信息软件系统管理制度

信息系统管理方案 -PAGE6-目录第一章 信息系统管理领导组 1第二章 信息系统管理制度 2第三章 信息系统安全防范技术 10第四章 信息系统应急预案 16第五章 信息系统安全教育培训 17第一章 信息系统管理领导组第一条信息系统安全管理领导组成员及主要工作信息系统安全管理实行主管领导、信息系统管理中心主任和信息安全技术人员三级负责制。各公司信息化主管领导作为信息安全的第一责任人，履行安全管理的决策职责，负责安全事故应急处理指挥；信息系统管理中心主任，负责信息系统建设、运行和安全的具体管理工作；信息安全技术人员，具体负责信息系统日常安全维护工作。第二条信息系统安全管理领导组岗位职责信息系统主管领导岗位职责负责全市煤炭运销系统计算机信息系统管理的规划、建设、技改方案的拟定、审核及实施过程中的检查、监督。负责对系统运行情况和管理维护工作进行检查，掌握全系统运行质量状况。负责在全市采用和推广与系统有关的新技术，对现有设备进行挖掘、更新、改造。负责对系统运行出现的重大故障要积极督促、协调相关部门尽快处理，组织制定防范措施。负责信息系统的宏观调控，整体运行设计。负责与集团公司信息系统相关工作的协调。信息系统管理中心主任岗位职责认真贯彻执行国家有关政策、法律法规及企业的各项制度。及时准确传达上级指示，按时完成公司下达的各项指标。研究掌握网络技术发展趋势，定期写出分析报告。负责制订系统信息网络管理的规章制度及标准。负责制订系统信息网络的规划、建设及技改方案。负责制订系统信息网络的安全运行及使用的管理。负责组织本部门及系统网络管理人员的培训、考核。负责组织系统与网络相关的职能会议及拟订处理与网络相关的职能文件。负责对系统各级网络管理部门工作的检查监督，定期提交调查报告。定期做出网络运行和维护分析报告。负责本地局域网数据使用授权的管理，监督局域网的数据备份工作。检查审核网络运行档案的建立及移交。负责系统内信息网络工程的需求确定、设计方案的审定及工程验收。指导、监督、检查所属下级的各项工作，掌握工作情况和数据。负责收集与业务相关的一切信息并及时反馈。按时完成上级交办的其它工作并按时复命。信息系统安全技术人员岗位职责执行公司的规章制度和工作程序，保质、保量按时完成工作。掌握系统运行网络的软、硬件技术性能，并参加培训。负责做好公司局域网数据的备份工作。负责管理监测系统网络的运行情况、及时排除网络运行中的故障，对出现的重大问题要及时向直接上级汇报并提出解决方案。参与网络总体工程设计方案的规划、建设及技改方案的制订及网络工程的验收。掌握网络技术发展的趋势，对系统网络工作提出建设性意见。建立维护档案，定期移交上级信息管理中心。随时采集客户需求信息，并及时上报直接上级。负责本地微机操作员的培训及考核。收集与企业相关的一切信息并及时反馈。按时完成上级交办的其它工作并及时复命。第二章信息系统管理制度第一节机房管理制度机房的电源系统、空调系统、监控系统、消防系统的服务支撑以及对电源电压，地线、接地，温度、湿度，各种电缆走线，清洁度，防静电，防霉，防虫害，防火，防水，防易燃、易爆品，防电磁波等方面都应当符合国家标准及国家和理。各部门交回的设备，要保持完整不得私自拆卸挪作它用。报废设备的处理由信息管理中心提出处理意见，报领导审核批准方可执行。报废设备内的数据信息由信息管理中心统一备份后删除销毁。附件：信息设备申购单申请部门申请人申请日期申请原因产品名称型号/数量配置要求部门负责人意见□同意□不同意签字/日期：信息设备维修申请单设备名称申请人申请日期故障描述信息办确认维修结果设备技术员确认签字：申请人确认维修结果：日期：日期：

信息设备报废申报表部门：电话：年月日设备型号设备名称数量单价购置日期备注报废原因申报部门负责人意见信息办负责人意见第三节病毒防治管理制度任何工作人员不得有下列传播计算机病毒的行为：故意输入计算机病毒，危害计算机信息系统安全。向计算机应用部门提供含有计算机病毒的文件、软件、媒体。购置和使用含有计算机病毒的媒体。信息系统安全技术人员要定期对各部门计算机进行检查，发现问题及时报告并检修。不使用来历不明的软盘、光盘等软件，必须使用正版软件。发现新的病毒或由于计算机病毒导致计算机系统遭到破坏、数据丢失时，要及时上报信息系统相关领导。预防和控制计算机病毒的安全管理工作，由信息系统安全管理人员领导，信息系统安全技术人员负责实施。对因计算机病毒引起的计算机信息系统瘫痪、程序和数据严重破坏等重大事故及时向公安机关报告，并保护现场。系统数据等管理制度用户和密码管理对于网络设备、主机、操作系统、数据库、业务应用程序，系统用户都必须通过用户和密码认证方可访问。用户权限分为普通用户、维护用户与超级用户三个级别。普通用户为各应用系统的使用者，维护用户为各层面系统维护者，超级用户为各层面的管理员用户。具有重要权限的帐号密码设置必须符合以下安全要求:密码不得包含常用可以识别的名称或单词、易于猜测的字母或数字序列或者容易同用户发生联系的数据，比如自己、配偶或者子女的生日和姓名等内容。密码长度至少是六个字符，组成上必须包含大小写字母、数字、标点等不同的字符。如果数据库系统、应用系统提供了密码安全周期机制，则帐户密码必须至少每120天修改一次。同一密码不得被给定账户在一年内重复使用。如果数据库系统、应用系统提供了密码安全机制，则必须在30分钟之内连续出现5次无效的登录尝试，其账户必须锁定15分钟。在此期间，超级用户可以采用经过批准的备用验证机制重新启用账户。厂商默认密码必须在软件或硬件安装调试完毕后进行修改。对于操作系统，必须禁用GUEST帐户，并将管理员帐户重命名。密码保护与备份策略：范围：网络设备、服务器操作系统、数据库、应用系统、ADSL帐户拨号信息；包含项目：网络设备包括访问的IP地址、端口，所有超级用户的用户名以及密码；服务器操作系统的IP地址、所有管理员帐户名、密码；数据库中所有具有系统数据库管理员权限的用户的用户名和密码；应用系统中所有超级用户的用户名以及密码；ADSL帐户的用户名以及密码。主机安全管理主机系统管理员由信息管理部领导指定专人负责，主机系统管理员与应用系统管理员不可兼职。主机的访问权限由主机系统管理员统一管理，并为系统应用人员分配与其工作相适应的权限。主机系统管理员必须每日检查主机机房工作环境是否满足主机的工作条件，包括不间断电源、温度、湿度、洁净程度等。若主机机房的工作条件不能满足主机的工作要求，应及时向上级主管部门反映，提出改善主机机房的要求，以保障主机设备的安全。主机系统管理员负责系统安全措施的设置，系统用户管理和授权，制定系统安全检查规则，实施对生产系统服务器的访问控制、日志监测、系统升级，防止非法入侵。网络安全管理需要全面、系统地考虑整个网络的安全控制措施，并紧密协调，一致实施，以便优化公司IT系统运营。明确规定有关网络的规划、实施、运作、更改和监控的安全技术要求，对网络安全状态进行持续监控，保存有关错误、故障和补救措施的记录。网络层次管理必须遵循以下要求：信息系统所有相关部门必须同集团信息系统管理部密切合作。必须编制并保留网络连接拓扑结构。信息系统技术人员负责煤矿网络、办公网络的安全管理，信息系统技术人员必须掌握网络管理和网络安全方面的知识。信息系统技术人员必须使用安全工具或技术进行系统间的访问控制，并根据系统的安全等级，相应的在系统的接入点部署防火墙等网络安全产品，保证网络安全。操作系统安全管理操作系统管理员由信息管理部领导指定专人担任。操作系统管理员主要责任包括：对操作系统登录帐号、权限、帐号持有人进行登记分配管理。制定并实施操作系统的备份和恢复计划。管理系统资源并根据实际需要提出系统变更、升级计划。监控系统运行状况，发现不良侵入立即采取措施制止。每1个月检查系统漏洞，根据实际需要提出版本升级计划，及时安装系统补丁，并记录。检查系统CPU、内存、文件系统空间的使用情况等。检查服务器端口的开放情况。每月分析系统日志和告警信息，根据分析结果提出解决方案。在信息系统管理制度正式公布之前，操作系统管理员必须删除操作系统中所有测试帐号，对操作系统中无关的默认帐号进行删除或禁用。本地或远程登录主机操作系统进行配置等操作完成后或临时离开配置终端时，必须退出操作系统。在操作系统设置上，信息系统管理员必须将操作系统帐号自动退出时间参数设置为10分钟以内。数据库管理数据库管理员的职责：数据库用户注册管理及其相关安全管理。对数据库系统存储空间进行管理，根据实际需要提出扩容计划。对数据库系统性能进行分析、监测，优化数据库的性能。必要时进行数据库碎片整理、重建索引等。制定并实施数据库的备份及恢复计划，根据备份计划进行数据库数据和配置备份，并检查数据库备份是否成功。至少每3个月对数据库版本进行管理，提出版本升级计划，需要时安装数据库系统补丁，并做好记录。监测有关数据库的告警，检查并分析数据库系统日志，及时提出解决方案，并记录服务支撑日志。检查数据库对主机系统CPU、内存的占用情况信息系统安全防范技术为了保护有限公司计算机信息系统安全，规范信息系统管理,合理利用系统资源，推进公司信息化建设，促进计算机的应用和发展，保障公司信息系统的正常运行，充分发挥信息系统在公司管理中的作用，更好地为公司生产销售服务。根据《中华人民共和国计算机信息系统安全保护条例》及有关法律、法规，结合公司实际情况，制定以下系统安全防范技术。容灾备份系统容灾系统是指在相隔较远的异地，建立两套或多套功能相同的IT系统，互相之间可以进行健康状态监视和功能切换，当一处系统因意外(如火灾、地震等)停止工作时，整个应用系统可以切换到另一处，使得该系统功能可以继续正常工作。容灾技术是系统的高可用性技术的一个组成部分，容灾系统更加强调处理外界环境对系统的影响，特别是灾难性事件对整个IT节点的影响，提供节点级别的系统恢复功能数据容灾数据容灾，就是指建立一个异地的数据系统，该系统是本地关键应用数据的一个可用复制。在本地数据及整个应用系统出现灾难时，系统至少在异地保存有一份可用的关键业务的数据。该数据可以是与本地生产数据的完全实时复制，也可以比本地数据略微落后，但一定是可用的。采用的主要技术是数据备份和数据复制技术。数据容灾技术，又称为异地数据复制技术，按照其实现的技术方式来说，主要可以分为同步传输方式和异步异步传输方式(各厂商在技术用语上可能有所不同)，另外，也有如“半同步”这样的方式。半同步传输方式基本与同步传输方式相同，只是在Read占I/O比重比较大时，相对同步传输方式，可以略微提高I/O的速度。而根据容灾的距离，数据容灾又可以分成远程数据容灾和近程数据容灾方式。应用容灾应用容灾，是在数据容灾的基础上，在异地建立一套完整的与本地生产系统相当的备份应用系统(可以是互为备份)。建立这样一个系统是相对比较复杂的，不仅需要一份可用的数据复制，还要有包括网络、主机、应用、甚至IP等资源，以及各资源之间的良好协调。主要的技术包括负载均衡、集群技术。数据容灾是应用容灾的技术，应用容灾是数据容灾的目标。在选择容灾系统的构造时，还要建立多层次的广域网络故障切换机制。本地的高可用系统指在多个服务器运行一个或多种应用的情况下，应确保任意服务器出现任何故障时，其运行的应用不能中断，应用程序和系统应能迅速切换到其它服务器上运行，即本地系统集群和热备份。在远程的容灾系统中，要实现完整的应用容灾，既要包含本地系统的安全机制、远程的数据复制机制，还应具有广域网范围的远程故障切换能力和故障诊断能力。也就是说，一旦故障发生，系统要有强大的故障诊断和切换策略制订机制，确保快速的反应和迅速的业务接管。实际上，广域网范围的高可用能力与本地系统的高可用能力应形成一个整体，实现多级的故障切换和恢复机制，确保系统在各个范围的可靠和安全。集群系统是在冗余的通常可用性系统基础之上，运行高可靠性软件而构成。高可靠性软件用于自动检测系统的运行状态，在一台服务器出现故障的情况下，自动地把设定的服务转到另一台服务器上。当运行服务器提供的服务不可用时，备份服务器自动接替运行服务器的工作而不用重新启动系统，而当运行服务器恢复正常后，按照使用者的设定以自动或手动方式将服务切换到运行服务上运行。备份服务器除了在运行服务器出现故障时接替其服务，还可以执行其他应用程序。因此，一台性能配备充分的主机可同时作为某一服务的运行服务器和另一服务的备份服务器使用，即两台服务器互为备份。一台主机可以运行多个服务，也可作为多个服务的备份服务器。数据容灾系统，对于IT而言，就是为计算机信息系统提供的一个能应付各种灾难的环境。当计算机系统在遭受如火灾、水灾、地震、战争等不可抗拒的自然灾难以及计算机犯罪、计算机病毒、掉电、网络/通信失败、硬件/软件错误和人为操作错误等人为灾难时，容灾系统将保证用户数据的安全性（数据容灾），甚至，一个更加完善的容灾系统，还能提供不间断的应用服务（应用容灾）。可以说，容灾系统是数据存储备份的最高层次。数据容灾备份的等级容灾备份是通过在异地建立和维护一个备份存储系统，利用地理上的分离来保证系统和数据对灾难性事件的抵御能力。根据容灾系统对灾难的抵抗程度，可分为数据容灾和应用容灾。数据容灾是指建立一个异地的数据系统，该系统是对本地系统关键应用数据实时复制。当出现灾难时，可由异地系统迅速接替本地系统而保证业务的连续性。应用容灾比数据容灾层次更高，即在异地建立一套完整的、与本地数据系统相当的备份应用系统（可以同本地应用系统互为备份，也可与本地应用系统共同工作）。在灾难出现后，远程应用系统迅速接管或承担本地应用系统的业务运行。一个容灾备份系统，需要考虑多方面的因素，如备份/恢复数据量大小、应用数据中心和备援数据中心之间的距离和数据传输方式、灾难发生时所要求的恢复速度、备援中心的管理及投入资金等。根据这些因素和不同的应用场合，通常可将容灾备份分为四个等级。第0级：没有备援中心这一级容灾备份，实际上没有灾难恢复能力，它只在本地进行数据备份，并且被备份的数据只在本地保存，没有送往异地。第1级：本地磁带备份，异地保存在本地将关键数据备份，然后送到异地保存。灾难发生后，按预定数据恢复程序恢复系统和数据。这种方案成本低、易于配置。但当数据量增大时，存在存储介质难管理的问题，并且当灾难发生时存在大量数据难以及时恢复的问题。为了解决此问题，灾难发生时，先恢复关键数据，后恢复非关键数据。第2级：热备份站点备份在异地建立一个热备份点，通过网络进行数据备份。也就是通过网络以同步或异步方式，把主站点的数据备份到备份站点，备份站点一般只备份数据，不承担业务。当出现灾难时，备份站点接替主站点的业务，从而维护业务运行的连续性。第3级：活动备援中心在相隔较远的地方分别建立两个数据中心，它们都处于工作状态，并进行相互数据备份。当某个数据中心发生灾难时，另一个数据中心接替其工作任务。这种级别的备份根据实际要求和投入资金的多少，又可分为两种：①两个数据中心之间只限于关键数据的相互备份；②两个数据中心之间互为镜像，即零数据丢失等。零数据丢失是目前要求最高的一种容灾备份方式，它要求不管什么灾难发生，系统都能保证数据的安全。所以，它需要配置复杂的管理软件和专用的硬件设备，需要投资相对而言是最大的，但恢复速度也是最快的。容灾备份的关键技术在建立容灾备份系统时会涉及到多种技术，如：SAN或NAS技术、远程镜像技术、基于IP的SAN的互连技术、快照技术等。这里重点介绍远程镜像、快照和互连技术。远程镜像技术远程镜像技术是在主数据中心和备援中心之间的数据备份时用到。镜像是在两个或多个磁盘或磁盘子系统上产生同一个数据的镜像视图的信息存储过程，一个叫主镜像系统，另一个叫从镜像系统。按主从镜像存储系统所处的位置可分为本地镜像和远程镜像。远程镜像又叫远程复制，是容灾备份的核心技术，同时也是保持远程数据同步和实现灾难恢复的基础。远程镜像按请求镜像的主机是否需要远程镜像站点的确认信息，又可分为同步远程镜像和异步远程镜像。同步远程镜像（同步复制技术）是指通过远程镜像软件，将本地数据以完全同步的方式复制到异地，每一本地的I/O事务均需等待远程复制的完成确认信息，方予以释放。同步镜像使拷贝总能与本地机要求复制的内容相匹配。当主站点出现故障时，用户的应用程序切换到备份的替代站点后，被镜像的远程副本可以保证业务继续执行而没有数据的丢失。但它存在往返传播造成延时较长的缺点，只限于在相对较近的距离上应用。异步远程镜像（异步复制技术）保证在更新远程存储视图前完成向本地存储系统的基本操作，而由本地存储系统提供给请求镜像主机的I/O操作完成确认信息。远程的数据复制是以后台同步的方式进行的，这使本地系统性能受到的影响很小，传输距离长（可达1000公里以上），对网络带宽要求小。但是，许多远程的从属存储子系统的写没有得到确认，当某种因素造成数据传输失败，可能出现数据一致性问题。为了解决这个问题，目前大多采用延迟复制的技术（本地数据复制均在后台日志区进行），即在确保本地数据完好无损后进行远程数据更新。快照技术远程镜像技术往往同快照技术结合起来实现远程备份，即通过镜像把数据备份到远程存储系统中，再用快照技术把远程存储系统中的信息备份到远程的磁带库、光盘库中。快照是通过软件对要备份的磁盘子系统的数据快速扫描，建立一个要备份数据的快照逻辑单元号LUN和快照cache。在快速扫描时，把备份过程中即将要修改的数据块同时快速拷贝到快照cache中。快照LUN是一组指针，它指向快照cache和磁盘子系统中不变的数据块（在备份过程中）。在正常业务进行的同时，利用快照LUN实现对原数据的一个完全的备份。它可使用户在正常业务不受影响的情况下（主要指容灾备份系统），实时提取当前在线业务数据。其“备份窗口”接近于零，可大大增加系统业务的连续性，为实现系统真正的7×24运转提供了保证。快照是通过内存作为缓冲区（快照cache），由快照软件提供系统磁盘存储的即时数据映像，它存在缓冲区调度的问题。互连技术早期的主数据中心和备援数据中心之间的数据备份，主要是基于SAN的远程复制（镜像），即通过光纤通道FC，把两个SAN连接起来，进行远程镜像（复制）。当灾难发生时，由备援数据中心替代主数据中心保证系统工作的连续性。这种远程容灾备份方式存在一些缺陷，如：实现成本高、设备的互操作性差、跨越的地理距离短（10公里）等，这些因素阻碍了它的进一步推广和应用。目前，出现了多种基于IP的SAN的远程数据容灾备份技术。它们是利用基于IP的SAN的互连协议，将主数据中心SAN中的信息通过现有的TCP/IP网络，远程复制到备援中心SAN中。当备援中心存储的数据量过大时，可利用快照技术将其备份到磁带库或光盘库中。这种基于IP的SAN的远程容灾备份，可以跨越LAN、MAN和WAN，成本低、可扩展性好，具有广阔的发展前景。基于IP的互连协议包括：FCIP、iFCP、Infiniband、iSCSI等。CA认证系统互联网的发展和信息技术的普及给人们的工作和生活带来了前所未有的便利。然而，由于互联网所具有的广泛性和开放性，决定了互联网不可避免地存在着信息安全隐患。为了防范信息安全风险，许多新的安全技术和规范不断涌现，PKI(PublicKeyInfrastructure，公开密钥基础设施)即是其中一员。PKI是在公开密钥理论和技术基础上发展起来的一种综合安全平台，能够为所有网络应用透明地提供采用加密和数字签名等密码服务所必需的密钥和证书管理，从而达到保证网上传递信息的安全、真实、完整和不可抵赖的目的。利用PKI可以方便地建立和维护一个可信的网络计算环境，从而使得人们在这个无法直接相互面对的环境里，能够确认彼此的身份和所交换的信息，能够安全地从事商务活动。目前，PKI技术己趋于成熟，其应用已覆盖了从安全电子邮件、虚拟专用网络(VPN),Web交互安全到电子商务、电子政务、电子事务安全的众多领域，许多企业和个人已经从PKI技术的使用中获得了巨大的收益。在PKI体系中，CA(CertificateAuthority，认证中心)和数字证书是密不可分的两个部分。认证中心又叫CA中心，它是负责产生、分配并管理数字证书的可信赖的第三方权威机构。认证中心是PKI安全体系的核心环节，因此又称作PKI/CA。认证中心通常采用多层次的分级结构，上级认证中心负责签发和管理下级认证中心的证书，最下一级的认证中心直接面向最终用户。数字证书，又叫“数字身份证”、“数字ID”，是由认证中心发放并经认证中心数字签名的，包含公开密钥拥有者以及公开密钥相关信息的一种电子文件，可以用来证明数字证书持有者的真实身份。防火墙防火墙是网络安全的屏障，一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。防火墙可以强化网络安全策略:通过以防火墙为中心的安全方案配置，能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。对网络存取和访问进行监控审计:如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并做出日志记录，同时也能提供网络使用情况的统计数据。其次，防火墙可以防止内部信息的外泄。通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。另外，除了安全作用，有的防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN。通过VPN，将企事业单位在地域上分布在全世界各地的LAN或专用子网，有机地联成一个整体。不仅省去了专用通信线路，而且为信息共享提供了技术保障。防毒墙目前，我国绝大多数企业都在采用网络版杀毒软件+防火墙的方式来保护企业的网络正常运行。网络版杀毒软件部署在企业网络内部，进行统一集中管理的一套杀毒软件。它可以对企业内部的病毒进行查杀，能够在一定程度上保证企业网络系统的安全，但仍然存在很大的局限性。首先，网络版杀毒软件安装在原有的操作系统之上，因此操作系统本身的稳定性以及是否存在漏洞都对网络版杀毒软件的使用产生一定的影响。其次，网络版杀毒软件虽然能够查杀病毒，但它并不能保证病毒从互联网进入局域网。并且，越来越多的网络病毒开始利用操作系统的漏洞进行攻击和传播。从操作系统厂商发布漏洞补丁到利用这个漏洞进行传播的病毒出现的时间越来越短，病毒留给系统管理员进行系统修补的时间也越来越短。但是如果不及时修补操作系统的漏洞，这些利用漏洞传播的病毒就可以轻松绕过防病毒软件直接感染计算机，令杀毒软件的功效大大降低。如何能防止病毒进入内部网络已经成为各个企业网络安全所面临的首要问题。很多企业已经逐渐意识到单单使用网络版杀毒软件进行防护是远远不够的，越来越多的企业已经开始采用硬件级防护产品与之配合，如：网络防火墙，入侵检测系统等等。然而对于病毒而言，这些防护产品是否能够真正有效地对网络病毒进行拦截呢？实践证明，网络防火墙依然不能真正满足目前企业安全防护的需要。传统的网络防火墙就像一扇门，只有打开和关闭两种状态，而无法实时对网络状况进行监测。它只能通过阻止IP来实现对病毒以及黑客的防御。目前市场上的防毒墙种类很多，基本上所有生产杀毒软件的公司都在生产防毒墙，防毒墙就是一类高端的杀毒设备，适合于大型网络，目前市场上知名的防毒墙有卡巴斯基，趋势，瑞星，CP，MacAfee。这些都是比较出名的防毒墙的生产厂商。在性能上面，卡巴斯基的防毒墙还是有比较大的优势。卡巴斯基的设备从硬件到软件都有其他厂商无法比拟的技术优势，技术决定一切。针对个人用户、企业用户，如果需要解决单台台式机的硬件防毒问题，还有一种防毒墙产品，叫蓝芯防毒墙，跟以上各产品的防毒墙完全不同，是通过直接连接硬盘得以直接控制硬盘的读写通道，过滤掉危险操作，挡住所有已知或未知的病毒和木马；无需升级即可终身防护。入侵检测IETF将一个入侵检测系统分为四个组件：事件产生器(EventGenerators)；事件分析器(EventAnalyzers)；响应单元(ResponseUnits)和事件数据库(EventDataBases)。事件产生器的目的是从整个计算环境中获得事件，并向系统的其他部分提供此事件。事件分析器分析得到的数据，并产生分析结果。响应单元则是对分析结果做出反应的功能单元，它可以做出切断连接、改变文件属性等强烈反应，也可以只是简单的报警。事件数据库是存放各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可以是简单的文本文件。根据检测对象的不同，入侵检测系统可分为主机型和网络型。基于主机的监测。主机型入侵检测系统就是以系统日志、应用程序日志等作为数据源，当然也可以通过其他手段(如监督系统调用)从所在的主机收集信息进行分析。主机型入侵检测系统保护的一般是所在的系统。这种系统经常运行在被监测的系统之上，用以监测系统上正在运行的进程是否合法。最近出现的一种ID：位于操作系统的内核之中并监测系统的最底层行为。所有这些系统最近已经可以被用于多种平台。网络型入侵检测。它的数据源是网络上的数据包。往往将一台机子的网卡设于混杂模式(PromiseMode)，对所有本网段内的数据包并进行信息收集，并进行判断。一般网络型入侵检测系统担负着保护整个网段的任务。对各种事件进行分析，从中发现违反安全策略的行为是入侵检测系统的核心功能。从技术上，入侵检测分为两类：一种基于标志(CSignature-Based)，另一种基于异常情况(Abnormally-Based)信息系统常见技术安全漏洞与技术安全隐患权限攻击攻击者无须一个账号登录到本地直接获得远程系统的管理员权限，通常通过攻击以root身份执行的有缺陷的系统守护进程来完成。漏洞的绝大部分来源于缓冲区溢出，少部分来自守护进程本身的逻辑缺陷。读取受限文件攻击者通过利用某些漏洞，读取系统中他应该没有权限的文件，这些文件通常是安全相关的。这些漏洞的存在可能是文件设置权限不正确，或者是特权进程对文件的不正确处理和意外dumpcore使受限文件的一部份dump到了core文件中.拒绝服务攻击者利用这类漏洞，无须登录即可对系统发起拒绝服务攻击，使系统或相关的应用程序崩溃或失去响应能力。这类漏洞通常是系统本身或其守护进程有缺陷或设置不正确造成的。口令恢复因为采用了很弱的口令加密方式，使攻击者可以很容易的分析出口令的加密方法，从而使攻击者通过某种方法得到密码后还原出明文来。服务器信息泄露利用这类漏洞，攻击者可以收集到对于进一步攻击系统有用的信息。这类漏洞的产生主要是因为系统程序有缺陷，一般是对错误的不正确处理。漏洞的存在是个客观事实，但漏洞只能以一定的方式被利用，每个漏洞都要求攻击处于网络空间一个特定的位置，因此按攻击的位置划分，可能的攻击方式分为物理接触、主机模式、客户机模式、中间人方式等四种。第四章信息系统应急预案日常准备工作软资源备用：对重要信息资源需要有足够备份，并将备份存放于攻击和灾害不能及的地方。设备备用：在工作现场有主板、硬盘、光驱、网线等备件，以及备用的外部设备。电源备用：配置不间断UPS电源。不间断电源可在断电后维持工作3小时以上。重要或大型系统中的关键设备和信息安全产品采用双机热备份。应急处理流程信息系统管理人员在监控过程中发现或收到其他部门反馈不能正常使用办公或业务应用系统等故障事件，信息系统安全技术人员应立即行动，初步查明原因(电力、服务器、存储、网络、应用系统软件等)，并向部门相关领导汇报。部门领导在听取情况汇报后，根据事件的范围、影响和紧急程度启动相应的专题预案。如果没有相应的专题预案，要根据情况迅速采取措施抑制事件的扩散，恢复系统运行。信息系统管理人员尽快通过电话、短信平台、公司网站等方式向各部门、各煤矿下发《应用系统暂停通知》或公告。各部门、各煤矿要做好信息系统出现故障后的应急安排，尽力减小对公司正常业务的影响。信息系统管理人员进一步落实故障原因，根据事件的范围、影响程度，采取应急措施，尽快恢复系统运行。信息系统管理人员在对系统完成修复后，在完成测试的基础上，经请示相关领导进行系统的启用，同时通过公司网站、电话等向各部门、各煤矿发布系统恢复公告。全局事件处理总公司核心信息系统的外部电力中断、UPS故障等导致的大面积停电事件处理流程：网络线路或网络设备故障导致的内外网中断故障处理流程：服务器或其他机房设备发生的软硬件故障处理流程：信息管理科人员立即到达事故现场，观察故障现