當前位置:首頁 » 安全設置 » 網路安全最小化安裝原則
擴展閱讀
蘋果妹妹港蘋果電腦 2024-10-30 16:56:56

網路安全最小化安裝原則

發布時間: 2024-07-25 07:29:27

⑴ 請簡述,生活工作中,怎樣安全的使用公共網路

首先,要注重保護個人敏感信息。個人的身份、證件號碼、戶籍、金融證券賬號、密碼等信息盡量不在接入互聯網的電子設備上存儲;網上填寫此類信息時要慎重,對於必須在互聯網上提交的信息,採取最小化原則填寫;使用高強度密碼,在不同網站、應用盡量設置不同密碼並定期更換密碼。

第二,要關注信息系統安全。多普及一些網路安全基礎知識,及時關注公安機關、行業主管部門及互聯網企業通報的網路安全防護知識、了解最新的網路犯罪手法,在使用的計算機和移動設備中要安裝安全軟體,並保持信息系統和安全軟體更新至最新版本。

第三,要堅持「先核實再使用」原則。不在陌生電子設備登錄個人賬號;對陌生網站、軟體、手機APP和WiFi網路連接,要先核實其真實性後再使用。不要輕易點擊別人轉發的鏈接、也不要輕易掃描來路不明的二維碼,網上支付時要檢查支付網站的正規性、真實性,盡量不使用聚合支付平台,交易完成後要完整保存交易訂單等信息。

第四,要堅持「不輕信、不亂轉」原則。對於互聯網信息特別是微信、微博等新媒體賬號上發布的信息,在權威單位公布之前不要輕易相信、轉發;對於僅在互聯網上發布的金融投資類、保健品銷售類、招聘類廣告保持高度警惕。

最後,要使用法律武器維護自身合法權益。受到網路違法犯罪行為侵害後,保持沉著冷靜,第一時間向公安機關報案,配合公安機關做好調查取證工作;同時,要及時聯系相關互聯網企業採取補救措施,防止造成更大損失。

⑵ 信息安全包括哪些內容

保證信息的保密性、真實性、完整性、未授權拷貝和所寄生系統的安全性

信息安全(information security)涉及資訊理論、計算機科學和密碼學等多方面的知識,它研究計算機系統和通信網路內信息的保護方法,是指在信息的產生、傳輸、使用、存儲過程中,對信息載體(處理載體、存儲載體、傳輸載體)和信息的處理、傳輸、存儲、訪問提供安全保護,以防止數據信息內容或能力被非法使用、篡改。

信息安全的基本屬性包括機密性、完整性、可用性、可認證性和不可否認性,主要的信息安全威脅包括被動攻擊、主動攻擊、內部人員攻擊和分發攻擊,主要的信息安全技術包括密碼技術、身份管理技術、許可權管理技術、本地計算環境安全技術、防火牆技術等,信息安全的發展已經經歷了通信保密、計算機安全、信息安全和信息保障等階段。

(2)網路安全最小化安裝原則擴展閱讀:

機密性是指信息不泄漏給非授權的個人和實體或供其使用的特性,只有得到授權或許可,才能得到與其許可權對應的信息,通常機密性是信息安全的基本要求,主要包括以下內容:

1、對傳輸的信息進行加密保護,防止他人譯讀信息,並可靠檢測出對傳輸系統的主動攻擊和被動攻擊,對不同密級的信息實施相應的保密強度,完善密鑰管理。

2、對存儲的信息進行加密保護,防止非法用戶利用非法手段通過獲得明文信息來達到密的目的。加密保護方式一般應視所存儲的信息密級、特徵和使用資源的開發程度等具體情況來確定,加密系統應與訪問控制和授權機制密切配合,以達到合理共享資源的目的。

3、防止由子電磁信號泄漏帶來的失密,在計算機系統工作時,常會發生輻射和傳導電磁信號地漏現象,若此泄漏的信號被他方接收下來,經過提取處理,就可能恢復出原始信息而造成泄密。

什麼是安全評估,安全加固,最好能舉點實例

定義
(Safety assessment ) 網路安全評估又叫安全評價。 一個組織的信息系統經常會面臨內部和外部威脅的風險。 隨著黑客技術的日趨先進,沒有這些黑客技術的經驗與知識很難充分保護您的系統。 安全評估利用大量安全性行業經驗和漏洞掃描的最先進技術,從內部和外部兩個角度,對企業信息系統進行全面的評估。[1] 由於各種平台、應用、連接與變更的速度和有限的資源組合在一起,因此採取所有必要措施保護組織的資產比以往任何時候都困難。環境越復雜,就越需要這種措施和控制來保證組織業務流程的連續性。 安全評估分狹義和廣義二種。狹義指對一個具有特定功能的工作系統中固有的或潛在的危險及其嚴重程度所進行的分析與評估,並以既定指數、等級或概率值作出定量的表示,最後根據定量值的大小決定採取預防或防護對策。廣義指利用系統工程原理和方法對擬建或已有工程、系統可能存在的危險性及其可能產生的後果進行綜合評價和預測,並根據可能導致的事故風險的大小,提出相應的安全對策措施,以達到工程、系統安全的過程。安全評估又稱風險評估、危險評估,或稱安全評價、風險評價和危險評價。

安全評估目標
在項目評估階段,為了充分了解企業專用網路信息系統的當前安全狀況(安全隱患),因此需要對網路系統進行安全狀況分析。經我系安全小組和該企業信息中心的雙方確認,對如下被選定的項目進行評估。 · 管理制度的評估 · 物理安全的評估 · 計算機系統安全評估 · 網路與通信安全的評估 · 日誌與統計安全的評估 · 安全保障措施的評估 · 總體評估

安全加固

安全加固概述

網路與應用系統加固和優化服務是實現客戶信息系統安全的關鍵環節。通過使用該項服務,將在客戶信息系統的網路層、主機層和應用層等層次建立符合客戶安全需求的安全狀態,並以此作為保證客戶信息系統安全的起點。
網路與應用系統加固的對象,往往存在以下安全問題:
1. 安裝、配置不符合安全需求;
2. 參數配置錯誤;
3. 使用、維護不符合安全需求;
4. 系統完整性被破壞;
5. 被注入木馬程序;
6. 帳戶/口令問題;
7. 安全漏洞沒有及時修補;
8. 應用服務和應用程序濫用;
9. 應用程序開發存在安全問題等。
網路與應用系統加固和優化服務的目的是通過對主機和網路設備所存在安全問題執行以下操作:
1. 正確的安裝;
2. 安裝最新和全部OS和應用軟體的安全補丁;
3. 操作系統和應用軟體的安全配置;
4. 系統安全風險防範;
5. 提供系統使用和維護建議;
6. 系統功能測試;
7. 系統安全風險測試;
8. 系統完整性備份;
9. 必要時重建系統等。
上述工作的結果決定了網路與應用系統加固和優化的流程、實施的內容、步驟和復雜程度。具體說,則可以歸納為:

1. 明確加固目標也就確定系統在做過加固和優化後,達到的安全級別,通常不同環境下的系統對安全級別的要求不同,由此採用的加固方案也不同. 明確加固目標的結果必須能夠明確做加固和優化的系統如何在功能性與安全性之間尋求平衡,即加固後能達到的安全程度可以滿足用戶需求。
2. 明確系統運行狀況的內容包括:
a) 系統的具體用途,即明確系統在工作環境下所必需開放的埠和服務等。
b) 系統上運行的應用系統及其正常所必需的服務。
c) 我們是從網路掃描及人工評估里來收集系統的運行狀況的。
3. 明確加固風險:網路與應用系統加固是有一定風險的,一般可能的風險包括停機、應用程序不能正常使用、最嚴重的情況是系統被破壞無法使用。這些風險一般是由於系統運行狀況調查不清導致,也有因為加固方案的代價分析不準確,誤操作引起。因此在加固前做好系統備份是非常重要的。
4. 系統備份:備份內容包括:文件系統、關鍵數據、配置信息、口令、用戶許可權、等內容;最好做系統全備份以便快速恢復。

加固和優化流程概述
網路與應用系統加固和優化的流程主要由以下四個環節構成:
1. 狀態調查
對系統的狀態調查的過程主要是導入以下服務的結果:
a) 系統安全需求分析
b) 系統安全策略制訂
c) 系統安全風險評估(網路掃描和人工評估)
對於新建的系統而言,主要是導入系統安全需求分析和系統安全策略制訂這兩項服務的結果。在導入上述服務的結果後,應確定被加固系統的安全級別,即確定被加固系統所能達到的安全程度。同時,也必須在分析上述服務結果的基礎上確定對網路與應用系統加固和優化的代價。

2. 制訂加固方案
制訂加固方案的主要內容是根據系統狀態調查所產生的結果制訂對系統實施加固和優化的內容、步驟和時間表

3. 實施加固
對系統實施加固和優化主要內容包含以下兩個方面:
a) 對系統進行加固
b) 對系統進行測試
對系統進行測試的目的是檢驗在對系統使是安全加固後,系統在安全性和功能性上是否能夠滿足客戶的需求。上述兩個方面的工作是一個反復的過程,即,每完成一個加固或優化步驟後就要測試系統的功能性要求和安全性要求是否滿足客戶需求;如果其中一方面的要求不能滿足,該加固步驟就要重新進行。
對有些系統會存在加固失敗的情況,如果發生加固失敗,則根據客戶的選擇,要麼放棄加固,要麼重建系統。

4. 生成加固報告
加固報告是向用戶提供完成網路與應用系統加固和優化服務後的最終報告。其中包含以下內容:
a) 加固過程的完整記錄
b) 有關系統安全管理方面的建議或解決方案
c) 對加固系統安全審計結果

⑷ 如何做好機關單位的保密管理工作

一、要牢固樹立保密工作意識.
二、要建立落實保密工作責任。
1、保密工作責任制主要包括領導幹部保密工作責任制、定密責任制、保密要害部門部位負責人及工作人員責任制、涉密信息系統管理和維護人員責任制等。
2、機關、單位實行保密工作責任制,最主要是實行黨政領導幹部保密工作責任制,即主要領導為第一責任人,應負全面領導的責任,分管領導負具體組織領導的責任,其他領導對分管工作范圍內的保密工作負領導責任。

三、要科學確定保密范圍對象
1、定保密要害部門部位。
保密要害部門部位按照「最小化」的原則確定。機關、單位應當將涉及絕密級、或者較多機密級、秘密級國家秘密的機構確定為保密要害部門,如辦公室、涉密業務(部門)科室等;將集中製作、存放、保管國家秘密載體的專門場所確定為保密要害部位,如保密室、文印室和涉密信息系統機房等。
2、定涉密崗位和涉密人員。

3、定涉密載體。
主要涉及計算機信息系統及信息設備和文件資料(含電子文檔)的定密定級工作等。四、要建立健全保密管理制度。
1、要繼續抓好制度建設。
制定包括保密工作責任制、定密制度、涉密人員管理制度、涉密文件資料管理制度
2、要切實抓好制度落實。
要認真學習制度,熟悉掌握制度的各個環節、各項要求。主要領導要率先垂範,帶頭遵守制度
1、加強人防。
重點是建立健全保密工作組織機構,選派專業人員從事計算機和網路安全保密管理工作,特別要發揮機構成員、相關部門(科室)的互助協作作用,避免出現單一的科室和人員獨挑一面的局面。
2、完善物防。
保密要害部門部位強制安裝「三鐵一器」(鐵門、鐵窗、電腦密碼櫃、報警器),配備使用電磁泄漏防護、移動通信干擾等設施設備。涉密場所連接互聯網的計算機嚴禁使用音頻、視頻設備和無線互聯設備。
3、強化技防。
涉密計算機要專機專用,安裝「三合一」(違規外聯、單向導入和移動存儲介質)管理系統,涉密信息設備要統一采購、統一登記、統一標識,專人管理。
1、加強宣傳教育,堅持警鍾長鳴。

2、強化監督檢查,做到以查促管。
分管領導要經常督促檢查本機關、單位的保密工作,及時提出加強和改進保密工作的具體意見、建議。機關、單位保密工作機構要就機關、單位貫徹落實保密法律法規,遵守保密工作制度

⑸ centos7鏈灝忓寲瀹夎呭氬ぇ絀洪棿

浠20GB~40GB灞呭氥

鏈灝忓寲瀹夎匔entOS7鍚庯紝鍦ㄩ厤緗緗戠粶鍚庯紝鎯蟲煡鐪婭P錛屽彂鐜ifconfig鍛戒護鏄涓嶅ソ浣垮緱銆傚湪鏈灝忓寲鐨凜entOS7涓錛屾煡鐪嬬綉鍗′俊鎮鐨勫懡浠ゅ簲璇ユ槸ip addr銆

姣旇緝甯哥敤鐨勬槸鏈灝忓寲瀹夎咃紙瀹夎呭揩錛屽彧鏈夊懡浠よ屾搷浣滐級錛屽甫鏈夋岄潰鐨勫畨瑁咃紙涓浜涢厤緗鍜屼嬌鐢ㄩ兘鍙浠ュ浘褰㈠寲鎿嶄綔錛岃緝濂界敤錛夛紝鏈嶅姟鍣ㄧ増瀹夎咃紙鐗瑰畾緇勪歡鍙浠ョ渷鎺夊畨瑁呯殑寰堝氶棶棰橈級錛岃繖閲岄夋嫨鏈灝忓寲瀹夎咃紝鍙﹀栧彲浠ユ牴鎹闇瑕佷粠鍙抽潰閫夋嫨閮ㄥ垎緇勪歡瀹夎呫

鑷瀹氫箟閰嶇疆錛屼竴鑸闇瑕侀厤緗畇wap鍖猴紝澶у皬涓哄唴瀛1.5-2鍊嶅ぇ灝忥紝鍙﹀栫殑絀洪棿鍙鏍規嵁鑷宸卞枩濂借繘琛屽垎閰嶏紝榪欓噷鍏ㄩ儴鍒嗗埌鏍圭洰褰曚笅銆

鎵╁睍璧勬枡錛

centos浣跨敤娉ㄦ剰浜嬮」錛

1銆佷負闃叉㈡湁浜涙樉鍗″湪鐔勫睆鍚庡敜閱掑け璐ワ紝濡傛灉鍦ㄨ櫄鎷熸満鍐呬嬌鐢 CentOS錛屽彲浠ヨ劇疆姘鎬笉鐔勫睆銆

2銆佸垏鎹㈢殑綆$悊鍛樻潈闄愩傛敞鎰忚緭瀵嗙爜鏃跺瘑鐮佹槸闅愬艦浣嗗瓨鍦ㄧ殑銆

3銆佽繖鏉″懡浠や細璁╃郴緇熻蔣浠朵繚鎸佽緝鏂扮増鏈錛岄氬父鏉ヨ存洿瀹夊叏錛屾洿璐磋繎鍏朵粬緗戝弸鍙戝竷鏁欑▼鏃剁殑緋葷粺鐘舵侊紝鍦ㄤ紒涓氱敓浜х幆澧冿紝鏋佸皯鎯呭喌涓嬫洿鏂 yum 鍙鑳戒駭鐢熶笉鑹鏁堟灉錛屾瀬澶氭儏鍐典笅錛屼笉鏇存柊楹葷儲鏇村氾紝鏇存柊姣旇緝瀹夊叏銆

鍙傝冭祫鏂欐潵婧愶細鐧懼害鐧劇-centos

計算機網路安全與防護技術相關知識

1、涉密網路保密建設和管理應遵循哪些基本原則u2/:b
根據國家有關規定,政務內網是涉密網路,是專門處理國家秘密和內部辦公信息的網路。黨和國家對涉密網路的保密建設和管理非常重視,制定了一系列方針政策、法律法規和標准規范。根據這些規定,涉密網路保密建設和管理應當遵循以下基本原則:$
(1)適度安全的原則。所謂「適度安全」是指與由於信息泄露、濫用、非法訪問或非法修改而造成的危險和損害相適應的安全。沒有絕對安全的信息系統(網路),任何安全措施都是有限度的。關鍵在於「實事求是」、「因地制宜」地去確定安全措施的「度」,即根據信息系統因缺乏安全性造成損害後果的嚴重程度來決定採取什麼樣的安全措施。國家保密技術規定對絕密級信息系統的機密、秘密級信息系統應當採取的安全措施分別提出了具體要求。6x)#gt
(2)按最高密級防護的原則。涉密信息系統處理多種密級的信息時,應當按照最高密級採取防護措施。kHo
(3)最小化授權的原則。一是涉密信息系統的建設規模要最小化,非工作所必需的單位和崗位,不得建設政務內風和設有內網終端;二是涉密信息系統中涉密信息的訪問許可權要最小化,非工作必需知悉的人員,不得具有關涉密信息的訪問許可權。jie
(4)同步建設,嚴格把關的原則。涉密信息系統的建設必須要與安全保密設施的建設同步規劃、同步實施、同步發展。要對涉密信息系統建設的全過程(各個環節)進行保密審查、審批、把關。N
要防止並糾正「先建設,後防護,重使用,輕安全」的傾向,建立健全涉密信息系統使用審批制度。不經過保密部門的審批和論證,有關信息系統不得處理國家秘密信息。7qR
(5)注重管理的原則。涉密信息系統的安全保密三分靠技術,七分靠管理。加強管理可以彌補技術上的不足;而放棄管理則再好的技術也不安全。要通過引進和培養計算機技術人員,使其盡快成為既懂「電子」又懂政務(黨務)、還懂「保密」的復合型人才,利用行政和技術手段的綜合優勢,實現對涉密信息在網路環境下的有效監管。同時,實現人員和技術的有機結合——健全制度,並利用技術手段保證制度的落實。|kn
&;溫農校友之家 -- 溫農人自己的網上家園 g4cB
2、涉密網路保密建設的基本措施有哪些?A
根據國家保密技術規定的要求,涉密信息系統的安全保密建設必須採取以下基本措施:C+8_f^
(1)存放安全。即保證涉密信息系統的機房設備和終端存放在安全可靠的地方,做到防火、防水、防震、防爆炸和防止外來人員進行物理上的盜取和破壞等,還要防止外界電磁場對涉密信息系統各個設備的電磁干擾,保證涉密信息系統的正常運行。TTr.
涉密信息系統的中心機房建設,在條件許可的情況下,應滿足國家《電子計算機機房設計規定規范》、《計算站場地技術條件》、《計算站場地安全要求》和要求。處理國家秘密信息的電磁屏蔽室的建設,必須符合國家保密標准BMB3的要求。處理秘密級、機密級信息的系統中心機房,應當彩有效的電子門控系統。處理絕密級信息和重要信息的系統中心機房的門控系統,還應採取IC卡或生理特徵進行身份鑒別,並安裝電視監視系統,且配備警衛人員進行區域保護。$Zey3
(2)物理隔離。即涉密信息系統(政務內網)要與政務外網和網際網路實行物理隔離。這是涉密信息系統免遭來自網際網路上的黑客攻擊和病毒侵擾的最有效措施。實現物理隔離,必須做到以下幾點:rr=
一是一個單位的政務內網和政務外網的機房要分別建設,相互物理隔離。隔離距離要符合國家保密標准BMB5的相關規定。>Gm
二是政務內網的布線要採用光纜或屏蔽電纜;如政務內、外網同時建設,可實行雙布線,政務外網的布線可以使用普通電纜或雙絞線;對已建網路要改造成政務內、外網兩個網路、單布線不可改變時,可以採用安裝安全隔離集線器的辦法,使客戶端微機不能同時與內、外網相通。h
三是客戶端的物理隔離可以採取以下方法解決:(A)安裝雙主板、雙硬碟的微機(如浪潮金盾安全電腦);(B)對原的微機進行物理隔離改造,即增中一塊硬碟和一塊雙硬碟隔離卡(如中孚隔離卡);(C)對客戶端微機只增加一塊單礓盤隔離卡等。"7
四是對單位與單位政務內網之間的信息傳輸,可採用以下方法解決:(A)利用各地政務內網平台提供的寬頻保密通道;(B)採用單獨交換設備和單獨鋪設線路,並安裝網路加密機;(C)使用面向連接的電路交換方式(如PSTN、ISDN、ADSL等)時,應採用認證和鏈路加密措施。採用的加密設備必須經國家密碼主管部門批准。Qq0
(3)身份鑒別。在用戶進入(即使用)涉密信息系統前,系統要對用戶的身份進行鑒別,以判斷該用戶是否為系統的合法用戶。其目的是防止非法用戶進入。這是系統安全控制的第一道防線。v6
身份鑒別一般採用3種方法:一是設置口令字;二是採用智能卡和口令字相結合的方式;三是用人的生物特徵等強認證措施,如指紋、視網膜等。6iFF=]
口令字的設置原理是:在信息系統中存放一張「用戶信息表」,它記錄所有的可以使用這個系統的用戶的有關信息,如用戶名和口令字等。用戶名是可以公開的,不同用戶使用不同的用戶名,但口令字是秘密的。當一個用戶要使用系統時,必須鍵入自己的用戶名和相應的口令字,系統通過查詢用戶信息表,驗證用戶輸入的用戶名和口令字與用戶信息表中的是否一致,如果一致,該用戶即是系統的合法用戶,可進入系統,否則被擋在系統之外。4Z-xF
根據國家保密規定,處理秘密級信息的系統口令長度不得少於8位,且口令更換周期不得長於30天;處理機密級信息的系統,口令長度不得少於10位,且口令更換周期不得長於7天;處理絕密級信息的系統,應當採用一次性口令。口令有組成應當是大小寫英文字母、數字、特殊字元中兩者以上的組合,而且口令必須加密存儲、加密傳輸,並且保證口令存放載體的物理安全。$
採用口令字進行身份鑒別,特別是成本低,實現容易,但使用管理很不方便,不宜記憶。YN
採用「智能卡+口令字」的方式進行身份鑒別,其特別是,口令字長度4位即可,便於用戶使用,增加了身份鑒別的安全性和可靠性,成本較高,一般涉密信息系統的身份鑒別在多採用這種方式。3
採用人的生理特徵進行身份鑒別,其特點是成本高,安全性好。國家保密規定要求,絕密級信息系統的身份鑒別應採用這種強認證方式。B
(4)訪問控制。經過身份鑒別進入涉密信息系統的合法用戶,需要對其訪問系統資源的許可權進行限制。訪問控制的任務就是根據一定的原則對合法用戶的訪問許可權進行控制,以決定他可以使用哪些系統資源,以什麼樣的方式使用。例如,在系統中,對於各種密級的文件,哪個用戶可以查閱,哪個用戶可以修改等。這是系統安全控制的第二道防線,它可以阻合法用戶對其許可權范圍以外的資源的非法訪問。設置訪問控制應遵循「最小授權原則」,即在應當授權的范圍內有權使用資源,非授權范圍內無權使用資源。88d
訪問控制可以分為自主訪問控制、強制訪問控制和角色控制等3種訪問控制策略。:Rk03*
自主訪問控制是指資源的擁有者有權決定系統中哪些用戶具有該資源的訪問許可權,以及具有什麼樣的訪問許可權(讀、改、刪等)。也就是說系統中資源的訪問許可權,由資源的所有者決定。]^`
強制訪問控制是指信息系統根據事先確定的安全策略,對用戶的訪問許可權進行強制性控制。它首先要分別定義用戶和信息資源的安全屬性;用戶的安全屬性為「所屬部門」和「可查閱等級」。用戶「所屬部門」是指用戶分管或所在的部門。用戶「可查閱等級」分為A、B、C三級(可以任意確定),其級別為A>B>C。信息資源的安全屬性分為「所屬部門」和「查閱等級」。信息「所屬部門」是指信息產生的部門。信息「查閱等級」可分為A、B、C三級(同上),其級別為A>B>C。強制訪問控制的規則是:僅當用戶安全屬性中的「可查閱等級」大於等於信息安全屬性中的「查閱等級」且用戶安全屬性中的「所屬部門」包含了信息安全屬性中的「所屬部門」時,用戶才能閱讀該信息;僅當用戶安全屬性中的「可查閱等級」小於等於信息安全屬性中的「查閱等級」,且用戶安全屬性中的「所屬部門」包含了信息安全屬性中的「所屬部門」時,用戶才能改寫該信息。*Dh
角色控制是指信息系統根據實際工作職責設置若干角色,不同用戶可以具有相同角色,在系統中享有相同的權力。當工作職責變動時,可按照新的角色進行重新授權。角色控制既可以在自主訪問控制中運用,也可以在強制訪問控制中運用。PVD
根據國家保密規定,涉密信息系統必須採用強制訪問控制策略。處理秘密級、機密級信息的涉密系統,訪問應當按照用戶類別、信息類別控制,處理絕密級信息的涉密系統,訪問控制到單個用戶、單個文件。x
(5)數據存儲加密。對涉密信息系統中存放的文件和數據進行加密,使這成為密文,用在用戶對其進行訪問(查詢、插入、修改)時,按其需要對數據實時進行加密/解密。這是系統安全控制的第三道防線。在系統的身份鑒別和訪問控制這兩道防線萬一遭到破壞或用戶繞過身份鑒別和訪問控制,通過其他途徑進入系統時,加密可以保護文件或數據的秘密性,並可發現數據的被修改。通俗地講,系統的身份鑒別與訪問控制的作用是「進不來」和「拿不走」,加密的作用是,即使拿走了也「看不懂」。~GOC;
採用什麼樣的密碼體制對數據進行加密,是密碼控制中的一個很關鍵的問題,要保證密碼演算法既有很強的密碼強度,又對系統的運行效率不致於有太大影響。現代密碼體制是將密碼演算法公開,而僅保持密鑰的秘密性,即一切秘密寓於密鑰之中。因此,必須對密鑰的生成、傳遞、更換和保存採取嚴格的保護措施。bpr!
根據國家保密規定,絕密級信息系統中的數據存儲應當採取加密措施。使用的加密演算法應當經過國家密碼主管部門的批准。";)l
(6)安全審計。審計是模擬社會檢察機構在信息系統中用來監視、記錄和控制用戶活動的一種機制,它使影響系統安全的訪問和訪問企圖留下線索,以便事後分析追查。主要的安全審計手段包括:設置審計開關、事件過濾、查詢審計日誌和違遠見事件報警等。T2hiV/
審計系統應當有詳細的日誌,記錄每個用戶的每次活動(訪問時間、地址、數據、程序、設備等)以及系統出錯和配置修改等信息。應保證審計日誌的保密性和完整性。)Z6r
按照國家保密規定,機密級以下的涉密信息系統應採用分布式審計系統,審計信息存放在各伺服器和安全保密設備上,用於系統審計員審查,審查記錄不得修改、刪除,審查周期不得長於30天。絕密級信息系統應當採用集中式審計系統,能夠對各級伺服器和安全保密設備中的審計信息收集、整理、分析匯編成審計報表,並能檢測、記錄侵犯系統的事件和各種違規事件,及時自動告警,系統審計員定期審查日誌的不得長於7天。</<f'g
(7)防電磁泄漏。涉密信息系統中涉密設備的安裝使用,應滿足國家保密標准BMB2的要求。對不符合BMB2要求的,必須採取電磁泄漏的防護措施。電磁泄漏的防護技術共有3種:電磁屏蔽室、低泄射設備和電磁干擾器。`x
根據國家有關規定,對處理絕密級信息的系統機房應當建設電磁屏蔽室,處理絕密級信息的計算機要安裝電磁屏蔽台,且電磁屏蔽室和電磁屏蔽台都要符合國家保密標准BMB3的要求。否則處理絕密級信息的計算機必須是符合國家公安和保密標准GGBB1的低泄射設備。P
處理秘密級、機密級信息的設備應當採取安裝電磁干擾器或採用低泄射設備等防電磁泄漏措施。所使用的干擾器應滿足國家保密標准BMB4的要求,即處理機密級以下(含機密級)信息的設備應當採用一級電磁干擾器;二級電磁干擾器用於保護處理內部敏感信息的設備和最小警戒距離大於等於100米處理秘密級信息的設備。#fp92'
&;溫農校友之家 -- 溫農人自己的網上家園 x
4、涉密網路保密管理應採取哪些基本措施?q-|Z)7
根據國家有關規定,涉密網路的保密管理應當採取以下基本措施:<
(1)明確安全保密責任,落實網路安全保密管理機構。JNe{p
要確定分管領導。該領導應當了解系統中的涉密信息及處理性質,了解保護系統所需要的管理、人事、運行和技術等方面的措施。U`j
成立網路安全保密管理機構。該機構應當由分管領導親自負責,成員包括保密員、系統管理員、系統安全員、系統審計員和操作員代表以及保安員等。其具體職責是,制定網路安全保密策略,包括技術策略和管理策略;制定、審查、確定保密措施;組織實施安全保密措施並協調、監督、檢查安全保密措施執行情況;組織開展網路信息安全保密的咨詢、宣傳和培訓等。rY
機構領導的主要任務是:對系統修改的授權;對特權和口令的授權;冥違章報告、審計記錄、報警記錄;制定並組織實施安全人員培訓計劃,以及遇到重大問題時及時報告單位主要領導和上級等。p
保密員的主要職責是,建立健全信息保密管理制度,監督、檢查網路保密管理及技術措施的落實情況,確定系統用戶和信息的安全屬性等。ovz]j}
系統管理員的主要職責是:負責系統及設備的安裝和維護,分配和管理用戶口令,落實防病毒措施,保證系統的正常運行。x
系統安全員的主要職責是,設置用戶和信息的安全屬性,格式化新介質,應急條件下的安全恢復,啟動與停止系統等。0<!
系統審計員的主要職責是,監督系統的運行情況,定期查看審計記錄,對系統資源的各種非法訪問事件進行分析、處理,必要時及時上報主管領導。OkP6u]
保安員的主要職責是,負責非技術性的、常規的安全工作,如場地警衛、驗證出入手續,落實規章制度等。"/4;uE
(2)制定系統安全計劃。Z_f;Wi
主要包括:lc:dF
一是制定系統規章。涉密信息系統安全保密制度有:系統和設備使用的安全保密規定,涉密介質的使用管理規定,物理安全管理制度,身份鑒別管理制度,訪問控制規則設置的規定,密鑰與密碼設備管理制度以及系統管理員、系統安全員、系統審計員、保密員和保安員的工作職責等。=aRY
二是制定培訓計劃。對新上崗人員進行培訓,培訓的內容應當包括:職業道德、系統各個崗位的新技術、操作規程和使用信息系統應當掌握的安全保密管理制度。對己在崗人員也要進行定期培訓,以不斷提高所有工作人員的工作能力和水平。I+%
三是加強人員管理。主要有3個方面:(A)人員審查,確保涉密信息系統每個用戶的安全可靠。審查內容包括個人經歷、社會關系、政治思想狀況、人品和職業道德等。(B)確定崗位和職責范圍。使每一位用戶按照自己的崗位和職權使用信息系統。(C)考核評價。對系統用戶的政治思想、業務水平、工作表現等要定期進行全面考核,並作出評價。對不適於接觸涉密信息系統的人員要及時調離。對提升、調動、離崗和退休人員,要收回所有證件、鑰匙、智能卡,檢查是否把全部手冊、文件或程序清單交回。有關人員離崗後,應更換口令和智能卡。7Pd
四是成立事故處理小組。制定應急計劃和處理預案,幫助用戶解決安全事故,向用戶定期通報有關信息系統薄弱環東和外來威脅的情況,定期檢測應急能力。gv9_TR
(3)制定評審安全措施。涉密信息系統建成後,要由涉密計算機網路測評中心對其進行安全保密性能的測評。由於信息系統的安全性將隨著時間的推移而發生變化,因此在對該信息系統進行重大修改時,要重新進行測評;即使沒有重大修改,至少每三年也要測評一次。&J2
(4)信息系統的授權使用。涉密信息系統的安全關系國家的安全和利益,因此,該系統必須經保密部門審批合格並書面授權,方能投入運行;如該系統做重大修改,須經保密部門重新審批、授權;至少每三年,涉密信息系統的使用要重新授權。UF@*