|
|
| (1)因劣质软件而产生安全问题时,从组织上来说,是管理规范出了问题。最理想的情况下软件安全是组织成员共同的责任,较现实的解决方案是将责任和义务交给特定的小组。需要两种类型的人员来组成软件安全小组:进行“黑帽子”思维的人员和进行“白帽子”思维的人员。如果幸运的话,能找到能够换“帽子”思维的人员。但是,更有可能的是,有一些很好的建设类型的人(他们本性上偏向“白帽子”一方)和一些狡猾的破坏类型的人(他们本性上偏向“黑帽子”一方)。但是,信息系统软件的运维同时需要他们,因为接触点需要这两种类型的人员。
|
|
|
| (2)为了成功实施信息系统软件安全计划,可以雇用外部的咨询人员来帮助建立一个小组,但由于软件安全人员所具备的广泛的经验和知识非常宝贵,这种人员也极为少见,所以雇用成本很高。
|
|
|
| (3)对于大型信息系统软件安全的运维,可以找到对操纵信息系统软件最熟悉的人员,投资培养其成为软件安全员,让其负责软件安全。
|
|
|
| (4)应用系统服务器安装了信息系统软件,是应用系统的业务处理平台,是用户读取和写入数据的桥梁。应用服务器密码要由专人负责持有,不得转让他人,密码要符合复杂性要求且定期修改。
|
|
|
