第一篇:关于加强公司网络安全管理的通知
关于加强公司网络安全管理的通知
公司各部门及各所属公司、基地关联产业公司:
长期以来,外网网络环境复杂,木马及各类恶意软件横行,严重威胁网络平台的安全和健康运行,用户误入悖社会公德陷阱、机密材料被篡改窃取、网上财务损失等事件层出不穷。随着总公司、各公司信息化和办公自动化进程的推进,计算机及网络的安全管理成为公司安全管理工作的重要内容。为确保公司计算机系统及网络系统的安全运行,现将有关事项通知如下:
一、计算机及网络管理
总公司、下属公司计算机系统及网络系统(含计算机财务系统)须指定责任人统一管理,并严格甄选服务商对计算机及网络进行维护维修,未经责任人安全确认,不得随意装卸系统软件。
二、计算机及网络的使用
1、计算机使用人对内存资料负有保管和保密责任,必须严格按照相关规定审批转存;
2、禁止任何人利用公司计算机和网络进行以下操作: 1)浏览不健康网站、非法网站及国家明令禁止的网页; 2)下载电影、游戏软件或与工作无关的其他资料;
3)上班时间通过QQ、MSN等聊天工具接收未知具有安全隐患的文件、发送有关任何涉及公司机密的内容及文件;
4)不得在各种网站、论坛、微博发布或上传不健康言论内容以及任何涉及有关企业机密的帖子。
三、病毒防护和维护保养
1、公司所有计算机必须安装杀毒软件和防火墙,一旦发现病毒及木马程序须及时查杀;
2、移动磁盘等设备在使用前,必须确保无病毒,若发现病毒应及时查杀或通知公司指定的专业技术人员进行处理。
四、公司随时对计算机及网络使用情况进行检查,发现以下情形将追究当事人责任,给予处罚(原则上50元/次/人,情节严重者,可加重处罚):
1、计算机感染病毒不及时报告和处理者;
2、因私自安装和使用软件给公司造成各种损失者;
3、擅自使用他人计算机或外设造成不良影响和后果者;
4、违反本通知规定或其他危害计算机及网络系统事件;
5、使用公司计算机不当,导致公司重要机密外泄者; 本通知自公布之日起施行。
2012年2月20日
第二篇:网络安全管理
摘 要
随着计算机信息技术时代的飞速发展,计算机技术已经成为我们日常生活中的各种方面不可缺少的。无论是在商业、工业、农业、生活等方面都起着重大的作用,计算机信息技术是我们每个人生活中不可缺少的一部分。计算机网络在为人们提供便利、带来效益的同时,也使人类面临着信息安全的巨大挑战。计算机的广泛应用是我们新时代的通讯工具。由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,无论是在局域网还是在广域网中,都存在着自然和人为等诸多因素的潜在威胁,病毒扩散、黑客攻击、网络犯罪等违法事件的数量迅速增长,网络的安全问题越来越严峻。因此,如何提高计算机网络的防御能力,增强网络的安全措施,已成为当前急需解决的问题。否则网络不仅不能发挥其有利的作用,甚至会危及国家、企业及个人的安全。
关键词:计算机技术; 应用技术 网络安全
绪论
计算机网络的普及和网络技术的发展深刻地改变了传统的生产、经营、管理和生活方式,在构建信息防卫系统时,应着力发展自己独特的安全产品,要想真正解决网络安全问题,要从系统的规划上去考虑它,从技术上、产业上、政策上来发展它。网络安全是一个系统的概念,有效的安全策略或方案的制定,是网络信息安全的首要目标。通过运用多种网络安全技术,如数据加密技术、访问控制、认证授权、防火墙、入侵检测和防病毒等来实现信息安全。计算机网络的高速发展带给人类巨大利益的同时,也带来了许多负面的影响,在网络安全体系中,为了弥补 TCP/IP协议等各种安全漏洞,防火墙技术是很常用、很有效的防御系统,是网络安全防护的重要组成部分。
一、网络技术的安全性非常脆弱由于网络技术
本身存在着安全弱点、系统的安全性差、缺乏安全性实践等缺陷,加上一些人为的因素,使得网络信息的安全受到很大威胁。首先,TCP/IP 的协议集就存在安全缺点。由于在每一层,数据存在的方式和遵守的协议各不相同,而这些协议在开始制定时就没有考虑到通信路径的安全性,从而导致了安全漏洞。从纯技术的角度上说,缺乏安全防护设备与管理系统、缺乏通信协议的基本安全机制、基于 HTTP 与FTP 上的应用软件问题以及不够完善的服务程序等都是产生系统安全漏洞的主要原因。其次,由于信息安全还处在初期发展阶段,缺少网络环境下用于产品评价的安全性准则和评价工具。加上许多网络系统管理人员素质不高,缺乏安全意识,当系统安全受到威胁时,缺少应有的安全管理方法、步骤和安全对策,如事故通报、风险评估、改正安全缺陷、评估损失、相应的补救恢复措施等。
二、计算机网络安全面临的威胁影响计算机网络安全的因素很多。
归结起来,主要有 4 个方面: 1自然因素。主要包括自然灾害的破坏,如地震、雷击、洪水及其他不可抗拒的天灾造成的损害。以及因网络及计算机硬件的老化及自然损坏造成的损失。2无意失误。误操作引起文件被删除,磁盘被格式化,或因为网络管理员对网络的设置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的帐号随意转借他人或与别人共享等,都会给网络安全带来威胁。3黑客攻击。这是计算机网络所面临的最大威胁。此类攻击又可分为两种:一种是网络攻击,就是以各种方式有选择地破坏对方信息的有效性和完整性;另一种是网络侦察,就是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得对方重要的机密信息。4利用网络软件的漏洞和“后门”进行攻击。软件的“后门”都是软件公司的编程设计人员为了自己方便而设置的,一般不为外人所知,一旦“后门”被洞开,所造成的后果不堪设想。
三、当今网络攻击的手段及发展趋势
1.拒绝服务攻击。攻击的主要目的是使计算机及网络无法提供正常的服务。它会破坏计算机网络的硬件设备,破坏计算机网络的各种配置,消耗计算机及网络中不可再生的资源等。2.欺骗攻击。黑客会利用 TCP/IP 协议本身的缺陷进行攻击,或者进行 DNS 欺骗和 Web 欺骗。
3.通过协同工具进行攻击。各种协同工具使用的增长,可能导致泄漏机密商业数据。4.对移动设备的攻击。2005 年以来,手机、PDA 及其他无线设备感染恶意软件的数量在激增,但因为其不能靠自身传播,所以还没有大规模爆发。但今后仍需要关注它的发展趋势。5.电子邮件攻击。2005 年,英国电子邮件安全公司MessageLabs 每周拦截大约 2 至 3 次有目标的电子邮件攻击,而 2004 年这一数字还小得几乎可以忽略,这标志着网络攻击的性质和目的都发生了转变。这些攻击常常针对政府部门、军事机构及其他大型组织。总而言之,根据攻击能力的组织结构程度和使用的手段,可以将威胁归纳为四种基本类型:无组织结构的内部和外部威胁与有组织结构的内部和外部威胁。
四、网络信息安全的技术保障策略不安全的网络一旦遭到恶意攻击,将会造成巨大的损失。目前,技术措施仍是最直接、最常用和有效的的屏障。技术保障策略主要有如下几种。
1.密码技术。包括加密与解密技术。加密是网络与信息安全保密的重要基础。它是将原文用某种既定方式规则重排、修改,使其变为别人读不懂的密文。解密则是将密文根据原加密方法还原。目前,已成熟的加密方法有很多,如替换加密、移位加密、一次性密码本加密、序列密码等。2.数字签名。对于网络上传输的电子文档,可使用数字签名的方法来实现内容的确认。签名有两个键,一是签名不能被仿照,二是签名必须与相应的信息捆绑在一起。保证该信息就是签名欲确认的对象,以解决伪造、抵赖、冒充和篡改等安全问题。数字签名采用一种数据交换协议,使得收发数据的双方能够满足两个条件:接受方能够鉴别发送方的身份;发送方不能否认他发送过数据这一事实。数据签名一般采用不对称加密技术,发送方对整个明文进行加密变换,得到一个值,将其作为签名。接收者使用发送者的公开密钥对签名进行解密运算,如其结果为明文,则签名有效,证明对方的身份是真实的。3.鉴别。鉴别的目的是验明用户或信息的正身。对实体声称的身份进行惟一识别,以便验证其访问请求,或保证信息来源以验证消息的完整性,有效地对抗非法访问、冒充、重演等威胁。按照鉴别对象的不同,鉴别技术可以分为消息鉴别和通信双方相互鉴别;按照鉴别内容不同,鉴别技术可以分为用户身份鉴别和消息内容鉴别。4.网络访问控制策略。访问控制是网络安全防范和保护的主要策略,主要任务是保证网络资源不被非法使用和访问。一般采用基于资源的集中式控制、基于资源和目的地址的过滤管理以及网络签证等技术来实现。目前进行网络访问控制的方法主要有:MAC 地址过滤VLAN 隔离、IEEE802.1Q 身份验证、基于 IP 地址的访问控制列表和防火墙控制等。
五、网络安全任重道远据国际调查显示,目前有 55的企业网没有自己的安全策略。
仅靠一些简单的安全措施来保障网络安全,这些安全措施可能存在互相分立、互相矛盾、互相重复、各自为战等问题,既无法保障网络的安全可靠,又影响网络的服务性能,并且随着购物运行而对安全措施进行不断的修补,使整个安全系统变得臃肿,难以使用和维护。这些都是迫切需要解决的问题,只有加强网络与信息安全管理,增强安全意识,不断改进和发展网络安全保密技术,才能防范于未然,避免国家、企业或个人的损失。所以,网络安全仍任重道远。
六、企业信息化为管理者提供了一个和员工面对面交流的平台,能具体了解到员工的想法和工作情况,有效的保证了管理的规范化。
1企业通讯运用了计算机网络技术,从而缩短了企业空间距离,实现了各部门“近距离”联系和控制。许多现代企业管理中运用了腾讯通和 OA 系统等一些计算机技术,大大拉近了
公司管理者和员工之间的距离。这种管理不但使公司更加的和谐,还是决策层的决策更加的正确。企业实行这种管理和监控有效的保障了公司的运作,加快了公司的管理结构的优化,甚至是加快管理层次的转变,从而实现企业的扁平化管理。公司会议有传统的人人到场转向现在的视频会议和网络会议,这样不但节约了参与者的时间,还加快了整个企业的运行效率。网络会议正逐渐的代替传统的会议模式成为企业会议主要方式,它的出现不仅为企业节约了成本,还在很大某种程度上促进了企业管理的进步以及提高员工自身素质。随着计算机网络技术的进步,各行各业的企业使用的通讯软件也不断更新,这些软件的作用也日益凸显。快速传递信息的软件使企业各部门间的沟通更加顺畅。2计算机技术能够准确而快速的分析企业信息。对信息的准确把握和分析是企业决策层做出正确决策的可靠依据。企业的规模不断扩大,其内部信息量也会逐步扩大,各层的信息汇集量也会越来越大,而大量的信息需要专门的人员进行管理和分析。传统的信息的汇总和分析都是依靠人力来解决的,但其效率和效果都不能让人满意。此外,通过人力来汇总会导致信息丢失和信息失真,进一步导致企业决策层做出错误决策,给企业带来巨大的经济损失。计算机技术具备运行效率高,计算准确等优点,真好弥补了人为的不足。计算机技术的这些优势真好符合企业对信息的处理。企业信息的收集和处理利用大量计算机技术,将会是企业介绍大量的成本和人力。利用现代信息技术处理信息给企业决策层提高可靠的依据。使决策更加的科学和合理,这也是现代企业健康发展的具体表现。
七、计算机技术在财务工作中的应用
1企业财务数据监控 利用计算机技术,从而保证了企业财务信息的准确性。企业的核心部门就是财务系统,其对企业起着着重要的作用,财务系统的数据准确性将直接关系到企业的决策和发展方向。转贴 计算机技术的集成性能对企业的财务数据进行全面监控,从而决策层能够随时的获取正确的财务数据,并能做出正确科学的决策。2企业的财务分析 运用计算机技术,从而保证了企业财务分析的合理性和准确性。计算技术利用其自身的逻辑性,用于财务分析,为企业提供科学的分析数据和分析结果,实现财务分析数据的科学化,避免人工误差,帮助企业朝着正确的方向健康发展。
八、计算机技术在企业运营方面的应用
1计算机技术的集成性使得企业人力管理更加安全和顺畅。企业的人力资本是企业发展的核心资本因而备受企业关注,计算机技术通过集成人力管理的各个模块,实现人力的动态管理和数据化分析,保证企业可以及时得到企业人力的状况和前景分析,提高企业对于人才的预警能力和风险防范能力,从而使得决策层可以快速做出反应,保障企业人力安全。计算机技术在人力资本管理上的应用还表现在其先进的信息收集系统,可以为企业收集和储备大量的备用人才,在企业发展过程中不断为企业提供强有力的人才保障和人力资本输入。企业人力资源部门可以利用计算机技术大规模的减少工作量,从而减少人力管理成本,实现企业利润的最大化和企业人力资本储备的最大化以及人力资本运用的科学化。在人力成本核算上,计算机技术可以集成财务与人力的双重功效,实现资源和信息的共享,从而提高企业的运作效率,提高人力决策的准确性和科学性。2计算机技术为企业采购及物流储运提供有序的保障。企业的采购及物流储运系统需要顺畅的流程和密切的协同才能发挥其作用,为企业发展提供强有力的保障。计算机技术通过各类系统集成,可以实现采购、储运、物流的最优化配置,实现效益的最大化和成本的最低化,从而在保障企业产品供应的前提下,实现利润最大化。科学的计算机技术在运营调配中起着以往人力无法达到的作用,强大的运算能力保障了其作为调配中心的作用,安全快速的调配方案保证了企业在高速发展的同时降低自身成本,获得客户认同。
结束语
计算机信息管理技术是新时代的管理系统,计算机信息管理的应用事首要的出发点,也是我们生活的不可缺的。计算机信息管理专业具有知识覆盖面广的特点,对学生素质的要求绝不仅仅局限于技术层面。随着我们社会经济生活的发展,不断提高计算机的管理应用水平,应采用各种有效的创新方法技术来提高计算机在生活中的工作效益。在建立现代化发展的社会进程中,在新的经济和管理环境中,为使计算机信息管理技术在我们的工作生活中发挥其应有的作用,有必要对其进行不断的创新,进行改革,完善激励机制,才能促进计算机信息管理的实施和发展。
第三篇:网络安全检查通知
唐山市路南区2011年网络与信息
安全检查方案
为做好2011年全区网络与信息安全检查工作,依据《唐山市2011年网络与信息安全保障工作要点》和《唐山市2011年网络与信息安全检查方案》,制定本方案。
一、检查目的
以保障日常特别是重要、敏感时期网络与信息安全为重点,对我区网络与信息安全工作进行全面检查。掌握网络与信息安全总体状况,发现和解决存在的主要问题,健全工作制度,完善技术措施,提高全区网络与信息安全防护能力。
二、检查原则
1、谁主管谁负责、谁运营谁负责、谁使用谁负责。
2、统筹安排、突出重点、明确责任、注重实效。
3、涉及国家秘密的网络与信息系统保密检查工作,按照国家保密管理规定执行。
三、检查范围
全区境内公用通信网、广播电视传输网等基础信息网络、公务内网和公务外网。
重点检查各单位履行职能提供支撑的信息系统,包括自行或委托其他机构运行维护管理的办公系统、业务系统、网站系统等。
四、检查组织领导
我区成立网络与信息安全专项检查组,由区工业和信息化局牵头,会同公安、保密、电子政务等单位相关人员组成,在区信息化工作领导小组的领导下,按照《检查办法》规定的职责开展检查。
各单位根据内部组成与职责,也要成立网络与信息安全检查组,负责本单位的检查工作。
五、检查时间、方式与情况报送
对照相关标准和要求,通过听汇报、做调查、搞测试、查记录、阅文件、验台账、看现场、问情况等形式,采取自查与抽查相结合,以自查为主的方式进行。
(一)自查
由各单位根据实际情况统筹安排并组织部署。根据2011年8月2日唐信办[2011]7号的通知,唐山市路南区人民政府网存在信息泄漏问题、开放端口过多(达到了11个),评价为存在中风险;唐山市路南区商务之窗网存在信息泄漏问题,请上述两个网站主管部门于8月20日前对上述存在问题进行整改并提交整改报告。(信息泄露,指通过信息检查,可以发现Web系统的发布平台、操作系统、数据库版本和主机数量名称等其它信息)
2011年8月20日前,重点加强对主要门户网站和重点信息网站的安全检查,排查安全漏洞和隐患,强化网站安全防护措施。
2011年9月22日前,各乡街、各部门完成网络与信息安全自查和总结评估工作,将由主报告(见附件1)和附表(见附件2)等组成的检查情况报告,报送区信息化工作领导小组办公室。
(二)抽查
区网络与信息安全专项检查组在及时跟踪、掌握各单位自查情况的基础上,组织专业技术队伍,适时进行抽查,具体安排另行通知。
区信息化工作领导小组办公室在各单位自查情况综合分析后,形成检查报告,上报市信息化工作领导小组,并视情况通报检查结果。
六、重点检查内容
(一)网络与信息安全组织领导
1、网络与信息安全领导、管理机构设立及其工作开展情况
(1)组织制定网络与信息安全工作计划或工作方案情况;
(2)组织制定并落实网络与信息安全管理规章制度情况。
2、网络与信息安全责任人确立及其工作开展情况(1)各单位网络与信息安全责任人确定情况;(2)信息安全责任人开展督促、检查和指导等日常工作情况。
(二)网络与信息安全日常管理
1、人员管理
(1)岗位网络与信息安全和保密责任制落实,特别是重要岗位保密协议签订情况;
(2)人员离岗离职信息安全管理情况;(3)外部人员访问机房等重要区域管理情况;(4)违反制度规定造成信息安全事件的责任查处情况等。
2、资产管理
(1)资产管理制度建立及落实情况,资产台账是否清晰、账物是否相符;
(2)办公软件、应用软件等安装与使用情况,是否有与工作无关的软件;
(3)计算机及相关设备维修维护、报废销毁管理情况,是否有相应的登记记录等。
3、网络与信息技术外包服务安全管理。针对当前信息技术外包服务安全风险突出的现状,重点检查系统开发、系
统集成、运行维护、灾难备份、数据处理、安全检测、系统托管等外包服务的安全管理。
(1)服务机构性质与背景情况,是否由外资机构提供服务;
(2)服务合同及安全保密协议签订情况,安全责任是否清晰;
(3)人员现场服务记录情况,是否有现场服务监管措施;
(4)系统维护方式,重点排查远程在线服务带来的安全风险;
(5)灾难备份服务情况,重点掌握境外设立灾难备份中心情况。
4、网络与信息技术产品使用管理。重点检查办公用软件、公文处理软件、信息安全设备、服务器、网络设备等使用产品的安全可控情况,特别是本新采购办公用计算机、公文处理软件、信息安全设备是否满足安全可控要求。
5、网络与信息安全经费保障。重点检查信息安全防护设施建设、运行、维护、检查及管理等费用是否纳入预算,以及本信息安全经费实际投入情况等。
(三)网络与信息安全防护管理
1、网络边界防护管理。查看系统总体网络架构、子系统分布、终端节点、区域划分及边界防护措施等情况。
(1)网络分区分域合理性;
(2)安全防护设备策略配置有效性;
(3)互联网接入情况,是否有访问互联网的安全控制措施,是否留存互联网访问日志并定期进行分析。
2、信息系统安全管理。
(1)服务器安全防护。重点检查服务器上应用、服务、端口以及系统补丁等情况,是否关闭了不必要的应用、服务、端口;账户口令强度和更新情况;病毒木马防护情况,是否使用技术工具定期进行漏洞扫描、病毒木马检测;
(2)网络设备防护。重点检查网络设备安全策略配置的有效性;账户口令强度和更新情况;是否使用技术工具定期进行漏洞扫描;
(3)信息安全设备部署及使用。重点检查防病毒、防火墙、入侵检测、安全审计等安全设备部署及使用情况,以及安全策略配置的有效性。
3、门户网站安全管理。以防攻击、防挂马、防篡改、防瘫痪、防窃密为目标,对门户网站安全防护情况进行全面检查。
(1)系统管理账户和口令,清理无关账户,防止出现空口令、弱口令和默认口令;
(2)服务器补丁更新情况,关闭不必要的端口,停止不必要的服务和应用,删除不必要的链接和插件;
(3)网站目录结构,删除临时文件,防止敏感信息泄露;
(4)信息发布审核制度建立及落实情况;
(5)是否使用技术工具定期进行漏洞扫描、木马检测。
4、电子邮箱安全管理。
(1)邮箱使用情况,是否有非本单位人员特别是无关人员使用;
(2)账户口令强度及更新情况,是否使用技术措施控制和管理口令,口令强度是否符合要求,是否定期更新。
5、终端计算机安全管理。
(1)是否采取集中安全管理措施;(2)账户口令强度和更新情况;
(3)接入互联网安全控制措施(如实名接入认证、对计算机IP和MAC地址进行绑定等)
(4)是否使用技术工具定期进行漏洞扫描、病毒木马检测;
(5)在非涉密信息系统和涉密信息系统间混用情况;(6)使用非涉密计算机处理涉密信息情况。
6、移动存储设备安全管理。(1)是否采取集中安全管理措施;
(2)是否配备必要的电子消磁或销毁设备;
(3)在非涉密信息系统和涉密信息系统间混用情况。
7、电子签名与电子认证应用情况
(1)是否应用电子签名(含机构证书、个人证书、设备证书等);
(2)如已使用电子签名,使用数量和电子认证服务提供商情况;
(3)冀办发„2010‟35号文件,即《中共河北省委办公厅关于印发<河北省电子认证服务管理办法(试行)>的通知》贯彻落实情况。
(四)信息安全应急管理
1、应急预案。重点检查信息安全应急预案制定、修订、备案及宣贯培训情况。
2、应急演练。重点检查信息安全应急演练情况;已开展演练的,查看演练文档、记录(包括演练计划、演练方案、演练记录、演练总结报告等)。
3、应急技术支援。重点检查是否明确了应急技术支援队伍;已明确的,检查其服务合同及安全保密协议签订情况,了解掌握应急技术支援队伍基本情况以及开展的技术支援活动。
4、灾难备份。主要检查重要数据和重要信息系统的备份情况;对采用社会第三方灾难备份服务的,检查其服务合同及安全保密协议签订情况,了解掌握灾难备份服务设施运维安全管理情况。
5、信息安全应急处置。重点检查本发生的信息安全事件及处置情况;发生过重大信息安全事件的,检查是否进行了及时处置,是否按照要求上报和通报。
(五)信息安全等级保护工作
1、按照《信息安全等级保护管理办法》规定开展信息安全等级保护工作情况;
2、信息系统是否定级、定级是否准确,是否向公安机关备案,是否取得备案证明等情况;
3、信息安全整改规划和方案,按照国家标准或行业标准建设安全设施,落实安全措施等情况。
4、按照《信息安全安全等级保护管理办法》规定开展等级测评,依据等级测评结果制定整改措施等情况。
(六)信息安全教育培训
重点检查信息安全和保密形势教育及警示教育情况,领导干部和机关工作人员参加信息安全基本技能培训情况,信息安全管理人员和技术人员参加信息安全专业培训情况等。
(七)信息安全检查工作
1、上一发现问题的整改情况。(1)制定的整改计划及采取的整改措施;
(2)整改效果以及是否开展了进一步的信息安全风险评估;
2、本检查工作开展情况。
(1)检查工作责任制建立情况,检查工作经费,特别是需要经费开支较大的单位和部门的工作经费落实情况;
(2)检查工作方案制定及组织实施情况;
(3)采取的安全保密和风险控制措施,检查人员、有关文档和数据的安全保密管理情况。
3、安全技术检测。组织技术力量,使用必要的技术工具,对服务器、终端计算机、网络设备以及门户网站等信息系统进行安全检测,排查病毒木马、安全漏洞等。
七、有关要求
(一)加强组织领导
要完善检查工作机制,明确责任,落实经费,确保效果。对发现的问题,应分析研究,及时整改,如实汇报。完整准确填写《2011年网络与信息安全检查情况报告表》,认真撰写、及时上报检查报告。
(二)强化安全保密和风险控制
要加强纪律教育和执纪情况检查。加强对检查活动、检查人员以及相关文档和数据的安全保密管理,对重点设备技术检测的监督,对接入的检测设备的风险控制,周密制定检查工作应急预案,确保被检查信息系统的正常运行。
(三)加大对委托机构的监管力度
各单位可组织所属信息中心等单位协助开展检查工作,也可根据需要委托省信息安全测评中心、国家保密局安全保
密测评中心河北分中心等具有相关资质的外部专业机构协助开展技术检测。对参与技术检测的外部专业机构,事先必须审核其检查资格,满足受委托技术检测机构必备条件(见附件3),并于检查前将委托机构资质等材料报区网络与信息安全领导小组办公室备案;必须与其签订工作协议明确基本义务(见附件4)和有关要求;必须与委托机构及人员签订安全保密协议明确安全保密责任和义务。
(四)准确及时报送情况
报送材料包括电子文档和加盖公章的纸质文档两种形式,报送区工业和信息化局。2011年网络与信息安全检查情况报告编写参考提纲、检查情况报告表可从www.xiexiebang.com 附件:
1、2011年网络与信息安全检查情况报告编写参考提纲
附件1: 2011年网络与信息安全检查情况报告
编写参考提纲
一、网络与信息安全总体情况
(一)网络与信息安全状况总体评价
概述本单位网络与信息安全工作情况,与上一相比网络与信息安全工作取得的新进展,对本本单位网络与信息安全状况的总体评价。
(二)2011年网络与信息安全主要工作情况
对照《唐山市路南区2011年网络与信息安全检查方案》要求,逐项描述本单位2011年的在网络与信息安全组织领导、日常管理、防护管理、应急管理、等级保护、教育培训、检查督导等方面工作开展情况。
二、网络与信息安全自查发现的主要问题及整改情况 概述2010安全检查发现问题的整改情况。详述本安全检查特别是技术检测结果,总结分析本单位在安全管理、技术防护等方面存在的主要问题和薄弱环节,以及针对这些问题的整改措施或整改计划。
三、安全检查工作的经验总结和相关意见建议
本单位安全检查工作的经验体会,对我区网络与信息安全检查工作的意见,对全区网络与信息安全保障工作的建议。
第四篇:公司网络安全管理制度
公司网络安全管理制度
为加强公司网络系统的安全管理,防止因偶发性事件、网络病毒等造成系统故障,妨碍正常的工作秩序,特制定本管理办法。
一、网络系统的安全运行,是公司网络安全的一个重要内容,有司专人负责网络系统的安全运行工作。
二、网络系统的安全运行包括四个方面:一是网络系统数据资源的安全保护,二是网络硬件设备及机房的安全运行,三是网络病毒的防治管理,四是上网信息的安全。
(一)数据资源的安全保护。网络系统中存贮的各种数据信息,是生产和管理所必须的重要数据,数据资源的破坏将严重影响生产与管理工作的正常运行。数据资源安全保护的主要手段是数据备份,规定如下:
1、办公室要做到数据必须每周一备份。
2、财务部要做到数据必须每日一备份
3、一般用机部门要做到数据必须每周一备份。
4、系统软件和各种应用软件要采用光盘及时备份。
5、数据备份时必须登记以备检查,数据备份必须正确、可靠。
6、严格网络用户权限及用户名口令管理。
(二)硬件设备及机房的安全运行
1、硬件设备的供电电源必须保证电压及频率质量,一般应同时配有不间断供电电源,避免因市电不稳定造成硬件设备损坏。
2、安装有保护接地线,必须保证接地电阻符合技术要求(接地电阻≤2Ω,零地电压≤2V),避免因接地安装不良损坏设备。
3、设备的检修或维护、操作必须严格按要求办理,杜绝因人为因素破坏硬件设备。
4、网络机房必须有防盗及防火措施。
5、保证网络运行环境的清洁,避免因集灰影响设备正常运行。
(三)网络病毒的防治
1、各服务器必须安装防病毒软件,上网电脑必须保证每台电脑要安装防病毒软件。
2、定期对网络系统进行病毒检查及清理。
3、所有U盘须检查确认无病毒后,方能上机使用。
4、严格控制外来U盘的使用,各部门使用外来U盘须经检验认可,私自使用造成病毒侵害要追究当事人责任。
5、加强上网人员的职业道德教育,严禁在网上玩游戏,看于工作无关的网站,下载歌曲图片游戏等软件,一经发现将严肃处理。
(四)上网信息及安全
1、网络管理员必须定期对网信息检查,发现有关泄漏企业机密及不健康信息要及时删除,并记录,随时上报主管领导。
2、要严格执行国家相关法律法规,防止发生窃密、泄密事件。外来人员未经单位主管领导批准同意,任何人不得私自让外来人员使用我公司的网络系统作任何用途。
3、要加强对各网络安全的管理、检查、监督,一旦发现问题及时上报公司负责人。公司计算机安全负责人分析并指导有关部门作好善后处理,对造成事故的责任人要依据情节给予必要的经济及行政处理。
五、未经公司负责人批准,联结在公司网络上的所有用户,严禁在同过其它入口上因太网或公司外单位网络.********有限公司
2008年6月26日
第五篇:公司网络安全管理制度
公司网络安全管理制度篇
计算机网络为集团局域网提供网络基础平台服务和互联网接入服务,由网络维护中心负责计算机连网和网络管理工作。为保证集团局域网能够安全可靠地运行,充分发挥信息服务方面的重要作用,更好地为集团员工提供服务,现制定并发布《集团网络安全管理制度》。
第一条所有网络设备(包括路由器、交换机、集线器、光纤、网线等)均归网络维护中心所管辖,其安装、维护等操作由网络维护中心工作人员进行,其他任何人不得破坏或擅自维修。
第二条所有集团内计算机网络部分的扩展必须经过网络维护中心实施或批准实施,未经许可任何部门不得私自连接交换机、集线器等网络设备,不得私自接入网络。网络维护中心有权拆除用户私自接入的网络线路并报告上级领导。
第三条各分公司、处(室)的联网工作必须事先报经网络维护中心,由网络维护中心做网络实施方案。
第四条集团局域网的网络配置由网络维护中心统一规划管理,其他任何人不得私自更改网络配置。
第五条接入集团局域网的客户端计算机的网络配置由网络维护中心部署的服务器统一管理分配,包括:用户计算机的IP地址、网关、DNS和WINS服务器地址等信息。未经许可,任何人不得更改网络配置。
第六条网络安全:严格执行国家《网络安全管理制度》。对在集团局域网上从事任何有悖网络法规活动者,将视其情节轻重交有关部门或公安机关处理。
第七条集团员工具有信息保密的义务。任何人不得利用计算机网络泄漏公司机密、技术资料和其它保密资料。
第八条 严禁外来人员对计算机数据和文件进行拷贝或抄写以免泄漏集团机密,对集团办公系统或其它集团内部平台帐号不得相互知晓,每个人必须保证自己帐号的唯一登陆性,否则由此产生的数据安全问题由其本人负全部责任。第九条 各部门人员必须及时做好各种数据资料的录入、修改、备份和数据保密工作,保证数据资料的完整准确和安全性。
第十条任何人不得在局域网络和互联网上发布有损集团公司形象和职工声誉的信息。
第十一条任何人不得扫描、攻击集团计算机网络和他人计算机。不得盗用、窃取他人资料、信息等。
第十二条 为了避免或减少计算机病毒对系统、数据造成的影响,接入集团局域网的所有用户必须遵循以下规定:
1.任何部门和个人不得制作计算机病毒;不得故意传播计算机病毒,危害计算机信息系统安全;不得向他人提供含有计算机病毒的文件、软件、媒体。
2.采取有效的计算机病毒安全技术防治措施。建议客户端计算机安装使用网络维护中心部署发布的相关杀毒软件和360安全卫士对病毒和木马进行查杀。
3.定期或及时用更新后的新版杀病毒软件检测、清除计算机中的病毒。
第十三条 集团的互联网连接只允许员工为了工作、学习和工余的休闲使用,使用时必须遵守有关的国家、企业的法律和规程,严禁传播淫秽、反动等违犯国家法律和中国道德与风俗的内容。一经发现集团网络维护中心有权撤消违纪者互联网的使用权。使用者必须严格遵循以下内容:
1.从中国境内向外传输技术性资料时必须符合中国有关法规。2.遵守所有使用互联网的网络协议、规定和程序。
3.不能利用邮件服务作连锁邮件、垃圾邮件或分发给任何未经允许接收信件的人。
4.任何人不得在网上制作、查阅和传播宣扬反动、淫秽、封建迷信等违犯国家法律和中国道德与风俗的内容。
5.不得传输任何非法的、骚扰性的、中伤他人的、辱骂性的、恐吓性的、伤害性的信息资料。
6.不得传输任何教唆他人构成犯罪行为的资料,不能传输助长国内不利条件和涉及国家安全的资料。
7.不能传输任何不符合当地法规、国家法律和国际法律的资料。
第十四条 为了发挥好网站的形象宣传作用,各分公司、处(室)要及时向网络维护中心提供有关资料,以便充实网站内容,加大宣传影响。由网络维护中心统一整理、编辑上传及内容更新。
第十五条 各分公司、处(室)人员在下班离开前必须关闭计算机和电源插座,避免浪费电能和发生消防隐患,违纪者通报批评并进行相应的处罚。有加班需要的工作人员必须提前通知网络维护中心。