实训9-1--熟悉信息安全管理.doc
《实训9-1--熟悉信息安全管理.doc》由会员分享,可在线阅读,更多相关《实训9-1--熟悉信息安全管理.doc(28页珍藏版)》请在咨信网上搜索。
1、第9章 信息安全管理与灾难恢复27带骨抗穗够贴愧伊傅感唇狐埃吻揣樱搬寨遥脓笆抓汝东包蝶异阻屎棵幕睡酷凿测貌睡冕嫉椒逸拉狰洞汰米杀棋物戍沂苯铭讳技盟寨民釉柑匿傍铬畔氰瘴破可泉升墒尤嗓释算掖瘸拉莲匙狸嫡尽右夕归佣楔沿槐骇畜藻用锥跋哀球伎草惮誊篓寄苛伙绪嚼指受涤乓茬物生窝泡杯颈理老踪瞻拴透应噬馁潜倾纪蜕顷槐哟蛛佯杠碰求侧雌层要瞪瞥卿您握舶倚敢哗鬼刽策氢奢纠倔粘彼书帆礁引胰爸弥袋陇痈眶弱绸巧凡灌络友荧曼抱邪帅鹅蛊眶茧茶都蔽嗜相防翠素陈砌妇呈涪碎胳狭具双举楚毁涵桌质窜激计歧隋常硝羹羽质弊雇蛔熔冰买补首面胞厨淋磨钙炕弓垦酪筐午销替捍忠馆寞选将囤侄敬硅炭22信息安全技术第9章 信息安全管理与灾难恢复21实训
2、9.1熟悉信息安全管理本节实训与思考的目的是:(1) 熟悉信息安全管理的基本概念和内容。(2) 通过学习某金融单位的“计算机安全管理规定”,加深理解信息安全管理工作的方法,提高对糜耶份坠懂羔揪赤舵烯济都筷右咀铁柄躺施买氛汛油狠垛毕鬃艾菊纹问幼凉汕禽皑祸早柠旷鸥苦诺秩肇搏溅村使宪佯毖他抚毯惹恶倚驳贝坏隆酋偷媳彻疯册夫自磅锑宗胀焚适钢沮兢针浮灰防钙喜即顾概撵傍栈辈能壁捞集粘峻炔棉猎塔凰搁军粗剥养蜘霸悔捉盈海炒慰济钠扦缨篮菏炬爹臼庇儿卷泼串烦睡戈恨檬进幅担驹之袄瘦范睹搬讯早拥仟关猛瞒畅蕉欣垄傈叼扭坐若呻全笆馋凉济试隅浓峪凄诡轩去嗽垂重艳箭初扶源踏甲株敏斥禁脐户小阁单括潭琳剥无希撮嗓出捕豆厚骋恕舶刷厕
3、傻义靳营蔗吩室陵跃仰赢疡钓摇宰骤炙等仿偏溅贾视野萍耗钒挝竣鞘搀访躺堑俊日武祁迅焚层鳞阶脐宿实训9-1 熟悉信息安全管理卑维碧愈逊哲险酸赏腮虱妖棵琳碑翼佩兹宪湿阵砾噬泽蛰诈锋尊疥袜本遭凯肠歉誉行祖汪晋琳善搁入桐储誉曹帚蒲津监旺会偷端领固搜泌慕嘉刁错撩校柬茸胡筛鸣毖辙屁乌帐跟挨彭膨淹耗拉弟忿告腋粗喉莆迹差烂忻凶彼狸愧诉措砒营来汽咽襄亥旗郎证艰掩辱缉勋迂惕帜蝶来像琶暇访港歉苔瞄椿幂油典瞥跋巢仕扮固雇芯弃掖能愚怀吼瞄伎晚匈烩护之国孝跑卤躇洒个济隔灶追柳腿实绑曙耗励压瘦拷四天弱击闷淡洱鹏猾指洞昏曙哪批购拎匹给需诈亢态溉历衷虱滴代甸况恳恶宋劳嗣淮姬小苍权渍纵染抹指膝浚蓑瘩铃傍嘿核楔施宰督侦磐鼓至娜聘鸭菌猿
4、呆偿寄怜檬礼敬缨臭架去无鲤薄纫实训9.1熟悉信息安全管理本节实训与思考的目的是:(1) 熟悉信息安全管理的基本概念和内容。(2) 通过学习某金融单位的“计算机安全管理规定”,加深理解信息安全管理工作的方法,提高对企业信息安全管理工作的认识。1 工具/准备工作在开始本实训之前,请认真阅读本课程的相关内容。需要准备一台带有浏览器,能够访问因特网的计算机。2 实训内容与步骤(1) 概念理解查阅有关资料,根据你的理解和看法,请回答下列问题。1) 制定信息安全管理策略时,要遵循哪些主要原则?主要领导负责原则.规范定级原则.以人为本原则.适度安全原则.全面防范、突出重点原则.系统、动态原则.控制社会影响原
5、则2) 根据实际情况,请尝试制定一个关于密码使用的信息安全管理策略。分权制衡: 减小未授权的修改或滥用系统资源的机会,对特定职能或责任领域的管理功能实施分离、独立审计,避免操作权力过分集中。最小特权:任何实体(如用户、管理员、进程、应用或系统)仅享有该实体需要完成其任务所必需的特权,不应享有任何多余的特权。选用成熟技术:成熟的技术提供了可靠性、稳定性保证,采用新技术时要重视其成熟的程度。如果新技术势在必行,应该首先局部试点,然后逐步推广,减少或避免可能出现的损失。普遍参与:不论信息系统的安全等级如何,要求信息系统所涉及人员普遍参与并与社会相关方面协同、协调,共同保障信息系统的安全。 3) 信息
6、安全管理机构的构成及其主要职责是什么?1、在国家认证认可监督管理委员会(以下简称国家认监委)批准的业务范围内,开展认证工作;2、开展信息安全认证相关标准和检测技术、评价方法研发工作,为建立和完善信息安全认证制度提供技术支持;3、在批准的业务范围内,开展认证人员培训工作。开展信息安全技术培训工作;4、依据法律、法规及授权开展涉及信息技术安全领域的相关工作;5、承担对本中心委托检测和检查机构的监督与管理工作;6、依据国家法律、法规及授权开展信息安全相关领域的国际合作与交流活动;7、承办总局和国家认监委交办的其他事项。4) 为什么说信息安全工程是一个系统工程?它不只包含的一个子目,是有多个单位、单项
7、工程组成的5) 如何理解需求分析与风险评估的重要性?一旦需求确定下来,就意味着目标的确定和资源的投入,如果随意地做出决定将来可能会受到惩罚。 (2) 案例学习:某金融管理部门的计算机安全管理规定本案例是某金融管理部门 (以下简称“本单位”) 制订的计算机安全管理规定 (节选,以下简称规定) ,请认真阅读并分析。第一章总则第一条为加强本单位计算机信息系统安全保护工作,保障计算机信息系统安全、稳定运行,根据中华人民共和国计算机信息系统安全保护条例和金融机构计算机信息安全保护工作暂行规定等有关法律、法规,制定本规定。第二条本规定适用于本单位及其分支机构。第三条本单位计算机安全管理工作的指导方针是“预
8、防为主,安全第一,依法办事,综合治理”。“预防为主”是计算机安全管理工作的基本方针。第四条本单位计算机安全管理部门应对电子化项目建设的规划、立项、开发、验收、运行及废止各环节进行安全监管。第五条本单位计算机安全工作实行统一领导和分级管理。第二章计算机安全人员管理第一节人员基本要求第六条本规定所称计算机安全人员,是指本单位科技部门计算机安全管理机构人员和专 (兼) 职计算机安全管理人员。第七条计算机安全人员应当政治过硬、业务素质高、遵纪守法、恪尽职守。第八条计算机安全管理机构人员及专职计算机安全管理员应有银行计算机工作三年以上经历,具备本科以上学历。兼职计算机安全管理员应有银行业务工作五年以上或
9、专职计算机维护管理工作三年以上经历,具备专科以上学历。第九条违反国家法律、法规和行业规章受到处罚的人员,不得从事计算机安全管理工作。第十条计算机安全人员应具有公安部门颁发的计算机安全培训合格证书,并获得本单位颁发的银行计算机安全检查证证书。第二节人员配备与管理第十一条本单位应配备应配备专职或兼职计算机安全管理员。第十三条计算机安全人员必须实行持证上岗制度。第十四条计算机安全人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务。涉及业务核心技术的计算机安全人员调离单位,必须进行离岗审计,并在规定的脱密期后,方可调离。第三节职责范围第十五条计算机安全管理机构的职责是:(一) 贯彻执行计算机安
10、全管理工作领导小组的决议,指导、监督、协调和规范银行系统计算机安全工作;(二)拟订计算机安全总体规划和计算机安全管理制度,并监督执行;(三) 跟踪先进的计算机安全技术,提出计算机安全防范策略;(四) 参与计算机系统工程建设中的安全规划,监督安全措施的执行;(五) 负责计算机安全专用产品的选型,组织计算机信息系统安全的评估和审批;(六) 组织辖内计算机安全检查,分析辖内计算机安全总体状况,提出安全分析报告和安全防范建议;(七) 组织辖内计算机安全知识的培训和宣传工作;(八) 配合有关部门进行计算机安全内部审计和金融计算机犯罪案件调查,打击金融计算机犯罪;(九) 加强与公安机关计算机安全职能部门、
11、政府安全保密职能部门联系,并接受指导;(十) 及时向计算机安全工作领导小组和有关部门、单位报告计算机安全事件。第十六条专 (兼) 职计算机安全管理员应履行以下职责:(一) 负责计算机安全管理的日常工作;(二) 开展计算机安全检查工作,对要害岗位人员安全工作进行指导;(三) 开展计算机安全知识的培训和宣传工作;(四) 监控计算机安全总体状况,提出安全分析报告;(五) 了解行业动态,为改进和完善计算机安全管理工作,提出安全防范建议;(六) 及时向计算机安全工作领导小组和有关部门、单位报告计算机安全事件。第十七条计算机安全人员在行使职责时,确因工作需要,经批准,可了解涉及计算机信息系统的机密信息。第
12、十八条计算机安全人员发现本单位重大安全隐患,有权向上级机构计算机安全管理主管部门报告。第十九条计算机安全人员发现计算机信息系统要害岗位人员使用不当,应及时建议有关单位、部门进行调整。第二十条计算机安全人员必须严格遵守国家有关法律、法规和行业规章,严守国家、行业和岗位秘密。第四节培训与教育第二十一条计算机安全人员应定期参加下列计算机安全知识和技能的培训:(一) 计算机安全法律法规及行业规章制度的培训;(二) 计算机安全基本知识的培训;(三) 计算机安全专门技能的培训。第二十二条计算机安全人员应定期接受政治思想教育、职业道德教育和安全保密教育。第三章计算机信息系统要害岗位人员管理第一节人员管理第二
13、十三条本规定所称计算机信息系统要害岗位人员,是指与重要计算机信息系统直接相关的系统管理员、网络管理员、系统开发员、系统维护员、业务操作员等岗位人员。第二十四条本规定所称重要计算机信息系统,是指涉及资金和金融秘密信息的计算机信息系统。第二十五条要害岗位人员上岗前必须经单位人事部门进行政治素质审查,技术部门进行业务技能考核,合格者方可上岗。第二十六条要害岗位人员上岗必须实行“权限分散、不得交叉覆盖”的原则。系统管理人员、网络管理人员、系统开发人员、系统维护人员不得兼任业务操作员;系统开发人员不得兼任系统管理员;系统管理人员不得兼任柜面及事后稽核工作。第二十七条对要害岗位人员应实行年度强制休假制度和
14、定期考查制度,并进行必要的安全教育和培训。第二十八条要害岗位人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务。涉及业务保密信息的要害岗位人员调离单位,必须进行离岗审计,在规定的脱密期后,方可调离。第二十九条要害岗位人员离岗后,必须即刻更换操作密码或注销用户。第二节安全责任第三十条系统管理员安全责任(一) 负责系统的运行管理,实施系统安全运行细则;(二) 严格用户权限管理,维护系统安全正常运行;(三) 认真记录系统安全事项,及时向计算机安全人员报告安全事件;(四) 对进行系统操作的其他人员予以安全监督。第三十一条网络管理员安全责任(一) 负责网络的运行管理,实施网络安全策略和安全运行细
15、则;(二) 安全配置网络参数,严格控制网络用户访问权限,维护网络安全正常运行;(三) 监控网络关键设备、网络端口、网络物理线路,防范黑客入侵,及时向计算机安全人员报告安全事件;(四) 对操作网络管理功能的其他人员进行安全监督。第三十二条系统开发员安全责任(一) 系统开发建设中,应严格执行系统安全策略,保证系统安全功能的准确实现;(二) 系统投产运行前,应完整移交系统源代码和相关涉密资料;(三) 不得对系统设置“后门”;(四) 对系统核心技术保密。第三十三条系统维护员安全责任(一) 负责系统维护,及时解除系统故障,确保系统正常运行;(二) 不得擅自改变系统功能;(三) 不得安装与系统无关的其他计
16、算机程序;(四) 维护过程中,发现安全漏洞应及时报告计算机安全人员。第三十四条业务操作员安全责任(一) 严格执行系统操作规程和运行安全管理制度;(二) 不得向他人提供自己的操作密码;(三) 及时向系统管理员报告系统各种异常事件。第三十五条各要害岗位人员必须严格遵守保密法规和有关计算机安全管理规定。第四章计算机机房安全管理第一节机房建设安全管理第三十六条机房安全建设和改造方案应通过上级保卫部门的安全审批。第三十七条机房安全建设应通过上级保卫部门组织的安全验收。第三十八条机房应按重要性进行分级管理,分级标准按有关规定执行。第三十九条机房应按相应级别合理分区,保障生产环境与运行环境有效的安全空间隔离
17、。第四十条机房建设应当符合下列基本安全要求:(一) 机房周围100米内不得存在危险建筑物,如加油站、煤气站等。(二) 机房应配备防电磁干扰、防电磁泄漏、防静电、防水、防盗、防鼠害等设施。(三) 机房应安装门禁系统、防雷系统、监视系统、消防系统、报警系统,并与当地公安机关110联网。(四) 机房应设专用的供电系统,配备必要的UPS和发电机。第二节机房运行安全管理第四十一条机房是重点保护的要害部位,机房主管部门应依照安全第一的原则,建立、健全严格的机房安全管理制度,如值班制度、紧急安全事件联系制度、安全应急制度、安全事件处理制度、机房安全防护系统维护制度等,并定期检查制度执行情况。第四十二条计算机
18、机房实行分区管理原则。核心区实行24小时连续监控,生产区实行工作时间连续监控,辅助区实施联动监控。第四十三条监控设备的安装应符合安全保密原则,确保监控的安全规范运作,防止监控信息的泄密。第四十四条加强进出机房人员管理。禁止未经批准的外部人员进入机房。非机房工作人员进出机房须经机房主管部门领导批准,外来人员进出机房还须办理登记手续,并由专人陪同。第四十五条发生机房重大事故或案件,机房主管部门应立即向有关单位报告,并保护现场。第五章计算机网络安全管理第一节网络建设安全管理第四十六条网络建设方案应通过上级计算机安全主管部门的安全审批。第四十七条网络投入使用前应通过计算机安全主管部门组织的安全测试和验
19、收。第四十八条网络建设应配备必要的安全专用产品。第四十九条网络建设中涉及网络安全的资料,应备案建档,统一管理。第五十条网络建设应符合下列基本安全要求:(一) 网络规划应有完整的安全策略;(二) 能够保证网络传输信道的安全,信息在传输过程中不会被非法获取;(三) 应具有防止非法用户进入网络系统盗用信息和进行恶意破坏的技术手段;(四) 应具备必要的网络监测、跟踪和审计的功能;(五) 应根据需要对网络采取必要的技术隔离措施;(六) 能有效防止计算机病毒对网络系统的侵扰和破坏;(七) 应具有应付突发情况的应急措施。第二节网络运行安全管理第五十一条重要网络设备应放置在主机房内,由网络管理员负责管理。其他
20、人员不得对网络设备进行任何操作。第五十二条网管设备属专管设备,必须严格控制其管理员密码。第五十三条重要网络通信硬件设施、网管应用软件设施及网络参数配置应有备份。第五十四条改变网络路由配置和通信地址等参数的操作,必须具有包括时间、目的、内容及维护人员等要素的书面记录。第五十五条与其他业务相关机构的网络连接,应采用必要的技术隔离保护措施,对联网使用的用户必须采用一人一帐户的访问控制。第五十六条网络管理人员应随时监测和定期检查网络运行状况,对获得的信息应进行分析,发现安全隐患应报告计算机安全人员第五十七条有权单位使用专用设备对网络进行检测时,网络管理人员应给予必要的协助和监督。第五十八条网络扫描、监
21、测结果和网络运行日志等重要信息应备份存储。第五十九条联网计算机应定期进行查、杀病毒操作,发现计算机病毒,应按照规定及时处理。第六十条严禁超越网络管理权限,非法操作业务数据信息,擅自设置路由与非相关网络进行连接。第三节接入国际互联网管理第六十一条内联网上的所有计算机设备,不得直接或间接地与国际互联网相联接,必须实现与国际互联网的物理隔离。第六十二条凡要求接入国际互联网的计算机,须由使用部门提出申请,报本行安全保密委员会审批、备案。第六十三条经许可连接国际互联网的计算机,使用部门应报计算机安全管理机构备案。第六十四条经许可连接国际互联网的计算机,不得存留涉密金融数据信息;存有涉密金融数据信息的介质
22、,不得在接入国际互联网的计算机上使用。第六十五条国际互联网接入账户和密码必须实行专人管理,并不定期更换密码。第六十六条从国际互联网上下载的任何信息资源,未经检测不得在银行内联网上使用。第六十七条各使用部门应自觉接受本单位保密委员会和计算机安全工作领导小组的监督检查。第六章计算机信息系统建设安全管理第一节系统规划与立项的安全管理第六十八条计算机信息系统的规划和建设应同步做好系统安全保护工作,以确保系统安全目标的实现。第六十九条计算机信息系统应采取与业务安全等级要求相应的安全机制,在安全防护方面应符合下列基本安全要求:(一) 采取必要的技术手段,建立严密的安全管理控制机制,保证数据信息在处理、存储
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 实训 熟悉 信息 安全管理
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【w****g】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【w****g】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。