网络与信息安全保障方案精选(九篇)
第1篇:网络与信息安全保障方案范文
第一,档案网络信息部门要建立一个安全的网络环境。维护档案信息安全的网络部门环境是十分重要的,要对该部门网络信息的查询始端和终端以及移动端设备进行仔细的检查,并做好保护工作。第二,建立起安全可靠的档案信息传输通道。档案信息在传送的过程中很容易被窃取,因此我们加强档案资料信息传输过程的保密措施,以防不法分子窃取档案信息,从而造成不必要的损失。第三,要严格限制用户的访问权限。用户在申请访问权限时,档案管理部门要验证用户的身份信息,保证用户只能访问授权的内容,不能访问受限制的内容。第四,完善密码和密码设备的协调机制。所有用户密码以及密码设备都应当进行统一的管理,并且要把每个用户的密码与密码设备对应起来,确保准确。第五,创造综合管理档案信息的工作环境。这个要求就是将全部用户的档案信息集中到一起进行管理。这样不仅方便管理档案信息,还能保护档案信息,防止档案资料损坏或者是丢失。
2档案网络信息保障体系建设的内容
档案网络信息保障体系建设的主要内容有物理安全、网络安全、系统安全、应用安全、用户安全和安全管理六个方面。物理安全是预先对需要加密的档案信息进行分类,依据档案资料的保密程度进行分等级的加密,将加密好的档案资料储存到没有电磁影响的档案室中,对存储档案资料的设备要安装监控系统,并设专人进行实时的监控,一旦发现安全隐患及时上报。此外,由于电子设备对电磁比较敏感,所以,要特别注意电子设备所在档案室的检查和维护。物理安全保障体系是比较常见的一种保障方法,应用的范围较广,可以保障档案资料储存的安全。网络安全主要是对电子设备进行加密,无论是档案资料的存储设备还是档案资料的传输设备都需要进行加密,要为每一个设备终端和服务器安装密码机,并不定时的修改密码。在选取存储设备和加密设备时,要选择具有行业信誉的品牌,或者是上级管理机构规定的品牌,不可选择质量较差的设备。此外,相关管理部门要科学的规划和分配档案管理机构的网络地址,最好与普通网络用户相区别开。系统安全是对存储档案资料的电子设备的操作系统进行保护,操作系统对于电子设备来说是非常重要的,操作系统的好坏不仅直接影响着电子设备运行速度的快慢,还影响着操作人员学习的难易。人性化的操作系统不仅可以减小操作人员学习的时间和劳动强度,还可以提高工作效率。对于加密程度较高的档案资料信息,先进的系统是可以进行实时监控的,并对档案信息资料储存和传递过程中出现的问题进行反馈,由此可见,系统安全对于档案资料信息化建设的重要性,所以,在选择电子设备的操作系统时要格外注意,最好选择比较先进的系统,对于有特殊要求的档案资料存储设备,可以依据自身的特点进行系统的开发。应用安全的建设主要是对档案的实际应用进行保护,由于档案资料的加密程度不同,所以对于加密文件和不加密文件可以分开管理。在进行档案加密程度分类时,要仔细认真,不要弄错档案资料的类别。要保障应用系统的安全,及时对档案资料进行备份,防止因特殊情况造成档案资料的丢失。此外,要确定档案资料的浏览权限,对于保密级别较高或严格保密的资料要加强保护的力度,保障档案信息的安全。用户安全是为了保护用户信息安全而建立的,用户是档案资料信息化建设的服务对象,保障用户的网络安全是十分必要的。用户在选择杀毒软件时,要选择适当的杀毒防御系统,最好是可以实时更新补丁和修复系统漏洞的杀毒系统,当有病毒攻击时,可以保护用户的电子设备和档案信息的安全。此外,用户最好不要随意改变已经设立好的网络地址,特别是经过档案管理机构网络验证的网址,在进入应用系统前,一定要按照系统的提示进行验证,保障档案网络系统客户端的安全。安全管理是在监控档案信息安全的基础上,建立一个完善的档案网络信息安全保障系统。完善安全管理应当做到以下几个方面:首先要建立规范的管理规章制度,现阶段我国的档案管理制度还不是很完善,有些政策无法落实到位,无法规范档案管理者的行为,因此,要加大规章制度建设的力度,对于网络系统的安全管理可以通过建立保障系统运作制度、用户认证制度、安全操作制度、程序规范制度等具体的制度来实现;其次要设立一个健全的组织机构,设置一个专门的工作人员实时掌控档案网络信息安全工作,具体的部门要由专业能力的工作人员进行管理,各个部门的工作人员要及时进行工作交流;最后要设立一个完善的安全保障体系,在档案管理系统出现故障或者档案信息安全受到威胁的时候,有能力和方法来处理各种突况。此外,还可以增设一些安全配套设施,保障安全管理工作的顺利进行。
3档案网络信息保障体系建设的具体方法
第2篇:网络与信息安全保障方案范文
1
总则
1.1
目的
为提高XXXXXX处理突发信息网络事件的能力,形成科学、有效、反应迅速的应急工作机制,确保重要计算机信息系统的实体安全、运行安全和数据安全,最大限度地减少网络与信息安全突发公共事件的危害,保护公众利益
,特制定本预案。
1.2
适用范围
本预案适用于XXXXXX发生和可能发生的网络与信息安全突发事件。
1.3
工作原则
(
1)预防为主。立足安全防护,加强预警,重点保护基础信息网络和重要信息系统,从预防、监控、应急处理、应急保障和打击犯罪等环节,采取多种措施,共同构筑网络与信息安全保障体系。
(
2)快速反应。在网络与信息安全突发公共事件发生时,按照快速反应机制,及时获取充分而准确的信息,迅速处置,最大程度地减少危害和影响。
(
3)以人为本。把保障公共利益以及公民、法人和其他组织的合法权益的安全作为首要任务,及时采取措施,最大限度地避免公民财产遭受损失。
(
4)分级负责。按照“谁主管谁负责、谁使用谁负责”以及“条块结合”的原则,建立和完善安全责任制及联动工作机制。根据部门职能,各司其职,加强协调与配合,形成合力,共同履行应急处置工作的管理职责。
1.4
编制依据
根据《中华人民共和国计算机信息系统安全保护条例》、《计算机病毒防治管理办法》及《XXXXXX突发公共事件总体应急预案》及XXXXXX相关管理规定等,制定《XXXXXX突发信息网络事故应急预案》(以下简称预案)。
2
组织机构及职责
2.1
组织机构
成立XXXXXX突发信息网络事故应急领导小组(以下简称“信息网络事故应急领导小组”)。
组
长:XXXXXX
副组长:XXXXXX
成
员:XXXXXX
2.2
信息网络事故应急领导小组职责
(
1)负责编制、修订所辖范围内突发信息网络事件应急预案。
(
2)通过本系统局域网络中心及国内外安全网络信息组织交流等手段获取安全预警信息,周期性或即时性地向局域网和用户网络管理部门;对异常流量来源进行监控,并妥善处理各种异常情况。
(
3)及时组织专业技术人员对所辖范围内突发信息网络事件进行应急处置;负责调查和处置突发信息网络事件,
及时上报并按照相关规定作好善后工作。
(
4)负责组建信息网络安全应急救援队伍并组织培训和演练。
3
预警及预警机制
突发信息网络事件安全预防措施包括分析安全风险,准备应急处置措施,建立网络和信息系统的监测体系,控制有害信息的传播,预先制定信息安全重大事件的通报机制。
3.1
突发信息网络事故分类
关键设备或系统的故障;自然灾害(水、火、电等)造成的物理破坏;人为失误造成的安全事件;电脑病毒等恶意代码危害;人为的恶意攻击等。
3.2
应急准备
XXXXXX信息中心和各单位信息系统管理员明确职责和管理范围,根据实际情况,安排应急值班,确保到岗到人,联络畅通,处理及时准确。
3.3
具体措施
(
1)建立安全、可靠、稳定运行的机房环境,防火、防盗、防雷电、防水、防静电、防尘;建立备份电源系统;加强所有人员防火、防盗等基本技能培训。
(
2)实行实时监视和监测,采用认证方式避免非法接入和虚假路由信息。
(
3)重要系统采用可靠、稳定硬件,落实数据备份机制,遵守安全操作规范;安装有效的防病毒软件,及时更新升级扫描引擎;加强对局域网内所有用户和信息系统管理员的安全技术培训。
(
4)安装反入侵检测系统,监
测恶意攻击、病毒等非法侵入技术的发展,控制有害信息经过网
络的传播,建立网关控制、内容过滤等控制手段。
4
有关应急预案
4.1
机房漏水应急预案
(
1)发生机房漏水时,第一目击者应立即通知经济信息中心,并及时报告信息网络事件应急领导小组。
(
2)若空调系统出现渗漏水,经济信息中心负责人应立即安排停用故障空调,清除机房积水,并及时联系设备供应方处理,同时启动备用空调,必要情况下可临时用电扇对服务器进行降温。
(
3)若为墙体或窗户渗漏水,经济信息中心负责人应立即采取有效措施确保机房安全,同时安排通知办公室
,及时清除积水,维修墙体或窗户,消除
渗漏水隐患。
4.2
设备发生被盗或人为损害事件应急预案
(
1)发生设备被盗或人为损害设备情况时,使用者或管理者应立即报告信息网络事件应急领导小组,同时保护好现场。
(
2)信息网络事件应急领导小组接报后,通知安保科、经济信息中心及公安部门,一同核实审定现场情况,清点被盗物资或盘查人为损害情况,做好必要的影像记录和文字记录。
(
3)事发单位和当事人应当积极配合公安部门进行调查,
并将有关情况向信息网络事件应急领导小组汇报。
(
4)信息网络事件应急领导小组安排经济信息中心、事发单位及时恢复网络正常运行,并对事件进行调查。经济信息中心和事发单位应在调查结束后一日内书面报告信息网络事件应急领导小组。事
态或后果严重的,应向XXXXX应急指挥领导小组办公室报告。必要时,XXXX应急指挥领导小组及时上报XXXXXX应急指挥部办公室和相关业务部门。
4.3
机房长时间停电应急预案
(
1)接到长时间停电通知后,
信息网络事件
应急领导小组应及时通过办公系统
、电话等相关信息,部署应对具体措施,要求用户在停电前
停止业务、保存数据。
(
2)停电时间
过长的,
信息网络事件
应急领导小组应
报告XXXXXX应急指挥领导小组办公室,及时通知办公室,启动备用电源,保证经济信息中心正常运转。
如有必要,XXXXXX应急指挥领导小组及时上报nnnnnn应急指挥部办公室和相关业务部门。
4.4
通信网络故障应急预案
(
1)发生通信线路中断、路由故
障、流量异常、域名系统故障后,操作员应及时通知本单位信息系统管理员,经初步判断后及时上报信息网络事件应急领导小组和经济信息中心。
(
2)
经济信息中心接报告后,应及
时查清通信网络故障位置,隔离故障区域,并将事态及时报告信息网络事件应急领导小组,
通知相关通信网络运营商查清原因;同时及时
组织相关技术人员检测故障区域,逐步恢复故障区与服务器的网络联接,恢复通信网络,保证正常运转。
(
3)
事态或后果严重的,
信息网络事件应急领导小组应
及时报告XXXXXX应急指挥领导小组。必要时,及时上报XXXXXX应急指挥部办公室和相关业务部门。
(
4)应急处置结束后,经济信息中心和事发单位应将故障分析报告,在调查结束后一日内书面报告信息网络事件应急领导小组。
4.5
不良信息和网络病毒事件应急预案
(
1)发现不良信息或网络病毒时,
信息系统管理员
应立即断开网线,终止不良信息或网络病毒传播,并报告信息网络事件应急领导小组和经济信息中心。
(
2)经济信息中心应根据信息网络事件应急领导小组指令,采取隔离网络等措施,及时杀毒或清除不良信息,并
追查不良信息来源。
(
3)
事态或后果严重的,信息网络事件应急领导小组应及时报告XXXXXX应急指挥领导小组。如有必要,及时上报nnnnnn应急指挥部办公室和相关业务部门。
(
4)处置结束后
,
经济信息中心和事发单位应将事发经过、造成影响、处置结果在调查工作结束后一日内书面报告
信息网络事件应急领导小组。
4.6
服务器软件系统故障应急预案
(
1)发生服务器软件系统故障后,经济信息中心负责人应立即组织启动备份服务器系统,由备份服务器接管业务应用,并及时报告信息网络事件应急领导小组;同时安排相关责任人将故障服务器脱离网络,保存系统状态不变,取出系统镜像备份磁盘,保持原始数据。
(
2)经济信息中心应根据信息网络事件应急领导小组指令,在确认安全的情况下,重新启动故障服务器系统;重启系统成功,则检查数据丢失情况,利用备份数据恢复;若重启失败,立即联系相关厂商和上级单位,请求技术支援,作好技
术处理。
(
3)
事态或后果严重的,及时报告XXXXXX应急指挥领导小组。如有必要,及时上报nnnnnn应急指挥部办公室和相关业务部门。
(
4)处置结束后
,
经济信息中心应将事发经过、处置结果等在调查工作结束后一日内报告
信息网络事件应急领导小组。
4.7
黑客攻击事件应急预案
(
1)当发现网络被非法入侵、网页内容被篡改,应用服务器上的数据被非法拷贝、修改、删除,或通过入侵检测系统发现有黑客正在进行攻击时,使用者或管理者应断开网络,并立即报告信息网络事件应急领导小组。
(
2)接报告后,信息网络事件应急领导小组应立即指令经济信息中心核实情况,关闭服务器或系统,修改防火墙和路由器的过滤规则,封锁或删除被攻破的登陆帐号,阻断可疑用户进入网络的通道。
(
3)经济信息中心应及时清理系统,恢复数据、程序,恢复系统和网络正常;情况严重的,应
上报XXXXXX应急指挥领导小组,并请求支援。必要时,及时上报nnnnnn应急指挥部办公室和相关业务部门。
(
4)处置结束后
,
经济信息中心应将事发经过、处置结果等在调查工作结束后一日内报告
信息网络事件应急领导小组。
4.8
核心设备硬件故障应急预案
(
1)
发生核心设备硬件故障
后,经济信息中心应及时报告信息网络事件应急领导小组,
并组织查找、确
定故障设备及故障原因,进行先期处置。
(
2)
若故障设备在短时间内无法修复,
经济信息中心应
启动备份设备,保持系统正常运行;将故障设备脱离网络,进行故障排除工作。
(
3)
经济信息中心应在
故障排除后,在网络空闲时期,替换备用设备;若故障仍然存在,立即联系相关厂商,认真填写设备故障报告单备查。
(
4)事态或后果严重的,及时报告XXXXXX应急指挥领导小组。如有必要,及时上报nnnnnn应急指挥部办公室和相关业务部门。
4.9
业务数据损坏应急预案
(
1)
发生业务数据损坏
时,经济信息中心应及时报告信息
网络事件应急领导小组,检查、备份业务系统当前数据。
(
2)经济信息中心负责
调用备份服务器备份数据,若备份数据损坏,则调用磁带机中历史备份数据,若磁带机数据仍不可用,则调用异地备份数据。
(
3)
业务数据损坏事件超过
2小时后,
经济信息中心应及时报告
信息网络事件应急领导小组,及时通知业务部门以手工方式开展业务。
(
4)经济信息中心应
待业务数据系统恢复后,检查历史数据和当前数据的差别,由相关系统业务员补录数据;重新备份数据,并写出故障分析报告,在调查工作结束后一日内报告信息网络事件应急领导小组。
4.10
雷击事故应急预案
(
1)
遇雷暴天气或接上级部门雷暴气象预警,经济信息中心应及时报告信息网络事件应急领导小组,经请示同意后关闭所有服务器,切断电源,暂停内部计算机网络工作,并及时通知市局
(公司)
机关、各直属单位关闭一切网络设备及计算机等,并切断电源。
(
2)
雷暴天气结束后,经济信息中心报经信息网络事件应急领导小组同意,及时开通服务器,恢复内部计算机网络工作,并通知市局
(公司)
机关、各指数单位及时恢复设备正常工作,对设备和数据进行检查。出现故障的,事发单位应将故障情况及时报告经济信息中心。
(
3)
因雷击造成损失的,经济信息中心应会同相关部门进行核实、报损,并在调查工作结束后一日内书面报告信息网络事件应急领导小组。必要时,报告XXXXXX应急指挥领导小组。
5
应急处置
发生信息网络突发事件后,相关人员应在
5分钟内向信息网络事件应急领
导小组报告,
信息网络事件应急领导小组组织人员采取有效措施开展先期处置,恢复信息网络正常状态。
发生重大事故(事件),无法迅速消除或恢复系统,影响较大时实施紧急关闭,并立即向XXXXXX应急指挥领导小组报告。
如有必要,及时上报nnnnnn应急指挥部办公室和相关业务部门。
6
善后处置
应急处置工作结束后,信息网络事件应急领导小组组织有关人员和技术专家组成事件调查组,对事件发生原因、性质、影响、后果、责任及应急处置能力、恢复重建等问题进行全面调查评估,根据应急处置中暴露出的管理、协调和技术问题,改进和完善预案,实施针对性演练,总结经验教训,整改存在隐患,组织恢复正常工作秩序。
7
应急保障
7.1
通信保障
经济信息中心负责收集、建立突发信息网络事件应急处置工作小组内部及其他相关部门的应急联络信息。信息网络事件应急领导小组应在重要部位醒目位置公布报警电话,信息网络事件应急领导小组全体人员保证全天
24小时通讯畅通。
7.2
装备保障
经济信息中心负责建立并保持电力、空调、机房等网络安全运行基本
环境,预留一定数量的信息网络硬件和软件设备,指定专人保管和维护。
7.3
数据保障
重要信息系统均建立备份系统,保证重要数据在受到破坏后可紧急恢复。
7.4
队伍保障
建立符合要求的网络与信息安全保障技术支持力量,对网络接入单位的网络与信息安全保障工作人员提供技术支持和培训服务。
8
监督管理
8.1
宣传、教育和培训
将突发信息网络事件的应急管理、工作流程等列为培训内容,增强应急处置能力。加强对突发信息网络事件的技术准备培训,提高技术人员的防范意识及技能。信息网络事件应急领导小组每年至少开展一次全市系统范围内的信息网络安全教育,提高信息安全防范意识和能力。
8.2
预案演练
信息网络事件应急领导小组每年不定期安排演练,建立应急预案定期演练制度。通过演练,发现和解决应急工作体系和工作机制存在的问题,不断完善应急预案,提高应急处置能力。
8.3
责任与奖惩
信息网络事件应急领导小组不定
期组织对各
项制度、计划、方案、人员及物资等进行检查,对在突发信息网络事件应急处置中做出突出贡献的集体和个人,提出表彰奖励建议;对玩忽职守,造成不良影响或严重后果的,依法依规提出处理意见,追究其责任。
9
附则
9.1
预案更新
结合信息网络快速发展和经济社会发展状况,配合相关法律法规的制定、修改和完善,适时修订本预案。
9.2
制定与解释部门
本预案由XXXXXX制定并负责解释。
9.3
第3篇:网络与信息安全保障方案范文
(一)网络信息安全受到挑战
21 世纪是一个开放的网络时代,日常生产、生活对网络的需求日渐增大。现代的网络信息传播借助网络新媒体,使分散的个体关系聚合为复杂的社会网络。在这样的信息传播模式下,网络隐患也随之暴露。
伴随国家、企业、个人对网络依赖性的提高,利用网络进行违法活动而产生利润正为一些不法分子利用,既影响个人权利,又威胁到社会秩序、国家主权。威胁信息传播安全的因素借助互联网的发展而增多,盗取密码勒索财物、利用网络漏洞中途截取私密信息等。
(二)网络信息安全问题保障的重要性
首先,解决网络信息安全问题有利于维护国家主权。网络信息安全问题现已经严重威胁到了各国国家利益。很多不法分子将重要的国家信息通过网络泄露。部分国家也会派遣间谍到他国,利用网络传送他国国家秘密、盗取高科技技术,严重破坏他国主权。这些现象如果不在网络中加以防范,那么势必会导致国家安全受损。
其次,网络信息安全是保证社会良好运行的重要因素。一方面,解决网络信息安全问题能够打击犯罪,解决侵权问题,为社会各群体提供警示,维持社会秩序。另一方面,当今社会的发展离不开互联网,保障网络信息安全可以促进经济健康发展。网络信息的安全传递,提供新的经济发展渠道,带动新型行业的崛起,广泛网罗人才,促进大批量技术人才的培养,优化经济结构,提高生活质量。最后,保障网络信息安全有利于保障公民的合法权利。安全的网络信息环境可以有效减少损害公民权益违法、犯罪事件,公民的个人安全受到保护,避免隐私的泄漏、名誉的损害等。
二、网络信息安全问题及原因分析
(一)网络信息安全问题的种类及分析
网络信息安全受到挑战,逐而引起不同的网络信息安全问题。诸如2009 年金巧巧状告宋祖德侵犯名誉权一案,2013 年超级网银曝授权漏洞一案以及2014 年携程网保存支付日志的服务器未做严格的基线安全配置导致用户银行卡号泄露的案件等。具体看来,我们可将这些问题划分为三大类。第一类,网络自身的安全问题。这类问题是指基于网络本身的特性和缺陷而被一些计算机高手利用,研发某种程序扰乱网络的正常运行,从而获取重要信息。最显著的即为计算机病毒和黑客程序。在它们的干扰下,网络信息的完整性、独立性被破坏,私密信息常被刺探,进而引起更加混乱的网络秩序。
第二类,网络侵权问题。网络侵权问题是网络信息安全问题的一个重要方面,涉及范围广,每一个网民不知不觉间就成为了网络侵权的受害者,或者在未意识到的情况下自己的某些网络言论、行为已经侵犯了他人的权利。最常见网络侵权主要涉及到:侵犯网络知识产权,侵犯人格权。网络中作品一经发表,其阅读、转载量都不可估计,毫无疑问引起权利冲突和纠纷;商标抢注在网络上同样不可避免;网络社交软件为很多网民肆意攻击他人提供平台,很多人的隐私权、名誉权受到侵犯。
第三类,网络犯罪问题。网络的发展为滋生网络恐怖主义提供途径,一些极端组织通过网络策划恐怖活动、传递恐怖活动信息、招募恐怖活动成员。网络中不乏中奖的消息,一旦获取网民的银行卡号、密码,对方即利用远程操控轻松将卡内钱划走。此外,色情信息借助网络大量传播腐蚀人们的身心,引发其他犯罪。
(二)网络信息安全原因分析
1. 网络本身的技术特性
网络本身的特性是网络信息安全受到挑战的关键原因。网络具有开放性、多变性、不易操控性的特点。不断接纳新软件、吸收新程序,为新型危害网络信息安全创造条件。新问题不断出现,人们不可能在解决当今存在问题后保证不会再出现其它问题。同时,网络的运作时常脱离人们的掌控。
2. 法制监督力度不够
首先,我国缺乏专门的网络监督法律,在解决网络信息安全问题时只能依靠现有的其他法律,如民商法类、知识产权法、刑法等。这一立法上的不足导致很多网络信息安全问题被忽略,严重问题得不到法律解决,从而使很多受害者权益丧失保护。
其次,执法中对网络监管不到位。在网络信息传播所涉及的各个系统中,很多处于未受监管的状态,大量潜在的信息安全问题一触即发。大多数监管只局限于信息表层,忽视合法目的掩盖下的非法本质。有时即使发现不妥之处,也认为无大碍,并未进一步核查。
再次,司法机关在处理网络信息上的法律纠纷方面仍需改善。一些常见的网络侵权、网络犯罪案件不被司法机关所重视,受害者在申请立案时常被未构成侵权、未达到立案标准的理由拒绝,受到损害的权益无法受到保护。
最后,公民缺乏权利意识和守法意识。网民在我国是一个庞大的群体,但其中真正具有权利意识、守法意识的却寥寥无几。很多网民对基本公民权利并不清楚,亦或是片面了解,割裂权利、义务、自由的辩证关系。一些发表在网络上的言论不知不觉间违反了网络秩序,侵犯他人权利。
(三)网络信息安全问题突出的原因探析
从本质上说,法律原因是其愈演愈烈的根源。
1. 缺乏系统的保障网络信息安全的法律制度
对于不断出现的网络信息安全问题,我国现在尚未形成一套完整的法律制度,解决网络侵权、网络犯罪方面的法律只是散落在各类基本法或单行法的条文中,专门的法典、篇章都不存在。在消除危害网络信息安全因素时,需要查阅不同的法律条文,大大增加了解决问题的复杂性。而这些分散的法律条文又有相互交叉、冲突的地方。发展的网络带来新问题,相应的也需要增设新的法律规定。近些年法律修正案和司法解释不在少数,却鲜少与网络信息安全问题相关。一些新型的网络不法行为基于无法律规定这一跳板,日渐猖獗。
2. 对现有法律执行不彻底,监管力度有待提高
执法机关有时并不重视网络信息安全问题,各机关、部门间相互推诿。网络的复杂性使执法机关时常知难而退,很多网络信息安全问题不了了之。此外,执法机关在依据已有法律解决网络信息安全问题时,并未很好的落实法律,往往只片面适用导致法律的执行中途停止,使此类问题不能彻底解决。有的机关只看到了法律规定的一个方面,却忽视了另一重要的部分,或是在选择适用法律时错误理解法律、法规,事后也未矫正。同时,执法不严的现象不在少数,有关机关对网络信息安全了解不足,对很多网络平台监管不到位。
3. 司法系统内部存在缺陷,办案效率低下
我国尚未形成统一保障网络信息安全的法律制度,因而司法机关在处理相关案件时常以立法空白为由推脱。但不可否认的是,《民法通则》《刑法》对相关问题作了一定的规定,可司法机关在依据已有法律条文办案时缺乏积极性,效率低下。某些网络不法行为已经构成了侵权或犯罪,但司法机关未追究法律责任,或以难度系数大,需要集体配合等理由对案件一拖再拖。
4. 公民守法意识低下
大多数公民很少关注与法制相关的节目,因此,非接触过法律的公民对法律的知晓度很低,做出违法犯罪行为颇为正常。有的网民认为网络既然提供了公共平台,就可以为所欲为,这种观念完全忽视了法律。也有人只具有较低的法律意识,认为未侵犯他人,但实际已严重损害了他人权益。
三、网络信息安全法律保障的具体建议
(一)完善网络立法,形成全面的保障网络信息安全的法律体系
在我国现有对网络信息安全保障的法律之上,增加新的法律篇章,应对存在法律空白的网络信息安全问题,使得这些已经出现但尚无法律规定的问题能够在解决上有法可依。同时,新出现的法律也应该解决不同法律对同一网络侵权问题规定不同的矛盾,即某一侵权问题究竟该依据哪一法律。
具体来说,可以设立一个网络安全的基本法律,规定网络信息安全问题的种类及其解决办法。针对上文所提出的网络自身安全问题、网络侵权问题和网络犯罪问题,分别进行不同的处罚措施。计算机病毒、黑客程序等网络自身问题,应该对病毒和程序的设计者加以处罚,情节较轻的可以销毁程序、恢复原程序、赔偿损失,构成犯罪的依照《刑法》定罪量刑;网络侵权问题方面,具体规定侵犯名誉权、隐私权、肖像权每一种权利的处罚办法,诸如停止侵害、消除妨碍、赔礼道歉等;网络犯罪问题上,比照《刑法》的相应罪名来处理。同时,随着网络的发展,应不断颁布新的司法解释或修正案,以适应新问题。
(二)提高执法和网络监管力度
仅有完善的法律体系保障网络信息安全远远不够,实现法律的真正作用必须保证它的贯彻力和执行力。因此,依法律保障网络信息安全时要做到执法彻底,执法全面。在解决这些问题时,相关部门各司其职,从上至下落实法律做到连续不中断,使得威胁网络信息安全问题完全得到解决。
此外,加强对网络的监管力度,对各类公共网络平台上的信息、转载有严格限制,及时观察网络上的信息传播动态,能够通过信息传递的表面,揣测真实意图。对看似安全守法的信息,也不能放松警惕。逐步建立一个网络信息监管平台,过滤信息,检验信息的合法性,以此充分保障网络信息的安全性。
(三)完善司法,克服司法机构弊端
司法机关在履行各自职责时,分工明确,互相配合,使得每一个案件在解决的过程中能够确保各环节均有司法机关加以负责,既不存在重复管理的现象,又不会缺乏相应机关的保障。坚持司法公平,司法公正的理念,严格依据法律的规定来处理案件,做到以事实为依据,法律为准绳,不偏私。杜绝腐败现象,保证司法体制的高效廉洁,对贪污、受贿、行贿、滥用职权等违法犯罪现象严惩。同时,提高司法队伍成员的法律素养,经常组织有关网络信息安全知识的培训,使其不断提高自身能力,复杂的网络信息安全问题也能够顺利、正确地解决。
(四)增加法制宣传,提高公民权利意识
公民权利意识和法律意识的欠缺既是引发网络信息安全问题的原因,又是我国现阶段亟需改善的方面。多数网络受害者也缺乏防范意识,随意输入帐号密码,为加害者提供可利用机会。还有部分受害者在自己的权利受到侵犯时,并未意识到,或者即使意识到了却自认倒霉,并未通过法律途径来保障自己权益,更加助长了加害人的嚣张气焰。公民权利意识的提高可以保证他们快速发现网络信息安全问题,自己的合法权益是否受到损害或即将受到损害。公民增强权利意识也会确保其提高防范意识,不易上当受骗,及时检举不法网络行为。又会在行使自己权利时注意遵守法律,不是无限的行使自由。定期举办相关普法节目,增强权利意识,保证网络环境安全。
第4篇:网络与信息安全保障方案范文
要想把应急预案从书本上走到实践中去,就一定要通过应急预案的演练来实现,这样可以对于检验应急预案编制的可操作性和科学性进行有效检验,也能不断地完善电力系统中的网络信息化预案,能更为有效提高预案减灾功能。通过有效编写演练方案,能够把应急预案的指导性进行实践化,体现出来演练的实战性和可操作性。1)在应急预案中,指导性的描述往往应用在事件的相关的处置方式、性质、发生规模方面,更为丰富的信息则需要提供给演练,这样才能提高救援恢复行动的针对性。为了更为有效的开展针对性的工作,编制演练方案过程中,则需要考虑哪些设备需要进行配置,哪些地方的业务则会受到影响,哪些人员和部门会受到网络中断的影响,哪些需要进行调试程序等方面。2)为了更好落实各种应急救援恢复任务,以及保证其实施质量,具体化一定要体现在执行演练的过程中,明确应急响应程序的可操作化。进行量化相关的反应程序,比如,包括工具箱、水晶头是否到位,多模淡抹光模块型号是否正确、笔记本及调试线是否够用、备件备品是否齐全、备份数据是否完整,这些相关的细节问题都应该在事前进行相应的缜密设计。3)步骤流程化。通过对于演练各个程序的衔接机型优化,合理有序地组合演练各个环节的响应程序,通过演练程序流程表的编制来实现。这样能够有效提高应急反应反应效率,并且提高演练的流畅性。同时,应急演练的进展也可以被参与人员所更加了解。
2预防为主的基础上进行监控的进一步加强
预防为主的思想肆意一定要在单位的各个环节中进行强调,在准备应急预案和实战演练的基础上,还应该充分做好相关的信息网络系统突发事件的机制准备、思想准备和工作准备,使得防范意识不断提高,同时,也应提高信息安全综合保障水平。通过对于信息安全隐患进行一定的日常监测,能够对于重大信息安全突发事件进行有效防范和及时发现,为了尽量使得损失最小化,则应该通过及时的可控措施来有效控制事件影响范围。公司的日常工作已经建立起有效长效机制,主要包括信息系统安全保障重点措施、信息安全隐患排查和治理、信息安全风险评估以及信息安全等级保护方面。在相关的检查结果基础上,对于应用系统安全管理、信息设备安全使用、信息机房值班等问题进行进一步加强管理,严格要求并执行国家电网公司信息规定,对于内外网计算机和外设管理需要进一步加强,只有这样,才能有效使得监测防控能力不断增强,使得信息系统安全得以保障。
3保障措施分析与思考
在信息安全管理中,除了要保障一定的技术先进性,更为重要的则体现在管理方面。在实际工作中,我们一定要充分考虑到这一点,不断加强“人防、制防、技防、物防”工作,对于信息安全统一管理进一步加强。
3.1应急队伍建设问题思考在信息安全管理方面,有安全工作小组和网络信息安全领导小组,前者主要是由信息技术人员骨干、各部门信息员组成,后者则是各部门的主要负责人组成。通过这样的分工,就可以从决策、监督和具体执行三个层面,立体化对于网络信息安全提供有力保障。另外,还应该对于信息安全专业人才培养进行重视,相关的信息安全技术培训可以定期或者不定期展开,相应的信息安全应急处理知识就能够让不同岗位的人员进行掌握。
3.2需要有一定的制度保障只有通过严格的管理制度才能有效保障良好的网络信息安全,本公司在此方面制定了相应的21管理标准、10个制度,以及一系列的规范。这样能够保障网络信息安全工作能够有章可循,有案可稽。对于不同工作职责的小组来说,应该划分具体的安全工作的执行情况,为了更好能够保障网络基础、系统运行维护以及开发建设等方面的安全,应该做好相关的分工合作、整体统一、分级处理等问题。
3.3做好技术保障工作为了保障网络信息安全,这里采用相关的较为先进的技术工具和手段,包括:1)更新专业的防病毒软件,有效防治计算机病毒影响;2)旁路监听技术的设备进行过滤处理,能有效限制访问不良网络信息;3)使用双层FWSM防火墙防护托管服务器群;4)定期对于系统进行漏洞扫描;5)建立异地数据的容灾方案以及数据备份方案,还有相关的NTP服务器、LogServer日志记录等。
4结束语
第5篇:网络与信息安全保障方案范文
从广义来讲,档案信息安全保障的内容主要包括档案信息内容安全、实体安全、系统安全、网络安全、应用安全和管理安全等。档案信息内容安全是指防止档案信息资源被故意地或偶然地非授权泄漏、更改或破坏,也防止造成档案信息不可用的系统辨认、鉴别和控制。这也是常说的确保档案信息内容的完整性、保密性、可用性和可控性。档案信息实体安全主要指档案信息载体、档案计算机设备设施物理线路、档案装具、档案馆建筑符合档案管理的要求,防止受到任何损坏和破坏,如保护计算机主机硬件和物理线路以及其他媒体免遭地震、水灾、火灾、有害气体、辐射、硬件故障、搭线接听、盗用、偷窃、超负荷等的破坏;档案库房环境要符合温度、湿度、气压等相关标准。档案信息系统安全是指档案计算机管理系统的主要功能模块和数据信息不受任何破坏,如计算机主机操作系统的安全、数据库系统的安全。档案信息网络安全是指网络系统的硬件、软件及其系统中的数据保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄漏,确保系统能连续、可靠、正常地运行。档案信息应用安全是指Web站点安全,电子档案信息传输安全,以及在档案信息应用过程之中防止被破坏和被损坏。档案信息管理安全包括技术管理、人员管理以及法规标准方面的安全。
二、影响档案信息安全的因素
(一)自然因素档案信息资源存在和运用于自然界之中,自然界的雷电、火灾、水灾、风灾、地震、强磁场、强电子脉冲等自然灾害时常发生,直接危害着档案信息资源的安全。
(二)环境因素环境条件不符合有关标准会对档案信息造成危害,如档案信息网络控制中心机房场地和工作站的环境不合要求:电源质量差,温湿度不适应,无抗静电、抗磁场干扰和无防尘、防火、防水、防雷电、防漏电、防盗窃的设施和措施,以及光、空气污染物及害虫、霉菌等有害生物都会给档案信息带来不利的影响。
(三)技术因素对于纸质档案来讲,决定纸张本身耐久性的因素是造纸植物纤维的质量和植物纤维的化学性质及造纸过程。对于新型载体档案来讲,载体的质量、计算机技术等决定了档案信息的安全。如网络安全漏洞、计算机网络故障、硬件故障、软件系统缺陷或错误、电磁泄漏、信息安全产品过于依赖国外等都会对信息的安全产生影响。
(四)社会因素首先,资金的短缺是制约档案信息安全的一个重要因素。资金投入的不彻底难以保证确保档案信息安全软、硬件条件的投入使用。其次,人类社会的暴力、战争、恐怖事件、网络犯罪、网络黑客、盗窃、破坏等也都可能危及档案信息安全。随着互联网在我国的迅速普及,各种敌对势力会利用互联网作为工具进行反动活动。
(五)管理因素管理因素包括档案信息安全法律法规、标准制度和人员的素质、心理、责任心。档案信息组织管理和决策的核心是人,人是网络的建设者和使用者,网上内容的提供者。
三、档案信息安全保障体系建设
档案信息安全保障体系建设的主要任务是保障数字档案信息的使用安全和信息载体的运行安全,同时健全数字档案信息安全保障体系的法制保障、资金保障、规范标准保障、完善管理保障、革新技术保障和培育人才保障。
(一)档案信息安全法制保障
档案信息安全法制保障是档案信息安全保障体系建设的重要方面。要建立健全档案信息安全法规体系。档案信息安全保障法规对于规范档案信息主体的活动、协调和解决各种矛盾、保障档案信息资源的安全等有重要作用,具有保护档案信息客体具有知识性和财产性、体现高新技术和法规规范渊源的广泛性的特征。我国档案信息安全立法层次为国家法律、行政法规、地方性法规、规章和规范性文件五个层次。按照不同的标准,档案信息安全保障法规体系框架由不同的部分构成。在法规制定中,注意规范性和可操作性、系统性和兼容性、管理与发展并重、重点突出稳步推进等方面,要注意吸收和借鉴国内外信息安全法规建设经验,及时清理和修订现有法规规章,适时制定档案信息安全保障法等新法规。
(二)档案信息安全的资金保障
在我国,各级综合档案馆既是档案信息的蓄水池,也是档案信息的主要者。然而资金匮乏则是制约蓄水池和者作用发挥的主要因素。在许多地方,尤其是北方的城市,最差的房子是档案馆,办公经费多年不长甚至下降的也是档案馆。资金的匮乏,难以保证档案信息安全软件及硬件的实施,造成各级档案馆设施设备老化,人才流失。同时,对馆藏纸质档案的数字化也要依赖于馆外加工机构来进行,极易造成档案信息流失。因此,在加强信息安全保障体系建设中,各级政府重视档案馆的资金投入是重要的一个环节,要力争做到档案馆经费的增长要随着经济的增长达到一定比例的增长。
(三)档案信息安全标准保障
档案信息安全标准是档案信息安全保障的重要组成部分,是实现档案安全管理的重要依据。我国档案部门应吸收和借鉴国外信息安全标准以及国外档案工作方面的标准,研究制定适合新形势下我国档案信息安全现状的标准化体系。研究制定档案信息安全标准体系应遵循科学性原则、协调性原则、全面性原则、接轨性原则和前瞻性原则,力求层次清晰、结构合理、体系明确、标准齐全。
(四)档案信息安全技术保障
档案信息安全技术不仅涉及到传统的“防”和“治”的技术,而且已经扩展到涉及密码技术、访问控制技术、标识和鉴别技术、审计与监控技术、网络安全技术、系统安全技术、应用安全技术等多种现代信息新技术。传统技术与现代新技术相互补充、相互结合,从不同的角度、不同层次来解决档案信息安全问题,共同构筑档案信息的安全屏障,做好档案信息安全技术的发展与更新,加快档案信息安全技术成果的应用、推广和转化,在引进、消化和吸收相关领域科学技术成果的同时,坚持自主创新,走国产化道路,开发拥有独立自主知识产权的、保障档案信息安全的核心技术和关键设备。以苏州市档案馆为例,该档案馆在进行数字档案馆建设的时候,将档案信息安全保障考虑的十分完善,从网络拓扑图中可以看出苏州市数字档案馆运用防火墙及隔离工具确保内网与外网的连接安全,另外苏州市档案馆也运用各种杀毒软件以及采取各种有效的技术手段来确保整个数字档案馆的安全运行,构建了完善的档案信息安全保障体系。
(五)档案信息安全管理保障
档案信息安全管理是以数字档案信息及其载体为对象的安全管理,它的任务是保证数字档案信息的使用安全和信息载体的运行安全。数字档案信息安全保障的管理体系是指以系统全面科学的安全风险评估为基础的、体现“防患于未然”为核心的、动态的数字档案信息安全管理体系。其目标是达到数字档案信息所需的安全级别,将风险控制在较恰当的水平。数字档案信息安全管理由其相应的原则、程序和方法,来指导和实现一系列的安全管理活动。在实施档案信息安全管理保障措施时,需经过以下步骤进行:完善组织机构进行风险评估制定安全策略开展安全管理培训执行管理决策评价并改善管理体系。其中,笔者认为最重要的是进行风险评估,根据有关部门统计,“在所有的计算机安全事件中,约有52%是人为因素造成的,25%是由火灾、水灾等自然灾害引起的,技术错误占10%,组织内部人员作案占10%,仅有3%左右是由外部不法人员的攻击造成。”不难看出,属于内部人员方面的原因超过70%,而这些安全问题中的95%是可以通过科学的风险评估来避免的。所以风险评估的重要性不言而喻,加强风险评估的力度是档案信息安全管理保障的重中之重.风险评估是对信息及信息处理设施的威胁、影响、脆弱性及三者发生的可能性的评估。它是确认安全风险及其大小的过程,即利用定性或定量的方法,借助于风险评估工具,确定信息资产的风险等级和优先风险控制。风险评估需要先根据档案信息系统的实际情况定级,填写等级保护定级备案表,并去有关公安机关备案;然后进行实际的风险评估,完成风险评估报告;最终根据报告内容,采取风险控制的措施,进一步完善档案信息系统,做好档案信息安全保障工作。
(六)档案信息安全人才保障
第6篇:网络与信息安全保障方案范文
关键词 数据库 档案管理 应用
信息化是当今世界发展的大趋势,是推动经济社会发展和变革的重要力量。随着我国各单位业务的急速发展,单纯的手工记录方式已无法及时有效地对档案材料进行收集、整理、立卷、归档和管理。而计算机技术在近十年来的迅猛发展,使得各单位利用计算机对档案进行辅助管理成为可能。档案信息化是在档案管理中全面应用现代信息技术,对档案信息资源进行开发、管理和提供利用等服务,主要包括档案资源数字化和网络化、档案信息管理和利用提供的一体化、档案信息的高度共享等。
近年来,随着我国经济社会的快速发展,档案管理工作有了很大的进步。但要实现档案工作的持续发展就必须不断创新,与时俱进。实现档案管理创新的途径包括思想意识的创新、管理方式的创新、服务方式的创新和提高档案工作人员素质等方面。 进一步加强和改进档案管理工作,深入贯彻落实档案法律、法规,全面细致、扎实认真地做好档案管理基础工作,牢牢掌握档案信息源开发利用工作,是全面落实科学发展观、建设和谐事业的一项重要的基础工作。
《全国档案信息化建设实施纲要》规定了我国近期档案工作发展目标,《国家信息化发展战略(2006年―2020年)》的审议通过,为档案信息化提供了有力保障。计算机的介入打破了传统的管理模式,使得原本松散、庞杂的档案管理迈入了集中统一、信息自动化的新领域。虽然,利用计算机辅助管理档案能大量减轻管理工作的强度、提高管理工作的效率,并能减少管理工作的失误,但是由于计算机技术,尤其是数据库的发展是一个逐步开发、完善的过程,同时使用该技术的工作人员也有逐步学习、应用的阶段,因此计算机辅助管理各单位档案中也存在着不少需要解决的问题。
一、数据库在档案管理中应用的现状与不足
随着各单位业务的不断扩大,传统的手工管理档案的方法,已经不能适应成倍膨胀的档案数量,也无法满足社会对档案的巨大利用需求,利用档案管理软件进行计算机管理是提高各单位档案服务水平的必由之路。将手工管理的纸质档案转换为数字信息进入网络,即从档案的实态转换到虚拟态,档案信息与载体分离,在这个意义上说网络传递的仅是档案信息,用户得到的仅是复制品,而非档案原件。使用数据库计算机辅助管理档案不同于以往对纸质文档进行收集、整理、立卷、归档、管理等工作,管理人员除了需要具备档案管理业务素质外,还需要对计算机及数据库应用具备一定的认识。有相当多的档案管理工作人员知识结构老化,缺乏计算机技术知识,不能准确、规范地录入基本信息,导致基本信息错误、缺失甚至张冠李戴。与此同时,由于一些档案管理软件在建立时仅考虑当时的数据量和用户需求,数据库结构中只有比较有限的几个数据字段,数据库容量较小,不能导出通用格式的数据。当数据量成倍增加,数据库运行的速度就相应减慢,使工作效率被迫降低。
二、数据库在档案管理中的应用建议
要全面提升档案数据库系统的安全水平是个艰难的过程,涉及方面很多,需要管理部门投入人量的人力物力。有些方面,例如,设备的可靠性,火灾预防等方面,主要涉及投入力度的问题:防止人为的有意识破坏方面,如泄密监取密码口令、计算机病毒、黑客等,主要依靠管理制度和计算机安全专项技术。但在数据库的一致性、完整性问题上,档案管理部门自身起着决定性作用。主要应关注以下几点:
1.采用科学的数据库开发方式
早期使用结构化方法开发的档案管理软件,其稳定性、可修改性和可重用性都比较差,用户需求的变化往往造成系统结构的较大变化,并且需要花费很大代价才能实现这种变化。新的档案管理软件可采用面向对象的程序设计方法,商定一种或多种数据转换方式,以便数据能够在不同软件之间实现信息共享。考虑到信息网络化的需要,档案管理软件可具备通过网页进行数据查询、交换的功能。同时还应考虑数据量增加的速度和数据库技术发展的趋势,以便今后对数据库进行升级或更新换代。对于管理条例的各种文件可采用数码照相或者文本方式进行保存整理,通过公文类程序或网页进行交换及查询。
2.确保档案的保密性和安全性
单位档案的保密性和安全性是十分令人关注的问题。档案一旦进入计算机网络系统,网络的安全将直接关系到档案的保密性。对于计算机网络与电子文件所存在的技术上的弱点只能靠技术上的发展去解决。作为计算机网络的使用者,电子文件的形成者和保管者都有责任关注信息技术的最新发展,也有责任采用诸如防火墙、密码技术、网关、虚拟保险箱、电子印章、电子水印等最先进信息技术解决上述问题。同时通过建立符合科研档案技术发展规律的各种工作规范来保障电子文件的安全。只要工作规范,技术到位,这一科研档案工作的主要障碍是完全可以解决与克服的。
3.加强网络监控,及时备份数据
网络中存在的安全性问题是对档案管理系统安全性最大的威胁。目前有多种网络安全策略,各种安全策略必须相互配合才能真正起到保护作用,其中网络的访问控制可以说是保证网络安全最重要的核心策略,它的主要任务是保证网络资源不被非法使用和访问,它也是维护网络系统安全、保护网络资源的重要手段。另外,要注意建立计算机检索查询和提供档案信息的主要服务方式,为使用者提供网状信息组织结构,使用户可以根据自己的意志沿着信息之间的关系链进行浏览,而不是按照规定途径进行检索和查询档案信息。
当档案信息系统扩展到局域网甚至互联网时,计算机病毒成为不可回避的危害,而且新型病毒具有许多网络时代的新特征,例如,病毒传播主要通过网络途径扩散,病毒与计算机入侵关系密切,Windows操作系统的网络功能是常见的攻击点,等等,档案工作者应当时刻注意新的技术变化,制定针对性策略,并从管理制度、技术监督、后备保护、应急措施等多方面综合防范。
第7篇:网络与信息安全保障方案范文
狭义的电信网络安全是指电信网络本身的安全性,按照网络对象的不同包括了PSTN网络的安全、IP/Internet网络安全、传输网络安全、电信运营商内部网络安全等几个方面;广义的网络安全是包括了网络本身安全这个基本层面,在这个基础上还有信息安全和业务安全的层面,几个层面结合在一起才能够为用户提供一个整体的安全体验。
电信运营商都比较重视网络安全的建设,针对网络特点、业务特点建立了系统的网络安全保障体系。我国电信的网络安全保障体系建设起步较早。2000年,原中国电信意识到网络安全的重要性,并专门成立了相关的网络安全管理部门,着力建立中国电信自己的网络安全保障体系。安全保障体系分为管理体系和技术体系。在管理体系中,包括组织体系、策略体系和保障的机制,依据组织保障策略引导、保障机制支撑的原则。随着网络规模的不断扩大和业务的突飞猛进,单靠纯粹的管理和应急相应很难完成有关网络安全方面的工作。为此,建立了网络安全基础支撑的平台,也就是SOC平台,形成了手段保障、技术保障和完备的技术管理体系,以完成中国电信互联网的安全保障工作。这个系统通过几个模块协同工作,来完成对网络安全事件的监控,完成对网络安全工作处理过程中的支撑,还包括垃圾邮件独立处理的支持系统。
然而,网络安全是相对的。网络开放互联、设备引进、新技术引入、自然灾害和突发事件的存在等,造成了网络的脆弱性。当电信网络由封闭的、基于电路交换的系统向基于开放、IP数据业务转型中,安全问题更加暴露。从狭义的网络安全层面看,随着攻击技术的发展,网络攻击工具的获得越来越容易,对网络发起攻击变得容易;而运营商网络分布越来越广泛,这种分布式的网络从管理上也容易产生漏洞,容易被攻击。从广义的网络安全层面看,业务欺诈、垃圾邮件、违法违规的SP行为等,也是威胁网络安全的因素。
2电信网络安全面临的形势及问题
2.1互联网与电信网的融合,给电信网带来新的安全威胁
传统电信网的业务网和支撑网是分离的。用户信息仅在业务网中传送,信令网、网管网等支撑网与业务网隔离,完全由运营商控制,电信用户无法进入。这种机制有效地避免了电信用户非法进入网络控制系统,保障了网络安全。IP电话引入后,需要与传统电信网互联互通,电信网的信令网不再独立于业务网。IP电话的实现建立在TCP/IP协议基础上,TCP/IP协议面临的所有安全问题都有可能引入传统电信网。IP电话的主叫用户号码不在IP包中传送,一旦出现不法行为,无论是运营商还是执法机关,确认这些用户的身份需要费一番周折,加大了打击难度。
2.2新技术、新业务的引入,给电信网的安全保障带来不确定因素
NGN的引入,彻底打破了电信网根据不同业务网分别建设、分别管理的传统思路。NGN的引入给运营商带来的好处是显而易见的,但从网络安全方面看,如果采取的措施不当,NGN的引入可能会增加网络的复杂性和不可控性。此外,3G、WMiAX、IPTV等新技术、新业务的引入,都有可能给电信网的安全带来不确定因素。特别是随着宽带接入的普及,用户向网络侧发送信息的能力大大增强,每一个用户都有能力对网络发起威力较大的拒绝服务等攻击。如果这些宽带被非法控制,组成僵尸网络群,其拒绝服务攻击的破坏力将可能十分巨大。
2.3运营商之间网络规划、建设缺乏协调配合,网络出现重大事故时难以迅速恢复
目前,我国电信领域基本形成了有效的竞争格局。但由于改革的配套措施还不尽完备,电信市场多运营商条件下的监管措施还不配套,给电信网络安全带来了新的威胁。如在网络规划建设方面,原来由行业主管部门对电信网络进行统一规划、统一建设,现在由各运营企业承担各自网络的规划、建设,行业主管部门在这方面的监管力度明显弱化。一旦出现大面积的网络瘫痪问题,不同运营商之间的网络能否互相支援配合就存在问题。
2.4相关法规尚不完善,落实保障措施缺乏力度
当前我国《电信法》还没有出台,《信息安全法》还处于研究过程中,与网络安全相关的法律法规还不完备,且缺乏操作性。在规范电信运营企业安全保障建设方面,也缺乏法律依据。运营企业为了在竞争中占据有利地位,更多地关注网络建设、业务开发、市场份额和投资回报,把经济效益放在首位,网络安全相关的建设、运行维护管理等相对滞后。
3电信网络安全防护的对策思考
强化电信网络安全,应做到主动防护与被动监控、全面防护与重点防护相结合,着重考虑以下几方面。
3.1发散性的技术方案设计思路
在采用电信行业安全解决方案时,首先需要对关键资源进行定位,然后以关键资源为基点,按照发散性的思路进行安全分析和保护,并将方案的目的确定为电信网络系统建立一个统一规范的安全系统,使其具有统一的业务处理和管理流程、统一的接口、统一的协议以及统一的数据格式的规范。
3.2网络层安全解决方案
网络层安全要基于以下几点考虑:控制不同的访问者对网络和设备的访问;划分并隔离不同安全域;防止内部访问者对无权访问区域的访问和误操作。可以按照网络区域安全级别把网络划分成两大安全区域,即关键服务器区域和外部接入网络区域,在这两大区域之间需要进行安全隔离。同时,应结合网络系统的安全防护和监控需要,与实际应用环境、工作业务流程以及机构组织形式进行密切结合,在系统中建立一个完善的安全体系,包括企业级的网络实时监控、入侵检测和防御,系统访问控制,网络入侵行为取证等,形成综合的和全面的端到端安全管理解决方案,从而大大加强系统的总体可控性。
3.3网络层方案配置
在电信网络系统核心网段应该利用一台专用的安全工作站安装入侵检测产品,将工作站直接连接到主干交换机的监控端口(SPANPort),用以监控局域网内各网段间的数据包,并可在关键网段内配置含多个网卡并分别连接到多个子网的入侵检测工作站进行相应的监测。
3.4主机、操作系统、数据库配置方案
由于电信行业的网络系统基于Intranet体系结构,兼呈局域网和广域网的特性,是一个充分利用了Intranet技术、范围覆盖广的分布式计算机网络,它面临的安全性威胁来自于方方面面。每一个需要保护的关键服务器上都应部署核心防护产品进行防范,并在中央安全管理平台上部署中央管理控制台,对全部的核心防护产品进行中央管理。
3.5系统、数据库漏洞扫描
系统和数据库的漏洞扫描对电信行业这样的大型网络而言,具有重要的意义。充分利用已有的扫描工具完成这方面的工作,可免去专门购买其他的系统/数据库漏洞扫描工具。
参考文献
[1]信息产业部电信管理局.电信网络与信息安全管理[M].北京:人民邮电出版社,2004.
[2]陈纲.保障电信网络安全的五项措施[N].通信产业报,2003-9-28.
第8篇:网络与信息安全保障方案范文
【关键词】电子档案;信息安全保障体系;建设
对于电子档案而言,其主要是建立在计算机和网络技术的基础之上,属于相对较新的事物,对档案工作具有极大的推动作用。但是,在实际应用中,鉴于诸多因素的影响,使得其在安全问题上面临挑战,因此,要加强电子档案信息安全保障系统建设。
一、对电子档案信息安全保障体系概念的分析
电子档案的信息安全保障体系,主要是借助一定的安全策略,应用先进和科学的安全技术,实现对电子档案信息的有效防护和监控,保证电子档案信息在整个保存和处理中的安全性,提高并保证档案信息的真实性和完整性,彰显动态的调整功能,主要是由防护、检测、反应和恢复四个环节,实现持续发展的动态过程。
二、全面介绍电子档案信息安全保障体系的组成部分
(一)重视法制标准保障的全面建设。1.注重建立更加专业的电子档案信息安全法律。当前,电子档案信息安全相关法律主要在刑法、档案法中有所体现,但是,缺少专业性的电子档案信息安全法,在一定程度上使得电子档案信息在保护和执行方面力度不够。因此,需要重视安全法规的建设,形成具有针对性的安全保障措施,针对破坏现象,进行相应的处理,同时,强化执法强度,保障电子档案管理能够有法可依,强化执法力度。2.重视完整的电子档案信息安全立法。在档案信息安全立法中,缺乏严谨的结构体系,缺陷比较明显,主要包含相关的公开制度、隐私权法律制度、网络知识产权等。3.形成全面的档案信息安全标准体系。对于档案信息安全标准体系,其发展较晚,属于初级发展时期,缺乏完整性和健全性,因此,要立足基础、技术和管理标准,进行标准体系的建设。在系统运行中,要注重对新型系统的设计、验收、运行和维护,在根本上实现电子档案安全管理的有序进行。
(二)做好基础设施保证建设工作。对于电子档案信息的传递和运行,基础设施建设必不可少,主要是立足硬件系统和运行技术架构,实现对安全信息技术环境的营造。在基础安全架构中,要立足网络安全架构,结合软硬件,实现安全系统的有效部署。在进行架构设计的时候,需要针对功能进行分区,实现对网络功能的明确,设置保护等级,同时,进行信息访问权限的限制。
(三)全面加强组织管理保证建设。1.将先进的管理思想渗透其中。对于电子档案,需要重视前端和全程控制管理思想,立足文件到档案的全周期监控,能够及时发现其中的问题,保证监督的有效性。要重视分级管理,结合文件价值,进行安全管理,强化管理力度。要将风险管理的思想融入其中,进行有效评估,形成对策,降低档案安全风险。2.重视建立权威性的信息安全管理机构。对于档案管理机构,只有保证其权威性,才能提高管理工作的高度。在组织上,需要重视职能的划分,在根本上保证对信息安全管理工作的战略性指导,也能够做好具体工作,形成详细的应对策略。3.重视对基础设施配置的管控。在进行基础设置配置的时候,需要重视对各种参数的考量,保证其根本的稳定性与可靠性,达到安全运行的目的。同时,要重视对地址的选择,保证各方面要求能够达到技术要求。4.设计更具可靠的电子档案安全管理系统。对于电子档案管理而言,信息技术十分关键,需要保证安全性与稳定性。为此,在设计的时候,结合控制的思想,立足档案管理的责任,在根本上满足档案安全功能的需要,尤其是强化权限、监控等功能等。
(四)加强安全技术保障工作。1.将物理安全平台的构件作为重要工作来抓。对于网络电子信息的安全性,物理安全发挥重要的作用,主要针对环境、设备和媒体安全几个方面,有效防护环境的安全性,保证设备稳定性,避免干扰现象,保证数据的安全性。2.加强对电子档案安全管理的网络支持。主要包含传输和业务网络两个部分。其中,传输网络安全能够有效维护电子档案传输的稳定性,有效保证网络服务的可靠性。而对于业务网络安全,主要对病毒的防范、对防火墙的设置以及对网络的监控,实现对档案信息系统业务资源的有效防护。
三、结语
综上,电子档案信息安全保障体系具有系统和综合性,重视法制建设标准,立足基础安全设施,重视整体安全策略和组装,借助先进的安全防范机制,保障档案信息资源的高安全性、高可靠性和高可用性。同时,积极促进档案整体信息化应用水平的全面提高,为信息化建设保驾护航。
【参考文献】
[1]黄昌瑛.电子档案信息安全保障策略研究[D].福建师范大学,2007.
[2]刘俊玲.档案开放利用的信息安全保障研究[D].安徽大学,2012.
第9篇:网络与信息安全保障方案范文
2016年全年天津电信业务总量同比增长52.5%左右,电信用户稳定增长,电子商务、信息消费、共享经济快速发展,电信业融合发展迅速;加强行业监管,创新监管思路,转变发展方式,加强事中事后监管,推进跨行业协同监管等;落实电话用户实名制管理,开展防范和打击通讯信息诈骗工作,以网络与信息安全考核为抓手,推进网络与信息安全管理工作,完成天津夏季达沃斯论坛、台湾名品博览会等通信保障工作等,为地方经济社会发展做出积极贡献。
王强表示,2017年,天津通管局将以全国工业和信息化工作会议精神为指导,牢固树立和贯彻落实五大发展理念,把握天津五大战略机遇,特别是京津冀协同发展战略机遇,适应、把握、引领经济发展新常态,推进行业健康快速融合发展,创新监管思路,转变监管方式,强化互联网管理和网络信息安全保障,做好全运会通信保障服务、维稳反恐、城市综合整治工作等,推进网络强市建设。
一是加强政治理论学习和机关建设
切实把思想和行动统一到中央决策部署上来,树立“四个意识”;认真做好工信部巡视反馈意见的整改落实,营造风清气正的政治生态;进一步改进作风,担当尽责、干净干事,严格落实中央八项规定和《中国共产党廉洁自律准则》《中国共产党纪律处分条例》,坚决反对“”;转变政府职能,创新行政管理方式,努力建设法治政府和服务性政府;要继续坚持党组中心组学习制度,继续加强对重要课题、行业前沿技术与应用的研究和学习交流,作好机关新技术新业务和能力提升的培训工作。
二是继续推进宽带网络建设,推进信息通信业转型发展
继续实施提速降费行动,进一步落实光纤到户两项强制标准,推进光纤宽带建设和改造、4G网络的建设和发展,进一步刺激通信需求,促进电信业务总量增长。
推进天津市《电信设施建设和保护条例》立法工作,为行业基础设施建设提供政策支持。组织做好通信基础设施专项规划编制工作,推进通信业行业规划、通信基站专项规划等与天津市地方规划的有效对接。鼓励民营资本进入电信行业,进一步提高天津市通信服务水平。大力实施“互联网+”行动计划,继续推动“三网融合”、“两化”融合和工I互联网的发展,促进互联网和经济社会融合发展。积极推进物联网、云计算、下一代互联网业务发展,大力发展基于宽带的信息服务、电子商务和文化创意产业。
三是加强网络与信息安全管理、打击通讯信息诈骗工作,维护社会稳定
贯彻落实《中华人民共和国网络安全法》,加强网络基础设施的安全防护,落实企业网络信息安全责任,督促各企业开展安全评测和风险评估,保障关键网络和重要信息系统的安全。
做好2017年基础电信企业网络和信息安全考核工作,加强对移动互联网应用商店、增值电信业务经营者的网络安全管理,净化公共互联网络环境。做好网站域名注册管理工作,开展网络安全防护和用户信息安全检查工作。统筹推进技术手段建设,构建安全保障体系。做好防范系统建设,开展打击电信网络诈骗犯罪工作。围绕地方经济社会发展和安全稳定需要,进一步强化安全监管,继续深入推进信息安全管理技术手段建设,发挥支撑保障作用。
四是提升应急通信保障能力,全面开展第十三届全运会信息通信保障工作
完善预案体系建设和应急通信保障机制,提高突发事件中通信保障的快速反应能力等。加强应急通信保障队伍建设,定期组织培训,组织应急演练,提高应急通信指挥、调度、处理能力。完善天津应急通信保障综合管理系统建设。加强党政专用通信管理。推进战备应急通信和国防信息动员工作的开展,加强技术人员储备和专业队伍建设,不断夯实天津通信业的国防动员基础。完善信息物资储备基地建设。
2017年9月,第十三届全运会将在天津市举办,涉及47个比赛场馆、场地,运动员、教练员等近十万人,组织全行业做好全运会通信保障工作。
五是做好安全生产管理工作
根据工信部和市委市政府关于安全生产的工作要求,推进企业切实加强对安全生产工作的领导,精心组织安全隐患排查治理工作,严格落实企业主体责任。在网络运维安全管理方面,推进企业落实安全责任制度、网络运行维护制度、维护人员配置、处置预案,强化应急演练、教育培训等。在工程建设安全生产管理方面,按照国家强制性标准和安全生产操作规范,强化施工现场安全监管工作,提高广大员工安全意识,打造良好通信建设安全生产环境,圆满完成各项通信建设任务。
- 上一篇:资源共享案例范文
- 下一篇:电气照明节能技术范文
