稽核網路安全

『壹』 保監會關於網路安全的規定

以下解答摘自谷安天下咨詢顧問發表的相關文章！
一、信息安全管理體系已解決的保險公司信息安全問題
保險行業通過信息安全技術的實施，信息安全管理制度的實施，解決了大量具有普遍性的信息安全問題，並形成了行業在信息安全管理方面的特色和管理優勢。概要如下：
建立了比較詳盡的在安全策略，並且總公司的各項IT制度會直接下放到各級分支機構。
在安全組織方面，結合保監會建立「網路安全工作小組」的要求，成立的信息安全組織，由公司的主要領導擔任組長及副組長，組員由主要業務部門、人力資源部門、稽核部門及信息技術部門等部門組成。
在物理環境方面，機房建設按國家A類機房標准建設，符合國家的有關標准；機房實現授權出入管理，出入計算機機房有嚴格的審批程序和出入記錄，物理環境的防火、防水、空調、電力等基本達到安全要求。
建立了較合理的總公司與分支機構的網路基礎架構，網路核心交換機與路由器雙機容錯；公司重要的廣域網接入專用線路都有冗餘。
對網站採用了網頁防篡改技術並定期進行檢查，員工訪問互聯網進行了分級限制，外來人員訪問互聯網有專用網段。
對員工PC集中防病毒管理、集中補丁管理，定期對重要主機與網路設備進行安全檢查。
在計算機信息系統開發、管理與應用上有相對比較清晰和明確的職責分工的要求，在核心業務系統的設計、開發、測試環境基本能做到主機環境的分離，軟體源代碼通過版本控制器集中進行管理。
重要業務系統和數據均有良好的備份措施，特別是進行了數據異地存放等工作。
IT人員責任心強，工作勤勉，在超負荷的工作狀態下能基本維持系統正常運行。
二、信息安全管理體系正在解決的保險公司信息安全問題
當前保險行業信息安全現狀還有許多待改進與提高的地方，與國際標准和最佳信息安全實踐相比，還存在著一定的差距，特別是分支機構在資產管理、物理與環境安全、人力資源管理、通信與操作管理、訪問控制、軟體開發等方面還需付出較大的努力。
以下對信息安全管理體系正在解決的保險行業信息安全方面的主要表現在以下幾個方面：
信息安全投入
IT規劃
資產管理
人力資源安全
物理與環境安全
通信與操作管理
訪問控制
信息系統獲得、開發與維護
信息安全事件管理

擴展閱讀：【保險】怎麼買，哪個好，手把手教你避開保險的這些"坑"

『貳』 深圳經濟特區計算機信息系統公共安全管理規定

第一章總則第一條為了保障深圳經濟特區（以下簡稱特區）計算機信息系統安全，維護計算機信息系統公共秩序，促進社會穩定，根據特區實際，制定本規定。第二條特區內下列計算機信息系統應用單位（以下簡稱計算機應用單位）的計算機信息系統公共安全管理（以下簡稱計算機安全管理），適用本規定：
（一）計算機信息網路經營、服務單位的計算機信息系統；
（二）國家機關用於存儲、處理、傳輸公用信息和機密資料的計算機信息系統；
（三）金融、證券和公共事業單位的計算機信逗滲息系統；
（四）國防建設、尖端科學技術和國家重點經濟建設單位的計算機信息系統；
（五）其他對社會公共利益有重大影響的計算機信息系統。第三條本規定所稱計算機信息系統，是指由計算機及其相關和配套的設備、設施（含網路）構成的，按照一定的應用目標和規則對信息進行採集、加工、存儲、傳輸、檢索等處理的人機系統。第四條深圳市人民政府公安機關是特區計算機安全管理工作的行政主管部門（以下簡稱市主管部門）。其所屬的計算機安全管理部門具體承擔本規定規定的計算機安全管理工作。
其他有關政府職能部門，在各自職責范圍內配合市主管部門，做好計算機安全管理的有關工作。第五條市主管部門應積極開展計算機信息系統安全宣傳教育和學術交流，指導計算機信息系統安全技術行業協會的活動；為計算機應用單位提供計算機信息系統安全保障體系技術服務。第二章計算機應用單位的安全管理第六條計算機應用單位應當建立和完善計算機信息系統安全保障體系。
計算機信息系統安全保障體系包括技術安全管理和安全組織管理。技術安全管理包括計算機信息系統實體安全、軟體安全、輸入輸出控制和網路安全的管理以及安全稽核、風險分析等內容；安全組織管理包括建立安全組織和健全各種安全管理制度及制定應急計劃等內容。
市主管部門應當監督、指導計算機應用單位建立和完善計算機信息系統安全保障體系。第七條市主管部門應當根據計算機應用單位的行業特點，會同市政府有關主管部門發布計算機安全管理行業技術規范，計算機應用單位的安全保障體系不得低於該行業技術規范的最低安全要求。第八條計算機應用單位應當確定計算機安全管理責任人。
安全管理責任人應當履行下列職責：
（一）組織宣傳計算機安全管理方面的法律、法規和有關政策；
（二）擬定並組織實施本單位計算機安全管理的各項規章制度；
（三）定期組織檢查計算機信息系統安全運行情況，及時排除各種安全隱患；
（四）負責組織安全稽核；
（五）負責組織本單位計算機從業人員的安全教育和培訓；
（六）發生安全事故或計算機犯罪案件時，立即向市主管部門報告並採取妥善措施，保護現場，避免危害的擴大。
本規定所稱的安全事故是指計算機信息系統中出現的因人為或自然因素造成的具有社會危害性的事件；所稱的計算機犯罪案件是指針對或利用計算機信息系統的犯罪案件。第九條計算機應用單位應當按照計算機安全管理行業技術規范要求，配備計算機安全技術人員。
計算機安全技術人員應履行下列職責：
（一）執行本單位計算機安全管理的各項規章氏兆制度；
（二）按照計算機安全管理行業技術殲指租規范要求對計算機信息系統安全運行情況進行檢查測試，及時排除各種安全隱患；
（三）發生安全事故或計算機犯罪案件時，應當立即向本單位安全管理責任人報告或直接向市主管部門報告，並採取妥善措施，保護現場，避免危害的擴大。
計算機安全技術人員必須經過市主管部門許可的安全技術培訓，考核合格後持證上崗。合格證有效期為二年。第十條計算機應用單位使用的計算機信息系統安全專用產品必須符合國家有關技術規范或經過專業檢測機構檢測不低於本行業計算機安全管理技術規范中的最低安全要求。
前款所稱的計算機信息系統安全專用產品是指用於保護計算機信息系統安全的專用硬體和軟體產品。
市主管部門應當定期發布通告，公布合格的計算機信息系統安全專用產品目錄。第十一條計算機應用單位發現計算機信息系統中發生安全事故或計算機犯罪案件時，應當在二十四小時內向市主管部門報告。

『叄』 急求我國法律在對銀行網路安全的相關規定

我國對網路銀行和網上交易缺乏相應的法規。如:如何徵收與管理網上稅收、數字簽名是否具有法律效力、交易的跨國界問題、知識產權問題、電子合同問題、電子貨幣問題、電子轉賬問題。應充分利用和執行《網路銀行業務管理暫行辦法》,應充分利用《合同法》、《會計法》、《票據法》、《支付結算辦法》等法律擬訂網路銀行相關協議,制定有關業務流程和業務處理規定,應充分利用目前執行的關於網路安全方面的行政法規,如《計算機信息系統安全保護條例》、《計算機信息網路國際聯網管理暫行規定》等,充分利用中國金融認證中心在認證技術方面的權威性和第三方認證的合理性。網路銀行應注重交易數據的保管,為可能的糾紛或訴訟過程做好證據准備。
建立網路銀行法律監管體系,制定網路銀行的外部懲罰措施以及網路銀行的市場退出機制。建立網路銀行業務運營法律體系,如建立《電子銀行法》、《電子簽名法》、《電子資金劃撥法》等法律法規,同時對已有法律法規進行充實、修改。完善網路銀行配套法律法規建設,主要有稅收征管法、國際稅收法、電子商務法、刑法、訴訟法、票據法、證券法、商業銀行法、消費者權益保護法、反不正當競爭法等相關法律法規。加強與國際立法、司法實踐的交流與合作,加大打擊網上洗錢、網上盜竊等電子犯罪的力度。

『肆』 如何避免路由器放裝時發生終端稽核風險

有如下三種方法
一．限制系統物理訪問：限制系統物理訪問是確保路由器安全的最有效方法之一，即將控制台和終端會話配置成在較短閑置時間後自動退出系統；避免將數據機連接至路由器的輔助埠也很重要。一旦限制了路由器的物理訪問，用戶一定要確保路由器的安全補丁是最新的。因為漏洞雹舉常常是在供應商發行補丁之前被披露，這就使得黑客搶在供應商發行補丁之前利用受影響的系統，這需要引起用戶的關注。
二．加強口令安全：黑客常常利用弱口令或默認口令進行攻擊。加長口令、選用30到60天的口令有效期等措施有助於防止這類漏洞。另外，一旦重要的網管員工辭職，用戶應該立即更換口令。用戶應該啟用路由器上的口令加密功能，實施合理的驗證控制以便路由器安全地傳輸數據。
三．應用身份驗證功能：在大多數路由器上，用戶可以配置一些加密和認證協議，如遠程驗證撥入用戶服務。驗證控制可以將用戶的驗證請求轉發給通常在後端網路上的驗證伺服器，驗證伺服器還可以要求用戶使用雙因素衫肆耐驗證，以此加強驗證系統。
路由器（Router）是連接兩個或多個網路的硬體設備，在網路間起網關的作用，是讀取每一個數據包中的地址然後決定如何傳送的專用智能性的網路設備。它能夠理解不同的協或春議，例如某個區域網使用的乙太網協議，網際網路使用的TCP/IP協議。這樣，路由器可以分析各種不同類型網路傳來的數據包的目的地址，把非TCP/IP網路的地址轉換成TCP/IP地址，或者反之；再根據選定的路由演算法把各數據包按最佳路線傳送到指定位置。所以路由器可以把非TCP/IP網路連接到網際網路上。

『伍』 護網行動是什麼

護網行動是一場網路安全攻防演練。護網2019由公安部11局組織,於2019.6.10開始,持續3周。是針對全國范圍的真實網路目標為對象的實戰攻防活動,旨在發現、暴露和解決安全問題,檢驗我國各大企事業單位、部屬機關的網路安全防護水平和應急處置能力。

隨著信息技術飛速發展，傳統意義上的民族國家所發揮的作用正面臨著來自各個方面的挑戰，但在接受互聯網安全的不確定性的基礎上，國家仍可主導互聯網信息安全並創立多種互聯網安全治理形式。國家應該在特定的時間點，把精力集中於特定信息技術在特定領域及政府機構的影響上。

信息化時代的復雜性需要國家的主導作用：

國家在維護網路信息安全方面所處的高度和能發揮的作用，不是非國家行為主體可以比擬的。非國家行為主體存在著其自身難以克服的局限性，比如其關注的問題一般較為單一，過分注重追求單個利益目標，而忽視政策的平衡性和整體性等。

國家在設定國際法律規范、規定各類行為主體在互聯網上的行為、以標准化促進全球互聯網安全和業界共識、通過國家合作打擊網路犯罪等模式治理方面有著先天的優勢，完全可以居於主導地位，並充分利用各種國際機制和政策工具。

而在飛速發展的信息時代，國家還需創新並主導互聯網安全的治理模式。由國家提供互聯網安全的「公共產品」或將受益人集中於一個平台上共同維持「公共產品」。

在處理非國家行為主體方面，無論是對企業還是個人，國家都可從分析其在國際事務中的具體行為出發，利用其建設性的、積極的一面，以實現維護全球互聯網信息安全的最終目標。

以上內容參考：人民網-維護網路信息安全，國家主導是關鍵

『陸』 網路安全都需要考什麼證書呢

含金量最高的：CISSP。全球注冊信息系統安全專家。
而在信息安全稽核方面最牛逼的是：CISM。記住這兩個證的頒證機構、有興趣可以知道下他們制定的標准，就可以了。
含金量次之的：CISP。包含CISE（工程師）、CISO（管理）、CISA（外審）三個不同的方向。四大的安全審計大都要求CISA資質。不要迷信CISO，因為還有CISSP存在。
沒有工作經驗就能考的證含金量相對較低，企業一般不會為之付錢，但是有一些企業的認證還是可以看看的，說明你在相關領域達到了一定水平——即使你不去這些企業，由於它們的市場份額，依舊「有點看頭」：
·思科的CCNP。至於CCIE本科一般考不下來。考下來的你就可以在搶你的企業中挑你最喜歡的了。因你為之付出的代價也已經特別大，而思科的地位也不容置疑。如果你很清楚地知道自己所指定的「網路安全」就是要搞底下四層的話，那就堅定地奔CCIE去吧，不用看其他的了。哪怕畢業前拿不下來，學習也是你自己的。CCNA你可以學，考就算了，沒有用。CCNP就有了網路安全及優化的方向。

『柒』 網路安全應遵循什麼原則

在企業網路安全管理中，為員工提供完成其本職工作所需要的信息訪問許可權、避免未經授權的人改變公司的關鍵文檔、平衡訪問速度與安全控制三方面分別有以下三大原則：
原則一：最小許可權原則。
最小許可權原則要求是在企業網路安全管理中，為員工僅僅提供完成其本職工作所需要的信息訪問許可權，而不提供其他額外的許可權。如企業現在有一個文件伺服器系統，為了安全的考慮，比如財務部門的文件會做一些特殊的許可權控制。財務部門會設置兩個文件夾，其中一個文件夾用來放置一些可以公開的文件，如空白的報銷憑證等等，方便其他員工填寫費用報銷憑證。還有一個文件放置一些機密文件，只有企業高層管理人員才能查看，如企業的現金流量表等等。此時在設置許可權的時候，就要根據最小許可權的原則，對於普通員工與高層管理人員進行發開設置，若是普通員工的話，則其職能對其可以訪問的文件夾進行查詢，對於其沒有訪問許可權的文件夾，則伺服器要拒絕其訪問。最小許可權原則除了在這個訪問許可權上反映外，最常見的還有讀寫上面的控制。所以，要保證企業網路應用的安全性，就一定要堅持「最小許可權」的原則，而不能因為管理上的便利，而採取了「最大許可權」的原則。

原則二：完整性原則。
完整性原則指在企業網路安全管理中，要確保未經授權的個人不能改變或者刪除信息，尤其要避免未經授權的人改變公司的關鍵文檔，如企業的財務信息、客戶聯系方式等等。完整性原則在企業網路安全應用中，主要體現在兩個方面：
一、未經授權的人，不得更改信息記錄。如在企業的ERP系統中，財務部門雖然有對客戶信息的訪問權利，但是，其沒有修改權利。其所需要對某些信息進行更改，如客戶的開票地址等等，一般情況下，其必須要通知具體的銷售人員，讓其進行修改。這主要是為了保證相關信息的修改，必須讓這個信息的創始人知道。否則的話，若在記錄的創始人不知情的情況下，有員工私自把信息修改了，那麼就會造成信息不對稱的情況發生。所以，一般在信息化管理系統中，如ERP管理系統中，默認都會有一個許可權控制「不允許他人修改、刪除記錄」。這個許可權也就意味著只有記錄的本人可以修改相關的信息，其他員工最多隻有訪問的權利，而沒有修改的權利。
二、指若有人修改時，必須要保存修改的歷史記錄，以便後續查詢。在某些情況下，若不允許其他人修改創始人的信息，也有些死板。如采購經理有權對采購員下的采購訂單進行修改、作廢等操作。遇到這種情況該怎麼處理呢?在ERP系統中，可以通過采購變更單處理。也就是說，其他人不能夠直接在原始單據上進行內容的修改，其要對采購單進行價格、數量等修改的話，無論是其他人又或者是采購訂單的主人，都必須通過采購變更單來解決。這主要是為了記錄的修改保留原始記錄及變更的過程。當以後發現問題時，可以稽核。若在修改時，不保存原始記錄的話，那出現問題時，就沒有記錄可查。所以，完整性原則的第二個要求就是在變更的時候，需要保留必要的變更日誌，以方便後續的追蹤。總之，完整性原則要求在安全管理的工作中，要保證未經授權的人對信息的非法修改，及信息的內容修改最好要保留歷史記錄，比如網路管理員可以使用日事清的日誌管理功能，詳細的記錄每日信息內容的修改情況，可以給日後的回顧和檢查做好參考。
原則三：速度與控制之間平衡的原則。
在對信息作了種種限制的時候，必然會對信息的訪問速度產生影響。如當采購訂單需要變更時，員工不能在原有的單據上直接進行修改，而需要通過采購變更單進行修改等等。這會對工作效率產生一定的影響。這就需要對訪問速度與安全控制之間找到一個平衡點，或者說是兩者之間進行妥協。

『捌』 如果要走網路安全這方面,需要考哪些認證呢

內部資料，匿了 含金量最高的：CISSP。全球注冊信息系統安全專家。 而在信息安全稽核方面最牛逼的是：CISM。記住這兩個證的頒證機構、有興趣可以知道下他們制定的標准，就可以了。 含金量次之的：CISP。包含CISE（工程師）、CISO（管理）、CISA（外審）三個不同的方向。四大的安全審計大都要求CISA資質。不要迷信CISO，因為還有CISSP存在。 ——這些你都考不了。了解一下。 沒有工作經驗就能考的證含金量相對較低，企業一般不會為之付錢，但是有一些企業的認證還是可以看看的，說明你在相關領域達到了一定水平——即使你不去這些企業，由於它們的市場份額，依舊「有點看頭」： ·思科的CCNP。至於CCIE本科一般考不下來。考下來的你就可以在搶你的企業中挑你最喜歡的了。因你為之付出的代價也已經特別大，而思科的地位也不容置疑。如果你很清楚地知道自己所指定的「網路安全」就是要搞底下四層的話，那就堅定地奔CCIE去吧，不用看其他的了。哪怕畢業前拿不下來，學習也是你自己的。CCNA你可以學，考就算了，沒有用。CCNP就有了網路安全及優化的方向。 ·微軟的MCSE。和Red Hat認證。也是因為其市場佔有率。一個針對windows，一個針對linux。在網路安全方向，這種認證可以有助於你在操作安全方面的精深，以興趣為主。 ·有去國企的長遠計劃話，把軟考考了吧。總有一天要考高工的。比如中級網路工程師、高級信息系統架構師。這個證私企不看，國企牛逼。 ·CIA是國際內審師。信息安全內控只是其中的大約四分之一甚至不到的內容。但是含金量挺高，沒有工作經驗也可以考。屬於信息安全范疇，CIA本身與網路安全只是擦邊。 敞開地說，考證就是帶目的的，不希望白花時間。你可以花一些時間去了解這些認證的獲得條件、花費、考試大綱和往年教材目錄。看過全景，再花一定時間規劃自己到底適合哪個方向。因為你要能在一個領域長遠發展，必有興趣的支撐。接下來，就是選一個、決不能超過兩個去學習，甚至是看情況報班培訓（有的是必須的）。我在學校里的時候很慶幸自己沒有跟風去考計算機等級考試，而是以軟考為目的，以鞏固本科知識為收獲考下了軟考，基礎比較扎實。現在以CISA為目標。 內部資料是前輩同事總結維護而來，我比較迷信嗯。在工作前除了思科認證其他的東西我壓根沒聽說過。希望對你有幫助。