实用文案
信息安全保障措施
一、信息安全保障措施
采用IBM服务器作主机
1、软件系统:
操作系统:WINGDOWS2000SERVER
数据库:Oralce
防火墙:诺顿防病毒软件
2、硬件系统:
主机位置及带宽:系统主机设在IDC主机房内,通过100M带宽光纤与CHINGANET骨干网相连接。
二、信息安全保密管理制度
1.建立全员安全意识,合理规划信息安全
安全意识的强弱对于整个信息系统避免或尽量减小损失,乃至整个具备主动防御能力的信息安全体系的搭建,都具有重要的战略意义。我们首先建立起全员防护的环境。在意识上建立牢固的防患意识,并有足够的资金支持,形成企业内部的信息安全的共识与防御信息风险的基本常识,其次是选用安全性强的软硬件产品,构筑软硬协防的安全体系,确保安全应用。
2.建立信息采集(来源)、审核、发布管理制度并结合关键字过滤系统,保障信息安全。采编部按照采编制度和相关互联网规定,严格把关。
3.涉密信息,包括在对外交往与合作中经审查、批准与外部交换的秘密信息,不得在连有外网的计算机信息系统中存储、处理、传递。加强对计算机介质(软盘、磁带、光盘、磁卡等)的管理,对储存有秘密文件、资料的计算机等设备要有专人操作,采取必要的防范措施,严格对涉密存储介质的管理,建立规范的管理制度,存储有涉密内容的介质一律不得进入互联网络使用
4.建立系统保密措施,严格实行安全管理。系统的安全、帐号及权限的管理,责任到人;对系统软件的管理;在系统维护过程中,产生的记录:系统维护日志、系统维护卡片、详细维护记录。
5.对涉密信息实行加密、解密及管理,确保数据传输的安全。
6.建立数据库的信息保密管理制度,保障数据库安全。数据库由专人管理并负责。
7.建立日志的跟踪、记录及查阅制度,及时发现和解决安全漏洞。
实用文案
三、技术保障措施
1.加强内部网络管理、监测违规
(1)在强、弱电安全方面,采用双路交流电供电形成电源冗余并配置UPS的设计方案保证强电安全,另外,采用避雷防电和放置屏蔽管道的方法来保证弱电线路(交换机、网线)的安全。
(2)在IP资源管理方面,采用IP+MAC捆绑的技术手段防止用户随意更改IP地址和随意更换交换机上的端口。通过网管中心的管理软件,对该交换机远程实施Port Security策略,将客户端网卡MAC地址固定绑在相应端口上。
(3)在网络流量监测方面,使用网络监测软件对网络传输数据协议类型进行分类统计,查看数据、视频、语音等各种应用的利用带宽,防止频繁进行大文件的传输,甚至发现病毒的转移及传播方向。
(4)在违规操作监控方面,对涉秘信息的处理,严禁“一机两用”事件的发生。即一台计算机同时联接内部网和互联网,还包括轮流上内部网和国际互联网的情形,因此我们对每个客户端安装了监控系统,实行电脑在线监测、电脑在线登记、一机两用监测报警、电脑阻断、物理定位等措施。
2.管理服务器
应用服务器安装的操作系统为Windows系列,服务器的管理包括服务器安全审核、组策略实施、服务器的备份策略。
服务器安全审核的范围包括安全漏洞检查、日志分析、补丁安装情况检查等,审核的对象是DC、Exchange Server、SQL Server、IIS等。
在组策略实施时,使用软件限制策略,即哪些内部用户不能使用哪个软件,对操作用户实行分权限管理。
服务器的备份策略包括系统软件备份和数据库备份两部分,系统软件备份拟利用现有的ARC Server 专用备份程序,制定合理的备份策略,每周日晚上做一次完全备份,然后周一到周五晚上做增量备份或差额备份;定期对服务器备份工作情况进行检查(数据库备份后面有论述)。
3.管理客户端
(1)将客户端都加入到域中,客户端纳入管理员集中管理的范围。出于安全上的考虑,安装
win2000系列客户端。
(2)只给用户以普通域用户的身份登录到域,因为普通域用户不属于本地文案大全.
Administrators和Power Users组,这样就可以限制他们在本地计算机上安装大多数软件。当然为了便于用户工作,通过本地安全策略措施,授予基本操作权利。
(3)实现客户端操作系统补丁程序的自动安装。
(4)实现客户端防病毒软件的自动更新。
(5)利用SMS对客户端进行不定期监控,发现不正常情况及时处理。
数据备份与冗余4.
考虑到综合因素,采用如下数据备份和冗余方案:
(1)在网络中心的Oracle服务器以及文件服务器上分别安装VERITAS的相关客户端Agent软件。
(2)在服务器上设置在线备份策略,每天凌晨1点自动备份SQL数据库、凌晨2点自动备份Oracle 数据库、凌晨3点自动备份邮件,主要用于系统层恢复后的数据加载。
(3)采用本地硬件RAID 5对硬件级磁盘故障进行保护。
数据加密5.
考虑到网络上非认证用户可能试图旁路系统的情况,如物理地“取走”数据库,在通信线路上窃听截获。对这样的威胁采取了有效方法:数据加密。即以加密格式存储和传输敏感数据。发送方用加密密钥,通过加密设备或算法,将信息加密后发送出去。接收方在收到密文后,用解密密钥将密文解密,恢复为明文。如果传输中有人窃取,他只能得到无法理解的密文,从而对信息起到保密作用。
病毒防治措施 6.
我们对防病毒软件的要求是:能支持多种平台,至少是在Windows系列操作系统上都能运行;能提供中心管理工具,对各类服务器和工作站统一管理和控制;在软件安装、病毒代码升级等方面,可通过服务器直接进行分发,尽可能减少客户端维护工作量;病毒代码的升级要迅速有效。所以,综合以上各种因素,我们选择了SYMANTEC公司的Norton Antivirus企业版。在实施过程中,本单位以一台服务器作为中央控制一级服务器,实现对网络中所有计算机的保护和监控,并使用其中有效的管理功能,如: 管理员可以向客产端发送病毒警报、强制对远程客户端进行病毒扫描、锁定远程客产端等。正常情况下,一级服务器病毒代码库升级后半分钟内,客户端的病毒代码库也进行了同步更新。
补丁更新与软件分发7.
网络安全防御不是简单的防病毒或者防火墙。只有通过提高网络整体系统安全,才能让文案大全.实用文案
病毒进攻无门。然而提高网络整体系统安全不仅仅是一个技术问题,更重要的是管理问题。
自动分发软件、升级补丁等工作是确保系统安全的关键步骤。我们使用微软的Systems Management Server(SMS)和Software Update Service(SUS)软件来自动实现这一功能。
(1)我们使用微软的Software Update Service(SUS)解决运行Windows操作系统的计算机免受病毒和黑客攻击,将需要升级的软件从Internet下载到公司Intranet的服务器上,并为公司内的所有客户端PC提供自动升级,打上所有需要的“补丁”。
(2)我们使用微软Systems Management Server(SMS)进行软件分发、资产管理、远程问题解决等。
四、信息安全审核制度
设立信息安全岗位,实行信息安全责任制1)(1)设立专职信息安全管理领导岗位和3个信息安全管理岗位;
(2)信息安全岗位工作人员不得在其他单位兼任信息安全岗位;
(3)信息安全管理岗位人员负责本单位制作、复制、发布、批量传播的信息的初审,信息安全管理领导岗位负责信息审核和批准,信息非经审核批准不得予以发布、传播。
(4)不得制作、复制、发布、传播含有下列内容的信息:
反对宪法所确定的基本原则的;
危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;
损害国家荣誉和利益的;
煽动民族仇恨、民族歧视,破坏民族团结的;
破坏国家宗教政策,宣扬邪教和封建迷信的;
散布谣言,扰乱社会秩序,破坏社会稳定的;
散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;
侮辱或者诽谤他人,侵害他人合法权益的;
含有法律、行政法规禁止的其他内容的。
(5)信息安全部门统一规划、组织、协调、监督、管理和实施内外部网络安全,具体职责如下:负责各种资源的安全监测、安全运行和安全管理;
负责计算机病毒防御、黑客入侵防范和不良信息过滤;
负责各种安全产品的正常运行、管理和维护;
普及信息安全常识、建立相关安全制度、应急处理重大安全事件;
负责安全规划和安全项目的研究,全面提高网络安全管理的技术和水平。
建立并实行服务器日常维护及管理制度2)(1)服务器监控:管理员经常性的监控服务器的运行状况,如发现异常情况,及文案大全.
实用文案
时处理,并作详细记录。
(2)重要数据备份:对于数据服务器中的用户信息、重要文件和数据进行及时备份。信息天天更新备份,每周一次完全备份,备份信息应保存一个月。
(3)定期系统升级:对于windows操作系统的服务器每周做一次升级,如遇到安全问题立即升级。
建立并实行机房值班安全制度)3(1)确保线路畅通。上班后与下班前检查线路,寻找网络隐患。对在运行期间发生的主要事件记录在案。按时定期对设备进行检修。每月的最后一个工作日对所有设备进行测试,并填写报告。
(2)及时、准确、无误地填写运行记录。出现事故尽快处理,马上填写故障记录。当自己不能解决或不能立即解决时,及时与安全主管联系,并保持与其他值班人员的联系,在己方线路或设备出现故障时,尽快查明原因,及时处理,并填写故障记录。
(3)负担整个网络的性能管理任务。对网络性能进行动态监测,并要有详细的记录及统计分析。必要时把网络性能记录以图表形式打印出来。
(4)注意网络运行安全,对网络异常现象进行反应。利用路由器等安全系统控制网络非法侵入。(5)保证机房的供电及室内空气的温度、湿度正常。注意UPS的工作情况。注意网络设备安全,加强防火,防盗及防止他人破坏的工作。注意临走时门窗关好,锁紧。禁止在机房内吸烟。禁止无关人员进入机房。值班人员不得随意离开。
(6)完成网络设备的安装,调试。并对安装,测试过程中的主要事件,做到有据可查。
(7)主动监测网络,随时发现问题,及时查清故障点,并主动与相关主管和部门联系。
建立并实行防火墙等软件更新制度4)(1)防火墙软件的使用与更新:
采用诺顿企业级防火墙;
及时更新防火墙
(2)坚持使用正确、安全的软件及软件操作流程,从细节保障系统安全。
5)建立应急处理流程
(1)清点数字资产,确定每项资产应受多大程度的保护
(2)明确界定资源的合理使用,明确规定系统的使用规范,比如谁可以拥有网络的远程访问权,在访问之前须采取哪些安全措施。
(3)控制系统的访问权限,公司在允许一些人访问系统的同时,必须阻止另外一些人进入。网络防火墙、验证和授权系统、加密技术都为了保证信息安全。同时采用监视工具和入侵探测工具来查询公司网络上的电脑活动,及时发现可疑行为。
(4)使用安全的软件;
(5)找出问题根源;
(6)提出解决方案并及时解决问题;
(7)加入应急知识库,预防类似事件再次发生。
文案大全.
实用文案
6)实行关键字的设立、过滤与更新规则
(1)通信平台具有信息内容的过滤功能。信息过滤包括对播放的相关短信、页面内容进行有效过滤。具体包括关键字设定、修改、查询功能,提供相应的测试端口,并具有严格的权限管理功能;对发现的有害短信及时向有关部门汇报,并从技术上予以保证,包括有害信息的内容、发现时间、发现来源;
(2)关键字的设立规则根据相关法律和互联网规定制定
(3)过滤引擎的建立:过滤引擎设定关键字、日志管理、报警的管理。管理控制中心显示详细的有害信息(有害信息的发送方、接受方、内容、时间),并截断该短消息。
(4)对不良信息和事件的发生进行记录,并储存,以备后需。
7)建立并实行信息储存与查阅制度
(1)信息采集:信息资料的来源渠道必须正规,不能侵犯他人版权,杜绝政治性和常识性的错误;信息采集的内容要广泛、真实、可靠、健康,要有时效性,有使用价值。
(2)信息审核:信息采集人员要杜绝信息资源格式不规范、措辞不严谨等问题出现,减少或避免初审失误;切实做到“三密”信息不失密、不上网;重大的信息、来源不清的信息、披露性信息要报经信息审核主管终审后才能发布
(3)信息的发布更新:限时更新的信息要及时采集、整理,经审核后尽快发布。要确保及时、准确无误;各自分工的任务,如不能按规定时限及时更新的,将追究有关人员责任。
(4)信息的存储:对采集的各种信息进行科学分类,以文本格式存放在统一的文件中;建立信息的汇总渠道,开辟专用空间存放归集信息,方便保存与查找;数据的备份参见“数据备份与冗余”
(5)信息查阅制度:根据信息的重要性和保密级别的不同,实行区别对待,对涉秘信息、重要数据的查询需向相关主管人员申请并报总负责人审批。
8)投诉流程与方式,处理结构
用户投诉
客服人员填写用户投诉报告单,并向投诉人告知受理员的姓名、电话
记录:投诉事由、联系电话、投诉时间、用户地区等
立即落实投诉内容的解决办法
客服经理负责处理投诉相关事宜
文案大全.
实用文案
记录投诉处理结果
受理客服人员向用户反馈处理结
果,满意后将处理报告单存
当日报主管副总经理,做业绩考
五、信息安全责任落
信息安全重在管理,而安全管理又贯穿在整个网络的运行之中。为此,首先抓好组织机构建设。在原来的基础上,建立健全了公司计算机安全监察领导小组,并建立了决策层、管理层、执行层的三级计算机安全组织机构。从而将安全工作落实到各个部门,做到分工明细,责任明确。从组
织上、技术上切实保障了计算机信息系统的安全运行。
在此基础上,公司制定了完善的安全管理方案,涵盖安全风险管理、物理安全管理、逻辑安全管理和日常安全管理等各方面。通过各级安全组织机构,全面抓好制度的落实,真正做到事事有人管,事事管理有规章。
其中安全风险管理是通过对全网、特别是关键资产的周期性风险计算,合理分配资源,为安全控制的范围、类型和力度等提供决策参考;物理安全管理主要体现在针对物理基础设施、物理设备和物理访问的控制中,主要通过机房物理安全来体现; 逻辑安全管理则是从技术层面建立诸如用户管理、口令管理、网络设备安全管理和主机系统安全管理的制度,进一步保障网络的安全性;日常安全管理则偏重于日常安全审计以及安全事件响应的内容。
定期对高层管理人员进行信息安全意识和技术培训,及时组织信息安全员参加信息安全知识技术讲座;并通过多种宣传手段增强各级部门的安全意识。为跟踪最新的安全技术和了解更多的安全产品,
1)信息安全专员负责本网络的安全保护管理工作,建立健全安全保护管理制度
2)落实安全保护技术措施,保障本网络的运行安全和信息安全
3)负责对本网络用户的安全教育和培训
4)对委托发布信息的单位和个人进行登记,并对所提供的信息内容按照信息发布审核制度进行审核
5)社区、BBS等实现24小时值班,并将信息安全责任落实到人,各分公司和各网站均有专人负责信息安全工作
6)完善信息安全事件快速处理机制,缩短信息安全事件处理时间和环节,将不良影响降到最低
7)明确信息安全工作重点,日常信息安全工作重点为容易发生信息安全事件的栏目,如社区、BBS、留言簿和邮件等
8)采用技术手段检测和保障信息安全。通过采用如关键字过滤、防垃圾邮件等技术手段来杜绝有害信息
9)通过高标准的控制来强化所有安全设施、重要的服务器和通讯平台
文案大全.
实用文案
防火墙(Firewall)是在一个可信的网络和不可信的网络之间建立安全屏障的软件或硬件产品。Linux操作系统内核具有包过滤能力,系统管理员通过管理工具设置一组规则即可建立一个基于Linux的防火墙,用这组规则过滤被主机接收、发送的包或主机从一个网卡转发到另一个网卡的包,无须花费额外资金购买专门的防火墙产品,比较适用于某些中小企业或部门级用户。
六、防火墙的类型和设计策略
----在构造防火墙时,常采用2种方式,包过滤和应用代理服务。包过滤是指建立包过滤规则,根据这些规则及IP包头的信息,在网络层判定允许或拒绝包的通过。如允许或禁止FTP的使用,但不能禁止FTP特定的功能(例如Get和Put的使用)。应用代理服务是由位于内部网和外部网之间的代理服务器完成的,它工作在应用层,代理用户进、出网的各种服务请求,如FTP和Telenet 等。
----目前,防火墙一般采用双宿主机(Dual-homed Firewall)、屏蔽主机(Screened Host Firewall)和屏蔽子网(Screened Subnet Firewall)等结构。双宿主机结构是指承担代理服务任务的计算机至少有2个网络接口连接到内部网和外部网之间。屏蔽主机结构是指承担代理服务任务
申请呼叫中心增值电信业务经营许可网络信息安全专项审核材料要求 网络与信息安全保障措施应包含下列制度和措施: 一、信息安全管理组织机构设置及工作职责 企业负责人为网络与信息安全第一责任人,全面负责企业网络与信息安全工作;有明确的机构、职责,负责企业的网络安全与信息安全工作。要建立网络与信息安全监督检查制度,定期对企业的网络与信息安全工作和措施制度的落实、执行情况进行监督检查,及时完善健全网络与信息安全管理措施和制度。对发生网络与信息安全事件的责任部门、责任人员进行处理。 二、网络与信息安全管理人员配备情况及相应资质 申请企业应至少配备3人或以上网络与信息安全管理人员,并注明管理人员姓名、联系方式、职责分工,附管理人员身份证及资质证书复印件。网络安全人员应具有相应的专业技术资格(网络与信息安全从业资质或通信、计算机相关专业本科及以上学历证明)。
三、网络信息安全管理责任制 在企业内部建立网络与信息安全管理责任制,网络与信息安全工作相应部门、岗位、人员均应签署网络与信息安全责任书,并附企业内部网络与信息安全责任书模板。责任书应明确网络与信息安全应遵守的规定、承担的责任、履行的义务,及违反规定相应的处罚措施。 四、有害信息发现处置机制 要建立业务服务模板服务制度,按照业务服务内容模板提供服务,业务服务模板须经审核方可上线使用;在服务过程中要严格按照模板内容提供相应服务,建立服务内容抽查监听机制,定期对服务内容和质量进行抽查,及时发现违法违规问题;建立服务内容录存制度,录存日志保存期限不低于60日,并对录存日志按比例抽查,对存在问题及时发现处理。 五、有害信息投诉受理处置机制 有明确的受理方式,包括电话、QQ、电子邮箱等,有明确的受理部门、人员、有害信息处理机制和流程,并建立相应的制度和措施,及时完善机制,防止同类问题的再次发生。 六、重大信息安全事件应急处置和报告制度 发生重大信息安全事件后应在第一时间采取有效措施,
网络与信息安全保障措施 信息安全保密制度 1、我公司建立了健全的信息安全保密管理制度,实现信息安全保密责任制,切实负起确保网络与信息安全保密的责任。严格按照“谁主管、谁负责”、“谁主办、谁负责”的原则,落实责任制,明确责任人与职责,细化工作措施与流程,建立完善管理制度与实施办法,确保使用网络与提供信息服务的安全。 2、网站信息内容更新全部由网站工作人员完成,工作人员素质高、专业水平好,有强烈的责任心与责任感。网站所有信息发布之前都经分管领导审核批准。 工作人员采集信息将严格遵守国家的有关法律、法规与相关规定。严禁通过我公司网站及短信平台散布《互联网信息管理办法》等相关法律法规明令禁止的信息(即“九不准”),一经发现,立即删除。 3、遵守对网站服务信息监视,保存、清除与备份的制度。开展对网络有害信息的清理整治工作,对违法犯罪案件,报告并协助公安机关查处。 4、所有信息都及时做备份。按照国家有关规定,网站将保存60天内系统运行日志与用户使用日志记录,短信服务系统将保存 5个月以内的系统及用户收发短信记录。制定并遵守安全教
育与培训制度。加大宣传教育力度,增强用户网络安全意识,自觉遵守互联网管理有关法律、法规,不泄密、不制作与传播有害信息,不链接有害信息或网页。 安全技术保障措施 防病毒、防黑客攻击技术措施就是防止不法分子利用互联网络进行破坏活动,保护互联网络与电子公告服务的信息安全的需要。我公司特此制定以下防病毒、防黑客攻击的安全技术措施: 1、所有接入互联网的计算机应使用经公安机关检测合格的防病毒产品并定期下载病毒特征码对杀毒软 件升级,确保计算机不会受到已发现的病毒攻击。 2、确保物理网络安全,防范因为物理介质、信号辐射等造成的安全风险。 3、采用网络安全控制技术,联网单位已采用防火墙、IDS等设备对网络安全进行防护。 4、使用漏洞扫描软件扫描系统漏洞,关闭不必要的服务端口。 5、制订口令管理制度,防止系统口令泄露与被暴力破解。 6、制订系统补丁的管理制度,确定系统补丁的更新、安装、发布措施,及时堵住系统漏洞。 防黑客攻击主要包括: ①、安全漏洞检测与修补
涉密信息安全体系建设方案 1.1需求分析 1.1.1采购范围与基本要求 建立XX高新区开发区智慧园区的信息安全规划体系、信息安全组织体系、信息安全技术体系、安全服务管理体系,编写安全方案和管理制度,建设信息安全保护系统(包括路由器、防火墙、VPN)等。要求XX高新区开发区智慧园区的信息系统安全保护等级达到第三级(见GB/T 22239-2008)。 1.1.2建设内容要求 (1)编写安全方案和管理制度 信息安全体系的建设,需要符合国家关于电子政务信息系统的标准要求,覆盖的电子政务信息系统安全保障体系,安全建设满足物理安全、操作系统安全、网络安全、传输安全、数据库安全、应用系统安全和管理安全体系,确保智慧园区项目系统的安全保密。 安全管理需求:自主访问控制、轻质访问控制、标记、身份鉴别、审计、数据完整性。 安全体系设计要求:根据安全体系规划,整个系统的安全体系建设内容包括物理安全、操作系统安全、网络安全、传输安全、数据安全、应用系统安全、终端安全和管理安全等方面。 (2)信息安全保护系统:满足信息系统安全等级三级要求的连接云计算平台的信息安全保护系统。 1.2设计方案 智慧园区信息安全管理体系是全方位的,需要各方的积极配合以及各职能部门的相互协调。有必要建立或健全安全管理体系和组织体系,完善安全运行管理机制,明确各职能部门的职责和分工,从技术、管理和法律等多方面保证智慧城市的正常运行。
1.2.1安全体系建设依据 根据公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定的《信息安全等级保护管理办法》、《信息系统安全等级保护定级指南》等标准,“平台”的信息系统安全保护等级定达到第三级(见GB/T 22239-2008),根据《信息系统安全等级保护基本要求》、《信息系统安全等级保护实施指南》的信息安全产品,包括:防专业VPN设备、WEB防火墙、防火墙、上网行为管理、终端杀毒软件网络版、网络防病毒服务器端等。 1.2.2安全体系编制原则 为实现本项目的总体目标,结合XX高新区智慧园区建设基础项目现有网络与应用系统和未来发展需求,总体应贯彻以下项目原则。 保密原则: 确保各委办局的信息在存储、使用、传输过程中不会泄漏给非授权用户或实体。 项目组成员在为XX高新区智慧园区建设基础项目实施的过程中,将严格遵循保密原则,服务过程中涉及到的任何用户信息均属保密信息,不得泄露给第三方单位或个人,不得利用这些信息损害用户利益。 完整性原则:确保信息在存储、使用、传输过程中不会被非授权用户篡改,同时还要防止授权用户对系统及信息进行不恰当的篡改,保持信息内、外部表示的一致性。 可用性原则:确保授权用户或实体对信息及资源的正常使用不会被异常拒绝,允许其可靠而及时地访问信息及资源 规范性原则:信息安全的实施必须由专业的信息安全服务人员依照规范的操作流程进行,对操作过程和结果要有相应的记录,提供完整的服务报告。 质量保障原则:在整个信息安全实施过程之中,将特别重视项目质量管理。项目的实施将严格按照项目实施方案和流程进行,并由项目协调小组从中监督、控制项目的进度和质量。 1.2.3体系建设内容 (1)安全管理体系
实用文案 信息安全保障措施 一、信息安全保障措施 采用IBM服务器作主机 1、软件系统: 操作系统:WINGDOWS2000SERVER 数据库:Oralce 防火墙:诺顿防病毒软件 2、硬件系统: 主机位置及带宽:系统主机设在IDC主机房内,通过100M带宽光纤与CHINGANET骨干网相连接。 二、信息安全保密管理制度 1.建立全员安全意识,合理规划信息安全 安全意识的强弱对于整个信息系统避免或尽量减小损失,乃至整个具备主动防御能力的信息安全体系的搭建,都具有重要的战略意义。我们首先建立起全员防护的环境。在意识上建立牢固的防患意识,并有足够的资金支持,形成企业内部的信息安全的共识与防御信息风险的基本常识,其次是选用安全性强的软硬件产品,构筑软硬协防的安全体系,确保安全应用。 2.建立信息采集(来源)、审核、发布管理制度并结合关键字过滤系统,保障信息安全。采编部按照采编制度和相关互联网规定,严格把关。 3.涉密信息,包括在对外交往与合作中经审查、批准与外部交换的秘密信息,不得在连有外网的计算机信息系统中存储、处理、传递。加强对计算机介质(软盘、磁带、光盘、磁卡等)的管理,对储存有秘密文件、资料的计算机等设备要有专人操作,采取必要的防范措施,严格对涉密存储介质的管理,建立规范的管理制度,存储有涉密内容的介质一律不得进入互联网络使用 4.建立系统保密措施,严格实行安全管理。系统的安全、帐号及权限的管理,责任到人;对系统软件的管理;在系统维护过程中,产生的记录:系统维护日志、系统维护卡片、详细维护记录。 5.对涉密信息实行加密、解密及管理,确保数据传输的安全。 6.建立数据库的信息保密管理制度,保障数据库安全。数据库由专人管理并负责。 7.建立日志的跟踪、记录及查阅制度,及时发现和解决安全漏洞。
附件3 网络信息安全保障体系建设方案 目录 网络信息安全保障体系建设方案 (1) 1、建立完善安全管理体系 (1) 1.1成立安全保障机构 (1) 2、可靠性保证 (2) 2.1操作系统的安全 (3) 2.2系统架构的安全 (3) 2.3设备安全 (4) 2.4网络安全 (4) 2.5物理安全 (5) 2.6网络设备安全加固 (5) 2.7网络安全边界保护 (6) 2.8拒绝服务攻击防范 (6) 2.9信源安全/组播路由安全 (7) 网络信息安全保障体系建设方案 1、建立完善安全管理体系 1.1成立安全保障机构 山东联通以及莱芜联通均成立以总经理为首的安全管理委员会,以及分管副总经理为组长的网络运行维护部、电视宽带支撑中心、网络维护中心等相关部门为成员的互联网网络信息安全应急小组,负责全省网络信息安全的总体管理工作。 山东联通以及莱芜联通两个层面都建立了完善的内部安全保障 工作制度和互联网网络信息安全应急预案,通过管理考核机制,严格执行网络信息安全技术标准,接受管理部门的监督检查。同时针对三网融合对网络信息安全的特殊要求,已将IPTV等宽带增值业务的安
全保障工作纳入到统一的制度、考核及应急预案当中。内容涵盖事前防范、事中阻断、事后追溯的信息安全技术保障体系,域名信息登记管理制度IP地址溯源和上网日志留存等。并将根据国家规范要求,对三网融合下防黑客攻击、防信息篡改、防节目插播、防网络瘫痪技术方案进行建立和完善。 2、可靠性保证 IPTV是电信级业务,对承载网可靠性有很高的要求。可靠性分为设备级别的可靠性和网络级别的可靠性。 (1)设备级可靠性 核心设备需要99.999%的高可靠性,对关键网络节点,需要采用双机冗余备份。此外还需要支持不间断电源系统(含电池、油机系统)以保证核心设备24小时无间断运行。 (2)网络级可靠性 关键节点采用冗余备份和双链路备份以提供高可靠性。网络可靠性包括以下几方面: ?接入层:接入层交换机主要利用STP/RSTP协议在OSI二层实现网络收敛自愈。 ?汇聚层:在OSI第三层上使用双机VRRP备份保护机制,使用BFD、Ethernet OAM、MPlS OAM来对链路故障进行探测,然 后通过使用快速路由协议收敛来完成链路快速切换。
信息安全保障措施 网络与信息的安全不仅关系到公司正常业务的开展,还将影响到国家的安全、社会的稳定。我公司将认真开展网络与信息安全工作,通过检查进一步明确安全责任,建立健全的管理制度,落实技术防范措施,保证必要的经费和条件,对有毒有害的信息进行过滤、对用户信息进行保密,确保网络与信息安全。 一、网站运行安全保障措施 1、网站服务器和其他计算机之间设置经公安部认证的防火墙, 并与专业网络安全公司合作,做好安全策略,拒绝外来的恶意攻击,保障网站正常运行。 2、在网站的服务器及工作站上均安装了正版的防病毒软件,对计算机病毒、有害电子邮件有整套的防范措施,防止有害信息对网站系统的干扰和破坏。 3、做好生产日志的留存。网站具有保存60天以上的系统运行日志和用户使用日志记录功能,内容包括IP地址及使用情况,主页维护者、邮箱使用者和对应的IP地址情况等。 4、交互式栏目具备有IP地址、身份登记和识别确认功能,对没有合法手续和不具备条件的电子公告服务立即关闭。 5、网站信息服务系统建立双机热备份机制,一旦主系统遇到故障或受到攻击导致不能正常运行,保证备用系统能及时替换主系统提供服务。 6、关闭网站系统中暂不使用的服务功能,及相关端口,并及时用补丁修复系统漏洞,定期查杀病毒。 7、服务器平时处于锁定状态,并保管好登录密码;后台管理界面设置超级用户名及密码,并绑定IP,以防他人登入。 8、网站提供集中式权限管理,针对不同的应用系统、终端、操作人员,由网站系统管理员设置共享数据库信息的访问权限,并设置相应的密码及口令。不同的操作人员设定不同的用户名,且定期更换,严禁操作人员泄漏自己的口令。对操作人员的权限严格按照岗位职责设定,并由网站系统管理员定期检查操作人员权限。 9、公司机房按照电信机房标准建设,内有必备的独立UPS不间断电源、高灵敏度的烟雾探测系统和消防系统,定期进行电力、防火、防潮、防磁和防鼠检查。 二、信息安全保密管理制度 1、我公司建立了健全的信息安全保密管理制度,实现信息安全保密责任制,切实负起确保网络与信息安全保密的责任。严格按照“谁主管、谁负责”、“谁主办、谁负责”的原则,落实责任制,明确责任人和职责,细化工作措施和流程,建立完善管理制度和实施办法,确保使用网络和提供信息服务的安全。 2、网站信息内容更新全部由网站工作人员完成,工作人员素质高、专业水平好,有强烈的责任心和责任感。网站所有信息发布之前都经分管领导审核批准。工作人员采集信息将严格遵守国家的有关法律、法规和相关规定。严禁通过我公司网站及短信平台散布《互联网信息管理办法》等相关法律法规明令禁止的信息(即“九不准”),一经发现,立即删除。 3、遵守对网站服务信息监视,保存、清除和备份的制度。开展对网络有害
系统信息安全保护制度 一、网站运行安全保障措施 1、网站服务器和其他计算机之间设置防火墙,做好安全策略,拒绝外来的恶意攻击,保障网站正常运行。 2、在网站的服务器及工作站上均安装了相应的防病毒软件,对计算机病毒、有害电子邮件有整套的防范措施,防止有害信息对网站系统的干扰和破坏。 3、做好访问日志的留存。网站具有保存六个月以上的系统运行日志和用户使用日志记录功能,内容包括IP地址及使用情况,主页维护者、对应的IP地址情况等。 4、交互式栏目具备有IP地址、身份登记和识别确认功能,对非法贴子或留言能做到及时删除并进行重要信息向相关部门汇报。 5、网站信息服务系统建立多机备份机制,一旦主系统遇到故障或受到攻击导致不能正常运行,可以在最短的时间内替换主系统提供服务。 6、关闭网站系统中暂不使用的服务功能,及相关端口,并及时用补丁修复系统漏洞,定期查杀病毒。 7、服务器平时处于锁定状态,并保管好登录密码;后台管理界面设置超级用户名及密码,并绑定IP,以防他人登入。 8、网站提供集中式权限管理,针对不同的应用系统、终端、操作人员,由网站系统管理员设置共享数据库信息的访问权限,并设置
相应的密码及口令。不同的操作人员设定不同的用户名,且定期更换,严禁操作人员泄漏自己的口令。对操作人员的权限严格按照岗位职责设定,并由网站系统管理员定期检查操作人员权限。 二、信息安全保密管理制度 1、网站信息内容更新全部由网站工作人员完成或管理。网站相关信息发布之前有一定的审核程序。工作人员采集信息将严格遵守国家的有关法律、法规和相关规定。严禁通过网站散布《互联网信息管理办法》等相关法律法规明令禁止的信息,一经发现,立即删除。 2、遵守对网站服务信息监视,保存、清除和备份的制度。开展对网络有害信息的清理整治工作,对违法犯罪案件,报告并协助公安机关查处。 3、所有信息都及时做备份。按照国家有关规定,网站将保存6个月内系统运行日志和用户使用日志记录。 4、制定并遵守安全教育和培训制度。加大宣传教育力度,增强用户网络安全意识,自觉遵守互联网管理有关法律、法规,不泄密、不制作和传播有害信息,不链接有害信息或网页。 三、系统账号管理制度 1、服务器和数据库的管理账号密码,由系统管理员和数据库管理员设定并持有,实行定期修改制度,最长有效期不超过90天。 2、更换服务器与数据库密码时必须报备上级领导,以防遗失密码。如发现密码及口令有泄密迹象,管理员要立刻报告主管领导,严查泄露源头,同时更换密码。
5步构建信息安全保障体系 随着信息化的发展,政府或企业对信息资源的依赖程度越来越大,没有各种信息系统的支持,很多政府或企业其核心的业务和职能几乎无法正常运行。这无疑说明信息系统比传统的实物资产更加脆弱,更容易受到损害,更应该加以妥善保护。而目前,随着互联网和网络技术的发展,对于政府或企业的信息系统来讲,更是面临着更大的风险和挑战。这就使得更多的用户、厂商和标准化组织都在寻求一种完善的体系,来有效的保障信息系统的全面安全。于是,信息安全保障体系应运而生,其主要目的是通过信息安全管理体系、信息安全技术体系以及信息安全运维体系的综合有效的建设,让政府或企业的信息系统面临的风险能够达到一个可以控制的标准,进一步保障信息系统的运行效率。 通常所指的信息安全保障体系包含了信息安全的管理体系、技术体系以及运维体系。本文将重点介绍信息安全管理体系的建设方法。 构建第一步确定信息安全管理体系建设具体目标 信息安全管理体系建设是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。它包括信息安全组织和策略体系两大部分,通过信息安全治理来达到具体的建设目标。 信息安全的组织体系:是指为了在某个组织内部为了完成信息安全的方针和目标而组成 的特定的组织结构,其中包括:决策、管理、执行和监管机构四部分组成。
信息安全的策略体系:是指信息安全总体方针框架、规范和信息安全管理规范、流程、制度的总和。策略体系从上而下分为三个层次: 第一层策略总纲 策略总纲是该团体组织内信息安全方面的基本制度,是组织内任何部门和人不能违反的,说明了信息安全工作的总体要求。 第二层技术指南和管理规定 遵循策略总纲的原则,结合具体部门、应用和实际情况而制定的较专业要求和方法以及技术手段。包括以下两个部分: 技术指南:从技术角度提出要求和方法; 管理规定:侧重组织和管理,明确职责和要求,并提供考核依据。 第三层操作手册、工作细则、实施流程 遵循策略总纲的原则和技术指南和管理规定,结合实际工作,针对具体系统,对第二层的技术指南和管理规定进行细化,形成可指导和规范具体工作的操作手册及工作流程,保证安全工作的制度化、日常化。 构建第二步确定适合的信息安全建设方法论 太极多年信息安全建设积累的信息安全保障体系建设方法论,也称 “1-5-4-3-4”。即:运用1个基础理论,参照5个标准,围绕4个体系,形成3道防线,最终实现4个目标。
网络与信息安全保障措施 Prepared on 22 November 2020
网络与信息安全保障措施 信息安全保密制度 1、我公司建立了健全的信息安全保密管理制度,实现信息安全保密责任制,切实负起确保网络与信息安全保密的责任。严格按照“谁主管、谁负责”、“谁主办、谁负责”的原则,落实责任制,明确责任人和职责,细化工作措施和流程,建立完善管理制度和实施办法,确保使用网络和提供信息服务的安全。 2、网站信息内容更新全部由网站工作人员完成,工作人员素质高、专业水平好,有强烈的责任心和责任感。网站所有信息发布之前都经分管领导审核批准。 工作人员采集信息将严格遵守国家的有关法律、法规和相关规定。严禁通过我公司网站及短信平台散布《互联网信息管理办法》等相关法律法规明令禁止的信息(即“九不准”),一经发现,立即删除。 3、遵守对网站服务信息监视,保存、清除和备份的制度。开展对网络有害信息的清理整治工作,对违法犯罪案件,报告并协助公安机关查处。 4、所有信息都及时做备份。按照国家有关规定,网站将保存 60天内系统运行日志和用户使用日志记录,短信服务系统将保存 5个月以内的系统及用户收发短信记录。制定并遵守安全教育和培训制度。加大宣传教育力度,增强用户网络安全意识,自觉遵守互联网管理有关法律、法规,不泄密、不制作和传播有害信息,不链接有害信息或网页。 安全技术保障措施
防病毒、防黑客攻击技术措施是防止不法分子利用互联网络进行破坏活动,保护互联网络和电子公告服务的信息安全的需要。我公司特此制定以下防病毒、防黑客攻击的安全技术措施: 1、所有接入互联网的计算机应使用经公安机关检测合格的防病毒产品并定期下载病毒特征码对杀毒软 件升级,确保计算机不会受到已发现的病毒攻击。 2、确保物理网络安全,防范因为物理介质、信号辐射等造成的安全风险。 3、采用网络安全控制技术,联网单位已采用防火墙、IDS等设备对网络安全进行防护。 4、使用漏洞扫描软件扫描系统漏洞,关闭不必要的服务端口。 5、制订口令管理制度,防止系统口令泄露和被暴力破解。 6、制订系统补丁的管理制度,确定系统补丁的更新、安装、发布措施,及时堵住系统漏洞。 防黑客攻击主要包括: ①、安全漏洞检测与修补 防范黑客最好的方法是在黑客找到安全漏洞并加以利用之前找到并修补漏洞。随着计算机技术的不断发展,新的安全漏洞不断出现。所以必须对最新发现的安全漏洞及时进行修补,并定期进行检测,做到永远领先于黑客一步。 ②、黑客入侵实时检测和紧急响应 经过安全漏洞检测和修补后的网络和系统仍然难以完全避免黑客的攻击,所以我们采用黑客入侵检测系统(IDS),在服务器上部署入侵检测
如何有效构建信息安全保障体系随着信息化的发展,政府或企业对信息资源的依赖程度越来越大,没有各种信息系统的支持,很多政府或企业其核心的业务和职能几乎无法正常运行。这无疑说明信息系统比传统的实物资产更加脆弱更容易受到损害,更应该加以妥善保护。而目前,随着互联网和网络技术的发展,对于政府或企业的信息系统来讲,更是面临着更大的风险和挑战。这就使得更多的用户、厂商和标准化组织都在寻求一种完善的体系,来有效的保障信息系统的全面安全。于是,信息安全保障体系应运而生,其主要目的是通过信息安全管理体系、信息安全技术体系以及信息安全运维体系的综合有效的建设,让政府或企业的信息系统面临的风险能够达到一个可以控制的标准,进一步保障信息系统的运行效率。 通常所指的信息安全保障体系包含了信息安全的管理体系、技术体系以及运维体系。本文将重点介绍信息安全管理体系的建设方法。 构建第一步确定信息安全管理体系建设具体目标 信息安全管理体系建设是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。它包括信息安全组织和策略体系两大部分,通过信息安全治理来达到具体的建设目标。 信息安全的组织体系:是指为了在某个组织内部为了完
成信息安全的方针和目标而组成的特定的组织结构,其中包括:决策、管理、执行和监管机构四部分组成。 信息安全的策略体系:是指信息安全总体方针框架、规范和信息安全管理规范、流程、制度的总和。策略体系从上而下分为三个层次: 第一层策略总纲 策略总纲是该团体组织内信息安全方面的基本制度,是组织内任何部门和人不能违反的,说明了信息安全工作的总体要求。 第二层技术指南和管理规定 遵循策略总纲的原则,结合具体部门、应用和实际情况而制定的较专业要求和方法以及技术手段。包括以下两个部分: 技术指南:从技术角度提出要求和方法; 管理规定:侧重组织和管理,明确职责和要求,并提供考核依据。 第三层操作手册、工作细则、实施流程 遵循策略总纲的原则和技术指南和管理规定,结合实际工作,针对具体系统,对第二层的技术指南和管理规定进行细化,形成可指导和规范具体工作的操作手册及工作流程,保证安全工作的制度化、日常化。 构建第二步确定适合的信息安全建设方法论
信息安全管理制度 1.信息管理部职责 1.1 公司设立信息管理部门,设部门经理一名。 1.2 信息管理部门为网络安全运行的归口部门,负责计算机网络系统的日常维护和管理。 1.3 负责系统软件的调研、采购、安装、升级、保管工作。 1.4 负责软件有效版本的管理。 1.5 信息管理部门为计算机系统、网络、数据库安全管理的归口管理部门。 1.6 信息管理人员负责计算机网络、办公自动化、销售经营各类应用软件的安全运行;服务器安全运行和数据备份;internet对外接口安全以及计算机系统防病毒管理;各种软件的用户密码及权限管理;协助职能科室进行数据备份和数据归档(如财务、采购、销售等)。 1.7 信息管理人员执行企业保密制度,严守企业商业机密。 1.8员工执行计算机安全管理制度,遵守企业保密制度。 1.9系统管理员的密码必须由信息管理部门相关人员掌握。 1.10 负责公司网络系统基础线路的实施及维护。 2.信息管理细则 2.1网络系统维护 2.1.1 系统管理员每日定时对机房内的网络服务器、各类生产经营应用的数据库服务器及相关网络设备进行日常巡视,并填写《网络运行日志》记录各类设备的运行状况及相关事件。 2.1.2 对于系统和网络出现的异常现象信息管理部应及时组织相关人员进行分析,制定处理方案,采取积极措施,并如实将异常现象记录在《网络运行日志》。针对当时没有解决的问题或重要的问题应将问题描述、分析原因、处理方案、处理结果、预防措施等内容记录在《网络问题处理跟踪表》上。部门负责人要跟踪检查处理结果。 2.1.3 定时对相关服务器数据备份进行检查。(包括对系统的自动备份及季度或
信息安全管理责任制 网络与信息的安全不仅关系到公司正常业务的开展,还将影响到国家的安全、社会的稳定。我司将认真开展网络与信息安全工作,通过检查进一步明确安全责任,建立健全的管理制度,落实技术防范措施,保证必要的经费和条件,对有毒有害的信息进行过滤、对用户信息进行保密,确保网络与信息安全。 一、网站运行安全保障措施 1、网站服务器和其他计算机之间设置经公安部认证的防火墙, 并与专业网络安全公司合作,做好安全策略,拒绝外来的恶意攻击,保障网站正常运行。 2、在网站的服务器及工作站上均安装了正版的防病毒软件,对计算机病毒、有害电子邮件有整套的防范措施,防止有害信息对网站系统的干扰和破坏。 3、做好生产日志的留存网站具有保存60天以上的系统运行日志和用户使用日志记录功能,内容包括IP地址及使用情况,主页维护者、邮箱使用者和对应的 IP地址情况等。 4、交互式栏目具备有IP地址、身份登记和识别确认功能,对没有合法手续和不具备条件的电子公告服务立即关闭。 5、网站信息服务系统建立双机热备份机制,一旦主系统遇到故障或受到攻击导致不能正常运行,保证备用系统能及时替换主系统提供服务。 6、关闭网站系统中暂不使用的服务功能,及相关端口,并及时用补丁修复系统漏洞,定期查杀病毒。 7、服务器平时处于锁定状态,并保管好登录密码;后台管理界面设置超级用户名及密码,并绑定IP,以防他人登入。 8、网站提供集中式权限管理,针对不同的应用系统、终端、操作人员,由网站系统管理员设置共享数据库信息的访问权限,并设置相应的密码及口令。不同的操作人员设定不同的用户名,且定期更换,严禁操作人员泄漏自己的口令。对操作人员的权限严格按照岗位职责设定,并由网站系统管理员定期检查操作人员权限。 二、信息安全保密管理制度 1、我司建立了健全的信息安全保密管理制度,实现信息安全保密责任制,切实负起确保网络与信息安全保密的责任。严格按照“谁主管、谁负责”、“谁主办、谁负责”的原则,落实责任制,明确责任人和职责,细化工作措施和流程,建立完善管理制度和实施办法,确保使用网络和提供信息服务的安全。 2、网站信息内容更新全部由网站工作人员完成,工作人员素质高、专业水平好,有强烈的责任心和责任感。网站所有信息发布之前都经分管领导审核批准。工作人员采集信息将严格遵守国家的有关法律、法规和相关规定。严禁通过我司网站及短信平台散布《互联网信息管理办法》等相关法律法规明令禁止的信息(即“九不准”),一经发现,立即删除。 3、遵守对网站服务信息监视,保存、清除和备份的制度。开展对网络有害信息的清理整治工作,对违法犯罪案件,报告并协助公安机关查处。 4、所有信息都及时做备份。按照国家有关规定,网站将保存60天内系统运行日志和用户使
论信息安全保障体系的建立 【摘要】: 随着信息产业的高速发展,众多企业、单位都利用互联网建立了自己的信息系统,以充分利用各类信息资源。但是我们在享受信息产业发展带给我们的便利的同时,也面临着巨大的风险。我们的系统随时可能遭受病毒的感染、黑客的入侵,这都可以给我们造成巨大的损失。信息安全问题也已成为信息系统日益突出和受到关注的问题,信息化程度越高,信息网络和系统中有价值的数据信息越多,信息安全问题就显得越重要。随着信息化程度的提高,信息安全问题一步步显露出来。信息安全需求的日益深入,已经从原来的系统安全和网络边界安全日益深入到系统内部体系安全和数据本身的安全上,并且已经开始对管理制度造成影响和改变。信息安全问题是多样的,存在于信息系统的各个环节,而这些环节不是孤立的,他们都是信息安全中不可缺少和忽视的一环,所以对一个信息网络,必须从总体上规划,建立一个科学全面的信息安全保障体系,从而实现信息系统的整体安全。 【关键词】: 信息安全,安全技术,网络 一信息安全的定义 信息安全的概念随着网络与信息技术的发展而不断地发展,其含义也不断的变化。20世纪70年代以前,信息安全的主要研究内容是计算机系统中的数据泄漏控制和通信系统中的数据保密问题。然而,今天计算机网络的发展使得这个当时非常自然的定义显得非常不恰当。首先,随着黑客、特洛伊木马及病毒的攻击不断升温,人们发现除了数据的机密性保护外,数据的完整性保护以及信息系统对数据的可用性支持都非常重要。其次,不断增长的网络应用中所包含的内容远远不能用“数据”一词来概括。综上分析,信息安全是研究在特定的应用环境下,依据特定的安全策略对信息及其系统实施防护检测和恢复的科学。[1] 二信息安全面临的威胁 由于信息系统的复杂性、开放性以及系统软件硬件和网络协议的缺陷,导致了信息系统的安全威胁是多方面的:网络协议的弱点、网络操作系统的漏洞、应用系统设计的漏洞、网络系统设计的缺陷、恶意攻击、病毒、黑客的攻击、合法用户的攻击、物理攻击安全、管理安全等。[2] 其次,非技术的社会工程攻击也是信息安全面临的威胁,通常把基于非计
信息安全技术信息系统安全等级保护实施指南 前言 本标准的附录A是规范性附录。 本标准由公安部和全国信息安全标准化技术委员会提出。 本标准由全国信息安全标准化技术委员会归口。 本标准起草单位:公安部信息安全等级保护评估中心。 本标准主要起草人:毕马宁、马力、陈雪秀、李明、朱建平、任卫红、谢朝海、曲洁、袁静、李升、刘静、罗峥。 引言 依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号),制定本标准。 本标准是信息安全等级保护相关系列标准之一。 与本标准相关的系列标准包括: ——GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护定级指南; ——GB/T BBBB-BBBB 信息安全技术信息系统安全等级保护基本要求。
在对信息系统实施信息安全等级保护的过程中,除使用本标准外,在不同的阶段,还应参照其他有关信息安全等级保护的标准开展工作。 在信息系统定级阶段,应按照GB/T AAAA-AAAA介绍的方法,确定信息系统安全保护等级。 在信息系统总体安全规划,安全设计与实施,安全运行与维护和信息系统终止等阶段,应按照GB17859-1999、GB/T BBBB-BBBB、 GB/T20269-2006、GB/T20270-2006和GB/T20271-2006等技术标准,设计、建设符合信息安全等级保护要求的信息系统,开展信息系统的运行维护管理工作。 GB17859-1999、GB/T BBBB-BBBB、GB/T20269-2006、 GB/T20270-2006和GB/T20271-2006等技术标准是信息系统安全等级保护的系列相关配套标准,其中GB17859-1999是基础性标准, GB/T20269-2006、GB/T20270-2006 和GB/T20271-2006等是对 GB17859-1999的进一步细化和扩展,GB/T BBBB-BBBB是以 GB17859-1999为基础,根据现有技术发展水平提出的对不同安全保护等级信息系统的最基本安全要求,是其他标准的一个底线子集。 对信息系统的安全等级保护应从GB/T BBBB-BBBB出发,在保证信息系统满足基本安全要求的基础上,逐步提高对信息系统的保护水平,最终满足GB17859-1999、 GB/T20269-2006、GB/T20270-2006 和 GB/T20271-2006等标准的要求。
智慧城市信息安全保障体系与安全策略 集团文件发布号:(9816-UATWW-MWUB-WUNN-INNUL-DQQTY-
智慧城市信息安全保障体系与安全策略 一、单选 1、以下选项中,不属于信息安全保障体系模型的要素是(保障过程) 2、以下选项中,不属于业务协同面临的安全威胁和风险的是(缺乏集中处理和高效分析能力……) 3、智慧城市以(物联网、云计算等新一代信息技术应用)为基础。 4、智慧城市总体架构的感知层的功能是(实现智慧城市数据的感知、采集、获取、、,以及纠错融合等数据预处理) 5、智慧城市信息安全保障的原则是(积极防御、综合防范) 6、智慧城市需要打造一个统一平台,……构建(三)张基础网络…… 7、信息安全的(可认证性)是指能够核实……真实性。 8、智慧城市广义上指(城市信息化) 9、(物联网)是通过……管理的一种网络。 10、以下选项中,不属于智慧城市安全策略中……要同步的是(同步检测) 二、多选 11、信息安全保障体系模型的主要特征是(强调综合保障的概念、强调安全特征) 12、信息系统总是存在信息安全问题,……内因包括(全选) 13、大数据集中面临的安全威胁和风险包括(不选网络身份可信机制不完……篡改等现象) 14、信息安全的基本属性包括(全选)
15、智慧城市总体架构的应用层可以细分为(不选关联服务层) 16、对于城市而言,智慧是指……这里的服务主体主要指的是(不选组织) 17、智慧城市的安全策略包括(全选) 18、智慧城市信息安全技术体系的要素包括(不选安全权限管理) 19、在一般信息系统中,典型的信息安全风险包括(全选) 20、智慧城市的特点包括(全选) 三、判断 21、智慧城市将机器与机器之间……人与人之间的……通信(错) 22、智慧城市信息安全管理体系……和技术管理法规规范。(对) 23、智慧城市是全球范围内……建立相应的城市试点进行实践(对) 24、2013年,住建部……通知(对) 25、智慧城市是以通讯技术……让城市成为……中枢(对) 26、信息系统安全保障是……相应的安全保障策略(对) 27、智慧城市的建设……高度集中与融合(对) 28、云计算主要强调云布局的计算方式,在基础……部署的快捷(对) 29、智慧城市信息安全保障的目标是……保障智慧城市的安全(对) 30、智慧城市中存在大量的信息系统,必然要在建设过程中解决信息安全问题(对)
关于企业信息安全保障体系建设的探索 [摘要]信息安全保障体系是由美国首先提出,并将其上升到国家战略、国际战略的高度。我国于2003年也明确提出建设我国的信息安全保障体系。本文通过对国内外建设的介绍,进而列出中国石油信息安全体系建设内容及存在问题,供其他企业借鉴。[关键词]信息安全保障体系;中国石油;企业 1信息安全保障体系概述 信息安全保障(informationassurance,ia)来源于1996年美国国防部dod指令5-3600.1(dodd5-3600.1)。其发展经历了通信安全、计算机安全、信息安全直至现在的信息安全保障。内容包括保护(protection)、检测(detection)、响应(response)、恢复(recovery) 4个环节,即pdrr模型。 信息安全保障体系分为人员体系、技术体系和管理体系3个层面,人员体系包括安全人员的岗位与职责、全体工作人员的安全管理两部分。技术体系由本地计算环境、区域边界、网络基础设施及支撑性基础设施组成。管理体系包括建立完善的信息安全管理体系、构建自上而下的各级信息安全管理组织架构、制定信息安全方针与信息安全策略及完善信息安全管理制度4个板块。通过纵深防御的多层防护,多处设置保护机制,抵御通过内部或外部从多点向信息系统发起的攻击,将信息系统的安全风险降低到可以接受的程度。
2国外信息安全保障体系建设 美国的信息化程度全球最高,在信息技术的主导权和网络上的话语权等方面占据先天优势,他们在信息安全保障体系建设以及政策支持方面也走在全球的前列。美国政府先后发布了一系列政策战略报告,将信息安全由“政策”、“计划”上升到“国家战略”及“国际战略”的高度。美国国土安全局是美国信息安全管理的最高权力机构,其他负责信息安全管理和执行的机构有国家安全局、联邦调查局、国防部、商务部等,主要根据相应的方针和政策结合自己部门的情况实施信息安全保障工作。 其他国家也都非常重视信息安全保障工作。构建可信的网络,建设有效的信息安全保障体系,实施切实可行的信息安全保障措施已经成为世界各国信息化发展的主要需求。信息化发展比较好的发达国家,如俄、德、日等国家都已经或正在制定自己的信息安全发展战略和发展计划,确保信息安全沿着正确的方向发展,在信息安全领域不断进行着积极有益的探索。 3国内信息安全保障体系建设 我国信息化安全保障体系建设相对于发达国家起步较晚,2003年9月,中央提出要在5年内建设中国信息安全保障体系。2006年9月,“十一五”发展纲要提出科技“支撑发展”的重要思想,提出要提高我国信息产业核心技术自主开发能力和整体水平,初步建立有中国特色的信息安全保障体系。2007年7月20
第一章信息安全保障概述 1.信息安全的基本属性:完整性、机密性、可用性、可控制性、不可否认性 2.信息安全保障体系框架 生命周期:规划组织、开发采购、实施交付、运行维护、废弃 保障要素:技术、管理、工程、人员 安全特征:保密性、完整性、可用性 3.信息系统安全模型P2DR安全模型:策略、防护、检测、响应 4.信息保障技术框架IATF 核心思想是纵深防御战略 三个主要核心要素:人、技术和操作。 四个技术框架焦点区域:保护本地计算机环境、保护区域边界、保护网络及基础设施、保护支撑性基础设施 5.信息安全保障工作内容:确定安全需求、设计和实施安全方案、进行信息安全评测、实施信息安全监控 第二章信息安全基础技术与原理 密码技术、认证技术、访问控制技术、审计和监控技术 A、密码技术 明文、密文、加密、解密 信息空间M、密文空间C、密钥空间K、加密算法E、解密算法D 加密密钥、解密密钥 密码体系分为对称密钥体系、非对称密钥体系 对称密钥体系 1 对称密钥优点:加解密处理速度快和保密度高。 缺点:密钥管理和分发负责、代价高,数字签名困难 2.对称密钥体系分类:分组(块)密码(DES/IDEA/AES)和序列密码(RC4/SEAL) 3.传统的加密方法:代换法、置换法 5、攻击密码体系的方法:穷举攻击法(128位以上不再有效)和密码分析法 6.针对加密系统的密码分析攻击类型分为以下四种: ① 惟密文攻击在惟密文攻击中,密码分析者知道密码算法,但仅能根据截获的密文进行分析,以得出明文或密钥。由于密码分析者所能利用的数据资源仅为密文,这是对密码分析者最不利的情况。 ②已知明文攻击已知明文攻击是指密码分析者除了有截获的密文外,还有一些已知的“明文—密文对”来破译密码。密码分析者的任务目标是推出用来加密的密钥或某种算法,这种算法可以对用该密钥加密的任何新的消息进行解密。 ③ 选择明文攻击选择明文攻击是指密码分析者不仅可得到一些“明文—密文对”,还可以选择被加密的明文,并获得相应的密文。这时密码分析者能够选择特定
滨江学院 网络信息安全课程论文题目简述网络信息安全防护体系 院系计算机系 专业软件工程 学生姓名王二麻 学号 20122344900 学期 2014-2015(1) 指导教师朱节中 职称副教授 二O一四年十二月九日
简述网络结构安全防护体系 一、引言 计算机网络是由硬件网络、通信软件以及操作系统构成的,对于一个系统而言,首先要以硬件电路等物理设备为载体,然后才能运行载体上的功能程序。通过使用路由器、集线器、交换机、网线等网络设备,用户可以搭建自己所需要的通信网络,对于小范围的无线局域网而言,人们可以使用这些设备搭建用户需要的通信网络,最简单的防护方式是对无线路由器设置相应的指令来防止非法用户的入侵,这种防护措施可以作为一种通信协议保护,目前广泛采用WPA2加密协议实现协议加密,用户只有通过使用密匙才能对路由器进行访问,通常可以讲驱动程序看作为操作系统的一部分,经过注册表注册后,相应的网络通信驱动接口才能被通信应用程序所调用。 网络安全通常是指网络系统中的硬件、软件要受到保护,不能被更改、泄露和破坏,能够使整个网络得到可持续的稳定运行,信息能够完整的传送,并得到很好的保密。因此计算机网络安全设计到网络硬件、通信协议、加密技术等领域。 网络安全防护体系是基于安全技术集成的基础之上,依据一定的安全策略建立起来的。 二、需求与安全 网络本身的开放性、无界性等特性,在给工作、学习、生活带来巨大便利的同时,也带来了了一些不容忽视的问题,网络安全就是其中最为显著的问题之一。 2.1 信息 信息是资源,信息是财富。信息化的程度已经成为衡量一个国家,一个单位综合技术水平,综合能力的主要标志。从全球范围来看,发展信息技术和发展信息产业也是当今竞争的一个制高点。 计算机信息技术的焦点集中在网络技术,开放系统,小型化,多媒体这四大技术上。2.2安全 Internet的发展将会对社会、经济、文化和科技带来巨大推动和冲击。但同时,Internet 在全世界迅速发展也引起了一系列问题。由于Internet强调它的开放性和共享性,其采用的TCP/IP、SNMP等技术的安全性很弱,本身并不为用户提供高度的安全保护,Internet自身是一个开放系统,因此是一个不设防的网络空间。随着Internet网上用户的日益增加,网上的犯罪行为也越来越引起人们的重视。 对信息安全的威胁主要包括: