信息系統(tǒng)安全建設(shè)重要性1. 信息安全建設(shè)的必然性隨著信息技術(shù)日新月異的發(fā)展，近些年來(lái)，各企業(yè)在信息化應(yīng)用和要求方面也在逐步提高，信息網(wǎng)絡(luò)覆蓋面也越來(lái)越大，網(wǎng)絡(luò)的利用率穩(wěn)步提高。利用計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)與各重

信息系統(tǒng)安全建設(shè)重要性

1. 信息安全建設(shè)的必然性

隨著信息技術(shù)日新月異的發(fā)展，近些年來(lái)，各企業(yè)在信息化應(yīng)用和要求方面也在逐步提高，信息網(wǎng)絡(luò)覆蓋面也越來(lái)越大，網(wǎng)絡(luò)的利用率穩(wěn)步提高。利用計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)與各重要業(yè)務(wù)系統(tǒng)相結(jié)合，可以實(shí)現(xiàn)無(wú)紙辦公。有效地提高了工作效率，如外部門戶網(wǎng)站系統(tǒng)、內(nèi)部網(wǎng)站系統(tǒng)、辦公自動(dòng)化系統(tǒng)、營(yíng)銷管理系統(tǒng)、配網(wǎng)管理系統(tǒng)、財(cái)務(wù)管理系統(tǒng)、生產(chǎn)管理系統(tǒng)等。然而信息化技術(shù)給我們帶來(lái)便利的同事，各種網(wǎng)絡(luò)與信息系統(tǒng)安全問(wèn)題也主見(jiàn)暴露出來(lái)。信息安全是企業(yè)的保障，是企業(yè)信息系統(tǒng)運(yùn)作的重要部分，是信息流和資金流的流動(dòng)過(guò)程，其優(yōu)勢(shì)體現(xiàn)在信息資源的充分共享和運(yùn)作方式的高效率上，其安全的重要性不言而喻，一旦出現(xiàn)安全問(wèn)題，所有的工作等于零，

2. 重要信息系統(tǒng)的主要安全隱患及安全防范的突出問(wèn)題 依據(jù)信息安全事件發(fā)生后對(duì)重要系統(tǒng)的業(yè)務(wù)數(shù)據(jù)安全性和系統(tǒng)服務(wù)連續(xù)性兩個(gè)方面的不同后果，重要信息系統(tǒng)頻發(fā)的信息安全事件按其事件產(chǎn)生的結(jié)果可分為如下四類：數(shù)據(jù)篡改、系統(tǒng)入侵與網(wǎng)絡(luò)攻擊、信息泄露、管理問(wèn)題。

2.1數(shù)據(jù)篡改

導(dǎo)致數(shù)據(jù)篡改的安全事件主要有一下集中情況：

2.1.1管理措施不到位、防范技術(shù)措施落后等造成針對(duì)靜態(tài)網(wǎng)頁(yè)的數(shù)據(jù)篡改

據(jù)安全測(cè)試人員統(tǒng)計(jì)，許多網(wǎng)站的網(wǎng)頁(yè)是靜態(tài)頁(yè)面，其網(wǎng)站的后臺(tái)管理及頁(yè)面發(fā)布界面對(duì)互聯(lián)網(wǎng)開(kāi)放，測(cè)試人員使用簡(jiǎn)單的口令暴力破解程序就破解了后臺(tái)管理的管理員口令，以管理員身份登錄到頁(yè)面發(fā)布系統(tǒng)，在這里可以進(jìn)行頁(yè)面上傳、刪除等操作。如果該網(wǎng)站的后臺(tái)管理系統(tǒng)被黑客入侵，整個(gè)網(wǎng)站的頁(yè)面都可以被隨意修改，后果十分嚴(yán)重。一般導(dǎo)致靜態(tài)網(wǎng)頁(yè)被篡改的幾大問(wèn)題為：

1) 后臺(tái)管理頁(yè)面對(duì)互聯(lián)網(wǎng)公開(kāi)可見(jiàn)，沒(méi)有啟用加密措施對(duì)其實(shí)施隱藏保護(hù)，使其成為信息被入侵的重要入口；

2) 后臺(tái)管理頁(yè)面沒(méi)有安全驗(yàn)證機(jī)制，使得利用工具對(duì)登錄頁(yè)面進(jìn)行管理員賬戶

口令暴力破解成為可能；

3) 后臺(tái)管理頁(yè)面登陸口令強(qiáng)度偏弱，使暴力軟件在有限的時(shí)間內(nèi)就猜解出了管

理員賬戶口令；

4) 沒(méi)有使用網(wǎng)頁(yè)防篡改產(chǎn)品，使得網(wǎng)頁(yè)被篡改后不能及時(shí)發(fā)現(xiàn)問(wèn)題并還原網(wǎng)

頁(yè)。

2.1.2 程序漏洞、配置文件不合理等造成針對(duì)動(dòng)態(tài)網(wǎng)頁(yè)、網(wǎng)站數(shù)據(jù)庫(kù)的篡改

經(jīng)過(guò)安全測(cè)試人員的統(tǒng)計(jì)，大部分網(wǎng)站存在SQL 注入。SQL 注入并不是唯一的網(wǎng)頁(yè)程序安全漏洞、配置文件不合理問(wèn)題而導(dǎo)致的。由此，一般導(dǎo)致重要信息系統(tǒng)動(dòng)態(tài)網(wǎng)頁(yè)、網(wǎng)站數(shù)據(jù)庫(kù)篡改的幾大問(wèn)題，分別是：

1) 存在SQL 注入點(diǎn)，使攻擊者可以利用該漏洞得知網(wǎng)站數(shù)據(jù)庫(kù)的基本信息；

2) 使用第三方開(kāi)源軟件，未進(jìn)行嚴(yán)格的代碼審查，致使軟件中存在的漏洞信息

可以被攻擊者輕易獲得；

3) 網(wǎng)站數(shù)據(jù)庫(kù)配置文件的配置不合理，是攻擊者可以遍歷到整個(gè)網(wǎng)站文件目

錄，進(jìn)而找到后臺(tái)管理頁(yè)面；

4) 后臺(tái)管理頁(yè)面使用默認(rèn)登錄名和口令，使攻擊者可以輕易上傳后門程序，并

最終利用后門程序控制整個(gè)網(wǎng)站、篡改網(wǎng)站數(shù)據(jù)。

2.1.3安全意識(shí)淡薄、管理層措施不到位等造成內(nèi)部人員篡改數(shù)據(jù)

內(nèi)部人員篡改數(shù)據(jù)往往是由于安全意識(shí)淡薄、管理層措施不到位等問(wèn)題造成的?？偨Y(jié)出重要信息系統(tǒng)中，導(dǎo)致內(nèi)部人員篡改數(shù)據(jù)的幾大問(wèn)題：

1) 數(shù)據(jù)庫(kù)訪問(wèn)權(quán)限設(shè)置不合理，沒(méi)有劃分角色，沒(méi)有根據(jù)不同角色分配不同權(quán)

限，導(dǎo)致用戶可越權(quán)訪問(wèn)數(shù)據(jù)庫(kù)；

2) 安全審計(jì)和監(jiān)控不到位。內(nèi)部人員實(shí)施犯罪的過(guò)程沒(méi)有被安全審計(jì)系統(tǒng)捕

捉，到時(shí)候無(wú)法追查。在犯罪實(shí)施過(guò)程中也沒(méi)有很好的監(jiān)控機(jī)制對(duì)犯罪行為進(jìn)行監(jiān)控，不能及時(shí)阻斷進(jìn)一步的犯罪行為，因此造成了更嚴(yán)重的后果；

3) 人員離職后沒(méi)有及時(shí)變更系統(tǒng)口令等相關(guān)設(shè)置，也沒(méi)有刪除與離職人員相關(guān)

的賬戶等。

2.1.4 軟件代碼安全造成軟件產(chǎn)品漏洞或后門安全隱患

軟件產(chǎn)品漏洞或后門安全隱患往往是由于軟件代碼安全等問(wèn)題造成的。一般在重要信息系統(tǒng)中導(dǎo)致軟件產(chǎn)品漏洞或后門安全隱患的幾大問(wèn)題是：

1) 軟件設(shè)計(jì)階段沒(méi)有考慮來(lái)自互聯(lián)網(wǎng)的安全威脅；

2) 軟件開(kāi)發(fā)階段缺少針對(duì)源代碼安全質(zhì)量的監(jiān)控；

3) 軟件在交付使用前沒(méi)有進(jìn)行源代碼安全分析。

2.2系統(tǒng)入侵與網(wǎng)絡(luò)攻擊

導(dǎo)致系統(tǒng)入侵與網(wǎng)絡(luò)攻擊的安全事件主要有以下幾種情況：

2.2.1技術(shù)手段落后造成針對(duì)系統(tǒng)的遠(yuǎn)程節(jié)點(diǎn)的入侵

目前任然有重要系統(tǒng)服務(wù)器的管理員使用Telnet 遠(yuǎn)程登錄協(xié)議來(lái)維護(hù)系統(tǒng)，有的管理員甚至將服務(wù)器的Telnet 遠(yuǎn)程登錄協(xié)議端口映射到外網(wǎng)，以便自己在家中就能維護(hù)服務(wù)器和網(wǎng)絡(luò)設(shè)備。而針對(duì)系統(tǒng)的遠(yuǎn)程節(jié)點(diǎn)入侵的幾大問(wèn)題，分別是：

1) 使用明文傳輸?shù)倪h(yuǎn)程登錄軟件；

2) 沒(méi)有設(shè)置安全的遠(yuǎn)程登錄控制策略。

2.2.2保護(hù)措施不到位造成針對(duì)公共網(wǎng)站的域名劫持

由于系統(tǒng)或網(wǎng)站保護(hù)措施不到位，導(dǎo)致域名被劫持。特別是政府網(wǎng)站、大型門戶網(wǎng)站、搜索引擎成為了域名劫持的主要對(duì)象。針對(duì)公共網(wǎng)站的域名劫持往往是由于保護(hù)措施不到位等問(wèn)題造成的?？偨Y(jié)出重要信息系統(tǒng)中，針對(duì)大型公共網(wǎng)站的域名劫持的幾大問(wèn)題，它們是：

1) 域名提供商的程序有漏洞；

2) 域名注冊(cè)信息可見(jiàn)，特別是用于域名更改的確認(rèn)郵件可見(jiàn)。這也是重大安全

問(wèn)題。一旦這個(gè)郵件賬戶被劫持，就可以冒充合法用戶修改網(wǎng)站域名。

2．2．3抗DOoS 攻擊的安全措施不到位造成針對(duì)公共服務(wù)網(wǎng)站被DDoS 攻擊

缺少專門針對(duì)DDoS 攻擊的技術(shù)段等現(xiàn)象在所測(cè)評(píng)的信息系統(tǒng)中普遍存在。有些系統(tǒng)甚至沒(méi)有冗余帶寬和服務(wù)器。其中發(fā)現(xiàn)，許多重要信息系統(tǒng)是單鏈路；20％的重要信息系統(tǒng)服務(wù)器沒(méi)有冗余或集群；即便是在正常訪問(wèn)突發(fā)的情況下也會(huì)造成系統(tǒng)可用性的下降，更不要說(shuō)承受來(lái)自黑客組織的DDoS 攻擊了。總結(jié)出重要信息系統(tǒng)中，針對(duì)公共服務(wù)網(wǎng)站被DDoS 攻擊的幾大問(wèn)題，它們是：

1) 缺少專門的針對(duì)抗DDoS 攻擊的安全措施；

2) 網(wǎng)絡(luò)帶寬及服務(wù)器冗余不足。

2.3信息泄漏

導(dǎo)致信息泄漏的安全事件主要有以下幾種情況：

2.3.1軟件漏洞和安全意識(shí)淡薄造成的內(nèi)部郵件信息泄露

內(nèi)部郵件信息泄露往往是由于軟件漏洞和安全意識(shí)淡薄等問(wèn)題造成的。總結(jié)出重要信息系統(tǒng)中，導(dǎo)致內(nèi)部郵件信息泄露的幾大問(wèn)題：

1) 沒(méi)有及時(shí)刪除測(cè)試用戶賬戶，且測(cè)試賬戶的口令強(qiáng)度很弱；

2) 使用存在已知安全漏洞的第三方郵件系統(tǒng)；

3) 郵件系統(tǒng)沒(méi)有做安全加固；

4) 郵件系統(tǒng)使用者安全意識(shí)淡薄，對(duì)內(nèi)部文件信息不加密。

2.3.2終端安全問(wèn)題造成互聯(lián)網(wǎng)終端用戶個(gè)人或內(nèi)部文件信息泄露

1) 專機(jī)不專用，沒(méi)有為專門任務(wù)配置專用終端；

2) 網(wǎng)絡(luò)劃分不合理，重要管理終端所在分區(qū)不在專網(wǎng)內(nèi)?？缇W(wǎng)段管理存在巨大

安全風(fēng)險(xiǎn)；

3) 終端管理技術(shù)手段不完備，使終端操作系統(tǒng)安全風(fēng)險(xiǎn)較高；

4) 安全意識(shí)淡薄，對(duì)內(nèi)部信息保管不善。

2.4管理問(wèn)題

在信息安全領(lǐng)域有句話叫“三分技術(shù)，七分管理”，如果沒(méi)有科學(xué)完備的一整套管理體系支撐，技術(shù)也發(fā)揮不了它應(yīng)有的作用。管理問(wèn)題主要有以下幾種情況：

1) 管理制度不落實(shí)造成工作流程不規(guī)范；

2) 管理措施不配套造成管理效能未達(dá)預(yù)期效果；

3) 應(yīng)急預(yù)案可操作性差造成安全事件處置不當(dāng)。

綜上所述，管理體系的建立健全，是一個(gè)系統(tǒng)而龐大的工程。這需要多方配合和努力。一個(gè)好的管理體系可以支撐甚至彌補(bǔ)技術(shù)措施的欠缺。

3. 從信息安全等級(jí)保護(hù)方面加強(qiáng)信息安全

3.1 信息安全技術(shù)層面

3.1.1物理方面

物理安全保護(hù)的目的主要是使存放計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備的機(jī)房以及信息系統(tǒng)的設(shè)備和存數(shù)數(shù)據(jù)的介質(zhì)等免受物理環(huán)境、自然災(zāi)難，以及人為操作失誤和惡意操作等各種威脅所產(chǎn)生的攻擊。物理安全是防護(hù)信息系統(tǒng)安全的最底層，缺乏物理安全，其他任何安全措施都是毫無(wú)意義的。

根據(jù)自然災(zāi)害可能因?qū)稹⑺?、電等控制不?dāng)或因人為因素而導(dǎo)致的后果，物理安全要求包括了針對(duì)人員威脅的控制要求（如物理訪問(wèn)控制、防盜竊和防破壞、電磁防護(hù)等），以及針對(duì)自然環(huán)境威脅的控制要求（如防火、防水、防雷擊等）。

3.1.2 網(wǎng)絡(luò)方面

網(wǎng)絡(luò)安全為信息系統(tǒng)在網(wǎng)絡(luò)環(huán)境的安全運(yùn)行提供支持。一方面，確保網(wǎng)絡(luò)設(shè)備的安全運(yùn)行，提供有效的網(wǎng)絡(luò)服務(wù)；另一方面，確保在網(wǎng)上傳輸數(shù)據(jù)的保密性、完整性和可用性等。由于網(wǎng)絡(luò)環(huán)境是抵御外部攻擊的第一道防線，因此必須進(jìn)行各方面的防護(hù)。對(duì)網(wǎng)絡(luò)安全的保護(hù)，主要關(guān)注兩個(gè)方面：共享和安全。開(kāi)放的網(wǎng)絡(luò)環(huán)境便利了各種資源之間的流動(dòng)、共享，但同時(shí)也打開(kāi)了“罪惡”的大門。因此，必須在二者之間尋找恰當(dāng)?shù)钠胶恻c(diǎn)，是的在盡可能安全的情況下實(shí)現(xiàn)最大程度的資源共享，這是實(shí)現(xiàn)網(wǎng)絡(luò)安全的理想目標(biāo)。

由于網(wǎng)絡(luò)具有開(kāi)放等特點(diǎn)，相比其他方面的安全要求，網(wǎng)絡(luò)安全更需要注重整體性，及要求從全局安全角度關(guān)注網(wǎng)絡(luò)整體結(jié)構(gòu)和網(wǎng)絡(luò)邊界（網(wǎng)絡(luò)邊界包括外部邊界和內(nèi)部邊界），也需要從局部角度關(guān)注網(wǎng)絡(luò)設(shè)備自身安全等方面。

網(wǎng)絡(luò)安全要求中對(duì)廣域網(wǎng)絡(luò)、城域網(wǎng)絡(luò)等通信網(wǎng)絡(luò)的要求由構(gòu)成通信網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)別、安全設(shè)備等的網(wǎng)絡(luò)管理機(jī)制提供的功能來(lái)滿足。對(duì)局域網(wǎng)安全的要求主要通過(guò)采用防火墻、入侵檢測(cè)系統(tǒng)、惡意代碼防范系統(tǒng)、邊界完整性檢查系統(tǒng)及安全管理中心等安全產(chǎn)品提供的安全功能來(lái)滿足。而結(jié)構(gòu)安全是不能夠由任何設(shè)備提供的，它是對(duì)網(wǎng)絡(luò)安全結(jié)構(gòu)設(shè)計(jì)的整體要求。

3.1.3主機(jī)安全

主機(jī)是由服務(wù)器、終端/工作站等引硬件設(shè)備與設(shè)備內(nèi)運(yùn)行的操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)及其他系統(tǒng)級(jí)軟件共同構(gòu)成。主機(jī)安全要求通過(guò)操作系統(tǒng)、數(shù)據(jù)庫(kù)管理

系統(tǒng)及其他安全軟件（包括防病毒、防入侵、木馬檢測(cè)等軟件）實(shí)現(xiàn)了安全功能來(lái)滿足。信息系統(tǒng)內(nèi)的服務(wù)器按其功能劃分，可分為應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、安全服務(wù)器、網(wǎng)絡(luò)管理服務(wù)器、通信服務(wù)器、文件服務(wù)器等多種服務(wù)器。終端可分為管理終端、業(yè)務(wù)中斷、辦公終端等。

主機(jī)是網(wǎng)絡(luò)上的單個(gè)節(jié)點(diǎn)，因此主機(jī)安全是分散在各個(gè)主機(jī)系統(tǒng)上的，不像網(wǎng)絡(luò)安全需要考慮安全功能的整體效果。

3.1.4 應(yīng)用安全

應(yīng)用安全是繼網(wǎng)絡(luò)、主機(jī)系統(tǒng)的安全防護(hù)之后，信息系統(tǒng)整體防御的最后一道防線。但應(yīng)用系統(tǒng)安全與網(wǎng)絡(luò)、主機(jī)安全不同，應(yīng)用系統(tǒng)一般需要根據(jù)業(yè)務(wù)流程、業(yè)務(wù)需求由用戶定制開(kāi)發(fā)。因此，應(yīng)用系統(tǒng)安全的實(shí)現(xiàn)機(jī)制更具靈活性和復(fù)雜性。

應(yīng)用系統(tǒng)是直接面向最終的用戶，為用戶提供所需的數(shù)據(jù)和處理相關(guān)信息、因此應(yīng)用系統(tǒng)可以提供更多與信息保護(hù)相關(guān)的安全功能。

應(yīng)用安全要求通過(guò)應(yīng)用系統(tǒng)、應(yīng)用平臺(tái)系統(tǒng)等實(shí)現(xiàn)的安全功能來(lái)滿足。如果應(yīng)用系統(tǒng)是多層結(jié)構(gòu)的，一般不同層的應(yīng)用都需要實(shí)現(xiàn)同樣強(qiáng)度的身份鑒別，訪問(wèn)控制、安全審計(jì)、剩余信息保護(hù)及資源控制等，但通信保密性、完整性一般在同一個(gè)層面實(shí)現(xiàn)。

3.1.5數(shù)據(jù)安全及備份恢復(fù)

信息系統(tǒng)處理的各種數(shù)據(jù)（用戶數(shù)據(jù)、系統(tǒng)數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)等）在維持系統(tǒng)正常運(yùn)行上起著至關(guān)重要的作用。一旦數(shù)據(jù)遭到破壞（泄露、修改、毀壞），都會(huì)在不同程度上造成影響，從而危害到系統(tǒng)的正常運(yùn)行。由于信息系統(tǒng)的各個(gè)層面（網(wǎng)絡(luò)、主機(jī)系統(tǒng)、應(yīng)用等）都對(duì)各類數(shù)據(jù)進(jìn)行傳輸、存儲(chǔ)和處理，因此對(duì)數(shù)據(jù)的保護(hù)需要物理環(huán)境、網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)和操作系統(tǒng)、應(yīng)用程序等提供支持。

3.2信息安全管理方方面

3.2.1安全管理制度

在信息安全中，最活躍的因素是人，對(duì)人的管理包括法律、法規(guī)與政策的約束、安全指南的幫助、安全意識(shí)的提高、安全技能的培訓(xùn)、人力資源管理措施以及企業(yè)文化的熏陶，這些功能的實(shí)現(xiàn)都是以完備的安全管理政策和制度為前提。

這里所說(shuō)的安全管理制度包括信息安全工作的總體方針、政策和規(guī)范，各種安全管理活動(dòng)的管理制度，以及管理人員或操作人員日常的操作規(guī)程。

安全管理制度的制定與正確實(shí)施西信息系統(tǒng)安全管理起著非常重要的作用，不僅促使全體員工參與到保證信息安全的行動(dòng)中來(lái)，而且能有效降低由于管理實(shí)務(wù)所造成的對(duì)系統(tǒng)安全的損害。通過(guò)制定安全管理制度，能夠使責(zé)權(quán)明確，保證工作的規(guī)范性和可操作性。

3.2.2安全管理機(jī)構(gòu)

安全管理的重要事實(shí)條件就是要建立一個(gè)統(tǒng)一指揮、協(xié)調(diào)有序、組織有力的安全管理機(jī)構(gòu)，這是信息安全管理得以實(shí)施、推廣的基礎(chǔ)。通過(guò)構(gòu)建從單位信息安全決策層、到管理層及執(zhí)行層或具體業(yè)務(wù)運(yùn)營(yíng)層的組織體系，明確各個(gè)崗位的安全職責(zé)，為安全管理提供組織上的保證。

3.2.3人員安全管理

人員是信息安全中最關(guān)鍵的因素，同時(shí)也是信息安全中最薄弱的環(huán)節(jié)。很多重要的信息系統(tǒng)安全問(wèn)題都涉及用戶、涉及人員、實(shí)施人員，以及管理人員。如果這些人員有關(guān)的安全問(wèn)題沒(méi)有得到很好的解決，任何一個(gè)信息系統(tǒng)都不可能達(dá)到真正的安全。只有對(duì)人員進(jìn)行了正確、完善的管理，才有可能降低人為錯(cuò)誤、盜竊、詐騙和誤用設(shè)備而引發(fā)的風(fēng)險(xiǎn)，從而減小信息系統(tǒng)因人員錯(cuò)誤而造成損失的概率。

3.2.4系統(tǒng)建設(shè)管理

信息系統(tǒng)的安全管理貫穿系統(tǒng)的整個(gè)生命周期，系統(tǒng)建設(shè)管理主要關(guān)注的是生命周期中的前三個(gè)階段（即初始、采購(gòu)、實(shí)施）中的各項(xiàng)安全管理活動(dòng)。系統(tǒng)建設(shè)有其自身的規(guī)律性，需要經(jīng)歷信息系統(tǒng)工程的必要過(guò)程，《基本要求》對(duì)系統(tǒng)建設(shè)管理的要求就是以這些工程過(guò)程為主線，增加了按等級(jí)保護(hù)管理引入的系統(tǒng)定級(jí)、定級(jí)備案和等級(jí)測(cè)評(píng)等屬于國(guó)家管理要求的環(huán)節(jié)，其他環(huán)節(jié)服從系統(tǒng)工程的一般規(guī)律。

信息系統(tǒng)在建設(shè)過(guò)程中，要經(jīng)過(guò)系統(tǒng)定級(jí)、方案設(shè)計(jì)、產(chǎn)品采購(gòu)、軟件開(kāi)發(fā)、工程實(shí)施、測(cè)試驗(yàn)收、系統(tǒng)交付等若干階段，每個(gè)階段都涉及很多活動(dòng)，只有對(duì)這些活動(dòng)實(shí)施科學(xué)和規(guī)范的管理，才能保證系統(tǒng)建設(shè)的進(jìn)度和質(zhì)量。

3.2.5系統(tǒng)運(yùn)維管理

當(dāng)信息系統(tǒng)建設(shè)完成且投入運(yùn)行之后，接下來(lái)的工作就是如何維護(hù)和管理信息系統(tǒng)了。系統(tǒng)運(yùn)行設(shè)計(jì)很多管理方面，主要包括系統(tǒng)的環(huán)境和相關(guān)資源的管理、系統(tǒng)運(yùn)行過(guò)程中個(gè)組件的維護(hù)和監(jiān)控管理、網(wǎng)絡(luò)和系統(tǒng)的安全管理、密碼管理、系統(tǒng)變更的管理、惡意代碼防護(hù)管理、安全世家處置以及應(yīng)急響應(yīng)管理等。同時(shí)，還要監(jiān)控系統(tǒng)由于一些原因發(fā)生的重大變化，安全措施也要進(jìn)行相應(yīng)的修改，以維護(hù)系統(tǒng)始終處于相應(yīng)安全保護(hù)等級(jí)的安全狀態(tài)中。對(duì)系統(tǒng)實(shí)施有效、完善的維護(hù)管理是保證系統(tǒng)運(yùn)行階段安全的基礎(chǔ)。