信息安全防护方案是指针对信息安全威胁而设计的一种综合性的解决方案,旨在保护组织或个人的数据、信息系统、网络等不受恶意攻击、未经授权的访问或其他不安全事件的破坏和泄露。这个方案通常包括安全策略的制定、安全培训、安全审计、安全监控、应急响应等措施,以确保信息的安全性和保密性。以下是有关于信息安全防护方案的有关内容,欢迎大家阅读!
为落实省联社《关于印发《黑龙江省农村信用社网络与信息安全检查工作方案》》的通知精神,力求使本次检查工作达到预期效果,特制定本方案。
一、检查目的
通过开展信息安全检查,进一步梳理、掌握本单位重要网络与信息安全基本情况,查找突出的问题和薄弱环节,分析面临的安全威胁和风险,有针对性的采取防范对策和改进措施,加强网络与信息系统安全管理和技术防护,促进安全防护能力和水平提升,预防和减少重大信息安全事件的发生。
二、检查范围
此次检查工作范围是辖内的网络与信息系统,检查工作按照“谁主管谁负责、谁运行谁负责”的原则开展。
三、检查重点
(一)系统安全运行情况。
检查各个信息系统运行情况。综合业务网络杀毒软件更新、运行情况;外网办公用计算机病毒查杀情况;操作系统和软件使用情况是否安全;是否存在内外网混用情况;终端机是否开启安全防护措施。
(二)安全管理情况。
1、信息安全主管领导、信息安全管理部门、信息安全工作人员履职以及岗位责任情况等;
①信息安全主管领导明确及工作落实情况。
是否有领导分工等相关文件,是否明确了信息安全主管领导,检查信息安全相关工作批示和会议记录等文件,了解主管领导工作落实情况。
②信息安全管理部门指定及工作落实情况。
检查部门分工文件,是否指定了信息安全管理部门。是否制定了工作计划、工作方案、管理规章制度、监督检查记录等文件,检查管理部门工作落实情况。
③信息安全工作人员配备及工作落实情况。
检查人员列表、岗位职责分工等文件,是否配备了信息安全工作人员。
2、日常安全管理制度建立和落实情况。
检查人员管理、设备管理、运行维护管理情况。
①人员管理制度。
检查人员管理制度文件,是否有岗位信息安全责任,人员离岗离职管理、外部人员来访管理等制度。检查人员离岗离职管理落实情况。
②设备管理制度。
检查设备管理制度等文件。是否有设备发放、使用、维修、维护和报废等相关制度,是否明确了相关管理责任人。硬件设备登记情况,包括PC机,路由器,交换机,UPS及其他主要设备。检查《计算机硬件设备登记簿》。
③运行维护管理制度。
检查是否建立了运行维护管理等相关制度文件,是否包含事故处理记录、数据维护情况等相关内容。检查运维操作手册和运维相关记录,检查是否有事故处理记录、数据维护记录、运行维护管理制度落实情况及相关记录完整性。
(三)柜员卡安全管理。
1、是否存在柜员未随身携带柜员卡,离岗人走卡未收情况。
2、是否存在柜员卡随意转交他人使用,主要表现为柜员临时离岗不办理授权顶岗交接而直接把卡交给顶岗人使用。
3、是否存在一人多卡,两张或两张以上的柜员卡同在抽屉里存放。
4、是否存在在办理需要授权的业务时,授权柜员未按规定认真审核,将授权柜员卡随意交给前台柜员使用。
5、柜员暂时离岗未退出综合业务系统操作界面。
6、柜员卡权限调整登记簿,柜员卡使用及指纹系统使用情况。
7、柜员卡是否在领取、交接、使用、挂失上应完善制和健全登记薄。
(四)技术防护情况。
检查所有接入互联网的计算机设备是否安装了最新的杀毒软件和病毒防火墙,统计网络外连的出口个数,是否每个出口都进行了安全措施。检查网点路由器、交换机等设备配置是否合理,是否启用了有效的身份控制、访问控制功能。
(五)应急处理及容灾备份情况。
重点检查应急预案、应急演练和灾备措施情况。检查应急预案制定和修订情况。检查应急演练人员对预案的熟悉程度。检查冗余设备情况。
四、检查工作领导小组
组长:王占斌
副组长:郎天德、赵长斌、申佳军、徐丽虹、石振涛、池忠波
成员:张鑫磊、徐传恒、荆长宇、高享、秦阳、丛克刚
检查工作领导小组办公室设在网络中心。
一、工作目的
按照《云南省工业和信息化委员会关于开展20xx年度云南省政府信息系统安全检查工作的通知》要求,根据《国务院办公厅关于加强政府信息安全和保密管理工作的通知》、《国务院办公厅关于印发<政府信息系统安全检查办法>的通知》以及《云南省政府办公厅关于印发<政府信息系统安全检查实施办法>的通知》、《20xx年度云南省政府信息系统安全检查指南》、《昆明市人民政府办公厅关于印发昆明市政府信息系统安全检查工作方案的通知》精神,坚持“谁主管谁负责,谁运行谁负责、谁使用谁负责”的原则,开展20xx年度石林彝族自治县人民政府信息系统安全检查工作,贯彻落实国家对于信息安全工作的各项要求,在全县范围内对各乡镇、各部门信息系统安全工作进行全面检查,掌握我县党政信息系统安全状况,发现存在的主要问题和薄弱环节,完善信息安全制度,加强安全防护措施,提高信息安全水平,信息安全工作方案。
二、组织机构
成立石林彝族自治县网络信息安全检查领导小组(以下简称领导小组)。
组长:
副组长:
成员:
领导小组下设办公室在县信息产业办,负责组织实施本次安全检查工作,由段圳宗同志兼任办公室主任,办公室工作人员从领导小组成员单位抽调。
三、具体工作
(一)检查范围:各乡镇人民政府,县直各部委办局在内外网运行的办公系统、业务系统、网站系统等。各乡镇、各部门的重要业务系统、门户网站是检查重点。
(二)按照《政府信息系统安全检查实施办法》、《20xx年度云南省政府信息系统安全检查指南》(附件一),请各乡镇、各单位对照进行自检,并形成书面材料(附电子文档),填写《20xx年石林彝族自治县人民政府信息系统安全检查报告表》(附件二、三)盖章并附电子文档,于20xx年6月13日前一并报领导小组办公室。
(三)针对当前政府信息系统存在的薄弱环节,按照《云南省政府信息系统安全检查实施办法》要求,重点检查以下内容:
1、信息安全组织机构。
2、日常信息安全管理。
3、等级保护与风险评估。
4、建设防范手段建设。
5、应急管理工作开展。
6、信息技术产品和信息安全产品使用。
7、信息安全服务。
8、信息安全教育培训。
9、信息安全经费保障。
10、安全隐患排除及整改。
(四)领导小组对县重点部门的网络信息安全进行现场抽查。
(五)20xx年6月中下旬接受市网络信息安全检查工作组到石林检查,具体检查单位根据市检查组通知临时确定。
(六)20xx年9月根据我县的信息安全检查结果,对检查中发现的问题,将按照《政府信息系统安全检查办法》的规定,责令相关部门限期整改,并追究有关人员的责任。
(七)自20xx年10月起,各乡镇、各单位开展20xx年下半年信息安全检查工作。在上半年工作的基础上,进行自评、自查并形成书面材料(附电子文档),填写《20xx年度石林彝族自治县政府信息系统安全检查报告表》(附件二、三)盖章并附电子文档,于20xx年10月15日前一并报领导小组办公室,规划方案《信息安全工作方案》。
四、工作要求
各乡镇、各部门要把政府信息系统安全检查工作列入重要议事日程,加强领导,明确检查责任,落实专职的检查人员和经费,保证检查工作顺利进行。要求所有参与检查的人员必须严格按照《云南省政府信息系统安全检查实施办法》和《20xx年度云南省政府信息系统安全检查指南》要求开展工作,要特别强调工作中注意信息安全和保密。涉及国家秘密的信息系统保密检查工作,按照国家保密管理规定执行。
为增强我园教师及幼儿家长的网络xx安全意识,提高网络xx安全防护技能,按照商教发《关于开展全县第二届网络xx安全宣传周活动的通知》(商教发〔20XX〕119号)精神,我园决定开展第二届网络xx安全宣传周活动,有关事项安排如下:
一、活动主题
本次活动主题为”共建网络xx安全,共享网络文明”,旨在提高和普及我园教师及幼儿家长的网络xx安全知识,重点围绕网络诈骗、网购安全等开展宣传活动,让教师、幼儿家长了解、感知、感受身边的智能手机、网络泄密及网络购物方面的网络xx安全潜在风险,提高安全防范意识。
二、活动时间
20XX年6月1日至7日。
三、活动内容
1.组织教师学习党和国家网络xx安全战略、方针、政策,了解目前国家在网络xx安全方面的前沿动态。
2.我园积极采用线上加线下的方式进行网络xx安全宣传,开展网络xx安全知识普及活动。
四、活动形式
1、针对本次活动,利用我园ETC电子显示屏制定宣传标语为:共建网络xx安全,共享网络文明。
2、在我园网站公布网络xx安全活动实施方案,扩大宣传效果。(保教处XX负责方案制定)
3、在班级家园栏向广大家长广泛宣传网络xx安全教育相关知识。(各班主任负责)
4、向家长发放网络xx安全宣传传单。
5、全体教师进行了一次网络xx安全知识培训,组织全体教师观看相关视频资料,培训内容简单实用,可操作性强。
五、活动要求
1、保教处6月3号前制定活动方案,安排部署相关工作,活动之后要进行成果汇总,形成总结报告。
2、XX要将开展此次活动的相关材料(文本、图片等)6月8日下午6时前报县信息电教中心办公室。
为增强我区教育系统网络信息安全意识,提高网络信息安全防护技能,根据中央网信办、市区网信办相关要求,我校决定开展网络信息安全宣传周活动,现制定方案如下。
一、活动主题
网络信息安全为人民,网络信息安全靠人民
二、活动时间
x年9月19日——9月25日,其中9月20为主题教育日。
三、参加对象
全校教职工、学生和家长。
四、活动形式
(一)氛围营造
学校在宣传活动期间,用LED电子显示屏、微信公众号、网站、Q群等多种形式宣传网络信息安全,营造良好的宣传氛围。
(二)电子屏滚动播出
利用学校大门处的LED电子屏,滚动播出网络信息安全宣传知识,介绍防信息泄露、防网络诈骗等网络信息安全相关知识。
(三)开展活动
学校以网络信息安全宣传为主题,通过开展主题队会、举办讲座、国旗下讲话等形式开展网络信息安全宣传活动。(班主任和德育处提供图片)
(四)网络宣传
学校网站、学校Q群、班级Q群和翼校通多渠道宣传网络信息安全知识。(班主任提供发家长Q群、发翼校通的图片)
五、活动要求
(一)各部门、每一位教师要高度重视此次宣传活动,按学校方案落实好每一项工作,学校将组织人员对活动情况进行检查。
(二)各班主任务必将活动开展图片于9月23日上午12:00前传余,邮箱:,联系电话。
按照《市教育局关于开展网络信息安全宣传周活动的通知》的相关要求,结合学校实际,经学校研究决定,在全校师生中开展网络信息安全教育宣传周活动,特制订方案如下:
一、活动时间
20xx年9月17日(星期一)至9月23日(星期日)。
二、活动主题
网络信息安全为人民,网络信息安全靠人民。
三、具体内容:
(一)举行“共建网络信息安全,共享网络文明”网络信息安全教育周启动仪式9月17日(星期一),按照八小关于网络信息安全教育周的活动安排,组织开展“共建网络信息安全,共享网络文明”安全教育启动仪式,常校长做动员讲话,并做具体的活动安排和要求。
1、召开一次“共建网络信息安全,共享网络文明”为主题的班会各班要紧密结合学生不良的上网习惯,选择发生在学生身边的典型案例,组织和引导学生进行深入讨论身边存在的网络信息安全隐患,结合学生进入黑网吧等现象进行讨论,教育学生从自身做起,遵守网络信息安全准则。时时刻刻注意网络信息安全事项。班主任一定要在学生讨论后进行总结,教育学生提高网络信息安全意识和自我保护意识。各班自行组织时间开展。但必须在9月19日前完成。
2、大队部组织落实相关活动并照相及过程资料的`收集。
(二)、开展网络信息安全教育班级手抄小报及黑板报评比。每班5份手抄小报,各班出一期以“共建网络信息安全,共享网络文明”为主题的黑板报,学校进行评比(9月20日前)。要求:
1、主题鲜明,内容丰富具教育性,无知识性错误和错别字。
2、小报要充分显示本班开展的网络信息安全教育情况。
四、开展多种形式的网络信息安全教育宣传活动
活动周期间,学校LED屏播出网络信息安全教育宣传条幅,9月xx日,上一节“绿色上网、文明上网、健康上网”网络信息安全公开课。同时充分利用黑板报、宣传栏、校园网等形式进行网络信息安全教育宣传,营造浓厚的网络信息安全教育氛围。
随着计算机的普及和应用的不断发展,必然会出现更多的计算机病毒,这些病毒将会以更巧妙更隐蔽的手段来破坏计算机系统的工作,因此每个人必须认识到计算机病毒的危害性,了解计算机病毒的基本特征,增强预防计算机病毒的意识,掌握清除计算机病毒的操作技能,在操作计算机过程中自觉遵守各项规章制度,保证计算机的正常运行。
【教材分析】
本节是义务教育信息技术(上册)第二章《管理计算机》第3节《计算机安全与防护》的内容。这部分内容以理论为主,全面介绍了计算机安全与防护知识,以及计算机病毒的相关特征和传播途径,掌握预防和查杀病毒的方法,使学生在计算机的使用过程中能学以致用,加强计算机安全与防护措施。本节内容以理论知识形式呈现,缺乏实践和操作,很容易让学生产生枯燥感,但现实意义和教育意义较大,不容忽视。
【教学对象分析】
本节课程面向的教学对象是农村初一的学生,学生们对计算机病毒的了解程度参差不齐,有些学生家里有电脑能上网,可能遇到过计算机病毒,也略知一二,很多学生不知道计算机病毒,有些甚至以为计算机病毒会传染给使用者。所以要具体的、形象的来解释这个定义来加深印象。学生独立思考独立解决问题的能力一直在锻炼着提高着,但是团队合作能力的培养却流于形式。加强学生的防病毒的意识,同时自觉自觉遵守各项规章制度,保证计算机的正常运行,同时杜绝学生制作病毒与复制病毒的传播,保证网络的正常,培养学生正确使用计算机的良好道德规范。
【教学目标】
1、认知领域
(1)初步了解计算机安全的含义。
(2)了解计算机病毒的危害。
(3)学会防范计算机病毒的常用措施。
2、操作领域
1.通过学习活动了解计算机病毒的概念及其危害。
2.掌握计算机病毒杀毒软件的使用方法。
3、情感领域
1、负责地、安全地、健康地使用计算机,促进学生信息文化、道德修养与健康人格的养成。
2、培养学生使用计算机的良好道德规范。
【教学重点】
计算机安全与杀毒软件的使用
【教学难点】
计算机安全的防范措施
【教学过程】
一、导入新课:
从世界上第一台电子计算机在美国诞生到现在的五十三年的时间里,计算机的软硬件技术得到了迅猛的发展,计算机开始逐步走进家庭,但是,同学们在使用计算机的过程中,尤其是上网以后,计算机信息系统的安全性问题显得越来越突出,今天这节课,我就给大家介绍保障计算机信息安全的意义与措施。
二、讲授新课:
1、提出问题:计算机安全包括哪两个方面?
(计算机系统安全和信息内容安全)
2、提出问题:我们怎样在信息交流过程中保障信息安全?
(1)加强安全意识:树立信息安全意识,负责任地使用信息技术,不做有损信息安全的事。
(2)采取防范措施:掌握一些保障信息安全、防范各种事故的必要措施和有效方法:
如:硬件系统的安全;软件系统的安全;用户数据的安全;病毒、黑客的防范等。
讲到“病毒、黑客”四个字时,语气要强烈一些。然后立刻提问:大家知道什么是“黑客”和“计算机病毒”?
“黑客”往往是指那些利用自己掌握的计算机技术、通过未经授权非法入侵别人的计算机系统而达到自己的个人目的的人。
“计算机病毒”是隐藏在计算机系统中的一种程序,它通过自我复制或者修改其他程序扰乱计算机系统的正常工作,甚至对计算机系统造成破坏。计算机病毒是一个小程序,能够自身复制自身,会将自己的病毒码依附在别的程序上,通过宿主程序的执行,伺机传播病毒程序,有一定潜伏期,一旦条件成熟,进行各种破坏活动,影响计算机使用。
注:提问时注意从以下几个方面启发学生:
(1)“计算机病毒”首先是某些人编写的一种计算机程序;
(2)为了掩人耳目,病毒程序在计算机内怎么藏身?
(3)既然病毒不是一个独立的文件,它怎么被执行?
(4)计算机染了病毒之后,是立即发作吗?
(5)为什么把这种程序称作“病毒”?像生物病毒一样有复制能力。
(6)计算机病毒对计算机有什么影响?毁坏数据,影响使用;
3、计算机病毒对计算机的影响:
(1)降低系统执行效率;
(2)在屏幕上显示各种信息;
(3)造成死机;
(4)部分文件被删除;
(5)改变存储在硬件上的程序;
(6)破坏整个硬盘或软盘内资料。
4、计算机病毒的特点:计算机的病毒多种多样,表现出的症状也各不相同。但无论是良性的还是恶性的它们都有如下共同特点:
(1)具有破坏性。病毒不但能影响屏幕的正常显示,减漫运行速度,占用磁盘存储空间,它还能破坏磁盘中的数据和程序,甚至能破坏计算机的硬件。如CIH病毒能破坏计算机的主板。
(2)具有隐蔽性。病毒大多隐藏在正常程序中,很难发现。
(3)具有潜伏性。病毒侵入计算机后,它能长期潜伏,待一定的条件满足后才起作用。例如:黑色星期五病毒,它发作的条件是:每月的13号且这一天正好是星期五。
1、总则
1、1目的
为科学应对信息系统突发事件,建立健全信息系统的应急响应机制,有效预防、及时控制和最大限度地消除各类突发事件的危害和影响,制订本应急预案。
1、2工作原则
a)统一领导
遇到重大异常情况,应及时向有关领导报告,以便于统一调度、减少不良影响。
b)综合协调
明确综合协调的职能机构和人员,做到职能间的相互衔接。
c)重点突出
应急处理的重点放在运行着重要业务系统或可能导致严重事故后果的关键系统上。
d)硬件及配置备份
备份相关网络设备、服务器参数、系统配置,相关硬件、线路的热备与冷备等措施,提高信息系统的安全系数。并在备用设备上按要求预先配置好各种参数,当发生故障时能自动或者手动切换能直接上线运行。
e)快速恢复
系统管理人员在坚持快速恢复系统的原则下,根据职责分工,加强团结协作,必要情况下与设备供应商、维护商、网络平台提供商以及系统集成商等共同谋求问题的快速解决。
f)及时反应,积极应对
出现信息业务故障时,值班人员应及时发现、及时报告、及时抢修、及时控制,积极对信息业务突发事件进行防范、监测、预警、报告、响应。
g)防范为主,加强监控
经常性地做好应对信息业务突发事件的思想准备、预案准备、机制准备和工作准备,提高基础设备、基础网络和重要信息系统的综合保障水平。加强对信息业务应用的日常监视,及时发现信息业务突发性事件并采取有效措施,迅速控制事件影响范围,力争将损失降到最低程度。
2、应急工作小组机构及职责
在网络事件的处理中,一个组织良好、职责明确、科学管理的应急队伍是成功的关键。组织机构的成立对于事件的响应、决策、恢复,防止类似事件的发生都具有重要意义。结合杭州市长征中学信息系统的实际情况,将信息系统故障有关应急人员的角色和职责进行明确划分如下(图1)。
1)应急处理领导小组
及时掌握信息系统故障事件的发展动态,向上级部门报告事件动态;对有关事项做出重大决策;启动应急预案;组织和调度必要的人和外部资源等。
领导小组组长:
领导小组副组长:、
领导小组成员:、
2)应急处理工作小组
负责定期了解外部支持人员的变动情况,及时更新其技术人员及联系方式等信息;快速响应由硬件系统、软件系统、网络系统、机房环境系统故障以及地震、火灾、雷电、水灾等自然灾害引起导致信息业务系统中断事件;执行上述相关故障的诊断、排查和恢复操作;定期通过运行维护管理软件、系统运行报告等方式对信息业务系统的使用情况进行分析,尽早发现网络的异常状况,排除网络隐患。
工作小组组长:
工作小组成员:、
3)外部支持人员
包括网络运营商、设备供应维护商以及系统集成商等。负责事先向杭州市长征中学提供紧急情况下的应急技术方案和应急技术支援体系;积极配合应急人员进行故障处理。
设备供应商、系统集成商、电信运营商、设备维保商等联系方式。
3、预警和预防机制
3、1信息监测及报告
1)信息系统的日常管理和维护
信息系统的日常管理和维护应加强信息业务应用的监测、分析和预警工作。
2)建立信息业务系统故障事故报告制度
发生信息业务系统故障时,值班人员应当立即向杭州市长征中学现代教育技术中心负责人报告,并及时进行故障处理、调查核实、保存相关证据等。
3、2预警
在接到突发事件报告后,应当经初步核实之后,将有关情况及时向杭州市长征中学报告,进一步进行情况综合,研究分析可能造成影响的程度,提出初步行动对策。由上级领导视情况紧急程度召集协调会,决策行动方案,发布指示和实施命令等。
3、3预警支持系统
应建立和完善信息监测、消息传递和指挥决策支持系统,保证突发事件处理过程中的资源共享、运转正常、指挥有力。
3、4预防机制
各关键业务信息系统建设要充分考虑抗毁性与灾难恢复,制定并不断完善应急处理预案。针对信息系统的突发性、大规模异常事件,各相关部门建立制度化、程序化的处理流程。
4、应急处理程序
4、1信息系统突发事件分类分级的说明
根据信息系统突发事件的发生原因、性质和机理,信息系统突发事件主要分为以下三类:
1)攻击类事件:指信息系统因计算机病毒感染、非法入侵等导致业务中断、系统宕机、网络瘫痪等情况。
2)故障类事件:指信息系统因计算机软硬件故障、机房环境系统故障、人为误操作等导致业务中断、系统宕机、网络瘫痪等情况。
3)灾害类事件:指因爆炸、火灾、雷击、地震、台风等外力因素导致信息网络系统损毁,造成业务中断、系统宕机、网络瘫痪等情况。
按照突发事件的性质、严重程度、可控性和影响范围,将其分为一般故障、严重故障、重大故障、特级故障四级。
1)一般故障
信息系统中单个设备终端或单个外联单位软硬件故障,但未影响主业务系统运行,也未造成社会影响或经济损失的突发事件。
2)严重故障
信息系统中因某类业务节点软、硬件故障而导致部分业务中断,可能造成社会影响的`突发事件。
3)重大故障
信息系统主业务瘫痪,导致业务系统长时间中断,可能造成重大社会影响和巨大经济损失的突发事件。
4)特级故障
特指发生不可预见的灾难性事故,如火灾、水灾和地震等。
4、2信息系统应急预案启动
根据以上定义的故障分级,当信息系统事件的要素满足启动应急预案要求时,进入相应的应急启动流程。
1)应急处理工作小组从业务人员的故障申告、运行维护管理系统的故障告警中得知信息系统异常事件后,应在第一时间派相关人员赶赴故障现场。
2)应急处理工作小组针对信息系统异常事件做出初步的分析判断。若是单个终端业务故障或者单个业务模块故障,比如IP地址更改、物理连线松动、某个业务算法参数调整或者能在最短时间内自行解决的问题,及时按照有关操作规程进行故障处理,并报领导小组备案;否则,应急处理工作小组将故障大致定性为硬件故障、线路故障、软件故障等故障之一,及时告知领导小组,并采取措施避免事件影响范围的扩大。
3)应急处理工作小组向领导小组报告,同时启动相应的应急预案。针对灾难事件和影响重要业务运行的重大事件,还要及时向上级机关进行报告。
4)应急处理工作小组根据故障类型及时与外部支持人员取得联系。其中,设备故障的,可与设备供应维护商和集成商联系;软件故障的,可与系统集成商联系,由系统集成商进行现场或远程技术支持;线路故障的,可与网络运营商联系,三方密切协作力求通信线路在短时间内恢复正常。
5)应急处理工作小组在上级机构或外部支持人员的配合下,充分利用应急预案的资源准备,采取有力措施进行故障处理,及时将信息系统恢复到正常状态。
6)应急处理工作小组通知业务部门信息系统恢复正常,并向领导小组报告故障处理的基本情况。重大事件形成文字资料,以书面形式向上级报告。
7)总结整个处理过程中出现的问题,并及时改进应急预案。
4、3现场应急处理
1)如遇到预知外界因素(如定时、定点停电)影响信息系统的正常运行,将根据有关部门的通知,提前安排技术人员准备实施相关应急预案(如停电应急预案,详见《供电中断后的设备运行预案》),并进行现场维护,直至外界因素消除。
2)如遇到不可抗力因素(如火灾)造成的信息系统故障时,接到通知的值班人员要快速到达现场启动相关应急预案(如火灾应急预案,详见《人员疏散与机房灭火预案》),果断切断相关设备配电柜的电源,积极参与消除不可抗力因素,并及时将情况上报中心负责人。
3)如遇到一般故障、严重故障和重大故障,影响信息系统的正常运行,值班人员要迅速、及时地赶到现场,进行相应突发事件的应急处理,处理过程参照《故障处理流程》,见附件一。
5、保障措施
5、1应急演练
为提高信息系统突发事件应急响应水平,定期或不定期组织应急预案演练;检验应急预案各环节之间的信息处理、协调、指挥等是否符合快速、高效的要求。通过演习,进一步明确应急响应各岗位责任,对预案中存在的问题和不足及时补充、完善。
5、2人员培训
为确保本应急预案有效运行,本中心定期或不定期地组织相关人员参加专业的技术培训班或研讨交流会,以便不同岗位的应急人员能全面熟悉并熟练掌握突发事件的应急处理知识和技能。
5、3硬件资源保障
为了在信息系统发生故障时能够尽量降低业务系统的受影响程度,须为相应的核心业务系统提供必要的备份设备与备份网络等资源,并且配备与现有设备兼容的设备,确保相同或兼容的设备可以在应急情况下调配使用。备份设备需预先采购并保存在专门位置。这些备份设备可以实现热备的设备,要实行双机在线运行;不能实现热备的,要及时更新冷备份设备的配置,使之能快速顶替上。
5、4文档资料准备
包括信息系统小型机配置情况、存储配置情况、前置机配置情况、网络设备配置参数、网络系统拓扑图以及IP地址分布情况等。
5、5技术支持保障
建立预警与应急处理的技术平台,进一步提高信息系统突发事件的发现和分析能力,从技术上逐步实现发现、预警、处理、通报等多个环节和不同的业务网络、系统以及相关部门之间应急处理的联动机制。
5、6公众信息交流
在应急预案修订、演练的前后,利用各种信息渠道进行宣传,并不定期的利用各种活动,宣传信息系统突发事件的应急处理规程及其预防措施等应急常识。
6、信息系统安全防范措施
6、1建立健全信息系统职责体系和规章制度
杭州市长征中学现代教育技术中心负责各类信息系统的维护和技术支持以及其他的监控和维护;对相关监控信息的核实和处理;负责电力、空调、防火、防雷等基础设施的监控和维护。
杭州市长征中学现代教育技术中心在处理信息系统突发事件中的职责:
1)综合协调在发生紧急事件时联络各相关人员到位并协调开展工作,并根据事件的严重程度向领导小组、公安部门或上级有关部门的报告或向全系统的通报;
2)负责各应用系统、数据库系统、网络系统的监控防范、应急处置和数据、系统恢复工作,以及信息安全事件的事后追查;
3)负责信息系统的安全防范、应急处置和恢复工作及安全事件的事后追查。
逐步健全完善各种信息安全管理制度,包括:
a)运行审批制度;
b)日志管理制度;
c)安全审计制度;
d)数据保护、安全备份、灾难恢复计划;
e)计算机机房及其他重要区域的出入制度;
f)硬件、软件、网络、媒体的使用及维护制度;
g)账户、密码、通信保密的管理制度;
h)有害数据及计算机病毒预防、发现、报告及清除管理制度。
6、2明确信息安全等级、信息安全保护等级
根据信息的性质和重要程度划分为四级:
A级,高敏感信息,实行绝对强制保护;
B级,敏感信息,实行强制保护;
C级,内部管理信息,实行自主安全保护;
D级,公共信息,实行一般安全保护。
根据确立的信息安全等级,依据国家颁布的《计算机信息系统安全保护等级划分准则》,确立计算及系统安全保护的五个等级,具体为:
第一级,用户自主保护级;
第二级,系统审计保护级;
第三级,安全标记保护级;
第四级,结构化保护级;
第五级,访问验证保护级。
6、3网络安全防范
本单位与外部相关部门联网尽量采用单独的网络设备和通信线路,采用物理隔离或防火墙逻辑隔离的方式交换数据,采用严格的通信控制策略并具备审计、记录等功能;内部计算级网络应与因特网物理隔离,如因多元化申报等原因需要与因特网相连,则必须配置多个高性能防火墙,并配置网闸;与电信、移动等部门签订网络通畅安全保障协议,确保在网络线路故障的情况下能够得到及时恢复;必须对主机或网络设备中不使用或较少使用的、存在安全隐患的服务进行关闭;对各类网络接入设备要采取具体严格的安全控制措施;在网络建设和改造时必须优先充分考虑到网络的安全性,要有足够的冗余或备份设备,一旦出现故障能够及时更换或维护;未经杭州市长征中学现代教育技术中心许可,严禁将外来的计算机和其他终端设备接入杭州市长征中学业务网络系统中;各类网络设备及关键主机设备的密码要有专人保管并有定期的变更机制;在未采取相应的加密措施之前,不得利用电子邮件传递涉及机密的信息。
6、4病毒安全防范
杭州市长征中学的内网计算机设备,统一使用正版的杀毒软件,所有的外来软件或数据,必须先进行病毒检查才能安装和使用。
6、5软件系统安全防范
内网系统要按照杭州市长征中学现代教育技术中心要求,原则上杜绝使用盗版软件;各类业务和应用软件要充分考虑到软件安全的要求,并进行安全性能的评估。
6、6数据安全防范
内网系统用户要按照杭州市长征中学现代教育技术中心的统一规划和部署使用相关软硬件产品,相应的数据备份、恢复机制定期检查并实施;原则上备份介质的存储不能与主机系统在同一地域。
6、7设备安全防范
信息系统的设备都必须有较高的可靠性,特别是中心机房的服务器和中心网络设备、网络安全设备等关键设备要严格按照国家计算机信息系统安全相关标准进行采购,从源头上把好设备的性能安全关。各关键设备都要有冗余备份或相应配件,一旦设备出现故障能够及时维护、更换,确保不影响正常的开展和系统的运行。
6、8机房安全防范
现有主机房符合国家B类标准建设。具备放火、防雷、防静电、防电磁干扰设备;要有完备的环境控制设备和电源供应设备;要有严格的管理制度和值班制度,确保各类设备有一个良好的运行环境。
7、分类突发事件应急处理措施
7、1黑客攻击时的紧急处置措施
1)当有关值班人员发现业务系统或网站内容被纂改,或通过IPS系统发现有黑客正在进行攻击时,应立即向网络管理技术人员通报情况。
2)网络管理技术人员应首先应将被攻击的服务器等设备断网,保护现场,并同时向应急处理领导小组通报情况。
3)网络管理技术人员负责被攻击或破坏系统的恢复与重建工作。
4)网络管理技术人员会同相关支持人员追查非法信息来源。
5)网络管理技术人员组织相关支持人员会商后,向应急处理工作小组组长汇报有关情况。
6)应急处理工作小组组长如认为情况严重,应立即向应急处理领导小组汇报。
7)应急处理领导小组组长组织应急处理领导小组召开会议,如认为事态严重,则立即向公安部门或上级机关报警。
7、2病毒安全紧急处置措施
1)当发现有计算机被感染上病毒后,应立即向安全管理技术人员报告,并将该机断网。
2)安全管理技术人员在接到通知后,应第一时间赶到现场处理。
3)对该设备的硬盘进行数据备份。用反病毒软件对该机进行杀毒处理,同时通过病毒检测软件对其他机器进行病毒扫描和清除工作。
4)如果现行反病毒软件无法清除该病毒,应立即向应急处理工作小组组长报告,并迅速联系有关产品商研究解决。
5)应急处理工作小组经会商,认为情况严重的,应立即向应急处理领导小组汇报。
6)应急处理领导小组经会商后,认为情况极为严重的,应立即向公安部门或上级机关报告。
7)如果感染病毒的设备是中心服务器系统,经领导小组同意,应立即告知各相关科室部门做好相应的清查工作。
7、3软件系统遭破坏性攻击的紧急处置措施
重要的软件系统平时必须存有备份,与软件系统相对应的数据有备份,并将他们保存在安全处。
1)一旦软件遭到破坏性攻击,应立即向网络管理技术人员、业务系统技术人员报告,并将该系统停止运行。
2)业务系统技术人员软件系统和数据的恢复。
3)网络管理技术人员检查日志等资料,确定攻击来源。
4)由业务系统技术人员向应急处理工作小组组长汇报。
5)应急处理工作小组组长认为情况严重的,应立即向应急处理领导小组汇报。
6)应急处理领导小组认为情况极为严重的,应立即向公安部门或上级机关报告。
7、4数据库安全紧急处置措施
1)主要数据库应按尽可能有热备设置,并至少要准备两个以上数据库备份,平时一个备份放在机房,另一个备份放在异地安全的场所。
2)一旦数据库崩溃,值班人员立即向业务系统领导报告。
3)值班人员应立即向技术人员请求支援,同时通知相关部门暂缓使用业务系统和上传上报数据。
4)系统修复启动后,通知相关部门使用业务系统和上传上报数据。
7、5公司域网中断紧急处置措施
1)网络备用设备应存放在指定的位置。
2)公司域网中断后,网络管理技术人员应立即判断故障节点,查明故障原因,并向应急处理工作小组组长汇报。
3)如属线路故障,应重新安装线路。
4)如属路由器、交换机等网络设备故障,应立即从指定位置将备用设备取出接上,并调试通畅。
5)如属路由器、交换机配置文件破坏,应迅速按照要求重新配置,并调试通畅。
6)并向应急处理领导小组汇报。
7、6设备安全紧急处置措施
服务器、存储设备等关键设备损坏后,值班人员应立即向硬件管理技术人员报告。
1)硬件管理技术人员立即查明原因。
2)如果能够自行恢复,应立即重新启用该设备。
3)如属不能自行恢复的,立即与设备提供、维护商联系,请求派维护人员前来维修。
4)如果设备一时不能修复,应向处理工作小组组长汇报,并告之相关科室部门,暂缓使用业务系统和上传上报数据。
5)同时向应急处理领导小组汇报。
7、7人员疏散与机房灭火预案
1)一旦机房发生火灾,应遵循下列原则:首先确保人员安全;其次保护关键设备、数据安全;三是保护一般设备安全。
2)人员疏散的程序是:机房值班人员立即按响火警警报,并通过119电话向公安消防请求支援,所有不参与灭火的人员按照预定的路线,迅速从机房中有序撤出。
3)人员灭火的程序是:首先切断所有电源,启动自动气体灭火装置。
4)如果自动灭火未开启,在主机房大门外同时按下隔离开关和启动开关,启动灭火。
7、8供电中断后的设备运行预案
应尽可能让市供电局从不同供电所供两路市电至中心机房,一路市电故障,不影响中心机房市电供电。
1)市电中断后,机房供电自动由UPS备用电源供电。
2)机房值班人员应立即查明原因,并向处理工作小组组长汇报情况。
3)如因大楼内部线路故障,请物业服务部门迅速恢复。
4)如果是供电局的原因,应立即与供电局联系,请供电局迅速恢复供电。
5)如果供电局告知需长时间停电,应作如下安排。
6)向应急处理领导小组汇报情况
7)市电恢复后关掉发电机,将开关向右打到中间停机位。
7、9关键人员不在岗的紧急处置措施
1)对于关键岗位平时应做好人员储备,确保一项工作由两人能够操作。
2)一旦发生关键人员不在岗的情况,首先应向处理工作小组组长汇报情况。
3)经处理工作小组组长批准后,由备用人员上岗操作。
4)如果备用人员无法上岗,请求维保商、集成商或外部支持技术人员支援。
8、附则
1)本预案所称信息系统突发事件,是指由于自然灾害、软硬件故障、内部人为失误或破坏等原因,信息系统正常运行受到严重影响,出现业务中断、系统破坏、数据破坏等现象,造成不良影响以及造成一定程度直接或间接经济损失的事件。
2)本预案通过演习、实践检验,以及根据应急历练变更、新技术、新资源的应用和应急事件发展趋势,及时进行修订和完善;所附的成员、联系方式等发生变化时也随时修订。
3)本预案自发布之日起实施。
为增强校园网络安全意识,提高网络安全防护技能,按照陕西省互联网信息办公室《关于开展陕西省网络安全宣传周活动的通知》精神,以及陕教保办文件关于开展陕西省教育系统网络安全宣传周活动通知要求。特制定出我院校园国家网络安全宣传周活动方案:
一、活动主题
活动主题为“网络安全知识进校园”,旨在提高全体师生网络安全自我保护意识,提升其网络安全问题甄别能力。
二、活动时间
20xx年x月24日至30日。
三、活动内容
以“媒体全铺开、校园全覆盖、师生全知晓”为目标,统一使用“国家网络安全宣传周”标识,校园宣传活动内容如下:
1.学习党和国家网络安全战略、方针、政策,了解目前国家在网络安全方面的前沿动态。
2.召开网络安全工作汇报会,展示我院在网络安全维护工作方面所采取的措施和取得的成效。
3.采用线上加线下的方式进行网络安全宣传,开展网络安全知识普及活动。
四、活动形式
本次网络安全宣传活动采取以下形式开展:
(一)举办校园网络安全宣传周启动及签名活动
(二)利用室外LED电子大屏滚动播放网络安全宣传公益短片。同时,将这些宣传视频上传至校园网资源平台,供广大师生学习观看,并推送到移动平台,以方便手机等移动终端用户观看。
(三)在校园网上开辟一个网络安全宣传专栏,对开展宣传活动的方案、计划等相关资料以及宣传活动所取得的.成果进行公布,提供电子版全民安全使用网络手册,共广大师生下载学习使用。并链接至“国家网络安全宣传周页面”。
(四)在校园广播台开设专题栏目,宣传相关网络安全知识以及网络安全专家谈的相关内容。
(五)举办网络安全宣传讲座。
邀请网络安全方面的专家为师生举办专题讲座。在三个校区分别进行。
(六)制作网络安全宣传展板,宣传海报等。
(七)开展网络安全知识咨询。
(八)悬挂网络安全宣传横幅。
衡量一个学校信息化水平高低的重要标志之一就是是否有一支掌握现代教育技术的师资队伍。努力建设一支掌握现代教育技术的师资队伍是学校信息化建设的重中之重。为适应信息社会对学校教育管理工作的新要求,加强对学校网站、网络的管理,提升教师教育信息技术能力,为各项教学竞赛活动提供技术支持与保障,经学校研究决定,成立网络安全和信息化指导小组。为保证相关工作的’开展正常、有序、高效,特制定本方案。
一、领导小组
组长副组长
成员:学校其他行政成员
二、技术团队
1.网络安全与保障小组:
2.信息技术支持组:
三、工作职责
1.网络安全与保障组:负责管理学校网站、QQ群,保障各教学楼、综合楼办公室、电脑教室、录播教室网络的正常顺畅运行。
2.信息技术支持组:保障学校监控系统、广播系统的正常运行;对学校新、旧多媒体教室和广播室的正常运行,以及学校大型活动提供技术和设备支持;对参加远程培训的教师提供相关技术支持。
3.网络安全与保障组和信息技术支持组所有成员,共同负责对学校教师进行信息技术能力提升培训,带头参与信息技术能力展示或竞赛,为学校教师参与各级各类教学研讨、展示、竞赛活动提供技术支持,制作授课课件或背景视频、音频、图片等。
4.技术团队组长应定期或不定期对本组成员进行业务培训、组织团队成员进行技术交流,促进团队成员技术水平的提高。
四、工作方式
1.技术团队成员利用课余时间为学校老师提供技术支持。特殊情况需要调课或占用上课时间的,须报教务处批准。
2.每次活动所需技术支持,原则上由参加活动的教师本人按本年级(六年级除外)→本教研组(六年级除外)→信息技术支持组其他成员(六年级除外)→网络安全与保障组其他成员及六年级团队成员的顺序主动申请;也可按照双方自愿原则提供技术支持。
3.大型集中活动或其它特殊情况需由学校指派专人提供技术支持的,按学校指定的人员和方式提供技术支持。
五、奖罚措施
1.技术团队成员为学校教师根据学校安排参与的各级各类教学研讨和竞赛活动提供技术支持和保障,学校按如下标准给予奖励:参赛教师获国家级二等奖及以上,奖励课件、视频制作人100元/次(多人合作则分享奖金,下同);市级一(特)等奖、省级二等奖及以上,奖励80元/次;县级一(特)等奖及以上,奖励60元;校级一(特)等奖及以上,奖励40元/次;校级二等奖及以下或未获奖、未评奖的,每次奖励(补助)30元。
2.国家、省、市组织的大型集中活动(如“一师一优课一课一名师”活动),不论获奖等次或是否获奖,均按60元/次给予课件、视频制作者奖励,并在年度教师考评中予以0.1分/次的奖励加分(如果制作者有多人,只给主要制作者加分)。
参与学校网站、网络、QQ群等的管理,对多媒体设备进行维护,对教师进行相关业务培训等的加班补助,按学校其他相关规定或方案执行。
3.团队成员全期未履行职责,或无正当理由拒绝为学校教育教学活动提供技术支持,造成严重后果或恶劣影响的,按学校有关规定处理。
4.非技术团队成员教师参加学校安排的教学展示、竞赛活动,自行制作课件等多媒体教学素材的,参照本项第2条给予奖励。
六、其他说明
1.本方案中的奖励措施与学校原有规定重复的,以本方案的规定为准。
2.团队成员制作的课件、视频等多媒体软件,版权归原制作者所有。学校教科室有权在保留原制作者个人信息的前提下对团队成员制作的课件、视频进行保存、修改和合理利用;学校其他处室和个人如需使用必须事先征得原制作者同意。
3.非原创作品,不予奖励。
为了进一步提升全系统网络信息安全工作水平,加强网络安全教育宣传,营造安全健康文明和谐的网络环境。按照省市有关工作安排,现就开展第五届国家网络安全宣传周活动制定如下方案。
一、活动时间
20xx年9月17至9月23日
二、活动主题
网络安全为人民网络安全靠人民
三、活动形式
(一)悬挂网络安全宣传横幅。活动期间,利用LED大屏、横幅、板报等载体刊载网络安全宣传标语,营造良好的活动氛围。
(二)认真学习网络安全知识。坚持问题导向,认真学习网络安全法律法规和技术,深入学习市教育局《关于进一步加强全系统网络与信息安全工作的通知》和《加强新媒体管理的实施意见(试行)》。集中开展一次网络安全知识学习,对路由器、U盘、电子邮箱等网络和存储设备使用的.基本技能、网络应急基础知识涉密信息的存储传输程序等进行培训,提高普及率。各科室、局直各单位和招生、学籍、财务等涉及关键基础信息的领域要进一步加强对涉及网络信息安全工作人员的培训,提高网络安全意识和防范应急能力。
(三)开展网络安全知识专题宣传活动。各园校要以信息技术课堂、板报、专栏为载体,大力宣传网络安全知识;要动员教师和家长利用微信、微博等平台学习宣传相关网络安全知识;要结合实际自制宣传资料、通过宣传活动进社区等方式扩大活动的覆盖面和影响力。
(四)召开网络安全知识主题班会。要利用9月18日“校园日”活动契机,结合学生认知特点,以班级为单位召开主题班会,通过分享故事、体会和交流发言、观看视频等形式,重点做好网络安全、防范电信诈骗、合理使用手机上网等方面基础知识的普及,提高学生网络安全意识,增强识别和应对网络危险的能力。
(五)开展网络安全科普教育活动。要开展“小手拉大手、网络安全同参与”家校互动活动。9月22日,本届“青少年日”活动当天,要引导广大家长和学生一起学习网络安全科普知识,通过家长的微信和微博推送一条网络安全信息。
(六)开展成果检验活动。各园校要结合实际,开展一次以网络安全知识为主要内容的小知识竞赛、手抄报展示、主题演讲等活动,提升宣传教育的效果。
四、活动要求
(一)加强组织领导。各园校、各单位要加强对此次活动的组织领导,主要负责同志(网络和信息安全工作领导小组组长)要充分认识加强师生网络安全教育的重要性,有始有终安排落实好此项活动。
(二)创新活动载体。要结合学生认知特点和教师培训实际,创新思路开展工作,积极创设适合师生的学习宣传环境和活动载体,提高活动的参与度和效果。
(三)做好宣传总结。活动期间要及时报送信息,以大家喜闻乐见的形式开展宣传。同时,认真做好总结,9月24日前将总结报送市教育局综合宣传科(局直单位、市属学校直接报送,各园校由教育组统一报送)。
【目标与内容】
在日常教学中,注重对学生信息安全意识和行为的培养,从而帮助学生判断网络安环境的安全性,帮助学生理解信息安全的重要性,提升信息安全意识,有效的保护个人隐数据隐私,养成电脑杀毒、防毒和信息备份的习惯。识别和抵制不良信息,了解赌博、暴力、色情等网络产品对人的危害,提高对网络违规违法行为的鉴别能力,正确认识和对待网络游戏,恰当处理虚拟时空和现实世界关系。
【对象】
全体在校学生。
【活动形式】
教师可以通过日常教学、主题班会、板报、广播、校园网站。案例教学、演讲比赛等多种形式形式开展专题教育。如果学生已经具备了一些信息安全保护的知识,教师除了教授信息安全知识和技能外,也可以让学生在讨论过程中达成共识和理解。例如,学生可以分小组讨论,并用表格、概念图等方式列出使用互联网时应该注意的安全问题以及保护措施等。此外,学生信息安全意识的培养是融入日常教学的,渗透在教师的日常言行与常规教学之中的。因此,教师应注意在教育教学中潜移默化的培养学生的信息安全意识。
结合学校实际。采用多种形式进行信息网络安全宣传,普及基本的`信息安全意识,进一步增强师生信息安全防范意识,提升识别和应对网络危险的基本能力。主要活动如下:
开展一次国旗下信息安全意识讲话,利用周一升国旗,举行一次关于信息安全意识的国旗下讲话,教育学生科学使用网络,文明上网,维护网络纯净天空。
开展一次手抄报评选,以年级为单位,开展以信息安全,关乎你我为主题的手抄报。比赛并以年级为单位开展评比活动。
开展一次网络安全主题班会。在网络安全宣传周期间,班主任要结合网络安全宣传周学生知识读本,开展一次信息安全意识主题班会,进一步普及网络安全常识和法律法规知识,提升学生网络安全防范。
多渠道宣传信息安全意识,制作电子版网络安全宣传单,滚动宣传,扩大宣传教育的覆盖面,悬挂网络安全横幅及摆放宣传板,在学校网站和家长微信群增加网络安全宣传知识,宣传网络安全法律法规,政策文件,学校网络安全活动方案等,校园广播,广播站广播有关网络安全的常识,提高师生网络安全意识。
一、前言
随着计算机技术、网络技术、通信技术的快速发展,基于网络的应用已无孔不入地渗透到了社会的每一个角落,信息网络技术是一把双刃剑,它在促进国民经济建设、丰富人民物质文化生活的同时,也对传统的国家安全体系、政府安全体系、企业安全体系提出了严峻的挑战,使得国家的机密、政府敏感信息、企业商业机密、企业生产运行等面临巨大的安全威胁。
政府各部门信息化基础设施相对完善,信息化建设总体上处于较高水平。由于政务网系统网络安全性与稳定性的特殊要求,建立电子政务网安全整体防护体系,制定恰当的安全策略,加强安全管理,提高电子政务网的安全保障能力,是当前迫在眉睫的大事。
本文以一个厅局级单位的网络为例,分析其面临的威胁,指出了部署安全防护的总体策略,探讨了安全防护的技术措施。
二、网络安全威胁分析
政府各部门的信息网络一般分为:涉密网、非涉密内网、外网,按照国家保密局要求,涉密网与外网物理断开。大部分单位建设有非涉密内网和外网。以某局级单位的内网为例,分析其潜在安全威胁如下:
局级政务网上与市政务网相联,下与区属局级单位相联;在本局大楼内,联接各处室、网络中心、业务窗口、行政服务中心等部门;对外还直接或间接地联到Internet。由于网络结构比较复杂,连接的部门多,使用人员多,并且存在各种异构设备、多种应用系统,因此政务网络上存在的潜在安全威胁非常之大。
如果从威胁来源渠道的角度来看,有来自Internet的安全威胁、来自内部的安全威胁,有有意的人为安全威胁、有无意的人为安全威胁。
如果从安全威胁种类的角度来看,有黑客攻击、病毒侵害、木马、恶意代码、拒绝服务、后门、信息外泄、信息丢失、信息篡改、资源占用等。
三、总体策略
信息系统安全体系覆盖通信平台、网络平台、系统平台、应用平台,覆盖网络的各个层面,覆盖各项安全功能,是一个多维度全方位的安全结构模型。安全体系的建立,应从设施、技术到管理整个经营运作体系进行通盘考虑,因此必须以系统工程的方法进行设计。
从目前安全技术的总体发展水平与诸种因素情况来看,绝对安全是不可能的,需要在系统的可用性和性能、投资以及安全保障程度之间形成一定的平衡,通过相应安全措施的实施把风险降低到可接受的程度。
厅局级单位的网络安全体系设计本着:适度集中,分散风险,突出重点,分级保护的总体策略。
根据中办发[2003]27号文件精神,政府部门安全防护的总体策略是:
1、实行信息安全等级保护:根据系统中业务的重要性进行分区,所有系统都必须置于相应的安全区内;对重点区域进行重点防护;采用不同强度的安全隔离设备使各安全区中的业务系统得到有效保护,关键是将网络中心与广域网系统等实行有效安全隔离,隔离强度应接近或达到物理隔离;
2、建设和完善信息安全监控体系;
3、建立信息安全应急响应机制;
4、加快信息安全人才培养,增强公务人员信息安全意识;
5、加强对信息安全保障工作的领导,建立健全信息安全管理责任制。
一、活动宗旨
提高同学们的网络安全意识,在加强学习的同时,营造一种浓厚的学习氛围。较好地发挥学生的特长,丰富学生的课余生活和提高同学们学习计算机网络的热忱。
二、活动组织
1.活动总负责:xxxx
2.活动策划:xxxx
3.活动时间:3月25日下午7点
4.活动地点:综合楼308
5.活动对象:信息工程系08级全体学生
三、活动内容
1.网络计算机的使用技巧
2.预防网络诈骗
3.网络道德
4.网络与法律
四、注意事项
1.每个班级每个同学在本班负责人的组织下不得迟到,须在讲座前10分钟入指定点,迟到5分钟则不得入内。
2.讲座过程中不允许大声喧哗,走动,交头接耳,听歌,玩手机。
3.学生到场后,依次入座,由本协会成员维持会场纪律。
4.讲座结束后,由本协会会员安排下依次退场,每部就本次的讲座各写一份。
为规范和加强我校信息系统安全工作,提高信息安全保障能力,保证信息系统的正常运行和业务信息内容安全,根据《安徽省计算机信息系统安全保护办法》的要求,结合我校实际情况,特制定本方案。
一、工作目标
针对当前信息安全工作面临的严峻形势,通过全面自查,进行信息系统安全风险评估,及时掌握我校信息系统安全状况和面临的威胁,查找和整改网络信息安全管理工作中存在的风险和漏洞,落实和完善各项安全措施,建立健全信息安全保障机制,有效控制网络安全风险,提高应急处置能力,确保网络信息系统持续、安全、稳定运行。
二、组织机构
为确保信息安全管理工作的落实,成立信息安全工作领导小组。信息安全工作领导小组人员组成
组长:
副组长:
成员:
领导小组在网络中心下设办公室,方习国兼任办公室主任。办公室为领导小组的常设办事机构,负责领导小组日常管理工作。
三、主要内容
重点完善网络和信息系统相关的硬件、软件、服务、信息和人员的配备;对信息系统存在的管理和技术薄弱环节进行查找、分析归纳,主要包括以下方面:
(一)计算机安全保密要求
1、计算机固定使用人员,不得私自转借他人使用,个人登录名及密码不得泄露。
2、外聘人员因工作需要使用计算机上网的,应当按照规定进行审批,报上级备案,并签订计算机网络及信息安全保密协议。
3、入网的计算机不得安装各类信息发布软件、不得开设BBS、聊天室、游戏、非工作视频下载点播等与工作无关的栏目。
4、计算机连接公共互联网络,严禁处理、存储、传递和转载涉及社会稳定方面的文件和信息。
(二)信息发布保密审批管理要求
1、在校网络上发布的信息,首先由院办对拟发布的信息进行严格审查方能进行发布。
2、各部门上网发布信息应指定专人负责,账号,密码应保密。
3、凡上网发布信息,必须经单位主管领导或分管领导审查批准。
4、各处室提供的上校信息网络发布的信息应确保不涉及国家机密。
5、信息发布部门应对已发布的信息进行不定期保密检查,发现涉密信息的,立即采取补救措施,查清泄密渠道和责任人,及时向所在单位领导和市政府保密工作部门报告。
6、使用电子邮件在公共信息网络上交流,应当自觉遵守保密规定,不得传递任何涉密信息。
7、在互联网上使用聊天工具应自觉遵守保密规定,不得谈论和传递任何涉密信息。
8、单位内部工作秘密、内部资料等。未经单位主管领导或分管领导批准,一律不得擅自发布。
9、禁止在校信息网络上发布信息的基本范围:一是未经有关部门批准的涉及国家安全、社会政治和经济稳定等敏感信息;二是未经制文单位批准的工作秘密或标注有“内部文件(资料)”和注意保存(保管、保密)等警示字样的信息;三是认定为不宜公开的内部办公事项。
(三)信息系统安全管理的一般管理要求
1、网络机房由专人管理,严禁无关人员随意进入,如需外聘单位技术人员进入维修,则按照要求登记方可进入。
2、办工场所使用的各类计算机应由专人进行管理,做到专机专用,按要求设置登录账号和口令,固定IP地址,定期对系统漏洞进行修复。
3、不得将手机、无限网卡及其他能够上网的设备连接在内网计算机上进行数据存取操作,防止发生“一机两用”的违规行为。
4、各类信息系统及数据库应当关闭不必要的账号,系统口令强度必须满足复杂性要求。
5、任何个人不得在办公计算机上安装网络监听软件,网络分析工具,不得使用和登录未经授权访问的计算机和业务系统,更不得在网络上搜集任何资料提供给第三人。
6、未经许可,其他公司技术人员不得随意检查和调试网络设备,需要检查时必须明确一名技术负责人全程监督,确保不发生“一机两用”行为。
四、工作要求
(一)高度重视,精心组织。对于网络信息安全,各处室要高度重视,加强领导,周密部署,切实保证工作方案落实到位。要充分调动和发挥信息网络保密人员作用,切实按照要求抓好落实,确保网络运行环境的安全、稳定。
(二)加强管理,落实保密防范措施。各处室要切实加强对信息网络安全保密知识的学习,以处室为单位,定期开展全员保密教育,要求大家严格遵守有关信息网络安全的保密制度和规定,自觉履行保密义务,强化保密安全意识,规范操作,杜绝失泄密事件发生。
(三)有针对性地开展自查整改工作,切实消除安全隐患。各处室要对照方案规定的安全内容和标准,认真排查管理中的漏洞,制定和完善管理措施,切实做好保密安全工作,特别是对涉及到社会稳定的保密信息一定要采取细之又细、实之又实、严之又严的措施,确保信息安全。
(四)严格纪律,严肃查处泄密事件。各处室要严格各项保密纪律,落实保密规章制度,坚决防止失泄密事件发生。对违反规定的.,要严格依法给予处分;构成犯罪的,要依法追究刑事责任。一旦发现失泄密事件,要迅速采取补救措施,减少失泄密造成的各种危害和损失。并在8小时内将失泄密情况报告市政府保密部门。如发生迟报或瞒报现象的,将追究部门领导和个人责任。
为全面贯彻落实山东省教育厅关于网络安全检查实施方案,为保障校园网络设施、系统和信息安全,提高重要信息系统安全保护水平,切实做好我校网络信息安全保障工作,特制定本方案。
一、工作目标
按照《枣庄学院网络信息安全管理办法》,常态化开展网络信息安全检查。坚持问题导向、突出重点、完善机制、狠抓落实的原则,全面排查网络信息安全隐患,及时发现和防范网络信息安全风险,以查促建、以查促管、以查促改、以查促防,落实网络信息安全的主体责任。兼顾近期与长远、综合治理与源头治理相结合,切实增强信息系统防护能力,有效防范和抵御安全风险隐患,提高网络信息安全监测和应急处置管理水平,避免损害师生利益的事件发生,着力保障学校信息系统运行安全和数据安全。
二、组织领导
学校网络安全和信息化领导小组负责统筹部署网络信息安全检查治理行动。网络中心牵头负责方案的实施及进展情况上报工作。各单位应充分认识此项工作的重要性,提高思想认识,夯实工作责任,加强协调配合,确保各项工作落到实处。
三、工作内容
(一)检查网络及设备运行情况
重点检查设备是否运行正常,设备上的各连接是否牢固;设备系统账号、密码管理情况;设备系统补丁修补情况;安全防护软件是否安装等;检查网络设备运行线路状况,检查网络设备的环境情况,杜绝影响网络的不利因素。
(1)学校公共服务器、校园网络设备、线路由网络中心负责。
(2)承载各业务系统的服务器、教学办公用PC机、教学机房网络设备、线路由各所属单位负责。
(二)加强网络媒体信息管理
对本单位主办或运行的各类网络媒体或平台(包含网站、微信公众号、微信群、QQ群、微博、APP等)进行检查,重点检查是否明确了分管领导并落实具体负责人,是否严格执行“先审核、再发布”的信息审核制度,是否存有违规采集或转载行为,是否在媒体或平台的信息管理后台存储了具有风险的内容等,杜绝违法违规言论、冒用学校机构名称、管理责任落实不到位、业务数据外流、涉密信息上网、师生隐私(如姓名、身份证号码、地址、电话号码、银行账号、密码类等)泄露等现象。如有发布的信息中存在法律和行政法规禁止发布或传输的信息、涉及个人隐私和单位秘密的信息,应釆取删除或更正等措施立即整改。
(三)强化重要系统数据保护
信息系统建设单位应制定相应的管理规章制度,以规范用户和维护者的操作行为。应定期对关键设备(如服务器、安全设备、网络设备等)进行安全审计,发现问题,及时处理。关键岗位的计算机使用和管理人员应签订信息安全与保密协议,明确信息安全与保密要求和责任。未经学校批准,任何单位和个人不得擅自对他人或校外单位提供信息系统数据。
(四)堵塞安全漏洞,增强防护能力
深入分析可能存在的安全风险点,完善安全措施,迅速消除隐患。各单位应缩减互联网出入口和无线接入点,关闭或删除不必要的应用、服务、端口和链接,对必须开放的远程维护服务和端口,采用白名单、按需审批开放等方式实施严格访问控制。
认真检查本单位各类信息系统,是否存在系统漏洞、木马、后门、暗链、弱口令等信息安全隐患,加强对各类上网电脑、帐号密码、数据文件的规范管理。定期检查各信息系统的安全防护措施,重点检查账号、密码、运行、数据备份等,清理无关账户,杜绝空口令、弱口令和默认口令,加强对暴力破解的防范,发现存在安全隐患应及时修复。
(五)健全网络安全事件应急响应机制
各单位制定本单位网络信息安全应急预案,建立安全事件分级响应、跨部门协同处置的工作机制,加强应急处置队伍建设,关键时间节点落实24小时值守,不断提高应急处置水平。
(六)加强网络信息安全的宣传与教育
各单位负责人应熟悉国家不断完善的网络法规和学校的相关规章制度,了解网络安全实时动态,面向师生,通过单位会议、新生入学教育、形势政策课、讲座、报告会等方式开展经常性的网络安全宣传教育,组织国家网络安全宣传周活动,教育和督促师生文明上网和守法上网,不断提高网络安全意识和信息素养。
四、工作要求
请各单位高度重视网络信息安全工作,切实加强组织领导,常态化认真组织此项工作的开展,依法依规规范网络秩序,不断提高预知、预警、预防、应急反应和处置水平,努力为全校师生提供一个优良绿色安全的网络工作环境。
为切实加强和规范我校网络信息安全管理,提高我校网络和信息系统的信息安全保护水平,根据《中华人民共和国网络安全法》、《网络安全等级保护条例》等有关文件的工作要求,在校内组织开展信息系统清查及安全等级保护定级工作(以下简称“定级工作”),制定本实施方案。
一、工作任务及原则
工作任务:校属各部门、网络职院按照国家规定的标准,对本单位建设、主管及使用的所有重要信息系统进行清查及安全定级,并根据定级结果采取相应的保护措施,以确保信息系统的安全运行。
工作原则:根据《网络安全等级保护条例》和《湖南省教育信息系统安全等级保护工作实施方案》,信息系统采取自主定级、自主保护的原则,即“谁主管谁负责,谁运营谁负责,谁使用谁负责”。各单位要自行对所属信息系统进行安全定级。
二、定级范围
我校信息系统的定级范围包括:
(一)学校公共层面的网站、网页,新闻信息发布系统,会议系统,视频教学系统,公共服务及学习系统以及管理、办公、服务等领域的应用信息系统。
(二)各分校及部门等单位所属的网站、网页,虚拟实验系统,网络教学系统,用于管理、办公和服务的应用信息系统。
三、定级工作流程
(一)确定定级对象
各分校、部门和使用单位要组织开展对所属信息系统的全方面清查,全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况,根据《信息系统安全等级保护定级指南》(以下简称《定级指南》)的要求,确定安全保护的定级系统对象。每个定级对象只能有一个安全责任单位。
(二)确定安全保护等级(定级)
部门和使用单位要按照《定级指南》规定的标准,自主确定系统的安全保护等级,形成定级报告和《信息系统安全等级保护备案表》。跨部门运行的信息系统(如电大主页)可以由主管部门统一确定安全保护等级。各单位完成定级后,将本单位全部信息系统定级情况进行汇总,报送学校网络信息安全领导小组办公室。
(三)备案
根据规定,安全保护等级定为二级以上的信息系统,由学校统一报送公关机关备案,由公安机关出具备案证书。
(四)测评
根据规定,安全保护等级定为二级以上的信息系统,备案后由学校经公开招标确定第三方网络与信息系统等级保护测评公司开展测评并出具检测报告。
(五)整改与保护。
对于测评不通过的系统,相关单位要依据《检测报告》和有关技术标准提出具体整改意见并落实整改。对测评通过的系统,相关单位要按照《湖南开放大学网络信息安全管理办法》和信息系统运维相关规定,落实要网络与信息系统安全保护职责。
定为一级的信息系统由使用单位自行保护;定为二级以上,要按规定接受公安机关的监督和检查。
四、责任分工
(一)学校公共层面的网站、网页,包括学校门户网站、办公自动化系统、视频会议系统等公共应用系统由网络中心负责定级。
(二)各单位所属的网站、网页,用于管理、办公和服务的重要应用信息系统由使用和主管单位负责自行定级。
(三)我校仅是终端使用单位,而非其所有权单位的信息系统(如高考招生系统)不作为定级对象。
五、有关说明
(一)信息系统定级保护工作是一项严肃的政治任务,对加强和规范我校网络信息安全管理将起到重要的推动作用。全校各有关单位积极响应配合,单位主要领导牵头,安排专人负责,尽快按要求完成本单位信息系统的安全定级,并进行保护;对不符合保护要求的,要按规定进行必要的整改。
(二)技术中心是我校此项工作的总体协调单位,负责提供有关定级的相关材料,对定级方法进行必要的培训和解释,并将各单位定级情况汇总后报送公安机关办理备案手续。
(三)若有涉及国家秘密信息系统,其定级须按照国家保密局的有关规定和标准执行办理备案手续。
摘要:
信息网络越来越多的受到各方面的威胁,各种攻击手法层出不穷,外部攻击、内部资源滥用、木马和病毒等,使网络随时都处在危险之中。本文在此基础上,指出校园网信息安全存在的风险,探讨提高校园网信息安全水平的对策。
关键词:
校园网络;信息安全;对策
随着我国高校信息化建设的逐步深入,学校教学科研管理工作对信息系统的依赖程度越来越高;教育信息化建设中大量的数据资源,成为学校成熟的业务展示和应用平台,信息化安全是业务应用发展需要关注的核心和重点在未来的教育信息化规划中占有非常重要的地位。
但随着网络应用的不断发展,高校业务应用和网络系统日益复杂,信息网络受到越来越多的各方面威胁,各种攻击手法层出不穷,外部攻击、内部资源滥用、木马和病毒等不安全因素越来越显著。
1校园网信息安全风险分析
1.1网络层风险分析
网络层风险主要是指来自互联网的各种攻击、探测、网络病毒威胁。例如端口探测扫描、DDOS攻击等。
1.2系统层风险分析
系统层包括各类服务器、办公电脑、移动终端等操作系统层面的安全风险。系统层面临的安全风险主要来自两个方面,一方面来自系统本身存在的漏洞,另一方面来自对管理员对系统的配置和管理。
1.3数据风险分析
数据库系统平台是应用系统的核心,数据是学校应用系统的基石。学校系统的网络与互联网教育网互通,数据风险主要包括:数据存储风险,保存在数据库及文件服务器中的数据可能受到泄漏攻击;数据通信风险,处于通信状态的数据,由于在网络中传输,存在信息泄漏或窃取的风险。
远程管理可通过明文传输协议TELNET,FTP,SMTP,POP3,这样任何一个人都可以在内部窃听数据,通过简单的软件还原数据包,从而获得机密资料以及管理员口令,威胁所有服务器安全。
1.4应用风险分析
大多数学校的主要应用系统为门户网站与校园应用系统。
针对这一Web系统面临的风险主要有:网页篡改、利用漏洞对服务器内应用系统攻击、非法侵入、弱认证方式等。
1.5安全管理风险分析
目前大多数学校安全管理人员较少、管理较为分散。
基于上述现状,一旦整个信息网爆发病毒或被黑客攻击,则安全管理员将无法从众多的安全设备中快速定位故障,不能及时处理,可能将导致多个重要业务系统瘫痪,严重影响相关的教学和生活。
安全管理问题具体表现为:未实现以业务系统为核心的安全管理自动化处理流程;对业务系统风险未进行统一和实时管理;缺乏完整的安全管理方案,安全管理人员少,工作量大;缺少安全监控能力,无法探测和掌握来自外部或者内部的针对主机、Web系统、数据库等的可疑行为。
2校园网信息安全需求与对策
2.1网络层安全
在安全模型中,网络层中进行的各类传输活动的安全都应得到关注。网络层主要考虑如下方面的内容:网络结构与网段划分、网络访问控制、安全审计、边界完整性检查、网络入侵防范、恶意代码防范、网络设备防护。
信息系统网络层加强安全的对策:
(1)部署下一代防火墙,优化配置控制策略实现外部网络与内部网络的安全隔离。
(2)部署入侵防御系统全面监测网络和系统资源,及时发现并实施有效的阻断网络内部违规操作和黑客攻击行为。
(3)部署堡垒机系统对管理员日常维护进行权限管理和日志审计。
(4)部署网络防毒设备,用以发现网络中的各种恶意程序,同时弥补单机杀毒产品病毒库的不足。
2.2系统层安全
系统层主要考虑如下方面的内容:系统保护、用户管理、访问控制、密码管理、安全审计、入侵防范、系统日志、资源控制。
信息系统系统层加强安全的对策:
(1)办公设备和服务器补丁需要及时更新,应配置漏洞扫描系统及时进行漏洞检查。
(2)缺乏主机系统层面的审计手段,但可以使用网络层面部署的堡垒主机进行操作审计。
(3)无法对网络中所有设备的安全策略配置做到统一标准,如果采取人工配置,不仅对人员能力要求高,而且费时费力,效率很低,应采用漏洞扫描系统的安全配置核查功能来进行检查。
(4)对终端和服务器支持安装防病毒软件的,需要安装防病毒软件系统,应部署网络防病毒软件系统,且与防毒墙使用的’是不同的病毒库。
2.3应用层安全
应用层是对于现有业务系统应通过技术、管理、培训等多种手段对应用系统代码、安全功能、数据、开发、外包、测试、部署等方面所涉及的安全问题进行预防性和发现性安全防护。
主要的方法有:功能验证、性能测试、渗透性测试、编码安全培训、制度流程约束等。
其中有关制度流程约束的部分可参考管理和运维体系中的相关制度和流程。
信息系统应用层加强安全的对策:
(1)在应用开发之初进行相关审计模块的开发。
(2)部署WEB应用防火墙系统来进行安全防护,加强SQL注入、XSS攻击、端口扫描和应用层DDoS等攻击手段的防范措施。
2.4数据层安全
数据层主要考虑如下方面的内容:数据可用性、完整性和保密性,确保数据不会修改、丢失和泄漏。
信息系统数据层加强安全的对策:
(1)对数据库的操作行为进行审计,可以使用部署的数据库安全审计系统来实现。
(2)对数据库的操作用户进行身份鉴别和限制,可以使用堡垒主机来实现。
(3)数据的备份和恢复措施需加强,应建设本地存储和本地容灾备份系统。
2.5管理层安全
除了采用技术手段控制信息安全威胁外,安全管理措施也是必不可少的,所谓“三分技术,七分管理”就是这个道理。
健全的信息安全管理体系是各种技术防护措施得以有效实施、网络系统安全运行的保证,技术防护措施和安全管理措施可以相互补充,共同构建全面、有效的信息安全保障体系。
管理层主要考虑如下方面的内容:安全组织结构、安全管理制度、系统建设管理、系统运维管理、人员安全管理、人员安全培训。
校园网络信息安全保障体系建设需要考虑以上各个层面的安全需求,同时还需要参考国际国内成熟的信息安全体系进行实际建设,才能保障校园网络的安全稳定运行。
摘要:大数据征信使个人信息安全处于空前的威胁与挑战,本文简述了大数据征信的概念与发展,探讨其在个人信息安全的保护过程中存在的主要问题,并为完善大数据征信中个人信息保护提出对策与建议。
关键词:大数据征信;保护;个人信息
一、大数据征信的概念与发展
大数据征信是指对海量在线交易记录、社交网络数据等个人的信息进行收集整理,并运用大数据分析和刻画出信用主体的违约率和信用状况,进而控制金融信用风险。解决了传统征信因信息分散导致的采集成本高,效率低下等问题,与传统征信天然互补。由于大数据采集的覆盖面广、信息维度丰富,评估个人信息的信用风险全面而广泛,成为互联网金融和众多相关行业的基石。
二、大数据征信中个人信息安全保护现状及存在的问题
由于互联网征信企业极度依赖于大数据技术的收集与分析,一切信息皆信用,使得个人信息的安全性受到了空前挑战和威胁。近年来违法倒卖、泄露个人信息事件屡见不鲜,极大地影响了社会正常的经济秩序。由于个人信息在我国立法中仍处于薄弱环节,相关法规的制定存在较大的不足与滞后,商业化的大数据征信可能会成为侵害个人信息的工具,需用法律手段加以规制。
(一)立法保护滞后于现实需要
我国目前尚未出台专门的个人信息保护法,尽管个人信息安全保护不断出现在各种法律法规、司法解释中,但相关法律法规的制定过于分散且层次效力不一,在实践中缺乏可操作性,无法满足当前对个人信息保护的高质量法规的需求。现行的《征信业管理条例》与大数据征信的`发展不适配,对于大数据征信中个人信息的采集、整理、保存、加工和公布等环节缺乏明确的界定,条例规范范围过于狭窄,对于涉及网络个人信息保护问题未作出合理规范。
(二)征信信息泄露严重监管缺乏
大数据征信涉及大量用户敏感信息,随着越来越多的数据被采集利用,用户面临着面临的信息安全风险变得更加严峻。与普通个人信息相比,征信信息由于价值和敏感性,泄露的危害更为严重。当前信息泄露已经形成产业链,数据黑市犯罪成本低利润高。再加上互联网征信公司内部管理制度不完善,存在业务操作和人员道德双重风险,近年来许多互联网公司人员存在监守自盗的风险,例如京东泄露了12G的用户数据造成其严重后果。20xx年的“526信息泄露案”,湖南银行行长非法出售个人信息257万余条,包括身份证号、征信记录、账户明细等众多敏感信息。而在国外全球第一大个人征信机构益博睿涉及2亿的身份信息泄露,涉案金额超过6500万美元。
(三)个人维权法律救济困难
随着未来信息开发和利用的日益成熟,个人信息尤其是信用信息具备相当的商业、社会和法律价值。大数据时代使个人信息的权利边界消失,给个人信用信息主体维护自己合法权益带来巨大的挑战。由于个人信息主体往往处于弱势地位,与征信信息管理机构存在着信息和技术不对称,让受侵害的个人信息举证维权之路难上加难。在个人信息受到非法收集泄露等侵害时,由于通过法律救济途径解决纠纷可能产生的成本和风险过高,只好选择放弃诉讼维权,使得本应该成为最终保障的司法救济渠道起不到应有的保护作用。
三、大数据征信中保护个人信息安全的对策与建议
(一)完善个人信息立法保护
针对大数据征信的特点,以征信业规制和网络个人信息保护的专门立法现有成果出发,通过立法出台统一的个人信息国家技术标准,给已有的普遍分散立法以操作的指引,制定最低标准网络个人信息保护法,明确规定个人隐私的信息、个人信息采集基本原则和使用目的,采集收集的负面清单制度,防止个人信息被滥用。通过构建完善的个人信息保护法律体系,为征信体系安全建设提供更有力的法律支撑。
(二)加强行政监督管理与行业自律
加强数据安全体系和信息监管体系建设,防范非法入侵造成信息泄露,对于信息泄露问题完善危机应急预案和补救措施。加强信息安全执法监管,严厉打击非法泄露、买卖信用数据的行为,加大对泄露个人信息企业的问责和处罚。对征信管理机构开展内部安全认证和行业自律机制建设,充分发挥征信行业协会其协调沟通征信机构与监管机构的作用,加强征信行业业务交流和制定技术标准,开展征信信息保护宣传提高民众意识。
(三)探索多元化个人信息保护救济方法
建立征信机构内部的纠纷处理机制,完善信息异议处理解决机制,缩短错误征信数据信息的更正时限,提高征信信息录入质量。完善个人对征信机构的投诉渠道,引入征信行业调解、仲裁和第三方纠纷非诉解决的法律机制。对于公民维护个人合法权益面临取证难、诉讼难等问题,完善互联网情景中个人信息侵权赔偿制度,并在个人信息保护中引入举证责任倒置和集体诉讼机制,优化个人信息司法保护程序,提供便捷高效的法律救济渠道。
随着网络与科学技术的不断发展与成熟,现代社会生活中每一位个体产生的数据量也在迅猛增长,数据的计量单位已经达到PB(1,024TB)级,我们已经迎来了大数据时代。大数据时代的人们运用智能手机、iPad等移动电子设备,可以随时随地在社交网络上发布地址定位信息、照片、日记等个人隐私信息。这些信息被网络数据服务商等机构不断地跟踪和记录,挖掘其潜在的巨大价值,寻求数据背后隐藏的巨大经济利益。如何保护好个人的信息一直是网络用户、专家学者乃至国家备受关注的问题。
1、大数据的内涵及其特征
1.1大数据的内涵
每一位个体在搜索引擎上的任何一次搜索形成的数据都会被记录下来,这些数据在不断积累、汇集的过程中,逐渐成了“大数据”。大数据的定义很多学者已经给出,但表述各不相同。综合来看,大数据就是数据量大、数据类型多的数据集合,同时传统的数据处理技术及IT技术无法对该数据集进行采集、获取、处理等操作。用户最能切身感受到的大数据表现为:相关企业根据个体在网络上的浏览痕迹,进行细致的用户需求分析,然后向用户提供定制和个性化的服务。
1.2大数据的特征
大数据通常是指数据的规模大于10TB以上的数据集,可以概括成“4V”:
①数据量大(Volume)。生活在网络时代里,数据的计量单位也在随着数据量的不断变化而变大。
②数据类型多(Variety)。常见的类型有结构化数据、非结构化的数据、半结构化数据。多类型的数据结构对数据的处理分析能力提出了更高的要求。
③价值稀疏性(Value)。大数据时代数据量非常大,但是有价值的数据比例又很小。
④速度快、时效高(Velocity)。信息技术的不断创新发展,促使数据的增长速度也急速提高,使各行各业对数据的时效性提出了更高的要求,对处理数据的响应速度也有更严格的要求。
2、大数据时代个人信息不安全的原因分析
2.1外在原因
2.1.1数据本身在传播中具有动态、交互、连续性。大数据时代信息和数据在传播的过程中是动态化、碎片化的,而有着这样特性的数据在网络中更加容易被捕捉和搜索,这就加大了个人信息被泄露的风险。大数据时代用户的数据具有紧密的交互性,拥有庞大数据量的计算机可以依据用户之间的数据的交互分析出两者之间的网络关系。所以,一旦某人信息泄露,就有可能因蛛丝马迹而泄露其好友的个人信息。
2.1.2相关企业过度寻求大数据背后的商业利益。互联网能够及时地追踪到个体的个人信息,其手段之一就是运用浏览器里的浏览记录和Cookies。如:在20xx年“3?15晚会”曝光有关企业对用户的Cookies信息进行无告知收集,通过对数据的分析处理,辨别每一个用户的社会阶层、职业、家庭收入等。更有被利益驱使的企业通过不正当的渠道变卖用户的个人信息,为自己赢取利润。
2.2内在原因
个人信息主体安全意识薄弱。根据《中国移动语音社交应用行业研究报告》,预测20xx年中国整体网民规模将达8.5亿人,中国移动网民将达7.5亿人,中国的网民数量呈现稳步的增长趋势[1]。网民数量在不断增加的同时,信息安全事件也频频发生。如:中国铁路12306网站个人用户信息的泄露等。虽然我国在信息安全保护技术方面存在一定的欠缺,但根本原因还是用户的个人隐私保护的意识薄弱。目前,在国内非常流行的社交网络当属微信朋友圈和新浪的微博。相关报告指出:微信用户平均每4分钟便会看一下手机微信,新浪的微博更是广大网民及时了解各类实时专题新闻并进行互动的渠道之一。根据《TIME》(时代周刊)20xx年8月发布的调查显示:“1/4的人每隔30分钟就看一下手机,1/5的人每隔10分钟就要看一下,1/3的人承认即使很短时间不用手机,他们也会感到焦虑。”这种过度依赖网络的行为,更有可能在不经意间泄露个人的信息。
3、大数据时代个人信息安全保护存在的问题
3.1缺乏完善的个人信息安全保护法
大数据时代,提到个人信息的保护,很多人会认为我国个人信息保护的法律是空缺的。实际情况并非如此,我国涉及个人信息保护的法律法规不在少数,如:《中华人民共和国电子签名法》《侵权责任法》[2]以及20xx年3月1日开始实施的个人信息安全国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》[3],然而其内容都是较为零散的,不具备一定的针对性和适用性,整体缺乏制约作用。同时,如何切实可行地保护个人的信息问题,现有的法律没有做出明确的规定,也没有进行细致的归纳和划分,不能从根本上保障个人的信息安全。
3.2外在攻击技术力度加强,应对技术相对薄弱
在技术层面上,一方面,传统的信息安全技术已经不能适用于大数据时代复杂多样的数据集;另一方面,侵权者攻击的力度也在不断地加强,传统的信息保护技术已经被依次破解,新的攻击形式层出不穷,而新的防卫技术研发投入不足。
3.3缺乏完善的管理机制
谈及信息安全,“三分靠技术,七分靠管理”,合理高效的管理是信息安全的一大保障。目前,国家层面缺乏完善的管理机制,企业层面缺少行业的`自律机制,个人而言则更加随意,难以形成统一高效的管理。网络上随处可见参差不齐的信息就是管理存在不足最直接的表现。现实生活中的每个人都会受到很多管理体制的制约,若违犯必将受到相应的惩罚,虚拟的网络世界更应该如此,但目前我国尚欠缺有力的监管体制保障其整体秩序。
4、大数据时代有效保护个人信息安全的建议
4.1完善立法
进一步加强个人信息安全的立法制度。在大数据时代,各行各业的数据处于不断交融、碰撞的动态变化之中,慢慢形成行业发展的新局面。首先,政府应该建立个人信息保护的专项法律。个人信息保护的专项法案是对其他已有相关法律法规的有力补充,既保障个人信息保护有法可依,也打击侵犯个人信息安全的行为。其次,法律法规要明确数据的采集界限以及数据的使用权。什么样的数据能够被获取利用?什么样的数据属于个人隐私应该予以保护?这都需要有明确的规定。数据采集过程中,一定要按照法律规定的获取范围采集所需数据,数据的使用权同样也是需要探讨的。
4.2技术创新预防外来攻击
在注重信息安全的理念中,虽然只提及三分靠技术,但是技术的提升却是保障信息安全最直接有效的方式。首先,在大数据时代,需要加强个人信息保护技术的研发创新,同时加大力度推动云计算、移动互联网的硬件技能的不断提升;其次,技术的不断创新依靠的是强大的技术团队、技术人才。从赛迪智库颁布的20xx版大数据白皮书得知,大数据的人才无论是中国还是美国等发达国家都是稀缺的,这就需要国家加大资金的投入,培养专业性的大数据技术人才,提高信息技术水平。
4.3加强各行各业的自律和监管
信息安全的七分靠管理,应该体现在各行各业、各组织机构,应该相对应地形成内部的标准和公约,明确各方的责任与义务,监督与管理其对数据的各项使用权利。同时,政府需要加强对个人信息服务行业的引导,如:对移动运营商应该加以鼓励合理地运用数据,为广大网民提供更加便捷且个性化的服务。在监管方面,需要引入第三方安全评估的认证机构,加强对行业数据处理的全部流程的监管。
4.4推行网络实名制
推行网络实名制是提高个体信息安全意识的方式之一。有些人认为推行网络实名制会压制网民言论自由,不能完全体现民主。但是从铁路运输的售票实名制的成功案例来看,互联网络实名制虽然可能会存在不足之处,但是必定是利大于弊。首先,实行网络实名制,某种程度上会让网络上的言论更加得体,从而营造健康的网络环境。如:网络冷暴力给网民带来的危害案例比比皆是,网络言论的过度自由给青少年群体带来的伤害也是显而易见。推行网络实名制可以在一定程度上限制不法分子的恶意中伤等。其次,实行网络实名制可以有效地保护用户的个人财产。当下,“微商”是非常红火的一个名词,但“微商”的可信度不高。假若这样的网络创业能够推行实名制,必然会提高网民对其的认可度。最后,推行实名制一定程度上能够降低网络犯罪的发生。
4.5加强信息安全教育
加强信息安全教育是一个漫长的且需要持之以恒的过程。社会各阶层群体都应该加强信息安全知识的学习。国家也应该针对不同的人群,提供相应的学习条件。如:对在校学生,可以开设信息安全相关的课程,鼓励学生进行选修学习;对工作人员,应该定期参加信息安全知识的培训。
特别声明
本站所提供的信息安全防护方案 计算机的信息安全防护方案(19篇)来源于网络,由本站小编在2024-09-29 21:22:46时收集整理,若侵害到您的利益,请联系我们删除处理,1234啦不承担任何责任。