网络时代的到来,就是信息化时代的到来。随着Internet的不断发展,信息技术已成为促进经济发展、社会进步的巨大推动力网络带给大家的优越性是有目共睹的。但是随之而来的网络安全问题成为了大家所关注的交点。为了认真贯彻执行省委办公厅、省政府办公厅,关于加强电子政务保密管理工作应采取措施:
第一章: 网络安全性
第二章: 保密性与系统管理
第三章: 人员培训
第四章: 管理制度
第一章:网络安全性
网络安全是一项动态的、整体的系统工程,从技术上来说,网络安全由安全的操作系统、应用系统、防病毒、防火墙、入侵检测、网络监控、实时监控与恢复系统安全扫描等多个安全组件组成,一个单独的组件是无法确保您信息网络的安全性。这就需要硬件与软件相结合来使用才能使得网络安全得到进一步的保障。
第一节:硬件方面
计算机本身的硬件是否稳定可靠,整体性能是否优越。是否有加密设备(比如:热狗),是否有硬件防火墙。这样也为网络安全性进一步的提供了条件。
第二节:软件方面
1. 防病毒软件
2001年是不平凡的一年,是计算机病毒疯狂肆虐的一年,红色代码病毒、尼姆达病毒、求职病毒触动了信息网络脆弱的安全神经,更使部分信息网络用户一度陷入通讯瘫痪的尴尬局面……
为了免受病毒所造成的损失,建议采用多层的病毒防卫体系。所谓的多层病毒防卫体系,是指在每台PC机上安装单机版反病毒软件,在服务器上安装基于服务器的反病毒软件(比如:瑞星、熊猫卫士、江民等等),在网关上安装基于网关的反病毒软件。因为防止病毒的攻击是每个员工的责任,人人都要做到自己使用的台式机上不受病毒的感染,从而保证整个网络不受病毒的感染。
考虑到病毒在网络中存储、传播、感染的方式各异且途径多种多样,故相应地在构建网络防病毒系统时,应利用全方位的企业防毒产品,实施层层设防、集中控制、以防为主、防杀结合的策略。具体而言,就是针对网络中所有可能的病毒攻击设置对应的防毒软件,通过全方位、多层次的防毒系统配置,使网络没有薄弱环节成为病毒入侵的缺口。
2. 软件防火墙
防火墙技术是重要网络安全技术,其主要作用是在网络入口处检查网络通讯,根据客户设定的安全规则,在保护内部网络安全的前提下,保障内外网络通讯。
在网络出口处安装防火墙后,内部网络与外部网络进行了有效的隔离,所有来自外部网络的访问请求都要通过防火墙的检查,内部网络的安全有了很大的提高。防火墙可以完成以下具体任务:
★通过源地址过滤,拒绝外部非法IP地址,有效的避免了外部网络上与工作无关的主机的越权访问;
★防火墙可以只保留有用的服务,将其他不需要的服务关闭,这样做可以将系统受攻击的可能性降低到最小限度,使黑客无机可乘;
★同样,防火墙可以制定访问策略,只有被授权的外部主机可以访问内部网络的有限IP地址,保证外部网络只能访问内部网络中的必要资源,与工作无关的操作将被拒绝;
★由于外部网络对内部网络的所有访问都要经过防火墙,所以防火墙可以全面监视外部网络对内部网络的访问活动,并进行详细的记录,通过分析可以得出可疑的攻击行为;
★另外,由于安装了防火墙后,网络的安全策略由防火墙集中管理,因此,黑客无法通过更改某一台主机的安全策略来达到控制其他资源访问权限的目的,而直接攻击防火墙几乎是不可能的。
★防火墙可以进行地址转换工作,使外部网络用户不能看到内部网络的结构,使黑客攻击失去目标。
3. 入侵检测技术
应用防火墙技术,经过细致的系统配置,通常能够在内外网之间提供安全的网络保护,降低网络的安全风险。但是,仅仅使用防火墙、网络安全还远远不够。因为:
(1).入侵者可能寻找到防火墙背后敞开的后门;
(2).入侵者可能就在防火墙内;
(3).由于性能的限制,防火墙通常不能提供实时的入侵检测能力。
入侵检测系统新型网络安全技术,目的是提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等。 实时入侵检测能力之所以重要是因为它能够对付来自内外网络的攻击,其次是因为它能够缩短黑客入侵的时间。
如在需要保护的主机网段上安装了入侵检测系统,可以实时监视各种对主机的访问请求,并及时将信息反馈给控制台,这样全网任何一台主机受到攻击时系统都可以及时发现。
4.安全扫描技术
安全扫描技术是重要的网络安全技术。安全扫描技术与防火墙、入侵检测系统互相配合,能够有效提高网络的安全性。
通过对网络的扫描,网络管理员可以了解网络的安全配置和运行的应用服务,及时发现安全漏洞,客观评估网络风险等级。网络管理员可以根据扫描的结果更正网络安全漏洞和系统中的错误配置,在黑客攻击前进行防范。如果说防火墙和网络监控系统是被动的防御手段,那么安全扫描就是一种主动的防范措施,可以有效避免黑客攻击行为,做到防患于未然。能够及时发现网络环境中的安全漏洞,保证网络安全的完整性,并能有效评估内部网络、服务器、防火墙、路由器中可被黑客利用的网络薄弱环节。这样有利于查出网络薄弱环节,及时补救,以免受到黑客功击。
5. 网站实时监控与恢复系统
Web服务系统是个让外界了解您的窗口,它的正常运行将关系到您的形象。由于网站服务器系统在安全检测中存在严重的安全漏洞,也是黑客入侵的极大目标,故我们推荐使用网站监控与自动恢复系统,保护您网站服务器的安全。
网站监控与自动恢复系统,采用几乎无法伪造的数字签名算法(MD5),对备份文件进行加密及排序处理,可同机监控,也可异机监控;并采用相互授权认证措施,由服务器对连接上来的客户端进行身份验证,确定其访问权限,然后再由客户端对服务器进行身份确认,使得未经授权的用户无法登录使用该系统;对Web静态文件和重要的系统文件进行双机备份和监控,即使web服务器瘫痪也能在数分钟内将之全面恢复; 网站监控与恢复系统对Web网站管理员是透明的,管理员可以通过ftp客户端程序上载文件,而几乎感觉不到监控系统的存在,ftp客户端使远程用户可以在不中断实时监控的情况下进行安全的文件上传,全面保障系统的安全和正常运行。
6. 应用网络安全紧急响应体系,防范安全突发事件
网络安全作为一项动态工程,意味着她的安全程度会随着时间的变化而发生改变。在信息技术日新月异的今天,昔日固若金汤的网络安全策略,总难免会随着时间的推进和环境的变化,而变得不堪一击。因此,我们需要随着时间和网络环境的变化或技术的发展而不断调整自身的安全策略,并及时组建网络安全紧急响应体系,专人负责,防范安全突发事件。
紧急响应的目标
(1)故障定位及排除
目前依靠广域网的响应时间过长,而一般的网络系统涉及到系统、设备、应用等多个层面,因此如何将性能或故障等方面的问题准确定位在涉及到(线路、设备、服务器、操作系统、电子邮件)的具体位置,是本响应体系提供的基本功能。
(2)预防问题
通过在广域网上对网络设备和网络流量的实施监控和分析,预防问题的发生,在系统出现性能抖动时,就能及时发现,并建议系统管理员采用及时的处理。
(3)优化性能
通过对线路和其他系统进行透视化管理,利用管理系统提供的专家功能对系统的性能进行优化。
(4)提供整体网络运行的健康以及趋势分析。
对网络系统整体的运行情况作出长期的健康和趋势报告,分析系统的使用情况,对新系统的规划作出精确的基础。
7. 电脑防黑策略
在这个网络时代,每个人都可以轻易地从网络上得到各种简单易用的黑客工具,于是,“黑客”就诞生了。这些人多半是一些无所事事的网虫,天生就有破坏的欲望。于是无聊+表现欲促使他们拿着从网上找来的各种“炸弹”之类的东西开始在浩大的网络中寻找可以炫耀一下自己本事的猎物。当你在网络上冲浪,或是正在同别人聊天时,机器突然死机了或是蓝屏了,网页不能浏览了,QQ登录不上去了,这时你就该想想自己是不是中毒了,或是被黑了。那么为防止我们的个人电脑被黑客攻击,我们使用电脑时该遵循些什么样的安全准则呢?
★密码安全准则 不要使用简单的密码。不要简单地用生日、单词或电话号码作为密码,密码的长度至少要8个字符以上,包含数字、大、小写字母和键盘上的其他字符混合。对于不同的网站和程序,要使用不同口令,以防止被黑客破译。要记录好你的ID和密码以免忘记,但不要将记录存放在上网的电脑里。不要为了下次登录方便而保存密码;还有,要经常更改密码和不要向任何人透露您的密码。
★电子邮件安全准则 不要轻易打开电子邮件中的附件,更不要轻易运行邮件附件中的程序,除非你知道信息的来源。要时刻保持警惕性,不要轻易相信熟人发来的E-mail就一定没有黑客程序,如Happy99就会自动加在E-mail附件当中。不要在网络上随意公布或者留下您的电子邮件地址,去转信站申请一个转信信箱,因为只有它是不怕炸的。在E-mail客户端软件中限制邮件大小和过滤垃圾邮件;使用远程登录的方式来预览邮件;最好申请数字签名;对于邮件附件要先用防病毒软件和专业清除木马的工具进行扫描后方可使用。
★IE的安全准则 对于使用公共机器上网的网民,一定要注意IE的安全性。因为IE的自动完成功能在给用户填写表单和输入Web地址带来一定便利的同时,也给用户带来了潜在的泄密危险,最好禁用IE的自动完成功能。IE的历史记录中保存了用户已经访问过的所有页面的链接,在离开之前一定要清除历史记录;另外IE的临时文件夹(WindowsTemporary Internet Files)内保存了用户已经浏览过的网页,通过IE的脱机浏览特性或者是其他第三方的离线浏览软件,其他用户能够轻松地翻阅你浏览的内容,所以离开之前也需删除该路径下的文件。还要使用具有对Cookie程序控制权的安全程序,因为Cookie程序会把信息传送回网站,当然安装个人防火墙也可对Cookie的使用进行禁止、提示或启用。
★聊天软件的安全准则 件在使用聊天软的时候,最好设置为隐藏用户,以免别有用心者使用一些专用软件查看到你的IP地址,然后采用一些针对IP 地址的黑客工具对你进行攻击。在聊天室的时候,还要预防Java炸弹,攻击者通常发送一些带恶意代码的HTML语句使你的电脑打开无数个窗口或显示巨型图片,最终导致死机。你只需禁止Java脚本的运行和显示图像功能就可以避免遭到攻击了,但这时你就没法访问一些交互式网页了,这需要你个人权衡。
★防止特洛伊木马安全准则 不要太容易信任别人, 不要轻易安装和运行从那些不知名的网站(特别是不可靠的FTP站点)下载的软件和来历不明的软件。有些程序可能是木马程序,如果你一旦安装了这些程序,它们就会在你不知情的情况下更改你的系统或者连接到远程的服务器。这样,黑客就可以很容易进入你的电脑。笔者并不是让大家不信任来自Internet的任何东西,因为即使是很大的网站,都有可能遭到黑客的破坏。对于此类软件,即使通过了一般反病毒软件的检查也不要轻易运行,要用如Cleaner等专门的黑客程序清除软件检查,并且需要提醒大家注意的是这些软件的病毒库文件要经常更新。同时不要让他人随意在您的计算机上安装软件。另外如果是购买二手电脑,不要购买或者使用那些曾经受过入侵,但仍未清理过硬盘的二手电脑。因为这样很可能为黑客提供了入侵你的电脑的机会,最好是重新格式化硬盘,并重装操作系统。
★定期升级你的系统很多常用的程序和操作系统的内核都会发现漏洞,某些漏洞会让入侵者很容易进入到你的系统,这些漏洞会以很快的速度在黑客中传开。如流传极广的尼姆达病毒就是针对微软信件浏览器的弱点和Windows NT/2000、IIS的漏洞而编写出的一种传播能力很强的病毒。因此,用户一定要小心防范。软件的开发商会把补丁公布,以便用户补救这些漏洞。建议用户订阅关于这些漏洞的邮件列表,以便及时知道这些漏洞后打上补丁,以防黑客攻击。当然最好使用最新版本的浏览器软件、电子邮件软件以及其他程序,但不要是测试版本。
★禁止文件共享局域网里的用户喜欢将自己的电脑设置为文件共享,以方便相互之间资源共享,但是如果你设了共享的话,就为那些黑客留了后门,这样他们就有机可乘进入你的电脑偷看你的文件,甚至搞些小破坏。建议在非设共享不可的情况下,最好为共享文件夹设置一个密码,否则公众以及你的对手将可以自由地访问你的那些共享文件。如果在上网时遵守了以上这些准则的话,就可以在一定程度上保证电脑的安全,避免黑客的攻击。
第二章:保密性与系统管理
系统管理
第一条: 计算机信息系统的保密管理应实行领导负责制,由使用计算机信息系统的单位的主管领导负责本单位的计算机信息系统的保密工作,并指定有关机构和人员具体承办。计算机信息系统的其它物理安全要求应符合国家有关保密标准。各单位的保密工作机构协助本科室的领导对计算机信息系统的保密工作进行指导、协调、监督和检查。
第二条: 科室应依照有关法规和标准对本科室的计算机信息系统进行保密技术检查。计算机信息系统的系统安全保密管理人员应经过严格审查,定期进行考核,并保持相对稳定。
第三条: 各科室保密工作机构应对计算机信息系统的工作人员进行上岗前的保密培训,并定期进行培训和检查。科室和个人发现计算机信息系统泄密后,应及时采取补救措施,并按有关规定及时向上级报告。
涉密信息
第四条: 涉密信息和数据必须按照保密规定进行采集、存储、处理、传递、使用和销毁。
第五条: 计算机信息系统存储、处理、传递、输出的涉密信息要有相应的密级标识,密级标识不能与正文分离。
第六条: 国家秘密信息不得在与国际网络联网的计算机信息系统中存储、处理、传递。计算机信息系统联网应当采取系统访问控制、数据保护和系统安全保密监控管理等技术措施
第七条: 计算机信息系统国际联网的保密管理,实行控制源头、归口管理、分级负责、突出点、有利发展的原则。 涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其他公共信息网络相联接,必须实行物理隔离。
第八条: 上网信息的保密管理坚持“谁上网谁负责”的原则。凡向国际联网的站点提供或发布信息,必须经过保密审查批准。保密审批实行科室管理,有关提供信息的科室应当按照一定的工作程序,健全信息保密审批制度。
第九条: 凡以提供网上信息服务为目的而采集的信息,除在其他新闻媒体上已公开发表的。组织者在上网发布前,应当征得提供信息单位的同意;凡对网上信息进行扩充或更新,应当认真执行信息保密审核制度。
第十条: 凡在网上开设电子公告系统、聊天室、网络新闻组的单位和用户,应由相应的保密工作机构审批,明确保密要求和责任。任何单位和个人不得在电子公告系统、聊天室、网络新闻组上发布、谈论和传播国家秘密信息。
第十一条: 面向社会开放的电子公告系统、聊天室、网络新闻组,开办人或其上级主管部门应认真履行保密义务,建立完善的管理制度,加强监督检查。发现有涉密信息,应及时采取措施,并报告当地保密工作部门。
第十二条: 在用户使用电子函件进行网上信息交流,应当遵守国家有关保密规定,不得利用电子函件传递、转发或抄送国家秘密信息。互联单位、接入单位对其管理的邮件服务器的用户,应当明确保密要求,完善管理制度。
第十三条: 互联单位和接入单位,应当把保密教育作为国际联网技术培训的重要内容。互联单位与接入单位、接入单位与用户所签定的协议和用户守则中,应当明确规定遵守国家保密法律,不得泄露国家秘密信息的条款。
保密监督
第十四条: 各级保密工作科室应当有相应机构或人员负责计算机信息系统联网的保密管理工作,应当督促互联科室、接入科室及用户建立健全信息保密管理制度,监督、检查联网保密管理制度规定的执行情况。
第十五条: 对于没有建立信息保密管理制度或责任不明、措施不力、管理混乱,存在明显威胁国家秘密信息安全隐患的科室或单位,保密工作科室应责令其进行整改,整改后仍不符合保密要求的,应当督促其停止联网。
第十六条: 各级保密工作科室,应当加强计算机信息系统联网的保密检查,依法查处各种泄密行为。
第十七条: 互联单位、接入单位和用户,应当接受并配合保密工作科室实施的保密监督检查,协助保密工作科室查处利用联网泄露国家秘密的违法行为,并根据保密工作科室的要求,删除网上涉及国家秘密的信息。
第十八条: 互联单位、接入单位和用户,发现国家秘密泄露或可能泄露情况时,应当立即向保密工作科室或机构报告。
第十九条: 各级保密工作科室和机构接到举报或检查发现网上有泄露情况时,应当立即组织查处,并督促有关科室及单位及时采取补救措施,监督有关单位限期删除网上涉及国家秘密的信息。
第三章:人员培训
信息化时代快速飞越的发展,就意识着另一个时代的到来。跟上时代的发展必然要不断的更新自己的知识。所以各级保密工作科室负责计算机信息系统联网的保密管理工作人员必须定期培训相关的计算机专业知识。这样才能有效保证网络安全。
第一条:计算机培训主要由网络中心来承担此项工作,组织相关人员认真学习《计算机信息网络国际互联网安全保护管理办法》,提高工作人员的维护网络安全的警惕性和自觉性。
第二条:负责对本网络用户进行安全教育和培训,使用户自觉遵守和维护《计算机信息网络国际互联网安全保护管理办法》,使他们具备基本的网络安全知识。
第三条:培训内容主要以网络基础知识、计算机操作系统(如:WindowsXP、Windows2000、Windows98SE)的操作技术、网络安全软件及相关常用软件的使用为培训的主要内容。
第四条:培训的最佳时间为三个月一次。课程内容的培训一般为两天;
第四章:管理制度
为加强对本局网络安全问题制定了本局信息发布和公告系统的信息发布的管理,杜绝违犯《计算机信息网络国际互联网安全保护管理办法》的内容出现。
发现从事下列危害计算机信息网络安全的活动的:
(一)未经允许将网络中心所安装的防病毒软件、及防火墙擅自删除的;
(二)未经允许进入计算机信息网络或者使用计算机信息网络资源;
(三)未经允许对计算机信息网络功能进行删除、修改或者增加;
(四)未经允许对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加;
(五)捏造或者歪曲事实、散布谣言,扰乱社会秩序
(六)故意制作、传播计算机病毒等破坏性程序的;
(七)上网期间访问不健康网站及非法网站的;
(八)损害国家机关信誉
已经发现上述行为将屏蔽掉此科室的上网端口停止上网资格。遇到安全问题时,应及时汇报至网络中心,采取措施及时解决。