信息網(wǎng)絡安全管理

1、吉林省公安廳網(wǎng)絡警察總隊歡迎參加信息網(wǎng)絡安全專業(yè)技術人員繼續(xù)教育培訓班1信息網(wǎng)絡安全管理吉林省公安廳網(wǎng)絡警察總隊 全繼天 2信息網(wǎng)絡安全管理信息安全法律法規(guī)與標準介紹信息網(wǎng)絡違法犯罪信息安全管理簡介信息安全監(jiān)管3信息網(wǎng)絡安全管理信息安全法律法規(guī)與標準介紹 法律法規(guī) 中華人民共和國刑法（第285、286、287條）1997.3.14 中華人民共和國人民警察法 1995.2.28 中華人民共和國治安管理處罰法 2005.8.28 全國人民代表大會常務委員會關于維護互聯(lián)網(wǎng)安全的決定 2000.12.28 中華人民共和國計算機信息系統(tǒng)安全保護條例 1994.2.18 計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理

2、辦法 1997.12.30 計算機信息系統(tǒng)安全專用產(chǎn)品檢測和銷售許可證管理辦法 1997.6.28 計算機病毒防治管理辦法 2000.3.30 金融機構計算機信息系統(tǒng)安全保護工作暫行規(guī)定 1998.8.31 互聯(lián)網(wǎng)電子公告服務管理規(guī)定 2000.10.8 計算機信息系統(tǒng)保密管理暫行規(guī)定 1998.2.26 信息安全等級保護管理辦法 2006.3.1 互聯(lián)網(wǎng)安全保護技術措施規(guī)定 2006.3.1 4信息網(wǎng)絡安全管理信息安全法律法規(guī)與標準介紹 國家標準 計算機信息系統(tǒng)安全專用產(chǎn)品分類原則 GA163-1997 計算機信息系統(tǒng)防雷保安器 GA173-1998 信息技術設備的無線電干擾極限值和測量方法

3、 GB9254-88 計算站場地安全要求 GB9361-88 計算站場地技術條件 GB2887-89 電子計算機機房設計規(guī)范 GB50174-93 電子計算機機房施工及驗收規(guī)范 SJ/T30003-93 計算機信息安全保護等級劃分準則 GB-17859:1999 計算機信息系統(tǒng)安全等級保護通用技術要求 GA/T390-2002 計算機信息系統(tǒng)安全等級保護操作系統(tǒng)技術要求 GA/T388-2002 計算機信息系統(tǒng)安全等級保護數(shù)據(jù)庫管理系統(tǒng)技術要求 GA/T387-2002 計算機信息系統(tǒng)安全等級保護管理要求 GA/T391-2002 國際標準 信息安全管理標準 BS7799 ISO/IEC177

4、99 國際信息安全管理標準5信息網(wǎng)絡安全管理信息安全法律法規(guī)與標準介紹信息系統(tǒng)安全保護條例與辦法中華人民共和國計算機信息系統(tǒng)安全保護條例適用范圍 條例規(guī)定不得利用計算機信息系統(tǒng)從事危害國家利益、集體利益和公民合法利益的活動，不得危害計算機信息系統(tǒng)的安全。條例適用于任何組織或者個人。中華人民共和國境內(nèi)的計算機信息系統(tǒng)的安全保護適用本條例。6信息網(wǎng)絡安全管理信息安全法律法規(guī)與標準介紹信息系統(tǒng)安全保護條例與辦法 中華人民共和國計算機信息系統(tǒng)安全保護條例 主要內(nèi)容 .準確標明了安全保護工作的性質(zhì) .科學界定了“計算機信息系統(tǒng)”的概念 .系統(tǒng)設置了安全保護的制度 .明確確定了安全監(jiān)督的職權 .全面規(guī)定了

5、違法者的法律責任 .定義了計算機病毒及專用安全產(chǎn)品7信息網(wǎng)絡安全管理信息安全法律法規(guī)與標準介紹信息系統(tǒng)安全保護條例與辦法計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全管理辦法適用范圍和公安機關職責 .辦法適用于中華人民共和國境內(nèi)的計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理。 .辦法的調(diào)整對象是從事國際聯(lián)網(wǎng)業(yè)務的單位和個人。 .公安機關職責劃分：公安部計算機管理監(jiān)察機構負責計算機信息網(wǎng)絡國際聯(lián)網(wǎng)的安全保護管理工作。公安機關計算機管理監(jiān)察機構應當保護計算機信息網(wǎng)絡國際聯(lián)網(wǎng)的公共安全，維護從事國際聯(lián)網(wǎng)業(yè)務的單位和個人的合法權益及公眾利益。8信息網(wǎng)絡安全管理信息安全法律法規(guī)與標準介紹信息系統(tǒng)安全保護條例與辦法 計算機信息網(wǎng)絡國際

6、聯(lián)網(wǎng)安全管理辦法 安全責任、義務和法律責任 .安全保護職責 .安全監(jiān)督 .法律責任9信息網(wǎng)絡安全管理信息安全法律法規(guī)與標準介紹 互聯(lián)網(wǎng)安全保護技術措施規(guī)定 明確互聯(lián)網(wǎng)安全保護技術措施定義 互聯(lián)網(wǎng)安全保護技術措施，是指保障互聯(lián)網(wǎng)網(wǎng)絡安全和信息安全、防范違法犯罪的技術設施和技術方法 規(guī)范了互聯(lián)網(wǎng)安全保護技術措施使用原則 互聯(lián)網(wǎng)服務提供者、聯(lián)網(wǎng)使用單位負責落實互聯(lián)網(wǎng)安全保護技術措施，并保障互聯(lián)網(wǎng)安全保護技術措施功能的正常發(fā)揮。 互聯(lián)網(wǎng)服務提供者、聯(lián)網(wǎng)使用單位應當建立相應的管理制度。未經(jīng)用戶同意不得公開、泄露用戶注冊信息，但法律、法規(guī)另有規(guī)定的除外。 互聯(lián)網(wǎng)服務提供者、聯(lián)網(wǎng)使用單位應當依法使用互聯(lián)網(wǎng)安

7、全保護技術措施，不得利用互聯(lián)網(wǎng)安全保護技術措施侵犯用戶的通信自由和通信秘密。 明確監(jiān)管主體和技術標準 公安機關公共信息網(wǎng)絡安全監(jiān)察部門負責對互聯(lián)網(wǎng)安全保護技術措施的落實情況依法實施監(jiān)督管理。 互聯(lián)網(wǎng)安全保護技術措施應當符合國家標準。沒有國家標準的，應當符合公共安全行業(yè)技術標準。 10信息網(wǎng)絡安全管理信息安全法律法規(guī)與標準介紹 互聯(lián)網(wǎng)安全保護技術措施規(guī)定 互聯(lián)網(wǎng)服務提供者和聯(lián)網(wǎng)使用單位應當落實以下互聯(lián)網(wǎng)安全保護技術措施：1、防范計算機病毒、網(wǎng)絡入侵和攻擊破壞等危害網(wǎng)絡安全事項或者行為的技術措施；2、重要數(shù)據(jù)庫和系統(tǒng)主要設備的冗災備份措施；3、記錄并留存用戶登錄和退出時間、主叫號碼、賬號、互聯(lián)網(wǎng)地

8、址或域名、系統(tǒng)維護日志的技術措施；4、法律、法規(guī)和規(guī)章規(guī)定應當落實的其他安全保護技術措施。 11信息網(wǎng)絡安全管理信息安全法律法規(guī)與標準介紹 互聯(lián)網(wǎng)安全保護技術措施規(guī)定 提供互聯(lián)網(wǎng)接入服務的單位除落實上述四項技術措施外，還應當落實具有以下功能的安全保護技術措施：（一）記錄并留存用戶注冊信息；（二）使用內(nèi)部網(wǎng)絡地址與互聯(lián)網(wǎng)網(wǎng)絡地址轉(zhuǎn)換方式為用戶提供接入服務的，能夠記錄并留存用戶使用的互聯(lián)網(wǎng)網(wǎng)絡地址和內(nèi)部網(wǎng)絡地址對應關系；（三）記錄、跟蹤網(wǎng)絡運行狀態(tài)，監(jiān)測、記錄網(wǎng)絡安全事件等安全審計功能。12信息網(wǎng)絡安全管理信息安全法律法規(guī)與標準介紹 互聯(lián)網(wǎng)安全保護技術措施規(guī)定 提供互聯(lián)網(wǎng)信息服務的單位除落實上述四

9、條技術措施外，還應當落實具有以下功能的安全保護技術措施：（一）在公共信息服務中發(fā)現(xiàn)、停止傳輸違法信息，并保留相關記錄；（二）提供新聞、出版以及電子公告等服務的，能夠記錄并留存發(fā)布的信息內(nèi)容及發(fā)布時間；（三）開辦門戶網(wǎng)站、新聞網(wǎng)站、電子商務網(wǎng)站的，能夠防范網(wǎng)站、網(wǎng)頁被篡改，被篡改后能夠自動恢復；（四）開辦電子公告服務的，具有用戶注冊信息和發(fā)布信息審計功能；（五）開辦電子郵件和網(wǎng)上短信息服務的，能夠防范、清除以群發(fā)方式發(fā)送偽造、隱匿信息發(fā)送者真實標記的電子郵件或者短信息。 13信息網(wǎng)絡安全管理信息安全法律法規(guī)與標準介紹 互聯(lián)網(wǎng)安全保護技術措施規(guī)定 提供互聯(lián)網(wǎng)數(shù)據(jù)中心服務的單位和聯(lián)網(wǎng)使用單位除落實上

10、述四項技術措施外，還應當落實具有以下功能的安全保護技術措施：（一）記錄并留存用戶注冊信息；（二）在公共信息服務中發(fā)現(xiàn)、停止傳輸違法信息，并保留相關記錄；（三）聯(lián)網(wǎng)使用單位使用內(nèi)部網(wǎng)絡地址與互聯(lián)網(wǎng)網(wǎng)絡地址轉(zhuǎn)換方式向用戶提供接入服務的，能夠記錄并留存用戶使用的互聯(lián)網(wǎng)網(wǎng)絡地址和內(nèi)部網(wǎng)絡地址對應關系。14信息網(wǎng)絡安全管理信息安全法律法規(guī)與標準介紹 互聯(lián)網(wǎng)安全保護技術措施規(guī)定 提供互聯(lián)網(wǎng)上網(wǎng)服務的單位，除落實上述四項技術措施外，還應當安裝并運行互聯(lián)網(wǎng)公共上網(wǎng)服務場所安全管理系統(tǒng)。 互聯(lián)網(wǎng)服務提供者依照規(guī)定采取的互聯(lián)網(wǎng)安全保護技術措施應當具有符合公共安全行業(yè)技術標準的聯(lián)網(wǎng)接口。 互聯(lián)網(wǎng)服務提供者和聯(lián)網(wǎng)使用

11、單位依照本規(guī)定落實的記錄留存技術措施，應當具有至少保存六十天記錄備份的功能。15信息網(wǎng)絡安全管理信息安全法律法規(guī)與標準介紹 互聯(lián)網(wǎng)安全保護技術措施規(guī)定 互聯(lián)網(wǎng)服務提供者和聯(lián)網(wǎng)使用單位不得實施下列破壞互聯(lián)網(wǎng)安全保護技術措施的行為：（一）擅自停止或者部分停止安全保護技術設施、技術手段運行；（二）故意破壞安全保護技術設施；（三）擅自刪除、篡改安全保護技術設施、技術手段運行程序和記錄；（四）擅自改變安全保護技術措施的用途和范圍；（五）其他故意破壞安全保護技術措施或者妨礙其功能正常發(fā)揮的行為。16信息網(wǎng)絡安全管理關于執(zhí)行計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法中有關問題的解釋（一）、 關于“安全保護管理制

12、度”問題 辦法第十條第一項和第二十一條第一項中的“安全保護管理制度主要包括：（1）信息發(fā)布審核、登記制度；（2）信息監(jiān)視、保存、清除和備份制度；（3）病毒檢測和網(wǎng)絡安全漏洞檢測制度；（4）違法案件報告和協(xié)助查處制度；（5）帳號使用登記和操作權限管理制度；（6）安全管理人員崗位工作職責；（7）安全教育和培訓制度；（8）其他與安全保護相關的管理制度。 17信息網(wǎng)絡安全管理關于執(zhí)行計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法中有關問題的解釋（二）、關于“安全保護技術措施”問題 辦法第十條第二項中的“安全保護技術措施”和第二十一條第二項中的“安全保護技術措施”主要包括：（1）具有保存3個月以上系統(tǒng)網(wǎng)絡運行日

13、志和用戶使用日志記錄功能，內(nèi)容包括IP地址分配及使用情況，交互式信息發(fā)布者、主頁維護者、郵箱使用者和撥號用戶上網(wǎng)的起止時間和對應IP地址，交互式欄目的信息等；（2）具有安全審計或預警功能；（3）開設郵件服務的，具有垃圾郵件清理功能；（4）開設交互式信息欄目的，具有身份登記和識別確認功能；（5）計算機病毒防護功能；（6）其他保護信息和系統(tǒng)網(wǎng)絡安全的技術措施。 18信息網(wǎng)絡安全管理關于執(zhí)行計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法中有關問題的解釋（三）、 關于“安全保護管理所需信息、資料及數(shù)據(jù)文件”問題 辦法第八條中的“有關安全保護的信息、資料及數(shù)據(jù)文件”和第二十一條第四項中的“安全保護管理所需信息、

14、資料及數(shù)據(jù)文件”主要包括：（1）用戶注冊登記、使用與變更情況（含用戶帳號、IP與Email地址等）；（2）IP地址分配、使用及變更情況；（3）網(wǎng)頁欄目設置與變更及欄目負責人情況；（4）網(wǎng)絡服務功能設置情況；（5）與安全保護相關的其他信息。 19信息網(wǎng)絡安全管理關于執(zhí)行計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法中有關問題的解釋（四）、關于“保留有關原始記錄”問題 辦法第十條第六項中的“有關原始記錄”是指有關信息或行為在網(wǎng)上出現(xiàn)或發(fā)生時，計算機記錄、存貯的所有相關數(shù)據(jù)，包括時間、內(nèi)容（如圖象、文字、聲音等）、來源（如源IP地址、Email地址等）及系統(tǒng)網(wǎng)絡運行日志、用戶使用日志等。 20信息網(wǎng)絡安全管

15、理關于執(zhí)行計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法中有關問題的解釋（五）、關于“停機整頓”處罰的執(zhí)行問題 按照辦法規(guī)定作出“停機整頓”的處罰決定，可采取的執(zhí)行措施包括：（1）停止計算機信息系統(tǒng)運行；（2）停止部分計算機信息系統(tǒng)功能；（3）凍結(jié)用戶聯(lián)網(wǎng)帳號；（4）其他有效執(zhí)行措施。 21信息網(wǎng)絡安全管理信息網(wǎng)絡違法犯罪 計算機案件 治安案件和一般行政案件 違反行政法規(guī)所構成的計算機案件被稱為行政案件。例如，計算機信息系統(tǒng)安全保護條理中的規(guī)定和制度，涵蓋了計算機信息系統(tǒng)安全保護的過程。凡是違反有關規(guī)定和制度的，均構成違反計算機信息系統(tǒng)安全保護條理的違法行為，要追究行政法律責任。 22信息網(wǎng)絡安全管理

16、信息網(wǎng)絡違法犯罪 計算機案件 刑事案件 觸犯刑律所構成的計算機案件被稱為計算機刑事案件。例如，我國刑法中關于計算機犯罪的規(guī)定，對非法侵入重要計算機信息系統(tǒng)，以及違反計算機信息系統(tǒng)安全保護條理并造成嚴重后果構成犯罪的，則追究其刑事責任。 我過刑法關于計算機犯罪的三個專門條款，分別規(guī)定了非法侵入計算機信息系統(tǒng)罪；破壞計算機信息系統(tǒng)罪；利用計算機實施金融詐騙、盜竊、貪污、挪用公款、竊取國家秘密或者其他犯罪，并將其一并歸入第六章“妨害社會管理秩序罪”第一節(jié)“擾亂公共秩序罪”。 23信息網(wǎng)絡安全管理信息網(wǎng)絡違法犯罪 計算機案件 刑事案件 刑法有關計算機犯罪的規(guī)定，總體上可以分為兩大類：一類是純粹的計算機

17、犯罪，即刑法第285條、第286條單列的兩種計算機犯罪獨立罪名；另一類不是純粹的計算機犯罪，而是隱含于其他犯罪罪名的計算機犯罪形式。例如，刑法第287條規(guī)定：“利用計算機實施金融詐騙、盜竊、貪污、挪用公款、竊取國家秘密或者其他犯罪的，依照本法有關規(guī)定定罪處罰?！敝砸獏^(qū)分這兩種類別，是因為第二類犯罪與傳統(tǒng)犯罪之間并無本質(zhì)區(qū)別，只是在犯罪工具使用上有所不同而已，因此不需要為其單列罪名，而第一類犯罪不僅在具體手段和侵犯客體方面與傳統(tǒng)犯罪存在差別，而且有其特殊性，傳統(tǒng)犯罪各罪名已無法包括這些犯罪形式，因此為其單列罪名。24信息網(wǎng)絡安全管理信息網(wǎng)絡違法犯罪 計算機犯罪 計算機案件的性質(zhì)界定 計算機案

18、件包括行政違法案件和刑事違法案件，行政違法行為要受到行政處罰，刑事違法行為則應受到刑事處罰。在我國法律責任體系中，兩者在內(nèi)容和性質(zhì)上有許多不同。因此必須正確界定案件性質(zhì)并依法進行制裁。 對于特定的計算機犯罪案件，到底是按照行政案件進行處罰，還是按照刑事案件進行處罰，在性質(zhì)界定方面有以下依據(jù)： 根據(jù)違法行為的情節(jié)和所造成的后果進行界定 違法行為的情節(jié)或者危害后果輕微的是行政違法，情節(jié)較重或者造成嚴重后果的是刑事違法，這是現(xiàn)行法律運用最為廣泛的劃分標準。例如，我國刑法第286條規(guī)定的破壞計算機信息系統(tǒng)功能、破壞計算機信息系統(tǒng)數(shù)據(jù)和應用程序、制作和傳播破壞程序，均以后果嚴重作為構成犯罪的要件。25信

19、息網(wǎng)絡安全管理信息網(wǎng)絡違法犯罪 計算機犯罪 計算機案件的性質(zhì)界定 根據(jù)違法行為的類別進行界定 有些違法行為一經(jīng)實施就是刑事違法行為。例如，非法侵入計算機信息系統(tǒng)罪，任何人只要未經(jīng)允許侵入國家事務、國防建設、尖端科學技術領域的計算機信息系統(tǒng)就構成刑事犯罪，此類行為不僅承擔行政責任，同時應當受到刑事處罰。而另外一些違法行為則只屬于行政違法行為，不屬于刑事違法行為。例如，將計算機信息系統(tǒng)接入互聯(lián)網(wǎng)的法人和其他組織，未按照規(guī)定進行備案，依據(jù)計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理爆發(fā)，由公安機關給予行政處罰，但是該行為不構成刑事違法行為，不需進行刑事處罰。 根據(jù)違法行為所違反的法律規(guī)范來界定 行政違法行為所

20、違反的是行政法律規(guī)范，應當受到行政法律的制裁，承擔行政責任；刑事違法行為違反的是刑事法律規(guī)范，應當受到刑法制裁，承擔刑事法律責任。計算機信息系統(tǒng)安全保護條例第24條明確規(guī)定：“違反本條例的規(guī)定，構成違反治安管理行為的，依照中華人民共和國治安管理處罰條例的有關規(guī)定處罰；構成犯罪的，依法追究刑事責任?！?6信息網(wǎng)絡安全管理信息網(wǎng)絡違法犯罪 計算機犯罪 犯罪的概念 中華人民共和國刑法第二章第十三條對犯罪作了如下定義：一切危害國家主權、領土完整和安全、分裂國家、顛覆人民民主專政和推翻社會主義制度，破壞社會秩序和經(jīng)濟秩序，侵犯國有財產(chǎn)或勞動群眾集體所有的財產(chǎn)，侵犯公民私人所有的財產(chǎn)，侵犯公民的人身權利、

21、民主權利和其他權利，以及其他危害社會的行為，依照法律應當受刑罰處罰的，都屬于犯罪，但是情節(jié)顯著輕微且危害不大的，不認為是犯罪。27信息網(wǎng)絡安全管理信息網(wǎng)絡違法犯罪 計算機犯罪 計算機犯罪的概念 計算機犯罪是指行為人通過計算機操作所實施的危害計算機信息系統(tǒng)安全以及其他嚴重危害社會的并應當處以刑罰的行為。 計算機犯罪分類： 一般可分為兩大類：一類是針對計算機信息系統(tǒng)實施的犯罪，如非法入侵、刪除修改重要數(shù)據(jù)、傳播計算機病毒等。 另一類是行為人利用計算機實施危害社會的犯罪，如：盜竊、詐騙、賭博、傳播淫穢色情物品等傳統(tǒng)犯罪。28信息網(wǎng)絡安全管理信息網(wǎng)絡違法犯罪 計算機犯罪 計算機犯罪的表現(xiàn)形式 1、非法

22、侵入計算機信息系統(tǒng)罪 新刑法第285條對非法侵入計算機信息系統(tǒng)罪作了明確規(guī)定：違反國家規(guī)定，侵入國家事物、國防建設、尖端科學技術領域的計算機信息系統(tǒng)的，處三年以下的有期徒刑或者拘役。 2、破壞計算機信息系統(tǒng)罪 新刑法第286條明確規(guī)定：違反國家規(guī)定，對計算機信息系統(tǒng)功能進行刪除、修改、增加、干擾，造成計算機信息系統(tǒng)不能正常運行，后果嚴重的，處五年以下有期徒刑或者拘役；后果特別嚴重的，處五年以上的有期徒刑。29信息網(wǎng)絡安全管理信息網(wǎng)絡違法犯罪 計算機犯罪 計算機犯罪的表現(xiàn)形式 3、利用計算機信息系統(tǒng)實施的犯罪 新刑法第287條明確規(guī)定利用計算機實施金融詐騙、盜竊、貪污、挪用公款、竊取國家秘密或者

23、其他犯罪的，依照本法有關規(guī)定定罪處罰。30信息網(wǎng)絡安全管理信息網(wǎng)絡違法犯罪 計算機犯罪 互聯(lián)網(wǎng)犯罪 互聯(lián)網(wǎng)犯罪是指行為人利用計算機信息網(wǎng)絡國際聯(lián)網(wǎng)實施犯罪的一種表現(xiàn)形式。隨著網(wǎng)絡技術的飛速發(fā)展，人們對網(wǎng)絡的依賴程度越來越高，互聯(lián)網(wǎng)在給人們帶來福音的同時，網(wǎng)絡犯罪也悄然而至，并且來勢迅猛。利用互聯(lián)網(wǎng)危害國家安全、擾亂社會管理秩序、侵犯公私財產(chǎn)、侵犯公民人身權利和民主權利、黃、賭、毒犯罪案件日顯突出，給社會帶來極大危害。利用互聯(lián)網(wǎng)實施犯罪的種類繁多，如網(wǎng)上邪教組織；網(wǎng)上竊取、泄露國家機密；網(wǎng)上侵犯商業(yè)秘密；網(wǎng)上毀損商譽；網(wǎng)上侮辱、誹謗；網(wǎng)上盜竊、詐騙、洗錢、賭博、販毒、買賣槍支、傳播淫穢色情物品等

24、。31信息網(wǎng)絡安全管理信息網(wǎng)絡違法犯罪 計算機犯罪 互聯(lián)網(wǎng)犯罪 互聯(lián)網(wǎng)犯罪特點： 1、范圍廣，速度快，成本低。 2、犯罪手段隱蔽 ，證據(jù)易被銷毀。 3、犯罪人員的高智能性和危害的嚴重性。 4、傳統(tǒng)領域犯罪逐步向網(wǎng)絡犯罪滲透。32信息網(wǎng)絡安全管理信息網(wǎng)絡違法犯罪 計算機犯罪 互聯(lián)網(wǎng)犯罪 我省網(wǎng)絡犯罪狀況 自1998年我省破獲首起利用計算機信息網(wǎng)絡貪污侵占銀行存款案件起，利用計算機信息網(wǎng)絡進行違法犯罪活動逐漸呈現(xiàn)，發(fā)展速度十分驚人。1999年全省公安機關立案偵查的計算機違法犯罪案件僅為10余起；2000年為60余起；2004年達到530余起，比2000年上升了8倍。2006年全省公安機關網(wǎng)絡警察查

25、處網(wǎng)絡違法犯罪案件達到1900余起。其中，90%以上的計算機違法犯罪案件牽涉國際互聯(lián)網(wǎng) 。33信息網(wǎng)絡安全管理信息網(wǎng)絡違法犯罪 計算機犯罪 互聯(lián)網(wǎng)犯罪 我省網(wǎng)絡犯罪特點 1、利用互聯(lián)網(wǎng)危害國家安全的案件持續(xù)上升。 2、利用網(wǎng)絡制作、復制、傳播淫穢色情物品進行賭博的案件 十分突出。 3、利用計算機網(wǎng)絡侵犯公私財物的案件呈多發(fā)趨勢。 4、危害計算機信息網(wǎng)絡安全的案件增幅較大。 5、侵犯公民人身權利和民主權利的案件增多。34信息網(wǎng)絡安全管理信息安全管理簡介信息安全組織管理 信息安全管理組織構架與職能 信息系統(tǒng)安全管理機構是實施系統(tǒng)安全，進行安全管理的必要保證。通常，信息安全問題是由單位、組織內(nèi)部的專

26、門機構控制和管理的，由健全的安全管理機構保障和實施應用系統(tǒng)的安全措施。信息安全管理機構的組織結(jié)構中，包括以下組織部分： 內(nèi)部信息安全管理組織包括： 安全審查和決策機構：負責信息安全工作的權威機構，通常形式是信息安全管理委員會，由高級管理層、各部門管理層的代表組成，負責制定信息安全目標、原則、方針和策略。 安全主觀機構：負責具體的信息安全建設和管理，依據(jù)安全策略，制定各項安全管理制度，采用必要的安全技術措施。35信息網(wǎng)絡安全管理信息安全管理簡介信息安全組織管理 信息安全管理組織構架與職能 內(nèi)部信息安全管理組織包括： 安全運行維護機構：對相關的安全技術機制和系統(tǒng)，按照安全管理規(guī)范的要求，進行運行維

27、護，保證安全系統(tǒng)穩(wěn)定可靠，發(fā)揮有效保護作用。 安全審計機構：擔負保護系統(tǒng)安全的責任，但工作重點偏向于監(jiān)視系統(tǒng)的運行情況，并且對安全管理制度的貫徹執(zhí)行情況進行監(jiān)督和檢查。 安全培訓機構：負責與信息安全有關的教育和培訓工作。 安全人員：信息安全管理是一個復雜的過程，需要多方面的人才，包括安全、審計、系統(tǒng)分析、軟硬件、通信、保安等有關方面的人員。36信息網(wǎng)絡安全管理信息安全管理簡介信息安全組織管理 信息安全管理組織構架與職能 外部信息安全管理組織包括： 國家職能監(jiān)管機構：包括公安機關、國家保密機關 等國家規(guī)定的信息安全職能監(jiān)管機構。 外部合作組織：由權威第三方安全組織、信息安全專業(yè)廠商組成，在必要時

28、，為單位、組織提供外部的技術支持。 專家顧問組：由外聘資深專家和顧問組成，為決策機構提供必要的建設和決策支持。 37信息網(wǎng)絡安全管理信息安全管理簡介信息安全組織管理 信息安全管理和公安機關公共信息網(wǎng)絡安全監(jiān)察部門的配合 公安部是國家授權對信息安全和網(wǎng)絡安全進行監(jiān)控和管理的職能機構，各單位、組織的信息安全管理工作，應當與公安機關公共信息網(wǎng)絡安全監(jiān)察部門密切配合，從國家宏觀和組織自身微觀兩個層次是實現(xiàn)有效的信息安全管理。符合性（合規(guī)性）管理： 是指單位、組織根據(jù)自身業(yè)務特點和具體情況所制定的信息安全管理辦法和規(guī)范，必須符合國家信息安全相關法律、法規(guī)的規(guī)定，不得違背。符合性（合規(guī)性）管理是信息安全管

29、理的重要組成部分，在組織自身微觀的層次上，體現(xiàn)了信息安全管理與國家宏觀信息安全管理的一致和配合。38信息網(wǎng)絡安全管理信息安全管理簡介信息安全組織管理 信息安全管理和公安機關公共信息網(wǎng)絡安全監(jiān)察部門的配合 單位、組織的信息安全管理工作與公安機關公共信息網(wǎng)絡安全監(jiān)察部門之間的配合主要體現(xiàn)在以下方面： 單位、組織的信息安全管理，必須遵循信息安全法律、法規(guī)對于安全管理職責、備案、禁止行為、安全管理制度和安全技術機制要求等方面的內(nèi)容規(guī)定，不得違反；否則，將按照相關法律、法規(guī)的規(guī)定，追究法律責任，并給予行政和刑事處罰。 法律、法規(guī)賦予公安機關公共信息網(wǎng)絡安全監(jiān)察部門對信息安全的監(jiān)管職責，各單位、組織必須接

30、受和配合公安機關公共信息網(wǎng)絡安全監(jiān)察部門的監(jiān)督和檢查。 在發(fā)生信息安全案件后，單位、組織應當及時向公安機關公共信息網(wǎng)絡安全監(jiān)察部門報案，并在取證和調(diào)查等環(huán)節(jié)給予密切配合。 39信息網(wǎng)絡安全管理信息安全管理簡介信息安全人員管理 人員安全管理是信息安全管理中的一個重要方面，人員安全管理應當考慮以下主要內(nèi)容： 安全審查 安全保密管理 安全教育與培訓 崗位安全考核 離崗人員安全管理 40信息網(wǎng)絡安全管理信息安全管理簡介信息安全人員管理 安全審查 人的因素在各個安全環(huán)節(jié)中是最重要的，全面提高人員的技術水平、道德品質(zhì)、政治覺悟和安全意識是信息安全的重要保障。事實證明很多安全事件都是由內(nèi)部人員所制造的，而高

31、技術、現(xiàn)代化的網(wǎng)絡和信息系統(tǒng)又不可能脫離高素質(zhì)的技術人員獨立運行。因此。對于關鍵崗位必須建立嚴格的人員安全審查制度，把好人員安全管理的第一關。 根據(jù)單位、組織網(wǎng)絡和信息系統(tǒng)內(nèi)部資源的敏感程度和重要程度不同，對信息資源進行密級劃分。信息資源的密級直接決定了接觸和管理該信息資源的崗位對人員安全等級的要求，應該依此要求建立相應的人員安全審查的標準。人員的安全審查應該從安全意識、法律意識、安全技能等幾方面進行，人員應該具有政治可靠、思想進步、作風正派、技術合格等基本素質(zhì)。41信息網(wǎng)絡安全管理信息安全管理簡介信息安全人員管理 安全審查 網(wǎng)絡和信息系統(tǒng)的關鍵崗位人選的審查標準如下： 1、必須是單位、組織的

32、正式員工。 2、必須經(jīng)過嚴格的政審、背景和資歷調(diào)查。 3、必須經(jīng)過業(yè)務能力的綜合考核。 4、不得出現(xiàn)在其他關鍵崗位兼職的情況。 42信息網(wǎng)絡安全管理信息安全管理簡介信息安全人員管理 安全保密管理 所有進入網(wǎng)絡和信息系統(tǒng)工作的人員，必須簽訂保密協(xié)議，承諾其對網(wǎng)絡和信息系統(tǒng)應盡的安全保密義務，保證在崗工作期間和離崗后一定時期內(nèi)，均不違反保密協(xié)議，不泄露系統(tǒng)秘密。 新加入的正式雇員在辦理手續(xù)的時候，應該簽訂保密協(xié)議，作為雇傭合同的必要組成部分和附件；現(xiàn)有正式雇員，如果過去沒有簽訂保密協(xié)議，應該及時的補辦相應手續(xù)；臨時人員和第三方人員在接觸網(wǎng)絡和信息系統(tǒng)之前，也應該簽署相關的保密協(xié)議。 43信息網(wǎng)絡安

33、全管理信息安全管理簡介信息安全人員管理 安全保密管理保密協(xié)議的內(nèi)容應當根據(jù)單位、組織相關的商業(yè)秘密保護辦法制定： 1、保密的范圍至少應不限于包括網(wǎng)絡和信息系統(tǒng)的軟硬件配置參數(shù)、相關技術文檔、系統(tǒng)敏感數(shù)據(jù)、信息安全管理制度和規(guī)定以及可能損害單位、組織形象和信譽的事件或案件情況。 2、應該對保密期限進行明確規(guī)定，對于重要的崗位，不僅要求員工在崗期間遵守保密協(xié)議，還應該規(guī)定在員工離崗之后一定的時期內(nèi)，保密協(xié)議仍然有效。 3、應該針對違反保密協(xié)議的違規(guī)情況，指定響應的懲處條款。 4、應該在雇傭合同或者雇傭條款發(fā)生變化的時候，對員工保密協(xié)議進行審查。44信息網(wǎng)絡安全管理信息安全管理簡介信息安全人員管理

34、安全教育與培訓 一、安全策略 安全教育與培訓是人員安全管理的重要內(nèi)容，通過持續(xù)有效的安全教育與培訓，提高相關人員的安全能力和專業(yè)技能，此項管理工作應當在相應安全策略的指導下進行，信息安全教育與培訓策略應當包含以下內(nèi)容： 1、應定期對員工進行信息安全教育與培訓，促使員工理解信息安全的重要性以及網(wǎng)絡和信息系統(tǒng)所面臨的各種可能的安全風險，以提高員工的信息安全意識，并遵守各種信息安全管理規(guī)定。 2、應當以人員角色及崗位職能為基礎，針對不同層次的人員，進行適當?shù)男畔踩逃c培訓。信息安全教育與培訓的內(nèi)容應當包括信息安全相關的法律、法規(guī)，信息安全方針與策略，信息安全的操作流程以及使用和管理信息安全技術基

35、礎設施的技能訓練。 3、信息安全教育與培訓，除了使用于內(nèi)部員工之外，同樣使用于所有接入和使用網(wǎng)絡和信息系統(tǒng)的第三方人員。 4、信息安全教育與培訓的內(nèi)容應該具有針對性，根據(jù)業(yè)務發(fā)展和信息系統(tǒng)的變化，及時進行調(diào)整、修正和補充，并應當建立考核制度，檢驗信息安全教育與培訓的效果。 45信息網(wǎng)絡安全管理信息安全管理簡介信息安全人員管理 安全教育與培訓 二、培訓內(nèi)容 根據(jù)信息安全教育與培訓策略，安全教育與培訓共包括三類不同層次的培訓內(nèi)容，分別是對所有接觸和使用網(wǎng)絡和信息系統(tǒng)的擁護進行基本安全教育；對負責信息安全基礎設施運行和維護的專業(yè)技術人員進行專業(yè)安全培訓；對信息安全保障體系的規(guī)劃者、管理者和建設實施人

36、員進行高級安全培訓。 46信息網(wǎng)絡安全管理信息安全管理簡介信息安全人員管理 安全教育與培訓 二、培訓內(nèi)容 1、基本安全教育 基本安全教育的培訓對象是所有接觸和使用網(wǎng)絡和信息系統(tǒng)的人員，包括內(nèi)部人員以及相關的第三方人員。 基本安全教育旨在使培訓對象了解信息安全的基本概念，認識到可能存在的各種安全威脅和安全風險，理解信息安全的方針策略和管理制度，從而達到提高信息安全意識，掌握基本安全操作技能，遵守信息安全管理制度和規(guī)定的目的。47信息網(wǎng)絡安全管理安全教育與培訓 二、培訓內(nèi)容 1、基本安全教育基本安全教育的內(nèi)容包括： 信息安全的含義，信息安全所涵蓋的各項主要方面，信息安全的最基本常識。 組織內(nèi)部哪些

37、重要區(qū)域和設備嚴格限制普通人員進入和使用，違反規(guī)定，會受到什么樣的處罰。 特別強調(diào)業(yè)務數(shù)據(jù)對于組織的重要性，業(yè)務數(shù)據(jù)是組織的核心商業(yè)機密，任何篡改、破壞業(yè)務數(shù)據(jù)的行為必將受到嚴厲的法律制裁。這部分內(nèi)容可以結(jié)合既有案例進行講述。 計算機用戶安全操作管理規(guī)范，使用戶了解作為一個普通用戶，應該如何安全地對本地桌面計算機系統(tǒng)進行操作，包括用戶名/口令的規(guī)定、防病毒軟件的配置和使用、系統(tǒng)補丁和版本升級的維護、計算機配置的管理措施、訪問互聯(lián)網(wǎng)時要注意的安全事項等。 普通用戶在應急響應計劃中的角色和作用。例如，發(fā)現(xiàn)安全事件時，保護好現(xiàn)場，及時按照規(guī)程向應急響應部門報警，并配合取證調(diào)查。48信息網(wǎng)絡安全管理安

38、全教育與培訓 二、培訓內(nèi)容 1、基本安全教育基本安全教育的內(nèi)容包括： 普通用戶在災難恢復計劃中的角色和作用。例如，災難發(fā)生時的人員自救和緊急疏散規(guī)程，災難發(fā)生后，盡快到達備份工作地點，配合災難恢復部門的工作，迅速重新開始正常工作，確保業(yè)務的連續(xù)性。 典型的安全時間案例介紹，介紹內(nèi)容包括事件的起因，造成的影響和后果，相關人員受到的處罰情況，使學員增加對安全事件的直觀認識，提高安全防護的意識，同時起到心里震懾作用，抑制不良想法和心理。 信息安全管理的監(jiān)督和檢查機構，使學員了解任何的違規(guī)行為都會被發(fā)現(xiàn)，會視情節(jié)和影響的嚴重性，受到響應的處理。49信息網(wǎng)絡安全管理安全教育與培訓 二、培訓內(nèi)容 2、專業(yè)

39、安全培訓 專業(yè)安全培訓的對象為負責信息安全基礎設施運行和維護的專業(yè)技術人員，包括安全系統(tǒng)管理員、操作系統(tǒng)管理員、數(shù)據(jù)庫系統(tǒng)管理員、網(wǎng)絡管理員、機房管理員、密匙管理員以及其他相關維護人員。 專業(yè)安全培訓為負責信息安全基礎設施的專業(yè)技術人員提供與其崗位和工作職責相關的專業(yè)理論知識、操作技能以及管理制度的培訓，使得培訓對象能夠具備崗位和職責所要求的必要理論基礎和操作技能，了解并遵守相應的安全管理規(guī)范，保證信息安全基礎設施穩(wěn)定有效的運行。 50信息網(wǎng)絡安全管理安全教育與培訓 二、培訓內(nèi)容 2、專業(yè)安全培訓專業(yè)安全培訓的內(nèi)容包括： 進行職業(yè)道德教育。信息安全的職業(yè)道德包括約束從業(yè)人員的言行，指導他們思想

40、的一整套道德規(guī)范，涉及到信息安全從業(yè)人員的思想認識、工作態(tài)度、業(yè)務鉆研、待遇得失及其公共道德等方面。 與崗位職能相關的信息安全技術理論培訓。例如:防火墻系統(tǒng)管理員需要接受防火墻技術理論的培訓，系統(tǒng)管理員需要接受與系統(tǒng)安全有關的安全技術理論的培訓。 崗位職能與操作技能培訓，使得培訓對象理解和遵守崗位職能范圍內(nèi)的信息安全管理內(nèi)容和流程規(guī)范，包括日常維護的操作規(guī)范，安全事件應急響應計劃中的角色職責和處理流程，災難恢復計劃中的角色職責和處理流程等。51信息網(wǎng)絡安全管理安全教育與培訓 二、培訓內(nèi)容 3、高級安全培訓 高級安全培訓的對象包括負責信息安全保障體系規(guī)劃和建設的專業(yè)技術人員、信息安全基礎設施的設

41、計和工程實施人員。 高級安全培訓旨在為單位、組織培養(yǎng)信息安全高級管理和技術人才，勝任各級信息安全管理部門中的關鍵崗位，實現(xiàn)信息安全保障體系的自主規(guī)劃、管理和項目實施。 52信息網(wǎng)絡安全管理安全教育與培訓 二、培訓內(nèi)容 3、高級安全培訓 高級安全培訓的內(nèi)容包括： 國家和行業(yè)與信息安全有關的法律、法規(guī)內(nèi)容，這些法律、法規(guī)都是信息安全保障體系的規(guī)劃和設計過程所必須遵循的基本規(guī)定。 全面的信息安全技術理論和知識，包括物理安全、網(wǎng)絡安全、系統(tǒng)安全、應用安全等各個層次的安全標準和安全機制。 全面的信息安全管理理論，包括信息安全管理的國際標準、安全風險評估理論與方法、信息安全方針和策略的指定和維護、組織機構

42、和人員安全管理以及諸如應急響應和災難恢復之類各項信息安全規(guī)范和流程的管理。 信息安全工程理論，包括信息安全基礎設施從需求分析、詳細設計到開發(fā)和項目實施過程中，與信息安全相關的管理要素。 關鍵崗位職能與責任，使得培訓對象理解與具體崗位相關的職能范圍和工作流程。關鍵崗位包括各級信息安全管理部門負責人、信息安全管理專員、應急響應計劃專員、災難恢復計劃專員、安全系統(tǒng)項目實施經(jīng)理等。53信息網(wǎng)絡安全管理信息安全管理簡介信息安全人員管理 安全教育與培訓 信息安全教育和培訓由單位、組織和信息安全管理部門定期組織進行。培訓結(jié)束后，必須進行考核，以檢驗教育和培訓的效果。信息安全管理部門定期組織安全檢查，檢驗信息

43、安全教育和培訓的實際效果以及安全規(guī)范的遵守和執(zhí)行情況。 54信息網(wǎng)絡安全管理信息安全管理簡介信息安全人員管理 崗位安全考核 人員安全管理部門要定期對網(wǎng)絡和信息系統(tǒng)所有的工作人員從思想政治和業(yè)務表現(xiàn)兩方面進行考核。 思想政治方面的考核內(nèi)容包括是否能夠遵守法律、法規(guī)；是否能夠執(zhí)行單位、組織的安全策略、紀律規(guī)范和規(guī)章制度；是否能夠遵守職業(yè)道德，具有良好的勞動服務態(tài)度。 業(yè)務表現(xiàn)方面的考核依據(jù)人員的具體職責進行，考核內(nèi)容包括相關的業(yè)務理論水平和實際操作技能，特別是能否嚴格按照相關的安全管理規(guī)范進行業(yè)務操作，是否具有較高的信息安全意識。55信息網(wǎng)絡安全管理信息安全管理簡介信息安全人員管理 離崗人員安全管

44、理1、應該建立技術人員離崗的安全管理制度，在人員離崗的同時收回鑰匙、移交工作、更換系統(tǒng)口令、撤銷帳號，并向離崗人員重新申明其保密義務。 2、人員正常離崗之前要旅行移交手續(xù)，完成密碼、設備、技術資料及相關敏感信息的移交。移交手續(xù)包括收回所有的鑰匙和證件，歸還使用的計算機設備，退還全部技術手冊及相關資料，相關系統(tǒng)必須更換口令，取消該人員所使用過的所有帳號，向離崗人員重申其負有的安全保密責任和義務。 3、對不情愿被調(diào)走的離崗人員，或者因為不適合安全管理要求而被調(diào)離的人員，必須嚴格辦理調(diào)離手續(xù)，必要時應在調(diào)離決定通知其本人之前，立即或者提前進行移交手續(xù)，不能拖延。 4、對于因工作問題而被解聘的人員，應

45、該嚴格審查其工作問題，相關懲處應該嚴格按照保密協(xié)議的規(guī)章執(zhí)行，如有觸犯法律、法規(guī)的行為，應依法追究其法律責任。56信息網(wǎng)絡安全管理信息安全管理簡介信息安全制度管理 安全管理制度和安全管理規(guī)范是對信息安全方針和策略的深化和細化，是安全策略在某一個特定問題或者特定安全系統(tǒng)中的具體體現(xiàn)，安全管理制度必須符合安全策略，并與之保持一致。只要符合國家信息安全法律、法規(guī)的規(guī)定，符合單位、組織的信息安全策略，各單位、組織即可以根據(jù)自身的實際情況和特點，有針對性地制定相關的信息安全管理制度。信息安全管理制度應當覆蓋信息安全管理的方方面面，構成一個全面有機的管理體系。 57信息網(wǎng)絡安全管理信息安全管理簡介信息安全

46、制度管理 信息安全管理制度應包含以下方面內(nèi)容： 1.安全策略與制度。確定單位、組織擁有明確的信息安全方針以及配套的策略和制度，以實現(xiàn)對信息安全工作的支持和承諾，保證信息安全的資金投入。 2.安全風險管理。信息安全建設不是避免風險的過程，而是管理風險的過程。沒有絕對的安全，風險總是存在的。信息安全體系建設的目標就是要把風險控制在可以接受的范圍之內(nèi)。風險管理同時也是一個動態(tài)持續(xù)的過程。 3.人員和組織安全管理。建立組織機構，明確人員崗位職責，提供安全教育與培訓；對第三方人員進行管理、協(xié)調(diào)信息安全監(jiān)管部門與其他部門之間的關系，保證信息安全工作的人力資源要求，避免由于人員和組織上的錯誤產(chǎn)生的信息安全風

47、險。 58信息網(wǎng)絡安全管理信息安全管理制度應包含以下方面內(nèi)容： 4. 環(huán)境和設備安全管理?？刂朴捎谖锢憝h(huán)境和硬件設施的不當所產(chǎn)生的風險。管理內(nèi)容包括物理環(huán)境安全、設備安全、介質(zhì)安全等。 5. 網(wǎng)絡和通信安全管理?？刂坪捅Ｗo網(wǎng)絡和通信系統(tǒng)，防止其受到破壞和濫用，避免和減低由于網(wǎng)絡和通信系統(tǒng)的問題對業(yè)務系統(tǒng)的損害。 6. 主機和系統(tǒng)安全管理?？刂坪捅Ｗo計算機主機及其系統(tǒng)，防止其受到破壞和濫用，避免和降低由此對業(yè)務系統(tǒng)的損害。 7. 應用和業(yè)務安全管理。對各類應用和業(yè)務系統(tǒng)進行安全管理，防止其受到破壞和濫用。 8. 數(shù)據(jù)安全和加密管理。采用數(shù)據(jù)加密和完整性保護機制，防止數(shù)據(jù)被竊取和篡改，保護業(yè)務數(shù)據(jù)

48、的安全。 9. 項目工程安全管理。保護信息吸引項目工程過程的安全，確保項目的成果是可靠的安全系統(tǒng)。 59信息網(wǎng)絡安全管理信息安全管理制度應包含以下方面內(nèi)容： 10.運行和維護安全管理。保護信息系統(tǒng)在運行期間的安全， 并確保系統(tǒng)維護工作的安全。 11.業(yè)務連續(xù)性管理。通過設計和執(zhí)行業(yè)務連續(xù)性計劃，確保 信息系統(tǒng)在任何災難和攻擊下，都能夠保證業(yè)務的連續(xù) 性。 12.合規(guī)性（符合性）管理。確保信息安全保障工作符合國家 法律、法規(guī)的要求，且信息安全方針、規(guī)定和標準得到了 遵循。60信息網(wǎng)絡安全管理信息安全管理簡介信息安全制度管理 信息安全管理制度示例 物理環(huán)境安全管理規(guī)范 終端計算機安全使用規(guī)范 防火

49、墻系統(tǒng)管理規(guī)范 61信息網(wǎng)絡安全管理物理環(huán)境安全管理規(guī)范 1. 安全域 根據(jù)計算機機房內(nèi)部設備的功能、性質(zhì)、任務、類型以及重要程度不同，同時為了防止非法進入、危害和干擾，確保內(nèi)部設備的運行安全和信息安全，應當在計算機機房內(nèi)部劃分安全域。 計算機機房內(nèi)部的安全域包括主機、網(wǎng)絡、打印、操作、介質(zhì)、電源、空調(diào)等，對于特別重要的安全域，如主機、網(wǎng)絡、介質(zhì)、主控等，應當設立完全獨立的房間和控制裝置，嚴格控制人員的出入。對于高污染的打印設備，應當遠離主機、介質(zhì)安全域，并安排專門的環(huán)境。 2. 門禁控制 計算機機房是信息處理的重要場所，計算機機房內(nèi)部的重要區(qū)域（如機房大門、主機安全域、網(wǎng)絡設備安全域、介質(zhì)安

50、全域、主控安全域）必須設置控制人員出門的門禁系統(tǒng)（如磁卡、IC卡、指紋識別等），并建立24小時值班制度。 門禁系統(tǒng)按照最小授權原則，嚴格控制計算機機房及內(nèi)部各安全域的人員出入。根據(jù)進入機房人員的崗位職責，對其實行不同區(qū)域的授權。外單位人員因工作需要，必須經(jīng)批準登記，在專人陪同下，進入計算機機房的指定區(qū)域。 62信息網(wǎng)絡安全管理物理環(huán)境安全管理規(guī)范 3. 監(jiān)控與報警 計算機機房必須安裝場地監(jiān)控系統(tǒng)，對電源、防水、放火等環(huán)境安全設備進行集中監(jiān)控，自動登記機房環(huán)境的溫度、濕度、電壓、漏水等狀況，在檢測到異常情況時，自動報警。 計算機機房必須安裝攝像監(jiān)控系統(tǒng)，對機房大門和重要區(qū)域進行監(jiān)控和記錄，在發(fā)現(xiàn)

51、異常情況時，啟動報警系統(tǒng)。計算機機房的報警系統(tǒng)應當與保衛(wèi)部門的保安系統(tǒng)以及公安110系統(tǒng)實現(xiàn)聯(lián)動。 4. 人員安全管理 計算機機房工作崗位屬于關鍵崗位，對機房工作人員除了進行崗位操作和技能培訓外，還必須進行相應的信息安全、職業(yè)道德、法律規(guī)范的培訓，才能上崗工作。 人力資源部門和信息安全管理部門應定期對機房工作人員進行考核，對于不能達到考核標準的人員，應該立即調(diào)離。 對于機房工作人員，按照其工作崗位職能進行不同級別的授權，嚴格控制人員訪問機房內(nèi)部區(qū)域的權限，確保機房物理環(huán)境的安全。63信息網(wǎng)絡安全管理物理環(huán)境安全管理規(guī)范 5.設備放置與保護 計算機機房內(nèi)的設備應放置在安全位置，降低環(huán)境和事故造成

52、的風險，減少非法訪問的機會，設備放置與保護應遵循下列原則：關鍵設備和需要特別保護的設備，應在物理上實現(xiàn)有效隔離。設備放置應有助于控制并降低潛在威脅和防線（如水、火、溫度、通風、塵埃、震動、輻射、盜竊、破壞）。設備放置應考慮到便于維護。設備應該放置在相應的安全區(qū)域。64信息網(wǎng)絡安全管理物理環(huán)境安全管理規(guī)范 6.電源管理計算機機房電源管理包括以下內(nèi)容。配電系統(tǒng)應當有詳細的配線圖，表明各路電源的電壓、容量、分配和連接的設備。配電柜設備要放置在便于維護的明顯位置，每一個配電開關應表明電源的來源和去向，以便掌握各相線的負載。增加、遷移、變更設備的時候，必須及時修改配線圖。對于要求雙路供電的設備，雙路電源

53、必須來自不同的UPS。65信息網(wǎng)絡安全管理物理環(huán)境安全管理規(guī)范 .電纜管理電纜管理包括電源電纜和通信電纜的安全管理，主要包括以下內(nèi)容： 計算機機房內(nèi)，電源電纜和通信電纜應鋪設在地板下，從不同的線槽鋪設、走線，并通過屏蔽保護以避免干擾，同時還要考慮阻燃、防水、防蟲、防鼠、防腐等保護。 根據(jù)設備的用電負載合理選用電纜，按色標明相線、零線和地線。 對與多路主干通信線路進入計算機機房的情況，應采用不同方向，不同電纜井的入戶方式，以降低外界施工造成通信線路被全面破壞的風險。66信息網(wǎng)絡安全管理物理環(huán)境安全管理規(guī)范 .環(huán)境管理與維護計算機機房中，環(huán)境管理與維護的內(nèi)容包括：定時檢查和記錄機房環(huán)境的溫度、濕度

54、、漏水、通風系統(tǒng)的運行情況。定時巡檢各種環(huán)境設備的運轉(zhuǎn)狀況，記錄出現(xiàn)的故障代碼，供有關人員進行設備維修時使用。定期對各類環(huán)境設備進行例行檢修，確保環(huán)境設備和系統(tǒng)處于良好的運行狀態(tài)。67信息網(wǎng)絡安全管理物理環(huán)境安全管理規(guī)范 .環(huán)境管理與維護環(huán)境設備的定期檢修包括：對空調(diào)系統(tǒng)，每月檢測壓縮機的工作電流，清潔過濾網(wǎng)、排水管和加濕器；每季度清掃室外冷凝機組，確保通風順暢。對電源和UPS系統(tǒng)，每月分析系統(tǒng)的運行記錄，每季度進行蓄電池的充放電測試；每半年對UPS進行雙機切換操作，并對電源配電柜進行檢修。對發(fā)電機組，每月啟動一次，每季度進行備用發(fā)電與市電切換的帶載演練。對監(jiān)控系統(tǒng)和門禁系統(tǒng)，要定期收集整理記

55、錄信息，分類存檔，發(fā)現(xiàn)問題及時查清。定期檢查消防滅火設施，及時更換不合格的設備。68信息網(wǎng)絡安全管理物理環(huán)境安全管理規(guī)范 .設備常規(guī)管理對機房工作人員、維修技術人員加強保密紀律教育，自覺遵守操作程序，不得隨意向無關人員透露工作流程、軟件版本、機器配置等信息。不得在機房內(nèi)拍照，不得隨意取走機房內(nèi)的設備和資料。建立簽收制度，設立專職介質(zhì)管理崗位，嚴格管理各種存儲介質(zhì)和信息報表文檔。介質(zhì)設備在報廢之前應刪除信息，并集中統(tǒng)一保管，按照相應規(guī)范的保密性要求進行報廢處理。對設備進行維護，應當提前作好備份，外單位、組織人員現(xiàn)場維護時，應由本單位、組織相關人員陪同，并且采取外單位、組織人員指導本單位、組織人員

56、操作的方式，對磁盤等設備的維修應該盡量采用現(xiàn)場維護或者由本單位、組織人員陪同送修。不允許遠程登陸生產(chǎn)或者開發(fā)系統(tǒng)進行維護。在無人使用或者離開時，應注銷登陸，或者啟動屏幕保護等安全措施。69信息網(wǎng)絡安全管理物理環(huán)境安全管理規(guī)范 .設備變更管理為確保機房內(nèi)各系統(tǒng)的安全運行，對任何設備的遷移、擴容和升級、維修、施工等操作都應該制定相應的制度和標準工作流程，包括變更方案、實施步驟和回退措施等。安全檢查部門應該參與變更管理方案的審定；實施結(jié)束，應向安全檢查部門提交相應的記錄和技術文檔。任何變更操作應由兩名以上工程技術人員完成，外單位、組織人員進行的操作應由本單位、組織相關人員陪同。當機房內(nèi)的施工和維修操

57、作必須明火作業(yè)時，要報經(jīng)消防安全部門和保衛(wèi)部門同意，采取必要的防范措施，在指定時間、地點按計劃、按步驟完成作業(yè)，經(jīng)檢查確認沒有火災隱患后，方可結(jié)束施工。任何施工和維修操作所使用的電器設備，應當單獨連接維修電源，以保證不對生產(chǎn)設備產(chǎn)生干擾。70信息網(wǎng)絡安全管理物理環(huán)境安全管理規(guī)范 .設備故障處理按照機房環(huán)境設備對生產(chǎn)系統(tǒng)造成的影響以及環(huán)境設備的修復時間，可以將故障分為兩類：一類故障：包括電源等系統(tǒng)故障。二類故障：空調(diào)、通風、發(fā)電機、門禁、照明等系統(tǒng)故障。發(fā)生一類故障，應及時采取應急措施，如切換到UPS或者啟動發(fā)電機供電，同時以最快速度修復。發(fā)生二類故障，應在不影響正常生產(chǎn)的情況下，盡快查找故障原

58、因并排除故障。71信息網(wǎng)絡安全管理物理環(huán)境安全管理規(guī)范 .管理制度和規(guī)定應當指定嚴密的規(guī)范和各項管理制度，包括值班制度、機房管理規(guī)定等，并將上述規(guī)定張貼于相應的工作區(qū)域內(nèi)。安排專人負責管理制度實施情況的監(jiān)督和檢查，并處理機房的日常管理事項。72信息網(wǎng)絡安全管理 終端計算機安全使用規(guī)范 終端計算機的安全使用規(guī)范包括以下主要內(nèi)容：辦公桌面系統(tǒng)必須安裝防病毒軟件，并且啟動病毒監(jiān)控和在線自動更新功能。為了防止客戶機在瀏覽互聯(lián)網(wǎng)時，被含有惡意代碼的程序所感染，應將I E瀏覽器的安全級別調(diào)整為“中”，并將隱私級別設置為“中高”。應當安裝操作系統(tǒng)最新的補丁軟件包，彌補操作系統(tǒng)本身存在的安全漏洞，防止被攻擊者

59、或者計算機病毒所利用。啟動操作系統(tǒng)的自動更新服務，操作系統(tǒng)會定期自動升級并安裝最新的補丁程序。應該按照一定的規(guī)則設置桌面系統(tǒng)的登陸密碼，并且定期修改，減少登陸密碼泄露或被破解的可能性。73信息網(wǎng)絡安全管理 終端計算機安全使用規(guī)范 終端計算機的安全使用規(guī)范包括以下主要內(nèi)容：定時清除I E瀏覽器的臨時文件夾，可以防止部分敏感內(nèi)容的泄露。為防止意外情況造成文件損失，注意定期備份重要的文件，并保管好儲存?zhèn)浞菸募慕橘|(zhì)。為防止惡意代碼植入系統(tǒng)，預防計算機病毒感染，在收到來歷不明的電子郵件時，應注意不要隨意打開郵件，并立給予以刪除。禁止在未經(jīng)授權的情況下，私自修改系統(tǒng)的計算機命名標識和網(wǎng)絡配置。禁止任何聯(lián)

60、入辦公網(wǎng)絡的桌面系統(tǒng)使用調(diào)制解調(diào)器撥號上網(wǎng)。禁止在為經(jīng)授權的情況下，私自安裝任何應用軟件，在獲得授權后，只允許安裝與工作有關的正版應用軟件。禁止訪問互聯(lián)網(wǎng)上與工作無關或來歷不明的站點，禁止從互聯(lián)網(wǎng)下載與工作無關的文件。74信息網(wǎng)絡安全管理 防火墻系統(tǒng)管理規(guī)范 防火墻是企業(yè)網(wǎng)絡安全的關鍵設備，是不同網(wǎng)絡安全領域間通信流的唯一通道，能根據(jù)企業(yè)有關的安全策略控制（允許、拒絕、監(jiān)視、記錄）并出網(wǎng)絡的訪問行為，同時也能控制著網(wǎng)絡資源的分配和應用。防火墻的部署和配置必須適應企業(yè)的安全策略；防火墻對網(wǎng)絡安全事件的記錄需要事后分析審計；防火墻對敏感信息流的監(jiān)控信息也需要及時地做出響應。所有這些要求應有專門的人