信息与网络安全概论(第三版) 教学课件 作者 978 7 302 21524 0k CHD2.ppt

计算机机房环境 计算机机房环境(续) 计算机机房环境(续) 停电(续) 火灾 火灾(续) 水灾 2.4 软件设备资源的安全管理 2.4.1 软件程序的安全管理 2.6 计算机实体安全的评分与建议 建筑物场所位置的考虑： 计算机设备位置是否远离发电厂、变电所、广播电（视）台或电信基站等？ 计算机设备位置是否不易淹水？ 位置及其计算机设备是否防盗、防灾、防震、避雷、防尘、防高温、防湿、防鼠、具备空调、’抗磁、有门禁管制？ 2.6 计算机实体安全的评分与建议(续) 行政管理方面： 对进出主机房人员的管制方式及身分的限制方式 在厂商进行维护时陪伴人员的身份确认。 对于持有superuser通行密码的人员管理方式。 信息中心人员有意见时，反应之管道是否顺畅？ 信息中心人员离职时的处理程序。 中心人员的职务代理人员制度。 对系统维护之措施。 对资源之保险措施是否有明确制度？ * 2.4.3 敏感介质的处理 常用销毁各种媒介的设备如下： -碎纸机 -磁性数据的清除：将磁盘或磁带重写(Overwrite)多次 -消磁物体：消磁 * 非法侵入者会造成三种问题： - 盗窃机器或数据 - 破坏机器 - 阅读机密数据 防止非法侵入者入侵： - 盗窃的防止 - 防止携出 - 外出检测 - 人员进出管制 2.5 侵入者 * 系统管理及软件安全方面： - 操作系统是否派专人管理？ - 系统备份多久执行一次？ - 对于计算机病毒如何处理？ 计算机操作及数据安全方面： -计算机设备操作训练及信息安全相关课程。 - 计算机设备操作程序是否有说明文件？ - 操作人员、值班人员的安排方式。 - 档案、磁盘、磁带的报销及销售管制。 - 计算机系统各设备及通信网路设备的检查测试。 - 对于使用之资源信息的各级分类情形。 计算机实体安全的评分与建议 * 行政院颁订之所属各机关信息安全管理规范 信息安全政策订定 信息安全权责分工 人员管理及信息安全教育训练 计算机系统安全管理 网络安全管理 系统存取控制管理 系统发展及维护安全管理 信息资产安全管理 实体及环境安全管理 业务持续运作计划管理 其它信息安全管理事项 黄明祥 信息与网络安全概论(第三版) 黃明祥 信息中心管理与实体安全(Computer Center Management Physical Security) * 本章内容 2.1 人力资源的安全管理 2.2 空间环境资源的安全管理 2.3 硬件设备资源的安全管理 2.4 软件设备资源的安全管理 2.5 侵入者 2.6 计算机实体安全的评分与建议 * 2.1 人力资源的安全管理 * 2.1.1 软件开发组 主要的任务就是开发管理信息系统 。 在安全管理上需注意的事项： 审核人员审核系统分析与设计文件是否有安全漏洞。 程序完成开发后，需由审核人员逐一审查，原始程序代码是否与系统分析与设计文件一致？是否有不相干的程序代码或后门程序？ 由审核人员与程序设计师共同将原始程序代码编译成可执行文件。 审核人员必须定期审核程序是否被篡改。。 * 2.1.2 系统管理组 系统管理组的主要任务就是让计算机设备及系统能有效率地正常运转。 一些安全上问题需注意： 用户申请使用权限的注册，需谨慎审核其身份。用户离职时，必须将其使用权限注销 。 随时监视控制台(Console)，是否有不明身份的用户企图登录(Login)到本系统。 定期检查系统审核文件(Log File)是否有异常状况。 定期检查网络线是否在安全管线内(没有漏出)。 是否定期备份数据？备份数据是否放置于安全地方？是否加以管制？ * 2.1.3 技术支持组 解决用户使用计算机设备之相关问题，包括修复个人计算机。 维护工程师或技术员在维修计算机过程中，有时需要用户的账号及密码，一旦维护完成应请用户即刻更改密码，以澄清责任。 * 2.1.4 推广教育组 推广信息教育，让相关单位所有员工均能妥善使用信息中心的设备资源 。 除了计算机专业及网络能力训练外，还应加强财产权、理论与法律、计算机病毒的防患以及其它信息安全的观念。 * 2.1.5 信息安全管理组 依据BS7799安全管理标准。 负责整个信息系统的安全管理。 * 2.1.6 审核小组 审核小组的主要任务就是审核信息中心设备与系统是否有安全上的漏洞，信息中心人员是否有安全上的疏忽或监守自盗等情况。 审核小组通常不是信息中心专属单位，而是由其它非信息中心单位人员兼任，以避免人情上的压力。 * 计算机机房环境不良 - 温度：20OC - 25OC - 湿度：40% - 60% - 尘土 停电 机房位置规划不当 火灾 雷击 地震 水灾 影响实体安全的原因 2.2 空间环境资源的安全管理 温度 计算机机房均需安装具有调温功能的空调系统，以维持计算机机房的温