信息網(wǎng)絡(luò)安全管理

《信息網(wǎng)絡(luò)安全管理》由會員分享，可在線閱讀，更多相關(guān)《信息網(wǎng)絡(luò)安全管理（100頁珍藏版）》請?jiān)谘b配圖網(wǎng)上搜索。

1、,,單擊此處編輯母版標(biāo)題樣式,,單擊此處編輯母版文本樣式,,第二級,,第三級,,第四級,,第五級,,,,*,吉林省公安廳網(wǎng)絡(luò)警察總隊(duì),歡迎參加,信息網(wǎng)絡(luò)安全專業(yè)技術(shù)人員繼續(xù)教育培訓(xùn)班,1,,信息網(wǎng)絡(luò),安全管理,吉林省公安廳網(wǎng)絡(luò)警察總隊(duì),,全繼天,,2,信息網(wǎng)絡(luò)安全管理,,◆信息安全法律法規(guī)與標(biāo)準(zhǔn)介紹,,,◆信息網(wǎng)絡(luò)違法犯罪,,,◆信息安全管理簡介,,,◆信息安全監(jiān)管,3,,信息網(wǎng)絡(luò)安全管理,◆信息安全法律法規(guī)與標(biāo)準(zhǔn)介紹,,,◆法律法規(guī),,,◇,中華人民共和國刑法（第285、286、287條）1997.3.14,,,◇,中華人民共和國人民警察法 1995.2.28,,,◇,中華人民共和國治安管

2、理處罰法 2005.8.28,,,◇,全國人民代表大會常務(wù)委員會關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定,2000.12.28,,,◇,中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例 1994.2.18,,,◇,計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法 1997.12.30,,,◇,計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品檢測和銷售許可證管理辦法 1997.6.28,,,◇,計(jì)算機(jī)病毒防治管理辦法 2000.3.30,,,◇,金融機(jī)構(gòu)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作暫行規(guī)定 1998.8.31,,,◇,互聯(lián)網(wǎng)電子公告服務(wù)管理規(guī)定 2000.10.8,,,◇,計(jì)算機(jī)信息系統(tǒng)保密管理暫行規(guī)定 1998.2.26,,,,◇,信息安

3、全等級保護(hù)管理辦法 2006.3.1,,,◇,互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定 2006.3.1,,,4,,信息網(wǎng)絡(luò)安全管理,◆信息安全法律法規(guī)與標(biāo)準(zhǔn)介紹,,,◆國家標(biāo)準(zhǔn),,,◇計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品分類原則 GA163-1997,,,◇計(jì)算機(jī)信息系統(tǒng)防雷保安器 GA173-1998,,◇信息技術(shù)設(shè)備的無線電干擾極限值和測量方法 GB9254-88,,,◇計(jì)算站場地安全要求 GB9361-88,,,◇計(jì)算站場地技術(shù)條件 GB2887-89,,,◇電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范 GB50174-93,,,◇電子計(jì)算機(jī)機(jī)房施工及驗(yàn)收規(guī)范 SJ/T30003-93,,,◇計(jì)算機(jī)信息安全保護(hù)等級劃

4、分準(zhǔn)則 GB-17859:1999,,,◇計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)通用技術(shù)要求 GA/T390-2002,,,◇計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)操作系統(tǒng)技術(shù)要求 GA/T388-2002,,,◇計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)數(shù)據(jù)庫管理系統(tǒng)技術(shù)要求,GA/T387-2002,,,◇計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)管理要求 GA/T391-2002,,,◆國際標(biāo)準(zhǔn),,◇信息安全管理標(biāo)準(zhǔn) BS7799,,◇ISO/IEC17799 國際信息安全管理標(biāo)準(zhǔn),5,,信息網(wǎng)絡(luò)安全管理,◆信息安全法律法規(guī)與標(biāo)準(zhǔn)介紹,,◆信息系統(tǒng)安全保護(hù)《條例》與《辦法》,,◇,中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例,,◇,適用

5、范圍,,,《條例》規(guī)定不得利用計(jì)算機(jī)信息系統(tǒng)從事危害國家利益、集體利益和公民合法利益的活動，不得危害計(jì)算機(jī)信息系統(tǒng)的安全?！稐l例》適用于任何組織或者個(gè)人。中華人民共和國境內(nèi)的計(jì)算機(jī)信息系統(tǒng)的安全保護(hù)適用本條例。,6,,信息網(wǎng)絡(luò)安全管理,◆信息安全法律法規(guī)與標(biāo)準(zhǔn)介紹,,◆信息系統(tǒng)安全保護(hù)《條例》與《辦法》,,◇,中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例,,◇主要內(nèi)容,,,.準(zhǔn)確標(biāo)明了安全保護(hù)工作的性質(zhì),,.科學(xué)界定了“計(jì)算機(jī)信息系統(tǒng)”的概念,,.系統(tǒng)設(shè)置了安全保護(hù)的制度,,.明確確定了安全監(jiān)督的職權(quán),,.全面規(guī)定了違法者的法律責(zé)任,,.定義了計(jì)算機(jī)病毒及專用安全產(chǎn)品,7,,信息網(wǎng)絡(luò)安全管理,◆信

6、息安全法律法規(guī)與標(biāo)準(zhǔn)介紹,,◆信息系統(tǒng)安全保護(hù)《條例》與《辦法》,,◇,計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全管理辦法,,◇,適用范圍和公安機(jī)關(guān)職責(zé),,,.《辦法》適用于中華人民共和國境內(nèi)的計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理。,,.《辦法》的調(diào)整對象是從事國際聯(lián)網(wǎng)業(yè)務(wù)的單位和個(gè)人。,,.公安機(jī)關(guān)職責(zé)劃分：公安部計(jì)算機(jī)管理監(jiān)察機(jī)構(gòu)負(fù)責(zé)計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)的安全保護(hù)管理工作。公安機(jī)關(guān)計(jì)算機(jī)管理監(jiān)察機(jī)構(gòu)應(yīng)當(dāng)保護(hù)計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)的公共安全，維護(hù)從事國際聯(lián)網(wǎng)業(yè)務(wù)的單位和個(gè)人的合法權(quán)益及公眾利益。,8,,信息網(wǎng)絡(luò)安全管理,◆信息安全法律法規(guī)與標(biāo)準(zhǔn)介紹,,◆信息系統(tǒng)安全保護(hù)《條例》與《辦法》,,◇,計(jì)算機(jī)信息網(wǎng)

7、絡(luò)國際聯(lián)網(wǎng)安全管理辦法,,,◇安全責(zé)任、義務(wù)和法律責(zé)任,,,.安全保護(hù)職責(zé),,.安全監(jiān)督,,.法律責(zé)任,9,,信息網(wǎng)絡(luò)安全管理,◆,信息安全法律法規(guī)與標(biāo)準(zhǔn)介紹,,,◇,互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定,,,?,明確互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施定義,,互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施，是指保障互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和信息安全、防范違法犯罪的技術(shù)設(shè)施和技術(shù)方法,,?,規(guī)范了互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施使用原則,,互聯(lián)網(wǎng)服務(wù)提供者、聯(lián)網(wǎng)使用單位負(fù)責(zé)落實(shí)互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施，并保障互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施功能的正常發(fā)揮。,,互聯(lián)網(wǎng)服務(wù)提供者、聯(lián)網(wǎng)使用單位應(yīng)當(dāng)建立相應(yīng)的管理制度。未經(jīng)用戶同意不得公開、泄露用戶注冊信息，但法律、法規(guī)另有規(guī)定

8、的除外。 互聯(lián)網(wǎng)服務(wù)提供者、聯(lián)網(wǎng)使用單位應(yīng)當(dāng)依法使用互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施，不得利用互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施侵犯用戶的通信自由和通信秘密。,,?,明確監(jiān)管主體和技術(shù)標(biāo)準(zhǔn),,,公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門負(fù)責(zé)對互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施的落實(shí)情況依法實(shí)施監(jiān)督管理。,,互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施應(yīng)當(dāng)符合國家標(biāo)準(zhǔn)。沒有國家標(biāo)準(zhǔn)的，應(yīng)當(dāng)符合公共安全行業(yè)技術(shù)標(biāo)準(zhǔn)。,,10,,信息網(wǎng)絡(luò)安全管理,◆,信息安全法律法規(guī)與標(biāo)準(zhǔn)介紹,,◇,互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定,,?,互聯(lián)網(wǎng)服務(wù)提供者和聯(lián)網(wǎng)使用單位應(yīng)當(dāng)落實(shí)以下互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施：1、防范計(jì)算機(jī)病毒、網(wǎng)絡(luò)入侵和攻擊破壞等危害網(wǎng)絡(luò)安全事項(xiàng)或者行為的技術(shù)措

9、施；2、重要數(shù)據(jù)庫和系統(tǒng)主要設(shè)備的冗災(zāi)備份措施；3、記錄并留存用戶登錄和退出時(shí)間、主叫號碼、賬號、互聯(lián)網(wǎng)地址或域名、系統(tǒng)維護(hù)日志的技術(shù)措施；4、法律、法規(guī)和規(guī)章規(guī)定應(yīng)當(dāng)落實(shí)的其他安全保護(hù)技術(shù)措施。,,11,,信息網(wǎng)絡(luò)安全管理,◆,信息安全法律法規(guī)與標(biāo)準(zhǔn)介紹,,◇,互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定,,,?,提供互聯(lián)網(wǎng)接入服務(wù)的單位除落實(shí)上述四項(xiàng)技術(shù)措施外，還應(yīng)當(dāng)落實(shí)具有以下功能的安全保護(hù)技術(shù)措施：,（一）記錄并留存用戶注冊信息；（二）使用內(nèi)部網(wǎng)絡(luò)地址與互聯(lián)網(wǎng)網(wǎng)絡(luò)地址轉(zhuǎn)換方式為用戶提供接入服務(wù)的，能夠記錄并留存用戶使用的互聯(lián)網(wǎng)網(wǎng)絡(luò)地址和內(nèi)部網(wǎng)絡(luò)地址對應(yīng)關(guān)系；（三）記錄、跟蹤網(wǎng)絡(luò)運(yùn)行狀態(tài)，監(jiān)測、

10、記錄網(wǎng)絡(luò)安全事件等安全審計(jì)功能。,12,,信息網(wǎng)絡(luò)安全管理,◆,信息安全法律法規(guī)與標(biāo)準(zhǔn)介紹,,◇,互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定,,,?,提供互聯(lián)網(wǎng)信息服務(wù)的單位除落實(shí)上述四條技術(shù)措施外，還應(yīng)當(dāng)落實(shí)具有以下功能的安全保護(hù)技術(shù)措施：,（一）在公共信息服務(wù)中發(fā)現(xiàn)、停止傳輸違法信息，并保留相關(guān)記錄；（二）提供新聞、出版以及電子公告等服務(wù)的，能夠記錄并留存發(fā)布的信息內(nèi)容及發(fā)布時(shí)間；（三）開辦門戶網(wǎng)站、新聞網(wǎng)站、電子商務(wù)網(wǎng)站的，能夠防范網(wǎng)站、網(wǎng)頁被篡改，被篡改后能夠自動恢復(fù)；（四）開辦電子公告服務(wù)的，具有用戶注冊信息和發(fā)布信息審計(jì)功能；（五）開辦電子郵件和網(wǎng)上短信息服務(wù)的，能夠防范、清除以群發(fā)方式發(fā)

11、送偽造、隱匿信息發(fā)送者真實(shí)標(biāo)記的電子郵件或者短信息。,13,,信息網(wǎng)絡(luò)安全管理,◆,信息安全法律法規(guī)與標(biāo)準(zhǔn)介紹,,◇,互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定,,?,提供互聯(lián)網(wǎng)數(shù)據(jù)中心服務(wù)的單位和聯(lián)網(wǎng)使用單位除落實(shí)上述四項(xiàng)技術(shù)措施外，還應(yīng)當(dāng)落實(shí)具有以下功能的安全保護(hù)技術(shù)措施：（一）記錄并留存用戶注冊信息；（二）在公共信息服務(wù)中發(fā)現(xiàn)、停止傳輸違法信息，并保留相關(guān)記錄；（三）聯(lián)網(wǎng)使用單位使用內(nèi)部網(wǎng)絡(luò)地址與互聯(lián)網(wǎng)網(wǎng)絡(luò)地址轉(zhuǎn)換方式向用戶提供接入服務(wù)的，能夠記錄并留存用戶使用的互聯(lián)網(wǎng)網(wǎng)絡(luò)地址和內(nèi)部網(wǎng)絡(luò)地址對應(yīng)關(guān)系。,14,,信息網(wǎng)絡(luò)安全管理,◆,信息安全法律法規(guī)與標(biāo)準(zhǔn)介紹,,◇,互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定,,,

12、?,提供互聯(lián)網(wǎng)上網(wǎng)服務(wù)的單位，除落實(shí)上述四項(xiàng)技術(shù)措施外，還應(yīng)當(dāng)安裝并運(yùn)行互聯(lián)網(wǎng)公共上網(wǎng)服務(wù)場所安全管理系統(tǒng)。,,?,互聯(lián)網(wǎng)服務(wù)提供者依照規(guī)定采取的互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施應(yīng)當(dāng)具有符合公共安全行業(yè)技術(shù)標(biāo)準(zhǔn)的聯(lián)網(wǎng)接口。,,?,互聯(lián)網(wǎng)服務(wù)提供者和聯(lián)網(wǎng)使用單位依照本規(guī)定落實(shí)的記錄留存技術(shù)措施，應(yīng)當(dāng)具有至少保存六十天記錄備份的功能。,,15,,信息網(wǎng)絡(luò)安全管理,◆,信息安全法律法規(guī)與標(biāo)準(zhǔn)介紹,,◇,互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定,,,?,互聯(lián)網(wǎng)服務(wù)提供者和聯(lián)網(wǎng)使用單位不得實(shí)施下列破壞互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施的行為：,（一）擅自停止或者部分停止安全保護(hù)技術(shù)設(shè)施、技術(shù)手段運(yùn)行；（二）故意破壞安全保護(hù)技術(shù)設(shè)施；（

13、三）擅自刪除、篡改安全保護(hù)技術(shù)設(shè)施、技術(shù)手段運(yùn)行程序和記錄；（四）擅自改變安全保護(hù)技術(shù)措施的用途和范圍；（五）其他故意破壞安全保護(hù)技術(shù)措施或者妨礙其功能正常發(fā)揮的行為。,16,,信息網(wǎng)絡(luò)安全管理,關(guān)于執(zhí)行《計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》中有關(guān)問題的解釋,,（一）、,,關(guān)于“安全保護(hù)管理制度”問題,,《辦法》第十條第一項(xiàng)和第二十一條第一項(xiàng)中的“安全保護(hù)管理制度主要包括：（1）信息發(fā)布審核、登記制度；（2）信息監(jiān)視、保存、清除和備份制度；（3）病毒檢測和網(wǎng)絡(luò)安全漏洞檢測制度；（4）違法案件報(bào)告和協(xié)助查處制度；（5）帳號使用登記和操作權(quán)限管理制度；（6）安全管理人員崗位工作職責(zé)；（7）

14、安全教育和培訓(xùn)制度；（8）其他與安全保護(hù)相關(guān)的管理制度。,,17,,信息網(wǎng)絡(luò)安全管理,關(guān)于執(zhí)行《計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》中有關(guān)問題的解釋,,（二）、關(guān)于“安全保護(hù)技術(shù)措施”問題,,,《辦法》第十條第二項(xiàng)中的“安全保護(hù)技術(shù)措施”和第二十一條第二項(xiàng)中的“安全保護(hù)技術(shù)措施”主要包括：（1）具有保存3個(gè)月以上系統(tǒng)網(wǎng)絡(luò)運(yùn)行日志和用戶使用日志記錄功能，內(nèi)容包括IP地址分配及使用情況，交互式信息發(fā)布者、主頁維護(hù)者、郵箱使用者和撥號用戶上網(wǎng)的起止時(shí)間和對應(yīng)IP地址，交互式欄目的信息等；（2）具有安全審計(jì)或預(yù)警功能；（3）開設(shè)郵件服務(wù)的，具有垃圾郵件清理功能；（4）開設(shè)交互式信息欄目的，具有身份

15、登記和識別確認(rèn)功能；（5）計(jì)算機(jī)病毒防護(hù)功能；（6）其他保護(hù)信息和系統(tǒng)網(wǎng)絡(luò)安全的技術(shù)措施。,18,,信息網(wǎng)絡(luò)安全管理,關(guān)于執(zhí)行《計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》中有關(guān)問題的解釋,,（,,三）、 關(guān)于“安全保護(hù)管理所需信息、資料及數(shù)據(jù)文件”問題,,,《辦法》第八條中的“有關(guān)安全保護(hù)的信息、資料及數(shù)據(jù)文件”和第二十一條第四項(xiàng)中的“安全保護(hù)管理所需信息、資料及數(shù)據(jù)文件”主要包括：（1）用戶注冊登記、使用與變更情況（含用戶帳號、IP與Email地址等）；（2）IP地址分配、使用及變更情況；（3）網(wǎng)頁欄目設(shè)置與變更及欄目負(fù)責(zé)人情況；（4）網(wǎng)絡(luò)服務(wù)功能設(shè)置情況；（5）與安全保護(hù)相關(guān)的其他信息。,,

16、19,,信息網(wǎng)絡(luò)安全管理,關(guān)于執(zhí)行《計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》中有關(guān)問題的解釋,,（四）、關(guān)于“保留有關(guān)原始記錄”問題,,,《辦法》第十條第六項(xiàng)中的“有關(guān)原始記錄”是指有關(guān)信息或行為在網(wǎng)上出現(xiàn)或發(fā)生時(shí)，計(jì)算機(jī)記錄、存貯的所有相關(guān)數(shù)據(jù)，包括時(shí)間、內(nèi)容（如圖象、文字、聲音等）、來源（如源IP地址、Email地址等）及系統(tǒng)網(wǎng)絡(luò)運(yùn)行日志、用戶使用日志等。,20,,信息網(wǎng)絡(luò)安全管理,關(guān)于執(zhí)行《計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》中有關(guān)問題的解釋,,（五）、關(guān)于“停機(jī)整頓”處罰的執(zhí)行問題,,,按照《辦法》規(guī)定作出“停機(jī)整頓”的處罰決定，可采取的執(zhí)行措施包括：（1）停止計(jì)算機(jī)信息系統(tǒng)運(yùn)行；

17、（2）停止部分計(jì)算機(jī)信息系統(tǒng)功能；（3）凍結(jié)用戶聯(lián)網(wǎng)帳號；（4）其他有效執(zhí)行措施。,21,,信息網(wǎng)絡(luò)安全管理,◆信息網(wǎng)絡(luò)違法犯罪,,,◆,計(jì)算機(jī)案件,,,◇,,治安案件和一般行政案件,,,違反行政法規(guī)所構(gòu)成的計(jì)算機(jī)案件被稱為行政案件。例如，《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條理》中的規(guī)定和制度，涵蓋了計(jì)算機(jī)信息系統(tǒng)安全保護(hù)的過程。凡是違反有關(guān)規(guī)定和制度的，均構(gòu)成違反《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條理》的違法行為，要追究行政法律責(zé)任。,22,,信息網(wǎng)絡(luò)安全管理,◆信息網(wǎng)絡(luò)違法犯罪,,,◆,計(jì)算機(jī)案件,,◇,,刑事案件,,觸犯刑律所構(gòu)成的計(jì)算機(jī)案件被稱為計(jì)算機(jī)刑事案件。例如，我國刑法中關(guān)于計(jì)算機(jī)犯罪的規(guī)定，對非法

18、侵入重要計(jì)算機(jī)信息系統(tǒng)，以及違反《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條理》并造成嚴(yán)重后果構(gòu)成犯罪的，則追究其刑事責(zé)任。,,我過刑法關(guān)于計(jì)算機(jī)犯罪的三個(gè)專門條款，分別規(guī)定了非法侵入計(jì)算機(jī)信息系統(tǒng)罪；破壞計(jì)算機(jī)信息系統(tǒng)罪；利用計(jì)算機(jī)實(shí)施金融詐騙、盜竊、貪污、挪用公款、竊取國家秘密或者其他犯罪，并將其一并歸入第六章“妨害社會管理秩序罪”第一節(jié)“擾亂公共秩序罪”。,23,,信息網(wǎng)絡(luò)安全管理,◆信息網(wǎng)絡(luò)違法犯罪,,,◆,計(jì)算機(jī)案件,,◇,,刑事案件,,刑法有關(guān)計(jì)算機(jī)犯罪的規(guī)定，總體上可以分為兩大類：一類是純粹的計(jì)算機(jī)犯罪，即刑法第285條、第286條單列的兩種計(jì)算機(jī)犯罪獨(dú)立罪名；另一類不是純粹的計(jì)算機(jī)犯罪，而是隱含

19、于其他犯罪罪名的計(jì)算機(jī)犯罪形式。例如，刑法第287條規(guī)定：“利用計(jì)算機(jī)實(shí)施金融詐騙、盜竊、貪污、挪用公款、竊取國家秘密或者其他犯罪的，依照本法有關(guān)規(guī)定定罪處罰?！敝砸獏^(qū)分這兩種類別，是因?yàn)榈诙惙缸锱c傳統(tǒng)犯罪之間并無本質(zhì)區(qū)別，只是在犯罪工具使用上有所不同而已，因此不需要為其單列罪名，而第一類犯罪不僅在具體手段和侵犯客體方面與傳統(tǒng)犯罪存在差別，而且有其特殊性，傳統(tǒng)犯罪各罪名已無法包括這些犯罪形式，因此為其單列罪名。,24,,信息網(wǎng)絡(luò)安全管理,◆信息網(wǎng)絡(luò)違法犯罪,,,◆,計(jì)算機(jī)犯罪,,◇,計(jì)算機(jī)案件的性質(zhì)界定,,計(jì)算機(jī)案件包括行政違法案件和刑事違法案件，行政違法行為要受到行政處罰，刑事違法行為

20、則應(yīng)受到刑事處罰。在我國法律責(zé)任體系中，兩者在內(nèi)容和性質(zhì)上有許多不同。因此必須正確界定案件性質(zhì)并依法進(jìn)行制裁。,,對于特定的計(jì)算機(jī)犯罪案件，到底是按照行政案件進(jìn)行處罰，還是按照刑事案件進(jìn)行處罰，在性質(zhì)界定方面有以下依據(jù)：,,◇,根據(jù)違法行為的情節(jié)和所造成的后果進(jìn)行界定,,違法行為的情節(jié)或者危害后果輕微的是行政違法，情節(jié)較重或者造成嚴(yán)重后果的是刑事違法，這是現(xiàn)行法律運(yùn)用最為廣泛的劃分標(biāo)準(zhǔn)。例如，我國刑法第286條規(guī)定的破壞計(jì)算機(jī)信息系統(tǒng)功能、破壞計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)和應(yīng)用程序、制作和傳播破壞程序，均以后果嚴(yán)重作為構(gòu)成犯罪的要件。,,25,,信息網(wǎng)絡(luò)安全管理,◆信息網(wǎng)絡(luò)違法犯罪,,,◆,計(jì)算機(jī)犯罪,

21、,◇,計(jì)算機(jī)案件的性質(zhì)界定,,◇,根據(jù)違法行為的類別進(jìn)行界定,,有些違法行為一經(jīng)實(shí)施就是刑事違法行為。例如，非法侵入計(jì)算機(jī)信息系統(tǒng)罪，任何人只要未經(jīng)允許侵入國家事務(wù)、國防建設(shè)、尖端科學(xué)技術(shù)領(lǐng)域的計(jì)算機(jī)信息系統(tǒng)就構(gòu)成刑事犯罪，此類行為不僅承擔(dān)行政責(zé)任，同時(shí)應(yīng)當(dāng)受到刑事處罰。而另外一些違法行為則只屬于行政違法行為，不屬于刑事違法行為。例如，將計(jì)算機(jī)信息系統(tǒng)接入互聯(lián)網(wǎng)的法人和其他組織，未按照規(guī)定進(jìn)行備案，依據(jù)《計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理爆發(fā)》，由公安機(jī)關(guān)給予行政處罰，但是該行為不構(gòu)成刑事違法行為，不需進(jìn)行刑事處罰。,,◇,根據(jù)違法行為所違反的法律規(guī)范來界定,,行政違法行為所違反的是行政法律規(guī)

22、范，應(yīng)當(dāng)受到行政法律的制裁，承擔(dān)行政責(zé)任；刑事違法行為違反的是刑事法律規(guī)范，應(yīng)當(dāng)受到刑法制裁，承擔(dān)刑事法律責(zé)任?！队?jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》第24條明確規(guī)定：“違反本條例的規(guī)定，構(gòu)成違反治安管理行為的，依照《中華人民共和國治安管理處罰條例》的有關(guān)規(guī)定處罰；構(gòu)成犯罪的，依法追究刑事責(zé)任?！?26,,信息網(wǎng)絡(luò)安全管理,◆信息網(wǎng)絡(luò)違法犯罪,,,◆,計(jì)算機(jī)犯罪,,◆,犯罪的概念,,《中華人民共和國刑法》第二章第十三條對犯罪作了如下定義：一切危害國家主權(quán)、領(lǐng)土完整和安全、分裂國家、顛覆人民民主專政和推翻社會主義制度，破壞社會秩序和經(jīng)濟(jì)秩序，侵犯國有財(cái)產(chǎn)或勞動群眾集體所有的財(cái)產(chǎn)，侵犯公民私人所有的財(cái)產(chǎn)，

23、侵犯公民的人身權(quán)利、民主權(quán)利和其他權(quán)利，以及其他危害社會的行為，依照法律應(yīng)當(dāng)受刑罰處罰的，都屬于犯罪，但是情節(jié)顯著輕微且危害不大的，不認(rèn)為是犯罪。,27,,信息網(wǎng)絡(luò)安全管理,◆信息網(wǎng)絡(luò)違法犯罪,,,◆,計(jì)算機(jī)犯罪,,◆,計(jì)算機(jī)犯罪的概念,,計(jì)算機(jī)犯罪是指行為人通過計(jì)算機(jī)操作所實(shí)施的危害計(jì)算機(jī)信息系統(tǒng)安全以及其他嚴(yán)重危害社會的并應(yīng)當(dāng)處以刑罰的行為。,,,◆,計(jì)算機(jī)犯罪分類：,,,一般可分為兩大類：一類是針對計(jì)算機(jī)信息系統(tǒng)實(shí)施的犯罪，如非法入侵、刪除修改重要數(shù)據(jù)、傳播計(jì)算機(jī)病毒等。,,另一類是行為人利用計(jì)算機(jī)實(shí)施危害社會的犯罪，如：盜竊、詐騙、賭博、傳播淫穢色情物品等傳統(tǒng)犯罪。,,28,,信息網(wǎng)絡(luò)

24、安全管理,◆信息網(wǎng)絡(luò)違法犯罪,,,◆,計(jì)算機(jī)犯罪,,,◆,計(jì)算機(jī)犯罪的表現(xiàn)形式,,,1、非法侵入計(jì)算機(jī)信息系統(tǒng)罪,,新刑法第285條對非法侵入計(jì)算機(jī)信息系統(tǒng)罪作了明確規(guī)定：違反國家規(guī)定，侵入國家事物、國防建設(shè)、尖端科學(xué)技術(shù)領(lǐng)域的計(jì)算機(jī)信息系統(tǒng)的，處三年以下的有期徒刑或者拘役。,,,2、破壞計(jì)算機(jī)信息系統(tǒng)罪,,新刑法第286條明確規(guī)定：違反國家規(guī)定，對計(jì)算機(jī)信息系統(tǒng)功能進(jìn)行刪除、修改、增加、干擾，造成計(jì)算機(jī)信息系統(tǒng)不能正常運(yùn)行，后果嚴(yán)重的，處五年以下有期徒刑或者拘役；后果特別嚴(yán)重的，處五年以上的有期徒刑。,,29,,信息網(wǎng)絡(luò)安全管理,◆信息網(wǎng)絡(luò)違法犯罪,,,◆,計(jì)算機(jī)犯罪,,,◆,計(jì)算機(jī)犯罪的表

25、現(xiàn)形式,,3、利用計(jì)算機(jī)信息系統(tǒng)實(shí)施的犯罪,,新刑法第287條明確規(guī)定利用計(jì)算機(jī)實(shí)施金融詐騙、盜竊、貪污、挪用公款、竊取國家秘密或者其他犯罪的，依照本法有關(guān)規(guī)定定罪處罰。,,30,,信息網(wǎng)絡(luò)安全管理,◆信息網(wǎng)絡(luò)違法犯罪,,,◆,計(jì)算機(jī)犯罪,,,◆,互聯(lián)網(wǎng)犯罪,,,互聯(lián)網(wǎng)犯罪是指行為人利用計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)實(shí)施犯罪的一種表現(xiàn)形式。隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，人們對網(wǎng)絡(luò)的依賴程度越來越高，互聯(lián)網(wǎng)在給人們帶來福音的同時(shí)，網(wǎng)絡(luò)犯罪也悄然而至，并且來勢迅猛。利用互聯(lián)網(wǎng)危害國家安全、擾亂社會管理秩序、侵犯公私財(cái)產(chǎn)、侵犯公民人身權(quán)利和民主權(quán)利、黃、賭、毒犯罪案件日顯突出，給社會帶來極大危害。利用互聯(lián)網(wǎng)實(shí)施犯

26、罪的種類繁多，如網(wǎng)上邪教組織；網(wǎng)上竊取、泄露國家機(jī)密；網(wǎng)上侵犯商業(yè)秘密；網(wǎng)上毀損商譽(yù)；網(wǎng)上侮辱、誹謗；網(wǎng)上盜竊、詐騙、洗錢、賭博、販毒、買賣槍支、傳播淫穢色情物品等,。,31,,信息網(wǎng)絡(luò)安全管理,◆信息網(wǎng)絡(luò)違法犯罪,,,◆,計(jì)算機(jī)犯罪,,,◆,互聯(lián)網(wǎng)犯罪,,,◇,互聯(lián)網(wǎng)犯罪特點(diǎn)：,,,1、范圍廣，速度快，成本低。,,2、犯罪手段隱蔽 ，證據(jù)易被銷毀。,,3、犯罪人員的高智能性和危害的嚴(yán)重性。,,4、傳統(tǒng)領(lǐng)域犯罪逐步向網(wǎng)絡(luò)犯罪滲透。,32,,信息網(wǎng)絡(luò)安全管理,◆信息網(wǎng)絡(luò)違法犯罪,,,◆,計(jì)算機(jī)犯罪,,,◆,互聯(lián)網(wǎng)犯罪,,,◇,我省網(wǎng)絡(luò)犯罪狀況,,,自1998年我省破獲首起利用計(jì)算機(jī)信息網(wǎng)絡(luò)貪污侵

27、占銀行存款案件起，利用計(jì)算機(jī)信息網(wǎng)絡(luò)進(jìn)行違法犯罪活動逐漸呈現(xiàn)，發(fā)展速度十分驚人。1999年全省公安機(jī)關(guān)立案偵查的計(jì)算機(jī)違法犯罪案件僅為10余起；2000年為60余起；2004年達(dá)到530余起，比2000年上升了8倍。2006年全省公安機(jī)關(guān)網(wǎng)絡(luò)警察查處網(wǎng)絡(luò)違法犯罪案件達(dá)到1900余起。其中，90%以上的計(jì)算機(jī)違法犯罪案件牽涉國際互聯(lián)網(wǎng),。,33,,信息網(wǎng)絡(luò)安全管理,◆信息網(wǎng)絡(luò)違法犯罪,,,◆,計(jì)算機(jī)犯罪,,,◆,互聯(lián)網(wǎng)犯罪,,,◇,我省網(wǎng)絡(luò)犯罪特點(diǎn),,,1、利用互聯(lián)網(wǎng)危害國家安全的案件持續(xù)上升。,,2、利用網(wǎng)絡(luò)制作、復(fù)制、傳播淫穢色情物品進(jìn)行賭博的案件,,十分突出。,,3、利用計(jì)算機(jī)網(wǎng)絡(luò)侵犯公私

28、財(cái)物的案件呈多發(fā)趨勢。,,4、危害計(jì)算機(jī)信息網(wǎng)絡(luò)安全的案件增幅較大。,,5、侵犯公民人身權(quán)利和民主權(quán)利的案件增多。,,34,,信息網(wǎng)絡(luò)安全管理,◆信息安全管理簡介,,◆,信息安全組織管理,,,◇,信息安全管理組織構(gòu)架與職能,,,,信息系統(tǒng)安全管理機(jī)構(gòu)是實(shí)施系統(tǒng)安全，進(jìn)行安全管理的必要保證。通常，信息安全問題是由單位、組織內(nèi)部的專門機(jī)構(gòu)控制和管理的，由健全的安全管理機(jī)構(gòu)保障和實(shí)施應(yīng)用系統(tǒng)的安全措施。信息安全管理機(jī)構(gòu)的組織結(jié)構(gòu)中，包括以下組織部分：,,●,內(nèi)部信息安全管理組織包括：,,,安全審查和決策機(jī)構(gòu)：,負(fù)責(zé)信息安全工作的權(quán)威機(jī)構(gòu)，通常形式是信息安全管理委員會，由高級管理層、各部門管理層的代表

29、組成，負(fù)責(zé)制定信息安全目標(biāo)、原則、方針和策略。,,,安全主觀機(jī)構(gòu)：,負(fù)責(zé)具體的信息安全建設(shè)和管理，依據(jù)安全策略，制定各項(xiàng)安全管理制度，采用必要的安全技術(shù)措施。,,35,,信息網(wǎng)絡(luò)安全管理,◆信息安全管理簡介,,◆,信息安全組織管理,,,◇,信息安全管理組織構(gòu)架與職能,,●,內(nèi)部信息安全管理組織包括：,,,安全運(yùn)行維護(hù)機(jī)構(gòu)：,對相關(guān)的安全技術(shù)機(jī)制和系統(tǒng)，按照安全管理規(guī)范的要求，進(jìn)行運(yùn)行維護(hù)，保證安全系統(tǒng)穩(wěn)定可靠，發(fā)揮有效保護(hù)作用。,,,安全審計(jì)機(jī)構(gòu)：,擔(dān)負(fù)保護(hù)系統(tǒng)安全的責(zé)任，但工作重點(diǎn)偏向于監(jiān)視系統(tǒng)的運(yùn)行情況，并且對安全管理制度的貫徹執(zhí)行情況進(jìn)行監(jiān)督和檢查。,,,安全培訓(xùn)機(jī)構(gòu)：,負(fù)責(zé)與信息安全有

30、關(guān)的教育和培訓(xùn)工作。,,,安全人員：,信息安全管理是一個(gè)復(fù)雜的過程，需要多方面的人才，包括安全、審計(jì)、系統(tǒng)分析、軟硬件、通信、保安等有關(guān)方面的人員。,,36,,信息網(wǎng)絡(luò)安全管理,◆信息安全管理簡介,,◆,信息安全組織管理,,,◇,信息安全管理組織構(gòu)架與職能,,,●,外部信息安全管理組織包括：,,國家職能監(jiān)管機(jī)構(gòu)：,包括公安機(jī)關(guān)、國家保密機(jī)關(guān) 等國家規(guī)定的信息安全職能監(jiān)管機(jī)構(gòu)。,,外部合作組織：,由權(quán)威第三方安全組織、信息安全專業(yè)廠商組成，在必要時(shí)，為單位、組織提供外部的技術(shù)支持。,,專家顧問組：,由外聘資深專家和顧問組成，為決策機(jī)構(gòu)提供必要的建設(shè)和決策支持。,37,,信息網(wǎng)絡(luò)安全管理,◆信息安

31、全管理簡介,,◆,信息安全組織管理,,,◇,信息安全管理和公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門的配合,,公安部是國家授權(quán)對信息安全和網(wǎng)絡(luò)安全進(jìn)行監(jiān)控和管理的職能機(jī)構(gòu)，各單位、組織的信息安全管理工作，應(yīng)當(dāng)與公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門密切配合，從國家宏觀和組織自身微觀兩個(gè)層次是實(shí)現(xiàn)有效的信息安全管理。,,符合性（合規(guī)性）管理：,,,是指單位、組織根據(jù)自身業(yè)務(wù)特點(diǎn)和具體情況所制定的信息安全管理辦法和規(guī)范，必須符合國家信息安全相關(guān)法律、法規(guī)的規(guī)定，不得違背。符合性（合規(guī)性）管理是信息安全管理的重要組成部分，在組織自身微觀的層次上，體現(xiàn)了信息安全管理與國家宏觀信息安全管理的一致和配合。,38,,信息網(wǎng)

32、絡(luò)安全管理,◆信息安全管理簡介,,◆,信息安全組織管理,,,◇,信息安全管理和公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門的配合,,,●,單位、組織的信息安全管理工作與公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門之間的配合主要體現(xiàn)在以下方面：,,,●,單位、組織的信息安全管理，必須遵循信息安全法律、法規(guī)對于安全管理職責(zé)、備案、禁止行為、安全管理制度和安全技術(shù)機(jī)制要求等方面的內(nèi)容規(guī)定，不得違反；否則，將按照相關(guān)法律、法規(guī)的規(guī)定，追究法律責(zé)任，并給予行政和刑事處罰。,,●,法律、法規(guī)賦予公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門對信息安全的監(jiān)管職責(zé)，各單位、組織必須接受和配合公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門的監(jiān)督和檢查。,,●,在

33、發(fā)生信息安全案件后，單位、組織應(yīng)當(dāng)及時(shí)向公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門報(bào)案，并在取證和調(diào)查等環(huán)節(jié)給予密切配合。,39,,信息網(wǎng)絡(luò)安全管理,◆信息安全管理簡介,,◆,信息安全人員管理,,,,●,人員安全管理是信息安全管理中的一個(gè)重要方面，人員安全管理應(yīng)當(dāng)考慮以下主要內(nèi)容：,,,●,安全審查,,,●,安全保密管理,,●,安全教育與培訓(xùn),,●,崗位安全考核,,,●,離崗人員安全管理,,,,40,,信息網(wǎng)絡(luò)安全管理,◆信息安全管理簡介,,◆,信息安全人員管理,,,●,安全審查,,人的因素在各個(gè)安全環(huán)節(jié)中是最重要的，全面提高人員的技術(shù)水平、道德品質(zhì)、政治覺悟和安全意識是信息安全的重要保障。事實(shí)證明很多

34、安全事件都是由內(nèi)部人員所制造的，而高技術(shù)、現(xiàn)代化的網(wǎng)絡(luò)和信息系統(tǒng)又不可能脫離高素質(zhì)的技術(shù)人員獨(dú)立運(yùn)行。因此。對于關(guān)鍵崗位必須建立嚴(yán)格的人員安全審查制度，把好人員安全管理的第一關(guān)。,,根據(jù)單位、組織網(wǎng)絡(luò)和信息系統(tǒng)內(nèi)部資源的敏感程度和重要程度不同，對信息資源進(jìn)行密級劃分。信息資源的密級直接決定了接觸和管理該信息資源的崗位對人員安全等級的要求，應(yīng)該依此要求建立相應(yīng)的人員安全審查的標(biāo)準(zhǔn)。人員的安全審查應(yīng)該從安全意識、法律意識、安全技能等幾方面進(jìn)行，人員應(yīng)該具有政治可靠、思想進(jìn)步、作風(fēng)正派、技術(shù)合格等基本素質(zhì)。,41,,信息網(wǎng)絡(luò)安全管理,◆信息安全管理簡介,,◆,信息安全人員管理,,,●,安全審查,,,

35、網(wǎng)絡(luò)和信息系統(tǒng)的關(guān)鍵崗位人選的審查標(biāo)準(zhǔn)如下：,,1、必須是單位、組織的正式員工。,,2、必須經(jīng)過嚴(yán)格的政審、背景和資歷調(diào)查。,,3、必須經(jīng)過業(yè)務(wù)能力的綜合考核。,,4、不得出現(xiàn)在其他關(guān)鍵崗位兼職的情況。,42,,信息網(wǎng)絡(luò)安全管理,◆信息安全管理簡介,,◆,信息安全人員管理,,,●,安全保密管理,,,所有進(jìn)入網(wǎng)絡(luò)和信息系統(tǒng)工作的人員，必須簽訂保密協(xié)議，承諾其對網(wǎng)絡(luò)和信息系統(tǒng)應(yīng)盡的安全保密義務(wù)，保證在崗工作期間和離崗后一定時(shí)期內(nèi)，均不違反保密協(xié)議，不泄露系統(tǒng)秘密。,,新加入的正式雇員在辦理手續(xù)的時(shí)候，應(yīng)該簽訂保密協(xié)議，作為雇傭合同的必要組成部分和附件；現(xiàn)有正式雇員，如果過去沒有簽訂保密協(xié)議，應(yīng)該及

36、時(shí)的補(bǔ)辦相應(yīng)手續(xù)；臨時(shí)人員和第三方人員在接觸網(wǎng)絡(luò)和信息系統(tǒng)之前，也應(yīng)該簽署相關(guān)的保密協(xié)議,。,,43,,信息網(wǎng)絡(luò)安全管理,◆信息安全管理簡介,,◆,信息安全人員管理,,●,安全保密管理,,保密協(xié)議的內(nèi)容應(yīng)當(dāng)根據(jù)單位、組織相關(guān)的商業(yè)秘密保護(hù)辦法制定：,,1、,保密的范圍,至少應(yīng)不限于包括網(wǎng)絡(luò)和信息系統(tǒng)的軟硬件配置參數(shù)、相關(guān)技術(shù)文檔、系統(tǒng)敏感數(shù)據(jù)、信息安全管理制度和規(guī)定以及可能損害單位、組織形象和信譽(yù)的事件或案件情況。,,2、應(yīng)該對,保密期限,進(jìn)行明確規(guī)定，對于重要的崗位，不僅要求員工在崗期間遵守保密協(xié)議，還應(yīng)該規(guī)定在員工離崗之后一定的時(shí)期內(nèi)，保密協(xié)議仍然有效。,,3、應(yīng)該針對,違反保密協(xié)議,的違

37、規(guī)情況，指定響應(yīng)的懲處條款。,,4、應(yīng)該在雇傭合同或者雇傭條款發(fā)生變化的時(shí)候，對員工,保密協(xié)議進(jìn)行審查,。,44,,信息網(wǎng)絡(luò)安全管理,◆信息安全管理簡介,,◆,信息安全人員管理,,●,安全教育與培訓(xùn),,,一、安全策略,,,,安全教育與培訓(xùn)是人員安全管理的重要內(nèi)容，通過持續(xù)有效的安全教育與培訓(xùn)，提高相關(guān)人員的安全能力和專業(yè)技能，此項(xiàng)管理工作應(yīng)當(dāng)在相應(yīng)安全策略的指導(dǎo)下進(jìn)行，信息安全教育與培訓(xùn)策略應(yīng)當(dāng)包含以下內(nèi)容：,,1、應(yīng)定期對員工進(jìn)行信息安全教育與培訓(xùn)，促使員工理解信息安全的重要性以及網(wǎng)絡(luò)和信息系統(tǒng)所面臨的各種可能的安全風(fēng)險(xiǎn)，以提高員工的信息安全意識，并遵守各種信息安全管理規(guī)定。,,2、應(yīng)當(dāng)以人

38、員角色及崗位職能為基礎(chǔ)，針對不同層次的人員，進(jìn)行適當(dāng)?shù)男畔踩逃c培訓(xùn)。信息安全教育與培訓(xùn)的內(nèi)容應(yīng)當(dāng)包括信息安全相關(guān)的法律、法規(guī)，信息安全方針與策略，信息安全的操作流程以及使用和管理信息安全技術(shù)基礎(chǔ)設(shè)施的技能訓(xùn)練。,,3、信息安全教育與培訓(xùn)，除了使用于內(nèi)部員工之外，同樣使用于所有接入和使用網(wǎng)絡(luò)和信息系統(tǒng)的第三方人員。,,4、信息安全教育與培訓(xùn)的內(nèi)容應(yīng)該具有針對性，根據(jù)業(yè)務(wù)發(fā)展和信息系統(tǒng)的變化，及時(shí)進(jìn)行調(diào)整、修正和補(bǔ)充，并應(yīng)當(dāng)建立考核制度，檢驗(yàn)信息安全教育與培訓(xùn)的效果。,45,,信息網(wǎng)絡(luò)安全管理,◆信息安全管理簡介,,◆,信息安全人員管理,,●,安全教育與培訓(xùn),,,二、培訓(xùn)內(nèi)容,,,根據(jù)信息安

39、全教育與培訓(xùn)策略，安全教育與培訓(xùn)共包括三類不同層次的培訓(xùn)內(nèi)容，分別是對所有接觸和使用網(wǎng)絡(luò)和信息系統(tǒng)的擁護(hù)進(jìn)行基本安全教育；對負(fù)責(zé)信息安全基礎(chǔ)設(shè)施運(yùn)行和維護(hù)的專業(yè)技術(shù)人員進(jìn)行專業(yè)安全培訓(xùn)；對信息安全保障體系的規(guī)劃者、管理者和建設(shè)實(shí)施人員進(jìn)行高級安全培訓(xùn)。,,46,,信息網(wǎng)絡(luò)安全管理,◆信息安全管理簡介,,◆,信息安全人員管理,,●,安全教育與培訓(xùn),,,二、培訓(xùn)內(nèi)容,,1、基本安全教育,,,基本安全教育的培訓(xùn)對象是所有接觸和使用網(wǎng)絡(luò)和信息系統(tǒng)的人員，包括內(nèi)部人員以及相關(guān)的第三方人員。,,基本安全教育旨在使培訓(xùn)對象了解信息安全的基本概念，認(rèn)識到可能存在的各種安全威脅和安全風(fēng)險(xiǎn)，理解信息安全的方針策略

40、和管理制度，從而達(dá)到提高信息安全意識，掌握基本安全操作技能，遵守信息安全管理制度和規(guī)定的目的。,47,,信息網(wǎng)絡(luò)安全管理,●,安全教育與培訓(xùn),,二、,培訓(xùn)內(nèi)容,,1、基本安全教育,,基本安全教育的內(nèi)容包括：,,,●,信息安全的含義，信息安全所涵蓋的各項(xiàng)主要方面，信息安全的最基本常識。,,,●,組織內(nèi)部哪些重要區(qū)域和設(shè)備嚴(yán)格限制普通人員進(jìn)入和使用，違反規(guī)定，會受到什么樣的處罰。,,●,特別強(qiáng)調(diào)業(yè)務(wù)數(shù)據(jù)對于組織的重要性，業(yè)務(wù)數(shù)據(jù)是組織的核心商業(yè)機(jī)密，任何篡改、破壞業(yè)務(wù)數(shù)據(jù)的行為必將受到嚴(yán)厲的法律制裁。這部分內(nèi)容可以結(jié)合既有案例進(jìn)行講述。,,,●,計(jì)算機(jī)用戶安全操作管理規(guī)范，使用戶了解作為一個(gè)普通用

41、戶，應(yīng)該如何安全地對本地桌面計(jì)算機(jī)系統(tǒng)進(jìn)行操作，包括用戶名/口令的規(guī)定、防病毒軟件的配置和使用、系統(tǒng)補(bǔ)丁和版本升級的維護(hù)、計(jì)算機(jī)配置的管理措施、訪問互聯(lián)網(wǎng)時(shí)要注意的安全事項(xiàng)等。,,●,普通用戶在應(yīng)急響應(yīng)計(jì)劃中的角色和作用。例如，發(fā)現(xiàn)安全事件時(shí)，保護(hù)好現(xiàn)場，及時(shí)按照規(guī)程向應(yīng)急,響應(yīng)部門報(bào)警，并配合取證調(diào)查。,48,,信息網(wǎng)絡(luò)安全管理,●,安全教育與培訓(xùn),,二、,培訓(xùn)內(nèi)容,,1、基本安全教育,,基本安全教育的內(nèi)容包括：,,●,普通用戶在災(zāi)難恢復(fù)計(jì)劃中的角色和作用。例如，災(zāi)難發(fā)生時(shí)的人員自救和緊急疏散規(guī)程，災(zāi)難發(fā)生后，盡快到達(dá)備份工作地點(diǎn)，配合災(zāi)難恢復(fù)部門的工作，迅速重新開始正常工作，確保業(yè)務(wù)的連續(xù)

42、性。,,●,典型的安全時(shí)間案例介紹，介紹內(nèi)容包括事件的起因，造成的影響和后果，相關(guān)人員受到的處罰情況，使學(xué)員增加對安全事件的直觀認(rèn)識，提高安全防護(hù)的意識，同時(shí)起到心里震懾作用，抑制不良想法和心理。,,●,信息安全管理的監(jiān)督和檢查機(jī)構(gòu)，使學(xué)員了解任何的違規(guī)行為都會被發(fā)現(xiàn)，會視情節(jié)和影響的嚴(yán)重性，受到響應(yīng)的處理。,49,,信息網(wǎng)絡(luò)安全管理,●,安全教育與培訓(xùn),,二、,培訓(xùn)內(nèi)容,,2、專業(yè)安全培訓(xùn),,專業(yè)安全培訓(xùn)的對象為負(fù)責(zé)信息安全基礎(chǔ)設(shè)施運(yùn)行和維護(hù)的專業(yè)技術(shù)人員，包括安全系統(tǒng)管理員、操作系統(tǒng)管理員、數(shù)據(jù)庫系統(tǒng)管理員、網(wǎng)絡(luò)管理員、機(jī)房管理員、密匙管理員以及其他相關(guān)維護(hù)人員。,,專業(yè)安全培訓(xùn)為負(fù)責(zé)信息

43、安全基礎(chǔ)設(shè)施的專業(yè)技術(shù)人員提供與其崗位和工作職責(zé)相關(guān)的專業(yè)理論知識、操作技能以及管理制度的培訓(xùn)，使得培訓(xùn)對象能夠具備崗位和職責(zé)所要求的必要理論基礎(chǔ)和操作技能，了解并遵守相應(yīng)的安全管理規(guī)范，保證信息安全基礎(chǔ)設(shè)施穩(wěn)定有效的運(yùn)行。,50,,信息網(wǎng)絡(luò)安全管理,●,安全教育與培訓(xùn),,二、,培訓(xùn)內(nèi)容,,2、專業(yè)安全培訓(xùn),,專業(yè)安全培訓(xùn)的內(nèi)容包括：,,,●,進(jìn)行職業(yè)道德教育。信息安全的職業(yè)道德包括約束從業(yè)人員的言行，指導(dǎo)他們思想的一整套道德規(guī)范，涉及到信息安全從業(yè)人員的思想認(rèn)識、工作態(tài)度、業(yè)務(wù)鉆研、待遇得失及其公共道德等方面。,,●,與崗位職能相關(guān)的信息安全技術(shù)理論培訓(xùn)。例如:防火墻系統(tǒng)管理員需要接受防火墻

44、技術(shù)理論的培訓(xùn)，系統(tǒng)管理員需要接受與系統(tǒng)安全有關(guān)的安全技術(shù)理論的培訓(xùn)。,,●,崗位職能與操作技能培訓(xùn)，使得培訓(xùn)對象理解和遵守崗位職能范圍內(nèi)的信息安全管理內(nèi)容和流程規(guī)范，包括日常維護(hù)的操作規(guī)范，安全事件應(yīng)急響應(yīng)計(jì)劃中的角色職責(zé)和處理流程，災(zāi)難恢復(fù)計(jì)劃中的角色職責(zé)和處理流程等。,,51,,信息網(wǎng)絡(luò)安全管理,●,安全教育與培訓(xùn),,二、,培訓(xùn)內(nèi)容,,3、高級安全培訓(xùn),,高級安全培訓(xùn)的對象包括負(fù)責(zé)信息安全保障體系規(guī)劃和建設(shè)的專業(yè)技術(shù)人員、信息安全基礎(chǔ)設(shè)施的設(shè)計(jì)和工程實(shí)施人員。,,高級安全培訓(xùn)旨在為單位、組織培養(yǎng)信息安全高級管理和技術(shù)人才，勝任各級信息安全管理部門中的關(guān)鍵崗位，實(shí)現(xiàn)信息安全保障體系的自主規(guī)

45、劃、管理和項(xiàng)目實(shí)施。,,52,,信息網(wǎng)絡(luò)安全管理,●,安全教育與培訓(xùn),,二、,培訓(xùn)內(nèi)容,,,3、高級安全培訓(xùn),,高級安全培訓(xùn)的內(nèi)容包括：,,●,國家和行業(yè)與信息安全有關(guān)的法律、法規(guī)內(nèi)容，這些法律、法規(guī)都是信息安全保障體系的規(guī)劃和設(shè)計(jì)過程所必須遵循的基本規(guī)定。,,●,全面的信息安全技術(shù)理論和知識，包括物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全等各個(gè)層次的安全標(biāo)準(zhǔn)和安全機(jī)制。,,●,全面的信息安全管理理論，包括信息安全管理的國際標(biāo)準(zhǔn)、安全風(fēng)險(xiǎn)評估理論與方法、信息安全方針和策略的指定和維護(hù)、組織機(jī)構(gòu)和人員安全管理以及諸如應(yīng)急響應(yīng)和災(zāi)難恢復(fù)之類各項(xiàng)信息安全規(guī)范和流程的管理。,,●,信息安全工程理論，包括信

46、息安全基礎(chǔ)設(shè)施從需求分析、詳細(xì)設(shè)計(jì)到開發(fā)和項(xiàng)目實(shí)施過程中，與信息安全相關(guān)的管理要素。,,●,關(guān)鍵崗位職能與責(zé)任，使得培訓(xùn)對象理解與具體崗位相關(guān)的職能范圍和工作流程。關(guān)鍵崗位包括各級信息安全管理部門負(fù)責(zé)人、信息安全管理專員、應(yīng)急響應(yīng)計(jì)劃專員、災(zāi)難恢復(fù)計(jì)劃專員、安全系統(tǒng)項(xiàng)目實(shí)施經(jīng)理等。,53,,信息網(wǎng)絡(luò)安全管理,◆信息安全管理簡介,,◆,信息安全人員管理,,●,安全教育與培訓(xùn),,信息安全教育和培訓(xùn)由單位、組織和信息安全管理部門定期組織進(jìn)行。培訓(xùn)結(jié)束后，必須進(jìn)行考核，以檢驗(yàn)教育和培訓(xùn)的效果。信息安全管理部門定期組織安全檢查，檢驗(yàn)信息安全教育和培訓(xùn)的實(shí)際效果以及安全規(guī)范的遵守和執(zhí)行情況。,54,,信息

47、網(wǎng)絡(luò)安全管理,◆信息安全管理簡介,,◆,信息安全人員管理,,,●,崗位安全考核,,,,人員安全管理部門要定期對網(wǎng)絡(luò)和信息系統(tǒng)所有的工作人員從思想政治和業(yè)務(wù)表現(xiàn)兩方面進(jìn)行考核。,,思想政治方面的考核內(nèi)容包括是否能夠遵守法律、法規(guī)；是否能夠執(zhí)行單位、組織的安全策略、紀(jì)律規(guī)范和規(guī)章制度；是否能夠遵守職業(yè)道德，具有良好的勞動服務(wù)態(tài)度。,,業(yè)務(wù)表現(xiàn)方面的考核依據(jù)人員的具體職責(zé)進(jìn)行，考核內(nèi)容包括相關(guān)的業(yè)務(wù)理論水平和實(shí)際操作技能，特別是能否嚴(yán)格按照相關(guān)的安全管理規(guī)范進(jìn)行業(yè)務(wù)操作，是否具有較高的信息安全意識。,,,55,,信息網(wǎng)絡(luò)安全管理,◆信息安全管理簡介,,◆,信息安全人員管理,,,●,離崗人員安全管理,

48、,,1、,應(yīng)該建立技術(shù)人員離崗的安全管理制度，在人員離崗的同時(shí)收回鑰匙、移交工作、更換系統(tǒng)口令、撤銷帳號，并向離崗人員重新申明其保密義務(wù)。,,2、人員正常離崗之前要旅行移交手續(xù)，完成密碼、設(shè)備、技術(shù)資料及相關(guān)敏感信息的移交。移交手續(xù)包括收回所有的鑰匙和證件，歸還使用的計(jì)算機(jī)設(shè)備，退還全部技術(shù)手冊及相關(guān)資料，相關(guān)系統(tǒng)必須更換口令，取消該人員所使用過的所有帳號，向離崗人員重申其負(fù)有的安全保密責(zé)任和義務(wù)。,,3、對不情愿被調(diào)走的離崗人員，或者因?yàn)椴贿m合安全管理要求而被調(diào)離的人員，必須嚴(yán)格辦理調(diào)離手續(xù)，必要時(shí)應(yīng)在調(diào)離決定通知其本人之前，立即或者提前進(jìn)行移交手續(xù)，不能拖延。,,4、對于因工作問題而被解聘

49、的人員，應(yīng)該嚴(yán)格審查其工作問題，相關(guān)懲處應(yīng)該嚴(yán)格按照保密協(xié)議的規(guī)章執(zhí)行，如有觸犯法律、法規(guī)的行為，應(yīng)依法追究其法律責(zé)任。,56,,信息網(wǎng)絡(luò)安全管理,◆信息安全管理簡介,,◆,信息安全制度管理,,安全管理制度和安全管理規(guī)范是對信息安全方針和策略的深化和細(xì)化，是安全策略在某一個(gè)特定問題或者特定安全系統(tǒng)中的具體體現(xiàn)，安全管理制度必須符合安全策略，并與之保持一致。只要符合國家信息安全法律、法規(guī)的規(guī)定，符合單位、組織的信息安全策略，各單位、組織即可以根據(jù)自身的實(shí)際情況和特點(diǎn)，有針對性地制定相關(guān)的信息安全管理制度。信息安全管理制度應(yīng)當(dāng)覆蓋信息安全管理的方方面面，構(gòu)成一個(gè)全面有機(jī)的管理體系。,,57,,信息

50、網(wǎng)絡(luò)安全管理,◆信息安全管理簡介,,◆,信息安全制度管理,,●,信息安全管理制度應(yīng)包含以下方面內(nèi)容：,,1.安全策略與制度。確定單位、組織擁有明確的信息安全方針以及配套的策略和制度，以實(shí)現(xiàn)對信息安全工作的支持和承諾，保證信息安全的資金投入。,,2.安全風(fēng)險(xiǎn)管理。信息安全建設(shè)不是避免風(fēng)險(xiǎn)的過程，而是管理風(fēng)險(xiǎn)的過程。沒有絕對的安全，風(fēng)險(xiǎn)總是存在的。信息安全體系建設(shè)的目標(biāo)就是要把風(fēng)險(xiǎn)控制在可以接受的范圍之內(nèi)。風(fēng)險(xiǎn)管理同時(shí)也是一個(gè)動態(tài)持續(xù)的過程。,,3.人員和組織安全管理。建立組織機(jī)構(gòu)，明確人員崗位職責(zé)，提供安全教育與培訓(xùn)；對第三方人員進(jìn)行管理、協(xié)調(diào)信息安全監(jiān)管部門與其他部門之間的關(guān)系，保證信息安全工

51、作的人力資源要求，避免由于人員和組織上的錯(cuò)誤產(chǎn)生的信息安全風(fēng)險(xiǎn)。,58,,信息網(wǎng)絡(luò)安全管理,●,信息安全管理制度應(yīng)包含以下方面內(nèi)容：,,,,4.,,環(huán)境和設(shè)備安全管理?？刂朴捎谖锢憝h(huán)境和硬件設(shè)施的不當(dāng)所產(chǎn)生的風(fēng)險(xiǎn)。管理內(nèi)容包括物理環(huán)境安全、設(shè)備安全、介質(zhì)安全等。,,5. 網(wǎng)絡(luò)和通信安全管理?？刂坪捅Ｗo(hù)網(wǎng)絡(luò)和通信系統(tǒng)，防止其受到破壞和濫用，避免和減低由于網(wǎng)絡(luò)和通信系統(tǒng)的問題對業(yè)務(wù)系統(tǒng)的損害。,,6. 主機(jī)和系統(tǒng)安全管理?？刂坪捅Ｗo(hù)計(jì)算機(jī)主機(jī)及其系統(tǒng)，防止其受到破壞和濫用，避免和降低由此對業(yè)務(wù)系統(tǒng)的損害。,,7.,,應(yīng)用和業(yè)務(wù)安全管理。對各類應(yīng)用和業(yè)務(wù)系統(tǒng)進(jìn)行安全管理，防止其受到破壞和濫用。,,

52、8.,,數(shù)據(jù)安全和加密管理。采用數(shù)據(jù)加密和完整性保護(hù)機(jī)制，防止數(shù)據(jù)被竊取和篡改，保護(hù)業(yè)務(wù)數(shù)據(jù)的安全。,,9.,,項(xiàng)目工程安全管理。保護(hù)信息吸引項(xiàng)目工程過程的安全，確保項(xiàng)目的成果是可靠的安全系統(tǒng)。,,59,,信息網(wǎng)絡(luò)安全管理,●信息安全管理制度應(yīng)包含以下方面內(nèi)容：,,,10.運(yùn)行和維護(hù)安全管理。保護(hù)信息系統(tǒng)在運(yùn)行期間的安全，,,并確保系統(tǒng)維護(hù)工作的安全。,,11.業(yè)務(wù)連續(xù)性管理。通過設(shè)計(jì)和執(zhí)行業(yè)務(wù)連續(xù)性計(jì)劃，確保,,信息系統(tǒng)在任何災(zāi)難和攻擊下，都能夠保證業(yè)務(wù)的連續(xù),,性。,,12.合規(guī)性（符合性）管理。確保信息安全保障工作符合國家,,法律、法規(guī)的要求，且信息安全方針、規(guī)定和標(biāo)準(zhǔn)得到了,,遵循。,

53、,,,,60,,信息網(wǎng)絡(luò)安全管理,◆信息安全管理簡介,,◆,信息安全制度管理,,,◇,信息安全管理制度示例,,,●,物理環(huán)境安全管理規(guī)范,,●,終端計(jì)算機(jī)安全使用規(guī)范,,●,防火墻系統(tǒng)管理規(guī)范,61,,信息網(wǎng)絡(luò)安全管理,●,物理環(huán)境安全管理規(guī)范,,1. 安全域,,,根據(jù)計(jì)算機(jī)機(jī)房內(nèi)部設(shè)備的功能、性質(zhì)、任務(wù)、類型以及重要程度不同，同時(shí)為了防止非法進(jìn)入、危害和干擾，確保內(nèi)部設(shè)備的運(yùn)行安全和信息安全，應(yīng)當(dāng)在計(jì)算機(jī)機(jī)房內(nèi)部劃分安全域。,,計(jì)算機(jī)機(jī)房內(nèi)部的安全域包括主機(jī)、網(wǎng)絡(luò)、打印、操作、介質(zhì)、電源、空調(diào)等，對于特別重要的安全域，如主機(jī)、網(wǎng)絡(luò)、介質(zhì)、主控等，應(yīng)當(dāng)設(shè)立完全獨(dú)立的房間和控制裝置，嚴(yán)格控制人員

54、的出入。對于高污染的打印設(shè)備，應(yīng)當(dāng)遠(yuǎn)離主機(jī)、介質(zhì)安全域，并安排專門的環(huán)境。,,,2. 門禁控制,,,計(jì)算機(jī)機(jī)房是信息處理的重要場所，計(jì)算機(jī)機(jī)房內(nèi)部的重要區(qū)域（如機(jī)房大門、主機(jī)安全域、網(wǎng)絡(luò)設(shè)備安全域、介質(zhì)安全域、主控安全域）必須設(shè)置控制人員出門的門禁系統(tǒng)（如磁卡、IC卡、指紋識別等），并建立24小時(shí)值班制度。,,門禁系統(tǒng)按照最小授權(quán)原則，嚴(yán)格控制計(jì)算機(jī)機(jī)房及內(nèi)部各安全域的人員出入。根據(jù)進(jìn)入機(jī)房人員的崗位職責(zé)，對其實(shí)行不同區(qū)域的授權(quán)。外單位人員因工作需要，必須經(jīng)批準(zhǔn)登記，在專人陪同下，進(jìn)入計(jì)算機(jī)機(jī)房的指定區(qū)域。,,62,,信息網(wǎng)絡(luò)安全管理,●,物理環(huán)境安全管理規(guī)范,,3. 監(jiān)控與報(bào)警,,計(jì)算機(jī)機(jī)

55、房必須安裝場地監(jiān)控系統(tǒng)，對電源、防水、放火等環(huán)境安全設(shè)備進(jìn)行集中監(jiān)控，自動登記機(jī)房環(huán)境的溫度、濕度、電壓、漏水等狀況，在檢測到異常情況時(shí)，自動報(bào)警。,,計(jì)算機(jī)機(jī)房必須安裝攝像監(jiān)控系統(tǒng)，對機(jī)房大門和重要區(qū)域進(jìn)行監(jiān)控和記錄，在發(fā)現(xiàn)異常情況時(shí)，啟動報(bào)警系統(tǒng)。計(jì)算機(jī)機(jī)房的報(bào)警系統(tǒng)應(yīng)當(dāng)與保衛(wèi)部門的保安系統(tǒng)以及公安110系統(tǒng)實(shí)現(xiàn)聯(lián)動。,,4. 人員安全管理,,計(jì)算機(jī)機(jī)房工作崗位屬于關(guān)鍵崗位，對機(jī)房工作人員除了進(jìn)行崗位操作和技能培訓(xùn)外，還必須進(jìn)行相應(yīng)的信息安全、職業(yè)道德、法律規(guī)范的培訓(xùn)，才能上崗工作。,,人力資源部門和信息安全管理部門應(yīng)定期對機(jī)房工作人員進(jìn)行考核，對于不能達(dá)到考核標(biāo)準(zhǔn)的人員，應(yīng)該立即調(diào)離。

56、,,對于機(jī)房工作人員，按照其工作崗位職能進(jìn)行不同級別的授權(quán)，嚴(yán)格控制人員訪問機(jī)房內(nèi)部區(qū)域的權(quán)限，確保機(jī)房物理環(huán)境的安全。,,63,,信息網(wǎng)絡(luò)安全管理,●,物理環(huán)境安全管理規(guī)范,,5.,設(shè)備放置與保護(hù),,,計(jì)算機(jī)機(jī)房內(nèi)的設(shè)備應(yīng)放置在安全位置，降低環(huán)境和事故造成的風(fēng)險(xiǎn)，減少非法訪問的機(jī)會，設(shè)備放置與保護(hù)應(yīng)遵循下列原則：,,關(guān)鍵設(shè)備和需要特別保護(hù)的設(shè)備，應(yīng)在物理上實(shí)現(xiàn)有效隔離。,,設(shè)備放置應(yīng)有助于控制并降低潛在威脅和防線（如水、火、溫度、通風(fēng)、塵埃、震動、輻射、盜竊、破壞）。,,設(shè)備放置應(yīng)考慮到便于維護(hù)。,,設(shè)備應(yīng)該放置在相應(yīng)的安全區(qū)域。,64,,信息網(wǎng)絡(luò)安全管理,●,物理環(huán)境安全管理規(guī)范,,,,6

57、.電源管理,,計(jì)算機(jī)機(jī)房電源管理包括以下內(nèi)容。,,配電系統(tǒng)應(yīng)當(dāng)有詳細(xì)的配線圖，表明各路電源的電壓、容量、分配和連接的設(shè)備。,,配電柜設(shè)備要放置在便于維護(hù)的明顯位置，每一個(gè)配電開關(guān)應(yīng)表明電源的來源和去向，以便掌握各相線的負(fù)載。,,增加、遷移、變更設(shè)備的時(shí)候，必須及時(shí)修改配線圖。,,對于要求雙路供電的設(shè)備，雙路電源必須來自不同的UPS。,,65,,信息網(wǎng)絡(luò)安全管理,●物理環(huán)境安全管理規(guī)范,,,７.,電纜管理,,電纜管理包括電源電纜和通信電纜的安全管理，主要包括以下內(nèi)容：,,計(jì)算機(jī)機(jī)房內(nèi)，電源電纜和通信電纜應(yīng)鋪設(shè)在地板下，從不同的線槽鋪設(shè)、走線，并通過屏蔽保護(hù)以避免干擾，同時(shí)還要考慮阻燃、防水、防蟲

58、、防鼠、防腐等保護(hù)。,,根據(jù)設(shè)備的用電負(fù)載合理選用電纜，按色標(biāo)明相線、零線和地線。,,對與多路主干通信線路進(jìn)入計(jì)算機(jī)機(jī)房的情況，應(yīng)采用不同方向，不同電纜井的入戶方式，以降低外界施工造成通信線路被全面破壞的風(fēng)險(xiǎn)。,66,,信息網(wǎng)絡(luò)安全管理,●物理環(huán)境安全管理規(guī)范,,８.環(huán)境管理與維護(hù),,計(jì)算機(jī)機(jī)房中，環(huán)境管理與維護(hù)的內(nèi)容包括：,,定時(shí)檢查和記錄機(jī)房環(huán)境的溫度、濕度、漏水、通風(fēng)系統(tǒng)的運(yùn)行情況。,,定時(shí)巡檢各種環(huán)境設(shè)備的運(yùn)轉(zhuǎn)狀況，記錄出現(xiàn)的故障代碼，供有關(guān)人員進(jìn)行設(shè)備維修時(shí)使用。,,定期對各類環(huán)境設(shè)備進(jìn)行例行檢修，確保環(huán)境設(shè)備和系統(tǒng)處于良好的運(yùn)行狀態(tài)。,67,,信息網(wǎng)絡(luò)安全管理,●物理環(huán)境安全管理規(guī)

59、范,,,８.,環(huán)境管理與維護(hù),,,環(huán)境設(shè)備的定期檢修包括：,,對空調(diào)系統(tǒng)，每月檢測壓縮機(jī)的工作電流，清潔過濾網(wǎng)、排水管和加濕器；每季度清掃室外冷凝機(jī)組，確保通風(fēng)順暢。,,對電源和UPS系統(tǒng)，每月分析系統(tǒng)的運(yùn)行記錄，每季度進(jìn)行蓄電池的充放電測試；每半年對UPS進(jìn)行雙機(jī)切換操作，并對電源配電柜進(jìn)行檢修。,,對發(fā)電機(jī)組，每月啟動一次，每季度進(jìn)行備用發(fā)電與市電切換的帶載演練。,,對監(jiān)控系統(tǒng)和門禁系統(tǒng)，要定期收集整理記錄信息，分類存檔，發(fā)現(xiàn)問題及時(shí)查清。,,定期檢查消防滅火設(shè)施，及時(shí)更換不合格的設(shè)備。,,,68,,信息網(wǎng)絡(luò)安全管理,●,物理環(huán)境安全管理規(guī)范,,,９.,設(shè)備常規(guī)管理,,對機(jī)房工作人員、維修

60、技術(shù)人員加強(qiáng)保密紀(jì)律教育，自覺遵守操作程序，不得隨意向無關(guān)人員透露工作流程、軟件版本、機(jī)器配置等信息。不得在機(jī)房內(nèi)拍照，不得隨意取走機(jī)房內(nèi)的設(shè)備和資料。,,建立簽收制度，設(shè)立專職介質(zhì)管理崗位，嚴(yán)格管理各種存儲介質(zhì)和信息報(bào)表文檔。介質(zhì)設(shè)備在報(bào)廢之前應(yīng)刪除信息，并集中統(tǒng)一保管，按照相應(yīng)規(guī)范的保密性要求進(jìn)行報(bào)廢處理。,,對設(shè)備進(jìn)行維護(hù)，應(yīng)當(dāng)提前作好備份，外單位、組織人員現(xiàn)場維護(hù)時(shí)，應(yīng)由本單位、組織相關(guān)人員陪同，并且采取外單位、組織人員指導(dǎo)本單位、組織人員操作的方式，對磁盤等設(shè)備的維修應(yīng)該盡量采用現(xiàn)場維護(hù)或者由本單位、組織人員陪同送修。,,不允許遠(yuǎn)程登陸生產(chǎn)或者開發(fā)系統(tǒng)進(jìn)行維護(hù)。在無人使用或者離開時(shí)，

61、應(yīng)注銷登陸，或者啟動屏幕保護(hù)等安全措施。,69,,信息網(wǎng)絡(luò)安全管理,●,物理環(huán)境安全管理規(guī)范,,１０.,設(shè)備變更管理,,為確保機(jī)房內(nèi)各系統(tǒng)的安全運(yùn)行，對任何設(shè)備的遷移、擴(kuò)容和升級、維修、施工等操作都應(yīng)該制定相應(yīng)的制度和標(biāo)準(zhǔn)工作流程，包括變更方案、實(shí)施步驟和回退措施等。安全檢查部門應(yīng)該參與變更管理方案的審定；實(shí)施結(jié)束，應(yīng)向安全檢查部門提交相應(yīng)的記錄和技術(shù)文檔。任何變更操作應(yīng)由兩名以上工程技術(shù)人員完成，外單位、組織人員進(jìn)行的操作應(yīng)由本單位、組織相關(guān)人員陪同。,,當(dāng)機(jī)房內(nèi)的施工和維修操作必須明火作業(yè)時(shí)，要報(bào)經(jīng)消防安全部門和保衛(wèi)部門同意，采取必要的防范措施，在指定時(shí)間、地點(diǎn)按計(jì)劃、按步驟完成作業(yè)，經(jīng)檢

62、查確認(rèn)沒有火災(zāi)隱患后，方可結(jié)束施工。,,任何施工和維修操作所使用的電器設(shè)備，應(yīng)當(dāng)單獨(dú)連接維修電源，以保證不對生產(chǎn)設(shè)備產(chǎn)生干擾。,70,,信息網(wǎng)絡(luò)安全管理,●,物理環(huán)境安全管理規(guī)范,,１１.,設(shè)備故障處理,,按照機(jī)房環(huán)境設(shè)備對生產(chǎn)系統(tǒng)造成的影響以及環(huán)境設(shè)備的修復(fù)時(shí)間，可以將故障分為兩類：,,一類故障：包括電源等系統(tǒng)故障。,,二類故障：空調(diào)、通風(fēng)、發(fā)電機(jī)、門禁、照明等系統(tǒng)故障。,,發(fā)生一類故障，應(yīng)及時(shí)采取應(yīng)急措施，如切換到UPS或者啟動發(fā)電機(jī)供電，同時(shí)以最快速度修復(fù)。,,發(fā)生二類故障，應(yīng)在不影響正常生產(chǎn)的情況下，盡快查找故障原因并排除故障。,71,,信息網(wǎng)絡(luò)安全管理,●,物理環(huán)境安全管理規(guī)范,,,

63、,１２.,管理制度和規(guī)定,,應(yīng)當(dāng)指定嚴(yán)密的規(guī)范和各項(xiàng)管理制度，包括值班制度、機(jī)房管理規(guī)定等，并將上述規(guī)定張貼于相應(yīng)的工作區(qū)域內(nèi)。安排專人負(fù)責(zé)管理制度實(shí)施情況的監(jiān)督和檢查，并處理機(jī)房的日常管理事項(xiàng)。,72,,信息網(wǎng)絡(luò)安全管理,●,終端計(jì)算機(jī)安全使用規(guī)范,,,終端計(jì)算機(jī)的安全使用規(guī)范包括以下主要內(nèi)容：,,辦公桌面系統(tǒng)必須安裝防病毒軟件，并且啟動病毒監(jiān)控和在線自動更新功能。,,為了防止客戶機(jī)在瀏覽互聯(lián)網(wǎng)時(shí)，被含有惡意代碼的程序所感染，應(yīng)將I E瀏覽器的安全級別調(diào)整為“中”，并將隱私級別設(shè)置為“中高”。,,應(yīng)當(dāng)安裝操作系統(tǒng)最新的補(bǔ)丁軟件包，彌補(bǔ)操作系統(tǒng)本身存在的安全漏洞，防止被攻擊者或者計(jì)算機(jī)病毒所利

64、用。,,啟動操作系統(tǒng)的自動更新服務(wù)，操作系統(tǒng)會定期自動升級并安裝最新的補(bǔ)丁程序。,,應(yīng)該按照一定的規(guī)則設(shè)置桌面系統(tǒng)的登陸密碼，并且定期修改，減少登陸密碼泄露或被破解的可能性。,73,,信息網(wǎng)絡(luò)安全管理,●,終端計(jì)算機(jī)安全使用規(guī)范,,,,終端計(jì)算機(jī)的安全使用規(guī)范包括以下主要內(nèi)容,：,,定時(shí)清除I E瀏覽器的臨時(shí)文件夾，可以防止部分敏感內(nèi)容的泄露。,,為防止意外情況造成文件損失，注意定期備份重要的文件，并保管好儲存?zhèn)浞菸募慕橘|(zhì)。,,為防止惡意代碼植入系統(tǒng)，預(yù)防計(jì)算機(jī)病毒感染，在收到來歷不明的電子郵件時(shí)，應(yīng)注意不要隨意打開郵件，并立給予以刪除。,,禁止在未經(jīng)授權(quán)的情況下，私自修改系統(tǒng)的計(jì)算機(jī)命名標(biāo)

65、識和網(wǎng)絡(luò)配置。,,禁止任何聯(lián)入辦公網(wǎng)絡(luò)的桌面系統(tǒng)使用調(diào)制解調(diào)器撥號上網(wǎng)。,,禁止在為經(jīng)授權(quán)的情況下，私自安裝任何應(yīng)用軟件，在獲得授權(quán)后，只允許安裝與工作有關(guān)的正版應(yīng)用軟件。,,禁止訪問互聯(lián)網(wǎng)上與工作無關(guān)或來歷不明的站點(diǎn)，禁止從互聯(lián)網(wǎng)下載與工作無關(guān)的文件。,74,,信息網(wǎng)絡(luò)安全管理,●,防火墻系統(tǒng)管理規(guī)范,,,防火墻是企業(yè)網(wǎng)絡(luò)安全的關(guān)鍵設(shè)備，是不同網(wǎng)絡(luò)安全領(lǐng)域間通信流的唯一通道，能根據(jù)企業(yè)有關(guān)的安全策略控制（允許、拒絕、監(jiān)視、記錄）并出網(wǎng)絡(luò)的訪問行為，同時(shí)也能控制著網(wǎng)絡(luò)資源的分配和應(yīng)用。,,防火墻的部署和配置必須適應(yīng)企業(yè)的安全策略；防火墻對網(wǎng)絡(luò)安全事件的記錄需要事后分析審計(jì)；防火墻對敏感信息流的

66、監(jiān)控信息也需要及時(shí)地做出響應(yīng)。所有這些要求應(yīng)有專門的人員負(fù)責(zé)防火墻的管理工作。,75,,信息網(wǎng)絡(luò)安全管理,◆信息安全管理簡介,,◆重點(diǎn)單位信息安全管理,,《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》第4條明確規(guī)定：“計(jì)算機(jī)信息系統(tǒng)的安全保護(hù)工作，重點(diǎn)維護(hù)國家事務(wù)、經(jīng)濟(jì)建設(shè)、國防建設(shè)、尖端科學(xué)技術(shù)等重要領(lǐng)域的計(jì)算機(jī)信息系統(tǒng)的安全?！边@些重要領(lǐng)域的信息網(wǎng)絡(luò)安全，直接關(guān)系到國家安全、社會安定以及經(jīng)濟(jì)建設(shè)的健康發(fā)展。凡是涉及上述重要領(lǐng)域的信息網(wǎng)絡(luò)單位，均屬于重點(diǎn)單位。,76,,信息網(wǎng)絡(luò)安全管理,◆重點(diǎn)單位信息安全管理,,◆重點(diǎn)單位分類,,,我國信息網(wǎng)絡(luò)重點(diǎn)單位一共分為十二類：,,.國家各級黨政機(jī)關(guān)單位；,,.銀行、保險(xiǎn)、政券等金融機(jī)構(gòu)；,,.郵政、電信、廣播電視部門；,,.電力、熱力、燃?xì)?、煤炭、油料等能源單位?,.航空、航天等尖端科技企業(yè)和研究單位；,,.鐵路、公路、水路、海運(yùn)等交通運(yùn)輸單位；,,.水利及水資源供給部門；,,.醫(yī)療、消防、緊急救援等社會應(yīng)急服務(wù)單位；,,.重要物資儲備單位；,,.經(jīng)濟(jì)建設(shè)的重點(diǎn)工程建設(shè)單位；,,.互聯(lián)網(wǎng)管理中心及其重要網(wǎng)站；,,.其他重要領(lǐng)域和單位。,,77,,信息網(wǎng)絡(luò)安