第一篇：網(wǎng)絡(luò)管理員十大內(nèi)網(wǎng)安全策略

網(wǎng)絡(luò)管理員十大內(nèi)網(wǎng)安全策略

1、限制VPN的訪問

虛擬專用網(wǎng)(VPN)用戶的訪問對內(nèi)網(wǎng)的安全造成了巨大的威脅。因為它們將弱化的桌面操作系統(tǒng)置于企業(yè)防火墻的防護(hù)之外。很明顯VPN用戶是可以訪問企業(yè)內(nèi)網(wǎng)的。因此要避免給每一位VPN用戶訪問內(nèi)網(wǎng)的全部權(quán)限。這樣可以利用登錄控制權(quán)限列表來限制VPN用戶的登錄權(quán)限的級別，即只需賦予他們所需要的訪問權(quán)限級別即可，如訪問郵件服務(wù)器或其他可選擇的網(wǎng)絡(luò)資源的權(quán)限。

2、注意內(nèi)網(wǎng)安全與網(wǎng)絡(luò)邊界安全的不同

內(nèi)網(wǎng)安全的威脅不同于網(wǎng)絡(luò)邊界的威脅。網(wǎng)絡(luò)邊界安全技術(shù)防范來自Internet上的攻擊，主要是防范來自公共的網(wǎng)絡(luò)服務(wù)器如HTTP或SMTP的攻擊。網(wǎng)絡(luò)邊界防范(如邊界防火墻系統(tǒng)等)減小了資深黑客僅僅只需接入互聯(lián)網(wǎng)、寫程序就可訪問企業(yè)網(wǎng)的幾率。內(nèi)網(wǎng)安全威脅主要源于企業(yè)內(nèi)部。惡性的黑客攻擊事件一般都會先控制局域網(wǎng)絡(luò)內(nèi)部的一臺Server，然后以此為基地，對Internet上其他主機(jī)發(fā)起惡性攻擊。因此，應(yīng)在邊界展開黑客防護(hù)措施，同時建立并加強(qiáng)內(nèi)網(wǎng)防范策略。

3、自動跟蹤的安全策略

智能的自動執(zhí)行實(shí)時跟蹤的安全策略是有效地實(shí)現(xiàn)網(wǎng)絡(luò)安全實(shí)踐的關(guān)鍵。它帶來了商業(yè)活動中一大改革，極大的超過了手動安全策略的功效。商業(yè)活動的現(xiàn)狀需要企業(yè)利用一種自動檢測方法來探測商業(yè)活動中的各種變更，因此，安全策略也必須與相適應(yīng)。例如實(shí)時跟蹤企業(yè)員工的雇傭和解雇、實(shí)時跟蹤網(wǎng)絡(luò)利用情況并記錄與該計算機(jī)對話的文件服務(wù)器?？傊?，要做到確保每天的所有的活動都遵循安全策略。

4、為合作企業(yè)網(wǎng)建立內(nèi)網(wǎng)型的邊界防護(hù)

合作企業(yè)網(wǎng)也是造成內(nèi)網(wǎng)安全問題的一大原因。例如安全管理員雖然知道怎樣利用實(shí)際技術(shù)來完固防火墻，保護(hù)MS-SQL，但是Slammer蠕蟲仍能侵入內(nèi)網(wǎng)，這就是因為企業(yè)給了他們的合作伙伴進(jìn)入內(nèi)部資源的訪問權(quán)限。由此，既然不能控制合作者的網(wǎng)絡(luò)安全策略和活動，那么就應(yīng)該為每一個合作企業(yè)創(chuàng)建一個DMZ，并將他們所需要訪問的資源放置在相應(yīng)的DMZ中，不允許他們對內(nèi)網(wǎng)其他資源的訪問。

5、關(guān)掉無用的網(wǎng)絡(luò)服務(wù)器

大型企業(yè)網(wǎng)可能同時支持四到五個服務(wù)器傳送e-mail，有的企業(yè)網(wǎng)還會出現(xiàn)幾十個其他服務(wù)器監(jiān)視SMTP端口的情況。這些主機(jī)中很可能有潛在的郵件服務(wù)器的攻擊點(diǎn)。因此要逐個中斷網(wǎng)絡(luò)服務(wù)器來進(jìn)行審查。若一個程序(或程序中的邏輯單元)作為一個window文件服務(wù)器在運(yùn)行但是又不具有文件服務(wù)器作用的，關(guān)掉該文件的共享協(xié)議。

6、首先保護(hù)重要資源

若一個內(nèi)網(wǎng)上連了千萬臺(例如30000臺)機(jī)子，那么要期望保持每一臺主機(jī)都處于鎖定狀態(tài)和補(bǔ)丁狀態(tài)是非常不現(xiàn)實(shí)的。大型企業(yè)網(wǎng)的安全考慮一般都有擇優(yōu)問題。這樣，首先要對服務(wù)器做效益分析評估，然后對內(nèi)網(wǎng)的每一臺網(wǎng)絡(luò)服務(wù)器進(jìn)行檢查、分類、修補(bǔ)和強(qiáng)化工作。必定找出重要的網(wǎng)絡(luò)服務(wù)器(例如實(shí)時跟蹤客戶的服務(wù)器)并對他們進(jìn)行限制管理。這樣就能迅速準(zhǔn)確地確定企業(yè)最重要的資產(chǎn)，并做好在內(nèi)網(wǎng)的定位和權(quán)限限制工作。

7、建立可靠的無線訪問

審查網(wǎng)絡(luò)，為實(shí)現(xiàn)無線訪問建立基礎(chǔ)。排除無意義的無線訪問點(diǎn)，確保無線網(wǎng)絡(luò)訪問的強(qiáng)制性和可利用性，并提供安全的無線訪問接口。將訪問點(diǎn)置于邊界防火墻之外，并允許用戶通過VPN技術(shù)進(jìn)行訪問。

8、建立安全過客訪問

對于過客不必給予其公開訪問內(nèi)網(wǎng)的權(quán)限。許多安全技術(shù)人員執(zhí)行的“內(nèi)部無Internet訪問”的策略，使得員工給客戶一些非法的訪問權(quán)限，導(dǎo)致了內(nèi)網(wǎng)實(shí)時跟蹤的困難。因此，須在邊界防火墻之外建立過客訪問網(wǎng)絡(luò)塊。

9、創(chuàng)建虛擬邊界防護(hù)

主機(jī)是被攻擊的主要對象。與其努力使所有主機(jī)不遭攻擊(這是不可能的)，還不如在如何使攻擊者無法通過受攻擊的主機(jī)來攻擊內(nèi)網(wǎng)方面努力。于是必須解決企業(yè)網(wǎng)絡(luò)的使用和在企業(yè)經(jīng)營范圍建立虛擬邊界防護(hù)這個問題。這樣，如果一個市場用戶的客戶機(jī)被侵入了，攻擊者也不會由此而進(jìn)入到公司的R&D。因此要實(shí)現(xiàn)公司R&D與市場之間的訪問權(quán)限控制。大家都知道怎樣建立互聯(lián)網(wǎng)與內(nèi)網(wǎng)之間的邊界防火墻防護(hù)，現(xiàn)在也應(yīng)該意識到建立網(wǎng)上不同商業(yè)用戶群之間的邊界防護(hù)。

10、可靠的安全決策

網(wǎng)絡(luò)用戶也存在著安全隱患。有的用戶或許對網(wǎng)絡(luò)安全知識非常欠缺，例如不知道RADIUS和TACACS之間的不同，或不知道代理網(wǎng)關(guān)和分組過濾防火墻之間的不同等等，但是他們作為公司的合作者，也是網(wǎng)絡(luò)的使用者。因此企業(yè)網(wǎng)就要讓這些用戶也容易使用，這樣才能引導(dǎo)他們自動的響應(yīng)網(wǎng)絡(luò)安全策略。

第二篇：網(wǎng)絡(luò)安全策略十大原則

網(wǎng)絡(luò)安全策略的十大原則

1.木桶原則：是指要對企業(yè)網(wǎng)絡(luò)安全進(jìn)行均衡全面的保護(hù)。因為任何一方面的缺失或不完全都有可能影響到其他方面的保護(hù)效果。

2.整體性原則：這一原則要求我們在進(jìn)行安全策略設(shè)計時充分考慮各種安全配套措施的整體一致性，不要顧此失彼。既要重視對攻擊的防御，又要考慮在網(wǎng)絡(luò)遭受攻擊、破壞后，快速回復(fù)網(wǎng)絡(luò)信息中心的服務(wù)，減少損失。

3.均衡性原則：對于任何網(wǎng)絡(luò)而言，絕對安全難以達(dá)到，也不一定是必要的，所以需要建立合理的使用安全性與用戶需求評價和平衡體系。

4.可行性原則：任何一個企業(yè)在網(wǎng)絡(luò)安全需求方面都有它獨(dú)特性，對于網(wǎng)絡(luò)安全系統(tǒng)的部署成本也有不同的承受能力。我們不能一味的花高代價來部署安全性的防護(hù)系統(tǒng)，而應(yīng)結(jié)合企業(yè)的實(shí)際安全需求進(jìn)行綜合評價。

5.等級性原則：等級是指安全層次和安全級別。良好的安全系統(tǒng)必然是分為不同等級的，包括對信息保密程度分級，對用戶操作權(quán)限分級，對網(wǎng)絡(luò)安全程度分級（安全子網(wǎng)和安全區(qū)域），對系統(tǒng)實(shí)現(xiàn)結(jié)構(gòu)的分級（應(yīng)用層、網(wǎng)絡(luò)層、鏈路層等），從而針對不同級別的安全對象，提供全面、可選的安全算法和安全體制，以滿足網(wǎng)絡(luò)中不同層次的各種實(shí)際需求。

6.一致性原則：安全防護(hù)系統(tǒng)是一個龐大的系統(tǒng)工程，其安全體系的設(shè)計必須遵循一系列的標(biāo)準(zhǔn)，只有這樣才能確保各個分系統(tǒng)的一致性，使整個系統(tǒng)安全的互聯(lián)互通、信息共享。

7.易操作性原則：首先，安全措施需要人去完成，如果措施過于復(fù)雜，對人的要求過高，本身就降低了安全性。其次，措施的采用不能影響系統(tǒng)的正常運(yùn)行。

8.技術(shù)與管理相結(jié)合原則：安全防護(hù)體系是一個復(fù)雜的系統(tǒng)工程，涉及人力、技術(shù)、操作和管理等方面的因素，單靠技術(shù)或單靠管理都不可能實(shí)現(xiàn)，因此，必須將各種安全技術(shù)與運(yùn)行管理機(jī)制、人員思想教育與技術(shù)培訓(xùn)、安全規(guī)章制度建設(shè)結(jié)合起來全盤考慮。9.統(tǒng)籌規(guī)劃，分布實(shí)施原則：在部署安全防護(hù)策略是可考慮現(xiàn)在一個比較全面的安全規(guī)劃下，根據(jù)網(wǎng)絡(luò)的實(shí)際需要建立基本的安全體系，保證基本的、必需的安全性，然后隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大及應(yīng)用的增加，網(wǎng)絡(luò)應(yīng)用的復(fù)雜程度變化，調(diào)整或曾倩安全防護(hù)力度，保證整個網(wǎng)絡(luò)最根本的安全需求。

10.動態(tài)發(fā)展原則：在制定策略時要明確要根據(jù)網(wǎng)絡(luò)的發(fā)展變化和企業(yè)自身實(shí)力的不斷增強(qiáng)，對安全系統(tǒng)進(jìn)行不斷的調(diào)整，以適應(yīng)新的網(wǎng)絡(luò)環(huán)境，滿足新的網(wǎng)絡(luò)安全需求。

第三篇：網(wǎng)絡(luò)管理員減負(fù)法寶 內(nèi)網(wǎng)管理方案

網(wǎng)絡(luò)管理員減負(fù)法寶 內(nèi)網(wǎng)管理方案

內(nèi)網(wǎng)的安全一直是令人頭疼的問題，尤其對一些有密級的單位，即使使用了物理隔離設(shè)備，也不能杜絕病毒木馬的侵害，甚至黑客的攻擊，給網(wǎng)管員的工作帶來了很多的麻煩。

清文是一政府機(jī)構(gòu)的網(wǎng)絡(luò)管理員，和筆者炫耀說，在實(shí)現(xiàn)了內(nèi)網(wǎng)管理后，維護(hù)的機(jī)器少了，工作量也減小了。以前上班忙的暈頭轉(zhuǎn)向，這邊的機(jī)器正常了，那邊又出了問題，剛回到座位，電話又響了。現(xiàn)在可好了，網(wǎng)絡(luò)速度明顯加快，是原來速 度的二到三倍，遭受病毒木馬攻擊少了九成以上，機(jī)器偶爾會有些小問題。他個人的工作也有條不紊，還有充電學(xué)習(xí)的時間了。

內(nèi)網(wǎng)管理的定義：

由此可見，內(nèi)網(wǎng)管理是非常必要的。那什么是內(nèi)網(wǎng)管理呢？內(nèi)網(wǎng)管理就是企業(yè)內(nèi)部網(wǎng)絡(luò)的管理，就是監(jiān)督、組織和控制局域網(wǎng)網(wǎng)絡(luò)通信服務(wù)，目的是確保計算機(jī)網(wǎng)絡(luò)的持續(xù)正常運(yùn)行，并在計算機(jī)網(wǎng)絡(luò)運(yùn)行出現(xiàn)異常時能及時響應(yīng)和排除故障。一般包括配置管理、性能管理、安全管理、故障管理等。安全管理是內(nèi)網(wǎng)管理中的一個重要內(nèi)容，正受到業(yè)界及用戶的廣泛關(guān)注。除了建立一套安全防護(hù)系統(tǒng)外，網(wǎng)絡(luò)安全制度的建立和人員安全意識的培養(yǎng)也是不可少的。內(nèi)網(wǎng)管理的現(xiàn)狀：

在網(wǎng)絡(luò)應(yīng)用的深入和技術(shù)頻繁升級的同時，非法訪問、惡意攻擊等安全威脅也在不斷推陳出新，愈演愈烈。由于很多企業(yè)缺乏有效的管理機(jī)制，像BT、電驢等下載軟件占用大量的帶寬，造成網(wǎng)絡(luò)阻塞，影響了正常業(yè)務(wù)的開辦。有些部門的數(shù)據(jù)存在很強(qiáng)的機(jī)密性，比如財務(wù)和人事檔案，卻沒有任何保護(hù)措施，造成機(jī)密文件被盜時有發(fā)生。病毒的肆虐，木馬的橫行，致使員工抱怨，老板憤怒，下載緩慢，業(yè)務(wù)受損，甚至企業(yè)陷入癱瘓。另一方面網(wǎng)絡(luò)中的設(shè)備、操作系統(tǒng)、應(yīng)用系統(tǒng)數(shù)量眾多、構(gòu)成復(fù)雜，差異性非常大，而且各自都具有自己的控制管理平臺，網(wǎng)管員需要學(xué)習(xí)、了解不同平臺的使用及管理方法，并應(yīng)用這些管理控制平臺去管理網(wǎng)絡(luò)中的對象(設(shè)備、系統(tǒng)、用戶等)，也為管理帶來了相當(dāng)大的難度。內(nèi)網(wǎng)管理的內(nèi)容：

借助于好的網(wǎng)管軟件，對網(wǎng)絡(luò)的結(jié)構(gòu)和設(shè)備的圖形化管理就變得容易多了。它能夠直觀顯示、監(jiān)控和前瞻性的管理網(wǎng)絡(luò)。還可以通過VLAN的設(shè)置將局域網(wǎng)設(shè)備從邏輯上劃分成一個個網(wǎng)段，將不同的工作區(qū)域劃分開，實(shí)現(xiàn)對數(shù)據(jù)的安全保護(hù)。通過軟件對網(wǎng)絡(luò)內(nèi)部流量監(jiān)控和數(shù)據(jù)分析，可以幫助我們查看非法的進(jìn)程和服務(wù)，并禁止屏蔽掉，釋放帶寬，保障正常業(yè)務(wù)的順利進(jìn)行。建立一套有效的網(wǎng)絡(luò)管理制度，包括對員工的管理，提高他們的工作效率，做好安全防護(hù)，使用防火墻、VPN、IDS、防病毒、身份認(rèn)證、數(shù)據(jù)加密、安全審計等措施和管理系統(tǒng)。為更好的開展企業(yè)業(yè)務(wù)，提高企業(yè)運(yùn)行效率做好服務(wù)。內(nèi)網(wǎng)管理帶來的好處：

有了高效的內(nèi)網(wǎng)管理機(jī)制后，不但減輕了網(wǎng)管員的工作負(fù)擔(dān)，而且有利于員工專心工作，玩游戲，聊天做和工作無關(guān)的人少了，遭受病毒木馬攻擊的機(jī)會也少了，整體的工作效率提高了。而且大大提高了企業(yè)生產(chǎn)力。高效而有序的企業(yè)網(wǎng)絡(luò)，對業(yè)務(wù)發(fā)展起到了很強(qiáng)的支撐作用。

第四篇：信息安全策略

信息安全策略

是一個有效的信息安全項目的基礎(chǔ)。從信息安全領(lǐng)域中發(fā)生的事件來看，信息安全策略的核心地位變得越來越明顯。例如，沒有安全策略，系統(tǒng)管理員將不能安全的安裝防火墻。策略規(guī)定了所允許的訪問控制、協(xié)議以及怎樣記錄與安全有關(guān)的事件。盡管信息安全策略是廉價的實(shí)施控制方式，但它們也是最難實(shí)施的。策略花費(fèi)的僅僅是創(chuàng)建、批準(zhǔn)、交流所用的時間和精力，以及員工把策略整合形成日常行為規(guī)范所用的時間和精力。即使是雇傭外部顧問來輔助制定策略，與其它控制方法（特別是技術(shù)控制）相比，其花費(fèi)也是較小的。策略的制定需要達(dá)成下述目標(biāo)：減少風(fēng)險，遵從法律和規(guī)則，確保組織運(yùn)作的連續(xù)性、信息完整性和機(jī)密性。

信息安全策略應(yīng)主要依靠組織所處理和使用的信息特性推動制定。組織為高層主管、董事會成員、戰(zhàn)略伙伴以及員工提供了內(nèi)部信息系統(tǒng)，對信息系統(tǒng)中信息特性的理解，能為策略制定提供有用的依據(jù)。應(yīng)當(dāng)重視對信息系統(tǒng)了解深刻的員工，所提出的組織當(dāng)前信息的主要特性，具體包括：什么信息是敏感的、什么信息是有價值的以及什么信息是關(guān)鍵的。

在制定一整套信息安全策略時，應(yīng)當(dāng)參考一份近期的風(fēng)險評估或信息審計，以便清楚了解組織當(dāng)前的信息安全需求。對曾出現(xiàn)的安全事件的總結(jié)，也是一份有價值的資料。也需要召開相關(guān)人員會議，比如首席信息官、物理安全主管、信息安全主管、內(nèi)部審計主管和人力資源主管等。

為了確定哪些部分需要進(jìn)一步注意，應(yīng)收集組織當(dāng)前所有相關(guān)的策略文件，例如計算機(jī)操作策略、應(yīng)用系統(tǒng)開發(fā)策略、人力資源策略、物理安全策略。也可以參考國際標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)來獲得指導(dǎo)。

資料收集階段的工作非常重要，很多時候因為工作量和實(shí)施難度被簡化操作。資料收集不全，調(diào)研不夠充分會導(dǎo)致新建的信息安全策略無法與組織的真正需求一致。也無法確保策略中的要求與管理目標(biāo)相一致。如果提出一套與組織文化明顯不一致的策略，更是一件很尷尬的事情。

在制定策略之前，對現(xiàn)狀進(jìn)行徹底調(diào)研的另一個作用是要弄清楚內(nèi)部信息系統(tǒng)體系結(jié)構(gòu)。信息安全策略應(yīng)當(dāng)與已有的信息系統(tǒng)結(jié)構(gòu)相一致，并對其完全支持。這一點(diǎn)不是針對信息安全體系結(jié)構(gòu)，而是針對信息系統(tǒng)體系結(jié)構(gòu)。信息安全策略一般在信息系統(tǒng)體系結(jié)構(gòu)確立以后制定，以保障信息安全體系實(shí)施、運(yùn)行。例如，互聯(lián)網(wǎng)訪問控制策略可使安全體系結(jié)構(gòu)具體化，也有利于選擇和實(shí)施恰當(dāng)?shù)姆阑饓Ξa(chǎn)品。

收集完上面所提到的材料后，也就是調(diào)研階段完成后，開始根據(jù)前期的調(diào)研資料制定信息安全策略文檔初稿。初稿完成后，應(yīng)當(dāng)尋找直接相關(guān)人員對其進(jìn)行小范圍的評審。對反饋意見進(jìn)行修改后，逐漸的擴(kuò)大評審的范圍。當(dāng)所有的支持部門做出修改后，交由信息安全管理委員會評審。

信息安全策略的制定過程有很高的政策性和個性，反復(fù)的評審過程能夠讓策略更加清晰、簡潔，更容易落地，為此在評審的過程中需要調(diào)動參與積極性，而不是抵觸。

評審過程的最后一步一般由總經(jīng)理、總裁、首席執(zhí)行官簽名。在人員合同中應(yīng)當(dāng)表明能予遵守并且這是繼續(xù)雇傭的條件。也應(yīng)當(dāng)發(fā)放到內(nèi)部服務(wù)器、網(wǎng)頁以及一些宣傳版面上的顯眼位置，并附有高層管理者的簽名，以表明信息安全策略文檔

得到高層領(lǐng)導(dǎo)強(qiáng)有力的支持。如果讓首席執(zhí)行官簽名不現(xiàn)實(shí)，由首席信息官簽名也可以。要注意僅有信息安全部門主管或同級的部門主管簽名，一般不足以表明高層管理者的同意和支持。雖然獲得高層管理者的同意很難實(shí)施，但經(jīng)驗表明，高層的支持對策略的實(shí)施落地是非常重要的。

一般來說，在信息安全策略文件評審過程中，會得到組織內(nèi)部各方多次評審和修訂，其中最為重要的是信息安全管理委員會。信息安全委員會一般由信息部門人員組成，參與者一般包括以下部門的成員：信息安全、內(nèi)部審計、物理安全、信息系統(tǒng)、人力資源、法律、財政和會計部。這樣一個委員會本質(zhì)上是監(jiān)督信息安全部門的工作，負(fù)責(zé)篩選提煉已提交的策略，以便在整個組織內(nèi)更好的實(shí)施落地。如果組織內(nèi)還沒有信息安全管理委員會，在制定信息安全策略的時候正是建立管理委員會的好時機(jī)，或由組織內(nèi)已存在的同職能部門擔(dān)任職責(zé)。

雖然制定了新的安全策略，還必須有一個適當(dāng)?shù)膶?shí)施過程，如果這些策略不能得到實(shí)施，將起不到任何作用，不能得到執(zhí)行的策略，可能比完全沒有策略更糟糕，因為這樣會教會員工作假和質(zhì)疑組織內(nèi)部執(zhí)行力，這也可能麻痹管理者認(rèn)為信息安全為題已經(jīng)處理雖然現(xiàn)實(shí)是另外一回事。

管理層常以為員工行為當(dāng)然以組織利益為重，這是一個欠考慮的想法。雖然策略不可能影響員工的個人價值觀，但管理層可以運(yùn)用策略給員工提供機(jī)會，引導(dǎo)他們和組織的利益一致。策略告訴員工組織對他們的期望是什么。

新策略發(fā)布前，應(yīng)在內(nèi)部信息技術(shù)部門或?qū)徲嫴块T內(nèi)討論如果具體實(shí)施。新策略的執(zhí)行可能會遇到多樣化的問題。可以通過績效評估和相應(yīng)獎懲制度來保證策略的執(zhí)行有效性。發(fā)現(xiàn)和懲罰違反策略的員工并不是目的。如果大量的人都不遵守，這就表明策略和相關(guān)的意識提升是無效的。在此情形下，需要尋找更有效的方式實(shí)施，或修改策略，以便更好的反映組織文化。

另有一些策略實(shí)施的建議：

在組織內(nèi)部網(wǎng)站或一些媒體發(fā)布策略—新策略應(yīng)發(fā)布在組織內(nèi)部網(wǎng)站上，加入相關(guān)鏈接讓用戶能很快定位感興趣的材料。

制定自我評估調(diào)查表—在新的策略實(shí)施時，制定評估表，填寫實(shí)施情況，就能明確哪些部門沒有遵守好、哪些地方需要額外加強(qiáng)控制。

制定遵守信息安全策略的員工協(xié)議表——應(yīng)當(dāng)編輯一個反映員工該如何遵守信息安全策略的法律協(xié)議表，或直接體現(xiàn)在員工合同中。

建立考察機(jī)制檢查員工是否理解策略——調(diào)查員工是否理解安全策略文檔中的重點(diǎn)。通過考試確定是否要增加培訓(xùn)和通告。

基礎(chǔ)信息安全培訓(xùn)課程——培訓(xùn)課程通過錄像或培訓(xùn)軟件存檔。不同策略對象可能要不同的培訓(xùn)課程。

分配策略落實(shí)負(fù)責(zé)人——按部門或?qū)嶋H情況分配負(fù)責(zé)人，落實(shí)責(zé)任。

第五篇：管理信息系統(tǒng)安全策略

管理信息系統(tǒng)安全策略

對于企業(yè)競爭來說，資料的保密和安全是非常重要的。資料的保密和安全涉及以下幾個方面：

1、資料自身的完整性和規(guī)范性；

2、資料存儲的安全性；

3、資料的維護(hù)（更新）和引用（查閱）的管理手續(xù)（即流程）的規(guī)范性及權(quán)力限定的嚴(yán)謹(jǐn)性。

用一句通俗的話來歸納，在企業(yè)中，只有通過授權(quán)的人（崗位）才可使用（包括維護(hù)和引用）相關(guān)的資料，嚴(yán)禁未經(jīng)過授權(quán)的人（崗位）非法使用資料。而對于（計算機(jī)）管理信息系統(tǒng)應(yīng)用來說，資料包括基礎(chǔ)（技術(shù)）數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)。首選要求數(shù)據(jù)（即資料）要具有良好的共享性，其次要求流程（即業(yè)務(wù)）處理具有連貫性。

基于上述兩者之間的需求，要求（計算機(jī)）管理信息系統(tǒng)本身應(yīng)具有下列基本功能：

1、保證企業(yè)資料的完整性和一致性（關(guān)系數(shù)據(jù)庫本身功能可解決）；

2、資料存儲的安全可靠性（可通過配置高性能的數(shù)據(jù)庫服務(wù)器、備份及加強(qiáng)服務(wù)器的保安管理可解決）；

3、通過強(qiáng)有力的權(quán)限管理功能，將企業(yè)所有的數(shù)據(jù)根據(jù)實(shí)際情況定義出所有者（機(jī)構(gòu)）。同時授權(quán)（控制）每個人（崗位）的功能模塊（業(yè)務(wù)操作）使用權(quán)限，所能查閱及維護(hù)的數(shù)據(jù)的范圍（即能查閱哪些機(jī)構(gòu)的數(shù)據(jù)，在軟件系統(tǒng)中表現(xiàn)為數(shù)據(jù)表中的記錄行），以及查閱及維護(hù)數(shù)據(jù)的哪些明細(xì)屬性（在軟件系統(tǒng)中表現(xiàn)為數(shù)據(jù)表的列）；

4、結(jié)合企業(yè)運(yùn)作的實(shí)際情況和未來需要，可定義出各業(yè)務(wù)之間的工作（操作）流程。