第一篇:雙管齊下做好網絡信息安全工作
雙管齊下做好網絡信息安全工作
隨著網絡環境的日益復雜,我們對網絡信息安全工作的高度重視,結合實際,加強安全管理,多方面提升安全防范技術水平,著力構筑網絡安全防線。
一是指定專職安全管理員,將信息安全管理工作落到實處。由專職安全管理員牽頭落實信息安全管理細則,發揮監督職能,定期檢查各單位在賬號、口令、軟件補丁等方面的安全落實情況,嚴格落實責任追究制;
二是積極引入信息安全檢測設備,提高網絡安全隱患防范能力。先后引入漏洞掃描設備和安全基線掃描設備,填補安全檢測手段方面的空白,并成功局域網中進行應用,使設備安全檢查工作得以有效落實,有力保障設備的安全運行;
三是加大信息安全人才的培養,促進信息安全技能的整體提升。分公司充分發揮信息安全人才的帶頭作用,開設信息安全知識宣傳欄,選拔培養信息安全技術人才,普及信息安全工作,適應不同業務系統的安全需求。
第二篇:如何做好網絡信息采寫工作
如何做好網絡信息采寫工作
當前,網絡信息工作,已經成為消防部隊一項重要的基礎性工作,它為領導決策、了解基層提供了便捷的信息參考,也為各單位之間交流搭建了良好的平臺。如何做好信息采寫,提高信息工作質量和效果,筆者在這里淺談幾點自己的看法和體會。
一、當前信息采寫工作存在的問題
客觀分析,當前消防部隊信息工作存在的問題可以歸納為六個方面,即“不深、不優、不暢、不實、不高、不強”。
(一)信息工作不深。具體表現為不深入、不細致、不透徹,就事論事,記流水賬。沒有緊緊圍繞黨委、政府和人民群眾熱切關注的消防熱點難點問題,沒有緊緊圍繞事關消防事業長遠發展的根本性問題,沒有緊緊圍繞當前消防部隊的重點工作、中心工作。
(二)信息質量不優。有的內容空泛,沒有指導性;有的內容陳舊,言之無物;有的內容邏輯混亂,層次不清,主次不分,上下顛倒,順序混亂;有的錯別字連篇,晦澀難懂。
(三)信息傳遞不暢。信息上報不及時,遲報、漏報時有發生;信息瞞報現象依然存在,有的隱情不報,有的報喜藏憂,有的對部隊發生的安全事故隱瞞不報,有的對工作中發生的一些重大情況隱瞞不報,導致上級被動。
(四)信息報道不實。東抄西搬、東拼西湊,抄上級單位的,抄兄弟支隊的,千篇一律,以致造成信息報送被動。
(五)人員素質不高。有的同志學習勁頭不足,滿足于水平不高有文憑,知識不多能對付,靠吃老本過日子,工作得過且過,以不變應萬變;有的同志片面強調工作忙、時間緊,對學習采取放任自流的態度,以致能力上不去,造成工作被動;還有的同志敬業精神不強,工作滿足于一般化,對信息文字工作,不是積極思考怎樣做得更好,而是消極對待、應付了事,怕苦怕累、拈輕怕重,甚至一門心思往其他崗位調。
(六)指導意義不強。擬寫的信息無法有效指導部隊各項工作尤其是重點工作的開展,讓人看了不知所云,想借鑒不知從何借鑒,想研判不知如何研判,想采取措施不知該如何下手。
二、信息采寫的基本要求
(一)做好信息捕捉
1、要有強烈的信息意識。要做捕捉信息的有心人,時時處處注意獲取信息。作為基層信息員,要注意自覺強化信息意識,在日常工作和生活中,做采集信息的有心人,養成迅速、及時地搜集、處理、傳遞信息的習慣,使自己經常處于一種“臨戰狀態”,隨時準備發現和捕捉有價值的信息。為此,要做到“四勤”:一是勤動腦。要多想問題,多研究分析上級黨委和領導需要哪些信息,我們應該報送哪些信息;二是勤動眼。要多看文件材料、網上信息和報刊,從上級文件、領導講話和基層報送的材料(信息)中找信息點,從對網上信息研究分析中明確一個階段、一個時期的報道重點、報道方向;三是勤動筆。要多寫,多練筆,熟能生巧,此外,還要善于記錄,好記性不如爛筆頭,還要善于用簡寫、縮略詞等;四是勤動腿。利用各種工作機會,爭取經常深入部隊、深入基層、深入現場,調查研究、了解情況、發現問題。
2、要善于尋找信息點。一是抓重點。緊緊圍繞上級黨委和領導需求,圍繞消防中心工作,圍繞公安部消防局和總隊、支隊的工作思路撰寫信息,及時反映本單位的重大部署、重要進展、重大舉措,重要動態、突出事件,重大節日工作情況,重要領導的指示批示精神及貫徹情況等等,堅持從有關數據中分析消防工作和部隊建設的變化,提出有分析、有情況的信息并及時上報;二是抓難點。圍繞當前消防工作和消防部隊建設中的難點問題,如火災尤其是重特大惡性火災防控、火災隱患整改、農村消防工作、執勤訓練改革、多種形式消防隊伍建設、隊伍安全管理等問題,通過深入地調查研究,不僅要善于發現和反映問題,而且要深入剖析原因,力求把情況搞清楚,把問題分析透,并提出有參考價值的信息,為領導決策提供依據;三是抓熱點。將每一階段的工作熱點、社會關注的、形勢發展需要的、領導當前關心且與工作密切相關的信息,以及社會各界對消防工作的意見、建議及時報送,并可以形成研判的意見;四是抓亮點。主要是有特色的工作和措施、工作中好的做法、經驗及取得的成效、工作中有突出貢獻的人物及事跡等。
(二)做好信息采集
目前,消防部隊信息工作存在的一個突出問題是信息的層次不高,指導性、普遍性不強。很多信息從頭到尾就是一個模式:某月某日某單位,某些領導干某事,某個領導先發言,某個領導再講話,然后結束。信息基本上沒有什么內涵,也談不上指導性和普遍性。因此,要重視信息及相關資料的收集、整理,注意把握好五個方面:
1、時效要強。編報信息要不失時機,搶時間,爭效率,快傳遞,特別是對于突發的緊急重大事件要反應快,出手快,急事速報,爭取在第一時間、第一現場、發出第一報道,為領導決策起到在“關鍵時刻抓關鍵”的作用。
2、立意要純。“意多亂文”,不論是一篇文章,還是一條信息,中心都應該集中,不枝不蔓,重點突出,圍繞主題把問題說清說透。
3、角度要新。“橫看成嶺側成峰,遠近高低各不同”,同樣一件事,可以通過不同的角度去看待,去描寫,選擇不同的角度,表現出的信息觀點與價值自然也不相同。我們在選擇角度的時候,要緊密聯系當前的工作實際,選擇一個最能通過信息反映當前工作的角度去采集、整理信息資料。
4、要素要全。要通過收集,全面掌握事件的時間、地點、人物、起因、經過、結果,以及事件發生的背景、事后的影響或意義等。
5、加工要深。一是要有深度。要在深入調查,掌握第一手材料的基礎上,通過綜合分析,揭示事物的本質,努力強化對信息本身深層次的挖掘和加工,編寫出高質量的信息。二是要有高度。要站在領導的角度,站在宏觀的高度、全局的高度思考問題,在微觀中挖掘出與上級和領導的思路同頻共振的宏觀信息,力求信息供需對路,從而提高上報信息質量和采用率。三是要有廣度。在深入分析個性的時候,要加強其共性反映的力度,側重于反映帶有普遍性的情況和問題,而不僅僅局限于某個地方、某個單位或某一局部現象。
(三)做好信息撰寫
1、主題要鮮明。主題是文章的中心思想,是信息所反映事物的本質意義,是信息的核心和靈魂,決定著信息質量的高下、好壞。主題越鮮明,信息所表達的思想就越精深,觀點就越鮮明集中。為此,在入題的角度、材料的選取、遣詞造句時,都要緊緊圍繞主題,千萬不能下筆千言,離題萬里。
2、內容要詳實。信息采編要遵循實事求是的原則,信息中所涉及的人物、時間、地點、事件過程等要素均必須以事實為準繩,如實地反映客觀事物發生、發展與變化的情況。無論是對工作進展的反映,對重大事件的反映,還是對上級領導機關決策的反饋信息,都要遵循實事求是這一原則。這就要求信息人員在線索的采取與編寫時必須做到仔細認真,全面了解和掌握事件的每一細節。絕不能閉門造車,信口開河,甚至假話、大話、空話連篇,否則就失去了信息工作的性質和本義。
3、標題要醒目。俗話說,“看書看皮,看報看題”,網頁瀏覽首先就是信息的標題,標題如同一個人的眼睛,一篇文章能不能打動讀者,一條信息能不能引起領導的關注,標題往往起著相當大的作用,“題好一半文”就是這個道理。信息人員要想使自己的“作品”引起領導的關注,必須對標題進行精雕細琢,使其具有較強的吸引力和感染力,起到畫龍點睛的作用,從而一下子抓住領導的眼球,使領導一氣讀完全文。標題的寫法主要有:一是濃縮法。將信息的主要內容用簡明的一句話或一個短語概括;二是對仗法。用對仗的兩句做標題,注重文采、格式和韻律,對讀者有較大的吸引力;三是綜合法。用一個主標題,再加一個副標題。主標題通常要簡短精煉,副標題對信息內容和背景予以交代補充。
4、體裁要適當。體裁是展現一篇好的信息稿件的有效載體。可參照新聞消息的體裁,突出消息體裁的短小精悍的作用;也可參照新聞通訊的體裁,突出通訊體裁述事完整的作用。此外,總局謀篇要注意恰如其分,要有“運籌帷幄決勝千里”的氣度。一是可采用總體概述,娓娓道來的方式;二是可采用循序漸進,步步深入,總結提高的方式;三是可采用分類細說,最后總結概況的方式;四是可采用單刀直入,扣準信息主旨,層層表述的方式。
5、篇幅要簡要。信息有別于通訊或者論文,其中一個主要的特點就在于信息通常比較簡短。在表述上要開門見山,盡量減少層次和段落,簡明扼要的將事情的幾個要素敘述清楚即可。同時,信息又與簡訊不同,不能只是對事情的過程作簡單敘述,為了一味的追求簡潔而忽略了事件的結果,要根據情況而作相應的增減,能長則長,能短則短。
6、文字要精煉。在構思上要“大氣”、在語言運用上要“小氣”。一個詞可表達清楚的不要用兩個詞表述,一個句子說明的不要用兩個句子,用短句子可說明的不要用長句子,用單句可表述的不要用復合長句。語言修辭上要恰當得體,不可作無病呻吟狀。在信息文字表述方面,既要樸實凝煉,真實準確,又要注意表達方式和技巧,增強可讀性,使信息的價值得到充分體現。
7、圖片要傳神。好的信息通常都配有醒目的一幅或多幅圖片,使信息圖文并茂,相得益彰,從而大大提高信息的直觀性和形象性。拍攝反映信息工作的圖片不要求過高的藝術效果,主要是抓住工作的關鍵瞬間,突出主要人物,畫面背景不雜亂即可。上傳和貼寫圖片的像素格式設臵不要過高,以提高查閱速度,節省空間。
(四)形成信息研判
信息不是孤立的,也不是為了發表信息而寫信息,而是要服務中心工作,服務領導決策。及時將信息整合,形成研判,非常關鍵,也非常有效。信息研判要服務防火滅火、應急救援,指導部隊管理工作開展。通過對情況信息的分析研判,透過現象看本質、通過局部看全局、通過偶然找必然,把握工作規律,提出可行措施。(黑子手打)
第三篇:網絡信息安全工作自查報告
網絡信息安全工作自查報告
網絡信息安全工作自查報告1
我局自20xx年建設運營醫保業務專網以來,嚴格貫徹落實網絡安全相關規章制度,保證網絡安全經費的預算支出,切實提高網絡完全綜合防護能力,嚴格落實雙網隔離運行以及信息系統安全等級管理制度并由專人負責信息網絡安全工作,總體上看,我局網絡信息安全工作做得扎實,近年來未發現重大網絡及信息安全事故。
一、基本情況
1.業務專網基本情況
xxx區醫保局業務專網于20xx年7月建成并投入運行。系統由一臺DELL服務器、一臺華為3526交換機以及oracle數據庫和定制開發的醫療保險業務綜合管理系統,屬于C/S架構系統。20xx年1月1日,接入張掖市“五險合一”信息系統后,原高梅系統僅保存查詢功能,不再承擔醫保業務。目前,該“五險合一”為我區264家定點醫院、門診、藥店提供醫療保險刷卡及住院結算等服務。
2.醫保局網站基本情況
我局于20xx年5月開通xxx區醫保網網站,域名:www.zichabaogao.com。其中開設醫保動態、政務公開、政策法規、辦事指南等欄目,由專人負責更新維護。截止目前,更新各類信息302篇。自網站開建以來,我局由信息網絡科負責,將群眾關心的政策、制度以及常用的表格全部上傳發表至網站,并積極開展網上辦公、網上答疑等互動交流,為定點醫療機構及參保人員在了解政策、辦理事項等方面提供了快捷高效的途徑。
二、計算機信息管理情況
今年以來,我局加強組織領導,強化宣傳教育,落實工作責任,加強日常監督檢查,將涉密計算機管理抓在手上。對于計算機磁介質(軟盤、U盤、移動硬盤等)的管理,采取專人保管、涉密文件單獨存放,嚴禁攜帶存在涉密內容的磁介質到上網的計算機上加工、貯存、傳遞處理文件,形成了良好的安全保密環境。對涉密計算機(含筆記本電腦)實行了與國際互聯網及其他公共信息網物理隔離,并按照有關規定落實了保密措施,到目前為止,未發生一起計算機失密、泄密事故;其他非涉密計算機(含筆記本電腦)及網絡使用,也嚴格按照局計算機保密信息系統管理辦法落實了有關措施,確保了機關信息安全。
三、計算機信息網絡安全情況
一、是網絡安全方面。我局配備了防病毒軟件、網絡隔離卡,采用了強口令密碼、數據庫存儲備份、移動存儲設備管理、數據加密等安全防護措施,明確了網絡安全責任,強化了網絡安全工作。
二、是信息系統安全方面實行領導審查簽批制度。凡上傳網站的信息,須經辦公室審核簽字后方可上傳;二是開展經常性安全檢查,主要對SQL注入攻擊、跨站腳本攻擊、弱口令、操作系統補丁安裝、應用程序補丁安裝、防病毒軟件安裝與升級、木馬病毒檢測、端口開放情況、系統管理權限開放情況、訪問權限開放情況、網頁篡改情況等進行監管,認真做好系統安全日記。
三、是日常管理方面切實抓好外網、網站和應用軟件“五層管理”,確保“涉密計算機及業務專網不上網,上網計算機不涉密”,嚴格按照保密要求處理光盤、硬盤、U盤、移動硬盤等管理、維修和銷毀工作。重點抓好“三大安全”排查:
一是硬件安全,包括防雷、防火、防盜和電源連接等;
二是網絡安全,包括網絡結構、安全日志管理、密碼管理、IP管理、互聯網行為管理等;
三是應用安全,包括網站、郵件系統、資源庫管理、軟件管理等。
四、硬件設備運行維護情況。
我局每臺終端機都安裝了防病毒軟件,系統相關設備的應用一直采取規范化管理,硬件設備的使用符合國家相關產品質量安全規定,單位硬件的運行環境符合要求,打印機配件、色帶架等基本使用設備原裝產品;今年以來,我局積極落實網絡安全專項資金,配備網絡安全硬件設備、升級應用服務器,強化網絡安全措施,目前,網站系統安全有效,暫未出現任何安全隱患。
我局對電腦及其設備實行“誰使用、誰管理、誰負責”的管理制度。在管理方面我們一是堅持“制度管人”。二是強化信息安全教育、提高干部職工計算機技能。同時在局開展網絡安全知識宣傳,使全體干部職工及終端用戶深刻認識到信息網絡安全的重要性,提高自覺維護網絡安全應用的自覺性和安全防范意識。的在設備維護方面,我局專門設置了網絡設備故障登記簿、計算機維護及維修表對于設備故障和維護情況屬實登記,并及時處理。對外來維護人員,要求有相關人員陪同,并對其身份和處理情況進行登記,規范設備的維護和管理。
五、安全制度制定落實情況
我局對網站安全方面有相關要求,
一是使用專屬權限密碼鎖登陸后臺;
二是上傳文件提前進行病素檢測;
三是網站分模塊分權限進行維護,定期進后臺清理垃圾文件;
四是網站更新專人負責。
為確保計算機網絡安全、實行了網絡專管員制度、計算機安全保密制度、網站安全管理制度、網絡信息安全突發事件應急預案等以有效提高管理員的工作效率。同時我局結合自身情況制定計算機系統安全自查工作制度、信息系統內控制度、信息系統應急預案等管理制度,做到四個確保:
一是系統管理員于每周五定期檢查中心計算機系統,確保無隱患問題;
二是制作安全檢查工作記錄,確保工作落實;
三是實行領導定期詢問制度,由系統管理員匯報計算機使用情況,確保情況隨時掌握;
四是定期組織全局人員學習有關網絡知識,提高計算機使用水平,確保預防。
六、自查存在的問題及整改意見
我們在管理過程中發現了一些管理方面存在的薄弱環節,今后我們還要在以下幾個方面進行改進。
(一)對于線路不整齊、暴露的,立即對線路進行限期整改,并做好防鼠、防火安全工作。
(二)加強設備維護,及時更換和維護好故障設備。
(三)自查中發現個別人員計算機安全意識不強。在以后的工作中,我們將繼續加強計算機安全意識教育和防范技能訓練,讓員工充分認識到計算機案件的嚴重性。人防與技防結合,確實做好單位的網絡安全工作。
網絡信息安全工作自查報告2
根據《衡陽市人民政府辦公室關于開展全市重點領域網絡與信息安全檢查的通知》精神,9月10日,由市電政辦牽頭,組織對全市政府信息系統進行自查工作,現將自查情況自查如下:
一、網絡與信息安全自查工作組織開展情況
9月10日起,由市電政辦牽頭,對各市直各單位當前網絡與信息安全進行了一次全面的調查,此次調查工作以各單位自查為主,市電政辦抽查為輔的方式進行。自查的重點包括:電政辦中心機房網絡檢修、黨政門戶網維護密碼防護升級,市直各單位的信息系統的運行情況摸底調查、市直各單位客戶機病毒檢測,市直各單位網絡數據流量監控和數據分析等。
二、信息安全工作情況
通過上半年電政辦和各單位的努力,我市在網絡與信息安全方面主要完成了以下工作:
1、所有接入市電子政務網的系統嚴格遵照規范實施,我辦根據《常寧市黨政門戶網站信息發布審核制度》、《常寧市網絡與信息安全應急預案》、《常寧黨政門戶網站值班讀網制度》等制度要求,定期組織開展安全檢查,確保各項安全保障措施落實到位。
2、組織信息安全培訓。面向市直政府部門及信息安全技術人員進行了網站滲透攻擊與防護、病毒原理與防護等專題培訓,提高了信息安全保障技能。
3、加強對黨政門戶網站巡檢。定期對各部門子網站進行外部web安全檢查,出具安全風險掃描報告,并協助、督促相關部門進行安全加固。
4、做好重要時期信息安全保障。采取一系列有效措施,實行24小時值班制及安全日報制,與重點部門簽訂信息安全保障書,加強互聯網出口訪問的實時監控,確保十八大期間信息系統安全。
三、自查發現的主要問題和面臨的威脅分析
通過這次自查,我們也發現了當前還存在的一些問題:
1、部分單位規章制度不夠完善,未能覆蓋信息系統安全的所有方面。
2、少數單位的工作人員安全意識不夠強,日常運維管理缺乏主動性和自覺性,在規章制度執行不嚴、操作不規范的情況。
3、存在計算機病毒感染的情況,特別是U盤、移動硬盤等移動存儲設備帶來的安全問題不容忽視。
4、信息安全經費投入不足,風險評估、等級保護等有待加強。
5、信息安全管理人員信息安全知識和技能不足,主要依靠外部安全服務公司的力量。
四、改進措施和整改結果
在認真分析、自查前期各單位自查工作的基礎上,9月12日,我辦抽調3名同志組成檢查組,對部分市直機關的重要信息系統安全情況進行抽查。檢查組共掃描了18個單位的門戶網站,采用自動和人工相結合的方式對15臺重要業務系統服務器、46臺客戶端、10臺交換機和10臺防火墻進行了安全檢查。
檢查組認真貫徹“檢查就是服務”的理念,按照《衡陽市人民政府辦公室關于開展全市重點領域網絡與信息安全檢查的通知》要求對抽查單位進行了細致周到的安全巡檢,提供了一次全面的安全風險評估服務,受到了服務單位的歡迎和肯定。檢查從自查情況核實到管理制度落實,從網站外部安全掃描到重要業務系統安全檢測,從整體網絡安全評測到機房物理環境實地勘查,全面了解了各單位信息安全現狀,發現了一些安全問題,及時消除了一些安全隱患,有針對性地提出了整改建議,督促有關單位對照報告認真落實整改。通過信息安全檢查,使各單位進一步提高了思想認識,完善了安全管理制度,強化了安全防范措施,落實了安全問題的整改,全市安全保障能力顯著提高。
五、關于加強信息安全工作的意見和建議
針對上述發現的問題,我市積極進行整改,主要措施有:
1、對照《衡陽市人民政府辦公室關于開展全市重點領域網絡與信息安全檢查的通知》要求,要求各單位進一步完善規章制度,將各項制度落實到位。
2、繼續加大對機關全體工作人員的安全教育培訓,提高信息安全技能,主動、自覺地做好安全工作。
3、加強信息安全檢查,督促各單位把安全制度、安全措施切實落實到位,對于導致不良后果的安全事件責任人,要嚴肅追究責任。
4、繼續完善信息安全設施,密切監測、監控電子政務網絡,從邊界防護、訪問控制、入侵檢測、行為審計、防毒防護、網站保護等方面建立起全方位的安全防護體系。
5、加大應急管理工作推進力度,在全市信息安全員隊伍的基礎上組建一支應急支援技術隊伍,加強部門間協作,完善應急預案,做好應急演練,將安全事件的影響降到最低。
5、信息基礎設施網絡安全自查報告
根據縣政府辦公室《xx縣人民政府辦公室轉發縣經信委關于開展信息網絡安全專項檢查的工作方案和安徽省政府的網站安全事件信息報告制度的通知》(x政辦[20xx]140號)的文件精神,我局高度重視,認真組織相關人員對我局的辦公網絡系統進行了全面檢查,現將檢查的情況報告如下:
一、自查情況
(一)信息網絡安全組織落實情況。
成立了縣衛生局信息網絡安全工作領導小組,局長任組長,分管副局長任副組長,各醫療衛生單位主要負責人為成員,并設Z了專職信息安全員,做到了分工明確、責任到人。
(二)信息網絡安全管理規章制度的建立和落實情況。為確保信息網絡安全,我局實行了網絡專管員制度、計算機安全保密制度、網絡安全管理制度、網絡信息安全突發事件應急預案等以有效提高管理人員的工作效率。同時我局結合自身情況制定網絡信息安全自查工作制度,做到四個確保:一是信息安全員于每周五定期檢查單位計算機系統,確保無隱患問題;二是制定安全檢查工作記錄,確保工作落實;三是實行領導定期詢問制度,由信息安全員匯報計算機使用情況,確保情況隨時掌握;四是定期組織全局人員學習網絡知識,提高計算機使用水平,加強安全防范。
(三)技術防范措施落實情況。
一是制定了網絡信息安全突發事件應急預案,并隨著信息化程度的深入,結合我局實際,不斷加以完善;二是嚴格文件的收發,完善了清點、整理、編號、簽收制度,并要求信息管理員嚴格管理;三是及時對系統和軟件進行更新,對重要文件、信息資源做到及時備份,數據恢復;四是計算機由專業公司定點維修,并商定其給予應急技術支持,重要系統皆為政府指定的。產品系統;五是涉密計算機經過了保密技術檢查,并安裝了防火墻。同時配Z安裝了專業殺毒軟件,加強了在防篡改、防病毒、防攻擊、防癱瘓、防泄密等方面的有效性。安裝了針對移動存儲設備的專業殺毒軟件;六是涉密計算機都設有開機密碼,由專人保管負責。同時,涉密計算機不和其它計算機之間相互共享。對重要服務器上的應用、服務、端口和鏈接都進行了安全檢查并加固處理。
(四)執行計算機信息系統安全案件、事件報告制度情況。嚴格按照《安徽省政府的網站安全事件信息報告制度》要求,由專職人員及時向有關部門報告。
(五)有害信息的制止和防范情況。
截至目前,暫未發現我局門戶網站及政府信息公開平臺存在散播不當政治言論等有害信息的現象,并安排信息安全人員定期瀏覽排查,及時發現問題。加強對衛生系統工作人員的`信息安全宣傳教育,提高信息安全防范意識和應急處理能力。
(六)黨政機關保密工作。
制定了縣衛生局計算機及網絡的保密管理制度。辦公系統的信息管理人員負責保密管理、密碼管理,對計算機享有獨立使用權,計算機的用戶名和開機密碼為其專有,且規定嚴禁外泄。
(七)重要信息系統等級保護工作開展情況。
按照國家信息安全等級保護有關要求,全面開展衛生系統信息系統的定級、備案和測評工作,對發現的問題及時進行整改。各單位對本單位信息系統進行定級,對二級以上的信息系統辦理備案手續,對三級以上信息系統開展信息安全等級測評,根據測評結果,不符合要求的,制定了整改方案進行整改,并加強日常信息系統安全等級保護監督檢查工作。
二、存在問題
根據《通知》的具體要求,在自查過程中也發現了一些不足,一是信息管理技術人員較少,信息系統安全方面可投入的力量有限;二是規章制度體系初步建立,但還不完善,未能覆蓋信息系統安全的所有方面;三是個別職工保密意識還不夠高,要加強防范意識;四是遇到計算機病毒侵襲等突發事件處理不夠及時。
三、整改措施
針對以上自查中發現的隱患與不足,為進一步加強信息網絡系統安全,應圍繞信息系統安全綜合治理的工作目標,重點在完善規章制度、豐富技術手段上下功夫,認真開展整改工作。
(一)強化應急響應機制建設。制定周密的應急預案,加強應急技術支援隊伍建設,認真做好應急演練、重大信息安全事故處Z、重要數據和業務系統備份等各項工作,確保信息系統安全正常運行。
(二)強化制度保障。一是以制度為根本,在進一步完善信息安全制度的同時,安排專人,完善設施,密切監測,隨時隨地解決可能發生的信息系統安全事故;二是不定期的對安全制度執行情況進行檢查,對于導致不良后果的責任人,要嚴肅追究責任,從而提高人員安全防護意識。
(三)加強信息安全教育培訓。建議舉辦信息安全技術培訓班,對信息安全管理人員進行集中培訓,以增強安全防范意識和應對能力,進一步提高政府信息系統安全管理水平。
(四)加強對單位干部的安全意識教育。加強對機關干部的安全意識教育,提高做好安全工作的主動性和自覺性,增強對計算機信息系統安全的防范和保密意識。
網絡信息安全工作自查報告3
為了貫徹落實《關于開展網絡與信息安全檢查工作的通知》的精神,切實加強我局政務信息系統運行管理和對外網站安全防范工作,嚴防攻擊、網絡中斷、病毒傳播、信息失竊密,為國慶60周年慶祝活動的順利舉行創造良好的網絡信息環境,現就我局網絡信息安全自查自糾情況匯報如下:
一、高度重視,切實加強國慶60周年慶祝活動期間網絡信息安全工作。我局接到區信息辦下發的《關于開展網絡與信息安全檢查工作的通知》后,局領導班子高度重視,立即進行安排部署,落實責任,強化防護措施,加強對本單位網絡和信息系統的安全保護,做好我局內部網絡和信息系統的安全防范和安全檢查工作。
二、按要求嚴格落實網絡信息安全各項制度
1.責任制度。對網絡信息安全各項制度進行了全面梳理,重點抓好安全責任制、應急預案、值班值守、信息發布審核等制度的落實。嚴格落實領導責任制,一把手親自過問,分管負責人直接抓,一級抓一級,層層抓落實。
2.原則要求。堅決執行“誰主管誰負責、誰運行誰負責、誰使用誰負責、誰發布誰負責”的原則,認真履行網絡信息安全保障職責。
3.“五到位”。堅決做到領導、機構、人員、責任、措施“五到位”。健全安全工作機制,對發生重大安全責任事故的,要嚴肅追究相關人員的責任。
三、進一步強化安全防范措施
1.清查網站隱患。針對和應用系統的程序升級、賬戶、密碼、殺病毒、網站維護、政務網接入和運行等方面存在的突出問題,我們逐一進行清理、排查,能及時更新升級的更新升級,進一步強化安全防范措施,及時堵塞漏洞、消除隱患、化解風險。
2.嚴格執行網絡信息安全“五禁止”規定。能夠按要求禁止將涉密信息系統接入國際互聯網及其他公共信息網絡,能夠禁止在沒有防護措施的情況下將國際互聯網等公共信息網絡上的數據拷貝到涉密信息系統,能夠禁止將涉密與非涉密網絡混用,能夠禁止將涉密與非涉密計算機、移動存儲設備混用,能夠禁止使用具有無線互聯功能的設備處理涉密信息。
四、認真抓好網絡信息安全自查和整改
通過自查,我們發現我局網絡與信息系統安全隱患還是存在一些問題,我們將切實對涉及到的有關問題逐步解決,進一步加強網絡信息安全管理。
網絡信息安全工作自查報告4
一、組織領導情況
1、成立了信息系統和網站安全工作領導小組。明確了信息安全的主管領導和具體負責管護人員,安全領導小組為管理機構。
2、建立了信息安全責任制。按責任規定:保密小組對信息安全負首責,主管領導負總責,具體管理人負主責。
3、制定了計算機及網站的保密管理制度。網站的信息管護人員負責保密管理,密碼管理,對計算機享有獨立使用權,計算機的用戶名和開機密碼為其專有,且規定嚴禁外泄。
二、安全防范措施落實情況
1、涉密計算機經過了保密技術檢查,并安裝了防火墻。同時配置安裝了專業殺毒軟件,加強了在防篡改、防病毒、防攻擊、防癱瘓、防泄密等方面有效性。
2、涉密計算機都設有開機密碼,由專人保管負責。
3、網絡終端沒有違規上國際互聯網及其他的信息網的現象,沒有安裝無線網絡等。
4、安裝了針對移動存儲設備的專業殺毒軟件。
三、應急處置機制情況
一是制定了初步應急預案;二是堅持和涉密計算機系統定點維修單位聯系機關計算機維修事宜,并商定其給予鄉應急技術以最大程度的支持;三是嚴格文件的收發,完善了清點、修理、編號、簽收制度,并要求信息管理員每天下班前進行系統備份。
我鄉全年內未發生任何網絡安全事故。
四、國外信息技術產品和服務的使用情況
1、終端計算機的保密系統和防火墻、殺毒軟件等,皆為國產產品。
2、加密網系統為市政府統一指定產品系統。
五、安全教育培訓情況
組織政府xx建設與管理知識培訓,全體干部職工餐參訓。
網絡信息安全工作自查報告5
為加強互聯網行業網絡與信息安全工作,全面加強我公司網絡與信息安全工作,公司運維部門對公司網絡、信息系統和網站的安全問題組織了自查,現將自查情況匯報如下:
一、公司網絡與信息安全狀況
本次檢查采用本單位自查、遠程檢查與現場抽查相結合的方式,檢查內容主要包含網絡與信息系統安全的組織管理、日常維護、技術防護、應急管理、技術培訓等5各方面。
從檢查情況看,我司網絡與信息安全總體情況良好。公司一貫重視信息安全工作,始終把信息安全作為信息化工作的重點內容。網絡信息安全工作機構健全、責任明確,日常管理維護工作比較規范;管理制度完善,技術防護措施得當,信息安全風險得到有效降低;比較重視信息系統(網站)系統管理員和網絡安全技術人員培訓,應急預案與應急處置技術隊伍有落實,工作經費有一定保障,基本保證了公司網信息系統(網站)持續安全穩定運行。但在網絡安全管理、技術防護設施、網站建設與維護、信息系統等級保護工作等方面,還需要進一步加強和完善。
二、網絡信息安全工作情況
1.網絡信息安全組織管理
按照“誰主管誰負責、誰運維誰負責、誰使用誰負責”的原則,公司網絡信息安全工作實行“三級”管理。公司設有信息化工作領導小組,領導小組全面負責公司網絡信息安全工作,授權信息辦對全公司網絡信息安全工作進行安全管理和監督責任。運維部門承擔信息系統安全技術防護與技術保障工作。各部門個單位單位信息系統和網站信息內容的直接安全責任。
2.信息系統(網站)日常安全管理
公司有“公司網管理條例”、“中心機房安全管理制度“、“數據安全管理辦法”、“網站管理辦法”、“服務器托管管理辦法”、“網絡故障處理規范”等系列規章制度。各系統(網站)使用單位基本能按要求,落實責任人,較好地履行網站信息上傳審簽制度、信息系統數據保密與防篡改制度。日常維護操作較規范,多數單位做到了杜絕弱口令并定期更改,嚴密防護個人電腦,定期備份數據,定期查看安全日志等,隨時掌握系統(網站)狀態,保證正常運行。
3.信息系統(網站)技術防護
公司網數據中心建有一定規模的綜合安全防護措施。
一是建有專業中心機房,配備視頻監控、備用電力供應設備,有防水、防潮、防靜、溫濕度控制、電磁防護等措施,進出機房實行門禁和登記制度;
二是網絡出口部署有安全系統,站群系統部署有應用防火墻,并定期更新檢測規則庫,重要信息系統建立專網以便與校園網物理隔離;
三是對服務器、網絡設備、安全設備等定期進行安全漏洞檢查,及時更新操作系統和補丁,配置口令策略保證更新頻度;
四是全面實行實名認證制度,具備上網行為回溯追蹤能力;
五是對重要系統和數據進行定期備份,并建有災備中心。
4.信息安全應急管理
運維部制定有《網絡與信息安全突發事件應急預案》。技術部應急技術支持單位,確保網絡安全事件的快速有效處置。
5.信息安全教育培訓
定期對公司全員進行信息安全保密培訓。增強管理干部和技術人員的安全防范意識,提高技術防護能力。
三、檢查發現的主要問題
通過具體檢查項目,我司在信息安全工作上還存在一定的問題:
1.安全管理方面:。部分系統(網站)日常管理維護不夠規范,仍存在管理員弱口令、數據備份重視不夠、信息保密意識差等問題
2.技術防護方面:安全技術防護設施仍不足,如缺少數據中心安全防御系統和審計系統,欠缺安全檢測設施,無法對服務器、信息系統(網站)進行安全漏洞掃描與隱患檢查。
3.應用系統(網站)方面:個別應用系統(網站)存在設計缺陷和安全漏洞,有可能發生安全事故。
4.信息系統等級保護工作尚未全面開展。
四、整改措施
針對存在的問題,信息化領導小組專門進行了研究部署。
1.進一步完善網絡信息安全管理制度,規范信息系統和網站日常管理維護工作程序。加強網管員技術培訓,提高安全意識和技術能力。
2.繼續完善網絡信息安全技術防護設施,配備必要的安全防御和檢測設備,實行信息系統(網站)安全檢測準入制度,從根本上降低安全風險。定期對服務器、操作系統進行漏洞掃描和隱患排查,建立針對性的主動防護體系。
3.全面開展信息系統等級保護工作,完成所有在線系統的定級、備案工作。積極創造條件開展后續定級測評、整改等工作。
4.加強應急管理,修訂應急預案,組建以技術人員為骨干、重要系統管理員參加的應急支援技術隊伍,加強部門間協作,做好應急演練,將安全事件的影響降到最低
網絡信息安全工作自查報告6
根據《xx市人民政府辦公室關于加強全國“兩會”期間政府系統計算機網絡和信息安全保密工作的緊急通知》(xx辦〔20xx〕34號)文件精神,我辦嚴格對計算機網絡和信息安全保密工作進行了認真自查,現有關情況匯報如下:
一、領導重視,組織健全
我辦成立了政府信息公開領導小組以及保密工作領導小組,領導小組下設辦公室,具體負責保密審查的日常工作,對擬公開的公文、信息是否涉密進行嚴格把關。
二、加強學習宣傳,提高安全保密意識
我辦及時、認真地組織涉密人員學習有關保密工作的方針,加強宣傳教育工作,不斷提高干部職工的保密觀念和政治責任感,尤其加強對重點涉密人員的保密教育和管理。抓好新形勢下的信息安全保密工作。
三、把握關鍵環節,保證計算機網絡和信息工作安全
1.嚴格執行信息安全保密制度。我辦能認真按照信息安全保密制度的規定,嚴格執行信息公開申請、發布、保密和審核制度,政府信息公開保密審查辦公室堅持做到嚴格把好審查關,防止涉密信息和內部信息公開,保證政府信息公開內容不危及國家安全、公共安全、經濟安全和社會穩定。
2.做好政務內網交換工作。一是安排了政治素質高、工作責任心強的同志負責對電子政務網上的文件進行簽收、辦理,確保文件安全簽收;二是配備了專供上政務內網的計算機,該機不做任何涉密文件的處理,確保了“上網不涉密,涉密不上網”。
3.網絡、網站及信息系統運行情況。一是在互聯網郵箱使用上,嚴禁按照有關要求,嚴禁通過互聯網郵箱存儲、處理、傳輸涉密和內部辦公室信息;二是網絡安全方面。配備了防病毒軟件,采用了強口令密碼、數據庫存儲備份、移動存儲設備管理等安全防護措施,明確了網絡安全責任,強化了網絡安全工作。三是日常管理方面切實抓好外網、網站和應用軟件“五層管理”,嚴格按照保密要求處理光盤、硬盤、U盤、移動硬盤等管理、維修和銷毀工作。四是信息系統安全方面實行領導審查簽字制度。凡上傳網站的信息,須經有關領導審查簽字后方可上傳;開展經常性安全檢查,主要對計算機密碼口令、操作系統補丁安裝、應用程序補丁安裝、防病毒軟件安裝與升級、木馬病毒檢測、端口開放情況、網頁篡改情況等進行監管,認真做好系統安全。
網絡信息安全工作自查報告7
我局于20xx年5月開通xxx區醫保網網站。其中開設醫保動態、政務公開、政策法規、辦事指南等欄目,由專人負責更新維護。截止目前,更新各類信息302篇。自網站開建以來,我局由信息網絡科負責,將群眾關心的政策、制度以及常用的表格全部上傳發表至網站,并積極開展網上辦公、網上答疑等互動交流,為定點醫療機構及參保人員在了解政策、辦理事項等方面提供了快捷高效的途徑。
一、計算機信息管理情況
今年以來,我局加強組織領導,強化宣傳教育,落實工作責任,加強日常監督檢查,將涉密計算機管理抓在手上。對于計算機磁介質(軟盤、U盤、移動硬盤等)的管理,采取專人保管、涉密文件單獨存放,嚴禁攜帶存在涉密內容的磁介質到上網的計算機上加工、貯存、傳遞處理文件,形成了良好的安全保密環境。對涉密計算機(含筆記本電腦)實行了與國際互聯網及其他公共信息網物理隔離,并按照有關規定落實了保密措施,到目前為止,未發生一起計算機失密、泄密事故;其他非涉密計算機(含筆記本電腦)及網絡使用,也嚴格按照局計算機保密信息系統管理辦法落實了有關措施,確保了機關信息安全。
二、計算機信息網絡安全情況
一、是網絡安全方面。我局配備了防病毒軟件、網絡隔離卡,采用了強口令密碼、數據庫存儲備份、移動存儲設備管理、數據加密等安全防護措施,明確了網絡安全責任,強化了網絡安全工作。
二、是信息系統安全方面實行領導審查簽批制度。凡上傳網站的信息,須經辦公室審核簽字后方可上傳;二是開展經常性安全檢查,主要對SQL注入攻擊、跨站腳本攻擊、弱口令、操作系統補丁安裝、應用程序補丁安裝、防病毒軟件安裝與升級、木馬病毒檢測、端口開放情況、系統管理權限開放情況、訪問權限開放情況、網頁篡改情況等進行監管,認真做好系統安全日記。
三、是日常管理方面切實抓好外網、網站和應用軟件“五層管理”,確保“涉密計算機及業務專網不上網,上網計算機不涉密”,嚴格按照保密要求處理光盤、硬盤、U盤、移動硬盤等管理、維修和銷毀工作。重點抓好“三大安全”排查:一是硬件安全,包括防雷、防火、防盜和電源連接等;二是網絡安全,包括網絡結構、安全日志管理、密碼管理、IP管理、互聯網行為管理等;三是應用安全,包括網站、郵件系統、資源庫管理、軟件管理等。
三、硬件設備運行維護情況。
我局每臺終端機都安裝了防病毒軟件,系統相關設備的應用一直采取規范化管理,硬件設備的使用符合國家相關產品質量安全規定,單位硬件的運行環境符合要求,打印機配件、色帶架等基本使用設備原裝產品;今年以來,我局積極落實網絡安全專項資金,配備網絡安全硬件設備、升級應用服務器,強化網絡安全措施,目前,網站系統安全有效,暫未出現任何安全隱患。
我局對電腦及其設備實行“誰使用、誰管理、誰負責”的管理制度。在管理方面我們一是堅持“制度管人”。二是強化信息安全教育、提高干部職工計算機技能。同時在局開展網絡安全知識宣傳,使全體干部職工及終端用戶深刻認識到信息網絡安全的重要性,提高自覺維護網絡安全應用的自覺性和安全防范意識。的在設備維護方面,我局專門設置了網絡設備故障登記簿、計算機維護及維修表對于設備故障和維護情況屬實登記,并及時處理。對外來維護人員,要求有相關人員陪同,并對其身份和處理情況進行登記,規范設備的維護和管理。
四、安全制度制定落實情況
我局對網站安全方面有相關要求,一是使用專屬權限密碼鎖登陸后臺;二是上傳文件提前進行病素檢測;三是網站分模塊分權限進行維護,定期進后臺清理垃圾文件;四是網站更新專人負責。為確保計算機網絡安全、實行了網絡專管員制度、計算機安全保密制度、網站安全管理制度、網絡信息安全突發事件應急預案等以有效提高管理員的工作效率。同時我局結合自身情況制定計算機系統安全自查工作制度、信息系統內控制度、信息系統應急預案等管理制度,做到四個確保:一是系統管理員于每周五定期檢查中心計算機系統,確保無隱患問題;二是制作安全檢查工作記錄,確保工作落實;三是實行領導定期詢問制度,由系統管理員匯報計算機使用情況,確保情況隨時掌握;四是定期組織全局人員學習有關網絡知識,提高計算機使用水平,確保預防。
五、自查存在的問題及整改意見
我們在管理過程中發現了一些管理方面存在的薄弱環節,今后我們還要在以下幾個方面進行改進。
(一)對于線路不整齊、暴露的,立即對線路進行限期整改,并做好防鼠、防火安全工作。
(二)加強設備維護,及時更換和維護好故障設備。
(三)自查中發現個別人員計算機安全意識不強。在以后的工作中,我們將繼續加強計算機安全意識教育和防范技能訓練,讓員工充分認識到計算機案件的嚴重性。人防與技防結合,確實做好單位的網絡安全工作。
第四篇:網絡研修:線上線下雙管齊下
線上線下雙管齊下,一路學習一路思考
以多媒體計算機和網絡通信為代表的信息技術體現了當代最偉大、最活躍的生產力。此次培訓即為一種創新,線上線下雙結合,線上分學科學習課程資源、完成網絡活動、發表評論,提交心得;線下集體研討等豐富的形式,為研修教師打開了一扇學科理念、理論、實踐活動的窗口。
線上理論學習最終需要線下研討檢驗,教師交流是集體教研中的最佳途徑。合作與交流可以把教師個人的聰明才智進行加工凝結在一起,最后綜合成遠遠大于單個教師研究的簡單相加效果。教研中的同幫互助,就是教師群體之間相互探討教育教學問題,提倡在校本教研中有不同呼聲,在一個群體中有不同思想,大膽評點,各抒己見,促進教師間共同成長。當然教研中的互助同伴不僅局限于學校內部教研組或課題組,還可擴展到校際教研活動、網絡上的教師群體,這時網絡就給教師與教師以及教師與學生之間的交流提供了更好的平臺。越發覺得,每位教師的成長與網絡發展息息相關。我們要掌握基本的網絡操作能力,積極利用網絡教育教學資源和網絡交流工具,教學中我們要數字化技術與課程深度融合,也應該大量的運用這種網絡資源,運用信息化技術把課堂的氣氛帶動起來,激發學生的學習興趣,提升我們的教學效率,為我所用,促進自身專業更快發展。帶著一顆平常心,認真學習,認真做作業,認真反思,細細揣磨,用心感悟,研有所得,研以致用,在研修的道路上收獲更多、成長更多.一同攜手,在研修的道路上且思、且行!
第五篇:網絡信息安全
網絡信息安全
信息安全是指為建立信息處理系統而采取的技術上和管理上的安全保護,以實現電子信息的保密性、完整性、可用性和可控性。當今信息時代,計算機網絡已經成為一種不可缺少的信息交換工具。然而,由于計算機網絡具有開放性、互聯性、連接方式的多樣性及終端分布的不均勻性,再加上本身存在的技術弱點和人為的疏忽,致使網絡易受計算機病毒、黑客或惡意軟件的侵害。面對侵襲網絡安全的種種威脅,必須考慮信息的安全這個至關重要的問題。
網絡信息安全分為網絡安全和信息安全兩個層面。網絡安全包括系統安全,即硬件平臺、操作系統、應用軟件;運行服務安全,即保證服務的連續性、高效率。信息安全則主要是指數據安全,包括數據加密、備份、程序等。
1.硬件安全。即網絡硬件和存儲媒體的安全。要保護這些硬設施不受損害,能夠正常工作。
2.軟件安全。即計算機及其網絡中各種軟件不被篡改或破壞,不被非法操作或誤操作,功能不會失效,不被非法復制。
3.運行服務安全。即網絡中的各個信息系統能夠正常運行并能正常地通過網絡交流信息。通過對網絡系統中的各種設備運行狀況的監測,發現不安全因素能及時報警并采取措施改變不安全狀態,保障網絡系統正常運行。
4.數據安全。即網絡中存儲及流通數據的女全。要保護網絡中的數據不被篡改、非法增刪、復制、解密、顯示、使用等。它是保障網絡安全最根本的目的。
1.防火墻技術。防火墻(Firewall)是近年來發展的最重要的安全技術,它的主要功能是加強網絡之間的訪問控制,防止外部網絡用戶以非法手段通過外部網絡進入內部網絡(被保護網絡)。它對兩個或多個網絡之間傳輸的數據包和鏈接方式按照一定的安全策略對其進行檢查,來決定網絡之間的通信是否被允許,并監視網絡運行狀態。簡單防火墻技術可以在路由器上實現,而專用防火墻提供更加可靠的網絡安全控制方法。
防火墻的安全策略有兩條。一是“凡是未被準許的就是禁止的”。防火墻先是封閉所有信息流,然后審查要求通過的信息,符合條件的就讓通過;二是“凡是未被禁止的就是允許的”,防火墻先是轉發所有的信息,然后再逐項剔除有害的內容,被禁止的內容越多,防火墻的作用就越大。網絡是動態發展的,安全策略的制定不應建立在靜態的基礎之上。在制定防火墻安全規則時,應符合“可適應性的安全管理”模型的原則,即:安全=風險分析+執行策略+系統實施+漏洞監測+實時響應。防火墻技術主要有以下三類:
●包過濾技術(Packct Filtering)。它一般用在網絡層,主要根據防火墻系統所收到的每個數據包的源IP地址、目的IP地址、TCP/UDP源端口號、TCP/UDP目的端口號及數據包中的各種標志位來進行判定,根據系統設定的安全策略來決定是否讓數據包通過,其核心就是安全策略,即過濾算法的設計。
●代理(Proxy)服務技術。它用來提供應用層服務的控制,起到外部網絡向內部網絡申請服務時的中間轉接作用。內部網絡只接受代理提出的服務請求,拒絕外部網絡其它節點的直接請求。運行代理服務的主機被稱為應用機關。代理服務還可以用于實施較強的數據流監控、過濾、記錄等功能。
●狀態監控(Statc Innspection)技術。它是一種新的防火墻技術。在網絡層完成所有必要的防火墻功能——包過濾與網絡服務代理。目前最有效的實現方法是采用 Check Point)提出的虛擬機方式(Inspect Virtual Machine)。
防火墻技術的優點很多,一是通過過濾不安全的服務,極大地提高網絡安全和減少子網中主機的風險;二是可以提供對系統的訪問控制;三是可以阻擊攻擊者獲取攻擊網絡系統的有用信息;四是防火墻還可以記錄與統計通過它的網絡通信,提供關于網絡使用的統計數據,根據統計數據來判斷可能的攻擊和探測;五是防火墻提供制定與執行網絡安全策略的手段,它可以對企業內部網實現集中的安全管理。
防火墻技術的不足有三。一是防火墻不能防止繞過防火墻的攻擊;二是防火墻經不起人為因素的攻擊。由于防火墻對網絡安全實施單點控制,因此可能受到黑客的攻擊;三是防火墻不能保證數據的秘密性,不能對數據進行鑒別,也不能保證網絡不受病毒的攻擊。
2.加密技術。數據加密被認為是最可靠的安全保障形式,它可以從根本上滿足信息完整性的要求,是一種主動安全防范策略。數據加密就是按照確定的密碼算法將敏感的明文數據變換成難以識別的密文數據。通過使用不同的密鑰,可用同一加密算法,將同一明文加密成不同的密文。當需要時可使用密鑰將密文數據還原成明文數據,稱為解密。
密鑰加密技術分為對稱密鑰加密和非對稱密鑰加密兩類。對稱加密技術是在加密與解密過程中使用相同的密鑰加以控制,它的保密度主要取決于對密鑰的保密。它的特點是數字運算量小,加密速度快,弱點是密鑰管理困難,一旦密鑰泄露,將直接影響到信息的安全。非對稱密鑰加密法是在加密和解密過程中使用不同的密鑰加以控制,加密密鑰是公開的,解密密鑰是保密的。它的保密度依賴于從公開的加密密鑰或密文與明文的對照推算解密密鑰在計算上的不可能性。算法的核心是運用一種特殊的數學函數——單向陷門函數,即從一個方向求值是容易的,但其逆向計算卻很困難,從而在實際上成為不可能。
除了密鑰加密技術外,還有數據加密技術。一是鏈路加密技術。鏈路加密是對通信線路加密;二是節點加密技術。節點加密是指對存儲在節點內的文件和數據庫信息進行的加密保護。
3.數字簽名技術。數字簽名(Digital Signature)技術是將摘要用發送者的私鑰加密,與原文一起傳送給接收者。接收者只有用發送者的公鑰才能解密被加密的摘要。在電子商務安全保密系統中,數字簽名技術有著特別重要的地位,在電子商務安全服務中的源鑒別、完整性服務、不可否認服務中都要用到數字簽名技術。
在書面文件上簽名是確認文件的一種手段,其作用有兩點,一是因為自己的簽名難以否認,從而確認文件已簽署這一事實;二是因為簽名不易仿冒,從而確定了文件是真的這一事實。數字簽名與書面簽名有相同相通之處,也能確認兩點,一是信息是由簽名者發送的,二是信息自簽發后到收到為止未曾做過任何修改。這樣,數字簽名就可用來防止:電子信息因易于修改而有人作偽;冒用別人名義發送信息;發出(收到)信件后又加以否認。
廣泛應用的數字簽名方法有RSA簽名、DSS簽名和 Hash簽名三種。RSA的最大方便是沒有密鑰分配問題。公開密鑰加密使用兩個不同的密鑰,其中一個是公開的,另一個是保密的。公開密鑰可以保存在系統目錄內、未加密的電子郵件信息中、電話黃頁上或公告牌里,網上的任何用戶都可獲得公開密鑰。保密密鑰是用戶專用的,由用戶本身持有,它可以對公開密鑰加密的信息解密。DSS數字簽名是由美國政府頒布實施的,主要用于跟美國做生意的公司。它只是一個簽名系統,而且美國不提倡使用任何削弱政府竊聽能力的加密軟件。Hash簽名是最主要的數字簽名方法,跟單獨簽名的RSA數字簽名不同,它是將數字簽名和要發送的信息捆在一起,所以更適合電子商務。
4.數字時間戳技術。在電子商務交易的文件中,時間是十分重要的信息,是證明文件有效性的主要內容。在簽名時加上一個時間標記,即有數字時間戳(Digita Timestamp)的數字簽名方案:驗證簽名的人或以確認簽名是來自該小組,卻不知道是小組中的哪一個人簽署的。指定批準人簽名的真實性,其他任何人除了得到該指定人或簽名者本人的幫助,否則不能驗證簽名
(二)網絡信忽安全的目標
1.保密性。保密性是指信息不泄露給非授權人、實休和過程,或供其使用的特性。
2.完整性。完整性是指信息未經授權不能被修改、不被破壞、不被插人、不遲延、不亂序和不丟失的特性。對網絡信息安全進行攻擊的最終目的就是破壞信息的完整性。
3.可用性。可用性是指合法用戶訪問并能按要求順序使用信息的特性,即保證合法用戶在需要時可以訪問到信息
4.可控性。可控性是指授權機構對信息的內容及傳播具有控制的能力的特性,可以控制授權范圍內的信息流向以及方式。
5.可審查性。在信息交流過程結束后,通信雙方不能抵賴曾經做出的行為,也不能否認曾經接收到對方的信息。
網絡信息安全面臨的問題
1.網絡協議和軟件的安全缺陷
因特網的基石是TCP/IP協議簇,該協議簇在實現上力求效率,而沒有考慮安全因素,因為那樣無疑增大代碼量,從而降低了TCP/IP的運行效率,所以說TCP/IP本身在設計上就是不安全的。很容易被竊聽和欺騙:大多數因特網上的流量是沒有加密的,電子郵件口令、文件傳輸很容易被監聽和劫持。很多基于TCP/IP的應用服務都在不同程度上存在著安全問題,這很容易被一些對TCP/IP十分了解的人所利用,一些新的處于測試階級的服務有更多的安全缺陷。缺乏安全策略:許多站點在防火墻配置上無意識地擴大了訪問權限,忽視了這些權限可能會被內部人員濫用,黑客從一些服務中可以獲得有用的信息,而網絡維護人員卻不知道應該禁止這種服務。配置的復雜性:訪問控制的配置一般十分復雜,所以很容易被錯誤配置,從而給黑客以可乘之機。TCP/IP是被公布于世的,了解它的人越多被人破壞的可能性越大。現在,銀行之間在專用網上傳輸數據所用的協議都是保密的,這樣就可以有效地防止入侵。當然,人們不能把TCP/IP和其實現代碼保密,這樣不利于TCP/IP網絡的發展。2.黑客攻擊手段多樣
進人2006年以來,網絡罪犯采用翻新分散式阻斷服務(DDOS)攻擊的手法,用形同互聯網黃頁的域名系統服務器來發動攻擊,擾亂在線商務。寬帶網絡條件下,常見的拒絕服務攻擊方式主要有兩種,一是網絡黑客蓄意發動的針對服務和網絡設備的DDOS攻擊;二是用蠕蟲病毒等新的攻擊方式,造成網絡流量急速提高,導致網絡設備崩潰,或者造成網絡鏈路的不堪負重。
調查資料顯示,2006年初發現企業的系統承受的攻擊規模甚于以往,而且來源不是被綁架的“僵尸”電腦,而是出自于域名系統(DNS)服務器。一旦成為DDOS攻擊的目標,目標系統不論是網頁服務器、域名服務器,還是電子郵件服務器,都會被網絡上四面八方的系統傳來的巨量信息給淹沒。黑客的用意是借人量垃圾信息妨礙系統正常的信息處理,借以切斷攻擊目標對外的連線。黑客常用“僵尸”電腦連成網絡,把大量的查詢要求傳至開放的DNS服務器,這些查詢信息會假裝成被巨量信息攻擊的目標所傳出的,因此DNS服務器會把回應信息傳到那個網址。
美國司法部的一項調查資料顯示,1998年3月到2005年2月期間,82%的人侵者掌握授權用戶或設備的數據。在傳統的用戶身份認證環境下,外來攻擊者僅憑盜取的相關用戶身份憑證就能以任何臺設備進人網絡,即使最嚴密的用戶認證保護系統也很難保護網絡安全。另外,由于企業員工可以通過任何一臺未經確認和處理的設備,以有效合法的個人身份憑證進入網絡,使間諜軟件、廣告軟件、木馬程序及其它惡意程序有機可乘,嚴重威脅網絡系統的安全。
有資料顯示,最近拉美國家的網絡詐騙活動增多,作案手段先進。犯罪活動已經從“現實生活轉入虛擬世界”,網上詐騙活動日益增多。3.計算機病毒
點擊咨詢 