除网络安全相关的法律法规和评估以外,其原则和制度也是安全防范的一项重要内容。现阶段仍有很多企事业机构没有建立健全专门的管理机构、制度和规范,甚至有些管理员或用户还在使用系统默认设置,使系统面临严重的安全风险。
强化网络安全,应当遵守 网络安全管理基本原则 :
网络安全的指导原则
(l)多人负责的原则
为了确保网络安全、职责明确,对各种与网络安全有关的事项,如同管理重要钱物一样应由多人分管负责并在现场当面认定签发。系统主管领导应忠诚可靠、能力强;网络系统安全负责人应具有丰富的工作经验,同时明确安全指标、岗位职责和任务;安全管理员应及时签署安全工作情况记录,以及安全工作保障落实和完成情况。
需要签发的与安全有关的主要事项 包括:
1)全部处理的任何与保密有关的信息。
2)信息处理系统使用的媒介发放与收回。
3)访问控制使用的证件发放与收回。
4)系统软件的设计、实现、修改和维护。
5)业务应用软件和硬件的修改和维护。
6)重要程序和数据的增删改与销毁等。
(2)有限任期原则
网络安全人员不宜长期担任与安全相关的职务,以免产生永久“保险”职位的观念,可通过强制休假、培训或轮换岗位等方式适当调整。
(3)坚持职责分离的原则
网络系统重要相关人员应各司其职、各负其责、业务权限及分工各异,除了主管领导批准的特殊情况之外,不应询问或参与职责以外与网络安全有关的事务。 任何以下两项工作都应分开,由不同人员完成 :
1)网络系统和应用系统的研发与实现。
2)具体业务处理系统的检查及验收。
3)重要数据和文件等具体业务操作。
4)计算机网络管理和系统维护工作。
5)机密资料的接收和传送。
6)具体的安全管理和系统管理。
7)系统访问证件的管理与其他工作。
8)业务操作与数据处理系统使用存储介质的保管等。
网络系统安全管理部门应根据管理原则和系统处理数据的保密性要求,制定相应的管理制度,并采取相应的 网络安全管理规范 。包括以下内容:
1)根据业务的重要程度,测评系统的具体安全等级。
2)由其安全等级,确定安全管理的具体范围和侧重点。
3)规范和完善“网络/信息中心”机房出入管理制度。
对于安全等级要求较高的系统,应实行分区管理与控制,限制工作人员出入与本职业务无直接关系的重要安全区域。
(4)严格管理操作规程
应当严格执行管理操作规程的规定和要求,坚持职责分离和多人负责等原则,所有业务人员都应做到各司其职、各负其责,不能超越各自管辖的权限范围。特别是国家安全保密机构、银行、证券等单位和财务机要部门等。
(5)网络系统安全监测和审计制度
建立健全网络系统安全监测和审计制度,确保系统安全,并能够及时发现、及时处理。
(6)建立健全网络系统维护制度
在网络系统维护之前须经主管部门批准,并采取数据保护措施,如数据备份等。在系统维护时,必须有网络安全管理人员在场,对于故障的原因、维护内容和维护前后的情况应详细认真记录并进行签字确认。
(7)完善应急措施
制定并执行网络系统出现意外紧急情况时的应急预案,有尽快恢复的应急对策,并将损失减到最小限度。同时建立健全相关人员聘用和离职调离安全保密制度,对工作调动和离职人员要及时调整并进行相应的权限控制。
网络安全管理机构及规章制度是各级组织和制度的根本保障。 网络安全管理制度 包括人事资源管理、资产物业管理、教育培训、资格认证、人事考核鉴定制度、动态运行机制、日常工作规范、岗位责任制度等。
1.完善管理机构和岗位责任制
网络安全涉及整个企事业机构及系统的安全、声誉、效益和影响。网络系统安全保密工作最好由单位主要领导负责,必要时设置专门机构,如网络安全管理中心等,协助主要领导管理。对于重要单位或要害部门的安全保密工作,分别由安全、保密、保卫及技术部门分工负责。所有领导机构、重要网络系统的安全组织机构,包括网络安全审查机构、安全决策机构、安全管理机构,都要建立和健全各项规章制度。
完善专门的网络安全防范组织和人员。各机构应设立相应的网络安全管理委员会或安全小组、安全员。网络安全组织成员应由主管领导、公安保卫、信息中心、人事、审计等部门的工作人员组成,必要时可聘请相关部门的专家。网络安全组织也可成立专门的独立认证机构。对安全组织的成立、成员的变动等应定期向公安网络安全监察部门报告。对计算机信息系统中发生的案件,应当在规定时间内向当地区(县)级及以上公安机关报告,并接受公安机关对网络系统有害数据防治工作的监督、检查和指导。
相关组织机构及岗位职责
制定相关人员岗位责任制,制定严格的管理制度、纪律,执行管理和职责分工的原则,不准串岗、兼岗,严禁程序设计师同时兼任系统操作员,严格禁止系统管理员、终端操作员和系统设计人员混岗和作业等。
网络安全管理专职人员具体负责本系统区域内网络安全策略的实施,保证网络安全策略长期有效:负责网络系统软硬件的安装维护、日常操作监视、应急安全措施的恢复和风险分析等;负责整个系统的安全,对整个系统的授权、修改、特权、口令、违章报告、报警记录处理、控制台日志审阅负责,遇到重大问题不能解决时要及时向主管领导报告。
网络安全审计人员监视系统运行情况,收集对系统资源的各种非法访问事件,并对非法事件记录、分析和处理,及时将审计事件及时上报主管部门。
保安人员负责非技术性常规安全工作,如系统场所的警卫、办公安全、出入门验证等。
2.健全网络安全管理规章制度
网络安全管理规章制度应当建立健全和完善,并认真贯彻落实。常用的 网络安全管理规章制度 主要包括以下7个方面:
1) 网络系统运行维护管理制度 。包括设备管理维护制度、软件维护制度、用户管理制度、密钥管理制度、出入门卫值班制度、各种操作规程及守则、各种行政领导部门定期检查或监督制度。机要重地的机房应规定双人进出及不准单人在机房操作计算机的制度。机房门加双锁,保证两把钥匙同时使用才能打开机房。信息处理机要专机专用,不允许兼作其他用途。终端操作员因故离开必须退出登录界面,避免其他人员非法使用。
2) 主机处理控制管理制度 。包括编制及控制数据处理流程、程序软件和数据的管理、拷贝移植和存储介质的管理、文件档案日志的标准化和通信网络系统的管理。
3) 文档资料管理制度 。必须妥善保管和严格控制各种凭证、单据、账簿、报表和文字资料,交叉复核记账,相关人员所掌握的资料要与其职责一致,如终端操作员只能阅读终端操作规程、手册,只有系统管理员才能使用系统手册。
4)建立健全 操作及管理人员的管理制度 。主要包括:
①指定使用和操作设备或服务器,明确工作职责、权限和范围。
②程序员、系统管理员、操作员岗位分离且不混岗。
③禁止在系统运行的机器上做与工作无关的操作。
④不越权运行程序,不应查阅无关参数。
⑤对于偶尔出现的操作异常应立即报告。
⑥建立和完善工程技术人员的管理制度。
⑦当相关人员调离时,应采取相应的安全管理措施。如人员调离时马上收回钥匙、移交工作、更换口令、取消账号,并向被调离的工作人员申明其保密义务。
5) 机房安全管理规章制度 。建立健全的机房管理规章制度,经常对有关人员进行安全教育与培训,定期或随机进行安全检查。机房管理规章制度主要包括:机房门卫管理、机房安全、机房卫生、机房操作管理等。
6)其他的 重要管理制度 。主要包括:系统软件与应用软件管理制度、数据管理制度、密码口令管理制度、网络通信安全管理制度、病毒的防治管理制度、实行安全等级保护制度、实行网络电子公告系统的用户登记和信息管理制度、对外交流维护管理制度等。
7) 风险分析及安全培训制度 。主要包括:
①定期进行风险分析,制定意外灾难应急恢复计划和方案,如关键技术人员的多种联络方法、备份数据的取得、系统重建的组织。
②建立安全考核培训制度。除了对关键岗位的人员和新员工进行考核之外,还要定期进行网络安全方面的法律教育、职业道德教育和安全技术更新等方面的教育培训。
对于从事涉及国家安全、军事机密、财政金融或人事档案等重要信息的工作人员更要重视安全教育,并挑选可靠、素质好的人员担任。
3.坚持合作交流制度
网络运营商是网络服务的提供者,有维护互联网安全的责任,应发挥互联网积极、正面的作用。各级政府也有责任为企业和消费者创造一个共享、安全的网络环境。同时也需要行业组织、企业和各利益相关方的共同努力。因此,应当大力加强与相关业务往来单位和安全机构的合作与交流,密切配合共同维护网络安全,及时获得必要的安全管理信息和专业技术支持与更新。国内外也应当进一步加强交流与合作,拓宽网络安全国际合作渠道,建立政府、网络安全机构、行业组织及企业之间多层次、多渠道、齐抓共管的合作机制。
讨论思考
1)网络安全管理必须坚持哪些具体原则?
2)怎样建立健全网络安全管理规章制度?
本部分小结及答案