内蒙古农业大学计算机信息系统安全管理办法(试行)(精选8篇)
篇1:内蒙古农业大学计算机信息系统安全管理办法(试行)
内蒙古农业大学学生公寓网络管理办法(试行)
第一章 总则
第1条 为尽快建成具有先进水平的知识传播、信息管理与信息服务的学生公寓网络系统,规范内蒙古农业大学校园计算机网络所属的内蒙古农业大学学生公寓网络的管理和接入服务、信息服务,保障内蒙古农业大学学生公寓网络的正常运行和健康发展,维护有关各方的正当权益,根据《中华人民共和国计算机信息网络国际联网管理暂行规定》、《中华人民共和国计算机信息网络国际联网安全保护管理办法》和《内蒙古农业大学校园计算机网络管理规定(试行)》、《内蒙古农业大学学生手册》和《内蒙古农业大学学生公寓管理规定》等规定制定本办法。
第2条 学生公寓网络的所有管理者和使用者必须遵守本办法。
第3条 学生公寓网络是内蒙古农业大学校园计算机网络的部分局域网,是内蒙古农业大学教学、科研和行政管理的基础设施之一。
第4条 内蒙古农业大学针对校园计算机网络及其用户所制定的所有规章制度同时适用于本网及本网的用户。
第二章 管理
第5条 学生公寓网络由内蒙古农业大学网络中心和学生公寓管理部门(以下简称中心)负责规划、建设和运行控制;管理和接入控制。
第6条 公寓网络的规划、建设、维修、维护与运行控制由中心负责。楼内所有信息插座及其以上的网络线路、布线槽、网络设备、机柜内跳线等,统一由中心负责安装、维护、连接、设置。未经中心许可,任何人不得占用、更换、损毁;不得改变其物理位置、形态、性能;不得改变其连接关系、运行状态、系统配置。
第7条 学生公寓网络分楼进行管理,每栋学生公寓楼设立一个网络管理员,由楼宇住宿的学生组成,在中心领导下具体负责该片区楼宇有关公寓网络管理、维护和咨询等各项事宜。
第8条 学生网络管理员由该片区楼宇的在住学生中具有相应技术水准及工作能力和相应时间与精力的贫困学生担任;由学生处勤工助学中心负责选拔推荐,中心考核聘任并在学生处勤工助学中心备案。
第9条 学生网络管理员本人希望辞职的,应向中心提出申请。学生网络管理员在提出辞职后应认真办理工作移交,待辞职申请获得批准后才能离任。
第10条 公寓网络所在各楼的设备间的安全和供电,由中心正式委托公寓管理单位保障,学生网络管理员对此应予配合。
第11条 未经中心批准,学生不得在寝室之间和寝室内私拉网线及其附属设施,已安装的必须拆除;不得私设未经许可的任何网络应用服务器(包括游戏、FTP、WWW、Email等)
第12条 公寓网络管理实行实名制,一人一账号,用户负责本人账号、口令管理,并承担本人账号产生的经济及法律后果,不得转让他人或偷盗他人账户;学生毕业前到中心注销账号,办理有关离校手续。
第三章 接入
第13条 同一房间内的在住学生,享有完全平等的网络接入权。此权利不因进住的早晚、连网的先后而变化。
第14条 当用户因同一房间内的入网需求大于室内的现有接入能力而需要对现有接入能力进行扩充时,不得私自改变网络连接状态,在主干线路上增加网络设备。其所采用的扩充方案与设备,由中心审批备案。
第15条 任何人在将其本人使用的计算机接入公寓网络之前,必须按照规定填写入《内蒙古农业大学校园网个人用户责任书》,到中心开户交纳相关费用后方能接入公寓网络,成为合法用户。
第16条 用户可向中心申请变更网络接入地址,中心可根据实际情况调整并将最终变更情况通知用户。
第17条 学生公寓网络采用动态IP地址分配,接入校园网的用户禁止提供一切形式的DHCP服务和代理服务。
第18条 学生公寓的接入服务时间规定:
星期一~星期四 17:00——22:30
星期五17:00——24:00
星期六7:00——24:00
星期日7:00——22:30
第四章 信息
第19条 通过公寓网络获取信息时严禁查阅、复制或发布、传播有害社会和淫秽色情的信息。对违规传播有害信息的按《内蒙古农业大学学生违纪处分条例》进行处理,并取消“争先创优”评选资格,情节严重者移交公安机关网监部门依法处理。
第20条 公寓网络所有用户在其网上活动中必须遵守国家和中国教育科研网的有关法规和管理办法,遵守网络礼仪和网络道德规范,不得使用公寓网络或通过使用公寓网络从事危害公共安全、损害公众利益、侵害他人正当权益、窃取或泄露他人秘密以及有伤风化的活动;
第21条 积极防范和查杀计算机病毒,不恶意扫描网络端口或发送邮件炸弹;不盗用他人系统账号,非法进入任何未经授权的计算机网络系统从事危害网络安全的行为。
第22条 公寓网络用户在按规定连网后,有权了解公寓网络使用性能、用户端的配置参数与方法、系统当前的运行状态;有权就其在公寓网络的使用过程中所遇到的问题,向所在楼的学生网络管理员或中心咨询。
第23条 服务提供人应该保证通过其服务所提供的公开信息符合各级政府和有关部门制定的有关法规和管理办法,符合各级网络管理部门制定的有关管理办法和规章制度。
第24条 公寓网络的学生网络管理员和用户在网络的使用中,对所发现或发生的违反有关法律、法规和规章制度的人或事应该予以制止或向中心反映、举报。应该协助有关部门或管理人员对上述人或事进行调查、取证、处理,应该向调查人员如实提供所需证据。
第25条 公寓网络的所有用户和学生网络管理员在所有与公寓网络相关的活动中必须接受国家安全机关、公安机关、保密机关、内蒙古农业大学等有关部门管理人员依照有关法律、法规和管理规定进行的管理和监督。
第26条 用户有权拒绝身份不明的人员行使学生网络管理员的职权;有权对公寓网络及其运行、管理工作提出意见和建议;在对公寓网络的现状或学生网络管理员的工作不满时,有权向中心投诉。
第27条 公寓网络的所有用户应该及时释放其所获取的各项共享资源,如遇网络故障或异常请与网络中心联系解决。
第28条 中心无须征得用户同意,可根据实际情况和需要采用新技术、调整网络结构和系统功能、变更系统参数和使用方法、排除系统隐患等,但如果上述工作影响到用户的使用性能和使用方法,网络管理中心应预先通知相关用户和学生网络管理员。
第六章 相关责任
第29条 用户必须按《内蒙古农业大学校园网资费标准》交纳相关费用。
第30条 公寓网络各管理机构和学生网络管理员对系统运行过程中一切非人为过错所造成的后果不承担责任。
第31条 用户对其使用网络的行为所产生的后果承担经济及法律责任。
第32条 由服务提供人自主发布的信息所产生的责任由服务提供人承担。服务提供人接受他人委托,发布委托人提供的信息,由此产生的责任由委托人和服务提供人共同承担。信息服务使用单位或个人应用信息服务所提供的功能自行发布信息所产生的责任由信息发布人自行承担。
第33条 对于损坏网络设施的,包括光纤、机柜、交换机、线缆、终端盒、线槽及其他附属设施,应按设备价值的2-3倍进行经济赔偿。
第34条 中心会对于违反本办法的公寓网络用户可直接根据情况给予有关责任人以下处理:
1.警告;
2.勒令改正;
3.取消连网资格60至180天;
4.暂停用户进入有关网络系统的相应权限;
5.由中心交由学生管理部门按照《内蒙古农业大学学生违纪处分条例》给予相应的行政和纪律处分。各院、系有关部门在接到中心依本条提出的处分建议后,应在查清事实的基础上以予采纳。
6.对触犯法律的,移交司法机关处理。
第35条 学生网络管理员工作不尽职的,由中心给予警告。警告无效的或因工作失误造成损失的,由中心给予撤职处理。
第七章 附则
第36条 对于主动向学生网络管理员或中心举报破坏网络设施,非法使用账号或网络资源者,将给予适当奖励。
第37条 本办法适用于在校学习的所有成教脱产本科学生、全日制本、专科生、研究生、博士生及外国留学生。
内蒙古农业大学
2005年4月
本文档系网络所得,版权归原作者所有。如有侵权,本人定尽快处理!
篇2:内蒙古农业大学计算机信息系统安全管理办法(试行)
第一章总则
第一条 为加强全区校园计算机信息网络系统安全管理工作,杜绝有害信息在网上传播,严防侮辱诽谤、信息篡改、非法入侵、网络欺诈、网络攻击破坏等违法犯罪活动的发生,净化教育网络环境,促进我区教育网络有序、健康发展,根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网安全保护管理办法》、《国家互联网电子公告服务管理规定》等国家法规、规章,结合我区教育系统实际,制定本管理办法。
第二条 本管理办法所称的计算机信息网络系统,是指我区教育系统内单位、个人计算机及其相关的配套设备、设施构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统和运行体系。计算机信息网络的安全包括计算机信息系统及互联网络的运行安全和信息内容的安全。
第三条 本管理办法适用对象为建有计算机信息网络系统(校园网、网络教室、办公网以及其他用途的局域网络系统)和可以提供网站信息服务的学校和教育单位。
第四条 各单位计算机信息网络安全坚持保护与管理并重和“谁运行、谁负责,谁管理、谁负责”的原则。
第二章 工作机构及职责
第五条 校信息网络安全领导小组(或相关工作机构,下简称校安全领导小组)是各学校全面负责计算机网络及信息安全的工作责任机构。其主要职责是:
(一)依据国家法规和上级管理部门要求,统一筹划学校信息网络安全管理工作,落实各级管理责任,协调事务。
(二)研究、组织制定各项校园信息网络安全管理制度、管理措
施和工作方案以及安全教育、培训工作计划。
(三)对信息网络安全管理工作的开展和落实情况进行监督、检查和指导。
(四)负责与上级信息网络安全管理部门的工作联系,接受上级的安全检查。
第六条 校网络中心(或相关工作机构)作为校园网络系统技术管理和系统维护的工作部门,在校安全领导小组的领导下,具体负责全校的信息网络安全实施工作,安全管理制度的贯彻执行以及技术支持与服务保障等工作。其主要职责是:
(一)监管校园信息网络安全。及时向校安全领导小组反映信息网络安全事件,提出工作建议;
(二)具体开展校园信息网络安全防范工作,落实安全保护技术措施;
(三)执行各项安全管理制度,提供技术咨询和工作指导;
(四)对校园信息网络的重要资源进行备份保存、信息维护;
(五)具体开展对校园网用户的安全教育和培训;
(六)负责保存信息网络系统运行的有关记录并接受上一级网络管理部门和国家安全机关的监督和检查。
第七条 校网络中心负责校园主干网络的运行管理,保证校园信息网络的畅通和系统的稳定安全运行。各接入部门、使用人员应当服从中心的管理。
第三章安全保护和管理
第八条 学校在进行计算机信息网络系统的建设时必须考虑网络安全系统的配置。选用的网络安全产品,应该是通过公安部安全产品质量监督检验中心检测、并获得公安部安全监察局颁发许可证的产品。同时安装正版的防黄、防毒等软件。
第九条 校网络中心管理人员须对计算机网络系统的运行状态及时进行监控,及时排除故障。及时做好操作系统的补丁升级、防病毒软件系统的病毒库升级等工作,随时防范病毒或黑客攻击。
第十条 为有效防范网上非法活动,校园网要统一出口管理。校网络中心须采取各种技术手段和管理手段,建立健全安全保护制度,落实安全技术设备设施,监控、封堵、清除网上有害信息,防止有害信息的侵入,确保校园网络安全和信息安全。
第十一条 各单位应建立并落实计算机信息网络系统的安全保护制度:
(一)信息网络安全教育和培训制度;
(二)信息发布审核、登记、保存、清除和备份制度;
(三)信息网络安全应急处置制度;
(四)违法案件报告和协助查处制度;
(五)提供FTP服务,开设论坛、留言板和博客等具有交互性栏目的单位,须落实实名注册、先审后发、及时处理有害信息和24小时巡查等制度,并在技术上保证栏目具有身份地址识别和记录功能;
(六)访问记录保存制度。网站、服务器须具有日志记录功能,能记录和保存学校用户上网日志;
(七)工作交接制度。网络与信息工作人员调离岗位时应将有关材料、档案、软件移交给其他工作人员,调离后对需要保密的内容要严格保密。接替人员应对系统进行重新调整,重新设置用户名、密码。
(八)及时汇报制度。发现有本办法第十三条、第十四条、第十五条所列情形之一的,应立即切断与网络联系渠道,保留有关原始记录,并及时向当地公安机关网络安全管理部门和教育网络信息安全主管部门报告。
第十二条 各单位对计算机信息网络系统应当落实以下安全保护措施:
(一)网站、网页程序代码防漏洞、防篡改等保护措施;
(二)系统重要数据备份、容灾恢复措施;
(三)计算机病毒和破坏性程序的防治措施;
(四)服务器系统日志、学校用户上网日志等保存2个月以上的措施;
(五)记录、监测网络运行状态、变化和各种网络安全事件的安全审查措施;
(六)网络安全隔离以及防范网络入侵、攻击破坏等危害网络安全的措施;
(七)密钥、密码安全管理措施;
(八)本单位网络注册域名(含中文域名)有效期保护措施;
(九)法律、法规和相关规定应当落实的其他安全保护技术措施。第十三条 用户的通信自由和通信秘密受法律保护。任何单位和个人不得违反法律规定,利用校园网侵犯用户的通信自由和通信秘密。任何单位和个人不得利用计算机信息网络危害国家安全、泄露国家秘密,不得侵犯国家、社会、学校、集体的利益和公民的合法权益,不得从事违法犯罪活动。
第十四条 任何单位和个人不得利用计算机信息网络制作、复制、查阅和传播下列信息:
(一)煽动抗拒、破坏宪法和法律、行政法规实施的言论;
(二)煽动颠覆国家政权、推翻社会主义制度的言论;
(三)煽动分裂国家、破坏国家统一的言论;
(四)煽动民族仇恨、民族歧视,破坏民族团结的言论;
(五)捏造或者歪曲事实,散布谣言,扰乱社会秩序;
(六)宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖,教唆犯罪;
(七)公然侮辱他人或者捏造事实诽谤他人;
(八)损害教育系统形象和利益的言行;
(九)其他违反宪法、法律、行政法规的言行。
第十五条 任何单位和个人不得从事下列危害计算机信息网络安全的活动:
(一)未经允许,对计算机信息网络功能进行删除、修改或者增加;
(二)未经允许,对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加;
(三)未经允许,私自修改本单位工作电脑上的IP地址,开设二级代理、WEB、DNS、DHCP等服务;
(四)未经允许,擅自在本单位网络上设置网站、上传信息;
(五)未经允许,擅自使用他人计算机或利用他人账号制作、复制、传播信息;
(六)故意制作、传播计算机病毒等破坏性程序;
(七)以端口扫描方式,破坏网络正常运行;
(八)链接含有色情、反动言论、恶意代码等不良信息网站;
(九)其他危害计算机信息网络安全的行为。
第十六条 使用校园计算机信息网络系统的每个用户要树立强烈的网络安全意识,上网信息必须遵守国家法律法规,坚持实事求是,宣传教育,服务教育,有利于促进教育事业的发展。学生上网必须有老师的具体指导,教师要引导学生正确、安全、健康地使用网络进行查阅资料、收集资料、利用资料等教育教学活动。
第四章 安全监督
第十七条 各单位网络信息安全主管部门应掌握用户的入网情况,定期组织网络安全检查,对所发现的问题,应当提出改进意见,并存档备查。对发现问题没有整改的单位予以通报批评,情节严重的,报公安机关处理。
第十八条 各单位网络信息内容安全监控、巡查工作由本单位网络信息安全主管部门负责。各单位网络信息安全领导机构应负责本单位网络信息的技术安全监查,并从技术上保证对重要信息、证据的保存、备份,对不良信息的及时删除与处理。
第十九条 各单位应制定计算机信息网络系统重大突发事件应急处置预案。发生重大突发事件时,各单位应当按照应急处置预案的要求及时采取相应的处置措施,并服从公安机关和国家指定的专门部门的调度。
第二十条 各单位应当接受公安机关、国家指定的专门部门对计算机信息网络系统的安全监督、检查、指导,按照国家有关规定如实提供有关计算机信息网络系统安全保护的信息、资料及数据文件。对信息系统中发生的案件和重大安全事故,各单位应当在二十四小时内报告所在地公安机关,并保留有关原始记录。
第五章 附则
第二十一条 对违反规定的使用部门和个人,学校应采取提醒、警告、内部通告、批评,停止网络连接等措施进行处罚,情节严重的应按照国家相关规定移交公安部门处理。
第二十二条 本管理办法自发布之日起执行。
篇3:内蒙古农业大学计算机信息系统安全管理办法(试行)
影响计算机信息管理系统安全具有各种各样的原因, 包括主观方面和客观方面的因素。因为在计算机信息管理系统方面, 考虑时忽略了安全因素、不规范和不够科学的设计等, 致使在安全上计算机信息管理系统存在了很多潜在的危险。同时, 也没有配备相对合理的设备, 不完善的功能和不稳定的计算机运行对计算机信息管理系统的效益和运行质量都有着很直接的影响。并且, 不健全的相关管理制度和不足的维护和管理力度等, 必然增加了发展计算机信息管理系统安全问题的次数, 同时还日益呈现增加的局势, 在危害计算机信息管理系统的安全上出现了很多问题。根据现今的新形势, 危害计算机信息管理系统安全主要有以下几个方面的原因:
(一) 计算机病毒等程序大肆传播
有些用户利用单位或者自己的私人电脑, 通过互联网下载了一些黑客病毒破坏程序, 把病毒程序安装到每一个计算机网络的结点, 对计算机网络系统进行扫描和攻击, 导致此类遭受攻击的电脑系统出现了死机或者速度缓慢等现象, 没法正常运行系统, 有的还出现了损坏情况。假若从技术和管理的角度来讲, 最主要的一个原因就是不力的管理, 不过, 出现计算机网络系统安全的大多数都是位于那些并未设定防火墙的电脑中。
(二) 电脑系统的程序和数据受到破坏
一些黑客根据网络系统中存在的漏洞, 对电脑的网络系统进行非法入侵, 同时还利用远程来掌控电脑系统, 全部删除了BBS系统资料、邮件资料、网站主页资料、网络资料和有的重要配置的文件信息, 自然没法正常运转计算机系统, 使得电脑网络系统瘫痪, 同时根本无法恢复那些被删除的重要文件和资料。
(三) 电脑信息管理系统遭到破坏
有些黑客制作或者利用非法程序, 对国家机关部门的电脑网络进行非法入侵, 同时变更、修改和篡改电脑网络中的相关文件和数据资料。一些黑客把电脑网络的服务器密码进行了修改, 控制整个电脑网络, 让国家遭受了不可计算的损失。尤其是有些黑客设定属于自己的账号于电脑网络中, 同时安装了破解软件的程序, 对相关的文件资料进行非法盗用。
(四) 电脑信息管理系统遭到入侵
根据已经发生过的危害电脑信息管理系统的安全问题, 有的黑客使用非法的电脑程序, 非法电脑入侵管理计算机信息的系统, 大幅度的攻击了中国有的政府有关机构的电脑信息管理系统, 修改了主页和网站, 破坏了有些系统, 有害信息大面积张贴于一些主页, 有些计算机网络系统还处于瘫痪状态, 使得出现了不良的社会影响和巨大的经济损失。
(五) 突发事件的影响
在使用计算机的过程中, 信息管理系统出现电压和电流瞬变, 或者瞬间断电的情况就可能会给系统的数据信息带来风险, 同时很有可能会破坏数据资料。
(六) 不同的个人使用习惯
因为现今计算机和人们的生活与工作息息相关, 所以每日都会在网络上浏览信息或传播大批的数据, 但是有些人员因为采取了不正确的使用方式而预先留下了网络系统的漏洞, 这也可能给计算机信息管理系统带来一定的安全风险。
二、探讨电脑信息管理系统安全的相关对策
(一) 在计算机信息管理系统中使用先进的安全科技
使用验证身份这个技术可以更高级的保障整个系统的安全, 系统权限只会对相匹配的系统和用户口令开发。现今比较先进的技术是PKI认证技术和生物验证技术, 现在已经逐渐普遍使用PKI技术。通过数字证书给计算机用户提供有关证明, 同时根据此组建一组互相映射的关系, 安全管理水平借助此类强制性认证系统得到深层次的提升。
(二) 安装防火墙
防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合, 是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术, 是不同网络或网络安全域之间信息的唯一出入口。目前, 防火墙技术越来越多地应用于专用网络与公用网络的互联环境之中, 尤其以接入Internet网络的应用最为广泛。防火墙能根据企业的安全需要 (允许、拒绝、监测) 、出入网络的信息流, 实现网络和信息安全的基础设施。在逻辑上, 防火墙是一个分析器, 一个分离器, 也是一个限制器, 它能够有效地监控了内网和Internet之间的信息交换, 保证了内部网络的信息安全。因此, 防火墙是网络安全的一道重要的屏障, 一个防火墙 (作为控制点, 同时又作为阻塞点) 极大地提高了一个单位内网的安全, 并通过过滤不安全的服务从而大大降低风险。由于只有经过精心选择的应用协议才能通过防火墙, 所以网络环境变得更安全。安装防火墙是能够强化控制和防范计算机安全的最有效的办法。原因在于, 防火墙能够主要控制流进和传出电脑信息管理系统, 也可以制止网络中非法的计算机用户访问电脑信息管理系统。
(三) 逐渐建立和完善电脑信息管理的体制
逐渐建立和完善管理计算机信息系统的安全机制, 不断的安全控制和防范电脑信息管理系统, 预防电脑信息管理系统被计算机非法用户入侵, 保证正常运行电脑信息管理系统, 就可以保证电脑网络系统的实体安全。在电脑信息管理系统的网络线路和外部设备的保护上, 应该加大力度, 还应该不定时的维护、测试和日常检查电脑信息管理系统运行的状态、条件和环境, 全面的安全运行电脑的信息管理系统。应该注重提升电磁泄露防范、控制和改善计算机的能力, 让电脑信息管理系统位于一个优良的运作环境中。同时, 安全预防电脑信息管理系统的一个主要内容是增强保密电脑信息管理系统的工作, 这就需要切实抓住、抓好和抓出成绩。应该强化保密电脑信息管理系统的管理, 就需要运用加密技术处理电脑信息管理系统的相关资料和数据, 预防泄露相关信息资料, 很大程度的提升了工作效率, 不过还应该强化保密传输、使用、处理和收集加密信息的数据管理。
(四) 管理和预防电脑信息系统的安全
电脑信息管理系统的一个主要任务就是加大管理和预防电脑信息系统安全的力度, 确保可以正常运行电脑的信息管理系统。因此, 要求我们利用设置和完善电脑信息管理系统的技术服务、安全管理、属性特征、权限控制和访问功能等, 切实做好控制和防范计算机系统安全, 是保证计算机信息管理系统安全最重要的措施之一, 也是计算机信息管理系统安全防范与控制的主要措施, 同时还是保证计算机信息管理系统资源不被非法用户使用或访问。例如可采用相关的访问控制技术, 访问控制指系统对用户身份及其所属的预先定义的策略组限制其使用数据资源能力的手段。通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。访问控制是系统保密性、完整性、可用性和合法使用性的重要基础, 是网络安全防范和资源保护的关键策略之一, 也是主体依据某些控制策略或权限对客体本身或其资源进行的不同授权访问。访问控制的主要目的是限制访问主体对客体的访问, 从而保障数据资源在合法范围内得以有效使用和管理。为了达到上述目的, 访问控制需要完成两个任务:识别和确认访问系统的用户、决定该用户可以对某一系统资源进行何种类型的访问。
(五) 合理科学的设计电脑信息管理系统的结构
为了确保电脑信息管理系统在设计结构上比较合理和科学, 就应该加大抓好电脑信息管理系统的力度, 与此同时, 切实做好电脑信息系统网络的安全和运行质量, 找出符合实际需求的最优设计方案, 确保合理和科学的进行设计, 以便保障电脑信息管理系统的安全。同时, 因为互联网具有自身的缺陷, 在计算机网络中很容易被盗用和截取数据资料。这主要是由于使用的传输数据的模式是边界是路由器和中心是交换机, 立足于中心交换机来进行控制和访问, 因此在控制和预防电脑信息管理系统的局域网的安全上, 可以采用的方式是逻辑分段和物理分段, 以便预防盗用、截取和非法侦听, 以便确保电脑信息管理系统的安全畅通。
总之, 计算机网络安全问题是一项综合而又复杂的安全隐患, 尽管现今的电脑信息管理系统已经逐步成熟, 不过还是出现了日益突出的安全问题。因此, 在电脑信息管理系统中广泛使用先进的安全技术, 用以确保信息管理系统的安全, 根据存在的安全因素去开发解决这些问题的安全技术软件, 来优化设计电脑信息管理系统。还要建设有关的法律制度约束人们的不良网络行为, 以确保计算机网络系统的稳定运行。
摘要:现今, 全球已经处于一个数字化信息时代, 计算机早就成了人们工作和生活中必不可缺的物品。每个行业都由于更换了网络技术和计算机技术而获得了极大的方便, 有的行业还产生了革命性的变化, 不过也给各行各业带来了一些计算机信息管理系统安全问题, 我们应该予以重视。这里分析了计算机信息管理系统安全的有关问题, 并提出了与之对应的解决措施, 仅供参考。
关键词:系统安全,信息管理,计算机,对策
参考文献
[1]姜丛吾.浅析计算机信息管理系统[J].信息与电脑 (理论版) , 2012, 11:88-89.
篇4:计算机信息系统安全问题与管理
关键词:计算机;信息;系统;安全;管理
中图分类号:TP309
计算机信息系统的安全关系到用户的使用,随着我国网络发展的加快,对于信息系统安全管理的重视程度也在逐渐的加强,而目前我国计算机信息系统在管理方面依然存在诸多的不足,本文重点对目前存在的问题和如何解决进行了详细的探索。
1 计算机信息系统安全问题
1.1 网络配置的缺陷
网络配置包含的因素较多,例如原件服务器以及防火墙都是网络配置中非常重要硬件设施,而网络传输效率较低,有很大程度上是由于服务器配置不当造成的,当路由器的配置出现故障,从而无法连接到网络,也会对防火墙的保护系统较大成都的降低,造成非常恶劣的后果。系统上讲,计算机网络安全受到的威胁主要包括两个方面,首先是网络在管理上存在漏洞。例如电子文档在授权访问以及在传输过程中存在一定的缺陷,导致内部的控制管理较为薄弱,其次是网络安全体系不够健全,网络密码保护较为脆弱,而登录系统由于不够健全,因此对网络的监控存在诸多的不利因素。网络配置的缺陷是最常见也是最基本的问题。
1.2 系统维护管理不科学
随着我国计算机科学技术的不断发展,因此在计算机系统中软件在不停的进行跟新,在系统升级以及系统维护的过程中,防火墙过滤系统太过复杂,造成了日常维护无法保证系统的安全,甚至会造成新的漏洞,因此从这个方面可以看出计算机系统在升级的过程中要做到高效升级,完全的对计算机进行维护,将计算机风险降到最低。
1.3 病毒的大量入侵
计算机病毒和人类病毒在原理上类似,都是通过不断的自我复制而破坏计算机系统,计算机病毒在没有激活的状态下是不能发挥其作用,但是一旦被激活,就能够通过网络进行大范围的传播,从而导致计算机运行速度大幅度的减慢,甚至会导致主板的破坏,最终导致数据的丢失。那么计算机病毒从管理的角度来看,是因为管理手段和技术手段不完善而造成的,而没有防火墙以及前缺乏安全意识是导致计算机系统中毒最主要的原因。
1.4 计算机操作系统漏洞导致的泄密隐患
目前世界上绝大部分的计算机都是采用windows操作系统。但是从这个系统的原则上讲,无疑存在非常多的漏洞,因此安全问题尤为突出,例如在多数情况下,我们认为计算机和互联网相连,不会泄漏个人的隐私,但是通過实际的检查发现,在互联网联通的情况下,能够取得对计算机的控制权,甚至能够对麦克风进行即使得监控,因此麦克风就成为了一种窃听器,导致了计算机内的所有人的通话都能够被窃听到。
2 计算机信息管理系统安全的对策探讨
2.1 保证计算机信息管理系统结构设计科学合理
首先要保证计算机系统在结构和功能方面的合理性,就必须注重的强调计算机网络运行系统的质量和网络安全,制定合理的技术优化方案,确保计算机信息系统的安全。同时相关部门对于网络的功能性需要进行限制,例如网络传输的数据资料容易被窃取和盗用,这些都是需要在日常管理中重点进行关注。
原因是局域网在进行数据传输的过程中,主要是采用交换机为中心,以路由器为边界进行网络数据的传输,另外交换机也具有范访问和控制功能,所以采用物理分段和逻辑分段两种典型的方式能够实现对计算机信息管理内局域网的安全性进行控制,防治他人对计算机进行控制,防治窃听和截取,但是在一定程度上也保证了信息系统的流畅性。
2.2 强化计算机信息系统安全防范与管理
对信息系统进行安全防范管理,在一定程度上能够保证计算机系统的正常进行,同时这也是计算机管理系统中重要的任务之一。在这个基础上必须对计算机信息管理系统的访问功能,权限控制和安全管理等模块进行详细的划分。对于计算机加强安全防范,不仅仅局限于对计算机信息管理系统制定相应的安全防范和控制措施,同时还需要保证计算机信息管理系统不被非法的用户攻击,后者是保护计算机信息管理系统最为重要的方法,而这种方法的技术手段,常常是安装防火墙,原因是,防火墙是一个阻止网络中非法用户对计算机系统进行攻击的重要保障,也是控制计算机信息交换的基础保护措施。
2.3 安全的上网浏览措施
在浏览网页的过程中,很容易的知道上网的IP地址,以及知道操作者的操作系统和访问次数,甚至自己的浏览习惯都有可能被知道,这些在网络上留下的“痕迹”无疑被攻击的概率会大大的增高,例如目前网络上经常会发送木马,对用户的数据进行盗取,以及对用户的个人资料进行更改,而采用代理服务器以及使用网上中间人可以降低被攻击的风险。
Cookie上网过程中留在硬盘中的小记录,因此在上网的过程中,绝大多的信息,就包括用户在注册网站过程中留下的信息以及留下的电话号码,很可能Cookie是大家隐私泄漏非常种重要的因素。因此在上网的过程中对Cookie进行定期的清楚无疑是非常良好的上网的习惯。
使用类似匿名发邮件的网站以及POP3等工具进行收信或者是发邮件是在工作和学习中很好的习惯,这样的电子邮件一方面很难进行查询,另外一方面还可以进行加密设计,因此让计算机被攻击的概率大幅度的降低
2.4 对传输的信息实行安全保护策略
信息传输的安全策略主要是从分级保护这个方面来阐述,从技术方面进行着手,能够对方案实行管理,规范其中的安全性。根本问题就是在计算机使用过程中,采取一套完成有效的规范措施,严格对计算机现边界防护。强化内部控制和安全保密的策略,提高涉密人员的安全保护策略。同时还需要加强对网路信息的安全管理,实现信息传输的有效性和安全性。
2.5 对信息进行备份和回复
对于计算机信息系统的备份而言,主要是由备份设备和备份系统共同完成的,那么常见的备份是通过光盘和移动硬盘完成的,一般情况下,计算机的备份应该按照以下策略进行完成:全备份、增量备份、差分备份。当然在这几个因素中,每一种备份都有其优势和劣势,因此造作者可以根据自身的情况对数据进行备份,而操作者的备份习惯在对计算机使用过程中是非常重要的。
2.6 分时保护
计算机信息的储存和使用是一个持续性的过程中,因此在对计算机信息系统的保护也应该更具储存的特点变化,因此安全防护措施也应该是在动态以及连续的状态下完成,而动态保护措施要贯穿整个数据的生成到结束的整个生命周期,因此一时间轴为横坐标,计算机对于数据进行保护和响应,在不同阶段应该采取不同的对策,最终实现对计算机信息系统合理的保护,将风向降到最低。
3 结束语
总之,计算机信息系统安全是我国未来计算机运用中重点关注的问题,对于网络安全和隐私保护具有积极的作用,而相关的网络管理人员要定期的对网络信息安全进行检查,防治造成不必要的损失。
参考文献:
[1]刘广良.建设银行计算机网络信息系统安全管理策略研究[D].湖南大学,2010.
[2]杨军,毕萍.浅谈计算机网络通信安全[J].电子设计工程,2012(06):89-92.
[3]郭郁洁,陈彬茹.计算机信息安全体系研究[J].电脑编程技巧与维护,2011(10):110+122.
作者简介:赵利锋(1979.07-),男,陕西西安人,北京分院副院长,工程师,学士学位,研究方向:信息化规划、网络信息系统的安全防护。
篇5:内蒙古农业大学计算机信息系统安全管理办法(试行)
一、总 则
第一条为防范化解保险公司信息系统安全风险,完善信息系统安全保障体系,确保信息系统安全、稳定运行,根据《中华人民共和国保险法》、国家信息安全相关法律法规和有关要求,制定本指引。
第二条本指引适用于在中华人民共和国境内依法设立的保险公司和保险资产管理公司。
第三条本指引所称信息系统安全,是指利用信息安全技术及管理手段,保护信息在采集、传输、交换、处理和存储等过程中的可用性、保密性、完整性和不可抵赖性,保障信息系统的安全、稳定运行。
第四条信息系统安全是公司持续稳定发展的重要基础。各公司应通过管理机制和技术手段,加强信息安全保障工作,保障业务活动的连续性。
实现信息化工作集中管理的保险集团(控股)公司,可以集团(控股)公司为单位对信息系统安全工作统筹规划执行。
第五条中国保监会依法对保险公司信息系统安全工作实施监督管理。
二、安全管理总体要求
第六条信息系统安全工作应按照“积极防御、综合防范”的原则,与自身业务及信息系统同步规划、同步建设、同步运行,构建完备的信息系统安全保障体系。
第七条各公司是信息系统安全的责任主体。公司法定代表人或主要负责人为信息系统安全的第一责任人。
第八条信息化工作委员会之下应设立信息安全专业工作机构,全面统筹协调公司信息系统安全相关事项的研判决策,并应指定公司级高级管理人员负责信息安全专业工作机构,作为信息系统安全的直接责任人。
第九条各公司应履行以下信息系统安全管理职责:
(一)贯彻落实国家和监管部门有关信息系统安全管理的法律法规、技术标准和相关要求。
(二)组织公司信息系统安全规划与建设工作,制订相关管理规定。
(三)建立有效的信息系统安全保障体系并定期或根据工作需要及时进行检查、评估、审计、改进、监控等工作。
(四)对信息系统安全事件进行管理、处置和上报。
(五)组织公司员工信息系统安全教育与培训。
(六)开展与信息系统安全相关的其他工作。
第十条 建立覆盖物理环境、网络、主机系统、桌面系统、数据、存储、灾备、安全事件管理及应用等各层面的安全管理规章制度,并定期或根据需要及时对安全管理规章制度进行评审、修订。
第十一条针对信息系统安全的各层面、各环节,结合各部门和岗位职责,建立职责明确的授权机制、审批流程以及完备有效、相互制衡的内部控制体系,并对审批文档和内部控制过程进行及时记录。
第十二条 配备足够的具有专业知识和技能的信息系统安全工作人员。明确信息系统安全相关人员角色和职责,建立必要的岗位分离和职责权限制约机制,实行最小授权,避免单一人员权限过于集中引发风险,重要岗位应设定候补员工及工作接替计划。
第十三条 定期或根据工作需要及时对高级管理人员开展信息安全管理与治理相关培训,对参与信息系统建设、运行维护和操作使用的人员进行安全教育、技能培训和考核。加强岗位管理,明确上岗与离岗要求,重要岗位须签署相关岗位协议。对涉密岗位工作人员应特别进行保密教育培训,并签订保密承诺书。
第十四条 按照国家和监管部门信息系统安全规范、技术标准及等级保护管理要求,明确信息系统安全保护等级,实施信息系统安全等级保护,按等级安全要求进行备案并定期测评和整改。
第十五条 制定信息管理相关制度和流程,规范管理信息采集、传输、交换、存储、备份、恢复和销毁等环节,加强重要数据信息控制和保护,保障信息的合法、合规使用。
第十六条 按照国家和监管部门信息系统灾难恢复管理要求、规范和技术标准,推进信息系统灾难恢复建设工作并定期进行演练,确保业务连续性。
第十七条 对信息系统安全事件进行等级划分和事件分类,制定安全事件报告、响应处理程序等应急预案,并定期进行演练,评审和修订。遇有重大信息系统事故或突发事件,应按应急预案快速响应处理,并按规定及时向中国保监会报告。
第十八条 建立有效可靠的安全信息获取渠道,获取与公司信息系统运营相关的外部安全预警信息,汇总、整理公司内部安全信息,及时提交公司信息安全专业工作机构,并按相关流程发布实施。
第十九条 设立独立于信息技术部门的信息科技风险审计岗位,负责信息科技审计制度制订和信息系统风险评估与审计。至少每年对信息安全控制策略和措施及落实情况进行检查,至少每两年开展一次信息科技风险评估与审计,并将信息科技风险评估审计报告报送中国保监会。
鼓励公司在符合国家有关法律、法规和监管要求的情况下,聘请具备相应资质的外部机构进行外部审计和风险评估。
第二十条加强信息系统知识产权保护和推进正版化工作,禁止复制、传播或使用非授权软件。
第二十一条申请信息安全管理体系认证的公司应按国家及监管部门要求,加强信息安全管理体系认证安全管理,选择国家认证认可监督管理部门批准的机构进行认证,并与认证机构签订安全和保密协议。
第二十二条 在信息系统可能对客户服务造成较大影响时,根据有关法律法规及时和规范地披露信息系统风险状况,并以适当的方式告知客户。
三、基础设施与网络设备环境
第二十三条根据信息化发展需要,建设相应的中心机房和灾备机房(以下统称“机房”)。机房应设置在中华人民共和国境内(不包括港、澳、台地区),机房建设须符合国家有关标准规范和监管部门要求。将机房外包托管的公司,应保证受托方机房符合上述标准,主机托管应具有独立的操作空间和严格的安全措施。
第二十四条 建立健全机房运行维护安全管理制度,指定专门部门及专人负责机房安全管理,采取合理的物理访问控制,对出入机房人员进行审查、登记,确保对机房实施7×24小时实时监控。
第二十五条 建立信息系统资产安全管理制度,编制资产清单,明确资产管理责任部门与人员,规范资产分配、使用、存储、维护和销毁等各种行为,定期对资产清单进行一致性检查并保留检查记录。
第二十六条 根据设备功能及软件应用等性质设立物理安全保护区域,采取必要的预防、检测和恢复控制措施。重要保护区域前应设置交付或过渡区域,重要设备或主要部件应进行固定并设置明显的标记。
第二十七条 根据业务、应用系统的功能及信息安全级别,将网络与信息系统划分成不同的逻辑安全区域,在网络各区域之间以及网络边界建立访问控制措施,部署监控手段,控制数据流向安全。
第二十八条建立较为完备的网络体系,具有合理的网络结构,重要网络设备和通信线路应具有冗余备份,确保业务系统安全稳定运行。
第二十九条 建立网络安全管理制度,规范管理网络结构、安全配置、日志保存、安全控制软件升级与打补丁、口令更新、文件备份和外部连接等方面的授权批准与变更审核,保障安全策略的有效执行。
第三十条 内部网络与互联网、外联单位网络等连接时,应明确网络外联种类方式,采用可靠连接策略及技术手段,实现彼此有效隔离,并对跨网络流量、网络用户行为等进行记录和定期审计,同时确保审计记录不被删除、修改或覆盖。
第三十一条 严格控制移动式设备接入、无线接入和远程接入等网络接入行为,明确接入方式、访问控制等措施要求,形成网络接入日志并定期审计,确保未经审查通过的设备无法接入。
第三十二条 加强信息系统平台软件安全管理,确保配置标准落实。对入侵行为、恶意代码、病毒等风险即进行防范部署,严格控制信息系统身份访问、资源访问,监控主机系统的资源使用情况,并在服务水平降低到设定阈值时发出报警。
第三十三条 分类对计算机终端的安全提出要求,制订终端网络准入、安全策略、软件安装等管理规范。
第三十四条 规范化管理信息系统相关硬件设备,规范设备选型、购置、登记、保养、维修、报废等相关流程,实时动态监控设备运行状态,定期进行巡检、维护和保养并保留相关记录。
第三十五条 制定介质分类管理制度。根据介质存储内容与重要性明确存储介质类型、存放技术指标、保存期限等,并定期检查介质中存储的信息是否完整可用。重要备份介质应进行异地存放。介质送出维修或销毁时,应保证介质信息预先得到审查并妥善处理。对于存储客户隐私等涉密信息的存储介质,应严格依据国家及监管部门要求进行保存与销毁等管理。
四、应用系统与数据安全
第三十六条 建立完善的信息系统开发运行维护管理组织体系,制订完备管理制度与操作规范,确保信息系统开发与运行维护过程独立、人员分离。
第三十七条 生产系统应与开发、测试系统有效隔离,确保生产系统安全、稳定运行。
第三十八条 信息系统开发、实施过程应明确控制方法和人员行为准则,保存相关文档和记录。制定信息系统代码编写安全规范,规范开发人员对源代码访问权限的管理,有效保护公司信息资产安全。涉及公司核心或机密数据的信息系统,应采取必要的保密措施确保其开发实施安全,不得使用敏感生产数据用于开发、测试环境。
第三十九条 信息系统正式上线运行前,应对系统进行功能、性能与安全性测试与验收,经相关流程审批后方可投入使用。
第四十条 制定有效的信息系统变更管理流程,控制系统变更过程,分析变更影响,确保生产环境的完整性和可靠性。包括紧急变更在内的所有变更都应记入日志,并做好系统变更前准备。
第四十一条 对信息系统的运行维护负责,保持运行维护控制力。加强安全入侵检测监控,进行风险评估与安全扫描,及时发现并处置安全事件。
第四十二条建立覆盖信息系统全生命周期的信息安全问题管理流程。建立系统身份鉴别机制,严格帐号权限控制管理,规范权限分配和回收流程,保存审计记录,及时进行分析处理。确保全面的追踪、分析和解决信息系统问题,并对问题记录、分类和索引。
在遇有系统及数据升级、存档、存储、迁移、消除等需要系统终止运行情况,应妥善处理,保证系统及数据安全。
第四十三条 根据内部控制与审计的要求,保存信息系统相关日志,并采取适当措施确保日志内容不被删除、修改或覆盖。
第四十四条 对主机系统进行审计,妥善管理并及时分析处理审计记录。对重要用户行为、异常操作和重要系统命令的使用等应进行重点审计。
第四十五条 建立信息系统灾难恢复管理机制。根据数据及系统的重要性,明确数据及系统的备份与灾难恢复策略。
第四十六条采用必要的技术手段和管理措施,保证数据通信的保密性和完整性。涉密信息应进行加密处理,确保涉密信息在传输、处理、存储过程中不被泄露或篡改。
与外部相关单位信息交换时要保证信息交换协议、策略、密钥等开发运维安全管理,采用国家和行业相关数据交换标准,保障数据交换过程安全可控。
第四十七条 按照国家密码管理相关规定和要求,建立健全密码设备管理制度,加强密码设备使用人员管理,使用符合国家要求和信息加密强度要求的加密技术和产品,加强相关信息系统安全保密设计和建设。
第四十八条 加强互联网门户网站系统安全管理工作,建立严格信息发布审批制度,严格控制网站内容发布权限,对网站系统进行安全评估,确保网站系统安全稳定运行。
第四十九条 电子商务、交易系统等应用系统建设应具备相应管理规范,明确各交易环节或过程安全要求,采取必要安全技术和管理措施,保护个人信息和客户敏感商业信息,保留交易相关日志,确保交易行为安全可靠。
第五十条 加强信息系统病毒防护工作,集中进行防病毒产品的选型测试和部署实施,及时更新防病毒软件和病毒代码,发现病毒或异常情况及时处理。
建立恶意代码防范管理制度,并部署防恶意代码软件,对防恶意代码软件的授权使用、恶意代码库升级、定期汇报等做出明确规定,采取管理与技术措施,确保具备主动发现和有效阻止恶意代码传播的能力。
五、信息化工作外包与采购服务
第五十一条实施信息化工作外包的公司,应制定完备的外包服务管理制度,将外包纳入全面风险管理体系,合理审慎实施外包。
不得将信息系统安全管理责任外包。对涉及国家及本公司商业秘密和客户隐私等敏感信息系统内容进行外包时,应遵守国家和监管部门有关法律法规与要求,并经过公司决策机构批准。
第五十二条根据国家与监管部门有关外包与采购规定,结合风险控制和实际需要,建立有效的外包和采购内部评估审核流程与监督管理机制。
第五十三条 实施数据中心、信息科技基础设施等重要外包应格外谨慎,在准备实施重要外包时应以书面材料正式报告中国保监会。
第五十四条 建立健全外包承包方考核、评估机制,定期对承包方财务状况、技术实力、安全资质、风险控制水平和诚信记录等进行审查、评估与考核,确保其设施和能力满足外包要求。公司应优先选用通过信息安全管理体系认证的信息技术服务机构提供外包服务。
第五十五条 与外包承包方签订书面外包服务合同,合同包括但不限于外包服务范围、安全保密、知识产权、业务连续性要求、争端解决机制、合同变更或终止的过渡安排、违约责任等条款,且承包方须承诺配合保险公司接受保险监督管理机构的检查。
第五十六条 严格控制外包承包方的再转包行为。对于确有第三方外包供应商参与实施的项目,应采取有力措施,确保外包服务质量和安全不受影响和不衰减。
第五十七条 与外包承包方建立有效信息交流与沟通机制,确保外包服务人员的相对稳定性。对于人员的必要流动,应要求外包承包方承诺确保外包服务的连续性与安全性。
第五十八条中国保监会根据需要对外包活动进行现场检查,采集外包活动过程中数据信息和相关资料,对于违反相关法律、法规或存在重大风险隐患的外包情形,可以要求公司进行整改,并视情况予以问责。
六、附则
第五十九条本指引由中国保监会负责解释、修订。
第六十条信息化工作重大事项范围请参考《关于加强保险业信息化工作重大事项管理的通知》(保监厅发〔2007〕8号)
篇6:计算机信息系统安全管理制度
--北京联华中安制定
为加强开发区计算机信息系统安全和保密管理,保障计算机信息系统的安全,北京联华中安信息技术有限公司特制定本管理制度。
第一条 严格落实计算机信息系统安全和保密管理工作责任制。按照“谁主管谁负责、谁运行谁负责、谁公开谁负责”的原则,各科室在其职责范围内,负责本单位计算机信息系统的安全和保密管理。
第二条 办公室是全局计算机信息系统安全和保密管理的职能部门。办公室负责具体管理和技术保障工作。
第三条 计算机信息系统应当按照国家保密法标准和国家信息安全等级保护的要求实行分类分级管理,并与保密设施同步规划、同步建设。
第四条 局域网分为内网、外网。内网运行各类办公软件,专用于公文的处理和交换,属涉密网;外网专用于各部门和个人浏览国际互联网,属非涉密网。上内网的计算机不得再上外网,涉及国家秘密的信息应当在指定的涉密信息系统中处理。
第五条 购置计算机及相关设备须按保密局指定的有关参数指标由机关事务中心统一购置,并对新购置的计算机及相关设备进行保密技术处理。办公室将新购置的计算机及相关设备的有关信息参数登记备案后统一发放。经办公室验收的计算机,方可提供上网IP地址,接入机关局域网。
第六条 计算机的使用管理应符合下列要求:
(一)严禁同一计算机既上互联网又处理涉密信息;
(二)各科室要建立完整的办公计算机及网络设备技术档案,定期对计算机及软件安装情况进行检查和登记备案;
(三)设置开机口令,长度不得少于8个字符,并定期更换,防止口令被盗;
(四)安装正版防病毒等安全防护软件,并及时进行升级,及时更新操作系统补丁程序;
(五)未经办公室认可,机关内所有办公计算机不得修改上网IP地址、网关、DNS服务器、子网掩码等设置;
(六)严禁使用含有无线网卡、无线鼠标、无线键盘等具有无线互联功能的设备处理涉密信息;
(七)严禁将办公计算机带到与工作无关的场所;确因工作需要需携带有涉密信息的手提电脑外出的,必须确保涉密信息安全。第七条 涉密移动存储设备的使用管理应符合下列要求:
(一)分别由各科室兼职保密员负责登记,做到专人专用专管,并将登记情况报信息中心备案;
(二)严禁涉密移动存储设备在内、外网之间交叉使用;
(三)移动存储设备在接入本部门计算机信息系统之前,应查杀病毒、木马等恶意代码;
(四)鼓励采用密码技术等对移动存储设备中的信息进行保护;
(五)严禁将涉密存储设备带到与工作无关的场所。第八条 数据复制操作管理应符合下列要求:
(一)将互联网上的信息复制到内网时,应采取严格的技术防护措施,查杀病毒、木马等恶意代码,严防病毒等传播;
(二)使用移动存储设备从内网向外网复制数据时,应当采取严格的保密措施,防止泄密;
(三)复制和传递密级电子文档,应当严格按照复制和传递同等密级纸质文件的有关规定办理。不得利用电子邮件传递、转发或抄送涉密信息;
(四)各科室因工作需要向外网公开内部信息资料时,必须由该科室负责人审核同意,交由办公室统一发布。
第九条 办公计算机及相关设备由机关事务中心负责维护,按保密要求实行定点维修。需外请维修的,要派专人全程监督;需外送维修的,应由办公室拆除信息存储部件,以防止存储资料泄密。
第十条 办公计算机及相关设备在变更用途时,必须进行严格的消磁技术处理。第十一条 办公计算机及相关设备报废时,应由信息中心拆除存储部件,然后交办公室核定,由机关事务中心按有关要求统一销毁,同时作好备案登记。严禁各科室自行处理报废计算机。
第十二条 加强对兼职保密员的管理,积极参加国家保密工作部门组织的岗位职能培训。定期内办公室组织开展经常性的保密教育培训,提高机关工作人员的计算机信息安全保密意识与技能。
第十三条 办公室要加强机关计算机信息系统安全和保密管理情况的监督,定期进行检查,提高泄密隐患发现能力和泄密事件应急处置能力。其它各科室要密切配合,共同做好计算机信息系统安全和保密工作。
第十四条 机关工作人员离岗离职,有关科室应即时取消其计算机涉密信息系统访问授权,收回计算机、移动存储设备等相关物品。
第十五条 各科室和个人应当接受并配合机关保密工作领导小组组织的保密监督检查,协助核查有关泄密行为。对违反本规定的有关人员应给予批评教育,并责令限期整改;造成泄密事件的,由有关部门根据国家相关保密法律法规进行查处,并追究相关责任人的责任。
第十六条 各科室要根据本规定,确保涉密信息安全。
本制度是经总经理核准后公布实施
北京联华中安信息技术有限公司
篇7:内蒙古农业大学计算机信息系统安全管理办法(试行)
第211号
《杭州市计算机信息系统安全保护管理办法》已经2004年10月25日市人民政府第53次常务会议审议通过,现予公布,自2005年1月1日起施行。
代市长
二○○四年十一月三日
杭州市计算机信息系统安全保护管理办法
第一章 总
则
第一条 为加强对计算机信息系统的安全保护,维护公共秩序和社会稳定,促进信息化的健康发展,根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》等规定,结合本市实际,制定本办法。
第二条 本办法所称的计算机信息系统,是指由计算机及其相关的和配套的设备、设施(含有线、无线等网络,下同)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统,包括互联网、局域网、移动网等。
第三条 杭州市行政区域范围内计算机信息系统的安全保护管理,适用本办法。
第四条 杭州市公安局主管全市计算机信息系统安全保护管理工作。
杭州市公安局公共信息网络安全监察分局具体负责市区范围内(萧山区、余杭区除外)计算机信息系统安全保护管理工作。
各县(市)公安局和萧山区、余杭区公安分局负责本行政区域范围内计算机信息系统安全保护管理工作。
国家安全机关、保密机关、信息化行政主管部门及政府其他有关职能部门,在各自职责范围内负责计算机信息系统安全保护管理的有关工作。
第五条 公安机关、国家安全机关、保密机关、信息化行政主管部门及政府其他有关职能部门,应当建立协调合作管理机制,共同做好计算机信息系统安全保护管理工作。
第六条 公安机关、国家安全机关、保密机关、信息化行政主管部门及政府其他有关职能部门在履行管理职责过程中,应当保护计算机信息系统使用单位和个人的合法权益,保守其秘密。
计算机信息系统使用单位和个人应当协助公安机关等有关职能部门做好计算机信息系统的安全保护管理工作。在公安机关等有关职能部门依法履行管理职责时,使用单位和个人应当如实提供本单位计算机信息系统的技术资料。
第七条 计算机信息系统的安全保护工作,重点维护下列涉及国家事务、公共利益、经济建设、尖端科学技术等重要领域和单位(以下简称重点安全保护单位)的计算机信息系统的安全:
(一)各级国家机关;
(二)金融、证券、保险、期货、能源、交通、社会保障、邮电通信及其他公用事业单位;
(三)重点科研、教育单位;
(四)有关国计民生的企业;
(五)从事国际联网的互联单位、接入单位及重点政务、商务、新闻网站;
(六)向公众提供上网服务的单位;
(七)互联网络游戏、手机短信转发、各类聊天室等互动栏目的开发、运营和维护单位;
(八)其他对社会公共利益有重大影响的计算机信息系统使用单位。
第二章 计算机信息系统使用单位的安全管理
第八条 计算机信息系统使用单位应当建立人员管理、机房管理、设备设施管理、数据管理、磁介质管理、输入输出控制管理和安全监督等制度,健全计算机信息系统安全保障体系,保障本单位计算机信息系统安全。
第九条 计算机信息系统使用单位应当确定本单位的计算机信息系统安全管理责任人。安全管理责任人应履行下列职责:
(一)组织宣传计算机信息系统安全保护管理方面的法律、法规、规章和有关政策;
(二)组织实施本单位计算机信息系统安全保护管理制度和安全保护技术措施;
(三)组织本单位计算机从业人员的安全教育和培训;
(四)定期组织检查计算机信息系统的安全运行情况,及时排除安全隐患。
第十条 计算机信息系统使用单位应当配备本单位的计算机信息系统安全技术人员。安全技术人员应履行下列职责:
(一)严格执行本单位计算机信息系统安全保护技术措施;
(二)对计算机信息系统安全运行情况进行检查测试,及时排除安全隐患;
(三)计算机信息系统发生安全事故或违法犯罪案件时,应立即向本单位报告,并采取妥善措施保护现场,避免危害的扩大;
(四)负责收集本单位的网络拓扑结构图及信息系统的其他相关技术资料。
第十一条 重点安全保护单位应当建立并执行以下安全保护管理制度:
(一)计算机机房安全管理制度;
(二)安全管理责任人、安全技术人员的安全责任制度;
(三)网络安全漏洞检测和系统升级管理制度;
(四)操作权限管理制度;
(五)用户登记制度;
(六)信息发布审查、登记、保存、清除和备份制度;
(七)信息保密制度;
(八)信息系统安全应急处置制度;
(九)其他相关安全保护管理制度。
第十二条 重点安全保护单位应当落实以下安全保护技术措施:
(一)系统重要部分的冗余措施;
(二)重要信息的异地备份措施和保密措施;
(三)计算机病毒和有害数据防治措施;
(四)网络攻击防范和追踪措施;
(五)安全审计和预警措施;
(六)信息群发限制措施;
(七)其他相关安全保护技术措施。
第十三条 重点安全保护单位的安全管理责任人和安全技术人员,应当经过计算机信息系统安全知识培训。
第十四条 重点安全保护单位应当对其主服务器输入输出数据进行24小时监控,发现异常数据应注意保护现场,并同时报告公安机关等有关职能部门。
第十五条 使用和销售计算机信息系统安全专用产品,必须是依法取得计算机信息系统安全专用产品销售许可证的产品。
进入本市销售计算机信息系统安全专用产品的销售单位,其销售产品目录应报市公安局备案。
市公安局应定期发布通告,公布合格的计算机信息系统安全专用产品目录。
保密技术专用产品的管理,按照国家和省、市的有关规定执行。
第十六条 计算机信息系统使用单位发现计算机信息系统中发生安全事故和违法犯罪案件时,应在24小时内向当地公安机关报告,并做好运行日志等原始记录的现场保留工作。涉及重大安全事故和违法犯罪案件的,未经公安机关查勘或同意,使用单位不得擅自恢复、删除现场。涉及其他管理部门法定职权的,公安机关应当在接到报告后及时通知有关部门。
第十七条 计算机信息系统发生突发性事件或存在安全隐患,可能危及公共安全或损害公共利益时,公安机关等有关职能部门应当及时通知计算机信息系统使用单位采取安全保护措施,并有权对使用单位采取暂停联网、停机检查、备份数据等应急措施,计算机信息系统使用单位应当予以配合。
突发性事件或安全隐患消除之后,公安机关等有关职能部门应立即解除暂停联网或停机检查措施,恢复计算机信息系统的正常工作。
第三章 计算机信息系统安全检测
第十八条 重点安全保护单位的计算机信息系统进行新建、改建、扩建的,其安全保护设计方案应报公安机关备案。
系统建成后,重点安全保护单位应进行1至6个月的试运行,并委托符合条件的检测机构对其系统进行安全保障体系检测,检测合格的,系统方能投入正式运行。重点安全保护单位应将检测合格报告书报公安机关备案。
涉密计算机信息系统的建设、检测等按照国家和省、市的有关规定执行。
第十九条 计算机信息系统安全保障体系检测包括以下内容:
(一)安全保护管理制度和安全保护技术措施的制定和执行情况;
(二)计算机硬件性能和机房环境;
(三)计算机系统软件和应用软件的可靠性;
(四)技术测试情况和其他相关情况。
市公安局应当根据计算机信息系统安全保护的行业特点,会同有关部门制定并公布重点行业计算机信息系统安全保障体系的安全要求规范。
第二十条 重点安全保护单位对计算机信息系统进行设备更新或改造时,对安全保障体系产生直接影响的,应当委托符合条件的检测机构对受影响的部分进行检测,确保其符合该行业计算机信息系统安全保障体系的安全要求规范。
第二十一条 重点安全保护单位应加强对计算机信息系统的安全保护,定期委托符合条件的检测机构对计算机信息系统进行安全保障体系检测,并将检测合格报告书报公安机关备案。对检测不合格的,重点安全保护单位应当按照该行业计算机信息系统安全保障体系的安全要求规范进行整改,整改后达到要求的,系统方能继续运行。
第二十二条 公安机关应当会同有关部门,按照国家有关规定和相关行业安全要求规范,对重点安全保护单位的计算机信息系统安全保障体系进行检查。检查内容包括:
(一)安全保护管理制度和安全保护技术措施的落实情况;
(二)计算机信息系统实体的安全;
(三)计算机网络通讯和数据传输的安全;
(四)计算机软件和数据库的安全;
(五)计算机信息系统安全审计状况和安全事故应急措施的执行情况;
(六)其他计算机信息系统的安全情况。
第二十三条 公安机关等有关职能部门发现重点安全保护单位的计算机信息系统存在安全隐患、可能危及公共安全或损害公共利益的,可委托符合条件的检测机构对其安全保障体系进行检测。经检测发现存在安全问题的,重点安全保护单位应当立即予以整改。
第二十四条 检测机构进行计算机信息系统安全检测时,应保障被检测单位各种活动的正常进行,并不得泄露其秘密。
检测机构应当严格按照国家有关规定和相关规范进行检测,并对其出具的检测报告承担法律责任。
第四章 计算机信息网络公共秩序管理
第二十五条 互联网络接入单位以及申请从事互联网信息服务的单位和个人,除应当按照国家有关规定办理相关手续外,还应当自网络正式联通之日起30日内到公安机关办理安全备案手续。
第二十六条 用户在接入单位办理入网手续时,应当填写用户备案表。接入单位应当定期将接入本网络的用户情况报当地公安机关备案。
第二十七条 设立互联网上网服务营业场所,应当按照《互联网上网服务营业场所管理条例》的规定向公安机关申请信息网络安全审核。经公安机关审核合格,发给互联网上网服务营业场所信息网络安全许可证明后,再向文化、工商部门办理有关审批手续。
互联网上网服务营业场所经营单位变更营业场所地址或者对营业场所进行改建、扩建,变更计算机数量或者其他重要事项的,应当经原审核机关同意。
互联网上网服务营业场所经营单位变更名称、住所、法定代表人或者主要负责人、注册资本、网络地址或者终止经营活动的,应当依法到工商行政管理部门办理变更登记或者注销登记,并到文化行政部门、公安机关办理相关手续。
第二十八条 互联网上网服务营业场所经营单位必须使用固定的IP地址联网,并按规定落实安全保护技术措施。
互联网上网服务营业场所经营单位应按规定对上网人员进行电子实名登记,登记内容包括姓名、身份证号码、上网起止时间,并应记录上网信息。登记内容和记录备份保存时间不得少于60日,在保存期内不得修改或者删除。
第二十九条 任何单位和个人不得从事下列危害计算机信息网络安全的活动:
(一)未经授权查阅他人电子邮箱,或者以赢利和非正常使用为目的,未经允许向第三方公开他人电子邮箱地址;
(二)故意向他人发送垃圾邮件,或者冒用他人名义发送电子邮件;(三)利用计算机信息网络传播有害手机短信;
(四)侵犯他人隐私、窃取他人帐号、进行网上诈骗活动;
(五)未经计算机信息网络所有者同意,扫描他人信息网络漏洞;
(六)利用计算机信息网络鼓动公众恶意评论他人或公开发布他人隐私,或者暗示、影射对他人进行人身攻击;
(七)其他危害计算机信息网络安全的行为。
第三十条 从事信息网络经营、服务的单位和个人应当遵守下列规定:
(一)制订安全保护管理制度,对本网络用户进行安全教育;
(二)落实安全保护技术措施,保障本网络的运行安全和其发布的信息安全;
(三)建立电子公告系统的信息审核制度,设立信息审核员,发现有害信息的,应在做好数据保存工作后及时删除;
(四)发现本办法第二十九条中各类情况时应保留有关稽核记录,并立即向公安机关报告;
(五)落实信息群发限制、匿名转发限制和有害数据防治措施;
(六)落实系统运行和上网用户使用日志记录措施;
(七)按公安机关要求报送各类接入状况及基础数据。
第三十一条 发现计算机信息网络传播病毒、转发垃圾邮件、转发有害手机短信或传播有害信息的,信息网络的经营、服务单位和个人应当采取技术措施予以防护和制止,并在24小时内向公安机关报告。
对不采取技术措施予以防护和制止的信息网络经营、服务单位和个人,公安机关有权责令其采取技术措施,或主动采取有关技术措施予以防护和制止。
第三十二条 公安机关应对计算机信息网络的安全状况、公共秩序状况进行经常性监测,发现危害信息安全和危害公共秩序的事件应及时进行处理,并及时通知有关单位和个人予以整改。
第五章 法律责任
第三十三条 违反本办法规定,有下列行为之一的,给予警告,责令限期改正,并可处以1000元以上10000元以下罚款;情节严重的,可以给予6个月以内停机整顿的处罚:
(一)计算机信息系统使用单位未建立安全保护管理制度或未落实安全保护技术措施,危害计算机信息系统安全的;
(二)计算机信息系统使用单位不按照规定时间报告计算机信息系统中发生的安全事故和违法犯罪案件,造成危害的;
(三)重点安全保护单位的计算机信息系统未经检测或检测不合格即投入正式运行的。
第三十四条 违反本办法规定,销售计算机信息系统安全专用产品未向公安机关备案的,给予警告,责令限期改正,并可处以200元以上2000元以下罚款。
第三十五条 违反本办法规定,接入单位或从事互联网信息服务的单位和个人不办理安全备案手续的,给予警告,责令限期改正,并可处以1000元以上5000元以下的罚款;情节严重的,可以给予6个月以内停机整顿的处罚。
第三十六条 违反本办法规定,未取得互联网上网服务营业场所信息网络安全许可证明从事互联网上网服务经营活动的,责令限期补办手续,并可处以1000元以上10000元以下的罚款。
第三十七条 有本办法第二十九条规定行为之一的,给予警告,责令限期改正,并可处以1000元以上5000元以下的罚款;情节严重的,可以给予6个月以内停机整顿的处罚。
第三十八条 违反本办法第三十条和第三十一条第一款规定的,给予警告,责令限期改正,并可处以1000元以上10000元以下的罚款;情节严重的,可以给予6个月以内停机整顿的处罚。
第三十九条 计算机信息系统使用单位的安全管理责任人和安全技术人员不履行本办法规定的职责,造成安全事故或重大损害的,给予警告,并可建议其所在单位按照相关规定给予其行政处分。
第四十条 对本办法规定的行政处罚,市区范围内(萧山区、余杭区除外)由市公安局公共信息网络安全监察分局负责;各县(市)和萧山区、余杭区范围内由各县(市)公安局和萧山区、余杭区公安分局负责。
第四十一条 对违反本办法规定的行为,涉及其他有关法律法规的,由有关部门依法予以处罚。对违反治安管理行为的,依照《中华人民共和国治安管理处罚条例》的规定给予处罚;构成犯罪的,依法追究刑事责任。
第四十二条 行政机关工作人员违反本办法规定,玩忽职守、滥用职权、徇私舞弊的,由其所在单位或有关部门按照有关规定给予其行政处分;构成犯罪的,由司法机关依法追究刑事责任。
第六章 附
则
第四十三条 计算机信息系统的保密管理,按照国家有关规定执行。
第四十四条 市公安局可以根据本办法的规定,制定相关的实施细则。
篇8:内蒙古农业大学计算机信息系统安全管理办法(试行)
关键词:计算机,信息管理系统,安全对策
0 引言
计算机信息管理系统即以计算机为主要工具,通过对数据的收集、存储、分析和处理,最终获取管理人员所需要的信息的系统,随着“大数据”时代的到来和市场竞争机制的不断落实,人们对计算机信息管理系统的重视程度逐渐加深,但与此同时计算机信息管理系统自身的安全性问题逐渐突显,如何在充分挖掘其信息管理优势的同时抵制信息风险,成为现代经济发展、社会稳定都急需解决的问题。
1 计算机信息管理系统中存在的安全问题
1.1计算机信息管理系统受到外界破坏
由于现阶段计算机信息管理系统的应用范围逐渐扩大,信息自身所具有的价值逐渐提升,对社会的影响越来越大,所以部分人员受利益的驱使,利用非法的程序对计算机信息管理系统进行入侵破坏,例如现阶段较常见的政府有关机构电脑信息管理系统被攻击,官方的主页或网页受到恶意的篡改,部分系统被严重破坏,主页中恶意添加不良信息,甚至直接造成网站的瘫痪,直接给机构名誉构成影响,当经济、军事、等领域的计算机信息管理系统受到外界破坏时将直接威胁经济的持续发展、市场的供给平衡、社会的稳定,可见计算机信息管理系统虽具有有效处理信息的功能,可以为企业的发展决策、政府的战略安排等提供有价值的依据,但自身的信息如果受到外界的恶意破坏却得不到有效的控制,将会带来巨大的灾难[1]。
1.2 计算机信息管理系统自身存在缺陷
由于计算机信息管理系统自身处于逐渐完善的过程,所以其必然存在不足之处,而部分不法分子会利用其因不同阶段的技术不全面而出现的漏洞,对计算机信息管理系统进行非法入侵,并在此基础上利用计算机远程控制系统,对计算机进行非法操控,例如直接将计算机内部有用信息,如电子邮件、文件夹、网络资料、网页资料等进行恶意删除、篡改、备份等,计算机内部这些信息在被删除后恢复的难度非常大,将会直接侵害使用者的合法利益,甚至对其造成经济、名誉等方面的威胁,当计算机内部的系统资料被恶意破坏后,计算机的正常运行将无法保证,所造成的后果更加不堪设想。在此过程中,如果计算机使用者在网络浏览信息或数据传输的过程中,如果操作方式存在失误,致使网络信息漏洞被提前预留,也会加大计算机被攻击的可能性,所以计算机信息管理系统自身存在的缺陷也包括操作者的技术缺陷。
1.3 计算机内含有病毒
计算机信息管理系统的破坏程序不仅具有针对性,而且具有较强的传播性,这致使信息管理系统受威胁的概率极大的增加,现实生活中部分人员会将黑客设计的病毒程序从网络上直接下载,并利用个人或其他计算机将病毒程序安装在网络结点上,使其对计算机系统进行攻击和大范围的扫描,直接导致计算机的运行速度降低,如果得不到及时的发现和治理,将会致使计算机的正常运行无法保证,现阶段针对病毒传播的安全技术和管理对策相对较多,例如计算机防火墙、各类杀毒软件等[2]。
1.4 计算机信息管理系统软件自身存在较大的制约性
计算机信息管理系统在设计的过程中添加了部分安全管理软件,但由于现阶段对计算机软件质量管理制度相对不完善,管理力度不强,导致安全软件质量参差不齐,并不能够满足计算机信息管理系统的实际需求,特别是部分应变能力较差、适应范围较狭隘、兼容性不强、对病毒的抵抗和防御能力较弱的安全软件,在计算机信息管理系统中的应用,更是加大了其信息被威胁的概率,在短时间内计算机信息管理系统安全性对软件的依赖程度并不会明显的缩减,所以提升安全软件的应用性能,加强对安全软件市场的有效管理是计算机应用推广的必然选择。与此同时,计算机信息管理系统的操作人员在日常应用的过程中也应提升个人的安全意识,纠正可能造成安全软件性能缩减的操作习惯也是必然选择,例如某些操作人员将反信息录入和反信息输出功能设置于计算机信息管理软件中,这就极大地缩减了软件自身的安全管理性能。
2 计算机信息管理系统安全的对策
2.1 通过设计完善计算机信息管理系统
信息系统网络运行的质量和网络安全直接关系到计算机信息管理系统的安全性,所以在设计的过程中必须充分考虑两方面,制定多项实际方案,并结合网络实际状况进行对比分析,从众多方案中选取最优方案,以此降低系统安全被威胁的可能,例如在设计的过程中要保证网络设备业务处理能力具有一定的冗余空间;利用vlan或协议隔离,实现重要网段与其他网段之间的区分;将安全套接层协议SSL设定在传输层和应用层之间,通过其建立安全机制提升计算机信息管理系统的安全性。除此之外,由于互联网自身存在较大的局限性,其在利用网络进行信息传输的过程中很容易被不法分子窃取盗用,所以在设计的过程中应添加逻辑分段和物理分段对系统内部信息进行安全控制和威胁防范,所谓逻辑分段即程序设计过程中的数据分段,其在8060 程序中,可以设计成用于存放程序的代码段CS,用于存放数据的数据段SS和附加段ES,以及用于存放暂存数据和现场保护数据的堆栈段SS;由于物理地址等于段基址的十六倍与偏移地址的和,所以在物理地址形成的过程中,CPU的段基址在以代码段为依据的同时,增添IP16 位偏移地址;而堆栈操作中,以数据段和堆栈段为依据,而偏移地址由堆栈寄存器和基数指针寄存器决定,其物理地址为数据段和附加段的寄存器与16 位偏移地址共同组成;通过此种设计将有效的避免信息在传输的过程中被恶意的截取,有效的提升计算机信息管理系统的安全性[3]。
2.2 加大对计算机信息管理系统的安全管理力度
首先,在现有的技术水平的基础上加强对计算机信息管理系统的权限控制、属性特征健全、技术服务升级等,实现模块功能的强化,是提升计算机信息管理系统安全性的重要手段,所谓权限控制,即对计算机操作者范围及其在计算机中的操作权限进行严格的设定,只有具有操作权限的人才能够直接对计算机部分资源进行访问或操作,例如现阶段应用较广泛的PKI认证技术,就是计算机使用者通过数字证书获取与计算机相互映射的相关证明;生物验证技术通过人脸、脸部的热量图、指纹、手形、手部血管分布、虹膜、视网膜、签名、语音等计算机使用者特有的生理特征和行为特征进行识别等,通过强制性的认证手段,使整个计算机信息管理系统的安全性更有保证;而计算机信息管理系统的属性特征应包括信息的发送者、接受者、信息通道、符号体系和支持条件,缺少任何一个要素都会为导致系统存在漏洞,所以对其属性特征进行不断地健全,是提升其安全性的重要途径;与此同时实现帮助人员分享和分析数据、满足不断增加的用户期望、挖掘最大化现存系统的价值、对数据流有效管理、增强服务基本架构的可靠性和有效性,使服务模块能够灵活满足不同应用独一无二的请求,能够覆盖从简单到复杂的各种场景,对各种开发环境综合适应的服务模块升级也是提升系统安全性的有效措施。
其次,为了抵制不法分子对计算机信息管理系统的恶意访问,使计算机信息的输入和输出得到有效的控制,应积极安装防火墙,防火墙作为处于内部网络和外部网络之间的网络安全系统,可按照特定的规则,对通过的数据进行允许或限制,现阶段比较常用的NETEYE、NETSCREEN、TALENTIT等都属于具有安全操作系统的防火墙,现阶段防火墙的主要类型有网络层防火墙、应用层防火墙、数据库防火墙三种,所有处于内部和外部网络之间的网络数据流都必须经过防火墙,而且只有符合安全策略的数据流能够顺利的通过防火墙,所以防火墙自身具有非常强的对攻击的免疫力,特别是应用层防火墙其防护能力更加全面、细致,而数据库防火墙受其功能限制,具有非常强的对数据库恶意攻击的阻断能力,由此可见,积极利用防火墙技术,是保证网络安全和数据库安全的重要手段,但在实际应用防火墙技术的过程中要注意定期的审查和更改,以免因计算机服务范围的变更造成安全隐患。
2.3 建立计算机信息系统的管理体制
计算机信息系统的管理体制的建立是希望通过规范化的管理避免系统出现内部或外部的故障,导致影响信息安全的因素出现,其一方面包括对系统日常运行的维护,保证系统自身数据处理、电子文档管理、语音处理等功能的正常发挥,通过日常维护为系统的修改、重建、评价提供依据;一方面是在日常应用中要利用杀毒软件对计算机内部可能存在的病毒进行查杀,并定期对杀毒软件进行升级,保证其查杀范围得到不断的扩展,满足实际需要;一方面是在安装操作系统或应用软件后及时安装补丁程序,对重要的信息进行及时的备份,借助系统工具或专用工具防止端口扫描,或借助蜜罐技术,将网络攻击的操作转移到预设的虚假对象,提升计算机信息管理系统对漏洞攻击的防御能力。
除此之外,要注意对系统进行标准化建设,例如代码体系、信息格式、系统模式、描述工具、系统建设阶段划分的标准化建设,使数据采集、检验、录入都全面科学,例如日常例行的操作、日常运行状况的记录、运行结果的分析、运行安全性的管理等,在此基础上,实现对系统自身维护文档和软件配置的有效管理,使计算机信息管理系统的配置运行、安全性、以及信息网络管理员的培训等都得到保证并有序进行,现阶段我国计算机信息管理系统并未确立全面的应用管理体制,而且组织领导工作相对不足,基础数据的准备和更新相对滞缓,而且人员培训相对不全面,致使管理机制落实存在困难,所以结合问题进行有针对性的加强或避免,是计算机信息管理系统安全性提升的必然选择,使计算机所处的外部环境能够满足计算机运行的实际需要,内部环境规范合理,例如,计算机设备在正常运行的过程中,其会通过地线、电源线、信号线、寄生电磁信号、谐波等向外辐射电磁信号,而这部分电磁信号如果被接收、提取、处理,可以对原信息进行全面、真实的还原,直接造成信息泄露,而通过全面的管理体制的建立,可以提升电磁泄露的处理能力,进一步保证计算机信息管理系统的安全。
2.4 落实计算机信息管理系统的保密工作
做好保密工作最主要的途径是利用加密技术,其工作原理是利用技术手段使较重要的数据转化成乱码进行传送,在其到达传送终端后利用相同或不同的技术手段将其还原,由此保证信息在传输过程中的安全性,由此可见加密算法的实施主要取决于加密算法和密钥两种因素,加密算法即把普通可读的文本与数字相结合,使其转化成不可理解的密文的环节,而密钥则是对信息进行编码和解码的具体算法,现阶段比较常用的加密技术有对称加密和非对称加密两种,所谓对称加密即信息传输的双方拥有相同的密钥,而非对称加密即信息传输双方拥有不同的密钥,而且其中一方面的密钥可以公开,两种加密技术都存在较复杂的加密算法,所以解密难度较大,有利于计算机信息管理系统的保密。除此之外,在计算机信息管理系统运行过程中应注意对其信息收集、分析、整理、处理过程的管理,避免因人为原因而造成的信息外泄现象的发生,也是其信息保密工作的重要组成部分。
3 结论
【内蒙古农业大学计算机信息系统安全管理办法(试行)】相关文章:
内蒙古自治区电梯安全管理办法05-20
内蒙古自治区突发事件预警信息发布管理办法(精排版)06-30
内蒙古自治区公共安全技术防范管理条例07-31
内蒙节能计算报告书07-12
解读新《内蒙古道路交通事故损害赔偿项目和计算办法》四大特点06-29
内蒙古自治区今冬明春传染性非典型肺炎防治技术方案(试行)(内政办05-30
复旦大学危险化学品安全管理规定(试行)07-08