网络安全体系建设方案(2018)
编制:
审核:
批准:
2018-xx-xx
目录
1 安全体系发布令 (2)
2 安全体系设计 (3)
2.1 总体策略 (4)
2.1.1 安全方针 (4)
2.1.2 安全目标 (4)
2.1.3 总体策略 (4)
2.1.4 实施原则 (4)
2.2 安全管理体系 (4)
2.2.1 组织机构 (5)
2.2.2 人员安全 (5)
2.2.3 制度流程 (5)
2.3 安全技术体系 (6)
2.3.1 物理安全 (6)
2.3.2 网络安全 (8)
2.3.3 主机安全 (11)
2.4.4 终端安全 (14)
2.4.5 应用安全 (15)
2.4.6 数据安全 (18)
2.4 安全运行体系 (19)
2.4.1 系统建设 (19)
2.4.2 系统运维 (23)
1 安全体系发布令
根据《网络安全法》《信息安全等级保护管理办法》的相关规范及指导要求,参照GB/T22080-2008idtISO27001:2005《信息技术-安全技术-信息安全管理体系要求》,为进一步加强公司运营系统及办公系统的安全运行及防护,避免公司核心业务系统及日常办公系统遭受到病毒、木马、黑客攻击等网络安全威胁,防止因网络安全事件(系统中断、数据丢失、敏感信息泄密)导致公司和客户的损失,制定本网络安全体系。
本网络安全体系是公司的法规性文件,是指导公司各部门建立并实施信息安全管理、技术、运行体系的纲领和行动准则,用于贯彻公司的网络安全管理方针、目标,实现网络安全体系有效运行、持续改进,体现公司对社会的承诺,现正式批准发布,自 2018年 XX月 XX 日起实施。
全体员工必须严格按照本网络安全体系的要求,自觉遵循信息安全管理方针,贯彻实施本安全体系的各项要求,努力实现公司信息安全管理方针和目标。
总经理:
批准日期:2018-xx-xx
2 安全体系设计
公司整体安全体系包括安全方针、目标及策略,分为信息安全管理、技术、运行三大体系,通过安全工作管理、统一技术管理、安全运维管理三部分管理工作,实施具体的系统管理、安全管理及审计管理,来达到对计算环境、区域边界、网络通信的安全保障。
2.1 总体策略
2.1.1 安全方针
强化意识、规范行为、数据保密、信息完整。
2.1.2 安全目标
信息网络的硬件、软件及其系统中的数据受到保护,电子文件能够永久保存而不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。
2.1.3 总体策略
公司运营环境及运营系统需满足国家行业的规范要求,并实施三级等级保护及风险管理;
公司办公环境及办公系统满足通用信息化系统的运行要求,并实施二级等级保护;
公司自主(或外包)研发的网络安全软硬件产品必须符合相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可对外销售。
2.1.4 实施原则
谁主管谁负责、分级保护、技术与管理并重、全员参与、持续改进。
2.2 安全管理体系
安全管理体系主要涉及组织机构、人员安全、制度标准三个方面的安全需求和控制措施。
2.2.1 组织机构
分别建立安全管理机构和安全管理岗位的职责文件,对安全管理机构和网络安全负责人的职责进行明确,确定网络安全负责人,落实网络安全保护责任;建立信息发布、变更、审批等流程和制度类文件,增强制度的有效性;建立安全审核和检查的相关制度及报告方式。
目前公司设立了安全管理机构委员会,在岗位、人员、授权、沟通、检查各个环节进行决策、管理和监督,委员会由公司副总经理领导,成员包括各部门分管总监。
2.2.2 人员安全
对人员的录用、离岗、考核、培训、安全意识教育等方面应通过制度和操作程序进行明确,并对违反信息安全要求的相关人员进行惩罚。
根据可信雇员管理策略对所有人员进行安全背景审查、可信度鉴别和聘用,并签署安全保密协议;对人员离职需要有严格的管理程序,及时取消相应权限、清理物品并完成相关工作交接;将安全管理规范执行情况纳入日常绩效考核;定期对全体人员进行网络安全教育、技术培训和技能考核。
2.2.3 制度流程
按照公司文件管理的有关规定制定、审定、发布、和修订内部安全管理制度和操作规程,管理制度在发布前应经过公司安全委员会审批通过,对制度的评审工作应列入年度信息化安全工作会议。
应建立网络信息安全投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关网络信息安全的投诉和举报。
同时为保证制度的严密性和持续性,各制度流程将会根据系统运营实际情况定期或不定期进行修订,修订的审批、发布流程与新增完全相同,将报安全委员会审批通过后实施。
2.3 安全技术体系
安全技术体系主要包括:物理安全、网络安全、主机安全、终端安全、应用安全、数据安全六个方面的安全需求和控制措施。
2.3.1 物理安全
1.电磁屏蔽
?应采用接地方式防止外界电磁干扰和设备寄生耦合干扰;
?电源线和通信线缆应隔离铺设,避免互相干扰;
?应对关键设备和磁介质实施电磁屏蔽;
2.物理分层
?机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;?机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁;
?机房出入口应安排专人值守,控制、鉴别和记录进入的人员;
?需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围;
?应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域;
3.门禁控制
?重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员;?对于核心区的访问需要“刷卡+指纹”才能进入;
4.入侵报警
?应利用光、电等技术设置机房防盗报警、监控报警系统;
?机房内部应部署物理侵入报警系统,在通道处安装红外及微波移动监测感应器,应将入侵报警接入门禁系统,以便实现自动关门设防、开门撤防,若机房有非法物理侵入,将触发入侵报警,通知安全监控室值班人员;
5.视频监控
?机房应部署视频监控系统,监控机房各个区域,并实时录像保存,对重要区域需采用两个摄像头监控拍摄,防止单点故障,重要区域的录像要求保存一年以上;
6.电力冗余
?应在机房供电线路上配置稳压器和过电压防护设备;
?应提供短期的备用电力供应,至少满足主要设备在断电情况下的正常运行要求;
?应设置冗余或并行的电力电缆线路为计算机系统供电;
?应建立备用供电系统。
2.3.2 网络安全
1.结构安全
?应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;
?应保证网络各个部分的带宽满足业务高峰期需要;
?应在业务终端与业务服务器之间进行路由控制建立安全的访问路径;
?应绘制与当前运行情况相符的网络拓扑结构图;
?应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;
?应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段;
?应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主机;
2.访问控制
?应在网络边界部署访问控制设备,启用访问控制功能;
?应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;
?应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、
TELNET、SMTP、POP3等协议命令级的控制;
?应在会话处于非活跃一定时间或会话结束后终止网络连接;
?应限制网络最大流量数及网络连接数;
?重要网段应采取技术手段防止地址欺骗;
?应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户;
?应限制具有拨号访问权限的用户数量;
3.入侵防御
?应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等;
?当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。
4.设备防护
?应对登录网络设备的用户进行身份鉴别;
?应对网络设备的管理员登录地址进行限制;
?网络设备用户的标识应唯一;
?主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别;
?身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换;
?应具有登录失败处理功能,可采取结束会话、限制非法登录次数
和当网络登录连接超时自动退出等措施;
?当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;
?应实现设备特权用户的权限分离。
5.安全监控
?应采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
?机房网络应部署安全监控及管理平台,对所有设备进行监控和日志收集,掌握设备的实时运行状态,管控网络安全威胁,以便对安全事件的事后分析、追踪;
6.安全审计
?应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;
?审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
?应能够根据记录数据进行分析,并生成审计报表;
?应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等?为方便管理所有网络设备和服务器,以及日后对所有设备和系统进行操作审计,应部署安全审计(堡垒机)系统,并通过专用操作终端实现对安全审计系统(堡垒机)的操作;
7.边界完整性检查
?应能够对非授权设备私自联到内部网络的行为进行检查,准确定
出位置,并对其进行有效阻断;
?应能够对内部网络用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。
8.恶意代码防范
?应在网络边界处对恶意代码进行检测和清除;
?应维护恶意代码库的升级和检测系统的更新。
2.3.3 主机安全
1.身份鉴别:
?应对登录操作系统和数据库系统的用户进行身份标识和鉴别;?操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换;
?应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;
?当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听;
?应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性。
?应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。
2.访问控制
?应启用访问控制功能,依据安全策略控制用户对资源的访问;
?应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限;
?应实现操作系统和数据库系统特权用户的权限分离;
?应严格限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令;
?应及时删除多余的、过期的帐户,避免共享帐户的存在。
?应对重要信息资源设置敏感标记;
?应依据安全策略严格控制用户对有敏感标记重要信息资源的操作;
3.入侵防范
?应能够检测到对重要服务器进行入侵的行为,能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警;
?应能够对重要程序的完整性进行检测,并在检测到完整性受到破坏后具有恢复的措施;
?操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新。
4.恶意代码
?应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库;
?主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库;
?应支持防恶意代码的统一管理。
5.资源控制
?应通过设定终端接入方式、网络地址范围等条件限制终端登录;?应根据安全策略设置登录终端的操作超时锁定;
?应对重要服务器进行监视,包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况;
?应限制单个用户对系统资源的最大或最小使用限度;
?应能够对系统的服务水平降低到预先规定的最小值进行检测和报警。
6.安全审计
?审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;
?审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;
?审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等;
?应能够根据记录数据进行分析,并生成审计报表;
?应保护审计进程,避免受到未预期的中断;
?应保护审计记录,避免受到未预期的删除、修改或覆盖等;
?为方便管理所有服务器主机,以及日后对所有设备和系统进行操作审计,应部署安全审计(堡垒机)系统,并通过专用操作终端实现对安全审计系统(堡垒机)的操作;
2.4.4 终端安全
?上网行为管理:对于机房办公上网终端,虽然与机房内网物理隔离,但实际工作中需要访问互联网查阅和接收信息,使用移动介质拷贝数据与外部信息交换,移动介质在内外网之间充当数据交换载体,需加强对上网的行为监管和移动介质的使用监管,由于目前上网终端少,暂不考虑部署上网行为管理系统;对于公司办公区由于终端数多、上网面广,对内部办公资源威胁较大,需部署上网行为管理设备,对各区域间网络接入各类终端进行严格管控,确保接入终端设备符合安全管理要求;在终端软件及应用方面精确定位到应用功能,最大化确保不符合安全及管理要求的应用功能被过滤并且不影响应用正常使用;对访问流量及用户访问行为提供记录和分析,建立报表提供审计和判断依据。
?网络防病毒:在互联网入口层需部署防病毒模块,防病毒功能可集成到防火墙或安全网关中,以实现对病毒、木马等恶意代码的基本防护;同时还需部署终端防病毒的系统,统一制定病毒库升级及查杀策略,防止终端感染病毒。
?终端防火墙:对于安全性要求更高的终端,还需开启终端操作系统自带的软件防火墙,控制访问源和允许访问的应用端口,提升终端的安全防护能力。
?重要数据加密:对于终端上的敏感或重要数据,在存储和流转过程中需使用加密手段保护数据安全,能使用数字证书加密的场景尽量使用证书加密(比如公司邮件),不具备证书加密的场景,
可使用软件自带的加密功能或采用其他第三方软件加密最终的文件。
?软件统一管理:对于办公环境的软件安装,需通过部署终端安全管理系统,对所有终端安装的软件进行统一管理,仅允许合法软件的安装和使用,同时对USB介质实施接入管控,对接入的USB 介质进行反病毒查杀和扫描,确保终端接入的USB介质安全性,降低终端安全风险。
?安全检查:定期对终端的使用进行安全检查,对于办公环境建议部署终端接入准入控制,并与终端安全管理系统联动,通过制定准入策略实现对终端安全的自动审查和日志定期审计。
2.4.5 应用安全
1.身份鉴别
?应提供专用的登录控制模块对登录用户进行身份标识和鉴别;?应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别;
?应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用;?应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;
?应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关参
数;
2.访问控制
?应提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体的访问;
?访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作;
?应由授权主体配置访问控制策略,并严格限制默认帐户的访问权限;
?应授予不同帐户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系;
?应具有对重要信息资源设置敏感标记的功能;
?应依据安全策略严格控制用户对有敏感标记重要信息资源的操作;
3.通信安全
?通信双方应约定密码算法,计算通信数据报文的报文验证码,在进行通信时,双方根据校验码判断对方报文的有效性;
?在通信双方建立连接之前,应用系统应利用密码技术进行会话初始化验证;
?应对通信过程中的整个报文或会话过程进行加密;
?应具有在请求的情况下为数据原发者或接收者提供数据原发证据的功能;
?应具有在请求的情况下为数据原发者或接收者提供数据接收证据
的功能;
4.软件容错
?应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求;
?应提供自动保护功能,当故障发生时自动保护当前所有状态,保证系统能够进行恢复;
5.资源控制
?当应用系统的通信双方中的一方在一段时间内未作任何响应,另一方应能够自动结束会话;
?应能够对系统的最大并发会话连接数进行限制;
?应能够对单个帐户的多重并发会话进行限制;
?应能够对一个时间段内可能的并发会话连接数进行限制;
?应能够对一个访问帐户或一个请求进程占用的资源分配最大限额和最小限额;
?应能够对系统服务水平降低到预先规定的最小值进行检测和报警;
?应提供服务优先级设定功能,并在安装后根据安全策略设定访问帐户或请求进程的优先级,根据优先级分配系统资源;
6.安全审计
?应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计;
?应保证无法单独中断审计进程,无法删除、修改或覆盖审计记录;
?审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等;
?应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能;
2.4.6 数据安全
1.完整性
?应能够检测到系统管理数据、鉴别信息和重要业务数据在传输过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施;
?应能够检测到系统管理数据、鉴别信息和重要业务数据在存储过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施;
2.保密性
?应采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输保密性;
?应采用加密或其他保护措施实现系统管理数据、鉴别信息和重要业务数据存储保密性;
3.数据备份和恢复
?应采取数据分类、重要数据备份等措施;
?应提供本地数据备份与恢复功能,完全数据备份至少每天一次,备份介质场外存放;
?应提供异地数据备份功能,利用通信网络将关键数据定时批量传送至备用场地;
?应采用冗余技术设计网络拓扑结构,避免关键节点存在单点故障;?应提供主要网络设备、通信线路和数据处理系统的硬件冗余,保证系统的高可用性;
?对重要系统和数据库进行容灾备份,重要系统的灾难恢复能力需至少达到第4级“电子传输及完整设备支持”,灾备系统随时处于就绪状态或运行状态,完全的数据备份至少每天一次;
2.4 安全运行体系
安全运行体系总体包括系统建设和系统运维两方面的安全需求和控制措施,其中:
系统建设主要包括:定级备案、设计开发、实施测试、测评检查、验收交付、服务商等多个环节;
系统运维主要包括:日常运行管理、资源管理、介质管理、环境管理、配置管理、变更管理、问题管理、运行监控、事件管理、风险管理、监督检查、审计、应急响应等多个环节。
2.4.1 系统建设
?定级备案:
a.信息系统建设之初,应说明信息系统的边界和安全保护等级,形
成系统定级文档,并组织相关部门和有关安全技术专家对信息系统定级结果的合理性和正确性进行论证和审定,确保信息系统的
网络安全体系建设方案(2018) 编制: 审核: 批准: 2018-xx-xx
目录 1 安全体系发布令 (2) 2 安全体系设计 (3) 2.1 总体策略 (4) 2.1.1 安全方针 (4) 2.1.2 安全目标 (4) 2.1.3 总体策略 (4) 2.1.4 实施原则 (4) 2.2 安全管理体系 (4) 2.2.1 组织机构 (5) 2.2.2 人员安全 (5) 2.2.3 制度流程 (5) 2.3 安全技术体系 (6) 2.3.1 物理安全 (6) 2.3.2 网络安全 (8) 2.3.3 主机安全 (11) 2.4.4 终端安全 (14) 2.4.5 应用安全 (15) 2.4.6 数据安全 (18) 2.4 安全运行体系 (19) 2.4.1 系统建设 (19) 2.4.2 系统运维 (22)
1 安全体系发布令 根据《网络安全法》《信息安全等级保护管理办法》的相关规及指导要求,参照GB/T22080-2008idtISO27001:2005《信息技术-安全技术-信息安全管理体系要求》,为进一步加强公司运营系统及办公系统的安全运行及防护,避免公司核心业务系统及日常办公系统遭受到病毒、木马、黑客攻击等网络安全威胁,防止因网络安全事件(系统中断、数据丢失、敏感信息泄密)导致公司和客户的损失,制定本网络安全体系。 本网络安全体系是公司的法规性文件,是指导公司各部门建立并实施信息安全管理、技术、运行体系的纲领和行动准则,用于贯彻公司的网络安全管理方针、目标,实现网络安全体系有效运行、持续改进,体现公司对社会的承诺,现正式批准发布,自 2018年 XX月 XX 日起实施。 全体员工必须严格按照本网络安全体系的要求,自觉遵循信息安全管理方针,贯彻实施本安全体系的各项要求,努力实现公司信息安全管理方针和目标。 总经理: 批准日期:2018-xx-xx
构建网络安全防护管理体系 摘要:随着大数据技术的不断发展和应用,对计算机网络安全管理提出了新的挑战,通过对大数据背景下计算机网络安全的分析,介绍了新技术下的网络安全问题,提出了相关的网络安全防范措施,认为在大数据背景下,网络安全管理必须采用多种方法和手段,同时将大数据技术应用于网络安全管理中,构建符合时代需求的网络安全保护管理体系。 关键词:大数据;网络安全;隐私数据;防护策略 1大数据环境下计算机网络问题及危害 1.1计算机软件、硬件等技术问题带来的不良影响 目前计算机技术不论在软件或在硬件方面仍有着不少的缺陷,特别是在当前生产经营要求和网络体验需求不断攀升的情况下,新情况、新问题不断出现。如千禧年来临时期的“千年虫”事件,又如前几年国内爆发的DNS漏洞事件,均对企事业单位生产经营及个人生活带来了极大的困扰。 1.2网络病毒、黑客攻击及其危害
当网络作为一个单纯的信息资料上传和下载渠道,网络病毒的蔓延尚不能对实体经济或者社会稳定带来多大的影响。但当新时期网上生活、网上办公、网上交易、网上信息存储等多功能网络服务的发展,网络病毒及黑客攻击的危害性变得越来越大。部分不法分子通过在用户下载的数据包中加载木马的方式盗取普通用户或政府机关企事业单位等的信息数据、用户上传网络云盘或在本地磁盘中存储的重要资料谋取不法利益。前些年我国各地有超180多个政府网站被不法分子“黑”掉,直接导致一大批重要数据内容遭到篡改,造成了极为恶劣的影响。而近几年出现并广泛传播的熊猫烧香、ANI、ARP、网络大盗、鞋匠、广告泡泡等网络病毒,均在不同程度上给稳定向上持续发展的社会秩序带来了极大的不良影响。 1.3不法网络信息的传递 部分怀有不良动机的不法分子凭借网络信息沟通的便利性和监管追查相对困难的特性进行不法信息的传播,如色情、暴力、毒、赌等。还有部分国内外敌对势力分子紧跟社会矛盾热点,肆意造谣中伤党和政府,有的还根据社会中现实存在的小部分混乱借题发挥,翻江倒海,唯恐天下不乱。这些不法言论严重扰乱了我国国民经济不断发展和社会文明不
网络信息安全工作计划(3篇) 根据自治区、地区有关要求,按照《xx 新闻宣传报道管理办法》有关内容,为进一步加强我县网络和信息安全管理工作,现就有关工作计划如下。 一、建立健络和信息安全管理制度 各单位要按照网络与信息安全的有关法律、法规规定和工作要求,制定并组织实施本单位网络与信息安全管理规章制度。要明确网络与信息安全工作中的各种责任,规范计算机信息网络系统内部控制及管理制度,切实做好本单位网络与信息安全保障工作。 二、切实加强网络和信息安全管理 各单位要设立计算机信息网络系统应用管理领导小组,负责对计算机信息网络系统建设及应用、管理、维护等工作进行指导、协调、检查、监督。要建立本单位计算机信息网络系统应用管理岗位责任制,明确主管领导,落实责任部门,各尽其职,常抓不懈,并按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,切实履行好信息安全保障职责。 三、严格执行计算机网络使用管理规定 各单位要提高计算机网络使用安全意识,严禁涉密计算机连接互联网及其他公共信息网络,严禁在非涉密计算机上存储、处理涉密信息,严禁在涉密与非涉密计算机之间交叉使用移动存储介质。办公内网必须与互联网及其他公共信息网络实行物理隔离,并强化身份鉴别、访问控制、安全审计等技术防护措施,有效监控违规操作,严防违规下载涉密
和敏感信息。通过互联网电子邮箱、即时通信工具等处理、传递、转发涉密和敏感信息。 四、加强网站、微信公众平台信息发布审查监管 各单位通过门户网站、微信公众平台在互联网上公开发布信息,要遵循涉密不公开、公开不涉密的原则,按照信息公开条例和有关规定,建立严格的审查制度。要对网站上发布的信息进行审核把关,审核内容包括:上网信息有无涉密问题;上网信息目前对外发布是否适宜;信息中的文字、数据、图表、图像是否准确等。未经本单位领导许可严禁以单位的名义在网上发布信息,严禁交流传播涉密信息。坚持先审查、后公开,一事一审、全面审查。各单位网络信息发布审查工作要有领导分管、部门负责、专人实施。 严肃突发、敏感事(案)件的新闻报道纪律,对民族、宗教、军事、环保、反腐、人权、计划生育、严打活动、暴恐案件、自然灾害,涉暴涉恐公捕大会、案件审理、非宗教教职人员、留大胡须、蒙面罩袍等敏感事(案)件的新闻稿件原则上不进行宣传报道,如确需宣传 报道的,经县领导同意,上报地区层层审核,经自治区党委宣传部审核同意后,方可按照宣传内容做到统一口径、统一发布,确保信息发布的时效性和严肃性。 五、组织开展网络和信息安全清理检查 各单位要在近期集中开展一次网络安全清理自查工作。对办公网络、门户网站和微信公众平台的安全威胁和风险进行认真分析,制定并组织
网络安全建设方案 2016年7月
1. 前言 (3) 1.1. 方案涉及范围 (3) 1.2. 方案参考标准 (3) 1.3. 方案设计原则 (4) 2. 安全需求分析 (5) 2.1. 符合等级保护的安全需求 (6) 2.1.1. 等级保护框架设计 (6) 2.1.2. 相应等级的安全技术要求 (6) 2.2. 自身安全防护的安全需求 (7) 2.2.1. 物理层安全需求 (7) 2.2.2. 网络层安全需求 (7) 2.2.3. 系统层安全需求 (9) 2.2.4. 应用层安全需求 (9) 3. 网络安全建设内容 (10) 3.1. 边界隔离措施 (11) 3.1.1. 下一代防火墙 (11) 3.1.2. 入侵防御系统 (13) 3.1.3. 流量控制系统 (14) 3.1.4. 流量清洗系统 (15) 3.2. 应用安全措施 (16) 3.2.1. WEB应用防火墙 (16) 3.2.2. 上网行为管理系统 (16) 3.2.3. 内网安全准入控制系统 (17) 3.3. 安全运维措施 (18) 3.3.1. 堡垒机 (18) 3.3.2. 漏洞扫描系统 (19) 3.3.3. 网站监控预警平台 (19) 3.3.4. 网络防病毒系统 (21) 3.3.5. 网络审计系统 (22)
1.前言 1.1. 方案涉及范围 方案设计中的防护重点是学校中心机房的服务器区域,这些服务器承载了学校内部的所有业务系统,因此是需要重点防护的信息资产。 学校目前采取了数据大集中的模式,将所有的业务数据集中在中心机房,数据大集中模式将导致数据中心的安全风险也很集中,因此必须对中心机房服务器区域进行重点防护。 方案中还要对综合网管区域、数据存储区域、办公区域进行规划和设计,纳入到整体的安全防护体系内。 1.2. 方案参考标准 本方案的主要规划的重点内容是网络安全防护体系,规划的防护对象以学校数据中心为主,规划的参考标准是等级保护,该方案的设计要点就是定级和保障技术的规划,针对教育部和省教育厅对等级保护的相关要求,本方案将主要参考以下的标准进行规划: 方案的建设思想方面,将严格按照湘教发【2011】33号文件关于印发《湖南省教育信息系统安全等级保护工作实施方案》的通知,该文件对计算机信息系统的等级化保护提出了建设要求,是我省今后一段时期内信息安全保障工作的纲领性文件,文件中对我省教育行业信息安全保障工作指出了总体思路。 系统定级方面:参考《信息系统安全等级保护定级指南》,该指南适用于党政机关网络于信息系统,其中涉及国家秘密的网络与信息系统,按照国家有关保密规定执行,其他网络与信息系统定级工作参考本指南进行,本指南对定级工作的原则、职责分工、工作程序、定级要素和方法进行了描述,并对网络与信息系统提出了最低安全等级要求,高等职业学校应不低于最低安全等级要求。在本项目中我们建议学校数据中心可按照二级的建设目标进行规划。 本方案参考的指南和标准具体见下表:
随着科技的发展,网络信息的覆盖面越来越广,但随之而带的还有网信息的安全,要充分做好网络信息的安全工作。下面是整理的网络信息安全工作计划,希望对大家有所帮助! 网络信息安全工作计划篇一 坚持科学发展观,充分发挥学校网络的技术指导的管理职能,强化服务意识、责任意识、发展意识,巩固我校教育信息化成果,不断完善信息化建设水平,大力推进教育现代化进程,科学、规范、高效抓管理,求真、务实、优质育人才,努力争创教学示范学校,办优质教育,特制订以下计划 一、网络管理与建设 1、采取切实可行的措施,加强对校园网的管理,继续完善相关规章制度,落实各项管理措施,确保学校网络安全畅通。学校要继续完善相关的网络制度,杜绝网络信息安全事故的发生,确保网络畅通,更好的服务与教育教学工作。采取积极可行的措施,在保证网络畅通的情况下,杜绝教师上网聊天、打扑克、玩游戏等不良现象的发生。管理员及全体教师都要深入研究网络应用问题,充分发挥网络的作用,提高教育教学质量。 2、网络防毒。加强对教师信息技术的培训力度,使教师学会使用杀毒软件进行计算机病毒的查杀,确保学校网络畅通。基本上解决网络病毒在我校计算机上的传播,保证网络不因病毒而导致堵塞、停网等现象的发生。 二、网站建设 加强学校校园网网站建设和应用力度,使其服务于教学、服务于德育、服务于管理;服务于学生、服务于教师、服务于社会。管理员要不断学习相关业务知识,不断提高自己的业务能力,树立服务于教学的思想,管好用好学校网络。 三、信息技术使用与培训工作 加强信息技术知识的培训与应用。学校将组织专人进行不同层次的培训班,加强培训指导,教师要将学习走在前头,自觉地学。 网络信息安全工作计划篇二 为加强本单位网络与信息安全保障工作,经局领导班子研究,制定**县工业商务和信息化局2**年网络与信息安全工作计划。 一、加强考核,落实责任 结合质量管理体系建设,建立健全信息化管理和考核制度,进一步优化流程,明确责任,与各部门重点涉密岗位签订《网络与信息安全及保密责任书》。加大考
附件3 网络信息安全保障体系建设方案 目录 网络信息安全保障体系建设方案 (1) 1、建立完善安全管理体系 (1) 1.1成立安全保障机构 (1) 2、可靠性保证 (2) 2.1操作系统的安全 (3) 2.2系统架构的安全 (3) 2.3设备安全 (4) 2.4网络安全 (4) 2.5物理安全 (5) 2.6网络设备安全加固 (5) 2.7网络安全边界保护 (6) 2.8拒绝服务攻击防范 (6) 2.9信源安全/组播路由安全 (7) 网络信息安全保障体系建设方案 1、建立完善安全管理体系 1.1成立安全保障机构 山东联通以及莱芜联通均成立以总经理为首的安全管理委员会,以及分管副总经理为组长的网络运行维护部、电视宽带支撑中心、网络维护中心等相关部门为成员的互联网网络信息安全应急小组,负责全省网络信息安全的总体管理工作。 山东联通以及莱芜联通两个层面都建立了完善的内部安全保障 工作制度和互联网网络信息安全应急预案,通过管理考核机制,严格执行网络信息安全技术标准,接受管理部门的监督检查。同时针对三网融合对网络信息安全的特殊要求,已将IPTV等宽带增值业务的安
全保障工作纳入到统一的制度、考核及应急预案当中。内容涵盖事前防范、事中阻断、事后追溯的信息安全技术保障体系,域名信息登记管理制度IP地址溯源和上网日志留存等。并将根据国家规范要求,对三网融合下防黑客攻击、防信息篡改、防节目插播、防网络瘫痪技术方案进行建立和完善。 2、可靠性保证 IPTV是电信级业务,对承载网可靠性有很高的要求。可靠性分为设备级别的可靠性和网络级别的可靠性。 (1)设备级可靠性 核心设备需要99.999%的高可靠性,对关键网络节点,需要采用双机冗余备份。此外还需要支持不间断电源系统(含电池、油机系统)以保证核心设备24小时无间断运行。 (2)网络级可靠性 关键节点采用冗余备份和双链路备份以提供高可靠性。网络可靠性包括以下几方面: ?接入层:接入层交换机主要利用STP/RSTP协议在OSI二层实现网络收敛自愈。 ?汇聚层:在OSI第三层上使用双机VRRP备份保护机制,使用BFD、Ethernet OAM、MPlS OAM来对链路故障进行探测,然 后通过使用快速路由协议收敛来完成链路快速切换。
网络安全管理制度落实情况 第一篇_网络安全责任追究制度 网络安全责任追究制度 为进一步落实网络安全和信息安全管理责任,确保学校网络安全和信息安全,切实加强系统管理,明确责任: 一、本部门行政一把手为网络安全和信息安全第一责任人,负责建立和完善本单位网络安全和信息安全组织,建立健全相关管理制度,制定网络安全事故处置措施和应急预案,配备兼职信息安全管理员,具体负责本单位网络安全和信息安全工作。 二、坚持“归属管理”原则,实行24小时网络监控制度,切实做到“看好自己的门,管好自己的人,做好自己的事”。负责教育本部门所属人员(教工及学生)不利用网络制作、传播、查阅和复制下列信息内容:损害国家及学校荣誉、利益、形象的;散布谣言,扰乱社会秩序,破坏社会稳定的;散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;含有法律、法规禁止的其他内容的。 三、坚持“谁主管,谁负责;谁主办,谁负责”的原则,负责加强对本部门上网信息及内容的审查,确保上网信息的安全和保密信息不泄漏。 四、对本部门人员利用网络平台建立的内部交流qq群、飞信群等实时监控;教学单位要摸清学生群体建立的内部交流群,学生管理人员应参与学生交流群加强监控与引导,对交流群中出现的不当言论及时制止、教育,对可能引发严重后果的情况及时上报。 五、严格实行网络安全和信息安全责任追究制度。如因管理不善致使本部门内发生重、特大信息安全事故或严重违纪违法事件的,按有关规定对部门和有关责任人进行处理,情节特别严重的依法追究相关责任人的法律责任。 六、在责任期内,责任书各条款不因负责人变化而变更或解除,接任负责人应相应履行职责。 网络安全管理制度落实情况第二篇_建立健全信息安全管理制度并严格落实 二、建立健全信息安全管理制度并严格落实 各地、各单位要建立健全完善的信息安全保障体系,制定和完善安全管理制度、操作规程和技术规范。要定期开展安全风险评估和隐患排查,深入分析疾病预防控制(含免疫规划等)、妇幼健康等重要信息系统以及人口健康信息平台(含居
医院****年信息安全工作计划 2014年将是我院加快发展步伐的重要的一年,为进一步加快数字化医院建设,更好的为医院信息化建设服务,加强信息安全工作,计划如下: 一、不定期对院信息系统的安全工作进行检查,加强信息系统安全管理工作,防患于未然,确保信息系统安全、稳定运行。 二、加强患者信息管理,确保患者信在本院就医信息不泄露。 三、对信息系统核心数据作好备份工作。 四、配合相关科室日常工作,确保机房核心设备安全、稳定运行。 四、配合相关人员作好医院网站信息发布维护工作。 五、定期加强对我院临床全体工作人员进行计算机操作技能及信息系统安全问题培训,保证临床各科业务的正常开展。 六、做好各种统计报表的上报工作,及时、准确的上报各种统计报表。 七、完成领导交办的其它各项工作任务。 2014-3-20篇二:网络安全工作计划 上户镇杜尔比村小学网络安全活动 计划 围绕学校2013年工作重点,坚持科学发展观,充分发挥学校网络的技术指导的管理职能,强化服务意识、责任意识、发展意识,巩固我校教育信息化成果,不断完善信息化建设水平,大力推进教育现代化进程,科学、规范、高效抓管理,求真、务实、优质育人才,努力争创教学示范学校,办优质教育,特制订以下计划: 一、网络管理与建设 1、采取切实可行的措施,加强对校园网的管理,继续完善相关规章制度,落实各项管理措施,确保学校网络安全畅通。学校要继续完善相关的网络制度,杜绝网络信息安全事故的发生,确保网络畅通,更好的服务与教育教学工作。采取积极可行的措施,在保证网络畅通的情况下,杜绝教师上网聊天、打扑克、玩游戏等不良现象的发生。管理员及全体教师都要深入研究网络应用问题,充分发挥网络的作用,提高教育教学质量。 2、网络防毒。加强对教师信息技术的培训力度,使教师学会使用杀毒软件进行计算机病毒的查杀,确保学校网络畅通。基本上解决网络病毒在我校计算机上的传播,保证网络不因病毒而导致堵塞、停网等现象的发生。 二、网站建设 加强学校校园网网站建设和应用力度,使其服务于教学、服务于德育、服务于管理;服务于学生、服务于教师、服务于社会。管理员要不断学习相关业务知识,不断提高自己的业务能力,树立服务于教学的思想,管好用好学校网络。 三、信息技术使用与培训工作 加强信息技术知识的培训与应用。学校将组织专人进行不同层次的培训班,加强培训指导,教师要将学习走在前头,自觉地学。篇三:2011信息安全工作计划 福州市烟草公司罗源分公司 2011年信息安全工作计划 2011年罗源烟草根据省、市局信息化工作会议精神,以安全、服务为宗旨,紧紧围绕“卷进烟上水平”的基本方针和战略任务,进一步明确目标,落实责任,加强信息安全工作,为信息化建设上水平打好基础。 一、加强考核,落实责任 结合质量管理体系建设,建立健全信息化管理和考核制度,进一步优化流程,明确责任,与各部门重点涉密岗位签订《信息安全及保密责任书》。加大考核力度,将计算机应用及运维
网络安全体系建设方案(2018)编制: 审核: 批准: 2018-xx-xx
目录 1 安全体系发布令 (1) 2 安全体系设计 (2) 2.1 总体策略 (3) 2.1.1 安全方针 (3) 2.1.2 安全目标 (3) 2.1.3 总体策略 (3) 2.1.4 实施原则 (4) 2.2 安全管理体系 (4) 2.2.1 组织机构 (4) 2.2.2 人员安全 (5) 2.2.3 制度流程 (5) 2.3 安全技术体系 (5) 2.3.1 物理安全 (6) 2.3.2 网络安全 (7) 2.3.3 主机安全 (10) 2.4.4 终端安全 (13) 2.4.5 使用安全 (15) 2.4.6 数据安全 (17) 2.4 安全运行体系 (19) 2.4.1 系统建设 (19) 2.4.2 系统运维 (22) 1 安全体系发布令 根据《网络安全法》《信息安全等级保护管理办法》的相关规范及指导要求,参照GB/T22080-2008idtISO27001:2005《信息技术-安全技术-信息安全管理体系要求》,为进一步加强公司运营系统及办公系统的安全运行及防护,避免公司核心业务系统及日常办公系统遭受到病毒、木马、黑客攻击等网络安全威胁,防止因网络安全事件(系统中断、数据丢失、敏感信息泄密)导致公司和客户的损失,制定本网络安全体系。
本网络安全体系是公司的法规性文件,是指导公司各部门建立并实施信息安全管理、技术、运行体系的纲领和行动准则,用于贯彻公司的网络安全管理方针、目标,实现网络安全体系有效运行、持续改进,体现公司对社会的承诺,现正式批准发布,自 2018年 XX月 XX 日起实施。 全体员工必须严格按照本网络安全体系的要求,自觉遵循信息安全管理方针,贯彻实施本安全体系的各项要求,努力实现公司信息安全管理方针和目标。 总经理: 批准日期:2018-xx-xx 2 安全体系设计 公司整体安全体系包括安全方针、目标及策略,分为信息安全管理、技术、运行三大体系,通过安全工作管理、统一技术管理、安全运维管理三部分管理工作,实施具体的系统管理、安全管理及审计管理,来达到对计算环境、区域边界、网络通信的安全保障。
网络安全管理制度(最新版) Safety management is an important part of enterprise production management. The object is the state management and control of all people, objects and environments in production. ( 安全管理 ) 单位:______________________ 姓名:______________________ 日期:______________________ 编号:AQ-SN-0652
网络安全管理制度(最新版) 为维护我校校园网的安全使用,特制订《拾万小学网络安全管理制度》,请所有使用网络的教工、学生自觉严格遵守。 1、学校成立网络管理领导小组。领导小组由校长范定全同志担任,组员由学校行政人员、各办公室主任和网络管理人员组成。 2、学校成立网络安全维护小组。组长由网络管理员杨道元同志担任,组员为各办公室主任及班主任组成。负责在网络管理领导小组指导下进行日常维护和安全监测。 3、学校鼓励各教室、办公室、专用室和全体师生使用各类网络资源,不得在使用过程中散布病毒,发表不适当言论。 4、网络维护小组根据区信息中心要求为每个教室、办公室、专用室、学生机房统一分配IP地址,其他人不得随意更改,如有需要
报维护小组进行修改。 5、各教室、办公室、专用室在使用网络过程中必须遵守国家有关法律、法规和区信息中心的有关规定。 6、用户在使用网络时违反国家法律和行政法规的,学校将视情节轻重给予警告、通报批评,情节特别严重构成犯罪的,报有关部门依法追究刑事责任。 7、禁止各用户上不良网站。通过聊天、邮件而传播网络病毒的,维护小组要及时提醒,要求该用户改正,如果是故意行为,将报学校网络管理领导小组进行严肃处理。 8、网络的主干通信设备、路由器、光电转换器、主干网络线路、服务器、网络交换机及其它公共设备由维护小组负责管理维护。 9、维护小组对各用户计算机进行对入网设备、安装的软件实行规范管理,不定期进行检查。对安装不健康内容、危害网络安全和一些游戏软件进行及时清除 10、网络信息是指通过网络发布、传递及存储在网络设备中的信息。学校鼓励教师使用网络上有用资源。
教育信息化、网络安全工作计划 开封市汴京路小学 2017年 教育信息化、网络安全工作计划 一、指导思想 根据《全省教育系统开展网站(信息系统)普查工作的紧急通知》,及深入落实“十大拓展计划”的基础上,结合电教部门教育信息发展规划。以科学发展观为指导,围绕基础教育课程资源建设,结合我校的设备条件和师生的实际情况,充分发挥现有电教软件、硬件的作用,努力建设现代化的师资队伍,切实提高我校应用现代信息技术教育教学的水平,提高信息技术应用的能力,打造高效课堂;现代化的教学手段的有效利用;提高广大教师的授课水平;力争实现新的跨越。以教育信息化建设为中心,以提高教师教育技术应用能力为重点,提高电子白板的应用率,推进信息化校园的建设,完善学校各功能室的管理,努力打造学校
教育信息化,构筑学生、教师、学校、家长共同学习交流发展的平台。特制定学校工作计划。 二、工作目标 1、加强硬件维护维修及管理。以及新设备的投入,使用好我校“电子白板”,打造高效课堂;为教育教学服务。使全体老师对电子白板的使用达到熟练的程度,为学生提供丰富多彩的课堂。 2、加强对《信息技术》课程的教学管理。要求信息技术教师积极探索构建新型的教学结构,更新教育模式和方法,培养学生对信息技术的兴趣,培养学生良好的信息素养。加强对信息技术应用能力的培训和指导工作。课件的制作及微课的录制,在原有基础上应有进一步的飞跃。 3、利用好长春基础教育云平台及吉林省基础教育平台,及时上传我信息课件及教学设计,结合教师专业发展平台,努力构建教育网络互动平台,促进教师专业成长进程。实现教师网上备课、网上资源共享化、网络空间全省化、学生空间互通化。用好平台各项功能,为教学服务,为学生发展创造平台。 4、完善电教设备、班级“电子白板”、多媒体教室使用的管理制度,健全各项电教记录,提高电教设备的利用率,不断优化课堂教学。电子备课室有效利用,做好备课记录,设备的借用记录。 5、进一步抓好电教常规培训,继续抓好教师信息技术方面的培训工作,提高教师电教运用能力,使网络真正成为学校教育教学的助手。努力建设一支具有信息技术应用能力的教师队伍,帮助教师解决教育教学中对多媒体应用的疑问,并熟练应用多媒体课件。结合我校的实际情况,本学度对全校教师进行课件动画制作的培训,白板使用的培训,电脑视频下载、微课制作等方面的培训。举办信息技术课堂教学大赛、微课制作大赛。省市平台应用的评比活动。 6、多媒体课能积极推动信息技术与学科教学的整合,提高全体教师信息技术与学科整合的能力,促使大部分教师都能将信息技术应用到教学改革中去,推动新课程改革的进程。争取推动优质高效的信息技术应用课。 7、做好电教设施、网络设施、专用教室的使用、维护、卫生、安全(防盗、防火、用电、网络运行),建立完善各项管理制度,并做好相关记录。经过不断的保养和维护保证电教设备的利用率和完好率达100%。积级应用先进的电化手段,利用好上级投入的各种设备及教学
一、信息网络安全管理制度 1.局域网由市公司信息中心统一管理。 2.计算机用户加入局域网,必须由系统管理员安排接入网络,分配计算机名、IP地址、帐号和使用权限,并记录归档。 3.入网用户必须对所分配的帐号和密码负责,严格按要求做好密码或口令的保密和更换工作,不得泄密。登录时必须使用自己的帐号。口令长度不得小于6位,必须是字母数字混合。 4.任何人不得未经批准擅自接入或更改计算机名、地址、帐号和使用权限。业务系统岗位变动时,应及时重新设置该岗帐号和工作口令。 5.凡需联接互联网的用户,必需填写《计算机入网申请表》,经单位分管领导或部门负责人同意后,由信息中心安排和监控、检查,已接入互联网的用户应妥善保管其计算机所分配帐号和密码,并对其安全负责。不得利用互联网做任何与其工作无关的事情,若因此造成病毒感染,其本人应付全部责任。 6.入网计算机必须有防病毒和安全保密措施,确因工作需要与外单位通过各种存储媒体及网络通讯等方式进行数据交换,必须进行病毒检查。因违反规定造成电子数据失密或病毒感染,由违反人承担相应责任,同时应追究其所在部门负责人的领导责任。 7.所有办公电脑都应安装全省统一指定的趋势防病毒系统,并定期升级病毒码及杀毒引擎,按时查杀病毒。未经信息中心同意,不得以任何理由删除或换用其他杀毒软件(防火墙),发现病毒应及时向信息中心汇报,由系统管理员统一清除病毒。 8.入网用户不得从事下列危害公司网络安全的活动: (1)未经允许,对公司网络及其功能进行删除、修改或增加; (2)未经允许,对公司网络中存储、处理或传输的数据和应用程序进行删除、修改或增加; (3)使用的系统软件和应用软件、关键数据、重要技术文档未经主管领导批准,不得擅自拷贝提供给外单位或个人,如因非法拷贝而引起的问题,由拷贝人承担全部责任。 9.入网用户必须遵守国家的有关法律法规和公司的有关规定,如有违反,信
网络安全管理制度 为确保单位网络安全、高效运行和网络设备运行处于良好状态,正确使用和维护网络设备安全,特制定本制度。 1、未经相关部门批准,任何人不得改变网络(内部信息平台)拓扑结构、网络(内部信息平台)设备布置、服务器、路由器配置和网络(内部信息平台)参数。任何人不得进入未经许可的计算机系统更改系统信息和用户数据。 3、机关局域网上任何人不得利用计算机技术侵占用户合法利益,不得制作、复制和传播妨害单位稳定的有关信息。 4、网络(内部信息平台)帐号采用分组管理。并详细登记:用户姓名、部门名称、口令,存取权限,开通时间,网络(内部信息平台)资源分配情况等。 5、网络(内部信息平台)管理员必须严守职业道德和职业纪律,不得将任何用户的密码、帐号等保密信息等资料泄露出去。网络管理员协助制定网络(内部信息平台)建设方案,确定网络(内部信息平台)安全及资源共享策略。 6、严格遵守国家、自治区、自治州制定的相关法律、行政法规,严格执行《网络安全工作制度》,以人为本,依法管理,确保网络(内部信息平台)安全有序。
& 7、所有用户有责任对所发现或发生的违反有关法律,法规和规章制度的人或事予以制止或向我部信息安全协调科反映、举报,协助有关部门或管理人员对上述人或事进行调查、取证、处理,应该向调查人员如实提供所需证据。 8、在发生网络(内部信息平台)重大突发事件时,应立即报告,采取应急措施,尽快恢复网络(内部信息平台)正常运行。 9、充分利用现有的安全设备设施、软件,最大限度地防止计算机病毒入侵和黑客攻击。14、经常检查网络(内部信息平台)工作环境的防火、防盗工作。 10、单位应定期查毒,(周期为一周或者10天)管理员应及时升级病毒库,并提示各部门对杀毒软件进行在线升级。密码安全保密制度 11、涉密移动存储介质未经批准不得擅自带离本单位,确因工作需要携带外出的,须履行登记备案手续,并经领导批准。严禁将涉密移动存储介质借给外单位或他人使用。 12、涉密移动存储介质需维修的,由单位技术人员送至有保密资质的单位现场监修,严禁维修人员擅自读取和拷贝其存储的国家秘密信息。如涉密移动存储介质无法修复,必
... 网络安全体系建设方案(2018) 编制: 审核: 批准: 2018-xx-xx
目录 1 安全体系发布令 (2) 2 安全体系设计 (3) 2.1 总体策略 (4) 2.1.1 安全方针 (4) 2.1.2 安全目标 (4) 2.1.3 总体策略 (4) 2.1.4 实施原则 (4) 2.2 安全管理体系 (4) 2.2.1 组织机构 (5) 2.2.2 人员安全 (5) 2.2.3 制度流程 (5) 2.3 安全技术体系 (6) 2.3.1 物理安全 (6) 2.3.2 网络安全 (8) 2.3.3 主机安全 (11) 2.4.4 终端安全 (14) 2.4.5 应用安全 (15) 2.4.6 数据安全 (18) 2.4 安全运行体系 (19) 2.4.1 系统建设 (19) 2.4.2 系统运维 (23)
根据《网络安全法》《信息安全等级保护管理办法》的相关规范 及指导要求,参照GB/T22080-2008idtISO27001:2005 《信息技术- 安全技术- 信息安全管理体系要求》,为进一步加强公司运营系统及办 公系统的安全运行及防护,避免公司核心业务系统及日常办公系统遭 受到病毒、木马、黑客攻击等网络安全威胁,防止因网络安全事件(系统中断、数据丢失、敏感信息泄密)导致公司和客户的损失,制定本 网络安全体系。 本网络安全体系是公司的法规性文件,是指导公司各部门建立并实施信息安全管理、技术、运行体系的纲领和行动准则,用于贯彻公 司的网络安全管理方针、目标,实现网络安全体系有效运行、持续改进,体现公司对社会的承诺,现正式批准发布,自2018 年XX 月XX 日起实施。 全体员工必须严格按照本网络安全体系的要求,自觉遵循信息安全管理方针,贯彻实施本安全体系的各项要求,努力实现公司信息安全管理方针和目标。 总经理: 批准日期:2018-xx-xx
网络安全体系方法论 这一年来,网络安全行业兴奋异常。各种会议、攻防大赛、黑客秀,马不停蹄。随着物联网大潮的到来,在这个到处都是安全漏洞的世界,似乎黑客才是安全行业的主宰。然而,我们看到的永远都是自己的世界,正如医生看到的都是病人,警察看到的都是罪犯,唯有跳出自己的角色去看待世界,世界才还原给你它真实的面貌。网络安全从来都不只是漏洞,安全必须要融合企业的业务运营和管理,安全必须要进行体系化的建设。网络安全,任重而道远。 安全牛整合多位资深安全顾问的一线咨询经验,首次公开发布《网络安全体系 方法论》,旨在给企业或机构提供一个最佳实践的参考,以帮助企业真正提升对网络安全工作的认识,并在安全建设和运营中不断成长。 本架构方法论参考了NIST Cybersecurity Framework, SABSAIS027000, Gartner 等报告资料,并与等级保护的相关要求相结合。 、企业网络安全体系设计总体思路 网络安全体系架构是面向企业未来网络安全建设与发展而设计。 ?■ BB! 3■ 冋弗liUf Off f V ■ k Vffi. /j 社耳# -T 匸卫主二J讣二二p I
点击可看大图 企业网络安全体系设计总体思路:针对企业防护对象框架,通过企业组织体系、管理体系、技术体系的建设,逐步建立企业风险识别能力、安全防御能力、安全检测能力、安全响应能力与安全恢复能力,最终实现风险可见化,防御主动化,运行自动化的安全目标,保障企业业务的安全。 二、网络安全体系的驱动力 任何企业的网络安全体系建设,必须与企业的总体战略保持一致。在制定具体网络安全体系规划时,需要考虑如下内容: 1.业务发展规划 网络安全体系设计需要与企业业务的发展保持一致,要充分了解企业未来3-5 年的业务规划,并根据业务特点,分析未来业务的安全需求。 2.信息技术规划 网络安全体系是企业的信息技术体系的一部分,需要根据企业总体的信息技术规划来设计安全体系 3.网络安全风险 网络安全风险评估是安全体系设计和建设的基础,企业需要充分了解自身业务和信息系统的安全风险
公司网络安全管理体系1 公司网络安全管理策略 一、网络概况 随着公司信息化水平的逐步提高,网络安全与否,直接关系到油田生产和科研的正常进行。网络安全是一个系统的、全局的管理问题,网络上的任何一个漏洞,都会导致全网的安全问题。如果不进行有效的安全防护,网络信息系统将会受到具有破坏性的攻击和危害。 公司网络按访问区域可以划分为四个主要的区域:公司内部局域网、服务器群、外部Internet区域。 二、网络系统安全风险分析 随着公司客户和内部局域网上网用户迅速增加,风险变得更加严重和复杂。有一个安全、稳定的网络环境对于公司的运营来说至关重要。 针对公司网络中存在的安全隐患,下述安全风险我们必须要认真考虑,并且要针对面临的风险,采取相应的安全措施。下述风险由多种因素引起,与公司网络结构和系统的应用、局域网内网络服务器的可靠性等因素密切相关。下面列出部分这类风险因素:网络安全可以从以下三个方面来理解:1 网络物理是否安全; 2 网络平台是否安全; 3 系统是否安全;
4 应用是否安全; 5 管理是否安全。针对每一类安全风险,结合公司网络的实际情况,我们将具体的分析网络的安全风险。 2.1物理安全风险分析 网络的物理安全的风险是多种多样的。 网络的物理安全主要是指地震、水灾、火灾等环境事故;电源故障;人为操作失误或错误;设备被盗、被毁;电磁干扰;线路截获。以及高可用性的硬件、双机多冗余的设计、机房环境及报警系统、安全意识等。它是整个网络系统安全的前提,所以要制定制定健全的安全管理制度,做好备份,并且加强网络设备和机房的管理,这些风险是可以避免的。 2.2网络平台的安全风险分析 网络结构的安全涉及到网络拓扑结构、网络路由状况及网络的环境等。 公开服务器面临的威胁 公司网络内公开服务器区作为公司的缴费运营平台,一旦不能运行后者受到攻击,对企业的运营影响巨大。同时公开服务器本身要为外界服务,必须开放相应的服务,因 此,规模比较大网络的管理人员对Internet安全事故做出有效反应变得十分重要。我们有必要将公开服务器、内部网络与外部网络进行隔离,避免网络结构信息外泄;同时还要对外网的服
企业网络安全防护体系的建设 摘要网络的信息共享和交流给人们的日常生活、工作和学习带来了极大的便利,但与此同时,蠕虫、木马、病毒等在网络中层出不穷,严重威胁着网络信息安全。如何构建企业网络安全防护体系是当前企业进行信息化建设必须要考虑的问题,应结合企业网络的特点,优化企业网络设置,引进先进的网络安全技术,构建灵活安全的企业网络防护体系,推动现代化企业的可持续发展。 关键词企业网络建设;安全防护体系;网络环境 1 企业网络安全性需求 现在企业很多商业业务、商业活动和财务管理系统协同工作等,都需要借助计算机网络进行。如果没有网络安全性的保障,就会发生系统延迟、拒绝服务、程序错误、数据篡改等现象,甚至很多情况下会发生木马病毒的侵蚀。过去企业数据是以文本文件的形式存在,虽然处理和操作不具有便捷性,但是能够起到保密性和可靠性的作用。计算机网络时代财务数据流能够实现财务数据的快速传递,但是在数据传输的过程中安全性难以得到有效的保障。所以在企业数据信息管理的过程中需要有保密性和可靠性的保障,维护企业的商业机密。其次,网络交易渠道容易发生数据信息丢失或损坏,交易双方的信息结果发生差异的现象时有发生,严重影响了企业数据的精准性。所以企业急需完整性的交易信息凭证,避免交易信息的篡改或者删除,保证交易双方数据的一致性[1]。 2 企业网络面临的安全风险 2.1 物理安全风险 近年来,很多现代化企业加大信息建设,一些下属公司的网络接入企业总网络,企业网路物理层边界限制模糊,而电子商务的业务发展需求要求企业网络具有共享性,能够在一定权限下实现网络交易,这也使得企业内部网络边界成为一个逻辑边界,防火墙在网络边界上的设置受到很多限制,影响了防火墙的安全防护作用。 2.2 入侵审计和防御体系不完善 随着互联网的快速发展,网络攻击、计算机病毒不断变化,其破坏力强、速度快、形式多样、难以防范,严重威胁企业网络安全。当前,很多企业缺乏完善的入侵审计和防御体系,企业网络的主动防御和智能分析能力明显不足,检查监控效率低,缺乏一致性的安全防护规范,安全策略落实不到位。 2.3 管理安全的风险 企业网络与信息的安全需要有效的安全管理措施作为制度体系保障,但是企
******公司网络安全管理制度1、机房管理规定 1.1、机房环境 °C湿度:小于80% 1.2、机房安全 1.3、设备安全 —94标准附录B,接地电阻符合该标准附录A的表1所列接地电阻的要求,要防止设备地电位升高,击穿电器绝缘,引发通信事故。 1.4、接地要求 —94标准附录A的表1所列接地电阻的要求后才可与附近建筑物或变电站的接地系统连接,连接点不得少于两点。 1.5、人身安全 2、帐户管理规定 帐户是用户访问网络资源的入口,它控制哪些用户能够登录到网络并获取对那些网络资源有何种级别的访问权限。帐户作为网络访问的第一层访问控制,其安全管理策略在全网占有至关重要的地位。 在日常运维中发生的许多安全问题很大程度上是由于内部的安全防范及安全管理的强度不够。帐户管理混乱、弱口令、授权不严格、口令不及时更新、旧帐号及默认帐号不及时清除等都是引起安全问题的重要原因。 对于账户的管理可从三个方面进行:用户名的管理、用户口令的管理、用户授权的管理。 2.1、用户名管理 用户注册时,服务器首先验证所输入的用户名是否合法,如果验证合法,才继续验
证用户输入的口令,否则,用户将被拒于网络之外。用户名的管理应注意以下几个方面: 隐藏上一次注册用户名 更改或删除默认管理员用户名 更改或删除系统默认帐号 及时删除作费帐号 清晰合理地规划和命名用户帐号及组帐号 根据组织结构设计帐户结构 不采用易于猜测的用户名 用户帐号只有系统管理员才能建立 2.2、口令管理 用户的口令是对系统安全的最大安全威胁,对网络用户的口令进行验证是防止非法访问的第一道防线。用户不像系统管理员对系统安全要求那样严格,他们对系统的要求是简单易用。而简单和安全是互相矛盾的两个因素,简单就不安全,安全就不简单。简单的密码是暴露自己隐私最危险的途径,是对自己邮件服务器上的他人利益的不负责任,是对系统安全最严重的威胁,为保证口令的安全性,首先应当明确目前的机器上有没有绝对安全的口令,口令的安全一味靠密码的长度是不可以的。安全的口令真的可以让机器算几千年,不安全的口令只需要一次就能猜出。 不安全的口令有如下几种情况: (1)使用用户名(账号)作为口令。尽管这种方法在便于记忆上有着相当的优势,可是在安全上几乎是不堪一击。几乎所有以破解口令为手段的黑客软件,都首先会将用户名作为口令的突破口,而破解这种口令几乎不需要时间。在一个用户数超过一千的电脑网络中,一般可以找到10至20个这样的用户。
网络与信息安全工作计划 局属各股室、中心、大队: 为加强本单位网络与信息安全保障工作,经局领导班子研究,制定__县工业商务和信息化局20__年网络与信息安全工作计划。 结合质量管理体系建设,建立健全信息化管理和考核制度,进一步优化流程,明确责任,与各部门重点涉密岗位签订《网络与信息安全及保密责任书》。加大考核力度,将计算机应用及运维情况列入年度考核中,通过考核寻找信息安全工作存在的问题和不足,认真分析原因,制定切实可行的预防和纠正措施,严格落实各项措施,持续改进信息安全工作。 进一步完善信息安全管理制度,重点加强用户管理、变更管理、网络安全检查等运行控制制度和数据安全管理、病责防护管理等日常网络应用制度;加强入侵检测系统应用,通过桌管系统、瑞星控制台密切关注各移动存储介质(移动硬盘、U盘、CD光驱)等设备运行情况;在业务分析需求的基础上,合理设置安全策略,充分利用局域网优势,进一步发挥技术防范措施的作用,从源头上杜绝木马、病毒的感染和传播,提高信息网络安全管理实效; 进一步完善应急预案,通过应急预案演练检验预案的科学性、有效性,提高应对突发事件的应变能力。
进一步作好政府信息公开网站后台管理系统、OA等业务系统应用管理。加强与各部门勾通,收集使用过程中存在的问题,定期检查系统内各模块使用情况及时反馈给相关部门,充分发挥系统功能;完善系统基础资料,加大操作人员指导力度,确保系统有效运行,切实提高信息安全水平。 利用局域网、OA系统,通过宣传栏等形式,加大信息安全宣传力度,不断提高员工对信息安全重要性的认识,努力形成“广泛宣传动员、人人积极参与”的良好气氛;着力加强信息化工作人员的责任意识,切实增强做好信息化工作的责任感和使命感,不断提高服务的有效性和服务效率。