*3.5 网络安全管理原则和制度

网络安全管理的原则和制度是安全管理的一项重要内容。目前，仍有很多企事业单位没有建立、健全专门的管理机构、管理制度和规范。甚至有些管理员或用户还是使用系统默认状态，系统处于“端口开放状态”，使系统面临安全威胁和隐患。

3.5.1 网络安全管理的基本原则

为了加强网络系统安全，应坚持网络安全管理的基本原则。

1.多人负责的原则

为了确保网络系统安全、职责明确，对各种与系统安全有关的事项，应由多人分管负责并在现场当面认定签发。系统主管领导应指定忠诚、可靠、能力强，且具有丰富实际工作经验的人员作为网络系统安全负责人，同时明确安全指标、岗位职责和任务，安全管理员应及时做好安全工作情况记录，以及安全工作保障落实和完成情况。需要签发的与安全有关的主要事项包括以下几个。

1）处理的任何与保密有关的信息。

2）信息处理系统使用的媒介发放与收回。

3）访问控制使用的证件发放与收回。

4）系统软件的设计、实现、修改和维护。

5）业务应用软件和硬件的修改、维护。

6）重要程序和数据的增删改与销毁等。

2.有限任期原则

网络安全人员不应长期担任与安全相关的职务，以免产生永久“保险”职位观念，可通过强制休假、培训或轮换岗位等方式适当调整。

3.坚持职责分离的原则

网络系统重要相关人员应各司其职、各负其责、业务权限各异，除了主管领导批准的特殊情况之外，不应询问或参与职责以外的与安全有关的事务。任何以下两项工作都应分开，由不同人员完成。

1）系统程序和应用程序的研发与实现。

2）具体业务系统的检查及验收。

3）计算机及其网络数据的具体业务操作。

4）计算机网络管理和系统维护工作。

5）机密资料的接收和传送。

6）具体的安全管理和系统管理。

7）系统访问证件的管理与其他工作。

8）业务操作与数据处理系统使用存储介质的保管等。

网络系统安全管理部门应根据管理原则和系统处理数据的保密性要求，制定相应的管理制度，并采取相应的安全管理规范。包括以下内容。

1）根据业务的重要程度，测评系统的具体安全等级。

2）由其安全等级，确定安全管理的具体范围和侧重点。

3）规范和完善“网络/信息中心”机房出入管理制度。

对于安全等级要求较高的系统，应实行分区管理与控制，限制工作人员出入与本职业务无直接关系的重要安全区域。

4.严格操作规程

按照操作规程规定要求，坚持职责分离和多人负责等原则，所有业务人员都应做到各司其职、各负其责，不能超越各自管辖权限范围。特别是国家安全保密机构、银行和证券等单位和财务机要部门等。

5.系统安全监测和审计制度

建立、健全系统安全监测和审计制度，确保系统安全，并能够及时发现、及时处理问题。

6.建立、健全系统维护制度

在维护系统之前必须经主管部门批准，并采取数据保护措施，如数据备份等。在系统维护时，必须有安全管理人员在场，对于故障的原因、维护内容和维护前后的情况，应详细认真地记录并进行签字确认。

7.完善应急措施

制定并完善业务系统在出现意外紧急情况时，可以尽快恢复的应急对策和措施，并将损失减到最低程度。同时建立、健全相关人员聘用和离职调离安全保密制度，对工作调动和离职人员要及时调整相应的授权。

3.5.2 网络安全管理机构和制度

网络安全管理机构和规章制度是其组织与制度保障。网络安全管理制度包括人事资源管理、资产物业管理、教育培训、资格认证、人事考核鉴定制度、动态运行机制、日常工作规范和岗位责任制度等。

1.完善管理机构和岗位责任制

网络安全涉及整个机构和系统的安全、效益及声誉。系统安全保密工作最好由单位主要领导负责，必要时设置专门机构，如安全管理中心等，协助主要领导管理。重要单位、要害部门的安全保密工作分别由安全、保密、保卫和技术部门分工负责。所有领导机构、重要计算机系统的安全组织机构，包括安全审查机构、安全决策机构和安全管理机构，都要建立和健全各项规章制度。

完善专门的安全防范组织和人员。各单位必须建立相应的网络信息系统安全委员会、安全小组和安全员。网络安全组织成员应由主管领导、公安保卫、信息中心、人事和审计等部门的工作人员组成，必要时可聘请相关部门的专家。网络安全组织也可以成立专门的独立、认证机构。对安全组织的成立、成员的变动等应定期向公安计算机安全监察部门报告。对计算机信息系统中发生的案件，应当在规定时间内向当地区（县）级及以上公安机关报告，并受公安机关对计算机有害数据防治工作的监督、检查和指导。

制定各类人员的岗位责任制，严格纪律、管理和分工的原则，不准串岗、兼岗，严禁程序设计师同时兼任系统操作员，严格禁止系统管理员、终端操作员和系统设计人员混岗。

专职安全管理人员具体负责本系统区域内安全策略的实施，保证安全策略长期有效：负责软硬件的安装维护、日常操作监视，应急安全措施的恢复和风险分析等；负责整个系统的安全，对整个系统的授权、修改、特权、口令、违章报告、报警记录处理和控制台日志审阅负责，遇到重大问题不能解决时要及时向主管领导报告。

安全审计人员监视系统运行情况，收集对系统资源的各种非法访问事件，并对非法事件进行记录、分析和处理。及时将审计事件上报给主管部门。

保安人员负责非技术性常规安全工作，如系统场所的警卫、办公安全和出入门验证等。

2.健全安全管理规章制度

建立、健全完善的安全管理规章制度，并认真贯彻落实。常用的网络安全管理规章制度包括以下7个方面。

1）系统运行维护管理制度。包括设备管理维护制度、软件维护制度、用户管理制度、密钥管理制度、出入门卫管理值班制度、各种操作规程及守则、各种行政领导部门的定期检查或监督制度。机要重地的机房应制定双人进出及不准单人在机房操作计算机的制度。机房门加双锁，保证同时使用两把钥匙才能打开机房。信息处理机要专机专用，不允许兼作其他用途。终端操作员因故离开终端必须退出登录画面，避免其他人员非法使用。

2）计算机处理控制管理制度。包括编制及控制数据处理流程、程序软件和数据的管理、复制移植和存储介质的管理，文件档案日志的标准化和通信网络系统的管理。

3）文档资料管理。必须妥善保管和严格控制各种凭证、单据、账簿、报表和文字资料，交叉复核记账，所掌握的资料要与其职责一致，如终端操作员只能阅读终端操作规程和手册，只有系统管理员才能使用系统手册。

4）建立、健全操作及管理人员的管理制度。主要包括以下几点。

① 指定使用和操作设备或服务器，明确工作职责、权限和范围。

② 程序员、系统管理员和操作员岗位分离且不混岗。

③ 禁止在系统运行的机器上进行与工作无关的操作。

④ 不越权运行程序，不查阅无关参数。

⑤ 对于偶尔出现的操作异常应立即报告。

⑥ 建立和完善工程技术人员的管理制度。

⑦ 当相关人员调离时，应采取相应的安全管理措施。如人员调离时马上收回钥匙、移交工作、更换口令、取消账号，并向被调离的工作人员申明其保密义务。

5）机房安全管理规章制度。建立、健全机房管理规章制度，经常对有关人员进行安全教育与培训，定期或随机地进行安全检查。机房管理规章制度主要包括：机房门卫管理、机房安全、机房卫生和机房操作管理等。

6）其他的重要管理制度。主要包括：系统软件与应用软件管理制度、数据管理制度、密码口令管理制度、网络通信安全管理制度、病毒的防治管理制度、实行安全等级保护制度、实行网络电子公告系统的用户登记和信息管理制度，以及对外交流维护管理制度等。

7）风险分析及安全培训。主要包括以下两点。

① 定期进行风险分析，制定意外灾难应急恢复计划和方案。如关键技术人员的多种联络方法、备份数据的取得和系统重建的组织。

② 建立安全考核培训制度。除了对关键岗位的人员和新员工进行考核之外，还要定期进行网络安全方面的法律教育、职业道德教育和安全技术更新等方面的教育培训。

对于从事涉及国家安全、军事机密、财政金融或人事档案等重要信息的工作人员，更要重视安全教育，并应挑选可靠的、素质好的人员担任。

3.坚持合作交流制度

维护互联网安全是全世界的共识和责任，网络运营商更加负有重要责任，应对此高度关注，发挥互联网积极、正面的作用，包括对青少年在内的广大用户负责。各级政府也有责任为企业和消费者创造一个共享、安全的网络环境，同时也需要行业组织、企业和各利益相关方的共同努力。因此，应当大力加强与相关业务往来单位和安全机构的合作与交流，密切配合，共同维护网络安全，及时获得必要的安全管理信息和专业技术支持与更新。国内外也应当进一步加强交流与合作，拓宽网络安全国际合作渠道，建立政府、网络安全机构、行业组织及企业之间多层次、多渠道、齐抓共管的合作机制。

讨论思考

1）网络安全管理必须坚持哪些原则？

2）建立、健全网络安全管理机构和规章制度需要做好哪些方面的工作？