網絡安全保護措施制度精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網絡安全保護措施制度主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:網絡安全保護措施制度范文
1.1校園網絡應用協議和軟件存在固有的安全缺陷
隨著校園信息化水平的快速提高,教務管理、學籍管理、成績管理、宿舍管理、網絡大學等信息化產品層出不窮,獨立的軟件集成在一起,各自軟件開發的語言不通,導致校園網絡自身存在很大的缺陷,降低了校園網安全性能。
1.2入侵手段越來越智能
目前,校園網用戶計算機專業技術水平不同,導致用戶使用網絡的過程中,攜帶的病毒、木馬種類越來越多,并且隨著黑客的手段越來越高,病毒、木馬區域智能化,潛伏周期更長,更具隱蔽性,破壞性也越來越大。
1.3校園網絡管理制度不健全,管理模式簡單
網絡應用發展迅速,網絡管理制度不健全,管理模式較為單一,也同樣導致學校的校園網用戶安全意識淡薄,導致許多接入校園網絡的終端存在很多病毒和木馬,并且非常容易被黑客利用,攻擊整個網絡。
二、網絡安全主動防御系統
2.1主動防御系統模型
目前,網絡安全主動防御模型包括三個方面,分別是管理、策略和技術,可以大幅度提高網絡的入侵防御、響應能力。
(1)管理。
校園網管理具有重要的作用,其位于安全模型的核心層次。網絡用戶管理可以通過制定相關的網絡安全防范制度、網絡使用政策等,通過學習、培訓,提高網絡用戶的安全意識,增強網絡用戶的警覺性。
(2)策略。
校園網安全防御策略能夠將相關的網絡技術有機整合,優化組合在一起,根據網絡用戶的規模、網絡的覆蓋范圍、網絡的用途等,制定不同等級的安全策略,實現網絡安全運行的行為準則。
(3)技術。
校園網防御技術是實現網絡安全的基礎,校園網主動防御技術包括六種,分別是網絡預警、保護、檢測、響應、恢復、反擊等,能夠及時有效地發現網絡中存在的安全威脅,采取保護措施。
2.2主動防御技術
校園網主動防御技術可以有效地檢測已經發生的、潛在發生的安全威脅,采取保護、響應和反擊措施,阻止網絡安全威脅破壞網絡,保證網絡安全運行。
(1)預警。
校園網預警技術可以預測網絡可能發生的攻擊行為,及時發出警告。網絡應包括漏洞預警、行為預警、攻擊趨勢預警、情報收集分析預警等多種技術。
(2)保護。
校園網安全保護是指采用靜態保護措施,保證網絡信息的完整性、機密性,通常采用防火墻、虛擬專用網等具體技術實現。
(3)檢測。
校園網采用入侵檢測技術、網絡安全掃描技術、網絡實時監控技術等及時檢測網絡中是否存在非法的數據流,本地網絡是否存在安全漏洞,目的是發現網絡中潛在的攻擊行為,有效地阻止網絡攻擊。
(4)響應。
校園網主動響應技術能夠及時判斷攻擊源位置,搜集網絡攻擊數據,阻斷網絡攻擊。響應需要將多種技術進行整合,比如使用網絡監控系統、防火墻等阻斷網絡攻擊;可以采用網絡僚機技術或網絡攻擊誘騙技術,將網絡攻擊引導到一個無用的主機上去,避免網絡攻擊造成網絡癱瘓,無法使用。
(5)恢復。
校園網攻擊發生后,可以及時采用恢復技術,使網絡服務器等系統提供正常的服務,降低校園網網絡攻擊造成的損害。
(6)反擊。
校園網反擊可以采用的具體措施包括病毒類攻擊、欺騙類攻擊、控制類攻擊、漏洞類攻擊、阻塞類攻擊、探測類攻擊等,這些攻擊手段可以有效地阻止網絡攻擊行為繼續發生,但是反擊需要遵循網絡安全管理法規等。
三、結束語
第2篇:網絡安全保護措施制度范文
關鍵詞:技術;管理;內網安全
引言
網絡沒有絕對的安全。只有相對的安全,這與互聯網設計本身有一定關系。現在我們能做的只是盡最大的努力,使網絡相對安全。在已經發生的網絡安全事件中,有超過70%是發生在內網上的,內網資源的誤用、濫用和惡用,是內網面臨的最大的三大威脅。隨著網絡技術的不斷發展。內網安全將面臨著前所未有的挑戰。
一、網絡安全含義
網絡安全的定義為數據處理系統建立和采用的技術和管理的安全保護,保護計算機硬件、軟件和數據不因偶然和惡意的原因遭到破壞、更改和泄露。我們可以理解為:通過采用各種技術和管理措施,使網絡系統正常運行,從而確保網絡數據的可用性、完整性和保密性。
二、內外網絡安全的區別
建立網絡安全保護措施的目的是確保經過網絡傳輸和交換的數據不會發生增加、修改、丟失和泄露等。而常規安全防御理念往往局限于網關級別、網絡邊界等方面的防御。隨著越來越多安全事件由內網引發,內網安全也成了大家關注的焦點。
外網安全主要防范外部入侵或者外部非法流量訪問,技術上也以防火墻、入侵檢測等防御角度出發的技術為主。內網在安全管理上比外網要細得多。同時技術上內網安全通常采用的是加固技術,比如設置訪問控制、身份管理等。
三、內網安全技術防范措施
內網安全首先應采用技術方法,有效保護內網核心業務的安全。
1 關掉無用的網絡服務器,建立可靠的無線訪問。
2 限制VPN的訪問,為合作網絡建立內網型的邊界防護。
3 在邊界展開黑客防護措施,建立并加強內網防范策略。
4 建立安全過客訪問,重點保護重要資源。
另外在技術上采用安全交換機、重要數據的備份、使用網關、確保操作系統的安全、使用主機防護系統和入侵檢測系統等措施也不可缺少。
四、內網安全管理措施
內網安全管理包括安全技術和設備的管理、安全管理制度、部門與人員的組織規則等。而內網90%以上的組成為客戶端,所以對客戶端的管理當之無愧地成為內網安全的重中之重,目前內網客戶端存在的問題主要包括以下幾點:
1 非法外聯問題
通常情況下,內網(Intranet)和外網(Internet)之間有防火墻、防病毒墻等安全設備保障內網的安全性。但若內部人員使用撥號、寬帶等方式接入外網,使內網與外網間開出新的連接通道,外部的黑客攻擊或者病毒就能夠繞過原本連接在內、外網之間的防護屏障,順利侵入非法外聯的計算機,盜竊內網的敏感信息和機密數據,甚至利用該機作為跳板,攻擊、傳染內網的重要服務器,導致整個內網工作癱瘓。
2 使用軟件違規問題
內部人員在計算機上安裝使用盜版軟件,不但引入了潛在的安全漏洞,降低了計算機系統的安全系數,還有可能惹來知識產權的麻煩。有些內部人員出于好奇心或者惡意破壞的目的,在內部計算機上安裝使用黑客軟件,從內部發起攻擊。還有些內部人員安全意識淡薄,不安裝指定的防毒軟件等。這些行為都對內網安全構成了極大的威脅。
3 計算機外部設備管理
如果不加限制地讓內部人員在內網計算機上安裝、使用可移動的存儲設備如光驅、USB接口的閃盤、移動硬盤、數碼相機等。將會通過移動存儲介質間接地與外網進行數據交換,導致病毒的傳入或者敏感信息、機密數據的傳播與泄漏。
建立可控、可信內部網絡,管理好客戶端,我們必須從以下幾方面著手:
1 完善規章制度
因為管理的制度化程度極大地影響著整個網絡信息系統的安全,嚴格的安全管理制度、明確的部門安全職責劃分、合理的人員角色定義都可以在很大程度上降低其它層次的安全漏洞。
2 建立適用的資產、信息管理
對接入內網的計算機的用戶信息進行登記注冊。在發生安全事件時能夠以最快速度定位到具體的用戶,對于未進行登記注冊的將其隔離;收集客戶端與安全相關的一些系統信息,包括:操作系統版本、操作系統補丁、軟硬件變動等信息,同時針對這些收集的信息進行統計和分析,了解內網安全狀況。
3 加強客戶端進程、設備的有效管理
對搜集來的計算機軟、硬件信息,形成內網計算機的軟件資產報表,從而使管理員了解各計算機軟、硬件及變化信息。及時發現安全隱患并予以解決。同時,配置軟件運行預案,指定內網計算機必須運行的軟件和禁止運行的軟件,從而對計算機的軟件運行情況進行檢查,對未運行必須軟件的情況發出報警,終止已運行的禁用軟件的進程。
第3篇:網絡安全保護措施制度范文
第一條為加強對計算機信息系統的安全保護,維護公共秩序和社會穩定,促進信息化的健康發展,根據《中華人民共和國計算機信息系統安全保護條例》、《中華人民共和國計算機信息網絡國際聯網管理暫行規定》等規定,結合本市實際,制定本辦法。
第二條本辦法所稱的計算機信息系統,是指由計算機及其相關的和配套的設備、設施(含有線、無線等網絡,下同)構成的,按照一定的應用目標和規則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統,包括互聯網、局域網、移動網等。
第三條*市行政區域范圍內計算機信息系統的安全保護管理,適用本辦法。
第四條*市公安局主管全市計算機信息系統安全保護管理工作。
*市公安局公共信息網絡安全監察分局具體負責市區范圍內(蕭山區、余杭區除外)計算機信息系統安全保護管理工作。
各縣(市)公安局和蕭山區、余杭區公安分局負責本行政區域范圍內計算機信息系統安全保護管理工作。
國家安全機關、保密機關、信息化行政主管部門及政府其他有關職能部門,在各自職責范圍內負責計算機信息系統安全保護管理的有關工作。
第五條公安機關、國家安全機關、保密機關、信息化行政主管部門及政府其他有關職能部門,應當建立協調合作管理機制,共同做好計算機信息系統安全保護管理工作。
第六條公安機關、國家安全機關、保密機關、信息化行政主管部門及政府其他有關職能部門在履行管理職責過程中,應當保護計算機信息系統使用單位和個人的合法權益,保守其秘密。
計算機信息系統使用單位和個人應當協助公安機關等有關職能部門做好計算機信息系統的安全保護管理工作。在公安機關等有關職能部門依法履行管理職責時,使用單位和個人應當如實提供本單位計算機信息系統的技術資料。
第七條計算機信息系統的安全保護工作,重點維護下列涉及國家事務、公共利益、經濟建設、尖端科學技術等重要領域和單位(以下簡稱重點安全保護單位)的計算機信息系統的安全:
(一)各級國家機關;
(二)金融、證券、保險、期貨、能源、交通、社會保障、郵電通信及其他公用事業單位;
(三)重點科研、教育單位;
(四)有關國計民生的企業;
(五)從事國際聯網的互聯單位、接入單位及重點政務、商務、新聞網站;
(六)向公眾提供上網服務的單位;
(七)互聯網絡游戲、手機短信轉發、各類聊天室等互動欄目的開發、運營和維護單位;
(八)其他對社會公共利益有重大影響的計算機信息系統使用單位。
第二章計算機信息系統使用單位的安全管理
第八條計算機信息系統使用單位應當建立人員管理、機房管理、設備設施管理、數據管理、磁介質管理、輸入輸出控制管理和安全監督等制度,健全計算機信息系統安全保障體系,保障本單位計算機信息系統安全。
第九條計算機信息系統使用單位應當確定本單位的計算機信息系統安全管理責任人。安全管理責任人應履行下列職責:
(一)組織宣傳計算機信息系統安全保護管理方面的法律、法規、規章和有關政策;
(二)組織實施本單位計算機信息系統安全保護管理制度和安全保護技術措施;
(三)組織本單位計算機從業人員的安全教育和培訓;
(四)定期組織檢查計算機信息系統的安全運行情況,及時排除安全隱患。
第十條計算機信息系統使用單位應當配備本單位的計算機信息系統安全技術人員。安全技術人員應履行下列職責:
(一)嚴格執行本單位計算機信息系統安全保護技術措施;
(二)對計算機信息系統安全運行情況進行檢查測試,及時排除安全隱患;
(三)計算機信息系統發生安全事故或違法犯罪案件時,應立即向本單位報告,并采取妥善措施保護現場,避免危害的擴大;
(四)負責收集本單位的網絡拓撲結構圖及信息系統的其他相關技術資料。
第十一條重點安全保護單位應當建立并執行以下安全保護管理制度:
(一)計算機機房安全管理制度;
(二)安全管理責任人、安全技術人員的安全責任制度;
(三)網絡安全漏洞檢測和系統升級管理制度;
(四)操作權限管理制度;
(五)用戶登記制度;
(六)信息審查、登記、保存、清除和備份制度;
(七)信息保密制度;
(八)信息系統安全應急處置制度;
(九)其他相關安全保護管理制度。
第十二條重點安全保護單位應當落實以下安全保護技術措施:
(一)系統重要部分的冗余措施;
(二)重要信息的異地備份措施和保密措施;
(三)計算機病毒和有害數據防治措施;
(四)網絡攻擊防范和追蹤措施;
(五)安全審計和預警措施;
(六)信息群發限制措施;
(七)其他相關安全保護技術措施。
第十三條重點安全保護單位的安全管理責任人和安全技術人員,應當經過計算機信息系統安全知識培訓。
第十四條重點安全保護單位應當對其主服務器輸入輸出數據進行24小時監控,發現異常數據應注意保護現場,并同時報告公安機關等有關職能部門。
第十五條使用和銷售計算機信息系統安全專用產品,必須是依法取得計算機信息系統安全專用產品銷售許可證的產品。
進入本市銷售計算機信息系統安全專用產品的銷售單位,其銷售產品目錄應報市公安局備案。
市公安局應定期通告,公布合格的計算機信息系統安全專用產品目錄。
保密技術專用產品的管理,按照國家和省、市的有關規定執行。
第十六條計算機信息系統使用單位發現計算機信息系統中發生安全事故和違法犯罪案件時,應在24小時內向當地公安機關報告,并做好運行日志等原始記錄的現場保留工作。涉及重大安全事故和違法犯罪案件的,未經公安機關查勘或同意,使用單位不得擅自恢復、刪除現場。涉及其他管理部門法定職權的,公安機關應當在接到報告后及時通知有關部門。
第十七條計算機信息系統發生突發性事件或存在安全隱患,可能危及公共安全或損害公共利益時,公安機關等有關職能部門應當及時通知計算機信息系統使用單位采取安全保護措施,并有權對使用單位采取暫停聯網、停機檢查、備份數據等應急措施,計算機信息系統使用單位應當予以配合。
突發性事件或安全隱患消除之后,公安機關等有關職能部門應立即解除暫停聯網或停機檢查措施,恢復計算機信息系統的正常工作。
第三章計算機信息系統安全檢測
第十八條重點安全保護單位的計算機信息系統進行新建、改建、擴建的,其安全保護設計方案應報公安機關備案。
系統建成后,重點安全保護單位應進行1至6個月的試運行,并委托符合條件的檢測機構對其系統進行安全保障體系檢測,檢測合格的,系統方能投入正式運行。重點安全保護單位應將檢測合格報告書報公安機關備案。
計算機信息系統的建設、檢測等按照國家和省、市的有關規定執行。
第十九條計算機信息系統安全保障體系檢測包括以下內容:
(一)安全保護管理制度和安全保護技術措施的制定和執行情況;
(二)計算機硬件性能和機房環境;
(三)計算機系統軟件和應用軟件的可靠性;
(四)技術測試情況和其他相關情況。
市公安局應當根據計算機信息系統安全保護的行業特點,會同有關部門制定并公布重點行業計算機信息系統安全保障體系的安全要求規范。
第二十條重點安全保護單位對計算機信息系統進行設備更新或改造時,對安全保障體系產生直接影響的,應當委托符合條件的檢測機構對受影響的部分進行檢測,確保其符合該行業計算機信息系統安全保障體系的安全要求規范。
第二十一條重點安全保護單位應加強對計算機信息系統的安全保護,定期委托符合條件的檢測機構對計算機信息系統進行安全保障體系檢測,并將檢測合格報告書報公安機關備案。對檢測不合格的,重點安全保護單位應當按照該行業計算機信息系統安全保障體系的安全要求規范進行整改,整改后達到要求的,系統方能繼續運行。
第二十二條公安機關應當會同有關部門,按照國家有關規定和相關行業安全要求規范,對重點安全保護單位的計算機信息系統安全保障體系進行檢查。檢查內容包括:
(一)安全保護管理制度和安全保護技術措施的落實情況;
(二)計算機信息系統實體的安全;
(三)計算機網絡通訊和數據傳輸的安全;
(四)計算機軟件和數據庫的安全;
(五)計算機信息系統安全審計狀況和安全事故應急措施的執行情況;
(六)其他計算機信息系統的安全情況。
第二十三條公安機關等有關職能部門發現重點安全保護單位的計算機信息系統存在安全隱患、可能危及公共安全或損害公共利益的,可委托符合條件的檢測機構對其安全保障體系進行檢測。經檢測發現存在安全問題的,重點安全保護單位應當立即予以整改。
第二十四條檢測機構進行計算機信息系統安全檢測時,應保障被檢測單位各種活動的正常進行,并不得泄露其秘密。
檢測機構應當嚴格按照國家有關規定和相關規范進行檢測,并對其出具的檢測報告承擔法律責任。
第四章計算機信息網絡公共秩序管理
第二十五條互聯網絡接入單位以及申請從事互聯網信息服務的單位和個人,除應當按照國家有關規定辦理相關手續外,還應當自網絡正式聯通之日起30日內到公安機關辦理安全備案手續。
第二十六條用戶在接入單位辦理入網手續時,應當填寫用戶備案表。接入單位應當定期將接入本網絡的用戶情況報當地公安機關備案。
第二十七條設立互聯網上網服務營業場所,應當按照《互聯網上網服務營業場所管理條例》的規定向公安機關申請信息網絡安全審核。經公安機關審核合格,發給互聯網上網服務營業場所信息網絡安全許可證明后,再向文化、工商部門辦理有關審批手續。
互聯網上網服務營業場所經營單位變更營業場所地址或者對營業場所進行改建、擴建,變更計算機數量或者其他重要事項的,應當經原審核機關同意。
互聯網上網服務營業場所經營單位變更名稱、住所、法定代表人或者主要負責人、注冊資本、網絡地址或者終止經營活動的,應當依法到工商行政管理部門辦理變更登記或者注銷登記,并到文化行政部門、公安機關辦理相關手續。
第二十八條互聯網上網服務營業場所經營單位必須使用固定的IP地址聯網,并按規定落實安全保護技術措施。
互聯網上網服務營業場所經營單位應按規定對上網人員進行電子實名登記,登記內容包括姓名、身份證號碼、上網起止時間,并應記錄上網信息。登記內容和記錄備份保存時間不得少于60日,在保存期內不得修改或者刪除。
第二十九條任何單位和個人不得從事下列危害計算機信息網絡安全的活動:
(一)未經授權查閱他人電子郵箱,或者以贏利和非正常使用為目的,未經允許向第三方公開他人電子郵箱地址;
(二)故意向他人發送垃圾郵件,或者冒用他人名義發送電子郵件;(三)利用計算機信息網絡傳播有害手機短信;
(四)侵犯他人隱私、竊取他人帳號、進行網上詐騙活動;
(五)未經計算機信息網絡所有者同意,掃描他人信息網絡漏洞;
(六)利用計算機信息網絡鼓動公眾惡意評論他人或公開他人隱私,或者暗示、影射對他人進行人身攻擊;
(七)其他危害計算機信息網絡安全的行為。
第三十條從事信息網絡經營、服務的單位和個人應當遵守下列規定:
(一)制訂安全保護管理制度,對本網絡用戶進行安全教育;
(二)落實安全保護技術措施,保障本網絡的運行安全和其的信息安全;
(三)建立電子公告系統的信息審核制度,設立信息審核員,發現有害信息的,應在做好數據保存工作后及時刪除;
(四)發現本辦法第二十九條中各類情況時應保留有關稽核記錄,并立即向公安機關報告;
(五)落實信息群發限制、匿名轉發限制和有害數據防治措施;
(六)落實系統運行和上網用戶使用日志記錄措施;
(七)按公安機關要求報送各類接入狀況及基礎數據。
第三十一條發現計算機信息網絡傳播病毒、轉發垃圾郵件、轉發有害手機短信或傳播有害信息的,信息網絡的經營、服務單位和個人應當采取技術措施予以防護和制止,并在24小時內向公安機關報告。
對不采取技術措施予以防護和制止的信息網絡經營、服務單位和個人,公安機關有權責令其采取技術措施,或主動采取有關技術措施予以防護和制止。
第三十二條公安機關應對計算機信息網絡的安全狀況、公共秩序狀況進行經常性監測,發現危害信息安全和危害公共秩序的事件應及時進行處理,并及時通知有關單位和個人予以整改。
第五章法律責任
第三十三條違反本辦法規定,有下列行為之一的,給予警告,責令限期改正,并可處以1000元以上10000元以下罰款;情節嚴重的,可以給予6個月以內停機整頓的處罰:
(一)計算機信息系統使用單位未建立安全保護管理制度或未落實安全保護技術措施,危害計算機信息系統安全的;
(二)計算機信息系統使用單位不按照規定時間報告計算機信息系統中發生的安全事故和違法犯罪案件,造成危害的;
(三)重點安全保護單位的計算機信息系統未經檢測或檢測不合格即投入正式運行的。
第三十四條違反本辦法規定,銷售計算機信息系統安全專用產品未向公安機關備案的,給予警告,責令限期改正,并可處以200元以上2000元以下罰款。
第三十五條違反本辦法規定,接入單位或從事互聯網信息服務的單位和個人不辦理安全備案手續的,給予警告,責令限期改正,并可處以1000元以上5000元以下的罰款;情節嚴重的,可以給予6個月以內停機整頓的處罰。
第三十六條違反本辦法規定,未取得互聯網上網服務營業場所信息網絡安全許可證明從事互聯網上網服務經營活動的,責令限期補辦手續,并可處以1000元以上10000元以下的罰款。
第三十七條有本辦法第二十九條規定行為之一的,給予警告,責令限期改正,并可處以1000元以上5000元以下的罰款;情節嚴重的,可以給予6個月以內停機整頓的處罰。
第三十八條違反本辦法第三十條和第三十一條第一款規定的,給予警告,責令限期改正,并可處以1000元以上10000元以下的罰款;情節嚴重的,可以給予6個月以內停機整頓的處罰。
第三十九條計算機信息系統使用單位的安全管理責任人和安全技術人員不履行本辦法規定的職責,造成安全事故或重大損害的,給予警告,并可建議其所在單位按照相關規定給予其行政處分。
第四十條對本辦法規定的行政處罰,市區范圍內(蕭山區、余杭區除外)由市公安局公共信息網絡安全監察分局負責;各縣(市)和蕭山區、余杭區范圍內由各縣(市)公安局和蕭山區、余杭區公安分局負責。
第4篇:網絡安全保護措施制度范文
關鍵詞:會計 信息系統 安全建設
在信息技術環境下,企業運轉在很大程度上依賴于各種信息系統的支持。借助財務應用軟件和互聯網技術,企業實現了財務會計核算的一體化和財務核算信息的集成,極大地提高了財務管理工作的及時性、準確性,豐富了會計內容,提高了信息質量。保證企業會計信息系統安全穩定、良好運行一直是企業關注的重點。
一、企業會計信息系統安全的內容
現代企業會計信息系統是利用通信技術、網絡技術、計算機技術、信息技術,在財務管理規范化、標準化和程序化的基礎上,完成財務、資產有關數據的采集、傳遞、加工、處理、存儲和管理等工作,并能及時完整準確地出具財務報告,具備一定分析和決策功能的網絡信息系統。會計信息系統不再僅局限于單純的會計核算,而是融合了資金管理、預算管理等功能,對企業經營的預測、決策、規劃、控制等發揮了重要作用。
信息安全是為了防范意外或人為破壞信息系統的運行,或非法使用信息資源而對信息系統采取的安全保護措施。企業會計信息系統安全包括了信息系統硬件安全、軟件安全兩方面的內容。
信息系統硬件安全是指為避免因自然災害、人為破壞、操作失誤、硬件故障、電磁干擾、丟失被盜等帶來的危險,而對系統所處環境、設備、設施、載體和人員采取的安全應對措施。信息系統軟件安全是為避免軟件數據或資料泄露、被竊取、黑客病毒攻擊等帶來的危險,而對計算機程序和系統文檔資料采取的安全保護措施。
二、信息系統安全管理的技術措施
結合企業會計信息系統安全的內容,保證信息系統安全需要采取以下幾種措施:
1、環境安全措施。即對信息系統所處的環境有一定的要求:計算機機房重地應遠離易燃、易爆、有害氣體等各種危險物品;機房應有監控系統,做到監控和監視;機房電源、通信設備應有防雷措施,要配備不間斷電源等;對存儲大量信息的磁介質、光盤介質等載體定期備份整理,做好安全保護措施。
2、操作系統安全措施。在應用軟件操作系統中嚴格執行“不相容崗位分離、按權限分級審批”的原則;在人員調整崗位、輪換中做好權限分配管理;在資金內部結算和銀行網絡支付中做到介質口令雙重加密。
3、數據庫系統安全措施。基本要求為:保證數據庫的完整性、保密性、可用性及有用性。從安全管理和存取控制保證數據庫的合法使用,防止財務數據外泄;通過對數據庫加密防止攻擊者借助某種手段直接進入系統訪問而造成數據泄露;對一些無法避免的破壞可采取數據庫恢復技術進行補救。
4、通信網絡安全措施。通信網絡安全威脅有偶然和故意兩種。偶然威脅有天災、故障、誤操作等;故意威脅是第三者惡意的行為和電子交易對方的惡意行為,針對這些威脅采取的安全措施有加密技術、防火墻技術等。
5、應用系統數據安全措施。主要是保護財務應用軟件中數據的完整性、保密性和可用性,防止泄漏、非法修改、刪除、盜用和竊取數據信息。保護措施包括:對重要的數據及系統狀態進行監控,對訪問數據的用戶進行的讀寫、刪除、修改等各種操作進行監視;系統管理人員能夠通過特定方式隨時了解、掌握系統或數據的運行情況,并對不正常的運行狀況和操作進行控制;通過驗證用戶身份避免非法訪問;對重要數據多個備份,并存放于不會同時受到破壞的地方;存儲重要數據的計算機系統與外部實現物理隔離并進行電磁屏蔽。
三、信息系統安全管理的企業環境構建
財政部、證監會等五部委聯合的《內部控制系統應用指引第18號——信息系統》明確指出“企業應當加強信息系統運行與維護的管理,制定信息系統工作程序、信息管理制度以及各模塊子系統的具體操作規范,及時跟蹤、發現和解決系統運行中存在的問題,確保信息系統按照規定的程序、制度和操作規范持續穩定運行”,“企業開發信息系統,應當將生產經營管理業務流程、關鍵控制點和處理規則嵌入系統程序,實現手工環境下難以實現的控制功能”,從中可以看出,企業可以通過建設和使用信息系統來完成手工無法完成的工作,構建會計信息系統的企業環境,從而提高企業的競爭優勢。
1、完善制度。制度是要求大家共同遵守的辦事規程或行動準則,建立完善的規章制度有助于對企業財務管理主體應當履行的職責、享有的權利、承擔的義務及其財務行為進行規范,有助于促進企業信息化發展,推動企業會計信息系統制度創新和風險防范。
2、人才培養。財務管理與信息技術的有機結合促使企業利用先進的技術來提高企業管理水平,從而實現財務與業務一體化,這無疑對企業財務人員的素質和技能提出了更高要求。財務人員不僅要懂財務,而且要懂信息技術。培養勝任信息化財務管理的復合型人才是企業發揮信息化功能的首要條件。加強財務人員專業素質的提升,提高財務人員的安全意識,從人文社會角度解決了信息系統安全管理的問題。
信息時代,企業只有從經濟全球化發展的視角構建適應信息化財務管理發展的相關環境,不斷摸索和掌握信息化財務管理的運行規律,及時發現信息系統安全建設中存在的問題,不斷制定完善適應信息技術和網絡發展配套措施,才能使信息化財務管理得到最大限度的發展,提高企業財務管理水平。
參考文獻:
1、企業內部控制基本規范2010,中國財政經濟出版社,2010-04
2、企業內部控制配套指引,立信會計出版社,2010-05
第5篇:網絡安全保護措施制度范文
關鍵詞:事業單位;網絡安全等級保護;部署建議
0引言
網絡安全等級保護制度是保障各事業單位網絡安全的重要方法,通過進行網絡安全分級保護,可以高效解決目前事業單位所面臨的網絡安全問題,按照“重點優先”的思想,將資源有的放矢地投入到網絡安全建設中,有助于快速夯實網絡安全等級保護的基礎。
1網絡安全等級保護定義
網絡安全等級保護是指對單位內的秘密信息和專有信息以及可以公開的信息進行分級保護,對信息系統中的防火墻進行分級設置,對產生的網絡安全事件建立不同的響應機制。這種保護制度共分為五個級別:自主保護、指導保護、監督保護、強制保護、專控保護。不同的信息擁有不同的機密性,就會有相應的安全保護機制。近期,網絡安全等級保護制度2.0國家標準正式,這對加強網絡安全保衛工作、提升網絡能力具有重大意義。
2網絡安全等級保護現狀分析
按照新的網絡安全等級保護要求,絕大多數單位在網絡安全技術和管理方面存在差距和盲點,網絡安全保障體系仍需完善。主要表現在以下幾個方面:(1)網絡安全管理工作有待進一步加強在網絡安全管理制度方面存在不夠完善,對信息資產管理、服務外包管理等缺乏網絡安全方面有關要求。未建立體系化的內部操作規程,而且對網絡安全管理和技術人員專業技能培訓相對較少,網絡安全等級保護的定級、備案及測評等未開展。運維工作的部分操作不規范,隨意性較強,對網絡、系統安全穩定運行造成風險。(2)網絡架構存在安全隱患和較為明顯的脆弱性有的內網連接,雖部署了防火墻進行網絡訪問控制,但是部分防火墻缺乏安全配置及管理,訪問控制策略不嚴格,同時某些單位內部網絡也缺乏分區和邊界控制措施,無法限制非授權用戶接入內網和授權用戶濫用授權違規外聯外網的行為,部分單位發現終端跨接內外網的現象,導致整個單位的內網存在“一點接入,訪問全網,攻擊全網”的安全風險。(3)主機計算環境抵御攻擊能力較低主機服務器未及時更新系統安全補丁,導致存在比如MS17-010(永恒之藍)、弱口令等高危漏洞;部分服務器未部署防病毒軟件、病毒庫未更新,沒有惡意代碼防范措施,部分單位的終端感染木馬病毒,一旦被利用,可能導致內部服務器主機大面積感染惡意程序等事件發生。(4)應用系統安全防范措施缺失有的運行在內網應用系統,存在高風險安全漏洞;在應用系統身份鑒別、數據完整性、保密性保護等方面存在策略配置不足問題,結合其他安全風險,會帶來系統服務安全、數據安全等較嚴重的安全問題。(5)數據安全保護能力不足有的未對專網的重要數據進行分級分類管理,數據安全保護措施缺失,專網中的數據庫普遍存在弱口令、遠程代碼執行漏洞等高危安全漏洞,極易被攻擊利用,大量的業務數據和敏感信息存在較高的安全風險。(6)物理安全基礎保障欠缺有的機房未對進出人員進行鑒別登記,易造成機房遭受惡意人員破壞,存在安全風險。有的機房未部署門禁系統,未安裝防盜報警系統等進行盜竊防護。
3網絡安全等級保護部署建議
3.1構建等保系統框架
根據安全等級保護的總體思想,提出如圖1的網絡安全管理體系架構。“總體安全策略”處于網絡安全管理體系的最高層級,是單位網絡安全管理體系的首要指導策略。“安全管理組織框架”位于網絡安全管理體系的第二層,負責建立該單位網絡安全管理組織框架。它既確保了信息系統運行時資料不會被泄露,也塑造了一個能穩定運行信息系統的管理體系,保證網絡安全管理活動的有效開展。“安全管理制度框架”位于網絡安全管理體系的第三層,分別從安全管理機構及崗位職責、信息系統的硬件設備的安全管理、系統建設管理、安全運行管理、安全事件處置和應急預案管理等方面提出規范的安全管理要求。網絡安全管理體系的第四層描述的是如何進行規范配置和具體的操作流程以及如何對運行活動進行記錄。從日常安全管理活動的執行出發,對主要安全管理活動的具體配置、操作流程、執行規范等各種各樣的安全管理活動做出具體操作指示,指導安全管理工作的具體執行[1]。
3.2劃分安全域
根據安全等級保護系統總體架構,重新劃分網絡安全域。各安全域安全管理策略應遵循統一的基本要求,具體如下:(1)保證關鍵網絡設備的業務處理能力滿足高峰期業務需求,通過網絡拓撲結構設計,避免存在網絡單點故障。(2)部署高效的防火墻設備,防止包括DDOS在內的各類網絡攻擊;在通信網絡中部署IPS、入侵檢測系統、監控探針等,監視各種網絡攻擊行為。(3)在關鍵位置部署數據庫審計系統,對數據庫重要配置、操作、更改進行審計記錄。(4)對于每一個訪問網絡的用戶將會進行身份驗證,確保配置管理的操作只有被賦予權限的網絡管理員才能進行[2]。(5)部署流量檢測設備,通過Flow采集技術,建立流量圖式基線,根據應用情況控制和分配流量。(6)增加除口令以外的技術措施,實現雙因素認證[3]。(7)如需遠程管理網絡設備和安全設備,應采用加密方式,避免身份鑒別信息在網絡傳輸過程中被竊取。(8)能夠及時有效阻斷接入網絡的非授權設備。
3.3控制安全邊界
基于部署的網絡安全軟硬件設備,設置相應的安全規則,從而實現對安全邊界的控制管理。主要安全策略包括:(1)互聯網區域應用安全:必須經過邊界防火墻的邏輯隔離和安全訪問控制。(2)專網區域應用安全:對于訪問身份和訪問權限有明顯界定,必須經過邊界防火墻的邏輯隔離和安全訪問控制,其他區域和用戶都不允許直接訪問。(3)互聯網區域數據安全:只允許外部應用域的應用服務器訪問,其他區域用戶不能直接訪問。對數據域的訪問受到訪問身份和訪問權限的約束,必須經邊界防火墻的邏輯隔離和安全訪問控制。(4)專網區域數據安全:只允許內部應用域的應用服務器訪問,其他區域和用戶都不允許直接訪問。要訪問也必須具有受信的訪問身份和訪問權限。(5)互聯網區域和專網區域交互安全:對于內外部之間的信息交互,采用數據擺渡和應用協議相結合的方式進行,嚴格控制雙網之間存在TCP/IP協議以及其他網絡協議的連接。(6)開發測試安全:開發測試域作為非信任區域,要求只能在受限的前提下進行網絡訪問,必須經過邊界防火墻的邏輯隔離和安全訪問控制。(7)密碼應用安全:所有涉及密碼應用的網絡安全設備,所采用的密碼算法必須為國密算法。(8)統一安全管理:防火墻、IDS、IPS、防病毒網關、網絡安全審計和數據庫安全審計系統的日志統一發送到安全管理區的安全管理平臺進行分析。(9)終端安全管理:辦公設備統一部署終端安全管理系統,并能夠有效管理終端安全配置,準入控制、防病毒功能,以及系統補丁升級。(10)設備知識產權:所涉及網絡安全設備的,必須是具有國產知識產權。
4總結
網絡安全等級保護工作事關重大,它是一個系統工程,需要各級人員多方面的協調合作。只有盡快補齊安全防護短板,才能切實提高一個單位的安全支撐能力、安全檢測能力、安全防護能力、應急響應能力和容災恢復能力,從而更好地保障一個單位網絡安全建設的可持續發展。
參考文獻
[1]歐陽莎茜.運用大數據制定園區安全環保用電策略的實例分析[D].西南交通大學,2017.
第6篇:網絡安全保護措施制度范文
[關鍵詞]校園網絡 安全現狀 防范措施
隨著信息化程度的提高,許多學校都建立了校園網絡并投入使用,這無疑對加快信息處理,提高工作效率,減輕勞動強度,實現資源共享都起到無法估量的作用。網絡的開放性、透明性與靈活有效的多業務增值能力使得它自身更容易受到攻擊。安全性問題已成為網絡最棘手、解決難度最大的問題,校園網絡作為信息化建設的主要載體,校園網安全問題已經成為當前高校網絡建設中不可忽視的首要問題。
一、校園網絡的現狀及影響
1.計算機與Internet相連,卻沒有安裝相應的殺毒軟件及防火墻
使用的操作系統存在安全漏洞,網絡木馬、病毒和黑客攻擊影響到系統的安全。校內大部分計算機系統或多或少都存在著各種的漏洞,校園網絡又對社會開放,這樣一來只要接入INTERNET的用戶就可以對校園的網絡服務器進行攻擊,而流行于網絡上的很多病毒,如“震蕩波、沖擊波、尼姆達”等病毒都是利用系統的漏洞來進行病毒傳播的,加上帶毒的木馬程序,一感染便駐留在你的計算機當中,在以后的計算機啟動后,木馬就在機器中打開一個服務,通過這個服務將你計算機的信息、資料向外傳遞。
2.病毒的危害
隨著網絡快速發展、網絡病毒制造者水平的提高,通過網絡傳播的病毒有著巨大的破壞性。尤其是近幾年來,網絡病毒和黑客軟件的結合,網絡病毒的爆發直接導致用戶的隱私和重要數據外泄,同時還極大地消耗了網絡資源,造成網絡性能急劇下降,甚至造成整個局域網嚴重堵塞和癱瘓。如當今最流行的蠕蟲病毒,通過電子郵件、網絡共享或主動掃描等方式從客戶端感染校園網的Web服務器,改變網頁的目錄以繁衍自身,并通過發送垃圾郵件和掃描網絡,導致網絡“拒絕服務”,嚴重時造成網絡癱瘓。因此,計算機病毒也是網絡安全的直接威脅。
3.黑客的攻擊與入侵
網絡中的黑客指的是網絡中的非法用戶。一些黑客常常通過獲取口令、偷取特權、網絡監聽、放置“特洛伊木馬”程序等手段對網絡系統中的服務器、交換機、路由器、PC機等進行文件、配置的修改、刪除,操作系統的更改,有選擇地破壞信息的有效性和完整性,導致大量用戶數據的丟失、硬件設備的損壞,甚至系統的癱瘓。非法用戶的攻擊入侵也是校園網存在的一個安全問題。
4.網絡設備管理不善造成的損壞
設備的破壞主要是指對網絡硬件設備的破壞。在校園網中,網絡設備分布在整個校園內,管理起來非常困難,根本無法時刻對這些設備進行全面的監控。如果這些設備沒有任何保護措施或保護措施不當,那么就有可能被人有意或無意地損壞。網絡設施一旦遭到破壞,就會造成校園網局部或全部癱瘓。
二、校園網絡的安全防范措施
1.防火墻控制。網絡及技術發展迅速,網絡的開放性、透明性以及在軟件設計及開發中難以避免的缺陷與漏洞,給惡意攻擊造成了各種可乘之機。安裝防火墻是防止此類惡意攻擊的主要措施,防火墻是一個用來阻止網絡中的黑客訪問某個機構網絡的屏障。它是兩個網絡之間執行控制策略的系統,是用來限制外部非法(未經許可)用戶訪問內部網絡資源,通過建立起來的相應網絡通信監控系統來隔離內部和外部網絡,以阻擋外部網絡的侵入,防止偷竊或起破壞作用的惡意攻擊。根據目前防火墻所采用技術的不同,可以將它分為四種基本類型:包過濾型、網絡地址轉換-NAT、型和監測型,監測型安全性能最好,作為校園網絡的防火墻應以監測型防火墻為主,輔以其他類型防火墻。監測型防火墻能夠對各層的數據進行主動的、實時的監測,在對這些數據加以分析的基礎上,能夠有效地判斷出各層的非法侵入。同時,這種防火墻還帶有分布式探測器,這些探測器安置在各種應用服務器和其他網絡的節點之中,不僅能夠檢測來自網絡外部的攻擊,同時對來自內部的惡意破壞也有極強的防范作用。監測型防火墻安全性上已超越了包過濾型和服務器型防火墻,但由于監測型防火墻技術的實現成本較高,也不易管理,這就要求各高校領導高度重視校園網絡的建設,加大投入來維護校園網絡的安全。
2.病毒預防。計算機病毒是影響高校校園網絡安全的主要因素。隨著網絡的不斷發展,計算機病毒也不斷變種更新,而被廣泛使用的網絡操作系統本身也存在各種各樣的安全問題,許多新型計算機病毒都是利用操作系統的漏洞進行傳染的,影響計算機系統的正常運行、破壞系統軟件和文件系統、破壞網絡資源、使網絡效率急劇下降,甚至造成計算機和網絡系統的癱瘓。例如,時下流行“灰鴿子2007”、“熊貓燒香”、新病毒“ANI鼠標指針”(仿“熊貓燒香”)、“網游大盜”、“網銀大盜”、“雜匪”變種e和“斯坎諾”變種q等危害極大。病毒似乎愈殺愈烈,泛濫成災。因此,網絡管理員要對操作系統進行及時更新,彌補各種漏洞,安裝優秀防毒軟件并及時更新,消除這些安全隱患。
3.訪問控制。訪問控制的主要任務是保證網絡資源不被非法使用和訪問,它是保證網絡安全最重要的核心策略之一。(1)網絡的權限控制。網絡的權限控制是針對網絡非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權限,規定用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源,能夠執行哪些操作。(2)網絡服務器安全控制。網絡允許在服務器控制臺上執行一系列操作。用戶使用控制臺可以裝載和卸載模塊,可以安裝和刪除軟件等。網絡服務器的安全控制包括可以設置口令鎖定服務器控制臺,以防止非法用戶修改、刪除重要信息或破壞數據;可以設定服務器登錄時間限制、非法訪問者檢測和關閉的時間間隔。
4.計算機網絡系統各種設備的維護。保護好計算機系統、web服務器、打印機等硬件實體和通信鏈路層網絡設備免受自然災害、人為破壞和搭線攻擊等。
網絡是一把雙刃劍,在為我們提供便利的同時,也給校園網的安全帶來了很大的威脅,而校園網的安全狀況又直接影響到學校的教學、科研等多方面的活動。因此,對于校園網絡的管理人員來講,一定要提高網絡安全意識,加強網絡安全技術的掌握,注重對學生教工的網絡安全知識培訓,制定一套完整的規章制度來規范上網人員的行為。同時,還應加強學生網絡道德教育,真正切實地凈化校園網絡,為教師和學生營造一個良好的學習生活環境。
參考文獻:
[1]王斌,孔璐.防火墻與網絡安全(入侵檢測和VPNs)[M].清華大學出版社,2004.
[2]楊明福.計算機網絡技術[M].經濟科學出版社,2004.
[3]姚南生.校園網安全策略的探討[J].淮南師范學院學報,2003,(3).
第7篇:網絡安全保護措施制度范文
[關鍵詞] 電子商務防火墻數字簽名安全機制
電子商務源于英文ELECTRONIC COMMERCE,指的是利用簡單、快捷、低成本的電子通訊方式,買賣雙方不謀面地進行各種商貿活動。
作為一種全新的商務模式,它有很大的發展前途,同時,這種電子商務模式對管理水平、信息傳遞技術都提出了更高的要求,其中安全體系的構建又顯得尤為重要。如何建立一個安全、便捷的電于商務應用環境,對信息提供足夠的保護,是商家和用戶都十分關注的話題。防火墻、VPN、數字簽名等,這些安全產品和技術的使用可以從一定程度上滿足網絡安全需求,但不能滿足整體的安全需求,因為它們只能保護特定的某一方面,如防火墻的最主要的功能就是訪問控制功能,VPN可以實現加密傳輸,數字簽名技術可以保證用戶身份的真實性和不可抵賴性等等。而對于網絡系統來講,它需要的是一種整體的安全策略,這個策略不僅僅包括安全保護,它還應該包括安全管理、實時監控、響應和恢復措施,因為目前沒有絕對的安全,無論你的網絡系統布署的如何周密,你的系統總會有被攻擊和攻破的可能,而這時你會怎么辦呢?采取一些恢復措施,幫助你在最短的時間使網絡系統恢復正常工作恐怕是最主要的了。
防火墻、VPN、數字簽名等,這些安全產品和技術的使用可以從一定程度上滿足網絡安全需求,但不能滿足整體的安全需求,因為它們只能保護特定的某一方面,如防火墻的最主要的功能就是訪問控制功能,VPN可以實現加密傳輸,數字簽名技術可以保證用戶身份的真實性和不可抵賴性等等。而對于網絡系統來講,它需要的是一種整體的安全策略,在系統被攻擊導致癱瘓時,以最快的速度使網絡系統恢復正常工作是最主要的。因此在構筑你的網絡安全解決方案中一定要注重一個整體的策略,下面我們將介紹一種整體的安全架構。
一、整體架構
這里我們介紹一種電子商務安全整體架構,該架構可以概括為一句話“一個中心,四個基本點”,一個中心就是以安全管理為中心,四個基本點是保護、監控、響應和恢復。這樣一種架構機制囊括了從保護到在線監控,到響應和恢復的各個方面,是一種層層防御的機制,即使第一道大門被攻破了,還會有第二道、第三道大門,即使所有的大門都被攻破了,還有恢復措施,因此這種架構可以為用戶構筑一個整體的安全方案。
安全管理是中心,它滲透到四個基本點中去,而這四個基本點各占據電子商務安全的四個方面,即保護、監控、響應和恢復。安全管理指導四個基本點的工作,四個基本點體現和完成安全管理的任務,它們相輔相成,構成一個完整的體系,滿足電子商務安全的整體需求。
1.安全管理
安全管理就是通過一些管理手段來達到保護網絡安全的目的。它所包含的內容有安全管理制度的制定、實施和監督,安全策略的制定、實施、評估和修改,以及對人員的安全意識的培訓、教育等。
2.保護
保護就是采用一些網絡安全產品、工具和技術保護網絡系統、數據和用戶。這種保護可以稱作靜態保護,它通常是指一些基本防護,不具有實時性,如在制定的安全策略中有一條,不允許外部網用戶訪問內部網的Web服務器,因此我們就可以在防火墻的規則中加入一條,禁止所有從外部網用戶到內部網Web服務器的連接請求,這樣一旦這條規則生效,它就會持續有效,除非我們改變了這條規則。這樣的保護可以預防已知的一些安全威脅,而且通常這些威脅不會變化,所以稱為靜態保護。
3.監控/審計
監控就是實時監控網絡上正在發生的事情,這是任何一個網絡管理員都想知道的。審計一直被認為是經典安全模型的一個重要組成部分。審計是通過記錄下通過網絡的所有數據包,然后分析這些數據包,幫助你查找已知的攻擊手段、可疑的破壞行為,來達到保護網絡的目的。
監控和審計是實時保護的一種策略,它主要滿足一種動態安全的需求。因為網絡安全技術在發展的同時,黑客技術也在不斷的發展,因此網絡安全不是一層不變的,也許今天對你來說安全的策略,明天就會變得不安全,因此我們應該時刻關注網絡安全的發展動向,以及網絡上發生的各種各樣的事情,以便及時發現新的攻擊,制定新的安全策略。有些人可能會認為這樣就不需要基本的安全保護,這種想法是錯誤的,因為安全保護是基本,監控和審計是其有效的補充,只有這兩者有效結合,才能夠滿足動態安全的需要。
4.響應
響應就是當攻擊正在發生時,能夠及時做出響應,如向管理員報告,或者自動阻斷連接等,防止攻擊進一步的發生。響應是整個安全架構中的重要組成部分。因為即使你的網絡構筑的相當安全,攻擊或非法事件也是不可避免的要發生的,所以當攻擊或非法事件發生的時候,應該有一種機制對此做出反應,以便讓管理員及時了解到什么時候網絡遭到了攻擊,攻擊的行為是什么樣的,攻擊的結果如何,應該采取什么樣的措施來修補安全策略,彌補這次攻擊的損失,以及防止此類攻擊再次發生。
5.恢復
當入侵發生后,對系統造成了一定的破壞,如網絡不能正常工作、系統數據被破壞等,這時,必須有一套機制來及時恢復系統正常工作,因此恢復在電子商務安全的整體架構中也是不可少的一個組成部分。恢復是最終措施,因為攻擊既然已經發生了,系統也遭到了破壞,這時只有讓系統以最快的速度運行起來才是最重要的,否則損失將更為嚴重。
二、安全架構的工作機制
在這個安全架構中,五個方面是如何協調工作的呢?下面將以一個例子來介紹。假設有一個黑客欲攻擊一內部網,這個內部網整體安全架構就如前面介紹的一樣,那么現在讓我們來看看這個安全架構是如何工作來抵制黑客攻擊得。
首先,當這個黑客開始向內部網發起攻擊的時候,在內部網的最外面有一個保護屏障,如果保護屏障可以制止黑客進入內部網,那么內部網就不可能受到黑客的破壞,別的機制就不用起作用,這時網絡的安全得以保證。
隨后,黑客通過繼續努力,可能獲得了進入內部網的權力,也就是說他可能欺騙了保護機制而進入內部網,這時監控/審計機制開始起作用,監控/審計機制能夠在線看到發生在網絡上的任何事情,它們能夠識別出這種攻擊,如發現可疑人員進入網絡,這樣它們就會給響應機制一些信息,響應機制根據監控/審計結果來采取一些措施,如立刻斷開這條連接、取消服務、查找黑客通過何種手段進入網絡等等,來達到保護網絡的目的。
最后,黑客通過種種努力,終于進入了內部網,如果一旦黑客對系統進行了破壞,這時及時恢復系統可用將是最主要的事情了,這樣恢復機制就是必須的了。當系統恢復完后,又是新一輪的安全保護開始了。
而安全管理是如何體現出來的呢?安全管理在這個過程中一直存在,因為這四個基本點是借用安全工具來實現安全管理的,這四個基本點運行的好壞,直接和安全管理相關,比方說在保護這個基本點上,如果制定的安全保護策略周到詳細,也許黑客就沒有進入內部網的可能。所以安全管理是中心,四個基本點是安全管理的實施體現和實現。
這種架構是保護了從攻擊的開始到結束的各個方面的安全的架構,它是依照攻擊的順序,在每個攻擊點上都有保護措施,從而實現了電子商務安全的整體架構。
三、結束語
電子商務領域的安全問題一直是備受關注的問題,因此如何更好的解決這個問題是推進電子商務更好更快發展的動力。但是因為安全問題是不斷發展變化的,所以解決安全問題的手段也會不斷變化,但變化中有不變,這就是說要解決的根本問題是不變的,所以應用這種架構來保證電子商務的安全無疑是有效的。
參考文獻:
[1]陳月波:電子商務概論.北京:清華大學出版社,1998
[2]林濤:網絡安全與管理.電子工業出版社,1999
[3]勞幗齡:電子商務的安全技術.中國水利水電出版社,2000
[4]黃允聰林東:網絡安全基礎.北京:清華大學出版社,1998
[5]樊成豐林東:網絡信息安全&PGP加密.北京:清華大學出版社,1999
[6]劉曉敏:網絡環境下信息安全的技術保護,情報科學,1999
第8篇:網絡安全保護措施制度范文
關鍵詞:網絡 安全策略 數據 訪問
0 引言
隨著我國經濟與科技的不斷發展,企業數字化管理作為為網絡時代的產物,已經成為企業管理發展的方向。隨著各企業內部網絡規模的急劇膨脹,網絡用戶的快速增長,企業內部網安全問題已經成為當前各企業網絡建設中不可忽視的首要問題。
1 目前企業內部網絡的安全現狀
1.1 操作系統的安全問題 目前,被廣泛使用的網絡操作系統主要是UNIX、WINDOWS 和Linux等,這些操作系統都存在各種各樣的安全問題,許多新型計算機病毒都是利用操作系統的漏洞進行傳染。如不對操作系統進行及時更新,彌補各種漏洞,計算機即使安裝了防毒軟件也會反復感染。
1.2 病毒的破壞 計算機病毒影響計算機系統的正常運行、破壞系統軟件和文件系統、破壞網絡資源、使網絡效率急劇下降、甚至造成計算機和網絡系統的癱瘓,是影響企業內部網絡安全的主要因素。
1.3 黑客 在《中華人民共和國公共安全行業標準》中,黑客的定義是:“對計算機系統進行非授權訪問的人員”,這也是目前大多數人對黑客的理解。大多數黑客不會自己分析操作系統或應用軟件的源代碼、找出漏洞、編寫工具,他們只是能夠靈活運用手中掌握的十分豐富的現成工具。黑客入侵的常用手法有:端口監聽、端口掃描、口令入侵、JAVA炸彈等。
1.4 口令入侵 為管理方便,一般來說,企業為每個上網的領導和工人分配一個賬號,并根據其應用范圍,分配相應的權限。某些人員為了訪問不屬于自己應該訪問的內容,用不正常的手段竊取別人的口令,造成了企業管理的混亂及企業重要文件的外流。
1.5 非正常途徑訪問或內部破壞 在企業中,有人為了報復而銷毀或篡改人事檔案記錄;有人改變程序設置,引起系統混亂;有人越權處理公務,為了個人私利竊取機密數據。這些安全隱患都嚴重地破壞了學校的管理秩序。
1.6 設備受損 設備破壞主要是指對網絡硬件設備的破壞。企業內部網絡涉及的設備分布在整個企業內,管理起來非常困難,任何安置在不能上鎖的地方的設施,都有可能被人有意或無意地損壞,這樣會造成企業內部網絡全部或部分癱瘓的嚴重后果。
1.7 敏感服務器使用的受限 由于財務等敏感服務器上存有大量重要數據庫和文件,因擔心安全性問題,不得不與企業內部網絡物理隔離,使得應用軟件不能發揮真正的作用。
1.8 技術之外的問題 企業內部網是一個比較特殊的網絡環境。隨著企業內部網絡規模的擴大,目前,大多數企業基本實現了科室辦公上網。由于上網地點的擴大,使得網絡監管更是難上加難。由于企業中部分員工對網絡知識很感興趣,而且具有相當高的專業知識水平,有的員工上學時所學的專業甚至就是網絡安全,攻擊企業內部網就成了他們表現才華,甚至是泄私憤的首選。其次,許多領導和員工的計算機網絡安全意識薄弱、安全知識缺乏。企業的規章制度還不夠完善,還不能夠有效的規范和約束領導和員工的上網行為。
2 企業內部網絡安全策略
安全策略是指一個特定環境中,為保證提供一定級別的安全保護所必須遵守的規則。安全策略包括嚴格的管理、先進的技術和相關的法律。安全策略決定采用何種方式和手段來保證網絡系統的安全。即首先要清楚自己需要什么,制定恰當的滿足需求的策略方案,然后才考慮技術上如何實施。
2.1 物理安全策略 保證計算機網絡系統各種設備的物理安全是整個網絡安全的前提。物理安全是保護計算機網絡設備、設施以及其它媒體免遭地震、水災、火災等環境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。其目的是保護計算機系統、web 服務器、打印機等硬件實體和通信鏈路層網絡設備免受自然災害、人為破壞和搭線攻擊等。它主要包括兩個方面:①環境安全。對系統所在環境的安全保護, 確保計算機系統有一個良好的電磁兼容工作環境。②設備安全。包括設備的防盜、防毀、防電磁信息輻射泄漏、抗電磁干擾及電源保護等。
2.2 訪問控制策略 訪問控制的主要任務是保證網絡資源不被非法使用和訪問, 它是保證網絡安全最重要的核心策略之一。主要有以下七種方式:①入網訪問控制。入網訪問控制為網絡訪問提供了第一層訪問控制, 它控制哪些用戶能夠登錄到服務器并獲取網絡資源;控制準許用戶入網的時間和準許他們在哪臺工作站入網。②網絡的權限控制。網絡的權限控制是針對網絡非法操作所提出的一種安全保護措施。③目錄級安全控制。網絡應允許控制用戶對目錄、文件、設備的訪問。④屬性安全控制。當用文件、目錄和網絡設備時,網絡系統管理員應給文件、目錄等指定訪問屬性。⑤網絡服務器安全控制。網絡允許在服務器控制臺上執行一系列操作。用戶使用控制臺可以裝載和卸載模塊,可以安裝和刪除軟件等操作。⑥網絡監測和鎖定控制。網絡管理員應對網絡實施監控,服務器應記錄用戶對網絡資源的訪問,對非法的網絡訪問,服務器應以圖形或文字或聲音等形式報警,以引起網絡管理員的注意。⑦網絡端口和節點的安全控制。端口是虛擬的“門戶”,信息通過它進入和駐留于計算機中,網絡中服務器的端口往往使用自動回呼設備、靜默調制解調器加以保護,并以加密的形式來識別節點的身份。自動回呼設備用于防止假冒合法用戶,靜默調制解調器用以防范黑客的自動撥號程序對計算機進行攻擊。
2.3 防火墻控制策略 防火墻是近期發展起來的一種保護計算機網絡安全的技術性措施,它是一個用以阻止網絡中的黑客訪問某個機構網絡的屏障。它是位于兩個網絡之間執行控制策略的系統(可能是軟件或硬件或者是兩者并用),用來限制外部非法(未經許可)用戶訪問內部網絡資源,通過建立起來的相應網絡通信監控系統來隔離內部和外部網絡,以阻擋外部網絡的侵入,防止偷竊或起破壞作用的惡意攻擊。
2.4 信息加密策略 信息加密的目的是保護網內的數據、文件、口令和控制信息,保護網上傳輸的數據。網絡加密常用的方法有鏈路加密、端點加密和節點加密三種。信息加密過程是由各種加密算法來具體實施。多數情況下,信息加密是保證信息機密性的唯一方法。
2.5 備份和鏡像技術 用備份和鏡像技術提高完整性。備份技術指對需要保護的數據在另一個地方制作一個備份,一旦失去原件還能使用數據備份。鏡像技術是指兩個設備執行完全相同的工作,若其中一個出現故障,另一個仍可以繼續工作。
2.6 網絡安全管理規范 網絡安全技術的解決方案必須依賴安全管理規范的支持,在網絡安全中,除采用技術措施之外,加強網絡的安全管理,制定有關的規章制度,對于確保網絡安全、可靠地運行將起到十分有效的作用。網絡的安全管理策略包括:確定安全管理等級和安全管理范圍;制訂有關網絡操作使用規程和人員出入辦公室管理制度; 制定網絡系統的維護制度和應急措施等
2.7 網絡入侵檢測技術 試圖破壞信息系統的完整性、機密性、可信性的任何網絡活動,都稱為網絡入侵。入侵檢測(IntrusionDeteetion)的定義為:識別針對計算機或網絡資源的惡意企圖和行為,并對此做出反應的過程。它不僅檢測來自外部的入侵行為,同時也檢測來自內部用戶的未授權活動。入侵檢測應用了以攻為守的策略,它所提供的數據不僅有可能用來發現合法用戶濫用特權,還有可能在一定程度上提供追究入侵者法律責任的有效證據。
第9篇:網絡安全保護措施制度范文
關鍵詞:電子政務 信息安全
0 引言
隨著電子政務不斷推進,社會各階層對電子政務的依賴程度越來越高,信息安全的重要性日益突出,在電子政務的信息安全管理問題中,基于現實特點的電子政務信息安全體系設計和風險評估[1]模型是突出的熱點和難點問題。本文試圖就這兩個問題給出分析和建議。
1 電子政務信息安全的總體要求
隨著電子政務應用的不斷深入,信息安全問題日益凸顯,為了高效安全的進行電子政務,迫切需要搞好信息安全保障工作。電子政務系統采取的網絡安全措施[2][3]不僅要保證業務與辦公系統和網絡的穩定運行,另一方面要保護運行在內部網上的敏感數據與信息的安全,因此應充分保證以下幾點:
1.1 基礎設施的可用性:運行于內部專網的各主機、數據庫、應用服務器系統的安全運行十分關鍵,網絡安全體系必須保證這些系統不會遭受來自網絡的非法訪問、惡意入侵和破壞。
1.2 數據機密性:對于內部網絡,保密數據的泄密將直接帶來政府機構以及國家利益的損失。網絡安全系統應保證內網機密信息在存儲與傳輸時的保密性。
1.3 網絡域的可控性:電子政務的網絡應該處于嚴格的控制之下,只有經過認證的設備可以訪問網絡,并且能明確地限定其訪問范圍,這對于電子政務的網絡安全十分重要。
1.4 數據備份與容災:任何的安全措施都無法保證數據萬無一失,硬件故障、自然災害以及未知病毒的感染都有可能導致政府重要數據的丟失。因此,在電子政務安全體系中必須包括數據的容災與備份,并且最好是異地備份。
2 電子政務信息安全體系模型設計
完整的電子政務安全保障體系從技術層面上來講,必須建立在一個強大的技術支撐平臺之上,同時具有完備的安全管理機制,并針對物理安全,數據存儲安全,數據傳輸安全和應用安全制定完善的安全策略
在技術支撐平臺方面,核心是要解決好權限控制問題。為了解決授權訪問的問題, 通常是將基于公鑰證書(PKC)的PKI(Public Key Infrastructure)與基于屬性證書(AC)的PMI(Privilege Management Infrastructure)結合起來進行安全性設計,然而由于一個終端用戶可以有許多權限, 許多用戶也可能有相同的權限集, 這些權限都必須寫入屬性證書的屬性中, 這樣就增加了屬性證書的復雜性和存儲空間, 從而也增加了屬性證書的頒發和驗證的復雜度。為了解決這個問題,作者建議根據X.509標準建立基于角色PMI的電子政務安全模型。該模型由客戶端、驗證服務器、應用服務器、資源數據庫和LDAP 目錄服務器等實體組成,在該模型中:
2.1 終端用戶:向驗證服務器發送請求和證書, 并與服務器雙向驗證。
2.2 驗證服務器:由身份認證模塊和授權驗證模塊組成提供身份認證和訪問控制,是安全模型的關鍵部分。
2.3 應用服務器: 與資源數據庫連接, 根據驗證通過的用戶請求,對資源數據庫的數據進行處理, 并把處理結果通過驗證服務器返回給用戶以響應用戶請求。
2.4 LDAP目錄服務器:該模型中采用兩個LDAP目錄服務器, 一個存放公鑰證書(PKC)和公鑰證書吊銷列表(CRL),另一個LDAP 目錄服務器存放角色指派和角色規范屬性證書以及屬性吊銷列表ACRL。
安全管理策略也是電子政務安全體系的重要組成部分。安全的核心實際上是管理,安全技術實際上只是實現管理的一種手段,再好的技術手段都必須配合合理的制度才能發揮作用。需要制訂的制度包括安全行政管理和安全技術管理。安全行政管理應包括組織機構和責任制度等的制定和落實;安全技術管理的內容包括對硬件實體和軟件系統、密鑰的管理。
3 電子政務信息安全管理體系中的風險評估
電子政務信息安全等級保護是根據電子政務系統在國家安全、經濟安全、社會穩定和保護公共利益等方面的重要程度。等級保護工作的要點是對電子政務系統進行風險分析,構建電子政務系統的風險因素集。
3.1 信息系統的安全定級 信息系統的安全等級從低到高依次包括自主保護級、指導保護級、監督保護級、強制保護級、專控保護級五個安全等級。對電子政務的五個安全等級定義,結合系統面臨的風險、系統特定安全保護要求和成本開銷等因素,采取相應的安全保護措施以保障信息和信息系統的安全。
3.2 采用全面的風險評估辦法 風險評估具有不同的方法。在ISO/IEC TR13335-3《信息技術IT安全管理指南:IT安全管理技術》中描述了風險評估方法的例子,其他文獻,例如NIST SP800-30、AS/NZS 4360等也介紹了風險評估的步驟及方法,另外,一些組織還提出了自己的風險評估工具,例如OCTAVE、CRAMM等。
電子政務信息安全建設中采用的風險評估方法可以參考ISO17799、OCTAVE、CSE、《信息安全風險評估指南》等標準和指南,從資產評估、威脅評估、脆弱性評估、安全措施有效性評估四個方面建立風險評估模型。其中,資產的評估主要是對資產進行相對估價,其估價準則依賴于對其影響的分析,主要從保密性、完整性、可用性三方面進行影響分析;威脅評估是對資產所受威脅發生可能性的評估,主要從威脅的能力和動機兩個方面進行分析;脆弱性評估是對資產脆弱程度的評估,主要從脆弱性被利用的難易程度、被成功利用后的嚴重性兩方面進行分析;安全措施有效性評估是對保障措施的有效性進行的評估活動,主要對安全措施防范威脅、減少脆弱性的有效狀況進行分析;安全風險評估就是通過綜合分析評估后的資產信息、威脅信息、脆弱性信息、安全措施信息,最終生成風險信息。
在確定風險評估方法后,還應確定接受風險的準則,識別可接受的風險級別。
4 結語
電子政務與傳統政務相比有顯著區別,包括:辦公手段不同,信息資源的數字化和信息交換的網絡化是電子政務與傳統政務的最顯著區別;行政業務流程不同,實現行政業務流程的集約化、標準化和高效化是電子政務的核心;與公眾溝通方式不同,直接與公眾溝通是實施電子政務的目的之一,也是與傳統政務的重要區別。在電子政務的信息安全管理中,要抓住其特點,從技術、管理、策略角度設計完整的信息安全模型并通過科學量化的風險評估方法識別風險和制定風險應急預案,這樣才能達到全方位實施信息安全管理的目的。
參考文獻:
[1]范紅,馮國登,吳亞非.信息安全風險評估方法與應用.清華大學出版社.2006.
- 上一篇:家禽的養殖方法范文
- 下一篇:新媒體建設及運營范文
