1. 中華人民共和國計算機信息網路國際聯網管理暫行規定
本辦法下列用語的含義是:
1.國際聯網,是指中華人民共和國境內的計算機互聯網路、專業計算機信息網路、企業計算機信息網路,以及其他通過專線進行國際聯網的計算機信息網路同外國的計算機信息網路相聯接。
2.接入網路,是指通過接入互聯網路進行國際聯網的計算機信息網路;接入網路可以是多級聯接的網路。
3.國際出入口信道,是指國際聯網所使用的物理信道。
4.用戶,是指通過接入網路進行國際聯網的個人、法人和其他組織;個人用戶是指具有聯網帳號的個人。
5.專業計算機信息網路,是指為行業服務的專用計算機信息網路。
6.企業計算機信息網路,是指企業內部自用的計算機信息網路。 本辦法自頒布之日起施行。 第一章 總 則
第一條 為了加強對計算機信息網路國際聯網的安全保護,維護公共秩序和社會穩定,根據中華人民共和國計算機信息系統安全保護條例、中華人民共和國計算機信息網路國際聯網管理暫行規定和其他法律、行政法規的規定,制定本辦法。
第二條 中華人民共和國境內的計算機信息網路國際聯網安全保護管理,適用本辦法。
第三條 公安部計算機管理監察機構負責計算機信息網路國際聯網的安全保護管理工作。
公安機關計算機管理監察機構應當保護計算機信息網路國際聯網的公共安全,維護從事國際聯網業務的單位和個人的合法權益和公眾利益。
[(1)局計算機網路制度擴展閱讀]
第四條 任何單位和個人不得利用國際聯網危害國家安全、泄露國家秘密,不得侵犯國家的、社會的、集體的利益和公民的合法權益,不得從事違法犯罪活動。
第五條 任何單位和個人不得利用國際聯網製作、復制、查閱和傳播下列信息:
(一)煽動抗拒、破壞憲法和法律、行政法規實施的;
(二)煽動顛覆國家政權,推翻社會主義制度的;
(三)煽動分裂國家、破壞國家統一的;
(四)煽動民族仇恨、民族歧視,破壞民族團結的;
(五)捏造或者歪曲事實,散布謠言,擾亂社會秩序的;
(六)宣揚封建迷信、淫穢、色情、賭博、暴力、兇殺、恐怖,教唆犯罪的;
(七)公然侮辱他人或者捏造事實誹謗他人的;
(八)損害國家機關信譽的;
(九)其他違反憲法和法律、行政法規的。
第六條 任何單位和個人不得從事下列危害計算機信息網路安全的活動:
(一)未經允許,進入計算機信息網路或者使用計算機信息網路資源的;
(二)未經允許,對計算機信息網路功能進行刪除、修改或者增加的;
(三)未經允許,對計算機信息網路中存儲、處理或者傳輸的數據和應用程序進行刪除、修改或者增加的;
(四)故意製作、傳播計算機病毒等破壞性程序的;
(五)其它危害計算機信息網路安全的。
第七條 用戶的通信自由和通信秘密受法律保護。任何單位和個人不得違反法律規定,利用國際聯網侵犯用戶的通信自由和通信秘密。
第二章 安全保護責任
第八條 從事國際聯網業務的單位和個人應當接受公安機關的安全監督、檢查和指導,如實向公安機關提供有關安全保護的信息、資料及數據文件,協助公安機關查處通過國際聯網的計算機信息網路的違法犯罪行為。
第九條 國際出口信道提供單位、互聯單位的主管部門或者主管單位,應當依照法律和國家有關規定負責國際出入口信道、所屬互聯網路的安全保護管理工作。
第十條 互聯單位、接入單位及使用計算機信息網路國際聯網的法人和其他組織應當履行下列安全保護職責:
(一)負責本網路的安全保護管理工作,建立健全安全保護管理制度;
(二)落實安全保護技術措施,保障本網路的運行安全和信息安全;
(三)負責對本網路用戶的安全教育和培訓;
(四)對委託發布信息的單位和個人進行登記,並對所提供的信息內容按照本辦法第五條進行審核;
(五)建立計算機信息網路電子公告系統的用戶登記和信息管理制度;
(六)發現有本辦法第四條、第五條、第六條、第七條所列情形之一的,應當保留有關原始記錄,並在二十四小時內向當地公安機關報告;
(七)按照國家有關規定,刪除本網路中含有本辦法第五條內容的地址、目錄或者關閉伺服器。
第十一條 用戶在接入單位辦理入網手續時,應當填寫用戶備案表。備案表由公安部監制。
第十二條 互聯單位、接入單位、使用計算機信息網路國際聯網的法人和其他組織(包括跨省、自治區、直轄市聯網的單位和所屬的分支機構),應當自網路正式聯通之日起三十日內,到所在地的省、自治區、直轄市人民政府公安機關指定的受理機關辦理備案手續。
前款所列單位應當負責將接入本網路的接入單位和用戶情況報當地公安機關備案,並及時報告本網路中接入單位和用戶的變更情況。
第十三條 使用公用帳號的注冊者應當加強對公用帳號的管理,建立帳號使用登記制度。用戶帳號不得轉借、轉讓
第十四條 涉及國家事務、經濟建設、國防建設、尖端科學技術等重要領域的單位辦理備案手續時,應當出具其行政主管部門的審批證明。
前款所列單位的計算機信息網路與國際聯網,應當採取相應安全保護措施。
第三章 安全監督
第十五條 省、自治區、直轄市公安廳(局),地(市)、縣(市)公安局,應當有相應機構負責國際聯網的安全保護管理工作。
第十六條 公安機關計算機管理監察機構應當掌握互聯單位、接入單位和用戶的備案情況,建立備案檔案,進行備案統計,並按照國家有關規定逐級上報。
第十七條 公安機關計算機管理監察機構應當督促互聯單位、接入單位及有關用戶建立健全安全保護管理制度,監督、檢查網路安全保護管理以及技術措施的落實情況。
公安機關計算機管理監察機構在組織安全檢查時,有關單位應當派人參加。公安機關計算機管理監察機構對安全檢查發現的問題,應當提出改進意見,做出詳細記錄,存檔備查。
第十八條 公安機關計算機管理監察機構發現含有本辦法第五條所列內容的地址、目錄或者伺服器時,應當通知有關單位關閉或者刪除。
第十九條 公安機關計算機管理監察機構應當負責追蹤和查處通過計算機信息網路的違法行為和針對計算機信息網路的犯罪案件,對違反本辦法第四條、第七條規定的違法犯罪行為,應當按照國家有關規定移送有關部門或者司法機關處理。
第四章 法律責任
第二十條 違反法律、行政法規,有本辦法第五條、第六條所列行為之一的,由公安機關給予警告,有違法所得的,沒收違法所得,對個人可以並處五千元以下的罰款,對單位可以並處一萬五千元以下的罰款;情節嚴重的,並可以給予六個月以內停止聯網、停機整頓的處罰,必要時可以建議原發證、審批機構吊銷經營許可證或者取消聯網資格;構成違反治安管理行為的,依照治安管理處罰條例的規定處罰;構成犯罪的,依法追究刑事責任。
第二十一條 有下列行為之一的,由公安機關責令限期改正,給予警告,有違法所得的,沒收違法所得;在規定的限制內未改正,對單位的主管負責人員和其他直接責任人員可以並處五千元以下的罰款,對單位可以並處一萬五千元以下的罰款;情節嚴重的,並可以給予六個月以內的停止聯網、停機整頓的處罰,必要時可以建議原發證、審批機構吊銷經營許可證或者取消聯網資格。
(一)未建立安全保護管理制度的;
(二)未採取安全技術保護措施的;
(三)未對網路用戶進行安全教育和培訓的;
(四)未提供安全保護管理所需信息、資料及數據文件,或者所提供內容不真實的;
(五)對委託其發布的信息內容未進行審核或者對委託單位和個人未進行登記的;
(六)未建立電子公告系統的用戶登記和信息管理制度的;
(七)未按照國家有關規定,刪除網路地址、目錄或者關閉伺服器的;
(八)未建立公用帳號使用登記制度的;
(九)轉借、轉讓用戶帳號的。
第二十二條 違反本辦法第四條、第七條規定的,依照有關法律、法規予以處罰。
第二十三條 違反本辦法第十一條、第十二條規定,不履行備案職責的,由公安機關給予警告或者停機整頓不超過六個月的處罰。
第五章 附則
第二十四條 與香港特別行政區和台灣、澳門地區聯網的計算機信息網路的安全保護管理,參照本辦法執行。
第二十五條 本辦法自發布之日起施行。
2. 關於網路安全我國實行什麼制度
根據我國法律規定,國家實行網路安全等級保護制度。
關於網路安全我國實行網路安全等級保護制度。網路運營者應當按照網路安全等級保護制度的要求,履行下列安全保護義務,保障網路免受干擾、破壞或者未經授權的訪問,防止網路數據泄露或者被竊取、篡改。
1、制定內部安全管理制度和操作規程,確定網路安全負責人,落實網路安全保護責任;
2、採取防範計算機病毒和網路攻擊、網路侵入等危害網路安全行為的技術措施;
3、採取監測、記錄網路運行狀態、網路安全事件的技術措施,並按照規定留存相關的網路日誌不少於六個月;
法律依據:
《中華人民共和國網路安全法》 第三條 國家堅持網路安全與信息化發展並重,遵循積極利用、科學發展、依法管理、確保安全的方針,推進網路基礎設施建設和互聯互通,鼓勵網路技術創新和應用,支持培養網路安全人才,建立健全網路安全保障體系,提高網路安全保護能力。
第二十一條 國家實行網路安全等級保護制度。網路運營者應當按照網路安全等級保護制度的要求,履行下列安全保護義務,保障網路免受干擾、破壞或者未經授權的訪問,防止網路數據泄露或者被竊取、篡改:
(一)制定內部安全管理制度和操作規程,確定網路安全負責人,落實網路安全保護責任;
(二)採取防範計算機病毒和網路攻擊、網路侵入等危害網路安全行為的技術措施;
(三)採取監測、記錄網路運行狀態、網路安全事件的技術措施,並按照規定留存相關的網路日誌不少於六個月;
(四)採取數據分類、重要數據備份和加密等措施;
(五)法律、行政法規規定的其他義務。
3. 計算機區域網管理制度
(1)申請審批通過方可開通上網許可權,對公司電腦用戶上網行為通過防火牆進行控制,對公司內網環境進行監控。對整個網路的各種活動進行網路監控,主要包括訪問網站/即時通訊/p2p行為/流媒體軟體等,以規范員工的網路許可權。
(2)禁止安裝和使用非公司制定的即時通訊工具,如qq/微信/msn/icq/skyper/uc和popo等。如果有特定業務需求,必須向信息部申請安裝,禁止私自安裝。
(3)禁止利用公司網路,訪問bbs/博客和網路游戲,如qq游戲,浩方/邊鋒和傳奇等游戲。
(4)禁止利用公司網路/發布/瀏覽或散播娛樂/購物/反動/邪教/色情/賭博/交友/證券和暴力等一切與工作無關的網路信息。
(5)禁止瀏覽在線視頻,如優酷/土豆/pplive和qiyi等。
(6)禁止使用在線炒股軟體,游戲客戶端軟體,掛機練級,外掛軟體。
(7)禁止在網上下載破解軟體,輔助外掛等軟體。
4. 網路安全管理制度
區域網的構建
網路安全概述
網路安全的定義
什麼是計算機網路安全,盡管現在這個詞很火,但是真正對它有個正確認識的人並不多。事實上要正確定義計算機網路安全並不容易,困難在於要形成一個足夠去全面而有效的定義。通常的感覺下,安全就是"避免冒險和危險"。在計算機科學中,安全就是防止:
未授權的使用者訪問信息
未授權而試圖破壞或更改信息
這可以重述為"安全就是一個系統保護信息和系統資源相應的機密性和完整性的能力"。注意第二個定義的范圍包括系統資源,即CPU、硬碟、程序以及其他信息。
在電信行業中,網路安全的含義包括:關鍵設備的可靠性;網路結構、路由的安全性;具有網路監控、分析和自動響應的功能;確保網路安全相關的參數正常;能夠保護電信網路的公開伺服器(如撥號接入伺服器等)以及網路數據的安全性等各個方面。其關鍵是在滿足電信網路要求,不影響網路效率的同時保障其安全性。
電信行業的具體網路應用(結合典型案例)
電信整個網路在技術上定位為以光纖為主要傳輸介質,以IP為主要通信協議。所以我們在選用安防產品時必須要達到電信網路的要求。如防火牆必須滿足各種路由協議,QOS的保證、MPLS技術的實現、速率的要求、冗餘等多種要求。這些都是電信運營商應該首先考慮的問題。電信網路是提供信道的,所以IP優化尤其重要,至少包括包括如下幾個要素:
網路結構的IP優化。網路體系結構以IP為設計基礎,體現在網路層的層次化體系結構,可以減少對傳統傳拆搏輸體系的依賴。
IP路由協議的優化。
IP包轉發的優化。適合大型、高速寬頻網路和下一代網際網路的特徵,提供高速路由查找和包轉發機制。
帶寬優化。在合理的QoS控制下,最大限度的利用光纖的帶寬。
穩定性優化。最大限度的利用光傳輸在故障恢復方面快速切換的能力,快速恢復網路連接,避免路由表顫動引起的整網震盪,提供符合高速寬頻網路要求的可靠性和穩定性。
從骨幹宴御襪層網路承載能力,可靠性,QoS,擴展性,網路互聯,通信協議,網管,安全,多業務支持等方面論述某省移動互聯網工程的技術要求。
骨幹層網路承載能力
骨幹網採用的高端骨幹路由器設備可提供155MPOS埠。進一步,支持密集波分復用(DWDM)技術晌激以提供更高的帶寬。網路核心與信息匯聚點的連接速率為155M連接速率,連接全部為光纖連接。
骨幹網設備的無阻塞交換容量具備足夠的能力滿足高速埠之間的無丟包線速交換。骨幹網設備的交換模塊或介面模塊應提供足夠的緩存和擁塞控制機制,避免前向擁塞時的丟包。
可靠性和自愈能力
包括鏈路冗餘、模塊冗餘、設備冗餘、路由冗餘等要求。對某省移動互聯網工程這樣的運營級寬頻IP骨幹網路來說,考慮網路的可靠性及自愈能力是必不可少的。
鏈路冗餘。在骨幹設備之間具備可靠的線路冗餘方式。建議採用負載均衡的冗餘方式,即通常情況下兩條連接均提供數據傳輸,並互為備份。充分體現採用光纖技術的優越性,不會引起業務的瞬間質量惡化,更不會引起業務的中斷。
模塊冗餘。骨幹設備的所有模塊和環境部件應具備1+1或1:N熱備份的功能,切換時間小於3秒。所有模塊具備熱插拔的功能。系統具備99.999%以上的可用性。
設備冗餘。提供由兩台或兩台以上設備組成一個虛擬設備的能力。當其中一個設備因故障停止工作時,另一台設備自動接替其工作,並且不引起其他節點的路由表重新計算,從而提高網路的穩定性。切換時間小於3秒,以保證大部分IP應用不會出現超時錯誤。
路由冗餘。網路的結構設計應提供足夠的路由冗餘功能,在上述冗餘特性仍不能解決問題,數據流應能尋找其他路徑到達目的地址。在一個足夠復雜的網路環境中,網路連接發生變化時,路由表的收斂時間應小於30秒。
擁塞控制與服務質量保障
擁塞控制和服務質量保障(QoS)是公眾服務網的重要品質。由於接入方式、接入速率、應用方式、數據性質的豐富多樣,網路的數據流量突發是不可避免的,因此,網路對擁塞的控制和對不同性質數據流的不同處理是十分重要的。
業務分類。網路設備應支持6~8種業務分類(CoS)。當用戶終端不提供業務分類信息時,網路設備應根據用戶所在網段、應用類型、流量大小等自動對業務進行分類。
接入速率控制。接入本網路的業務應遵守其接入速率承諾。超過承諾速率的數據將被丟棄或標以最低的優先順序。
隊列機制。具有先進的隊列機制進行擁塞控制,對不同等級的業務進行不同的處理,包括時延的不同和丟包率的不同。
先期擁塞控制。當網路出現真正的擁塞時,瞬間大量的丟包會引起大量TCP數據同時重發,加劇網路擁塞的程度並引起網路的不穩定。網路設備應具備先進的技術,在網路出現擁塞前就自動採取適當的措施,進行先期擁塞控制,避免瞬間大量的丟包現象。
資源預留。對非常重要的特殊應用,應可以採用保留帶寬資源的方式保證其QoS。
埠密度擴展。設備的埠密度應能滿足網路擴容時設備間互聯的需要。
網路的擴展能力
網路的擴展能力包括設備交換容量的擴展能力、埠密度的擴展能力、骨幹帶寬的擴展,以及網路規模的擴展能力。
交換容量擴展。交換容量應具備在現有基礎上繼續擴充多容量的能力,以適應數據類業務急速膨脹的現實。
骨幹帶寬擴展。骨幹帶寬應具備高的帶寬擴展能力,以適應數據類業務急速膨脹的現實。
網路規模擴展。網路體系、路由協議的規劃和設備的CPU路由處理能力,應能滿足本網路覆蓋某省移動整個地區的需求。
與其他網路的互聯
保證與中國移動互聯網,INTERNET國內國際出口的無縫連接。
通信協議的支持
以支持TCP/IP協議為主,兼支持IPX、DECNET、APPLE-TALK等協議。提供服務營運級別的網路通信軟體和網際操作系統。
支持RIP、RIPv2、OSPF、IGRP、EIGRP、ISIS等路由協議。根據本網規模的需求,必須支持OSPF路由協議。然而,由於OSPF協議非常耗費CPU和內存,而本網路未來十分龐大復雜,必須採取合理的區域劃分和路由規劃(例如網址匯總等)來保證網路的穩定性。
支持BGP4等標準的域間路由協議,保證與其他IP網路的可靠互聯。
支持MPLS標准,便於利用MPLS開展增值業務,如VPN、TE流量工程等。
網路管理與安全體系
支持整個網路系統各種網路設備的統一網路管理。
支持故障管理、記帳管理、配置管理、性能管理和安全管理五功能。
支持系統級的管理,包括系統分析、系統規劃等;支持基於策略的管理,對策略的修改能夠立即反應到所有相關設備中。
網路設備支持多級管理許可權,支持RADIUS、TACACS+等認證機制。
對網管、認證計費等網段保證足夠的安全性。
IP增值業務的支持
技術的發展和大量用戶應用需求將誘發大量的在IP網路基礎上的新業務。因此,運營商需要一個簡單、集成化的業務平台以快速生成業務。MPLS技術正是這種便於電信運營商大規模地快速開展業務的手段。
帶寬成本的下降使得當今新型電信服務商在進行其網路規劃時,會以系統容量作為其主要考慮的要素。但是,有一點需要提起注意的是,IP技術本身是面向非連接的技術,其最主要的特點是,在突發狀態下易於出現擁塞,因此,即使在高帶寬的網路中,也要充分考慮端到端的網路傳送時延對於那些對時延敏感的業務的影響,如根據ITU-T的標准端到端的VoIP應用要求時延小於150ms。對於應用型實際運營網路,尤其當網路負荷增大時,如何確保時延要求更為至關重要,要確保這一點的關鍵在於採用設備對於延遲的控制能力,即其延遲能力在小負荷和大量超負荷時延遲是否都控制在敏感業務的可忍受范圍內。
RAS(Reliability,Availability,Serviceability)
RAS是運營級網路必須考慮的問題,如何提供具有99.999%的業務可用性的網路是網路規劃和設計的主要考慮。在進行網路可靠性設計時,關鍵點在於網路中不能因出現單點故障而引起全網癱瘓,特別在對於象某省移動這些的全省骨幹網而言更是如此。為此,必須從單節點設備和端到端設備提供整體解決方案。Cisco7500系列路由器具有最大的單節點可靠性,包括電源冗餘備份,控制板備份,交換矩陣備份,風扇的合理設計等功能;整體上,Cisco通過提供MPLSFRR和MPLS流量工程技術,可以保證通道級的快速保護切換,從而最大程度的保證了端到端的業務可用性。
虛擬專用網(VPN)
虛擬專用網是目前獲得廣泛應用,也是目前運營商獲得利潤的一種主要方式。除了原有的基於隧道技術,如IPSec、L2TP等來構造VPN之外,Cisco還利用新型的基於標準的MPLSVPN來構造Intrane和Extranet,並可以通過MPLSVPN技術提供Carrier'sCarrier服務。這從網路的可擴展性,可操作性等方面開拓了一條新的途徑;同時,極大地簡化了網路運營程序,從而極大地降低了運營費用。另外,採用Cisco跨多個AS及多個域內協議域的技術可使某省移動可隨著其網路的不斷增長擴展其MPLSVPN業務的實施,並可與其他運營商合作實現更廣闊的業務能力。
服務質量保證
通常的Internet排隊機制如:CustomerQueue,PriorityQueue,CBWFQ,WRR,WRED等技術不能完全滿足對時延敏感業務所要求的端到端時延指標。為此,選用MDRR/WRED技術,可以為對時延敏感業務生成單獨的優先順序隊列,保證時延要求;同時還專門對基於Multicast的應用提供了專門的隊列支持,從而從真正意義上向網上實時多媒體應用邁進一步。
根據以上對電信行業的典型應用的分析,我們認為,以上各條都是運營商最關心的問題,我們在給他們做網路安全解決方案時必須要考慮到是否滿足以上要求,不影響電信網路的正常使用,可以看到電信網路對網路安全產品的要求是非常高的。
網路安全風險分析
瞄準網路存在的安全漏洞,黑客們所製造的各類新型的風險將會不斷產生,這些風險由多種因素引起,與網路系統結構和系統的應用等因素密切相關。下面從物理安全、網路安全、系統安全、應用安全及管理安全進行分類描述:
1、物理安全風險分析
我們認為網路物理安全是整個網路系統安全的前提。物理安全的風險主要有:
地震、水災、火災等環境事故造成整個系統毀滅
電源故障造成設備斷電以至操作系統引導失敗或資料庫信息丟失
電磁輻射可能造成數據信息被竊取或偷閱
不能保證幾個不同機密程度網路的物理隔離
2、網路安全風險分析
內部網路與外部網路間如果在沒有採取一定的安全防護措施,內部網路容易遭到來自外網的攻擊。包括來自internet上的風險和下級單位的風險。
內部局網不同部門或用戶之間如果沒有採用相應一些訪問控制,也可能造成信息泄漏或非法攻擊。據調查統計,已發生的網路安全事件中,70%的攻擊是來自內部。因此內部網的安全風險更嚴重。內部員工對自身企業網路結構、應用比較熟悉,自已攻擊或泄露重要信息內外勾結,都將可能成為導致系統受攻擊的最致命安全威脅。
3、系統的安全風險分析
所謂系統安全通常是指網路操作系統、應用系統的安全。目前的操作系統或應用系統無論是Windows還是其它任何商用UNIX操作系統以及其它廠商開發的應用系統,其開發廠商必然有其Back-Door。而且系統本身必定存在安全漏洞。這些"後門"或安全漏洞都將存在重大安全隱患。因此應正確估價自己的網路風險並根據自己的網路風險大小作出相應的安全解決方案。
4、應用的安全風險分析
應用系統的安全涉及很多方面。應用系統是動態的、不斷變化的。應用的安全性也是動態的。比如新增了一個新的應用程序,肯定會出現新的安全漏洞,必須在安全策略上做一些調整,不斷完善。
4.1公開伺服器應用
電信省中心負責全省的匯接、網路管理、業務管理和信息服務,所以設備較多包括全省用戶管理、計費伺服器、認證伺服器、安全伺服器、網管伺服器、DNS伺服器等公開伺服器對外網提供瀏覽、查錄、下載等服務。既然外部用戶可以正常訪問這些公開伺服器,如果沒有採取一些訪問控制,惡意入侵者就可能利用這些公開伺服器存在的安全漏洞(開放的其它協議、埠號等)控制這些伺服器,甚至利用公開伺服器網路作橋梁入侵到內部區域網,盜取或破壞重要信息。這些伺服器上記錄的數據都是非常重要的,完成計費、認證等功能,他們的安全性應得到100%的保證。
4.2病毒傳播
網路是病毒傳播的最好、最快的途徑之一。病毒程序可以通過網上下載、電子郵件、使用盜版光碟或軟盤、人為投放等傳播途徑潛入內部網。網路中一旦有一台主機受病毒感染,則病毒程序就完全可能在極短的時間內迅速擴散,傳播到網路上的所有主機,有些病毒會在你的系統中自動打包一些文件自動從發件箱中發出。可能造成信息泄漏、文件丟失、機器死機等不安全因素。
4.3信息存儲
由於天災或其它意外事故,資料庫伺服器造到破壞,如果沒有採用相應的安全備份與恢復系統,則可能造成數據丟失後果,至少可能造成長時間的中斷服務。
4.4管理的安全風險分析
管理是網路中安全最最重要的部分。責權不明,安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。
比如一些員工或管理員隨便讓一些非本地員工甚至外來人員進入機房重地,或者員工有意無意泄漏他們所知道的一些重要信息,而管理上卻沒有相應制度來約束。當網路出現攻擊行為或網路受到其它一些安全威脅時(如內部人員的違規操作等),無法進行實時的檢測、監控、報告與預警。同時,當事故發生後,也無法提供黑客攻擊行為的追蹤線索及破案依據,即缺乏對網路的可控性與可審查性。這就要求我們必須對站點的訪問活動進行多層次的記錄,及時發現非法入侵行為。
建立全新網路安全機制,必須深刻理解網路並能提供直接的解決方案,因此,最可行的做法是管理制度和技術解決方案的結合。
安全需求分析
1、物理安全需求
針對重要信息可能通過電磁輻射或線路干擾等泄漏。需要對存放絕密信息的機房進行必要的設計,如構建屏蔽室。採用輻射干擾機,防止電磁輻射泄漏機密信息。對存有重要資料庫且有實時性服務要求的伺服器必須採用UPS不間斷穩壓電源,且資料庫伺服器採用雙機熱備份,數據遷移等方式保證資料庫伺服器實時對外部用戶提供服務並且能快速恢復。
2、系統安全需求
對於操作系統的安全防範可以採取如下策略:盡量採用安全性較高的網路操作系統並進行必要的安全配置、關閉一些起不常用卻存在安全隱患的應用、對一些關鍵文件(如UNIX下:/.rhost、etc/host、passwd、shadow、group等)使用許可權進行嚴格限制、加強口令字的使用、及時給系統打補丁、系統內部的相互調用不對外公開。
應用系統安全上,主要考慮身份鑒別和審計跟蹤記錄。這必須加強登錄過程的身份認證,通過設置復雜些的口令,確保用戶使用的合法性;其次應該嚴格限制登錄者的操作許可權,將其完成的操作限制在最小的范圍內。充分利用操作系統和應用系統本身的日誌功能,對用戶所訪問的信息做記錄,為事後審查提供依據。我們認為採用的入侵檢測系統可以對進出網路的所有訪問進行很好的監測、響應並作記錄。
3、防火牆需求
防火牆是網路安全最基本、最經濟、最有效的手段之一。防火牆可以實現內部、外部網或不同信任域網路之間的隔離,達到有效的控制對網路訪問的作用。
3.1省中心與各下級機構的隔離與訪問控制
防火牆可以做到網路間的單向訪問需求,過濾一些不安全服務;
防火牆可以針對協議、埠號、時間、流量等條件實現安全的訪問控制。
防火牆具有很強的記錄日誌的功能,可以對您所要求的策略來記錄所有不安全的訪問行為。
3.2公開伺服器與內部其它子網的隔離與訪問控制
利用防火牆可以做到單向訪問控制的功能,僅允許內部網用戶及合法外部用戶可以通過防火牆來訪問公開伺服器,而公開伺服器不可以主動發起對內部網路的訪問,這樣,假如公開伺服器造受攻擊,內部網由於有防火牆的保護,依然是安全的。
4、加密需求
目前,網路運營商所開展的VPN業務類型一般有以下三種:
1.撥號VPN業務(VPDN)2.專線VPN業務3.MPLS的VPN業務
移動互連網路VPN業務應能為用戶提供撥號VPN、專線VPN服務,並應考慮MPLSVPN業務的支持與實現。
VPN業務一般由以下幾部分組成:
(1)業務承載網路(2)業務管理中心(3)接入系統(4)用戶系統
我們認為實現電信級的加密傳輸功能用支持VPN的路由設備實現是現階段最可行的辦法。
5、安全評估系統需求
網路系統存在安全漏洞(如安全配置不嚴密等)、操作系統安全漏洞等是黑客等入侵者攻擊屢屢得手的重要因素。並且,隨著網路的升級或新增應用服務,網路或許會出現新的安全漏洞。因此必需配備網路安全掃描系統和系統安全掃描系統檢測網路中存在的安全漏洞,並且要經常使用,對掃描結果進行分析審計,及時採取相應的措施填補系統漏洞,對網路設備等存在的不安全配置重新進行安全配置。
6、入侵檢測系統需求
在許多人看來,有了防火牆,網路就安全了,就可以高枕無憂了。其實,這是一種錯誤的認識,防火牆是實現網路安全最基本、最經濟、最有效的措施之一。防火牆可以對所有的訪問進行嚴格控制(允許、禁止、報警)。但它是靜態的,而網路安全是動態的、整體的,黑客的攻擊方法有無數,防火牆不是萬能的,不可能完全防止這些有意或無意的攻擊。必須配備入侵檢測系統,對透過防火牆的攻擊進行檢測並做相應反應(記錄、報警、阻斷)。入侵檢測系統和防火牆配合使用,這樣可以實現多重防護,構成一個整體的、完善的網路安全保護系統。
7、防病毒系統需求
針對防病毒危害性極大並且傳播極為迅速,必須配備從伺服器到單機的整套防病毒軟體,防止病毒入侵主機並擴散到全網,實現全網的病毒安全防護。並且由於新病毒的出現比較快,所以要求防病毒系統的病毒代碼庫的更新周期必須比較短。
8、數據備份系統
安全不是絕對的,沒有哪種產品的可以做到百分之百的安全,但我們的許多數據需要絕對的保護。最安全的、最保險的方法是對重要數據信息進行安全備份,通過網路備份與災難恢復系統進行定時自動備份數據信息到本地或遠程的磁帶上,並把磁帶與機房隔離保存於安全位置。如果遇到系統來重受損時,可以利用災難恢復系統進行快速恢復。
9、安全管理體制需求
安全體系的建立和維護需要有良好的管理制度和很高的安全意識來保障。安全意識可以通過安全常識培訓來提高,行為的約束只能通過嚴格的管理體制,並利用法律手段來實現。因些必須在電信部門系統內根據自身的應用與安全需求,制定安全管理制度並嚴格按執行,並通過安全知識及法律常識的培訓,加強整體員工的自身安全意識及防範外部入侵的安全技術。
通過以上對網路安全風險分析及需求分析,再根據需求配備相應安全設備,採用上述方案,我們認為一個電信網路應該達到如下的安全目標:
建立一套完整可行的網路安全與網路管理策略並加強培訓,提高整體人員的安全意識及反黑技術。
利用防火牆實現內外網或不信任域之間的隔離與訪問控制並作日誌;
通過防火牆的一次性口令認證機制,實現遠程用戶對內部網訪問的細粒度訪問控制;
通過入侵檢測系統全面監視進出網路的所有訪問行為,及時發現和拒絕不安全的操作和黑客攻擊行為並對攻擊行為作日誌;
通過網路及系統的安全掃描系統檢測網路安全漏洞,減少可能被黑客利用的不安全因素;
利用全網的防病毒系統軟體,保證網路和主機不被病毒的侵害;
備份與災難恢復---強化系統備份,實現系統快速恢復;
通過安全服務提高整個網路系統的安全性。
5. 計算機以及計算機網路使用管理規定
計算機網路使用管理規定 1. 目的: 為了合理使用合理分配網路資源,充分發揮網路功能,正確利用計算機,特製定本標准。 2. 范圍: 全局所有計算機。 3. 職責 3.1 各科室部門有遵守計算機網路使用規范的責任。 3.2 黨政辦公室有審核、檢查用戶是否遵守計算機網路使用規范的責任。 3.3 黨政辦公室有將違反使用規范的部門或人員的處理反饋給局網路小組成員,進行討論處理。 4. 使用規范 4.1 合法用戶 4.1.1 凡需申請入網,由辦公室計算機高級管理人員分配網路帳戶。 4.1.2 各部門在規定的PC上用規定的網路帳戶登錄入網 。 4.1.3 各部門根據各自的情況,及時上報各類信息及數據。 4.2 合法操作 4.3.1 合法使用部門在網路授權范圍內使用合法軟體。 4.3.2 合法使用部門在網路授權范圍內存儲傳遞數據。 4.3.3 合法使用部門在網路授權范圍內不可自己修改密碼及文件屬性。 4.3.4網路小組要及時負責通報病毒發作時間並採取相應措施。 4.3.5網路小組指定專人負責定期,按規定統一殺毒。 4.3 非法操作 4.3.1惡意刪除與工作有關的文件和數據的,情節嚴重者將予以停職反省。 4.3.2擅自拆卸電腦,導致電腦無法正常使用的,根據情節予以處罰。 4.3.3 工作時間內,不得違反計算機使用原則,使用計算機和列印機做與本人工作無關的事情或訪問與工作無關的網站,上網聊天、娛樂等。違者將給予一定的經濟處罰。 5. 設備管理 5.1本局管理的計算機及輔助設備,由辦公室負責登記入帳建卡,每年清點檢查一次。 5.2計算機的備件、易耗件、磁碟及有關資料的購買由辦公室統一紮口,落實資金後購置。各科室、大、中隊領用上述物品一律到辦公室領取。 5.3計算機及其輔助設備的一切隨機附件、資料、圖紙和有關資料,都交辦公室保存,由辦公室建帳登記。借用必須辦理借用手續,遺失者照價賠償。 5.4局內計算機、伺服器、網路通訊電纜等設備,未經辦公室同意不得自行拆裝、移動。 5.5計算機設備出現故障,操作人員應立即按操作規程進行處理,若無法處理時,應立即與辦公室聯系處理,並做好處理記錄。 5.6計算機和輔助設備需檢修,應報告辦公室;若需外單位維修,由辦公室主任報經分管領導同意後辦理。 5.7凡安裝在各科室、大、中隊的計算機,由各部門自己負責保管,嚴禁非操作人員上機操作。 6. 軟體與數據管理 6.1本局自行開發、購置和上級下發的軟體,不準備擅自復制外傳,若需復制外傳,需經 局領導同意批准。 6.2各部門的數據磁碟和程序磁碟,由各部門負責保管,未經部門負責人同意,不得調用。 6.3存貯有數據的磁碟、磁帶及報表,局本局內部資料,未經主管人員同意不得調用數據,未經局領導批准,不得將數據外傳、復制。 7. 其他 7.1嚴格遵守計算機操作管理制度,不允許從事與工作無關的事情。 7.2使用計算機應遵守操作規程,嚴禁進行與本職工作無關的操作。 7.3非計算機操作人員,不準隨便使用計算機。 7.4本規定自製度下發之日起生效。
6. 關於計算機網路安全制度有哪些
網路安全管理機構和制度 網路安全管理機構和規章制度是網路安全的組織與制度保障。網路安全管理的制度包括人事資源管理、資產物業管理、教育培訓、資格認證、人事考核鑒定製度、動態運行機制、日常工作規范、崗位責任制度等。建立健全網路安全管理機構和各項規章制度,需要做好以下幾個方面。 1.完善管理機構和崗位責任制 計算機網路系統的安全涉及整個系統和機構的安全、效益及聲譽。系統安全保密工作最好由單位主要領導負責,必要時設置專門機構,如安全管理中心SOC等,協助主要領導管理。重要單位、要害部門的安全保密工作分別由安全、保密、保衛和技術部門分工負責。所有領導機構、重要計算機系統的安全組織機構,包括安全審查機構、安全決策機構、安全管理機構,都要建立和健全各項規章制度。 完善專門的安全防範組織和人員。各單位須建立相應的計算機信息系統安全委員會、安全小組、安全員。安全組織成員應由主管領導、公安保衛、信息中心、人事、審計等部門的工作人員組成,必要時可聘請相關部門的專家組成。安全組織也可成立專門的獨立、認證機構。對安全組織的成立、成員的變動等應定期向公安計算機安全監察部門報告。對計算機信息系統中發生的案件,應當在規定時間內向當地區(縣)級及以上公安機關報告,並受公安機關對計算機有害數據防治工作的監督、檢查和指導。 制定各類人員的崗位責任制,嚴格紀律、管理和分工的原則,不準串崗、兼崗,嚴禁程序設計師同時兼任系統操作員,嚴格禁止系統管理員、終端操作員和系統設計人員混崗。 專職安全管理人員具體負責本系統區域內安全策略的實施,保證安全策略的長期有效:負責軟硬體的安裝維護、日常操作監視,應急條件下安全措施的恢復和風險分析等;負責整個系統的安全,對整個系統的授權、修改、特權、口令、違章報告、報警記錄處理、控制台日誌審閱負責,遇到重大問題不能解決時要及時向主管領導報告。 安全審計人員監視系統運行情況,收集對系統資源的各種非法訪問事件,並對非法事件進行記錄、分析和處理。必要時將審計事件及時上報主管部門。 保安人員負責非技術性常規安全工作,如系統周邊的警衛、辦公安全、出入門驗證等。 2.健全安全管理規章制度 建立健全完善的安全管理規章制度,並認真貫徹落實非常重要。常用的網路安全管理規章制度包括以下7個方面: 1)系統運行維護管理制度。包括設備管理維護制度、軟體維護制度、用戶管理制度、密鑰管理制度、出入門衛管理值班制度、各種操作規程及守則、各種行政領導部門的定期檢查或監督制度。機要重地的機房應規定雙人進出及不準單人在機房操作計算機的制度。機房門加雙鎖,保證兩把鑰匙同時使用才能打開機房。信息處理機要專機專用,不允許兼作其他用途。終端操作員因故離開終端必須退出登錄畫面,避免其他人員非法使用。 2)計算機處理控制管理制度。包括編制及控制數據處理流程、程序軟體和數據的管理、拷貝移植和存儲介質的管理,文件檔案日誌的標准化和通信網路系統的管理。 3)文檔資料管理。各種憑證、單據、賬簿、報表和文字資科,必須妥善保管和嚴格控制;交叉復核記賬;各類人員所掌握的資料要與其職責一致,如終端操作員只能閱讀終端操作規程、手冊,只有系統管理員才能使用系統手冊。 4)操作及管理人員的管理制度。建立健全各種相關人員的管理制度,主要包括: ① 指定具體使用和操作的計算機或伺服器,明確工作職責、許可權和范圍; ② 程序員、系統管理員、操作員崗位分離且不混崗; ③ 禁止在系統運行的機器上做與工作無關的操作; ④ 不越權運行程序,不查閱無關參數; ⑤ 當系統出現操作異常時應立即報告; ⑥ 建立和完善工程技術人員的管理制度; ⑦ 當相關人員調離時,應採取相應的安全管理措施。如人員調離的時馬上收回鑰匙、移交工作、更換口令、取消賬號,並向被調離的工作人員申明其保密義務。 5) 機房安全管理規章制度。建立健全的機房管理規章制度,經常對有關人員進行安全教育與培訓,定期或隨機地進行安全檢查。機房管理規章制度主要包括:機房門衛管理、機房安全工作、機房衛生工作、機房操作管理等。 6)其他的重要管理制度。主要包括:系統軟體與應用軟體管理制度、數據管理制度、密碼口令管理制度、網路通信安全管理制度、病毒的防治管理制度、實行安全等級保護制度、實行網路電子公告系統的用戶登記和信息管理制度、對外交流維護管理制度等。 7)風險分析及安全培訓 ① 定期進行風險分析,制定意外災難應急恢復計劃和方案。如關鍵技術人員的多種聯絡方法、備份數據的取得、系統重建的組織。 ② 建立安全考核培訓制度。除了應當對關鍵崗位的人員和新員工進行考核之外,還要定期進行計算機安全方面的法律教育、職業道德教育和計算機安全技術更新等方面的教育培訓。 對於從事涉及國家安全、軍事機密、財政金融或人事檔案等重要信息的工作人員更要重視安全教育,並應挑選可靠素質好的人員擔任。 3.堅持合作交流制度 計算機網路在快速發展中,面臨嚴峻的安全問題。維護互聯網安全是全球的共識和責任,網路運營商更負有重要責任,應對此高度關注,發揮互聯網積極、正面的作用,包括對青少年在內的廣大用戶負責。各級政府也有責任為企業和消費者創造一個共享、安全的網路環境,同時也需要行業組織、企業和各利益相關方的共同努力。因此,應當大力加強與相關業務往來單位和安全機構的合作與交流,密切配合共同維護網路安全,及時獲得必要的安全管理信息和專業技術支持與更新。國內外也應當進一步加強交流與合作,拓寬網路安全國際合作渠道,建立政府、網路安全機構、行業組織及企業之間多層次、多渠道、齊抓共管的合作機制。 拓展閱讀:網路安全技術及應用(第2版)機械工業出版社 賈鐵軍主編 上海優秀教材獎
7. 上網管理制度
上網管理制度
為維護正常工作秩序,保障計算機網路安全,特製定本規章制度:
一、禁止利用計算機網路從事國家法律法規明令禁止的一切活動。
二、禁止查看和下載國家法律法規明令禁止傳播的一切信息。對網路傳播的各類新聞要注意甄別,未經正式報道的禁止去公共場合談論。
三、未經單位領導批准,禁止上網發布與單位相關的一切信息。
四、工作人員使用的計算機實行責任人制度,不得將計算機交由外人使用。
五、工作時間內所有工作人員禁止打游戲、聊天、看錄像和聽音樂,且前台工作人員工作時間內禁止上網。
六、市勞動就業管理處將不定期進行檢查,發現違反上述規定,將及時通報給相關單位領導,按相關規定進行處罰。
七、所有工作人員應加強網路知識的學習,增強信息安全保密意識,無法識別的信息不要下載,無法確定安全的操作,慎重進行,以防被病毒、「黑客」入侵或對單位和自身造成不良影響及危害。
八、本制度解釋權歸市勞動就業管理處;本制度中「上網」是指訪問國際互聯網,非內部區域網。
九、本制度自印發之日起執行。
8. 杭州市計算機信息網路安全保護管理條例
第一章總則第一條為加強計算機信息網路安全的保護和管理,維護國家安全、公共利益和社會穩定,維護公民、法人和其他組織的合法權益,促進信息化建設的健康發展,根據《中華人民共和國計算機信息系統安全保護條例》、《中華人民共和國計算機信息網路國際聯網管理暫行規定》、《互聯網信息服務管理辦法》等規定,結合本市實際,制定本條例。第二條本條例所稱的計算機信息網路,是指由計算機及其相關的和配套的設備、設施構成的,按照一定的應用目標和規則對信息進行製作、採集、加工、存儲、傳輸、檢索等處理的人機系統和運行體系。
計算機信息網路的安全,包括計算機信息系統及互聯網路的運行安全和信息內容的安全。第三條杭州市行政區域內的計算機信息網路安全保護與管理活動,適用本條例。對涉及國家秘密的計算機信息系統(以下簡稱涉密信息系統)實行分級保護制度,按照國家保密法律法規和保密標准管理。第四條計算機信息網路安全堅持「保護與管理並重」和「誰主管、誰負責,誰運營、誰負責」的原則。第五條市公安局根據本條例規定主管全市計算機信息網路安全保護管理工作。市公安局公共信息網路安全監察分局具體負責全市計算機信息網路安全保護管理工作。
各縣(市)公安局和蕭山區、餘杭區公安分局負責本行政區域范圍內計算機信息網路安全保護管理工作。
國家安全機關、保密工作部門、密碼管理部門、信息化行政主管部門、互聯網新聞信息服務管理部門及其他有關行政主管部門,負責各自職責范圍內的計算機信息網路安全保護管理工作。第六條單位和個人依法使用計算機信息網路的權利,受法律、法規和本條例保護。
任何單位和個人不得利用計算機信息網路從事危害國家安全、公共利益及社會秩序以及侵犯公民、法人和其他組織合法權益的活動,不得危害計算機信息網路的安全。第二章安全保護和管理第七條計算機信息系統實行安全等級保護制度。
計算機信息系統的安全保護等級分為五個等級。等級確定的原則、標准、各級別安全保護和管理內容按照國家和省有關規定執行。
涉密信息系統應當根據國家等級保護的基本要求,按照國家保密工作部門有關涉密信息系統分級保護管理規定和技術標准,結合系統實際情況進行保護。第八條計算機信息系統的運營、使用單位作為安全等級保護的責任主體,應當按照國家有關管理規范、技術標准確定計算機信息系統的安全保護等級。對新建、改建、擴建的計算機信息系統,運營、使用單位應當在規劃、設計階段確定計算機信息系統的安全保護等級,並同步建設符合該安全保護等級要求的信息安全設施。第九條新建的第二級以上計算機信息系統,其運營、使用單位應當在系統投入運行後三十日內到市公安局辦理備案手續。已運行的第二級以上計算機信息系統,其運營、使用單位應當在安全保護等級確定後三十日內到市公安局辦理備案手續。第十條計算機信息系統運營、使用單位應當建立計算機信息系統安全狀況日常檢測工作制度。
計算機信息系統運營、使用單位應當按照國家有關管理規范和技術標准,定期對計算機信息系統安全等級狀況開展等級測評,對計算機信息系統安全狀況、安全保護制度及措施的落實情況進行自查。經測評或者自查,計算機信息系統安全狀況未達到安全保護等級要求的,運營、使用單位應當制定方案進行整改。第十一條計算機信息系統運營、使用單位應當建立並落實以下安全保護制度:
(一)安全責任制度和保密制度;
(二)核實、登記並及時更新用戶注冊信息制度;
(三)信息發布審核、登記、保存、清除和備份制度;
(四)信息網路安全教育和培訓制度;
(五)信息網路安全應急處置制度;
(六)違法案件報告和協助查處制度;
(七)國家和省規定的其他安全保護制度。第十二條計算機信息系統運營、使用單位應當落實以下安全保護技術措施:
(一)系統重要數據備份、容災恢復措施;
(二)計算機病毒等破壞性程序的防治措施;
(三)系統運行和用戶使用日誌備份並保存六十日以上的措施;
(四)記錄、監測網路運行狀態和各種網路安全事件的安全審計措施;
(五)網路安全隔離以及防範網路入侵、攻擊破壞等危害網路安全行為的措施;
(六)密鑰、密碼安全管理措施;
(七)國家和省規定的其他安全保護技術措施。