信息安全等级保护背景下的大型企业电子邮件系统建设
- 格式:pdf
- 大小:682.61 KB
- 文档页数:2


数字档案馆建设与运行必须加强安全管理,遵守相关保密规定安全设备配置齐全:严格控制信息资源利用范围,制订严密的信息发布审核制度,严格控制数据访问权限:应制订完善的数据接收、移交、销毁等管理规范,制定备份规管理涉密档案的电子档案管理系统,应按照涉密信息系统分级保护管理的要求进行安全设计和建设,并通过有关部门测评后方可投入使用。
管理非涉密档案的电子档案管理系统应根据系统重要程度及其实际安全雷求,参照《计算机信息系统安全保护等级划分准则》(GB/T17859)确定电子档案管理系统应达到的安全等级,并依照《信息安全技术信息系统安全等级保护基本要求》(GB/T2239).《档案信息系统安全保护基本要求)(档案信息系统安全等级保护定级工作指南》等,开展安全建设和登记管理。
【数字档案馆安全保密体系建设应包括物理安全与保密、系统安全与保密、网络安全与保密、应用安全与保密、安全保密管理等内容。
系统安全问题来自网络内使用操作系统的安全,如WindowsNT、Windows2000等。
主要表现在三个方面:一是操作系统自身缺陷带来的不安全因素,主要包括身份认证、访问控制、系统漏洞等:二是对操作系统的安全配置问题:三是病毒对操作系统的威胁」3.网络安全与保密主要体现在网络方面的安全性,包括网络身份认证、网络资源的访问控制、数据传输的保密与完整性、远程接入的安全、域名系统的安全、路由系统的安全、入侵检测的手段、网络设施防病毒等。
4,应用安全与保密主要由提供服务所采用的应用软件和数据的安全性产生,包括Web服务、电子邮件系统、DNS等。
此外,还要考虑病毒对系统的威胁。
5.安全与保密管理安全管理包括安全技术和设备管理、安全管理制度、部门与人员的组织规则等。
管理制度化极大地影响着整个网络的安全」严格的安全管理制度、明确的部门安全职责、合理的人员角色配置都可以在很大程度上降低其他层次的安全漏洞企业数字档案馆建设是在企业已建成的信息化环境中进行,其物理安全与保密,网络安全与保密、系统安全与保密应由企业信息技术部门统一规划实施,数字档案馆安全保密体系建设重点在应用安全与保密和安全与保密管理上。
关于信息安全等级保护工作的实施意见学校接到:“重庆市巴南区教育委员会关于转发巴南区信息网络安全大检查专项行动实施方案的通知”后,按文件精神立即落实相关部门进行自查,现将自查情况作如下报告:一、充实领导机构,加强责任落实收到文件通告后,学校立即举行行政办公会议,进一步全面落实领导小组及工作组,全面落实分工与责任人(领导小组见到附件一)。
鱼洞二小网络安全小检查专项行动由学校统一会同,统一指挥,学校信息中心具体内容负责管理全面落实实行。
信息中心成立工作小组(工作小组见到附件一),小组成员及各自分工全面落实管理、保护、检查信及培训,层层落实,并坚决执行“谁主管谁负责管理、谁运转谁负责管理、谁采用谁负责管理”的管理原则,确保我校校园网的绝对安全,给全校师生提供更多一个安全身心健康的网络采用环境。
二、开展安全检查,及时整改隐患1、我校“网络中心、功能室、微机室、教室、办公室”等都创建了采用及安全管理规章制度,且制度都上墙张贴。
2、网络中心的安全防护是重中之重,我们分为:物理安全、网络入出口安全、数据安全等。
物理安全主要是设施设备的防火防盗、物理损坏等;网络入出口安全是指光纤接入防火墙—>路由器—>核心交换机及内网访问出去的安全,把握好源头;数据安全是指对校园网的数据备份、对不安全的信息进行处理上报、对信息的过渡等。
信息中心有独立的管理制度,如网络更新登记、服务器资源、硬盘分布统计资料、安全日志等,便于发现问题,既时查找。
4、加强网络安全管理工作,对所有互连我校核心交换机的计算机设备展开了全面安全检查,对操作系统存有漏洞、防毒软件布局不妥当的计算机展开全面升级,保证网络安全。
5、规范信息的采集、审核和发布流程,严格信息发布审核,确保所发布信息内容的准确性和真实性。
每周定时对我校站的留言簿、二小博客上的贴子,留言进行审核,对不健康的信息进行屏蔽,对于反映情况的问题,备份好数据,及时向学校汇报。
6、本期第三周我校在教职工大会非政府老师自学有关信息网络法律法规,提升老师们合理、恰当采用网络资源的意识,培养较好的玩游戏习惯,不搞任何与有关信息网络法律法规二者违反的事。
基本要求规定的范围:对象:不同安全保护等级信息系统内容:基本技术要求管理要求作用:指导分等级信息系统安全建设监督管理引用:保护等级:依重要程度、危害程度、由低到高分5级见:GB/T 22240-2008不同等级的安全保护能力:共5级基本技术要求和管理要求:信统安全等保应让系统有它们相应等级的基本安全保护能力。
基本安全要求,依实现方式,分基本技术要求、基本管理要求。
技术要求:立基于技术安全机制,通过在信统中部署软硬件,正确配置其安全功能。
管理要求:聚焦于信统中各种角色和角色参与的活动。
控制角色活动、从政策、制度、规范、流程以及记录等方面做出规定来实现。
基本技术要求:从物理、网络、主机、应用和数据安全,4个层面提出要求。
基本管理要求:从安全管理制度、机构、人员、系统建设、运维几方面提要求。
基本安全要求从各个层面方面,提出系统的每个组件应该满足的安全要求。
整体的安全保护能力依赖于其内部各不同组件的安全实现来满足。
基本技术要求的三种类型:技术类安全要求进一步细分为:保护数据在存储、传输、处理过程中不被泄漏、破坏、和免受未授权的修改的要求(S 要求)保护系统正常运行、免受对系统未授权修改、破坏而导致系统不可用的服务保护类要求(S 要求)通用安全保护类要求(G要求)第一级基本要求:技术要求:物理安全:访问控制:防盗窃、破坏:防雷击:防火:防水和防潮:温湿度控制:电力控制:网络安全:结构安全:a.保证关键网络设备的业务处理能力满足基本业务需要b.保证接入网络和核心网络的带宽满足基本业务需要c.绘制与当前运行情况相符的网络拓扑结构图访问控制:(G1)a.在网络边界部署访问控制设备,启用访问控制功能b.根据访问控制列表对源地址、目的地址、源端口、目的端口和协议等进行检查,允许/拒绝数据包出入c.通过访问控制列表对系统资源实现允许或拒绝用户访问,控制粒度至少为用户组。
网络设备防护:a.应对登录网络设备的用户进行身份鉴别b.有登录失败处理功能,采取结束会话、限制非法登录次数、和当网络登录连接超时自动退出等措施c.对网络设备进行远程管理时,采措施防止信息传输中被窃听主机安全:身份鉴别:(S1)对登录操作系统和数据库系统的用户进行身份标识和鉴别。
资料范本本资料为word版本,可以直接编辑和打印,感谢您的下载信息系统安全等级保护基本要求地点:__________________时间:__________________说明:本资料适用于约定双方经过谈判,协商而共同承认,共同遵守的责任与义务,仅供参考,文档可直接下载或修改,不需要的部分可直接删除,使用时请详细阅读内容蓝色部分是操作系统安全等级划分,红色部分是四级操作系统关于网络部分的要求:)《信息系统安全等级保护基本要求》中华人民共和国国家标准GB/T 22239-2008引言依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号),制定本标准。
本标准是信息安全等级保护相关系列标准之一。
与本标准相关的系列标准包括:——GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护定级指南;——GB/T CCCC-CCCC 信息安全技术信息系统安全等级保护实施指南。
本标准与GB17859-1999、GB/T 20269-2006 、GB/T 20270-2006 、GB/T 20271-2006 等标准共同构成了信息系统安全等级保护的相关配套标准。
其中GB17859-1999是基础性标准,本标准、GB/T20269-2006、GB/T20270-2006、GB/T20271-2006等是在GB17859-1999基础上的进一步细化和扩展。
本标准在GB17859-1999、GB/T20269-2006、GB/T20270-2006、GB/T20271-2006等技术类标准的基础上,根据现有技术的发展水平,提出和规定了不同安全保护等级信息系统的最低保护要求,即基本安全要求,基本安全要求包括基本技术要求和基本管理要求,本标准适用于指导不同安全保护等级信息系统的安全建设和监督管理。