信息安全教育和信息安全管理体系是管理安全的两个组成部分。
一、信息安金教育
(一)要增强信息安全的意识
实验室采集、保存、传输、使用的信息是教师、学生和科研人员劳动的结晶,内容涉及实验技术参数、观测数据、实验分析结果等,具有很高的知识价值,往往记录着新的知识或新的科学发现。做好实验室信息安全。对于保护师生的劳动成果和知识产权是非常重要的。
(二)要明确信息安全的责任
由于故意或工作失误造成信息安全事故。如信息丢失、信息泄露、信息破坏等。要承担损失赔偿、行政处罚乃至法律责任。要了解信息安全的相关立法例如,《中华人民共和国保守国家秘密法》、《中华人民共和国国家安全法》、《中华人民共和国汁算机信息系统爱全保护条例》、《中华人民共和国计算机信息网络国际网联管理暂行规定》、《中华人民共和国公安部计算机病毒防治管理办法》等新的刑法中也加入相应的信息安全条款。
(三)要了解信息安全的主要内容和过程
信息安全的目的是通过管理制度和技术手段。阻止非法用户接触信息载体(纸质档案、个人电脑、服务器、数据库、备份文件与介质、网络等),访问信息系统,获取敏感信息,减少信息遭受破坏的可能性;快速检测非法行为;迅速测定入侵位置;审计跟踪,能有效记录破坏者的行为,以便抓获;以最大限度减少损失并促进系统恢复。
二、信息安全管理体系
(一)信息安全管理原则
信包安全的威胁来自人。特别是内部人员,必须加强人员管理落实信息安全管理原则。
1.多人负责原则。即至少应有两人以上负责安全管理。
2.任期有限原则。即不定期循环任职
3.职责分离原则。即编程与操作、信包传送与接收、操作介质与介质保密、系统管理与安全管理、应用程序编制与系统程序编制、访问证件管理与其他工作等实施分离。
4.人事审查原则。对接触敏感数据的人员的录用、岗位确定,工作评价必须进行背景调查。访问的数据越敏感,调查就应越细致。
(二)信息安全管理制度
1.等级管理制度。对信息、人员、系统、单机和环境划分等级并加以保护。
2.有害数据防治管理制度。对病毒和入侵等行为采取有效措施,以防止其入侵和传播。
3.安全管理规章制度,包括工作机制、各类人员责任制、人员安全管理、运行安全管理(机房、场地、操作、口令、密钥审计、特殊程序管理、启动程序管理、重要数据管理等)、安全技术管理(网络设备、备份、应急、常用工具、备件管理等)等规章制度。
4.风险评估制度。要在系统设计前、运行期、运行后,经常进行风险评估,分析系统固有的脆弱性,发现安全漏洞,及时采取补救措施。
(三)信息安全管理策略
安全策略是指在一个特定的环境中,提供一定级别的安全保护所必须遵循的规则。主要有系统管理策略、资源需求分配策略、使用策略、用户管理策略、灾难恢复计划。
1.系统管理策略。系统管理策略制定升级、监控、备份、审计等工作的指导方针和预期目标。系统管理人员和维护人员依据这些策略安排具体工作。这些策略应明确规定多长时间、什么时候升级、监控、审查日志等。策略必须足够详细,同时也要有一定的灵活性,能应付一些紧急事件和无法预料的情况。
2.资源需求分配策略。确定授权方式和允许访问的资源,包括授权哪些用户、在何时、以何种方式登录和访问哪些资源。如系统程序、应用程序、数据等。
3.使用策略。使用策略定义了信息和资源的使用方式,向用户解释如何使用系统资源,包括了隐私、所有权、不适当行为的后果等各方面的规定。比如,用户口令的设置规则,更新口令的时间规定,备份制作的方式等。
4.用户管理策略,确定新的用户如何安全地加入系统。用户离开后如何更新系统,以及用户的培训等问题。如果用户被调到一个新的岗位。应该及时更新其访问权限和访问级别。否则,就会产生所谓的“权限蔓延”。对于离岗的人员应立即关闭其帐户,禁止其访问权限,在很多情况下,系统管理员根本不知道人事变动,这是非常危险的情况。
5.灾难恢复计划。是指在紧急事件或安全事故发生时,保障信息设施继续运行或紧急恢复的措施。优秀的灾难恢复计划需要考虑到各种类型的紧急情况和故障,包括紧急事件或安全事故发生时的影响分析,应急计划的概要设计或详细制定,应急计划的测试与完善。绝大多数组织都对灾难恢复计划投入很多资金。包括数据备份和双机备份。