人员安全管理的原则及措施

5.1.2　人员安全管理的原则及措施

1.加强企业人员安全管理应该基于以下安全原则：

（1）多人负责原则，即每一项与安全有关的活动，都必须有2人或多人在场。

（2）任期有限原则，任何人最好不要长期担任与安全有关的职务，以保持该职务具有竞争性和流动性。

（3）职责分离原则，出于对安全的考虑，科技开发、生产运行和业务操作都应当职责分开。

2.企业内联网的人员安全管理措施可从以下方面考虑：

（1）领导者安全意识

定期制订安全培训计划，组织安全学习活动，责成各级高层管理人员经常关注和强化计算机安全技术和保密措施。如组织计算机安全任务小组来评定整个系统的安全性，安全小组应及时向高级管理层报告发现的问题并提出安全性建议，领导者可授权安全小组制定各种安全监督措施。对那些违反安全规则的人员，管理层应进行惩罚。同时，领导者应严于律己，不得将内部机密轻易泄露给他人，尤其注意收发电子邮件时，不将企业专有信息放在网络服务器和FTP服务器上。

（2）系统管理员意识

①保证系统管理员个人的登录安全。

②给账号和文件系统分配访问权限。

③经常检查系统配置的安全性。如线路连接及设备安全、磁盘备份是否安全等。

④注意软件版本的升级，安装系统最新的补丁程序，尽量减少入侵者窃取到口令文件的可能性，关掉不必要的服务，如端口23、79、139，减少入侵者入侵途径。

若条件允许，可在网络中安装网络监测软件或其他分析软件，并对网络流量的突变进行分析。另外，定期检查用户的安全使用状况，提醒用户的非安全行为，并将安全检查结果交给上级部门及其本人。

（3）一般用户安全意识

①经常参加计算机安全技术培训，学习最新安全防护知识。

②以合法用户身份进入应用系统，享受授权访问信息。

③不与他人共享口令，并经常更换口令。

④不将一些私人信息，如公司计划或个人审查资料存入计算机文件。

⑤注意将自己的主机设为拒绝未授权远程计算机的访问请求。

⑥保证企业的原始记录，如发票、凭证、出库和入库单等不被泄露。

⑦自觉遵守公司制定的安全保密规章制度，不制作、复制和传播违法违纪的内容，不进行危害系统安全的活动。

（4）外部人员

企业信息系统除应加强管理内部人员的行为外，还应严防外部人员的侵袭。在这方面还应看到我国与国外，尤其是与美国的系统安全是不对等的，因为我国的许多硬件设备是从国外进口的，而我国自己的安全产品研究及开发尚处在初级阶段，因此应特别留意那些进口产品及谙熟这些产品的高级计算机人员。

对外部人员的防范措施有：

①企业应监视和分析系统维护前后源代码及信息系统运行情况，防止开发维护人员的破坏行为。

②将特殊身份人员(如警察、记者等)的权限限制到最小范围。

③密切注视竞争对手的近况，防止商业间谍偷袭。加强系统安全设施建设，配备坚固的硬件设施和采用优秀的开发软件是企业稳固网络安全的保障。如采用安全扫描、安全实时监控与入侵发现技术、可生存技术等。

网络安全体系的建立关键在于人，尤其是网络安全人才。因为所有的网络安全技术、措施和工具都只能作为辅助手段，而策略的制定、技术工具的实施和最终规划落实都需要人来执行。所以“网络安全，人才先行”，这是当前我国急需解决的关键问题。

【相关案例】

本报上海11月12日电全国首例非法操纵证券价格案，今天上午在上海市静安区人民法院进行了一审判决。被告人赵某被一审判处有期徒刑三年。

法院的判决书指出，被告人赵某为了使自己和朋友获利，在今年4月16日，通过某证券营业部的电脑非法侵入该证券公司的内部计算机信息系统，对待发送的委托数据进行修改，造成当天下午开市后，“兴业房产”、“莲花味精”两种股票的价格被拉至涨停板价位，造成这家证券营业部遭受损失295万余元，被告人的行为已经构成操纵证券交易价格罪。法院根据刑法第182条等条款，判处被告人有期徒刑三年，处罚金一万元并赔偿某证券公司损失249万元，同时追缴赵某违法所得7277元。

据悉，作案人赵某，现年28岁，在上海市某证券营业部工作。今年4月16日窜至上海新闸路某证券公司营业部，利用该营业部电脑安全防范上的漏洞，修改该营业部部分股票交易数据，致使下午股市开盘不久，“兴业房产”和“莲花味精”两只股票瞬间便被拉到涨停板价位，成交量也急剧放大。仅仅维持了片刻，这两只股票的价格又迅速回落，从而引起股价在短时间内剧烈震荡。上海证券交易所发现这一情况后，查出是海南某证券公司出现大笔买盘所致。经检查，发现电脑系统遭“黑客”侵入。今天一审判决后，赵某说：“法院的判决是公正的”。此案给疏于防范的证券营业部敲响了警钟。