資源描述:
《信息系統(tǒng)存在哪些安全隱患,應(yīng)采取什么措施避免��?》由會員上傳分享�����,免費在線閱讀�����,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫���。
1、《項目管理》作業(yè)35學(xué)號:1322105姓名:吳祥坤作業(yè)提交要求:成績單序號+姓名+原文件名35�����、在線找到一份企業(yè)信息系統(tǒng)安全管理規(guī)章制度�,從軟件、硬件����、人員、應(yīng)用等多方面歸納分析信息系統(tǒng)存在哪些安全隱患����,應(yīng)采取什么措施避免��?企業(yè)計算機信息系統(tǒng)安全管理規(guī)定1.總則為加強計算機信息系統(tǒng)安全保護工作�,保證企業(yè)信息化建設(shè)的順利發(fā)展�,根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法》�����、《福建省計算機信息系統(tǒng)安全管理辦法》等有關(guān)規(guī)定�����,結(jié)合企業(yè)實際�����,特制定本規(guī)定�����。本規(guī)定,規(guī)定了計算機系統(tǒng)安全、網(wǎng)絡(luò)及應(yīng)用系統(tǒng)安全�����、數(shù)
2�、據(jù)�����、資料和信息的安全�����、機房安全�、安全培訓(xùn)及安全評估等管理要求�。2.適用范圍本規(guī)定適用于XX公司/子公司計算機信息系統(tǒng)的安全管理。3.職責(zé)3.1信息中心負責(zé)本規(guī)定的制訂和修訂�����。3.2各子公司負責(zé)根據(jù)本規(guī)定制訂和完善本公司的管理辦法��。3.3IT部負責(zé)對本規(guī)定的執(zhí)行情況開展定期或不定期的監(jiān)督檢查和指導(dǎo)工作�����。4.管理規(guī)定4.1計算機系統(tǒng)安全管理4.1.1對新購進的計算機及其設(shè)備����,須由信息管理部門專業(yè)人員檢測后�,方可安裝運行����,防止由于質(zhì)量引起的問題和原始病毒的侵害。4.1.2各部室��、子公司等單位不得在計算機內(nèi)安裝����、使用任何未經(jīng)信息管理部門統(tǒng)一購置、開發(fā)的
3�、其它各類軟件(特別是游戲軟件),否則由此引起的后果(軟件版權(quán)糾紛�、病毒破壞等)由有關(guān)責(zé)任人員自負。4.1.3各部室�����、子公司等單位一旦發(fā)現(xiàn)新的計算機病毒����,現(xiàn)有殺病毒軟件又無法清除的,要及時與IT部門專業(yè)人員聯(lián)系�,以便正確處理,確保計算機系統(tǒng)的安全。4.1.4病毒防范工作具體按《計算機病毒防范管理辦法(試行)》的有關(guān)規(guī)定執(zhí)行����。4.2網(wǎng)絡(luò)及應(yīng)用系統(tǒng)安全管理4.2.1在網(wǎng)絡(luò)建設(shè)的設(shè)計中即應(yīng)充分考慮網(wǎng)絡(luò)安全措施,采用較成熟���、較先進�、性能較好的安全產(chǎn)品以加強網(wǎng)絡(luò)安全防范�����。4.2.2公司整個城域網(wǎng)只有唯一的Internet出口��,任何已接入公司城域網(wǎng)的部門不得
4��、私自通過其它方式或者其它出口接入互聯(lián)網(wǎng)����。4.2.3外網(wǎng)用戶訪問公司內(nèi)部資源需要通過VPN方式實現(xiàn)���。4.2.4公司內(nèi)部服務(wù)器與外界連接設(shè)備需有防火墻或代理服務(wù)器����、網(wǎng)關(guān)等防護措施,以防止外界的惡意攻擊�����。4.2.5服務(wù)器應(yīng)有專人管理����,嚴禁各崗位人員越權(quán)操作,對重要的計算機信息處理系統(tǒng)應(yīng)分級加設(shè)口令���,以防機密信息的泄露�。4.2.6人員調(diào)離時��,系統(tǒng)管理員應(yīng)按人力資源部門開具的離職單�,刪除其在相關(guān)信息系統(tǒng)中的用戶及權(quán)限。4.2.7提高警惕����,防止和打擊竊取、泄露�、私自修改計算機重要信息、破壞干擾計算機系統(tǒng)正常運行的違法犯罪行為�。4.3數(shù)據(jù)、資料和信息的安全管
5��、理4.3.1嚴格遵守保密制度,保證各種數(shù)據(jù)���、信息����、資料的準確���、安全可靠�。4.3.2各部室��、子公司等單位須有專人負責(zé)文字及磁盤介質(zhì)資料的安全管理工作�����。4.3.3技術(shù)資料應(yīng)集中統(tǒng)一保管�����,嚴格借閱制度��。4.3.4存放生產(chǎn)�����、財務(wù)�、銷售�����、服務(wù)等業(yè)務(wù)應(yīng)用系統(tǒng)及重要信息的介質(zhì)����,嚴禁外借,確因工作需要�����,須經(jīng)IT部領(lǐng)導(dǎo)批準��。4.3.6對需要長期保存的數(shù)據(jù)介質(zhì)��,應(yīng)定期進行轉(zhuǎn)儲,以防止數(shù)據(jù)失效造成損失��。4.3.7調(diào)離人員必須移交全部技術(shù)資料和有關(guān)文檔���。4.4機房安全管理機房是存放路由器���、交換機和服務(wù)器以及通信設(shè)備的關(guān)鍵場所,其消防和人員安全等應(yīng)嚴格執(zhí)行有關(guān)要求�����。5.
6�����、信息安全培訓(xùn)IT部負責(zé)根據(jù)信息安全現(xiàn)狀和需要�,每年制定詳細的安全培訓(xùn)計劃,并納入企業(yè)員工培訓(xùn)計劃組織實施����。6.信息安全風(fēng)險評估隨著信息技術(shù)的不斷發(fā)展���、重大信息系統(tǒng)環(huán)境的不斷改進和改變,每年至少要進行一次信息安全風(fēng)險評估�,對相關(guān)的制度進行重新審核,并更新不適當(dāng)?shù)膬?nèi)容�。本規(guī)定自公司之日起正式實施。(1)信息泄露:信息被泄露或透露給某個非授權(quán)的實體���。(2)破壞信息的完整性:數(shù)據(jù)被非授權(quán)地進行增刪��、修改或破壞而受到損失�。(3)拒絕服務(wù):對信息或其他資源的合法訪問被無條件地阻止����。(4)非法使用(非授權(quán)訪問):某一資源被某個非授權(quán)的人,或以非授權(quán)的方式使用
7�、。(5)竊聽:用各種可能的合法或非法的手段竊取系統(tǒng)中的信息資源和敏感信息�����。例如對通信線路中傳輸?shù)男盘柎罹€監(jiān)聽,或者利用通信設(shè)備在工作過程中產(chǎn)生的電磁泄露截取有用信息等����。(6)業(yè)務(wù)流分析:通過對系統(tǒng)進行長期監(jiān)聽�,利用統(tǒng)計分析方法對諸如通信頻度、通信的信息流向�、通信總量的變化等參數(shù)進行研究,從中發(fā)現(xiàn)有價值的信息和規(guī)律�。(7)假冒:通過欺騙通信系統(tǒng)(或用戶)達到非法用戶冒充成為合法用戶,或者特權(quán)小的用戶冒充成為特權(quán)大的用戶的目的�����。黑客大多是采用假冒攻擊����。(8)旁路控制:攻擊者利用系統(tǒng)的安全缺陷或安全性上的脆弱之處獲得非授權(quán)的權(quán)利或特權(quán)。例如�����,攻擊者通
8�����、過各種攻擊手段發(fā)現(xiàn)原本應(yīng)保密,但是卻又暴露出來的一些系統(tǒng)“特性”�,利用這些“特性”,攻擊者可以繞過防線守衛(wèi)者侵入系統(tǒng)的內(nèi)部���。(9)授權(quán)侵犯:被授權(quán)以某
