政府网络安全解决方案
政府网络安全解决方案
第一章前言
以Internet为代表的全球性信息化浪潮日益深刻,信息网络技术的应用正日益普及和广泛,应用层次正在深入,应用领域从传统的、小型业务系统逐渐向大型、关键业务系
统扩展,典型的如行政部门业务系统、金融业务系统、企业商务系统等。伴随网络的普及,安全日益成为影响网络效能的重要问题,而Internet所具有的开放性、国际性和自由性在增加应用自由度的同时,对安全提出了更高的要求。如何使信息网络系统不受黑客和工业间谍的入侵,已成为政府机构、企事业单位信息化健康发展所要考虑的重要事情之一。
政府机构从事的行业性质是跟国家紧密联系的,所涉及信息可以说都带有机密性,所以其信息安全问题,如敏感信息的泄露、黑客的侵扰、网络资源的非法使用以及计算机病毒等。都将对政府机构信息安全构成威胁。为保证政府网络系统的安全,有必要对其网络进行专门安全设计。
FortiNet公司是一家从事网络信息安全研究、产品开发的高科技术企业之一。是一家致力于国际信息安全产业发展的专业安全公司。 FortiNet公司已成功开发出具有自主版权的安全产品:FortiGate系列防火墙。该产品是基于ASIC芯片的硬件防火墙,集成了网关级病毒检测和内容过滤功能。该安全产品已获得公安部许可,同时获得了ICSA的AntiVirus、IPSec和FireWall认证。目前,这些安全产品都已广泛应用于金融、电信、教育等行业。并赢得用户的广泛赞誉。
第二章网络系统分析
2.1 基本网络结构
如今随着网络发展及普及,政府行业单位也从原来单机到局域网并扩展到广域网,把分布在全国各地的系统内单位通过网络互连起来,从整体上提高了办事效率。以下是某个政府机关单一个全国网络系统结构示意图:
由于VPN设备不依赖于底层的具体传输链路,它一方面可以降低网络安全设备的投资;而另一方面,更重要的是它可以为上层的各种应用提供统一的网络层安全基础设施和可选的虚拟专用网服务平台。对政府行业网络系统这样一种大型的网络,VPN设备可以使网络在升级提速时具有很好的扩展性。鉴于VPN设备的突出优点,应根据企业具体需求,在各个网络结点与公共网络相连接的进出口处安装配备VPN设备。
如图2-1示,国家局网络一方面通过宽带网与国家局直属单位互连,另一方面国家局网络经电信公司的专网与各省局单位网络互连;而各省局单位又通过专网与其各自的下属地市局单位互连。本行业系统各局域网经广域线路互连构成一个全国性的企业网(Intranet)。
2.2 网络应用
对于各级网络系统通过本地局域网,用户间可以共享网络资源(如:文件服务器、打印机等)
对于各级用户之间,根据用户应用需要,通过广域网络,各级用户之间可以利用电子邮件互相进行信息交流。
而单位间通过网络互相提供浏览器访问方式对外部用户发布信息,提供游览、查询等服务。如发布一些政策、规划;网上报税等。
各级用户间还有行业数据需要通过网络进行交换。而这些数据大多都可能涉及到秘密信息。
各级单位通过网络召开电视电话会议,比如计论有关一些国家政策性的内容,因此其内容在网上传输也需要保密。
通过网络使用单位系统内部的IP电话。
第三章网络安全风险分析
网络应用给人们带来了无尽的好处,但随着网络应用扩大网络安全风险也变得更加严重和复杂。原来由单个计算机安全事故引起的损害可能传播到其他系统和主机,引起大范围的瘫痪和损失;另外加上缺乏安全控制机制和对网络安全政策及防护意识的认识不足,这些风险正日益加重。而这些风险与网络系统结构和系统的应用等因素密切相关。下面从物理安全、链路安全、网络安全、系统安全、应用安全及管理安全进行分类描述:
3.1 物理安全风险分析
网络物理安全是整个网络系统安全的前提。物理安全的风险主要有:
·地震、水灾、火灾等环境事故造成整个系统毁灭;
·电源故障造成设备断电以至操作系统引导失败或数据库信息丢失;
·设备被盗、被毁造成数据丢失或信息泄漏;
·电磁辐射可能造成数据信息被窃取或偷阅;
·报警系统的设计不足可能造成原本可以防止但实际发生了的事故。
3.2 链路传输风险分析
网络安全不仅是入侵者到企业内部网上进行攻击、窃取或其它破坏,他们完全有可能在传输线路上安装窃听装置,窃取你在网上传输的重要数据,再通过一些技术读出数据信息,造成泄密或者做一些篡改来破坏数据的完整性;以上种种不安全因素都对网络构成严重的安全危胁。因此,对于政府这样带有重要信息传输的网络,数据在链路上传输必须加密。并通过数字签名及认证技术来保数据在网上传输的真实性、机密性、可靠性及完整性。
3.3 网络结构的安全风险分析
3.3.1 来自与公网互联的安全危胁
如果政府内部网络与Internet公网有互连。基于Internet公网的开放性、国际性与自由性,内部网络将面临更加严重的安全危胁。因为,每天黑客都在试图闯入Internet节点,假如我们的网络不保持警惕,可能连黑客怎么闯入的都不知道,甚至会成为黑客入侵其他网络的跳板。政府行业内部网络中其办公系统及各人主机上都有涉密信息。假如内部网络的一台机器安全受损(被攻击或者被病毒感染),就会同时影响在同一网络上的许多其他系统。透过网络传播,还会影响到与本系统网络有连接的外单位网络;影响所及,还可能涉及法律、金融等安全敏感领域。对于政府行业网络系统,国家也有规定是不能与互联网直接或间接与相连。
3.3.2 内部网络与系统外部网互联安全威胁
如果系统内部局域网络与系统外部网络间没有采取一定的安全防护措施,内部网络容易造到来自外网一些不怀好意的入侵者的攻击。如:
入侵者通过Sniffer等嗅探程序来探测扫描网络及操作系统存在的安全漏洞,如网络IP地址、应用操作系统的类型、开放哪些TCP端口号、系统保存用户名和口令等安全信息的关键文件等,并通过相应攻击程序对内网进行攻击。
入侵者通过网络监听等先进手段获得内部网用户的用户名、口令等信息,进而假冒内部合法身份进行非法登录,窃取内部网重要信息。
恶意攻击:入侵者通过发送大量PING包对内部网重要服务器进行攻击,使得服务器超负荷工作以至拒绝服务甚至系统瘫痪。
3.3.3 内部局域网的安全威胁
据调查在已有的网络安全攻击事件中约70%是来自内部网络的侵犯。比如内部人员故意泄漏内部网络的网络结构;安全管理员有意透露其用户名及口令;内部不怀好意员工编些破坏程序在内部网上传播或者内部人员通过各种方式盗取他人涉密信息传播出去。种种因素都将网络安全构成很的威胁。
3.4 系统的安全风险分析
所谓系统安全通常是指网络操作系统、应用系统的安全。目前的操作系统或应用系统无论是Windows还是其它任何商用UNIX操作系统以及其它厂商开发的应用系统,其开发厂商必然有其Back-Door。而且系统本身必定存在安全漏洞。这些"后门"或安全漏洞都将存在重大安全隐患。但是从实际应用上,系统的安全程度跟对其进行安全配置及系统的应用面有很大关系,操作系统如果没有采用相应的安全配置,则其是漏洞百出,掌握一般攻击技术的人都可能入侵得手。如果进行安全配置,比如,填补安全漏洞,关闭一些不常用的服务,禁止开放一些不常用而又比较敏感的端口等,那么入侵者要成功进行内部网是不容易,这需要相当高的技术水平及相当长时间。因此应正确估价自己的网络风险并根据自己的网络风险大小作出相应的安全解决方案。
3.5 应用的安全风险分析
应用系统的安全涉及很多方面。应用系统是动态的、不断变化的。应用的安全性也是动态的。这就需要我们对不同的应用,检测安全漏洞,采取相应的安全措施,降低应用的安全风险。
3.5.1 资源共享
政府网络系统内部必有自动化办鹟系统。而办公网络应用通常是共享网络资源,比如文件共、打印机共享等。由此就可能存在着:员工有意、无意把硬盘中重要信息目录共享,长期暴露在网络邻居上,可能被外部人员轻易偷取或被内部其他员工窃取并传播出去造成泄密,因为缺少必要的访问控制策略。
3.5.2 电子邮件系统
电子邮件为网系统用户提供电子邮件应用。内部网用户可够通过拔号或其它方式进行电子邮件发送和接收这就存在被黑客跟踪或收到一些特洛伊木马、病毒程序等,由于许多用户安全
意识比较淡薄,对一些来历不明的邮件,没有警惕性,给入侵者提供机会,给系统带来不安全因至素。
3.5.3 病毒侵害
网络是病毒传播的最好、最快的途径之一。病毒程序可以通过网上下载、电子邮件、使用盗版光盘或软盘、人为投放等传播途径潜入内部网。因些,病毒的危害的不可以轻视的。网络中一旦有一台主机受病毒感染,则病毒程序就完全可能在极短的时间内迅速扩散,传播到网络上的所有主机,可能造成信息泄漏、文件丢失、机器死机等不安全因素。
3.5.4 数据信息
数据安全对对政府行业来说尤其重要,数据在广域网线路上传输,很难保证在传输过程中不被非法窃取,篡改。现今很多先进技术,黑客或一些工业间谍会通过一些手段,设法在线路上做些手脚,获得在网上传输的数据信息。也就造成的泄密。这对政府行业用户来说,是决不允许的。
3.6 管理的安全风险分析
内部管理人员或员工把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险。
机房重地却是任何都可以进进出出,来去自由。存有恶意的入侵者便有机会得到入侵的条件。
内部不满的员工有的可能熟悉服务器、小程序、脚本和系统的弱点。利用网络开些小玩笑,甚至破坏。如传出至关重要的信息、错误地进入数据库、删除数据等等。这些都将给网络造成极大的安全风险。
管理是网络中安全得到保证的重要组成部分,是防止来自内部网络入侵必须的部分。责权不明,管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。即除了从技术上下功夫外,还得依靠安全管理来实现。
第四章网络安全需求及安全目标
通过对网络结构、网络安全风险分析,再加上黑客、病毒等安全危胁日益严重。网络安全问题的解决势在必行。针对不同安全风险必须采用相应的安全措施来解决。使网络安全达到一定的安全目标。
4.1 安全需求
4.1.1 物理上安全需求
针对重要信息可能通过电磁辐射或线路干扰等泄漏。需要对存放机密信息的机房进行必要的设计,如构建屏蔽室。采用辐射干扰机,防止电磁辐射泄漏机密信息。对重要的设备进行备份;对重要系统进行备份等安全保护。
4.1.2 访问控制需求
4.1.2.1 防范非法用户非法访问
非法用户的非法访问也就是黑客或间谍的攻击行为。在没有任何防范措施的情况下,网络的安全主要是靠主机系统自身的安全,如用户名及口令字这些简单的控制。但对于用户名及口令的保护方式,对有攻出击目的的人而言,根本就不是一种障碍。他们可以通过对网络上信息的监听,得到用户名及口令或者通过猜测用户及口令,这都将不是难事,而且可以说只要花费很少的时间。因此,要采取一定的访问控制手段,防范来自非法用户的攻击,严格控制只在合法用户才能访问合法资源。
4.1.2.2 防范合法用户非授权访问
合法用户的非授权访问是指合法用户在没有得到许可的情况下访问了他本不该访问的资源。一般来说,每个成员的主机系统中,有一部份信息是可以对外开放,而有些信息是要求保密或具有一定的隐私性。外部用户被允许正常访问的一定的信息,但他同时通过一些手段越权访问了别人不允许他访问的信息,因此而造成他人的信息泄密。所以,还得加密访问控制的机制,对服务及访问仅限过行严格控制。
4.1.2.3 防范假冒合法用户非法访问
从管理上及实际需求上是要求合法用户可正常访问被许可的资源。既然合法用户可以访问资源。那么,入侵者便会在用户下班或关机的情况下,假冒合法用户的IP地址或用户名等资源进行非法访问。因此,必需从访问控制上做到防止假冒而过行的非法访问。
4.1.3 加密机需求
加密传输是网络安全重要手段之一。信息的泄漏很多都是在链路上被搭线窃取,数据也可能因为在链路上被截获、被篡改后传输给对方,造成数据真实性、完整性得不到保证。如果利用加密设备对传输数据进行加密,使得在网上传的数据以密文传输,因为数据是密文。所以,即使,在传输过程中被截获,入侵者也读不懂,而且加密机还能通过先进行技术手段,对数据传输过程中的完整性、真实性进行鉴别。可以保证数据的保密性、完整性及可靠性。因此,必需配备加密设备对数据进行传输加密。
4.1.4 入侵检测系统需求
也许有人认为,网络配了防火墙就安全了,就可以高枕无忧了。其实,这是一种错误的认识,网络安全是整体的,动态的,不是单一产品能够完全实现。防火墙是实现网络安全最基本、最经济、最有效的措施之一。防火墙可以对所有的访问进行严格控制(允许、禁止、报警)。但防火墙不可能完全防止有些新的攻击或那些不经过防火墙的其它攻击。所以确保网络更加安全必须配备入侵检测系统,对透过防火墙的攻击进行检测并做相应反应(记录、报警、阻断)。
4.1.5 安全风险评估系统需求
网络系统存在安全漏洞(如安全配置不严密等)和操作系统安全漏洞等是黑客等入侵者攻击屡屡得手的重要因素。入侵者通常都是通过一些程来探测网络中系统中存在的一些安全漏洞,然后通过发现的安全漏洞,采取相就技术进行攻击,因此,必需配备网络安全扫描系统和系统安全扫描系统检测网络中存在的安全漏洞,并采用相应的措施填补系统漏洞,对网络设备等存在的不安全配置重新进行安全配置。
4.1.6 防病毒系统需求
针对防病毒危害性极大并且传播极为迅速,必须配备从客户端到网关的整套防病毒软件,实现全网的病毒安全防护。
4.1.7 安全管理体制
健全的人的安全意识可以通过安全常识培训来提高。人的行为的约束只能通过严格的管理体制,并利用法律手段来实现。
4.1.8 构建CA系统
由于网络系统必须采用加密措施。而加密系统通常都通过加密密钥来实现,而密钥的分发及管理的可靠性却存在安全问题,构建CA系统就是在这个基础上提出的。通过信任的第三方来确保通信双方互相交换信息。
4.2 安全目标
基于以上的需求分析,我们认为网络系统可以实现以下安全目标:
·保护网络系统的可用性
·保护网络系统服务的连续性
·防范网络资源的非法访问及非授权访问
·防范入侵者的恶意攻击与破坏
·保护政府信息通过网上传输过程中的机密性、完整性
·防范病毒的侵害
·实现网络的安全管理。
第五章网络安全实现策略及产品选型原则
网络安全防范是通过安全技术、安全产品集成及安全管理来实现。其中安全产品的集成便涉及如何选择网络安全产品?在进行网络安全产品选型时,应该要求网络安全产品满足两方面的要求:一是安全产品必须符合国家有关安全管理部门的政策要求;二是安全产品的功能与性能要求。
5.1 满足国家管理部门的政策性方面要求
针对相关的安全产品必须查看其是否得到相应的许可证,如:
·密码产品满足国家密码管理委员会的要求。
·安全产品获得国家公安部颁发的销售许可证。
·安全产品获得中国信息安全产品测评认证中心的测评认证。
·安全产品获得总参谋部颁发的国防通信网设备器材进网许可证。
·符合国家保密局有关国际联网管理规定以及涉密网审批管理规定。
5.2 安全产品的选型原则
从安全产品自来选择必须考虑产品功能、性能、运行稳定性以及扩展性,并且对安全产品,还必须考查其产品自身的安全性。
第六章网络安全方案设计原则
在进行网络系统安全方案设计、规划时,应遵循以下原则:
6.1 需求、风险、代价平衡分析的原则
对任一网络,绝对安全难以达到,也不一定是必要的。对一个网络要进行实际的研究(包括任务、性能、结构、可靠性、可维护性等),并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定系统的安全策略。
6.2 综合性、整体性原则
应运用系统工程的观点、方法,分析网络的安全及具体措施。安全措施主要包括:行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业技术措施(访问控制、加密技术、认证技术、攻出检测技术、容错、防病毒等)。一个较好的安全措施往往是多种方法适当综合的应用结果。
计算机网络的各个环节,包括个人(使用、维护、管理)、设备(含设施)、软件(含应用系统)、数据等,在网络安全中的地位和影响作用,也只有从系统整体的角度去看待、分析,才可能得到有效、可行的措施。不同的安全措施其代价、效果对不同网络并不完全相同。计算机网络安全应遵循整体安全性原则,根据确定的安全策略制定出合理的网络体系结构及网络安全体系结构。
6.3 一致性原则
一致性原则主要是指网络安全问题应与整个网络的工作周期(或生命周期)同时存在,制定的安全体系结构必须与网络的安全需求相一致。安全的网络系统设计(包括初步或详细设计)及实施计划、网络验证、验收、运行等,都要有安全的内容及措施。实际上,在网络建设的开始就考虑网络安全对策,比在网络建设好后再考虑安全措施,不但容易,且花费也少得多。
6.4 易操作性原则
安全措施需要人去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性;其次,措施的采用不能影响系统的正常运行。
6.5 适应性及灵活性原则
安全措施必须能随着网络性能及安全需求的变化而变化,要容易适应、容易修改和升级。
6.6 多重保护原则
任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。
6.7 可评价性原则
如何预先评价一个安全设计并验证其网络的安全性,这需要通过国家有关网络信息安全测评认证机构的评估来实现。
网络安全是整体的、动态的。网络安全的整体性是指一个安全系统的建立,即包括采用相应的安全设备,又包括相应的管理手段。安全设备不是指单一的某种安全设备,而是指几种安全设备的综合。网络安全的动态性是指,网络安全是随着环境、时间的变化而变化的,在一定环境下是安全的系统,环境发生变化了(如更换了某个机器),原来安全的系统就变的不安全了;在一段时间里安全的系统,时间发生变化了(如今天是安全的系统,可能因为黑客发现了某种系统的漏洞,明天就会变的不安全了),原来的系统就会变的不安全。所以,建立网络安全系统不是一劳永逸的事情。
针对安全体系的特性,我们可以采用"统一规划、分步实施"的原则。具体而言,我们可以先对网络做一个比较全面的安全体系规划,然后,根据我们网络的实际应用状况,先建立一个基础的安全防护体系,保证基本的、应有的安全性。随着今后应用的种类和复杂程度的增加,再在原来基础防护体系之上,建立增强的安全防护体系。
对于政府行业网络安全体系的建立,我们建议采取以上的原则,先对整个网络进行整体的安全规划,然后,根据实际状况建立一个从防护--检测--响应的基础的安全防护体系,提高整个网络基础的安全性,保证应用系统的安全性。
第七章网络安全体系结构
通过对网络应用的全面了解,按照安全风险、需求分析结果、安全策略以及网络的安全目标。具体的安全控制系统可以从以下几个方面分述: 物理安全、系统安全、网络安全、应用安全、管理安全。
7.1 物理安全
保证计算机信息系统各种设备的物理安全是保障整个网络系统安全的前提。物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。它主要包括三个方面:
7.1.1 环境安全
对系统所在环境的安全保护,如区域保护和灾难保护;(参见国家标准GB50173-93《电子计算机机房设计规范》、国标GB2887-89《计算站场地技术条件》、GB9361-88《计算站场地安全要求》
7.1.2 设备安全
设备安全主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等;设备冗余备份;通过严格管理及提高员工的整体安全意识来实现。
7.1.3 媒体安全
包括媒体数据的安全及媒体本身的安全。显然,为保证信息网络系统的物理安全,除在网络规划和场地、环境等要求之外,还要防止系统信息在空间的扩散。计算机系统通过电磁辐射使信息被截获而失密的案例已经很多,在理论和技术支持下的验证工作也证实这种截取距离在几百甚至可达千米的复原显示技术给计算机系统信息的保密工作带来了极大的危害。为了防止系统中的信息在空间上的扩散,通常是在物理上采取一定的防护措施,来减少或干扰扩散出去的空间信号。这对重要的政策、军队、金融机构在兴建信息中心时都将成为首要设置的条件。
正常的防范措施主要在三个方面:
对主机房及重要信息存储、收发部门进行屏蔽处理,即建设一个具有高效屏蔽效能的屏蔽室,用它来安装运行主要设备,以防止磁鼓、磁带与高辐射设备等的信号外泄。为提高屏蔽室的效能,在屏蔽室与外界的各项联系、连接中均要采取相应的隔离措施和设计,如信号线、电话线、空调、消防控制线,以及通风、波导,门的关起等。
对本地网、局域网传输线路传导辐射的抑制,由于电缆传输辐射信息的不可避免性,现均采光缆传输的方式,大多数均在Modem出来的设备用光电转换接口,用光缆接出屏蔽室外进行传输。
对终端设备辐射的防范。终端机尤其是CRT显示器,由于上万伏高压电子流的作用,辐射有极强的信号外泄,但又因终端分散使用不宜集中采用屏蔽室的办法来防止,故现在的要求除在订购设备上尽量选取低辐射产品外,目前主要采取主动式的干扰设备如干扰机来破坏对应信息的窃取,个别重要的首脑或集中的终端也可考虑采用有窗子的装饰性屏蔽室,这种方法虽降低了部份屏蔽效能,但可大大改善工作环境,使人感到在普通机房内一样工作。
7.2 系统安全
7.2.1 网络结构安全
网络结构的安全主要指,网络拓扑结构是否合理;线路是否有冗余;路由是否冗余,防止单点失败等。工行网络在设计时,比较好的考虑了这些因素,可以说网络结构是比较合理的、比较安全的。
7.2.2 操作系统安全
对于操作系统的安全防范可以采取如下策略:尽量采用安全性较高的网络操作系统并进行必要的安全配置、关闭一些起不常用却存在安全隐患的应用、对一些保存有用户信息及其口令的关键文件(如UNIX下:/.rhost、etc/host、passwd、shadow、group等;Windows NT 下的LMHOST、SAM等)使用权限进行严格限制;加强口令字的使用(增加口令复杂程度、不要使用与用户身份有关的、容易猜测的信息作为口令),并及时给系统打补丁、系统内部的相互调用不对外公开。
通过配备操作系统安全扫描系统对操作系统进行安全性扫描,发现其中存在的安全漏洞,并有针对性地进行对网络设备重新配置或升级。
7.2.3 应用系统安全
在应用系统安全上,应用服务器尽量不要开放一些没有经常用的协议及协议端口号。如文件服务、电子邮件服务器等应用系统,可以关闭服务器上如HTTP、FTP、TELNET、RLOGIN等服务。还有就是加强登录身份认证。确保用户使用的合法性;并严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。充分利用操作系统和应用系统本身的日志功能,对用户所访问的信息做记录,为事后审查提供依据。
7.3 网络安全
网络安全是整个安全解决方案的关键,从访问控制、通信保密、入侵检测、网络安全扫描系统、防病毒分别描述。
7.3.1 隔离与访问控制
7.3.1.1 严格的管理制度
可制定的制度有:《用户授权实施细则》、《口令字及帐户管理规范》、《权限管理制度》、《安全责任制度》等。
7.3.1.2 划分虚拟子网(VLAN)
内部办公自动化网络根据不同用户安全级别或者根据不同部门的安全需求,利用三层交换机来划分虚拟子网(VLAN),在没有配置路的情况下,不同虚拟子网间是不能够互相访问。通过虚拟子网的划分,能够实较粗略的访问控制。
7.3.1.3 配备防火墙
防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。防火墙通过制定严格的安全策略实现内外网络或内部网络不同信任域之间的隔离与访问控制。并且防火墙可以实现单向或双向控制,对一些高层协议实现较细粒的访问控制。FortiGate产品从网络层到应用层都实现了自由控制。
7.3.2 通信保密
数据的机密性与完整性,主要是为了保护在网上传送的涉及企业秘密的信息,经过配备加密设备,使得在网上传送的数据是密文形式,而不是明文。可以选择以下几种方式:
7.3.2.1 链路层加密
对于连接各涉密网节点的广域网线路,根据线路种类不同可以采用相应的链路级加密设备,以保证各节点涉密网之间交换的数据都是加密传送,以防止非授权用户读懂、篡改传输的数据。
链路加密机由于是在链路级,加密机制是采用点对点的加密、解密。即在有相互访问需求并且要求加密传输的各网点的每条外线线路上都得配一台链路加密机。通过两端加密机的协商配合实现加密、解密过程。
7.3.2.2 网络层加密
鉴于网络分布较广,网点较多,而且可能采用DDN、FR等多种通讯线路。如果采用多种链路加密设备的设计方案则增加了系统投资费用,同时为系统维护、升级、扩展也带来了相应困难。因此在这种情况下我们建议采用网络层加密设备(VPN),VPN是网络加密机,是实现端至端的加密,即一个网点只需配备一台VPN加密机。根据具体策略,来保护内部敏感信息和企业秘密的机密性、真实性及完整性。
IPsec是在TCP/IP体系中实现网络安全服务的重要措施。而VPN设备正是一种符合IPsec 标准的IP协议加密设备。它通过利用跨越不安全的公共网络的线路建立IP安全隧道,能够保护子网间传输信息的机密性、完整性和真实性。经过对VPN的配置,可以让网络内的某些主机通过加密隧道,让另一些主机仍以明文方式传输,以达到安全、传输效率的最佳平衡。一般来说,VPN设备可以一对一和一对多地运行,并具有对数据完整性的保证功能,它安装在被保护网络和路由器之间的位置。设备配置见下图。目前全球大部分厂商的网络安全产品都支持IPsec标准。
由于VPN设备不依赖于底层的具体传输链路,它一方面可以降低网络安全设备的投资;而另一方面,更重要的是它可以为上层的各种应用提供统一的网络层安全基础设施和可选的虚拟专用网服务平台。对政府行业网络系统这样一种大型的网络,VPN设备可以使网络在升级提速时具有很好的扩展性。鉴于VPN设备的突出优点,应根据企业具体需求,在各个网络结点与公共网络相连接的进出口处安装配备VPN设备。
7.3.3 入侵检测
利用防火墙并经过严格配置,可以阻止各种不安全访问通过防火墙,从而降低安全风险。但是,网络安全不可能完全依靠防火墙单一产品来实现,网络安全是个整体的,必须配相应的安全产品,作为防火墙的必要补充。入侵检测系统就是最好的安全产品,入侵检测系统是根据已有的、最新的攻击手段的信息代码对进出网段的所有操作行为进行实时监控、记录,并按制定的策略实行响应(阻断、报警、发送E-mail)。从而防止针对网络的攻击与犯罪行为。入侵检测系统一般包括控制台和探测器(网络引擎)。控制台用作制定及管理所有探测器(网络引擎)。探测器(网络引擎)用作监听进出网络的访问行为,根据控制台的指令执行相应行为。由于探测器采取的是监听不是过滤数据包,因此,入侵检测系统的应用不会对网络系统性能造成多大影响。
7.3.4 扫描系统
网络扫描系统可以对网络中所有部件(Web站点,防火墙,路由器,TCP/IP及相关协议服务)进行攻击性扫描、分析和评估,发现并报告系统存在的弱点和漏洞,评估安全风险,建议补救措施。
系统扫描系统可以对网络系统中的所有操作系统进行安全性扫描,检测操作系统存在的安全漏洞,并产生报表,以供分析;还会针对具体安全漏洞提出补救措施。
7.3.5 病毒防护
由于在网络环境下,计算机病毒有不可估量的威胁性和破坏力。我们都知道,政府网络系统中使用的操作系统一般均为WINDOWS系统,比较容易感染病毒。因此计算机病毒的防范也是网络安全建设中应该考滤的重要的环节之一。反病毒技术包括预防病毒、检测病毒和杀毒三种技术:
7.3.5.1 预防病毒技术
预防病毒技术通过自身常驻系统内存,优先获得系统的控制权,监视和判断系统中是否有病毒存在,进而阻止计算机病毒进入计算机系统和对系统进行破坏。这类技术有,加密可执行程序、引导区保护、系统监控与读写控制(如防病毒卡等)。
7.3.5.2 检测病毒技术
检测病毒技术是通过对计算机病毒的特征来进行判断的技术(如自身校验、关键字、文件长度的变化等),来确定病毒的类型。
7.3.5.3 杀毒技术
杀毒技术通过对计算机病毒代码的分析,开发出具有删除病毒程序并恢复原文件的软件。反病毒技术的具体实现方法包括对网络中服务器及工作站中的文件及电子邮件等进行频繁地扫描和监测。一旦发现与病毒代码库中相匹配的病毒代码,反病毒程序会采取相应处理措施(清除、更名或删除),防止病毒进入网络进行传播扩散。
7.4 应用安全
7.4.1 内部OA系统中资源共享
严格控制内部员工对网络共享资源的使用。在内部子网中一般不要轻易开放共享目录,否则较容易因为疏忽而在与员工间交换信息时泄漏重要信息。对有经常交换信息需求的用户,在共享时也必须加上必要的口令认证机制,即只有通过口令的认证才允许访问数据。虽然说用户名加口令的机制不是很安全,但对一般用户而言,还是起到一定的安全防护,即使有刻意破解者,只要口令设得复杂些,也得花费相当长的时间。
7.4.2 信息存储
对有涉及企业秘密信息的用户主机,使用者在应用过程中应该做到尽量少开放一些不常用的网络服务。对数据库服务器中的数据库必须做安全备份。通过网络备份系统,可以对数据库进行远程备份存储。
7.5 构建CA体系
针对信息的安全性、完整性、正确性和不可否认性等问题,目前国际上先进的方法是采用信息加密技术、数字签名技术。具体实现的办法是使用数字证书,通过数字证书,把证书持有者的公开密钥(Public Key)与用户的身份信息紧密安全地结合起来,以实现身份确认和不可否认性。签发数字证书的机构即数字证书认证中心(CA,Certification Authority),数字证书认证中心为用户签发数字证书,为用户身份确认提供各种相应的服务。在数字证书中有证书拥有者的甄别名称(DN, Distinguish Name),并且还有其公开密钥,对应于该公开密钥的私有密钥由证书的拥有者持有,这对密钥的作用是用来进行数字签名和验证签名,这样就能够保证通讯双方的真实身份,同时采用数字签名技术还很好地解决了不可否认性的问题。根据机构本身的特点,可以考滤先构建一个本系统内部的CA系统,即所有的证书只能限定在本系统内部使用有效。随着不断发展及需求情况下,可以对CA系统进行扩充与国家级CA系统互联,实现不同企业间的交叉认证。
7.6 安全管理
7.6.1 制定健全的安全管理体制
制定健全的安全管理体制将是网络安全得以实现的重要保证。各政府机关单位可以根据自身的实际情况,制定如安全操作流程、安全事故的奖罚制度以及对任命安全管理人员的考查等。
7.6.2 构建安全管理平台
构建安全管理平台将会降彽很多因为无意的人为因素而造成的风险。构建安全管理平台从技术上如,组成安全管理子网,安装集中统一的安全管理软件,如病毒软件管理系统、网络设备管理系统以及网络安全设备统管理软件。通过安全管理平台实现全网的安全管理。
7.6.3增强人员的安全防范意识
政府机关单位应该经常对单位员工进行网络安全防范意识的培训,全面提高员工的整体网络安全防范意识。
学生网络安全方案设计4.doc
学生网络安全方案设计4 学生网络安全方案设计 网络安全关系到每一个人,今天小编要给大家介绍的便是学生网络安全方案设计,欢迎阅读! 学生网络安全方案设计(一) 围绕学校二一六年工作重点,坚持科学发展观,充分发挥学校网络中心的技术指导的管理职能,强化服务意识、责任意识、发展意识,巩固我校教育信息化成果,不断完善信息化建设水平,大力推进教育现代化进程,科学、规范、高效抓管理,求真、务实、优质育人才,努力争创省级教学示范学校,办优质初中教育。 1、采取切实可行的措施,加强对校园网的管理,继续完善相关规章制度,落实各项管理措施,确保学校网络安全畅通。学校要继续完善相关的网络制度,杜绝网络信息安全事故的发生,确保网络畅通,更好的服务与教育教学工作。采取积极可行的措施,在保证网络畅通的情况下,杜绝教师上网聊天、打扑克、玩游戏等不良现象的发生。管理员及全体教师都要深入研究网络应用问题,充分发挥网络的作用,提高教育教学质量。 2、网络防毒。加强对教师信息技术的培训力度,使教师学会使用杀毒软件进行计算机病毒的查杀,确保学校网络畅通。基本上解决网络病毒在我校各计算机上的传播,保证网络不因病毒而导致堵塞、停网等现象的发生。 加强学校校园网网站建设和应用力度,使其服务于教学、
服务于德育、服务于管理;服务于学生、服务于教师、服务于社会。管好用好校园网,要有相当一部分学生也建有自己的学习网页。通过建设各种学习主页,广泛吸引学生、教师和家长及社会各界人士驻站,增强学校在社会上的良好形象,扩大学校知名度。管理员要不断学习相关业务知识,不断提高自己的业务能力,树立服务于教学的思想,管好用好校园网,不断更新网站内容,建设有自己独特风格的学校网站。 加强信息技术知识的培训与应用。学校将组织专人进行不同层次的培训班,加强培训指导,教师要将学习走在前头,自觉地学。大力提倡电子备课。 把学校微机室建“成绿色机房”,利用课余时间、休息日、节假日对学生开放,为广大学生提供健康、安全的网络学习环境。采取得力措施,杜绝师生玩电脑游戏,建设“无游戏校园”。 学生网络安全方案设计(二) 随着教育信息化建设工作的不断发展,我市部分学校建设了校园网,但由于在信息安全管理方面经验不足,措施不力,导致各室网络存在一定的信息安全隐患。为认真贯彻教育部以《教育部关于加强教育行业网络与信息安全工作的指导意见》的通知(教技发〔20xx〕4号)精神,充分利用校园网络为教育教学服务,进一步加强校园网络安全管理工作。 一、强化领导,提升校园网络安全防范意识。本着自主 防护,明确责任,按照“谁主管、谁主办、谁负责”的原则,切实落实网络与信息安全责任,加强工作领导,细化管理分工,落实责任到人,建立有效防范、及时发现、果断处置有害信息的工作机制。学校要建立健全安全管理组织机构,校长是网络安全
浅谈政府机关网络信息安全问题及应对措施
龙源期刊网 https://www.wendangku.net/doc/757233678.html, 浅谈政府机关网络信息安全问题及应对措施作者:王振宇 来源:《科学大众》2019年第11期 摘; ;要:随着科学技术的迅猛发展和信息技术的广泛应用,网络与信息系统的基础性、全局性作用日益增强。同时,网络和信息安全问题也日益凸显出来,政府机关不同于普通单位,往往掌握着大量重要机密数据,因此常常成为网络攻击、网络窃密等主要攻击对象,相关的围绕信息的非法获取也愈演愈烈。政府机关网络信息安全事关国家安全的重大战略问题,进行网络信息安全措施有着重要意义。 关键词:政府机关;网络信息;安全 1; ; 背景介绍 随着网络信息技术的不断发展,基础信息网络和重要信息系统安全事件时有发生,病毒传播和网络攻击对信息网络安全威胁日益加剧。政府机关和企事业单位由于保管和处理重要的信息数据,常常受到不法分子攻击,我国针对计算机网络犯罪的主要法律《刑法》第285和286条对危害信息安全的犯罪也有了明确的规定。作为公职人员,预防和处理各种信息网络安全事故,增强安全意识,加强重要领域采购和使用信息安全产品和安全服务的管控,保护国家、集体和个人的财产安全尤为重要。 2; ; 相关风险 2.1; 网络间谍风险 由于政府机关的特殊性,有些政府部门甚至掌管着国家机密,因此,境外间谍为获取相关机密信息,通过木马控制IP紧盯着我国大陆被控制的电脑,有些境外间谍机构甚至设立数十个网络情报据点、数千个僵尸网络服务器针对大陆地区,疯狂地对我国进行网络窃密和情報渗透,采用的方式一般有两种:一种是“狼群战术”,另一种是“蛙跳攻击”。间谍机关一般以我国中等城市政府网站为跳板,向外发送伪装邮件,侵入其他一些重要部门进行监听窃密。 2.2; 摆渡攻击风险 境外间谍部门专门设计了各种摆渡木马,获取了我国大量保密单位工作人员的邮箱和个人网志信息,一旦这些工作人员联网使用U盘等移动介质,摆渡木马就会悄悄植入。如果内部 工作人员将U盘插入电脑,相关病毒就会感染内网,远程下载相关保密资料到移动介质,并 通过自动控制端将相关保密资料传送到间谍机关。
XXX中心网络安全实施方案
XXXX网络安全实施方案 为贯彻落实XX局《XXX关于印发XXX系统XXXX网络安全工作的实施方案通知》(XXX【2017】170号)以及XXXX部有关要求,全力做好XXX系统服务保障XXXX网络安全工作,按照XXX统一部署,XXX特制定专项工作方案如下: 一、成立网络安全工作专班 组长: 副组长: 成员: 二、开展信息系统安全自查 1、以防攻击、防病毒、防篡改、防瘫痪等为重点,深入查找薄弱环节,制定风险漏洞台账,实现“遗留问题清零、可知漏洞清零、严重事件清零”; 2、组织开展新技术新应用新功能前置审查评估,停止部署没有防控能力、存在安全风险的新技术新应用新功能; 3、组织对重要涉密系统开展了专项保密检查; 4、完成缩减互联网入口及办公场所无线接入,对核心系统的核心数据采取分区分域措施,对重要数据的存储、传输进行了加密; 5、关闭或删除了不必要的应用、服务、端口和链接,强化口令和及时修补漏洞,升级系统和应用软件; 6、加强了终端安全管控,部署终端安全管理软件,实现上网行
为可追溯。 7、网络安全和运维人员管理,并签订了责任书和保密协议; 8、按《网络安全法》法定的日志保存要求,确保日志保存时限不少于6个月; 二、加强网络安全建设 1、各部门需逐级签订网络安全工作责任承诺书。 2、外包服务厂家需签订保密协议。 3、对所有外网信息系统划清职责,明确责任人。 三、开展网络安全宣传 1、召开信息安全讨论会,宣贯网络安全要求。 2、组织一次全体职工的网络安全培训班。 3、LED屏幕等多媒体上开展网络安全知识宣传。 四、建立网络安全队伍、处理机制及预案。 1、建立健全网络安全应急响应机制,健全网络安全应急工作体系,制定完善网络安全事件应急预案,确保应急处置高效有序; 2、完善网络安全监测和信息通报机制,指定专人负责通报,严格执行“零事件”报告制度,坚持做到有情况报情况、无情况报平安,实现及时准确上传下达、全面有效整改处置; 3、组织做好网络安全事件应急准备,落实了24小时实时监测,
政府部门网络安全解决方案
政府网络安全解决方案 背景概述 电子政务离不开网络信任机制的支撑,加快网络信任体系建设是政务信息化建设的一项重要任务。得益于传统的安全技术及方案的实施,在网络边界问题得以日益健全的今天,内网安全问题越发突出,如何解决面临的严重内网威胁,可靠,合理的利用好现有的网络资源,将内网安全隐患拒之门外,营造高效,绿色的政务网络,为社会大众,提供全方位的信息服务,更好地实现政务公开和网上办事等多种服务功能。 面临的主要内网威胁 随着政务信息化网络建设的全面推进,越来越多的政府部门正在将大部分应用业务系统部署于网络中实现办公自动化,政务信息公开化。一方面,随着网络系统应用的全面开展,提高了政府部门的工作效率,赢得了广大群众的一致好评。另一方面,随着信息化的全面铺展,越来越多的应用终端加入到政务系统中,办公人员信息化技能的欠缺、黑客和病毒行为猖獗导致内网安全隐患与日俱增。政务信息系统运行的内容大都关联着行政的全过程,所以安全问题不可忽视。政府信息化系统面临的内网安全主要包括以下几方面: 一、办公人员缺乏IT安全意识,导致终端防病毒软件安装率低下。 二、缺乏有效监管机制,导致一些非正常办公软件的滥用,P2P充斥着内部网络。 三、部分办公人员为了简单省事,缺乏系统登录口令的设置,或系统口令设置过于简单,给 不法份子有机可趁。 四、终端系统补丁长期不更新,给不法分子入侵提供后门。 五、缺乏统一管理机制,县市级部门缺乏有效的IT网管力量,导致各自为营的局面。 …… 种种现状导致内网环境一片混乱,各种安全事故频发,原本能够提高工作效率的政务信息网犹如一潭深泥,让网管人员深陷其中不得脱身。 盈高内网安全统一解决方案
网络安全教育宣传活动方案
网络安全教育宣传周活动方案 xxxx小学 2017年9月8日
按照教育局关于转发省教育厅《关于开展教育系统网络安全宣传周活动的通知》的通知的相关要求,结合学校实际,经校委会研究决定,在全校师生中开展网络安全教育宣传周活动,特制订方案如下: 一、活动时间:2017年9月8——20日 二、活动目的:通过教育与宣传活动,引导广大教师、青少年学习网络安全知识,提高自我保护意识。 三、组织机构 组长: 组员: 三、具体内容: (一)举行“共建网络安全,共享网络文明”网络安全教育周启动仪式9月8日(星期一),按照关于网络安全教育周的活动安排,组织开展“共建网络安全,共享网络文明”安全教育启动仪式,王校长做动员讲话,并做具体的活动安排和要求。 1、召开一次“共建网络安全,共享网络文明”为主题的班会各班要紧密结合学生不良的上网习惯,选择发生在学生身边的典型案例,组织和引导学生进行深入讨论身边存在的网络安全隐患,结合学生进入黑网吧等现象进行讨论,教育学生从自身做起,遵守网络安全
准则。时时刻刻注意网络安全事项。班主任一定要在学生讨论后进行总结,教育学生提高网络安全意识和自我保护意识。各班自行组织时间开展。但必须在9月20日前完成。 2、组织落实相关活动并照相及过程资料的收集。 (二)、开展安全教育班级手抄小报及黑板报评比。每班3份手抄小报,各班出一期以“共建网络安全,共享网络文明”为主题的黑板报,学校进行评比(9月19日前)。 要求: 1、主题鲜明,内容丰富具教育性,无知识性错误和错别字。 2、小报要充分显示本班开展的网络安全教育情况。 三、开展多种形式的网络安全教育宣传活动 活动期间,学校悬挂网络安全教育宣传条幅,同时充分利用黑板报、宣传栏等形式进行网络安全教育宣传,营造浓厚的网络安全教育氛围。
网站安全防护解决方案
网站安全防护解决方案 WEB应用是当前业务系统使用最为广泛的形式。根据 Gartner 的调查,信息安全攻击有 75% 都是发生在 Web 应用层而非网络层面上。同时,数据也显示,2/3的WEB网站都相当脆弱,易受攻击。据美国国防部统计,每1000行Web 代码中存在5~15个漏洞,而修补一个漏洞通常需要2~9小时。 根据CNCERT的最新统计数据,2007年CNCERT共接到网络安全事件报告4390件。2007年我国大陆被篡改网站总数达到了61228个,同比增长1.5倍;其中政府网站(https://www.wendangku.net/doc/757233678.html,)被篡改3407个,占大陆被篡改网站的7%。CNCERT统计显示,大陆地区约有4.3万个IP地址主机被植入木马,约有362万个IP地址主机被植入僵尸程序。从以上数据可以看出,提高业务网站的安全防护,是保障业务正常进行的必然前提。 因此,对于影响力强和受众多的门户网站,需要专门的网页(主页)防篡改系统来保护网页和保障网站内容的安全。 政府门户网站的潜在风险 政府门户网站因需要被公众访问而暴露于因特网上,容易成为黑客的攻击目标。其中,黑客和不法分子对网站的网页(主页)内容的篡改是时常发生的,而这类事件对公众产生的负面影响又是非常严重的,即:政府形象受损、信息传达失准,甚至可能引发信息泄密等安全事件。。网页篡改者利用操作系统的漏洞和管理的缺陷进行攻击,而目前大量的安全措施(如安装防火墙、入侵检测)集中在网络层上,它们无法有效阻止网页篡改事件发生。目前,政府门户网站常因以下安全漏洞及配置问题,而引发网页信息被篡改、入侵等安全事件:
1. 网站数据库账号管理不规范,如:使用默认管理帐号(admin,root,manager等)、弱口令等; 2. 门户网站程序设计存在的安全问题,网站程序设计者在编写时,对相关的安全问题没有做适当的处理,存在安全隐患,如SQL注入,上传漏洞,脚本跨站执行等; 3. WEB服务器配置不当,系统本身安全策略设置存在缺陷,可导致门 户网站被入侵的问题; 4. WEB应用服务权限设置导致系统被入侵的问题; 5. WEB服务器系统和应用服务的补丁未升级导致门户网站可能被入侵 的安全问题等。 政府门户网站安全防护解决方案 根据目前政府门户网站可能存在的安全隐患及风险,给政府门户网站提出如下安全防护解决方案: 在政府门户网站信息系统的Internet边界上或者WEB服务器的前端部署KILL-WEB应用防火墙,并在Web防火墙上实施以下安全策略: l 对政府门户网站及网上系统进行全面的安全防护,过滤如SQL注入、跨站脚本等因传统防火墙不能防护的安全问题; l 对政府门户网站进行WEB隐藏,避免利用扫描软件对其进行信息获取分析; l 设置政府门户网站页面防篡改功能及恢复功能,避免恶意篡改页面;
党政机关内部网络安全解决方案
WebST 党政机关内部网络安全解决方案
目录 一、前言 (3) 二、网络结构模型及其安全需求 (3) 1.1网络结构模型 (3) 1.2网络层安全需求 (4) 1.2.1网络进出控制 (4) 1.2.2网络和链路层数据加密 (4) 1.2.3安全检测和报警 (5) 三、应用模式及其安全需求 (6) 1.1各种应用模式 (6) 1.2应用层安全需求 (6) 1.2.1公共应用的安全需求 (6) 1.2.2内部办公应用的安全需求 (7) 1.2.3具体应用软件的安全需求 (7) 四、网络层安全解决方案 (8) 1.1安全的网络结构 (8) 1.2防火墙技术与产品 (8) 1.3入侵检测技术与产品 (9) 1.4防杀病毒技术与产品 (9) 五、应用层安全解决方案 (10) 1.1W EB ST安全服务 (10) 1.2W EB ST的安全组件 (10) 1.3W EB ST应用于党政机关内部网 (12) 六、结束语 (14)
一、前言 在我国,党政机关一般指中央直属单位、国家各大部委、各省市机关。这些单位是计算机网络建设和应用的先进部分,具有网络规模适中,人员相对较少,应用以办公为主,辅以少量的数据库应用,但保密级别相当高,从密码的角度来看需要核密和普密两级。人员虽少但访问控制级别要求精确,对审计需求也很高。 目前党政机关的内部网与外部公网在物理上是隔离的,这一方面是国家有关部门的保密规定要求,另一方面也是由于没有很好的解决方案而不得已为之。即使内外隔离,内部网络的安全问题还是相当突出,更需要对内部人员的身份认证、访问授权以及相互之间的数据查加密等有效解决方案。 本文是在为国家某部委所做的整体安全解决方案的基础上,综合了党政机关内部网络的安全需求,总结性地描述如何解决其内部网络安全和应用安全。可作为类似安全需求解决方案的参考模型。 二、网络结构模型及其安全需求 网络结构模型的不同,所产生的安全需求也不同,那么相应的安全解决方案就不一样。 1.1 网络结构模型 党政机关单位在地理位置上一般是处于一个大院内或一幢大楼内,具有一个中心网络,提供公共应用服务(亦称公共应用平台),同时行使网络管理权利。按行政结构,下属各局、委、办,各自具有局域网,各局域网也具有自己的服务器,或Web或应用服务器。这些局域网都是直接连接到中心网络,共享公共应用服务,同时也提供自己的信息给其他单位共享。一般来说,这些局域网之间没有直接通信通道。 为了给首长提供机要信息,单独建设一个首长机要局域网,内设基于Web的首长查询服务器。 党政机关由于中心单位和各下属单位之间的地理位置不同,所需连接的距离也不同,形成的园区网络结构也就有所差异。这种差异最终造成安全需求及解决方案的不同。一般有两种模式:? 集中式的网络结构 ? 分布式的网络结构 对于集中式的网络结构,该单位的所有下属部门都处于大楼或大院内,所有局域网与中心网络直接互连,未经过不可信的公网。 对于分布式的网络结构,该单位的主要部门都处于大楼或大院内,呈现出一个集中式的网络结构;还有一些下属部门分布在其他地方,在业务上需要信息通信和共享。这写局域网与中心网络的互连,是经过不可信的公网(Internet、X.25、PSTN等)。 这两种结构示意图如图1。
政府机关内网安全解决方案
政府机关内网安全解决方案 行业概述 当今世界,信息技术变革的速度之快可谓令人目不暇接。高新信息技术不断涌现,极大地加快了信息化的进程,同时也推动了经济全球化的发展。 20世纪90年代以来,以信息技术为中心的高新技术迅猛发展,冲破了国界,缩小了各国与各地之间的距离,由此引发的信息技术革命也推动了信息全球化的进程,成为经济全球化的基础动力,世界经济越来越融为一体。在此大背景下,政府部门办公及政务电子化,政府办公内网可谓是整个国家的机密网络,网络传输的各类数据中很多甚至关系到国计民生,需要严格保密,决不允许外泄。《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号,以下简称"27号文件")明确要求我国信息安全保障工作实行等级保护制度,提出"抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南"。 2004年9月发布的《关于信息安全等级保护工作的实施意见》(公通字[2004]66号,以下简称"66号文件")进一步强调了开展信息安全等级保护工作的重要意义,规定了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划,部署了实施信息安全等级保护工作的操作办法。这些文件以意见的形式给我们提出了很多关于内网安全方面的各类要求。 需求分析 要求内外网严格隔离,禁止涉密机器访问互联网。 要求对软硬件资产进行统计及管理,对于变更做到及时审计。 要求使用固定合法的内部IP,杜绝IP冲突。 要求对网络行为进行实时控制,实时记录并保存相关各类日志。 要求对网络中潜在的威胁做到事前预防,事中记录,事后追踪。 要求对各厂家、多品种的网络设备统一监控管理。 要求对网络中所出故障、非法违规行为及时报警。 要求对局域网、城域网内的PC有强大的管控能力。 要求合理利用各类网络资源为机关直至国家创造最大产值。 要求内部网络呈现可视化,清晰化,易于管控的网络结构。 要求对各类存储介质进行管理,尤其是涉密机器的各类介质一定要严格管理。 要求对内网的各类计算机及时的打补丁。 解决方案 通过网络入侵检测功能及网络控制策略可以保证内外网隔离,同时可以禁止特定计算机上网。 软件的资产管理模块可以做到对计算机软件资产的精确管理,同时可以通过报警策略设置对软硬件做到实时报警的审计。 可以通过软件的基本策略做到IP与MAC地址的绑定,做到计算机的严格管理,杜绝IP 冲突的发生。 通过网站浏览、文档操作、打印控制、即时通讯、邮件监控模块可以做到对浏览网站、操作文件、打印内容等的实时监控,及时查询通过聊天工具和邮件发送的信息,对网站和程序进行设定和控制管理。 通过软、硬件资产管理模块,能够对内网的PC进行软硬件资产的审计,防止国有资产流失。 通过各类报警策略可以做到实时报警,并且可以通过点对点方式找到报警的计算机,及时进行各类问题的处理。 通过远程维护及流量控制模块,做到对局域网内计算机的强大控制,对下载流量进行监
政府网络安全解决方案-
政府网络安全解决方案 以Internet为代表的全球性信息化浪潮日益深刻,信息网络技术的应用正日益普及和广泛,应用层次正在深入,应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展,典型的如行政部门业务系统、金融业务系统、企业商务系统等。伴随网络的普及,安全日益成为影响网络效能的重要问题,而Internet所具有的开放性、国际性和自由性在增加应用自由度的同时,对安全提出了更高的要求。如何使信息网络系统不受黑客和工业间谍的入侵,已成为政府机构、企事业单位信息化健康发展所要考虑的重要事情之一。 政府机构从事的行业性质是跟国家紧密联系的,所涉及信息可以说都带有机密性,所以其信息安全问题,如敏感信息的泄露、黑客的侵扰、网络资源的非法使用以及计算机病毒等。都将对政府机构信息安全构成威胁。为保证政府网络系统的安全,有必要对其网络进行专门安全设计。 一、网络系统分析 1、基本网络结构 2、网络应用 对于各级网络系统通过本地局域网,用户间可以共享网络资源(如:文件服务器、打印机等)
对于各级用户之间,根据用户应用需要,通过广域网络,各级用户之间可以利用电子邮件互相进行信息交流 而单位间通过网络互相提供浏览器访问方式对外部用户发布信息,提供游览、查询等服务。如发布一些政策、规划;网上报税等。 各级用户间还有行业数据需要通过网络进行交换。而这些数据大多都可能涉及到秘密信息 各级单位通过网络召开电视电话会议,比如计论有关一些国家政策性的内容,因此其内容在网上传输也需要保密。 通过网络使用单位系统内部的IP电话。 二、网络安全风险 网络应用给人们带来了无尽的好处,但随着网络应用扩大网络安全风险也变得更加严重和复杂。原来由单个计算机安全事故引起的损害可能传播到其他系统和主机,引起大范围的瘫痪和损失;另外加上缺乏安全控制机制和对网络安全政策及防护意识的认识不足,这些风险正日益加重。而这些风险与网络系统结构和系统的应用等因素密切相关。下面从物理安全、链路安全、网络安全、系统安全、应用安全及管理安全进行分类描述: 2.1、物理安全风险 2.2、链路传输风险
政府网络安全解决方案
政府网络安全解决方案 第一章前言 以Internet为代表的全球性信息化浪潮日益深刻,信息网络技术的应用正日益普及和广泛,应用层次正在深入,应用领域从传统的、小型业务系统逐渐向大型、关键业务系 统扩展,典型的如行政部门业务系统、金融业务系统、企业商务系统等。伴随网络的普及,安全日益成为影响网络效能的重要问题,而Internet所具有的开放性、国际性和自由性在增加应用自由度的同时,对安全提出了更高的要求。如何使信息网络系统不受黑客和工业间谍的入侵,已成为政府机构、企事业单位信息化健康发展所要考虑的重要事情之一。 政府机构从事的行业性质是跟国家紧密联系的,所涉及信息可以说都带有机密性,所以其信息安全问题,如敏感信息的泄露、黑客的侵扰、网络资源的非法使用以及计算机病毒等。都将对政府机构信息安全构成威胁。为保证政府网络系统的安全,有必要对其网络进行专门安全设计。 FortiNet公司是一家从事网络信息安全研究、产品开发的高科技术企业之一。是一家致力于国际信息安全产业发展的专业安全公司。 FortiNet公司已成功开发出具有自主版权的安全产品:FortiGate系列防火墙。该产品是基于ASIC芯片的硬件防火墙,集成了网关级病毒检测和内容过滤功能。该安全产品已获得公安部许可,同时获得了ICSA的AntiVirus、IPSec和FireWall认证。目前,这些安全产品都已广泛应用于金融、电信、教育等行业。并赢得用户的广泛赞誉。 第二章网络系统分析 2.1 基本网络结构 如今随着网络发展及普及,政府行业单位也从原来单机到局域网并扩展到广域网,把分布在全国各地的系统内单位通过网络互连起来,从整体上提高了办事效率。以下是某个政府机关单一个全国网络系统结构示意图:
网络安全教育讲座方案
稀土高新区民馨路第一小学2017年网络安全教育讲座开展方案 一、活动主题 加强青少年网络安全教育培养中国互联网健康新力量二、活动目的 随着信息技术的普及和网络的发展,青少年跟网络的接触也日益密切。相伴而来的网络安全也成为了棘手的问题。为加强网络安全文明教育,营造文明的网络环境,进一步完善促进我校的安全工作。 三、活动准备 1.下发活动通知。 2.会场布置(包括:投影上主题词的书写,布置会场) 四、活动流程 1.主持人宣布网络安全教育讲座正式开始 2.泓宇老师开展网络安全讲座 3.刘利清校长讲话 4.主持人宣布网络安全教育讲座结束
民馨路第一小学 2017年12月1日物业安保培训方案 为规范保安工作,使保安工作系统化/规范化,最终使保安具备满足工作需要的知识和技能,特制定本教学教材大纲。 一、课程设置及内容全部课程分为专业理论知识和技能训练两大科目。 其中专业理论知识内容包括:保安理论知识、消防业务知识、职业道德、法律常识、保安礼仪、救护知识。作技能训练内容包括:岗位操作指引、勤务技能、消防技能、军事 技能。 二.培训的及要求培训目的 1)保安人员培训应以保安理论知识、消防知识、法律常识教学为主,在教学过程中,应要求学员全面熟知保安理论知识及消防专业知识,在工作中的操作与运用,并基本掌握现场保护及处理知识2)职业道德课程的教学应根据不同的岗位元而予以不同的内容,使保安在各自不同的工作岗位上都能养成具有本职业特点的良好职业道德和行为规范)法律 常识教学是理论课的主要内容之一,要求所有保安都应熟知国家有关法律、法规,成为懂法、知法、守法的公民,运用法律这一有力武器与违法犯罪分子作斗争。工作入口门 卫守护,定点守卫及区域巡逻为主要内容,在日常管理和发生突发事件时能够运用所学的技能保护公司财产以及自身安全。 2、培训要求 1)保安理论培训 通过培训使保安熟知保安工作性质、地位、任务、及工作职责权限,同时全面掌握保安专业知识以及在具体工作中应注意的事项及一般情况处置的原则和方法。 2)消防知识及消防器材的使用 通过培训使保安熟知掌握消防工作的方针任务和意义,熟知各种防火的措施和消防器材设施的操作及使用方法,做到防患于未燃,保护公司财产和员工生命财产的安全。 3) 法律常识及职业道德教育 通过法律常识及职业道德教育,使保安树立法律意识和良好的职业道德观念,能够运用法律知识正确处理工作中发生的各种问题;增强保安人员爱岗敬业、无私奉献更好的为公司 服务的精神。 4) 工作技能培训
小学网络安全教育工作方案
张庄小学网络安全教育工作方案为进一步推动我校法治网络建设,提升学校网络安全教育管理水平,培养广大学生绿色上网、文明上网意识与良好习惯,增强师生网络安全防护能力,保护人民群众信息与财产安全,按照《三河市教育局关于进一步加强中小学生网络安全教育得通知》精神,根据中共三河市委宣传部、三河市互联网信息办公室《关于印发涉网络游戏信息内容专项整治工作方案得通知》与《关于转发廊坊市互联网信息办公室<关于开展网上色情低俗内容专项整治行动得通知>得通知》等文件要求,决定在全校开展网络安全宣传教育活动,特制定本方案如下: 一、指导思想与目标 以以上《通知》与《文件》精神为依据,突出“网络安全为人民,网络安全靠人民”活动主题,深入开展“网络安全进校园”宣传教育活动,充分发挥校园宣传教育主阵地作用,提升师生绿色上网、文明上网意识与网络安全防护能力,全面加强法治网络教育宣传,强化各项管理措施,全面建成文明、安全、与谐得网络环境。 二、建立网络安全领导小组 组长:张顺连 副组长:闫秀志陈沿杰 成员:孙艳苹、李朝辉、赵振红及各班班主任 三、引导广大师生正确认识网络安全 随着科学技术得飞速发展,互联网在给人们得生活、学习与娱乐带来极大便捷得同时,也给孩子得健康成长带来了许多负面影响。目前,绝大部分家长均为学生配备了电脑、手机,目得就是让她们通过现代化手段学习知识、交流思想。但由于部分学生缺乏自制力,经常
沉迷于网上聊天、网络游戏、浏览不健康网页等,导致出现心理扭曲、疏远家人朋友、荒废学业、健康状况下降等一系列不良现象得发生。 四、明确教育切入点,有针对性地开展 (一)广泛宣传,营造氛围 利用寒假“开学得第一课”,切实要讲好、讲出实效。充分利用校园广播、板报、橱窗等宣传载体,大力宣传文明上网、健康上网等常识与标语,同时要通过主题班队会或国旗下讲话等形式全面普及网络安全教育相关知识,努力营造网络安全教育强大得宣传攻势。 (二)教育引导,净化心灵 以社会主义核心价值观教育为统领,进一步加强学生得思想品德教育,不断培养学生健全得人格与高尚得道德情操,定期组织学生观瞧《护苗·网络安全课》课件,不断提高学生网络安全得防范意识,自觉遵守网络安全法律法规,正确引导小学生能够自觉地抵制各种不良网络诱惑。 (三)家校联动,形成合力 充分发挥家长学校作用,利用家长会、致家长一封信等形式,加强与家长得沟通与联系,明确告知每一名家长要引导与帮助子女正确处理学习与上网得关系,教育未成年子女自觉远离网吧等一些禁止未成年人进入得场所,不制作、复制与传播有害信息,自觉抵制不良网络游戏,正确对待虛拟空间中得聊天与交友,提高网络安全防范意识。 四、教育内容 通过网站、电视、报刊杂志、会议、展览活动等多种渠道与形式,开展网络安全宣传教育主题活动,大力宣传倡导依法文明上网,增强 全社会网络安全意识,普及网络安全知识,营造健康文明得网络环境,维护网络安全。重点要做好以下几点:
电子政务网络安全解决方案
电子政务网络安全解决方案 电子政务网络安全概述 以Internet为代表的全球性信息化浪潮日益深刻,信息网络技术的应用正日益普及和广泛,应用层次正在深入,应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展,典型的如行政部门业务系统、金融业务系统、政府机关商务系统等。伴随网络的普及,安全日益成为影响网络效能的重要问题,而Internet所具有的开放性、国际性和自由性在增加应用自由度的同时,对安全提出了更高的要求。如何使信息网络系统不受黑客和工业间谍的入侵,已成为政府机构、企事业单位信息化健康发展所要考虑的重要事情之一。 网络规划 各级网络 利用现有线路及网络进行完善扩充,建成互联互通、标准统一、结构简单、功能完善、安全可靠、高速实用、先进稳定的级别分明却又统一的网络。 数据中心 建设集中的数据中心,对所有的信息资源、空间、信用等数据进行集中存放、集中管理。为省及各市部门、单位的关键应用及关键设施提供机房、安全管理与维护。 网络总体结构 政府机构从事的行业性质是跟国家紧密联系的,所涉及信息可以说都带有机密性,所以其信息安全问题,如敏感信息的泄露、黑客的侵扰、网络资源的非法使用以及计算机病毒等。都将对政府机构信息安全构成威胁。为保证政府网络系统的安全,有必要对其网络进行专门安全设计。 所谓电子政务就是政府机构运用现代计算机技术和网络技术,将其管理和服务的职能转移到网络上完成,同时实现政府组织结构和工作流程的重组优化,超越时间、空间和部门分隔的制约,向全社会提供高效、优质、规范、透明和全方位的管理与服务。 实现电子政务的意义在于突破了传统的工业时代“一站式”的政府办公模式,建立了适应网络时代的“一网式”和“一表式”的新模式,开辟了推动社会信息化的新途径,创造了政府实施产业政策的新手段。电子政务的出现有利于政府转变职能,提高运作效率。
机关网络安全管理制度
机关网络安全管理制度 第一条所有接入网络的用户必须遵守国家有关法律、法规,严格执行安全保密制度,并对所提供的信息负责。任何单位和个人不得利用连网计算机从事危害城域网及校园网防火墙、路由器、交换机、服务器等网络设备的活动。不得在网络上制作、发布、传播下列有害内容: (一)泄露国家秘密,危害国家安全的; (二)违反国家民族、宗教与教育政策的; (三)煽动暴力,宣扬封建迷信、邪教、黄色淫秽,违反社会公德,以及赌博、诈骗和教唆犯罪的; (四)公然侮辱他人或者捏造事实诽谤他人的,暴露个人隐私和攻击他人与损害他人合法权益的; (五)散布谣言,扰乱社会秩序,鼓励聚众滋事的; (六)损害社会公共利益的; (七)计算机病毒; (八)法律和法规禁止的其他有害信息。 如发现上述有害信息内容,应及时向三门县教育局现代教育中心或上级主管部门报告,并采取有效措施制止其扩散。 第二条在网站上发现大量有害信息,以及遭到黑客攻击后,必
须在12小时内向三门县教育局现代教育中心及公安机关报告,并协助查处。在保留有关上网信息和日志记录的前题下,及时删除有关信息。问题严重、情况紧急时,应关闭交换机或相关服务器。 第三条任何单位和个人不得在校园网及其连网的计算机上收阅下载传递有政治问题和淫秽色情内容的信息。 第四条所有接入网络的用户必须对提供的信息负责,网络上信息、资源、软件等的使用应遵守知识产权的有关法律法规。对于运行无合法版权的网络软件而引起的版权纠纷由使用部门(个人)承担全 部责任。 第五条严禁在网络上使用来历不明、引发病毒传染的软件,对于来历不明的可能引发计算机病毒的软件应使用公安部门推荐的杀 毒软件检查、杀毒。 第六条认真执行各项管理制度和技术规范,监控、封堵、清除网上有害信息。为有效地防范网上非法活动、各子网站要加强出口管理和用户管理。重要网络设备必须保持日志记录,时间不少于180天。 第七条上网信息管理坚持“谁上网谁负责、谁发布谁负责”的原则。对外发布信息,必须经局机关或各单位负责人审核批准后,才可发布(具体操作方法可参考“网络信息发布管理制度”)。 第八条各单位和学校要确定一名行政人员为本单位(学校)网络安全责任人,领导网管员(网管机构)做好本单位和学校的网络和
网络安全培训工作计划
工作计划:________ 网络安全培训工作计划 单位:______________________ 部门:______________________ 日期:______年_____月_____日 第1 页共5 页
网络安全培训工作计划 近年来,随着我省经济社会信息化的深入发展,信息网络安全案件、事件时有发生,信息网络安全保障工作的重要性日益凸显。加强信息网络安全人才队伍建设,提高信息网络管理和使用单位安全管理、技术防范水平,是做好我省信息网络安全保障工作、推动经济社会发展的一项重要措施。根据《福建省专业技术人员继续教育条例》和公安部办公厅、人事部办公厅《关于开展信息网络安全专业技术人员继续教育工作的通知》(公信安〔xx〕526号),结合我省实际,经研究,决定在全省开展信息网络安全知识普及教育培训活动。现将有关事项通知如下: 一、培训目的 深入贯彻信息网络安全法律法规,全面实施《福建省专业技术人员继续教育“十二五”规划》和《福建省专业技术人才知识更新工程实施方案》,从xx年12月至xx年12月,在全省范围内开展信息网络安全普及教育培训活动。通过培训,使信息网络安全技术人员及时更新法律法规、管理和技术知识,提高政治素质和职业道德水平,进一步提高我省信息网络安全的保障能力和防护水平,确保基础信息网络和重要信息系统的安全运行,维护社会安全稳定,保障公共利益,促进信息化建设,努力为海峡西岸经济区建设、构建社会主义和谐社会服务。 二、培训对象及组织分工 以机关、企事业单位、互联网服务和联网(含单位局域网)使用单位信息网络管理组织负责人、管理和技术人员为重点,组织开展信息网络安全知识教育培训,由各级公安部门组织实施。在抓好机关企事业单位,特别是金融、保险(含医保、社保)、统计、通信、交通(含航空)、 第 2 页共 5 页
浅谈如何做好新时期政府部门网络信息安全管理工作
浅谈如何做好新时期政府部门网络信息安全管理工作[摘要]随着信息化网络基础设施建设的进一步完善及各种网络办公软件 的广泛应用,政府部门日常办公已基本实现信息化、网络化,我们在享受网络办公给工作和生活带来便利的同时,网络信息安全问题也日益突出。因此,加强网络信息安全工作,已成为当前政府部门处理网络信息安全问题的一项重要课题。 [关键词]网络;信息;安全 近年来,我国政府部门网络信息安全管理在不断的健全,教育宣传力度在不断加大,网络信息安全工作取得了一定的进步。但由于极少数政府部门工作人员对网络信息安全工作意识不强,一些单位制度落实不到位,管理机制不健全等原因,违反网络信息安全工作规定、纪律的现象时有发生。下面笔者结合工作实际,就如何加强新时期政府部门网络信息安全工作谈几点认识: 一、当前政府部门网络信息安全工作存在的主要问题 (一)思想认识不到位,重视程度不够 为保证政务专用网络的安全,进一步规范政务信息网网络管理,从中央到地方政府先后制定了一系列政务信息网网络信息安全管理制度。但由于部分政府工作人员对当前信息化条件下的网络信息安全工作认识不足、重视不够,未能清醒地认识到政府机关信息化建设的重大意义,对各项规定制度的内容掌握尚浅,导致在工作中将本单位的政务内网专用计算机违规联接到互联网的事件时有发生。 (二)制度落实不到位,安全意识淡薄 在政府基层单位的网络应用中,存在不少的网络信息安全隐患,部分政府工作人员缺乏相应的网络信息安全保护意识,对现有的网络信息安全规范和制度执行不彻底,心存麻痹大意和侥幸思想。比如在互联网和政务内网间随意使用移动存储介质存取资料,随意下载互联网程序安装于政务内网内。不仅容易导致网上失、泄密事件,而且极易使政务内网计算机染上计算机病毒,造成病毒在政务内网大范围传播,对政府网络信息安全构成很大威胁。 (三)管理使用不规范,缺乏基本常识 政府部门日常工作繁忙,在政务内网网络信息安全工作这方面的管理体制还不完善,管理还不到位。而且政府部门很少花时间组织集体学习网络信息知识,导致一些政务工作人员缺乏基本常识。对杀毒软件升级和使用、设置计算机开机密码、更改密码等一些基本操作都不熟悉,工作中只使用不维护,严重影响了网络信息的安全。 二、针对以上问题的几点解决对策 (一)提高认识,注重实效,切实加强网络信息安全学习教育 要抓好政府部门网络信息安全管理工作,首先要解决思想认识问题,要通过广泛、深入的教育,切实提高政府公务人员遵守网络信息安全纪律的自觉性、积极性。俗话说思想是行动的先导。认识是否到位,是确保网络信息安全的重要前提。从近几年一些地方多次出现失、泄密违规违纪通报情况看,其中一个重要原因就是学习教育不到位,一些政府工作人员特别是基层单位的工作人员不知道政务内网和公共互联网有什么区别,对为什么做和如何做好网络信息的安全工作没有具体充分的认识,导致各种违法违纪甚至失、泄密的事件时有发生。因此,各级政府部门要在信息网络安全教育的广度和深度上下功夫,针对本部门工作人员对计算机网络安全知识缺乏等问题,应进一步加强学习教育工作,认真组织开展
2015网络安全培训计划
2015网络安全培训计划 第1篇:网络安全培训计划 近年来,随着我省经济社会信息化的深入发展,信息网络安全案件、事件时有发生,信息网络安全保障工作的重要性日益凸显。加强信息网络安全人才队伍建设,提高信息网络管理和使用单位安全管理、技术防范水平,是做好我省信息网络安全保障工作、推动经济社会发展的一项重要措施。根据《福建省专业技术人员继续教育条例》和公安部办公厅、人事部办公厅《关于开展信息网络安全专业技术人员继续教育工作的通知》(公信安〔20XX〕526号),结合我省实际,经研究,决定在全省开展信息网络安全知识普及教育培训活动。现将有关事项通知如下: 一、培训目的 深入贯彻信息网络安全法律法规,全面实施《福建省专业技术人员继续教育"十二五"规划》和《福建省专业技术人才知识更新工程实施方案》,从20XX年12月至20XX年12月,在全省范围内开展信息网络安全普及教育培训活动。通过培训,使信息网络安全技术人员及时更新法律法规、管理和技术知识,提高政治素质和职业道德水平,进一步提高我省信息网络安全的保障能力和防护水平,确保基础信息网络和重要信息系统的安全运行,维护社会安全稳定,保障公共利益,促进信息化建设,努力为海峡西岸经济区建设、构建社会主义和谐社会服务。 二、培训对象及组织分工 以机关、企事业单位、互联网服务和联网(含单位局域网)使用单位信息网络管理组织负责人、管理和技术人员为重点,组织开展信息网络安全知识教育培训,由各级公安部门组织实施。在抓好机关企事业单位,特别是金融、保险(含医保、社保)、统计、通信、交通(含航空)、卫生、教育、文化、科技、新闻、电信、电力等系统的单位相关人员信息网络安全知识教育培训的同时,抓好网吧等公共上网场所从业人员的普及教育培训工作。人事部门要积极配合公安部门,抓好本次培训工作。 同时,将信息网络安全知识作为行政机关公务员在职培训内容和其他专业技术人员的继续教育公共课,由各级政府人事部门组织实施,各级公安部门要予以协助。 三、培训内容与学时 以近三年来涉及信息安全的国家法律法规、国家信息安全保障工作政策措施、信息安全管理技术发展动态、防范网络攻击、计算机病毒和有害信息传播的管理技术措施为培训重点,结合进行信息安全管理和技术发展情况的学习培训。培训时间为72学时。 根据我省信息网络安全知识培训实际需要,省公安厅、省人事厅将组织编写《信息网络安全基础》(由北京理工大学出版社出版,全书约60万字),作为此次培训的统一教材。 四、培训方式
网络安全调查报告
【一】 随着IT市场及Internet的高速发展,个人和单位将越来越多地把商务活动放到网 络上,发展电子商务和网络经济已成为传统企业重现活力与生机的重要路径与支撑。我国的 电子商务和网络经济发展始于90年代初期,特别是近年来得到了空前的发展,从外经贸部的 中国商品交易市场、首都电子商务工程到以电子贸易为主要内容的金贸工程,有关电子商务 和网络经济的活动和项目大量涌现。因此电子商务和网络经济的安全问题就更加关键和重要。 为了加强网络信息的安全防范,制定相应的安全策略,我们开展了网络经济风险问卷调研。 以下是这次调查的总结。 此次调查以国内120家企事业单位为调查对象,涉及教育、信息技术单位、机械制 造、政府机关、金融服务等五个行业,大多数处于江苏省南京地区。调查时间范围从2002年3月到2002年12月。有72家被调查单位填写并寄回问卷,有效率为60%。 被访单位以中小型单位居多,其中200-400人以上的单位占六成以上,另外值得强 调的是,本次调查的针对性极强,被访者多为单位的科技、信息或电脑主管、计算机专业人 员和管理决策层人士,对网络安全产品有极高的认知程度。从事计算机相关工作的被访者达 90%强,其中科技、信息或电脑主管占56.1%。 调查的内容主要包括被调查单位自然状况、网络应用状况、网络信息安全的软硬件 (包括规章制度)、紧急情况及应对措施和政府政策的支持等五个方面。 由此可见,本次调查的结果具有一定的代表性。 一、网络安全问题不容乐观 Internet技术的高速发展带动了单位及政府各部门的上网工程,他们纷纷采用先进 的互联网技术建立自己的内部办公网(Intranet)。在被访的单位中,已经建立单位内部网(Intranet)的单位达82.3%,正在规划的单位占15.0%,只有 2.7%的单位还未考虑单位内部 网的建设。在Intranet已建成的单位中,平均每单位拥有 1.3台服务器及28.4台客户终端。 当问及被访者对于信息系统安全的认识时,92.2%的被访者认为信息系统的安全事关 单位运行,其余认为不很重要的被访单位均还未建立单位内部网。由此看来,享受到信息共 享的单位已充分意识到网络安全的重要性。在信息安全的六个领域,被访者对其重要性的认 知不一,90.3%的被访者认为病毒防护最重要,81.7%的被访者认为防止来自Internet的恶意入侵的重要性次之,排名第三重要的为服务器及数据库应用的访问控制和内部用户口令管理、 安全审计(均为75.9%),第四、五位为数据加密和虚拟单位网(59.4%)和身份鉴别、电子签名(58.8%)。 在已建立单位内部网的单位中,其信息安全领域亟待解决的问题分别有病毒防护、 防止来自Internet的恶意入侵、服务器及数据库应用的访问控制、内部用户口令管理、安全审计、身份鉴别、电子签名、数据加密和虚拟单位网。电脑主管对以上问题处理的紧急程度 可以体现出其问题的重要性。在以上单位中,68.2%的被访单位已感受到网络安全的威胁,其中35.8%的被访者认为威胁主要来自于单位外部,另外32.4%的被访者认为威胁主要源于内部。