计算机操作及信息安全(精选9篇)
一、目 的
明确办公类信息设备、耗材的采购、管理、维护、保密、病毒、报废办法,确保集团电脑、网络的有效运行及集团信息化建设的持续改进。
根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》《计算机病毒防治管理办法》和其他法律、行政法规的规定,制定结合集团信息网络安全计算机使用、操作管理制度如下。
二、职 责
(一)信息技术部负责集团计算机、网络的维护和管理。
(二)使用、操作计算机者应负责计算机及周边设备的使用、卫生清洁。(三)信息技术部负责所需设备的购入。(四)设备使用人负责保管、清洁、日常维护
三、细 项
第一条 采 购
(一)部门因工作需要,需新增办公设备(电脑、打印机、扫描仪等)或更换办公低值易耗品(墨盒、碳粉、软盘、光盘等),部门应提交购买申请计划,由部门主管审核,交中心、事业部总经理进行审批,审批后进行购买。
(二)维修类采购。部门打印机、电脑等出现故障,需外购配件或外协维修,由信息技术部提交申请计划,经部门主管审核,中心、事业部总经理审批,对于需外送维修站进行检测、付费维修的服务器及周边设备由运维主管进行,送修前须进行请示,得到批准后方可进行。(三)计算机等设备购入后,由运维主管进行验收,验收合格后将随机资料收回。由运维主管负责将本机器有关信息登记,并对本机器进行标识。登记时,应确保保修卡/证书、驱动等关键资料的完整。购机发票须行政部登记并留复印件。
(四)部门新增电脑、打印机、扫描仪等设备后,需提交经部门主管审核的
操作员名单,行政部负责对新增设备的标识。
第二条 管 理
(一)计算机使用、操作者应负责该计算机及所附周边设备的管理使用。应落实计算机管理责任制,谁使用谁负责。
(二)对新增计算机进行标识。要求对新增计算机操作人员应熟知集团计算机相关规章制度,明确操作注意事项,确保计算机及周边设备得到规范、合理使用。
(三)部门领导应赋予操作员相应的管理权限。任何人未经操作员同意,不得使用他人的电脑。
(四)操作员负责所辖计算机及配套设备的日常使用、清洗、保养、管理工作,确保完好无损,并保持设备及其所在环境的清洁。下班时,务必关机,服务器除外;凡违反本规定的一次考核0.5分。(五)操作员必须妥善保管好自己的用户名和密码,严防被窃取而导致泄密。应设置开机密码、屏保密码。此密码由使用者自己设置和保管:凡违反以上规定者考核3分。
(六)电脑、打印机等变更使用部门时,需提交变更申请,并经原所在部门及转入部门领导同意,行政部审批,批准后方可办理变更,变更时应由运维主管进行;
(七)电脑使用中产生的业务数据、工作文档,应妥善存储在非系统盘中(系统盘一般为C盘)。关键数据、文档应做备份,备份可据情选择U盘、异地等备份方式;违反规定者考核1分。
(八)严禁将大头针、曲形针、饮食等物品放在计算机设备上,严禁将磁性物质放在计算机附近。违者按照检查记录,考核当事人1分,对造成设备损坏的由责任人全额赔偿。
(九)不得在计算机主机设备存放箱内放置其他杂物,以免影响机箱的通风。违者按照检查记录,当事人考核1分。
(十)开启和关闭机器设备必须间隔1分钟以上,防止产生的瞬间电流对设备造成损坏,违者按照检查记录,当事人考核分0.5分。(十一)禁止任何人在计算机上做与业务无关的事,特别不准私自上网、打游戏等,一经发现由运维主管上报中心、事业部总经理,考核5分。
(十二)禁止任何人未经运维主管同意的情况下,擅自改动原机器的参数或拆动机器,违者按照检查记录月末考核时每次考核当事人分5分。
第三条 禁 止
(一)未经许可,任何人禁止更改计算机IP地址;禁止擅自修改机器配置文件、计算机参数(如:计算机名称、组件、参数等);违者考核扣1分
(二)禁止安装与工作无关的软件(游戏、股票、聊天等软件),特殊情况除外;违反本规定考核0.5分。
(三)禁止使用计算机浏览娱乐性内容、网络视频、非法网站,工作时间禁止闲聊天;违者扣0.5分。
(四)除运维主管外,任何人未经许可,不得随意拆卸所使用的计算机或相关的周边设备,对于擅自拆卸或更换内部配件的,将追究责任人及部门领导的责任;违者考核5分,并考核中心、事业部总经理5分。(五)未经许可,任何人不得安装有可能会给集团知识产权纠纷的各种软件,由此引发的各种问题由个人负责。
(六)违反以上规定者,按情节轻重给予不同程度处罚,严重者将报请集团领导,给予当事人及部门领导严重处罚。
第四条 联 网
(一)个人需要需联网时,部门需提交联网申请,信息技术部审核,战略发展中心总经理审批。
(二)信息技术部运维主管负责审批后的联网接入实施。第五条 维 护
(一)电脑发生故障时,使用者做简易处理仍不能排除的,应立即告知运维主管。
(二)运维主管负责集团计算机及周边设备、网络的维护管理及其他相应的
软件维护管理。
(三)运维主管负责责任范围内计算机、网络故障排除及管理。
(四)运维主管在对操作系统进行重新安装时,计算机操作员应配合运维主管,将原系统内的关键数据、文档进行备份,确保数据无遗失,若因配合不到位导致数据遗失,所有损失由计算机操作员承担。(五)运维主管每月对计算机杀毒一次,并检查标识完整性。(六)对重大电脑软件、硬件损失事故,集团列入专案调查处理。(七)外请人员对电脑进行维修时,运维主管应自始至终地陪同。(八)UPS只作停电保护之用,在无市电情况下,迅速作存盘紧急操作;严禁将UPS作正常电源使用。
(九)凡因个人使用不当所造成的电脑维护费用和损失,酌情由使用者赔偿。
第六条 保 密
(一)不同密级文件存放于不同电脑中。
(二)设置进入电脑的密码。
(三)为保密需要,定期或不定期地更换不同保密方法或密码口令。
(四)经特殊申报批准,才能查询、打印有关电脑保密资料。
(五)电脑操作员对保密信息严加看管,不得外泄、私自传播。(六)禁止泄露、外借和转移专业数据信息。第七条 病 毒
(一)因安装集团购买的公安部颁布批准的电脑杀毒产品。
(二)未经许可,任何人不得下载来历不明的软件使用,防止病毒传染,违者考核0.5分。
(三)凡需使用移动存储器设备复制、拷贝数据文件时,均须首先查杀病毒防止传染。
(四)电脑出现病毒,操作人员不能杀除的,须及时报运维主管处理。
(五)在各种杀毒办法无效后,须重新对电脑格式化,装入无毒系统软件。(六)建立双备份,对重要资料除在电脑储存外,还应拷贝刻录到移动硬盘上,以防遭病毒破坏而遗失。
(七)及时关注电脑界病毒防治情况和提示,根据要求调节电脑参数,避免电脑病毒侵袭。
(八)经远程通信传送的程序或数据,必须经过检测确认无病毒后方可使用。
第八条 报 废
(一)计算机设备已达使用年限,且经由信息技术部或维修站等单位检测,确实无法使用者。
(二)设备已达或未达使用年限,虽尚可使用,但因科技进步更新、速度运行过慢,或因维修费、升级费用过高,此种情形需报请总经理审批。(三)设备未达使用年限,出现硬件故障,但维修费用过高或无法购取相关配件者。
(四)因雷击、火烧、爆炸、水浸、腐蚀、摔压等事故造成计算机设备严重损坏,无法修复或一次性修复费用超过目前市场同类同档次计算机设备价格的50%。
(五)因技术进步,原有设备明显落后,功能过低,不能满足业务需求,不宜或无法使用。
(六)报废时,运维主管确认,行政部审核,由中心、事业部总经理审批,批准后,方可办理。《计算机及周边设备报废申请表》报废申请审批后,将该设备转交信息技术部,由运维主管负责管理,报废设备可利用部件作为维修配件,无利用价值部分,由职能部门进行变卖处置。
第九条 使 用
集团落实电脑管理责任部门和责任人,负责电脑管理的各种工作。未经许可,任何人不得随便支用电脑设备。未经许可,任何人不得更换电脑硬件和软件,拒绝使用来历不明的软件和光盘。如有需要使用外来光盘和U盘,需由运维主管进行检测方可使用。严格按规定程序开启和关闭的电脑系统。
(一)操作人员必须是本计算机使用人员,并经运维主管正式认可后,方可上机操作。
(二)操作人员登陆用友系统前应做好各项准备工作,尽量减少占用服务器站点,提高工作效率。
(三)操作人员的操作密码应注意保密,不能随意泄露,密码要不定期变更。(四)操作人员必须严格按操作权限操作,不得越权或擅自上机操作。(五)操作人员应严格按照凭证输入数据,不得擅自修改凭证数据(专职会计员,则应保证输入的数据与凭证数据的一致性)。如发现差错,应在输入前及时反映给财务主管。已输入计算机的数据,在记账前发现差错,可按凭证进行修改,如在记账后发现差错,必须另作凭证,以红字冲销纠正,输入机内,任何人不能随意修改账目。
(六)系统运行过程中,各操作人员如要离开工作现场,必须在离开前退出用友系统,以防止其他人员越权操作或长期占用系统站点。(七)集团鼓励员工使用电脑。在不影响业务情况下,员工应学习能熟练地进行电脑操作。
(八)对集团中心机房、使用网络、等高级电脑设备,则需经运维主管批准方可上机操作,并登记使用情况。
(九)集团禁止使用、传播、复制电脑游戏,严禁上班时间玩电脑游戏和登陆与集团业务无关的网站。一经发现,可直接上报总经理予以2分考核。
(十)集团鼓励员工开发电脑资源,提高集团决策和管理水平。
1.开机流程:
1)接通电源。
2)打开显示器、打印机等外设。
3)开通电脑主机。
4)按显示菜单提示,键入规定口令或密码。5)在权限内对工作任务操作。
2.关机流程:
1)退出应用程序、各个子目录。
2)关断主机。
3)关闭显示器、打印机。4)关断电源。
第十条 复印件、打印机管理
(一)复印机、打印机是集团的一项办公设备,由集团运维主管,由各前台财务行政负责人负责管理。
(二)为了保持复印机、打印机的使用寿命,未经负责人同意,各岗位人员不得自带纸张,或使用不符合规定的(有褶皱、低质量、与打印机不符)纸张进行打印。违者按照检查记录,每次考核当事人考核分1分。(三)复印机、打印机平台要平稳,环境要清洁,每日用完后最后使用人须用防尘布盖好,以免灰尘进入,违者按照检查记录考核0.5分。(四)在使用过程中,碳粉颜色变浅,应停止使用,报运维主管更换,不可过度使用,违者按照检查记录,考核当事人1分,若造成复印机、打印机损坏的,由操作人员照价赔偿。
(五)在使用过程中,色带颜色变浅、起毛、破损时,必须更换新色带,以免断针,违者按照检查记录,考核当事人0.5分,若造成打印机损坏的,由操作人员照价赔偿。
(六)在通电的情况下,不得随意插拔数据线插头、移动打印机,对违反操作的,考核当事人0.5分,若造成打印机损坏的,由操作人员照价赔偿。
(七)避免打印机在无纸状态下,空打打印机,若造成打印机损坏的,由操作人员照价赔偿
第十一条 财务数据备份
(一)由于会计核算数据的重要性,必须经常进行备份工作。
(二)在日常工作中,由信息中心总经理每周对U8服务器进行备份,以避免意外造成对工作的干扰。
(三)需要做备份的包括整个数据库的相关的数据文件。
(四)为保证备份数据的安全,备份盘必须由负责人存放在安全、洁净、防热、防潮、防磁的地方。
第十二条 财务系统使用管理
(一)为保证用友系统的安全可靠运行,必须对系统的操作使用做出严格的控制。
(二)在用友系统投入运行前,由系统管理员确定本用友系统的有权使用人员及操作权限,并报主管审核批准后在系统内授予其使用权限。运行中需要增减使用人员,按同样手续办理。
(三)对各使用人员明确划分使用操作权限,形成适当的分工牵制,健全内部控制制度。
(四)用友系统原则上专岗专用,谢绝无关人员使用他人账号做其他工作。(五)任何人员不得直接打开数据库文件进行操作,不允许随意增删改数据、原程序和数据库文件结构。
(六)出纳人员不允许对用友系统进行系统性的操作。
(七)操作人员应严格在规定范围内对系统进行操作,负责数据达到输入、运算、记账和打印有关账表。
(八)运维主管必须做好日常检查监督工作,发现不规范使用及时制止,并采取措施避免同样情况再次发生。
第十三条 文件管理
(一)各计算机必须使用不间断电源(UPS),以避免意外断电造成核算数据丢失影响系统运行。
(二)计算机禁止使用外来软盘,坚决禁止在计算机上玩游戏或登陆与集团业务无关的网站,以防止计算机感染病毒。
(三)有上、下级单位送来的数据盘,在使用前,必须做好查病毒工作。(四)计算机软、硬件发生故障应及时维护。如果没有能力维修,应及时与运维主管取得联系,以便及时解决问题。
(五)在设备更新、扩充、修复后,由运维主管报上级领导研究决定,并由网络管理员实施安装调试。
第十四条 财务操作
(一)负责本计算机的数据登录、数据备份和输出账表的打印工作。严格按照原始凭证做好数据输入操作,输入完毕进行自检对工作,核对无误后交审核员复核;在输入操作中,如发现输入凭证有疑问或错误时,应及时向主管反映,不得擅自作废或修改;发现输入数据与凭证不符时,应按凭证数据予以修正。(二)严格按照系统操作说明进行操作。
(三)注意安全保密,各自的操作口令不得随意泄露,备份数据应妥善保管。(四)系统操作过程中发现故障,应及时向财务主管报告,并由网络管理员检查维护。
第十五条 UPS管理
(一)为了避免负载在启动瞬间产生的冲击电流对UPS造成损坏,在使用时应首先给UPS供电,然后再逐个打开负载,严禁带负载开机,违者按照检查记录月末考核时每次扣发当事人绩效考核分1分。(二)电池放电深度越深,其循环使用次数就越少,因此在使用时应避免电池的深度放电。
关键词:计算机,系统安全,计算机系统漏洞
计算机软硬件发展迅速, 其价格成本也在不断的降低。现如今越来越多的家庭已经拥有计算机。在社会发展的每一个角落都有着计算机的身影。计算机网络的快速发展使得社会信息资源共享和社会工作分工合作已成为社会发展的必然趋势。各种数据信息通过网络在不同的计算机之间进行传输, 使得人们对于计算机系统安全的要求越来越高。本文主要从四个方面对计算机系统安全进行讨论。
1 计算机系统漏洞
计算机系统漏洞是计算机系安全的一个重要问题。漏洞的定义就是指计算机系统中存在的任意的允许非法用户未经授权获得访问或提高访问层次的软硬件特征, 是一种缺陷。它的主要表现有以下几种方式:物理漏洞, 该类漏洞由未授权人员访问站点引起, 他们可以访问那些不被允许的地方;软件漏洞, 该类漏洞是由“错误授权”的应用程序引起的;不兼容漏洞, 此类漏洞由系统集成过程中由于各部分不兼容所引起的;缺乏合理的安全策略。
计算机系统漏洞主要表现在操作系统、数据库、应用程序、开发工具等方面。当一个系统从发布的那天开始, 随着用户的逐渐深入, 系统中的漏洞就会不断的暴露出来。当脱离了具体的时间和系统环境是不存在任何意义的, 只有针对目标系统的系统版本、在系统上运行的软件版本及服务运行设置等各种实际环境才能够对系统漏洞进行讨论并找到可行的解决办法。同时还要制定合理的安全策略。
2 操作系统安全
操作系统是所有计算机用户都不可避免的都要接触到的东西。操作系统的安全性主要表现在文件的读写控制、口令认证、文件加密和用户管理等方面。
从Windows NT系统开始采用NTFS格式后对系统的安全性有所提高。Vista系统中引入了用户账户控制和最小权限策略的新技术。该技术要求所有用户在标准账户模式下运行程序和任务, 使用普通权限, 可以阻止未授权的程序的安装, 并可以阻止普通用户进行不当的系统设置。大大的提高了系统的安全性。同时在新的windows系统中还引入了其他的一些新技术, 例如对数据的保护引进了内核保护技术以防止任何非授权文件对系统内核的修改, 同时还采用了缓冲区益出保护, 可有效的防止利用缓冲区益处技术发动的攻击。此外还通过多种措施增强了系统的安全性。
在现有的系统中, UNIX操作系统具有良好的安全性。该系统的安全主要通过口令来实现。其口令仅仅存储在一个加过密的文本文件中, 要破解其口令需要的工作量十分的庞大。但该种口令会因为许多个人因素而变得更加的容易破解。在该系统的文件许可权是其系统安全的又一保障, 通过文件属性决定文件的被访问权限。然后是目录许可, 在UNIX系统中, 目录许可也是一个文件, 在目录文件中增删文件需要有写许可。在UNIX中还有两个安全策略, 就是设置用户ID和同组用户ID许可, 文件加密。用户ID和同组用户ID许可确定了用户的权限。在该系统中可以通过crypt命令对文件进加密。这一整套的方法构成了UNIX系统的安全性。
3 数据库系统安全
计算机信息系统中的数据组织形式有两种:一种是文件, 一种是数据库。数据库文件的保护主要由数据库管理系统完成。数据库的安全要求主要体现在以下几方面:数据库完整性, 例如物理完整性, 逻辑完整性和元素完整性;可审计性;访问控制欲用户认证;保密性与可用性。数据库面临的安全威胁主要有:篡改、损坏和窃取三种情况。除了各种恶意的威胁外, 数据库本身还有着不安全因素, 例如数据错误, 硬件故障或损坏, 缺乏完善的安全机制, 没有形成有效的管理模式和来自于网络上的计算机病毒等。
篡改指的是对数据库中的数据未经授权进行修改, 使其失去原来的真实性。其发生的主要原因有:个人利益驱动、隐藏证据、恶作剧和无知等。损坏指的是表和整个数据库部分或全部被删除、移走或破坏。其发生的原因有破坏、恶作剧和病毒等。窃取一般是针对敏感数据, 其手法除了将数据复制到软盘之类的可移动介质上, 也可以把数据打印后取走。其发生的原因有:工商业间谍的窃取、不满和要离开的员工的窃取、被窃的数据可能比想像中更有价值等。
加强数据库系统安全性的主要从以下几方面入手:加强数据库的访问控制;进行数据库加密;对数据库进行备份。为每一个用户分配其合适的访问权限, 让用户只能访问他有权存取的数据并执行有权的操作, 其手段有用户标识和认证、数据完整性检查、数据库并发控制、分级控制、敏感锁、安全过滤器。对数据库加密是放在数据库中数据在存储和传输中失密的有效手段。然后是放在各自不可抗力带来的安全威胁, 即对数据进行备份, 放在硬件损坏带来的不可恢复的损失。
4 用户程序安全
用户程序的安全性主要体现在程序的耗时性、死锁问题、程序的兼容性、程序的漏洞、程序的稳定性、病毒性及蠕虫程序。用户程序由于各种原因可能存在着个各种缺陷, 这些缺陷中有的是进行设计的时候或者是编程的时候逻辑不正确所留下的, 这些缺陷中有的是程序员无意识造成的, 有的是有意造成的。
在程序的开发过程中应该防止程序中出现具有攻击性的缺陷。程序设计要减少数据集的冗余性, 对数据划分敏感级, 防止敏感数据的间接泄露。要对代码进行审查, 防止代码中的逻辑错误所留下的缺陷。在测试的过程中要尽可能的确定程序的正确性和排除程序中的的安全隐患。
总之计算机系统安全要从多方面去考虑, 在网络世界中没有最牢不可破的计算机系统, 在平常的生活中我们只能够尽最大的努力让我们的计算机系统变得更加的可靠安全。
参考文献
[1]罗晓波, 李波, 徐良华.Windows Vista操作系统安全性技术研究[J].计算机工程与设计, 2008, 29, 4:807-811.
[2]高爱乃.浅析Windows Server2003安全策略[J].网络安全技术与应用, 2006, 10:71-73.
[3]刘永波, 谭凯诺.计算机系统安全综述[J].中国高新技术企业, 2010, 1:121-122.
[4]孙岩, 彭记永.Windows操作系统的安全性设置[J].河南气象, 2006, 4:79-80.
目前,国内外针对操作行为审计主要采用旁路镜像网络流量分析,分析的主要协议为诸如TELNET、FTP、HTTP等明文协议,然而为了对抗网络窃听,远程管理工具正逐步由明文协议转向加密协议,例如SSH已经基本上代替了Telnet的位置;Windows的主要远程维护工具远程桌面(RDP)也采用了加密协议。对于这些加密协议,目前主流的网络流量分析型行为审计系统都无能为力,只能望洋兴叹。新一代的网络安全产品——操作堡垒主机系统,不仅支持对明文的TELNET、FTP、数据库操作进行审计,也支持对加密的SSH、RDP等协议进行审计,消除了传统行为审计系统中的审计盲点,能够为信息安全保障体系建设提供全面的、完善的审计解决方案。
一、现有管理模式
为了系统安全,在安全策略中关闭了远程桌面等工具的运行端口,采用本地操作方式,在操作前使用工作票或操作票进行步骤记录与风险防范,在出现问题时按记录的关键操作步骤进行回退,如果记录步骤不详细的话,可能会导致回退困难。另外本地操作方式,人员频繁进出机房,对机房环境与安全带来一定的安全隐患。
二、审计堡垒系统概述
(一)系统架构
审计堡垒系统一般由三大模块组成:应用代理模块、协议控制模块、管理模块。
应用代理负责对各类操作协议进行代理转发,完成基本的通讯功能。
协议控制模块负责根据设定的规则对指定协议进行过程控制,主要完成操作指令还原、生成回放文件、阻断异常操作等功能。
管理模块主要功能为:为管理员提供管理接口,提供操作日志查询、回放文件查看、审计报表维护规则配置、系统自身维护等。
(二)系统功能
1、所有协议支持
审计堡垒系统支持基本的远程操作协议,包括:SSH、Telnet、Rlogin、FTP;常用图形终端远程操作协议:RDP、VNC、Pcanywhere、Radmin;主流数据库远程操作,包括DB2、ORACLE、MSSQL、INFORMIX、SYBASE数据库的常用版本。
2、操作日志查询和操作行为回放
针对上述协议,审计堡垒系统能够记录整个会话的完整过程,并形成指令日志及回放文件2部分审计数据,指令日志供管理员针对操作指令进行快速审计,回放文件可供管理员针对特定的会话进行完整操作审计。可以根据操作协议中的用户名、IP、端口、时间、操作指令、返回结果等等信息进行多重组合查询。管理员可以通过审计堡垒系统强大的检索功能对关心的事件进行迅速定位。
3、异常操作阻断及告警
操作堡垒系统可以通过规则定义异常及非法操作行为特征,一旦检测到这些异常的操作行为,系统将直接阻断此操作,并断开该操作的TCP连接,因而能够有效防止各类违规操作事件的发生。同时系统也支持对危险指令的告警功能,通过短信、邮件等方式将告警信息及时发送给管理员。
4、审计报表呈现
操作保垒系统的报表功能,对操作日志进行归并、关联分析,支持按天、星期、月、年等周期自动生成报表,也可以由管理员即时生成所需的报表。通过报表呈现及时了解网络操作行为明细,分析信息系统安全脆弱点,提供信息安全管理决策参考依据。
(三)部署方式
操作堡垒系统可以采用多种部署方式,充分满足不同网络对审计系统的需求。如支持Active-Active双机模式,避免产生单点故障而影响正常的维护通道。堡垒主机的部署应与网络访问控制列表、企业管理制度相结合,可以取得更好的审计效果。
透明模式:堡垒主机以桥接方式透明串入网络,此时主机维护人员依照原有方式进行服务器维护,堡垒主机将自动识别网络流中的操作数据并进行审计。
代理模式:堡垒主机只需要一个独立的IP即可。所有维护数据均通过此IP进行代理。维护人员只要登录该IP的指定端口即可直接访问到服务器,无须进行二次登录。
三、审计堡垒使用意义
(一)全面操作审计
操作堡垒系统不仅支持Telnet、FTP、Rlogin以及主流数据库(DB2、Oracle、MSSQL、Mysql等)远程访问协议审计,还提供SSH、RDP、VNC加密协议的审计支持;操作堡垒系统完整记录会话的整个过程,并形成会话日志和事件回放文件。消除安全审计盲点,全面审计网络操作行为。
(二)增强网络安全性
在代理模式下,通过堡垒主机的部署,网络中原来所有服务器都需要对外开放维护端口变为由单一的堡垒主机提供对外维护端口,减少了网络暴露,堡垒主机本身的安全性也大大高于服务器的安全性,因此,使用代理模式有助于增强网络安全。
此外,操作堡垒系统可以通过规则设定异常及非法操作行为,一旦检测到异常或黑客攻击性的操作行为,系统将直接阻断此操作,并断开该操作的TCP连接,因而能够有效防止各类违规操作事件的发生。
(三)规范人员操作行为
通过操作堡垒系统的部署,所有系统管理人员,第三方系统维护人员,都将通过堡垒系统来实施网络管理和服务器维护,对所有的操作行为,都做到可记录、可控制,审计人员通过定期对维护人员的操作审计,可以维护人员的操作规范性。
一、进入实训室前,要自觉用水洗手或触摸铁门等大块金属,以释放人体静电。
二、进入实训室后要在按组指定的工作台落座,严禁在室内大声说话和随意走动。
三、一切听从指导教师安排,严禁擅自挪动、拆卸设备。
四、注意操作安全,严禁用螺丝刀等实训设备对人玩耍。
五、认真听取教师讲解,仔细观察教师演示,并做好必要的数据记录。
六、小组成员要人人动手、齐心协力,共同完成实训任务。
七、拆装部件要细心谨慎,部件和工具要按要求摆放,拆卸的螺丝要放入螺丝盒内,严禁碰撞部件,严防部件失落撞地。
八、注意用电安全,通电开机前,一定要得到指导教师的检查并许可。
九、对违规操作所造成的部件损坏,由操作者按价赔偿。
十、实训完成后,要清洁、整理工作台面,并将所有部件、工具复位。
十一、实训机房一切物品,未经许可不得私自拆装和拿出室外,违者批评教育并作盗窃公物处理。
试题单
试题代码:1.2.1
试题名称:完成Sql Server中默认NorthWind数据库的备份和维护
规定用时:20分钟
1.操作条件
Sql Server 2000,并安装有默认的NorthWind数据库
2.操作内容
(1)备份Sql Server默认的NorthWind数据库,并选择完成后验证备份选项,并将备份文件存为northwind.bak放在非系统盘上C:sqlbak下。
(2)制定NorthWind数据库维护计划:
a.计划包括每周一0:00点检查数据库的完整性
b.每周二23:00点完全备份数据库,并使用默认备份目录。
c.每周三3:00备份数据库的事务日志,备份文件存放在C:sqlbak目录下。
3.操作要求
【摘要】随着手机、计算机网络规模的不断扩大,网络本身的开放性、多样性使得军事信息安全威胁无处不在、无时不在,网络空间信息的控制与反控制、窃密与反窃密的 日益激烈。本文从强化官兵的军事信息安全意识、构筑军事信息安全防护体系两个方面进行分析。
【关键词】军事信息安全;全维一体;军民融合 审视当前风起云涌的世界信息技术,我军正面临着军事信息安全的现实危险,如果我们的军事信息安全工作做不好,信息化建设将是空中楼阁,即使它再华丽,遇到战争也会瞬间倒塌。因此,追踪世界信息发展前沿技术,高起点构筑具有我军特色的军事信息安全防护体系,是赢得未来战争胜利的重要前提。
一、强化官兵的军事信息安全意识
信息化、网络化已成为当今时代的重要特征。信息化社会下,一个国家已经高度依赖网络,从社会重要职能部门的大系统,到一个企业的小系统,甚至 的个人都离不开网络。而一个国家对别国网络的攻击,就像对人的神经系统的杀伤一样,能够导致一个国家彻底瘫痪。因此,有人提出,要把军事信息系统安全建设提高到“两弹一星”的高度去认识,这并不过分,因为它从根本上关系到 系统的安全。
(一)构建头脑中的“防火墙”
未来网络战的实质是“信息攻心”,动摇敌对国国民的意志、士气及散布本国意识形态、建立文化壁垒等重要内容。这就要求我们增强
防范意识,使广大官兵认识到,网络并非绝对安全,网络威胁就在我们身边;信息不是无法保密,而是我们没绷紧网络信息安全这根弦。要更新保密观念,牢固树立“对党忠诚、严守机密”,从思想上主动预防被动泄密、无意泄密,从我做起、从现在做起、从点滴做起,学会“带着锁链跳舞”,保证自己不成为“跳板”和“后门”。
(二)把人放在信息安全首位
人是一切活动的中心,军事信息安全也是如此,其核心是人,在 信息安全管理中,要以广大官兵为主体,依靠官兵的集体力量,搞好信息安全防护,管好信息资源。要不断提高官兵的保密意识,约法申令,加强保密荣辱观教育,筑牢防间保密思想防线。要加强信息安全技术培训,使广大官兵了解掌握必须的信息安全知识,提高官兵的自觉防护能力。
(三)树立全维一体的信息观
加强信息安全建设,必须突出信息系统的主导地位,树立全维一体的信息观。构建纵横贯通、上下联接,涵盖各个作战单元、不同作战要素的全维信息网,打破各类“烟囱”和“壁垒”,夯实体系能力生成的基础。目前,加强我军信息系统建设可从顶层设计入手,坚持统一规划计划、统一技术标准体制,提高信息系统建设的实效性、适用性,提高体系作战能力的整体效益。应充分发挥现有装备的效能,重点加强各类要素相互衔接的关键部位建设。
(四)加强信息安全组织领导
要注重从增强信息化条件下作战能力入手,把信息系统安全能力建设纳入党委工作,实行主官负责,强化责任,凸显使命,以主要领导的介入与关注,推进信息系统安全建设的有效落实。要坚持以领导为关键,形成信息系统安全能力建设的组织合力。正确认识信息系统使用的利弊因素,妥善处理风险与效益矛盾,树立起积极防护的观念,在运用中不断增强防护能力,不可因此而影响信息化建设,制约信息作战能力生成。
二、构筑军事信息安全防护体系
军事信息安全作为 建设的重要内容,必须着眼军事 形势变化和使命任务拓展,按照“应对多种安全威胁、完成多样化军事任务”的需求,牢固树立与信息时代相适应的安全观念,坚持用科学发展的思路解决前进中的问题矛盾,构建科学的安全防护体系。
(一)开发完善信息安全系统
要加大软件开发建设力度,建立建全作战数据库,尤其是加大应用软件开发、作战数据搜集整理和信息网络维护投入,积极开发情报信息融合、分析判断、辅助决策和指挥控制等应用软件,提高信息系统的整体效能。进一步统一全军网络信息保密技术体制,组织专门力
量集中开发信息加密、访问控制、防火墙等具有我军自主知识产权的安全防护技术,建成覆盖全军计算机网络系统信息生成、存储、处理和传输全过程的网络安全保密体系,实现信息保密、完整、可用。
(二)建立建全信息法规制度
近年来,我军根据国家有关信息安全的法规、政策,以及军事 准备的需要和军事信息网络的特殊性,相继制定了一系列信息安全保密法规和制度,使信息安全建设与管理有法可依。但受管理体制和管理权限等的制约,相关的信息安全法规大都侧重于本系统或本行业,缺乏整体论证。因此,应进一步完善相关法规建设,以法规的形式从整体上规范信息系统安全与设计、研制、生产和运用等各方面的关系,统一建设步调,规范约束行为,尽快形成具有我军特色、适应信息化建设和未来战争需要的统一的信息安全标准体系,确保信息系统在全寿命的管理运用中信息安全与其他事宜良性互动,为信息化建设创建一个正规有序的良好环境。
(三)统一军事信息安全标准
军事信息安全系统广泛应用值勤、训练、教学、作战等各个方面,是信息安全保障体系的基本设施。为确保信息与信息系统安全,在军事信息系统建设上要按照统一的标准进行。目前,我国计算机芯片还主要依赖进口,急需制定统一的网络信息安全标准。因此,要结合我军信息网络建设的实际情况,吸取国外先进经验,尽快制定一套我军军事信息系统安全标准,使信息管控有据可循。要建立与总部、其他各军兵种之间的互联互通、高效顺畅、综合一体的指挥控制体系,明确责任、理顺关系,防止各自为政、部门保护、互联不畅等问题。要建立与完善军事信息安全风险评估规范标准,对重要军事信息系统按照统一标准,实行定期的自主性评估和强制性评估,确保军事信息系统安全可靠运行。
(四)建立有效的内部监控机制
据国外统计,外部入侵 占到所有信息安全 的20%-30%,而70%-80%的信息安全 来自于内部,而且内部人员犯罪难抵御、难发现,除了采用数据加密、分级使用等措施之外,还要建立新机制来进行有效监控。要创建实用的自动系统响应功能。针对内部人员能够在片刻之间,造成对信息的巨大破坏,必须在极短时间内监测到安全。要开发信息数据关联工具。为监测内部潜在的或已发生的信息安全,应把多种源头的信息数据进行关联分析,并及时捕获和存储发生的信息安全 的相关数据,这样可以对下一次信息安全 作出快速反应。
(五)进一步优化好体制编制
坚持从信息系统安全管理实际需要出发,进一步优化好体制编制,界定好上级与下级、行业与区域、职能部门与非职能部门之间的相互关系,设计好统管与分管,特别是要统筹好建设、使用、加密与保密管理等单位之间的关系,切实从组织行为角度定好管理机制,以组织机构和规章制度的科学建立,从根本上解决信息系统安全管理政出多门、规章打架、责任不清等问题,减少内耗,使科学管理真正有效地
落到实处。
(六)加强军事信息安全考评
按照用什么、建什么就评什么的原则,基于信息安全能力构建评估内容,推动信息安全建设有效落实;加强考评风气建设,严格执考,公正评判,落实评先争优与问责惩处,树起良好的信息安全建设导向。形成氛围机制。在充分认清信息系统安全重要性的基础上,要注重通过法规的杠杆作用,进一步营造抓信息系统安全的浓厚氛围。
(七)加强军事信息安全管理
安全防护系统本身的特性决定了其只有被正确维护管理和使用,才能充分发挥其效能。在宏观上要加强重要方向、重要部门和重要单
位和军事信息安全管理,并在相关政策及人力、物力、财力和技术支持上,给予一定的倾斜;在微观上,要加强人员、重点部位、重点环节和重点路径的军事信息安全管理,如雷达站、通信枢纽和计算机网络节点等,确保军事信息在接收、发送、处理和储存等环节上不出问题,从而在宏观上全面提高信息安全管理水平。
(八)开展有效的检查督促工作
信息网络安全最关键、最核心的因素是人,网络堡垒最容易从内部攻克,实现对人员的有效管理、提高官兵的信息素养,是当务之急、重中之重。要在坚持到实地、查实情、办实事、抓落实,多做工作、早做工作、做细工作,扎实有效地开展检查督促上做足工夫。检查中,既要查保密组织是否建立,更要看是否履行了职责。既要查保密设施设备是否配齐,更要看是否发挥了作用;既要查规章制度是否健全,更要看贯彻执行的情况如何。同时,在检查中发现问题后,要加强“跟踪问效”,把问题隐患消灭在萌芽状态;要严肃惩处,消除部分官兵存在的“违规了,但没有泄密,不会受处分”的侥幸心理,确保军事信息安全工作得到真正落实。
三、结束语
1、企业计算机管理应用的几个方面
根据目前我国的企业管理水平,企业的计算机管理主要有以下几个方面:
1.1 利用计算机进行各种文字处理工作
近几年来,计算机汉字处理技术飞速发展,不但速度极快、修改便捷,而且字体整齐、打印质量高,完全没有传统书写文件字体多样、不方便阅读的弊端,很快就到了迅速的推广,在企业中也得到了广泛的应用。
1.2 利用计算机对数据进行汇总处理
计算机有着强大的数据处理能力,在企业管理中,通过相关的软件就可以把录入计算机的数据迅速进行相应的汇总,并可以根据需要进行一定的图表化处理,十分直观而简洁,避免了人工测算统计工作量增加、容易出错的弊端。
1.3 利用计算机储存大量资料
利用计算机能储存大量的企业资料,而且能分门别类的保存,可以很容易的寻找到,十分有利于管理,节约了空间,节省了人力,减少了企业的开支,减轻了企业的负担。
1.4 利用计算机搜索相关资料
计算计是一部无穷无尽的天书,有着丰富的浩如烟海的资料,利用计算机的搜索功能,我们可以迅速的寻找到各种各样的资料,尽快得到市场信息,为企业的办公人员提供了极大的方便,为企业做出决策也提供了参考资料。
1.5 利用计算机进行会计工作
计算机把财务工作带入了会计电算化时代,计算机能够高速度、高准确率的把会计按格式输入计算机的数据处理完成,有效解决了以前人工操作处理数据效率低下、错误频出、工作量巨大的缺点,使会计人员在繁重的工作里解放出来,会计的工作效率迅速提高。
1.6 利用计算机实现数据和设备的共享
在企业里,利用计算机把数据和设备共享后,加速了部门之间的信息传递,减少了企业的设备支出,重复性工作大量减少,工作效率显著提高。
1.7 利用计算机提高档案管理的效率
企业利用计算机进行档案管理,一是建立专用档案库,二是开发企业自用的档案管理系统,可以减轻档案管理工作的高强度劳动、快速查询、提高工作效率、提升案卷质量、使档案目录编制更加规范、提高编制速度、延长档案使用的寿命、直接查找需要的资料、可以把档案打印出来给查阅者、与其它部门联网后还可实现资源共享与交流,利用计算机进行档案管理已经成为档案管理现代化的一个重要方向。
2、加强计算机网络信息安全管理刻不容缓
2.1 企业计算机信息安全管理现状
目前,许多黑客对网络的攻击都是相当致命的,能够迅速传遍世界上的每一个角落,导致计算机系统及网络瘫痪,因此,企业必须要加强计算机的信息安全管理。
2.2 对企业计算机信息安全管理形成威胁的几个因素
一是受到了病毒的攻击。这会使计算机机器系受到感染,使正常的流量受阻,使计算机网络无法正常运行。二是非法用户利用软件原本就有的安全漏洞来盗取和破坏用户信息。三是因为计算机管理人员责任心不强导致泄密现象发生,造成信息丢失。
2.3 全面加强计算机网络信息安全管理的方法
(1) 完善相关法律法规, 不断规范网络空间秩序
制定网络空间秩序的相关法律法规,明确网络使用者必须要给予承担的相关法律和道德上的责任,并严厉打击各种网络犯罪。
(2) 想尽千方百计,对入网的访问进行严格控制
要牢牢把住入网访问控制的大门,对用户的账号、口令都要做出极为严格的各种规定,使其尽可能的复杂些,隔一段时间就要进行更新,最大限度防范的不良居心者的盗取,卓有成效的控制住用户的非法访问,使用户使用信息的安全得到有效增强。
(3) 科学、合理的充分使用防火墙技术
目前,计算机的防火墙能够对进进出出的网络信息进行有效的监督控制,只是让那些得到核对批准的、十分安全的信息顺利进入,那些存有不安全因素的信息则被毫不客气的拒之门外,十分有效的保障了企业网络安全。
(4) 全面应用安全加密和安全监测技术,并使用备份系统
完善的对称加密和非对称加密技术为企业的信息安全提供了保证,而入侵检测技术的应用则能对网络活动进行随时监督测试,使网络系统很快就会发现攻击现象,使系统管理员迅速作出反应,而对系统进行备份后则能全盘恢复计算机的数据和信息,对企业信息在各种不正常的情况下起到一个保护作用,等于为计算机准备了一个“备胎”。
3、企业中的网络管理
所谓网络管理,就是指对网络系统而进行的各种管理,可以分为局域网管理和城域网管理及广域网管理,一般而言,在企业里指的是企业局域网系统的管理。网络系统不但包含网络操作系统,还包括了网络里的软硬件,而网络软件就是网络的操作系统、管理软件和工具软件;网络硬件则说的是路由器、交换机、服务器工作站等等。
企业网络管理员就是那些在企业里能使用网络软件在网络硬件上顺利完成各种企业网络的正常工作的人,他具有的十分丰富的专业知识、聪明灵活的敏锐头脑,能够在网络故障发生时根据现场情况进行迅速的判断,并把错误及时排除掉。
正所谓“知己知彼,百战不殆”,要想成为一名企业里合格的网管,在进入这家企业之后,首先要对企业里的网络情况进行一个全面的了解,做到胸有成竹,才能在下一步的工作中游刃有余,以不变应万变,从容面对各种网络工作。比如,网络管理员要知道企业网络终端机和服务器的数量、详细的网络构建方式、局域网里是否使用服务器、企业系统的工作性质、网络中是否有共享资源及实现共享的方式、企业财务部门的电脑是否连接在整体的网络中、企业财务系统使用软件的种类、网络防止黑客侵袭和病毒进入的方式、终端机用户是否允许登录INTERNET、功能是否受限、终端用户是否可以使用外接储存设备、是否有防毒措施、网络里如何管理共享打印机、传真等各种设备,等等,了解了这些企业网络信息后,就为顺利开展工作奠定了坚实的基础,有了一个良好的开端。
在互联网技术一日千里、层出不穷、时有更新的今天,如果只是靠着当初在学校里学习的那些知识显然是无法应对的,即便是科班出身,正儿八经的计算机专业,如果不继续学习,终生学习,恐怕也很难成为一名合格的网络管理员,所以,要想成为一名企业里合格的网络管理员,还必须要博采众长,对网络管理领域的相关知识进行深入而持久的学习,形成扎实的知识基础,这才是根本所在。
计算机管理在企业中应用后,对企业起到了一定的推动作用,而计算机网络信息安全管理对企业的高效运行有着十分重要的意义,应该始终坚持不懈的贯穿于企业计算机网络的建设和发展的全过程,企业的计算机网络安全管理人员也必须要高度重视,在不断的学习中提高自己的业务能力,与时俱进,有力保证计算机网络安全、顺畅的运行。
摘要:计算机管理在企业中应用后, 对企业起到了一定的推动作用, 而计算机网络信息安全管理对企业的高效运行有着十分重要的意义, 应该始终坚持不懈的贯穿于企业计算机网络的建设和发展的全过程。
关键词:企业,计算机管理,信息安全
参考文献
[1]原莉.如何确保计算机网络安全[J].职大学报, 2008, 4.
[2]谢浩浩.计算机网络安全综述[J].科技广场, 2009, 11.
[3]李建霞.计算机网络安全与防范[J].中国西部科技, 2009, 36.
[4]张李义, 刘文勇.网络信息资源管理安全问题新探讨.情报科学, 2003 (9)
[5]席嘉, 浅论企业安全管理中的风险对策 (J].公安大学学报, 2001l (l)
[6]中华人民共和国国家质量监督检验检疫总局, 中国国家标准化管理委员会.信息技术安全技术.信息安全管理体系要求[s]
[7]中华人民共和国国家质量监督检验检疫总局, 中国国家标准化管理委员会.信息技术安全技术.信息安全管理实用规则[s]
我国信息安全行业具有巨大发展空间,行业规模增速大于国际水平。2011年全球信息安全产品市场总体规模达到778.55 亿美元,较2010年取得了12%的增长。国内方面,信息安全产品市场亦稳步增长,2011 年市场规模达到130.84 亿元,比2010 年增长19.3%,高于全球平均增速。
信息安全保护制度等产业政策将促进信息安全行业的长期发展,并使其在2012年出现需求潜能的加速释放。《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》,要求2010 年底前完成测评体系建设,并完成30%第三级(含)以上信息系统的测评工作,2011 年底前完成第三级(含)以上信息系统的测评工作,2012 年底之前完成第三级(含)以上信息系统的安全建设整改工作。由于政府、电信、金融、能源等我国信息安全需求较为旺盛的行业信息系统均在等级保护制度的覆盖下,因此我们预计这将会加快我国信息安全行业的潜在需求在2012 年加速释放。
自主性需求是长期趋势。中国目前主要还是合规性需求,客户主要还是政府和大企业,这一需求格局短期没有大的变化,因此短期行业大爆发还看不到。长远来看,未来随着信息化程度的提升,企业安全意识不断提高,中小企业的需求会逐步提升,自主性需求才是最大的市场空间。
新技术和新应用带来新的市场空间。信息技术发展日新月异,而各种应用如雨后春笋般涌现,这使得黑客攻击的目标日趋多元化,信息安全市场不断产生新的发展空间。多网融合、IPV6、平板电脑、智能手机、云计算等新技术和新产品的出现,给黑客更多的攻击机会,使得信息安全的重要性越来越被关注,信息安全不断产生新市场。
安全硬件领域的市场集中度有提升的空间。启明星辰、卫士通、拓尔思等相关上市公司在行业并购上有资本市场的优势。
涉密计算机及信息系统安全策略文件属于顶层的管理文档,是公司网络与信息安全保障工作的出发点和核心,是公司计算机与信息系统安全管理和技术措施实施的指导性文件。涉密计算机及信息系统安全策略文件是公司计算机和信息系统全体管理和使用人员必须遵循的信息安全行为准则,由公司信息安全管理部门制订及解释,由公司保密委员会审批发布,并由信息安全管理部门组织公司全体人员学习与贯彻。
公司涉密计算机及信息系统涉及到存储、传输、处理国家秘密、公司商业秘密和业务关键信息,关系到公司的形象和公司业务的持续运行,必须保证其安全。因此,必须从技术、管理、运行等方面制定确保涉密计算机和信息系统持续可靠运行的安全策略,做好安全保障。
本策略文件主要内容包括:物理安全策略、信息安全策略、运行管理策略、备份与恢复策略、应急计划和响应策略、计算机病毒与恶意代码防护策略、身份鉴别策略、访问控制策略、信息完整性保护策略、安全审计策略等十个方面。2 适用范围
2.1本策略所称的涉密计算机和信息系统指公司所有通过计算机及信息系统存贮、处理或传输的信息及存贮、处理或传输这些信息的硬件、软件及固件。
2.2本策略适用于与公司涉密计算机及信息系统相关的所有部门及人员。3 目标
制定涉密计算机及信息系统安全策略的目标就是确保公司掌握的国家秘密、公司商业秘密和业务关键信息的安全性,并通过一系列预防措施将信息安全可能受到的危害降到最低。信息安全管理应在确保信息和计算机受到保护的同时,确保计算机和信息系统能够在允许的范围内正常运行使用。
同时,本策略的目的也是让所有员工能够了解信息安全问题以及明确各自的信息安全职责,严格遵守本安全策略,并遵守国家相关的计算机或信息安全法律要求。4 组织 4.1保密委员会是计算机及信息系统安全管理的领导机关,负责领导信息安全管理体系的建立和信息安全管理的实施,主要包括:
提供清晰的指导方向,可见的管理支持,明确的信息安全职责授权; 审查、批准信息安全策略和岗位职责; 审查业务关键安全事件;
批准增强信息安全保障能力的关键措施和机制;
保证必要的资源分配,以实现数据有效性以及信息安全管理体系的持续发展。
4.2信息安全管理部门具体负责建立和维持信息安全管理体系,协调相关活动,主要承担如下职责:
调整并制定所有必要的信息安全管理规程、制度以及实施指南等; 提议并配合执行信息安全相关的实施方法和程序,如风险评估、信息管理分层等;
主动采取部门内的信息安全措施,如安全意识培训及教育等; 配合执行新系统或服务的特殊信息安全措施; 审查对信息安全策略的遵循性; 配合并参与安全评估事项;
根据信息安全管理体系的要求,定期向上级主管领导和保密委员会报告。分层管理与控制
5.1公司计算机及信息系统管理分为涉密计算机管理、内部网络(局域网)及计算机信息管理、互联网计算机信息管理三个管理层次。
5.2 涉密计算机只能处理涉及国家秘密的信息,实行物理隔离管理,只能由公司涉密人员使用,由公司保密员管理。涉密计算机信息数据必须被保护以防止被泄漏、破坏或修改。
5.3 内部网络(局域网)及计算机配置加密管理措施,与互联网隔离,配置保密管理措施,只能通过局域网传输、储存技术文档、软件等涉及公司商业机密信息。上述信息必须定期备份进行保护,以免破坏和非授权修改。
5.4 互联网计算机主要处理来自于外部资源的普通信息,配置上网行为管理 2 措施,同样在信息安全防护上进行安全考虑。
5.5上述计算机及信息系统根据分层次管理的要求应当依据其分类进行物理标记。
物理安全策略
6.4信息处理设备可接受的使用策略
公司禁止工作人员滥用计算机及信息系统的计算机资源,仅为工作人员提供工作所需的信息处理设备。公司所有人员对系统网络和计算资源的使用(包括访问互联网)都必须遵守计算机及信息系统的安全策略和标准及所有适用的法律。
公司的计算机及信息系统应能防止使用人员连接到访问含有色情、种族歧视及其他不良内容的网站及某些非业务网站。
包括但不限于以下例子是不可接受的使用行为:
使用信息系统资源故意从事影响他人工作和生活的行为。
工作人员通过信息系统的网络服务及设备传输、存储任何非法的、有威胁的、滥用的材料。
任何工作人员使用信息系统的计算机工具、设备和互联网访问服务来从事用于个人获益的商业活动(如炒股)。
工作人员使用信息系统服务来参与任何政治或宗教活动。
在没有信息安全管理部门的事先允许或审批的情况下,工作人员在使用的计算机中更改或安装任何类型的计算机软件和硬件。
在没有信息安全管理部门的事先允许或审批的情况下,工作人员拷贝、安装、处理或使用任何未经许可的软件。6.5处理从互联网下载的软件和文件
必须使用病毒检测软件对所有通过互联网(或任何其他公网)从信息系统之外的途径获得的软件和文件进行检查,同时,在获得这些软件和文件之前,信息安全管理部门必须研究和确认使用这些工具的必要性。
6.6工作人员保密协议
公司所有人员必须在开始工作前,亲自签订计算机及信息系统保密协议。6.7知识产权权利
尊重互联网上他人的知识产权。
公司工作人员在被雇佣期间使用公司系统资源开发或设计的产品,无论是以何种方式涉及业务、产品、技术、处理器、服务或研发的资产,都是公司的专有资产。物理和环境安全策略
计算机信息和其他用于存储、处理或传输信息的物理设施,例如硬件、磁介质、电缆等,对于物理破坏来说是易受攻击的,同时也不可能完全消除这些风险。因此,应该将这些信息及物理设施放置于适当的环境中并在物理上给予保护使之免受安全威胁和环境危害。
7.1安全区域
根据信息安全的分层管理,应将支持涉密信息或关键业务活动的信息技术设备放置在安全区域中。安全区域应当考虑物理安全边界控制及有适当的进出控制措施保护,安全区域防护等级应当与安全区域内的信息安全等级一致,安全区域的访问权限应该被严格控制。
7.2设备安全
对支持涉密信息或关键业务过程(包括备份设备和存储过程)的设备应该适当地在物理上进行保护以避免安全威胁和环境危险。包括:
设备应该放置在合适的位置或加强保护,将被如水或火破坏、干扰或非授权访问的风险降低到可接受的程度。
对涉密信息或关键业务过程的设备应该进行保护,以免受电源故障或其他电力异常的损害。
对计算机和设备环境应该进行监控,必要的话要检查环境的影响因素,如温度和湿度是否超过正常界限。
对设备应该按照生产商的说明进行有序地维护。 安全规程和控制措施应该覆盖该设备的安全性要求。 设备包括存储介质在废弃使用之前,应该删除其上面的数据。7.3物理访问控制
信息安全管理部门应建立访问控制程序,控制并限制所有对计算计及信息系统计算、存储和通讯系统设施的物理访问。应有合适的出入控制来保护安全场所,确保只允许授权的人员进入。必须仅限公司工作人员和技术维护人员访问公司办 4 公场所、布线室、机房和计算基础设施。
7.4建筑和环境的安全管理
为确保计算机处理设施能正确的、连续的运行,应至少考虑及防范以下威胁:偷窃、火灾、温度、湿度、水、电力供应中断、爆炸物、吸烟、灰尘、振动、化学影响等。
必须在安全区域建立环境状况监控机制,以监控厂商建议范围外的可能影响信息处理设施的环境状况。应在运营范围内安装自动灭火系统。定期测试、检查并维护环境监控警告机制,并至少每年操作一次灭火设备。
7.5保密室、计算机房访问记录管理
保密室、计算机房应设立物理访问记录,信息安全管理部门应定期检查物理访问记录本,以确保正确使用了这项控制。物理访问记录应至少保留12个月,以便协助事件调查。应经信息安全管理部门批准后才可以处置记录,并应用碎纸机处理。
8计算机和网络运行管理策略
计算机和信息系统所拥有的和使用的大多数信息都在计算机上进行处理和存储。为了保护这些信息,需要使用安全且受控的方式管理和操作这些计算机,使它们拥有充分的资源。
由于公司计算机和信息系统采用三层管理模式,不排除联接到外部网络,计算机和信息系统的运行必须使用可控且安全的方式来管理,网络软件、数据和服务的完整性和可用性必须受到保护。
8.1操作规程和职责
应该制定管理和操作所有计算机和网络所必须的职责和规程,来指导正确的和安全的操作。这些规程包括:
数据文件处理规程,包括验证网络传输的数据;
对所有计划好的系统开发、维护和测试工作的变更管理规程; 为意外事件准备的错误处理和意外事件处理规程;
问题管理规程,包括记录所有网络问题和解决办法(包括怎样处理和谁处理); 事故管理规程; 为所有新的或变更的硬件或软件,制定包括性能、可用性、可靠性、可控性、可恢复性和错误处理能力等方面的测试/评估规程;
日常管理活动,例如启动和关闭规程,数据备份,设备维护,计算机和网络管理,安全方法或需求;
当出现意外操作或技术难题时的技术支持合同。8.2操作变更控制
对信息处理设施和系统控制不力是导致系统或安全故障的常见原因,所以应该控制对信息处理设施和系统的变动。应落实正式的管理责任和措施,确保对设备、软件或程序的所有变更得到满意的控制。
8.3介质的处理和安全性
应该对计算机介质进行控制,如果必要的话需要进行物理保护: 可移动的计算机介质应该受控;
应该制定并遵守处理包含机密或关键数据的介质的规程; 与计算相关的介质应该在不再需要时被妥善废弃。8.4鉴别和网络安全
鉴别和网络安全包括以下方面:
网络访问控制应包括对人员的识别和鉴定;
用户连接到网络的能力应受控,以支持业务应用的访问策略需求; 专门的测试和监控设备应被安全保存,使用时要进行严格控制; 通过网络监控设备访问网络应受到限制并进行适当授权; 应配备专门设备自动检查所有网络数据传输是否完整和正确; 应评估和说明使用外部网络服务所带来的安全风险; 根据不同的用户和不同的网络服务进行网络访问控制; 对IP地址进行合理的分配; 关闭或屏蔽所有不需要的网络服务; 隐藏真实的网络拓扑结构;
采用有效的口令保护机制,包括:规定口令的长度、有效期、口令规则或采用动态口令等方式,保障用户登录和口令的安全;
应该严格控制可以对重要服务器、网络设备进行访问的登录终端或登录 6 节点,并且进行完整的访问审计;
严格设置对重要服务器、网络设备的访问权限; 严格控制可以对重要服务器、网络设备进行访问的人员;
保证重要设备的物理安全性,严格控制可以物理接触重要设备的人员,并且进行登记;
对重要的管理工作站、服务器必须设置自动锁屏或在操作完成后,必须手工锁屏;
严格限制进行远程访问的方式、用户和可以使用的网络资源; 接受远程访问的服务器应该划分在一个独立的网络安全区域; 安全隔离措施必须满足国家、行业的相关政策法规。
个人终端用户(包括个人计算机)的鉴别,以及连接到所有办公自动化网络和服务的控制职责,由信息安全管理部门决定。
8.5操作人员日志
操作人员应保留日志记录。根据需要,日志记录应包括: 系统及应用启动和结束时间; 系统及应用错误和采取的纠正措施; 所处理的数据文件和计算机输出; 操作日志建立和维护的人员名单。8.6错误日志记录
对错误及时报告并采取措施予以纠正。应记录报告的关于信息处理错误或通信系统故障。应有一个明确的处理错误报告的规则,包括:1)审查错误日志,确保错误已经得到满意的解决;2)审查纠正措施,确保没有违反控制措施,并且采取的行动都得到充分的授权。
8.7网络安全管理策略
网络安全管理的目标是保证网络信息安全,确保网络基础设施的可用性。网络管理员应确保计算机信息系统的数据安全,保障连接的服务的有效性,避免非法访问。应该注意以下内容:
应将网络的操作职责和计算机的操作职责分离;
制定远程设备(包括用户区域的设备)的管理职责和程序;
应采取特殊的技术手段保护通过公共网络传送的数据的机密性和完整性,并保护连接的系统,采取控制措施维护网络服务和所连接的计算机的可用性;
信息安全管理活动应与技术控制措施协调一致,优化业务服务能力; 使用远程维护协议时,要充分考虑安全性。8.8电子邮件安全策略
计算机和信息系统应制定有关使用电子邮件的策略,包括: 对电子邮件的攻击,例如病毒、拦截;
必要时,使用相关技术保护电子邮件的机密性、完整性和不可抵赖。8.9病毒防范策略
病毒防范包括预防和检查病毒(包括实时扫描/过滤和定期检查),主要内容包括:
控制病毒入侵途径; 安装可靠的防病毒软件; 对系统进行实时监测和过滤; 定期杀毒; 及时更新病毒库; 及时上报; 详细记录。
防病毒软件的安装和使用由信息安全管理部门专门的病毒防范管理员执行。严格控制盗版软件及其它第三方软件的使用,必要时,在运行前先对其进行病毒检查。
内部工作人员因为上不安全的网站下载文件或其他方式导致中毒,造成的后果由其本人负责。
8.10备份与恢复策略
定义计算机及信息系统备份与恢复应该采用的基本措施: 建立有效的备份与恢复机制; 定期检测自动备份系统是否正常工作;
明确备份的操作人员职责、工作流程和工作审批制度;
建立完善的备份工作操作技术文档;
明确恢复的操作人员职责、工作流程和工作审批制度; 建立完善的恢复工作操作技术文档; 针对建立的备份与恢复机制进行演习; 对备份的类型和恢复的方式进行明确的定义; 妥善保管备份介质。8.11加密策略
对于应用系统安全需求分析中要求采用加密措施,或相关法规中要求采用加密措施的处理,一定要满足要求。
采用加密技术或选用加密产品,要求符合国家有关政策或行业规范的要求。选用的加密机制与密码算法应符合国家密码政策,密钥强度符合国家规定。对于敏感或重要信息,要求通过加密保障其私密性、通过信息校验码或数字签名保障其完整性、通过数字签名保障其不可否认性。
要求采用高强度的密钥管理系统,保证密钥全过程的安全。包括密钥的生成、使用、交换、传输、保护、归档、销毁等。
对敏感或重要密钥,要求分人制衡管理。
对敏感或重要密钥,要求采用一定的密钥备份措施以保障在密钥丢失、破坏时系统的可用性。
密钥失密或怀疑失密时,必须及时向安全主管部门报告,更新密钥。并采取有效措施,防止再次发生类似情况。9访问控制策略
为了保护计算机系统中信息不被非授权的访问、操作或破坏,必须对信息系统和数据实行控制访问。
计算机系统控制访问包括建立和使用正式的规程来分配权限,并培训工作人员安全地使用系统。对系统进行监控检查是否遵守所制定的规程。
9.1计算机访问控制
应该根据相关国家法律的要求和指导方针控制对信息系统和数据的访问: 计算机活动应可以被追踪到人;
访问所有多用户计算机系统应有正式的用户登记和注销规程; 应使用有效的访问系统来鉴别用户;
应通过安全登录进程访问多用户计算机系统; 特殊权限的分配应被安全地控制;
用户选择和使用密码时应慎重参考良好的安全惯例; 用户应确保无人看管的设备受到了适当的安全保护; 应根据系统的重要性制定监控系统的使用规程。 必须维护监控系统安全事件的审计跟踪记录; 为准确记录安全事件,计算机时钟应被同步。10风险管理及安全审计策略
信息安全审计及风险管理对于帮助公司识别和理解信息被攻击、更改和不可用所带来的(直接和间接的)潜在业务影响来说至关重要。所有信息内容和信息技术过程应通过信息安全审计活动及风险评估活动来识别与它们相关的安全风险并执行适当的安全对策。
计算机及信息系统的信息安全审计活动和风险评估应当定期执行。特别是系统建设前或系统进行重大变更前,必须进行风险评估工作。
信息安全审计应当3个月进行一次,并形成文档化的信息安全审计报告。信息安全风险评估应当至少1年一次,可由公司自己组织进行或委托有信息系统风险评估资质的第三方机构进行。信息安全风险评估必须形成文档化的风险评估报告。
11信息系统应急计划和响应策略
11.1信息应急计划和响应的必要性
应该制定和实施应急计划和响应管理程序,将预防和恢复控制措施相结合,将灾难和安全故障(可能是由于自然灾害、事故、设备故障和蓄意破坏等引起)造成的影响降低到可以接受的水平。
应该分析灾难、安全故障和服务损失的后果。制定和实施应急计划,确保能够在要求的时间内恢复业务的流程。应该维护和执行此类计划,使之成为其它所有管理程序的一部分。
11.2应急计划和响应管理程序
应该在整个计算机信息系统内部制定应急计划和响应的管理流程。包括以下 主要内容:
考虑突发事件的可能性和影响。
了解中断信息系统服务可能对业务造成的影响(必须找到适当的解决方案,正确处理较小事故以及可能威胁组织生存的大事故),并确定信息处理设施的业务目标。
适当考虑风险处理措施,可以将其作为业务连续性程序的一部分。 定期对应急计划和响应程序进行检查和进行必要的演练,确保其始终有效。
适当地对技术人员进行培训,让他们了解包括危机管理在内的应急程序。
12遵循性
计算机及信息系统必须遵守国家法律和法规的要求。
公司所有工作人员都有责任学习、理解并遵守安全策略,以确保公司敏感信息的安全。对违反安全策略的行为,根据事件性质和违规的严重程度,采取相应的处罚措施。信息安全管理部门应根据违规的严重程度向相关领导提出建议惩罚措施。除本安全策略中涉及的要求之外,所有部门和工作人员同样需要遵守相关国家法律和法规的要求。
计算机和信息系统安全策略文件由信息安全管理部门负责制定和解释,由公司保密委员会审批发布。
【计算机操作及信息安全】推荐阅读:
初中信息技术教案 第三课:计算机操作系统06-13
计算机信息安全自荐信05-31
计算机信息安全保密审计报告06-12
财政局计算机信息系统安全管理制度12-16
计算机信息技术在食品安全控制中的应用07-19
计算机系统操作员07-03
计算机硬件操作求职简历07-25
地税计算机操作员02-06
计算机网络信息安全存在的威胁探析论文12-26
