信息系统安全管理方案.pdf

信息系统安全管理方案

第一篇：信息系统安全管理方案

信息系统安全管理方案

信息系统的安全，是指为信息系统建立和采取的技术和管理的安

全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到

破坏、更改和泄漏，以保证系统连续正常运行。信息系统的安全方案

是为发布、管理和保护敏感的信息资源而制定的一级法律、法规和措

施的总和，是对信息资源使用、管理规则的正式描述，是院内所有人

员都必须遵守的规则。信息系统的受到的安全威胁有：操作系统的不

安全性、防火墙的不安全性、来自内部人员的安全威胁、缺乏有效的

监督机制和评估网络系统的安全性手段、系统不能对病毒有效控制等。

一、机房设备的物理安全

硬件设备事故对信息系统危害极大，如电源事故引起的火灾，机

房通风散热不好引起烧毁硬件等，严重的可使系统业务停顿，造成不

可估量的损失；轻的也会使相应业务混乱，无法正常运转。对系统的

管理、看护不善，可使一些不法分子盗窃计算机及网络硬件设备，从

中牟利，使企业和国家财产遭受损失，还破坏了系统的正常运行。因

此，信息系统安全首先要保证机房和硬件设备的安全。要制定严格的

机房管理制度和保卫制度，注意防火、防盗、防雷击等突发事件和自

然灾害，采用隔离、防辐射措施实现系统安全运行。

二、管理制度

在制定安全策略的同时，要制定相关的信息与网络安全的技术标

准与规范。技术标准着重从技术方面规定与规范实现安全策略的

技术、机制与安全产品的功能指标要求。管理规范是从政策组织、人

力与流程方面对安全策略的实施进行规划。这些标准与规范是安全策

略的技术保障与管理基础，没有一定政策法规制度保障的安全策略形

同一堆废纸。

要备好国家有关法规，如：《中华人民共和国计算机信息系统安

全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行

规定》、《计算机信息网络国际联网安全保护管理办法》、《计算机

信息系统安全专用产品检测和销售许可证管理办法》、《中华人民共

和国计算机信息网络国际联网管理暂行规定实施办法》、《商用密码

管理条例》等，做到有据可查。同时，要制定信息系统及其环境安全

管理的规则，规则应包含下列内容：

１、岗位职责：包括门卫在内的值班制度与职责，管理人员和工

程技术人员的职责；

２、信息系统的使用规则，包括各用户的使用权限，建立与维护

完整的网络用户数据库，严格对系统日志进行管理，对公共机房实行

精确到人、到机位的登记制度，实现对网络客户、ＩＰ地址、ＭＡＣ

地址、服务帐号的精确管理；

３、软件管理制度；

４、机房设备（包括电源、空调）管理制度；

５、网络运行管理制度；

６、硬件维护制度；

７、软件维护制度；

８、定期安全检查与教育制度；

９、下属单位入网行为规范和安全协议。

三、网络安全

按照网络ＯＳＩ七层模型，网络系统的安全贯穿与整个七层模型。

针对网络系统实际运行的ＴＣＰ／ＩＰ协议，网络安全贯穿于信息系

统的以下层次：

１、物理层安全：主要防止物理通路的损坏、物理通路的窃听、

对物理通路的攻击（干扰等）。

２、链路层安全：需要保证网络链路传送的数据不被窃听。主要

采用划分ＶＬＡＮ、加密通讯（远程网）等手段。

３、网络层安全：需要保证网络只给授权的用户使用授权的服务，

保证网络路由正确，避免被拦截或监听。

４、操作系统安全：保证客户资料、操作系统访问控制的安全，

同时能够对该操作系统的应用进行审计。

５、应用平台安全：应用平台之建立在网络系统上的应用软件服

务器，如数据服务器、电子邮件服务器、ＷＥＢ服务器等。其安全通

常采用多种技术（如ＳＳＬ等）来增强应用平台的安全系统。

６、应用系统安全：使用应用平台提供的安全服务来保证基本安

全，如通过通讯双方的认证、审计等手段。

系统安全体系应具备以下功能：建立对特等网段、服务的访问控

制体系；检查安全漏洞；建立入侵性攻击监控体系；主动进行加密通

讯；建立良好的认证体系；进行良好的备份和恢复机制；进行多

层防御，隐藏内部信息并建立安全监控中心等。

网络安全防范是每一个系统设计人员和管理人员的重要任务和职

责。网络应采用保种控制技术保证安全访问而绝对禁止非法者进入，

已经成为网络建设及安全的重大决策问题。

明确网络资源。事实上我们不能确