第三方物流信息系統(tǒng)的安全管理

1.概念

所謂整個(gè)信息系統(tǒng)的安全管理，需要從整個(gè)信息系統(tǒng)全面著眼，從機(jī)房設(shè)置、供電的安全、主機(jī)操作系統(tǒng)的安全、數(shù)據(jù)庫(kù)的安全、網(wǎng)絡(luò)接入的安全、網(wǎng)絡(luò)設(shè)備的安全、應(yīng)用系統(tǒng)的安全、人員的管理等各方面落實(shí)。

2.目的

保證系統(tǒng)在有充分保護(hù)的安全環(huán)境中運(yùn)行，由可靠的操作人員按規(guī)范使用計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)和應(yīng)用系統(tǒng)，系統(tǒng)符合安全標(biāo)準(zhǔn)。

3.安全策略

(1)物理安全策略

保護(hù)計(jì)算機(jī)服務(wù)器、數(shù)據(jù)存儲(chǔ)、系統(tǒng)終端、網(wǎng)絡(luò)交換等硬件設(shè)備免受自然災(zāi)害、人為破壞，確保其安全可用。制定物理安全策略，要重點(diǎn)關(guān)注存放計(jì)算機(jī)服務(wù)器、數(shù)據(jù)存儲(chǔ)設(shè)備、核心網(wǎng)絡(luò)交換設(shè)備的機(jī)房的安全防范。其選址與規(guī)劃建設(shè)要遵循GB936丨計(jì)算機(jī)場(chǎng)地安全要求和GB2887計(jì)算機(jī)場(chǎng)地技術(shù)條件，保證恒溫、恒濕，防雷、防水、防火、防鼠、防磁、防靜電，加裝防盜報(bào)警裝置,提供良好的接地和供電環(huán)境，要為核心設(shè)備配置與其功耗相匹配的穩(wěn)壓及UPS

不間斷電源。

(2)網(wǎng)絡(luò)安全策略

網(wǎng)絡(luò)安全策略旨在防范和抵御網(wǎng)絡(luò)資源可能受到的攻擊，保證網(wǎng)絡(luò)資源不被非法使用和訪問(wèn)，保護(hù)網(wǎng)內(nèi)流轉(zhuǎn)的數(shù)據(jù)安全。訪問(wèn)控制是維護(hù)網(wǎng)絡(luò)安全、保護(hù)網(wǎng)絡(luò)資源的重要手段，是網(wǎng)絡(luò)安全的核心策略之一。訪問(wèn)控制包括人網(wǎng)訪問(wèn)控制、網(wǎng)絡(luò)授權(quán)控制、目錄級(jí)安全控制、屬性安全控制、網(wǎng)絡(luò)服務(wù)器安全控制、網(wǎng)絡(luò)監(jiān)測(cè)和鎖定控制、網(wǎng)絡(luò)端口和節(jié)點(diǎn)的安全控制以及防火墻控制。安全檢查（身份認(rèn)證）、內(nèi)容檢查也是保護(hù)網(wǎng)絡(luò)安全的有效措施。網(wǎng)絡(luò)加密手段包括鏈路加密、端點(diǎn)加密和節(jié)點(diǎn)加密：鏈路加密是保護(hù)網(wǎng)絡(luò)節(jié)點(diǎn)之間的鏈路數(shù)據(jù)安全，端點(diǎn)加密是對(duì)從源端用戶到目的端用戶之間傳輸?shù)臄?shù)據(jù)提供保護(hù)，節(jié)點(diǎn)加密是對(duì)源節(jié)點(diǎn)到目的節(jié)點(diǎn)之間的傳輸鏈路提供保護(hù)。另外，數(shù)字認(rèn)證在一定程度上保證了網(wǎng)上交易信息的安全。

(3)數(shù)據(jù)安全策略

數(shù)據(jù)安全策略旨在防止數(shù)據(jù)被偶然地或故意地非法泄露、變更、破壞，或是被非法識(shí)別和控制，以確保數(shù)據(jù)完整、保密、可用。數(shù)據(jù)安全包括數(shù)據(jù)的存儲(chǔ)安全和傳輸安全兩個(gè)方面。數(shù)據(jù)的存儲(chǔ)安全指數(shù)據(jù)存放狀態(tài)下的安全，包括是否會(huì)被非法調(diào)用等，可借助數(shù)據(jù)異地容災(zāi)備份、密文存儲(chǔ)、設(shè)置訪問(wèn)權(quán)限、身份識(shí)別、局部隔離等策略提高安全防范水平。

(4)軟件安全策略

軟件安全策略旨在防止由于軟件質(zhì)量缺陷或安全漏洞使信息系統(tǒng)被非法控制，或使之性能下降、拒絕服務(wù)、停機(jī)。軟件安全策略分為系統(tǒng)軟件安全策略和應(yīng)用軟件安全策略兩類。對(duì)通用的應(yīng)用軟件，可參照前種做法，通過(guò)加強(qiáng)與軟件提供商的溝通，及時(shí)發(fā)現(xiàn)；對(duì)量身定做的應(yīng)用軟件，可考慮優(yōu)選通過(guò)質(zhì)量控制體系認(rèn)證的、富有行業(yè)軟件開發(fā)和市場(chǎng)推廣經(jīng)驗(yàn)的軟件公司，加強(qiáng)軟件開發(fā)質(zhì)量控制，加強(qiáng)容錯(cuò)設(shè)計(jì)，安排較長(zhǎng)時(shí)間的試運(yùn)行等策略，以規(guī)避風(fēng)險(xiǎn)，提高安全防范水平。

(5)系統(tǒng)管理策略

系統(tǒng)管理策略旨在加強(qiáng)計(jì)算機(jī)信息系統(tǒng)運(yùn)行管理，提高系統(tǒng)安全性、可靠性。要確保系統(tǒng)穩(wěn)健運(yùn)行，減少惡意攻擊、各類故障帶來(lái)的負(fù)面效應(yīng)，有必要建立行之有效的系統(tǒng)運(yùn)行維護(hù)機(jī)制和相關(guān)制度。比如，建立健全中心機(jī)房管理制度、信息設(shè)備操作使用規(guī)程、信息系統(tǒng)維護(hù)制度、網(wǎng)絡(luò)通信管理制度、應(yīng)急響應(yīng)制度，等等。要根據(jù)分工，落實(shí)系統(tǒng)使用與運(yùn)行維護(hù)工作責(zé)任制。加強(qiáng)對(duì)相關(guān)人員的培訓(xùn)和安全教育，減少因?yàn)檎`操作給系統(tǒng)安全帶來(lái)的沖擊。要妥善保存系統(tǒng)運(yùn)行、維護(hù)資料，做好相關(guān)記錄，要定期組織應(yīng)急演練，以備不時(shí)之需。

(6)災(zāi)難恢復(fù)策略