少妇特黄a一区二区三区-91亚色-国产日韩在线视频-奇米影音-亚洲三区视频-国产高潮流白浆喷水视频-韩国三级丰满少妇高潮-五月激情在线-中国在线观看免费高清视频播放-日本乱轮视频-日本少妇中出-午夜色影院-亚洲综合免费视频-青青草97国产精品麻豆-在线观看免费福利

本文主要論述如何按照信息系統(tǒng)成熟的安全管理模式，來管理安全技術(shù)防范系統(tǒng)的安全。

信息安全定義及其屬性

根據(jù)國際標準ISO/IEC27001：2005《信息技術(shù)一安全技術(shù)一信息安全管理體系一要求》中的定義，信息安全是：“保護信息的保密性、完整性、可用性；另外也包括其他屬性，如：真實性、可核查性、不可抵賴性和 可靠性。”

一、保密性。它是指信息不被泄漏給未授權(quán)的個人、實體和過程或不被其使用的特性。也就是說，確保所傳輸?shù)臄?shù)據(jù)只被其預(yù)定的接收者讀取。保密性的破壞有多種可能，例如，信息的故意泄露或松懈的安全管理。 常用的保密技術(shù)包括：防偵收（使對手偵收不到有用的信息）、防輻射（防止有用信息以各種途徑輻射出去）、信息加密（在密鑰的控制下，用加密算法對信息進行加密處理）、物理保密（利用各種物理方法保護信息不被泄露）。

二、完整性。它是指“保護資產(chǎn)的正確和完整的特性”。簡單地說，就是確保接收到的數(shù)據(jù)就是發(fā)送的數(shù)據(jù)。數(shù)據(jù)不應(yīng)該被改變，這需要某種方法去進行驗證。確保數(shù)據(jù)完整性的技術(shù)包括：消息源的不可抵賴、防 火墻系統(tǒng)、通信安全、入侵檢測系統(tǒng)。

三、可用性。它是指“需要時，授權(quán)實體可以訪問和使用的特性”。它確保數(shù)據(jù)在需要時可以使用。盡管傳統(tǒng)上認為可用性并不屬于信息安全的范疇，但隨著拒絕服務(wù)攻擊的逐漸盛行，要求數(shù)據(jù)總能保持可用性就 顯得很關(guān)鍵了。確?？捎眯缘募夹g(shù)包括：磁盤和系統(tǒng)的容錯及備份、可接受的登錄及進程性能、可靠的功能 性的安全進程和機制。

四、其他屬性及目標。

信息安全也包括一些其他特性：真實性一般是指對信息的來源進行 判斷，能對偽造來源的信息予以鑒別；可核查性是指系統(tǒng)實體的行為可以被獨一無二地追溯到該實體的特性，這個特性就是要求該實體對其行為負責(zé)，可核查性也為探測和調(diào)查安全違規(guī)事件提供了可能性；不可抵賴性是指建立有效的責(zé)任機制，防止用戶否認其行為，這一點在電子商務(wù)中是極其重要的；可靠性是指系統(tǒng)在規(guī)定的時間和給定的條件下，無故障完成規(guī)定功能的概率，通常用平均故障間隔時間來度量。

保密性、完整性和可用性是信息安全最為關(guān)注的三個屬性，因此這三個特性也經(jīng)常被稱為信息安全三元組，這也是我們安全技術(shù)防范系統(tǒng)安全管理所強調(diào)的目標。

安全技術(shù)防范，系統(tǒng)安全管理體系

安全管理體系主要涉及安全管理機構(gòu)、安全管理制度、安全管理技術(shù)和安全教育培訓(xùn)等方面。通過組建完整的信息網(wǎng)絡(luò)安全管理機構(gòu)和設(shè)置安全管理人員，規(guī)劃安全策略、確定安全管理機制、明確安全管理原則和完善安全管理措施，制定嚴格的安全管理制度，合理地協(xié)調(diào)法律、技術(shù)和管理三種因素，實現(xiàn)對系統(tǒng)安全管理的科學(xué)化、系統(tǒng)化和規(guī)范化，達到保障安全的目的。

一個完善的安全技術(shù)防范系統(tǒng)的安全管理體系通常具體包含以下幾個方面：

一、落實安全管理機構(gòu)及安全管理人員。

二、制定安全管理政策和制度。

三、實施風(fēng)險管理，包括風(fēng)險管理要求和策略、風(fēng)險分析和評估、風(fēng)險控制、基于風(fēng)險的決策及風(fēng)險評估的管理。其具體要素是評估系統(tǒng)保密要求、系統(tǒng)威脅的識別和分析等。

四、環(huán)境和資源管理，包括環(huán)境安全管理和資源管理。

五、運行和維護管理，包括用戶管理、運行操作管理、運行維護管理、外包服務(wù)管理、有關(guān)安全機制保障、安個集中管理。

六、業(yè)務(wù)持續(xù)性管理，包括備份與恢復(fù)、安全時間處理、應(yīng)急處理。

七、監(jiān)督和檢查管理，包括檢查相關(guān)法律要求的落實、依從性管理、 審計及監(jiān)管控制、責(zé)任認定。

八、生存周期管理，包括規(guī)劃和立項管理、建設(shè)過程管理、系統(tǒng)啟用和終止管理。

人員安全管理

安全技術(shù)防范系統(tǒng)的安全管理是一個整體的系統(tǒng)問題，不是僅通過技術(shù)手段就可以解決的，它的安全管理同樣適用于常規(guī)的人防、物防和技防等安全防范范疇。安全技術(shù)防范系統(tǒng)本身的“技防”問題，如防拆、防破壞功能，視頻丟失報警功能、暴力開門報警功能等，這些在一個安全技術(shù)防范系統(tǒng)的設(shè)計、施工過程中一般已經(jīng)考慮的非常完善了，而“物防”問題是安全防范的基礎(chǔ)，通常也比較容易實現(xiàn)，因此這兩個問題本文不作具體闡述，在此主要討論如何作好安全技術(shù)防范系統(tǒng)的“人防”管理。人員安全管理應(yīng)主要做好安全組織、崗位考核與培訓(xùn)、離崗人員安全管理工作。

一、成立安全組織。單位應(yīng)成立安全領(lǐng)導(dǎo)小組，負責(zé)本單位的安全保衛(wèi)工作，并履行相應(yīng)職能。

（一）安全管理的領(lǐng)導(dǎo)職能：依據(jù)國家有關(guān)法律、法規(guī)、政策及規(guī)范，對本單位安全負全面領(lǐng)導(dǎo)責(zé)任，制定安全管理制度，組織落實各級安全責(zé)任 制。

（二）安全監(jiān)督的管理職能：領(lǐng)導(dǎo)并支持安全管理人員或部門的監(jiān)督檢查工作。

二、崗位考核與培訓(xùn)。安全技術(shù)防范系統(tǒng)的各崗位人員的安全管理，應(yīng)根據(jù)其關(guān)鍵程度建立相應(yīng)的管理要求。

（一）所有管理、操作人員應(yīng)具有基本條件與較高的素質(zhì)。

（二）應(yīng)經(jīng)過安全教育、培訓(xùn)，包括知識、技能、意識三個階段的教育，不僅要使操作者掌握安全操作知識， 而且能正確、認真地在操作過程中，表現(xiàn)出安全的行為。

（三）在培訓(xùn)中應(yīng)將相關(guān)專業(yè)知識融合于安全教育中，讓相關(guān)崗位人員理解整個系統(tǒng)的架構(gòu)與基本功能、 系統(tǒng)管理和維護、重要設(shè)備的使用和維護、系統(tǒng)故障應(yīng)急措施，還應(yīng)注重系統(tǒng)操作上機實踐。

（四）安全技術(shù)防范系統(tǒng)竣工交接時，應(yīng)向業(yè)主提供完整的工程驗收報告、完工圖紙，軟、硬件文檔，操作、 維護手冊，設(shè)備清單等，應(yīng)將這部分 資料的理解作為重點培訓(xùn)內(nèi)容。

三、離崗人員安全管理。工作人員離職之后仍對其在任職期間接觸、知悉的屬于本單位或者雖屬于第三方但本單位承諾或負有保密義務(wù)的秘密信息，承擔如同任職期間一樣的保密義務(wù)和不擅自使用的義務(wù)，直到該秘密信息成為公開信息，而無論離職人員因何種原因離職。國家行政機關(guān)、金融行業(yè)等重要、敏感單位，可依據(jù) 《保守國家秘密法》規(guī)定，根據(jù)涉密崗位及涉密程度，按照核心涉密人員、重要涉密人員和一般涉密人員，實行分類管理，逐步脫密。

筆者在多年從事安全技術(shù)防范工作中，經(jīng)常碰到泄密案件，總結(jié)后發(fā)現(xiàn)一個安裝了安全技術(shù)防范系統(tǒng)的單位，單純的從外部入侵是極少數(shù)的，而且外部入侵都是暴力入侵，純技術(shù)入侵微乎其微，多數(shù)是內(nèi)外勾結(jié)，或 者內(nèi)部工作人員獨立實施。如某地某工廠百萬現(xiàn)金被盜案，就是工廠內(nèi)保暴力破壞了財務(wù)室的聯(lián)網(wǎng)防盜報警系統(tǒng)監(jiān)守自盜。這對我們從業(yè)者有極大的警示作用。經(jīng)調(diào)看該廠聯(lián)網(wǎng)報警系統(tǒng)歷史報警事件記錄，詢問應(yīng)急隊員和當班保安員后，發(fā)現(xiàn)該報警系統(tǒng)數(shù)日前就有2次警號故障信息、1次防拆報警信息，當晚應(yīng)急隊員接到聯(lián)網(wǎng)報警中心警情后趕到該廠門口，但該廠保安員未讓其入廠檢查，告知其保安隊長就在報警現(xiàn)場，沒有警情發(fā)生，應(yīng)急隊員隨之撤離，案情頓時明了，辦案民警立即控制整個保安隊。經(jīng)審訊后案犯交待，該廠保安隊長長期在該廠工作，得到工廠領(lǐng)導(dǎo)和員工信任，但其一直存有盜取工資款的預(yù)謀，案發(fā)前數(shù)日曾兩次嘗試剪斷報警系統(tǒng)的警號，發(fā)現(xiàn)剪斷線后警號不響，以為警號故障，案發(fā)前日其隨財務(wù)人員從銀行取到現(xiàn)金后，一直在財務(wù)室負責(zé)發(fā)放工資時的現(xiàn)場安全保衛(wèi)工作，知道當天工資沒有全部發(fā)放完，現(xiàn)金晚上會存放在財務(wù)室保險柜中，便決定當晚盜取現(xiàn)金。該案犯剪斷警號線后進入財務(wù)室，馬上將報警系統(tǒng)的紅外線探測器控制線扯斷，以為報警系統(tǒng)已經(jīng)被破壞，當晚財務(wù)室的報警系統(tǒng)沒有開機布防，本不會發(fā)生報警，但是他一扯斷線，殊不知報警系統(tǒng)的防拆功能啟動了，立即將警情傳到了聯(lián)網(wǎng)報警中心，中心通知應(yīng)急隊員出警后，因未能進入現(xiàn)場檢查，該隊長最終得逞。

此案例中該廠安全管理方面存在多處重大漏洞：財務(wù)室未做好物理隔斷，墻壁僅修到吊頂處，未修到樓板； 財務(wù)人員違例將巨額現(xiàn)金存放在無人值守的財務(wù)室；財務(wù)室當晚的報警 系統(tǒng)未開機布防；應(yīng)急隊員和該廠門 衛(wèi)警惕性不高，當晚未能進入現(xiàn)場檢查；報警系統(tǒng)的警號未使用防剪警號等。此案例中的聯(lián)網(wǎng)報警系統(tǒng)未充分 發(fā)揮作用，如果不是最后關(guān)頭防拆功能啟動，我們會連案發(fā)時的具體時間都不會知道，更別說出警和控制警情 了，由此可見，本文論述的建立完善的安全管理體系的重要性，以及“人 技結(jié)合”是管理和使用好安全技術(shù)防范系統(tǒng)的必然選擇。

無數(shù)案例告訴我們，信息安全不僅是技術(shù)問題，更主要的是管理問題，俗話說：“三分技術(shù),七分管理”，任何技術(shù)措施只能起到增強信息安全防范能力的作用，只有管理到位，也就是說管好“人”，包括是否建立了動態(tài)的閉環(huán)管理流程，能否對系統(tǒng)實施有效的管理和控制，才是保障系統(tǒng)安全的關(guān)鍵。