信息网络安全概述 计算机安全员培训 信息网络安全概述
信息网络安全与计算机信息系统 信息网络面临的威胁及其脆弱性 信息网络安全保护 信息网络安全监察
网络职业道德与社会责任
一、信息网络安全与计算机信息系统
(一)计算机信息系统(信息网络)
概念:由计算机及其相关配套的设备、设施构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输和检索等处理的人机系统。
(二)信息网络安全
信息网络安全是一门涉及计算机科学、网络技术、应用数学、信息论等多种学科的综合性学科,其实质就是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,确保系统能连续可靠正常地运行,网络服务不中断。
信息网络安全的目标
保护网络信息的保密性、完整性、可用性、不可抵赖性。
网络安全指的是保护网络信息系统,使其没有危险,不受威胁,不出事故。
1.可用性
可用性指信息或者信息系统可被合法用户访问,并按其要求运行的特性。如图所示,“进不来”、“改不了”和“拿不走”都实现了信息系统的可用性。
人们通常采用一些技术措施或网络安全设备来实现这些目标。例如: 使用防火墙,把攻击者阻挡在网络外部,让他们“进不来”。
即使攻击者进入了网络内部,由于有加密机制,会使他们“改不了”和“拿不走”关键信息和资源。 2.机密性
机密性将对敏感数据的访问权限控制在那些经授权的个人,只有他们才能查看数据。机密性可防止向未经授权的个人泄露信息,或防止信
息被加工。 如图所示,“进不来”和“看不懂”都实现了信息系统的机密性。 人们使用口令对进入系统的用户进行身份鉴别,非法用户没有口令就“进不来”,这就保证了信息系统的机密性。
即使攻击者破解了口令,而进入系统,加密机制也会使得他们“看不懂”关键信息。
例如,甲给乙发送加密文件,只有乙通过解密才能读懂其内容,其他人看到的是乱码。由此便实现了信息的机密性。 3.完整性
完整性指防止数据未经授权或意外改动,包括数据插入、删除和修改等。为了确保数据的完整性,系统必须能够检测出未经授权的数据修改。其目标是使数据的接收方能够证实数据没有被改动过。
如图所示,“改不了”和“拿不走”都实现了信息系统的完整性。使用加密机制,可以保证信息系统的完整性,攻击者无法对加密信息进行修改或者复制。 4.不可抵赖性
不可抵赖性也叫不可否认性,即防止个人否认先前已执行的动作,其目标是确保数据的接收方能够确信发送方的身份。例如,接受者不能否认收到消息,发送者也不能否认发送过消息。
如图所示,“跑不掉”就实现了信息系统的不可抵赖性。如果攻击者进行了非法操作,系统管理员使用审计机制或签名机制也可让他们无处遁形。
二、信息网络面临的威胁及脆弱性
(一)网络系统的脆弱性
(二)网络系统面临的威胁
(三)产生威胁的原因
操作系统的脆弱性
计算机系统本身的脆弱性 电磁泄漏
数据的可访问性
通信系统和通信协议的脆弱性 数据库系统的脆弱性
存储介质的脆弱
1、操作系统的脆弱性
NOS体系结构本身就是不安全的--操作系统程序的动态连接性。 操作系统可以创建进程,这些进程可在远程节点上创建与激活,被创建的进程可以继续创建进程。
NOS为维护方便而预留的无口令入口也是黑客的通道。
2、计算机系统本身的脆弱性
硬件和软件故障:硬盘故障、电源故障、芯片主板故障、操作系统和应用软件故障。
存在超级用户,如果入侵者得到了超级用户口令,整个系统将完全受控于入侵者。
3、电磁泄漏
计算机网络中的网络端口、传输线路和各种处理机都有可能因屏蔽不严或未屏蔽而造成电磁信息辐射,从而造成有用信息甚至机密信息泄漏。
4、数据的可访问性
进入系统的用户可方便地拷贝系统数据而不留任何痕迹;网络用户在一定的条件下,可以访问系统中的所有数据,并可将其拷贝、删除或破坏掉。
5、通信系统与通信协议的脆弱性
通信系统的弱点:网络系统的通信线路面对各种威胁就显得非常脆弱,TCP/IP及FTP、E-mail、WWW等都存在安全漏洞,如FTP的匿名服务浪费系统资源,E-mail中潜伏着电子炸弹、病毒等威胁互联网安全,WWW中使用的通用网关接口程序、Java Applet程序等都能成为黑客的工具,黑客采用TCP预测或远程访问直接扫描等攻击防火墙。
6、数据库系统的脆弱性
由于DBMS对数据库的管理是建立在分级管理的概念上的,因此,DBMS存在安全隐患。另外,DBMS的安全必须与操作系统的安全配套,这无疑是一个先天的不足之处。
黑客通过探访工具可强行登录和越权使用数据库数据;
数据加密往往与DBMS的功能发生冲突或影响数据库的运行效率。
7、存储介质的脆弱性
软硬盘中存储大量的信息,这些存储介质很容易被盗窃或损坏,造成信息的丢失。
介质的剩磁效应:废弃的存储介质中往往残留有关信息。
(二)信息网络系统面临的威胁
非授权访问:是指没有预先经过同意,就使用网络或计算机资源,如有意避开系统访问控制机制,对网络设备及资源进行非正常使用,或擅自扩大权限,越权访问信息。非授权访问主要有以下几种形式:假冒身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。
(二)信息网络系统面临的威胁
信息泄露或丢失:指敏感数据在有意或无意中被泄露出去或丢失。它通常包括:信息在传输中丢失或泄露(如“黑客”们利用电磁泄露或搭线窃听等方式可截获机密信息,或通过对信息流向、流量、通信频度和长度等参数的分析,推出有用信息),信息在存储介质中丢失或泄露,通过建立隐蔽隧道等窃取敏感信息等。
(二)信息网络系统面临的威胁
破坏数据完整性:是指以非法手段窃得对数据的使用权,删除、修改、插入或重发某些重要信息,以取得有益于攻击者的响应;恶意添加,修改数据,以干扰用户的正常使用。
拒绝服务攻击:是指不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序,使系统响应减慢甚至瘫痪,影响正常用户的使用,甚至使合法用户被排斥而不能进入计算机网络或不能得到相应的服务。
利用网络传播病毒:是通过网络传播计算机病毒,其破坏性大大高于单机系统,而且用户很难防范。
影响计算机网络安全的因素很多,有些因素可能是有意的,也可能是无意的;可能是人为的,也可能是非人为的;还可能是外来黑客对网络系统资源的非法使用。归结起来,产生网络不安全的原因有以下几个方面:
(1)人为的无意失误
如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。
(2)人为的恶意攻击
这是计算机网络面临的最大威胁。敌人的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄露。
(3)软件漏洞
网络信息系统由硬件和软件组成,由于软件程序的复杂性和编程的多样性,在网络信息系统的软件中很容易有意或无意地留下一些不易被发现的安全漏洞。软件漏洞显然会影响网络信息的安全与保密。如操作系统的安全漏洞(现在大多数病毒都是针对操作系统的漏洞编写的)、数据库的安全漏洞、协议的安全漏洞、网络服务的漏洞、远程登录、电子邮件、口令设置的漏洞、结构隐患等。
(4)网桥的安全隐患
网桥是独立于协议的互连设备,工作在OSI参考模型的第二层。它完成数据桢的转发,主要目的是在连接的网络间提供透明的通信。网桥的转发依据数据桢中源地址和目的地址来判断一个数据桢是否应转发到哪个端口。桢中的地址为“MAC”地址或“硬件”地址,一般就是网卡自带地址。
网络上的设备看不到网桥的存在,设备之间的通信就如同在一个网络上。由于网桥是在数据桢上转发的,因而只能连接相同或相似的网络(如以太网之间、以太网与令牌网之间的互连),只能转发相同或相似的数据桢。对于不同类型的网络(如以太网与X.25之间)或不同的数据桢结构,网桥就失去了作用。
(5)路由器的安全隐患
路由器工作于OSI网络模型的第三层(网络层)。路由器管基本功能可概括为路由和交换。所谓路由,是指信息传送会选择最佳路径,以提
高通信速度,减轻网络负荷,使网络系统发挥最大的效益;所谓交换是指路由器能够连接不同结构、不同协议的多种网络,在这些网络之间传递信息。
由于路由器要处理大量的信息,并且其任务繁重(路由选择、信息及协议转换、网络安全功能的实现、信息的加密和压缩处理、优先级控制、信息统计等),因而它比网桥要慢,而且可能会影响到信息量。路由器共有两种选择方式,即静态路由选择和动态路由选择。
与之相应,路由表有静态路由表和动态路由表。动态路由表具有可修改性,可能会给网络安全带来危害。若一个路由器的路由表被恶意修改或遭受破坏,则可能会给网络的整体或局部带来灾难性的后果。此外,某些局域网可能会采用IP过滤技术,利用路由器的IP过滤对来自网络外部的非授权用户进行控制,但由于IP的冒用,往往不能达到维护网络安全的目的,而且此法可能会引起网络黑客对路由表的攻击。
信息网络安全概述 计算机安全员培训 信息网络安全概述
信息网络安全与计算机信息系统 信息网络面临的威胁及其脆弱性 信息网络安全保护 信息网络安全监察
网络社会责任与职业道德
三、信息网络安全保护
(一)我国信息网络安全目前存在的问题
(二)制约我国信息网络安全的因素
(三)信息网络安全的管理策略
(一)我国信息网络安全目前存在的问题
(1)计算机系统遭受病毒感染和破坏的情况相当严重 (2) 电脑黑客活动已形成严重威胁 (3)信息基础设施面临网络安全的挑战 (4)网络政治颠覆活动频繁
我国信息网络安全目前存在的问题
我国信息网络安全目前存在的问题
我国信息网络安全目前存在的问题
(二)制约我国信息网络安全的因素
缺乏自主的计算机网络和软件核心技术 安全意识淡薄
运行管理机制的缺陷
制度化的防范机制需进一步完善
(三)信息网络安全的管理策略
安全策略是指在一个特定的环境里,为保证提供一定级别的安全保护所必须遵守的规则。
网络安全策略模型包括了建立安全环境的三个重要组成部分:威严的法律、先进的技术、严格的管理。
(三)信息网络安全的管理策略
威严的法律:安全的基石是社会法律、法规与手段,通过建立一套安全管理的标准和方法,即通过建立与网络信息安全相关的法律、法规,使非法分子慑于法律,不敢轻举妄动。
(三)信息网络安全的管理策略
先进的技术:先进的安全技术是网络信息安全的根本保障,用户对自身面临的威胁进行风险评估,决定其需要的安全服务种类,选择相应的安全机制,然后集成先进的安全技术。
(三)信息网络安全的管理策略
严格的管理:各网络使用机构、企业和单位应建立相应的严格的信息安全管理办法,加强内部管理,建立审计和跟踪体系,提高整体的信息安全意识。
(三)信息网络安全的管理策略
(三)信息网络安全的管理策略
(三)信息网络安全的管理策略
网络安全管理三要素:技术、管理、法规。 制定网络安全管理策略要注意的问题 (1)确定网络安全管理要保护什么
在网络安全策略中要确定网络安全管理要保护什么、,其具体的描述原则是“没有明确表述为允许的都被认为是被禁止的”。对于网络安全策略,一般都采用上述原则来加强对网络安全的限制。 (2)确定网络资源的职责划分
网络安全策略要根据网络资源的职责确定哪些人允许使用某一设备,对每一台网络设备要确定哪些人能够修改它的配置;更进一步要明确的是授权给某人使用某网络设备和某资源的目的是什么,他可以在什么范围内使用;并确定对每一设备或资源,谁拥有它的管理权,即他可以为其他人授权,使之能够正常使用该设备或资源,并制定授权程序。
(3)确定用户的权利与责任
在网络安全策略中要指明用户计算机网络的使用规则。其中包括是否允许用户将账号转借给他人;用户应当将他们自己的口令保密到什么程度;用户应在多长时间内更改他们的口令;希望是用户自身提供备份还是由网络服务提供者提供;确定在什么情况下管理员可以读用户的文件,在什么情况下网络管理员有权检查网络上传送的信息。
网络使用的类型限制。定义可接受的网络应用或不可接受的网络应用,要考虑对不同级别的人员给予不同级别的限制。网络安全策略都会声明每个用户都要对他们在网络上的言行负责。所有违反安全策略、破坏系统安全的行为都是被禁止的。 (4)确定系统管理员的责任
在网络安全策略中要明确系统管理员的责任。
制定对用户授权的过程设计,以防止对授权职责的滥用。
确定每个资源的系统级管理员。在网络的使用中,难免会遇到用户需要特殊权限的时候。原则为“够用即可”。
(5)明确当安全策略遭到破坏时所采取的策略
对于发生在本网络内部的安全问题,要从主干网向子网逐级过滤、隔离。子网要与主干网形成配合,防止破坏蔓延。
对于来自整个网络以外的安全干扰,除了必要的隔离与保护外,还要与对方所在网络进行联系,确定消除掉安全隐患。
每一个网络安全问题都要有文档记录,包括对它的处理过程,并将其送至全网各有关部门,以便预防和留作今后进一步完善网络安全策略的资料。
(6)明确本网络对其他相连网络的职责
包括本网络对其他相连网络的职责,如出现某个网络告知有威胁来自我方网络。在这种情况下,一般不会给予对方权利,而是在验证对方身份的同时,自己对本方网络进行调查监控,做好相互配合。
四、信息网络安全监察
(一)公安机关负责监督管理信息网络安全 1994年2月18日,国务院发布实施了《中华人民共和国计算机信息系统安全保护条例》,第六条具体规定了“公安部主管全国计算机信息系统安全保护工作”的职能,第17条规定公安机关对计算机信息系统安全保护工作的监督和管理职权。
(二)公安机关的监督职权
(1)监督、检查、指导计算机信息系统安全保护工作; (2)查处危害计算机信息系统安全的违法犯罪案件; (3)履行计算机信息系统安全保护工作的其他监督职责。
(三)具体职责
(1)宣传计算机信息系统安全保护法律、法规和规章; (2)检查计算机信息系统安全保护工作;
(3)管理计算机病毒和其他有害数据的防治工作;
(4)监督、检查计算机信息系统安全专用产品销售活动; (5)查处危害计算机信息系统安全的违法犯罪案件; (6)依法履行其他职责。
(四)网络警察
1995年我国新颁布的《人民警察法》中明确规定了警察在“监督管理计算机信息系统安全保卫工作”方面的职权,并在省、市、县三级公安机关内部设立了公共信息网络安全监察管理机构(网络警察),负责信息安全和计算机犯罪等方面的工作。
1、网络警察的主要工作 情报信息 打击犯罪 管理防范 情报信息
网警部门通过发现、掌握各种网上色情、淫秽、反动等有害信息,掌握社情民意的网上反映,为清除网上有害信息提供线索,为领导及相关部门决策提供参考的一项重要工作,互联网情报信息是公安情报信息的重要组成部分,是公安机关掌握政情和社情信息的重要来源。
打击犯罪
网警部门施展职能的重要体现。网警部门按照国家赋予的法定职责和公安部及省厅确定的案件管辖分工原则,综合运用各种手段,针对非法侵入、破坏计算机信息系统或利用信息网络危害国家安全、经济安全和社会政治稳定,侵犯公民人身权利等的犯罪行为而开展取证的专门工作。
管理防范
网警部门加强阵地控制、夯实业务基础,提高社会信息网络安全防范能力的一项重要工作、是网警部门工作基础。
主要包括重要领域计算机信息系统安全保护、互联网安全监督管理、“网吧”等互联网上网服务营业场所安全审核及监督、计算机安全员培训等工作。
2、严格执法
热情服务
开通郑州网络警察门户网站www.daodoc.com,搭建与广大网民沟通的桥梁。
开通网上报警处置中心,24小时接受群众报警,延伸执法范围。 在我市各大网站设立“虚拟警察”,24小时网上巡逻,处置网上造谣诽谤、淫秽色情、赌博等违法犯罪活动
开设互联网上网服务营业场所的年审、变更管理专区,推进网吧行业的规范管理。
自主开发互联网综合管理系统,以备案促管理,完善基础数据,为全面工作打好基础。
五、网络职业道德与社会责任 网络职业道德
是指在计算机及网络行业及其应用领域所形成的社会意识形态和伦理关系下,调整人与人之间、人与知识产权之间、人与计算机之间以及人与社会之间关系的行为规范总和。
《公民道德建设实施纲要》
计算机互联网作为开放式信息传播和交流工具,是思想道德建设的新阵地。
要加大网上正面宣传和管理工作的力度,鼓励发布进步、健康、有益的信息,防止反动、迷信、淫秽、庸俗等不良内容通过网络传播。 要引导网络机构和广大网民增强网络道德意识,共同建设网络文明。 在所有公民中倡导
网络责任和计算机职业道德要求每一个公民自觉遵守国家的法律法
规。
一方面,不利用计算机做任何有悖于道德和法律的事情;
另一方面,还应监督他人,对发现的不良行为要及时报告,积极制止。全民共同动员,保障公共信息网络安全、稳定、有序地运行。
公共信息网络安全监察工作 计算机网络安全员培训
公共信息网络安全监察工作
公共信息网络安全监察是国家赋予公安机关的一项重要职能,是公安机关在信息网络领域承担的一项重要的安全保卫任务。 打击日益猖獗的计算机犯罪的重要手段。
公共信息网络安全监察部门是以网络技术为主要手段,集情报信息、侦察控制、打击犯罪、防范管理于一体的实战部门,是公安机关的一个全新警种。
公共信息网络安全监察工作的意义
公共信息网络安全监察工作的意义
从1995年开始,我国将网络与信息安全作为中国信息化发展战略的重要组成部分; 在十六届四中全会上通过的《关于加强党的执政能力的决议》中,信息安全与政治、经济、文化安全并列为四大主题之一,将之提到了前所未有的高度。
公共信息网络安全监察工作的意义
信息网络安全监察是国家法律法规赋予公安机关的一项重要职能; 1995年颁布的《中华人民共和国警察法》规定了公安机关人民警察按照职能分工依法履行的各项职责中,详细阐明了计算机信息系统的安全、管理、监督、保护工作的各项内容。 公共信息网络安全监察工作发展历史
1.第一阶段:启动阶段(1980年一1985年) 1980年底,公安部对我国进口的计算机进行技术安全检查,在检查中陆续发现了一些重要的安全问题。
后经国务院批准,全国各部门计算机安全检查工作由公安部承担,
从此开始了中国信息安全工作。
这个时期主要是学习计算机安全知识,邀请外国计算机安全专家对公安系统专业人员进行培训,并通过公安部对中央各部委进行计算机安全启蒙教育。
公共信息网络安全监察工作发展历史
公安部在1983年成立了公安部计算机管理和监察局(1994年至1998年更名为公安部计算机管理监察司),专门负责计算机安全方面的工作。 公安部计算机管理和监察局对各大部委和驻外使馆信息系统的硬件辐射问题进行安全检查,并对计算机场地安全、机房施工建设等方面的工作进行管理;
组织专门力量对全国重点计算机系统进行近百次安全检查,几十次计算机安全讲座,编译了我国第一套计算机安全资料,
到1985年底,各部委保卫部门的领导基本上都接受了计算机安全教育,初步具有计算机安全意识,开始制定计算机的安全标准。 公共信息网络安全监察工作发展历史
2.第二阶段:防治计算机病毒阶段(1986年——1994年) 1986年组建中国计算机安全专业委员会;
1994年国务院颁布《中华人民共和国计算机信息系统安全保护条例》;
1986年,著名的巴基斯坦病毒的出现标志着计算机病毒开始正式在国际范围内产生影响。我国在这个时期对病毒的防范成为这一时期的一个重要特点。
公共信息网络安全监察工作发展历史 1988年12月,我国大陆第一个计算机病毒案在国家统计局从香港引进的设备中发生。 1990年,“广州一号”开始了国内病毒的先河。
1988年12月21日,公安部印发了“全国公安计算机安全监察工作会议纪要”,要求各省、自治区、直辖市公安厅、局迅速建立一支公安计算机安全监察管理的专业队伍。
公共信息网络安全监察工作发展历史 3.第三阶段:有法可依阶段(1994年起) 1994年2月18日《中华人民共和国计算机信息系统安全保护条例》颁布。《条例》规定,公安部主管全国计算机信息系统安全保护工作,安全保护工作的重点是维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全。
条例的意义及深远影响
影响公安系统内部,促进了各级计算机安全监察机构的建立和完善,壮大了计算机安全队伍;
明确了公安部门在计算机安全工作中的主管责任,促进各部门协调配合。
公共信息网络安全监察工作发展历史
1994年我国的四大互联网络:中国科学技术网、中国公用计算机互联网、中国教育和科研计算机网、中国金桥信息网先后在中国建立,标着着我国进入到了一个崭新的网络时代。
随着网络时代的到来,我国的信息安全工作进入了以网络安全为主的全新阶段。
我国在《中华人民共和国刑法》中增设了有关计算机犯罪的条款,便于打击和防范此类犯罪。
公共信息网络安全监察工作发展历史
4.第四阶段:公共信息网络安全阶段(1996年起) 1998年9月,原计算机管理监察司更名为公共信息网络安全监察局。 主要职责为:指导并组织实施公共信息网络和国际互联网的安全保护工作;掌握信息网络违法犯罪动态,提供犯罪案件证据;研究拟定信息安全政策和技术规范;指导并组织实施信息网络安全监察工作。
公共信息网络安全监察工作发展历史
1998年6月,国家信息安全评测中心成立。
1999年6月,国家计算机网络与信息安全管理中心成立,从政策、法律制定、技术组织方面对国家信息安全进行全面的统筹。
2000年后,随着机构改革和公共信息网络安全工作任务的扩大,各省、市公安机关开始相继将原有的公共信息网络监察处更名为网络警察总队或支队,进一步明确了网络警察工作职能。 公共信息网络安全监察工作主要职能 公共信息网络安全监察工作的主要职能
监督和管理计算机信息系统的安全保护工作; 保护计算机信息网络国际联网的公共安全;
维护从事国际联网业务的单位和个人的合法权益和公众利益;
负责计算机信息网络国际联网的互联单位、接入单位和用户的备案; 监督计算机信息系统的使用单位和国际联网的互联单位、接入单位及有关用户建立健全安全管理制度;
检查网络安全管理及技术措施的落实情况,负责对“网吧”等国际
互联网上网服务营业场所的安全审核和安全管理工作。 公共信息网络安全监察工作主要职能
负责对公共信息网络的安全状况进行检查、安全评估; 监督计算机信息系统安全等级保护制度的落实;
依据国家有关计算机机房的标准和规定,对计算机机房的建设和计算机机房附近的施工进行监督管理;
负责对计算机安全专用产品销售许可证的监督检查工作;
管理对计算机病毒和危害社会公共安全的其他有害数据的防治研究工作。
公共信息网络安全监察工作主要职能
监督、检查和指导计算机信息系统使用单位安全组织和安全员的安全保护工作;
组织开展计算机信息系统安全的宣传、教育、培训;
依法查处非法侵入国家重要计算机信息系统、破坏计算机信息系统功能、数据和应用程序、传播计算机破坏性程序和其他利用计算机信息网络的违法犯罪案件。
公共信息网络安全监察工作目标和工作方针 公共信息网络安全监察总体目标
初步建立与社会主义市场经济相适应的信息网络安全保护和监督体制,形成健康、规范的管理秩序,
建成以《计算机信息系统安全保护条例》为主体,以各项安全管理办法和地方性法规为基础的国家计算机信息网络安全监察的法律体系, 实现对信息网络安全保护工作的依法管理和依法监督,严厉打击各种危害信息网络的违法犯罪;
建立在公安机关指导下的,以应用和管理部门为主体的,信息网络安全防护体系,使国家重点信息网络的整体防护能力明显提高,促进我国信息产业的健康发展。
公共信息网络安全监察工作目标和工作方针 公共信息网络安全监察根本目标:
保障重要领域计算机信息系统的安全运行和信息的安全,建立并维护国家对计算机信息系统安全管理的秩序,维护社会政治稳定,保障经济建设,促进国家信息化建设的健康发展。 公共信息网络安全监察工作目标和工作方针 具体目标是:
(1)确保公共信息网络和互联网的运行安全和网上信息的安全,提高
公安机关在高科技领域的行政管理和打击犯罪的能力,为维护政治稳定和保障经济建设服务。
(2)重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统安全。保障党政、金融、财税、电信、能源、交通运输、社会保障、科研等单位或部门信息系统的安全及信息资源的安全。
公共信息网络安全监察工作目标和工作方针
(3)建立一个安全、可靠、适合我国国情的国家重要领域信息系统安全保护的法律法规、技术规范、安全管理等保障体系,全面提高国家重要信息系统的整体安全防护能力。
(4)建立和维护国家对计算机信息系统安全管理的秩序,依法维护国家、集体和个人的财产不受损失,合法权益不受侵犯,促进我国信息化建设事业的顺利发展。
公共信息网络安全监察工作目标和工作方针 公共信息网络安全监察工作的方针是: 依法管理,加强监督; 预防为主,确保重点; 及时查处,保障安全。
“依法管理”是根据国家法律法规,对我国信息网络进行安全监察工作,打击各种危害信息网络的违法犯罪活动。
“加强监督”是在保障信息网络安全的工作中,公安机关要坚持贯彻谁主管谁负责的原则,加强对信息网络使用及管理单位的安全管理,对其安全管理工作进行监督、监察和指导。
公共信息网络安全监察工作目标和工作方针
“预防为主”是信息网络安全监察工作的根本指导思想,要贯穿整个安全监察工作的始终;
“确保重点”是确保关系到国家事务、经济建设、国防建设、尖端科学技术等领域的部门和单位的计算机信息系统的安全;
“及时查处”是要依法对危害计算机信息系统安全的事故和违法犯罪活动及时进行查处,它与预防为主相辅相成,是做好安全监察工作不可缺少的重要手段;
“保障安全”是安全监察工作的出发点和落脚点,是安全监察工作的根本目标。
公共信息网络安全监察工作基本原则
(1)服从和服务于党和国家的路线、方针、政策以及公安中心工作;
(2)专门机关监督管理与社会力量相结合; (3)严格依法管理与科学文明管理相结合; (4)教育与处罚相结合;
(5)公安机关与相关部门分工负责,密切配合; (6)“谁主管,谁负责”;
(7)确保重点与兼顾一般相结合; (8)专项工作与基础工作相结合。 公共信息网络安全监察工作主要任务
(1)协调、监督、检查、指导本地区党政机关和金融等重要部门公共信息网络和互联网的安全保护管理工作;
(2)监督计算机信息系统的使用单位和国际联网的互联单位、接入单位及有关用户建立健全安全管理制度的落实情况,检查网络安全管理及技术措施的落实情况;
(3)监督、检查和指导计算机信息系统使用部门安全组织和安全员的工作;
(4)监督、检查、指导要害部门计算机信息系统安全等级保护制度的落实情况;
公共信息网络安全监察工作主要任务
(5)依据国家有关计算机机房的标准和规定,对计算机机房的建设和计算机机房附近的施工进行监督管理;
(6)对计算机信息系统安全专用产品销售许可证进行监督检查;
(7)对计算机病毒和危害社会公共安全的其他有害数据的防治研究工作进行管理;
(8)查处违反计算机信息网络国际联网国际出、入口信道、互联网络、接入网络管理规定的行为;
公共信息网络安全监察工作主要任务
(9)掌握计算机信息网络国际联网的互联单位、接入单位和用户的备案情况,建立备案档案,进行备案统计,并按国家有关规定逐级上报;
(10)发现任何单位和个人利用国际联网制作、复制、查阅和传播有害信息的地址、目录或服务器时,应通知有关单位关闭或删除; 公共信息网络安全监察工作主要任务
(11)负责接受有关单位和用户计算机信息系统中发生的案件报告,查处公共信息网络安全事故和非法侵入国家重要计算机信息系统、破坏计算机信息系统功能、破坏计算机信息系统数据和应用程序、传播计算机
破坏性程序等违法犯罪案件,配合有关部门查处利用计算机实施的金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密等违法犯罪案件;
(12)承担研究公共信息网络违法犯罪的发展动态、特点和规律,提出防范和打击公共信息网络违法犯罪的对策; 公共信息网络安全监察工作主要任务
(13)研究计算机违法犯罪案件的取证、破译、解密等侦察技术,并负责对计算机违法犯罪案件中的电子数据证据进行取证和技术鉴定; (14)对计算机信息网络和计算机系统辐射、泄露等安全状况进行检查、安全评估;
(15)对有关公共信息网络安全的法律、法规的执法情况实施监督; (16)组织开展计算机信息系统安全的宣传、教育、培训。 公共信息网络安全监察工作的保障措施
(1)加强公共信息网络安全监察部门的机构和队伍建设 (2)完善公共信息网络安全监察工作的法律体系
(3)建立并完善公共信息网络安全监察工作的标准体系 (4)建立公共信息网络安全监察的相关技术手段
公共信息网络安全监察工作 计算机网络安全员培训
信息网络安全监督检查工作
根据《人民警察法》和《中华人民共和国计算机信息系统安全保护条例》的规定,公安机关对计算机信息系统安全保护工作行使监督、检查、指导职权。因此,联网单位必须配合公安机关做好对本单位的信息网络安全监督检查工作。 信息网络安全监督检查工作 监督检查的内容主要包括:
(1)是否能按要求将用户备案数据及变更情况报当地公安机关; (2)是否在主要信息服务系统的显著位置安排安全教育的内容; (3)是否有安全管理制度; (4)用户入网时,网络服务提供者是否与入网用户签订安全管理协议;
信息网络安全监督检查工作 (5)是否建立了安全管理组织;
(6)是否设立专职安全员、职责是否明确;
(7)是否对本单位员工进行安全培训;
(8)论坛、博客、BBS等交互式栏目是否有专人管理; (9)对委托发布信息的单位或用户是否有详细的登记; (10)是否建立了网上信息发布审核制度; 信息网络安全监督检查工作
(11)是否有对网上信息的日常检查制度; (12)是否有安全事故、案件的报告制度; (13)发现黑客入侵或有害信息是否及时上报; (14)是否有对有害信息的控制、删除措施; (15)是否有专职网络管理人员;
(16)是否建立了公用帐号使用登记制度。 信息网络安全监督检查工作 安全技术措施应包括:
(1)重要网络和信息系统是否有备份及处理突发事故的应急措施; (2)是否有对BBS用户的身份识别功能; (3)是否建立了正规的网管系统; (4)系统是否有用户上网日志记录; (5)系统能不能提供主叫电话号码; (6)系统是否具有安全审计功能。 日常安全管理工作
1.从事信息服务的联网单位
从事信息服务的单位(ISP、ICP)根据《互联网信息服务管理办法》申请经营许可或履行备案手续后,应按照《信息网络国际联网安全保护管理办法》的有关规定,做好日常信息网络安全管理工作。特别是要建立信息发布的登记、审核和日志信息的管理制度。对发现有《互联网信息服务管理办法》中第十五条禁止传输的信息内容,应立即停止传输,并按照《信息网络国际联网安全保护管理办法》的有关规定及时报告当地公安机关。
日常安全管理工作
2.从事互联网电子公告的联网单位
从事互联网电子公告服务的联网单位依据《互联网电子公告服务管理规定》申请经营许可或履行备案手续后,除了要做好互联网信息服务单位一般性的管理工作外,还应依照《信息网络国际联网安全保护管理办法》的规定,识别并记录登记用户的真实身份,并在公安机关的监督下,建立由信息审核员(开办单位)、站长(BBS)、栏目主持人(各类栏目)
组成的三级管理机制,切实加强对电子公告信息的日常安全管理。 日常安全管理工作
3.使用公用帐号的联网单位
使用公用帐号的联网单位除了按照《信息网络国际联网安全保护管理办法》的要求建立各种安全管理制度外,还必须建立公用帐号使用登记制度,掌握使用公用帐号的人员情况。 日常安全管理工作 4.网吧
网吧经营者应按照公安部、信息产业部等联合发出的《关于规范“网吧”经营行为加强安全管理的通知》精神,保证: (1)场地安全可靠、设施齐全;
(2)有专职技术人员和安全管理人员; (3)建立相应的安全保护管理制度; (4)符合国家相关的法律法规规定;
同时要在所在地公安机关办理申请许可,经管理部门核发营业执照后方可营业。
公共信息网络监察部门公开职能
信息网络安全监察管理
涉网案件报案程序 信息网络安全监察管理
以我市的公共信息网络安全监察工作职能为例,作一简单介绍: (1)对重要领域的计算机网络遭受病毒侵害、黑客攻击以及意外灾害等重大安全事故和发生计算机犯罪,实行紧急救援和紧急出警。市内30分钟内到达现场。 (2)“网吧”等互联网上网服务营业场所的安全审核在7个工作日完成。 (3)计算机机房设计方案的安全审核在15个工作日完成。 (4)国际互联网备案按规定时限办理。
(5)信息网络安全检查时,民警应先出示警官证。 涉网案件报案程序 1.涉网案件报案范围
(1)擅自侵入他人或组织的计算机系统;故意制作、传播计算机病毒等破坏性程序;擅自中断计算机网络或者通信服务。
(2)利用互联网发表有害信息,颠覆国家政权;破坏国家统一;破坏
民族团结;组织邪教,破坏国家法律和行政法规的实施,通过互联网窃取、泄露国家机密。
(3)利用互联网传播淫秽色情等有害信息;
涉网案件报案程序
(4)利用互联网侮辱、诽谤他人;侵犯公民通信自由;
(5)利用互联网进行盗窃、诈骗、敲诈勒索等违法犯罪活动;
(6)计算机网络遭到黑客非法入侵或攻击破坏;计算机网络病毒传播造成的系统瘫痪等;
(7)利用互联网上网服务营业场所制作有害信息等。 涉网案件报案程序
2.报案的方式与时间限定
发生计算机违法犯罪案件的单位应在24小时之内向所在地公安机关计算机安全监察部门报告。
报案方式有电话报警、网上报警、当面报警三种。
案件受理采取属地原则,报案人一般应到当地公安机关信息网络安全监察部门报案。
电话报警的同时应准备相应的书面报警材料递交至受理机关。 计算机信息系统从业安全备案
备案范围:
市区内从事计算机设备或媒体生产、销售、出租、维修行业的单位或个人,从事计算机信息系统安全专用产品生产、销售、安装的单位或个人,从事计算机信息系统安全检测、从事工程造价50万以上计算机信息系统安全施工的单位或个人。 申请备案指南
《计算机信息网络国际联网安全保护管理办法》第十二条规定,各互联网接入服务、信息服务单位以及使用固定IP地址接入国际联网的单位和个人用户须在市公安局进行备案。
对于不办理备案手续的单位和个人,公安机关将按照《中华人民共和国计算机信息系统安全保护条例》第二十三条之规定予以处罚。 申请备案指南
(1)互联单位、接入单位、互联网专线用户及经营公众多媒体网络的单位,在开通之日起的30日内,登录郑州网络警察网站办理备案登记手续;
(2)拨号用户的单位和个人用户,在办理入网手续的同时填报《备案登记表》,由各互联网接入单位将《备案登记表》反馈给市公安局信息
网络安全监察支队;
(3)本市各互联网接入单位,于每季度首月的5日前将上季度的用户变更情况,报市公安局信息网络安全监察支队; 申请备案指南
(4)需提交的手续:
①从事国际互联网业务的单位负责人的身份证复印件、联系人的身份证复印件;
②安全管理员的身份证复印件;
③从事国际互联网业务的个人需持本人身份证复印件 ④从事国际互联网业务的单位出具单位介绍信; ⑤电信部门出具的上网登记材料,
⑥对于ISP、ICP的单位还应出具上级单位允许联网的批准手续。 ⑦其他按要求需要提交的材料。 申请办理网吧安全审核手续指南
1.应具备的条件
(1)有与开展营业活动相适应的营业场所,营业场所距中小学学校大门直线距离不少于200米,营业场地安全可靠,安全设施齐全; (2)有与营业规模相适应的专业技术人员和专业技术支持; (3)有健全完善的网络信息安全管理制度;
(4)有相应的网络安全技术措施; (5) 有专职的网络信息安全管理人员;
(6) 经营管理、安全管理人员经过公安部门组织的安全培训; (7)符合法律、行政法规的其他规定。 申请办理网吧安全审核手续指南
2.申办安全审核手续时,应向公安机关提交以下材料 (1)经营人员的合法身份证明;
(2)工商部门核发的企业名称预先核准通知书复印件; (3)营业场所简介、证明材料及安全设施配备情况; (4)公安消防部门的《消防安全检查意见书》;
(5)安全组织负责人、专职或兼职的安全管理人员及其个人身份信息、资历证明、联系方式和公安部门的安全培训合格证;
(6)网络信息安全管理制度,包括网吧安全员职责,网吧技术人员职责;网络安全技术保护措施,防病毒及有害数据传播的安全产品的材料; (7)其他按要求需要提交的材料。 3.申报程序
(1)符合审核条件的网吧(包括申请网吧年审和变更)业主,登录郑州网络警察网站(www.zzwljc.com),进入网吧综合管理系统,按要求填写申请。
(2)公安机关收到申请后,按照相关要求,联网核查网吧的安全审计专用产品,现场检查网吧60天日志留存和实名登记上网等各项安全措施的落实情况。
(3)对各项要求达标的网吧,审核通过,发放《安全合格证》。 公共信息网络安全监察工作
贯彻“严格执法、热情服务”的原则,统一思想、更新观念; 从“认识、职责、目标、保障” 入手,深刻认识当前网上斗争面临的复杂形势,全力加强互联网依法公开管理;
着力抓好“三个专项”工作,严厉打击网络违法犯罪,加强对网络淫秽色情和网络赌博的打击力度,做到“三个有效两个提升”; 扎实有效履行网安部门职责,为构建和谐“虚拟社会”,维护国家安全和社会稳定,作出新的更大的贡献。
网络安全管理简介
信息网络安全管理的发展历程 信息网络安全管理的体系结构 信息网络安全管理的体系标准 信息网络安全管理的组织体系 信息网络安全管理的策略体系 信息网络安全管理制度
信息网络安全管理体系包括
管理组织机构、管理制度
管理技术三个方面,
要通过组建完整的信息网络安全管理组织机构,设置安全管理人员,制定严格的安全管理制度,利用先进的安全管理技术对整个信息网络进行管理。信息网络管理贯穿于信息网络系统整个生命周期的各个阶
段,既包含了行政手段,也包括了技术手段。 网络安全管理简介
信息网络安全管理的主要内容:由主要领导负责的逐级安全保护管理责任制,配备专职或兼职的安全员,各级职责划分明确,并有效开展工作;明确运行和使用部门的岗位责任制,建立安全管理规章制度,在职工群众中普及安全知识,对重点岗位职工进行专门培训和考核,采取必要的安全技术措施;对安全保护工作有档案记录和应急计划,定期进行安全检测、风险分析和安全隐患整改;实行信息安全等级保护制度。
信息网络安全管理完成的任务是保护信息网络和信息资源安全,目标是保证信息资产的机密性、可用性、完整性、可控性和不可否认性,特定的对象当然是信息和信息网络。信息安全管理的原则、方法,所进行的计划、组织、指挥、协调和控制则分为两个层次:一个是国家层面上;另一个是单位自身。国家的管理是依赖于立法并通过行政执法机关进行监管来实现。而单位自身的管理则应该通过安全管理组织,制定信息安全策略,建立信息安全管理制度和机制来实现。也就是说应该建立一个信息安全管理体系(ISMS)来实现单位的信息安全管理
信息安全管理坚持“谁主管谁负责,谁运行谁负责”的原则。信息安全管理组织的主要职责是制定工作人员守则、安全操作规范和管理制度,经主管领导批准后监督执行;组织进行信息网络建设和运行安全检测检查,掌握详细的安全资料,研究制定安全对策和措施;负责信息网络的日常安全管理工作,定期总结安全工作,并接受公安机关公共信息网络安全监察部门的工作指导。
网络安全管理的发展历程
从现代通讯工具—电报发明以来,信息安全的重点是确保信息的保密性,包括商业秘密、军事秘密及个人隐私。信息安全的控制方法比较简单,例如采用安全信使传递秘密口信与信件,通过人员的保密意识与物理安全控制的方式来达到信息安全的目的。
自二十世纪四十年代人类发明了计算机以来,尤其是二十世纪八十年代末信息时代的到来,网络技术与现代通信技术得到了飞速的发展,信息技术被广泛地应用于各行各业,信息安全扩展为对信息的保密性、完整性、可用性和可控性的全面保持。
网络安全管理的发展历程
在我国,由于信息网络安全行业起步较晚、力量分散、人才匮乏、资金投入不足等原因,在信息安全技术和管理方面还相对落后于一些发达国家。但信息安全管理一直没有被忽视,早在1994年中华人民共和国国务院就发布了《中华人民共和国计算机信息系统安全保护条例》,这是我国一切计算机信息系统安全管理的基石,也是制定其他有关信息安全管理的法规、条例、办法等最根本的依据。随后各级政府、部门也相继颁布了一系列的有关信息系统安全管理的法规文件,如《公安部关于加强计算机网络国际联网信息安全管理的通知》、《计算机网络国际联网安全保护管理办法》等。
信息安全管理最初并没有受到人们的重视,认为只要有先进的安全技术就可以实现系统的信息安全,但后来通过一系列的调查研究发现,信息安全问题有70%到80%是由系统本身和系统内部管理问题引起的,人们逐渐开始重视信息安全管理问题。这就是人们常说的从“七分技术,三分管理”到“三分技术,七分管理”的转变。
为确保信息的安全,信息安全技术被广泛采用,如加密技术、防病毒技术、访问控制技术、入侵检测技术等。各种与信息安全有关的信息处理设施与软件产品的质量和安全性,也得到了人们的普通重视。同时,与信息安全有关的法律法规、安全技术标准也应运而生,如NIST的800系列安全原理和标准、IPSec网络安全协议标准、CC(Common Criteria)信息技术安全评价标准等。
从二十世纪九十年代中后期开始步入了标准化和系统化管理的时代。1995年英国率先推出了BS7799信息安全管理标准,这堪称是信息安全管理历史上的一个里程碑。该标准在2000年12月被ISO(国际标准化组织)认可为国际通用标准,并命名为ISO/IEC 17799-信息安全管理体系国际标准。现在该标准已引起许多国家和地区的重视,在一些国家已经被推广和应用。另外,许多其他的发达国家也都建立了自己的信息安全管理标准和管理方法体系,如美国总审计局的一系列信息安全管理指导书、德国的信息技术安全基础保护手册等。
目前,我国的信息网络安全管理主要依靠传统的管理方式与技术手段来实现,但传统的管理模式缺乏现代的系统管理思想,而技术手段又有一定的局限性。保护信息安全,国际公认的、最有效的方式是采用系统的方法(管理十技术)保护信息安全,即确定信息安全管理方针和范围,在风险分析的基础上选择适宜的控制目标与控制方式进行控制,制
定商务持续性计划、建立并实施信息安全管理体系。这种系统的信息安全管理方法已经成为国际性标准—BS 7799 (ISO/IEC l7799)。
信息网络安全管理的体系结构-分析
信息安全管理体系(ISMS)(Information Security Management System)是单位在整体或特定的范围内建立信息安全方针和目标,以及完成这些目标所用的方法,它是直接管理的结果,表示方针、原则、目标、方法、过程、核查表等要素的集合。
一个单位的信息安全管理体系的建立,首先应该建立自己的管理组织,这一点在BS 7799标准中有明确的提出,我们国家的公共行业标准GA 39l也明确地提出了单位应该建立信息安全领导小组这样的管理组织。
在信息安全管理组织的领导下,制定信息安全策略,建立信息安全管理制度,以一套可操作的保障机制来保证这些策略和制度的落实。
同时,建立信息网络管理系统又是一项复杂而具有挑战性的任务,它具有涉及范围广泛、牵扯人员众多、安全需求各异、技术进步迅速等
特点。因此,首先要对其各构成要素有一个清晰的认识,这主要包括:
1、策略安全
策略安全是整个网络安全管理的指导性文件,目的是为单位提供网络安全管理的方针与政策支持。制定清晰、完整的安全策略文档体系,由专门负责人定期审核,并在紧急情况下(如重大安全事件的发生、系统新漏洞的出现以及组织机构或技术机构的改变等)进行突审。
2.单位安全
是指创建、支持、维护和管理信息网络安全基础设施的一套管理机构,主要包括管理信息安全论坛、任命信息系统安全主管、信息安全协调、信息安全责任分配、信息处理设备的授权程序、信息安全专家意见、单位之间的合作、信息安全内审、第三方访问安全等事项。
3.资产分类和控制安全
指依取信息网络安全基础设施,保护单位资产安全性的能力,主要包括有资产的使用说明和资产的分类明细清单,并特别声明信息资产的分类方法、标注及处理过程等,保证所有重要的信息资产应有专人负责,并制定相应的维护和控制责任。
4.人员安全
这是信息网络安全管理的根本。保障信息系统的安全性,既要靠先进的技术,又要有完善的管理,但其核心都是人,实际上,大部分安全和保密问题是由人为差错造成的。因此,在信息安全管理中人的因素应该是最重要的。
5.物理与环境安全
作为信息网络的主要载体,计算机网络系统从自身到其环境都要求有相应的安全防护措施。例如,建立物理安全地带、控制物理安全出入口、设备的安全放置与维护、以及办公场所的安全操作规程等。
6.通讯与操作安全
主要是建立一系列的安全操作规程,如文档操作程序、安全事件管理程序、系统备份与恢复程序、日志管理、电子邮件安全措施等,以确保信息处理设备运行正确、安全,把系统失效的风险降到最低,从而保护软件及信息的完整性。
7.访问控制安全
这是信息网络安全管理的重点,目的是控制信息的访问,防止非法
用户和非法计算机访问信息系统,以保证授权用户的完整权利。措施有:制定访问控制策略、用户注册登记、口令使用与管理、用户认证、网络隔离、检测并记录非法活动、安全审计、密钥管理等。
8.系统开发与维护安全
运用一系列的安全技术与管理措施,如系统配置、消息认证、数字签名、密钥管理、数据输入输出控制以及系统的升级、更新等,确保信息系统的架构、业务以及应用系统的安全,保证IT项目及支持服务的安全进行,维护应用系统软件及信息的安全。
9.业务持续性
是指通过预防及恢复措施,把业务因灾难或安全失效的停顿降到可接受的程度,并制定实施应急计划,来保证业务进程能够在规定时间内恢复。计划应建立在单一框架基础上,以保证一致性,并进行测试、维护及修改,最终使其变成所有管理过程中不可分割的一部分。
10.遵循性
即是否遵守法律。其目的是避免触犯任何刑事及民事法律,以及其他法定、条例、合同的义务和安全需求。信息系统的设计、操作、使用及管理受安全需求约束,同时要加强系统审计的考虑和证据的收集,以备发生问题时采取合法的处理方式。
从根本上来说,信息安全管理要实现的就是,在系统和环境进行物质、能量和信息交换的进程中,利用一切可以利用的安全防护措施,达到保护系统内部重要信息和其他重要资产的安全性(保密性、完整性、可用性和可控性),以防止和最小化安全事件(风险)所造成的破坏,确保业务的持续性和损失最小化。
信息网络安全管理的体系结构-原理
建立、实施和维护信息安全管理体系,就是实施单位需遵循某一风险评估来鉴定、选择最适宜的控制对象,并对自己的需求采取适当的控制。
建立信息安全管理体系具体操作如下:
1.定义信息安全策略
描述的是信息安全在单位内的重要性,提出管理信息安全的方法,为信息安全管理提供方向和支持。需要根据实际情况,分别制定不同的信息安全策略。例如,规模较小的单位可能只有一个信息安全策略,并适用于所有部门、员工;而规模大的集团单位则需要制定一个信息安全策略文件,分别适用于不同的子公司或各分支机构。信息安全策略应该简单明了、通俗易懂,并形成书面文件,发给单位内的所有成员。同时要对所有相关员工进行信息安全策略的培训,对信息安全负有特殊责任的人员要进行特殊的培训,以使信息安全方针真正植根于所有员工的脑海,并落实到实际工作中。
2.定义信息安全策略的范围
确定信息安全策略的范围,即明确在哪些领域重点进行信息安全管理。单位需要根据自己的实际情况,在整个单位范围内、或者在个别部门或领域架构信息安全管理体系(ISMS)。因此,在本阶段,应将单位划分成不同的信息安全控制领域,以易于单位对有不同需求的领域进行适当的信息安全管理。信息安全管理体系可以覆盖单位的全部或者部分,无论是全部还是部分,单位都必须明确界定体系的范围,如果体系仅涵盖单位的一部分就变得更重要了。
3.进行信息安全风险评估
信息安全风险评估的复杂程度将取决于风险的复杂程度和受保护资产的敏感程度,所采用的评估措施应该与单位对信息资产风险的保护需求相一致,应该和单位既定的信息安全管理体系范围、信息安全需求、法律法规要求相适应,兼顾效果和效率。
风险评估主要依赖于信息和网络的性质、使用信息的目的、所采用的网络环境等因素。单位在进行信息资产风险评估时,需要将直接后果和潜在后果一并予以考虑。
4.信息安全风险管理
根据风险评估的结果进行相应的风险管理,主要包括以下几种措施:
降低风险:在考虑转嫁风险前首先考虑采取措施降低风险。 避免风险:有些风险很容易避免,例如通过采用不同的技术、更改操作流程、采用简单的技术整改措施等。
转嫁风险;当风险不能被降低或避免、且被第三方接受时,适用于低概率、一旦发生产生重大影响的风险。
接受风险:用于那些在采取了降低风险和避免风险措施后,依旧存在且必须接受的风险。
5.确定管制目标和选择管制措施
管制目标的确定和管制措施的选择:原则是费用不超过风险所造成的损失。由于信息安全是一个动态的网络工程,单位应实时对选择的管制目标和管制措施加以校验和调整,以适应变化了的情况.使单位的信息资产得到有效、经济、合理的保护。
6.准备信息安全适用性声明
信息安全适用性声明记录了单位相关的风险管制目标和针对每种风险所采取的各种控制措施。信息安全适用性声明的准备,一方面是为了向单位内的员工声明对信息安全风险的态度,在更大程度上则是为了向外界表明单位的态度和作为,以表明单位已经全面、积极地审视了组织的信息网络安全,并将所有必要管制的风险控制在能够被接受的范围内。
实施信息安全管理体系需要切实可行的计划,以及管理高层的支持。对于制定的信息安全管理体系文件,应当获得最高管理层的批准。管理风险的建议应该获得批准,开始实施和运作信息安全管理体系也需要获得最高管理者的授权。
在形式上,可以通过设计风险控制计划,来完成对风险评估的目标与控制措施的选择和确定。
风险控制计划是针对所识别的每一项不可接受风险建立的详细处理方案和实施时间表,是安全风险和控制措施的接口性文档。风险控制计划不仅可以指导后续的信息安全管理活动,还可以作为与高层管理者、上级领导机构、合作伙伴或者员工进行信息安全事宜沟通的桥梁。这个计划至少应该为每一个信息安全风险阐明以下内容:所选择的处理方法;已经到位的控制;建议采取的额外措施;建议控制的实施时间框架。
信息网络安全管理的体系结构-描述
根据信息系统安全的总体要求,信息安全体系应从安全组织体系、安全管理体系以及安全技术体系三个方面进行体系架构,如下图所示。
(1)安全组织体系主要涉及信息网络系统安全的组织机构,包括决策单位、日常管理机构和执行检查层次等,是针对管理体制建立起来的从上到下、主管部门与相关部门有机结合的组织体系,是系统内部信息系统安全的组织保证。
(2)安全管理体系是信息系统安全管理工作的基础,主要包括安全管理制度和安全政策法规两个方面,是单位信息系统安全制度的保障体系。
(3)安全技术体系是指充分运用高新技术,采用安全防范技术措施和技术安全机制,建立起来的现代化技术防范体系,主要包括通信网络安全、系统安全、应用安全、安全技术管理和系统可靠性设计等,是信息系统安全技术的保障体系。
信息网络安全管理的体系标准
信息安全管理的重要性,引起了各个国家的重视,许多国家和国际性的标准化单位都出台了相关的安全管理标准。比较著名的有英国的BS7799(后被国际标准化组织采用为IS0 17799)、ISO 13335等。
ISO和IEC是世界范围的标准化组织,它由各个国家和地区的成员组成,各国的相关标准化组织都是其成员,他们通过各技术委员会参与相关标准的制定。
BS 7799目前已经成为世界上应用最广泛与典型的信息安全管理标准。1993年由英国贸易工业部立项,1995年英国首次出版了BS 7799—1995《信息安全管理实施细则》,它提供了一套综合的、由信息安全最佳惯例组成的实施规则,其目的是作为确定信息网络在大多数情况所需控制范围的参考基准,并且适用于大、中、小单位。
美国信息安全管理标准体系
2002年,美国通过了一部联邦信息安全管理法案,根据它,美国国家标准和技术委员会负责为美国政府和商业机构提供信息安全管理相关的标准规范。因此,NIST的一系列FIPS标淮和NIST特别出版物800系列(NIST SP 800系列)已成为指导美国信息安全管理建设的主要标准和参考资料。
在N13T的标准系列文件中,虽然NIST SP并不作为正式法定标准,但在实际工作中,已经成为美国和国际安全界广泛认可的事实标准和权威指南。目前,NIST SP 800系列已经出版了近90本和信息安全相关的正式文件,形成了从计划制定、风险管理、安全意识培训和教育以及安全控制措施等一整套信息安全管理体系。
信息安全管理并不是一个孤立的学科,它和信息网络审计、信息网络内控体系、信息技术服务体系密切相关。在建设信息安全管理网络时,应该将信息安全管理同审计、内控和服务相结合,以避免不必要的资源重复投资。
从更广义的范围来看,信息安全是信息技术的一部分,信息安全管理的一个更深刻的目的是:建设和完善信息技术治理体系。从这个意义来看,信息安全管理人员不应只关注信息安全管理本身,还应该进一步将信息安全管理放在一个更大的范畴—信息技术治理和组织机构治理的领域来考虑。
信息网络安全管理的组织体系
信息网络安全的管理工作,首先是要建立信息安全管理组织,这个管理组织应该有权威性,并且应该是活跃的。《计算机信息网络安全等级保护管理要求》中规定,信息网络使用单位应该建立信息安全管理组织。在第四章第五条中要求 “单位的最高主管对本单位计算机信息网络安全负有主要责任,应根据使用的计算机信息网络的保护等级和计算机信息网络规模设立安全管理职责体系,明确安全管理人员的职责,保证安全管理人员有效行使计算机信息网络安全管理的权利 ”。
安全管理组织体系是一个单位信息安全保障体系建设的最关键要素。
在BS 7799中也提出:管理机构内的信息安全。应建立一个机构管理架构,在全机构内推行及管理信息的安全。应由管理层牵头、组织管理论坛来讨论及批准信息安全策略、指派安全角色及协调全机构安全的实施。如有需要,应在机构内建立一个信息安全资源库。应与外界的安全专家保持联系,留意业内标准及评估方法、最新的行业动态,以及发生安全事件时提供适当的联系方法。应从多方面考虑信息安全,例如:调动部门经理、用户、管理员、应用网络设计者、审计安全员和风险管理专家共同制定策略。
一、信息网络安全管理组织及其职能
信息网络安全管理组织的名称、大小、性质和定位取决于单位的性质、文化、定位。《计算机信息网络安全等级保护管理要求》中给出了一个单位内部的信息安全管理的组织体系结构。由最高层的管理组织、部门级的管理组织、网络级的管理组织和应用级的管理组织构成。
目前许多单位是在内部建设了一个统一的物理意义上的信息网络,而各部门的应用是架构在这个统一的物理网络上的,而不是部门自建,当然部门自建网络的也有许多。对于统一的信息网络来说,部门的管理是应用级的,而不是网络级的。
信息网络安全管理的组织体系 1.信息安全领导小组的组成:
(1)信息安全管理组织,信息安全策略、标准和指导的主要提供者; (2)计算机或数据安全组织,开发和维持计算机及网络安全性的技术人员的组织;
(3)信息安全协调员,单位内部在信息安全组织管理层以下的全职或兼职管理员和顾问;
(4)网络和平台的管理员及经理,商业单位的当地计算机和通信服务提供者;
(5)信息和应用程序的拥有者、提供者、监护人及用户; (6)发布或披露内容的提供者,信息内容审核人员; (7)外聘的安全顾问。
2.信息网络使用单位安全管理组织建立的原则
(1)按从上至下的垂直管理原则,上一级信息网络安全管理组织指导下一级信息网络安全管理组织的工作。
(2)下一级信息网络的安全管理组织接受并执行上一级信息网络安全管理组织的安全策略。
(3)各级信息网络的安全管理组织,不隶属于同级信息网络管理和业务机构,不隶属于技术部门或运行部门,并常设办公机构负责信息安全日常事务。
(4)各级信息网络安全管理组织由网络管理、网络分析、软件硬件、安全保卫、网络稽核、人事、通信等有关方面的人员组成。
3.信息网络使用单位的安全管理机构职能
(1)各级信息网络安全管理机构负责与信息安全有关的:规划、建设、投资、人事、安全政策、资源利用和事故处理等方面的决策和实施。根据国家信息网络安全的有关法律、法规、制度、规范,结合本单位的
安全需求建立各处信息网络的安全策略、安全目标和实施细则,并负责贯彻实施。
(2)负责与各级国家信息安全主管机关、技术保卫机构建立日常的工作关系。
(3)组织、协调、指导计算机信息网络的安全开发工作。 (4)建立本网络完整的网络安全保护规程、制度。
(5)确定信息安全各岗位人员的职责和权限,建立岗位责任制。 信息网络安全管理的组织体系
(6)审议并通过安全规划、年度安全报告、与信息安全相关的安全宣传。
(7)执行信息安全报告制度,定期向当地公安信息安全监察部门报告本单位信息安全保护管理情况,及时报告重大安全事件;遇到违法犯罪案件,应保护案发现场,协助公安机关调查、取证。对已经证实的重大安全违规、违纪事件,应及时进行处置。
(8)安全审计跟踪分析和安全检查,及时发现安全隐患和犯罪嫌疑,防患于未然,将可能的攻击拒之门外。
(9)负责向所属单位或机构的领导层汇报工作,积极争取领导层对信息安全的完全支持。领导层对信息安全的支持是成功的安全网络中最重要的因素。
4.信息网络安全负责人的职责
(1)全面负责本单位的信息网络的安全工作。
(2)安全负责人应指定专人负责建立、修改和管理网络授权表及网络授权口令。
(3)负责审阅违章报告、控制台报告、网络日志、网络报警记录、网络活动统计警卫报告以及其他与安全相关的材料。
(4)负责单位制定安全教育、培训计划,负责协调和管理下级安全管理人员,网络管理和操作人员的定期和不定期的安全教育和培训。
(5)负责管理监督、检查分析网络运行日志及网络安全监督文档,定期对网络做出安全评价,对违反网络安全规定的行为进行处罚。
信息网络安全管理的组织体系
(6)负责制定、管理和定期分发网络及用户的身份识别号码、密钥和口令。
(7)根据国家和上级机关有关信息内容的管理要求,审查对外发布的信息内容,防止泄密事件和其他事件的发生。
(8)负责采取切实可行的措施,防止网络操作人员对网络信息和数
据篡改、泄露和破坏,防止未经许可的越权使用网络资源和旁路网络安全设备的控制。
(9)负责监督、管理外部人员,建立相应的批准手续。
(10)采取切实可行的措施,防止信息网络设备受到损害、更换和盗用。
(11)负责与互联网接入有关的安全工作。 5.网络安全管理人员的主要职责
(1)负责应承担的日常安全工作包括:风险评估的相关工作、安全方案相关工作、提出安全策略要求。在网络方面则应该做到:
①对网络资源和应用定义相应的安全级别。②限制隐蔽通道活动的机制。③定义网络访问控制的机制.④为所有用户定义安全级别。⑤应熟悉应用环境下的安全策略和安全习惯。⑥网络安全管理员不负责审计工作。
(2)发生违法犯罪案件,立即向上级部门和公安部门报告。保护案发现场,协助公安机关调查、取证。
(3)对已证实的重大的安全违规、违纪事件及泄密事件,应及时报告并在权限范围内进行处理。
(4)安全审计跟踪分析和安全检查,及时发现安全隐患和犯罪嫌疑,防患于未然。
(5)负责定期向所属单位或机构的领导层(或管理层)汇报安全工作。
6.审计员的职责 (1)设置审计参数。
(2)修改和删除审计网络产生的原始信息(审计信息)。 (3)控制审计归档。
(4)发生安全事件时的审计。
(5)发生安全事件时向高层汇报审计情况。
审计员与网络安全管理员之间形成了一个检查平衡。审计安全管理员设置和实施安全策略,审计员控制审计信息表明安全策略已被实施且没有被歪曲。
7.安全操作员的职责
安全操作员可以完成所有操作员的职责,如:启动和停止网络;完成移动存储介质的一致性检查;格式化新的介质;设置终端参数;允许/不允许登录(包括:不能更改口令、用户的安全级别和其他与安全相关的登录参数)、产生原始的审计数据。除此之外安全操作员的职责还有:
(1)例行备份与恢复。
(2)安装和拆卸可安装的介质。 (3)监督本单位的网站运行情况。 8.网络管理员的职责 (1)管理网络软件。 (2)设置BU 文件,允许使用UUCP、UUTO等进行通信。
(3)设置与连接服务器、CRI认证机构、ID映射机构、地址映射机构和网络选择管理文件。
(4)启动和停止远程文件、网络文件,通过远程文件和网络文件来共享和使用资源。
9.信息内容审核员的职责
由于互联网的发展,许多单位都建立了自己的信息发布平台。但是.对于信息的发布应该有严格的审核制度,应设审核员,对信息内容的审核要求是:
(1)审核发布的信息内容是否符合国家的法律、法规和政策要求。 (2)是否泄露国家、单位的秘密信息,个人的隐私信息。
(3)是否产生对社会及单位的负面影响,是否会造成对个人的伤害。
二、信息安全专家的意见和单位间的合作
很多机构都需要信息安全专家的意见,最好内部有这样经验丰富的安全专家。如果没有,建议确定一位员工负责协调机构内部的安全事件。机构也应该找外部的专家,为自己没有经验的安全事件提供意见。
信息安全顾问应负责提供信息安全方面的意见,他们对安全威胁的评估及对控制的意见会确定机构信息安全的有效性。为了发挥最大效益,顾问可以直接与整个机构的管理层接触。
在发生安全事件时,应在第一时间由信息安全顾问提供专业的意见,并在管理层的控制下正常执行调查。
信息网络安全管理的策略体系
信息网络运行部门的安全管理工作应首先研究确定信息网络安全策略,再确定网络安全保护工作的目标和对象。信息网络安全策略涵盖面很广,如总体安全策略、网络安全策略、应用系统安全策略、部门安全策略、设备安全策略等。一个信息网络的总体安全策略,可以概括为“实体可信,行为可控,资源可管,事件可查,运行可靠”几个原则,总体安全策略为其他安全策略的制定提供总的依据。
一、网络和网络安全策略 1.用户身份鉴别
安全策略应确定如何识别用户,对用户的鉴别强度与相应权限相匹配。
2.访问控制
主访问控制或强制访问控制或混合使用。 3.审计
制定审计策略,明确网络应该对哪些操作进行审计。
4.网络连接
针对每一种接到单位网络的连接形式,安全策略应说明连接的规则以及保护机制。
5.恶意代码
安全策略应确定搜索恶意代码(如病毒、木马、逻辑炸弹等)的安全程序的存放位置。
6.加密
确定单位的可接受的加密算法,并且这些算法必须符合国家相关规定。井对密钥进行符合规定的管理。
二、网络安全策略原则 1.计算机所有权
策略中应该明确地说明计算机属于本单位、并且提供给员工在单位内用于工作相一致的用途。应该禁止使用非单位的计算机用于单位的业务活动。
2.信息所有权
应规定所有存储的并于单位内用的计算机信息属于单位所有。某些员工可能使用单位的计算机存储个人信息,如果策略没有特殊说明,则个人信息可分开存在私人目录下并且非公开。
3.计算机使用许可
大部分单位期望员工使用单位提供的计算机,只用于和工作有关的应用,但这不是一个很好的假定。因此在策略中要明确说明,例如,单位的计算机只允许用于工作目的,如果单位在非工作时间允许员工使用计算机用于非工作目的,也要在策略中写清楚。
4.没有隐私要求
计算机用户策略应该规定,在单位的计算机存储、传输的信息没有隐私。
三、互联网使用策略
对于单位登录互联网,除了要考虑防范来自互联网上的威胁外,还要考虑单位内部人员对互联网上其他连接的侵害,或利用互联网进行的其他违法犯罪。
1.邮件策略
电子邮件正越来越多地用于单位的业务处理,电子邮件是使单位的敏感信息毫无价值的另一种方法,有些单位为电子邮件的使用开发了专门的策略,应考虑到内外两方面的问题。
(1)内部邮件问题
电子邮件策略不应和其他的人力资源策略相冲突。例如,电子邮件策略应规定禁止利用电子邮件进行性骚扰,又如,规定在电子邮件中不得使用非正式的语言。
如果单位要对电子邮件的某些关键字或附件进行监控,则策略应说明这类监控是存在的,策略还应说明在邮件中不能涉及个人隐私。
(2)外部邮件
电子邮件可能包含一些敏感信息。邮件策略应说明在什么条件下是可以接受的.并且在信息策略中指出该类信息应如何保护,并对邮件的附件进行病毒测试。
2.用户管理策略
用户管理是一个极为重要又往往被忽视的问题,作为信息网络的访问者,网络既要满足对他的服务,同时又要对他的行为进行管理和限制。应制定以下策略:
(1)新员工调入:新员工调入应该有一个调入的考察程序,同时对新员工使用计算机和访问信息网络资源应规定相应的程序。
(2)临时员工:临时员工访问信息网络要有相应的策略加以控制。 (3)员工调动:对员工的调动要有相应的程序,由人力资源和网络管理部门对调动人员原岗位与新岗位对信息资源的使用进行管理。
(4)离职员工:对由单位确定的离职人员,应提前通知网络管理员;员工本人提出离职的,网络管理员应立即采取策略所规定的措施,保证离职人员不可能再有访问本单位信息网络的机会。
(5)外协人员:策略中应该规定对外协人员的管理,防止对网络的破坏。
3.网络管理策略
网络管理策略是确定网络安全和网络管理如何更好的配合工作,使单位的网络更安全稳定。需要完成如下与安全相关的管理:
(1)软件更新:防病毒软件的升级,补丁程序、应用软件更新前的测试与过程管理等。
(2)漏洞扫描:确定扫描的时间和方法。
(3)策略检查:定期利用审计网络来检查策略的合理性 (4)登录检查:定期的登录检查。
(5)常规监控:对网络及用户行为的监控。
4.事件响应策略
信息网络发生安全事件是不可避免的,我们的目的是为了降低发生的概率和频率,但无法避免发生。在发生了安全事件后,单位对安全事件进行何种响应,采取什么样的响应策略直接关系到单位因事件而导致的损失。对事件应做事前准备、事中响应与检测、及事后追究与恢复等。事件响应策略包括:
(1)事件处理目标:包括保护信息网络、保护信息、恢复运行、降低影响等。
(2)事件识别:事件的类型和性质。 (3)信息控制:如何发布相关的消息。 (4)响应:检测、阻断和跟踪。 (5)授权:接相关人员的授权。 (6)文档:预案和事件的总结。 (7)程序测试:恢复后的测试。
5.配置管理策略
网络的配置是维护信息网络运行状态的重要环节。
(1)网络初始状态:对于一个新网络,它的状态应有:文档、应用程序等详细记录。
(2)更新控制程序:当网络变更时,应执行变更配置控制程序。该程序应该在变更实施前对计划的变更进行测试。当提出变更请求时,应将变更前后的程序存档,再变更新配置以反映网络的新状态。
6.网络设计策略
(1)需求定义(业务战略):在任何项目的需求定义阶段,应该将安全需求列入。设计方法应该指出单位的安全策略和信息策略的要求,特别是要确定敏感信息和关键信息的要求。
(2)设计:在项目设计阶段,设计方法应确保项目是安全的,安全人员应成为设计组成员或作为项目设计审查人员。在设计中对不能满足安全要求之处应特别说明,并及时妥善解决。
(3)测试:当项目进入测试阶段,应同时进行安全测试。安全人员应协助编写测试计划。
(4)实施:项目实施阶段同样有安全要求。实施组应使用合适的配置管理程序。在新网络成为产品以前,安全人员应检查网络的漏洞和合适的安全策略规则。
7.灾难恢复策略
(1)单个网络和单点故障
单个网络或设备故障包括硬盘、主板、网络接口卡、元件的故障。对每个故障,应在可允许的时间内修复并恢复运行。“可允许的时间”是根据对网络的关键程度以及解决方案所使用的费用而定。
不论什么样的解决方案,灾难恢复计划必须能修复故障,使网络继续运行。计划必须和单位的运行部门相结合,使他们知道应采取什么步骤恢复网络运行。
(2)数据中心
灾难恢复计划还为数据中心的主要事件提供一个程序。例如,发生火灾,数据中心不能使用,应采取什么步骤重新恢复其能力。其中必须解决的一个问题是有可能丢失设备,灾难恢复计划应包括如何得到备用的设备。假如数据中心不能用了,但仍有一些设备完好,灾难恢复计划
应考虑如何添加新的设备以及确定其他可能的场地,重新建造计算机网络。
(3)场地破坏
场地破坏事件是灾难恢复计划通常需要考虑的一类事件。虽然这类事件发生的概率较小,但对一个单位的危害极大。对每类事件,单位的每个部门都应参与。第一步是识别必须重建的关键能力,以使该单位继续生存。如果是一个电子商务站点,则最关键的可能是计算机网络。如果是生产产品的工厂,则制造部门是关键,它的优先度高于计算机网络。
(4)灾难恢复的测试
灾难恢复计划是一个十分复杂的文档,通常不是一次写成就立即成功,因此需要测试。测试的必要性不仅在于检验其正确性,而且在于检查其是否处于备用状态。
灾难恢复计划的测试可能十分昂贵且有破坏作用。所以一个单位通常要安排安全管理员定期地对灾难恢复计划进行巡视,而且每年进行一次全面的测试。
8.安全策略的部署
安全策略若要有效部署和实施,需要全体人员介入。 (1)贯彻
安全策略对每个部门都有影响,必须在各部门贯彻。由于在策略生成时征得了各部门管理者的意见,这些管理者的介入非常有助于安全策略在各个部门的贯彻。最高层领导强调安全策略的重要性,强调应予以贯彻更有效。
(2)培训教育
因为安全策略对单位的全体员工都有影响,所以安全专业人员必须负责对员工进行安全教育,人力资源管理部门和培训部门要协助进行。特别重要的是,当某些安全策略改变时会影响到全体员工,例如,需更改口令,必须事先告知全体员工,否则会造成一时混乱。
(3)执行
有时安全环境的突然改变会产生相反的效果,所以采取很好的计划和平滑过渡会更好。安全工作要与网络管理部门和其他有影响的部门密切配合,使执行更有效。
9.安全策略的有效使用
一个新的网络及项目启动时,就应同时进行安全策略的程序设计。也就是说,将安全作为新网络和项目设计的组成部分,使得安全要求在设计之初就能被识别和实施。如果新网络不能满足安全要求,该单位就要知道存在的风险,并提供某些机制来管理存在的风险。
(1)已有的网络及项目
当一个新的安全策略被批谁后,应该检查每个网络,看其是否和新的安全策略相符合。如果不符合,确定是否需要采取措施来遵守新的策略。应该和网络管理员以及使用该网络的部门一起工作,对安全策略作出相应的变更。
(2)审计
很多单位内部的审计部门,定期地审计网络是否遵守安全策略。安全部门应及时将新的安全策略通知审计部门,并配合他们的工作,使他们在审计时了解这些变更。一般来说,这个变更应是双向的。安全部门应向审计部门解释安全策略如何开发以及期望达到什么的目标,审计部门应向安全部门解释审计如何进行以及审计的目标。
(3)安全策略的审查
即使是一个好的安全策略也不是一劳永逸,对大部分策略,应每年审查一次,对某些程序,如事故响应程序或灾难恢复计划,可能需要更加频繁的审查。
在审查时,应和所有与安全有关的部门接触,听取他们对现有的安全策略的意见和建议。对重要的问题还要召开专门的调研会,在此基础上调整安全策略、申报批准、开始培训、贯彻实施。
信息网络安全管理制度
一、人员管理
1.人员管理的原则:相互监督的原则、授权的原则、培训后上岗的原则。
(1)相互监督的原则
在人员允许的情况下,由最高领导人指定两个以上的专业人员,共同参与每项与安全相关的活动,并通过签字、记录、注册等方式证明。对于重要的操作,一定要实行相互监督的原则。如在一些特权操作方面,特权口令就应该是多人分段掌握口令,操作时必须两人以上到场,共同完成操作,并通过签字、记录、注册等方式记录此次操作的目的和内容,及操作开始和完成的时间。如果操作网络、网络的鉴别与认证及访问控制机制的安全级别较低时,这样相互监督就更有必要了。
(2)任期有限的原则
任何人在任何与安全相关的岗位上,不能长期的工作下去。应该定期的轮岗。在信息网络的各个层面上,总会存在这样那样的脆弱性,会被利用成为攻击网络的突破口。特别是在应用层面上,既直接关系到网络的服务与数据的安全,而且又是最容易产生脆弱性的环节。长期的工作,就有可能发现网络的脆弱性,而产生利用这些脆弱性的动机。
(3)分权制约的原则
在工作人员素质和数量允许的情况下,不集中一个人实施全部与安全相关的工作。责任分散主要采取建立物理屏障和制定规则来实现。
(4)最小授权的原则
最小授权的原则指的是:所有人员的工作、活动范围和访问权限,应当被限制在完成其任务的最小范围内。对于所有人员都应做到得知、仅知。各职责权限都是有限的,实行最小授权,并规定授权的有限时效。对于一些重要的操作尽可能地采用临时授权。
(5)安全培训的原则
人员的培训,对于信息网络的安全来说是十分重要的,良好的培训可以说是信息安全管理的基础性工作。培训应该在人员上岗之前,只不过培训的内容和时间是不同的。对全体人员,以下的培训内容都应该参加:
①信息网络安全相关的法律、法规;
②单位的信息安全策略和与之相关的规章制度; ③安全、保密意识和必备的安全技能; ④工作及操作程序。
2.人员审查制度
应根据计算机信息网络安全等级的需要确定人员审查内容。 信息网络的有关人员应具备:政治可靠、思想进步、作风正派、技术合格、职业道德良好等基本素质。录用关键工作岗位的工作人员时,应按照其申请表中的个人简历逐一审查,必要时要亲自会见证明人,对以前的经历和人品进行确认。
对在职人员应进行定期审查,当工作人员婚姻、经济、身体等状况发生变化,或被怀疑违反了安全规则,或对其可靠性产生怀疑时,都应进行重新审查。
3.岗位责任和授权
根据分权制约和最小授权原则,建立岗位责任制度和授权制度。 明确所有人员在网络中的安全职责和权限,职责和权限要文档化,并要求签字确认。所有人员的工作和活动范围应当被限制在完成其任务的最小范围内。
信息网络关键岗位的人选如:安全负责人、安全管理员、网络管理员、安全分析员、安全设备操作员、保密员,必须通过严格的政审,并要考核其业务能力。关键岗位人员不得兼职。
4.人员考核
(1)建立人员考核制度
人事部门要定期组织对信息网络所有的工作人员,从政治思想、业务水平、工作表现、遵守安全规程等方面进行考核。对于考核合格者应给予表扬和奖励。不合格的应予以教育、批评或处罚。对于考核发现有违反安全法规行为的人员,或发现不适合接触信息网络的人员要及时调离岗位,不应让其再接触网络。
(2)签订保密合同
计算机信息网络所涉及的工作人员(长期或临时),应签订保密合同,承诺其对网络应尽的安全保密义务,保证在岗工作期间和离岗后一定时期内,均不得违反保密合同、泄漏网络秘密。保密合同的内容应符合国家有关规定,对违反保密合同的应设有惩罚条款,对接触机密信息
的人员应规定在离岗的相应时间内不得离境。
5.人员调离管理
对调离人员,特别是因不适合安全管理要求而被调离的人,必须严格办理调离手续,进行调离谈话,承诺其调离后的保密义务,交回所有钥匙及证件,退还技术手册、软件及有关资料。网络必须及时更换口令和开机要锁,撤销其用过的所有帐号。
重要机房或岗位的工作人员一旦辞职或调离,应立即撤销其出入安全区域、接触敏感信息的授权。
二、物理安全方面的管理制度
在信息网络安全管理中,我们还应该考虑到信息网络的运行环境(机房)安全、设备安全和介质安全、网络设施的安全。因此应建立机房安全管理制度、主机设备安全管理制度、网络设施安全管理制度、物理设施及分类标记安全管理制度。
1.机房管理制度
(1)机房出入管理制度。机房是中心计算机设备和网络核心交换设备的运行区,应该保证这里是一个安全区域,办公区与运行区应该从区域上隔离开,进人运行区的出入口要有可靠的限制控制和监督措施。
(2)机房区域防护制度:主要包括对机房与其他区域隔离及区域防护。
(3)出入控制制度:机房进出的控制;重要运行区的控制;携带物品的限制。
(4)会客制度:报告批准制度;会客区域限制;时间限制。
2.危险品管理制度 3.卫生管理制度 包括卫生责任人;防尘和除尘措施,清扫机房制度;桌面清理制度。 4.防火管理制度
包括防火责任人;防火预案;各类报警器材及消防器材的年检,消防与报警器材的更换;防火疏散方案,紧急出口管理,重要设备、设施、数据的抢救方案,以及上述各项的定期培训与演练制度等。
5.机房环境检查制度
如对温湿度的检测、接地情况检测、静电检测等。 6.机房报警制度
包括报警器和电话;报警演练制度。机房应安装视频监控设备、设备应保证供电。
7.设备管理制度 (1)设备采购管理 ①设备选型
信息网络安全专用产品的采购应该注意以下一些问题: 严禁采购和使用无信息安全产品销售许可证的产品。 采购和使用的安全产品必须与信息网络的等级相一致。 密码产品必须通过国家密码管理部门的认可。
尽可能地选择国内的安全产品,特别是重要的信息网络。 安全产品本身是否具备可管理性,是否可联动。 ②设备检测:所使用设备应符合国家的标准。
③设备购置安装:要求获得批准后,方可购置,并在测试环境下经过72小时以上的单机运行,测试网络兼容性。设备试运行之后,投入正式运行。
④设备登记:对所有设备应建立项目齐全的登记管理,购置、移动、使用、维护、维修、报废等记录要很好保存。
(2)设备使用管理
每台设备的使用均应由专人负责,重要的设备要建立详细的运行日志。
设备管理人的主要职责包括:
①负责设备的使用登记,内容包括运行起止时间、累计运行时间及运行状态等。
②日常保养维护,对重要设备要有维护记录,保证设备处于最佳状态,一旦设备出现故障,要填写故障报告,通知有关人员处置。
②保证设备在出厂说明书的使用环境下工作,如温度、湿度、电压、电磁兼容性、除尘等。
⑤制定有关电源设备、空调设备、防水防盗、消防等防范设备的管理规章制度,明确专人负责设备维护和制度实施。
(3)设备维修管理
设备应有专人进行维修,并建立满足正常运行最低要求的易损件备份库。
根据每台设备的资质情况及网络的可靠性等级,制定预防性维修计划,对网络进行维修时,应实施数据保护措施;安全设备维修时,应有安全管理员在场,对设备进行维修时,必须记录维修对象、故障原因、排除方法、主要维修过程、更换的部件及其他维修情况。
对设备应规定折旧期.专业技术人员对设备进行鉴定和残值估价,并对设备情况进行详细登记,提出处理意见由主管领导和上级主管部门批准后报废处理。
(4)设备仓储管理
设备应有进出库领用和报废登记。
必须定期对储存设备进行清洁、核查及通电检测。 安全产品及保密设备应单独储存并有相应的保护措施。
8.网络设施管理制度 (1)传输线路
①局域网内部传输线路采用屏蔽电缆或光缆。 ②广域网传输线路必须采用专用同轴电缆或光缆。 ③线路必须穿金属管,室外长距离的要埋入地下。 ④对所有的传输线路必须提出明确的可用性指标。
⑤在传输线路上传送敏感信息必须按敏感信息的密级进行加密处理。
⑥对于重要的线路,要有防止搭线窃听措施,如有需要应该巡查。
(2)网络互联
①单位的网络与其他网络(包括与上下级内部网络)的连接都要符合国家有关规定,有些网络互联需要国家有关部门批准。
②涉及国家秘密信息网络的计算机网络,不得与其他任何不涉密的网络互联,确定需要互联的,首先要通过国家相关部门批准,并采取可靠的安全保密措施和技术方案。
③重要机关信息网络的计算机网络与内外计算机网络互联都必须统一传输入口。
(3)网络设备的管理.
①核心交换设备及路由器应运行在安全区内,并按设备管理制度加以管理。
②其他交换设备和路由器要有可靠的物理防护措施,做到防盗窃、防连接、防破坏。
③调制解调器管理,网络内不得私自连接调制解调器。
三、病毒防护管理制度 计算机防病毒管理包括:
①内部维护,部门定期组织对病毒的清、杀工作。
②在重要的计算机网络上不得使用未经批准的移动存储介质;对经批准使用的移动存储介质,不得随意连接本网络以外的计算机;对于重要的计算机,连接移动存储介质前,移动存储介质必须先在其他计算机上进行病毒检测,确认后才可使用。
③发现病毒后应立即组织检测和清除,如果不能完全清除;则应对感染的计算机进行隔离。
④要有病毒感染和清除结果记录。 ⑤杜绝空口令和弱口令。
⑥下班后或节假日应关闭计算机,特别是连接互联网的计算机。
四、网络互联安全管理制度
公共网络连接管理是指政府通过公共网络向公众发布指导信息的管理;为公众提供国家政策、法律、法规咨询服务的管理。对国家政府部门从网上获得有用信息的管理,在没有彻底解决安全防护措施问题之前,党政信息网络必须与公共网络从物理上切断,对外发布的信息,要保证其完整性以免损害政府形象,造成政治影响;对外提供的各类信息要准确、可靠、实效性好。
对登录互联网网络的管理,还要按互联网管理办法的要求,对上网人员的日志保留60天。
五、安全事件报告制度
发生下列事件之一的应视为安全事件:
①当网络受到破坏性攻击时,不能正常发挥或部分不能正常发挥其功能时。
②当软件受到破坏性攻击时,不能正常发挥或部分不能正常发挥其功能时。
③当软件遭到计算机病毒侵害,局部或全部的数据和功能受到损坏,使网络不能工作或使工作效率急剧下降。
④当物理设备被人为损坏,无法正常工作。
⑤当受到自然灾害的破坏,如地震、水灾、火灾、雷电。 ⑥当出现意外停电又没有后备电源时。 ⑦当重要的关键岗位的人员不能上岗时。
⑧对发生的安全事件应该有报告制度和渠道。对于较明确的案件要在24小时之内向地市级公安机关报告。
五、安全事件报告制度
发生下列事件之一的应视为安全事件:
①当网络受到破坏性攻击时,不能正常发挥或部分不能正常发挥其功能时。
②当软件受到破坏性攻击时,不能正常发挥或部分不能正常发挥其功能时。
③当软件遭到计算机病毒侵害,局部或全部的数据和功能受到损坏,使网络不能工作或使工作效率急剧下降。
④当物理设备被人为损坏,无法正常工作。
⑤当受到自然灾害的破坏,如地震、水灾、火灾、雷电。 ⑥当出现意外停电又没有后备电源时。 ⑦当重要的关键岗位的人员不能上岗时。
⑧对发生的安全事件应该有报告制度和渠道。对于较明确的案件要在24小时之内向地市级公安机关报告。
⑤应付紧急情况的具体步骤也应贴在墙上。如:如何使用备份设备、紧急情况下关机步骤等。
⑥应定期进行应急计划实施演习,保证每个网络值班人员都能正确实施应急计划。
⑦除了必须备份的基本数据文件,如:操作网络、数据库管理网络、应用程序等以外,各单位必须根据自己的实际情况定出需备份的数据文件。
⑧必须在机房附近存放一套备份文件的副本,以便紧急情况下能迅速取出。
⑨重要的实时网络在建立时就应考虑设备备份。如:CPU备份、主机备份、网络备份等。备份应注意:
.备份网络应安装在与主机房有一定距离的备份机房;
.备份机房应具有与主机房相同的安全标准与措施;
.备份网络必须定期进行实际运行,以检验备份设备的可靠性;
.在对数据完整性要求较高的场合,必须采取严格的数据备份措施,以保证数据的可靠恢复。
七、口令管理
①口令长度要根据信息网络处理信息的敏感程度来决定。口令应长达10—12位。
②若采用人工输人口令方式,用户应该安全保管自己的口令,不应把口令记载在易泄露的介质上,严禁将口令贴在终端上,输入的口令不能在屏幕上显示。
③口令的变更期限按访问的等级确定,一般由网络管理员更换。 ④口令必须有一定的复杂度:数字、字母、特殊符号不能少于其中两种。
⑤口令传送必须加密,并与用户身份识别标识一一对照。 ⑥口令必须可以追踪。
⑦口令必须加密存储,口令的访问、修改、删除必须有专门授权执行,并有备份记录。
八、信息披露与发布审批管理制度
单位的信息披露和发布要有严格的审核、审批制度。披露和发布的信息应该由产生这些源信息的部门提出,这些部门应该有信息审核员,对信息进行审核,并报送单位主管领导审批。
披露和发布的信息审核要注重以下几个方面:
①是否含有国家或单位的秘密信息、商业秘密信息、敏感信息。 ②是否含有个人的隐私信息。
③是否含有危害国家政治安全、社会稳定和经济建设的信息。 ④是否含有对信息受众人群的误导信息。 ⑤是否含有虚假信息。
⑥是否含有对单位不利的信息。 ⑦其他不应该披露和发布的信息。
