1.2.2 网络安全系统的管理

面对网络安全的脆弱性，除了在网络设计上增加安全服务功能，完善系统的安全保密措施外，还必须花大力气加强网络安全管理规范的建立，因为诸多的不安全因素恰恰反映在组织管理和人员录用等方面，而这又是计算机网络安全所必须考虑的基本问题，所以应引起各计算机网络应用部门领导的重视。

1. 安全管理原则

网络信息系统的安全管理主要基于3个原则：

● 负责原则。每一项与安全有关的活动，都必须有两人或多人在场。这些人应是系统主管领导指派的，忠诚可靠，能胜任此项工作，应该签署工作情况记录以证明安全工作已得到保障。

● 有限原则。一般情况下，任何人最好不要长期担任与安全有关的职务，以免被误认为这个职务是专有的或永久性的。为遵循任期有限原则，工作人员应不定期地循环任职，强制实行休假制度，并规定对工作人员进行轮流培训，以使任期有限制度切实可行。

● 分离原则。在信息处理系统工作的人员不要打听、了解或参与职责以外的任何与安全有关的事情，除非系统主管领导批准。

2. 安全管理的实施

信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性，制定相应的管理制度或采用相应的规范，具体工作如下。

● 根据工作的重要程度，确定该系统的安全等级。

● 根据确定的安全等级，确定安全管理的范围。

● 制订相应的机房出入管理制度对于安全等级要求较高的系统，要实行分区控制，限制工作人员出入与己无关的区域。出入管理可采用证件识别或安装自动识别登记系统，采用磁卡、身份卡等手段，对人员进行识别、登记管理。

● 制订严格的操作规程。

● 操作规程要根据职责分离和多人负责的原则，各负其责，不能超越自己的管辖范围。

● 制订完备的系统维护制度。

● 对系统进行维护时，应采取数据保护措施，如数据备份等。维护时要首先经主管部门批准，并有安全管理人员在场，故障的原因、维护内容和维护前后的情况要详细记录。

● 制订应急措施。

● 要制定系统在紧急情况下，如何尽快恢复的应急措施，使损失减至最小。建立人员雇用和解聘制度，对工作调动和离职人员要及时调整响应的授权。