信息安全保证措施.docVIP

信息系统及信息资源安全保障措施 管理制度 加强信息系统运行维护制度建设，是保障系统的安全运行的关键。制定的运行维护管理制度应包括系统管理员工作职责、系统安全员工作职责、系统密钥员工作职责、信息系统安全管理制度等安全运行维护制度。 运行管理 组织机构 按照信息系统安全的要求，建立安全运行管理领导机构和工作机构。建立信息系统“三员”管理制度，即设立信息系统管理员、系统安全员、系统密钥员，负责系统安全运行维护和管理，为信息系统安全运行提供组织保障。 监控体系 监控体系包括监控策略、监控技术措施等。在信息系统运行管理中，需要制定有效的监控策略，采用多种技术措施和管理手段加强系统监控，从而构建有效的监控体系，保障系统安全运行。 终端安全 加强信息系统终端安全建设和管理应该做到如下几点： (1)突出防范重点：安全建设应把终端安全和各个层面自身的安全放在同等重要的位置。在安全管理方面尤其要突出强化终端安全。终端安全的防范重点包括接入网络计算机本身安全及用户操作行为安全。 (2)强化内部审计：对信息系统来说，如果内部审计没有得到重视，会对安全造成较大的威胁。强化内部审计不但要进行网络级审计，更重要是对内网里用户进行审计。 (3)技术和管理并重：在终端安全方面，单纯的技术或管理都不能解决终端安全问题，因为终端安全与每个系统用户相联系。通过加强内部安全管理以提高终端用户的安全意识；通过加强制度建设，规范和约束终端用户的操作行为；通过内部审计软件部署审计规则，对用户终端系统本身和操作行为进行控制和审计，做到状态可监控，过程可跟踪，结果可审计。从而在用户终端层面做到信息系统安全。 物理层安全 物理层的安全设计应从三个方面考虑：环境安全、设备安全、线路安全。采取的措施包括：机房屏蔽，电源接地，布线隐蔽，传输加密。对于环境安全和设备安全，国家都有相关标准和实施要求，可以按照相关要求具体开展建设。 应用安全 应用层安全的目标是建立集中的应用程序认证与授权机制，统一管理应用系统用户的合法访问。应用安全问题包括信息内容保护和信息内容使用管理。 信息内容保护：系统分析设计时，须充分考虑应用和功能的安全性。对应用系统的不同层面，如表现层、业务逻辑层、数据服务层等，采取软件技术安全措施。同时，要考虑不同应用层面和身份认证和代理服务器等交互。 数据加密技术。通过采用一定的加密算法对信息数据进行加密，可提高信息内容的安全性。 防病毒技术。病毒是系统最常见、威胁最大的安全隐患。对信息系统中关键的服务器，如应用服务器、数据服务器等，应安装网络版防病毒软件客户端，由防病毒服务器进行集中管理。 信息内容管理：采用身份认证技术、单点登录以及授权对各种应用的安全性增强配置服务来保障信息系统在应用层的安全。根据用户身份和现实工作中的角色和职责，确定访问应用资源的权限。应做到对用户接入网络的控制和对信息资源访问和用户权限进行绑定。 单点登录实现一次登录可以获得多个应用程序的访问能力。在提高系统访问效率和便捷方面扮演重要角色。有助于用户账号和口令管理，减少因口令破解引起的风险。 门户系统（内部网站）作为企业访问集中入口。用户可通过门户系统访问集成化的各个应用系统。 建立数据备份和恢复机制 建立数据备份和恢复系统，制定备份和恢复策略，系统发生故障后能较短时间恢复应用和数据。 平台安全 信息系统平台安全包括操作系统安全和数据库安全。服务器包括数据库服务器、应用服务器、Web服务器、代理服务器、Email服务器、防病毒服务器、域服务器等，应采用服务器版本的操作系统。典型的操作系统有：IBM AIX、SUN Solaris、HP Unix、Windows NT Server、Windows2000 Server、Windows2003 Server。网管终端、办公终端可以采用通用图形窗口操作系统，如Windows XP等。 操作系统加固 Windows操作系统平台加固通过修改安全配置、增加安全机制等方法，合理进行安全性加强，包括打补丁、文件系统、帐号管理、网络及服务、注册表、共享、应用软件、审计/日志，其他（包括紧急恢复、数字签名等）。 Unix操作系统平台加固包括：补丁、文件系统、配置文件、帐号管理、网络及服务、NFS系统、应用软件、审计/日志，其他（包括专用安全软件、加密通信，及数字签名等）。 数据库加固 数据库加固包括：主流数据库系统（包括Oracle、SQL Server、Sybase、MySQL、Informix）的补丁、账号管理、口令强度和有效期检查、远程登陆和远程服务、存储过程、审核层次、备份过程、角色和权限审核、并发事件资源限制、访问时间限制、审核跟踪、特洛依木马等。 在平台选择上应考虑：建设规模、投资预算情况、平台安全性、平台稳定性、平台效率、业务应用需求等。在实际建