信息安全管理第四章物理安全

第4章物理安全2020/12/1814.1概述4.2設(shè)備安全4.3環(huán)境安全4.4人員安全2020/12/1824.1概述2020/12/1834.1概述物理安全是保護(hù)計(jì)算機(jī)設(shè)備、設(shè)施（網(wǎng)絡(luò)及通信線路）免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故和人為操作失誤或錯(cuò)誤及各種計(jì)算機(jī)犯罪行為破壞的措施和過程。保證計(jì)算機(jī)信息系統(tǒng)各種設(shè)備的物理安全是保證整個(gè)信息系統(tǒng)安全的前提。2020/12/1842020/12/1852020/12/186支付寶機(jī)房電纜被挖斷部分區(qū)域服務(wù)中2015年5月27日下午，部分用戶反映其支付寶出現(xiàn)網(wǎng)絡(luò)故障，賬號(hào)無法登錄或支付。支付寶官方表示，該故障是由于杭州市蕭山區(qū)某地光纖被挖斷導(dǎo)致，這一事件造成部分用戶無法使用支付寶。隨后支付寶工程師緊急將用戶請求切換至其他機(jī)房，受影響的用戶逐步恢復(fù)。2020/12/187暖氣跑水2020/12/1882020/12/189洪水肆虐大賢村7月19日凌晨1點(diǎn)多，一場突如其來的洪水改變了河北邢臺(tái)市東汪鎮(zhèn)大賢村2000多村民的生活。村子北邊七里河的大水漫過河堤決口，奪走了大賢村9條生命，沖垮了多座房屋和廠房。2020/12/18102020/12/1811911事件恐怖襲擊破壞信息數(shù)據(jù)幾乎所有沒有進(jìn)行遠(yuǎn)程備份的企業(yè)都蒙受巨大數(shù)據(jù)損失倒閉2020/12/18122020/12/1813攜程網(wǎng)內(nèi)部員工誤刪除代碼網(wǎng)站整體宕機(jī)12小時(shí)2015年5月28日上午11：09，攜程官網(wǎng)和App客戶端大面積癱瘓，多項(xiàng)功能無法使用，直至晚上22時(shí)45分，攜程官方才確認(rèn)除個(gè)別業(yè)務(wù)外，攜程網(wǎng)站及APP恢復(fù)正常，數(shù)據(jù)沒有丟失。而造成事故原因“內(nèi)部人員錯(cuò)誤操作導(dǎo)致”。業(yè)內(nèi)分析，若按攜程一季度營收3.37億美元估算，“宕機(jī)”一小時(shí)的平均損失為106.48萬美元，從癱瘓到修復(fù)，攜程“宕機(jī)”近12小時(shí)，算下來總損失超過1200萬美元，折合人民幣7400多萬。2020/12/181410·11虹橋機(jī)場跑道入侵事件2020/12/181510·11虹橋機(jī)場跑道入侵事件10月21日，民航局對該事件作出處理：認(rèn)定該事件是一起因塔臺(tái)管制員遺忘動(dòng)態(tài)、指揮失誤而造成的人為原因嚴(yán)重事故征候，分別給予華東空管局、華東空管局管制中心、華東空管局安全管理部13名領(lǐng)導(dǎo)干部黨內(nèi)警告、嚴(yán)重警告和行政記過、撤職處分；吊銷當(dāng)班指揮席和監(jiān)控席管制員執(zhí)照，當(dāng)班指揮席管制員終身不得從事管制指揮工作；對成功化解危機(jī)的東航A320客機(jī)當(dāng)班機(jī)長何超記一等功并給予相應(yīng)獎(jiǎng)勵(lì)。2020/12/18164.1概述物理安全的主要威脅有：1、自然災(zāi)害。主要包括鼠蟻蟲害、洪災(zāi)、火災(zāi)、地震等。2、電磁環(huán)境影響。主要包括斷電、電壓波動(dòng)、靜電、電磁干擾等。3、物理環(huán)境影響。主要包括灰塵、潮濕、溫度等。4、軟硬件影響。由于設(shè)備硬件故障、通信鏈中斷、系統(tǒng)本身或軟件缺陷造成對信息系統(tǒng)安全可用的影響。2020/12/18174.1概述5、物理攻擊。物理接觸、物理破壞、盜竊6、無作為或操作失誤。7、管理不到位。8、越權(quán)或?yàn)E用。9、設(shè)計(jì)、配置缺陷設(shè)計(jì)階段存在明顯的系統(tǒng)可用性漏洞、系統(tǒng)未能正確有效地配置。系統(tǒng)擴(kuò)容和調(diào)節(jié)引起的錯(cuò)誤。2020/12/18184.1概述針對不同的物理安全威脅，產(chǎn)生了三類主要的物理安全需求：設(shè)備安全、環(huán)境安全和人員安全。

1、設(shè)備安全設(shè)備安全包括各種電子信息設(shè)備的安全防護(hù)。

2、環(huán)境安全要保證信息系統(tǒng)的安全、可靠，必須保證系統(tǒng)實(shí)體有一個(gè)安全環(huán)境條件。

3、人員安全無論環(huán)境和設(shè)備怎樣安全，對機(jī)器設(shè)備提供了多么好的工作環(huán)境，外部安全做得怎樣好，如果對人員不加控制，那么所謂系統(tǒng)的安全是沒有絲毫意義的。信息系統(tǒng)除應(yīng)加強(qiáng)管理內(nèi)部人員的行為外，還應(yīng)嚴(yán)防外部人員的侵襲。2020/12/18194.1概述國家保密保準(zhǔn)BMB1-1994《電話機(jī)電磁泄漏發(fā)射限值和測試方法》BMB4-2000《電磁干擾器技術(shù)要求和測試方法》GGBB1-1999《信息設(shè)備電磁泄漏發(fā)射限值》GGBB2-1999《信息設(shè)備電磁泄漏發(fā)射測試方法》BMZ1-2000《涉及國家秘密的計(jì)算機(jī)信息系統(tǒng)保密技術(shù)要求》BMZ3-2001《涉及國家秘密的計(jì)算機(jī)信息系統(tǒng)安全保密測評(píng)指南》電子行業(yè)標(biāo)準(zhǔn)：SJ/T2020/12/18204.1概述國外標(biāo)準(zhǔn)ECMAEuropeanComputerManufacturesAssociation歐洲計(jì)算機(jī)制造聯(lián)合會(huì)，旨在建立統(tǒng)一的電腦操作格式標(biāo)準(zhǔn)——包括程序語言和輸入輸出的組織。FIPSFederalInformationProcessingStandards聯(lián)邦信息處理標(biāo)準(zhǔn)，是一套描述文件處理、加密算法和其他信息技術(shù)標(biāo)準(zhǔn)（在非軍用政府機(jī)構(gòu)和與這些機(jī)構(gòu)合作的政府承包商和供應(yīng)商中應(yīng)用的標(biāo)準(zhǔn)）的標(biāo)準(zhǔn)。DODIDepartmentofDefenseInstruction美國國防部指令DODDDepartmentofDefenseDirective美國國防部指示2020/12/18214.2設(shè)備安全2020/12/18224.2.1防盜和防毀宿舍安全2020/12/18234.2.1防盜和防毀2020/12/18244.2.1防盜和防毀設(shè)備的安置與保護(hù)可以考慮以下原則：設(shè)備的布置應(yīng)有利于減少對工作區(qū)的不必要的訪問。敏感數(shù)據(jù)的信息處理與存儲(chǔ)設(shè)施應(yīng)當(dāng)妥善放置，降低在使用期間內(nèi)對其缺乏監(jiān)督的風(fēng)險(xiǎn)。要求特別保護(hù)的項(xiàng)目與存儲(chǔ)設(shè)施應(yīng)當(dāng)妥善放置，降低在使用期間內(nèi)對其缺乏監(jiān)督的風(fēng)險(xiǎn)；要求特別保護(hù)的項(xiàng)目應(yīng)與其他設(shè)備進(jìn)行隔離，以降低所需保護(hù)的等級(jí)。采取措施，盡量降低盜竊、火災(zāi)等環(huán)境威脅所產(chǎn)生的潛在的風(fēng)險(xiǎn)?？紤]實(shí)施“禁止在信息處理設(shè)施附近飲食、飲水和吸煙”等。2020/12/18254.2.1防盜和防毀防盜、防毀主要措施：（1）設(shè)置報(bào)警器。在機(jī)房周圍空間放置浸入報(bào)警器。侵入報(bào)警的形式主要有：光電、微波、紅外線和超聲波。（2）鎖定裝置。在計(jì)算機(jī)設(shè)備中，特別是個(gè)人計(jì)算機(jī)中設(shè)置鎖定裝置，以防犯罪盜竊。（3）計(jì)算機(jī)保險(xiǎn)。在計(jì)算機(jī)系統(tǒng)受到侵犯后，可以得到損失的經(jīng)濟(jì)補(bǔ)償，但是無法補(bǔ)償失去的程序和數(shù)據(jù)，為此應(yīng)設(shè)置一定的保險(xiǎn)裝置。（4）列出清單或繪制位置圖。2020/12/1826思考如何打開機(jī)房的房門？2020/12/18272020/12/18282020/12/18294.2.2防電磁泄露計(jì)算機(jī)設(shè)備包括主機(jī)、磁盤機(jī)、磁帶機(jī)、終端機(jī)、打印機(jī)等所有設(shè)備都會(huì)不同程度地產(chǎn)生電磁輻射造成信息泄露。1.抑制電磁信息泄漏的技術(shù)途徑計(jì)算機(jī)信息泄露主要有兩種途徑：一是被處理的信息會(huì)通過計(jì)算機(jī)內(nèi)部產(chǎn)生的電磁波向空中發(fā)射，稱為輻射發(fā)射；二是這種含有信息的電磁波也可以通過計(jì)算機(jī)內(nèi)部產(chǎn)生的電磁波向空中發(fā)射，稱為傳導(dǎo)發(fā)射。2020/12/18304.2設(shè)備安全目前，抑制計(jì)算機(jī)中信息泄露的技術(shù)途徑有兩種：一是電子隱蔽技術(shù)，

二是物理抑制技術(shù)。電子隱蔽技術(shù)主要是用干擾、調(diào)頻等技術(shù)來掩飾計(jì)算機(jī)的工作狀態(tài)和保護(hù)信息；物理抑制技術(shù)則是抑制一切有用信息的外泄。物理抑制技術(shù)可分為包容法和抑源法。包容法主要是對輻射源進(jìn)行屏蔽，以阻止電磁波的外泄傳播；抑源法就是從線路和元器件入手，從根本上阻止計(jì)算機(jī)系統(tǒng)向外輻射電磁波，消除產(chǎn)生較強(qiáng)電磁波的根源。2020/12/18314.2設(shè)備安全2、電磁輻射防護(hù)措施

(1)選用低輻射設(shè)備

(2)利用噪聲干擾源

(3)采取屏蔽措施

(4)距離防護(hù)

(5)采用微波吸收材料

(6)傳導(dǎo)線路防護(hù)2020/12/18324.2設(shè)備安全4.2.3設(shè)備管理1設(shè)備維護(hù)設(shè)備應(yīng)進(jìn)行正確維護(hù)，以確保其持續(xù)的可用性及完整性。設(shè)備維護(hù)不當(dāng)會(huì)引起設(shè)備故障，從而造成信息不可用甚至不完整。因此，組織應(yīng)按照設(shè)備維護(hù)手冊的要求和有關(guān)維護(hù)規(guī)程對設(shè)備進(jìn)行適當(dāng)?shù)木S護(hù)，確保設(shè)備處于良好的工作狀態(tài)。維護(hù)：檢查、保養(yǎng)、升級(jí)、優(yōu)化、維修2020/12/18332020/12/18342020/12/18352020/12/1836我們的大橋，再見！是為了再見！2020/12/18372020/12/1838設(shè)備維護(hù)設(shè)備維護(hù)相關(guān)措施如下：(1)按照供應(yīng)商推薦的保養(yǎng)時(shí)間間隔和規(guī)范進(jìn)行設(shè)備保養(yǎng)；(2)只有經(jīng)授權(quán)的維護(hù)人員才能維修和保養(yǎng)設(shè)備；(3)維修人員應(yīng)具備一定的維修技術(shù)能力；(4)應(yīng)當(dāng)把所有可疑故障和實(shí)際發(fā)生的事故記錄下來；(5)當(dāng)將設(shè)備送外進(jìn)行保養(yǎng)時(shí)，應(yīng)采取適當(dāng)?shù)目刂?，防止敏感信息的泄露?020/12/1839設(shè)備的處置和重復(fù)利用設(shè)備在報(bào)廢或再利用前，應(yīng)當(dāng)清除存儲(chǔ)在設(shè)備中的信息。信息設(shè)備到期報(bào)廢或被淘汰需處置時(shí)，或設(shè)備改為他用時(shí)，處理不當(dāng)會(huì)造成敏感信息的泄露。設(shè)備的處置和重復(fù)利用可采取的措施有：(1)在設(shè)備處置或征得利用之前，組織應(yīng)采取適當(dāng)?shù)姆椒▽⒃O(shè)備內(nèi)存儲(chǔ)媒體的敏感數(shù)據(jù)及許可的軟件清除；(2)應(yīng)在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上履行審批手續(xù)，以決定對設(shè)備內(nèi)裝有敏感數(shù)據(jù)的存儲(chǔ)設(shè)備的處置方法——消磁、物理銷毀、報(bào)廢或重新利用。2020/12/1840設(shè)備的轉(zhuǎn)移未經(jīng)授權(quán)，不得將設(shè)備、信息或軟件帶離工作場地。在未經(jīng)授權(quán)的情況下，不應(yīng)讓設(shè)備、信息或軟件離開辦公場地；應(yīng)識(shí)別有權(quán)允許資產(chǎn)移動(dòng)，離開辦公場地的雇員、合同方和第三方用戶；應(yīng)設(shè)置設(shè)備移動(dòng)的時(shí)間限制，并在返還時(shí)執(zhí)行一致性檢查。必要時(shí)可以刪除設(shè)備中的記錄，當(dāng)設(shè)備返還時(shí)，再恢復(fù)記錄。2020/12/18414.2設(shè)備安全4.2.4電源安全計(jì)算機(jī)系統(tǒng)對電源的基本要求，一是電壓要穩(wěn)，二是計(jì)算機(jī)工作時(shí)不能停電。電源調(diào)整器和UPS不間斷電源可向計(jì)算機(jī)系統(tǒng)提供穩(wěn)定、不間斷的電源。2020/12/1842電源安全1．電源調(diào)整器電源調(diào)整器有三種：(1)隔離器。(2)穩(wěn)壓器。(3)濾波器。2020/12/1843電源安全2．不間斷電源（UPS，UninterruptiblePowerSystem）(1)持續(xù)供電型UPS(2)馬達(dá)發(fā)電機(jī)(3)順向轉(zhuǎn)換型UPS(4)逆向轉(zhuǎn)換型UPS2020/12/18444.2設(shè)備安全4.2.5介質(zhì)安全存儲(chǔ)媒介安全包括媒介本身的安全及媒介數(shù)據(jù)的安全。媒介本身的安全保護(hù)，指防盜、防毀、防霉等。媒體數(shù)據(jù)的安全保護(hù)，指防止記錄的信息不被非法竊取、篡改、破壞或使用。2020/12/1845介質(zhì)安全計(jì)算機(jī)系統(tǒng)的記錄按其重要性和機(jī)密程度進(jìn)行分類(1)一類記錄——關(guān)鍵性記錄

(2)二類記錄——重要記錄

(3)三類記錄——有用記錄

(4)四類記錄——不重要記錄2020/12/18464.2設(shè)備安全

為了保證一般介質(zhì)的存放安全和使用安全，介質(zhì)的存放和管理應(yīng)有相應(yīng)的制度和措施：存放有業(yè)務(wù)數(shù)據(jù)或程序的介質(zhì)，必須注意防磁、防潮、防火、防盜；對硬盤上的數(shù)據(jù)，要建立有效的級(jí)別、權(quán)限，并嚴(yán)格管理，必要時(shí)要對數(shù)據(jù)進(jìn)行加密，以確保硬盤數(shù)據(jù)的安全；存放業(yè)務(wù)數(shù)據(jù)或程序的介質(zhì)，管理必須落實(shí)到人，并分類建立登記簿；2020/12/18474.2設(shè)備安全對存放有重要信息的介質(zhì)，要備份兩份并分兩處保管；打印有業(yè)務(wù)數(shù)據(jù)或程序的打印紙，要視同檔案進(jìn)行管理；凡超過數(shù)據(jù)保存期的介質(zhì)，必須經(jīng)過特殊的數(shù)據(jù)清除處理；凡不能正常記錄數(shù)據(jù)的介質(zhì)，必須經(jīng)過測試確認(rèn)后銷毀；對刪除和銷毀的介質(zhì)數(shù)據(jù)，應(yīng)采取有效措施，防止被非法復(fù)制；對需要長期保存的有效數(shù)據(jù)，應(yīng)在介質(zhì)的質(zhì)量保證期內(nèi)進(jìn)行轉(zhuǎn)儲(chǔ)，轉(zhuǎn)儲(chǔ)時(shí)應(yīng)確保內(nèi)容正確。2020/12/18484.2設(shè)備安全移動(dòng)存儲(chǔ)介質(zhì)按其存儲(chǔ)信息的重要性和機(jī)密程度，可分為涉密移動(dòng)存儲(chǔ)介質(zhì)、內(nèi)部移動(dòng)存儲(chǔ)介質(zhì)、普通移動(dòng)存儲(chǔ)介質(zhì)。涉密移動(dòng)存儲(chǔ)介質(zhì)是指用于存儲(chǔ)國家秘密信息的移動(dòng)存儲(chǔ)介質(zhì)。內(nèi)部移動(dòng)存儲(chǔ)介質(zhì)是指用于存儲(chǔ)不宜公開的內(nèi)部工作信息的移動(dòng)存儲(chǔ)介質(zhì)。普通移動(dòng)存儲(chǔ)介質(zhì)是指用于存儲(chǔ)公開信息的移動(dòng)存儲(chǔ)介質(zhì)。2020/12/1849U盤2020/12/1850手機(jī)2020/12/1851手機(jī)存儲(chǔ)卡—TF卡2020/12/1852移動(dòng)硬盤2020/12/1853光盤2020/12/1854云盤56T2020/12/1855云盤2020/12/18564.3環(huán)境安全2020/12/18574.3環(huán)境安全環(huán)境安全強(qiáng)調(diào)的是對系統(tǒng)所在環(huán)境的安全保護(hù)，包括機(jī)房環(huán)境條件、機(jī)房安全等級(jí)、機(jī)房場地的環(huán)境選擇、機(jī)房的建設(shè)、機(jī)房的裝修和計(jì)算機(jī)的安全防護(hù)等。2020/12/18584.3環(huán)境安全4.3.1機(jī)房安全1.機(jī)房的組成計(jì)算機(jī)機(jī)房一般由主機(jī)房、基本工作間和輔助房間等組成。

(1)主機(jī)房：用以安裝主機(jī)及其外部設(shè)備、路由器、交換機(jī)等骨干網(wǎng)絡(luò)設(shè)備。

(2)基本工作房間有：數(shù)據(jù)錄入室、終端室、網(wǎng)絡(luò)設(shè)備室、已記錄的媒體存放間、上機(jī)準(zhǔn)備間。

(3)第一類輔助房間有：備件間、未記錄的媒體存放間、資料室、儀器室、硬件人員辦公室、軟件人員辦公室。

(4)第二類輔助房間有：維修室、電源室、蓄電池室、發(fā)電機(jī)室、空調(diào)系統(tǒng)用房、滅火鋼瓶間、監(jiān)控室、值班室。

(5)第三類輔助房間有：貯藏室、更衣?lián)Q鞋室、緩沖間、機(jī)房人員休息室、盥洗室等。2020/12/18594.3環(huán)境安全2.機(jī)房安全級(jí)別根據(jù)GB／T9361—1988《計(jì)算站場地安全要求》中關(guān)于“計(jì)算機(jī)機(jī)房的安全分類”劃分，機(jī)房安全等級(jí)分為A、B、C三級(jí)。

A類：對計(jì)算機(jī)機(jī)房的安全有嚴(yán)格的要求，有完善的計(jì)算機(jī)機(jī)房安全措施。該類機(jī)房放置需要最高安全性和可靠性的系統(tǒng)和設(shè)備。

B類：對計(jì)算機(jī)機(jī)房的安全有較嚴(yán)格的要求，有較完善的計(jì)算機(jī)機(jī)房安全措施。它的安全性介于A類和C類之間。

C類：對計(jì)算機(jī)機(jī)房的安全有基本的要求，有基本的計(jì)算機(jī)機(jī)房安全措施。該類機(jī)房存放只需要最低限度的安全性和可靠性的一般性系統(tǒng)。2020/12/18604.3環(huán)境安全3.機(jī)房場地選擇要求根據(jù)GB／T9361—1988《計(jì)算站場地安全要求》中的“計(jì)算機(jī)場地位置”，B類機(jī)房的選址要求為：(1)應(yīng)避開易發(fā)生火災(zāi)危險(xiǎn)程度高的區(qū)域；(2)應(yīng)避開易產(chǎn)生粉塵、油煙、有害氣體源以及存放腐蝕、易燃、易爆物品的地方；(3)應(yīng)避開低洼、潮濕、落雷、重鹽害區(qū)域和地震頻繁的地方；(4)應(yīng)避開強(qiáng)振動(dòng)源和強(qiáng)噪聲源；2020/12/18614.3環(huán)境安全(5)應(yīng)避開強(qiáng)電磁場的干擾；(6)應(yīng)避免設(shè)在建筑物的高層或地下室，以及用水設(shè)備的下層或隔壁；(7)應(yīng)遠(yuǎn)離核輻射源。C類機(jī)房參照B類各條執(zhí)行。A類安全機(jī)房除第一條要求外，還應(yīng)將其置于建筑物的安全區(qū)內(nèi)。2020/12/18624.3環(huán)境安全4.場地防火要求火災(zāi)避免措施包括：

(1)為預(yù)防來自機(jī)房外部的火災(zāi)危險(xiǎn)，理想的情況下機(jī)房最好與其他建筑分開建設(shè)，并在建筑之間留有一定寬度的防火通道。(2)機(jī)房應(yīng)為獨(dú)立的防火分區(qū)，機(jī)房的外墻應(yīng)采用非燃燒材料。(3)機(jī)房建設(shè)采用防火材料。(4)設(shè)置火災(zāi)報(bào)警系統(tǒng)。(5)設(shè)置氣體滅火系統(tǒng)。(6)合理正確使用用電設(shè)備，制定完善的防火制度。2020/12/18634.3環(huán)境安全5.機(jī)房內(nèi)部裝修要求6.供配電系統(tǒng)要求7.空調(diào)系統(tǒng)要求8.防靜電2020/12/18644.4人員安全2020/12/18654.4人員安全對組織網(wǎng)絡(luò)系統(tǒng)造成的人為威脅主要來自以下幾個(gè)方面：

(1)內(nèi)部人員：

(2)準(zhǔn)內(nèi)部人員：

(3)特殊身份人員：

(4)外部個(gè)人或小組：

(5)競爭對手：2020/12/1866監(jiān)守自盜型2020/12/1867內(nèi)外勾結(jié)型2020/12/1868報(bào)復(fù)型2020/12/1869攜程網(wǎng)內(nèi)部員工誤刪除代碼網(wǎng)站整體宕機(jī)12小時(shí)2015年5月28日上午11：09，攜程官網(wǎng)和App客戶端大面積癱瘓，多項(xiàng)功能無法使用，直至晚上22時(shí)45分，攜程官方才確認(rèn)除個(gè)別業(yè)務(wù)外，攜程網(wǎng)站及APP恢復(fù)正常，數(shù)據(jù)沒有丟失。而造成事故原因“內(nèi)部人員錯(cuò)誤操作導(dǎo)致”。業(yè)內(nèi)分析，若按攜程一季度營收3.37億美元估算，“宕機(jī)”一小時(shí)的平均損失為106.48萬美元，從癱瘓到修復(fù)，攜程“宕機(jī)”近12小時(shí)，算下來總損失超過1200萬美元，折合人民幣7400多萬。誤操作型2020/12/1870黑客型2020/12/1871競爭對手型2020/12/18724.4人員安全4.4.1人員安全管理的基本內(nèi)容1.人員安全管理原則（1）多人負(fù)責(zé)原則，即每一項(xiàng)與安全有關(guān)的活動(dòng)，都必須有2人或多人在場。（2）任期有限原則，任何人最好不要長期擔(dān)任與安全有關(guān)的職務(wù)，以保持該職務(wù)具有競爭性和流動(dòng)性。（3）職責(zé)分離原則，處于對安全的考慮，科技開發(fā)、生產(chǎn)運(yùn)行和業(yè)務(wù)操作都應(yīng)當(dāng)職責(zé)分離。2020/12/18734.4人員安全2．人員安全管理措施組織內(nèi)人員安全管理措施可以從以下方面考慮：(1)領(lǐng)導(dǎo)者安全意識(shí)(2)系統(tǒng)管理員意識(shí)(3)一般用戶安全意識(shí)(4)外部人員2020/12/1874領(lǐng)導(dǎo)者安全意識(shí)定期制訂安全培訓(xùn)計(jì)劃，組織安全學(xué)習(xí)活動(dòng)，責(zé)成各級(jí)高層管理人員經(jīng)常關(guān)注和強(qiáng)化計(jì)算機(jī)安全技術(shù)和保密措施；組織計(jì)算機(jī)安全任務(wù)小組來評(píng)定整個(gè)系統(tǒng)的安全性，安全小組應(yīng)及時(shí)向高層管理層報(bào)告發(fā)現(xiàn)的問題并提出關(guān)鍵性建議，領(lǐng)導(dǎo)者可授權(quán)安全小組制定各種安全監(jiān)督措施；對違反安全規(guī)則的人員，管理層應(yīng)進(jìn)行懲罰；領(lǐng)導(dǎo)者應(yīng)嚴(yán)于律己，不得將內(nèi)部機(jī)密輕易泄露給他人，尤其注意收發(fā)電子郵件時(shí)，不將組織專有信息放在網(wǎng)絡(luò)服務(wù)器和FTP服務(wù)器上。2020/12/1875系統(tǒng)管理員意識(shí)保證系統(tǒng)管理員個(gè)人的登錄安全；給賬號(hào)和文件系統(tǒng)分配訪問權(quán)限；經(jīng)常檢查系統(tǒng)配置的安全性，如線路連接及設(shè)備安全、磁盤備份是否安全等；注意軟件版本的升級(jí)，安裝系統(tǒng)最新的補(bǔ)丁程序，盡量減少入侵者竊取到口令文件的可能性，關(guān)掉不必要的服務(wù)，減少入侵者入侵途徑。2020/12/1876一般用戶安全意識(shí)經(jīng)常參加計(jì)算機(jī)安全技術(shù)培訓(xùn)，學(xué)習(xí)最新安全防護(hù)知識(shí)；以合法用戶身份進(jìn)入應(yīng)用系統(tǒng)，享受授權(quán)訪問信息；不與他人共享口令，并經(jīng)常更換口令；不將一些私人信息，如公司計(jì)劃或個(gè)人審查資料存人計(jì)算機(jī)文件；注意將自己的主機(jī)設(shè)為拒絕未授權(quán)遠(yuǎn)程計(jì)算機(jī)的訪問要求；保證組織的原始記錄，如發(fā)票、憑證、出庫和入庫單等不被泄露；自覺遵守公司制定的安全保密規(guī)章制度，不制作、復(fù)制和傳播違法違紀(jì)內(nèi)容，不進(jìn)行危害系統(tǒng)安全的活動(dòng)。2020/12/1877外部人員組織應(yīng)監(jiān)視和分析系統(tǒng)維護(hù)前后源代碼及信息系統(tǒng)運(yùn)行情況，防止開發(fā)維護(hù)人員的破壞行為；將特殊身份人員(如警察、記者等)的權(quán)限限制在最小范圍；密切注視競爭對手的近況，防止商業(yè)間諜偷襲。2020/12/18784.4人員安全4.4.2內(nèi)部人員管理制度1.員工雇傭前2.員工雇傭中3.雇傭的終止與變更2020/12/1879員工雇傭前在招聘新員工或員工升遷時(shí)，實(shí)施人員安全審查是非常重要的控制措施。(1)審查對象：信息系統(tǒng)分析、管理人員，組織內(nèi)的固定崗位人員，臨時(shí)人員或參觀學(xué)習(xí)人員等。(2)審查范圍：人員背景信息、安全意識(shí)、法律意識(shí)和安全技能等。2020/12/1880員工雇傭前(3)人員審查標(biāo)準(zhǔn)：人員審查必須根據(jù)信息系統(tǒng)所規(guī)定的安全等級(jí)確定審查標(biāo)準(zhǔn)。信息系統(tǒng)的關(guān)鍵崗位人選，如安全負(fù)責(zé)人、安全管理員、系統(tǒng)管理員和保密員等，必須經(jīng)過嚴(yán)格的政審并要考核其業(yè)務(wù)能力。因崗挑選人，制定選人方案。遵循“先測評(píng)、后上崗，先試用、后聘用”原則。所有人員都應(yīng)遵循“最小特權(quán)”原則，并承擔(dān)保密義務(wù)和相關(guān)責(zé)任。2020/12/1881員工雇傭前(3)人員審查標(biāo)準(zhǔn)：人員審查必須根據(jù)信息系統(tǒng)所規(guī)定的安全等級(jí)確定審查標(biāo)準(zhǔn)。信息系統(tǒng)的關(guān)鍵崗位人選，如安全負(fù)責(zé)人、安全管理員、系統(tǒng)管理員和保密員等，必須經(jīng)過嚴(yán)格的政審并要考核其業(yè)務(wù)能力。因崗挑選人，制定選人方案。遵循“先測評(píng)、后上崗，先試用、后聘用”原則。所有人員都應(yīng)遵循“最小特權(quán)”原則，并承擔(dān)保密義務(wù)和相關(guān)責(zé)任。2020/12/1882員工雇傭前(3)人員審查標(biāo)準(zhǔn)：人員審查必須根據(jù)信息系統(tǒng)所規(guī)定的安全等級(jí)確定審查標(biāo)準(zhǔn)。信息系統(tǒng)的關(guān)鍵崗位人選，如安全負(fù)責(zé)人、安全管理員、系統(tǒng)管理員和保密員等，必須經(jīng)過嚴(yán)格的政審并要考核其業(yè)務(wù)能力。因崗挑選人，制定選人方案。遵循“先測評(píng)、后上崗，先試用、后聘用”原則。所有人員都應(yīng)遵循“最小特權(quán)”原則，并承擔(dān)保密義務(wù)和相關(guān)責(zé)任。2020/12/1883員工雇傭中（1）員工工作職責(zé)（2）組織管理職責(zé)（3）安全事故與安全故障反應(yīng)機(jī)制2020/12/1884雇傭的終止與變更當(dāng)員工、合同方和第三方用戶離開組織或雇用變更時(shí)，應(yīng)有合適的職責(zé)確保管理雇員、合同方和第三方用戶以一種有序的方式從組織退出，并確保他們歸還所有設(shè)備及刪除他們的所有訪問權(quán)利。(1)員工、合同方和第三方應(yīng)歸還所使用的組織資產(chǎn)，如公司文件、設(shè)備、信用卡、訪問卡、軟件、手冊和存儲(chǔ)于電子介質(zhì)中的信息等；(2)應(yīng)確保所有有關(guān)的信息已轉(zhuǎn)移給組織，并且已從雇員、合同方或第三方設(shè)備中安全刪除；(3)當(dāng)一個(gè)雇員、合同方或第三方用戶擁有的知識(shí)對正在進(jìn)行的操作具有重要意義時(shí)，此信息應(yīng)形成文件并傳達(dá)給組織；(4)應(yīng)撤銷所有員工、合同方或第三方用戶對信息和信息處理設(shè)施的訪問權(quán)限，或根據(jù)變化調(diào)整，比如刪除密鑰、ID卡、簽名等文件，更改賬戶密碼等。2020/12/18854.4人員安全4.4.3職員授權(quán)管理大量的安全問題關(guān)系到人員如何與計(jì)算機(jī)進(jìn)行交流以及他們進(jìn)行工作所需的授權(quán)。職員授權(quán)管理主要涉及職員定崗、用戶管理及承包人或公眾訪問系統(tǒng)時(shí)需要考慮的特殊因素。1.職員定崗2.用戶管理3.承包人管理4.公眾訪問管理5.相關(guān)費(fèi)用2020/12/1886職員授權(quán)管理1.職員定崗安排職員通常涉及至少四個(gè)步驟，它們既適用于一般用戶也適用于應(yīng)用管理者、系統(tǒng)管理人員和安全人員。這四個(gè)步驟是：（1）定義工作，通常涉及職位描述的制定；（2）確定職位的敏感性；（3）填充職位，涉及審查應(yīng)聘者和選擇人員；（4）培訓(xùn)。2020/12/1887職員授權(quán)管理2.用戶管理對用戶計(jì)算機(jī)訪問權(quán)的有效管理對于維護(hù)系統(tǒng)安全是很重要的。用戶賬戶管理主要是識(shí)別、認(rèn)證和訪問授權(quán)。審計(jì)過程以及定期的驗(yàn)證當(dāng)前帳戶和訪問授權(quán)的合法性是一種加強(qiáng)措施。最后，還要考慮在員工調(diào)職、晉升或離職、退休時(shí)及時(shí)修改或取消其訪問權(quán)等相關(guān)問題。2020/12/1888