第一篇:网络信息安全职责
网络信息安全职责
第一条 总经理安全职责
总经理是公司网络信息安全第一责任人,对企业的网络信息安全全面负责:
1、认真贯彻执行国家网络信息安全政策、法令和上级指示,把信息网络安全工作列入企业的管理的重要议事日程。要亲自主持重要的网络信息安全工作会议,批阅上级有关网络信息安全方面的文件,签发有关网络信息安全工作的重大决定。
2、负责落实各级网络信息安全生产责任制。督促检查各部门负责人抓好安全生产工作。
3、健全信息安全管理机构,充实网络信息安全技术管理人员。定期听取安全监察部门的工作汇报,及时研究解决或审批有关网络信息安全中的重大问题。
4、加强对网络信息安全活动的领导,决定网络信息安全方面的重要奖惩。
5、组织信息安全保密工作方针政策和法律法规在公司的贯彻执行。
6、组织落实安全保密工作责任,防范泄密事件和治安事件发生。
第二条 副总经理安全职责
副总经理是公司网络安全的直接责任人。要按谁主管谁负责的原则,对分管部门内的网络信息安全负责:
1、负责分管部门的网络安全教育与考核工作。
2、组织分管部门对网络信息安全事故的调查处理,并及时向总经理汇报。
3、贯彻执行国家信息安全保密工作的方针政策和法律法规,结合实际,组织开展安全保密工作;
4、督促信息安全保密工作部门切实履行职责。第三条 部门经理安全职责
1、贯彻执行公司网络信息安全制度和要求,全面负责本部门网络信息安全。
2、组织职工学习并贯彻执行公司网络信息安全规章制度和计算机安全技术操作规程,教育职工遵纪守法。
3、负责部门网络信息安全检查,发现不安全因素及时上报。
4、督促检查本部门信息安全保密制度和措施的落实,消除隐患,防范泄密事件和治安案件的发生。
5、协调处理安全保密工作中存在的问题。第四条 部门安全员职责
1、部门安全员应搞好本部门中交换机,网线,计算机电源等硬件设施的检查维护工作,使其经常保持完好和正常运行,督促教育员工正确合理使用计算机网络。
2、对新员工进行网络信息安全与信息保密安全教育。
3、严格执行网络信息安全各项规章制度,对违规使用计算机有权制止,并及时报告。
4、发生事故时,及时了解情况,维护好现场,并向领导报告。第五条 计算机使用人员安全职责
1、认真学习和严格遵守各项网络信息安全制度,对本人使用的计算机网络安全负直接责任。
2、不得利用办公计算机制作、复制、查阅、传播和存储国家法律法规和有关规定所禁止的信息内容,以及从事与日常办公和业务工作无关的事项。
3、严格按照相关规定使用和处理办公计算机存储的所有信息,要及时对办公计算机存储的信息进行清理,删除无用信息。
4、未经信息化工作部门同意,不得对办公计算机进行系统格式化或重新安装操作系统,不得变更软硬件配置。严禁安装上网设备,运行代理软件、服务器软件。第六条 信息管理员安全职责
1、制订网络安全管理,机房管理,信息发布管理等各项网络信息安全管理制度。
2、保证公司内网干路通畅。
3、评估现有网络攻击,统计内网病毒感染情况,对网内所有计算机进行防病毒部署。
4、对服务器进行补丁更新,漏洞堵塞,对服务器密码进行定期更换。
5、做好信息中心机房的硬件安全保障工作,注意防火、防水,保证网络核心设备与服务器的安全。
6、保持与电信运营商良好联系和沟通,确保行业网通道畅通,信息传递及时顺畅。
第二篇:网络信息管理员职责
新天寄宿制小学网络信息安全管理员岗位职责
1.负责制定和实施网络信息安全管理制度,以技术手段隔离不良信息,及时发布预知通告,发布计算机病毒、网络病毒的危害程度、防杀措施、及补救办法。
2.教育计算机用户和网络用户树立安全意识,主动防范病毒、黑客的侵扰,抵制不良信息。
3.教育师生不在网上传谣,发布不良信息;不浏览不健康网站。
4.负责校园网交换机、集线器、路由器、防火墙等各种网络设施的维护和管理,定期对网络设施进行巡查。
5.负责监察网络运行状况,调整网络参数,调度网络资源,保障网络安全、稳定、畅通。
6.定期对各教室的一体机、微机室的计算机进行巡查,确保设备正常运行,发现问题及时维护。
7.负责为全校教职员工与学生提供网络技术支持与咨询。8.认真履行职责,严格遵守网络管理各项规章制度,积极主动配合、协助中心其他岗位的工作。
第三篇:网络信息安全
网络信息安全
信息安全是指为建立信息处理系统而采取的技术上和管理上的安全保护,以实现电子信息的保密性、完整性、可用性和可控性。当今信息时代,计算机网络已经成为一种不可缺少的信息交换工具。然而,由于计算机网络具有开放性、互联性、连接方式的多样性及终端分布的不均匀性,再加上本身存在的技术弱点和人为的疏忽,致使网络易受计算机病毒、黑客或恶意软件的侵害。面对侵袭网络安全的种种威胁,必须考虑信息的安全这个至关重要的问题。
网络信息安全分为网络安全和信息安全两个层面。网络安全包括系统安全,即硬件平台、操作系统、应用软件;运行服务安全,即保证服务的连续性、高效率。信息安全则主要是指数据安全,包括数据加密、备份、程序等。
1.硬件安全。即网络硬件和存储媒体的安全。要保护这些硬设施不受损害,能够正常工作。
2.软件安全。即计算机及其网络中各种软件不被篡改或破坏,不被非法操作或误操作,功能不会失效,不被非法复制。
3.运行服务安全。即网络中的各个信息系统能够正常运行并能正常地通过网络交流信息。通过对网络系统中的各种设备运行状况的监测,发现不安全因素能及时报警并采取措施改变不安全状态,保障网络系统正常运行。
4.数据安全。即网络中存储及流通数据的女全。要保护网络中的数据不被篡改、非法增删、复制、解密、显示、使用等。它是保障网络安全最根本的目的。
1.防火墙技术。防火墙(Firewall)是近年来发展的最重要的安全技术,它的主要功能是加强网络之间的访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络(被保护网络)。它对两个或多个网络之间传输的数据包和链接方式按照一定的安全策略对其进行检查,来决定网络之间的通信是否被允许,并监视网络运行状态。简单防火墙技术可以在路由器上实现,而专用防火墙提供更加可靠的网络安全控制方法。
防火墙的安全策略有两条。一是“凡是未被准许的就是禁止的”。防火墙先是封闭所有信息流,然后审查要求通过的信息,符合条件的就让通过;二是“凡是未被禁止的就是允许的”,防火墙先是转发所有的信息,然后再逐项剔除有害的内容,被禁止的内容越多,防火墙的作用就越大。网络是动态发展的,安全策略的制定不应建立在静态的基础之上。在制定防火墙安全规则时,应符合“可适应性的安全管理”模型的原则,即:安全=风险分析+执行策略+系统实施+漏洞监测+实时响应。防火墙技术主要有以下三类:
●包过滤技术(Packct Filtering)。它一般用在网络层,主要根据防火墙系统所收到的每个数据包的源IP地址、目的IP地址、TCP/UDP源端口号、TCP/UDP目的端口号及数据包中的各种标志位来进行判定,根据系统设定的安全策略来决定是否让数据包通过,其核心就是安全策略,即过滤算法的设计。
●代理(Proxy)服务技术。它用来提供应用层服务的控制,起到外部网络向内部网络申请服务时的中间转接作用。内部网络只接受代理提出的服务请求,拒绝外部网络其它节点的直接请求。运行代理服务的主机被称为应用机关。代理服务还可以用于实施较强的数据流监控、过滤、记录等功能。
●状态监控(Statc Innspection)技术。它是一种新的防火墙技术。在网络层完成所有必要的防火墙功能——包过滤与网络服务代理。目前最有效的实现方法是采用 Check Point)提出的虚拟机方式(Inspect Virtual Machine)。
防火墙技术的优点很多,一是通过过滤不安全的服务,极大地提高网络安全和减少子网中主机的风险;二是可以提供对系统的访问控制;三是可以阻击攻击者获取攻击网络系统的有用信息;四是防火墙还可以记录与统计通过它的网络通信,提供关于网络使用的统计数据,根据统计数据来判断可能的攻击和探测;五是防火墙提供制定与执行网络安全策略的手段,它可以对企业内部网实现集中的安全管理。
防火墙技术的不足有三。一是防火墙不能防止绕过防火墙的攻击;二是防火墙经不起人为因素的攻击。由于防火墙对网络安全实施单点控制,因此可能受到黑客的攻击;三是防火墙不能保证数据的秘密性,不能对数据进行鉴别,也不能保证网络不受病毒的攻击。
2.加密技术。数据加密被认为是最可靠的安全保障形式,它可以从根本上满足信息完整性的要求,是一种主动安全防范策略。数据加密就是按照确定的密码算法将敏感的明文数据变换成难以识别的密文数据。通过使用不同的密钥,可用同一加密算法,将同一明文加密成不同的密文。当需要时可使用密钥将密文数据还原成明文数据,称为解密。
密钥加密技术分为对称密钥加密和非对称密钥加密两类。对称加密技术是在加密与解密过程中使用相同的密钥加以控制,它的保密度主要取决于对密钥的保密。它的特点是数字运算量小,加密速度快,弱点是密钥管理困难,一旦密钥泄露,将直接影响到信息的安全。非对称密钥加密法是在加密和解密过程中使用不同的密钥加以控制,加密密钥是公开的,解密密钥是保密的。它的保密度依赖于从公开的加密密钥或密文与明文的对照推算解密密钥在计算上的不可能性。算法的核心是运用一种特殊的数学函数——单向陷门函数,即从一个方向求值是容易的,但其逆向计算却很困难,从而在实际上成为不可能。
除了密钥加密技术外,还有数据加密技术。一是链路加密技术。链路加密是对通信线路加密;二是节点加密技术。节点加密是指对存储在节点内的文件和数据库信息进行的加密保护。
3.数字签名技术。数字签名(Digital Signature)技术是将摘要用发送者的私钥加密,与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要。在电子商务安全保密系统中,数字签名技术有着特别重要的地位,在电子商务安全服务中的源鉴别、完整性服务、不可否认服务中都要用到数字签名技术。
在书面文件上签名是确认文件的一种手段,其作用有两点,一是因为自己的签名难以否认,从而确认文件已签署这一事实;二是因为签名不易仿冒,从而确定了文件是真的这一事实。数字签名与书面签名有相同相通之处,也能确认两点,一是信息是由签名者发送的,二是信息自签发后到收到为止未曾做过任何修改。这样,数字签名就可用来防止:电子信息因易于修改而有人作伪;冒用别人名义发送信息;发出(收到)信件后又加以否认。
广泛应用的数字签名方法有RSA签名、DSS签名和 Hash签名三种。RSA的最大方便是没有密钥分配问题。公开密钥加密使用两个不同的密钥,其中一个是公开的,另一个是保密的。公开密钥可以保存在系统目录内、未加密的电子邮件信息中、电话黄页上或公告牌里,网上的任何用户都可获得公开密钥。保密密钥是用户专用的,由用户本身持有,它可以对公开密钥加密的信息解密。DSS数字签名是由美国政府颁布实施的,主要用于跟美国做生意的公司。它只是一个签名系统,而且美国不提倡使用任何削弱政府窃听能力的加密软件。Hash签名是最主要的数字签名方法,跟单独签名的RSA数字签名不同,它是将数字签名和要发送的信息捆在一起,所以更适合电子商务。
4.数字时间戳技术。在电子商务交易的文件中,时间是十分重要的信息,是证明文件有效性的主要内容。在签名时加上一个时间标记,即有数字时间戳(Digita Timestamp)的数字签名方案:验证签名的人或以确认签名是来自该小组,却不知道是小组中的哪一个人签署的。指定批准人签名的真实性,其他任何人除了得到该指定人或签名者本人的帮助,否则不能验证签名
(二)网络信忽安全的目标
1.保密性。保密性是指信息不泄露给非授权人、实休和过程,或供其使用的特性。
2.完整性。完整性是指信息未经授权不能被修改、不被破坏、不被插人、不迟延、不乱序和不丢失的特性。对网络信息安全进行攻击的最终目的就是破坏信息的完整性。
3.可用性。可用性是指合法用户访问并能按要求顺序使用信息的特性,即保证合法用户在需要时可以访问到信息
4.可控性。可控性是指授权机构对信息的内容及传播具有控制的能力的特性,可以控制授权范围内的信息流向以及方式。
5.可审查性。在信息交流过程结束后,通信双方不能抵赖曾经做出的行为,也不能否认曾经接收到对方的信息。
网络信息安全面临的问题
1.网络协议和软件的安全缺陷
因特网的基石是TCP/IP协议簇,该协议簇在实现上力求效率,而没有考虑安全因素,因为那样无疑增大代码量,从而降低了TCP/IP的运行效率,所以说TCP/IP本身在设计上就是不安全的。很容易被窃听和欺骗:大多数因特网上的流量是没有加密的,电子邮件口令、文件传输很容易被监听和劫持。很多基于TCP/IP的应用服务都在不同程度上存在着安全问题,这很容易被一些对TCP/IP十分了解的人所利用,一些新的处于测试阶级的服务有更多的安全缺陷。缺乏安全策略:许多站点在防火墙配置上无意识地扩大了访问权限,忽视了这些权限可能会被内部人员滥用,黑客从一些服务中可以获得有用的信息,而网络维护人员却不知道应该禁止这种服务。配置的复杂性:访问控制的配置一般十分复杂,所以很容易被错误配置,从而给黑客以可乘之机。TCP/IP是被公布于世的,了解它的人越多被人破坏的可能性越大。现在,银行之间在专用网上传输数据所用的协议都是保密的,这样就可以有效地防止入侵。当然,人们不能把TCP/IP和其实现代码保密,这样不利于TCP/IP网络的发展。2.黑客攻击手段多样
进人2006年以来,网络罪犯采用翻新分散式阻断服务(DDOS)攻击的手法,用形同互联网黄页的域名系统服务器来发动攻击,扰乱在线商务。宽带网络条件下,常见的拒绝服务攻击方式主要有两种,一是网络黑客蓄意发动的针对服务和网络设备的DDOS攻击;二是用蠕虫病毒等新的攻击方式,造成网络流量急速提高,导致网络设备崩溃,或者造成网络链路的不堪负重。
调查资料显示,2006年初发现企业的系统承受的攻击规模甚于以往,而且来源不是被绑架的“僵尸”电脑,而是出自于域名系统(DNS)服务器。一旦成为DDOS攻击的目标,目标系统不论是网页服务器、域名服务器,还是电子邮件服务器,都会被网络上四面八方的系统传来的巨量信息给淹没。黑客的用意是借人量垃圾信息妨碍系统正常的信息处理,借以切断攻击目标对外的连线。黑客常用“僵尸”电脑连成网络,把大量的查询要求传至开放的DNS服务器,这些查询信息会假装成被巨量信息攻击的目标所传出的,因此DNS服务器会把回应信息传到那个网址。
美国司法部的一项调查资料显示,1998年3月到2005年2月期间,82%的人侵者掌握授权用户或设备的数据。在传统的用户身份认证环境下,外来攻击者仅凭盗取的相关用户身份凭证就能以任何台设备进人网络,即使最严密的用户认证保护系统也很难保护网络安全。另外,由于企业员工可以通过任何一台未经确认和处理的设备,以有效合法的个人身份凭证进入网络,使间谍软件、广告软件、木马程序及其它恶意程序有机可乘,严重威胁网络系统的安全。
有资料显示,最近拉美国家的网络诈骗活动增多,作案手段先进。犯罪活动已经从“现实生活转入虚拟世界”,网上诈骗活动日益增多。3.计算机病毒
第四篇:税务系统网络与信息安全管理岗位及其职责
税务系统网络与信息安全管理岗位及其职责
《税务系统网络与信息安全管理岗位及其职责》
编制说明
《税务系统网络与信息安全管理岗位及其职责》是税务系统网络与信息安全管理体系框架中的文档之一,这个文档是依据《税务系统网络与信息安全总体策略》的相关要求编写,目的是为了初步建立税务系统网络与信息安全管理岗位,明确安全管理人员的职责。
但由于各级税务系统(总局、省局、地市局、区县级局)具有不同的特点,没有一种模式适用所有的组织,而且由于人员的限制,特别是地市局及区县级局中人员的限制,通常没有特定的专职人员来担任本文档中描述的众多安全管理角色。因此,本文档的适用范围确定在总局、各省局、各地市局,对区县级局不适用,各区县级局可由其上级地市局根据具体情况做相应要求。
本《税务系统网络与信息安全管理岗位及其职责》文档共包括二章内容,第一章为管理角色与职责,描述了税务系统网络与信息安全管理组织架构,以及主要的信息安全管理角色与职责;第二章为管理岗位及设置原则,示例列出信息技术部门中主要信息安全管理岗位,并描述了税务系统网络与信息安全管理岗位设置原则。
税务系统网络与信息安全管理岗位及其职责
税务系统网络与信息安全管理岗位及其职
责
(试行稿)
国家税务总局信息中心 二〇〇四年十月
税务系统网络与信息安全管理岗位及其职责
目录
一、税务系统网络与信息安全管理角色与职责.....................................1 1.1 信息安全领导小组.....................................................1 1.2 信息安全管理部门.....................................................2 1.3 具体执行管理角色.....................................................3 安全管理员............................................................3 主机系统管理员........................................................3 网络管理员............................................................4 数据库管理员..........................................................4 应用管理员............................................................4 安全审计员............................................................5 病毒防护员............................................................5 密钥管理员(包括证书管理员、证书操作员)..............................5 资产管理员............................................................5 安全保卫员(机房安全员)..............................................5 安全协调人员..........................................................5 人事管理人员..........................................................5 安全法律顾问..........................................................6
二、税务系统网络与信息安全管理岗位及设置原则.................................6 2.1 信息安全管理岗位.....................................................6 安全管理员岗位........................................................6 网络系统管理员岗位....................................................6 应用管理员岗位........................................................6 2.2 安全岗位设置原则.....................................................7 多人负责原则..........................................................7 任期有限原则..........................................................7 职责分离原则..........................................................7 工作分开原则..........................................................7 权限随岗原则..........................................................7
税务系统网络与信息安全管理岗位及其职责
一、税务系统网络与信息安全管理角色与职责
为有效实施信息安全管理,保障和实施税务系统的信息安全,在税务系统内部应该建立自己的信息安全管理组织架构。
信息安全管理组织架构是实施系统安全,进行安全管理的必要保证。根据税务系统编制体系现状以及人员结构,信息安全管理组织架构纵向涵盖总局、省局、地市局三级,总局对省局、省局对地市局在信息化建设与安全管理运行方面,应起到指导与监管的作用。在一个机构中,安全角色与责任的不明确是实施信息安全过程中的最大障碍,建立安全组织与落实责任是实施信息安全管理的第一步。因此,总局、省局、地市局每一级应设置相应职能部门和人员负责各级信息系统安全管理工作。具体的信息安全组织和管理角色及其职责描述如下。
1.1 信息安全领导小组
信息安全是全国税务系统工作人员必须共用承担的责任,一般来说,各级税务系统首先应建立信息安全领导小组。信息安全领导小组是各级税务系统网络与信息安全工作的最高领导决策机构,它不隶属于任何部门,直接对本单位最高领导负责,信息安全领导小组是一个常设机构,负责本单位信息安全工作的宏观管理。
总局信息安全领导小组负责全国税务系统网络与信息安全总体规划与决策,并领导总局信息系统安全建设、运行、维护和管理等工作;省局信息安全领导小组负责组织落实上层决策,制定本省决策,并领导本省信息安全工作;地市局信息安全领导小组负责落实上层决策,制定本地市决策,并领导本地市信息安全工作。各级信息安全领导小组的组长一般由各级税务系统的高层领导挂帅,并结合与信息安全相关各职能部门的主要负责人参加。各级信息安全领导小组的职责是:
1. 总局信息安全领导小组负责领导制定全国税务系统网络与信息安全建设的总体规划并审议监督各省级安全工作规划的制定与实施;负责制定总局信息安全总体策略并审批总局信息系统安全策略以及各省级上报的安全策略;负责领导制定总局与信息系统安全相关的规章制度;负责总局信息系统安全管理层以上的人员权限授予工作;负责审阅总局信息安全
第1页
税务系统网络与信息安全管理岗位及其职责
工作报告;负责全国税务系统重大安全事故查处与汇报工作。
2. 省局信息安全领导小组负责领导落实全国税务系统安全建设的总体规划,制定本省建设规划并监督各地市级安全工作规划的制定与实施;在全国税务系统网络与信息安全总体方针的指导下,负责组织制定本省信息系统安全策略并审批地方局上报的信息系统安全策略;负责组织细化上级规章制度,制定相应程序指南,并监督落实规章制度;负责本省信息系统安全管理层以上的人员权限授予工作;负责审阅省局信息安全工作报告;负责本省重大安全事故查处与汇报工作。
3. 地市局信息安全领导小组负责领导落实本省信息系统安全建设规划,制定地市局级安全规划;在全国税务系统网络与信息安全总体方针以及省级相关策略文件的指导下,负责组织制定审批本地市信息系统安全策略;负责组织细化上级规章制度,制定相应程序指南,并监督落实规章制度;负责本地市信息系统安全管理层以上的人员权限授予工作;负责审阅地市局信息安全工作报告;负责本地市重大安全事故查处与汇报工作。
1.2 信息安全管理部门
在信息安全领导小组的基础上,各级税务系统网络与信息安全管理应该由本机构信息安全相关的若干管理部门共同完成,例如有信息技术部门、业务应用部门、安全保卫部门、人事行政部门等等。
信息技术部门对信息系统及信息系统安全保障提供技术决策和技术支持,在技术上对信息系统和信息系统安全保障承担管理责任。业务应用部门对信息系统的业务处理以及业务流程的安全承担管理责任。安全保卫部门对信息系统的场地以及系统资产的防灾、防盗、防破坏等承担管理责任。行政部门从行政上对信息安全保障执行管理工作。各个部门应与信息技术部门协作,共同对信息系统的建设和运行维护承担管理责任。
为明确安全职责,应在相关管理部门中指定对信息安全负责的主管,这些主管共同贯彻执行税务系统安全工作的方针政策、规章制度及有关的技术标准、规范和方案,并监督安全策略的落实。
第2页
税务系统网络与信息安全管理岗位及其职责
1.3 具体执行管理角色
对于信息系统建设和运行维护的具体执行,应该有相应的安全管理岗位,但由于全国税务系统包括国家税务总局在内、各省局、各地市局的具体情况有所差别,不宜在本文档中直接定义具体的安全岗位,而只是定义了相应的安全角色和职责,各具体机构根据实际情况设置相应安全岗位,具体的安全角色和职责的描述如下。安全管理员
负责对安全产品购置提供建议,负责组织制定各种安全产品策略与配置规则,负责跟踪安全产品投产后的使用情况;
负责指导并监督系统管理员(包括主机系统管理员、网络管理员、数据库管理员和应用管理员等)及普通用户与安全相关的工作;
负责组织信息系统的安全风险评估工作,并定期进行系统漏洞扫描,形成安全评估报告;
根据本机构的信息安全需求,定期提出本机构的信息安全改进意见,并上报信息安全管理部门主管;
定期查看信息安全站点的安全公告,跟踪和研究各种信息安全漏洞和攻击手段,在发现可能影响信息安全的安全漏洞和攻击手段时,及时做出相应的对策,通知并指导系统管理员进行安全防范;
负责组织审议各种安全方案、安全审计报告、应急计划以及整体安全管理制度;
负责参与安全事故调查。主机系统管理员
负责主机操作系统的安全配置(包括及时修补系统漏洞)和日常审计,系统应用软件的安装,从系统层面实现对用户与资源的访问控制; 协助安全管理员制定主机操作系统的安全配置规则,并落实执行; 负责主机设备的日常管理与维护,保持系统处于良好的运行状态; 为安全审计员提供完整、准确的主机系统运行活动的日志记录; 在主机系统异常或故障发生时,详细记载发生异常时的现象、时间和处理方式,并及时上报;
第3页
税务系统网络与信息安全管理岗位及其职责
编制主机设备的维修、报损、报废计划,报主管领导审核; 网络管理员
负责网络的部署以及网络产品、网络安全产品的配置、管理与监控,并对关键网络配置文件进行备份,及时修补网络设备的漏洞; 协助安全管理员制定网络设备安全配置规则,并落实执行;
为安全审计员提供完整、准确地记录重要网络设备和网站运行活动的运行日志;
在网络及设备异常或故障发生时,详细记载发生异常时的现象、时间和处理方式,并及时上报;
编制网络设备的维修、报损、报废等计划,报主管领导审核; 数据库管理员
对数据库系统进行安全配置,修补已发现的漏洞;
负责数据库系统的用户账号管理,对系统中所有的用户进行登记备案;对数据库系统的用户、口令的安全性进行管理;对数据库系统登录用户进行监测和分析;
负责业务数据及系统其它重要数据的备份与备份数据管理工作; 为安全审计员提供完整、准确的数据库系统运行活动的日志记录,详细记载发生异常时的现象、时间和处理方式,并及时上报; 在发生安全问题导致数据损坏或丢失时,进行数据的恢复;
根据业务发展的需求,提交数据存储介质购买或存储系统扩容计划。应用管理员
对业务应用系统进行安全配置;督促软件开发商提供补丁来修补已发现的漏洞;
对业务应用系统的用户、口令的安全性进行管理;对业务应用系统的登录用户进行监测和分析;
负责提出数据的备份要求,制定数据备份策略,督促数据库管理员按照备份方案按时完成,并恢复所需数据;
实施系统软件版本管理,应用软件备份和恢复管理。
第4页
税务系统网络与信息安全管理岗位及其职责
安全审计员
负责定期对主机系统、网络产品、应用系统的日志文件进行分析审计,发现问题及时上报;
负责对信息安全保障管理活动进行独立的监督,提供内部独立的审计和评估工作,并根据需要可以协同外部审计评估机构进行评估和认证,为决策领导提供信息系统和信息安全保障执行状况的客观评价。
病毒防护员
协助安全管理员制定病毒防范操作规程; 负责执行和监督整个系统全面的杀毒工作;
定时升级网络杀毒软件的病毒库,监督个人杀毒软件的升级工作; 实时监控重要业务系统和数据的安全,杜绝非法开放的病毒入侵途径,降低病毒侵害的影响;
及时报告上级部门病毒入侵和感染情况,提供感染频率高和严重性强的病毒的有效解决方案。
密钥管理员(包括证书管理员、证书操作员)
负责税务系统交易、传输、认证密钥的管理以及加密机的操作。资产管理员
负责信息技术部门全部资产的采购、登记、分发、回收、废弃等管理。安全保卫员(机房安全员)
负责制定和执行适当的物理安全控制;
主要负责非技术性的、常规的安全工作,如信息处理场地的保卫,办公室安全,验证出人信息中心的手续和多项规章制度的落实。
安全协调人员
负责安全项目、安全问题、安全事件、安全工作的组织协调。人事管理人员
协助安全主管确定某个职位是否需要进行安全背景调查;
第5页
税务系统网络与信息安全管理岗位及其职责
还可能负责为员工离开本单位时提供与安全相关的离职规程。安全法律顾问
负责本单位与外单位签署安全服务合同的法律咨询工作。
二、税务系统网络与信息安全管理岗位及设置原则
2.1 信息安全管理岗位
根据税务系统网络与信息安全管理角色与职责,相应地,税务系统组织机构内需要设置信息安全管理岗位,由于全国税务系统包括国家税务总局在内、各省局、各地市局的具体情况有所差别,所以本文档中仅列出信息技术部门中的主要信息安全管理岗位,总局、各省局及各地市局应根据本文档结合本机构的具体情况指导本机构内的岗位分工和各岗位安全职责,从而进行具体的设置。安全管理员岗位
安全管理员岗位可以是安全管理员角色和安全审计员角色的组合,同时,根据具体需要,可以兼任病毒管理员和密钥管理员的角色。也可以根据具体情况,设置多个安全管理员岗位。网络系统管理员岗位
网络系统管理员岗位可以是主机系统管理员角色和网络管理员角色的组合,同时,根据具体需要,可以兼任资产管理员的角色。也可以根据具体情况,设置多个网络系统管理员岗位。应用管理员岗位
应用管理员岗位可以是数据库管理员角色和应用管理员角色的组合。也可以根据具体情况,设置多个应用管理员岗位。
对于其他的安全角色需要设置的岗位,可以由相关安全职能部门的人员兼任,也可以单独设置岗位。
第6页
税务系统网络与信息安全管理岗位及其职责
2.2 安全岗位设置原则
为确保税务信息系统的安全,必须加强人事安全管理,提高安全管理人员的技术水平和安全意识,同时在人员岗位的设置方面要遵循以下原则。多人负责原则
对一些有较高密级的与安全有关的活动,都必须有两人或多人在场。工作人员必须由系统主管领导指派,且忠诚可靠,能胜任工作;工作人员应该认真记录签署工作情况,以证明安全工作已得到保障。
上述所指与安全有关的活动包括:硬件和软件的维护;系统软件的设计、实现和维护;处理保密信息;系统用媒介的发放与回收;访问控制用证件的发放与回收;重要程序和数据的删除和销毁等。任期有限原则
决不能由一人长期担任安全管理职务。对一些重要安全岗位的工作人员应该不定期循环任职,强制实行轮换、休假制度,并规定对工作人员进行轮流培训,以使任期有限制度切实可行。职责分离原则
非经系统主管领导批准,任何信息系统的工作人员都不得打听、了解或参与其职责以外的任何与系统安全有关的事情。安全工作人员活动所涉及的范围应是受到限制的,不能越权限访问。工作分开原则
权力不能过于集中在某个人或某些人手里,在信息安全工作中,有的工作不能由一个人担任,工作分开便于相互制约。出于对安全的考虑,下面每组内的两项信息处理工作应该由不同的人员来负责:对计算机操作与计算机编程;机密资料的接收和传送;安全管理和系统管理;应用程序和系统程序的编制;访问证件的管理与其它工作;计算机操作与信息系统使用媒介的保管等。权限随岗原则
权限随岗原则。根据岗位变动情况及时调整相应的授权,做到:在岗有权、离岗失权。
第7页
第五篇:网络信息安全自查报告
网络信息系统安全自查报告
我公司对网络信息安全系统工作一直十分重视,成立了专门的领导小组,建立健全了网络安全保密责任制和有关规章制度,由公司办公室统一管理,各科室负责各自的网络信息安全工作。严格落实有关网络信息安全保密方面的各项规定,采取了多种措施防范安全保密有关事件的发生,总体上看,我公司网络信息安全保密工作做得比较扎实,效果也比较好,近年来未发现失泄密和其他重大安全问题。
一、计算机涉密信息管理情况
今年以来,我公司加强组织领导,强化宣传教育,落实工作责任,加强日常监督检查,将涉密计算机管理抓在手上。对于计算机磁介质(软盘、U盘、移动硬盘等)的管理,采取严格措施,形成了良好的安全保密环境。对涉密计算机(含笔记本电脑)实行了与国际互联网及其他公共信息网实现物理隔离,并按照有关规定落实了保密措施,到目前为止,未发生一起计算机失密、泄密事故;其他非涉密计算机(含笔记本电脑)及网络使用,也严格按照公司计算机保密信息系统管理办法落实了有关措施,确保了机关信息安全。
二、计算机和网络安全情况
一是网络安全方面。我公司配备了防病毒软件、硬件防火墙,采用了强口令密码、数据库存储备份、移动存储设备管理、数据加密等安全防护措施,明确了网络安全责任,强化了网络安全工作。
二是信息系统安全方面实行领导审查签字制度。凡上传网站的信息,须经有关领导审查签字后方可上传;二是开展经常性安全检查,主要对SQL注入攻击、跨站脚本攻击、弱口令、操作系统补丁安装、应用程序补丁安装、防病毒软件安装与升级、木马病毒检测、端口开放情况、系统管理权限开放情况、访问权限开放情况、网页篡改情况等进行监管,认真做好系统安全日记。
三是日常管理方面切实抓好外网、网站和应用软件“五层管理”,确保“涉密计算机不上网,上网计算机不涉密”,严格按照保密要求处理光盘、硬盘、U盘、移动硬盘等管理、维修和销毁工作。重点抓好“三大安全”排查:一是硬件安全,包括防雷、防火、防静电、防盗和电源连接等;二是网络安全,包括网络结构、安全日志管理、密码管理、IP管理、互联网行为管理等;三是应用安全,包括网站、邮件系统、资源库管理、软件管理等。
三、硬件设备使用合理,软件设置规范,设备运行状况良好。
我公司每台终端机都安装了防病毒软件,系统相关设备的应用一直采取规范化管理,硬件设备的使用符合国家相关产品质量安全规定,单位硬件的运行环境符合要求,打印机配件、色带架等基本使用设备原装产品;防雷地线正常,对于有问题的防雷插座已进行更换,防雷设备运行基本稳定,没有出现雷击事故;UPS运转正常、并添加了柴油发电机进行补充。系统安全有效,暂未出现任何安全隐患。
四、通讯设备运转正常
我公司网络系统的组成结构及其配置合理,并符合有关的安全规定;网络使用的各种硬件设备、软件和网络接口也是通过安全检验、鉴定合格后才投入使用的,自安装以来运转基本正常。
五、严格管理、规范设备维护
我公司对电脑及其设备实行“谁使用、谁管理、谁负责”的管理制度。在管理方面我们一是坚持“制度管人”。二是强化信息安全教育、提高员工计算机技能。同时在公司开展网络安全知识宣传,使全体人员意识到了,计算机安全保护是“三防一保”工作的有机组成部分。而且在新形势下,计算机犯罪还将成为安全保卫工作的重要内容。在设备维护方面,专门设置了网络设备故障登记簿、计算机维护及维修表对于设备故障和维护情况属实登记,并及时处理。对外来维护人员,要求有相关人员陪同,并对其身份和处理情况进行登记,规范设备的维护和管理。
六、网站安全及 我公司对网站安全方面有相关要求,一是使用专属权限密码锁登陆后台;二是上传文件提前进行病毒检测;三是网站分模块分权限进行维护,定期进后台清理垃圾文件;四是网站更新专人负责。
七、安全制度制定落实情况
为确保计算机网络安全、实行了网络专管员制度、计算机安全保密制度、网站安全管理制度、网络信息安全突发事件应急预案等以有效提高管理员的工作效率。同时我公司结合自身情况制定计算机系统安全自查工作制度,做到四个确保:一是系统管理员于每周五定期检查中心计算机系统,确保无隐患问题;二是制作安全检查工作记录,确保工作落实;三是实行领导定期询问制度,由系统管理员汇报计算机使用情况,确保情况随时掌握;四是定期组织全公司人员学习有关网络知识,提高计算机使用水平,确保预防。
八、安全教育
为保证我公司网络安全有效地运行,减少病毒侵入,我公司就网络安全及系统安全的有关知识进行了培训。期间,大家对实际工作中遇到的计算机方面的有关问题进行了详细的咨询,并得到了满意的答复。
九、自查存在的问题及整改意见
我们在管理过程中发现了一些管理方面存在的薄弱环节,今后我们还要在以下几个方面进行改进。
(一)由于近几年网络管理人员变换频繁,造成对于线路规划混乱,近期将利用各种措施进行整理归档。
(二)加强设备维护检查和记录,及时发现问题解决问题。
(三)自查中发现个别人员计算机安全意识不强。在以后的工作中,我们将继续加强计算机安全意识教育和防范技能训练,让员工充分认识到计算机案件的严重性。人防与技防结合,确实做好单位的网络安全工作。
(四)检查中发现,我们对于计算机整体网络和机房的防范措施跟很多成熟的管理单位有差距,今后首先加强意识,然后按照规范进行各种管理。
河南省永联民爆器材股份有限公司
二○一三年八月十五日
点击咨询 