2018年基础电信企业网络与信息安全考核要点
2018网络与信息安全复习提纲及总结材料
附件6:2018年全省广播电视系统技术能手竞赛复习大纲(网络与信息安全类)1.基础理论1.1 掌握信息安全三要素1.2 了解信息系统的弱点(漏洞的分类) 主要表现在软件编写存在bug 、系统配置不当、口令失窃、明文通讯信息被监听以及初始设计存在缺陷等方面。
在攻击网络之前,攻击者首先要寻找网络的安全漏洞,然后分析和利用这些安全漏洞来入侵网络系统,网络安全漏洞可分为如下几类:1.软件漏洞:任何一种软件或多或少存在一定脆弱性,安全漏洞可视作已知系统脆弱性。
这种安全漏洞可分为两种/一种是由于操作系统本身设计缺陷带来的漏洞,它将被运行在这个系统上的应用程序所继承,另一咱是应用软件程序安全漏洞,很常见,更要引起广泛关注。
2。
结构漏洞:网络中忽略了安全问题,没有采取有效的网络安全措施,使网络系统处于不设防的状态;另外,在一些重要网段中,交换机和集线器等网络设备设置不当,造成网络流量被监听和获取.3。
配置漏洞:网络中忽略了安全策略的制定,即使采取了网络安全措施,但由于安全配置不合理或不完整,安全没有发挥任用在网络发生变化后,没有及时更改系统内部安全配置而造成安全漏洞。
4。
管理漏洞:网络管理者不小心和麻痹造成的安全漏洞,如管理员口令太短或长期不更换密码,造成口令攻击;两台服务器共用同一个用户名和口令,如果一个服务器被入侵,则中一个服务器也很危险。
5。
信任漏洞:过分地信任外来合作者的机器,一旦这个机器被入侵,则网络安全受到严重危险。
从这些安全漏洞来看,既有技术因素,也有管理因素,实际上攻击者正是分析了相关的技术因素和管理因素,寻找其中安全漏洞来入侵系统。
因此,堵塞安全漏洞必须从技术手段和管理制度等方面采取有效措施.在网站建设中,迅美也要求客户选用稳定的服务器,在网站的后台密码设置中,一方面尽量长另一方面尽量频繁地更换下密码。
1。
3 了解OSI 7层协议、TCP/IP 4层协议1.4 了解黑客攻击的手段及DOS攻击的定义黑客攻击手段可分为非破坏性攻击和破坏性攻击两类。
公司网络安全和信息化工作考核实施方案
公司网络安全和信息化工作考核实施方案为进一步强化公司机关各部门及所属各单位推动网络安全和信息化工作的主动性和积极性,提升信息化驱动企业创新发展能力,完善公司信息化考核体系及激励机制,提高信息化考核工作的科学性、规范性和透明度,公司制定了《网络安全和信息化工作考核实施方案》,具体内容如下:一、考核对象公司机关各部门及所属各级分子公司。
二、考核原则(一)考核工作以公开、公正、公平为准则,实事求是地开展考核工作。
(二)考核工作采取自评分析,专家集中评议,必要时上机核查等相结合的形式,采集相关信息,实行百分制测评打分。
(三)根据企业信息化发展的需要,将不定期调整考核方法和内容,引导企业信息化建设健康、持续发展。
三、考核指标(一)考核对象:公司机关相关部门每年度,公司机关相关部门网络安全和信息化工作考核总分为100分,一级指标共四个,具体包括:治理体系及保障措施、新系统或相关模块建设、在用系统运维管理、信息化基础应用等内容,考核指标及评分细则等详见《公司机关部门网络安全和信息化工作绩效考核评分表》(附件1)。
(二)考核对象:公司所属各单位每年度,公司所属各单位网络安全和信息化工作考核总分为100分,一级指标共六个,具体包括:治理体系建设、信息化保障、新建系统建设情况、在用系统运维管理情况、基础设施建设、信息安全等内容,考核指标及评分细则等详见《所属单位网络安全和信息化工作绩效考核评分表》(附件2)。
四、考核评价公司网络安全和信息化领导小组负责研究制定信息化工作考核的基本原则、工作要求等,指导、督促开展网络安全和信息化考核评价工作。
网络安全和信息化领导小组办公室负责组织编制具体考核实施方案,并落实执行。
考核评价的具体步骤为:(一)自评分析1.公司机关部门应于当年度12月上旬,按照《公司机关部门网络安全和信息化工作绩效考核评分表》,对本部门牵头新建系统情况,在用系统运维管理情况等,据实开展自评,编写自评报告,准备相关支撑材料。
工业和信息化部关于电信服务质量的通告(2018年第2号)
工业和信息化部关于电信服务质量的通告(2018年第2号)文章属性•【制定机关】工业和信息化部•【公布日期】2018.06.13•【文号】工信部信管函〔2018〕191号•【施行日期】2018.06.13•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】通信业正文工业和信息化部关于电信服务质量的通告(2018年第2号)工信部信管函〔2018〕191号为推进电信服务质量持续改善,根据《中华人民共和国电信条例》相关规定,现将2018年第一季度电信服务有关情况通告如下:一、电信服务基本情况(一)服务能力稳步提升。
截至一季度末,全国电话用户总数达到16.6亿户,其中移动电话用户14.7亿户。
“宽带中国”战略稳步推进,宽带提速效果日益显著。
固定宽带用户达到3.61亿户,其中50Mbps及以上用户占比达75.2%,100Mbps及以上用户占比达45.2%。
光纤宽带加快普及,光纤接入(FTTH/O)用户总数达到3.08亿户,占固定宽带用户总数的85.3%。
移动宽带用户近12亿户,占比达81.5%,其中4G用户保持稳定增长,总数达到10.6亿户。
(二)网络运行安全畅通。
一季度,全国电信网和互联网运行平稳,通信服务质量整体稳定,电话接通率、互联网可接入率等符合《电信服务规范》指标要求。
通信行业圆满完成春节、“两会”通信保障任务,及时妥善应对江苏、重庆、湖南、安徽、浙江等地地震和气象类突发事件,共投入应急通信保障人员20.4万人次、抢修车辆4.2万台次、油机4.7万台次,快速抢修恢复受损通信设施,累计恢复基站2.1万站次、光缆3390公里,保障抗灾救灾指挥及党政军等重要部门通信畅通,迅速恢复灾区的通信服务,有力保障了公众通信网络整体平稳运行。
(三)推动互联网与经济社会各领域深度融合。
工业互联网建设稳步推进。
国家制造强国建设领导小组设立工业互联网专项工作组,统筹推进工业互联网相关工作。
部省沟通协作进一步加强,吉林、河北、广东、安徽、福建、天津等地发布贯彻落实《国务院关于深化“互联网+先进制造业”发展工业互联网的指导意见》实施方案,深入推动工业互联网创新发展。
网络与信息安全培训
33
(二)2013年工作部署
第一阶段(3月-6月) 自检自查阶段 从网络安全、信息安全、重要通信安全三 方面组织,从管理制度、执行情况、技术手段 、支撑能力等多角度对公司现网络与信息安全 情况进行自检自查,细化工作检查内容,摸清 存在的问题,制定可行的整改措施。
34
(二)2013年工作部署
第二阶段(7月-10月) 抽查整改阶段 根据自检自查阶段发现的问题,建立问题 整改督办机制,逐项进行问题的整改,省分公 司对各地市分公司自查整改情况进行抽查,指 导分公司做好本项工作。
7
一、工作背景
什么是网络与信息安全
网络与信息安全工作背景
8
(二)网络与信息安全工作背景
技术与管理背景
政策背景
9
(二)网络与信息安全工作背景
技术与管理背景
随着Internet的迅速发展,网络将越来越深刻地影响社 会的政治、经济、文化、军事和社会生活的各个方面 攻击多样化:Internet 是一个开放的全球网络,其网络 结构错综复杂,来自病毒的侵袭、黑客的入侵、拒绝服 务、密码破解、网络窃听、数据篡改、垃圾邮件、恶意 扫描等越来越严重 话音IP化:软交换、IMS等话音业务的发展,话音网络 IP化导致传统网络中出现了互联网常见的安全问题。
31
三、贯彻落实
管理机构建立
2013年工作部署
细化措施
32
(二)2013年工作部署
2013年工作部署 2013年是网络与信息安全考核工作的起步之 年,为做好本项工作,2013年工作分三阶段 进行: 第一阶段(3月-6月) 自检自查阶段 第二阶段(7月-10月) 抽查整改阶段 第三阶段(11月-12月)迎检考核阶段
27
XXX电信运营商信息安全考试试题(含答案)
XXX电信运营商信息安全考试试题(含答案)1. 信息安全的定义是什么?答:信息安全是指保护信息免受未经授权的访问、使用、披露、干扰、破坏、修改、复制和传输等威胁的技术、法律、政策和管理措施。
2. 信息安全管理的目标是什么?答:信息安全管理的目标是保护组织的信息资产,确保其机密性、完整性和可用性,防止信息泄露、损坏或被未经授权的个人或组织访问。
3. 列举几个常见的信息安全威胁。
答:常见的信息安全威胁包括计算机病毒、网络攻击、数据泄露、社会工程学攻击、恶意软件、系统漏洞等。
4. 什么是密码攻击?列举常见的密码攻击方式。
答:密码攻击是指试图通过猜测、推测、分析或恶意手段获取密码的行为。
常见的密码攻击方式包括字典攻击、暴力攻击、蛮力攻击、彩虹表攻击等。
5. 介绍一下防火墙的作用。
答:防火墙是一种网络安全设备,用于监控和控制进入和离开网络的数据流。
它可以通过设置访问规则、过滤恶意流量和阻止未授权访问等方式,提供网络安全保护。
6. 什么是数据备份?为什么数据备份重要?答:数据备份是将重要数据复制到另一个存储介质或位置的过程。
数据备份的重要性在于防止数据丢失、恢复数据以及保护数据安全。
当数据遭受意外删除、硬件故障、自然灾害或人为破坏等情况时,数据备份可以帮助恢复数据并保障业务连续性。
7. 什么是社会工程学攻击?举例说明。
答:社会工程学攻击是指通过利用个人或组织的心理漏洞,以欺骗、变相胁迫、虚构身份等方式获取信息或进行非法行为的攻击手段。
举例包括钓鱼邮件、钓鱼网站、冒充身份等。
8. 什么是漏洞扫描?漏洞扫描的目的是什么?答:漏洞扫描是指使用自动化工具或软件检测计算机系统或网络中存在的安全漏洞。
漏洞扫描的目的是及时发现漏洞并采取相应措施修复漏洞,防止黑客或恶意攻击者利用这些漏洞进行攻击或渗透。
9. 请简要介绍一下个人信息保护的原则。
答:个人信息保护的原则包括合法性、正当性、目的限制、必要性、事先明示同意、安全性、保留期限、信息主体权利利益优先、主体参与、隐私保护。
网络信息安全江西省通信行业互联网网络与信息安全保障工作考核办法
网络信息安全江西省通信行业互联网网络与信息安全保障工作考核办法江西省通信行业互联网网络与信息安全保障工作考核办法为提高我省通信行业互联网网络与信息安全保障工作能力,促进互联网行业健康有序的发展,根据国家和信息产业部相关法律、法规和文件精神,结合我省实际制定本考核办法。
一、考核对象电信、联通、移动、铁通、网通、卫通省公司。
二、考核内容(一)互联网网络安全保障工作;(二)互联网信息(含手机短信息)安全保障工作;(三)电信监管技术平台建设和维护的配合工作;(四)国家安全和社会稳定的专项配合工作;(五)其他有相关要求的配合工作。
三、考核办法考核主要采取减分制。
全年度的初始积分分值为100分,对在网络信息安全保障工作中成效显著的酌情加分,对工作不到位的视情节扣除一定的分值(见附表)。
考核工作安排在每年的年终进行,由各通信运营企业先自评,并提供相关说明资料,再由省通信管理局负责核实、汇总和统计本年度考核积分情况并予以反馈。
有下列情形之一的,取消评先资格:1、互联网网络与信息安全保障工作受到信息产业部或省通信管理局通报批评的;2、省或市级电信运营企业因互联网网络与信息安全保障工作受到省通信管理局处罚累计两次及以上的。
四、奖惩措施对全面考核排名在前两位的单位,由省通信管理局在全省通信管理工作会议上进行表彰,并优先向省、部推荐作为相关先进单位的参评单位。
对考核中被一票否决及存在问题较多的单位,由省通信管理局在全省通信管理工作会议上通报批评。
附表:江西省通信行业互联网网络与信息安全保障工作考核标准江西省通信行业互联网网络与信息安全保障工作考核标准考核项目分值考核内容考核说明一、互联网网络与信息安全基本要求(12分)1、互联网网络安全组1、建立了“一把手”为第一责任人的网络信息安全责织机构、人员配备、6 任制度;2、成立了相应的组织机构,设立了专门的岗工作制度和考核机制位并配有专职或兼职人员;3、分工明确,责任到位;4、建立了相应的规章制度、工作流程和内部考核机制;2、互联网信息安全组5、建立了有效的联系人制度和重大情况报告制度;6、织机构、人员配备、6平时工作有记录,年度工作有总结。
基础电信企业网络与信息安全考核要点
附件2 2018基础电信企业网络与信息安全责任考核检查要点综合管理部分检查内容检查要点检查方式及要求检查结果1.党委(党组)责任落实检查企业落实党委(党组)责任体制机制。
1.检查公司落实党委(党组)责任落实发文2.检查党委(党组)会议记录、纪要1.关于印发《连云港联通网络与信息安全管理实施细则》的通知 2.公司党委议纪要(20180409)2.信息安全专职人员履职、培训1.人员是否具备履职能力;2.人员机制建设是否合理2.公司是否拟制培训计划,或已开展相关培训。
1.检查公司发文、检查公司KPI文件和部门KPI打分情况等台账资料;2.通过在线测试,考察信安专员相关工作知识、技能掌握情况;3.通过人员访谈,了解其对考核政策的理解程度和执行情况;4.检查培训计划或开展情况。
1.扣分表,人资留存一份(主要为实名制扣分)2.在线考试4.培训材料3.重大活动保障重大活动期间(如全国两会等国家级重大活动和江苏省发展大会等省级重大活动)是否在管理、技术、人员等方面履行应急保障责任1.检查公司人员值班情况;2.检查自主防护情况。
3.检查系统保障情况;4.检查应急处置情况.春节、两会、高考、青岛上合峰会重保期间网信安值班表、总结。
季度应急演练4.活动配合检查世界电信日、网络安全宣传周等宣传活动和阳光网络伴我成长等正面引导活动配合情况。
1.核查公司线上线下(如“两微一端”、营业厅等)是否进行宣传;2.核查公司相关活动总结。
1.1月份反恐怖宣传(资料全)2.电信日(反诈骗宣传,多增加宣传照片)3.阳光网络伴我成长(校园营业厅宣传缺照片)4.防范非法集资宣传(正在进行中)信息安全部分检查内容检查要点检查方式及要求检查结果1.移动上网日志留存企业移动上网日志留存系统功能、性能是否符合规范。
现场拨测(考虑拨测反馈时间因素,建议在听取汇报时同时进行)。
用手机拨测工具现场拨测若干网页,告诉企业手机号,请其2小时内提供手机上网的网页记录,核对是否完整;检查日志是否满足6个月留存标准。
电信车间2018年安全考核标准
电信车间(安全)工作要求明细及考核标准根据方大化工科技技术有限公司、安全部、人力资源部、治安保卫部、建安修建公司、安全科等相关单位管理规定及《岗位安全操作规程》、《员工守则》等相关要求,电信车间结合自身工作环境制定出关于安全工作方面的细则及对车间和员工的安全工作要求。
一、劳动纪律方面:【按要求做到,每位员工各自保护好自己】1、工作时间按要求正确穿戴工作服、鞋、帽,佩戴胸卡、党员佩戴党徽。
解释:(1)、扣好衣服扣子,不得敞怀,只有上边第一颗扣子不需按要求扣好外其他扣子必须扣好,被查出没按要求扣好扣子的视为没穿工作服,按相关规定处罚;(2)、系好鞋带,被查出鞋带没系好视为没穿规定鞋,按相关规定处罚;进入现场厂区必须戴安全帽,只要安全帽戴到头上就必须系好保险绳,不系好保险绳的视为没戴安全帽处罚;(3)、全体员工随身携带胸卡,党员同志佩戴党徽。
不按要求佩戴的被查出按相关规定处罚;2、厂区内不得吸烟、喝酒。
解释:(1)、进入化工厂大门内,不得吸烟、不得喝酒。
如有违反者解聘劳动合同处理;(2)、在车间管辖区内的公共场所发现烟头、烟灰,处罚车间(属地管理);在休息室、走廊等场所发现烟头、烟灰、烟味,按相关规定处罚本区域归属负责人及区域内所有员工;(3)、严禁酒后上岗,如果被查出酒后上岗解除劳动合同处理;(4)、非工作时间内因单位临时有事被叫入厂人员,如果在喝过酒的情况下请说明原因,不得入厂,如果入厂被查出,则视为饮酒上岗,解除劳动合同处理,知情负责人连带受罚;(5)、非工作时间自行酒后入厂者,如果被查出自行与相关单位解释。
3、工作时间,员工不许做与工作无关的事(包括玩手机)。
解释:(1)、工作时间不得干私活,被查出按违反员工守则相关规定处罚;(2)、虽说公司要求员工加公司相关部门微信群,但只限于工作使用,工作时间不得使用手机做与工作无关的事,被查出按违反劳动纪律相关规定处罚;(3)、如果在相应要求及培训考试期间内,使用手机学习、复习、查阅资料等,由车间负责与相关部门联系申请某一时间段允许使用手机,但如果借此机会用手机干别的,被查出视为工作时间玩手机处罚。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1.是否部署通过国家互联网应急中心Acheron安全测评认证的数据防泄漏系统。
2.是否及时有效的对系统发现的安全事件进行处置。
1.查看系统部署情况。
2.查看系统告警事件的处置情况。
9.网络安全远程检测情况
选取部分企业静态自用IP地址进行网络安全远程检测。
通报检测结果。
2.查看备案信息台账,应包括人员、号、资质证书、项目经验等。
7.4A系统建设运行情况
是否已按照《账号、授权、认证和审计(4A)集中管理系统技术要求》(2015-0706T-YD)所要求的集中账号管理、集中认证管理、集中授权管理和集中审计管理能力覆盖所有三级及以上网络和系统。
根据系统中企业定级备案台账,核查4A系统是否已覆盖三级及以上网元全部设备。
春节、两会、高考、上合峰会重保期间网信安值班表、总结。季度应急演练
4.活动配合
检查世界电信日、网络安全宣传周等宣传活动和网络伴我成长等正面引导活动配合情况。
1.核查公司线上线下(如“两核查公司相关活动总结。
1.1月份反恐怖宣传(资料全)2.电信日(反诈骗宣传,多增加宣传照片)3.网络伴我成长(校园营业厅宣传缺照片)4.防非法集资宣传(正在进行中)
1.在工程项目设计中是否包含网络安全保障设施相关容;网络安全保障设施是否完成同步验收;网络安全保障设施是否同步投入运行。
2.针对重点网络单元,是否进行定级备案、符合性评测及风险评估工作。
1.查看工程项目相关台账是否满足三同步要求。
2.登陆系统查看具体备案单元息是否准确;
1.查看用户个人电子信息相关制度及台账,管理制度未包括个人信息分级分类管理、访问控制、日志记录、应急响应等容。
2.记录个人信息访问操作日志,日志应包括用户ID、时间、访问操作对象、操作类型等字段。
3.查看个人电子信息保护自查及整改相关情况。
4.网络安全事件应急处置情况
1.是否制定符合本企业实际情况并与电信主管部要求相衔接的网络安全应急预案;
对各企业IP比对异常结果进行通报。
6.安全服务可管可控情况
1.2018年新采购的安全服务项目(网络安全设计与集成、风险评估、应急响应、安全培训服务)中,是否选用通过有关行业组织网络安全服务能力评定的单位开展有关工作。
2.是否对网络安全服务机构实际提供服务人员的信息进行备案管理。
1.查看企业项目管理系统,核实新采购的安全服务项目是否满足要求。
2.核查市公司月度备案拨测情况。
4.互联网专项行动
是否认真开展各类专项行动
1.通过询问专职人员及查询台账资料,检查管局今年以来下发的各类专项行动是否布置到地市公司。
2.对于各类专项行动,是否有方案(包括转发的)、有计划、有落实、有小结,是否符合报送时限要求。
3.抽查排查容拨测(如网页url、IP地址、属性、拨测时间)等工作记录。
3.风险评估报告容需包含扫描结果、整改建议、复查结果等容。
3.重要数据和用户个人电子信息保护情况
1.是否正式发文明确个人信息保护的责任部门及管理职责,建立用户个人信息保护责任制和安全管理制度。
2.是否记录企业部人员、外包服务人员对个人信息的访问操作日志,并定期审计。
3.是否开展了个人电子信息保护情况自查。
附件2 2018基础电信企业网络与信息安全责任考核检查要点
综合管理部分
检查容
检查要点
检查方式及要求
检查结果
1.党委(党组)
责任落实
检查企业落实党委(党组)
责任体制机制。
1.检查公司落实党委(党组)责任落实发文
2.检查党委(党组)会议记录、纪要
1.关于印发《联通网络与信息安全管理实施细则》的通知2.公司党委议纪要(20180409)
2.是否组织开展本企业的网络安全应急演练。
1.查看应急预案,确定是否与地市企业实际情况相符,预案需保留版本更迭情况;
2.查看应急演练材料,确定演练容、参与人员等是否合适。演练需与预案相配套比对预案有所反馈。
5.互联网IP地址核查
1.是否及时对管局侧IP管理系统比对发现的异常数据进行更新;
2.对于企业自用IP地址,利用技术手段核查是否存在漏报、错报的现象。
2.信息安全专职人员履职、培训
1.人员是否具备履职能力;
2.人员机制建设是否合理
2.公司是否拟制培训计划,或已开展相关培训。
1.检查公司发文、检查公司KPI文件和部门KPI打分情况等台账资料;
2.通过在线测试,考察信安专员相关工作知识、技能掌握情况;
3.通过人员访谈,了解其对考核政策的理解程度和执行情况;
2.接入资源管理
是否合规提供IDC、CDN、云计算等接入资源。
1.检查接入用户是否实名验证;
2.检查资源分配台账;
3.核查有无超围经营、超地域、层层转租等违规情况;
4.检查接入服务持证企业是否通过部信安系统评测。
3.备案管理
是否主动并按照管局要求开展备案管理
1.检查是否按时限完成系统下发的未备案(1日)、未报备(7日)等的报备或中断接入工作;
4.检查培训计划或开展情况。
1.扣分表,人资留存一份(主要为实名制扣分)2.在线考试4.培训材料
3.重大活动保障
重大活动期间(如全国两会等国家级重大活动和省发展大会等省级重大活动)是否在管理、技术、人员等方面履行应急保障责任
1.检查公司人员值班情况;
2.检查自主防护情况。
3.检查系统保障情况;
4.检查应急处置情况.
1.开展STRUTS 2系列漏洞专项整治工作2.2017扫黄打非
5.信安系统使用
是否按照部省要求使用信安系统。
1.核查管局侧下发任务的执行情况;
2.现场核验IDC用户信息;
3.检查信安系统的使用情况,核查登录日志。
网络安全部分
检查容
检查要点
检查方式及要求
检查结果
1.网络安全组织机构和人员配备
1.是否明确1名公司主管领导统筹协调网络安全各项工作。
2.是否明确本公司网络安全的主要目标、基本要求、工作任务、保护措施。
3.是否明确一个网络安全管理部门,明确部门职责,配备一名专职人员。
1.查看相关文件,文件中需指明公司网络安全的主要目标、基本要求、工作任务、保护措施以及网络安全管理部门、专职人员的职责。
2.与专职人员访谈,检查日常工作情况。
2.网络安全三同步、定级备案、符合性评测和风险评估
信息安全部分
检查容
检查要点
检查方式及要求
检查结果
1.移动上网日志留存
企业移动上网日志留存系统功能、性能是否符合规。
现场拨测(考虑拨测反馈时间因素,建议在听取汇报时同时进行)。用手机拨测工具现场拨测若干网页,告诉企业手机号,请其2小时提供手机上网的网页记录,核对是否完整;检查日志是否满足6个月留存标准。