计算机安全员培训CD1_第1页
计算机安全员培训CD1_第2页
计算机安全员培训CD1_第3页
计算机安全员培训CD1_第4页
计算机安全员培训CD1_第5页
已阅读5页,还剩43页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

计算机安全员培训CD1PPT转Word信息网络安全概述计算机安全员培训信息网络安全概述信息网络安全与计算机信息系统信息网络面临的威胁及其脆弱性信息网络安全保护信息网络安全监察网络职业道德与社会责任一、信息网络安全与计算机信息系统(-)计算机信息系统(信息网络)概念:由计算机及其相关配套的设备、设施构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输和检索等处理的人机系统。(二)信息网络安全信息网络安全是•门涉及计算机科学、网络技术、应用数学、信息论等多种学科的综合性学科,其实质就是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,确保系统能连续可靠正常地运行,网络服务不中断。信息网络安全的目标保护网络信息的保密性、完整性、可用性、不可抵赖性。网络安全指的是保护网络信息系统,使其没有危险,不受威胁,不出事故。.可用性可用性指信息或者信息系统可被合法用户访问,并按其要求运行的特性。如图所示,“进不来”、“改不了”和“拿不走”都实现了信息系统的可用性。人们通常采用一些技术措施或网络安全设备来实现这些目标。例如: 使用防火墙,把攻击者阻挡在网络外部,让他们“进不来”。即使攻击者进入了网络内部,由于有加密机制,会使他们“改不了”和“拿不走”关键信息和资源。.机密性机密性将对敏感数据的访问权限控制在那些经授权的个人,只有他们才能查看数据。机密性可防止向未经授权的个人泄露信息,或防止信息被加工。如图所示,“进不来”和“看不懂”都实现了信息系统的机密性。 人们使用口令对进入系统的用户进行身份鉴别,非法用户没有口令就“进不来”,这就保证了信息系统的机密性。即使攻击者破解了口令,而进入系统,加密机制也会使得他们“看不懂”关键信息。例如,甲给乙发送加密文件,只有乙通过解密才能读懂其内容,其他人看到的是乱码。由此便实现了信息的机密性。.完整性完整性指防止数据未经授权或意外改动,包括数据插入、删除和修改等。为了确保数据的完整性,系统必须能够检测出未经授权的数据修改。其目标是使数据的接收方能够证实数据没有被改动过。如图所示,“改不了”和“拿不走”都实现了信息系统的完整性。使用加密机制,可以保证信息系统的完整性,攻击者无法对加密信息进行修改或者复制。.不可抵赖性不可抵赖性也叫不可否认性,即防止个人否认先前已执行的动作,其目标是确保数据的接收方能够确信发送方的身份。例如,接受者不能否认收到消息,发送者也不能否认发送过消息。如图所示,“跑不掉”就实现了信息系统的不可抵赖性。如果攻击者进行了非法操作,系统管理员使用审计机制或签名机制也可让他们无处遁形。二、信息网络面临的威胁及脆弱性(一)网络系统的脆弱性(二)网络系统面临的威胁(三)产生威胁的原因操作系统的脆弱性计算机系统本身的脆弱性电磁泄漏数据的可访问性通信系统和通信协议的脆弱性数据库系统的脆弱性存储介质的脆弱1、操作系统的脆弱性NOS体系结构本身就是不安全的一操作系统程序的动态连接性。操作系统可以创建进程,这些进程可在远程节点上创建与激活,被创建的进程可以继续创建进程。NOS为维护方便而预留的无口令入口也是黑客的通道。2、计算机系统本身的脆弱性硬件和软件故障:硬盘故障、电源故障、芯片主板故障、操作系统和应用软件故障。存在超级用户,如果入侵者得到了超级用户口令,整个系统将完全受控于入侵者。3、电磁泄漏计算机网络中的网络端口、传输线路和各种处理机都有可能因屏蔽不严或未屏蔽而造成电磁信息辐射,从而造成有用信息甚至机密信息泄漏。4、数据的可访问性进入系统的用户可方便地拷贝系统数据而不留任何痕迹;网络用户在一定的条件下,可以访问系统中的所有数据,并可将其拷贝、删除或破坏掉。5、通信系统与通信协议的脆弱性通信系统的弱点:网络系统的通信线路面对各种威胁就显得非常脆弱,TCP/IP及FTP、E-mail.WWW等都存在安全漏洞,如FTP的匿名服务浪费系统资源,E-mail中潜伏着电子炸弹、病毒等威胁互联网安全,WWW中使用的通用网关接口程序、JavaApplet程序等都能成为黑客的工具,黑客采用TCP预测或远程访问直接扫描等攻击防火墙。6、数据库系统的脆弱性由于DBMS对数据库的管理是建立在分级管理的概念上的,因此,DBMS存在安全隐患。另外,DBMS的安全必须与操作系统的安全配套,这无疑是一个先天的不足之处。黑客通过探访工具可强行登录和越权使用数据库数据;数据加密往往与DBMS的功能发生冲突或影响数据库的运行效率。7、存储介质的脆弱性软硬盘中存储大量的信息,这些存储介质很容易被盗窃或损坏,造成信息的丢失。介质的剩磁效应:废弃的存储介质中往往残留有关信息。(-)信息网络系统面临的威胁非授权访问:是指没有预先经过同意,就使用网络或计算机资源,如有意避开系统访问控制机制,对网络设备及资源进行非正常使用,或擅自扩大权限,越权访问信息。非授权访问主要有以下几种形式:假冒身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。(-)信息网络系统面临的威胁信息泄露或丢失:指敏感数据在有意或无意中被泄露舟去或丢失。它通常包括:信息在传输中丢失或泄露(如“黑客”们利用电磁泄露或搭线窃听等方式可截获机密信息,或通过对信息流向、流量、通信频度和长度等参数的分析,推出有用信息),信息在存储介质中丢失或泄露,通过建立隐蔽隧道等窃取敏感信息等。(二)信息网络系统面临的威胁破坏数据完整性:是指以非法手段窃得对数据的使用权,删除、修改、插入或重发某些重要信息,以取得有益于攻击者的响应;恶意添加,修改数据,以干扰用户的正常使用。拒绝服务攻击:是指不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序,使系统响应减慢甚至瘫痪,影响正常用户的使用,甚至使合法用户被排斥而不能进入计算机网络或不能得到相应的服务。利用网络传播病毒:是通过网络传播计算机病毒,其破坏性大大高于单机系统,而且用户很难防范。影响计算机网络安全的因素很多,有些因素可能是有意的,也可能是无意的;可能是人为的,也可能是非人为的;还可能是外来黑客对网络系统资源的非法使用。归结起来,产生网络不安全的原因有以下几个方面:(1)人为的无意失误如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。(2)人为的恶意攻击这是计算机网络面临的最大威胁。敌人的攻击和计算机犯罪就属于这•类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄露。(3)软件漏洞网络信息系统由硬件和软件组成,由于软件程序的复杂性和编程的多样性,在网络信息系统的软件中很容易有意或无意地留下一些不易被发现的安全漏洞。软件漏洞显然会影响网络信息的安全与保密。如操作系统的安全漏洞(现在大多数病毒都是针对操作系统的漏洞编写的)、数据库的安全漏洞、协议的安全漏洞、网络服务的漏洞、远程登录、电子邮件、口令设置的漏洞、结构隐患等。(4)网桥的安全隐患网桥是独立于协议的互连设备,工作在OSI参考模型的第二层。它完成数据桢的转发,主要目的是在连接的网络间提供透明的通信。网桥的转发依据数据桢中源地址和目的地址来判断一个数据桢是否应转发到哪个端口。桢中的地址为“MAC”地址或“硬件”地址,一般就是网卡自带地址。网络上的设备看不到网桥的存在,设备之间的通信就如同在一个网络上。由于网桥是在数据桢上转发的,因而只能连接相同或相似的网络(如以太网之间、以太网与令牌网之间的互连),只能转发相同或相似的数据桢。对于不同类型的网络(如以太网与X.25之间)或不同的数据桢结构,网桥就失去了作用。(5)路由器的安全隐患路由器工作于OSI网络模型的第三层(网络层)。路由器管基本功能可概括为路由和交换。所谓路由,是指信息传送会选择最佳路径,以提高通信速度,减轻网络负荷,使网络系统发挥最大的效益;所谓交换是指路由器能够连接不同结构、不同协议的多种网络,在这些网络之间传递信息。由于路由器要处理大量的信息,并且其任务繁重(路由选择、信息及协议转换、网络安全功能的实现、信息的加密和压缩处理、优先级控制、信息统计等),因而它比网桥要慢,而且可能会影响到信息量。路由器共有两种选择方式,即静态路由选择和动态路由选择。与之相应,路由表有静态路由表和动态路由表。动态路由表具有可修改性,可能会给网络安全带来危害。若一个路由器的路由表被恶意修改或遭受破坏,则可能会给网络的整体或局部带来灾难性的后果。此外,某些局域网可能会采用IP过滤技术,利用路由器的IP过滤对来自网络外部的非授权用户进行控制,但由于IP的冒用,往往不能达到维护网络安全的目的,而且此法可能会引起网络黑客对路由表的攻击。信息网络安全概述计算机安全员培训信息网络安全概述信息网络安全与计算机信息系统信息网络面临的威胁及其脆弱性信息网络安全保护信息网络安全监察网络社会责任与职业道德三、信息网络安全保护(一)我国信息网络安全目前存在的问题(二)制约我国信息网络安全的因素(三)信息网络安全的管理策略(一)我国信息网络安全目前存在的问题(1)计算机系统遭受病毒感染和破坏的情况相当严重(2)电脑黑客活动已形成严重威胁(3)信息基础设施面临网络安全的挑战(4)网络政治颠覆活动频繁我国信息网络安全目前存在的问题我国信息网络安全目前存在的问题我国信息网络安全目前存在的问题(二)制约我国信息网络安全的因素缺乏自主的计算机网络和软件核心技术安全意识淡薄运行管理机制的缺陷制度化的防范机制需进一步完善(三)信息网络安全的管理策略安全策略是指在一个特定的环境里,为保证提供一定级别的安全保护所必须遵守的规则。网络安全策略模型包括了建立安全环境的三个重要组成部分:威严的法律、先进的技术、严格的管理。(三)信息网络安全的管理策略威严的法律:安全的基石是社会法律、法规与手段,通过建立一套安全管理的标准和方法,即通过建立与网络信息安全相关的法律、法规,使非法分子慑于法律,不敢轻举妄动。(三)信息网络安全的管理策略先进的技术:先进的安全技术是网络信息安全的根本保障,用户对自身面临的威胁进行风险评估,决定其需要的安全服务种类,选择相应的安全机制,然后集成先进的安全技术。(三)信息网络安全的管理策略严格的管理:各网络使用机构、企业和单位应建立相应的严格的信息安全管理办法,加强内部管理,建立审计和跟踪体系,提高整体的信息安全意识。(三)信息网络安全的管理策略(三)信息网络安全的管理策略(三)信息网络安全的管理策略网络安全管理三要素:技术、管理、法规。制定网络安全管理策略要注意的问题(1)确定网络安全管理要保护什么在网络安全策略中要确定网络安全管理要保护什么、,其具体的描述原则是“没有明确表述为允许的都被认为是被禁止的”。对于网络安全策略,一般都采用上述原则来加强对网络安全的限制。(2)确定网络资源的职责划分网络安全策略要根据网络资源的职责确定哪些人允许使用某一设备,对每一台网络设备要确定哪些人能够修改它的配置;更进一步要明确的是授权给某人使用某网络设备和某资源的目的是什么,他可以在什么范围内使用;并确定对每一设备或资源,谁拥有它的管理权,即他可以为其他人授权,使之能够正常使用该设备或资源,并制定授权程序。(3)确定用户的权利与责任在网络安全策略中要指明用户计算机网络的使用规则。其中包括是否允许用户将账号转借给他人;用户应当将他们自己的口令保密到什么程度;用户应在多长时间内更改他们的口令:希望是用户自身提供备份还是由网络服务提供者提供;确定在什么情况下管理员可以读用户的文件,在什么情况下网络管理员有权检查网络上传送的信息。网络使用的类型限制。定义可接受的网络应用或不可接受的网络应用,要考虑对不同级别的人员给予不同级别的限制。网络安全策略都会声明每个用户都要对他们在网络上的言行负责。所有违反安全策略、破坏系统安全的行为都是被禁止的。(4)确定系统管理员的责任在网络安全策略中要明确系统管理员的责任。制定对用户授权的过程设计,以防止对授权职责的滥用。确定每个资源的系统级管理员。在网络的使用中,难免会遇到用户需要特殊权限的时候。原则为“够用即可”。(5)明确当安全策略遭到破坏时所采取的策略对于发生在本网络内部的安全问题,要从主干网向子网逐级过滤、隔离。子网要与主干网形成配合,防止破坏要延。对于来自整个网络以外的安全干扰,除了必要的隔离与保护外,还要与对方所在网络进行联系,确定消除掉安全隐患。每一个网络安全问题都要有文档记录,包括对它的处理过程,并将其送至全网各有关部门,以便预防和留作今后进一步完善网络安全策略的资料。(6)明确本网络对其他相连网络的职责包括本网络对其他相连网络的职责,如出现某个网络告知有威胁来自我方网络。在这种情况下,一般不会给予对方权利,而是在验证对方身份的同时,自己对本方网络进行调查监控,做好相互配合。四、信息网络安全监察(一)公安机关负责监督管理信息网络安全1994年2月18日,国务院发布实施了《中华人民共和国计算机信息系统安全保护条例》,第六条具体规定了“公安部主管全国计算机信息系统安全保护工作”的职能,第17条规定公安机关对计算机信息系统安全保护工作的监督和管理职权。(二)公安机关的监督职权(1)监督、检查、指导计算机信息系统安全保护工作;(2)查处危害计算机信息系统安全的违法犯罪案件;(3)履行计算机信息系统安全保护工作的其他监督职责。(三)具体职责(1)宣传计算机信息系统安全保护法律、法规和规章:(2)检查计算机信息系统安全保护工作;(3)管理计算机病毒和其他有害数据的防治工作;(4)监督、检查计算机信息系统安全专用产品销售活动;(5)查处危害计算机信息系统安全的违法犯罪案件;(6)依法履行其他职责。(四)网络警察1995年我国新颁布的《人民警察法》中明确规定了警察在“监督管理计算机信息系统安全保卫工作”方面的职权,并在省、市、县三级公安机关内部设立了公共信息网络安全监察管理机构(网络警察),负责信息安全和计算机犯罪等方面的工作。1、网络警察的主要工作情报信息打击犯罪管理防范情报信息网警部门通过发现、掌握各种网上色情、淫秽、反动等有害信息,掌握社情民意的网上反映,为清除网上有害信息提供线索,为领导及相关部门决策提供参考的•项重要工作,互联网情报信息是公安情报信息的重要组成部分,是公安机关掌握政情和社情信息的重要来源。打击犯罪网警部门施展职能的重要体现。网警部门按照国家赋予的法定职责和公安部及省厅确定的案件管辖分工原则,综合运用各种手段,针对非法侵入、破坏计算机信息系统或利用信息网络危害国家安全、经济安全和社会政治稳定,侵犯公民人身权利等的犯罪行为而开展取证的专门工作。管理防范网警部门加强阵地控制、夯实业务基础,提高社会信息网络安全防范能力的一项重要工作、是网警部门工作基础。主要包括重要领域计算机信息系统安全保护、互联网安全监督管理、“网吧”等互联网上网服务营业场所安全审核及监督、计算机安全员培训等工作。2、严格执法热情服务开通郑州网络警察门户网站zzwljc,搭建与广大网民沟通的桥梁。开通网上报警处置中心,24小时接受群众报警,延伸执法范围。在我市各大网站设立“虚拟警察”,24小时网上巡逻,处置网上造谣诽谤、淫秽色情、赌博等违法犯罪活动开设互联网上网服务营业场所的年审、变更管理专区,推进网吧行业的规范管理。自主开发互联网综合管理系统,以备案促管理,完善基础数据,为全面工作打好基础。五、网络职业道德与社会责任网络职业道德是指在计算机及网络行业及其应用领域所形成的社会意识形态和伦理关系下,调整人与人之间、人与知识产权之间、人与计算机之间以及人与社会之间关系的行为规范总和。《公民道德建设实施纲要》计算机,联网作为开放式信息传播和交流工具,是思想道德建设的新阵地。要加大网上正面宣传和管理工作的力度,鼓励发布进步、健康、有益的信息,防止反动、迷信、淫秽、庸俗等不良内容通过网络传播。要引导网络机构和广大网民增强网络道德意识,共同建设网络文明。在所有公民中倡导网络责任和计算机职业道德要求每一个公民自觉遵守国家的法律法规。一方面,不利用计算机做任何有悖于道德和法律的事情:另一方面,还应监督他人,对发现的不良行为要及时报告,积极制止。全民共同动员,保障公共信息网络安全、稳定、有序地运行。公共信息网络安全监察工作计算机网络安全员培训公共信息网络安全监察工作公共信息网络安全监察是国家赋予公安机关的一项重要职能,是公安机关在信息网络领域承担的一项重要的安全保卫任务。打击日益猖獗的计算机犯罪的重要手段。公共信息网络安全监察部门是以网络技术为主要手段,集情报信息、侦察控制、打击犯罪、防范管理于一体的实战部门,是公安机关的一个全新警种。公共信息网络安全监察工作的意义公共信息网络安全监察工作的意义从1995年开始,我国将网络与信息安全作为中国信息化发展战略的重要组成部分;在十六届四中全会上通过的《关于加强党的执政能力的决议》中,信息安全与政治、经济、文化安全并列为四大主题之一,将之提到了前所未有的高度。公共信息网络安全监察工作的意义信息网络安全监察是国家法律法规赋予公安机关的一项重要职能;1995年颁布的《中华人民共和国警察法》规定了公安机关人民警察按照职能分工依法履行的各项职责中,详细阐明了计算机信息系统的安全、管理、监督、保护工作的各项内容。公共信息网络安全监察工作发展历史1.第一阶段:启动阶段(1980年—1985年)1980年底,公安部对我国进口的计算机进行技术安全检查,在检查中陆续发现了一些重要的安全问题。后经国务院批准,全国各部门计算机安全检查工作由公安部承担,从此开始了中国信息安全工作。这个时期主要是学习计算机安全知识,邀请外国计算机安全专家对公安系统专业人员进行培训,并通过公安部对中央各部委进行计算机安全启蒙教育。公共信息网络安全监察工作发展历史公安部在1983年成立了公安部计算机管理和监察局(1994年至1998年更名为公安部计算机管理监察司),专门负责计算机安全方面的工作。 公安部计算机管理和监察局对各大部委和驻外使馆信息系统的硬件辐射问题进行安全检查,并对计算机场地安全、机房施工建设等方面的工作进行管理;组织专门力量对全国重点计算机系统进行近百次安全检查,几十次计算机安全讲座,编译了我国第一套计算机安全资料,到1985年底,各部委保卫部门的领导基本上都接受了计算机安全教育,初步具有计算机安全意识,开始制定计算机的安全标准。公共信息网络安全监察工作发展历史.第二阶段:防治计算机病毒阶段(1986年——1994年)1986年组建中国计算机安全专业委员会;1994年国务院颁布《中华人民共和国计算机信息系统安全保护条例》;1986年,著名的巴基斯坦病毒的出现标志着计算机病毒开始正式在国际范围内产生影响。我国在这个时期对病毒的防范成为这一时期的一个重要特点。公共信息网络安全监察工作发展历史1988年12月,我国大陆第一个计算机病毒案在国家统计局从香港引进的设备中发生。1990年,“广州一号”开始了国内病毒的先河。1988年12月21日,公安部印发了“全国公安计算机安全监察工作会议纪要”,要求各省、自治区、直辖市公安厅、局迅速建立一支公安计算机安全监察管理的专业队伍。公共信息网络安全监察工作发展历史.第三阶段:有法可依阶段(1994年起)1994年2月18日《中华人民共和国计算机信息系统安全保护条例》颁布。《条例》规定,公安部主管全国计算机信息系统安全保护工作,安全保护工作的重点是维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全。条例的意义及深远影响影响公安系统内部,促进了各级计算机安全监察机构的建立和完善,壮大了计算机安全队伍;明确了公安部门在计算机安全工作中的主管责任,促进各部门协调配合。公共信息网络安全监察工作发展历史1994年我国的四大互联网络:中国科学技术网、中国公用计算机互联网、中国教育和科研计算机网、中国金桥信息网先后在中国建立,标着着我国进入到了一个崭新的网络时代。随着网络时代的到来,我国的信息安全工作进入了以网络安全为主的全新阶段。我国在《中华人民共和国刑法》中增设了有关计算机犯罪的条款,便于打击和防范此类犯罪。公共信息网络安全监察工作发展历史.第四阶段:公共信息网络安全阶段(1996年起)1998年9月,原计算机管理监察司更名为公共信息网络安全监察局。主要职责为:指导并组织实施公共信息网络和国际互联网的安全保护工作;掌握信息网络违法犯罪动态,提供犯罪案件证据;研究拟定信息安全政策和技术规范;指导并组织实施信息网络安全监察工作。公共信息网络安全监察工作发展历史1998年6月,国家信息安全评测中心成立。1999年6月,国家计算机网络与信息安全管理中心成立,从政策、法律制定、技术组织方面对国家信息安全进行全面的统筹。2000年后,随着机构改革和公共信息网络安全工作任务的扩大,各省、市公安机关开始相继将原有的公共信息网络监察处更名为网络警察总队或支队,进一步明确了网络警察工作职能。公共信息网络安全监察工作主要职能监督和管理计算机信息系统的安全保护工作;保护计算机信息网络国际联网的公共安全;维护从事国际联网业务的单位和个人的合法权益和公众利益;负责计算机信息网络国际联网的互联单位、接入单位和用户的备案;监督计算机信息系统的使用单位和国际联网的互联单位、接入单位及有关用户建立健全安全管理制度;检查网络安全管理及技术措施的落实情况,负责对“网吧”等国际互联网上网服务营业场所的安全审核和安全管理工作。公共信息网络安全监察工作主要职能负责对公共信息网络的安全状况进行检查、安全评估;监督计算机信息系统安全等级保护制度的落实;依据国家有关计算机机房的标准和规定,对计算机机房的建设和计算机机房附近的施工进行监督管理;负责对计算机安全专用产品销售许可证的监督检查工作;管理对计算机病毒和危害社会公共安全的其他有害数据的防治研究工作。公共信息网络安全监察工作主要职能监督、检查和指导计算机信息系统使用单位安全组织和安全员的安全保护工作;组织开展计算机信息系统安全的宣传、教育、培训;依法查处非法侵入国家重要计算机信息系统、破坏计算机信息系统功能、数据和应用程序、传播计算机破坏性程序和其他利用计算机信息网络的违法犯罪案件。公共信息网络安全监察工作目标和工作方针公共信息网络安全监察总体目标初步建立与社会主义市场经济相适应的信息网络安全保护和监督体制,形成健康、规范的管理秩序,建成以《计算机信息系统安全保护条例》为主体,以各项安全管理办法和地方性法规为基础的国家计算机信息网络安全监察的法律体系,实现对信息网络安全保护工作的依法管理和依法监督,严厉打击各种危害信息网络的违法犯罪;建立在公安机关指导下的,以应用和管理部门为主体的,信息网络安全防护体系,使国家重点信息网络的整体防护能力明显提高,促进我国信息产业的健康发展。公共信息网络安全监察工作目标和工作方针公共信息网络安全监察根本目标:保障重要领域计算机信息系统的安全运行和信息的安全,建立并维护国家对计算机信息系统安全管理的秩序,维护社会政治稳定,保障经济建设,促进国家信息化建设的健康发展。公共信息网络安全监察工作目标和工作方针具体y标是:(D确保公共信息网络和互联网的运行安全和网上信息的安全,提高公安机关在高科技领域的行政管理和打击犯罪的能力,为维护政治稳定和保障经济建设服务。(2)重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统安全。保障党政、金融、财税、电信、能源、交通运输、社会保障、科研等单位或部门信息系统的安全及信息资源的安全。公共信息网络安全监察工作目标和工作方针(3)建立一个安全、可靠、适合我国国情的国家重要领域信息系统安全保护的法律法规、技术规范、安全管理等保障体系,全面提高国家重要信息系统的整体安全防护能力。(4)建立和维护国家对计算机信息系统安全管理的秩序,依法维护国家、集体和个人的财产不受损失,合法权益不受侵犯,促进我国信息化建设事业的顺利发展。公共信息网络安全监察工作目标和工作方针公共信息网络安全监察工作的方针是:依法管理,加强监督;预防为主,确保重点;及时查处,保障安全。“依法管理”是根据国家法律法规,对我国信息网络进行安全监察工作,打击各种危害信息网络的违法犯罪活动。“加强监督”是在保障信息网络安全的工作中,公安机关要坚持贯彻谁主管谁负责的原则,加强对信息网络使用及管理单位的安全管理,对其安全管理工作进行监督、监察和指导。公共信息网络安全监察工作目标和工作方针“预防为主”是信息网络安全监察工作的根本指导思想,要贯穿整个安全监察工作的始终;“确保重点”是确保关系到国家事务、经济建设、国防建设、尖端科学技术等领域的部门和单位的计算机信息系统的安全:“及时查处”是要依法对危害计算机信息系统安全的事故和违法犯罪活动及时进行查处,它与预防为主相辅相成,是做好安全监察工作不可缺少的重要手段;“保障安全”是安全监察工作的出发点和落脚点,是安全监察工作的根本目标。公共信息网络安全监察工作基本原则(1)服从和服务于党和国家的路线、方针、政策以及公安中心工作;(2)专门机关监督管理与社会力量相结合;(3)严格依法管理与科学文明管理相结合;(4)教育与处罚相结合;(5)公安机关与相关部门分工负责,密切配合;(6)“谁主管,谁负责”;(7)确保重点与兼顾一般相结合;(8)专项工作与基础工作相结合。公共信息网络安全监察工作主要任务(1)协调、监督、检查、指导本地区党政机关和金融等重要部门公共信息网络和互联网的安全保护管理工作;(2)监督计算机信息系统的使用单位和国际联网的互联单位、接入单位及有关用户建立健全安全管理制度的落实情况,检查网络安全管理及技术措施的落实情况;(3)监督、检查和指导计算机信息系统使用部门安全组织和安全员的工作;(4)监督、检查、指导要害部门计算机信息系统安全等级保护制度的落实情况;公共信息网络安全监察工作主要任务(5)依据国家有关计算机机房的标准和规定,对计算机机房的建设和计算机机房附近的施工进行陈督管理;(6)对计算机信息系统安全专用产品销售许可证进行监督检查; (7)对计算机病毒和危害社会公共安全的其他有害数据的防治研究工作进行管理;(8)查处违反计算机信息网络国际联网国际出、入口信道、互联网络、接入网络管理规定的行为;公共信息网络安全监察工作主要任务(9)掌握计算机信息网络国际联网的互联单位、接入单位和用户的备案情况,建立备案档案,进行备案统计,并按国家有关规定逐级上报;(10)发现任何单位和个人利用国际联网制作、复制、查阅和传播有害信息的地址、目录或服务器时,应通知有关单位关闭或删除;公共信息网络安全监察工作主要任务(11)负责接受有关单位和用户计算机信息系统中发生的案件报告,查处公共信息网络安全事故和非法侵入国家重要计算机信息系统、破坏计算机信息系统功能、破坏计算机信息系统数据和应用程序、传播计算机破坏性程序等违法犯罪案件,配合有关部门查处利用计算机实施的金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密等违法犯罪案件;(12)承担研究公共信息网络违法犯罪的发展动态、特点和规律,提出防范和打击公共信息网络违法犯罪的对策;公共信息网络安全监察工作主要任务(13)研究计算机违法犯罪案件的取证、破译、解密等侦察技术,并负责对计算机违法犯罪案件中的电子数据证据进行取证和技术鉴定;(14)对计算机信息网络和计算机系统辐射、泄露等安全状况进行检查、安全评估;(15)对有关公共信息网络安全的法律、法规的执法情况实施监督; (16)组织开展计算机信息系统安全的宣传、教育、培训。公共信息网络安全监察工作的保障措施(1)加强公共信息网络安全监察部门的机构和队伍建设(2)完善公共信息网络安全监察工作的法律体系(3)建立并完善公共信息网络安全监察工作的标准体系(4)建立公共信息网络安全监察的相关技术手段公共信息网络安全监察工作计算机网络安全员培训信息网络安全监督检查工作根据《人民警察法》和《中华人民共和国计算机信息系统安全保护条例》的规定,公安机关对计算机信息系统安全保护工作行使监督、检查、指导职权。因此,联网单位必须配合公安机关做好对本单位的信息网络安全监督检查工作。信息网络安全监督检查工作监督检查的内容主要包括:(1)是否能按要求将用户备案数据及变更情况报当地公安机关; (2)是否在主要信息服务系统的显著位置安排安全教育的内容: (3)是否有安全管理制度;(4)用户入网时,网络服务提供者是否与入网用户签订安全管理协议; 信息网络安全监督检查工作(5)是否建立了安全管理组织;(6)是否设立专职安全员、职责是否明确:(7)是否对本单位员工进行安全培训;(8)论坛、博客、BBS等交互式栏目是否有专人管理;(9)对委托发布信息的单位或用户是否有详细的登记;(10)是否建立了网上信息发布审核制度;信息网络安全监督检查工作(11)是否有对网上信息的日常检查制度;(12)是否有安全事故、案件的报告制度;(13)发现黑客入侵或有害信息是否及时上报;(14)是否有对有害信息的控制、删除措施;(15)是否有专职网络管理人员;(16)是否建立了公用帐号使用登记制度。信息网络安全监督检查工作安全技术措施应包括:(1)重要网络和信息系统是否有备份及处理突发事故的应急措施; (2)是否有对BBS用户的身份识别功能;(3)是否建立了正规的网管系统;(4)系统是否有用户上网日志记录;(5)系统能不能提供主叫电话号码;(6)系统是否具有安全审计功能。日常安全管理工作.从事信息服务的联网单位从事信息服务的单位(ISP、ICP)根据《互联网信息服务管理办法》申请经营许可或履行备案手续后,应按照《信息网络国际联网安全保护管理办法》的有关规定,做好日常信息网络安全管理工作。特别是要建立信息发布的登记、审核和FI志信息的管理制度。对发现有《互联网信息服务管理办法》中第十五条禁止传输的信息内容,应立即停止传输,并按照《信息网络国际联网安全保护管理办法》的有关规定及时报告当地公安机关。日常安全管理工作.从事互联网电子公告的联网单位从事互联网电子公告服务的联网单位依据《互联网电子公告服务管理规定》申请经营许可或履行备案手续后,除了要做好互联网信息服务单位一般性的管理工作外,还应依照《信息网络国际联网安全保护管理办法》的规定,识别并记录登记用户的真实身份,并在公安机关的监督下,建立由信息审核员(开办单位)、站长(BBS)、栏目主持人(各类栏目)组成的三级管理机制,切实加强对电子公告信息的日常安全管理。 日常安全管理工作使用公用帐号的联网单位使用公用帐号的联网单位除了按照《信息网络国际联网安全保护管理办法》的要求建立各种安全管理制度外,还必须建立公用帐号使用登记制度,掌握使用公用帐号的人员情况。日常安全管理工作网吧网吧经营者应按照公安部、信息产业部等联合发出的《关于规范“网吧”经营行为加强安全管理的通知》精神,保证:(1)场地安全可靠、设施齐全;(2)有专职技术人员和安全管理人员;(3)建立相应的安全保护管理制度;(4)符合国家相关的法律法规规定;同时要在所在地公安机关办理申请许可,经管理部门核发营业执照后方可营业。公共信息网络监察部门公开职能信息网络安全监察管理涉网案件报案程序信息网络安全监察管理以我市的公共信息网络安全监察工作职能为例,作一简单介绍: (1)对重要领域的计算机网络遭受病毒侵害、黑客攻击以及意外灾害等重大安全事故和发生计算机犯罪,实行紧急救援和紧急出警。市内30分钟内到达现场。(2)“网吧”等互联网上网服务营业场所的安全审核在7个工作日完成。 (3)计算机机房设计方案的安全审核在15个工作日完成。(4)国际互联网备案按规定时限办理。(5)信息网络安全检查时,民警应先出示警官证。涉网案件报案程序.涉网案件报案范围(1)擅自侵入他人或组织的计算机系统;故意制作、传播计算机病毒等破坏性程序:擅自中断计算机网络或者通信服务。(2)利用互联网发表有害信息,颠覆国家政权;破坏国家统一;破坏民族团结;组织邪教,破坏国家法律和行政法规的实施,通过互联网窃取、泄露国家机密。(3)利用互联网传播淫秽色情等有害信息;涉网案件报案程序(4)利用互联网侮辱、诽谤他人;侵犯公民通信自由;(5)利用互联网进行盗窃、诈骗、敲诈勒索等违法犯罪活动;(6)计算机网络遭到黑客非法入侵或攻击破坏;计算机网络病毒传播造成的系统瘫痪等;(7)利用互联网上网服务营业场所制作有害信息等。涉网案件报案程序.报案的方式与时间限定发生计算机违法犯罪案件的单位应在24小时之内向所在地公安机关计算机安全监察部门报告。报案方式有电话报警、网上报警、当面报警一种。案件受理采取属地原则,报案人一般应到当地公安机关信息网络安全监察部门报,杀O电话报警的同时应准备相应的书面报警材料递交至受理机关。 计算机信息系统从业安全备案备案范围:市区内从事计算机设备或媒体生产、销售、出租、维修行业的单位或个人,从事计算机信息系统安全专用产品生产、销售、安装的单位或个人,从事计算机信息系统安全检测、从事工程造价50万以上计算机信息系统安全施工的单位或个人。申请备案指南《计算机信息网络国际联网安全保护管理办法》第十二条规定,各互联网接入服务、信息服务单位以及使用固定IP地址接入国际联网的单位和个人用户须在市公安局进行备案。对于不办理备案手续的单位和个人,公安机关将按照《中华人民共和国计算机信息系统安全保护条例》第二十三条之规定予以处罚。 申请备案指南(1)互联单位、接入单位、互联网专线用户及经营公众多媒体网络的单位,在开通之日起的30日内,登录郑州网络警察网站办理备案登记手续;(2)拨号用户的单位和个人用户,在办理入网手续的同时填报《备案登记表》,由各互联网接入单位将《备案登记表》反馈给市公安局信息网络安全监察支队;(3)本市各互联网接入单位,于每季度首月的5日前将上季度的用户变更情况,报市公安局信息网络安全监察支队;申请备案指南(4)需提交的手续:①从事国际互联网业务的单位负责人的身份证复印件、联系人的身份证复印件;②安全管理员的身份证复印件:③从事国际互联网业务的个人需持本人身份证复印件④从事国际互联网业务的单位出具单位介绍信;⑤电信部门出具的上网登记材料,⑥对于ISP、ICP的单位还应出具上级单位允许联网的批准手续。 ⑦其他按要求需要提交的材料。申请办理网吧安全审核手续指南.应具备的条件(1)有与开展营业活动相适应的营业场所,营业场所距中小学学校大门直线距离不少于200米,营业场地安全可靠,安全设施齐全; (2)有与营业规模相适应的专业技术人员和专业技术支持:(3)有健全完善的网络信息安全管理制度;(4)有相应的网络安全技术措施;(5)有专职的网络信息安全管理人员;(6)经营管理、安全管理人员经过公安部门组织的安全培训; (7)符合法律、行政法规的其他规定。申请办理网吧安全审核手续指南.申办安全审核手续时,应向公安机关提交以下材料(1)经营人员的合法身份证明;(2)工商部门核发的企业名称预先核准通知书复印件;(3)营业场所简介、证明材料及安全设施配备情况;(4)公安消防部门的《消防安全检查意见书》:(5)安全组织负责人、专职或兼职的安全管理人员及其个人身份信息、资历证明、联系方式和公安部门的安全培训合格证;(6)网络信息安全管理制度,包括网吧安全员职责,网吧技术人员职责;网络安全技术保护措施,防病毒及有害数据传播的安全产品的材料: (7)其他按要求需要提交的材料。.申报程序(1)符合审核条件的网吧(包括申请网吧年审和变更)业主,登录郑州网络警察网站(WWW.zzwljc),进入网吧综合管理系统,按要求填写申请。(2)公安机关收到申请后,按照相关要求,联网核查网吧的安全审计专用产品,现场检查网吧60天日志留存和实名登记上网等各项安全措施的落实情况。(3)对各项要求达标的网吧,审核通过,发放《安全合格证》。 公共信息网络安全监察工作贯彻''严格执法、热情服务”的原则,统一思想、更新观念;从“认识、职责、目标、保障”入手,深刻认识当前网上斗争面临的复杂形势,全力加强互联网依法公开管理;着力抓好“三个专项”工作,严厉打击网络违法犯罪,加强对网络淫秽色情和网络赌博的打击力度,做到''三个有效两个提升”;扎实有效履行网安部门职责,为构建和谐“虚拟社会”,维护国家安全和社会稳定,作出新的更大的贡献。网络安全管理简介信息网络安全管理的发展历程信息网络安全管理的体系结构信息网络安全管理的体系标准信息网络安全管理的组织体系信息网络安全管理的策略体系信息网络安全管理制度信息网络安全管理体系包括管理组织机构、管理制度管理技术三个方面,要通过组建完整的信息网络安全管理组织机构,设置安全管理人员,制定严格的安全管理制度,利用先进的安全管理技术对整个信息网络进行管理。信息网络管理贯穿于信息网络系统整个生命周期的各个阶段,既包含了行政手段,也包括了技术手段。网络安全管理简介信息网络安全管理的主要内容:由主要领导负责的逐级安全保护管理责任制,配备专职或兼职的安全员,各级职责划分明确,并有效开展工作:明确运行和使用部门的岗位责任制,建立安全管理规章制度,在职工群众中普及安全知识,对重点岗位职工进行专门培训和考核,采取必要的安全技术措施;对安全保护工作有档案记录和应急计划,定期进行安全检测、风险分析和安全隐患整改;实行信息安全等级保护制度。信息网络安全管理完成的任务是保护信息网络和信息资源安全,目标是保证信息资产的机密性、可用性、完整性、可控性和不可否认性,特定的对象当然是信息和信息网络。信息安全管理的原则、方法,所进行的计划、组织、指挥、协调和控制则分为两个层次:一个是国家层面上;另一个是单位自身。国家的管理是依赖于立法并通过行政执法机关进行监管来实现。而单位自身的管理则应该通过安全管理组织,制定信息安全策略,建立信息安全管理制度和机制来实现。也就是说应该建立一个信息安全管理体系(ISMS)来实现单位的信息安全管理信息安全管理坚持“谁主管谁负责,谁运行谁负责”的原则。信息安全管理组织的主要职责是制定工作人员守则、安全操作规范和管理制度,经主管领导批准后监督执行;组织进行信息网络建设和运行安全检测检查,掌握详细的安全资料,研究制定安全对策和措施;负责信息网络的日常安全管理工作,定期总结安全工作,并接受公安机关公共信息网络安全监察部门的工作指导。从现代通讯工具一电报发明以来,信息安全的重点是确保信息的保密性,包括商业秘密、军事秘密及个人隐私。信息安全的控制方法比较简单,例如采用安全信使传递秘密口信与信件,通过人员的保密意识与物理安全控制的方式来达到信息安全的目的。自二十世纪四十年代人类发明了计算机以来,尤其是二十世纪八十年代末信息时代的到来,网络技术与现代通信技术得到了飞速的发展,信息技术被广泛地应用于各行各业,信息安全扩展为对信息的保密性、完整性、可用性和可控性的全面保持。网络安全管理的发展历程在我国,由于信息网络安全行业起步较晚、力量分散、人才匮乏、资金投入不足等原因,在信息安全技术和管理方面还相对落后于一些发达国家。但信息安全管理一直没有被忽视,早在1994年中华人民共和国国务院就发布了《中华人民共和国计算机信息系统安全保护条例》,这是我国一切计算机信息系统安全管理的基石,也是制定其他有关信息安全管理的法规、条例、办法等最根本的依据。随后各级政府、部门也相继颁布了•系列的有关信息系统安全管理的法规文件,如《公安部关于加强计算机网络国际联网信息安全管理的通知》、《计算机网络国际联网安全保护管理办法》等。信息安全管理最初并没有受到人们的重视,认为只要有先进的安全技术就可以实现系统的信息安全,但后来通过一系列的调查研究发现,信息安全问题有70%到80%是由系统本身和系统内部管理问题引起的,人们逐渐开始重视信息安全管理问题。这就是人们常说的从“七分技术,三分管理”到“三分技术,七分管理”的转变。为确保信息的安全,信息安全技术被广泛采用,如加密技术、防病毒技术、访问控制技术、入侵检测技术等。各种与信息安全有关的信息处理设施与软件产品的质量和安全性,也得到了人们的普通重视。同时,与信息安全有关的法律法规、安全技术标准也应运而生,如NIST的800系列安全原理和标准、IPSec网络安全协议标准、CC(CommonCriteria)信息技术安全评价标准等。从二十世纪九十年代中后期开始步入了标准化和系统化管理的时代。1995年英国率先推出了BS7799信息安全管理标准,这堪称是信息安全管理历史上的一个里程碑。该标准在2000年12月被ISO(国际标准化组织)认可为国际通用标准,并命名为ISO/IEC17799—信息安全管理体系国际标准。现在该标准已引起许多国家和地区的重视,在一些国家已经被推广和应用。另外,许多其他的发达国家也都建立了自己的信息安全管理标准和管理方法体系,如美国总审计局的一系列信息安全管理指导书、德国的信息技术安全基础保护手册等。目前,我国的信息网络安全管理主要依靠传统的管理方式与技术手段来实现,但传统的管理模式缺乏现代的系统管理思想,而技术手段又有一定的局限性。保护信息安全,国际公认的、最有效的方式是采用系统的方法(管理十技术)保护信息安全,即确定信息安全管理方针和范围,在风险分析的基础上选择适宜的控制目标与控制方式进行控制,制定商务持续性计划、建立并实施信息安全管理体系。这种系统的信息安全管理方法已经成为国际性标准一BS7799(ISO/IEC17799).信息网络安全管理的体系结构-分析信息安全管理体系(ISMS)(InformationSecurityManagementSystem)是单位在整体或特定的范围内建立信息安全方针和目标,以及完成这些目标所用的方法,它是直接管理的结果,表示方针、原则、目标、方法、过程、核查表等要素的集合。一个单位的信息安全管理体系的建立,首先应该建立自己的管理组织,这一点在BS7799标准中有明确的提出,我们国家的公共行业标准GA391也明确地提出了单位应该建立信息安全领导小组这样的管理组织。在信息安全管理组织的领导下,制定信息安全策略,建立信息安全管理制度,以一套可操作的保障机制来保证这些策略和制度的落实。同时,建立信息网络管理系统又是一项复杂而具有挑战性的任务,它具有涉及范围广泛、牵扯人员众多、安全需求各异、技术进步迅速等特点。因此,首先要对其各构成要素有一个清晰的认识,这主要包括:1、策略安全策略安全是整个网络安全管理的指导性文件,目的是为单位提供网络安全管理的方针与政策支持。制定清晰、完整的安全策略文档体系,由专门负责人定期审核,并在紧急情况下(如重大安全事件的发生、系统新漏洞的出现以及组织机构或技术机构的改变等)进行突审。.单位安全是指创建、支持、维护和管理信息网络安全基础设施的一套管理机构,主要包括管理信息安全论坛、任命信息系统安全主管、信息安全协调、信息安全责任分配、信息处理设备的授权程序、信息安全专家意见、单位之间的合作、信息安全内审、第三方访问安全等事项。.资产分类和控制安全指依取信息网络安全基础设施,保护单位资产安全性的能力,主要包括有资产的使用说明和资产的分类明细清单,并特别声明信息资产的分类方法、标注及处理过程等,保证所有重要的信息资产应有专人负责,并制定相应的维护和控制责任。.人员安全这是信息网络安全管理的根本。保障信息系统的安全性,既要靠先进的技术,又要有完善的管理,但其核心都是人,实际上,大部分安全和保密问题是由人为差错造成的。因此,在信息安全管理中人的因素应该是最重要的。.物理与环境安全作为信息网络的主要载体,计算机网络系统从自身到其环境都要求有相应的安全防护措施。例如,建立物理安全地带、控制物理安全出入口、设备的安全放置与维护、以及办公场所的安全操作规程等。.通讯与操作安全主要是建立一系列的安全操作规程,如文档操作程序、安全事件管理程序、系统备份与恢复程序、日志管理、电子邮件安全措施等,以确保信息处理设备运行正确、安全,把系统失效的风险降到最低,从而保护软件及信息的完整性。.访问控制安全这是信息网络安全管理的重点,目的是控制信息的访问,防止非法用户和非法计算机访问信息系统,以保证授权用户的完整权利。措施有:制定访问控制策略、用户注册登记、口令使用与管理、用户认证、网络隔离、检测并记录非法活动、安全审计、密钥管理等。.系统开发与维护安全运用一系列的安全技术与管理措施,如系统配置、消息认证、数字签名、密钥管理、数据输入输出控制以及系统的升级、更新等,确保信息系统的架构、业务以及应用系统的安全,保证IT项目及支持服务的安全进行,维护应用系统软件及信息的安全。.业务持续性是指通过预防及恢复措施,把业务因灾难或安全失效的停顿降到可接受的程度,并制定实施应急计划,来保证业务进程能够在规定时间内恢复。计划应建立在单一框架基础上,以保证一致性,并进行测试、维护及修改,最终使其变成所有管理过程中不可分割的一部分。.遵循性即是否遵守法律。其目的是避免触犯任何刑事及民事法律,以及其他法定、条例、合同的义务和安全需求。信息系统的设计、操作、使用及管理受安全需求约束,同时要加强系统审计的考虑和证据的收集,以备发生问题时采取合法的处理方式。从根本上来说,信息安全管理要实现的就是,在系统和环境进行物质、能量和信息交换的进程中,利用一切可以利用的安全防护措施,达到保护系统内部重要信息和其他重要资产的安全性(保密性、完整性、可用性和可控性),以防止和最小化安全事件(风险)所造成的破坏,确保业务的持续性和损失最小化。信息网络安全管理的体系结构-原理建立、实施和维护信息安全管理体系,就是实施单位需遵循某一风险评估来鉴定、选择最适宜的控制对象,并对自己的需求采取适当的控制。建立信息安全管理体系具体操作如下:.定义信息安全策略描述的是信息安全在单位内的重要性,提出管理信息安全的方法,为信息安全管理提供方向和支持。需要根据实际情况,分别制定不同的信息安全策略。例如,规模较小的单位可能只有一个信息安全策略,并适用于所有部门、员工:而规模大的集团单位则需要制定一个信息安全策略文件,分别适用于不同的子公司或各分支机构。信息安全策略应该简单明了、通俗易懂,并形成书面文件,发给单位内的所有成员。同时要对所有相关员工进行信息安全策略的培训,对信息安全负有特殊责任的人员要进行特殊的培训,以使信息安全方针真正植根于所有员工的脑海,并落实到实际工作中。.定义信息安全策略的范围确定信息安全策略的范围,即明确在哪些领域重点进行信息安全管理。单位需要根据自己的实际情况,在整个单位范围内、或者在个别部门或领域架构信息安全管理体系(ISMS)o因此,在本阶段,应将单位划分成不同的信息安全控制领域,以易于单位对有不同需求的领域进行适当的信息安全管理。信息安全管理体系可以覆盖单位的全部或者部分,无论是全部还是部分,单位都必须明确界定体系的范围,如果体系仅涵盖单位的一部分就变得更重要了。.进行信息安全风险评估信息安全风险评估的复杂程度将取决于风险的复杂程度和受保护资产的敏感程度,所采用的评估措施应该与单位对信息资产风险的保护需求相一致,应该和单位既定的信息安全管理体系范围、信息安全需求、法律法规要求相适应,兼顾效果和效率。风险评估主要依赖于信息和网络的性质、使用信息的目的、所采用的网络环境等因素。单位在进行信息资产风险评估时,需要将直接后果和潜在后果一并予以考虑。.信息安全风险管理根据风险评估的结果进行相应的风险管理,主要包括以下几种措施:降低风险:在考虑转嫁风险前首先考虑采取措施降低风险。避免风险:有些风险很容易避免,例如通过采用不同的技术、更改操作流程、采用简单的技术整改措施等。转嫁风险;当风险不能被降低或避免、且被第三方接受时,适用于低概率、一旦发生产生重大影响的风险。接受风险:用于那些在采取了降低风险和避免风险措施后,依旧存在且必须接受的风险。.确定管制目标和选择管制措施管制目标的确定和管制措施的选择:原则是费用不超过风险所造成的损失。由于信息安全是一个动态的网络工程,单位应实时对选择的管制目标和管制措施加以校验和调整,以适应变化了的情况.使单位的信息资产得到有效、经济、合理的保护。.准备信息安全适用性声明信息安全适用性声明记录了单位相关的风险管制目标和针对每种风险所采取的各种控制措施。信息安全适用性声明的准备,一方面是为了向单位内的员工声明对信息安全风险的态度,在更大程度上则是为了向外界表明单位的态度和作为,以表明单位已经全面、积极地审视了组织的信息网络安全,并将所有必要管制的风险控制在能够被接受的范围内。实施信息安全管理体系需要切实可行的计划,以及管理高层的支持。对于制定的信息安全管理体系文件,应当获得最高管理层的批准。管理风险的建议应该获得批准,开始实施和运作信息安全管理体系也需要获得最高管理者的授权。在形式上,可以通过设计风险控制计划,来完成对风险评估的目标与控制措施的选择和确定。风险控制计划是针对所识别的每一项不可接受风险建立的详细处理方案和实施时间表,是安全风险和控制措施的接口性文档。风险控制计划不仅可以指导后续的信息安全管理活动,还可以作为与高层管理者、上级领导机构、合作伙伴或者员工进行信息安全事宜沟通的桥梁。这个计划至少应该为每一个信息安全风险阐明以下内容:所选择的处理方法:已经到位的控制;建议采取的额外措施;建议控制的实施时间框架。信息网络安全管理的体系结构-描述根据信息系统安全的总体要求,信息安全体系应从安全组织体系、安全管理体系以及安全技术体系三个方面进行体系架构,如下图所示。(1)安全组织体系主要涉及信息网络系统安全的组织机构,包括决策单位、日常管理机构和执行检查层次等,是针对管理体制建立起来的从上到下、主管部门与相关部门有机结合的组织体系,是系统内部信息系统安全的组织保证。(2)安全管理体系是信息系统安全管理工作的基础,主要包括安全管理制度和安全政策法规两个方面,是单位信息系统安全制度的保障体系。

(3)安全技术体系是指充分运用高新技术,采用安全防范技术措施和技术安全机制,建立起来的现代化技术防范体系,主要包括通信网络安全、系统安全、应用安全、安全技术管理和系统可靠性设计等,是信息系统安全技术的保障体系。信息网络安全管理的体系标准信息安全管理的重要性,引起了各个国家的重视,许多国家和国际性的标准化单位都出台了相关的安全管理标准。比较著名的有英国的BS7799(后被国际标准化组织采用为ISO17799)、ISO13335等。ISO和IEC是世界范围的标准化组织,它由各个国家和地区的成员组成,各国的相关标准化组织都是其成员,他们通过各技术委员会参与相关标准的制定。BS7799目前已经成为世界上应用最广泛与典型的信息安全管理标准。1993年由英国贸易工业部立项,1995年英国首次出版了BS7799-1995《信息安全管理实施细则》,它提供了一套综合的、由信息安全最佳惯例组成的实施规则,其目的是作为确定信息网络在大多数情况所需控制范围的参考基准,并且适用于大、中、小单位。美国信息安全管理标准体系2002年,美国通过了一部联邦信息安全管理法案,根据它,美国国家标准和技术委员会负责为美国政府和商业机构提供信息安全管理相关的标准规范。因此,NIST的一系列FIPS标淮和NIST特别出版物800系列(NISTSP800系列J)已成为指导美国信息安全管理建设的主要标准和参考资料。在N13T的标准系列文件中,虽然NISTSP并不作为正式法定标准,但在实际工作中,已经成为美国和国际安全界广泛认可的事实标准和权威指南。目前,NISTSP800系列已经出版了近90本和信息安全相关的正式文件,形成了从计划制定、风险管理、安全意识培训和教育以及安全控制措施等一整套信息安全管理体系。信息安全管理并不是一个孤立的学科,它和信息网络审计、信息网络内控体系、信息技术服务体系密切相关。在建设信息安全管理网络时,应该将信息安全管理同审计、内控和服务相结合,以避免不必要的资源重复投资。从更广义的范围来看,信息安全是信息技术的一部分,信息安全管理的一个更深刻的目的是:建设和完善信息技术治理体系。从这个意义来看,信息安全管理人员不应只关注信息安全管理本身,还应该进一步将信息安全管理放在一个更大的范畴一信息技术治理和组织机构治理的领域来考虑。信息网络安全管理的组织体系信息网络安全的管理工作,首先是要建立信息安全管理组织,这个管理组织应该有权威性,并且应该是活跃的。《计算机信息网络安全等级保护管理要求》中规定,信息网络使用单位应该建立信息安全管理组织。在第四章第五条中要求“单位的最高主管对本单位计算机信息网络安全负有主要责任,应根据使用的计算机信息网络的保护等级和计算机信息网络规模设立安全管理职责体系,明确安全管理人员的职责,保证安全管理人员有效行使计算机信息网络安全管理的权利”。安全管理组织体系是一个单位信息安全保障体系建设的最关键要素。在BS7799中也提出:管理机构内的信息安全。应建立一个机构管理架构,在全机构内推行及管理信息的安全。应由管理层牵头、组织管理论坛来讨论及批准信息安全策略、指派安全角色及协调全机构安全的实施。如有需要,应在机构内建立一个信息安全资源库。应与外界的安全专家保持联系,留意业内标准及评估方法、最新的行业动态,以及发生安全事件时提供适当的联系方法。应从多方面考虑信息安全,例如:调动部门经理、用户、管理员、应用网络设计者、审计安全员和风险管理专家共同制定策略。一、信息网络安全管理组织及其职能信息网络安全管理组织的名称、大小、性质和定位取决于单位的性质、文化、定位。《计算机信息网络安全等级保护管理要求》中给出了一个单位内部的信息安全管理的组织体系结构。由最高层的管理组织、部门级的管理组织、网络级的管理组织和应用级的管理组织构成。目前许多单位是在内部建设了一个统一的物理意义上的信息网络,而各部门的应用是架构在这个统一的物理网络上的,而不是部门自建,当然部门自建网络的也有许多。对于统一的信息网络来说,部门的管理是应用级的,而不是网络级的。信息网络安全管理的组织体系1.信息安全领导小组的组成:(1)信息安全管理组织,信息安全策略、标准和指导的主要提供者:(2)计算机或数据安全组织,开发和维持计算机及网络安全性的技术人员的组织;(3)信息安全协调员,单位内部在信息安全组织管理层以下的全职或兼职管理员和顾问;(4)网络和平台的管理员及经理,商业单位的当地计算机和通信服务提供者;(5)信息和应用程序的拥有者、提供者、监护人及用户;(6)发布或披露内容的提供者,信息内容审核人员;(7)外聘的安全顾问。.信息网络使用单位安全管理组织建立的原则(1)按从上至下的垂直管理原则,上一级信息网络安全管理组织指导下一一级信息网络安全管理组织的工作。(2)下一级信息网络的安全管理组织接受并执行上一级信息网络安全管理组织的安全策略。(3)各级信息网络的安全管理组织,不隶属于同级信息网络管理和业务机构,不隶属于技术部门或运行部门,并常设办公机构负责信息安全日常事务。(4)各级信息网络安全管理组织由网络管理、网络分析、软件硬件、安全保卫、网络稽核、人事、通信等有关方面的人员组成。.信息网络使用单位的安全管理机构职能(D各级信息网络安全管理机构负责与信息安全有关的:规划、建设、投资、人事、安全政策、资源利用和事故处理等方面的决策和实施。根据国家信息网络安全的有关法律、法规、制度、规范,结合本单位的安全需求建立各处信息网络的安全策略、安全目标和实施细则,并负责贯彻实施。(2)负责与各级国家信息安全主管机关、技术保卫机构建立日常的工作关系。(3)组织、协调、指导计算机信息网络的安全开发工作。(4)建立本网络完整的网络安全保护规程、制度。(5)确定信息安全各岗位人员的职责和权限,建立岗位责任制。信息网络安全管理的组织体系(6)审议并通过安全规划、年度安全报告、与信息安全相关的安全宣传。(7)执行信息安全报告制度,定期向当地公安信息安全监察部门报告本单位信息安全保护管理情况,及时报告重大安全事件;遇到违法犯罪案件,应保护案发现场,协助公安机关调查、取证。对已经证实的重大安全违规、违纪事件,应及时进行处置。(8)安全审计跟踪分析和安全检查,及时发现安全隐患和犯罪嫌疑,防患于未然,将可能的攻击拒之门外。(9)负责向所属单位或机构的领导层汇报工作,积极争取领导层对信息安全的完全支持。领导层对信息安全的支持是成功的安全网络中最重要的因素。.信息网络安全负责人的职责(1)全面负责本单位的信息网络的安全工作。(2)安全负责人应指定专人负责建立、修改和管理网络授权表及网络授权口令。(3)负责审阅违章报告、控制台报告、网络日志、网络报警记录、网络活动统计警卫报告以及其他与安全相关的材料。(4)负责单位制定安全教育、培训计划,负责协调和管理下级安全管理人员,网络管理和操作人员的定期和不定期的安全教育和培训I。(5)负责管理监督、检查分析网络运行日志及网络安全监督文档,定期对网络做出安全评价,对违反网络安全规定的行为进行处罚。信息网络安全管理的组织体系(6)负责制定、管理和定期分发网络及用户的身份识别号码、密钥和口令。(7)根据国家和上级机关有关信息内容的管理要求,审查对外发布的信息内容,防止泄密事件和其他事件的发生。(8)负责采取切实可行的措施,防止网络操作人员对网络信息和数据篡改、泄露和破坏,防止未经许可的越权使用网络资源和旁路网络安全设备的控制。(9)负责监督、管理外部人员,建立相应的批准手续。(10)采取切实可行的措施,防止信息网络设备受到损害、更换和盗用。(11)负责与互联网接入有关的安全工作。.网络安全管理人员的主要职责(1)负责应承担的日常安全工作包括:风险评估的相关工作、安全方案相关工作、提出安全策略要求。在网络方面则应该做到:①对网络资源和应用定义相应的安全级别。②限制隐蔽通道活动的机制。③定义网络访问控制的机制.④为所有用户定义安全级别。⑤应熟悉应用环境卜的安全策略和安全习惯。⑥网络安全管理员不负责审计工作。(2)发生违法犯罪案件,立即向上级部门和公安部门报告。保护案发现场,协助公安机关调查、取证。(3)对已证实的重大的安全违规、违纪事件及泄密事件,应及时报告并在权限范围内进行处理。(4)安全审计跟踪分析和安全检查,及时发现安全隐患和犯罪嫌疑,防患于未然。(5)负责定期向所属单位或机构的领导层(或管理层)汇报安全工作。.审计员的职责(1)设置审计参数。(2)修改和删除审计网络产生的原始信息(审计信息)。(3)控制审计归档。(4)发生安全事件时的审计。(5)发生安全事件时向高层汇报审计情况。审计员与网络安全管理员之间形成了一个检查平衡。审计安全管理员设置和实施安全策略,审计员控制审计信息表明安全策略已被实施且没有被歪曲。.安全操作员的职责安全操作员可以完成所有操作员的职责,如:启动和停止网络;完成移动存储介质的一致性检查;格式化新的介质;设置终端参数;允许/不允许登录(包括:不能更改口令、用户的安全级别和其他与安全相关的登录参数)、产生原始的审计数据。除此之外安全操作员的职责还有:(D例行备份与恢复。(2)安装和拆卸可安装的介质。(3)监督本单位的网站运行情况。.网络管理员的职责(1)管理网络软件。⑵设置BU文件,允许使用UUCP、UUTO等进行通信。(3)设置与连接服务器、CRI认证机构、ID映射机构、地址映射机构和网络选择管理文件。(4)启动和停止远程文件、网络文件,通过远程文件和网络文件来共享和使用资源。.信息内容审核员的职责由于互联网的发展,许多单位都建立了自己的信息发布平台。但是.对于信息的发布应该有严格的审核制度,应设审核员,对信息内容的审核要求是:(1)审核发布的信息内容是否符合国家的法律、法规和政策要求。(2)是否泄露国家、单位的秘密信息,个人的隐私信息。(3)是否产生对社会及单位的负面影响,是否会造成对个人的伤害。二、信息安全专家的意见和单位间的合作很多机构都需要信息安全专家的意见,最好内部有这样经验丰富的安全专家。如果没有,建议确定一位员工负责协调机构内部的安全事件。机构也应该找外部的专家,为自己没有经验的安全事件提供意见。信息安全顾问应负责提供信息安全方面的意见,他们对安全威胁的评估及对控制的意见会确定机构信息安全的有效性。为了发挥最大效益,顾问可以直接与整个机构的管理层接触。在发生安全事件时,应在第一时间由信息安全顾问提供专业的意见,并在管理层的控制下正常执行调查。信息网络安全管理的策略体系信息网络运行部门的安全管理工作应首先研究确定信息网络安全策略,再确定网络安全保护工作的目标和对象。信息网络安全策略涵盖面很广,如总体安全策略、网络安全策略、应用系统安全策略、部门安全策略、设备安全策略等。一个信息网络的总体安全策略,可以概括为“实体可信,行为可控,资源可管,事件可查,运行可靠”几个原则,总体安全策略为其他安全策略的制定提供总的依据。一、网络和网络安全策略.用户身份鉴别安全策略应确定如何识别用户,对用户的鉴别强度与相应权限相匹配。.访问控制主访问控制或强制访问控制或混合使用。.审计制定审计策略,明确网络应该对哪些操作进行审计。.网络连接针对每一种接到单位网络的连接形式,安全策略应说明连接的规则以及保护机制。.恶意代码安全策略应确定搜索恶意代码(如病毒、木马、逻辑炸弹等)的安全程序的存放位置。.加密确定单位的可接受的加密算法,并且这些算法必须符合国家相关规定。井对密钥进行符合规定的管理。二、网络安全策略原则.计算机所有权策略中应该明确地说明计算机属于本单位、并且提供给员工在单位内用于工作相一致的用途。应该禁止使用非单位的计算机用于单位的业务活动。.信息所有权应规定所有存储的并于单位内用的计算机信息属于单位所有。某些员工可能使用单位的计算机存储个人信息,如果策略没有特殊说明,则个人信息可分开存在私人目录下并且非公开。.计算机使用许可大部分单位期望员工使用单位提供的计算机,只用于和工作有关的应用,但这不是一个很好的假定。因此在策略中要明确说明,例如,单位的计算机只允许用于工作目的,如果单位在非工作时间允许员工使用计算机用于非工作目的,也要在策略中写清楚。.没有隐私要求计算机用户策略应该规定,在单位的计算机存储、传输的信息没有隐私。三、互联网使用策略对于单位登录互联网,除了要考虑防范来自互联网上的威胁外,还要考虑单位内部人员对互联网上其他连接的侵害,或利用互联网进行的其他违法犯罪。.邮件策略电子邮件正越来越多地用于单位的业务处理,电子邮件是使单位的敏感信息毫无价值的另一种方法,有些单位为电子邮件的使用开发了专门的策略,应考虑到内外两方面的问题。(1)内部邮件问题电子邮件策略不应和其他的人力资源策略相冲突。例如,电子邮件策略应规定禁止利用电子邮件进行性骚扰,又如,规定在电子邮件中不得使用非正式的语言。如果单位要对电子邮件的某些关键字或附件进行监控,则策略应说明这类监控是存在的,策略还应说明在邮件中不能涉及个人隐私。(2)外部邮件电子邮件可能包含一些敏感信息。邮件策略应说明在什么条件下是可以接受的.并且在信息策略中指出该类信息应如何保护,并对邮件的附件进行病毒测试。.用户管理策略用户管理是一个极为重要又往往被忽视的问题,作为信息网络的访问者,网络既要满足对他的服务,同时又要对他的行为进行管理和限制。应制定以下策略:(1)新员工调入:新员工调入应该有一个调入的考察程序,同时对新员工使用计算机和访问信息网络资源应规定相应的程序。(2)临时员工:临时员工访问信息网络要有相应的策略加以控制。(3)员工调动:对员工的调动要有相应的程序,由人力资源和网络管理部门对调动人员原岗位与新岗位时信息资源的使用进行管理。(4)离职员工:对由单位确定的离职人员,应提前通知网络管理员;员工本人提出离职的,网络管理员应立即采取策略所规定的措施,保证离职人员不可能再有访问本单位信息网络的机会。(5)外协人员:策略中应该规定对外协人员的管理,防止对网络的破坏。.网络管理策略网络管理策略是确定网络安全和网络管理如何更好的配合工作,使单位的网络更安全稳定。需要完成如下与安全相关的管理:(1)软件更新:防病毒软件的升级,补丁程序、应用软件更新前的测试与过程管理等。(2)漏洞扫描:确定扫描的时间和方法。(3)策略检查:定期利用审计网络来检查策略的合理性(4)登录检查:定期的登录检查。(5)常规监控:对网络及用户行为的监控。.事件响应策略信息网络发生安全事件是不可避免的,我们的目的是为了降低发生的概率和频率,但无法避免发生。在发生了安全事件后,单位对安全事件进行何种响应,采取什么样的响应策略直接关系到单位因事件而导致的损失。对事件应做事前准备、事中响应与检测、及事后追究与恢复等。事件响应策略包括:(1)事件处理目标:包括保护信息网络、保护信息、恢复运行、降低影响等。(2)事件识别:事件的类型和性质。(3)信息控制:如何发布相关的消息。(4)响应:检测、阻断和跟踪。(5)授权:接相关人员的授权。(6)文档:预案和事件的总结。(7

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论