第一篇:信息與網絡安全管理規定
計算機與網絡信息安全管理規定(試行)
為了加強中心計算機及網絡信息安全的管理,確保計算機與網絡信息安全穩定的運行,促進醫院信息化建設和信息共享利用,現結合實際情況,制定本管理規定。
第一章 總則
第一條
本辦法適用于中心范圍內的計算機使用、信息采集、管理、利用、安全和隱私保護、網絡安全管理等工作。本規定中的“信息”,是指依據國家法律法規和工作職責,中心在醫療服務和管理過程中產生的基本信息、醫療衛生服務信息等。本規定中的“網絡”是指計算機及其它終端設備的聯網和接入互聯網等。
第二條 任何處(科)室和個人利用計算機以及網絡設備時,應自覺遵守國家相關法規。不得利用計算機以及網絡設備從事危害國家和中心利益的活動,不得危害中心網絡信息系統的安全。任何處(科)室和個人利用計算機以及網絡信息系統制作、復制、傳播和查閱信息時,須遵守國家的《互聯網信息服務管理辦法》。若有違反,將由國家相關部門按規定進行處罰,構成犯罪的,依法追究刑事責任。
第三條 中心信息化建設小組是中心計算機與網絡信息安全的管理機構,負責審議和組織制定醫院計算機與網絡信息安全等方面的發展規劃。
第四條 信息科是中心信息與網絡安全的職能管理部門,負責信息與網絡安全的建設、應用組織和日常管理。第五條
信息科發現影響計算機與網絡信息安全的隱患時,可立即采取各種有效措施予以制止。在緊急情況下,可以就涉及計算機與網絡信息安全的特定事項采取特殊措施進行防范和處理,并視情況予以通報和提出處理建議。
第二章 計算機使用管理
第一條 各處(科)室所使用的計算機及其軟硬件設施,享有日常使用的權利,負有保管的義務。
第二條 計算機開啟關閉應按規定步驟進行,工作人員應規范使用計算機設備。如因操作不當等原因導致設備損壞,將視情節處理。
第三條 各處(科)室計算機實行專人專用,若出現異常和故障情況須及時向信息科報告,不得擅自修改計算機的IP地址和網絡設置參數。
第四條 各處(科)室確需增加計算機設備或網絡終端接口,應向信息科提出申請,經批準后,由信息科人員負責接入和調試。
第五條 禁止私自拆卸和擅自修理計算機,禁止私自更換計算機硬件設備。如需修理或更換,應先向信息科或采購管理部門提出申請,經審批后由相關專業人員負責修理或更換。
第三章 網絡信息安全管理
第一條 網絡信息系統的賬號、密碼等嚴禁外借、外泄,并應定期修改。若因賬號和密碼泄露造成網絡信息系統被更改或造成損失的,由泄密者承擔全部責任。第二條 對網絡信息系統的軟件、設備、設施的安裝、調試以及故障排除等操作由信息科統籌安排相應的技術人員負責。其他任何科室或個人不得自行拆卸、安裝任何軟、硬件設施。
第三條 任何處(科)室和個人不得從事下列(包括但不限于)危害中心網絡信息安全的活動:
1.未經允許,進入醫院網絡信息系統或者使用網絡信息系統資源的;
2.未經允許,對網絡信息系統功能進行刪除、修改或者增加的; 3.未經允許,不得擅自在內網業務系統的設備上裝載其他軟件和移動存儲設備等。
4.未經允許,不得私自架設無線網絡設備和基站
5.未經允許,對網絡信息系統中存儲、處理或者傳輸的數據和應用程序進行刪除、修改或者增加的;
6.禁止將內網業務系統的計算機連接Internet網或其他公共網絡
7.故意制作、傳播計算機病毒等破壞性程序的; 8.其他危害網絡信息系統安全的。
第四條 任何個人不得隨意向外單位或個人提供紙質或電子版的數據庫信息,如確須提供的,需經相關業務分管領導審核、審批同意,并經相關業務科室負責人簽字確認后方可提供。
第五條 信息科要定期檢查各計算機終端運行情況,發現問題,及時排除。第六條 未經允許,禁止開設文件服務器、共享服務器、下載服務器、FTP服務器、WEB服務器、E-MAIL服務器、游戲服務器、媒體服務器、網絡磁盤、聊天服務器等各種對外服務器。
第七條 信息科要加強數據庫系統和機房的管理,確保數據庫系統的安全和機房的正常運行。
第八條 在網絡信息系統設施附近進行房屋維修、工程改造及其他活動,不得危害網絡信息系統(含弱電井內設施)的安全和管理,不得影響網絡信息系統設備的使用。如無法避免而影響信息網絡系統設施安全和運行的作業和工程,須事先通知信息科,經信息科負責人同意并采取保護措施和方案后,方可實施作業。
第九條 違反本規定,視情況予以處理和通報,造成損失的,追究當事人責任。
第四章 附 則
本規定由信息科負責解釋,信息科可根據本規定制訂具體的實施細則和工作制度。
本辦法自發文之日起實行。
第二篇:信息網絡安全管理規定
信息網絡安全管理規定
第一章總則
第一條為了加強我院院網網絡安全與信息安全以及計算機信息保密工作,依照《中華人民共和國計算機信息系統安全保護條例》、《中華人民共和國計算機信息網絡國際聯網管理暫行規定》、《中華人民共和國計算機信息網絡國際聯網安全保護管理辦法》、《計算機信息系統國際聯網保密管理規定》、制定本管理規定。
第二條本管理規定所引用的術語的含義按第一條所引用的國家法規解析。
第三條本規定的適用對象院網的用戶。
第四條院網的所有工作人員和用戶都有義務和責任認真執行本管理規定,必須遵守國家有關法律、法規,嚴格執行安全保密制度,并對所使用的計算機的管理、使用行為與所提供的網上信息負責。
第五條將根據國家有關計算機信息網絡安全的法律與法規的變動情況,適時修改本規定的內容。
第六條各個部門應積極采取各種技術和行政手段來保證我院信息安全。
第七條 院網信息網絡安全接受并配合國家有關部門依法進行監督檢查。
第二章管理機構與職能
第八條信息網絡安全實行統一領導、統一規劃、分級管理制度。
第九條醫院設立計算機信息網絡安全領導小組,由醫院領導、各科室主要負責人組成。領導小組下設網絡安全組與信息安全組。網絡安全日常管理工作由技術服務中心負責,信息安全的日常工作由信息安全組負責。
第十條領導小組負責院的信息網絡安全的領導工作,制定各項管理政策和整體規劃,討論解決安全管理中的重大問題。
第十一條網絡安全組由技術服務中心,各科室的工作人員組成,參加人員稱為網絡安全人員。
第十二條信息安全組由各個業務部門負責網上信息的發布、監督與保衛部門的工作人員組成,參加人員稱為信息安全人員。
第十三條各部門的網絡安全員受權負責本部門計算機網絡設備、計算機系統與業務應用系統的安全與保密工作。
第十四條信息安全員受權負責本部門的計算機信息、網上信息的檢查、監督與監控等安全工作。
第十五條設立院級網絡安全員、信息安全員各一名,分別負責、協調全孟的網絡安全與信息安全的日常工作以及對外聯系的工作。人員分別由負責日常工作的技術服務中心與保衛科人員擔任。
第十六條院信息網絡安全實行責任人制度,各科室主要領導為部門第一責任人。
第三章信息網絡安全工作制度
第十七條 院信息網絡安全領導小組定期檢查全校的計算機信息網絡安全工作。
第十八條 技術服務中心定期舉行計算機系統安全的技術培訓與政策教育的學習活動。
第十九條 技術服務中心實行值班制度,負責院網絡安全與信息安全的值班工作。
第二十條 各個部門的系統管理員、安全員做好本部門的計算機系統與網絡系統的信息保密工作,對系統的結構、設備、系統密碼、用戶信息、系統的重要數據做好備案工作,備案信息由部門保管。系統管理員、安全員在調離本部門工作時,應移交上述材料,并對上述信息負有保密責任。
第二十一條 各部門的服務器未經部門領導批準,不得安裝其它與業務系統無關的軟件與設備。
第二十二條 各部門應制定本部門的計算機信息數據備份策略,定期做好數據備份,對使用的系統(硬件、軟件)做好系統安全的升級工作。
第二十三條 醫院各部門與計算機用戶應做好計算機的病毒防范工作,定期查毒。各部門應設專人負責病毒軟件保管、定期升級的安全工作。
第二十四條 使用計算機網絡進行文件與數據傳輸時,應該做好病毒的清查工作。在計算機軟件與硬件使用前,應做好病毒與其它有害數據的檢測工作。
第二十五條 如發現不能清除的病毒,應對文件數據采取保護措施,追查病毒的來源;并在24小時內通知技術服務中心與保衛部門,由院部門向上級匯報。
第二十六條 院網絡發布的信息分為綜合信息與專欄信息兩大類。綜合信息指院的政策、法規、對外宣傳與報道、院內部文件、新聞信息等;專欄信息指經院領導同意專門發布的其他信息信息。
第二十七條各部門管理和發布的信息應具有真實性、完整性和可靠性。第二十八條上網信息實行責任簽發制度。網絡信息安全組長負責院綜合信息的安全審核、簽發。綜合信息需有文字材料備案,并實行年終歸檔。專欄信息由校領導簽發后由技術服務中心負責發布。
第二十九條BBS系統的信息由技術服務中心總審核,對這些系統中出現的反動、黃色等有害信息應及時刪除和過濾。
第三十條BBS實行欄目與版主專人負責制,并對其欄目內容的安全負責,版主負責人由技術服務中心審批設立、并備案。
第三十一條各部門對出現的計算機安全事故,應及時上報保衛部門與技術服務中心,不得隱瞞。
第三十二條院保衛、保密部門做好院網、特別是重點部門、要害部門的計算機信息的保密監督檢查工作。
第四章用戶安全責任制度
第三十三條 我院網用戶均要對其使用計算機的管理、安全與網絡行為負責。第三十四條院各科室執行登記制度。
第三十五條任何單位和個人,不得從事下列活動:
(1)利用計算機信息網絡制作、傳播、復制反動與黃色等有害信息;
(2)非法侵入網絡系統與信息系統;
(3)非法竊取計算機與網絡系統中信息資源;
(4)違反國家規定,對計算機信息系統功能進行增加、刪除、修改、干擾,影響計算機信息系統正常運行;
(5)違反國家規定,對計算機信息系統中存儲、處理或者傳輸的數據和應用程序進行增加、刪除、修改、復制等;
(6)未經授權查閱他人電子郵箱;
(7)未經批準,私設網站與發布信息。
(8)冒用他人名義發送電子郵件;
(9)故意干擾計算機信息網絡暢通;
(10)瀏覽反動、黃色的網站。
(11)從事其它危害網絡與信息系統安全的活動。
第三十六條院所有的計算機用戶有義務向網絡安全員、技術服務中心與保衛部門舉報違法犯罪行為與有害信息。
第五章獎勵與處罰
第三十七條我院對出現的計算機安全事故實行事故責任追究制度,按院的有關規定執行。
第三十八條我院把信息網絡安全工作納入日常工作,并由有關部門進行年終考評,對工作完成好的部門與個人進行表揚獎勵,對工作制度落實不好的部門提出整改、批評、警告等。
第六章附則
第三十九條本管理規定由院就計算機信息網絡安全領導小組解釋。第四十條本規定自公布之日起施行。
義烏市皮膚病醫院
稠江中心衛生院
第三篇:03344信息與網絡安全管理1004
計算機網絡定義:凡將地理位置不同的具有獨立功能的計算機系統通過信息設備和通信線路連接起來,在網絡軟件支持下進行數據通信,資源共享和協同工作的系統。
網絡安全的五個屬性:可用性,機密性,完整性,可靠性,不可抵賴性,1、網絡安全威脅定義:指某個實體對某一網絡資源的機密性,完整性,可用性,及可靠性,等可能造成的危害,安全威脅分為故意的和偶然的。
2、哪種威脅是被動威脅“截獲,纂改,偽造,主動的是:中斷
3、安全威脅的主要表現形式:授權侵犯,旁路控制,拒絕服務,竊聽,電磁泄漏,非法使用,信息泄漏,完整性破壞,假冒,物理浸入,重放,否認,資源耗盡,業務流分析,特洛伊木馬,陷門,人員疏忽,4、什么是重放:出于非法目的而重新發送截獲的合法通信數據的拷貝,5、什么是陷門:在某個系統或文件中預先設置的“機關”特定的輸入時,允許違反安全計策。,使得當提供
6、網絡安全策略包括哪4方面:物理安全策略,訪問控制策略,信息加
密策略,安全管理策略。
7、安全訪問策略就是一組用于確認主體是否對客體具有訪問權限的規
則。
8、P2DR一的安全策略的控制和指導下,模型的4部分,它的基本思想:一個系統的安全應該在一個統
綜合應用各種安全技術對系統進行保護,同時利用檢測工具來監視和評估系統的安全狀態,并通過適當的響應機制來將系統調整到相對“最安全”和“風險最低”的狀態。
9、PDRR模型的4部分:防護,檢查,響應,恢復。
10、常用網絡服務有哪些,它們的作用。:Telnet.FTPE—Mailwww11、DNS
安全訪問策略就是一組用于確認主體是否對客體具有訪問權限的規
則。
12、IP分段偏移,生命期,頭部檢驗和,源頭結構::版本,頭長度,服務類型,風包總長度,標示,標志,IP地址。
13、TCP頭結構:源端口,目的端口,順序號,確認號,頭長度,1415、、ping ftp命令中上傳和下載指令分別是什么。指令的功能:是用來檢測當前主機與目的主機之間的連同情況。Put和get16、怎么利用Tracert指令來確定從一個主機到其他主機的路由。:通過向
目標發送不同IP 生存時間(TTL)值的ICMP數據包,Tracert診斷程序確定到目標所采取的路由。
17、什么是基于密鑰的算法:密碼體制的加密,解密算法是公開的,算法的可變參數是保密的,密碼系統的安全性僅依賴于密鑰的安全性,這樣的算法稱為基于密鑰的算法,分為兩種:對稱加密算法和非對稱算法。1819、、什么是對稱加密算法、非對稱加密算法:加密密鑰和解密密鑰相同對DES、三重DES進行窮舉攻擊,各需要多少次。:2 112和2 64。20、給定p、q、e、M,設計一個RSA算法,求公鑰、私鑰,并利用RSA
進行加密和解密:公鑰:n=P*q(p-1)(q-1)))加密c=m ee=(p-1)(q-1)(mod n)解密m=c d
私鑰 d : e-1(mod n)
((mod21、使用對稱加密和仲裁者實現數字簽名的步驟A用Kac加密準備發給
B吧這個解密的消息及自己的證明的消息M,并將之發給仲裁者,仲裁者用S用Kac加密,仲裁者吧加密的消Kac解密消息,仲裁者息發給B,B用與仲裁者共享的密鑰Kac解密收到的消息,就可以看到來自于A的消息M和來自仲裁者的證明S。
22、使用公開密鑰體制進行數字簽名的步驟:A 用他的私人密鑰加密消
息,從而對文件簽名。A將簽名的消息發送給B,B用A 的公開密鑰解消息,從而驗證簽名。
23、使用公開密鑰體制與單向散列函數進行數字簽名的步驟A使消息M
通過單向散列函數H,產生散列值,幾消息的指紋或稱消息驗證碼,A字簽名一起發給使用私人密鑰對散列值進行加密,形成數字簽名B,B 收到消息和簽名后,用A的公開密鑰解密數S,A吧消息與數字簽名S,再用同樣的算法對消息運算生成算列值,B吧自己生成的算列值域解密的數字簽名想比較,看是否匹配,從而驗證簽名。
24、Kerberos定義。:是為了TCP/IP網絡設計的基于對稱密碼體系的可信
第三方鑒別協議,負責在網絡上進行可信仲裁及會發密鑰的分配。
25、PKI它能夠為所有網絡應用提供加密和數字簽名等密碼服務及所必需的定義:又稱公鑰基礎設施,是一種遵循既定標準的密鑰管理平臺,密鑰和證書管理體系。2627、、Windows 2000 Windows 2000中用戶證書主要用于驗證消息發送者的身份認證的兩個過程是:交互式登錄,網絡身份認證。SID28、Windows 2000安全系統支持Kerberos V5、安全套接字層/傳輸層安全
(SSL/TLS)和NTLM三種身份認證機制
29、Windows 2000提供哪些功能確保設備驅動程序和系統文件保持數字
簽名狀態:Windows文件保護,系統文件檢查程序,文件簽名驗證。3031、、WINDOWS使用文件加密系統對文件進行解密的步驟。主機推薦使用的文件系統格式是:要解密一個文件,首先
NTFS 喲啊對文件加密密鑰進行解密,當用戶的私鑰與這個公鑰匹配時,文件加密密鑰進行解密,用戶并不是唯一能對文件加密密鑰進行解密的人,當文件加密密鑰被解密后,可以被用戶或恢復代理用于文件資料的解密。
32、常見的漏,拒絕服務,特權升級,Web服務安全威脅有哪些:電子欺騙,纂改,否認,信息泄
33、CGI提供了動態服務,可以在用戶和Web服務器之間交互式通信
34、JavaScript將用戶的本地硬盤上的文件上載到網絡上的任何主機,存在的5個主要的安全漏洞。:JavaScript可以欺騙用戶,JavaScript能獲得用戶本地硬盤的目錄列表,JavaScript能監視用戶某段時間沒訪問的所有網頁,JavaScript能夠觸發Netscape Navigator送出電子郵件行星而不需要經過用戶允許,嵌入網頁的JavaScript代碼是公開的,缺乏安全性
35、什么是發的一種機制,用來改善Cookies,使用CookiesHTTP有什么安全隱患。是協議的無狀態性,Netscape公司開
36、IIS的安全配置主要包括哪幾個內容:刪除不必要的虛擬目錄,刪除
危險的IIS組件,為IIS 中的文件分類設置權限,刪除不必要的應用程序映射,保護日志安全,37、SSL結構,包括SSL協議的層次,主要特征:利用認證技術識別身
份,利用加密技術保證通道的保密性,利用數字簽名技術保證信息傳送的完整性,包括三個結構:SSL握手協議,SSL改變密碼規格協議,SSL報警協議。3839、、SSL什么是會話通過握手協議來創建SET,它主要提供哪三種服務: SET是為了保護用戶使用信用
卡在互聯網上進行安全的交易支付而設計的加密與安全規范,三種服務:在參與交易的各方之間提供安全的通信通道,使用X。509V3證書為用戶提供一種信任機制,保護隱私信息。
40、SET的參與者:持卡人,商家,發卡機構,代理商,支付網關,證書
權威,4142、、SETSET協議使用協議使用SHA-1X.509v3散列碼和和RSA數字簽名來提供持卡人賬戶認證RSA數字簽名來提供消息完整性
43、雙重簽名機制的主要特點:雙重簽名機制可以巧妙的把發送給不同接
受者的兩條消息聯系起來,而又很好的保護了消費者的隱私
44、電子郵件不是一種“端到端”的服務,而是被稱為“存儲轉發”服務。
45、郵件網關的功能:預防功能,監控功能,跟蹤功能,郵件功能,46、根據用途,郵件網關可分為哪三種:普通郵件網關,郵件過濾網關,發垃圾郵件網關,47、SMTP協議與POP3協議的區別:SMTP協議用于郵件服務器之間傳
送郵件,POP3協議用于用戶從郵件服務器上把郵件存儲到本地主機。
48、什么是電子郵件“欺騙”:是在電子郵件中改變名字,使之看起來是從
某地或某發來的行為,有三個目的:隱藏自己的身份,冒充比人,電子郵件欺騙能被看做是社會工程的一種表現形式,49、進行電子郵件欺騙的三種基本方法:相似的電子郵件地址,修改郵件
客戶,遠程登錄到25端口。5051、、PGPPGP通過使用加密簽字實現安全的三個主要功能:使用強大的E-maiIDEA:加密算法對存儲在計算機上的文件加密,使用公開密鑰加密技術隊電子郵件進行加密,使用公開密鑰加密技術對文件或電子郵件做數字簽名。
52、防火墻定義:指隔離在內部網和外部網絡之間的一道防御系統,它能
擋住來自外部網絡的攻擊和入侵,保障內部網絡的安全。
53、什么是數據驅動攻擊:據中傳輸到因特網主機上,入侵者把一些具有破壞性的數據藏匿在普通數
當這些數據被激活時就會發生數據驅動攻擊。
54、防火墻的功能:務和非法用戶,可以限制未授權用戶進入內部網絡,防止入侵者接近內部網絡的防御設施,過濾掉不安全服
對網絡攻擊進行檢查和警告,限制內部用戶訪問特殊站點,記錄通過防火墻的信息內容和活動,為監視因特網安全提供方便。
55、防火墻應的特性:所有在內部網絡和外部網絡之間傳輸的數據都必須
通過防火墻,只有被授權的合法數據,即防火墻安全策略允許的數據,可以通過防火墻,防火墻本身具有預防入侵的功能,不受各種攻擊的影響,人機界面好,用戶配置使用方便,易管理。
56、防火墻的缺點:不能防范惡意的內部用戶,不能防范不通過防火墻的鏈接,不能防范全部的威脅,防火墻不能防范病毒。
57、防火墻技術主要有包過濾防火墻和代理服務器
58、包過濾防火墻的定義:又稱網絡層防火墻,它對進出內部網絡的所有
信息進行分析,并按照一定的信息過濾規則對信息進行限制,允許授權信息通過,拒絕非授權信息通過,59、包過濾的定義:在網絡層中對數據包實施有選擇的通過,依據系統事
先設定好的過濾規則,檢查數據流中的每個包,根據包頭信息來確定是否允許數據包通過,拒絕發送可疑 的包。60、包過濾防火墻的優點:一個屏蔽路由器能保護整個網絡,包過濾對用
戶透明,屏蔽路由器速度快,效率高,61、包過濾型防火墻工作在網絡層
62、三種常見的防火墻體系結構:雙重宿主主機結構,屏蔽主機結構,屏
蔽子網結構,63、屏蔽主機結構由什么組成:一臺堡壘主機和過濾功能屏蔽路由器。64、分布式防火墻的優點:增強的系統安全性,提高了系統性能,系統的擴展性,應用更為廣泛,支持VPN通信。
65、病毒的定義:實際是一種計算機程序,是一段可執行的指令代碼。66、病毒的生命周期:包括隱藏階段,傳播階段,觸發階段,執行階段
四個階段。
67、病毒的特征:傳染性,破壞性,潛伏性,可執行性,可觸發性,隱蔽
性,6869、、病毒的分類,蠕蟲病毒屬于一種網絡病毒,病毒的主要傳播途徑:通過移動存儲設備來傳播,CIH屬于文件型病毒網絡傳播,無線傳
播,70、蠕蟲病毒的基本程序結構包括哪些模塊:功能模塊。
傳播模塊,隱藏模塊,目的71、獲取口令的常用方法:通過網絡監聽非法得到用戶口令,口令的窮舉
攻擊,利用系統管理員的失誤。
72、端口掃描器通常分為哪三類:數據庫安全掃描器,操作系統安全掃描
器和網絡安全掃描器。
73、端口掃描技術包括:掃描 ,IP段掃描,TCPTCP 反向connectident掃描()掃描,FTP返回攻擊 ,TCP SYN,UDP ICMP掃描,TCP 端口不FIN
能到達掃描,ICMP echo掃描。
74、如何發現懷疑運行監聽程序的主機,用正確的Sniffer:網絡通信掉包率特別高,IP地址和錯誤的物理地址去網絡帶寬出現異常,對于
PING,往網上發送大量 包含不存在的物理地址的包,由于監聽程序喲啊處理這些包,將導致性能下降,通過比較前后蓋機器的性能加以判斷。許多探測Sniffer的應用程序可以用來幫助探測Sniffer。75、防御網絡監聽的方法:從邏輯或物理上對網絡分段,以交換式集線器
代替共享式集線器,使用加密技術,劃分VLAN。76、什么是拒絕服務攻擊:指一個用戶占據了大量的共享資源,是系統沒
有剩余的資源給其他用戶提供服務的一種攻擊方式,7778、、分布式拒絕服務攻擊體系包括哪三層:攻擊者,主控者,代理端,木馬入侵原理:配置木馬,傳播木馬,運行木馬,信息泄漏,建立連
接,遠程控制。
79、入侵檢測定義:統中的若干關鍵點收集信息,即是對入侵行為的發覺,通過對這些信息的分析來發現網絡或系它在計算機網絡或計算機系
統中是否有違反安全策略的行為和被攻擊的跡象。8081、、入侵檢測過程包括信息收集和信號分析入侵檢測過程中的三種信號分析方法:模式匹配,統計分析,完整性
分析。
82、按照數據來源,統,基于網絡的入侵檢測系統,采用上述兩種數據來源入侵檢測系統可分為哪三種:基于主機的入侵檢測系的分布式的入侵檢測系統。
83、什么是模式匹配方法:誤用模式數據庫進行比較,從而發現違背安全策略的行為。就是將收集到得信息與已知的網絡入侵和系統
84、基于網絡的入侵檢測系統的組成:網絡安全數據庫,安全配置機構器,探測器,分析引擎,85、網絡管理有哪五大功能:配置管理,性能管理,故障管理,計費管理,安全管理。
86、OSI管對象資源的感念性存儲稱為管理信息庫(系統的管理結構:管理系統中的代理實現對被管對象的訪問,MIB),管理者和代理之被
間使用OSI通信協議棧進行通信,其中,CMIP是網絡管理的應用層協議,在OSI 網絡管理中起關鍵作用。
87、TCP/IP網絡中應用最為廣泛的網絡管理協議是SNMP。
88、網絡管理體系結構的三種模型:集中式體系結構,分層式體系結構,分布式體系結構。
第四篇:X廣播電視大學校園計算機信息網絡安全管理規定
某廣播電視大學校園計算機信息網絡安全管理規定
第一章總則
第一條為了加強我校校園網網絡安全與信息安全以及計算機信息保密工作,依照《中華人民共和國計算機信息系統安全保護條例》、《中華人民共和國計算機信息網絡國際聯網管理暫行規定》、《中華人民共和國計算機信息網絡國際聯網安全保護管理辦法》、《計算機信息系統國際聯網保密管理規定》、《中國教育和科研計算機網管理辦法(試行)》、《中國教育和科研計算機網用戶守則》、《廣東省教育和科研計算機網暫行管理辦法》制定本管理規定。
第二條本管理規定所引用的術語的含義按第一條所引用的國家法規解析。
第三條本規定的適用對象是使用惠州市廣播電視大學計算機與校園網的用戶。
第四條學校校園網的所有工作人員和用戶都有義務和責任認真執行本管理規定,必須遵守國家有關法律、法規,嚴格執行安全保密制度,并對所使用的計算機的管理、使用行為與所提供的網上信息負責。
第五條學校將根據國家有關計算機信息網絡安全的法律與法規的變動情況,適時修改本規定的內容。
第六條學校各個部門應積極采取各種技術和行政手段來保證我校信息安全。
第七條校園網信息網絡安全接受并配合國家有關部門依法進行監督檢查。
第二章管理機構與職能
第八條信息網絡安全實行統一領導、統一規劃、分級管理制度。
第九條學校設立計算機信息網絡安全領導小組,由學校領導、各科室主要負責人組成。領導小組下設網絡安全組與信息安全組。網絡安全日常管理工作由技術服務中心負責,信息安全的日常工作由信息安全組負責。
第十條領導小組負責學校的信息網絡安全的領導工作,制定各項管理政策和整體規劃,討論解決安全管理中的重大問題。
第十一條網絡安全組由技術服務中心,各科室的工作人員組成,參加人員稱為網絡安全人員。第十二條信息安全組由各個業務部門負責網上信息的發布、監督與保衛部門的工作人員組成,參加人員稱為信息安全人員。
第十三條各部門的網絡安全員受權負責本部門計算機網絡設備、計算機系統與業務應用系統的安全與保密工作。
第十四條信息安全員受權負責本部門的計算機信息、網上信息的檢查、監督與監控等安全工作。
第十五條設立校級網絡安全員、信息安全員各一名,分別負責、協調全校的網絡安全與信息安全的日常工作以及對外聯系的工作。人員分別由負責日常工作的技術服務中心與保衛科人員擔任。
第十六條學校信息網絡安全實行責任人制度,各科室主要領導為部門第一責任人。
第三章信息網絡安全工作制度
第十七條 學校信息網絡安全領導小組定期檢查全校的計算機信息網絡安全工作。第十八條 技術服務中心定期舉行計算機系統安全的技術培訓與政策教育的學習活動。第十九條 技術服務中心實行值班制度,負責校園網絡安全與信息安全的值班工作。
第二十條 各個部門的系統管理員、安全員做好本部門的計算機系統與網絡系統的信息保密工作,對系統的結構、設備、系統密碼、用戶信息、系統的重要數據做好備案工作,備案信息由部門保管。系統管理員、安全員在調離本部門工作時,應移交上述材料,并對上述信息負有保密責任。
第二十一條 各部門的服務器未經部門領導批準,不得安裝其它與業務系統無關的軟件與設備。
第二十二條 各部門應制定本部門的計算機信息數據備份策略,定期做好數據備份,對使用的系統(硬件、軟件)做好系統安全的升級工作。
第二十三條 學校各部門與計算機用戶應做好計算機的病毒防范工作,定期查毒。各部門應設專人負責病毒軟件保管、定期升級的安全工作。
第二十四條 使用計算機網絡進行文件與數據傳輸時,應該做好病毒的清查工作。在計算機軟件與硬件使用前,應做好病毒與其它有害數據的檢測工作。
第二十五條 如發現不能清除的病毒,應對文件數據采取保護措施,追查病毒的來源;并在24小時內通知技術服務中心與保衛部門,由保衛部門向上級匯報。
第二十六條 校園網絡發布的信息分為綜合信息與專欄信息兩大類。綜合信息指學校的政策、法規、對外宣傳與報道、學校內部文件、新聞信息等;專欄信息指經校領導同意專門發布的其他信息信息。
第二十七條各部門管理和發布的信息應具有真實性、完整性和可靠性。
第二十八條上網信息實行責任簽發制度。網絡信息安全組長負責學校綜合信息的安全審核、簽發。綜合信息需有文字材料備案,并實行年終歸檔。專欄信息由校領導簽發后由技術服務中心負責發布。
第二十九條BBS系統的信息由技術服務中心總審核,對這些系統中出現的反動、黃色等有害信息應及時刪除和過濾。
第三十條BBS實行欄目與版主專人負責制,并對其欄目內容的安全負責,版主負責人由技術服務中心審批設立、并備案。
第三十一條各部門對出現的計算機安全事故,應及時上報保衛部門與技術服務中心,不得隱瞞。
第三十二條學校保衛、保密部門做好校園網、特別是重點部門、要害部門的計算機信息的保密監督檢查工作。
第四章用戶安全責任制度
第三十三條校園網用戶均要對其使用計算機的管理、安全與網絡行為負責。
第三十四條學校實驗室、多媒體閱覽室等執行登記制度。
第三十五條任何單位和個人,不得從事下列活動:
(1)利用計算機信息網絡制作、傳播、復制反動與黃色等有害信息;
(2)非法侵入網絡系統與信息系統;
(3)非法竊取計算機與網絡系統中信息資源;
(4)違反國家規定,對計算機信息系統功能進行增加、刪除、修改、干擾,影響計算機信息系統正常運行;
(5)違反國家規定,對計算機信息系統中存儲、處理或者傳輸的數據和應用程序進行增加、刪除、修改、復制等;
(6)未經授權查閱他人電子郵箱;
(7)未經批準,私設網站與發布信息。
(8)冒用他人名義發送電子郵件;
(9)故意干擾計算機信息網絡暢通;
(10)瀏覽反動、黃色的網站。
(11)從事其它危害網絡與信息系統安全的活動。
第三十六條學校所有的計算機用戶有義務向網絡安全員、技術服務中心與保衛部門舉報違法犯罪行為與有害信息。
第五章獎勵與處罰
第三十七條學校對出現的計算機安全事故實行事故責任追究制度,按學校的有關規定執行。第三十八條學校把信息網絡安全工作納入日常工作,并由有關部門進行年終考評,對工作完成好的部門與個人進行表揚獎勵,對工作制度落實不好的部門提出整改、批評、警告等。
第六章附則
第三十九條本管理規定由學校就計算機信息網絡安全領導小組解釋。
第四十條本規定自公布之日起施行。
第五篇:信息與網絡安全[最終版]
一、網絡攻擊和防御包括哪些內容
攻擊性技術包括以下幾個方面:1網絡監聽。自己不主動去攻擊別人,而在計算機上設置一個程序,去監聽目標計算機與其它計算機通信的數據。2網絡掃描。利用程序去掃描計算機開放的端口等,目的是發現漏洞,為入侵該計算機做準備。3網絡入侵。當探測發現堆放存在漏洞后,入侵到目標計算機獲取信息4網絡后門。成功入侵目標計算機后,為了實現隊戰利品的長期控制,在目標計算機中種植木馬風后門5網絡隱身。入侵完畢退出目標計算機后,將自己入侵的痕跡清除,從而防止被對方管理員發現。
防御技術:1安全操作系統和操作系統的安全配置。操作系統是網絡安全的關鍵。2加密技術。為防止被監聽和數據被盜取,將所有的數據進行加密3防火墻技術。利用防火墻,對傳輸的數據進行限制,從而防止被入侵4入侵檢測。如果網絡文件最終被突破,需要即時發出被入侵的警報5網絡安全協議。保證傳輸的數據不被竊取和監聽。
二、蜜罐:是一種計算機網絡中專門被吸引并誘騙那些試圖非法入侵他人計算機系統的人而設計的陷阱。設置蜜罐的目的主要用于被監聽被攻擊,從而研究網絡安全的相關技術和方法。
三、DoS攻擊
DoS攻擊是一種實現簡單但又很有效的攻擊方式。攻擊的目的是讓被攻擊的主機拒絕用戶的正常服務訪問,破壞系統的正常運行,最終使用戶的部分internet鏈接和網絡系統失效。最基本的dos攻擊就是利用合理的服務請求來占用過多的服務資源,從而使合法用戶無法得到服務。
四、為什么需要網絡踩點:就是通過各種途徑隊所要。常見的踩點方式:在域名極其注冊機構的查詢,公司性質的了解,對主頁進行分析,郵件地址的搜集和目標ip地址的查詢。踩點得目的:探查對方的各方情況,確定攻擊的時機。摸清對方最薄弱的環節,和首位最松散的時刻,為下一步的入侵提供良好的策略。
五、對稱加密與非對稱解密:在一個加密系統中,加密和解密用同一個密鑰,叫對稱加密,也叫單密鑰加密。如果系統采用雙密鑰,兩個相互關聯的密碼,一個加密,一個解密,叫非對稱加密,攻鑰加密。
六、在網絡入侵中,將自己偽裝成合法用戶來攻擊系統的行為,稱為冒充。復制合法用戶發出的數據,然后進行重發以欺騙接受者的行為稱為重放。終止或干擾服務器,為合法用戶提供服務的行為,稱為服務拒絕。
七、在LAND攻擊中,LAND報文中的原ip地址和目的的地址相同。
八、防火墻將網絡分割成兩部分,…即兩個不同的安全域隊伍接入int的局域網,…其中局域網屬于可信賴的安全域,而int屬于不可信賴的非安全域。
九、VPN系統中的身份認證技術包括:用戶身份認證和信息認證兩種類型。
十、PKI(公鑰基礎設施)是利用密碼學中的公鑰概符合標準的一整套安全基礎平臺。PKI能為各種不同安全需求的客戶提供各種不同的網上安全服務所需要的密鑰和證書。這些安全服務主要包括:身份識別與鑒別(認證),數據保密性,數據完整性,不可否認行性及時間戳服務等,從而達到網上傳遞信息的安全,真實,完整和不可抵賴得目的。PKI的技術基礎之一是公開密鑰體制,技術基礎之二實加密機制。
十一、防火墻分路由模式和透明模式兩類。當用防火墻連接同一網狀的不同設備時,可采用用戶身份認證防火墻,而用防火墻兩個完全不同網絡時,則需要使用信息認證防火墻。
十二、DNSSCE(域名系統安全擴展)是在原有的域名系統DNS上通過公鑰技術對DNS信息進行數字簽名,從而提供DNS的安全認證和信息完整性檢驗。發送方首先使用Hash函數,對要發送的DNS信息進行計算,得到固定長度的“”信息摘要,對信息摘要用私鑰進行加密,此過程實現了對“信息摘要”的秋衣簽名,最后將要發送到DNS信息,該DNS信息的“信息摘要”以及該信息摘要的數字簽名,一起發送出來。接收方首先采用攻鑰系統中的對應攻鑰對接收到的信息摘要的數字簽名進行解密,得到解密后的“信息摘要”、用與發送方相同的Hash函數對接收到的DNS信息運算,得到運算后的信息摘要。最后,對解密后的信息摘要和運算后的比較,如果兩者值相同,就可以確認接收到的DNS信息是完整的,即是由正確的DNS服務器得到相應。
【補充】
1.在密碼學中,密碼算法對明文處理方式是不
同的,可把密碼系統分為:序列密碼和分組密碼。
2.PKA 的技術基礎包括:公開密鑰體制和加密
體制。
3.DNS可同時調用TCP和UDP的53端口,其中
UDP53用于DNS客戶端與DNS服務器的通信,而TCP53端口用于DNS區域間的復制。
4.和病毒相比,蠕蟲的特點是消耗計算機內存
和網絡帶寬。
5.DNS的緩存中毒:DNS為提高查找效率,采
用了緩存機制,把用戶查詢過的最新記錄放在緩存中并設置生存周期。緩存中的記錄一旦被查詢DNS服務器可將記錄直接反給客戶端。DNS緩存中毒是在緩存中存入大量錯誤數據記錄,這些記錄是攻擊者偽造的由于DNS服務器之間會進行記錄的同步復制,因此生存周期內緩存中毒的DNS服務器可能將錯誤的記錄發給其他DNS服務器。6.機密性:確保信息不暴露給未經授權的人和應用進程。完整性:只有得到允許的人或應用進程才能修改數據并且能判斷出數據是否被修改。可用性:只有得到授權的用戶在需要時才能訪問數據。可控性:能夠為授權范圍內的信息流向和行為方式進行控制。7.PMI(授權管理基礎設施):PMI以資源管理為核心,對資源訪問控制權統一交由授權機構處理,PMI能與PKI緊密集成并系統的建立起對認可用戶的特定授權,對權限管理進行系統的定義和描述,完整的提供授權服務所需過程。8.防火墻:設置在不同網絡之間或網絡安全域之間的一系列的部件的組合,通過檢測、限制、更改進入不同網絡或不同安全域的數據流,盡可能的對外屏蔽網絡內部的信息結構和運行狀況,以防止發生不可預測的潛在破壞性的入侵,實現網絡的安全保護。9.UPN(虛擬專用網):UPN是利用Internet等公共網絡的基礎設施,通過隧道技術為用戶提供一條與專用網絡具有相同通信功能的安全數據通道,實現不同網絡之間以及用戶與網絡之間的相互連接,其中虛擬是指用戶不需要建立自己專用的物理線路,而是利用因特網資源建立一條邏輯上的專用數據通道,專用網絡是指這一虛擬出來的網絡,不是任何連在公共網絡上的用戶都可使用的,只有經過授權的用戶才可以使用,且傳輸的數據經過了加密和認證,保證了傳輸內容的完整性和機密性。10.個人防火墻的只要功能和應用特點:防火墻是指設置在不同網絡之間或網絡安全域之間的一系列的部件的組合,通過檢測、限制、更改進入不同網絡或不同安全域的數據流,盡可能的對外屏蔽網絡內部的信息結構和運行狀況,以防止發生不可預測的潛在破壞性的入侵,實現網絡的安全保護。個人防火墻是依靠安裝在個人計算機上的軟件系統,它能夠監視計算機的通信狀況,一旦發現有對計算機產生危險的通信就會報警通知管理員或立即中斷網絡連接,以此實現對個人計算機上重要數據的安全保護,個人防火墻是在企業防火墻的基礎上發展起來的采用的技術,也與企業防火墻基本相同,但在規則的設置防火墻的管理等方面,進行了簡化,使非專業的普通用戶能夠容易的安裝和使用,為了防止安全威脅對個人計算機產生的破壞個人防火墻主要功能如下:防止因特網上的用戶攻擊;阻斷木馬及其他惡意軟件的攻擊;為移動計算機提供安全保護與其他安全產品進行集成。11.有關拒絕服務攻擊(DoS)的實現方法:DDoS(分布拒絕服務攻擊)攻擊是利用一批受控制的主機向一臺主機發起攻擊,其攻擊的強度和造成的威脅要比DoS攻擊嚴重的多,破壞性也更強,在整個DDoS攻擊中共有四部分組成:攻擊者;主控端;代理服務器和被攻擊者。攻擊者是指整個DDoS攻擊的主控臺負責向主控端發攻擊命令,主控端是攻擊者非法侵入并控制的一些主機,通過這些主機再分別控制大量的代理服務器,代理服務器也是攻擊者侵入并控制的一批主機,同時攻擊者也需要再入侵這些主機并獲得對這些主機的寫入權限后在上面安裝并運行攻擊程序,接收和運行主控端發來的命令。被攻擊者是DDoS攻擊的對象,多為一些大型企業的網站和數據庫系統。
點擊咨詢 