第一篇:我国电力行业网络与信息安全工作开展情况及建议(定稿)
我国电力行业网络与信息安全工作开展情况及建议
随着互联网技术的快速发展,现代电力系统生产运行越来越依赖于计算机通讯及程控技术,尤其是近几年,以“智能电网”为代表的电力行业信息化建设多次出现在政府工作报告中,同时在“十二五”规划纲要中也多次被提及,电力行业的信息化建设作为国家意志的体现已经上升到国家战略的高度。
但当我们在享受信息化技术带来的高效和便捷的同时,电力行业所面临的网络与信息安全风险也与日剧增。
我国电力行业网络与信息安全工作开展情况
2000年以来,我国相继发生了“二滩电厂停机事件”、“故障录波器事件”、“逻辑炸弹事件”、“换流站病毒感染事件”等多起电力行业网络与信息安全事件,造成了不同程度的事故影响,威胁到了电力系统安全稳定运行,同时也暴露出了我国电力行业在网络安全接入方面、安全生产管理方面、人员信息安全培训等方面存在薄弱环节。
针对类似电力信息安全事件,2002年,原国家经贸委发布第30号令《电网和电厂计算机监控系统及调度数据网络安全防护规定》,对电网和电厂计算机监控系统防护提出了要求。国家电监会成立后,对电力二次系统及网络信息安全防护明确提出了“安全分区、专网专用、横向隔离、纵向认证”的总体防护策略,并制定印发了《电力行业网络与信息安全信息报送暂行办法》、《电力行业网络与信息安全应急预案》、《电力行业网络与信息安全监督管理暂行办法》等一系列管理办法,使电力行业网络与信息安全防护的理念更加系统化、具体化,增强了可操作性,电力行业网络与信息安全防护工作进入了实质性建设阶段。
对比国外发达国家相对孤立、松散的电力行业信息安全防护现状,我国的电力行业信息安全防护工作在组织管理、部署实施、企业参与积极性等方面具有更为明显的优势。截至2011年底,全国电力安委会成员单位中的15家电网和发电企业90%以上的单位已按照“安
全分区、专网专用、横向隔离、纵向认证”的要求完成了生产控制大区和管理信息大区的物理隔离改造,通过认证、加密、访问控制等技术手段实现了远程数据传输、控制及纵向边界的安全防护。其中电网企业较发电企业,省级以上调度单位较地级调度单位,330千伏及以上变电站较220千伏变电站信息安全防护工作开展的更快、更全、更好。通过加强电力行业信息安全防护工作有效保证了北京奥运会、上海世博会、广州亚运会等重要保电时期电力系统的安全稳定运行和可靠供电。但在取得一系列成效的同时,问题和不足也相对明显。问题:法规标准不全责任落实不明技术保障不力
(一)信息安全法规和标准体系建设不全面对新形势下信息安全保障工作的发展需要,电力行业信息安全在政策法规和标准体系方面的问题也逐渐显现。一是法规和标准建设相对滞后,缺乏总体规划;二是规范和标准互通性和协调性不强,部分规范和标准的可执行性较差;三是部分规范和标准已不适应现实需要,尤其是新能源、新技术和新模式的引入,原有的信息安全防护标准无法应对某些新型信息安全的威胁;四是部分信息安全规范和标准在行业内难以得到切实落实。
2007年国家电监会启动了电力行业信息系统安全等级保护定级工作,并编制印发了《电力行业信息系统安全等级保护管理办法》和《信息系统安全等级保护定级指南》,行业信息安全法规和标准体系初步形成。但对电力行业信息系统等级保护的具体要求和规范意见,以及后续的信息系统等级测评和督促检查机制却仍未建立起来。
(二)组织体系与责任落实不明当前,电力行业中普遍存在重生产安全轻信息安全的状况,电力企业对信息安全重要性的认知程度也存在经济发展水平和所在地域上的差异。即便企业高层逐步认识到信息安全的重要性,也存在着以下问题:一是信息资源在公司的战略资产中的地位受到高层重视,但具体情况不甚清楚;二是信息安全工作缺乏明确的概念描述和参数指标;三是信息安全工作的责任与职能落实不够清晰,大部分电力企业未设立信息安全
专岗。
(三)网络和数据安全防护不完善由于互联网的开放性,来自互联网上的病毒、木马、黑客攻击以及计算机威胁事件,都时刻威胁着电力行业的信息系统安全,成为制约行业平稳、安全发展的障碍。因此,维护网络和数据安全成为行业信息安全保障工作的重要组成部分。近年来,电力企业采取了一系列措施,建立了相对安全的分区网络安全防护体系和冗灾备份系统,220千伏及以上主网信息安全防护体系已较为完善,基本保障了信息系统的安全运行。但细追究起来,电力行业的网络安全防护体系规划、配电网信息安全防护建设及灾备系统建设还不够完善,还存存以下几方面的问题:一是网络安全防护体系缺乏统一的规划;二是110千伏及以下配电网纵向数据传输安全性防护推进工作有待加强;三是网上营销管理系统防护能力有待继续加强;四是对数据安全重视不够,数据备份措施有待改进。
(四)技术支撑及后勤保障有待加强随着近几年信息安全重要性的逐步凸显,电力行业信息安全工作逐步得到重视,行业信息安全专业技术队伍不断发展壮大。部分大型国有电力企业已经建立了专门的科技信息部门,并设立专岗、专职人员负责信息安全工作。但是,仍存在着以下几方面问题:一是随着信息系统等级保护工作的深入开展,后续系统测评工作未能及时跟进,目前社会上有资质的测评机构大都缺乏必要的电力运行基础知识;二是信息安全人才队伍依然存在着结构不合理、后续教育不足等问题,此行业的人才培养有待加强;三是信息安全队伍不稳定,人员流动性较大,甚至有的已经设立信息安全技术部门的单位出现了撤编的情况。
建议:完善法规标准开展专项检查提高防护水平
(一)进一步完善法规和标准体系首先,在法规规划上,要统筹兼顾,制定科学的信息技术规范和标准体系框架。
一是全面做好立法规划;二是建立科学的行业信息安全标准和法规体系层次。建议将行
业信息安全标准和法规体系初步划分为3层:第一层是国家制定的信息安全保密法规;第二层是电监会制定的部门规章及管理规范性文件;第三层是电力行协及企业系统内部在电监会总体协调下组织制定的制度文件。其次,在法规制定上要兼顾规范和发展,重视法规的可行性。最后,在法规实施上要坚持规范和指引相结合,重视监督检查和责任落实。
(二)深入开展电力行业信息安全专项检查工作1.提高对信息安全工作的重视度。通过安全委开员会宣传做好信息安全工作的重要性,提高电力企业做好信息安全工作的认识。通过培训和定期组织开展电力行业信息安全专项抽查,督促并帮助企业及时查找自身漏洞并落实整改,做好防微杜渐工作。
2.制定行业标准积极落实信息安全等级保护。
行业监管部门在推动行业信息安全等级保护工作中的作用非常关键,应进一步明确监管部门推动行业信息安全等级保护工作的任务和工作机制,统一部署、组织行业的等级保护工作,为该项工作的顺利开展提供组织保证。同时,应对各单位实施信息系统安全等级保护情况进行测评,在测评环节一旦发现信息系统的不足,被测评单位应立即制定相应的整改方案并实施,监督机构负责督促其整改。
3.加强网络安全体系规划以提升网络安全防护水平。
(1)以等级保护为依据进行统筹规划。等级保护是围绕信息安全保障全过程的一项基础性的管理制度,通过将等级化的方法和安全体系规划有效结合,统筹规划电力行业网络安全体系的建设,建立一套信息安全保障体系,将是系统化地解决电力行业网络安全问题的一个非常有效的方法。
(2)加强网络访问控制提高网络防护能力。对向电力行业提供设备、技术和服务的IT公司的资质和诚信加强管理,确保其符合国家、行业技术标准,同时签订必要的保密协议。根据网络隔离要求,逐步建立生产控制区与管理区、办公区与互联网、网上营销各子系统间
有效的网络隔离。技术上可以对不同的业务安全区域划分Vlan或者采用网闸设备进行隔离;对主要的网络边界和各外部进口进行渗透测试,进行系统和设备的安全加固,降低系统漏洞带来的安全风险;在网上营销管理方面,采取电子签名或数字认证等高强度认证方式,加强访问控制;针对现存恶意攻击网站的事件越来越多的情况,要采取措施加强网站保护,提高对恶意代码的防护能力,同时采用技术手段,提高网上交易客户端软件使用的安全性。
(3)加强对员工的信息安全培训。除了要加强网络安全技术人员的管理能力和专业技能培训外,还要加强对全体电力职工的信息安全宣传教育,提高其信息安全保密意识,并掌握基本的信息安全防护技能,从而整体提高电力行业信息安全的管理水平和专业技术水平。
4.扎实推进行业灾难备份建设。
无论是美国的“9.11”事件,还是我国2008年南方冰雪灾害和四川汶川大地震,都敲响了灾难备份的警钟。电力行业要针对自身需要,对重要系统开展灾难备份建设,制定相关的灾难应急预案,并加强应急预案的演练,确保灾难备份系统应急有效,使应急工作与日常工作有机结合。
5.加强监管技术队伍建设。
为了适应新时期电力行业信息安全监管工作需要,监管机构须进一步加大在此方面的人力物力投入,同时建立起独立的信息安全测评机构,并在各区域组建信息安全测评专家小组,专门负责各区域电力企业的信息安全测评工作。
第二篇:电力行业网络与信息安全管理办法
国家能源局关于印发
《电力行业网络与信息安全管理办法》的通知
国能安全〔2014〕317号
各派出机构,各有关电力企业:
为了规范电力行业网络与信息安全的监督管理,国家能源局制定了《电力行业网络与信息安全管理办法》,现印发你们,请依照执行。
国家能源局
2014年7月2日
电力行业网络与信息安全管理办法
第一章 总 则
第一条 为加强电力行业网络与信息安全监督管理,规范电力行业网络与信息安全工作,根据《中华人民共和国计算机信息系统安全保护条例》及国家有关规定,制定本办法。
第二条 电力行业网络与信息安全工作的目标是建立健全网络与信息安全保障体系和工作责任体系,提高网络与信息安全防护能力,保障网络与信息安全,促进信息化工作健康发展。
第三条 电力行业网络与信息安全工作坚持“积极防御、综合防范”的方针,遵循“统一领导、分级负责,统筹规划、突出重点”的原则。
第二章 监督管理职责
—1—
第四条 国家能源局是电力行业网络与信息安全主管部门,履行电力行业网络与信息安全监督管理职责。国家能源局派出机构根据国家能源局的授权,负责具体实施本辖区电力企业网络与信息安全监督管理。
第五条 国家能源局依法履行电力行业网络与信息安全监督管理工作职责,主要内容为:
(一)组织落实国家关于基础信息网络和重要信息系统安全保障工作的方针、政策和重大部署,并与电力生产安全监督管理工作相衔接;
(二)组织制定电力行业网络与信息安全的发展战略和总体规划;
(三)组织制定电力行业网络与信息安全等级保护、风险评估、信息通报、应急处置、事件调查与处理、工控设备安全性检测、专业人员管理、容灾备份、安全审计、信任体系建设等方面的政策规定及技术规范,并监督实施;
(四)组织制定电力行业网络与信息安全应急预案,督促、指导电力企业网络与信息安全应急工作,组织或参加信息安全事件的调查与处理;
(五)组织建立电力行业网络与信息安全工作评价与考核机制,督促电力企业落实网络与信息安全责任、保障网络与信息安全经费、开展网络与信息安全工程建设等工作;
(六)组织开展电力行业网络与信息安全信息通报、从业人员技能培训考核等工作;
(七)组织开展电力行业网络与信息安全的技术研发工作;
(八)电力行业网络与信息安全监督管理的其它事项。
第三章 电力企业职责
第六条 电力企业是本单位网络与信息安全的责任主体,负责本单位的网络与信息安全工作。
第七条 电力企业主要负责人是本单位网络与信息安全的第一责任人。电力企业应当建立健全网络与信息安全管理制度体系, 成立工作领导机构,明确责任部门,设立专兼职岗位,定义岗位职责,明确人员分工和技能要求, 建立健全网络与信息安全责任制。
第八条 电力企业应当按照电力监控系统安全防护规定及国家信息安全等级保护制度的要求,对本单位的网络与信息系统进行安全保护。
第九条 电力企业应当选用符合国家有关规定、满足网络与信息安全要求的信息技术产品和服务,开展信息系统安全建设或改建工作。
第十条 电力企业规划设计信息系统时,应明确系统的安全保护需求,设计合理的总体安全方案,制定安全实施计划,负责信息系统安全建设工程的实施。
第十一条 电力企业应当按照国家有关规定开展电力监控系统安全防护评估和信息安全等级测评工作,未达到要求的应当及时进行整改。
第十二条 电力企业应当按照国家有关规定开展信息安全风险评估工作,建立健全信息安全风险评估的自评估和检查评估制度,完善信息安全风险管理机制。
第十三条 电力企业应当按照网络与信息安全通报制度的规定,建立健全本单位信息通报机制,开展信息安全通报预警工作,及时向国家能源局或其派出机构报告有关情况。
第十四条 电力企业应当按照电力行业网络与信息安全应急预案,制定或修订本单位网络与信息安全应急预案,定期开展应急演练。
第十五条 电力企业发生信息安全事件后,应当及时采取有效措施降低损害程度,防止事态扩大,尽可能保护好现场,按规定做好信息上报工作。
第十六条 电力企业应当按照国家有关规定,建立健全容灾备份制度,对关键系统和核心数据进行有效备份。
第十七条 电力企业应当建立网络与信息安全资金保障制度,有效保障信息系统安全建设、运维、检查、等级测评和安全评估、应急及其它的信息安全资金。
第十八条 电力企业应当加强信息安全从业人员考核和管理。从业人员应当定期接受相应的政策规范和专业技能培训,并经培训合格后上岗。
第四章 监督检查
第十九条 国家能源局及其派出机构依法对电力企业网络与信息安全
工作进行监督检查。
第二十条 国家能源局及其派出机构进行监督检查和事件调查时,可以采取下列措施:
(一)进入电力企业进行检查;
(二)询问相关单位的工作人员,要求其对有关检查事项作出说明;
(三)查阅、复制与检查事项有关的文件、资料,对可能被转移、隐匿、损毁的文件、资料予以封存;
(四)对检查中发现的问题,责令其当场改正或者限期改正。
第五章 附 则
第二十一条 本办法由国家能源局负责解释。
第二十二条 本办法自发布之日起实施,有效期五年。2007年12月4日原国家电力监管委员会发布的《电力行业网络与信息安全监督管理暂行规定》(电监信息〔2007〕50号)同时废止。
第三篇:开展网络与信息安全检查工作自查报告
开展网络与信息安全检查工作自查报告3篇
开展网络与信息安全检查工作自查报告1
根据县政府办公室《xx县人民政府办公室转发县经信委关于开展信息网络安全专项检查的工作方案和安徽省政府的网站安全事件信息报告制度的通知》(x政办[20xx]140号)的文件精神,我局高度重视,认真组织相关人员对我局的办公网络系统进行了全面检查,现将检查的情况报告如下:
一、自查情况
(一)信息网络安全组织落实情况。
成立了县卫生局信息网络安全工作领导小组,局长任组长,分管副局长任副组长,各医疗卫生单位主要负责人为成员,并设臵了专职信息安全员,做到了分工明确、责任到人。
(二)信息网络安全管理规章制度的建立和落实情况。
为确保信息网络安全,我局实行了网络专管员制度、计算机安全保密制度、网络安全管理制度、网络信息安全突发事件应急预案等以有效提高管理人员的工作效率。同时我局结合自身情况制定网络信息安全自查工作制度,做到四个确保:一是信息安全员于每周五定期检查单位计算机系统,确保无隐患问题;二是制定安全检查工作记录,确保工作落实;三是实行领导定期询问制度,由信息安全员汇报计算机使用情况,确保情况随时掌握;四是定期组织全局人员学习网络知识,提高计算机使用水平,加强安全防范。
(三)技术防范措施落实情况。
一是制定了网络信息安全突发事件应急预案,并随着信息化程度的深入,结合我局实际,不断加以完善;二是严格文件的收发,完善了清点、整理、编号、签收制度,并要求信息管理员严格管理;三是及时对系统和软件进行更新,对重要文件、信息资源做到及时备份,数据恢复;四是计算机由专业公司定点维修,并商定其给予应急技术支持,重要系统皆为政府指定的产品系统;五是涉密计算机经过了保密技术检查,并安装了防火墙。同时配臵安装了专业杀毒软件,加强了在防篡改、防病毒、防攻击、防瘫痪、防泄密等方面的有效性。安装了针对移动存储设备的专业杀毒软件;六是涉密计算机都设有开机密码,由专人保管负责。同时,涉密计算机不和其它计算机之间相互共享。对重要服务器上的应用、服务、端口和链接都进行了安全检查并加固处理。
(四)执行计算机信息系统安全案件、事件报告制度情况。
严格按照《安徽省政府的`网站安全事件信息报告制度》要求,由专职人员及时向有关部门报告。
(五)有害信息的制止和防范情况。
截至目前,暂未发现我局门户网站及政府信息公开平台存在散播不当政治言论等有害信息的现象,并安排信息安全人员定期浏览排查,及时发现问题。加强对卫生系统工作人员的信息安全宣传教育,提高信息安全防范意识和应急处理能力。
(六)党政机关保密工作。
制定了县卫生局计算机及网络的保密管理制度。办公系统的信息管理人员负责保密管理、密码管理,对计算机享有独立使用权,计算机的用户名和开机密码为其专有,且规定严禁外泄。
(七)重要信息系统等级保护工作开展情况。
按照国家信息安全等级保护有关要求,全面开展卫生系统信息系统的定级、备案和测评工作,对发现的问题及时进行整改。各单位对本单位信息系统进行定级,对二级以上的信息系统办理备案手续,对三级以上信息系统开展信息安全等级测评,根据测评结果,不符合要求的,制定了整改方案进行整改,并加强日常信息系统安全等级保护监督检查工作。
二、存在问题
根据《通知》的具体要求,在自查过程中也发现了一些不足,一是信息管理技术人员较少,信息系统安全方面可投入的力量有限;二是规章制度体系初步建立,但还不完善,未能覆盖信息系统安全的所有方面;三是个别职工保密意识还不够高,要加强防范意识;四是遇到计算机病毒侵袭等突发事件处理不够及时。
三、整改措施
针对以上自查中发现的隐患与不足,为进一步加强信息网络系统安全,应围绕信息系统安全综合治理的工作目标,重点在完善规章制度、丰富技术手段上下功夫,认真开展整改工作。
(一)强化应急响应机制建设。制定周密的应急预案,加强应急技术支援队伍建设,认真做好应急演练、重大信息安全事故处臵、重要数据和业务系统备份等各项工作,确保信息系统安全正常运行。
(二)强化制度保障。一是以制度为根本,在进一步完善信息安全制度的同时,安排专人,完善设施,密切监测,随时随地解决可能发生的信息系统安全事故;二是不定期的对安全制度执行情况进行检查,对于导致不良后果的责任人,要严肃追究责任,从而提高人员安全防护意识。
(三)加强信息安全教育培训。建议举办信息安全技术培训班,对信息安全管理人员进行集中培训,以增强安全防范意识和应对能力,进一步提高政府信息系统安全管理水平。
(四)加强对单位干部的安全意识教育。加强对机关干部的安全意识教育,提高做好安全工作的主动性和自觉性,增强对计算机信息系统安全的防范和保密意识。
开展网络与信息安全检查工作自查报告2
根据《关于转发<关于开展20xx年六安市网络安全检查工作的通知>的通知》(区宣字〔20xx〕23号)的要求,椿树镇党委、政府高度重视并迅速开展检查工作,现将检查情况总结报告如下:
一、成立领导小组
为进一步加强网络信息系统安全管理工作,我镇成立了网络信息工作领导小组,由镇长任组长,分管副书记任副组长,下设办公室,做到分工明确,责任具体到人,确保网络信息安全工作顺利实施。
二、网络安全现状
目前我镇共有电脑32台,均采用防火墙对网络进行保护,并安装了杀毒软件对全镇计算机进行病毒防治。
三、网络安全管理措施
为了做好信息化建设,规范政府信息化管理,我镇专门制订了《椿树镇网络安全管理制度》、《椿树镇网络信息安全保障工作方案》、《椿树镇病毒检测和网络安全漏洞检测制度》等多项制度,对信息化工作管理、内部电脑安全管理、计算机及网络设备管理、数据、资料和信息的安全管理、网络安全管理、计算机操作人员管理、网站内容管理、网站维护责任等各方面都作了详细规定,进一步规范了我镇信息安全管理工作。
针对计算机保密工作,我镇制定了《椿树镇镇信息发布审核、登记制度》、《椿树镇突发信息网络事件应急预案》等相关制度,并定期对网站上的所有信息进行整理,未发现涉及到安全保密内容的信息;与网络安全小组成员签订了《椿树镇网络信息安全管理责任书》,确保计算机使用做到“谁使用、谁负责”;对我镇内网产生的'数据信息进行严格、规范管理,并及时存档备份;此外,在全镇范围内组织相关计算机安全技术培训,并开展有针对性的“网络信息安全”教育及演练,积极参加其他计算机安全技术培训,提高了网络维护以及安全防护技能和意识,有力地保障我镇政府信息网络正常运行。
四、网络安全存在的不足及整改措施
目前,我镇网络安全仍然存在以下几点不足:
一是安全防范意识较为薄弱;二是病毒监控能力有待提高;三是对移动存储介质的使用管理还不够规范;四是遇到恶意攻击、计算机病毒侵袭等突发事件处理能力不够。
针对目前我镇网络安全方面存在的不足,提出以下几点整改意见:
1、进一步加强网络安全小组成员计算机操作技术、网络安全技术方面的培训,强化计算机操作人员对网络病毒、信息安全威胁的防范意识,做到早发现,早报告、早处理。
2、加强干部职工在计算机技术、网络技术方面的学习,不断提高机关干部的计算机技术水平。
开展网络与信息安全检查工作自查报告3
为了贯彻落实《关于开展网络与信息安全检查工作的通知》的精神,切实加强我局政务信息系统运行管理和对外网站安全防范工作,严防攻击、网络中断、病毒传播、信息失窃密,为国庆60周年庆祝活动的顺利举行创造良好的网络信息环境,现就我局网络信息安全自查自纠情况汇报如下:
一、高度重视,切实加强国庆60周年庆祝活动期间网络信息安全工作。我局接到区信息办下发的《关于开展网络与信息安全检查工作的通知》后,局领导班子高度重视,立即进行安排部署,落实责任,强化防护措施,加强对本单位网络和信息系统的安全保护,做好我局内部网络和信息系统的安全防范和安全检查工作。
二、按要求严格落实网络信息安全各项制度
1.责任制度。对网络信息安全各项制度进行了全面梳理,重点抓好安全责任制、应急预案、值班值守、信息发布审核等制度的落实。严格落实领导责任制,一把手亲自过问,分管负责人直接抓,一级抓一级,层层抓落实。
2.原则要求。坚决执行“谁主管谁负责、谁运行谁负责、谁使用谁负责、谁发布谁负责”的原则,认真履行网络信息安全保障职责。
3.“五到位”。坚决做到领导、机构、人员、责任、措施“五到位”。健全安全工作机制,对发生重大安全责任事故的,要严肃追究相关人员的`责任。
三、进一步强化安全防范措施
1.清查网站隐患。针对和应用系统的程序升级、账户、密码、杀病毒、网站维护、政务网接入和运行等方面存在的突出问题,我们逐一进行清理、排查,能及时更新升级的更新升级,进一步强化安全防范措施,及时堵塞漏洞、消除隐患、化解风险。
2.严格执行网络信息安全“五禁止”规定。能够按要求禁止将涉密信息系统接入国际互联网及其他公共信息网络,能够禁止在没有防护措施的情况下将国际互联网等公共信息网络上的数据拷贝到涉密信息系统,能够禁止将涉密与非涉密网络混用,能够禁止将涉密与非涉密计算机、移动存储设备混用,能够禁止使用具有无线互联功能的设备处理涉密信息。
四、认真抓好网络信息安全自查和整改
通过自查,我们发现我局网络与信息系统安全隐患还是存在一些问题,我们将切实对涉及到的有关问题逐步解决,进一步加强网络信息安全管理。
第四篇:网络与信息安全
《网络与信息安全》复习资料
信息安全特征:完整性、保密性、可用性、不可否认性、可控性。保密学是研究信息系统安全保密的科学。
网络信息安全体系结构框架:安全控制单元、安全服务层面、协议层次。公钥密码:由两个密码组成,每个用户拥有一对选择密钥:加密密钥与解密密钥。公钥密码特点:(1)加密密钥和解密密钥在本质上是不同的,即使知道一个密钥,也不存在可以轻易地推导出另一个密钥的有效算法。(2)不需要增加分发密钥的额外信道。公布公钥空间,不影响公钥系统的保密性,因为保密的仅是解密密钥。公钥密码系统应具备两个条件:(1)加密和解密交换必须满足在计算上是容易的。(2)密码分析必须满足在计算机上是困难的。协议:两个或两个以上的主体为完成某一特定任务共同发起的某种协约或采取的一系列步骤。协议的特征:(1)至始至终有序进行。(2)协议成立至少要有两个主体。(3)协议执行要通过实体操作来实现。数字签名与手写签名的区别:(1)签名实体对象不同。(2)认证方式不同。(3)拷贝形式不同。
签名算法的三个条件:(1)签名者事后不能否认自己的签名。(2)任何其他人都不能伪造签名,接收者能验证签名。(3)当签名双方发生争执时,可由公正的第三方通过验证辨别真伪。
不可否认数字签名:没有签名者的合作,接收者就无法验证签名,某种程度上保护了签名者的利益,从而可防止复制或散布签名文件的滥用。
不可否认数字签名方案由三部分组成:数字签名算法、验证协议、否认协议。
散列函数:一种将任意长度的消息压缩为某一固定长度的消息摘要的函数。消息认证码:满足某种安全性质带有密钥功能的单向散列函数。身份证明分两大娄:身份证实、身份识别。信息隐藏:把一个有含义的信息隐藏在另一个载体信息中得到隐密载体的一种新型加密方式。
信息隐藏的两种主要技术:信息隐秘术、数字水印术。数字水印技术:指用信号处理的方法在数字化的多媒体数据中嵌入隐藏标识的技术。
三种数字水印:(1)稳健的不可见的水印。(2)不稳健的不可见的水印。(3)可见的水印。
数字水印三个特征:(1)稳健性。(2)不可感知性。(3)安全可靠性。
数字水印三个部分:(1)水印生成。(2)水印嵌入。(3)水印提取(检测)。
密钥管理的基本原则:(1)脱离密码设备的密钥数据应绝对保密。(2)密码设备内部的密钥数据绝对不外泄。(3)密钥使命完成,应彻底销毁、更换。常用密钥种类:(1)工作密钥。(2)会话密钥。(3)密钥加密密钥。(4)主机主密钥。
公开密钥分发:(1)广播式密钥分发。(2)目录式密钥分发。(3)公开密钥机构分发。(4)公开密钥证书分发。密钥保护方法:(1)终端密钥保护。(2)主机密钥保护。(3)密钥分级保护管理。
秘密共享方案:将一个密钥K分成n个共享密钥K1、K2……Kn,并秘密分配给n个对象保管。密钥托管技术:为用户提供更好的安全通信方式,同时允许授权者为了国家等安全利益,监听某些通信和解密有关密文。密钥托管加密体制由三部分组成:用户安全分量、密钥托管分量、数据恢复分量。密钥管理:指对于网络中信息加密所需要的各种密钥在产生、分配、注入、存储、传送及使用过程中的技术和管理体制。
保密通信的基本要求:保密性、实时性、可用性、可控性。密码保护技术:密码校验、数字签名、公证消息。通信保密技术:(1)语音保密通信(模拟置乱技术、数字加密技术)。(2)数据保密通信。(3)图像保密通信(模拟置乱、数字化图象信号加密)。网络通信加密的形式:(1)链路加密。(2)端-端加密。(3)混合加密。网络通信访问基本控制方式:(1)连接访问控制。(2)网络数据访问控制。(3)访问控制转发。(4)自主访问控制与强制访问控制。接入控制功能:(1)阻止非法用户进入系统。(2)允许合法用户进入系统。(3)使合法用户按其权限进行活动。接入控制策略:(1)最小权限策略。(2)最小泄漏策略。(3)多级安全策略。接入控制技术方法:(1)用户标识与认证。(2)身份认证特征(口令认证方式、协议验证身份)。
PGP的五种功能:认证性、机密性、压缩、Email兼容性、分段与重组。IP层安全功能:鉴别服务、机密性、密钥管理。
安全套接层SSL提供的安全服务:信息保密、信息完整性、相互认证。
PPDR-A模型五要素:安全策略、安全监测、安全反应、安全防御、安全对抗。操作系统安全访问控制:测试程序访问控制、操作系统的访问权限控制、保护机制的访问控制、用户认证访问控制。
安全操作系统设计四环节:安全模型、安全设计、安全确认、正确实施。安全网络平台种类:Windows NT、UNIX、Linux。(Linux兼容性好、源代码开放、安全透明)。
数据库安全条件:数据独立性、数据安全性、数据完整性、数据使用性、备份与恢复。
VPN(虚拟专用网)核心技术:隧道技术、密码技术、管理技术。
政务网的特点:信息公众化、信息机关化、信息存储量大、保密程度高、访问密级多样化。
政务网建设的三个安全域:(1)涉密域。(2)非涉密域。(3)公共服务域。
黑客攻击:指黑客利用系统漏洞和非常规手段,进行非授权的访问行为和非法运行系统或非法操作数据。
防黑客攻击几种防范技术:安全性设计保护、先进的认证技术、扫描检测审计技术。
常规网络扫描工具:SATAN扫描工具、Nessus安全扫描器、nmap扫描器、strobe扫描器。网络监听工具:NetXRay、Sniffit。防火墙:在网络安全边界控制中,用来阻止从外网想进入给定网络的非法访问对象的安全设备。包括网络级包过滤防火墙和应用级代理防火墙。
密罐:用来观察黑客如何入侵计算机网络系统的一个软件“陷阱”,通常称为诱骗系统。
计算机病毒:指编制或者在计算机程序中插入的破坏计算机功能或者数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。病毒检测方法:比较法、搜索法、辨别法、分析法。
电子商务安全要求:可靠性、真实性、机密性、完整性、有效性、不可抵赖性、可控性。
电子商务安全服务:鉴别服务、访问控制服务、机密性服务、不可否认服务。电子商务基本密码协议:密钥安全协议、认证安全协议、认证的密钥安全协议。国际通用电子商务安全协议:SSL安全协议、SET安全协议、S-HTTP安全协议、STT安全协议。
电子商务实体要素:持卡人、发卡机构、商家、银行、支付网关、认证机构。
第五篇:学校网络与信息安全工作自查报告
学校网络与信息安全工作自查报告
根据中心《关于进一步加强网络与信息安全工作的通知》和《终端计算机安全使用规范》的要求,为了进一步促进我校计算机网络与信息安全,本着“责任到人,一丝不苟”的指导思想,做到管理制度化、规范化,提高班班通设备及微机室学生用机、教师个人用机的使用效能,特对我校计算机网络与信息安全工作的建设和管理情况进行自查。具体情况整理如下:
一、责任到人
1、教师个人电脑由使用教师做好日常维护,学校电教小组负责监督、检查、维修。
2、本学期配备的教室班班通设备由学校统一管理,班主任为第一责任人,任课教师为第二责任人,分别签订了各自的管理使用责任书,并做好日常的使用记录,各教室张贴班班通管理使用制度。
3、微机室用机由微机老师负责管理维护,做好使用记录。
二、认真组织使用培训和安排各项检查、统计工作。
1、各教室班班通的使用情况是我们工作的一个重点。我们有计划地组织老师们进行操作使用方面的培训。每月对各班级的班班通使用记录本进行检查记录。每周组织班班通小助手对各班课间和下午放学时的设备关闭情况进行随机检查,并做好检查记录。为所有班班通设备统一安装了杀毒软件。
2、定期在校园网上提醒全体教师对个人电脑进行病毒查杀,并随时解决教师电脑出现的一些问题和故障。
3、微机室的电脑由微机老师定期更新查杀,每学期末上交学生操作使用记录。
三、通过自查发现的问题及工作中的不足
1、通过自查,我们发现有的教师机桌面文件比较杂乱,有的杀毒更新不及时,教师个人或办公室的IP地址混乱;有的班班通设备还不能完全按要求及时地做好一些设备的关闭;微机室的电脑配置较低,速度较慢等。
2、之前,对教师用机的管理和检查工作做得还不太到位,基本处于放任自由管理状态,安装的软件等比较杂乱。
3、电教小组负责人其他任务多,在完成全校所有计算机管理工作时显得力不从心,有时觉得分身无术。
四、整改措施
1、首先成立电教小组,增加人手,成员分工合作,增强对全校计算机的维护与监管力度。
2、针对部分IP地址混乱的问题,及时进行了整改,现已将所有教师及办公室的IP地址进行了统一编排,并重新进行了设置。全校计算机也全部做到规范命名。
3、今后,还要定期组织教师进行计算机的维护使用培训,或在校园网上及时提醒教师们进行计算机的维护操作,不断规范教师用机的使用。
4、要通过对班班通的检查,及时总结发现的问题,及时反馈给各班主任和任课老师,改进管理使用的方法。
5、向上级申请尽量争取更换微机室的学生用机,提高使用效率。
通过自查,全面了解本校在计算机管理使用及网络与信息安全方面的情况,在思想上引起了高度重视,从本校的实际情况进行总结分析。本着实事求是的原则,有则改之,无则加勉,不断完善我们的工作。