第一篇:公共互联网网络安全威胁监测与处置办法
公共互联网网络安全威胁监测与处置办法
第一条 为加强和规范公共互联网网络安全威胁监测与处置工作,消除安全隐患,制止攻击行为,避免危害发生,降低安全风险,维护网络秩序和公共利益,保护公民、法人和其他组织的合法权益,根据《中华人民共和国网络安全法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》《中华人民共和国电信条例》等有关法律法规和工业和信息化部职责,制定本办法。
第二条 本办法所称公共互联网网络安全威胁是指公共互联网上存在或传播的、可能或已经对公众造成危害的网络资源、恶意程序、安全隐患或安全事件,包括:
(一)被用于实施网络攻击的恶意IP地址、恶意域名、恶意URL、恶意电子信息,包括木马和僵尸网络控制端,钓鱼网站,钓鱼电子邮件、短信/彩信、即时通信等;
(二)被用于实施网络攻击的恶意程序,包括木马、病毒、僵尸程序、移动恶意程序等;
(三)网络服务和产品中存在的安全隐患,包括硬件漏洞、代码漏洞、业务逻辑漏洞、弱口令、后门等;
(四)网络服务和产品已被非法入侵、非法控制的网络安全事件,包括主机受控、数据泄露、网页篡改等;
(五)其他威胁网络安全或存在安全隐患的情形。
护工作。
第七条 电信主管部门委托国家计算机网络应急技术处理协调中心、中国信息通信研究院等专业机构对相关单位提交的网络安全威胁信息进行认定,并提出处置建议。认定工作应当坚持科学严谨、公平公正、及时高效的原则。电信主管部门对参与认定工作的专业机构和人员加强管理与培训。
第八条 电信主管部门对专业机构的认定和处置意见进行审查后,可以对网络安全威胁采取以下一项或多项处置措施:
(一)通知基础电信企业、互联网企业、域名注册管理和服务机构等,由其对恶意IP地址(或宽带接入账号)、恶意域名、恶意URL、恶意电子邮件账号或恶意手机号码等,采取停止服务或屏蔽等措施。
(二)通知网络服务提供者,由其清除本单位网络、系统或网站中存在的可能传播扩散的恶意程序。
(三)通知存在漏洞、后门或已经被非法入侵、控制、篡改的网络服务和产品的提供者,由其采取整改措施,消除安全隐患;对涉及党政机关和关键信息基础设施的,同时通报其上级主管单位和网信部门。
(四)其他可以消除、制止或控制网络安全威胁的技术措施。
电信主管部门的处置通知应当通过书面或可验证来源
第十四条 各省、自治区、直辖市通信管理局可参照本办法制定本行政区域网络安全威胁监测与处置办法实施细则。
第十五条 本办法自2018年1月1日起实施。2009年4月13日印发的《木马和僵尸网络监测与处置机制》和2011年12月9日印发的《移动互联网恶意程序监测与处置机制》同时废止。
第二篇:移动互联网恶意程序监测与处置机制
移动互联网恶意程序监测与处置机制 工业和信息化部2011年12月9日发布
第一条 为净化公共互联网网络环境,保护用户权益,维护网络安全,有效防范和处置移动互联网恶意程序,依据《中华人民共和国电信条例》、《公共互联网网络安全应急预案》,制定本机制。
第二条 移动互联网恶意程序是指运行于包括智能手机在内的具有移动通信功能的移动终端之上,存在窃听用户通话、窃取用户信息、破坏用户数据、擅自使用付费业务、发送垃圾信息、推送广告或欺诈信息、影响移动终端运行、危害互联网网络安全等恶意行为的计算机程序。
第三条 本机制适用于移动互联网恶意程序及其传播服务器、控制服务器的监测和处置。
第四条 工业和信息化部指导、组织、监督全国移动互联网恶意程序的监测和处置工作。工业和信息化部通信保障局负责具体工作。
各省、自治区、直辖市通信管理局(以下简称通信管理局)指导、组织、监督本行政区域内移动互联网恶意程序的监测和处置工作。
国家计算机网络应急技术处理协调中心(以下简称CNCERT)受工业和信息化部委托,负责对移动互联网恶意程序样本进行认定命名,对移动互联网恶意程序进行监测、分析、通报,协调处置传播服务器、控制服务器和攻击源。
移动通信运营企业负责报送移动互联网恶意程序疑似样本,对CNCERT认定通报的移动互联网恶意程序进行监测、处置和反馈,为本单位所服务的用户提供信息提示和查杀技术咨询。
互联网域名注册管理机构和注册服务机构负责对CNCERT通报的由自身管理的恶意域名进行处置。
第五条 移动通信运营企业、互联网接入服务提供商、IDC服务提供商、互联网域名注册管理机构、互联网域名注册服务机构在提供互联网接入服务、托管服务、域名注册解析等服务时,应在与用户签订的服务协议、合同中约定用户承担的网络安全保障责任。
第六条 移动通信运营企业、CNCERT应不断提高移动互联网恶意程序的样本捕获和监测处置能力,建设完善相关技术平台。移动通信运营企业应具备覆盖本企业网内的监测处置能力,CNCERT应具备跨不同企业移动互联网的监测能力。
第七条 CNCERT、移动通信运营企业、互联网域名注册管理和服务机构应建立健全本单位的处置机制,加强协同配合,共同做好移动互联网恶意程序的监测和处置工作。
第八条 移动互联网恶意程序事件分为特别重大、重大、较大、一般共四级。
特别重大事件:单个移动互联网恶意程序造成用户通信费用损失累计超过一千万元人民币,或24小时内受感染用户规模超过十万个手机号码,对社会造成特别重大影响。
重大事件:单个移动互联网恶意程序造成用户通信费用损失累计超过五百万元人民币,或24小时内受感染用户规模超过五万个手机号码,对社会造成重大影响。
较大事件:单个移动互联网恶意程序造成用户通信费用损失累计超过一百万元人民币,或24小时内受感染用户规模超过一万个手机号码,对社会造成较大影响。
一般事件:发生移动互联网恶意程序事件,对社会造成一定影响,但未造成上述后果。
工业和信息化部负责对分级规范进行修订。
第九条 样本捕获与认定命名
(一)移动通信运营企业自主捕获或从其他渠道获得疑似恶意程序样本,应于发现后进行初步分析并提出命名建议,在3个工作日内将样本和分析结果报送CNCERT(报送格式见附件一)。
(二)CNCERT汇总自主捕获、移动通信运营企业报送和从其他渠道收集的疑似恶意程序样本,依据《移动互联网恶意程序描述格式》进行分析、认定和命名,将认定结果和处置建议在5个工作日内反馈各样本报送单位和相关通信管理局(反馈格式见附件二)。
第十条 事件监测和通报
(一)CNCERT、移动通信运营企业负责对移动互联网恶意程序进行监测。
(二)移动通信运营企业按照本机制第八条规定,对监测到的事件进行分级。特别重大、重大事件应在发现后2小时内报工业和信息化部,同时抄报相关通信管理局和CNCERT;较大事件应在发现后4小时内报送工业和信息化部,同时抄报相关通信管理局和CNCERT;一般事件应按约定电子接口方式报CNCERT汇总(较大以上事件报送格式见附件三)。
(三)CNCERT汇总自主监测、移动通信运营企业报送和从其他渠道收集的移动互联网恶意程序事件,对事件情况开展综合分析、分级。特别重大、重大事件应在发现后2小时内报工业和信息化部,同时抄报相关通信管理局;较大事件应在发现后4小时内报送工业和信息化部,同时抄报相关通信管理局。工业和信息化部认为必要时,组织有关单位和专家进行研判。事件情况及研判结果由工业和信息化部直接或委托CNCERT通报相关单位。一般事件由CNCERT每月汇总,按照互联网网络安全信息通报办法规定通报监测情况(较大以上事件通报格式见附件四)。
第十一条 事件处置和反馈
CNCERT、移动通信运营企业、互联网域名注册管理和服务机构应按如下要求进行处置:
(一)移动通信运营企业通过自有的移动互联网恶意程序监测处置平台采取处置措施。对于特别重大、重大和较大事件,向本单位所服务的用户提供信息提示和查杀技术咨询。
(二)互联网域名注册管理机构和注册服务机构对移动互联网恶意程序控制服务器和传播服务器使用的恶意域名进行处置。
(三)CNCERT对境外注册的恶意域名进行协调处置。
(四)反馈事件的处置情况。特别重大、重大事件的处置情况应在接到事件通报后2小时内向CNCERT反馈;较大事件的处置情况应在接到事件通报后4小时内向CNCERT反馈;一般事件的处置情况应按月度汇总后以电子表格形式向CNCERT反馈(较大以上事件反馈格式见附件五)。
(五)CNCERT验证处置情况。特别重大、重大事件应在接到处置单位反馈后2小时内向工业和信息化部、相关通信管理局和处置单位反馈验证结果;较大事件应在接到处置单位反馈后4小时内向工业和信息化部、相关通信管理局和处置单位反馈验证结果;一般事件无需验证。
第十二条 CNCERT、移动通信运营企业、互联网域名注册管理机构和注册服务机构应留存所监测和处置的移动互联网恶意程序相关数据或资料以备查验。数据或资料保存时间为60天。
第十三条 CNCERT、移动通信运营企业、互联网域名注册管理机构和注册服务机构应保护用户正当权益,加强用户信息保护,规范处置流程,建立用户投诉机制,妥善解决用户争议。
第十四条 工业和信息化部建立会商制度,组织相关单位和专家研讨移动互联网恶意程序相关问题及应对策略。
第十五条 较大以上事件通报和反馈应按照统一表格以书面方式报送,紧急情况下,可以先通过电话、电子邮件等方式联系,后补书面材料。
第十六条 对于国家举办重要活动等特殊时期,对移动互联网恶意程序监测和处置工作另有要求的,从其规定。
第十七条 相关单位应将本单位移动互联网恶意程序监测和处置工作主管领导和责任部门负责人、联系人、联系方式报送工业和信息化部,抄送CNCERT。以上信息发生变更,应在3个工作日内报送变更情况。
第十八条 对于涉嫌制作、传播恶意程序或利用恶意程序牟利的移动互联网服务提供商及其他合作伙伴等,移动通信运营企业应依据双方签订的合同,对其进行处理,并报当地通信管理局依法处罚。对于涉嫌犯罪的事件,应报请公安机关依法调查处理。
第十九条 各单位开展信息报送应遵循及时、客观、准确、完整的原则,不得迟报、谎报、瞒报和漏报。工业和信息化部定期对各单位信息报送情况进行通报。
第二十条 各通信管理局应依据本机制落实本行政区域内相关工作。
第二十一条 本机制自2012年1月1日起执行。
附件一:移动互联网疑似恶意程序样本报送表 附件二:移动互联网恶意程序样本认定信息表
附件三:较大以上移动互联网恶意程序事件报送表 附件四:较大以上移动互联网恶意程序事件信息通报 附件五:较大以上移动互联网恶意程序处置反馈表
第三篇:图书馆网络安全威胁与对策
图书馆网络安全威胁与对策
(河南财政税务高等专科学校 孙天翔)
摘要:通过对图书馆网络存在的安全问题和安全隐患的分析,结合实际工作经验,探索图书馆网络安全管理的策略。
关键词:图书馆网络安全策略
计算机网络的飞速发展,推动着图书馆的数字化建设。图书馆网络是图书馆的基础设施,它的安全状况直接影响图书馆工作的开展。目前,随着网络应用的深入,图书馆网络面临的攻击呈正比增加,各种各样的安全问题使图书馆网络时不时呈现“亚健康状态”。同时,随着网络规模的扩大,用户对网络性能要求的不断提高,图书馆网络安全问题倍受关注。
一、安全威胁的来源
图书馆网络具有计算机系统管理复杂、用户活跃的网络环境和有限的资金及人力投入等特点,这些特点使图书馆网络既是大量网络攻击的发源地,也是网络攻击者最容易攻破的目标。当前,图书馆网络常见的安全威胁来源有如下几种:
1、软件漏洞。几乎所有的操作系统和应用软件都存在安全漏洞。UnixLinux、Windows系列等服务器操作系统安全风险级别不同,都存在一些安全漏洞和安全缺陷,这些不安全因素往往是攻击者进行有意识攻击的首选目标。在系统软件和应用软件开发过程中的程序后门也是软件安全漏洞的重要原因。漏洞可以理解为某种形式的脆弱点,目前,有名的安全漏洞或脆弱点就多达150处,随着时间的推移,将会有更多新安全漏洞被人发现和利用。
2、网络病毒的侵扰。网络病毒传播的途径多,速度快,范围广,危害信息安全。网络病毒一般分为蠕虫和木马两类,主要通过电子邮件,网页代码,文件下载,漏洞攻击等方式传播,危害日益严重。如冲击波杀手病毒曾泛滥网络,造成网络核心设备过载死机,严重影响网络的运行。震荡波病毒曾大肆传播,感染病毒机器反复重启,严重影响了用户的使用。网络病毒严重危害了网络,在用户的心理上造成了一些恐慌。
3、人为的恶意攻击。这是网络所面临的最大威胁,多数计算机犯罪属于这一类。人为的恶意攻击的来源主要有:(1)来自网络外部的入侵、攻击等恶意破坏行为。目前在互联网上,人们可以自由下载很多攻击工具,这类攻击工具设置简单、使用方便。因此,普通攻击者可能不需要很高的技术水平便会对系统造成危害。(2)内部用户的攻击行为。图书馆网络内部有许多服务站对外开放,让用户很方便地使用,但是用户加入的同时,也给图书馆网络安全带来了威胁。许多恶意用户利用网络的内部站点,对图书馆的网络进行攻击,给网络资源带来很大危害。例如,授权访问尝试,它指的是攻击者对被保护文件进行读、写或执行的尝试,也包括为获得被保护访问权限所做的尝试。
4、网络管理员与网络用户的错误操作。网络管理员的失误主要表现在对服务器系统、应用软件服务器端和网络设备设置不当造成的安全漏洞,如服务器端口开放错误、普通用户权限设置失误、网络设备安全设置不完整等。网络用户或低权限用户通常有一些无意识的错误操作,如口令设置不慎、将自己帐号随意借用他人、任意共享本地资源等行为。
二、图书馆网络安全策略及实现
针对图书馆网络安全所面临的各种问题,需要制定一套有针对性的完整的安全策略,该安全策略及其实现方式应包括以下内容:
1、网络管理策略:严格控制内部网络和互联网之间的联系,阻止黑客攻击,防止网络病毒的传播,同时要合理利用网络带宽并对网络信息进行安全过滤。图书馆网络安全和科学管理密不可分,一旦发现安全隐患的苗头及时补救可以避免更大的损失。制定一套行之有效的管理制度并严格执行是保障图书馆网络安全的重要举措。管理制度要确保开展以下工作:①定期检查服务器日志,发现异常情况及时处理。②利用网络检测工具定期对网络运行情况 1
进行检测分析,防止网络攻击。③对服务器及终端设备定期检测。④用户使用网络设备和终端必须认真登记。⑤所有的工作记录要保留在案,以便事后分析和总结,为将来可能出现的安全隐患提供判断依据。
2、用户和终端的安全策略:预防用户恶意或非恶意的非法操作和误操作,防止用户端的病毒传入同时要保证用户数据的正确恢复。对用户和终端采取足够的安全措施可以使内部网络从源头堵住不安全因素,做法主要有以下几点:①终端操作系统安装网络查毒、杀毒软件,病毒库应及时更新,终端操作系统还应具备还原功能以防用户修改。②所有终端上的数据和程序均应严格分开保存,对于数据共享应严格设置共享权限。③用户使用终端要有授权,并且可以对用户的操作进行监控并记录用户的操作过程。
3、服务器端安全策略:首先,服务器端提供有授权的服务,这些服务的对象应是有授权的用户和有授权的终端。其次,服务器端应提供数据的正确发布和维护。
(1)网络服务器的安全设置:网络服务器向因特网和内部网提供网络应用服务,如图书馆网站web服务等,网络服务器是最容易受到攻击和破坏的对象。根据实际经验通常以下工作是必要的:①网络服务器操作系统和应用程序一定要及时升级,补齐漏洞补丁。②与网络服务无关的任何应用软件程序不要安装在服务器上。③网络服务器应安装网络查毒、杀毒软件,及时更新病毒库。④屏蔽不使用的网络端口和协议,利用操作系统自身的安全策略管理器认真进行必要的安全策略设置。⑤安装防火墙对内部网络和因特网进行隔离,对防火墙规则进行合理设置,并根据实际网络使用情况进行定期调整。
(2)数据服务器的安全设置:数据服务器向因特网和内部网提供网络数据服务,如学术期刊电子资源服务、馆藏图书文献电子资料服务等,它是数字图书馆的核心。用户使用图书馆的最终目的就是获取数据即信息,因此,数据服务器的安全状况关系到图书馆各项目服务的正常开展。数据服务器的安全设置除应具备网络服务器的安全设置外,还应具备以下内容:①数据服务器对于用户来说应是隐藏的,用户无法通过内部网络或因特网直接访问。用户要获取数据服务器中的信息,只能通过网络服务器向数据服务器提出申请,再由网络服务器将信息传输至用户。②数据服务的对象要有严格的授权,包括用户身份的验证、使用终端的验证、用户可以访问的数据范围限制、用户访问的时间限制等。③数据服务器应具备防恶意下载功能,可以定义适当的下载规则来保证数据的合理利用。④数据的更新和维护要有严格的授权。⑤关键、机密数据的一定要定期检查和备份。
三、结语
图书馆网络安全问题本身具有动态性,任何时候都不能认为自己的网络是安全的。网络安全防范是一种持续不断的工作,防范不仅是被动的,更要主动进行而取得主动权。主动分析图书馆网络存在的安全问题和可能受到的安全威胁,跟踪最新的网络安全技术,实时调整网络安全策略,是图书馆网络安全的保障。
参考文献
[1]胡道元,闵京华.网络安全[M].北京:清华大学出版社,2004.[2]马辉.分析计算机网络的安全隐患,阐述防御对策[J].现代情报,2005,(6):31-34.2
第四篇:网络安全与威胁论文
华北电力大学
网络安全的威胁与防范
网络信息安全
徐一洲
2014/4/2
4计算机网络存在的威胁,现代社会在技术上应该采取的应对措施
目录
引言........................2正文........................2
网络信息安全的含义及特征..............2
网络威胁表现形式...............3网络安全研究现状...............3
网络安全解决方案...............4
总结........................4
【摘要】:随着计算机网络技术的快速发展,网络安全日益成为人们关注的焦点。本文分析了影响网络安全的主要因素及攻击的主要方式,从技术上分析现代社会针对网络上的安全威胁所采取的加强计算机网络安全措施。
【关键词】:网络信息安全威胁防范
Abstract: With the rapid development of computer network technology, network security is increasingly becoming the focus of attention.This paper analyzes the main way of the main
factors affecting network security and attacks, both from a management and technical analysis of modern society against security threats on the network have taken measures to strengthen the security of computer networks.1.引言
计算机网络是一个开放和自由的空间,它在大大增强信息服务灵活性的同时,也带来了众多安全隐患。计算机网络的安全问题是伴随人类社会进步和发展而日显其重要性的。信息技术革命不仅给人们带来工作和生活上的方便,同时也使人们处于一个更易受到侵犯和攻击的境地。黑客和反黑客、破坏和反破坏的斗争愈演愈烈,不仅影响了网络稳定运行和用户的正常使用,造成重大经济损失,而且还可能威胁到国家安全。如何更有效地保护重要的信息数据、提高计算机网络系统的安全性已经成为影响一个国家的政治、经济、军事和人民生活的重大关键问题。
本文通过深入分析网络安全面临的挑战及攻击的主要方式,从管理和技术两方面就加强计算机网络安全提出针对性建议。
2.正文
2.1网络信息安全的含义及特征
网络上信息安全是指网络系统的硬件、软件及数据受到保护。不遭受破坏、更改、泄露,系统可靠正常地运行,网络服务不中断。从用户的角度,他们希望涉及到个人和商业的信息在网络上传输时受到机密性、完整性和真实性的保护,避免其他人或对手利用窃听、冒充、篡改、抵赖等手段对自己的利益和隐私造成损害和侵犯。从网络运营商和管理者的角度来说,他们希望对本地网络信息的访问、读写等操作受到保护和控制,避免出现病毒、非法存取、拒绝服务和网络资源的非法占用和非法控制等威胁,制止和防御网络“黑客”的攻击。
网络安全根据其本质的界定,应具有以下基本特征:(1)机密性。是指信息不泄露给非授权的个人、实体和过程,或供其使用的特性。在网络系统的各个层次上都有不同的机密性及相应的防范措施。在物理层,要保证系统实体不以电磁的方式向外泄露信息,在运行层面,要保障系统依据授权提供服务,使系统任何时候都不被非授权人使用,对黑客入侵、口令攻击、用户权限非法提升、资源非法使用等;(2)完整性。是指信息未经授权不能被修改、不被破坏、不被插入、不延迟、不乱序和不丢失的特性;(3)可用性。是指合法用户访问并能按要求顺序使用信息的特性,即保证合法用户在需要时可以访问到信息及相关资料。在物理层,要保证信息系统在恶劣的工作环境下能正常进行。在运行层面,要保证系统时刻能为授权人提供服务,保证系统的可用性,使得发布者无法否认所发布的信息内容。接受者无法否认所接收的信息内容,对数据抵赖采取数字签名;(4)可控性。是指对网络上的信息及信息
系统实施安全监控,做到能够控制授权范围内的信息流向、传播及行为方式,控制网络资源的使用及使用网络资源的人或实体的使用方式;(5)可审查性。是为了对出现的安全问题提供调查的依据和手段,使系统内所有发生的与安全有关的动作均有说明性记录可查。
2.2网络威胁表现形式
(1)窃听:攻击者通过监视网络数据获得敏感信息,从而导致信息泄密。主要表现为网络上的信息被窃听,这种仅窃听而不破坏网络中传输信息的网络侵犯者被称为消极侵犯者。恶意攻击者往往以此为基础,再利用其它工具进行更具破坏性的攻击。
(2)重传:攻击者事先获得部分或全部信息,以后将此信息发送给接收者。
(3)篡改:攻击者对合法用户之间的通讯信息进行修改、删除、插入,再将伪造的信息发送给接收者,这就是纯粹的信息破坏,这样的网络侵犯者被称为积极侵犯者。积极侵犯者截取网上的信息包,并对之进行更改使之失效,或者故意添加一些有利于自己的信息,起到信息误导的作用。
(4)拒绝服务攻击:攻击者通过某种方法使系统响应减慢甚至瘫痪,阻止用户获得服务。
(5)行为否认:通讯实体否认已经发生的行为。
(6)电子欺骗:通过假冒合法用户的身份来进行网络攻击,从而达到掩盖攻击者真实身份,嫁祸他人的目的。
(7)非授权访问:没有预先经过同意,就使用网络或计算机资源被看作非授权访问。它主要有以下几种形式:假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。
(8)传播病毒:通过网络传播计算机病毒,其破坏性非常高,而且用户很难防范。如众所周知的CIH病毒、爱虫病毒、红色代码、尼姆达病毒、求职信、欢乐时光病毒等都具有极大的破坏性,严重的可使整个网络陷入瘫痪。
2.3网络安全研究现状
随着计算机和通信技术的发展,网络信息的安全和保密已成为一个至关重要且急需解决的问题。计算机网络所具有的开放性、互连性和共享性等特征使网上信息安全存在着先天不足,再加上系统软件中的安全漏洞以及所欠缺的严格管理,致使网络易受攻击,因此网络安全所采取的措施应能全方位地针对各种不同的威胁,保障网络信息的保密性、完整性和可用性。现有网络系统和协议还是不健全、不完善、不安全的。
网络安全是研究与计算机科学相关的安全问题,具体地说,网络安全研究了安全的存储、处理或传输信息资源的技术、体制和服务的发展、实现和应用。每个计算机离不开人,网络安全不仅依赖于技术上的措施,也离不开组织和法律上的措施。客户服务器计算模式下的网络安全研究领域,一是OSI安全结构定义的安全服务:鉴别服务、数据机密性服务、数据完整性服务、访问控制服务等;二是OSI安全结构定义的安全机制:加密、数字签名、访问控制、数据完整性、鉴别交换、通信填充等机制以及事件检测、安全审查跟踪、安全恢复;三是访问控制服务:访问控制服务中的安全技术有静态分组过滤、动态分组过滤、链路层网关、应用层网关;四是通信安全服务:OSI结构通信安全服务包括鉴别、数据机密性和完整性和不可抵赖服务;五是网络存活性:目前对Internet存活性的研究目的是开发一种能保护网络和分布式系统免遭拒绝服务攻击的技术和机制。
2.4网络安全解决方案
网络信息安全是一项动态、整体的系统工程。网络信息安全有安全的操作系统、应用系统、防病毒、防火墙、入侵检测、网络监控、信息审计、通信加密、灾难恢复、安全扫描等多个安全组件组成,一个单独的组件是无法确保信息网络的安全性。
(1)防病毒技术。网络中的系统可能会受到多种病毒威胁,对于此可以采用多层的病毒防卫体系。即在每台计算机,每台服务器以及网关上安装相关的防病毒软件。由于病毒在网络中存储、传播、感染的方式各异且途径多种多样,故相应地在构建网络防病毒系统时,应用全方位的企业防毒产品,实施层层设防、集中控制、以防为主、防杀结合的策略。
(2)防火墙技术。采用防火墙技术是解决网络安全问题的主要手段。防火墙技术是建立在现代通信网络技术和信息技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互联环境之中。防火墙是在网络之间执行访问控制策略的系统,通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况。具备检查、阻止信息流通过和允许信息流通过两种管理机制,并且本身具有较强的抗攻击能力。在逻辑上,防火墙是一个分离器、限制器和分析器,可以有效地监控内部网和Internet 之间的任何活动,保证内部网络的安全。防火墙的应用可最大限度地保障网络的正常运行,它可以起着提高内部网络的安全性、强化网络安全策略、防止内部信息泄漏、网络防毒、信息加密、存储通信、授权、认证等重要作用。
(3)入侵检测技术。入侵检测系统是近年出现的新型网络安全技术,目的是提供实时的入侵检测及采取相应的防护手段。实时入侵检测能力之所以重要,是因为它能够同时对付来自内外网络的攻击。
(4)安全扫描技术。这是又一类重要的网络安全技术。安全扫描技术与防火墙、入侵检测系统互相配合,能够有效提高网络的安全性。通过对网络的扫描,可以了解网络的安全配置和运行的应用服务,及时发现安全漏洞,客观评估网络风险等级。如果说放火墙和网络监控系统是被动的防御手段,那么安全扫描就是一种主动的防范措施,做到防患于未然。
(5)网络安全紧急响应体系。网络安全作为一项动态工程,意味着它的安全程度会随着时间的变化而发生变化。随着时间和网络环境的变化或技术的发展而不断调整自身的安全策略,并及时组建网络安全紧急响应体系,专人负责,防范安全突发事件。
3.总结
总之,计算机技术和网络技术已深入到社会的各个领域,人类社会各种活动对计算机网络的依赖程度已经越来越大。增强社会安全意识教育,普及计算机网络安全教育,提高计算机网络安全技术水平,改善计算机网络的安全现状,成为当务之急。
参考文献
【1】张世永.网络安全原理与应用[M].科学出版社
【2】张仕斌.网络安全技术[M].清华大学出版社
【3】陈爱民.计算机的安全与保密[M].电子工业出版社
第五篇:公共互联网网络安全突发事件应急预案
公共互联网网络安全突发事件应急预案 1.总则 2.组织体系 3.事件分级 4.监测预警 5.应急处置 6.事后总结 7.预防与应急准备 8.保障措施 9.附则
下附应急预案全文
公共互联网网络安全突发事件应急预案 1.总则 1.1编制目的
建立健全公共互联网网络安全突发事件应急组织体系和工作机制,提高公共互联网网络安全突发事件综合应对能力,确保及时有效地控制、减轻和消除公共互联网网络安全突发事件造成的社会危害和损失,保证公共互联网持续稳定运行和数据安全,维护国家网络空间安全,保障经济运行和社会秩序。1.2编制依据
《中华人民共和国突发事件应对法》《中华人民共和国网络安全法》《中华人民共和国电信条例》等法律法规和《国家突发公共事件总体应急预案》《国家网络安全事件应急预案》等相关规定。1.3适用范围
本预案适用于面向社会提供服务的基础电信企业、域名注册管理和服务机构(以下简称域名机构)、互联网企业(含工业互联网平台企业)发生网络安全突发事件的应对工作。
本预案所称网络安全突发事件,是指突然发生的,由网络攻击、网络入侵、恶意程序等导致的,造成或可能造成严重社会危害或影响,需要电信主管部门组织采取应急处置措施予以应对的网络中断(拥塞)、系统瘫痪(异常)、数据泄露(丢失)、病毒传播等事件。本预案所称电信主管部门包括工业和信息化部及各省(自治区、直辖市)通信管理局。工业和信息化部对国家重大活动期间网络安全突发事件应对工作另有规定的,从其规定。1.4工作原则
公共互联网网络安全突发事件应急工作坚持统一领导、分级负责;坚持统一指挥、密切协同、快速反应、科学处置;坚持预防为主,预防与应急相结合;落实基础电信企业、域名机构、互联网服务提供者的主体责任;充分发挥网络安全专业机构、网络安全企业和专家学者等各方面力量的作用。2.组织体系 2.1领导机构与职责
在中央网信办统筹协调下,工业和信息化部网络安全和信息化领导小组(以下简称部领导小组)统一领导公共互联网网络安全突发事件应急管理工作,负责特别重大公共互联网网络安全突发事件的统一指挥和协调。2.2办事机构与职责
在中央网信办下设的国家网络安全应急办公室统筹协调下,在部领导小组统一领导下,工业和信息化部网络安全应急办公室(以下简称部应急办)负责公共互联网网络安全应急管理事务性工作;及时向部领导小组报告突发事件情况,提出特别重大网络安全突发事件应对措施建议;负责重大网络安全突发事件的统一指挥和协调;根据需要协调较大、一般网络安全突发事件应对工作。
部应急办具体工作由工业和信息化部网络安全管理局承担,有关单位明确负责人和联络员参与部应急办工作。2.3其他相关单位职责
各省(自治区、直辖市)通信管理局负责组织、指挥、协调本行政区域相关单位开展公共互联网网络安全突发事件的预防、监测、报告和应急处置工作。
基础电信企业、域名机构、互联网企业负责本单位网络安全突发事件预防、监测、报告和应急处置工作,为其他单位的网络安全突发事件应对提供技术支持。
国家计算机网络应急技术处理协调中心、中国信息通信研究院、中国软件评测中心、国家工业信息安全发展研究中心(以下统称网络安全专业机构)负责监测、报告公共互联网网络安全突发事件和预警信息,为应急工作提供决策支持和技术支撑。鼓励网络安全企业支撑参与公共互联网网络安全突发事件应对工作。3.事件分级
根据社会影响范围和危害程度,公共互联网网络安全突发事件分为四级:特别重大事件、重大事件、较大事件、一般事件。3.1特别重大事件
符合下列情形之一的,为特别重大网络安全事件:(1)全国范围大量互联网用户无法正常上网;(2).CN国家顶级域名系统解析效率大幅下降;(3)1亿以上互联网用户信息泄露;(4)网络病毒在全国范围大面积爆发;(5)其他造成或可能造成特别重大危害或影响的网络安全事件。3.2重大事件
符合下列情形之一的,为重大网络安全事件:(1)多个省大量互联网用户无法正常上网;(2)在全国范围有影响力的网站或平台访问出现严重异常;(3)大型域名解析系统访问出现严重异常;(4)1千万以上互联网用户信息泄露;(5)网络病毒在多个省范围内大面积爆发;(6)其他造成或可能造成重大危害或影响的网络安全事件。3.3较大事件
符合下列情形之一的,为较大网络安全事件:(1)1个省内大量互联网用户无法正常上网;(2)在省内有影响力的网站或平台访问出现严重异常;(3)1百万以上互联网用户信息泄露;(4)网络病毒在1个省范围内大面积爆发;(5)其他造成或可能造成较大危害或影响的网络安全事件。3.4一般事件
符合下列情形之一的,为一般网络安全事件:(1)1个地市大量互联网用户无法正常上网;(2)10万以上互联网用户信息泄露;(3)其他造成或可能造成一般危害或影响的网络安全事件。4.监测预警 4.1事件监测
基础电信企业、域名机构、互联网企业应当对本单位网络和系统的运行状况进行密切监测,一旦发生本预案规定的网络安全突发事件,应当立即通过电话等方式向部应急办和相关省(自治区、直辖市)通信管理局报告,不得迟报、谎报、瞒报、漏报。
网络安全专业机构、网络安全企业应当通过多种途径监测、收集已经发生的公共互联网网络安全突发事件信息,并及时向部应急办和相关省(自治区、直辖市)通信管理局报告。报告突发事件信息时,应当说明事件发生时间、初步判定的影响范围和危害、已采取的应急处置措施和有关建议。4.2预警监测
基础电信企业、域名机构、互联网企业、网络安全专业机构、网络安全企业应当通过多种途径监测、收集漏洞、病毒、网络攻击最新动向等网络安全隐患和预警信息,对发生突发事件的可能性及其可能造成的影响进行分析评估;认为可能发生特别重大或重大突发事件的,应当立即向部应急办报告;认为可能发生较大或一般突发事件的,应当立即向相关省(自治区、直辖市)通信管理局报告。4.3预警分级
建立公共互联网网络突发事件预警制度,按照紧急程度、发展态势和可能造成的危害程度,公共互联网网络突发事件预警等级分为四级:由高到低依次用红色、橙色、黄色和蓝色标示,分别对应可能发生特别重大、重大、较大和一般网络安全突发事件。4.4预警发布
部应急办和各省(自治区、直辖市)通信管理局应当及时汇总分析突发事件隐患和预警信息,必要时组织相关单位、专业技术人员、专家学者进行会商研判。
认为需要发布红色预警的,由部应急办报国家网络安全应急办公室统一发布(或转发国家网络安全应急办公室发布的红色预警),并报部领导小组;认为需要发布橙色预警的,由部应急办统一发布,并报国家网络安全应急办公室和部领导小组;认为需要发布黄色、蓝色预警的,相关省(自治区、直辖市)通信管理局可在本行政区域内发布,并报部应急办,同时通报地方相关部门。对达不到预警级别但又需要发布警示信息的,部应急办和各省(自治区、直辖市)通信管理局可以发布风险提示信息。
发布预警信息时,应当包括预警级别、起始时间、可能的影响范围和造成的危害、应采取的防范措施、时限要求和发布机关等,并公布咨询电话。面向社会发布预警信息可通过网站、短信、微信等多种形式。4.5预警响应
4.5.1黄色、蓝色预警响应
发布黄色、蓝色预警后,相关省(自治区、直辖市)通信管理局应当针对即将发生的网络安全突发事件的特点和可能造成的危害,采取下列措施:(1)要求有关单位、机构和人员及时收集、报告有关信息,加强网络安全风险的监测;(2)组织有关单位、机构和人员加强事态跟踪分析评估,密切关注事态发展,重要情况报部应急办;(3)及时宣传避免、减轻危害的措施,公布咨询电话,并对相关信息的报道工作进行正确引导。
4.5.2红色、橙色预警响应
发布红色、橙色预警后,部应急办除采取黄色、蓝色预警响应措施外,还应当针对即将发生的网络安全突发事件的特点和可能造成的危害,采取下列措施:(1)要求各相关单位实行24小时值班,相关人员保持通信联络畅通;(2)组织研究制定防范措施和应急工作方案,协调调度各方资源,做好各项准备工作,重要情况报部领导小组;(3)组织有关单位加强对重要网络、系统的网络安全防护;(4)要求相关网络安全专业机构、网络安全企业进入待命状态,针对预警信息研究制定应对方案,检查应急设备、软件工具等,确保处于良好状态。4.6预警解除
部应急办和省(自治区、直辖市)通信管理局发布预警后,应当根据事态发展,适时调整预警级别并按照权限重新发布;经研判不可能发生突发事件或风险已经解除的,应当及时宣布解除预警,并解除已经采取的有关措施。相关省(自治区、直辖市)通信管理局解除黄色、蓝色预警后,应及时向部应急办报告。5.应急处置 5.1响应分级
公共互联网网络安全突发事件应急响应分为四级:I级、II级、III级、IV级,分别对应已经发生的特别重大、重大、较大、一般事件的应急响应。5.2先行处置
公共互联网网络安全突发事件发生后,事发单位在按照本预案规定立即向电信主管部门报告的同时,应当立即启动本单位应急预案,组织本单位应急队伍和工作人员采取应急处置措施,尽最大努力恢复网络和系统运行,尽可能减少对用户和社会的影响,同时注意保存网络攻击、网络入侵或网络病毒的证据。5.3启动响应
I级响应根据国家有关决定或经部领导小组批准后启动,由部领导小组统一指挥、协调。II级响应由部应急办决定启动,由部应急办统一指挥、协调。
III级、IV级响应由相关省(自治区、直辖市)通信管理局决定启动,并负责指挥、协调。启动I级、II级响应后,部应急办立即将突发事件情况向国家网络安全应急办公室等报告;部应急办和相关单位进入应急状态,实行24小时值班,相关人员保持联络畅通,相关单位派员参加部应急办工作;视情在部应急办设立应急恢复、攻击溯源、影响评估、信息发布、跨部门协调、国际协调等工作组。
启动III级、IV级响应后,相关省(自治区、直辖市)通信管理局应及时将相关情况报部应急办。5.4事态跟踪
启动I级、II级响应后,事发单位和网络安全专业机构、网络安全企业应当持续加强监测,跟踪事态发展,检查影响范围,密切关注舆情,及时将事态发展变化、处置进展情况、相关舆情报部应急办。省(自治区、直辖市)通信管理局立即全面了解本行政区域受影响情况,并及时报部应急办。基础电信企业、域名机构、互联网企业立即了解自身网络和系统受影响情况,并及时报部应急办。
启动III级、IV级响应后,相关省(自治区、直辖市)通信管理局组织相关单位加强事态跟踪研判。5.5决策部署
启动I级、II级响应后,部领导小组或部应急办紧急召开会议,听取各相关方面情况汇报,研究紧急应对措施,对应急处置工作进行决策部署。
针对突发事件的类型、特点和原因,要求相关单位采取以下措施:带宽紧急扩容、控制攻击源、过滤攻击流量、修补漏洞、查杀病毒、关闭端口、启用备份数据、暂时关闭相关系统等;对大规模用户信息泄露事件,要求事发单位及时告知受影响的用户,并告知用户减轻危害的措施;防止发生次生、衍生事件的必要措施;其他可以控制和减轻危害的措施。
做好信息报送。及时向国家网络安全应急办公室等报告突发事件处置进展情况;视情况由部应急办向相关职能部门、相关行业主管部门通报突发事件有关情况,必要时向相关部门请求提供支援。视情况向外国政府部门通报有关情况并请求协助。
注重信息发布。及时向社会公众通告突发事件情况,宣传避免或减轻危害的措施,公布咨询电话,引导社会舆论。未经部应急办同意,各相关单位不得擅自向社会发布突发事件相关信息。
启动III级、IV级响应后,相关省(自治区、直辖市)通信管理局组织相关单位开展处置工作。处置中需要其他区域提供配合和支持的,接受请求的省(自治区、直辖市)通信管理局应当在权限范围内积极配合并提供必要的支持;必要时可报请部应急办予以协调。5.6结束响应
突发事件的影响和危害得到控制或消除后,I级响应根据国家有关决定或经部领导小组批准后结束;II级响应由部应急办决定结束,并报部领导小组;III级、IV级响应由相关省(自治区、直辖市)通信管理局决定结束,并报部应急办。6.事后总结 6.1调查评估
公共互联网网络安全突发事件应急响应结束后,事发单位要及时调查突发事件的起因(包括直接原因和间接原因)、经过、责任,评估突发事件造成的影响和损失,总结突发事件防范和应急处置工作的经验教训,提出处理意见和改进措施,在应急响应结束后10个工作日内形成总结报告,报电信主管部门。电信主管部门汇总并研究后,在应急响应结束后20个工作日内形成报告,按程序上报。6.2奖惩问责
工业和信息化部对网络安全突发事件应对工作中作出突出贡献的先进集体和个人给予表彰或奖励。对不按照规定制定应急预案和组织开展演练,迟报、谎报、瞒报和漏报突发事件重要情况,或在预防、预警和应急工作中有其他失职、渎职行为的单位或个人,由电信主管部门给予约谈、通报或依法、依规给予问责或处分。基础电信企业有关情况纳入企业网络与信息安全责任考核。7.预防与应急准备 7.1预防保护
基础电信企业、域名机构、互联网企业应当根据有关法律法规和国家、行业标准的规定,建立健全网络安全管理制度,采取网络安全防护技术措施,建设网络安全技术手段,定期进行网络安全检查和风险评估,及时消除隐患和风险。电信主管部门依法开展网络安全监督检查,指导督促相关单位消除安全隐患。7.2应急演练
电信主管部门应当组织开展公共互联网网络安全突发事件应急演练,提高相关单位网络安全突发事件应对能力。基础电信企业、大型互联网企业、域名机构要积极参与电信主管部门组织的应急演练,并应每年组织开展一次本单位网络安全应急演练,应急演练情况要向电信主管部门报告。7.3宣传培训
电信主管部门、网络安全专业机构组织开展网络安全应急相关法律法规、应急预案和基本知识的宣传教育和培训,提高相关企业和社会公众的网络安全意识和防护、应急能力。基础电信企业、域名机构、互联网企业要面向本单位员工加强网络安全应急宣传教育和培训。鼓励开展各种形式的网络安全竞赛。7.4手段建设
工业和信息化部规划建设统一的公共互联网网络安全应急指挥平台,汇集、存储、分析有关突发事件的信息,开展应急指挥调度。指导基础电信企业、大型互联网企业、域名机构和网络安全专业机构等单位规划建设本单位突发事件信息系统,并与工业和信息化部应急指挥平台实现互联互通。7.5 工具配备
基础电信企业、域名机构、互联网企业和网络安全专业机构应加强对木马查杀、漏洞检测、网络扫描、渗透测试等网络安全应急装备、工具的储备,及时调整、升级软件硬件工具。鼓励研制开发相关技术装备和工具。8.保障措施 8.1落实责任
各省(自治区、直辖市)通信管理局、基础电信企业、域名机构、互联网企业、网络安全专业机构要落实网络安全应急工作责任制,把责任落实到单位领导、具体部门、具体岗位和个人,建立健全本单位网络安全应急工作体制机制。8.2经费保障
工业和信息化部为部应急办、各省(自治区、直辖市)通信管理局、网络安全专业机构开展公共互联网网络安全突发事件应对工作提供必要的经费保障。基础电信企业、域名机构、大型互联网企业应当安排专项资金,支持本单位网络安全应急队伍建设、手段建设、应急演练、应急培训等工作开展。8.3队伍建设
网络安全专业机构要加强网络安全应急技术支撑队伍建设,不断提升网络安全突发事件预防保护、监测预警、应急处置、攻击溯源等能力。基础电信企业、域名机构、大型互联网企业要建立专门的网络安全应急队伍,提升本单位网络安全应急能力。支持网络安全企业提升应急支撑能力,促进网络安全应急产业发展。8.4社会力量
建立工业和信息化部网络安全应急专家组,充分发挥专家在应急处置工作中的作用。从网络安全专业机构、相关企业、科研院所、高等学校中选拔网络安全技术人才,形成网络安全技术人才库。8.5国际合作
工业和信息化部根据职责建立国际合作渠道,签订国际合作协议,必要时通过国际合作应对公共互联网网络安全突发事件。鼓励网络安全专业机构、基础电信企业、域名机构、互联网企业、网络安全企业开展网络安全国际交流与合作。9.附则 9.1预案管理
本预案原则上每年评估一次,根据实际情况由工业和信息化部适时进行修订。
各省(自治区、直辖市)通信管理局要根据本预案,结合实际制定或修订本行政区域公共互联网网络安全突发事件应急预案,并报工业和信息化部备案。
基础电信企业、域名机构、互联网企业要制定本单位公共互联网网络安全突发事件应急预案。基础电信企业、域名机构、大型互联网企业的应急预案要向电信主管部门备案。9.2预案解释
本预案由工业和信息化部网络安全管理局负责解释。9.3预案实施时间
本预案自印发之日起实施。2009年9月29日印发的《公共互联网网络安全应急预案》同时废止。
点击咨询 