信息系统管理工程师考点：安全管理的实施

13.4安全管理的实施

1.运行管理手册、用户手册、安全性检查清单

系统运行管理手册、系统用户手册、安全性检查清单等属于信息系统的重要资产，在清晰地识别所有资产后，组织应根据资产的重要性形成文件，资产清单应包括所有为从灾难中恢复而需要的信息，包括资产类型、格式、位置、备份信息、许可信息和业务价值。资产清单可帮助确保有效的资产保护，其他业务目的也可能需要资产清单，例如健康与安全、保险和财务原因。编制和维护一份资产清单的过程是风险管理的一个重要的先决条件。

2.分析研究登陆数据、安全性审计支持

对安全要求较高的计算机系统，必须建立安全审计制度。根据安全审计制度及本标准规定的安全要求，对计算机系统进行安全审计，审计结果应报上级机关。按照审计要求改进安全控制后，审计人员应重新评价系统，以保证系统功能不退化。

3.分布式系统现场的安全性

随着互联网的发展，分布式系统在各部门中得到了广泛的部署和应用，但其自身安全和信息安全保障也成为发展中面临的关键问题。在自治的分布式数据库中，不同场地的局部数据库管理员可以采用不同的安全措施，但是无法保证全局数据都是安全的。因为分布式系统是通过通信网络来实现分布控制的，而通信网络本身却在保护数据的安全性和保密性方面存在弱点，数据很容易被窃取。

分布式数据库的设计、场地划分及数据在不同场地的分配比较复杂。数据的划分及分配对系统的性能、响应速度及可用性等具有极大的影响。不同场地的通信速度与局部数据库系统的存取部件的存取速度相比，是非常慢的。通信系统有较高的延迟，在CPU上处理通信信息的代价很高。分布式数据库系统中要注意解决分布式数据库的设计、查询处理和优化、事务管理及并发控制和目录管理等问题。

4.安全性强度测试

强度测试主要分析Web应用程序的性能和可伸缩性问题。对处于高强度下的应用系统，其安全性显得非常的重要，因此必须为待测试的系统设置安全性方案。吞吐量和滞后时间是关键的性能指标。对于给定数量的返回数据，吞吐量是指单位时间（通常是1秒）内处理的客户端请求数量。与给定范围的可用物理资源相比，应用程序的可伸缩性与资源冲突、队列拓扑和应用程序体系结构的关系更大。为机器添加更多的处理器或者为进程添加更多线程，通常不会明显地提高性能，特别是在现有资源尚未充分利用的情况下。确定一个应用程序是否能够承受一定负载的最佳方式，就是通过严格的强度测试（除了可能不现实的实际生产环境测试之外）。即使最简单的可伸缩性模型也是基于非线性关系的，而且来自于简单的系统。对复杂系统来说，对计划的性能建模就难多了，更不用说特殊情况下的性能了。为了合理地得到系统功能的精确规格，需以不同程度的强力测试应用程序，并全面记录实际的性能数。