公司网络安全管理办法篇1
1、依据现代企业管理模式,完成公司内部机构设置和人员定岗工作。
按照现代企业管理模式,在上级公司的统一领导下,*支公司于20*年12月成立了人事制度改革领导组和考察组,本着“公开、平等、竞争、择优”的原则,坚持因事设岗,因岗设人,建立起有利于人才脱颖而出的用人机制,拟定了人事制度改革实施方案,于*年2月完成了部室主任、广播电视服务工作站站长职位的竞聘。目前,公司设综合部和财务部两个主要机构,综合部内含办公室、档案室、建设发展部等5个部室,财务部内含财务业务室、用户台帐管理部等4个部室。
公司下设8个广播电视服务工作站,*年度各站的岗位编制(含在编正式编制和临时编制)的核定以20*年12月31日的用户总数为依据,其中金牛站以650户用户核定1个岗位编制;平川站以400户用户核定1个岗位编制;其它站以450户用户核定1个岗位编制;岗位编制数实行“四舍五入”法;岗位编制管理实行站长负责制,站长根据编制定岗定员定责定酬,依法聘用在编正式职工和临时工。
公司现有职工149人,其中:正式职工45人(含已退休的7人),临时工104人。职员均实行挂牌上岗制度。
2、建立健全了职工个人(含聘用人员)电子、文字信息档案,由档案室负责管理。
3、完善内部管理规章制度,确立有激励机制的考核和分配体系。在完成人事制度改革的基础上,结合工作实际,拟定了各部室岗位工作职责,并制作成《*广电网络*支公司员工工作手册》,发到每位职员手中,以达到明确职责、相互监督的目的。拟定了《薪酬管理及分配办法》、《“8率”经济指标量化考核办法》和《管理层年度经营管理费核定办法》等考核和分配制度,进一步强化内控管理体系。
4、按照省、州公司的统一要求,于*年1月完成了*广电网络*支公司网络护卫分队的组建工作,现有正式队员5人,各站均设一名网络护卫人员。在县广电局的指导和支持下,*年上半年完成网络执法案件查处36起,办理卫星单收站许可证35份。
5、围绕公司的经营管理工作,充分发挥党组织的政治核心和战斗保垒作用,组建了*广电网络*支公司党支部。支部有中共党员13名,其中支部书记1人,支委2人,目前支部隶属于广电局党总支管理。
6、为加大公司的对外宣传力度,展现公司在经营管理工作中的亮点,更好地与同行学习交流、借鉴经验。我公司经省公司数据信息部审核批准,在*广电信息网上开展网络宣传。目前,我公司在网上的内容主要有:*广电网络*支公司简介、公司*年“8率”经济指标量化考核办法和网络护卫分队*年1£5月开展工作情况,以及公司挂牌主会场图片、公司员工集体合影图片等。
二、积极稳妥地圆满完成“事转企”工作。
按照《*广播电视信息传输网络股份有限公司“事转企”人员安置办法》(云文产办发[20*]8号)、*州政府办公室转发州文产办等5部门《关于贯彻<*广播电视信息传输网络股份有限公司“事转企”人员安置办法>的实施意见》(大政办发[*]24号)、*县人民政府《关于*县有线电视网络“事转企”工作实施方案的批复》(宾政复[*]2号)等文件精神,以及省州“事转企”工作会议精神,在县广电局和有关部门的支持配合下,从*年4月下旬至5月下旬,集中时间,集中力量,顺利完成了*县有线电视网络“事转企”工作。按照“安置办法”和“实施意见”等规定,完成了转制人员(45人)界定、公示、人事档案清理移交等工作;按政策规定办理了6名转制人员的退休手续;办理了转制人员的相关保险手续;明确了转制后5年过渡期的财政补助问题。本着用足、用活、用够“事转企”人员安置政策,深化了用工制度和分配制度,使“事转企”后的新体制新机制焕发出新的生机活力。
在整个“事转企”工作中,县委、政府、县广电局和支公司领导高度重视,充分认识到了全省广电网络“事转企”人员安置工作的重要性、必要性和紧迫性。业务经办人员充分发挥团结协作、勇于攻克难关的工作精神,认认真真,尽职尽责,圆满地完成了“事转企”各项工作,为广电网络的快速发展奠定了坚实的基础。
转制中,*支公司于*年5月18日正式挂牌。
三、进一步加强网络整体规划和网络基础设施建设,夯实基础,增强市场竞争力。
在省州县上级主管部门的领导下,在县委、政府的关心帮助下,我县的广电网络发展按照“把党和国家的声音传入千家万户”,“把中国的声音传向世界”的要求,依据现代企业管理模式,以“网络双向化、管理智能化、信号数字化、业务多样化”为发展目标,统一规划、统一建设、统一管理、统一经营、统一开发。目前,全县光缆干线400余皮长公里、5000多芯公里、光接点243个,传输31套电视节目,已形成了卫星接收、光纤传输覆盖,链接国家、省、州,服务全县6万多用户的有线电视大网络格局。全县广播电视年经营收入已达800余万元。
当前,在整个广播电视网络面临经营管理体制转换的同时,也面临着技术业务的升级换代和增长机遇,而应对变革的有效途径就是建设好网络基础设施。*年,*支公司在总结以往网络建设经验的基础上,按照省、州公司的统一规划,结合自身实际,加快推进网络建设与改造步伐,形成良好的网络资源,为全面启动数字电视的开发利用工作奠定基础。
(一)重视网络的规划工作。
在总结以往网络建设经验的基础上,我公司不断增强网络规划意识,强调规划的重要作用。按照省、州公司“十一五”规划的总体要求,结合《*州国民经济和社会发展“十一五”规划纲要》,在州分公司的指导下,我公司在各广播电视服务工作站上报网络建设项目计划的基础上,认真分析了全县网络发展的薄弱环节和面临的挑战,认清发展基础和存在不足,理清发展思路,拟定了《*广电网络*支公司*年重要项目投资计划》。客观地将长期和短期规划相结合,总体规划与分期分批建设同时进行。
(二)按期完成光缆网的建设与改造工作。
*年光缆工程预计57.2皮长km,总投资972400元,分别是:乔甸站辖区16.5km,投资28*00元;平川站辖区14.6km,投资248200元;州城站辖区14.2km,投资241400元;金牛站辖区10.4km,投资176800元;力角站辖区1.5km,投资25500元。目前,光缆杆路已建成,计划在8月份完成光缆上挂、光纤熔接等工作,整项工程预计在8月份可全面完工。电缆干线的建设也在逐步进行。为更好地维护传输网络,提高传输质量,我公司又投资了129000元,配置了一台光纤熔接机和光时域反射计。同时,按照省、州公司的统一部署,认真安排好省外卫星频道的落地,充分挖掘频道资源,并按要求完成了电视新闻回传系统建设工作。
(三)加强网络技术管理工作,促进科学化、规范化管理。
管理是事业发展的决定性因素,科学化、规范化的管理有利于促进事业健康持续发展。就技术管理工作方面,我们的主要做法有:
1、广泛调研,多方听取意见建议,严把设备材料质量关,制定科学、严格的选型采购制度,签订购销合同,要求各类设备材料的采购必须是在有线电视器材设备入围厂家中进行,从源头上保证进入网络的设备材料质量,为建设优质网络奠定前提基础。
2、加强技术资料电子版和文字的管理工作,建立健全技术资料档案库。随着光缆网络的建设与改造工作的不断深入,技术资料和网络资源的管理工作显得尤为重要。我公司高度重视技术资料的管理,指定专人负责此项工作,制定了一整套技术资料整理和归档流程,并通过多种途径进行备份,保证资料内容的安全、真实、可靠。并严格规范技术资料档案的查阅制度。
3、规范工程建设项目的管理工作。对工程建设项目的管理,坚持走项目申报、项目预算、项目论证、项目审批、项目实施、项目验收、项目决算、资料整理入库、项目移交等程序,坚持痕迹管理,每一个项目的实施都有专人负责,对整个项目从工程组织、工程施工、工程质量、施工安全直至验收负全责,从制度上确保工程建设项目的有序管理和顺利实施。
(四)紧抓有线电视传统业务不放松,有效增加业务收入。
随着有线电视网络技术的发展,数字电视、数据业务、网络资源租赁业务等相关产业已不断成为有线电视网络的新增业务,随之将会超过传统业务形成新的经济支柱。在这场新旧技术革命的交替时期,我公司仍旧继续抓牢有线电视网络传统业务,充分体现传统业务的潜力和经济效益。结合省公司制定的“3个30%”的经营计划目标,我公司拟定了年度经营目标,即:*年度经营收入768万元以上,力争达到850万;新增用户1800户,力争突破2500户。*年上半年,全县有线电视网络经营收入近700万元,收费率已突破70%,新增用户已达1600户。在努力扩大用户规模,增加经营收入的同时,我公司更重视的是节目传输质量。以优良的信号质量赢得广大用户和社会各界的认同,对吸收新增用户入网与收费工作将起到极大的促进作用。在此基础上,我公司已组建了一支由各站片区管理员为主要成员的数字电视营销队伍,通过这支队伍工作的特殊性,将数字电视的启动推广宣传到用户家中,为即将启动的数字电视业务做好前期准备。努力做到紧抓传统业务不放松,拓展新增业务出成效。
(五)加强安全播出工作,确保政治属性不变。
广播电视是一个特殊的行业,是党委政府的喉舌,广电网络公司是一个经济属性和政治属性同时兼备的特殊企业。不论是在局、台、网合一管理体制下,还是企业的管理运营模式,其政治属性是始终不变的。为确保其政治属性不变,我公司在认真转播好中央、省、州、县四级电视节目的同时,努力做到:一是服从县广电局的依法监督,在授权范围内经营管理好广播电视网络,保持国有资产的保值增值;二是切实改进对用户的服务质量和服务水平,提高节目信号传输质量;三是完成党委政府交办的临时性工作任务,协助县广电局认真完成“村村通”建设工作;四是制定前端机房值班制度、安全播出应急处理预案等保障体系,定期检查检测播出设备,并做好详细记录,发现问题及时上报处理。逢国家节庆假日期间,经理和分管副经理亲临前端机房带班值班,定时不定时地抽查各站值班情况,严防“*功”等不法份子攻击和破坏广播电视网络,确保网络传输的安全、优质、畅通。
四、规范管理,加强考核,确保年度经营目标的实现。
我公司总资产共计28401720.55元,其中流动资产3471420.66元;固定资产15284932.69元;无形资产及其它资产9645367.20元;负债16372732.18元;所有者权益12028988.37元。
在年初召开的*广播电视信息传输网络股份有限公司经营管理工作会议上,确立了*年度的经营目标责任,标志着公司化的管理已正式提上日程。按照责、权、利统一的原则,我公司已与州分公司签订了分解目标后的责任书,为促进经营目标任务的实现,我公司不断加大各项工作的管理力度,在规范管理上下功夫。
(一)进一步细化分解责任书,确保管理工作落到实处。为确保年度经营目标任务的实现,我公司在制定出台了用户管理、材料管理、安全传输管理、考核与奖惩管理等相关制度后,将责任书进一步细化分解,结合《*广电网络*支公司*年经营和管理要点》,特别是“8率”经济指标量化考核办法,与下设的8个广播电视服务工作站签订了《*年度经营目标管理责任状》。与公司的人事制度管理、财务管理等制度相配套,形成制度体系,实行全员的制度化管理。
(二)加强用户管理工作,确保经济效益最大化。用户管理是各项工作的重中之重,是广电网络经营管理工作的基础。用户底子不清,不利于开展生产经营,更不利于实施考核和奖惩。在用户管理方面,我县在2003年就实行了用户台帐微机化管理,率先在全州启动了数据传输收费管理系统,实现了资源共享和经济效益最大化。可以自豪地说,在用户管理工作上,我县是走在全州乃至全省前列的。*年,我公司继续将用户管理作为重点工作来抓,建立健全了公司用户总台帐、各站分台帐,“8率”经济量化指标实行全动态管理。随着网络护卫分队的组建运营,将用户管理与督查工作有机结合,真正做到用户底数清、类别正确、费用准确。截止*年6月30日,全县共有用户60251户,分71个片区,覆盖全县583个自然村,有优质用户55970户,优质率93%,报停(免费)用户4281户,有山区卫星单收站1742座。
(三)严格遵守财经纪律,规范现金使用制度。按照企业财务管理要求,结合公司的经营管理和发展特点,规范公司会计、出纳工作流程,强化票据、材料和资金管理。同时,本着“定额包干、责任到站、超支自付、节约奖励”的原则,对*年度的各项费用进行全面、科学、准确地预算,严格执行“收支两条线”,坚决杜绝现金管理混乱,私设“小金库”和“账外账”等腐败现象。
(四)成立公司内部管理工作清理核查组,在全系统范围内开展内部管理工作清理核查。为促进“事转企”工作的平稳过渡,进一步加强公司各项管理工作力度,加强职工的思想教育,有效堵塞漏洞,确保年度经营管理指标任务的圆满完成,我公司成立了内部管理工作清理核查组,将从*年7月10日起,用1个月的时间,对各站执行公司管理规章制度情况进行核查。重点是核查各站的财务管理,特别是票据使用情况,是否存在贪污、挪用公款情况;各站欠费清理情况;各站用户(漏报户、“黑户”等)情况;各站片区管理员的服务质量和服务态度情况。清理核查工作中,工作组将深入到用户中,对各片区管理员的工作情况进行测评,用户满意率将纳入管理员的年度工作考核,并作为是否继续聘用的重要依据。
五、加强员工的思想政治教育和业务培训工作,造就一支思想素质好、业务技能过硬的员工队伍。
广播电视是一个具有高科技含量和先进技术水平的行业,要求从业人员的综合素质也相对较高,针对我县广电网络从业人员文化基础偏低的实际,我公司高度重视员工的各类培训工作,以提高员工的思想文化素质和业务素质。
(一)针对“事转企”改革过程中部分职工有顾虑情绪,思想波动较大这一情况,从各个层面、以各种形式及时展开员工思想教育,使全体员工充分认识到组建公司的战略意义、发展方向和发展前景,帮助员工提高思想认识,集中精力搞好工作。
(二)支持和鼓励员工参加成人学历教育、自学考试和各类等级资格考试,积极参加省、州公司组织的各类学术交流和培训。
(三)在与有线电视设备器材入围厂家开展业务往来的同时,尽可能地争取到技术支持和技术指导,努力争取机会让公司的技术人员向他们学习,不断提高网络技术水平。同时,公司的技术骨干充分发挥自身优势,在对各站的指导工作中,认真做好“传、帮、带”,培养锻炼技术新人
(四)加强安全播出人员的思想政治教育和业务培训,提高应急处理能力,做到安全播出警钟长鸣。
六、存在问题和不足:
(一)虽然我县的网络基础扎实,但目前仍然是传统业务开展得多,在开展新增业务上做得还不够。
(二)网络的升级、改造还需进一步加强。
(三)安全播出面临的问题:一是由于“*功”等,,,组织的破坏活动具有长期性和不可预见性,安全播出工作压力较大;二是安全播出的技术防范措施不到位,防范工作还处于被动局面。
公司网络安全管理办法篇2
摘要:
文章结合发电企业信息安全保障要求及企业网络现状特点,首先阐述了开展发电企业内外网隔离工作的必要性,然后详细介绍了内外网隔离的技术路线、技术架构及方案设计要点,并对方案的技术创新点进行了分析和阐述,可为发电企业后续开展内外网隔离建设提供典型案例借鉴。
关键词:
发电企业;内外网隔离;网络安全
0引言
根据发电企业信息安全保障相关规定要求,在企业运营过程中,要加强办公网络与互联网访问控制,提高员工使用计算机应用系统的信息安全标准,防范由于互联网攻击导致的数据泄露、系统崩溃等安全隐患。本文首先对神华国华电力公司(以下简称“公司”)现有网络情况及网络隔离技术的现状进行了描述,然后介绍了双网隔离技术的应用,通过双网隔离技术对现有网络进行了一系列改造措施:部署无线网络,方便笔记本、手机及平板电脑等移动终端接入;部署终端安全管理设备、内网防火墙等,建立了安全可靠的内网办公环境,实现公司内部办公网络与外部互联网的隔离,从而避免了由于互联网攻击导致的企业内部信息外泄,提升发电企业整体信息安全水平。
1研究背景
随着通信技术、信息技术、网络技术的不断发展,越来越多的用户通过手机、pC等终端连接到网络,网络中用户数据和信息的安全引起了学术界和产业界的广泛重视。为了确保网络中用户的信息安全,一系列的技术被提出,例如隐私保护技术[1-3]、网络隔离技术[4-6]等。网络隔离技术是指2个或2个以上的计算机或网络在断开连接的基础上,实现信息交换和资源共享。通过网络隔离技术既可以使2个网络实现物理隔离,同时又能在安全的网络环境下进行数据交换。网络隔离技术的主要目标是将有害的网络安全威胁隔离开,以保障数据信息在可信网络内在进行安全交互[7]。本文主要针对内外网隔离技术在企业中的应用进行了介绍。典型发电企业网络是集团型网络构架,由局域网、广域网、互联网3个部分组成,员工使用笔记本电脑可通过局域网访问企业内部应用,通过广域网访问下属单位应用,同时可以通过互联网访问互联网资源。
1)目前公司局域网由2台核心交换机、若干台汇聚及接入交换机组成,部分信息点已进行端口认证。由于原信息点少且部分信息点老旧损坏,导致很多用户只能通过集线器或小型交换机接入,影响内网的统一安全管理。
2)公司广域网由2台核心路由器分别连接下属单位路由设备,分别组成视频网和数据网,用于承载日常办公数据和视频会议数据传输业务,部分单位在数据网专线设置防火墙等安全设备进行安全防护。
3)公司互联网出口采用中国电信光纤专线方式,经外网交换机连接防火墙,通过串接的上网行为管理设备后接入汇聚交换机进而接入核心交换机,为公司用户提供互联网访问服务的同时,为邮件、外网网站等互联网应用提供映射服务,暂未设置隔离区,存在一定安全风险。由于公司员工电脑能同时访问内部办公网、其他单位网站(简称内网)和外部互联网(简称外网),本身可能成为病毒或木马的跳板,进而影响内网安全。同时由于部分员工不注意信息安全防护,私装未授权软件、私自设立无线设备等情况时有发生,导致公司内部信息系统极易受到病毒和黑客的攻击,核心数据资源存在泄露的风险,因此亟需开展内外网隔离研究工作,避免企业核心数据资产泄露的风险。
2系统总体设计
2.1建设目标
1)部署无线网络设备以访问互联网,提供笔记本、手机及平板电脑等移动接入。
2)部署终端安全管理设备、内网防火墙建立安全可靠的办公内网环境,实现公司内部办公网与外部互联网的隔离,防范来自互联网的攻击,避免企业内部信息外泄,提升公司整体信息安全水平。
2.2设计原则
1)先进性:整个系统保持一定的先进性,采用的设备和技术应能适应未来的技术发展。
2)实用性:系统性价比高,易维护、易使用、运行费用低。
3)扩展性:系统采用结构化设计,能够适应不断增加的扩展需求,当系统扩容时,只需简单增加硬件设备即可。
4)兼容性:整个系统能运行于不同的操作平台和语言环境,并能与不同厂商的产品兼容。
5)灵活性:系统构建方式简单,功能配置灵活,充分利用现有设备资源,能满足不同业务部门的需要。
6)可靠性:系统安全可靠性高,有足够的抗干扰能力。
7)安全性:在系统设计中,既考虑信息资源的充分共享,更要注意信息的保护和隔离,因此系统应分别针对不同的应用和不同的网络通信环境采取不同的措施,包括系统安全机制、数据存取的权限控制等,如划分VLan、maC地址绑定、802.1x、802.1d、802.1w、802.1s、aCL、poRt+ip+maC绑定等。
8)高性价比:系统所选用的设备性能卓越,并尽可能降低工程造价。
3系统方案设计
根据信息安全保障相关要求,加强办公网络与互联网访问控制,提高员工使用计算机应用系统的信息安全标准,保障数据流转的安全可靠,防范互联网攻击导致的数据泄露、系统崩溃等风险隐患,通过对公司网络及应用系统分析研究,结合国华网络布线现状,采用双网隔离技术对网络进行统一改造:新部署无线网用于互联网访问,提供笔记本、平板电脑等移动接入;新购终端安全管理设备、内网防火墙加强有线网络防护,建立安全可靠的办公内网环境,通过台式一体机电脑安全接入内网,提升公司内网的安全性,保障公司核心业务系统和数据的安全。通过部署三层交换机、poe交换机、无线aC、无线ap及无线控制系统,在公司3座办公楼宇开通无线互联网访问服务,支持便捷的访客网络授权及监管。公司原有网络架构如图1所示。用户接入无线网络需要通过安全的认证方式以保障使用者的合法性,无线网络采用基于用户名和密码+主机的认证方式进行用户认证[8],使用接入认证系统对网络中接入的终端设备进行识别及统一管理,可对员工、访客、设备管理员进行基于角色、设备类型、接入时间、接入地点的网络访问控制,无线网通过无线控制器实现对接入用户的控制,公司用户通过maC地址审核后方可接入无线网络[9],实现互联网访问。同时为外来人员提供Guest账号,外来人员需先提交maC地址入网申请,经过管理员审批后可接入无线网络。升级改造现有有线办公网络,在用户接入网络与服务器网络之间增加防火墙,设置访问策略,进行用户访问控制,保障eRp等内网应用安全。在公司的网络边界处设置防火墙及访问策略,加强内网边界安全防护,避免其他未隔离单位对国华内网安全的影响。利用防火墙将公司的网络隔离为5个逻辑区域,分别为广域网、数据网、视频网、内网服务器区、内网用户区,区域间根据公司的业务特点和重要信息资产的分布,对进出公司内网的访问进行控制,实现以下安全目标:
1)控制从内网用户区到内网服务器区、数据网、视频网和广域网的访问,限制各区域内用户访问公司数据的权限;
2)控制逻辑区域之间的访问,限制访问类型,确保只有授权许可的访问才能进行,未经允许的访问全部被禁止;
3)重点保护内网服务器区,特别是针对重要信息的访问,必须经过防火墙的访问授权后方可实现,杜绝非授权的访问;
4)利用防火墙有效记录区域间的访问日志,为出现安全问题时提供备查资料。在互联网出口设置支持应用防护的防火墙,并为需要进行互联网数据交换的系统(如邮件、补丁服务器)设立安全DmZ区,有效抵御来自互联网的攻击。利用防火墙为公司的DmZ服务器区提供安全保护,在DmZ服务器区与其他区域之间配置相应策略,并对进出公司DmZ区域的访问进行控制[10],同时配合现有上网行为管理设备加强对互联网访问的有效管控,避免过度的带宽占用,并按相关要求保存访问记录。内外网隔离网络拓扑如图2所示。部署终端安全管控及网络准入服务器,加强内网接入及终端安全管理,对内部终端计算机进行集中的安全保护、监控、审计和管理,自动向终端计算机分发系统补丁,控制计算机终端的并口、串口、移动存储设备、modem拨号、蓝牙、USB等外设的使用情况,能够自动收集终端曾经使用过的USB设备的历史记录,并能够单独禁用无法确定用途的USB设备,保障USB接口的正常使用,同时还能够对未知设备进行自动检测和采样,实现对未知和新增设备的有效控制和管理,灵活、有效地保护企业机密,确保企业员工与外界的数据交换可控,防止通过终端外设进行非法外联,防范非法设备接入内网,有效管理终端资产,降低病毒传播的风险[11]。升级原有交换机ioS版本到最新版本,开启Radus认证并将认证服务器指向新部署的准入服务器,在用户终端(服务器)安装准入程序对用户进行实名管理(将用户名、工号、计算机maC地址进行绑定)[12],统一部署用户外设管理策略及网络访问策略。建立安全便捷的访客网络管理机制,制定用户接入内网或外网的管理制度及审批流程,实现对内网或外网访客行为的有效管控。
4技术创新点
4.1以无线+有线方式实现企业内外网隔离
公司原有信息布线系统信息点少且分布不均,如果采取传统双网隔离手段必须对办公楼墙面和地面重新开槽挖沟布线,成本高昂,而本次隔离工作通过建设公司无线应用网络及认证系统,实现了用户移动设备互联网访问的安全接入,同时通过对原有有线网络进行改造,实施网络准入认证和边界控制,实现了内网用户的安全接入,进而实现企业内外网访问的安全有效隔离,而且结构简单,管理便捷。
4.2实现员工、访客个人移动设备互联网访问安全接入
新建成的无线网络除了通过用户名密码+maC认证方式实现员工通过笔记本电脑访问互联网的同时,还可以通过portal认证、访客管理等方式实现办公区域内用户及访客个人手机、平板电脑的安全接入,有效满足后pC时代用户的网络接入需求。同时通过VLan隔离及访问带宽限制,配合上网行为管理设备,采取疏解和封堵相结合的方式,方便用户访问互联网的同时避免了用户私接无线ap导致的安全隐患。
4.3多技术结合实现内网接入安全认证
1)通过部署终端安全管控及网络准入服务器,对内部终端计算机进行集中的安全保护、监控、审计和管理,自动向终端计算机分发系统补丁,控制计算机终端的并口、串口、移动存储设备、modem拨号、蓝牙、USB等外设的使用情况,实现对未知和新增设备的有效控制和管理。
2)升级原有交换机ioS版本到最新版本,开启Radus认证并将认证服务器指向新部署的准入服务器,在用户终端(服务器)安装准入程序,对用户进行实名管理(将用户名、工号、计算机maC地址进行绑定),统一部署用户外设管理策略及网络访问策略。
3)实现对用户内网计算机软件的标准化安装,统一部署安全认证程序,实现客户端软件标准化。通过多种安全手段的综合应用,确保企业员工与外界的数据交换可控,防范非授权设备接入内网,防止通过内部终端非法外联行为,确保内网的数据安全。
5结语
本文围绕保障信息安全、加强办公网络与互联网访问控制的目标,结合后pC时代移动设备无线接入需求,创新性地采取无线+有线方式实现内外网隔离,避免采取传统双网隔离手段对办公楼墙面、地面重新开槽挖沟布线的改造,可节省大量实施成本并缩短实施工期,避免对现有办公环境的破坏及正常办公秩序的影响,实现网络结构的简化和管理方式的优化。同时无线网络还实现了用户及访客个人手机、平板电脑的安全接入,有效满足后pC时代用户网络接入需求,通过疏解和封堵相结合的手段避免用户私接无线ap导致的安全隐患。通过升级交换机ioS版本、开启端口Radus认证,部署终端安全管控及网络准入服务器,加强网络边界安全管控、标准化用户终端软件等多技术相结合的方式,实现对内网接入及访问安全的有效管控,确保内网数据安全。通过本文方案可实现公司内部办公网与外部互联网的安全隔离,实现对互联网攻击行为的有效防范和内网数据的有效保护,提升企业信息安全的整体水平。
参考文献:
[1]兰丽辉,鞠时光.基于差分隐私的权重社会网络隐私保护[J].通信学报,2015,36(9):145-159.
[2]兰丽辉,鞠时光.基于向量相似的权重社会网络隐私保护[J].电子学报,2015(8):1568-1574.
[3]孙福林.面向权重隐私的社会网络隐私保护技术研究[D].南京:东南大学,2014.
[4]万平国.网络隔离与网闸[m].北京:机械工业出版社,2004.
[5]邓智群,刘福,慕德俊,等.网络隔离体系结构研究[J].计算机应用研究,2005,22(5):219-221.
[6]李正茂.网络隔离理论与关键技术研究[D].上海:同济大学,2006.
[7]周铀,黎强,刘宇.基于网络的远动状态监测系统研究与应用[J].电网与清洁能源,2014,30(11):65-67.
[8]贾铁军.网络安全技术与应用[m].北京:机械工业出版社,2014.
[9]姚琳.无线网络安全技术[m].北京:清华大学出版社,2013.
[10]特南鲍姆.计算机网络[m].北京:清华大学出版社,2012.
[11]冯登国,赵险峰.信息安全技术概论[m].北京:电子工业出版社,2014.
公司网络安全管理办法篇3
各省、自治区、直辖市通信管理局,中国电信集团有限公司、中国移动通信集团有限公司、中国联合网络通信集团有限公司、中国广播电视网络有限公司,互联网域名注册管理和服务机构,互联网企业,有关单位:
为深入贯彻在全国网络安全和信息化工作会议上的重要讲话精神,落实关键信息基础设施防护责任,提高电信和互联网行业网络安全防护水平,根据《中华人民共和国网络安全法》、《通信网络安全防护管理办法》(工业和信息化部令第11号)、《电信和互联网用户个人信息保护规定》(工业和信息化部令第24号),决定组织开展2018年电信和互联网行业网络安全检查工作。现将有关要求通知如下:
一、总体要求
紧紧围绕加快推进网络强国建设战略目标,深入学习领会关于网络安全的系列重要讲话精神,加快落实《中华人民共和国网络安全法》,坚持以查促建、以查促管、以查促防、以查促改,以防攻击、防病毒、防入侵、防篡改、防泄密为重点,加强网络安全检查,认清风险现状,排查漏洞隐患,通报检查结果,督促整改问题,强化电信和互联网行业网络安全风险防范和责任落实,全面提升行业网络安全保障水平,保障公共互联网安全、稳定运行。
二、检查重点
(一)重点检查对象。检查对象为依法获得电信主管部门许可的基础电信企业、互联网企业、域名注册管理和服务机构(以下统称网络运行单位)建设与运营的网络和系统。重点是电信和互联网行业网络基础设施、用户信息和网络数据收集、集中存储与处理的系统、企业门户网站和计费系统、域名系统、电子邮件系统、移动应用商店、移动应用程序及后台系统、公共云服务平台、公众无线局域网、公众视频监控摄像头等重点物联网平台、网约车信息服务平台、车联网信息服务平台等。
(二)重点检查内容。重点检查网络运行单位落实《中华人民共和国网络安全法》《通信网络安全防护管理办法》《电信和互联网用户个人信息保护规定》等法律法规情况,电信和互联网安全防护体系系列标准符合情况,可能存在的弱口令、中高危漏洞和其他网络安全风险隐患等(法律法规和标准依据详见附件)。
三、工作安排
(一)定级备案。各网络运行单位要按照《通信网络安全防护管理办法》的规定,在工业和信息化部“通信网络安全防护管理系统”(mii-aqfh.cn)对本单位所有正式上线运行的网络和系统进行定级备案或变更备案。
(二)自查整改。各网络运行单位要对照法律法规和本次检查重点,对本单位网络安全工作进行自查自纠,对自查发现的安全问题逐一做好记录,能立即整改的,要边查边改,无法立即整改的,要采取防范措施,制定整改计划,确保整改落实。2018年9月31日前,基础电信企业集团公司、域名注册管理和服务机构应将本单位自查工作总结报告报部(网络安全管理局),基础电信企业省级公司和互联网公司形成自查工作总结报告报当地通信管理局。
(三)开展抽查。电信主管部门选取部分网络和系统,委托专业技术机构采取现场询问、查阅资料、现场检测、远程渗透、代码检测等方式进行检查。对省级基础电信企业和专业公司网络和系统的检查分别按照《2018年省级基础电信企业网络与信息安全工作考核要点与评分标准》《2018年基础电信企业专业公司网络与信息安全工作考核要点与评分标准》进行量化评分,评分结果分别作为2018年省级基础电信企业和专业公司网络与信息安全责任考核依据。各地通信管理局除抽查省级基础电信企业外,至少抽查当地十家以上增值电信企业,将检查工作总结报告于10月31日前报部(网络安全管理局)。
四、工作要求
(一)加强领导,落实责任。各地电信主管部门、网络运行单位应严格落实工作责任制,精心组织制定工作方案,落实机构、队伍和工作经费,确保检查工作不走过场,确保检查发现的问题得到及时有效整改。发现问题的单位要举一反三,健全网络安全问题闭环管理机制,加强定期巡查、整改核验、考核问责,以检查为契机,不断完善电信和互联网行业网络安全保障体系。
(二)规范检查,严明纪律。各单位要规范检查方法和程序,避免检查工作影响网络和系统的正常运行,检查工作中发现重大问题应及时报我部。采用随机抽取检查对象、随机选派检查队伍的“双随机”方式安排实施检查。任何部门不得向被检查单位收取费用,不得要求被检查单位购买、使用指定的产品和服务。委托专业技术机构进行安全检查,要进行严格审查,签订保密承诺书,并明确专业技术机构及人员的安全责任。要严格遵守有关保密规定,检查结果除按规定报送外,不得提供给其他单位和个人。
(三)加强防范,及时整改。专业检测机构对检查发现的薄弱环节、安全漏洞和安全风险,要现场告知网络运行单位,并指导其防范整改。抽查发现的重大网络安全风险和隐患,电信主管部门可通过《网络安全问题整改通知书》等形式书面向网络运行单位通报,督促其限期整改。网络运行单位要对检查发现的薄弱环节和安全风险进行深入整改,对相关责任部门和责任人进行问责处理,并及时向电信主管部门报告问题整改和问责情况。
(四)强化协同,协调配合。各地通信管理局要强化与网信、公安等部门的协调沟通,按照网络安全工作责任制和中央网信办《关于加强和规范网络安全检查工作的通知》(中网办发文〔2015〕7号)要求,坚持跨部门、跨行业的网络安全检查应由当地网信部门统筹协调,其他部门对电信和互联网行业的网络安全检查应当会同电信主管部门进行,加强协同沟通,提倡开展联合检查,避免交叉重复,基础电信企业向非电信主管部门提供网络安全相关资料和数据的,应征得当地通信管理局同意,或由通信管理局统一协调提供。
特此通知。
公司网络安全管理办法篇4
关键词:互联网安全;法律体系;法律;法规
今天的互联网已经成为人类社会重要的信息传播媒体和交易活动的平台。与此同时,随着政治、经济、文化活动向网络空间的不断拓展,互联网的安全问题日益严峻起来。这些问题主要出现在互联网侵权与网络犯罪之中,具体来说有:恶性病毒的危害、黑客攻击的日益猖獗、垃圾邮件的不断侵扰以及不良信息内容的肆意传播。因此,重视互联网安全问题,全面、系统地构建我国互联网安全法律体系,势在必行。
近年来,我国颁布了一大批与保护网络安全有关的法律法规和司法解释。这其中属于法律的有:《关于维护互联网安全的决定》、《中华人民共和国电子签名法》;属于行政法规的主要有:《中华人民共和国计算机信息网络国际联网管理暂行规定》、《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》、《中华人民共和国电信条例》、《互联网信息服务管理办法》等;属于部门规章的主要包括:《互联网站从事登载新闻业务管理暂行规定》、《互联网电子公告服务管理规定》、《互联网上网服务营业场所管理办法》、《电信网间互联管理暂行规定》、《教育网站和网校暂行管理办法》、《互联网医疗卫生信息服务管理办法》、《互联网药品信息服务管理暂行规定》、《药品电子商务试点监督管理办法》、《网上证券委托暂行管理办法》、《证券公司网上委托业务核准程序》、《关于新股发行公司通过互联网进行公司推介的通知》、《网上银行业务管理暂行办法》、《关于加强通过信息网络向公众传播广播电影电视类节目管理的通告》、《中国公用计算机互联网国际联网管理办法》、《中国公众多媒体通信管理办法》、《计算机信息网络国际联网出入口信道管理办法》等;属于最高法院司法解释的有:《最高人民法院关于审理涉及计算机网络著作权纠纷案件适用法律若干问题的解释》、《最高人民法院关于审理扰乱电信市场管理秩序案件具体应用法律若干问题的解释》等。
据此可见,我国保护互联网安全的法律体系已初步形成,相关立法已涉及到:网络监管、信息安全、电子商务、市场准入、域名注册、网络著作权等各个方面。但这些法律法规仍不足以高效地保护互联网的安全,其本身也存在一些问题,主要表现在:
第一,立法主体多、层次低,缺乏权威性、系统性和协调性。从前文所列的互联网安全的相关立法可以看出,除了《关于维护互联网安全的决定》和《中华人民共和国电子签名法》属于法律之外,其余全部是法规和规章,立法主体多、层次低是显而易见的,并且还存在数量相当庞大的各类通知、通告、制度和政策之类规范性文件。政府管理性法规数量远远大于人大立法,就是在政府立法中行政法规的数量也只占很小的比例,更多的是由各类行政权力主体制定的五花八门的规范性文件,此种现象导致不同位阶的立法冲突,网络立法缺乏系统性和协调性便实属必然。
公司网络安全管理办法篇5
近年来,省厅、市局将其作为司法行政工作的重点之一,为信息化建设提供技术保障与资金支持,全系统信息化建设快速发展,江宁区司法局瞄准信息化建设发展趋势,按照司法行政职能要求,探索信息化建设特色之路,司法行政工作理念和服务形式有了较大改变,同时,也发现存在一些问题和不足,必须在今后的工作实践中加以改进提高。
一、司法行政信息化的影响和作用
(一)促进行政运作改革
为了适应时展的需要,司法行政部门的行政运作也需要不断地调整和改革,特别是面对矛盾纠纷日益增多、人民群众法律意识普遍提高的现状,这种调整和改革不仅必要而且是十分迫切。在司法行政部门广泛开展信息技术应用,无论是对司法干警,还是对执法、调解工作,都会产生很大的影响。
1.有利于提高司法行政干警综合素质。司法行政干警要适应信息时代的要求,就必须树立效率、创新、服务、竞争、民主、法治等现代化观念,不断学习,接受培训。通过信息技术的运用,突破时空限制,司法行政干警可以第一时间获悉以前时空限制下无法及时掌握的情况,提高分析、判断和解决问题的能力,节约时间和精力,提高综合素质。
2.有利于改进司法行政管理方法。信息技术的支持可以大大提高司法行政管理效能,今年,我区着力打造人民满意的实战化司法行政机机关,率先在全省建立“12348”协调指挥中心,以“12348”司法行政服务热线为枢纽,以平台网络成员单位为依托,打造集法律咨询、司法行政业务咨询、群众诉求服务分流指派、投诉接处、数据分析等功能于一体的综合平台,有效提高司法行政工作效率和服务水平。
(二)提高司法行政运作效率
1.加快信息传递,降低运作成本。司法行政机关应用信息技术,加快资讯传递速度,上传下达更加迅速,科室部门间可以通过信息网络文件、公告、通知等,社会公众也能迅速地获得司法政各类信息。另一方面,通过采用安全可靠的加密技术,也可以将内部信息、邮件在网上传输,保证信息的时效性,保证信息的全面与准确,大大降低信息的传递成本,节省大量的人力、物力和财力。
2.简化行政运作环节和程序。由于信息化对司法行政系统的组织结构产生很大的影响,可以缩减甚至取消中间很多传递过程,无疑将大大简化行政运作的环节和程序,特别是有些原本属于层层审核汇报环节,被视频形式、面对面沟通取代。以公众反映诉求、寻求法律帮助为例,在传统的方式下,一般需要经过基层部门层层反馈,再由上级批示到具体职能部门,最后将办理结果反馈到提意见者,在这一过程中经过了许多环节和程序。如果通过信息网络,公众可以交互式的方式,直接将意见、建议反映到有关职能部门,并且可以与职能部门一起共同落实解决。
(三)提高服务社会水平。政府公开施政是国际性趋势,通过信息网将政务公开,可以加大政府政策影响,将更多信息向社会公众公开。我局通过网络让公众参与,让公众发表意见,让公众提出建议。公众也可以通过信息网络监督我局的运作,了解我局在干什么,干得怎么样,从而对我局的工作作出比较准确的评价,达到改进工作的目的。今年我局着力打造12348服务平台,集电话、网络、新媒体为一体,建设便民服务的“窗口”,能够帮助人们实现足不出户享受司法行政提供的各种服务,在网上实现司法行政各项职能。
二、我区司法行政信息化建设现状
1.组织管理工作不断加强。专门成立信息化工作领导小组,负责全系统信息化领导工作,下设办公室,负责全系统信息化工作的组织、协调和管理,各科室和直属单位根据各自职能,具体承担相关的信息化工作推进职责。出台相应管理制度,制定了电子公文流转和存档制度,门户网站管理制度,信息采集、审核、、更新和考评制度,计算机信息网络系统安全保密制度,设备使用及维护制度等,为信息化建设的规范运行提供了制度保障。
2.硬件建设投入力度不断加大。一直以来,我局按照信息化建设要求,加大信息化建设资金的投入,购置更新办公电脑。同时,添置了配套使用的传真机、扫描仪、打印机、视频系统等现代化办公设备,形成了与省市司法行政专网、区政府机关协同办公网、互联网的联通与使用的格局。同时为各司法所配齐办公电脑、打印机、数码照像机、数码摄像机等办公设备,为省司法行政专网线的铺设与电信部门签订长期使用合同,为信息化建设奠定了良好的物质基础。今年更是新设12348协调指挥中心,12348网站正式上线运行。
3.办公自动化应用水平稳步提高。与区政府同步更新机关协同办公系统,与区级机关各部门通过协同办公系统开展公文交换、信息报送、督查督办、建议提案、项目管理、目标管理、档案管理、电子邮件、数据资源查询等工作,初步实现公文流转自动化和无纸化办公。同时与全省系统通过内网平台实现公文传递、信息报送,我局办公自动化应用水平全面提高。
4.政务公开信息平台运行管理规范。2008年,我局出台了《政务公开制度》,根据我局实际情况和工作范围,编制《政务信息公开目录》,将我局的职能职责、机构设置、法律法规、行政执法、规划计划、工作动态、应急管理、下属事业单位的收费标准及相关的办事指南等信息及时对外,实施政务公开,对符合公开规定的信息,特别是群众关心、社会关注的热点信息、重点信息进行即时更新。通过网站网页设立公示公告、投诉监督、意见箱栏,接受社会群众监督。通过本局及司法所网页面向社会宣传司法行政工作成就,为社会各界了解司法行政工作开辟新窗口。
三、信息化建设中存在的问题与不足
1.认识不够到位。仍有部分干部职工没有看到信息化建设是司法行政事业发展的必然趋势,认为信息化建设额外增加了工作负担,没有认识到信息化建设在提高工作效率、节约行政成本等方面所发挥的重要作用。基层司法干警在当前工作任务重、人员少的情况下,仍把主要精力放在局下达的硬性任务上,在信息化建设上缺少积极主动的精神。
2.应用能力不够高。经过近几年公务员计算机基础知识培训和专职人员应用系统操作培训,队伍的信息化应用能力有了很大提高。但仍有部分人员的操作能力仅仅停留在会打字、能上网的初级水平上,对应用系统不能熟练应用。目前懂得系统维护、能够应急处理、精通网络管理的人才不多,工作中遇到计算机故障或系统网络问题时,自身往往难以解决,只能求助于专业人员。
3.网站受众面不够广。我局门户网站栏目包括“信息公开”、“通知公告”、“工作动态”、“法制宣传”、“法律援助”、“法律服务”、“基层工作”、“社区矫正”、“队伍建设”、“法律法规”、“办事指南”、“投诉监督”等,网站储备的空间未能得到充分的开发利用,存在网站栏目不多、信息资源不足、服务领域不宽等问题,造成社会公众对网站的认知度低,对我区司法行政工作缺乏了解。由于网站缺少对社会公众的互动与服务,网站的宣传和运用效果受到了限制。
四、解决信息化建设问题的对策与建议
1.建立司法行政业务综合管理平台,加强统一组织和管理。各业务条口自有上报系统,信息网络自成体系,效率不高,重复建设,建议省厅、市局开展综合管理平台建设调研,从已建成应用的各信息管理系统中抽取相关数据,建立司法行政业务综合管理平台,实现各级对法律服务、法律援助、社区矫正、安置帮教、社会矛盾调解等主要业务工作的全方位综合管理,对司法行政系统资源的统一整合和综合利用,为上级部门和领导机关科学管理和正确决策提供即时准确的数据资料。
2.优化门户网站和司法所网页建设。加快司法行政门户网站建设,丰富网站栏目,通过增设“域外司法”、“典型案例”、“人物风采”等栏目,拓宽对外宣传平台。更充分利用12348网络平台“在线咨询”栏目,加强与社会公众的互动。要进一步完善网站网页信息的采集、编辑、审核、、管理制度,建立信息及栏目内容管理责任制,实行业务主管科室归口管理。要加强对司法所网页建设工作的指导,并将其纳入对司法所目标考评的一项内容。
公司网络安全管理办法篇6
承诺书是指承诺人对要约人的要约完全同意的意思,并以书面形式表达。以下是小编收集整理的关于网络信息安全的承诺书,欢迎大家阅读,但愿对你有借鉴作用。
关于网络信息安全承诺书1为了保护我校校园网络系统的安全,促进学校计算机网络的应用和发展,保证校园网络的正常运行,根据市公安局和市教育局的有关文件以及《__x中学网络安全管理制度》的要求,请各位老师配合做好以下工作:
一、每位老师使用的电脑应使用固定ip地址并进行绑定,使用真实姓名对计算机进行命名。具体操作方法:鼠标右键点击"我的电脑"_属性_计算机名,在此界面的中部“要重新命名此计算机或加入域”,单击更改,改名的格式:__李__,以此类推。
二、所有连入校园网络的计算机均须安装使用公安部门检测认证的杀毒软件,禁止安装网上下载的未经公安部门检测认证的或试用版的杀毒软件,同时要做好病毒和木马等安全防范工作。
三、坚决杜绝访问国家禁止的非法网站、国内外的反动、迷信、暴力、色情等不健康的网站。
四、禁止浏览、下载并传播一些盗版、迷信、暴力、色情等不健康的内容的文件和电影。
五、校园网中对外信息的web服务器中的内容必须经部门领导审核才能,所有校园网用户的帐号密码必须自己妥善保管使用,不得随意公布转借。
六、校园网的所有用户有义务向网络安全管理人员或有关部门报告违法犯罪行为和有害的、不健康的信息,并协助有关部门进行调查。校园网建设领导小组应不定期检查校园网络信息的内容,督促管理员和各部门对有害信息进行清除。
请老师们遵守以上条例,如有违反,将导致无法上网并承担一切后果。
关于网络信息安全承诺书2为保障互联网网络与信息安全,维护国家安全和社会稳定,保障公民、法人和其他组织的合法权益,承诺遵守《全国人大常委会关于维护互联网安全的决定》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》和《互联网安全保护技术措施规定》(公安部82号令)等有关法律法规的规定,履行以下法定义务:
一、依法进行备案登记
1、在网络正式联通后的三十日内到郴州市公安局网技支队进行备案登记;
2、向公安机关提供本单位互联网资料、网络拓扑结构和接入本网络的接入单位和用户情况;
3、向公安机关提供本单位ip地址范围、分配给本网联网用户ip地址和详细使用情况。
4、与郴州市公安局网技支队建立联席制度和用户资料报告制度,确保用户ip等资料及时更新。
二、依法从事信息服务业务
不利用国际联网制作、复制、、传播下列信息:(注:据修订后的292号令的相关内容进行修改)
(一)煽动抗拒、破坏宪法和法律、行政法规实施的;
(二)煽动颠覆国家政权、推翻社会主义制度的;
(三)煽动分裂国家、破坏国家统一的;
(四)煽动民族仇恨、民族歧视,破坏民族团结的;
(五)捏造或者歪曲事实,散布谣言,扰乱社会秩序的;
(六)宣扬封建迷信、淫秽、色情、、暴力、凶杀、恐怖,教唆犯罪的;
(七)公然侮辱他人或者捏造事实诽谤他人的;
(八)损害国家机关信誉的;
(九)其他违反宪法和法律、行政法规的。
发现网络传输的信息明显属于上述所列内容之一的,立即停止传输,保存有关记录,并向公安机关报告;对网络传输的信息内容难以辨别的,经相关主管部门审核同意后再。
三、切实履行安全保护职责
建立并落实以下网络信息安全保护管理制度和技术保护措施:
(一)信息、审核制度;
(二)信息监视、保存、清除和备份制度;
(三)病毒检测和网络安全漏洞检测制度;
(四)违法案件报告和协助查处制度;
(五)账号使用登记和操作权限管理制度;
(六)安全管理人员岗位工作职责;
(七)安全教育和培训制度;
(八)防范计算机病毒、网络入侵和攻击破坏等危害网络安全事项或者行为的技术措施
(九)重要数据库和系统主要设备的冗灾备份措施;
(十)记录并留存用户登录和退出时间、主叫号码、账号、互联网地址或域名、系统维护日志的技术措施,信息内容留存六个月以上,日志信息留存12个月以上;
(十一)在公共信息服务中发现、停止传输违法信息,并保留相关记录;
(十二)提供新闻、出版以及电子公告等服务的,能够记录并留存的信息内容及时间;
(十三)开办门户网站、新闻网站、电子商务网站的,能够防范网站、网页被篡改,被篡改后能够自动恢复;
(十四)开办电子邮件和网上短信息服务的,能够防范、清除以群发方式发送伪造、隐匿信息发送者真实标记的电子邮件或者短信息;
(十五)法律、法规和规章规定应当落实的其他安全保护制度和安全保护技术措施。
提供微博客、博客、论坛、即时通讯等交互式信息服务的,还应落实以下安全保护管理制度和安全保护技术措施:
(一)专职信息安全员管理制度,按照日均发帖1万条以下的配备1名,10万条以下配备3-5名,100万条以下不少于20名,500万条以下不少于50名,超过500万条的不少于60名的标准配备安全员;
(二)用户实名注册保护管理制度及措施;
(三)7_24小时公共信息巡查制度;
(四)信息网络安全事件应急处置工作制度及措施。
(五)法律、法规和规章规定应当落实的其他安全保护技术措施。
四、配合公安机关互联网管理工作
1、按公安机关通知要求,第一时间对含有违法有害内容的地址、目录或者服务器进行关闭或删除;
2、当公安机关依法查询、追踪和查处通过计算机信息网络实施的违法犯罪活动时,如实提供有关信息、资料及数据文件。
3、建立网络与信息安全责任人联系制度,保证公安机关可以随时与本单位安全责任人沟通联系。
本单位法定代表人为第一负责人,相关部门负责人为第二负责人,并确保联系畅通。
4、网站提供信息服务项目、网站网址、接入服务商、安全负责人及联系方式等发生变更的,相关情况应于变更后一个工作日内报告公安机关。
若有违反上述承诺的行为,愿意承担法律责任。
单位电话:__________单位传真:__________
法定代表人及联系电话:__________
网络与信息安全责任人及联系电话(所有相关部门安全负责人均应列明):
此承诺书一式两份,一份报公安机关网络安全保卫部门备案,一份单位/个人留存。
单位盖章(个人签名):__________
_____年_____月_____日
关于网络信息安全承诺书3杭州电商互联科技有限公司:
本用户郑重承诺遵守本承诺书的有关条款,如有违反本承诺书有关条款的行为,由本用户承担由此带来的一切民事、行政和刑事责任。
一、本用户承诺遵守《中华人民共和国计算机信息系统安全保护条例》和《计算机信息网络国际互联安全保护管理办法》及其他国家有关法律、法规和行政规章制度。
二、本用户已知悉并承诺遵守《电信业务经营许可管理办法》、《互联网ip地址备案管理办法》、《非经营性互联网信息服务备案管理办法》、等国家相关部门有关文件的规定。
三、本用户保证不利用网络危害国家安全、泄露国家秘密,不侵犯国家的、社会的、集体的利益和第三方的合法权益,不从事违法犯罪活动。
四、本用户承诺严格按照国家相关的法律法规做好本用户网站的信息安全管理工作,按政府有关部门要求设立信息安全责任人和信息安全审查员。
五、本用户承诺健全各项网络安全管理制度和落实各项安全保护技术措施。
六、本用户承诺不制作、复制、查阅和传播下列信息:
1.反对宪法所确定的基本原则的;
2.危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;
3.损害国家荣誉和利益的;
4.煽动民族仇恨、民族歧视,破坏民族团结的;
5.破坏国家宗教政策,宣扬邪教和封建迷信的;6.散布谣言,扰乱社会秩序,破坏社会稳定;
7.散布淫秽、色情、、暴力、凶杀、恐怖或者教唆犯罪的;
8.侮辱或者诽谤他人,侵害他人合法权益的;
9.含有法律、行政法规禁止的其他内容的。
七、本用户承诺不从事下列危害计算机信息网络安全的活动:
1.未经允许,进入计算机信息网络或者使用计算机信息网络资源的;
2.未经允许,对计算机信息网络功能进行删除、修改或者增加的;
3.未经允许,对计算机信息网络中存储或者传输的数据和应用程序进行删除、修改或者增加的;
4.故意制作、传播计算机病毒等破坏性程序的;
5.其他危害计算机信息网络安全的。
八、本用户承诺当计算机信息系统发生重大安全事故时,立即采取应急措施,保留有关原始记录,并在24小时内向政府监管部门报告并书面知会贵单位。
九、若违反本承诺书有关条款和国家相关法律法规的,本用户全部承担相应法律责任,造成财产损失的,由本用户承担全部赔偿。你单位有权停止服务,且无需承担任何责任。
十、本承诺书自签署之日起生效。
客户签章:
关于网络信息安全承诺书4为维护__公司信息安全,保证公司内部网络环境的稳定,保障各系统运行效率,我愿意遵守以下承诺:
1、确保设备正常运行,不随意查看来历不明的信息,打开相关信息前确保系统处于安全防护中心开启状态。
2、不利用外部软件系统传输重要文件,重要文件传输尽量利用企业邮箱,以免造成重要文件、数据泄漏。
3、涉及到的重要文件信息,其电子文档应该存储在涉密介质中加密单独存储。
4、对单位使用的系统,每三个月更换一次密码,且密码需要字母、数字、符号混搭使用,提高账户的安全性。
5、私人账户密码与公司系统用户密码完全分开,不设置一样或类似密码。
6、不在单位私自架设wiFi网络。
7、对自己在用的办公电脑内的公司机密信息的安全负责,当需暂时离开座位时必须立即启动屏幕保护程序并带有密码。
8、不安装有可能危及公司计算机网络的任何软件。
9、不利用网络系统制作、传播、复制有害信息。
10、不利用公司网络入侵他人计算机获取重要文件。
11、未经授权不使用他人计算机。
12、未经授权不查阅他人邮件。
13、不故意干扰网络畅通运行。
14、不浏览没有安全许可的网站。
15、不利用公司网络便利观看与工作无关的视频、音频等相关文件。
16、不利用公司网络便利使用与工作无关的软件(股票、影音)等类似软件。
17、不使用个人介质如光盘、U盘、移动硬盘等存储设备拷贝公司的重要文件、资料并带出公司。
18、不将eRp帐号或oa帐号密码透露给他人,不让他人代己做eRp单据或办理oa流程。
19、对自己在用的办公电脑使用杀毒软件和防火墙,并设置好自动更新和病毒库自动升级,定期杀毒。
20、不在工作时间利用计算机网络从事与本职工作无关的活动。
承诺人:
日期:
公司网络安全管理办法篇7
关键词:信息安全;威胁;管理模式;桌面终端
在当今的信息时代,我们的生活和工作方式受到信息技术发展的巨大影响,时时刻刻都在发生着改变,而现行企事业单位的管理模式也在这种“大环境”下不断地推陈出新。作为各大国有企事业信息管理部门,必须考虑到当前技术的发展给我们的工作带来的机遇和威胁。
一、当前信息网络的安全形势
目前,几乎所有企业、事业单位、行政部门都面临着内部信息泄漏的问题。FBi对484家公司调查显示:85%的安全损失是由企业内部原因造成的。面对来自于公司内部的安全威胁,很多员工都有切身感受,虽然不会有股票的跌涨刺激感官强烈,但是他们一定遇到过类似的事情。由于粗心误操作造成公司服务器上重要文档丢失;由于没有设定员工在系统内的访问权限,使一些业务秘密出现在本不应有查阅权的员工计算机上,并不小心将其泄露……对于这些来自公司内部的信息安全问题,不是简单的安装了杀毒软件或防火墙就能解决的,单纯的“免疫”手段在“网络风险”、“软件风险”日益严重的今天,都已经不足以让人信任和依赖。
据调查统计,90%以上的计算机终端用户使用的是windows2000,Xp或以上的操作系统,而这些系统的安全漏洞及系统缺陷非常多。虽然微软公司会通过定期在网站上安全补丁来弥补这些漏洞,而一些软件公司也会对自己开发的软件进行不断地更新和升级,但由于终端用户缺乏相关知识,导致补丁安装的不及时、不完全,这就会影响终端计算机的安全,从而影响整个内部网络安全。
二、企事业单位网络终端计算机安全现状
大中型企事业单位、政府办公网络,桌面终端计算机数量随着办公的需要不断增多,而出现的网络问题也日趋明显。常见的情况主要有:计算机感染病毒、被安装木马;有些不明程序不断抢占ip地址(aRp病毒)堵塞整个网段,使该网段用户都不能上网。除此以外,部分员工使用公司办公电脑私自从网络上下载海量资源,迅雷、Bt、电驴这些下载工具都会抢占网络通道,这样就导致了其他一些用户使用办公电脑办公时网速非常低,严重时网页无法显示,不仅影响了其他员工的工作,还降低了整个公司的工作效率。
这种问题在当下的网络时代普遍存在于现有的企事业单位,尤其是一些已经摆脱了纸张,进入“无纸化”办公的先进单位更为明显。由于难于发现高危计算机,并对其进行定位,因此一旦问题发生,就需要大量的故障排查时间。如果同时有多台计算机感染网络病毒或者进行非法操作,就会造成网络瘫痪,从而致使其他正常网络业务无法使用。
现阶段,所有企业都在努力寻找一种有效的手段来扭转这种严峻的局面,并尽可能地出台大量的信息网络管理规定。例如:禁止在办公计算机内安装Bt下载软件,禁止在个人终端设备中安装网络游戏软件,禁止私自更改电脑的安全设置,禁止将外部的电脑接入单位的内部网络等行为。但是,由于缺乏技术和管理手段、考核制度、使用标准、用机规范等,都不能够有效切实地执行,这样就使企业内部的信息网络安全水平很低,衍生了诸多不可控制的安全隐患。
三、通过网络防护与终端防护共筑信息安全长城
以往提起信息安全,人们更多地把注意力集中在防火墙、防病毒、iDS(入侵检测)、网御设备、网络交换设备的管理上,却忽略了对网络环境中的计算单元――服务器、台式机乃至便携机的管理。
近两年的安全防御调查表明,政府、企事业单位中超过80%的管理和安全问题来自终端,计算机终端广泛涉及每个用户,由于其分散性、不被重视、安全手段缺乏的特点,已成为信息安全体系的薄弱环节。因此,随着信息技术的不断进步,网络安全防护的工作重点开始发生转移,安全战场已经逐步由核心与主干的防护,转向网络边缘的每一个终端。网络管理员已经不是信息安全的唯一负责人,计算机终端用户才是信息安全的第一责任人。
四、建设桌面终端安全管理系统的意义
伴随着网络管理业务密集度的增加,在信息安全防护领域兴起了终端桌面安全管理技术。作为网络管理技术衍生的边缘产物,它同传统安全防御体系的缺陷相关联,是传统网络安全防范体系的补充,也是未来网络安全防范体系的重要组成部分。由此看来,终端桌面管理的发展趋势和技术特点,才是信息安全防护趋势的导向。在进行桌面终端安全防护部署时,必须把提升信息安全的关键放在提升计算机终端安全水平上。
如何有效地管理计算机终端成了当前的热点话题,而桌面计算机安全管理系统的应运而生就显得尤为重要了。第一可以通过批量设置计算机的安全保护措施提高桌面计算机的安全性,及时更新桌面计算机的安全补丁,减少被攻击的可能;第二,它还可以实现动态安全评估,实时评估计算机的安全状态及其是否符合管理规定,比如说,评估计算机的网络流量是否异常,评估计算机是否做了非法操作,评估计算机的安全设置是否合理等;第三,通过系统中进行策略的配置,对计算机终端进行批量的软件安装、批量的安全设置等,防止外来电脑非法接入,避免网络安全遭受破坏或者信息泄密;第四,利用桌面系统的高科技手段,能够确保本单位的计算机使用制度得到落实,使“禁止拨号上网,禁止使用外部邮箱,禁止访问非法网站,禁止将单位机密文件复制、发送到外部”等这一系列管理措施得以贯彻和执行;第五,在网络出现安全问题后,桌面终端系统可以对有问题的ip/maC/主机名等进行快速的定位,便于管理员迅速排查故障;最后一点可以称之为桌面系统的“增值服务”,在保证信息网络安全的同时,还能对计算机的资产进行有效地管理和控制。
这些功能的实现,浅表地说能够持续有效地解决大批量的计算机终端安全管理问题,真正的意义在于能够切实地帮助企业内部各种管理规定有效地执行。如今凭借这些高科技手段,全面提升企事业单位内部信息化工作水平已经不再是纸上谈兵。
五、结语
企事业单位要在信息技术高速发展的今天立于不败之地,就必须结合自身客户的网络结构、终端特点和管理模式,搭建安全、稳固的内部it架构。而桌面终端安全管理的应用,将极大地提高信息安全系数,使企业信息风险降到最低。
参考文献:
[1]闫龙川,刘永志,来凤刚.计算机终端安全管理系统及其应用[J].电力信息化,2009,(7).
[2]马国胜.桌面安全管理系统的应用[J].中国金融电脑,2009,(4).
公司网络安全管理办法篇8
【关键词】信息安全双网隔离分区分域安全接入积极管控
在信息化时代,网络空间承载着国家政治、经济、文化和军事发展与安全的重荷,网络空间存在的黑客攻击、网络犯罪和网络恐怖主义事件层出不穷,网络空间安全已上升到国家安全战略的层面,美国政府于2011年5月16日的《网络空间国际战略》引起世界各国瞩目,向我们传递了许多新的信息,值得认真思考和研究,同时也为中国与时俱进地提升网络安全战略地位,转换网络安全建设思维,增强国家网络安全利益的护持力度提出参考和要求。本文在遵循国家信息安全等级保护政策、标准及电力行业相关要求下,结合作者所在单位的信息安全网络建设实际情况,探讨如何建设安全、可靠、高效的电力企业信息安全网络。
一、双网隔离原则
随着电力企业信息化建设不断推进,现在许多企业都建设了自己的网络系统,是以企业门户、办公自动化、电子商务、HR人力资源系统、财务一体化、营销、生产管理、eRp内部运行管理系统等,极大的提高了办公效率,实现信息的实时传输和信息共享。通过与internet国际互联网相连,方便员工查找相关的技术资料,及时了解和掌握最新咨询。由于信息技术的发展又不断推动现代办公逐渐走向信息化、智能化、移动化,宽带技术的增强、无线网络的普及,促使移动办公得到飞速发展,传统的办公室随之拓宽领域,办公不再拘泥于办公室,无处不在的网络使随时随地进行办公成为可能,移动办公使办公效率大大提高,突破了时间与空间的局限。但是在给我们带来极大便利的同时也带来了严重的安全问题,尤其是病毒破坏、黑客入侵,甚至系统内部的泄密,信息化条件下各种网络的普及,为黑客提供了展示其娴熟技法的空间和舞台,它能在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。众所周知,国际互联网是以国际化、开放和互联为特点的,而安全度和开放度永远是一对矛盾。虽然,目前可以利用防火墙、防毒墙、服务器、入侵检测等技术手段来抵御来自互联网的非法入侵,但至今这些技术手段都还存在许多漏洞,还不能很好地解决信息的安全问题。在现在国际互联网网络不可掌控的情况下,当今信息安全问题已经上升到国家安全层面,全球都很重视,信息网络安全面临“外侵内泄”的情况下,用类似“惹不起,躲得起”的智慧,推导出留得青山在,以退为进的柔性曲线安全策略,双网隔离的解决方案。
在国家和行业几个红头文件下发之后,电力企业的信息化建设和规划正在紧锣密鼓进行,双网隔离早已成为电力企业信息安全的必修课。双网隔离技术在一定程度上解决了电力企业信息化建设的困境,满足了当前安全需要。通过双网隔离这样的办法,尽量减少互联互通,减少接触面,杜绝多出口多互连所带来的业务是否需要上网界定不清无法控制问题,而且互联互通程度越高,对人员、管理、运维要求也越高。今天,日趋完善的网络隔离产品已成为网络信息安全体系中不可缺少的重要环节,是防范非法入侵、阻挡网络攻击、防止内部信息泄密的一种简单而有效的手段。安全隔离网闸是采用双主机+物理隔离开关的硬件结构,结合高强度的网络协议分析和控制的软件系统,共同构建一个在网络边界处隔离网络已知和未知攻击行为的高端网络安全设备。简单的说,安全隔离网闸是一套双主机系统,两个主机之间是永远断开的,以达到物理隔离的目的,双主机之间的信息交换是通过借助拷贝、镜像、反射等第三方非网络方式来完成的。当数据需要从外网下载到内网,或者和内网通讯时,安全隔离网闸在内外网之间扮演着一种类似“信息渡船”的角色。信息技术是动态发展的,“道高一尺,魔高一丈”,安全不是绝对化的。
作者所在企业的双网隔离方案是集团本部和分公司分别部署安全隔离网闸,三级单位及电厂的内外网实现完全的物理隔离。每个三级单位及电厂均有专线通道到分公司,每个分公司又有专线通道到集团本部构成整个集团内网,大集中方式部署在集团内网的应用系统正常情况下均通过集团安全隔离网闸实现内外网安全访问和数据摆渡,分公司部署的应用系统均从分公司安全隔离网闸实现内外网安全访问和数据摆渡,三级单位原则上不允许部署单独的应用系统,现有系统将逐步集中到分公司层面,三级单位及电厂严禁内外网互联互通。这样就形成了两个网络,双网(内外网)共存,内网作为集团企业内部各业务应用系统信息网络基础平台,外网各单位分别与internet国际互联网互连。其实作者认为外网也同样应该减少局域网与互联网的互联互通,因为人员编制等原因,实际上各单位的信息网络管理和维护水平和领导重视程度都不一样,参差不齐。
二、分区分域防护原则
划分安全域是构建企业信息安全网络的基础,提高抗击风险能力,提高可靠性和可维护性。内网具体划分为网络核心区域、各业务应用服务器区域、桌面办公区域、广域网接入区域、测试服务器区域、集中管控服务器区域和与外网安全隔离区域。网络核心区域是企业信息安全网络的心脏,它负责全网的路由交换以及和不同区域的边界防护。这个区域一般包括核心交换设备、核心防火墙以及主动防攻击和流量控制设备等。各业务应用服务器区域是内部各应用管理系统所在区域,包括企业门户、办公自动化、电子商务、HR人力资源系统、财务一体化、营销、生产管理、eRp等内部管理信息系统。桌面办公区域包括接入交换机和员工桌面终端。广域网接入区域包含由公司总部到集团总部乃至各所属机构的专线安全设备以及交换路由设备,是公司总部至各单位的通信命脉。测试服务器区域是供系统开发人员所访问的未上线的开发系统所在区域。集中管控服务器区域是内网辅助类服务器区域,这个区域一般包括DnS、DHCp、防病毒、桌面管理系统、网管系统、it运维管理平台和安全运维管理平台SoC等。内外网安全隔离区域是用于内网与外网摆渡的区域,是内网与外网通信的唯一出口,其主要设备是安全隔离网闸。各安全域的信息系统之间边界鲜明,为安全防护体系设计和层层递进、逐级深入的安全防护策略提供了必要条件。网络核心区域是整体信息网络的核心,所有其他区域均经过核心区域进行交互,这个区域理所当然地成为各个区域的安全边界。以核心服务器区域为例,它和网络核心区域中间部署安全设备,对过往的流量起到控制作用,以达到安全防护。再以广域网接入区域为例,它和网络核心区域中间部署安全设备和主动防攻击设备,达到更高层级的防护。分区域防护的设置,将降低外界对信息系统的物理攻击和网络攻击的危害性,以确保内部各网络应用系统的安全。外网具体可划分为网络核心区域、服务器区域、桌面办公区域、DmZ区域、与内网安全隔离区域和与internet国际互联网接入区域。外网的服务器区域类似内网的辅助类服务器区域。与内网交互的安全隔离区域包括安全堡垒机系统、认证系统、SSLVpn系统。DmZ区域是提供给互联网用户访问的系统,主要包括www、email、外部DnS等服务器,DmZ区域的服务器禁止访问其他区域,避免来自互联网用户攻击或控制DmZ区服务器后影响或威胁其他区域。拓扑结构如下图:
三、应用虚拟化接入原则
双网隔离方案的建设极大提高了内部网络的信息安全水平,却又面临一个新的问题,内外网之间信息安全交互受到制约,保密性(Confidentiality)和可用性(availability)矛盾日益凸出。一方面随着双网建设的不断深入和推进,对信息系统的安全性要求越来越高;另一方面随着公司信息化建设的不断深入,投入的业务系统不断增加,用户业务快速发展,商务出行及会议等逐渐增多,导致公司员工无法遵循业务要求的标准化,流程化,及时地处理文件,从而使整个业务停滞不前,同时随着集团双网改造和建设的不断深入和推进,原有Vpn移动办公解决方案从安全和性能上都已经不能满足要求,限制了信息系统的效益,阻碍了业务的处理。移动办公也面临着诸多方面的挑战,今天的信息安全已经从最初的网络安全逐渐向应用安全、数据安全和系统安全的全面安全体系发展,从基础安全向细粒度的高阶安全发展。双网改造后,如何在安全的前提下实现内外网数据的交互和便捷的移动办公应用?如何对员工的访问进行有效地控制,实现便捷高效访问被授权资源?如何防止内部人员泄密或其他未授权人员直接接入内部网络导致的泄密等?
作者所在企业选择了经过公安部、电监会、国家信息中心等权威部门的论证和充分的调研可行的立体解决方案,采用虚拟化技术的安全堡垒平台和SSLVpn设备,使用数字证书或UKeY登录,彻底解决了双网环境下跨网访问、移动办公的难题。安全堡垒平台将应用虚拟化技术应用于信息安全领域,将应用100%在服务器运行,没有任何应用组件运行于客户端环境,以虚拟的方式与客户端交互,实现一种新型的数据不落地的传输模式。虚拟化技术分离应用的表现与计算,实现虚拟应用交互、本地化应用体验,客户端与服务器之间只传递键盘、鼠标和荧屏变化等交互信息,没有实际的业务数据流到客户端,客户端看到的只是服务器上应用运行的显示镜像。安全堡垒平台的整体安全体系,包括事前安全策略规划、事中安全访问控制和事后安全审计三个层次,可以实现多级的用户管理和细粒度的用户授权,可以完成对用户整个生命周期的监控和管理,制定统一的、标准的用户账户安全策略,捆绑具体用户,对用户、行为和资源进行授权,以达到对权限的细粒度控制,最大限度保护用户资源的安全。可以记录和查询用户何时、多长时间、从哪里访问、访问设备的信息等。还可以通过对用户访问的行为全程录制,实现事后的审计与追溯。访问控制策略是保护系统安全性的重要环节,制定良好的访问策略能够更好的提高系统的安全性。最终用户通过访问SSLVpn设备,手机和平板电脑通过数字证书,笔记本电脑通过UKeY与安全堡垒平台建立虚拟的专用Vpn隧道加密,从而实现了4a(认证authentication、账号account、授权authorization、审计audit)的安全标准。
四、积极管控原则
随着信息技术的快速发展,信息化建设的不断提高,各种应用系统逐渐上线运行,各种业务也开始在网络上开展起来,有些应用已经是在整个集团正常运行,同时网络的扩展也为病毒和木马的传播提供了便利的条件,各种极具破坏性的病毒在网络中流窜,使网络拥堵不堪,甚至瘫痪,也给一些不法分子和敌对国家获取企业和国家机密信息和重要数据等信息提供了便利,所以健全的网络建设和管理机制对维护企业和国家利益都有着重要意义,一旦网络瘫痪或信息泄密,后果将不堪设想。因此信息安全的建设并没有随着双网建设、分区防御的建设和应用虚拟化移动办公接入的建设而结束,反而对整体信息网络的安全防护和监督控制提出了更高的要求,必须要加强对信息安全的管理和控制,提高信息安全意识。
作者所在企业的信息网络基础平台关键设备和链路通常采取双机双链路方式部署,实现负载均衡和单点失效保护,利用可管理交换机、路由器、防火墙、防毒墙、上网行为管理、安全隔离网闸、堡垒机、统一认证平台、SSLVpn、ipS、iDS、waF等网络产品构建安全高效的信息网络基础架构平台,在设备选型时尽可能考虑厂家异构和产品异构,安全设备必须是国产自主知识产权产品,尽可能的规避由于产品和设备选型带来的安全风险。通过部署网管系统、it运维管理平台和安全运维管理平台SoC,既满足了信息安全运维管理的需要,同时也能满足国资委信息化检查和数据收集报送的需要。采取细分VLan来减少网络病毒影响的范围,防止类似aRp泛洪攻击,利用DHCp服务器绑定maC地址方法管理客户端ip地址,使用桌面安全管理系统有效管理和控制客户端,包括安全接入控制、安全策略管理、U盘等移动存储管理、资产管理、软件分发、补丁管理、员工行为等管理。网络管理人员在上述系统的辅助下及时对实时运行的网络进行分析和管控,预判故障和攻击行为,实行主动防御、及时处理,将这些对智能电网建设和运行中可能发生的不安全因素,消灭在萌芽状态之中。
随着企业网络建设规模的不断扩大及上网人员用户的增加,不可避免带来泄密隐患。企业必须正视现实,处理好安全与应用方便性之间的关系,提高认识,高度重视信息网络安全问题。对于因特网的弊端,不能矫枉过正,不能因为因特网对企业信息安全形成了巨大威胁,就强制要求所有单位和用户断开与因特网的连接,这样无异于“因噎废食”。在当前“双网隔离”不失为一种有效的解决方案,然后通过安全分区域防护,部署相应安全产品和系统保证各业务应用系统和各种客户端在授权模式下,都能安全访问所需业务并实现事后追踪审计。当然双网隔离的应用不但没有降低对管理的要求,反而带来新的管理问题,对管理要求日渐提升。我们要以“三分技术、七分管理”作为信息安全管理基本原则,其中最重要的还是人,我们不要太崇拜技术,人的安全意识提高才是最重要的,现在很多信息网络基础平台建设很全面,安全制度制定得也很完善,但在执行过程中,常常被打破,被忽视,现在其实缺乏的不是技术,很多时候欠缺的是一个完善的体系化的管理机制。
参考文献
[1]刘勃然,黄凤志.美国《网络空间国际战略》评析.东北亚论坛,2012年3期
[2]孙军军,赵明清,李辉,冯梅.企业信息安全现状与发展趋势分析.信息网络安全,2012年10期
公司网络安全管理办法篇9
分区分域防护原则
划分安全域是构建企业信息安全网络的基础,提高抗击风险能力,提高可靠性和可维护性。内网具体划分为网络核心区域、各业务应用服务器区域、桌面办公区域、广域网接入区域、测试服务器区域、集中管控服务器区域和与外网安全隔离区域。网络核心区域是企业信息安全网络的心脏,它负责全网的路由交换以及和不同区域的边界防护。这个区域一般包括核心交换设备、核心防火墙以及主动防攻击和流量控制设备等。各业务应用服务器区域是内部各应用管理系统所在区域,包括企业门户、办公自动化、电子商务、HR人力资源系统、财务一体化、营销、生产管理、eRp等内部管理信息系统。桌面办公区域包括接入交换机和员工桌面终端。广域网接入区域包含由公司总部到集团总部乃至各所属机构的专线安全设备以及交换路由设备,是公司总部至各单位的通信命脉。测试服务器区域是供系统开发人员所访问的未上线的开发系统所在区域。集中管控服务器区域是内网辅助类服务器区域,这个区域一般包括DnS、DHCp、防病毒、桌面管理系统、网管系统、it运维管理平台和安全运维管理平台SoC等。内外网安全隔离区域是用于内网与外网摆渡的区域,是内网与外网通信的唯一出口,其主要设备是安全隔离网闸。各安全域的信息系统之间边界鲜明,为安全防护体系设计和层层递进、逐级深入的安全防护策略提供了必要条件。网络核心区域是整体信息网络的核心,所有其他区域均经过核心区域进行交互,这个区域理所当然地成为各个区域的安全边界。以核心服务器区域为例,它和网络核心区域中间部署安全设备,对过往的流量起到控制作用,以达到安全防护。再以广域网接入区域为例,它和网络核心区域中间部署安全设备和主动防攻击设备,达到更高层级的防护。分区域防护的设置,将降低外界对信息系统的物理攻击和网络攻击的危害性,以确保内部各网络应用系统的安全。外网具体可划分为网络核心区域、服务器区域、桌面办公区域、DmZ区域、与内网安全隔离区域和与internet国际互联网接入区域。外网的服务器区域类似内网的辅助类服务器区域。与内网交互的安全隔离区域包括安全堡垒机系统、认证系统、SSLVpn系统。DmZ区域是提供给互联网用户访问的系统,主要包括www、email、外部DnS等服务器,DmZ区域的服务器禁止访问其他区域,避免来自互联网用户攻击或控制DmZ区服务器后影响或威胁其他区域。拓扑结构如下图:
应用虚拟化接入原则
双网隔离方案的建设极大提高了内部网络的信息安全水平,却又面临一个新的问题,内外网之间信息安全交互受到制约,保密性(Confidentiality)和可用性(availabili-ty)矛盾日益凸出。一方面随着双网建设的不断深入和推进,对信息系统的安全性要求越来越高;另一方面随着公司信息化建设的不断深入,投入的业务系统不断增加,用户业务快速发展,商务出行及会议等逐渐增多,导致公司员工无法遵循业务要求的标准化,流程化,及时地处理文件,从而使整个业务停滞不前,同时随着集团双网改造和建设的不断深入和推进,原有Vpn移动办公解决方案从安全和性能上都已经不能满足要求,限制了信息系统的效益,阻碍了业务的处理。移动办公也面临着诸多方面的挑战,今天的信息安全已经从最初的网络安全逐渐向应用安全、数据安全和系统安全的全面安全体系发展,从基础安全向细粒度的高阶安全发展。双网改造后,如何在安全的前提下实现内外网数据的交互和便捷的移动办公应用?如何对员工的访问进行有效地控制,实现便捷高效访问被授权资源?如何防止内部人员泄密或其他未授权人员直接接入内部网络导致的泄密等?作者所在企业选择了经过公安部、电监会、国家信息中心等权威部门的论证和充分的调研可行的立体解决方案,采用虚拟化技术的安全堡垒平台和SSLVpn设备,使用数字证书或UKeY登录,彻底解决了双网环境下跨网访问、移动办公的难题。安全堡垒平台将应用虚拟化技术应用于信息安全领域,将应用100%在服务器运行,没有任何应用组件运行于客户端环境,以虚拟的方式与客户端交互,实现一种新型的数据不落地的传输模式。虚拟化技术分离应用的表现与计算,实现虚拟应用交互、本地化应用体验,客户端与服务器之间只传递键盘、鼠标和荧屏变化等交互信息,没有实际的业务数据流到客户端,客户端看到的只是服务器上应用运行的显示镜像。安全堡垒平台的整体安全体系,包括事前安全策略规划、事中安全访问控制和事后安全审计三个层次,可以实现多级的用户管理和细粒度的用户授权,可以完成对用户整个生命周期的监控和管理,制定统一的、标准的用户账户安全策略,捆绑具体用户,对用户、行为和资源进行授权,以达到对权限的细粒度控制,最大限度保护用户资源的安全。可以记录和查询用户何时、多长时间、从哪里访问、访问设备的信息等。还可以通过对用户访问的行为全程录制,实现事后的审计与追溯。访问控制策略是保护系统安全性的重要环节,制定良好的访问策略能够更好的提高系统的安全性。最终用户通过访问SSLVpn设备,手机和平板电脑通过数字证书,笔记本电脑通过UKeY与安全堡垒平台建立虚拟的专用Vpn隧道加密,从而实现了4a(认证authentication、账号account、授权authorization、审计au-dit)的安全标准。
积极管控原则
随着信息技术的快速发展,信息化建设的不断提高,各种应用系统逐渐上线运行,各种业务也开始在网络上开展起来,有些应用已经是在整个集团正常运行,同时网络的扩展也为病毒和木马的传播提供了便利的条件,各种极具破坏性的病毒在网络中流窜,使网络拥堵不堪,甚至瘫痪,也给一些不法分子和敌对国家获取企业和国家机密信息和重要数据等信息提供了便利,所以健全的网络建设和管理机制对维护企业和国家利益都有着重要意义,一旦网络瘫痪或信息泄密,后果将不堪设想。因此信息安全的建设并没有随着双网建设、分区防御的建设和应用虚拟化移动办公接入的建设而结束,反而对整体信息网络的安全防护和监督控制提出了更高的要求,必须要加强对信息安全的管理和控制,提高信息安全意识。作者所在企业的信息网络基础平台关键设备和链路通常采取双机双链路方式部署,实现负载均衡和单点失效保护,利用可管理交换机、路由器、防火墙、防毒墙、上网行为管理、安全隔离网闸、堡垒机、统一认证平台、SSLVpn、ipS、iDS、waF等网络产品构建安全高效的信息网络基础架构平台,在设备选型时尽可能考虑厂家异构和产品异构,安全设备必须是国产自主知识产权产品,尽可能的规避由于产品和设备选型带来的安全风险。通过部署网管系统、it运维管理平台和安全运维管理平台SoC,既满足了信息安全运维管理的需要,同时也能满足国资委信息化检查和数据收集报送的需要。采取细分VLan来减少网络病毒影响的范围,防止类似aRp泛洪攻击,利用DHCp服务器绑定maC地址方法管理客户端ip地址,使用桌面安全管理系统有效管理和控制客户端,包括安全接入控制、安全策略管理、U盘等移动存储管理、资产管理、软件分发、补丁管理、员工行为等管理。网络管理人员在上述系统的辅助下及时对实时运行的网络进行分析和管控,预判故障和攻击行为,实行主动防御、及时处理,将这些对智能电网建设和运行中可能发生的不安全因素,消灭在萌芽状态之中。
公司网络安全管理办法篇10
第一条为使金审工程系统的运行维护和管理规范化、标准化、制度化,提高工程项目的运行维护管理水平,根据《金审工程建设管理暂行办法》的有关规定,制定本办法。
第二条本办法运行维护管理的工程项目内容包括,金审工程建设的应用系统、网络安全系统、计算机网络设备及工程建设相关项目。
第二章机构与职责
第三条审计署计算机技术中心为金审工程系统运行维护和管理单位。在审计署审计信息系统建设规划领导小组(以下简称领导小组)的领导下,负责金审工程系统运行的规划、组织、协调和指导,负责审计署机关(含派出审计局、在京直属事业单位,下同)的系统运行维护和管理工作。
第四条办公厅负责系统运行经费的预算编报和预算安排,办理用款申请和国库集中支付手续,检查指导经费的管理使用,负责决算编报。
计算机技术中心负责提出署机关系统运行经费的用款计划,办理会计核算和决算编制。
行政事业司负责、监察局参与对金审工程系统运行经费管理使用情况的审计监督。
金审工程运行经费的管理使用,执行国家有关规定和署《金审工程运行经费管理办法》的规定。
第五条署保密委员会办公室对涉及国家秘密信息系统的运行维护和管理,负责指导、协调、监督和检查。
第六条特派员办事处负责本办的系统运行维护和管理工作,负责本办系统运行经费的管理使用和决算编制。
第七条省级地方审计机关按照审计署系统运行维护的指导意见,搞好本地区的信息化系统运行维护和管理工作。
第三章系统运行维护管理
第八条金审工程系统运行维护实行主要依靠内部力量同时利用外部力量相结合的项目管理办法。
第九条运行维护项目计划的提出与审批。计算机技术中心依据系统运行维护的实际需要提出年度项目计划、经费预算和进度安排,报主管审计长或领导小组批准后实施。
第十条根据实际工作的需要,计算机技术中心可以把部分系统运行维护项目委托给社会it公司承担,或购买其相关服务,也可以聘请外部技术人员完成有关项目任务。对外委托项目,按照政府采购有关规定,实行政府集中采购或部门采购。
第十一条应用系统的运行维护。计算机技术中心负责署机关应用系统的正常运行。在工程建设试运行期或运行初期,为确保系统的稳定运行,可以委托社会it公司或聘请外部技术人员承担部分运行维护任务。应用系统的功能扩充、系统升级更版、数据建设、应用系统的部署、培训、服务和使用指导等,可以委托社会it公司或聘请外部技术人员承担。
第十二条网络系统的运行维护。计算机技术中心负责署机关局域网网络系统的运行维护和网络管理,外部网络资源的运行维护按照采购合同的规定执行。
第十三条安全系统的运行维护。计算机技术中心负责署机关的系统安全,需要专业安全公司支持的可实行委托,或购买其相关服务。
凡是对外委托的运行维护项目,都要根据信息系统的或安全等级情况,严格执行国家关于涉及国家秘密信息系统和系统安全等级保护的有关管理规定。
第十四条计算机网络设备的运行维护。计算机技术中心负责署机关计算机网络设备的运行维护,并按照设备采购合同的规定,定期协调维护,确保设备的完好运行。