122014年 第3期
八年前,微软公司发布了Vista操作系统,当时政府相关部门根据专家评估,确认其架构会使用户电脑被微软公司高度掌控,使得Vista操作系统未能列入政府采购目录。此举从一定程度上造成了在政府企业用户群中所抽样的121万台电脑设备中装有Windows XP系统(以下简称XP)的比例高达72.6%的现状。
2013年底,微软宣布将于2014年
4月8日起终止Windows XP支持服务,政府电脑系统再次面临同类选择,需要政府相关部门决策并加以引导。在这种情况下,我们应该化被动为主动,化危机为机遇。主管部门可以开一个3年的窗口期,3年后再考虑XP的升级,以便给国产操作系统一个上位竞争的机会;同时鼓励国内安全厂商加强对XP操作系统的安全保护,让XP用户能够持续使用XP操作系统;此外,由政府出资建设、运行“XP靶场”,只要靶场上有安全产品存在,网民就有信心继续使用被保护的XP操作系统。
Windows XP是微软公司推出供个人电脑使用的操作系统。据
CNCERT/CC报道,截止到2014年3月底,Windows XP拥有近2亿中国用
一、XP目前在
政府企业系统的应用现状
户。2014年3月7日,国家计算机病毒应急处理中心联合北京北信源软件股份有限公司发布《Windows XP系统安全状况调研报告》。该报告显示在政府企业用户群中所抽样的121万台电脑设备中,装有XP系统的所占比例高达72.6%。据调查显示,约44.4%的用户表示在微软停止XP支持服务后仍然会继续使用XP系统。
该报告是基于2013年12月20日至2014年2月20日期间,在全国范围内组织开展的Windows XP系统使用情况调研活动而完成。该次调研的目的,是为了全面了解XP系统在政府及重点行业重要信息系统和重点支撑系统中的使用情况,及早启动XP停止服务后的应急措施,将安全风险控制到最小范围。
该次抽样调查主要在政府企业中进行,共调研了465家单位,涉及28个省、10个行业、1212319台电脑。调研内容包括计算机总数量、XP装机数量、国产操作系统装机数量、计算机中高等级风险漏洞数量、XP停止服务后打算采取的措施以及XP停止服务带来的影响等。结果显示,装有XP的机器为880123台,占比72.6%。在各行业中,军工行业的占比最高,达到93%,政府行业其次,达到86%。
需要特别值得关注的是,参与调研的用户计算机中有高风险漏洞
从安全的视角看
Windows XP停止服务的应对措施
方滨兴
中国工程院院士,北京邮电大学教授,国家信息化专家咨询委员会网络与信息安全组副主任,国家863计划信息技术领域专家,中国互联网协会、中国通信学会、中国通信标准化学会的信息安全二级委员会主任委员,目前还任哈尔滨工业大学教授、国防科技大学特聘教授、中国科学院计算技术研究所客座研究员、清华大学兼职教授。
多年来,他作为第一完成人,先后获得国家科技进步一等奖1项、二等奖2项,获其它部级科技进步奖10多项,获何梁何利基金科学与技术进步奖;发表论文近300篇。
方滨兴
“4.29首都网络安全日”特别报道
13
P T olice echnology 2014年 第3期546312个、中等风险漏洞324342个。医院、企业、石油、政府、军工等行业需要重点解决系统漏洞,以应对XP停止升级后所带来的安全隐患。
在用户认知方面,不同行业对XP停止升级的反应明显不同。军工、电力、石油、金融等国家重要部门对XP停止升级所带来的安全隐患表示深切关注,医院、事业、企业、政府等行业仍然对此关注度或认识度不够,而医院、企业、政府的高中级安全漏洞比例恰恰处于前列。
在XP停止升级服务后的应对策略方面,44.4%的用户选择继续使用XP系统,43.3%的用户计划升级到Win7/Win8,12.4%的用户采取其他措施,包括转向使用国产操作系统等。继续使用XP系统的主要原因有三个方面:首先是硬件比较低端不能升级到Windows高版本,或担心升级后速度变慢;其次,部分应用软件系统不能升级到Windows高版本,在医院行业最为典型;最后,还有些则是需要等待行业主管或信息安全主管部门统一安排。
该报告同样提到了多家国内信息安全厂商发布了应对性新产品和方案,行业和个人用户应该通过技术手段解决
XP停止服务所带来的安全问题,通过整体防御、主动防御、数据与系统双重保护等技术手段,保护后XP时代的计算机安全。
从普通用户的角度来看,XP的升级归宿自然是Win8。但我们必须认识到,Win7、Win8的强制性安全手段,客观上是将电脑安全的命运交在了微软公司的手上。
从安全的角度来看,电脑安全包括软件后门与安全漏洞两种。软件后门可以看作是软件发布者的蓄意行为,其目的是善意或恶意地控制用户电脑——善意者如远程升级,恶意者则是远程获取用户信息;安全漏洞则是在软件编制过程中出现的质量问题,这就的问题通常软件发布者也不掌握,一旦黑客先行发现则会威胁电脑用户,这也是“零日漏洞”威胁之大的原因所在,因此软件发布者也在全力防范安全漏洞。
就软件后门而言,从境外网站可以看出,微软2010年以前的各级版本Office办公软件在密码保护方面具有废除密码保护文档的后门。也就是说,
二、续用XP不比升级Win7或Win8更危险
任何用于加密文档的密码都能够被卸除,而不是像黑客那样需要破解,使得在微软看来任何加密文档都如同明文一样。
就安全漏洞而言,Win7、Win8不比XP安全多少。2012年共发现111个微软操作系统的漏洞,涉及到XP、Win7、Win8的分别为84、94、54个。由此可见,Win7的脆弱性比XP还弱;Win8因为使用时间不够长、人们对之了解不够而略好一些。同时也说明微软的安全漏洞具有普适性,一个漏洞可能会同时影响XP、Win7和Win8三个操作系统。
我国已经拥有“麒麟”高安全等级服务器操作系统等,而且目前我国CCN开源软件联合创新实验室也参与了国际Ubuntu开源社区的开发,正在开发的UbuntuKylin可望作为国产终端操作系统的核心,具有用国产操作系统替换XP的实力。我国在可信计算方面已有重大创新,从建立可信操作系统角度着手提高我国信息系统的本质安全是符合中国国情的。
随着新一代信息技术的兴起、云计算的发展和移动信息终端的大量使用,使得与Windows兼容性的要求越来越低,这为国产操作系统的推广扫除了重要障碍。国家对网络空间安全的重视越来越高,这也为国产操作系统的推广创造了有利条件。而且,国产操作系统都是基于开源软件发展起来的,由于服务器市场对信息安全要求高,国产操作系统还是有竞争力的,至少国内推出的厂家了解这些操作系统在做些什么,而且法律制裁的威慑也使其不会恶意安装后门。另
三、围绕国产操作系统营造
强大的生态系统,逐步替换XP
专家观
点
142014年 第3期
外,移动领域比桌面的市场更大。当务之急是打造自主可控的生态系统,在移动互联网领域争取一席之地,否则很可能会重蹈PC产业覆辙。
综上所述,我们要吸取历史上国产操作系统未能占领市场的教训,必须围绕国产操作系统来营造强大的生态系统。为此,政府应该将注意力放在营造国产操作系统生态上来,鼓励将微软操作系统上的应用软件移植到国产操作系统平台上。例如,2010年底时任俄联邦政府总理的普京签署命令,批准俄联邦行政机构在2011年至2015年间将其信息系统转用自由软件(即俄罗斯基于开源软件的国产操作系统)的预算计划,说明他们已在保障政府信息安全方面作出了明确计划。我国也需要依靠软件企业和软件工作者来推动基于国产操作系统的应用,以繁荣国产操作系统的生态系统。
构建国产操作系统的生态系统,重点不是支持操作系统的研发,几十年的研发经历也说明仅把视点放在操作系统的研发上是不够的,而是应该把重点放在鼓励应用软件开发商,将运行在微软平台上的应用软件移植到国产操作系统平台上,国家科研资金的投向应该重点向这方面倾斜。有应用软件的捧场,国产操作系统的生态才能建设起来。
互联网靶场就是针对网络战训练和网络技术研发的虚拟环境,可模拟真实的目标环境,并对数据进行采集和对结果进行评估。互联网靶场因为建立在真实的互联网上且向广大网民开发,因此具有真实性、公平性和公正性等特点。美国、欧盟以及日本等国家对此高度重视,纷纷构建自己国家的网络靶场,对包括网络战武器在内的互联网攻
四、通过XP靶场来验证XP第三方防护软件的安全性
防技术进行评估和演训。
为继续保障XP用户的安全,必须采取第三方外壳式的保护方式来保证用户不被外界攻击。我国各大信息技术企业均设计开发了自主产权的安全防护工具提升XP安全防护能力。主要的厂家及产品包括:360XP盾甲、腾讯电脑管家XP专属版本、金山毒霸XP防护盾、百度卫士和北信源金甲防线等。但是,广大用户对于来自微软之外的第三方的防护能力表示了极大的担心。
针对这一问题,国家应该组织建立XP靶场,让不同厂家的安全防护产品作为靶标接受来自全网的真实攻击,以对产品的防护能力进行真实、公开的评测。同时通过XP靶场的不断测试,安全防护厂商可不断提升自己的产品能力。
XP靶场应该由独立的第三方来搭建,并采用全网络虚拟化技术,面向互联网开放,为每个挑战者提供隔离的攻击环境。放在靶场上的靶标必须是公众所使用的系统,而不是安全厂商专门提供的产品。因此,作为靶标的安全保护产品需要加以数字签名并公布在互联网上,让公众根据实际情况进行版本检验。
所有作为靶标被攻垮的产品应该从靶场上撤下来,由厂家针对安全漏洞防范不足的问题进行升级,产品升级后再上线。新出现的XP防护产品也放在靶场上接受挑战。只要靶场上的产品存在,公众就会对中国的操作系统安全防护有十足的信心。
许可XP升级将面临着软件后门这类安全风险,立即使用国产操作系统取代XP似乎尚未做好准备,因此何去何
五、设立一个“窗口期”,给国产操作系统一个上位机会
从成为当务之急。
国家应该设立一个3年的“窗口期”,在这3年内,不讨论XP操作系统的升级问题。在此期间,由政府设立“基于国产操作系统应用软件移植专项”,支持基于微软操作系统的应用软件向国产操作系统的移植,而不是重新开发应用软件——因为移植成本很低,且应用软件已经得到了微软平台的锤炼,但开发成本则很高,政府支持不起。
同时,政府应该组织国内安全企业成立“XP操作系统安全加固联盟”(以下简称“联盟”),在国家财政的支持下,联盟密切跟踪XP出现的新安全漏洞;同时密切关注微软公布的涉及Win7、Win8的安全漏洞,并评价其是否同时影响XP。联盟针对安全漏洞提出安全加固解决方案,以便保障用户的安全利益。
在资金方面,政府应该利用核高基专项资金加快促进国产操作系统的全面升级,以XP为参照标准,要求国产操作系统全面超越XP,以便在用户替换XP时具有接受国产操作系统的承受力,保证使用的便捷性不低于曾经的系统。同时要明确,尽管国产操作系统的漏洞数量可能远超过微软操作系统的漏洞,但至少国产操作系统不可能设置恶意的软件后门。至于安全漏洞的问题,则完全取决于市场的广泛使用,使用得越多,漏洞发现的就越早、越多,解决的机会越多,系统就越强壮,越有生命力。
如果3年的窗口期内,国产操作系统都无法取代XP,那中国操作系统厂商只能甘拜下风,按照国际惯例,选择性价比好的操作系统,然后在外壳型防护方面加大力度,以“信息确保(Information Assurance)”的理念来保护我们的系统。
“4.29首都网络安全日”特别报道
信息安全策略总纲 1.1.适用范围及依据 第一条XXXXXX信息系统包含非生产控制系统,非生产控制系统内包含生产管理系统、网站系统、管理信息系统三大类。本制度适用于XXXXXX所有信息系统。 第二条本制度根据《GB/T20269-2006 信息安全技术信息系统安全管理要求》、《GB/T20282-2006 信息安全技术信息系统安全工程管理要求》、《GB/T22239-2008 信息安全技术信息系统安全等级保护基本要求》等有关法律、标准、政策,管理规范而制定。 1.2.信息安全工作总体方针 第一条XXXXXX信息系统的安全保护管理工作总体方针是“保持适度安全;管理与技术并重;全方位实施,全员参与;分权制衡,最小特权;尽量采用成熟的技术” 。“预防为主”是信息安全保护管理工作的基本方针。 第二条《总纲》规定了XXXXXX信息系统安全管理的体系、策 略和具体制度,为信息化安全管理工作提供监督依据。 第三条XXXXXX信息系统安全管理体系是由信息安全策略总纲、安全管理制度、安全技术标准以及安全工作流程和操作规程组成的。 (一)《总纲》是信息安全各个方面所应遵守的原则方法和指导性策略文件。
(二)《总纲》是制定XXXXXX信息安全管理制度和规定的依据 (三)信息安全管理制度和规范规定了信息安全管理活动中各项管理内容。 (四)信息安全技术标准和规范是根据《总纲》中对信息安全方面相关的规定所引出的,其规定了信息安全中的各项技术要求。 (五)信息安全工作流程和操作规程详细规定了主要应用和事件处理的流程、步骤以及相关注意事项,并且作为具体工作时的具体依照。 1.3.系统总体安全策略 第一条XXXXXX信息系统总体安全保护策略是:系统基础资源和信息资源的价值大小、用户访问权限的大小、系统中各子系统重要程度的区别等就是级别的客观体现。信息安全保护必须符合客观存在和发展规律,其分级、分区域、分类和分阶段是做好信息安全保护的前提。 第二条XXXXXX信息系统的安全保护策略由XXXXXX信息技术科负责制定与更新。 第三条信息技术科根据信息系统的保护等级、安全保护需求和安全目标,结合XXXXXX自身的实际情况,依据国家、监管部门有关安全法规和标准,授权制定信息系统的安全保护实施细则和具体管理办法;并根据环境、系统和威胁变化情况,及时调整和制定新的实施细则和具体管理办法。
航天天绘科技有限公司 涉密计算机及信息系统安全策略文件 1 概述 涉密计算机及信息系统安全策略文件属于顶层的管理文档,是公司网络与信息安全保障工作的出发点和核心,是公司计算机与信息系统安全管理和技术措施实施的指导性文件。涉密计算机及信息系统安全策略文件是公司计算机和信息系统全体管理和使用人员必须遵循的信息安全行为准则,由公司信息安全管理部门制订及解释,由公司保密委员会审批发布,并由信息安全管理部门组织公司全体人员学习与贯彻。 公司涉密计算机及信息系统涉及到存储、传输、处理国家秘密、公司商业秘密和业务关键信息,关系到公司的形象和公司业务的持续运行,必须保证其安全。因此,必须从技术、管理、运行等方面制定确保涉密计算机和信息系统持续可靠运行的安全策略,做好安全保障。 本策略文件主要内容包括:人员安全、资产分类与控制、物理和环境安全、系统开发和维护、访问控制、个人计算机安全、风险管理、业务持续性管理与灾难恢复、计算机与网络运行管理、遵循性等十个方面。 2 适用范围 2.1本策略所称的涉密计算机和信息系统指公司所有通过计算机及信息系统存贮、处理或传输的信息及存贮、处理或传输这些信息的硬件、软件及固件。 2.2本策略适用于与公司涉密计算机及信息系统相关的所有部门及人员。 3 目标 制定涉密计算机及信息系统安全策略的目标就是确保公司掌握的国家秘密、公司商业秘密和业务关键信息的安全性,并通过一系列预防措施将信息安全可能受到的危害降到最低。信息安全管理应在确保信息和计算机受到保护的同时,确保计算机和信息系统能够在允许的范围内正常运行使用。 同时,本策略的目的也是让所有员工能够了解信息安全问题以及明确各自的信息安全职责,严格遵守本安全策略,并遵守国家相关的计算机或信息安全法律要求。
1、信息安全管理方针和策略 范围 公司依据ISO/IEC27001:2013信息安全管理体系标准的要求编制《信息安全管理手册》,并包括了风险评估及处置的要求。规定了公司的信息安全方针及管理目标,引用了信息安全管理体系的内容。 1.1规范性引用文件 下列参考文件的部分或整体在本文档中属于标准化引用,对于本文件的应用必不可少。凡是注日期的引用文件,只有引用的版本适用于本标准;凡是不注日期的引用文件,其最新版本(包括任何修改)适用于本标准。 ISO/IEC 27000,信息技术——安全技术——信息安全管理体系——概述和词汇。 1.2术语和定义 ISO/IEC 27000中的术语和定义适用于本文件。 1.3公司环境 1.3.1理解公司及其环境 公司确定与公司业务目标相关并影响实现信息安全管理体系预期结果的能力的外部和内部问题,需考虑: 明确外部状况: ?社会、文化、政治、法律法规、金融、技术、经济、自然和竞争环境,无论国际、国内、区域,还是本地的; ?影响组织目标的主要动力和趋势; ?与外部利益相关方的关系,外部利益相关方的观点和价值观。 明确内部状况: ?治理、组织结构、作用和责任; ?方针、目标,为实现方针和目标制定的战略; ?基于资源和知识理解的能力(如:资金、时间、人员、过程、系统和技术);
?与内部利益相关方的关系,内部利益相关方的观点和价值观; ?组织的文化; ?信息系统、信息流和决策过程(正式与非正式); ?组织所采用的标准、指南和模式; ?合同关系的形式与范围。 明确风险管理过程状况: ?确定风险管理活动的目标; ?确定风险管理过程的职责; ?确定所要开展的风险管理活动的范围以及深度、广度,包括具体的内涵和外延; ?以时间和地点,界定活动、过程、职能、项目、产品、服务或资产; ?界定组织特定项目、过程或活动与其他项目、过程或活动之间的关系; ?确定风险评价的方法; ?确定评价风险管理的绩效和有效性的方法; ?识别和规定所必须要做出的决策; ?确定所需的范围或框架性研究,它们的程度和目标,以及此种研究所需资源。 确定风险准则: ?可以出现的致因和后果的性质和类别,以及如何予以测量; ?可能性如何确定; ?可能性和(或)后果的时间范围; ?风险程度如何确定; ?利益相关方的观点; ?风险可接受或可容许的程度; ?多种风险的组合是否予以考虑,如果是,如何考虑及哪种风险组合宜予以考虑。 1.3.2理解相关方的需求和期望 信息安全管理小组应确定信息安全管理体系的相关方及其信息安全要求,相关的信息安全要求。对于利益相关方,可作为信息资产识别,并根据风险评估的结果,制定相应的控制措施,实施必要的管理。相关方的要求可包括法律法规要求和合同义务。
1.总体目标 以满足业务运行要求,遵守行业规程,实施等级保护及风险管理,确保信息安全以及实现持续改进的目的等内容作为本单位信息安全工作的总体方针。以信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断为总体目标。 2.范围 本案适用于某单位信息安全整体工作。在全单位范围内给予执行,由某部门对该项工作的落实和执行进行监督,由某部门配合某部门对本案的有效性进行持续改进。 3.原则 以谁主管谁负责为原则(或者采用其他原则例如:“整体保护原则”、“适度保护的等级化原则”、“分域保护原则”、“动态保护原则”、“多级保护原则”、“深度保护原则”和“信息流向原则”等)。 4.策略框架 建立一套关于物理、主机、网络、应用、数据、建设和管理等六个方面的安全需求、控制措施及执行程序,并在关联制度文档中定义出相关的安全角色,并对其赋予管理职责。“以人为本”,通过对信息安全工作人员的安全意识培训等方法不断加强系统分布的合理性和有效性。 4.1物理方面 依据实际情况建立机房管理制度,明确机房的出入管理办法,机房介质存放方式,机房设备维护周期及维护方式,机房设备信息保密要求,机房温湿度控制
方式等等环境要求。通过明确机房责任人、建立机房管理相关办法、对维护和出入等过程建立记录等方式对机房安全进行保护。 4.2网络方面 从技术角度实现网络的合理分布、网络设备的实施监控、网络访问策略的统一规划、网络安全扫描以及对网络配置文件等必要信息进行定期备份。从管理角度明确网络各个区域的安全责任人,建立网络维护方面相关操作办法并由某人或某部门监督执行看,确保各信息系统网络运行情况稳定、可靠、正常的运行。 4.3主机方面 要求各类主机操作系统和数据库系统在满足各类业务系统的正常运行条件下,建立系统访问控制办法、划分系统使用权限、安装恶意代码防范软件并对恶意代码的检查过程进行记录。明确各类主机的责任人,对主机关键信息进行定期备份。 4.4应用方面 从技术角度实现应用系统的操作可控、访问可控、通信可控。从管理角度实现各类控制办法的有效执行,建立完善的维护操作规程以及明确定期备份内容。 4.5数据方面 对本单位或本部门的各类业务数据、设备配置信息、总体规划信息等等关键数据建立维护办法,并由某部门或某人监督、执行。通过汇报或存储方式实现关键数据的安全传输、存储和使用。 4.6建设和管理方面 4.6.1信息安全管理机制 成立信息安全管理主要机构或部门,设立安全主管等主要安全角色,依据信
计算机网络信息安全防护策略 1加强用户安全意识 连接网络的电脑应当下载、安装并定期更新电脑维护和杀毒软件,以确保个人电脑处在相对安全的情境。另一方面,许多个人用户在上网时不加辨别,任意下载软件、点击邮件中不明来历的链接、接收即时通讯工具中陌生人传送的文件,这些都是造成计算机中毒的常见原因。因此,用户首先要做到不乱点、乱下载网络链接或文件。需要下载和更新软件时访问官方网站去完成,从而减少受骗的可能性。 2安装正版杀毒软件和防火墙 非计算机高手的个人用户不得不承认的一个事实是,凭借个人力量很难抵御病毒侵袭,因此,借助专业的软件往往能够起到事半功倍的效果。以目前最为先进的监测型防火墙为例,这是当前最新最优秀的网络安全技术,能够主动进行数据监测,并且能够同时检测网络内部和外部,“防患于未然”,因此能够最大限度地降低网络信息安全的风险。 .3及时修补系统漏洞 有些个人用户对系统漏洞不以为然,在收到升级的通知信息后,往往嫌麻烦,觉得没用而不去升级,殊不知这正是病毒感染和黑客袭击的漏洞。具体做法是,利用安全企业——例如360、瑞星——等提供的服务做好漏洞修复工作,实时更新这些防护软件获得安全补丁。对于单位用户来说则可聘请专业的安全团队来进行检测和维护,关闭不必要的端口,修复漏洞。 4做好网络通信加密工作 网络通信加密工作的完善要做好对数据完整性的鉴别、数据存储和传输的加密工作。数据完整性鉴别是指借助cookies原理比对请求方数据中的各类用户,数据比对有一个正确率作为参数,根据这一率参数进行数据反馈;对数据存储进行加密是设置密码,通过在文件读取的过程中对用户权限进和资格进行认证来保证数据安全,确保数据不会被非法破解甚至丢失。
1.目的 为规范公司的电脑设置、IT权限,保护公司和客户机密资料,特制订此管理规范。 2.适用范围 适用于公司电脑、网络、人员、客户机密信息资料。 3.职责 3.1.IT部: 负责制定公司的信息安全策略,并定期对信息安全策略进行评价,以确保其适宜性; 4.策略的制定 4.1.信息安全策略的制定、评审: 4.1.1.IT部根据公司内部网络资讯规划的要求、国家信息安全法律法规要求及客户信息安全要 求定期制定信息安全策略;并确保信息安全策略的有效实施; 4.1.2.IT部每年需对信息安全策略进行评价,并填写《信息安全策略适用性评审列表》以确保 策略的适宜性,并将评价的结果纳入年度部门管理评审报告输入中; 4.2.信息安全策略集 信息安全策略是在信息安全现状调研的基础上,公司领导的认可,遵守国家的法律法规、政策和相关标准建立的通用行之有效的安全机制。 公司信息安全策略包括如下: a)病毒防范策略 b)网络服务访问策略 c)备份策略 d)访问控制策略 e)密码策略 f)钥管理策略 g)账号管理策略 h)清洁桌面和锁屏策略 i)移动设备和远程工作策略 j)服务器加强策略 k)时间同步策略 l)电子邮件策略 m)日志和监视策略 n)网络与信息传输安全策略 o)设备安全策略 p)介质处理策略 q)第三方访问策略
s)计算机管理策略 t)打印、复印机管理策略 4.3.病毒防范策略 4.3.1.IT部负责统一部署防病毒工具的安装和升级工作,时发布计算机病毒疫情公告及防范措 施,处理网点和个人上报的病毒入侵事件,定期检查和督促网点的病毒防治工作;将重 大的病毒入侵事件及时向上级部门和安全机关报告。 4.3.2.IT部人员负责定期对自己管理的计算机系统进行升级、杀毒;对因计算机病毒引起的信 息系统故障,及时向人事部报告。 4.3.3.病毒防范基本要求: a)任何部门和个人不得制作计算机病毒。 b)任何部门和个人不得有下列传播计算机病毒的行为: c)故意输入计算机病毒,危害计算机信息系统安全; d)向他人提供含有计算机病毒的文件、软件、媒体; e)销售、出租、附赠含有计算机病毒的媒体; f)其他传播计算机病毒的行为。 g)任何部门和个人不得发布虚假的计算机病毒疫情。 h)所有计算机设备应经办公室同意后接入相应的内部工作网或互联网,严禁私自接入。 i)内部工作网与互联网应进行物理隔绝。 j)所有工作用机必须由IT部统一管理,部署安装指定的防病毒软件,及时更新病毒库,对于未安装防病毒软件或安装其他防病毒软件而造成不良后果的,追究相关人员的责任。 k)所有员工在使用介质交换信息时,应认真进行病毒预检测。 l)未经IT部同意,严禁擅自在工作用机上从互联网下载、安装、使用各类文件或程序,对由此引起的计算机病毒感染,追究相关人员的责任。经同意下载的软件,使用前需认真进行杀毒。 m)禁止将与工作无关的数据存放在工作用机上,禁止在工作用机上进行与工作无关的计算机操作。 n)计算机使用人员应做好重要数据、文档的备份,防止因病毒或其他因素造成系统无法恢复而导致重要数据、文档的丢失。 o)对因计算机病毒引起的信息系统瘫痪、程序和数据严重破坏等重大事故,应及时向人事部报告、并保护现场,以便采取相应的措施。 4.3.4.IT部人员需定期查看防病毒系统中的扫描日志和病毒历史以及入侵监测日志,检查病毒 的感染和清除情况;根据查看到的防病毒监控日志和入侵监测日志制定安全策略;统一部 署防病毒软件客户端;负责受理网点计算机病毒上报工作;负责跟踪计算机病毒防治信 息,及时发布计算机病毒疫情公告及防范措施。
一、总体目标 办公网络及单机系统是的关键业务系统,均存储着企业重要的信息。为保证数据在存储、传输过程中的可用性、完整性、密性、可靠性等,针对不同安全等级的数据和业务采取不同的安全防护措施,做到防外、保内,实现防护、检测、响应、恢复的全面的防御体系。 二、范围 本策略适用于单机系统及办公内网(按照管理) 三、信息安全总体技术框架 办公网定为非涉密内部网,该网络处理各种不同的业务,分布在不同的区域 单机方面 四、基础设施策略 1、物理安全 计算机机房及办公场所等到物理环境是保障业务系统正常、稳定及安全运行的重要基础设施。风、雨、水、潮、温度、湿度、火灾、雷击、静电、磁场、虫灾等自然环境和自然灾难都会导致设备故障,人为盗窃或破坏等会导致设备丢失或故障等,电力供应中断会导致网络及单机系统不能正常运转,电磁泄露会导致敏感信息被截获,。物理环境安全就是要保障各种线路和设备等硬件设施不受自然环境、自然灾难、人力物理破坏、电力中断等到影响正常运行,同时防止因电磁泄露而影响保密,从而保障单机及办公网的正常运行及数据安全。2、机房控制策略: 1)机房不应与其他单位共用; 2)机房设备存放区应有访问控制:进入机房应进行登记,必须有授权人员负责接待、陪同。需进入机房设备存放区的来访人员应经过申请和审批流程式,并限制和监控其活动范围。3、机房防护策略 1)防盗和防破坏2)防水和防潮3)电力供应4)防静电5)电磁防护 四、信息安全运行策略 1、单机运行策略 单机为什么密级,设置了三重密码有哪些安全策略,关闭端口、禁用了哪些服务,拆除了什么,特理隔离,禁止上互联网,安全间距1米 2、办公网安全防护策略 (1)技术部、计算机中心打开输入输出端口,端口采取介质绑定手段进行防护; (2)网络内运行的计算机机箱铅封,网络设备存放在网络机柜中,任何单位及个人不得私自拆卸计算机硬件及网络设备; (3)具有限制非法登陆次数及防止非法登陆事件的发生; (4)具有漏洞扫描系统,定期对服务器及终端进行扫描,及时发现系统存在的漏洞,提高系统自身的安全性; (5)安装病毒防护系统,定期更新病毒库,定期全盘扫描;发现病毒后,首先清除感染文件的病毒,无法清除的,将文件隔离,通知系统管理员进行处理; (6)采用身份鉴别技术:用户身份鉴别信息复杂度检查及登陆失败处理功能;
第一章总则 第一条为了提高员工信息安全防范意识和操作技能,保障公司信息安全,根据公司信息安全管理制度的要求,制定本守则。 第二条公司全体员工须遵守公司信息安全制度和本守则,共同维护和保障公司信息安全,确保公司各项业务正常开展。 第三条本守则遵循“信息安全,人人有责”、“谁使用,谁负责”的原则。公司全体员工人人行动起来,积极学习信息安全知识,提高防范意识和操作技能,自觉遵守信息安全制度,共同保障公司信息系统的安全运行。 第四条本守则是对员工日常操作公司信息系统的基本要求,在公司信息安全制度高于本守则要求或发生冲突时,应以公司信息安全制度为准。 第二章口令使用 第五条安全优质的用户口令是保障信息安全的第一步。员工应为个人使用电脑设置好开机、屏幕保护口令,为各类帐户设置好登录口令,口令设置遵循以下基本原则: 1) 在信息系统可支持情况下,一般用户口令长度8位以上,并由字母、数字混合构成,重要系统管理员口令长度12位以上,并由字母、数字、特殊字符混合构成; 2) 要便于自己记忆; 3) 不使用别人容易利用个人相关信息猜测的信息。例如用户名、姓名(拼音名称、英文名称)、生日、电话号码、身份证号码以及其它系统已使用的口令等; 4) 避免使用连续的相同数字,或者全是数字或全是字母的字符组。 5) 不使用字典中完整单词,避免字典攻击; 6) 不同安全等级、不同应用用途的用户应设置不同口令。例如:业务用户和非业务用户、公司内部用户和普通上网用户等应分别设置不同口令; 第六条注意口令保密。不得将个人用户口令泄露给他人,也不得打听或猜测他人用户口令。避免将口令记录在他人可能容易获取的地方,例如笔记本、纸条、电子文件等;避免在自动登录过程中以不安全的方式保存口令。 第七条新用户在第一次登录时应修改其临时设置的口令;设置缺省口令的新用户,用户生效后及时登录并修改口令。 第八条定期修改口令。业务终端登录用户和业务类用户每季度至少修改一次,重要用户根据其他制度要求增加修改频率。普通办公终端登录用户和办公类用户半年至少修改一次。避免重复使用旧口令。 第三章病毒防范 第九条计算机病毒及木马等恶意程序能导致系统破坏、数据泄露、网络中断等严重安全事件发生,是信息系统的最大安全威胁之一。员工应配合作好个人办公机及个人业务终端等的病毒防范工作。 第十条员工应检查确认个人所用电脑已安装好防病毒软件,如未安装应及时联系信息安全管理员安装或信息安全管理员指导下自行安装。除安装建议上互联网电脑安装安全防护软件,例如瑞星卡卡安全助手、360安全卫士等。 第十一条个人所用电脑应开启防病毒软件及相应安全防护软件的实时防护功能,如未开启应及时联系信息安全管理员处理或信息安全管理员指导下自行处理。
龙源期刊网 https://www.doczj.com/doc/ff17571990.html, 计算机信息安全主要风险及应对策略 作者:邹阳 来源:《电脑知识与技术》2016年第18期 摘要:新时期,信息技术不断发展,计算机网络广泛运用到各个领域中,为人们的生活、工作都带来了诸多方便,但也逐渐暴露出一定的风险。随着科技发展,计算机信息安全风险的类型也逐渐增多,还需要采取有效的风险防范措施,保证计算机信息的安全。本文首先对计算机网络信息安全进行简单的介绍,然后探讨计算机信息安全主要风险,最后提出强化计算机信息安全应对策略,供有关人员参考。 关键词:计算机;信息安全;风险;对策 中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2016)18-0056-02 计算机信息安全在信息技术发展过程中具有重要的作用,科技的进不与发展,带动了计算机信息技术的发展,并广泛的运用于人们的实际工作和生活当中,为人们提供越来越多的信息资源。但是,在信息技术发展的同时,计算机信息安全风险越来越复杂,计算机信息安全风险类型也越来越多,对计算机网络安全造成极大的影响。基于此,加强对计算机信息安全风险及防范措施的研究具有十分显示的意义。 1 计算机网络安全概述 计算机信息安全包括保护计算机网络系统组间的各种硬件、软件系统的安全,避免其遭受到恶意的破坏,保证计算机信息系统的稳定运行。广义来说,计算机信息安全包括了信息系统的完整性、保密性以及可用性,这些都属于计算机信息安全中包含的领域。 计算机硬件安全,主要指的是计算机系统硬件、数据存储硬件等的安全。包括调制解调器、网络线路、终端机、硬盘等等,加强对这些硬件的保护,是确保计算机信息安全的前提。软件安全,主要指的是保证各种计算机网络系统软件的安全,避免其遭到破坏和篡改,保证各种信息的安全。计算机信息系统运行安全,主要指的是保证计算机信息网络中资源子系统、子网运行的安全,保证各个子网之间信息传输的安全性。通过对计算机信息系统中相关设备、软件的状态监控,查出不安全因子并加以处理。计算机数据安全,主要是保证计算机信息数据的完整性、安全性以及可靠性,确保计算机数据不会给非法篡改。 2 计算机信息安全主要风险 2.1 计算机信息安全漏洞 在计算机技术不断发展的背景下,计算机系统软件更新速度加快,但在很多地方还存在一定的不足之处,系统软件、应用软件等方面还存在一定的漏洞,很多不法分子可能会利用这些
个人计算机安全的主要目标是保护计算机资源免受毁坏、替换、盗窃和丢失等。这些计算机资源包括计算机设备、存储介质、软件以及计算机输出的材料和数据。个人计算机可分为硬件、软件、通信三大领域。因此,相对应的,个人计算机安全也分为硬件安全、软件安全和通信安全。以此分类,就有硬件安全策略、软件安全策略和通信安全策略。 2.1影响个人计算机硬件安全的因素 2.1.1环境因素 1.温度 温度过高,轻则数据出错、运行不稳定、缩短机器寿命,重则烧毁计算机的芯片或其它配件;温度过低,会引起凝聚和结露现象,导致电子器件生锈或短路,无法正常工作,增加出错率,温度过低还会使绝缘材料变硬、变脆,使计算机的各配件之间接触不良,从而导致计算机不能正常工作。 2.湿度 过于潮湿的空气会影响计算机的性能发挥,容易造成电器件、线路板生诱、腐蚀而导致接触不良或短路;而空气过于干燥,则可能引起静电积累,损坏集成电路,清除内存或缓存区的信息,影响程序运行及数据存贮。 3.灰尘 由于计算机的机箱和显示器等部件都不是完全密封的,内部各组成部件非常精密,如果灰尘过多,会影响计算机散热,有可能堵塞计算机接口,还会增加接触点的接触电阻,经过长期积累后容易引起光驱读写错误,使电路板的绝缘电阻下降,严重时还容易引起电路短路,影响系统的正常运行。 4.震动 震动对硬盘的危害最大,当硬盘在高速旋转时,震动会使硬盘的磁头和盘面被损坏或划伤,使数据不能正常读写而导致数据损坏或丢失,严重
的还会引起硬盘的损坏。震动还会使主板焊接不牢固的元器件脱焊,也会使主板与各插卡松动,导致接触不良,引发各种故障。 5.光线 如果强光直射显示器屏幕,会加速显示器老化;在强光照射下还会使显示器看起来变暗,妨碍用户操作电脑,容易引起眼睛疲劳。 6.各种灾害 各种灾害如地震、水灾、火灾、雷电等对计算机系统破坏巨大。 2.1.2设备因素 1. 静电 静电有可能造成计算机芯片的损坏,过高的静电加载到磁盘驱动器上会将空气中的灰尘吸附到磁盘表面,造成数据丢失和磁头损坏。 2. 电磁干扰 现在大部分家用电器、手机,包括电脑本身的电源、导线等都会产生磁场,磁场对存储设备的影响较大,它可能使用磁盘驱动器的动作失灵、引起内存信息丢失、数据处理和显示混乱,导致磁盘数据损坏或丢失。另外,较强的磁场也会磁化显示器,产生屏幕晃动、水波纹,引起显示器颜色不正常。 3. 电源的稳定性 电压太低,计算机无法启动;电压过高,会造成计算机的硬件损坏。如果突然停电,还会引起硬盘磁头的损坏和盘面的划伤,造成计算机数据损坏或丢失,严重时还会造成计算机不能启动等各种故障。 4.人为盗窃等因素 人为的盗窃或破坏也会影响计算机设备安全。 2.2如何保障个人计算机硬件安全 2.2.1个人计算机环境安全 1.合适的温度 在安放计算机的房间安装空调,以保证计算机正常运行时所需的环境温度。
信息安全管理策略 一. 总则 为满足XX银行(以下简称“我行”)信息安全管理、信息安全保障和合规的需要,根据《XX银行信息安全管理方针》,特制订本管理策略。目的是指导我行通过各项管理制度与措施,识别各方面的信息安全风险,并采取适当的补救措施,使风险水平降低到可以接受的程度。 二. 安全制度管理策略 2.1 目的 使信息安全管理的发展方向和相关工作能够满足我行业务要求、国家法律和规定的要求。安全制度管理应建立一套完善的、能够满足以上要求的文档体系,并定期更新,发布到我行信息安全所有相关单位中。 2.2 策略一:建立和发布信息安全管理文档体系 策略目标: 使相关单位人员了解到信息安全管理文档的内容,安全工作有据可依。 策略内容: 建立我行信息安全管理文档体系,发布到相关单位。 策略描述:
根据《XX银行信息安全管理方针》中的方针、原则和我行特点,制订出一套文档体系,包括信息安全策略、制度和实施指南等,通过培训、会议、办公系统或电子邮件等方式向相关单位发布。 总体发布范围包括与以上信息资产相关的我行所有部门、我行下属机构和关联公司,以及与我行有关的集成商、软件开发商、产品提供商、顾问、商业合作伙伴、临时工作人员和其他等第三方机构或人员。 2.3 策略二:更新安全制度 策略目标: 安全制度能够适应我行信息安全管理因各方面情况变化而产生的变化,在长期满足要求。 策略内容: 定期和不定期审阅和更新安全制度。 策略描述: 由相关团队定期进行安全制度的检查、更新,或在信息系统与相关环境发生显著变化时进行检查、更新。 三. 信息安全组织管理策略 3.1 目的 通过建立与组织相关的以下二个安全策略,促进组织建立合理的信息安全管理组织结构与功能,以协调、监控安全目标的实现。与组织有关的策略分内部组织和外部组织两部分来描述。 3.2 策略一:在组织内建立信息安全管理架构 策略目标: 在组织内有效地管理信息安全。
齐齐哈尔大学 毕业论文 (2013届) 论文题目: 计算机网络信息安全及其防护策略的研究 系科建筑与土木工程 专业土木工程 姓名葛子健 学号 2013182043 指导教师刘艳菊 完成日期:2013 年 11月
目录 摘要 (2) 引言 (3) 1 计算机网络信息安全面临的威胁 (4) 近年来,威胁网络安全的事件不断发生,特别是计算机和网络技术发展迅速的国家和部门发生的网络安全事件越来越频繁和严重。一些国家和部门不断遭到入侵攻击,本文列举以下事例以供分析和研究之用。 (4) 1.1事件一: (4) 1.2事件二: (4) 1.3事件三: (5) 2 计算机网络存在的安全问题 (5) 2.1固有的安全漏洞 (6) 2.2合法工具的滥用 (6) 2.3不正确的系统维护措施 (6) 2.4低效的系统设计和检测能力 (7) 3 计算机网络信息安全的防护策略 (7) 3.1隐藏IP地址 (7) 3.2关闭不必要的端口 (8) 3.3更换管理员帐户 (8) 3.4杜绝Guest帐户的入侵 (8) 3.5封死黑客的"后门" (8) 3.6做好IE的安全设置 (9) 3.7安装必要的安全软件 (9) 3.8防范木马程序 (9) 3.9不要回陌生人的邮件 (10) 3.10防范间谍软件 (10) 3.11及时给系统打补丁 (10) 4 结束语 (10)
计算机网络信息安全及其防护策略的研究 摘要 计算机网络信息安全在国民生活中受到越来越多的关注,原因在于:许多重要的信息存储在网络上,一旦这些信息泄露出去将造成无法估量的损失。之所以网络信息会泄露出去,一方面有许多入侵者千方百计想“看”到一些关心的数据或者信息;另一方面网络自身存在安全隐患才使得入侵者得逞。针对这些问题,该文归纳并提出了一些网络信息安全防护的方法和策略。 关键词计算机网络信息安全黑客网络入侵
网络信息安全及防护策略探析-信息安全论文-计算机论文 ——文章均为WORD文档,下载后可直接编辑使用亦可打印—— 摘要:计算机的产生是人类历史上一项重大发明。现在,计算机网络技术已经比较成熟,它的普及和发展极大地改变了人们生产和生活方式,在各方面提高了人们的工作效率。它渗透到我国农业、工业和服务行业的各个方面,使整个人类社会都发生了巨大的改变,向社会文明迈出了具有历史意义的一步。即便如此,我国的计算机网络信息安全还存在一些安全故障。虽然一些防护措施已经被研究出来,但是人不能满足计算机网络发展的需求。本文主要通过介绍计算机网络信息安全的现状及网络安全威胁,并为网络安全的防护措施进行一定的研究。 关键词:计算机;网络;信息安全;防护措施;研究
近年来,计算机网络技术实现了快速发展,它已经渗透到了社会的各个领域,被运用到各种行业,发挥着不可替代的作用。计算机网络技术的不断进步,影响着人们的生活,给人们带来便利的同时,也给人们带来很多。计算机网络安全频频发生,给人民群众的生活造成严重威胁。所以,相关人员必须制定计算机网络信息安全措施来解决这些问题。 1计算机网络信息安全的现状 计算机网络安全包含不同的技术项目,它在各种领域发挥着不同的作用。如今,我国主要研究计算机网络的安全技术、系统软件、以及硬件的建设和数据的维修等等。这些技术在一定程度上减低了计算机被威胁个概率。但是扔影响着计算机的安全运行。计算网络信息技术的从业人员涉及面必须非常广范。现阶段,我国的计算机网络系统软件、系统数据的维护以及硬件的建设都要不断完善,在系统中设置计算机检测、响应以及安全评估环节,保障计算机网络信息的安全。
XX技术股份有限公司 计算机及信息系统安全保密策略 1 概述 计算机及信息系统安全保密策略属于顶层的管理文档,是公司网络与信息安全保障工作的出发点和核心,是公司计算机与信息系统安全管理和技术措施实施的指导性文件。涉密计算机及信息系统安全策略文件是公司计算机和信息系统全体管理和使用人员必须遵循的信息安全行为准则,由公司信息安全管理部门制订及解释,由公司保密委员会审批发布,并由信息安全管理部门组织公司全体人员学习与贯彻。 公司涉密计算机及信息系统涉及到存储、传输、处理国家秘密、公司商业秘密和业务关键信息,关系到公司的形象和公司业务的持续运行,必须保证其安全。因此,必须从技术、管理、运行等方面制定确保涉密计算机和信息系统持续可靠运行的安全策略,做好安全保障。 本策略文件主要内容包括:人员安全、资产分类与控制、物理和环境安全、系统开发和维护、访问控制、个人计算机安全、风险管理、业务持续性管理与灾难恢复、计算机与网络运行管理、遵循性等十个方面。 2 适用范围 2.1本策略所称的涉密计算机和信息系统指公司所有通过计算机及信息系统存贮、处理或传输的信息及存贮、处理或传输这些信息的硬件、软件及固件。 2.2本策略适用于与公司涉密计算机及信息系统相关的所有部门及人员。 3 目标 制定涉密计算机及信息系统安全策略的目标就是确保公司掌握的国家秘密、公司商业秘密和业务关键信息的安全性,并通过一系列预防措施将信息安全可能受到的危害降到最低。信息安全管理应在确保信息和计算机受到保护的同时,确保计算机和信息系统能够在允许的范围内正常运行使用。 同时,本策略的目的也是让所有员工能够了解信息安全问题以及明确各自的信息安全职责,严格遵守本安全策略,并遵守国家相关的计算机或信息安全法律要求。 4 组织 4.1保密委员会是计算机及信息系统安全管理的领导机关,负责领导信息安全管理