论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2002-08-28 14:47 |只看该作者 |倒序浏览

注意：以下内容仅供本论坛用户用于个人的学习目的，未经作者同意不得用于其它目的。\r\n作者联系方式：通过本论坛给Phrack发送电子邮件[/COLOR] \r\n\r\n安全管理实践（一）\r\n

\r\n基于计算机的信息系统的安全是一个管理问题\r\n\r\n风险管理由主要和次要活动组成。风险评估、风险消减和风险方法学是主要活动的例子，而数据收集和风险分析资源是次要活动的例子。\r\n\r\n安全性不能被看成是目标的终结，而是用于支持业务进行的一系列策略和相关的控制手段。\r\n\r\n在信息时代，计算机监控被指责为在工作场所制造高压和引起健康问题罪魁祸首。\r\n\r\n来自内部的有害黑客行为是安全管理最关注的领域。\r\n\r\n从风险管理的角度看，接受、分配或规避风险是可以接受的，而听任或忽视风险是不可接受的。\r\n\r\n对信息的需要支承机构的信息结构。\r\n\r\n管理层应该了解拒绝安全培训的后果。\r\n\r\n意识是信息技术安全培训的先决条件。\r\n\r\n工作成绩是学习效果的最好体现。\r\n\r\n在系统维护和系统操作中防御性维护是最常见的。\r\n\r\n系统配置管理的主要目的是确保系统稳定。\r\n\r\n对应用程序更改需要考虑的操作性要求是安排退回方式。\r\n\r\n数据的分级和应用程序的分类必须根据机构的实际情况决定。\r\n\r\n全面质量管理（TQM）是（1）过程，（2）包含在企业文化中的管理方式，和（3）包含在企业环境中的管理方式。\r\n\r\n采用TQM的机构（1）精力集中于使客户满意的努力，（2）在所有的过程和结果中追求连续和长远的进步，和（3）采取步骤确保在提高质量的过程中所有的员工进行全面的参与。\r\n\r\n在“质量成本”中系统安全计划成本是防御性成本的一部分。\r\n\r\n适应成本的一个例子是安全培训。\r\n\r\n差错预防是防御性成本的一个例子。无缺陷软件可以通过差错预防达成。\r\n\r\n全面质量管理协助确保无质量事故。\r\n\r\n在“质量成本”中，系统安全测试成本是评估费用的一部分。\r\n\r\n在TQM环境中质量机构的特征包括将经理视为机构的领导。\r\n\r\nTQM是达成客户满意的系统。\r\n\r\n质量计划支持“根据事实管理”的原则。\r\n\r\n机构所追求的互联系统、数据可访问性和无纸化处理等目标可以协助节约成本和提升基本服务，但也是增加安全威胁和漏洞的因素。\r\n\r\n在很多机构中引起整体安全问题的主要作用因素是缺乏安全管理。\r\n\r\n首席信息官（CIO）的职责是：（1）与高级管理层合作定义策略系统，（2）支持业务经理定义信息需求，和（3）开发业务经理需要的计算机系统。\r\n\r\n软件测试是防止开发和修改出质量低劣的软件产品。安全功能是其中的一部分。\r\n\r\n系统拥有者负责确保机构中计算机信息系统具有适当的安全性、完整性和对其进行管理。\r\n\r\n监控支持信息安全策略的执行。\r\n\r\nISO9000标准体系只关注过程。ISO9000质量标准的基本前提是防御而不是探测、矫正和恢复，因为防御比其它方式更及时更经济。ISO9000质量的测量评鉴涵盖产品的制造方式但无需包括其具体工作过程。\r\n\r\nISO9000质量管理涉及到（1）影响产品的组装过程，（2）影响服务的组织过程，和（3）研究、测试、制造和支持的检查过程。\r\n\r\nISO9000认证给客户对于在整体质量模式中的产品、服务－过程、递送和成本一种信赖。\r\n\r\nISO9000质量标准关注机构的内部过程。\r\n\r\n信息系统安全是ISO质量标准的一部分。\r\n\r\n在制定信息系统安全策略的过程中机构应该特别关注用户的行为。\r\n\r\n使所制定的机构信息系统安全策略更有用的一种通用技术是将策略和指南区分开来。\r\n\r\n机构应该将信息系统安全视为使业务能够运行的前提。\r\n\r\n对整个机构范围安全策略的背离意味着对风险的接受。\r\n\r\n业务经理必须对信息系统资源所需的保护级别进行确认并承担主要责任。\r\n\r\n“决策者”不是保护计算机系统资源的信息系统安全专家的合适人选。\r\n\r\n在许多机构中，信息系统安全专家被视为执行者。\r\n\r\n防范手段的选择是业务经理的职责。\r\n\r\n对业务经理的风险确认进行书面记录和报告的有效机制是要求其签署一系列的文件。\r\n\r\n信息系统安全经理的真正任务是向高级管理人员提出安全警示。\r\n\r\n信息系统安全经理的首要任务是计划。\r\n\r\n信息安全经理职能在机构中的正确位置是向CIO或更高层汇报工作。\r\n\r\n建立一个高级别委员会是确保引起机构中的高级管理层对信息系统安全问题重视的好办法。\r\n\r\n所有信息系统安全中心小组的主要任务是对信息系统的安全负责。\r\n\r\n信息系统安全人员要很好的完成工作需要具有良好的沟通技巧。\r\n\r\n安全管理员的任务是创建新的系统用户帐号、发放新的口令和部署新的安全软件。批准新的系统用户帐号是业务经理的职责。\r\n