網絡安全管理機構和規章制度是網絡安全的組織和制度保障。網絡安全管理制度包括人員資源管理、資產財產管理、教育培訓、資質認證、人員考核制度、動態運行機制、日常工作規範、崗位責任制等。要建立健全網絡安全管理機構和各項規章制度,需要做好以下幾個方面的工作。
1.完善管理組織和崗位責任制
計算機網絡系統的安全涉及到整個系統和機構的安全、利益和聲譽。最好由單位主要領導負責系統的安全保密工作,必要時成立專門機構,如安全管理中心SOC,協助主要領導進行管理。重要單位和要害部門的安全保密工作,由保衛、保密、安全和技術部門分別負責。重要計算機系統的各領導機構和安全組織,包括安全審查機構、安全決策機構和安全管理機構,應建立健全各項規章制度。
完善專門的安全組織和人員。各單位應建立相應的計算機信息系統安全委員會、安全小組和安全員。保衛組織成員應由主管領導、公安、信息中心、人事、審計等部門的人員組成,必要時可聘請有關部門的專家。安全組織也可以成立專門的獨立認證機構。安全組織的成立及其成員的變動應定期向公安計算機安全監管部門報告。計算機信息系統中發生的案件,應當在規定時間內向當地(縣)級以上公安機關報告,並接受公安機關對計算機有害數據防治工作的監督、檢查和指導。
制定各類人員的崗位責任制,嚴格遵守紀律、管理和分工原則。禁止串聯工作或同時工作。禁止程序員兼任系統操作員,嚴禁系統管理員、終端操作員、系統設計師混崗。
專職安全管理人員具體負責本系統區域安全政策的實施,確保安全政策的長期有效性:負責軟硬件的安裝維護、日常運行監控、安全措施的恢復和緊急情況下的風險分析等。負責整個系統的安全,整個系統的授權、修改、權限、密碼、違規報告、報警記錄處理、控制臺日誌審核,重大問題無法解決時及時向主管領導匯報。
安全審計員監控系統的運行,收集各種非法訪問系統資源的事件,並對非法事件進行記錄、分析和處理。必要時,及時向主管部門報告審計事件。
安全人員負責非技術性的常規安全工作,如系統周圍的安全、辦公室安全、訪問驗證等。
2.完善安全管理規章制度。
建立和完善安全管理規章制度,並認真執行是非常重要的。常用的網絡安全管理規章制度包括以下七個方面:
1)系統運維管理系統。包括設備管理和維護制度、軟件維護制度、用戶管理制度、鑰匙管理制度、門禁管理和值班制度、各種操作規程和規範、各行政部門的定期檢查或監督制度。保密場所的機房應規定兩人進出、不允許單人操作機房內計算機的制度。機房門雙鎖,保證可以同時用兩把鑰匙打開機房。信息處理機專用於專機,不允許用於其他用途。當終端操作員由於某種原因離開終端時,他必須退出登錄屏幕以避免被其他人員非法使用。
2)計算機加工控制管理系統。包括數據處理流程的編制和控制、程序軟件和數據的管理、拷貝移植和存儲介質的管理、文件記錄的標準化和通信網絡系統的管理。
3)文檔管理。各種憑證、單據、賬冊、報表和文字資料必須妥善保管,嚴格控制;交叉檢查簿記;各類人員所掌握的信息應與其職責相壹致。例如,終端操作員只能閱讀終端操作程序和手冊,只有系統管理員才能使用系統手冊。
4)運行管理人員的管理制度。建立健全各種相關人員的管理制度,主要包括:
(1)指定計算機或服務器的具體使用和操作,明確工作職責、權限和範圍;
(2)程序員、系統管理員、操作員分開,不混崗;
(3)禁止在系統運行的機器上進行與工作相關的操作;
(4)不越權運行程序,不引用無關參數;
⑤系統出現異常運行時,應立即上報;
⑥建立健全工程技術人員管理制度;
⑦轉移相關人員時,應采取相應的安全管理措施。人員調動時立即收回鑰匙、交接工作、更改密碼和註銷賬戶,並向被調動人員聲明自己的保密義務。
5)機房安全管理規章制度。建立健全機房管理的規章制度,經常對相關人員進行安全教育和培訓,定期或隨機進行安全檢查。機房管理規章制度主要包括:機房門衛管理、機房安全工作、機房衛生工作、機房運行管理等。
6)其他重要管理制度。主要包括:系統軟件和應用軟件管理系統、數據管理系統、密碼管理系統、網絡通信安全管理系統、病毒防範管理系統、安全等級保護系統、網絡電子公告系統用戶註冊和信息管理系統、外匯維護管理系統。
7)風險分析和安全培訓
①定期進行風險分析,制定突發災害的應急恢復計劃和方案。如關鍵技術人員的各種聯系方式,獲取備份數據,組織系統重建等。
②建立安全評估培訓體系。除對關鍵崗位和新員工的考核外,還應定期進行法制教育、職業道德教育和計算機安全技術更新教育培訓。
對於從事國家安全、軍事機密、財務或人事檔案等重要信息的人員,更應重視安全教育,選擇可靠、素質好的人員。
3.堅持合作交流制度。
在計算機網絡飛速發展的今天,它面臨著嚴峻的安全問題。維護互聯網安全是全球性的知識和責任,網絡運營商的責任更加重大。他們應該對此高度關註,在互聯網中發揮積極正面的作用,包括對包括青少年在內的廣大用戶負責。各級政府也有責任為企業和消費者創造壹個安全的網絡環境,也需要行業組織、企業和利益相關方的共同努力。因此,應大力加強與相關業務單位和安全機構的合作與交流,密切配合* * *維護網絡安全,及時獲取必要的安全管理信息和專業技術支持與更新。國內外應進壹步加強交流與合作,拓寬網絡安全國際合作渠道,建立政府、網絡安全機構、行業組織、企業等多層次、多渠道、協同合作機制。
延伸閱讀:網絡安全技術與應用(第2版)賈鐵軍主編,機械工業出版社,上海市優秀教材獎。