信息安全管理办法
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇信息安全管理办法范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
信息安全管理办法范文第1篇
第一条为加强对计算机信息系统的安全保护,维护公共秩序和社会稳定,促进信息化的健康发展,根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》等规定,结合本市实际,制定本办法。
第二条本办法所称的计算机信息系统,是指由计算机及其相关的和配套的设备、设施(含有线、无线等网络,下同)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统,包括互联网、局域网、移动网等。
第三条*市行政区域范围内计算机信息系统的安全保护管理,适用本办法。
第四条*市公安局主管全市计算机信息系统安全保护管理工作。
*市公安局公共信息网络安全监察分局具体负责市区范围内(萧山区、余杭区除外)计算机信息系统安全保护管理工作。
各县(市)公安局和萧山区、余杭区公安分局负责本行政区域范围内计算机信息系统安全保护管理工作。
国家安全机关、保密机关、信息化行政主管部门及政府其他有关职能部门,在各自职责范围内负责计算机信息系统安全保护管理的有关工作。
第五条公安机关、国家安全机关、保密机关、信息化行政主管部门及政府其他有关职能部门,应当建立协调合作管理机制,共同做好计算机信息系统安全保护管理工作。
第六条公安机关、国家安全机关、保密机关、信息化行政主管部门及政府其他有关职能部门在履行管理职责过程中,应当保护计算机信息系统使用单位和个人的合法权益,保守其秘密。
计算机信息系统使用单位和个人应当协助公安机关等有关职能部门做好计算机信息系统的安全保护管理工作。在公安机关等有关职能部门依法履行管理职责时,使用单位和个人应当如实提供本单位计算机信息系统的技术资料。
第七条计算机信息系统的安全保护工作,重点维护下列涉及国家事务、公共利益、经济建设、尖端科学技术等重要领域和单位(以下简称重点安全保护单位)的计算机信息系统的安全:
(一)各级国家机关;
(二)金融、证券、保险、期货、能源、交通、社会保障、邮电通信及其他公用事业单位;
(三)重点科研、教育单位;
(四)有关国计民生的企业;
(五)从事国际联网的互联单位、接入单位及重点政务、商务、新闻网站;
(六)向公众提供上网服务的单位;
(七)互联网络游戏、手机短信转发、各类聊天室等互动栏目的开发、运营和维护单位;
(八)其他对社会公共利益有重大影响的计算机信息系统使用单位。
第二章计算机信息系统使用单位的安全管理
第八条计算机信息系统使用单位应当建立人员管理、机房管理、设备设施管理、数据管理、磁介质管理、输入输出控制管理和安全监督等制度,健全计算机信息系统安全保障体系,保障本单位计算机信息系统安全。
第九条计算机信息系统使用单位应当确定本单位的计算机信息系统安全管理责任人。安全管理责任人应履行下列职责:
(一)组织宣传计算机信息系统安全保护管理方面的法律、法规、规章和有关政策;
(二)组织实施本单位计算机信息系统安全保护管理制度和安全保护技术措施;
(三)组织本单位计算机从业人员的安全教育和培训;
(四)定期组织检查计算机信息系统的安全运行情况,及时排除安全隐患。
第十条计算机信息系统使用单位应当配备本单位的计算机信息系统安全技术人员。安全技术人员应履行下列职责:
(一)严格执行本单位计算机信息系统安全保护技术措施;
(二)对计算机信息系统安全运行情况进行检查测试,及时排除安全隐患;
(三)计算机信息系统发生安全事故或违法犯罪案件时,应立即向本单位报告,并采取妥善措施保护现场,避免危害的扩大;
(四)负责收集本单位的网络拓扑结构图及信息系统的其他相关技术资料。
第十一条重点安全保护单位应当建立并执行以下安全保护管理制度:
(一)计算机机房安全管理制度;
(二)安全管理责任人、安全技术人员的安全责任制度;
(三)网络安全漏洞检测和系统升级管理制度;
(四)操作权限管理制度;
(五)用户登记制度;
(六)信息审查、登记、保存、清除和备份制度;
(七)信息保密制度;
(八)信息系统安全应急处置制度;
(九)其他相关安全保护管理制度。
第十二条重点安全保护单位应当落实以下安全保护技术措施:
(一)系统重要部分的冗余措施;
(二)重要信息的异地备份措施和保密措施;
(三)计算机病毒和有害数据防治措施;
(四)网络攻击防范和追踪措施;
(五)安全审计和预警措施;
(六)信息群发限制措施;
(七)其他相关安全保护技术措施。
第十三条重点安全保护单位的安全管理责任人和安全技术人员,应当经过计算机信息系统安全知识培训。
第十四条重点安全保护单位应当对其主服务器输入输出数据进行24小时监控,发现异常数据应注意保护现场,并同时报告公安机关等有关职能部门。
第十五条使用和销售计算机信息系统安全专用产品,必须是依法取得计算机信息系统安全专用产品销售许可证的产品。
进入本市销售计算机信息系统安全专用产品的销售单位,其销售产品目录应报市公安局备案。
市公安局应定期通告,公布合格的计算机信息系统安全专用产品目录。
保密技术专用产品的管理,按照国家和省、市的有关规定执行。
第十六条计算机信息系统使用单位发现计算机信息系统中发生安全事故和违法犯罪案件时,应在24小时内向当地公安机关报告,并做好运行日志等原始记录的现场保留工作。涉及重大安全事故和违法犯罪案件的,未经公安机关查勘或同意,使用单位不得擅自恢复、删除现场。涉及其他管理部门法定职权的,公安机关应当在接到报告后及时通知有关部门。
第十七条计算机信息系统发生突发性事件或存在安全隐患,可能危及公共安全或损害公共利益时,公安机关等有关职能部门应当及时通知计算机信息系统使用单位采取安全保护措施,并有权对使用单位采取暂停联网、停机检查、备份数据等应急措施,计算机信息系统使用单位应当予以配合。
突发性事件或安全隐患消除之后,公安机关等有关职能部门应立即解除暂停联网或停机检查措施,恢复计算机信息系统的正常工作。
第三章计算机信息系统安全检测
第十八条重点安全保护单位的计算机信息系统进行新建、改建、扩建的,其安全保护设计方案应报公安机关备案。
系统建成后,重点安全保护单位应进行1至6个月的试运行,并委托符合条件的检测机构对其系统进行安全保障体系检测,检测合格的,系统方能投入正式运行。重点安全保护单位应将检测合格报告书报公安机关备案。
计算机信息系统的建设、检测等按照国家和省、市的有关规定执行。
第十九条计算机信息系统安全保障体系检测包括以下内容:
(一)安全保护管理制度和安全保护技术措施的制定和执行情况;
(二)计算机硬件性能和机房环境;
(三)计算机系统软件和应用软件的可靠性;
(四)技术测试情况和其他相关情况。
市公安局应当根据计算机信息系统安全保护的行业特点,会同有关部门制定并公布重点行业计算机信息系统安全保障体系的安全要求规范。
第二十条重点安全保护单位对计算机信息系统进行设备更新或改造时,对安全保障体系产生直接影响的,应当委托符合条件的检测机构对受影响的部分进行检测,确保其符合该行业计算机信息系统安全保障体系的安全要求规范。
第二十一条重点安全保护单位应加强对计算机信息系统的安全保护,定期委托符合条件的检测机构对计算机信息系统进行安全保障体系检测,并将检测合格报告书报公安机关备案。对检测不合格的,重点安全保护单位应当按照该行业计算机信息系统安全保障体系的安全要求规范进行整改,整改后达到要求的,系统方能继续运行。
第二十二条公安机关应当会同有关部门,按照国家有关规定和相关行业安全要求规范,对重点安全保护单位的计算机信息系统安全保障体系进行检查。检查内容包括:
(一)安全保护管理制度和安全保护技术措施的落实情况;
(二)计算机信息系统实体的安全;
(三)计算机网络通讯和数据传输的安全;
(四)计算机软件和数据库的安全;
(五)计算机信息系统安全审计状况和安全事故应急措施的执行情况;
(六)其他计算机信息系统的安全情况。
第二十三条公安机关等有关职能部门发现重点安全保护单位的计算机信息系统存在安全隐患、可能危及公共安全或损害公共利益的,可委托符合条件的检测机构对其安全保障体系进行检测。经检测发现存在安全问题的,重点安全保护单位应当立即予以整改。
第二十四条检测机构进行计算机信息系统安全检测时,应保障被检测单位各种活动的正常进行,并不得泄露其秘密。
检测机构应当严格按照国家有关规定和相关规范进行检测,并对其出具的检测报告承担法律责任。
第四章计算机信息网络公共秩序管理
第二十五条互联网络接入单位以及申请从事互联网信息服务的单位和个人,除应当按照国家有关规定办理相关手续外,还应当自网络正式联通之日起30日内到公安机关办理安全备案手续。
第二十六条用户在接入单位办理入网手续时,应当填写用户备案表。接入单位应当定期将接入本网络的用户情况报当地公安机关备案。
第二十七条设立互联网上网服务营业场所,应当按照《互联网上网服务营业场所管理条例》的规定向公安机关申请信息网络安全审核。经公安机关审核合格,发给互联网上网服务营业场所信息网络安全许可证明后,再向文化、工商部门办理有关审批手续。
互联网上网服务营业场所经营单位变更营业场所地址或者对营业场所进行改建、扩建,变更计算机数量或者其他重要事项的,应当经原审核机关同意。
互联网上网服务营业场所经营单位变更名称、住所、法定代表人或者主要负责人、注册资本、网络地址或者终止经营活动的,应当依法到工商行政管理部门办理变更登记或者注销登记,并到文化行政部门、公安机关办理相关手续。
第二十八条互联网上网服务营业场所经营单位必须使用固定的IP地址联网,并按规定落实安全保护技术措施。
互联网上网服务营业场所经营单位应按规定对上网人员进行电子实名登记,登记内容包括姓名、身份证号码、上网起止时间,并应记录上网信息。登记内容和记录备份保存时间不得少于60日,在保存期内不得修改或者删除。
第二十九条任何单位和个人不得从事下列危害计算机信息网络安全的活动:
(一)未经授权查阅他人电子邮箱,或者以赢利和非正常使用为目的,未经允许向第三方公开他人电子邮箱地址;
(二)故意向他人发送垃圾邮件,或者冒用他人名义发送电子邮件;(三)利用计算机信息网络传播有害手机短信;
(四)侵犯他人隐私、窃取他人帐号、进行网上诈骗活动;
(五)未经计算机信息网络所有者同意,扫描他人信息网络漏洞;
(六)利用计算机信息网络鼓动公众恶意评论他人或公开他人隐私,或者暗示、影射对他人进行人身攻击;
(七)其他危害计算机信息网络安全的行为。
第三十条从事信息网络经营、服务的单位和个人应当遵守下列规定:
(一)制订安全保护管理制度,对本网络用户进行安全教育;
(二)落实安全保护技术措施,保障本网络的运行安全和其的信息安全;
(三)建立电子公告系统的信息审核制度,设立信息审核员,发现有害信息的,应在做好数据保存工作后及时删除;
(四)发现本办法第二十九条中各类情况时应保留有关稽核记录,并立即向公安机关报告;
(五)落实信息群发限制、匿名转发限制和有害数据防治措施;
(六)落实系统运行和上网用户使用日志记录措施;
(七)按公安机关要求报送各类接入状况及基础数据。
第三十一条发现计算机信息网络传播病毒、转发垃圾邮件、转发有害手机短信或传播有害信息的,信息网络的经营、服务单位和个人应当采取技术措施予以防护和制止,并在24小时内向公安机关报告。
对不采取技术措施予以防护和制止的信息网络经营、服务单位和个人,公安机关有权责令其采取技术措施,或主动采取有关技术措施予以防护和制止。
第三十二条公安机关应对计算机信息网络的安全状况、公共秩序状况进行经常性监测,发现危害信息安全和危害公共秩序的事件应及时进行处理,并及时通知有关单位和个人予以整改。
第五章法律责任
第三十三条违反本办法规定,有下列行为之一的,给予警告,责令限期改正,并可处以1000元以上10000元以下罚款;情节严重的,可以给予6个月以内停机整顿的处罚:
(一)计算机信息系统使用单位未建立安全保护管理制度或未落实安全保护技术措施,危害计算机信息系统安全的;
(二)计算机信息系统使用单位不按照规定时间报告计算机信息系统中发生的安全事故和违法犯罪案件,造成危害的;
(三)重点安全保护单位的计算机信息系统未经检测或检测不合格即投入正式运行的。
第三十四条违反本办法规定,销售计算机信息系统安全专用产品未向公安机关备案的,给予警告,责令限期改正,并可处以200元以上2000元以下罚款。
第三十五条违反本办法规定,接入单位或从事互联网信息服务的单位和个人不办理安全备案手续的,给予警告,责令限期改正,并可处以1000元以上5000元以下的罚款;情节严重的,可以给予6个月以内停机整顿的处罚。
第三十六条违反本办法规定,未取得互联网上网服务营业场所信息网络安全许可证明从事互联网上网服务经营活动的,责令限期补办手续,并可处以1000元以上10000元以下的罚款。
第三十七条有本办法第二十九条规定行为之一的,给予警告,责令限期改正,并可处以1000元以上5000元以下的罚款;情节严重的,可以给予6个月以内停机整顿的处罚。
第三十八条违反本办法第三十条和第三十一条第一款规定的,给予警告,责令限期改正,并可处以1000元以上10000元以下的罚款;情节严重的,可以给予6个月以内停机整顿的处罚。
第三十九条计算机信息系统使用单位的安全管理责任人和安全技术人员不履行本办法规定的职责,造成安全事故或重大损害的,给予警告,并可建议其所在单位按照相关规定给予其行政处分。
第四十条对本办法规定的行政处罚,市区范围内(萧山区、余杭区除外)由市公安局公共信息网络安全监察分局负责;各县(市)和萧山区、余杭区范围内由各县(市)公安局和萧山区、余杭区公安分局负责。
信息安全管理办法范文第2篇
新修订的《食品安全法》确立了国家建立食品安全全程追溯制度,要求食品生产经营者建立食品安全追溯体系,保证食品可追溯。《上海市食品安全信息追溯管理办法》(以下简称《办法》)应运而生,明确由政府主导建立统一的食品安全信息追溯平台,要求食品生产经营者利用信息化技术手段履行信息上传等义务,实现食品和食用农产品来源可追溯、去向可查证、责任可追究,为食品安全信息追溯体系建设提供法制保障。《办法》自2015年10月1日起正式实施。
可追溯的食品种类
根据《办法》要求,上海市对十大类食品和食用农产品实施信息追溯管理,包括粮食及其制品、畜产品及其制品、禽及其产品制品、蔬菜、水果、水产品、豆制品、乳制品、食用油以及经上海市人民政府批准的其他类别的食品和食用农产品10大类。
经上海市食品安全委员会批准的《上海市食品安全信息追溯管理品种目录(2015年版)》现已公布,详见表1。
需要实施信息追溯管理的生产经营者有哪些
《办法》规定,实施信息追溯管理的生产经营者包括14类单位,即从事追溯食品和食用农产品生产经营的生产企业、农民专业合作经济组织、屠宰厂(场)、批发经营企业、批发市场、兼营批发业务的储运配送企业、标准化菜市场、连锁超市、中型以上食品店、集体用餐配送单位、中央厨房、学校食堂、中型以上饭店及连锁餐饮企业等。
实施信息追溯管理的生产经营者需履行哪些义务
信息安全管理办法范文第3篇
信息安全防护要考虑不同层次的问题。例如网络平台就需要拥有网络节点之间的相互认证以及访问控制;应用平台则需要有针对各个用户的认证以及访问控制,这就需要保证每一个数据的传输的完整性和保密性,当然也需要保证应用系统的可靠性和可用性。一般电力企业主要采用的措施有:
1.1信息安全等级保护
信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作,工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。要积极参与信息安全等级定级评定,及时在当地公安机关进行备案,然后根据对应等级要求,组织好评测,然后开展针对性的防护,从而提供全面的保障。
1.2网络分区和隔离
运用网络设备和网络安全设备将企业网络划分为若干个区域,通过在不同区域实施特定的安全策略实现对区域的防护,保证网络及基础设置稳定正常,保障业务信息安全。
1.3终端安全防护
需要部署(实施)防病毒系统、上网行为管理、主机补丁管理等终端安全防护措施。通过这些安全措施使网络内的终端可以防御各种恶意代码和病毒;可以对互联网访问行为监管,为网络的安全防护管理提供安全保障;可以自动下发操作系统补丁,提高终端的安全性。
2.构建信息安全防护体系
电力企业应充分利用已经成熟的信息安全理论成果,在此基础上在设计出具有可操作性,能兼顾整体性,并且能融合策略、组织、技术以及运行为一体化的信息安全保障体系,从而保障信息安全。
2.1建立科学合理的信息安全策略体系
信息安全策略体系包括信息安全策略、信息安全操作流程、信息安全标准以及规范和多方面的细则,所涉及的基本要素包括信息管理和信息技术这两方面,其覆盖了信息系统的网络层面、物理层面、系统层面以及应用层面这四大层面。
2.2建设先进可靠的信息安全技术防护体系
结合电力企业的特点,在企业内部形成分区、分域、分级、分层的网络环境,然后充分运用防火墙、病毒过滤、入侵防护、单向物理隔离、拒绝服务防护和认证授权等技术进行区域边界防护。通过统一规划,解决系统之间、系统内部网段间边界不清晰,访问控制措施薄弱的问题,对不同等级保护的业务系统分级防护,避免安全要求低的业务系统的威胁影响到安全要求高的业务系统,实现全方位的技术安全防护。同时,还要结合信息机房物流防护、网络准入控制、补丁管理、PKI基础设施、病毒防护、数据库安全防护、终端安全管理和电子文档安全防护等细化的措施,形成覆盖企业全领域的技术防护体系。
2.3设置责权统一的信息安全组织体系
在企业内部设置网络与信息安全领导机构和工作机构,按照“谁主管谁负责,谁运营谁负责”原则,实行统一领导、分级管理。信息安全领导机构由决策层组成,工作机构由各部门管理成员组成。工作机构一般设置在信息管理部门,包含安全管理员、系统管理员、网络管理员和应用管理员,并分配相关安全责任,使信息安全在组织内得以有效管理。
2.4构建全面完善的信息安全管理体系
对于电力企业的信息安全防范来说,单纯的使用技术手段是远远不够的,只有配合管理才能提供有效运营的保障。
2.4.1用制度保证信息安全
企业要建立从指导性到具体性的安全管理框架体系。安全方针是信息安全指导性文件,指明信息安全的发展方向,为信息安全提供管理指导和支持;安全管理办法是对信息安全各方面内容进行管理的方法总述;安全管理流程是在信息安全管理办法的基础上描述各控制流程;安全规范和操作手册则是为用户提供详细使用文档。人是信息安全最活跃的因素,人的行为会直接影响到信息安全保障。所以需要通过加强人员信息安全培训、建立惩罚机制、加大关键岗位员工安全防范力度、加强离岗或调动人员的信息安全审查等措施实现企业工作人员的规范管理,明确员工信息安全责任和义务,避免人为风险。
2.4.3建设时就考虑信息安全
在网络和应用系统建设时,就从生命周期的各阶段统筹考虑信息安全,遵照信息安全和信息化建设“三同步”原则,即“同步规划、同步建设、同步投入运行”。
2.4.4实施信息安全运行保障
主要是以资产管理为基础,风险管理为核心,事件管理为主线,辅以有效的管理、监视与响应功能,构建动态的可信安全运行保障。同时,还需要不断完善应急预案,做好预案演练,可以对信息安全事件进行及时的应急响应和处置。
3.总结
信息安全管理办法范文第4篇
如果有人问,2006年底至2007年初在网络上最流行的词语是什么,绝大多数人都会认为是“熊猫烧香”,一个在网络上任意肆虐的幽灵,短短几个月时间,使我国上百万企业、网吧、局域网用户遭受感染和破坏。
在刚刚的《金山公司中国互联网2006年度安全报告》中,“熊猫烧香”被评为2006年年末最疯狂2大病毒之一,而《瑞星公司中国互联网2006年度安全报告》中则把“熊猫烧香”评为2006年毒王。
“熊猫烧香”本身是一个传染型的DownLoad,使用Delphi编写,从技术上来说并没有什么创新之处,却借鉴很多经典病毒、木马甚至是流氓软件的技术特点,综合成了一个拥有可爱的图标却让人闻之色变的病毒。单技术下的病毒杀毒软件都能应付,但各种毒素综合到一起这只“熊猫”反过来让众多杀毒软件成了它“烧香”时的祭品。它的运行原理并不复杂,无非是“复制文件到系统目录和根目录”、“添加注册表启动项”、“利用微软自动播放功能运行”、“针对计算机本身攻击弱口令”、“利用IE浏览器漏洞在网页文件中添加脚本代码”等等一些并不“最新先进”的技术。就是这些“不算最新”的技术却在全国上下揭起了一股“烧香”热潮... ...
将自己的黑客技术用在非法牟利上,使李俊踏出犯罪的第一步,尝到甜头以后,李俊越陷越深,最终面对雪亮的镣铐,低下了自己悔恨的头……
李俊编出“熊猫烧香”病毒,目的是为了出售木马病毒软件给盗取网络游戏账户装备和QQ密码盗卖者而获利。李俊先后在网上以每个病毒500元至1000元的价格出售病毒近20套,在与合伙人张顺接洽上以后,由李俊负责制作,张顺负责销售、形成了黑色的产业链,在短短一个多月的时间就牟利15万元,一位反病毒专家介绍,李俊一年出售病毒收益可以买一座别墅。
据北京德恒律师事务所的律师郑中涛介绍:我们国家关于计算机系统犯罪的刑罚还很轻,有严重后果的处以5年以下有期徒刑,特别严重是5年以上,上面没有限制,一般情况下是作为有期徒刑来限制的(有期徒刑最高15年)。对这个熊猫烧香病毒的制造者并不排除有数罪并罚的情况,不仅仅是破坏计算机安全的信息系统罪,可能会涉及到其他的犯罪。因为其中有一个网络的虚拟财产的盗窃问题,大多数的学者认为应该按照盗窃罪来处罚。我国刑法规定利用计算机盗窃适用相关的规定。
郑律师认为,应该会对李俊判处有期徒刑5年以上的刑罚。因为制作传播计算机病毒和其它破坏程序,影响了网络的正常运行,我国在97年的时候就已经写入到法律里了,这种情况应该有一个严厉的处罚。
很多人早已习惯生活工作中对网络的依赖,突如其来的事件使网络呈现出它的脆弱、甚至不堪一击。一直被人忽略的信息安全话题浮出水面,成为焦点。
病毒肆虐,给中国的电脑用户敲响了信息安全的警钟。尤其是对微软Windows操作系统及IE浏览器的过度依赖,让病毒和有害程序有了扩散爆发的温床。反病毒专家曾警告:由于多家著名网站遭到攻击,相继被植入病毒,所有上网浏览的用户都可能受害。由于这些网站的浏览量非常大,致使此次“熊猫烧香”病毒的感染范围非常广,中毒企业和政府机构超过千家,其中不乏金融、税务、能源等敏感单位。
微软应该对最近国内用户不能及时更新安全补丁负上主要责任。且不论Windows操作系统的漏洞,对于一个拥有十几亿人口的国家,正版软件消费金额巨大的市场,中国用户的安全更新的合法权益,却被一场外海的地震震得一点保障都没有。(2006年12月26日20时26分和34分,台湾屏东地区连续发生两次七级左右的强烈地震及多次余震,致使中国网通所有途经台湾南部海域和香港周边海域的国际海缆不同程度的发生阻断。直到2007年11月29日下午才得以完全修复。)绝大多数购买了品牌电脑的用户,也同时购买了正版的WindowsXP/Vista。
随着病毒技术的发展,U盘、电子邮件、甚至MP3和音乐手机都可能成为新型病毒携带者。此次“熊猫烧香”的泛滥只暴露出网络安全问题危机的冰山一角。也许有人还记得当年CIH病毒爆发时,电脑城内排队修理电脑的景象。
长期以来,人们对保障信息安全的手段偏重于依靠技术,从早期的加密技术、数据备份、防病毒到如今网络环境下的防火墙、入侵检测、身份认证等等。厂商在安全技术和产品的研发上不遗余力,新的技术和产品不断涌现;消费者也更加相信安全产品,把大把的预算也都投入到安全产品的采购上。但事实上仅仅依靠技术和产品保障信息安全的愿望却往往难尽人意,许多复杂、多变的安全威胁和隐患靠产品是无法消除的。
“三分技术,七分管理”,实践经验和原则在信息安全领域也同样适用。据有关部门统计,在所有的计算机安全事件中,约有52%是人为因素造成的,25%由火灾、水灾等自然灾害引起,技术错误占10%,组织内部人员作案占10%,仅有3%左右是由外部不法人员的攻击造成。简单归类,属于管理方面的原因比重高达70%以上, 而这些安全问题中的95%是可以通过科学的信息安全管理来避免。因此,管理已成为信息安全保障能力的重要基础。
网络信息安全建设,任重而道远!没有一个安全的网络环境,操作者就会处于随时有可能崩溃的网络环境下,如同头上悬着一把达克摩斯之剑,没有任何安全感可言。
自国务院信息办成立网络与信息安全领导小组以来,先后采取了一系列相应的措施保护网络安全。
初步建成了国家信息安全组织保障体系。早在2003年7月,国务院信息化领导小组第三次会议专题讨论并通过了《关于加强信息安全保障工作的意见》。 同年9月,中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强信息安全保障工作的意见》(2003[27]号文件)。27号文件第一次把信息安全提到了促进经济发展、维护社会稳定、保障国家安全、加强精神文明建设的高度,并提出了“积极防御、综合防范”的信息安全管理方针。
制定和引进了一批重要的信息安全管理标准。为了更好地推进我国信息安全管理工作,公安部主持制定、国家质量技术监督局的中华人民共和国国家标准GB17895-1999《计算机信息系统安全保护等级划分准则》,并引进了国际上著名的《ISO 17799:2000:信息安全管理实施准则》、《BS 7799-2:2002:信息安全管理体系实施规范》、《ISO/IEC 15408:1999(GB/T 18336:2001)-信息技术安全性评估准则 》、《SSE-CMM:系统安全工程能力成熟度模型》等信息安全管理标准。信息安全标准化委会设置了10个工作组,其中信息安全管理工作组负责对信息安全的行政、技术、人员等管理提出规范要求及指导指南,它包括信息安全管理指南、信息安全管理实施规范、人员培训教育及录用要求、信息安全社会服务管理规范、信息安全保险业务规范框架和安全策略要求与指南。
制定了一系列必须的信息安全管理的法律法规。例如:《中华人民共和国计算机信息网络国际联网管理暂行规定》、《商用密码管理条例》、《互联网信息服务管理办法》、《计算机信息网络国际联网安全保护管理办法》、《计算机病毒防治管理办法》、《互联网电子公告服务管理规定》、《软件产品管理办法》、《电信网间互联管理暂行规定》、《电子签名法》等。
信息安全风险评估工作已经得到重视和开展;国信办信息安全风险评估课题组早已启动了信息安全风险评估相关标准的编制工作,国家铁路系统和北京移动通信公司于本世纪初就已完成了的信息安全风险评估试点工作,国家其它关键行业或系统(如电力、电信、银行等)也陆续开展或在近期已完成了这方面的工作。
虽然国家已经做了很多工作在信息安全建设上,但是还存在不少问题需要解决,通过这次“熊猫烧香”的发作,也可以看出信息安全现状仍存在着管理混乱、监督力度不够、实施手段不足、相关法律成文尚不严谨等问题。“熊猫烧香”刚出现的时候没有很好的抑制,几个月时间都没有能够很好的防范住病毒的扩散,并且在对待病毒变种进化中所采取的对策手段仍需要加以改进。
令我们高兴的是,在病毒发作以后,国家相关部门积极主动的手段。“熊猫烧香”于2006年10月16日编写,120天之后警方破案,网监的表现可以称之比较完美。
国家计算机病毒应急处理中心张主任对这次案件的破获和最新信息安全发展进程进行了介绍。
这起案件破获是公安部的领导下由国家计算机病毒应急处理中心建立的病毒防空预警体系成果。这些年中心一直致力于整个国家病毒预警体系的建设。是国家计算机病毒应急处理中心把所有的防病毒厂家有效的组织起来,形成国家病毒应急小组,发现新的病毒之后厂家会上报,包括病毒样本和报告。中心首先发现病毒也会通过这个渠道通知给所有防病毒的厂家,这样就会加快中心对病毒的快速反映和处置能力。
这个作用在整个案件里已经发挥了系统作用,厂家通过日常的监测从去年11月就发现了“熊猫烧香”病毒,通过中心对病毒的监测分析。一方面是要拿出应急的处置方案包括防病毒软件的升级,让用户免受损失,同时技术的角度详细分析,发现了一些和制造者有关的线索,根据这些线索进一步的监测,逐步的把嫌疑人圈定在一定的范围内。
信息安全管理办法范文第5篇
1 前言
随着现代信息技术的发展和网络技术的普遍应用,信息服务行业在服务内容、服务方式与服务对象等方面发生了革命性变化,运作效率也有了显著提升。在网络环境下,信息服务行业在国家经济生活中的地位日益重要。但是,网络同时也是攻击事件和病毒蠕虫等滋生之地。信息安全事件已经不单单是影响个别民众、企业的小事,而是影响到国家的安全。
随着信息安全事件发生的日益频繁,发达国家和地区对信息安全问题都予以了高度重视。我国长期以来信息安全意识不强,即使是重视,也仅限于政治和军事领域。近几年来,面对国际信息环境的变化与挑战,我国也采取了一系列对策。在法律法规建设方面,《计算机软件保护条例》、《计算机信息系统安全保护条例》、《计算机病毒防治管理办法》等相继出台。
2 信息安全基本概念
国内外对“信息安全”没有统一的定义。《中华人民共和过计算机信息系统安全保护条例》的定义:“保障计算机及其相关的和配套的设备、设施(网络)的安全,运行环境的安全,保障信息安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全”。国家信息安全重点实验室的定义:“信息安全涉及到信息的机密性、完整性、可用性、可控性。综合起来说,就是要保障电子信息的有效性。国际标准化委员会的定义:“为数据处理系统而采取的技术的和管理的安全保护,保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、显露”。英国信息安全管理标准的定义:“信息安全是使信息避免一系列威胁,保障商务的连续性,最大限度地减少商务损失,最大限度地获取投资和商务的回报,涉及信息的机密性、完整性、可用性”。美国人则认为:“信息安全包括信息的机密性、完整性、可用性、真实性和不可抵赖性”。其实,当前信息安全的概念正在与时俱进,它从早期的通信保密发展到关注信息的保密、完整、可用、可控和不可否认的信息安全,并进一步发展到如今的信息保障和信息保障体系。信息保障依赖于人、操作和技术实现组织的任务运作,针对技术信息基础设施的管理活动同样依赖于这三个因素,稳健的信息保障状态意味着信息保障和政策、步骤、技术和机制在整个组织的信息基础设施的所有层面上均能得到实施,即面向数据安全概念是信息保密性、完整性和可用性;面向使用者的安全概念则是鉴别、授权、访问、控制、抗否认性和可服务性以及基于内容的个人隐私、知识产权等的保护,这两者的结合就是信息安全保障体现的安全服务,而这些安全问题又要依赖于密码、数字签名、身份验证技术、防火墙、灾难恢复、防毒墙和防黑客入侵等安全机制加以解决,其中密码技术和管理是信息安全的核心,而安全标准和系统评估则是信息安全的基础。因此,信息安全就是指一个国家的社会信息化的状态不受外来威胁与侵害,一个国家的信息技术体系不受到外来的威胁与侵害。
3 信息安全的基本属性
信息安全有以下几点基本属性:
3.1 完整性
信息存储和传输的过程保持被修改不被破坏的,不入,不延迟,不乱序和不丢失的数据特征。对于军用信息来说完整性遭破坏导致延误战机,自相残杀或闲置战斗力,破坏信息完整性是对信息安全发动攻击的最终目的。
3.2 可用性
信息可被合法用户访问并能按照要求顺序使用的特征,既在需要时就可以去用所需信息。可用性攻击就是阻断信息的可用性。例如破坏网络和有关系统的正常运行就属于这种类型攻击。
3.3 保密性
信息给非授权个人/实体或供其使用的特征。军用信息安全尤为注重信息保密性。
3.4 可控性
授权机构可以随时控制信息的机密性。美国的政府提倡“密钥托管’、“密钥恢复”等措施就是实现信息安全可控性的例子。
3.5 可靠性
信息用户认可的质量连续服务于用户的特征,但也有人认为可靠性是人们对信息系统而不是信息本身的要求。总体来看,信息安全就是要保证信息的基本属性不被破坏,信息按照发送方的意愿成功被接收方接收。
4 网络安全的威胁
4.1 人为的无意失误
如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的账号随意转借他
人或与别人共享等都会对网络安全带来威胁。
4.2 人为的恶意攻击
此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄漏。
4.3 网络软件的漏洞和“后门”
网络软件不可能是百分之百的无缺陷和无漏洞的,然而,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标。另外,软件的“后门”都是软件公司的设计编程人员为了自便而设置的,一般不为外人所知,但一旦“后门”洞开,其造成的后果将不堪设想。计算机网络设备安全和网络信息安全实际上是密不可分的,两者相辅相成,缺一不可。计算机网络设备安全特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全。网络信息安全则紧紧围绕信息在互联网络上应用时产生的各种安全问题,在计算机网络设备安全的基础上,如何保障信息应用过程的顺利进行。没有计算机网络设备安全作为基础,网络信息安全就犹如空中楼阁,无从谈起。没有信息安全保障,即使计算机网络本身再安全,仍然无法达到计算机网络信息应用的最终目的。
5 信息安全策略
信息安全策略是指为保证提供一定级别的安全保护所必须遵守的规则。实现信息安全,不但靠先进的技术,而且也得靠严格的安全管理,法律约束和安全教育。
5.1 先进的信息安全技术是网络安全的根本保证
用户对自身面临的威胁进行风险评估,决定其所需要的安全服务种类,选择相应的安全机制,然后集成先进的安全技术,形成一个全方位的安全系统;
5.2 严格的安全管理
各计算机网络使用机构,企业和单位应建立相应的网络安全管理办法,加强内部管理,建立合适的网络安全管理系统,加强用户管理和授权管理,建立安全审计和跟踪体系,提高整体网络安全意识;
5.3 制订严格的法律、法规
计算机网络是一种新生事物。它的许多行为无法可依,无章可循,导致网络上计算机犯罪处于无序状态。面对日趋严重的网络犯罪,必须建立与网络安全相关的法律、法规,使非法分子慑于法律,不敢轻举妄动。
作者:张秀梅 来源:科教导刊 2009年5期
