涉密计算机及信息系统安全策略

涉密计算机及信息系统安全策略文件

1 概述

涉密计算机及信息系统安全策略文件属于顶层的管理文档，是公司网络与信息安全保障工作的出发点和核心，是公司计算机与信息系统安全管理和技术措施实施的指导性文件。涉密计算机及信息系统安全策略文件是公司计算机和信息系统全体管理和使用人员必须遵循的信息安全行为准则，由公司信息安全管理部门制订及解释，由公司保密委员会审批发布，并由信息安全管理部门组织公司全体人员学习与贯彻。

公司涉密计算机及信息系统涉及到存储、传输、处理国家秘密、公司商业秘密和业务关键信息，关系到公司的形象和公司业务的持续运行，必须保证其安全。因此，必须从技术、管理、运行等方面制定确保涉密计算机和信息系统持续可靠运行的安全策略，做好安全保障。

本策略文件主要内容包括：物理安全策略、信息安全策略、运行管理策略、备份与恢复策略、应急计划和响应策略、计算机病毒与恶意代码防护策略、身份鉴别策略、访问控制策略、信息完整性保护策略、安全审计策略等十个方面。

2 适用范围

2.1本策略所称的涉密计算机和信息系统指公司所有通过计算机及信息系统存贮、处理或传输的信息及存贮、处理或传输这些信息的硬件、软件及固件。

2.2本策略适用于与公司涉密计算机及信息系统相关的所有部门及人员。

3 目标

制定涉密计算机及信息系统安全策略的目标就是确保公司掌握的国家秘密、公司商业秘密和业务关键信息的安全性，并通过一系列预防措施将信息安全可能受到的危害降到最低。信息安全管理应在确保信息和计算机受到保护的同时，确保计算机和信息系统能够在允许的范围内正常运行使用。

同时，本策略的目的也是让所有员工能够了解信息安全问题以及明确各自的信息安全职责，严格遵守本安全策略，并遵守国家相关的计算机或信息安全法律要求。

4 组织

4.1保密委员会是计算机及信息系统安全管理的领导机关，负责领导信息安全管理体系的建立和信息安全管理的实施，主要包括：

◆提供清晰的指导方向，可见的管理支持，明确的信息安全职责授权；

◆审查、批准信息安全策略和岗位职责；

◆审查业务关键安全事件；

◆批准增强信息安全保障能力的关键措施和机制；

◆保证必要的资源分配，以实现数据有效性以及信息安全管理体系的持续

发展。

4.2信息安全管理部门具体负责建立和维持信息安全管理体系，协调相关活动，主要承担如下职责：

◆调整并制定所有必要的信息安全管理规程、制度以及实施指南等；

◆提议并配合执行信息安全相关的实施方法和程序，如风险评估、信息管

理分层等；

◆主动采取部门内的信息安全措施，如安全意识培训及教育等；

◆配合执行新系统或服务的特殊信息安全措施；

◆审查对信息安全策略的遵循性；

◆配合并参与安全评估事项；

◆根据信息安全管理体系的要求，定期向上级主管领导和保密委员会报

告。

5 分层管理与控制

5.1公司计算机及信息系统管理分为涉密计算机管理、内部网络（局域网）及计算机信息管理、互联网计算机信息管理三个管理层次。

5.2 涉密计算机只能处理涉及国家秘密的信息，实行物理隔离管理，只能由公司涉密人员使用，由公司保密员管理。涉密计算机信息数据必须被保护以防止被泄漏、破坏或修改。

5.3 内部网络（局域网）及计算机配置加密管理措施，与互联网隔离，配置保密管理措施，只能通过局域网传输、储存技术文档、软件等涉及公司商业机密信息。上述信息必须定期备份进行保护，以免破坏和非授权修改。

5.4 互联网计算机主要处理来自于外部资源的普通信息，配置上网行为管理

措施，同样在信息安全防护上进行安全考虑。

5.5上述计算机及信息系统根据分层次管理的要求应当依据其分类进行物理标记。

物理安全策略

6.4信息处理设备可接受的使用策略

公司禁止工作人员滥用计算机及信息系统的计算机资源，仅为工作人员提供工作所需的信息处理设备。公司所有人员对系统网络和计算资源的使用（包括访问互联网）都必须遵守计算机及信息系统的安全策略和标准及所有适用的法律。

公司的计算机及信息系统应能防止使用人员连接到访问含有色情、种族歧视及其他不良内容的网站及某些非业务网站。

包括但不限于以下例子是不可接受的使用行为：

◆使用信息系统资源故意从事影响他人工作和生活的行为。

◆工作人员通过信息系统的网络服务及设备传输、存储任何非法的、有威

胁的、滥用的材料。

◆任何工作人员使用信息系统的计算机工具、设备和互联网访问服务来从

事用于个人获益的商业活动（如炒股）。

◆工作人员使用信息系统服务来参与任何政治或宗教活动。

◆在没有信息安全管理部门的事先允许或审批的情况下，工作人员在使用

的计算机中更改或安装任何类型的计算机软件和硬件。

◆在没有信息安全管理部门的事先允许或审批的情况下，工作人员拷贝、

安装、处理或使用任何未经许可的软件。

6.5处理从互联网下载的软件和文件

必须使用病毒检测软件对所有通过互联网（或任何其他公网）从信息系统之外的途径获得的软件和文件进行检查，同时，在获得这些软件和文件之前，信息安全管理部门必须研究和确认使用这些工具的必要性。

6.6工作人员保密协议

公司所有人员必须在开始工作前，亲自签订计算机及信息系统保密协议。

6.7知识产权权利

尊重互联网上他人的知识产权。

公司工作人员在被雇佣期间使用公司系统资源开发或设计的产品，无论是以何种方式涉及业务、产品、技术、处理器、服务或研发的资产，都是公司的专有资产。

7 物理和环境安全策略

计算机信息和其他用于存储、处理或传输信息的物理设施，例如硬件、磁介质、电缆等，对于物理破坏来说是易受攻击的，同时也不可能完全消除这些风险。因此，应该将这些信息及物理设施放置于适当的环境中并在物理上给予保护使之免受安全威胁和环境危害。

7.1安全区域

根据信息安全的分层管理，应将支持涉密信息或关键业务活动的信息技术设备放置在安全区域中。安全区域应当考虑物理安全边界控制及有适当的进出控制措施保护，安全区域防护等级应当与安全区域内的信息安全等级一致，安全区域的访问权限应该被严格控制。

7.2设备安全

对支持涉密信息或关键业务过程（包括备份设备和存储过程）的设备应该适当地在物理上进行保护以避免安全威胁和环境危险。包括：

◆设备应该放置在合适的位置或加强保护，将被如水或火破坏、干扰或非

授权访问的风险降低到可接受的程度。

◆对涉密信息或关键业务过程的设备应该进行保护，以免受电源故障或其

他电力异常的损害。

◆对计算机和设备环境应该进行监控，必要的话要检查环境的影响因素，

如温度和湿度是否超过正常界限。

◆对设备应该按照生产商的说明进行有序地维护。

◆安全规程和控制措施应该覆盖该设备的安全性要求。

◆设备包括存储介质在废弃使用之前，应该删除其上面的数据。

7.3物理访问控制

信息安全管理部门应建立访问控制程序，控制并限制所有对计算计及信息系统计算、存储和通讯系统设施的物理访问。应有合适的出入控制来保护安全场所，确保只允许授权的人员进入。必须仅限公司工作人员和技术维护人员访问公司办

公场所、布线室、机房和计算基础设施。

7.4建筑和环境的安全管理

为确保计算机处理设施能正确的、连续的运行，应至少考虑及防范以下威胁：偷窃、火灾、温度、湿度、水、电力供应中断、爆炸物、吸烟、灰尘、振动、化学影响等。

必须在安全区域建立环境状况监控机制，以监控厂商建议范围外的可能影响信息处理设施的环境状况。应在运营范围内安装自动灭火系统。定期测试、检查并维护环境监控警告机制，并至少每年操作一次灭火设备。

7.5保密室、计算机房访问记录管理

保密室、计算机房应设立物理访问记录，信息安全管理部门应定期检查物理访问记录本，以确保正确使用了这项控制。物理访问记录应至少保留12个月，以便协助事件调查。应经信息安全管理部门批准后才可以处置记录，并应用碎纸机处理。

8计算机和网络运行管理策略

计算机和信息系统所拥有的和使用的大多数信息都在计算机上进行处理和存储。为了保护这些信息，需要使用安全且受控的方式管理和操作这些计算机，使它们拥有充分的资源。

由于公司计算机和信息系统采用三层管理模式，不排除联接到外部网络，计算机和信息系统的运行必须使用可控且安全的方式来管理，网络软件、数据和服务的完整性和可用性必须受到保护。

8.1操作规程和职责

应该制定管理和操作所有计算机和网络所必须的职责和规程，来指导正确的和安全的操作。这些规程包括：

◆数据文件处理规程，包括验证网络传输的数据；

◆对所有计划好的系统开发、维护和测试工作的变更管理规程；

◆为意外事件准备的错误处理和意外事件处理规程；

◆问题管理规程，包括记录所有网络问题和解决办法（包括怎样处理和谁

处理）；

◆事故管理规程；

◆为所有新的或变更的硬件或软件，制定包括性能、可用性、可靠性、可

控性、可恢复性和错误处理能力等方面的测试/评估规程；

◆日常管理活动，例如启动和关闭规程，数据备份，设备维护，计算机和

网络管理，安全方法或需求；

◆当出现意外操作或技术难题时的技术支持合同。

8.2操作变更控制

对信息处理设施和系统控制不力是导致系统或安全故障的常见原因，所以应该控制对信息处理设施和系统的变动。应落实正式的管理责任和措施，确保对设备、软件或程序的所有变更得到满意的控制。

8.3介质的处理和安全性

应该对计算机介质进行控制，如果必要的话需要进行物理保护：

◆可移动的计算机介质应该受控；

◆应该制定并遵守处理包含机密或关键数据的介质的规程；

◆与计算相关的介质应该在不再需要时被妥善废弃。

8.4鉴别和网络安全

鉴别和网络安全包括以下方面：

◆网络访问控制应包括对人员的识别和鉴定；

◆用户连接到网络的能力应受控，以支持业务应用的访问策略需求；

◆专门的测试和监控设备应被安全保存，使用时要进行严格控制；

◆通过网络监控设备访问网络应受到限制并进行适当授权；

◆应配备专门设备自动检查所有网络数据传输是否完整和正确；

◆应评估和说明使用外部网络服务所带来的安全风险；

◆根据不同的用户和不同的网络服务进行网络访问控制；

◆对IP地址进行合理的分配；

◆关闭或屏蔽所有不需要的网络服务；

◆隐藏真实的网络拓扑结构；

◆采用有效的口令保护机制，包括：规定口令的长度、有效期、口令规则

或采用动态口令等方式，保障用户登录和口令的安全；

◆应该严格控制可以对重要服务器、网络设备进行访问的登录终端或登录

节点，并且进行完整的访问审计；

◆严格设置对重要服务器、网络设备的访问权限；

◆严格控制可以对重要服务器、网络设备进行访问的人员；

◆保证重要设备的物理安全性，严格控制可以物理接触重要设备的人员，

并且进行登记；

◆对重要的管理工作站、服务器必须设置自动锁屏或在操作完成后，必须

手工锁屏；

◆严格限制进行远程访问的方式、用户和可以使用的网络资源；

◆接受远程访问的服务器应该划分在一个独立的网络安全区域；

◆安全隔离措施必须满足国家、行业的相关政策法规。

个人终端用户（包括个人计算机）的鉴别，以及连接到所有办公自动化网络和服务的控制职责，由信息安全管理部门决定。

8.5操作人员日志

操作人员应保留日志记录。根据需要，日志记录应包括：

◆系统及应用启动和结束时间；

◆系统及应用错误和采取的纠正措施；

◆所处理的数据文件和计算机输出；

◆操作日志建立和维护的人员名单。

8.6错误日志记录

对错误及时报告并采取措施予以纠正。应记录报告的关于信息处理错误或通信系统故障。应有一个明确的处理错误报告的规则，包括：1）审查错误日志，确保错误已经得到满意的解决；2）审查纠正措施，确保没有违反控制措施，并且采取的行动都得到充分的授权。

8.7网络安全管理策略

网络安全管理的目标是保证网络信息安全，确保网络基础设施的可用性。网络管理员应确保计算机信息系统的数据安全，保障连接的服务的有效性，避免非法访问。应该注意以下内容：

应将网络的操作职责和计算机的操作职责分离；

◆制定远程设备（包括用户区域的设备）的管理职责和程序；

◆应采取特殊的技术手段保护通过公共网络传送的数据的机密性和完整

性，并保护连接的系统，采取控制措施维护网络服务和所连接的计算机

的可用性；

◆信息安全管理活动应与技术控制措施协调一致，优化业务服务能力；

◆使用远程维护协议时，要充分考虑安全性。

8.8电子邮件安全策略

计算机和信息系统应制定有关使用电子邮件的策略，包括：

◆对电子邮件的攻击，例如病毒、拦截；

◆必要时，使用相关技术保护电子邮件的机密性、完整性和不可抵赖。

8.9病毒防范策略

病毒防范包括预防和检查病毒（包括实时扫描/过滤和定期检查），主要内容包括：

◆控制病毒入侵途径；

◆安装可靠的防病毒软件；

◆对系统进行实时监测和过滤；

◆定期杀毒；

◆及时更新病毒库；

◆及时上报；

◆详细记录。

防病毒软件的安装和使用由信息安全管理部门专门的病毒防范管理员执行。

严格控制盗版软件及其它第三方软件的使用，必要时，在运行前先对其进行病毒检查。

内部工作人员因为上不安全的网站下载文件或其他方式导致中毒，造成的后果由其本人负责。

8.10备份与恢复策略

定义计算机及信息系统备份与恢复应该采用的基本措施：

◆建立有效的备份与恢复机制；

◆定期检测自动备份系统是否正常工作；

◆明确备份的操作人员职责、工作流程和工作审批制度；

◆建立完善的备份工作操作技术文档；

◆明确恢复的操作人员职责、工作流程和工作审批制度；

◆建立完善的恢复工作操作技术文档；

◆针对建立的备份与恢复机制进行演习；

◆对备份的类型和恢复的方式进行明确的定义；

◆妥善保管备份介质。

8.11加密策略

对于应用系统安全需求分析中要求采用加密措施，或相关法规中要求采用加密措施的处理，一定要满足要求。

采用加密技术或选用加密产品，要求符合国家有关政策或行业规范的要求。

选用的加密机制与密码算法应符合国家密码政策，密钥强度符合国家规定。

对于敏感或重要信息，要求通过加密保障其私密性、通过信息校验码或数字签名保障其完整性、通过数字签名保障其不可否认性。

要求采用高强度的密钥管理系统，保证密钥全过程的安全。包括密钥的生成、使用、交换、传输、保护、归档、销毁等。

对敏感或重要密钥，要求分人制衡管理。

对敏感或重要密钥，要求采用一定的密钥备份措施以保障在密钥丢失、破坏时系统的可用性。

密钥失密或怀疑失密时，必须及时向安全主管部门报告，更新密钥。并采取有效措施，防止再次发生类似情况。

9访问控制策略

为了保护计算机系统中信息不被非授权的访问、操作或破坏，必须对信息系统和数据实行控制访问。

计算机系统控制访问包括建立和使用正式的规程来分配权限，并培训工作人员安全地使用系统。对系统进行监控检查是否遵守所制定的规程。

9.1计算机访问控制

应该根据相关国家法律的要求和指导方针控制对信息系统和数据的访问：

◆计算机活动应可以被追踪到人；

◆访问所有多用户计算机系统应有正式的用户登记和注销规程；

◆应使用有效的访问系统来鉴别用户；

◆应通过安全登录进程访问多用户计算机系统；

◆特殊权限的分配应被安全地控制；

◆用户选择和使用密码时应慎重参考良好的安全惯例；

◆用户应确保无人看管的设备受到了适当的安全保护；

◆应根据系统的重要性制定监控系统的使用规程。

◆必须维护监控系统安全事件的审计跟踪记录；

◆为准确记录安全事件，计算机时钟应被同步。

10风险管理及安全审计策略

信息安全审计及风险管理对于帮助公司识别和理解信息被攻击、更改和不可用所带来的（直接和间接的）潜在业务影响来说至关重要。所有信息内容和信息技术过程应通过信息安全审计活动及风险评估活动来识别与它们相关的安全风险并执行适当的安全对策。

计算机及信息系统的信息安全审计活动和风险评估应当定期执行。特别是系统建设前或系统进行重大变更前，必须进行风险评估工作。

信息安全审计应当3个月进行一次，并形成文档化的信息安全审计报告。

信息安全风险评估应当至少1年一次，可由公司自己组织进行或委托有信息系统风险评估资质的第三方机构进行。信息安全风险评估必须形成文档化的风险评估报告。

11信息系统应急计划和响应策略

11.1信息应急计划和响应的必要性

应该制定和实施应急计划和响应管理程序，将预防和恢复控制措施相结合，将灾难和安全故障（可能是由于自然灾害、事故、设备故障和蓄意破坏等引起）造成的影响降低到可以接受的水平。

应该分析灾难、安全故障和服务损失的后果。制定和实施应急计划，确保能够在要求的时间内恢复业务的流程。应该维护和执行此类计划，使之成为其它所有管理程序的一部分。

11.2应急计划和响应管理程序

应该在整个计算机信息系统内部制定应急计划和响应的管理流程。包括以下

主要内容：

◆考虑突发事件的可能性和影响。

◆了解中断信息系统服务可能对业务造成的影响（必须找到适当的解决方

案，正确处理较小事故以及可能威胁组织生存的大事故），并确定信息

处理设施的业务目标。

◆适当考虑风险处理措施，可以将其作为业务连续性程序的一部分。

◆定期对应急计划和响应程序进行检查和进行必要的演练，确保其始终有

效。

◆适当地对技术人员进行培训，让他们了解包括危机管理在内的应急程

序。

12遵循性

计算机及信息系统必须遵守国家法律和法规的要求。

公司所有工作人员都有责任学习、理解并遵守安全策略，以确保公司敏感信息的安全。对违反安全策略的行为，根据事件性质和违规的严重程度，采取相应的处罚措施。信息安全管理部门应根据违规的严重程度向相关领导提出建议惩罚措施。除本安全策略中涉及的要求之外，所有部门和工作人员同样需要遵守相关国家法律和法规的要求。

计算机和信息系统安全策略文件由信息安全管理部门负责制定和解释，由公司保密委员会审批发布。

公司已存在的但内容与本安全策略文件不符的管理规定，应以本安全策略的要求为准，并参考本安全策略及时进行修订。

(完整版)涉密计算机安全策略文件

航天天绘科技有限公司 涉密计算机及信息系统安全策略文件 1 概述 涉密计算机及信息系统安全策略文件属于顶层的管理文档，是公司网络与信息安全保障工作的出发点和核心，是公司计算机与信息系统安全管理和技术措施实施的指导性文件。涉密计算机及信息系统安全策略文件是公司计算机和信息系统全体管理和使用人员必须遵循的信息安全行为准则，由公司信息安全管理部门制订及解释，由公司保密委员会审批发布，并由信息安全管理部门组织公司全体人员学习与贯彻。 公司涉密计算机及信息系统涉及到存储、传输、处理国家秘密、公司商业秘密和业务关键信息，关系到公司的形象和公司业务的持续运行，必须保证其安全。因此，必须从技术、管理、运行等方面制定确保涉密计算机和信息系统持续可靠运行的安全策略，做好安全保障。 本策略文件主要内容包括：人员安全、资产分类与控制、物理和环境安全、系统开发和维护、访问控制、个人计算机安全、风险管理、业务持续性管理与灾难恢复、计算机与网络运行管理、遵循性等十个方面。 2 适用范围 2.1本策略所称的涉密计算机和信息系统指公司所有通过计算机及信息系统存贮、处理或传输的信息及存贮、处理或传输这些信息的硬件、软件及固件。 2.2本策略适用于与公司涉密计算机及信息系统相关的所有部门及人员。 3 目标 制定涉密计算机及信息系统安全策略的目标就是确保公司掌握的国家秘密、公司商业秘密和业务关键信息的安全性，并通过一系列预防措施将信息安全可能受到的危害降到最低。信息安全管理应在确保信息和计算机受到保护的同时，确保计算机和信息系统能够在允许的范围内正常运行使用。 同时，本策略的目的也是让所有员工能够了解信息安全问题以及明确各自的信息安全职责，严格遵守本安全策略，并遵守国家相关的计算机或信息安全法律要求。

指挥信息系统

指挥信息系统的发展方向 陈铅3292011001 指挥信息系统是综合运用以计算机为核心的技术装备，实现对作战信息的获取、传输、处理的自动化，保障各级指挥机构对所属部队和武器实施科学高效指挥控制与管理，具有指挥控制、情报侦察、预警探测、通信、信息对抗、安全保密以及有关信息保障功能的各类信息系统的总称。 指挥信息系统按功能来分，主要有六大系统： 1、信息收集分系统 由配置在地面、海上、空中、外层空间的各种侦察设备，如侦察卫星、侦察飞机、雷达、声纳、遥感器等组成。它能及时地收集敌我双反的兵力部署、作战行动及战场地形、气象等情况，为指挥员定下决心提供实时、准确的情报。 2、信息传输分系统 主要由传递信息的各种信道、交换设备和通信终端等组成。这几部分构成具有多种功能的通信网，迅速、准确、保密、不间断地传输各种信息。可以说通信自动化是作战指挥自动化的基础，没有发达的通信网，就不可能实现作战指挥自动化。 3、信息处理分系统 由电子计算机及其输入输出设备和计算机软件组成。信息处理的过程，就是将输入计算机的信息，通过按预定目标编制的各类软件进行信息的综合、分类、存储、检索、计算等，并能协助指挥人员拟制作战方案，对各种方案进行模拟、情报检索、图形处理、图像处理等。 4、信息显示分系统 主要由各类显示设备，如大屏幕显示器、投影仪、显示板等组成。其主要功能就是把信息处理分系统输出的各种信息，包括作战情报、敌我态势、作战方案、命令和命令执行情况等，有文字、符号、表格、图形、图像等多种形式，形象、直观、清晰地显示在各个屏幕上，供指挥和参谋人员研究使用。 5、决策监控分系统 主要用于辅助指挥人员作出决策、下达命令、实施指挥。在作战过程中，指挥员可随时针对不同的情况，通过决策监控分系统输入指令。此外，决策监控分系统还可用来改变指挥信息系统的工作状态并监视其运行情况。 6、执行分系统 既可以是执行命令的部队的指挥信息系统，也可以是自动执行指令的装置，如导弹的制导装置、火炮的火控装置等。 在新军事思想和作战理论指导下，军事指挥信息系统的发展呈现出如下较为明显的趋势。 一、加快系统一体化建设，实现三军联合作战。美军认为，未来的作战是在自动化系统的统一指挥控制下实施的系统对系统、体系对体系的全面对抗，因此

涉密计算机安全策略文件

涉密计算机安全策略文件文件 一、概述 为加强公司的保密工作，维护国家和公司的安全利益。以“谁主 管谁负责、谁运行谁负责、谁使用负责”的工作原则，实行积极防范，突出重点、依法管理，既确保国家秘密又便利各项工作的方针。根 据《中华人民共和国保守国家秘密法》结合公司实际情况，制定本策 略文件。 涉密计算机及信息系统安全策略文件是公司计算机和使用人员 必须遵循的信息安全行为准则。由公司保密办公室制订发布，并组 织公司相关人员学习与贯彻。 二、策略 本策略文件主要包括：物理和环境安全策略、运行管理策略、 信息安全策略、安全保密产品安全策略、涉密移动存储介质策略、 计算机病毒与恶意代码防护策略、身份鉴别策略、安全审计策略、 其他安全策略。 1、物理和环境安全策略 计算机信息和其他用于存储、处理或传输信息的物理设施，对 于物理破坏来说是易受攻击的，同时也不可能完全消除这些风险。 因此，应该将这些信息及物理设施放置于适当的环境中并在物理上 给予保护使之免受安全威胁和环境危害。

1)应该对计算机介质进行控制，涉密机的USB-Key必须进行物理保 护； 2)涉密笔记本待用时，必须存放在密码柜中； 3)对设备应该进行保护，定期检查电源插排，防止电力异常而造成 损坏等保护措施； 4)对计算机和设备环境应该进行监控，检查环境的影响因素，温度 和湿度是否超过正常界限（正常工作室温：10℃—35℃；相对湿度:35%—80%）； 5)设备应该按照生产商的说明进行有序的维护与保养； 2、运行管理策略 为避免信息遭受人为过失、窃取、欺骗、滥用的风险，应当识别计算机及信息系统内部每项工作的信息安全职责，并补充相关的程序文件。公司全体相关人员都应该了解计算机及系统的网络与信息安全需求。 1)信息设备和存储介质应当具有标识、涉密的应当标明密级，非密 的应当标明用途； 2)涉密计算机应当与内部非涉密网络和互联网计算机实行物理隔 离； 3)只有指定的涉密人员才能访问秘密、关键信息并处理这些信息； 4)禁止使用非涉密的计算机和存储介质存储和处理涉密信息； 5)未经保密办审批，禁止对计算机系统格式化或重装系统； 6)涉密人员在使用白名单软件时可以自行修改安装，但名单以外的

信息系统安全保密制度

信息系统安全保密制度 信息系统的安全保密工作是保证数据信息安全的基础，同时给全院的信息安全保密工作提供了一个工作指导。为了加强我院信息系统的安全保密管理工作，根据上级要求，结合我院的实际情况，现制定如下制度： 第一章总则 第一条***学院校园网和各个信息系统的服务对象是学校教学、科研和管理机构，全校教职工和学生，以及其他经学校授权的单位及个人。 第二条我院内任何部门及个人不得利用校园网危害国家安全、泄露国家秘密，不得侵犯国家、社会、集体利益和个人的合法权益，不得从事违法犯罪活动。 第三条未经批准，任何单位或个人不得将校园网延伸至校外或将校外网络引入至校园内。未经批准，任何数据业务运营商或电信代理商不得擅自进入山东信息职业技术学院内进行工程施工，开展因特网业务。 第四条各部门应按照国家信息系统等级保护制度的相关法律法规、标准规范的要求，落实信息系统安全等级保护制度。 第五条各部门要规范信息维护、信息管理、运行维护等方面的工作流程和机制，指定专人负责系统运行的日常工作，做好用户授权等管理服务工作。 第二章数据安全 第六条本制度中的数据是指各类信息系统所覆盖的所有数据，包括档案管理系统、财务管理系统、资产管理系统、安防监控系统以及学院网站等网站和系统的所有数据。 第七条各部门要及时补充和更新管理系统的业务数据，确保数据的完整性、时效性和准确性。

第八条各部门要保证信息系统安全和数据安全，制定重要数据库和系统主要设备的容灾备案措施。记录并保留至少60天系统维护日志。各系统管理员和个人要妥善保管好账号和密码，定期更新密码，防止密码外泄。 第九条保证各系统相关数据安全。各部门和系统管理人员，要对自己所管理的数据负责，保证数据安全，防止数据泄漏。 第十条学校数据信息主要用于教学、科研、管理、生活服务等，申请数据获取的单位有义务保护数据的隐秘性，不得将数据信息用于申请用途外的活动。 第十一条未经批准，任何部门和个人不得擅自提供信息系统的内部数据。对于违反规定、非法披露、提供数据的单位和个人，应依照相关规定予以处罚。 第三章信息安全 第十二条任何部门和个人不得利用校园网及各系统制作、复制、传播和查阅下列信息： （一）危害国家安全，泄露国家秘密，颠覆国家政权，破坏国家统一的；（二）损害国家荣誉和利益的； （三）煽动民族仇恨、民族歧视，破坏民族团结的； （四）破坏国家宗教政策，宣扬邪教和封建迷信的； （五）散布谣言，扰乱社会公共秩序，破坏国家稳定的； （六）散步淫秽、色情、暴力、凶杀、恐怖或者教唆犯罪的； （七）侮辱和诽谤他人，侵害他人合法权益的； （八）含有国家法律和行政法规禁止的其他内容的； （九）煽动抗拒、破坏宪法和法律、法规实施的； 第十三条未经批准，任何个人和部门不能擅自发布、删除和改动学院网站和系统信息。凡发布信息，必须经过严格审核。 第十四条校园网用户必须自觉配合国家和学校有关部门依法进行的监督、检查。用户若发现违法有害信息，有义务向学校有关部门报告。

计算机网络安全与维护

一、网络安全的基本概念 计算机网络系统的安全性主要是指内部安全与外部安全，内部安全是在系统的软件、硬件及周围的设施中实现的，外部安全主要是人事安全，是对某人参与计算机网络系统工作和工作人员接触到的敏感信息是否值得信赖的一种舍差过程。计算机网络的保密性是对传输过程中的数据进行保护的重要方法，又是对存储在各种媒体上的数据加以保护的一种有效措施。系统安全是我们的最终目标，而加密时实现这一目标的有效措施段。计算机系统的完整性是保护计算机网络系统内软件（程序）与数据不被非法删改的一种技术手段，它可以分为数据完整性和软件完整性。 （一)网络安全威胁的类型： 网络威胁是对网络安全缺陷的潜在利用，这些缺陷可能导致非授权访问、信息泄露、资源耗尽、资源被盗或者被破坏等。网络安全所面临的威胁可以来自很多方面，并且随着时间的变化而变化。网络安全威胁的种类有：窃听、假冒、重放、流量分析、数据完整性破坏、拒绝服务、资源的非授权使用等。 （二) 网络安全机制应具有的功能： 采取措施对网络信息加以保护，以使受到攻击的威胁减到最小是必须的。一个网络安全系统应有如下的功能：身份识别、存取权限控制、数字签名、保护数据完整性、审计追踪、密钥管理等。 二、计算机网络受攻击的主要形式 由于计算机网络的开放性、互连性等特征，致使网络为病毒、黑客和其他不轨的攻击提供机会，所以研究计算机网络的安全以及防范措施是必要的，这样才能确保网络信息的保密性、安全性、完整性和可用性。计算机网络应用中常见的安全问题主要有以下六种形式。 （一）威胁系统漏洞： 由于任何一个操作系统和网络软件在设计上存在缺陷和错误，这就成为一种不安全的隐患，让不法者利用，一些恶意代码会通过漏洞很容易进入计算机系统对主机进行攻击或控制电脑。所以在使用电脑时，要及时安装网络安全扫描工具，及时下载系统补丁来修复系统漏洞。 （二）欺骗技术攻击： 通过欺骗路由条目、IP地址、DNS解析地址，使服务器无法正常响应这些请求或无法辨别这些请求来攻击服务器，从而造成缓冲区资源阻塞或死机；或者通过将局域网中的某台计算机设置为网关IP地址，导致网络中数据包转发异常而使某一网段无法访问。例如局域网中ARP攻击包问题。 （三）“黑客”的侵犯： “黑客”就是一种在网络中具有破坏性、隐蔽性和非授权性的特性，通过网络利用系统漏洞等方式非法植入对方计算机系统，一旦进入计算机中，用户的主机就被黑客完全利用，成为黑客的超级用户，黑客程序可以被用来窃取密码、口令、帐号、阻塞用户、电子邮件骚扰、篡改网页、破坏程序等行为，对用户主机安全构成严重威胁。因此，从某种意义上讲，

涉密计算机安全策略

涉密计算机安全策略 安全策略的定义：是决策的集合。它集中体现了一个组织对安全的态度。确切地说安全策略对于可接受的行为以及对违规作出何种响应确定了界限。安全策略是安全机制、安全连接和安全协议的有机结合，是计算机安全性的完整解决方案。安全策略决定了计算机的整体安全性和使用性。 涉密计算机安全策略文件包括：物理安全策略、运行管理策略、信息安全策略、备份与恢复策略、应急计划与响应策略、计算机病毒和恶意代码防护策略、身份鉴别策略、访问控制策略、信息完整性保护策略、安全审计策略等。 一、物理安全策略： 物理安全是指在物理介质层次上对存储和传输的网络及信息的安全保护，它是网络及信息安全的最基本的保障，是整个安全系统不可缺少和忽视的组成部分。 该层次上的不安全因素主要有： （1）自然灾害、物理破坏、设备保障 （2）电磁辐射、乘机而入、痕迹泄露 （3）操作失误、意外泄露 物理安全策略的目标是保护龙东公司计算机设备、通信及办公自动化设备以及信息系统的物理环境免遭自然灾害和其他形式的破坏，保证信息系统的实体安全。 相对应的措施有： 1、电磁泄露发射防护措施：按照BMB5-2000《涉密信息设备使用现 场的电磁泄露发射防护要求》 （1）所有涉密信息设备采用红黑电源隔离插座 （2）VIP-3微机视频信息保护系统 2、机箱盖贴上封条，所有计算机机箱上贴上标签。

3、将涉密计算机存放在保密要害部门，一般人员不得擅自进入。限制 规定计算中心、重要信息设备所在地的人员进出活动。 4、严格确定信息设备的合法使用人。建立详细的设备使用运行日志及 故障维修记录，实施定期的设备维护、保养操作。 5、对重要安全设备产品的选择，必须符合国家有关技术规范或经过专 业测评机构检测不低于本行业计算机安全管理技术规范中的最低安全要求，并核实是否具备安全部门的设备准用证或国家有关部门的安全产品许可证书。 二、运行管理策略： 1.运行管理策略的目标是保证公司的计算机系统日常运行的安全稳定。 2.公司配备涉密计算机安全保密管理员，每台涉密计算机责任到人。 3.在每台涉密计算机操作系统中设置运行管理策略。在控制面板——管理工具——本地安全设置： （2）本地策略：

指挥信息系统复习课程

简述指挥信息系统形成及发展趋势 一、基本概念 指挥信息系统是综合运用以计算机为核心的技术装备，实现对作战信息的获取、传输、处理的自动化，保障各级指挥机构对所属部队和武器实施科学高效指挥控制与管理，具有指挥控制、情报侦察、预警探测、通信、信息对抗、安全保密以及有关信息保障功能的各类信息系统的总称。 二、形成条件 军事指挥信息系统，是在人类战争不断演化过程中逐步形成与发展起来的，是按军队的指挥体系从上到下紧密相联的整体。军事指挥信息系统是一个有机的“人一机”系统，它以军事科学为坚实的基础，以军事指挥体系为其构建框架，以指挥人员为核心，以电子计算机等信息技术装备为存在的前提和物质保障，把各种指挥控制手段与指挥人员有机地结合起来，使军事指挥活动的信息收集，传递、处理和使用等环节实现了高度的自动化，指挥员决策的效率和水平有了飞跃性的提高，从而使部队的战斗力水平得到了极大的发挥。 自第二次世界大战以来，随着原子能和以电子计算机为核心的信息技术的出现，迎来了近代科学史上的第三次技术革命，人类社会逐步走向信息化时代。战争也开始进入了以高技术为基础

的“信息兵器时代”，即核威慑条件下的高技术信息化战争。在这种条件下，武装力量构成十分复杂，作战样式多种多样，战争的突然性增大，作战空间广阔，军队机动迅速，战场攻防转换频繁而剧烈，情报信息量成倍增加……出现了许多新的情况和问题，对作战指挥控制的时效性、准确性，灵活性等诸方面都提出了更高的要求。例如，战场情报的信息量激增，要求作战指挥控制系统能对多种战场情报信息进行快速加工和融合处理；作战力量的构成复杂，要求作战指挥控制系统能对诸多兵种的联合作战组织密切协同和配合；作战单元的高技术成分增加，要求对高技术武器装备实施精确使用和控制等。因此，信息化战争中指挥员对部队的指挥控制难度明显加大。 为了使指挥员能根据战场态势作出快速反应、准确判断、果断决策，并能得心应手地指挥控制部队和武器装备，最大限度地发挥各作战单元的战斗力，显然仅靠传统的组织形式和指挥手段已难以胜任，必须发展以电子计算机为核心的军事指挥信息系统，使其成为指挥员智力和体力的延伸，辅助指挥员完成诸如情报收集处理，制定作战方案、下达作战命令、控制高技术信息兵器等手工作业难以完成的信息处理和技术性要求高的工作，把指挥员和参谋人员从繁琐的简单作业，事务性作业和重复性作业中解脱出来，以便有更多的时间和精力去从事创造性的思维、决策和指挥控制活动。在这种情况下，军事指挥信息系统便伴随着人类战争形态的不断演变而逐渐诞生了。

七年级上册第4单元活动2主动维护计算机安全

活动2 主动维护计算机安全 【教材分析】 经过活动1的学习，学生已经对计算机安全问题有了一定的认识。通过安装并使用计算机防病毒软件和上网安全软件，学生已初步具备了应对计算机安全问题的基本能力。但是，这些都是“亡羊补牢”的措施。当计算机发生了安全问题，如被病毒侵害，这些措施并不一定能完全解决问题。如病毒可以清除，但是被病毒破坏的信息可能已经无法恢复了；或者在清除计算机病毒的同时，可能造成了信息的丢失。要真正起到保护的作用，还需要主动出击，来维护计算机的安全。本活动的目的就是帮助学生树立主动维护计算机安全的意识，让学生学会主动维护计算机安全的本领。 本活动设计了三个活动项目，向学生推荐了三种比较常用而且实用的防范措施： 第一个项目是修补系统漏洞。这个活动项目可以让学生认识到计算机系统并不完美，还存在很多缺陷，要防范外来的伤害首先要增强计算机的“体质”，减少漏洞，弥补缺陷。 第二个项目是防御病毒和黑客的入侵。计算机有了好的体质，还要时时防范外来侵袭，筑起保护屏障。 第三个项目是备份数据。通过设置“分身”可以防范计算机中信息的灭失。 对于这些防范措施的学习，教材没有简单进行说教，而是从学生的亲身经历着手，从交流各自维护计算机安全的心得体会着手，让学生从实际操作层面来寻找防范之道，然后再将这些具体的做法进行归纳，成为比较常用的三种防范措施，并对这些防范措施进行补充和解释，达到教育学生的目的。 【教学目标】 了解病毒的传播途径和防范病毒的方法。 了解防火墙的作用，了解系统漏洞和木马。 能够选择并安装常见的防火墙。 掌握常用的计算机安全防范手段，包括修补系统漏洞、防御病毒和黑客的入侵和对计算机资料的备份。 增强主动维护计算机安全的意识，认识数据备份的重要性。 【教学重点】 掌握常用的维护计算机安全的手段。 【教学难点】 木马的查杀。 【教学课时】 2课时 【教学准备】 教学资源:至少一种防火墙软件。 【教学过程】 第1课时维护计算机安全的手段

涉密计算机安全策略配置完整版

涉密计算机安全策略配 置 HEN system office room 【HEN16H-HENS2AHENS8Q8-HENH1688】

涉密计算机安全策略配置 一、物理安全防护 1、安装防盗铁门 2、安装红外报警器 3、放置密码文件柜 4、涉密电脑实行物理隔离 二、硬件相关设置 1、禁止使用无线设备（无线键盘、鼠标、网卡、红外、蓝牙、modem等）； 2、未经许可不得使用视频、音频输入设备、读卡器设备、刻录设备; 3、接入红黑电源隔离插座； 4、与非密设备间隔一米以上。 三、主板BIOS相关设置 1、设置BIOS系统密码，该密码由安全保密管理员掌握； 2、设置BIOS开机密码，该密码由用户掌握； 3、BIOS最优先启动设置为硬盘启动，其余优先启动全部关闭； 四、操作系统 1、禁止安装番茄花园、雨林木风等经处理的操作系统，禁止安装Ghost版操作系统； 2、更改A d m i n i s t r a t o r用户名并设置密码，禁用Guest帐户，删除多余帐户； 3、关闭操作系统的默认共享，同时禁止设置其它共享； 4、设置屏保时间10分钟，屏保恢复需用密码； 5、不得安装《软件白名单》外的软件； 6、对操作系统与数据库进行补丁升级（每季度一次〉； 7、定期输出安全审计记录报告（每月一次） 8、清理一切私人信息：私人照片、mp3、电影等等。 9、根据规定设置系统策略，关闭非必要服务；〔见后） 五、安全保密防护软件的部署 1、安装正版杀毒软件，涉密计算机（瑞星杀毒软件），涉密中间机、非涉密中间 机（瑞星杀毒软件)；杀毒软件每半个月更新一次病毒库并全盘扫描； 2、安装主机监控审计软件与介质绑定系统； 六、关闭计算机不必要的应用服务 原则：在没有特殊情况下应当关闭不必要的服务。如果有特殊需求，应当主动申请提出。 详细配置说明

应急指挥信息系统数据库设计.docx

应急指挥信息系统数据库设计 应急指挥系统在不同行业、不同的应用场景中,都具有各自特色。它们的信息系统建设带有浓厚的行业特点。如:交通类应急指挥系统是针对公路信息、各关口车辆实时流量等信息采集、分析,进而形成行动预案;地质灾害类应急指挥系统就要利用国土资源信息、GIS地理信息、各级组织的救援队伍信息等,通过调取各平台数据库信息,用来作为调度依据。虽然各种应急指挥系统信息中心建设多种多样,但信息系统数据库的设计、选型原则大体相近,下面就此方面进行探讨。 1数据库选型原则及主流数据库分析 1.1选用原则 1.1.1来源可靠性针对一些安全等级要求高、数据保密级别高的系统而言,数据库系统技术来源将是一个首要的考评指标。尤其是在网络安全风险日益高涨,网络后门以及系统软件后门事件屡有发生的情况下。目前,数据库主要有商用大型数据库、国产数据库、云平台数据库。商用大型数据库多为国外企业开发的成熟系统,也是难以彻底的进行安全测试。国产数据库则需要注意其系统代码来源,如IBM 曾经出售Informix源代码给中国软件公司,并在此基础上开发出国产的数据库系统。此类技术是否已完全掌握而不再需要技术源头公司的支持,是否完全熟悉并加入严格的安全机制,都需要在实施前考察落实。云数据库是一种新型技术手段,通常与云平台打包处理。 1.1.2运行可靠性应急指挥系统的信息中心重要性不言而喻,能否在关键时刻发挥信息中心作用,数据库运行的稳定可靠是整个系统的

关键保障。数据库系统不至于因宕机或承载数据库系统的服务器故障,而影响业务、服务的正常运行。包括数据库系统的灾难备份、错误恢复等方面的性能指标,以及是否有可靠的技术方案降低数据库离线时间。1.1.3可扩展性应急指挥系统的数据库平台一旦建立,必将是日趋完善,所收集的数据也将不断增长。此类数据以及对应的应急处置措施,将构成日后行动的依据。这些数据将成为建设单位的宝贵的无形资产。所以,我们在建设之处就要考核数据库系统的运行稳定性和实时的可扩展性。数据库系统必须具备良好的伸缩能力,以及灵活的配置功能。可扩展性注重于能够平滑扩充系统性能,包括对外和对内两方面:对外是接口数量的扩展,能支持更多节点的同时访问,响应时间不受到吞吐量扩大的影响;对内是指数据能够适应存储空间的扩展,考虑在服务器添加硬件磁盘、磁盘阵列硬件在线扩展等情况下,不影响系统的数据,以及查询、存取、备份、还原等功能。 1.1.4安全机制安全性问题是计算机系统都普遍存在的问题。由于数据库系统本身就是用户众多、权限分配复杂、数据庞大且重要,使得它的安全指标尤为突出。安全机制主要有系统安全性、数据安全性和网络安全机制。系统安全性指系统级上的使用权限,包括用户的权限分配和管理、角色管理以及行为审计等。数据安全性指数据库用户对具体数据对象的操作,能按既定分配的权限执行。网络安全机制是在数据传输过程中所用的技术手段,如数字证书、SSL安全套接字、数字密钥等等。 1.2主流数据库系统比较

涉密计算机安全策略操作规范

官方网站：https://www.360docs.net/doc/f2936379.html, 涉密计算机安全保密策略设置的操作规范 一、创建账户 右击“我的电脑”→管理→系统工具→本地用户和组→用户→在右侧窗格中单击右键添加新用户，设置用户属性隶属于Power Users。 用户名分配策略： 秘密级计算机用户名由系统管理员统一分配并填写账户情况统计表。 二、禁止访问“控制面板” 开始→运行→gpedit.msc→用户配置→管理模板→控制面板→将右侧窗格的“禁止访问控制面板”策略启用。 三、禁用访问注册表编辑器 开始→运行→gpedit.msc→用户配置→管理模板→系统→将右侧窗格的“阻止访问注册表编辑器”策略启用。 四、关闭系统自动播放功能 开始→运行→gpedit.msc→用户配置→管理模板→系统→将右侧窗格的“关闭自动播放”策略设置为“所有驱动器”。 五、设置密码复杂性要求和密码长度等 开始→运行→gpedit.msc→计算机配置→Windows设置→安全设置→账户策略→密码策略→启用“密码必须符合复杂性要求”、“密码长度最小值”、“密码最长留存期”（秘密级计算机密码长度最小值为8位，密码最长留存期设为30天）。 六、设置账户锁定阀值

官方网站：https://www.360docs.net/doc/f2936379.html, 开始→运行→gpedit.msc→计算机配置→Windows设置→安全设置→账户策略→账户锁定策略→启用“账户锁定阀值”（5次）。 七、设置密码保护屏保程序 开始→运行→gpedit.msc→用户配置→管理模板→控制面板→显示→启用右侧窗格的“屏幕保护程序”、“密码保护屏幕保护程序”并将“屏幕保护程序超时”策略设置为“600秒”。 八、设置BIOS密码 1、启动电脑，然后按【Del】键进入BIOS设置主界面。 2、在BIOS主菜单中，有两个设置密码的选项，它们是“Set Supervisor Password”（设置超级用户密码）与“Set User Password”（设置用户密码）。 3、选择其中一个后按回车键，出现Enter Password对话框后，输入密码，密码复杂性同密码策略复杂性要求（不支持10位及以上密码设置的除外，但应设为最大位数）。出现Confirm Password对话框，则再次输入同一密码（注：该项原意是对刚才输入的密码进行校验，如果两次输入的密码不一致，则会要求你重新输入）。 4、BIOS主菜单中，选择“Advanced BIOS Features”（高级BIOS功能设置）项，用光标键选择“Security Option”项后，用键盘上的【Page Up/Page Down】键把选项改为System。 九、禁用网卡 在BIOS中禁用网卡或不安装网卡驱动程序。 十、重命名“系统管理员账户”、“来宾账户”并禁用“来宾账户”

指挥信息系统

一、基本概念 指挥信息系统是综合运用以计算机为核心的技术装备，实现对作战信息的获取、传输、处理的自动化，保障各级指挥机构对所属部队和武器实施科学高效指挥控制与管理，具有指挥控制、情报侦察、预警探测、通信、信息对抗、安全保密以及有关信息保障功能的各类信息系统的总称。 二、形成条件 军事指挥信息系统，是在人类战争不断演化过程中逐步形成与发展起来的，是按军队的指挥体系从上到下紧密相联的整体。军事指挥信息系统是一个有机的“人一机”系统，它以军事科学为坚实的基础，以军事指挥体系为其构建框架，以指挥人员为核心，以电子计算机等信息技术装备为存在的前提和物质保障，把各种指挥控制手段与指挥人员有机地结合起来，使军事指挥活动的信息收集，传递、处理和使用等环节实现了高度的自动化，指挥员决策的效率和水平有了飞跃性的提高，从而使部队的战斗力水平得到了极大的发挥。 自第二次世界大战以来，随着原子能和以电子计算机为核心的信息技术的出现，迎来了近代科学史上的第三次技术革命，人类社会逐步走向信息化时代。战争也开始进入了以高技术为基础的“信息兵器时代”，即核威慑条件下的高技术信息化战争。在

这种条件下，武装力量构成十分复杂，作战样式多种多样，战争的突然性增大，作战空间广阔，军队机动迅速，战场攻防转换频繁而剧烈，情报信息量成倍增加……出现了许多新的情况和问题，对作战指挥控制的时效性、准确性，灵活性等诸方面都提出了更高的要求。例如，战场情报的信息量激增，要求作战指挥控制系统能对多种战场情报信息进行快速加工和融合处理；作战力量的构成复杂，要求作战指挥控制系统能对诸多兵种的联合作战组织密切协同和配合；作战单元的高技术成分增加，要求对高技术武器装备实施精确使用和控制等。因此，信息化战争中指挥员对部队的指挥控制难度明显加大。 为了使指挥员能根据战场态势作出快速反应、准确判断、果断决策，并能得心应手地指挥控制部队和武器装备，最大限度地发挥各作战单元的战斗力，显然仅靠传统的组织形式和指挥手段已难以胜任，必须发展以电子计算机为核心的军事指挥信息系统，使其成为指挥员智力和体力的延伸，辅助指挥员完成诸如情报收集处理，制定作战方案、下达作战命令、控制高技术信息兵器等手工作业难以完成的信息处理和技术性要求高的工作，把指挥员和参谋人员从繁琐的简单作业，事务性作业和重复性作业中解脱出来，以便有更多的时间和精力去从事创造性的思维、决策和指挥控制活动。在这种情况下，军事指挥信息系统便伴随着人类战争形态的不断演变而逐渐诞生了。 三、发展历程

计算机网络安全管理与维护

毕业设计（论文） 论文题目： 系别： 班级： 姓名： 班级： 指导老师： 共青团安徽国防科技职业学院委员会

目录 前言 (4) 摘要 (5) 第一章、局域网 (7) 1.1．什么是局域网 (7) 1.2．局域网的现有拓扑结构 (7) 1.2.1. 星型结构 (7) 1.2.2. 环型结构 (8) 1.2.3. 总线型结构 (9) 1.2.4. 混合型拓扑结构 (10) 1.3．什么是内网 (10) 1.3.1．如何检测公网和内网 (11) 1.3.2．内网与外网的区别 (11) 第二章、内网安全 (12) 2.1．局域网内网安全现状 (12) 2.2．局域网内网安全威胁分析 (13) 2.2.1欺骗性的软件使数据安全性降低 (13) 2.2.2．服务器区域没有进行独立防护 (13) 2.2.3．计算机病毒及恶意代码的威胁 (14) 2.2.4．局域网用户安全意识不强 (14) 2.2.5．IP地址冲突 (14)

第三章、局域网内网安全实现与病毒防治策略 (16) 3.1、加强人员的网络安全培训 (16) 3.2、局域网内网安全控制策略 (16) 3.2.1、利用桌面管理系统控制用户入网 (17) 3.2.2、采用防火墙技术 (17) 3.2.3、封存所有空闲的IP地址 (18) 3.2.4、属性安全控制 (18) 3.2.5、启用杀毒软件强制安装策略 (18) 3.3．病毒防治 (18) 3.3.1、增加安全意识和安全知识 (19) 3.3.2、小心使用移动存储设备 (19) 3.3.3、挑选网络版杀毒软件 (19) 3.4．企业网络安全策略 (20) 3.4.1、注意内网安全与网络边界安全的不同 (20) 3.4.2、限制VPN的访问 (20) 3.4.3、为合作企业网建立内网型的边界防护 (20) 3.4.4、自动跟踪的安全策略 (20) 3.4.5、关掉无用的网络服务器 (21) 3.4.6、首先保护重要资源 (21) 3.4.7、建立可靠的无线访问 (21) 3.4.8、建立安全过客访问 (21) 3.4.9、创建虚拟边界防护 (22)

涉密计算机安全策略文件2013

涉密计算机及信息系统安全保密策略文件 1概述 涉密计算机及信息系统安全策略文件是公司计算机和信息系统全体管理和使用人员必须遵循的信息安全行为准则。由公司保密办公室制订发布，并组织公司相关人员学习与贯彻。 公司涉密计算机及信息系统涉及到存储、传输、处理国家秘密，必须保证其安全。因此，必须从技术、管理、运行等方面制订确保涉密计算机和信息系统持续可靠运行的安全策略，做好安全保障。 公司计算机及信息管理系统管理分为涉密计算机管理、非涉密内部网络（局域网）管理及互联网计算机信息管理三个层次。 涉密计算机只能处理涉及国家秘密的信息，实行物理隔离管理，只能由公司涉密人员使用，由公司计算机安全保密管理员管理。涉密计算机信息数据必须被保护以防止被泄露、破坏或修改。 非涉密内部网络（局域网）及计算机配置应与互联网隔离，配置保密管理措施，只能通过局域网传输、储存技术文档、软件等涉及公司商业秘密的信息。上述信息必须定期备份，以免被破坏和非授权修改。 互联网计算机主要处理来自于外部资源的普通信息，配置上网行为管理措施，同样在信息安全防护上进行安全考虑。 2 策略 本策略文件主要包括：物理安全策略、运行管理策略、信息安全策略、备份与恢复策略、应急计划和相应策略、计算机病毒与恶意代码防护策略、身份鉴别策略、访问控制策略、信息完整性保护策略、安全审计策略。 物理安全策略 计算机信息和其他用于存储、处理或传输信息的物理设施，例如硬件、磁介质、电缆等，对于物理破坏来说是易受攻击的，同时也不可能完全消除这些风险。因此，应该将这些信息及物理设施放置于适当的环境中并在物理上给予保护使之免受安全威胁和环境危害。 ●应该对计算机介质进行控制，如果必要的话需要进行物理保护。可移动的计 算机应该受控；

应急指挥信息系统研发安全管理制度

应急指挥信息系统研发安全管理制度4 应急指挥信息系统研发安全管理制度一、总则为了规范软件开发过程，有效控制和监督软件开发进度，保证软件开发质量，制定本制 度。本制度限于应急系统研发组执行。 二、团队协作 1.为了提高员工的综合素质，增强对部门研发的产品总体认 识，充 分利用部门内部人力资源，提高团队的快速适应能力，部门内部采用矩阵式管理。根据工作需要，将不定期的调配员工的工作岗位。 2.为了加强团队的内部技术交流，及时反映项目的进展情况，增强 内部的沟通力度，扩展员工的知识面，每周定期的召开项目 小组会议，讨论项目进展情况、技术难点和相关的解决方案；每月定期举行技术培训、讨论会，项目组成员轮流主讲，充分调动成员的研发积极性。 三、研发管理 1.确定软件开发架构，文件命名规范，编码规范。 2.完成数据库的设计，并给出数据库设计说明书。 3.确定软件模块结构及程序模块内的数据流或控制流，对每 个程序

模块必须确定所有输入、输出和处理功能，并制定软件设计说明 书。 4.写出的代码应满足结构良好、清晰易读、且与设计一致，符合编 码规范。 5.确定测试计划，测试分单元测试和组装测试两个过程进行，制定 测试计划书。 6.单元测试：开发人员按测试计划对自己编写的程序进行测试。 7.组装测试：执行测试计划中所有要求的组装测试。对测试结果进 行分析，生成当前问题列表( BUGLIST )，返回项目组长。程序员经过分析，修复并自测完毕，生成BUG 修复报告。 四、配置管理 1.软件开发过程中所有相关代码、可执行文件、文档等必须保存在 SVN 中。SVN 中的数据将作为个人和团队考评的重要依据 之一。 2.修改软件代码前，务必从SVN 中先执行upate 操作。保持 本地开

涉密计算机安全策略配置

涉密计算机安全策略配置 一、物理安全防护 1、安装防盗铁门 2、安装红外报警器 3、放置密码文件柜 4、涉密电脑实行物理隔离 二、硬件相关设置 1、禁止使用无线设备（无线键盘、鼠标、网卡、红外、蓝牙、moden等）； 2、未经许可不得使用视频、音频输入设备、读卡器设备、刻录设备; 3、接入红黑电源隔离插座； 4、与非密设备间隔一米以上。 三、主板BIOS相关设置 1、设置BIOS系统密码，该密码由安全保密管理员掌握； 2、设置BIOS 开机密码，该密码由用户掌握； 3、B IOS最优先启动设置为硬盘启动，其余优先启动全部关闭; 四、操作系统 1、禁止安装番茄花园、雨林木风等经处理的操作系统，禁止安装Ghost 版操作系 统； 2、更改Admi ni st rat or 用户名并设置密码，禁用Guest 帐户，删除多余帐户； 3、关闭操作系统的默认共享，同时禁止设置其它共享； 4、设置屏保时间10分钟，屏保恢复需用密码； 5、不得安装《软件白名单》外的软件； 6、对操作系统与数据库进行补丁升级（每季度一次〉； 7、定期输出安全审计记录报告（每月一次） &清理一切私人信息：私人照片、mp3电影等等。 9、根据规定设置系统策略，关闭非必要服务；〔见后） 五、安全保密防护软件的部署 1 、安装正版杀毒软件，涉密计算机（瑞星杀毒软件），涉密中间机、非涉密中间机（瑞星杀毒软件）；杀毒软件每半个月更新一次病毒库并全盘扫描；2、安装主机监控审计软件与介质绑定系统； 六、关闭计算机不必要的应用服务原则：在没有特殊情况下应当关闭不必要的服务。如果有特殊需求，应当主动申请提出。 详细配置说明

计算机网络维护安全措施

龙源期刊网 https://www.360docs.net/doc/f2936379.html, 计算机网络维护安全措施 作者：刘海涛 来源：《中国科技博览》2018年第01期 [摘要]随着如今社会的发展，计算机已经应用到日常工作和生活的每一个领域，人们已无法脱离计算机网络的时代，在享受网络带来便利的同时也是计算网络信息安全问题日益突出的同时。笔者根据自身专业和多年的工作经验对计算机网络的维护安全提出个人意见。 [关键词]计算机；安全；措施和办法 中图分类号：TP393.0 文献标识码：A 文章编号：1009-914X（2018）01-0290-01 1 计算机网络安全概述 计算机网络安全是指网络与信息安全，计算机的网络和信息不受自然的因素和偶发的因素遭到破坏、更改、显露。 ISO组织也就是国际标准化组织对计算机系统安全是这样定义的：为微机处理数据的建立还有应用的技术和管理的保障，保护微机网络硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏。它涵盖网络安全和逻辑安全两方面内容，网络安全的引申含义就是信息的安全，也就是说网络安全是用来保护网络信息的机密性、整体性和实用性；而逻辑安全的内容我们一般认为是网络信息安全，是用来保护信息的保密性、完整性和可用性。那么我们也可以概括计算机网络的安全的定义为：采取形式多种多样的技术、实施行之有效的管理措施，保障计算机网络系统在合理的范围内运行和使用，同时维护其数据的保密、可用。当然，计算机网络安全的概念和定义随着使用的变化也发生着不同的改变。 2 计算机网络信息安全的现状分析 现今社会是信息社会，我们很多的生活都离不开Internet。计算机网络应用逐渐普及，同时网络上的信息资源的共享性不断提高，带来的结果就是计算机网络信息安全问题也日益突出。经调查证实，世界上计算机网络黑客事件现在发展到20秒/宗。这样频繁而且攻击性和破坏性更强的黑客活动，给全球计算机网络系统带来了可怕的后果，同时也给那些牟取不正当利润的黑客们带来了更多的吸引力，刺激了网络犯罪的增长。不言而喻，这对千秋计算机网络系统是更大的挑战和威胁。 3 威胁计算机网络安全的因素 计算机网络设备和计算机网络信息是目前威胁计算机网络安全的两个比较重要的因素，一般来看我们把威胁计算机网络安全的因素归结为三个方面：第一种是我们常见的电脑系统的漏洞和缺陷。现在现存的全球所有计算机系统和软件中都存在一定的弊端，这些弊端的存在在一

电脑安全策略.doc

电脑安全 【一、禁止默认共享】 1.先察看本地共享资源 运行-cmd-输入net share 2.删除共享(每次输入一个） net share admin$ /delete net share c$ /delete net share d$ /delete（如果有e,f,……可以继续删除） 如果有多个盘的话，可以继续。还有你也可以将上面的东西做成一个批处理文件，然后在注册表里面将批处理文件路径告之，这样电脑每次启动的时候都会自动删除共享！ 3.删除ipc$空连接 在运行内输入regedit 在注册表中找到 HKEY-LOCAL_MACHINE\SYSTEM\CurrentControSet\Control\LSA 项里数值名称RestrictAnonymous的数值数据由0改为1. 4.关闭自己的139端口,ipc和RPC漏洞存在于此. 关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)” 属性，进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”，打勾就关 闭了139端口,禁止RPC漏洞. ---------------------------------------- 【二、设置服务项，做好内部防御】 -------------------

A计划.服务策略： 控制面板→管理工具→服务 关闭以下服务： 1.Alerter[通知选定的用户和计算机管理警报] 2.ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享] 3.Distributed File System[将分散的文件共享合并成一个逻辑名称,共享出去，关闭后远程计算机无法访问共享 4.Distributed Link Tracking Server[适用局域网分布式链接跟踪客户端服务] 5.Human Interface Device Access[启用对人体学接口设备(HID)的通用输入访问] 6.IMAPI CD-Burning COM Service[管理 CD 录制] 7.Indexing Service[提供本地或远程计算机上文件的索引内容和属性,泄露信息] 8.Kerberos Key Distribution Center[授权协议登录网络] 9.License Logging[监视IIS和SQL如果你没安装IIS和SQL的话就停止] 10.Messenger[警报] https://www.360docs.net/doc/f2936379.html,Meeting Remote Desktop Sharing[netmeeting公司留下的客户信息收集] https://www.360docs.net/doc/f2936379.html,work DDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换] https://www.360docs.net/doc/f2936379.html,work DDE DSDM[管理动态数据交换 (DDE) 网络共享] 14.Print Spooler[打印机服务，没有打印机就禁止吧] 15.Remote Desktop Help Session Manager[管理并控制远程协助] 16.Remote Registry[使远程计算机用户修改本地注册表] 17.Routing and Remote Access[在局域网和广域往提供路由服务.黑客理由路由服务刺探注册信息] 18.Server[支持此计算机通过网络的文件、打印、和命名管道共享] 19.Special Administration Console Helper[允许管理员使用紧急管理服务远程访问命令行提示符] 20.TCP/IPNetBIOS Helper[提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持 而使用户能够共享文件、打印和登录到网络] 21.Telnet[允许远程用户登录到此计算机并运行程序] 22.Terminal Services[允许用户以交互方式连接到远程计算机] 23.Windows Image Acquisition (WIA)[照相服务，应用与数码摄象机] 24.universal plug and play device host 为主持通用即插即用设备提供支持 25.smart card 管理此计算机对智能卡的取读访问 ------------------- 以下通过在运行里面打入gpedit.msc进入！！！！！！！！ B计划.帐号策略： 一.打开管理工具.本地安全设置.密码策略