第一篇:第十课 用户与安全管理
第十课
用户与安全管理 教学目标:
1、了解用户权利及帐户的三种类型
2、掌握创建新用户的方法
3、能利用所学知识为文件设置共享层次的权限。教学重点:为自己设置合法的用户帐户 教学难点:用户帐户的权限 教学过程:
一、用户帐户的三种类型:
1、计算机管理员
这个帐户拥有对计算机所有和完整的权利,可以对计算机进行任意操作。计算机管理员帐户无法删除。
2、受限用户:
这个帐户不能安装软件或硬件,也不能国家更改他们的用户名。受限用户可以更改他们的密码和登录图片。
3、来宾用户
这个帐户没有密码,可以登录计算机,但在默认情况下,它没有被启用。如果想允许访问者或临时的用户访问系统,可以为他们创建帐户,并在不再使用的时候删除这些帐户。
二、什么是用户权利
用户权利是windows XP安全工作的一部分,用于区别不同用户帐户所能执行的权限。例如管理员可以创建新的用户帐户,但来宾用户则不能。要想查看用户的权利及被分配的用户类型,可以按下面的步骤进行。
1、在[控制面板]中,点击[性能和维护]--[管理工具]----[本地安全策略],打开窗口。
2、在“安全设置”窗格中,展开“本地策略”,然后点击“用户权利指派”,在右边的窗格中将显示出用户权利的列表。
三、创建用户帐户
我们已经了解了帐户类型和权利的概念。下面我们来创建一个新的帐户。
1、以计算机管理员身份登录。
2、打开控制面板,点击[用户帐户]
3、点击[创建一个新帐户],打开“为新帐户起名”界面。
4、输入用户名,然后点击[下一步]
5、指定帐户的类型,然后点击创建帐户。
6、回到用户帐户,单击更改帐户,然后点击刚刚创建的帐户,点击[创建密码]为帐户设置密码。
四、设置共享层次的权限
1、右键单击需要共享的磁盘,在弹出的快捷菜单中选择[共享和安全]命令,打开该磁盘属性的共享选项卡,设置完成共享名后,再点击权限打开权限窗口。
2、点击添加,打开选择用户或组对话框,从中选择哪些组可以访问共享的文件或文件夹。板书设计:略 后记:
第二篇:实验六 用户与组群管理
实验六 用户与组群管理
实验目的
(1)理解文件/etc/passwd和/etc/group的含义;(2)掌握桌面环境下管理用户与组群的方法;(3)掌握利用Shell命令管理用户与组群的方法。
实验内容
1、桌面环境下管理用户与组群
[操作要求1] 新建两个用户帐号,用户名为xuser1、xuser2,口令为“usr1259”和“usr1128” [操作步骤](1)以超级用户身份登录X Window图形化用户界面,依次选择“主菜单”-“系统设置”-“用户和组群”,启动“用户管理器”窗口;
(2)单击工具栏“添加用户”按钮,弹出“创建用户”对话框,根据提示输入各新用户的用户名、口令并确认口令,完成用户新建;
(3)启动gedit文本编辑器,打开/etc/passwd和/etc/shadow文件,观察文件末出现的两个新用户的帐号信息;打开/etc/group和/etc/gshadow文件,观察文件末新增的两个私人组群信息;
(4)注销当前用户,以xuser2身份重新登录系统,确认新建用户操作成功;(5)在“终端”下输入命令“pwd”,屏幕显示xuser2登录后进入用户主目录/home/xuser2;(6)返回超级用户的桌面环境。[操作要求2] 锁定xuser2用户帐号 [操作步骤](1)在“用户管理”窗口的“用户”选卡中选中xuser2,单击工具栏上的“属性”按钮,打开“用户属性”对话框;
(2)选择选卡“帐号信息”,让复选钮“用户帐号已被锁”选中,“确定”返回;(3)再次以xuser2身份登录系统,观察操作结果;(4)返回超级用户的桌面环境。[操作要求3] 删除xuser2用户 [操作步骤](1)单击“用户管理” 首选项“编辑”菜单,取消“过滤用户和组群”选项,此时“用户”选卡中将显示包括超级用户和系统用户在内的所有用户信息;
(2)利用窗口的搜索功能,在“搜索过滤器”栏输入“x*”并回车,显示以x为首字符的用户;
(3)选中xuser2用户,单击工具栏的“删除”按钮,删除用户并返回;
(4)再次搜索以x为首字符的用户,确认删除操作成功。[操作要求4] 新建两个组群myusers和temp [操作步骤](1)在“用户管理”窗口中选择选卡“组群”,显示当前所有组群;
(2)单击工具栏“添加组群”按钮,弹出“创建新组群”对话框,根据提示输入必要信息完成新建。
[操作要求5] 修改myusers组群属性,将用户xuser1和jkx加入组群myusers [操作步骤](1)在选卡“组群”中选择组群myusers,单击工具栏“属性”按钮,弹出“组群属性”对话框;
(2)进入选卡“组群用户”,选中xuser1和jkx为当前组群的成员,“确定”退出,返回前一窗口,观察修改后组群myusers的信息。[操作要求6] 删除组群temp [操作步骤] 与删除用户的操作类似。
2、利用Shell命令管理用户与组群
[操作要求1] 新建用户duser,口令是tdd632,主要组群为myusers [操作步骤](1)以超级用户身份登录系统;
(2)输入命令“useradd –g myusers duser”;(3)输入命令“passwd duser”,根据屏幕提示输入并确认口令(自设口令);(4)输入命令“cat /etc/passwd”,查看文件末尾是否存在新用户信息;(5)输入命令“cat /etc/group”,查看文件内容是否改变;(6)注销当前用户,以新用户身份登录。[操作要求2] 设置用户duser无需口令就能登录 [操作步骤](1)通过命令“su-”切换到超级用户;(2)输入命令“passwd –d duser”,设置用户duser无需口令就能登录;实际应用中应慎用此功能;
(3)注销系统,重新以duser身份等录,输入用户名duser按[Enter]即登录到系统中。[操作要求3] 查看duser用户的相关信息 [操作步骤] 输入命令“id”。
[操作要求4] 从普通用户duser切换为超级用户 [操作步骤](1)以普通用户duser身份登录系统后,Shell命令提示符为“$”;(2)输入命令“ls /root”,屏幕提示当前用户无权查看/root目录;(3)输入命令“su-”或“su-root”,根据提示输入超级用户口令,验证成功后提示符变为“#”;
(4)再次运行命令“ls /root”;
(5)输入“exit”回到普通用户状态。[操作要求5] 删除用户duser及其工作目录 [操作步骤](1)切换到超级用户;
(2)输入命令“userdel –r duser”,删除指定用户;(3)输入命令“cat /etc/passwd”,查看是否存在duser的相关信息;(4)通过命令“ls /home”,查看是否存在duser的工作目录。不能删除处于登录状态的用户;如果某用户新建时还创建了私人组群,且该私人组群中没有其他用户,则删除该用户的同时也将删除这一私人组群。
[操作要求6] 新建组群mygroup,修改组群名为newgroup,然后删除 [操作步骤](1)在超级用户的Shell提示符后输入命令“groupaddd mygroup”(命令有误,请自行更正);
(2)依次输入命令“cat /etc/group”和“cat /etc/gshadow”,验证新建操作成功;(3)输入“groupmod –n newgroup mygroup”,选项“-n”表示更改组群名称;(4)输入命令“cat /etc/group”,验证更新操作成功;(5)输入命令“groupdel newgroup”,删除指定组群。
3、批量新建多个用户帐号
作为系统管理员,有时需要批量新建多个用户帐号,如果使用之前的命令和方法逐一创建,将非常费时而且容易出错。通过预先编写用户信息文件和口令文件,利用newusers等命令能实现成批处理的功能。
假设将新入学的12级学生添加为新用户,每个学生帐号的用户名是“s”+学号,他们都属于一个组群12students,可通过以下步骤完成。
(1)创建公共组群students12,输入命令“groupadd –g 600 students12”,为方便后续操作,指定组群的GID为600;
(2)编辑用户信息文件:使用任何一种文本编辑器输入用户信息,并保存为文件students.txt。用户信息必须符合/etc/passwd文件的格式,每一行对应一个用户,字段排列也必须与/etc/passwd文件完全相同。每个用户帐号的用户名和UID必须各不相同,口令部分用“x”填充。编辑完成后文件students.txt内容如下:
s2012091101:x:601:600::/home/s2012091101:/bin/bash s2012091102:x:602:600::/home/s2012091102:/bin/bash s2012091103:x:603:600::/home/s2012091103:/bin/bash s2012091104:x:604:600::/home/s2012091104:/bin/bash s2012091105:x:605:600::/home/s2012091105:/bin/bash s2012091106:x:606:600::/home/s2012091106:/bin/bash s2012091107:x:607:600::/home/s2012091107:/bin/bash s2012091108:x:608:600::/home/s2012091108:/bin/bash s2012091109:x:609:600::/home/s2012091109:/bin/bash s2012091110:x:610:600::/home/s2012091110:/bin/bash
(3)创建用户口令文件:使用任何一种文本编辑器输入用户名和口令信息。每一行对应一个用户帐号,用户名与用户信息文件的内容相对应。文件名为password.txt:
s2012091101:2012091101 s2012091102:2012091102 s2012091103:2012091103 s2012091104:2012091104 s2012091105:2012091105 s2012091106:2012091106 s2012091107:2012091107 s2012091108:2012091108 s2012091109:2012091109 s2012091110:2012091110(4)利用命令newusers批量创建用户帐号(超级用户身份):newusers (6)利用chpasswd命令为用户设置初始口令:chpasswd < password.txt。如果无错误提示,再次查看/etc/passwd,将发现用户初始口令设置成功。 (7)利用命令pwconv恢复shadow加密:pwconv。该命令将/etc/passwd文件中的口令进行shadow加密,并将加密口令保存到/etc/shadow文件。 (8)以其中任何一个新用户身份登录系统,查看终端下的提示符状态,如图: 注意:以批量新建的用户名登录时会发现命令提示符不一样,如果需要使用默认设置,可复制独立创建的用户(如jerry)的用户主目录中的设置文件.bash_profile和.bshrc。 第十课《安全网上冲浪》 教学目标: 1、培养学生正确上网,文明上网的习惯。 2、教育学生自觉拒绝网络不良信息。 3、倡导文明,争做一个文明的网上公民。教学重难点:网络的危害及如何远离网吧 教学过程: 一、导入 1、我们在座的同学们都喜欢玩电脑,并且都喜欢上网,我想问大家,你们平时上网都做些什么?你们有什么收获?网络给我们生活带来了哪些好处?(学生交流回答) 2、图片欣赏 3、师述:自从90年代后期互联网络进入我国之后,给人们的生产生活带来了便利.现在人们的生活、学习、工作、交流和娱乐越来越多的都在网上进行,网络世界是精彩的,网络丰富了我们的生活,但同时也给我们生活带来了危害。 3、同学们,你们平时都在什么地方上网?(多数同学在网吧) 4、考察网吧(播放网吧视频) 提问:你们看看网吧的环境如何?看看网民都在网上干些什么?平时你在网吧里遇见过些什么不好的事情?(把你所经历的、看见的、听见的都可以说出来) 师述:是啊,网吧环境很差,也不安全,网吧里还有一些不良信息,直接影响着我们的身体健康和心理健康。所以今天我们有必要来学习“远离网吧,文明安全上网”这一课,相信大家学习这节课后,会有意想不到的收获。(板书课题) 访问调查,整体感知 过渡语:网吧究竟有哪些危害呢?下面我们一起来看几个例子。(1)催残身体(2)心理受损(3)滋生事非(4)影响学习(5)安全隐患 2、小学生是不是不能上网?如何处理上网与学习之间的关系?(学生交流)师述:小学生作为21世纪的主人,掌握相关的网络知识十分必要,要摆正学习与上网的关系,利用网络对我们的学习有很大的帮助,比如说:在学习语文等学科时,我们可以在网上查阅相关的资料来帮助我们理解课文内容,合理使用网络帮助学习,提倡健康上网。 三、正确引导,文明上网 同学们,我们左右不了网吧的不规范管理,我们也阻挡不了网上垃圾信息的产生,但我们可以构筑成道德的防火墙,文明安全上网。国家对网络安全也很重视,国家教育部发布的《小学生上网守则》,由国家团中央、教育部发布的《全国青少年网络文明公约》,成为我们上网遵守的规范。下面我们一起来学习。 2、学习《小学生上网安全守则》。 3、学习《全国青少年上网文明公约》 四、交流砌磋、集体倡议 1、倡议书 为了更好的约束我们自己,老师写了一份倡议书。请我们的学习委员给我们发出倡议。 2、集体签名 同学们,为了保持我们的诚实、守信、文明、做一个合格的小学生,这样少年强则国强。我们刚才同学们已经郑重地签下自己的名字。 2、集体签名 3、庄严宣誓 3、宣誓 同学们已经郑重地写下了自己的承诺,下面请全体起立,举起右手至耳旁,让我们庄严地宣誓:远离网吧,健康上网,文明上网,从我做起,从现在做起! 五、小结 同学们已经写下了自己的承诺,我相信同学们从现在起一定能做到“远离网吧,安全文明上网”,为我们美好的明天共创一片明净的蓝天! 寄递服务用户个人信息安全管理规定 第一章 总 则 第一条 为加强邮政行业寄递服务用户个人信息安全管理,保护用户合法权益,维护邮政通信与信息安全,促进邮政行业健康发展,根据《中华人民共和国邮政法》、《全国人大常委会关于加强网络信息保护的规定》、《邮政行业安全监督管理办法》等法律、行政法规和有关规定,制定本规定。 第二条 在中华人民共和国境内经营和使用寄递服务涉及用户个人信息安全的活动以及相关监督管理工作,适用本规定。 第三条 本规定所称寄递服务用户个人信息(以下简称寄递用户信息),是指用户在使用寄递服务过程中的个人信息,包括寄(收)件人的姓名、地址、身份证件号码、电话号码、单位名称,以及寄递详情单号、时间、物品明细等内容。 第四条 寄递用户信息安全监督管理坚持安全第一、预防为主、综合治理的方针,保障用户个人信息安全。 第五条 国务院邮政管理部门负责全国邮政行业寄递用户信息安全监督管理工作。省、自治区、直辖市邮政管理机构负责本行政区域内的邮政行业寄递用户信息安全监督管理工作。 按照国务院规定设立的省级以下邮政管理机构负责本辖区的邮政行业寄递用户信息安全监督管理工作。 国务院邮政管理部门和省、自治区、直辖市邮政管理机构以及省级以下邮政管理机构,统称为邮政管理部门。 第六条 邮政管理部门应当与有关部门相互配合,健全寄递用户信息安全保障机制,维护寄递用户信息安全。 第七条 邮政企业、快递企业及其从业人员应当遵守国家有关信息安全管理的规定及本规定,防止寄递用户信息泄露、丢失。 第二章 一般规定 第八条 邮政企业、快递企业应当建立健全寄递用户信息安全保障制度和措施,明确企业内部各部门、岗位的安全责任,加强寄递用户信息安全管理和安全责任考核。 第九条 以加盟方式经营快递业务企业应当在加盟协议中订立寄递用户信息安全保障条款,明确被加盟人与加盟人的安全责任。加盟人发生信息安全事故时,被加盟人应当依法承担相应安全管理责任。 第十条 邮政企业、快递企业应当与其从业人员签订寄递用户信息保密协议,明确保密义务和违约责任。 第十一条 邮政企业、快递企业应当组织从业人员进行寄递用户信息安全保护相关知识、技能培训,加强职业道德教育,不断提高从业人员的法制观念和责任意识。 第十二条 邮政企业、快递企业应当建立寄递用户信息安全投诉处理机制,公布有效联系方式,接受并及时处理有关投诉。 第十三条 邮政企业、快递企业受网络购物、电视购物和邮购等经营者委托提供寄递服务的,在与委托方签订协议时,应当订立寄递用户信息安全保障条款,明确信息使用范围和方式、信息交换安全保护措施、信息泄露责任划分等内容。 第十四条 邮政企业、快递企业委托第三方录入寄递用户信息的,应当确认其具有信息安全保障能力,并订立信息安全保障条款,明确责任划分。第三方发生信息安全事故导致寄递用户信息泄露、丢失的,邮政企业、快递企业应当依法承担相应责任。 第十五条 未经法律明确授权或者用户书面同意,邮政企业、快递企业及其从业人员不得将其掌握的寄递用户信息提供给任何单位或者个人。 第十六条 公安机关、国家安全机关或者检察机关的工作人员依照法律规定程序调阅、检查寄递详情单实物及电子信息档案,邮政企业、快递企业应当配合,并对有关情况予以保密。 第十七条 邮政企业、快递企业应当建立寄递用户信息安全应急处置机制。对于突发的寄递用户信息安全事故,应当立即采取补救措施,按照规定报告邮政管理部门,并配合邮政管理部门和相关部门的调查处理工作,不得迟报、漏报、谎报、瞒报。 第三章 寄递详情单实物信息安全管理 第十八条 邮政企业、快递企业应当加强寄递详情单管理,对空白寄递详情单发放情况进行登记,对号段进行全程跟踪,形成跟踪记录。 第十九条 邮政企业、快递企业应当加强营业场所、处理场所管理,严禁无关人员进出邮件(快件)处理、存放场地,严禁无关人员接触、翻阅邮件(快件),防止寄递详情单实物信息(以下简称实物信息)在处理过程中泄露。 第二十条 邮政企业、快递企业应当优化寄递处理流程,减少接触实物信息的处理环节和操作人员。 第二十一条 邮政企业、快递企业应当采用有效技术手段,防止实物信息在寄递过程中泄露。 第二十二条 邮政企业、快递企业应当配备符合国家标准的安全监控设备,安排具有专门技术和技能的人员,对收寄、分拣、运输、投递等环节的实物信息处理进行安全监控。第二十三条 邮政企业、快递企业应当建立健全寄递详情单实物档案管理制度,实行集中封闭管理,确定集中存放地,及时回收寄递详情单妥善保管。设立、变更集中存放地,应当及时报告所在地邮政管理部门。 第二十四条 邮政企业、快递企业应当对寄递详情单实物档案集中存放地设专人管理,采取必要的安全防护措施,确保存储安全。 第二十五条 邮政企业、快递企业应当建立并严格执行寄递详情单实物档案查询管理制度。内部人员因工作需要查阅档案时,应当确保档案完整无损,并做好查阅登记,不得私自携带离开存放地。 第二十六条 寄递详情单实物档案应当按照国家相关标准规定的期限保存。保存期满后,由企业进行集中销毁,做好销毁记录,严禁丢弃或者贩卖。 第二十七条 邮政企业、快递企业应当对实物信息安全保障情况进行定期自查,记录自查情况,及时消除自查中发现的信息安全隐患。 第四章 寄递详情单电子信息安全管理 第二十八条 邮政企业、快递企业应当按照国家规定,加强寄递服务用户信息相关信息系统和网络设施的安全管理。 第二十九条 邮政企业、快递企业信息系统的网络架构应当符合国家信息安全管理规定,合理划分安全区域,实现各安全区域之间有效隔离,并具有防范、监控和阻断来自内部和外部网络攻击破坏的能力。 第三十条 邮政企业、快递企业应当配备必要的防病毒软件、硬件,确保信息系统和网络具有防范计算机病毒的能力,防止恶意代码破坏信息系统和网络,避免信息泄露或者被篡改。 第三十一条 邮政企业、快递企业构建信息系统和网络,应当避免使用信息系统和网络供应商提供的默认密码、安全参数,并对通过开放公共网络传输的寄递用户信息采取加密措施,严格审查并监控对信息系统、网络设备的远程访问。 第三十二条 邮政企业、快递企业在采购计算机软件、硬件产品或者技术服务时,应当与供应商签订保密协议,明确其安全责任,以及在发生信息安全事件时配合邮政管理部门和相关部门调查的义务。 第三十三条 邮政企业、快递企业应当建立信息系统安全内部审计制度,定期开展内部审计,对发现的问题及时整改。 第三十四条 邮政企业、快递企业应当加强信息系统及网络的权限管理,基于权限最小化和权限分离原则,向从业人员分配满足工作需要的最小操作权限和可访问的最小信息范围。邮政企业、快递企业应当加强对信息系统和数据库的管理,使网络管理人员仅具有进行信息系统、数据库、网络运行维护和优化的权限。网络管理人员的维护操作须经安全管理员授权,并受到安全审计员的监控和审计。 第三十五条 邮政企业、快递企业应当加强信息系统密码管理,使用高安全级别密码策略,定期更换密码,禁止将密码透露给无关人员。 第三十六条 邮政企业、快递企业应当加强寄递用户电子信息的存储安全管理,包括: (一)使用独立物理区域存储寄递用户信息,禁止非授权人员进出该区域; (二)采用加密方式存储寄递用户信息; (三)确保安全使用、保管和处置存有寄递用户信息的计算机、移动设备和移动存储介质。明确管理数据存储设备、介质的负责人,建立设备、介质使用和借用登记制度,限制设备输出接口的使用。存储设备和介质报废的,应当及时删除其中的寄递用户信息数据,并销毁硬件。 第三十七条 邮政企业、快递企业应当加强寄递用户信息的应用安全管理,对所有批量导出、复制、销毁用户个人信息的操作进行审查,并采取防泄密措施,同时记录进行操作的人员、时间、地点和事项,留作信息安全审计依据。 第三十八条 邮政企业、快递企业应当加强对离岗人员的信息安全审计,及时删除或者禁用离岗人员系统账户。 第三十九条 邮政企业、快递企业应当制定本企业与市场相关主体的信息系统安全互联技术规则,对存储寄递服务信息的信息系统实行接入审查,定期进行安全风险评估。 第五章 监督管理 第四十条 邮政管理部门依法履行下列职责: (一)制定保障寄递用户信息安全的政策、制度和相关标准,并监督实施; (二)监督、指导邮政企业、快递企业落实信息安全责任制,督促企业加强寄递用户信息安全管理; (三)对寄递用户信息安全进行监测、预警和应急管理; (四)监督、指导邮政企业、快递企业开展寄递用户信息安全宣传教育和培训; (五)依法对邮政企业、快递企业实施寄递用户信息安全监督检查; (六)组织调查或者参与调查寄递用户信息安全事故,依法查处违反寄递用户信息安全管理规定的行为; (七)法律、行政法规和规章规定的其他职责。 第四十一条 邮政管理部门应当加强邮政行业寄递用户信息安全管理制度和知识的宣传,强化邮政企业、快递企业及其从业人员的信息安全管理意识,提高用户对个人信息安全保护的认识。 第四十二条 邮政管理部门应当加强邮政行业寄递用户信息安全运行的监测预警,建立信息管理体系,收集、分析与信息安全有关的各类信息。 下级邮政管理部门应当及时向上一级邮政管理部门报告邮政行业寄递用户信息安全情况,并根据需要通报工业和信息化、通信管理、公安、国家安全、商务和工商行政管理等相关部门。 第四十三条 邮政管理部门应当对邮政企业、快递企业建立和执行寄递用户信息安全管理制度,规范从业人员信息安全保护行为,防范信息安全风险等情况进行检查。 第四十四条 邮政管理部门发现邮政企业、快递企业存在违反寄递用户信息安全管理规定,妨害或者可能妨害寄递用户信息安全的,应当依法进行调查处理。违法行为涉及其他部门管理职权的,邮政管理部门应当会同有关部门对涉案邮政企业、快递企业进行调查处理。第四十五条 邮政管理部门应当加强对邮政企业、快递企业及其从业人员遵守本规定情况的监督检查。 第四十六条 邮政企业、快递企业拒不配合寄递用户信息安全监督检查的,依照《中华人民共和国邮政法》第七十七条的规定予以处罚。 第四十七条 邮政企业、快递企业及其从业人员因泄露寄递用户信息对用户造成损失的,应当依法予以赔偿。 第四十八条 邮政企业、快递企业及其从业人员违法提供寄递用户信息,尚未构成犯罪的,依照《中华人民共和国邮政法》第七十六条的规定予以处罚。构成犯罪的,移送司法机关追究刑事责任。 第四十九条 任何单位和个人有权向邮政管理部门举报违反本规定的行为。邮政管理部门接到举报后,应当依法及时处理。 第五十条 邮政管理部门可以在行业内通报邮政企业、快递企业违反寄递用户信息安全管理规定行为、信息安全事件,以及对有关责任人员进行处理的情况。必要时可以向社会公布上述信息,但涉及国家秘密、商业秘密和个人隐私的除外。 第五十一条 邮政管理部门及其工作人员对在履行职责过程中知悉的寄递用户信息应当保密,不得泄露、篡改或者损毁,不得出售或者非法向他人提供。 第五十二条 邮政管理部门工作人员在寄递用户信息安全监督管理工作中滥用职权、玩忽职守、徇私舞弊,依照《邮政行业安全监督管理办法》第五十五条的规定予以处理。 第六章 附 则 第五十三条 本规定自发布之日起施行。 寄递服务用户个人信息安全管理规定 (征求意见稿) 第一章 总 则 第一条 为加强邮政行业寄递服务用户个人信息安全管理,保护用户合法权益,维护邮政通信与信息安全,促进邮政行业健康发展,根据《中华人民共和国邮政法》、《邮政行业安全监督管理办法》及相关的法律法规和规定,制定本规定。 第二条 在中华人民共和国境内经营和使用寄递服务涉及用户个人信息安全的活动以及与之相关的监督管理工作,适用本规定。 第三条 本规定所称寄递服务用户个人信息(以下简称寄递用户信息),是指用户在使用寄递服务过程中的个人信息,包括寄(收)件人的姓名、地址、身份证件号码、电话号码、单位名称,以及寄递单号、时间、物品明细等内容。 第四条 寄递用户信息安全监督管理坚持安全第一、预防为主、综合治理的方针,保障用户个人信息安全,保护公民合法权益。 第五条 国务院邮政管理部门负责全国邮政行业寄递用户信息安全监督管理工作。 省、自治区、直辖市邮政管理机构负责本行政区域内的邮政行业寄递用户信息安全监督管理工作。 - 1 - 按照国务院规定设立的省级以下邮政管理机构负责本辖区的邮政行业寄递用户信息安全监督管理工作。 国务院邮政管理部门和省、自治区、直辖市邮政管理机构以及省级以下邮政管理机构,统称为邮政管理部门。 第六条 邮政管理部门应当与有关部门相互配合,健全寄递用户信息安全保障机制,维护寄递用户信息安全。 第七条 邮政企业、快递企业及其从业人员应当遵守国家有关信息安全管理的规定及本规定,对寄递用户信息的安全负责。 第二章 一般规定 第八条 邮政企业、快递企业应当建立健全寄递用户信息安全保障制度和措施,确定各部门、岗位的安全责任,加强安全责任考核。 第九条 加盟制快递企业应当在加盟协议中设立寄递用户信息安全保障条款,明确被加盟人与加盟人的安全责任关系。对于加盟人出现的信息安全事故,被加盟人应承担相应的安全管理责任。 第十条 邮政企业、快递企业应当与从业人员签订寄递用户信息保密协议,明确保密义务。 第十一条 邮政企业、快递企业应当组织从业人员进行寄递用户信息安全保护相关知识、技能的培训,加强职业道德教育,不断提高从业人员的法制观念和责任意识。 - 2 - 第十二条 邮政企业、快递企业应当建立寄递用户信息安全投诉处理机制,公布有效的联系方式,接受并及时处理有关投诉。 第十三条 邮政企业、快递企业接受网络购物、电视购物和邮购等经营者委托提供寄递服务的,在与委托方签订协议时,应当约定寄递用户信息安全保障条款,明确信息使用范围、使用方式、信息交换使用的安全保护措施、信息泄露责任划分等内容。 第十四条 邮政企业、快递企业委托第三方录入寄递用户信息的,应当确认其具有信息安全保障能力,并签订信息安全保障协议条款,明确企业与第三方的安全责任。对于第三方出现的信息安全事故,邮政企业、快递企业应承担相应责任。 第十五条 未经法律明确授权或者用户书面同意,邮政企业、快递企业及其从业人员不得将其掌握的寄递用户信息提供给任何组织或者个人。 第十六条 国家安全机关、公安机关、检察机关的工作人员依据法律规定调阅、检查邮件(快件)实物及电子信息档案,必须凭被调阅企业所在地的县级以上(含县级)国家安全机关、公安机关、检察机关出具的书面证明办理相关调阅和交接手续,实施调阅、检查时,应当出示工作证件。邮政企业、快递企业应当配合,并对有关情况予以保密。 第十七条 邮政企业、快递企业应当建立寄递用户信息安全应急处置机制。对于突发的寄递用户信息安全事故,应立即采取 - 3 - 补救措施,按照规定报告邮政管理部门,不得迟报、漏报、瞒报,并配合邮政管理部门和相关部门对案件进行调查处理。 第三章 寄递详情单实物信息安全管理 第十八条 邮政企业、快递企业应当加强对寄递详情单的管理,对发放空白单情况进行登记,对号段进行全程跟踪,形成跟踪记录。 第十九条 邮政企业、快递企业应当加强对营业场所、处理场所的管理,对用户服务区域与邮件(快件)处理、存放场地进行物理隔离。严禁无关人员进出邮件(快件)处理、存放场地,严禁无关人员接触、翻阅邮件(快件),防止实物信息在处理过程中被窃取、泄露。 第二十条 邮政企业、快递企业应当优化寄递处理流程,减少接触实物信息的处理环节和操作人员。 第二十一条 鼓励邮政企业、快递企业采用技术手段,防止信息在寄递过程中被窃取、泄露。 第二十二条 邮政企业、快递企业应当配备符合国家标准的安全监控设备,安排具备专门技术和技能的人员,对收寄、分拣、运输、投递等环节的实物信息处理进行安全监控。 第二十三条 邮政企业、快递企业应当建立健全寄递详情单实物档案管理制度,实行集中管理,确定集中存放地,及时回收- 4 - 寄递详情单妥善保管。设立、变更集中存放地时应当告知所在地邮政管理部门。 第二十四条 邮政企业、快递企业在实物档案集中存放地应当设立专用档案室,设专人管理。采取必要的安全存储措施,做好防灾、防盗、防泄露工作,确保实物档案安全。 第二十五条 邮政企业、快递企业的业务部门因工作需要查阅档案时,应经主管领导批准。查阅人员应当保持档案完整无损,不得私自携带出室,并做好查阅记录。 第二十六条 寄递详情单实物档案应当满足国家相关标准规定的保存期限。保存期满后,由企业监督进行集中销毁,并做好销毁记录,严禁丢弃或贩卖。 第二十七条 邮政企业、快递企业应当对寄递详情单实物安全保障情况进行定期自查,记录自查情况,及时消除自查中发现的信息安全问题。 第四章 寄递详情单电子信息安全管理 第二十八条 邮政企业、快递企业应按照国家、行业相关规定,加强寄递服务用户信息相关系统和网络设施的信息安全管理。 第二十九条 邮政企业、快递企业信息系统应当建立符合国家信息安全要求的、合理的网络架构,划分安全区域,各安全区域之间应当进行有效隔离,并具有防范、监控和阻断来自内外部网络攻击破坏的能力。 - 5 - 第三十条 邮政企业、快递企业应配置必要的防病毒软硬件,确保信息系统和网络具有防范木马等各类病毒的能力,防止恶意代码破坏信息系统和网络,避免信息泄露或者被篡改。 第三十一条 邮政企业、快递企业构建信息系统和网络,应避免使用信息系统和网络供应商提供的默认密码、安全参数,对通过开放公共网络传输的寄递用户信息设置加密措施,严格审查并监控对信息系统、网络设备的远程访问。 第三十二条 邮政企业、快递企业在采购软硬件产品或者技术服务时,应当与供应商签订保密协议,明确其安全责任及发生信息安全事件时配合邮政管理部门和相关部门调查工作的义务。 第三十三条 邮政企业、快递企业应加强信息系统及网络的权限管理,应基于权限最小化原则和权限分离原则,对从业人员分配满足工作需要的最小操作权限和可访问的最小信息范围。 邮政企业、快递企业应加强对系统管理员、数据库管理员、网络管理员的权限限制,使其有且仅有进行系统、数据库、信息网络运行维护和优化的权限,其所有管理维护操作应得到安全管理员的授权,并受到安全审计员的监控和审计。 第三十四条 邮政企业、快递企业应加强相关系统密码管理,使用高安全级别密码策略,强制定期更换密码,禁止将密码转告他人。 第三十五条 邮政企业、快递企业应加强寄递用户电子信息的存储安全管理,包括: - 6 - (一)使用独立物理区域存储寄递用户信息,禁止非授权人员进出该区域; (二)采用加密方式存储寄递用户信息; (三)确保安全使用、保存和处置存有寄递用户信息的计算机、移动设备和移动介质(包括磁带、磁盘、笔记本电脑、设备USB口、可写光驱等输入输出介质等)。明确管理数据存储设备、介质的负责人,建立设备、介质使用和借用登记,限制USB口、可写光驱、无线接口等设备输出接口的使用。及时删除销毁报废设备和存储介质中的寄递用户信息数据。 第三十六条 邮政企业、快递企业应加强寄递用户信息的应用安全管理,对所有批量导出、复制、销毁用户个人信息的操作进行审查,并采取防泄密措施,同时记录进行操作的人员、时间、地点、事项,作为以后进行信息安全审计的依据。 第三十七条 邮政企业、快递企业应加强信息系统账户管理,应在从业人员离职时对其进行信息安全审计,及时禁用相关系统账户。 第三十八条 邮政企业、快递企业应当制定本企业与市场相关主体的信息系统安全互联技术规则,对存储寄递服务信息的信息系统实行接入审查,并定期进行安全风险评估。 第三十九条 邮政企业、快递企业应当建立信息系统安全内部审计制度,定期开展内部审计,对发现的问题及时整改。 - 7 - 第五章 监督管理 第四十条 邮政管理部门依法履行下列职责: (一)制定保障寄递用户信息安全的政策、制度和相关标准,并监督实施; (二)指导与监督邮政企业、快递企业落实信息安全责任制,督促企业加强内部信息安全管理; (三)对寄递用户信息安全进行监测、预警和应急管理; (四)指导与监督邮政企业、快递企业开展信息安全的宣传教育和培训; (五)依法对邮政企业、快递企业实施信息安全监督检查; (六)组织调查或者参与调查寄递用户信息安全事故,查处违反寄递用户信息安全监管规定的行为; (七)法律、法规、规章规定的其他职责。 第四十一条 邮政管理部门应当加强邮政行业寄递用户信息安全管理制度和安全知识的宣传,提高从业人员的信息安全意识,增强公众对个人信息保护的安全意识。 第四十二条 邮政管理部门应当加强邮政行业寄递用户信息安全运行的监测预警,建立信息管理体系,收集、分析与信息安全有关的各类信息。 省级邮政管理部门和省级以下邮政管理机构应当及时向上一级邮政管理部门报告邮政行业寄递用户信息安全情况,并定期通- 8 - 报相关的工业和信息化、通信管理、公安、国家安全、商务和工商行政管理等部门。 第四十三条 邮政管理部门应当对邮政企业、快递企业建立健全和遵守信息安全制度以及企业防范信息安全风险、规范从业人员信息安全行为等情况进行检查。 第四十四条 邮政管理部门发现邮政企业、快递企业存在违反寄递用户信息安全管理规定,妨害或者可能妨害寄递用户信息安全的,应当对其调查。违法行为涉及其他部门的管理职权的,邮政管理部门应当会同有关部门,共同对邮政企业、快递企业进行调查。 第四十五条 邮政管理部门应当加强对邮政企业、快递企业及其从业人员遵守本规定情况的监督检查。 第四十六条 邮政企业、快递企业拒不配合寄递用户信息安全监督检查的,依据《中华人民共和国邮政法》第七十七条的规定予以处罚。 第四十七条 邮政企业、快递企业及其从业人员因泄露寄递用户信息对用户造成损失的,应当依法予以赔偿。 属于从业人员违法泄露寄递用户信息造成损失的,邮政企业、快递企业应当依法进行赔偿,并向从业人员追责。 第四十八条 邮政企业、快递企业及其从业人员违法提供寄递用户信息,尚未构成犯罪的,依照《中华人民共和国邮政法》第七十六条规定予以处罚。邮政企业、快递企业逾期不履行邮政 - 9 - 管理部门处罚决定的,由邮政管理部门依法申请人民法院强制执行。构成犯罪的,移送司法机关追究刑事责任。 第四十九条 任何单位和个人有权向邮政管理部门举报违反本规定的行为。邮政管理部门接到举报后,应当依法及时处理。 第五十条 邮政管理部门可以在行业内通报邮政企业、快递企业违反寄递用户信息安全监管有关规定、发生信息安全事件以及对有关责任人员进行处理的情况,必要时可以向社会公开上述信息,但涉及国家秘密、商业秘密与个人隐私的除外。 第五十一条 邮政管理部门及其工作人员对在履行职责中知悉的寄递用户信息应当予以保密,不得泄露、篡改或者毁损,不得出售或者非法向他人提供。 第五十二条 邮政管理部门工作人员在信息安全监督管理工作中滥用职权、玩忽职守、徇私舞弊,依照《邮政行业安全监督管理办法》第五十五条的规定予以处理。 第六章 附 则 第五十三条 本规定自年月日起施行。 - 10 -第三篇:第十课《安全网上冲浪》
第四篇:寄递服务用户个人信息安全管理规定
第五篇:寄递服务用户个人信息安全管理规定
点击咨询 