為了確保網絡系統安全,網絡安全管理必須堅持以下基本原則:
(l)多人負責原則
為了確保安全嚴格管理職、責明確落實,對各種與系統安全有關事項,如同管理重要財物壹樣都應由多人負責並在現場當面認定簽發。系統主管領導應指定忠誠可靠,且具有豐富實際工作經驗、勝任工作的人員作為網絡系統安全負責人,同時明確安全指標、崗位職責和任務,安全管理員應及時簽署安全工作情況記錄,表明安全工作保障落實和完成情況。
需要簽發的與安全有關的主要事項包括:
1) 訪問控制使用的證件發放與收回;
2)信息處理系統使用的媒介發放與收回;
3) 所有處理的保密信息;
4)業務應用軟件和硬件的修改和維護;
5)系統軟件的設計、實現、修改和維護;
6)重要程序和數據的增刪改與銷毀等。
(2) 有限任期原則
安全人員不應長期擔任與安全有關的職務,以免產生占有或永久性保險職位觀念,可以通過強制休假、培訓或輪換崗位等方式進行調整。
(3) 職責分離原則
從事計算機網絡系統的人員應當各司其職、各負其責、各有不同的業務權限,除了系統主管領導批準的特殊情況除外,不應詢問或參與職責以外的任何與安全有關的事務。
以下內容中的兩項具體工作應當分開,由不同人員完成:
1) 應用程序和系統程序的研發編制;
2) 實際業務系統的檢查及驗收;
3) 計算機及其網絡信息的具體實際業務操作;
4) 計算機網絡管理和系統維護工作;
5)各種機密資料的接收和傳送;
6)具體的安全管理和系統管理;
7)系統訪問證件的管理與其他工作;
8)計算機操作與信息處理系統使用存儲介質的保管等。
計算機網絡系統的安全管理部門應根據管理原則和系統處理數據的保密性,制定相應的管理制度,並采取相應的安全管理規範。具體工作包括:
1) 根據業務的重要程度,確定該系統的具體安全等級;
2) 根據安全等級,確定安全管理的具體範圍;
3) 健全和完善“網絡/信息中心”機房出入管理制度。
對於安全等級要求較高的系統,應實行分區管理與控制,限制工作人員出入與本職業務無直接關系的重要安全區域。
(4) 嚴格操作規程
根據規定的安全操作規程要求,嚴格堅持職責分離和多人負責的原則,所有業務人員都要求做到各司其職、各負其責,不能超越各自的管轄權限範圍。特別是國家安全保密機構、銀行證券等單位和財務機要部門等。
(5)系統安全監測和審計制度
建立健全系統安全監測和審計制度,確保系統安全,並能夠及時發現、及時處理。有關具體防範技術和方法,將在第4章和第5章進行具體介紹。
(6)建立健全系統維護制度
系統維護人員在系統維護之前必須經過主管部門批準,並采取數據保護措施,如數據備份等。在進行系統維護時,必須有安全管理人員在場,對於故障的原因、維護內容和維護前後的情況應詳細認真記錄並進行簽字。
(7)完善應急措施
主要制定並完善業務系統在出現意外的緊急情況下,能夠盡快恢復的應急對策和措施,將損失減到最小程度。同時建立健全相關人員聘用和離職調離安全保密制度,對工作調動和離職人員要及時調整相應的授權。
(見:機械工業出版社《網絡安全管理及實用技術》賈鐵軍主編)