計(jì)算機(jī)安全員培訓(xùn)CD1PPT轉(zhuǎn)Word

信息網(wǎng)絡(luò)安全概述

計(jì)算機(jī)安全員培訓(xùn)

信息網(wǎng)絡(luò)安全概述

信息網(wǎng)絡(luò)安全與計(jì)算機(jī)信息系統(tǒng)

信息網(wǎng)絡(luò)面臨的威脅及其脆弱性

信息網(wǎng)絡(luò)安全保護(hù)

信息網(wǎng)絡(luò)安全監(jiān)察

網(wǎng)絡(luò)職業(yè)道德與社會(huì)責(zé)任

一、信息網(wǎng)絡(luò)安全與計(jì)算機(jī)信息系統(tǒng)

(-)計(jì)算機(jī)信息系統(tǒng)(信息網(wǎng)絡(luò))

概念：由計(jì)算機(jī)及其相關(guān)配套的設(shè)備、設(shè)施構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)

信息進(jìn)行采集、加工、存儲(chǔ)、傳輸和檢索等處理的人機(jī)系統(tǒng)。

(-)信息網(wǎng)絡(luò)安全

信息網(wǎng)絡(luò)安全是一門(mén)涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、應(yīng)用數(shù)學(xué)、信息論等多種學(xué)科的

綜合性學(xué)科?，其實(shí)質(zhì)就是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然

的或者惡意的原因而遭到破壞、更改、泄露，確保系統(tǒng)能連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)

不中斷。

信息網(wǎng)絡(luò)安全的目標(biāo)

保護(hù)網(wǎng)絡(luò)信息的保密性、完整性、可用性、不可抵賴(lài)性。

網(wǎng)絡(luò)安全指的是保護(hù)網(wǎng)絡(luò)信息系統(tǒng)，使其沒(méi)有危險(xiǎn)，不受威脅，不出事故。

1.可用性

可用性指信息或者信息系統(tǒng)可被合法用戶(hù)訪問(wèn)，并按其要求運(yùn)行的特性。如圖所

示，“進(jìn)不來(lái)”、“改不了”和“拿不走”都實(shí)現(xiàn)了信息系統(tǒng)的可用性。

人們通常采用一些技術(shù)措施或網(wǎng)絡(luò)安全設(shè)備來(lái)實(shí)現(xiàn)這些目標(biāo)。例如：使用防火

墻，把攻擊者阻擋在網(wǎng)絡(luò)外部，讓他們“進(jìn)不來(lái)”。

即使攻擊者進(jìn)入了網(wǎng)絡(luò)內(nèi)部，由于有加密機(jī)制，會(huì)使他們“改不了”和“拿不走”

關(guān)鍵信息和資源。

2.機(jī)密性

機(jī)密性將對(duì)敏感數(shù)據(jù)的訪問(wèn)權(quán)限控制在那些經(jīng)授權(quán)的個(gè)人，只有他們才能查看數(shù)

據(jù)。機(jī)密性可防止向未經(jīng)授權(quán)的個(gè)人泄露信息，或防止信息被加工。

如圖所示，“進(jìn)不來(lái)”和“看不懂”都實(shí)現(xiàn)了信息系統(tǒng)的機(jī)密性。人們使用口

令對(duì)進(jìn)入系統(tǒng)的用戶(hù)進(jìn)行身份鑒別，非法用戶(hù)沒(méi)有口令就“進(jìn)不來(lái)”，這就保證了信息系

統(tǒng)的機(jī)密性。

即使攻擊者破解了口令，而進(jìn)入系統(tǒng)，加密機(jī)制也會(huì)使得他們“看不懂”關(guān)鍵信

息。

例如，甲給乙發(fā)送加密文件，只有乙通過(guò)解密才能讀懂其內(nèi)容，其他人看到的是亂

碼。由此便實(shí)現(xiàn)了信息的機(jī)密性。

3.完整性

完整性指防止數(shù)據(jù)未經(jīng)授權(quán)或意外改動(dòng)，包括數(shù)據(jù)插入、刪除和修改等。為了確保

數(shù)據(jù)的完整性，系統(tǒng)必須能夠檢測(cè)出未經(jīng)授權(quán)的數(shù)據(jù)修改。其目標(biāo)是使數(shù)據(jù)的接收方能夠

證實(shí)數(shù)據(jù)沒(méi)有被改動(dòng)過(guò)。

如圖所示，“改不了”和“拿不走”都實(shí)現(xiàn)了信息系統(tǒng)的完整性。使用加密機(jī)制，

可以保證信息系統(tǒng)的完整性，攻擊者無(wú)法對(duì)加密信息進(jìn)行修改或者復(fù)制。

4.不可抵賴(lài)性

不可抵賴(lài)性也叫不可否認(rèn)性，即防止個(gè)人否認(rèn)先前已執(zhí)行的動(dòng)作，其目標(biāo)是確保數(shù)

據(jù)的接收方能夠確信發(fā)送方的身份。例如，接受者不能否認(rèn)收到消息，發(fā)送者也不能否認(rèn)

發(fā)送過(guò)消息。

如圖所示，“跑不掉”就實(shí)現(xiàn)了信息系統(tǒng)的不可抵賴(lài)性。如果攻擊者進(jìn)行了非法操

作，系統(tǒng)管理員使用審計(jì)機(jī)制或簽名機(jī)制也可讓他們無(wú)處遁形。

二、信息網(wǎng)絡(luò)面臨的威脅及脆弱性

（-）網(wǎng)絡(luò)系統(tǒng)的脆弱性

（-）網(wǎng)絡(luò)系統(tǒng)面臨的威脅

（三）產(chǎn)生威脅的原因

操作系統(tǒng)的脆弱性

計(jì)算機(jī)系統(tǒng)本身的脆弱性

電磁泄漏

數(shù)據(jù)的可訪問(wèn)性

通信系統(tǒng)和通信協(xié)議的脆弱性數(shù)據(jù)庫(kù)系統(tǒng)的脆弱性

存儲(chǔ)介質(zhì)的脆弱

1、操作系統(tǒng)的脆弱性

NOS體系結(jié)構(gòu)本身就是不安全的一操作系統(tǒng)程序的動(dòng)態(tài)連接性。操作系統(tǒng)可以創(chuàng)建進(jìn)

程，這些進(jìn)程可在遠(yuǎn)程節(jié)點(diǎn)上創(chuàng)建與激活，被創(chuàng)建的進(jìn)程可以繼續(xù)創(chuàng)建進(jìn)程。

NOS為維護(hù)方便而預(yù)留的無(wú)口令入口也是黑客的通道。

2、計(jì)算機(jī)系統(tǒng)本身的脆弱性

硬件和軟件故障：硬盤(pán)故障、電源故障、芯片主板故障、操作系統(tǒng)和應(yīng)用軟件故障。

存在超級(jí)用戶(hù)，如果入侵者得到了超級(jí)用戶(hù)口令，整個(gè)系統(tǒng)將完全受控于入侵者。

3、電磁泄漏

計(jì)算機(jī)網(wǎng)絡(luò)中的網(wǎng)絡(luò)端口、傳輸線(xiàn)路和各種處理機(jī)都有可能因屏蔽不嚴(yán)或未屏蔽而造成

電磁信息輻射，從而造成有用信息甚至機(jī)密信息泄漏。

4、數(shù)據(jù)的可訪問(wèn)性

進(jìn)入系統(tǒng)的用戶(hù)可方便地拷貝系統(tǒng)數(shù)據(jù)而不留任何痕跡；網(wǎng)絡(luò)用戶(hù)在一定的條件下，可

以訪問(wèn)系統(tǒng)中的所有數(shù)據(jù)，并可將其拷貝、刪除或破壞掉。

5、通信系統(tǒng)與通信協(xié)議的脆弱性

通信系統(tǒng)的弱點(diǎn)：網(wǎng)絡(luò)系統(tǒng)的通信線(xiàn)路面對(duì)各種威脅就顯得非常脆弱,TCP/IP及

FTP、E-mail、WWW等都存在安全漏洞,如FTP的匿名服務(wù)浪費(fèi)系統(tǒng)資源,E-mail中潛伏

著電子炸彈、病毒等威脅互聯(lián)網(wǎng)安全，WWW中使用的通用網(wǎng)關(guān)接口程序、JavaApplet程

序等都能成為黑客的工具，黑客采用TCP預(yù)測(cè)或遠(yuǎn)程訪問(wèn)直接掃描等攻擊防火墻。

6、數(shù)據(jù)庫(kù)系統(tǒng)的脆弱性

由于DBMS對(duì)數(shù)據(jù)庫(kù)的管理是建立在分級(jí)管理的概念上的，因此，DBMS存在安全隱

患。另外，DBMS的安全必須與操作系統(tǒng)的安全配套，這無(wú)疑是一個(gè)先天的不足之處。

黑客通過(guò)探訪工具可強(qiáng)行登錄和越權(quán)使用數(shù)據(jù)庫(kù)數(shù)據(jù)；

數(shù)據(jù)加密往往與DBMS的功能發(fā)生沖突或影響數(shù)據(jù)庫(kù)的運(yùn)行效率。

7、存儲(chǔ)介質(zhì)的脆弱性

軟硬盤(pán)中存儲(chǔ)大量的信息，這些存儲(chǔ)介質(zhì)很容易被盜竊或損壞，造成信息的丟失。

介質(zhì)的剩磁效應(yīng)：廢棄的存儲(chǔ)介質(zhì)中往往殘留有關(guān)信息。

（-）信息網(wǎng)絡(luò)系統(tǒng)面臨的威脅

非授權(quán)訪問(wèn)：是指沒(méi)有預(yù)先經(jīng)過(guò)同意，就使用網(wǎng)絡(luò)或計(jì)算機(jī)資源，如有意避開(kāi)系統(tǒng)

訪問(wèn)控制機(jī)制，對(duì)網(wǎng)絡(luò)設(shè)備及資源進(jìn)行非正常使用，或擅自擴(kuò)大權(quán)限，越權(quán)訪問(wèn)信息。非

授權(quán)訪問(wèn)主要有以下兒種形式：假冒身份攻擊、非法用戶(hù)進(jìn)入網(wǎng)絡(luò)系統(tǒng)進(jìn)行違法操作、合

法用戶(hù)以未授權(quán)方式進(jìn)行操作等。

（二）信息網(wǎng)絡(luò)系統(tǒng)面臨的威脅

信息泄露或丟失：指敏感數(shù)據(jù)在有意或無(wú)意中被泄露出去或丟失。它通常包括：信

息在傳輸中丟失或泄露（如“黑客”們利用電磁泄露或搭線(xiàn)竊聽(tīng)等方式可截獲機(jī)密信息，

或通過(guò)對(duì)信息流向、流量、通信頻度和長(zhǎng)度等參數(shù)的分析，推出有用信息），信息在存儲(chǔ)

介質(zhì)中丟失或泄露，通過(guò)建立隱蔽隧道等竊取敏感信息等。

（-）信息網(wǎng)絡(luò)系統(tǒng)面臨的威脅

破壞數(shù)據(jù)完整性：是指以非法手段竊得對(duì)數(shù)據(jù)的使用權(quán)，刪除、修改、插入或重發(fā)

某些重要信息，以取得有益于攻擊者的響應(yīng)；惡意添加，修改數(shù)據(jù)，以干擾用戶(hù)的正常使

用。

拒絕服務(wù)攻擊：是指不斷對(duì)網(wǎng)絡(luò)服務(wù)系統(tǒng)進(jìn)行干擾，改變其正常的作業(yè)流程，執(zhí)行

無(wú)關(guān)程序，使系統(tǒng)響應(yīng)減慢甚至癱瘓，影響正常用戶(hù)的使用，甚至使合法用戶(hù)被排斥而不

能進(jìn)入計(jì)算機(jī)網(wǎng)絡(luò)或不能得到相應(yīng)的服務(wù)。

利用網(wǎng)絡(luò)傳播病毒：是通過(guò)網(wǎng)絡(luò)傳播計(jì)算機(jī)病毒，其破壞性大大高于單機(jī)系統(tǒng)，而

且用戶(hù)很難防范。

影響計(jì)算機(jī)網(wǎng)絡(luò)安全的因素很多，有些因素可能是有意的，也可能是無(wú)意的；可能

是人為的，也可能是非人為的；還可能是外來(lái)黑客對(duì)網(wǎng)絡(luò)系統(tǒng)資源的非法使用。歸結(jié)起

來(lái)，產(chǎn)生網(wǎng)絡(luò)不安全的原因有以下幾個(gè)方面：

（1）人為的無(wú)意失誤如操作員安全配置不當(dāng)造成的安全漏洞，用戶(hù)安全意識(shí)不

強(qiáng)，用戶(hù)口令選擇不慎，用戶(hù)將自己的帳號(hào)隨意轉(zhuǎn)借他人或與別人共享等都會(huì)對(duì)網(wǎng)絡(luò)安全

帶來(lái)威脅。

（2）人為的惡意攻擊

這是計(jì)算機(jī)網(wǎng)絡(luò)面臨的最大威脅。敵人的攻擊和計(jì)算機(jī)犯罪就屬于這一類(lèi)。此類(lèi)攻

擊又可以分為以下兩種：一種是主動(dòng)攻擊，它以各種方式有選擇地破壞信息的有效性和完

整性；另一類(lèi)是被動(dòng)攻擊，它是在不影響網(wǎng)絡(luò)正常工作的情況下，進(jìn)行截獲、竊取、破譯

以獲得重要機(jī)密信息。這兩種攻擊均可對(duì)計(jì)算機(jī)網(wǎng)絡(luò)造成極大的危害，并導(dǎo)致機(jī)密數(shù)據(jù)的

泄露。

（3）軟件漏洞

網(wǎng)絡(luò)信息系統(tǒng)由硬件和軟件組成，由于軟件程序的復(fù)雜性和編程的多樣性，在網(wǎng)絡(luò)

信息系統(tǒng)的軟件中很容易有意或無(wú)意地留下一些不易被發(fā)現(xiàn)的安全漏洞。軟件漏洞顯然會(huì)

影響網(wǎng)絡(luò)信息的安全與保密。如操作系統(tǒng)的安全漏洞（現(xiàn)在大多數(shù)病毒都是針對(duì)操作系統(tǒng)

的漏洞編寫(xiě)的）、數(shù)據(jù)庫(kù)的安全漏洞、協(xié)議的安全漏洞、網(wǎng)絡(luò)服務(wù)的漏洞、遠(yuǎn)程登錄、電

子郵件、口令設(shè)置的漏洞、結(jié)構(gòu)隱患等。

（4）網(wǎng)橋的安全隱患

網(wǎng)橋是獨(dú)立于協(xié)議的互連設(shè)備，工作在OSI參考模型的第二層。它完成數(shù)據(jù)楨的轉(zhuǎn)

發(fā)，主要目的是在連接的網(wǎng)絡(luò)間提供透明的通信。網(wǎng)橋的轉(zhuǎn)發(fā)依據(jù)數(shù)據(jù)楨中源地址和目的

地址來(lái)判斷一個(gè)數(shù)據(jù)楨是否應(yīng)轉(zhuǎn)發(fā)到哪個(gè)端口。楨中的地址為“MAC”地址或“硬件”地

址，一般就是網(wǎng)卡自帶地址。

網(wǎng)絡(luò)上的設(shè)備看不到網(wǎng)橋的存在，設(shè)備之間的通信就如同在一個(gè)網(wǎng)絡(luò)上。由于網(wǎng)橋

是在數(shù)據(jù)楨上轉(zhuǎn)發(fā)的，因而只能連接相同或相似的網(wǎng)絡(luò)（如以太網(wǎng)之間、以太網(wǎng)與令牌網(wǎng)

之間的互連），只能轉(zhuǎn)發(fā)相同或相似的數(shù)據(jù)楨。對(duì)于不同類(lèi)型的網(wǎng)絡(luò)（如以太網(wǎng)與X.25

之間）或不同的數(shù)據(jù)楨結(jié)構(gòu)，網(wǎng)橋就失去了作用。

（5）路由器的安全隱患

路由器工作于OSI網(wǎng)絡(luò)模型的第三層（網(wǎng)絡(luò)層）。路由器管基本功能可概括為路由

和交換。所謂路由，是指信息傳送會(huì)選擇最佳路徑，以提高通信速度，減輕網(wǎng)絡(luò)負(fù)荷，使

網(wǎng)絡(luò)系統(tǒng)發(fā)揮最大的效益；所謂交換是指路由器能夠連接不同結(jié)構(gòu)、不同協(xié)議的多種網(wǎng)

絡(luò)，在這些網(wǎng)絡(luò)之間傳遞信息。

由于路由器要處理大量的信息，并且其任務(wù)繁重（路由選擇、信息及協(xié)議轉(zhuǎn)換、網(wǎng)

絡(luò)安全功能的實(shí)現(xiàn)、信息的加密和壓縮處理、優(yōu)先級(jí)控制、信息統(tǒng)計(jì)等），因而它比網(wǎng)橋

要慢，而且可能會(huì)影響到信息量。路由器共有兩種選擇方式，即靜態(tài)路由選擇和動(dòng)態(tài)路由

選擇。

與之相應(yīng)，路由表有靜態(tài)路由表和動(dòng)態(tài)路由表。動(dòng)態(tài)路由表具有可修改性，可能會(huì)

給網(wǎng)絡(luò)安全帶來(lái)危害。若一個(gè)路由器的路由表被惡意修改或遭受破壞，則可能會(huì)給網(wǎng)絡(luò)的

整體或局部帶來(lái)災(zāi)難性的后果。此外，某些局域網(wǎng)可能會(huì)采用IP過(guò)濾技術(shù)，利用路由器

的1P過(guò)濾對(duì)來(lái)自網(wǎng)絡(luò)外部的非授權(quán)用戶(hù)進(jìn)行控制，但由于IP的冒用，往往不能達(dá)到維護(hù)

網(wǎng)絡(luò)安全的目的，而且此法可能會(huì)引起網(wǎng)絡(luò)黑客對(duì)路由表的攻擊。

信息網(wǎng)絡(luò)安全概述

計(jì)算機(jī)安全員培訓(xùn)

信息網(wǎng)絡(luò)安全概述

信息網(wǎng)絡(luò)安全與計(jì)算機(jī)信息系統(tǒng)

信息網(wǎng)絡(luò)面臨的威脅及其脆弱性

信息網(wǎng)絡(luò)安全保護(hù)

信息網(wǎng)絡(luò)安全監(jiān)察

網(wǎng)絡(luò)社會(huì)責(zé)任與職業(yè)道德

三、信息網(wǎng)絡(luò)安全保護(hù)

(-)我國(guó)信息網(wǎng)絡(luò)安全目前存在的問(wèn)題

(-)制約我國(guó)信息網(wǎng)絡(luò)安全的因素

(三)信息網(wǎng)絡(luò)安全的管理策略

(-)我國(guó)信息網(wǎng)絡(luò)安全目前存在的問(wèn)題

(1)計(jì)算機(jī)系統(tǒng)遭受病毒感染和破壞的情況相當(dāng)嚴(yán)重

(2)電腦黑客活動(dòng)已形成嚴(yán)重威脅

(3)信息基礎(chǔ)設(shè)施面臨網(wǎng)絡(luò)安全的挑戰(zhàn)

(4)網(wǎng)絡(luò)政治顛覆活動(dòng)頻繁我國(guó)信息網(wǎng)絡(luò)安全目前存在的問(wèn)題

我國(guó)信息網(wǎng)絡(luò)安全目前存在的問(wèn)題

我國(guó)信息網(wǎng)絡(luò)安全目前存在的問(wèn)題

(-)制約我國(guó)信息網(wǎng)絡(luò)安全的因素

缺乏自主的計(jì)算機(jī)網(wǎng)絡(luò)和軟件核心技術(shù)

安全意識(shí)淡薄

運(yùn)行管理機(jī)制的缺陷

制度化的防范機(jī)制需進(jìn)一步完善

（三）信息網(wǎng)絡(luò)安全的管理策略

安全策略是指在一個(gè)特定的環(huán)境里，為保證提供一定級(jí)別的安全保護(hù)所必須遵守的

規(guī)則。

網(wǎng)絡(luò)安全策略模型包括了建立安全環(huán)境的三個(gè)重要組成部分：威嚴(yán)的法律、先進(jìn)的

技術(shù)、嚴(yán)格的管理。

（三）信息網(wǎng)絡(luò)安全的管理策略

威嚴(yán)的法律：安全的基石是社會(huì)法律、法規(guī)與手段，通過(guò)建立一套安全管理的標(biāo)準(zhǔn)

和方法，即通過(guò)建立與網(wǎng)絡(luò)信息安全相關(guān)的法律、法規(guī)，使非法分子懾于法律，不敢輕舉

妄動(dòng)。

（三）信息網(wǎng)絡(luò)安全的管理策略

先進(jìn)的技術(shù)：先進(jìn)的安全技術(shù)是網(wǎng)絡(luò)信息安全的根本保障，用戶(hù)對(duì)自身面臨的威脅

進(jìn)行風(fēng)險(xiǎn)評(píng)估，決定其需要的安全服務(wù)種類(lèi)，選擇相應(yīng)的安全機(jī)制，然后集成先進(jìn)的安全

技術(shù)。

（三）信息網(wǎng)絡(luò)安全的管理策略

嚴(yán)格的管理：各網(wǎng)絡(luò)使用機(jī)構(gòu)、企業(yè)和單位應(yīng)建立相應(yīng)的嚴(yán)格的信息安全管理辦

法，加強(qiáng)內(nèi)部管理，建立審計(jì)和跟蹤體系，提高整體的信息安全意識(shí)。

（三）信息網(wǎng)絡(luò)安全的管理策略

（三）信息網(wǎng)絡(luò)安全的管理策略

（三）信息網(wǎng)絡(luò)安全的管理策略網(wǎng)絡(luò)安全管理三要素：技術(shù)、管理、法規(guī)。

制定網(wǎng)絡(luò)安全管理策略要注意的問(wèn)題

（1）確定網(wǎng)絡(luò)安全管理要保護(hù)什么

在網(wǎng)絡(luò)安全策略中要確定網(wǎng)絡(luò)安全管理要保護(hù)什么、，其具體的描述原則是“沒(méi)有

明確表述為允許的都被認(rèn)為是被禁止的”。對(duì)于網(wǎng)絡(luò)安全策略，一般都采用上述原則來(lái)加

強(qiáng)對(duì)網(wǎng)絡(luò)安全的限制。

（2）確定網(wǎng)絡(luò)資源的職責(zé)劃分

網(wǎng)絡(luò)安全策略要根據(jù)網(wǎng)絡(luò)資源的職責(zé)確定哪些人允許使用某設(shè)備，對(duì)每一臺(tái)網(wǎng)絡(luò)

設(shè)備要確定哪些人能夠修改它的配置；更進(jìn)一步要明確的是授權(quán)給某人使用某網(wǎng)絡(luò)設(shè)備和

某資源的目的是什么，他可以在什么范圍內(nèi)使用；并確定對(duì)每一設(shè)備或資源，誰(shuí)擁有它的

管理權(quán)，即他可以為其他人授權(quán)，使之能夠正常使用該設(shè)備或資源，并制定授權(quán)程序。

(3)確定用戶(hù)的權(quán)利與責(zé)任

在網(wǎng)絡(luò)安全策略中要指明用戶(hù)計(jì)算機(jī)網(wǎng)絡(luò)的使用規(guī)則。其中包括是否允許用戶(hù)將賬

號(hào)轉(zhuǎn)借給他人；用戶(hù)應(yīng)當(dāng)將他們自己的口令保密到什么程度；用戶(hù)應(yīng)在多長(zhǎng)時(shí)間內(nèi)更改他

們的口令；希望是用戶(hù)自身提供備份還是由網(wǎng)絡(luò)服務(wù)提供者提供；確定在什么情況下管理

員可以讀用戶(hù)的文件，在什么情況下網(wǎng)絡(luò)管理員有權(quán)檢查網(wǎng)絡(luò)上傳送的信息。

網(wǎng)絡(luò)使用的類(lèi)型限制。定義可接受的網(wǎng)絡(luò)應(yīng)用或不可接受的網(wǎng)絡(luò)應(yīng)用，要考慮對(duì)不

同級(jí)別的人員給予不同級(jí)別的限制。網(wǎng)絡(luò)安全策略都會(huì)聲明每個(gè)用戶(hù)都要對(duì)他們?cè)诰W(wǎng)絡(luò)上

的言行負(fù)責(zé)。所有違反安全策略、破壞系統(tǒng)安全的行為都是被禁止的。

(4)確定系統(tǒng)管理員的責(zé)任

在網(wǎng)絡(luò)安全策略中要明確系統(tǒng)管理員的責(zé)任。

制定對(duì)用戶(hù)授權(quán)的過(guò)程設(shè)計(jì)，以防止對(duì)授權(quán)職責(zé)的濫用。

確定每個(gè)資源的系統(tǒng)級(jí)管理員。在網(wǎng)絡(luò)的使用中，難免會(huì)遇到用戶(hù)需要特殊權(quán)限的

時(shí)候。原則為“夠用即可”。

(5)明確當(dāng)安全策略遭到破壞時(shí)所采取的策略

對(duì)于發(fā)生在本網(wǎng)絡(luò)內(nèi)部的安全問(wèn)題，要從主干網(wǎng)向子網(wǎng)逐級(jí)過(guò)濾、隔離。子網(wǎng)要與

主干網(wǎng)形成配合，防止破壞蔓延。

對(duì)于來(lái)自整個(gè)網(wǎng)絡(luò)以外的安全干擾，除了必要的隔離與保護(hù)外，還要與對(duì)方所在網(wǎng)

絡(luò)進(jìn)行聯(lián)系，確定消除掉安全隱患。

每一個(gè)網(wǎng)絡(luò)安全問(wèn)題都要有文檔記錄，包括對(duì)它的處理過(guò)程，并將其送至全網(wǎng)各有

關(guān)部門(mén)，以便預(yù)防和留作今后進(jìn)一步完善網(wǎng)絡(luò)安全策略的資料

(6)明確本網(wǎng)絡(luò)對(duì)其他相連網(wǎng)絡(luò)的職責(zé)

包括本網(wǎng)絡(luò)對(duì)其他相連網(wǎng)絡(luò)的職責(zé)，如出現(xiàn)某個(gè)網(wǎng)絡(luò)告知有威脅來(lái)自我方網(wǎng)絡(luò)。在

這種情況下，一般不會(huì)給予對(duì)方權(quán)利，而是在驗(yàn)證對(duì)方身份的同時(shí)，自己對(duì)本方網(wǎng)絡(luò)進(jìn)行

調(diào)查監(jiān)控，做好相互配合。

四、信息網(wǎng)絡(luò)安全監(jiān)察

(-)公安機(jī)關(guān)負(fù)責(zé)監(jiān)督管理信息網(wǎng)絡(luò)安全

1994年2月18日，國(guó)務(wù)院發(fā)布實(shí)施了《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條

例》，第六條具體規(guī)定了“公安部主管全國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作”的職能，第17

條規(guī)定公安機(jī)關(guān)對(duì)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作的監(jiān)督和管理職權(quán)。

(二)公安機(jī)關(guān)的監(jiān)督職權(quán)

(1)監(jiān)督、檢查、指導(dǎo)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作；

(2)查處危害計(jì)算機(jī)信息系統(tǒng)安全的違法犯罪案件；

(3)履行計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作的其他監(jiān)督職責(zé)。

(三)具體職責(zé)

(1)宣傳計(jì)算機(jī)信息系統(tǒng)安全保護(hù)法律、法規(guī)和規(guī)章；

(2)檢查計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作；

(3)管理計(jì)算機(jī)病毒和其他有害數(shù)據(jù)的防治工作；

(4)監(jiān)督、檢查計(jì)算機(jī)信息系統(tǒng)安全專(zhuān)用產(chǎn)品銷(xiāo)售活動(dòng)；

(5)查處危害計(jì)算機(jī)信息系統(tǒng)安全的違法犯罪案件；

(6)依法履行其他職責(zé)。

(四)網(wǎng)絡(luò)警察

1995年我國(guó)新頒布的《人民警察法》中明確規(guī)定了警察在“監(jiān)督管理計(jì)算機(jī)信息系

統(tǒng)安全保衛(wèi)工作”方面的職權(quán)，并在省、市、縣三級(jí)公安機(jī)關(guān)內(nèi)部設(shè)立了公共信息網(wǎng)絡(luò)安

全監(jiān)察管理機(jī)構(gòu)(網(wǎng)絡(luò)警察)，負(fù)責(zé)信息安全和計(jì)算機(jī)犯罪等方面的工作。

1、網(wǎng)絡(luò)警察的主要工作

情報(bào)信息

打擊犯罪

管理防范

情報(bào)信息

網(wǎng)警部門(mén)通過(guò)發(fā)現(xiàn)、掌握各種網(wǎng)上色情、淫穢、反動(dòng)等有害信息，掌握社情民意的

網(wǎng)上反映，為清除網(wǎng)上有害信息提供線(xiàn)索，為領(lǐng)導(dǎo)及相關(guān)部門(mén)決策提供參考的?項(xiàng)重要工

作，互聯(lián)網(wǎng)情報(bào)信息是公安情報(bào)信息的重要組成部分，是公安機(jī)關(guān)掌握政情和社情信息的

重要來(lái)源。

打擊犯罪

網(wǎng)警部門(mén)施展職能的重要體現(xiàn)。網(wǎng)警部門(mén)按照國(guó)家賦予的法定職責(zé)和公安部及省廳

確定的案件管轄分工原則，綜合運(yùn)用各種手段，針對(duì)非法侵入、破壞計(jì)算機(jī)信息系統(tǒng)或利

用信息網(wǎng)絡(luò)危害國(guó)家安全、經(jīng)濟(jì)安全和社會(huì)政治穩(wěn)定，侵犯公民人身權(quán)利等的犯罪行為而

開(kāi)展取證的專(zhuān)門(mén)工作。

管理防范

網(wǎng)警部門(mén)加強(qiáng)陣地控制、夯實(shí)業(yè)務(wù)基礎(chǔ)，提高社會(huì)信息網(wǎng)絡(luò)安全防范能力的一項(xiàng)重

要工作、是網(wǎng)警部門(mén)工作基礎(chǔ)。

主要包括重要領(lǐng)域計(jì)算機(jī)信息系統(tǒng)安全保護(hù)、互聯(lián)網(wǎng)安全監(jiān)督管理、“網(wǎng)吧”等互

聯(lián)網(wǎng)上網(wǎng)服務(wù)營(yíng)業(yè)場(chǎng)所安全審核及監(jiān)督、計(jì)算機(jī)安全員培訓(xùn)等工作。

2、嚴(yán)格執(zhí)法熱情服務(wù)

開(kāi)通鄭州網(wǎng)絡(luò)警察門(mén)戶(hù)網(wǎng)站zzwljc,搭建與廣大網(wǎng)民溝通的橋梁。

開(kāi)通網(wǎng)上報(bào)警處置中心，24小時(shí)接受群眾報(bào)警，延伸執(zhí)法范圍。在我市各大網(wǎng)

站設(shè)立“虛擬警察”，24小時(shí)網(wǎng)上巡邏，處置網(wǎng)上造謠誹謗、淫穢色情、賭博等違法犯罪

活動(dòng)

開(kāi)設(shè)互聯(lián)網(wǎng)上網(wǎng)服務(wù)營(yíng)業(yè)場(chǎng)所的年審、變更管理專(zhuān)區(qū)，推進(jìn)網(wǎng)吧行業(yè)的規(guī)范管理。

自主開(kāi)發(fā)互聯(lián)網(wǎng)綜合管理系統(tǒng)，以備案促管理，完善基礎(chǔ)數(shù)據(jù)，為全面工作打好基

礎(chǔ)。

五、網(wǎng)絡(luò)職業(yè)道德與社會(huì)責(zé)任

網(wǎng)絡(luò)職業(yè)道德

是指在計(jì)算機(jī)及網(wǎng)絡(luò)行業(yè)及其應(yīng)用領(lǐng)域所形成的社會(huì)意識(shí)形態(tài)和倫理關(guān)系下，調(diào)整

人與人之間、人與知識(shí)產(chǎn)權(quán)之間、人與計(jì)算機(jī)之間以及人與社會(huì)之間關(guān)系的行為規(guī)范總

和。

《公民道德建設(shè)實(shí)施綱要》

計(jì)算機(jī)互聯(lián)網(wǎng)作為開(kāi)放式信息傳播和交流工具，是思想道德建設(shè)的新陣地。

要加大網(wǎng)上正面宣傳和管理工作的力度，鼓勵(lì)發(fā)布進(jìn)步、健康、有益的信息，防止

反動(dòng)、迷信、淫穢、庸俗等不良內(nèi)容通過(guò)網(wǎng)絡(luò)傳播。要引導(dǎo)網(wǎng)絡(luò)機(jī)構(gòu)和廣大網(wǎng)民增強(qiáng)

網(wǎng)絡(luò)道德意識(shí)，共同建設(shè)網(wǎng)絡(luò)文明。在所有公民中倡導(dǎo)

網(wǎng)絡(luò)責(zé)任和計(jì)算機(jī)職業(yè)道德要求每一個(gè)公民自覺(jué)遵守國(guó)家的法律法規(guī)。

一方面，不利用計(jì)算機(jī)做任何有悖于道德和法律的事情；

另一方面，還應(yīng)監(jiān)督他人，對(duì)發(fā)現(xiàn)的不良行為要及時(shí)報(bào)告，積極制止。全民共同動(dòng)

員，保障公共信息網(wǎng)絡(luò)安全、穩(wěn)定、有序地運(yùn)行。

公共信息網(wǎng)絡(luò)安全監(jiān)察工作

計(jì)算機(jī)網(wǎng)絡(luò)安全員培訓(xùn)

公共信息網(wǎng)絡(luò)安全監(jiān)察工作

公共信息網(wǎng)絡(luò)安全監(jiān)察是國(guó)家賦予公安機(jī)關(guān)的一項(xiàng)重要職能，是公安機(jī)關(guān)在信息網(wǎng)

絡(luò)領(lǐng)域承擔(dān)的一項(xiàng)重要的安全保衛(wèi)任務(wù)。

打擊日益猖獗的計(jì)算機(jī)犯罪的重要手段。

公共信息網(wǎng)絡(luò)安全監(jiān)察部門(mén)是以網(wǎng)絡(luò)技術(shù)為主要手段，集情報(bào)信息、偵察控制、打

擊犯罪、防范管理于一體的實(shí)戰(zhàn)部門(mén)，是公安機(jī)關(guān)的一個(gè)全新警種。

公共信息網(wǎng)絡(luò)安全監(jiān)察工作的意義

公共信息網(wǎng)絡(luò)安全監(jiān)察工作的意義

從1995年開(kāi)始，我國(guó)招網(wǎng)絡(luò)與信息安全作為中國(guó)信息化發(fā)展戰(zhàn)略的重要組成部分；

在十六屆四中全會(huì)上通過(guò)的《關(guān)于加強(qiáng)黨的執(zhí)政能力的決議》中，信息安全與政

治、經(jīng)濟(jì)、文化安全并列為四大主題之、將之提到了前所未有的高度。

公共信息網(wǎng)絡(luò)安全監(jiān)察工作的意義

信息網(wǎng)絡(luò)安全監(jiān)察是國(guó)家法律法規(guī)賦予公安機(jī)關(guān)的一項(xiàng)重要職能；1995年頒布

的《中華人民共和國(guó)警察法》規(guī)定了公安機(jī)關(guān)人民警察按照職能分工依法履行的各項(xiàng)職責(zé)

中，詳細(xì)闡明了計(jì)算機(jī)信息系統(tǒng)的安全、管理、監(jiān)督、保護(hù)工作的各項(xiàng)內(nèi)容。

公共信息網(wǎng)絡(luò)安全監(jiān)察工作發(fā)展歷史

1.第一階段:啟動(dòng)階段（1980年—1985年）

1980年底，公安部對(duì)我國(guó)進(jìn)口的計(jì)算機(jī)進(jìn)行技術(shù)安全檢查，在檢查中陸續(xù)發(fā)現(xiàn)了一

些重要的安全問(wèn)題。

后經(jīng)國(guó)務(wù)院批準(zhǔn)，全國(guó)各部門(mén)計(jì)算機(jī)安全檢查工作由公安部承擔(dān)，從此開(kāi)始了中國(guó)

信息安全工作。

這個(gè)時(shí)期主要是學(xué)習(xí)計(jì)算機(jī)安全知識(shí)，邀請(qǐng)外國(guó)計(jì)算機(jī)安全專(zhuān)家對(duì)公安系統(tǒng)專(zhuān)業(yè)人

員進(jìn)行培訓(xùn)，并通過(guò)公安部對(duì)中央各部委進(jìn)行計(jì)算機(jī)安全啟蒙教育。

公共信息網(wǎng)絡(luò)安全監(jiān)察工作發(fā)展歷史

公安部在1983年成立了公安部計(jì)算機(jī)管理和監(jiān)察局（1994年至1998年更名為公安部

計(jì)算機(jī)管理監(jiān)察司），專(zhuān)門(mén)負(fù)責(zé)計(jì)算機(jī)安全方面的工作。公安部計(jì)算機(jī)管理和監(jiān)察局

對(duì)各大部委和駐外使館信息系統(tǒng)的硬件輻射問(wèn)題進(jìn)行安全檢查，并對(duì)計(jì)算機(jī)場(chǎng)地安全、機(jī)

房施工建設(shè)等方面的工作進(jìn)行管理；

組織專(zhuān)門(mén)力量對(duì)全國(guó)重點(diǎn)計(jì)算機(jī)系統(tǒng)進(jìn)行近百次安全檢查，幾十次計(jì)算機(jī)安全講

座，編譯了我國(guó)第一套計(jì)算機(jī)安全資料，

到1985年底，各部委保衛(wèi)部門(mén)的領(lǐng)導(dǎo)基本上都接受了計(jì)算機(jī)安全教育，初步具有計(jì)

算機(jī)安全意識(shí)，開(kāi)始制定計(jì)算機(jī)的安全標(biāo)準(zhǔn)。

公共信息網(wǎng)絡(luò)安全監(jiān)察工作發(fā)展歷史

2.第二階段：防治計(jì)算機(jī)病毒階段（1986年——1994年）

1986年組建中國(guó)計(jì)算機(jī)安全專(zhuān)業(yè)委員會(huì)；

1994年國(guó)務(wù)院頒布《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》；

1986年，著名的巴基斯坦病毒的出現(xiàn)標(biāo)志著計(jì)算機(jī)病毒開(kāi)始正式在國(guó)際范圍內(nèi)產(chǎn)生

影響。我國(guó)在這個(gè)時(shí)期對(duì)病毒的防范成為這一時(shí)期的一個(gè)重要特點(diǎn)。

公共信息網(wǎng)絡(luò)安全監(jiān)察工作發(fā)展歷史

1988年12月，我國(guó)大陸第一個(gè)計(jì)算機(jī)病毒案在國(guó)家統(tǒng)計(jì)局從香港引進(jìn)的設(shè)備中發(fā)

生。

1990年，“廣州一號(hào)”開(kāi)始了國(guó)內(nèi)病毒的先河。

1988年12月21日，公安部印發(fā)了“全國(guó)公安計(jì)算機(jī)安全監(jiān)察工作會(huì)議紀(jì)要”，要

求各省、自治區(qū)、直轄市公安廳、局迅速建立一支公安計(jì)算機(jī)安全監(jiān)察管理的專(zhuān)業(yè)隊(duì)伍。

公共信息網(wǎng)絡(luò)安全監(jiān)察工作發(fā)展歷史

3.第三階段：有法可依階段（1994年起）

1994年2月18日《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》頒布?！稐l例》

規(guī)定，公安部主管全國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作，安全保護(hù)工作的重點(diǎn)是維護(hù)國(guó)家事

務(wù)、經(jīng)濟(jì)建設(shè)、國(guó)防建設(shè)、尖端科學(xué)技術(shù)等重要領(lǐng)域的計(jì)算機(jī)信息系統(tǒng)的安全。

條例的意義及深遠(yuǎn)影響

影響公安系統(tǒng)內(nèi)部，促進(jìn)了各級(jí)計(jì)算機(jī)安全監(jiān)察機(jī)構(gòu)的建立和完善，壯大了計(jì)算機(jī)

安全隊(duì)伍；

明確了公安部門(mén)在計(jì)算機(jī)安全工作中的主管責(zé)任，促進(jìn)各部門(mén)協(xié)調(diào)配合。

公共信息網(wǎng)絡(luò)安全監(jiān)察工作發(fā)展歷史

1994年我國(guó)的四大互聯(lián)網(wǎng)絡(luò)：中國(guó)科學(xué)技術(shù)網(wǎng)、中國(guó)公用計(jì)算機(jī)互聯(lián)網(wǎng)、中國(guó)教育

和科研計(jì)算機(jī)網(wǎng)、中國(guó)金橋信息網(wǎng)先后在中國(guó)建立，標(biāo)看著我國(guó)進(jìn)入到了個(gè)嶄新的網(wǎng)絡(luò)

時(shí)代。

隨著網(wǎng)絡(luò)時(shí)代的到來(lái)，我國(guó)的信息安全工作進(jìn)入了以網(wǎng)絡(luò)安全為主的全新階段。

我國(guó)在《中華人民共和國(guó)刑法》中增設(shè)了有關(guān)計(jì)算機(jī)犯罪的條款，便于打擊和防范

此類(lèi)犯罪。

公共信息網(wǎng)絡(luò)安全監(jiān)察工作發(fā)展歷史

4.第四階段：公共信息網(wǎng)絡(luò)安全階段（1996年起）

1998年9月，原計(jì)算機(jī)管理監(jiān)察司更名為公共信息網(wǎng)絡(luò)安全監(jiān)察局。主要職責(zé)

為：指導(dǎo)并組織實(shí)施公共信息網(wǎng)絡(luò)和國(guó)際互聯(lián)網(wǎng)的安全保護(hù)工作；掌握信息網(wǎng)絡(luò)違法犯罪

動(dòng)態(tài)，提供犯罪案件證據(jù)；研究擬定信息安全政策和技術(shù)規(guī)范；指導(dǎo)并組織實(shí)施信息網(wǎng)絡(luò)

安全監(jiān)察工作。公共信息網(wǎng)絡(luò)安全監(jiān)察工作發(fā)展歷史

1998年6月，國(guó)家信息安全評(píng)測(cè)中心成立。

1999年6月，國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心成立，從政策、法律制定、技術(shù)

組織方面對(duì)國(guó)家信息安全進(jìn)行全面的統(tǒng)籌。

2000年后，隨著機(jī)構(gòu)改革和公共信息網(wǎng)絡(luò)安全工作任務(wù)的擴(kuò)大，各省、市公安機(jī)關(guān)

開(kāi)始相繼將原有的公共信息網(wǎng)絡(luò)監(jiān)察處更名為網(wǎng)絡(luò)警察總隊(duì)或支隊(duì)，進(jìn)一步明確了網(wǎng)絡(luò)警

察工作職能。

公共信息網(wǎng)絡(luò)安全監(jiān)察工作主要職能

公共信息網(wǎng)絡(luò)安全監(jiān)察工作的主要職能

監(jiān)督和管理計(jì)算機(jī)信息系統(tǒng)的安全保護(hù)工作；

保護(hù)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)的公共安全；

維護(hù)從事國(guó)際聯(lián)網(wǎng)業(yè)務(wù)的單位和個(gè)人的合法權(quán)益和公眾利益；

負(fù)責(zé)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)的互聯(lián)單位、接入單位和用戶(hù)的備案；監(jiān)督計(jì)算

機(jī)信息系統(tǒng)的使用單位和國(guó)際聯(lián)網(wǎng)的互聯(lián)單位、接入單位及有關(guān)用戶(hù)建立健全安全管理制

度；

檢查網(wǎng)絡(luò)安全管理及技術(shù)措施的落實(shí)情況，負(fù)責(zé)對(duì)“網(wǎng)吧”等國(guó)際互聯(lián)網(wǎng)上網(wǎng)服務(wù)

營(yíng)業(yè)場(chǎng)所的安全審核和安全管理工作。

公共信息網(wǎng)絡(luò)安全監(jiān)察工作主要職能

負(fù)責(zé)對(duì)公共信息網(wǎng)絡(luò)的安全狀況進(jìn)行檢查、安全評(píng)估；

監(jiān)督計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)制度的落實(shí)；

依據(jù)國(guó)家有關(guān)計(jì)算機(jī)機(jī)房的標(biāo)準(zhǔn)和規(guī)定，對(duì)計(jì)算機(jī)機(jī)房的建設(shè)和計(jì)算機(jī)機(jī)房附近的

施工進(jìn)行監(jiān)督管理；

負(fù)責(zé)對(duì)計(jì)算機(jī)安全專(zhuān)用產(chǎn)品銷(xiāo)售許可證的監(jiān)督檢查工作；

管理對(duì)計(jì)算機(jī)病毒和危害社會(huì)公共安全的其他有害數(shù)據(jù)的防治研究工作。

公共信息網(wǎng)絡(luò)安全監(jiān)察工作主要職能

監(jiān)督、檢查和指導(dǎo)計(jì)算機(jī)信息系統(tǒng)使用單位安全組織和安全員的安全保護(hù)工作；

組織開(kāi)展計(jì)算機(jī)信息系統(tǒng)安全的宣傳、教育、培訓(xùn)；

依法查處非法侵入國(guó)家重要計(jì)算機(jī)信息系統(tǒng)、破壞計(jì)算機(jī)信息系統(tǒng)功能、數(shù)據(jù)和應(yīng)

用程序、傳播計(jì)算機(jī)破壞性程序和其他利用計(jì)算機(jī)信息網(wǎng)絡(luò)的違法犯罪案件。

公共信息網(wǎng)絡(luò)安全監(jiān)察工作目標(biāo)和工作方針

公共信息網(wǎng)絡(luò)安全監(jiān)察總體1=1標(biāo)

初步建立與社會(huì)主義市場(chǎng)經(jīng)濟(jì)相適應(yīng)的信息網(wǎng)絡(luò)安全保護(hù)和監(jiān)督體制，形成健康、規(guī)范

的管理秩序，

建成以《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》為主體，以各項(xiàng)安全管理辦法和地方性法規(guī)為

基礎(chǔ)的國(guó)家計(jì)算機(jī)信息網(wǎng)絡(luò)安全監(jiān)察的法律體系，

實(shí)現(xiàn)對(duì)信息網(wǎng)絡(luò)安全保護(hù)工作的依法管理和依法監(jiān)督，嚴(yán)厲打擊各種危害信息網(wǎng)絡(luò)的違

法犯罪；

建立在公安機(jī)關(guān)指導(dǎo)下的，以應(yīng)用和管理部門(mén)為主體的，信息網(wǎng)絡(luò)安全防護(hù)體系，使國(guó)

家重點(diǎn)信息網(wǎng)絡(luò)的整體防護(hù)能力明顯提高，促進(jìn)我國(guó)信息產(chǎn)業(yè)的健康發(fā)展。

公共信息網(wǎng)絡(luò)安全監(jiān)察工作目標(biāo)和工作方針

公共信息網(wǎng)絡(luò)安全監(jiān)察根本1=1標(biāo)：

保障重要領(lǐng)域計(jì)算機(jī)信息系統(tǒng)的安全運(yùn)行和信息的安全，建立并維護(hù)國(guó)家對(duì)計(jì)算機(jī)信息

系統(tǒng)安全管理的秩序，維護(hù)社會(huì)政治穩(wěn)定，保障經(jīng)濟(jì)建設(shè)，促進(jìn)國(guó)家信息化建設(shè)的健康發(fā)

展。

公共信息網(wǎng)絡(luò)安全監(jiān)察工作目標(biāo)和工作方針

具體目標(biāo)是：

(1)確保公共信息網(wǎng)絡(luò)和互聯(lián)網(wǎng)的運(yùn)行安全和網(wǎng)上信息的安全，提高公安機(jī)關(guān)在高科

技領(lǐng)域的行政管理和打擊犯罪的能力，為維護(hù)政治穩(wěn)定和保障經(jīng)濟(jì)建設(shè)服務(wù)。

(2)重點(diǎn)維護(hù)國(guó)家事務(wù)、經(jīng)濟(jì)建設(shè)、國(guó)防建設(shè)、尖端科學(xué)技術(shù)等重要領(lǐng)域的計(jì)算機(jī)信

息系統(tǒng)安全。保障黨政、金融、財(cái)稅、電信、能源、交通運(yùn)輸、社會(huì)保障、科研等單位或

部門(mén)信息系統(tǒng)的安全及信息資源的安全。

公共信息網(wǎng)絡(luò)安全監(jiān)察工作目標(biāo)和工作方針

(3)建立一個(gè)安全、可靠、適合我國(guó)國(guó)情的國(guó)家重要領(lǐng)域信息系統(tǒng)安全保護(hù)的法律法

規(guī)、技術(shù)規(guī)范、安全管理等保障體系，全面提高國(guó)家重要信息系統(tǒng)的整體安全防護(hù)能力。

(4)建立和維護(hù)國(guó)家對(duì)計(jì)算機(jī)信息系統(tǒng)安全管理的秩序，依法維護(hù)國(guó)家、集體和個(gè)人

的財(cái)產(chǎn)不受損失，合法權(quán)益不受侵犯，促進(jìn)我國(guó)信息化建設(shè)事業(yè)的順利發(fā)展。

公共信息網(wǎng)絡(luò)安全監(jiān)察工作目標(biāo)和工作方針

公共信息網(wǎng)絡(luò)安全監(jiān)察工作的方針是：

依法管理，加強(qiáng)監(jiān)督；

預(yù)防為主，確保重點(diǎn)；

及時(shí)查處，保障安全。

“依法管理”是根據(jù)國(guó)家法律法規(guī)，對(duì)我國(guó)信息網(wǎng)絡(luò)進(jìn)行安全監(jiān)察工作，打擊各種

危害信息網(wǎng)絡(luò)的違法犯罪活動(dòng)。

“加強(qiáng)監(jiān)督”是在保障信息網(wǎng)絡(luò)安全的工作中，公安機(jī)關(guān)要堅(jiān)持貫徹誰(shuí)主管誰(shuí)負(fù)責(zé)

的原則，加強(qiáng)對(duì)信息網(wǎng)絡(luò)使用及管理單位的安全管理，對(duì)其安全管理工作進(jìn)行監(jiān)督、監(jiān)察

和指導(dǎo)。

公共信息網(wǎng)絡(luò)安全監(jiān)察工作目標(biāo)和工作方針

“預(yù)防為主”是信息網(wǎng)絡(luò)安全監(jiān)察工作的根本指導(dǎo)思想，要貫穿整個(gè)安全監(jiān)察工作

的始終；

“確保重點(diǎn)”是確保關(guān)系到國(guó)家事務(wù)、經(jīng)濟(jì)建設(shè)、國(guó)防建設(shè)、尖端科學(xué)技術(shù)等領(lǐng)域

的部門(mén)和單位的計(jì)算機(jī)信息系統(tǒng)的安全；

“及時(shí)查處”是要依法對(duì)危害計(jì)算機(jī)信息系統(tǒng)安全的事故和違法犯罪活動(dòng)及時(shí)進(jìn)行

查處，它與預(yù)防為主相輔相成，是做好安全監(jiān)察工作不可缺少的重要手段；

“保障安全”是安全監(jiān)察工作的出發(fā)點(diǎn)和落腳點(diǎn)，是安全監(jiān)察工作的根本目標(biāo)。

公共信息網(wǎng)絡(luò)安全監(jiān)察工作基本原則

(1)服從和服務(wù)于黨和國(guó)家的路線(xiàn)、方針、政策以及公安中心工作；

(2)專(zhuān)門(mén)機(jī)關(guān)監(jiān)督管理與社會(huì)力量相結(jié)合；

(3)嚴(yán)格依法管理與科學(xué)文明管理相結(jié)合；

(4)教育與處罰相結(jié)合；

(5)公安機(jī)關(guān)與相關(guān)部門(mén)分工負(fù)責(zé)，密切配合；

(6)“誰(shuí)主管，誰(shuí)負(fù)責(zé)”；

(7)確保重點(diǎn)與兼顧一般相結(jié)合；

(8)專(zhuān)項(xiàng)工作與基礎(chǔ)工作相結(jié)合。

公共信息網(wǎng)絡(luò)安全監(jiān)察工作主要任務(wù)

(1)協(xié)調(diào)、監(jiān)督、檢查、指導(dǎo)本地區(qū)黨政機(jī)關(guān)和金融等重要部門(mén)公共信息網(wǎng)絡(luò)和互聯(lián)

網(wǎng)的安全保護(hù)管理工作；

(2)監(jiān)督計(jì)算機(jī)信息系統(tǒng)的使用單位和國(guó)際聯(lián)網(wǎng)的互聯(lián)單位、接入單位及有關(guān)用戶(hù)建

立健全安全管理制度的落實(shí)情況，檢查網(wǎng)絡(luò)安全管理及技術(shù)措施的落實(shí)情況；

(3)監(jiān)督、檢查和指導(dǎo)計(jì)算機(jī)信息系統(tǒng)使用部門(mén)安全組織和安全員的工作;

(4)監(jiān)督、檢查、指導(dǎo)要害部門(mén)計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)制度的落實(shí)情況；

公共信息網(wǎng)絡(luò)安全監(jiān)察工作主要任務(wù)

(5)依據(jù)國(guó)家有關(guān)計(jì)算機(jī)機(jī)房的標(biāo)準(zhǔn)和規(guī)定，對(duì)計(jì)算機(jī)機(jī)房的建設(shè)和計(jì)算機(jī)機(jī)房附近

的施工進(jìn)行監(jiān)督管理；

(6)對(duì)計(jì)算機(jī)信息系統(tǒng)安全專(zhuān)用產(chǎn)品銷(xiāo)售許可證進(jìn)行監(jiān)督檢查；(7)對(duì)計(jì)算機(jī)病

毒和危害社會(huì)公共安全的其他有害數(shù)據(jù)的防治研究工作進(jìn)行管理；

(8)查處違反計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)國(guó)際出、入口信道、互聯(lián)網(wǎng)絡(luò)、接入網(wǎng)絡(luò)管理

規(guī)定的行為；

公共信息網(wǎng)絡(luò)安全監(jiān)察工作主要任務(wù)

(9)掌握計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)的互聯(lián)單位、接入單位和用戶(hù)的備案情況，建立備

案檔案，進(jìn)行備案統(tǒng)計(jì)，并按國(guó)家有關(guān)規(guī)定逐級(jí)上報(bào)；

(10)發(fā)現(xiàn)任何單位和個(gè)人利用國(guó)際聯(lián)網(wǎng)制作、復(fù)制、查閱和傳播有害信息的地址、

目錄或服務(wù)器時(shí)，應(yīng)通知有關(guān)單位關(guān)閉或刪除；

公共信息網(wǎng)絡(luò)安全監(jiān)察工作主要任務(wù)

(11)負(fù)責(zé)接受有關(guān)單位和用戶(hù)計(jì)算機(jī)信息系統(tǒng)中發(fā)生的案件報(bào)告，查處公共信息網(wǎng)

絡(luò)安全事故和非法侵入國(guó)家重要計(jì)算機(jī)信息系統(tǒng)、破壞計(jì)算機(jī)信息系統(tǒng)功能、破壞計(jì)算機(jī)

信息系統(tǒng)數(shù)據(jù)和應(yīng)用程序、傳播計(jì)算機(jī)破壞性程序等違法犯罪案件，配合有關(guān)部門(mén)查處利

用計(jì)算機(jī)實(shí)施的金融詐騙、盜竊、貪污、挪用公款、竊取國(guó)家秘密等違法犯罪案件；

(12)承擔(dān)研究公共信息網(wǎng)絡(luò)違法犯罪的發(fā)展動(dòng)態(tài)、特點(diǎn)和規(guī)律，提出防范和打擊公

共信息網(wǎng)絡(luò)違法犯罪的對(duì)策；

公共信息網(wǎng)絡(luò)安全監(jiān)察工作主要任務(wù)

(13)研究計(jì)算機(jī)違法犯罪案件的取證、破譯、解密等偵察技術(shù)，并負(fù)責(zé)對(duì)計(jì)算機(jī)違

法犯罪案件中的電子數(shù)據(jù)證據(jù)進(jìn)行取證和技術(shù)鑒定；

(14)對(duì)計(jì)算機(jī)信息網(wǎng)絡(luò)和計(jì)算機(jī)系統(tǒng)輻射、泄露等安全狀況進(jìn)行檢查、安全評(píng)估；

(15)對(duì)有關(guān)公共信息網(wǎng)絡(luò)安全的法律、法規(guī)的執(zhí)法情況實(shí)施監(jiān)督；(16)組織開(kāi)

展計(jì)算機(jī)信息系統(tǒng)安全的宣傳、教育、培訓(xùn)。

公共信息網(wǎng)絡(luò)安全監(jiān)察工作的保障措施

(1)加強(qiáng)公共信息網(wǎng)絡(luò)安全監(jiān)察部門(mén)的機(jī)構(gòu)和隊(duì)伍建設(shè)

(2)完善公共信息網(wǎng)絡(luò)安全監(jiān)察工作的法律體系

(3)建立并完善公共信息網(wǎng)絡(luò)安全監(jiān)察工作的標(biāo)準(zhǔn)體系

(4)建立公共信息網(wǎng)絡(luò)安全監(jiān)察的相關(guān)技術(shù)手段

公共信息網(wǎng)絡(luò)安全監(jiān)察工作

計(jì)算機(jī)網(wǎng)絡(luò)安全員培訓(xùn)

信息網(wǎng)絡(luò)安全監(jiān)督檢查工作

根據(jù)《人民警察法》和《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》的規(guī)定，公安

機(jī)關(guān)對(duì)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作行使監(jiān)督、檢查、指導(dǎo)職權(quán)。因此，聯(lián)網(wǎng)單位必須配

合公安機(jī)關(guān)做好對(duì)本單位的信息網(wǎng)絡(luò)安全監(jiān)督檢查工作。

信息網(wǎng)絡(luò)安全監(jiān)督檢查工作

監(jiān)督檢查的內(nèi)容主要包括：

(1)是否能按要求將用戶(hù)備案數(shù)據(jù)及變更情況報(bào)當(dāng)?shù)毓矙C(jī)關(guān)；(2)是否在主要

信息服務(wù)系統(tǒng)的顯著位置安排安全教育的內(nèi)容；(3)是否有安全管理制度；

(4)用戶(hù)入網(wǎng)時(shí)，網(wǎng)絡(luò)服務(wù)提供者是否與入網(wǎng)用戶(hù)簽訂安全管理協(xié)議；信息網(wǎng)絡(luò)

安全監(jiān)督檢查工作

(5)是否建立了安全管理組織；

(6)是否設(shè)立專(zhuān)職安全員、職責(zé)是否明確；

(7)是否對(duì)本單位員工進(jìn)行安全培訓(xùn)；

(8)論壇、博客、BBS等交互式欄目是否有專(zhuān)人管理；

(9)對(duì)委托發(fā)布信息的單位或用戶(hù)是否有詳細(xì)的登記；

(10)是否建立了網(wǎng)上信息發(fā)布審核制度；

信息網(wǎng)絡(luò)安全監(jiān)督檢查工作

(11)是否有對(duì)網(wǎng)上信息的日常檢查制度；

(12)是否有安全事故、案件的報(bào)告制度；

(13)發(fā)現(xiàn)黑客入侵或有害信息是否及時(shí)上報(bào);

(14)是否有對(duì)有害信息的控制、刪除措施；

(15)是否有專(zhuān)職網(wǎng)絡(luò)管理人員；

(16)是否建立了公用帳號(hào)使用登記制度。

信息網(wǎng)絡(luò)安全監(jiān)督檢查工作

安全技術(shù)措施應(yīng)包括：

(1)重要網(wǎng)絡(luò)和信息系統(tǒng)是否有備份及處理突發(fā)事故的應(yīng)急措施；(2)是否有對(duì)

BBS用戶(hù)的身份識(shí)別功能；

(3)是否建立了正規(guī)的網(wǎng)管系統(tǒng)；

(4)系統(tǒng)是否有用戶(hù)上網(wǎng)日志記錄；

(5)系統(tǒng)能不能提供主叫電話(huà)號(hào)碼；

(6)系統(tǒng)是否具有安全審計(jì)功能。

日常安全管理工作

1.從事信息服務(wù)的聯(lián)網(wǎng)單位

從事信息服務(wù)的單位(ISP、1CP)根據(jù)《互聯(lián)網(wǎng)信息服務(wù)管理辦法》申請(qǐng)經(jīng)營(yíng)許可或

履行備案手續(xù)后，應(yīng)按照《信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》的有關(guān)規(guī)定，做好日常

信息網(wǎng)絡(luò)安全管理工作。特別是要建立信息發(fā)布的登記、審核和日志信息的管理制度。對(duì)

發(fā)現(xiàn)有《互聯(lián)網(wǎng)信息服務(wù)管理辦法》中第十五條禁止傳輸?shù)男畔?nèi)容，應(yīng)立即停止傳輸，

并按照《信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》的有關(guān)規(guī)定及時(shí)報(bào)告當(dāng)?shù)毓矙C(jī)關(guān)。

日常安全管理工作

2.從事互聯(lián)網(wǎng)電子公告的聯(lián)網(wǎng)單位

從事互聯(lián)網(wǎng)電子公告服務(wù)的聯(lián)網(wǎng)單位依據(jù)《互聯(lián)網(wǎng)電子公告服務(wù)管理規(guī)定》申請(qǐng)經(jīng)

營(yíng)許可或履行備案手續(xù)后，除了要做好互聯(lián)網(wǎng)信息服務(wù)單位一般性的管理工作外，還應(yīng)依

照《信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》的規(guī)定，識(shí)別并記錄登記用戶(hù)的真實(shí)身份，并

在公安機(jī)關(guān)的監(jiān)督下，建立由信息審核員(開(kāi)辦單位)、站長(zhǎng)(BBS)、欄目主持人(各類(lèi)欄目)

組成的三級(jí)管理機(jī)制，切實(shí)加強(qiáng)對(duì)電子公告信息的日常安全管理。日常安全管理工作

3.使用公用帳號(hào)的聯(lián)網(wǎng)單位

使用公用帳號(hào)的聯(lián)網(wǎng)單位除了按照《信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》的要求

建立各種安全管理制度外，還必須建立公用帳號(hào)使用登記制度，掌握使用公用帳號(hào)的人員

情況。

日常安全管理工作

4.網(wǎng)吧

網(wǎng)吧經(jīng)營(yíng)者應(yīng)按照公安部、信息產(chǎn)業(yè)部等聯(lián)合發(fā)出的《關(guān)于規(guī)范“網(wǎng)吧”經(jīng)營(yíng)行為

加強(qiáng)安全管理的通知》精神，保證：

(1)場(chǎng)地安全可靠、設(shè)施齊全；

(2)有專(zhuān)職技術(shù)人員和安全管理人員；

(3)建立相應(yīng)的安全保護(hù)管理制度；

(4)符合國(guó)家相關(guān)的法律法規(guī)規(guī)定；

同時(shí)要在所在地公安機(jī)關(guān)辦理申請(qǐng)?jiān)S可，經(jīng)管理部門(mén)核發(fā)營(yíng)'也執(zhí)照后方可營(yíng)'也。

公共信息網(wǎng)絡(luò)監(jiān)察部門(mén)公開(kāi)職能

信息網(wǎng)絡(luò)安全監(jiān)察管理

涉網(wǎng)案件報(bào)案程序

信息網(wǎng)絡(luò)安全監(jiān)察管理

以我市的公共信息網(wǎng)絡(luò)安全監(jiān)察工作職能為例，作一簡(jiǎn)單介紹：(1)對(duì)重要領(lǐng)域

的計(jì)算機(jī)網(wǎng)絡(luò)遭受病毒侵害、黑客攻擊以及意外災(zāi)害等重大安全事故和發(fā)生計(jì)算機(jī)犯罪，

實(shí)行緊急救援和緊急出警。市內(nèi)30分鐘內(nèi)到達(dá)現(xiàn)場(chǎng)。

(2)“網(wǎng)吧”等互聯(lián)網(wǎng)上網(wǎng)服務(wù)營(yíng)業(yè)場(chǎng)所的安全審核在7個(gè)工作日完成。(3)計(jì)

算機(jī)機(jī)房設(shè)計(jì)方案的安全審核在15個(gè)工作日完成。

(4)國(guó)際互聯(lián)網(wǎng)備案按規(guī)定時(shí)限辦理。

(5)信息網(wǎng)絡(luò)安全檢查時(shí)，民警應(yīng)先出示警官證。

涉網(wǎng)案件報(bào)案程序

1.涉網(wǎng)案件報(bào)案范圍

(1)擅自侵入他人或組織的計(jì)算機(jī)系統(tǒng)；故意制作、傳播計(jì)算機(jī)病毒等破壞性程序；

擅自中斷計(jì)算機(jī)網(wǎng)絡(luò)或者通信服務(wù)。

(2)利用互聯(lián)網(wǎng)發(fā)表有害信息，顛覆國(guó)家政權(quán)；破壞國(guó)家統(tǒng)一；破壞民族團(tuán)結(jié)；組織

邪教，破壞國(guó)家法律和行政法規(guī)的實(shí)施，通過(guò)互聯(lián)網(wǎng)竊取、泄露國(guó)家機(jī)密。

(3)利用互聯(lián)網(wǎng)傳播淫穢色情等有害信息；

涉網(wǎng)案件報(bào)案程序

(4)利用互聯(lián)網(wǎng)侮辱、誹謗他人；侵犯公民通信自由；

(5)利用互聯(lián)網(wǎng)進(jìn)行盜竊、詐騙、敲詐勒索等違法犯罪活動(dòng)；

(6)計(jì)算機(jī)網(wǎng)絡(luò)遭到黑客非法入侵或攻擊破壞；計(jì)算機(jī)網(wǎng)絡(luò)病毒傳播造成的系統(tǒng)癱瘓

等；

(7)利用互聯(lián)網(wǎng)上網(wǎng)服務(wù)營(yíng)業(yè)場(chǎng)所制作有害信息等。

涉網(wǎng)案件報(bào)案程序

2.報(bào)案的方式與時(shí)間限定

發(fā)生計(jì)算機(jī)違法犯罪案件的單位應(yīng)在24小時(shí)之內(nèi)向所在地公安機(jī)關(guān)計(jì)算機(jī)安全監(jiān)察

部門(mén)報(bào)告。

報(bào)案方式有電話(huà)報(bào)警、網(wǎng)上報(bào)警、當(dāng)面報(bào)警三種。

案件受理采取屬地原則，報(bào)案人一般應(yīng)到當(dāng)?shù)毓矙C(jī)關(guān)信息網(wǎng)絡(luò)安全監(jiān)察部門(mén)報(bào)

案。

電話(huà)報(bào)警的同時(shí)應(yīng)準(zhǔn)備相應(yīng)的書(shū)面報(bào)警材料遞交至受理機(jī)關(guān)。計(jì)算機(jī)信息系統(tǒng)

從業(yè)安全備案

備案范圍：

市區(qū)內(nèi)從事計(jì)算機(jī)設(shè)備或媒體生產(chǎn)、箱售、出租、維修行業(yè)的單位或個(gè)人，從事計(jì)算機(jī)

信息系統(tǒng)安全專(zhuān)用產(chǎn)品生產(chǎn)、銷(xiāo)售、安裝的單位或個(gè)人，從事計(jì)算機(jī)信息系統(tǒng)安全檢測(cè)、

從事工程造價(jià)50萬(wàn)以上計(jì)算機(jī)信息系統(tǒng)安全施工的單位或個(gè)人。

申請(qǐng)備案指南

《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》第十二條規(guī)定，各互聯(lián)網(wǎng)接入服

務(wù)、信息服務(wù)單位以及使用固定IP地址接入國(guó)際聯(lián)網(wǎng)的單位和個(gè)人用戶(hù)須在市公安局進(jìn)

行備案。

對(duì)于不辦理備案手續(xù)的單位和個(gè)人，公安機(jī)關(guān)將按照《中華人民共和國(guó)計(jì)算機(jī)信息

系統(tǒng)安全保護(hù)條例》第二十三條之規(guī)定予以處罰。申請(qǐng)備案指南

(1)互聯(lián)單位、接入單位、互聯(lián)網(wǎng)專(zhuān)線(xiàn)用戶(hù)及經(jīng)營(yíng)公眾多媒體網(wǎng)絡(luò)的單位，在開(kāi)通之

日起的30日內(nèi)，登錄鄭州網(wǎng)絡(luò)警察網(wǎng)站辦理備案登記手續(xù)；

(2)撥號(hào)用戶(hù)的單位和個(gè)人用戶(hù)，在辦理入網(wǎng)手續(xù)的同時(shí)填報(bào)《備案登記表》，由各

互聯(lián)網(wǎng)接入單位將《備案登記表》反饋給市公安局信息網(wǎng)絡(luò)安全監(jiān)察支隊(duì)；

(3)本市各互聯(lián)網(wǎng)接入單位，于每季度首月的5日前將上季度的用戶(hù)變更情況，報(bào)市

公安局信息網(wǎng)絡(luò)安全監(jiān)察支隊(duì)；

申請(qǐng)備案指南

(4)需提交的手續(xù)：

①?gòu)氖聡?guó)際互聯(lián)網(wǎng)業(yè)務(wù)的單位負(fù)責(zé)人的身份證復(fù)印件、聯(lián)系人的身份證復(fù)印件；

②安全管理員的身份證復(fù)印件；

③從事國(guó)際互聯(lián)網(wǎng)業(yè)務(wù)的個(gè)人需持本人身份證復(fù)印件

④從事國(guó)際互聯(lián)網(wǎng)業(yè)務(wù)的單位出具單位介紹信；

⑤電信部門(mén)出具的上網(wǎng)登記材料，

⑥對(duì)于ISP、ICP的單位還應(yīng)出具上級(jí)單位允許聯(lián)網(wǎng)的批準(zhǔn)手續(xù)。⑦其他按要求

需要提交的材料。

申請(qǐng)辦理網(wǎng)吧安全審核手續(xù)指南

1.應(yīng)具備的條件

(1)有與開(kāi)展?fàn)I業(yè)活動(dòng)相適應(yīng)的營(yíng)業(yè)場(chǎng)所，營(yíng)業(yè)場(chǎng)所距中小學(xué)學(xué)校大門(mén)直線(xiàn)距離不少

于200米，營(yíng)業(yè)場(chǎng)地安全可靠，安全設(shè)施齊全；(2)有與營(yíng)業(yè)規(guī)模相適應(yīng)的專(zhuān)業(yè)技術(shù)

人員和專(zhuān)業(yè)技術(shù)支持；

(3)有健全完善的網(wǎng)絡(luò)信息安全管理制度；

(4)有相應(yīng)的網(wǎng)絡(luò)安全技術(shù)措施；

(5)有專(zhuān)職的網(wǎng)絡(luò)信息安全管理人員；

(6)經(jīng)營(yíng)管理、安全管理人員經(jīng)過(guò)公安部門(mén)組織的安全培訓(xùn)；(7)符合法律、行

政法規(guī)的其他規(guī)定。

申請(qǐng)辦理網(wǎng)吧安全審核手續(xù)指南

2.申辦安全審核手續(xù)時(shí)，應(yīng)向公安機(jī)關(guān)提交以下材料

(1)經(jīng)營(yíng)人員的合法身份證明；

(2)工商部門(mén)核發(fā)的企業(yè)名稱(chēng)預(yù)先核準(zhǔn)通知書(shū)復(fù)印件；

(3)營(yíng)業(yè)場(chǎng)所簡(jiǎn)介、證明材料及安全設(shè)施配備情況；

(4)公安消防部門(mén)的《消防安全檢查意見(jiàn)書(shū)》；

(5)安全組織負(fù)責(zé)人、專(zhuān)職或兼職的安全管理人員及其個(gè)人身份信息、資歷證明、聯(lián)

系方式和公安部門(mén)的安全培訓(xùn)合格證；

(6)網(wǎng)絡(luò)信息安全管理制度，包括網(wǎng)吧安全員職責(zé)，網(wǎng)吧技術(shù)人員職責(zé)；網(wǎng)絡(luò)安全技

術(shù)保護(hù)措施，防病毒及有害數(shù)據(jù)傳播的安全產(chǎn)品的材料；(7)其他按要求需要提交的

材料。

3.申報(bào)程序

⑴符合審核條件的網(wǎng)吧(包括申請(qǐng)網(wǎng)吧年審和變更)業(yè)主，登錄鄭州網(wǎng)絡(luò)警察網(wǎng)站

(www.zzwljc),進(jìn)入網(wǎng)吧綜合管理系統(tǒng)，按要求填寫(xiě)申請(qǐng)。

(2)公安機(jī)關(guān)收到申請(qǐng)后，按照相關(guān)要求，聯(lián)網(wǎng)核查網(wǎng)吧的安全審計(jì)專(zhuān)用產(chǎn)品，現(xiàn)場(chǎng)

檢查網(wǎng)吧60天日志留存和實(shí)名登記上網(wǎng)等各項(xiàng)安全措施的落實(shí)情況。

(3)對(duì)各項(xiàng)要求達(dá)標(biāo)的網(wǎng)吧，審核通過(guò)，發(fā)放《安全合格證》。公共信息網(wǎng)絡(luò)安

全監(jiān)察工作

貫徹“嚴(yán)格執(zhí)法、熱情服務(wù)”的原則，統(tǒng)一思想、更新觀念；

從“認(rèn)識(shí)、職責(zé)、目標(biāo)、保障”入手，深刻認(rèn)識(shí)當(dāng)前網(wǎng)上斗爭(zhēng)面臨的復(fù)雜形勢(shì)，全

力加強(qiáng)互聯(lián)網(wǎng)依法公開(kāi)管理；

著力抓好“三個(gè)專(zhuān)項(xiàng)”工作，嚴(yán)厲打擊網(wǎng)絡(luò)違法犯罪，加強(qiáng)對(duì)網(wǎng)絡(luò)淫穢色情和網(wǎng)絡(luò)

賭博的打擊力度，做到“三個(gè)有效兩個(gè)提升”；

扎實(shí)有效履行網(wǎng)安部門(mén)職責(zé)，為構(gòu)建和諧“虛擬社會(huì)”，維護(hù)國(guó)家安全和社會(huì)穩(wěn)

定，作出新的更大的貢獻(xiàn)。

網(wǎng)絡(luò)安全管理簡(jiǎn)介

信息網(wǎng)絡(luò)安全管理的發(fā)展歷程

信息網(wǎng)絡(luò)安全管理的體系結(jié)構(gòu)

信息網(wǎng)絡(luò)安全管理的體系標(biāo)準(zhǔn)

信息網(wǎng)絡(luò)安全管理的組織體系

信息網(wǎng)絡(luò)安全管理的策略體系

信息網(wǎng)絡(luò)安全管理制度

信息網(wǎng)絡(luò)安全管理體系包括

管理組織機(jī)構(gòu)、

管理制度

管理技術(shù)三個(gè)方面，

要通過(guò)組建完整的信息網(wǎng)絡(luò)安全管理組織機(jī)構(gòu)，設(shè)置安全管理人員，制定嚴(yán)格的安全管

理制度，利用先進(jìn)的安全管理技術(shù)對(duì)整個(gè)信息網(wǎng)絡(luò)進(jìn)行管理。信息網(wǎng)絡(luò)管理貫穿于信息網(wǎng)

絡(luò)系統(tǒng)整個(gè)生命周期的各個(gè)階段，既包含了行政手段，也包括了技術(shù)手段。

網(wǎng)絡(luò)安全管理簡(jiǎn)介

信息網(wǎng)絡(luò)安全管理的主要內(nèi)容：由主要領(lǐng)導(dǎo)負(fù)責(zé)的逐級(jí)安全保護(hù)管理責(zé)任制，配備專(zhuān)職

或兼職的安全員，各級(jí)職責(zé)劃分明確，并有效開(kāi)展工作；明確運(yùn)行和使用部門(mén)的崗位責(zé)任

制，建立安全管理規(guī)章制度，在職工群眾中普及安全知識(shí)，對(duì)重點(diǎn)崗位職工進(jìn)行專(zhuān)門(mén)培訓(xùn)

和考核，采取必要的安全技術(shù)措施；對(duì)安全保護(hù)工作有檔案記錄和應(yīng)急計(jì)劃，定期進(jìn)行安

全檢測(cè)、風(fēng)險(xiǎn)分析和安全隱患整改；實(shí)行信息安全等級(jí)保護(hù)制度。

信息網(wǎng)絡(luò)安全管理完成的任務(wù)是保護(hù)信息網(wǎng)絡(luò)和信息資源安全，目標(biāo)是保證信息資產(chǎn)的

機(jī)密性、可用性、完整性、可控性和不可否認(rèn)性，特定的對(duì)象當(dāng)然是信息和信息網(wǎng)絡(luò)。信

息安全管理的原則、方法，所進(jìn)行的計(jì)劃、組織、指揮、協(xié)調(diào)和控制則分為兩個(gè)層次：一

個(gè)是國(guó)家層面匕另一個(gè)是單位自身。國(guó)家的管理是依賴(lài)于立法并通過(guò)行政執(zhí)法機(jī)關(guān)進(jìn)行

監(jiān)管來(lái)實(shí)現(xiàn)。而單位自身的管理則應(yīng)該通過(guò)安全管理組織，制定信息安全策略，建立信息

安全管理制度和機(jī)制來(lái)實(shí)現(xiàn)。也就是說(shuō)應(yīng)該建立一個(gè)信息安全管理體系(ISMS)來(lái)實(shí)現(xiàn)單位

的信息安全管理

信息安全管理堅(jiān)持“誰(shuí)主管誰(shuí)負(fù)責(zé)，誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé)”的原則。信息安全管理組織的主要

職責(zé)是制定工作人員守則、安全操作規(guī)范和管理制度，經(jīng)主管領(lǐng)導(dǎo)批準(zhǔn)后監(jiān)督執(zhí)行；組織

進(jìn)行信息網(wǎng)絡(luò)建設(shè)和運(yùn)行安全檢測(cè)檢查，掌握詳細(xì)的安全資料，研究制定安全對(duì)策和措

施；負(fù)責(zé)信息網(wǎng)絡(luò)的日常安全管理工作，定期總結(jié)安全工作，并接受公安機(jī)關(guān)公共信息網(wǎng)

絡(luò)安全監(jiān)察部門(mén)的工作指導(dǎo)。

網(wǎng)絡(luò)安全管理的發(fā)展歷程

從現(xiàn)代通訊工具一電報(bào)發(fā)明以來(lái)，信息安全的重點(diǎn)是確保信息的保密性，包括商業(yè)秘

密、軍事秘密及個(gè)人隱私。信息安全的控制方法比較簡(jiǎn)單，例如采用安全信使傳遞秘密口

信與信件，通過(guò)人員的保密意識(shí)與物理安全控制的方式來(lái)達(dá)到信息安全的目的。

自二十世紀(jì)四十年代人類(lèi)發(fā)明了計(jì)算機(jī)以來(lái)，尤其是二十世紀(jì)八十年代末信息時(shí)代的到

來(lái)，網(wǎng)絡(luò)技術(shù)與現(xiàn)代通信技術(shù)得到了飛速的發(fā)展，信息技術(shù)被廣泛地應(yīng)用于各行各業(yè)，信

息安全擴(kuò)展為對(duì)信息的保密性、完整性、可用性和可控性的全面保持。

網(wǎng)絡(luò)安全管理的發(fā)展歷程

在我國(guó)，由于信息網(wǎng)絡(luò)安全行業(yè)起步較晚、力量分散、人才匱乏、資金投入不足等原

因，在信息安全技術(shù)和管理方面還相對(duì)落后于一些發(fā)達(dá)國(guó)家。但信息安全管理一直沒(méi)有被

忽視，早在1994年中華人民共和國(guó)國(guó)務(wù)院就發(fā)布了《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安

全保護(hù)條例》，這是我國(guó)一切計(jì)算機(jī)信息系統(tǒng)安全管理的基石，也是制定其他有關(guān)信息安

全管理的法規(guī)、條例、辦法等最根本的依據(jù)。隨后各級(jí)政府、部門(mén)也相繼頒布了一系列的

有關(guān)信息系統(tǒng)安全管理的法規(guī)文件，如《公安部關(guān)于加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)信息安全管

理的通知》、《計(jì)算機(jī)網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》等。

信息安全管理最初并沒(méi)有受到人們的重視，認(rèn)為只要有先進(jìn)的安全技術(shù)就可以實(shí)現(xiàn)系統(tǒng)

的信息安全，但后來(lái)通過(guò)一系列的調(diào)查研究發(fā)現(xiàn)，信息安全問(wèn)題有70%到80%是由系統(tǒng)

本身和系統(tǒng)內(nèi)部管理問(wèn)題引起的，人們逐漸開(kāi)始重視信息安全管理問(wèn)題。這就是人們常說(shuō)

的從“七分技術(shù)，三分管理”到“三分技術(shù)，七分管理”的轉(zhuǎn)變。

為確保信息的安全，信息安全技術(shù)被廣泛采用，如加密技術(shù)、防病毒技術(shù)、訪問(wèn)控制技

術(shù)、入侵檢測(cè)技術(shù)等。各種與信息安全有關(guān)的信息處理設(shè)施與軟件產(chǎn)品的質(zhì)量和安全性，

也得到了人們的普通重視。同時(shí)，與信息安全有關(guān)的法律法規(guī)、安全技術(shù)標(biāo)準(zhǔn)也應(yīng)運(yùn)而

生，如NIST的800系列安全原理和標(biāo)準(zhǔn)、IPSec網(wǎng)絡(luò)安全協(xié)議標(biāo)準(zhǔn)、CC(CommonCriteria)

信息技術(shù)安全評(píng)價(jià)標(biāo)準(zhǔn)等。

從二十世紀(jì)九十年代中后期開(kāi)始步入了標(biāo)準(zhǔn)化和系統(tǒng)化管理的時(shí)

代。1995年英國(guó)率先推出了BS7799信息安全管理標(biāo)準(zhǔn)，這堪稱(chēng)是信息安全管理歷史上

的一個(gè)里程碑。該標(biāo)準(zhǔn)在2000年12月被ISO(國(guó)際標(biāo)準(zhǔn)化組織)認(rèn)可為國(guó)際通用標(biāo)準(zhǔn)，并

命名為ISO/IEC17799—信息安全管理體系國(guó)際標(biāo)準(zhǔn)?，F(xiàn)在該標(biāo)準(zhǔn)已引起許多國(guó)家和地區(qū)

的重視，在一些國(guó)家已經(jīng)被推廣和應(yīng)用。另外，許多其他的發(fā)達(dá)國(guó)家也都建立了自己的信

息安全管理標(biāo)準(zhǔn)和管理方法體系，如美國(guó)總審計(jì)局的一系列信息安全管理指導(dǎo)書(shū)、德國(guó)的

信息技術(shù)安全基礎(chǔ)保護(hù)手冊(cè)等。

目前，我國(guó)的信息網(wǎng)絡(luò)安全管理主要依靠傳統(tǒng)的管理方式與技術(shù)手段來(lái)實(shí)現(xiàn)，但傳統(tǒng)的

管理模式缺乏現(xiàn)代的系統(tǒng)管理思想，而技術(shù)手段又有一定的局限性。保護(hù)信息安全，國(guó)際

公認(rèn)的、最有效的方式是采用系統(tǒng)的方法(管理十技術(shù))保護(hù)信息安全，即確定信息安全管

理方針和范圍，在風(fēng)險(xiǎn)分析的基礎(chǔ)上選擇適宜的控制目標(biāo)與控制方式進(jìn)行控制，制定商務(wù)

持續(xù)性計(jì)劃、建立并實(shí)施信息安全管理體系。這種系統(tǒng)的信息安全管理方法已經(jīng)成為國(guó)際

性標(biāo)準(zhǔn)一BS7799(ISO/IEC17799)。

信息網(wǎng)絡(luò)安全管理的體系結(jié)構(gòu)-分析

信息安全管理體系（ISMS）（InformationSecurityManagement

System）是單位在整體或特定的范圍內(nèi)建立信息安全方針和目標(biāo)，以及完成這些目標(biāo)所

用的方法，它是直接管理的結(jié)果，表示方針、原則、目標(biāo)、方法、過(guò)程、核查表等要素的

集合。

一個(gè)單位的信息安全管理體系的建立，首先應(yīng)該建立自己的管理組織，這一點(diǎn)在BS

7799標(biāo)準(zhǔn)中有明確的提出，我們國(guó)家的公共行業(yè)標(biāo)準(zhǔn)GA391也明確地提出了單位應(yīng)該建

立信息安全領(lǐng)導(dǎo)小組這樣的管理組織。

在信息安全管理組織的領(lǐng)導(dǎo)下，制定信息安全策略，建立信息安全管理制度，以一套可

操作的保障機(jī)制來(lái)保證這些策略和制度的落實(shí)。

同時(shí)，建立信息網(wǎng)絡(luò)管理系統(tǒng)又是一項(xiàng)復(fù)雜而具有挑戰(zhàn)性的任務(wù)，它具有涉及范圍廣

泛、牽扯人員眾多、安全需求各異、技術(shù)進(jìn)步迅速等特點(diǎn)。因此，首先要對(duì)其各構(gòu)成要素

有一個(gè)清晰的認(rèn)識(shí)，這主要包括：

1、策略安全

策略安全是整個(gè)網(wǎng)絡(luò)安全管理的指導(dǎo)性文件，目的是為單位提供網(wǎng)絡(luò)安全管理的方針與

政策支持。制定清晰、完整的安全策略文檔體系，由專(zhuān)門(mén)負(fù)責(zé)人定期審核，并在緊急情況

下（如重大安全事件的發(fā)生、系統(tǒng)新漏洞的出現(xiàn)以及組織機(jī)構(gòu)或技術(shù)機(jī)構(gòu)的改變等）進(jìn)行突

審。

2.單位安全

是指創(chuàng)建、支持、維護(hù)和管理信息網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施的一套管理機(jī)構(gòu)，主要包括管理信

息安全論壇、任命信息系統(tǒng)安全主管、信息安全協(xié)調(diào)、信息安全責(zé)任分配、信息處理設(shè)備

的授權(quán)程序、信息安全專(zhuān)家意見(jiàn)、單位之間的合作、信息安全內(nèi)審、第三方訪問(wèn)安全等事

項(xiàng)。

3.資產(chǎn)分類(lèi)和控制安全

指依取信息網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施，保護(hù)單位資產(chǎn)安全性的能力，主要包括有資產(chǎn)的使用說(shuō)

明和資產(chǎn)的分類(lèi)明細(xì)清單，并特別聲明信息資產(chǎn)的分類(lèi)方法、標(biāo)注及處理過(guò)程等，保證所

有重要的信息資產(chǎn)應(yīng)有專(zhuān)人負(fù)責(zé)，并制定相應(yīng)的維護(hù)和控制責(zé)任。

4.人員安全

這是信息網(wǎng)絡(luò)安全管理的根本。保障信息系統(tǒng)的安全性，既要靠先進(jìn)的技術(shù)，又要有完

善的管理，但其核心都是人，實(shí)際上，大部分安全和保密問(wèn)題是由人為差錯(cuò)造成的。因

此，在信息安全管理中人的因素應(yīng)該是最重要的。

5.物理與環(huán)境安全

作為信息網(wǎng)絡(luò)的主要載體，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)從自身到其環(huán)境都要求有相應(yīng)的安全防護(hù)措

施。例如，建立物理安全地帶、控制物理安全出入口、設(shè)備的安全放置與維護(hù)、以及辦公

場(chǎng)所的安全操作規(guī)程等。

6.通訊與操作安全

主要是建立一系列的安全操作規(guī)程，如文檔操作程序、安全事件管理程序、系統(tǒng)備份與

恢復(fù)程序、日志管理、電子郵件安全措施等，以確保信息處理設(shè)備運(yùn)行正確、安全，把系

統(tǒng)失效的風(fēng)險(xiǎn)降到最低，從而保護(hù)軟件及信息的完整性。

7.訪問(wèn)控制安全

這是信息網(wǎng)絡(luò)安全管理的重點(diǎn)，目的是控制信息的訪問(wèn)，防止非法用戶(hù)和非法計(jì)算機(jī)訪

問(wèn)信息系統(tǒng)，以保證授權(quán)用戶(hù)的完整權(quán)利。措施有：制定訪問(wèn)控制策略、用戶(hù)注冊(cè)登記、

口令使用與管理、用戶(hù)認(rèn)證、網(wǎng)絡(luò)隔離、檢測(cè)并記錄非法活動(dòng)、安全審計(jì)、密鑰管理等。

8.系統(tǒng)開(kāi)發(fā)與維護(hù)安全

運(yùn)用一系列的安全技術(shù)與管理措施，如系統(tǒng)配置、消息認(rèn)證、數(shù)字簽名、密鑰管理、數(shù)

據(jù)輸入輸出控制以及系統(tǒng)的升級(jí)、更新等，確保信息系統(tǒng)的架構(gòu)、業(yè)務(wù)以及應(yīng)用系統(tǒng)的安

全，保證IT項(xiàng)目及支持服務(wù)的安全進(jìn)行，維護(hù)應(yīng)用系統(tǒng)軟件及信息的安全。

9.業(yè)務(wù)持續(xù)性

是指通過(guò)預(yù)防及恢復(fù)措施，把業(yè)務(wù)因?yàn)?zāi)難或安全失效的停頓降到可接受的程度，并制定

實(shí)施應(yīng)急計(jì)劃，來(lái)保證業(yè)務(wù)進(jìn)程能夠在規(guī)定時(shí)間內(nèi)恢復(fù)。計(jì)劃應(yīng)建立在單一框架基礎(chǔ)匕

以保證一致性，并進(jìn)行測(cè)試、維護(hù)及修改，最終使其變成所有管理過(guò)程中不可分割的一部

分。

10.遵循性

即是否遵守法律。其目的是避免觸犯任何刑事及民事法律，以及其他法定、條例、合同

的義務(wù)和安全需求。信息系統(tǒng)的設(shè)計(jì)、操作、使用及管理受安全需求約束，同時(shí)要加強(qiáng)系

統(tǒng)審計(jì)的考慮和證據(jù)的收集，以備發(fā)生問(wèn)題時(shí)采取合法的處理方式。

從根本上來(lái)說(shuō)，信息安全管理要實(shí)現(xiàn)的就是，在系統(tǒng)和環(huán)境進(jìn)行物質(zhì)、能量和信息交換

的進(jìn)程中，利用一切可以利用的安全防護(hù)措施，達(dá)到保護(hù)系統(tǒng)內(nèi)部重要信息和其他重要資

產(chǎn)的安全性（保密性、完整性、可用性和可控性），以防止和最小化安全事件（風(fēng)險(xiǎn)）所造成

的破壞，確保業(yè)務(wù)的持續(xù)性和損失最小化。

信息網(wǎng)絡(luò)安全管理的體系結(jié)構(gòu)-原理

建立、實(shí)施和維護(hù)信息安全管理體系，就是實(shí)施單位需遵循某一風(fēng)險(xiǎn)評(píng)估來(lái)鑒定、選擇

最適宜的控制對(duì)象，并對(duì)自己的需求采取適當(dāng)?shù)目刂啤?/p>

建立信息安全管理體系具體操作如下：

1.定義信息安全策略

描述的是信息安全在單位內(nèi)的重要性，提出管理信息安全的方法，為信息安全管理提供

方向和支持。需要根據(jù)實(shí)際情況，分別制定不同的信息安全策略。例如，規(guī)模較小的單位

可能只有一個(gè)信息安全策略，并適用于所有部門(mén)、員工；而規(guī)模大的集團(tuán)單位則需要制定

一個(gè)信息安全策略文件，分別適用于不同的子公司或各分支機(jī)構(gòu)。信息安全策略應(yīng)該簡(jiǎn)單

明了、通俗易懂，并形成書(shū)面文件，發(fā)給單位內(nèi)的所有成員。同時(shí)要對(duì)所有相關(guān)員工進(jìn)行

信息安全策略的培訓(xùn)I,對(duì)信息安全負(fù)有特殊責(zé)任的人員要進(jìn)行特殊的培訓(xùn)，以使信息安全

方針真正植根于所有員工的腦海，并落實(shí)到實(shí)際工作中。

2.定義信息安全策略的范圍

確定信息安全策略的范圍，即明確在哪些領(lǐng)域重點(diǎn)進(jìn)行信息安全管理。單位需要根據(jù)自

己的實(shí)際情況，在整個(gè)單位范圍內(nèi)、或者在個(gè)別部門(mén)或領(lǐng)域架構(gòu)信息安全管理體系

(ISMS)?因此，在本階段，應(yīng)將單位劃分成不同的信息安全控制領(lǐng)域，以易于單位對(duì)有不

同需求的領(lǐng)域進(jìn)行適當(dāng)?shù)男畔踩芾怼Ｐ畔踩芾眢w系可以覆蓋單位的全部或者部

分，無(wú)論是全部還是部分，單位都必須明確界定體系的范圍，如果體系僅涵蓋單位的一部

分就變得更重要了。

3.進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估

信息安全風(fēng)險(xiǎn)評(píng)估的復(fù)雜程度將取決于風(fēng)險(xiǎn)的復(fù)雜程度和受保護(hù)

資產(chǎn)的敏感程度，所采用的評(píng)估措施應(yīng)該與單位對(duì)信息資產(chǎn)風(fēng)險(xiǎn)的保護(hù)需求相一致，應(yīng)

該和單位既定的信息安全管理體系范圍、信息安全需求、法律法規(guī)要求相適應(yīng)，兼顧效果

和效率。

風(fēng)險(xiǎn)評(píng)估主要依賴(lài)于信息和網(wǎng)絡(luò)的性質(zhì)、使用信息的目的、所采用的網(wǎng)絡(luò)環(huán)境等因素。

單位在進(jìn)行信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估時(shí)，需要將直接后果和潛在后果一并予以考慮。

4.信息安全風(fēng)險(xiǎn)管理

根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果進(jìn)行相應(yīng)的風(fēng)險(xiǎn)管理，主要包括以下幾種措

施：

降低風(fēng)險(xiǎn)：在考慮轉(zhuǎn)嫁風(fēng)險(xiǎn)前首先考慮采取措施降低風(fēng)險(xiǎn)。

避免風(fēng)險(xiǎn)：有些風(fēng)險(xiǎn)很容易避免，例如通過(guò)采用不同的技術(shù)、更改操作流程、采用簡(jiǎn)單

的技術(shù)整改措施等。

轉(zhuǎn)嫁風(fēng)險(xiǎn)；當(dāng)風(fēng)險(xiǎn)不能被降低或避免、且被第三方接受時(shí)，適用于低概率、一旦發(fā)生產(chǎn)

生重大影響的風(fēng)險(xiǎn)。

接受風(fēng)險(xiǎn)：用于那些在采取了降低風(fēng)險(xiǎn)和避免風(fēng)險(xiǎn)措施后，依舊存在且必須接受的風(fēng)

險(xiǎn)。

5.確定管制目標(biāo)和選擇管制措施

管制目標(biāo)的確定和管制措施的選擇：原則是費(fèi)用不超過(guò)風(fēng)險(xiǎn)所造成的損失。由于信息安

全是一個(gè)動(dòng)態(tài)的網(wǎng)絡(luò)工程，單位應(yīng)實(shí)時(shí)對(duì)選擇的管制目標(biāo)和管制措施加以校驗(yàn)和調(diào)整，以

適應(yīng)變化了的情況.使單位的信息資產(chǎn)得到有效、經(jīng)濟(jì)、合理的保護(hù)。

6.準(zhǔn)備信息安全適用性聲明

信息安全適用性聲明記錄了單位相關(guān)的風(fēng)險(xiǎn)管制目標(biāo)和針對(duì)每種風(fēng)險(xiǎn)所采取的各種控制

措施。信息安全適用性聲明的準(zhǔn)備，一方面是為了向單位內(nèi)的員工聲明對(duì)信息安全風(fēng)險(xiǎn)的

態(tài)度，在更大程度上則是為了向外界表明單位的態(tài)度和作為，以表明單位已經(jīng)全面、積極

地審視了組織的信息網(wǎng)絡(luò)安全，并將所有必要管制的風(fēng)險(xiǎn)控制在能夠被接受的范圍內(nèi)。

實(shí)施信息安全管理體系需要切實(shí)可行的計(jì)劃，以及管理高層的支持。對(duì)于制定的信息安

全管理體系文件，應(yīng)當(dāng)獲得最高管理層的批準(zhǔn)。管理風(fēng)險(xiǎn)的建議應(yīng)該獲得批準(zhǔn)，開(kāi)始實(shí)施

和運(yùn)作信息安全管理體系也需要獲得最高管理者的授權(quán)。

在形式上，可以通過(guò)設(shè)計(jì)風(fēng)險(xiǎn)控制計(jì)劃，來(lái)完成對(duì)風(fēng)險(xiǎn)評(píng)估的目標(biāo)與控制措施的選擇和

確定。

風(fēng)險(xiǎn)控制計(jì)劃是針對(duì)所識(shí)別的每一項(xiàng)不可接受風(fēng)險(xiǎn)建立的詳細(xì)處理方案和實(shí)施時(shí)間表，

是安全風(fēng)險(xiǎn)和控制措施的接口性文檔。風(fēng)險(xiǎn)控制計(jì)劃不僅可以指導(dǎo)后續(xù)的信息安全管理活

動(dòng)，還可以作為與高層管理者、上級(jí)領(lǐng)導(dǎo)機(jī)構(gòu)、合作伙伴或者員工進(jìn)行信息安全事宜溝通

的橋梁。這個(gè)計(jì)劃至少應(yīng)該為每一個(gè)信息安全風(fēng)險(xiǎn)闡明以下內(nèi)容：所選擇的處理方法；已

經(jīng)到位的控制；建議采取的額外措施；建議控制的實(shí)施時(shí)間框架。

信息網(wǎng)絡(luò)安全管理的體系結(jié)構(gòu)-描述根據(jù)信息系統(tǒng)安全的總體要求，信息安全體系應(yīng)從

安全組織體系、安全管理體系以及安全技術(shù)體系三個(gè)方面進(jìn)行體系架構(gòu)，如下圖所示。

(1)安全組織體系主要涉及信息網(wǎng)絡(luò)系統(tǒng)安全的組織機(jī)構(gòu)，包括決策單位、日常管理機(jī)

構(gòu)和執(zhí)行檢查層次等，