第一篇:电力行业网络与信息安全管理办法
国家能源局关于印发
《电力行业网络与信息安全管理办法》的通知
国能安全〔2014〕317号
各派出机构,各有关电力企业:
为了规范电力行业网络与信息安全的监督管理,国家能源局制定了《电力行业网络与信息安全管理办法》,现印发你们,请依照执行。
国家能源局
2014年7月2日
电力行业网络与信息安全管理办法
第一章 总 则
第一条 为加强电力行业网络与信息安全监督管理,规范电力行业网络与信息安全工作,根据《中华人民共和国计算机信息系统安全保护条例》及国家有关规定,制定本办法。
第二条 电力行业网络与信息安全工作的目标是建立健全网络与信息安全保障体系和工作责任体系,提高网络与信息安全防护能力,保障网络与信息安全,促进信息化工作健康发展。
第三条 电力行业网络与信息安全工作坚持“积极防御、综合防范”的方针,遵循“统一领导、分级负责,统筹规划、突出重点”的原则。
第二章 监督管理职责
—1—
第四条 国家能源局是电力行业网络与信息安全主管部门,履行电力行业网络与信息安全监督管理职责。国家能源局派出机构根据国家能源局的授权,负责具体实施本辖区电力企业网络与信息安全监督管理。
第五条 国家能源局依法履行电力行业网络与信息安全监督管理工作职责,主要内容为:
(一)组织落实国家关于基础信息网络和重要信息系统安全保障工作的方针、政策和重大部署,并与电力生产安全监督管理工作相衔接;
(二)组织制定电力行业网络与信息安全的发展战略和总体规划;
(三)组织制定电力行业网络与信息安全等级保护、风险评估、信息通报、应急处置、事件调查与处理、工控设备安全性检测、专业人员管理、容灾备份、安全审计、信任体系建设等方面的政策规定及技术规范,并监督实施;
(四)组织制定电力行业网络与信息安全应急预案,督促、指导电力企业网络与信息安全应急工作,组织或参加信息安全事件的调查与处理;
(五)组织建立电力行业网络与信息安全工作评价与考核机制,督促电力企业落实网络与信息安全责任、保障网络与信息安全经费、开展网络与信息安全工程建设等工作;
(六)组织开展电力行业网络与信息安全信息通报、从业人员技能培训考核等工作;
(七)组织开展电力行业网络与信息安全的技术研发工作;
(八)电力行业网络与信息安全监督管理的其它事项。
第三章 电力企业职责
第六条 电力企业是本单位网络与信息安全的责任主体,负责本单位的网络与信息安全工作。
第七条 电力企业主要负责人是本单位网络与信息安全的第一责任人。电力企业应当建立健全网络与信息安全管理制度体系, 成立工作领导机构,明确责任部门,设立专兼职岗位,定义岗位职责,明确人员分工和技能要求, 建立健全网络与信息安全责任制。
第八条 电力企业应当按照电力监控系统安全防护规定及国家信息安全等级保护制度的要求,对本单位的网络与信息系统进行安全保护。
第九条 电力企业应当选用符合国家有关规定、满足网络与信息安全要求的信息技术产品和服务,开展信息系统安全建设或改建工作。
第十条 电力企业规划设计信息系统时,应明确系统的安全保护需求,设计合理的总体安全方案,制定安全实施计划,负责信息系统安全建设工程的实施。
第十一条 电力企业应当按照国家有关规定开展电力监控系统安全防护评估和信息安全等级测评工作,未达到要求的应当及时进行整改。
第十二条 电力企业应当按照国家有关规定开展信息安全风险评估工作,建立健全信息安全风险评估的自评估和检查评估制度,完善信息安全风险管理机制。
第十三条 电力企业应当按照网络与信息安全通报制度的规定,建立健全本单位信息通报机制,开展信息安全通报预警工作,及时向国家能源局或其派出机构报告有关情况。
第十四条 电力企业应当按照电力行业网络与信息安全应急预案,制定或修订本单位网络与信息安全应急预案,定期开展应急演练。
第十五条 电力企业发生信息安全事件后,应当及时采取有效措施降低损害程度,防止事态扩大,尽可能保护好现场,按规定做好信息上报工作。
第十六条 电力企业应当按照国家有关规定,建立健全容灾备份制度,对关键系统和核心数据进行有效备份。
第十七条 电力企业应当建立网络与信息安全资金保障制度,有效保障信息系统安全建设、运维、检查、等级测评和安全评估、应急及其它的信息安全资金。
第十八条 电力企业应当加强信息安全从业人员考核和管理。从业人员应当定期接受相应的政策规范和专业技能培训,并经培训合格后上岗。
第四章 监督检查
第十九条 国家能源局及其派出机构依法对电力企业网络与信息安全
工作进行监督检查。
第二十条 国家能源局及其派出机构进行监督检查和事件调查时,可以采取下列措施:
(一)进入电力企业进行检查;
(二)询问相关单位的工作人员,要求其对有关检查事项作出说明;
(三)查阅、复制与检查事项有关的文件、资料,对可能被转移、隐匿、损毁的文件、资料予以封存;
(四)对检查中发现的问题,责令其当场改正或者限期改正。
第五章 附 则
第二十一条 本办法由国家能源局负责解释。
第二十二条 本办法自发布之日起实施,有效期五年。2007年12月4日原国家电力监管委员会发布的《电力行业网络与信息安全监督管理暂行规定》(电监信息〔2007〕50号)同时废止。
第二篇:我国电力行业网络与信息安全工作开展情况及建议(定稿)
我国电力行业网络与信息安全工作开展情况及建议
随着互联网技术的快速发展,现代电力系统生产运行越来越依赖于计算机通讯及程控技术,尤其是近几年,以“智能电网”为代表的电力行业信息化建设多次出现在政府工作报告中,同时在“十二五”规划纲要中也多次被提及,电力行业的信息化建设作为国家意志的体现已经上升到国家战略的高度。
但当我们在享受信息化技术带来的高效和便捷的同时,电力行业所面临的网络与信息安全风险也与日剧增。
我国电力行业网络与信息安全工作开展情况
2000年以来,我国相继发生了“二滩电厂停机事件”、“故障录波器事件”、“逻辑炸弹事件”、“换流站病毒感染事件”等多起电力行业网络与信息安全事件,造成了不同程度的事故影响,威胁到了电力系统安全稳定运行,同时也暴露出了我国电力行业在网络安全接入方面、安全生产管理方面、人员信息安全培训等方面存在薄弱环节。
针对类似电力信息安全事件,2002年,原国家经贸委发布第30号令《电网和电厂计算机监控系统及调度数据网络安全防护规定》,对电网和电厂计算机监控系统防护提出了要求。国家电监会成立后,对电力二次系统及网络信息安全防护明确提出了“安全分区、专网专用、横向隔离、纵向认证”的总体防护策略,并制定印发了《电力行业网络与信息安全信息报送暂行办法》、《电力行业网络与信息安全应急预案》、《电力行业网络与信息安全监督管理暂行办法》等一系列管理办法,使电力行业网络与信息安全防护的理念更加系统化、具体化,增强了可操作性,电力行业网络与信息安全防护工作进入了实质性建设阶段。
对比国外发达国家相对孤立、松散的电力行业信息安全防护现状,我国的电力行业信息安全防护工作在组织管理、部署实施、企业参与积极性等方面具有更为明显的优势。截至2011年底,全国电力安委会成员单位中的15家电网和发电企业90%以上的单位已按照“安
全分区、专网专用、横向隔离、纵向认证”的要求完成了生产控制大区和管理信息大区的物理隔离改造,通过认证、加密、访问控制等技术手段实现了远程数据传输、控制及纵向边界的安全防护。其中电网企业较发电企业,省级以上调度单位较地级调度单位,330千伏及以上变电站较220千伏变电站信息安全防护工作开展的更快、更全、更好。通过加强电力行业信息安全防护工作有效保证了北京奥运会、上海世博会、广州亚运会等重要保电时期电力系统的安全稳定运行和可靠供电。但在取得一系列成效的同时,问题和不足也相对明显。问题:法规标准不全责任落实不明技术保障不力
(一)信息安全法规和标准体系建设不全面对新形势下信息安全保障工作的发展需要,电力行业信息安全在政策法规和标准体系方面的问题也逐渐显现。一是法规和标准建设相对滞后,缺乏总体规划;二是规范和标准互通性和协调性不强,部分规范和标准的可执行性较差;三是部分规范和标准已不适应现实需要,尤其是新能源、新技术和新模式的引入,原有的信息安全防护标准无法应对某些新型信息安全的威胁;四是部分信息安全规范和标准在行业内难以得到切实落实。
2007年国家电监会启动了电力行业信息系统安全等级保护定级工作,并编制印发了《电力行业信息系统安全等级保护管理办法》和《信息系统安全等级保护定级指南》,行业信息安全法规和标准体系初步形成。但对电力行业信息系统等级保护的具体要求和规范意见,以及后续的信息系统等级测评和督促检查机制却仍未建立起来。
(二)组织体系与责任落实不明当前,电力行业中普遍存在重生产安全轻信息安全的状况,电力企业对信息安全重要性的认知程度也存在经济发展水平和所在地域上的差异。即便企业高层逐步认识到信息安全的重要性,也存在着以下问题:一是信息资源在公司的战略资产中的地位受到高层重视,但具体情况不甚清楚;二是信息安全工作缺乏明确的概念描述和参数指标;三是信息安全工作的责任与职能落实不够清晰,大部分电力企业未设立信息安全
专岗。
(三)网络和数据安全防护不完善由于互联网的开放性,来自互联网上的病毒、木马、黑客攻击以及计算机威胁事件,都时刻威胁着电力行业的信息系统安全,成为制约行业平稳、安全发展的障碍。因此,维护网络和数据安全成为行业信息安全保障工作的重要组成部分。近年来,电力企业采取了一系列措施,建立了相对安全的分区网络安全防护体系和冗灾备份系统,220千伏及以上主网信息安全防护体系已较为完善,基本保障了信息系统的安全运行。但细追究起来,电力行业的网络安全防护体系规划、配电网信息安全防护建设及灾备系统建设还不够完善,还存存以下几方面的问题:一是网络安全防护体系缺乏统一的规划;二是110千伏及以下配电网纵向数据传输安全性防护推进工作有待加强;三是网上营销管理系统防护能力有待继续加强;四是对数据安全重视不够,数据备份措施有待改进。
(四)技术支撑及后勤保障有待加强随着近几年信息安全重要性的逐步凸显,电力行业信息安全工作逐步得到重视,行业信息安全专业技术队伍不断发展壮大。部分大型国有电力企业已经建立了专门的科技信息部门,并设立专岗、专职人员负责信息安全工作。但是,仍存在着以下几方面问题:一是随着信息系统等级保护工作的深入开展,后续系统测评工作未能及时跟进,目前社会上有资质的测评机构大都缺乏必要的电力运行基础知识;二是信息安全人才队伍依然存在着结构不合理、后续教育不足等问题,此行业的人才培养有待加强;三是信息安全队伍不稳定,人员流动性较大,甚至有的已经设立信息安全技术部门的单位出现了撤编的情况。
建议:完善法规标准开展专项检查提高防护水平
(一)进一步完善法规和标准体系首先,在法规规划上,要统筹兼顾,制定科学的信息技术规范和标准体系框架。
一是全面做好立法规划;二是建立科学的行业信息安全标准和法规体系层次。建议将行
业信息安全标准和法规体系初步划分为3层:第一层是国家制定的信息安全保密法规;第二层是电监会制定的部门规章及管理规范性文件;第三层是电力行协及企业系统内部在电监会总体协调下组织制定的制度文件。其次,在法规制定上要兼顾规范和发展,重视法规的可行性。最后,在法规实施上要坚持规范和指引相结合,重视监督检查和责任落实。
(二)深入开展电力行业信息安全专项检查工作1.提高对信息安全工作的重视度。通过安全委开员会宣传做好信息安全工作的重要性,提高电力企业做好信息安全工作的认识。通过培训和定期组织开展电力行业信息安全专项抽查,督促并帮助企业及时查找自身漏洞并落实整改,做好防微杜渐工作。
2.制定行业标准积极落实信息安全等级保护。
行业监管部门在推动行业信息安全等级保护工作中的作用非常关键,应进一步明确监管部门推动行业信息安全等级保护工作的任务和工作机制,统一部署、组织行业的等级保护工作,为该项工作的顺利开展提供组织保证。同时,应对各单位实施信息系统安全等级保护情况进行测评,在测评环节一旦发现信息系统的不足,被测评单位应立即制定相应的整改方案并实施,监督机构负责督促其整改。
3.加强网络安全体系规划以提升网络安全防护水平。
(1)以等级保护为依据进行统筹规划。等级保护是围绕信息安全保障全过程的一项基础性的管理制度,通过将等级化的方法和安全体系规划有效结合,统筹规划电力行业网络安全体系的建设,建立一套信息安全保障体系,将是系统化地解决电力行业网络安全问题的一个非常有效的方法。
(2)加强网络访问控制提高网络防护能力。对向电力行业提供设备、技术和服务的IT公司的资质和诚信加强管理,确保其符合国家、行业技术标准,同时签订必要的保密协议。根据网络隔离要求,逐步建立生产控制区与管理区、办公区与互联网、网上营销各子系统间
有效的网络隔离。技术上可以对不同的业务安全区域划分Vlan或者采用网闸设备进行隔离;对主要的网络边界和各外部进口进行渗透测试,进行系统和设备的安全加固,降低系统漏洞带来的安全风险;在网上营销管理方面,采取电子签名或数字认证等高强度认证方式,加强访问控制;针对现存恶意攻击网站的事件越来越多的情况,要采取措施加强网站保护,提高对恶意代码的防护能力,同时采用技术手段,提高网上交易客户端软件使用的安全性。
(3)加强对员工的信息安全培训。除了要加强网络安全技术人员的管理能力和专业技能培训外,还要加强对全体电力职工的信息安全宣传教育,提高其信息安全保密意识,并掌握基本的信息安全防护技能,从而整体提高电力行业信息安全的管理水平和专业技术水平。
4.扎实推进行业灾难备份建设。
无论是美国的“9.11”事件,还是我国2008年南方冰雪灾害和四川汶川大地震,都敲响了灾难备份的警钟。电力行业要针对自身需要,对重要系统开展灾难备份建设,制定相关的灾难应急预案,并加强应急预案的演练,确保灾难备份系统应急有效,使应急工作与日常工作有机结合。
5.加强监管技术队伍建设。
为了适应新时期电力行业信息安全监管工作需要,监管机构须进一步加大在此方面的人力物力投入,同时建立起独立的信息安全测评机构,并在各区域组建信息安全测评专家小组,专门负责各区域电力企业的信息安全测评工作。
第三篇:榆林市电子政务网络与信息安全管理办法
榆政办发〔2007〕97号
榆林市人民政府办公室
关于印发榆林市电子政务网络与信息安全
管理办法(暂行)的通知
各县区人民政府、市政府各工作部门、各直属机构:
《榆林市电子政务网络与信息安全管理办法》(暂行)已经市政府批准,现印发你们,请认真贯彻执行。
二○○七年八月二十日
榆林市电子政务网络与信息
安全管理办法(暂行)
第一章 总 则
第一条 为加强电子政务网络与信息安全管理,保障全市电子政务健康发展,根据《国家信息化领导小组关于加强信息安全保障工作的意见》、《国家信息化领导小组关于我国电子政务建设指导意见》、《陕西省信息化领导小组关于加强信息安全保障工作的意见》和《陕西省电子政务网络与信息安全管理暂行办法》等文件精神及相关法律法规,制定本办法。
第二条 本办法所称电子政务系统是指我市各级党政机关、企事业单位和社会团体等机构(以下统称为单位)的政务应用和为社会提供各项公共服务的网络与信息系统。
第三条 全市电子政务网络与信息安全管理遵循统一领导、统筹规划、积极防御、综合防范、各负其责、保障安全的原则。
第四条 全市电子政务系统建立统一的密码和密钥管理体系、网络信任体系和安全管理体系,依照相关规定实施信息安全等级保护、风险评估和安全测评。
第五条 全市电子政务系统按照“谁运营、谁主管、谁负责”的要求,分级、分层、分域保障安全。涉及国家秘密的电子政务系统必须执行党和国家的有关保密法规。
第六条 电子政务安全防护系统建设、风险评估、系统测评、安全培训和相关论证审查等所需经费,由系统建设使用单位统一纳入系统建设经费预算和运营维护费用预算予以解决。
第七条 对在电子政务网络与信息安全保障工作中取得突出成绩的单位和个人,由信息化主管部门或其上级部门给予表彰奖励。
第二章 职 责
第八条 全市电子政务网络与信息安全保障工作在市信息化领导小组统一领导下,由市信息化领导小组办公室负责组织管理和协调指导,建立完善全市电子政务网络与信息安全保障体系。
第九条 各县区信息化主管部门负责本县区电子政务网络与信息安全保障工作的监督管理和协调指导,负责建立完善本县区电子政务网络与信息安全保障体系。
第十条 各级公安、安全、保密、密码管理等网络与信息安全管理部门,按照各自职能分工,对电子政务网络与信息安全保障工作实施监督管理。
第十一条 电子政务系统建设和使用单位负责建立健全本系统、本单位的网络与信息安全管理机构,配备相应人员,健全安全管理制度,明确岗位责任,建设安全保障体系。
第十二条 以租赁方式建设的电子政务系统,按照国家、省上及本市有关法律法规、技术标准与建设、运维合同的规定,其网络与信息安全保障由承担建设和运行维护方负责,使用单位负责管理。
第十三条 市信息办负责全市电子政务网络与信息安全保障的技术支持和服务。
第十四条 市信息化领导小组办公室会同有关部门统一规划和组织建设全市电子政务安全测评、数字认证、病毒防治、冗灾备份和应急救援服务等安全基础设施。
第十五条 各级信息化主管部门负责组织协调公安、安全、保密、密码管理等有关职能部门,对电子政务网络与信息安全实施监督检查。
第三章 管理要求
第十六条 全市电子政务网络由基于电子政务传输网的政务内网和政务外网组成,政务内网与其他网络物理隔离,政务外网与公共网络逻辑隔离;涉密信息及处理涉密信息的应用系统必须部署在政务内网,非涉密信息及应用系统可根据业务需要选择部署在政务外网或政务内网。
第十七条 各单位必须制定电子政务信息的采集、发布、维护、保密等工作程序和管理制度,要按照“谁上网谁负责”的原则,保证其在电子政务网上运行的数据信息真实可靠,安全保密。
第十八条 为电子政务系统建设和运营维护提供服务的机构和个人,应当遵守国家有关法律法规和技术标准的规定,保守在服务活动中获知的国家秘密、内部秘密和个人隐私。
涉密电子政务系统建设和运营维护单位必须与为电子政务系统服务的机构和人员签订具有法律约束力的保密协议。
第十九条 建设电子政务系统必须同步规划、同步建设相应的安全防护系统,并与主体工程同时设计、同时施工、同时投入使用。
第二十条 电子政务工程建设应当实施信息系统工程监理,确保工程的安全和质量。
第二十一条 电子政务建设项目在报批立项前应向同级信息化主管部门提交安全防护系统建设方案,由信息化主管部门进行安全审查,符合电子政务网络与信息安全保障体系建设规划和安全管理规定的,方可按照建设项目程序办理有关手续。
第二十二条 已建和新建的电子政务系统,必须经过国家和省上有关主管部门授权的信息安全测评机构进行安全性测评,测评合格方可投入使用。
第二十三条 电子政务安全防护系统的建设和服务必须由具有相应资质和能力的机构承担,市信息化领导小组办公室依据相关规定,负责对有关机构的资质和能力进行审查。
第二十四条 电子政务系统建设必须使用符合国家电子政务网络与信息安全标准并通过国家产品认证的安全产品。
第二十五条 在电子政务系统建设中,采用无线局域网方式和具有无线局域网功能的计算机、通信设备、打印机、复印机、投影仪等产品的,应依照《无线局域网产品政府采购实施意见》(财库〔2005〕366号)的要求采购、使用符合国家无线局域网安全标准(GB l5629.11/1102)并通过国家认证的产品。
第二十六条 各单位应当依法使用正版软件,并制定本单位计算机终端软件安装使用管理制度。电子政务系统的计算机终端不得安装与工作无关的软件。
第二十七条 依托电子政务统一平台建立安全支撑平台,为各项政务应用提供安全防御、安全支撑、应用支撑、密钥管理等服务。各单位应当利用安全支撑平台提供的安全服务,建设与其相适应的电子政务安全防护系统。
第二十八条 电子政务系统使用数字证书,应当使用符合《中华人民共和国电子签名法》要求的“根认证”在省内或市内的电子认证服务机构颁发的数字证书,实行全省、全市“一证通”。
第二十九条 电子政务系统的设计、验收及运行维护阶段应当进行信息安全风险评估。在规划设计阶段,应通过风险评估明确安全目标;在验收阶段,应通过风险评估验证已设计实施的安全措施能否实现安全目标;在运行维护阶段,应定期进行风险评估工作,检验安全措施的有效性及对安全环境变化的适应性,并根据风险评估结果改进、完善安全保护措施。
电子政务系统的建设、使用单位应适时开展安全风险自评估,信息化主管部门要定期组织安全风险检查评估。
第三十条 各级信息化主管部门应当建立完善网络与信息安全应急救援服务体系,制定并组织协调有关单位落实应急预案,完善应急救援服务。
各单位应当健全灾备系统和应急机制,明确责任,规范网络与信息安全应急事件处置流程,落实安全应急措施。
第三十一条 各单位要选用具备相应网络与信息安全管理专业知识和技能的人员从事安全管理工作,进行必要的专业培训和考核,并对全体工作人员定期进行网络与信息安全知识培训。
第三十二条 任何单位和个人不得利用电子政务系统从事危害国家安全、泄露国家秘密等违法犯罪活动;不得利用电子政务系统查阅、复制、制造和传播非法信息;不得有制作、传播、安装计算机病毒、木马等破坏性程序以及其他危害电子政务系统安全的行为。
第三十三条 任何人未经本单位安全管理机构批准,不得增减或移动电子政务系统设备;不得修改系统设备、软件的配置;不得改变电子政务系统功能;不得从事修改系统数据和软件以及其他影响电子政务系统正常运行的活动。
第三十四条 各级信息化主管部门应当适时组织协调公安、安全、保密、密码管理等有关职能部门对电子政务系统建设、运营、使用单位履行网络与信息安全保护职责的情况进行监督检查。未达到安全保护要求的,应当书面通知其限期整改。
第四章 罚 则
第三十五条 违反本办法第二十一条规定,未经安全审查进行电子政务工程建设的,由县级以上信息化主管部门责令改正;造成重大损失的,对负有直接责任的国家工作人员依法给予行政处分;构成犯罪的,依法追究刑事责任。
第三十六条 违反本办法第二十二条规定,未经安全测评或测评不合格而投入运行的电子政务系统,由县级以上信息化主管部门责令其管理单位限期整改;造成重大损失的,对负有直接责任的国家工作人员依法给予行政处分;构成犯罪的,依法追究刑事责任。
第三十七条 违反本办法其他规定,由各级信息化主管部门通报批评并责令改正;对于有危害公共安全、国家安全、泄露国家秘密以及其他违犯法律、法规行为的单位和个人,由公安、国家安全、保密以及其他管理部门依法处理;给他人造成损失的,依法承担民事责任;构成犯罪的,依法追究刑事责任。
第三十八条 各级信息化主管部门和其他有关部门工作人员在电子政务网络与信息安全保障工作中徇私舞弊、滥用职权、玩忽职守给国家造成损失的,视情节给予行政处分;构成犯罪的,依法追究刑事责任。
第五章 附 则
第三十九条 对涉及国家秘密、国家安全的电子政务系统,国家和当地有特殊规定的,从其规定。
第四十条 本办法由市信息化领导小组办公室负责解释。
第四十一条 本办法自发布之日起施行。
第四篇:信息与网络管理中心信息安全保密管理办法
信息与网络管理中心信息安全保密管理办法
为加强信息化建设安全保密工作,维护集团安全和利益,结合信息化建设工作实际,特制定本管理办法。
一、信息安全与保密
1、建立信息系统安全等级保护制度,建立人员权限控制表,进行信息分级管理,不同级别的人员只能查看相应级别的数据;
2、发布任何信息必须经过合法的工作程序或主管领导的审批;
3、记录敏感数据的操作日志,并长期保存;
4、对数据中心的运行拓扑结构、服务器软硬件信息,包括操作系统和应用软件的配置等信息应分级管理并严格保密;
5、在开发、运行、维护过程中,每位成员要有保密意识,不该看的不看,不该说的不说;
6、禁止在自己管理的计算机(工作用机、服务器)上开设与工作无关的服务;
7、禁止在个人用机(笔记本电脑、台式 PC 机)上存放敏感数据;
8、系统管理员、数据库管理员、信息系统开发人员及相关人员不得对外宣扬本职工作所从事的具体内容;
9、所有上互联网的人员必须遵守国家有关法律法规的规定
10、如发生信息安全与保密事故,当事人立即向信息中心主任汇报,相关信息不得向无关人员透露。
二、数据安全
1、对存放敏感数据的运行服务器须严格管理。系统账号必须登记并定期检查;
2、严格控制对运行数据库和试运行库的直接访问。原则上只有运行服务室数据库管理人员、技术支持人员可以直接访问,其他人员访问数据库必须得到相关领导批准并备案;
3、建立数据备份制度,对数据进行定期备份,包括数据容灾备份;备份的数据应注意保密,不得随意存放;
4、运行数据库不得用于系统的开发调试;
5、测试数据库和开发数据库中不得存放敏感数据;
6、所有管理员(数据库系统、应用系统)应严格管理自己的帐号和密码,并定期更换密码;
7、管理员登录系统应采用加密方式;
8、不得利用邮件、移动存储介质、笔记本电脑等将数据中心的涉密资源带出办公室。
三、网络和服务器安全
1、设立信息系统安全保密责任人,加强对信息安全工作的组织落实;
2、设立信息安全管理员岗位,并制定相应的岗位职责;
3、建立数据中心网络信息安全防范体系,保证服务器特别是关键服务器的安全;
4、凡用于对外提供服务的服务器必须保留至两年的日志。
四、数据中心机房安全
1、对存放服务器的数据中心机房建立机房管理制度和严密的保安措施,无关人员严禁入内,相关人员进出机房必须有相应登记;
2、对信息备份的介质要专人保管,定期检查,防止丢失或受损;
3、加强机房日常管理,制定数据中心机房值班制度;
4、对于进出数据中心机房的设备必须经过严格的审批和登记手续。
五、办公环境安全
1、对于新装的计算机必须严格按照规范进行;
2、每位成员在其办公用机安装操作系统后,必须安装补丁程序、防病毒软件并进行安全检查。每位成员负责自己使用的办公用机的安全,及时更新补丁,升级相关软件及病毒库;
3、所有成员都有责任和义务保管好所使用的网络设施和计算机设备,非管理人员禁止随意更改设备配置,确保设备的正常稳定运行;
4、禁止未授权的其他人员接入中心的计算机网络以及访问网络中的资源;
5、IP 地址为计算机网络的重要资源,使用者应在管理员的规划下使用这些资源,不能擅自更改。某些系统服务对网络产生影响,使用者应在安全管理员的指导下使用,禁止随意开启计算机中的系统服务,保证计算机网络畅通运行;
6、计算机使用者应保管好分配给自己的用户账号和密码。禁止随意向他人泄露、借用自己的账号和密码,严禁不以真实身份登录系统。计算机使用者应定期更改密码、使用复杂密码。不得猜测他人的密码,不得使用黑客程序进行密码破解,不得窃取系统管理员的密码;
7、上网时必须将杀毒软件的实时监测功能打开;
8、接到可疑邮件时不要随意打开,以免感染病毒;
9、禁止利用扫描、监听、伪装等工具对网络和服务器进行恶意攻击,禁止非法侵入他人网络和服务器系统,禁止利用计算机和网络干扰他人正常上课和工作的行为。
第五篇:网络与信息安全
《网络与信息安全》复习资料
信息安全特征:完整性、保密性、可用性、不可否认性、可控性。保密学是研究信息系统安全保密的科学。
网络信息安全体系结构框架:安全控制单元、安全服务层面、协议层次。公钥密码:由两个密码组成,每个用户拥有一对选择密钥:加密密钥与解密密钥。公钥密码特点:(1)加密密钥和解密密钥在本质上是不同的,即使知道一个密钥,也不存在可以轻易地推导出另一个密钥的有效算法。(2)不需要增加分发密钥的额外信道。公布公钥空间,不影响公钥系统的保密性,因为保密的仅是解密密钥。公钥密码系统应具备两个条件:(1)加密和解密交换必须满足在计算上是容易的。(2)密码分析必须满足在计算机上是困难的。协议:两个或两个以上的主体为完成某一特定任务共同发起的某种协约或采取的一系列步骤。协议的特征:(1)至始至终有序进行。(2)协议成立至少要有两个主体。(3)协议执行要通过实体操作来实现。数字签名与手写签名的区别:(1)签名实体对象不同。(2)认证方式不同。(3)拷贝形式不同。
签名算法的三个条件:(1)签名者事后不能否认自己的签名。(2)任何其他人都不能伪造签名,接收者能验证签名。(3)当签名双方发生争执时,可由公正的第三方通过验证辨别真伪。
不可否认数字签名:没有签名者的合作,接收者就无法验证签名,某种程度上保护了签名者的利益,从而可防止复制或散布签名文件的滥用。
不可否认数字签名方案由三部分组成:数字签名算法、验证协议、否认协议。
散列函数:一种将任意长度的消息压缩为某一固定长度的消息摘要的函数。消息认证码:满足某种安全性质带有密钥功能的单向散列函数。身份证明分两大娄:身份证实、身份识别。信息隐藏:把一个有含义的信息隐藏在另一个载体信息中得到隐密载体的一种新型加密方式。
信息隐藏的两种主要技术:信息隐秘术、数字水印术。数字水印技术:指用信号处理的方法在数字化的多媒体数据中嵌入隐藏标识的技术。
三种数字水印:(1)稳健的不可见的水印。(2)不稳健的不可见的水印。(3)可见的水印。
数字水印三个特征:(1)稳健性。(2)不可感知性。(3)安全可靠性。
数字水印三个部分:(1)水印生成。(2)水印嵌入。(3)水印提取(检测)。
密钥管理的基本原则:(1)脱离密码设备的密钥数据应绝对保密。(2)密码设备内部的密钥数据绝对不外泄。(3)密钥使命完成,应彻底销毁、更换。常用密钥种类:(1)工作密钥。(2)会话密钥。(3)密钥加密密钥。(4)主机主密钥。
公开密钥分发:(1)广播式密钥分发。(2)目录式密钥分发。(3)公开密钥机构分发。(4)公开密钥证书分发。密钥保护方法:(1)终端密钥保护。(2)主机密钥保护。(3)密钥分级保护管理。
秘密共享方案:将一个密钥K分成n个共享密钥K1、K2……Kn,并秘密分配给n个对象保管。密钥托管技术:为用户提供更好的安全通信方式,同时允许授权者为了国家等安全利益,监听某些通信和解密有关密文。密钥托管加密体制由三部分组成:用户安全分量、密钥托管分量、数据恢复分量。密钥管理:指对于网络中信息加密所需要的各种密钥在产生、分配、注入、存储、传送及使用过程中的技术和管理体制。
保密通信的基本要求:保密性、实时性、可用性、可控性。密码保护技术:密码校验、数字签名、公证消息。通信保密技术:(1)语音保密通信(模拟置乱技术、数字加密技术)。(2)数据保密通信。(3)图像保密通信(模拟置乱、数字化图象信号加密)。网络通信加密的形式:(1)链路加密。(2)端-端加密。(3)混合加密。网络通信访问基本控制方式:(1)连接访问控制。(2)网络数据访问控制。(3)访问控制转发。(4)自主访问控制与强制访问控制。接入控制功能:(1)阻止非法用户进入系统。(2)允许合法用户进入系统。(3)使合法用户按其权限进行活动。接入控制策略:(1)最小权限策略。(2)最小泄漏策略。(3)多级安全策略。接入控制技术方法:(1)用户标识与认证。(2)身份认证特征(口令认证方式、协议验证身份)。
PGP的五种功能:认证性、机密性、压缩、Email兼容性、分段与重组。IP层安全功能:鉴别服务、机密性、密钥管理。
安全套接层SSL提供的安全服务:信息保密、信息完整性、相互认证。
PPDR-A模型五要素:安全策略、安全监测、安全反应、安全防御、安全对抗。操作系统安全访问控制:测试程序访问控制、操作系统的访问权限控制、保护机制的访问控制、用户认证访问控制。
安全操作系统设计四环节:安全模型、安全设计、安全确认、正确实施。安全网络平台种类:Windows NT、UNIX、Linux。(Linux兼容性好、源代码开放、安全透明)。
数据库安全条件:数据独立性、数据安全性、数据完整性、数据使用性、备份与恢复。
VPN(虚拟专用网)核心技术:隧道技术、密码技术、管理技术。
政务网的特点:信息公众化、信息机关化、信息存储量大、保密程度高、访问密级多样化。
政务网建设的三个安全域:(1)涉密域。(2)非涉密域。(3)公共服务域。
黑客攻击:指黑客利用系统漏洞和非常规手段,进行非授权的访问行为和非法运行系统或非法操作数据。
防黑客攻击几种防范技术:安全性设计保护、先进的认证技术、扫描检测审计技术。
常规网络扫描工具:SATAN扫描工具、Nessus安全扫描器、nmap扫描器、strobe扫描器。网络监听工具:NetXRay、Sniffit。防火墙:在网络安全边界控制中,用来阻止从外网想进入给定网络的非法访问对象的安全设备。包括网络级包过滤防火墙和应用级代理防火墙。
密罐:用来观察黑客如何入侵计算机网络系统的一个软件“陷阱”,通常称为诱骗系统。
计算机病毒:指编制或者在计算机程序中插入的破坏计算机功能或者数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。病毒检测方法:比较法、搜索法、辨别法、分析法。
电子商务安全要求:可靠性、真实性、机密性、完整性、有效性、不可抵赖性、可控性。
电子商务安全服务:鉴别服务、访问控制服务、机密性服务、不可否认服务。电子商务基本密码协议:密钥安全协议、认证安全协议、认证的密钥安全协议。国际通用电子商务安全协议:SSL安全协议、SET安全协议、S-HTTP安全协议、STT安全协议。
电子商务实体要素:持卡人、发卡机构、商家、银行、支付网关、认证机构。
点击咨询 