第一篇：信息系統(tǒng)安全工程學

網(wǎng)絡信息安全之社會工程學攻擊

摘要：提到網(wǎng)絡安全就不得不提黑客。黑客，網(wǎng)絡的最主要的玩家。有了網(wǎng)絡，有了黑客，也就有了網(wǎng)絡安全這個概念。社會工程學是黑客攻擊網(wǎng)絡的主要的手段之一。尤其是這幾年社會工程學攻擊越來越猖獗，所以了解社會工程學是很有必要的。知己知彼，百戰(zhàn)不殆。本文主要介紹一下社會工程學的含義、起源，發(fā)展，其進攻手段以及防范社會工程學的攻擊的方法與技術。

關鍵詞：非傳統(tǒng)信息安全，社會工程學師，網(wǎng)絡釣魚攻擊，數(shù)據(jù)加密，數(shù)據(jù)隱寫。

隨著電子商務的不斷發(fā)展，全球電子交易一體化將成為可能。信息成了越來越重要的財富。但是，開放的信息系統(tǒng)必然存在眾多潛在的安全隱患，黑客和反黑客、破壞和反破壞的斗爭仍將繼續(xù)。在這樣的斗爭中，網(wǎng)絡信息安全技術作為一個獨特的領域越來越受到人們的關注。

那么什么是社會工程學攻擊？提到社會工程學不得不提一個人。相信對網(wǎng)絡有較深入的玩家都知道凱文·米特尼克。他是黑客中的王者。在他身上體現(xiàn)了什么是真正的社會工程學。他締造了一個又一個神話。15歲侵入“北美空中防務指揮系統(tǒng)”的計算主機內。緊接著又侵入了“太平洋電話”公司，更改了數(shù)據(jù)庫中的數(shù)據(jù)。這只是他輝煌歷史的一個小小的片段。他的這一切的輝煌經(jīng)濟靠得不僅是傳統(tǒng)系統(tǒng)的系統(tǒng)的入侵，更主要的是社會工程學。

社會工程學就是利用人的心理弱點（如人的本能反應、好奇心、信任、貪婪）、規(guī)章與制度的漏洞等進行諸如欺騙、傷害等手段，以期獲得所需的信息（如計算機口令、銀行帳號信息）。社會工程學有狹義與廣義之分。廣義與俠義社會工程學最明顯的區(qū)別是會與受害者進行交互式行為。比如，你會設置一個陷阱使對方調入，或是你會偽造一封來自內部的虛假電子郵件，或者你會利用相關通信工具於他們交流獲取敏感信息。廣義的社會工程學師師不會亂去下載網(wǎng)站與論壇的數(shù)據(jù)庫碰運氣。而是清楚的知道自己需要什么信息，應該怎樣去做，從收集的信息當中分析出應該與哪個關鍵人物交流。這就是真正的社會工程學師攻擊的思想。社會工程學入侵與傳統(tǒng)的黑客入侵有著本質的區(qū)別，是非傳統(tǒng)的信息安全。它不是利用漏洞入侵，而是利用人為性的漏洞。它無法用硬件防火墻、入侵檢測系統(tǒng)，虛擬專用網(wǎng)絡，亦或是安全軟件產品所能防御的。社會工程學不是單純針對系統(tǒng)入侵與源代碼竊取，本質上，它在黑客攻擊邊沿上獨立并平衡著。它的威脅不僅僅是信息安全，更包括能源、經(jīng)濟、文化、恐怖主義等。國防大學盧凡博士曾經(jīng)說過：“它（社會工程學攻擊）并不能等同于一般的欺騙手法，即使自認為最警惕最小小心的人，一樣會受到高明的社會工程學手段的損害，因為社會工程學主導著非傳統(tǒng)信息安全，所以通過對它的研究可以提高對非傳統(tǒng)信息安全事件的能力?！?/p>

現(xiàn)在的大多數(shù)攻擊的典型入侵手段既傳統(tǒng)的系統(tǒng)攻擊與腳本攻擊，由于安全廠商不斷提供完備的解決方案變得越來越難了。在這樣的情況下社會工程學慢慢的成了主流入侵技術，他們通過信息搜集與撥打電話式的社交直接索取密碼，使得入侵更加容易。但同時就網(wǎng)絡安全提出了更高的要求。是不斷完善的安全技術推動了社會工程學的進一步發(fā)展。因此，想確保網(wǎng)絡信息安全，就必須了解其主要的進攻手段。

首先介紹一下網(wǎng)絡釣魚攻擊。

網(wǎng)絡釣魚（Phishing）一詞，是“Fishing”和“Phone”的綜合體，由于黑客始祖起初是以電話作案，所以用“Ph”來取代“F”，創(chuàng)造了”Phishing”。其含義是通過大量發(fā)送聲稱來自于銀行或其他知名機構的欺騙性垃圾郵件，意圖引誘收信人給出敏感信息（如用戶名、口令、帳號 ID、ATM PIN 碼或信用卡詳細信息）的一種攻擊方式。最典型的網(wǎng)絡釣魚攻擊將收信人引誘到一個通過精心設計與目標組織的網(wǎng)站非常相似的釣魚網(wǎng)站上，并獲取收信人在此網(wǎng)站上輸入的個人敏感信息，通常這個攻擊過程不會讓受害者警覺。這些個人信息對黑客們具有非常大的吸引力，因為這些信息使得他們可以假冒受害者進行欺詐性金融交易，從而獲得經(jīng)濟利益。受害者經(jīng)常遭受顯著的經(jīng)濟損失或全部個人信息被竊取并用于犯罪的目的。案例：今年2月份發(fā)現(xiàn)的一種騙取美邦銀行（Smith Barney）用戶的帳號和密碼的“網(wǎng)絡釣魚”電子郵件，該郵件利用了IE的圖片映射地址欺騙漏洞，并精心設計腳本程序，用一個顯示假地址的彈出窗口遮擋住了IE瀏覽器的地址欄，使用戶無法看到此網(wǎng)站的真實地址。當用戶使用未打補丁的Outlook打開此郵件時，狀態(tài)欄顯示的鏈接是虛假的。當用戶點擊鏈接時，實際連接的是釣魚網(wǎng)站http://**.41.155.60:87/s。該網(wǎng)站頁面酷似Smith Barney銀行網(wǎng)站的登陸界面，而用戶一旦輸入了自己的帳號密碼，這些信息就會被黑客竊取。攻擊者也在不斷地進行技術創(chuàng)新和發(fā)展，目前新的網(wǎng)絡釣魚技術已經(jīng)在使用中。例如，用戶會受到一則即時通訊消息或一封電子郵件，消息或電子郵件自稱是朋友想讓用戶看渡假或生日舞會的照片，其中包含有指向釣魚式網(wǎng)站的鏈接。該網(wǎng)站能夠記錄用戶的ID和密碼，并將用戶引導到真正的Yahoo Photos網(wǎng)站。

其次是傳統(tǒng)的社交手段，如前面提到的通過打電話的方式，使用專業(yè)的術語，提出內部人員使用的ID，讓一個系統(tǒng)管理員登陸系統(tǒng)，并將其傳真過來便可搞定。

社會工程學的手段還有很多，但不是很常見。謹記以上欺騙手段便可以在一定程度上保護自己的信息。下面介紹如何一下防范社會工程學攻擊。

社會工程學攻擊竊取的是你的信息，所以你只需對你的信息做一些處理就能達到一定效果。黑客也許對你的電腦做了一些手段，來竊取你的機密信息。如果你的信息僅是幾段字符串的話（例如系統(tǒng)、郵箱等的登錄口令），利用COPY復制命令很容易完成簡單的隱藏工作）。這個方法的原理是將兩個不同類型的文件進行合并，如將記事本文件與圖片文件合并成新的圖像文件，記事本的信息只是追加在圖片文件數(shù)據(jù)尾，且是明文顯示的，要查看信息時只需要記事本打開。這只是一個小技術而已。下面介紹一下數(shù)據(jù)隱寫技術。數(shù)據(jù)隱寫技術是用隱寫軟件在圖片、音頻、文本等文件鐘隱藏了信息，當再次試圖解碼是仍然得使用該軟件進行解碼，所以將所有相關的東西都放到U盤中，才能保證你的數(shù)據(jù)安全。數(shù)字隱秘技術包括QR密文信息隱寫，MP3音頻文件信息隱寫,BMP與GIF圖片文件信息隱寫，TEXT、HTM、PDF文件信息隱寫，在線JPEG與PNG圖片信息隱寫以及反匯編技術信息隱寫等。數(shù)據(jù)加密技術是什么？是指將一個信息（或稱明文，plain text）經(jīng)過加密鑰匙及加密函數(shù)轉換，變成無意義的密文（ciphertext），而接收方則將次密文經(jīng)過解密函數(shù)、解密鑰匙還原成原文。加密的基本功能包括: 1.防止不速之客查看機密的數(shù)據(jù)文件； 2.防止機密數(shù)據(jù)被泄露或篡改；

3.防止特權用戶(如系統(tǒng)管理員)查看私人數(shù)據(jù)文件； 4.使入侵者不能輕易地查找一個系統(tǒng)的文件。

數(shù)據(jù)加密是確保計算機網(wǎng)絡安全的一種重要機制，雖然由于成本、技術和管理上的復雜性等原因，目前尚未在網(wǎng)絡中普及，但數(shù)據(jù)加密的確是實現(xiàn)分布式系統(tǒng)和網(wǎng)絡環(huán)境下數(shù)據(jù)安全的重要手段之一。

數(shù)據(jù)加密可在網(wǎng)絡OSI七層協(xié)議的多層上實現(xiàn)、所以從加密技術應用的邏輯位置看，有三種方式: ①鏈路加密：通常把網(wǎng)絡層以下的加密叫鏈路加密，主要用于保護通信節(jié)點間傳輸?shù)臄?shù)據(jù)，加解密由置于線路上的密碼設備實現(xiàn)。根據(jù)傳遞的數(shù)據(jù)的同步方式又可分為同步通信加密和異步通信加密兩種，同步通信加密又包含字節(jié)同步通信加密和位同步通信加密。②節(jié)點加密：是對鏈路加密的改進。在協(xié)議傳輸層上進行加密，主要是對源節(jié)點和目標節(jié)點之間傳輸數(shù)據(jù)進行加密保護，與鏈路加密類似.只是加密算法要結合在依附于節(jié)點的加密模件中，克服了鏈路加密在節(jié)點處易遭非法存取的缺點。

③端對端加密：網(wǎng)絡層以上的加密稱為端對端加密。是面向網(wǎng)絡層主體。對應用層的數(shù)據(jù)信息進行加密，易于用軟件實現(xiàn)，且成本低，但密鑰管理問題困難，主要適合大型網(wǎng)絡系統(tǒng)中信息在多個發(fā)方和收方之間傳輸?shù)那闆r。

在這個發(fā)展及其快的社會，信息變得越來越重要，因此如何利用社會工程學保護好個人的信息是網(wǎng)絡信息安全的最重要的項目之一，也是致力于網(wǎng)絡安全的工程師不得不考慮的問題。

參考文獻：《欺騙的藝術》；

《社會工程學》

《了解你的敵人》。

第二篇：信息系統(tǒng)安全

數(shù)字簽名過程 “發(fā)送報文時，發(fā)送方用一個哈希函數(shù)從報文文本中生成報文摘要,然后用自己的私人密鑰對這個摘要進行加密，這個加密后的摘要將作為報文的數(shù)字簽名和報文一起發(fā)送給接收方，接收方首先用與發(fā)送方一樣的哈希函數(shù)從接收到的原始報文中計算出報文摘要，接著再用發(fā)送方的公用密鑰來對報文附加的數(shù)字簽名進行解密，如果這兩個摘要相同、那么接收方就能確認該數(shù)字簽名是發(fā)送方的。

數(shù)字簽名有兩種功效：一是能確定消息確實是由發(fā)送方簽名并發(fā)出來的，因為別人假冒不了發(fā)送方的簽名。二是數(shù)字簽名能確定消息的完整性。因為數(shù)字簽名的特點是它代表了文件的特征，文件如果發(fā)生改變，數(shù)字簽名的值也將發(fā)生變化。不同的文件將得到不同的數(shù)字簽名。一次數(shù)字簽名涉及到一個哈希函數(shù)、發(fā)送者的公鑰、發(fā)送者的私鑰?！边@報文鑒別的描述！數(shù)字簽名沒有那么復雜。數(shù)字簽名： 發(fā)送方用自己的密鑰對報文X進行E運算，生成不可讀取的密文Esk，然后將Esx傳送給接收方，接收方為了核實簽名，用發(fā)送方的密鑰進行D運算，還原報文。

口令攻擊的主要方法

1、社會工程學(social Engineering)，通過人際交往這一非技術手段以欺騙、套取的方式來獲得口令。避免此類攻擊的對策是加強用戶意識。

2、猜測攻擊。首先使用口令猜測程序進行攻擊。口令猜測程序往往根據(jù)用戶定義口令的習慣猜測用戶口令，像名字縮寫、生日、寵物名、部門名等。在詳細了解用戶的社會背景之后，黑客可以列舉出幾百種可能的口令，并在很短的時間內就可以完成猜測攻擊。

3、字典攻擊。如果猜測攻擊不成功，入侵者會繼續(xù)擴大攻擊范圍，對所有英文單詞進行嘗試，程序將按序取出一個又一個的單詞，進行一次又一次嘗試，直到成功。據(jù)有的傳媒報導，對于一個有8萬個英文單詞的集合來說，入侵者不到一分半鐘就可試完。所以，如果用戶的口令不太長或是單詞、短語，那么很快就會被破譯出來。

4、窮舉攻擊。如果字典攻擊仍然不能夠成功，入侵者會采取窮舉攻擊。一般從長度為1的口令開始，按長度遞增進行嘗試攻擊。由于人們往往偏愛簡單易記的口令，窮舉攻擊的成功率很高。如果每千分之一秒檢查一個口令，那么86%的口令可以在一周內破譯出來。

5、混合攻擊，結合了字典攻擊和窮舉攻擊，先字典攻擊，再暴力攻擊。

避免以上四類攻擊的對策是加強口令策略。

6、直接破解系統(tǒng)口令文件。所有的攻擊都不能夠奏效，入侵者會尋找目標主機的安全漏洞和薄弱環(huán)節(jié)，飼機偷走存放系統(tǒng)口令的文件，然后破譯加密的口令，以便冒充合法用戶訪問這臺主機。

7:網(wǎng)絡嗅探(sniffer)，通過嗅探器在局域網(wǎng)內嗅探明文傳輸?shù)目诹钭址１苊獯祟惞舻膶Σ呤蔷W(wǎng)絡傳輸采用加密傳輸?shù)姆绞竭M行。

8:鍵盤記錄，在目標系統(tǒng)中安裝鍵盤記錄后門，記錄操作員輸入的口令字符串，如很多間諜軟件，木馬等都可能會盜取你的口述。

9:其他攻擊方式，中間人攻擊、重放攻擊、生日攻擊、時間攻擊。

避免以上幾類攻擊的對策是加強用戶安全意識，采用安全的密碼系統(tǒng)，注意系統(tǒng)安全，避免感染間諜軟件、木馬等惡意程序。

第三篇：信息系統(tǒng)安全管理制度

信息系統(tǒng)安全管理制度

一、總則

1、為加強公司網(wǎng)絡管理，明確崗位職責，規(guī)范操作流程，維護網(wǎng)絡正常運行，確保計算機信息系統(tǒng)的安全，現(xiàn)根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》、等有關規(guī)定，結合本公司實際，特制訂本制度；

2、計算機信息系統(tǒng)是指由計算機及其相關的和配套的設備、設施（含網(wǎng)絡）構成的，按照一定的應用目標和規(guī)則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)；

3、公司由微機科專門負責本公司范圍內的計算機信息系統(tǒng)安全管理工作。

二、網(wǎng)絡管理

1、遵守國家有關法律、法規(guī)，嚴格執(zhí)行安全保密制度及公司信息保密協(xié)議相關條款，不得利用網(wǎng)絡從事危害公司安全、泄露公司秘密等違法犯罪活動，嚴格控制和防范計算機病毒的侵入；

2、禁止未授權用戶或外來計算機接入公司計算機網(wǎng)絡及訪問、拷貝網(wǎng)絡中的資源；

3、任何員工不得故意輸入、傳播計算機病毒和其他有害數(shù)據(jù)，不得利用非法手段復制、截收、篡改計算機信息系統(tǒng)中的數(shù)據(jù)；

4、計算機各終端用戶應保管好自己的用戶帳號和密碼。嚴禁隨意向他人泄露、借用自己的帳號和密碼；計算機使用者更應以30天為周期更改密碼、密碼長度不少于8位。

三、設備管理

1、IT設備安全管理實行“誰使用誰負責”的原則（公用設備責任落實到部門）。嚴禁擅自移動和裝拆各類設備及其他輔助設備；嚴禁擅自請人維修；嚴禁擅自調整部門內部計算機信息系統(tǒng)的安排；

2、設備硬件或重裝操作系統(tǒng)等問題由微機科統(tǒng)一管理。

四、數(shù)據(jù)管理

1、計算機終端用戶計算機內的資料涉及公司秘密的，應該為計算機設定開機密碼或將文件加密；凡涉及公司機密的數(shù)據(jù)或文件，非工作需要不得以任何形式轉移，更不得透露給他人。離開原工作崗位的員工由所在部門經(jīng)理負責將其所有工作資料收回并保存；

2、工作范圍內的重要數(shù)據(jù)（重要程度由各部門負責人核定）由計算機終端用戶定期更新、備份，并提交給所在部門負責人，由部門負責人負責保存；

3、計算機終端用戶務必將有價值的數(shù)據(jù)存放在除系統(tǒng)盤(操作系統(tǒng)所在的硬盤分區(qū)，一般是C盤)外的盤上。計算機信息系統(tǒng)發(fā)生故障，應及時與微機科聯(lián)系并采取保護數(shù)據(jù)安全的措施；

4、終端用戶未做好備份前不得刪除任何硬盤數(shù)據(jù)。對重要的數(shù)據(jù)應準備雙份，存放在不同的地點；光盤保存的數(shù)據(jù)，要定期進行檢查，定期進行復制，防止由于磁性介質損壞，而使數(shù)據(jù)丟失；做好防磁、防火、防潮和防塵工作。

五、操作管理

1、凡涉及業(yè)務的專業(yè)軟件由使用人員自行負責。嚴禁利用計算機干與工作無關的事情；嚴禁除維修人員以外的外部人員操作各類設備；

2、微機科將有針對性地對員工的計算機應用技能進行定期或不定期的培訓，培訓成績將記入員工績效考核；由微機科收集計算機信息系統(tǒng)常見故障及排除方法并整理成冊，供公司員工學習參考。

3、計算機終端用戶在工作中遇到計算機信息系統(tǒng)問題，首先要學會自行處理或參照手冊處理；若遇到手冊中沒有此問題，或培訓未曾講過的問題，再與微機科或軟件開發(fā)單位、硬件供應商聯(lián)系，盡快解決問題。

六、網(wǎng)站管理

1、公司網(wǎng)站由微機科提供技術支持和后臺管理，由公司相關部門提供經(jīng)審核后的書面和電子版網(wǎng)站建設資料。

七、處罰措施

1、計算機終端用戶擅自下載、安裝或存放與工作無關的文件經(jīng)查實后，根據(jù)文件大小第一次按10元/100M（四舍五入到百兆）進行罰款，以后每次按倍數(shù)原則（第二次20元/100M，第三40元/100M，第四次80元/100M，以此類推）處罰。凡某一使用責任人此種情況出現(xiàn)三次以上（包括三次），將給予行政處罰。

2、有以下情況之一者，視情節(jié)嚴重程度處以50元以上500元以下罰款。構成犯罪的，依法追究刑事責任。（1）制造或者故意輸入、傳播計算機病毒以及其他有害數(shù)據(jù)的；

（2）非法復制、截收、篡改計算機信息系統(tǒng)中的數(shù)據(jù)危害計算機信息系統(tǒng)安全的；

（3）對網(wǎng)絡和服務器進行惡意攻擊，侵入他人網(wǎng)絡和服務器系統(tǒng)，利用計算機和網(wǎng)絡干擾他人正常工作；

（4）訪問未經(jīng)授權的文件、系統(tǒng)或更改設備設置；

（5）申請人在設備領用或報廢一周之內未將所涉及到的表單交微機科；（6）擅自與他人更換使用計算機或相關設備；

（7）擅自調整部門內部計算機的安排且未向行政部備案；

（8）日常抽查、崗位調動、離職時檢查到計算機配置與該計算機檔案不符、IT設備卡被撕毀、涂畫或遮蓋等；（9）工作時間外使用公司計算機做與工作無關的事務；（10）相同故障出現(xiàn)三次以上（包括三次）仍無法自行處理的；

（11）因工作需要長時間(五個小時以上)離開辦公位置或下班后無故未將計算機關閉；

3、計算機終端用戶因主觀操作不當對設備造成破壞兩次以上或蓄意對設備造成破壞的，視情節(jié)嚴重，按所破壞設備市場價值的20%~80%賠償，并給予行政處罰。

行政部微機科

第四篇：信息系統(tǒng)安全保密制度

信息系統(tǒng)安全保密制度

信息系統(tǒng)的安全保密工作是保證數(shù)據(jù)信息安全的基礎，同時給全院的信息安全保密工作提供了一個工作指導。為了加強我院信息系統(tǒng)的安全保密管理工作，根據(jù)上級要求，結合我院的實際情況，現(xiàn)制定如下制度：

第一章總則

第一條***學院校園網(wǎng)和各個信息系統(tǒng)的服務對象是學校教學、科研和管理機構，全校教職工和學生，以及其他經(jīng)學校授權的單位及個人。

第二條我院內任何部門及個人不得利用校園網(wǎng)危害國家安全、泄露國家秘密，不得侵犯國家、社會、集體利益和個人的合法權益，不得從事違法犯罪活動。第三條未經(jīng)批準，任何單位或個人不得將校園網(wǎng)延伸至校外或將校外網(wǎng)絡引入至校園內。未經(jīng)批準，任何數(shù)據(jù)業(yè)務運營商或電信代理商不得擅自進入山東信息職業(yè)技術學院內進行工程施工，開展因特網(wǎng)業(yè)務。

第四條各部門應按照國家信息系統(tǒng)等級保護制度的相關法律法規(guī)、標準規(guī)范的要求，落實信息系統(tǒng)安全等級保護制度。

第五條各部門要規(guī)范信息維護、信息管理、運行維護等方面的工作流程和機制，指定專人負責系統(tǒng)運行的日常工作，做好用戶授權等管理服務工作。

第二章數(shù)據(jù)安全

第六條本制度中的數(shù)據(jù)是指各類信息系統(tǒng)所覆蓋的所有數(shù)據(jù)，包括檔案管理系統(tǒng)、財務管理系統(tǒng)、資產管理系統(tǒng)、安防監(jiān)控系統(tǒng)以及學院網(wǎng)站等網(wǎng)站和系統(tǒng)的所有數(shù)據(jù)。

第七條各部門要及時補充和更新管理系統(tǒng)的業(yè)務數(shù)據(jù)，確保數(shù)據(jù)的完整性、時效性和準確性。第八條各部門要保證信息系統(tǒng)安全和數(shù)據(jù)安全，制定重要數(shù)據(jù)庫和系統(tǒng)主要設備的容災備案措施。記錄并保留至少60天系統(tǒng)維護日志。各系統(tǒng)管理員和個人要妥善保管好賬號和密碼，定期更新密碼，防止密碼外泄。

第九條保證各系統(tǒng)相關數(shù)據(jù)安全。各部門和系統(tǒng)管理人員，要對自己所管理的數(shù)據(jù)負責，保證數(shù)據(jù)安全，防止數(shù)據(jù)泄漏。

第十條學校數(shù)據(jù)信息主要用于教學、科研、管理、生活服務等，申請數(shù)據(jù)獲取的單位有義務保護數(shù)據(jù)的隱秘性，不得將數(shù)據(jù)信息用于申請用途外的活動。第十一條未經(jīng)批準，任何部門和個人不得擅自提供信息系統(tǒng)的內部數(shù)據(jù)。對于違反規(guī)定、非法披露、提供數(shù)據(jù)的單位和個人，應依照相關規(guī)定予以處罰。

第三章信息安全

第十二條任何部門和個人不得利用校園網(wǎng)及各系統(tǒng)制作、復制、傳播和查閱下列信息：

（一）危害國家安全，泄露國家秘密，顛覆國家政權，破壞國家統(tǒng)一的；

（二）損害國家榮譽和利益的；

（三）煽動民族仇恨、民族歧視，破壞民族團結的；

（四）破壞國家宗教政策，宣揚邪教和封建迷信的；

（五）散布謠言，擾亂社會公共秩序，破壞國家穩(wěn)定的；

（六）散步淫穢、色情、暴力、兇殺、恐怖或者教唆犯罪的；

（七）侮辱和誹謗他人，侵害他人合法權益的；

（八）含有國家法律和行政法規(guī)禁止的其他內容的；

（九）煽動抗拒、破壞憲法和法律、法規(guī)實施的；

第十三條未經(jīng)批準，任何個人和部門不能擅自發(fā)布、刪除和改動學院網(wǎng)站和系統(tǒng)信息。凡發(fā)布信息，必須經(jīng)過嚴格審核。

第十四條校園網(wǎng)用戶必須自覺配合國家和學校有關部門依法進行的監(jiān)督、檢查。用戶若發(fā)現(xiàn)違法有害信息，有義務向學校有關部門報告。第十五條學院內部所有人員上網(wǎng)均需實名制，并執(zhí)行嚴格的實名備案制度。一經(jīng)發(fā)現(xiàn)上網(wǎng)本制度禁止信息，要盡快查處，情節(jié)嚴重者交由公安機關。

第四章學院網(wǎng)站安全

第十六條學院網(wǎng)站是學院的門戶，學院網(wǎng)站信息安全是至關重要的。****學院門戶網(wǎng)站已按照相關部門要求，委托信息中心備案，備案域名為：***。

第十七條凡上線網(wǎng)站，山東信息職業(yè)技術學院實行網(wǎng)站備案，未經(jīng)備案的網(wǎng)站，學院一律停止對該網(wǎng)站的運行。

第十八條各部門要保證網(wǎng)站的數(shù)據(jù)安全和系統(tǒng)安全，制定重要數(shù)據(jù)庫和系統(tǒng)主要設備的容災備案措施。記錄并保留至少60天系統(tǒng)維護日志。

第十九條各部門網(wǎng)站信息發(fā)布嚴格實行信息發(fā)布審核登記制度，發(fā)現(xiàn)有害信息，應當在保留有關原始記錄后，及時予以刪除，并在第一時間向學校辦公室和網(wǎng)絡管理中心報告。發(fā)現(xiàn)計算機犯罪案件，要立即向公安機關網(wǎng)警部門報案。第二十條學院辦公室、網(wǎng)絡管理中心負責對學校網(wǎng)站進行監(jiān)督、檢查。對于存在安全隱患的網(wǎng)站，網(wǎng)絡信息中心有權停止其對外服務。

第五章其他

第二十一條違反本管理規(guī)定的，視情節(jié)輕重采用以下其中一種或多種處理措施：

（一）批評整改；

（二）報相關部門領導處理；

（三）移交公安、司法部門處理。

第二十二條本規(guī)定由網(wǎng)絡信息中心負責解釋。第二十三條本規(guī)定自公布之日起生效。

第五篇：信息系統(tǒng)安全自查報告

XXXX市人防辦信息系統(tǒng)安全自查報告

根據(jù)XXXX市信息化工作領導小組辦公室《關于開展2011政府信息系統(tǒng)安全檢查的通知》（信化辦【2011】8號）要求，我辦高度重視，立即召開專題會議部署信息系統(tǒng)安全工作，成立自查工作小組，對我辦的信息系統(tǒng)安全保密等情況進行了系統(tǒng)全面的檢查，下面將自查情況報告如下：

一、信息安全總體狀況

我辦目前各網(wǎng)絡系統(tǒng)運轉良好，未在網(wǎng)上存儲、傳輸涉密信息，未發(fā)生過失密、泄密現(xiàn)象。

（一）領導重視制度完善

1、為進一步加強我辦政府信息安全工作的領導，成立了信息安全工作領導小組，有局長任組長，分管領導任副組長、各科室負責人為成員，辦公室身在綜合科，設專人負責除了日常工作，同時建立了安全責任制、應急預案、值班制度、信息發(fā)布審核制度、政府信息公開工作制度、保密審查制度、責任追究制度等。近年以來都沒發(fā)生過安全責任事故。

2、為確保我辦網(wǎng)絡信息安全工作有效順利開展，我辦要求以各部門為單位認真組織學習相關法律、法規(guī)和網(wǎng)絡信息安全的相關知識，是全體人員都能正確領會信息安全工作的重要性，都能掌握計算機安全使用的規(guī)定要求，都能正確的使用計算機網(wǎng)絡和各類信息系統(tǒng)。

（二）嚴格要求，措施到位

1、強化安全防范措施。我辦嚴格按照網(wǎng)站程序升級、服務器托管、網(wǎng)站維護等方面存在的突出問題，進一步強化了安全防范措施。一是對本單位信息系統(tǒng)的賬戶、口令、軟件補丁等每周進行了一次清理檢查，及時更新和升級、杜絕了弱口令、弱密碼、消除了安全隱患。二是每臺計算機都安裝了殺毒軟件，并定期進行病毒查殺、對操作系統(tǒng)存在的漏洞、防毒軟件配置不到位的計算機堅決斷掉網(wǎng)絡連接，發(fā)現(xiàn)問題，及時上報、處理。三是對本單位有計算機的使用者進行了安全培訓和對每臺入網(wǎng)計算機的使用者、ip地址和物理MAC地址進行了登記造冊，由行政辦公室進行管理，此外，對涉密網(wǎng)絡、涉密信息系統(tǒng)、涉密計算機、由專人維護使用，并嚴禁接入互聯(lián)網(wǎng)，嚴禁與非涉密移動存儲介質交叉使用，確保信息安全。

2、采取特殊管理措施。我辦一是關閉或刪除不必要的應用、服務、端口和鏈接，限制易被攻擊，禁止打開不必要的網(wǎng)站。二是嚴格信息發(fā)布審核，確保所發(fā)布信息內容的準確性和真實性。三嚴格執(zhí)行信息安全規(guī)定。嚴禁在非涉密計算機上處理、存儲、傳遞涉密信息。嚴禁辦公內網(wǎng)與互聯(lián)網(wǎng)相連。嚴禁在互聯(lián)網(wǎng)上利用電子郵件系統(tǒng)傳遞涉密信息。嚴禁在各種論壇、聊天室、博客等發(fā)布、談論涉密信息。嚴禁利用qq等聊天工具傳送涉密信息。

3、落實安全應急預案和應急演練，我辦已經(jīng)做好各項準備工作，對可能發(fā)生的各類信息安全事件做到心中有數(shù)，進一步完善了信息安全應急預案，明確應急處置流程，落實了應急技術支撐隊伍，把工作做深做細做在前面。積極組織開展了應急演練，檢驗了應急預案的可操作性，提高了應急處置能力。

二、信息安全檢查發(fā)現(xiàn)的主要問題及整改情況

（一）存在的主要問題

1、信息安全意識不夠。干部職工的信息安全教育還不夠，缺乏維護信息安全主動性和自覺性。

2、設備維護、更新還不夠及時。

3、專業(yè)技術人員少，信息系統(tǒng)安全力量有限，信息系統(tǒng)安全技術水平還有待提高。

4、信息系統(tǒng)安全工作機制有待進一步完善。

（二）下一步的整改計劃

根據(jù)自查過程中發(fā)現(xiàn)的不足，同時結合我辦實際，將著重一下幾個方面進行整改。

1、要繼續(xù)加強對全辦干部職工的信息安全教育，提高做好安全工作的主動性和自覺性。

2、要切實增強信息安全制度的落實工作，不定期的對安全制度執(zhí)行情況進行檢查，對于導致不良后果的責任人，要嚴肅追進責任，從而提高人員安全防范意識。

3、要加強專業(yè)信息技術人員的培養(yǎng)，進一步提高信息安全工作技術水平，便于我們進一步加強計算機信息系統(tǒng)安全防范和保密工作。

4、要加大對線路、系統(tǒng)、網(wǎng)絡設備的維護和保養(yǎng)，同時，針對信息技術發(fā)展迅速的特點，要加大系統(tǒng)設備更新力度。

5、要創(chuàng)新完善信息安全工作機制，進一步規(guī)范辦公秩序，提高信息工作安全性。

三、對信息安全檢查工作的建議和意見

希望市政府能夠經(jīng)常組織有關信息系統(tǒng)安全的培訓，從而進一步提高信息系統(tǒng)管理工作人員的專業(yè)水平，從而進一步強化信息系統(tǒng)的安全防范工作。