网络安全管理：三分技术加七分管理

但出于资金考虑，一个单位愿意花几十万元购买安全产品，而往往不愿意让技术人员参加有偿培训,这是一个极大的误区。

　　网络安全是一门新兴的技术,即便是对计算机专业人员来说也是一个崭新的领域.如果技术人员对安全产品只有一知半解,就不能对产品正确配置,甚至根本配置错误,不但大的安全投入得不到保护,而且带来虚假的安全。对于安全产品不能买回来一装了事，应该了解安全工具的局限性和双刃性以及错误的配置带来的问题。这要求技术人员不但要懂网络、懂安全，还要了解应用需求，了解网络协议、网络攻击手段，认清并处理网络病毒、密码攻击、分组窃听、IP欺骗、拒绝服务、信任关系利用、端口攻击、未授权访问等多样化的攻击手段。

　　针对技术人员的培训包括：网络安全理论培训、安全技术培训、安全产品培训以及本部业务培训。

　　三、建立严格制度的文档

　　网络建设方案：网络技术体制、网络拓扑结构、设备配置、IP地址和域名分配方案等相关技术文档；

　　机房管理制度：包括对网络机房实行分域控制，保护重点网络设备和服务器的物理安全；

　　各类人员职责分工：根据职责分离和多人负责的原则，划分部门和人员职责。包括对领导、网络管理员、安全保密员和网络用户职责进行分工；

　　安全保密规定：制定颁布本部门计算机网络安全保密管理规定；

　　网络安全方案：网络安全项目规划、分步实施方案、安全监控中心建设方案、安全等级划分等整体安全策略；

　　安全策略文档：建立防火墙、入侵检测、安全扫描和防病毒系统等安全设备的安全配置和升级策略以及策略修改登记；

　　口令管理制度：严格网络设备、安全设备、应用系统以及个人计算机的口令管理制度；

　　系统操作规程：对不同应用系统明确操作规程，规范网络行为；

　　应急响应方案：建立网络数据备份策略和安全应急方案，确保网络的应急响应；

　　用户授权管理：以最小权限原则对网络用户划分数据库等应用系统操作权限，并做记录；

　　安全防护记录：记录重大网络安全事件，对网络设备和安全系统进行日志分析，并提出修复意见；

　　定期对系统运行、用户操作等进行安全评估，提交网络安全报告。

　　其它制度还有信息发布审批、设备安装维护管理规定、人员培训和应用系统等，以及全面建立计算机网络各类文档，堵塞安全管理漏洞。
(e129)