信息安全中管理技术
信息安全系统中管理技术的应用
【摘要】网络全球化的今天,信息安全问题日益突出。本文从信息安全概念出发,引入信息安全模型及管理体系,阐述了信息安全管理技术是信息系统的基础和保证,对信息安全具有重要意义。
关键词:信息技术密码学网络安全木桶原理应急响应PDCA 模型
随着互联网应用的日益普及,人们对信息、信息技术的依赖程序越来越高。一方面,信息已成为一种崭新的资产,在政治、经济、军事、教育、科技和生活等方面发挥着重要的作用;另一方面,由此带来的信息安全问题正变得的日益突出。由于信息具有易传输、易扩散、易破坏的特点,信息资产比传统资产更脆弱,更易受到损害,信息及信息系统需要严格管理和妥善保护。
信息安全是一门复杂的交叉学科,包括密码学技术、系统安全技术、网络安全技术、通讯技术和安全管理技术等,其中信息安全管理是保障信息系统安全的有力手段,是当今世界各国都在努力推广与应用的重点课题。本文对信息安全管理概念、模型、管理体系和意义进行介绍。
一、信息安全管理概念
网络技术的发展加速了信息的传输与处理,缩短了时空,方便了交流;同时,对信息安全提出了新的挑战。据统计,全球平均每20秒就发生一次计算机病毒入侵;互联网上的防火墙大约25%被攻破;窃取商业信息的事件平均以每月260%的速度递增;约70%的网络主管报告因机密信息泄露而受到损失。国家与国家之间的信息占问题更是关系到国家的根本安全问题。
关于信息安全,国际标准化组织对信息安全的定义是“在技术和管理上为数据处理系统建立的安全保护,保护计算机硬件、软件和数据库不因偶然和恶意的原因而遭到破坏、更改和泄露”。信息安全的内涵已扩展到机密性、完整性、可用性、抗抵赖性、可靠性、可控性和真实性等更多领域。
(1) 机密性:信息不泄露给非授权的用户、实体或过程。
(2) 完整性:数据未经授权不能进行改变的特性,即信息在存储或传输过程中不被修改、破坏和丢失的特性。
(3)可用性:可被授权实体访问并按需求使用的特性,即当需要时应能存取所需信息。
(4)抗抵赖性:证实行为或事件已经发生的特性,以保证事件或行为不能抵赖。
(5)可靠性:保持持续的预期行为及结果的特性。
(6)可控性:对信息传播及内容具有控制能力,访问控制即属于可控性。
(7)真实性:信息所反映内容与客观事实是否一致的特性。
信息安全的建设过程是一个系统工程,它需要对信息系统的各个环节进行统一的综合考虑、规划和架构,并需要兼顾组织内外不断发生的变化,任何环节上的安全缺陷都会对系统构成威胁。这和管理学上木桶原理相似。木桶原理是指,一只木桶由许多木板组成,如果木板的长短不一,那么木桶的最大容量取决于最短的那块木板。由于信息安全是一个多层面、多因素、综合和动态的过程,如果组织凭着一时的需要,想当然地制定一些控制措施和引入一些技术产品,都难免存在顾此失彼的问题。使得信息安全这只“木桶”出现若干“短板”,从而无法保证信息安全。正确的做法是遵循国内外相关信息安全标准和实践过程,考虑到组织信息安全各个层面的实际需求,建立合理的安全管理体系。这保证体系还应当随着环境的变化、业务发展和信息技术的提高而不断改进,不能一成不变,因此实现信息安全是一个需要完整体系来保证的的持续过程。这就是组织需要信息安全管理的基本出发点。对现代企业
和组织来说,信息管理对其正常运行无疑起着举足轻重的作用。
简单的说信息安全管理是通过维护信息的机密性、完整性和可用性等,来管理和保护组织所有的信息资产一系列活动,所以这不仅是安全管理部门的事务,而是整个组织必须共同面对的问题。信息安全管理涉及组织安全策略及安全管理制度、人员管理、业务流程、物理安全、操作安全等多个方面。从人员上看,信息安全管理涉及全体员工,包括各级管理人员、技术人员、操作人员等;从业务看,信息安全管理贯穿所有与信息及其处理设施有关的流程。
二、信息安全管理模型
信息安全管理从信息系统的安全需求出发,结合组织的信息系统建设情况,引入恰当的技术控制措施和管理架构体系,信息安全管理的模型如下图所示:
信息安全管理模型
信息安全需求是信息安全的出发点,包括机密性需求、完整性需求、可用性需求等。信息安全管理范围是由信息系统安全需求决定的具体信息安全控制点,对这些实施适当的控制措施可确保相应环节的信息安全,从而确保组织整体的信息安全水平。信息安全控制措施是指为改善具体信息安全问题而设置的技术或管理手段,是信息安全管理的基础。
对一个特定的组织或信息系统,选择和实施控制措施的方法就是信息安全管理方法。信息安全管理方法各种各样,信息安全风险评估是其中的主流。除此之外,信息安全事件管理、信息安全测评认证、信息安全工程管理也从不同侧面对信息安全的安全性进行管理。
信息安全应急响应是应对信息安全突发事件的重要环节,包括应急响应的内涵、应急响应组织、应急响应体系、应急响应关键技术等方面。
三、信息安全管理体系
信息安全管理体系(ISMS,Information Security Management System)是基于业务风险方法,来建立、实施、运行、监视、评审、保持和改进信息安全的一套管理体系,是整个管理体系的一部分,管理体系包括组织结构、方针策略、规划活动、职责、实践、程序、过程和资源。提出了在组织整体业务活动和所面临风险的环境下,实施PDCA持续改进的模型。
PDCA含义分别如下:
1)P(Plan)表示计划,确定方针和目标,确定活动计划。
2)D(Do)表示实施,实现计划中的内容。
3)C(Check)表示检查,总结执行计划的结果,注意效果,找出问题。
4)A(Action)表示处理总结结果,对成功的经验加以肯定、推广和标准化;对失败的教训加以总结,避免重犯;未解决问题理入下一循环。
信息安全管理体系使组织由里到外得到全面的价值提升,如理顺安全管理职责、提高组织信誉、提高安全意识、保证核心业务的连续性、减少风险等。
四、信息安全管理的意义
习近平总书记指出:“没有网络安全,就没有国家安全”。以互联网为核心的网络空间已成为继陆、海、空之后的第五大战略空间,各国均高度重视网络空间的安全问题。2013年,斯诺登披露的“棱镜门”事件如同重磅炸弹,更是引发了国际社会和公众对网络安全的空前
关注。保证信息安全,是保障各领域信息化工作持续稳定发展的先决条件。我国政府相关部门、互联网服务机构、网络安全企业和广大网民对网络安全的重视程度日益提高,不断加强自身防护水平,加大网络安全威胁治理力度,积极参与网络安全国际合作,以期建立安全可信的网络环境,确保基础网络和重要信息系统安全运行,促进产业经济稳定发展。在各方共同努力下,2013年我国互联网网络安全状况总体平稳。然而,根据CNCERT/CC监测数据和通信行业报送的信息,我国互联网仍然存在较多网络攻击和安全威胁,不仅影响广大网民利益,妨碍行业健康发展,甚至对社会经济和国家安全造成威胁和挑战。
实践证明,安全技术是保证信息系统安全的基础,没有健全的安全管理机制,信息安全无法保证,国外统计结果显示,绝大多数信息安全问题都是由于管理方面的缺陷,而70%的信息安全问题来自内部员工。在信息化不断深入的今天,人们逐渐意识到信息安全必须通过技术、组织、物理等综合的安全管理方法才能得以保证,信息安全管理越来越显示出其重要性及生命力。
信息管理与信息安全管理程序
1 目的 明确公司信息化及信息资源管理要求,对外部信息及信息系统进行有效管理,以确保各部门(单位)和岗位能及时、安全地识别、获取并有效运用、保存所需信息。 2 适用围 适用于公司信息化管理及信息收集、整理、转换、传输、利用与发布管理。 3 术语和定义 3.1 信息 有意义的数据、消息。公司的信息包括管理体系所涉及的质量、环境、职业健康安全、测量、标准化、部控制、三基等和生产经营管理中所有信息。 3.2 企业信息化 建立先进的管理理念,应用先进的计算机网络技术,整合、提升企业现有的生产、经营、设计、制造、管理方式,及时为企业各级人员的决策提供准确而有效的数据信息,以便对需求做出迅速的反应,其本质是加强企业的“核心竞争力”。 3.3 信息披露 指公司以报告、报道、网络等形式,向总部、地方政府报告或向社会公众公开披露生产经营管理相关信息的过程。 3.4 ERP 企业资源规划 3.5 MES 制造执行系统 3.6 LIMS 实验室信息管理系统 3.7 IT 信息技术 4 职责 4.1 信息化工作领导小组负责对公司信息化管理工作进行指导和监督、检查,对重大问题进行决策,定期听取有关信息化管理的工作汇报,协调解决信息化过程中存在的有关问题。 4.2 ERP支持中心负责公司ERP系统运行、维护管理,每月召开ERP例会,分析总结系统运行情况,协调处理有关问题,及时向总部支持中心上报月报、年报。 4.3 信息中心是公司信息化工作的归口管理部门,主要职责: a)负责制定并组织实施本程序及配套规章制度,对各部门(单位)信息化工作进行业务指导和督促; b)负责信息化建设管理,组织进行信息技术项目前期管理,编制信息建设专业发展规划并组织实施; c)负责统一规划、组织、整合和管理公司信息资源系统,为各部门(单位)信息采集、整理、汇总和发布等环节提供技术支持;对Internet用户、电子进行设置管理;统一管理分公司互联网出口; d)负责计算机网络系统、信息门户和各类信息应用系统的安全运行和维护及计算机基础设施、计算
信息安全管理制度..
信息工作管理制度 第一章总则 第一条为了加强信息管理,规范信息安全操作行为,提高信息安全保障能力和水平,维护信息安全,促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等规定,以《环境信息网络管理维护规范》(环保部制定)等标准为基本管理操作准则,制订本管理制度。 第二条本制度适用范围为信息与监控中心,其他单位可参照执行。 第二章岗位管理 第三条业务信息工作人员(包括监控与信息中心技术人员及机关业务系统管理人员)、机房运维人员(包括外包机构人员),应遵循《环境信息网络管理维护规范》等规定。 第四条机房运维人员根据运维合同规定由机房管理部门对其实行管理。 第五条信息工作人员岗位设置为系统管理员、业务管理员、网络管理员、安全管理员、安全审计员。 人员岗位及职责 (一)系统管理员 系统管理员是从事服务器及存储设备运行管理的人
员,业务上应具备熟练掌握操作系统、熟练操作服务器和存储设备的能力。 1、负责指定的服务器、存储等设备的资料登记、软件保管及设备报修。 2、配合完成指定的业务软件运行环境的建立,正式运行后的服务器系统软硬件操作的监管,执行中心的备份策略。 3、在所负责的的服务器、存储设备发生硬件故障时,及时组织有关人员恢复系统的运行,针对系统事故找到系统事故原因。 4、负责指定的服务器操作系统的管理口令修改。 5、负责制定、执行服务器及存储设备故障应急预案。 (二)业务管理员(业务联系人) 业务管理员是部署在应用服务器上的操作系统及业务系统运行管理的人员,业务上应具备业务系统安装及基本调试操作的能力(业务软件厂家负责培训),业务系统及部署操作系统故障分析的能力,预防系统风险的能力。 1、负责维护业务系统的运行及业务系统的安装环境。 2、负责制定、执行业务系统及其数据的备份计划。 3、负责业务数据的数据备份及数据恢复。 4、负责制定执行本业务系统的故障应急预案。 (三)网络管理员
[技术管理,计算机网络,信息]计算机网络信息安全技术管理与应用
计算机网络信息安全技术管理与应用 摘要:在互联网高度发达的今天,网络信息安全问题成为全世界共同关注的焦点。包含计算机病毒、木马、黑客入侵等在内的计算机网络信息安全事故频繁发生,给信息时代的人们敲响了警钟。互联网技术的广泛应用,给人们的工作、学习和生活带来了极大的便利,提高了工作效率,降低了活动成本,使原本复杂、繁琐的工作变得简单易行。但互联网开放、自由的特点又使得其不得不面临许多问题。文章围绕基于网络信息安全技术管理的计算机应用进行探讨,分析了当前计算机网络信息安全发展现状及存在的主要问题,介绍了主要的网络信息安全防范技术,希望能够帮助人们更好地了解网络信息安全知识,规范使用计算机,提高网络信息安全水平。 关键词:网络;信息安全;黑客;计算机应用 引言 计算机和互联网的发明与应用是二十世纪人类最重要的两项科学成果。它们的出现,深深改变了人类社会生产、生活方式,对人们的思想和精神领域也产生了重大影响。随着互联网的出现,人类社会已经步入信息时代,网络上的海量信息极大地改善了人们工作条件,原本困难的任务变得简单,人们的生活更加丰富多彩。计算机和互联网在给人们带来巨大的便利的同时,也带来了潜在的威胁。每年因为网络信息安全事故所造成的经济损失就数以亿计。网络信息安全问题也日渐凸显,已经引起各国政府和社会各界的高度关注。加强计算机网络信息安全技术研究与应用,避免网络信息安全事故发生,保证互联网信息使用安全是当前IT 产业重点研究的课题。 1计算机网络信息安全现状及存在的主要问题 1.1互联网本身特性的原因 互联网具有着极为明显的开放性、共享性和自由性特点,正是这三种特性,赋予了互联网旺盛的生命力和发展动力。但同时,这三个特点也给互联网信息安全带来了隐患。许多不法份子利用互联网开放性的特点,大肆进行信息破坏,由于互联网安全管理体制机制尚不完善,用户的计算机使用行为还很不规范,缺乏安全防范意识等,这些都给不法份子进行违法活动创造了机会。 1.2黑客行为与计算机病毒的危害 黑客行为和计算机病毒、木马等是现阶段计算机安全最主要的两大威胁。所谓黑客,是指利用计算机知识、技术通过某种技术手段入侵目标计算机,进而进行信息窃取、破坏等违法行为的人。黑客本身就是计算机技术人员,其对计算机的内部结构、安全防护措施等都较为了解,进而能够通过针对性的措施突破计算机安全防护,在不经允许的情况下登录计算机。目前就世界范围而言,黑客数量众多,规模庞大,有个人行为,也有组织行为,通过互联网,能够对世界上各处联网计算机进行攻击和破坏。由于计算机用途广泛,黑客行为造成的破坏结果也多种多样。计算机病毒是一种特殊的计算机软件,它能够自我复制,进而将其扩散到目标计算机。计算机病毒的危害也是多种多样的,由于计算机病毒种类繁多,且具有极强的
信息安全管理体系与技术提纲
第一讲信息安全管理体系 ?信息资产及其价值 ?组织的信息资产有哪些? 业务数据、应用系统、专利及标准、设施和环境、关键人员、文件、图纸、管理规章等等。 ?信息安全-信息安全的基本要素、需求来源、目标 ?信息安全基本要素?(在不同历史阶段有着不同的涵义) COMSEC阶段:保密性 COMPUSEC阶段:CIA三元组-保密性、完整性、可用性 IA阶段:私密性、可追溯性、抗抵赖性、可控性、真实性等 ?信息安全的需求来源? 法律法规和合同的约束;组织的原则、目标和规定;风险评估的结果 ?信息安全的目标? 一般目标:维护信息的保密性、完整性、可用性、可追溯性、真实性和可靠性。 根本目标:维护组织关键业务活动的持续性和有效性。 ?信息安全管理 ?对于信息安全管理的认识(大题) 管理最基本的职能:计划、组织、领导、控制 信息安全管理就是风险管理。 安全技术只是信息安全控制的手段,要让安全技术发挥应有的作用,必须要有适当的管理 程序支持。信息安全管理作为组织完整的管理体系中一个重要的环节,构成了信息安全具 有能动性部分,是指导和控制组织关于信息安全风险的相互协调的活动。如果说安全技术 是信息安全的构筑材料,那安全管理就是真正的粘合剂和催化剂。只有将有效的安全管理 从始至终贯彻落实于安全建设的方方面面,信息安全的长期性和稳定性才能有所保证。 管理过程而非技术过程 高层支持 策略并不等于执行力 动态而非静态 主动而非被动 全员参与,培训开路 平衡性原则 ?信息安全管理的认识误区 重技术、轻管理 缺少安全意识 缺乏安全策略 缺乏系统的管理思想 法律法规不完善 ?信息安全管理模型 P2DR 模型(CC):P: 策略P: 防护D: 检测R: 响应
信息安全管理制度
北京XXXXXXXXXXXXX 信息安全管理制度 制定部门:技术部与行政部 制定人:XXX 制定时间:2016.4.21
1.安全管理制度要求 总则为了切实有效的保证公司信息安全,提高信息系统为公司生产经营的服务力,特制定交互式信息安全管理制度,设定管理部门及专业管理人员对公司整体信息安全行管理,以确保网络与信息安全。 1.1.1建立文件化的安全管理制度,安全管理制度文件应包括: a安全岗位管理制度 b系统操作权限管理; c安全培训制度; d用户管理制度 e新服务、新功能安全评估 f用户投诉举报处理; g信息发布审核、合法资质查验和公共信息巡查; h个人电子信息安全保护;安全事件的监测、报告和和应急处置制度;现行法律、法规、规章、标准和行政审批文件。 1.1.2安全管理制度应经过管理层批准,并向所有员工宣贯 2.机构要求 2.1法律责任 2.1.1互联网交互式服务提供者应是一个能够承担法律责任的组织或个人。 2.1.2互联网交互式服务提供者从事的信息服务有行政许可的应取得相应许可。 3.人员安全管理 3.1安全岗位管理制度 建立安全岗位管理制度,明确主办人、主要负责人、安全责任人的职责:岗位管理制度应包括保密管理。 3.2关键岗位人员 3.2.1关键岗位人员任用之前的背景核查应按照相关法律、法规、道德规范和对应的业务要求来执行,包括: 1.个人身份核查 2.个人履历的核查 3.学历、学位、专业资质证明 4.从事关键岗位所必须的能力 3.2.2应与关键岗位人员签订保密协议。 安全培训 建立安全培训制度,定期对所有工作人员进行信息安全培训,提高全员是 1上岗前的培训 2.安全制度及其修订后的培训 3.法律、法规的发展保持同步的继绩培训。 应严格规范人员离岗过程: a及时终止离岗员工的所有访间权限; b关键岗位人员须承诺调离后的保密义务后方可离开; c配合公安机关工作的人员变动应通报公安机关。 3.4人员离岗 应严格规范人员离岗过程 a及时终止离岗员工的所有访间权限; b关键岗位人员须承诺调离后的保密义务后方可离开;
信息安全管理学习资料
一、信息安全管理 1、什么是信息安全管理,为什么需要信息安全管理? 国际标准化组织对信息安全的定义是:“在技术上和管理上维数据处理系统建立的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄露”。当今的信息系统日益复杂,其中必然存在系统设计、实现、内部控制等方面的弱点。如果不采取适当的措施应对系统运行环境中的安全威胁,信息资产就可能会遭受巨大的损失甚至威胁到国家安全。 2、系统列举常用的信息安全技术? 密码技术、访问控制和鉴权;物理安全技术;网络安全技术;容灾与数据备份。 3、信息安全管理的主要内容有哪些? 信息安全管理从信息系统的安全需求出发,结合组织的信息系统建设情况,引入适当的技术控制措施和管理体系,形成了综合的信息安全管理架构。 4、什么是信息安全保障体系,它包含哪些内容? 5、信息安全法规对信息安全管理工作意义如何? 它能为信息安全提供制度保障。信息安全法律法规的保障作用至少包含以下三方面: 1.为人们从事在信息安全方面从事各种活动提供规范性指导; 2.能够预防信息安全事件的发生; 3.保障信息安全活动参与各方的合法权益,为人们追求合法权益提供了依据和手段。 二、信息安全风险评估 1、什么是信息安全风险评估?它由哪些基本步骤组成? 信息安全风险评估是指依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。风险评估可分为四个阶段,第一阶段为风险评估准备;第二阶段为风险识别,第三阶段为风险评价,第四阶段为风险处理。 2、信息资产可以分为哪几类?请分别举出一两个例子说明。 可以分为数据、软件、硬件、文档、人员、服务。例如:软件有系统软件、应用软件、源程序、数据库等。服务有办公服务、网络服务、信息服务等。 3、威胁源有哪些?其常见表现形式分别是什么?
信息技术 安全技术 信息安全管理实用规则
信息技术 安全技术 信息安全管理实用规则 Information technology-Security techniques -Code of practice for information security management (ISO/IEC 17799:2005)
目 次 引 言 ................................................................... III 0.1 什么是信息安全? ..................................................... III 0.2 为什么需要信息安全? ................................................. III 0.3 如何建立安全要求 ..................................................... III 0.4 评估安全风险 .......................................................... IV 0.5 选择控制措施 .......................................................... IV 0.6 信息安全起点 .......................................................... IV 0.7 关键的成功因素 ......................................................... V 0.8 开发你自己的指南 ....................................................... V 1 范围 (1) 2 术语和定义 (1) 3 本标准的结构 (2) 3.1 章节 (2) 3.2 主要安全类别 (3) 4 风险评估和处理 (3) 4.1 评估安全风险 (3) 4.2 处理安全风险 (4) 5 安全方针 (4) 5.1 信息安全方针 (4) 6 信息安全组织 (6) 6.1 内部组织 (6) 6.2 外部各方 (10) 7 资产管理 (15) 7.1 对资产负责 (15) 7.2 信息分类 (16) 8 人力资源安全 (18) 8.1 任用之前 (18) 8.2 任用中 (20) 8.3 任用的终止或变化 (21) 9 物理和环境安全 (23) 9.1 安全区域 (23) 9.2 设备安全 (26) 10 通信和操作管理 (29) 10.1 操作程序和职责 (29) 10.2 第三方服务交付管理 (32) 10.3 系统规划和验收 (33) 10.4 防范恶意和移动代码 (34) 10.5 备份 (36) 10.6 网络安全管理 (37) 10.7 介质处置 (38) 10.8 信息的交换 (40)
信息管理与信息安全管理程序.docx
. . 1目的 明确公司信息化及信息资源管理要求,对内外部信息及信息系统进行有效管理,以确保各部门( 单位 ) 和岗位能及时、安全地识别、获取并有效运用、保存所需信息。 2适用范围 适用于公司信息化管理及信息收集、整理、转换、传输、利用与发布管理。 3术语和定义 3.1信息 有意义的数据、消息。公司的信息包括管理体系所涉及的质量、环境、职业健康安全、测量、标准 化、内部控制、三基等和生产经营管理中所有信息。 3.2企业信息化 建立先进的管理理念,应用先进的计算机网络技术,整合、提升企业现有的生产、经营、设计、制 造、管理方式,及时为企业各级人员的决策提供准确而有效的数据信息,以便对需求做出迅速的反应, 其本质是加强企业的“核心竞争力” 。 3.3信息披露 指公司以报告、报道、网络等形式,向总部、地方政府报告或向社会公众公开披露生产经营管理相 关信息的过程。 3.4 ERP 企业资源规划 3.5 MES 制造执行系统 3.6LIMS 实验室信息管理系统 3.7IT 信息技术 4职责 4.1信息化工作领导小组负责对公司信息化管理工作进行指导和监督、检查,对重大问题进行决策, 定期听取有关信息化管理的工作汇报,协调解决信息化过程中存在的有关问题。 4.2 ERP支持中心负责公司ERP系统运行、维护管理,每月召开ERP例会,分析总结系统运行情况, 协调处理有关问题,及时向总部支持中心上报月报、年报。 4.3信息中心是公司信息化工作的归口管理部门,主要职责: a) 负责制定并组织实施本程序及配套规章制度,对各部门( 单位 ) 信息化工作进行业务指导和督促; b)负责信息化建设管理,组织进行信息技术项目前期管理,编制信息建设专业发展规划并组织实施; c) 负责统一规划、组织、整合和管理公司信息资源系统,为各部门( 单位 ) 信息采集、整理、汇总和 发布等环节提供技术支持;对Internet用户、电子邮箱进行设置管理;统一管理分公司互联网出口; d) 负责计算机网络系统、信息门户和各类信息应用系统的安全运行和维护及计算机基础设施、计算
科技公司信息安全管理制度
信息安全管理制度 第一章总则 第一条为了建立、健全的信息安全管理制度,按照相关的国家标准,确定信息安全方针和目标,对信息安全风险进行有效管理,确保全体员工理解并遵照信息安全管理制度的相关规定执行,改进信息安全管理制度的有效性,特制定信息安全策略文档。 第二条本文档适用于公司信息安全管理活动。 第二章信息安全范围 第三条信息安全策略涉及的范围包括: 1.单位全体员工。 2.单位所有业务系统。 3.单位现有信息资产,包括与上述业务系统相关的数据、硬件、软件、服务及文档等。 4.单位办公场所和上述信息资产所处的物理位置。 第三章信息安全总体目标 第一条通过建立健全单位各项信息安全管理制度、加强单位员工的信息安全培训和教育工作,制定适合单位的风险控制措施,有效控制信息系统面临的安全风险,保障信息系统的正常稳定运行。 第四章信息安全方针 第一条单位主管领导定期组织相关人员召开信息安全会议,对有关的信息安全重大问题做出决策。 第二条清晰识别所有资产,实施等级标记,对资产进行分级、分类
管理,并编制和维护所有重要资产的清单。 第三条综合使用访问控制、监测、审计和身份鉴别等方法来保证数据、网络、信息资源的安全,并加强对外单位人员访问信息系统的控制.降低系统被非法入侵的风险。 第四条启动服务器操作系统、网络设备、安全设备、应用软件的日志功能,定期进行审计并作相应的记录。 第五条明确全体员工的信息安全责任,所有员工必须接受信息安全教育培训,提高信息安全意识。针对不同岗位,制定不同等级培训计划,并定期对各个岗位人员进行安全技能及安全认知考核。 第六条建立安全事件报告、事故应答和分类机制,确定报告可疑的和发生的信息安全事故的流程,并使所有的员工和相关方都能理解和执行事故处理流程,同时妥善保存安全事件的相关记录与证据。 第七条对用户权限和口令进行严格管理,防止对信息系统的非法访问。 第八条制定完善的数据备份策略,对重要数据进行备份。数据备份定期进行还原测试,备份介质与原信息所在场所应保持安全距离。第九条与外单位的外包(服务)合同应明确规定合同参与方的安全要求、安全责任和安全规定等相关安全内容,并采取相应措施严格保证对协议安全内容的执行。 第十条在开发新业务系统时,应充分考虑相关的安全需求,并严格控制对项目相关文件和源代码等敏感数据的访问。 第十一条定期对信息系统进行风险评估,并根据风险评估的结果采取
信息管理与信息系统专业(信息安全方向)
信息管理与信息系统专业(信息安全方向) 本科培养方案 专业英文名: 专业代码:120102 学科门类:管理学(管理科学/工程类) 一、专业培养目标 本专业(方向)培养政治上特别可靠的,在通信和信息系统、计算机应用技术、管理等方面具有较宽知识面,了解国际、国内信息安全产业的最新成果,掌握信息安全专业的基本理论与方法,熟练运用计算机技术和外语,能够实施信息安全产品研究、开发、技术支持、安全服务或能够进一步展开研究的具有高新技术背景的复合型管理技术人才、教学科研人才、能够胜任国家机关、企事业单位管理和应用的专门人才。 二、专业培养方式 通过专业基础课程与专业核心课程的学习,以及相应的实践学习课程锻炼,使本专业(方向)学生掌握信息管理与信息系统专业的基本理论和基本知识,并掌握信息安全、网络安全的基本理论、基本知识;熟悉与信息安全产业有关的方针、政策及法规;掌握信息安全管理的基本理论和方法;了解信息安全学科理论前沿与发展动态。 本专业重视课堂教学与实践相结合,重视培养学生分析问题和解决问题的能力。有完善的网络攻防、多媒体、计算机网络、物理等实验室教学环境。 三、主要专业课程 专业必修课:高等数学、计算机基础、大学物理、大学物理实验、线性代数、C语言程序设计、概率论和数理统计、离散数学、数据结构与算法、管理学原理、运筹学、数据库系统与数据仓库、计算机网络、信息系统、信息技术专业英语、信息安全概论、网络安全技术、信息隐藏技术、操作系统及安全等。
专业选修课:应用密码学、网络安全编程、网络攻击与防御、计算机组成原理、面对对象编程、编译原理、高级计算机程序设计、信息资源的检索与利用、电子政务、语言程序设计、软件设计和管理、电子商务、软件工程、信息经济学、社会学、动态网站设计与开发、信息组织和管理、数据库系统设计与开发、网络工程、决策分析、计算机取证、多媒体与图像处理、情报学基础、情报获取与智能分析、数据挖掘导论、搜索引擎等。 五、主要实践活动安排 实践学时:本系大部分专业课程在教学计划中安排有实践学时,如大学物理实验、计算机基础、C语言程序设计、信息系统、网络安全技术、信息隐藏技术、面向对象编程、高级计算机程序设计、动态网站设计与开发、语言程序设计、数据库系统设计与开发、多媒体与图像处理、网络工程、信息资源的检索与利用、决策分析、网络攻击与防御、网络安全编程、情报获取和智能分析、计算机取证等。 实践性课程:为突出实践与创新能力培养,强化实践教育,通过聘请校外实践领域专家参与授课,重点建设三门实践性课程:网络安全技术、信息隐藏技术、计算机取证。 学科竞赛:全国大学生信息安全竞赛、国际大学生程序设计大赛()、全国大学生数学建模与计算机应用竞赛、美国(国际)大学生数学建模竞赛、全国大学生数学竞赛、中国大学生计算机设计大赛、北京市计算机应用竞赛、北京市大学生物理实验竞赛、国际关系学院计算机设计大赛。 六、文化素质与创新能力的培养
信息安全技术措施
龙源期刊网 https://www.360docs.net/doc/451876531.html, 信息安全技术措施 作者:吕超然 来源:《电子技术与软件工程》2018年第02期 摘要随着社会的不断发展,计算机技术的出现与发展,不仅给人们日常生活与工作带来了巨大便利,也极大促进了各行各业的发展。现如今,计算机已然成为当今社会人们生活与工作中不可或缺的重要工具。且正是随着人们对计算机的依赖不断加重,才让计算机获得了更为广阔的发展空间。当前,计算机于各行各业中的运用,虽极大促进了这些行业的发展,但也同时衍生出了一系列严重的信息安全问题,这些问题若不加以解决,则势必会导致社会发展陷入混乱无序的状态。因此,要想维护当今社会的发展和谐与稳定,首要之务便是计算机信息安全机制的建立。 【关键词】计算机信息技术安全 随着社会的的不断发展,各行各样对信息交流与资源共享的需求也随之得以不断增长。对此,计算机网络技术的引进随时给社会经济、政治、军事以及文化等各大领域带来了极大地变革,但也同时滋生出了一系列安全方面的问题,时至今日,人们在上网获取信息资源的同时亦时刻受到来自网络上的威胁,这让人们对人们对计算机信息安全问题的关注力度也越来越大。 1 计算机信息安全的相关概念 所谓计算机网络安全,即指维护计算机网络内部的环境安全。其主要的维护对象则包括计算机网络系统中的硬盘、软件等数据资源。至于保护方式则是确保计算机中的数据信息不遭到人为破坏或修改,从而保障计算机始终处于正常运作状态。当前,许多无法分子,也便是我们常说的“黑客”,其便是利用计算机中的各项漏洞,企图从别人的计算机中获取有用数据或信息,以此达到自身不可告人的某种目的。对此,相应的计算机信息安全即指在保证计算机各项功能正常晕妆的同时,保护计算机中的网络信息安全,具体则是指应对计算机信心安全漏洞对信息的威胁。鉴于计算机安全所设计的内部信息内容较多,如包括组成计算网络系统的软硬件、服务器启动时所需的启动账号及密码、系统管理员账户的使用权限等。根据计算机数据的不同功能,相关的计算机信息安全亦可分别归纳为信息的存储安全与传输安全。 2 计算机信息安全防护中存在的问题 目前,国际上已然发生了多起因计算机信息安全漏洞而引发的盗取国家机密事件,这让人们也逐渐开始关心起自身的计算机网络信息安全。然而,鉴于当前我国在计算机安全信息防护方面尚存在诸多问题,加之相关的安全体系建设亦极度不完善,故而要想确保计算机信息安全,便必须配置一些安全信息设备。但由于目前,相关的安全技术也处于较低水平,因而仍旧无法确保安全信息质量,故而要想切实改善这样的信息安全防护现状,首要之务便是建立科学、完善的安全制度,以满足信息安全的防护标准要求。近年来,我国虽也始终致力于对计算
信息安全管理程序
信息安全管理程序 1.目的 为了防止信息和技术的泄密,避免严重灾难的发生,特制定此安全规定。。2.适用范围 包括但不限于电子邮件、音频邮件、电子文件、个人计算机、计算机网络、互联网和其它电子服务等相关设备、设施或资源。 2.1权责 2.1.1人力资源部:负责信息相关政策的规划、制订、推行和监督。 2.2.2 IT部:负责计算机、计算机网络相关设备设施的维护保养以及信息数据的备份相关事务处理。 2.2.3全体员工:按照管理要求进行执行。 3.内容 3.1公司保密资料: 3.1.1公司年度工作总结,财务预算决算报告,缴纳税款、薪资核算、营销报表和各种综合统计报表。 3.1.2公司有关供货商资料,货源情报和供货商调研资料。 3.1.3公司生产、设计数据,技术数据和生产情况。 3.1.4公司所有各部门的公用盘共享数据,按不同权责划分。 3.2公司的信息安全制度 3.2.1 凡涉及公司内部秘密的文件数据的报废处理,必须碎纸后丢弃处理。 3.2.2 公司员工工作所持有的各种文件、数据、电子文件,当本人离开办公室外出时,须存放入文件柜或抽屉,不准随意乱放,更未经批准,不能复制抄录或携带外出。 3.2.3 未经公司领导批准,不得向外界提供公司的任何保密数据和任何客户数据。 3.2.4经理室要运用各种形式经常对所属员工进行信息安全教育,增强保密意识:3.2. 4.1在新员工入职培训中进行信息安全意识的培训,并经人事检测合格后,方可建立其网络账号及使用资格。 3.2. 4.2每年对所有计算机用户至少进行一次计算机安全检查,包括扫病,去除与工作无关的软件等。 3.2.5不要将机密档及可能是受保护档随意存放,文件存放在分类目录下指定位
计算机网格信息安全与管理试题答案10
一、判断题(每题1分) 1.互联网技术的迅猛发展与广泛应用,推动了全球政治、经济与文化等方面的信息交流和资源共享。同时,也给网络不良信息滋生和蔓延提供了土壤与空间。 正确 2.随着信息技术的飞速发展,现代数据库已不存在漏洞,因此,它成为我们存储信息的重要载体。 错误 3.安全管理是我们建好电子政务和电子商务系统中不可分割的部分,通过建立安全保障体系完善和形成我们的安全组织管理。 正确 4.即使在经过国家保密主管部门批准的网络中,也不允许把非涉密信息单项导入到涉密系统中。 错误 5.安全评估是非常重要的工作,要定期或者不定期地对系统的安全状况进行审查。 正确 6.我国现阶段已经有很多的信息安全技术手段,所以我国网络是绝对的安全。 错误 7.一种避免由于任何风险、威胁带来伤害的能力,这是对安全的定义。 正确 8.2014年共接到各类网络欺诈案比2013年增长43.3%。 正确 9.以云计算、物联网等为代表的新一轮信息技术革命,正在成为全球后金融时代社会和经济发展共同关注的重点。 正确 10.由于缺乏强有力的统筹协调手段,国家网络与信息安全协调小组作用和职能发挥不足。 正确 11.虚假信息和负面新闻充斥网上,网络新媒体的社会影响已经远远超过传统媒体。 正确 12.网络审查严重影响我国网民的工作学习。 错误 13.中国现在有6亿多网民,是世界网民最多的国家。 正确 14.中国作为一个崛起的大国,引起了国际社会的关注,在这种情况下,我们既要面对信息化大势的不可逆转,又要面对中国和平崛起可能受到的阻碍。 正确 15.“网络监管”反映出政府监督功能在中国传统语境中的强化,是自上而下的、单一主体的管理模式。正确 16.随着网络发展,我国已经成为黑客攻击窃密的主要受害国,尤其是中央政府网站已经成为重灾区。错误 17.网络与信息安全的问题的解决需要技术管理双管齐下、综合处置,要克服技术万能或者一管就灵的偏颇思想。 正确 18.互联网有力推动了创新型经济的转型升级,新兴信息经济初具规模,我国正在成为世界第一的网购市场。 错误 19.统计表明:10%的网民创造了80%的内容,吸引着90%的网民的注意力。
中国科学院计算技术研究所网络与信息安全管理制度
中科院计算所网络与信息安全管理制度一.目的 目的:为保证中国科学院计算技术研究所网络与信息的安全,规范所内网络资源的使用和所内网络用户的上网行为。 二.适用范围 中国科学院计算技术研究所所有网络用户。 三.引用文件 《中华人民共和国计算机信息网络国际联网管理暂行规定》; 四.职责 一、中科院计算所网络与信息安全领导小组负责处理中科院计算所网络语信息安全重大问题,协调处理重大突发性的紧急事件。 1.处理计算所网络与信息安全事件; 2.网络安全事件的监控,发现问题及时的报科技网应急小组 3.对所用户提供网络与信息安全咨询和技术支持; 4.定期对网络进行安全漏洞扫描,并通知终端用户; 5.开展安全教育培训; 二、中科院计算所网络与信息安全办公室设在网络管理办公室, 1. 网络管理办公室负责日常联络和事务处理工作。
2. 要保证有专职人员负责计算机与网络管理和维护 3. 要对网络进行安全性能的优化,配备必要的软、硬件设施有效抵挡外来 入侵 三、各部门管理网络联系人职责 1.负责监控和分析本单位的网络与信息安全状况,及时发现、处理、 汇总安全事件信息,在规定的时间内上报; 2.明确我所应急组织体系、职责和应急处理流程; 3.加强安全防范工作,完善重要业务的数据备份机制, 4.加强信息内容安全的管理,发现有害信息及时清除并上报; 5. 要时刻谨记,对自己的网络行为负责。同时加强安全防护意识, 防止非法盗用的发生。 6.按要求对接入互联网的网站进行备案。 7.要配合并协助落实此制度的实行。 五.具体管理办法 1.所有网络用户必须遵守《中华人民共和国计算机信息网络国际联网管理暂行规定》等国家有关法律、法规及《计算所通信、计算机信息系统及办公自动化设备管理规定》(见附件1)等所内的相关规章制度,在发生网络与信息安全突发事件时要立即启动《中科院计算所网络与信息安全应急预案》(见附件2),并努力将损失减到最小。 2.所内的计算机网络及计算机软、硬件资源仅用于与科研、教育及相关的业务,通过网络系统进行的数据传输、邮件通讯或新闻发布,其内容也必须是上述性质的范围,不得违反国家对计算机和国际互联网有关的安全条例和规定,严格执行安全保密制度,对所提供的信息负责。 3.所内计算机的帐号只授予个人使用,被授权者对自己享用(或因特殊需要由
信息安全中管理技术
信息安全系统中管理技术的应用 【摘要】网络全球化的今天,信息安全问题日益突出。本文从信息安全概念出发,引入信息安全模型及管理体系,阐述了信息安全管理技术是信息系统的基础和保证,对信息安全具有重要意义。 关键词:信息技术密码学网络安全木桶原理应急响应PDCA 模型 随着互联网应用的日益普及,人们对信息、信息技术的依赖程序越来越高。一方面,信息已成为一种崭新的资产,在政治、经济、军事、教育、科技和生活等方面发挥着重要的作用;另一方面,由此带来的信息安全问题正变得的日益突出。由于信息具有易传输、易扩散、易破坏的特点,信息资产比传统资产更脆弱,更易受到损害,信息及信息系统需要严格管理和妥善保护。 信息安全是一门复杂的交叉学科,包括密码学技术、系统安全技术、网络安全技术、通讯技术和安全管理技术等,其中信息安全管理是保障信息系统安全的有力手段,是当今世界各国都在努力推广与应用的重点课题。本文对信息安全管理概念、模型、管理体系和意义进行介绍。 一、信息安全管理概念 网络技术的发展加速了信息的传输与处理,缩短了时空,方便了交流;同时,对信息安全提出了新的挑战。据统计,全球平均每20秒就发生一次计算机病毒入侵;互联网上的防火墙大约25%被攻破;窃取商业信息的事件平均以每月260%的速度递增;约70%的网络主管报告因机密信息泄露而受到损失。国家与国家之间的信息占问题更是关系到国家的根本安全问题。 关于信息安全,国际标准化组织对信息安全的定义是“在技术和管理上为数据处理系统建立的安全保护,保护计算机硬件、软件和数据库不因偶然和恶意的原因而遭到破坏、更改和泄露”。信息安全的内涵已扩展到机密性、完整性、可用性、抗抵赖性、可靠性、可控性和真实性等更多领域。 (1) 机密性:信息不泄露给非授权的用户、实体或过程。 (2) 完整性:数据未经授权不能进行改变的特性,即信息在存储或传输过程中不被修改、破坏和丢失的特性。 (3)可用性:可被授权实体访问并按需求使用的特性,即当需要时应能存取所需信息。 (4)抗抵赖性:证实行为或事件已经发生的特性,以保证事件或行为不能抵赖。 (5)可靠性:保持持续的预期行为及结果的特性。 (6)可控性:对信息传播及内容具有控制能力,访问控制即属于可控性。 (7)真实性:信息所反映内容与客观事实是否一致的特性。 信息安全的建设过程是一个系统工程,它需要对信息系统的各个环节进行统一的综合考虑、规划和架构,并需要兼顾组织内外不断发生的变化,任何环节上的安全缺陷都会对系统构成威胁。这和管理学上木桶原理相似。木桶原理是指,一只木桶由许多木板组成,如果木板的长短不一,那么木桶的最大容量取决于最短的那块木板。由于信息安全是一个多层面、多因素、综合和动态的过程,如果组织凭着一时的需要,想当然地制定一些控制措施和引入一些技术产品,都难免存在顾此失彼的问题。使得信息安全这只“木桶”出现若干“短板”,从而无法保证信息安全。正确的做法是遵循国内外相关信息安全标准和实践过程,考虑到组织信息安全各个层面的实际需求,建立合理的安全管理体系。这保证体系还应当随着环境的变化、业务发展和信息技术的提高而不断改进,不能一成不变,因此实现信息安全是一个需要完整体系来保证的的持续过程。这就是组织需要信息安全管理的基本出发点。对现代企业
信息安全与管理专业简介
信息安全与管理专业简介 专业代码610211 专业名称信息安全与管理 基本修业年限三年 培养目标 本专业培养德、智、体、美全面发展,具有良好职业道德和人文素养,掌握计算机网络技术、信息安全技术与信息安全管理等知识,具备网络组建与管理、网络安全运维与管控、数据备份与恢复、信息安全设备调试、信息安全管理等能力,从事信息安全部署与实施、信息安全管理与服务等工作的高素质技术技能人才。 就业面向 主要面向信息安全技术企业、信息安全管理与服务机构、企事业单位,在信息安全管理、运维、集成、服务和技术支持等岗位群,从事信息安全系统集成和信息系统安全运维与管控等工作。 主要职业能力 1.具备对新知识、新技能的学习能力和创新创业能力; 2.具备安装、配置和维护信息安全产品的能力; 3.掌握数据备份与恢复的技能,具备数据容灾方案的制订能力; 4.具备部署和实施信息安全方案的能力; 5.具备信息安全风险测评能力; 6.具备操作系统安全防范能力; 7.具备 Web 安全防范能力; 8.具备网络安全防护能力; 9.具备信息安全管理与维护能力。
核心课程与实习实训 1.核心课程 信息安全技术基础、操作系统安全、网络安全设备配置、Web 应用与安全防护、数据备份与恢复、数据存储与容灾、网络安全系统集成、信息安全工程与管理等。 2.实习实训 在校内进行网络组建、网络安全产品配置与应用、操作系统安全、Web 安全、网络安全防护、数据备份与恢复、信息安全方案部署等实训。 在信息安全系统集成、信息安全技术、信息安全管理与服务等企事业单位进行实习。 职业资格证书举例 网络通信安全管理员注册信息安全管理员网络安全工程师 衔接中职专业举例 计算机应用计算机网络技术 接续本科专业举例 计算机科学与技术网络工程信息安全
信息安全技术互联网交互式服务安全保护管理制度
锐理信息安全管理制度 目录 1.安全管理制度要求 1.1总则:为了切实有效的保证公司信息安全,提高信息系统为公司生产经营的服务能力,特制定交互式信息安全管理制度,设定管理部门及专业管理人员对公司整体信息安全进行管理,以确保网络与信息安全. 1。1.1建立文件化的安全管理制度,安全管理制度文件应包括: a)安全岗位管理制度; b)系统操作权限管理; c)安全培训制度; d)用户管理制度; e)新服务、新功能安全评估; f)用户投诉举报处理; g)信息发布审核、合法资质查验和公共信息巡查; h)个人电子信息安全保护; i)安全事件的监测、报告和应急处置制度; j)现行法律、法规、规章、标准和行政审批文件。 1。1.2安全管理制度应经过管理层批准,并向所有员工宣贯 2.机构要求 2.1 法律责任 2.1。1互联网交互式服务提供者应是一个能够承担法律责任的组织或个人. 2。1。2互联网交互式服务提供者从事的信息服务有行政许可的应取得相应许可。 3。人员安全管理 3.1安全岗位管理制度 建立安全岗位管理制度,明确主办人、主要负责人、安全责任人的职责:岗位管理制度应包括保密管理。 3.2 关键岗位人员 3.2.1关键岗位人员任用之前的背景核查应按照相关法律、法规、道德规范和对应的业务要求来执行,包括:
1.个人身份核查: 2.个人履历的核查: 3.学历、学位、专业资质证明: 4.从事关键岗位所必须的能力 3.2。2 应与关键岗位人员签订保密协议。 3。3安全培训 建立安全培训制度,定期对所有工作人员进行信息安全培训,提高全员的信息安全意识,包括: 1。上岗前的培训; 2.安全制度及其修订后的培训; 3.法律、法规的发展保持同步的继续培训。 应严格规范人员离岗过程:a)及时终止离岗员工的所有访问权限;b)关键岗位人员须承诺调离后的保密义务后方可离开;c)配合公安机关工作的人员变动应通报公安机关。 3.4 人员离岗 应严格规范人员离岗过程:a)及时终止离岗员工的所有访问权限;b)关键岗位人员须承诺调离后的保密义务后方可离开;c)配合公安机关工作的人员变动应通报公安机关. 4.访问控制管理 4.1访问管理制度 建立包括物理的和逻辑的系统访问权限管理制度。 4。2?权限分配 按以下原则根据人员职责分配不同的访问权限: a)?角色分离 ,如访问请求、访问授权、访问管理; b)满足工作需要的最小权限; c)未经明确允许 ,则一律禁止 . 4。3 特殊权限 限制和控制特殊访问权限的分配和使用:a)标识出每个系统或程序的特殊权限;b)按照“按需使用"、“一事一议"的原则分配特殊权限;c)记录特殊权限的授权与使用过程;d)特殊访问权限的分配需要管理层的批准。注:特殊权限是系统超级用户、数据库管理等系统管理权限。 4.4 权限的检查 定期对访问权限进行检查,对特殊访问权限的授权情况应在更频繁的时间间隔内进行检查,如发现不恰当的权限设置,应及时予以调整.
信息安全管理办法_百度
XX金融公司信息安全管理办法 第一章总则 第一条根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本管理办法。 第二条信息安全是指通过各种计算机、网络(内部信息平台)和密码技术,保护信息在传输、交换和存储过程中的机密性、完整性和真实性。具体包括以下几个方面。 (一)信息处理和传输系统的安全。系统管理员应对处理信息的系统进行详细的安全检查和定期维护,避免因为系统崩溃和损坏而对系统内存储、处理和传输的信息造成破坏和损失。 (二)信息内容的安全。侧重于保护信息的机密性、完整性和真实性。系统管理员应对所负责系统的安全性进行评测,采取技术措施对所发现的漏洞进行补救,防止窃取、冒充信息等。 (三)信息传播安全。要加强对信息的审查,防止和控制非法、有害的信息通过本公司的信息网络(内部信息平台)系统传播,避免对国家利益、公司利益以及个人利益造成损害。 第二章职责权限 第三条信息安全管理实施工作责任制和责任追究制,由XX金融公司(以下简称“公司”)成立信息安全领导小组,由CIO担任领导小组组长,负责本公司信息安全工作的策略,重点,制度和措施,对本单位的信息安全工作负领导责任;由信息技术部负责人担任信息安全实施小组组长,成员包括部门信息安全管理员,负责信息安全保护工作的具体实施,对本单位的信息安全负直接管理责任。 第四条信息安全实施小组对本公司的服务器,网络,信息系统具有审核和管理权,负责本公司信息系统的规划,建设,应用开发,运行维护与用户管理。 页脚内容1
第三章主要风险 第五条公司存在如下风险: (一)来自公司外的风险 1.病毒和木马风险。互联网上不同类型的病毒和木马,在感染公司用户电脑后,会篡改电脑系统文件,使系统文件损坏,导致用户电脑最终彻底崩溃,严重影响员工的工作效率;有些木马在用户访问网络的时候,不小心被植入电脑中,轻则丢失工作文件,重则泄露机密信息。 2.不法分子等黑客风险。计算机网络的飞速发展也导致一些不法分子利用网络行窃、行骗等,如果是信息技术部、结算部和财务部电脑若被黑客植入后门,留下监视类木马查件,将有可能造成重要数据被拷贝泄露、财务网银密码被窃取。还可能使服务器资源耗尽,最终彻底崩溃,同时整个网络彻底瘫痪。 (二)来自公司内的风险 1.文件的传输风险。员工将公司重要文件以QQ、MSN发送出去,造成公司信息资源的外泄,危害公司生存发展。 2.文件的打印风险。员工将公司技术资料或商业信息打印到纸张带出公司,公司信息资料外泄。 3.文件的传真风险。员工将纸质重要资料或技术图纸传真出去,以及将其他单位传真给公司的技术文件和重要资料带走,造成公司信息外泄。 4.存储设备的风险。员工通过光盘或移动硬盘等存储介质将文件资料拷贝出公司,或员工私自拆开电脑机箱,将硬盘偷偷带出公司,造成公司信息泄露。 5.上网行为风险。员工在电脑上访问不良网站,造成电脑及公司网络的破坏,导致电脑系统崩溃。 6.用户密码风险。主要包括用户密码和管理员密码。用户的开机密码、业务系统登陆密码被他人掌握,此用户权限内的信息资料和业务数据被窃取;管理员密码被不法分子窃取,破坏应用系统的正常运行。 7.机房设备风险。主要包括服务器、UPS电源、网络交换机、电话交换机、光端机等。这些风险来 页脚内容2