信息系統網路安全管理

1. 信息系統安全主要包括哪三個方面

涉密計算機信息系統的安全保密包括4個方面：

（1）物理安全。物理安全主要包括環境安全、設備安全、媒體安全等方面。處理秘密信息的系統中心機房應採用有效的技術防範措施，重要的系統還應配備警衛人員進行區域保護。

（2）運行安全。運行安全主要包括備份與恢復、病毒的檢測與消除、電磁兼容等。涉密系統的主要設備、軟體、數據、電源等應有備份，並具有在較短時間內恢復系統運行的能力。應採用國家有關主管部門批準的查毒殺毒軟體適時查毒殺毒，包括伺服器和客戶端的查毒殺毒。

（3）信息安全。確保信息的保密性、完整性、可用性和抗抵賴性是信息安全保密的中心任務。

（4）安全保密管理。涉密計算機信息系統的安全保密管理包括各級管理組織機構、管理制度和管理技術三個方面。要通過組建完整的安全管理組織機構，設置安全保密管理人員，制定嚴格的安全保密管理制度，利用先進的安全保密管理技術對整個涉密計算機信息系統進行管理。

(1)信息系統網路安全管理擴展閱讀

防護策略

1、資料庫管理安全防範

在具體的計算機網路資料庫安全管理中經常出現各類由於人為因素造成的計算機網路資料庫安全隱患，對資料庫安全造成了較大的不利影響。例如，由於人為操作不當，可能會使計算機網路資料庫中遺留有害程序，這些程序十分影響計算機系統的安全運行，甚至會給用戶帶來巨大的經濟損失。

基於此，現代計算機用戶和管理者應能夠依據不同風險因素採取有效控制防範措施，從意識上真正重視安全管理保護，加強計算機網路資料庫的安全管理工作力度。

2、加強安全防護意識

每個人在日常生活中都經常會用到各種用戶登錄信息，比如網銀賬號、微博、微信及支付寶等，這些信息的使用不可避免，但與此同時這些信息也成了不法分子的竊取目標，企圖竊取用戶的信息，登錄用戶的使用終端，將用戶賬號內的數據信息或者資金盜取。

更為嚴重的是，當前社會上很多用戶的各個賬號之間都是有關聯的，一旦竊取成功一個賬號，其它賬號的竊取便易如反掌，給用戶帶來更大的經濟損失。

因此，用戶必須時刻保持警惕，提高自身安全意識，拒絕下載不明軟體，禁止點擊不明網址、提高賬號密碼安全等級、禁止多個賬號使用同一密碼等，加強自身安全防護能力。

3、科學採用數據加密技術

對於計算機網路資料庫安全管理工作而言，數據加密技術是一種有效手段，它能夠最大限度的避免和控制計算機系統受到病毒侵害，從而保護計算機網路資料庫信息安全，進而保障相關用戶的切身利益。

數據加密技術的特點是隱蔽性和安全性，具體是指利用一些語言程序完成計算資料庫或者數據的加密操作。當前市場上應用最廣的計算機數據加密技術主要有保密通信、防復制技術及計算機密鑰等，這些加密技術各有利弊，對於保護用戶信息數據具有重要的現實意義。

因此，在計算機網路資料庫的日常安全管理中，採用科學先進的數據加密技術是必要的，他除了能夠大大降低病毒等程序入侵用戶的重要數據信息外，還能夠在用戶的數據信息被入侵後，依然有能力保護數據信息不出現泄露問題。

需要注意的是，計算機系統存有龐大的數據信息，對每項數據進行加密保護顯然不現實，這就需要利用層次劃分法，依據不同信息的重要程度合理進行加密處理，確保重要數據信息不會被破壞和竊取。

4、提高硬體質量

影響計算機網路信息安全的因素不僅有軟體質量，還有硬體質量，並且兩者之間存在一定區別，硬體系統在考慮安全性的基礎上，還必須重視硬體的使用年限問題，硬體作為計算機的重要構成要件，其具有隨著使用時間增加其性能會逐漸降低的特點，用戶應注意這一點，在日常中加強維護與修理。例如，若某硬碟的最佳使用年限為兩年，盡量不要使用其超過四年。

5、改善自然環境

改善自然環境是指改善計算機的灰塵、濕度及溫度等使用環境。具體來說就是在計算機的日常使用中定期清理其表麵灰塵，保證在其干凈的環境下工作，可有效避免計算機硬體老化；最好不要在溫度過高和潮濕的環境中使用計算機，注重計算機的外部維護。

6、安裝防火牆和殺毒軟體

防火牆能夠有效控制計算機網路的訪問許可權，通過安裝防火牆，可自動分析網路的安全性，將非法網站的訪問攔截下來，過濾可能存在問題的消息，一定程度上增強了系統的抵禦能力，提高了網路系統的安全指數。

同時，還需要安裝殺毒軟體，這類軟體可以攔截和中斷系統中存在的病毒，對於提高計算機網路安全大有益處。

7、加強計算機入侵檢測技術的應用

入侵檢測主要是針對數據傳輸安全檢測的操作系統，通過IDS（入侵檢測系統）入侵檢測系統的使用，可以及時發現計算機與網路之間異常現象，通過報警的形式給予使用者提示。為更好的發揮入侵檢測技術的作用，通常在使用該技術時會輔以密碼破解技術、數據分析技術等一系列技術，確保計算機網路安全。

8、其他措施

為計算機網路安全提供保障的措施還包括提高賬戶的安全管理意識、加強網路監控技術的應用、加強計算機網路密碼設置、安裝系統漏洞補丁程序等。

2. 如何進行信息系統的安全管理

一、信息系統安全的基本概念

（一）信息系統及其特點概述

信息系統是基於計算機系統和通信系統的十分復雜的現代信息資源網路系統，其中，計算機系統是信息系統的核心，由軟體和硬體組成，用以完成對信息的自動處理過程；通信系統由工作站、計算機網路和通信網路構成，可以通過線路與計算機之間或通過線路與終端設備之間進行數據傳輸。計算機系統和通信系統的結合，使具有動態、隨機和瞬時發生等特性的信息傳輸和處理跨越了地理位置的障礙實現了全球互通互聯。
信息系統的9大特性是系統開放性、資源共享性、介質存儲高密性、數據互訪性、信息聚生性、保密困難性、介質剩磁效應性、電磁泄露性、通信網路的脆弱性等。
顯然，這些特性都與信息系統的安全性密切相關，決定了信息系統的不安全特質，信息系統的上述特性對其安全構成了潛在的危險。這些特性如果被利用，系統的資源就將會受到很大損失，甚至關繫到企業組織的生死存亡。因此，加強對信息系統的安全管理十分必要。

（二）信息系統的安全性原理與技術概述

1、信息系統安全性的基本概念
隨著信息技術的發展，信息系統在運行操作、管理控制、經營管理計劃、戰略決策等社會經濟活動各個層面的應用范圍不斷擴大，發揮著越來越大的作用。信息系統中處理和存儲的，既有日常業務處理信息、技術經濟信息，也有涉及企業或政府高層計劃、決策信息，其中相當部分是屬於極為重要並有保密要求的。社會信息化的趨勢，導致了社會的各個方面對信息系統的依賴性越來越強。信息系統的任何破壞或故障，都將對用戶以至整個社會產生巨大的影響。信息系統安全上的脆弱性表現得越來越明顯。信息系統的安全日顯重要。
信息系統的安全性是指為了防範意外或人為地破壞信息系統的運行，或非法使用信息資源，而對信息系統採取的安全保護措施。與信息系統安全性相關的因素主要有以下7種：
1）自然及不可抗拒因素：指地震、火災、水災、風暴以及社會暴力或戰爭等，這些因素將直接地危害信息系統實體的安全。
2）硬體及物理因素：指系統硬體及環境的安全可靠，包括機房設施、計算機主體、存儲系統、輔助設備、數據通訊設施以及信息存儲介質的安全性。
3）電磁波因素：計算機系統及其控制的信息和數據傳輸通道，在工作過程中都會產生電磁波輻射，在一定地理范圍內用無線電接收機很容易檢測並接收到，這就有可能造成信息通過電磁輻射而泄漏。另外，空間電磁波也可能對系統產生電磁干擾，影響系統正常運行。
4）軟體因素：軟體的非法刪改、復制與竊取將使系統的軟體受到損失，並可能造成泄密。計算機網路病毒也是以軟體為手段侵入系統進行破壞的。
5）數據因素：指數據信息在存儲和傳遞過程中的安全性，這是計算機犯罪的主攻核心，是必須加以安全和保密的重點。
6）人為及管理因素：涉及到工作人員的素質、責任心、以及嚴密的行政管理制度和法律法規，以防範人為的主動因素直接對系統安全所造成的威脅。
7）其他因素：指系統安全一旦出現問題，能將損失降到最小，把產生的影響限制在許可的范圍內，保證迅速有效地恢復系統運行的一切因素。

2、信息系統安全保護措施分類及其相互關系
信息系統的安全保護措施可分為技術性和非技術性兩大類：
1）技術性安全措施——是指通過採取與系統直接相關的技術手段防止安全事故的發生；
2）非技術性安全措施——指利用行政管理、法制保證和其他物理措施等防止安全事故的發生，它不受信息系統的控制，是施加於信息系統之上的。
與人們想像的剛好相反，其實，在系統的安全保護措施中，技術性安全措施所佔的比例很小，而更多則是非技術性安全措施，兩者之間是互相補充、彼此促進、相輔相成的關系。廣大信息化工作者應該明白：信息系統的安全性並不僅僅是簡單的技術問題，而嚴格管理和法律制度才是保證系統安全和可靠的根本保障。

3、信息系統存在的主要安全隱患概述
已在社會經濟生活中廣為應用的信息系統極其脆弱，頻繁發生的系統安全隱患有：
1）數據輸入隱患：數據通過輸入設備進入系統過程中，輸入數據容易被篡改或摻假；
2）數據處理隱患：數據處理部分的硬體容易被破壞或盜竊，並且容易受電磁干擾或因電磁輻射而造成信息泄漏；
3）通信線路隱患：通信線路上的信息容易被截獲，線路容易被破壞或盜竊；
4）軟體系統隱患：操作系統、資料庫系統和程序容易被修改或破壞；
5）輸出系統隱患：輸出信息的設備容易造成信息泄漏或被竊取。

4、信息系統的實體安全和技術安全概述
信息系統的實體安全指為保證信息系統的各種設備及環境設施的安全而採取的措施，主要包括場地環境、設備設施、供電、空氣調節與凈化、電磁屏蔽、信息存儲介質等的安全。
信息系統的技術安全即在信息系統內部採用技術手段，防止對系統資源非法使用和對信息資源的非法存取操作。
信息資源的安全性分為動態和靜態兩類。動態安全性是指對數據信息進行存取操作過程中的控制措施；靜態安全性是指對信息的傳輸、存儲過程中的加密措施。

3. 網路安全管理包括什麼內容

網路安全管理是一個體系的東西，內容很多
網路安全管理大體上分為管理策略和具體的管理內容，管理內容又包括邊界安全管理，內網安全管理等，這里給你一個參考的內容，金牌網管員之網路信息安全管理，你可以了解下：
http://www.ean-info.com/2009/0908/100.html
同時具體的內容涉及：
一、信息安全重點基礎知識
1、企業內部信息保護
信息安全管理的基本概念：
信息安全三元組，標識、認證、責任、授權和隱私的概念，人員角色
安全控制的主要目標：
安全威脅和系統脆弱性的概念、信息系統的風險管理
2、企業內部信息泄露的途徑
偶然損失
不適當的活動
非法的計算機操作
黑客攻擊：
黑客簡史、黑客攻擊分類、黑客攻擊的一般過程、常見黑客攻擊手段
3、避免內部信息泄露的方法
結構性安全（PDR模型）
風險評估：
資產評估、風險分析、選擇安全措施、審計系統
安全意識的培養
二、使用現有安全設備構建安全網路
1、內網安全管理
內網安全管理面臨的問題
內網安全管理實現的主要功能：
軟硬體資產管理、行為管理、網路訪問管理、安全漏洞管理、補丁管理、對各類違規行為的審計
2、常見安全技術與設備
防病毒：
防病毒系統的主要技術、防病毒系統的部署、防病毒技術的發展趨勢
防火牆：
防火牆技術介紹、防火牆的典型應用、防火牆的技術指標、防火牆發展趨勢
VPN技術和密碼學：
密碼學簡介、常見加密技術簡介、VPN的概念、VPN的分類、常見VPN技術、構建VPN系統
IPS和IDS技術：
入侵檢測技術概述、入侵檢測系統分類及特點、IDS結構和關鍵技術、IDS應用指南、IDS發展趨勢、入侵防禦系統的概念、IPS的應用
漏洞掃描：
漏洞掃描概述、漏洞掃描的應用
訪問控制：
訪問控制模型、標識和認證、口令、生物學測定、認證協議、訪問控制方法
存儲和備份：
數據存儲和備份技術、數據備份計劃、災難恢復計劃
3、安全設備的功能和適用范圍
各類安全設備的不足
構建全面的防禦體系
三、安全管理體系的建立與維護
1、安全策略的實現
安全策略包含的內容
制定安全策略
人員管理
2、物理安全
物理安全的重要性
對物理安全的威脅
對物理安全的控制
3、安全信息系統的維護
安全管理維護
監控內外網環境

4. 計算機信息系統管理和網路與安全的區別是什麼哪個比較好

計算機是分區域的。一個管理人員一般只負責一方面的內容。信息系統管理，指伺服器方面的管理，伺服器內部系統軟體的管理。網路就是互聯網連接的管理和安全維護。安全就是做安全維護，處理各種網路攻擊等問題。這就是三方面的區別了。具體哪個好。。。都是一樣的工作。沒有好壞之分。看你的興趣在那方面了

5. 信息系統的安全管理是什麼

信息系統的安全管理內容及發展趨勢是什麼

一、信息系統安全管理內容

通過以前的章節的學習,我們知道信息系統主要由三個要素構成,即:人、信息和信息技術。那麼信息系統的安全管理也無外乎對這三個要素的管理和對三者關系的協調。人是信息系統安全管理的主導，管理的對象要從兩個角度來看，從信息角度來說就是信息自身的安全，我們要防止信息的丟失和免遭破壞；從技術的角度來說就是整個系統的安全，我們要防止系統的癱瘓和免遭破壞。和在在當今的信息數字時代，人類通過信息系統獲得財富和利益的同時，也面臨著信息系統所帶來的威脅。

信息系統經常面臨的安全威脅：（這些威脅小則干擾信息系統的正常運行，或者帶來經濟損失，大則對一個國家的安全構成威脅）

1、未經授權使用、復制和傳播電腦軟體。（在全球，軟體公司每年因盜版和非法復制遭受的損失達數百億，其中大多數在發展中國家，我國尤為突出）
2、員工擅自從企業資料庫中搜索或復制資料。（所謂的家賊難防，員工的目的可能各有不同，有的為了金錢，有的為了報復，有的為了人情等等，不管是什麼目的，都會給所在單位帶來直接或間接的損失）
3、病毒、木馬程序的傳播，對信息系統造成損害（我們現代人每天都要接觸大量的信息，一些病毒和黑客也會混跡其中，稍有不慎，數據就會遭到破壞，甚至是系統癱瘓。而且都是先有新的病毒出現，產生不良的影響之後,才會有針對其的殺毒軟體，好比矛盾之爭，先有銳利的矛而後才有堅韌的盾，所以預防病毒是一項長期艱巨的任務）
4、非法入侵計算機系統，竊取密碼、資料或進行破壞人為或其它原因造成系統數據丟失，
不滿的員工或合作夥伴惡意破壞（五一放假之前，北郵主頁是不是被黑了，黑客還把QQ留在上面，對我們學校影響很不好，看看我們學校的網路安全，再看看上網的網速，還自稱通訊領域黃浦呢）
5、因施工或設備維護保養不當或其它原因導致信息系統癱瘓（比如說施工挖斷光纜；路由器、交換機等網路設備維護不當造成網路癱瘓）

針對信息系統所面臨的安全威脅，我們在管理上還是以預防為主，管理的主要內容應包括：

1、建立嚴格的管理制度和操作規程，無論在信息系統的建設、應用和管理方面，都要有一套科學的標准（避雷系統施工的教訓）
2、經常備份數據，異地存放數據（911案例）
經常備份數據，可以在你的信息系統數據遭受破壞時，快速的恢復系統，使損失最低；異地存放數據，可以使信息系統在遭受毀滅性打擊的時候，仍然可以保全數據。美國911那場空前的災難，世貿大樓被夷平，許多公司的信息系統被徹底摧毀，包括用來備份數據的存儲介質，但事實上，這些公司中的95%在災難過後很快的又把信息系統重建起來，這得益於數據的異地存儲，設備沒了可以再買，數據沒了，沒有辦法在短期重建，需要幾年甚至十幾年的積累，應了中國一句古話，留得青山在，不怕沒柴燒。

3、應用反病毒軟體和防火牆技術
殺毒軟體主要用來防病毒，防火牆軟體用來防黑客攻擊。雖然不能使你的信息系統決對安全，但它是保護信息安全不可或缺的一道屏障。

4、信息系統用戶的身份確認
身份確認是用來判斷某個身份的確實性，例如對使用者、網路主機、檔案或資料的識別，確認身份後，系統才可以依不同的身份給予不同的許可權。實現身份認證主要有三種方法：1、口令；其應用較為廣泛，但也有缺點，它的安全性相對較低（資料庫密碼）。2、擁有物件，（磁卡，如公交卡，水卡，餐卡）3、特徵（聲音，指紋，虹膜）

5、文件加密技術（加密原理）

6、信息傳輸過程中的安全問題（小到個人隱私，公司的信息安全,大到國家安全）

我們常說的一句話叫隔牆有耳，就是說兩個人在說話時，所交流的信息被第三方獲取，這時候是不是造成泄密？

你打電話的時候，有人把電話線搭到你的電話線上，你通話的內容也會被竊聽，這是在個人層面上，再來看一下國家之間，91年海灣戰爭期間，美國靠軍事衛星、偵察機和設在沙特的監聽站，大量截獲伊拉克的軍事情報，伊軍的一舉一動完全都在美國的掌握之中，最後伊軍70萬精銳的共和國衛隊剩下不到30萬人。

我們知道金屬導線在有電流通過時，會產生磁場，磁場的強弱隨電流強弱而變化，先進的監聽設備可以收集這些電磁信號，進行分析，從而獲得有用的信息，正是因為這樣，我們國家在九十年代中後期，痛下決心，建成七橫八縱十五條軍用光纖通訊主幹線，以防止軍事情報外泄，2000年以後，美國人監聽中國的軍方通訊變的越來越困難，於是開始說中國軍事不透明。不知道各位的親威和朋友中有沒有海軍的，海軍在出海執行秘密任務時，絕對不允許訪問網際網路或者給家裡打電話，因為只要一有電訊號發射出去，你的行蹤就會暴露。

二、安全管理的發展趨勢

1．安全管理將成為信息管理的一項最基本的任務

安全管理的含義將上升為鑒定、認證和管理（（Authentication、Authorization、Administation，3A），它已成為客戶、合作夥伴、供應商和渠道所關注的焦點,無論對內還是對外,都將建立在一種信任關系的基礎之上。這種"信任關系"能夠產生出更多的受益，例如低運作成本和對個人用戶的高個性化服務。

2．安全管理將由依託產品向依託服務轉變

---- 提供安全產品的廠商開始跳出ASP(Application Service Provider 應用服務提供者)的原始雛形，而扮演起MSP（Manager Service Provider，管理服務提供者）的角色，致力於為系統、網路或安全管理提供更多的增殖服務。

3．安全管理從BtoB、BtoC向BtoM轉移

---- PKI（Public Key Infrastrucure,公鑰基礎設施）技術正逐步走向成熟，並成為信息安全管理的護航者。然而，隨著移動技術的發展,下一代安全應用的關鍵將是移動設備（如無線電話、Web電話、無線掌上電腦和其他移動信息工具）。加密技術、PKI技術和3A也將走向移動領域。移動安全應用軟體將強調在伺服器端的應用，而不再是客戶端。這種BtoM（Business to Mobile）軟體的關鍵不是"安全"也不是"保護"，而是"信任"。需要為成千上萬的用戶提供24小時不間斷的服務。

4．主動防禦戰略構建企業整體安全體系, 由IDS(Intrusion Detection Systems,入侵檢測系統)向IPS(Intrusion Prevention System , 入侵防禦系統)轉變

就好像是防毒，我們要有病毒代碼，但是有時有新病毒出來，還沒有新的病毒代碼出來的話，你可能會感染病毒。主動防禦就是要有能力把未知的病毒防住,目的在於防患於未然，在威脅發作之前將其防止。IPS位於防火牆和網路的設備之間。這樣，如果檢測到攻擊，IPS會在這種攻擊擴散到網路的其它地方之前阻止這個惡意的通信。傳統的IDS只是存在於你的網路之外起到報警的作用，而不是在你的網路前面起到防禦的作用。

5．信息全安產品發展趨勢

（1）反病毒軟體趨勢：

因為互聯網成為病毒傳播的主要通道，防毒軟體將由單機版轉向網路版。

反病毒廠商與防火牆廠商及互連網服務提供商等的策略結盟將是未來網路安全的成功的關鍵，未來的重點將在4A（Anti-Virus反病毒、Anti-Haker反黑客、AccessControl存取控制、Authoration認證）上。

無線手機上網將帶來越來越多的病毒隱患，目前的手機晶元是只讀的，所以還不會產生太嚴重的後果，只是停留在"惡作劇"階段，未來這個領域將成為反病毒廠商不得不需要重視的領域，因為我們不能在手機那麼小的記憶體安裝一個反病毒軟體，因此，如何對無線設備進行防範，成為未來反病毒軟體的一個發展熱點。

（2）防火牆發展趨勢

1． 越來越多的防火牆按照環境的不同而轉變其安全產品的定位（VPN、模塊/過濾、帶寬管理、方案管理、IP地址管理和登陸管理）。

---- 2． 小型、中間級和分布式環境中的即插即用硬體設備的增長，需要一整套的安全產品和單一的管理界面，以提高其可用性和可靠性。比如使用無線AP帶來的一些安全問題

3．分布式防火牆解決方案將大行其道，可保護遠端的用戶，連接網路和企業的內部網及廣域網。事實上，分布式防火牆是基於防火牆服務的一種管理方式，實際上，很多的防火牆服務都是MSP和網路服務提供商所提供的增值服務

6. 網路安全管理措施有哪些

從信息系統安全防護技術來講主要有以下幾種:
1) 內聯網信息系統的一些重要信息交互, 可以採用專用的通信線路(特別是採用沒有電磁泄漏問題的光纜)來防止信息在傳輸的過程中被非法截獲。一些重要信息應進行加密後傳輸,
可以進一步防止被截獲信息的有效識別。這些技術主要為了保證信息的機密性。
2) 網路和系統隔離(防火牆等) 防火牆可以隔離內部網路和外部網路, 使得所有內外網之間的通信都經過特殊的檢查以確保安全。
對一些特別主特別服務可以採用包裝代理技術(如Wrapper等), 隔離用戶對系統的直接訪問, 加強系統的安全性。
3) 網路和系統安全掃描 網路安全掃描和系統掃描產品可以對內部網路、操作系統、系統服務、以及防火牆等系統的安全漏洞進行檢測,
即時發現漏洞給予修補, 使入侵者無機可乘。
4) 安全實時監控與入侵發現技術 信息系統的安全狀況是動態變化的, 安全實時監控系統可以發現入侵行為並可以調整系統進行及時的保護反應。

5) 操作系統安全加固 採用B級系統替代傳統的C級系統是解決系統安全問題的比較根本性的措施。考慮到可用性和經濟性的原則,
可以首先考慮在最敏感的伺服器和網路隔離設備上採用B級系統。
6) 資料庫系統和應用系統安全加固 在要害信息系統的伺服器中採用B級操作系統, 並配備B級資料庫管理系統, 將應用、服務都建設在B級的基礎上。這樣整個信息系統惡性循環才有比較根本性的保障。
<br>
7) 可生存技術 可生存性是指在遭受攻擊, 發生失效或事故時, 仍能及時完成服務使命的能力。主要是指健康性、適應性、多樣性、進化性和恢復性。

8) 加強安全管理技術 信息系統安全問題中最核心的問題是管理問題。"人"是實現信息系統安全的關鍵因素。因此需要大力加強人員安全培訓,
制訂安全管理規范。同時, 要充分利用各種技術手段進行自動化管理。
我是在戴威爾網路安全培訓學習網路安全的，多多少少了解一點 呵呵 希望對你寫論文有幫助吧 ^_^

7. 信息系統安全管理

一、內容概述

在信息化建設中進行信息系統安全管理，是一個新的課題，已經引起各國地調組織的高度重視。信息系統安全管理不單單是管理體制或技術問題，而是策略、管理和技術的有機結合。從安全管理體系的高度來全面構建和規范信息安全，將有效地保障信息系統安全。要利用網路和信息技術及時有效地為用戶提供綜合、客觀的地質信息服務，就需要重視包括網路服務在內的自動信息系統安全管理。自動信息系統安全管理是指用來保護自動信息系統資源免於丟失、破壞或濫用所做的管理控制和保衛工作。美國地質調查局在自動信息系統安全管理方面積累了大量經驗，這對我國相關部門制定有針對性的安全管理方法具有重要的借鑒和指導作用。

二、應用范圍及應用實例

美國地質調查局將提供地質信息列入其戰略計劃或工作計劃，強調要利用網路和信息技術及時有效地為用戶提供綜合、客觀的地質信息服務，同時非常重視其包括網路服務在內的自動信息系統安全管理。自動信息系統安全管理是指用來保護自動信息系統資源免於丟失、破壞或濫用所做的管理控制和保衛工作（張翠光等，2009）。

1.美國地質調查局自動信息系統安全管理方針

保護美國地質調查局所有信息技術設施，避免被損失、破壞、偷竊和濫用；保護所有美國地質調查局自動信息系統所處理的數據，避免發生未被授權的信息被泄露、修改或破壞；自動信息系統所產生、處理、存儲或傳輸信息受保護的等級與其敏感等級相一致；對違反聯邦、部門或局關於自動信息系統安全法規者將受到相應的行政、法律制裁。

2.美國地質調查局自動信息系統敏感等級分類

敏感自動信息系統是指運行處理敏感數據的計算機應用程序的自動信息系統（設施、硬體、操作系統軟體、通信系統等），其中敏感數據是指由於數據的故意或意外泄露、更改或破壞會導致損失或危害的風險及數量較大而要求保護的數據。美國地質調查局為了給每一個信息系統採取相應的保護措施，對其給定了相應的敏感等級，並要求一、二級敏感信息系統應到美國地質調查局信息系統管理中備案，而0級敏感信息系統不需備案。0級敏感信息相當於公開信息；一、二級信息系統的信息不屬於美國國家規定的保密信息，是根據其工作任務、商業目的及其價值大小等而設定；三級敏感信息系統的信息才是真正的保密信息。

0級（非敏感性）自動信息系統：自動信息系統上的信息不準確、更改、泄露或不能利用對美國地質調查局的任務、功能、形象或榮譽的影響可以忽略不計。即使有影響，影響也是微不足道，或者導致僅僅很小的有形資產或資源的損失。

一級敏感自動信息系統：自動信息系統上的信息不準確、更改、泄露或不能利用對美國地質調查局的任務、功能、形象或榮譽影響較小。系統安全方面出現問題可能對有形資產或資源的損失造成潛在的不利影響。

二級敏感自動信息系統：自動信息系統上的信息不準確、更改、泄露或不能利用對美國地質調查局的任務、功能、形象或榮譽可能產生重要的不利影響。系統安全出現問題可能導致美國地質調查局不能完成其1個或多個計劃任務或商業功能，或者導致重大的有形資產和資源損失。系統生命周期的開支一般超過1000萬美元。

三級敏感自動信息系統：自動信息系統處理機密信息。一般由提供美國地質調查局機密信息的聯邦機構制定自動信息處理要求。根據機密信息提供者建立的要求，系統的鑒定及認可應備案。根據其敏感性再分為類似於秘密、機密、絕密3個等級。

自動信息系統安全規劃構成

確定潛在的威脅和薄弱點，並建立全面的安全保護制度減少威脅和薄弱點，才能使自動信息系統安全計劃有效，為此美國地質調查局建立了自動信息系統安全規劃。

A.安全規劃

美國地質調查局認為全面的安全規劃是任何一個自動信息系統安全管理的重要部分。美國地質調查局支持美國地質調查局所有自動信息系統活動，認為安全規劃是安全管理實施過程不可分割的部分：①安全規劃為年度預算的一部分，保證所有自動信息資源有經費支持，使自動信息系統資源得到充分的保護；②處理敏感信息的所有自動信息系統（設施和應用程序）應有正式安全規劃。在新的敏感自動信息系統開發階段必須准備初始計劃和原系統升級年度計劃，以反映系統安全執行情況和/或主要變化。在計劃中提供的內容要反映系統的大小和復雜性，規定系統的基本內容和格式應遵守當前最流行的美國國家管理和預算局所提供的指導方針。

B.風險管理

所有擁有或管理自動信息系統的美國地質調查局機構必須執行和維護風險管理計劃，以幫助相應的安全保護措施到位以保護好所有的信息資源。規定管理人員應知道他們信息資源的潛在威脅和薄弱點。一旦知道潛在威脅、薄弱點和潛在的安全保護選項，管理上就應確定各種安全保護選項的必要措施和經費/利益。風險管理一般包括風險分析、安全措施的實施和風險分析頻率3個方面的內容：

一是風險分析。風險分析是設施或敏感應用程序定期檢查或應急計劃處理的組成部分。美國地質調查局要求在現存的計算機設施或敏感應用程序發生主要變化時或在批准敏感自動信息系統設計之前作風險分析。風險分析的范圍、復雜性和頻率與自動信息系統處理數據的敏感性和被保護資源的價值相稱。風險分析過程步驟如下：①估計自動信息系統（硬體、軟體、數據、設備、人員）資產（現存的或計劃的）和系統資源相關的費用（價值），包括數據敏感性的確定；②識別和評定自動信息系統的潛在威脅，包括破壞正常操作、導致系統資產破壞或損失，或其他自然災害或危險因素和人為因素。並根據每一個潛在威脅產生的可能性分出威脅等級；③找出脆弱點，包括確定或找出在敏感應用程序、自動信息系統或信息技術設備中可能導致安全威脅的弱點或缺點；④評估潛在損失，在確定威脅和脆弱點之後，還應將包括恢復損失和破壞數據的潛在損失定量化；⑤根據遇到的威脅和脆弱點，確定可能的安全保護措施及其相關費用。確定的安全保護費用應與未實施安全保護措施所造成的預期損失的費用相比較。如果安全保護措施花費超過了預期保護利益，那麼不應採取安全保護措施。

二是安全措施的實施。在風險分析完成之後，管理部門必須決定是否執行成本核算的安全保護或接受這種風險。如果風險分析表明接受這種風險不符合聯邦、部門或美國地質調查局的有關規定，那麼必須採取必要的保護措施以最低限度符合這些規定：①利用風險分析結果，設備擁有者和敏感應用程序擁有者應選擇具體的最大限度保護設施和數據的安全措施；②除違反法規問題外，管理部門可以選擇接受與找出威脅或脆弱點相關的風險。如果這樣，自動信息系統所有者必須簽訂一個聲明，承認他們了解不執行正確的推薦行動相關的風險。

三是風險分析頻率。美國地質調查局對風險分析的次數做了相應的規定：對美國地質調查局所有計算機設施至少5年1次；對敏感應用程序和敏感計算機設施至少3年1次；在敏感應用程序或任何計算機設施進行實質性改變時應進行風險分析；在計劃一個新的系統或設施開發時，應進行風險分析。

C.信息資源的保護

為了使美國地質調查局信息資源從風險分析中確定的風險和脆弱點得到合理的保護，自動信息系統所有者必須採取具體的保護措施。一般考慮如下類型的安全保護措施保護信息資源：①物理安全：採取適當的操作和規程減少自動信息系統受到的諸如偷盜、意外或故意破壞、非授權或非法訪問或非授權信息泄露等威脅；②技術安全：使用適當的保護措施（如：密碼、個人ID識別裝置、殺毒軟體、訪問利用控製表、用戶活動監測軟體、加密術或回撥數據機）防止非授權的訪問或非法的自動信息系統軟體或數據的使用；③管理安全：制定或分發詳細的指導規程使所有自動信息系統得到正確的保護。

3.應急計劃

為了使服務中斷等故障最小，應對每個計算機設備和敏感應用程序開發一個應急計劃。定期評估每一個應急計劃，確定是否需要對其修改以反映系統或人員情況變化。

任何應急計劃的復雜性和范圍要與自動信息系統所處理數據的敏感等級相稱。應急計劃至少包括下列項目：①數據和軟體的備份存儲器和恢復規程；②與緊急事件相對應的處理規程、可選處理能力的說明，在必要情況下轉移操作到另外一個可選擇操作的程序等恢復操作的過程；③計算機設施應急計劃與任何敏感應用程序應急計劃應具一致性；④定期檢查應急計劃。

4.敏感應用程序安全

美國國家管理和預算局A 130通告要求，負責開發和維護處理敏感數據的美國地質調查局計算機應用程序的管理者應建立管理控制方法，對所有新的應用程序和現存應用程序的重大變化應採取相應的物理、技術和管理安全保護措施。敏感應用程序管理控制至少包括：①安全技術條件：根據預先的風險分析結果，在應用程序獲取或正式開發之前，應規定或批准安全要求和安全技術條件。為一個應用程序規定和批准安全規程時，應把對處理敏感應用程序的計算機設施進行的風險分析和管理控制檢查的結果考慮進去；②設計審查和系統測試。在執行敏感應用程序之前應進行設計評審和系統測試，使安全保護符合批準的安全技術條件。③認證：在執行應用程序之前，新的或實質性改進的敏感應用程序的所有者或管理者應向美國地質調查局自動信息系統安全行政主管書面證明，證明其符合所有現行的自動信息系統方針、法規、標准，同時系統測試的結果證實配備的安全保護措施充分。認證過程包括對應用程序管理和安全控制的評價。④定期重新認證：所有敏感應用程序必須每3年認證1次。

5.計算機安全知識培訓活動

對所有涉及在美國地質調查局之內或監督之下的每一個敏感聯邦信息系統管理、使用或操作的職員，美國地質調查局為他們提供定期計算機安全知識強制性的培訓和公認的計算機安全鍛煉。所有使用、管理和操作敏感自動信息系統的新職員在他們上崗60天之內必須接受計算機安全知識培訓。培訓用來增強職員了解計算機系統的威脅和薄弱點，強調保護美國地質調查局自動信息資源和正確使用他們的資源的責任。計算機安全培訓應有證明文件，並保留在每一個職工的正式個人檔案中。計算機安全知識培訓包括：①基本知識培訓：使職工對威脅和薄弱點產生敏感性，認識保護數據、信息的必要性和處理他們的方法；②高級培訓：為敏感自動信息系統所有者/管理者、管理員、信息技術人員和計算機安全管理員提供相關能力，使他們能履行風險分析、制定自動信息系統保護計劃、執行安全措施或評價現存安全系統的有效性。

6.報告安全事故

對造成自動信息系統技術、數據和服務設施網的破壞，或導致敏感自動信息系統欺騙、或非授權的泄露等安全事故，所有職員和協議人員有責任向上級報告相關事故：①包括自動信息系統設備的偷竊或惡意破壞、欺騙、擾亂國家安全或其他濫用自動信息資源的事故必須立即依據所處環境和位置向美國地質調查局安全官員和/或其他地方執法人員報告；②包括試圖非法訪問利用任何美國地質調查局自動信息資源、惡意密碼事故或敏感信息的非法泄露等事故必須立即向自動信息系統安全管理人員和向美國地質調查局自動信息系統安全行政主管官員報告。

7.人事安全

美國地質調查局規定各部門建立方針或規程，屏蔽所有參與敏感計算機系統設計、開發、操作或維護人員及可以使用敏感數據的人員。屏蔽等級根據數據敏感等級以及由個人造成的風險等級、損失或危害大小而定。所有負有管理、設計、開發、操作、維護或使用美國地質調查局任何計算機系統的任何職位的人員必須賦予與數據敏感等級、風險大小及由個人導致的損失或危害程度大小相匹配的風險責任。美國地質調查局所有計算機系統使用者必須有適當的背景調查，所要求的調查必須與所設定崗位的敏感等級相匹配。

8.年度報告制度

美國地質調查局規定了自動信息安全管理規定的年度報告制度。每一個分機構自動信息系統安全官員每年應向美國地質調查局自動信息系統安全管理行政官員報告現行設備及敏感應用程序安全職員名單。對每一個設施或敏感應用程序至少必須提供以下信息：安全職員及候選人姓名和電話號碼、設施和敏感應用程序的名稱及地址、每一職員所要求安全培訓的水平。這些最新列表每年9月交給美國地質調查局自動信息系統安全行政管理官員。

人事人員要向美國地質調查局自動信息系統安全行政管理者提供以經濟年度為基礎的美國地質調查局安全知識培訓情況。報告將包括如下信息：在財政年度期間，接受基本知識和/或全面計算機安全培訓的職員和協議人員（非管理）的數量，在財政年度期間接收計算機安全知識培訓的管理人員數量。另外，每分機構自動信息安全官員應向美國地質調查局自動信息系統安全管理者提供下一個財政年度里在上述類目中需要接受培訓職員和協議人員的數量。每年九月一日將報告交到美國地質調查局自動信息系統安全行政管理部門。

敏感自動信息系統所有者有責任維護他們的敏感信息系統安全規劃。敏感自動信息系統所有者每年對他們分機構自動信息系統安全管理人員的更新材料及信息系統更新情況上報美國地質調查局自動信息系統安全管理部門。更新計劃應反映自動信息系統硬體、軟體或功能的主要變化、安全執行情況，系統認證或重新認證計劃、應急計劃的檢查計劃。

三、資料來源

張翠光，小平等.2009.美國地質調查局自動信息系統安全管理及其對國家地質資料數據中心建設的啟示.現代情報，29（3）：212～215

8. 採取什麼措施加強信息系統安全管理

信息安全策略是指為保證提供一定級別的安全保護所必須遵守的規則。實現信息安全，不但靠先進的技術，而且也得靠嚴格的安全管理，法律約束和安全教育：

1. DG圖文檔加密：能夠智能識別計算機所運行的涉密數據，並自動強制對所有涉密數據進行加密操作，而不需要人的參與。體現了安全面前人人平等。從根源解決信息泄密

2. 先進的信息安全技術是網路安全的根本保證。用戶對自身面臨的威脅進行風險評估，決定其所需要的安全服務種類，選擇相應的安全機制，然後集成先進的安全技術，形成一個全方位的安全系統；

3. 嚴格的安全管理。各計算機網路使用機構，企業和單位應建立相應的網路安全管理辦法，加強內部管理，建立合適的網路安全管理系統，加強用戶管理和授權管理，建立安全審計和跟蹤體系，提高整體網路安全意識；

4. 制訂嚴格的法律、法規。計算機網路是一種新生事物。它的許多行為無法可依，無章可循，導致網路上計算機犯罪處於無序狀態。面對日趨嚴重的網路上犯罪，必須建立與網路安全相關的法律、法規，使非法分子懾於法律，不敢輕舉妄動。
   

9. 如何做好網路安全管理

第一、物理安全

除了要保證要有電腦鎖之外，我們更多的要注意防火，要將電線和網路放在比較隱蔽的地方。我們還要准備UPS，以確保網路能夠以持續的電壓運行，在電子學中，峰值電壓是一個非常重要的概念，峰值電壓高的時候可以燒壞電器，迫使網路癱瘓，峰值電壓最小的時候，網路根本不能運行。使用UPS可以排除這些意外。另外我們要做好防老鼠咬壞網線。

第二、系統安全（口令安全）

我們要盡量使用大小寫字母和數字以及特殊符號混合的密碼，但是自己要記住，我也見過很多這樣的網管，他的密碼設置的的確是復雜也安全，但是經常自己都記不來，每次都要翻看筆記本。另外我們最好不要使用空口令或者是帶有空格的，這樣很容易被一些黑客識破。

我們也可以在屏保、重要的應用程序上添加密碼，以確保雙重安全。

第三、打補丁

我們要及時的對系統補丁進行更新，大多數病毒和黑客都是通過系統漏洞進來的，例如今年五一風靡全球臭名昭著的振盪波就是利用了微軟的漏洞ms04-011進來的。還有一直殺不掉的SQLSERVER上的病毒slammer也是通過SQL的漏洞進來的。所以我們要及時對系統和應用程序打上最新的補丁，例如IE、OUTLOOK、SQL、OFFICE等應用程序。

另外我們要把那些不需要的服務關閉，例如TELNET，還有關閉Guset帳號等。

第四、安裝防病毒軟體

病毒掃描就是對機器中的所有文件和郵件內容以及帶有.exe的可執行文件進行掃描，掃描的結果包括清除病毒，刪除被感染文件，或將被感染文件和病毒放在一台隔離文件夾裡面。所以我們要對全網的機器從網站伺服器到郵件伺服器到文件伺服器知道客戶機都要安裝殺毒軟體，並保持最新的病毒定義碼。我們知道病毒一旦進入電腦，他會瘋狂的自我復制，遍布全網，造成的危害巨大，甚至可以使得系統崩潰，丟失所有的重要資料。所以我們要至少每周一次對全網的電腦進行集中殺毒，並定期的清除隔離病毒的文件夾。

現在有很多防火牆等網關產品都帶有反病毒功能，例如netscreen總裁謝青旗下的美國飛塔Fortigate防火牆就是，她具有防病毒的功能。

第五、應用程序

我們都知道病毒有超過一半都是通過電子郵件進來的，所以除了在郵件伺服器上安裝防病毒軟體之外，還要對PC機上的outlook防護，我們要提高警惕性，當收到那些無標題的郵件，或是你不認識的人發過來的，或是全是英語例如什麼happy99，money，然後又帶有一個附件的郵件，建議您最好直接刪除，不要去點擊附件，因為百分之九十以上是病毒。我前段時間就在一個政府部門碰到這樣的情況，他們單位有三個人一直收到郵件，一個小時竟然奇跡般的收到了2000多封郵件，致使最後郵箱爆破，起初他們懷疑是黑客進入了他們的網路，最後當問到這幾個人他們都說收到了一封郵件，一個附件，當去打開附件的時候，便不斷的收到郵件了，直至最後郵箱撐破。最後查出還是病毒惹的禍。

除了不去查看這些郵件之外，我們還要利用一下outlook中帶有的黑名單功能和郵件過慮的功能。

很多黑客都是通過你訪問網頁的時候進來的，你是否經常碰到這種情況，當你打開一個網頁的時候，會不斷的跳出非常多窗口，你關都關不掉，這就是黑客已經進入了你的電腦，並試圖控制你的電腦。

所以我們要將IE的安全性調高一點，經常刪除一些cookies和離線文件，還有就是禁用那些Active X的控制項。

第六、代理伺服器

代理伺服器最先被利用的目的是可以加速訪問我們經常看的網站，因為代理伺服器都有緩沖的功能，在這里可以保留一些網站與IP地址的對應關系。

要想了解代理伺服器，首先要了解它的工作原理：

環境：區域網裡面有一台機器裝有雙網卡，充當代理伺服器，其餘電腦通過它來訪問網路。

1、內網一台機器要訪問新浪，於是將請求發送給代理伺服器。

2、代理伺服器對發來的請求進行檢查，包括題頭和內容，然後去掉不必要的或違反約定的內容。

3、代理伺服器重新整合數據包，然後將請求發送給下一級網關。

4、新浪網回復請求，找到對應的IP地址。

5、代理伺服器依然檢查題頭和內容是否合法，去掉不適當的內容。

6、重新整合請求，然後將結果發送給內網的那台機器。

由此可以看出，代理伺服器的優點是可以隱藏內網的機器，這樣可以防止黑客的直接攻擊，另外可以節省公網IP。缺點就是每次都要經由伺服器，這樣訪問速度會變慢。另外當代理伺服器被攻擊或者是損壞的時候，其餘電腦將不能訪問網路。

第七、防火牆

提到防火牆，顧名思義，就是防火的一道牆。防火牆的最根本工作原理就是數據包過濾。實際上在數據包過濾的提出之前，都已經出現了防火牆。

數據包過濾，就是通過查看題頭的數據包是否含有非法的數據，我們將此屏蔽。

舉個簡單的例子，假如體育中心有一場劉德華演唱會，檢票員坐鎮門口，他首先檢查你的票是否對應，是否今天的，然後撕下右邊的一條，將剩餘的給你，然後告訴你演唱會現場在哪裡，告訴你怎麼走。這個基本上就是數據包過濾的工作流程吧。

你也許經常聽到你們老闆說：要增加一台機器它可以禁止我們不想要的網站，可以禁止一些郵件它經常給我們發送垃圾郵件和病毒等，但是沒有一個老闆會說：要增加一台機器它可以禁止我們不願意訪問的數據包。實際意思就是這樣。接下來我們推薦幾個常用的數據包過濾工具。