第一篇:濮阳市网络信息安全规定
濮阳市中小学计算机网络信息安全规定
第—章 总则
第一条 为加强对我市中小学校园计算机网络及信息安全保护,有效使用各种网络资源,保障校园计算机网络的健康、有序发展,推进我市教育信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网安全保护管理办法》精神,结合我市中小学教育信息化的实际情况,针对校园计算机网络及信息安全管理,制定本规定。
第二条 本管理制度所称的校园网络系统,是指由校园网络设备、配套的网络线缆设施、网络服务器、工作站、学校网站所构成的,为校园网络应用目标及规则服务的硬件、软件的集成系统。
第三条 本规定适用于我市行政区域内的所有中小学。
第二章 安全组织
第四条 濮阳市教育信息化工作领导小组负责濮阳市行政区域内的中小学校园计算机网络及信息的安全保护管理的领导工作,濮阳市教育信息化工作领导小组办公室负责相应的技术支持、监督和协调工作。濮阳市行政区域内的中小学校园计算机网络及信息的安全保护管理,适用本规定。
算机病毒及其他有害数据破坏计算机的正常工作。
第十三条 未经公安机关计算机管理监察部门批准,不准搜集计算机病毒,研究、剖析、讲解计算机病毒机理。不得进行计算机病毒演示,或让学生实习中进行相关的操作。
第十四条 对联网的计算机及其网络设备和通讯设备的安 装、使用,应建立健全安全保护管理制度,落实安全保护措施。
第十五条 任何单位和个人不得在校园网及其连网计算机上录阅传送有政治问题和淫秽色情内容的信息。
第十六条 不得随意将网络服务器、工作站上的系统软件、应用软件转录、传递到校外。
第十七条 校园网应使用具有合法版权的软件,维护知识产权。
第十八条 计算机工作人员调离时,必须按规定移交全部技术资料和有关数据,设有口令和密钥的要及时进行更换。涉及科研、开发及其他重要业务的技术人员调离时,应确认对业务不会造成危害后方可调离。
第十九条 发生重大计算机事故,应及时填写《计算机事故报告表》,报教育主管部门和公安机关计算机管理监察部门。
第四章 法律责任
第二十条 违反安全管理规定的,教育主管部门和公安机关给予警告,限期整改。
第二十一条 故意输入计算机病毒,造成危害校园网安全的
第二篇:濮阳市中小学网络信息安全管理规定
濮阳市中小学网络信息安全管理规定
第一章
总则
第一条
为加强对我市中小学网络信息安全保护,有效使用各种网络资源,保障中小学网络的健康、有序发展,推进我市教育信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网安全保护管理办法》和《河南省计算机信息系统安全保护办法》精神,结合我市中小学教育信息化的实际情况,针对中小学网络信息安全管理,制定本规定。
第二条
本管理制度所称的校园网络系统,是指由校园网络设备、配套的网络线缆设施、网络服务器、工作站、学校网站所构成的,为校园网络应用目标及规则服务的硬件、软件的集成系统。
第三条
本规定使用于我市行政区域内的所有中小学。
第二章
安全组织
第四条
濮阳市教育信息化工作领导小组负责濮阳市行政区域内的中小学网络信息安全管理的领导工作,濮阳市教育信息化工作领导小组办公室负责相应的技术支持、监督和协调工作。濮阳市行政区域内的中小学网络信息安全管理,适用本规定。
第五条
各区县可成立相应的教育信息化领导机构,并负责本区县的中小学网络信息安全管理的领导工作。
第六条
各学校必须建立由主管校长任组长、相关部门领导参加的计算机安全领导小组,并确定一个职能部门负责日常计算机安全管理工作。学校各部门应设立计算机安全专管员。对安全专管员要明确职责和任务,并进行必要的安全知识培训。
第七条
学校应经常对学生进行计算机安全教育,有条件的学校应设立有关计算机安全课程,学生计算机安全管理法律、法规,提高师生的法律意识。
第三章
安全管理
第八条
建立重要计算机机房的值班及人员出入管理登记制度。第九条
与校园网相连的计算机房建设应当符合国家的有关标准和规定。
第十条
重要数据要建立数据备份制度,并做到异地、异人保存。第十一条
贮有重要数据的设备故障,需外单位人员修理时本单位必须有人在场监督。
第十二条
要积极采取预防计算机病毒的相关措施,防止计算机病毒及其他有害数据破坏计算机的正常工作。
第十三条
未经公安机关计算机管理监察部门批准,不准搜集计算机病毒,研究、剖析、讲解计算机病毒机理。不得进行计算机病毒演示,或让学生实习中进行相关的操作。
第十四条
对联网的计算机及其网络设备和通讯设备的安装、使用,应建立健全安全保护管理制度,落实安全保护措施。
第十五条
任何单位和个人不得在校园网及其连网计算机上录阅传送有政治问题和淫秽色情内容的信息。
第十六条
不得随意将网络服务器、工作站上的系统软件、应用软件转录、传递到校外。
第十七条
校园网应使用具有合法版权的软件,维护知识产权。第十八条 计算机工作人员调离时,必须按规定移交全部技术资料和有关数据,设有口令和密钥的要及时进行更换。涉及科研、开发及其他重要业务的技术人员调离时,应确认对业务不会造成危害后方可调离。
第十九条
发生重大计算机事故,应及时填写《计算机事故报告表》,报教育主管部门和公安机关计算机管理监察部门。
第四章
法律责任
第二十条
违反安全管理规定的,教育主管部门和公安机关给予警告,限期整改。
第二十一条
故意输入计算机病毒,造成危害校园网安全的按《中华人民共和国计算机信息系统安全保护条例》中第二十三条的规定予以处罚。
第二十二条
对于运行无合法版权的网络软件而引起的版权纠纷由网络服务器、工作站的管理单位(及个人)承担责任。
第二十三条
任何单位或个人违反本规定,给学校校园网系统造成损失的,应当依法承担民事责任。
第五章
附则
第二十四条
本规定自印发之日起执行。
第三篇:濮阳市中小学校园计算机网络及信息安全管理规定(最终版)
濮阳市中小学校园计算机网络及信息安全管理规定
了加强对我市中小学校园计算机网络及信息安全保护,有效使用各种网络资源,保障校园计算机网络的健康、有序发展,推进我市教育信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网安全保护管理办法》和《河南省计算机信息系统安全保护办法》精神,结合我市中小学教育信息化的实际情况,针对校园计算机网络及信息安全管理,制定本规定。
第一条濮阳市教育信息化工作领导小组负责濮阳市行政区域内的中小学校园计算机网络及信息的安全保护管理的领导工作,合肥市教育信息化工作领导小组办公室负责相应的技术支持、监督和协调工作。濮阳市行政区域内的中小学校园计算机网络及信息的安全保护管理,适用本规定。
第二条各区县可成立相应的教育信息化领导机构,并负责本区县的中小学校园计算机网络及信息的安全保护管理的领导工作。
第三条建立校园计算机网络或有对外发布的学校主页以及开办网校的学校应报市教育信息化办公室登记备案,并负责本校网络或主页的安全管理。
第四条建立校园计算机网络的学校应成立以学校领导为组长,保卫、网络管理等人员参加的网络安全管理小组。学校必须设置至少两名经过统一培训的网络专业管理人员,负责学校网络的使用及审查上网信息。为便于统一组织和协调,各学校须指定一名联络员负责与教育信息化办公室的联系并及时向合肥教育信息网报送相关的学校信息,联络人员如有变动,要及时报市教育信息化办公室备案。
第五条建立校园计算机信息网络的学校应当建立健全安全管理制度、培训制度,包括对所发布的信息进行登记、并对所提供的信息内容按照有关规定进行审核的制度、上网信息日常检查制度、安全事故和案件报告制度、黑客入侵和有害信息上报制度、对网络用户进行安全教育培训制度、网络机房管理制度等。发现问题应及时处理,对计算机信息系统中发生的案件应当在24小时内向公安机关报告,并报市教育信息化办公室登记备案。
第六条校园计算机网络进行国际联网(以下简称国际联网)的中小学应当加强对教师和学生的网络安全和保密知识教育培训。校园计算机网络仅用于教学、科研和管理等非营利性活动,严禁利用网络从事违反国家法律法规、危害国家安全、泄露国家机密、干扰其他网络用户、破坏网络资源和破坏网络设备及侵犯知识产权的活动;严禁利用网络从事商业活动;严禁在网络上发布、传播有害数据或应该审查而未经审查的数据;不得查阅、复制和传播有碍社会治安、败坏社会风气的信息;不得在网络上公布不真实的信息、散布计算机病毒、使用网络进入未经授权使用的计算机、以不真实身份使用网络资源等。
第七条建立网站的学校应当有专人管理,并建立管理责任制。在BBS服务器上,采取有效的身份识别、安全审计措施。在电子邮件、新闻组、WWW服务器上采取有效的安全防护和信息过滤技术,应当有安全审计功能。网络系统应当建立用户上网日志记录。
第八条涉密的信息、文件不得上网,确定密级的界限应根据国家保密法和国家保密局的有关法规、规定执行。单位载有秘密(含秘密级以上)信息的计算机不得上网,用于上网的计算机要与内部局域网物理上隔断。
第九条 各重要的网络和信息系统应当采取备份措施,应当有处理突
发事故的应急措施和灾难恢复措施。
第十条校园计算机网络建设,应当符合国家的有关标准和规定,在电源防护、防盗、防火、防水、防尘、防震、防静等方面,采取规范的技术保护措施。
第十一条各中小学在信息技术课中应当有计算机信息系统安全保护方面的教学内容。
第十二条各联网学校应根据市教育信息化办公室的规定,利用我市教育系统内部的办公自动化系统每天定时接收市教育局的相关信息以及上报学校信息。
第十三条市属学校新建计算机网络或对外发布的网站前,应将规划情况和技术方案报市教育信息化办公室审核。
第十四条其他教育单位计算机网络及信息安全工作可参照本规定执行。
第十五条本规定自颁布之日起施行。
第四篇:人员网络及信息安全管理规定..
XXXX单位或公司企业标准
人员网络及信息安全管理规定
2014-10-25发布
2014-11-01实施
XXXX单位或公司 发布
Q/JYG/GL-XX-20-2014.a
前 言
本标准由XXXX单位或公司标准化管理委员会提出。本标准由XXXX单位或公司XXXX部门起草并归口管理。本标准主要起草人: 本标准由 XXX批准。
本标准首次发布于2014年10月25日,自本标准发布之日起,《信息系统操作人员安全管理规定》同时废除。
II
Q/JYG/GL-XX-20-2013.a 人员网络及信息安全管理规定 范围
为规范公司信息系统安全人员管理,保障公司信息安全,根据《信息安全等级保护管理办法》、《信息系统安全管理要求》(GB/T19715.2--2005)以及公司相关规章制度,制订本规定。
本标准规定了本企业内部人员、第三方运维人员等安全管理的相关内容,包括工作岗位风险分级、人员审核、人员录用、保密协议、人力调动、人员离职、人员考核、安全意识教育和培训、第三方人员安全等。
本标准适用于本企业内部人员及第三方人员的管理与考核。2 规范性引用文件
无规范性引用文件,保留本条款的目的是保持本公司标准结构的一致,便于今后的修订。3 术语和定义 3.1 人员安全
是指通过管理和控制,确保单位内部人员(特别是信息系统的管理维护人员)和第三方人员在安全意识、能力和素质等方面都满足工作岗位的要求。3.2 第三方人员
是指来自外单位的专业服务机构,为本单位提供应用系统开发、网络管理和安全支持等信息技术外包服务的工作人员。3.3 安全教育和培训
是通过宣传和教育的手段,确保相关工作人员和信息系统管理维护人员充分认识信息安全的重要性,具备符合要求的安全意识、知识和技能,提高其进行信息安全防护的主动性、自觉性和能力。4 机构和职责
4.1 信息化建设项目实施小组 4.1.1 4.1.2 4.1.3 负责指导公司及两厂信息系统操作人员安全管理工作; 负责执行公司信息安全检查及管理工作;
研究国家和行业的信息安全政策法规,组织有关部门讨论来保证其符合性。
4.2 人力资源部 4.2.1 4.2.2 4.2.3 负责组织各部门编制部门所属员工的工作职能; 负责员工的专业资质审查、招聘和岗位技能培训等; 负责员工离职、调动的审查和批准等。
4.3 XXXX部门 4.3.1 负责检查各部门的信息安全工作落实情况;
Q/JYG/GL-XX-20-2013.a 4.3.2 4.3.3 4.3.4 4.3.5 4.3.6 负责对人员在岗时的信息安全相关工作记录进行检查; 负责对信息系统关键人员进行定期培训和考核工作; 负责第三方人员信息安全管理工作;
负责工作岗位风险状态分级及划分信息系统安全职责工作;
负责普及信息安全防范意识,并针对信息安全违规事件向公司提出处理建议。
4.4 其他部门 4.4.1 4.4.2 4.4.3 4.4.4 负责接受信息安全教育和培训、以及配合定期的信息安全抽查工作; 负责部门人员在岗时的信息安全管理;
负责定期组织针对本部门信息系统工作人员的技能考核工作; 负责部门人员在岗、离岗或调动后的资产管理及记录存档工作。人员安全管理 5.1 人员录用 4.4.5 4.4.6 信息化建设项目实施小组负责指导人力资源部信息安全工作人员的录用工作; 人力资源部对拟录用信息系统岗位人员身份、背景、专业资格和资质等方面进行审查,并进行技能考核; 4.4.7 人员录用前的审查标准为:具有基本的专业技术水平,接受过安全意识教育和培训,能够掌握安全管理基本知识。信息系统关键岗位人员还应具备较好的思想品质以及基本的系统安全风险分析、评估能力; 4.4.8 从事关键岗位或负责核心系统、机房等重要区域的人员,须从内部人员选拨,应具备认真负责的工作态度、较高的职业道德水准; 4.4.9 由人力资源部及XXXX部门对信息安全人员进行入职培训,包括信息安全规章制度的教育培训等,并将制度掌握等培训情况纳入到试用期考核。5.2 在职人员 5.2.1 5.2.2 5.2.3 各部门领导负责本部门人员信息安全管理工作,确保岗位信息安全职责的落实; 各部门应对人员领用资产的情况做相应记录,在人员归还信息资产时消除记录; XXXX部门定期组织抽查内部人员权限分配情况,如发现权限分配不合理,立即通知相关部门进行修改; 5.2.4 XXXX部门信息系统管理员应严格执行相关操作手册,进行日常运维操作。
5.3 人员调动 5.3.1 义务; 5.3.2 工作人员内部调动至其他岗位时,在接到岗位调动通知后,应于一个月内依据调动程序工作人员岗位调动后,须办理严格的调动手续,关键岗位人员离岗须承诺调离后的保密办理工作资料、软硬件设备等移交手续;
Q/JYG/GL-XX-20-2013.a 5.3.3 被调动人员持有原岗位钥匙、公司文件和设备等硬件资产由所在部门收回,并做好岗位交接记录; 5.3.4 由被调动人员填写《信息系统权限变更表》,经原部门以及人力资源部审批后,上报至XXXX部门,由XXXX部门负责对其信息系统访问授权进行调整,并回收相关软件; 5.3.5 项; 5.3.6 工作人员岗位调动后,还应承担原岗位的保密责任,参见附件《保密协议》。工作人员信息系统权限变动后,XXXX部门须告知其信息安全责任的变化和新的注意事5.4 人员离职 5.4.1 工作人员离职后,须办理严格的离职手续,管理层和关键岗位人员离职须承诺调离后的保密义务; 5.4.2 5.4.3 录; 5.4.4 由离职人员填写《信息系统权限变更表》,经原部门及人力资源部审批后,上报至XXXX工作人员离职时,应于一个月内依据离职程序办理工作资料、软硬件设备等移交手续; 由所在部门收回离职人员持有原岗位钥匙、公司文件和设备等硬件资产,并做好交接记部门,由XXXX部门负责删除其信息系统权限,并回收相关软件; 5.4.5 工作人员离职后,须由XXXX部门进行安全审查,在规定的脱密期限后方可离职;涉密人员的脱密期限遵照有关保密规定签署书面保密承诺书,承诺调离后对原来工作中涉及信息的保密要求,参见《保密协议》。5.5 人员考核 5.5.1 各部门每年组织一次针对本部门信息系统工作人员的定期考核,对各个岗位的人员进行不同侧重的安全认知和安全技能考核,作为人员是否适合当前岗位的参考; 5.5.2 XXXX部门每年组织一次针对关键岗位人员的定期审查和技能考核,审查依据记录表格和操作日志,如发现其违反安全规定,应查明原因,令其做出整改承诺,严重者不得继续从事关键岗位工作。
5.6 安全意识教育和培训 5.6.1 XXXX部门应根据各岗位的信息安全角色和职责,制定该岗位所需的信息安全培训计划,并对安全教育和培训情况及结果进行记录。培训内容包括安全意识教育、岗位技能培训和相关安全技术培训; 5.6.2 XXXX部门应在工作人员被授予访问权限之前,依据其安全角色和职责,进行针对性的安全教育和安全培训; 5.6.3 信息安全培训内容包括但不仅限于以下几方面:
1)信息安全基础知识、岗位操作规程、信息系统使用规范; 2)公司信息安全方针、策略与信息安全目标的宣贯培训;
3)信息安全专题培训(如病毒防范培训、访问控制培训、等级保护培训等);
Q/JYG/GL-XX-20-2013.a 4)岗位安全责任、操作技能及相关技术; 5)违反违背安全策略和安全规定的惩戒措施。5.7 工作岗位风险分级 5.7.1 XXXX部门应根据不同岗位的性质,结合各个信息系统的安全需求,规定其信息安全风险级别并针对不同的岗位风险级别赋予信息访问权限; 5.7.2 各部门应在日常工作中落实有关工作岗位的风险分级规定内容,所有工作人员应当明确自己所在岗位的信息访问权限; 5.7.3 投资根据公司岗位信息安全级别和业务特点,确定公司岗位信息安全职责。信息安全职责应包括以下内容:
1)在公司信息安全管理组织架构中的职责; 2)在执行公司信息安全方针和目标方面的职责;
3)在遵守国家、地方各种信息安全相关法律法规方面的职责;
4)在保护公司信息资产免受未授权访问、泄露、修改、销毁或干扰方面的职责; 5)执行特定的安全过程或活动方面的职责; 6)在报告信息安全事故和弱点方面的职责。5.8 工作协议 5.8.1 对各部门涉及合同约定事项中有信息安全的要求时,各部门要与本部门工作人员(如果尚未签订)及相关外部单位签署保密协议(保密协议中各项条款可根据具体项目具体编制); 5.8.2 XXXX部门应在重要信息系统的管理维护和使用人员在上岗前,应严格按照信息安全规章制度中的有关规定前述工作协议; 5.8.3 根据岗位制定相应的保密协议或保密承诺书,保密协议可包括以下方面的内容:
1)—岗位所要保护的信息; 2)—协议有效期;
3)—协议终止时所应采取的措施; 4)—为避免泄密,签字人的职责和行为;
5)—保密协议与知识产权保护、商业秘密保护的关系; 6)—涉密信息的许可使用,及签字人使用信息的权力; 7)—对涉密信息的活动的审核和监视; 8)—涉密信息泄露或被破坏后的处理程序; 9)—协议终止时信息的归档或销毁的措施; 10)—违反协议后应采取的措施;
11)应规定工作协议的内容(保密协议条款、操作流程和规范),管理和落实工作协议的部门,以及前述工作协议的流程。
5.9 第三人人员管理
Q/JYG/GL-XX-20-2013.a 5.9.1 第三人员在访问受控区域前,应向XXXX部门提出书面申请,经批准后,由专人全程陪同或监督,并登记备案。
5.9.2 第三人人员不得将与工作无关的物品带入机房,携带工作必需品进入机房须登记,并接受检查。
5.9.3 第三方人员非因工作需要不得进入机房,不得对重要信息系统进行维护性逻辑访问。5.9.4 第三方人员进入本单位开始工作前,应与其所在单位签订保密协议,并要求第三方人员所在单位与公司签订保密协议或在在合同内容中明确。
5.9.5 XXXX部门应采取必要的管理和技术手段,对第三方人员是否遵守安全要求进行检查监督。5.9.6 各部门应按照公司有关信息安全管理规定以及合同要求,对外协人员进行监督和检查,并就安全违规情况按合同条款中的要求进行处理。
5.9.7 第三方人员的权限按《信息系统开发安全管控办法》进行分配与管理。
5.9.8 XXXX部门定期组织检查所有外部人员权限分配情况,并将抽查结果进行记录。如发现权限分配不合理,立即通知相关人员进行权限修改。
5.10 信息安全违规的处理
5.9.9 违反本规定,发生信息安全事故的,按照事故造成的损失和后果,依据国家有关法律法规进行处罚;
5.9.10 除进行处罚外,XXXX部门应在全公司内就类似违规事件进行宣传教育,避免同类问题再次发生。
附:
Q/JYG/GL-XX-20-2013.a XXXX单位或公司保密协议书
甲方:XXXX单位或公司 公司地址: 乙方: 身份证号码:
根据《中华人民共和国劳动法》、《中华人民共和国反不正当竞争法》、《中华人民共和国保密法》、《关于禁止侵犯商业秘密行为的若干规定》、《中华人民共和国电信条例》等相关法律、法规,甲、乙双方在平等、自愿的原则下订立以下协议,以资共同遵守。
一、保密义务
乙方为XXXX单位或公司正式员工,或为XXXX单位或公司提供相关系统开发、集成、运维等技术支持,XXXX单位或公司根据国家有关法律法规及公司的规章制度,按确定的工作职责,向乙方开放其职责范围内的技术及商业信息。
乙方同意为XXXX单位或公司利益尽最大的努力,不从事任何危害电信安全的行为,不从事任何不正当使用商业秘密或技术秘密的行为。
二、保密的范围
乙方因工作关系获得或交换所得XXXX单位或公司在经营管理过程中,未向社会公开或只在一定范围内公开的任何信息、经验、技术和资料,包括建设和经营计划、重要会议内容、重要公文内容、招投标方案、技术方案、财务数据、营销策略、用户信息、公司技术、工程、经营、文书、人事档案等一切有关XXXX单位或公司商业、技术及经营管理秘密的信息。国家法律、法规规定的涉及通信保密和网络安全的内容。
三、保密信息的使用
(一)乙方在XXXX单位或公司工作期间:
1、保证不擅自发表、不泄漏有关XXXX单位或公司及其客户的任何秘密,不使他人获得、使用或计划使用这些信息,并尽最大努力确保资料不遗失、不缺损;
2、在XXXX单位或公司指示和业务范围内,可以允许进行商业秘密和技术秘密的交流,但不得:直接或间接地向XXXX单位或公司内部、外部的无关人员泄漏;不得为私人利益使用或计划使用;不得复制或公开包含XXXX单位或公司商业秘密和技术秘密的文件或文件副本;对工作中所保管、接触的有关XXXX单位或公司或XXXX单位或公司公司客户的文件应妥善对待,未经许可不得超出工作范围使用;不得以第三方的身份直接或间接参与同公司竞争的行为。
(二)乙方无论因何种原因结束在XXXX单位或公司的工作时,都应及时将所有与XXXX单位或公司经营活动有关的文件、记录或材料(包括个人笔记和复印的资料、电子文档等)归还给XXXX单位或公司。
Q/JYG/GL-XX-20-2013.a
四、时效及时效期间内应遵守的准则
鉴于XXXX单位或公司拥有的商业秘密和技术秘密在竞争中有重要价值,存在于劳动关系存续期间和终止、解除之后,因此乙方同意:上述义务在乙方受聘或受委托于XXXX单位或公司工作期间有效,对重要的商业秘密和技术秘密长期有效。
五、违约责任
乙方违反本协议项下的任何规定,XXXX单位或公司都有权:
(一)责令乙方停止违约或侵权行为;
(二)视情节处以年总收入以下的罚款,扣发奖金或其他纪律处分、行政处分直至开除;
(三)要求乙方赔偿其违约或侵权行为而导致的一切经济损失及其可能的寻求法律救助过程中发生的一切费用,其中包括律师费用、诉讼费用;
(四)触犯法律的,提请有关部门追究其法律责任。
六、争议的解决办法
因执行本协议而发生纠纷,可以由双方协商解决。协商、调解不成或者一方不愿意协商、调解的,任何一方都有提起诉讼的权利。
七、如乙方与XXXX单位或公司原签订《保密协议书》,自本协议签订之日起原协议同时废止。原有XXXX单位或公司规章制度与本协议有冲突的,以本协议为准,无冲突的,仍继续有效。
八、协议效力
本协议一式两份,甲乙双方各执一份。自甲乙双方签章之日起生效,两份协议具有同等法律效力。
甲方法人代表或委托代理人 乙方(签字或盖章):
(签字或盖章):
签订日期:年 月 日 签订日期: 年 月 日
第五篇:网络信息安全
网络信息安全
信息安全是指为建立信息处理系统而采取的技术上和管理上的安全保护,以实现电子信息的保密性、完整性、可用性和可控性。当今信息时代,计算机网络已经成为一种不可缺少的信息交换工具。然而,由于计算机网络具有开放性、互联性、连接方式的多样性及终端分布的不均匀性,再加上本身存在的技术弱点和人为的疏忽,致使网络易受计算机病毒、黑客或恶意软件的侵害。面对侵袭网络安全的种种威胁,必须考虑信息的安全这个至关重要的问题。
网络信息安全分为网络安全和信息安全两个层面。网络安全包括系统安全,即硬件平台、操作系统、应用软件;运行服务安全,即保证服务的连续性、高效率。信息安全则主要是指数据安全,包括数据加密、备份、程序等。
1.硬件安全。即网络硬件和存储媒体的安全。要保护这些硬设施不受损害,能够正常工作。
2.软件安全。即计算机及其网络中各种软件不被篡改或破坏,不被非法操作或误操作,功能不会失效,不被非法复制。
3.运行服务安全。即网络中的各个信息系统能够正常运行并能正常地通过网络交流信息。通过对网络系统中的各种设备运行状况的监测,发现不安全因素能及时报警并采取措施改变不安全状态,保障网络系统正常运行。
4.数据安全。即网络中存储及流通数据的女全。要保护网络中的数据不被篡改、非法增删、复制、解密、显示、使用等。它是保障网络安全最根本的目的。
1.防火墙技术。防火墙(Firewall)是近年来发展的最重要的安全技术,它的主要功能是加强网络之间的访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络(被保护网络)。它对两个或多个网络之间传输的数据包和链接方式按照一定的安全策略对其进行检查,来决定网络之间的通信是否被允许,并监视网络运行状态。简单防火墙技术可以在路由器上实现,而专用防火墙提供更加可靠的网络安全控制方法。
防火墙的安全策略有两条。一是“凡是未被准许的就是禁止的”。防火墙先是封闭所有信息流,然后审查要求通过的信息,符合条件的就让通过;二是“凡是未被禁止的就是允许的”,防火墙先是转发所有的信息,然后再逐项剔除有害的内容,被禁止的内容越多,防火墙的作用就越大。网络是动态发展的,安全策略的制定不应建立在静态的基础之上。在制定防火墙安全规则时,应符合“可适应性的安全管理”模型的原则,即:安全=风险分析+执行策略+系统实施+漏洞监测+实时响应。防火墙技术主要有以下三类:
●包过滤技术(Packct Filtering)。它一般用在网络层,主要根据防火墙系统所收到的每个数据包的源IP地址、目的IP地址、TCP/UDP源端口号、TCP/UDP目的端口号及数据包中的各种标志位来进行判定,根据系统设定的安全策略来决定是否让数据包通过,其核心就是安全策略,即过滤算法的设计。
●代理(Proxy)服务技术。它用来提供应用层服务的控制,起到外部网络向内部网络申请服务时的中间转接作用。内部网络只接受代理提出的服务请求,拒绝外部网络其它节点的直接请求。运行代理服务的主机被称为应用机关。代理服务还可以用于实施较强的数据流监控、过滤、记录等功能。
●状态监控(Statc Innspection)技术。它是一种新的防火墙技术。在网络层完成所有必要的防火墙功能——包过滤与网络服务代理。目前最有效的实现方法是采用 Check Point)提出的虚拟机方式(Inspect Virtual Machine)。
防火墙技术的优点很多,一是通过过滤不安全的服务,极大地提高网络安全和减少子网中主机的风险;二是可以提供对系统的访问控制;三是可以阻击攻击者获取攻击网络系统的有用信息;四是防火墙还可以记录与统计通过它的网络通信,提供关于网络使用的统计数据,根据统计数据来判断可能的攻击和探测;五是防火墙提供制定与执行网络安全策略的手段,它可以对企业内部网实现集中的安全管理。
防火墙技术的不足有三。一是防火墙不能防止绕过防火墙的攻击;二是防火墙经不起人为因素的攻击。由于防火墙对网络安全实施单点控制,因此可能受到黑客的攻击;三是防火墙不能保证数据的秘密性,不能对数据进行鉴别,也不能保证网络不受病毒的攻击。
2.加密技术。数据加密被认为是最可靠的安全保障形式,它可以从根本上满足信息完整性的要求,是一种主动安全防范策略。数据加密就是按照确定的密码算法将敏感的明文数据变换成难以识别的密文数据。通过使用不同的密钥,可用同一加密算法,将同一明文加密成不同的密文。当需要时可使用密钥将密文数据还原成明文数据,称为解密。
密钥加密技术分为对称密钥加密和非对称密钥加密两类。对称加密技术是在加密与解密过程中使用相同的密钥加以控制,它的保密度主要取决于对密钥的保密。它的特点是数字运算量小,加密速度快,弱点是密钥管理困难,一旦密钥泄露,将直接影响到信息的安全。非对称密钥加密法是在加密和解密过程中使用不同的密钥加以控制,加密密钥是公开的,解密密钥是保密的。它的保密度依赖于从公开的加密密钥或密文与明文的对照推算解密密钥在计算上的不可能性。算法的核心是运用一种特殊的数学函数——单向陷门函数,即从一个方向求值是容易的,但其逆向计算却很困难,从而在实际上成为不可能。
除了密钥加密技术外,还有数据加密技术。一是链路加密技术。链路加密是对通信线路加密;二是节点加密技术。节点加密是指对存储在节点内的文件和数据库信息进行的加密保护。
3.数字签名技术。数字签名(Digital Signature)技术是将摘要用发送者的私钥加密,与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要。在电子商务安全保密系统中,数字签名技术有着特别重要的地位,在电子商务安全服务中的源鉴别、完整性服务、不可否认服务中都要用到数字签名技术。
在书面文件上签名是确认文件的一种手段,其作用有两点,一是因为自己的签名难以否认,从而确认文件已签署这一事实;二是因为签名不易仿冒,从而确定了文件是真的这一事实。数字签名与书面签名有相同相通之处,也能确认两点,一是信息是由签名者发送的,二是信息自签发后到收到为止未曾做过任何修改。这样,数字签名就可用来防止:电子信息因易于修改而有人作伪;冒用别人名义发送信息;发出(收到)信件后又加以否认。
广泛应用的数字签名方法有RSA签名、DSS签名和 Hash签名三种。RSA的最大方便是没有密钥分配问题。公开密钥加密使用两个不同的密钥,其中一个是公开的,另一个是保密的。公开密钥可以保存在系统目录内、未加密的电子邮件信息中、电话黄页上或公告牌里,网上的任何用户都可获得公开密钥。保密密钥是用户专用的,由用户本身持有,它可以对公开密钥加密的信息解密。DSS数字签名是由美国政府颁布实施的,主要用于跟美国做生意的公司。它只是一个签名系统,而且美国不提倡使用任何削弱政府窃听能力的加密软件。Hash签名是最主要的数字签名方法,跟单独签名的RSA数字签名不同,它是将数字签名和要发送的信息捆在一起,所以更适合电子商务。
4.数字时间戳技术。在电子商务交易的文件中,时间是十分重要的信息,是证明文件有效性的主要内容。在签名时加上一个时间标记,即有数字时间戳(Digita Timestamp)的数字签名方案:验证签名的人或以确认签名是来自该小组,却不知道是小组中的哪一个人签署的。指定批准人签名的真实性,其他任何人除了得到该指定人或签名者本人的帮助,否则不能验证签名
(二)网络信忽安全的目标
1.保密性。保密性是指信息不泄露给非授权人、实休和过程,或供其使用的特性。
2.完整性。完整性是指信息未经授权不能被修改、不被破坏、不被插人、不迟延、不乱序和不丢失的特性。对网络信息安全进行攻击的最终目的就是破坏信息的完整性。
3.可用性。可用性是指合法用户访问并能按要求顺序使用信息的特性,即保证合法用户在需要时可以访问到信息
4.可控性。可控性是指授权机构对信息的内容及传播具有控制的能力的特性,可以控制授权范围内的信息流向以及方式。
5.可审查性。在信息交流过程结束后,通信双方不能抵赖曾经做出的行为,也不能否认曾经接收到对方的信息。
网络信息安全面临的问题
1.网络协议和软件的安全缺陷
因特网的基石是TCP/IP协议簇,该协议簇在实现上力求效率,而没有考虑安全因素,因为那样无疑增大代码量,从而降低了TCP/IP的运行效率,所以说TCP/IP本身在设计上就是不安全的。很容易被窃听和欺骗:大多数因特网上的流量是没有加密的,电子邮件口令、文件传输很容易被监听和劫持。很多基于TCP/IP的应用服务都在不同程度上存在着安全问题,这很容易被一些对TCP/IP十分了解的人所利用,一些新的处于测试阶级的服务有更多的安全缺陷。缺乏安全策略:许多站点在防火墙配置上无意识地扩大了访问权限,忽视了这些权限可能会被内部人员滥用,黑客从一些服务中可以获得有用的信息,而网络维护人员却不知道应该禁止这种服务。配置的复杂性:访问控制的配置一般十分复杂,所以很容易被错误配置,从而给黑客以可乘之机。TCP/IP是被公布于世的,了解它的人越多被人破坏的可能性越大。现在,银行之间在专用网上传输数据所用的协议都是保密的,这样就可以有效地防止入侵。当然,人们不能把TCP/IP和其实现代码保密,这样不利于TCP/IP网络的发展。2.黑客攻击手段多样
进人2006年以来,网络罪犯采用翻新分散式阻断服务(DDOS)攻击的手法,用形同互联网黄页的域名系统服务器来发动攻击,扰乱在线商务。宽带网络条件下,常见的拒绝服务攻击方式主要有两种,一是网络黑客蓄意发动的针对服务和网络设备的DDOS攻击;二是用蠕虫病毒等新的攻击方式,造成网络流量急速提高,导致网络设备崩溃,或者造成网络链路的不堪负重。
调查资料显示,2006年初发现企业的系统承受的攻击规模甚于以往,而且来源不是被绑架的“僵尸”电脑,而是出自于域名系统(DNS)服务器。一旦成为DDOS攻击的目标,目标系统不论是网页服务器、域名服务器,还是电子邮件服务器,都会被网络上四面八方的系统传来的巨量信息给淹没。黑客的用意是借人量垃圾信息妨碍系统正常的信息处理,借以切断攻击目标对外的连线。黑客常用“僵尸”电脑连成网络,把大量的查询要求传至开放的DNS服务器,这些查询信息会假装成被巨量信息攻击的目标所传出的,因此DNS服务器会把回应信息传到那个网址。
美国司法部的一项调查资料显示,1998年3月到2005年2月期间,82%的人侵者掌握授权用户或设备的数据。在传统的用户身份认证环境下,外来攻击者仅凭盗取的相关用户身份凭证就能以任何台设备进人网络,即使最严密的用户认证保护系统也很难保护网络安全。另外,由于企业员工可以通过任何一台未经确认和处理的设备,以有效合法的个人身份凭证进入网络,使间谍软件、广告软件、木马程序及其它恶意程序有机可乘,严重威胁网络系统的安全。
有资料显示,最近拉美国家的网络诈骗活动增多,作案手段先进。犯罪活动已经从“现实生活转入虚拟世界”,网上诈骗活动日益增多。3.计算机病毒
![下载濮阳市网络信息安全规定[五篇材料]word格式文档](http://static.xiexiebang.com/skin/default/images/icon_word.png){kind=icon}
点击咨询 