第一篇:莆田市网络与信息安全协调小组
莆田市网络与信息安全协调小组
莆信安办〔2009〕3号
关于开展2009年信息网络安全状况和 计算机病毒疫情调查活动的通知
各联网单位:
为掌握信息网络安全和计算机病毒疫情现状,提高广大计算机用户网络安全防范意识,莆田市网络与信息安全协调小组决定于即日起至8月21日,开展2009年全市信息网络安全状况和计算机病毒疫情调查活动,策应全国范围内开展的调查活动。现将有关事项通知如下:
一、组织方式。调查活动由公安部十一局主办,各省区市公安厅、局网络安全保卫部门、国家计算机病毒应急处理中心、国家反计算机入侵和反病毒研究中心、新浪网承办,国内主要计算机病毒防治厂商协办。
二、调查对象。重点调查对象以互联网接入服务单位、互联网数据中心、大型互联网站、重点联网单位等。
三、调查方式。调查活动采取网上在线调查形式。新浪网科技频道(tech.sina.com.cn/focus/survey_2009/index.shtml)、国家计算机病毒应急处理中心(www.xiexiebang.com)和国家反计算机入侵和病毒研究中心(www.xiexiebang.com)等单位于7月15日起,已同时开设网上在线调查专栏,请各调查对象、广大计算机用户上网填写调查表。调查结束后将根据情况设立抽奖(具体抽奖方案见以上三个网站)。
四、宣传工作。调查活动期间,公安部十一局将在以上3家网站的网上调查专栏刊登网络安全和计算机病毒相关知识、相关法律法规等宣传材料,并提供主要计算机病毒防治厂商免费在线查杀服务的链接。请各单位采取灵活形式,在本地主要网站、媒体上做好调查活动的宣传工作,进一步提高网络用户的安全防范意识。
五、调查结果。调查结束后,公安部十一局将召开调查结果发布会,公布调查报告,并会及时向各地反馈调查数据。请各单位结合本部门安全状况调查情况,有针对性的加强信息网络安全工作。
有事请联系莆田市公安局苏梅珍,联系电话:2682803;许海山,联系电话:2682805。
莆田市网络与信息安全协调小组办公室
二○○九年七月二十九日
主题词:网络安全 计算机病毒疫情调查 通知 抄送:省网络与信息安全协调小组、省公安厅;
莆田市网络与信息安全协调小组办公室 2009年7月29日印发
第二篇:网络、信息安全小组工作流程
IT部网络、信息安全小组工作流程
一、部门架构
网络、信息安全小组隶属于IT部,划分为网络和信息安全两部分。
网络部分负责运营维护公司办公、生产网正常运行;信息安全部分负责规划、建立公司 生产办公信息安全体系,并监督执行。
二、业务范围
网络组负责对公司办公网络、生产网络的维护和运营,主要包括:
1、维护公司办公、生产网的网络链路正常运行,网络设备(路由器、交换机、防火墙、加密机等相关设施)的正常运行,以及根据公司业务的需要对网络结构进行调整。
2、主要以电话的方式,接受各部门的维护请求,并在第一时间积极响应。包括:软件安装、病毒防护、硬件维修、操作系统配置、邮件配置、电话系统、打印系统等办公相关设施维护;
3、负责生产网服务器等硬件设施的维护。
信息安全组负责对公司办公、生产体系可能产生的信息安全风险进行监控,主要职责包括:
1、建立信息安全管理体系的组织结构,构架合理的信息安全执行、监督、管理、审计、培训机制;
2、对信息资产进行评估,根据其应用及价值做出风险等级评估;
3、制订信息安全风险评估相关文档,健全各部门与信息安全相关的体系架构和规章制度;
4、根据对各部门业务流程,评估结果,建立与公司办公、生产运营发展相适应的安全体系,使各部门的业务流程均纳入到体系的覆盖范围之内,并监督该体系的正常运行;
5、协助网络组、IT其他小组,以及生产等相关部门,解决在办公过程中,发生的信息安全相关问题。
6、对各部门的信息安全设备采购进行审批,从整体布局上对公司的安全架构进行
把握和管理。
7、根据公司的发展规划,对于在管理、技术、人员、制度、意识等方面可能存在的风险提出建议。
8、为各部门提供信息安全建设咨询、信息安全培训服务;制订日常的培训计划,提高全员的信息安全意识。
三、规章制度
网络、信息安全小组负责运营、维护公司的生产、办公网络,以及相配套的所有硬件设施,与本部门相关的规章制度、作业程序包括:
《信息资产标识程序》
《网络机房访问控制程序》
《机房管理制度》
《计算机及网络设备管理程序》
《服务器及网络设备访问管理制度》
《办公网病毒管理制度》
《IT部设备维护制度》
《移动存储设备的使用规定》
《便携式笔记本电脑使用管理制度》
《IT部软件管理规定》
《用户访问控制程序》
《事故、薄弱点与故障管理程序》
《系统访问与使用监控管理程序》
《重要信息备份管理程序》
《UPS检查与维护程序》
《恶意软件控制程序》
《打印复印室管理暂行规定》
《信息安全体系监督管理制度》
四、日常工作记录
第三篇:网络与信息安全
《网络与信息安全》复习资料
信息安全特征:完整性、保密性、可用性、不可否认性、可控性。保密学是研究信息系统安全保密的科学。
网络信息安全体系结构框架:安全控制单元、安全服务层面、协议层次。公钥密码:由两个密码组成,每个用户拥有一对选择密钥:加密密钥与解密密钥。公钥密码特点:(1)加密密钥和解密密钥在本质上是不同的,即使知道一个密钥,也不存在可以轻易地推导出另一个密钥的有效算法。(2)不需要增加分发密钥的额外信道。公布公钥空间,不影响公钥系统的保密性,因为保密的仅是解密密钥。公钥密码系统应具备两个条件:(1)加密和解密交换必须满足在计算上是容易的。(2)密码分析必须满足在计算机上是困难的。协议:两个或两个以上的主体为完成某一特定任务共同发起的某种协约或采取的一系列步骤。协议的特征:(1)至始至终有序进行。(2)协议成立至少要有两个主体。(3)协议执行要通过实体操作来实现。数字签名与手写签名的区别:(1)签名实体对象不同。(2)认证方式不同。(3)拷贝形式不同。
签名算法的三个条件:(1)签名者事后不能否认自己的签名。(2)任何其他人都不能伪造签名,接收者能验证签名。(3)当签名双方发生争执时,可由公正的第三方通过验证辨别真伪。
不可否认数字签名:没有签名者的合作,接收者就无法验证签名,某种程度上保护了签名者的利益,从而可防止复制或散布签名文件的滥用。
不可否认数字签名方案由三部分组成:数字签名算法、验证协议、否认协议。
散列函数:一种将任意长度的消息压缩为某一固定长度的消息摘要的函数。消息认证码:满足某种安全性质带有密钥功能的单向散列函数。身份证明分两大娄:身份证实、身份识别。信息隐藏:把一个有含义的信息隐藏在另一个载体信息中得到隐密载体的一种新型加密方式。
信息隐藏的两种主要技术:信息隐秘术、数字水印术。数字水印技术:指用信号处理的方法在数字化的多媒体数据中嵌入隐藏标识的技术。
三种数字水印:(1)稳健的不可见的水印。(2)不稳健的不可见的水印。(3)可见的水印。
数字水印三个特征:(1)稳健性。(2)不可感知性。(3)安全可靠性。
数字水印三个部分:(1)水印生成。(2)水印嵌入。(3)水印提取(检测)。
密钥管理的基本原则:(1)脱离密码设备的密钥数据应绝对保密。(2)密码设备内部的密钥数据绝对不外泄。(3)密钥使命完成,应彻底销毁、更换。常用密钥种类:(1)工作密钥。(2)会话密钥。(3)密钥加密密钥。(4)主机主密钥。
公开密钥分发:(1)广播式密钥分发。(2)目录式密钥分发。(3)公开密钥机构分发。(4)公开密钥证书分发。密钥保护方法:(1)终端密钥保护。(2)主机密钥保护。(3)密钥分级保护管理。
秘密共享方案:将一个密钥K分成n个共享密钥K1、K2……Kn,并秘密分配给n个对象保管。密钥托管技术:为用户提供更好的安全通信方式,同时允许授权者为了国家等安全利益,监听某些通信和解密有关密文。密钥托管加密体制由三部分组成:用户安全分量、密钥托管分量、数据恢复分量。密钥管理:指对于网络中信息加密所需要的各种密钥在产生、分配、注入、存储、传送及使用过程中的技术和管理体制。
保密通信的基本要求:保密性、实时性、可用性、可控性。密码保护技术:密码校验、数字签名、公证消息。通信保密技术:(1)语音保密通信(模拟置乱技术、数字加密技术)。(2)数据保密通信。(3)图像保密通信(模拟置乱、数字化图象信号加密)。网络通信加密的形式:(1)链路加密。(2)端-端加密。(3)混合加密。网络通信访问基本控制方式:(1)连接访问控制。(2)网络数据访问控制。(3)访问控制转发。(4)自主访问控制与强制访问控制。接入控制功能:(1)阻止非法用户进入系统。(2)允许合法用户进入系统。(3)使合法用户按其权限进行活动。接入控制策略:(1)最小权限策略。(2)最小泄漏策略。(3)多级安全策略。接入控制技术方法:(1)用户标识与认证。(2)身份认证特征(口令认证方式、协议验证身份)。
PGP的五种功能:认证性、机密性、压缩、Email兼容性、分段与重组。IP层安全功能:鉴别服务、机密性、密钥管理。
安全套接层SSL提供的安全服务:信息保密、信息完整性、相互认证。
PPDR-A模型五要素:安全策略、安全监测、安全反应、安全防御、安全对抗。操作系统安全访问控制:测试程序访问控制、操作系统的访问权限控制、保护机制的访问控制、用户认证访问控制。
安全操作系统设计四环节:安全模型、安全设计、安全确认、正确实施。安全网络平台种类:Windows NT、UNIX、Linux。(Linux兼容性好、源代码开放、安全透明)。
数据库安全条件:数据独立性、数据安全性、数据完整性、数据使用性、备份与恢复。
VPN(虚拟专用网)核心技术:隧道技术、密码技术、管理技术。
政务网的特点:信息公众化、信息机关化、信息存储量大、保密程度高、访问密级多样化。
政务网建设的三个安全域:(1)涉密域。(2)非涉密域。(3)公共服务域。
黑客攻击:指黑客利用系统漏洞和非常规手段,进行非授权的访问行为和非法运行系统或非法操作数据。
防黑客攻击几种防范技术:安全性设计保护、先进的认证技术、扫描检测审计技术。
常规网络扫描工具:SATAN扫描工具、Nessus安全扫描器、nmap扫描器、strobe扫描器。网络监听工具:NetXRay、Sniffit。防火墙:在网络安全边界控制中,用来阻止从外网想进入给定网络的非法访问对象的安全设备。包括网络级包过滤防火墙和应用级代理防火墙。
密罐:用来观察黑客如何入侵计算机网络系统的一个软件“陷阱”,通常称为诱骗系统。
计算机病毒:指编制或者在计算机程序中插入的破坏计算机功能或者数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。病毒检测方法:比较法、搜索法、辨别法、分析法。
电子商务安全要求:可靠性、真实性、机密性、完整性、有效性、不可抵赖性、可控性。
电子商务安全服务:鉴别服务、访问控制服务、机密性服务、不可否认服务。电子商务基本密码协议:密钥安全协议、认证安全协议、认证的密钥安全协议。国际通用电子商务安全协议:SSL安全协议、SET安全协议、S-HTTP安全协议、STT安全协议。
电子商务实体要素:持卡人、发卡机构、商家、银行、支付网关、认证机构。
第四篇:网络与信息安全承诺书
网络安全维护责任承诺书
为了落实网络安全维护责任制,积极落实对网络安全的规范要求,确保“和“”平台在试运行及运行维护期间,实现网络安全零事故。公司特此签订网络安全维护责任书,承诺做到如下:
一、加强我公司网络与信息安全工作的组织领导,建立健全网络与信息安全工作机构和工作机制,保证网络与信息安全工作渠道的畅通。
二、我公司承诺在信息安全工作责任,按照“谁主管,谁负责;谁运营,谁负责”的原则,将安全职责层层落实到具体部门、具体岗位和具体人员。
三、我公司承诺在信息系统安全等级保护管理工作,对存在的安全隐患或未达到相关技术标准的方面进行建设整改,定期对系统访问日志和运行日志进行备份。
四、我公司承诺在各重大活动的各节点信息安全应急工作,制定信息安全保障方案,加强对重要信息系统的安全监控,加强值班,严防死守,随时应对各类突发事件。做到“联络员”电话不关机,电话保持畅通。出现问题在12小时内抵达现场解决问题。
五、进一步加强网络与信息安全的监督管理,严格落实信息安全突发事件“每日零报告制度”,对我公司出现信息安全事件隐瞒不报、谎报或拖延不报的,要按照有关规定,给予责任人处理。
单位: 项目经理: 日 期:
第五篇:网络与信息安全承诺书
网络与信息安全承诺书
为确保本单位信息网络、重要信息系统和网站安全、可靠、稳定地运行,作为本单位网络与信息安全工作的主要负责人,对本单位的网络与信息安全工作负总责,并做如下承诺:
一、加强本单位网络与信息安全工作的组织领导,建立健全网络与信息安全工作机构和工作机制,保证网络与信息安全工作渠道的畅通。
二、明确本单位信息安全工作责任,按照“谁主管,谁负责;谁运营,谁负责”的原则,将安全职责层层落实到具体部门、具体岗位和具体人员。
三、加强本单位信息系统安全等级保护管理工作,在公安机关的监督、检查、指导下,自觉、主动按照等级保护管理规范的要求完成信息系统定级、备案,对存在的安全隐患或未达到相关技术标准的方面进行建设整改,随信息系统的实际建设、应用情况对安全保护等级进行动态调整。
四、加强本单位各节点信息安全应急工作。制定信息安全保障方案,加强应急队伍建设和人员培训,组织开展安全检查、安全测试和应急演练。重大节日及敏感节点期间,加强对重要信息系统的安全监控,加强值班,严防死守,随时应对各类突发事件。
五、按照《北京市信息化促进条例》、《信息安全等级保护管理办法》、《北京市公共服务网络与信息系统安全管理规定》等规定,进一步加强网络与信息安全的监督管理,严格落实信息安全突发事件“每日零报告制度”,对本单位出现信息安全事件隐瞒不报、谎报或拖延不报的,要按照有关规定,给予责任人行政处理;出现重大信息安全事件,造成重大损失和影响的,要依法追究有关单位和人员的责任。
六、作为本单位网络与信息安全工作的责任人,如出现重大信息安全事件,对国家安全、社会秩序、公共利益、公民法人及其他组织造成影响的,本人承担主要领导责任。
违反上述承诺,自愿承担相应主体责任和法律后果。
责任单位(盖章)、主要负责人(签字):
年 月 日
![下载莆田市网络与信息安全协调小组[精选合集]word格式文档](http://static.xiexiebang.com/skin/default/images/icon_word.png){kind=icon}
点击咨询 