|
|
组织管理层对应用系统的安全负有全部责任,其安全管理包括:
|
|
|
.资源分配:管理层负责为计划内应用系统的安全活动提供必要的资源。
|
|
|
.标准和程序:管理层负责为所有运行建立必要的,符合总体业务战略和政策的标准和程序,并且符合组织业务的安全规定。
|
|
|
.应用系统的过程监控:应用系统管理人员要负责监控和测量应用系统运行过程的效率与效果,以保证过程的持续完善。
|
|
|
|
|
|
|
|
|
.监控环境和设施的安全,为设备的正常运行保持适当的条件。
|
|
|
.检查操作员日志以识别预定的和实际的活动之间的差异。
|
|
|
.监控系统性能和资源情况,以实现计算机资源的最佳使用。
|
|
|
.预测设备或应用系统的容量,以保证当前作业流量的最大化,并为未来需求制定战略计划。
|
|
|
|
系统运行安全与保密由四个层次构成,按粒度由大到小顺序排列为:
|
|
|
.系统级安全:企业应用系统越来越复杂,因此制定得力的系统级安全策略才是从根本上解决问题的基础。系统级安全策略包括敏感系统的隔离、访问IP地址段的限制、登录时间段的限制、会话时间的限制、连接数的限制、特定时间段内登录次数的限制以及远程访问控制等,系统级安全是应用系统的第一道防护大门。
|
|
|
.资源访问安全:对程序资源的访问进行安全控制,在客户端上,为用户提供与其权限相关的用户界面,仅出现与其权限相符的菜单和操作按钮;在服务端则对URL程序资源和业务服务类方法的调用进行访问控制。
|
|
|
.功能性安全:功能性安全会对程序流程产生影响,如用户在操作业务记录时,是否需要审核,上传附件不能超过指定大小等。这些安全限制已经不是入口级的限制,而是程序流程内的限制,在一定程度上影响程序流程的运行。
|
|
|
.数据域安全:数据域安全包括两个层次,一是行级数据域安全,即用户可以访问哪些业务记录,一般以用户所在单位为条件进行过滤;二是字段级数据域安全,即用户可以访问业务记录的哪些字段。不同的应用系统数据域安全的需求存在很大的差别,业务相关性比较高。
|
|
|
|
系统运行的安全检查是安全管理的常用工作方法,也是预防事故、发现隐患、指导整改的必要工作手段。对检查的内容、检查的方法、检查的计划安排、检查的结果应进行及时的记录、分析和评审。系统运行安全检查和记录的范围如下:
|
|
|
|
|
|
|
|
|
|
|
|
|
.系统运行的安全管理组织:包括各类人员的构成、各自职责、主要任务和管理内部组织结构。
|
|
|
.系统运行的安全管理:制定有关的政策、制度、程序或采用适当的硬件手段、软件程序和技术工具;保证信息系统不被未经授权进入和使用、修改、盗窃等造成损害的各种措施,主要包括系统安全等级管理、系统运行监视管理、系统运行文件管理制度、系统运行操作规程、用户管理制度、系统运行维护制度、系统运行灾备制度、系统运行审计制度。
|
|
|
.系统运行的安全监督:应用系统的使用单位,通过建立应用系统安全保护领导组织或配备专、兼职管理人员,落实安全保护责任制度,对管理人员和应用操作人员组织岗位培训;制定防治计算机病毒和其他有害数据的方案,必要时协助公安机关查处危害计算机信息系统安全的违法犯罪案件。根据应用系统的运行特点,制定系统运行安全监督制度。
|
|
|
.系统运行的安全教育:根据应用系统所设计的业务范围,对管理层、系统管理员和操作人员等用户进行信息安全的教育培训。制定系统运行安全的培训管理程序和安全培训计划,程序规定培训的范围、启动、制定培训计划、培训计划的实施、培训效果的考核、评审和验证等。培训计划的内容包括培训对象、培训内容、日程安排、培训要求和考核方法等要素。
|
|
|