前言:中文期刊网精心挑选了网络安全管理实施细则范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
网络安全管理实施细则范文1
(一)基本情况
1.防雷安全监管责任按要求落实。我局制定了《涿州市气象局安全生产责任清单》,明确了防雷安全监管责任,并将防雷安全工作纳入安全生产责任制和地方政府考核评价指标体系中。
2.严格危化品企业防雷安全监管。建立健全涿州市防雷安全重点单位信息库,不定期对本市危化品企业进行防雷安全隐患排查,对存在安全隐患的企业要求限期整改。
3.建立防雷安全联合检查机制。我局与应急管理局开展部门间合作,明确对防雷安全责任主体的监管要求,开展联合行政执法检查,实施协同监管。
4.建立防雷管理经常性工作机制。与应急管理局建立部门联合协调监管防雷安全重点企业,特别是危化品企业,实现信息共通、共享。
5.按计划开展防雷安全日常监督执法。以“深化安全生产大排查大整治攻坚行动”为契机开展防雷安全检查,全面排查涿州市危化企业、易燃易爆场所,做到零容忍、全覆盖。
6.积极提升雷电监测预警能力。汛期前后,加强雷雨天气气象会商,提高雷电天气的预报预警准确度,完善雷电实时监测和短临预警业务系统,畅通与防雷安全重点单位之间信息交流,确保及时发送和接受雷电预警信息、雷电灾害信息等内容,实现信息互联互通。
(二)自查出的问题和整改措施
问题一:雷电监测预警能力不足
整改措施:
继续提高预警预报系统现代化水平。
(完成时限:2019年底 责任人:张雷)
问题二:部门联合检查力度不足
整改措施:
加强部门联合,增加执法检查力度。
(完成时限:2019年底 责任人:张雷)
二、人影作业安全管理方面
(一)基本情况
1.严格责任落实。我局已建立了《安全责任清单》《人工影响天气安全作业实施细则》《高炮使用维护保养制度》《人影作业安全事故处理流程》等,按照各项制度积极执行,确保责任落实到位。
2.加强人影作业安全标准化建设。我局于2011年对兰家营作业点进行标准化建设并备案;绘制了安全射界图并及时更新;每年年初多渠道人影作业公告保障人影工作的顺利开展;严格按照要求进行弹药运输和存储;每次作业都按照要求进行空域申请,在规定时间和范围开展人影作业。
3.加强人员队伍建设。人影作业事项已外托给保定市天双信息技术有限公司。人影作业点购置了安全帽、作业服、雨鞋等防护设备。
4.做好人影设备管理。每年3-4月对人影作业设备进行年检,定期维护保养;弹药购置使用符合《中国气象局办公室关于不达标人工影响天气作业炮弹火箭弹退出使用工作的通知》(气办发〔2018〕16号)规定情况;故障弹药和过期弹药按要求处理。
5.做好应急预案管理。制定了安全事故应急预案。
6.积极开展人影隐患排查。定期开展安全隐患排查,发现隐患及时整改,确保安全作业。
(二)自查出的问题和整改措施
问题一:因作业时间紧急和作业环境差等原因,空域申请没有完全按要求留痕。
整改措施:
严格按照要求,制作涿州市空域申请登记本,注明空域申请人、允许作业时间、空域批准人等,每次作业及时做好记录备案。
(完成时限:2019年底 责任人:人影作业负责人)
问题二:没有及时与地方安全管理部门联合开展人影安全督查。
整改措施:及时与地方安全管理部门联系,适时联合开展人影安全督导检查。
(完成时限:2019年底 责任人:张雷)
(一)基本情况
1.严格落实网络安全责任制。建立网络安全工作领导小组,党支部领导班子主要负责人张雷同志作为第一责任人,纪检书记周丹为副组长,其他办公室工作人员为成员。按照《涿州市气象局网络信息安全责任制》内容要求,把网络安全纳入重要议事日程。做好网络安全工作财政预算支持,做好网络安全设备保障,加强对网络信息安全的保障力度,坚持统筹协调开展网络安全检查,定期在局内组织召开网络安全宣传教育培训。
2.积极落实网络安全等级保护工作。按《信息安全等级保护管理办法》开展网络信息定级、备案、测评、整改,新建信息系统开展网络安全定级,开展网络安全建设。
3.加强网络安全技术防护。做好气象信息系统、政府网站、手机服务端和显示屏的网络安全技术防护工作,加强网络安全监视。
4.健全网络安全管理制度。按照保定市网络安全管理要求,规范气象数据使用和扩散范围,建立了《涿州市气象局网络安全管理制度》。
(二)自查出的问题和整改措施
问题一:网络安全管理人员能力不足
整改措施:
加强网络安全管理人员素质的培训,提升网络安全管理水平。
(完成时限:2019年底 责任人:张雷)
四、制氢用氢安全管理方面
我局不涉及此项工作。
五、内部安全日常管理方面
(一)基本情况
1.建立内部安全生产管理机构。成立局内安全生产管理小组,张雷局长任组长,纪检书记周丹同志为副组长,王新同志、张萌同志、郑文文同志为成员,明确安全生产管理职责,确保责任落实到人。
2.严格执行内部安全生产管理制度。根据保定市气象局内部安全生产检查要求,认真开展内部安全检查,每周按要求上报《气象局内部安全生产检查表》。
3.细化安全生产责任落实。根据《涿州市气象局安全生产责任书》,明确安全生产责任,明确张雷局长作为第一责任人,责任细化到岗、落实细化到人。
4.做好安全生产工作部署。由主要负责人张雷局长主持召开安全生产工作部署会,制定和落实安全工作督查。
5.认真排查安全隐患。组织全局职工学习消防安全知识,重点部位配备消防灭火器,并保证人人会用。完善了车辆管理制度,专车专人负责,定时定点维修,驾驶人员严格遵守交通法律法规,坚决杜绝了公车私用和违章驾驶、酒后驾驶、疲劳驾驶。加强用水用电安全管理,节约用电用水,严查电源、插座、用电设施,谨防设备漏电,确保用电安全。为加强内部安全管理,我局组织开展消防安全应急演练。通过演练,全体干部职工进一步增强了安全意识,进一步提高了应对突发事件快速反应能力。
网络安全管理实施细则范文2
一、加强领导,提高对计算机信息系统安全保护工作重要性和紧迫性的认识
《广东省计算机信息系统安全保护管理规定》是我省颁布的有关计算机信息系统安全保护方面的第一个地方性政府规章。它的颁布实施,对于加强我省计算机信息系统安全保护,促进计算机信息系统安全保护工作的发展具有重要的现实意义。我市是全国首批信息化试点城市之一,正努力实施以计算机信息系统为基础的电子政府、电子商务等城市信息化工程,全面贯彻落实《管理规定》在我市显得尤其重要和紧迫。各单位要将贯彻落实《管理规定》、抓好计算机信息系统安全保护工作摆上重要议事日程,迅速组织本单位、本系统有关领导、计算机信息系统安全管理责任人以及相关人员认真学习,提高计算机信息系统安全保护意识,做到认识到位、措施到位和管理到位。
二、建立健全计算机信息系统安全保护制度,加强系统安全管理
各单位要根据《管理规定》的要求,按照“谁主管、谁负责”的原则,建立和健全计算机信息系统安全保护各项制度,全面实行领导负责制,并指定管理责任人和信息审查员。《管理规定》明确党政机关、银行、证券、能源、交通、邮电通信、重点科研和教育等单位为重点安全保护单位,市公安局应督促其建立计算机信息系统安全保护组织,指导其开展计算机信息系统安全保护工作。安全保护组织由单位主管领导、保卫部门负责人、安全管理责任人、信息审查员和计算机信息系统运行管理人员组成。各重点安全保护单位的计算机安全管理责任人和信息审查员要参加公安机关组织的安全技术培训和考核,取得安全技术培训合格证书。
今后,各重点安全保护单位的计算机信息系统及计算机机房,必须按国家有关规定和国家标准,由具有安全服务资质的机构进行安全保护设计和建设,并经具有安全服务资质的机构检测合格后才能投入使用。
三、建立健全重大突发事件应急处置工作机制,提高应急处置能力
市公安局是主管我市行政区域内计算机信息系统安全保护工作的职能部门,要与*地区计算机信息系统安全服务机构、互联网运营单位、其他计算机系统使用单位以及政府有关部门建立工作联系机制,制定重大突发事件应急处置预案并组织演练。各计算机信息系统使用单位要制定重大安全事故处置的应急措施,发生重大安全事故时必须保留原始记录,并在24小时内向公安机关报告。市公安局要密切掌握计算机信息系统安全保护动态,依法查处通过计算机信息系统进行的违法犯罪行为。
四、加强计算机信息系统安全保护工作的监督检查,依法查处各类违规行为
各单位要根据《管理规定》的要求,对本单位、本系统的计算机信息系统安全保护工作进行一次全面的检查,重点检查是否建立健全计算机信息系统安全保护责任制和安全保护制度,安全保护管理措施、技术措施是否落到实处,安全管理人员是否按规定配备。要在自查的基础上,如实填写*地区重点单位网络安全状况调查表,并于9月30日前送交市公安局。市公安局要加强对计算机信息系统安全保护工作的检查、监督和指导,在今年年底前适时组织安全抽查,针对存在问题,提出切实可行的整改意见,做到防患于未然。对整改仍未符合要求的,要按《管理规定》进行处理。
网络安全管理实施细则范文3
【关键词】信息系统 网络安全 评价指标
根据国家网络和信息系统的安全性要求,结合多年的网络管理经验,从以下五个指标对信息系统网络安全进行评价:
1.实体与环境安全
实体与环境指计算机设备及计算机网管人员工作的场所,这个场所内外的环境条件必须满足计算机设备和网管人员的要求。对于各种灾害、故障要采取充分的预防措施,万一发生灾害或故障,应能采取应急措施,将损失降到最低限度。可以从以下几个方面来检查:
(1)机房周围环境
机房是否建在电力、水源充足、自然环境清洁、通讯、交通运输方便的地方。
(2)机房周围100m内有无危险建筑
危险建筑:指易燃、易爆、有害气体等存在的场所,如加油站、煤气站、煤气管道等。
(3)有无监控系统
监控系统:指对系统运行的外围环境、操作环境实施监控(视)的设施,及时发现异常,可根据使用目的不同配备以下监视设备,如红外线传感器、监视摄像机等设备。
(4)有无防火、防水措施
防火:指机房内安装有火灾自动报警系统,或有适用于计算机机房的灭火器材,如卤代烷1211和1301自动消防系统或灭火器。
防水:指机房内无渗水、漏水现象,如机房上层有用水设施需加防水层,有暖气装置的机房沿机房地面周围应设排水沟,应注意对暖气管道定期检查和维修。是否装有漏水传感器。
(5)机房有无环境测控设施(温度、湿度和洁净度),如温湿度传感器
温度控制:指机房有空调设备,机房温度保持在18—24摄氏度。
湿度控制:指相对湿度保持在40%—60%。
洁净度控制:机房和设备应保持清洁、卫生,进出机房换鞋,机房门窗具有封闭性能。
(6)有无防雷措施(具有防雷装置,接地良好)
计算机机房是否符合GB 157《建筑防雷设计规范》中的防雷措施。
在雷电频繁区域,是否装设有浪涌电压吸收装置。
(7)有无备用电源和自备发电机
(8)是否使用UPS
UPS:(Uninterruptible Power System),即不间断电源,是一种含有储能装置,以逆变器为主要组成部分的恒压频的不间断电源。主要用于给单台计算机、计算机网络系统或其它电力电子设备提供不间断的电力供应。
(9)是否有防静电措施(采用防静电地板,设备接地良好)
当采用地板下布线方式时,可铺设防静电活动地板。
当采用架空布线方式时,应采用静电耗散材料作为铺垫材料。
通信设备的静电地板、终端操作台地线应分别接到总地线母体汇流排上定期(如一周)对防静电设施进行维护和检验。
(10)是否保证持续供电
设备是否采用双路市电供电,提供冗余备份,并配有实时告警监控设备。是否与空调、照明用电分开,专线供电。
(11)是否有防盗措施
中心有人值班,出入口安装防盗安全门,窗户安装金属防护装置,机房装有无线电遥控防盗联网设施。
2.组织管理与安全制度
(1)有无专门的信息安全组织机构和专职的信息安全人员
信息安全组织机构的成立与信息安全人员的任命必须有有关单位的正式文件。
(2)有无健全的信息安全管理的规章制度
是否有健全的规章制度,而且规章制度上墙;是否严格执行各项规章制度和操作规程,有无违章操作的情况。
(3)是否有信息安全人员的配备,调离有严格的管理制度
(4)设备与数据管理制度是否完备
设备实行包干管理负责制,每台设备都应有专人负责保管(包括说明书及有关附件);在使用设备前,应掌握操作规程,阅读有关手册,经培训合格后方可进行相关操作;禁止在计算上运行与业务无关的程序,未经批准,不得变更操作系统和网络设置,不得任意加装设备。
(5)是否有登记建档制度
登记建档是做好网络安全工作的前提,一些技术资料对网络安全工作很重要,要注意收集和保存。可从以下几个方面检查相关文档:
策略文档(如,法规文件、指示)、系统文档(如,系统用指南、系统管理员手册、系统设计和需求文档、采购文档)、及安全相关的文档(如以前的审计报告、风险评估报告、系统测试结果、系统安全计划、安全策略)都可提供系统使用的或计划的安全控制方面的信息。任务影响分析或资产重要性评估可提供有关系统和数据重要性及敏感性的信息。
设计资料,如网络拓扑结构图,综合布线结构图等。
安装资料,包括安装竣工及验收的技术文件和资料。
设备升级维修记录等。
(6)是否有紧急事故处理预案
为减少计算机系统故障的影响,尽快恢复系统,应制定故障的应急措施和恢复规程以及自然灾害时的措施,制成手册,以备参考。
(7)是否有完整的信息安全培训计划和培训制度
开展网络安全教育是为了使所有人员了解网络安全的基本常识及网络安全的重要性,要坚持经常的、多样化的安全教育工作,广播、图片、标语、报告培训班都是可以采用的宣传教育方式。
(8)各类人员的安全职责是否明确,能否胜任网络安全管理工作
应对网络管理人员严格分工,使其职责分明,要对网络管理人员定期进行安全培训及考核,对关键岗位人员,应该持有相应的认证。
3.安全技术措施
(1)是否有灾难恢复的技术对策
是否为网络中断和灾难做好准备,以及如何快速反应将中断和损失降至最小。灾难恢复措施包括灾难预防制度、灾难演习制度及灾难恢复制度。
(2)是否有系统安全审计功能
安全审计功能主要是监控来自网络内部和外部的用户活动,侦察系统中存在现有和潜在的威胁,对与安全有关的活动的相关信息进行识别,记录,存储和分析,安全审计系统往往对突发事件进行报警和响应。
(3)是否有系统操作日志
系统操作日志:指每天开、关机,设备运行状况等文字记录。
(4)是否有服务器备份措施
服务器数据备份是预防灾难的必要手段。随着对网络应用的依赖性越来越强和网络数据量的日益增加,企业对数据备份的要求也在不断提高。许多数据密集型的网络,重要数据往往存储在多个网络节点上,除了对中心服务器备份之外,还需要对其他服务器或工作站进行备份,有的甚至要对整个网络进行数据备份,即全网备份。网络备份需要专业备份软件,Backup Exec就是其中的一种,是为中小企业提供的基于Windows平台的网络备份与恢复解决方案。
(5)是否有防黑客入侵设施
防黑客入侵设施主要是设置防火墙和入侵检测等设施。
防火墙是为了监测并过滤所有内部网与外部网之间的信息交换,保护着内部网络敏感的数据不被偷窃和破坏,并记录内外通讯的有关状态信息日志。防火墙有三种类型,包括过滤防火墙、型防火墙和状态监测型防火墙。
入侵监测系统处于防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以入侵监测系统是防火墙的延续。它们可以和防火墙和路由器配合工作。它通过对计算机网络或计算机系统中若干关键点收集信息并对其分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
(6)是否有计算机病毒防范措施
计算机病毒防范措施:备有病毒预防及消除的软、硬件产品,并能定期的升级。设置客户端级防护、邮件服务器级防护和应用服务器级防护。
4.网络与通信安全
(1)放置通信设施的场所是否设有醒目标志
从安全防范的角度考虑,安装有关通信设备的地方不应加标志。配线架或MODEM柜应加锁,禁止无关人员入内。
(2)重要通信线路及通信控制装置是否均有备份
重要的通信线双重化以及线路故障时采用DDN通信线或电话线ISDN等后备功能;从计算中心连出的重要通信线路应采用不同路径备份方式。
(3)是否采取加密措施
数据加密技术是保护传输数据免受外部窃听的最好办法,其可以将数据变只有授权接收者才能还原并阅读的编码。其过程就是取得原始信息并用发送者和接收者都知道的一种特殊信息来制作编码信息形成密文。
(4)系统运行状态有无安全审计跟踪措施
安全审计是模拟社会检察机构在计算机系统中监视、记录和控制用户活动的一种机制。它是影响系统安全的访问和访问企图留下线索,以便事后分析和追查,其目标是检测和判定对系统的恶意攻击和误操作,对用户的非法活动起到威慑作用,为系统提供进一步的安全可靠性。
(5)网络与信息系统是否加有访问控制措施
访问控制措施:指能根据工作性质和级别高低,划分系统用户的访问权限。对用户进行分组管理,并且应该是针对安全性问题而考虑的分组。
5.软件与信息安全
(1)操作系统及数据库是否有访问控制措施
把整个系统的用户根据需要分为不同级别;不同级别的用户享有对系统的文件、数据、网络、进程等资源的权限,并进行记费管理;还可根据不同的用户设置不同的安全策略,将超级用户的权限细化(可分为系统管理员、安全管理员、数据库管理员、用户管理员等)。
(2)应用软件是否有防破坏措施
对应用程序安全的考虑可以遵循如下的方向:对通用应用,如消息传递、文件保护、软硬件交付等,制定通用技术要求;对于特定的复杂应用,可分解为通用应用,同时考虑互操作性问题。一般来讲,应用程序的安全机制应该包括以下内容:身份标识与鉴别、数据保密性、数据完整性、数据可用性、配置管理等。
(3)对数据库及系统状态有无监控设施
可以使用系统安全检测工具来定期扫描系统,查看系统是否存在各种各样的漏洞。
(4)是否有用户身份识别措施
身份认证与数字签名策略,身份认证是证明某人或某物身份的过程,当用户之间建立连接时,为了防止非法连接或被欺骗,就可实施身份确认,以确保只有合法身份的用户才能与之建立连接。
(5)系统用户信息是否采用备份
网络安全管理实施细则范文4
【关键词】信息安全;防火墙;烟草
1.烟草行业信息安全发展背景
随着国内烟草行业的不断发展,烟草信息化建设的步伐也不断加快,建立在网络架构上的跨部门、跨企业、跨地区的行业系统内部信息网络逐步建立健全,信息化各类应用不断深化,而另一方面,行业信息安全形势不容乐观,影响系统稳定运行的因素不断凸显,因此,需要通过管理、技术等层面入手,采用先进可行的技术手段和管理理念,剪建成全面有效的一套信息安全体系,为整个工业公司业务的正常运行提供强有力的支持和保障。
2.构建企业信息安全系统体系架构
2.1企业信息安全系统体系架构的定义
在各种风险日趋复杂化的今天,企业的决策层希望能够获得有效的手段来管理和控制其责任范围内的各种风险。他们需要了解安全风险对信息系统以及相关业务所产生的潜在影响;需要获得应对这些风险的快速有效的措施来保障相关业务的可用性和稳定性。
企业信息安全系统体系架构
企业信息安全系统体系架构从上到下由安全治理、风险管理及合规层,安全运维层和基础安全服务和架构层三个层次构成。安全治理、风险和合规作为企业信息安全系统体系架构顶层的核心内容,是第二层安全运维的服务对象,同时,它们也是企业信息安全策略制定的基础和依据。基础安全服务和架构层是企业信息安全建设技术需求和功能的实现者。是企业信息安全建设的重要支柱。
中间的安全运维层则通过对信息安全基础服务所提供的功能,结合安全运维管理的流程,来实现安全治理、风险管理和合规的要求。
2.2企业信息安全系统体系架构所遵从的安全标准和法规
符合信息安全管理体系(ISO/IEC27001)。
符合信息安全管理实施细则(ISO/IEC27002)。
符合内控框架(如BS17799或COBIT)。
提供符合萨班斯(Sox)法案的支持。
符合GB/T 20274.1-2006信息安全技术信息系统安全保障评估框架。
符合GB/T 20282-2006 信息安全技术信息系统安全工程管理要求。
GB 17859-1999 计算机信息系统安全保护等级划分准则。
GB/T 19715.1-2005信息技术信息技术安全管理指南第1部分:信息技术安全概念和模型。
GB/T 19715.2-2005信息技术信息技术安全管理指南第2部分:管理和规划信息技术安全。
GB/T 20269-2006信息安全技术信息系统安全管理要求。
GB/T 20271-2006信息安全技术信息系统通用安全技术要求。
3.项目实施前准备
3.1机房环境要求
机房环境温湿度的要求如下:
温度:18°C~24°C。
温度变化率:2°C/小时。
相对湿度:40%~60%。
相对湿度变化率:2%/小时。
机房内使用高架地板,必须满足坚硬、防静电等要求。
地板载重量必须大于500kg/m2。
海拔高度:
机房的装修应选择防火材料,并应有防尘措施。
3.2机房所需附加设备
温度/湿度记录仪、除尘器。
吸尘器、除湿器、冷气机。
在有腐蚀性气体的场所中加装空气过滤器。
拖鞋。
灭火器。
紧急停电照明设备。
不间断电源,请参考本设计提供的设备耗电量选择品质优良的产品。
3.3接地系统
配电箱与最终接地端应以单独绝缘导线相连;其线径至少需与输入端电源。
线路径相同,接地电阻应小于4Ω。
地线与零线之间所测的交流电应小于1伏特。
3.4电源系统
电压:220 V(190~240)。
频率:47~63Hz。
其他单一谐波不得高于3%。
3.5不间断电源
UPS系统容量应>=1.3倍设备总耗电量。
勿将机房电源与下列设备共用同一电源或同一电线,以避免受到干扰,例如大型电梯、升降机、窗型冷气机、复印机等。
请在机房使用适当数量的普通维护插座,以提供维修人员使用,且此维护插座不能与电源系统共用电源。
配电箱的位置应尽量靠近机房且便于操作。
3.6空调系统
3.6.1环境温湿度的要求如下:
温度:18°C~24°C。
温度变化率:2°C/小时。
相对湿度:40%~60%(不结霜)。
相对湿度变化率:2%/小时。
3.6.2机房冷却系统容量计算:
总安全量=(设备散热量+环境散热量)*130%(未包括未来扩充设备容量)。
环境散热量,简单的以每平方米600BTU/小时预估(不含操作员)。
所需冷气量=总安全量(BTU/小时÷8500BTU/小时)。
3.7机房防火要求
安装本设备的机房应符合国家二级防火标准的建筑物。
3.8机房安全
机房安全关系到国家财产和保证通信系统正常运行,应有现代化的监控技术对机房进行自动化监视;它可同时监视机房的温度、湿度、烟雾、门窗和可遥控空调机等功能。
4.工程进度表 (下转第428页)
(上接第403页)4.1工程进度表
按照本公司信息安全工程的需求以及结合公司信息安全系统的工程实施情况,从充分保证信息安全工程质量的角度出发考虑,制定出工程进度安排。
4.2项目组织结构
项目经理:项目质量控制组、项目筹备组、技术实施团队、技术支持团队和项目验收组。
4.3项目实施工作方法
4.3.1决策制度,决策包括以下几个原则
(1)项目经理首先决策原则。
对于项目实施过程中的日常工作,一般由项目经理加以决策,然后提交给用户项目领导小组、黑龙江烟草工业有限责任公司信息安全项目项目经理部,一般在2天之内,如果没有任何一方提出异议,则该决定生效,此异议应以书面方式表达。
(2)最高权力机构准则。
领导决策组是项目实施过程中的最高决策机构,对重大问题具有决策权。
(3)决策书面准则。
一切决策均应有书面文件,并且在项目文档管理组备案。
4.3.2交流制度
(1)问题及早提出准则。
(2)及时澄清准则。
(3)提醒道义准则。
还有例会制度以及问题与争议管理方法等具体措施。
5.根据企业实际情况来制定信息安全规划的实施
5.1企业网络边界和主干设备威胁控制(网络安全)的实施
分为:多功能安全网关系统的实施、网络攻击阻断防护系统的实施和准入控制系统的实施。
5.2企业网内部安全监控和服务器区安全防御(主机安全)的实施
5.2.1网页防篡改系统的实施
目前,大部分网站都使用了内容管理系统(CMS)来管理网页产生的全过程,包括网页的编辑、审核、签发和合成等。
5.2.2运维审核系统的实施
运维安全审计系统采用协议方式对各种维护协议进行转发,并在转发的过程中分别模拟了协议的客户端与服务端。
6.实施情况及后续工作计划
其实对于企业来说,一次性完成所有的工作是不现实的,信息安全系统的建立投入较大,对人员素质和技术要求较高,企业员工也无法立刻适应规范的工作流程,信息安全系统的建立是一个长期而漫长的过程,我们应逐步完善自己的信息安全系统,更好完成企业目标。针对这种状况,我们认为较为科学和现实的实现企业信息安全系统应该分步,分级逐步完善,先从基础安全服务和构架入手,逐步完善企业信息安全系统,在完成基础安全服务和构架后实现安全运维系统的建立,通过培训和自我学习,最终配合完成安全治理、风险管理和合规建设任务,争取在两到三年内达成最终目标。
【参考文献】
[1]刘润平,万佩真.企业网络安全问题与对策[J].企业经济,2010,(7):53-55.
网络安全管理实施细则范文5
1.1建设标准化的信息安全管理体系
通过标准化管理实现信息安全标准化作业管理,定期对信息安全管理制度进行评价审定,对存在问题或需要改善的管理制度进行修订改善。
1.2建立完善信息安全管理组织机构
设立信息安全管理工程师、网络工程师、系统工程师等岗位,并明确各岗位相关职责,关键岗位实行备岗制度。应加强各岗位人员之间、信息安全管理负责部门和业务部门、后勤保障部门之间的沟通,共同负责协调处理信息安全问题。
1.3建立严格的审核流程
严格审查信息安全管理人员的聘用录取流程,审查其工作经历和任职过程,关键岗位应签署保密协议,明确相关人员信息安全责任;及时终止离退休人员的系统访问权限;对外来人员、第三方技术支持人员进行严格控制和监督,实行专人陪同或监督,并将访问时间、访问过程全过程登记备案。
1.4开展测试评估工作
新开发的业务系统、新建设的网络系统应加强安全防护措施建设,结合企业实际情况,建设针对性的安全防护方案;从长期安全和国际安全来看,最好使用安全性较高、质量较好的国产化产品;系统正式投入使用之前,应委托有资质的第三方专业测试单位对系统进行安全性、稳定性测试,根据测试报告对系统进行可用性、稳定性、安全性评估,不符合评估要求的,需要进行相关整改,整改之后重新进行测试评估,满足要求之后应该试运行一段时间。
1.5加强系统软硬件环境的全过程管理
(1)加强系统相关硬件环境的规范管理,特别是重要信息机房、通信机房的规范管理,确保机房温湿度、防水、防火、防盗、安全监控等运行环境符合要求,制定机房出入管理规定,严格机房出入管理,包括设备巡视维护人员、业务人员、第三方人员等等在内的所有人员都应严格实行出入管理规定,做好出入记录和工作过程的记录。(2)加强软件系统授权管理,根据各个系统角色的单位部门、工作职责、安全责任及工作范围等方面进行访问权限划分,按照最小授权原则,明确各个系统角色的权限、责任和风险;日常维护操作过程都应详细记录,严格操作授权管理机流程管理,任何未经授权的操作和错误的操作流程都要严格禁止和限制;定期进行漏洞扫描和补丁更新工作。(3)加强病毒防护管理,通过多种方式开展培训教育,增强企业员工防病毒意识,不打开、阅读来历不明的邮件,不随意发送涉及公司企业秘密的邮件;要指定专人做好病毒分析、记录和查杀工作。(4)严格系统变更、系统重要操作、物理访问和系统接入申报和审批程序,建立健全变更管理制度。保证所有访问均得到授权和批准,进行必要的安全隔离,配置严格的访问控制策略。
1.6加强员工信息安全培训
每年开展信息安全知识普及工作,提高企业全体员工信息安全意识;每年开展信息安全专项知识培训,并将信息安全培训纳入到企业培训考核工作当中,确保信息安全培训达到应有效果;加强企业领导和管理人员的信息安全培训,增强领导层、管理层的信息安全意识。
1.7加强应急预案管理工作
不断完善应急预案,做好应急预案的分类管理工作,既要有企业整体应急预案,也要有各个专项应急预案;做好应急物资储备调用工作,确保人员、物资等应急保障资源能及时可调可用。
1.8严格制定实施细则
确保信息安全风险评估工作做到常态化和制度化,及时落实整改,消除信息安全隐患。
2安全技术措施
2.1加强信息机房管理
通信机房安全建设管理工作,机房建设要符合国家相关规定,机房位置选择时,应选择远离强噪声源、粉尘、油烟、有害气体等场地,并且要避开强电磁场干扰,不要将机房选在地下室或者顶层等场地,选择中间二、三层较安全。
2.2加强信息网络安全管理
(1)信息网络核心交换机、汇聚交换机、核心路由器等核心网络设备要配置冗余设备,其上下行链路也要做好双链路备份,并根据业务需要合理分配网络资源;做好设备的授权访问控制,配置访问列表、IP/MAC绑定、vlan访问限制等安全措施,防止未经授权的访问操作发生。(2)采用网络行为管理设备、安全隔离装置、入侵防御设备(IPS)等安全设备对网络边界实施网络隔离、流量控制、访问行为审查和防御。(3)严格数据库访问管理,实现操作系统和数据库系统特权用户访问权限分离,对访问权限一致的用户进行分组,访问控制粒度应达到主体为用户级,客体为文件、数据库表级;控制单个用户的多重并发会话和最大并发连接数,限制单个用户对系统资源、磁盘空间的最大或最小使用限度,当系统服务水平降低到预先规定的最小值时,应能检测并报警。
2.3加强保密存储管理
对重要和敏感信息实行加密传输和存储,特别是移动存储管理,应严格限制移动设备的访问权限,包括办公笔记本和存储U盘,防止信息泄密;对重要信息实行自动、定期备份,防止数据丢失。
3结语
网络安全管理实施细则范文6
【摘要题】数字信息化
【关键词】数字档案/信息安全/互联网
【正文】
1.数字档案网络化应用的安全问题
数字档案的产生、移交、归档、管理和利用都是基于互联网、专用网和局域网环境下进行。系统的应用模式主要采用两种方式(即基于浏览器的Browser/Server结构和基于客户服务器模式的Client/Server结构),这两种方式都可以实现网上对档案信息的转换、存贮和访问。在数字档案的归档、管理和服务利用等过程中,档案数据的安全问题往往表现在多个层面。
1.1网络级安全。是指支撑系统运行的物理设备的安全问题,包括网络基础建设如网络布线、网络联接、局域网和广域网环境的构建、设备的选型及其各个环节安全策略的考虑。往往会根据需要采用适当的防火墙设备及网络管理软件来确保局域网的内外用户的访问权限和网络上数据包的检测与过滤;选用可靠的硬件安全设备保证整个系统的稳定运行,如双机热备份、磁盘阵列等设备的采用来保证一台服务器出现故障而不会导致整个系统的瘫痪问题,等等。网络级安全策略是整个系统得以安全运行的基本保障,这是需要在系统规划阶段严格把关的重要内容之一。
1.2数据级安全。主要是指涉及到系统存贮的档案数据的安全问题,包括操作系统、数据库管理系统、档案数据存贮、数据备份、数据格式的转换以及各类电子文件的保管和异地存贮策略等,以防止数据版本的更新、数据格式的转换、硬件设备的意外损坏、存贮介质的老化、失效、自然灾害等造成的数据丢失、数据损坏甚至是计算机系统的破坏和瘫痪。操作系统和数据库管理系统的安全问题虽说主要是取决于软件供应商所开发的商品化软件的稳定性和安全的保障问题,但对于建立网络化档案管理信息系统,首要考虑的是选择什么样的操作系统来确保应用系统的安装和运行,目前主流的操作系统有Unix、Windows和Linix,他们各自有其优越性,安全问题也各有特点,关键是如何选择满足用户实际需求的操作系统和数据库管理系统。当然考虑档案元数据的存放规则和保管策略也是本阶段非常重要的问题之一,如数据库的分布式或集中式存放模式、数据的异地备份、电子数据格式的定期升级和保存介质的更换等,需要一定的保管制度来约束。这些都是在系统设计和具体实现的过程中需要综合考虑的关键因素,也是档案应用系统能够安全运行的根本保障。
1.3应用级安全。是指档案管理信息系统在实际应用操作的过程中应考虑的基本问题,主要取决于档案部门所采用的应用系统的用户模型的定义模型和使用规则。一般情况下,档案管理信息系统的用户模型分多个层次、多个角色、多种功能或多种形式混合使用,来分别定义用户权限。系统常常按功能权限划分为系统管理、数据操作和数据浏览等3大类用户:每类用户角色的定义可以按照各业务职能的实际需求,对其操作权限和操作功能进行定义,如单位领导、部门领导、普通业务员等。但不论采用哪种用户模型,要求应用级的安全至少包括两项功能,一是对系统中各个功能模块的操作权限的定义,另一个是对系统数据的分层管理和操作权限的定义。比如,两个不同的用户可以操作同一个功能模块,但所能看到的数据只能是本用户所在单位的数据,而不应看到另一个用户所在单位的数据,这是网络版档案管理信息系统的基本操作需求;再如上级领导能够看到下级人员所操作的数据,而下级人员则无权看到上级领导权限范围内的数据。
2.网络基础环境的安全技术方案
网络基础环境的安全建设是防止系统外部非法用户和不安全数据包侵犯的主要措施,常常采取的主要方法是物理隔离、应用防火墙以及身份认证等安全技术。防火墙技术是实现内外网的隔离与访问控制的最基本、最流行、最经济的、也是很有效的措施之一,这里以防火墙为例来讨论数字档案的网络基础环境的安全解决方案。
2.1防火墙安全解决方案。
防火墙是多个网络之间的安全隔离网,其基本原理是设置安全策略,控制(允许、拒绝、检测)出入网络的数据包,它本身具有较强的抗攻击能力,可以实现以下几种安全功能:一是限制未被授权的用户进入内部网络,过滤掉不安全的数据包;二是防止入侵者接近本系统的防御设施;三是限定内部网络用户访问特殊站点;四是为监视Internet安全提供方便。清华大学档案馆防火墙安全运行结构采用了三台对外提供服务利用的服务器,都部署在非军事管辖区(DMZ区),服务器通过特定的端口对外提供服务,如Web服务的8085端口,数据服务的1528等,避免了外界用户对服务器其他端口访问的可能性。如果少数的档案室需要数据服务器特别指定用户,可以采用防火墙用户认证及用户规则来限制,这样除了经过已认证的用户外,所有本局域网以外的用户在访问内部网络时都需要通过防火墙进行过滤和筛选,具体使用时可以通过对客户端IP地址或者网卡的MAC地址进行判断和识别,以及通过对可疑数据包的检测进行过滤,以保证整个网络系统的安全运行。
这种链接方式是采用了防火墙的路由模式来实现的。档案馆内部的办公PC统一使用内部定义的网址如192.168.X.X,为私有IP,通过防火墙的NAT功能访问互联网,保证了安全性。外界不能直接访问到档案馆内部的PC,减少被攻击的可能性;提高了可管理性,所有PC都可以实现MAC地址绑定,可以针对需要控制内部用户的上网时段和访问内容。
2.2网络安全管理的人文策略。
硬件设备和网络管理软件是保证网络安全运行的基本手段,同样加强网络的安全管理,采取科学有序的管理策略也是非常重要的人为因素,往往诸多的不安全因素恰恰反映在组织管理和防范不当等方面,因此必须引起足够的重视。
系统管理员采用双人负责制和任期有限的基本原则,防止人员流动或缺岗造成损失,避免职位垄断或由于时间过长。
安全级别确定应根据工作的重要程度来确定,根据确定的安全等级,确定安全管理的范围。
制定的机房管理制度:对于安全等级要求较高的系统,要实行分区控制,限制工作人员出入与己无关的区域。出入管理可采用证件识别或安装自动识别登记如门禁系统,采用磁卡、身份卡等手段,对人员进行识别、登记管理。
制定严格的操作规程:操作规程要根据职责分离和多人负责的原则,各负其责,不能超越自己的管辖范围。
制定完备的系统维护制度,如数据保护,数据备份等工作计划。重要数据维护时要首先经主管部门批准,并有安全管理人员在场,随时将出现故障的原因、维护内容和维护前后的情况要详细记录。
制定应急措施,保证紧急情况下,如何尽快恢复的应急措施,使损失减至最小。建立人员雇用和解聘制度,对工作调动和离职人员要及时调整相应的授权。
3.档案管理信息系统的安全方案
数字档案信息的录入和维护主要依靠管理信息系统所提供的各项功能来完成,由于用户角色的不同,权限的差异,要求应用系统能够提供一套完整的用户安全管理策略,以保证档案信息的完整性和安全性。档案管理信息系统的安全管理主要体现在3个方面。一是要采用成熟先进的计算机应用系统运行结构:二是对系统用户按照工作需要进行角色和等级的区分;三是对档案数据的安全管理级别如保密、开放等状态按照档案法规定和实施细则进行多级安全管理,以区别不同类型用户的访问。
3.1应用系统的体系结构。
三层Browser/Server体系结构有着多层数据安全机制、日常维护工作量小、对客户端的运行环境要求也比较低(只要有浏览器即可)、客户端物理位置可以灵活设置等诸多优点,因此采用三层B/S的系统结构无疑是一个先进且明智的选择。安全防护措施有三级,即防火墙安全措施、应用系统的身份认证安全措施以及数据库管理系统的安全模型,
3.2应用系统用户权限管理:
系统用户权限的管理和角色分配与档案管理的业务功能、操作流程、档案数据的管理层次密切相关。一般情况下用户分3大类,即管理级用户、业务级用户和浏览级用户。管理级用户负责系统整体数据备份,日常维护,系统模块设置、公共字典维护、用户定义及用户权限设置等;业务级用户负责各个业务岗位上数据的录入、修改、删除、统计、检索等功能,该类用户对系统中的数据具有完全的存取访问权限,每个用户的操作功能和访问数据内容的权限将根据其业务职能的不同而有所区别;浏览级用户主要是通过Internet网查询已经开放的档案信息,绝不允许对系统中的数字进行修改和删除。无论是哪一类用户,他在访问系统的过程中主要是通过严格的身份认证技术来保证系统的安全性。因此系统用户的安全管理也是非常重要的。各业务人员在操作过程中切不可将密码帖在机器上,或者设置非常简单的密码,这些都是不利于安全管理的常见错误做法。
