① 网络安全审计机制记录操作行为保存异常状态信息
网络安全审计机制是确保网络信息系统安全的重要措施之一。该机制通过记录操作行为和保存异常状态信息,为网络安全事件的分析和追踪提供了坚实的基础。具体而言,网络安全审计机制能够详细记录用户及系统的各类操作行为,包括但不限于登录尝试、文件访问、数据修改等,并实时监测和捕获网络中的异常状态信息,如未经授权的访问尝试、恶意软件的入侵等。
这些信息被完整地保存下来,不仅有助于在网络安全事件发生后进行回溯和追踪,还能为安全管理人员提供宝贵的线索和证据,以便及时发现潜在的威胁并采取相应的防范措施。此外,根据我国相关法律法规的要求,如《中华人民共和国网络安全法》,网络日志的保存时间应不少于六个月,以确保审计信息的完整性和可追溯性。
综上所述,网络安全审计机制在保障网络信息系统安全方面发挥着至关重要的作用,它通过全面、细致地记录操作行为和异常状态信息,为网络安全事件的预防、检测和应对提供了有力的支持。
② 网络安全审计的实施
为了确保审计实施的可用性和正确性,需要在保护和审查审计数据的同时,做好计划分步实施。审计应该根据具体安全事件情况的需要进行定期审查或自动实时审查。系统管理员应该根据计算机安全管理的要求确定需要维护审计数据的内容、类型、范围和时间等,其中包括系统内保存的和归档保存的数据。具体实施主要包括:保护审查审计数据及审计步骤。 1)保护审计数据
应当严格限制在线访问审计日志。除了系统管理员用于检查访问之外,其他任何人员都无权访问审计日志,更应严禁非法修改审计日志以确保审计跟踪数据的完整性。
审计数据保护的常用方法是使用数据签名和只读设备存储数据。采用强访问控制是保护审计跟踪记录免受非法访问的有效举措。黑客为掩人耳目清楚痕迹,常设法修改审计跟踪记录,因此,必须设法严格保护审计跟踪文件。
审计跟踪信息的保密性也应进行严格保护,利用强访问控制和加密技术十分有效,审计跟踪所记录的用户信息非常重要,通常包含用户及交易记录等机密信息。
2)审查审计数据
审计跟踪的审查与分析可分为事后检查、定期检查和实时检查3种。审查人员应清楚如何发现异常活动。通过用户识别码、终端识别码、应用程序名、日期时间等参数来检索审计跟踪记录并生成所需的审计报告,是简化审计数据跟踪检查的有效方法。 审计是一个连续不断改进提高的过程。审计的重点是评估企业现行的安全政策、策略、机制和系统监控情况。审计实施的主要步骤:
(1)确定安全审计。申请审计工作主要包括:审计原因、内容、范围、重点、必要的升级与纠正、支持数据和审计所需人才物等,并上报审批。
(2)做好审计计划。一个详细完备的审计计划是实施有效审计的关键。包括审计内容的详细描述、关键时间、参与人员和独立机构等。
(3)查阅审计历史。审计中应查阅以前的审计记录,有助于通过对比查找安全漏洞隐患和规程,更好地采取安全防范措施。同时保管好审计相关资源和规章制度等。
(4)实施安全风险评估。审计小组制定好审计计划,着手开始审计核心即风险评估。
(5)划定审计范畴。审计范围划定对审计的开展很关键,范围之间要有一些联系,如数据中心局域网,或是商业相关的一些财务报表等。审计范畴的划定有利于集中注意力在资产、规程和政策方面的审计。
(6)确定审计重点和步骤。各类机构都应将主要精力放在审计的重点上。并确定具体的审计步骤和区域,避免审计的延缓或不完全,以免得出令人难以信服的结果。
(7)提出改进意见。安全审计最后应提出相应的提高安全防范的建议,便于实施。
③ 市审计局关于做好计算机及网络安全工作细则
根据《吉安市庆祝中华人民共和国成立70周年网络安全保障工作方案》(吉网办字[2019]2号)文件要求,为做好我局计算机网络安全工作,进一步落实网络安全和信息安全管理责任,确保我局网络安全和信息安全,切实加强系统管理,明确责任,制订以下具体工作细则,请遵照执行。
一、网络管理
1、网络管理员要密切关注、监视网络运行情况,调整网络参数,调度网络资源,保持网络安全、稳定、畅通。
2、全体人员自觉管理好自己的各种网络账号,并设置安全等级较高的口令,坚决杜绝弱口令、默认口令、通用口令、长期不变口令,坚决防止高危漏洞不修复、非必要端口及服务长期开启等问题,加强对账号暴力破解的防范。
3、未经允许,不得对上网计算机网络功能及网络中存储、处理、传输的数据和应用程序进行修改、删除或增加。
4、对检查、评估、监测中发现的网络问题,以及有关部门通报的各类问题隐患进行整改,并逐一复查,确保问题彻底解决,不留后患。
5、防范邮件攻击,认真审核异常地址、异常时段登陆和批量下载邮件情况,关闭邮件系统邮件自动转发功能。
6、在单位使用互联网、审计内网时不得交叉使用,在现有的条件下固定内、外网机,内网机不连互联网。
二、网站管理
1、对外发布的信息应具有较强的时效性,并且不得发布违反国家法律及地方法规的信息,不得发布与党的各项方针、政策相违背的信息,不得发布不真实的信息。
2、工作人员不得擅自在网站上发布信息,所有信息必须经分管领导审核同意后报计算机审计中心统一发布。
3、及时处理网站异常情况。由于网站由政府信息中心统一建设管理,网站管理员要结合政府信息中心下发的有关通知要求及时处理网站异常情况。
三、机房管理
1、网管人员应做好网络安全工作,服务器的各种帐号严格保密。监控网络上的数据流,从中检测出攻击的行为并给予响应和处理。
2、加强服务器病毒防范意识,定时进行病毒扫描检测,发现病毒立刻处理;
采用国家许可的正版防病毒软件并及时进行更新升级;
未经认证许可不可擅自在服务器安装新软件;
远程传送数据须经检测安全后方可传送。
3、禁止泄露、外借和转移专业数据信息。
4、关闭主机和终端上不必要的端口、共享访问以及远程桌面连接。
5、定期对数据进行备份。
四、数据保密管理
1、未经批准不得随意更改业务数据。
2、信息管理员必须严守职业道德和职业纪律,不得将任何用户的密码、帐号等保密信息、个人隐私等资料泄露出去。
3、采取数据分类、备份、加密等措施,加强对个人信息和重要信息保护。采用密码技术应符合国家管理政策要求。严格数据访问授权,存储重要数据和大量个人信息的数据库接入互联网应采取严格安全防范措施。存储重要数据和大量个人信息数据的计算机不得接入互联网。
4、严禁在连接互联网计算机或非涉密移动存储介质上存储、处理、传输国家秘密。对连接互联网的工作计算机安装文档涉密防护系统,该系统对连接互联网的计算机中所有文档进行进行扫描、监测,一旦发现存储、操作、接收涉密文档即刻报警,请全体人员在工作中严格遵守保密制度。
五、本实施细则自发布之日起生效。
④ 公安网络和信息安全管理有哪些制度
网络安全管理机构和制度
网络安全管理机构和规章制度是网络安全的组织与制度保障。网络安全管理的制度包括人事资源管理、资产物业管理、教育培训、资格认证、人事考核鉴定制度、动态运行机制、日常工作规范、岗位责任制度等。建立健全网络安全管理机构和各项规章制度,需要做好以下几个方面。
1. 完善管理机构和岗位责任制
计算机网络系统的安全涉及整个系统和机构的安全、效益及声誉。系统安全保密工作最好由单位主要领导负责,必要时设置专门机构,如安全管理中心SOC等,协助主要领导管理。重要单位、要害部门的安全保密工作分别由安全、保密、保卫和技术部门分工负责。所有领导机构、重要计算机系统的安全组织机构,包括安全审查机构、安全决策机构、安全管理机构,都要建立和健全各项规章制度。完善专门的安全防范组织和人员。各单位须建立相应的计算机信息系统安全委员会、安全小组、安全员。安全组织成员应由主管领导、公安保卫、信息中心、人事、审计等部门的工作人员组成,必要时可聘请相关部门的专家组成。安全组织也可成立专门的独立、认证机构。对安全组织的成立、成员的变动等应定期向公安计算机安全监察部门报告。对计算机信息系统中发生的案件,应当在规定时间内向当地区(县)级及以上公安机关报告,并受公安机关对计算机有害数据防治工作的监督、检查和指导。制定各类人员的岗位责任制,严格纪律、管理和分工的原则,不准串岗、兼岗,严禁程序设计师同时兼任系统操作员,严格禁止系统管理员、终端操作员和系统设计人员混岗。专职安全管理人员具体负责本系统区域内安全策略的实施,保证安全策略的长期有效:负责软硬件的安装维护、日常操作监视,应急条件下安全措施的恢复和风险分析等;负责整个系统的安全,对整个系统的授权、修改、特权、口令、违章报告、报警记录处理、控制台日志审阅负责,遇到重大问题不能解决时要及时向主管领导报告。安全审计人员监视系统运行情况,收集对系统资源的各种非法访问事件,并对非法事件进行记录、分析和处理。必要时将审计事件及时上报主管部门。保安人员负责非技术性常规安全工作,如系统周边的警卫、办公安全、出入门验证等。
2. 健全安全管理规章制度
建立健全完善的安全管理规章制度,并认真贯彻落实非常重要。常用的网络安全管理规章制度包括以下7个方面:
1)系统运行维护管理制度。包括设备管理维护制度、软件维护制度、用户管理制度、密钥管理制度、出入门卫管理值班制度、各种操作规程及守则、各种行政领导部门的定期检查或监督制度。机要重地的机房应规定双人进出及不准单人在机房操作计算机的制度。机房门加双锁,保证两把钥匙同时使用才能打开机房。信息处理机要专机专用,不允许兼作其他用途。终端操作员因故离开终端必须退出登录画面,避免其他人员非法使用。
2)计算机处理控制管理制度。包括编制及控制数据处理流程、程序软件和数据的管理、拷贝移植和存储介质的管理,文件档案日志的标准化和通信网络系统的管理。
3)文档资料管理。各种凭证、单据、账簿、报表和文字资料,必须妥善保管和严格控制;交叉复核记账;各类人员所掌握的资料要与其职责一致,如终端操作员只能阅读终端操作规程、手册,只有系统管理员才能使用系统手册。
4)操作及管理人员的管理制度。建立健全各种相关人员的管理制度,主要包括:① 指定具体使用和操作的计算机或服务器,明确工作职责、权限和范围;② 程序员、系统管理员、操作员岗位分离且不混岗;③ 禁止在系统运行的机器上做与工作无关的操作;④ 不越权运行程序,不查阅无关参数;⑤ 当系统出现操作异常时应立即报告;⑥ 建立和完善工程技术人员的管理制度;⑦ 当相关人员调离时,应采取相应的安全管理措施。如人员调离的时马上收回钥匙、移交工作、更换口令、取消账号,并向被调离的工作人员申明其保密义务。
5) 机房安全管理规章制度。建立健全的机房管理规章制度,经常对有关人员进行安全教育与培训,定期或随机地进行安全检查。机房管理规章制度主要包括:机房门卫管理、机房安全工作、机房卫生工作、机房操作管理等。
6)其他的重要管理制度。主要包括:系统软件与应用软件管理制度、数据管理制度、密码口令管理制度、网络通信安全管理制度、病毒的防治管理制度、实行安全等级保护制度、实行网络电子公告系统的用户登记和信息管理制度、对外交流维护管理制度等。
7)风险分析及安全培训① 定期进行风险分析,制定意外灾难应急恢复计划和方案。如关键技术人员的多种联络方法、备份数据的取得、系统重建的组织。② 建立安全考核培训制度。除了应当对关键岗位的人员和新员工进行考核之外,还要定期进行计算机安全方面的法律教育、职业道德教育和计算机安全技术更新等方面的教育培训。对于从事涉及国家安全、军事机密、财政金融或人事档案等重要信息的工作人员更要重视安全教育,并应挑选可靠素质好的人员担任。
3.坚持合作交流制度
计算机网络在快速发展中,面临严峻的安全问题。维护互联网安全是全球的共识和责任,网络运营商更负有重要责任,应对此高度关注,发挥互联网积极、正面的作用,包括对青少年在内的广大用户负责。各级政府也有责任为企业和消费者创造一个共享、安全的网络环境,同时也需要行业组织、企业和各利益相关方的共同努力。因此,应当大力加强与相关业务往来单位和安全机构的合作与交流,密切配合共同维护网络安全,及时获得必要的安全管理信息和专业技术支持与更新。国内外也应当进一步加强交流与合作,拓宽网络安全国际合作渠道,建立政府、网络安全机构、行业组织及企业之间多层次、多渠道、齐抓共管的合作机制。
拓展阅读:网络安全技术及应用(第2版)机械工业出版社 贾铁军主编 上海优秀教材奖