1.1. 信息系统及信息资源安全保障措施1.1.1. 管理制度加强信息系统运行维护制度建设,是保障系统的安全运行的关键。制定的运行维护管理制度应包括系统管理员工作职责、系统安全员工作职责、系统密钥员工作职责、信息系统安全管理制度等安全运行维护制度.1.1.2. 运行管理1.1.2.1. 组织机构根据信息系统安全的要求,建立安全运行管理领导机构和工作机构。建立信息系统“三员”管理制度,即设立信息系统管理员、系统安全员、系统密钥员,负责系统安全运行维护和管理,为信息系统安全运行提供组织保障。1.1.2.2. 监控体系监控体系包括监控策略、监控技术措施等。在信息系统运行管理中,需要制定有效的监控策略,采纳多种技术措施和管理手段加强系统监控,从而构建有效的监控体系,保障系统安全运行。1.1.3. 终端安全加强信息系统终端安全建设和管理应该做到如下几点:(1)突出防范重点:安全建设应把终端安全和各个层面自身的安全放在同等重要的位置.在安全管理方面尤其要突出强化终端安全.终端安全的防范重点包括接入网络计算机本身安全及用户操作行为安全。(2)强化内部审计:对信息系统来说,假如内部审计没有得到重视,会对安全造成较大的威胁。强化内部审计不但要进行网络级审计,更重要是对内网里用户进行审计.(3)技术和管理并重:在终端安全方面,单纯的技术或管理都不能解决终端安全问题,因为终端安全与每个系统用户相联系。通过加强内部安全管理以提高终端用户的安全意识;通过加强制度建设,法律规范和约束终端用户的操作行为;通过内部审计软件部署审计规则,对用户终端系统本身和操作行为进行控制和审计,做到状态可监控,过程可跟踪,结果可审计。从而在用户终端层面做到信息系统安全.1.1.4. 物理层安全物理层的安全设计应从三个方面考虑:环境安全、设备安全、线路安全。实行的措施包括:机房屏蔽,电源接地,布线隐蔽,传输加密。对于环境安全和设备安全,国家都有相关标准和实施要求,可以根据相关要求具体开展建设。1.1.5. 应用安全应用层安全的目标是建立集中的应用程序认证与授权机制,统一管理应用系统用户的合法访问.应用安全问题包括信息内容保护和信息内容使用管理。(1) 信息内容保护:系统分析设计时,须充分考虑应用和功能的安全性。对应用系统的不同层面,如表现层、业务逻辑层、数据服务层等,实行软件技术安全措施。同时,要考虑不同应用层面和身份认证和代理服务器等交互.数据加密技术。通过采纳一定的加密算法对信息数据...
