1.2.2 網絡安全系統的管理

面對網絡安全的脆弱性，除了在網絡設計上增加安全服務功能，完善系統的安全保密措施外，還必須花大力氣加強網絡安全管理規范的建立，因為諸多的不安全因素恰恰反映在組織管理和人員錄用等方面，而這又是計算機網絡安全所必須考慮的基本問題，所以應引起各計算機網絡應用部門領導的重視。

1. 安全管理原則

網絡信息系統的安全管理主要基于3個原則：

● 負責原則。每一項與安全有關的活動，都必須有兩人或多人在場。這些人應是系統主管領導指派的，忠誠可靠，能勝任此項工作，應該簽署工作情況記錄以證明安全工作已得到保障。

● 有限原則。一般情況下，任何人最好不要長期擔任與安全有關的職務，以免被誤認為這個職務是專有的或永久性的。為遵循任期有限原則，工作人員應不定期地循環任職，強制實行休假制度，并規定對工作人員進行輪流培訓，以使任期有限制度切實可行。

● 分離原則。在信息處理系統工作的人員不要打聽、了解或參與職責以外的任何與安全有關的事情，除非系統主管領導批準。

2. 安全管理的實施

信息系統的安全管理部門應根據管理原則和該系統處理數據的保密性，制定相應的管理制度或采用相應的規范，具體工作如下。

● 根據工作的重要程度，確定該系統的安全等級。

● 根據確定的安全等級，確定安全管理的范圍。

● 制訂相應的機房出入管理制度對于安全等級要求較高的系統，要實行分區控制，限制工作人員出入與己無關的區域。出入管理可采用證件識別或安裝自動識別登記系統，采用磁卡、身份卡等手段，對人員進行識別、登記管理。

● 制訂嚴格的操作規程。

● 操作規程要根據職責分離和多人負責的原則，各負其責，不能超越自己的管轄范圍。

● 制訂完備的系統維護制度。

● 對系統進行維護時，應采取數據保護措施，如數據備份等。維護時要首先經主管部門批準，并有安全管理人員在場，故障的原因、維護內容和維護前后的情況要詳細記錄。

● 制訂應急措施。

● 要制定系統在緊急情況下，如何盡快恢復的應急措施，使損失減至最小。建立人員雇用和解聘制度，對工作調動和離職人員要及時調整響應的授權。