信息安全控制对信息系统的安全防护本质是对其相关信息及访问的访防护。信息安全控制,包括信息安全等级保护和逻辑安全控制。对操作系统,数据库和应用系统的访问须通过安全的登录程序。登录程序须符合要求提供访问控制机制,确保不会被未授权的人访问修改和删除信息;提供身份验证方法,如果使用帐号管理和口令管理需确保符合账号管理规定和口令规则。
一、信息系统等级保护
国家要求,重点保护基础信息网络和关系国家安全,经济命脉,社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度。
等级划分原则:1自主定级;2业务保障;3合理保护。
等级划分过程:1系统识别阶段;2子系统划分阶段;3要素赋值阶段;4系统定级阶段
(一)逻辑安全控制
1、用户账号管理:(1)用户账号分配规则(2)普通用户帐号管理(3)特权用户帐号管理
2、口令规则:(1)初始口令规定(2)口令重置申请规定(3)口令管理规定
3、用户权限管理:对分配的用户账号及权限应定期审核,审核发现问题及时改正。
(二)物理安全控制
1、 机房出入物理控制机制
2、 出入机房登记管理
3、 敏感的纸质系统文件管理程序
(三)网络安全控制
1、 边界网络设置管理:(1)边界网络出口设置管理(2)防火墙配置管理
2、 网络监控与入侵检测
3、 远程登录管理:(1)远程登陆帐号的申请和终止流程(2)远程登录帐号检查流程
(四)第三方访问控制
1、第三方服务合同的信息安全监督;
2、第三方人员对应用系统访问的管理措施;
4、 第三方人员对系统远程登录的规定。
二、信息安全技术体系
信息安全是一个非常复杂的综合领域信息安全具有信息系统所具有的各种特性。同时也具有自身的独特性,包括相对性,动态性,潜在性生命周期特性,层次性,业务,相关性等,因此需要从信息系统安全的不同层次和角度去分析设计,从而形成企业完整有效的信息安全体系。
(一)信息安全技术体系
完整的信息安全体系包括七个层次。1、物理环境乘2、操作系统层3、网络层4、主机层5、数据层6、应用层7、策略制度层。
(二)信息安全技术基础设施
1、全面的物理层安全设施:从物理环境角度讲,地震,水灾,火灾,雷击等环境事故电源故障,人为操作失误、电磁干扰、线路截获等是物理层安全需要考虑的主要因素,重要机房需要配有ups电源、精密空调、自动消防、电子门禁等设施。
2、层次化的网络安全设施:(1)防火墙(2)入侵检测系统(3)虚拟专用网(4)网络监控系统
3、统一的桌面管理系统
4、统一完整的企业防病毒系统
![高防服务器、高防IP与高防CDN的区别[图]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)