第一篇:加強(qiáng)網(wǎng)絡(luò)和信息安全管理工作方案(推薦)
各單位:
根據(jù)**、**和**、**有關(guān)要求,為進(jìn)一步加強(qiáng)網(wǎng)絡(luò)和信息安全管理工作,經(jīng)**領(lǐng)導(dǎo)同意,現(xiàn)就有關(guān)事項(xiàng)通知如下。
一、建立健全網(wǎng)絡(luò)和信息安全管理制度
各單位要按照網(wǎng)絡(luò)與信息安全的有關(guān)法律、法規(guī)規(guī)定和工作要求,制定并組織實(shí)施本單位網(wǎng)絡(luò)與信息安全管理規(guī)章制度。要明確網(wǎng)絡(luò)與信息安全工作中的各種責(zé)任,規(guī)范計算機(jī)信息網(wǎng)絡(luò)系統(tǒng)內(nèi)部控制及管理制度,切實(shí)做好本單位網(wǎng)絡(luò)與信息安全保障工作。
二、切實(shí)加強(qiáng)網(wǎng)絡(luò)和信息安全管理
各單位要設(shè)立計算機(jī)信息網(wǎng)絡(luò)系統(tǒng)應(yīng)用管理領(lǐng)導(dǎo)小組,負(fù)責(zé)對計算機(jī)信息網(wǎng)絡(luò)系統(tǒng)建設(shè)及應(yīng)用、管理、維護(hù)等工作進(jìn)行指導(dǎo)、協(xié)調(diào)、檢查、監(jiān)督。要建立本單位計算機(jī)信息網(wǎng)絡(luò)系統(tǒng)應(yīng)用管理崗位責(zé)任制,明確主管領(lǐng)導(dǎo),落實(shí)責(zé)任部門,各盡其職,常抓不懈,并按照“誰主管誰負(fù)責(zé),誰運(yùn)行誰負(fù)責(zé),誰使用誰負(fù)責(zé)”的原則,切實(shí)履行好信息安全保障職責(zé)。
三、嚴(yán)格執(zhí)行計算機(jī)網(wǎng)絡(luò)使用管理規(guī)定
各單位要提高計算機(jī)網(wǎng)絡(luò)使用安全意識,嚴(yán)禁涉密計算機(jī)連接互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò),嚴(yán)禁在非涉密計算機(jī)上存儲、處理涉密信息,嚴(yán)禁在涉密與非涉密計算機(jī)之間交叉使用移動存儲介質(zhì)。辦公內(nèi)網(wǎng)必須與互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)實(shí)行物理隔離,并強(qiáng)化身份鑒別、訪問控制、安全審計等技術(shù)防護(hù)措施,有效監(jiān)控違規(guī)操作,嚴(yán)防違規(guī)下載涉密和敏感信息。嚴(yán)禁通過互聯(lián)網(wǎng)電子郵箱、即時通信工具等處理、傳遞、轉(zhuǎn)發(fā)涉密和敏感信息。
四、加強(qiáng)網(wǎng)站信息發(fā)布審查監(jiān)管
各單位通過門戶網(wǎng)站在互聯(lián)網(wǎng)上公開發(fā)布信息,要遵循涉密不公開、公開不涉密的原則,按照信息公開條例和有關(guān)規(guī)定,建立嚴(yán)格的審查制度。要對網(wǎng)站上發(fā)布的信息進(jìn)行審核把關(guān),審核內(nèi)容包括:上網(wǎng)信息有無涉密問題;上網(wǎng)信息目前對外發(fā)布是否適宜;信息中的文字、數(shù)據(jù)、圖表、圖像是否準(zhǔn)確等。未經(jīng)本單位領(lǐng)導(dǎo)許可嚴(yán)禁以單位的名義在網(wǎng)上發(fā)布信息,嚴(yán)禁交流傳播涉密信息。堅(jiān)持先審查、后公開,一事一審、全面審查。各單位網(wǎng)絡(luò)信息發(fā)布審查工作要有領(lǐng)導(dǎo)分管、部門負(fù)責(zé)、專人實(shí)施。
五、組織開展網(wǎng)絡(luò)和信息安全清理檢查
各單位要在近期集中開展一次網(wǎng)絡(luò)安全清理自查工作。對辦公網(wǎng)絡(luò)和門戶網(wǎng)站的安全威脅和風(fēng)險進(jìn)行認(rèn)真分析,制定并組織實(shí)施本單位各種網(wǎng)絡(luò)與信息安全工作計劃、工作方案,及時按照要求消除信息安全隱患。各單位要加大網(wǎng)絡(luò)和信息安全監(jiān)管檢查力度,及時發(fā)現(xiàn)問題、堵塞漏洞、消除隱患;要全面清查,嚴(yán)格把關(guān),對自查中發(fā)現(xiàn)的問題要立即糾正,存在嚴(yán)重問題的單位要認(rèn)真整改。
各單位要從維護(hù)國家安全和利益的戰(zhàn)略高度,充分認(rèn)識信息化條件下網(wǎng)絡(luò)和信息安全的嚴(yán)峻形勢,切實(shí)增強(qiáng)風(fēng)險意識、責(zé)任意識、安全意識,進(jìn)一步加強(qiáng)教育、強(qiáng)化措施、落實(shí)責(zé)任,堅(jiān)決防止網(wǎng)絡(luò)和信息安全事件發(fā)生,為**召開營造良好環(huán)境。
第二篇:網(wǎng)絡(luò)與信息安全檢查工作方案
網(wǎng)絡(luò)與信息安全檢查工作方案
為落實(shí)國家能源集團(tuán)《關(guān)于印發(fā)《國家能源集團(tuán)2020年網(wǎng)絡(luò)安全和信息化工作要點(diǎn)》》的通知精神,力求使本次檢查工作達(dá)到預(yù)期效果,特制定本方案。
一、檢查目的通過開展信息安全檢查,進(jìn)一步梳理、掌握本單位重要網(wǎng)絡(luò)與信息安全基本情況,查找突出的問題和薄弱環(huán)節(jié),分析面臨的安全威脅和風(fēng)險,有針對性的采取防范對策和改進(jìn)措施,加強(qiáng)網(wǎng)絡(luò)與信息系統(tǒng)安全管理和技術(shù)防護(hù),促進(jìn)安全防護(hù)能力和水平提升,預(yù)防和減少重大信息安全事件的發(fā)生。
二、檢查范圍
此次檢查工作范圍是轄內(nèi)的網(wǎng)絡(luò)與信息系統(tǒng),檢查工作按照“誰主管誰負(fù)責(zé)、誰運(yùn)行誰負(fù)責(zé)”的原則開展。
三、檢查重點(diǎn)
(一)系統(tǒng)安全運(yùn)行情況。
檢查各個信息系統(tǒng)運(yùn)行情況。綜合業(yè)務(wù)網(wǎng)絡(luò)殺毒軟件更新、運(yùn)行情況;外網(wǎng)辦公用計算機(jī)病毒查殺情況;操作系統(tǒng)和軟件使用情況是否安全;是否存在內(nèi)外網(wǎng)混用情況;終端機(jī)是否開啟安全防護(hù)措施。
(二)安全管理情況。
1、信息安全主管領(lǐng)導(dǎo)、信息安全管理部門、信息安全工作人員履職以及崗位責(zé)任情況等;
①信息安全主管領(lǐng)導(dǎo)明確及工作落實(shí)情況。
是否有領(lǐng)導(dǎo)分工等相關(guān)文件,是否明確了信息安全主管領(lǐng)導(dǎo),檢查信息安全相關(guān)工作批示和會議記錄等文件,了解主管領(lǐng)導(dǎo)工作落實(shí)情況。
②信息安全管理部門指定及工作落實(shí)情況。
檢查部門分工文件,是否指定了信息安全管理部門。是否制定了工作計劃、工作方案、管理規(guī)章制度、監(jiān)督檢查記錄等文件,檢查管理部門工作落實(shí)情況。
③信息安全工作人員配備及工作落實(shí)情況。
檢查人員列表、崗位職責(zé)分工等文件,是否配備了信息安全工作人員。
2、日常安全管理制度建立和落實(shí)情況。
檢查人員管理、設(shè)備管理、運(yùn)行維護(hù)管理情況。
①人員管理制度。
檢查人員管理制度文件,是否有崗位信息安全責(zé)任,人員離崗離職管理、外部人員來訪管理等制度。檢查人員離崗離職管理落實(shí)情況。
②設(shè)備管理制度。
檢查設(shè)備管理制度等文件。是否有設(shè)備發(fā)放、使用、維修、維護(hù)和報廢等相關(guān)制度,是否明確了相關(guān)管理責(zé)任人。硬件設(shè)備登記情況,包括PC機(jī),路由器,交換機(jī),UPS及其他主要設(shè)備。檢查《計算機(jī)硬件設(shè)備登記簿》。
③運(yùn)行維護(hù)管理制度。
檢查是否建立了運(yùn)行維護(hù)管理等相關(guān)制度文件,是否包含事故處理記錄、數(shù)據(jù)維護(hù)情況等相關(guān)內(nèi)容。檢查運(yùn)維操作手冊和運(yùn)維相關(guān)記錄,檢查是否有事故處理記錄、數(shù)據(jù)維護(hù)記錄、運(yùn)行維護(hù)管理制度落實(shí)情況及相關(guān)記錄完整性。
(三)柜員卡安全管理。
1、是否存在柜員未隨身攜帶柜員卡,離崗人走卡未收情況。
2、是否存在柜員卡隨意轉(zhuǎn)交他人使用,主要表現(xiàn)為柜員臨時離崗不辦理授權(quán)頂崗交接而直接把卡交給頂崗人使用。
3、是否存在一人多卡,兩張或兩張以上的柜員卡同在抽屜里存放。
4、是否存在在辦理需要授權(quán)的業(yè)務(wù)時,授權(quán)柜員未按規(guī)定認(rèn)真審核,將授權(quán)柜員卡隨意交給前臺柜員使用。
5、柜員暫時離崗未退出綜合業(yè)務(wù)系統(tǒng)操作界面。
6、柜員卡權(quán)限調(diào)整登記簿,柜員卡使用及指紋系統(tǒng)使用情況。
7、柜員卡是否在領(lǐng)取、交接、使用、掛失上應(yīng)完善制和健全登記薄。
(四)技術(shù)防護(hù)情況。
檢查所有接入互聯(lián)網(wǎng)的計算機(jī)設(shè)備是否安裝了最新的殺毒軟件和病毒防火墻,統(tǒng)計網(wǎng)絡(luò)外連的出口個數(shù),是否每個出口都進(jìn)行了安全措施。檢查網(wǎng)點(diǎn)路由器、交換機(jī)等設(shè)備配置是否合理,是否啟用了有效的身份控制、訪問控制功能。
(五)應(yīng)急處理及容災(zāi)備份情況。
重點(diǎn)檢查應(yīng)急預(yù)案、應(yīng)急演練和災(zāi)備措施情況。檢查應(yīng)急預(yù)案制定和修訂情況。檢查應(yīng)急演練人員對預(yù)案的熟悉程度。檢查冗余設(shè)備情況。
四、檢查工作領(lǐng)導(dǎo)小組
組
長:
副組長:
成員:
檢查工作領(lǐng)導(dǎo)小組辦公室設(shè)在網(wǎng)絡(luò)中心。
哈拉溝煤礦
二〇二〇年四月七日
第三篇:網(wǎng)絡(luò)信息安全
網(wǎng)絡(luò)信息安全
信息安全是指為建立信息處理系統(tǒng)而采取的技術(shù)上和管理上的安全保護(hù),以實(shí)現(xiàn)電子信息的保密性、完整性、可用性和可控性。當(dāng)今信息時代,計算機(jī)網(wǎng)絡(luò)已經(jīng)成為一種不可缺少的信息交換工具。然而,由于計算機(jī)網(wǎng)絡(luò)具有開放性、互聯(lián)性、連接方式的多樣性及終端分布的不均勻性,再加上本身存在的技術(shù)弱點(diǎn)和人為的疏忽,致使網(wǎng)絡(luò)易受計算機(jī)病毒、黑客或惡意軟件的侵害。面對侵襲網(wǎng)絡(luò)安全的種種威脅,必須考慮信息的安全這個至關(guān)重要的問題。
網(wǎng)絡(luò)信息安全分為網(wǎng)絡(luò)安全和信息安全兩個層面。網(wǎng)絡(luò)安全包括系統(tǒng)安全,即硬件平臺、操作系統(tǒng)、應(yīng)用軟件;運(yùn)行服務(wù)安全,即保證服務(wù)的連續(xù)性、高效率。信息安全則主要是指數(shù)據(jù)安全,包括數(shù)據(jù)加密、備份、程序等。
1.硬件安全。即網(wǎng)絡(luò)硬件和存儲媒體的安全。要保護(hù)這些硬設(shè)施不受損害,能夠正常工作。
2.軟件安全。即計算機(jī)及其網(wǎng)絡(luò)中各種軟件不被篡改或破壞,不被非法操作或誤操作,功能不會失效,不被非法復(fù)制。
3.運(yùn)行服務(wù)安全。即網(wǎng)絡(luò)中的各個信息系統(tǒng)能夠正常運(yùn)行并能正常地通過網(wǎng)絡(luò)交流信息。通過對網(wǎng)絡(luò)系統(tǒng)中的各種設(shè)備運(yùn)行狀況的監(jiān)測,發(fā)現(xiàn)不安全因素能及時報警并采取措施改變不安全狀態(tài),保障網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行。
4.數(shù)據(jù)安全。即網(wǎng)絡(luò)中存儲及流通數(shù)據(jù)的女全。要保護(hù)網(wǎng)絡(luò)中的數(shù)據(jù)不被篡改、非法增刪、復(fù)制、解密、顯示、使用等。它是保障網(wǎng)絡(luò)安全最根本的目的。
1.防火墻技術(shù)。防火墻(Firewall)是近年來發(fā)展的最重要的安全技術(shù),它的主要功能是加強(qiáng)網(wǎng)絡(luò)之間的訪問控制,防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)(被保護(hù)網(wǎng)絡(luò))。它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包和鏈接方式按照一定的安全策略對其進(jìn)行檢查,來決定網(wǎng)絡(luò)之間的通信是否被允許,并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。簡單防火墻技術(shù)可以在路由器上實(shí)現(xiàn),而專用防火墻提供更加可靠的網(wǎng)絡(luò)安全控制方法。
防火墻的安全策略有兩條。一是“凡是未被準(zhǔn)許的就是禁止的”。防火墻先是封閉所有信息流,然后審查要求通過的信息,符合條件的就讓通過;二是“凡是未被禁止的就是允許的”,防火墻先是轉(zhuǎn)發(fā)所有的信息,然后再逐項(xiàng)剔除有害的內(nèi)容,被禁止的內(nèi)容越多,防火墻的作用就越大。網(wǎng)絡(luò)是動態(tài)發(fā)展的,安全策略的制定不應(yīng)建立在靜態(tài)的基礎(chǔ)之上。在制定防火墻安全規(guī)則時,應(yīng)符合“可適應(yīng)性的安全管理”模型的原則,即:安全=風(fēng)險分析+執(zhí)行策略+系統(tǒng)實(shí)施+漏洞監(jiān)測+實(shí)時響應(yīng)。防火墻技術(shù)主要有以下三類:
●包過濾技術(shù)(Packct Filtering)。它一般用在網(wǎng)絡(luò)層,主要根據(jù)防火墻系統(tǒng)所收到的每個數(shù)據(jù)包的源IP地址、目的IP地址、TCP/UDP源端口號、TCP/UDP目的端口號及數(shù)據(jù)包中的各種標(biāo)志位來進(jìn)行判定,根據(jù)系統(tǒng)設(shè)定的安全策略來決定是否讓數(shù)據(jù)包通過,其核心就是安全策略,即過濾算法的設(shè)計。
●代理(Proxy)服務(wù)技術(shù)。它用來提供應(yīng)用層服務(wù)的控制,起到外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請服務(wù)時的中間轉(zhuǎn)接作用。內(nèi)部網(wǎng)絡(luò)只接受代理提出的服務(wù)請求,拒絕外部網(wǎng)絡(luò)其它節(jié)點(diǎn)的直接請求。運(yùn)行代理服務(wù)的主機(jī)被稱為應(yīng)用機(jī)關(guān)。代理服務(wù)還可以用于實(shí)施較強(qiáng)的數(shù)據(jù)流監(jiān)控、過濾、記錄等功能。
●狀態(tài)監(jiān)控(Statc Innspection)技術(shù)。它是一種新的防火墻技術(shù)。在網(wǎng)絡(luò)層完成所有必要的防火墻功能——包過濾與網(wǎng)絡(luò)服務(wù)代理。目前最有效的實(shí)現(xiàn)方法是采用 Check Point)提出的虛擬機(jī)方式(Inspect Virtual Machine)。
防火墻技術(shù)的優(yōu)點(diǎn)很多,一是通過過濾不安全的服務(wù),極大地提高網(wǎng)絡(luò)安全和減少子網(wǎng)中主機(jī)的風(fēng)險;二是可以提供對系統(tǒng)的訪問控制;三是可以阻擊攻擊者獲取攻擊網(wǎng)絡(luò)系統(tǒng)的有用信息;四是防火墻還可以記錄與統(tǒng)計通過它的網(wǎng)絡(luò)通信,提供關(guān)于網(wǎng)絡(luò)使用的統(tǒng)計數(shù)據(jù),根據(jù)統(tǒng)計數(shù)據(jù)來判斷可能的攻擊和探測;五是防火墻提供制定與執(zhí)行網(wǎng)絡(luò)安全策略的手段,它可以對企業(yè)內(nèi)部網(wǎng)實(shí)現(xiàn)集中的安全管理。
防火墻技術(shù)的不足有三。一是防火墻不能防止繞過防火墻的攻擊;二是防火墻經(jīng)不起人為因素的攻擊。由于防火墻對網(wǎng)絡(luò)安全實(shí)施單點(diǎn)控制,因此可能受到黑客的攻擊;三是防火墻不能保證數(shù)據(jù)的秘密性,不能對數(shù)據(jù)進(jìn)行鑒別,也不能保證網(wǎng)絡(luò)不受病毒的攻擊。
2.加密技術(shù)。數(shù)據(jù)加密被認(rèn)為是最可靠的安全保障形式,它可以從根本上滿足信息完整性的要求,是一種主動安全防范策略。數(shù)據(jù)加密就是按照確定的密碼算法將敏感的明文數(shù)據(jù)變換成難以識別的密文數(shù)據(jù)。通過使用不同的密鑰,可用同一加密算法,將同一明文加密成不同的密文。當(dāng)需要時可使用密鑰將密文數(shù)據(jù)還原成明文數(shù)據(jù),稱為解密。
密鑰加密技術(shù)分為對稱密鑰加密和非對稱密鑰加密兩類。對稱加密技術(shù)是在加密與解密過程中使用相同的密鑰加以控制,它的保密度主要取決于對密鑰的保密。它的特點(diǎn)是數(shù)字運(yùn)算量小,加密速度快,弱點(diǎn)是密鑰管理困難,一旦密鑰泄露,將直接影響到信息的安全。非對稱密鑰加密法是在加密和解密過程中使用不同的密鑰加以控制,加密密鑰是公開的,解密密鑰是保密的。它的保密度依賴于從公開的加密密鑰或密文與明文的對照推算解密密鑰在計算上的不可能性。算法的核心是運(yùn)用一種特殊的數(shù)學(xué)函數(shù)——單向陷門函數(shù),即從一個方向求值是容易的,但其逆向計算卻很困難,從而在實(shí)際上成為不可能。
除了密鑰加密技術(shù)外,還有數(shù)據(jù)加密技術(shù)。一是鏈路加密技術(shù)。鏈路加密是對通信線路加密;二是節(jié)點(diǎn)加密技術(shù)。節(jié)點(diǎn)加密是指對存儲在節(jié)點(diǎn)內(nèi)的文件和數(shù)據(jù)庫信息進(jìn)行的加密保護(hù)。
3.數(shù)字簽名技術(shù)。數(shù)字簽名(Digital Signature)技術(shù)是將摘要用發(fā)送者的私鑰加密,與原文一起傳送給接收者。接收者只有用發(fā)送者的公鑰才能解密被加密的摘要。在電子商務(wù)安全保密系統(tǒng)中,數(shù)字簽名技術(shù)有著特別重要的地位,在電子商務(wù)安全服務(wù)中的源鑒別、完整性服務(wù)、不可否認(rèn)服務(wù)中都要用到數(shù)字簽名技術(shù)。
在書面文件上簽名是確認(rèn)文件的一種手段,其作用有兩點(diǎn),一是因?yàn)樽约旱暮灻y以否認(rèn),從而確認(rèn)文件已簽署這一事實(shí);二是因?yàn)楹灻灰追旅埃瑥亩_定了文件是真的這一事實(shí)。數(shù)字簽名與書面簽名有相同相通之處,也能確認(rèn)兩點(diǎn),一是信息是由簽名者發(fā)送的,二是信息自簽發(fā)后到收到為止未曾做過任何修改。這樣,數(shù)字簽名就可用來防止:電子信息因易于修改而有人作偽;冒用別人名義發(fā)送信息;發(fā)出(收到)信件后又加以否認(rèn)。
廣泛應(yīng)用的數(shù)字簽名方法有RSA簽名、DSS簽名和 Hash簽名三種。RSA的最大方便是沒有密鑰分配問題。公開密鑰加密使用兩個不同的密鑰,其中一個是公開的,另一個是保密的。公開密鑰可以保存在系統(tǒng)目錄內(nèi)、未加密的電子郵件信息中、電話黃頁上或公告牌里,網(wǎng)上的任何用戶都可獲得公開密鑰。保密密鑰是用戶專用的,由用戶本身持有,它可以對公開密鑰加密的信息解密。DSS數(shù)字簽名是由美國政府頒布實(shí)施的,主要用于跟美國做生意的公司。它只是一個簽名系統(tǒng),而且美國不提倡使用任何削弱政府竊聽能力的加密軟件。Hash簽名是最主要的數(shù)字簽名方法,跟單獨(dú)簽名的RSA數(shù)字簽名不同,它是將數(shù)字簽名和要發(fā)送的信息捆在一起,所以更適合電子商務(wù)。
4.數(shù)字時間戳技術(shù)。在電子商務(wù)交易的文件中,時間是十分重要的信息,是證明文件有效性的主要內(nèi)容。在簽名時加上一個時間標(biāo)記,即有數(shù)字時間戳(Digita Timestamp)的數(shù)字簽名方案:驗(yàn)證簽名的人或以確認(rèn)簽名是來自該小組,卻不知道是小組中的哪一個人簽署的。指定批準(zhǔn)人簽名的真實(shí)性,其他任何人除了得到該指定人或簽名者本人的幫助,否則不能驗(yàn)證簽名
(二)網(wǎng)絡(luò)信忽安全的目標(biāo)
1.保密性。保密性是指信息不泄露給非授權(quán)人、實(shí)休和過程,或供其使用的特性。
2.完整性。完整性是指信息未經(jīng)授權(quán)不能被修改、不被破壞、不被插人、不遲延、不亂序和不丟失的特性。對網(wǎng)絡(luò)信息安全進(jìn)行攻擊的最終目的就是破壞信息的完整性。
3.可用性。可用性是指合法用戶訪問并能按要求順序使用信息的特性,即保證合法用戶在需要時可以訪問到信息
4.可控性。可控性是指授權(quán)機(jī)構(gòu)對信息的內(nèi)容及傳播具有控制的能力的特性,可以控制授權(quán)范圍內(nèi)的信息流向以及方式。
5.可審查性。在信息交流過程結(jié)束后,通信雙方不能抵賴曾經(jīng)做出的行為,也不能否認(rèn)曾經(jīng)接收到對方的信息。
網(wǎng)絡(luò)信息安全面臨的問題
1.網(wǎng)絡(luò)協(xié)議和軟件的安全缺陷
因特網(wǎng)的基石是TCP/IP協(xié)議簇,該協(xié)議簇在實(shí)現(xiàn)上力求效率,而沒有考慮安全因素,因?yàn)槟菢訜o疑增大代碼量,從而降低了TCP/IP的運(yùn)行效率,所以說TCP/IP本身在設(shè)計上就是不安全的。很容易被竊聽和欺騙:大多數(shù)因特網(wǎng)上的流量是沒有加密的,電子郵件口令、文件傳輸很容易被監(jiān)聽和劫持。很多基于TCP/IP的應(yīng)用服務(wù)都在不同程度上存在著安全問題,這很容易被一些對TCP/IP十分了解的人所利用,一些新的處于測試階級的服務(wù)有更多的安全缺陷。缺乏安全策略:許多站點(diǎn)在防火墻配置上無意識地擴(kuò)大了訪問權(quán)限,忽視了這些權(quán)限可能會被內(nèi)部人員濫用,黑客從一些服務(wù)中可以獲得有用的信息,而網(wǎng)絡(luò)維護(hù)人員卻不知道應(yīng)該禁止這種服務(wù)。配置的復(fù)雜性:訪問控制的配置一般十分復(fù)雜,所以很容易被錯誤配置,從而給黑客以可乘之機(jī)。TCP/IP是被公布于世的,了解它的人越多被人破壞的可能性越大。現(xiàn)在,銀行之間在專用網(wǎng)上傳輸數(shù)據(jù)所用的協(xié)議都是保密的,這樣就可以有效地防止入侵。當(dāng)然,人們不能把TCP/IP和其實(shí)現(xiàn)代碼保密,這樣不利于TCP/IP網(wǎng)絡(luò)的發(fā)展。2.黑客攻擊手段多樣
進(jìn)人2006年以來,網(wǎng)絡(luò)罪犯采用翻新分散式阻斷服務(wù)(DDOS)攻擊的手法,用形同互聯(lián)網(wǎng)黃頁的域名系統(tǒng)服務(wù)器來發(fā)動攻擊,擾亂在線商務(wù)。寬帶網(wǎng)絡(luò)條件下,常見的拒絕服務(wù)攻擊方式主要有兩種,一是網(wǎng)絡(luò)黑客蓄意發(fā)動的針對服務(wù)和網(wǎng)絡(luò)設(shè)備的DDOS攻擊;二是用蠕蟲病毒等新的攻擊方式,造成網(wǎng)絡(luò)流量急速提高,導(dǎo)致網(wǎng)絡(luò)設(shè)備崩潰,或者造成網(wǎng)絡(luò)鏈路的不堪負(fù)重。
調(diào)查資料顯示,2006年初發(fā)現(xiàn)企業(yè)的系統(tǒng)承受的攻擊規(guī)模甚于以往,而且來源不是被綁架的“僵尸”電腦,而是出自于域名系統(tǒng)(DNS)服務(wù)器。一旦成為DDOS攻擊的目標(biāo),目標(biāo)系統(tǒng)不論是網(wǎng)頁服務(wù)器、域名服務(wù)器,還是電子郵件服務(wù)器,都會被網(wǎng)絡(luò)上四面八方的系統(tǒng)傳來的巨量信息給淹沒。黑客的用意是借人量垃圾信息妨礙系統(tǒng)正常的信息處理,借以切斷攻擊目標(biāo)對外的連線。黑客常用“僵尸”電腦連成網(wǎng)絡(luò),把大量的查詢要求傳至開放的DNS服務(wù)器,這些查詢信息會假裝成被巨量信息攻擊的目標(biāo)所傳出的,因此DNS服務(wù)器會把回應(yīng)信息傳到那個網(wǎng)址。
美國司法部的一項(xiàng)調(diào)查資料顯示,1998年3月到2005年2月期間,82%的人侵者掌握授權(quán)用戶或設(shè)備的數(shù)據(jù)。在傳統(tǒng)的用戶身份認(rèn)證環(huán)境下,外來攻擊者僅憑盜取的相關(guān)用戶身份憑證就能以任何臺設(shè)備進(jìn)人網(wǎng)絡(luò),即使最嚴(yán)密的用戶認(rèn)證保護(hù)系統(tǒng)也很難保護(hù)網(wǎng)絡(luò)安全。另外,由于企業(yè)員工可以通過任何一臺未經(jīng)確認(rèn)和處理的設(shè)備,以有效合法的個人身份憑證進(jìn)入網(wǎng)絡(luò),使間諜軟件、廣告軟件、木馬程序及其它惡意程序有機(jī)可乘,嚴(yán)重威脅網(wǎng)絡(luò)系統(tǒng)的安全。
有資料顯示,最近拉美國家的網(wǎng)絡(luò)詐騙活動增多,作案手段先進(jìn)。犯罪活動已經(jīng)從“現(xiàn)實(shí)生活轉(zhuǎn)入虛擬世界”,網(wǎng)上詐騙活動日益增多。3.計算機(jī)病毒
第四篇:信息安全工作方案
信息安全工作方案
一、工作目的按照《云南省工業(yè)和信息化委員會關(guān)于開展2010云南省政府信息系統(tǒng)安全檢查工作的通知》要求,根據(jù)《國務(wù)院辦公廳關(guān)于加強(qiáng)政府信息安全和保密管理工作的通知》、《國務(wù)院辦公廳關(guān)于印發(fā)<政府信息系統(tǒng)安全檢查辦法>的通知》以及《云南省政府辦公廳關(guān)于印發(fā)<政府信息系統(tǒng)安全檢查實(shí)施辦法>的通知》、《2010云南省政府信息系統(tǒng)安全檢查指南》、《昆明市人民政府辦公廳關(guān)于印發(fā)昆明市政府信息系統(tǒng)安全檢查工作方案的通知》精神,堅(jiān)持“誰主管誰負(fù)責(zé),誰運(yùn)行誰負(fù)責(zé)、誰使用誰負(fù)責(zé)”的原則,開展2010石林彝族自治縣人民政府信息系統(tǒng)安全檢查工作,貫徹落實(shí)國家對于信息安全工作的各項(xiàng)要求,在全縣范圍內(nèi)對各鄉(xiāng)鎮(zhèn)、各部門信息系統(tǒng)安全工作進(jìn)行全面檢查,掌握我縣黨政信息系統(tǒng)安全狀況,發(fā)現(xiàn)存在的主要問題和薄弱環(huán)節(jié),完善信息安全制度,加強(qiáng)安全防護(hù)措施,提高信息安全水平,信息安全工作方案。
二、組織機(jī)構(gòu)
成立石林彝族自治縣網(wǎng)絡(luò)信息安全檢查領(lǐng)導(dǎo)小組(以下簡稱領(lǐng)導(dǎo)小組)。
組長:和加衛(wèi)(縣人民政府副縣長)
副組長:段圳宗(縣信息產(chǎn)業(yè)辦副主任)
成員:雷振濤(縣政府辦副主任)
李學(xué)(縣國家保密局局長)
張家友(縣公安局網(wǎng)監(jiān)大隊(duì)大隊(duì)長)
張波(縣信息產(chǎn)業(yè)辦)
領(lǐng)導(dǎo)小組下設(shè)辦公室在縣信息產(chǎn)業(yè)辦,負(fù)責(zé)組織實(shí)施本次安全檢查工作,由段圳宗同志兼任辦公室主任,辦公室工作人員從領(lǐng)導(dǎo)小組成員單位抽調(diào)。
三、具體工作
(一)檢查范圍:各鄉(xiāng)鎮(zhèn)人民政府,縣直各部委辦局在內(nèi)外網(wǎng)運(yùn)行的辦公系統(tǒng)、業(yè)務(wù)系統(tǒng)、網(wǎng)站系統(tǒng)等。各鄉(xiāng)鎮(zhèn)、各部門的重要業(yè)務(wù)系統(tǒng)、門戶網(wǎng)站是檢查重點(diǎn)。
(二)按照《政府信息系統(tǒng)安全檢查實(shí)施辦法》、《2010云南省政府信息系統(tǒng)安全檢查指南》(附件一),請各鄉(xiāng)鎮(zhèn)、各單位對照進(jìn)行自檢,并形成書面材料(附電子文檔),填寫《2010年石林彝族自治縣人民政府信息系統(tǒng)安全檢查報告表》(附件二、三)蓋章并附電子文檔,于2010年6月13日前一并報領(lǐng)導(dǎo)小組辦公室。
(三)針對當(dāng)前政府信息系統(tǒng)存在的薄弱環(huán)節(jié),按照《云南省政府信息系統(tǒng)安全檢查實(shí)施辦法》要求,重點(diǎn)檢查以下內(nèi)容:
1.信息安全組織機(jī)構(gòu)。
2.日常信息安全管理。
3.等級保護(hù)與風(fēng)險評估。
4.建設(shè)防范手段建設(shè)。
5.應(yīng)急管理工作開展。
6.信息技術(shù)產(chǎn)品和信息安全產(chǎn)品使用。
7.信息安全服務(wù)。
8.信息安全教育培訓(xùn)。
9.信息安全經(jīng)費(fèi)保障。
10.安全隱患排除及整改。
(四)領(lǐng)導(dǎo)小組對縣重點(diǎn)部門的網(wǎng)絡(luò)信息安全進(jìn)行現(xiàn)場抽查。
(五)2010年6月中下旬接受市網(wǎng)絡(luò)信息安全檢查工作組到石林檢查,具體檢查單位根據(jù)市檢查組通知臨時確定。
(六)2010年9月根據(jù)我縣的信息安全檢查結(jié)果,對檢查中發(fā)現(xiàn)的問題,將按照《政府信息系統(tǒng)安全檢查辦法》的規(guī)定,責(zé)令相關(guān)部門限期整改,并追究有關(guān)人員的責(zé)任。
(七)自2010年10月起,各鄉(xiāng)鎮(zhèn)、各單位開展2010年下半年信息安全檢查工作。在上半年工作的基礎(chǔ)上,進(jìn)行自評、自查并形成書面材料(附電子文檔),填寫《2010石林彝族自治縣政府信息系統(tǒng)安全檢查報告表》(附件二、三)蓋章并附電子文檔,于2010年10月15日前一并報領(lǐng)導(dǎo)小組辦公室。
四、工作要求
各鄉(xiāng)鎮(zhèn)、各部門要把政府信息系統(tǒng)安全檢查工作列入重要議事日程,加強(qiáng)領(lǐng)導(dǎo),明確檢查責(zé)任,落實(shí)專職的檢查人員和經(jīng)費(fèi),保證檢查工作順利進(jìn)行。要求所有參與檢查的人員必須嚴(yán)格按照《云南省政府信息系統(tǒng)安全檢查實(shí)施辦法》和《2010云南省政府信息系統(tǒng)安全檢查指南》要求開展工作,要特別強(qiáng)調(diào)工作中注意信息安全和保密。涉及國家秘密的信息系統(tǒng)保密檢查工作,按照國家保密管理規(guī)定執(zhí)行。
附件:1.2010云南省政府信息系統(tǒng)安全檢查指南
2.2010年石林彝族自治縣人民政府信息系統(tǒng)安全檢查情況報告表
3.2010年石林彝族自治縣人民政府信息系統(tǒng)安全檢查情況報告表(補(bǔ))
附件
12010云南省政府信息系統(tǒng)安全檢查指南
為指導(dǎo)規(guī)范2010云南省政府信息系統(tǒng)安全檢查工作,依據(jù)《國務(wù)院辦公廳關(guān)于印發(fā)<政府信息系統(tǒng)安全檢查辦法>的通知》(以下簡稱《檢查辦法》)等文件,參照國家信息安全技術(shù)標(biāo)準(zhǔn)規(guī)范,總結(jié)2009政府信息系統(tǒng)安全檢查工作,制定本指南。
一、檢查目的依據(jù)國家及我省有關(guān)政策規(guī)定,在2009年12月開展政府信息系統(tǒng)安全檢查工作基礎(chǔ)上,對各部門信息安全工作進(jìn)行全面檢查,了解掌握政府信息系統(tǒng)安全總體狀況,發(fā)現(xiàn)存在的主要問題和薄弱環(huán)節(jié),完善信息安全管理制度,加強(qiáng)安全防護(hù)措施,提高信息安全工作水平。
二、檢查原則
堅(jiān)持“誰主管誰負(fù)責(zé)、誰運(yùn)行誰負(fù)責(zé)、誰使用誰負(fù)責(zé)”的原則,統(tǒng)籌安排、突出重點(diǎn)、明確責(zé)任、注重實(shí)效。
各部門自行組織檢查與工業(yè)和信息化委員會會同有關(guān)部門統(tǒng)一組織抽查相結(jié)合。部門管理的全國性信息系統(tǒng)安全檢查工作,由主管部門統(tǒng)一組織部署。
三、檢查范圍
本指南所稱政府信息系統(tǒng)安全檢查,是指依據(jù)國家有關(guān)政策規(guī)定,參照國家信息安全技術(shù)標(biāo)準(zhǔn)規(guī)范,對政府信息系統(tǒng)安全工作進(jìn)行檢測評估、查找隱患、堵塞漏洞、規(guī)范管理、完善措施、落實(shí)整改、通報情況的過程,包括進(jìn)行信息安全風(fēng)險評估、安全檢測、等級測評等。
政府信息系統(tǒng)安全檢查的范圍是為各部門履行職能提供支撐的信息系統(tǒng),包括自行運(yùn)行維護(hù)管理以及委托其他機(jī)構(gòu)運(yùn)行維護(hù)管理的辦公系統(tǒng)、業(yè)務(wù)系統(tǒng)、網(wǎng)站系統(tǒng)等。各部門的重要業(yè)務(wù)系統(tǒng)、門戶網(wǎng)站是檢查重點(diǎn)。
涉及國家秘密的信息系統(tǒng)保密檢查工作,按照國家保密管理規(guī)定執(zhí)行。
四、檢查依據(jù)
(一)政策文件
1.《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》(中辦發(fā)
第五篇:計算機(jī)、網(wǎng)絡(luò)管理及信息安全管理制度[模版]
文章標(biāo)題:計算機(jī)、網(wǎng)絡(luò)管理及信息安全管理制度
第一條為了進(jìn)一步加強(qiáng)全市XX系統(tǒng)計算機(jī)、網(wǎng)絡(luò)及信息安全的管理,確保全市工商系統(tǒng)計算機(jī)、網(wǎng)絡(luò)及信息安全管理工作的制度化、規(guī)范化,根據(jù)《中華人民共和國計算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》、《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》和公安部《計算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保
護(hù)管理辦法》,結(jié)合本系統(tǒng)實(shí)際,特制定本制度。
第二條全市XX系統(tǒng)單位及個人必須嚴(yán)格遵守本制度,以確保安全使用計算機(jī)及網(wǎng)絡(luò)。
第三條各級信息中心承擔(dān)本局計算機(jī)及網(wǎng)絡(luò)的安裝、調(diào)試、用戶安全教育與培訓(xùn)、安全保護(hù)技術(shù)措施的擬定與落實(shí),保障全局計算機(jī)網(wǎng)絡(luò)的運(yùn)行安全和信息安全。
第四條單位數(shù)據(jù)中心機(jī)房設(shè)立恒溫恒濕裝置、防火、防水、防盜、防雷擊、防塵系統(tǒng)、8小時以上不間斷電源系統(tǒng)、出入登記系統(tǒng);非網(wǎng)管人員和維修人員未經(jīng)允許不得進(jìn)入數(shù)據(jù)中心機(jī)房;工作人員不得在數(shù)據(jù)中心機(jī)房內(nèi)飲食、吸煙。
第五條所有計算機(jī)必須設(shè)定靜態(tài)IP地址;所有計算機(jī)的netbios名必須按科室名-使用者名(拼音字母縮寫,如有重名可在后加1、2等序號)命名;所有上互聯(lián)網(wǎng)的計算機(jī)必須設(shè)立60天或以上的上網(wǎng)日志,不上與工作無關(guān)的網(wǎng)站;設(shè)有郵件服務(wù)器的單位必須安裝反垃圾郵件系統(tǒng);所有計算機(jī)必須安裝正版、防病毒、防火墻軟件;未經(jīng)信息中心同意不得安裝任何非工作軟件在單位計算機(jī)中;工作計算機(jī)附近不得堆放任何液體物品及食品。
第六條計算機(jī)網(wǎng)絡(luò)安裝網(wǎng)絡(luò)防病毒軟件、防火墻、網(wǎng)絡(luò)管理軟件;網(wǎng)站必須安裝公安局認(rèn)可的防火墻、入侵檢測系統(tǒng)、防病毒軟件;信息中心必須專人定時做好各種安全系統(tǒng)及操作系統(tǒng)的安全更新。
第七條XX信息網(wǎng)(下稱內(nèi)聯(lián)網(wǎng))供XX系統(tǒng)內(nèi)部使用,對國際、國內(nèi)發(fā)布信息,運(yùn)行時內(nèi)聯(lián)網(wǎng)和紅盾網(wǎng)互相物理隔離。
第八條按照有關(guān)規(guī)定,實(shí)行文件信息“誰上網(wǎng)誰負(fù)責(zé)”的原則。凡是秘密等級以上的文件,不得在內(nèi)聯(lián)網(wǎng)和上發(fā)布;凡上網(wǎng)信息必須經(jīng)過審查和批準(zhǔn),確保國家機(jī)密不上網(wǎng)。XX機(jī)關(guān)規(guī)定不能對外公開的資料不得在信息網(wǎng)上發(fā)布;需計算機(jī)處理的密件由專人在專室、專用單機(jī)上進(jìn)行。
第九條任何人員不得做任何與本職工作無關(guān)的計算機(jī)操作,不得打開任何來歷不明的郵件,如覺可疑應(yīng)立即刪除,如感覺有異常情況,應(yīng)及時向信息中心報告;未經(jīng)授權(quán)的人員嚴(yán)禁操作、訪問網(wǎng)絡(luò)服務(wù)器及他人計算機(jī)設(shè)備,不得修改信息網(wǎng)和紅盾網(wǎng)任何內(nèi)容,不得連接數(shù)據(jù)庫作任何操作。
第十條上網(wǎng)用戶不得利用網(wǎng)絡(luò)危害國家安全、泄露國家機(jī)密,不得侵犯國家、社會、單位、集體的利益和公民的合法權(quán)益,不得從事違法犯罪活動。
第十一條上網(wǎng)用戶不得在任何網(wǎng)絡(luò)上制作、復(fù)制和傳播下列信息:
(一)煽動抗拒、破壞憲法和法律、行政法規(guī)實(shí)施;
(二)煽動顛覆國家政權(quán),推翻社會主義制度;
(三)煽動分裂國家、破壞國家統(tǒng)一;
(四)煽動民族仇恨、民族歧視,破壞民族團(tuán)結(jié);
(五)捏造或者歪曲事實(shí),散布謠言,擾亂社會秩序;
(六)宣揚(yáng)封建迷信、淫穢、色情、賭博、暴力、兇殺、恐怖,教唆犯罪;
(七)公然侮辱他人或者捏造事實(shí)誹謗他人;
(八)損害形象和利益;
(九)其他違反憲法和法律、行政法規(guī)的。
第十二條上網(wǎng)用戶不得從事下列危害計算機(jī)信息網(wǎng)絡(luò)安全的活動:
(一)未經(jīng)允許,對自己或他人的計算機(jī)網(wǎng)絡(luò)功能進(jìn)行刪除、修改或者增加;
(二)未經(jīng)允許,對自己或他人的計算機(jī)信息存儲、處理或者傳輸?shù)臄?shù)據(jù)和應(yīng)用程序進(jìn)行刪除、修改或者增加;
(三)瀏覽與工作無關(guān)的網(wǎng)站,上網(wǎng)下載或以其他方式帶入任何未經(jīng)批準(zhǔn)使用的程序,故意制作、傳播計算機(jī)病毒等破壞性程序;
(四)其他危害計算機(jī)信息網(wǎng)絡(luò)安全的行為。
第十三條機(jī)關(guān)工作人員上網(wǎng)只能做與工作有關(guān)的事務(wù)或操作,嚴(yán)禁在網(wǎng)上進(jìn)行賭博或其它不法活動。嚴(yán)禁工作時間玩計算機(jī)游戲。
第十四條上網(wǎng)用戶必須按自己的帳號、密碼進(jìn)入相應(yīng)系統(tǒng),不得盜用他人的帳號、密碼。密碼不得外泄,如發(fā)現(xiàn)可能外泄,應(yīng)及時重設(shè)或申請更換;造成損失和危害的,追究其責(zé)任。網(wǎng)絡(luò)特權(quán)服務(wù)用戶不得泄漏有關(guān)軟硬件、網(wǎng)絡(luò)技術(shù)細(xì)節(jié)及管理密碼;所有人員必須保管好自己的密碼,確保密碼長度不少于8位、必須具有復(fù)雜性(含不重復(fù)的字母、數(shù)字及特殊符號)、不通用性、不易記性,必須定期更新密碼;使用密碼時應(yīng)確保旁人不能窺視;不要在軟件使用時選自動記憶帳戶密碼功能;不要在任何地方使用任何方式談?wù)摶驎接洃浫魏蚊艽a;未經(jīng)批準(zhǔn)不得將數(shù)據(jù)和軟件拷貝帶離本單位或從單位外帶入數(shù)據(jù)輸入到計算機(jī)中。
第十五條聯(lián)網(wǎng)設(shè)備及計算機(jī)內(nèi)網(wǎng)
絡(luò)配置應(yīng)保持相應(yīng)固定,特別是不得隨意修改IP地址,若出現(xiàn)故障應(yīng)通知信息中心技術(shù)人員及時處理,不得自行隨意處理,未經(jīng)信息中心允許不得自行增加計算機(jī)設(shè)備入網(wǎng)。
第十六條網(wǎng)絡(luò)除星期六進(jìn)行維護(hù)外必須24小時運(yùn)行。信息中心設(shè)網(wǎng)絡(luò)管理值勤員。值勤員負(fù)責(zé)其值勤期內(nèi)的網(wǎng)絡(luò)正常運(yùn)行維護(hù)、數(shù)據(jù)備份、報障排障、入侵事件記錄等工作,并做好工作
日志。
第十七條辦公室將不定期抽查計算機(jī)上網(wǎng)記錄,如發(fā)現(xiàn)違反本制度的,視情節(jié)輕重給予通報批評、紀(jì)律處分。構(gòu)成犯罪的,由司法機(jī)關(guān)依法追究刑事責(zé)任。
第十八條本制度未盡事宜或與國家法律、法規(guī)、規(guī)定不符的,均按國家法律、法規(guī)、規(guī)定執(zhí)行。
第十九條本制度由辦公室負(fù)責(zé)解釋,組織實(shí)施。
第二十條本制度自公布之日起施行。
《計算機(jī)、網(wǎng)絡(luò)管理及信息安全管理制度》來源于xiexiebang.com,歡迎閱讀計算機(jī)、網(wǎng)絡(luò)管理及信息安全管理制度。
點(diǎn)擊咨詢 