第一篇：談網(wǎng)絡(luò)數(shù)據(jù)信息管理軟件中間層設(shè)計(jì)

談網(wǎng)絡(luò)數(shù)據(jù)信息管理軟件中間層設(shè)計(jì)

XML是一種使用標(biāo)記來標(biāo)記內(nèi)容以傳輸信息的簡單方法。標(biāo)記用于界定內(nèi)容,而XML的語法允許我們自行定義任意復(fù)雜度的結(jié)構(gòu)。它是一組用于設(shè)計(jì)數(shù)據(jù)格式和結(jié)構(gòu)的規(guī)則和方法,易于生成便于不同的計(jì)算機(jī)和應(yīng)用程序讀取的數(shù)據(jù)文件。這使得XML具有以下特性:(1)通過使用可擴(kuò)充標(biāo)記集提供文檔內(nèi)容的更準(zhǔn)確說明

(2)可用標(biāo)準(zhǔn)化語法來驗(yàn)證文檔內(nèi)容

(3)使用戶與應(yīng)用程序之間文件交換更容易

(4)支持高級(jí)搜索

(5)將文檔結(jié)構(gòu)與內(nèi)容分開,易于用不同形式表現(xiàn)相同內(nèi)容

(6)XML改進(jìn)用戶響應(yīng)、網(wǎng)絡(luò)軟件中間件負(fù)載和服務(wù)器負(fù)載

(7)XML支持Unicode XML還有其他許多優(yōu)點(diǎn),比如它有利于不同系統(tǒng)之間的信息交流,完全可以充當(dāng)網(wǎng)際語言,并有希望成為數(shù)據(jù)和文檔交換的標(biāo)準(zhǔn)機(jī)制。

由于XML具有以上諸多特性,使得它的實(shí)際應(yīng)用范圍十分廣泛。采用基于XML的網(wǎng)絡(luò)軟件中間件管理技術(shù)采用XML語言對(duì)需交換的數(shù)據(jù)進(jìn)行編碼,為網(wǎng)絡(luò)軟件中間件管理中復(fù)雜數(shù)據(jù)的傳輸提供了一個(gè)極佳的機(jī)制。XML文檔的分層結(jié)構(gòu)可以對(duì)網(wǎng)絡(luò)軟件中間件管理應(yīng)用中的管理者-代理模式提供良好的映射,通過XSLT(Extensible Stylesheet Language Transformations)樣式表可以對(duì)XML數(shù)據(jù)進(jìn)行各種格式的重構(gòu)和轉(zhuǎn)換,加上XML已經(jīng)被廣泛應(yīng)用于其它領(lǐng)域,各種免費(fèi)和商業(yè)的XML開發(fā)工具發(fā)展異常迅速,因此使用XML來定義管理信息模式和處理管理信息十分便利。

1.插件技術(shù)設(shè)計(jì)

我們已經(jīng)習(xí)慣于一個(gè)人獨(dú)立進(jìn)行軟件開發(fā),每個(gè)人都使用自己的風(fēng)格進(jìn)行程序設(shè)計(jì),但隨著工程項(xiàng)目變大或者是對(duì)時(shí)間要求比較緊時(shí),就需要幾個(gè)人,十幾個(gè)人,甚至是上百個(gè)人協(xié)作進(jìn)行軟件開發(fā)與設(shè)計(jì),這時(shí)一個(gè)比較棘手的問題就是如何將若干人所編寫的軟件代碼(有可能是鏈接庫、組件)進(jìn)行無縫地集成,縱然進(jìn)行源代碼集成是個(gè)比較傳統(tǒng)也比較成熟的方式,適當(dāng)使用鏈接庫或組件,也可減少源代碼的泄露,但經(jīng)常的情況是每一次的程序集成和代碼維護(hù)都需要重新編譯與鏈接源代碼和重新發(fā)布新軟件,這種工作有時(shí)又是非常麻煩的。那么就有疑問產(chǎn)生,能不能有一種方法將需要開發(fā)的目標(biāo)軟件分為若干功能部件,各部件之間遵循著標(biāo)準(zhǔn)接口規(guī)定,這樣在各個(gè)部件按要求開發(fā)之后,在進(jìn)行整個(gè)軟件集成時(shí)只是將需要的部件進(jìn)行組裝,而不是集成各源代碼或鏈接庫進(jìn)行編譯與鏈接,需要新的功能組件時(shí)也是按規(guī)定開發(fā),之后只進(jìn)行組裝軟件就可以使用,這就是使用一種二進(jìn)制的軟件集成方法。這就是平臺(tái)+插件的軟件設(shè)計(jì)方法。

1.1 軟件插件中間件技術(shù)流程

軟件插件技術(shù)是現(xiàn)代軟件設(shè)計(jì)思想的體現(xiàn),著名的Photoshop、Word、Excel都或多或少的利用了插件技術(shù)。插件技術(shù)改變了以前的單窗體、多窗體界面,實(shí)現(xiàn)了不同功能模塊的無縫結(jié)合。插件技術(shù)更易于造就一個(gè)龐大復(fù)雜的軟件。各用戶軟件領(lǐng)域所應(yīng)用的插件技術(shù)可分為三種類型:

一是類似批命令的簡單插件(文本插件)。事實(shí)上這種插件的自由度非常低。使用這種方法的軟件有Win Hacker等,運(yùn)行這種插件后,會(huì)一步步要求用戶進(jìn)行選擇/輸入,最后根據(jù)用戶的輸入來執(zhí)行一系列事先定義好的操作。這種插件一般是文本文件。功能比較單一,可擴(kuò)展性極小。優(yōu)點(diǎn)是插件做起來非常方便,即使是對(duì)程序設(shè)計(jì)了解不多的人也可以制作。如WinAmp的Skin。

二是使用一種特殊的腳本語言來實(shí)現(xiàn)的插件(腳本插件)。這種插件比較難寫,需要軟件開發(fā)者自己制作一個(gè)程序解釋內(nèi)核。比如微軟惹了很多麻煩的宏就是這種類型的。Microsoft Office就提供了開發(fā)者用于擴(kuò)展輔助功能的內(nèi)臵VBScript(VBA)。這種方法的優(yōu)點(diǎn)在于無需使用其它工具來制作插件,軟件本身就可以實(shí)現(xiàn),普 遍出現(xiàn)于各種辦公自動(dòng)化軟件中。

三是利用已有的程序開發(fā)環(huán)境來制作插件(程序插件)。例如PhotoShop等軟件使用的方法。使用這種方法的軟件在程序主體中建立了多個(gè)自定義的接口,使插件能夠自由訪問程序中的各種資源。這種插件的優(yōu)勢(shì)在于自由度極大,可以無限發(fā)揮插件開發(fā)者的創(chuàng)意,這種插件是狹義范圍的插件,也是真正意義上的插件。而這種插件機(jī)制的編寫相對(duì)復(fù)雜,對(duì)于插件接口之間的協(xié)調(diào)比較困難,插件的開發(fā)也需要專業(yè)的程序員才能進(jìn)行。1.2 插件技術(shù)在中間件系統(tǒng)的應(yīng)用模式

網(wǎng)絡(luò)中間件管理系統(tǒng)的多處設(shè)計(jì)都使用了插件技術(shù),比如在:數(shù)據(jù)采集方面即使用了java script,也用了程序插件;在配臵管理方面使用了簡單插件;在故障管理的處理行為方面使用了程序插件。

總之,管理平臺(tái)本身已實(shí)現(xiàn)一種通用的平臺(tái)+插件軟件開發(fā)的框架模式,通過實(shí)踐證明這種思路和設(shè)計(jì)方法可行,可以應(yīng)用到具體軟件開發(fā)上。通過這種方式可以很好地解決軟件合作開發(fā)與集成問題,對(duì)有版本級(jí)別的軟件開發(fā)更為有用。高級(jí)版的軟件安裝有高級(jí)版的插件,低級(jí)版的軟件不安裝高級(jí)版的插件,這就給程序分發(fā)和開發(fā)帶來極大的便利。對(duì)于有系列化功能的軟件,系列化功能由插件實(shí)現(xiàn)。

2.NetFlow技術(shù)設(shè)計(jì)

Netflow技術(shù)首先被用于網(wǎng)絡(luò)軟件中間件設(shè)備對(duì)數(shù)據(jù)交換進(jìn)行加速,并可同步實(shí)現(xiàn)對(duì)高速轉(zhuǎn)發(fā)的IP數(shù)據(jù)流(Flow)進(jìn)行測(cè)量和統(tǒng)計(jì)。經(jīng)過多年的技術(shù)演進(jìn),Netflow原來用于數(shù)據(jù)交換加速的功能已經(jīng)逐步由網(wǎng)絡(luò)軟件中間件設(shè)備中的專用ASIC芯片實(shí)現(xiàn),而對(duì)流經(jīng)網(wǎng)絡(luò)軟件中間件設(shè)備的IP數(shù)據(jù)流進(jìn)行測(cè)量和統(tǒng)計(jì)的功能也已更加成熟,并成為了當(dāng)今互聯(lián)網(wǎng)領(lǐng)域公認(rèn)的最主要的IP/MPLS流量分析,統(tǒng)計(jì)和計(jì)費(fèi)行業(yè)標(biāo)準(zhǔn)。Netflow技術(shù)能對(duì)IP/MPLS網(wǎng)絡(luò)軟件中間件的通信流量進(jìn)行詳細(xì)的行為模式分析和計(jì)量,并提供網(wǎng)絡(luò)軟件中間件運(yùn)行的詳細(xì)統(tǒng)計(jì)數(shù)據(jù)。

為對(duì)運(yùn)營商網(wǎng)絡(luò)軟件中間件中不同類型的業(yè)務(wù)流進(jìn)行準(zhǔn)確的流量和流向分析與計(jì)量,首先需要對(duì)網(wǎng)絡(luò)軟件中間件中傳輸?shù)母鞣N類型數(shù)據(jù)包進(jìn)行區(qū)分。由于IP網(wǎng)絡(luò)軟件中間件的非面向連接特性,網(wǎng)絡(luò)軟件中間件中不同類型業(yè)務(wù)的通信可能是任意一臺(tái)終端設(shè)備向另一臺(tái)終端設(shè)備發(fā)送的一組IP數(shù)據(jù)包,這組數(shù)據(jù)包實(shí)際上就構(gòu)成了運(yùn)營商網(wǎng)絡(luò)軟件中間件中某種業(yè)務(wù)的一個(gè)數(shù)據(jù)流(Flow)。如果管理系統(tǒng)能對(duì)全網(wǎng)傳送的所有數(shù)據(jù)流進(jìn)行區(qū)分,準(zhǔn)確記錄傳送時(shí)間、傳送方向和數(shù)據(jù)流的大小,就可以對(duì)運(yùn)營商全網(wǎng)所有業(yè)務(wù)流的流量和流向進(jìn)行分析和統(tǒng)計(jì)。

由于Netflow技術(shù)支持所有類型的網(wǎng)絡(luò)軟件中間件端口類型,所以每臺(tái)內(nèi)臵有Netflow功能的網(wǎng)絡(luò)軟件中間件設(shè)備都可以作為網(wǎng)絡(luò)軟件中間件中一臺(tái)能夠測(cè)量、采集和輸出網(wǎng)絡(luò)軟件中間件流量和流向管理信息的數(shù)據(jù)采集器。而且因?yàn)镹etflow實(shí)現(xiàn)的管理功能是由網(wǎng)絡(luò)軟件中間件設(shè)備本身完成的,所以運(yùn)營商無需購買額外的硬件設(shè)備,也無需為安裝這些硬件設(shè)備占用寶貴的網(wǎng)絡(luò)軟件中間件端口或改變網(wǎng)絡(luò)軟件中間件鏈路的連接關(guān)系。這些都將轉(zhuǎn)化成對(duì)網(wǎng)絡(luò)軟件中間件運(yùn)營成本的大幅度降低,對(duì)運(yùn)營商級(jí)的大型網(wǎng)絡(luò)軟件中間件優(yōu)勢(shì)尤其明顯。

3.業(yè)務(wù)流程中間件技術(shù)

業(yè)務(wù)流程技術(shù)從出現(xiàn)發(fā)展到現(xiàn)在,已逐漸發(fā)揮越來越重要的作用。它已成為信息化建設(shè)方案中必不可少的內(nèi)容之一。從簡單的辦公自動(dòng)化系統(tǒng)的開發(fā),到企業(yè)ERP系統(tǒng)的實(shí)施,再到為提高企業(yè)運(yùn)營效率而出現(xiàn)的BPR及BPM系統(tǒng),工作流技術(shù)都發(fā)揮了相當(dāng)重要的甚至是關(guān)鍵的作用,工作流技術(shù)為實(shí)現(xiàn)應(yīng)用層而的集成提供了有力的支撐。

從故障維護(hù)的角度來看,使用目標(biāo)、業(yè)務(wù)功能、限制等來代替流程所需資源信息對(duì)故障流程進(jìn)行描述是非常重要的。在流程設(shè)計(jì)過程中,需要用戶與流程設(shè)計(jì)人員之間經(jīng)常進(jìn)行交流,以保證流程管理的順利實(shí)施。

4.總結(jié)

業(yè)務(wù)流程技術(shù)為故障流程維護(hù)提供了一種有效的決策輔助方法,保證流程的靈活性和一致性,而不必考慮更多的細(xì)節(jié)問題。能夠迅速使流程調(diào)整通過流程概念和流程目標(biāo)等形式付諸實(shí)施,并且這些實(shí)施幾乎可以是實(shí)時(shí)進(jìn)行。能夠從領(lǐng)導(dǎo)管理的角度對(duì)任何業(yè)務(wù)流程的調(diào)整進(jìn)行分析和評(píng)價(jià),找出流程中的瓶頸點(diǎn)。

第二篇：關(guān)于網(wǎng)絡(luò)信息安全簡談

關(guān)于網(wǎng)絡(luò)信息安全簡談

論文關(guān)鍵詞】信息化 進(jìn)銷存 優(yōu)化管理

【論文摘要】本文以優(yōu)化中小企業(yè)信息化管理為思想，以系統(tǒng)開發(fā)為宗旨從系統(tǒng)企業(yè)的需求到信息化需要系統(tǒng)的支撐，然后設(shè)計(jì)出進(jìn)銷存管理系統(tǒng)，最后實(shí)現(xiàn)進(jìn)銷存管理系統(tǒng)的整個(gè)過程。關(guān)鍵詞:信息化進(jìn)銷存優(yōu)化管理。

網(wǎng)絡(luò)安全，這是個(gè)百說不厭的話題。因?yàn)樵诨ヂ?lián)網(wǎng)上，每臺(tái)計(jì)算機(jī)都存在或多或少的安全間題。安全問題不被重視，必然會(huì)導(dǎo)致嚴(yán)重后果。諸如系統(tǒng)被破壞、數(shù)據(jù)丟失、機(jī)密被盜和直接、間接的經(jīng)濟(jì)損失等。這都是不容忽視的問題。既然說到網(wǎng)絡(luò)安全，我們經(jīng)常提到要使用防火墻、殺毒軟件等等。這些的確很重要，但是人們往往忽視了最重要的，那就是思想意識(shí)。

人類的主觀能動(dòng)性是很厲害的，可以認(rèn)識(shí)世界、改造世界，正確發(fā)揮人的主觀能動(dòng)性可以提高認(rèn)知能力。但是人類本身固有的惰性也是十分嚴(yán)重的，喜歡墨守成規(guī)、圖省事。就是這點(diǎn)惰性給我的網(wǎng)絡(luò)帶來了安全隱患。據(jù)不完全統(tǒng)計(jì)，每年因網(wǎng)絡(luò)安全問題而造成的損失超過300億美元，其中絕大多數(shù)是因?yàn)閮?nèi)部人員的疏忽所至。所以，思想意識(shí)問題應(yīng)放在網(wǎng)絡(luò)安全的首要位置。

一、密碼

看到這里也許會(huì)有讀者以為我大放網(wǎng)詞，那就先以我自己的一個(gè)例子來說起吧。本人也很懶，但是也比較注意安全性，所以能設(shè)置密碼的地方都設(shè)置了密碼，但是密碼全是一樣的。從E-mail信箱到用戶Administrator，統(tǒng)一都使用了一個(gè)8位密碼。我當(dāng)初想:8位密碼，怎么可能說破就破，固若金湯。所以從來不改。用了幾年，沒有任何問題，洋洋自得，自以為安全性一流。恰恰在你最得意的時(shí)候，該抽你嘴巴的人就出現(xiàn)了。我的一個(gè)同事竟然用最低級(jí)也是最有效的窮舉法吧我的8位密碼給破了。還好都比較熟，否則公司數(shù)據(jù)丟失，我就要卷著被子回家了。事后我問他，怎么破解的我的密碼，答曰:只因?yàn)槊看慰次仪妹艽a時(shí)手的動(dòng)作完全相同，于是便知道我的密碼都是一樣的，而且從不改變。這件事情被我引以為戒，以后密碼分開設(shè)置，采用10位密碼，并且半年一更換?，F(xiàn)在還心存余悸呢。我從中得出的教訓(xùn)是，密碼安全要放在網(wǎng)絡(luò)安全的第一位。因?yàn)槊艽a就是鑰匙，如果別人有了你家的鑰匙，就可以堂而皇之的進(jìn)你家偷東西，并且左鄰右舍不會(huì)懷疑什么。我的建議，對(duì)于重要用戶，諸如:Root,Administratoi的密碼要求最少要8位，并且應(yīng)該有英文字母大小寫以及數(shù)字和其他符號(hào)。千萬不要嫌麻煩，密碼被破后更麻煩。為什么要使用8位密碼呢，Unix一共是0x00至Oxff共128個(gè)字符。小于0x20的都算是控制符，不能輸人為口令，Ox7f為轉(zhuǎn)義符，不能輸人。那么總共有128-32-1=95個(gè)字符可作為口令的字符。也就是10(數(shù)字)+33(標(biāo)點(diǎn)符號(hào))+26*2(大小寫字母)=95個(gè)。如果口令取任意5個(gè)字母+1位數(shù)字或符號(hào)(按順序)，可能性是:52*52*52*52*52*43=16,348,773,000(即163億種可能性)。但如果5個(gè)字母是一個(gè)常用詞，估算一個(gè)，設(shè)常用詞500條，從5000個(gè)常用詞中取一個(gè)詞與任意一個(gè)字符組合成口令，因一個(gè)字母都分為大小寫，所以其可能性為:5000*282828282843=6,880,000(即688萬種可能性)o但實(shí)際上絕大多數(shù)人都只用小寫字母，所以可能性還要小。這已經(jīng)可以用微機(jī)進(jìn)行窮舉了，在Pentium200上每秒可算3.4萬次，像這樣簡單的口令要不了3分鐘。如果用P4算上一周，可進(jìn)行3000億次演算。所以6位口令很不可靠，應(yīng)用8位。

密碼設(shè)的越難以窮舉，并不是帶來更加良好的安全性。相反帶來的是更加難以記憶，甚至在最初更改的幾天因?yàn)檩斎司徛粍e人記住，或者自己忘記。這都是非常糟糕的，但是密碼難于窮舉是保證安全性的前提。矛盾著的雙方時(shí)可以互相轉(zhuǎn)化的，所以如何使系統(tǒng)密碼既難以窮舉又容易記憶呢，這就是門科學(xué)了。目前這方面的書籍幾乎沒有，所以我只能憑借自我經(jīng)驗(yàn)來向大家介紹了。

1、采用10位以上密碼。

對(duì)于一般情況下，8位密碼是足夠了，如一般的網(wǎng)絡(luò)社區(qū)的密碼、E-mail的密碼。但是對(duì)于系統(tǒng)管理的密碼，尤其是超級(jí)用戶的密碼最好要在10位以上，12位最佳。首先，8位密碼居多，一般窮舉工作的起始字典都使用6位字典或8位字典，10位或12位的字典不予考慮。其次，一個(gè)全碼8位字典需要占去4G左右空間，10位或12位的全碼字典更是天文數(shù)字，要是用一般臺(tái)式機(jī)破解可能要到下個(gè)千年了，運(yùn)用中型機(jī)破解還有有點(diǎn)希望的。再次，哪怕是一個(gè)12個(gè)字母的英文單詞，也足以讓黑客望而卻步。

2、使用不規(guī)則密碼。

對(duì)于有規(guī)律的密碼，如:alb2c3d4e5f6，盡管是12位的，但是也是非常好破解的。因?yàn)楝F(xiàn)在這種密碼很流行，字典更是多的滿天飛，使用這種密碼等于自殺。

3、使用鍵盤外圍的按健作為密碼的組成部分。

現(xiàn)在的許多破解軟件都支持Incremental(漸進(jìn))方式的密碼組合進(jìn)行窮舉，其核心內(nèi)容就是引人頻率統(tǒng)計(jì)信息，即”高頻先試”的原則。所以，對(duì)于鍵盤外圍的按鍵都屬于”低頻使用”的按鍵。運(yùn)用這些按鍵組成密碼可以防止支持漸進(jìn)式組合窮舉的破解軟件。

4、使用左右上下按鍵結(jié)合輸人的密碼。把鍵盤從“T,G,B”三個(gè)鍵和’'Y,H、N'，三個(gè)鍵中間劃分成左右部分，從，-p”和’'A”這兩行中間劃分為上下部分，這樣鍵盤就被圍成了4部分。選取組成密碼的按鍵最好從這4部分中分別選取交叉組合，這樣做的目的是防止別人輕易看出并且記住你密碼。最好是熟練使用”CapsLock”鍵，可以達(dá)到密碼安全的最高境界。

5,不要選取顯而易見的信息作為口令。

單詞、生日、紀(jì)念日、名字都不要作為密碼的內(nèi)容。以上就是密碼設(shè)置的基本注意事項(xiàng)。密碼設(shè)置好了，并不代表萬事大吉，密碼的正確使用和保存才是關(guān)鍵。

1、要熟練輸入密碼，保證密碼輸人的速度要快。輸人的很慢等于給別人看，還是熟練點(diǎn)好。

2、不要將密碼寫下來。密碼應(yīng)當(dāng)記在腦子里，千萬別寫出來。

3、不要將密碼存人計(jì)算機(jī)的文件中。

4、不要讓別人知道。

5、不要在不同系統(tǒng)上使用同一密碼。

6、在輸人密碼時(shí)最好保證沒有任何人和監(jiān)視系統(tǒng)的窺視。

7、定期改變密碼，最少半年一次。這點(diǎn)尤為重要，是密碼安全問題的關(guān)鍵。永遠(yuǎn)不要對(duì)自己的密碼過于自信，也許無意中就泄漏了密碼。定期改變密碼，會(huì)使密碼被破解的可能性降到很低的程度。

8、對(duì)于大M網(wǎng)絡(luò)的系統(tǒng)管理員，應(yīng)該定期使用密碼破解軟件來檢測(cè)全體用戶密碼的安全性。但要注意這些軟件是否留有后門。對(duì)于有些用戶來說，這樣做的確有點(diǎn)太那個(gè)了;但是對(duì)于管理員來說，就顯得尤為重要。有些用戶采用諸如PGP(Pretyt Good Privacy，良好隱私)這類的軟件來生成密碼。這是個(gè)很好的方法，但是PGP的真正用途是用于對(duì)機(jī)密性文件的加密。一般密匙都在1024位，如著名的BSA公匙。對(duì)于一般密碼生成，PGP不是最好的，它并不適合你自己。管理員應(yīng)該保證Root用戶、Administrators用戶組、PowerUsers用戶組、SuperUsers用戶組以及Repilcator用戶組密碼的安全性要高，防止低權(quán)限的用戶的密碼被竊取影響到高權(quán)限用戶的安全性及整個(gè)系統(tǒng)的安全性。不要用Root及其他高權(quán)限用戶去察看其他用戶的文件，以免造成安全隱患。管理員要定期給員工進(jìn)行安全知識(shí)培訓(xùn)，增強(qiáng)員工的安全意識(shí)。一旦發(fā)現(xiàn)高權(quán)限用戶無法登陸，察看系統(tǒng)日志，必要時(shí)刻將主機(jī)斷開所有網(wǎng)絡(luò)以保證主機(jī)系統(tǒng)及重要文件的安全性。

二、漏洞

網(wǎng)絡(luò)安全性之所以這么低的一個(gè)主要原因就是系統(tǒng)漏洞。譬如管理漏洞、軟件漏洞、結(jié)構(gòu)漏洞、信任漏洞。如果管理員解決不好結(jié)構(gòu)漏洞和信任漏洞，我想這位管理員應(yīng)該可以卷著被子回家了。在此主要談?wù)撘幌鹿芾砺┒春蛙浖┒?。這兩種漏洞產(chǎn)生的原因也是人為的。

1、微軟系統(tǒng)

這個(gè)涉及面就比較廣了，但主要是Windows9x系統(tǒng)、WindowsNT系統(tǒng)、SQLServer.不可否認(rèn)，盡管這些系統(tǒng)的內(nèi)核和組成有所不同，但通病還是有的，比如容易受到DoS(Denial O#Service，分布式拒絕服務(wù))和OOB(OutOfBand)方式的攻擊。這是比較致命的漏洞，但是通過修改注冊(cè)表、打補(bǔ)丁的方法都可以避免。但是有一點(diǎn)漏洞是不能避免的，就是在Windows系統(tǒng)下運(yùn)行IIS(Intern et InformationServer,In-tenr et信息服務(wù))，這樣約等子自殺。

首先，Windows下的密碼文件存儲(chǔ)時(shí)都不能經(jīng)過shadow，所以只要拿到了這個(gè)文件用相應(yīng)的軟件打開，所有的用戶名和密碼都暴露無遺。其次，現(xiàn)在許多用戶喜歡用Windows2000，原因是不易崩潰。但是很多人都在Windows200(〕下安裝了IIS，但是他們卻不會(huì)配置IIS.最可悲的是只要你登陸到Intenr et,IIS就自動(dòng)運(yùn)行，而且端口都是固定的:默認(rèn)FPPPort21，默認(rèn)WebPort 80，默認(rèn)SMTPPort25.等于給人家大開后門。對(duì)于用SQLServer或Windows2000+IIS架站的服務(wù)器，安全系數(shù)并不如用Unix系統(tǒng)。因?yàn)閃indows固有的易崩潰的特性依然保留，對(duì)DoS的抵抗力還是太低，直到Beta2版的WindowsXP依然保留了這個(gè)特性。而且通過Ftp登陸，首先告訴你機(jī)器的IIS是什么版本，這就為攻擊服務(wù)器提供了方便，而且如果權(quán)限設(shè)置不好，anony-mous都可以使用debug，安全性實(shí)在不好。

2,Unix系統(tǒng)

我這里說的Unix系統(tǒng)指的是和Unix有類似的系統(tǒng)，比如:SCOUnix、以前的SUN OS和現(xiàn)在的Solaris,FreeBSD,xBSD,HP和IBM的Unix.這些Unix的結(jié)構(gòu)基本相同，長的差不多，區(qū)別不大，但是都有各自的漏洞。比如SUNOS的snoop命令，可以監(jiān)聽到同一共享網(wǎng)段內(nèi)的其他用戶口令，包括超級(jí)用戶。這一點(diǎn)也被Solaris繼承了。而且這些Unix系統(tǒng)有個(gè)通病，就是在能訪問對(duì)方機(jī)器的情況下，把，hel命令用ksh運(yùn)行，在自己能用的目錄里放上叫”，Is”之類的程序，希望超級(jí)用戶可以不小心的運(yùn)行他們，一旦運(yùn)行，就可以獲得其權(quán)限。對(duì)于這一點(diǎn)，超級(jí)用戶的Path中不應(yīng)當(dāng)有”?！?既當(dāng)前目錄)。所以這就要求管理員的素質(zhì)相對(duì)的要高，可以把軟件漏洞都補(bǔ)上，同時(shí)不出現(xiàn)管理漏洞。還得防止被竊聽?，F(xiàn)在最多的漏洞出現(xiàn)在CGI上。使用這些服務(wù)最容易受到DoS方式的攻擊。CGI是Web的安全漏洞的主要來源。盡管CGI協(xié)議并不是固有的不安全，然而不幸的是，有的Script缺少這樣的標(biāo)準(zhǔn)，而對(duì)之信任的管理員把它安裝在節(jié)點(diǎn)上，造成每個(gè)CGI都存在被攻擊bug的可能性。CGI的安全隱患主要在干兩個(gè)方面:①他們會(huì)有意無意的泄漏主機(jī)的系統(tǒng)信息;②處理遠(yuǎn)程用戶輸人的如表格的內(nèi)容或”搜索內(nèi)容”命令的Scirpt，可能容易被遠(yuǎn)程用戶攻擊而執(zhí)行命令。對(duì)于Java,PHP,ASP也存在相應(yīng)的錯(cuò)誤。這些都是管理員應(yīng)該予以注意。

三、總結(jié)

由于思想渙散造成的漏洞要遠(yuǎn)高于系統(tǒng)自身的漏洞，而系統(tǒng)自身的漏洞也是由于管理員的大意造成的。所以，加強(qiáng)思想意識(shí)上的安全教育，勢(shì)在必行。

第三篇：網(wǎng)絡(luò)數(shù)據(jù)和信息安全管理規(guī)范

網(wǎng)絡(luò)數(shù)據(jù)和信息安全管理規(guī)范

XXXX有限公司

WHB-08

網(wǎng)絡(luò)數(shù)據(jù)和信息安全管理規(guī)范

版本號(hào):

A/0

編制人：

XXX

審核人：

XXX

批準(zhǔn)人：

XXX

20XX年X月X日發(fā)布

20XX年X月X日實(shí)施

目的計(jì)算機(jī)網(wǎng)絡(luò)為公司局域網(wǎng)提供網(wǎng)絡(luò)基礎(chǔ)平臺(tái)服務(wù)和互聯(lián)網(wǎng)接入服務(wù)。為保證公司計(jì)算機(jī)信息及網(wǎng)絡(luò)能夠安全可靠的運(yùn)行，充分發(fā)揮信息服務(wù)方面的重要作用，更好的為公司運(yùn)營提供服務(wù)，依據(jù)國家有關(guān)法律、法規(guī)的規(guī)定，結(jié)合公司實(shí)際情況制定本規(guī)定。

術(shù)語

本規(guī)范中的名詞術(shù)語（比如“計(jì)算機(jī)信息安全”等）符合國家以及行業(yè)的相關(guān)規(guī)定。

計(jì)算機(jī)信息安全是指防止信息財(cái)產(chǎn)被故意的或偶然的非授權(quán)泄露、更改、破壞或使信息被非法系統(tǒng)辨識(shí)，控制。即確保信息的完整性、保密性、可用性和可控性。包括操作系統(tǒng)安全、數(shù)據(jù)庫安全、病毒防護(hù)、訪問權(quán)限控制、加密與鑒別等七個(gè)方面。

狹義上的計(jì)算機(jī)信息安全，是指防止有害信息在計(jì)算機(jī)網(wǎng)絡(luò)上的傳播和擴(kuò)散，防止計(jì)算機(jī)網(wǎng)絡(luò)上處理、傳輸、存儲(chǔ)的數(shù)據(jù)資料的失竊和毀壞，防止內(nèi)部人員利用計(jì)算機(jī)網(wǎng)絡(luò)制作、傳播有害信息和進(jìn)行其他違法犯罪活動(dòng)。

網(wǎng)絡(luò)安全，是指保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)的正常運(yùn)行，防止網(wǎng)絡(luò)被入侵、攻擊等，保證合法用戶對(duì)網(wǎng)絡(luò)資源的正常訪問和對(duì)網(wǎng)絡(luò)服務(wù)的正常使用。

計(jì)算機(jī)及網(wǎng)絡(luò)安全員，是指從事的保障計(jì)算機(jī)信息及網(wǎng)絡(luò)安全工作的人員。

普通用戶，是指除了計(jì)算機(jī)及網(wǎng)絡(luò)安全員之外的所有在物理或者邏輯上能夠訪問到互聯(lián)網(wǎng)、企業(yè)計(jì)算機(jī)網(wǎng)及各應(yīng)用系統(tǒng)的公司內(nèi)部員工。

主機(jī)系統(tǒng)，指包含服務(wù)器、工作站、個(gè)人計(jì)算機(jī)在內(nèi)的所有計(jì)算機(jī)系統(tǒng)。本規(guī)定所稱的重要主機(jī)系統(tǒng)指生產(chǎn)、辦公用的Web服務(wù)器、Email服務(wù)器、DNS服務(wù)器、OA服務(wù)器、企業(yè)運(yùn)營管理支撐系統(tǒng)服務(wù)器、文件服務(wù)器、各主機(jī)系統(tǒng)等。

網(wǎng)絡(luò)服務(wù)，包含通過開放端口提供的網(wǎng)絡(luò)服務(wù)，如WWW、Email、FTP、Telnet、DNS等。

有害信息，參見國家現(xiàn)在法律法規(guī)的定義。

重大計(jì)算機(jī)信息安全事件，是指公司對(duì)外網(wǎng)站（電子公告板等）上出現(xiàn)有害信息；有害信息通過Email及其他途徑大面積傳播或已造成較大社會(huì)影響；計(jì)算機(jī)病毒的蔓延；重要文件、數(shù)據(jù)、資料被刪除、篡改、竊??；由安全問題引起的系統(tǒng)崩潰、網(wǎng)絡(luò)部分或全部癱瘓、網(wǎng)絡(luò)服務(wù)部分或全部中斷；系統(tǒng)被入侵；頁面被非法替換或者修改；主機(jī)房及設(shè)備被人為破壞；重要計(jì)算機(jī)設(shè)備被盜竊等事件。

組織架構(gòu)及職責(zé)分工

公司設(shè)立計(jì)算機(jī)信息及網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組，作為公司計(jì)算機(jī)信息安全工作的領(lǐng)導(dǎo)機(jī)構(gòu)，統(tǒng)一歸口負(fù)責(zé)外部部門（政府和其他部門）有關(guān)計(jì)算機(jī)信息安全工作和特定事件的處理。

計(jì)算機(jī)信息及網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組負(fù)責(zé)領(lǐng)導(dǎo)、檢查、督促、制定信息安全策略、規(guī)章制度和措施，加強(qiáng)計(jì)算機(jī)信息安全工作的管理和指導(dǎo)，落實(shí)國家有關(guān)計(jì)算機(jī)信息安全的法律、法規(guī)和上級(jí)有關(guān)規(guī)定，保障公司的計(jì)算機(jī)信息的安全。

計(jì)算機(jī)信息及網(wǎng)絡(luò)安全工作實(shí)行“誰主管，誰負(fù)責(zé)”的原則，各部門負(fù)責(zé)人對(duì)本部門計(jì)算機(jī)信息及網(wǎng)絡(luò)安全負(fù)直接責(zé)任。

各部門必須配備由計(jì)算機(jī)技術(shù)人員擔(dān)任本部門的計(jì)算機(jī)及網(wǎng)絡(luò)安全員，并報(bào)公司計(jì)算機(jī)信息及網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組備案。各部門計(jì)算機(jī)及網(wǎng)絡(luò)安全員負(fù)責(zé)本部門計(jì)算機(jī)信息及網(wǎng)絡(luò)安全的技術(shù)規(guī)劃和安全措施的具體實(shí)施和落實(shí)。

相關(guān)崗位信息安全職責(zé)：

1）負(fù)責(zé)本部門計(jì)算機(jī)信息及網(wǎng)絡(luò)安全工作的具體實(shí)施，及時(shí)掌握和處理有關(guān)信息安全問題。

2）定期或不定期檢測(cè)本部門計(jì)算機(jī)信息及網(wǎng)絡(luò)安全情況，發(fā)現(xiàn)安全漏洞和隱患及時(shí)報(bào)告，并提出整改意見、建議和技術(shù)措施。

3）指導(dǎo)和監(jiān)督、檢查本部門員工在計(jì)算機(jī)信息安全防護(hù)、數(shù)據(jù)保護(hù)及賬號(hào)、口令設(shè)置使用的情況。

4）發(fā)現(xiàn)計(jì)算機(jī)信息安全問題，及時(shí)處理，保護(hù)現(xiàn)場，追查原因，并報(bào)部門計(jì)算機(jī)信息安全領(lǐng)導(dǎo)小組。

5）定期分析計(jì)算機(jī)安全系統(tǒng)日志，并作相應(yīng)處理。

6）驗(yàn)證本部門重要數(shù)據(jù)保護(hù)對(duì)象的安全控制方法和措施的有效性，對(duì)于不符合安全控制要求的提出技術(shù)整改措施，對(duì)本部門的數(shù)據(jù)備份策略進(jìn)行驗(yàn)證并實(shí)施。

7）負(fù)責(zé)所管理的計(jì)算機(jī)主機(jī)系統(tǒng)及網(wǎng)絡(luò)設(shè)備的安全管理和安全設(shè)置工作。

8）負(fù)責(zé)所管理計(jì)算機(jī)主機(jī)系統(tǒng)和網(wǎng)絡(luò)設(shè)備的用戶賬號(hào)及授權(quán)管理。

9）定期分析操作系統(tǒng)日志,定期或不定期檢查系統(tǒng)進(jìn)程，在發(fā)現(xiàn)異常的系統(tǒng)進(jìn)程或者系統(tǒng)進(jìn)程數(shù)量的異常變化要及時(shí)進(jìn)行處理。

10）負(fù)責(zé)指導(dǎo)并督促用戶設(shè)置高安全性的賬號(hào)口令和安全日志。

11）進(jìn)行計(jì)算機(jī)信息安全事件的排除和修復(fù)，包括操作系統(tǒng)、應(yīng)用系統(tǒng)、文件的恢復(fù)以及安全漏洞的修補(bǔ)。

12）在正常的系統(tǒng)升級(jí)后，對(duì)系統(tǒng)重新進(jìn)行安全設(shè)置，并對(duì)系統(tǒng)進(jìn)行技術(shù)安全檢查。

13）根據(jù)上級(jí)和本級(jí)計(jì)算機(jī)信息安全領(lǐng)導(dǎo)的要求，按照規(guī)定的流程進(jìn)行系統(tǒng)升級(jí)或安全補(bǔ)丁程序的安裝。

14）管理本部門的計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)和相應(yīng)端口，并進(jìn)行登記備案和實(shí)施技術(shù)安全管理。

15）根據(jù)數(shù)據(jù)備份策略，完成所管理系統(tǒng)數(shù)據(jù)的備份、備份介質(zhì)保管、數(shù)據(jù)恢復(fù)工作。

1）自覺遵守計(jì)算機(jī)信息及網(wǎng)絡(luò)安全的法律、法規(guī)和規(guī)定。

2）負(fù)責(zé)所使用個(gè)人計(jì)算機(jī)設(shè)備及數(shù)據(jù)和業(yè)務(wù)系統(tǒng)賬號(hào)的安全。

3）發(fā)現(xiàn)本部門計(jì)算機(jī)網(wǎng)存在的安全隱患及安全事件，及時(shí)報(bào)告部門計(jì)算機(jī)管理部門。

4）不得擅自安裝、維護(hù)公司所有網(wǎng)絡(luò)設(shè)備（包括路由器、交換機(jī)、集線器、光纖、網(wǎng)線），不得私自接入網(wǎng)絡(luò)。

各部門應(yīng)保持計(jì)算機(jī)及網(wǎng)絡(luò)安全員的相對(duì)穩(wěn)定，并加強(qiáng)對(duì)計(jì)算機(jī)及網(wǎng)絡(luò)安全員的教育和技術(shù)培訓(xùn)。在計(jì)算機(jī)及網(wǎng)絡(luò)安全員調(diào)動(dòng)、離職或者其他原因離開原崗位時(shí)，應(yīng)將其涉及的用戶賬號(hào)和權(quán)限及時(shí)進(jìn)行變更或注銷。

系統(tǒng)安全規(guī)定

公司計(jì)算機(jī)機(jī)房由計(jì)算機(jī)管理部門負(fù)責(zé)管理，并建立出入登記和審批制度。攜帶計(jì)算機(jī)設(shè)備及磁盤等存儲(chǔ)介質(zhì)進(jìn)、出主機(jī)房，應(yīng)經(jīng)主管部門同意，并由機(jī)房管理人員進(jìn)行核查登記。

各部門計(jì)算機(jī)管理部門應(yīng)指定專人負(fù)責(zé)本部門計(jì)算機(jī)設(shè)備的管理，做好計(jì)算機(jī)設(shè)備的增添、維修、調(diào)撥等的審核與管理。計(jì)算機(jī)設(shè)備維修特別是需離場維修或承包給企業(yè)外部人員維護(hù)、維修時(shí)，應(yīng)核實(shí)該設(shè)備中是否存儲(chǔ)有涉及企業(yè)秘密、不宜公開的內(nèi)部資料和賬號(hào)、密碼等，如有應(yīng)采取拆卸硬盤、有效刪除有關(guān)資料等有效措施，防止泄密。

使用、操作計(jì)算機(jī)設(shè)備時(shí)，應(yīng)遵循以下安全要求：

1）保管好自己使用或所負(fù)責(zé)保管計(jì)算機(jī)設(shè)備的賬號(hào)、口令，并不定期更換口令，不得轉(zhuǎn)借、轉(zhuǎn)讓賬號(hào)。

2）不安裝和使用來歷不明、沒有版權(quán)的軟件，對(duì)于外來的軟件、數(shù)據(jù)文件等，必須先經(jīng)病毒檢測(cè)，確認(rèn)無感染、攜帶病毒后方可使用。

3）不在個(gè)人使用的計(jì)算機(jī)上安裝與工作無關(guān)的軟件。

4）不擅自更改設(shè)備的IP地址及網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)及軟、硬件配置。

5）在存儲(chǔ)有重要數(shù)據(jù)的計(jì)算機(jī)上，應(yīng)設(shè)置開機(jī)密碼、屏幕保護(hù)密碼。

6）在個(gè)人計(jì)算機(jī)上安裝防病毒軟件，并開啟實(shí)時(shí)病毒監(jiān)測(cè)功能，及時(shí)升級(jí)病毒庫和軟件。

7）非經(jīng)計(jì)算機(jī)管理部門的有效許可，不得對(duì)網(wǎng)絡(luò)進(jìn)行安全（漏洞）掃描和對(duì)賬號(hào)、口令及數(shù)據(jù)包進(jìn)行偵聽；不得利用網(wǎng)絡(luò)服務(wù)實(shí)施網(wǎng)絡(luò)攻擊、散布病毒和發(fā)布有害信息。在網(wǎng)絡(luò)設(shè)備及主機(jī)系統(tǒng)進(jìn)行操作還應(yīng)該遵循有關(guān)網(wǎng)絡(luò)安全規(guī)定。

賬號(hào)管理安全

賬號(hào)的設(shè)置必須遵循“唯一性、必要性、最小授權(quán)”的原則。

唯一性原則是指每個(gè)賬號(hào)對(duì)應(yīng)一個(gè)用戶，不允許多人共同擁有同一賬號(hào)。

必要性原則是指賬號(hào)的建立和分配應(yīng)根據(jù)工作的必要性進(jìn)行分配，不能根據(jù)個(gè)人需要、職位進(jìn)行分配，禁止與所管理主機(jī)系統(tǒng)無關(guān)的人員在系統(tǒng)上擁有用戶賬號(hào)，要根據(jù)工作變動(dòng)及時(shí)關(guān)閉不需要的系統(tǒng)賬號(hào)。

最小授權(quán)原則是指對(duì)賬號(hào)的權(quán)限應(yīng)進(jìn)行嚴(yán)格限制，其權(quán)限不能大于其工作、業(yè)務(wù)需要。超出正常權(quán)限范圍的，要經(jīng)主管領(lǐng)導(dǎo)審批。

系統(tǒng)中所有的用戶（包括超級(jí)權(quán)限用戶和普通用戶）必須登記備案，并定期審閱。

嚴(yán)禁用戶將自己所擁有的用戶賬號(hào)轉(zhuǎn)借他人使用。

員工發(fā)生工作變動(dòng)，必須重新審核其賬號(hào)的必要性和權(quán)限，及時(shí)取消非必要的賬號(hào)和調(diào)整賬號(hào)權(quán)限；如員工離開本部門，須立即取消其賬號(hào)。

在本部門每個(gè)應(yīng)用系統(tǒng)、網(wǎng)絡(luò)工程驗(yàn)收后，應(yīng)立即刪除系統(tǒng)中所有的測(cè)試賬號(hào)和臨時(shí)賬號(hào)，對(duì)需要保留的賬號(hào)口令重新進(jìn)行設(shè)置。

系統(tǒng)管理員必須定期對(duì)系統(tǒng)上的賬號(hào)及使用情況進(jìn)行審核，發(fā)現(xiàn)可疑用戶賬號(hào)時(shí)及時(shí)核實(shí)并作相應(yīng)的處理，對(duì)長期不用的用戶賬號(hào)進(jìn)行鎖定。

一般情況下不允許外部人員直接進(jìn)入主機(jī)系統(tǒng)進(jìn)行操作。在特殊情況下（如系統(tǒng)維修、升級(jí)等）外部人員需要進(jìn)入系統(tǒng)操作，必須由系統(tǒng)管理員進(jìn)行登錄，并對(duì)操作過程進(jìn)行記錄備案。禁止將系統(tǒng)用戶及口令直接交給外部人員。

口令安全管理

口令的選取、組成、長度、修改周期應(yīng)符合安全規(guī)定。禁止使用名字、姓氏、電話號(hào)碼、生日等容易猜測(cè)的字符串作為口令，也不要使用單個(gè)單詞作為口令，在口令組成上必須包含大小寫字母、數(shù)字、標(biāo)點(diǎn)等不同的字符組合，口令長度要求在8位以上。

重要的主機(jī)系統(tǒng)，要求至少每個(gè)月修改口令，對(duì)于管理用的工作站和個(gè)人計(jì)算機(jī)，要求至少每兩個(gè)月修改口令。

重要的主機(jī)系統(tǒng)應(yīng)逐步采用一次性口令及其它可靠的身份認(rèn)證技術(shù)。

本地保存的用戶口令應(yīng)加密存放，防止用戶口令泄密。

軟件安全管理：

不安裝和使用來歷不明、沒有版權(quán)的軟件。

不得在重要的主機(jī)系統(tǒng)上安裝測(cè)試版的軟件。

開發(fā)、修改應(yīng)用系統(tǒng)時(shí)，要充分考慮系統(tǒng)安全和數(shù)據(jù)安全，從數(shù)據(jù)的采集、傳輸、處理、存貯，訪問控制等方面進(jìn)行論證，測(cè)試、驗(yàn)收時(shí)也必須進(jìn)行相應(yīng)的安全性能測(cè)試、驗(yàn)收。

操作系統(tǒng)和應(yīng)用軟件應(yīng)根據(jù)其本身存在的安全漏洞及時(shí)進(jìn)行必須的安全設(shè)置、升級(jí)和打安全補(bǔ)丁。

個(gè)人計(jì)算機(jī)上不得安裝與工作無關(guān)的軟件。在服務(wù)器系統(tǒng)上禁止安裝與服務(wù)器所提供服務(wù)和應(yīng)用無關(guān)的其它軟件。

系統(tǒng)設(shè)備和應(yīng)用軟件的登錄提示應(yīng)對(duì)可能的攻擊嘗試、非授權(quán)訪問提出警告。

主機(jī)系統(tǒng)的服務(wù)器、工作站所使用的操作系統(tǒng)必須進(jìn)行登記。登記記錄上應(yīng)該標(biāo)明廠家、操作系統(tǒng)版本、已安裝的補(bǔ)丁程序號(hào)、安裝和升級(jí)的時(shí)間等內(nèi)容，并進(jìn)行存檔保存。

重要的主機(jī)系統(tǒng)在系統(tǒng)啟用、重新安裝或者升級(jí)時(shí)應(yīng)建立系統(tǒng)鏡像，在發(fā)生網(wǎng)絡(luò)安全問題時(shí)利用系統(tǒng)鏡像對(duì)系統(tǒng)進(jìn)行完整性檢查。

服務(wù)器、網(wǎng)絡(luò)設(shè)備、計(jì)算機(jī)安全系統(tǒng)（如防火墻、入侵檢測(cè)系統(tǒng)等）等應(yīng)具備日志功能并必須啟用。網(wǎng)絡(luò)信息安全管理員要定期分析網(wǎng)絡(luò)安全系統(tǒng)和操作系統(tǒng)日志，在發(fā)現(xiàn)系統(tǒng)遭受攻擊或者攻擊嘗試時(shí)采取安全措施進(jìn)行保護(hù)，對(duì)網(wǎng)絡(luò)攻擊或者攻擊嘗試進(jìn)行定位、跟蹤并發(fā)出警告，并向網(wǎng)絡(luò)信息安全領(lǐng)導(dǎo)小組報(bào)告。系統(tǒng)日志必須保存三個(gè)月以上。

新建計(jì)算機(jī)網(wǎng)絡(luò)、應(yīng)用系統(tǒng)必須同時(shí)進(jìn)行網(wǎng)絡(luò)信息安全的設(shè)計(jì)。

互聯(lián)網(wǎng)信息安全

公司對(duì)外網(wǎng)站、需定期做安全檢查，并設(shè)置好相關(guān)的信息發(fā)布、管理權(quán)限，防止有害信息傳播。

各部門搭建的電子郵件系統(tǒng)，禁止開啟匿名轉(zhuǎn)發(fā)功能，并應(yīng)按有關(guān)規(guī)定從技術(shù)、管理上采取有效措施過濾垃圾電子郵件及有害信息。

數(shù)據(jù)安全

需要保護(hù)的重要數(shù)據(jù)至少包括：

1）重要文件、資料、圖紙（電子版）。

2）財(cái)會(huì)系統(tǒng)數(shù)據(jù)庫。

3）重要主機(jī)系統(tǒng)的系統(tǒng)數(shù)據(jù)。

4）其他重要數(shù)據(jù)。

各部門計(jì)算機(jī)管理部門應(yīng)制定數(shù)據(jù)備份策略及重要數(shù)據(jù)災(zāi)難恢復(fù)計(jì)劃，及時(shí)做好數(shù)據(jù)備份及恢復(fù)。

對(duì)數(shù)據(jù)備份必須有明確的記錄，在記錄中標(biāo)明備份內(nèi)容、備份時(shí)間，備份操作人員等信息。對(duì)于重要數(shù)據(jù)的備份必須異地存放，并做好相關(guān)的異地備份記錄。

各部門必須每年至少進(jìn)行一次數(shù)據(jù)備份策略的有效性的驗(yàn)證，對(duì)數(shù)據(jù)恢復(fù)過程進(jìn)行試驗(yàn)，確保在發(fā)生安全問題時(shí)能夠從數(shù)據(jù)備份中進(jìn)行恢復(fù)。

各部門計(jì)算機(jī)管理部門應(yīng)對(duì)所管理系統(tǒng)上存儲(chǔ)的數(shù)據(jù)進(jìn)行登記備案，登記的內(nèi)容主要包括：需要保護(hù)的數(shù)據(jù)、存儲(chǔ)的位置、存儲(chǔ)的形式、安全控制的方法和措施、負(fù)責(zé)安全管理和日常備份的人員、可以訪問數(shù)據(jù)的用戶、訪問的方式以及權(quán)限。

涉及企業(yè)秘密及具有高保密性要求（如口令文件）的數(shù)據(jù)在傳輸、存貯時(shí)應(yīng)加密。

禁止在沒有采用安全保護(hù)機(jī)制的計(jì)算機(jī)上存儲(chǔ)重要數(shù)據(jù)，在存儲(chǔ)重要數(shù)據(jù)的計(jì)算機(jī)至少應(yīng)該有開機(jī)口令、登錄口令、數(shù)據(jù)庫口令、屏幕保護(hù)等防護(hù)措施。禁止在個(gè)人計(jì)算機(jī)上存放重要數(shù)據(jù)。

不得以軟盤或者筆記本電腦等形式將重要數(shù)據(jù)帶出系統(tǒng)。如確實(shí)必需，須將數(shù)據(jù)用安全可靠的加密手段加密存儲(chǔ)，并將存儲(chǔ)的軟盤或筆記本電腦比照密級(jí)文件管理。

安全管理

各部門必須對(duì)本部門的計(jì)算機(jī)信息及網(wǎng)絡(luò)安全進(jìn)行經(jīng)常性的檢查、檢測(cè)：

1）系統(tǒng)安全檢查應(yīng)每月檢查、檢測(cè)一次；

2）計(jì)算機(jī)病毒防治應(yīng)每月至少全面檢查一次；

3）數(shù)據(jù)備份應(yīng)每月檢查一次。

檢查發(fā)現(xiàn)計(jì)算機(jī)信息及網(wǎng)絡(luò)安全隱患，應(yīng)組織安全隱患整治，不能馬上整治的，應(yīng)采取有效措施預(yù)防網(wǎng)絡(luò)信息安全事件和案件的發(fā)生。

發(fā)生計(jì)算機(jī)信息及網(wǎng)絡(luò)安全事件，應(yīng)馬上組織人員妥善處理，防止擴(kuò)散影響。觸犯刑律的，應(yīng)保存證據(jù)，報(bào)告公安機(jī)關(guān)，并配合查處。

發(fā)生重大計(jì)算機(jī)信息及網(wǎng)絡(luò)安全事件須在24小時(shí)內(nèi)上報(bào)。

各部門應(yīng)對(duì)用戶及本部門員工進(jìn)行網(wǎng)絡(luò)信息安全宣傳，宣傳有關(guān)國家法律、法規(guī)和網(wǎng)絡(luò)信息安全知識(shí)，加強(qiáng)用戶的法律意識(shí)和安全意識(shí)，不得從事任何危害網(wǎng)絡(luò)信息安全的行為。

顧客網(wǎng)絡(luò)信息安全

維護(hù)人員不得將顧客系統(tǒng)的密碼泄露給他人。

維護(hù)人員因工作原因進(jìn)入顧客系統(tǒng)是，不得復(fù)制、刪除、修改顧客信息。

進(jìn)入顧客系統(tǒng)應(yīng)使用專用計(jì)算機(jī)，該計(jì)算機(jī)應(yīng)每周進(jìn)行殺毒，以防將病毒傳入顧客系統(tǒng)。

維護(hù)人員的客戶端應(yīng)及時(shí)升級(jí)或更新，確保其與顧客系統(tǒng)的版本保持一致。

文檔內(nèi)容僅供參考

第四篇：4.1.6 網(wǎng)絡(luò)數(shù)據(jù)和信息安全管理規(guī)范

XXXX有限公司

WHB-08

網(wǎng)絡(luò)數(shù)據(jù)和信息安全管理規(guī)范

版本號(hào): A/0 編制人： XXX 審核人： XXX 批準(zhǔn)人： XXX

20XX年X月X日發(fā)布 20XX年X月X日實(shí)施

1.0目的

計(jì)算機(jī)網(wǎng)絡(luò)為公司局域網(wǎng)提供網(wǎng)絡(luò)基礎(chǔ)平臺(tái)服務(wù)和互聯(lián)網(wǎng)接入服務(wù)。為保證公司計(jì)算機(jī)信息及網(wǎng)絡(luò)能夠安全可靠的運(yùn)行，充分發(fā)揮信息服務(wù)方面的重要作用，更好的為公司運(yùn)營提供服務(wù)，依據(jù)國家有關(guān)法律、法規(guī)的規(guī)定，結(jié)合公司實(shí)際情況制定本規(guī)定。2.0術(shù)語

本規(guī)范中的名詞術(shù)語（比如“計(jì)算機(jī)信息安全”等）符合國家以及行業(yè)的相關(guān)規(guī)定。2.1計(jì)算機(jī)信息安全是指防止信息財(cái)產(chǎn)被故意的或偶然的非授權(quán)泄露、更改、破壞或使信息被非法系統(tǒng)辨識(shí)，控制。即確保信息的完整性、保密性、可用性和可控性。包括操作系統(tǒng)安全、數(shù)據(jù)庫安全、病毒防護(hù)、訪問權(quán)限控制、加密與鑒別等七個(gè)方面。

2.2狹義上的計(jì)算機(jī)信息安全，是指防止有害信息在計(jì)算機(jī)網(wǎng)絡(luò)上的傳播和擴(kuò)散，防止計(jì)算機(jī)網(wǎng)絡(luò)上處理、傳輸、存儲(chǔ)的數(shù)據(jù)資料的失竊和毀壞，防止內(nèi)部人員利用計(jì)算機(jī)網(wǎng)絡(luò)制作、傳播有害信息和進(jìn)行其他違法犯罪活動(dòng)。

2.3網(wǎng)絡(luò)安全，是指保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)的正常運(yùn)行，防止網(wǎng)絡(luò)被入侵、攻擊等，保證合法用戶對(duì)網(wǎng)絡(luò)資源的正常訪問和對(duì)網(wǎng)絡(luò)服務(wù)的正常使用。

2.4計(jì)算機(jī)及網(wǎng)絡(luò)安全員，是指從事的保障計(jì)算機(jī)信息及網(wǎng)絡(luò)安全工作的人員。2.5普通用戶，是指除了計(jì)算機(jī)及網(wǎng)絡(luò)安全員之外的所有在物理或者邏輯上能夠訪問到互聯(lián)網(wǎng)、企業(yè)計(jì)算機(jī)網(wǎng)及各應(yīng)用系統(tǒng)的公司內(nèi)部員工。

2.6主機(jī)系統(tǒng)，指包含服務(wù)器、工作站、個(gè)人計(jì)算機(jī)在內(nèi)的所有計(jì)算機(jī)系統(tǒng)。本規(guī)定所稱的重要主機(jī)系統(tǒng)指生產(chǎn)、辦公用的Web服務(wù)器、Email服務(wù)器、DNS服務(wù)器、OA服務(wù)器、企業(yè)運(yùn)營管理支撐系統(tǒng)服務(wù)器、文件服務(wù)器、各主機(jī)系統(tǒng)等。

2.7網(wǎng)絡(luò)服務(wù)，包含通過開放端口提供的網(wǎng)絡(luò)服務(wù)，如WWW、Email、FTP、Telnet、DNS等。

2.8有害信息，參見國家現(xiàn)在法律法規(guī)的定義。

2.9重大計(jì)算機(jī)信息安全事件，是指公司對(duì)外網(wǎng)站（電子公告板等）上出現(xiàn)有害信息；有害信息通過Email及其他途徑大面積傳播或已造成較大社會(huì)影響；計(jì)算機(jī)病毒的蔓延；重要文件、數(shù)據(jù)、資料被刪除、篡改、竊??；由安全問題引起的系統(tǒng)崩潰、網(wǎng)絡(luò)部分或全部癱瘓、網(wǎng)絡(luò)服務(wù)部分或全部中斷；系統(tǒng)被入侵；頁面被非法替換或者修改；主機(jī)房及設(shè)備被人為破壞；重要計(jì)算機(jī)設(shè)備被盜竊等事件。3.0組織架構(gòu)及職責(zé)分工

3.1公司設(shè)立計(jì)算機(jī)信息及網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組，作為公司計(jì)算機(jī)信息安全工作的領(lǐng)導(dǎo)機(jī)

構(gòu)，統(tǒng)一歸口負(fù)責(zé)外部部門（政府和其他部門）有關(guān)計(jì)算機(jī)信息安全工作和特定事件的處理。

3.3計(jì)算機(jī)信息及網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組負(fù)責(zé)領(lǐng)導(dǎo)、檢查、督促、制定信息安全策略、規(guī)章制度和措施，加強(qiáng)計(jì)算機(jī)信息安全工作的管理和指導(dǎo)，落實(shí)國家有關(guān)計(jì)算機(jī)信息安全的法律、法規(guī)和上級(jí)有關(guān)規(guī)定，保障公司的計(jì)算機(jī)信息的安全。

3.4計(jì)算機(jī)信息及網(wǎng)絡(luò)安全工作實(shí)行“誰主管，誰負(fù)責(zé)”的原則，各部門負(fù)責(zé)人對(duì)本部門計(jì)算機(jī)信息及網(wǎng)絡(luò)安全負(fù)直接責(zé)任。

3.5各部門必須配備由計(jì)算機(jī)技術(shù)人員擔(dān)任本部門的計(jì)算機(jī)及網(wǎng)絡(luò)安全員，并報(bào)公司計(jì)算機(jī)信息及網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組備案。各部門計(jì)算機(jī)及網(wǎng)絡(luò)安全員負(fù)責(zé)本部門計(jì)算機(jī)信息及網(wǎng)絡(luò)安全的技術(shù)規(guī)劃和安全措施的具體實(shí)施和落實(shí)。3.6相關(guān)崗位信息安全職責(zé)： 3.6.1計(jì)算機(jī)及網(wǎng)絡(luò)安全員：

1）負(fù)責(zé)本部門計(jì)算機(jī)信息及網(wǎng)絡(luò)安全工作的具體實(shí)施，及時(shí)掌握和處理有關(guān)信息安全問題。

2）定期或不定期檢測(cè)本部門計(jì)算機(jī)信息及網(wǎng)絡(luò)安全情況，發(fā)現(xiàn)安全漏洞和隱患及時(shí)報(bào)告，并提出整改意見、建議和技術(shù)措施。

3）指導(dǎo)和監(jiān)督、檢查本部門員工在計(jì)算機(jī)信息安全防護(hù)、數(shù)據(jù)保護(hù)及賬號(hào)、口令設(shè)置使用的情況。

4）發(fā)現(xiàn)計(jì)算機(jī)信息安全問題，及時(shí)處理，保護(hù)現(xiàn)場，追查原因，并報(bào)部門計(jì)算機(jī)信息安全領(lǐng)導(dǎo)小組。

5）定期分析計(jì)算機(jī)安全系統(tǒng)日志，并作相應(yīng)處理。

6）驗(yàn)證本部門重要數(shù)據(jù)保護(hù)對(duì)象的安全控制方法和措施的有效性，對(duì)于不符合安全控制要求的提出技術(shù)整改措施，對(duì)本部門的數(shù)據(jù)備份策略進(jìn)行驗(yàn)證并實(shí)施。

7）負(fù)責(zé)所管理的計(jì)算機(jī)主機(jī)系統(tǒng)及網(wǎng)絡(luò)設(shè)備的安全管理和安全設(shè)置工作。8）負(fù)責(zé)所管理計(jì)算機(jī)主機(jī)系統(tǒng)和網(wǎng)絡(luò)設(shè)備的用戶賬號(hào)及授權(quán)管理。

9）定期分析操作系統(tǒng)日志,定期或不定期檢查系統(tǒng)進(jìn)程，在發(fā)現(xiàn)異常的系統(tǒng)進(jìn)程或者系統(tǒng)進(jìn)程數(shù)量的異常變化要及時(shí)進(jìn)行處理。

10）負(fù)責(zé)指導(dǎo)并督促用戶設(shè)置高安全性的賬號(hào)口令和安全日志。

11）進(jìn)行計(jì)算機(jī)信息安全事件的排除和修復(fù)，包括操作系統(tǒng)、應(yīng)用系統(tǒng)、文件的恢復(fù)以及安全漏洞的修補(bǔ)。

12）在正常的系統(tǒng)升級(jí)后，對(duì)系統(tǒng)重新進(jìn)行安全設(shè)置，并對(duì)系統(tǒng)進(jìn)行技術(shù)安全檢查。

13）根據(jù)上級(jí)和本級(jí)計(jì)算機(jī)信息安全領(lǐng)導(dǎo)的要求，按照規(guī)定的流程進(jìn)行系統(tǒng)升級(jí)或安全補(bǔ)丁程序的安裝。

14）管理本部門的計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)和相應(yīng)端口，并進(jìn)行登記備案和實(shí)施技術(shù)安全管理。15）根據(jù)數(shù)據(jù)備份策略，完成所管理系統(tǒng)數(shù)據(jù)的備份、備份介質(zhì)保管、數(shù)據(jù)恢復(fù)工作。3.6.2普通用戶職責(zé)：

1）自覺遵守計(jì)算機(jī)信息及網(wǎng)絡(luò)安全的法律、法規(guī)和規(guī)定。2）負(fù)責(zé)所使用個(gè)人計(jì)算機(jī)設(shè)備及數(shù)據(jù)和業(yè)務(wù)系統(tǒng)賬號(hào)的安全。

3）發(fā)現(xiàn)本部門計(jì)算機(jī)網(wǎng)存在的安全隱患及安全事件，及時(shí)報(bào)告部門計(jì)算機(jī)管理部門。4）不得擅自安裝、維護(hù)公司所有網(wǎng)絡(luò)設(shè)備（包括路由器、交換機(jī)、集線器、光纖、網(wǎng)線），不得私自接入網(wǎng)絡(luò)。

3.7各部門應(yīng)保持計(jì)算機(jī)及網(wǎng)絡(luò)安全員的相對(duì)穩(wěn)定，并加強(qiáng)對(duì)計(jì)算機(jī)及網(wǎng)絡(luò)安全員的教育和技術(shù)培訓(xùn)。在計(jì)算機(jī)及網(wǎng)絡(luò)安全員調(diào)動(dòng)、離職或者其他原因離開原崗位時(shí)，應(yīng)將其涉及的用戶賬號(hào)和權(quán)限及時(shí)進(jìn)行變更或注銷。4.0 系統(tǒng)安全規(guī)定

4.1公司計(jì)算機(jī)機(jī)房由計(jì)算機(jī)管理部門負(fù)責(zé)管理，并建立出入登記和審批制度。攜帶計(jì)算機(jī)設(shè)備及磁盤等存儲(chǔ)介質(zhì)進(jìn)、出主機(jī)房，應(yīng)經(jīng)主管部門同意，并由機(jī)房管理人員進(jìn)行核查登記。

4.2各部門計(jì)算機(jī)管理部門應(yīng)指定專人負(fù)責(zé)本部門計(jì)算機(jī)設(shè)備的管理，做好計(jì)算機(jī)設(shè)備的增添、維修、調(diào)撥等的審核與管理。計(jì)算機(jī)設(shè)備維修特別是需離場維修或承包給企業(yè)外部人員維護(hù)、維修時(shí)，應(yīng)核實(shí)該設(shè)備中是否存儲(chǔ)有涉及企業(yè)秘密、不宜公開的內(nèi)部資料和賬號(hào)、密碼等，如有應(yīng)采取拆卸硬盤、有效刪除有關(guān)資料等有效措施，防止泄密。4.3使用、操作計(jì)算機(jī)設(shè)備時(shí)，應(yīng)遵循以下安全要求：

1）保管好自己使用或所負(fù)責(zé)保管計(jì)算機(jī)設(shè)備的賬號(hào)、口令，并不定期更換口令，不得轉(zhuǎn)借、轉(zhuǎn)讓賬號(hào)。

2）不安裝和使用來歷不明、沒有版權(quán)的軟件，對(duì)于外來的軟件、數(shù)據(jù)文件等，必須先經(jīng)病毒檢測(cè)，確認(rèn)無感染、攜帶病毒后方可使用。

3）不在個(gè)人使用的計(jì)算機(jī)上安裝與工作無關(guān)的軟件。

4）不擅自更改設(shè)備的IP地址及網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)及軟、硬件配置。5）在存儲(chǔ)有重要數(shù)據(jù)的計(jì)算機(jī)上，應(yīng)設(shè)置開機(jī)密碼、屏幕保護(hù)密碼。

6）在個(gè)人計(jì)算機(jī)上安裝防病毒軟件，并開啟實(shí)時(shí)病毒監(jiān)測(cè)功能，及時(shí)升級(jí)病毒庫和軟件。

7）非經(jīng)計(jì)算機(jī)管理部門的有效許可，不得對(duì)網(wǎng)絡(luò)進(jìn)行安全（漏洞）掃描和對(duì)賬號(hào)、口令及數(shù)據(jù)包進(jìn)行偵聽；不得利用網(wǎng)絡(luò)服務(wù)實(shí)施網(wǎng)絡(luò)攻擊、散布病毒和發(fā)布有害信息。在網(wǎng)絡(luò)設(shè)備及主機(jī)系統(tǒng)進(jìn)行操作還應(yīng)該遵循有關(guān)網(wǎng)絡(luò)安全規(guī)定。5.0 賬號(hào)管理安全

5.1賬號(hào)的設(shè)置必須遵循“唯一性、必要性、最小授權(quán)”的原則。

唯一性原則是指每個(gè)賬號(hào)對(duì)應(yīng)一個(gè)用戶，不允許多人共同擁有同一賬號(hào)。必要性原則是指賬號(hào)的建立和分配應(yīng)根據(jù)工作的必要性進(jìn)行分配，不能根據(jù)個(gè)人需要、職位進(jìn)行分配，禁止與所管理主機(jī)系統(tǒng)無關(guān)的人員在系統(tǒng)上擁有用戶賬號(hào)，要根據(jù)工作變動(dòng)及時(shí)關(guān)閉不需要的系統(tǒng)賬號(hào)。

最小授權(quán)原則是指對(duì)賬號(hào)的權(quán)限應(yīng)進(jìn)行嚴(yán)格限制，其權(quán)限不能大于其工作、業(yè)務(wù)需要。超出正常權(quán)限范圍的，要經(jīng)主管領(lǐng)導(dǎo)審批。

5.2系統(tǒng)中所有的用戶（包括超級(jí)權(quán)限用戶和普通用戶）必須登記備案，并定期審閱。5.3嚴(yán)禁用戶將自己所擁有的用戶賬號(hào)轉(zhuǎn)借他人使用。

5.4員工發(fā)生工作變動(dòng)，必須重新審核其賬號(hào)的必要性和權(quán)限，及時(shí)取消非必要的賬號(hào)和調(diào)整賬號(hào)權(quán)限；如員工離開本部門，須立即取消其賬號(hào)。

5.5在本部門每個(gè)應(yīng)用系統(tǒng)、網(wǎng)絡(luò)工程驗(yàn)收后，應(yīng)立即刪除系統(tǒng)中所有的測(cè)試賬號(hào)和臨時(shí)賬號(hào)，對(duì)需要保留的賬號(hào)口令重新進(jìn)行設(shè)置。

5.6系統(tǒng)管理員必須定期對(duì)系統(tǒng)上的賬號(hào)及使用情況進(jìn)行審核，發(fā)現(xiàn)可疑用戶賬號(hào)時(shí)及時(shí)核實(shí)并作相應(yīng)的處理，對(duì)長期不用的用戶賬號(hào)進(jìn)行鎖定。

5.7 一般情況下不允許外部人員直接進(jìn)入主機(jī)系統(tǒng)進(jìn)行操作。在特殊情況下（如系統(tǒng)維修、升級(jí)等）外部人員需要進(jìn)入系統(tǒng)操作，必須由系統(tǒng)管理員進(jìn)行登錄，并對(duì)操作過程進(jìn)行記錄備案。禁止將系統(tǒng)用戶及口令直接交給外部人員。6.0 口令安全管理

6.1口令的選取、組成、長度、修改周期應(yīng)符合安全規(guī)定。禁止使用名字、姓氏、電話號(hào)碼、生日等容易猜測(cè)的字符串作為口令，也不要使用單個(gè)單詞作為口令，在口令組成上必須包含大小寫字母、數(shù)字、標(biāo)點(diǎn)等不同的字符組合，口令長度要求在8位以上。6.2重要的主機(jī)系統(tǒng)，要求至少每個(gè)月修改口令，對(duì)于管理用的工作站和個(gè)人計(jì)算機(jī)，要求至少每兩個(gè)月修改口令。

6.3重要的主機(jī)系統(tǒng)應(yīng)逐步采用一次性口令及其它可靠的身份認(rèn)證技術(shù)。6.4本地保存的用戶口令應(yīng)加密存放，防止用戶口令泄密。6.5軟件安全管理：

6.1不安裝和使用來歷不明、沒有版權(quán)的軟件。6.2不得在重要的主機(jī)系統(tǒng)上安裝測(cè)試版的軟件。

6.3開發(fā)、修改應(yīng)用系統(tǒng)時(shí)，要充分考慮系統(tǒng)安全和數(shù)據(jù)安全，從數(shù)據(jù)的采集、傳輸、處理、存貯，訪問控制等方面進(jìn)行論證，測(cè)試、驗(yàn)收時(shí)也必須進(jìn)行相應(yīng)的安全性能測(cè)試、驗(yàn)收。

6.4操作系統(tǒng)和應(yīng)用軟件應(yīng)根據(jù)其本身存在的安全漏洞及時(shí)進(jìn)行必須的安全設(shè)置、升級(jí)和打安全補(bǔ)丁。

6.5個(gè)人計(jì)算機(jī)上不得安裝與工作無關(guān)的軟件。在服務(wù)器系統(tǒng)上禁止安裝與服務(wù)器所提供服務(wù)和應(yīng)用無關(guān)的其它軟件。

6.6系統(tǒng)設(shè)備和應(yīng)用軟件的登錄提示應(yīng)對(duì)可能的攻擊嘗試、非授權(quán)訪問提出警告。6.7主機(jī)系統(tǒng)的服務(wù)器、工作站所使用的操作系統(tǒng)必須進(jìn)行登記。登記記錄上應(yīng)該標(biāo)明廠家、操作系統(tǒng)版本、已安裝的補(bǔ)丁程序號(hào)、安裝和升級(jí)的時(shí)間等內(nèi)容，并進(jìn)行存檔保存。6.8重要的主機(jī)系統(tǒng)在系統(tǒng)啟用、重新安裝或者升級(jí)時(shí)應(yīng)建立系統(tǒng)鏡像，在發(fā)生網(wǎng)絡(luò)安全問題時(shí)利用系統(tǒng)鏡像對(duì)系統(tǒng)進(jìn)行完整性檢查。

7.0服務(wù)器、網(wǎng)絡(luò)設(shè)備、計(jì)算機(jī)安全系統(tǒng)（如防火墻、入侵檢測(cè)系統(tǒng)等）等應(yīng)具備日志功能并必須啟用。網(wǎng)絡(luò)信息安全管理員要定期分析網(wǎng)絡(luò)安全系統(tǒng)和操作系統(tǒng)日志，在發(fā)現(xiàn)系統(tǒng)遭受攻擊或者攻擊嘗試時(shí)采取安全措施進(jìn)行保護(hù)，對(duì)網(wǎng)絡(luò)攻擊或者攻擊嘗試進(jìn)行定位、跟蹤并發(fā)出警告，并向網(wǎng)絡(luò)信息安全領(lǐng)導(dǎo)小組報(bào)告。系統(tǒng)日志必須保存三個(gè)月以上。8.0新建計(jì)算機(jī)網(wǎng)絡(luò)、應(yīng)用系統(tǒng)必須同時(shí)進(jìn)行網(wǎng)絡(luò)信息安全的設(shè)計(jì)。9.0 互聯(lián)網(wǎng)信息安全

9.1公司對(duì)外網(wǎng)站、需定期做安全檢查，并設(shè)置好相關(guān)的信息發(fā)布、管理權(quán)限，防止有害信息傳播。

9.2各部門搭建的電子郵件系統(tǒng)，禁止開啟匿名轉(zhuǎn)發(fā)功能，并應(yīng)按有關(guān)規(guī)定從技術(shù)、管理上采取有效措施過濾垃圾電子郵件及有害信息。10.0數(shù)據(jù)安全

10.1需要保護(hù)的重要數(shù)據(jù)至少包括：

1）重要文件、資料、圖紙（電子版）。2）財(cái)會(huì)系統(tǒng)數(shù)據(jù)庫。3）重要主機(jī)系統(tǒng)的系統(tǒng)數(shù)據(jù)。4）其他重要數(shù)據(jù)。

10.2各部門計(jì)算機(jī)管理部門應(yīng)制定數(shù)據(jù)備份策略及重要數(shù)據(jù)災(zāi)難恢復(fù)計(jì)劃，及時(shí)做好數(shù)

據(jù)備份及恢復(fù)。

10.3對(duì)數(shù)據(jù)備份必須有明確的記錄，在記錄中標(biāo)明備份內(nèi)容、備份時(shí)間，備份操作人員等信息。對(duì)于重要數(shù)據(jù)的備份必須異地存放，并做好相關(guān)的異地備份記錄。

10.4各部門必須每年至少進(jìn)行一次數(shù)據(jù)備份策略的有效性的驗(yàn)證，對(duì)數(shù)據(jù)恢復(fù)過程進(jìn)行試驗(yàn)，確保在發(fā)生安全問題時(shí)能夠從數(shù)據(jù)備份中進(jìn)行恢復(fù)。

10.5各部門計(jì)算機(jī)管理部門應(yīng)對(duì)所管理系統(tǒng)上存儲(chǔ)的數(shù)據(jù)進(jìn)行登記備案，登記的內(nèi)容主要包括：需要保護(hù)的數(shù)據(jù)、存儲(chǔ)的位置、存儲(chǔ)的形式、安全控制的方法和措施、負(fù)責(zé)安全管理和日常備份的人員、可以訪問數(shù)據(jù)的用戶、訪問的方式以及權(quán)限。

10.6涉及企業(yè)秘密及具有高保密性要求（如口令文件）的數(shù)據(jù)在傳輸、存貯時(shí)應(yīng)加密。10.7禁止在沒有采用安全保護(hù)機(jī)制的計(jì)算機(jī)上存儲(chǔ)重要數(shù)據(jù)，在存儲(chǔ)重要數(shù)據(jù)的計(jì)算機(jī)至少應(yīng)該有開機(jī)口令、登錄口令、數(shù)據(jù)庫口令、屏幕保護(hù)等防護(hù)措施。禁止在個(gè)人計(jì)算機(jī)上存放重要數(shù)據(jù)。

10.8不得以軟盤或者筆記本電腦等形式將重要數(shù)據(jù)帶出系統(tǒng)。如確實(shí)必需，須將數(shù)據(jù)用安全可靠的加密手段加密存儲(chǔ)，并將存儲(chǔ)的軟盤或筆記本電腦比照密級(jí)文件管理。11.0安全管理

11.1各部門必須對(duì)本部門的計(jì)算機(jī)信息及網(wǎng)絡(luò)安全進(jìn)行經(jīng)常性的檢查、檢測(cè)：

1）系統(tǒng)安全檢查應(yīng)每月檢查、檢測(cè)一次； 2）計(jì)算機(jī)病毒防治應(yīng)每月至少全面檢查一次； 3）數(shù)據(jù)備份應(yīng)每月檢查一次。

11.2檢查發(fā)現(xiàn)計(jì)算機(jī)信息及網(wǎng)絡(luò)安全隱患，應(yīng)組織安全隱患整治，不能馬上整治的，應(yīng)采取有效措施預(yù)防網(wǎng)絡(luò)信息安全事件和案件的發(fā)生。

11.3發(fā)生計(jì)算機(jī)信息及網(wǎng)絡(luò)安全事件，應(yīng)馬上組織人員妥善處理，防止擴(kuò)散影響。觸犯刑律的，應(yīng)保存證據(jù)，報(bào)告公安機(jī)關(guān)，并配合查處。

11.4發(fā)生重大計(jì)算機(jī)信息及網(wǎng)絡(luò)安全事件須在24小時(shí)內(nèi)上報(bào)。

11.5各部門應(yīng)對(duì)用戶及本部門員工進(jìn)行網(wǎng)絡(luò)信息安全宣傳，宣傳有關(guān)國家法律、法規(guī)和網(wǎng)絡(luò)信息安全知識(shí)，加強(qiáng)用戶的法律意識(shí)和安全意識(shí)，不得從事任何危害網(wǎng)絡(luò)信息安全的行為。

12.0 顧客網(wǎng)絡(luò)信息安全

12.1 維護(hù)人員不得將顧客系統(tǒng)的密碼泄露給他人。

12.2 維護(hù)人員因工作原因進(jìn)入顧客系統(tǒng)是，不得復(fù)制、刪除、修改顧客信息。12.3 進(jìn)入顧客系統(tǒng)應(yīng)使用專用計(jì)算機(jī)，該計(jì)算機(jī)應(yīng)每周進(jìn)行殺毒，以防將病毒傳入顧客

系統(tǒng)。

12.4 維護(hù)人員的客戶端應(yīng)及時(shí)升級(jí)或更新，確保其與顧客系統(tǒng)的版本保持一致。

第五篇：機(jī)房、網(wǎng)絡(luò)、信息、數(shù)據(jù)安全管理制度

中心機(jī)房管理制度

計(jì)算機(jī)機(jī)房屬機(jī)密重地。為做到嚴(yán)格管理，保證安全，特制訂如下制度：

第一條 中心機(jī)房的管理由系統(tǒng)管理員負(fù)責(zé)，非機(jī)房工作人員未經(jīng)允許不準(zhǔn)進(jìn)入，機(jī)房門口明顯位置應(yīng)張貼告示：“機(jī)房重地，非請(qǐng)莫入”。

第二條 機(jī)房內(nèi)應(yīng)保持整潔，嚴(yán)禁吸煙、吃喝、聊天、會(huì)客、休息。不準(zhǔn)在計(jì)算機(jī)及工作臺(tái)附近放置可能危及設(shè)備安全的物品。

第三條 機(jī)房內(nèi)嚴(yán)禁一切與工作無關(guān)的操作。嚴(yán)禁外來信息載體帶入機(jī)房，未經(jīng)允許不準(zhǔn)將機(jī)器設(shè)備和數(shù)據(jù)帶出機(jī)房。

第四條 認(rèn)真做好機(jī)房內(nèi)各類記錄介質(zhì)的保管工作，落實(shí)專人收集、保管，信息載體必須安全存放并嚴(yán)密保管，防止丟失或失效。機(jī)房資料外借必須經(jīng)批準(zhǔn)并履行手續(xù)，方可借出。作廢資料嚴(yán)禁外泄。

第五條 機(jī)房工作人員要隨時(shí)掌握機(jī)房運(yùn)行環(huán)境和設(shè)備運(yùn)行狀態(tài)，保證設(shè)備隨時(shí)暢通。機(jī)房設(shè)備開關(guān)必須先經(jīng)檢查確認(rèn)正常后再按順序依次開關(guān)機(jī)。

第六條 機(jī)房工作人員對(duì)機(jī)房存在的隱患及設(shè)備故障要及時(shí)報(bào)告，并與有關(guān)部門及時(shí)聯(lián)系處理。非常情況下應(yīng)立即采取應(yīng)急措施并保護(hù)現(xiàn)場。第七條 機(jī)房設(shè)備應(yīng)由專業(yè)人員操作、使用，禁止非專業(yè)人員操作、使用。對(duì)各種設(shè)備應(yīng)按規(guī)范要求操作、保養(yǎng)。發(fā)現(xiàn)故障，應(yīng)及時(shí)報(bào)請(qǐng)維修，以免影響工作。

第八條 外單位人員因工作需要進(jìn)入機(jī)房時(shí)，必須報(bào)經(jīng)局領(lǐng)導(dǎo)審批后方可進(jìn)入，進(jìn)入機(jī)房后須聽從工作人員的指揮，未經(jīng)許可，不得觸及機(jī)房內(nèi)設(shè)施。

第九條 外來人員參觀機(jī)房，須指定人員陪同。操作人員按陪同人員要求可以在電腦演示、咨詢；對(duì)參觀人員不合理要求，陪同人員應(yīng)婉拒，其他人員不得擅自操作。

第十條 中心機(jī)房處理秘密事務(wù)時(shí)，不得接待參觀人員或靠近觀看。

機(jī)房環(huán)境安全管理制度

第一條 計(jì)算機(jī)設(shè)備和機(jī)房應(yīng)保持其工作環(huán)境整潔，保持機(jī)房所必須的溫度和濕度。

第二條 計(jì)算機(jī)房應(yīng)按照規(guī)定配備足夠數(shù)量的消防器材，并定期檢查更換消防器材。

第三條 機(jī)房及其附近嚴(yán)禁吸煙、焚燒任何物品，嚴(yán)禁攜帶易燃易爆品進(jìn)入機(jī)房。

第四條 機(jī)房用電嚴(yán)禁超負(fù)荷運(yùn)行。需要接入設(shè)備時(shí)，應(yīng)嚴(yán)格按照機(jī)房配電線路，對(duì)號(hào)接入，嚴(yán)禁隨意接入負(fù)載。

第五條 定期對(duì)機(jī)房供電線路及照明器具進(jìn)行檢查，防止因線路老化短路造成火災(zāi)。

第六條 機(jī)房工作人員要熟悉設(shè)備電源和照明用電以及其他電氣設(shè)備總開關(guān)位置，掌握切斷電源的方法和步驟，發(fā)現(xiàn)火情應(yīng)沉著判斷起火原因，及時(shí)報(bào)告，并立即切斷電源及通風(fēng)系統(tǒng)，采取有效措施及時(shí)滅火。

第七條 機(jī)房內(nèi)應(yīng)定期除塵，在除塵時(shí)應(yīng)確保計(jì)算機(jī)設(shè)備的安全。

第八條 機(jī)房內(nèi)嚴(yán)禁存放與工作無關(guān)的任何設(shè)備或物品。

第九條 節(jié)假日期間，應(yīng)留有值班人員，或開啟監(jiān)控設(shè)備。

第十條 保持室內(nèi)清潔，不允許在機(jī)房內(nèi)吸煙，吃東西、喝飲料、扔雜物。

網(wǎng)絡(luò)安全管理制度

第一條 嚴(yán)格遵守法律、行政法規(guī)和國家其他有關(guān)規(guī)定，確保計(jì)算機(jī)信息系統(tǒng)的安全。

第二條 連入局域網(wǎng)的用戶嚴(yán)禁訪問外部網(wǎng)絡(luò)，若因工作需要，上網(wǎng)查詢信息，允許訪問與工作相關(guān)的網(wǎng)站，但須報(bào)告計(jì)算機(jī)管理部門，并在專業(yè)人員的指導(dǎo)下完成。非本局工作人員不允許上網(wǎng)查詢信息。嚴(yán)禁訪問宣揚(yáng)封建迷信、淫穢、色情、賭博、暴力、兇殺、恐怖、教唆犯罪等違法網(wǎng)站。禁止在網(wǎng)絡(luò)上聊天及玩游戲。

第三條 加強(qiáng)信息發(fā)布審核管理工作。發(fā)布網(wǎng)絡(luò)信息不得有危害國家安全、泄露國家秘密，侵犯國家、社會(huì)、集體的利益和公民的合法權(quán)益的內(nèi)容出現(xiàn)。

第四條 禁止非工作人員操縱系統(tǒng)，禁止不合法的登錄情況出現(xiàn)。遇到安全問題應(yīng)及時(shí)向計(jì)算機(jī)管理部門報(bào)告，并采取措施及時(shí)解決。

第五條 局域網(wǎng)要采取安全管理措施，保障計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備和配套設(shè)施的安全，保障信息的安全，保障運(yùn)行環(huán)境的安全。

第六條 不得利用局域網(wǎng)絡(luò)從事危害本局利益、集體利益和發(fā)表不適當(dāng)?shù)难哉?，不得危害?jì)算機(jī)網(wǎng)絡(luò)及信息系統(tǒng)的安全。在局域網(wǎng)上不允許進(jìn)行干擾任何網(wǎng)絡(luò)用戶、破壞網(wǎng)絡(luò)服務(wù)和破壞網(wǎng)絡(luò)設(shè)備的活動(dòng)。

第七條 局域網(wǎng)應(yīng)統(tǒng)一規(guī)劃、建設(shè)，系統(tǒng)管理人員負(fù)責(zé)網(wǎng)絡(luò)的運(yùn)行、維護(hù)。未經(jīng)許可，不得私自將計(jì)算機(jī)接入局域網(wǎng)。計(jì)算機(jī)入網(wǎng)前必須到計(jì)算機(jī)管理部門辦理登記手續(xù)方可接入。

第八條 不得向其它非本部門工作人員透露內(nèi)部網(wǎng)登錄用戶名和密碼，做好各個(gè)應(yīng)用系統(tǒng)的用戶名和密碼的保密工作。

第九條 使用拔號(hào)上網(wǎng)，在拔號(hào)上網(wǎng)時(shí)，必須中斷與局域網(wǎng)和廣域網(wǎng)的聯(lián)接，以防止內(nèi)部數(shù)據(jù)的外泄和遭受惡意攻擊。

第十條 嚴(yán)禁各單位和個(gè)人訪問互連網(wǎng)。

數(shù)據(jù)、資料和信息的安全管理制度

第一條 機(jī)房及使用計(jì)算機(jī)的單位都要設(shè)立專人負(fù)責(zé)文字及磁介質(zhì)資料的安全管理工作。

第二條 各單位要建立資料管理登記簿，詳細(xì)記錄資料的分類、名稱、用途、借閱情況等，便于查找和使用。

第三條 各項(xiàng)技術(shù)資料應(yīng)集中統(tǒng)一保管，嚴(yán)格借閱制度。

第四條 應(yīng)用系統(tǒng)和操作系統(tǒng)需用磁帶、光盤備份。對(duì)重要的動(dòng)態(tài)數(shù)據(jù)應(yīng)定時(shí)清理、備份，并報(bào)送有關(guān)部門存放。

第五條 存放稅收業(yè)務(wù)應(yīng)用系統(tǒng)及重要信息的磁帶光盤嚴(yán)禁外借，確因工作需要，須報(bào)請(qǐng)有關(guān)領(lǐng)導(dǎo)批準(zhǔn)。

第六條 對(duì)需要長期保存的數(shù)據(jù)磁帶、磁盤，應(yīng)在一年內(nèi)進(jìn)行轉(zhuǎn)儲(chǔ)，以防止數(shù)據(jù)失效造成損失。

第七條 對(duì)有關(guān)電腦文件、數(shù)據(jù)進(jìn)行加密處理。為保密需要，應(yīng)定期或不定期地更換不同保密方法或密碼口令。若須查閱保密信息，須經(jīng)有關(guān)領(lǐng)導(dǎo)批準(zhǔn)，才能查詢、打印有關(guān)保密資料。對(duì)保密信息應(yīng)嚴(yán)加看管，不得遺失、私自傳播。

第八條 及時(shí)關(guān)注電腦界病毒防治情況和提示，根據(jù)要求調(diào)整計(jì)算機(jī)參數(shù)或安裝防毒軟件，避免電腦病毒侵襲。

第九條 對(duì)于聯(lián)入局域網(wǎng)的計(jì)算機(jī)，任何人在未經(jīng)批準(zhǔn)的情況下，不得向局域網(wǎng)內(nèi)拷入軟件或文檔。

第十條 任何微機(jī)需安裝軟件時(shí)，由各單位提出申請(qǐng)，經(jīng)同意后，由計(jì)算機(jī)管理人員負(fù)責(zé)安裝。

計(jì)算機(jī)操作員管理制度

第一條 操作員必須遵守各項(xiàng)規(guī)章制度和操作規(guī)程，熟練掌握操作技術(shù)，認(rèn)真、負(fù)責(zé)做好本職工作。

第二條 操作員開機(jī)前必須認(rèn)真檢查設(shè)備，確認(rèn)正常后方可開機(jī)；工作結(jié)束后按操作規(guī)程關(guān)機(jī)。臨時(shí)離崗必須退出應(yīng)用系統(tǒng)。

第三條 操作員在操作過程中遇到意外情況應(yīng)及時(shí)報(bào)告，并如實(shí)作好現(xiàn)場記錄以利維護(hù)，不可強(qiáng)行操作，以免引發(fā)事故造成損失。

第四條 操作員必須在規(guī)定職責(zé)范圍內(nèi)辦理各項(xiàng)業(yè)務(wù)，不得越權(quán)操作。操作員注冊(cè)密碼只限本人使用，相互保密，定期更新。發(fā)現(xiàn)泄密，要立即修改和報(bào)告。

第五條 操作員應(yīng)愛護(hù)計(jì)算機(jī)設(shè)備，并負(fù)責(zé)所使用設(shè)備的日常維護(hù)及保養(yǎng)。未經(jīng)許可不得擅自拆卸、安裝和外借。第六條 操作員要嚴(yán)格遵守保密制度，違反規(guī)定造成不良后果者要追究當(dāng)事人和有關(guān)人員責(zé)任。操作員要對(duì)保密信息嚴(yán)加看管，不得遺失、私自傳播。

第七條 操作員未經(jīng)許可，不得更換電腦硬件和軟件，拒絕使用來歷不明的軟件和光盤。

第八條 操作員嚴(yán)禁將電腦用于他人學(xué)習(xí)或玩游戲。

第九條 操作員應(yīng)愛護(hù)各種設(shè)備，降低消耗、費(fèi)用。對(duì)各種設(shè)備應(yīng)按規(guī)范要求操作、保養(yǎng)。發(fā)現(xiàn)故障，應(yīng)及時(shí)報(bào)請(qǐng)維修，以免影響工作。

第十條 電腦出現(xiàn)病毒，操作人員應(yīng)立即處理，并及時(shí)報(bào)告計(jì)算機(jī)管理部門進(jìn)一步清理和備案，以防進(jìn)一步擴(kuò)散。計(jì)算機(jī)及網(wǎng)絡(luò)設(shè)備管理制度

第一條 設(shè)備的選型與購置堅(jiān)持實(shí)用可靠、性能穩(wěn)定、價(jià)格合理、服務(wù)優(yōu)良的原則。

第二條 計(jì)算機(jī)網(wǎng)絡(luò)中心主機(jī)及相關(guān)網(wǎng)絡(luò)設(shè)備，應(yīng)在指定選型范圍內(nèi)統(tǒng)一購置。

第三條 設(shè)備購置必須與供應(yīng)廠商簽訂合同，列明品牌、型號(hào)、維修等服務(wù)事項(xiàng)。

第四條 設(shè)備的購置實(shí)行統(tǒng)籌規(guī)劃，購置之前應(yīng)報(bào)經(jīng)市局信息中心審核備案后，方可購置。

第五條 設(shè)備管理應(yīng)做到制度落實(shí)、職責(zé)明確。各部門對(duì)所有計(jì)算機(jī)設(shè)備都應(yīng)建立實(shí)物登記簿，落實(shí)專人管理。

第六條 加強(qiáng)設(shè)備的正確使用、維護(hù)保養(yǎng)及維修管理。啟動(dòng)設(shè)備前，必須認(rèn)真檢查各種設(shè)備的狀態(tài)，確認(rèn)正常方可開機(jī)。關(guān)閉系統(tǒng)時(shí)，按規(guī)定程序操作。嚴(yán)禁在通電情況下拆卸、移動(dòng)、擦拭設(shè)備，嚴(yán)禁帶電插撥電纜線。應(yīng)定期對(duì)設(shè)備內(nèi)部進(jìn)行清掃。長期不使用設(shè)備應(yīng)定期開機(jī)檢測(cè)。

第七條 非常情況下對(duì)設(shè)備應(yīng)有緊急處理措施。計(jì)算機(jī)設(shè)備及網(wǎng)絡(luò)設(shè)備發(fā)生故障時(shí)，操作人員應(yīng)立即報(bào)告，由系統(tǒng)管理員及時(shí)診斷處理。

第八條 加強(qiáng)設(shè)備管理情況檢查。各部門應(yīng)落實(shí)專人負(fù)責(zé)設(shè)備檢查維護(hù)，并對(duì)計(jì)算機(jī)及網(wǎng)絡(luò)設(shè)備的運(yùn)行情況作記錄。

第九條 計(jì)算機(jī)管理部門應(yīng)對(duì)本部門的計(jì)算機(jī)及網(wǎng)絡(luò)設(shè)備進(jìn)行定期檢查，檢查每年不少于二次。

第十條 市局信息中心對(duì)全局的計(jì)算機(jī)及網(wǎng)絡(luò)設(shè)備管理情況組織不定期檢查，并對(duì)檢查情況進(jìn)行通報(bào)。