信息網(wǎng)絡(luò)安全管理
《信息網(wǎng)絡(luò)安全管理》由會(huì)員分享,可在線(xiàn)閱讀,更多相關(guān)《信息網(wǎng)絡(luò)安全管理(100頁(yè)珍藏版)》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。
1、,,單擊此處編輯母版標(biāo)題樣式,,單擊此處編輯母版文本樣式,,第二級(jí),,第三級(jí),,第四級(jí),,第五級(jí),,,,*,吉林省公安廳網(wǎng)絡(luò)警察總隊(duì),歡迎參加,信息網(wǎng)絡(luò)安全專(zhuān)業(yè)技術(shù)人員繼續(xù)教育培訓(xùn)班,1,,信息網(wǎng)絡(luò),安全管理,吉林省公安廳網(wǎng)絡(luò)警察總隊(duì),,全繼天,,2,信息網(wǎng)絡(luò)安全管理,,◆信息安全法律法規(guī)與標(biāo)準(zhǔn)介紹,,,◆信息網(wǎng)絡(luò)違法犯罪,,,◆信息安全管理簡(jiǎn)介,,,◆信息安全監(jiān)管,3,,信息網(wǎng)絡(luò)安全管理,◆信息安全法律法規(guī)與標(biāo)準(zhǔn)介紹,,,◆法律法規(guī),,,◇,中華人民共和國(guó)刑法(第285、286、287條)1997.3.14,,,◇,中華人民共和國(guó)人民警察法 1995.2.28,,,◇,中華人民共和國(guó)治安管
2、理處罰法 2005.8.28,,,◇,全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定,2000.12.28,,,◇,中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例 1994.2.18,,,◇,計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法 1997.12.30,,,◇,計(jì)算機(jī)信息系統(tǒng)安全專(zhuān)用產(chǎn)品檢測(cè)和銷(xiāo)售許可證管理辦法 1997.6.28,,,◇,計(jì)算機(jī)病毒防治管理辦法 2000.3.30,,,◇,金融機(jī)構(gòu)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作暫行規(guī)定 1998.8.31,,,◇,互聯(lián)網(wǎng)電子公告服務(wù)管理規(guī)定 2000.10.8,,,◇,計(jì)算機(jī)信息系統(tǒng)保密管理暫行規(guī)定 1998.2.26,,,,◇,信息安
3、全等級(jí)保護(hù)管理辦法 2006.3.1,,,◇,互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定 2006.3.1,,,4,,信息網(wǎng)絡(luò)安全管理,◆信息安全法律法規(guī)與標(biāo)準(zhǔn)介紹,,,◆國(guó)家標(biāo)準(zhǔn),,,◇計(jì)算機(jī)信息系統(tǒng)安全專(zhuān)用產(chǎn)品分類(lèi)原則 GA163-1997,,,◇計(jì)算機(jī)信息系統(tǒng)防雷保安器 GA173-1998,,◇信息技術(shù)設(shè)備的無(wú)線(xiàn)電干擾極限值和測(cè)量方法 GB9254-88,,,◇計(jì)算站場(chǎng)地安全要求 GB9361-88,,,◇計(jì)算站場(chǎng)地技術(shù)條件 GB2887-89,,,◇電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范 GB50174-93,,,◇電子計(jì)算機(jī)機(jī)房施工及驗(yàn)收規(guī)范 SJ/T30003-93,,,◇計(jì)算機(jī)信息安全保護(hù)等級(jí)劃
4、分準(zhǔn)則 GB-17859:1999,,,◇計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)通用技術(shù)要求 GA/T390-2002,,,◇計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)操作系統(tǒng)技術(shù)要求 GA/T388-2002,,,◇計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)數(shù)據(jù)庫(kù)管理系統(tǒng)技術(shù)要求,GA/T387-2002,,,◇計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)管理要求 GA/T391-2002,,,◆國(guó)際標(biāo)準(zhǔn),,◇信息安全管理標(biāo)準(zhǔn) BS7799,,◇ISO/IEC17799 國(guó)際信息安全管理標(biāo)準(zhǔn),5,,信息網(wǎng)絡(luò)安全管理,◆信息安全法律法規(guī)與標(biāo)準(zhǔn)介紹,,◆信息系統(tǒng)安全保護(hù)《條例》與《辦法》,,◇,中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例,,◇,適用
5、范圍,,,《條例》規(guī)定不得利用計(jì)算機(jī)信息系統(tǒng)從事危害國(guó)家利益、集體利益和公民合法利益的活動(dòng),不得危害計(jì)算機(jī)信息系統(tǒng)的安全?!稐l例》適用于任何組織或者個(gè)人。中華人民共和國(guó)境內(nèi)的計(jì)算機(jī)信息系統(tǒng)的安全保護(hù)適用本條例。,6,,信息網(wǎng)絡(luò)安全管理,◆信息安全法律法規(guī)與標(biāo)準(zhǔn)介紹,,◆信息系統(tǒng)安全保護(hù)《條例》與《辦法》,,◇,中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例,,◇主要內(nèi)容,,,.準(zhǔn)確標(biāo)明了安全保護(hù)工作的性質(zhì),,.科學(xué)界定了“計(jì)算機(jī)信息系統(tǒng)”的概念,,.系統(tǒng)設(shè)置了安全保護(hù)的制度,,.明確確定了安全監(jiān)督的職權(quán),,.全面規(guī)定了違法者的法律責(zé)任,,.定義了計(jì)算機(jī)病毒及專(zhuān)用安全產(chǎn)品,7,,信息網(wǎng)絡(luò)安全管理,◆信
6、息安全法律法規(guī)與標(biāo)準(zhǔn)介紹,,◆信息系統(tǒng)安全保護(hù)《條例》與《辦法》,,◇,計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全管理辦法,,◇,適用范圍和公安機(jī)關(guān)職責(zé),,,.《辦法》適用于中華人民共和國(guó)境內(nèi)的計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理。,,.《辦法》的調(diào)整對(duì)象是從事國(guó)際聯(lián)網(wǎng)業(yè)務(wù)的單位和個(gè)人。,,.公安機(jī)關(guān)職責(zé)劃分:公安部計(jì)算機(jī)管理監(jiān)察機(jī)構(gòu)負(fù)責(zé)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)的安全保護(hù)管理工作。公安機(jī)關(guān)計(jì)算機(jī)管理監(jiān)察機(jī)構(gòu)應(yīng)當(dāng)保護(hù)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)的公共安全,維護(hù)從事國(guó)際聯(lián)網(wǎng)業(yè)務(wù)的單位和個(gè)人的合法權(quán)益及公眾利益。,8,,信息網(wǎng)絡(luò)安全管理,◆信息安全法律法規(guī)與標(biāo)準(zhǔn)介紹,,◆信息系統(tǒng)安全保護(hù)《條例》與《辦法》,,◇,計(jì)算機(jī)信息網(wǎng)
7、絡(luò)國(guó)際聯(lián)網(wǎng)安全管理辦法,,,◇安全責(zé)任、義務(wù)和法律責(zé)任,,,.安全保護(hù)職責(zé),,.安全監(jiān)督,,.法律責(zé)任,9,,信息網(wǎng)絡(luò)安全管理,◆,信息安全法律法規(guī)與標(biāo)準(zhǔn)介紹,,,◇,互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定,,,?,明確互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施定義,,互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施,是指保障互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和信息安全、防范違法犯罪的技術(shù)設(shè)施和技術(shù)方法,,?,規(guī)范了互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施使用原則,,互聯(lián)網(wǎng)服務(wù)提供者、聯(lián)網(wǎng)使用單位負(fù)責(zé)落實(shí)互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施,并保障互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施功能的正常發(fā)揮。,,互聯(lián)網(wǎng)服務(wù)提供者、聯(lián)網(wǎng)使用單位應(yīng)當(dāng)建立相應(yīng)的管理制度。未經(jīng)用戶(hù)同意不得公開(kāi)、泄露用戶(hù)注冊(cè)信息,但法律、法規(guī)另有規(guī)定
8、的除外。 互聯(lián)網(wǎng)服務(wù)提供者、聯(lián)網(wǎng)使用單位應(yīng)當(dāng)依法使用互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施,不得利用互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施侵犯用戶(hù)的通信自由和通信秘密。,,?,明確監(jiān)管主體和技術(shù)標(biāo)準(zhǔn),,,公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門(mén)負(fù)責(zé)對(duì)互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施的落實(shí)情況依法實(shí)施監(jiān)督管理。,,互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施應(yīng)當(dāng)符合國(guó)家標(biāo)準(zhǔn)。沒(méi)有國(guó)家標(biāo)準(zhǔn)的,應(yīng)當(dāng)符合公共安全行業(yè)技術(shù)標(biāo)準(zhǔn)。,,10,,信息網(wǎng)絡(luò)安全管理,◆,信息安全法律法規(guī)與標(biāo)準(zhǔn)介紹,,◇,互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定,,?,互聯(lián)網(wǎng)服務(wù)提供者和聯(lián)網(wǎng)使用單位應(yīng)當(dāng)落實(shí)以下互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施:1、防范計(jì)算機(jī)病毒、網(wǎng)絡(luò)入侵和攻擊破壞等危害網(wǎng)絡(luò)安全事項(xiàng)或者行為的技術(shù)措
9、施;2、重要數(shù)據(jù)庫(kù)和系統(tǒng)主要設(shè)備的冗災(zāi)備份措施;3、記錄并留存用戶(hù)登錄和退出時(shí)間、主叫號(hào)碼、賬號(hào)、互聯(lián)網(wǎng)地址或域名、系統(tǒng)維護(hù)日志的技術(shù)措施;4、法律、法規(guī)和規(guī)章規(guī)定應(yīng)當(dāng)落實(shí)的其他安全保護(hù)技術(shù)措施。,,11,,信息網(wǎng)絡(luò)安全管理,◆,信息安全法律法規(guī)與標(biāo)準(zhǔn)介紹,,◇,互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定,,,?,提供互聯(lián)網(wǎng)接入服務(wù)的單位除落實(shí)上述四項(xiàng)技術(shù)措施外,還應(yīng)當(dāng)落實(shí)具有以下功能的安全保護(hù)技術(shù)措施:,(一)記錄并留存用戶(hù)注冊(cè)信息;(二)使用內(nèi)部網(wǎng)絡(luò)地址與互聯(lián)網(wǎng)網(wǎng)絡(luò)地址轉(zhuǎn)換方式為用戶(hù)提供接入服務(wù)的,能夠記錄并留存用戶(hù)使用的互聯(lián)網(wǎng)網(wǎng)絡(luò)地址和內(nèi)部網(wǎng)絡(luò)地址對(duì)應(yīng)關(guān)系;(三)記錄、跟蹤網(wǎng)絡(luò)運(yùn)行狀態(tài),監(jiān)測(cè)、
10、記錄網(wǎng)絡(luò)安全事件等安全審計(jì)功能。,12,,信息網(wǎng)絡(luò)安全管理,◆,信息安全法律法規(guī)與標(biāo)準(zhǔn)介紹,,◇,互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定,,,?,提供互聯(lián)網(wǎng)信息服務(wù)的單位除落實(shí)上述四條技術(shù)措施外,還應(yīng)當(dāng)落實(shí)具有以下功能的安全保護(hù)技術(shù)措施:,(一)在公共信息服務(wù)中發(fā)現(xiàn)、停止傳輸違法信息,并保留相關(guān)記錄;(二)提供新聞、出版以及電子公告等服務(wù)的,能夠記錄并留存發(fā)布的信息內(nèi)容及發(fā)布時(shí)間;(三)開(kāi)辦門(mén)戶(hù)網(wǎng)站、新聞網(wǎng)站、電子商務(wù)網(wǎng)站的,能夠防范網(wǎng)站、網(wǎng)頁(yè)被篡改,被篡改后能夠自動(dòng)恢復(fù);(四)開(kāi)辦電子公告服務(wù)的,具有用戶(hù)注冊(cè)信息和發(fā)布信息審計(jì)功能;(五)開(kāi)辦電子郵件和網(wǎng)上短信息服務(wù)的,能夠防范、清除以群發(fā)方式發(fā)
11、送偽造、隱匿信息發(fā)送者真實(shí)標(biāo)記的電子郵件或者短信息。,13,,信息網(wǎng)絡(luò)安全管理,◆,信息安全法律法規(guī)與標(biāo)準(zhǔn)介紹,,◇,互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定,,?,提供互聯(lián)網(wǎng)數(shù)據(jù)中心服務(wù)的單位和聯(lián)網(wǎng)使用單位除落實(shí)上述四項(xiàng)技術(shù)措施外,還應(yīng)當(dāng)落實(shí)具有以下功能的安全保護(hù)技術(shù)措施:(一)記錄并留存用戶(hù)注冊(cè)信息;(二)在公共信息服務(wù)中發(fā)現(xiàn)、停止傳輸違法信息,并保留相關(guān)記錄;(三)聯(lián)網(wǎng)使用單位使用內(nèi)部網(wǎng)絡(luò)地址與互聯(lián)網(wǎng)網(wǎng)絡(luò)地址轉(zhuǎn)換方式向用戶(hù)提供接入服務(wù)的,能夠記錄并留存用戶(hù)使用的互聯(lián)網(wǎng)網(wǎng)絡(luò)地址和內(nèi)部網(wǎng)絡(luò)地址對(duì)應(yīng)關(guān)系。,14,,信息網(wǎng)絡(luò)安全管理,◆,信息安全法律法規(guī)與標(biāo)準(zhǔn)介紹,,◇,互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定,,,
12、?,提供互聯(lián)網(wǎng)上網(wǎng)服務(wù)的單位,除落實(shí)上述四項(xiàng)技術(shù)措施外,還應(yīng)當(dāng)安裝并運(yùn)行互聯(lián)網(wǎng)公共上網(wǎng)服務(wù)場(chǎng)所安全管理系統(tǒng)。,,?,互聯(lián)網(wǎng)服務(wù)提供者依照規(guī)定采取的互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施應(yīng)當(dāng)具有符合公共安全行業(yè)技術(shù)標(biāo)準(zhǔn)的聯(lián)網(wǎng)接口。,,?,互聯(lián)網(wǎng)服務(wù)提供者和聯(lián)網(wǎng)使用單位依照本規(guī)定落實(shí)的記錄留存技術(shù)措施,應(yīng)當(dāng)具有至少保存六十天記錄備份的功能。,,15,,信息網(wǎng)絡(luò)安全管理,◆,信息安全法律法規(guī)與標(biāo)準(zhǔn)介紹,,◇,互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定,,,?,互聯(lián)網(wǎng)服務(wù)提供者和聯(lián)網(wǎng)使用單位不得實(shí)施下列破壞互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施的行為:,(一)擅自停止或者部分停止安全保護(hù)技術(shù)設(shè)施、技術(shù)手段運(yùn)行;(二)故意破壞安全保護(hù)技術(shù)設(shè)施;(
13、三)擅自刪除、篡改安全保護(hù)技術(shù)設(shè)施、技術(shù)手段運(yùn)行程序和記錄;(四)擅自改變安全保護(hù)技術(shù)措施的用途和范圍;(五)其他故意破壞安全保護(hù)技術(shù)措施或者妨礙其功能正常發(fā)揮的行為。,16,,信息網(wǎng)絡(luò)安全管理,關(guān)于執(zhí)行《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》中有關(guān)問(wèn)題的解釋,,(一)、,,關(guān)于“安全保護(hù)管理制度”問(wèn)題,,《辦法》第十條第一項(xiàng)和第二十一條第一項(xiàng)中的“安全保護(hù)管理制度主要包括:(1)信息發(fā)布審核、登記制度;(2)信息監(jiān)視、保存、清除和備份制度;(3)病毒檢測(cè)和網(wǎng)絡(luò)安全漏洞檢測(cè)制度;(4)違法案件報(bào)告和協(xié)助查處制度;(5)帳號(hào)使用登記和操作權(quán)限管理制度;(6)安全管理人員崗位工作職責(zé);(7)
14、安全教育和培訓(xùn)制度;(8)其他與安全保護(hù)相關(guān)的管理制度。,,17,,信息網(wǎng)絡(luò)安全管理,關(guān)于執(zhí)行《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》中有關(guān)問(wèn)題的解釋,,(二)、關(guān)于“安全保護(hù)技術(shù)措施”問(wèn)題,,,《辦法》第十條第二項(xiàng)中的“安全保護(hù)技術(shù)措施”和第二十一條第二項(xiàng)中的“安全保護(hù)技術(shù)措施”主要包括:(1)具有保存3個(gè)月以上系統(tǒng)網(wǎng)絡(luò)運(yùn)行日志和用戶(hù)使用日志記錄功能,內(nèi)容包括IP地址分配及使用情況,交互式信息發(fā)布者、主頁(yè)維護(hù)者、郵箱使用者和撥號(hào)用戶(hù)上網(wǎng)的起止時(shí)間和對(duì)應(yīng)IP地址,交互式欄目的信息等;(2)具有安全審計(jì)或預(yù)警功能;(3)開(kāi)設(shè)郵件服務(wù)的,具有垃圾郵件清理功能;(4)開(kāi)設(shè)交互式信息欄目的,具有身份
15、登記和識(shí)別確認(rèn)功能;(5)計(jì)算機(jī)病毒防護(hù)功能;(6)其他保護(hù)信息和系統(tǒng)網(wǎng)絡(luò)安全的技術(shù)措施。,18,,信息網(wǎng)絡(luò)安全管理,關(guān)于執(zhí)行《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》中有關(guān)問(wèn)題的解釋,,(,,三)、 關(guān)于“安全保護(hù)管理所需信息、資料及數(shù)據(jù)文件”問(wèn)題,,,《辦法》第八條中的“有關(guān)安全保護(hù)的信息、資料及數(shù)據(jù)文件”和第二十一條第四項(xiàng)中的“安全保護(hù)管理所需信息、資料及數(shù)據(jù)文件”主要包括:(1)用戶(hù)注冊(cè)登記、使用與變更情況(含用戶(hù)帳號(hào)、IP與Email地址等);(2)IP地址分配、使用及變更情況;(3)網(wǎng)頁(yè)欄目設(shè)置與變更及欄目負(fù)責(zé)人情況;(4)網(wǎng)絡(luò)服務(wù)功能設(shè)置情況;(5)與安全保護(hù)相關(guān)的其他信息。,,
16、19,,信息網(wǎng)絡(luò)安全管理,關(guān)于執(zhí)行《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》中有關(guān)問(wèn)題的解釋,,(四)、關(guān)于“保留有關(guān)原始記錄”問(wèn)題,,,《辦法》第十條第六項(xiàng)中的“有關(guān)原始記錄”是指有關(guān)信息或行為在網(wǎng)上出現(xiàn)或發(fā)生時(shí),計(jì)算機(jī)記錄、存貯的所有相關(guān)數(shù)據(jù),包括時(shí)間、內(nèi)容(如圖象、文字、聲音等)、來(lái)源(如源IP地址、Email地址等)及系統(tǒng)網(wǎng)絡(luò)運(yùn)行日志、用戶(hù)使用日志等。,20,,信息網(wǎng)絡(luò)安全管理,關(guān)于執(zhí)行《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》中有關(guān)問(wèn)題的解釋,,(五)、關(guān)于“停機(jī)整頓”處罰的執(zhí)行問(wèn)題,,,按照《辦法》規(guī)定作出“停機(jī)整頓”的處罰決定,可采取的執(zhí)行措施包括:(1)停止計(jì)算機(jī)信息系統(tǒng)運(yùn)行;
17、(2)停止部分計(jì)算機(jī)信息系統(tǒng)功能;(3)凍結(jié)用戶(hù)聯(lián)網(wǎng)帳號(hào);(4)其他有效執(zhí)行措施。,21,,信息網(wǎng)絡(luò)安全管理,◆信息網(wǎng)絡(luò)違法犯罪,,,◆,計(jì)算機(jī)案件,,,◇,,治安案件和一般行政案件,,,違反行政法規(guī)所構(gòu)成的計(jì)算機(jī)案件被稱(chēng)為行政案件。例如,《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條理》中的規(guī)定和制度,涵蓋了計(jì)算機(jī)信息系統(tǒng)安全保護(hù)的過(guò)程。凡是違反有關(guān)規(guī)定和制度的,均構(gòu)成違反《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條理》的違法行為,要追究行政法律責(zé)任。,22,,信息網(wǎng)絡(luò)安全管理,◆信息網(wǎng)絡(luò)違法犯罪,,,◆,計(jì)算機(jī)案件,,◇,,刑事案件,,觸犯刑律所構(gòu)成的計(jì)算機(jī)案件被稱(chēng)為計(jì)算機(jī)刑事案件。例如,我國(guó)刑法中關(guān)于計(jì)算機(jī)犯罪的規(guī)定,對(duì)非法
18、侵入重要計(jì)算機(jī)信息系統(tǒng),以及違反《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條理》并造成嚴(yán)重后果構(gòu)成犯罪的,則追究其刑事責(zé)任。,,我過(guò)刑法關(guān)于計(jì)算機(jī)犯罪的三個(gè)專(zhuān)門(mén)條款,分別規(guī)定了非法侵入計(jì)算機(jī)信息系統(tǒng)罪;破壞計(jì)算機(jī)信息系統(tǒng)罪;利用計(jì)算機(jī)實(shí)施金融詐騙、盜竊、貪污、挪用公款、竊取國(guó)家秘密或者其他犯罪,并將其一并歸入第六章“妨害社會(huì)管理秩序罪”第一節(jié)“擾亂公共秩序罪”。,23,,信息網(wǎng)絡(luò)安全管理,◆信息網(wǎng)絡(luò)違法犯罪,,,◆,計(jì)算機(jī)案件,,◇,,刑事案件,,刑法有關(guān)計(jì)算機(jī)犯罪的規(guī)定,總體上可以分為兩大類(lèi):一類(lèi)是純粹的計(jì)算機(jī)犯罪,即刑法第285條、第286條單列的兩種計(jì)算機(jī)犯罪獨(dú)立罪名;另一類(lèi)不是純粹的計(jì)算機(jī)犯罪,而是隱含
19、于其他犯罪罪名的計(jì)算機(jī)犯罪形式。例如,刑法第287條規(guī)定:“利用計(jì)算機(jī)實(shí)施金融詐騙、盜竊、貪污、挪用公款、竊取國(guó)家秘密或者其他犯罪的,依照本法有關(guān)規(guī)定定罪處罰。”之所以要區(qū)分這兩種類(lèi)別,是因?yàn)榈诙?lèi)犯罪與傳統(tǒng)犯罪之間并無(wú)本質(zhì)區(qū)別,只是在犯罪工具使用上有所不同而已,因此不需要為其單列罪名,而第一類(lèi)犯罪不僅在具體手段和侵犯客體方面與傳統(tǒng)犯罪存在差別,而且有其特殊性,傳統(tǒng)犯罪各罪名已無(wú)法包括這些犯罪形式,因此為其單列罪名。,24,,信息網(wǎng)絡(luò)安全管理,◆信息網(wǎng)絡(luò)違法犯罪,,,◆,計(jì)算機(jī)犯罪,,◇,計(jì)算機(jī)案件的性質(zhì)界定,,計(jì)算機(jī)案件包括行政違法案件和刑事違法案件,行政違法行為要受到行政處罰,刑事違法行為
20、則應(yīng)受到刑事處罰。在我國(guó)法律責(zé)任體系中,兩者在內(nèi)容和性質(zhì)上有許多不同。因此必須正確界定案件性質(zhì)并依法進(jìn)行制裁。,,對(duì)于特定的計(jì)算機(jī)犯罪案件,到底是按照行政案件進(jìn)行處罰,還是按照刑事案件進(jìn)行處罰,在性質(zhì)界定方面有以下依據(jù):,,◇,根據(jù)違法行為的情節(jié)和所造成的后果進(jìn)行界定,,違法行為的情節(jié)或者危害后果輕微的是行政違法,情節(jié)較重或者造成嚴(yán)重后果的是刑事違法,這是現(xiàn)行法律運(yùn)用最為廣泛的劃分標(biāo)準(zhǔn)。例如,我國(guó)刑法第286條規(guī)定的破壞計(jì)算機(jī)信息系統(tǒng)功能、破壞計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)和應(yīng)用程序、制作和傳播破壞程序,均以后果嚴(yán)重作為構(gòu)成犯罪的要件。,,25,,信息網(wǎng)絡(luò)安全管理,◆信息網(wǎng)絡(luò)違法犯罪,,,◆,計(jì)算機(jī)犯罪,
21、,◇,計(jì)算機(jī)案件的性質(zhì)界定,,◇,根據(jù)違法行為的類(lèi)別進(jìn)行界定,,有些違法行為一經(jīng)實(shí)施就是刑事違法行為。例如,非法侵入計(jì)算機(jī)信息系統(tǒng)罪,任何人只要未經(jīng)允許侵入國(guó)家事務(wù)、國(guó)防建設(shè)、尖端科學(xué)技術(shù)領(lǐng)域的計(jì)算機(jī)信息系統(tǒng)就構(gòu)成刑事犯罪,此類(lèi)行為不僅承擔(dān)行政責(zé)任,同時(shí)應(yīng)當(dāng)受到刑事處罰。而另外一些違法行為則只屬于行政違法行為,不屬于刑事違法行為。例如,將計(jì)算機(jī)信息系統(tǒng)接入互聯(lián)網(wǎng)的法人和其他組織,未按照規(guī)定進(jìn)行備案,依據(jù)《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理爆發(fā)》,由公安機(jī)關(guān)給予行政處罰,但是該行為不構(gòu)成刑事違法行為,不需進(jìn)行刑事處罰。,,◇,根據(jù)違法行為所違反的法律規(guī)范來(lái)界定,,行政違法行為所違反的是行政法律規(guī)
22、范,應(yīng)當(dāng)受到行政法律的制裁,承擔(dān)行政責(zé)任;刑事違法行為違反的是刑事法律規(guī)范,應(yīng)當(dāng)受到刑法制裁,承擔(dān)刑事法律責(zé)任?!队?jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》第24條明確規(guī)定:“違反本條例的規(guī)定,構(gòu)成違反治安管理行為的,依照《中華人民共和國(guó)治安管理處罰條例》的有關(guān)規(guī)定處罰;構(gòu)成犯罪的,依法追究刑事責(zé)任?!?26,,信息網(wǎng)絡(luò)安全管理,◆信息網(wǎng)絡(luò)違法犯罪,,,◆,計(jì)算機(jī)犯罪,,◆,犯罪的概念,,《中華人民共和國(guó)刑法》第二章第十三條對(duì)犯罪作了如下定義:一切危害國(guó)家主權(quán)、領(lǐng)土完整和安全、分裂國(guó)家、顛覆人民民主專(zhuān)政和推翻社會(huì)主義制度,破壞社會(huì)秩序和經(jīng)濟(jì)秩序,侵犯國(guó)有財(cái)產(chǎn)或勞動(dòng)群眾集體所有的財(cái)產(chǎn),侵犯公民私人所有的財(cái)產(chǎn),
23、侵犯公民的人身權(quán)利、民主權(quán)利和其他權(quán)利,以及其他危害社會(huì)的行為,依照法律應(yīng)當(dāng)受刑罰處罰的,都屬于犯罪,但是情節(jié)顯著輕微且危害不大的,不認(rèn)為是犯罪。,27,,信息網(wǎng)絡(luò)安全管理,◆信息網(wǎng)絡(luò)違法犯罪,,,◆,計(jì)算機(jī)犯罪,,◆,計(jì)算機(jī)犯罪的概念,,計(jì)算機(jī)犯罪是指行為人通過(guò)計(jì)算機(jī)操作所實(shí)施的危害計(jì)算機(jī)信息系統(tǒng)安全以及其他嚴(yán)重危害社會(huì)的并應(yīng)當(dāng)處以刑罰的行為。,,,◆,計(jì)算機(jī)犯罪分類(lèi):,,,一般可分為兩大類(lèi):一類(lèi)是針對(duì)計(jì)算機(jī)信息系統(tǒng)實(shí)施的犯罪,如非法入侵、刪除修改重要數(shù)據(jù)、傳播計(jì)算機(jī)病毒等。,,另一類(lèi)是行為人利用計(jì)算機(jī)實(shí)施危害社會(huì)的犯罪,如:盜竊、詐騙、賭博、傳播淫穢色情物品等傳統(tǒng)犯罪。,,28,,信息網(wǎng)絡(luò)
24、安全管理,◆信息網(wǎng)絡(luò)違法犯罪,,,◆,計(jì)算機(jī)犯罪,,,◆,計(jì)算機(jī)犯罪的表現(xiàn)形式,,,1、非法侵入計(jì)算機(jī)信息系統(tǒng)罪,,新刑法第285條對(duì)非法侵入計(jì)算機(jī)信息系統(tǒng)罪作了明確規(guī)定:違反國(guó)家規(guī)定,侵入國(guó)家事物、國(guó)防建設(shè)、尖端科學(xué)技術(shù)領(lǐng)域的計(jì)算機(jī)信息系統(tǒng)的,處三年以下的有期徒刑或者拘役。,,,2、破壞計(jì)算機(jī)信息系統(tǒng)罪,,新刑法第286條明確規(guī)定:違反國(guó)家規(guī)定,對(duì)計(jì)算機(jī)信息系統(tǒng)功能進(jìn)行刪除、修改、增加、干擾,造成計(jì)算機(jī)信息系統(tǒng)不能正常運(yùn)行,后果嚴(yán)重的,處五年以下有期徒刑或者拘役;后果特別嚴(yán)重的,處五年以上的有期徒刑。,,29,,信息網(wǎng)絡(luò)安全管理,◆信息網(wǎng)絡(luò)違法犯罪,,,◆,計(jì)算機(jī)犯罪,,,◆,計(jì)算機(jī)犯罪的表
25、現(xiàn)形式,,3、利用計(jì)算機(jī)信息系統(tǒng)實(shí)施的犯罪,,新刑法第287條明確規(guī)定利用計(jì)算機(jī)實(shí)施金融詐騙、盜竊、貪污、挪用公款、竊取國(guó)家秘密或者其他犯罪的,依照本法有關(guān)規(guī)定定罪處罰。,,30,,信息網(wǎng)絡(luò)安全管理,◆信息網(wǎng)絡(luò)違法犯罪,,,◆,計(jì)算機(jī)犯罪,,,◆,互聯(lián)網(wǎng)犯罪,,,互聯(lián)網(wǎng)犯罪是指行為人利用計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)實(shí)施犯罪的一種表現(xiàn)形式。隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,人們對(duì)網(wǎng)絡(luò)的依賴(lài)程度越來(lái)越高,互聯(lián)網(wǎng)在給人們帶來(lái)福音的同時(shí),網(wǎng)絡(luò)犯罪也悄然而至,并且來(lái)勢(shì)迅猛。利用互聯(lián)網(wǎng)危害國(guó)家安全、擾亂社會(huì)管理秩序、侵犯公私財(cái)產(chǎn)、侵犯公民人身權(quán)利和民主權(quán)利、黃、賭、毒犯罪案件日顯突出,給社會(huì)帶來(lái)極大危害。利用互聯(lián)網(wǎng)實(shí)施犯
26、罪的種類(lèi)繁多,如網(wǎng)上邪教組織;網(wǎng)上竊取、泄露國(guó)家機(jī)密;網(wǎng)上侵犯商業(yè)秘密;網(wǎng)上毀損商譽(yù);網(wǎng)上侮辱、誹謗;網(wǎng)上盜竊、詐騙、洗錢(qián)、賭博、販毒、買(mǎi)賣(mài)槍支、傳播淫穢色情物品等,。,31,,信息網(wǎng)絡(luò)安全管理,◆信息網(wǎng)絡(luò)違法犯罪,,,◆,計(jì)算機(jī)犯罪,,,◆,互聯(lián)網(wǎng)犯罪,,,◇,互聯(lián)網(wǎng)犯罪特點(diǎn):,,,1、范圍廣,速度快,成本低。,,2、犯罪手段隱蔽 ,證據(jù)易被銷(xiāo)毀。,,3、犯罪人員的高智能性和危害的嚴(yán)重性。,,4、傳統(tǒng)領(lǐng)域犯罪逐步向網(wǎng)絡(luò)犯罪滲透。,32,,信息網(wǎng)絡(luò)安全管理,◆信息網(wǎng)絡(luò)違法犯罪,,,◆,計(jì)算機(jī)犯罪,,,◆,互聯(lián)網(wǎng)犯罪,,,◇,我省網(wǎng)絡(luò)犯罪狀況,,,自1998年我省破獲首起利用計(jì)算機(jī)信息網(wǎng)絡(luò)貪污侵
27、占銀行存款案件起,利用計(jì)算機(jī)信息網(wǎng)絡(luò)進(jìn)行違法犯罪活動(dòng)逐漸呈現(xiàn),發(fā)展速度十分驚人。1999年全省公安機(jī)關(guān)立案?jìng)刹榈挠?jì)算機(jī)違法犯罪案件僅為10余起;2000年為60余起;2004年達(dá)到530余起,比2000年上升了8倍。2006年全省公安機(jī)關(guān)網(wǎng)絡(luò)警察查處網(wǎng)絡(luò)違法犯罪案件達(dá)到1900余起。其中,90%以上的計(jì)算機(jī)違法犯罪案件牽涉國(guó)際互聯(lián)網(wǎng),。,33,,信息網(wǎng)絡(luò)安全管理,◆信息網(wǎng)絡(luò)違法犯罪,,,◆,計(jì)算機(jī)犯罪,,,◆,互聯(lián)網(wǎng)犯罪,,,◇,我省網(wǎng)絡(luò)犯罪特點(diǎn),,,1、利用互聯(lián)網(wǎng)危害國(guó)家安全的案件持續(xù)上升。,,2、利用網(wǎng)絡(luò)制作、復(fù)制、傳播淫穢色情物品進(jìn)行賭博的案件,,十分突出。,,3、利用計(jì)算機(jī)網(wǎng)絡(luò)侵犯公私
28、財(cái)物的案件呈多發(fā)趨勢(shì)。,,4、危害計(jì)算機(jī)信息網(wǎng)絡(luò)安全的案件增幅較大。,,5、侵犯公民人身權(quán)利和民主權(quán)利的案件增多。,,34,,信息網(wǎng)絡(luò)安全管理,◆信息安全管理簡(jiǎn)介,,◆,信息安全組織管理,,,◇,信息安全管理組織構(gòu)架與職能,,,,信息系統(tǒng)安全管理機(jī)構(gòu)是實(shí)施系統(tǒng)安全,進(jìn)行安全管理的必要保證。通常,信息安全問(wèn)題是由單位、組織內(nèi)部的專(zhuān)門(mén)機(jī)構(gòu)控制和管理的,由健全的安全管理機(jī)構(gòu)保障和實(shí)施應(yīng)用系統(tǒng)的安全措施。信息安全管理機(jī)構(gòu)的組織結(jié)構(gòu)中,包括以下組織部分:,,●,內(nèi)部信息安全管理組織包括:,,,安全審查和決策機(jī)構(gòu):,負(fù)責(zé)信息安全工作的權(quán)威機(jī)構(gòu),通常形式是信息安全管理委員會(huì),由高級(jí)管理層、各部門(mén)管理層的代表
29、組成,負(fù)責(zé)制定信息安全目標(biāo)、原則、方針和策略。,,,安全主觀(guān)機(jī)構(gòu):,負(fù)責(zé)具體的信息安全建設(shè)和管理,依據(jù)安全策略,制定各項(xiàng)安全管理制度,采用必要的安全技術(shù)措施。,,35,,信息網(wǎng)絡(luò)安全管理,◆信息安全管理簡(jiǎn)介,,◆,信息安全組織管理,,,◇,信息安全管理組織構(gòu)架與職能,,●,內(nèi)部信息安全管理組織包括:,,,安全運(yùn)行維護(hù)機(jī)構(gòu):,對(duì)相關(guān)的安全技術(shù)機(jī)制和系統(tǒng),按照安全管理規(guī)范的要求,進(jìn)行運(yùn)行維護(hù),保證安全系統(tǒng)穩(wěn)定可靠,發(fā)揮有效保護(hù)作用。,,,安全審計(jì)機(jī)構(gòu):,擔(dān)負(fù)保護(hù)系統(tǒng)安全的責(zé)任,但工作重點(diǎn)偏向于監(jiān)視系統(tǒng)的運(yùn)行情況,并且對(duì)安全管理制度的貫徹執(zhí)行情況進(jìn)行監(jiān)督和檢查。,,,安全培訓(xùn)機(jī)構(gòu):,負(fù)責(zé)與信息安全有
30、關(guān)的教育和培訓(xùn)工作。,,,安全人員:,信息安全管理是一個(gè)復(fù)雜的過(guò)程,需要多方面的人才,包括安全、審計(jì)、系統(tǒng)分析、軟硬件、通信、保安等有關(guān)方面的人員。,,36,,信息網(wǎng)絡(luò)安全管理,◆信息安全管理簡(jiǎn)介,,◆,信息安全組織管理,,,◇,信息安全管理組織構(gòu)架與職能,,,●,外部信息安全管理組織包括:,,國(guó)家職能監(jiān)管機(jī)構(gòu):,包括公安機(jī)關(guān)、國(guó)家保密機(jī)關(guān) 等國(guó)家規(guī)定的信息安全職能監(jiān)管機(jī)構(gòu)。,,外部合作組織:,由權(quán)威第三方安全組織、信息安全專(zhuān)業(yè)廠(chǎng)商組成,在必要時(shí),為單位、組織提供外部的技術(shù)支持。,,專(zhuān)家顧問(wèn)組:,由外聘資深專(zhuān)家和顧問(wèn)組成,為決策機(jī)構(gòu)提供必要的建設(shè)和決策支持。,37,,信息網(wǎng)絡(luò)安全管理,◆信息安
31、全管理簡(jiǎn)介,,◆,信息安全組織管理,,,◇,信息安全管理和公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門(mén)的配合,,公安部是國(guó)家授權(quán)對(duì)信息安全和網(wǎng)絡(luò)安全進(jìn)行監(jiān)控和管理的職能機(jī)構(gòu),各單位、組織的信息安全管理工作,應(yīng)當(dāng)與公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門(mén)密切配合,從國(guó)家宏觀(guān)和組織自身微觀(guān)兩個(gè)層次是實(shí)現(xiàn)有效的信息安全管理。,,符合性(合規(guī)性)管理:,,,是指單位、組織根據(jù)自身業(yè)務(wù)特點(diǎn)和具體情況所制定的信息安全管理辦法和規(guī)范,必須符合國(guó)家信息安全相關(guān)法律、法規(guī)的規(guī)定,不得違背。符合性(合規(guī)性)管理是信息安全管理的重要組成部分,在組織自身微觀(guān)的層次上,體現(xiàn)了信息安全管理與國(guó)家宏觀(guān)信息安全管理的一致和配合。,38,,信息網(wǎng)
32、絡(luò)安全管理,◆信息安全管理簡(jiǎn)介,,◆,信息安全組織管理,,,◇,信息安全管理和公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門(mén)的配合,,,●,單位、組織的信息安全管理工作與公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門(mén)之間的配合主要體現(xiàn)在以下方面:,,,●,單位、組織的信息安全管理,必須遵循信息安全法律、法規(guī)對(duì)于安全管理職責(zé)、備案、禁止行為、安全管理制度和安全技術(shù)機(jī)制要求等方面的內(nèi)容規(guī)定,不得違反;否則,將按照相關(guān)法律、法規(guī)的規(guī)定,追究法律責(zé)任,并給予行政和刑事處罰。,,●,法律、法規(guī)賦予公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門(mén)對(duì)信息安全的監(jiān)管職責(zé),各單位、組織必須接受和配合公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門(mén)的監(jiān)督和檢查。,,●,在
33、發(fā)生信息安全案件后,單位、組織應(yīng)當(dāng)及時(shí)向公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門(mén)報(bào)案,并在取證和調(diào)查等環(huán)節(jié)給予密切配合。,39,,信息網(wǎng)絡(luò)安全管理,◆信息安全管理簡(jiǎn)介,,◆,信息安全人員管理,,,,●,人員安全管理是信息安全管理中的一個(gè)重要方面,人員安全管理應(yīng)當(dāng)考慮以下主要內(nèi)容:,,,●,安全審查,,,●,安全保密管理,,●,安全教育與培訓(xùn),,●,崗位安全考核,,,●,離崗人員安全管理,,,,40,,信息網(wǎng)絡(luò)安全管理,◆信息安全管理簡(jiǎn)介,,◆,信息安全人員管理,,,●,安全審查,,人的因素在各個(gè)安全環(huán)節(jié)中是最重要的,全面提高人員的技術(shù)水平、道德品質(zhì)、政治覺(jué)悟和安全意識(shí)是信息安全的重要保障。事實(shí)證明很多
34、安全事件都是由內(nèi)部人員所制造的,而高技術(shù)、現(xiàn)代化的網(wǎng)絡(luò)和信息系統(tǒng)又不可能脫離高素質(zhì)的技術(shù)人員獨(dú)立運(yùn)行。因此。對(duì)于關(guān)鍵崗位必須建立嚴(yán)格的人員安全審查制度,把好人員安全管理的第一關(guān)。,,根據(jù)單位、組織網(wǎng)絡(luò)和信息系統(tǒng)內(nèi)部資源的敏感程度和重要程度不同,對(duì)信息資源進(jìn)行密級(jí)劃分。信息資源的密級(jí)直接決定了接觸和管理該信息資源的崗位對(duì)人員安全等級(jí)的要求,應(yīng)該依此要求建立相應(yīng)的人員安全審查的標(biāo)準(zhǔn)。人員的安全審查應(yīng)該從安全意識(shí)、法律意識(shí)、安全技能等幾方面進(jìn)行,人員應(yīng)該具有政治可靠、思想進(jìn)步、作風(fēng)正派、技術(shù)合格等基本素質(zhì)。,41,,信息網(wǎng)絡(luò)安全管理,◆信息安全管理簡(jiǎn)介,,◆,信息安全人員管理,,,●,安全審查,,,
35、網(wǎng)絡(luò)和信息系統(tǒng)的關(guān)鍵崗位人選的審查標(biāo)準(zhǔn)如下:,,1、必須是單位、組織的正式員工。,,2、必須經(jīng)過(guò)嚴(yán)格的政審、背景和資歷調(diào)查。,,3、必須經(jīng)過(guò)業(yè)務(wù)能力的綜合考核。,,4、不得出現(xiàn)在其他關(guān)鍵崗位兼職的情況。,42,,信息網(wǎng)絡(luò)安全管理,◆信息安全管理簡(jiǎn)介,,◆,信息安全人員管理,,,●,安全保密管理,,,所有進(jìn)入網(wǎng)絡(luò)和信息系統(tǒng)工作的人員,必須簽訂保密協(xié)議,承諾其對(duì)網(wǎng)絡(luò)和信息系統(tǒng)應(yīng)盡的安全保密義務(wù),保證在崗工作期間和離崗后一定時(shí)期內(nèi),均不違反保密協(xié)議,不泄露系統(tǒng)秘密。,,新加入的正式雇員在辦理手續(xù)的時(shí)候,應(yīng)該簽訂保密協(xié)議,作為雇傭合同的必要組成部分和附件;現(xiàn)有正式雇員,如果過(guò)去沒(méi)有簽訂保密協(xié)議,應(yīng)該及
36、時(shí)的補(bǔ)辦相應(yīng)手續(xù);臨時(shí)人員和第三方人員在接觸網(wǎng)絡(luò)和信息系統(tǒng)之前,也應(yīng)該簽署相關(guān)的保密協(xié)議,。,,43,,信息網(wǎng)絡(luò)安全管理,◆信息安全管理簡(jiǎn)介,,◆,信息安全人員管理,,●,安全保密管理,,保密協(xié)議的內(nèi)容應(yīng)當(dāng)根據(jù)單位、組織相關(guān)的商業(yè)秘密保護(hù)辦法制定:,,1、,保密的范圍,至少應(yīng)不限于包括網(wǎng)絡(luò)和信息系統(tǒng)的軟硬件配置參數(shù)、相關(guān)技術(shù)文檔、系統(tǒng)敏感數(shù)據(jù)、信息安全管理制度和規(guī)定以及可能損害單位、組織形象和信譽(yù)的事件或案件情況。,,2、應(yīng)該對(duì),保密期限,進(jìn)行明確規(guī)定,對(duì)于重要的崗位,不僅要求員工在崗期間遵守保密協(xié)議,還應(yīng)該規(guī)定在員工離崗之后一定的時(shí)期內(nèi),保密協(xié)議仍然有效。,,3、應(yīng)該針對(duì),違反保密協(xié)議,的違
37、規(guī)情況,指定響應(yīng)的懲處條款。,,4、應(yīng)該在雇傭合同或者雇傭條款發(fā)生變化的時(shí)候,對(duì)員工,保密協(xié)議進(jìn)行審查,。,44,,信息網(wǎng)絡(luò)安全管理,◆信息安全管理簡(jiǎn)介,,◆,信息安全人員管理,,●,安全教育與培訓(xùn),,,一、安全策略,,,,安全教育與培訓(xùn)是人員安全管理的重要內(nèi)容,通過(guò)持續(xù)有效的安全教育與培訓(xùn),提高相關(guān)人員的安全能力和專(zhuān)業(yè)技能,此項(xiàng)管理工作應(yīng)當(dāng)在相應(yīng)安全策略的指導(dǎo)下進(jìn)行,信息安全教育與培訓(xùn)策略應(yīng)當(dāng)包含以下內(nèi)容:,,1、應(yīng)定期對(duì)員工進(jìn)行信息安全教育與培訓(xùn),促使員工理解信息安全的重要性以及網(wǎng)絡(luò)和信息系統(tǒng)所面臨的各種可能的安全風(fēng)險(xiǎn),以提高員工的信息安全意識(shí),并遵守各種信息安全管理規(guī)定。,,2、應(yīng)當(dāng)以人
38、員角色及崗位職能為基礎(chǔ),針對(duì)不同層次的人員,進(jìn)行適當(dāng)?shù)男畔踩逃c培訓(xùn)。信息安全教育與培訓(xùn)的內(nèi)容應(yīng)當(dāng)包括信息安全相關(guān)的法律、法規(guī),信息安全方針與策略,信息安全的操作流程以及使用和管理信息安全技術(shù)基礎(chǔ)設(shè)施的技能訓(xùn)練。,,3、信息安全教育與培訓(xùn),除了使用于內(nèi)部員工之外,同樣使用于所有接入和使用網(wǎng)絡(luò)和信息系統(tǒng)的第三方人員。,,4、信息安全教育與培訓(xùn)的內(nèi)容應(yīng)該具有針對(duì)性,根據(jù)業(yè)務(wù)發(fā)展和信息系統(tǒng)的變化,及時(shí)進(jìn)行調(diào)整、修正和補(bǔ)充,并應(yīng)當(dāng)建立考核制度,檢驗(yàn)信息安全教育與培訓(xùn)的效果。,45,,信息網(wǎng)絡(luò)安全管理,◆信息安全管理簡(jiǎn)介,,◆,信息安全人員管理,,●,安全教育與培訓(xùn),,,二、培訓(xùn)內(nèi)容,,,根據(jù)信息安
39、全教育與培訓(xùn)策略,安全教育與培訓(xùn)共包括三類(lèi)不同層次的培訓(xùn)內(nèi)容,分別是對(duì)所有接觸和使用網(wǎng)絡(luò)和信息系統(tǒng)的擁護(hù)進(jìn)行基本安全教育;對(duì)負(fù)責(zé)信息安全基礎(chǔ)設(shè)施運(yùn)行和維護(hù)的專(zhuān)業(yè)技術(shù)人員進(jìn)行專(zhuān)業(yè)安全培訓(xùn);對(duì)信息安全保障體系的規(guī)劃者、管理者和建設(shè)實(shí)施人員進(jìn)行高級(jí)安全培訓(xùn)。,,46,,信息網(wǎng)絡(luò)安全管理,◆信息安全管理簡(jiǎn)介,,◆,信息安全人員管理,,●,安全教育與培訓(xùn),,,二、培訓(xùn)內(nèi)容,,1、基本安全教育,,,基本安全教育的培訓(xùn)對(duì)象是所有接觸和使用網(wǎng)絡(luò)和信息系統(tǒng)的人員,包括內(nèi)部人員以及相關(guān)的第三方人員。,,基本安全教育旨在使培訓(xùn)對(duì)象了解信息安全的基本概念,認(rèn)識(shí)到可能存在的各種安全威脅和安全風(fēng)險(xiǎn),理解信息安全的方針策略
40、和管理制度,從而達(dá)到提高信息安全意識(shí),掌握基本安全操作技能,遵守信息安全管理制度和規(guī)定的目的。,47,,信息網(wǎng)絡(luò)安全管理,●,安全教育與培訓(xùn),,二、,培訓(xùn)內(nèi)容,,1、基本安全教育,,基本安全教育的內(nèi)容包括:,,,●,信息安全的含義,信息安全所涵蓋的各項(xiàng)主要方面,信息安全的最基本常識(shí)。,,,●,組織內(nèi)部哪些重要區(qū)域和設(shè)備嚴(yán)格限制普通人員進(jìn)入和使用,違反規(guī)定,會(huì)受到什么樣的處罰。,,●,特別強(qiáng)調(diào)業(yè)務(wù)數(shù)據(jù)對(duì)于組織的重要性,業(yè)務(wù)數(shù)據(jù)是組織的核心商業(yè)機(jī)密,任何篡改、破壞業(yè)務(wù)數(shù)據(jù)的行為必將受到嚴(yán)厲的法律制裁。這部分內(nèi)容可以結(jié)合既有案例進(jìn)行講述。,,,●,計(jì)算機(jī)用戶(hù)安全操作管理規(guī)范,使用戶(hù)了解作為一個(gè)普通用
41、戶(hù),應(yīng)該如何安全地對(duì)本地桌面計(jì)算機(jī)系統(tǒng)進(jìn)行操作,包括用戶(hù)名/口令的規(guī)定、防病毒軟件的配置和使用、系統(tǒng)補(bǔ)丁和版本升級(jí)的維護(hù)、計(jì)算機(jī)配置的管理措施、訪(fǎng)問(wèn)互聯(lián)網(wǎng)時(shí)要注意的安全事項(xiàng)等。,,●,普通用戶(hù)在應(yīng)急響應(yīng)計(jì)劃中的角色和作用。例如,發(fā)現(xiàn)安全事件時(shí),保護(hù)好現(xiàn)場(chǎng),及時(shí)按照規(guī)程向應(yīng)急,響應(yīng)部門(mén)報(bào)警,并配合取證調(diào)查。,48,,信息網(wǎng)絡(luò)安全管理,●,安全教育與培訓(xùn),,二、,培訓(xùn)內(nèi)容,,1、基本安全教育,,基本安全教育的內(nèi)容包括:,,●,普通用戶(hù)在災(zāi)難恢復(fù)計(jì)劃中的角色和作用。例如,災(zāi)難發(fā)生時(shí)的人員自救和緊急疏散規(guī)程,災(zāi)難發(fā)生后,盡快到達(dá)備份工作地點(diǎn),配合災(zāi)難恢復(fù)部門(mén)的工作,迅速重新開(kāi)始正常工作,確保業(yè)務(wù)的連續(xù)
42、性。,,●,典型的安全時(shí)間案例介紹,介紹內(nèi)容包括事件的起因,造成的影響和后果,相關(guān)人員受到的處罰情況,使學(xué)員增加對(duì)安全事件的直觀(guān)認(rèn)識(shí),提高安全防護(hù)的意識(shí),同時(shí)起到心里震懾作用,抑制不良想法和心理。,,●,信息安全管理的監(jiān)督和檢查機(jī)構(gòu),使學(xué)員了解任何的違規(guī)行為都會(huì)被發(fā)現(xiàn),會(huì)視情節(jié)和影響的嚴(yán)重性,受到響應(yīng)的處理。,49,,信息網(wǎng)絡(luò)安全管理,●,安全教育與培訓(xùn),,二、,培訓(xùn)內(nèi)容,,2、專(zhuān)業(yè)安全培訓(xùn),,專(zhuān)業(yè)安全培訓(xùn)的對(duì)象為負(fù)責(zé)信息安全基礎(chǔ)設(shè)施運(yùn)行和維護(hù)的專(zhuān)業(yè)技術(shù)人員,包括安全系統(tǒng)管理員、操作系統(tǒng)管理員、數(shù)據(jù)庫(kù)系統(tǒng)管理員、網(wǎng)絡(luò)管理員、機(jī)房管理員、密匙管理員以及其他相關(guān)維護(hù)人員。,,專(zhuān)業(yè)安全培訓(xùn)為負(fù)責(zé)信息
43、安全基礎(chǔ)設(shè)施的專(zhuān)業(yè)技術(shù)人員提供與其崗位和工作職責(zé)相關(guān)的專(zhuān)業(yè)理論知識(shí)、操作技能以及管理制度的培訓(xùn),使得培訓(xùn)對(duì)象能夠具備崗位和職責(zé)所要求的必要理論基礎(chǔ)和操作技能,了解并遵守相應(yīng)的安全管理規(guī)范,保證信息安全基礎(chǔ)設(shè)施穩(wěn)定有效的運(yùn)行。,50,,信息網(wǎng)絡(luò)安全管理,●,安全教育與培訓(xùn),,二、,培訓(xùn)內(nèi)容,,2、專(zhuān)業(yè)安全培訓(xùn),,專(zhuān)業(yè)安全培訓(xùn)的內(nèi)容包括:,,,●,進(jìn)行職業(yè)道德教育。信息安全的職業(yè)道德包括約束從業(yè)人員的言行,指導(dǎo)他們思想的一整套道德規(guī)范,涉及到信息安全從業(yè)人員的思想認(rèn)識(shí)、工作態(tài)度、業(yè)務(wù)鉆研、待遇得失及其公共道德等方面。,,●,與崗位職能相關(guān)的信息安全技術(shù)理論培訓(xùn)。例如:防火墻系統(tǒng)管理員需要接受防火墻
44、技術(shù)理論的培訓(xùn),系統(tǒng)管理員需要接受與系統(tǒng)安全有關(guān)的安全技術(shù)理論的培訓(xùn)。,,●,崗位職能與操作技能培訓(xùn),使得培訓(xùn)對(duì)象理解和遵守崗位職能范圍內(nèi)的信息安全管理內(nèi)容和流程規(guī)范,包括日常維護(hù)的操作規(guī)范,安全事件應(yīng)急響應(yīng)計(jì)劃中的角色職責(zé)和處理流程,災(zāi)難恢復(fù)計(jì)劃中的角色職責(zé)和處理流程等。,,51,,信息網(wǎng)絡(luò)安全管理,●,安全教育與培訓(xùn),,二、,培訓(xùn)內(nèi)容,,3、高級(jí)安全培訓(xùn),,高級(jí)安全培訓(xùn)的對(duì)象包括負(fù)責(zé)信息安全保障體系規(guī)劃和建設(shè)的專(zhuān)業(yè)技術(shù)人員、信息安全基礎(chǔ)設(shè)施的設(shè)計(jì)和工程實(shí)施人員。,,高級(jí)安全培訓(xùn)旨在為單位、組織培養(yǎng)信息安全高級(jí)管理和技術(shù)人才,勝任各級(jí)信息安全管理部門(mén)中的關(guān)鍵崗位,實(shí)現(xiàn)信息安全保障體系的自主規(guī)
45、劃、管理和項(xiàng)目實(shí)施。,,52,,信息網(wǎng)絡(luò)安全管理,●,安全教育與培訓(xùn),,二、,培訓(xùn)內(nèi)容,,,3、高級(jí)安全培訓(xùn),,高級(jí)安全培訓(xùn)的內(nèi)容包括:,,●,國(guó)家和行業(yè)與信息安全有關(guān)的法律、法規(guī)內(nèi)容,這些法律、法規(guī)都是信息安全保障體系的規(guī)劃和設(shè)計(jì)過(guò)程所必須遵循的基本規(guī)定。,,●,全面的信息安全技術(shù)理論和知識(shí),包括物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全等各個(gè)層次的安全標(biāo)準(zhǔn)和安全機(jī)制。,,●,全面的信息安全管理理論,包括信息安全管理的國(guó)際標(biāo)準(zhǔn)、安全風(fēng)險(xiǎn)評(píng)估理論與方法、信息安全方針和策略的指定和維護(hù)、組織機(jī)構(gòu)和人員安全管理以及諸如應(yīng)急響應(yīng)和災(zāi)難恢復(fù)之類(lèi)各項(xiàng)信息安全規(guī)范和流程的管理。,,●,信息安全工程理論,包括信
46、息安全基礎(chǔ)設(shè)施從需求分析、詳細(xì)設(shè)計(jì)到開(kāi)發(fā)和項(xiàng)目實(shí)施過(guò)程中,與信息安全相關(guān)的管理要素。,,●,關(guān)鍵崗位職能與責(zé)任,使得培訓(xùn)對(duì)象理解與具體崗位相關(guān)的職能范圍和工作流程。關(guān)鍵崗位包括各級(jí)信息安全管理部門(mén)負(fù)責(zé)人、信息安全管理專(zhuān)員、應(yīng)急響應(yīng)計(jì)劃專(zhuān)員、災(zāi)難恢復(fù)計(jì)劃專(zhuān)員、安全系統(tǒng)項(xiàng)目實(shí)施經(jīng)理等。,53,,信息網(wǎng)絡(luò)安全管理,◆信息安全管理簡(jiǎn)介,,◆,信息安全人員管理,,●,安全教育與培訓(xùn),,信息安全教育和培訓(xùn)由單位、組織和信息安全管理部門(mén)定期組織進(jìn)行。培訓(xùn)結(jié)束后,必須進(jìn)行考核,以檢驗(yàn)教育和培訓(xùn)的效果。信息安全管理部門(mén)定期組織安全檢查,檢驗(yàn)信息安全教育和培訓(xùn)的實(shí)際效果以及安全規(guī)范的遵守和執(zhí)行情況。,54,,信息
47、網(wǎng)絡(luò)安全管理,◆信息安全管理簡(jiǎn)介,,◆,信息安全人員管理,,,●,崗位安全考核,,,,人員安全管理部門(mén)要定期對(duì)網(wǎng)絡(luò)和信息系統(tǒng)所有的工作人員從思想政治和業(yè)務(wù)表現(xiàn)兩方面進(jìn)行考核。,,思想政治方面的考核內(nèi)容包括是否能夠遵守法律、法規(guī);是否能夠執(zhí)行單位、組織的安全策略、紀(jì)律規(guī)范和規(guī)章制度;是否能夠遵守職業(yè)道德,具有良好的勞動(dòng)服務(wù)態(tài)度。,,業(yè)務(wù)表現(xiàn)方面的考核依據(jù)人員的具體職責(zé)進(jìn)行,考核內(nèi)容包括相關(guān)的業(yè)務(wù)理論水平和實(shí)際操作技能,特別是能否嚴(yán)格按照相關(guān)的安全管理規(guī)范進(jìn)行業(yè)務(wù)操作,是否具有較高的信息安全意識(shí)。,,,55,,信息網(wǎng)絡(luò)安全管理,◆信息安全管理簡(jiǎn)介,,◆,信息安全人員管理,,,●,離崗人員安全管理,
48、,,1、,應(yīng)該建立技術(shù)人員離崗的安全管理制度,在人員離崗的同時(shí)收回鑰匙、移交工作、更換系統(tǒng)口令、撤銷(xiāo)帳號(hào),并向離崗人員重新申明其保密義務(wù)。,,2、人員正常離崗之前要旅行移交手續(xù),完成密碼、設(shè)備、技術(shù)資料及相關(guān)敏感信息的移交。移交手續(xù)包括收回所有的鑰匙和證件,歸還使用的計(jì)算機(jī)設(shè)備,退還全部技術(shù)手冊(cè)及相關(guān)資料,相關(guān)系統(tǒng)必須更換口令,取消該人員所使用過(guò)的所有帳號(hào),向離崗人員重申其負(fù)有的安全保密責(zé)任和義務(wù)。,,3、對(duì)不情愿被調(diào)走的離崗人員,或者因?yàn)椴贿m合安全管理要求而被調(diào)離的人員,必須嚴(yán)格辦理調(diào)離手續(xù),必要時(shí)應(yīng)在調(diào)離決定通知其本人之前,立即或者提前進(jìn)行移交手續(xù),不能拖延。,,4、對(duì)于因工作問(wèn)題而被解聘
49、的人員,應(yīng)該嚴(yán)格審查其工作問(wèn)題,相關(guān)懲處應(yīng)該嚴(yán)格按照保密協(xié)議的規(guī)章執(zhí)行,如有觸犯法律、法規(guī)的行為,應(yīng)依法追究其法律責(zé)任。,56,,信息網(wǎng)絡(luò)安全管理,◆信息安全管理簡(jiǎn)介,,◆,信息安全制度管理,,安全管理制度和安全管理規(guī)范是對(duì)信息安全方針和策略的深化和細(xì)化,是安全策略在某一個(gè)特定問(wèn)題或者特定安全系統(tǒng)中的具體體現(xiàn),安全管理制度必須符合安全策略,并與之保持一致。只要符合國(guó)家信息安全法律、法規(guī)的規(guī)定,符合單位、組織的信息安全策略,各單位、組織即可以根據(jù)自身的實(shí)際情況和特點(diǎn),有針對(duì)性地制定相關(guān)的信息安全管理制度。信息安全管理制度應(yīng)當(dāng)覆蓋信息安全管理的方方面面,構(gòu)成一個(gè)全面有機(jī)的管理體系。,,57,,信息
50、網(wǎng)絡(luò)安全管理,◆信息安全管理簡(jiǎn)介,,◆,信息安全制度管理,,●,信息安全管理制度應(yīng)包含以下方面內(nèi)容:,,1.安全策略與制度。確定單位、組織擁有明確的信息安全方針以及配套的策略和制度,以實(shí)現(xiàn)對(duì)信息安全工作的支持和承諾,保證信息安全的資金投入。,,2.安全風(fēng)險(xiǎn)管理。信息安全建設(shè)不是避免風(fēng)險(xiǎn)的過(guò)程,而是管理風(fēng)險(xiǎn)的過(guò)程。沒(méi)有絕對(duì)的安全,風(fēng)險(xiǎn)總是存在的。信息安全體系建設(shè)的目標(biāo)就是要把風(fēng)險(xiǎn)控制在可以接受的范圍之內(nèi)。風(fēng)險(xiǎn)管理同時(shí)也是一個(gè)動(dòng)態(tài)持續(xù)的過(guò)程。,,3.人員和組織安全管理。建立組織機(jī)構(gòu),明確人員崗位職責(zé),提供安全教育與培訓(xùn);對(duì)第三方人員進(jìn)行管理、協(xié)調(diào)信息安全監(jiān)管部門(mén)與其他部門(mén)之間的關(guān)系,保證信息安全工
51、作的人力資源要求,避免由于人員和組織上的錯(cuò)誤產(chǎn)生的信息安全風(fēng)險(xiǎn)。,58,,信息網(wǎng)絡(luò)安全管理,●,信息安全管理制度應(yīng)包含以下方面內(nèi)容:,,,,4.,,環(huán)境和設(shè)備安全管理??刂朴捎谖锢憝h(huán)境和硬件設(shè)施的不當(dāng)所產(chǎn)生的風(fēng)險(xiǎn)。管理內(nèi)容包括物理環(huán)境安全、設(shè)備安全、介質(zhì)安全等。,,5. 網(wǎng)絡(luò)和通信安全管理。控制和保護(hù)網(wǎng)絡(luò)和通信系統(tǒng),防止其受到破壞和濫用,避免和減低由于網(wǎng)絡(luò)和通信系統(tǒng)的問(wèn)題對(duì)業(yè)務(wù)系統(tǒng)的損害。,,6. 主機(jī)和系統(tǒng)安全管理??刂坪捅Wo(hù)計(jì)算機(jī)主機(jī)及其系統(tǒng),防止其受到破壞和濫用,避免和降低由此對(duì)業(yè)務(wù)系統(tǒng)的損害。,,7.,,應(yīng)用和業(yè)務(wù)安全管理。對(duì)各類(lèi)應(yīng)用和業(yè)務(wù)系統(tǒng)進(jìn)行安全管理,防止其受到破壞和濫用。,,
52、8.,,數(shù)據(jù)安全和加密管理。采用數(shù)據(jù)加密和完整性保護(hù)機(jī)制,防止數(shù)據(jù)被竊取和篡改,保護(hù)業(yè)務(wù)數(shù)據(jù)的安全。,,9.,,項(xiàng)目工程安全管理。保護(hù)信息吸引項(xiàng)目工程過(guò)程的安全,確保項(xiàng)目的成果是可靠的安全系統(tǒng)。,,59,,信息網(wǎng)絡(luò)安全管理,●信息安全管理制度應(yīng)包含以下方面內(nèi)容:,,,10.運(yùn)行和維護(hù)安全管理。保護(hù)信息系統(tǒng)在運(yùn)行期間的安全,,,并確保系統(tǒng)維護(hù)工作的安全。,,11.業(yè)務(wù)連續(xù)性管理。通過(guò)設(shè)計(jì)和執(zhí)行業(yè)務(wù)連續(xù)性計(jì)劃,確保,,信息系統(tǒng)在任何災(zāi)難和攻擊下,都能夠保證業(yè)務(wù)的連續(xù),,性。,,12.合規(guī)性(符合性)管理。確保信息安全保障工作符合國(guó)家,,法律、法規(guī)的要求,且信息安全方針、規(guī)定和標(biāo)準(zhǔn)得到了,,遵循。,
53、,,,,60,,信息網(wǎng)絡(luò)安全管理,◆信息安全管理簡(jiǎn)介,,◆,信息安全制度管理,,,◇,信息安全管理制度示例,,,●,物理環(huán)境安全管理規(guī)范,,●,終端計(jì)算機(jī)安全使用規(guī)范,,●,防火墻系統(tǒng)管理規(guī)范,61,,信息網(wǎng)絡(luò)安全管理,●,物理環(huán)境安全管理規(guī)范,,1. 安全域,,,根據(jù)計(jì)算機(jī)機(jī)房?jī)?nèi)部設(shè)備的功能、性質(zhì)、任務(wù)、類(lèi)型以及重要程度不同,同時(shí)為了防止非法進(jìn)入、危害和干擾,確保內(nèi)部設(shè)備的運(yùn)行安全和信息安全,應(yīng)當(dāng)在計(jì)算機(jī)機(jī)房?jī)?nèi)部劃分安全域。,,計(jì)算機(jī)機(jī)房?jī)?nèi)部的安全域包括主機(jī)、網(wǎng)絡(luò)、打印、操作、介質(zhì)、電源、空調(diào)等,對(duì)于特別重要的安全域,如主機(jī)、網(wǎng)絡(luò)、介質(zhì)、主控等,應(yīng)當(dāng)設(shè)立完全獨(dú)立的房間和控制裝置,嚴(yán)格控制人員
54、的出入。對(duì)于高污染的打印設(shè)備,應(yīng)當(dāng)遠(yuǎn)離主機(jī)、介質(zhì)安全域,并安排專(zhuān)門(mén)的環(huán)境。,,,2. 門(mén)禁控制,,,計(jì)算機(jī)機(jī)房是信息處理的重要場(chǎng)所,計(jì)算機(jī)機(jī)房?jī)?nèi)部的重要區(qū)域(如機(jī)房大門(mén)、主機(jī)安全域、網(wǎng)絡(luò)設(shè)備安全域、介質(zhì)安全域、主控安全域)必須設(shè)置控制人員出門(mén)的門(mén)禁系統(tǒng)(如磁卡、IC卡、指紋識(shí)別等),并建立24小時(shí)值班制度。,,門(mén)禁系統(tǒng)按照最小授權(quán)原則,嚴(yán)格控制計(jì)算機(jī)機(jī)房及內(nèi)部各安全域的人員出入。根據(jù)進(jìn)入機(jī)房人員的崗位職責(zé),對(duì)其實(shí)行不同區(qū)域的授權(quán)。外單位人員因工作需要,必須經(jīng)批準(zhǔn)登記,在專(zhuān)人陪同下,進(jìn)入計(jì)算機(jī)機(jī)房的指定區(qū)域。,,62,,信息網(wǎng)絡(luò)安全管理,●,物理環(huán)境安全管理規(guī)范,,3. 監(jiān)控與報(bào)警,,計(jì)算機(jī)機(jī)
55、房必須安裝場(chǎng)地監(jiān)控系統(tǒng),對(duì)電源、防水、放火等環(huán)境安全設(shè)備進(jìn)行集中監(jiān)控,自動(dòng)登記機(jī)房環(huán)境的溫度、濕度、電壓、漏水等狀況,在檢測(cè)到異常情況時(shí),自動(dòng)報(bào)警。,,計(jì)算機(jī)機(jī)房必須安裝攝像監(jiān)控系統(tǒng),對(duì)機(jī)房大門(mén)和重要區(qū)域進(jìn)行監(jiān)控和記錄,在發(fā)現(xiàn)異常情況時(shí),啟動(dòng)報(bào)警系統(tǒng)。計(jì)算機(jī)機(jī)房的報(bào)警系統(tǒng)應(yīng)當(dāng)與保衛(wèi)部門(mén)的保安系統(tǒng)以及公安110系統(tǒng)實(shí)現(xiàn)聯(lián)動(dòng)。,,4. 人員安全管理,,計(jì)算機(jī)機(jī)房工作崗位屬于關(guān)鍵崗位,對(duì)機(jī)房工作人員除了進(jìn)行崗位操作和技能培訓(xùn)外,還必須進(jìn)行相應(yīng)的信息安全、職業(yè)道德、法律規(guī)范的培訓(xùn),才能上崗工作。,,人力資源部門(mén)和信息安全管理部門(mén)應(yīng)定期對(duì)機(jī)房工作人員進(jìn)行考核,對(duì)于不能達(dá)到考核標(biāo)準(zhǔn)的人員,應(yīng)該立即調(diào)離。
56、,,對(duì)于機(jī)房工作人員,按照其工作崗位職能進(jìn)行不同級(jí)別的授權(quán),嚴(yán)格控制人員訪(fǎng)問(wèn)機(jī)房?jī)?nèi)部區(qū)域的權(quán)限,確保機(jī)房物理環(huán)境的安全。,,63,,信息網(wǎng)絡(luò)安全管理,●,物理環(huán)境安全管理規(guī)范,,5.,設(shè)備放置與保護(hù),,,計(jì)算機(jī)機(jī)房?jī)?nèi)的設(shè)備應(yīng)放置在安全位置,降低環(huán)境和事故造成的風(fēng)險(xiǎn),減少非法訪(fǎng)問(wèn)的機(jī)會(huì),設(shè)備放置與保護(hù)應(yīng)遵循下列原則:,,關(guān)鍵設(shè)備和需要特別保護(hù)的設(shè)備,應(yīng)在物理上實(shí)現(xiàn)有效隔離。,,設(shè)備放置應(yīng)有助于控制并降低潛在威脅和防線(xiàn)(如水、火、溫度、通風(fēng)、塵埃、震動(dòng)、輻射、盜竊、破壞)。,,設(shè)備放置應(yīng)考慮到便于維護(hù)。,,設(shè)備應(yīng)該放置在相應(yīng)的安全區(qū)域。,64,,信息網(wǎng)絡(luò)安全管理,●,物理環(huán)境安全管理規(guī)范,,,,6
57、.電源管理,,計(jì)算機(jī)機(jī)房電源管理包括以下內(nèi)容。,,配電系統(tǒng)應(yīng)當(dāng)有詳細(xì)的配線(xiàn)圖,表明各路電源的電壓、容量、分配和連接的設(shè)備。,,配電柜設(shè)備要放置在便于維護(hù)的明顯位置,每一個(gè)配電開(kāi)關(guān)應(yīng)表明電源的來(lái)源和去向,以便掌握各相線(xiàn)的負(fù)載。,,增加、遷移、變更設(shè)備的時(shí)候,必須及時(shí)修改配線(xiàn)圖。,,對(duì)于要求雙路供電的設(shè)備,雙路電源必須來(lái)自不同的UPS。,,65,,信息網(wǎng)絡(luò)安全管理,●物理環(huán)境安全管理規(guī)范,,,7.,電纜管理,,電纜管理包括電源電纜和通信電纜的安全管理,主要包括以下內(nèi)容:,,計(jì)算機(jī)機(jī)房?jī)?nèi),電源電纜和通信電纜應(yīng)鋪設(shè)在地板下,從不同的線(xiàn)槽鋪設(shè)、走線(xiàn),并通過(guò)屏蔽保護(hù)以避免干擾,同時(shí)還要考慮阻燃、防水、防蟲(chóng)
58、、防鼠、防腐等保護(hù)。,,根據(jù)設(shè)備的用電負(fù)載合理選用電纜,按色標(biāo)明相線(xiàn)、零線(xiàn)和地線(xiàn)。,,對(duì)與多路主干通信線(xiàn)路進(jìn)入計(jì)算機(jī)機(jī)房的情況,應(yīng)采用不同方向,不同電纜井的入戶(hù)方式,以降低外界施工造成通信線(xiàn)路被全面破壞的風(fēng)險(xiǎn)。,66,,信息網(wǎng)絡(luò)安全管理,●物理環(huán)境安全管理規(guī)范,,8.環(huán)境管理與維護(hù),,計(jì)算機(jī)機(jī)房中,環(huán)境管理與維護(hù)的內(nèi)容包括:,,定時(shí)檢查和記錄機(jī)房環(huán)境的溫度、濕度、漏水、通風(fēng)系統(tǒng)的運(yùn)行情況。,,定時(shí)巡檢各種環(huán)境設(shè)備的運(yùn)轉(zhuǎn)狀況,記錄出現(xiàn)的故障代碼,供有關(guān)人員進(jìn)行設(shè)備維修時(shí)使用。,,定期對(duì)各類(lèi)環(huán)境設(shè)備進(jìn)行例行檢修,確保環(huán)境設(shè)備和系統(tǒng)處于良好的運(yùn)行狀態(tài)。,67,,信息網(wǎng)絡(luò)安全管理,●物理環(huán)境安全管理規(guī)
59、范,,,8.,環(huán)境管理與維護(hù),,,環(huán)境設(shè)備的定期檢修包括:,,對(duì)空調(diào)系統(tǒng),每月檢測(cè)壓縮機(jī)的工作電流,清潔過(guò)濾網(wǎng)、排水管和加濕器;每季度清掃室外冷凝機(jī)組,確保通風(fēng)順暢。,,對(duì)電源和UPS系統(tǒng),每月分析系統(tǒng)的運(yùn)行記錄,每季度進(jìn)行蓄電池的充放電測(cè)試;每半年對(duì)UPS進(jìn)行雙機(jī)切換操作,并對(duì)電源配電柜進(jìn)行檢修。,,對(duì)發(fā)電機(jī)組,每月啟動(dòng)一次,每季度進(jìn)行備用發(fā)電與市電切換的帶載演練。,,對(duì)監(jiān)控系統(tǒng)和門(mén)禁系統(tǒng),要定期收集整理記錄信息,分類(lèi)存檔,發(fā)現(xiàn)問(wèn)題及時(shí)查清。,,定期檢查消防滅火設(shè)施,及時(shí)更換不合格的設(shè)備。,,,68,,信息網(wǎng)絡(luò)安全管理,●,物理環(huán)境安全管理規(guī)范,,,9.,設(shè)備常規(guī)管理,,對(duì)機(jī)房工作人員、維修
60、技術(shù)人員加強(qiáng)保密紀(jì)律教育,自覺(jué)遵守操作程序,不得隨意向無(wú)關(guān)人員透露工作流程、軟件版本、機(jī)器配置等信息。不得在機(jī)房?jī)?nèi)拍照,不得隨意取走機(jī)房?jī)?nèi)的設(shè)備和資料。,,建立簽收制度,設(shè)立專(zhuān)職介質(zhì)管理崗位,嚴(yán)格管理各種存儲(chǔ)介質(zhì)和信息報(bào)表文檔。介質(zhì)設(shè)備在報(bào)廢之前應(yīng)刪除信息,并集中統(tǒng)一保管,按照相應(yīng)規(guī)范的保密性要求進(jìn)行報(bào)廢處理。,,對(duì)設(shè)備進(jìn)行維護(hù),應(yīng)當(dāng)提前作好備份,外單位、組織人員現(xiàn)場(chǎng)維護(hù)時(shí),應(yīng)由本單位、組織相關(guān)人員陪同,并且采取外單位、組織人員指導(dǎo)本單位、組織人員操作的方式,對(duì)磁盤(pán)等設(shè)備的維修應(yīng)該盡量采用現(xiàn)場(chǎng)維護(hù)或者由本單位、組織人員陪同送修。,,不允許遠(yuǎn)程登陸生產(chǎn)或者開(kāi)發(fā)系統(tǒng)進(jìn)行維護(hù)。在無(wú)人使用或者離開(kāi)時(shí),
61、應(yīng)注銷(xiāo)登陸,或者啟動(dòng)屏幕保護(hù)等安全措施。,69,,信息網(wǎng)絡(luò)安全管理,●,物理環(huán)境安全管理規(guī)范,,10.,設(shè)備變更管理,,為確保機(jī)房?jī)?nèi)各系統(tǒng)的安全運(yùn)行,對(duì)任何設(shè)備的遷移、擴(kuò)容和升級(jí)、維修、施工等操作都應(yīng)該制定相應(yīng)的制度和標(biāo)準(zhǔn)工作流程,包括變更方案、實(shí)施步驟和回退措施等。安全檢查部門(mén)應(yīng)該參與變更管理方案的審定;實(shí)施結(jié)束,應(yīng)向安全檢查部門(mén)提交相應(yīng)的記錄和技術(shù)文檔。任何變更操作應(yīng)由兩名以上工程技術(shù)人員完成,外單位、組織人員進(jìn)行的操作應(yīng)由本單位、組織相關(guān)人員陪同。,,當(dāng)機(jī)房?jī)?nèi)的施工和維修操作必須明火作業(yè)時(shí),要報(bào)經(jīng)消防安全部門(mén)和保衛(wèi)部門(mén)同意,采取必要的防范措施,在指定時(shí)間、地點(diǎn)按計(jì)劃、按步驟完成作業(yè),經(jīng)檢
62、查確認(rèn)沒(méi)有火災(zāi)隱患后,方可結(jié)束施工。,,任何施工和維修操作所使用的電器設(shè)備,應(yīng)當(dāng)單獨(dú)連接維修電源,以保證不對(duì)生產(chǎn)設(shè)備產(chǎn)生干擾。,70,,信息網(wǎng)絡(luò)安全管理,●,物理環(huán)境安全管理規(guī)范,,11.,設(shè)備故障處理,,按照機(jī)房環(huán)境設(shè)備對(duì)生產(chǎn)系統(tǒng)造成的影響以及環(huán)境設(shè)備的修復(fù)時(shí)間,可以將故障分為兩類(lèi):,,一類(lèi)故障:包括電源等系統(tǒng)故障。,,二類(lèi)故障:空調(diào)、通風(fēng)、發(fā)電機(jī)、門(mén)禁、照明等系統(tǒng)故障。,,發(fā)生一類(lèi)故障,應(yīng)及時(shí)采取應(yīng)急措施,如切換到UPS或者啟動(dòng)發(fā)電機(jī)供電,同時(shí)以最快速度修復(fù)。,,發(fā)生二類(lèi)故障,應(yīng)在不影響正常生產(chǎn)的情況下,盡快查找故障原因并排除故障。,71,,信息網(wǎng)絡(luò)安全管理,●,物理環(huán)境安全管理規(guī)范,,,
63、,12.,管理制度和規(guī)定,,應(yīng)當(dāng)指定嚴(yán)密的規(guī)范和各項(xiàng)管理制度,包括值班制度、機(jī)房管理規(guī)定等,并將上述規(guī)定張貼于相應(yīng)的工作區(qū)域內(nèi)。安排專(zhuān)人負(fù)責(zé)管理制度實(shí)施情況的監(jiān)督和檢查,并處理機(jī)房的日常管理事項(xiàng)。,72,,信息網(wǎng)絡(luò)安全管理,●,終端計(jì)算機(jī)安全使用規(guī)范,,,終端計(jì)算機(jī)的安全使用規(guī)范包括以下主要內(nèi)容:,,辦公桌面系統(tǒng)必須安裝防病毒軟件,并且啟動(dòng)病毒監(jiān)控和在線(xiàn)自動(dòng)更新功能。,,為了防止客戶(hù)機(jī)在瀏覽互聯(lián)網(wǎng)時(shí),被含有惡意代碼的程序所感染,應(yīng)將I E瀏覽器的安全級(jí)別調(diào)整為“中”,并將隱私級(jí)別設(shè)置為“中高”。,,應(yīng)當(dāng)安裝操作系統(tǒng)最新的補(bǔ)丁軟件包,彌補(bǔ)操作系統(tǒng)本身存在的安全漏洞,防止被攻擊者或者計(jì)算機(jī)病毒所利
64、用。,,啟動(dòng)操作系統(tǒng)的自動(dòng)更新服務(wù),操作系統(tǒng)會(huì)定期自動(dòng)升級(jí)并安裝最新的補(bǔ)丁程序。,,應(yīng)該按照一定的規(guī)則設(shè)置桌面系統(tǒng)的登陸密碼,并且定期修改,減少登陸密碼泄露或被破解的可能性。,73,,信息網(wǎng)絡(luò)安全管理,●,終端計(jì)算機(jī)安全使用規(guī)范,,,,終端計(jì)算機(jī)的安全使用規(guī)范包括以下主要內(nèi)容,:,,定時(shí)清除I E瀏覽器的臨時(shí)文件夾,可以防止部分敏感內(nèi)容的泄露。,,為防止意外情況造成文件損失,注意定期備份重要的文件,并保管好儲(chǔ)存?zhèn)浞菸募慕橘|(zhì)。,,為防止惡意代碼植入系統(tǒng),預(yù)防計(jì)算機(jī)病毒感染,在收到來(lái)歷不明的電子郵件時(shí),應(yīng)注意不要隨意打開(kāi)郵件,并立給予以刪除。,,禁止在未經(jīng)授權(quán)的情況下,私自修改系統(tǒng)的計(jì)算機(jī)命名標(biāo)
65、識(shí)和網(wǎng)絡(luò)配置。,,禁止任何聯(lián)入辦公網(wǎng)絡(luò)的桌面系統(tǒng)使用調(diào)制解調(diào)器撥號(hào)上網(wǎng)。,,禁止在為經(jīng)授權(quán)的情況下,私自安裝任何應(yīng)用軟件,在獲得授權(quán)后,只允許安裝與工作有關(guān)的正版應(yīng)用軟件。,,禁止訪(fǎng)問(wèn)互聯(lián)網(wǎng)上與工作無(wú)關(guān)或來(lái)歷不明的站點(diǎn),禁止從互聯(lián)網(wǎng)下載與工作無(wú)關(guān)的文件。,74,,信息網(wǎng)絡(luò)安全管理,●,防火墻系統(tǒng)管理規(guī)范,,,防火墻是企業(yè)網(wǎng)絡(luò)安全的關(guān)鍵設(shè)備,是不同網(wǎng)絡(luò)安全領(lǐng)域間通信流的唯一通道,能根據(jù)企業(yè)有關(guān)的安全策略控制(允許、拒絕、監(jiān)視、記錄)并出網(wǎng)絡(luò)的訪(fǎng)問(wèn)行為,同時(shí)也能控制著網(wǎng)絡(luò)資源的分配和應(yīng)用。,,防火墻的部署和配置必須適應(yīng)企業(yè)的安全策略;防火墻對(duì)網(wǎng)絡(luò)安全事件的記錄需要事后分析審計(jì);防火墻對(duì)敏感信息流的
66、監(jiān)控信息也需要及時(shí)地做出響應(yīng)。所有這些要求應(yīng)有專(zhuān)門(mén)的人員負(fù)責(zé)防火墻的管理工作。,75,,信息網(wǎng)絡(luò)安全管理,◆信息安全管理簡(jiǎn)介,,◆重點(diǎn)單位信息安全管理,,《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》第4條明確規(guī)定:“計(jì)算機(jī)信息系統(tǒng)的安全保護(hù)工作,重點(diǎn)維護(hù)國(guó)家事務(wù)、經(jīng)濟(jì)建設(shè)、國(guó)防建設(shè)、尖端科學(xué)技術(shù)等重要領(lǐng)域的計(jì)算機(jī)信息系統(tǒng)的安全?!边@些重要領(lǐng)域的信息網(wǎng)絡(luò)安全,直接關(guān)系到國(guó)家安全、社會(huì)安定以及經(jīng)濟(jì)建設(shè)的健康發(fā)展。凡是涉及上述重要領(lǐng)域的信息網(wǎng)絡(luò)單位,均屬于重點(diǎn)單位。,76,,信息網(wǎng)絡(luò)安全管理,◆重點(diǎn)單位信息安全管理,,◆重點(diǎn)單位分類(lèi),,,我國(guó)信息網(wǎng)絡(luò)重點(diǎn)單位一共分為十二類(lèi):,,.國(guó)家各級(jí)黨政機(jī)關(guān)單位;,,.銀行、保險(xiǎn)、政券等金融機(jī)構(gòu);,,.郵政、電信、廣播電視部門(mén);,,.電力、熱力、燃?xì)?、煤炭、油料等能源單位?,.航空、航天等尖端科技企業(yè)和研究單位;,,.鐵路、公路、水路、海運(yùn)等交通運(yùn)輸單位;,,.水利及水資源供給部門(mén);,,.醫(yī)療、消防、緊急救援等社會(huì)應(yīng)急服務(wù)單位;,,.重要物資儲(chǔ)備單位;,,.經(jīng)濟(jì)建設(shè)的重點(diǎn)工程建設(shè)單位;,,.互聯(lián)網(wǎng)管理中心及其重要網(wǎng)站;,,.其他重要領(lǐng)域和單位。,,77,,信息網(wǎng)絡(luò)安
- 溫馨提示:
1: 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
2: 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
3.本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
5. 裝配圖網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 6.煤礦安全生產(chǎn)科普知識(shí)競(jìng)賽題含答案
- 2.煤礦爆破工技能鑒定試題含答案
- 3.爆破工培訓(xùn)考試試題含答案
- 2.煤礦安全監(jiān)察人員模擬考試題庫(kù)試卷含答案
- 3.金屬非金屬礦山安全管理人員(地下礦山)安全生產(chǎn)模擬考試題庫(kù)試卷含答案
- 4.煤礦特種作業(yè)人員井下電鉗工模擬考試題庫(kù)試卷含答案
- 1 煤礦安全生產(chǎn)及管理知識(shí)測(cè)試題庫(kù)及答案
- 2 各種煤礦安全考試試題含答案
- 1 煤礦安全檢查考試題
- 1 井下放炮員練習(xí)題含答案
- 2煤礦安全監(jiān)測(cè)工種技術(shù)比武題庫(kù)含解析
- 1 礦山應(yīng)急救援安全知識(shí)競(jìng)賽試題
- 1 礦井泵工考試練習(xí)題含答案
- 2煤礦爆破工考試復(fù)習(xí)題含答案
- 1 各種煤礦安全考試試題含答案