第一篇：網絡與信息安全管理制度

網絡與信息安全管理制度 網絡與信息安全保障措施

1.在網站的服務器及工作站上均安裝了防病毒軟件，對計算機病毒、有害電子郵件有整套的防范措施，防止有害信息對網站系統(tǒng)的干擾和破壞。

2.做好網站訪問日志的留存。網站具有保存60天以上的系統(tǒng)運行日志和用戶使用日志記錄功能，內容包括IP地址及使用情況，主頁維護者、郵箱使用者和對應的IP地址情況等。

3.交互式欄目具備有IP地址、身份登記和識別確認功能，對沒有合法手續(xù)和不具備條件的電子公告服務立即關閉。

4.網站信息服務系統(tǒng)建立了實時備份機制，一旦主系統(tǒng)遇到故障或受到攻擊導致不能正常運行，保證備用系統(tǒng)能及時替換主系統(tǒng)提供服務。

5.關閉網站系統(tǒng)中暫不使用的服務功能，及相關端口，并及時用補丁修復系統(tǒng)漏洞，定期查殺病毒。

6.服務器平時處于鎖定狀態(tài)，并保管好登錄密碼；后臺管理界面設置超級用戶名及密碼，并綁定IP，以防他人登入。

7.網站提供集中式權限管理，針對不同的應用系統(tǒng)、終端、操作人員，由網站系統(tǒng)管理員設置共享數據庫信息的訪問權限，并設置相應的密碼及口令。不同的操作人員設定不同的用戶名，且定期更換，嚴禁操作人員泄漏自己的口令。對操作人員的權限嚴格按照崗位職責設定，并由網站系統(tǒng)管理員定期檢查操作人員權限。

8.電信機房標準建設，內有必備的獨立UPS不間斷電源、定期檢查滅火器。9.機房配務有軟、硬件防火墻，并有工作人員24小時值班。信息安全保密管理制度 2.1 管理人員行為規(guī)范

尊重并保護用戶的個人隱私，除了在與用戶簽署的隱私政策和相關服務條款以及其它公布的準則規(guī)定的情況下，未經用戶允許管理人員人得隨意公布用戶相關信息（身份、聯(lián)系電話等）

所有用戶信息將得到本平臺管理系統(tǒng)的安全保存，并在與用戶的簽署的協(xié)議時間內承諾并保證保護用戶信息的安全。

嚴格遵守用戶賬號使用登錄和操作權限管理制度對用戶信息專人管理、嚴格保密、未經授權不得向它人泄露。

2.2 信息監(jiān)控制度

一、網站信息必須在網頁上標明來源；(即有關轉載信息都必須標明轉載的地址)

二、相關責任人定期或不定期檢查網站信息內容，實施有效監(jiān)控，做好安全監(jiān)督工作；

三、不得利用國際互聯(lián)網制作、復制、查閱和傳播一系列以下信息，如有違反規(guī)定有關部門將按規(guī)定對其進行處理；

A、違反憲法所確定的基本原則的；

B、危害國家安全，泄露國家秘密，顛覆國家政權，破壞國家統(tǒng)一的； C、損害國家榮譽和利益的； D、煽動民族仇恨、民族歧視、破壞民族團結的； E、破壞國家宗教政策，宣揚邪教和封建迷信的； F、散布謠言，擾亂社會秩序，破壞社會穩(wěn)定的；

G、散布淫穢、色情、賭博、暴力、兇殺、恐怖或者教唆犯罪的； H、侮辱或者誹謗他人，侵害他人合法權益的； 含有法律、行政法規(guī)禁止的其他內容的。

2.3 組織結構：

設置專門的網絡管理員，并由其上級進行監(jiān)督、凡向國際聯(lián)網的站點提供或發(fā)布信息，必須經過保密審查批準。保密審批實行部門管理，有關單位應當根據國家保密法規(guī)，審核批準后發(fā)布、堅持做到來源不明的不發(fā)、未經過上級部門批準的不發(fā)、內容有問題的不發(fā)、的三不發(fā)制度。

對網站管理實行責任制對網站的管理人員，以及領導明確各級人員的責任，管理網站的正常運行，嚴格抓管理工作，實行誰管理誰負責。因疏于管理而導致網絡安全事故和信息管理事故的，將追究該單位網絡工作主管領導、信息監(jiān)控人員、網絡管理員的責任，視事故嚴重程度給予相關責任人以行政處罰。用戶信息安全管理制度

3.1 信息安全內部人員保密管理制度：

1、相關內部人員不得對外泄露需要保密的信息；

2、內部人員不得發(fā)布、傳播國家法律禁止的內容；

3、建立信息發(fā)布審核機制，信息發(fā)布之前經過相關人員審核；

4、對相關管理人員設定網站管理權限，不得越權管理網站信息；

5、一旦發(fā)生網站信息安全事故，應立即報告相關方并及時進行協(xié)調處理；

6、對有毒有害的信息進行過濾、用戶信息進行保密。

3.2 登陸用戶信息安全管理制度：

1、登記注冊表應由專人負責保管，未經授權不得復制、透露給第三方；

2、只允許用戶的單一登錄；即單一用戶名只對應單一口令

3、對登陸用戶信息閱讀與發(fā)布按需要設置權限。用戶可自主改變登錄密碼，以保護用戶信息的隱私權；

4、對用戶在網站上的行為進行有效監(jiān)控，保證內部信息安全；

5、規(guī)定用戶不得傳播、發(fā)布國家法律禁止的內容。

6、針對用戶發(fā)布信息建立審核機制，設定信息開關，所有信息一律師事務所審核后再開放顯示。

7、除用戶授權外，系統(tǒng)管理員不得對用戶信息進行復制、刪改；

8、定期將用戶信息備份并保存，以防用戶誤操作，丟失原有信息；

9、加強對用戶的網絡制度、法律法規(guī)的宣傳；并組織集中學習與培訓，加強用戶相關的法律意識，提高用戶的自我束約能力。

10、固定用戶不得傳播、發(fā)布國家法律禁止的內容。

11、如用戶要求對服務器網絡配置進行改動、增減信息目錄結構，用戶需要向系統(tǒng)分析員提出書面申請。

第二篇：網絡信息安全管理制度

三、數據安全管理

1、工作所需的資料、數據，不得帶出辦公區(qū)。因外派等業(yè)務需帶出的情況除外，但需始終注意做好相關資料的保密工作。外派等業(yè)務活動結束后，必須將相關資料數據及時帶回，并清除保留在公司以外設備上的資料。

2、當使用公司的網絡打印機時，打印的資料必須在 30 分鐘內取回，保密資料的打印不得使用公用的網絡打印機。

3、保密的資料應設臵密碼并妥善保管，不得隨意臵于桌面。

4、在執(zhí)行資料轉移時，要對那些存儲保密資料或數據的載體使用強保密措施并進行保護。

5、個人資料，工作資料應定期做好備份工作（重要資料應隨時雙重備份在其他電腦和其他介質上），以防病毒侵襲、硬件損壞等造成數據丟失。

四、網絡信息安全管理

1、新員工入職，在得到自己的辦公平臺的帳戶名和密碼后，應立即更改自己的密碼，如果因為沒有更改密碼而造成辦公平臺或公共管理系統(tǒng)帳戶被他人盜用的情況，后果將由員工本人負責。

2、公司辦公平臺是為全體員工從事生產活動以及業(yè)務溝通提供服務的。不得利用公司的辦公平臺從事與工作無關的活動，一經查出或對公司造成不良影響的，將追究其責任。

3、員工有責任預防病毒的傳播，有任何疑問都可以與綜合部網絡管理員聯(lián)系。如果員工未按照上述要求執(zhí)行，導致電腦感染電腦病毒并在公司局域網內傳播電腦病毒，造成嚴重后果的，公司將追究該員工的責任。

4、由于辦公平臺服務器磁盤空間有限，公司通常情況下默認分配給每個員工的空間是 1G，員工應將在辦公平臺存儲超過一年的文件刪除，以節(jié)約磁盤空間，重要文件請聯(lián)系網維。

5.公司IP地址由綜合部網絡管理員統(tǒng)一規(guī)劃和分配使用，員工個人不得隨意變更個人電腦的IP地址。

6、個人由于業(yè)務學習等而需用計算機以及計算機網絡的，可以利用休息時間進行，不可以占用工作時間。

7、不得利用計算機技術侵占用戶合法利益，不得制作、復制、和傳播妨害公司穩(wěn)定的有關信息。

8、不得利用公司計算機網絡從事危害國家安全及其他法律明文禁止的活動；

9、不訪問不明網站的內容，以避免惡意網絡攻擊和病毒的侵擾。

六、下載管理

1、不準在任何時間利用公司網絡下載黑客工具、解密軟件，系統(tǒng)掃描工具，木馬程序等威脅系統(tǒng)和網絡安全的軟件。

2、工作期間不允許下載和在線觀看與工作無關的軟件或其他內容，如 MP3、小說、電影、電視和圖片等。

3、由于擅自進行下載/上傳造成網絡堵塞甚至癱瘓或致使病毒傳播者，一經核實，公司依據相關規(guī)定將給予警告、通報批評。

第三篇：網絡信息安全管理制度

網絡信息安全管理制度

一、為保證我校校園網信息安全，充分發(fā)揮網絡在教學科研和管理中的作用，制定本制度。

二、校園網網絡信息安全管理在學校網絡信息工作領導小組的領導下進行。網絡信息安全管理的范圍包括信息發(fā)布的審查；信息的日常巡查；網絡攻擊的監(jiān)測、預防；網絡計算機病毒的預防和清除；有害信息的清理、記錄、備份以及上報等。

三、所有校園網發(fā)布的信息，須按照我?！缎@網信息發(fā)布管理辦法》的規(guī)定進行審查核準。

四、網絡中心以及校內各站點（包括BBS站點）必須有專人負責信息安全工作，要對所有網上信息進行日常巡查和維護。

五、要隨時監(jiān)測來自網絡的各種攻擊行為，制定有效的控制和預防手段，對容易造成嚴重后果的攻擊行為，要及時報告國家教育科研網緊急響應組（http://）進行處理。

六、所有接入校園網的主機必須安裝有效的病毒防范和清除軟件，并做到及時升級。如預不能有效清除的病毒，要及時報告學校網絡中心進行處理。所有經過網絡傳輸的文件必須預先進行查殺病毒處理。

七、對于國務院頒布的《互聯(lián)網信息服務管理辦法》第十五條所列之有害信息，各站點網絡信息安全管理人員必須及時發(fā)現(xiàn)，及時清除并做好紀錄。必要時須做好電子文檔備份備查。如預緊急情況可停機或停止服務，并及時報告網絡中心和學校保衛(wèi)部門。

第四篇：網絡信息安全管理制度

網絡信息安全管理制度

1、建立健全上網用戶日志保存制度。我們將為連入校園網的部門和用戶建立詳細的日志保存服務，保存期達半年之久。如若超出了日志的保存時間，網絡會自動覆蓋超出的存量。

2、建立論壇信息安全巡查制度。中心會設立專門的網絡管理員對論壇中的信息進行經常性的安全巡杳。校園網上的單位和用戶必須對所提供的信息負責。不得利用計算機網絡從事危害國家安全、煽動民族分裂、破壞民族團結以及泄露國家機密等犯罪活動；不得制作、查閱、復制和傳播有礙社會治安和有傷風化的信息。

3、在校園網上不允許進行任何干擾網絡用戶、破壞網絡服務和破壞網絡設備以及私自更改網絡配置等活動；不允許在網絡上散布計算機病毒、使用網絡進入未經授權使用的計算機和不以真實身份使用網絡資源；不得利用網絡侵犯他人的正當權益。

4、網絡中心和各入網部門定期對相應的網絡用戶進行有關的信息安全和網絡安全教育并對上網信息進行審查。凡涉及國家機密的信息嚴禁上網。

5、校園網上所有用戶有義務向網絡管理員和有關部門報告違反本管理制度的行為。

6、校園網的有關工作人員和用戶必須接受并配合國家有關部門進行的監(jiān)督檢查。

7、建立案件報告和案件調查協(xié)助配合制度。對于違反本制度的入網部門和用戶，網絡中心將擬案件報，并協(xié)助配合黨辦、校辦、宣傳部和保衛(wèi)處等上級單位進行調查。依照情節(jié)輕重對其采取如下處罰措施：警告、停止網絡連接直至訴諸法律。

景德鎮(zhèn)高等專科學校網絡中心

2002年月29日

第五篇：網絡與信息安全

《網絡與信息安全》復習資料

信息安全特征：完整性、保密性、可用性、不可否認性、可控性。保密學是研究信息系統(tǒng)安全保密的科學。

網絡信息安全體系結構框架：安全控制單元、安全服務層面、協(xié)議層次。公鑰密碼：由兩個密碼組成，每個用戶擁有一對選擇密鑰：加密密鑰與解密密鑰。公鑰密碼特點：（1）加密密鑰和解密密鑰在本質上是不同的，即使知道一個密鑰，也不存在可以輕易地推導出另一個密鑰的有效算法。（2）不需要增加分發(fā)密鑰的額外信道。公布公鑰空間，不影響公鑰系統(tǒng)的保密性，因為保密的僅是解密密鑰。公鑰密碼系統(tǒng)應具備兩個條件：（1）加密和解密交換必須滿足在計算上是容易的。（2）密碼分析必須滿足在計算機上是困難的。協(xié)議：兩個或兩個以上的主體為完成某一特定任務共同發(fā)起的某種協(xié)約或采取的一系列步驟。協(xié)議的特征：（1）至始至終有序進行。（2）協(xié)議成立至少要有兩個主體。（3）協(xié)議執(zhí)行要通過實體操作來實現(xiàn)。數字簽名與手寫簽名的區(qū)別：（1）簽名實體對象不同。（2）認證方式不同。（3）拷貝形式不同。

簽名算法的三個條件：（1）簽名者事后不能否認自己的簽名。（2）任何其他人都不能偽造簽名，接收者能驗證簽名。（3）當簽名雙方發(fā)生爭執(zhí)時，可由公正的第三方通過驗證辨別真?zhèn)巍?/p>

不可否認數字簽名：沒有簽名者的合作，接收者就無法驗證簽名，某種程度上保護了簽名者的利益，從而可防止復制或散布簽名文件的濫用。

不可否認數字簽名方案由三部分組成：數字簽名算法、驗證協(xié)議、否認協(xié)議。

散列函數：一種將任意長度的消息壓縮為某一固定長度的消息摘要的函數。消息認證碼：滿足某種安全性質帶有密鑰功能的單向散列函數。身份證明分兩大婁：身份證實、身份識別。信息隱藏：把一個有含義的信息隱藏在另一個載體信息中得到隱密載體的一種新型加密方式。

信息隱藏的兩種主要技術：信息隱秘術、數字水印術。數字水印技術：指用信號處理的方法在數字化的多媒體數據中嵌入隱藏標識的技術。

三種數字水印：（1）穩(wěn)健的不可見的水印。（2）不穩(wěn)健的不可見的水印。（3）可見的水印。

數字水印三個特征：（1）穩(wěn)健性。（2）不可感知性。（3）安全可靠性。

數字水印三個部分：（1）水印生成。（2）水印嵌入。（3）水印提?。z測）。

密鑰管理的基本原則：（1）脫離密碼設備的密鑰數據應絕對保密。（2）密碼設備內部的密鑰數據絕對不外泄。（3）密鑰使命完成，應徹底銷毀、更換。常用密鑰種類：（1）工作密鑰。（2）會話密鑰。（3）密鑰加密密鑰。（4）主機主密鑰。

公開密鑰分發(fā)：（1）廣播式密鑰分發(fā)。（2）目錄式密鑰分發(fā)。（3）公開密鑰機構分發(fā)。（4）公開密鑰證書分發(fā)。密鑰保護方法：（1）終端密鑰保護。（2）主機密鑰保護。（3）密鑰分級保護管理。

秘密共享方案：將一個密鑰K分成n個共享密鑰K1、K2……Kn，并秘密分配給n個對象保管。密鑰托管技術：為用戶提供更好的安全通信方式，同時允許授權者為了國家等安全利益，監(jiān)聽某些通信和解密有關密文。密鑰托管加密體制由三部分組成：用戶安全分量、密鑰托管分量、數據恢復分量。密鑰管理：指對于網絡中信息加密所需要的各種密鑰在產生、分配、注入、存儲、傳送及使用過程中的技術和管理體制。

保密通信的基本要求：保密性、實時性、可用性、可控性。密碼保護技術：密碼校驗、數字簽名、公證消息。通信保密技術：（1）語音保密通信（模擬置亂技術、數字加密技術）。（2）數據保密通信。（3）圖像保密通信（模擬置亂、數字化圖象信號加密）。網絡通信加密的形式：（1）鏈路加密。（2）端－端加密。（3）混合加密。網絡通信訪問基本控制方式：（1）連接訪問控制。（2）網絡數據訪問控制。（3）訪問控制轉發(fā)。（4）自主訪問控制與強制訪問控制。接入控制功能：（1）阻止非法用戶進入系統(tǒng)。（2）允許合法用戶進入系統(tǒng)。（3）使合法用戶按其權限進行活動。接入控制策略：（1）最小權限策略。（2）最小泄漏策略。（3）多級安全策略。接入控制技術方法：（1）用戶標識與認證。（2）身份認證特征（口令認證方式、協(xié)議驗證身份）。

PGP的五種功能：認證性、機密性、壓縮、Email兼容性、分段與重組。IP層安全功能：鑒別服務、機密性、密鑰管理。

安全套接層SSL提供的安全服務：信息保密、信息完整性、相互認證。

PPDR－A模型五要素：安全策略、安全監(jiān)測、安全反應、安全防御、安全對抗。操作系統(tǒng)安全訪問控制：測試程序訪問控制、操作系統(tǒng)的訪問權限控制、保護機制的訪問控制、用戶認證訪問控制。

安全操作系統(tǒng)設計四環(huán)節(jié)：安全模型、安全設計、安全確認、正確實施。安全網絡平臺種類：Windows NT、UNIX、Linux。（Linux兼容性好、源代碼開放、安全透明）。

數據庫安全條件：數據獨立性、數據安全性、數據完整性、數據使用性、備份與恢復。

VPN（虛擬專用網）核心技術：隧道技術、密碼技術、管理技術。

政務網的特點：信息公眾化、信息機關化、信息存儲量大、保密程度高、訪問密級多樣化。

政務網建設的三個安全域：（1）涉密域。（2）非涉密域。（3）公共服務域。

黑客攻擊：指黑客利用系統(tǒng)漏洞和非常規(guī)手段，進行非授權的訪問行為和非法運行系統(tǒng)或非法操作數據。

防黑客攻擊幾種防范技術：安全性設計保護、先進的認證技術、掃描檢測審計技術。

常規(guī)網絡掃描工具：SATAN掃描工具、Nessus安全掃描器、nmap掃描器、strobe掃描器。網絡監(jiān)聽工具：NetXRay、Sniffit。防火墻：在網絡安全邊界控制中，用來阻止從外網想進入給定網絡的非法訪問對象的安全設備。包括網絡級包過濾防火墻和應用級代理防火墻。

密罐：用來觀察黑客如何入侵計算機網絡系統(tǒng)的一個軟件“陷阱”，通常稱為誘騙系統(tǒng)。

計算機病毒：指編制或者在計算機程序中插入的破壞計算機功能或者數據，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。病毒檢測方法：比較法、搜索法、辨別法、分析法。

電子商務安全要求：可靠性、真實性、機密性、完整性、有效性、不可抵賴性、可控性。

電子商務安全服務：鑒別服務、訪問控制服務、機密性服務、不可否認服務。電子商務基本密碼協(xié)議：密鑰安全協(xié)議、認證安全協(xié)議、認證的密鑰安全協(xié)議。國際通用電子商務安全協(xié)議：SSL安全協(xié)議、SET安全協(xié)議、S－HTTP安全協(xié)議、STT安全協(xié)議。

電子商務實體要素：持卡人、發(fā)卡機構、商家、銀行、支付網關、認證機構。