第一篇：電力企業(yè)網(wǎng)絡(luò)與信息安全監(jiān)督管理規(guī)定暫行-國家能源局

電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法

第一章 總則

第一條 為加強電力行業(yè)網(wǎng)絡(luò)與信息安全監(jiān)督管理，規(guī)范電力行業(yè)網(wǎng)絡(luò)與信息安全工作，根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》及國家有關(guān)規(guī)定，制定本辦法。

第二條 電力行業(yè)網(wǎng)絡(luò)與信息安全工作的目標是建立健全網(wǎng)絡(luò)與信息安全保障體系和工作責任體系，提高網(wǎng)絡(luò)與信息安全防護能力，保障網(wǎng)絡(luò)與信息安全，促進信息化工作健康發(fā)展。

第三條 電力行業(yè)網(wǎng)絡(luò)與信息安全工作堅持“積極防御、綜合防范”的方針，遵循“統(tǒng)一領(lǐng)導、分級負責，統(tǒng)籌規(guī)劃、突出重點”的原則。

第二章 監(jiān)督管理職責

第四條 國家能源局是電力行業(yè)網(wǎng)絡(luò)與信息安全主管部門，履行電力行業(yè)網(wǎng)絡(luò)與信息安全監(jiān)督管理職責。國家能源局派出機構(gòu)根據(jù)國家能源局的授權(quán)，負責具體實施本轄區(qū)電力企業(yè)網(wǎng)絡(luò)與信息安全監(jiān)督管理。

第五條 國家能源局依法履行電力行業(yè)網(wǎng)絡(luò)與信息安全監(jiān)督管理工作職責，主要內(nèi)容為：

體，負責本單位的網(wǎng)絡(luò)與信息安全工作。

第七條 電力企業(yè)主要負責人是本單位網(wǎng)絡(luò)與信息安全的第一責任人。電力企業(yè)應當建立健全網(wǎng)絡(luò)與信息安全管理制度體系, 成立工作領(lǐng)導機構(gòu)，明確責任部門，設(shè)立專兼職崗位，定義崗位職責，明確人員分工和技能要求, 建立健全網(wǎng)絡(luò)與信息安全責任制。

第八條 電力企業(yè)應當按照電力監(jiān)控系統(tǒng)安全防護規(guī)定及國家信息安全等級保護制度的要求，對本單位的網(wǎng)絡(luò)與信息系統(tǒng)進行安全保護。

第九條 電力企業(yè)應當選用符合國家有關(guān)規(guī)定、滿足網(wǎng)絡(luò)與信息安全要求的信息技術(shù)產(chǎn)品和服務(wù)，開展信息系統(tǒng)安全建設(shè)或改建工作。

第十條 電力企業(yè)規(guī)劃設(shè)計信息系統(tǒng)時，應明確系統(tǒng)的安全保護需求，設(shè)計合理的總體安全方案，制定安全實施計劃，負責信息系統(tǒng)安全建設(shè)工程的實施。

第十一條 電力企業(yè)應當按照國家有關(guān)規(guī)定開展電力監(jiān)控系統(tǒng)安全防護評估和信息安全等級測評工作，未達到要求的應當及時進行整改。

第十二條 電力企業(yè)應當按照國家有關(guān)規(guī)定開展信息安全風險評估工作，建立健全信息安全風險評估的自評估和檢查評估制度，完善信息安全風險管理機制。

第十三條 電力企業(yè)應當按照網(wǎng)絡(luò)與信息安全通報制度

（一）進入電力企業(yè)進行檢查；

（二）詢問相關(guān)單位的工作人員，要求其對有關(guān)檢查事項作出說明；

（三）查閱、復制與檢查事項有關(guān)的文件、資料，對可能被轉(zhuǎn)移、隱匿、損毀的文件、資料予以封存；

（四）對檢查中發(fā)現(xiàn)的問題，責令其當場改正或者限期改正。

第五章 附則

第二十一條 本辦法由國家能源局負責解釋。第二十二條 本辦法自發(fā)布之日起實施，有效期五年。2007年12月4日原國家電力監(jiān)管委員會發(fā)布的《電力行業(yè)網(wǎng)絡(luò)與信息安全監(jiān)督管理暫行規(guī)定》（電監(jiān)信息?2007?50號）同時廢止。

第二篇：國家能源局電力企業(yè)網(wǎng)絡(luò)與信息安全駐點遼寧監(jiān)管報告

電力企業(yè)網(wǎng)絡(luò)與信息安全駐點遼寧監(jiān)管報告

國家能源局 二○一四年四月

為進一步加強電力企業(yè)網(wǎng)絡(luò)與信息安全監(jiān)督管理工作，提高電力企業(yè)重要信息系統(tǒng)（尤其是生產(chǎn)控制大區(qū)信息系統(tǒng)）抵御惡意信息攻擊的能力，根據(jù)《國家能源局關(guān)于近期重點專項監(jiān)管工作的通知》（國能監(jiān)管〔2013〕432號）要求，國家能源局組織對遼寧省電力企業(yè)網(wǎng)絡(luò)與信息安全工作開展了專項駐點監(jiān)管。根據(jù)駐點監(jiān)管情況，編制形成《電力企業(yè)網(wǎng)絡(luò)與信息安全駐點遼寧監(jiān)管報告》。

一、基本情況

（一）電力企業(yè)概況

遼寧省內(nèi)共有電力企業(yè)440余家，其中電網(wǎng)企業(yè)主要有東北電網(wǎng)有限公司、遼寧省電力有限公司及其14家市級供電公司；發(fā)電企業(yè)中歸屬五大發(fā)電集團的火電廠有21座、水電站3座、風電場35座，共計59座（家）。

（二）電力企業(yè)信息系統(tǒng)定級分布情況

遼寧省在全國率先開展電力企業(yè)信息安全等級保護工作，截至2014年2月，各電力企業(yè)信息系統(tǒng)共453個，經(jīng)定級備案，四級系統(tǒng)2個、三級系統(tǒng)87個，二級系統(tǒng)289個（約64%），一級系統(tǒng)20個，未定級系統(tǒng)55個。遼寧省信息系統(tǒng)定級分布情況如圖1所示：

（數(shù)據(jù)來源：國家能源局東北監(jiān)管局）圖1遼寧省信息系統(tǒng)定級分布情況

（三）電力二次系統(tǒng)安全防護工作開展情況

遼寧電力企業(yè)按照《電力二次系統(tǒng)安全防護規(guī)定》要求，遵循“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認證”的原則，對所屬生產(chǎn)控制系統(tǒng)和管理信息系統(tǒng)進行安全分區(qū)建設(shè)、內(nèi)外網(wǎng)隔離部署，配置橫向隔離設(shè)備和縱向加密認證裝置，增加網(wǎng)絡(luò)安全防護措施及設(shè)備，電力二次系統(tǒng)安全防護整體水平顯著提高。截至2014年2月，省內(nèi)地級以上電網(wǎng)企業(yè)及重要廠站共加裝橫向隔離設(shè)備129套，220千伏以上電力調(diào)度數(shù)據(jù)網(wǎng)共加裝縱向認證加密裝置415套，電力二次系統(tǒng)安全防護體系基本建立。

根據(jù)《關(guān)于開展電力工控PLC設(shè)備信息安全隱患排查及漏洞整改工作的通知》（國能綜安全〔2013〕387號）要求，東北能源監(jiān)管局對遼寧省內(nèi)統(tǒng)調(diào)以上發(fā)電企業(yè)工控系統(tǒng)使用PLC情況進行了全面排查，共計288套（按業(yè)務(wù)系統(tǒng)或功能進行統(tǒng)計），主要用于發(fā)電廠監(jiān)控系統(tǒng)、輔助設(shè)備控制系統(tǒng)等,統(tǒng)計情況示意圖如圖2所示：

（數(shù)據(jù)來源：國家能源局東北監(jiān)管局）圖2 遼寧省電力工控PLC統(tǒng)計情況示意圖

二、存在的問題

（一）管理方面的主要問題

1.部分電力企業(yè)網(wǎng)絡(luò)與信息安全工作多頭管理，職能交叉，缺乏統(tǒng)一領(lǐng)導和溝通協(xié)調(diào)；信息安全工作人員配備不足，甚至身兼數(shù)職，不利于信息安全工作的落實。

2.部分電力企業(yè)對網(wǎng)絡(luò)與信息安全的應急處置工作重視不足，應急預案針對性、可操作性不足，應急演練形式大于內(nèi)容，起不到發(fā)現(xiàn)問題、解決問題的作用。

3.部分電力企業(yè)對信息安全等級保護工作重視不夠，定級、備案、測評、整改等環(huán)節(jié)的各項要求落實不嚴，主要體現(xiàn)在：

（1）定級環(huán)節(jié)報備材料填寫不完整，企業(yè)信息系統(tǒng)的定級數(shù)量掌握不全面，存在漏定、定級不準等情況。

（2）備案環(huán)節(jié)存在備案不積極、備案不及時、未按要求備案等情況。

（3）信息系統(tǒng)的測評工作未按國家有關(guān)頻次要求開展，部分信息系統(tǒng)測評效果不佳。

（4）測評整改意見和建議落實不徹底或整改不全面。

（二）技術(shù)方面的主要問題

4.部分發(fā)電企業(yè)與電網(wǎng)企業(yè)之間的信息系統(tǒng)邊界防護有待加強。

5.部分企業(yè)電力二次系統(tǒng)安全防護設(shè)備運行維護不及時、安全配置不完整，主要體現(xiàn)在：

（1）部分企業(yè)電力二次系統(tǒng)信息安全防護措施落實不到位，普遍存在補丁升級不及時、弱口令、審計薄弱等問題。

（2）部分企業(yè)電力二次系統(tǒng)中信息系統(tǒng)漏洞檢測、安全加固等工作開展不及時、或未定期開展。

（3）部分企業(yè)電力二次系統(tǒng)安全防護應急預案存在事故預想不全面、內(nèi)容不完整、相關(guān)要求缺乏可操作性等問題，缺少演練、培訓和更新的相關(guān)內(nèi)容。（4）部分企業(yè)未按要求開展電力二次系統(tǒng)安全防護評估工作。

（5）部分發(fā)電企業(yè)在基礎(chǔ)設(shè)施、機房環(huán)境等方面較為薄弱，不滿足信息系統(tǒng)安全等級保護的基本要求。

三、監(jiān)管意見

（一）強化組織保障體系建設(shè)。各電力企業(yè)要梳理網(wǎng)絡(luò)與信息安全管理涉及的部門、崗位和人員，進一步明確各相關(guān)部門，特別是牽頭管理部門的權(quán)利、責任和義務(wù)，明確部門間工作協(xié)調(diào)機制，各部門要設(shè)立信息安全管理專職崗位，責任到人，強化信息安全組織保障體系。

（二）建立健全常態(tài)化工作機制。各電力企業(yè)要深刻認識到電力信息安全與電力生產(chǎn)安全同等重要。要根據(jù)國家和行業(yè)監(jiān)管部門有關(guān)要求，落實專項資金、制定工作計劃，定期對電力二次系統(tǒng)開展安全評估、等級保護測評，形成常態(tài)化工作機制。對評估、測評中發(fā)現(xiàn)的問題，要安排資金，及時整改，消除安全隱患。

（三）統(tǒng)籌做好電力工控PLC設(shè)備安全整改工作。各電力企業(yè)要按照《關(guān)于開展電力工控PLC設(shè)備信息安全隱患排查及漏洞整改工作的通知》（國能綜安全〔2013〕387號）的有關(guān)要求，根據(jù)實際情況，統(tǒng)籌安排，采取召回、固件升級、老舊設(shè)備更新等方式分批分期開展電力工控PLC設(shè)備的整改加固工作。新建系統(tǒng)中要選用安全、可靠、可控的PLC等工控設(shè)備。

（四）強化信息安全人才隊伍建設(shè)。各電力企業(yè)要面向公司領(lǐng)導、相關(guān)部門主要負責人和企業(yè)員工，定期組織開展信息安全政策宣貫培訓，提高領(lǐng)導層的認識，提高員工信息安全防范意識。同時要制定培訓計劃，派送技術(shù)人員參加行業(yè)和其它專業(yè)機構(gòu)舉辦的信息安全培訓，提高信息安全從業(yè)人員的專業(yè)技術(shù)水平。

（五）加大科技支撐力度。各電力企業(yè)要進一步加大科技投入，針對電力行業(yè)重要信息系統(tǒng)（尤其是生產(chǎn)監(jiān)控系統(tǒng)）的實際特點及技術(shù)發(fā)展情況，充分發(fā)揮科研院所、高等院校的科研創(chuàng)新能力，深入開展基于可信計算的系統(tǒng)安全免疫、電力工控設(shè)備信息安全漏洞的監(jiān)測/檢測、信息系統(tǒng)安全審計等內(nèi)容研究，切實保證電力企業(yè)重要信息系統(tǒng)的安全可靠運行。

第三篇：廣昌縣國土資源局網(wǎng)絡(luò)信息安全保密規(guī)定

廣昌縣國土資源局網(wǎng)絡(luò)信息安全保密規(guī)定

為切實加強網(wǎng)絡(luò)信息安全保密管理，確保網(wǎng)絡(luò)運行安全，防止失密事件的發(fā)生，根據(jù)國務(wù)院《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》、公安部《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法》、《互聯(lián)網(wǎng)安全保護技術(shù)措施規(guī)定》和國家保密局、國務(wù)院信息化工作辦公室《關(guān)于加強黨政機關(guān)計算機信息系統(tǒng)安全和保密管理的若干規(guī)定》（國保發(fā)〔2007〕13號）等有關(guān)規(guī)定，特制定本規(guī)定。

一、全體工作人員都必須自覺遵守國家有關(guān)法律、行政法規(guī)，嚴格執(zhí)行安全保密制度，切實做到：

⒈不得利用國際聯(lián)網(wǎng)從事危害國家安全、泄露國家秘密等違法犯

罪活動，不得制作、查閱、復制和傳播妨礙社會治安的信息和淫穢色情等信息。

⒉不得利用國際聯(lián)網(wǎng)制作、復制、查閱和傳播下列信息：⑴煽動抗拒、破壞憲法和法律、行政法規(guī)實施的；⑵煽動顛覆國家政權(quán)，推翻社會主義制度的；⑶煽動分裂國家、破壞國家統(tǒng)一的；⑷煽動民族仇恨、民族歧視，破壞民族團結(jié)的；⑸捏造或者歪曲事實，散布謠言，擾亂社會秩序的；⑹宣揚封建迷信、淫穢、色情、賭博、暴力、兇殺、恐怖，教唆犯罪的；⑺公然侮辱他人或者捏造事實誹謗他人的；⑻損害國家機關(guān)信譽的；⑼其他違反憲法和法律、行政法規(guī)的。

⒊未經(jīng)網(wǎng)絡(luò)信息安全保密工作領(lǐng)導小組批準，不得從事下列危害計算機信息網(wǎng)絡(luò)安全的活動：⑴不得進入計算機信息網(wǎng)絡(luò)或者使用計算機信息網(wǎng)絡(luò)資源；⑵不得對計算機信息網(wǎng)絡(luò)功能進行刪除、修改或者增加的；⑶不得對計算機信息網(wǎng)絡(luò)中存儲、處理或者傳輸?shù)臄?shù)據(jù)和應用程序進行刪除、修改或者增加的；⑷不得故意制作、傳播計算機病毒等破壞性程序；⑸不得通過互聯(lián)網(wǎng)、傳真機傳輸涉密圖件及相關(guān)資料；⑹不得擅自下載、刻錄、復制涉密資料和未正式對外公開的其它信息；⑺不得將儲存有或曾經(jīng)儲存過涉密信息或未正式對外公開的其它信息的儲存介質(zhì)存放在辦公室、帶回家里或帶入辦公室以外的其他公共場所；⑻不得從事其他危害計算機信息網(wǎng)絡(luò)安全的行為。

二、成立網(wǎng)絡(luò)信息安全保密工作領(lǐng)導小組

成立廣昌縣國土資源局網(wǎng)絡(luò)信息安全保密工作領(lǐng)導小組，由局長任組長，分管信息中心工作和保密工作的領(lǐng)導任副組長，信息中心、辦公室、用地股、地籍股、礦管股、土地規(guī)劃測繪隊等單位的負責人為成員。下設(shè)辦公室，辦公地點設(shè)在信息中心，由駱海華兼任辦公室主任。

網(wǎng)絡(luò)信息安全保密工作領(lǐng)導小組，依據(jù)《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法》等有關(guān)規(guī)定，應當切實履行以下安全保護職責：

㈠負責本局網(wǎng)絡(luò)的安全保護管理工作，建立健全安全保護管理

制度；

㈡加強對計算機使用人員的管理，開展經(jīng)常性的保密教育培訓，提高計算機使用人員的安全和保密意識與技能。

㈢負責對全縣國土資源系統(tǒng)網(wǎng)絡(luò)使用人員的安全教育和培訓，落實安全保護技術(shù)措施，保障本局網(wǎng)絡(luò)的運行安全和信息安全；

㈣對發(fā)布信息的情況進行登記，并對所提供的信息內(nèi)容進行審

核；

㈤建立計算機信息網(wǎng)絡(luò)電子公告系統(tǒng)的用戶登記和信息管理制

度；

㈥發(fā)現(xiàn)有《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法》第四

條、第五條、第六條、第七條所列情形之一的，應當保留有關(guān)原始記錄，并在二十四小時內(nèi)向當?shù)毓矙C關(guān)報告

㈦按照國家有關(guān)規(guī)定，刪除本網(wǎng)絡(luò)中含有《計算機信息網(wǎng)絡(luò)國

際聯(lián)網(wǎng)安全保護管理辦法》第五條內(nèi)容的地址、目錄或者關(guān)閉服務(wù)器。

三、加強機房物理環(huán)境安全管理

⒈為了防止非法進入、危害和干擾，確保信息中心設(shè)備的運行安全和信息安全，信息中心應當在計算機機房內(nèi)部劃分安全區(qū)域。安全區(qū)域包括主機、網(wǎng)絡(luò)、打印、操作、介質(zhì)等場所。非信息中心工作人員，嚴禁出入安全區(qū)域。

⒉信息中心必須設(shè)置控制人員出入的門禁系統(tǒng)（如磁卡、指紋識別等），并建立24小時值班制度，門禁系統(tǒng)應當按照最小授權(quán)原則，嚴格控制計算機機房及內(nèi)部各安全區(qū)域的人員出入。

⒊計算機機房必須安裝攝像監(jiān)控系統(tǒng)，對機房大門和重要區(qū)域進行監(jiān)控和記錄，在發(fā)現(xiàn)異常情況時，啟動報警系統(tǒng)，報警系統(tǒng)要與門衛(wèi)保安系統(tǒng)或公安部門110聯(lián)動。

⒋機房工作人員，要按照其工作崗位職能進行不同級別的授權(quán)，嚴格控制訪問機房內(nèi)部區(qū)域的權(quán)限，確保機房物理環(huán)境的安全。

⒌機房設(shè)備放置與保護應當遵循以下原則：⑴關(guān)鍵設(shè)備和需要特別保護的設(shè)備，應在物理上實現(xiàn)有效隔離；⑵設(shè)備放置應有助于控制并降低潛在威脅和風險。設(shè)備放置應考慮便于維護；⑶設(shè)備應放置在相應的安全區(qū)域中。

⒍加強機房電源管理，必須做到： ⑴配電系統(tǒng)應有詳細的配線圖；⑵配電柜設(shè)備要放置在便于維護的明顯位置，注意各線路負載；⑶增加、遷移、變更設(shè)備時，必須及時修改配線圖；⑷對于要求雙路供電的設(shè)備，雙路電源必須來自不同的UPS。

⒎加強機房電纜管理，必須做到： ⑴計算機機房內(nèi)，電源電纜和通信電纜應鋪設(shè)在地板下，通過屏蔽保護以避免干擾；⑵根據(jù)設(shè)備的用電負荷合理選用電纜；⑶對于多路主干通信線路進入計算機機房，應采用不同的方向，不同電纜井的入戶方式，以降低外界施工帶來的破壞風險。

8.切實加強機房的環(huán)境管理和維護，必須做到： ⑴定時檢查和記錄機房環(huán)境的溫度、濕度等。⑵定時檢查各種環(huán)境設(shè)備的運轉(zhuǎn)狀況；⑶定期對各種環(huán)境設(shè)備進行例行檢修。

⒐加強設(shè)備常規(guī)管理，建立簽收制度，設(shè)立專職介質(zhì)管理崗位人員，嚴格管理各種存儲介質(zhì)和信息報表文檔。介質(zhì)在報廢之前應刪除信息，并集中統(tǒng)一保管，按照相應規(guī)范的保密性要求進行報廢處理。不得在機房內(nèi)拍照，不得隨意取走機房內(nèi)的設(shè)備和資料。

⒑加強設(shè)備變更管理，對任何設(shè)備的遷移、擴容和升級、維修、施工等操作均應嚴格按照相關(guān)規(guī)定和制度及標準工作流程進行，實施結(jié)束后，應向有關(guān)安檢部門遞交相應的記錄和技術(shù)文檔。

⒒嚴格設(shè)備故障處理措施，將故障分為兩類：一類為：電源等系統(tǒng)故障；二類為：空調(diào)、門禁等故障。發(fā)生一類故障時應及時采取應急措施，如切換到UPS等；發(fā)生二類故障時，應盡快找到故障原因并排除故障。

四、終端計算機安全使用管理

⒈對計算機及軟件安裝情況進行登記備案，定期核查；

⒉設(shè)置開機口令，長度不得少于8個字符，并定期更換，防止口令被盜；

⒊安裝防病毒等安全防護軟件，并具有在線自動更新功能，及時進行升級，及時更新操作系統(tǒng)補丁程序，安裝操作系統(tǒng)的最新補丁軟件包，彌補安全漏洞；

⒋不得安裝、運行、使用與工作無關(guān)的軟件；嚴禁將涉密計算機帶到與工作無關(guān)的場所

⒌嚴禁同一計算機既上互聯(lián)網(wǎng)又處理涉密信息；

⒍嚴禁使用含有無線網(wǎng)卡、無線鼠標、無線鍵盤等具有無線互聯(lián)功能的設(shè)備處理涉密信息；

⒎重點崗位的計算機使用人員應當與信息中心簽訂安全保密責任書，明確安全和保密要求與責任。

⒏將IE瀏覽器的安全級別調(diào)整為“中”，將隱私級別設(shè)置為“中高”；

⒐及時清除IE瀏覽器的臨時文件夾，防止部分敏感內(nèi)容泄露；

⒑定期備份重要文件；

⒒不要隨意打開郵件，并立即予以刪除；

⒓禁止私自修改系統(tǒng)的計算機命名標識和網(wǎng)絡(luò)配置；

⒔禁止在辦公網(wǎng)絡(luò)中使用調(diào)制解調(diào)器撥號上網(wǎng)；

⒕禁止私自安裝各種應用軟件；

⒖禁止訪問互聯(lián)網(wǎng)上與工作無關(guān)或來歷不明的站點，禁止從互聯(lián)網(wǎng)上下載與工作無關(guān)的文件。

⒗全縣國土資源系統(tǒng)應當積極使用國產(chǎn)軟硬件產(chǎn)品，公文處理軟件、信息安全產(chǎn)品等原則上應當使用國產(chǎn)產(chǎn)品。

保密要害崗位、部位使用的保密技術(shù)防護設(shè)備，應當按照有關(guān)保密規(guī)定和標準配備；使用進口設(shè)備和產(chǎn)品，應當進行技術(shù)檢查。

⒘涉密計算機及相關(guān)設(shè)備維修，應當在本單位內(nèi)部現(xiàn)場進行，并指定專人全過程監(jiān)督，嚴禁維修人員讀取和復制涉密信息。確需送修的，應當拆除涉密信息存儲部件。

⒙涉密計算機及相關(guān)設(shè)備存儲數(shù)據(jù)的恢復，必須由國家保密工作部門指定的具有涉密數(shù)據(jù)恢復資質(zhì)的單位進行。

⒚處理內(nèi)部信息的計算機及相關(guān)設(shè)備在變更用途時，應當使用能夠有效刪除數(shù)據(jù)的工具刪除存儲部件中的內(nèi)部信息。

⒛涉密計算機及相關(guān)設(shè)備不再用于處理涉密信息或不再使用時，應當將涉密信息存儲部件拆除或及時銷毀。涉密信息存儲部件的銷毀必須按照涉密載體銷毀要求進行。

21計算機使用人員離崗離職時，信息中心應當即時取消其計算機信息系統(tǒng)訪問授權(quán)，收回計算機、移動存儲設(shè)備等相關(guān)物品。

五、移動存儲設(shè)備的使用管理：

⒈實行登記管理；

⒉移動存儲設(shè)備不得在涉密信息系統(tǒng)和非涉密信息系統(tǒng)間交叉使用，涉密移動存儲設(shè)備不得在非涉密信息系統(tǒng)中使用；

⒊移動存儲設(shè)備在接入本單位計算機信息系統(tǒng)之前，應當查殺病毒、木馬等惡意代碼；

⒋鼓勵采用密碼技術(shù)等對移動存儲設(shè)備中的信息進行保護；

⒌嚴禁將涉密存儲設(shè)備帶到與工作無關(guān)的場所。

六、數(shù)據(jù)復制操作管理：

⒈將互聯(lián)網(wǎng)上的信息復制到處理內(nèi)部信息的系統(tǒng)時，應當采取嚴格的技術(shù)防護措施，查殺病毒、木馬等惡意代碼，嚴防病毒等傳播；

⒉嚴格限制從互聯(lián)網(wǎng)向涉密信息系統(tǒng)復制數(shù)據(jù)。確需復制的，應當嚴格按照國家有關(guān)保密標準和本局的相關(guān)制度執(zhí)行；

⒊不得使用移動存儲設(shè)備從涉密計算機向非涉密計算機復制數(shù)據(jù)。確需復的，應當采取嚴格的保密措施，防止泄密；

⒋復制和傳遞涉密電子文檔，應當嚴格按照復制和傳遞同等密級紙質(zhì)文件的有關(guān)規(guī)定辦理。

七、防火墻系統(tǒng)管理

⒈對防火墻的規(guī)劃和部署、策略制定、規(guī)則配置必須符合規(guī)范要求，堅決杜絕在配置上的錯誤及對局域網(wǎng)絡(luò)安全策略的違背。在防火墻配置完成后，管理人員應在網(wǎng)絡(luò)上對防火墻的配置情況進行一定的測試。

⒉加強對防火墻運行安全狀態(tài)的監(jiān)控，必須定期對防火墻日志進行備份和分析，了解網(wǎng)絡(luò)和信息系統(tǒng)所面臨的安全威脅現(xiàn)狀，并根據(jù)分析結(jié)果及時調(diào)整防火墻的安全規(guī)劃配置。

⒊加強安全事件的響應處理，信息中心管理人員要根據(jù)安全事件報警信息及時作出響應，應當盡快檢查防火墻，以確定是否有危害網(wǎng)絡(luò)安全的事件發(fā)生，并報告上級信息安全管理部門。

八、違反本制度規(guī)定的，視其情節(jié)輕重和后果程度，追究有關(guān)責任人和有關(guān)負責人的經(jīng)濟、政紀責任。觸犯刑律構(gòu)成犯罪的，移送司法機處理。

九、本制度應與2007年4月1日由縣國土資源局公布的《廣昌縣國土資源局地籍電子數(shù)據(jù)管理辦法》和《廣昌縣國土資源局計算機網(wǎng)絡(luò)管理暫行規(guī)定》一并執(zhí)行。原《廣昌縣國土資源局地籍電子數(shù)據(jù)管理辦法》和《廣昌縣國土資源局計算機網(wǎng)絡(luò)管理暫行規(guī)定》與本規(guī)定有抵觸的，以本規(guī)定為準。

十、本規(guī)定自二○一○年二月十日起執(zhí)行。

第四篇：國家能源局與香港特別行政區(qū)政府關(guān)于

國家能源局與香港特別行政區(qū)政府關(guān)於

供氣供電問題的諒解備忘錄

受中央政府委託，國家發(fā)展改革委副主任、國家能源局局長張國寶與香港特別行政區(qū)行政長官曾蔭權(quán)就向港供氣供電有關(guān)問題進行了會談。雙方達成如下共識：

一、香港的繁榮穩(wěn)定符合祖國的根本利益，中央政府將繼續(xù)支持內(nèi)地與香港特區(qū)的能源合作，確保長期穩(wěn)定供應香港核電、天然氣，增加使用清潔能源，保持香港的長期繁榮穩(wěn)定。

二、中央與香港特區(qū)政府支持中國廣東核電公司在原有協(xié)議基礎(chǔ)上，續(xù)簽20年供電協(xié)議，原則上供電量不低於現(xiàn)有供電水平，供電價格由企業(yè)間按商業(yè)原則商談。

三、中央政府支持向香港供應天然氣。支持中海油在現(xiàn)有海上天然氣供應基礎(chǔ)上，續(xù)簽20年長期供氣協(xié)議，價格按市場原則確定。原則同意利用已規(guī)劃的西氣東輸二線，開展向香港供氣的可行性研究，在內(nèi)地一側(cè)共同建設(shè)LNG接收站向香港供氣。支持相關(guān)企業(yè)統(tǒng)籌考慮海上、管道、LNG天然氣供應，就供氣量、氣價及供氣方案儘快達成協(xié)議。

國家能源局

2008年8月28日

香港特別行政區(qū)政府 2008年8月28日

第五篇：網(wǎng)絡(luò)與信息安全

《網(wǎng)絡(luò)與信息安全》復習資料

信息安全特征：完整性、保密性、可用性、不可否認性、可控性。保密學是研究信息系統(tǒng)安全保密的科學。

網(wǎng)絡(luò)信息安全體系結(jié)構(gòu)框架：安全控制單元、安全服務(wù)層面、協(xié)議層次。公鑰密碼：由兩個密碼組成，每個用戶擁有一對選擇密鑰：加密密鑰與解密密鑰。公鑰密碼特點：（1）加密密鑰和解密密鑰在本質(zhì)上是不同的，即使知道一個密鑰，也不存在可以輕易地推導出另一個密鑰的有效算法。（2）不需要增加分發(fā)密鑰的額外信道。公布公鑰空間，不影響公鑰系統(tǒng)的保密性，因為保密的僅是解密密鑰。公鑰密碼系統(tǒng)應具備兩個條件：（1）加密和解密交換必須滿足在計算上是容易的。（2）密碼分析必須滿足在計算機上是困難的。協(xié)議：兩個或兩個以上的主體為完成某一特定任務(wù)共同發(fā)起的某種協(xié)約或采取的一系列步驟。協(xié)議的特征：（1）至始至終有序進行。（2）協(xié)議成立至少要有兩個主體。（3）協(xié)議執(zhí)行要通過實體操作來實現(xiàn)。數(shù)字簽名與手寫簽名的區(qū)別：（1）簽名實體對象不同。（2）認證方式不同。（3）拷貝形式不同。

簽名算法的三個條件：（1）簽名者事后不能否認自己的簽名。（2）任何其他人都不能偽造簽名，接收者能驗證簽名。（3）當簽名雙方發(fā)生爭執(zhí)時，可由公正的第三方通過驗證辨別真?zhèn)巍?/p>

不可否認數(shù)字簽名：沒有簽名者的合作，接收者就無法驗證簽名，某種程度上保護了簽名者的利益，從而可防止復制或散布簽名文件的濫用。

不可否認數(shù)字簽名方案由三部分組成：數(shù)字簽名算法、驗證協(xié)議、否認協(xié)議。

散列函數(shù)：一種將任意長度的消息壓縮為某一固定長度的消息摘要的函數(shù)。消息認證碼：滿足某種安全性質(zhì)帶有密鑰功能的單向散列函數(shù)。身份證明分兩大婁：身份證實、身份識別。信息隱藏：把一個有含義的信息隱藏在另一個載體信息中得到隱密載體的一種新型加密方式。

信息隱藏的兩種主要技術(shù)：信息隱秘術(shù)、數(shù)字水印術(shù)。數(shù)字水印技術(shù)：指用信號處理的方法在數(shù)字化的多媒體數(shù)據(jù)中嵌入隱藏標識的技術(shù)。

三種數(shù)字水?。海?）穩(wěn)健的不可見的水印。（2）不穩(wěn)健的不可見的水印。（3）可見的水印。

數(shù)字水印三個特征：（1）穩(wěn)健性。（2）不可感知性。（3）安全可靠性。

數(shù)字水印三個部分：（1）水印生成。（2）水印嵌入。（3）水印提取（檢測）。

密鑰管理的基本原則：（1）脫離密碼設(shè)備的密鑰數(shù)據(jù)應絕對保密。（2）密碼設(shè)備內(nèi)部的密鑰數(shù)據(jù)絕對不外泄。（3）密鑰使命完成，應徹底銷毀、更換。常用密鑰種類：（1）工作密鑰。（2）會話密鑰。（3）密鑰加密密鑰。（4）主機主密鑰。

公開密鑰分發(fā)：（1）廣播式密鑰分發(fā)。（2）目錄式密鑰分發(fā)。（3）公開密鑰機構(gòu)分發(fā)。（4）公開密鑰證書分發(fā)。密鑰保護方法：（1）終端密鑰保護。（2）主機密鑰保護。（3）密鑰分級保護管理。

秘密共享方案：將一個密鑰K分成n個共享密鑰K1、K2……Kn，并秘密分配給n個對象保管。密鑰托管技術(shù)：為用戶提供更好的安全通信方式，同時允許授權(quán)者為了國家等安全利益，監(jiān)聽某些通信和解密有關(guān)密文。密鑰托管加密體制由三部分組成：用戶安全分量、密鑰托管分量、數(shù)據(jù)恢復分量。密鑰管理：指對于網(wǎng)絡(luò)中信息加密所需要的各種密鑰在產(chǎn)生、分配、注入、存儲、傳送及使用過程中的技術(shù)和管理體制。

保密通信的基本要求：保密性、實時性、可用性、可控性。密碼保護技術(shù)：密碼校驗、數(shù)字簽名、公證消息。通信保密技術(shù)：（1）語音保密通信（模擬置亂技術(shù)、數(shù)字加密技術(shù)）。（2）數(shù)據(jù)保密通信。（3）圖像保密通信（模擬置亂、數(shù)字化圖象信號加密）。網(wǎng)絡(luò)通信加密的形式：（1）鏈路加密。（2）端－端加密。（3）混合加密。網(wǎng)絡(luò)通信訪問基本控制方式：（1）連接訪問控制。（2）網(wǎng)絡(luò)數(shù)據(jù)訪問控制。（3）訪問控制轉(zhuǎn)發(fā)。（4）自主訪問控制與強制訪問控制。接入控制功能：（1）阻止非法用戶進入系統(tǒng)。（2）允許合法用戶進入系統(tǒng)。（3）使合法用戶按其權(quán)限進行活動。接入控制策略：（1）最小權(quán)限策略。（2）最小泄漏策略。（3）多級安全策略。接入控制技術(shù)方法：（1）用戶標識與認證。（2）身份認證特征（口令認證方式、協(xié)議驗證身份）。

PGP的五種功能：認證性、機密性、壓縮、Email兼容性、分段與重組。IP層安全功能：鑒別服務(wù)、機密性、密鑰管理。

安全套接層SSL提供的安全服務(wù)：信息保密、信息完整性、相互認證。

PPDR－A模型五要素：安全策略、安全監(jiān)測、安全反應、安全防御、安全對抗。操作系統(tǒng)安全訪問控制：測試程序訪問控制、操作系統(tǒng)的訪問權(quán)限控制、保護機制的訪問控制、用戶認證訪問控制。

安全操作系統(tǒng)設(shè)計四環(huán)節(jié)：安全模型、安全設(shè)計、安全確認、正確實施。安全網(wǎng)絡(luò)平臺種類：Windows NT、UNIX、Linux。（Linux兼容性好、源代碼開放、安全透明）。

數(shù)據(jù)庫安全條件：數(shù)據(jù)獨立性、數(shù)據(jù)安全性、數(shù)據(jù)完整性、數(shù)據(jù)使用性、備份與恢復。

VPN（虛擬專用網(wǎng)）核心技術(shù)：隧道技術(shù)、密碼技術(shù)、管理技術(shù)。

政務(wù)網(wǎng)的特點：信息公眾化、信息機關(guān)化、信息存儲量大、保密程度高、訪問密級多樣化。

政務(wù)網(wǎng)建設(shè)的三個安全域：（1）涉密域。（2）非涉密域。（3）公共服務(wù)域。

黑客攻擊：指黑客利用系統(tǒng)漏洞和非常規(guī)手段，進行非授權(quán)的訪問行為和非法運行系統(tǒng)或非法操作數(shù)據(jù)。

防黑客攻擊幾種防范技術(shù)：安全性設(shè)計保護、先進的認證技術(shù)、掃描檢測審計技術(shù)。

常規(guī)網(wǎng)絡(luò)掃描工具：SATAN掃描工具、Nessus安全掃描器、nmap掃描器、strobe掃描器。網(wǎng)絡(luò)監(jiān)聽工具：NetXRay、Sniffit。防火墻：在網(wǎng)絡(luò)安全邊界控制中，用來阻止從外網(wǎng)想進入給定網(wǎng)絡(luò)的非法訪問對象的安全設(shè)備。包括網(wǎng)絡(luò)級包過濾防火墻和應用級代理防火墻。

密罐：用來觀察黑客如何入侵計算機網(wǎng)絡(luò)系統(tǒng)的一個軟件“陷阱”，通常稱為誘騙系統(tǒng)。

計算機病毒：指編制或者在計算機程序中插入的破壞計算機功能或者數(shù)據(jù)，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。病毒檢測方法：比較法、搜索法、辨別法、分析法。

電子商務(wù)安全要求：可靠性、真實性、機密性、完整性、有效性、不可抵賴性、可控性。

電子商務(wù)安全服務(wù)：鑒別服務(wù)、訪問控制服務(wù)、機密性服務(wù)、不可否認服務(wù)。電子商務(wù)基本密碼協(xié)議：密鑰安全協(xié)議、認證安全協(xié)議、認證的密鑰安全協(xié)議。國際通用電子商務(wù)安全協(xié)議：SSL安全協(xié)議、SET安全協(xié)議、S－HTTP安全協(xié)議、STT安全協(xié)議。

電子商務(wù)實體要素：持卡人、發(fā)卡機構(gòu)、商家、銀行、支付網(wǎng)關(guān)、認證機構(gòu)。