第一篇:关于多媒体网络信息缓存管理和安全管理
关于多媒体网络信息缓存管理和安全管理范文
多媒体信息是多种媒体数据结合的综合体,具体有文本、语音、图像、视频等形式。网络的开放性提供多媒体网络大数据形成的契机,即网络社交、在线教育、电子商务、新闻传播等行业无时无刻不在产生图像、文字、语音等形式的多媒体网络信息[x]。但是多媒体技术在改善人类生活方式与生活效率的同时,也造成了数据冗余的不良影响。由于人们对多媒体网络大数据的管理整合力度不足,所以大数据丧失了原本的事物预测、规律挖掘价值。本文结合大数据时代信息处理的热点技术营造了多媒体网络信息整合的高效计算环境[x],基于数据仓库设计一套高效且有效的数据整合管理方案,优化多媒体网络信息数据的使用价值。
一、多媒体网络信息大数据整合(一)Spark并行计算框架
大数据时代产生的多媒体信息数据呈海量规模增长,然而传统的串行计算环境每次只能执行单个指令,难以满足用户高效率、大规模数据整合需求。所以,对这部分数据信息的整合需要在大数据并行框架环境下完成,确保每次能够执行多个数据计算指令以增加问题求解的范围,从根本上改善复杂性多媒体信息大数据整合计算的速度[x]。根据开源计算框架Hadoop的性能不足,技术人员开发了全新的基于内存运算的Spark并行计算框架,采用弹性分布式数据集代替传统计算框架的核心数据结构,解决了数据整合运算期间产生的大量网络IO开销与内存IO开销问题,因此大幅度提升了大数据整合计算的效率,减少了资源占用率。在Spark并行计算框架下,多媒体大数据整合用户借助弹性分布式数据集可实现部分数据在内存中的缓存,并行计算操作执行可以循环使用这部分缓存数据。Spark并行计算框架为了灵活操作弹性分布式数据集,设置了一部分特定算子专门为弹性分布式数据集运算提供服务。算子本质上是Spark的函数工具,因此,算子与弹性分布式数据集是Spark并行计算框架的核心构成。弹性分布式数据集为抽象化的数据结构,数据集在机群服务器内存中的存储形式被其定义为“分布式”,换言之,一个多媒体网络信息数据集被规划成数个数据块,一一分布存储在机群节点部位[x]。Spark框架赋予每个多媒体数据块独特的BlockID标识,识别BlockID标识对应的元数据即可灵活执行对数据块的存储、传输等操作。此外,为了方便借助算子操作多媒体数据,多媒体数据块运算过程中被划分成多个区域。除了弹性分布式数据集与算子设定以外,Spark并行计算框架引入了智能化任务调度机制,以改善大数据整合操作的调度问题。各个任务阶段可以根据实际运算量确定使用“串行”还是“并行”方式,阶段任务的中间结果不必要保存在HDFS内,进而减少Hadoop开启与任务调度过程中产生的开销问题。
(二)基于数据仓库的多媒体网络信息大数据整合技术
在多媒体网络大数据整合分析之前,有必要对其进行压缩处理,降低多媒体网络信息的冗余度,提高数据存在的价值度。所以,多媒体网络信息大数据压缩也是针对其多余部分进行压缩处理。例如,网络文件中如果反复出现同一符号,高于正常符号出现的频率,减少或者删除部分此符号即可达到数据压缩的目的。本文选取哈夫曼编码算法进行多媒体信息的无损无失真压缩,最大程度维持数据信号的质量[x]。在此基础上,利用数据仓库技术对多媒体网络信息大数据进行整合。数据仓库的体系架构设计,见图x.基于数据仓库的多媒体网络信息整合能够描述多媒体数据的历史性变化历程,存储整合数据的性能相对稳定,可以按照内容主题进行数据整合归类,为多媒体网络信息管理决策提供基础条件。结合图x分析基于数据仓库整合信息的过程:多媒体网络信息主要以文本、语言、图像等形式存在,对这部分数据进行压缩处理后需要采用ETL工具进行数据调度,以规范数据表达形式;ETL数据调度主要包括数据抽取、转换与加载。接下来构建CDC数据仓库,按照多媒体网络信息的主题要求进行分类整合存储,设计数据模型时发挥OracleBIEExxg中间件作用。最后,通过数据仓库整合的多媒体网络数据可以作为特定行业的业务规划、关联规则挖掘以及决策分析的依据。以上是多媒体网络信息数据仓库构建的基本过程,为提高大规模数据整合效率与稳定性,设计了数据仓库的优化调度策略。同时,在数据仓库集成关联规则挖掘算法,辅助完成多媒体网络信息的关联度挖掘。x.数据仓库的优化调度策略ETL是数据仓库全程使用的重要数据处理工具,完成文本、语音、图像等多媒体信息由网络云平台向数据仓库的抽取工作,根据数据规模的不同可使用全量抽取或者增量抽取。抽取期间以更加标准规范的方式约束数据质量,将有价值的数据转移到数据仓库中,排除冗余数据部分[x]。为了保证ETL工具调度的高效性与通畅性,基于萤火虫算法改进ETL任务过程,将一个ETL任务视为一个萤火虫,通过寻找每个萤火虫都可以聚集到最亮位置的方案,确定最佳的任务调度方案。萤火虫算法优化后的ETL调度数据运算的时间开销最低,并且不会打破ETL任务相互依存的关系。x.数据仓库的关联规则挖掘策略网络运行产生的多媒体信息原本来自差异性源头,所以对应的数据结构也存在差异。经过ETL转换、加载处理数据可以规划到相应的数据模型之中,呈现一定的较为浅显的关联关系。而Apriori算法可以帮助数据仓库整合后的多媒体网络信息进行深层次、高效率的关联规则挖掘,获得数据之间的关联关系规律。定义存在XY,支持度与置信度采用s、c表示;其中,X、Y分别表示规则的前件与后件,关联规则挖掘过程中,仅含有X的项出现在所有项集中的频率解释为支持度,而同时含有X、Y的项出现在含有X项集中的频率解释为置信度。Apriori算法挖掘关联规则主要分为两步,一是获得频繁项集,二是基于频繁项集得出关联性较强的规则,前提是规则不小于最小支持度与置信度。“频繁项集”是指在最小支持度之上的项集。关联规则挖掘遵循迭代原则,当不会出现后续频繁项集时停止运算。
二、多媒体网络信息大数据管理
(一)多媒体网络信息大数据的缓存管理
多媒体网络信息在整合过程中以及客户使用期间都会产生不同程度的数据搜索指令,处理好数据搜索与缓存间的关系是提高多媒体数据利用与传输效率的关键。OLAP(联机分析处理)是数据仓库分析数据的核心工具,以多维度形式灵活实现数据透视、数据上卷、数据下钻命令,以此得到决策性信息。因此,本文采用OLAP设计缓存机制解决多媒体网络信息大数据的缓存管理问题,以提高数据整合与数据使用的效率。详细的缓存机制结构,如图x所示。为用户端设计单独的缓存模块,并设置相应的内存型数据库。当搜索指令发送到缓存机制时需判断此部分内容是否存在于缓存模块,如不存在则需要立即缓存;若存在则需要到达用户界面,判断此部分内容是否存已经缓存,若已缓存则输出搜索结果,缓存结束;若没有缓存则需更新搜索指令语句,更新的方法是删除搜索已在缓存模块的查询指令,进而得到搜索结果输出,缓存结束。
(二)多媒体网络信息大数据的安全管理
多媒体网络信息安全管理需要从运维阶段、数据加密、技术人员安全培训等方面入手,全方位保障大数据处于安全稳定运行之中。x.在数据运营与维护阶段,需要标记数据的准确来源,便于后期查询数据的传输经过,为不确定问题提供解决证据。欧盟对个人性质的多媒体网络信息数据已经形成了登记规范制度,以便用户对特殊性数据有效溯源。x.数据加密技术可以良好解决多媒体网络信息的安全问题,对于构建的数据仓库可以使用SSL加密技术保护文本、图像等形式信息的安全性,即使是进行数据节点与应用程序交换行为也可以保障大数据处于安全传输状态。即使黑客非正常用途获得已加密数据后,也无法解密,无法探寻到多媒体数据中的核心要义。x.大数据管理人员的专业化水平与数据安全系数成正比,所以,一方面要聘请领域专业人才开展数据管理培训活动,定期更新技术人员的大数据知识储备量;另一方面,要制定严格的数据安全责任制度,确保恶意行为发现初期做好相应的安全方案工作,明确个人在数据安全中的责任,以奖惩方式约束技术人员的数据安全意识。
三、结语
在多媒体综合运用的时代,网络信息多表现为文本、语音、图像数据的结合体,需要对海量数据进行清洗、转换、加载重新保留有价值的内容,才能精准发挥其事物决策分析功能。为此,本文在Spark并行计算框架环境下,基于数据仓库对多媒体网络信息大数据进行有效整合。总体而言,本文解决多媒体网络信息整合的优势有两点:其一,Spark并行计算框架将弹性分布式数据集作为新的核心数据结构,有效降低数据整合中的网络IO开销与内存IO开销;其二,数据仓库采用ETL工具实现多媒体大数据的抽取、转换、加载,可以按照主题将数据整合在数据模型之下,并且集成Apriori算法后可以挖掘更为深入的数据关联规则,为决策分析提供科学依据。多媒体网络信息规模增长迅猛,除了有效整合数据以外,还需重视数据的安全管理情况。本文对多媒体网络信息数据安全管理进行简要规划,涉入不深,未来的研究中还需进行更深层次的数据加密、数据安全管理技术的探究,从而全方位提升多媒体网络数据的应用效率与价值。
第二篇:加强网络和信息安全管理工作方案(推荐)
各单位:
根据**、**和**、**有关要求,为进一步加强网络和信息安全管理工作,经**领导同意,现就有关事项通知如下。
一、建立健全网络和信息安全管理制度
各单位要按照网络与信息安全的有关法律、法规规定和工作要求,制定并组织实施本单位网络与信息安全管理规章制度。要明确网络与信息安全工作中的各种责任,规范计算机信息网络系统内部控制及管理制度,切实做好本单位网络与信息安全保障工作。
二、切实加强网络和信息安全管理
各单位要设立计算机信息网络系统应用管理领导小组,负责对计算机信息网络系统建设及应用、管理、维护等工作进行指导、协调、检查、监督。要建立本单位计算机信息网络系统应用管理岗位责任制,明确主管领导,落实责任部门,各尽其职,常抓不懈,并按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,切实履行好信息安全保障职责。
三、严格执行计算机网络使用管理规定
各单位要提高计算机网络使用安全意识,严禁涉密计算机连接互联网及其他公共信息网络,严禁在非涉密计算机上存储、处理涉密信息,严禁在涉密与非涉密计算机之间交叉使用移动存储介质。办公内网必须与互联网及其他公共信息网络实行物理隔离,并强化身份鉴别、访问控制、安全审计等技术防护措施,有效监控违规操作,严防违规下载涉密和敏感信息。严禁通过互联网电子邮箱、即时通信工具等处理、传递、转发涉密和敏感信息。
四、加强网站信息发布审查监管
各单位通过门户网站在互联网上公开发布信息,要遵循涉密不公开、公开不涉密的原则,按照信息公开条例和有关规定,建立严格的审查制度。要对网站上发布的信息进行审核把关,审核内容包括:上网信息有无涉密问题;上网信息目前对外发布是否适宜;信息中的文字、数据、图表、图像是否准确等。未经本单位领导许可严禁以单位的名义在网上发布信息,严禁交流传播涉密信息。坚持先审查、后公开,一事一审、全面审查。各单位网络信息发布审查工作要有领导分管、部门负责、专人实施。
五、组织开展网络和信息安全清理检查
各单位要在近期集中开展一次网络安全清理自查工作。对办公网络和门户网站的安全威胁和风险进行认真分析,制定并组织实施本单位各种网络与信息安全工作计划、工作方案,及时按照要求消除信息安全隐患。各单位要加大网络和信息安全监管检查力度,及时发现问题、堵塞漏洞、消除隐患;要全面清查,严格把关,对自查中发现的问题要立即纠正,存在严重问题的单位要认真整改。
各单位要从维护国家安全和利益的战略高度,充分认识信息化条件下网络和信息安全的严峻形势,切实增强风险意识、责任意识、安全意识,进一步加强教育、强化措施、落实责任,坚决防止网络和信息安全事件发生,为**召开营造良好环境。
第三篇:网络数据和信息安全管理规范
网络数据和信息安全管理规范
XXXX有限公司
WHB-08
网络数据和信息安全管理规范
版本号:
A/0
编制人:
XXX
审核人:
XXX
批准人:
XXX
20XX年X月X日发布
20XX年X月X日实施
目的计算机网络为公司局域网提供网络基础平台服务和互联网接入服务。为保证公司计算机信息及网络能够安全可靠的运行,充分发挥信息服务方面的重要作用,更好的为公司运营提供服务,依据国家有关法律、法规的规定,结合公司实际情况制定本规定。
术语
本规范中的名词术语(比如“计算机信息安全”等)符合国家以及行业的相关规定。
计算机信息安全是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法系统辨识,控制。即确保信息的完整性、保密性、可用性和可控性。包括操作系统安全、数据库安全、病毒防护、访问权限控制、加密与鉴别等七个方面。
狭义上的计算机信息安全,是指防止有害信息在计算机网络上的传播和扩散,防止计算机网络上处理、传输、存储的数据资料的失窃和毁坏,防止内部人员利用计算机网络制作、传播有害信息和进行其他违法犯罪活动。
网络安全,是指保护计算机网络的正常运行,防止网络被入侵、攻击等,保证合法用户对网络资源的正常访问和对网络服务的正常使用。
计算机及网络安全员,是指从事的保障计算机信息及网络安全工作的人员。
普通用户,是指除了计算机及网络安全员之外的所有在物理或者逻辑上能够访问到互联网、企业计算机网及各应用系统的公司内部员工。
主机系统,指包含服务器、工作站、个人计算机在内的所有计算机系统。本规定所称的重要主机系统指生产、办公用的Web服务器、Email服务器、DNS服务器、OA服务器、企业运营管理支撑系统服务器、文件服务器、各主机系统等。
网络服务,包含通过开放端口提供的网络服务,如WWW、Email、FTP、Telnet、DNS等。
有害信息,参见国家现在法律法规的定义。
重大计算机信息安全事件,是指公司对外网站(电子公告板等)上出现有害信息;有害信息通过Email及其他途径大面积传播或已造成较大社会影响;计算机病毒的蔓延;重要文件、数据、资料被删除、篡改、窃取;由安全问题引起的系统崩溃、网络部分或全部瘫痪、网络服务部分或全部中断;系统被入侵;页面被非法替换或者修改;主机房及设备被人为破坏;重要计算机设备被盗窃等事件。
组织架构及职责分工
公司设立计算机信息及网络安全领导小组,作为公司计算机信息安全工作的领导机构,统一归口负责外部部门(政府和其他部门)有关计算机信息安全工作和特定事件的处理。
计算机信息及网络安全领导小组负责领导、检查、督促、制定信息安全策略、规章制度和措施,加强计算机信息安全工作的管理和指导,落实国家有关计算机信息安全的法律、法规和上级有关规定,保障公司的计算机信息的安全。
计算机信息及网络安全工作实行“谁主管,谁负责”的原则,各部门负责人对本部门计算机信息及网络安全负直接责任。
各部门必须配备由计算机技术人员担任本部门的计算机及网络安全员,并报公司计算机信息及网络安全领导小组备案。各部门计算机及网络安全员负责本部门计算机信息及网络安全的技术规划和安全措施的具体实施和落实。
相关岗位信息安全职责:
1)负责本部门计算机信息及网络安全工作的具体实施,及时掌握和处理有关信息安全问题。
2)定期或不定期检测本部门计算机信息及网络安全情况,发现安全漏洞和隐患及时报告,并提出整改意见、建议和技术措施。
3)指导和监督、检查本部门员工在计算机信息安全防护、数据保护及账号、口令设置使用的情况。
4)发现计算机信息安全问题,及时处理,保护现场,追查原因,并报部门计算机信息安全领导小组。
5)定期分析计算机安全系统日志,并作相应处理。
6)验证本部门重要数据保护对象的安全控制方法和措施的有效性,对于不符合安全控制要求的提出技术整改措施,对本部门的数据备份策略进行验证并实施。
7)负责所管理的计算机主机系统及网络设备的安全管理和安全设置工作。
8)负责所管理计算机主机系统和网络设备的用户账号及授权管理。
9)定期分析操作系统日志,定期或不定期检查系统进程,在发现异常的系统进程或者系统进程数量的异常变化要及时进行处理。
10)负责指导并督促用户设置高安全性的账号口令和安全日志。
11)进行计算机信息安全事件的排除和修复,包括操作系统、应用系统、文件的恢复以及安全漏洞的修补。
12)在正常的系统升级后,对系统重新进行安全设置,并对系统进行技术安全检查。
13)根据上级和本级计算机信息安全领导的要求,按照规定的流程进行系统升级或安全补丁程序的安装。
14)管理本部门的计算机网络服务和相应端口,并进行登记备案和实施技术安全管理。
15)根据数据备份策略,完成所管理系统数据的备份、备份介质保管、数据恢复工作。
1)自觉遵守计算机信息及网络安全的法律、法规和规定。
2)负责所使用个人计算机设备及数据和业务系统账号的安全。
3)发现本部门计算机网存在的安全隐患及安全事件,及时报告部门计算机管理部门。
4)不得擅自安装、维护公司所有网络设备(包括路由器、交换机、集线器、光纤、网线),不得私自接入网络。
各部门应保持计算机及网络安全员的相对稳定,并加强对计算机及网络安全员的教育和技术培训。在计算机及网络安全员调动、离职或者其他原因离开原岗位时,应将其涉及的用户账号和权限及时进行变更或注销。
系统安全规定
公司计算机机房由计算机管理部门负责管理,并建立出入登记和审批制度。携带计算机设备及磁盘等存储介质进、出主机房,应经主管部门同意,并由机房管理人员进行核查登记。
各部门计算机管理部门应指定专人负责本部门计算机设备的管理,做好计算机设备的增添、维修、调拨等的审核与管理。计算机设备维修特别是需离场维修或承包给企业外部人员维护、维修时,应核实该设备中是否存储有涉及企业秘密、不宜公开的内部资料和账号、密码等,如有应采取拆卸硬盘、有效删除有关资料等有效措施,防止泄密。
使用、操作计算机设备时,应遵循以下安全要求:
1)保管好自己使用或所负责保管计算机设备的账号、口令,并不定期更换口令,不得转借、转让账号。
2)不安装和使用来历不明、没有版权的软件,对于外来的软件、数据文件等,必须先经病毒检测,确认无感染、携带病毒后方可使用。
3)不在个人使用的计算机上安装与工作无关的软件。
4)不擅自更改设备的IP地址及网络拓扑结构及软、硬件配置。
5)在存储有重要数据的计算机上,应设置开机密码、屏幕保护密码。
6)在个人计算机上安装防病毒软件,并开启实时病毒监测功能,及时升级病毒库和软件。
7)非经计算机管理部门的有效许可,不得对网络进行安全(漏洞)扫描和对账号、口令及数据包进行侦听;不得利用网络服务实施网络攻击、散布病毒和发布有害信息。在网络设备及主机系统进行操作还应该遵循有关网络安全规定。
账号管理安全
账号的设置必须遵循“唯一性、必要性、最小授权”的原则。
唯一性原则是指每个账号对应一个用户,不允许多人共同拥有同一账号。
必要性原则是指账号的建立和分配应根据工作的必要性进行分配,不能根据个人需要、职位进行分配,禁止与所管理主机系统无关的人员在系统上拥有用户账号,要根据工作变动及时关闭不需要的系统账号。
最小授权原则是指对账号的权限应进行严格限制,其权限不能大于其工作、业务需要。超出正常权限范围的,要经主管领导审批。
系统中所有的用户(包括超级权限用户和普通用户)必须登记备案,并定期审阅。
严禁用户将自己所拥有的用户账号转借他人使用。
员工发生工作变动,必须重新审核其账号的必要性和权限,及时取消非必要的账号和调整账号权限;如员工离开本部门,须立即取消其账号。
在本部门每个应用系统、网络工程验收后,应立即删除系统中所有的测试账号和临时账号,对需要保留的账号口令重新进行设置。
系统管理员必须定期对系统上的账号及使用情况进行审核,发现可疑用户账号时及时核实并作相应的处理,对长期不用的用户账号进行锁定。
一般情况下不允许外部人员直接进入主机系统进行操作。在特殊情况下(如系统维修、升级等)外部人员需要进入系统操作,必须由系统管理员进行登录,并对操作过程进行记录备案。禁止将系统用户及口令直接交给外部人员。
口令安全管理
口令的选取、组成、长度、修改周期应符合安全规定。禁止使用名字、姓氏、电话号码、生日等容易猜测的字符串作为口令,也不要使用单个单词作为口令,在口令组成上必须包含大小写字母、数字、标点等不同的字符组合,口令长度要求在8位以上。
重要的主机系统,要求至少每个月修改口令,对于管理用的工作站和个人计算机,要求至少每两个月修改口令。
重要的主机系统应逐步采用一次性口令及其它可靠的身份认证技术。
本地保存的用户口令应加密存放,防止用户口令泄密。
软件安全管理:
不安装和使用来历不明、没有版权的软件。
不得在重要的主机系统上安装测试版的软件。
开发、修改应用系统时,要充分考虑系统安全和数据安全,从数据的采集、传输、处理、存贮,访问控制等方面进行论证,测试、验收时也必须进行相应的安全性能测试、验收。
操作系统和应用软件应根据其本身存在的安全漏洞及时进行必须的安全设置、升级和打安全补丁。
个人计算机上不得安装与工作无关的软件。在服务器系统上禁止安装与服务器所提供服务和应用无关的其它软件。
系统设备和应用软件的登录提示应对可能的攻击尝试、非授权访问提出警告。
主机系统的服务器、工作站所使用的操作系统必须进行登记。登记记录上应该标明厂家、操作系统版本、已安装的补丁程序号、安装和升级的时间等内容,并进行存档保存。
重要的主机系统在系统启用、重新安装或者升级时应建立系统镜像,在发生网络安全问题时利用系统镜像对系统进行完整性检查。
服务器、网络设备、计算机安全系统(如防火墙、入侵检测系统等)等应具备日志功能并必须启用。网络信息安全管理员要定期分析网络安全系统和操作系统日志,在发现系统遭受攻击或者攻击尝试时采取安全措施进行保护,对网络攻击或者攻击尝试进行定位、跟踪并发出警告,并向网络信息安全领导小组报告。系统日志必须保存三个月以上。
新建计算机网络、应用系统必须同时进行网络信息安全的设计。
互联网信息安全
公司对外网站、需定期做安全检查,并设置好相关的信息发布、管理权限,防止有害信息传播。
各部门搭建的电子邮件系统,禁止开启匿名转发功能,并应按有关规定从技术、管理上采取有效措施过滤垃圾电子邮件及有害信息。
数据安全
需要保护的重要数据至少包括:
1)重要文件、资料、图纸(电子版)。
2)财会系统数据库。
3)重要主机系统的系统数据。
4)其他重要数据。
各部门计算机管理部门应制定数据备份策略及重要数据灾难恢复计划,及时做好数据备份及恢复。
对数据备份必须有明确的记录,在记录中标明备份内容、备份时间,备份操作人员等信息。对于重要数据的备份必须异地存放,并做好相关的异地备份记录。
各部门必须每年至少进行一次数据备份策略的有效性的验证,对数据恢复过程进行试验,确保在发生安全问题时能够从数据备份中进行恢复。
各部门计算机管理部门应对所管理系统上存储的数据进行登记备案,登记的内容主要包括:需要保护的数据、存储的位置、存储的形式、安全控制的方法和措施、负责安全管理和日常备份的人员、可以访问数据的用户、访问的方式以及权限。
涉及企业秘密及具有高保密性要求(如口令文件)的数据在传输、存贮时应加密。
禁止在没有采用安全保护机制的计算机上存储重要数据,在存储重要数据的计算机至少应该有开机口令、登录口令、数据库口令、屏幕保护等防护措施。禁止在个人计算机上存放重要数据。
不得以软盘或者笔记本电脑等形式将重要数据带出系统。如确实必需,须将数据用安全可靠的加密手段加密存储,并将存储的软盘或笔记本电脑比照密级文件管理。
安全管理
各部门必须对本部门的计算机信息及网络安全进行经常性的检查、检测:
1)系统安全检查应每月检查、检测一次;
2)计算机病毒防治应每月至少全面检查一次;
3)数据备份应每月检查一次。
检查发现计算机信息及网络安全隐患,应组织安全隐患整治,不能马上整治的,应采取有效措施预防网络信息安全事件和案件的发生。
发生计算机信息及网络安全事件,应马上组织人员妥善处理,防止扩散影响。触犯刑律的,应保存证据,报告公安机关,并配合查处。
发生重大计算机信息及网络安全事件须在24小时内上报。
各部门应对用户及本部门员工进行网络信息安全宣传,宣传有关国家法律、法规和网络信息安全知识,加强用户的法律意识和安全意识,不得从事任何危害网络信息安全的行为。
顾客网络信息安全
维护人员不得将顾客系统的密码泄露给他人。
维护人员因工作原因进入顾客系统是,不得复制、删除、修改顾客信息。
进入顾客系统应使用专用计算机,该计算机应每周进行杀毒,以防将病毒传入顾客系统。
维护人员的客户端应及时升级或更新,确保其与顾客系统的版本保持一致。
文档内容仅供参考
第四篇:计算机、网络管理及信息安全管理制度[模版]
文章标题:计算机、网络管理及信息安全管理制度
第一条为了进一步加强全市XX系统计算机、网络及信息安全的管理,确保全市工商系统计算机、网络及信息安全管理工作的制度化、规范化,根据《中华人民共和国计算机信息网络国际联网管理暂行规定》、《中华人民共和国计算机信息系统安全保护条例》和公安部《计算机信息网络国际联网安全保
护管理办法》,结合本系统实际,特制定本制度。
第二条全市XX系统单位及个人必须严格遵守本制度,以确保安全使用计算机及网络。
第三条各级信息中心承担本局计算机及网络的安装、调试、用户安全教育与培训、安全保护技术措施的拟定与落实,保障全局计算机网络的运行安全和信息安全。
第四条单位数据中心机房设立恒温恒湿装置、防火、防水、防盗、防雷击、防尘系统、8小时以上不间断电源系统、出入登记系统;非网管人员和维修人员未经允许不得进入数据中心机房;工作人员不得在数据中心机房内饮食、吸烟。
第五条所有计算机必须设定静态IP地址;所有计算机的netbios名必须按科室名-使用者名(拼音字母缩写,如有重名可在后加1、2等序号)命名;所有上互联网的计算机必须设立60天或以上的上网日志,不上与工作无关的网站;设有邮件服务器的单位必须安装反垃圾邮件系统;所有计算机必须安装正版、防病毒、防火墙软件;未经信息中心同意不得安装任何非工作软件在单位计算机中;工作计算机附近不得堆放任何液体物品及食品。
第六条计算机网络安装网络防病毒软件、防火墙、网络管理软件;网站必须安装公安局认可的防火墙、入侵检测系统、防病毒软件;信息中心必须专人定时做好各种安全系统及操作系统的安全更新。
第七条XX信息网(下称内联网)供XX系统内部使用,对国际、国内发布信息,运行时内联网和红盾网互相物理隔离。
第八条按照有关规定,实行文件信息“谁上网谁负责”的原则。凡是秘密等级以上的文件,不得在内联网和上发布;凡上网信息必须经过审查和批准,确保国家机密不上网。XX机关规定不能对外公开的资料不得在信息网上发布;需计算机处理的密件由专人在专室、专用单机上进行。
第九条任何人员不得做任何与本职工作无关的计算机操作,不得打开任何来历不明的邮件,如觉可疑应立即删除,如感觉有异常情况,应及时向信息中心报告;未经授权的人员严禁操作、访问网络服务器及他人计算机设备,不得修改信息网和红盾网任何内容,不得连接数据库作任何操作。
第十条上网用户不得利用网络危害国家安全、泄露国家机密,不得侵犯国家、社会、单位、集体的利益和公民的合法权益,不得从事违法犯罪活动。
第十一条上网用户不得在任何网络上制作、复制和传播下列信息:
(一)煽动抗拒、破坏宪法和法律、行政法规实施;
(二)煽动颠覆国家政权,推翻社会主义制度;
(三)煽动分裂国家、破坏国家统一;
(四)煽动民族仇恨、民族歧视,破坏民族团结;
(五)捏造或者歪曲事实,散布谣言,扰乱社会秩序;
(六)宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖,教唆犯罪;
(七)公然侮辱他人或者捏造事实诽谤他人;
(八)损害形象和利益;
(九)其他违反宪法和法律、行政法规的。
第十二条上网用户不得从事下列危害计算机信息网络安全的活动:
(一)未经允许,对自己或他人的计算机网络功能进行删除、修改或者增加;
(二)未经允许,对自己或他人的计算机信息存储、处理或者传输的数据和应用程序进行删除、修改或者增加;
(三)浏览与工作无关的网站,上网下载或以其他方式带入任何未经批准使用的程序,故意制作、传播计算机病毒等破坏性程序;
(四)其他危害计算机信息网络安全的行为。
第十三条机关工作人员上网只能做与工作有关的事务或操作,严禁在网上进行赌博或其它不法活动。严禁工作时间玩计算机游戏。
第十四条上网用户必须按自己的帐号、密码进入相应系统,不得盗用他人的帐号、密码。密码不得外泄,如发现可能外泄,应及时重设或申请更换;造成损失和危害的,追究其责任。网络特权服务用户不得泄漏有关软硬件、网络技术细节及管理密码;所有人员必须保管好自己的密码,确保密码长度不少于8位、必须具有复杂性(含不重复的字母、数字及特殊符号)、不通用性、不易记性,必须定期更新密码;使用密码时应确保旁人不能窥视;不要在软件使用时选自动记忆帐户密码功能;不要在任何地方使用任何方式谈论或书式记忆任何密码;未经批准不得将数据和软件拷贝带离本单位或从单位外带入数据输入到计算机中。
第十五条联网设备及计算机内网
络配置应保持相应固定,特别是不得随意修改IP地址,若出现故障应通知信息中心技术人员及时处理,不得自行随意处理,未经信息中心允许不得自行增加计算机设备入网。
第十六条网络除星期六进行维护外必须24小时运行。信息中心设网络管理值勤员。值勤员负责其值勤期内的网络正常运行维护、数据备份、报障排障、入侵事件记录等工作,并做好工作
日志。
第十七条办公室将不定期抽查计算机上网记录,如发现违反本制度的,视情节轻重给予通报批评、纪律处分。构成犯罪的,由司法机关依法追究刑事责任。
第十八条本制度未尽事宜或与国家法律、法规、规定不符的,均按国家法律、法规、规定执行。
第十九条本制度由办公室负责解释,组织实施。
第二十条本制度自公布之日起施行。
《计算机、网络管理及信息安全管理制度》来源于feisuxs,欢迎阅读计算机、网络管理及信息安全管理制度。
第五篇:人员网络及信息安全管理规定..
XXXX单位或公司企业标准
人员网络及信息安全管理规定
2014-10-25发布
2014-11-01实施
XXXX单位或公司 发布
Q/JYG/GL-XX-20-2014.a
前 言
本标准由XXXX单位或公司标准化管理委员会提出。本标准由XXXX单位或公司XXXX部门起草并归口管理。本标准主要起草人: 本标准由 XXX批准。
本标准首次发布于2014年10月25日,自本标准发布之日起,《信息系统操作人员安全管理规定》同时废除。
II
Q/JYG/GL-XX-20-2013.a 人员网络及信息安全管理规定 范围
为规范公司信息系统安全人员管理,保障公司信息安全,根据《信息安全等级保护管理办法》、《信息系统安全管理要求》(GB/T19715.2--2005)以及公司相关规章制度,制订本规定。
本标准规定了本企业内部人员、第三方运维人员等安全管理的相关内容,包括工作岗位风险分级、人员审核、人员录用、保密协议、人力调动、人员离职、人员考核、安全意识教育和培训、第三方人员安全等。
本标准适用于本企业内部人员及第三方人员的管理与考核。2 规范性引用文件
无规范性引用文件,保留本条款的目的是保持本公司标准结构的一致,便于今后的修订。3 术语和定义 3.1 人员安全
是指通过管理和控制,确保单位内部人员(特别是信息系统的管理维护人员)和第三方人员在安全意识、能力和素质等方面都满足工作岗位的要求。3.2 第三方人员
是指来自外单位的专业服务机构,为本单位提供应用系统开发、网络管理和安全支持等信息技术外包服务的工作人员。3.3 安全教育和培训
是通过宣传和教育的手段,确保相关工作人员和信息系统管理维护人员充分认识信息安全的重要性,具备符合要求的安全意识、知识和技能,提高其进行信息安全防护的主动性、自觉性和能力。4 机构和职责
4.1 信息化建设项目实施小组 4.1.1 4.1.2 4.1.3 负责指导公司及两厂信息系统操作人员安全管理工作; 负责执行公司信息安全检查及管理工作;
研究国家和行业的信息安全政策法规,组织有关部门讨论来保证其符合性。
4.2 人力资源部 4.2.1 4.2.2 4.2.3 负责组织各部门编制部门所属员工的工作职能; 负责员工的专业资质审查、招聘和岗位技能培训等; 负责员工离职、调动的审查和批准等。
4.3 XXXX部门 4.3.1 负责检查各部门的信息安全工作落实情况;
Q/JYG/GL-XX-20-2013.a 4.3.2 4.3.3 4.3.4 4.3.5 4.3.6 负责对人员在岗时的信息安全相关工作记录进行检查; 负责对信息系统关键人员进行定期培训和考核工作; 负责第三方人员信息安全管理工作;
负责工作岗位风险状态分级及划分信息系统安全职责工作;
负责普及信息安全防范意识,并针对信息安全违规事件向公司提出处理建议。
4.4 其他部门 4.4.1 4.4.2 4.4.3 4.4.4 负责接受信息安全教育和培训、以及配合定期的信息安全抽查工作; 负责部门人员在岗时的信息安全管理;
负责定期组织针对本部门信息系统工作人员的技能考核工作; 负责部门人员在岗、离岗或调动后的资产管理及记录存档工作。人员安全管理 5.1 人员录用 4.4.5 4.4.6 信息化建设项目实施小组负责指导人力资源部信息安全工作人员的录用工作; 人力资源部对拟录用信息系统岗位人员身份、背景、专业资格和资质等方面进行审查,并进行技能考核; 4.4.7 人员录用前的审查标准为:具有基本的专业技术水平,接受过安全意识教育和培训,能够掌握安全管理基本知识。信息系统关键岗位人员还应具备较好的思想品质以及基本的系统安全风险分析、评估能力; 4.4.8 从事关键岗位或负责核心系统、机房等重要区域的人员,须从内部人员选拨,应具备认真负责的工作态度、较高的职业道德水准; 4.4.9 由人力资源部及XXXX部门对信息安全人员进行入职培训,包括信息安全规章制度的教育培训等,并将制度掌握等培训情况纳入到试用期考核。5.2 在职人员 5.2.1 5.2.2 5.2.3 各部门领导负责本部门人员信息安全管理工作,确保岗位信息安全职责的落实; 各部门应对人员领用资产的情况做相应记录,在人员归还信息资产时消除记录; XXXX部门定期组织抽查内部人员权限分配情况,如发现权限分配不合理,立即通知相关部门进行修改; 5.2.4 XXXX部门信息系统管理员应严格执行相关操作手册,进行日常运维操作。
5.3 人员调动 5.3.1 义务; 5.3.2 工作人员内部调动至其他岗位时,在接到岗位调动通知后,应于一个月内依据调动程序工作人员岗位调动后,须办理严格的调动手续,关键岗位人员离岗须承诺调离后的保密办理工作资料、软硬件设备等移交手续;
Q/JYG/GL-XX-20-2013.a 5.3.3 被调动人员持有原岗位钥匙、公司文件和设备等硬件资产由所在部门收回,并做好岗位交接记录; 5.3.4 由被调动人员填写《信息系统权限变更表》,经原部门以及人力资源部审批后,上报至XXXX部门,由XXXX部门负责对其信息系统访问授权进行调整,并回收相关软件; 5.3.5 项; 5.3.6 工作人员岗位调动后,还应承担原岗位的保密责任,参见附件《保密协议》。工作人员信息系统权限变动后,XXXX部门须告知其信息安全责任的变化和新的注意事5.4 人员离职 5.4.1 工作人员离职后,须办理严格的离职手续,管理层和关键岗位人员离职须承诺调离后的保密义务; 5.4.2 5.4.3 录; 5.4.4 由离职人员填写《信息系统权限变更表》,经原部门及人力资源部审批后,上报至XXXX工作人员离职时,应于一个月内依据离职程序办理工作资料、软硬件设备等移交手续; 由所在部门收回离职人员持有原岗位钥匙、公司文件和设备等硬件资产,并做好交接记部门,由XXXX部门负责删除其信息系统权限,并回收相关软件; 5.4.5 工作人员离职后,须由XXXX部门进行安全审查,在规定的脱密期限后方可离职;涉密人员的脱密期限遵照有关保密规定签署书面保密承诺书,承诺调离后对原来工作中涉及信息的保密要求,参见《保密协议》。5.5 人员考核 5.5.1 各部门每年组织一次针对本部门信息系统工作人员的定期考核,对各个岗位的人员进行不同侧重的安全认知和安全技能考核,作为人员是否适合当前岗位的参考; 5.5.2 XXXX部门每年组织一次针对关键岗位人员的定期审查和技能考核,审查依据记录表格和操作日志,如发现其违反安全规定,应查明原因,令其做出整改承诺,严重者不得继续从事关键岗位工作。
5.6 安全意识教育和培训 5.6.1 XXXX部门应根据各岗位的信息安全角色和职责,制定该岗位所需的信息安全培训计划,并对安全教育和培训情况及结果进行记录。培训内容包括安全意识教育、岗位技能培训和相关安全技术培训; 5.6.2 XXXX部门应在工作人员被授予访问权限之前,依据其安全角色和职责,进行针对性的安全教育和安全培训; 5.6.3 信息安全培训内容包括但不仅限于以下几方面:
1)信息安全基础知识、岗位操作规程、信息系统使用规范; 2)公司信息安全方针、策略与信息安全目标的宣贯培训;
3)信息安全专题培训(如病毒防范培训、访问控制培训、等级保护培训等);
Q/JYG/GL-XX-20-2013.a 4)岗位安全责任、操作技能及相关技术; 5)违反违背安全策略和安全规定的惩戒措施。5.7 工作岗位风险分级 5.7.1 XXXX部门应根据不同岗位的性质,结合各个信息系统的安全需求,规定其信息安全风险级别并针对不同的岗位风险级别赋予信息访问权限; 5.7.2 各部门应在日常工作中落实有关工作岗位的风险分级规定内容,所有工作人员应当明确自己所在岗位的信息访问权限; 5.7.3 投资根据公司岗位信息安全级别和业务特点,确定公司岗位信息安全职责。信息安全职责应包括以下内容:
1)在公司信息安全管理组织架构中的职责; 2)在执行公司信息安全方针和目标方面的职责;
3)在遵守国家、地方各种信息安全相关法律法规方面的职责;
4)在保护公司信息资产免受未授权访问、泄露、修改、销毁或干扰方面的职责; 5)执行特定的安全过程或活动方面的职责; 6)在报告信息安全事故和弱点方面的职责。5.8 工作协议 5.8.1 对各部门涉及合同约定事项中有信息安全的要求时,各部门要与本部门工作人员(如果尚未签订)及相关外部单位签署保密协议(保密协议中各项条款可根据具体项目具体编制); 5.8.2 XXXX部门应在重要信息系统的管理维护和使用人员在上岗前,应严格按照信息安全规章制度中的有关规定前述工作协议; 5.8.3 根据岗位制定相应的保密协议或保密承诺书,保密协议可包括以下方面的内容:
1)—岗位所要保护的信息; 2)—协议有效期;
3)—协议终止时所应采取的措施; 4)—为避免泄密,签字人的职责和行为;
5)—保密协议与知识产权保护、商业秘密保护的关系; 6)—涉密信息的许可使用,及签字人使用信息的权力; 7)—对涉密信息的活动的审核和监视; 8)—涉密信息泄露或被破坏后的处理程序; 9)—协议终止时信息的归档或销毁的措施; 10)—违反协议后应采取的措施;
11)应规定工作协议的内容(保密协议条款、操作流程和规范),管理和落实工作协议的部门,以及前述工作协议的流程。
5.9 第三人人员管理
Q/JYG/GL-XX-20-2013.a 5.9.1 第三人员在访问受控区域前,应向XXXX部门提出书面申请,经批准后,由专人全程陪同或监督,并登记备案。
5.9.2 第三人人员不得将与工作无关的物品带入机房,携带工作必需品进入机房须登记,并接受检查。
5.9.3 第三方人员非因工作需要不得进入机房,不得对重要信息系统进行维护性逻辑访问。5.9.4 第三方人员进入本单位开始工作前,应与其所在单位签订保密协议,并要求第三方人员所在单位与公司签订保密协议或在在合同内容中明确。
5.9.5 XXXX部门应采取必要的管理和技术手段,对第三方人员是否遵守安全要求进行检查监督。5.9.6 各部门应按照公司有关信息安全管理规定以及合同要求,对外协人员进行监督和检查,并就安全违规情况按合同条款中的要求进行处理。
5.9.7 第三方人员的权限按《信息系统开发安全管控办法》进行分配与管理。
5.9.8 XXXX部门定期组织检查所有外部人员权限分配情况,并将抽查结果进行记录。如发现权限分配不合理,立即通知相关人员进行权限修改。
5.10 信息安全违规的处理
5.9.9 违反本规定,发生信息安全事故的,按照事故造成的损失和后果,依据国家有关法律法规进行处罚;
5.9.10 除进行处罚外,XXXX部门应在全公司内就类似违规事件进行宣传教育,避免同类问题再次发生。
附:
Q/JYG/GL-XX-20-2013.a XXXX单位或公司保密协议书
甲方:XXXX单位或公司 公司地址: 乙方: 身份证号码:
根据《中华人民共和国劳动法》、《中华人民共和国反不正当竞争法》、《中华人民共和国保密法》、《关于禁止侵犯商业秘密行为的若干规定》、《中华人民共和国电信条例》等相关法律、法规,甲、乙双方在平等、自愿的原则下订立以下协议,以资共同遵守。
一、保密义务
乙方为XXXX单位或公司正式员工,或为XXXX单位或公司提供相关系统开发、集成、运维等技术支持,XXXX单位或公司根据国家有关法律法规及公司的规章制度,按确定的工作职责,向乙方开放其职责范围内的技术及商业信息。
乙方同意为XXXX单位或公司利益尽最大的努力,不从事任何危害电信安全的行为,不从事任何不正当使用商业秘密或技术秘密的行为。
二、保密的范围
乙方因工作关系获得或交换所得XXXX单位或公司在经营管理过程中,未向社会公开或只在一定范围内公开的任何信息、经验、技术和资料,包括建设和经营计划、重要会议内容、重要公文内容、招投标方案、技术方案、财务数据、营销策略、用户信息、公司技术、工程、经营、文书、人事档案等一切有关XXXX单位或公司商业、技术及经营管理秘密的信息。国家法律、法规规定的涉及通信保密和网络安全的内容。
三、保密信息的使用
(一)乙方在XXXX单位或公司工作期间:
1、保证不擅自发表、不泄漏有关XXXX单位或公司及其客户的任何秘密,不使他人获得、使用或计划使用这些信息,并尽最大努力确保资料不遗失、不缺损;
2、在XXXX单位或公司指示和业务范围内,可以允许进行商业秘密和技术秘密的交流,但不得:直接或间接地向XXXX单位或公司内部、外部的无关人员泄漏;不得为私人利益使用或计划使用;不得复制或公开包含XXXX单位或公司商业秘密和技术秘密的文件或文件副本;对工作中所保管、接触的有关XXXX单位或公司或XXXX单位或公司公司客户的文件应妥善对待,未经许可不得超出工作范围使用;不得以第三方的身份直接或间接参与同公司竞争的行为。
(二)乙方无论因何种原因结束在XXXX单位或公司的工作时,都应及时将所有与XXXX单位或公司经营活动有关的文件、记录或材料(包括个人笔记和复印的资料、电子文档等)归还给XXXX单位或公司。
Q/JYG/GL-XX-20-2013.a
四、时效及时效期间内应遵守的准则
鉴于XXXX单位或公司拥有的商业秘密和技术秘密在竞争中有重要价值,存在于劳动关系存续期间和终止、解除之后,因此乙方同意:上述义务在乙方受聘或受委托于XXXX单位或公司工作期间有效,对重要的商业秘密和技术秘密长期有效。
五、违约责任
乙方违反本协议项下的任何规定,XXXX单位或公司都有权:
(一)责令乙方停止违约或侵权行为;
(二)视情节处以年总收入以下的罚款,扣发奖金或其他纪律处分、行政处分直至开除;
(三)要求乙方赔偿其违约或侵权行为而导致的一切经济损失及其可能的寻求法律救助过程中发生的一切费用,其中包括律师费用、诉讼费用;
(四)触犯法律的,提请有关部门追究其法律责任。
六、争议的解决办法
因执行本协议而发生纠纷,可以由双方协商解决。协商、调解不成或者一方不愿意协商、调解的,任何一方都有提起诉讼的权利。
七、如乙方与XXXX单位或公司原签订《保密协议书》,自本协议签订之日起原协议同时废止。原有XXXX单位或公司规章制度与本协议有冲突的,以本协议为准,无冲突的,仍继续有效。
八、协议效力
本协议一式两份,甲乙双方各执一份。自甲乙双方签章之日起生效,两份协议具有同等法律效力。
甲方法人代表或委托代理人 乙方(签字或盖章):
(签字或盖章):
签订日期:年 月 日 签订日期: 年 月 日
鲁公网安备37028302000876号