公务员期刊网 精选范文 网络安全保护措施制度范文

网络安全保护措施制度精选(九篇)

前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的网络安全保护措施制度主题范文,仅供参考,欢迎阅读并收藏。

网络安全保护措施制度

第1篇:网络安全保护措施制度范文

1.1校园网络应用协议和软件存在固有的安全缺陷

随着校园信息化水平的快速提高,教务管理、学籍管理、成绩管理、宿舍管理、网络大学等信息化产品层出不穷,独立的软件集成在一起,各自软件开发的语言不通,导致校园网络自身存在很大的缺陷,降低了校园网安全性能。

1.2入侵手段越来越智能

目前,校园网用户计算机专业技术水平不同,导致用户使用网络的过程中,携带的病毒、木马种类越来越多,并且随着黑客的手段越来越高,病毒、木马区域智能化,潜伏周期更长,更具隐蔽性,破坏性也越来越大。

1.3校园网络管理制度不健全,管理模式简单

网络应用发展迅速,网络管理制度不健全,管理模式较为单一,也同样导致学校的校园网用户安全意识淡薄,导致许多接入校园网络的终端存在很多病毒和木马,并且非常容易被黑客利用,攻击整个网络。

二、网络安全主动防御系统

2.1主动防御系统模型

目前,网络安全主动防御模型包括三个方面,分别是管理、策略和技术,可以大幅度提高网络的入侵防御、响应能力。

(1)管理。

校园网管理具有重要的作用,其位于安全模型的核心层次。网络用户管理可以通过制定相关的网络安全防范制度、网络使用政策等,通过学习、培训,提高网络用户的安全意识,增强网络用户的警觉性。

(2)策略。

校园网安全防御策略能够将相关的网络技术有机整合,优化组合在一起,根据网络用户的规模、网络的覆盖范围、网络的用途等,制定不同等级的安全策略,实现网络安全运行的行为准则。

(3)技术。

校园网防御技术是实现网络安全的基础,校园网主动防御技术包括六种,分别是网络预警、保护、检测、响应、恢复、反击等,能够及时有效地发现网络中存在的安全威胁,采取保护措施

2.2主动防御技术

校园网主动防御技术可以有效地检测已经发生的、潜在发生的安全威胁,采取保护、响应和反击措施,阻止网络安全威胁破坏网络,保证网络安全运行。

(1)预警。

校园网预警技术可以预测网络可能发生的攻击行为,及时发出警告。网络应包括漏洞预警、行为预警、攻击趋势预警、情报收集分析预警等多种技术。

(2)保护。

校园网安全保护是指采用静态保护措施,保证网络信息的完整性、机密性,通常采用防火墙、虚拟专用网等具体技术实现。

(3)检测。

校园网采用入侵检测技术、网络安全扫描技术、网络实时监控技术等及时检测网络中是否存在非法的数据流,本地网络是否存在安全漏洞,目的是发现网络中潜在的攻击行为,有效地阻止网络攻击。

(4)响应。

校园网主动响应技术能够及时判断攻击源位置,搜集网络攻击数据,阻断网络攻击。响应需要将多种技术进行整合,比如使用网络监控系统、防火墙等阻断网络攻击;可以采用网络僚机技术或网络攻击诱骗技术,将网络攻击引导到一个无用的主机上去,避免网络攻击造成网络瘫痪,无法使用。

(5)恢复。

校园网攻击发生后,可以及时采用恢复技术,使网络服务器等系统提供正常的服务,降低校园网网络攻击造成的损害。

(6)反击。

校园网反击可以采用的具体措施包括病毒类攻击、欺骗类攻击、控制类攻击、漏洞类攻击、阻塞类攻击、探测类攻击等,这些攻击手段可以有效地阻止网络攻击行为继续发生,但是反击需要遵循网络安全管理法规等。

三、结束语

第2篇:网络安全保护措施制度范文

关键词:技术;管理;内网安全

引言

网络没有绝对的安全。只有相对的安全,这与互联网设计本身有一定关系。现在我们能做的只是尽最大的努力,使网络相对安全。在已经发生的网络安全事件中,有超过70%是发生在内网上的,内网资源的误用、滥用和恶用,是内网面临的最大的三大威胁。随着网络技术的不断发展。内网安全将面临着前所未有的挑战。

一、网络安全含义

网络安全的定义为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。我们可以理解为:通过采用各种技术和管理措施,使网络系统正常运行,从而确保网络数据的可用性、完整性和保密性。

二、内外网络安全的区别

建立网络安全保护措施的目的是确保经过网络传输和交换的数据不会发生增加、修改、丢失和泄露等。而常规安全防御理念往往局限于网关级别、网络边界等方面的防御。随着越来越多安全事件由内网引发,内网安全也成了大家关注的焦点。

外网安全主要防范外部入侵或者外部非法流量访问,技术上也以防火墙、入侵检测等防御角度出发的技术为主。内网在安全管理上比外网要细得多。同时技术上内网安全通常采用的是加固技术,比如设置访问控制、身份管理等。

三、内网安全技术防范措施

内网安全首先应采用技术方法,有效保护内网核心业务的安全。

1 关掉无用的网络服务器,建立可靠的无线访问。

2 限制VPN的访问,为合作网络建立内网型的边界防护。

3 在边界展开黑客防护措施,建立并加强内网防范策略。

4 建立安全过客访问,重点保护重要资源。

另外在技术上采用安全交换机、重要数据的备份、使用网关、确保操作系统的安全、使用主机防护系统和入侵检测系统等措施也不可缺少。

四、内网安全管理措施

内网安全管理包括安全技术和设备的管理、安全管理制度、部门与人员的组织规则等。而内网90%以上的组成为客户端,所以对客户端的管理当之无愧地成为内网安全的重中之重,目前内网客户端存在的问题主要包括以下几点:

1 非法外联问题

通常情况下,内网(Intranet)和外网(Internet)之间有防火墙、防病毒墙等安全设备保障内网的安全性。但若内部人员使用拨号、宽带等方式接入外网,使内网与外网间开出新的连接通道,外部的黑客攻击或者病毒就能够绕过原本连接在内、外网之间的防护屏障,顺利侵入非法外联的计算机,盗窃内网的敏感信息和机密数据,甚至利用该机作为跳板,攻击、传染内网的重要服务器,导致整个内网工作瘫痪。

2 使用软件违规问题

内部人员在计算机上安装使用盗版软件,不但引入了潜在的安全漏洞,降低了计算机系统的安全系数,还有可能惹来知识产权的麻烦。有些内部人员出于好奇心或者恶意破坏的目的,在内部计算机上安装使用黑客软件,从内部发起攻击。还有些内部人员安全意识淡薄,不安装指定的防毒软件等。这些行为都对内网安全构成了极大的威胁。

3 计算机外部设备管理

如果不加限制地让内部人员在内网计算机上安装、使用可移动的存储设备如光驱、USB接口的闪盘、移动硬盘、数码相机等。将会通过移动存储介质间接地与外网进行数据交换,导致病毒的传入或者敏感信息、机密数据的传播与泄漏。

建立可控、可信内部网络,管理好客户端,我们必须从以下几方面着手:

1 完善规章制度

因为管理的制度化程度极大地影响着整个网络信息系统的安全,严格的安全管理制度、明确的部门安全职责划分、合理的人员角色定义都可以在很大程度上降低其它层次的安全漏洞。

2 建立适用的资产、信息管理

对接入内网的计算机的用户信息进行登记注册。在发生安全事件时能够以最快速度定位到具体的用户,对于未进行登记注册的将其隔离;收集客户端与安全相关的一些系统信息,包括:操作系统版本、操作系统补丁、软硬件变动等信息,同时针对这些收集的信息进行统计和分析,了解内网安全状况。

3 加强客户端进程、设备的有效管理

对搜集来的计算机软、硬件信息,形成内网计算机的软件资产报表,从而使管理员了解各计算机软、硬件及变化信息。及时发现安全隐患并予以解决。同时,配置软件运行预案,指定内网计算机必须运行的软件和禁止运行的软件,从而对计算机的软件运行情况进行检查,对未运行必须软件的情况发出报警,终止已运行的禁用软件的进程。

第3篇:网络安全保护措施制度范文

第一条为加强对计算机信息系统的安全保护,维护公共秩序和社会稳定,促进信息化的健康发展,根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》等规定,结合本市实际,制定本办法。

第二条本办法所称的计算机信息系统,是指由计算机及其相关的和配套的设备、设施(含有线、无线等网络,下同)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统,包括互联网、局域网、移动网等。

第三条*市行政区域范围内计算机信息系统的安全保护管理,适用本办法。

第四条*市公安局主管全市计算机信息系统安全保护管理工作。

*市公安局公共信息网络安全监察分局具体负责市区范围内(萧山区、余杭区除外)计算机信息系统安全保护管理工作。

各县(市)公安局和萧山区、余杭区公安分局负责本行政区域范围内计算机信息系统安全保护管理工作。

国家安全机关、保密机关、信息化行政主管部门及政府其他有关职能部门,在各自职责范围内负责计算机信息系统安全保护管理的有关工作。

第五条公安机关、国家安全机关、保密机关、信息化行政主管部门及政府其他有关职能部门,应当建立协调合作管理机制,共同做好计算机信息系统安全保护管理工作。

第六条公安机关、国家安全机关、保密机关、信息化行政主管部门及政府其他有关职能部门在履行管理职责过程中,应当保护计算机信息系统使用单位和个人的合法权益,保守其秘密。

计算机信息系统使用单位和个人应当协助公安机关等有关职能部门做好计算机信息系统的安全保护管理工作。在公安机关等有关职能部门依法履行管理职责时,使用单位和个人应当如实提供本单位计算机信息系统的技术资料。

第七条计算机信息系统的安全保护工作,重点维护下列涉及国家事务、公共利益、经济建设、尖端科学技术等重要领域和单位(以下简称重点安全保护单位)的计算机信息系统的安全:

(一)各级国家机关;

(二)金融、证券、保险、期货、能源、交通、社会保障、邮电通信及其他公用事业单位;

(三)重点科研、教育单位;

(四)有关国计民生的企业;

(五)从事国际联网的互联单位、接入单位及重点政务、商务、新闻网站;

(六)向公众提供上网服务的单位;

(七)互联网络游戏、手机短信转发、各类聊天室等互动栏目的开发、运营和维护单位;

(八)其他对社会公共利益有重大影响的计算机信息系统使用单位。

第二章计算机信息系统使用单位的安全管理

第八条计算机信息系统使用单位应当建立人员管理、机房管理、设备设施管理、数据管理、磁介质管理、输入输出控制管理和安全监督等制度,健全计算机信息系统安全保障体系,保障本单位计算机信息系统安全。

第九条计算机信息系统使用单位应当确定本单位的计算机信息系统安全管理责任人。安全管理责任人应履行下列职责:

(一)组织宣传计算机信息系统安全保护管理方面的法律、法规、规章和有关政策;

(二)组织实施本单位计算机信息系统安全保护管理制度和安全保护技术措施;

(三)组织本单位计算机从业人员的安全教育和培训;

(四)定期组织检查计算机信息系统的安全运行情况,及时排除安全隐患。

第十条计算机信息系统使用单位应当配备本单位的计算机信息系统安全技术人员。安全技术人员应履行下列职责:

(一)严格执行本单位计算机信息系统安全保护技术措施;

(二)对计算机信息系统安全运行情况进行检查测试,及时排除安全隐患;

(三)计算机信息系统发生安全事故或违法犯罪案件时,应立即向本单位报告,并采取妥善措施保护现场,避免危害的扩大;

(四)负责收集本单位的网络拓扑结构图及信息系统的其他相关技术资料。

第十一条重点安全保护单位应当建立并执行以下安全保护管理制度:

(一)计算机机房安全管理制度;

(二)安全管理责任人、安全技术人员的安全责任制度;

(三)网络安全漏洞检测和系统升级管理制度;

(四)操作权限管理制度;

(五)用户登记制度;

(六)信息审查、登记、保存、清除和备份制度;

(七)信息保密制度;

(八)信息系统安全应急处置制度;

(九)其他相关安全保护管理制度。

第十二条重点安全保护单位应当落实以下安全保护技术措施:

(一)系统重要部分的冗余措施;

(二)重要信息的异地备份措施和保密措施;

(三)计算机病毒和有害数据防治措施;

(四)网络攻击防范和追踪措施;

(五)安全审计和预警措施;

(六)信息群发限制措施;

(七)其他相关安全保护技术措施。

第十三条重点安全保护单位的安全管理责任人和安全技术人员,应当经过计算机信息系统安全知识培训。

第十四条重点安全保护单位应当对其主服务器输入输出数据进行24小时监控,发现异常数据应注意保护现场,并同时报告公安机关等有关职能部门。

第十五条使用和销售计算机信息系统安全专用产品,必须是依法取得计算机信息系统安全专用产品销售许可证的产品。

进入本市销售计算机信息系统安全专用产品的销售单位,其销售产品目录应报市公安局备案。

市公安局应定期通告,公布合格的计算机信息系统安全专用产品目录。

保密技术专用产品的管理,按照国家和省、市的有关规定执行。

第十六条计算机信息系统使用单位发现计算机信息系统中发生安全事故和违法犯罪案件时,应在24小时内向当地公安机关报告,并做好运行日志等原始记录的现场保留工作。涉及重大安全事故和违法犯罪案件的,未经公安机关查勘或同意,使用单位不得擅自恢复、删除现场。涉及其他管理部门法定职权的,公安机关应当在接到报告后及时通知有关部门。

第十七条计算机信息系统发生突发性事件或存在安全隐患,可能危及公共安全或损害公共利益时,公安机关等有关职能部门应当及时通知计算机信息系统使用单位采取安全保护措施,并有权对使用单位采取暂停联网、停机检查、备份数据等应急措施,计算机信息系统使用单位应当予以配合。

突发性事件或安全隐患消除之后,公安机关等有关职能部门应立即解除暂停联网或停机检查措施,恢复计算机信息系统的正常工作。

第三章计算机信息系统安全检测

第十八条重点安全保护单位的计算机信息系统进行新建、改建、扩建的,其安全保护设计方案应报公安机关备案。

系统建成后,重点安全保护单位应进行1至6个月的试运行,并委托符合条件的检测机构对其系统进行安全保障体系检测,检测合格的,系统方能投入正式运行。重点安全保护单位应将检测合格报告书报公安机关备案。

计算机信息系统的建设、检测等按照国家和省、市的有关规定执行。

第十九条计算机信息系统安全保障体系检测包括以下内容:

(一)安全保护管理制度和安全保护技术措施的制定和执行情况;

(二)计算机硬件性能和机房环境;

(三)计算机系统软件和应用软件的可靠性;

(四)技术测试情况和其他相关情况。

市公安局应当根据计算机信息系统安全保护的行业特点,会同有关部门制定并公布重点行业计算机信息系统安全保障体系的安全要求规范。

第二十条重点安全保护单位对计算机信息系统进行设备更新或改造时,对安全保障体系产生直接影响的,应当委托符合条件的检测机构对受影响的部分进行检测,确保其符合该行业计算机信息系统安全保障体系的安全要求规范。

第二十一条重点安全保护单位应加强对计算机信息系统的安全保护,定期委托符合条件的检测机构对计算机信息系统进行安全保障体系检测,并将检测合格报告书报公安机关备案。对检测不合格的,重点安全保护单位应当按照该行业计算机信息系统安全保障体系的安全要求规范进行整改,整改后达到要求的,系统方能继续运行。

第二十二条公安机关应当会同有关部门,按照国家有关规定和相关行业安全要求规范,对重点安全保护单位的计算机信息系统安全保障体系进行检查。检查内容包括:

(一)安全保护管理制度和安全保护技术措施的落实情况;

(二)计算机信息系统实体的安全;

(三)计算机网络通讯和数据传输的安全;

(四)计算机软件和数据库的安全;

(五)计算机信息系统安全审计状况和安全事故应急措施的执行情况;

(六)其他计算机信息系统的安全情况。

第二十三条公安机关等有关职能部门发现重点安全保护单位的计算机信息系统存在安全隐患、可能危及公共安全或损害公共利益的,可委托符合条件的检测机构对其安全保障体系进行检测。经检测发现存在安全问题的,重点安全保护单位应当立即予以整改。

第二十四条检测机构进行计算机信息系统安全检测时,应保障被检测单位各种活动的正常进行,并不得泄露其秘密。

检测机构应当严格按照国家有关规定和相关规范进行检测,并对其出具的检测报告承担法律责任。

第四章计算机信息网络公共秩序管理

第二十五条互联网络接入单位以及申请从事互联网信息服务的单位和个人,除应当按照国家有关规定办理相关手续外,还应当自网络正式联通之日起30日内到公安机关办理安全备案手续。

第二十六条用户在接入单位办理入网手续时,应当填写用户备案表。接入单位应当定期将接入本网络的用户情况报当地公安机关备案。

第二十七条设立互联网上网服务营业场所,应当按照《互联网上网服务营业场所管理条例》的规定向公安机关申请信息网络安全审核。经公安机关审核合格,发给互联网上网服务营业场所信息网络安全许可证明后,再向文化、工商部门办理有关审批手续。

互联网上网服务营业场所经营单位变更营业场所地址或者对营业场所进行改建、扩建,变更计算机数量或者其他重要事项的,应当经原审核机关同意。

互联网上网服务营业场所经营单位变更名称、住所、法定代表人或者主要负责人、注册资本、网络地址或者终止经营活动的,应当依法到工商行政管理部门办理变更登记或者注销登记,并到文化行政部门、公安机关办理相关手续。

第二十八条互联网上网服务营业场所经营单位必须使用固定的IP地址联网,并按规定落实安全保护技术措施。

互联网上网服务营业场所经营单位应按规定对上网人员进行电子实名登记,登记内容包括姓名、身份证号码、上网起止时间,并应记录上网信息。登记内容和记录备份保存时间不得少于60日,在保存期内不得修改或者删除。

第二十九条任何单位和个人不得从事下列危害计算机信息网络安全的活动:

(一)未经授权查阅他人电子邮箱,或者以赢利和非正常使用为目的,未经允许向第三方公开他人电子邮箱地址;

(二)故意向他人发送垃圾邮件,或者冒用他人名义发送电子邮件;(三)利用计算机信息网络传播有害手机短信;

(四)侵犯他人隐私、窃取他人帐号、进行网上诈骗活动;

(五)未经计算机信息网络所有者同意,扫描他人信息网络漏洞;

(六)利用计算机信息网络鼓动公众恶意评论他人或公开他人隐私,或者暗示、影射对他人进行人身攻击;

(七)其他危害计算机信息网络安全的行为。

第三十条从事信息网络经营、服务的单位和个人应当遵守下列规定:

(一)制订安全保护管理制度,对本网络用户进行安全教育;

(二)落实安全保护技术措施,保障本网络的运行安全和其的信息安全;

(三)建立电子公告系统的信息审核制度,设立信息审核员,发现有害信息的,应在做好数据保存工作后及时删除;

(四)发现本办法第二十九条中各类情况时应保留有关稽核记录,并立即向公安机关报告;

(五)落实信息群发限制、匿名转发限制和有害数据防治措施;

(六)落实系统运行和上网用户使用日志记录措施;

(七)按公安机关要求报送各类接入状况及基础数据。

第三十一条发现计算机信息网络传播病毒、转发垃圾邮件、转发有害手机短信或传播有害信息的,信息网络的经营、服务单位和个人应当采取技术措施予以防护和制止,并在24小时内向公安机关报告。

对不采取技术措施予以防护和制止的信息网络经营、服务单位和个人,公安机关有权责令其采取技术措施,或主动采取有关技术措施予以防护和制止。

第三十二条公安机关应对计算机信息网络的安全状况、公共秩序状况进行经常性监测,发现危害信息安全和危害公共秩序的事件应及时进行处理,并及时通知有关单位和个人予以整改。

第五章法律责任

第三十三条违反本办法规定,有下列行为之一的,给予警告,责令限期改正,并可处以1000元以上10000元以下罚款;情节严重的,可以给予6个月以内停机整顿的处罚:

(一)计算机信息系统使用单位未建立安全保护管理制度或未落实安全保护技术措施,危害计算机信息系统安全的;

(二)计算机信息系统使用单位不按照规定时间报告计算机信息系统中发生的安全事故和违法犯罪案件,造成危害的;

(三)重点安全保护单位的计算机信息系统未经检测或检测不合格即投入正式运行的。

第三十四条违反本办法规定,销售计算机信息系统安全专用产品未向公安机关备案的,给予警告,责令限期改正,并可处以200元以上2000元以下罚款。

第三十五条违反本办法规定,接入单位或从事互联网信息服务的单位和个人不办理安全备案手续的,给予警告,责令限期改正,并可处以1000元以上5000元以下的罚款;情节严重的,可以给予6个月以内停机整顿的处罚。

第三十六条违反本办法规定,未取得互联网上网服务营业场所信息网络安全许可证明从事互联网上网服务经营活动的,责令限期补办手续,并可处以1000元以上10000元以下的罚款。

第三十七条有本办法第二十九条规定行为之一的,给予警告,责令限期改正,并可处以1000元以上5000元以下的罚款;情节严重的,可以给予6个月以内停机整顿的处罚。

第三十八条违反本办法第三十条和第三十一条第一款规定的,给予警告,责令限期改正,并可处以1000元以上10000元以下的罚款;情节严重的,可以给予6个月以内停机整顿的处罚。

第三十九条计算机信息系统使用单位的安全管理责任人和安全技术人员不履行本办法规定的职责,造成安全事故或重大损害的,给予警告,并可建议其所在单位按照相关规定给予其行政处分。

第四十条对本办法规定的行政处罚,市区范围内(萧山区、余杭区除外)由市公安局公共信息网络安全监察分局负责;各县(市)和萧山区、余杭区范围内由各县(市)公安局和萧山区、余杭区公安分局负责。

第4篇:网络安全保护措施制度范文

关键词:会计 信息系统 安全建设

在信息技术环境下,企业运转在很大程度上依赖于各种信息系统的支持。借助财务应用软件和互联网技术,企业实现了财务会计核算的一体化和财务核算信息的集成,极大地提高了财务管理工作的及时性、准确性,丰富了会计内容,提高了信息质量。保证企业会计信息系统安全稳定、良好运行一直是企业关注的重点。

一、企业会计信息系统安全的内容

现代企业会计信息系统是利用通信技术、网络技术、计算机技术、信息技术,在财务管理规范化、标准化和程序化的基础上,完成财务、资产有关数据的采集、传递、加工、处理、存储和管理等工作,并能及时完整准确地出具财务报告,具备一定分析和决策功能的网络信息系统。会计信息系统不再仅局限于单纯的会计核算,而是融合了资金管理、预算管理等功能,对企业经营的预测、决策、规划、控制等发挥了重要作用。

信息安全是为了防范意外或人为破坏信息系统的运行,或非法使用信息资源而对信息系统采取的安全保护措施。企业会计信息系统安全包括了信息系统硬件安全、软件安全两方面的内容。

信息系统硬件安全是指为避免因自然灾害、人为破坏、操作失误、硬件故障、电磁干扰、丢失被盗等带来的危险,而对系统所处环境、设备、设施、载体和人员采取的安全应对措施。信息系统软件安全是为避免软件数据或资料泄露、被窃取、黑客病毒攻击等带来的危险,而对计算机程序和系统文档资料采取的安全保护措施。

二、信息系统安全管理的技术措施

结合企业会计信息系统安全的内容,保证信息系统安全需要采取以下几种措施:

1、环境安全措施。即对信息系统所处的环境有一定的要求:计算机机房重地应远离易燃、易爆、有害气体等各种危险物品;机房应有监控系统,做到监控和监视;机房电源、通信设备应有防雷措施,要配备不间断电源等;对存储大量信息的磁介质、光盘介质等载体定期备份整理,做好安全保护措施。

2、操作系统安全措施。在应用软件操作系统中严格执行“不相容岗位分离、按权限分级审批”的原则;在人员调整岗位、轮换中做好权限分配管理;在资金内部结算和银行网络支付中做到介质口令双重加密。

3、数据库系统安全措施。基本要求为:保证数据库的完整性、保密性、可用性及有用性。从安全管理和存取控制保证数据库的合法使用,防止财务数据外泄;通过对数据库加密防止攻击者借助某种手段直接进入系统访问而造成数据泄露;对一些无法避免的破坏可采取数据库恢复技术进行补救。

4、通信网络安全措施。通信网络安全威胁有偶然和故意两种。偶然威胁有天灾、故障、误操作等;故意威胁是第三者恶意的行为和电子交易对方的恶意行为,针对这些威胁采取的安全措施有加密技术、防火墙技术等。

5、应用系统数据安全措施。主要是保护财务应用软件中数据的完整性、保密性和可用性,防止泄漏、非法修改、删除、盗用和窃取数据信息。保护措施包括:对重要的数据及系统状态进行监控,对访问数据的用户进行的读写、删除、修改等各种操作进行监视;系统管理人员能够通过特定方式随时了解、掌握系统或数据的运行情况,并对不正常的运行状况和操作进行控制;通过验证用户身份避免非法访问;对重要数据多个备份,并存放于不会同时受到破坏的地方;存储重要数据的计算机系统与外部实现物理隔离并进行电磁屏蔽。

三、信息系统安全管理的企业环境构建

财政部、证监会等五部委联合的《内部控制系统应用指引第18号——信息系统》明确指出“企业应当加强信息系统运行与维护的管理,制定信息系统工作程序、信息管理制度以及各模块子系统的具体操作规范,及时跟踪、发现和解决系统运行中存在的问题,确保信息系统按照规定的程序、制度和操作规范持续稳定运行”,“企业开发信息系统,应当将生产经营管理业务流程、关键控制点和处理规则嵌入系统程序,实现手工环境下难以实现的控制功能”,从中可以看出,企业可以通过建设和使用信息系统来完成手工无法完成的工作,构建会计信息系统的企业环境,从而提高企业的竞争优势。

1、完善制度。制度是要求大家共同遵守的办事规程或行动准则,建立完善的规章制度有助于对企业财务管理主体应当履行的职责、享有的权利、承担的义务及其财务行为进行规范,有助于促进企业信息化发展,推动企业会计信息系统制度创新和风险防范。

2、人才培养。财务管理与信息技术的有机结合促使企业利用先进的技术来提高企业管理水平,从而实现财务与业务一体化,这无疑对企业财务人员的素质和技能提出了更高要求。财务人员不仅要懂财务,而且要懂信息技术。培养胜任信息化财务管理的复合型人才是企业发挥信息化功能的首要条件。加强财务人员专业素质的提升,提高财务人员的安全意识,从人文社会角度解决了信息系统安全管理的问题。

信息时代,企业只有从经济全球化发展的视角构建适应信息化财务管理发展的相关环境,不断摸索和掌握信息化财务管理的运行规律,及时发现信息系统安全建设中存在的问题,不断制定完善适应信息技术和网络发展配套措施,才能使信息化财务管理得到最大限度的发展,提高企业财务管理水平。

参考文献:

1、企业内部控制基本规范2010,中国财政经济出版社,2010-04

2、企业内部控制配套指引,立信会计出版社,2010-05

第5篇:网络安全保护措施制度范文

关键词:事业单位;网络安全等级保护;部署建议

0引言

网络安全等级保护制度是保障各事业单位网络安全的重要方法,通过进行网络安全分级保护,可以高效解决目前事业单位所面临的网络安全问题,按照“重点优先”的思想,将资源有的放矢地投入到网络安全建设中,有助于快速夯实网络安全等级保护的基础。

1网络安全等级保护定义

网络安全等级保护是指对单位内的秘密信息和专有信息以及可以公开的信息进行分级保护,对信息系统中的防火墙进行分级设置,对产生的网络安全事件建立不同的响应机制。这种保护制度共分为五个级别:自主保护、指导保护、监督保护、强制保护、专控保护。不同的信息拥有不同的机密性,就会有相应的安全保护机制。近期,网络安全等级保护制度2.0国家标准正式,这对加强网络安全保卫工作、提升网络能力具有重大意义。

2网络安全等级保护现状分析

按照新的网络安全等级保护要求,绝大多数单位在网络安全技术和管理方面存在差距和盲点,网络安全保障体系仍需完善。主要表现在以下几个方面:(1)网络安全管理工作有待进一步加强在网络安全管理制度方面存在不够完善,对信息资产管理、服务外包管理等缺乏网络安全方面有关要求。未建立体系化的内部操作规程,而且对网络安全管理和技术人员专业技能培训相对较少,网络安全等级保护的定级、备案及测评等未开展。运维工作的部分操作不规范,随意性较强,对网络、系统安全稳定运行造成风险。(2)网络架构存在安全隐患和较为明显的脆弱性有的内网连接,虽部署了防火墙进行网络访问控制,但是部分防火墙缺乏安全配置及管理,访问控制策略不严格,同时某些单位内部网络也缺乏分区和边界控制措施,无法限制非授权用户接入内网和授权用户滥用授权违规外联外网的行为,部分单位发现终端跨接内外网的现象,导致整个单位的内网存在“一点接入,访问全网,攻击全网”的安全风险。(3)主机计算环境抵御攻击能力较低主机服务器未及时更新系统安全补丁,导致存在比如MS17-010(永恒之蓝)、弱口令等高危漏洞;部分服务器未部署防病毒软件、病毒库未更新,没有恶意代码防范措施,部分单位的终端感染木马病毒,一旦被利用,可能导致内部服务器主机大面积感染恶意程序等事件发生。(4)应用系统安全防范措施缺失有的运行在内网应用系统,存在高风险安全漏洞;在应用系统身份鉴别、数据完整性、保密性保护等方面存在策略配置不足问题,结合其他安全风险,会带来系统服务安全、数据安全等较严重的安全问题。(5)数据安全保护能力不足有的未对专网的重要数据进行分级分类管理,数据安全保护措施缺失,专网中的数据库普遍存在弱口令、远程代码执行漏洞等高危安全漏洞,极易被攻击利用,大量的业务数据和敏感信息存在较高的安全风险。(6)物理安全基础保障欠缺有的机房未对进出人员进行鉴别登记,易造成机房遭受恶意人员破坏,存在安全风险。有的机房未部署门禁系统,未安装防盗报警系统等进行盗窃防护。

3网络安全等级保护部署建议

3.1构建等保系统框架

根据安全等级保护的总体思想,提出如图1的网络安全管理体系架构。“总体安全策略”处于网络安全管理体系的最高层级,是单位网络安全管理体系的首要指导策略。“安全管理组织框架”位于网络安全管理体系的第二层,负责建立该单位网络安全管理组织框架。它既确保了信息系统运行时资料不会被泄露,也塑造了一个能稳定运行信息系统的管理体系,保证网络安全管理活动的有效开展。“安全管理制度框架”位于网络安全管理体系的第三层,分别从安全管理机构及岗位职责、信息系统的硬件设备的安全管理、系统建设管理、安全运行管理、安全事件处置和应急预案管理等方面提出规范的安全管理要求。网络安全管理体系的第四层描述的是如何进行规范配置和具体的操作流程以及如何对运行活动进行记录。从日常安全管理活动的执行出发,对主要安全管理活动的具体配置、操作流程、执行规范等各种各样的安全管理活动做出具体操作指示,指导安全管理工作的具体执行[1]。

3.2划分安全域

根据安全等级保护系统总体架构,重新划分网络安全域。各安全域安全管理策略应遵循统一的基本要求,具体如下:(1)保证关键网络设备的业务处理能力满足高峰期业务需求,通过网络拓扑结构设计,避免存在网络单点故障。(2)部署高效的防火墙设备,防止包括DDOS在内的各类网络攻击;在通信网络中部署IPS、入侵检测系统、监控探针等,监视各种网络攻击行为。(3)在关键位置部署数据库审计系统,对数据库重要配置、操作、更改进行审计记录。(4)对于每一个访问网络的用户将会进行身份验证,确保配置管理的操作只有被赋予权限的网络管理员才能进行[2]。(5)部署流量检测设备,通过Flow采集技术,建立流量图式基线,根据应用情况控制和分配流量。(6)增加除口令以外的技术措施,实现双因素认证[3]。(7)如需远程管理网络设备和安全设备,应采用加密方式,避免身份鉴别信息在网络传输过程中被窃取。(8)能够及时有效阻断接入网络的非授权设备。

3.3控制安全边界

基于部署的网络安全软硬件设备,设置相应的安全规则,从而实现对安全边界的控制管理。主要安全策略包括:(1)互联网区域应用安全:必须经过边界防火墙的逻辑隔离和安全访问控制。(2)专网区域应用安全:对于访问身份和访问权限有明显界定,必须经过边界防火墙的逻辑隔离和安全访问控制,其他区域和用户都不允许直接访问。(3)互联网区域数据安全:只允许外部应用域的应用服务器访问,其他区域用户不能直接访问。对数据域的访问受到访问身份和访问权限的约束,必须经边界防火墙的逻辑隔离和安全访问控制。(4)专网区域数据安全:只允许内部应用域的应用服务器访问,其他区域和用户都不允许直接访问。要访问也必须具有受信的访问身份和访问权限。(5)互联网区域和专网区域交互安全:对于内外部之间的信息交互,采用数据摆渡和应用协议相结合的方式进行,严格控制双网之间存在TCP/IP协议以及其他网络协议的连接。(6)开发测试安全:开发测试域作为非信任区域,要求只能在受限的前提下进行网络访问,必须经过边界防火墙的逻辑隔离和安全访问控制。(7)密码应用安全:所有涉及密码应用的网络安全设备,所采用的密码算法必须为国密算法。(8)统一安全管理:防火墙、IDS、IPS、防病毒网关、网络安全审计和数据库安全审计系统的日志统一发送到安全管理区的安全管理平台进行分析。(9)终端安全管理:办公设备统一部署终端安全管理系统,并能够有效管理终端安全配置,准入控制、防病毒功能,以及系统补丁升级。(10)设备知识产权:所涉及网络安全设备的,必须是具有国产知识产权。

4总结

网络安全等级保护工作事关重大,它是一个系统工程,需要各级人员多方面的协调合作。只有尽快补齐安全防护短板,才能切实提高一个单位的安全支撑能力、安全检测能力、安全防护能力、应急响应能力和容灾恢复能力,从而更好地保障一个单位网络安全建设的可持续发展。

参考文献

[1]欧阳莎茜.运用大数据制定园区安全环保用电策略的实例分析[D].西南交通大学,2017.

第6篇:网络安全保护措施制度范文

[关键词]校园网络 安全现状 防范措施

随着信息化程度的提高,许多学校都建立了校园网络并投入使用,这无疑对加快信息处理,提高工作效率,减轻劳动强度,实现资源共享都起到无法估量的作用。网络的开放性、透明性与灵活有效的多业务增值能力使得它自身更容易受到攻击。安全性问题已成为网络最棘手、解决难度最大的问题,校园网络作为信息化建设的主要载体,校园网安全问题已经成为当前高校网络建设中不可忽视的首要问题。

一、校园网络的现状及影响

1.计算机与Internet相连,却没有安装相应的杀毒软件及防火墙

使用的操作系统存在安全漏洞,网络木马、病毒和黑客攻击影响到系统的安全。校内大部分计算机系统或多或少都存在着各种的漏洞,校园网络又对社会开放,这样一来只要接入INTERNET的用户就可以对校园的网络服务器进行攻击,而流行于网络上的很多病毒,如“震荡波、冲击波、尼姆达”等病毒都是利用系统的漏洞来进行病毒传播的,加上带毒的木马程序,一感染便驻留在你的计算机当中,在以后的计算机启动后,木马就在机器中打开一个服务,通过这个服务将你计算机的信息、资料向外传递。

2.病毒的危害

随着网络快速发展、网络病毒制造者水平的提高,通过网络传播的病毒有着巨大的破坏性。尤其是近几年来,网络病毒和黑客软件的结合,网络病毒的爆发直接导致用户的隐私和重要数据外泄,同时还极大地消耗了网络资源,造成网络性能急剧下降,甚至造成整个局域网严重堵塞和瘫痪。如当今最流行的蠕虫病毒,通过电子邮件、网络共享或主动扫描等方式从客户端感染校园网的Web服务器,改变网页的目录以繁衍自身,并通过发送垃圾邮件和扫描网络,导致网络“拒绝服务”,严重时造成网络瘫痪。因此,计算机病毒也是网络安全的直接威胁。

3.黑客的攻击与入侵

网络中的黑客指的是网络中的非法用户。一些黑客常常通过获取口令、偷取特权、网络监听、放置“特洛伊木马”程序等手段对网络系统中的服务器、交换机、路由器、PC机等进行文件、配置的修改、删除,操作系统的更改,有选择地破坏信息的有效性和完整性,导致大量用户数据的丢失、硬件设备的损坏,甚至系统的瘫痪。非法用户的攻击入侵也是校园网存在的一个安全问题。

4.网络设备管理不善造成的损坏

设备的破坏主要是指对网络硬件设备的破坏。在校园网中,网络设备分布在整个校园内,管理起来非常困难,根本无法时刻对这些设备进行全面的监控。如果这些设备没有任何保护措施或保护措施不当,那么就有可能被人有意或无意地损坏。网络设施一旦遭到破坏,就会造成校园网局部或全部瘫痪。

二、校园网络的安全防范措施

1.防火墙控制。网络及技术发展迅速,网络的开放性、透明性以及在软件设计及开发中难以避免的缺陷与漏洞,给恶意攻击造成了各种可乘之机。安装防火墙是防止此类恶意攻击的主要措施,防火墙是一个用来阻止网络中的黑客访问某个机构网络的屏障。它是两个网络之间执行控制策略的系统,是用来限制外部非法(未经许可)用户访问内部网络资源,通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻挡外部网络的侵入,防止偷窃或起破坏作用的恶意攻击。根据目前防火墙所采用技术的不同,可以将它分为四种基本类型:包过滤型、网络地址转换-NAT、型和监测型,监测型安全性能最好,作为校园网络的防火墙应以监测型防火墙为主,辅以其他类型防火墙。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,能够有效地判断出各层的非法侵入。同时,这种防火墙还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。监测型防火墙安全性上已超越了包过滤型和服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,这就要求各高校领导高度重视校园网络的建设,加大投入来维护校园网络的安全。

2.病毒预防。计算机病毒是影响高校校园网络安全的主要因素。随着网络的不断发展,计算机病毒也不断变种更新,而被广泛使用的网络操作系统本身也存在各种各样的安全问题,许多新型计算机病毒都是利用操作系统的漏洞进行传染的,影响计算机系统的正常运行、破坏系统软件和文件系统、破坏网络资源、使网络效率急剧下降,甚至造成计算机和网络系统的瘫痪。例如,时下流行“灰鸽子2007”、“熊猫烧香”、新病毒“ANI鼠标指针”(仿“熊猫烧香”)、“网游大盗”、“网银大盗”、“杂匪”变种e和“斯坎诺”变种q等危害极大。病毒似乎愈杀愈烈,泛滥成灾。因此,网络管理员要对操作系统进行及时更新,弥补各种漏洞,安装优秀防毒软件并及时更新,消除这些安全隐患。

3.访问控制。访问控制的主要任务是保证网络资源不被非法使用和访问,它是保证网络安全最重要的核心策略之一。(1)网络的权限控制。网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限,规定用户和用户组可以访问哪些目录、子目录、文件和其他资源,能够执行哪些操作。(2)网络服务器安全控制。网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块,可以安装和删除软件等。网络服务器的安全控制包括可以设置口令锁定服务器控制台,以防止非法用户修改、删除重要信息或破坏数据;可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。

4.计算机网络系统各种设备的维护。保护好计算机系统、web服务器、打印机等硬件实体和通信链路层网络设备免受自然灾害、人为破坏和搭线攻击等。

网络是一把双刃剑,在为我们提供便利的同时,也给校园网的安全带来了很大的威胁,而校园网的安全状况又直接影响到学校的教学、科研等多方面的活动。因此,对于校园网络的管理人员来讲,一定要提高网络安全意识,加强网络安全技术的掌握,注重对学生教工的网络安全知识培训,制定一套完整的规章制度来规范上网人员的行为。同时,还应加强学生网络道德教育,真正切实地净化校园网络,为教师和学生营造一个良好的学习生活环境。

参考文献:

[1]王斌,孔璐.防火墙与网络安全(入侵检测和VPNs)[M].清华大学出版社,2004.

[2]杨明福.计算机网络技术[M].经济科学出版社,2004.

[3]姚南生.校园网安全策略的探讨[J].淮南师范学院学报,2003,(3).

第7篇:网络安全保护措施制度范文

[关键词] 电子商务防火墙数字签名安全机制

电子商务源于英文ELECTRONIC COMMERCE,指的是利用简单、快捷、低成本的电子通讯方式,买卖双方不谋面地进行各种商贸活动。

作为一种全新的商务模式,它有很大的发展前途,同时,这种电子商务模式对管理水平、信息传递技术都提出了更高的要求,其中安全体系的构建又显得尤为重要。如何建立一个安全、便捷的电于商务应用环境,对信息提供足够的保护,是商家和用户都十分关注的话题。防火墙、VPN、数字签名等,这些安全产品和技术的使用可以从一定程度上满足网络安全需求,但不能满足整体的安全需求,因为它们只能保护特定的某一方面,如防火墙的最主要的功能就是访问控制功能,VPN可以实现加密传输,数字签名技术可以保证用户身份的真实性和不可抵赖性等等。而对于网络系统来讲,它需要的是一种整体的安全策略,这个策略不仅仅包括安全保护,它还应该包括安全管理、实时监控、响应和恢复措施,因为目前没有绝对的安全,无论你的网络系统布署的如何周密,你的系统总会有被攻击和攻破的可能,而这时你会怎么办呢?采取一些恢复措施,帮助你在最短的时间使网络系统恢复正常工作恐怕是最主要的了。

防火墙、VPN、数字签名等,这些安全产品和技术的使用可以从一定程度上满足网络安全需求,但不能满足整体的安全需求,因为它们只能保护特定的某一方面,如防火墙的最主要的功能就是访问控制功能,VPN可以实现加密传输,数字签名技术可以保证用户身份的真实性和不可抵赖性等等。而对于网络系统来讲,它需要的是一种整体的安全策略,在系统被攻击导致瘫痪时,以最快的速度使网络系统恢复正常工作是最主要的。因此在构筑你的网络安全解决方案中一定要注重一个整体的策略,下面我们将介绍一种整体的安全架构。

一、整体架构

这里我们介绍一种电子商务安全整体架构,该架构可以概括为一句话“一个中心,四个基本点”,一个中心就是以安全管理为中心,四个基本点是保护、监控、响应和恢复。这样一种架构机制囊括了从保护到在线监控,到响应和恢复的各个方面,是一种层层防御的机制,即使第一道大门被攻破了,还会有第二道、第三道大门,即使所有的大门都被攻破了,还有恢复措施,因此这种架构可以为用户构筑一个整体的安全方案。

安全管理是中心,它渗透到四个基本点中去,而这四个基本点各占据电子商务安全的四个方面,即保护、监控、响应和恢复。安全管理指导四个基本点的工作,四个基本点体现和完成安全管理的任务,它们相辅相成,构成一个完整的体系,满足电子商务安全的整体需求。

1.安全管理

安全管理就是通过一些管理手段来达到保护网络安全的目的。它所包含的内容有安全管理制度的制定、实施和监督,安全策略的制定、实施、评估和修改,以及对人员的安全意识的培训、教育等。

2.保护

保护就是采用一些网络安全产品、工具和技术保护网络系统、数据和用户。这种保护可以称作静态保护,它通常是指一些基本防护,不具有实时性,如在制定的安全策略中有一条,不允许外部网用户访问内部网的Web服务器,因此我们就可以在防火墙的规则中加入一条,禁止所有从外部网用户到内部网Web服务器的连接请求,这样一旦这条规则生效,它就会持续有效,除非我们改变了这条规则。这样的保护可以预防已知的一些安全威胁,而且通常这些威胁不会变化,所以称为静态保护。

3.监控/审计

监控就是实时监控网络上正在发生的事情,这是任何一个网络管理员都想知道的。审计一直被认为是经典安全模型的一个重要组成部分。审计是通过记录下通过网络的所有数据包,然后分析这些数据包,帮助你查找已知的攻击手段、可疑的破坏行为,来达到保护网络的目的。

监控和审计是实时保护的一种策略,它主要满足一种动态安全的需求。因为网络安全技术在发展的同时,黑客技术也在不断的发展,因此网络安全不是一层不变的,也许今天对你来说安全的策略,明天就会变得不安全,因此我们应该时刻关注网络安全的发展动向,以及网络上发生的各种各样的事情,以便及时发现新的攻击,制定新的安全策略。有些人可能会认为这样就不需要基本的安全保护,这种想法是错误的,因为安全保护是基本,监控和审计是其有效的补充,只有这两者有效结合,才能够满足动态安全的需要。

4.响应

响应就是当攻击正在发生时,能够及时做出响应,如向管理员报告,或者自动阻断连接等,防止攻击进一步的发生。响应是整个安全架构中的重要组成部分。因为即使你的网络构筑的相当安全,攻击或非法事件也是不可避免的要发生的,所以当攻击或非法事件发生的时候,应该有一种机制对此做出反应,以便让管理员及时了解到什么时候网络遭到了攻击,攻击的行为是什么样的,攻击的结果如何,应该采取什么样的措施来修补安全策略,弥补这次攻击的损失,以及防止此类攻击再次发生。

5.恢复

当入侵发生后,对系统造成了一定的破坏,如网络不能正常工作、系统数据被破坏等,这时,必须有一套机制来及时恢复系统正常工作,因此恢复在电子商务安全的整体架构中也是不可少的一个组成部分。恢复是最终措施,因为攻击既然已经发生了,系统也遭到了破坏,这时只有让系统以最快的速度运行起来才是最重要的,否则损失将更为严重。

二、安全架构的工作机制

在这个安全架构中,五个方面是如何协调工作的呢?下面将以一个例子来介绍。假设有一个黑客欲攻击一内部网,这个内部网整体安全架构就如前面介绍的一样,那么现在让我们来看看这个安全架构是如何工作来抵制黑客攻击得。

首先,当这个黑客开始向内部网发起攻击的时候,在内部网的最外面有一个保护屏障,如果保护屏障可以制止黑客进入内部网,那么内部网就不可能受到黑客的破坏,别的机制就不用起作用,这时网络的安全得以保证。

随后,黑客通过继续努力,可能获得了进入内部网的权力,也就是说他可能欺骗了保护机制而进入内部网,这时监控/审计机制开始起作用,监控/审计机制能够在线看到发生在网络上的任何事情,它们能够识别出这种攻击,如发现可疑人员进入网络,这样它们就会给响应机制一些信息,响应机制根据监控/审计结果来采取一些措施,如立刻断开这条连接、取消服务、查找黑客通过何种手段进入网络等等,来达到保护网络的目的。

最后,黑客通过种种努力,终于进入了内部网,如果一旦黑客对系统进行了破坏,这时及时恢复系统可用将是最主要的事情了,这样恢复机制就是必须的了。当系统恢复完后,又是新一轮的安全保护开始了。

而安全管理是如何体现出来的呢?安全管理在这个过程中一直存在,因为这四个基本点是借用安全工具来实现安全管理的,这四个基本点运行的好坏,直接和安全管理相关,比方说在保护这个基本点上,如果制定的安全保护策略周到详细,也许黑客就没有进入内部网的可能。所以安全管理是中心,四个基本点是安全管理的实施体现和实现。

这种架构是保护了从攻击的开始到结束的各个方面的安全的架构,它是依照攻击的顺序,在每个攻击点上都有保护措施,从而实现了电子商务安全的整体架构。

三、结束语

电子商务领域的安全问题一直是备受关注的问题,因此如何更好的解决这个问题是推进电子商务更好更快发展的动力。但是因为安全问题是不断发展变化的,所以解决安全问题的手段也会不断变化,但变化中有不变,这就是说要解决的根本问题是不变的,所以应用这种架构来保证电子商务的安全无疑是有效的。

参考文献:

[1]陈月波:电子商务概论.北京:清华大学出版社,1998

[2]林涛:网络安全与管理.电子工业出版社,1999

[3]劳帼龄:电子商务的安全技术.中国水利水电出版社,2000

[4]黄允聪林东:网络安全基础.北京:清华大学出版社,1998

[5]樊成丰林东:网络信息安全&PGP加密.北京:清华大学出版社,1999

[6]刘晓敏:网络环境下信息安全的技术保护,情报科学,1999

第8篇:网络安全保护措施制度范文

    关键词:网络 安全策略 数据 访问

    0 引言

    随着我国经济与科技的不断发展,企业数字化管理作为为网络时代的产物,已经成为企业管理发展的方向。随着各企业内部网络规模的急剧膨胀,网络用户的快速增长,企业内部网安全问题已经成为当前各企业网络建设中不可忽视的首要问题。

    1 目前企业内部网络的安全现状

    1.1 操作系统的安全问题 目前,被广泛使用的网络操作系统主要是UNIX、WINDOWS 和Linux等,这些操作系统都存在各种各样的安全问题,许多新型计算机病毒都是利用操作系统的漏洞进行传染。如不对操作系统进行及时更新,弥补各种漏洞,计算机即使安装了防毒软件也会反复感染。

    1.2 病毒的破坏 计算机病毒影响计算机系统的正常运行、破坏系统软件和文件系统、破坏网络资源、使网络效率急剧下降、甚至造成计算机和网络系统的瘫痪,是影响企业内部网络安全的主要因素。

    1.3 黑客 在《中华人民共和国公共安全行业标准》中,黑客的定义是:“对计算机系统进行非授权访问的人员”,这也是目前大多数人对黑客的理解。大多数黑客不会自己分析操作系统或应用软件的源代码、找出漏洞、编写工具,他们只是能够灵活运用手中掌握的十分丰富的现成工具。黑客入侵的常用手法有:端口监听、端口扫描、口令入侵、JAVA炸弹等。

    1.4 口令入侵 为管理方便,一般来说,企业为每个上网的领导和工人分配一个账号,并根据其应用范围,分配相应的权限。某些人员为了访问不属于自己应该访问的内容,用不正常的手段窃取别人的口令,造成了企业管理的混乱及企业重要文件的外流。

    1.5 非正常途径访问或内部破坏 在企业中,有人为了报复而销毁或篡改人事档案记录;有人改变程序设置,引起系统混乱;有人越权处理公务,为了个人私利窃取机密数据。这些安全隐患都严重地破坏了学校的管理秩序。

    1.6 设备受损 设备破坏主要是指对网络硬件设备的破坏。企业内部网络涉及的设备分布在整个企业内,管理起来非常困难,任何安置在不能上锁的地方的设施,都有可能被人有意或无意地损坏,这样会造成企业内部网络全部或部分瘫痪的严重后果。

    1.7 敏感服务器使用的受限 由于财务等敏感服务器上存有大量重要数据库和文件,因担心安全性问题,不得不与企业内部网络物理隔离,使得应用软件不能发挥真正的作用。

    1.8 技术之外的问题 企业内部网是一个比较特殊的网络环境。随着企业内部网络规模的扩大,目前,大多数企业基本实现了科室办公上网。由于上网地点的扩大,使得网络监管更是难上加难。由于企业中部分员工对网络知识很感兴趣,而且具有相当高的专业知识水平,有的员工上学时所学的专业甚至就是网络安全,攻击企业内部网就成了他们表现才华,甚至是泄私愤的首选。其次,许多领导和员工的计算机网络安全意识薄弱、安全知识缺乏。企业的规章制度还不够完善,还不能够有效的规范和约束领导和员工的上网行为。

    2 企业内部网络安全策略

    安全策略是指一个特定环境中,为保证提供一定级别的安全保护所必须遵守的规则。安全策略包括严格的管理、先进的技术和相关的法律。安全策略决定采用何种方式和手段来保证网络系统的安全。即首先要清楚自己需要什么,制定恰当的满足需求的策略方案,然后才考虑技术上如何实施。

    2.1 物理安全策略 保证计算机网络系统各种设备的物理安全是整个网络安全的前提。物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。其目的是保护计算机系统、web 服务器、打印机等硬件实体和通信链路层网络设备免受自然灾害、人为破坏和搭线攻击等。它主要包括两个方面:①环境安全。对系统所在环境的安全保护, 确保计算机系统有一个良好的电磁兼容工作环境。②设备安全。包括设备的防盗、防毁、防电磁信息辐射泄漏、抗电磁干扰及电源保护等。

    2.2 访问控制策略 访问控制的主要任务是保证网络资源不被非法使用和访问, 它是保证网络安全最重要的核心策略之一。主要有以下七种方式:①入网访问控制。入网访问控制为网络访问提供了第一层访问控制, 它控制哪些用户能够登录到服务器并获取网络资源;控制准许用户入网的时间和准许他们在哪台工作站入网。②网络的权限控制。网络的权限控制是针对网络非法操作所提出的一种安全保护措施。③目录级安全控制。网络应允许控制用户对目录、文件、设备的访问。④属性安全控制。当用文件、目录和网络设备时,网络系统管理员应给文件、目录等指定访问属性。⑤网络服务器安全控制。网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块,可以安装和删除软件等操作。⑥网络监测和锁定控制。网络管理员应对网络实施监控,服务器应记录用户对网络资源的访问,对非法的网络访问,服务器应以图形或文字或声音等形式报警,以引起网络管理员的注意。⑦网络端口和节点的安全控制。端口是虚拟的“门户”,信息通过它进入和驻留于计算机中,网络中服务器的端口往往使用自动回呼设备、静默调制解调器加以保护,并以加密的形式来识别节点的身份。自动回呼设备用于防止假冒合法用户,静默调制解调器用以防范黑客的自动拨号程序对计算机进行攻击。

    2.3 防火墙控制策略 防火墙是近期发展起来的一种保护计算机网络安全的技术性措施,它是一个用以阻止网络中的黑客访问某个机构网络的屏障。它是位于两个网络之间执行控制策略的系统(可能是软件或硬件或者是两者并用),用来限制外部非法(未经许可)用户访问内部网络资源,通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻挡外部网络的侵入,防止偷窃或起破坏作用的恶意攻击。

    2.4 信息加密策略 信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。信息加密过程是由各种加密算法来具体实施。多数情况下,信息加密是保证信息机密性的唯一方法。

    2.5 备份和镜像技术 用备份和镜像技术提高完整性。备份技术指对需要保护的数据在另一个地方制作一个备份,一旦失去原件还能使用数据备份。镜像技术是指两个设备执行完全相同的工作,若其中一个出现故障,另一个仍可以继续工作。

    2.6 网络安全管理规范 网络安全技术的解决方案必须依赖安全管理规范的支持,在网络安全中,除采用技术措施之外,加强网络的安全管理,制定有关的规章制度,对于确保网络安全、可靠地运行将起到十分有效的作用。网络的安全管理策略包括:确定安全管理等级和安全管理范围;制订有关网络操作使用规程和人员出入办公室管理制度; 制定网络系统的维护制度和应急措施等

    2.7 网络入侵检测技术 试图破坏信息系统的完整性、机密性、可信性的任何网络活动,都称为网络入侵。入侵检测(IntrusionDeteetion)的定义为:识别针对计算机或网络资源的恶意企图和行为,并对此做出反应的过程。它不仅检测来自外部的入侵行为,同时也检测来自内部用户的未授权活动。入侵检测应用了以攻为守的策略,它所提供的数据不仅有可能用来发现合法用户滥用特权,还有可能在一定程度上提供追究入侵者法律责任的有效证据。

第9篇:网络安全保护措施制度范文

关键词:电子政务 信息安全

0 引言

随着电子政务不断推进,社会各阶层对电子政务的依赖程度越来越高,信息安全的重要性日益突出,在电子政务的信息安全管理问题中,基于现实特点的电子政务信息安全体系设计和风险评估[1]模型是突出的热点和难点问题。本文试图就这两个问题给出分析和建议。

1 电子政务信息安全的总体要求

随着电子政务应用的不断深入,信息安全问题日益凸显,为了高效安全的进行电子政务,迫切需要搞好信息安全保障工作。电子政务系统采取的网络安全措施[2][3]不仅要保证业务与办公系统和网络的稳定运行,另一方面要保护运行在内部网上的敏感数据与信息的安全,因此应充分保证以下几点:

1.1 基础设施的可用性:运行于内部专网的各主机、数据库、应用服务器系统的安全运行十分关键,网络安全体系必须保证这些系统不会遭受来自网络的非法访问、恶意入侵和破坏。

1.2 数据机密性:对于内部网络,保密数据的泄密将直接带来政府机构以及国家利益的损失。网络安全系统应保证内网机密信息在存储与传输时的保密性。

1.3 网络域的可控性:电子政务的网络应该处于严格的控制之下,只有经过认证的设备可以访问网络,并且能明确地限定其访问范围,这对于电子政务的网络安全十分重要。

1.4 数据备份与容灾:任何的安全措施都无法保证数据万无一失,硬件故障、自然灾害以及未知病毒的感染都有可能导致政府重要数据的丢失。因此,在电子政务安全体系中必须包括数据的容灾与备份,并且最好是异地备份。

2 电子政务信息安全体系模型设计

完整的电子政务安全保障体系从技术层面上来讲,必须建立在一个强大的技术支撑平台之上,同时具有完备的安全管理机制,并针对物理安全,数据存储安全,数据传输安全和应用安全制定完善的安全策略

在技术支撑平台方面,核心是要解决好权限控制问题。为了解决授权访问的问题, 通常是将基于公钥证书(PKC)的PKI(Public Key Infrastructure)与基于属性证书(AC)的PMI(Privilege Management Infrastructure)结合起来进行安全性设计,然而由于一个终端用户可以有许多权限, 许多用户也可能有相同的权限集, 这些权限都必须写入属性证书的属性中, 这样就增加了属性证书的复杂性和存储空间, 从而也增加了属性证书的颁发和验证的复杂度。为了解决这个问题,作者建议根据X.509标准建立基于角色PMI的电子政务安全模型。该模型由客户端、验证服务器、应用服务器、资源数据库和LDAP 目录服务器等实体组成,在该模型中:

2.1 终端用户:向验证服务器发送请求和证书, 并与服务器双向验证。

2.2 验证服务器:由身份认证模块和授权验证模块组成提供身份认证和访问控制,是安全模型的关键部分。

2.3 应用服务器: 与资源数据库连接, 根据验证通过的用户请求,对资源数据库的数据进行处理, 并把处理结果通过验证服务器返回给用户以响应用户请求。

2.4 LDAP目录服务器:该模型中采用两个LDAP目录服务器, 一个存放公钥证书(PKC)和公钥证书吊销列表(CRL),另一个LDAP 目录服务器存放角色指派和角色规范属性证书以及属性吊销列表ACRL。

安全管理策略也是电子政务安全体系的重要组成部分。安全的核心实际上是管理,安全技术实际上只是实现管理的一种手段,再好的技术手段都必须配合合理的制度才能发挥作用。需要制订的制度包括安全行政管理和安全技术管理。安全行政管理应包括组织机构和责任制度等的制定和落实;安全技术管理的内容包括对硬件实体和软件系统、密钥的管理。

3 电子政务信息安全管理体系中的风险评估

电子政务信息安全等级保护是根据电子政务系统在国家安全、经济安全、社会稳定和保护公共利益等方面的重要程度。等级保护工作的要点是对电子政务系统进行风险分析,构建电子政务系统的风险因素集。

3.1 信息系统的安全定级 信息系统的安全等级从低到高依次包括自主保护级、指导保护级、监督保护级、强制保护级、专控保护级五个安全等级。对电子政务的五个安全等级定义,结合系统面临的风险、系统特定安全保护要求和成本开销等因素,采取相应的安全保护措施以保障信息和信息系统的安全。

3.2 采用全面的风险评估办法 风险评估具有不同的方法。在ISO/IEC TR13335-3《信息技术IT安全管理指南:IT安全管理技术》中描述了风险评估方法的例子,其他文献,例如NIST SP800-30、AS/NZS 4360等也介绍了风险评估的步骤及方法,另外,一些组织还提出了自己的风险评估工具,例如OCTAVE、CRAMM等。

电子政务信息安全建设中采用的风险评估方法可以参考ISO17799、OCTAVE、CSE、《信息安全风险评估指南》等标准和指南,从资产评估、威胁评估、脆弱性评估、安全措施有效性评估四个方面建立风险评估模型。其中,资产的评估主要是对资产进行相对估价,其估价准则依赖于对其影响的分析,主要从保密性、完整性、可用性三方面进行影响分析;威胁评估是对资产所受威胁发生可能性的评估,主要从威胁的能力和动机两个方面进行分析;脆弱性评估是对资产脆弱程度的评估,主要从脆弱性被利用的难易程度、被成功利用后的严重性两方面进行分析;安全措施有效性评估是对保障措施的有效性进行的评估活动,主要对安全措施防范威胁、减少脆弱性的有效状况进行分析;安全风险评估就是通过综合分析评估后的资产信息、威胁信息、脆弱性信息、安全措施信息,最终生成风险信息。

在确定风险评估方法后,还应确定接受风险的准则,识别可接受的风险级别。

4 结语

电子政务与传统政务相比有显著区别,包括:办公手段不同,信息资源的数字化和信息交换的网络化是电子政务与传统政务的最显著区别;行政业务流程不同,实现行政业务流程的集约化、标准化和高效化是电子政务的核心;与公众沟通方式不同,直接与公众沟通是实施电子政务的目的之一,也是与传统政务的重要区别。在电子政务的信息安全管理中,要抓住其特点,从技术、管理、策略角度设计完整的信息安全模型并通过科学量化的风险评估方法识别风险和制定风险应急预案,这样才能达到全方位实施信息安全管理的目的。

参考文献:

[1]范红,冯国登,吴亚非.信息安全风险评估方法与应用.清华大学出版社.2006.