第一篇:榆林市电子政务网络与信息安全管理办法
榆政办发〔2007〕97号
榆林市人民政府办公室
关于印发榆林市电子政务网络与信息安全
管理办法(暂行)的通知
各县区人民政府、市政府各工作部门、各直属机构:
《榆林市电子政务网络与信息安全管理办法》(暂行)已经市政府批准,现印发你们,请认真贯彻执行。
二○○七年八月二十日
榆林市电子政务网络与信息
安全管理办法(暂行)
第一章 总 则
第一条 为加强电子政务网络与信息安全管理,保障全市电子政务健康发展,根据《国家信息化领导小组关于加强信息安全保障工作的意见》、《国家信息化领导小组关于我国电子政务建设指导意见》、《陕西省信息化领导小组关于加强信息安全保障工作的意见》和《陕西省电子政务网络与信息安全管理暂行办法》等文件精神及相关法律法规,制定本办法。
第二条 本办法所称电子政务系统是指我市各级党政机关、企事业单位和社会团体等机构(以下统称为单位)的政务应用和为社会提供各项公共服务的网络与信息系统。
第三条 全市电子政务网络与信息安全管理遵循统一领导、统筹规划、积极防御、综合防范、各负其责、保障安全的原则。
第四条 全市电子政务系统建立统一的密码和密钥管理体系、网络信任体系和安全管理体系,依照相关规定实施信息安全等级保护、风险评估和安全测评。
第五条 全市电子政务系统按照“谁运营、谁主管、谁负责”的要求,分级、分层、分域保障安全。涉及国家秘密的电子政务系统必须执行党和国家的有关保密法规。
第六条 电子政务安全防护系统建设、风险评估、系统测评、安全培训和相关论证审查等所需经费,由系统建设使用单位统一纳入系统建设经费预算和运营维护费用预算予以解决。
第七条 对在电子政务网络与信息安全保障工作中取得突出成绩的单位和个人,由信息化主管部门或其上级部门给予表彰奖励。
第二章 职 责
第八条 全市电子政务网络与信息安全保障工作在市信息化领导小组统一领导下,由市信息化领导小组办公室负责组织管理和协调指导,建立完善全市电子政务网络与信息安全保障体系。
第九条 各县区信息化主管部门负责本县区电子政务网络与信息安全保障工作的监督管理和协调指导,负责建立完善本县区电子政务网络与信息安全保障体系。
第十条 各级公安、安全、保密、密码管理等网络与信息安全管理部门,按照各自职能分工,对电子政务网络与信息安全保障工作实施监督管理。
第十一条 电子政务系统建设和使用单位负责建立健全本系统、本单位的网络与信息安全管理机构,配备相应人员,健全安全管理制度,明确岗位责任,建设安全保障体系。
第十二条 以租赁方式建设的电子政务系统,按照国家、省上及本市有关法律法规、技术标准与建设、运维合同的规定,其网络与信息安全保障由承担建设和运行维护方负责,使用单位负责管理。
第十三条 市信息办负责全市电子政务网络与信息安全保障的技术支持和服务。
第十四条 市信息化领导小组办公室会同有关部门统一规划和组织建设全市电子政务安全测评、数字认证、病毒防治、冗灾备份和应急救援服务等安全基础设施。
第十五条 各级信息化主管部门负责组织协调公安、安全、保密、密码管理等有关职能部门,对电子政务网络与信息安全实施监督检查。
第三章 管理要求
第十六条 全市电子政务网络由基于电子政务传输网的政务内网和政务外网组成,政务内网与其他网络物理隔离,政务外网与公共网络逻辑隔离;涉密信息及处理涉密信息的应用系统必须部署在政务内网,非涉密信息及应用系统可根据业务需要选择部署在政务外网或政务内网。
第十七条 各单位必须制定电子政务信息的采集、发布、维护、保密等工作程序和管理制度,要按照“谁上网谁负责”的原则,保证其在电子政务网上运行的数据信息真实可靠,安全保密。
第十八条 为电子政务系统建设和运营维护提供服务的机构和个人,应当遵守国家有关法律法规和技术标准的规定,保守在服务活动中获知的国家秘密、内部秘密和个人隐私。
涉密电子政务系统建设和运营维护单位必须与为电子政务系统服务的机构和人员签订具有法律约束力的保密协议。
第十九条 建设电子政务系统必须同步规划、同步建设相应的安全防护系统,并与主体工程同时设计、同时施工、同时投入使用。
第二十条 电子政务工程建设应当实施信息系统工程监理,确保工程的安全和质量。
第二十一条 电子政务建设项目在报批立项前应向同级信息化主管部门提交安全防护系统建设方案,由信息化主管部门进行安全审查,符合电子政务网络与信息安全保障体系建设规划和安全管理规定的,方可按照建设项目程序办理有关手续。
第二十二条 已建和新建的电子政务系统,必须经过国家和省上有关主管部门授权的信息安全测评机构进行安全性测评,测评合格方可投入使用。
第二十三条 电子政务安全防护系统的建设和服务必须由具有相应资质和能力的机构承担,市信息化领导小组办公室依据相关规定,负责对有关机构的资质和能力进行审查。
第二十四条 电子政务系统建设必须使用符合国家电子政务网络与信息安全标准并通过国家产品认证的安全产品。
第二十五条 在电子政务系统建设中,采用无线局域网方式和具有无线局域网功能的计算机、通信设备、打印机、复印机、投影仪等产品的,应依照《无线局域网产品政府采购实施意见》(财库〔2005〕366号)的要求采购、使用符合国家无线局域网安全标准(GB l5629.11/1102)并通过国家认证的产品。
第二十六条 各单位应当依法使用正版软件,并制定本单位计算机终端软件安装使用管理制度。电子政务系统的计算机终端不得安装与工作无关的软件。
第二十七条 依托电子政务统一平台建立安全支撑平台,为各项政务应用提供安全防御、安全支撑、应用支撑、密钥管理等服务。各单位应当利用安全支撑平台提供的安全服务,建设与其相适应的电子政务安全防护系统。
第二十八条 电子政务系统使用数字证书,应当使用符合《中华人民共和国电子签名法》要求的“根认证”在省内或市内的电子认证服务机构颁发的数字证书,实行全省、全市“一证通”。
第二十九条 电子政务系统的设计、验收及运行维护阶段应当进行信息安全风险评估。在规划设计阶段,应通过风险评估明确安全目标;在验收阶段,应通过风险评估验证已设计实施的安全措施能否实现安全目标;在运行维护阶段,应定期进行风险评估工作,检验安全措施的有效性及对安全环境变化的适应性,并根据风险评估结果改进、完善安全保护措施。
电子政务系统的建设、使用单位应适时开展安全风险自评估,信息化主管部门要定期组织安全风险检查评估。
第三十条 各级信息化主管部门应当建立完善网络与信息安全应急救援服务体系,制定并组织协调有关单位落实应急预案,完善应急救援服务。
各单位应当健全灾备系统和应急机制,明确责任,规范网络与信息安全应急事件处置流程,落实安全应急措施。
第三十一条 各单位要选用具备相应网络与信息安全管理专业知识和技能的人员从事安全管理工作,进行必要的专业培训和考核,并对全体工作人员定期进行网络与信息安全知识培训。
第三十二条 任何单位和个人不得利用电子政务系统从事危害国家安全、泄露国家秘密等违法犯罪活动;不得利用电子政务系统查阅、复制、制造和传播非法信息;不得有制作、传播、安装计算机病毒、木马等破坏性程序以及其他危害电子政务系统安全的行为。
第三十三条 任何人未经本单位安全管理机构批准,不得增减或移动电子政务系统设备;不得修改系统设备、软件的配置;不得改变电子政务系统功能;不得从事修改系统数据和软件以及其他影响电子政务系统正常运行的活动。
第三十四条 各级信息化主管部门应当适时组织协调公安、安全、保密、密码管理等有关职能部门对电子政务系统建设、运营、使用单位履行网络与信息安全保护职责的情况进行监督检查。未达到安全保护要求的,应当书面通知其限期整改。
第四章 罚 则
第三十五条 违反本办法第二十一条规定,未经安全审查进行电子政务工程建设的,由县级以上信息化主管部门责令改正;造成重大损失的,对负有直接责任的国家工作人员依法给予行政处分;构成犯罪的,依法追究刑事责任。
第三十六条 违反本办法第二十二条规定,未经安全测评或测评不合格而投入运行的电子政务系统,由县级以上信息化主管部门责令其管理单位限期整改;造成重大损失的,对负有直接责任的国家工作人员依法给予行政处分;构成犯罪的,依法追究刑事责任。
第三十七条 违反本办法其他规定,由各级信息化主管部门通报批评并责令改正;对于有危害公共安全、国家安全、泄露国家秘密以及其他违犯法律、法规行为的单位和个人,由公安、国家安全、保密以及其他管理部门依法处理;给他人造成损失的,依法承担民事责任;构成犯罪的,依法追究刑事责任。
第三十八条 各级信息化主管部门和其他有关部门工作人员在电子政务网络与信息安全保障工作中徇私舞弊、滥用职权、玩忽职守给国家造成损失的,视情节给予行政处分;构成犯罪的,依法追究刑事责任。
第五章 附 则
第三十九条 对涉及国家秘密、国家安全的电子政务系统,国家和当地有特殊规定的,从其规定。
第四十条 本办法由市信息化领导小组办公室负责解释。
第四十一条 本办法自发布之日起施行。
第二篇:电力行业网络与信息安全管理办法
国家能源局关于印发
《电力行业网络与信息安全管理办法》的通知
国能安全〔2014〕317号
各派出机构,各有关电力企业:
为了规范电力行业网络与信息安全的监督管理,国家能源局制定了《电力行业网络与信息安全管理办法》,现印发你们,请依照执行。
国家能源局
2014年7月2日
电力行业网络与信息安全管理办法
第一章 总 则
第一条 为加强电力行业网络与信息安全监督管理,规范电力行业网络与信息安全工作,根据《中华人民共和国计算机信息系统安全保护条例》及国家有关规定,制定本办法。
第二条 电力行业网络与信息安全工作的目标是建立健全网络与信息安全保障体系和工作责任体系,提高网络与信息安全防护能力,保障网络与信息安全,促进信息化工作健康发展。
第三条 电力行业网络与信息安全工作坚持“积极防御、综合防范”的方针,遵循“统一领导、分级负责,统筹规划、突出重点”的原则。
第二章 监督管理职责
—1—
第四条 国家能源局是电力行业网络与信息安全主管部门,履行电力行业网络与信息安全监督管理职责。国家能源局派出机构根据国家能源局的授权,负责具体实施本辖区电力企业网络与信息安全监督管理。
第五条 国家能源局依法履行电力行业网络与信息安全监督管理工作职责,主要内容为:
(一)组织落实国家关于基础信息网络和重要信息系统安全保障工作的方针、政策和重大部署,并与电力生产安全监督管理工作相衔接;
(二)组织制定电力行业网络与信息安全的发展战略和总体规划;
(三)组织制定电力行业网络与信息安全等级保护、风险评估、信息通报、应急处置、事件调查与处理、工控设备安全性检测、专业人员管理、容灾备份、安全审计、信任体系建设等方面的政策规定及技术规范,并监督实施;
(四)组织制定电力行业网络与信息安全应急预案,督促、指导电力企业网络与信息安全应急工作,组织或参加信息安全事件的调查与处理;
(五)组织建立电力行业网络与信息安全工作评价与考核机制,督促电力企业落实网络与信息安全责任、保障网络与信息安全经费、开展网络与信息安全工程建设等工作;
(六)组织开展电力行业网络与信息安全信息通报、从业人员技能培训考核等工作;
(七)组织开展电力行业网络与信息安全的技术研发工作;
(八)电力行业网络与信息安全监督管理的其它事项。
第三章 电力企业职责
第六条 电力企业是本单位网络与信息安全的责任主体,负责本单位的网络与信息安全工作。
第七条 电力企业主要负责人是本单位网络与信息安全的第一责任人。电力企业应当建立健全网络与信息安全管理制度体系, 成立工作领导机构,明确责任部门,设立专兼职岗位,定义岗位职责,明确人员分工和技能要求, 建立健全网络与信息安全责任制。
第八条 电力企业应当按照电力监控系统安全防护规定及国家信息安全等级保护制度的要求,对本单位的网络与信息系统进行安全保护。
第九条 电力企业应当选用符合国家有关规定、满足网络与信息安全要求的信息技术产品和服务,开展信息系统安全建设或改建工作。
第十条 电力企业规划设计信息系统时,应明确系统的安全保护需求,设计合理的总体安全方案,制定安全实施计划,负责信息系统安全建设工程的实施。
第十一条 电力企业应当按照国家有关规定开展电力监控系统安全防护评估和信息安全等级测评工作,未达到要求的应当及时进行整改。
第十二条 电力企业应当按照国家有关规定开展信息安全风险评估工作,建立健全信息安全风险评估的自评估和检查评估制度,完善信息安全风险管理机制。
第十三条 电力企业应当按照网络与信息安全通报制度的规定,建立健全本单位信息通报机制,开展信息安全通报预警工作,及时向国家能源局或其派出机构报告有关情况。
第十四条 电力企业应当按照电力行业网络与信息安全应急预案,制定或修订本单位网络与信息安全应急预案,定期开展应急演练。
第十五条 电力企业发生信息安全事件后,应当及时采取有效措施降低损害程度,防止事态扩大,尽可能保护好现场,按规定做好信息上报工作。
第十六条 电力企业应当按照国家有关规定,建立健全容灾备份制度,对关键系统和核心数据进行有效备份。
第十七条 电力企业应当建立网络与信息安全资金保障制度,有效保障信息系统安全建设、运维、检查、等级测评和安全评估、应急及其它的信息安全资金。
第十八条 电力企业应当加强信息安全从业人员考核和管理。从业人员应当定期接受相应的政策规范和专业技能培训,并经培训合格后上岗。
第四章 监督检查
第十九条 国家能源局及其派出机构依法对电力企业网络与信息安全
工作进行监督检查。
第二十条 国家能源局及其派出机构进行监督检查和事件调查时,可以采取下列措施:
(一)进入电力企业进行检查;
(二)询问相关单位的工作人员,要求其对有关检查事项作出说明;
(三)查阅、复制与检查事项有关的文件、资料,对可能被转移、隐匿、损毁的文件、资料予以封存;
(四)对检查中发现的问题,责令其当场改正或者限期改正。
第五章 附 则
第二十一条 本办法由国家能源局负责解释。
第二十二条 本办法自发布之日起实施,有效期五年。2007年12月4日原国家电力监管委员会发布的《电力行业网络与信息安全监督管理暂行规定》(电监信息〔2007〕50号)同时废止。
第三篇:国家电子政务外网网络与信息安全管理暂行办法
国家电子政务外网网络与信息安全管理暂行办法
第一章 总则
第一条 为加强国家电子政务外网(以下简称“国家政务外网”)网络与信息安全工作,根据国家信息安全的相关法律和法规,结合国家政务外网建设和运行的实际情况,制定本办法。第二条 国家政务外网分为中央政务外网和地方政务外网,本办法适用于各级政务外网建设、运维和管理单位(以下简称“各级政务外网单位”)。在国家政务外网上运行的各业务应用系统的运维和管理部门参照本办法的相关条款执行。
第三条 国家政务外网网络与信息安全工作要统筹规划、统一策略、分级建设,在国家信息安全主管部门的指导下,按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,分级管理、责任到人。国家信息中心负责中央政务外网网络与信息安全的保障工作,各级政务外网单位负责本级政务外网网络与信息安全的保障工作,接入政务外网的各级政务部门负责本部门网络与信息安全的保障工作。
第四条 各级政务外网单位在进行政务外网规划、设计和建设时应同步做好安全保障系统的规划、设计和建设,并落实好运行维护管理中的安全检查、等级测评和风险评估等经费。第五条 任何单位和个人,不得利用国家政务外网从事危害国家利益、集体利益和公民合法权益的活动,不得危害国家政务外网的安全。第二章 管理机构与职责
第六条 国家政务外网网络与信息安全管理工作实行领导负责制,各级政务外网单位应落实一名分管领导负责网络与信息安全工作。
第七条 国家信息中心政务外网工程建设办公室(以下简称“政务外网工程办”)负责协调、指导国家政务外网网络与信息安全工作,负责中央政务外网网络与信息安全管理工作,主要职责包括:
(一)贯彻执行国家信息安全的相关法律和法规,指导、协调和规范国家政务外网网络与信息安全工作;
(二)组织制定国家政务外网网络与信息安全总体规划、安全策略、标准规范和各项管理制度;
(三)负责联系国家信息安全主管部门,并接受其指导,向有关部门报告国家政务外网网络与信息安全重大事件;
(四)组织国家政务外网网络与信息安全等级保护工作,组织开展信息安全自查、检查和风险评估,对全网安全运行状况进行分析、研判和通报;
(五)负责中央级政务外网的网络与信息安全管理工作;
(六)建立和管理全国统一的电子认证服务体系;
(七)制定中央级政务外网网络与信息安全应急预案,组织开展应急演练;
(八)组织信息安全宣传、教育和培训。
第八条 各级政务外网单位的信息安全主管部门和负责单位应参照本办法第七条,确定本级政务外网信息安全管理机构及其职责。第三章 网络安全管理
第九条 国家政务外网与互联网实行逻辑隔离。第十条 按照业务安全需求,中央政务外网划分为互联网接入区、公用网络区和专用网络区等功能区域。地方政务外网均应按照业务应用需求,规划不同的功能区域,在各区域之间实现逻辑隔离和安全有效控制。
第十一条 中央和省级政务外网应达到信息安全等级保护第三级的要求。
第十二条 互联网接入区与互联网之间,按照统一的安全策略实现安全连接。第十三条 各级政务外网单位都要开展网络安全监控工作,及时发现、定位、分析、控制安全事件,定期向上一级管理部门汇报网络安全状况。
第十四条 各级政务部门的业务应用系统在接入政务外网前,应按照信息安全等级保护的要求,通过安全检查和风险评估。
第十五条 各级政务外网单位都应组织制定本级政务外网网络与信息安全应急预案并定期开展应急演练。
第十六条 各级政务外网单位都要加强安全审计工作,审计记录的保存时间不少于半年。第十七条 各级政务外网单位都要加强政务外网终端安全管理,必须安装计算机防病毒系统并及时更新补丁。对承担政务外网建设、运维和管理的所有终端应安装终端管理软件,实行统一管理。
第四章 业务应用系统安全管理
第十八条 国家政务外网承载各级政务部门非涉及国家秘密的业务应用系统和信息,不得存储、处理和传输涉及国家秘密的信息和数据。
第十九条 国家政务外网承载的业务应用系统应按照信息安全等级保护的要求,采取必要的安全保障措施,其信息安全由该系统所属部门负责。
第二十条 业务应用系统需要与国家政务外网的互联网接入区、公用区或专用区进行跨区数据交换时,应按照国家政务外网的安全要求采取相应的安全保障措施。第五章 网络信任体系管理
第二十一条 建立国家政务外网全网统一、分级管理的信任体系,实现身份认证、授权管理和责任认定,保障国家政务外网信息系统的应用安全。
第二十二条 在国家信息中心政务外网工程办设立国家政务外网数字证书中心。在省(部)级政务外网单位设立省(部)级政务外网数字证书分中心。
第二十三条 接入国家政务外网的业务应用系统需采用数字证书的,应使用国家政务外网数字证书;通过互联网接入国家政务外网的用户必须使用国家政务外网数字证书。第二十四条 国家政务外网数字证书中心依据国家相关规定编制《国家政务外网电子认证服务体系管理办法》和相关管理规范,省(部)级政务外网数字证书分中心应遵照规范对本级信任体系设施进行建设、运行和管理。
第二十五条 国家政务外网使用经国家密码管理局审定的商用密码。第六章 信息安全检查与通报
第二十六条 各级政务外网单位应当按照国家政务外网安全检查和风险评估统一要求,负责组织在本级政务外网开展定期或不定期的网络与信息安全自查与风险评估,配合上级主管部门和上一级政务外网单位做好本级政务外网的信息安全检查和风险评估工作。
第二十七条 各级政务外网单位应将信息安全检查结果及时报上一级政务外网单位。同时,按要求通报本地信息安全主管部门,并责成存在问题的单位进行整改。第二十八条 建立信息安全定期通报制度,及时向上一级政务外网单位通报重大信息安全事件。
第七章 人员管理
第二十九条 加强各级政务外网单位人员的信息安全教育,增强其信息安全意识。定期对从事信息安全工作人员开展专业技术培训,提高信息安全技能。
第三十条 对从事国家政务外网信息安全管理的人员按照“分工负责、职责明确、最小授权和任期有限”的原则进行管理。
第三十一条 各级政务外网单位应设置系统管理、安全管理和安全审计岗位,负责网络运行、安全和审计工作。系统管理员、安全管理员和安全审计员的权限设置应相互独立、相互制约。第三十二条 建立信息安全工作重要岗位上岗资格认定和审查制度。第三十三条 建立奖惩制度。对在信息安全工作中做出突出成绩的单位和个人予以表彰。对违反信息安全规定的责任人,责令其限期改正。对造成严重后果的责任人,由相关部门依照法律法规予以处理。第八章 附 则
第三十四条 各级政务外网单位应根据本办法,制定本地区政务外网网络与信息安全管理实施细则,并在实际运行中不断完善。
第三十五条 本办法由政务外网工程办负责解释。第三十六条 本办法自发布之日起开始执行。
第四篇:信息与网络管理中心信息安全保密管理办法
信息与网络管理中心信息安全保密管理办法
为加强信息化建设安全保密工作,维护集团安全和利益,结合信息化建设工作实际,特制定本管理办法。
一、信息安全与保密
1、建立信息系统安全等级保护制度,建立人员权限控制表,进行信息分级管理,不同级别的人员只能查看相应级别的数据;
2、发布任何信息必须经过合法的工作程序或主管领导的审批;
3、记录敏感数据的操作日志,并长期保存;
4、对数据中心的运行拓扑结构、服务器软硬件信息,包括操作系统和应用软件的配置等信息应分级管理并严格保密;
5、在开发、运行、维护过程中,每位成员要有保密意识,不该看的不看,不该说的不说;
6、禁止在自己管理的计算机(工作用机、服务器)上开设与工作无关的服务;
7、禁止在个人用机(笔记本电脑、台式 PC 机)上存放敏感数据;
8、系统管理员、数据库管理员、信息系统开发人员及相关人员不得对外宣扬本职工作所从事的具体内容;
9、所有上互联网的人员必须遵守国家有关法律法规的规定
10、如发生信息安全与保密事故,当事人立即向信息中心主任汇报,相关信息不得向无关人员透露。
二、数据安全
1、对存放敏感数据的运行服务器须严格管理。系统账号必须登记并定期检查;
2、严格控制对运行数据库和试运行库的直接访问。原则上只有运行服务室数据库管理人员、技术支持人员可以直接访问,其他人员访问数据库必须得到相关领导批准并备案;
3、建立数据备份制度,对数据进行定期备份,包括数据容灾备份;备份的数据应注意保密,不得随意存放;
4、运行数据库不得用于系统的开发调试;
5、测试数据库和开发数据库中不得存放敏感数据;
6、所有管理员(数据库系统、应用系统)应严格管理自己的帐号和密码,并定期更换密码;
7、管理员登录系统应采用加密方式;
8、不得利用邮件、移动存储介质、笔记本电脑等将数据中心的涉密资源带出办公室。
三、网络和服务器安全
1、设立信息系统安全保密责任人,加强对信息安全工作的组织落实;
2、设立信息安全管理员岗位,并制定相应的岗位职责;
3、建立数据中心网络信息安全防范体系,保证服务器特别是关键服务器的安全;
4、凡用于对外提供服务的服务器必须保留至两年的日志。
四、数据中心机房安全
1、对存放服务器的数据中心机房建立机房管理制度和严密的保安措施,无关人员严禁入内,相关人员进出机房必须有相应登记;
2、对信息备份的介质要专人保管,定期检查,防止丢失或受损;
3、加强机房日常管理,制定数据中心机房值班制度;
4、对于进出数据中心机房的设备必须经过严格的审批和登记手续。
五、办公环境安全
1、对于新装的计算机必须严格按照规范进行;
2、每位成员在其办公用机安装操作系统后,必须安装补丁程序、防病毒软件并进行安全检查。每位成员负责自己使用的办公用机的安全,及时更新补丁,升级相关软件及病毒库;
3、所有成员都有责任和义务保管好所使用的网络设施和计算机设备,非管理人员禁止随意更改设备配置,确保设备的正常稳定运行;
4、禁止未授权的其他人员接入中心的计算机网络以及访问网络中的资源;
5、IP 地址为计算机网络的重要资源,使用者应在管理员的规划下使用这些资源,不能擅自更改。某些系统服务对网络产生影响,使用者应在安全管理员的指导下使用,禁止随意开启计算机中的系统服务,保证计算机网络畅通运行;
6、计算机使用者应保管好分配给自己的用户账号和密码。禁止随意向他人泄露、借用自己的账号和密码,严禁不以真实身份登录系统。计算机使用者应定期更改密码、使用复杂密码。不得猜测他人的密码,不得使用黑客程序进行密码破解,不得窃取系统管理员的密码;
7、上网时必须将杀毒软件的实时监测功能打开;
8、接到可疑邮件时不要随意打开,以免感染病毒;
9、禁止利用扫描、监听、伪装等工具对网络和服务器进行恶意攻击,禁止非法侵入他人网络和服务器系统,禁止利用计算机和网络干扰他人正常上课和工作的行为。
第五篇:网络与信息安全
《网络与信息安全》复习资料
信息安全特征:完整性、保密性、可用性、不可否认性、可控性。保密学是研究信息系统安全保密的科学。
网络信息安全体系结构框架:安全控制单元、安全服务层面、协议层次。公钥密码:由两个密码组成,每个用户拥有一对选择密钥:加密密钥与解密密钥。公钥密码特点:(1)加密密钥和解密密钥在本质上是不同的,即使知道一个密钥,也不存在可以轻易地推导出另一个密钥的有效算法。(2)不需要增加分发密钥的额外信道。公布公钥空间,不影响公钥系统的保密性,因为保密的仅是解密密钥。公钥密码系统应具备两个条件:(1)加密和解密交换必须满足在计算上是容易的。(2)密码分析必须满足在计算机上是困难的。协议:两个或两个以上的主体为完成某一特定任务共同发起的某种协约或采取的一系列步骤。协议的特征:(1)至始至终有序进行。(2)协议成立至少要有两个主体。(3)协议执行要通过实体操作来实现。数字签名与手写签名的区别:(1)签名实体对象不同。(2)认证方式不同。(3)拷贝形式不同。
签名算法的三个条件:(1)签名者事后不能否认自己的签名。(2)任何其他人都不能伪造签名,接收者能验证签名。(3)当签名双方发生争执时,可由公正的第三方通过验证辨别真伪。
不可否认数字签名:没有签名者的合作,接收者就无法验证签名,某种程度上保护了签名者的利益,从而可防止复制或散布签名文件的滥用。
不可否认数字签名方案由三部分组成:数字签名算法、验证协议、否认协议。
散列函数:一种将任意长度的消息压缩为某一固定长度的消息摘要的函数。消息认证码:满足某种安全性质带有密钥功能的单向散列函数。身份证明分两大娄:身份证实、身份识别。信息隐藏:把一个有含义的信息隐藏在另一个载体信息中得到隐密载体的一种新型加密方式。
信息隐藏的两种主要技术:信息隐秘术、数字水印术。数字水印技术:指用信号处理的方法在数字化的多媒体数据中嵌入隐藏标识的技术。
三种数字水印:(1)稳健的不可见的水印。(2)不稳健的不可见的水印。(3)可见的水印。
数字水印三个特征:(1)稳健性。(2)不可感知性。(3)安全可靠性。
数字水印三个部分:(1)水印生成。(2)水印嵌入。(3)水印提取(检测)。
密钥管理的基本原则:(1)脱离密码设备的密钥数据应绝对保密。(2)密码设备内部的密钥数据绝对不外泄。(3)密钥使命完成,应彻底销毁、更换。常用密钥种类:(1)工作密钥。(2)会话密钥。(3)密钥加密密钥。(4)主机主密钥。
公开密钥分发:(1)广播式密钥分发。(2)目录式密钥分发。(3)公开密钥机构分发。(4)公开密钥证书分发。密钥保护方法:(1)终端密钥保护。(2)主机密钥保护。(3)密钥分级保护管理。
秘密共享方案:将一个密钥K分成n个共享密钥K1、K2……Kn,并秘密分配给n个对象保管。密钥托管技术:为用户提供更好的安全通信方式,同时允许授权者为了国家等安全利益,监听某些通信和解密有关密文。密钥托管加密体制由三部分组成:用户安全分量、密钥托管分量、数据恢复分量。密钥管理:指对于网络中信息加密所需要的各种密钥在产生、分配、注入、存储、传送及使用过程中的技术和管理体制。
保密通信的基本要求:保密性、实时性、可用性、可控性。密码保护技术:密码校验、数字签名、公证消息。通信保密技术:(1)语音保密通信(模拟置乱技术、数字加密技术)。(2)数据保密通信。(3)图像保密通信(模拟置乱、数字化图象信号加密)。网络通信加密的形式:(1)链路加密。(2)端-端加密。(3)混合加密。网络通信访问基本控制方式:(1)连接访问控制。(2)网络数据访问控制。(3)访问控制转发。(4)自主访问控制与强制访问控制。接入控制功能:(1)阻止非法用户进入系统。(2)允许合法用户进入系统。(3)使合法用户按其权限进行活动。接入控制策略:(1)最小权限策略。(2)最小泄漏策略。(3)多级安全策略。接入控制技术方法:(1)用户标识与认证。(2)身份认证特征(口令认证方式、协议验证身份)。
PGP的五种功能:认证性、机密性、压缩、Email兼容性、分段与重组。IP层安全功能:鉴别服务、机密性、密钥管理。
安全套接层SSL提供的安全服务:信息保密、信息完整性、相互认证。
PPDR-A模型五要素:安全策略、安全监测、安全反应、安全防御、安全对抗。操作系统安全访问控制:测试程序访问控制、操作系统的访问权限控制、保护机制的访问控制、用户认证访问控制。
安全操作系统设计四环节:安全模型、安全设计、安全确认、正确实施。安全网络平台种类:Windows NT、UNIX、Linux。(Linux兼容性好、源代码开放、安全透明)。
数据库安全条件:数据独立性、数据安全性、数据完整性、数据使用性、备份与恢复。
VPN(虚拟专用网)核心技术:隧道技术、密码技术、管理技术。
政务网的特点:信息公众化、信息机关化、信息存储量大、保密程度高、访问密级多样化。
政务网建设的三个安全域:(1)涉密域。(2)非涉密域。(3)公共服务域。
黑客攻击:指黑客利用系统漏洞和非常规手段,进行非授权的访问行为和非法运行系统或非法操作数据。
防黑客攻击几种防范技术:安全性设计保护、先进的认证技术、扫描检测审计技术。
常规网络扫描工具:SATAN扫描工具、Nessus安全扫描器、nmap扫描器、strobe扫描器。网络监听工具:NetXRay、Sniffit。防火墙:在网络安全边界控制中,用来阻止从外网想进入给定网络的非法访问对象的安全设备。包括网络级包过滤防火墙和应用级代理防火墙。
密罐:用来观察黑客如何入侵计算机网络系统的一个软件“陷阱”,通常称为诱骗系统。
计算机病毒:指编制或者在计算机程序中插入的破坏计算机功能或者数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。病毒检测方法:比较法、搜索法、辨别法、分析法。
电子商务安全要求:可靠性、真实性、机密性、完整性、有效性、不可抵赖性、可控性。
电子商务安全服务:鉴别服务、访问控制服务、机密性服务、不可否认服务。电子商务基本密码协议:密钥安全协议、认证安全协议、认证的密钥安全协议。国际通用电子商务安全协议:SSL安全协议、SET安全协议、S-HTTP安全协议、STT安全协议。
电子商务实体要素:持卡人、发卡机构、商家、银行、支付网关、认证机构。
点击咨询 