第一篇:电信网和互联网安全防护管理指南
电信网和互联网安全防护管理指南 范围
本标准对电信网和互联网安全防护的定义、目标、原则进行了描述和规范。同时,对电信网和互联网安全防护体系、安全防护体系三部分工作及其关系进行了说明。
本标准适用于电信网和互联网的安全防护工作。
本标准涉及的电信网和互联网不包括专用网,仅指公众电信网和公众互联网。2 规范性引用文件
下列文件中的条款通过本标准的引用丽成为指导性技术文件的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
GB/T 5271.8-2001信息技术词汇第8部分:安全 3 术语和定义
GB/T 5271.8-2001确立的术语和定义以及下列术语和定义适用于本标准。3.1
电信网Telecom Network
利用有线和,或无线的电磁、光电系统,进行文字、声音、数据、图像或其他任何媒体的信息传递的网络,包括固定通信网、移动通信网等. 3.2
互联网Internet
泛报广域网、局域网及终端(包括计算机、手机等)通过交换机、路由器、网络接入设备等基于一定的通信协议连接形成的,功能和逻辑上的大型网络. 3.3
电信网和互联网安全防护体系 Security Protection Architecture of Telecom Network and Intemet
电信网和互联网的安全等级保护、安全风险评估、灾难备份及恢复三项工作互为依托、互为补充、相互配合.共同构成了电信网和互联网安全防护体系。3.4
刮言网和互联网安全等级Security Classification of Telecom Network and Internet 电信网和互联网及相关系统重要程度的表征。重要程度从电信网和互联网及相关系统受到破坏后,对国家安全、社会秩序、。经济运行、公共利益、网络和业务运营商造成的损害来衡量。3.5
电信网和互联网安全等级保护 Classified Security Protection of Telecom Network and Internet指对电信网和互联网及相关系统分等级实施安全保护。3.6
电信网和互联网安全风险Security risk of Telecom Network and Internet
人为或自然的威胁可能利用电信网和互联网及相关系统存在的脆弱性导致安全事件的发生及其对组织造成的影响。3.7
电信网和互联网安全风险评估 Security Risk Assessment of Telecom Network and Internet
指运用科学的方法和手段,系统地分析电信网和互联网及相关系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生,可能造成的危害程度,提出有针对性的抵御威胁的防护对策和安全措施,防范和化解电信网和互联网及相关系统安全风险,将风险控制在可接受的水平,为最大限度地保障电信网和互联网及相关系统的安全提供科学依据。3.8
电信网和互联网灾难 Disaster of Telecom Network and Internet
由于各种原因,造成电信网和互联网及相关系统故障或瘫痪,使电信网和互联网及相关系统支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发性事件。3.9
电信网和互联网灾难备份Backup for Disaster Recovery of Telecom Network and Intemet
为了电信网和互联网及相关系统灾难恢复而对相关网络要素进行备份的过程。3,10
电信网和互联网灾难恢复 Disaster Recovery of Telecom Network and Internet
为了将电信网和互联网及相关系统从灾难造成的故障或瘫痪状态恢复到正常运行状态或部分正常运行状态并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态,而设计的活动和流程。4 目标和原则
电信网和互联网安全防护工作的目标就是要加强电信网和互联网的安全防护能力,确保网络的安全性和可靠性,尽可能实现对电信网和互联网安全状况的实时掌控,保证电信网和互联网能够完成其使命。
为了实现该目标网络和业务运营商、设备制造商要充分考虑电信网和互联网不同等级的安全要求,从环境因素以及人为因素分析电信网和互联网面临的威胁,从技术和管理两个方面分析电信网和互联网存在的脆弱性.充分考虑现有安全措施,分析电信网和互联网现存风险,平衡效益与成本,制定灾难备份及恢复计划,将电信网和互联网的安全控制在可接受的水平。
电信网和互联网安全防护工作要在适度安全原则的指导下,采用自主保护和重点保护方法,在安全防护工作安排部署过程中遵循标准性、可控性、完备性、最小影响和保密原则,实现同步建设、统筹兼顾、经济实用和循序渐进地进行安全防护工作.
——适度安全原则:安全防护工作的根本性原则。安全防护工作应根据电信网和互联网的安全等级,平衡效益与成本-采取适度的安全技术和管理措施。
——标准性原则:安全防护工作开展的指导性原则.指电信网和互联网安全防护工作的开展应遵循相关的国家或行业标准。
——可控性原则:指电信网和互联网安全防护工作的可控性,包括以下三个方面,●人员可控性:相关的安全防护工作人员应具备可靠的政治素质、职业素质和专业素质。相关安全防护工作的检测机构应具有主管部门授权的电信网和互联网安全防护检测服务资质。
●工具可控性:要充分了解安全防护工作中所使用的技术工具,并进行一些实验,确保这些技术工具能被正确地使用。
●项目过程可控性:要对整个安全防护项目进行科学的项目管理,实现项目过程的可控性。
——完备性原则:安全防护工作要覆盖电信网和互联网的安全范围。
——最小影响原则:从项目管理层面和技术管理层面,将安全防护工作对电信网和互联网正常运行的可能影响降低到最低限度。
——保密性原则:相关安全防护工作人员应签署协议,承诺对所进行的安全防护工作保密,确保不泄露电信网和互联网及安全防护工作的重要和敏感信息。5 安全防护体系
电信网和互联网安全防护范畴包括基础电信运营企业运营的传输、承载各类电信业务的公共电信网(含公共互联网)及其组成部分,支撑和管理公共龟信网及电信业务的业务单元和控制单元以及企业办公系统(含文件管理系统、员工邮件系统、决策支持系统、人事管理系统等)、客服呼叫中心、企业门户网站等非核心生产单元。此外,电信网络安全防护工作的范围还包括经营性互联网信息服务单位、移动信息服务单位、互联网接入服务单位、互联网数据中心、互联网域名服务机构等单位运营的网络或信息系统。
根据电信网和互联网安全防护范畴,建立的电信网和互联网安全防护体系如图l所示.整个体系分为三层,第一层为整个安全防护体系的总体指导性规范,明确了对电信网和互联网安全防护的定义、目标、原则,并说明了安全防护体系的组成。
第二层从宏观的角度明确了如何进行安全防护工作,规范了安全防护体系中安全等级保护、安全风险评估、灾难备份及恢复三部分工作的原则、流程、方法、步骤等。
第三层具体规定了电信网和互联网安全防护工作的要求,即安全防护要求和安全防护检测要求。
根据电信网和互联网全程全网的特点,电信网和互联网的安全防护工作可从固定通信网、移动通信网、互联网、增值业务网、非核心生产单元来开展一其中,互联网包括经营性互联网信息服务单位、互联网接入服务单位、互联网数据中心、互联网域名服务机构等单位运营的网络或信息系统。增值业务网包括消息网、智能网等业务平台以及业务管理平台。
对固定通信网、移动通信网、互联网实施安全防护,应分别从构成上述网络的不同电信网和互联网相关系统入手,电信网和互联网相关系统包括接入网、传送网、IP承载网、信令网、同步网、支撑网等.其中,接入网包括各种有线、无线和卫星接入网等,传送网包括光缆、波分、SDH、卫星等,而支撑网则包括业务支撑和网管系统.
安全防护要求明确了电信网和互联网及相关系统需要落实的安全管理和技术措施,涵盖了安全等级保护、安全风险评估、灾难备份及恢复等三部分内容,其中安全等级保护工作需要落实的物理环境和管理的安全等级保护要求被单独提出作为电信网和互联网及相关系统的通用安全等级保护要求.
安全防护检测要求与安全防护要求相对应,提供了对电信网和互联网安全防护工作进行检测的方法,从而确认网络和业务运营商、设备制造商在安全防护工作实旆过程中是否满足了相关安全防护要求。随着电信网和互联网的发展,随着安全防护体系的进一步完善,第三层的内容将进一步补充完善.
图1 电信用和互联网安全防护体系 6 安全等级保护
电信网和互联网安全等级保护工作贯穿于电信网和互联网生命周期的各个阶段,是一个不断循环和不断提高的过程.首先-根据电信网和互联网及相关系统受到破坏后,对国家安全、社会秩序、经济运行、公共利益、网络和业务运营商造成的损害程度来确定安全等级。通过进一步分析电信网和互联网及相关系统的安全保护现状与安全等级保护要求之间的差距,确定安全需求,设计合理的、满足安全等级保护要求的总体安全方案,制定出安全建设规划。并进一步将其落实到电信网和互联网及相关系统中,形成安全技术和管理体系.在电信网和互联网安全运维阶段,根据安全等级保护的需要对安全技术和管理体系不断调整和持续改进,确保电信网和互联两及相关系统满足相应等级的安全要求;在安全资产终止阶段对信息、设备、介质进行终止处理时,防止敏感信息的泄露,保障电信网和互联网及相关系统的安全。安全等级保护工作的实施过程如图2所示。
图2安全等级保护实施的基本过程 安全风险评估
电信网和互联网安全风险评估应贯穿于电信网和互联网生命周期的各阶段中,在生命周期不同阶段的风险评估原则和方法是一致的。在电信网和互联网的安全风险评估工作中,应首先进行相关工作的准备-通过安全风险分析计算电信网和互联网及相关系统的风险值,进而确定其风险等级和风险防范措旋。安全风险分析中要涉及资产、威胁、脆弱性等基本要素,每个要素有各自的属性。资产的属性是资产价值;威胁的属性可以是威胁主体、影响对象、出现频率、动机等;脆弱性的属性是资产弱点的严重程度等。安全风险评估的实施流程如图3所示。
图3安全风险评估实施的基本过程 灾难备份及恢复
电信网和互联网灾难备份及恢复工作利用技术、管理手段以及相关资源,确保已有的电信网和互联网在灾难发生后.在确定的时间内可以恢复和继续运行。灾难备份及恢复工作需要防范包括地震、水灾等自然灾难以及火灾、战争、恐怖袭击、网络攻击、设备系统故障、人为破坏等无法预料的突发事件。如图4所示,灾难备份及恢复工作应根据安全等级保护确定的安全等级以及安全风险分析的相关结果进行需求分析-制定、实现相应的灾难备份及恢复策略,并构建灾难恢复预案,这是一个循环改进的过程。
针对电信网和互联网的不周网络、不同重要级别的业务,灾难备份及恢复所要达到的目标是不同的.例如,在电信网和互联网中,对于普通语音业务,可以要求网络和业务运营商通过灾难备份及恢复工作,保证在灾难发生后单一地区的灾难不影响灾难发生地理范围以外地区的语音业务,并且发生灾难的地区的语音业务能够通过有效灾难恢复计划的实施,在一定时间范围(指标应与灾难级别对应)内恢复通信。
图4灾难备份及恢复实施的基本过程 安全等级保护、安全风险评估、灾难备份及恢复三者之间的关系
电信网和互联网安全防护体系中的安全等级保护、安全风险评估、灾难备份及恢复兰者之间密切相关、互相渗透、互为补充。电信两和互联网安全防护应将安全等级保护、安全风险评估、灾难备份及恢复工作有机结合,加强相关工作之间的整合和衔接,保证电信网络安全防护工作的整体性、统一性和协调性。电信网络安全防护工作应按照根据被保护对象的重要性进行分等级保护的思想,通过安全风险评估的方法正确认识被保护对象存在的脆弱性和面临的威胁,进而制定、落实和改进与安全保护等级和风险大小相适应的一系列管理、技术、灾难备份等安全等级保护措施,最终达到提高电信网络安全保护能力和水平的目的。
在开展安全等级保护工作时,耍充分应用安全风险评估的方法,认识、分析不同类型的网络和业务存在的脆弱性和面临的威胁,进而制定和落实与被保护对象的类型、脆弱性和威胁相适应的基本安全保护措施要求.提高安全等级保护工作的针对性和适用性。在开展安全风险评估工作时,在分析被保护对象综合风险和制定改进方案的过程中,要始终与被保护对象的安全保护等级相结合,合理确定被评估对象的可接受风险和制定确实必要的整改措施,避免无限度地改进提高。在开展灾难备份及恢复工作时,要结合被备份对象的安全保护等级和面临的威胁,制定相适应的备份措旌,并将有关备份的要求体现在安全等级保护的要求中进行落实。
电信网和互联网安全等级保护、安全风险评估和灾难备份及恢复工作应随着电信网和互联网的发展变化而动态调整,适应国家对电信网和互联网的安全要求.
第二篇:电信网和互联网管理安全等级保护要求
电信网和互联网管理安全等级保护要求 范围
本标准规定了公众电信网和互联网的管理安全等级保护要求。
本标准适用于电信网和互联网安全防护体系中的各种网络和系统。2 规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本.凡是不注日期的引用文件,其最新版本适用于本标准。3 术语和定义
下列术语和定义适用于本标准。3.1
电信网 Telecom Network
利用有线和,或无线的电磁、光电网络,进行文字、声音、数据、图像或其他任何媒体的信息传递的网络,包括固定通信网、移动通信网等。3.2
互联网 Internet
泛指由多个计算机网络相互连接而形成的网络,它是在功能和逻辑上组成的大型计算机网络。3.3
安全等级 Security Classification
安全重要程度的表征.重要程度可从网络受到破坏后,对国家安全、社会秩序、经济运行、公共利益、网络和业务运营商造成的损害来衡量。4 管理安全等级保护要求 4.1 第1级要求
不作要求。4.2 第2级要求 4.2.1 安全管理制度 4.2.1.1 管理制度
a)应制定安全工作的总体方针和安全策略,说明机构安全工作的总体目标、范围、原则和安全框架等;
b)应对安全管理活动中重要的管理内容建立安全管理制度; c)应对安全管理人员或操作人员执行的重要管理操作建立操作规程。4.2.1.2 制定和发布
a)应指定或授权专门的部门或人员负责安全管理制度的制定;
b)应组织相关人员对制定的安全管理制度进行论证和审定; c)应将安全管理制度以某种方式发布到相关人员手中。4.2.1.3 评审和修订
应定期对安全管理制度进行评审,对存在不足或需要改进的安全管理制度进行修订。4.2.2 安全管理机构 4.2.2.1 岗位设置
a)应设立安全主管、安全管理各个方面的负责人岗位,定义各负责人的职责; b)应设立系统管理人员、网络管理人员、安全管理员岗位,定义各个工作岗位的职责。4.2.2.2 人员配备
应配备一定数量的系统管理人员、网络管理人员、安全管理员等。4.2.2.3 授权和审批
a)应根据各个部门和岗位的职责明确授权审批部门及批准人,对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批;
b)应针对关键活动建立审批流程,并由批准人签字确认。4.2.2.4 沟通和合作
a)应加强各类管理人员之间、组织内部机构之间以及网络安全职熊部门内部的合作与沟通;
b)应加强与相关外部单位的合作与沟通。4.2.2.5 审核和检查
应由安全管理人员定期进行安全检查,检查内容包括用户账号情况、系统漏洞情况、数据备份等情况。4.2.3 人员安全管理 4.2.3.1 人员录用
a)应指定或授权专门的部门或人员负责人员录用;
b)应规范人员录用过程,对被录用人员的身份、背景和专业资格等进行审查,对其所具有的技术技能进行考核;
c)应与从事关键岗位的人员签署保密协议。4.2.3.2 人员离岗
a)应规范人员离岗过程,及时终止离岗员工的所有访问权限;
b)对于离岗人员,应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备; c)对于离岗人员,应办理严格的调离手续。4.2.3.3 人员考核
应定期对各个岗位的人员进行安全技能及安全认知的考核。4.2.3.4 安全意识教育和培训
a)应对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训;
b)应告知人员相关的安全责任和惩戒措施,并对违反违背安全策略和规定的人员进行惩戒;
c)应制定安全教育和培训计划,对网络安全基础知识、岗位操作规程等进行培训. 4.2.3.5 外部人员访问管理
应确保在外部人员访问受控区域前得到授权或审批,批准后由专人全程陪同或监督,并登记备案。
4.2.4 安全建设管理 4.2.4.1 定级
a)应明确网络的边界和安全保护等级
b)应以书面的形式说明网络确定为某个安全等级的方法和理由; c)应确保网络的定级结果经过相关部门的批准。4.2.4.2 安全方案设计
a)应根据网络的安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施; b)应以书面形式描述对网络的安全保护要求、策略和措施等内容,形成网络的安全方案;
c)应对安全方案进行细化,形成能指导安全系统建设、安全产品采购和使用的详细设计方案;
d)应组织相关部门和有关安全技术专家对安全设计方案的合理性和正确性进行论证和审定,并且经过批准后,才能正式实施。4.2.4.3 产品采购和使用
a)应确保安全产品采购和使用符合固家的有关规定; b)应确保密码产品采购和使用符合国家密码主管部门的要求; c)应指定或授权专门的部门负责产品的采购。4.2.4.4 自行软件开发
a)应确保开发环境与实际运行环境物理分开;
b)应制定软件开发管理制度,明确说明开发过程的控制方法和人员行为准则; c)应确保提供软件设计的相关文档和使用指南,并由专人负责保管。4.2.4.5 外包软件开发
a)应根据开发需求检测软件质量;
b)应要求开发单位提供软件设计的相关文档和使用指南; c)应在软件安装之前检测软件包中可能存在的恶意代码。4.2.4.6工程实施
a)应指定或授权专门的部门或人员负责工程实施过程的管理; b)应制定详细的工程实施方案,控制工程实施过程。4.2.4.7 测试验收
a)应对系统进行安全性测试验收:
b)在测试验收前应根据设计方案或合同要求等制订测试验收方案,在测试验收过程中应详细记录测试验收结果,并形成测试验收报告;
c)应组织相关部门和相关人员对网络测试验收报告进行审定,并签字确认。4.2.4.8 交付
a)应制定网络交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点; b)应对负责网络运行维护的技术人员进行相应的技能培训;
c)应确保提供网络建设过程中的文档和指导用户进行网络运行维护的文档。4.2.4.9 安全服务商的选择
a)应确保安全服务商的选择符合国家的有关规定;
b)应与选定的安全服务商签订与安全相关的协议,明确约定相关责任;
c)应确保选定的安全服务商提供技术支持和服务承诺,必要时与其签订服务合同。4.2.4.10 备案
应将网络的定级、属性等资料指定专门的人员或部门负责管理,并控制这些材料的使用。4.2.5 安全运维管理 4.2.5.1 环境管理
a)应指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管理;
b)应配备机房安全管理人员,对机房的出入、服务器的开机或关机等工作进行管理;
c)应建立机房安全管理制度,对有关机房物理访问,物品带进、带出机房和机房环境安全等方面的管理作出规定;
d)应加强对办公环境的保密性管理,包括工作人员调离办公室应立即交还该办公室钥匙和不在办公区接待来访人员等。4.2.5.2 资产管理
a)应编制与网络相关的资产清单,包括资产责任部门、重要程度和所处位置等内容; b)应建立资产安全管理制度-规定资产管理的责任人员或责任部门,并规范资产管理和使用的行为。4.2.5.3 介质管理
a)应确保介质存放在安全的环境中,对各类介质进行控制和保护,并实行存储环境专人管理;
b)应对介质归档和查询等过程进行记录,并根据存档介质的目录清单定期盘点; c)应对需要送出维修或销毁的介质,首先清除其中的敏感数据,防止信息的非法泄漏; d)应根据所承载数据和软件的重要程度对介质进行分类和标识管理。4.2.5.4 设备管理
a)应对网络相关的各种设备(包括备份和冗余设备)、线路等指定专门的部门或人员定期进行维护管理;
b)应建立基于申报、审批和专人负责的设备安全管理制度,对各种软硬件设备的选型、采购、发放和领用等过程进行规范化管理;
c)应对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规范化管理,按操作规程实现关键设备(包括备份和冗余设备)的启动,停止、加电,断电等操作; d)应确保信息处理设备必须经过审批才能带离机房或办公地点。4.2.5.5 网络安全管理
a)应指定人员对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作;
b)应建立网络安全管理制度,对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面作出规定;
c)应根据厂家提供的软件升级版本对网络设备进行更新,并在更新前对现有的重要文件进行备份;
d)应定期对网络系统进行漏洞扫描,对发现的网络系统安全漏洞进行及时的修补; e)应对网络设备的配置文件进行定期备份; f)应保证所有与外部系统的连接均得到授权和批准。4.2.5.6 系统安全管理
a)应根据业务需求和系统安全分析确定系统的访问控制策略; b)应定期进行漏洞扫描,对发现的系统安全漏洞及时进行修补;
c)应安装系统的最新补丁程序,在安装系统补丁前,应首先在测试环境中测试通过,并对重要文件进行备份后,方可实施系统补丁程序的安装;
d)应建立系统安全管理制度,对系统安全策略、安全配置、日志管理和日常操作流程等方面作出规定;
e)应依据操作手册对系统进行维护,详细记录操作日志,包括重要的日常操作、运行维护记录、参数的设置和修改等内容,严禁进行未经授权的操作; f)应定期对运行日志和审计数据进行分析,以便及时发现异常行为。4.2.5.7 恶意代码防范管理 a)应提高所有用户的防病毒意识,告知及时升级防病毒软件,在读取移动存储设备上的数据以及从网络上接收文件或邮件之前,先进行病毒检查,对外来计算机或存储设备接入网络系统之前也,直进行病毒检查;
b)应指定专人对网络和主机进行恶意代码检测并保存检测记录;
c)应对防恶意代码软件的授权使用、恶意代码库升级、定期汇报等作出明确规定。4.2.5.8 密码管理
应使用符合国家密码管理规定的密码技术和产品。4.2.5.9 变更管理
a)应确认网络中要发生的重要变更,并制定相应的变更方案;
b)网络发生重要变更前,应向主管领导申请,审批后方可实施变更,并在实施后向相关人员通告。
4.2.5.10 备份与恢复管理
a)应识别需要定期备份的重要业务信息、系统数据及软件系统等;
b)应规定备份信息的备份方式(如增量备份或全备份等)、备份频度(如每日或每周等)、存储介质、保存期等;
c)应根据数据的重要性和数据对系统运行的影响,制定数据的备份策略和恢复策略,备份策略应指明各份数据的放置场所、文件命名规则、介质替换频率和将数据离站运输的方法。
4.2.5.11 安全事件处置
a)应报告所发现的安全弱点和可疑事件,但任何情况下用户均不应尝试验证弱点; b)应制定安全事件报告和处置管理制度,明确安全事件类型,规定安全事件的现场处理、事件报告和后期恢复的管理职责;
c)应根据安全事件对本网络产生的影响,对本网络安全事件进行等级划分; d)应记录并保存所有报告的安全弱点和可疑事件,分析事件原因,监督事态发展,采取措施避免安全事件发生。4.2.5.12 应急预察管理
a)应在统一的应急预案框架下制定不同事件的应急预案,应急预案框架应包括启动应急预案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容;
b)应对相关的人员进行应急预案培训,应急预案的培训应至少每年举办一次。4.3 第3.1级要求 4.3.1 安全管理制度 4.3.1.1 管理制度
除满足4.2.1.1的要求之外,还应满足:
a)应对安全管理活动中的各类管理内窖建立安全管理制度,以规范安全管理活动; b)应形成由安全策略、管理制度、操作规程等构成的全面的安全管理制度体系。4.3.1.2 制定和发布
除满足4.2.1.2的要求之外,还应满足:
a)安全管理制度应有统一的格式,并进行版本控制; b)安全管理制度应通过正式、有效的方式发布; c)安全管理制度应注明发布范围,并对收发文进行登记. 4.3.1.3 评审和修订
除满足4.2.1.3的要求之外,还应满足:
a)安全领导小组应负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定;
b)应定期或不定期对安全管理制度进行检查和审定。4.3.2 安全管理机构 4.3.2.1 岗位设置
除满足4.2.2.1的要求之外,还应满足。a)应设立安全管理工作的职能部门;
b)应成立指导和管理安全工作的委员会或领导小组,其最高领导应由单位主管领导委任或授权;
c)应制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求. 4.3.2.2 人员配备
除满足4.2.2.2的要求之外,还应满足: a)应配备专职安全管理员,不可兼任; b)关键事务岗位应配备多人共同管理。4.3.2.3 授权和审批
除满足4.2.2.3的要求之外,还应满足:
a)应根据各个部门和岗位的职责明确授权审批事项;
b)应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序,按照审批程序执行审批过程,对重要活动建立逐级审批制度;
c)应定期审查审批事项,及时更新需授权和审批的项目、审批部门和审批人等信息; d)应记录审批过程并保存审批文档。4.3.2.4 沟通相合作
除满足4.2.2.4的要求之外,还应满足。
a)各类管理人员之间、组织内部机构之间以及网络安全职能部门内部定期或不定期召开协调会议,共同协作处理网络安全问题;
b)应建立外联单位联系列表,包括外联单位名称、合作内容、联系人和联系方式等信息;
c)应聘请网络安全专家作为常年的安全顾问,指导网络安全建设,参与安全规划和安全评审等。
4.3.2.5 审核和检查
除满足4.2.2.5的要求之外,还应满足:
a)应由内部人员或上级单位定期进行全面安全检查,检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等;
b)应制定安全检查表格实施安全检查,汇总安全检查数据,形成安全检查报告,并对安全检查结果进行通报;
c)应制定安全审核和安全检查制度规范安全审核和安全检查工作,定期按照程序进行安全审核和安全检查活动。4.3.3 人员安全管理 4.3.3.1 人员录用
除满足4.2.3.1的要求之外,还应满足。
a)应严格规范人员录用过程,对被录用人的资质等进行审查; b)应签署保密协议; c)应从内部人员中选拔从事关键岗位的人员,并签署岗位安全协议。4.3.3.2 人员离岗
除满足4.2.3.2的要求之外,还应满足。
关键岗位人员离岗须承诺调离后的保密义务后方可离开。4.3.3.3 人员考核
除满足4.2.3.3的要求之外,还应满足:
a)应对关键岗位的人员进行全面、严格的安全审查和技能考核; b)应对考核结果进行记录并保存。4.3.3.4 安全意识教育和培训
除满足4.2.3.4的要求之外,还应满足: a)应对安全责任和惩戒措施进行书面规定;
b)应对定期安全教育和培训进行书面规定,针对不同岗位制定不同的培训计划; c)应对安全教育和培训的情况和结果进行记录并归档保存。4.3.3.5 外部人员访问管理
除满足4.2.3.5的要求之外,还应满足;
a)应确保在外部人员访问受控区域前先提出书面申请;
b)对外部人员允许访问的区域、网络、设备、信息等内容应进行书面的规定,并按照规定执行。
4.3.4 安全建设管理 4.3.4.1 定级
除满足4.2.4,1的要求之外,还应满足:
a)应组织相关部门和有关安全技术专家对网络定级结果的合理性和正确性进行论证和审定;
b)应将网络的定级结果分级上报至全国或地区的主管部门,主管部门对定级结果审批。
4.3.4.2 安全方案设计
除满足4.2.4.2的要求之外,还应满足: a)应指定和授权专门的部门对网络的安全建设进行总体规划,制定近期和远期的安全建设工作计划;
b)应根据网络的等级划分情况,统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案,并形成配套文件;
c)应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理镶略、总体建设规划、详细设计方案等相关配套文件的合理性和正确性进行论证和审定,并且经过批准后,才能正式实施;
d)应根据等级测评、安全评估的结果定期调整和惨订总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件。4.3.4.3 产品采购和使用
除满足4.2.4.3的要求之外,还应满足:
应预先对产品进行选型测试,确定产品的候选范围,并定期审定和更新候选产品名单。4.3.4.4 自行软件开发
除满足4.2.4.4的要求之外,还应满足:
a)应确保开发人员和测试人员分离,测试数据和测试结果受到控制; b)应制定代码编写安全规范,要求开发人员参照规范编写代码; c)应确保对程序资源库的修改、更新、发布进行授权和批准。4.3.4.5 外包软件开发
与4.2.4.5的要求相同。4.3.4.6 工程实施
除满足4.2.4.6的要求之外,还应满足: a)要求工程实施单位能正确地执行安全工程过程;
b)应制定工程实施方面的管理制度,明确说明实施过程的控制方法和人员行为准则。4.3.4.7 测试验收
除满足4.2.4.7的要求之外,还应满足:
a)应委托公正的第三方测试单位对网络进行安全性测试,并出具安全性测试报告; b)应对系统测试验收的控制方法和人员行为准则进行书面规定; c)应指定或授权专门韵部门负责系统测试验收的管理,并按照管理规定的要求完成系统测试验收工作。4.3.4.8 交付
除满足4.2.4.8的要求之外,还应满足;
a)应对网络交付的控制方法和人员行为准则进行书面规定;
b)应指定或授权专门的部门负责网络交付的管理工作,并按照管理规定的要求完成交付工作;
c)在网络正式投入使用前,应根据实际情况进行试运行,试运行期间应提供相关应急预防措施;
d)在网络正式投入使用后,应对开发、建设过程中涉及安全要求的配置、口令等内容重新修改、设定。
4.3.4.9 安全服务商的选择
与4.2.4.9的要求相同。4.3.4.10 备案
除满足4.2.4.10的要求之外,还应满足:
应将网络的安全等级、属性、定级的理由等资料分级上报至全国或地区的主管部门备案。4.3.4.11 等级测评
a)在网络运行过程中,应至少每年对网络进行一次等级测评,发现不符合相应等级保护标准要求的及时整改;
b)应在网络发生变更时及时对网络进行等级测评,发现级别发生变化的及时调整级别并进行安全改造,发现不符合相应等级保护标准要求的及时整改;
c)应选择具有国家相关技术资质和安全资质的测评单位进行等级测评; d)应指定或授权专门的部门或人员负责等级测评的管理。4.3.5 安全运维管理 4.3.5.1 环境管理
除满足4.2.5.1的要求之外,还应满足:
a)应有指定的部门负责机房安全,并配置电子门禁系统,对机房来访人员实行登记记录和电子记录双重备案管理。b)工作人员离开座位应确保终端计算机退出登录状态和桌面上没有包含敏感信息的纸档文件。
4.3.5.2 资产管理
除满足4.2.5.2的要求之外,还应满足:
a)应根据资产的重要程度对资产进行标识管理,根据资产的价值选择相应的管理措施;
b)应对信息分类与标识方法作出规定,并对信息的使用、传输和存储等进行规范化管理。
4.3.5.3 介质管理
除满足4.2,5.3的要求之外,还应满足:
a)应建立介质安全管理制度,对介质的存放环境、使用、维护和销毁等方面作出规定: b)应对介质的物理传输过程中人员选择、打包、交付等情况进行控制;
c)应对存储介质的使用过程进行严格的管理,对带出工作环境的存储介质进行内容加密和监控管理,对保密性较高的存储介质未经批准不得自行销毁;
d)应根据数据备份的需要对某些介质实行异地存储,存储地的环境要求和管理方法应与本地相同;
c)应对重要介质中的数据和软件采取加密存储。4.3.5.4 设备管理
除满足4.2.5.4的要求之外,还应满足:
应建立配套设施、软硬件维护方面的管理制度,对其维护进行有效的管理,包括明确维护人员的责任、涉外维修和服务的审批、维修过程的监督控制等。4.3.5.5 监控管理
a)应对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报警,形成记录并妥善保存;
b)应组织相关人员定期对监测和报警记录进行分析、评审,发现可疑行为,形成分析报告,并采取必要的应对措施;
c)应建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理。4.3.5.6 网络安全管理 除满足4.2.5.5的要求之外,还应满足:
a)应实现设备的最小服务配置,并对配置文件进行定期离线备份; b)应依据安全策略允许或者拒绝便携式和移动式设备的网络接入: c)应定期检查违反规定拨号上阚或其他违反网络安全策略的行为。4.3.5.7 系统安全管理
除满足4.2.5.6的要求之外,还应满足:
应指定专人对系统进行管理,划分系统管理员角色,明确各个角色的权限、责任和风险,权限设定应当遵循最小授权原则。4.3.5.8 恶意代码防范管理
除满足4.2.5.7的要求之外,还应满足:
应定期检查网络内各种产品的恶意代码库的升级情况并进行记录,对主机防病毒产品、防病毒网关和邮件防病毒网关上截获的危险病毒或恶意代码进行及时分析处理,并形成书面的报表和总结汇报。4.3.5.9 密码管理
除满足4.2.5.8的要求之外,还应满足:
应建立密码使用管理制度。4.3.5.10 变更管理
除满足4.2.5.9的要求之外,还应满足:
a)应建立变更管理制度,变更和变更方案需有评审过程;
b)应建立变更控制的申报和审批文件化程序,对变更影响进行分析并文档化,记录变更实施过程,并妥善保存所有文档和记录;
c)应建立中止变更并从失败变更中恢复的文件化程序,明确过程控制方法和人员职责,必要时对恢复过程进行演练。4.3.5.11 备份与恢复管理
除满足4.2.5.10的要求之外,还应满足: a)应建立备份与恢复管理相关的安全管理制度;
b)应建立控制数据备份和恢复过程的程序,对备份过程进行记录,所有文件和记录应妥善保存; c)应定期执行恢复程序,检查和测试备份介质的有效性,确保可以在恢复程序规定的时间内完成备份的恢复。4.3.5.12 安全事件处置
除满足4.2.5.11的要求之外,还应满足:
a)应制定安全事件报告和响应处理程序,确定事件的报告流程,响应和处置的范围、程度,以及处理方法等;
b)应在安全事件报告和响应处理过程中,分析和鉴定事件产生的原因,收集证据,记录处理过程,总结经验教训,制定防止再次发生的补救措施,过程形成的所有文件和记录均应妥善保存;
c)对造成系统中断和造成信息泄密的安全事件应采用不同的处理程序和报告程序。4.3.5.13 应急预案管理
除满足4.2.5.12的要求之外,还应满足:
a)应从人力、设备、技术和财务等方面确保应急预案的执行有足够的资源保障; b)应定期对应急预案进行演练,根据不同的应急恢复内容,确定演练的周期; c)应规定应急预案需要定期审查和根据实际情况更新的内容,并按照执行。4.4 第3.2级要求
与第3.1级要求相同。
4.5 第4圾要求
同第3.2级要求。4.6 第5级要求
待补充。
第三篇:电信网安全星级论文
1.网络可信技术的研究与分析
1.1七号信令结构
NO.7信令系统从功能上可以分为四级,第一到三级是公用的消息传递部分(MTP,Message Transfer Part),第四级适合不同用户的独立的用户部分(UP)。
MSU:Message Signal Unit,消息信号单元
MSU-UP:用户部分产生的消息信令单元
MSU-SNM:用于信令网管理的消息信令单元
MSU-SNT:用于信令网测试与维护的消息信令单元
LSSU:Link Status Signal Unit,链路状态信号单元
FISU:Full Insert Signal Unit,填充(插入)信号单元
1.2七号信令协议栈
MTP1:信令数据链路功能级 MTP2:信令链路功能级 MTP3:信令网功能级 SCCP:信令连接控制部分,Signaling Connection Control Part TCAP:事务处理能力应用部分,Transaction Capabilities Application Part ISUP:ISDN用户部分 TUP:电话用户部分 DUP:数据用户部分 INAP:智能网应用部分 MAP:移动应用部分
OMAP:运营、维护和管理部分
1.3我国No.7信令网的分级结构
我国No.7信令网在组织上采取双平面三级分层结构,由高级信令点(HSTP)、低级信令点(LSTP)和信令点(SP)三级组成。第一级HSTP采用A、B两个平面,平面内各个HSTP网状相连,在A、B平面间成对的HSTP相连。第二级LSTP至少要分别连至A、B平面内成对的HSTP,每个SP至少连至两个LSTP。
1.4信令网安全脆弱性
1.4.1信令链路及网络设备的安全
1)物理安全:主要包括保护信令网设备、设施免受火灾、水灾、地震等环境事故以及人为操作错误和各种犯罪行为导致的破坏过程。
2)环境安全应该包括物理环境安全和网络环境安全两个方面。
3)设备安全:包括防盗、防毁、防电磁信息辐射泄漏,抗电磁干扰及电源保护等。
4)网络安全主要指信令网运行时的安全,包括安全检测、管理维护、备份与恢复等方面。1.4.2信令传输协议的安全脆弱性 1)MTP3 2)SCCP 3)SCTP:流控制传输协议,Stream Control Transmission Protocol 1.4.3信令用户部分的安全脆弱性
1.5 2G网络系统的安全机制分析
1.5.1GPRS(General Packet Radio Service,通用分组无线业务)的安全体系与安全威胁 1)只有网络对MS的单向认证
2)加密范围只有移动台到基站,而没有基站到SGSN(Servicing GPRS Support Node,GPRS服务支持节点)的加密
3)加密算法A5与GEA的密钥长度太短 4)基于IP的核心网
5)GPRS网络的在线状态
6)使用WTLS(Wireless Transport Layer Security,无线传输层安全协议)来保障传输层的安全 1.5.2CDMA空中接口存在的安全威胁
1)MIN(Mobile Identification Number,移动识别号码)及ESN(Electronic Serial Number,电子序列号)空中接口传输时没有任何安全措施 2)移动台拒绝服务攻击
1.6 3G网络安全威胁分析
1)对敏感数据的非法获取,对系统信息的保密性进行攻击。2)对敏感数据的非法操作,对信息的完整性进行攻击。
3)对网络服务的干扰或滥用,从而导致系统拒绝服务或导致系统服务质量的降低。4)对服务的非法访问。
1.6.1 3G网络空中接口存在的安全威胁 1)未保护到的信令数据 2)拒绝服务攻击
3)未提供用户数据完整性保护 4)机密性保护不完善
5)没有建立公钥密码体制,难以实现用户数字签名
6)Iu和Iur接口上传输的数据缺乏保护措施[Iu接口负责核心网CN和RNC之间的信令交互。Iur接口是两个RNC之间的逻辑接口。无线网络控制器(RNC,Radio Network Controller)] 7)认证有延迟
1.6.2 3G网络的攻击手段 1)伪装
2)病毒、恶意代码、木马等应用层攻击
3)利用截获的合法IMSI(国际移动用户识别码,international mobile subscriber identity)假冒MS入网
1.6.3 3G移动通信网和固定电信网络融合带来的安全威胁 1)系统是基于IP网络的
2)协议的弱认证性、弱机密性 1.7 NGN网络简介 1.7.1 NGN网络特点 1)开放分布式网络结构 2)高速分组化核心承载 3)独立的网络控制层
4)网络互通和网络设备网关化 5)多样化接入方式 1.7.2 NGN协议
1)媒体网关控制协议MGCP,Media Gateway Control Protocol 2)媒体网关控制协议H.248 3)会话初始协议SIP,Session Initiation Protocol 4)IP电话与多媒体通讯协议H.323 5)SIGTRAN(信令传输)协议 1.7.3 NGN网络的安全框架 1)NGN安全域 2)安全服务 3)认证 4)授权 5)政策规定 6)密钥管理 7)保密性 8)完整性 9)安全协议
2.事件关联技术在下一代电信网中的应用
整个报警事件处理过程包括六个步骤:事件收集,事件聚合,事件合并,事件关联,攻击意图分析,攻击响应。2.1 MTP3层的安全脆弱性 2.1.1信令消息处理 2.1.2路由标记 2.1.3消息识别功能 2.1.4消息分配功能 2.1.5消息路由功能 2.1.6信令网管理 1)信令业务管理 2)信令链路管理 3)信令路由管理
2.2七号信令网攻击事件
2.2.1伪造MTP2层消息进行攻击
1)伪造MTP2层消息扰乱正常的信号单元定界定位和差错检测 2)伪造MTP2层消息扰乱正常的差错校正 3)伪造MTP2层消息扰乱正常的流量控制 4)伪造MTP2层消息人为增加信令链路差错率 2.2.2伪造MTP3层消息进行攻击 1)
第四篇:关于互联网电子信息安全防护问题研究分析
20世纪70年代以来,以信息技术为核心的高技术群的迅猛发展及其在社会各领域中的广泛应用,将人类社会推进到了信息社会。在信息社会里,信息网络系统的建立已逐渐成为不可或缺的基础设施,信息已成为社会发展的重要战略资源、决策资源和控制战场的灵魂,信息安全已成为国家安全的核心因素。无论是在平时还是战时,信息安全问题都将是一个战略性、全
局性的重要问题。谋求国家安全,必须高度重视信息安全防护问题。
一、搞好信息安全防护是确保国家安全的重要前提
众所周知,未来信息化战争将在陆、海、空、天、电多维空间展开,网络空间的争夺尤其激烈。如果信息安全防护工作跟不上,在战争中就可能造成信息被窃、网络被毁、指挥系统瘫痪、制信息权丧失的严重后果。因此,信息安全防护不仅是赢得未来战争胜利的重要保障,而且将作为交战双方信息攻防的重要手段,贯穿战争的全过程。据有关报道披露,海湾战争前,美国特工曾在伊拉克从法国购买的打印机的引导程序中预埋了病毒,海湾战争一开始,美国就通过卫星激活病毒,导致后来伊军防空指挥通信系统陷入瘫痪。战争和军事领域是这样,政治、经济、文化、科技等领域也不例外。根据美国加利弗尼亚州银行协会的一份报告,如果该银行的数据库系统遭到网络“黑客”的破坏,3天就会影响加州的经济,5天就能波及全美经济,7天会使全世界经济遭受损失。鉴于信息安全如此重要,美国国家委员会早在初的《国家安全战备报告》里就强调:执行国家安全政策时把信息安全放在重要位置。俄罗斯于6月讨论通过的《国家信息安全学说》,首次把信息安全正式作为一种战略问题加以考虑,并从理论上和实践上加强准备。
二、我国信息安全面临的形势十分严峻
信息安全是国家安全的重要组成部分,它不仅体现在军事信息安全上,同时也涉及到政治、经济、文化等各方面。当今社会,由于国家活动对信息和信息网络的依赖性越来越大,所以一旦信息系统遭到破坏,就可能导致整个国家能源供应的中断、经济活动的瘫痪、国防力量的削弱和社会秩序的混乱,其后果不堪设想。而令人担忧的是,由于我国信息化起步较晚,目前信息化系统大多数还处在“不设防”的状态下,国防信息安全的形势十分严峻。具体体现在以下几个方面:首先,全社会对信息安全的认识还比较模糊。很多人对信息安全缺乏足够的了解,对因忽视信息安全而可能造成的重大危害还认识不足,信息安全观念还十分淡薄。因此,在研究开发信息系统过程中对信息安全问题不够重视,许多应用系统处在不设防状态,具有极大的风险性和危险性。其次,我国的信息化系统还严重依赖进口,大量进口的信息技术及设备极有可能对我国信息系统埋下不安全的隐患。无论是在计算机硬件上,还是在计算机软件上,我国信息化系统的国产率还较低,而在引进国外技术和设备的过程中,又缺乏必要的信息安全检测和改造。再次,在军事领域,通过网络泄密的事故屡有发生,敌对势力“黑客”攻击对我军事信息安全危害极大。最后,我国国家信息安全防护管理机构缺乏权威,协调不够,对信息系统的监督管理还不够有力。各信息系统条块分割、相互隔离,管理混乱,缺乏与信息化进程相一致的国家信息安全总体规划,妨碍了信息安全管理的方针、原则和国家有关法规的贯彻执行。
三、积极采取措施加强信息安全防护
为了应付信息安全所面临的严峻挑战,我们有必要从以下几个方面着手,加强国防信息安全建设。
第一,要加强宣传教育,切实增强全民的国防信息安全意识。在全社会范围内普及信息安全知识,树立敌情观念、纪律观念和法制观念,强化社会各界的信息安全意识,营造一个良好的信息安全防护环境。各级领导要充分认识自己在信息安全防护工作中的重大责任,一方面要经常分析新形势下信息安全工作形势,自觉针对存在的薄弱环节,采取各种措施,把这项工作做好;另一方面要结合工作实际,进行以安全防护知识、理论、技术以及有关法规为内容的自我学习和教育。
第二,要建立完备的信息安全法律法规。信息安全需要建立完备的法律法规保护。自国家《保密法》颁布实施以来,我国先后制定和颁布了《关于维护互联网安全的决定》、《计算机信息网络国际联网安全保护管理办法》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息系统国际联网保密管理规定》、《计算机信息系统安全专用产品检测和销售许可证管理办法》、《计算机信息系统安全专用产品分类原则》、《金融机构计算机信息系统安全保护工作暂行规定》等一系列信息安全方面的法律法规,但从整体上看,我国信息安全法规建设尚处在起步阶段,层次不高,具备完整性、适用性和针对性的信息安全法律体系尚未完全形成。因此,我们应当加快信息安全有关法律法规的研究,及早建立我国信息安全法律法规体系。
第三,要加强信息管理。要成立国家信息安全机构,研究确立国家信息安全的重大
第五篇:互联网安全管理协议书
互联网安全从其本质上来讲就是互联网上的信息安全。从广义来说,凡是涉及到互联网上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。接下来小编搜集了互联网安全管理协议书,欢迎查看,希望帮助到大家。
互联网安全管理协议书一
甲方:_________
联系人:_______
乙方:_________
联系人:_______
甲乙双方本着平等、自愿、诚实、信任的原则,经友好协商,就甲方租用乙方adsl宽带,乙方向甲方提供接入internet服务等有关合作,达成如下协议:
第一条租用说明
甲方租用乙方adsl(拨号)包月制接入服务是指甲方以adsl拨号方式接入乙方的互联网,接入的地点详见业务定单。
第二条租用种类、数量
甲方租用乙方adsl宽带互联网电路,数量为_________条,速率为_________,承载电话_________。
第三条租用期限
本协议生效后,乙方为甲方所提供的服务的开通日为甲方所租用电路的起始日,由于乙方对甲方给予优惠价格,甲方至少租用期限为从起始日计算_________年。
第四条服务条款
1、甲方与乙方的互联网电路维护界面以adsl调制解调器为界。
2、乙方应保证甲方租用电路的正常使用。对于电路故障,经确认如属于乙方责任内故障,乙方将在自接到甲方申告后,按《中华人民共和国电信条例》第33条关于电信障碍处理办法进行处理。
3、电路障碍经确认,属于甲方维护界面内,由甲方自行解决。
4、乙方将为甲方提供关于电路的技术咨询工作。
第五条甲方支付费用及支付时间
1、协议约定,甲方按_________方式向乙方缴纳互联网使用费。费用计算方式按_________计算,故给予的优惠价格每月____元,并免收一次性接入费_________元,电路竣工用户签字确认后,乙方开始向甲方收取费用,电路竣工七日内甲方需交纳首月网费;甲方按期交纳接入服务预付款,为本协议生效的先决条件。
2、乙方向甲方提供价值_________元的adsl终端设备,乙方提供的adsl终端设备所有权归乙方所有,甲方在使用时应保持设备及配件完好。
3、双方约定,甲方在使用本业务一年内(自开通之日起计算,停机时间除外)不得办理拆机业务,如因甲方原因办理拆机业务,须补缴违约金_________元,设备由乙方收回;在使用本业务一年后,甲方可办理拆机业务,设备由乙方收回。
4、乙方电路结算月是指上月21日至本月20日、不足15天按半月收费;超过15天、不足一个月按全月收费。
5、如甲方逾期不交纳费用,乙方有权对甲方电路做停机处理,同时在甲方欠费期间不办理任何业务,并且照常收取互联网费用。由此产生的损失,乙方不负任何责任。
6、对于现金和转帐支票用户,乙方应在每月25日前将甲方租用乙方本月电路月租费的付款通知传真甲方。甲方于次月1日之前将本月租用费支付至乙方指定帐户;对于转帐托收用户,乙方将在次月自动托收。交纳租用费逾期超过五天的,乙方有权停止向甲方提供服务并追回欠费。
7、本次优惠活动,甲方接入adsl网络电脑数不超过_________台(含_________台)是先决入网条件,如用户接入电脑台数超过2台,按照选定价格5倍收费,并补齐所有月份费用。
8、甲方租用乙方的服务费用按本协议有关条款执行,如我国现行电信资费的规定标准发生变更或调整,则需经双方另行商定价格,并进行书面确认后按商定标准执行。
第六条甲方的权利和义务
1、甲方在租用的服务上,甲方应按国家有关规定不使用未获得行业管理部门入网许可证的终端设备,否则所产生的后果由甲方负全部责任。
2、甲方不得利用租用的服务从事危害国家安全、泄露国家机密等违法犯罪活动,不得查阅、制作、复制、发布和传播淫秽色情和妨碍社会治安的信息。
第七条乙方的权利和义务
1、乙方负责在甲方租用的电路使用期限内保证服务的畅通和日常维护。
2、甲方在租用乙方的电路上所从事的业务应遵守国家互联网的有关规定和法规,否则,乙方有权停止提供该项服务。
3、由于乙方adsl业务对电话线路要求较高,如出现由于线路和用户电脑等原因,无法为甲方开通adsl宽带业务,乙方有权退回用户的申请。
第八条开通与中断补偿
1、甲方租用的电路,因乙方责任造成的中断,在规定时限内没有处理好的,乙方对甲方应予以补偿。补偿的方式为延长服务时间,即在甲方服务期满后,乙方向甲方提供服务中断时间的两倍作为补偿服务时间。
2、如果乙方因测试电路等人为原因中断服务,乙方必须事先通知甲方,并征得甲方同意。因甲方提出测试电路要求,以及网络扩容割接引起的线路中断不包含在中断补偿范围内。
第九条违约责任
1、本协议为商业机密,不得外传。
2、协议期间,甲、乙双方任一方不得随意退出协议。如有一方违约,守约方有权要求赔偿损失。
3、合作过程中,协议中未尽事宜须经双方友好协商解决或增补条款。
4、任何一方未履行本协议各项的任何一项条款均被视为违约。违约方应承担因自己的违约行为而给守约方造成的直接经济损失。
第十条其他
1、双方未尽事宜可另签补充协议书,该补充协议书与本协议有一样的法律效力。
2、本合同一式四份,甲方一份,乙方三份签字盖章生效。
3、如双方发生争执尽量友好协商解决。
甲方(盖章):________乙方(盖章):________
法人代表(签字):____法人代表(签字):____
委托人(签字):______委托人(签字):______
地址:________________地址:________________
电话:________________电话:________________
________年____月____日________年____月____
互联网安全管理协议书二
根据双方合作意向,乙方向甲方提供电脑及网络安全工程师租赁服务,处理甲方计算机及网络系统运行的安全问题。
一、甲方的权利和义务
1.享受全面周到的“网管及计算机维修”服务。
2.享受网络工程师分散或集中服务的服务形式。
3.享受乙方网管工程师,每两周一次的全面检修保养。
4.全面检修保养:
逐一检查单台电脑及服务器操作系统是否正常运行;互联网与局域网是否畅通无阻,以及其他网络设备是否正常连接、工作;如发现问题,在不影响甲方正常工作的前提下,在最短的时间内排除故障。
5.享受24小时的 “网管及计算机维修”的免费咨询服务,咨询热线:_________。
6.享受合同期内免费提供最少_________小时的电脑知识培训。
7.在乙方实施服务过程中,甲方应积极协助乙方工作,避免服务中断。
8.为保证问题在救援过程中能够快速、及时、准确,在乙方工程师出发前往现场前,甲方有义务准确描述现场情况,并回答乙方工程师所提问题。
9.出现不可抗因素阻碍合作业务顺利进行时,双方应以相互理解的态度探讨如何解决问题。
二、乙方的权利和义务
1.此协议生效后,乙方应保证甲方所投保服务的_________台服务器、_________台交换机、_________路由器、_________台电脑及其他共享网络设备的正常运行。协助电脑附属设备的连接与运行。并在甲方网络或单机电脑出现故障并报警后,在国家规定的工作时间内,不超过_________小时立即上门,维修的标准达到正常使用。
2.免费电话咨询,_________小时提供紧急上门服务的次数不超过_________次/年,以紧急救援结束后乙方签字确认为准。
三、乙方服务内容
1.硬件服务:
乙方保证甲方所投年保的电脑主机(主板、硬盘、光驱、板卡等)、显示器,外设(打印机、扫描仪)、网络设备的维护、维修,保证硬件设备正常运转。
注:如发现硬件损坏,乙方负责硬件维修,对无法维修的硬件,由乙方提出配件的规格、型号和报价,可以由甲方自行采购,也可以由乙方代为您采购(以不高于市场价格为准)。
2.网络管理与软件安全服务
a.为每台电脑、外设等建立资料档案及系统驱动档案;
b.硬件维修、维护;
c.软件安装、调试;
d.病毒防护及网络安全;
e.网络规划、设计、安装、维护;
f.信息数据恢复、备份;
g.技术咨询,免费电脑培训;
h.数据整理;
i.密码管理;
j.定期系统优化;
k.系统美化、系统速度优化、系统高级优化、灾难抢救恢复;
3.对于上述内容中为未涉及的业务内容,双方协商后重新议定。
四、报价标准
10台或以下:_________元/月
11~20台:_________元/月
21~30台:_________元/月
31~40台:_________元/月
41~50台:_________元/月
50台以上:面议
五、协议付费
1.收费标准:人民币_________元/月。
2.付费形式:在此协议正式生效日起_________日内,甲方向乙方支付人民币_________元,余款_________个月内一次付清。
六、保密条款
甲方应允许乙方在维护和救助工作需要的情况下,查看硬盘或其他储存设备中的相关信息。对于甲方的信息乙方应保证该信息的保密性,如因乙方工作疏忽或蓄意将甲方机密文件或资料丢失、泄露,乙方将承担一切法律责任和经济损失。
七、责任条款
1.网管主要服务范围是:保证单台电脑操作系统正常运行;互联网与局域网畅通无阻,而其他应用软件不在服务范围之内,但应尽力给予甲方提供技术指导。
2.由于乙方服务人员工作失误,导致甲方硬件损坏或数据丢失,由乙方负责赔偿。
3.考虑计算机软件黑客、病毒等不确定因素,乙方有义务提醒甲方将重要数据实时备份,但无法承担由此协议引发的其他责任,包括数据丢失、商业损失、民事侵权或其他永久性损失,以及由此协议引起的偶发性、后继性和间接性损失。
4.不可预计的情况,像由于政策原因或自然灾害如洪水、火灾、罢工等原因双方再协商而定本协议条款的具体内容。
八、争端条款
甲、乙双方有义务完成此协议所规定的各项内容,如果发生争议,双方应本着平等、互谅的精神友好协商解决。如果协商不成,双方同意通过法律途径解决,双方一致同意_________为法律仲裁地。
九、协议生效
此合同一式两份,甲乙双方各执一份;具有同等法律效力。
生效日为_________年_________月_________日,至_________年_________月_________日止。
甲方(盖章):_________ 乙方(盖章):_________
代表人(签字):_________ 代表人(签字):_________
_________年____月____日 _________年____月____日
签订地点:_________ 签订地点:_________
互联网安全管理协议书三
用户(信息源和信息发送方责任单位)与安徽八度网络科技有限公司签订业务合同,使用服务方提供的服务时保证遵守以下各项规定:
第1条 遵守国家有关法律、行政法规和管理规章,严格执行信息安全管理规定。
第2条 根据《互联网信息服务管理办法》规定,国家对经营性互联网信息服务实行许可制度;对非经营性互联网信息服务实行备案制度。甲方未取得许可或者未履行备案手续,将不得从事互联网信息服务。甲方需要开展电子公告服务的,须遵守《互联网电子公告服务管理规定》。甲方需要开展电子邮件服务的,须遵守《互联网电子邮件服务管理办法》。
第3条 依据《非经营性互联网备案管理办法》规定,如备案信息不真实,将关闭网站并注销备案。用户保证所有备案信息真实有效,当用户的备案信息发生变化时应及时到备案系统中提交更新信息,如因未及时更新而导致备案信息不准确,将对网站进行关闭处理。
第4条 用户不得利用乙方服务发布含有下列内容之一的信息:
1、反对宪法所规定的基本原则的;
2、危害国家安全、泄漏国家秘密、颠覆国家政权、破坏国家统一的;
3、损坏国家荣誉和利益的;
4、煽动民族仇恨、民族歧视、破坏民族团结的;
5、破坏国家宗教政策,宣扬邪教和封建迷信的;
6、散布谣言、扰乱社会秩序、破坏社会稳定的;
7、散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;
8、侮辱或者诽谤他人,侵害他人合法权益的;
9、含有法律、行政法规禁止的其他内容的。
第5条 客户发布的信息必须遵守国家有关知识产权的法律、政策规定。
第6条 客户在联网测试、试运行期间以及业务正式开通后,应保证其所提供业务内容的安全性与稳定性,不对电信运营商的相关业务平台造成危害。
第7条 客户应建立有效的信息安全保密管理制度和技术保障措施,并接受相关业务主管部门的管理、监督和检查。
第8条 若违反上述规定,服务方、电信运营商或电信行业主管部门有权采取必要措施,关闭相关信息源接入通道和信息发送通道,情节严重者终止合作业务,追究客户的法律责任,并追索由此产生的相应的经济损失。
第9条 在使用安徽八度网络科技有限公司服务过程中,服从监督和管理;若我司违反本承诺书的承诺,本公司愿意承担由此引起的一切法律责任,并接受相应的处罚。
第10条 网站开通时请在主页底部的中央位置标明其备案编号,将备案编号按要求链接至工业和信息化部备案管理系统网址,供公众查询核对。
网站主办单位(公章): 接入服务单位:(盖章):
网站负责人签字: 核验人签字:
日期: 年 月 日 日期: 年 月 日
互联网安全管理协议书四
现依据《互联网信息服务管理办法》(国务院令第292号)、《非经营性互联网信息服务管理办法》(信息产业部令第33号)、《互联网站管理工作细则》(信部电【XX】501号)、《信息产业部关于依法打击网络淫秽色情专项行动工作方案的通知》(信部电【XX】231号)、《工业和信息化部关于进一步深入整治手机淫秽色情专项行动工作方案》(工信部电管〔XX〕672号文件)、《工为和信息化部关于进一步落实网站备案信息真实性检验工作方案》(工信部电管局函【XX】64号)等有关规定,为配合省通信管理局维护互联网正常运营秩序、创造良好的互联网环境。金万邦所有接入服务的网站主办者与金万邦公司签署本项协议,遵守如下条款:
第一章总则
第一条为规范互联网信息安全,促进互联网服务有序发展,制定本协议。
第二条本协议所称互联网信息安全,是指新一代数据中心提供给网站主办者的互联网接入服务,包括主机托管、虚拟主机等。
第三条此协议遵循文明守法、诚信自律、自觉维护国家利益和公共利益的原则。
第四条金万邦负责本公约的组织实施。
第二章协议内容
(一)网站主办者保证自觉遵守国家有关互联网信息服务的法律、法规,文明使用网络,不传播色情淫秽信息以及其他违法和不良信息;
(二)网站主办者保证不危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;
(三)网站主办者保证不损害国家荣誉和利益的;
(四)网站主办者保证不煽动民族仇恨、民族歧视,破坏民族团结的;
(五)网站主办者保证不破坏国家宗教政策,宣扬xx和封建迷信的;
(六)网站主办者保证不散布谣言,扰乱社会秩序,破坏社会稳定的;
(七)网站主办者保证不散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;
(八)网站主办者保证对网站内容进行有效监督和管理,及时删除违法和不良跟贴信息;
(九)网站主办者保证不利用互联网传播计算机病毒等恶意程序,不危害他人计算机信息安全。
第五条违反服务协议的,金万邦应及时予以督促改正,有权直接关闭相关违法和不良信息内容的网站或停止为其提供服务,如停止服务后需行开通,收取开通费100元/次。
第六条金万邦要求网站网站主办者实行实名注册备案,注册信息应当包括网站主办者真实姓名、有关证件、通信地址、联系电话、邮箱等。
第三章附则
第七条双方确认在签署本协议前已仔细审阅过合同的内容,并完全了解本协议各条款的法律含义。
第八条作为xxx的接入服务网站主办者同意遵守上述条款,违反本协议,承担相关责任。本协议由网站主办者签字盖章即生效。
第九条本协议由金万邦负责解释。
甲方单位名称(盖章): 乙方单位名称(盖章):
日期: 日期: