信息系统安全管理

安全属性：

保密性--最小授权原则，防暴露，信息加密，物理保密，网络安全协议，身份认证服务，数据加密

完整性---协议，纠错编码，密码校验，数字签名，公证，CA认证，防火墙系统，入侵检测系统

可用性---数据冗余及备份，磁盘和系统的容错，安全进程和机制

不可抵赖性

信息安全管理体系

配备安全管理人员

建立安全智能部门

成立安全领导小组

主要负责人出人领导

建立信息安全保密管理部门

信息安全技术体系

物理安全---环境，设备，介质安全----防火防水防静电，防盗防毁

运营安全---安全监控，安全审批，可信连接技术

数据安全---身份鉴别，自主访问控制，强制访问控制，完整性保护，数据保密性保护

物理安全

机房场地

机房空调，降温---达到所需温度，完被空调系统

机房防静电---接地屏蔽，服装防静电，温湿度防静电，地板材料防静电，维修MOS电路保护，静电消除要求

计算机设备---有明显的无法取出标记，防更换和方便查找赃物

控制技术---检测监视系统，人员进出机房和操作权限范围控制

? ? ? ? ? ?进入带证件，不批准禁止物理访问，禁止带入带出设备，禁止移动物品进入，专门警卫，24小时值班监视。

? ? ? ? ? 明确责任人，出入有指定人负责，不批准不准进入，批准来访的活动范围应受限并有接待人员陪同。要是专人管理，不准复制机房钥匙。严禁吸烟，严禁带入火种和水源。访问登记记录妥善保存。

环境与人身安全---防火，防漏水和火灾

电磁兼容---屏蔽机房应随时关闭屏蔽门，不得在屏蔽墙上打钉钻孔，不得连接任何线缆

人员安全管理

岗位安全考核与培训

? ? ? 业务应用操作人员不能由其他关键岗位人员兼任。

? ? ? 关键广为人员应定期接受安全培训，加强安全意识和风险防范意识。

? ? ?兼职和轮岗：关键岗位应采取定期轮岗。业务开发人员和系统维护人员不能兼任安全管理员、系统管理员、数据库管理员、网络管理员和重要业务操作人员。

? ? ?权限分散：不得交叉覆盖，系统管理员、数据库管理员、网络管理员不得相互兼任

? ? ?多人共管：关键岗位人员处理重要事务或操作时，应保持二人同时在场，多人共管

? ? ?全面控制：所有人实施全面安全管理

离职人员安全管理

? ? ?基本：立即终止离开人员访问权限，收回所有证件，徽章，密钥和访问控制标记，收回机构提供的设备。

? ? ?调离后的保密：管理层和信息系统关键岗位人员调离岗位，必须经单位人事部门严格办理调离手续，承诺调离后保密

? ? ?离岗审计：设计组织机构管理层和信息系统关键岗位的人员调离，必须进行离岗安全审查，再规定的脱密期限后，方可调离。

? ? 关键部位人员的离岗：按照机要人员管理办法办理。

应用系统安全管理

安全和保密层次：系统及安全，资源访问安全，功能性安全，数据域安全

? ? ? ? ? ? ?系统及安全---应用系统第一道大门，限制IP，登录时间，会话时间，连接数，敏感策略

? ? ? ? ? ? ?资源访问安全---用户和其权限相关用户界面，服务端对URL调用访问控制

? ? ? ? ? ? ? 功能性安全---用户操作业务记录是否审核，上传附件不能超过指定大小

? ? ? ? ? ? ? 数据域安全---行级数据域安全，字段级数据域安全

安全检查---普查，抽查，专项检查

安全管理制度：

? ? ?组织---单位主要领导人领导，不隶属于计算机运行或应用部门

? ? ?等级----保密等级(绝密，机密，秘密)，可靠性等级(A,B,C,A最高)

? ? ?操作---应用系统操作人员应为专职，关键操作要有两名操作人员在场，对系统开发人员和操作人员进行职责分离。

用户管理制度：

? ? ?用户权限分配必须最小特权原则

? ? 用户密码应严格保密，及时更新

? ? 重要用户密码应密封交安全管理员保管，人员调离应及时修改相关密码和口令

信息安全等级保护

等保5级

计算机系统安全保护能力的5个等级

? ? ?用户自主保护级

? ? ?系统审计保护级

? ? ?安全标记保护级

? ? ?结构化保护级

? ? ?访问验证保护级