第三方物流信息系統(tǒng)的安全管理

1.概念

所謂整個信息系統(tǒng)的安全管理，需要從整個信息系統(tǒng)全面著眼，從機房設置、供電的安全、主機操作系統(tǒng)的安全、數(shù)據(jù)庫的安全、網(wǎng)絡接入的安全、網(wǎng)絡設備的安全、應用系統(tǒng)的安全、人員的管理等各方面落實。

2.目的

保證系統(tǒng)在有充分保護的安全環(huán)境中運行，由可靠的操作人員按規(guī)范使用計算機系統(tǒng)、網(wǎng)絡系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和應用系統(tǒng)，系統(tǒng)符合安全標準。

3.安全策略

(1)物理安全策略

保護計算機服務器、數(shù)據(jù)存儲、系統(tǒng)終端、網(wǎng)絡交換等硬件設備免受自然災害、人為破壞，確保其安全可用。制定物理安全策略，要重點關注存放計算機服務器、數(shù)據(jù)存儲設備、核心網(wǎng)絡交換設備的機房的安全防范。其選址與規(guī)劃建設要遵循GB936丨計算機場地安全要求和GB2887計算機場地技術條件，保證恒溫、恒濕，防雷、防水、防火、防鼠、防磁、防靜電，加裝防盜報警裝置,提供良好的接地和供電環(huán)境，要為核心設備配置與其功耗相匹配的穩(wěn)壓及UPS

不間斷電源。

(2)網(wǎng)絡安全策略

網(wǎng)絡安全策略旨在防范和抵御網(wǎng)絡資源可能受到的攻擊，保證網(wǎng)絡資源不被非法使用和訪問，保護網(wǎng)內流轉的數(shù)據(jù)安全。訪問控制是維護網(wǎng)絡安全、保護網(wǎng)絡資源的重要手段，是網(wǎng)絡安全的核心策略之一。訪問控制包括人網(wǎng)訪問控制、網(wǎng)絡授權控制、目錄級安全控制、屬性安全控制、網(wǎng)絡服務器安全控制、網(wǎng)絡監(jiān)測和鎖定控制、網(wǎng)絡端口和節(jié)點的安全控制以及防火墻控制。安全檢查（身份認證）、內容檢查也是保護網(wǎng)絡安全的有效措施。網(wǎng)絡加密手段包括鏈路加密、端點加密和節(jié)點加密：鏈路加密是保護網(wǎng)絡節(jié)點之間的鏈路數(shù)據(jù)安全，端點加密是對從源端用戶到目的端用戶之間傳輸?shù)臄?shù)據(jù)提供保護，節(jié)點加密是對源節(jié)點到目的節(jié)點之間的傳輸鏈路提供保護。另外，數(shù)字認證在一定程度上保證了網(wǎng)上交易信息的安全。

(3)數(shù)據(jù)安全策略

數(shù)據(jù)安全策略旨在防止數(shù)據(jù)被偶然地或故意地非法泄露、變更、破壞，或是被非法識別和控制，以確保數(shù)據(jù)完整、保密、可用。數(shù)據(jù)安全包括數(shù)據(jù)的存儲安全和傳輸安全兩個方面。數(shù)據(jù)的存儲安全指數(shù)據(jù)存放狀態(tài)下的安全，包括是否會被非法調用等，可借助數(shù)據(jù)異地容災備份、密文存儲、設置訪問權限、身份識別、局部隔離等策略提高安全防范水平。

(4)軟件安全策略

軟件安全策略旨在防止由于軟件質量缺陷或安全漏洞使信息系統(tǒng)被非法控制，或使之性能下降、拒絕服務、停機。軟件安全策略分為系統(tǒng)軟件安全策略和應用軟件安全策略兩類。對通用的應用軟件，可參照前種做法，通過加強與軟件提供商的溝通，及時發(fā)現(xiàn)；對量身定做的應用軟件，可考慮優(yōu)選通過質量控制體系認證的、富有行業(yè)軟件開發(fā)和市場推廣經(jīng)驗的軟件公司，加強軟件開發(fā)質量控制，加強容錯設計，安排較長時間的試運行等策略，以規(guī)避風險，提高安全防范水平。

(5)系統(tǒng)管理策略

系統(tǒng)管理策略旨在加強計算機信息系統(tǒng)運行管理，提高系統(tǒng)安全性、可靠性。要確保系統(tǒng)穩(wěn)健運行，減少惡意攻擊、各類故障帶來的負面效應，有必要建立行之有效的系統(tǒng)運行維護機制和相關制度。比如，建立健全中心機房管理制度、信息設備操作使用規(guī)程、信息系統(tǒng)維護制度、網(wǎng)絡通信管理制度、應急響應制度，等等。要根據(jù)分工，落實系統(tǒng)使用與運行維護工作責任制。加強對相關人員的培訓和安全教育，減少因為誤操作給系統(tǒng)安全帶來的沖擊。要妥善保存系統(tǒng)運行、維護資料，做好相關記錄，要定期組織應急演練，以備不時之需。

(6)災難恢復策略