1.1. 管理制度 加强信息系统运行维护制度建设 ,就是保障系统的安全运行的关键。制定的 运行维护管理制度应包括系统管理员工作职责、 系统安全员工作职责、 系统密钥 员工作职责、信息系统安全管理制度等安全运行维护制度。 1.1.2. 运行管理 1.1.2.1. 组织机构 按照信息系统安全的要求 ,建立安全运行管理领导机构与工作机构。建立信 息系统“三员”管理制度 ,即设立信息系统管理员、系统安全员、系统密钥员 ,负 责系统安全运行维护与管理 ,为信息系统安全运行提供组织保障。 1.1.2.2. 监控体系 监控体系包括监控策略、监控

2、技术措施等。在信息系统运行管理中,需要制 定有效的监控策略 ,采用多种技术措施与管理手段加强系统监控 ,从而构建有效的 监控体系 ,保障系统安全运行。 1.1.3. 终端安全 加强信息系统终端安全建设与管理应该做到如下几点 : (1) 突出防范重点 :安全建设应把终端安全与各个层面自身的安全放在同等重 要的位置。 在安全管理方面尤其要突出强化终端安全。 终端安全的防范重点包括 接入网络计算机本身安全及用户操作行为安全。 (2) 强化内部审计 :对信息系统来说 ,如果内部审计没有得到重视 ,会对安全造 成较大的威胁。强化内部审计不但要进行网络级审计,更重要就是对内网里用户 进行审计。 (3) 技

3、术与管理并重 :在终端安全方面 ,单纯的技术或管理都不能解决终端安 全问题 ,因为终端安全与每个系统用户相联系。通过加强内部安全管理以提高终 端用户的安全意识 ;通过加强制度建设 ,规范与约束终端用户的操作行为 ;通过内 部审计软件部署审计规则 ,对用户终端系统本身与操作行为进行控制与审计 ,做到 状态可监控 ,过程可跟踪 ,结果可审计。从而在用户终端层面做到信息系统安全。 1.1.4. 物理层安全 物理层的安全设计应从三个方面考虑 :环境安全、设备安全、线路安全。采 取的措施包括 :机房屏蔽 ,电源接地 ,布线隐蔽,传输加密。对于环境安全与设备安全 信息安全保证措施 国家都有相关标准与实施要

4、求 ,可以按照相关要求具体开展建设。 1.1.5. 应用安全 应用层安全的目标就是建立集中的应用程序认证与授权机制,统一管理应用 系统用户的合法访问。应用安全问题包括信息内容保护与信息内容使用管理。 (1) 信息内容保护 :系统分析设计时 ,须充分考虑应用与功能的安全性。 对应用 系统的不同层面 ,如表现层、业务逻辑层、 数据服务层等 ,采取软件技术安全措施。 同时,要考虑不同应用层面与身份认证与代理服务器等交互。 数据加密技术。通过采用一定的加密算法对信息数据进行加密,可提高信息 内容的安全性。 防病毒技术。病毒就是系统最常见、威胁最大的安全隐患。对信息系统中关 键的服务器 ,如应用服务器、

5、 数据服务器等 ,应安装网络版防病毒软件客户端 ,由防 病毒服务器进行集中管理。 (2) 信息内容管理 :采用身份认证技术、 单点登录以及授权对各种应用的安全 性增强配置服务来保障信息系统在应用层的安全。 根据用户身份与现实工作中的 角色与职责 ,确定访问应用资源的权限。应做到对用户接入网络的控制与对信息 资源访问与用户权限进行绑定。 单点登录实现一次登录可以获得多个应用程序的访问能力。 在提高系统访问 效率与便捷方面扮演重要角色。有助于用户账号与口令管理,减少因口令破解引 起的风险。 门户系统 (内部网站 )作为企业访问集中入口。用户可通过门户系统访问集成 化的各个应用系统。 (3) 建立数

6、据备份与恢复机制 建立数据备份与恢复系统 ,制定备份与恢复 策略,系统发生故障后能较短时间恢复应用与数据。 1.1.6. 平台安全 信息系统平台安全包括操作系统安全与数据库安全。服务器包括数据库服 务器、应用服务器、 Web 服务器、代理服务器、 Email 服务器、防病毒服务器、 域服务器等 ,应采用服务器版本的操作系统。典型的操作系统有 :IBM AIX 、SUN Solaris、HP Unix、Windows NT Server、Windows2000 Server、Windows2003 Server。 网管终端、办公终端可以采用通用图形窗口操作系统,如Windows XP等。 (1)

7、 操作系统加固 信息安全保证措施 Windows 操作系统平台加固通过修改安全配置、 增加安全机制等方法 ,合理进 行安全性加强 ,包括打补丁、文件系统、帐号管理、网络及服务、注册表、共享、 应用软件、审计 /日志 ,其她（包括紧急恢复、数字签名等 ）。 Unix 操作系统平台加固包括 :补丁、文件系统、配置文件、帐号管理、网络 及服务、 NFS 系统、应用软件、审计 /日志,其她 （包括专用安全软件、加密通信 , 及数字签名等 ）。 （2） 数据库加固 数据库加固包括 :主流数据库系统 （包括 Oracle、SQL Server、Sybase、MySQL 、 Informix） 的补丁、账号管理、口令强度与有效期检查、远程登陆与远程服务、存 储过程、审核层次、备份过程、角色与权限审核、并发事件