序言:寫作是分享個人見解和探索未知領域的橋梁,我們?yōu)槟x了8篇的網(wǎng)絡安全申請樣本��,期待這些樣本能夠為您提供豐富的參考和啟發(fā)���,請盡情閱讀。
第1篇
關鍵詞:網(wǎng)絡安全����;網(wǎng)絡攻擊;安全策略
1 引言
隨著Internet的發(fā)展��,高信息技術像一把雙刃劍�����,帶給我們無限益處的同時也帶給網(wǎng)絡更大的風險���。網(wǎng)絡安全已成為重中之重�,攻擊者無處不在����。因此網(wǎng)絡管理人員應該對攻擊手段有一個全面深刻的認識,制訂完善安全防護策略�����。
2 常見網(wǎng)絡攻擊的原理和手段
2.1 口令入侵
所謂口令入侵是指使用某些合法用戶的賬號和口令登錄到目的主機,然后再實施攻擊活動�。獲得用戶賬號的方法很多,如利用目標主機的Finger功能�、X.500服務、從電子郵件地址中收集����、查看習慣性賬號。獲取用戶的賬號后��,利用一些專門軟件強行破解用戶口令���。
2.2 放置特洛伊木馬程序 [1]
特洛伊木馬程序可以直接侵入用戶的電腦并進行破壞���,它常被偽裝成工具程序或者游戲等誘使用戶打開或下載,一旦用戶打開或者執(zhí)行了這些程序��,它們就會像古特洛伊人在敵人城外留下的藏滿士兵的木馬一樣留在自己的電腦中���,并在計算機系統(tǒng)中隱藏一個可以在windows啟動時悄悄執(zhí)行的程序����。當你連接到因特網(wǎng)上時����,這個程序就會通知攻擊者����,來報告你的IP地址以及預先設定的端口���。攻擊者在收到這些信息后,再利用預先潛伏的程序���,就可以任意地修改你的計算機的參數(shù)設定���、復制文件、窺視你整個硬盤中的內容等����,從而達到控制你的計算機的目的。
2.4 電子郵件攻擊
電子郵件是互聯(lián)網(wǎng)上運用得十分廣泛的一種通訊方式���。攻擊者使用一些郵件炸彈軟件或CGI程序向目的郵箱發(fā)送大量內容重復�、無用的垃圾郵件���,從而使目的郵箱被撐爆而無法使用����。攻擊者還可以佯裝系統(tǒng)管理員,給用戶發(fā)送郵件要求用戶修改口令或在貌似正常的附件中加載病毒或其他木馬程序��。
2.5 網(wǎng)絡監(jiān)聽 [2]
網(wǎng)絡監(jiān)聽是主機的一種工作模式�,在這種模式下,主機可以接收到本網(wǎng)段在同一條物理通道上傳輸?shù)乃行畔?���,而不管這些信息的發(fā)送方和接收方是誰。因為系統(tǒng)在進行密碼校驗時�����,用戶輸入的密碼需要從用戶端傳送到服務器端�����,而攻擊者就能在兩端之間進行數(shù)據(jù)監(jiān)聽����。此時若兩臺主機進行通信的信息沒有加密,只要使用某些網(wǎng)絡監(jiān)聽工具(如NetXRay for Windows95/98/NT�、Sniffit for Linux、Solaries等)就可輕而易舉地截取包括口令和賬號在內的信息資料��。
2.6 安全漏洞攻擊[2]
許多系統(tǒng)都有這樣那樣的安全漏洞(Bugs)。如緩沖區(qū)溢出攻擊��。由于很多系統(tǒng)在不檢查程序與緩沖之間變化的情況����,就任意接受任意長度的數(shù)據(jù)輸入,把溢出的數(shù)據(jù)放在堆棧里�����,系統(tǒng)還照常執(zhí)行命令�。這樣攻擊者只要發(fā)送超出緩沖區(qū)所能處理的長度的指令�,系統(tǒng)便進入不穩(wěn)定狀態(tài)。若攻擊者特別配置一串準備用作攻擊的字符�,他甚至可以訪問根目錄,從而擁有對整個網(wǎng)絡的絕對控制權��。
3 網(wǎng)絡攻擊應對策略
在對網(wǎng)絡攻擊進行上述分析與識別的基礎上�,認真制定有針對性的策略。明確安全對象���,設置強有力的安全保障體系���。同時還必須做到未雨綢繆��,預防為主�,將重要的數(shù)據(jù)備份并時刻注意系統(tǒng)運行狀況�����。
3.1 利用安全防范技術
正因為網(wǎng)絡安全問題��,復雜多樣��,所以出現(xiàn)了一些技術來幫助管理員來加強網(wǎng)絡安全��。其中主要分為�����,加密技術�����,身份認證技術���,防火墻技術等等����。管理員可以利用這些技術組合使用來保證網(wǎng)絡主機的安全。
3.1.1 加密技術
加密技術主要分為公開算法和私有算法兩種���,私有算法是運用起來是比較簡單和運算速度比較快的�����,但缺點是一旦被解密者追蹤到算法���,那么算法就徹底廢了。公開算法的算法是公開的��,有的是不可逆�,有用公鑰,私鑰的�。優(yōu)點是非常難破解���,可廣泛用于各種應用����。缺點是運算速度較慢����。使用時很不方便���。
3.1.2 身份認證技術
身份認證技術在電子商務應用中是極為重要的核心安全技術之一,主要在數(shù)字簽名是用公鑰私鑰的方式保證文件是由使用者發(fā)出的和保證數(shù)據(jù)的安全���。在網(wǎng)絡應用中有第三方認證技術Kerberos��,它可以使用戶使用的密碼在網(wǎng)絡傳送中�,每次均不一樣�����,可以有效的保證數(shù)據(jù)安全和方便用戶在網(wǎng)絡登入其它機器的過程中不需要重復輸入密碼����。
3.1.3 防火墻 [3]
防火墻技術是比較重要的一個橋梁,以用來過濾內部網(wǎng)絡和外部網(wǎng)絡環(huán)境����,在網(wǎng)絡安全方面,它的核心技術就是包過濾�����,高級防火墻還具有地址轉換,虛擬私網(wǎng)等功能���。
3.2 制訂安全策略
系統(tǒng)管理員應提高認識��,并分析做出解決辦法和提出具體防范方法�����。更應該在保證好機器設備正常運轉的同時���,積極研究各種安全問題,制訂安全策略���。雖然沒有絕對的把握阻止任何侵入��,但是一個好的安全策略可以最少的機會發(fā)生入侵情況��,即使發(fā)生了也可以最快的做出正確反應�����,最大程度減少經(jīng)濟損失。
3.2.1 提高安全意識
(1)不隨意打開來歷不明的電子郵件及文件����,不隨意運行不明程序�����。
(2)盡量避免從Internet下載不明軟件����。一旦下載軟件及時用最新的病毒和木馬查殺軟件進行掃描�。
(3)密碼設置盡可能使用字母數(shù)字混排,不容易窮舉�。重要密碼最好經(jīng)常更換。
(4)及時下載安裝系統(tǒng)補丁程序���。
3.2.2 使用防毒���、防黑等防火墻
防火墻是用以阻止網(wǎng)絡中的黑客訪問某個機構網(wǎng)絡的屏障,也可稱之為控制進/出兩個方向通信的門檻�。在網(wǎng)絡邊界上通過建立起來的相應網(wǎng)絡通信監(jiān)控系統(tǒng)來隔離內部和外部網(wǎng)絡,以阻檔外部網(wǎng)絡的侵入���。
3.2.3 設置服務器���,隱藏自己的IP地址。
事實上,即便你的機器上被安裝了木馬程序��,若沒有你的IP地址�,攻擊者也是沒有辦法的,而保護IP地址的最好方法就是設置服務器�����。服務器能起到外部網(wǎng)絡申請訪問內部網(wǎng)絡的中間轉接作用��。當外部網(wǎng)絡向內部網(wǎng)絡申請某種網(wǎng)絡服務時����,服務器接受申請,然后它根據(jù)其服務類型����、服務內容、被服務的對象�、服務者申請的時間、申請者的域名范圍等來決定是否接受此項服務��。
3.2.4 將防毒���、防黑當成日常例性工作,定時更新防毒組件,將防毒軟件保持在常駐狀態(tài)��,以徹底防毒��。
3.2.5 對于重要的資料做好嚴密的保護���,并養(yǎng)成資料備份的習慣�����。
4 結束語
沒有絕對安全的網(wǎng)絡系統(tǒng)����,安全問題是多種多樣����,且隨著時間技術的變化而變化,所以安全防護也是非常重要的�,保持清醒正確的認識,同時掌握最新的安全問題情況����,再加上完善有效的安全策略,是可以阻止大部分安全事件的發(fā)生���,保持最小程度的損失��。
參考文獻:
[1]耿杰,方風波.計算機網(wǎng)絡安全與實訓[M].北京:科學出版社出版,2006,155-158.
[2]劉遠生,等.計算機網(wǎng)絡安全[M].北京:清華大學出版社出版,2006.229-244.
[3]姜文紅.網(wǎng)絡安全與管理[M].北京:清華大學出版社出版,2007.100-113.
第2篇
上海市網(wǎng)信辦相關負責人說�����,從被抽查的APP情況來看��,現(xiàn)在上線的APP幾乎都有過度索取用戶個人信息的問題�����,APP運營企業(yè)都要對此進行自查自改�����。上海市網(wǎng)信辦今后將定期抽檢����,并向社會公布抽檢結果。
上海市網(wǎng)信辦指出���,本次抽查主要針對基于Android平臺的APP���,將APP申請的權限分為三類��,一是存在與之對應服務功能且不存在風險的 “合理”權限��,二是存在與之對應服務功能,但如被惡意利用會存在潛在風險的“合理但存在風險”權限��,三是不存在與之對應服務功能的“不合理”權限�。抽查所 指的存在“風險”是指APP權限被惡意利用后可能產生的風險,有別于由APP存在漏洞而造成嚴重后果的技術性風險���。限制APP向用戶索取“不合理”權限���, 要求運營企業(yè)嚴格管控獲得的“合理但有風險”的用戶信息,能從源頭上減少個人信息被泄露和被濫用的可能�����。
這次抽查結果顯示�����,23個APP累計共申請864項權限����,其中“合理”權限444項�����,占比51.4%���,“不合理”權限264項,占比30.6%���,“合理但存在風險”權限156項���,占比18%。
第3篇
透過宏觀角度觀察界定����,計算機網(wǎng)絡就是借助電纜、電話等媒介����,將不同空間位置的計算機系統(tǒng)交互式連接,確保彼此之間能夠進行信息自由快速地傳輸���。但是由于人為操作的隨意性��,使得各類黑客�、病毒侵害難以系統(tǒng)化抵制。常見的計算機安全隱患包括信息大范圍泄露���、系統(tǒng)機理完整性破壞��、特定服務功能難以響應等����。
(1)關于信息泄露問題��,就是說操作主體在不知情的狀況下將個人信息透露給非授權方��,包括網(wǎng)絡非法監(jiān)視�����、射頻肆意截取��、網(wǎng)絡釣魚等不良狀況��。
(2)系統(tǒng)機理完整性受損隱患��,則基本上利用物理侵權�����、病毒漏洞等渠道衍生拓展�����。
(3)特定操作功能無法及時響應結果����,隨著計算機網(wǎng)絡技術的高速普及,基層社會大眾不管是學習�����、生活����,以及工作模式上,都發(fā)生了本質性的變化��,但同時也夾雜著某種不良威脅隱患�����,包括黑客�����、病毒的肆意攻擊侵害問題等,任何細節(jié)處理不當��,都將直接造成難以估計的經(jīng)濟名譽損失���。因此�����,筆者決定針對目前我國計算機網(wǎng)絡與信息安全管理狀況����,加以客觀觀察校驗��;同時聯(lián)合外國最先進技術資源和思維理念�,進行上述諸多不良狀況遏制����,希望能夠為今后人們正常網(wǎng)絡生活秩序維護,提供更多合理的指導性建議�。摘要主要是一切合理性訪問資格權限一時間被外界非法人員占據(jù),不能在當下展現(xiàn)出和預定時間相關的程序功能特性����。
2新時代背景下我國計算機網(wǎng)絡與信息
安全的科學防護措施細致性解析隨著人們對計算機網(wǎng)絡和信息安全防護結果關注意識的系統(tǒng)化提升�����,有關各類物理防護措施����、數(shù)據(jù)加密和病毒抵御等程序�,開始受到廣泛好評和有機改造沿用。有關具體調整控制策略內容主要如下所示:
2.1針對社會大眾進行計算機網(wǎng)絡和信息安全防護知識講解推廣
想要督促個人在計算機操作過程中自主強化信息保密意識��,前提條件就是不斷參與各類技術培訓實踐性活動�����,借此系統(tǒng)化吸納和熟練解讀最新網(wǎng)絡信息保密原理�����,將一切網(wǎng)絡病毒和黑客操作行為成功抵制��。由此來講����,不管是學生還是單位職員�����,千萬不可隨意打開來源渠道不明的文件�����,單純拿目前廣泛流行的視頻軟件為例���,安裝過程中總是伴隨著其余機理混亂的程序內容,無故的占據(jù)計算機原有內存空間或是借助孔隙竊取操作主體個人賬號信息����,最終造成的經(jīng)濟損失數(shù)據(jù)著實難以估量。所以說���,進行社會大眾進行最新網(wǎng)絡信息保護知識科學灌輸和靈活講解,絕對是非常必要的��。
2.2專業(yè)化病毒防治軟件和防火墻的全面性安裝
在計算機系統(tǒng)之上進行防病毒程序預先安裝���,能夠發(fā)揮出系統(tǒng)漏洞實時性排查遏制等功用���,確保一切郵件、網(wǎng)頁信息都能夠得到更深層次的防護,一旦說發(fā)生任何危急狀況就可在當下進行快速處理�。就拿防火墻為例,其主張進行專業(yè)化硬件�����、軟件資源科學吸納整合����,同時于內部和外部網(wǎng)絡空間內額外提供一類檢驗關口,完成數(shù)據(jù)包合理過濾任務����,最終決定是否將其發(fā)送到最終目的地。歸結來講���,就是進行網(wǎng)絡使用信息流量��、隱藏IP地址等結構細節(jié)多元化控制疏通��。
2.3添加服務器并進行自身IP地址適當藏
針對操作主體IP地址進行防護是非常必要的�,因為就算是計算機系統(tǒng)內被惡意安裝了木馬程序���,主要IP地址尚未泄露����,外方攻擊人員始終是束手無策的。針對IP地址加以系統(tǒng)化防護的最佳適應途徑�����,便是設置完善形態(tài)的服務器����。服務器能起到外部網(wǎng)絡訪問內部網(wǎng)絡的中間轉接作用,其功能類似于一個數(shù)據(jù)轉發(fā)器���,它主要控制哪些用戶能訪問哪些服務類型���。當外部網(wǎng)絡向內部網(wǎng)絡申請某種網(wǎng)絡服務時.服務器接受申請.然后它根據(jù)其服務類型、服務內容����、被服務的對象、服務者申請的時間��、申請者的域名范圍等來決定是否接受此項服務��,如果接受�,它就向內部網(wǎng)絡轉發(fā)這項請求。目前市場普遍被采用的網(wǎng)絡安全技術主要包括以下類型:主機安全���、身份認證���、訪問控制、密碼認證��、防火墻��、安全審計���、安全管理����、系統(tǒng)漏洞檢測���、黑客跟蹤等�����。但是����,有了安全技術還是遠遠不夠,許多網(wǎng)絡安全事件的發(fā)生都與缺乏安全防范意識有關�。因此,我們要有網(wǎng)絡安全防范意識并建立起相應的安全機制�����,諸如加密機制����、數(shù)字簽名機制、訪問控制機制�、數(shù)據(jù)完整性機制、認證機制�����、信息流填充機制����、路由控制機制、公正機制等���,借此保證網(wǎng)絡環(huán)境的安全性�。
3結語
第4篇
1.制定本規(guī)定的目的是為了提供it集中化管理的規(guī)范,包括網(wǎng)絡中心機房管理�,網(wǎng)絡接入管理����,it,集中化支持服務和it資產管理。
2.此規(guī)定也包含了有關it的正確使用�����,信息安全和集團內部各單位的協(xié)調等方面的工作原則及相關前提條件����。
第二條依據(jù)
本規(guī)定依據(jù)《中華人民共和國保守國家秘密法》和《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《中華人民共和國計算機信息網(wǎng)絡國際管理暫行規(guī)定》制定��。
第三條范圍
集團網(wǎng)絡由信息中心負責管理��,上投大廈內所有單位�、部門和員工均必須執(zhí)行本規(guī)定。
第四條主機房安全規(guī)定
1.機房不得攜入易燃�����、易爆物品�����。
2.機房內嚴禁吸煙。
3.機房內不準吃飯����、吃零食或進行其它有害、污損電腦的行為�。
4.機房嚴禁亂拉接電源,以防造成短路或失火�。
5.非集團信息中心和信托公司電腦部工作人員嚴禁進入主機房(特許人員例外),工作人員進出主機房必須隨手關門��。
6.機房工作人員應定期檢查機房消防設備完好情況��。
第五條主機房凈化規(guī)定
1.機房內應及時清掃衛(wèi)生死角和可見灰塵�����。
2.精密空調應調節(jié)適合溫度以適應計算機設備的運轉��。
3.機房應門窗密封���,防止外來粉塵污染���。
4.機房內不準帶入無關物品,不準睡覺休息。
5.機房工作人員須穿專用拖鞋進入機房�����。
6.機房用品須定期清潔���。
第六條主機房參觀管理的規(guī)定
1.經(jīng)信息中心主管批準,外來人員才予安排參觀�。
2.外來人員參觀機房,須有公司指定人員陪同��,并登記出入紀錄�����。
3.參觀人員不得擁擠���、喧嘩�,應聽從陪同人員安排��。
4.參觀結束后��,操作人員應整理如常��。
第七條網(wǎng)絡中心辦公區(qū)域管理規(guī)定
1.網(wǎng)絡中心辦公區(qū)域包括信息中心辦公區(qū)域及信托公司電腦部辦公區(qū)域。
2.辦公區(qū)域內不得攜入易燃�、易爆物品,嚴禁吸煙��,嚴禁亂拉接電源���,以防造成短路或失火�。
3.外來人員不得隨意進入辦公區(qū)域���。
4.非經(jīng)有關領導及信息中心主管及批準��,辦公區(qū)域不得隨意增加�、減少有礙辦公環(huán)境的設備(家具���、電器等)��。
5.辦公時間內須保持辦公環(huán)境安靜�����,不大聲喧嘩�,不播放音樂�����。
6.辦公區(qū)域須定期清潔,值班人員須保持環(huán)境衛(wèi)生整潔�。
7.值班人員每日下班前需認真檢查門窗關閉情況。
第八條主干網(wǎng)管理規(guī)定
1.集團信息中心負責主干網(wǎng)的運行管理���、設備管理和發(fā)展規(guī)劃�����,保證主干網(wǎng)的暢通。
2.信息中心負責樓層接入設備的安裝����、調試及日常維護,任何單位和個人不得私自移動�、改動有關設備。
3.主干網(wǎng)及樓層網(wǎng)絡跳線一經(jīng)固定�����,任何單位���、個人不得私自改變����,如有線路調整,需由相關單位提出申請�,報信息中心審核同意,由信息中心網(wǎng)絡部進行有關跳線工作����,更改完畢,網(wǎng)絡管理員需做好相應的文檔記錄�。
第九條子網(wǎng)接入單位職責規(guī)定
1.各子網(wǎng)網(wǎng)絡管理員具體負責子網(wǎng)內相應的網(wǎng)絡安全和信息安全工作,保存網(wǎng)絡運行的有關記錄�����,指導計算機系統(tǒng)管理員和用戶對各自負責的網(wǎng)絡系統(tǒng)����、計算機系統(tǒng)和上網(wǎng)資源進行管理。
2.子網(wǎng)接入單位在信息中心的統(tǒng)一規(guī)劃和指導下��,負責按有關要求和規(guī)定對子網(wǎng)進行建設���、運行和管理����;
3.子網(wǎng)接入單位指導計算機系統(tǒng)管理員和用戶對各自負責的網(wǎng)絡系統(tǒng)、計算機系統(tǒng)和上網(wǎng)資源進行管理���;
4.子網(wǎng)接入單位負責和承擔下一級接入單位和用戶的管理��、教育��、技術咨詢和培訓工作���;
5.負責本級網(wǎng)絡相應的網(wǎng)絡安全和信息安全工作;
6.負責保存本級網(wǎng)絡運行的有關記錄并接受上一級網(wǎng)絡的監(jiān)督和檢查��。
第十條ip地址�、用戶賬號申請與電子郵件
1.與集團公司主干網(wǎng)絡相連的電腦及網(wǎng)絡設備ip地址由信息中心負責統(tǒng)一管理和分配���。
2.入網(wǎng)單位應統(tǒng)一向信息中心申請分配或增加ip地址���。入網(wǎng)單位和個人應嚴格使用由信息中心分配的ip地址,嚴禁盜用他人ip地址或私自亂設ip地址���。信息中心有權切斷亂設的ip地址入網(wǎng)�,以保證公司網(wǎng)絡的正常運行���。
3.用戶要求入網(wǎng)和個人要求辦理電子郵件戶頭����,應經(jīng)過其部門主管同意,并向信息中心提出書面申請����,審查同意后由管理員對入網(wǎng)計算機和用戶進行逐個登記,在有關系統(tǒng)上開戶�����,分配ip地址����,辦理有關手續(xù)。符合要求的計算機和用戶方可入網(wǎng)運行���、對外通信�����。
4.任何電子郵件(包括所有內部郵件)都必須遵守以下規(guī)定
4.1每位集團員工只能擁有一個后綴為××××××××*.com的電子郵箱��,員工可以發(fā)送郵件至公司外部��,但僅為工作用途����。公司禁止所有不恰當?shù)泥]件傳遞行為并將其視為違反公司規(guī)章。
4.2嚴禁發(fā)送附件具有下列擴展名的郵件(例如:.exe,.vbs,.com,.bat,.cmd,mdb等等�����。
4.3每封發(fā)送郵件大?��。涸瓌t上<=2m字節(jié)�����。嚴禁向非集團信箱自動轉發(fā)郵件����。
第十一條上網(wǎng)信息及網(wǎng)絡安全管理
1.上網(wǎng)信息管理實行誰上網(wǎng)誰負責��、后果自負的原則��。上網(wǎng)信息不得有違反國家法律�����、法規(guī)或侵犯他人知識產權的內容���。
2.各用戶必須自覺遵守國家有關保密法規(guī):
2.1不得利用國際聯(lián)網(wǎng)泄露國家秘密�����;
2.2文件����、資料����、數(shù)據(jù)嚴禁上網(wǎng)流傳、處理����、儲存;
2.3與文件�����、資料��、數(shù)據(jù)和科研課題相關的微機嚴禁聯(lián)網(wǎng)運行。
3.任何用戶不得利用國際聯(lián)網(wǎng)制作���、復制���、查閱和傳播下列信息:
3.1煽動抗拒、破壞憲法和法律����、行政法規(guī)實施;
3.2煽動顛覆國家政權�����,社會主義制度��;
3.3煽動分裂國家����、破壞國家統(tǒng)一;
3.4捏造或者歪曲事實����,散布謠言�,擾亂社會秩序;
3.5公然侮辱他人或者捏造事實誹謗他人�;
3.6其他違反憲法和法律�����、行政法規(guī)的�����。
4.任何用戶不得從事下列危害計算機信息網(wǎng)絡安全的活動:
4.1未經(jīng)允許����,進入計算機信息網(wǎng)絡或者使用計算機信息網(wǎng)絡資源�;
4.2未經(jīng)允許,對計算機信息網(wǎng)絡功能進行刪除��、修改或者增加的����;
4.3未經(jīng)允許,對計算機信息網(wǎng)絡中存儲����、處理或者傳輸?shù)臄?shù)據(jù)和應用程序進行刪除、修改或者增加的��;
4.4故意制作、傳播計算機病毒等破壞性程序的�;
4.5其他危害計算機信息網(wǎng)絡安全的。
5.從internet上下載文件有大小限制�����,任何例外必須報請信息中心批準��。
6.信息中心和各接入單位要定期對相應的網(wǎng)絡用戶進行有關的信息安全和網(wǎng)絡安全教育���,并根據(jù)國家有關規(guī)定對上網(wǎng)信息進行檢查����。發(fā)現(xiàn)問題應及時上報�����,并采取處理措施��。
7.信息中心��、接入單位和用戶必須接受并配合國家和集團有關部門依法進行的監(jiān)督檢查����。
8.對于盜用ip地址����、盜用他人口令����、入侵及破壞網(wǎng)絡和計算機系統(tǒng)�、違反網(wǎng)絡用戶行為規(guī)范的行為,信息中心將要求相關子網(wǎng)部門予以配合����,并會同集團有關部處共同查處;處罰分為警告��、停止戶頭����、停止單機上網(wǎng)、停止子網(wǎng)上網(wǎng)��、集團通報批評��、罰款���;觸犯國家有關法律者����,要報公安機關依法追究責任。
第5篇
1�����、維護內容
日常運行維護管理的內容主要包括主機維護�、存儲系統(tǒng)維護、系統(tǒng)軟件維護����、安全系統(tǒng)維護、應用系統(tǒng)維護���、軟件版本升級���。
(1)主機維護
主要是對小型機、PC服務器進行日常維護����。包括硬件外觀檢查,系統(tǒng)狀態(tài)指示燈檢查���,清除灰塵等��。
(2)存儲系統(tǒng)維護
主要是對數(shù)據(jù)備份設備進行維護����。包括對雙機備份系統(tǒng)的日常檢查和維護、系統(tǒng)運行日志的監(jiān)控�����、服務器系統(tǒng)內存�、CPU以及負載檢查��、服務器系統(tǒng)空間檢查���、綜合調整系統(tǒng)配置使系統(tǒng)性能最優(yōu)�、按照備份管理辦法完成對操作系統(tǒng)�、數(shù)據(jù)庫及應用系統(tǒng)的日常備份、完成諸如增加用戶�、修改系統(tǒng)配置、提供系統(tǒng)咨詢���、解決系統(tǒng)問題等�。
(3)系統(tǒng)軟件維護
主要是對數(shù)據(jù)庫���、中間件��、操作系統(tǒng)等系統(tǒng)軟件的維護�����。對運行數(shù)據(jù)庫進行日常檢查����、維護和操作、調整數(shù)據(jù)庫配置參數(shù)等���。
(4)安全系統(tǒng)維護
主要是對主要對安全保障的平臺進行維護����。包括安全系統(tǒng)狀態(tài)���、關鍵安全功能測試和安全日志檢查���、服務器系統(tǒng)安全檢查,檢查系統(tǒng)是否有可疑帳戶及工作組���、系統(tǒng)安全掃描���、漏洞掃描等��。
(5)網(wǎng)絡維護
主要維護網(wǎng)絡設備����、鏈路和相關軟件��,保證網(wǎng)絡的正常運行�。包括網(wǎng)絡系統(tǒng)狀態(tài)與聯(lián)通性檢測���、Internet網(wǎng)絡聯(lián)通檢測等�����。
(6)應用系統(tǒng)維護
主要是對各個應用軟件�����、應用平臺進行維護��。包括對應用程序執(zhí)行情況的監(jiān)控和維護���,系統(tǒng)運行日志的監(jiān)控等��。
(7)軟件版本升級
在需要軟件升級時��,首先應從原廠商那里取得要更新的軟件在信息中心模擬環(huán)境下首先進行測試�����,確保正確����;并由原廠商提供詳細的操作說明�����,說明可進行軟件升級的內容�,軟件升級、遷移��,在原廠商指導下進行����;在必要的情況下,應由原廠商提供遠程或現(xiàn)場的指導�����、支持。
2�、維護方式及人員安排
對以上內容的維護管理一般分為日常性維護、預防性維護與巡檢���。
(1)日常性維護管理
維護管理人員應在工作日內每天對各項系統(tǒng)的工作情況按照維護內容進行嚴格檢查����。查看各類設備是否清潔����,如有粉塵要及時清除。查看各類設備工作是否正常���,有無故障,有無隱患��。一旦發(fā)現(xiàn)問題�,應及時報告股室負責人,由股室負責人視問題性質和輕重程度組織安排人員處理解決����,問題嚴重的需及時報告分管領導。
維護管理人員應對每天的檢查情況做好檢查記錄,發(fā)現(xiàn)問題的�,還應詳細記錄問題描述、問題處理過程以及處理結果等�。
日常維護管理人員由二名信息中心專職人員組成,其中一人負責主機維護�、存儲系統(tǒng)維護和安全系統(tǒng)維護,另一人負責系統(tǒng)軟件維護�、應用系統(tǒng)維護和軟件版本升級。
(2)預防性維護與巡檢
預防性維護主要是針對正常運行的設備��、應用軟件����、系統(tǒng)軟件等定期進行設備測試檢查,找出隱患��,盡早排除�����。對于系統(tǒng)性能問題予以調整���,并定期進行設備的清潔保養(yǎng)�。主要工作方式為巡檢����,由軟件集成商進行現(xiàn)場維護����。一般情況下要求一個月一次的定期巡檢����,如遇突況下,要求2小時之內到場��。同時���,要求做好維護與巡檢記錄�。
二���、安全防范管理制度
安全防范管理制度內容主要包括機房安全管理制度�、網(wǎng)絡安全管理制度���、設備安全管理制度、介質和資料安全管理制度�、數(shù)據(jù)備份管理制度、用戶權限管理制度�、人員安全管理制度、應急管理制度、工作人員安全教育制度�����。
1����、機房安全管理制度
(1)信息中心配備機房安全人員,專門負責機房的防火����、防盜,負責機房供電系統(tǒng)�、空調系統(tǒng)、通風系統(tǒng)的安全和日常養(yǎng)護工作����,定期檢查機房設施情況,做好安全記錄��,并對機房全體工作人員經(jīng)常進行防火�����、防盜�、防爆�����、防破壞教育���,提高安全意識。
(2)機房工作人員要進行必要的消防器具使用培訓�����,做到會使用滅火器具���。
(3)嚴禁易燃�、易爆����、易腐蝕品進入機房。嚴禁將水灑落在機房設備和地板上��。嚴禁踩踏機房電源插座或網(wǎng)線插座����。未經(jīng)許可,非機房工作人員嚴禁動用各種電源開關,嚴禁動用任何線路和設備���。
(4)機房工作人員必須嚴格遵守各項操作規(guī)程�����。拆裝設備時�����,不準帶電作業(yè)�����;維修設備時�����,必須先切斷電源�����,再行維修�����;禁止使用汽油���、酒精等易燃��、易爆品清洗帶電設備���。
(5)機房必須保持安靜、整潔�����,嚴禁喧嘩����、會客、吸煙��。機房內實際溫度應保持在20℃—25℃之間�,相對濕度保持為45%—65%。所有進入機房人員必須換拖鞋�����。
(6)嚴格執(zhí)行機房值班制度,做好值班記錄����。值班記錄應載明機房設備使用登記情況�����,凡機房的系統(tǒng)、設備及其圖紙�、隨機資料等只限在機房內使用,未經(jīng)批準不得帶離機房����。
(7)嚴禁無關人員進入機房。機房禁止會客����。對外來參觀單位,需由信息中心派專人陪同���。
(8)機房內的網(wǎng)絡設備����、計算機設備采用實時監(jiān)控��、定期養(yǎng)護�����,確保設備始終處于良好的運行狀態(tài)。
(9)為保證系統(tǒng)安全,除網(wǎng)絡管理員外,任何人未經(jīng)批準,不準對機房內網(wǎng)絡或計算機設備進行操作��。
(10)機房值班員應認真負責�����,及時解決問題��。當出現(xiàn)突發(fā)事故�,機房報警時,值班員應立即報告�����,并采取緊急措施����。
(11)嚴禁攜帶病毒盤和游戲進入機房,嚴禁在因特網(wǎng)上下載與工作無關的內容��,以防系統(tǒng)被破壞��。
(12)嚴格機房鑰匙管理�。機房鑰匙不準轉借,若丟失應及時采取補救措施。
(13)每周由安全負責人對整個安全情況做一次徹底檢查�,并作好安全檢查記錄。
(14)除工作需要,下班后,任何人不許在機房停留����。
(15)嚴格遵守國家及各級有關安全與保密方面的法規(guī)和規(guī)章制度。
2�、網(wǎng)絡安全管理制度
(1)部署防病毒軟件,通過服務器設置統(tǒng)一的防毒策略�����,獲取完整的病毒活動報表�,實施集中的病毒碼和程序更新�����。
(2)部署防火墻����,實時監(jiān)控網(wǎng)絡數(shù)據(jù)包的狀態(tài),網(wǎng)絡上流量的動態(tài)變化��,并對非法數(shù)據(jù)包進行阻斷�,防范網(wǎng)絡上的攻擊行為。
(3)部署IDS設備,作為防火墻的合理補充�,入侵檢測技術IDS可以識別黑客常用入侵與攻擊手段、監(jiān)控網(wǎng)絡異常通信���、鑒別對系統(tǒng)漏洞及后門的利用�、完善網(wǎng)絡安全管理�,主動發(fā)現(xiàn)網(wǎng)絡的隱患,幫助防火墻對付網(wǎng)絡攻擊����。
(4)部署漏洞掃描系統(tǒng),通過對網(wǎng)絡中的工作站����、服務器、數(shù)據(jù)庫等各種系統(tǒng)以及路由器�、交換機、防火墻等網(wǎng)絡設備可能存在的安全漏洞進行逐項檢查�����,測試該系統(tǒng)上有沒有安全漏洞存在�;系統(tǒng)管理員通過了解掃描出來的安全漏洞報告,及時修補漏洞���,從根本上解決網(wǎng)絡安全問題����,有效的阻止入侵事件的發(fā)生。
(5)部署物理隔離網(wǎng)閘����,對來自可信網(wǎng)及不可信網(wǎng)的數(shù)據(jù)進行預處理及內容檢測、協(xié)議分析���、訪問控制����,安全決策���、查病毒等一系列安全檢測,完全阻斷網(wǎng)絡間的TCP/IP連接�����,剝離通用協(xié)議����,將數(shù)據(jù)通過專有數(shù)據(jù)格式由網(wǎng)絡的一端發(fā)送到另一端,同時集成多種安全技術對進出數(shù)據(jù)進行安全檢測,保證交換信息的安全����,并完美的解決了網(wǎng)絡間邊界防護和安全信息交換的需求。
3�、設備安全管理制度
(1)數(shù)據(jù)中心機房所有設備必需設立設備操作管理檔案,詳細記錄人員對設備操作情況,包括操作人員�����、操作開始時間����、結束時間、操作命令等記錄��。
(2)數(shù)據(jù)中心機房所有設備必需設立中心所有設備信息管理檔案���,詳細記錄設備及軟件的名稱����、型號����、購買日期�����、保存場地��、運行及維修情況等����。
(3)如設備出現(xiàn)故障需要維修時�����,機房值班人員應該全程陪同指明須維修的設備�����,避免誤操作��。中心設備如需運出中心機房進行維修���,維修前業(yè)務軟件及數(shù)據(jù)要完全備份并徹底清理。
(4)定期清理數(shù)據(jù)中心設備外殼及工作臺�����,需保持設備所在場所干凈衛(wèi)生,嚴禁在設備周圍放置食物��、易燃�、易爆、易污染等物品����。
(5)定期對主機設備進行殺毒、運行狀態(tài)檢查�����。
(6)嚴禁非專業(yè)維修人員拆卸數(shù)據(jù)中心相關設備�,操作時應配帶防靜電手腕。
4����、介質、資料安全管理制度
(1)介質����、資料包括應用軟件、系統(tǒng)軟件或業(yè)務數(shù)據(jù)的光盤�����、磁盤、磁帶和硬盤以及所有設備的使用說明�����、維護手冊等��。
(2)介質�、資料入庫要登記造冊,介質的升級��、報廢等�����,由專人負責保管��,所有介質�����、資料應存放在專門的管理柜中���。介質、資料的存放地點應通風良好�����,溫濕度適宜,對特殊要求的介質�����、資料應放置在規(guī)定要求的環(huán)境內��。
(3)運行維護人員因檢修設備需要領取介質��、資料時���,必須先登記�。使用歸還情況應及時做記錄��。緊急情況下可口頭通知�����,但事后須及時補填登記���。
(4)應定期檢查介質���、資料的可用性����,版本不是最新時應盡快通知設備廠商升級�����。
(5)淘汰�、損廢的磁盤、磁帶等重要介質要經(jīng)中心主任同意后集中銷毀�����。
5����、數(shù)據(jù)備份管理制度
(1)定期、及時的對數(shù)據(jù)庫數(shù)據(jù)���、日志等進行備份�����。數(shù)據(jù)備份實行日備�����、月備�����。
(3)制作備份的數(shù)據(jù)要確保系統(tǒng)一旦發(fā)生故障時能夠快速恢復�����,備份數(shù)據(jù)不得更改����。
6���、用戶權限管理制度
(1)用戶采用"分級授權���,統(tǒng)一管理"方式,即操作員所能進行的業(yè)務操作要設定權限級別����。
(2)權限級別由專人管理,信息中心由系統(tǒng)管理員管理��,主要職責是負責各鎮(zhèn)(街道)用戶和各單位網(wǎng)管員操作帳戶管理,并嚴格按照各鎮(zhèn)(街道)以及各業(yè)務單位職責分配部門操作權限���。
部門職責分配按照局相關部門規(guī)定執(zhí)行��。若部門職責變動應及時通知信息中心��,以便重新分配部門權限����。
各單位應指派一名網(wǎng)管員����,負責本單位內部操作用戶的管理,并根據(jù)本單位各業(yè)務人員的工作職責分配操作權限���。
(3)用戶只能擁有自己業(yè)務范圍內的操作權限���,系統(tǒng)管理人員以及各單位網(wǎng)管員不得隨意授予與其無關的操作權限;對于隨意授權造成的后果將追究相關人員的責任����。
(4)賬號是計算機鑒定操作員合法身份的依據(jù),凡用合法賬號登錄所進行的操作均視為賬號持有者所為����。
(5)操作員本人應對密碼必須嚴格保密����,不得外泄����。若因密碼外泄造成損失的�,將追究當事人責任。
(6)為防止弱口令����,密碼應是字母、數(shù)字和特殊字符的組合�,且不能小于6位。
(7)各單位�����,鎮(zhèn)(街道)由于人員離職�����、操作員用戶必須予以封存�����,不允許刪除。
7���、人員安全管理制度
(1)安全管理員��、系統(tǒng)管理人員等要重要崗位人員���,上崗前要嚴格進行審查和業(yè)務技能考核,擇優(yōu)上崗�����。
(2)運行維護人員應熟悉系統(tǒng)設備的基本原理和結構��,熟悉系統(tǒng)及運行方式���,能熟練地進行正常操作����,并能夠處理系統(tǒng)異常和故障�。
(3)定期對各類計算機人員進行法制教育、安全意識教育和防范技能培訓���。
(4)重要崗位人員調離時����,嚴格按照規(guī)定辦理調離手續(xù),各種資料的移交�����,系統(tǒng)密碼��、操作員密碼的更換要在安全管理員監(jiān)督下完成���,并辦理接交手續(xù)。
(5)調離人員離崗后���,不得泄漏任何涉及安全保密的信息�。
8����、應急管理制度
災難應急處理流程是對因人為或自然災害造成的涉及全局的一時難以恢復的破壞性事件的處理流程。具體流程如下:
1)制定應急計劃
風險評估
關鍵業(yè)務影響分析����;
關鍵業(yè)務持續(xù)運行計劃��;
技術恢復流程制定等�����。
2)應急設備的維護
提供與設備系統(tǒng)及配置相匹配的備機����;
7X24小時的監(jiān)控與維護
3)應急恢復流程培訓
對維護人員進行災難恢復流程培訓
使用災難發(fā)生后會涉及的所有設備
模仿真正災難發(fā)生后的設備配置和系統(tǒng)加載狀況
4)應急業(yè)務恢復
災難核實及業(yè)務恢復方案啟動�����;
備用設備在約定時間內到位�����;
供應商提供技術支持和指導�;
故障設備的維修;
業(yè)務恢復后�����,恢復計劃的回顧和改進����。
病毒應急處理流程
病毒應急處理包括在病毒爆發(fā)前的預防性處理和病毒爆發(fā)后的緊急處理流程�����。具體內容如下:
病毒處理流程建立
預防性病毒警告
應急病毒防范與處理機制
全網(wǎng)性升級與病毒查殺措施
危害降低機制
后續(xù)報告與補救措施
安全事件應急處理流程
安全事件應急處理流程包括:
安全應急流程建立
事件識別
縮小事件影響范圍
事件解決
后續(xù)報告與處理機制
補救措施
9�、工作人員安全教育培訓制度
應根據(jù)上級規(guī)定的培訓制度和年度培訓計劃要求��,將系統(tǒng)的學習納入培訓計劃并按期完成�。
(1)規(guī)程學習,根據(jù)本單位實際安排有關規(guī)程的學習�����。
(2)現(xiàn)場培訓項目�����,按規(guī)定進行反事故演習�����。
通過培訓使維護人員達到以下標準:
1)熟悉系統(tǒng)設備的基本原理和結構���,熟悉系統(tǒng)連接及運行方式。
2)能審核設備維修�����、檢測記錄,并能根據(jù)設備運行情況和巡視結果�,分析設備健康狀況,掌握設備缺陷和薄弱環(huán)節(jié)�,能對設備狀態(tài)做出基本評估。
3)熟悉運行規(guī)程內容�����,遇有設備變更時��,能及時修訂和補充運行規(guī)程�,保證運行操作、事故處理正確����。
4)熟悉設備的操作要領和相應的操作程序。
5)能熟練�、正確地進行事故處理。
10��、安全保密管理辦法
(1)�、遵守國家有關法律、法規(guī),嚴格執(zhí)行中華人民共和國計算機信息網(wǎng)絡安全保密規(guī)定��。
(2)不得泄漏有關市勞動保障信息系統(tǒng)的機密信息�����,數(shù)據(jù)以及文件等
(3)不得泄漏如帳號��,密碼等信息�����。
(4)未經(jīng)授權�,任何人不得使用與自己操作權限無關的功能。
(5)不得干擾和妨礙他人的正常工作�。
(6)各部門要配合信息中心進行必要的安全檢查。如有違反安全保密制度的情況�����,將視其情節(jié)輕重���,根據(jù)信息中心管理規(guī)定,對當事人進行必要的處理�。
(7)未經(jīng)允許嚴禁擅自復制、下載、傳播市勞動保障信息系統(tǒng)數(shù)據(jù)����。
(8)業(yè)務數(shù)據(jù)必須按規(guī)定進行日備、月備和年備��,并妥善保存?zhèn)浞荼P�。月終和年終盤備份兩份,一份異地(與中心機房不同建筑物)長期保存����。非經(jīng)領導允許,嚴禁攜帶數(shù)據(jù)盤外出����。
三、應用程序及數(shù)據(jù)維護管理制度
1��、市勞動保障信息系統(tǒng)需求提交及問題處理規(guī)范
所有涉及業(yè)務應用系統(tǒng)功能新增�、減少、變更以及出現(xiàn)問題的處理均按下述步驟執(zhí)行��。
第一步:需求變更和問題處理申請
各單位在應用軟件使用過程中����,根據(jù)實際工作需要,提出系統(tǒng)功能新增、減少�����、變更以及發(fā)現(xiàn)問題需處理的�����,首先應由需求提交人(一般情況下為股室負責人)填寫《信息系統(tǒng)需求變更和問題處理提交表》(附件一)�,一表一需求,經(jīng)單位負責人簽字后提交給信息中心指定人員���。
各鎮(zhèn)(街道)在使用軟件過程中提出的新需求和問題處理��,集中反映到歸口部門后��,由該部門按上述過程統(tǒng)一提出申請���。
第二步:現(xiàn)場解釋和交流
為保證信息中心人員和軟件開發(fā)人員對業(yè)務部門提出的需求和問題有一個正確的理解,需求提出人提交申請后�,信息中心指定人員應積極引導其與軟件開發(fā)人員進行現(xiàn)場交流,對需求和問題進行詳盡的解釋��,并積極參與�。
第三步,需求變更��、問題處理的評估�、實施和意見反饋
分現(xiàn)場即時處理和限時處理:
1、現(xiàn)場即時處理:經(jīng)現(xiàn)場解釋交流后�,信息中心人員和軟件開發(fā)商要共同對需求變更做綜合性和可行性評估,在對現(xiàn)有系統(tǒng)和數(shù)據(jù)沒有較大影響或者改變���、不涉及其他業(yè)務部門業(yè)務���、技術可行的條件下,各單位的需求變更和問題處理申請經(jīng)信息中心軟件技術人員和開發(fā)公司項目經(jīng)理在簽署接收同意意見后實施��。并將同意實施意見當場反饋給需求提交人����,由需求提交人簽字確認已接收到反饋意見。
2�、限時處理:若信息中心技術人員和軟件開發(fā)商中有一方認為提交的需求變更涉及到原有系統(tǒng)和數(shù)據(jù)的重大改變,不適宜實施變更的���,或技術不可行的情況下���,需簽署接收意見�,說明暫不能接收原由后��,由信息中心負責組織相關人員開展進一步的評估后確認實施與否�。事情重大的,報分管局長同意后實施��。并在需求提出日期后二個工作日內將處理意見反饋給需求提交人��,由需求提交人簽字確認已接收到反饋意見��。
需求若涉及其他部門業(yè)務的���,需業(yè)務雙方單位負責人簽字同意后提交申請��;涉及政策調整變更的��,需相應行政科室負責人簽字同意后提交申請����。
若經(jīng)現(xiàn)場解釋交流后�,需求提交人認為需求申請需要有所調整或變更的,需重新按申請程序提交申請����。
第四步����,處理結果反饋
1��、信息中心和開發(fā)商應盡量滿足業(yè)務部門的信息需求�,并在計劃完成日內對系統(tǒng)程序作出相應調整��,并使程序達到最大優(yōu)化���。
業(yè)務部門有需求調整的�,要盡早向信息中心提出���,以保證信息中心有充裕的時間完成程序調整�。一般的簡單需求在信息中心接收后2至3個工作日內完成�����,稍復雜的在7至10個工作日內完成�����,涉及到政策變更以及程序調整較大的視具體情況而定���。
2��、需求變更和問題處理完畢后�����,開發(fā)人員要及時告知信息中心指定人員����,由該人員通知需求提交人進行程序的測試和使用,并簽字確認處理結果���。需求提交人有責任對處理情況及時告知本部門簽字領導�。
其他事項:
信息中心人員應認真做好各單位需求變更和問題處理登記記錄��,并將妥善保管�、存檔。
3��、數(shù)據(jù)后臺修改管理辦法數(shù)據(jù)后臺修改程序規(guī)范
(1)嚴禁任何業(yè)務人員隨意地要求信息中心或開發(fā)人員進行數(shù)據(jù)后臺修改����,也嚴禁信息中心和開發(fā)人員擅自對后臺數(shù)據(jù)進行處理,造成的后果將追究相關當事人的責任���。
(2)在前臺業(yè)務辦理出現(xiàn)差錯時�,應主動積極尋求在前臺修正解決的辦法。除以下三種特殊情況外���,一般情況下不允許進行數(shù)據(jù)后臺修改��。
(1)老系統(tǒng)遺留的數(shù)據(jù)問題;
(2)老系統(tǒng)數(shù)據(jù)經(jīng)合并后出現(xiàn)部分信息不準確或缺失���;
(3)前臺業(yè)務處理差錯�����,經(jīng)業(yè)務部門����、信息中心��、開發(fā)商三方共同確認前臺操作無法補救或修正的��。
(4)由于以上三種情況確需進行數(shù)據(jù)后臺修改的均需嚴格遵照以下流程進行操作:
第一步:申請
由申請部門填寫《數(shù)據(jù)后臺修改申請單》(附件二)�����,將申請事項寫明原由以及修改要求由申請部門負責人簽署同意修改的意見后,將申請單遞交給信息中心����。
各鎮(zhèn)(街道)若需申請數(shù)據(jù)后臺修改應先向業(yè)務單位提出,由業(yè)務部門按上述過程提出申請�����。
第二步:評估
遞交申請后���,由信息中心指定人員和開發(fā)公司共同對其修改事項進行可行性評估��,確實可行的確定修改方案�����,并需對該數(shù)據(jù)修改產生的后果進行全面細致的分析���。
第三步:確認
開發(fā)公司和信息中心對后臺數(shù)據(jù)修改進行評估和風險分析后,根據(jù)評估和風險評估結果��,簽署是否同意修改的意見��,若不同意修改,需寫明原因�����。此意見需由開發(fā)公司項目經(jīng)理和信息中心主任分別簽署����,并需經(jīng)申請部門負責人確認簽字。評估和確認過程信息中心應在申請部門提出申請之日起三個工作日之內完成����。
第四步:實施
三方共同確認同意修改的進入實施階段����,一般情況下由信息中心指定人員對數(shù)據(jù)實施后臺修改。修改人需嚴格根據(jù)已定的修改方案實施修改��,堅決杜絕隨意修改的情況����。修改時需由信息中心技術人在場監(jiān)督。
第五步:記錄和結果確認
所有涉及數(shù)據(jù)后臺修改的��,應由修改人做好詳細的修改過程記錄并簽字�,同時在登記表上做好登記。修改完成后修改結果交由申請部門負責人簽字確認。
3��、數(shù)據(jù)定時檢查糾錯和質量控制制度
(1)對勞動保障信息系統(tǒng)內的所有業(yè)務存儲數(shù)據(jù)實行一個月一次的定期檢查���。
(2)數(shù)據(jù)檢查內容包括是業(yè)務數(shù)據(jù)是否輸入錯誤(主要從邏輯關系上判斷)�����、業(yè)務辦理數(shù)據(jù)是否符合政策規(guī)定�、系統(tǒng)參數(shù)設置是否正確�、計算公式是否準確等。
(3)明確分工�,落實責任,定時做好數(shù)據(jù)檢查糾錯工作���。
第6篇
【 關鍵詞 】 公開密鑰基礎設施����;授權管理基礎設施����;安全認證
Design of Security Authenticate Based on PKI/PMI Architecture in Digital Library
Zhai Jian-feng
(Computer Center, China Youth University for Political Science Beijing 100089)
【 Abstract 】 First���, this paper briefly introduces problems in security certification of digital library currently��, and then proposes a dual certificate joint certification mechanism on the base of both public-key certificates and attribute certificates based on analyzing the PKI and PMI. The mechanism uses public key certificates to achieve user authentication�����, attribute certificate achieve the user's authorized access���, to ensure that different users have different access rights. A certain extent����,this mechanism meet with the requirements of Security Authenticate in Digital Library .Thereby���, expediently and neatly realize security access control for digital resource.
【 Keywords 】 PKI�; PMI���; security authenticate
1 引言
隨著信息技術和互聯(lián)網(wǎng)技術的飛速發(fā)展和廣泛應用,在很大程度上促進了傳統(tǒng)圖書館向數(shù)字化圖書館發(fā)展���,數(shù)字化圖書館不僅包含傳統(tǒng)圖書館的功能��,還能夠更好地實現(xiàn)知識共享��,為公眾提供更加便利的信息服務���。但在給公眾帶來全新閱讀體驗和便利的同時����,也隨之帶來了相應的安全問題:首先����,缺乏嚴格的身份認證機制,一般都僅憑用戶名���、密碼這種傳統(tǒng)的方式實現(xiàn)用戶的身份認證��,無法核實系統(tǒng)用戶的真實身份����,對系統(tǒng)信息的安全是個很大的考驗�����;其次���,用戶級別�、角色劃分缺失,或劃分不夠嚴格�,容易導致訪問權限混亂、控制策略失效等����。因此在圖書館數(shù)字化的發(fā)展過程中,如何進行身份驗證��,有效管理用戶訪問���、借閱和下載權限等將是需要面對的主要問題����。
公開密鑰基礎設施(PKI)是目前被廣泛接受的網(wǎng)絡安全基礎和核心���,通過管理密鑰和數(shù)字證書來確定用戶身份����,已經(jīng)成功第應用到電子政務和電子商務中��。在PKI的基礎上�,授權管理基礎設施(PMI)通過頒發(fā)屬性證書的方式�����,解決了網(wǎng)絡環(huán)境下的授權問題。因此把PKI/PMI技術應用到數(shù)字圖書館的網(wǎng)絡安全中來具有重要的意義�。
2 PKI與PMI
2.1 PKI概述
PKI(Public Key Infrastructure,公開密鑰基礎設施) 是一種利用公開密鑰進行加密的技術�,為信息的安全可靠傳遞提供了基本的安全保證。PKI技術把公開密鑰和用戶的身份信息進行綁定����,形成用戶的數(shù)字身份證。在通信過程中���,驗證用戶數(shù)字身份證的有效性��,從而在網(wǎng)絡中可以建立起相互信任的關系���,達到保證網(wǎng)上傳遞信息的安全、真實��、完整和不可否認的目的���。
概念上講��,PKI主要包括X.509格式的證書(X.509 V3)和證書廢止列表CRL(X.509V2)���,CA/RA操作協(xié)議�����,CA管理協(xié)議以及CA政策制定四個方面的內容���。其中安全認證系統(tǒng)CA/RA系統(tǒng)是PKI的核心。
2.2 PMI概述
PMI(Privilege Management Infrastructure�,授權管理基礎設施)是在PKI的基礎上提出的技術體系,其目的是解決統(tǒng)一的授權管理問題��。在2000年的X.509 v4中�,首先提出了PMI的概念,利用屬性證書(AC)對有效用戶進行統(tǒng)一授權���,對資源的訪問控制進行統(tǒng)一管理����,從而可以有效地實現(xiàn)較為復雜的權限分配和管理���,并且能夠在用戶請求服務的時候進行權限驗證��。其核心內容主要是屬性證書的管理���,包括屬性證書的分發(fā)、更新及撤銷等�����。
同PKI相比�����,PKI的公鑰證書由統(tǒng)一機構發(fā)放�,能夠驗證用戶的身份,而PMI在驗證用戶身份有效性的基礎上��,可以根據(jù)具體操作而權限不同���,可以由不同的機構發(fā)放���,用于驗證用戶有什么權限。承擔什么角色����。公鑰證書一般包含了用戶相對固定的信息,生命周期較長����。而PMI的屬性證書主要包含用戶的權限信息�����,承擔的角色信息���,可能會經(jīng)常進行角色轉變,其生命周期較短��。PKI是PMI實施的基礎����,而PMI是PKI應用的延伸。
3 基于PKI/ PMI 的安全認證方案設計
數(shù)字圖書館的安全認證方案主要在PKI/ PMI安全框架的基礎上����,并結合基于角色的訪問控制技術,以PKI的公開密鑰證書作為用戶的真實身份的憑證���,用于身份有效性驗證�����;而PMI的屬性證書則作為特權的載體�,用于記錄用戶訪問數(shù)字圖書資源時的角色,實現(xiàn)用戶的授權�。通過將公開密鑰證書及屬性證書兩個證書的屬性結合起來�����,從而達到安全認證授權的目的�����,其中PKI提供了相應的安全平臺��,為用戶提供了相應的身份認證服務�;而PMI利用屬性證書及基于角色的訪問控制,對不同用戶分配不同的角色���,并相應的控制策略賦予不同的權限�。
系統(tǒng)具體由PKI認證管理�,PMI授權管理及訪問控制管理及相應的一些支撐組建構成。其中�,PKI認證管理用于用戶身份證書的相應處理、身份驗證�����、數(shù)字簽名等,PMI授權管理用于屬性證書申請�、審核、頒發(fā)等�,是授權管理的核心;訪問控制管理用于訪問在LDAP目錄服務器存儲的數(shù)字身份證書���、屬性證書及相應的操作���。
3.1 PKI認證管理
PKI認證管理通過RA(Register Authority)處理用戶申請,審核用戶的真實身份��,把通過審核的申請信息提交到CA(Certificate Authority)認證中心���,CA頒發(fā)PKC(公開密鑰證書)����,并由RA把新的公開密鑰證書提交到LDAP目錄服務器����。其中LDAP提供目錄瀏覽服務,負責將RA服務器傳輸過來的用戶信息以及數(shù)字證書加入到服務器上���,使其他用戶能夠通過訪問LDAP服務器就能夠查詢其它的數(shù)字證書����。數(shù)字證書的處理流程圖如圖1所示,有幾項申請步驟��。
(1)數(shù)字證書申請����。系統(tǒng)用戶在線填寫相應的個人信息��,將生成的私鑰保存在客戶端����,同時將其相應的公開密鑰和用戶的申請信息發(fā)送給RA。
(2)注冊機構審核��。注冊機構證明用戶的真實身份�,如果同意用戶申請證書請求,須對證書申請信息進行數(shù)字簽名����,或拒絕用戶的申請。
(3)CA分發(fā)證書�����。審核通過后,將用戶的證書申請及相應的數(shù)字簽名發(fā)送給CA��,如簽名驗證通過�,則同意用戶的證書請求,頒發(fā)證書�,否則拒絕證書申請。頒發(fā)的數(shù)字證書中包含能唯一標識用戶的姓名及其它標識信息等�。
(4)證書轉發(fā)。注冊機構RA將新的證書發(fā)送到LDAP目錄服務器以提供目錄瀏覽服務�����,同時用戶可以訪問LDAP服務器�,獲得他人的數(shù)字證書。
3.2 PMI授權管理
為了保證整個認證系統(tǒng)的安全可靠��,要求用戶不僅需要提供身份信息��,同時要提供證明其身份的公開密鑰證書(PKC)�。首先讓用戶填寫用戶信息表單,然后通過PKI證書驗證用戶身份真實性�,最后依據(jù)安全授權策略授予用戶相應角色,同時給角色授予相應的權限���。屬性證書的申請流程如圖2所示��,具體幾項步驟���。
(1)用戶申請�。用戶提交有效證書申請信息及身份信息給屬性證書注冊機構ARA�����。
(2)申請審核��。屬性證書注冊機構ARA為用戶頒發(fā)唯一的標識名和密碼�,根據(jù)授權策略授予用戶相應角色����,根據(jù)授權策略將角色授予相應的權限,同時將唯一標識名���、密碼����、角色信息及相應的權限信息到LDAP上�����。屬性證書注冊機構ARA用相應的私鑰對授權策略進行簽名,并到LDAP上以供應用系統(tǒng)驗證特權����。
(3)授權服務中心AA發(fā)行證書。ARA將用戶全部信息��、密鑰等提交AA�,其數(shù)字簽名如果通過驗證,則同意用戶的證書請求��,頒發(fā)證書����。
(4)注冊機構證書轉發(fā)。屬性證書注冊機構ARA從AA得到新的證書����,首先將證書輸出到LDAP目錄服務器以提供目錄瀏覽服務,同時通知用戶證書已經(jīng)分發(fā)成功��,下載相應的屬性證書�����。
3.3 訪問控制管理
訪問控制管理根據(jù)用戶的操作請求,對用戶的數(shù)字證書進行身份驗證�,驗證其公開密鑰證書的合法性,如通過驗證則驗證用戶的角色分配屬性證書簽名的正確性���、是否在有效期之內�、驗證相應的角色規(guī)范屬性證書的有效性���,并根據(jù)授權策略���,驗證屬性證書的有效性,來確定用戶是否有權對目標對象實施操作�。訪問控制管理的處理流程如圖3所示,其具體有幾項步驟���。
(1)首先用戶向訪問控制管理模塊提出訪問請求,并提供自己的公開密鑰證書和屬性證書�����。
(2)對用戶的公開密鑰證書合法性進行驗證�。通過訪問公開密鑰證書目錄服務器LDAP,檢索用戶的公開密鑰證書�,并將驗證結果返回給訪問控制模塊��。
(3)訪問控制管理模塊根據(jù)用戶的身份信息���,從授權目錄服務器LDAP中獲取屬性證書和角色規(guī)范證書,并驗證屬性證書和角色規(guī)范證書的有效性���,并根據(jù)其屬性證書和角色規(guī)范證書驗證用戶的訪問請求是否滿足授權策略�。如果滿足則向數(shù)字資源轉發(fā)服務請求�����,否則結束會話���。
4 結束語
本文針對當前圖書館數(shù)字化的安全認證需要�����,針對傳統(tǒng)的基于公開密鑰體制的證書認證方式存在的缺陷�����,引入授權管理基礎設施PMI的概念����,設計了一個基于公開密鑰證書和屬性證書的雙證書聯(lián)合認證方案,并應用于數(shù)字圖書館的安全認證系統(tǒng)中����。采用PMI證書與PKI證書結合的方式,能夠保證不同用戶具有不同的訪問權限�����,可以使得公開密鑰證書����、屬性證書具備不同的生命周期,利于用戶自身的角色轉變��。但由于證書的驗證過程相對比較繁瑣���,可能造成一定的系統(tǒng)負擔�����,以及PKI體系及PMI體系兩者之間的相互協(xié)調機制未做深入的研究,均是需進一步研究探討的問題��。
參考文獻
[1] Carlisle Adams�����,Steve Lloyd,馮登國等譯.公開密鑰基礎設施——概念����、標準和實施.人民郵電出版社.2001.
[2] 韓水玲,馬敏�����,王濤等.數(shù)字證書應用系統(tǒng)的設計與實現(xiàn)[J].信息網(wǎng)絡安全�����,2012�����,(09):43-45.
[3] 余幸杰�,高能,江偉玉.云計算中的身份認證技術研究[J].信息網(wǎng)絡安全�����,2012,(08):71-74.
[4] CarliseAdams����,SteveLloyd,馮登國等譯.公開密鑰基礎設施概念�����、標準和實施.北京:人民郵電出版社.2004.
[5] 杜鵬�����,賈晨軍���,叢軍.基于PKI的角色識別訪問控制技術初探[J].計算機工程����,2003����,29(6):137139..
[6] 譚寒生,張艦�����,等.則PMI與PKI模型關系研究[J].計算機應用,2002����,(8):86~88.
[7] 蘇丹. X509V4 中基于角色的PMI 應用[J ].高性能計算技術�����,2004 (1) :58~60.
[8] 曹晟�,楊潔,孟慶春. 基于PMI 的系統(tǒng)訪問安全管理研究與設計[J].計算機工程�,2007 ,33 (24) :141.
[9] 譚強�����,黃蕾.PMI原理及實現(xiàn)初探.計算機工程.2002.8:187.189.
[10] Housley R. RSA Laboratories. Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile[S].RFC3280�,2002.
第7篇
數(shù)字證書是在網(wǎng)絡中用來判斷用戶的身份,以及驗證用戶對網(wǎng)絡進行訪問的權限的文件�。數(shù)字證書通過將加密技術和認證技術進行結合來保護的文件安全,數(shù)字證書可以利用一個密鑰對同一個用戶的多個數(shù)學進行綁定��。數(shù)字證書包含了用戶主要的個人信息���,以及證書的有效期和證書的驗證機構信息�����,其中的個人信息主要包含了持有人的名字����、電子郵件地址以及證書的編號等信息。一般來說一個公鑰對應著一個數(shù)字證書�����,私鑰通過安全的方式交給用戶����,數(shù)字證書的內容要點包含了發(fā)證結構的數(shù)字簽名、用戶的公鑰等其他的個人信息�,對方可以利用密鑰以及其它的信息來確定數(shù)字證書的真實與否。在應用數(shù)字證書的過程中還應當注意防止密鑰丟失所產生的不良影響�,可以通過密鑰托管或者恢復密鑰的方式來解決。當私鑰被非法利用或者丟失時����,應當廢止數(shù)字證書的應用。
2數(shù)字證書在網(wǎng)絡安全中的應用
在互聯(lián)網(wǎng)世界中���,一切信息都是依靠數(shù)據(jù)來實現(xiàn)的����,為了保證信息的操作者是信息的合法擁有者,需要對操作證的物理和數(shù)字身份進行驗證�,這就需要數(shù)字證書技術。通過合理的應用數(shù)字證書技術����,能夠實現(xiàn)信息系統(tǒng)之間的有效鏈接���,從而解決了網(wǎng)絡應用中身份驗證的問題��。
2.1集中式身份認證在網(wǎng)絡安全中的應用
集中式身份認證是相當于傳統(tǒng)的身份認證���,特別是隨著各種間諜軟件的泛濫,導致了依靠用戶名和密碼的單一認證的認證體系非常的不安全�。特別是金融領域以及收費方面,集中式身份認證將成為發(fā)展的趨勢���,而市場對于集中式認證的需求也有利于迫切�����。集中式認證在一定的硬件基礎上����,通過建立完善的數(shù)字證書系統(tǒng)來進行認證。特別是隨著網(wǎng)絡交易的日益頻繁����,很多網(wǎng)站采用的傳統(tǒng)的用戶名加口令的方式來進行用戶身份認證,對于每個用戶來說����,需要在多個交易項目中來注冊多個用戶名,這樣就影響了網(wǎng)絡的便利性���。同時這種認證方式也難以實現(xiàn)用戶和本人身份的真實對應���,同時也難以解決不同類型、不同應用的信息訪問控制的需要�。在這種情況下,需要為全部的網(wǎng)絡用戶提供統(tǒng)一的身份認證方式��,為每個用戶提供數(shù)字身份證書���,用戶提供數(shù)字證書來證明自己的真實身份����,從而獲得應用信息的權限。在目前的網(wǎng)絡認證中的訪問控制還存在比較多的漏洞��,例如口令容易被截獲并且冒用�����,同時這種認證方式也難以滿足全國各個行業(yè)和地區(qū)的應用需要����,導致了認證系統(tǒng)難以對用戶的行為進行有效的控制�����,難以幫助認證系統(tǒng)的安全性�����。通過采用數(shù)字證書來進行身份認證和服務控制���,能夠有效的解決數(shù)據(jù)庫訪問中的控制問題�。通過對用戶的數(shù)字證書進行檢驗�����,能夠有效的防止非法用戶的入侵,防止用戶進行越權訪問以及多人應用同一用戶名和口令等����,保證了網(wǎng)絡信息的訪問在一定的范圍內,實現(xiàn)了網(wǎng)絡安全保護的需要�。
2.2數(shù)字證書在電子政務中的應用
電子政務通過網(wǎng)絡的方式取代了傳統(tǒng)的辦公模式,而且這種方式能夠在確定的時間和地點內是有效的���。電子政務作為一種辦公的方式和手段���,工作的過程中伴隨著信息的傳遞,這些信息中也包含了企業(yè)或者國家的秘密����。電子政務處于開放式的網(wǎng)絡環(huán)境中,因此需要保證信息在傳遞的過程中不被非法的截取��,這就需要應用到數(shù)字證書��。
2.3數(shù)字證書在網(wǎng)絡交易中的應用
近年來隨著電子銀行的發(fā)展���,不少用戶在進行網(wǎng)絡交易的過程中因為銀行賬戶信息泄露而導致財產損失的新聞�����,在一定程度上影響了用戶對于網(wǎng)絡安全的信心�。但是在使用數(shù)字證書的網(wǎng)絡銀行中,黑客或者其它竊取信息的行為將難以得逞�。在這種網(wǎng)絡交易中,用戶需要在銀行中申請并且下載數(shù)字證書���,只有使用數(shù)字證書才能夠登錄網(wǎng)絡銀行的軟件����。數(shù)字證書在網(wǎng)絡安全中的優(yōu)點���,充分的保證了交易的安全,與傳統(tǒng)的口令驗證存在著改變的區(qū)別����。目前在網(wǎng)絡用戶中所使用的數(shù)字證書主要有文件證書和移動證書兩種方式,要想應用銀行數(shù)字證書�,需要在銀行網(wǎng)絡中申請個人數(shù)字證書,并且目前要管理的銀行賬戶�����。然后在銀行的網(wǎng)站中下載相應的軟件,在安裝的過程中會要求用戶保存相應的個人信息等重要的數(shù)據(jù)����。然后在安裝向導的指導下,激活所申請的數(shù)字證書���,激活后就可以安全的教學網(wǎng)絡交易��。在網(wǎng)絡交易中����,如果不是應用到個人的私人電腦��,那么為了保證交易的安全可以將數(shù)字證書存儲在移動閃盤上����,這就是移動證書的初衷。
3結束語
第8篇
2�、成年人才可以開網(wǎng)店(不是的話也可以用家人的身份證),要滿18周歲的,有身份證并要給身份證照反正面的照片����,【做掃描也可以】【要上傳到電腦上用的,不是洗成照片】這個到你附近的照相館就可以做好的����。
3�����、辦一張銀行卡���。然后可以申請網(wǎng)上銀行,請辦理中國工商銀行��、招商銀行�、中國建設銀行、中國農業(yè)銀行��、中國民生銀行���、興業(yè)銀行�����、浦發(fā)銀行、交通銀行這八家之一的銀行卡然后申請網(wǎng)銀��;可以申請支付寶卡通,也可以完成認證�����,他所支持的銀行有50家,比較常見的都支持的【注意要學會怎么使用����,這個可以問銀行工作人員的】。
4�、登錄淘寶網(wǎng),在網(wǎng)頁的右上角有個網(wǎng)址導航��,打開后在右下角方位�����,找到淘寶大學��,里面有新手上路��,就是從注冊到賣東西的詳細步驟了��。開網(wǎng)店�����,像注冊之類的就是一個步驟����,很好學的��。
5���、新店新手最好做虛擬的(最基本的投資只有300元)因為實物的要找貨源進貨,要聯(lián)系快遞發(fā)貨���,還要做大量的宣傳�����,最重要的一點是信用低���,這一點直接決定了你的網(wǎng)店是否可以生存。
6�、做虛擬的只要有軟件,就有貨源�。他的貨源就是軟件,軟件里有余額就有貨源了���,因為不管用軟件做充值還是授權軟件�����,都要從軟件里扣除相應的余額的���。
