第一篇：《煙草行業(yè)信息安全保障體系建設(shè)指南》_20080418

煙草行業(yè)信息安全保障體系建設(shè)指南

國家煙草專賣局 二〇〇八年四月

前言

煙草行業(yè)信息安全保障體系是行業(yè)信息化健康發(fā)展的基礎(chǔ)和保障，是行業(yè)各級(jí)數(shù)據(jù)中心的重要組成部分。為推進(jìn)行業(yè)信息安全保障體系建設(shè)，提高信息安全管理水平和保障能力，國家煙草專賣局制訂了《煙草行業(yè)信息安全保障體系建設(shè)指南》（以下簡稱《指南》）。行業(yè)各單位要結(jié)合本單位實(shí)際情況認(rèn)真落實(shí)《指南》的各項(xiàng)要求，構(gòu)建“組織機(jī)制、規(guī)章制度、技術(shù)架構(gòu)”三位一體的信息安全保障體系，做到信息安全工作與信息化建設(shè)同步規(guī)劃、同步建設(shè)、協(xié)調(diào)發(fā)展。

《指南》按照《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)[2003]27號(hào)）的要求，依照《信息系統(tǒng)安全保障評(píng)估框架》(GB/T 20274—2006)等有關(guān)國家標(biāo)準(zhǔn)，運(yùn)用目前信息安全領(lǐng)域廣泛應(yīng)用的思想和方法，明確了煙草行業(yè)信息安全保障體系建設(shè)的總體原則和建設(shè)內(nèi)容，對(duì)行業(yè)信息安全策略的制訂，以及信息安全管理、技術(shù)和運(yùn)維三大體系的建設(shè)工作提出了指導(dǎo)性意見和要求。由于水平所限，對(duì)《指南》中的不足之處，望各單位在應(yīng)用過程中提出寶貴意見。

《指南》由國家煙草專賣局煙草經(jīng)濟(jì)信息中心和中國信息安全產(chǎn)品測評(píng)認(rèn)證中心共同組織編寫?！吨改稀肪帉懡M組長：高錦；副組長：陳彤；主要成員：張雪峰，王海清，耿剛勇，張利，孫成昊，黃云海，耿欣，劉輝等。

目錄 2 范圍.......................................................................................................3 引用和參考文獻(xiàn)...................................................................................3 2.1 2.2 2.3 3 國家信息安全標(biāo)準(zhǔn)、指南.........................................................3 國際信息安全標(biāo)準(zhǔn).....................................................................4 行業(yè)規(guī)范.....................................................................................5

術(shù)語定義和縮略語...............................................................................5 3.1 3.2 3.3 3.4 3.5 3.6 安全策略.....................................................................................5 安全管理體系.............................................................................5 安全技術(shù)體系.............................................................................5 安全運(yùn)維體系.............................................................................6 信息系統(tǒng).....................................................................................6 縮略語.........................................................................................6 信息安全保障體系建設(shè)總體要求.......................................................7 4.1 4.2 4.3 信息安全保障體系建設(shè)框架.....................................................7 信息安全保障體系建設(shè)原則.....................................................9 信息安全保障體系建設(shè)基本過程..........................................10 6 信息安全保障體系建設(shè)規(guī)劃.............................................................11 安全策略............................................................................................12 6.1 6.2 總體方針..................................................................................13 分項(xiàng)策略..................................................................................14 管理體系............................................................................................15 7.1 7.2 7.3 7.4 8 組織機(jī)構(gòu)..................................................................................15 規(guī)章制度..................................................................................18 人員安全..................................................................................18 安全教育和培訓(xùn)......................................................................22

技術(shù)體系............................................................................................24 8.1 8.2 8.3 8.4 8.5 8.6 8.7 訪問控制..................................................................................25 信息系統(tǒng)完整性保護(hù)..............................................................30 系統(tǒng)與通信保護(hù)......................................................................33 物理環(huán)境保護(hù)..........................................................................36 檢測與響應(yīng)..............................................................................39 安全審計(jì)..................................................................................41 備份與恢復(fù)..............................................................................42 運(yùn)維體系............................................................................................45 9.1 9.2 9.3 9.4 9.5 9.6 9.7 9.8 流程和規(guī)范..............................................................................46 安全分級(jí)..................................................................................46 風(fēng)險(xiǎn)評(píng)估..................................................................................47 階段性工作計(jì)劃......................................................................49 采購與實(shí)施過程管理..............................................................50 日常維護(hù)管理..........................................................................53 應(yīng)急計(jì)劃和事件響應(yīng)..............................................................56 績效評(píng)估與改進(jìn)......................................................................59

范圍

本《指南》明確了行業(yè)信息安全保障體系建設(shè)的總體原則和建設(shè)內(nèi)容，對(duì)行業(yè)信息安全策略的制訂，以及信息安全管理體系、信息安全技術(shù)體系和信息安全運(yùn)維體系的建設(shè)工作提出了指導(dǎo)意見和要求。

《指南》中涉及的信息安全，是指由信息系統(tǒng)產(chǎn)生的信息的保密性、完整性和可用性不遭受破壞。

本《指南》僅適用于行業(yè)中不涉及國家秘密的信息系統(tǒng)，涉及國家秘密的信息系統(tǒng)的安全保護(hù)工作應(yīng)按照國家及國家局保密部門的相關(guān)規(guī)定進(jìn)行。引用和參考文獻(xiàn)

本文在編制過程中，依據(jù)和參考了國內(nèi)外信息安全方面的相關(guān)標(biāo)準(zhǔn)、法規(guī)、指南以及煙草行業(yè)的相關(guān)標(biāo)準(zhǔn)規(guī)范，主要包括：

2.1 國家信息安全標(biāo)準(zhǔn)、指南

GB/T 20274—2006 信息系統(tǒng)安全保障評(píng)估框架

GB/T 19715.1—2005 信息技術(shù)—信息技術(shù)安全管理指南第1部分：信息技術(shù)安全概念和模型

GB/T 19715.2—2005 信息技術(shù)—信息技術(shù)安全管理指南第2部分：管理和規(guī)劃信息技術(shù)安全

GB/T 19716—2005 信息技術(shù)—信息安全管理實(shí)用規(guī)則 GB/T 18336—2001 信息技術(shù)—安全技術(shù)—信息技術(shù)安全性評(píng)估準(zhǔn)則

GB 17859—1999 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 電子政務(wù)信息安全等級(jí)保護(hù)實(shí)施指南(試行（）國信辦[2005]25號(hào)）GB/T 20984—2007信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范 GB/T 20988—2007信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范 GB/Z 20986—2007信息安全事件分類分級(jí)指南

2.2 國際信息安全標(biāo)準(zhǔn)

ISO/IEC 27001:2005信息安全技術(shù) 信息系統(tǒng)安全管理要求 ISO/IEC 13335—1: 2004 信息技術(shù) 信息技術(shù)安全管理指南 第1部分：信息技術(shù)安全概念和模型

ISO/IEC TR 15443—1: 2005 信息技術(shù)安全保障框架 第一部分 概述和框架

ISO/IEC TR 15443—2: 2005信息技術(shù)安全保障框架 第二部分 保障方法

ISO/IEC WD 15443—3 信息技術(shù)安全保障框架 第三部分 保障方法分析

ISO/IEC PDTR 19791: 2004 信息技術(shù) 安全技術(shù) 運(yùn)行系統(tǒng)安全評(píng)估 2.3 行業(yè)規(guī)范

煙草行業(yè)計(jì)算機(jī)網(wǎng)絡(luò)和信息安全技術(shù)與管理規(guī)范(國煙法[2003]17號(hào))煙草行業(yè)計(jì)算機(jī)網(wǎng)絡(luò)建設(shè)技術(shù)與管理規(guī)范(國煙辦綜[2006]312號(hào))3 術(shù)語定義和縮略語

下列術(shù)語和定義適用于本《指南》。

3.1 安全策略

安全策略是為保障一個(gè)單位信息安全而規(guī)定的若干安全規(guī)劃、過程、規(guī)范和指導(dǎo)性文件等。

3.2 安全管理體系

安全管理體系簡稱“管理體系”，是為保障信息安全以“安全策略”為核心而采取的一系列管理措施的總和，內(nèi)容主要包括建立健全組織機(jī)構(gòu)和管理制度、實(shí)施人員管理和安全教育等。

3.3 安全技術(shù)體系

安全技術(shù)體系簡稱“技術(shù)體系”，是為保障 “安全策略”的貫徹落實(shí)而采取的一系列技術(shù)措施的總和，內(nèi)容主要包括訪問控制、信息完整性保護(hù)、系統(tǒng)與通信保護(hù)、物理與環(huán)境保護(hù)、檢測與響應(yīng)、安全審計(jì)、備份與恢復(fù)等。

3.4 安全運(yùn)維體系

安全運(yùn)維體系簡稱“運(yùn)維體系”，是為保障管理措施和技術(shù)措施有效執(zhí)行“安全策略”而采取的一系列活動(dòng)的總和，內(nèi)容主要包括制訂流程和規(guī)范、制訂階段性工作計(jì)劃、開展風(fēng)險(xiǎn)評(píng)估、實(shí)施安全分級(jí)、規(guī)范產(chǎn)品與服務(wù)采購、加強(qiáng)維護(hù)管理、安全事件響應(yīng)、績效評(píng)估與改進(jìn)等。

3.5 信息系統(tǒng)

信息系統(tǒng)是指由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行采集、加工、存儲(chǔ)、傳輸、檢索等處理的人機(jī)系統(tǒng)。

3.6 縮略語

PDCA 規(guī)劃 實(shí)施 檢查 調(diào)整（Plan Do Check Action）P2DR2 策略 防護(hù) 檢測 響應(yīng) 恢復(fù)（Policy Protection Detection Response Recovery）

MAC

介質(zhì)存取控制（Media Access Control）IP

網(wǎng)際協(xié)議（Internet Protocol）

EAP

擴(kuò)展鑒權(quán)協(xié)議（Extensible Authentication Protocol）CNCERT國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(National Computer Network Emergency Response Technical Team)IDS

入侵偵測系統(tǒng)（Intrusion Detection System）IPS

入侵防護(hù)系統(tǒng)（Intrusion Prevention System）DoS

拒絕服務(wù)（Denial Of Service）AV

病毒防護(hù)(Anti—Virus)PKI

公鑰基礎(chǔ)設(shè)施(Public Key Infrastructure)PMI

特權(quán)管理基礎(chǔ)設(shè)施（Permission Management Infrastructure）

CA

數(shù)字證書認(rèn)證機(jī)構(gòu)（Certificate Authority）

注：凡在本文中使用但未定義的術(shù)語按相關(guān)國家標(biāo)準(zhǔn)或規(guī)范解釋，無相關(guān)國家標(biāo)準(zhǔn)或規(guī)范的，按學(xué)術(shù)界慣例解釋。本文中除非特殊說明，所指行業(yè)均為煙草行業(yè)。信息安全保障體系建設(shè)總體要求

4.1 信息安全保障體系建設(shè)框架

根據(jù)《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)[2003]27號(hào)）（以下簡稱27號(hào)文件）的精神，按照《信息系統(tǒng)安全保障評(píng)估框架》（GB/T 20274—2006）、《信息安全管理實(shí)用規(guī)則》（GB/T 19716—2005）等有關(guān)標(biāo)準(zhǔn)要求，本《指南》提出了以策略為核心，管理體系、技術(shù)體系和運(yùn)維體系共同支撐的行業(yè)信息安全保障體系框架（如圖1—1）。

圖1—1行業(yè)信息安全保障體系框架

在安全策略方面，應(yīng)依據(jù)國家信息安全戰(zhàn)略的方針政策、法律法規(guī)、制度，按照行業(yè)標(biāo)準(zhǔn)規(guī)范要求，結(jié)合自身的安全環(huán)境，制訂完善的信息安全策略體系文件。信息安全策略體系文件應(yīng)覆蓋信息安全工作的各個(gè)方面，對(duì)管理、技術(shù)、運(yùn)維體系中的各種安全控制措施和機(jī)制的部署提出目標(biāo)和原則。

在管理體系方面，應(yīng)按照27號(hào)文件的有關(guān)要求，將“安全策略”提出的目標(biāo)和原則形成具體的、可操作的信息安全管理制度，組建信息安全組織機(jī)構(gòu)，加強(qiáng)對(duì)人員安全的管理，提高全行業(yè)的信息安全意識(shí)和人員的安全防護(hù)能力，形成一支過硬的信息安全人才隊(duì)伍。

在技術(shù)體系方面，應(yīng)按照P2DR2模型，通過全面提升信息安全防護(hù)、檢測、響應(yīng)和恢復(fù)能力，保證信息系統(tǒng)保密性、完整性和可用性等安全目標(biāo)的實(shí)現(xiàn)。在運(yùn)維體系方面，應(yīng)制訂和完善各種流程規(guī)范，制訂階段性工作計(jì)劃，開展信息安全風(fēng)險(xiǎn)評(píng)估，規(guī)范產(chǎn)品與服務(wù)采購流程，同時(shí)堅(jiān)持做好日常維護(hù)管理、應(yīng)急計(jì)劃和事件響應(yīng)等方面的工作，以保證安全管理措施和安全技術(shù)措施的有效執(zhí)行。

4.2 信息安全保障體系建設(shè)原則

行業(yè)信息安全保障體系建設(shè)應(yīng)遵循以下原則：

1)同步建設(shè)原則：信息安全保障體系建設(shè)應(yīng)與信息化建設(shè)同步規(guī)劃，同步建設(shè)，協(xié)調(diào)發(fā)展，要將信息安全保障體系建設(shè)融入到信息化建設(shè)的規(guī)劃、建設(shè)、運(yùn)行和維護(hù)的全過程中。

2)綜合防范原則：信息安全保障體系建設(shè)要根據(jù)信息系統(tǒng)的安全級(jí)別，采用適當(dāng)?shù)墓芾砗图夹g(shù)措施，降低安全風(fēng)險(xiǎn)，綜合提高保障能力。

3)動(dòng)態(tài)調(diào)整原則：信息安全保障體系建設(shè)要根據(jù)信息資產(chǎn)的變化、技術(shù)的進(jìn)步、管理的發(fā)展，結(jié)合信息安全風(fēng)險(xiǎn)評(píng)估，動(dòng)態(tài)調(diào)整、持續(xù)改進(jìn)信息安全保障體系，貫徹“以安全保發(fā)展，在發(fā)展中求安全”的精神，保障和促進(jìn)行業(yè)業(yè)務(wù)的發(fā)展。

4)符合性原則：信息安全保障體系建設(shè)要符合國家的有關(guān)法律法規(guī)和政策精神，以及行業(yè)有關(guān)制度和規(guī)定，同時(shí)應(yīng)符合有關(guān)國家技術(shù)標(biāo)準(zhǔn)，以及行業(yè)的技術(shù)標(biāo)準(zhǔn)和規(guī)范。4.3 信息安全保障體系建設(shè)基本過程

信息安全保障體系建設(shè)是管理與技術(shù)緊密結(jié)合，集“組織機(jī)構(gòu)、規(guī)章制度、技術(shù)架構(gòu)”三位一體的系統(tǒng)工程，也是與信息化同步發(fā)展，不斷提高和完善的動(dòng)態(tài)過程。行業(yè)信息安全保障體系的建設(shè)與發(fā)展遵循《ISO/IEC 27001:2005 信息技術(shù)—安全技術(shù)—信息安全管理系統(tǒng)要求》提出的PDCA（Plan—Do—Check—Action）循環(huán)模式（如下圖）。

“P”是規(guī)劃過程，根據(jù)信息化建設(shè)的需求和信息安全風(fēng)險(xiǎn)現(xiàn)狀，結(jié)合信息系統(tǒng)等級(jí)保護(hù)的要求，提出信息安全保障體系建設(shè)的總體目標(biāo)、實(shí)施步驟和資源分配方式；“D”是實(shí)施過程，依據(jù)規(guī)劃制訂信息安全策略，給信息安全保障體系建設(shè)提供明確的目標(biāo)和原則并通過安全管理體系、安全技術(shù)體系和安全運(yùn)維體系的建立實(shí)施，貫徹和落實(shí)安全策略?！癈”是檢查過程，通過檢查和評(píng)估及時(shí)發(fā)現(xiàn)信息安全保障體系存在的弱點(diǎn)和不足。“A”是糾正調(diào)整過程，它是一個(gè)階段任務(wù)的結(jié)束，也是新的階段工作的開始，該過程針對(duì)信息安全保障體系運(yùn)行過程中發(fā)現(xiàn)的新風(fēng)險(xiǎn)，以及信息化發(fā)展中出現(xiàn)的新需求，采取糾正和調(diào)整措施并根據(jù)信息化的發(fā)展提出新一輪建設(shè)規(guī)劃，從而使信息安全保障體系循環(huán)提高、持續(xù)發(fā)展。

應(yīng)根據(jù)國家局的總體要求和自身實(shí)際情況，從PDCA循環(huán)的某一環(huán)節(jié)入手，作為本單位信息安全保障體系建設(shè)的切入點(diǎn)，按照本《指南》提出的建設(shè)內(nèi)容，持續(xù)不斷地提高和完善信息安全保障體系。信息安全保障體系建設(shè)規(guī)劃

信息安全保障體系建設(shè)規(guī)劃（簡稱安全規(guī)劃）是描述信息安全保障體系建設(shè)的總體目標(biāo)、實(shí)施步驟、時(shí)間計(jì)劃以及資金、人員等資源的分配方式的文件。安全規(guī)劃的表現(xiàn)形式可以是信息化建設(shè)總體規(guī)劃文件的一個(gè)部分，也可以是單獨(dú)的信息安全規(guī)劃文件，或是結(jié)合具體技術(shù)細(xì)節(jié)而形成的信息安全保障體系建設(shè)方案。安全規(guī)劃的內(nèi)容應(yīng)覆蓋安全策略建設(shè)、安全管理體系建設(shè)、安全技術(shù)體系建設(shè)和安全運(yùn)維體系建設(shè)等方面。

安全保障體系規(guī)劃的制訂工作，可以邀請(qǐng)具有相關(guān)專業(yè)知識(shí)和經(jīng)驗(yàn)的外部專家或安全服務(wù)機(jī)構(gòu)協(xié)助完成。

要求：

1）安全規(guī)劃要符合本單位信息化發(fā)展戰(zhàn)略的總體要求，應(yīng)與信息化建設(shè)的實(shí)際需求和信息安全風(fēng)險(xiǎn)的實(shí)際狀況相結(jié)合，遵循國家的法律法規(guī)、技術(shù)標(biāo)準(zhǔn)和行業(yè)的有關(guān)規(guī)定并且具有明確的指導(dǎo)性和可實(shí)施性。2）應(yīng)制訂本系統(tǒng)所有單位共同執(zhí)行的統(tǒng)一的安全規(guī)劃。制訂安全規(guī)劃應(yīng)做好三個(gè)方面工作，一要對(duì)本單位信息安全的基本現(xiàn)狀進(jìn)行科學(xué)、全面的調(diào)研分析，準(zhǔn)確了解本單位各信息系統(tǒng)的功能作用、系統(tǒng)架構(gòu)以及在安全方面存在的隱患和弱點(diǎn)；二要根據(jù)安全建設(shè)需求，對(duì)所需的資金、人員和政策進(jìn)行分析；三要依據(jù)分析結(jié)果以及安全保障體系建設(shè)總體原則，區(qū)分主次，突出重點(diǎn)，制訂總體目標(biāo)、實(shí)施步驟和資源分配方式。

3）安全規(guī)劃要有時(shí)效性，制訂完成后，應(yīng)確保相關(guān)人員全面了解規(guī)劃的內(nèi)容和要求并及時(shí)實(shí)施。在安全規(guī)劃執(zhí)行過程中，應(yīng)及時(shí)開展階段性或整體的績效評(píng)估工作。安全策略

安全策略是一個(gè)單位對(duì)信息安全目標(biāo)和工作原則的規(guī)定，其表現(xiàn)形式是一系列安全策略體系文件。安全策略是信息安全保障體系的核心，是信息安全管理工作、技術(shù)工作和運(yùn)維工作的目標(biāo)和依據(jù)。

安全策略體系文件應(yīng)由總體方針和分項(xiàng)策略兩個(gè)層次組成并具備以下七個(gè)特性：

指導(dǎo)性：安全策略體系文件應(yīng)對(duì)單位整體信息安全工作提供全局性的指導(dǎo)。

原則性：安全策略體系文件不涉及具體技術(shù)細(xì)節(jié)，不需要規(guī)定具體的實(shí)現(xiàn)方式，只需要指出要完成的目標(biāo)。

可行性：安全策略體系文件應(yīng)適應(yīng)本單位的現(xiàn)實(shí)情況和可預(yù)見的變化，在當(dāng)前和未來的一段時(shí)間內(nèi)切實(shí)可行。

動(dòng)態(tài)性：安全策略體系文件應(yīng)有明確的時(shí)效性，不能長期一成不變。隨著信息安全形勢的動(dòng)態(tài)變化和信息技術(shù)的不斷發(fā)展，需要對(duì)策略體系文件進(jìn)行不斷的調(diào)整和修正。

可審核性：安全策略體系文件應(yīng)可作為審核和評(píng)價(jià)本單位內(nèi)部對(duì)信息安全策略遵守和執(zhí)行情況的依據(jù)。

非技術(shù)性：安全策略體系文件不是具體的技術(shù)解決方案，應(yīng)以非技術(shù)性的語言詳細(xì)說明。

文檔化：安全策略體系文件應(yīng)用清晰和完整的文檔進(jìn)行描述。

6.1 總體方針

總體方針是指導(dǎo)本單位所有信息安全工作的綱領(lǐng)性文件，是信息安全決策機(jī)構(gòu)對(duì)信息安全工作的決策和意圖的表述?？傮w方針的作用在于統(tǒng)一對(duì)信息安全工作的認(rèn)識(shí)，規(guī)定信息安全的基本架構(gòu)，明確信息安全的根本目標(biāo)和原則。

要求：

1)總體方針應(yīng)緊緊圍繞行業(yè)的發(fā)展戰(zhàn)略，符合本單位實(shí)際的信息安全需求，能保障與促進(jìn)信息化建設(shè)的順利進(jìn)行，避免理想化與不可操作性。

2)總體方針中須明確闡述本單位所有信息化建設(shè)項(xiàng)目在規(guī)劃設(shè)計(jì)、開發(fā)建設(shè)、運(yùn)行維護(hù)和變更廢棄等各階段，應(yīng)遵循的總體原則和要求。3)總體方針應(yīng)經(jīng)過本單位信息安全決策機(jī)構(gòu)批準(zhǔn)并使之具備指導(dǎo)和規(guī)范信息安全工作的效力。

4)總體方針中應(yīng)規(guī)定其自身的時(shí)效性，當(dāng)信息系統(tǒng)運(yùn)行環(huán)境發(fā)生重大變化時(shí)，應(yīng)及時(shí)對(duì)總體安全策略進(jìn)行必要的調(diào)整，調(diào)整后的策略必須經(jīng)過信息安全決策機(jī)構(gòu)批準(zhǔn)。

6.2 分項(xiàng)策略

分項(xiàng)策略是在總體方針的指導(dǎo)下，對(duì)信息安全某一方面工作的目標(biāo)和原則進(jìn)行闡述的文件。

要求：

1)分項(xiàng)策略要依據(jù)總體方針制訂，明確信息安全各方面工作的目標(biāo)和原則。

2)分項(xiàng)策略應(yīng)包括但不限于以下內(nèi)容：物理安全策略、網(wǎng)絡(luò)安全策略、系統(tǒng)安全策略、應(yīng)用安全策略、數(shù)據(jù)安全策略、病毒防護(hù)策略、安全教育策略、信息系統(tǒng)備份與恢復(fù)策略、業(yè)務(wù)連續(xù)性策略、賬號(hào)口令策略、安全審計(jì)策略、系統(tǒng)開發(fā)策略、人員安全策略等。

3)分項(xiàng)策略中必須明確負(fù)責(zé)執(zhí)行該策略的責(zé)任單位（部門）、該策略的適用范圍、該策略所針對(duì)的信息安全工作的目標(biāo)和原則。

4)分項(xiàng)策略中應(yīng)規(guī)定其自身的時(shí)效性，當(dāng)信息系統(tǒng)運(yùn)行環(huán)境發(fā)生變化時(shí)，應(yīng)及時(shí)對(duì)分項(xiàng)策略進(jìn)行必要的調(diào)整。7 管理體系

安全管理體系的作用是通過建立健全組織機(jī)構(gòu)、規(guī)章制度，以及通過人員安全管理、安全教育與培訓(xùn)和各項(xiàng)管理制度的有效執(zhí)行，來落實(shí)人員職責(zé)，確定行為規(guī)范，保證技術(shù)措施真正發(fā)揮效用，與技術(shù)體系共同保障安全策略的有效貫徹和落實(shí)。信息安全管理體系主要包括組織機(jī)構(gòu)、規(guī)章制度、人員安全、安全教育和培訓(xùn)等四個(gè)方面內(nèi)容。

7.1 組織機(jī)構(gòu)

建立信息安全組織機(jī)構(gòu)的目的是通過合理的組織結(jié)構(gòu)設(shè)臵、人員配備和工作職責(zé)劃分，對(duì)信息安全工作實(shí)行全方位管理，充分發(fā)揮各部門和各類人員在信息安全工作中的作用，共同遵守和執(zhí)行安全規(guī)章制度，以保障信息安全策略的貫徹落實(shí)。

信息安全組織機(jī)構(gòu)應(yīng)由決策機(jī)構(gòu)、管理機(jī)構(gòu)和執(zhí)行機(jī)構(gòu)三個(gè)層面組成。

7.1.1 決策機(jī)構(gòu)

信息安全決策機(jī)構(gòu)處于安全組織機(jī)構(gòu)的第一個(gè)層次，是本單位信息安全工作的最高管理機(jī)構(gòu)，按照國家和國家局的方針、政策和要求，對(duì)本單位信息安全進(jìn)行統(tǒng)一領(lǐng)導(dǎo)和管理。

要求：

1)應(yīng)成立由本單位主要領(lǐng)導(dǎo)負(fù)責(zé)、各有關(guān)部門參加的信息安全工作領(lǐng)導(dǎo)小組作為信息安全決策機(jī)構(gòu)。2)信息安全決策機(jī)構(gòu)應(yīng)承擔(dān)如下主要工作職責(zé)：審議和批準(zhǔn)信息安全保障體系建設(shè)規(guī)劃、信息安全策略、規(guī)章制度和信息安全工程建設(shè)方案等，為本單位信息安全保障體系建設(shè)提供各類必要的資源，對(duì)信息安全的宏觀問題進(jìn)行決策，審定信息安全重大突發(fā)事件應(yīng)急預(yù)案。

7.1.2 管理機(jī)構(gòu)

信息安全管理機(jī)構(gòu)處于安全組織機(jī)構(gòu)的第二個(gè)層次，在決策機(jī)構(gòu)的領(lǐng)導(dǎo)下，負(fù)責(zé)組織制訂信息安全保障體系建設(shè)規(guī)劃，以及信息安全的管理、監(jiān)督、檢查、考核等工作。日常的信息安全管理工作主要由信息化工作部門負(fù)責(zé)。

要求：

1)應(yīng)成立由信息化工作部門牽頭，保密、行政、人事和業(yè)務(wù)等相關(guān)部門共同參與組成的信息安全管理機(jī)構(gòu)并明確該機(jī)構(gòu)的成員。應(yīng)在信息化工作部門設(shè)立專門組織或指定專職人員，負(fù)責(zé)管理信息安全日常事務(wù)。

2)信息安全管理機(jī)構(gòu)應(yīng)承擔(dān)的職責(zé)主要包括：信息安全保障體系建設(shè)規(guī)劃、安全策略、規(guī)章制度的制訂并組織貫徹落實(shí)；規(guī)章制度執(zhí)行情況的監(jiān)督與檢查；信息安全建設(shè)項(xiàng)目的組織實(shí)施；人員安全，安全教育與培訓(xùn)的實(shí)施；協(xié)調(diào)信息安全日常工作中的各項(xiàng)事宜等。

3)應(yīng)在安全規(guī)章制度中明確安全管理機(jī)構(gòu)中各部門和各類人員的工作職責(zé)與責(zé)任。7.1.3 執(zhí)行機(jī)構(gòu)

信息安全執(zhí)行機(jī)構(gòu)處于信息安全組織機(jī)構(gòu)的第三個(gè)層次，在管理層的領(lǐng)導(dǎo)下，負(fù)責(zé)保證信息安全技術(shù)體系的有效運(yùn)行及日常維護(hù)，通過具體技術(shù)手段落實(shí)安全策略，消除安全風(fēng)險(xiǎn)，以及發(fā)生安全事件后的具體響應(yīng)和處理。

要求：

1)執(zhí)行機(jī)構(gòu)應(yīng)由信息化工作部門具體負(fù)責(zé)信息系統(tǒng)管理和信息安全管理工作的技術(shù)人員及相關(guān)部門的專職（或兼職）信息安全員組成。應(yīng)至少設(shè)臵系統(tǒng)管理員、網(wǎng)絡(luò)管理員、信息安全管理員等崗位，并確定各個(gè)崗位的崗位職責(zé)、訪問權(quán)限。關(guān)鍵操作應(yīng)配備多人共同負(fù)責(zé)，關(guān)鍵崗位應(yīng)定期輪崗。

2)信息安全管理員的主要職責(zé)是管理維護(hù)本單位信息安全設(shè)備，監(jiān)測本單位信息安全狀態(tài)，進(jìn)行安全審計(jì)，在發(fā)生安全事件后及時(shí)組織有關(guān)技術(shù)人員進(jìn)行事件響應(yīng)。原則上信息安全管理員不應(yīng)由系統(tǒng)管理員、網(wǎng)絡(luò)管理員、數(shù)據(jù)庫管理員等兼任。

3)應(yīng)明確重要信息資產(chǎn)的安全負(fù)責(zé)人，有關(guān)責(zé)任人應(yīng)清楚地了解自己擔(dān)負(fù)的安全責(zé)任。

4)信息系統(tǒng)的使用部門要設(shè)立專職（或兼職）的信息安全員，參與相應(yīng)信息系統(tǒng)的安全管理，指導(dǎo)本部門各項(xiàng)安全措施的落實(shí)。

5)計(jì)算機(jī)和信息系統(tǒng)使用人員都有義務(wù)參與信息安全工作，貫徹執(zhí)行各項(xiàng)安全規(guī)章制度。7.2 規(guī)章制度

信息安全規(guī)章制度是所有與信息安全有關(guān)的人員必須共同遵守的行為準(zhǔn)則。信息安全規(guī)章制度的作用在于通過規(guī)范所有與信息安全有關(guān)人員的行為來保證實(shí)現(xiàn)安全策略中規(guī)定的目標(biāo)和原則。

要求：

1)信息安全規(guī)章制度內(nèi)容應(yīng)包括但不限于以下幾方面：信息安全組織機(jī)構(gòu)和崗位職責(zé)、人員管理制度、信息安全工作考核制度、信息系統(tǒng)采購開發(fā)與設(shè)計(jì)實(shí)施管理制度、機(jī)房安全管理制度、核心資產(chǎn)安全管理制度、密碼管理制度、數(shù)據(jù)備份管理制度、業(yè)務(wù)連續(xù)性管理制度、計(jì)算機(jī)終端管理制度、應(yīng)用系統(tǒng)日常操作安全管理制度、網(wǎng)絡(luò)設(shè)備日常操作安全管理制度、安全設(shè)備日常操作管理制度等。

2)信息安全管理制度必須符合安全策略和本單位的實(shí)際情況，其內(nèi)容和要求應(yīng)當(dāng)清晰明確并且可執(zhí)行、可審查。

3)應(yīng)通過下發(fā)文件、會(huì)議宣傳和培訓(xùn)等多種方式確保所有相關(guān)人員知悉規(guī)章制度的內(nèi)容和要求。

4)應(yīng)根據(jù)本單位實(shí)際情況的變化，及時(shí)對(duì)信息安全管理制度的可行性和實(shí)施效果進(jìn)行評(píng)估并根據(jù)評(píng)估結(jié)果對(duì)其進(jìn)行調(diào)整和完善。

7.3 人員安全

人員安全是指通過管理控制手段，確保單位內(nèi)部人員（特別是信息系統(tǒng)的管理維護(hù)人員）和第三方人員在安全意識(shí)、能力和素質(zhì)等方面都滿足工作崗位的安全要求，減少對(duì)信息安全有意或無意的人為威脅。

人員安全主要包括工作崗位風(fēng)險(xiǎn)分級(jí)、人員審核、工作協(xié)議、人員離職、人員調(diào)動(dòng)及第三方人員安全等幾個(gè)方面。人員安全管理工作需要由信息安全管理機(jī)構(gòu)和本單位有關(guān)行政管理部門共同完成。7.3.1 工作崗位風(fēng)險(xiǎn)分級(jí)

工作崗位風(fēng)險(xiǎn)分級(jí)是依據(jù)本單位各工作崗位的職責(zé)范圍和性質(zhì)，劃分崗位的信息安全風(fēng)險(xiǎn)級(jí)別，根據(jù)風(fēng)險(xiǎn)級(jí)別分配相應(yīng)的信息訪問權(quán)限。

要求：

1)應(yīng)在人員管理制度中，根據(jù)不同崗位的性質(zhì)和工作職責(zé)，規(guī)定其信息安全風(fēng)險(xiǎn)級(jí)別并針對(duì)不同的崗位風(fēng)險(xiǎn)級(jí)別賦予信息訪問權(quán)限。

2)人員管理制度中有關(guān)工作崗位風(fēng)險(xiǎn)分級(jí)的規(guī)定，應(yīng)在日常工作中得到落實(shí)，所有工作人員應(yīng)當(dāng)明確自己所在崗位的信息訪問權(quán)限。

7.3.2 人員審核

人員審核是核查人員管理或使用信息系統(tǒng)，接觸重要信息是否合適，是否值得信任的一項(xiàng)工作。人員審核應(yīng)采用技術(shù)技能測試、法律法規(guī)及相關(guān)管理規(guī)定了解情況的測試、人員背景審查等多種方式來進(jìn)行。要求：

1)應(yīng)結(jié)合本單位自身的業(yè)務(wù)需求、相關(guān)的法律法規(guī)、被訪問信息的分類及面臨風(fēng)險(xiǎn)等因素，在人員管理制度中規(guī)定人員審核的方法和流程，規(guī)定在不同的情況下何人負(fù)責(zé)審核，何時(shí)進(jìn)行審核，依據(jù)什么標(biāo)準(zhǔn)，通過什么方式進(jìn)行審核。

2)應(yīng)根據(jù)人員管理制度的有關(guān)規(guī)定，對(duì)內(nèi)部工作人員進(jìn)行定期考核，考核中發(fā)現(xiàn)問題時(shí)，應(yīng)根據(jù)具體情況進(jìn)行教育培訓(xùn)。

3)應(yīng)根據(jù)人員管理制度的有關(guān)規(guī)定，在合作者、第三方人員進(jìn)入本單位工作前進(jìn)行人員審查，未通過的人員不能獲得信息的訪問權(quán)限。

7.3.3 工作協(xié)議

對(duì)信息系統(tǒng)的維護(hù)人員和重要信息訪問權(quán)限的管理人員（特別是數(shù)據(jù)庫管理員、網(wǎng)絡(luò)管理員、系統(tǒng)管理員等可查詢及更改業(yè)務(wù)信息與系統(tǒng)配臵的人員），應(yīng)簽訂有關(guān)信息安全的工作協(xié)議，明確其應(yīng)盡的安全保密義務(wù)，保證在崗工作期間和離崗后一定時(shí)期內(nèi)，均不得違反工作協(xié)議，對(duì)違反工作協(xié)議的行為應(yīng)制訂懲處制約條款。

要求：

1)應(yīng)在人員管理制度中規(guī)定工作協(xié)議的內(nèi)容（如保密協(xié)議條款、操作流程和規(guī)范等）、管理和落實(shí)工作協(xié)議的部門、以及簽署工作協(xié)議的流程。

2)重要信息系統(tǒng)的管理、維護(hù)和使用人員在上崗前，應(yīng)嚴(yán)格按照信息安全規(guī)章制度中的有關(guān)規(guī)定簽署工作協(xié)議。7.3.4 人員調(diào)動(dòng)

通過嚴(yán)格的管理手段，保證人員內(nèi)部調(diào)動(dòng)，不會(huì)對(duì)信息安全造成危害。

要求：

1)工作人員崗位調(diào)動(dòng)時(shí)，必須移交原工作崗位的工作資料和軟硬件設(shè)備。

2)工作人員崗位調(diào)動(dòng)時(shí)，信息安全管理機(jī)構(gòu)必須及時(shí)對(duì)其信息系統(tǒng)訪問授權(quán)進(jìn)行調(diào)整。

3)工作人員崗位調(diào)動(dòng)時(shí)，信息安全管理機(jī)構(gòu)應(yīng)告知其信息安全責(zé)任的變化和新的注意事項(xiàng)。7.3.5 人員離職

通過嚴(yán)格的管理手段，保證工作人員離職后，不會(huì)對(duì)信息安全造成危害。

要求：

1)對(duì)離職人員應(yīng)立即終止其所有與原工作職責(zé)有關(guān)的信息訪問權(quán)限。

2)對(duì)離職人員應(yīng)立即收回出入機(jī)房和其他重要辦公場所的證件、鑰匙、胸卡，以及單位提供的軟硬件設(shè)備等。

3)擁有重要信息訪問權(quán)限的人員，在離職時(shí)應(yīng)在有關(guān)部門辦理嚴(yán)格的離職手續(xù)并明確離職后的保密義務(wù)。7.3.6 第三方人員安全

第三方人員的管理是人員安全管理的重要內(nèi)容。第三方人員是指來自外單位的專業(yè)服務(wù)機(jī)構(gòu)，為本單位提供應(yīng)用系統(tǒng)開發(fā)、網(wǎng)絡(luò)管理和安全支持等信息技術(shù)外包服務(wù)的工作人員。第三方人員工作崗位和職責(zé)具有其特殊性，可以比較深入地了解本單位的信息系統(tǒng)情況和大量重要信息，因此由第三方人員導(dǎo)致泄密和系統(tǒng)遭受破壞的風(fēng)險(xiǎn)較大。

要求：

1)應(yīng)制訂第三方人員安全管理規(guī)定，明確第三方人員在管理、使用和維護(hù)信息系統(tǒng)，安裝部署信息化產(chǎn)品和提供信息化技術(shù)服務(wù)等活動(dòng)中應(yīng)遵守的安全要求并明確定義其安全角色和責(zé)任。

2)第三方人員進(jìn)入本單位開始工作前，應(yīng)與其所在單位簽訂保密協(xié)議。

3)信息安全管理機(jī)構(gòu)應(yīng)根據(jù)第三方人員安全管理規(guī)定，采取必要的管理和技術(shù)手段，對(duì)第三方人員是否遵從安全要求進(jìn)行檢查監(jiān)督。

7.4 安全教育和培訓(xùn)

安全教育和培訓(xùn)是通過宣傳和教育的手段，確保相關(guān)工作人員和信息系統(tǒng)管理維護(hù)人員充分認(rèn)識(shí)信息安全的重要性，具備符合要求的安全意識(shí)、知識(shí)和技能，提高其進(jìn)行信息安全防護(hù)的主動(dòng)性、自覺性和能力。7.4.1 安全教育

安全教育是針對(duì)信息系統(tǒng)的所有合法用戶進(jìn)行的，目的是使其了解信息安全的基本常識(shí)、信息安全的重要性以及個(gè)人對(duì)信息安全應(yīng)負(fù)的責(zé)任，確保其在工作中自覺地遵守相關(guān)安全制度，維護(hù)信息系統(tǒng)安全。

要求：

1)應(yīng)根據(jù)信息系統(tǒng)的特定安全要求，制訂具有針對(duì)性的安全教育內(nèi)容，確保所有人員在被授權(quán)訪問信息系統(tǒng)之前已進(jìn)行了基本的信息安全教育。

2)通過安全教育活動(dòng)，相關(guān)人員應(yīng)具備基本的信息安全意識(shí)，了解信息安全常識(shí)、熟悉信息系統(tǒng)使用規(guī)范、安全職責(zé)和懲戒措施等。7.4.2 安全培訓(xùn)

安全培訓(xùn)是指對(duì)本單位承擔(dān)信息系統(tǒng)管理、使用和運(yùn)行維護(hù)人員進(jìn)行的專業(yè)培訓(xùn)。

安全培訓(xùn)應(yīng)根據(jù)不同的崗位職責(zé)和安全責(zé)任，制訂有針對(duì)性的培訓(xùn)計(jì)劃、培訓(xùn)教材并保證所有相關(guān)人員在從事本職工作之前就接受了必要的信息安全管理和技術(shù)培訓(xùn)。

要求： 1)應(yīng)在工作人員被授予訪問權(quán)限之前，依據(jù)其安全角色和職責(zé)，進(jìn)行具有針對(duì)性的安全培訓(xùn)。

2)應(yīng)科學(xué)的制訂培訓(xùn)計(jì)劃，認(rèn)真組織培訓(xùn)，及時(shí)驗(yàn)證培訓(xùn)效果并形成相關(guān)的培訓(xùn)記錄。

3)應(yīng)為重要信息系統(tǒng)的信息安全工作人員參加專業(yè)的信息安全培訓(xùn)和職業(yè)資格認(rèn)證提供條件，使其系統(tǒng)地、全面地提高信息安全知識(shí)和技能水平。技術(shù)體系

信息安全技術(shù)體系的作用是通過使用安全產(chǎn)品和技術(shù)，支撐和實(shí)現(xiàn)安全策略，達(dá)到信息系統(tǒng)的保密、完整、可用等安全目標(biāo)。按照P2DR2模型，行業(yè)信息安全技術(shù)體系涉及信息安全防護(hù)、檢測、響應(yīng)和恢復(fù)四個(gè)方面的內(nèi)容：

1)防護(hù)：通過訪問控制、信息系統(tǒng)完整性保護(hù)、系統(tǒng)與通信保護(hù)、物理與環(huán)境保護(hù)等安全控制措施，使信息系統(tǒng)具備比較完善的抵抗攻擊破壞的能力。

2)檢測：通過采取入侵檢測、漏洞掃描、安全審計(jì)等技術(shù)手段，對(duì)信息系統(tǒng)運(yùn)行狀態(tài)和操作行為進(jìn)行監(jiān)控和記錄，對(duì)信息系統(tǒng)的脆弱性以及面臨的威脅進(jìn)行評(píng)估，及時(shí)發(fā)現(xiàn)安全隱患和入侵行為并發(fā)出告警。

3)響應(yīng)：通過事件監(jiān)控和處理工具等技術(shù)措施，提高應(yīng)急處理和事件響應(yīng)能力，保證在安全事件發(fā)生后能夠及時(shí)進(jìn)行分析、定位、跟蹤、排除和取證。

4)恢復(fù)：通過建立信息系統(tǒng)備份和恢復(fù)機(jī)制，保證在安全事件發(fā)生后及時(shí)有效地進(jìn)行信息系統(tǒng)設(shè)施和重要數(shù)據(jù)的恢復(fù)。

8.1 訪問控制

訪問控制是對(duì)信息系統(tǒng)中發(fā)起訪問的主體和被訪問的數(shù)據(jù)、應(yīng)用、人員等客體之間的訪問活動(dòng)進(jìn)行控制，防止未經(jīng)授權(quán)使用信息資源的安全機(jī)制。

訪問控制包括對(duì)各類信息系統(tǒng)的用戶進(jìn)行有效的標(biāo)識(shí)鑒別和權(quán)限管理，以及根據(jù)信息系統(tǒng)的安全需求對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施、操作系統(tǒng)、應(yīng)用系統(tǒng)、遠(yuǎn)程訪問、無線接入、用戶終端的訪問活動(dòng)進(jìn)行有效限制。標(biāo)識(shí)鑒別和權(quán)限管理是訪問控制的核心與基礎(chǔ)。

敏感信息、特殊功能的訪問，必須有完整的日志記錄。日志記錄的訪問與分析用戶應(yīng)與產(chǎn)生此日志的操作用戶分離。8.1.1 標(biāo)識(shí)鑒別

訪問控制的過程中對(duì)訪問者和被訪問者身份的聲明稱為標(biāo)識(shí)，對(duì)身份的確認(rèn)稱為鑒別。標(biāo)識(shí)與鑒別可以確定訪問主體和訪問客體的身份，是進(jìn)行訪問控制的前提。信息系統(tǒng)中的訪問主體和訪問客體都可能是一個(gè)用戶，或者一個(gè)設(shè)備，所以標(biāo)識(shí)鑒別的對(duì)象應(yīng)該既包括系統(tǒng)用戶，又包括系統(tǒng)中的軟硬件設(shè)備。

要求： 1)信息系統(tǒng)中的用戶應(yīng)具有唯一的標(biāo)識(shí)并且通過唯一的方法進(jìn)行鑒別，應(yīng)通過適當(dāng)選擇靜態(tài)口令、一次性口令、數(shù)字證書、生物特征或多種方式相結(jié)合的方法來實(shí)現(xiàn)。

2)當(dāng)使用口令機(jī)制進(jìn)行鑒別時(shí)，應(yīng)采用組成復(fù)雜、不易猜測的口令并制訂口令最大生命周期限制，禁止口令被多次重用。

3)應(yīng)保證口令文件安全及口令存放介質(zhì)的物理安全，口令應(yīng)加密存儲(chǔ)，當(dāng)口令需要網(wǎng)絡(luò)傳輸時(shí)，必須進(jìn)行加密。

4)信息系統(tǒng)對(duì)用戶的鑒別應(yīng)具有時(shí)效性，當(dāng)用戶在規(guī)定的時(shí)間段內(nèi)沒有做任何操作和訪問時(shí)，應(yīng)重新進(jìn)行鑒別。

5)應(yīng)使用已知的共享信息（如MAC地址、IP地址）或采取特定協(xié)議（如IEEE802.1X，EAP，Radius）對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行標(biāo)識(shí)和鑒別。8.1.2 權(quán)限管理

權(quán)限管理是指限制和控制訪問權(quán)限的分配和使用。在進(jìn)行權(quán)限管理時(shí)應(yīng)當(dāng)遵守最小特權(quán)原則。

要求：

1)應(yīng)采用適當(dāng)?shù)募夹g(shù)措施（如操作系統(tǒng)和應(yīng)用系統(tǒng)的用戶權(quán)限管理工具、PMI系統(tǒng)等）為系統(tǒng)中的用戶和設(shè)備分配相應(yīng)的訪問權(quán)限。

2)對(duì)用戶的授權(quán)應(yīng)以滿足其工作需要的最小權(quán)限為原則，不應(yīng)分配與用戶職責(zé)無關(guān)的權(quán)限。8.1.3 網(wǎng)絡(luò)訪問控制

網(wǎng)絡(luò)訪問控制是防止對(duì)網(wǎng)絡(luò)服務(wù)的未授權(quán)訪問。網(wǎng)絡(luò)訪問控制首先要對(duì)各類網(wǎng)絡(luò)進(jìn)行清晰的邊界劃分，進(jìn)而在網(wǎng)絡(luò)邊界部署技術(shù)措施并通過合理的配臵使其有效發(fā)揮作用。

要求：

1)應(yīng)清晰劃分外網(wǎng)與內(nèi)網(wǎng)的邊界并對(duì)內(nèi)網(wǎng)中不同類型的網(wǎng)絡(luò)（如骨干網(wǎng)、省域網(wǎng)、局域網(wǎng)、以及局域網(wǎng)內(nèi)部的不同區(qū)域）進(jìn)行嚴(yán)格劃分。

2)在網(wǎng)絡(luò)邊界處設(shè)臵網(wǎng)絡(luò)訪問控制技術(shù)措施，保證用戶只能按照其得到的授權(quán)使用網(wǎng)絡(luò)服務(wù)。8.1.4 操作系統(tǒng)訪問控制

操作系統(tǒng)訪問控制是防止對(duì)操作系統(tǒng)的未授權(quán)訪問并在出現(xiàn)違規(guī)登錄操作系統(tǒng)時(shí)發(fā)出警報(bào)。

要求：

1)應(yīng)使用具有安全登錄功能的操作系統(tǒng)。

2)重要操作系統(tǒng)口令應(yīng)為8位以上，且由字母、數(shù)字和特殊符號(hào)共同組成。

3)當(dāng)訪問者連續(xù)非法登錄操作系統(tǒng)3次以上時(shí),應(yīng)自動(dòng)鎖定該賬戶或延長該賬戶下一次登錄的時(shí)間。

4)應(yīng)設(shè)臵操作系統(tǒng)的最長訪問時(shí)間，當(dāng)用戶對(duì)系統(tǒng)訪問超時(shí)，須強(qiáng)制用戶重新登錄。5)當(dāng)某一賬戶處于空閑狀態(tài)一段時(shí)間后，操作系統(tǒng)能夠自動(dòng)鎖定該賬戶，要求重新登錄。8.1.5 應(yīng)用系統(tǒng)訪問控制

應(yīng)用系統(tǒng)訪問控制是防止對(duì)應(yīng)用系統(tǒng)功能和信息進(jìn)行未授權(quán)訪問。

要求：

1)應(yīng)用系統(tǒng)和數(shù)據(jù)庫系統(tǒng)開發(fā)過程中，應(yīng)設(shè)臵必要的訪問控制機(jī)制，保證用戶對(duì)信息和應(yīng)用系統(tǒng)功能的訪問遵守已確定的訪問控制策略。

2)應(yīng)用系統(tǒng)的訪問控制機(jī)制應(yīng)覆蓋其所有用戶，所有功能和信息，以及所有的操作行為。

3)應(yīng)根據(jù)應(yīng)用系統(tǒng)的重要性設(shè)臵訪問控制的粒度，一般應(yīng)用系統(tǒng)應(yīng)達(dá)到訪問主體為用戶組級(jí)，訪問客體為功能模塊級(jí)，重要信息系統(tǒng)應(yīng)達(dá)到訪問主體為用戶級(jí)，訪問客體為文件、數(shù)據(jù)表級(jí)。

4)應(yīng)嚴(yán)格限制默認(rèn)用戶的訪問權(quán)限。8.1.6 遠(yuǎn)程訪問控制

遠(yuǎn)程訪問控制是指對(duì)來自外網(wǎng)（如廣域網(wǎng)）對(duì)本單位內(nèi)網(wǎng)（如局域網(wǎng)）的訪問進(jìn)行控制，防止遠(yuǎn)程用戶的未授權(quán)訪問，以及在遠(yuǎn)程訪問過程中的信息泄露。

要求： 1)應(yīng)明確遠(yuǎn)程訪問的授權(quán)范圍和訪問方式并使用必要的控制措施管理遠(yuǎn)程訪問。

2)應(yīng)使用加密傳輸來保護(hù)遠(yuǎn)程訪問會(huì)話的機(jī)密性。3)應(yīng)對(duì)遠(yuǎn)程訪問用戶進(jìn)行身份識(shí)別。8.1.7 無線接入訪問控制

無線接入訪問控制是對(duì)使用無線通信技術(shù)接入內(nèi)網(wǎng)的用戶進(jìn)行訪問控制，防止通過無線技術(shù)進(jìn)行的未授權(quán)訪問。

要求：

1)使用必要的無線接入訪問控制技術(shù)，保證用戶在通過無線接入內(nèi)網(wǎng)前必須經(jīng)過嚴(yán)格的身份鑒別。

2)應(yīng)使用必要的加密技術(shù)保護(hù)通過無線通信系統(tǒng)傳輸信息的完整性和保密性。8.1.8 用戶終端訪問控制

用戶終端訪問控制是防止由于終端計(jì)算機(jī)使用人員的誤操作、越權(quán)訪問、安裝和使用與工作無關(guān)的個(gè)人軟件，影響信息系統(tǒng)的正常工作，造成信息安全風(fēng)險(xiǎn)。

要求：

1)應(yīng)采用適當(dāng)?shù)募夹g(shù)手段，對(duì)用戶終端的違規(guī)操作（如安裝和使用間諜黑客軟件，未經(jīng)授權(quán)使用撥號(hào)上網(wǎng)等）進(jìn)行監(jiān)測和有效控制。

2)應(yīng)通過適當(dāng)?shù)募夹g(shù)手段，防止未經(jīng)授權(quán)的用戶終端接入本單位網(wǎng)絡(luò)系統(tǒng)尤其要防止外單位人員的用戶終端在未經(jīng)批準(zhǔn)的情況下接入本單位網(wǎng)絡(luò)系統(tǒng)。

3)接入行業(yè)網(wǎng)絡(luò)的用戶終端應(yīng)進(jìn)行必要的安全檢測，滿足接入條件。

4)因工作崗位變動(dòng)不再需要使用用戶終端時(shí)，應(yīng)對(duì)其進(jìn)行妥善處理并及時(shí)刪除用戶終端內(nèi)敏感數(shù)據(jù)。

8.2 信息系統(tǒng)完整性保護(hù)

信息系統(tǒng)的完整性是指信息系統(tǒng)沒有遭受篡改或破壞。為保持信息系統(tǒng)的完整性，在信息系統(tǒng)的采購和開發(fā)過程中，應(yīng)當(dāng)充分考慮相應(yīng)的保護(hù)機(jī)制，如錯(cuò)誤處理、輸出信息校驗(yàn)，盡量消除信息系統(tǒng)存在的自身缺陷；在信息系統(tǒng)的運(yùn)行階段，應(yīng)當(dāng)使用適當(dāng)?shù)募夹g(shù)手段修補(bǔ)系統(tǒng)中存在的漏洞并采用技術(shù)措施防范惡意代碼造成的破壞等。8.2.1 錯(cuò)誤處理

錯(cuò)誤處理是指應(yīng)用系統(tǒng)辨別和處理運(yùn)行中由于操作不當(dāng)和運(yùn)行環(huán)境等因素造成的錯(cuò)誤，以提高應(yīng)用系統(tǒng)的容錯(cuò)能力。

要求：

1)在應(yīng)用系統(tǒng)的開發(fā)過程中，應(yīng)充分考慮系統(tǒng)可能出現(xiàn)的操作錯(cuò)誤，為操作界面提供撤銷操作的功能；當(dāng)某一功能發(fā)生錯(cuò)誤故障時(shí)，盡量保障其他功能依然可用。

2)應(yīng)用系統(tǒng)應(yīng)具備錯(cuò)誤檢測能力，在發(fā)生錯(cuò)誤和故障時(shí)發(fā)出報(bào)錯(cuò)信息；報(bào)錯(cuò)信息應(yīng)只顯示給擁有授權(quán)的用戶，防止報(bào)錯(cuò)信息為攻擊者提供敏感信息和有關(guān)系統(tǒng)脆弱性的信息。8.2.2 輸出信息處理

應(yīng)用系統(tǒng)應(yīng)以正確的方式對(duì)輸出的信息進(jìn)行處理和保存，確保輸出信息的完整性。

要求：

1)應(yīng)用系統(tǒng)應(yīng)具備對(duì)系統(tǒng)輸出信息進(jìn)行校驗(yàn)的功能，保證輸出信息的準(zhǔn)確性。

2)應(yīng)用系統(tǒng)應(yīng)能夠?yàn)樾畔⒌拈喿x者或輸出信息的接收系統(tǒng)提供用以確定輸出信息完整性的信息。

3)應(yīng)用系統(tǒng)應(yīng)能夠?qū)敵鲂畔⒌娜ハ蜻M(jìn)行記錄。8.2.3 惡意代碼防范

惡意代碼防范是通過部署惡意代碼防護(hù)措施，降低由于惡意代碼的傳播造成的系統(tǒng)崩潰、數(shù)據(jù)丟失等安全風(fēng)險(xiǎn)。

要求：

1)應(yīng)在網(wǎng)絡(luò)邊界和網(wǎng)絡(luò)中的服務(wù)器、用戶終端等設(shè)備中部署惡意代碼防范工具。

2)必須在本單位的網(wǎng)絡(luò)系統(tǒng)中部署病毒集中防御系統(tǒng)，對(duì)系統(tǒng)中的防病毒軟件進(jìn)行統(tǒng)一管理，防止惡意代碼通過網(wǎng)絡(luò)大范圍傳播。

3)在重要應(yīng)用系統(tǒng)的開發(fā)中，應(yīng)當(dāng)對(duì)應(yīng)用程序代碼進(jìn)行安全性審查，識(shí)別應(yīng)用系統(tǒng)中可能存在的后門、系統(tǒng)炸彈、隱蔽通道等惡意代碼。

8.2.4 漏洞修補(bǔ)

漏洞修補(bǔ)是指分析信息系統(tǒng)中存在的安全漏洞，對(duì)受到這些漏洞影響的系統(tǒng)進(jìn)行安全加固，防止攻擊者利用漏洞對(duì)信息系統(tǒng)進(jìn)行攻擊。

要求：

1)應(yīng)及時(shí)跟蹤國家有關(guān)部門（如公安部國家網(wǎng)絡(luò)與信息安全通報(bào)中心、信產(chǎn)部CNCERT）、操作系統(tǒng)開發(fā)商和數(shù)據(jù)庫系統(tǒng)開發(fā)商最新發(fā)布的漏洞公告，為信息系統(tǒng)獲取相關(guān)的補(bǔ)丁軟件。

2)在對(duì)系統(tǒng)漏洞進(jìn)行修補(bǔ)前，應(yīng)對(duì)補(bǔ)丁文件的有效性和安全性進(jìn)行測試。

3)應(yīng)采取有效的管理和技術(shù)措施，及時(shí)發(fā)現(xiàn)漏洞并及時(shí)修補(bǔ)。8.2.5 數(shù)據(jù)的完整性

數(shù)據(jù)的完整性是指數(shù)據(jù)在輸入、存儲(chǔ)、處理和傳輸?shù)倪^程中，沒有發(fā)生錯(cuò)誤、篡改和遺漏。

要求：

1)應(yīng)利用訪問控制設(shè)備和信息系統(tǒng)本身的安全防護(hù)機(jī)制，防止篡改信息系統(tǒng)中的業(yè)務(wù)數(shù)據(jù)和配臵信息。

2)對(duì)自開發(fā)的應(yīng)用系統(tǒng)應(yīng)采用奇偶校驗(yàn)，循環(huán)冗余檢驗(yàn)，哈希函數(shù)等技術(shù)機(jī)制或?qū)ｉT的技術(shù)產(chǎn)品來保證數(shù)據(jù)的完整性。

3)應(yīng)使用密碼技術(shù)保證數(shù)據(jù)在網(wǎng)絡(luò)中傳輸?shù)耐暾浴?.2.6 垃圾郵件防范

應(yīng)采取適當(dāng)?shù)募夹g(shù)措施防止利用垃圾郵件對(duì)系統(tǒng)進(jìn)行惡意攻擊。要求：

1)應(yīng)為本單位的郵件系統(tǒng)部署有效的反垃圾郵件工具。2)要避免本單位郵件系統(tǒng)成為垃圾郵件的源頭。

8.3 系統(tǒng)與通信保護(hù)

系統(tǒng)與通信保護(hù)是指通過一系列技術(shù)措施，保證信息系統(tǒng)的各個(gè)組成部分和信息系統(tǒng)中的通信活動(dòng)按照安全策略正常工作。包括以下內(nèi)容：安全域劃分、拒絕服務(wù)保護(hù)、邊界保護(hù)、傳輸加密、公鑰基礎(chǔ)設(shè)施和抗抵賴服務(wù)等。8.3.1 安全域劃分

在信息系統(tǒng)中，遵守相同的信息安全策略的集合（包括人員，軟硬件設(shè)備）稱為安全域。它的目的是對(duì)信息系統(tǒng)中的不同安全等級(jí)區(qū)域分別進(jìn)行保護(hù)。

要求：

1)應(yīng)根據(jù)網(wǎng)絡(luò)結(jié)構(gòu)、應(yīng)用系統(tǒng)用途以及信息的安全等級(jí)等因素，對(duì)信息系統(tǒng)進(jìn)行安全域的劃分。

2)應(yīng)將不同用途的系統(tǒng)劃分在不同安全域，應(yīng)將信息系統(tǒng)用戶功能區(qū)域與信息系統(tǒng)管理功能區(qū)域劃分在不同安全域，應(yīng)將應(yīng)用服務(wù)（如門戶網(wǎng)站、應(yīng)用系統(tǒng)操作界面）與數(shù)據(jù)存儲(chǔ)服務(wù)（如中間件服務(wù)器、數(shù)據(jù)庫服務(wù)器）劃分在不同安全域。

3)應(yīng)采用合理的技術(shù)措施對(duì)跨越安全域邊界的訪問進(jìn)行有效控制。

8.3.2 拒絕服務(wù)防范

拒絕服務(wù)（DoS）是指系統(tǒng)被破壞或出現(xiàn)暫時(shí)不可用的故障，而導(dǎo)致服務(wù)的中斷。應(yīng)通過部署網(wǎng)絡(luò)邊界防護(hù)設(shè)備和系統(tǒng)安全加固來降低拒絕服務(wù)攻擊的風(fēng)險(xiǎn)。

要求：

1)應(yīng)在網(wǎng)絡(luò)邊界設(shè)備上制訂訪問控制規(guī)則，以保護(hù)本單位內(nèi)網(wǎng)和局域網(wǎng)設(shè)備不受拒絕服務(wù)攻擊的直接影響。

2)對(duì)于互聯(lián)網(wǎng)應(yīng)用，應(yīng)適當(dāng)采用擴(kuò)充系統(tǒng)容量、增加帶寬、備份冗余等方式增強(qiáng)抵御拒絕服務(wù)攻擊的能力。

3)應(yīng)及時(shí)進(jìn)行系統(tǒng)安全加固，對(duì)存在的安全漏洞進(jìn)行修補(bǔ)，避免利用系統(tǒng)漏洞的拒絕服務(wù)攻擊。8.3.3 網(wǎng)絡(luò)邊界保護(hù)

網(wǎng)絡(luò)邊界保護(hù)是在網(wǎng)絡(luò)邊界部署安全控制措施對(duì)網(wǎng)絡(luò)通信進(jìn)行監(jiān)測和嚴(yán)格控制，以防止來自外部的攻擊，保護(hù)信息系統(tǒng)關(guān)鍵信息的通信安全。要求：

1)應(yīng)監(jiān)視和控制本單位網(wǎng)絡(luò)對(duì)外出口和內(nèi)部網(wǎng)絡(luò)邊界的通信情況。

2)應(yīng)采用防火墻、代理服務(wù)器，路由器安全配臵等方式對(duì)網(wǎng)絡(luò)邊界進(jìn)行保護(hù)。

3)在具有公眾服務(wù)的邊界出口處，應(yīng)采用入侵防護(hù)系統(tǒng)(IPS)、病毒網(wǎng)關(guān)防護(hù)系統(tǒng)(AV)、流量整形系統(tǒng)等防護(hù)措施來加強(qiáng)保障。8.3.4 傳輸加密

傳輸加密的目的是防止搭線竊聽、誘騙等安全威脅，保護(hù)信息傳輸過程中的機(jī)密性。

要求：

1)在傳輸涉及行業(yè)秘密或敏感信息時(shí)，應(yīng)使用國家有關(guān)部門認(rèn)可的或符合行業(yè)有關(guān)要求的加密設(shè)備進(jìn)行加密傳輸。8.3.5 公鑰基礎(chǔ)設(shè)施

公鑰基礎(chǔ)設(shè)施用于為信息系統(tǒng)用戶提供第三方的身份標(biāo)識(shí)和鑒別服務(wù)。

要求：

1)應(yīng)按照國家局的要求，建設(shè)、使用和規(guī)范管理PKI/CA認(rèn)證體系，對(duì)重要信息系統(tǒng)必須使用PKI/CA認(rèn)證體系進(jìn)行用戶身份的標(biāo)識(shí)和鑒別。8.3.6 抗抵賴服務(wù)

抗抵賴服務(wù)是指監(jiān)控個(gè)人對(duì)信息系統(tǒng)執(zhí)行特定的操作并對(duì)其進(jìn)行準(zhǔn)確記錄?？沟仲嚪?wù)的目的是防止用戶不承認(rèn)執(zhí)行過某個(gè)操作而推卸責(zé)任。

要求：

1)重要的應(yīng)用系統(tǒng)應(yīng)具有抗抵賴功能，能確定某人是否執(zhí)行了某個(gè)特定的操作（如創(chuàng)建信息、發(fā)送信息、接收到信息等），并產(chǎn)生和儲(chǔ)存相關(guān)的證據(jù)。

2)應(yīng)利用公鑰基礎(chǔ)設(shè)施為重要的網(wǎng)絡(luò)設(shè)備和服務(wù)器建立有效抗抵賴措施。

8.4 物理環(huán)境保護(hù)

物理環(huán)境保護(hù)是指將信息系統(tǒng)硬件設(shè)備放臵在安全區(qū)域內(nèi)并通過物理屏障、監(jiān)控設(shè)施和保持良好的物理環(huán)境進(jìn)行保護(hù)，避免對(duì)信息系統(tǒng)硬件物理上的破壞和干擾。8.4.1 物理訪問控制

物理訪問控制是指通過物理屏障、監(jiān)控設(shè)備、物理標(biāo)識(shí)和人員監(jiān)督等措施，保證只有經(jīng)過授權(quán)的人員可以對(duì)信息系統(tǒng)的硬件設(shè)備進(jìn)行訪問。

要求：

1)各類人員只有在持有訪問許可時(shí)才可以接近信息系統(tǒng)核心硬件，對(duì)于不再需要進(jìn)行訪問的人員應(yīng)及時(shí)收回訪問許可。

2)應(yīng)當(dāng)在信息系統(tǒng)核心硬件設(shè)施的物理訪問進(jìn)出點(diǎn)，對(duì)進(jìn)出人員的訪問許可進(jìn)行核實(shí)，同時(shí)記錄訪問時(shí)間和事由。

3)應(yīng)通過定期檢查和分析物理訪問記錄，及時(shí)發(fā)現(xiàn)違規(guī)或可疑的物理訪問并及時(shí)采取補(bǔ)救或防范措施。8.4.2 傳輸介質(zhì)保護(hù)

傳輸介質(zhì)保護(hù)是指防止傳輸信息的線纜遭到物理損壞，以致通信中斷、通信效果下降或泄密。

要求：

1)應(yīng)在網(wǎng)絡(luò)布線工程過程中嚴(yán)格遵守有關(guān)標(biāo)準(zhǔn)規(guī)范，保證布線的質(zhì)量和工藝水平。

2)應(yīng)采取有效措施控制對(duì)本單位局域網(wǎng)信息傳輸線路的物理接觸，以防止搭線竊聽、傳輸過程中的數(shù)據(jù)篡改和干擾、以及對(duì)線纜的物理破壞。

3)應(yīng)盡量避免在網(wǎng)絡(luò)中使用共享式網(wǎng)絡(luò)設(shè)備，如HUB。8.4.3 存儲(chǔ)介質(zhì)保護(hù)

存儲(chǔ)介質(zhì)是信息靜態(tài)的載體，包括硬盤、光盤、U盤等多種形式。介質(zhì)保護(hù)是指對(duì)介質(zhì)進(jìn)行適當(dāng)?shù)臉?biāo)識(shí)和訪問控制，以合理的方式進(jìn)行介質(zhì)的保存，傳送和廢棄。

要求： 1)應(yīng)在重要的存儲(chǔ)介質(zhì)上粘貼紙質(zhì)標(biāo)簽，標(biāo)簽上要印有介質(zhì)的編號(hào)、名稱、類別、負(fù)責(zé)保管和使用的人員和部門，該介質(zhì)使用范圍的限制和操作中的注意事項(xiàng)等。

2)應(yīng)對(duì)重要存儲(chǔ)介質(zhì)進(jìn)行妥善保管，保證只有經(jīng)過授權(quán)的人可以訪問存儲(chǔ)有重要信息的介質(zhì)并防止由于人為破壞，以及高溫、潮濕等自然因素影響介質(zhì)的可用性。

3)對(duì)不再需要保留的重要信息或存儲(chǔ)介質(zhì)廢棄時(shí)，應(yīng)將其從存儲(chǔ)介質(zhì)中徹底清除。8.4.4 顯示介質(zhì)訪問控制

信息的顯示介質(zhì)，如計(jì)算機(jī)屏幕、傳真機(jī)、掃描儀、打印機(jī)等，有可能成為泄密渠道。顯示介質(zhì)訪問控制是指防止未經(jīng)授權(quán)的人，通過接近或使用信息顯示介質(zhì)，破壞信息的安全性。應(yīng)設(shè)臵有效的訪問控制措施，限制非授權(quán)人員偷窺或直接使用顯示介質(zhì)獲取行業(yè)的重要信息。

要求：

1)應(yīng)有效防止非授權(quán)人員接近正在或可以顯示重要信息的顯示介質(zhì)，防止未經(jīng)授權(quán)的人員瀏覽顯示內(nèi)容。

2)在顯示介質(zhì)無人值守時(shí)應(yīng)該通過適當(dāng)?shù)臉?biāo)識(shí)鑒別機(jī)制防止未經(jīng)授權(quán)的人員使用顯示介質(zhì)。8.4.5 機(jī)房環(huán)境安全

計(jì)算機(jī)機(jī)房的環(huán)境安全必須符合國家有關(guān)規(guī)范和國家局有關(guān)規(guī)定的要求，為信息系統(tǒng)的正常穩(wěn)定運(yùn)行，提供良好的物理環(huán)境。

要求：

1)省級(jí)以上單位或重要單位的機(jī)房應(yīng)達(dá)到國家A級(jí)以上標(biāo)準(zhǔn)，其他單位機(jī)房應(yīng)達(dá)到國家B級(jí)以上標(biāo)準(zhǔn)。

8.5 檢測與響應(yīng)

檢測與響應(yīng)是指對(duì)信息安全事件進(jìn)行預(yù)警、識(shí)別和分析并對(duì)已經(jīng)發(fā)生的安全事件做出及時(shí)有效響應(yīng)。8.5.1 入侵檢測

入侵檢測是對(duì)信息系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視，以發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果。

要求：

1)應(yīng)使用入侵檢測工具對(duì)信息系統(tǒng)中的安全事件進(jìn)行實(shí)時(shí)監(jiān)控。

2)應(yīng)定期查看入侵檢測工具生成的報(bào)警日志，及時(shí)發(fā)現(xiàn)信息系統(tǒng)中出現(xiàn)的攻擊行為。8.5.2 漏洞掃描

漏洞掃描是使用專用工具，及時(shí)檢測、發(fā)現(xiàn)信息系統(tǒng)中關(guān)鍵設(shè)備存在的漏洞，為安全加固提供準(zhǔn)備。

要求：

1)已配備漏洞掃描工具的單位，信息安全管理員應(yīng)能熟練使用漏洞掃描工具，及時(shí)更新漏洞掃描工具的軟件版本和漏洞庫，及時(shí)發(fā)現(xiàn)信息系統(tǒng)中存在的漏洞并且保證漏洞掃描工具的使用不會(huì)對(duì)信息安全造成負(fù)面影響。

2)未配備漏洞掃描工具的單位，可采取委托第三方專業(yè)機(jī)構(gòu)的方式，定期進(jìn)行漏洞掃描。

3)應(yīng)針對(duì)漏洞掃描的結(jié)果，對(duì)重要信息系統(tǒng)及時(shí)進(jìn)行安全加固。

8.5.3 安全事件告警和響應(yīng)

信息安全事件告警和響應(yīng)，是指在發(fā)生安全事件時(shí)發(fā)出告警信息并做出及時(shí)響應(yīng)。

要求：

1)應(yīng)在網(wǎng)絡(luò)中部署安全監(jiān)控和審計(jì)設(shè)備并能通過適當(dāng)?shù)姆绞?，及時(shí)向信息安全管理員發(fā)出安全事件的告警。

2)應(yīng)在保證業(yè)務(wù)連續(xù)性不受影響的前提下，選用帶有自動(dòng)響應(yīng)機(jī)制的安全技術(shù)或設(shè)備，如IDS與防火墻聯(lián)動(dòng)、IPS、有過濾功能的內(nèi)容審計(jì)系統(tǒng)，自動(dòng)終止信息系統(tǒng)中發(fā)生的安全事件并保存有關(guān)記錄。8.6 安全審計(jì)

安全審計(jì)是對(duì)信息系統(tǒng)中的操作行為和操作結(jié)果進(jìn)行收集和準(zhǔn)確記錄并可以重現(xiàn)用戶的操作行為的過程，為安全管理提供用于安全事件分析的數(shù)據(jù)與事后的行為取證。8.6.1 網(wǎng)絡(luò)行為安全審計(jì)

網(wǎng)絡(luò)行為主要指使用者接入網(wǎng)絡(luò)、使用網(wǎng)絡(luò)資源的記錄，也包括運(yùn)維人員對(duì)網(wǎng)絡(luò)的維護(hù)操作行為。

要求：

1)應(yīng)根據(jù)信息系統(tǒng)資產(chǎn)的重要性和風(fēng)險(xiǎn)情況，合理確定審計(jì)對(duì)象與審計(jì)內(nèi)容并采用實(shí)用有效的審計(jì)工具。

2)用戶上網(wǎng)記錄應(yīng)包括：登錄網(wǎng)絡(luò)時(shí)間、離開時(shí)間、登錄地點(diǎn)、使用網(wǎng)絡(luò)資源；若是維護(hù)人員還應(yīng)包括維護(hù)系統(tǒng)的操作命令記錄。

3)安全事件記錄應(yīng)包括：安全事件發(fā)生的時(shí)間、導(dǎo)致安全事件產(chǎn)生的使用者、事件的類型及事件造成的結(jié)果。

4)應(yīng)妥善保護(hù)信息系統(tǒng)中重要審計(jì)記錄，防止丟失、損壞、偽造與篡改，保證審計(jì)信息的完整性。

5)當(dāng)審計(jì)目標(biāo)范圍較大、審計(jì)結(jié)果龐大復(fù)雜時(shí)，應(yīng)采用專門的信息安全審計(jì)工具，對(duì)審計(jì)記錄進(jìn)行集中存儲(chǔ)、分析和管理，提高審計(jì)工作的效率。8.6.2 業(yè)務(wù)合規(guī)性審計(jì)

業(yè)務(wù)合規(guī)性審計(jì)指對(duì)有關(guān)行業(yè)涉密信息以及業(yè)務(wù)流程審批的操作規(guī)定，在業(yè)務(wù)系統(tǒng)中要可以記錄業(yè)務(wù)流程操作過程與涉密信息使用記錄并提供事后審計(jì)的功能。

要求：

1)應(yīng)根據(jù)行業(yè)相關(guān)的管理要求，合理確定審計(jì)對(duì)象與審計(jì)內(nèi)容并采用有效的審計(jì)工具，必要時(shí)可以對(duì)業(yè)務(wù)開發(fā)單位提出審計(jì)開發(fā)要求。

2)涉密信息使用記錄包括：信息標(biāo)識(shí)、使用人員、使用時(shí)間、操作內(nèi)容等。

3)業(yè)務(wù)合規(guī)性檢查包括：業(yè)務(wù)是否符合有關(guān)審批規(guī)定、是否符合財(cái)務(wù)規(guī)定、是否符合行業(yè)的其他規(guī)定等。

4)應(yīng)對(duì)審計(jì)記錄進(jìn)行妥善的保護(hù)，防止丟失、損壞、偽造與篡改，保證審計(jì)信息的完整性。

5)當(dāng)審計(jì)目標(biāo)范圍較大、審計(jì)結(jié)果龐大復(fù)雜時(shí)，應(yīng)采用專門的信息安全審計(jì)工具，對(duì)審計(jì)記錄進(jìn)行集中存儲(chǔ)、分析和管理，提高審計(jì)工作的效率。

8.7 備份與恢復(fù)

備份與恢復(fù)是指將信息和信息系統(tǒng)以某種方式進(jìn)行復(fù)制，在其遭受破壞或故障時(shí)，重新加以利用的一個(gè)過程。備份與恢復(fù)系統(tǒng)的建設(shè)，要根據(jù)信息和信息系統(tǒng)重要程度制訂明確的備份恢復(fù)策略，采用必要的技術(shù)產(chǎn)品和備份恢復(fù)機(jī)制，實(shí)現(xiàn)備份恢復(fù)策略。8.7.1 信息系統(tǒng)備份

信息系統(tǒng)備份是指對(duì)信息和信息系統(tǒng)軟硬件進(jìn)行備份，以便在信息或信息系統(tǒng)遭到破壞時(shí)重新恢復(fù)使用。

要求：

1)應(yīng)根據(jù)信息系統(tǒng)的重要性，合理選擇適當(dāng)?shù)膫浞輽C(jī)制，對(duì)不同類型的信息和信息系統(tǒng)軟硬件進(jìn)行合理的備份。

2)備份的對(duì)象不僅應(yīng)包括業(yè)務(wù)信息和軟硬件設(shè)備，還應(yīng)包括用于恢復(fù)系統(tǒng)的配臵信息。

3)應(yīng)采用有效的技術(shù)手段保證備份系統(tǒng)的可靠性和備份信息的完整性并且對(duì)備份系統(tǒng)的有效性進(jìn)行定期測試。8.7.2 備用存儲(chǔ)站點(diǎn)

備用存儲(chǔ)站點(diǎn)是指為重要信息建立的備用存儲(chǔ)系統(tǒng)，以便在重要信息遭到破壞后對(duì)其進(jìn)行恢復(fù)。

要求：

1)應(yīng)根據(jù)本單位特點(diǎn)和實(shí)際需求，為重要信息建設(shè)備用存儲(chǔ)站點(diǎn)。

2)備用存儲(chǔ)站點(diǎn)應(yīng)與主站點(diǎn)保持一致的安全防護(hù)等級(jí)。3)備用存儲(chǔ)站點(diǎn)應(yīng)與主站點(diǎn)保持足夠的距離，以避免受到同一災(zāi)難的影響。8.7.3 備用處理站點(diǎn)

備用處理站點(diǎn)是指為重要信息系統(tǒng)建立備用的處理系統(tǒng)，以保證重要信息系統(tǒng)在發(fā)生安全事件后可以保持處理能力的連續(xù)性。

要求：

1)應(yīng)根據(jù)本單位特點(diǎn)和實(shí)際需求，建立備用處理站點(diǎn)，當(dāng)重要的信息處理能力失效后，可以及時(shí)使用備用處理站點(diǎn)保證數(shù)據(jù)處理的連續(xù)性。

2)備用處理站點(diǎn)應(yīng)與主站點(diǎn)保持一致的安全防護(hù)等級(jí)。3)應(yīng)對(duì)備用處理站點(diǎn)進(jìn)行有效配臵，使之可以隨時(shí)進(jìn)入到正式運(yùn)行狀態(tài)。

4)應(yīng)定期對(duì)備用處理站點(diǎn)進(jìn)行測試，檢查備用處理站點(diǎn)的有效性。

8.7.4 備份通信線路

備份通信線路是指為重要信息系統(tǒng)建立的備用網(wǎng)絡(luò)傳輸線路，在主線路不能正常工作時(shí)可以保持?jǐn)?shù)據(jù)傳輸?shù)哪芰Α?/p>

要求：

1)應(yīng)為重要網(wǎng)絡(luò)通信線路建立備份線路。2)備份線路與主線路應(yīng)保持一致的安全防護(hù)等級(jí)。3)應(yīng)定期測試備份通信線路，保證備份通信線路的有效性。4)互為備份的線路應(yīng)避免同一性質(zhì)故障的影響。8.7.5 信息系統(tǒng)恢復(fù)和重建

信息系統(tǒng)恢復(fù)和重建是指信息系統(tǒng)的應(yīng)用軟件和系統(tǒng)軟件被重新安裝，最近備份的業(yè)務(wù)信息和配臵信息仍然有效，在災(zāi)難發(fā)生后系統(tǒng)能夠恢復(fù)正常運(yùn)行。

要求：

1)應(yīng)參照國家公布的《信息系統(tǒng)災(zāi)難恢復(fù)指南》，采取技術(shù)措施并建立相應(yīng)的流程，保證重要的業(yè)務(wù)系統(tǒng)在遭到破壞后可以迅速地恢復(fù)或重建。

2)應(yīng)定期組織重要信息系統(tǒng)恢復(fù)與重建的演練。運(yùn)維體系

信息安全運(yùn)維體系的作用是在安全管理體系和安全技術(shù)體系的運(yùn)行過程中，發(fā)現(xiàn)和糾正各類安全保障措施存在的問題和不足，保證它們穩(wěn)定可靠運(yùn)行，有效執(zhí)行安全策略規(guī)定的目標(biāo)和原則。當(dāng)運(yùn)行維護(hù)過程中發(fā)現(xiàn)目前的信息安全保障體系不能滿足本單位信息化建設(shè)的需要時(shí)，應(yīng)當(dāng)制訂新的安全保障體系建設(shè)規(guī)劃，進(jìn)而通過新一輪信息安全保障體系建設(shè)，使安全保障體系的保障能力得到全面提升。

行業(yè)信息安全運(yùn)維體系建設(shè)工作的內(nèi)容應(yīng)當(dāng)包括制訂流程和規(guī)范、制訂階段性工作計(jì)劃、開展風(fēng)險(xiǎn)評(píng)估、實(shí)施安全分級(jí)、規(guī)范產(chǎn)品與服務(wù)采購、加強(qiáng)日常維護(hù)管理、提高緊急事件響應(yīng)能力、進(jìn)行績效評(píng)估與改進(jìn)等。9.1 流程和規(guī)范

流程和規(guī)范是指規(guī)定信息安全運(yùn)行維護(hù)工作的具體內(nèi)容，規(guī)范信息安全運(yùn)行維護(hù)工作方式和次序的一系列文件。流程和規(guī)范的作用是將信息安全維護(hù)工作規(guī)范化和標(biāo)準(zhǔn)化，保障信息安全策略和規(guī)章制度有效落實(shí)并便于審查。

要求：

1)制訂全面、合理、可行的流程和規(guī)范，其內(nèi)容必須覆蓋風(fēng)險(xiǎn)評(píng)估、產(chǎn)品與服務(wù)采購、系統(tǒng)維護(hù)、應(yīng)急計(jì)劃和事件響應(yīng)等運(yùn)行維護(hù)的各個(gè)方面。

2)流程和規(guī)范應(yīng)明確描述信息安全運(yùn)行維護(hù)各項(xiàng)工作的工作程序、操作次序、記錄表單和文檔模版。

3)應(yīng)通過下發(fā)文件、會(huì)議宣貫、組織學(xué)習(xí)、專業(yè)培訓(xùn)等多種方式確保所有相關(guān)人員熟悉、理解和遵守相關(guān)的流程和規(guī)范。

4)應(yīng)定期審查流程和規(guī)范的執(zhí)行情況，考核信息安全運(yùn)維人員完成安全運(yùn)維工作的規(guī)范程度。

5)當(dāng)流程和規(guī)范與總體安全策略和信息安全管理制度發(fā)生沖突，或者與實(shí)際情況產(chǎn)生矛盾的時(shí)候，應(yīng)及時(shí)對(duì)其進(jìn)行調(diào)整和完善。

9.2 安全分級(jí)

安全分級(jí)是指對(duì)信息及信息系統(tǒng)，按照本單位的安全策略以及相關(guān)法規(guī)和標(biāo)準(zhǔn)的要求進(jìn)行分級(jí)，以對(duì)不同類別的信息和信息系統(tǒng)提供不同等級(jí)的安全保護(hù)。應(yīng)按照國家有關(guān)標(biāo)準(zhǔn)、規(guī)范，遵照國家局關(guān)于行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)工作的有關(guān)要求，確定本單位信息系統(tǒng)和信息子系統(tǒng)的安全級(jí)別。分級(jí)應(yīng)考慮如下要素：

1)信息系統(tǒng)的資產(chǎn)價(jià)值。2)信息系統(tǒng)的業(yè)務(wù)信息類別。3)信息系統(tǒng)的服務(wù)范圍。4)信息系統(tǒng)對(duì)業(yè)務(wù)的影響。要求：

1)應(yīng)根據(jù)本單位實(shí)際情況對(duì)信息系統(tǒng)進(jìn)行準(zhǔn)確定級(jí)。

2)應(yīng)根據(jù)信息系統(tǒng)的定級(jí)情況，落實(shí)相應(yīng)安全保障措施，達(dá)到相應(yīng)的安全保障目標(biāo)。

9.3 風(fēng)險(xiǎn)評(píng)估

風(fēng)險(xiǎn)評(píng)估是指對(duì)信息系統(tǒng)面臨的安全威脅，存在的脆弱性，以及它們綜合作用帶來負(fù)面影響的嚴(yán)重性和可能性進(jìn)行系統(tǒng)化的分析和評(píng)價(jià)。風(fēng)險(xiǎn)評(píng)估的作用是了解信息和信息系統(tǒng)面臨的安全風(fēng)險(xiǎn)，為實(shí)施安全控制措施，降低安全風(fēng)險(xiǎn)提供依據(jù)。9.3.1 風(fēng)險(xiǎn)評(píng)估實(shí)施

風(fēng)險(xiǎn)評(píng)估的實(shí)施是指選擇適當(dāng)?shù)脑u(píng)估方法，由信息安全評(píng)估專業(yè)人員和信息系統(tǒng)用戶共同參與，對(duì)信息安全風(fēng)險(xiǎn)進(jìn)行評(píng)價(jià)的過程。風(fēng)險(xiǎn)評(píng)估的實(shí)施應(yīng)以《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》、《信息安全技術(shù) 信息系統(tǒng)安全保障評(píng)估框架》和國家的有關(guān)文件要求為依據(jù)。行業(yè)的風(fēng)險(xiǎn)評(píng)估可采取自評(píng)估（自身發(fā)起）和檢查評(píng)估（上級(jí)主管部門或國家有關(guān)職能部門發(fā)起）兩種方式。風(fēng)險(xiǎn)評(píng)估工作應(yīng)委托具有相應(yīng)資質(zhì)的風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)，有條件的單位也可依靠自己的技術(shù)力量進(jìn)行。

應(yīng)定期進(jìn)行全面的風(fēng)險(xiǎn)評(píng)估并在下列情況下，及時(shí)對(duì)信息系統(tǒng)實(shí)施不同范圍的風(fēng)險(xiǎn)評(píng)估：

1)信息安全保障體系建設(shè)前期進(jìn)行全面的風(fēng)險(xiǎn)評(píng)估。2)在技術(shù)平臺(tái)進(jìn)行大規(guī)模更新時(shí)，進(jìn)行全面的風(fēng)險(xiǎn)評(píng)估。3)重要信息系統(tǒng)升級(jí)時(shí)，針對(duì)信息系統(tǒng)可能受到影響的部分進(jìn)行風(fēng)險(xiǎn)評(píng)估。

4)對(duì)目前的重要信息系統(tǒng)增加新應(yīng)用時(shí)，針對(duì)信息系統(tǒng)可能受到影響的部分進(jìn)行風(fēng)險(xiǎn)評(píng)估。

5)在與其他單位（部門）進(jìn)行網(wǎng)絡(luò)互聯(lián)時(shí)，針對(duì)重要信息系統(tǒng)可能受到影響的部分進(jìn)行風(fēng)險(xiǎn)評(píng)估。

6)在發(fā)生信息安全事件之后，或懷疑可能會(huì)發(fā)生安全事件時(shí)，針對(duì)信息系統(tǒng)可能受到影響的部分進(jìn)行風(fēng)險(xiǎn)評(píng)估。

要求：

1)應(yīng)根據(jù)實(shí)際情況制訂風(fēng)險(xiǎn)評(píng)估工作計(jì)劃并通過風(fēng)險(xiǎn)評(píng)估的實(shí)施，確定信息系統(tǒng)的資產(chǎn)價(jià)值，識(shí)別信息系統(tǒng)面臨的威脅，識(shí)別信息系統(tǒng)的脆弱性，分析各種威脅發(fā)生的可能性并分析可能造成的損失、評(píng)價(jià)系統(tǒng)的風(fēng)險(xiǎn)狀況。

2)對(duì)重要信息系統(tǒng)應(yīng)定期進(jìn)行風(fēng)險(xiǎn)評(píng)估，以評(píng)估系統(tǒng)的安全風(fēng)

第二篇：網(wǎng)絡(luò)信息安全保障體系建設(shè)

附件3 網(wǎng)絡(luò)信息安全保障體系建設(shè)方案

目錄

網(wǎng)絡(luò)信息安全保障體系建設(shè)方案........................................................................1

1、建立完善安全管理體系.................................................................................1 1.1成立安全保障機(jī)構(gòu).........................................................................................1

2、可靠性保證.....................................................................................................2 2.1操作系統(tǒng)的安全.............................................................................................3 2.2系統(tǒng)架構(gòu)的安全.............................................................................................3 2.3設(shè)備安全.........................................................................................................4 2.4網(wǎng)絡(luò)安全.........................................................................................................4 2.5物理安全.........................................................................................................5 2.6網(wǎng)絡(luò)設(shè)備安全加固.........................................................................................5 2.7網(wǎng)絡(luò)安全邊界保護(hù).........................................................................................6 2.8拒絕服務(wù)攻擊防范.........................................................................................6 2.9信源安全/組播路由安全...............................................................................7

網(wǎng)絡(luò)信息安全保障體系建設(shè)方案

1、建立完善安全管理體系

1.1成立安全保障機(jī)構(gòu)

山東聯(lián)通以及萊蕪聯(lián)通均成立以總經(jīng)理為首的安全管理委員會(huì)，以及分管副總經(jīng)理為組長的網(wǎng)絡(luò)運(yùn)行維護(hù)部、電視寬帶支撐中心、網(wǎng)絡(luò)維護(hù)中心等相關(guān)部門為成員的互聯(lián)網(wǎng)網(wǎng)絡(luò)信息安全應(yīng)急小組，負(fù)責(zé)全省網(wǎng)絡(luò)信息安全的總體管理工作。

山東聯(lián)通以及萊蕪聯(lián)通兩個(gè)層面都建立了完善的內(nèi)部安全保障工作制度和互聯(lián)網(wǎng)網(wǎng)絡(luò)信息安全應(yīng)急預(yù)案，通過管理考核機(jī)制，嚴(yán)格執(zhí)行網(wǎng)絡(luò)信息安全技術(shù)標(biāo)準(zhǔn)，接受管理部門的監(jiān)督檢查。同時(shí)針對(duì)三網(wǎng)融合對(duì)網(wǎng)絡(luò)信息安全的特殊要求，已將IPTV等寬帶增值業(yè)務(wù)的安全保障工作納入到統(tǒng)一的制度、考核及應(yīng)急預(yù)案當(dāng)中。內(nèi)容涵蓋事前防范、事中阻斷、事后追溯的信息安全技術(shù)保障體系，域名信息登記管理制度IP地址溯源和上網(wǎng)日志留存等。并將根據(jù)國家規(guī)范要求，對(duì)三網(wǎng)融合下防黑客攻擊、防信息篡改、防節(jié)目插播、防網(wǎng)絡(luò)癱瘓技術(shù)方案進(jìn)行建立和完善。

2、可靠性保證

IPTV是電信級(jí)業(yè)務(wù)，對(duì)承載網(wǎng)可靠性有很高的要求?？煽啃苑譃樵O(shè)備級(jí)別的可靠性和網(wǎng)絡(luò)級(jí)別的可靠性。

（1）設(shè)備級(jí)可靠性

核心設(shè)備需要99.999%的高可靠性，對(duì)關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)，需要采用雙機(jī)冗余備份。此外還需要支持不間斷電源系統(tǒng)（含電池、油機(jī)系統(tǒng)）以保證核心設(shè)備24小時(shí)無間斷運(yùn)行。

（2）網(wǎng)絡(luò)級(jí)可靠性

關(guān)鍵節(jié)點(diǎn)采用冗余備份和雙鏈路備份以提供高可靠性。網(wǎng)絡(luò)可靠性包括以下幾方面：

? 接入層：接入層交換機(jī)主要利用STP/RSTP協(xié)議在OSI二層實(shí)現(xiàn)網(wǎng)絡(luò)收斂自愈。

? 匯聚層：在OSI第三層上使用雙機(jī)VRRP備份保護(hù)機(jī)制，使用BFD、Ethernet OAM、MPlS OAM來對(duì)鏈路故障進(jìn)行探測，然后通過使用快速路由協(xié)議收斂來完成鏈路快速切換。? 核心層：在P設(shè)備（Core設(shè)備和CR設(shè)備）上建立全連接LDP over TE。TE的數(shù)量在200以下。

? 組播業(yè)務(wù)保護(hù)：主要基于IS-IS協(xié)議對(duì)組播業(yè)務(wù)采取快速收斂保護(hù)，對(duì)組播分發(fā)進(jìn)行冗余保護(hù)和負(fù)載分擔(dān)。

2.1操作系統(tǒng)的安全

在操作系統(tǒng)級(jí)別上，其安全需求主要表現(xiàn)在防止非法用戶入侵、防病毒、防止數(shù)據(jù)丟失等。

? 防止非法用戶入侵：系統(tǒng)設(shè)置防火墻，將所有需要保護(hù)的主機(jī)設(shè)置在防火墻內(nèi)部，物理上防止惡意用戶發(fā)起的非法攻擊和侵入。為業(yè)務(wù)管理人員建立起身份識(shí)別的機(jī)制，不同級(jí)別的業(yè)務(wù)管理人員，擁有不同級(jí)別的對(duì)象和數(shù)據(jù)訪問權(quán)限。? 防病毒：部署防病毒軟件，及時(shí)更新系統(tǒng)補(bǔ)丁。

? 數(shù)據(jù)安全：建立數(shù)據(jù)安全傳輸體系，系統(tǒng)具備完善的日志功能，登記所有對(duì)系統(tǒng)的訪問記錄。建立安全的數(shù)據(jù)備份策略，有效地保障系統(tǒng)數(shù)據(jù)的安全性。

2.2系統(tǒng)架構(gòu)的安全

IPTV運(yùn)營管理平臺(tái)具備雙機(jī)熱備份功能，業(yè)務(wù)處理機(jī)、EPG服務(wù)器、接口機(jī)都支持主備功能。

存儲(chǔ)系統(tǒng)能夠支持磁盤RAID模式，利用RAID5技術(shù)防止硬盤出現(xiàn)故障時(shí)數(shù)據(jù)的安全。支持HA（High Availability）模式，實(shí)現(xiàn)系統(tǒng)的熱備份，在主用系統(tǒng)故障時(shí)能夠自動(dòng)切換到備用系統(tǒng)，可提供流媒體服務(wù)器多種單元的冗余備份。

支持用戶通過手工備份功能。并且備份數(shù)據(jù)可保存到外部設(shè)備中。同時(shí)，設(shè)備可通過分布式部署，保證系統(tǒng)的安全。EPG服務(wù)器、VDN調(diào)度單元、網(wǎng)管均支持分布式處理。2.3設(shè)備安全

核心系統(tǒng)（服務(wù)器硬件、系統(tǒng)軟件、應(yīng)用軟件）能在常溫下每周7×24小時(shí)連續(xù)不間斷工作，穩(wěn)定性高，故障率低，系統(tǒng)可用率大于99.9％。

具備油機(jī)不間斷供電系統(tǒng)，以保證設(shè)備運(yùn)行不受市電中斷的影響。服務(wù)器平均無故障時(shí)間（MTBF）大于5,000小時(shí)，小型機(jī)平均無故障時(shí)間（MTBF）大于10,000小時(shí)，所有主機(jī)硬件三年內(nèi)故障修復(fù)時(shí)間不超過30個(gè)小時(shí)。2.4網(wǎng)絡(luò)安全

IPTV業(yè)務(wù)承載網(wǎng)絡(luò)直接與internet等網(wǎng)絡(luò)互聯(lián)，作為IP網(wǎng)絡(luò)也面臨各種網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，包括網(wǎng)絡(luò)設(shè)備入侵、拒絕服務(wù)攻擊、路由欺騙、QOS服務(wù)破壞以及對(duì)網(wǎng)絡(luò)管理、控制協(xié)議進(jìn)行網(wǎng)絡(luò)攻擊等，故IPTV承載網(wǎng)絡(luò)的安全建設(shè)實(shí)現(xiàn)方式應(yīng)包括物理安全、網(wǎng)絡(luò)設(shè)備的安全加固、網(wǎng)絡(luò)邊界安全訪問控制等內(nèi)容。2.5物理安全

包括IPTV承載網(wǎng)絡(luò)通信線路、物理設(shè)備的安全及機(jī)房的安全。網(wǎng)絡(luò)物理層的安全主要體現(xiàn)在通信線路的可靠性，軟硬件設(shè)備安全性，設(shè)備的備份和容災(zāi)能力，不間斷電源保障等。2.6網(wǎng)絡(luò)設(shè)備安全加固

作為IP承載網(wǎng)，首先必須加強(qiáng)對(duì)網(wǎng)絡(luò)設(shè)備的安全配置，即對(duì)網(wǎng)絡(luò)設(shè)備的安全加固，主要包括口令管理、服務(wù)管理、交互式訪問控制等措施。

口令的安全管理，所有網(wǎng)絡(luò)設(shè)備的口令需要滿足一定的復(fù)雜性要求；對(duì)設(shè)備口令在本地的存儲(chǔ)，應(yīng)采用系統(tǒng)支持的強(qiáng)加密方式；在口令的配置策略上，所有網(wǎng)絡(luò)設(shè)備口令不得相同，口令必須定時(shí)更新等；在口令的安全管理上，為了適應(yīng)網(wǎng)絡(luò)設(shè)備的規(guī)?；?，必須實(shí)施相應(yīng)的用戶授權(quán)及集中認(rèn)證單點(diǎn)登錄等機(jī)制，不得存在測試賬戶、口令現(xiàn)象。

服務(wù)管理，在網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)服務(wù)配置方面，必須遵循最小化服務(wù)原則，關(guān)閉網(wǎng)絡(luò)設(shè)備不需要的所有服務(wù)，避免網(wǎng)絡(luò)服務(wù)或網(wǎng)絡(luò)協(xié)議自身存在的安全漏洞增加網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)。對(duì)于必須開啟的網(wǎng)絡(luò)服務(wù)，必須通過訪問控制列表等手段限制遠(yuǎn)程主機(jī)地址。在邊緣路由器應(yīng)當(dāng)關(guān)閉某些會(huì)引起網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的協(xié)議或服務(wù)，如ARP代理、CISCO的CDP協(xié)議等?？刂平换ナ皆L問，網(wǎng)絡(luò)設(shè)備的交互式訪問包括本地的控制臺(tái)訪問及遠(yuǎn)程的VTY終端訪問等。網(wǎng)絡(luò)設(shè)備的交互式訪問安全措施包括：加強(qiáng)本地控制臺(tái)的物理安全性，限制遠(yuǎn)程VTY終端的IP地址；控制banner信息，不得泄露任何相關(guān)信息；遠(yuǎn)程登錄必須通過加密方式，禁止反向telnet等。2.7網(wǎng)絡(luò)安全邊界保護(hù)

網(wǎng)絡(luò)安全邊界保護(hù)的主要手段是通過防火墻或路由器對(duì)不同網(wǎng)絡(luò)系統(tǒng)之間實(shí)施相應(yīng)的安全訪問控制策略，在保證業(yè)務(wù)正常訪問的前提下從網(wǎng)絡(luò)層面保證網(wǎng)絡(luò)系統(tǒng)的安全性。

IPTV承載網(wǎng)絡(luò)邊界保護(hù)措施主要包括以下兩點(diǎn)：

通過路由過濾或ACL的方式隱藏IPTV承載網(wǎng)路由設(shè)備及網(wǎng)管等系統(tǒng)的IP地址，減少來自Internet或其它不可信網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)。

在IPTV承載網(wǎng)絡(luò)邊緣路由器與其它不可信網(wǎng)絡(luò)出口過濾所有的不需要的網(wǎng)絡(luò)管理、控制協(xié)議，包括HSRP、SNMP等。2.8拒絕服務(wù)攻擊防范

拒絕服務(wù)攻擊對(duì)IPTV承載網(wǎng)絡(luò)的主要影響有：占用IPTV承載網(wǎng)網(wǎng)絡(luò)帶寬，造成網(wǎng)絡(luò)性能的下降；消耗網(wǎng)絡(luò)設(shè)備或服務(wù)器系統(tǒng)資源，導(dǎo)致網(wǎng)絡(luò)設(shè)備或系統(tǒng)無法正常提供服務(wù)等。

建議IPTV承載網(wǎng)絡(luò)采取以下措施實(shí)現(xiàn)拒絕服務(wù)攻擊的防范：實(shí)現(xiàn)網(wǎng)絡(luò)的源IP地址過濾，在IPTV承載網(wǎng)接入路由器對(duì)其進(jìn)行源IP地址的檢查。關(guān)閉網(wǎng)絡(luò)設(shè)備及業(yè)務(wù)系統(tǒng)可能被利用進(jìn)行拒絕服務(wù)攻擊的網(wǎng)絡(luò)服務(wù)端口及其它網(wǎng)絡(luò)功能，如echo、chargen服務(wù)，網(wǎng)絡(luò)設(shè)備的子網(wǎng)直接廣播功能等。通過建立網(wǎng)絡(luò)安全管理系統(tǒng)平臺(tái)實(shí)現(xiàn)對(duì)拒絕服務(wù)攻擊的分析、預(yù)警功能，從全局的角度實(shí)現(xiàn)對(duì)拒絕服務(wù)攻擊的監(jiān)測，做到早發(fā)現(xiàn)、早隔離。

下圖給出了IPTV承載網(wǎng)安全建設(shè)實(shí)現(xiàn)方式圖。

2.9信源安全/組播路由安全

盡管組播技術(shù)具備開展新業(yè)務(wù)的許多優(yōu)勢，并且協(xié)議日趨完善，但開展組播業(yè)務(wù)還面臨著組播用戶認(rèn)證、組播源安全和組播流量擴(kuò)散安全性的問題。

組播源管理：在組播流進(jìn)入骨干網(wǎng)絡(luò)前，組播業(yè)務(wù)控制設(shè)備應(yīng)負(fù)責(zé)區(qū)分合法和非法媒體服務(wù)器，可以在RP上對(duì)組播源的合法性進(jìn)行檢查，如果發(fā)現(xiàn)來自未經(jīng)授權(quán)的組播源的注冊(cè)報(bào)文，可以拒絕接收發(fā)送過來的單播注冊(cè)報(bào)文，因此下游用戶就可以避免接收到非法的組播節(jié)目。為防止非法用戶將組播源接入到組播網(wǎng)絡(luò)中，可以在邊緣設(shè)備上配置組播源組過濾策略，只有屬于合法范圍的組播源的數(shù)據(jù)才進(jìn)行處理。這樣既可以對(duì)組播報(bào)文的組地址進(jìn)行過濾，也可以對(duì)組播報(bào)文的源組地址進(jìn)行過濾。

組播流量擴(kuò)散安全性：在標(biāo)準(zhǔn)的組播中，接收者可以加入任意的組播組，也就是說，組播樹的分枝是不可控的，信源不了解組播樹的范圍與方向，安全性較低。為了實(shí)現(xiàn)對(duì)一些重要信息的保護(hù)，需要控制其擴(kuò)散范圍，靜態(tài)組播樹方案就是為了滿足此需求而提出的。靜態(tài)組播樹將組播樹事先配置，控制組播樹的范圍與方向，不接收其他動(dòng)態(tài)的組播成員的加入，這樣能使組播信源的報(bào)文在規(guī)定的范圍內(nèi)擴(kuò)散。在網(wǎng)絡(luò)中，組播節(jié)目可能只需要一定直徑范圍內(nèi)的用戶接收，可以在路由器上對(duì)轉(zhuǎn)發(fā)的組播報(bào)文的TTL數(shù)進(jìn)行檢查，只對(duì)大于所配置的TTL閾值的組播報(bào)文進(jìn)行轉(zhuǎn)發(fā)，因此可以限制組播報(bào)文擴(kuò)散到未經(jīng)授權(quán)的范圍。

組播用戶的管理：原有標(biāo)準(zhǔn)的組播協(xié)議沒有考慮用戶管理的問題，但從目前組播應(yīng)用的情況來看，在很多的組播業(yè)務(wù)運(yùn)營中，組播用戶的管理仍未得到很好的解決。在IPTV業(yè)務(wù)中，直播業(yè)務(wù)作為十分重要的業(yè)務(wù)，對(duì)用戶進(jìn)行控制管理是必不可少的。對(duì)組播用戶的管理就是對(duì)經(jīng)過授權(quán)的組播用戶控制其對(duì)組播業(yè)務(wù)的接入，控制用戶哪些組播頻道可以觀看，哪些頻道不可以觀看。通過在DSLAM/LAN交換機(jī)用戶側(cè)對(duì)組播組進(jìn)行控制，防止惡意用戶的非法組播流攻擊網(wǎng)絡(luò)。

第三篇：信息安全保障體系信息安全論文計(jì)算機(jī)論文

信息安全保障體系-信息安全論文-計(jì)算機(jī)論文 ——文章均為 WORD 文檔，下載后可直接編輯使用亦可打印——

【摘要】隨著社會(huì)的現(xiàn)代化發(fā)展，促進(jìn)了信息技術(shù)的提高。在 管理中，傳統(tǒng)的 管理模式存在著較多的問題，受各種安全隱患的影響，給 信息資料的保存帶來了一定的安全威脅。

具有憑證的價(jià)值，是信息傳遞的重要途徑，影響著我國的可持續(xù)發(fā)展。在疾控中心，的管理具有一定的特殊性，具有專業(yè)性、機(jī)密性、政策性等特點(diǎn)。本文敘述了疾控中心 信息安全保障體系建設(shè)的重要性，還闡述了構(gòu)建 信息安全保障體系的措施。

【關(guān)鍵詞】疾控中心； 信息；安全保障體系

1.疾控中心 信息安全保障體系建設(shè)的重要性

在我國，疾控預(yù)防控制中心的發(fā)展歷史悠久，而疾控中心的前身是防疫站，在防疫站時(shí)期，我國的信息化建設(shè)還未得到良好的發(fā)展，那個(gè)時(shí)期主要以紙質(zhì) 為主，從而增加了 管理的難度。隨著國家信息化建設(shè)的推進(jìn)，近年來，我國疾控中心的工作量不斷的加大，管理難度越來越大，國家對(duì)公共衛(wèi)生事業(yè)十分的重視，對(duì)疾控中心的 安全管理工作提出了明確的要求。在這種艱難的環(huán)境下，疾控中心若想實(shí)現(xiàn)信息化的穩(wěn)步發(fā)展，需要結(jié)合時(shí)代的特點(diǎn)，加強(qiáng) 管理的信息化建設(shè)，并著力構(gòu)建 信息安全保障體系，以確保疾控中心的可持續(xù)發(fā)展。上文提到，疾控中心的 管理具有機(jī)密性的特點(diǎn)，信息一旦被泄露，不僅是疾控中心的損失，還會(huì)對(duì)國家造成危害，其影響極其惡劣，因此，在疾控中心建設(shè)中，加強(qiáng) 信息安全保障體系的構(gòu)建是十分重要的。

2.影響疾控中心 信息安全的因素

在疾控中心內(nèi)，信息的內(nèi)容十分復(fù)雜，其中包含了：疫情信息、科研、傳染病 資料、突發(fā)性流行病資料、公共衛(wèi)生信息、艾滋病信息等方面，所涉及的信息內(nèi)容具有特殊性和機(jī)密性。在國家的現(xiàn)代化建設(shè)中，保障 信息的安全是疾控中心的重要工作內(nèi)容。在疾控中心 信息安全管理中，信息的安全仍然會(huì)受到多個(gè)方面因素的影響，例如：網(wǎng)絡(luò)安全，隨著我國的信息化，促進(jìn)了 管理的信息化發(fā)展，電子 成為了 信息的重要組成部分，受網(wǎng)絡(luò)安全問題的影響，電子 可能會(huì)受到病毒、黑客等不良因素攻擊，造成 丟失或外泄，引發(fā) 管理安全問題；系統(tǒng)軟件安全，在管理電子 的過程中，若發(fā)生硬件故障等問題，則可能造成信息的丟失；人員安全問題，工作人員責(zé)任意識(shí)和安全意識(shí)不高，在管理中存在監(jiān)守自盜的行為，引發(fā)信息安全問題。

3.構(gòu)建 信息安全保障體系的措施

為了確保疾控中心 信息的安全，加強(qiáng)安全保障體系的建設(shè)是重要的安全保障措施，建設(shè)安全保障體系的措施主要有以下幾點(diǎn)：

3.1 完善安全管理制度保障體系

完善的制度管理是規(guī)范工作人員行為的重要措施，工作人員是 信息管理中重要的組成部分，承擔(dān)著重要的安全責(zé)任。在安全保障體系的建設(shè)中，完善安全管理制度，可以提高工作人員的責(zé)任意識(shí)和安全意識(shí)，有利于工作人員將 信息的安全管理工作落到實(shí)處，從而降低安全問題的發(fā)生率，提升我國疾控中心 信息管理的安全性。結(jié)合我國對(duì) 信息管理的相關(guān)要求和規(guī)范，例如：《 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作指南》，根據(jù)疾控中心的實(shí)際情況，制定出合理的、科學(xué)的安全管理制度。在建設(shè)之前，工作人員需要對(duì) 信息進(jìn)行合理的統(tǒng)籌規(guī)劃，加強(qiáng) 信息的數(shù)字化建設(shè)，結(jié)合各個(gè)工作環(huán)節(jié)的要求和功能，制定完善的安全管理制度。

3.2 重視工作人員的安全教育

在疾控中心內(nèi)，管理人員承擔(dān)著重要的責(zé)任，是 信息安全管理的中心，是實(shí)際的運(yùn)行者和操作者，亦是安全保障體系建設(shè)的核心。疾控中心應(yīng)該加強(qiáng)管理人員安全意識(shí)培訓(xùn)，可以在中心內(nèi)，定期開展有關(guān)安全知識(shí)講解的培訓(xùn)會(huì)，鼓勵(lì)并組織管理人員積極的參與培訓(xùn)，并加強(qiáng)對(duì)管理人員的考核，以提高管理人員對(duì)安全知識(shí)學(xué)習(xí)的重視程度。另外，給予管理人員更多有關(guān)專業(yè)技能和素養(yǎng)的培訓(xùn)機(jī)會(huì)，提高管理人員的整體素質(zhì)，提升管理人員的業(yè)務(wù)能力，有利于提高管理人員 信息安全管理的水平。

3.3 完善安全技術(shù)保障體系

提高安全技術(shù)是維護(hù)疾控中心 信息安全管理的重要途徑，隨著我國 信息管理的信息化發(fā)展，信息系統(tǒng)的安全管理需要安全技術(shù)的大力支持，以降低發(fā)生安全問題的概率。結(jié)合疾控中心的實(shí)際發(fā)展情況，加強(qiáng)系統(tǒng)安全技術(shù)、技術(shù)創(chuàng)新、數(shù)據(jù)安全技術(shù)、物理安全技術(shù)等方面的研究，以強(qiáng)化 信息的數(shù)據(jù)備份和恢復(fù)、數(shù)據(jù)庫防火墻、數(shù)據(jù)加密、信息的安全儲(chǔ)存、云數(shù)據(jù)的安全處理等方面，從而降低文件信息被篡改或泄露、病毒攻擊、硬件故障等方面的發(fā)生率，保障 信息管理的安全。

結(jié)語

綜上所述，在新時(shí)代的背景下，我國 信息管理正面臨著巨大的挑戰(zhàn)，在信息化建設(shè)中，信息管理不僅需要加強(qiáng) 信息化建設(shè)，還需要重視 信息的安全管理，重視安全保障體系的構(gòu)建。通過完善安全管理制度保障體系、重視工作人員的安全教育、完善安全技術(shù)保障體系等方面，提高疾控中心 信息安全管理的水平，降低安全問題的發(fā)生率，有利于促進(jìn)疾控中心 管理的可持續(xù)發(fā)展。

參考文獻(xiàn)：

[1]駱念.疾控中心 信息化建設(shè)與管理初探[J].職業(yè)衛(wèi)生與病傷.2016.31(2):127-128

——文章均為 WORD 文檔，下載后可直接編輯使用亦可打印——

第四篇：淺談檔案安全保障體系建設(shè)

淺談檔案安全保障體系建設(shè)

阿克塞縣檔案局副局長塞然古麗

內(nèi)容摘要：檔案的安全保管和有效利用,是檔案工作最基本的兩項(xiàng)任務(wù)。檔案的安全保管,關(guān)系到國家檔案文獻(xiàn)遺產(chǎn)和歷史文化的長久傳承,關(guān)系到國家核心信息資源的有效控制。只有在充分保障檔案本體和檔案信息絕對(duì)安全的前提檔案事業(yè)的其他各項(xiàng)工作才能順利開展。

關(guān)鍵詞：民生檔案安全體系建設(shè)

民生檔案是指機(jī)關(guān)團(tuán)體、社會(huì)組織和個(gè)人在勞動(dòng)就業(yè)、社會(huì)保障、教育衛(wèi)生、公共管理等民生領(lǐng)域中形成的各種載體的文件材料，主要包括民主政治、社會(huì)保障、企業(yè)改制、教育衛(wèi)生、安居樂業(yè)、公共服務(wù)等6大類。民生檔案具有原始性、基礎(chǔ)性、憑證性的特征，是改善服務(wù)民生、保障民主權(quán)利、減少矛盾糾紛、構(gòu)建和諧社會(huì)不可缺少的原始資料。近年來我局將民生檔案工作作為檔案工作的重點(diǎn)，通過加快“兩個(gè)轉(zhuǎn)變”，建立“兩個(gè)體系”，使民生檔案工作得到了快速發(fā)展。

一、努力建立覆蓋人民群眾的檔案資源體系，確保民生檔案齊全完整

堅(jiān)持以人為本，轉(zhuǎn)變重事輕人、重物輕人、重組織輕個(gè)人的傳統(tǒng)觀念和認(rèn)識(shí)，重視所有涉及人的檔案的價(jià)值，努力建立覆蓋人民群眾的檔案資源體系。

1、推進(jìn)民生檔案規(guī)范化建設(shè)，確保民生檔案齊全完整。根據(jù)全縣實(shí)際情況，重點(diǎn)抓好群眾關(guān)注、涉民密切的社保、婚姻、房地產(chǎn)檔案等各類民生檔案的規(guī)范化建設(shè)。在市檔案

局的大力支持下，我局舉辦全縣各單位文檔人員培訓(xùn)班，各單位各部門都認(rèn)真貫徹學(xué)習(xí)了國家檔案局8號(hào)令《機(jī)關(guān)文件材料歸檔范圍和文書檔案保管期限規(guī)定》，進(jìn)一步明確了民生檔案的歸檔范圍、種類和要求，制定民生檔案保管期限表，分門別類地進(jìn)行歸檔整理，認(rèn)真做好各類民生檔案規(guī)范化建設(shè)，全面實(shí)現(xiàn)了規(guī)范化管理目標(biāo)。通過規(guī)范化管理，各部門各單位的檔案工作整體水平明顯提升。

2、建立健全檔案管理制度，切實(shí)做好集中安全保管 對(duì)不同類型的檔案，各專業(yè)主管部門根據(jù)上級(jí)相關(guān)部門的有關(guān)意見和辦法，或者會(huì)同我們檔案部門共同研究，聯(lián)合制定相應(yīng)的工作制度和管理辦法。各單位建立健全嚴(yán)格的歸檔制度，按照國家檔案局8號(hào)令的要求，做到與民生有關(guān)的文件材料得到及時(shí)收集與歸檔，確保民生檔案及時(shí)建檔，有效管理，不流失、不散失，保證各個(gè)行業(yè)和部門形成的民生檔案的齊全完整，為服務(wù)民生提供真實(shí)可靠的信息來源。建立健全檔案安全責(zé)任制，切實(shí)做到集中保管、安全保管，確保檔案安全萬無一失。

3、做好檔案移交進(jìn)館工作，加強(qiáng)檔案資源整合。豐富館藏，優(yōu)化館藏，是確保檔案造福于人民的物質(zhì)基礎(chǔ)。由于歷史原因，我館館藏檔案資料種類較單一，文書檔案所占比重較大。特別是擴(kuò)大檔案接收范圍，加大民生檔案的接收力度，并對(duì)部分涉民指數(shù)較高的民生檔案優(yōu)先接收、提前接收，豐富館藏內(nèi)容，優(yōu)化館藏結(jié)構(gòu)。這些涉民檔案在解決糾紛、維護(hù)群眾合法權(quán)益和維護(hù)社會(huì)穩(wěn)定等方面發(fā)揮了積極作用。

二、建立檔案安全體系的重要性

建立檔案安全體系是防止國內(nèi)外敵對(duì)勢力竊取我國核心檔案信息的需要，是預(yù)防和減輕自然災(zāi)害、人為災(zāi)害對(duì)檔案造成損失的需要，適應(yīng)對(duì)新技術(shù)條件下數(shù)字檔案信息安全挑戰(zhàn)的需要，是消除檔案部門各種安全隱患的需要。檔案安全始終是檔案工作的生命線和底線，是檔案部門的基本任務(wù)和第一要?jiǎng)?wù)。確保檔案安全，是黨和人民對(duì)檔案工作者的基本要求，是檔案工作者的基本職責(zé)和天大責(zé)任。對(duì)檔案部門、檔案工作者來說，安全永遠(yuǎn)第一，安全重于泰山，安全高于一切；確保檔案安全是本職、是天職、是稱職，不抓檔案安全是失職、是瀆職、是不盡責(zé)，抓不好檔案安全是不稱職，要負(fù)全責(zé)，要免職、撤職。

因此要加強(qiáng)檔案人安全意識(shí)，構(gòu)筑起堅(jiān)固的思想防線，要樹立“檔案安全事關(guān)黨和國家根本利益”的思想，要樹立“安全第一”的思想，要樹立“安全問題無所不在”的思想，要樹立“安全問題人人有責(zé)”的思想。檔案工作者應(yīng)當(dāng)具有極強(qiáng)的風(fēng)險(xiǎn)意識(shí)、防范意識(shí)和責(zé)任意識(shí)。

三、努力建立服務(wù)人民群眾的檔案利用體系，確保民生檔案造福民生

在檔案資料提供服務(wù)利用過程中，要轉(zhuǎn)變檔案工作中重機(jī)關(guān)團(tuán)體利用、輕個(gè)人利用，重為機(jī)關(guān)團(tuán)體服務(wù)、輕為群眾

服務(wù)的傳統(tǒng)觀念和認(rèn)識(shí)，努力完善服務(wù)人民群眾的檔案利用體系，確保民生檔案及時(shí)服務(wù)社會(huì)。

1、深入挖掘現(xiàn)有館藏各類民生檔案資源，積極開發(fā)民生檔案信息資源。我們認(rèn)真梳理，摸清館藏民生檔案的種類和數(shù)量，結(jié)合民生檔案利用工作的實(shí)際情況，本著先用先整、突出重點(diǎn)的原則，加快館藏民生檔案整理、審查及開放步伐。2010年，縣檔案館將已滿30年（1980年）的檔案向社會(huì)全面開放，公布了開放目錄和主要內(nèi)容，先后開放31個(gè)單位的檔案176卷，為群眾的查考利用提供平臺(tái)。

2、開拓思路，拓寬渠道，努力提高服務(wù)水平?？h檔案館工作人員不斷提高自身素質(zhì)，樹立以利用為中心，以效益為重點(diǎn)的業(yè)務(wù)指導(dǎo)思想，端正服務(wù)態(tài)度，熱情、主動(dòng)、負(fù)責(zé)地為利用者提供服務(wù)。在做好日常接待工作的同時(shí)，不斷更新服務(wù)手段，優(yōu)化服務(wù)質(zhì)量，提高服務(wù)效率，變過去你上門我服務(wù)的被動(dòng)服務(wù)為積極尋求信息，主動(dòng)提供服務(wù)，及時(shí)有效地為利用者提供有價(jià)值的檔案信息，在服務(wù)中體現(xiàn)民生檔案的價(jià)值。近幾年來，民生檔案的查閱利用逐年攀升，為群眾享受政策提供了原始依據(jù)，發(fā)揮了重要作用。

3、做好檔案館區(qū)安全防護(hù)，確保檔案實(shí)體安全。檔案館區(qū)安全是檔案安全體系建設(shè)的重中之重，要按照“八防”要求，配齊檔案安全保管設(shè)施設(shè)備。檔案庫房要安裝溫濕度檢測調(diào)控設(shè)施并確保正常運(yùn)轉(zhuǎn)，把庫房溫濕度控制在規(guī)定范圍之內(nèi)。存放音像檔案、電子檔案等特殊載體檔案的庫房，要配備符合要求的溫濕度調(diào)控、防磁和涉密計(jì)算

機(jī)房的信息屏蔽設(shè)施。要杜絕和糾正檔案存放在地下室或半地下室的問題。

4、加強(qiáng)信息化過程管理，確保檔案信息安全保密 檔案信息化建設(shè)是新時(shí)期檔案部門的一項(xiàng)基礎(chǔ)性業(yè)務(wù)工作，是檔案工作向現(xiàn)代化邁進(jìn)的必由之路。信息化時(shí)代，計(jì)算機(jī)設(shè)備故障、病毒侵襲、用戶誤操作、自然災(zāi)害等各種因素，都會(huì)對(duì)檔案信息安全構(gòu)成威脅。因此，加強(qiáng)檔案信息化過程中的安全保密工作，是檔案安全體系建設(shè)的一項(xiàng)重要內(nèi)容?？h檔案部門要嚴(yán)格執(zhí)行國家檔案局關(guān)于“檔案管理部門的內(nèi)部局域網(wǎng)要切實(shí)與一切外網(wǎng)實(shí)行物理隔離”、“非公開的檔案信息一律不得上外網(wǎng)；在因特網(wǎng)上提供已公開檔案目錄查詢服務(wù)的，要認(rèn)真采用身份認(rèn)證、防火墻、數(shù)據(jù)備份等安全防護(hù)措施，確保檔案信息和系統(tǒng)安全”的規(guī)定，采取有效措施，堅(jiān)持技術(shù)和管理并重，從系統(tǒng)設(shè)計(jì)、人員管理、制度規(guī)范、技術(shù)手段等各個(gè)方面為檔案信息安全提供保障，確保信息化過程中的檔案安全保密。

民生檔案工作是檔案工作全面落實(shí)科學(xué)發(fā)展觀，堅(jiān)持以人為本，面向民生、服務(wù)民生、保障民生、改善民生的一項(xiàng)重要工作。做好民生檔案工作事關(guān)人民群眾切身利益，事關(guān)和諧社會(huì)建設(shè)。檔案部門要與各部門、各單位共同努力，合力推動(dòng)全縣民生檔案的建設(shè)和發(fā)展，確保民生檔案工作取得實(shí)實(shí)在在的成效，使民生檔案更好地服務(wù)于人民群眾。

參考文獻(xiàn)：

1、《中國檔案報(bào)》，總第2014期；

2、《中國檔案報(bào)》，總第2000期；

3、中國檔案出版社，《檔案工作文件匯集第五集》。作者簡介：

塞然古麗，女，哈薩克族，1971年5月出生，畢業(yè)于新疆大學(xué)哈薩克族語言文學(xué)專業(yè)，本科學(xué)歷。1993年7月至2006年6月在阿克塞縣鄉(xiāng)鎮(zhèn)企業(yè)管理局工作，2006年6月至2011年1月任中小企業(yè)局副局長，2011年2月至今在阿克塞縣檔案局工作。

聯(lián)系電話：***

第五篇：淺析煙草行業(yè)信息安全管理對(duì)策

龍?jiān)雌诳W(wǎng) http://.cn

淺析煙草行業(yè)信息安全管理對(duì)策

作者：李金娟

來源：《科技創(chuàng)新導(dǎo)報(bào)》2013年第09期

摘 要：近年來，煙草行業(yè)所創(chuàng)造的經(jīng)濟(jì)效益不斷提高，但是經(jīng)濟(jì)全球化的加速使煙草行業(yè)也面臨著巨大的挑戰(zhàn)。卷煙銷售網(wǎng)絡(luò)建設(shè)等信息化手段的使用讓煙草行業(yè)自身的競爭力得到提高，與此同時(shí)對(duì)信息安全管理也提出了更高的要求。所以如何健全煙草行業(yè)信息安全管理體系，將決定煙草行業(yè)在未來能否健康穩(wěn)定的發(fā)展。

關(guān)鍵詞：煙草行業(yè) 信息安全 安全管理 安全防護(hù)體系

中圖分類號(hào)：TS48 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1674-098X（2013）03（c）-0-01

中國的卷煙市場是全球最大的市場，擁有30%的全球消費(fèi)者，中國煙草行業(yè)實(shí)行專賣專營體制以來，緊緊圍繞“做精做強(qiáng)主業(yè)，保持平穩(wěn)發(fā)展”的基本方針，實(shí)現(xiàn)了經(jīng)濟(jì)效益的連年增長。在取得成績的同時(shí)，中國的煙草行業(yè)也一直貫徹堅(jiān)持科技進(jìn)步，大力推進(jìn)技術(shù)創(chuàng)新的思想，全面推進(jìn)煙草行業(yè)信息化網(wǎng)絡(luò)的建設(shè)。但是隨著信息化應(yīng)用的日益廣泛，信息系統(tǒng)中存儲(chǔ)的信息和數(shù)據(jù)的數(shù)量的不斷加大，其安全形勢不容樂觀，該文先介紹煙草行業(yè)信息安全的概念，然后對(duì)其現(xiàn)狀進(jìn)行描述，最后對(duì)如何推進(jìn)信息安全體系建設(shè)，加強(qiáng)煙草行業(yè)信息安全管理進(jìn)行了研究與探索。信息安全概述

信息安全本身包括的范圍很大，是指信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，信息服務(wù)不中斷。網(wǎng)絡(luò)環(huán)境下的信息安全體系是保證信息安全的關(guān)鍵，自中國加入世貿(mào)組織后，煙草行業(yè)的競爭日趨激烈，煙草行業(yè)在制造以及銷售方面信息化應(yīng)用的不斷擴(kuò)大，所以其安全程度對(duì)整個(gè)煙草行業(yè)起到?jīng)Q定性的作用。信息安全主要包括保證信息的保密性、真實(shí)性、完整性、未授權(quán)拷貝和所寄生系統(tǒng)的安全性五個(gè)方面的內(nèi)容，其中任何一個(gè)方面的安全漏洞都能威脅到全局安全，因此必須做好信息安全的管理工作。煙草行業(yè)信息安全所面臨的威脅

由于近年來煙草行業(yè)進(jìn)行了幾輪大規(guī)模的重組合并，其網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)也越來越復(fù)雜，信息集成共享也更加廣泛，所以煙草行業(yè)信息安全所面臨的威脅來自各個(gè)方面，下面主要從內(nèi)部和外部兩方面進(jìn)行描述。

（1）由于煙草行業(yè)信息系統(tǒng)是由人員進(jìn)行設(shè)計(jì)、監(jiān)管以及操作的，其本身就存在一定的薄弱環(huán)節(jié)和不安全因素，若內(nèi)部保密工作不到位、內(nèi)部管理出現(xiàn)漏洞則會(huì)對(duì)系統(tǒng)造成破壞，數(shù)據(jù)發(fā)生丟失，給信息安全系統(tǒng)構(gòu)成威脅。

（2）黑客可以利用信息安全系統(tǒng)自身的缺陷非法闖入，進(jìn)行數(shù)據(jù)的“竊聽”和攔截，或者其他的破壞活動(dòng)。一般的煙草企業(yè)的網(wǎng)絡(luò)與整個(gè)外部網(wǎng)絡(luò)是相互連接的，這就無法避免垃圾郵件的威脅，這是防不勝防的。病毒侵入由于其無孔不入的能力以及無法預(yù)防的特性，一直是行業(yè)信息系統(tǒng)的最大隱患。煙草行業(yè)信息安全管理現(xiàn)狀

經(jīng)過多年的信息化建設(shè)和網(wǎng)絡(luò)安全建設(shè)，對(duì)于煙草信息安全系統(tǒng)，主要存在以下現(xiàn)象。

（1）網(wǎng)絡(luò)基礎(chǔ)設(shè)施不健全，信息安全設(shè)備不穩(wěn)固。由于大范圍的兼并重組，新建的網(wǎng)絡(luò)設(shè)施、設(shè)備的穩(wěn)定性依然無法得到保證，對(duì)設(shè)備運(yùn)行的監(jiān)控參數(shù)沒有得到重視，不具備容災(zāi)功能。

（2）煙草行業(yè)信息安全管理制度和措施沒有得到有效的落實(shí)，專業(yè)人員的素質(zhì)無法得到保證。盡管國家制定和頒布的煙草信息安全管理制度大部分得到了較好的貫徹落實(shí)，但缺乏相關(guān)的管理制度，使得管理工作也只是流于形式，存儲(chǔ)設(shè)備的管理要求無法得到徹底落實(shí)。其次由于這個(gè)系統(tǒng)的動(dòng)態(tài)特性，對(duì)工作人員的要求較高，所以培訓(xùn)工作的滯后影響著整個(gè)系統(tǒng)的安全。

（3）缺乏整體性的防護(hù)措施。盡管近年來的信息安全保障體系建設(shè)已經(jīng)取得了一定的成效，但在建設(shè)初期的缺乏對(duì)整個(gè)系統(tǒng)的全盤考慮或是預(yù)算的原因使得現(xiàn)在已經(jīng)成型的煙草信息安全系統(tǒng)缺乏整體性的防護(hù)措施。提高安全管理的對(duì)策

4.1 技術(shù)層面的建設(shè)

一個(gè)有效的網(wǎng)絡(luò)信息安全技術(shù)體系是整個(gè)信息安全管理的基礎(chǔ)，所以安全體系的建設(shè)是所有安全構(gòu)架的基礎(chǔ)，運(yùn)用先進(jìn)的技術(shù)手段，進(jìn)一步完善機(jī)房硬件設(shè)備等基礎(chǔ)設(shè)施；對(duì)不同的安全威脅要進(jìn)行針對(duì)性的建設(shè)，確保核心設(shè)備具有較高的安全級(jí)別并且要對(duì)其端口進(jìn)行流量控制；對(duì)于核心信息資源所面臨的風(fēng)險(xiǎn)要進(jìn)行正確的評(píng)估，提高網(wǎng)絡(luò)信息化的安全保障能力；對(duì)于網(wǎng)絡(luò)存儲(chǔ)的大量信息和數(shù)據(jù)要做好備份工作，并對(duì)進(jìn)行傳輸?shù)男畔⑦M(jìn)行實(shí)時(shí)監(jiān)控，加強(qiáng)對(duì)突發(fā)安全事件的處理效率。通過以上技術(shù)層面的手段使整個(gè)安全體系在預(yù)警、防護(hù)、監(jiān)控等方面的能力得到提高。

4.2 管理層面的建設(shè)

管理層面的建設(shè)主要通過完善和優(yōu)化安全管理體系和建立相應(yīng)的措施來提高信息安全網(wǎng)絡(luò)的安全管理能力與監(jiān)督能力。制定出清晰完整的信息安全政策，從整體層面上指導(dǎo)整個(gè)網(wǎng)絡(luò)的安全建設(shè)，對(duì)所有的管理人員以及工作人員實(shí)行法律化管理；建立嚴(yán)密的密碼管理制度，并且要定時(shí)更換，控制密碼的擴(kuò)散；此外對(duì)使用安全體系網(wǎng)絡(luò)的人員要進(jìn)行身份的辨別，對(duì)于管理

員以及普通使用人員的權(quán)限進(jìn)行分離，在信息控制中心成立安全管理小組，專門負(fù)責(zé)電腦的安全運(yùn)行；重視煙草行業(yè)安全文化建設(shè)，提高員工的基本安全意識(shí)和安全防范能力，營造出一個(gè)濃厚的網(wǎng)絡(luò)信息安全氛圍；最后要加強(qiáng)網(wǎng)絡(luò)信息安全專業(yè)人才的培養(yǎng)，從安全意識(shí)和安全技術(shù)兩個(gè)方面著手，對(duì)這些人員進(jìn)行定期、持續(xù)、系統(tǒng)地培訓(xùn)。結(jié)語

盡管對(duì)煙草行業(yè)信息安全的管理存在很多困難，但是只要我們能做到將以人為本、技術(shù)、管理和法制這些手段綜合起來進(jìn)行治理，網(wǎng)絡(luò)信息安全將會(huì)得到很好地解決，煙草行業(yè)的信息化進(jìn)程將會(huì)為整個(gè)行業(yè)帶來更大的發(fā)展空間。

參考文獻(xiàn)

[1] 李益文.基于煙草行業(yè)業(yè)務(wù)可持續(xù)運(yùn)行的信息安全運(yùn)維管理體系的思考[J].東方企業(yè)文化，2012（22）.[2] 高萍，黃偉達(dá).煙草企業(yè)信息安全方面的思考[J].黑龍江科技信息，2010（31）.[3] 林加忠，葉鵬華.淺析網(wǎng)絡(luò)環(huán)境下煙草信息資源建設(shè)[J].硅谷，2009（5）.[4] 李忠平.推行職業(yè)健康安全管理體系，實(shí)現(xiàn)煙草行業(yè)安全生產(chǎn)規(guī)范化管理[J].內(nèi)蒙古科技與經(jīng)濟(jì)，2010（5）.[5] 李益文.煙草行業(yè)信息安全運(yùn)維管理體系建設(shè)的思考[J].信息網(wǎng)絡(luò)安全，2009（2）.