公务员期刊网 精选范文 网络安全管理工作制度范文

网络安全管理工作制度精选(九篇)

前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的网络安全管理工作制度主题范文,仅供参考,欢迎阅读并收藏。

网络安全管理工作制度

第1篇:网络安全管理工作制度范文

【关键词】金融科技 网络 风险

计算机和网络技术的发展,为计算机用户提供了丰富的网络和设备互联的手段。这些多种多样的互联互通方式,正在成为基层行内部网络规范化管理工作中,所要面对的最大挑战之一。而非法外联是影响计算机网络安全的重要方面,有效防范非法外联对确保基层行各信息系统安全平稳运行意义重大。

一、基层行内部网络建设现状

人民银行内联网经过多年的升级改造,已初具规模。为保证人民银行内联网和重要业务系统的安全稳定运行,在内联网和国际互联网之间实施物理隔离,是当前内联网采取的主要安全保密措施。物理隔离能够在内联网和国际互联网之间提供一条安全边界,建立一个可信可控的内部安全网络。

从人民银行内部网络二十多年运行情况来看,单纯的物理隔离手段还不能够完全将内部网络与外部网络隔离开来,内部网络计算机在使用、管理中还存在一定的安全隐患。

二、非法外联概念

非法外联是指内部网络计算机在未授权的前提下,通过网络设备建立一条内部网络与外部网络的通路。非法外联行为有很多种,如拨号上网、双网卡上网、GPRS、红外等。正常情况下,基层行的局域网会有一个统一的出口,即由网关来跟上级行联结,其局域网是封闭的,不允许联结互联网,局域网用户是安全的。但从另一个角度来看,安全是以受限制为代价的,局域网用户为了达到某种目的,采用其他方式非法联结互联网,该联结的风险是使主机同时暴露于内网和外网。

三、非法外联的危害

由于内部工作人员故意或无意的疏忽,在内部网络与外部网络间开出了新的联结通道,外部的黑客攻击或者病毒就能够绕过内部网络、外部网络之间的防护屏障,顺利侵入非法外联的计算机,盗窃内部网络的敏感信息和机密数据,甚至利用该机作为跳板,攻击、传染内部网络的重要服务器,导致整个内部网络工作瘫痪。

四、非法外联的方式

一是内部网络计算机内外网线交叉错接;

二是内部网络计算机使用拨号、无线网卡、双网卡等方式接入外网;

三是在内部网络使用过的计算机不经相关部门授权批准和技术处理又接入外部网络使用。

五、防范非法外联的对策

为了保障内部网络的安全,除了物理隔离外,还必须采取以下措施:

(一)切实加强对计算机网络安全管理工作的组织领导

人民银行计算机网络安全,关系到国家金融信息、社会资金、交易结算安全,关系到经济金融稳定运行。基层行要牢固树立“信息安全无小事”的意识,始终站在保安全、保稳定、促发展的高度,切实提高对计算机网络安全管理重要性的认识,不断增强工作责任感和紧迫感,把计算机网络安全管理列入基层行的重要议事日程,加强组织领导,健全工作机制,按照更加严格的标准,建立更加严格的制度,采取更加严格的措施,将计算机网络安全抓好、抓实。

(二)严格落实计算机网络安全管理工作责任

要严格落实总行、分行制定的各项计算机网络安全管理制度,按照“谁主管谁负责,谁使用谁负责”的原则,层层细化、逐级靠实领导责任、管理责任、操作责任。要结合本单位工作实际,制订切实可行的信息安全管理责任制,做到对每一个部门、每一个岗位、每一个环节、每一个人员计算机安全工作的全面、有效覆盖。

(三)深入开展计算机安全管理教育工作

要将计算机网络安全管理教育列入全年培训教育计划,严格落实培训责任,细化培训内容、对象和要求,以计算机网络安全管理制度、机要保密工作制度为核心,以计算机和网络应用知识、操作技能为基础,通过举办讲座、现场演练、警示教育等多种形式,切实加大对全体干部职工的培训教育力度,普及安全知识,增强干部职工的安全防范意识和风险应对能力。特别是对新入行人员,要及时进行系统培训,使其全面掌握相关应知、应会知识和技能。

(四)进一步加大计算机网络安全检查力度

要针对计算机安全管理的重要部门、重要系统、重要岗位,围绕落实身份认证、访问控制、数据加密、安全审计、责任认定以及防篡改、防病毒、防攻击、防瘫痪、防泄密等重要环节,定期不定期对全行计算机网络安全风险状况进行深入检查和评估,及时发现薄弱环节和安全隐患,及时采取有效措施堵塞漏洞,全面化解风险。要加强计算机网络应急技术队伍建设,认真做好重大信息安全事故处置、重要数据和业务系统备份等各项工作,确保计算机网络系统安全稳定运行。

(五)确保内网、外网、专网、互联网严格物理隔离

严格实施内外网物理隔离,是防止病毒入侵破坏系统、非法软件植入窃取信息的重要措施。基层行应严格按照总行有关网络安全管理规定,实行内网、外网、专网、互联网网络及相关设备的物理隔离,严禁交叉使用、串用混用和并网运行,坚决杜绝非法外联现象发生。

第2篇:网络安全管理工作制度范文

企业经营信息对于企业来说是一种资源,对于企业自身来说具有重要意义,企业需要妥善管理自身企业的信息。近年来,企业的各项经营活动都逐渐开始通过计算机,网络开展,因此,企业的信息安全管理对于企业越来越重要。许多企业开始通过各种技术手段以及制度改革,把更多的注意力放在企业内部的信息安全管理工作,同时将企业信息安全管理与风险控制结合起来,这是一个正确的选择,能够帮助企业实现稳定经营。在介绍企业信息安全管理以及风险控制前必须厘清企业信息安全管理的概念与企业风险控制定义,因此,本节将着重介绍企业信息安全管理的概念以及企业风险控制的定义。

企业的信息安全管理包含十分丰富的内容,简单来说是指企业通过各种手段来保护企业硬件和软件,保护网络存储中的各种数据不受偶然因素的破坏或者恶意的原因被攻击。对于信息安全的认定通过包括4个指标,即保证信息数据的完整,保证信息数据不被泄露,保证信息数据能够正常使用,保证信息数据能够控制管理。要想做好企业的信息安全管理,首先需要了解的是关于信息的传输方式。随着信息技术的不断普及,信息传递的方式越来越多,常见的信息传递方式主要有互联网传播,局域网传播,硬件传播等等。要想实现企业的信息安全管理,其中很重要的一项工作在于保护信源、信号以及信息。信息安全管理是一项需要综合学科知识基础的工作,从事企业信息安全管理工作的人员通过需要具有网络安全技术、计算机技术、密码技术、通信技术。从企业的信息安全管理来讲,最为关键的一项工作时保护企业内部经营信息数据的完整。经过近十年来的企业信息安全管理工作经验总结,企业信息安全不仅仅需要信息技术的支持,更需要通过建立完善的企业风险控制体系来帮助企业实现更好地保护企业信息安全的目标。

所以,怎样把企业信息安全管理与风险控制融合起来就是摆在企业经营管理者面前的一道难题。企业的信息安全风险控制必须通过企业建立完善的企业信息安全风险体系实现。企业的信息安全风险控制是指企业在企业信息安全遭遇威胁之前,提前对企业的信息进行风险预估,并采取一系列的有针对性的活动降低企业面临的信息安全风险,从而尽可能减少因为企业本身信息安全管理中存在漏洞给企业带来不必要的损失。常见的企业信息安全风险体系建立主要包含以下几个方面的内容。第一,建立企业信息安全风险管理制度,明确企业信息安全管理的责任分配机制,明确企业各个部门对各自信息安全所应承担的责任,并建立相应的问责机制。第二,设置规范的企业信息安全风险管理指标,对企业存在的可能威胁企业信息安全管理的漏洞予以风险定级,方便企业管理者对不同的信息安全管理漏洞采取有区别的对策。第三,企业要加强对信息安全管理人员的培训,提高企业信息安全管理工作人员的风险意识,让企业内部从事信息安全管理工作人员认识到自身工作的重要性,让企业内部从事信息安全管理工作人员了解到规范自身行为,正确履行职责的重要性。第四,将企业信息安全管理与风险控制有效融合,重视企业信息安全管理工作,通过风险控制对企业内部信息安全的管理方式进行正确评估,找出现行的企业内部信息安全管理手段中存在容易忽视的地方。

二、企业信息安全管理与风险控制存在的不足

1.企业信息安全管理工作人员素质不高

对于企业来说,企业信息安全管理工作是一项极为重要而隐秘的工作,因此,必须增强对企业信息安全管理工作人员的素质要求。但是根据调查统计,目前很多企业对信息安全工作的管理仅仅停留在对企业信息安全管理工作人员的技术要求上,对企业信息安全管理工作人员的道德素养,职业素养,风险意识并没有严格要求。此外,绝大多数企业并没有意识开展对企业信息安全管理工作的道德素质的教育培训,并没有通过建立相关管理制度以及问责机制对企业信息安全管理工作人员实行监督,这无疑给别有用心或者立场不坚定的企业信息安全管理工作人员留下了危害企业信息安全的可乘之机。

2.企业信息安全管理技术不过关

企业信息安全管理工作涉及多许多技术,包括信息技术,计算机技术,密码技术,网络应用技术等等,应当说成熟的计算机应用技术是做好企业信息安全管理的基础,但是,现实是许多企业的信息安全管理技术并不过关,一方面企业的信息安全管理硬件并不过关,在物理层面对企业信息缺乏保护,另一方面,企业信息安全管理工作的专业技术没有及时更新,一些企业信息安全管理工作人员缺乏企业信息安全管理的实践经验,企业信息安全管理的知识也并没有及时更新,从而导致企业的信息安全管理理论严重滞后,这种技术的落后很容易让企业成为不法分子的攻击对象。近年来网络病毒的传播越来越猖狂,很多服务器、系统提示安全补丁的下载更新以及客户端的时常更新成为一个恼人的问题。作为一个行业中的大中型企业,企业内部设备数量比较多,尤其是客户端数量占了较大比重,仅仅靠少数几个管理员进行管理是难以承担如此大量的工作量。另外,企业信息安全管理系统不成熟也是一个重大的隐患。

3.企业信息安全管理制度不健全

企业信息安全管理制度不仅仅需要理论制度的完善,更加需要一系列配套监督机制保障企业信息安全管理的有效执行。通过调查分析,许多企业虽然建立了企业信息安全管理制度,但是通常情况下,这些制度只能流于形式,企业信息安全管理工作缺少有效的制约和监督,企业信息安全管理工作人员缺乏执行力。企业信息安全管理制度不健全,企业信息安全管理工作缺乏执行力常常体现在以下几个方面。第一,企业员工对于信息安全管理的认识严重不足,对企业信息安全管理工作不重视。企业内部计算机系统安全的计算机防病毒软件并没有及时更新,使用,甚至企业内部计算机的防病毒软件还被企业员工卸载了。部分企业员工认为自己的工作与企业信息安全管理不相关,认为做好企业信息安全管理工作仅仅是企业信息安全部门的事。第二,企业内部信息安全管理制度并没有形成联动机制,企业信息安全管理工作仅仅由企业信息安全部门“一人包干”,企业信息安全反映的问题并没有得到积极的反馈,一些企业领导对企业信息安全现状所了解的少之又少。

三、企业信息安全管理常见的技术手段

1.OSI安全体系结构

OSI概念化的安全体系结构是一个多层次的结构,它的设计初衷是面向客户的,提供给客户各种安全应用,安全应用必须依靠安全服务来实现,而安全服务又是由各种安全机制来保障的。所以,安全服务标志着一个安全系统的抗风险的能力,安全服务数量越多,系统就越安全。

2.P2DR模型

P2DR模型包含四个部分:响应、安全策略、检测、防护。安全策略是信息安全的重点,为安全管理提供管理途径和保障手段。因此,要想实施动态网络安全循环过程,必须制定一个企业的安全模式。在安全策略的指导下实施所有的检测、防护、响应,防护通常是通过采用一些传统的静态安全技术或者方法来突破的,比如有防火墙、访问控制、加密、认证等方法,检测是动态响应的判断依据,同时也是有力落实安全策略的实施工具,通过监视来自网络的入侵行为,可以检测出骚扰行为或错误程序导致的网络不安全因素;经过不断地监测网络和系统来发现新的隐患和弱点。在安全系统中,应急响应占有重要的地位,它是解决危险潜在性的最有效的办法。

3.HTP模型

HTP最为强调企业信息安全管理工作人员在整个系统中的价值。企业信息安全工作人员企业信息安全最为关键的参与者,企业信息安全工作人员直接主导企业信息安全管理工作,企业信息安全工作人员不仅仅是企业信息安全的保障者,也是企业信息安全管理的威胁者。因此,HTP模型最为强调对企业信息安全管理工作人员的管理与监督。另外,HTP模式同样是建立在企业信心安全体系,信息安全技术防范的基础上,HTP模式采取了丰富的安全技术手段确保企业的信息安全。最后,HTP强调动态管理,动态监督,对于企业信息安全管理工作始终保持高强度的监督与管理,在实际工作中,通过HTP模型的应用,找出HTP模型中的漏洞并不断完善。

四、完善企业信息安全管理与降低风险的建议

1.建设企业信息安全管理系统

(1)充分调查和分析企业的安全系统,建立一个全面合理的系统模型,安全系统被划分成各个子系统,明确实施步骤和功能摸块,将企业常规管理工作和安全管理联动协议相融合,实现信息安全监控的有效性和高效性。

(2)成立一个中央数据库,整合分布式数据库里的数据,把企业的所有数据上传到中央数据库,实现企业数据信息的集中管理与有效运用。

(3)设计优良的人机界面,通过对企业数据信息进行有效的运用,为企业管理阶层人员、各级领导及时提供各种信息,为企业领导的正确决策提供数据支持,根本上提高信息数据的管理水平。

(4)简化企业内部的信息传输通道,对应用程序和数据库进行程序化设计,加强对提高企业内部信息处理的规范性和准确性。

2.设计企业信息安全管理风险体系

(1)确定信息安全风险评估的目标

在企业信息安全管理风险体系的设计过程中,首要工作是设计企业信息安全风险评估的目标,只有明确了企业信息安全管理的目标,明确了企业信息安全管理的要求和工作能容,才能建立相关围绕信息安全风险控制为目标的信息安全管理工作制度,才能顺利通过对风险控制的结果的定量考核,检测企业信息安全管理的风险,定性定量地企业信息安全管理工作进行分析,找准企业信息安全管理的工作办法。

(2)确定信息安全风险评估的范围

不同企业对于风险的承受能力是有区别的,因此,对于不同的企业的特殊性应该采取不同的风险控制办法,其中,不同企业对于能够承受的信息安全风范围有所不同,企业的信息安全风险承受范围需要根据企业的实际能力来制定。不仅如此,企业的信息安全风险评估范围也应当根据企业的实际经营情况变化采取有针对性的办法。

第3篇:网络安全管理工作制度范文

关键词:网络信息安全,高职学院,校园网

 

二十一世纪,信息化建设在不断广泛地铺展开来,其中教育信息化的推进可谓是速度飞快。各高校都相继建成了自己的校园网络,而高职学院也不例外,也有了自己学院的校园网络以及基于校园网络的教务网络管理平台、信息化办公平台和学生网上选修课目系统等网络信息系统。因此,当下校园网络安全问题日趋放大,各种各样的安全隐患使“牵一发动全身”的校园网络越显脆弱。本文就高职学院校园网络安全存在的问题及解决方法谈几点看法。

1校园网络信息安全的威胁

所有校园网络都需要提供开放的网络资源、上网服务,同时又要保证整个校园网络的安全。目前校园网络的威胁分为非人为威胁和人为威胁,其中非人为威胁主要是指物理设备如:学校的路由器、交换机、工作站、各种网络服务器等硬件设备和通信链路容易遭受自然灾害的破坏,从而导致校园网络无法正常运作。而人为威胁是校园网络威胁的主要来源。校园网络的人为威胁主要来自两个方面,一是来自外部公网的威胁,另一方面是来自内部的威胁。下面本文从校园网络内部威胁和外部威胁两个方面谈一下校园网络信息安全的威胁。

1.1内部威胁

1.1.1内部用户威胁

校园网的用户群体一般也比较大,少则数千人、多则数万人,数据量大、速度要求高。随着校园内计算机应用的大范围普及,接入校园网节点日渐增多,学生通过网络在线看电影、听音乐,很容易造成网络堵塞和病毒传播。而这些问题大部分校园网络都没有采取一定的防护措施,随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果。。同时,还要注意防范校园网内部的黑客攻击。

1.1.2盗版软件威胁

由于缺乏版权意识,盗版软件、影视资源在校园网中普遍使用,这些软件的传播一方面占用了大量的网络带宽,另一方面也给网络安全带来了一定的隐患。比如,Microsoft公司对盗版的XP操作系统的更新作了限制,盗版安装的计算机系统今后会留下大量的安全漏洞。。另一方面,从网络上随意下载的软件中可能隐藏木马、后门等恶意代码,许多系统因此被攻击者侵入和利用。

1.1.3管理威胁

管理方面的困难性也是互联网安全问题的重要原因。校园网的建设和管理通常都轻视了网络安全,特别是管理和维护人员方面的投入明显不足。在中国大多数的校园网中,通常只有网络中心的少数工作人员,他们只能维护网络的正常运行,无暇顾及、也没有条件管理和维护数万台计算机的安全,院、系一级的专职的计算机系统管理员对计算机系统的安全是非常重要的。

1.2外部威胁

1.2.1病毒

计算机网络病毒是在计算机网络上传播扩散,专门攻击网络薄弱环节、破坏网络资源的计算机病毒。计算机病毒攻击网络的途径主要是通过拷贝、互联网上的文件传输、硬件设备中的固化病毒程序等等。由于校园网拷贝频繁所以病毒还可以利用网络的薄弱环节攻击计算机网络。在现有的各计算机系统中都存在着一定的缺陷,尤其是网络系统软件方面存在着漏洞。因此网络病毒利用软件的破绽和研制时因疏忽而留下的“后门”,大肆发起攻击。网络病毒可以突破网络的安全的防御,侵入到网络的主机上,导致计算机工作效率下降,资源遭到严重破坏,甚至造成网络系统的瘫痪。

1.2.2非法软件

一些非法软件采用多种技术手段,强行或者秘密安装,并抵制卸载;强行修改用户软件设置,如浏览器主页,软件自动启动选项,安全选项;强行弹出广告,或者其他干扰用户占用系统资源行为;有侵害用户信息和财产安全的潜在因素或者隐患;未经用户许可,或者利用用户疏忽,或者利用用户缺乏相关知识,秘密收集用户个人信息、秘密和隐私。非法软件具备部分病毒和黑客特征,属于正常软件和病毒之间的灰色地带。杀毒软件一般不作处理,使其经常破坏校园网安全。

1.2.3黑客

黑客侵入校园网计算机系统是造成破坏以及破坏的程序,因其主观机不同而有很大的差别。确有一些黑客(特别是“初级”黑客),纯粹出于好奇心和自我表现欲而闯入他人的计算机系统。他们可能只是窥探一下你的秘密或隐私,并不打算窃取任何住处或破坏你的系统,危害性倒也不是很大。另有一些黑客,出于某种原因进行泄愤、报复、抗议而侵入,篡改目标网页的内容,羞辱对方,虽不对系统进行致命性的破坏,也足以令对方伤脑筋。第三类就是恶意的攻击、破坏了。其危害性最大,所占的比例也最大。

综合以上大部分校园网络破坏是脆弱网络环境所致。服务过多、监控不力,外部破坏、或是起于恶作剧心理的学生,加剧校园网的内忧外患局面。

2威胁解决策略

2.1提高管理水平

这是解决网络安全问题的所有对策中最重要的一点。主要包括以下几方面的内容:建立一个高度权威的信息安全管理机构,并不断强化其权限和职能;制定统管全局的网络信息安全法规,做到有章可循、有法可依;制定网络管理员的激励制度,促使他们提高工作热情,加强工作责任心;对网络管理员进行专业知识和技能的培训;把网络信息安全的基本知识纳入学校各专业教育之中;对学校教师和其他人员进行信息安全知识普及教育;在学校的网站设立网络安全信息栏目,网络法令法规、网络病毒公告、操作系统更新公告等,并提供常用软件的补丁下载。。

2.2采用安全技术

2.2.1采用安全交换机

由于内网的信息传输采用广播技术,数据包在广播中很容易受到监听和截获,因此需要使用安全交换机,利用网络分段及 VLAN的方法从物理上或逻辑上隔离网络资源,以加强内网的安全性。

2.2.2操作系统的安全

从终端用户的程序到服务器应用服务、以及网络安全的很多技术,都是运行在操作系统上的,因此,保证操作系统的安全是整个安全系统的根本。除了不断增加安全补丁之外,还需要建立一套对系统的监控系统,并建立和实施有效的用户口令和访问控制等制度。

2.2.3设置防火墙

防火墙的选择应该适当,对于高校内部网络来说,可选择在路由器上进行相关的设置或者购买更为强大的防火墙产品。对于几乎所有的路由器产品而言,都可以通过内置的防火墙防范部分的攻击,而硬件防火墙的应用,可以使安全性得到进一步加强。

2.2.4信息保密防范

为了保障网络的安全,也可以利用网络操作系统所提供的保密措施。以 Windows 为例,进行用户名登录注册,设置登录密码,设置目录和文件访问权限和密码,以控制用户只能操作什么样的目录和文件,或设置用户访问级别控制,以及通过主机访问Internet等。 同时,可以加强对数据库信息的保密防护。网络中的数据组织形式有文件和数据库两种。由于文件组织形式的数据缺乏共享性,数据库现已成为网络存储数据的主要形式。由于操作系统对数据库没有特殊的保密措施,而数据库的数据以可读的形式存储其中,所以数据库的保密也要采取相应的方法。电子邮件是企业传递信息的主要途径,电子邮件的传递应行加密处理。针对计算机及其外部设备和网络部件的泄密渠道,如电磁泄露、非法终端、搭线窃取、介质的剩磁效应等也可以采取相应的保密措施。

2.2.5防范计算机病毒

从病毒发展趋势来看,现在的病毒已经由单一传播、单种行为,变成依赖互联网传播,集电子邮件、文件传染等多种传播方式,融黑客木马等多种攻击手段为一身的广义的“新病毒”。 因此,在网内考虑防病毒时选择产品需要重点考虑以下几点:防杀毒方式需要全面地与互联网结合,不仅有传统的手动查杀与文件监控,还必须对网络层、邮件客户端进行实时监控,防止病毒入侵;产品应有完善的在线升级服务,使用户随时拥有最新的防病毒能力;对病毒经常攻击的应用程序提供重点保护;产品厂商应具备快速反应的病毒检测网,在病毒爆发的第一时间即能提供解决方案;厂商能提供完整即时的反病毒咨询,提高用户的反病毒意识与警觉性,尽快地让用户了解到新病毒的特点和解决方案。

结束语:高职学院网络通信安全是一个系统的过程,它不仅仅是软件、硬件方面的安全,还应该从管理者的角度加强安全管理和从使用者的角度加强安全指导。因此,必须强化高职学院校园网络安全管理工作意识,健全校园网络通信安全管理工作体制,完善校园网络安全管理工作制度,构建校园网络安全技术支持体系,建立校园网络安全管理工作队伍,营造校园网络安全工作环境氛围,确保高职学院校园网络的安全运行。

参考文献:

1 石淑华.《计算机网络安全技术(第二版)》.人民邮电出版社 2008-12

2 杨丽英. 高校师德建设的问题与对策 J .中国成人教育 2008(23):88-91

第4篇:网络安全管理工作制度范文

一、保密工作组织机构的基本情况

保密工作组织机构的设置情况:我局设有保密工作领导小组,组长由党支部书记、局长担任,副组长由党支部委员、副局长担任,成员由办公室负责人和保密员组成。保密工作领导小组下设办公室,确定办公室主任主要负责保密方面的具体工作。

保密工作队伍的建设:近几年来,我局坚持做到保密工作机构健全、保密工作队伍不散,保密工作人员及时调整和补充,做好工作交接,保证了工作的延续性。

保密基础设施建设:对保密工作所需设施、设备和经费,我局给以重视和支持,保证了日常工作顺利开展。

二、保密工作开展情况

(一)对保密重点要害部位加强检查督促工作

我局办公室是保密重点部位。接触密源广、深,保密工作领导小组对办公室的保密工作进行不定期的检查督促,并同人员签订了保密承诺书,防止失密、泄密。多年来,办公室规章制度健全,从每个环节做起,保密观念强,措施得力,落实较好。如:办公室坚持档案工作人员保密制度,查、借、阅档案手续齐备;办公室人员有保密守则及管理办法,秘密文件、内部资料的传递、回收、注销都严格按照上级有关要求办理,形成了一整套制度、规定,管理渠道畅通。

(二)加强加密计算机的的管理工作

按照上级有关部门的要求,我局高度重视,对全局电脑及文件提出明确要求,责任落实到人,办公电脑全部设立密码,并且明确“不上网,上网不”等保密工作要求,确保通讯渠道的保密性和安全性。指定懂业务、会管理的工作人员专门负责加密计算机的管理工作,同时加强对计算机上网检查工作,在管理上做到心中有数;对于的计算机,明确要求要实行物理隔离,严禁上国际互联网;更重要的是加强了全局干部、职工对计算机信息的管理,进一步增强了保密意识。

(三)保密规章制度的建设情况

一是认真落实保密工作领导责任制。我局党政主要领导对保密工作十分重视,把它作为一项重要工作任务来抓,将它同业务工作同计划、同部署、同检查、同总结。二是建立健全各项保密工作规章制度。近几年来,我局先后建立健全了《机要保密工作制度》、《网络安全管理制度》、《市物价局信息公开保密管理制度》、《微机管理制度》、《存贮介质管理制度》等保密工作规章制度,做到以制度管人、按程序办事,确保保密工作顺利开展。

(四)开展保密宣传教育情况

我局高度重视保密宣传教育工作,采取张贴标语、拉横幅等形式,利用各种机会在全场干部、职工中开展经常性的保密宣传教育工作。

(五)加强机要文件的管理,坚持双向登记制度

我局配备和确定了专(兼)职保密人员,逐步建立完善了保密工作制度。培训了新上岗人员,对文件及保密废资料回收销毁工作做了具体检查部署,建立了文件保密废资料登记销毁程序。及时登记、传阅、清理和回交机要文件,自查中未发现一起违法事件。

三、存在问题及改进建议

一是保密工作的教育力度需要不断加强。近几年来,开展保密工作的实践使我们认识到,加强机关干部、职工的保密教育,提高每一个公民的保密意识十分重要。例如利用计算机网络、电子邮件向外发送资料已是十分方便和快捷的方式,但因此也可能带来泄密的危险。针对这一情况,需要加强宣传力度,增强人们的保密意识,提高做好保密工作的主动性和自觉性,还要制定出相应的规章制度,使事前行为得到规范,堵塞可能发生的失、泄密事件,消除隐患,以确保国家安全。:

二是做好保密工作还需要坚强的物质基础作保证。除了必要的资金、设备投入外,还应加强对保密工作人员的业务培训,提高保密干部的素质。

第5篇:网络安全管理工作制度范文

随着社会科技的不断发展,电子计算机技术逐渐被应用到传统的会计工作中,形成了一种新的会计分支,即会计电算化。会计电算化的应用在很大程度上提高了会计的工作效率,促使会计更加适应当前信息时代下的财务管理。会计电算化是以计算机为主要载体,很多会计信息资料都被保存在计算机中,并通过网络来实现信息交流与传递。然而由于计算机技术与网络技术自身的缺陷,给电算化会计档案的管理形成了一定的不安全因素影响,如硬件损坏档案丢失,或者黑客侵入盗取资料等等。为此,加强电算化会计档案的管理成为一件迫在眉睫的工作。以下笔者就通过自身工作体会,来对电算化会计档案的安全管理问题进行思考与探讨。

一、电算化会计档案安全管理的特点

与普通纸质会计档案相比,电算化会计档案的管理要更加复杂。这不仅表现在要将所有的会计信息录入计算机中进行整理归类,更重要的是要将这些档案的安全管理工作做到位。具体来讲,电算化会计档案的安全管理存在以下特点:

1.保存的内容种类较多

自我国于1999年开始采用电算化会计档案管理时起,国家就颁布了相关的法规条例,要求在使用计算机进行会计资料档案的管理时,除了要在计算机上做好数据保存存储之外,还需要将某些必要的资料进行打印,以纸质的形式保存备份,以确保会计信息资料的安全。也就是说,在电算化会计档案的管理中,是需要以电子档案与纸质档案共同保管的方式来存储档案,这种双重的会计档案保管形式虽然增大了会计档案管理的安全性与可靠性,但在一定程度上增大了管理难度,保存的内容种类较多,包括纸质形式、计算机硬盘形式、光盘形式等硬件,还包括相关数据或财务软件系统等软件。

2.表现形式较为特殊

这主要体现在电算化会计档案管理是需要借助计算机来实现的,这就与传统的纸质会计档案管理有着很大的不同。即纸质的会计档案能够直接从纸质文件上查看出来,具有很强的直观性,可以直接查看会计信息资料而无须借助其他的技术方法或硬件设施。但这种传统的会计纸质档案保存的信息量较小,且会占用大量的空间,不利于数据的快速查找。而电算化会计的档案管理则很好的避免了这一问题,其是通过计算机硬件与软件的相互作用来实现高效的会计信息档案管理,不但能够保存大量的信息资料,且易于管理查找,便于管理。不过需要注意的是由于其表现形式较为特殊,对计算机有很大的依赖性,这就为电算化会计档案管理与保存带来了一定风险,即若计算机出现故障或问题,极易使计算机内的数据读不出来,造成会计信息丢失。

3.保管条件较高

电算化会计档案存储介质十分精密,电子数据容易因温度、湿度和其他意外情况而丢失。另外,由于电算化会计档案集中存储在计算机硬盘、光盘和磁性等存储介质中,如果未安全保存,电子数据会非常容易被修改,很难判断其原始性,需要提高安全保管意识和做好保密措施。电算化会计档案的安全性、完整性要求更高。电算化会计档案因其信息的数字化,大大提高了会计档案的利用效率,便于会计档案信息的资源共享;但电算化会计档案具有易破坏,难留痕迹的特点,加大了会计档案被篡改、破坏的风险。

4.时间长,版本多

随着会计电算化程度的深入和使用使用时间的推移,不同财务软件和版本越来越多,需要各个单位的财务部门结合工作实际,精心组织,科学规划,选择合适的财务软件,保证财务软件工作前后衔接一致和会计档案的科学管理。

二、当前电算化会计档案管理工作中存在的安全问题

就目前我国的电算化会计档案管理现状来看,管理工作中还存在着很多问题,如管理制度不够健全、管理人员业务素质不高、对电子档案不够重视、计算机系统与网络系统的安全度不高等等。这些管理问题在一定程度上对电子档案的安全管理造成了影响,尤其是计算机系统与网络系统的安全管理问题,更是直接导致了电子会计档案管理的安全性较低的主要原因。

1.电算化会计档案管理制度尚不完善。很多单位认为会计电算化仅仅是数据处理工具的变化,对电算化会计档案的收集、管理、查阅、销毁仍沿用手工系统的制度;没有对会计电算化信息系统档案保管人员的职责作出相应的规定;也没有采取相应的保障措施来改善保管会计档案的环境等。

2.档案管理人员的业务素质不全面。目前很多企业中的档案管理人员的素质缺少档案管理应有的专业知识和计算机应用知识,造成电算化档案管理工作整体水平不高,制约着电算化会计档案管理工作的顺利发展。

3.计算机系统及网络安全管理问题。计算机技术虽然具备较强的计算机能力与存储能力,但同时计算机的基本性能也给信息的安全存储带来一定影响。这是因为计算机系统中的会计资料、信息数据极易受到人为的篡改,计算机软件也常常会出现问题导致会计信息丢失,并且很容易被人通过复制等手段盗取信息资料而不留下痕迹,这些都为电算化会计档案的安全管理造成很大难题。再加上网络技术的广泛发展,使得一些黑客很容易侵入电子档案管理内部窃取、篡改信息数据,或者泄露会计信息,或者利用病毒使计算机瘫痪,导致会计信息数据完全丢失,这也是电子会计档案管理的主要安全问题。另外,电算化会计档案信息的存储质量还与其所在的载体质量、保存环境有着很大关联。

三、提高电算化会计档案管理安全的措施建议

为了能够进一步提高电算化会计档案管理的安全性,就必须要加强管理,增大对计算机硬件设备与软件技术应用的投入力度,不断深化改革,促使电算化会计档案管理工作制度更加完善,建立相应的档案归档制度、保管制度、定期备份与维护制度以及分权限调用制度等等。并加强对电算化会计档案管理人员的培训力度,提高其工作能力与职业道德素养,做好内部人员管理。但最重要的,还是要做好信息技术上的档案管理工作,在此笔者提出一些安全管理建议,具体如下所示:

1.定期拷贝整理系统中的会计数据。在一定的时间间隔内(如一个会计年度),把计算机系统中的所有会计数据拷贝存储到磁性介质或光盘上,从而形成脱离于原计算机系统的会计档案。财务部门应把财务数据的备份文件保存好并记录以下内容:档案形成的时间,会计数据的内容及备份,以使计算机硬件系统在损坏后,能够在最短的时间内,在最小的损失下恢复原有的会计电算化系统。

2.加强网络安全管理。建立预防病毒和黑客的安全措施,加强对计算机病毒的预防、检测以及杀毒工作,切实有效地保障计算机硬件与软件系统的安全。

3.做好电算化会计系统的保密工作。针对电算化会计档案具有易于修改、易受破坏且不留痕迹的特点,从计算机程序方面考虑,应设置包括输入、输出控制,将源程序与数据加密,设置密码口令,设置恢复功能、各种操作纪录等控制功能,在源头上防范问题的产生。

4.保证存储介质的存放环境良好。根据会计电算化档案信息载体的物理特性,在形成这些档案时应注意双份数据的备份,注明形成档案的时间与操作员姓名,存放在两个不同的地点。注意防潮、防热、防尘、防磁,对采用磁性介质保存的档案还应定期进行检查复制,防止由于磁性介质的损坏导致会计档案丢失,造成无法挽回的损失。

5.电算化会计档案要限制利用方式,确保其使用安全。在不能确保安全时要加以限制。电算化会计档案特点使其在利用活动中的保密与安全问题不好控制。因此要采取更为严密的安全措施,避免由于安全问题带来不可挽回的损失。

四、结束语

第6篇:网络安全管理工作制度范文

一、突出“三抓”

一是迅速传达抓落实。在《“十一五”保密科技发展规划》颁布后,我街迅速组织党员领导干部认真学习和领会文件精神,深刻理解贯彻落实《发展规划》的重大意义。在学习中做到“四学”即干部率先学、党工委带头学、各级领导深入学、党员干部普遍学。通过学习,全街广大党员干部全面把握《发展规划》的指导思想、基本要求、工作目标和具体任务,并将思想统一到中央、省、市和区委的决策部署上来,统一到《发展规划》的新要求、新目标上来,进一步增强抓好保密工作和贯彻落实《发展规划》的责任感和使命感,为贯彻落实《发展规划》打下牢固的思想基础,提供强有力的思想动力。

二是广泛宣传抓落实。

我街始终把学习宣传贯彻《发展规划》作为重要政治任务,并将学习《发展规划》纳入各级党委理论学习中心组的必学内容,对学习内容作出具体安排。通过开展形式多样的保密宣传活动,举办保密知识竞赛、业务培训、组织观看保密宣传教育片等,增强干部职工和人员的保密观念,增强贯彻落实《发展规划的自觉性。

三是明确责任抓落实。为确保《发展规划》落到实处,我街将贯彻落实《发展规划》情况列入领导干部考核范围。并把贯彻落实《发展规划》工作列入党政领导班子的重要议事日程,与业务工作一起部署,一起落实,一起检查,一起考核。做到了“四个到位”即领导到位、任务到位、责任到位、措施到位。

二、强化四个“管理”

1、抓好人员管理。我街经常性地开展案例教育会或专题讲座,学习讨论会等活动,切实提高重点人员的保密意识,督促他们自觉遵守各项工作制度,严格按制度办事,确保保密技术法规和相关标准的贯彻落实。

2、加强保密技术管理工作。按照上级有关要求,加强对绝密、机密、秘密级信息载体,已确定的保密要害部门和部位,重要会议和重大活动的管理,保密技术防护装备和设施,物防技防措施到位,确保安全。

3、抓好载体管理。严格执行有关规定,管住管好各类载体,确保每一个环节都不出纰漏。文件的起草、制作、分发、传递、使用、复印、存档和销毁等各个环节都要严格遵守操作规程,不得擅自翻印、复印、汇编文件,不得随意扩大文件传阅范围。在做好纸质载体管理的同时,要重点加强对软盘,硬盘,光盘等各类非纸质载体的使用,保管,销毁的管理。

第7篇:网络安全管理工作制度范文

关键词:校园网;网络安全;网络管理

中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)35-2453-02

Campus Network Security System Construction

CHEN Yan

(Yongzhou Vocational and Technical College Hunan Province,Yonzhou 425006,China)

Abstract: The campus network security system construction be discussed from technology and management in this article. In technology, the security classification be divided by the different applications of campus network, thus, the network security system should be designed to meet the application requirements of each region. In management, it emphasizes on the network security management and emergency response system should be established to guarantee the standardization and institutionalization of network management, so the security management of network will be improved.

Key words: campus network; network security; network management

1 引言

校园网络作为信息化校园的重要组成部分,在全国各高校大规模展开,已近十年的历程。校园网的建设重点已从最初单纯的网络硬件铺设,简单的Internet接入,小规模离散的应用,发展到大规模成系统的网络应用。近年随着网络技术的快速发展,网络应用日益普及,学校的教学和管理对校园网的依赖程度不断加大。网络的脆弱性,使得依赖于网络的教学与管理面临着安全威胁,网络安全成了校园网建设的焦点问题。构建安全的校园网并不是简单的堆砌网络安全技术或安全产品,它不仅涉及到技术层面,也涉及到非技术层面。本文似从技术和管理两个层面来探讨如何构建安全的校园网络系统。

2 校园网的特点及安全现状分析

校园网有着自己鲜明的特点:一是大规模、高速网络环境,主要表现为用户数据庞大、地域分布的多校区网络和快速局域网技术;二是复杂的应用和业务类型,主要表现为公共服务、科研应用、教学辅助、学生管理、行政管理、教学管理和普通上网应用等;三是活跃的、不同使用水平的网络用户群体,即有普通的用户群、又有管理用户群,还有网络相关专业的学生用户群,他们网络应用目的不同,对网络的熟悉程度不同;三是大量的非正版软件和电子资源;五是开放的环境和宽松的安全管理体制;六有限的资金投入。这些特点使得校园网既不像Internet那样毫无限制,又不像电子商务企业那样为强化安全与保密而严加管理和控制。

校园网的上述特点,使得校园网一方面要面临一般企业网络所必须面对的各种安全威胁,如:普遍存在的计算机系统漏洞产生的各种安全隐患;计算机蠕虫、木马、病毒泛滥,对用户主机、应用系统和网络运行构成的严重威胁;外来的攻击、入侵等恶意行为、垃圾信息和不良信息的传播行为等。另一方面校园网又不得不应付来自内部的安全威胁,如内部用户的攻击行为,对网络资源的滥用行为等等。

3 校园网安全需求分析

在校园网的安全设计中,必须考虑到校园网的上述特殊性。不能将整个校园网作为单一的安全区域,必须根据不同的应用类型、不同的服务对象将校园网划分为具有不同安全等级的区域,并针对这些区域进行专门的安全设计。一般来说,我们可以将校园网分为:学生网络、教学管理网络、公共应用服务网络、网络管理系统和分校区网络等几个部分。下面对这些网络的安全需求进行分析。

3.1 Internet连通性的安全需求

Internet连通性是校园网最重要的功能,一方面要满足内部用户的Internet访问要求,另一方面又要对外Web服务、电子邮件服务和FTP服务等公共服务。而Internet却是攻击和威胁的重要来源,阻断所有不能接受的访问流量是最基本的安全需求,同时保持对来自Internet的网络攻击的检测能力,是防范求知攻击的必然要求。与内部用户的上网需求相比,校网园对外的公共服务应该受到更好的安全保护,在设计时必须给予重点考虑。

3.2 学生网络的安全需求

学生网络两大特点:一是用户数量多数据流量大,学生是P2P(peer-to-peer)应用的热衷者,而P2P应用则是网络带宽的“杀手”,2006年我院对拥有1100多用户的学生网络进行了一项测试,使用一款“P2P终结者”软件来屏蔽P2P数据包,结果网络出口总流量骤降一半,据此可以估算有50%网络带宽被P2P软件所消耗。事实上这个估算是保守的,有研究表明,P2P流量取代了HTTP流量成为Internet流量的主体,占Internet中总流量的60%~70%,占最后一公里接入网流量的80%[1];二是用户类型复杂,2007年我院的一次问卷调查表明,85%以上的学生缺乏网络安全意识,近5%的学生用户偶尔尝试过网络攻击,近0.2%的学生在研究网络攻击技术,他们是内部攻击的主要来源,也是最主要的病毒源和木马源。因此在进行网络安全考虑时,首先要对来自学生网络的带宽进行限制,以保证网络资源的合理分配;其次要约束学生网络对校园网关键服务的访问,尽最大努力过滤其运行特定应用程序的能力;同时还需要加强对网络流量嗅探和中间人攻击(MITM)的防范能力,以减少学生相互间的攻击。

3.3 教学管理网络的安全需求

鉴于教学管理数据的安全性需求高,教学管理网络与学生网络绝对不能位于同一个信任级别,应该有更高的安全需求,给予保护并与校园网络的其他部分进行隔离。主要有以下三项安全措施,一是设置防火墙实施访问控制;二是设置入侵检测系统进行网络安全监测;三是强化论证,虽然加密所有教学管理应用程序太过繁重,但是对于某些关键系统(会计和学生记录)应该要求强认证。

3.4 网络管理系统的安全需求

网络管理系统负责整个校园网的通畅和安全管理工作,确保网络管理系统的安全是非常重要的工作,因此应该设置防火墙将管理网络与校园网的其它部分进行隔离加以保护。

3.5 分校区网络连接的安全需求

分校区和远程用户都需要直接访问校园网内部的服务,出于资金考虑,多数的分校网络都没有专线连通,部分学校尝试无线通信,实际情况看来,其保密性和稳定性都不高。比较经济实用的解决方案就是,使用虚拟专用网(VPN)技术穿过广域网(WAN)。

4 校园网结构的安全设计

基于上述校园网安全的分析,我们可以设计出如图1所示的安全校园网络系统。

4.1 校园网边界安全设计

Internet接入是校园网最基本的业务需求,与Internet相比,校园网内部自然是一块相对单纯的可信任安全区域,为保证校园网内部的安全性和校园网公共服务的可访问性,需在校园网边界进行如下安全设置。

一是设置防火墙:防火墙首先要提供入网级的访问控制功能,以有效地阻断来自Internet的非法访问;其次要提供虚拟专用网(VPN)功能,借助广域网实现远程分校区网络的安全连接,使得访问远程校园网络,如同访问本地网络一个方便安全,在保证安全性的同时还可以节省出专线费用;最后还应具备网络地址转换功能(NAT),使得Internet用户可以访问校园网内部的公共服务。二是设置AAA认证服务器,提供对用户身份认证、安全管理、安全责任跟踪和计费等功能。三是设置网络入侵检测系统(NIDS),同时可在边界路由器上启用NetFlow功能,以加强对非法入侵和恶意攻击行为的检测和发现能力,为网络管理员提供网络异常事件的处理能力。

4.2 学生网络的安全设计

从前面的校园网业务需求的安全性分析可知,校园网内部并非铁板一块,不同的业务需求对安全性的要求是不同的,相对来说学生网络的安全级别最低。针对学生网络用户数量庞大、用户类型的复杂性的特点,主要可采取以下安全措施:一是为保证网络资源的合理有效分配,必须进行网络流量限制;二是在交换机处提供必要的第二层安全控制,以减少网络流量嗅探攻击,中间人攻击(Man-in-the-middle-attacks,简称:MITM攻击);三是在不同学生网段的路由器上设置无状态ACL,以实现数据过滤。后两项措施可以缓解学生系统之间的相互攻击。总体上讲,学生网络的安全防护功能是相当弱的,主要的安全防护功能落在了学生主机上,因此必须加强网络安全教育,提高学生的安全防范意识和能力。但是较低的安全防护设计却给学生创造了一个相当宽松的网络环境。

4.3 教学管理网络和公共服务网络的安全设计

教学管理网络和公共服务网络的服务器中存在着大量敏感的数据,比如说学生成绩和学生注册信息,它们极易受到来自于Internet及学生网络的攻击,因此也就提出了更高的安全需求。对教学管理网络和公共服务网络的安全设计,相当于在校网络的基础上建立起一个安全性更高的内部网络。其安全设置类似于校园网与Internet之间的安全设计,如添加防火墙进行访问控制,增加NIDS进行入侵检测。从图中可以看到,对学生网络来说,它有一道防护屏障,而相对于Internet再说,它受到两道防护屏障的保护。这是一个合理的安全等级层次。

4.4 管理网络的安全设计

管理网络看似类似于行政网管,需要使用防火墙进行保护。但是它有完全不同的业务需求,它负责整个网络的安全管理,要根据各种校园网络设备的管理需求,设置允许入站和出站的特定连接。因为它的周围有许多不可信的网络,在网络设备与管理网络进行数据传送时,必须保证数据的安全保密性,因此数据传递过程中的安全要求较高,在数据通信需要使用SSH/SSL等安全通信协议。对于那些不支持SSH/SSL的网络设置,只能使用如Telnet之类的明文管理协议,在这种缺乏安全协议的情况下,应该限制可访问Telnet后台程序的IP地址,以增加这些网络设备管理的安全性。

5 校园网安全管理

校园网的安全性不仅仅是一个技术问题,还需要安全管理的支持。安全的校园网络系统是安全技术与安全管理有机结合的整体,它遵循所谓的“木桶原理”。正如木桶的容积决定于它最短的木板一样,校园网系统的安全强度等于它最薄弱环节的安全强度。经验表明,得不到足够重视的网络安全管理恰恰是校园网安全系统中最薄弱的一个环节。安全专家们则强调网络安全靠的是“三分技术,七分管理”。

为加强校园网的管理,需要做好以下四项工作:一是观念的更新,网络安全不止是技术部门和专业人员的责任,应该得到学校高层的充分重视,需要所有的网络用户的共同遵循安全规则;二是建立网络安全管理机构,明确权力和负责,从组织机构上保障网络安全管理的有效实施;三是制订网络安全管理制度,明确校园网用户的权利和义务,使用户共同遵循校园网使用规则;四是建立完善的安全管理及应急响应机制,以对突发性安全事件做出迅速准确的处理,最大限度地减少损失。

安全事件处理机制的建立往往是校园网安全管理的盲区。与国防、金融等机构比起来校园网的安全级别低,应付安全突发事件的重要性并不是太突出。而且在一般情况下,意外事件发生的几率不高,应付安全突发事件的必要性也往往被忽视。但是100%安全的网络是不存在的,如果不能对网络安全事件做出迅速而准确的响应,就有可能造成重大的损失。事实是,历史上几次重大的安全突发事件所造成的恶劣影响,使得各国都非常重视紧急事件响应处理。美国国防部于1989年资助卡内基.梅隆大学建立了世界上第一个计算机紧急响应小组CERT(Computer Emergency Response Team)及其协调中心CC(Coordination Center)。CERT/CC的成立标志着信息安全由传统的静态保护手段开始转变为完善的动态防护机制。此后在20世纪90年代,计算机安全应急处理得到了广泛而深入的研究。在我国,中国计算机教育与科研网(CERNET)于1999年成立计算机紧急事件响应组织(CCERT),是国内第一个安全事件响应组织;2000年3月,中国计算机网络应急处理协调中心(CNCERT/CC)成立,该中心在国家因特网应急小组协调办公室的直接领导下,协调全国范围内计算机安全事件响应小组的工作,并加强与国际计算机安全组织的交流。

在校园网建设中,借助CERT的理念和研究成果,建立必要的网络管理和应急响应机制将有利于规范和提高校园网安全管理能力。图2所示,是一个可行的网络管理和应急响应机制构建方案,说明如下。

1) 网络安全的日常管理:在校园网的关键部分加强网络安全的日常管理,使日志检查、漏洞扫描、系统升级、病毒防御等工作制度化、常规化,尽量减少因管理员疏忽等主观因素而引起的安全事件。建立责任追究制度,强化网络管理人员的责任心。

2) 网络安全应急小组:接收并处理来自用户的安全突发事件,NetFowl等流量分析的异常报告、入侵检测系统的入侵警告和日常管理中的安全事件报告。通过分析调查,决定采取相应的应急处理措施,如系统隔离、事件跟踪、漏洞修补、安全策略调整、系统恢复和统计报告等等。同时为广大用户提供各种安全服务,如安全咨询、安全教育和安全工具等等。

6 小结

网络安全是当前校园网建设和应用的焦点问题,本文从技术和管理层面深入地讨论了安全校园网系统的建设问题。在技术层面上,需要根据校园网应用的不同,划分不同的安全等级区域,并针对各个区域的应用需求进行安全设计;在管理层面上,特别强调建立网络安全管理及应急响应机制,保障网络管理的规范化、制度化,提高网络安全管理能力。

参考文献:

[1] CacheLogicResearch. The true pictures of P2P file sharing [EB/OL]./research/slide1.php,2004.

[2] Convery S.网络安全体系结构[M].江魁,译.北京:人民邮电出版社,2005.

[3] 连一峰,戴英侠.计算机应急响应系统体系研究[J].中国科学院研究生院学报,2004,21(2):202-209.

第8篇:网络安全管理工作制度范文

国土资源网络信息化建设,对于提高工作效能,节约行政成本,更好地保护资源、保障发展、维护权益、服务社会,有着重要的实用价值和现实意义。为此,我局在国土资源信息化建设中,投入了一定的资金、人力和物力,做了大量的工作和探索,有力的促进了国土资源管理工作的开展,为国土资源业务网建设奠定了一定地基础。

一、信息化建设尝试

根据省国土资源厅、市国土资源局及区委政府等有关文件精神,我局于年成立了以局长为组长的信息化建设工作领导小组,设立了局信息网络中心,自行设计开发了区国土资源信息网站,含政策法规、政务信息、办事指南、国土新闻、局领导班子成员及相关科室简介、执法监察、在线举报和咨询七大版块26个子栏目,能够从多角度及时地反映国土资源管理工作的进展情况和相关法律、法规和政策,深化政务公开。同时与区委区政府建立起与互联网等公共网络物理隔离的办公自动化网络专线,方便了工作,节约了成本,基本实现了无纸化办公。随着国土资源系统体制改革的深化和办公场所的迁移,我局于年对国土资源信息化和办公自动化建设进行了进一步健全和完善,自主设计开发了内部办公自动化系统,在局内部实现了资源共享,信息互传,基本实现系统内部无纸化办公。

二、目前现状

组织机构:成立了以局长为组长,副局长为副组长,各科室、各二级事业单位负责人为成员的信息化工作领导小组办公室,办公室设在局办公室,并专门抽调精通网络管理和计算机操作的工作人员统管全局的国土资源信息化建设,并在各科室、各事业单位确定了专门的计算机管理和维护人员。

信息化建设:租用电信网络专线,建立了国土分局门户网站,共7大板块26个子栏目,其内容丰富,涵盖面广,基本能够全面反映辖区国土资源管理工作现状和进展情况,承担国土资源管理法律法规的宣传教育和连接社会各界及广大人民群众的桥梁作用。建立了独立于互联网等公共网络的局域网络和与区委区政府相连的办公自动化网络,全部进行了物理隔离,确保了各项工作数据传输的安全性和保密性。

应用系统:局信息网络中心服务器,应用windows操作系统,其余电脑应用windowsXP操作系统。采用的是诺顿、江民、360安全卫士等防护系统,做到了机机有杀毒软件,防火墙,保证了局系统的网络和计算机安全。

自建系统:我局于年完成了规划管理信息系统软件开发和规划管理数据库建设,并通过国土资源部验收。该系统已全面服务于辖区的经济建设工作。如市城市总体规划修编用地预测、基本农田面积的核实、检查、上轮土地利用总体规划的实施分析等,都能快速、准确的提供数据服务,为土地管理工作提供高效、稳定、准确的工作平台。

其他设施:在我局中大型会议室都设有网络插口和投影设备,同时投资30万元建立了gps连续运行工作站,即cors基站,为视频会议系统和业务网建设奠定了一定的设施基础。

制度规定:为了适应国土资源信息化管理的需求,构建网络环境下新的管理模式和运行机制,我局先后制定出台了《国土分局关于推进全局电子政务信息化建设的实施意见》,《机房管理人员工作制度》、《网络安全防护措施》等一整制度和规定,使网络和计算机管理和应用更加规范、科学。

三、业务网建设设想

第9篇:网络安全管理工作制度范文

关键词:血站采供血业务;电子档案;安全性管理

一、目前我国血站采供血业务电子档案安全管理中存在的问题

现在越来越多的人认识到采供血业务电子档案的重要性,其查询迅速,方便利用的优势被人们广泛认可。但是因计算机网络自身具备的快捷性、互动性特点与原有纸质档案保管规定以及保密要求之间有一定的出入,这其中隐藏的诸多安全隐患和问题是我们所预想不到的,需要我们引起重视。

1.目前我国血站采供血业务电子档案信息化安全方面的制度、法规和法律存在不少漏洞。截止到现在,针对我国血站采供血业务电子方案信息化建设的专门性法律、法规还未出现,对于电子档案的法律保护仅仅依靠的是国家通用的计算机法律、法规完成维护档案信息化建设安全的任务,就目前这种趋势,如果档案部门安全管理体制依旧保持这种不够完善、存在漏洞的状态,电子档案信息是非常容易遭遇到刻意攻击、窃取甚至是直接被破坏。

2.档案信息化网络建设中的信息安全技术应用面较窄。现在我国大部分血站采供血档案信息化网络建设处于三网(内网、外网和专网)同时使用阶段,并且信息安全技术应用面较窄,促使整个档案信息系统安全性非常差,比较脆弱,威胁档案网络安全的内容比较多,如计算机病毒、计算机维修等等,各个方面的攻击都可能威胁到其正常运转,那些和人们密切相关的机密数据、资料等存在很大被盗取的可能性,整个网络极有可能被损坏,这些危险事物的存在给我们档案信息化网络建设工作的顺利开展带来许多难以预测的损失。

3.整个档案管理工作的信息化和网络化程度较低,处于整体工作的劣势。信息化和网络化在整个档案管理工作中处于劣势主要展现在工作对设备的依赖性非常强且对工作人员的技术水平要求比较高。具体来讲,设备依赖是劣势中的重中之重,具体展现在五个方面,详细为数字编码、硬件、软件、技术设备更新以及安全性。除此之外,来自于系统内部的计算机安全问题在整个计算机安全问题中占有很大的比例,人员工作不到位,麻痹思想的长期存在以及安全管理机制中存在的漏洞造成信息被盗和泄密等问题。

二、完善我国血站采供血业务电子档案安全性管理的对策

1.注重并加强采供血业务电子档案安全性方面的设计。现在我国采供血业务电子档案的安全性设计集体包括操作系统、服务器、数据库和电子文档利用等方面的设计,最终确保各个环节的系统安全、数字资源访问安全和数据安全是我们的最终目的。首先,认真做好日常工作中关于采供血电子档案信息资料的储存和备份。

一方面将计算机档案通过应用程序在客户端运行,另一方面要将基本的数据保存在本地机,这份数据就可以作为纸类文档的打印和备份依据,与此同时对于客户端上的数据工作人员要定期将其保存在服务器上,并运用光盘或者是磁带机再进行备份;其次,对网络机器设备要展开定期的扫描,并且要对档案网络的信息展开安全审计,促使其自动形成日志,记录档案网络运行情况,这样可以完成对局域网服务器、客户端和其他网络设备的病毒监控任务,同时还可以具备对局域网所有设备进行自动查杀毒的能力;第三,当今社会,档案网络安全的核心是档案系统数据的安全,为了更好地降低甚至是避免攻击或者是恶意篡改带来的威胁,在日常的工作中我们要通过数字证书、动态口令以及加密等的方式,并结合热备份、冷备份、远程存储等存储方式保存对档案数据进行保存,如此一来,即使档案系统遭受到攻击或者是瘫痪之后也可以用最快的速度恢复过来,降低数据丢失带来的损害,信息载体的物理安全性得到很好的保护,信息内容的准确性得到提高甚至是信息的真实性、凭证性、可用性和易处理性特点都能得到很好的保持;最后,重视针对档案信息、数据来源等跟踪机制的设置。在具备这种机制的情况下,一旦发现攻击档案系统自身就可以进行报警,并采取相应的对策(关闭有关服务、切断物理线路的连接等)来应对这种危险,档案数据以及信息良好的可靠性都能得到很好的保持。这种机制的设置还能对得到电子文件的时间和地点以及保护电子文件人员甚至是控制或者占用电子文件的人进行一系列的记录,对在电子文件收集和识别、分析、储存、保管和传送、提交、返回文件所有人这个电子文件的生命周期中各项操作形成有效的跟踪记录。

2.对电子档案管理中涉及的安全制度以及一系列流程进行健全和完善。根据电子档案安全性管理现状对电子档案保密工作制度进行健全,同时还要制订相应的计算机管理流程和移动介质管理流程。与此同时,还要建立采供血业务电子档案保管方法、上传、查阅流程、文件目录数据信息采集规则。这样做的目的是对所有的用户、系统管理员和其他成员形成一个约束。给档案信息系统的安全、可靠运行营造一个良好的氛围。

3.对档案管理权限进行详尽的规范,加强保密和防伪环节工作力度。提供到网络上的档案信息一定要具备合理性、合法性以及绝密性特点,为了有效的达到这一目的,档案管理人员可以采用权限设置的方式达到控制用户对所需档案的享用程度,长时间的坚持,档案资源被滥用的可能性将大大降低甚至是消失。另外,档案工作人员还可以根据利用者的具体情况,通过计算机限读、禁止删除、禁止复制功能的发挥,确保电子档案的相关信息不被泄密。电子档案中的文字有自身独特的特点,只要其被篡改就会难以识别,所以,在工作初期就要做好电子档案副本的保存和保护工作,对档案正本和副本一定要定期开展对比检查。另外,造成档案泄密的另一个漏洞在档案室和利用者之间的信息传输过程中。所以针对那些计算机网络传输的电子档案信息一定要运用数据加密、用户识别和终端识别等技术,这样可以很好地避免电子档案信息在传输的过程中被泄密或者是篡改。

4.根据管理现状和工作人员实际工作状态开展保密宣传教育,对全员的保密意识进行有效提高。想要使得工作人员和用户自觉加入到遵守各项信息系统安全制度队伍中去,首先要做的是让工作人员和用户对网络安全性有一个深入、全面的了解。尤其是对那些从事开发、维护和使用电子签名以及数据电文的工作人员必须进行相关法律知识的普及、教育与培训,确保其对签名的法律意义和自身应该承担的责任有全面的理解与认识,同时还要通过培训使其熟练掌握电子签名、数据电文生成、维护、保存等一系列相关知识。完善电子档案的管理,确保电子签名和数据电文可靠性、完整性、有效性及机密性的措施。