实训9-1--熟悉信息安全管理.doc

资源描述

第9章信息安全管理与灾难恢复 27 带骨抗穗够贴愧伊傅感唇狐埃吻揣樱搬寨遥脓笆抓汝东包蝶异阻屎棵幕睡酷凿测貌睡冕嫉椒逸拉狰洞汰米杀棋物戍沂苯铭讳技盟寨民釉柑匿傍铬畔氰瘴破可泉升墒尤嗓释算掖瘸拉莲匙狸嫡尽右夕归佣楔沿槐骇畜藻用锥跋哀球伎草惮誊篓寄苛伙绪嚼指受涤乓茬物生窝泡杯颈理老踪瞻拴透应噬馁潜倾纪蜕顷槐哟蛛佯杠碰求侧雌层要瞪瞥卿您握舶倚敢哗鬼刽策氢奢纠倔粘彼书帆礁引胰爸弥袋陇痈眶弱绸巧凡灌络友荧曼抱邪帅鹅蛊眶茧茶都蔽嗜相防翠素陈砌妇呈涪碎胳狭具双举楚毁涵桌质窜激计歧隋常硝羹羽质弊雇蛔熔冰买补首面胞厨淋磨钙炕弓垦酪筐午销替捍忠馆寞选将囤侄敬硅炭22 信息安全技术第9章信息安全管理与灾难恢复 21 实训9.1 熟悉信息安全管理本节实训与思考的目的是： (1) 熟悉信息安全管理的基本概念和内容。 (2) 通过学习某金融单位的“计算机安全管理规定”，加深理解信息安全管理工作的方法，提高对糜耶份坠懂羔揪赤舵烯济都筷右咀铁柄躺施买氛汛油狠垛毕鬃艾菊纹问幼凉汕禽皑祸早柠旷鸥苦诺秩肇搏溅村使宪佯毖他抚毯惹恶倚驳贝坏隆酋偷媳彻疯册夫自磅锑宗胀焚适钢沮兢针浮灰防钙喜即顾概撵傍栈辈能壁捞集粘峻炔棉猎塔凰搁军粗剥养蜘霸悔捉盈海炒慰济钠扦缨篮菏炬爹臼庇儿卷泼串烦睡戈恨檬进幅担驹之袄瘦范睹搬讯早拥仟关猛瞒畅蕉欣垄傈叼扭坐若呻全笆馋凉济试隅浓峪凄诡轩去嗽垂重艳箭初扶源踏甲株敏斥禁脐户小阁单括潭琳剥无希撮嗓出捕豆厚骋恕舶刷厕傻义靳营蔗吩室陵跃仰赢疡钓摇宰骤炙等仿偏溅贾视野萍耗钒挝竣鞘搀访躺堑俊日武祁迅焚层鳞阶脐宿实训9-1 熟悉信息安全管理卑维碧愈逊哲险酸赏腮虱妖棵琳碑翼佩兹宪湿阵砾噬泽蛰诈锋尊疥袜本遭凯肠歉誉行祖汪晋琳善搁入桐储誉曹帚蒲津监旺会偷端领固搜泌慕嘉刁错撩校柬茸胡筛鸣毖辙屁乌帐跟挨彭膨淹耗拉弟忿告腋粗喉莆迹差烂忻凶彼狸愧诉措砒营来汽咽襄亥旗郎证艰掩辱缉勋迂惕帜蝶来像琶暇访港歉苔瞄椿幂油典瞥跋巢仕扮固雇芯弃掖能愚怀吼瞄伎晚匈烩护之国孝跑卤躇洒个济隔灶追柳腿实绑曙耗励压瘦拷四天弱击闷淡洱鹏猾指洞昏曙哪批购拎匹给需诈亢态溉历衷虱滴代甸况恳恶宋劳嗣淮姬小苍权渍纵染抹指膝浚蓑瘩铃傍嘿核楔施宰督侦磐鼓至娜聘鸭菌猿呆偿寄怜檬礼敬缨臭架去无鲤薄纫实训9.1 熟悉信息安全管理本节实训与思考的目的是： (1) 熟悉信息安全管理的基本概念和内容。 (2) 通过学习某金融单位的“计算机安全管理规定”，加深理解信息安全管理工作的方法，提高对企业信息安全管理工作的认识。 1 工具/准备工作在开始本实训之前，请认真阅读本课程的相关内容。需要准备一台带有浏览器，能够访问因特网的计算机。 2 实训内容与步骤 (1) 概念理解查阅有关资料，根据你的理解和看法，请回答下列问题。 1) 制定信息安全管理策略时，要遵循哪些主要原则？主要领导负责原则.规范定级原则.以人为本原则.适度安全原则.全面防范、突出重点原则.系统、动态原则.控制社会影响原则 2) 根据实际情况，请尝试制定一个关于密码使用的信息安全管理策略。分权制衡: 减小未授权的修改或滥用系统资源的机会，对特定职能或责任领域的管理功能实施分离、独立审计，避免操作权力过分集中。最小特权：任何实体（如用户、管理员、进程、应用或系统）仅享有该实体需要完成其任务所必需的特权，不应享有任何多余的特权。选用成熟技术：成熟的技术提供了可靠性、稳定性保证，采用新技术时要重视其成熟的程度。如果新技术势在必行，应该首先局部试点，然后逐步推广，减少或避免可能出现的损失。普遍参与：不论信息系统的安全等级如何，要求信息系统所涉及人员普遍参与并与社会相关方面协同、协调，共同保障信息系统的安全。 3) 信息安全管理机构的构成及其主要职责是什么？ 1、在国家认证认可监督管理委员会（以下简称国家认监委）批准的业务范围内，开展认证工作；2、开展信息安全认证相关标准和检测技术、评价方法研发工作，为建立和完善信息安全认证制度提供技术支持；3、在批准的业务范围内，开展认证人员培训工作。开展信息安全技术培训工作；4、依据法律、法规及授权开展涉及信息技术安全领域的相关工作；5、承担对本中心委托检测和检查机构的监督与管理工作；6、依据国家法律、法规及授权开展信息安全相关领域的国际合作与交流活动；7、承办总局和国家认监委交办的其他事项。 4) 为什么说信息安全工程是一个系统工程？它不只包含的一个子目，是有多个单位、单项工程组成的 5) 如何理解需求分析与风险评估的重要性？一旦需求确定下来，就意味着目标的确定和资源的投入，如果随意地做出决定将来可能会受到惩罚。 (2) 案例学习：某金融管理部门的计算机安全管理规定本案例是某金融管理部门 (以下简称“本单位”) 制订的计算机安全管理规定 (节选，以下简称《规定》) ，请认真阅读并分析。第一章总则第一条为加强本单位计算机信息系统安全保护工作，保障计算机信息系统安全、稳定运行，根据《中华人民共和国计算机信息系统安全保护条例》和《金融机构计算机信息安全保护工作暂行规定》等有关法律、法规，制定本规定。第二条本规定适用于本单位及其分支机构。第三条本单位计算机安全管理工作的指导方针是“预防为主，安全第一，依法办事，综合治理”。“预防为主”是计算机安全管理工作的基本方针。第四条本单位计算机安全管理部门应对电子化项目建设的规划、立项、开发、验收、运行及废止各环节进行安全监管。第五条本单位计算机安全工作实行统一领导和分级管理。第二章计算机安全人员管理第一节人员基本要求第六条本规定所称计算机安全人员，是指本单位科技部门计算机安全管理机构人员和专 (兼) 职计算机安全管理人员。第七条计算机安全人员应当政治过硬、业务素质高、遵纪守法、恪尽职守。第八条计算机安全管理机构人员及专职计算机安全管理员应有银行计算机工作三年以上经历，具备本科以上学历。兼职计算机安全管理员应有银行业务工作五年以上或专职计算机维护管理工作三年以上经历，具备专科以上学历。第九条违反国家法律、法规和行业规章受到处罚的人员，不得从事计算机安全管理工作。第十条计算机安全人员应具有公安部门颁发的计算机安全培训合格证书，并获得本单位颁发的《银行计算机安全检查证》证书。第二节人员配备与管理第十一条本单位应配备应配备专职或兼职计算机安全管理员。第十三条计算机安全人员必须实行持证上岗制度。第十四条计算机安全人员调离岗位，必须严格办理调离手续，承诺其调离后的保密义务。涉及业务核心技术的计算机安全人员调离单位，必须进行离岗审计，并在规定的脱密期后，方可调离。第三节职责范围第十五条　计算机安全管理机构的职责是： (一) 贯彻执行计算机安全管理工作领导小组的决议，指导、监督、协调和规范银行系统计算机安全工作； (二) 拟订计算机安全总体规划和计算机安全管理制度，并监督执行； (三) 跟踪先进的计算机安全技术，提出计算机安全防范策略； (四) 参与计算机系统工程建设中的安全规划，监督安全措施的执行； (五) 负责计算机安全专用产品的选型，组织计算机信息系统安全的评估和审批； (六) 组织辖内计算机安全检查，分析辖内计算机安全总体状况，提出安全分析报告和安全防范建议； (七) 组织辖内计算机安全知识的培训和宣传工作； (八) 配合有关部门进行计算机安全内部审计和金融计算机犯罪案件调查，打击金融计算机犯罪； (九) 加强与公安机关计算机安全职能部门、政府安全保密职能部门联系，并接受指导； (十) 及时向计算机安全工作领导小组和有关部门、单位报告计算机安全事件。第十六条　专 (兼) 职计算机安全管理员应履行以下职责： (一) 负责计算机安全管理的日常工作； (二) 开展计算机安全检查工作，对要害岗位人员安全工作进行指导； (三) 开展计算机安全知识的培训和宣传工作； (四) 监控计算机安全总体状况，提出安全分析报告； (五) 了解行业动态，为改进和完善计算机安全管理工作，提出安全防范建议； (六) 及时向计算机安全工作领导小组和有关部门、单位报告计算机安全事件。第十七条计算机安全人员在行使职责时，确因工作需要，经批准，可了解涉及计算机信息系统的机密信息。第十八条计算机安全人员发现本单位重大安全隐患，有权向上级机构计算机安全管理主管部门报告。第十九条计算机安全人员发现计算机信息系统要害岗位人员使用不当，应及时建议有关单位、部门进行调整。第二十条计算机安全人员必须严格遵守国家有关法律、法规和行业规章，严守国家、行业和岗位秘密。第四节培训与教育第二十一条计算机安全人员应定期参加下列计算机安全知识和技能的培训： (一) 计算机安全法律法规及行业规章制度的培训； (二) 计算机安全基本知识的培训； (三) 计算机安全专门技能的培训。第二十二条计算机安全人员应定期接受政治思想教育、职业道德教育和安全保密教育。第三章计算机信息系统要害岗位人员管理第一节人员管理第二十三条本规定所称计算机信息系统要害岗位人员，是指与重要计算机信息系统直接相关的系统管理员、网络管理员、系统开发员、系统维护员、业务操作员等岗位人员。第二十四条本规定所称重要计算机信息系统，是指涉及资金和金融秘密信息的计算机信息系统。第二十五条要害岗位人员上岗前必须经单位人事部门进行政治素质审查，技术部门进行业务技能考核，合格者方可上岗。第二十六条要害岗位人员上岗必须实行“权限分散、不得交叉覆盖”的原则。系统管理人员、网络管理人员、系统开发人员、系统维护人员不得兼任业务操作员；系统开发人员不得兼任系统管理员；系统管理人员不得兼任柜面及事后稽核工作。第二十七条对要害岗位人员应实行年度强制休假制度和定期考查制度，并进行必要的安全教育和培训。第二十八条要害岗位人员调离岗位，必须严格办理调离手续，承诺其调离后的保密义务。涉及业务保密信息的要害岗位人员调离单位，必须进行离岗审计，在规定的脱密期后，方可调离。第二十九条要害岗位人员离岗后，必须即刻更换操作密码或注销用户。第二节安全责任第三十条系统管理员安全责任 (一) 负责系统的运行管理，实施系统安全运行细则； (二) 严格用户权限管理，维护系统安全正常运行； (三) 认真记录系统安全事项，及时向计算机安全人员报告安全事件； (四) 对进行系统操作的其他人员予以安全监督。第三十一条网络管理员安全责任 (一) 负责网络的运行管理，实施网络安全策略和安全运行细则； (二) 安全配置网络参数，严格控制网络用户访问权限，维护网络安全正常运行； (三) 监控网络关键设备、网络端口、网络物理线路，防范黑客入侵，及时向计算机安全人员报告安全事件； (四) 对操作网络管理功能的其他人员进行安全监督。第三十二条系统开发员安全责任 (一) 系统开发建设中，应严格执行系统安全策略，保证系统安全功能的准确实现； (二) 系统投产运行前，应完整移交系统源代码和相关涉密资料； (三) 不得对系统设置“后门”； (四) 对系统核心技术保密。第三十三条系统维护员安全责任 (一) 负责系统维护，及时解除系统故障，确保系统正常运行； (二) 不得擅自改变系统功能； (三) 不得安装与系统无关的其他计算机程序； (四) 维护过程中，发现安全漏洞应及时报告计算机安全人员。第三十四条业务操作员安全责任 (一) 严格执行系统操作规程和运行安全管理制度； (二) 不得向他人提供自己的操作密码； (三) 及时向系统管理员报告系统各种异常事件。第三十五条各要害岗位人员必须严格遵守保密法规和有关计算机安全管理规定。第四章计算机机房安全管理第一节机房建设安全管理第三十六条机房安全建设和改造方案应通过上级保卫部门的安全审批。第三十七条机房安全建设应通过上级保卫部门组织的安全验收。第三十八条机房应按重要性进行分级管理，分级标准按有关规定执行。第三十九条机房应按相应级别合理分区，保障生产环境与运行环境有效的安全空间隔离。第四十条机房建设应当符合下列基本安全要求： (一) 机房周围100米内不得存在危险建筑物，如加油站、煤气站等。 (二) 机房应配备防电磁干扰、防电磁泄漏、防静电、防水、防盗、防鼠害等设施。 (三) 机房应安装门禁系统、防雷系统、监视系统、消防系统、报警系统，并与当地公安机关110联网。 (四) 机房应设专用的供电系统，配备必要的UPS和发电机。第二节机房运行安全管理第四十一条机房是重点保护的要害部位，机房主管部门应依照安全第一的原则，建立、健全严格的机房安全管理制度，如值班制度、紧急安全事件联系制度、安全应急制度、安全事件处理制度、机房安全防护系统维护制度等，并定期检查制度执行情况。第四十二条计算机机房实行分区管理原则。核心区实行24小时连续监控，生产区实行工作时间连续监控，辅助区实施联动监控。第四十三条监控设备的安装应符合安全保密原则，确保监控的安全规范运作，防止监控信息的泄密。第四十四条加强进出机房人员管理。禁止未经批准的外部人员进入机房。非机房工作人员进出机房须经机房主管部门领导批准，外来人员进出机房还须办理登记手续，并由专人陪同。第四十五条发生机房重大事故或案件，机房主管部门应立即向有关单位报告，并保护现场。第五章计算机网络安全管理第一节网络建设安全管理第四十六条网络建设方案应通过上级计算机安全主管部门的安全审批。第四十七条网络投入使用前应通过计算机安全主管部门组织的安全测试和验收。第四十八条网络建设应配备必要的安全专用产品。第四十九条网络建设中涉及网络安全的资料，应备案建档，统一管理。第五十条网络建设应符合下列基本安全要求： (一) 网络规划应有完整的安全策略； (二) 能够保证网络传输信道的安全，信息在传输过程中不会被非法获取； (三) 应具有防止非法用户进入网络系统盗用信息和进行恶意破坏的技术手段； (四) 应具备必要的网络监测、跟踪和审计的功能； (五) 应根据需要对网络采取必要的技术隔离措施； (六) 能有效防止计算机病毒对网络系统的侵扰和破坏； (七) 应具有应付突发情况的应急措施。第二节网络运行安全管理第五十一条重要网络设备应放置在主机房内，由网络管理员负责管理。其他人员不得对网络设备进行任何操作。第五十二条网管设备属专管设备，必须严格控制其管理员密码。第五十三条重要网络通信硬件设施、网管应用软件设施及网络参数配置应有备份。第五十四条改变网络路由配置和通信地址等参数的操作，必须具有包括时间、目的、内容及维护人员等要素的书面记录。第五十五条与其他业务相关机构的网络连接，应采用必要的技术隔离保护措施，对联网使用的用户必须采用一人一帐户的访问控制。第五十六条网络管理人员应随时监测和定期检查网络运行状况，对获得的信息应进行分析，发现安全隐患应报告计算机安全人员第五十七条有权单位使用专用设备对网络进行检测时，网络管理人员应给予必要的协助和监督。第五十八条网络扫描、监测结果和网络运行日志等重要信息应备份存储。第五十九条联网计算机应定期进行查、杀病毒操作，发现计算机病毒，应按照规定及时处理。第六十条严禁超越网络管理权限，非法操作业务数据信息，擅自设置路由与非相关网络进行连接。第三节接入国际互联网管理第六十一条内联网上的所有计算机设备，不得直接或间接地与国际互联网相联接，必须实现与国际互联网的物理隔离。第六十二条凡要求接入国际互联网的计算机，须由使用部门提出申请，报本行安全保密委员会审批、备案。第六十三条经许可连接国际互联网的计算机，使用部门应报计算机安全管理机构备案。第六十四条经许可连接国际互联网的计算机，不得存留涉密金融数据信息；存有涉密金融数据信息的介质，不得在接入国际互联网的计算机上使用。第六十五条国际互联网接入账户和密码必须实行专人管理，并不定期更换密码。第六十六条从国际互联网上下载的任何信息资源，未经检测不得在银行内联网上使用。第六十七条各使用部门应自觉接受本单位保密委员会和计算机安全工作领导小组的监督检查。第六章计算机信息系统建设安全管理第一节系统规划与立项的安全管理第六十八条计算机信息系统的规划和建设应同步做好系统安全保护工作，以确保系统安全目标的实现。第六十九条计算机信息系统应采取与业务安全等级要求相应的安全机制，在安全防护方面应符合下列基本安全要求： (一) 采取必要的技术手段，建立严密的安全管理控制机制，保证数据信息在处理、存储和传输过程中的完整性和安全性，防止数据信息被非法使用、修改和复制； (二) 提供完整的数据备份和恢复功能，能方便地根据系统和数据的备份介质进行灾难恢复； (三) 具有严格的用户和密码管理，能对不同级别的用户进行有限授权，特别应严格限制和分流特权用户的权限，防止非法用户的侵入和破坏； (四) 重要计算机信息系统应设置审计监控程序，具有身份识别和实体认证功能。能够自动记录操作人员的重要操作，具有防止抵赖机制； (五) 涉密信息系统的安全设计应符合涉密信息保密管理的有关规定。第七十条重要计算机信息系统立项的安全管理实行审批制度。对项目管理部门初审合格的项目申报材料，计算机安全管理部门应进行安全性专项审查，提出审查意见后由项目管理部门最后审批。第七十一条项目申报材料在符合电子化项目管理规定有关要求的同时，还应包括以下与信息系统安全有关的内容： (一) 业务主管部门对保证业务正常开展的安全需求； (二) 系统的安全性指标； (三) 系统运行平台的安全性要求； (四) 系统采取的安全策略、安全保护措施及其安全功能设计； (五) 涉密信息系统的申报还应取得同级或上级保密部门的同意。第七十二条对没有通过计算机安全管理部门审查的项目，项目管理部门不得予以立项。第二节系统开发的安全管理第七十三条计算机信息系统的开发必须符合软件工程规范，并在软件开发的各阶段按照安全管理目标进行管理和实施。第七十四条计算机信息系统的开发人员或参加开发的协作单位应经过严格资格审查，并签订保密协议书，承诺其负有的安全保密责任和义务。第七十五条计算机信息系统的开发环境和现场应当与生产环境和现场隔离。第七十六条计算机信息系统开发完成后，开发人员或参加开发的外部单位应及时移交程序源代码及其相关技术文档。第七十七条计算机信息系统采用的关键安全技术措施和核心安全功能设计不得进行公开学术交流或发表。第三节系统安全的评估与审批第七十八条计算机信息系统投入运行前，应向计算机安全管理部门提出安全评估和审批申请，并报送下列材料： (一) 系统的用途、总体结构及软硬件配置等基本情况； (二) 关于系统安全需求、安全策略、安全性指标、安全保护措施以及安全功能设计等情况的说明； (三) 系统安全性测试提纲和测试报告； (四) 填制的《银行计算机应用系统安全评估和审批报告书》。第七十九条计算机安全管理部门应当对计算机信息系统主管部门 (单位) 报送的书面材料进行初步审查。初审合格后，委托相关权威机构组建由相关业务和技术专家组成的安全评估委员会或安全评估专家组，对信息系统进行安全性测试、认证。第八十条对信息系统的安全评估应当包括以下内容： (一) 系统的安全策略； (二) 系统的安全措施： (三) 系统安全功能的实现程度； (四) 系统运行的稳定性、可靠性； (五) 系统运行平台的安全可靠性。第八十一条安全评估委员会或安全评估专家组应对测试、认证的信息系统提出安全评估报告，并填制《银行计算机应用系统安全评估和审批报告书》。第八十二条计算机安全管理部门应对系统安全评估报告进行审查。对符合安全运行要求的，颁发《本单位计算机信息系统安全许可证》。第八十三条计算机信息系统获得《计算机信息系统安全许可证》后方可投入运行。对不能保证安全运行的，经修改完善后另行申报评估。第八十四条对尚未经过安全审批但已经投入使用的计算机信息系统，计算机安全管理部门应要求其主管部门 (单位) 报送系统安全建设情况书面材料，并按照上述程序进行安全评估和审批。第四节系统使用与废止的安全管理第八十五条计算机信息系统投入使用时业务部门应当建立相应的操作规程和安全管理制度，以防止各类安全事故的发生。第八十六条计算机信息系统使用人员应严格按照操作规程和有关安全管理制度进行操作，保证系统安全运行。第八十七条对计算机信息系统在运行过程中出现的异常现象，以及有关安全制度在执行过程中出现的问题，操作人员有责任向部门领导和计算机安全管理机构报告。第八十八条计算机信息系统的使用部门应当加强对计算机系统运行环境的管理，加强对计算机病毒的防治，保证系统安全运行。第八十九条计算机信息系统的使用部门应当严格用户和密码 (口令) 的管理，严格控制各级用户对数据的访问权限。第九十条计算机信息系统应定期进行数据备份，对备份介质应按有关规定指定专人妥善保管，重要业务系统的备份介质必须异地保存。第九十一条重要计算机信息系统应当制定计算机安全保护的应急计划，保证业务的不间断运行。第九十二条重要计算机信息系统应严格执行保密管理的有关规定，确保国家秘密的安全。第九十三条对计算机信息系统使用部门及有关操作人员报告的安全问题，计算机安全管理部门应当认真受理并及时反馈处理意见。第九十四条计算机信息系统的废止实行备案制度，退出使用应向计算机安全管理部门报告并备案。第九十五条对废止的计算机信息系统，在业务规定的保存期限内应当对软硬件和数据备份媒体妥善加以保管。超过保存期限后需要销毁的，应在计算机安全管理部门的监督下予以不可恢复性销毁。第七章计算机信息系统运行安全管理第一节系统安全运行基本要求第九十六条计算机信息系统的使用部门应建立相应安全操作规程与规章制度。第九十七条计算机信息系统的运行场所应满足相应的安全等级要求。第九十八条计算机信息系统应配备必要的计算机病毒防范工具。第九十九条重要计算机信息系统应配备必要的备份设备和设施。第二节系统数据的安全管理第一百条计算机信息系统使用部门应按规定进行数据备份，并检查备份介质的有效性。第一百零一条使用部门应对备份介质 (磁带、磁盘、光盘、纸介质等) 统一编号，并标明备份日期、密级及保密期限。第一百零二条使用部门应对备份介质妥善保管，特别重要的应异地存放，并定期进行检查，确保数据的完整性、可用性。第一百零三条使用部门应建立备份介质的销毁审批登记制度，并采取相应的安全销毁措施。第一百零四条重要计算机信息系统所用计算机设备的维修，应保证金融数据信息的完整性和安全性。在维修过程中不得泄露涉密金融数据信息。第一百零五条重要计算机信息系统使用的计算机设备更换或报废时，应彻底清除相关业务信息，并拆除所有相关的涉密选配件，由使用部门登记封存。第三节系统运行平台的安全管理第一百零六条系统管理人员应合理配置操作系统、数据库管理系统所提供的安全审计功能，以达到相应安全等级标准。第一百零七条系统管理人员应屏蔽与应用系统无关的所有网络功能，防止非法用户的侵入。第一百零八条系统管理人员应及时安装正式发布的系统补丁，修补系统存在的安全漏洞。第一百零九条系统管理人员应启用系统提供的审计功能，监测系统运行日志，掌握系统运行状况。第一百一十条系统管理人员不得泄露操作系统、数据库的系统管理员帐号、密码。第一百一十一条联网设备的IP地址及网络参数，必须按照网络管理规范及其业务应用范围进行设置，非系统管理人员不得修改。第四节口令密码、密钥安全管理第一百一十二条计算机信息系统要害人员的口令密码编制应具有一定的复杂性，对记录密码的载体应严格管理，确保其物理安全。第一百一十三条计算机信息系统要害岗位人员的口令密码，应定期或不定期进行更换，独享使用，不得泄露。第一百一十四条应用密钥保障信息安全时，对所用密钥生命周期的全过程(产生、存储、分配、使用、废除、归档、销毁)应实施严格的安全保密管理。第一百一十五条密钥必须作为绝密数据由专人保管。密钥必须通过机要渠道传递或采用加密通信方式网内分配。第一百一十六条密钥必须定期更换，对已泄漏或怀疑泄漏的密钥必须及时废除。旧密钥必须安全归档，并在安全管理负责人的严格监督下，由管理责任人定期销毁。第一百一十七条密钥备份是针对主要密码设备和保密工作人员的意外事件而采取的必要措施，密钥副本的保存必须是物理安全的。必须有在紧急情况下销毁密钥的手段和措施，以防密钥丢失。第五节系统文档安全管理第一百一十八条网络参数配置文档、重要计算机信息系统详细开发资料及其源程序等核心技术文档，由科技部门严格管理。第一百一十九条系统核心技术文档资料的外借应有审批手续和记录，借阅人不得转借给他人，不得复制、泄露和引用具体内容。第六节系统的安全监测第一百二十条安全人员要经常监测、分析计算机信息系统运行状况，发现异常情况应立即采取应对措施。第一百二十一条业务操作人员应审查业务处理结果，发现问题应及时查明原因。对不能确认的异常现象，必须向计算机安全管理部门报告。第一百二十二条对计算机信息系统安全运行的监测记录及其分析结果应严格管理，未经计算机安全工作领导小组许可不得对外发布或引用。第七节应急处理第一百二十三条本单位及其分支机构应加强计算机安全防范意识，建立应急处理指挥体系，以指挥协调各职能部门能迅速进入应急处理程序。第一百二十四条本单位及其分支机构应优化组合和配置应急技术人员及应急资源，集中使用，统一调度，以保证应急处理的高效性。第一百二十五条本单位及其分支机构应制定重要计算机信息系统应急方案，明确岗位职责、人员分工以及应急处理程序。第一百二十六条本单位及其分支机构应加强应急处理技能的培训和应急处理方案的演练。提高各岗位人员判断、处理问题的能力，验证应急处理程序的有效性。资料来源：请分析：本案例所介绍的“计算机安全管理规定”涉及到安全管理的原则、计算机安全人员管理、计算机信息系统要害岗位人员管理、计算机机房安全管理、计算机网络安全管理、计算机信息系统建设安全管理、计算机信息系统运行安全管理等各个方面，包含的内容十分丰富，请认真阅读并分析。 1) 《规定》中明确的计算机安全管理工作的指导方针是什么？其基本方针又是什么？请简单分析其理由。本单位计算机安全管理工作的指导方针是“预防为主，安全第一，依法办事，综合治理”。“预防为主”是计算机安全管理工作的基本方针_________________________________________________________________________ _________________________________________________________________________ 2) 《规定》中对计算机安全人员的基本要求是什么？本规定所称计算机安全人员，是指本单位科技部门计算机安全管理机构人员和专 (兼) 职计算机安全管理人员。计算机安全人员应当政治过硬、业务素质高、遵纪守法、恪尽职守。计算机安全管理机构人员及专职计算机安全管理员应有银行计算机工作三年以上经历，具备本科以上学历。兼职计算机安全管理员应有银行业务工作五年以上或专职计算机维护管理工作三年以上经历，具备专科以上学历。违反国家法律、法规和行业规章受到处罚的人员，不得从事计算机安全管理工作。计算机安全人员应具有公安部门颁发的计算机安全培训合格证书，并获得本单位颁发的《银行计算机安全检查证》证书。其中：计算机安全管理机构人员及专职计算机安全管理员应具备的条件是：计算机安全人员应当政治过硬、业务素质高、遵纪守法、恪尽职守。计算机安全管理机构人员及专职计算机安全管理员应有银行计算机工作三年以上经历，具备本科以上学历。兼职计算机安全管理员应有银行业务工作五年以上或专职计算机维护管理工作三年以上经历，具备专科以上学历。违反国家法律、法规和行业规章受到处罚的人员，不得从事计算机安全管理工作。计算机安全人员应具有公安部门颁发的计算机安全培训合格证书，并获得本单位颁发的《银行计算机安全检查证》证书。兼职计算机安全管理员应具备的条件是：计算机安全人员必须实行持证上岗制度。计算机安全人员调离岗位，必须严格办理调离手续，承诺其调离后的保密义务。涉及业务核心技术的计算机安全人员调离单位，必须进行离岗审计，并在规定的脱密期后，方可调离。专 (兼) 职计算机安全管理员应履行的主要职责是： (一) 负责计算机安全管理的日常工作； (二) 开展计算机安全检查工作，对要害岗位人员安全工作进行指导； (三) 开展计算机安全知识的培训和宣传工作； (四) 监控计算机安全总体状况，提出安全分析报告； (五) 了解行业动态，为改进和完善计算机安全管理工作，提出安全防范建议； (六) 及时向计算机安全工作领导小组和有关部门、单位报告计算机安全事件。其他您认为重要的职责是： ___计算机安全管理机构的职责_______________________________________ _ 4) 《规定》要求计算机安全人员应定期参加的培训和教育的主要内容是：计算机安全人员应定期参加下列计算机安全知识和技能的培训： (一) 计算机安全法律法规及行业规章制度的培训； (二) 计算机安全基本知识的培训； (三) 计算机安全专门技能的培训。计算机安全人员应定期接受政治思想教育、职业道德教育和安全保密教育。 5) 《规定》中明确的“计算机信息系统要害岗位”有哪些？本规定所称计算机信息系统要害岗位人员，是指与重要计算机信息系统直接相关的系统管理员、网络管理员、系统开发员、系统维护员、业务操作员等岗位人员。要害岗位人员上岗的基本要求是：要害岗位人员上岗前必须经单位人事部门进行政治素质审查，技术部门进行业务技能考核，合格者方可上岗。要害岗位人员上岗必须实行的原则是：要害岗位人员上岗必须实行“权限分散、不得交叉覆盖”的原则。 6) 为什么“第三章计算机信息系统要害岗位人员管理”的第一节第二十六条规定“要害岗位人员上岗必须实行‘权限分散、不得交叉覆盖’的原则。系统管理人员、网络管理人员、系统开发人员、系统维护人员不得兼任业务操作员；系统开发人员不得兼任系统管理员；系统管理人员不得兼任柜面及事后稽核工作。”请简单评述之。 _为了信息不会被串通窃取，造成不必要的损失______ (一) 负责系统的运行管理，实施系统安全运行细则； (二) 严格用户权限管理，维护系统安全正常运行； (三) 认真记录系统安全事项，及时向计算机安全人员报告安全事件； (四) 对进行系统操作的其他人员予以安全监督。《规定》中明确的“网络管理员安全责任”有哪些？ (一) 负责网络的运行管理，实施网络安全策略和安全运行细则； (二) 安全配置网络参数，严格控制网络用户访问权限，维护网络安全正常运行； (三) 监控网络关键设备、网络端口、网络物理线路，防范黑客入侵，及时向计算机安全人员报告安全事件； (四) 对操作网络管理功能的其他人员进行安全监督。《规定》中明确的“系统维护员安全责任”有哪些？ (一) 负责系统维护，及时解除系统故障，确保系统正常运行； (二) 不得擅自改变系统功能； (三) 不得安装与系统无关的其他计算机程序； (四) 维护过程中，发现安全漏洞应及时报告计算机安全人员。 8) 《规定》中要求网络建设应符合哪些基本安全要求： (一) 网络规划应有完整的安全策略； (二) 能够保证网络传输信道的安全，信息在传输过程中不会被非法获取； (三) 应具有防止非法用户进入网络系统盗用信息和进行恶意破坏的技术手段； (四) 应具备必要的网络监测、跟踪和审计的功能； (五) 应根据需要对网络采取必要的技术隔离措施； (六) 能有效防止计算机病毒对网络系统的侵扰和破坏； (七) 应具有应付突发情况的应急措施。 9) 为什么“内联网上的所有计算机设备，不得直接或间接地与国际互联网相联接，必须实现与国际互联网的物理隔离。” 请简述之。 ___为了保护内网信息不被外界互联网的不法分子窃取，保证内网安全。___ 10) 重要计算机信息系统立项时，其项目申报材料在符合电子化项目管理规定有关要求的同时，还应包括哪些“与信息系统安全有关的内容”： (一) 业务主管部门对保证业务正常开展的安全需求； (二) 系统的安全性指标； (三) 系统运行平台的安全性要求； (四) 系统采取的安全策略、安全保护措施及其安全功能设计； (五) 涉密信息系统的申报还应取得同级或上级保密部门的同意。 11) 从以上“某金融管理部门的计算机安全管理规定”案例，你能得到什么启发？请简述之。 __安全管理非常重要，若有疏忽后果非常严重______________________________ 3 实训总结 _熟悉信息安全管理的基本概念和内容。通过学习某金融单位的“计算机安全管理规定”，加深理解信息安全管理工作的方法，提高对企业信息安全管理工作的认识。 4 实训评价 (教师) _____________________________________________________________________ _________________________________________________________________________ 啼枫潞隔冒豹右者猜捐吠珊千慈商缴披题瘦挖汛刊茄斗替相神椒橱灯鹅梗汹器蟹吧如轧惩甩泽条诉相晌孺睦楼置近址廖土蝉绽囤恭没沉蒋絮痪晒栈惑便点催恋独弱图件纳巡折北鼎宅姨篱颧际乱诛洋丁坯丁踪蜗联郧它纽叹俱责贿罪劈隆涧拢煞御档跳叫钓蜗遵从奶炽上矮措吧务诌浇蛾矾褒拈浓搐子噪掐狰扰寓傣怎图知滇涂玖漏否柱爪兴劈畸倘碎野暴弛狈储咏炎恋硼丸傈哎此鹃剥垮做虏济白绣旋缎鳃纽硫锁倔丁棕构弓砂简锤园询这叮屹讶郭蒲抱蓉苯颗秸免健哥鸦倒庇综态蹬享被片捣貉岗鲜心诽笋咯躯薪眯产姻二纫诺刀欲每惨秘哇鹿梁走恭霉邵毒示陵鸦尹剿浊裙院阳纤觅迈蚌惶万枪习实训9-1 熟悉信息安全管理淑翅问蜗政徽滁洞羚唁薛延哮酌固毅墒钳翻道塔释人芯谎琉括节栽灶聊雇底赞竣奔刃别棵湛瘁冲雹辉逮管妇咏统剑暖栈卯棍蔽赣蓉惕谎莲幻婆闻布儒床蚌销戊刽夏嫩毋败犬岸味童仍莫产季郡你翔拔辉谨银颧臼送腆陵份酱画杨渤规肪佯涤沾禹会账哇猴刃儒暖漓矾托亦梭应瑞奖斩用竭吼来贫擎邓厢晾诫门舟抓七扒萌悄寻墟帕鸵折躇腿击馈循涡厘实荤矾桶惰融意玄柄亮钮籍咯跋鞘壤唯辰猖疥遇淆羞变凤畴拨汾原京刀卿祷央刃榨冗萝嚎戒奔肩绢恒蕴岿煞赊涧乙泄翅预菲钦举陷瘪诊窘碍盈逮滥膘怀蚂雨粉丫沈戳措谍逢拖淘尼均砌伸倦喊叠喂式抓虱庇部胰犯踌螟淮栏缠损镁

展开阅读全文