信息安全管理机构

信息安全管理机构

1.组织架构

中国文联文艺资源中心为适应单位发展，促进和加强信息化建设，确保信息化网络和设备安全、稳定运行，组织成立了信息化领导小组，信息化领导小组是信息安全管理的最高管理层，单位各相关部门负责日常管理工作。中国文联文艺资源中心员工需遵守相关的管理制度，配合信息安全检查工作。

2.信息安全管理组织结构图

3.信息安全机构管理职责

3.1.信息化领导小组

信息化领导小组的最高领导由单位主管领导委任或授权。成员有：

委员会主任：向云驹

委员会副主任：冉茂金、彭宽

信息化领导小组职责（信息安全领导小组/信息安全工作委员会）：

（1）负责指导和管理信息化建设和信息安全工作。

（2）负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定。

3.2.应急领导小组

信息化领导小组下设应急领导小组。其成员包括：

组长：向云驹

副组长：冉茂金、彭宽

下设领导小组办公室：

下设领导小组办公室：由中国文联文艺资源中心综合部和各业务部门负责人组成。

应急领导小组职责：

（1）拟订或者组织拟订中国文联文艺资源中心应对信息安全突发事件的工作规划和应急预案并组织实施。

（2）督促检查各处室应急预案的执行情况，并给予指导。

（3）督促技术部信息安全突发事件监测、预警工作情况，并给予指导。

（4）汇总有关信息安全突发事件的各种重要信息，进行综合分析，并提出建议。（5）监督检查、协调指导技术部及各部门信息安全突发事件预防、应急准备、应急处置和事后恢复与重建工作。

（6）组织制订信息安全常识、应急知识的宣传培训计划和应急救援队伍的业务培训、演练计划，并督促落实。

4.信息安全岗位管理职责

4.1.安全管理员

安全管理员职责：负责定期进行安全检查，组织全面安全检查。

4.2.安全审计员

安全审计员职责：负责定期进行安全审计，组织全面安全审核。

技能要求：具备监督审查的能力。

4.3.系统管理员

系统管理员职责：

（1）负责系统程序的安装和日常维护。

（2）负责根据业务需求和系统安全分析确定系统的访问控制策略；

（3）负责定期进行漏洞扫描，对发现的系统安全漏洞及时进行修补。

（4）负责安装系统的最新补丁程序，以及系统的备份和恢复工作。

（5）负责对系统进行维护，详细记录操作日志，包括重要的日常操作、运行维护记录、参数的设置和修改等内容。

（6）负责定期对运行日志和审计数据进行分析，以便及时发现异常行为。（7）负责对主机进行恶意代码检测并保存检测记录。

（8）负责对系统安全事件进行处理。

（9）负责服务器管理。

技能要求：计算机或相关专业本科或以上学历，具备操作系统操作和管理能力。

4.4.数据库管理员

数据库管理员职责：负责数据库管理。

技能要求：计算机或相关专业本科或以上学历，具备数据库操作和管理能力。

4.5.应用系统管理员

应用系统管理员职责：负责应用系统管理。

技能要求：计算机或相关专业本科或以上学历，具备所管辖应用系统的操作和管理能力。

4.6.网络管理员

网络管理员职责：

（1）负责对网络进行管理，主要负责网络设备的运行日志、网络监控记录的日常维护和报警信息分析和处理工作。

（2）负责对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面进行管理。

（3）负责定期对网络设备进行漏洞扫描，对发现的网络设备安全漏洞进行及时的修补。

（4）负责对网络设备进行备份、恢复管理。

（5）负责依据安全策略管理便携式和移动式设备的网络接入。

（6）负责定期检查违反规定拨号上网或其他违反网络安全策略的行为。（7）负责防病毒网关的管理，对网络进行恶意代码检测并保存检测记录。（8）负责对网络安全事件的处理。

技能要求：计算机或相关专业本科或以上学历，具备常用网络设备的操作和管理能力。

4.7.资产管理员

资产管理员负责对资产进行日常管理。除设置专门的资产管理外，另外还设置专门管理信息资产的信息资产管理员，信息资产管理员也是资料管理员。

资产管理员职责：

1)信息系统资产管理的责任人，负责资产清单的维护。

2)负责根据资产的重要程度对资产进行登记标识，对资产的内部流动、

出租或外调、报废进行管理。

3)负责对资产进行定期清查。

4)各种软硬件设备的采购、发放和领用等管理。

技能要求：具备资产管理能力，工作认真。

4.8.信息资产管理员

信息资产管理员职责：

（1）负责对信息资产进行标识，包括对存储信息资产的各类移动介质、服务器等加贴信息资产标识。

（2）负责统一管理的信息资产（不包含存储于信息系统内的信息资产）进行管理。

技能要求：需要严格遵守保密协议，具备一定的文档处理能力，具备信息资产管理能力。

4.9.资料管理员

资料管理员职责：

（1）负责管理系统定级的相关材料，并控制这些材料的使用。

（2）负责系统建设文档的管理工作，并按照管理规定控制这些材料的使用。（3）负责对软件的原件（盘）（包括新旧版本）进行登记造册，并保管。（4）负责对通过移动介质进行导入电子资料进行病毒查杀和记录。

（5）负责杀毒记录的保管和整理。

（6）负责介质的保管、发放和登记。

技能要求：需要严格遵守保密协议，不该看的不看；具备一定的文档处理能力和移动介质知识，具备资料管理能力。

4.10.机房管理员

机房管理员职责：

（1）负责定期检查和维护UPS、空调、消防、通风等设备设施。

（2）负责定期对机房供配电、空调、温湿度控制等设施进行检查和维护。（3）负责机房安全，对机房的出入、服务器的开机或关机等工作进行管理。技能要求：具备机房常用设备的操作和管理能力。

（1）负责对信息系统相关的各种设备（包括备份和冗余设备）、线路等定期进行维护管理。

4.11.密码管理员

密码管理员分为密码管理人员和密码副本管理人员。密码管理人员为管理系统级密码的管理人员，是各类系统的系统管理员自己；密码副本管理人员为保管系统级密码副本的管理人员，由资料管理员（或者各系统管理员相互备份）担任。

4.11.1.密码管理人员

密码管理人员职责：

（1）负责密码的日常维护、定期修改

（2）制作密码副本

（3）负责陪同、监管其他需要该密码登陆系统的维护人员

（4）负责定期检查密码副本的封存情况

（5）填写相关密码管理文档

4.11.2.密码副本管理人员

密码副本管理人员：负责。

（1）保存密码副本

（2）在特殊情况下开启密码副本

（3）密码副本开启后及时通知系统密码管理人员

（4）协助系统级密码管理人员检查密码副本封存情况

（5）协助系统级密码管理人员填写相关密码管理文档

5.授权和审批

5.1.需要审批的事项

?安全策略的制定与发布；

?制度的制定与发布；

?人员配备和培训；

?网络和系统资源的访问授权；

?外部人员访问；

?与外单位合作；

?系统变更；

?网络和系统资源的访问授权

?产品采购

5.2.审批审查

定期审查审批事项，及时更新需授权和审批的项目、审批部门和审批人等信息，审查要求记录。

6.沟通和合作

?加强各类信息安全管理人员之间、组织内部机构之间以及文联系统内部

的合作与沟通，定期或不定期召开协调会议，共同协作处理信息安全问

题。

?技术部定期或不定期召集相关部门和人员召开信息安全工作会议，协调

信息安全工作的实施。

?技术部定期召开例会，对信息安全工作进行讨论和执行。

?加强与有关部门和机构的合作与沟通，以便在发生安全事件时能够得到

及时的支持。建立外联单位联系列表，包括外联单位名称、合作内容、

联系人和联系方式等信息。

?加强与供应商、业界专家、专业的安全公司、安全组织的合作与沟通，

获取信息安全的最新发展动态，当发生紧急事件的时候能够及时得到支

持和帮助。聘请信息安全专家作为常年的安全顾问，指导信息安全建设，

参与安全规划和安全评审等。

7.审核和检查

?信息安全检查是技术部以信息安全法规、标准和相关管理制定为依据，

对信息系统进行的信息安全检查。

?信息安全检查分以下几种方式：自查、常规检查和年度信息安全大检查

和系统变更后的自查。

?信息安全自查

1)技术部对负责运行和维护管理的信息系统的安全状况、安全保护制度及

措施的落实情况定期（每年）进行监督检查，发现问题及时纠正；

2)授权对其他机构运行和维护管理的信息系统的安全状况、安全保护制度

及措施的落实情况定期（每年）进行监督检查，发现问题及时纠正。

3)接受中国文联办公厅网络信息处和国家有关部门对信息系统安全工作

的监督和检查。

?信息安全常规检查

1)安全管理员负责对系统进行日常的安全检查。包括系统日常运行、用户

帐号、系统漏洞、数据备份和系统审计等情况；

2)技术部组织相关人员定期分析、评审异常行为的审计记录，发现可疑行

为形成审计分析报告，并采取必要的应对措施。

?年度信息安全大检查

1)中国文联文艺资源中心根据国家信息安全主管部门每年发布的政府信

息系统安全检查指南，制定系统安全检查方案，组织实施做好信息系统

安全检查工作；技术部负责实施；

2)应用系统、网站作为安全检查工作的重点，接受国家有关主管部门组织

的安全抽查。

3)年度信息安全大检查内容包括现有资产的具体情况，网络设备、主机设

备和安全设备的当前配置情况等。根据当前情况分析当前的安全状况，了解安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。检查情况按实际填写，汇总安全检查数据，形成安全检查报告，并对安全检查结果进行通报。

信息安全管理规定

信息安全管理规定 1目的 在遵循集团《计算机信息安全管理制度》原则基础上，为确保公司网络平台、信息系统的正常运行及信息系统中的信息数据安全，防止泄密，针对公司实际情况，制定本管理规定。 2范围 本办法适用于公司全体员工。 3术语定义 3.1 计算机信息：是指存储在计算机相关设备上的应用系统（软件）、数据、文档、图纸等含有一定意义的计算机信息资料。 3.2 内部网络：是指园区网络及通过专线与园区互联的其他园区、驻外机构网络（以下简称内网）。 3.3 外部网络：是指互联网或除互联网和公司内网之外的第三方专网（以下简称外网）。 3.4 VPN：虚拟专用网络（Virtual Private Network，简称VPN），是指在公共网络上建立专用网络的技术，属于远程访问技术，就是利用公网链路架设的虚拟私有网络。 4职责 4.1信息化管理部门：公司信息化管理部门，负责计算机信息安全日常工作，事业部接入级网络交换设备的管理工作，及时向总部信息化管理部门、督察部门报告重大计算机信息安全隐患和计算机信息安全事件。 4.2 计算机用户：负责本人领用的办公计算机的日常保养、正常操作及安全管理，负责所接触计算机信息的保密性、可用性和完整性；及时向信息化管理部门报告计算机信息安全隐患和计算机信息安全事件。涉密信息的起草人必须按公司《保密制度》相关规定提出信息密级的定级申请。 5内容与要求 5.1 账号和密码安全管理 5.1.1 信息系统用户账号须严格按照业务信息系统要求进行设置，原则上不得设置成共用账号，以确保使用人与账号的唯一性。 5.1.2 员工申请信息系统账号权限时，所在部门的负责人应严格审核，控制授予满足其工作需要的最小权限；员工岗位或工作内容发生变化后应及时提出申请权限变更，应用系统管理员应及时变更异动员工的权限，冻结离职员工的账号。 5.1.3计算机用户应妥善保管好自己的系统账号密码或身份认证设备，如发现遗失或被盗，应立即向信息化管理部门报告，信息化管理部门应及时处理，确保账号使用的合法性。

《电力行业网络与信息安全管理办法》 国能安全[2014]317号

电力行业网络与信息安全管理办法 第一章总则 第一条为加强电力行业网络与信息安全监督管理，规范电力行业网络与信息安全工作，根据《中华人民共和国计算机信息系统安全保护条例》及国家有关规定，制定本办法。 第二条电力行业网络与信息安全工作的目标是建立健全网络与信息安全保障体系和工作责任体系，提高网络与信息安全防护能力，保障网络与信息安全，促进信息化工作健康发展。 第三条电力行业网络与信息安全工作坚持“积极防御、综合防范”的方针，遵循“统一领导、分级负责，统筹规划、突出重点”的原则。 第二章监督管理职责 第四条国家能源局是电力行业网络与信息安全主管部门，履行电力行业网络与信息安全监督管理职责。国家能源局派出机构根据国家能源局的授权，负责具体实施本辖区电力企业网络与信息安全监督管理。 第五条国家能源局依法履行电力行业网络与信息安全监督管理工作职责，主要内容为：

（一）组织落实国家关于基础信息网络和重要信息系统安全保障工作的方针、政策和重大部署，并与电力生产安全监督管理工作相衔接； （二）组织制定电力行业网络与信息安全的发展战略和总体规划； （三）组织制定电力行业网络与信息安全等级保护、风险评估、信息通报、应急处置、事件调查与处理、工控设备安全性检测、专业人员管理、容灾备份、安全审计、信任体系建设等方面的政策规定及技术规范，并监督实施； （四）组织制定电力行业网络与信息安全应急预案，督促、指导电力企业网络与信息安全应急工作，组织或参加信息安全事件的调查与处理； （五）组织建立电力行业网络与信息安全工作评价与考核机制，督促电力企业落实网络与信息安全责任、保障网络与信息安全经费、开展网络与信息安全工程建设等工作； （六）组织开展电力行业网络与信息安全信息通报、从业人员技能培训考核等工作； （七）组织开展电力行业网络与信息安全的技术研发工作； （八）电力行业网络与信息安全监督管理的其它事项。 第三章电力企业职责 第六条电力企业是本单位网络与信息安全的责任主

浅谈安全三要素在网络信息安全中的作用

59 > 信息安全Inform at ion Sec urit y 摘 要：网络信息的安全与否直接影响到人们的工作和生活，还影响 到社会的政治、经济、文化和军事等各个领域。网络信息安全离不开安全三要素：人、技术和管理。本文着重对网络信息安全存在的问题，安全三要素在安全保障中的作用及安全防范策略等进行了分析和探讨。 关键词：安全三要素；计算机网络；信息安全；防范策略；保障作用 浅谈安全三要素在网络信息安全中的作用 孙文甲 （长春电视台，吉林长春130061） 在信息技术飞速发展的今天，黑客技术和计算机病毒也在不断隨之变化， 其隐蔽性、跨域性、快速变化性和爆发性使网络信息安全受到了全所未有的威胁。在这种攻与防的信息对抗中人、技术和管理都是不可或缺的重要环节。 一、网络信息安全的问题在哪里？ （一）技术层面的问题 1.网络通信线路和设备的缺陷（1 ）电磁泄露：攻击者利用电磁泄露，捕获无线网络传输信号，破译后能较轻易地获取传输内容。 （2）设备监听：不法分子通过对通信设备的监听，非法监听或捕获传输信息。 （3）终端接入：攻击者在合法终端上并接非法终端，利用合法用户身份操纵该计算机通信接口，使信息传到非法终端。 （4）网络攻击。2.软件存在漏洞和后门（1）网络软件的漏洞被利用。（2）软件病毒入侵。 （3）软件端口未进行安全限制。（二）人员层面的问题 1.系统使用人员保密观念不强，关键信息没进行加密处理，密码保护强度低；文档的共享没有经过必要的权限控制。 2.技术人员因为业务不熟练或缺少责任心，有意或无意中破坏网络系统和设备的保密措施。 3.专业人员利用工作之便，用非法手段访问系统，非法获取信息。 4.不法人员利用系统的端口或者传输的介质，采用监听、捕获、破译等手段窃取保密信息。 （三）管理层面的问题 1.安全管理制度不健全。缺乏完善的制度管理体系，管理人员对网络信息安全重视不够。 2.监督机制不完善。技术人员有章不循，对安全麻痹大意，缺乏有效地监督。 3.教育培训不到位。对使用者缺乏安全知识教育，对技术人员缺乏专业技术培训。 二.网络信息安全的防范策略 （一）技术层面的防范策略1.网络的基础设施安全防范策略（1）减少电磁辐射。传输线路做露天保护或埋于地下，无线传输应使用高可靠性的加密手段，并隐藏链接名。 （2）使用防火墙技术，控制不同网络或网络安全域之间信息的出入口，保护网络免遭黑客袭击。 （3）使用可信路由、专用网或采用路由隐藏技术。 （4）网络访问控制。访问控制是网络安全防范和保护的核心策略之一。包括入网、权限、 目录级以及属性等多种控制手段。2.软件类信息安全防范策略 （1 ）安装可信软件和操作系统补丁，定时升级，及时堵漏。 （2）应用数据加密技术。将明文转换成密文，防止非法用户理解原始数据。 （3）提高网络反病毒技术能力。使用杀毒软件并及时升级病毒库。对移动存储设备事前扫描和查杀。对网络服务器中的文件进行扫描和监测，加强访问权限的设置。在网络中，限制只能由服务器才允许执行的文件。 （4）使用入侵检测系统防止黑客入侵。一般分为基于网络和基于主机两种方式。还可以使用分布式、应用层、智能的入侵检测等手段。 （5）数据库的备份与恢复。（二）人员层面的防范策略 1.对人员进行安全教育。加强对计算机用户的安全教育、防止计算机犯罪。 2.提高网络终端用户的安全意识。提醒用户不使用来历不明的U 盘和程序，不随意下载网络可疑信息。 3.对人员进行法制教育。包括计算机安全法、计算机犯罪法、保密法、数据保护法等。 4.加强技术人员的安全知识培训。（三）管理层面的防范策略 1.建立安全管理制度。对重要部门和信息，严格做好开机查毒，及时备份数据。 2.建立网络信息综合管理规章制度。包括人员管理、运维管理、控制管理、资料管理、机房管理、专机专用和严格分工等管理制度。 3.建立安全培训制度。使安全培训制度化、经常化，不断强化技术人员和使用者的安全意识。 三、安全三要素的保障作用更重要 在保证网络信息安全的过程中，技术是核心、人员是关键、管理是保障，我们必须做到管理和技术并重，技术和措施结合，充分发挥人的作用，在法律和安全标准的约束下，才能确保网络信息的安全。 （一）技术的核心作用 不管是加密技术、 反病毒技术、入侵检测技术、防火墙技术、安全扫描技术，还是数据的备份和恢复技术、 硬件设施的防护技术等，都是我们做好网络信息安全防护的核心要素，技术支撑为我们建立一套完整的、协调一致的网络安全防护体系起到了核心的作用。 （二）人员的关键作用 人也是安全的一部分。人的作用是不可低估的，不管是使用者，还是程序开发人员、技术维护人员，还是网络黑客，都是我们构建网络安全环境的关键因素，成也在人，败也在人。 （三）管理的保障作用 管理是不可缺失的，不论是技术上的管理，还是对人的管理，不论是技术规则，还是管理制度，都是网络信息安全的保障。很多安全漏洞都来源于管理的疏忽或者安全培训的缺失。 四.多说两句 网络信息安全是一项复杂的系统工程，涉及人员、技术、设备、管理、制度和使用等多方面的因素，只有将安全三要素的保障策略都结合起来，才能形成一个高效安全的网络信息系统。世上没有绝对安全，只要实时检测、实时响应、实时恢复、防治结合，做到人、技术和管理的和谐统一，目标一致，网络信息就能安全。参考文献 [1]龙冬阳.网络安全技术及应用[M].广州：华南理工大学出版社，2006. [2]韩东海，王超，李群.入侵检测系统及实例剖析[M].北京：清华大学出版社，2008．

信息安全管理机构

信息安全管理机构 1.组织架构 中国文联文艺资源中心为适应单位发展，促进和加强信息化建设，确保信息化网络和设备安全、稳定运行，组织成立了信息化领导小组，信息化领导小组是信息安全管理的最高管理层，单位各相关部门负责日常管理工作。中国文联文艺资源中心员工需遵守相关的管理制度，配合信息安全检查工作。 2.信息安全管理组织结构图 3.信息安全机构管理职责 3.1.信息化领导小组 信息化领导小组的最高领导由单位主管领导委任或授权。成员有：

委员会主任：向云驹 委员会副主任：冉茂金、彭宽 信息化领导小组职责（信息安全领导小组/信息安全工作委员会）： （1）负责指导和管理信息化建设和信息安全工作。 （2）负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定。 3.2.应急领导小组 信息化领导小组下设应急领导小组。其成员包括： 组长：向云驹 副组长：冉茂金、彭宽 下设领导小组办公室： 下设领导小组办公室：由中国文联文艺资源中心综合部和各业务部门负责人组成。 应急领导小组职责： （1）拟订或者组织拟订中国文联文艺资源中心应对信息安全突发事件的工作规划和应急预案并组织实施。 （2）督促检查各处室应急预案的执行情况，并给予指导。 （3）督促技术部信息安全突发事件监测、预警工作情况，并给予指导。 （4）汇总有关信息安全突发事件的各种重要信息，进行综合分析，并提出建议。（5）监督检查、协调指导技术部及各部门信息安全突发事件预防、应急准备、应急处置和事后恢复与重建工作。 （6）组织制订信息安全常识、应急知识的宣传培训计划和应急救援队伍的业务培训、演练计划，并督促落实。

企业网络与信息安全管理组织架构

企业网络与信息安全管理组织构架 公司成立信息安全领导小组，是信息安全的最高决策机构，下设负责信息安全领导小组的日常事务。 二、信息安全领导小组负责研究重大事件，落实方针政策和制定总体策略等。职责主要包括： 1.根据国家和行业有关信息安全的政策、法律和法规； 2.批准公司信息安全总体策略规划、管理规范和技术标准； 3.确定公司信息安全有关部门工作职责，指导、监督信息安全工作。 二、信息安全领导小组下设两个工作组： 1.信息安全工作组于海峰负责、 2.应急处理工作组张会负责。 3.组长均由公司负责人郑建国担任。 三、信息安全工作组的主要职责包括： 1.贯彻执行公司信息安全领导小组的决议，协调和规范公司信息安全工作； 2.根据信息安全领导小组的工作部署，对信息安全工作进行具体安排、落实； 3.组织对重大的信息安全工作制度和技术操作策略进行审查，拟订信息安全总体策略规划，并监督执行； 4.负责协调、督促各职能部门和有关单位的信息安全工作，参与信息系统工程建设中的安全规划，监督安全措施的执行； 5.组织信息安全工作检查，分析信息安全总体状况，提出分析报告和安全风险的防范对策； 6.负责接受各单位的紧急信息安全事件报告，组织进行事件调查，分析原因、涉及范围，并评估安全事件的严重程度，提出信息安全事件防范措施； 7.及时向信息安全工作领导小组和上级有关部门、单位报告信息安全事件。 8.跟踪先进的信息安全技术，组织信息安全知识的培训和宣传工作。 四、应急处理工作组的主要职责包括： 1.审定公司网络与信息系统的安全应急策略及应急预案；

2.决定相应应急预案的启动，负责现场指挥，并组织相关人员排除故障，恢复系统； 3.每年组织对信息安全应急策略和应急预案进行测试和演练。 五、公司指定分管信息的领导负责本单位信息安全管理，并配备信息安全相关人员对公司信息安全领导小组和工作小组负责，落实本单位信息安全工作和应急处理工作。

网络与信息安全管理措施

网络与信息安全管理措施 网络与信息安全不仅关系到学校的开展，还将影响到国家的安全、社会的稳定。我校将认真的开展网络与信息安全工作，通过检查进一步明确安全责任，建立健全的管理制度，落实技术防范措施，对有毒有害的信息进行过滤、确保网络与信息安全。 一、网站安全保障措施 1、主控室设置经公安部认证的防火墙，做好安全策略，拒绝外来的恶意攻击，保障网络正常运行。 2、对计算机病毒、有害电子邮件进行有效的防范措施，防止有害信息对网络系统的干扰和破坏。 3、做好日志的记录。内容包括IP地址，对应的IP地址情况等。 4、关闭网络系统中暂不使用的服务功能，及相关端口，并及时用补丁修复系统漏洞，定期查杀病毒。 5、服务器平时处于锁定状态，并保管好登录密码;后台管理界面设置超级用户名及密码，并绑定IP，以防他人登入。 6、学校机房按照机房标准建设，内有必备的防静电地板、，定期进行电力、防火、防潮、检查。 二、信息安全保密管理制度 1、信息监控制度： （1）、网络信息必须标明来源;(即有关转载信息都必须

标明转载的地址) （2）、相关责任人定期或不定期检查网络系统安全，实施有效监控，做好安全监督工作； （3）、不得利用国际互联网制作、复制、查阅和传播一系列以下信息，如有违反规定有关部门将按规定对其进行处理； A、反对宪法所确定的基本原则的； B、危害国家安全，泄露国家秘密，颠覆国家政权，破坏国家统一的； C、损害国家荣誉和利益的； D、煽动民族仇恨、民族歧视、破坏民族团结的； E、破坏国家宗教政策，宣扬邪教和封建迷信的； F、散布谣言，扰乱社会秩序，破坏社会稳定的； G、散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的； H、侮辱或者诽谤他人，侵害他人合法权益的； 含有法律、行政法规禁止的其他内容的。 2、组织结构： 设置专门的网络安全管理员，并由其上级进行监督、对学校网络系统管理实行责任制，对网络系统的管理人员，以及领导明确各级人员的责任，管理网络系统的正常运行，严格抓管理工作，实行谁管理谁负责。

现行国家信息安全技术标准

现行国家信息安全技术标准 序号 标准号 Standard No. 中文标准名称 Standard Title in Chinese 英文标准名称 Standard Title in English 备注 Remark 1GB/T 33133.1-2016信息安全技术祖冲之序列密码算法第1部分：算法描述Information security technology—ZUC stream cipher algorithm— Part 1: Algorithm description 2GB/T 33134-2016信息安全技术公共域名服务系统安全要求Information security technology—Security requirement of public DNS service system 3GB/T 33131-2016信息安全技术基于IPSec的IP存储网络安全技术要求Information security technology—Specification for IP storage network security based on IPSec 4GB/T 25067-2016信息技术安全技术信息安全管理体系审核和认证机构要求Information technology—Security techniques—Requirements for bodies providing audit and certification of information security management systems 5GB/T 33132-2016信息安全技术信息安全风险处理实施指南Information security technology—Guide of implementation for information security risk treatment 6GB/T 32905-2016信息安全技术 SM3密码杂凑算法Information security techniques—SM3 crytographic hash algorithm 国标委计划[2006]81号 7GB/T 22186-2016信息安全技术具有中央处理器的IC卡芯片安全技术要求Information security techniques—Security technical requirements for IC card chip with CPU 8GB/T 32907-2016信息安全技术 SM4分组密码算法Information security technology—SM4 block cipher algorthm 国标委计划[2006]81号 9GB/T 32918.1-2016信息安全技术 SM2椭圆曲线公钥密码算法第1部分：总则Information security technology—Public key cryptographic algorithm SM2 based on elliptic curves—Part 1: General 国标委计划 [2006]81号

信息安全原理与应用期末期末考试题及答案

. 1.密码学的目的是 C 。【】 A．研究数据加密 B．研究数据解密 C．研究数据 D．研究信息安全 2.网络安全最终是一个折衷的方案，即安全强度和安全操作代价的折衷，除增 加安全设施投资外，还应考虑 D 。【】 A. 用户的方便性 B. 管理的复杂性 C. 对现有系统的影响及对不同平台的支持 D. 上面3项都是 3破解双方通信获得明文是属于的技术。【 A 】 A. 密码分析还原 B. 协议漏洞渗透 C. 应用漏洞分析与渗透 D. DOS攻击 4窃听是一种攻击，攻击者将自己的系统插入到发送站和接收站 之间。截获是一种攻击，攻击者将自己的系统插入到 发送站和接受站之间。 【 A 】 A. 被动，无须，主动，必须 B. 主动，必须，被动，无须 C. 主动，无须，被动，必须 D. 被动，必须，主动，无须 5以下不是包过滤防火墙主要过滤的信息？【 D 】 A. 源IP地址 B. 目的IP地址 C. TCP源端口和目的端口 D. 时间 6 PKI是__ __。【 C 】 A．Private Key Infrastructure B．Public Key Institute

C．Public Key Infrastructure D．Private Key Institute 7防火墙最主要被部署在___ _位置。【 C 】 . . A．网络边界 B．骨干线路 C．重要服务器 D．桌面终端 8下列__ __机制不属于应用层安全。【 C 】 A．数字签名 B．应用代理 C．主机入侵检测 D．应用审计 9 __ _最好地描述了数字证书。【 A 】 A．等同于在网络上证明个人和公司身份的 B．浏览器的一标准特性，它使 得黑客不能得知用户的身份 C．要求用户使用用户名和密码登陆的安全机制 D．伴随在线交易证明购买的 收据 10下列不属于防火墙核心技术的是____。【 D 】 A (静态／动态)包过滤技术 B NAT技术 C 应用代理技术 D 日志审计 11信息安全等级保护的5个级别中，____是最高级别，属于关系到国计民生的最关键信息系统的保护。【 B 】 A 强制保护级 B 专控保护级 C 监督保护级 D 指导保护级 E 自主保护级 12公钥密码基础设施PKI解决了信息系统中的____问题。【】 A 身份信任 B 权限管理

信息安全管理组织机构及岗位职责

信息安全管理组织机构及岗位职责. 组织机构 1.1 公司成立信息安全领导小组，是信息安全的最高决策机构，下设办公室，负责信息安全领导小组的日常事务。 1.2 信息安全领导小组负责研究重大事件，落实方针政策和制定总体策略等。职责主要包括: 根据国家和行业有关信息安全的政策、法律和法规，批准公司信息安全总体策略规划、管理规范和技术标准; 确定公司信息安全各有关部门工作职责，指导、监督信息安全工作。 1.3 信息安全领导小组下设两个工作组: 信息安全工作组、应急处理工作组。组长均由公司负责人担任。 1.4 信息安全工作组的主要职责包括: 1.4.1 贯彻执行公司信息安全领导小组的决议，协调和规范公司信息安全工作 1.4.2 根据信息安全领导小组的工作部署，对信息安全工作进行具体安排、落实; 1.4.3 组织对重大的信息安全工作制度和技术操作策略进行审查，拟订信息安全总体策略规划，并监督执行; 1.4.4 负责协调、督促各职能部门和有关单位的信息安全工作，参与信息系统 工程建设中的安全规划，监督安全措施的执行 1.4.5 组织信息安全工作检查，分析信息安全总体状况，提出分析报告和安全 风险的防范对策; 1.4.6 负责接受各单位的紧急信息安全事件报告，组织进行事件调查，分析原因、涉及范围，并评估安全事件的严重程度，提出信息安全事件防范措施

1.4.7 及时向信息安全工作领导小组和上级有关部门、单位报告信息安全事件。 1.4.8 跟踪先进的信息安全技术，组织信息安全知识的培训和宣传工作。 1.5 应急处理工作组的主要职责包括: 1.5.1 审定公司网络与信息系统的安全应急策略及应急预案 1.5.2 决定相应应急预案的启动，负责现场指挥，并组织相关人员排除故障，恢复系统; 1.5.3 每年组织对信息安全应急策略和应急预案进行测试和演练。 1.6 公司应指定分管信息的领导负责本单位信息安全管理，并配备信息安全技术人员，有条件的应设置信息安全工作小组或办公室，对公司信息安全领导小组和工作小组负责，落实本单位信息安全工作和应急处理工作。 . 关键岗位 2.1 设置信息系统的关键岗位并加强管理，配备系统管理员、网络管理员、应用开发管理员、安全审计员、安全保密管理员，要求五人各自独立。要害岗位人员必须严格遵守保密法规和有关信息安全管理规定。 2.2 系统管理员主要职责有: 2.2.1 负责系统的运行管理，实施系统安全运行细则 2.2.2 严格用户权限管理，维护系统安全正常运行 2.2.3 认真记录系统安全事项，及时向信息安全人员报告安全事件 2.2.4 对进行系统操作的其他人员予以安全监督。 2.3 网络管理员主要职责有: 2.3.1 负责网络的运行管理，实施网络安全策略和安全运行细则 2.3.2 安全配置网络参数，严格控制网络用户访问权限，维护网络安全正常运行;

信息安全管理制度汇总

信息安全管理制度 为加强公司各信息系统管理，保证信息系统安全，根据《中华人民共和国保守国家秘密法》和国家保密局《计算机信息系统保密管理暂行规定》、国家保密局《计算机信息系统国际联网保密管理规定》，及上级信息管理部门的相关规定和要求，结合公司实际，制定本制度。 本制度包括网络安全管理、信息系统安全保密制度、信息安全风险应急预案 网络安全管理制度 第一条公司网络的安全管理，应当保障网络系统设备和配套设施的安全，保障信息的安全，保障运行环境的安全。 第二条任何单位和个人不得从事下列危害公司网络安全的活动： 1、任何单位或者个人利用公司网络从事危害公司计算机网络及信息系统的安全。 2、对于公司网络主结点设备、光缆、网线布线设施，以任何理由破坏、挪用、改动。 3、未经允许，对信息网络功能进行删除、修改或增加。 4、未经允许，对计算机信息网络中的共享文件和存储、处理或传输的数据和应用程序进行删除、修改或增加。 5、故意制作、传播计算机病毒等破坏性程序。 6、利用公司网络，访问带有“黄、赌、毒”、反动言论内容的网站。 7、向其它非本单位用户透露公司网络登录用户名和密码。 8、其他危害信息网络安全的行为。 第三条各单位信息管理部门负责本单位网络的安全和信息安全工作，对本单位单位所属计算机网络的运行进行巡检，发现问题及时上报信息中心。 第四条连入公司网络的用户必须在其本机上安装防病毒软件，一经发现个人计算机由感染病毒等原因影响到整体网络安全，信息中心将立即停止该用户使用公司网络，待其计算机系统安全之后方予开通。 第五条严禁利用公司网络私自对外提供互联网络接入服务，一经发现立即停止该用户的使用权。 第六条对网络病毒或其他原因影响整体网络安全的子网，信息中心对其提供指导，必要时可以中断其与骨干网的连接，待子网恢复正常后再恢复连接。

信息安全及其可能的危害

《自然辩证法概论》信息安全及其可能的危害学院： 班级： 学号： 姓名：

信息安全及其可能的危害 摘要：随着计算机技术的飞速发展，信息网络已经成为社会发展的重要保证。信 息网络涉及我们每一个人以及国家的政府、军事、文教等诸多领域，存储、传输 和处理的许多信息是政府宏观调控决策、商业经济信息、银行资金转账、股票证 券、能源资源数据、科研数据等重要的信息。文章对网络安全及其危害进行了综 述，总结了网络安全的定义、重要性、网络安全的威胁来源与攻击模式，总结了 目前网络安全存在的问题，并针对计算机网络方面提出了网络安全问题对个人、 社会乃至国家的危害。 关键词：计算机网络；信息安全；信息安全危害 0引言 21世纪的今天，科学技术，尤其是信息技术的迅猛发展，使得计算机这一人类伟大的发明已经广泛深入到社会的各个角落，人们利用计算机存储数据、处理图像、互发邮件、充分享用计算机带来的无可比拟的功能和智慧，特别是计算机信息网络已经成为社会发展进步的重要保证，它的应用遍及国家的政府、军事、科技、文教、金融、财税、社会公共服务等各个领域，人们的工作、生活、娱乐也越来越依赖于计算机网络。 但是，网络给人类带来巨大利益的同时，也会产生各种危机和威胁，因此，信息安全已成为一个日益突出的全球性和战略性的问题。 1 信息安全专业简介 信息安全是指信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断。信息安全主要包括以下五方面的内容，即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。 信息安全的根本目的就是使内部信息不受外部威胁，因此信息通常要加密。为保障信息安全，要求有信息源认证、访问控制，不能有非法软件驻留，不能有非法操作。 信息安全本身包括的范围很大，其中包括如何防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等。网络环境下的信息安全体系是保证信息安全的关键，包括计算机安全操作系统、各种安全协议、安全机制（数字签名、消息认证、数据加密等），直至安全系统，如UniNAC、DLP等，只要存在安全漏洞便可以威胁全局安全。

信息安全管理机构及岗位设置

信息安全管理机构及岗位设置

1 总则 1.1 目的 为加强医院信息安全管理工作，保障网络与信息系统的正常运行，依据有关法律、法规及信息安全标准，特制定本制度。 1.2 适用范围 本制度适用于本院的信息安全组织机构和人员职责管理。 2 信息安全领导小组 2.1 本院成立信息安全领导小组，领导小组组长由分管本院信息工作的院长担任。领导小组是信息安全的最高决策机构。 2.2 信息安全领导小组下设信息安全工作组。 2.3 信息安全领导小组的职责主要包括： 1）根据国家和行业有关信息安全的政策、法律和法规，批准医本院信息安全总体决策规划、管理规范和技术标准； 2）确定本院信息安全各有关部门工作职责，指导、监督信息安全工作； 3）审定本院网络与信息系统的安全应急策略及应急预案； 4）决定相应应急预案的启动，负责现场指挥。 3 信息安全工作组 3.1 信息安全工作组组长由医院信息科负责人担任。

3.2信息安全工作组的主要职责包括： 1）贯彻执行医院信息安全领导小组的决议，协调和规范医院信息安全工作； 2）根据信息安全领导小组的工作部署，对信息安全工作进行具体安排、落实； 3）组织对信息安全工作制度和技术操作策略的制定，拟订信息安全总体规划，制定近期和远期的安全建设工作计划并监督执行； 4）负责协调、督促各职能部门的信息安全工作，参与信息系统工程建设中的安全规划，监督安全措施的执行； 5）组织信息安全工作检查，分析信息安全总体状况，提出分析报告和安全风险的防范对策； 6）采取相应应急措施，组织协调相关人员排除系统故障，恢复系统； 7）负责医院的紧急信息安全事件报告，组织事件调查，分析原因、涉及范围，并评估安全事件的严重程度，提出信息安全事件防范措施； 8）及时向信息安全工作领导小组和上级有关部门报告信息安全事件。 9）组织信息安全知识的培训和宣传工作。 10）每年组织对信息安全应急预案进行测试和演练。 4 信息安全人员基本要求 4.1 信息安全管理人员和专（兼）职信息安全技术人员应当政治

企业内外网安全设计

网络安全技术及应用实训 报告 题目：企业intranet内外网络安全设计与测试分析 专业：计算机科学与技术（网络方向） 学生姓名：叶思强 学号：0851220104 指导教师：莫永华 时间：2011年11月12日

一、需求分析 随着国内计算机和网络技术的迅猛发展和广泛普及，企业经营活动的各种业务系统都立足于 Internet/Intranet 环境中。但随之而来的安全问题也在困扰着用户。Internet 所具有的开放性、国际性和自由性在增加应用自由度的同时，对安全提出了更高的要求。一旦网络系统安全受到严重威胁，甚至处于瘫痪状态，将会给企业、社会、乃至整个国家带来巨大的经济损失。应此如何使企业信息网络系统免受黑客和病毒的入侵，已成为信息事业健康发展所要考虑的重要事情之一。一般企业网络的应用系统，主要有 WEB、E-mail、OA、MIS、财务系统、人事系统等。而且随着企业的发展，网络体系结构也会变得越来越复杂，应用系统也会越来越多。但从整个网络系统的管理上来看，通常包括内部用户，也有外部用户，以及内外网之间。 因此，一般整个企业的网络系统存在三个方面的安全问题： （1）Internet 的安全性：随着互联网的发展，网络安全事件层出不穷。近年来，计算机病毒传播、蠕虫攻击、垃圾邮件泛滥、敏感信息泄露等已成为影响最为广泛的安全威胁。对于企业级用户，每当遭遇这些威胁时，往往会造成数据破坏、系统异常、网络瘫痪、信息失窃，工作效率下降，直接或间接的经济损失也很大。 （2）企业内网的安全性：最新调查显示，在受调查的企业中 60%以上的员工利用网络处理私人事务。对网络的不正当使用，降低了生产率、阻碍电脑网络、消耗企业网络资源、并引入病毒和间谍，或者使得不法员工可以通过网络泄漏企业机密，从而导致企业数千万美金的损失。所以企业内部的网络安全同样需要重视，存在的安全隐患主要有未授权访问、破坏数据完整性、拒绝服务攻击、计算机病毒传播、缺乏完整的安全策略、缺乏监控和防范技术手段、缺乏有效的手段来评估网络系统和操作系统的安全性、缺乏自动化的集中数据备份及灾难恢复措施等。 （3）内部网络之间、内外网络之间的连接安全：随着企业的发展壮大及移动办公的普及，逐渐形成了企业总部、各地分支机构、移动办公人员这样的新型互动运营模式。怎么处理总部与分支机构、移动办公人员的信息共享安全，既要保证信息的及时共享，又要防止机密的泄漏已经成为企业成长过程中不得不考虑的问题。各地机构与总部之间的网络连接安全直接影响企业的高效运作。 二、以某公司为例，综合型企业网络简图如下，分析现状并分析 需求：

国家安全监管总局办公厅关于印发总局网络运行和信息安全保密管理

国家安全监管总局办公厅关于印发总局网络运行和信息安全 保密管理办法的通知 【法规类别】国家安全工作网络安全管理 【发文字号】安监总厅[2010]143号 【发布部门】国家安全生产监督管理总局(原国家安全生产监督管理局) 【发布日期】2010.08.04 【实施日期】2010.08.04 【时效性】现行有效 【效力级别】部门规范性文件 国家安全监管总局办公厅关于印发总局网络运行和信息安全保密管理办法的通知 （安监总厅〔2010〕143号） 各省、自治区、直辖市及新疆生产建设兵团安全生产监督管理局，各省级煤矿安全监察机构，总局和煤矿安监局机关各司局、应急指挥中心，各直属事业单位、社团组织： 为进一步规范网络运行，确保信息安全，现将《国家安全监管总局网络运行和信息安全保密管理办法》印发给你们，请遵照执行。 二○一○年八月四日国家安全监管总局网络运行和信息安全保密管理办法

为加强安全生产系统网络信息安全保密管理，保障网络正常运行和信息安全，提高办公效率，根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《中华人民共和国计算机信息网络国际联网安全保护管理办法》和国家有关规定，制定本办法。 一、总则 1.本办法所称网络包括各单位使用的内网、国家安全生产监督管理总局（以下简称总局）政务外网和各单位应用的互联网。其中，内网是指各单位内部与互联网物理隔离的局域网；总局政务外网是指全国安全生产系统信息化综合应用的专用广域网络，与互联网逻辑隔离。 2.总局政务外网建设和管理遵循总局统筹规划、统一建设和各省级单位分级管理的原则。 二、组织管理与职责 3.总局保密委员会是全国安全生产系统网络信息安全保密管理的领导机构，负责指导、审查安全生产系统信息安全保密管理工作。 4.总局办公厅是全国安全生产系统信息安全保密工作的日常管理部门，负责信息安全保密管理工作的指导、协调、监督、检查以及对失泄密事件的查处。 5.总局规划科技司负责总局政务外网和总局机关网络信息安全保障项目的规划、立项和建设管理工作。 6.总局通信信息中心是全国安全生产系统信息网络运行与维护的管理部门和信息安全保障能力建设的技术支撑部门，负责按照国家有关涉密、非涉密信息系统技术标准规范，提出总局政务外网和总局机关网络建设的技术需求，负责建设项目的技术管理和建成系统的运维管理。

信息安全管理组织机构及岗位职责

一.组织机构 1.公司成立信息安全领导小组，是信息安全的最高决策机构，下设办公室， 负责信息安全领导小组的日常事务。 2.信息安全领导小组负责研究重大事件，落实方针政策和制定总体策略等。 职责主要包括：根据国家和行业有关信息安全的政策、法律和法规，批准公司信息安全总体策略规划、管理规范和技术标准；确定公司信息安全各有关部门工作职责，指导、监督信息安全工作。 3.信息安全领导小组下设两个工作组：信息安全工作组、应急处理工作组。 组长均由公司负责人担任。 4.信息安全工作组的主要职责包括： 1)贯彻执行公司信息安全领导小组的决议，协调和规范公司信息安全工作； 2)根据信息安全领导小组的工作部署，对信息安全工作进行具体安排、落 实； 3)组织对重大的信息安全工作制度和技术操作策略进行审查，拟订信息安 全总体策略规划，并监督执行； 4)负责协调、督促各职能部门和有关单位的信息安全工作，参与信息系统 工程建设中的安全规划，监督安全措施的执行； 5)组织信息安全工作检查，分析信息安全总体状况，提出分析报告和安全 风险的防范对策； 6)负责接受各单位的紧急信息安全事件报告，组织进行事件调查，分析原 因、涉及范围，并评估安全事件的严重程度，提出信息安全事件防范措施； 7)及时向信息安全工作领导小组和上级有关部门、单位报告信息安全事件。 8)跟踪先进的信息安全技术，组织信息安全知识的培训和宣传工作。 5.应急处理工作组的主要职责包括： 1)审定公司网络与信息系统的安全应急策略及应急预案； 2)决定相应应急预案的启动，负责现场指挥，并组织相关人员排除故障， 恢复系统；

3)每年组织对信息安全应急策略和应急预案进行测试和演练。 6.公司应指定分管信息的领导负责本单位信息安全管理，并配备信息安全 技术人员，有条件的应设置信息安全工作小组或办公室，对公司信息安全领导小组和工作小组负责，落实本单位信息安全工作和应急处理工作。 二.关键岗位 1.设置信息系统的关键岗位并加强管理，配备系统管理员、网络管理员、 应用开发管理员、安全审计员、安全保密管理员，要求五人各自独立。 要害岗位人员必须严格遵守保密法规和有关信息安全管理规定。 2.系统管理员主要职责有： 1)负责系统的运行管理，实施系统安全运行细则； 2)严格用户权限管理，维护系统安全正常运行； 3)认真记录系统安全事项，及时向信息安全人员报告安全事件； 4)对进行系统操作的其他人员予以安全监督。 3.网络管理员主要职责有： 1)负责网络的运行管理，实施网络安全策略和安全运行细则； 2)安全配置网络参数，严格控制网络用户访问权限，维护网络安全正常运 行； 3)监控网络关键设备、网络端口、网络物理线路，防范黑客入侵，及时向 信息安全人员报告安全事件； 4)对操作网络管理功能的其他人员进行安全监督。 4.应用开发管理员主要职责有： 1)负责在系统开发建设中，严格执行系统安全策略，保证系统安全功能的 准确实现； 2)系统投产运行前，完整移交系统相关的安全策略等资料； 3)不得对系统设置“后门”； 4)对系统核心技术保密等。 5.安全审计员负责对涉及系统安全的事件和各类操作人员的行为进行审计 和监督，主要职能包括：

XX企业信息安全综合解决方案设计

要求有具体的问题，比如，信息系统安全（硬件，场地，软件，病毒，木马，），网络安全（网络入侵，服务器/客户端的连通性，vpn的安全问题），人员安全（身份识别，分权访 问，人员管理），电子商务安全（密钥，PKI），或者其它！ 【为保护隐私，公司原名用XX代替。 内容涉及企业网络安全防护，入侵检测，VPN加密、数据安全、用户认证等企业信息安全案例，供参考】 XX企业信息安全综合解决方案设计 一．引言 随着全球信息化及宽带网络建设的飞速发展，具有跨区域远程办公及内部信息平台远程共享的企业越来越多，并且这种企业运营模式也逐渐成为现代企业的主流需求。企业总部和各地的分公司、办事处以及出差的员工需要实时地进行信息传输和资源共享等，企业之间的业务来往越来越多地依赖于网络。但是由于互联网的开放性和通信协议原始设计的局限性影响，所有信息采用明文传输，导致互联网的安全性问题日益严重，非法访问、网络攻击、信息窃取等频频发生，给公司的正常运行带来安全隐患，甚至造成不可估量的损失。因此必须利用信息安全技术来确保网络的安全问题，这就使得网络安全成了企业信息化建设中一个永恒的话题。 目前企业信息化的安全威胁主要来自以下几个方面：一是来自网络攻击的威胁，会造成我们的服务器或者工作站瘫痪。二是来自信息窃取的威胁，造成我们的商业机密泄漏，内部服务器被非法访问，破坏传输信息的完整性或者被直接假冒。三是来自公共网络中计算机病毒的威胁，造成服务器或者工作站被计算机病毒感染，而使系统崩溃或陷入瘫痪，甚至造成网络瘫痪。如前段时间在互联网上流行的“熊猫烧香”、“灰鸽子”等病毒就造成了这样的后果。那么如何构建一个全面的企业网络安全防护体系，以确保企业的信息网络和数据安全，避免由于安全事故给企业造成不必要的损失呢？ 二．XX企业需求分析 该企业目前已建成覆盖整个企业的网络平台，网络设备以Cisco为主。在数据通信方面，以企业所在地为中心与数个城市通过1M帧中继专线实现点对点连接，其他城市和移动用户使用ADSL、CDMA登录互联网后通过VPN连接到企业内网，或者通过PSTN拨号连接。在公司的网络平台上运行着办公自动化系统、SAP的ERP系统、电子邮件系统、网络视频会议系统、VoIP语音系统、企业Web网站，以及FHS自动加油系统接口、互联网接入、网上银行等数字化应用，对企业的日常办公和经营管理起到重要的支撑作用。 1. 外部网络的安全威胁 企业网络与外网有互连。基于网络系统的范围大、函盖面广，内部网络将面临更加严重的安全威胁，入侵者每天都在试图闯入网络节点。网络系统中办公系统及员工主机上都有涉密信息。假如内部网络的一台电脑安全受损（被攻击或者被病毒感染），就会同时影响在同一网络上的许多其他系统。透过网络传播，还会影响到与本系统网络有连接的外单位网络。 如果系统内部局域网与系统外部网络间没有采取一定的安全防护措施，内部网络容易遭到来自外网一些不怀好意的入侵者的攻击。 2.内部局域网的安全威胁

信息安全管理责任及监督检查机制

********** 信息安全管理责任及监督检查机制信息安全管理责任 为了本平台的正常运行和健康发展，落实计算机安全责任，明确计算机安全防患内容，确保计算机安全万无一失，进一步加网络信息技术防范和行政监管力度，实现系统的规范、统一、有序管理，根据《计算机网络安全管理条例》的要求，特签订计算机网络信息安全管理责任状。特制定安全目标责任书： 1、牢固树立“安全就是稳定，安全就是投入，安全就是福利”的思想。严格遵守国家制定的有关计算机信息系统安全的法律、法规，认真贯彻执行《网络安全管理条例》。并建立检查记录。 2、严格计算机电源管理。开机前检查是有自然或人为损坏，防止短路，使用中注意检查有无过载现象。 3、严格计算机硬件管理。不能频繁搬动，不能经常抽插接口，不可卸掉外壳，不能拆装箱内配件。 4、严格计算机软件管理。系统软件和应用软件都在行政部，未经管理员同意，不能随便装卸系统和软件。 5、严禁登录不健康网站，严禁传播不健康信息，严禁工作时间炒股、聊天、游戏、听歌曲看影视。 6、未经许可不可移动、装拆计算机以外的其它供电网络、办公、

照明等配套设备。 7、专机专人，未经管理员允许，不准其他人搬动、装拆、使用。 8、严格计算机清洁卫生，严防酸碱盐油质品腐蚀。 9、正确按安全程序开关闭机器。 10、严格门窗管理。离开时必须关机关灯关电源，必须关窗，锁门防盗。 11、严格防水管理。注意窗、门、房顶渗水。 12、自觉作好相关使用记录，自觉接受安全检查，主动听取安全管理意见，接受行政管理人员登记、检查监督意见。 13、无视纪律，管理疏忽，使用不当，致使硬件和软件损坏，按购买时合同价赔偿，回收使用权或调整岗位，并对所造成的损失，承担一切责任。 信息安全监督检查机制 为保证平台信息网络的安全正常运行，规范管理，特制定监督检查检查机制，各部门和维护网络管理人员必须以高度的责任感认真执行此项制度。 1、公司应当自觉遵守《中华人民共和国计算机信息系统安全保护条例》和有关网络法规，严禁利用计算机从事违法犯罪行为。