内外网安全等级保护建设项目.docxVIP

.信息安全概述什么是信息安全？ 信息是一家机构的资产，与其它资产一样，应受到保护。信息安全的作用是保 护信息不受大范围威胁所干扰，使机构业务能够畅顺，减少损失及提供最大的 投资回报和商机。 信息可以有多种存在方式，可以写在纸上、储存在电子文档里，也可以用邮递 或电子手段发送，可以在电影上放映或者说话中提到。无论信息以何种方式表 示、共享和存储，都应当适当地保护起来。 因此信息安全的特征是保留信息的如下特性： O保密性(confidentiality)：保证信息只让合法用户访问；。完整性(integrity)：保障信息及其处理方法的准确性(accuracy)完全性 (completeness)； O可用性(availability)：保证合法用户在需要时可以访问到信息及相关资产。 实现信息安全要有一套合适的控制(controls),如策略(policies)、惯例 (practices) 程序(procedures) 组织的机构(organizational structures) 和软件功能(software functions) □这些控制需要被建立以保证机构的安全目 标能够最终实现。 为什么需要信息安全信息及其支持进程、系统和网络是机构的重要资产。信息的保密性、完整性和 可用性对机构保持竞争能力、现金流、利润、守法及商业形象至关重要。 但机构及其信息系统和网络也越来越要面对来自四面八方的威胁,,如计算机辅 助的诈骗、间谍、破坏、火灾及水灾等。损失的来源如计算机病毒、计算机黑 客及拒绝服务攻击等手段变得更普遍、大胆和复杂。 机构对信息系统及服务的依赖意味着更容易受到攻击。公网和专网的互联以及 信息资源的共享增加了访问控制的难度。分布式计算的趋势已经削弱了集中管 理的效果。 很多信息系统没有设计得很安全。利用技术手段获得的安全是受限制的，因而 还应该得到相应管理和程序的支持。选择使用那些安全控制需要事前小心周密 计划和对细节的关注。信息安全管理至少需要机构全体员工的参与，同时也应 让供应商、客户或股东参与，如果有必要，可以向外界寻求专家的建议。 对信息安全的控制如果融合到需求分析和系统设计阶段，则效果会更好，成本 也更便宜。 安全理念绝对安全与可靠的信息系统并不存在。一个所谓的安全系统实际上应该是“使 入侵者花费不可接受的时间与金钱，并且承受很高的风险才能闯入”系统。安 全性的增加通常导致企业费用的增长，这些费用包括系统性能下降、系统复杂 性增加、系统可用性降低和操作与维护成本增加等等。安全是一个过程而不是 目的。弱点与威胁随时间变化。安全的努力依赖于许多因素，例如职员的调整、 合法用户的合作对推行有效的安全非常重要。 用户应知道自己有责任维护有效的访问控制，特别是如何使用口令及用户设备 的安全。 3. 1 口令的使用用户应遵守良好的选择及使用口令的安全惯例。 口令提供了一个核查用户身份的途径，从而可以建立信息处理或服务的访问权 限，建议所有用户应： O保密口令；。避免书写记录口令，除非保存妥当； 。每当怀疑系统被破坏或口令被公开时，应马上更改口令；O选一个至少有六个字的好口令： 容易记住；。不根据与个人有关的信息如名字、电话号码、出生日期等（容易被猜出）订 出口令； 。不是连续的同一个字，或全是数字或全字母；定期或按访问次数更改口令（特权账号的口令应比一般口令更改更频繁），避 免重复使用旧口令； 第一次登录后应马上更改临时性口令；不要在自动登录程序中把口令纳入，例如储存在宏或函数密钥中； 不要与别人共享口令。 如果用户需要使用好几个口令来访问多个服务或平台，建议他们应使用一个很 好的单一口令，为这好几个口令的存储提供合理水平的保护。 3. 3. 2无人看管的用户设备用户应检查无人看管的设备是否适当地保护起来了。安装在用户使用地方的设 备，例如工作站或文件服务器，如一段时间内无人看守时，更需要格外保护并 使之免于被非法访问。所有用户及合作伙伴应都知道保护无人看管设备的安全 要求及手续，以及有责任实施保护措施。建议用户应： 。除非有合适的锁定机制保护（例如有口令保护的屏幕保护（screensaver）, 否则应终止已完成的活动会话；。会话结束后应退出登录主机（即不仅仅是关闭PC或终端）； 。当PC或终端不用时，应保护它们不被非法使用，例如使用密钥锁或等同的 安全机制，如口令访问。 3. 4网络访问控制目的：互联服务的保护。 应控制内部及外部联网服务的访问，以确保可以访问网络或网络服务的用户不 会破坏这些网络服务的安全，保证： o在机构网及其它机构网或公用网之间要有合适的界面；o要有合适的认证机制认证用户及设备； 。控制用户访问信息服务。 3. 4.1网络服务的使用策略不安全地连接到网络服务会影响整个机构的安全，所以，只能让用