管理信息系統安全策略對于企業競爭來說，資料的保密和安全是非常重要的。資料的保密和安全涉及以下幾個方面：1、資料自身的完整性和規范性；2、資料存儲的安全性；3、資料的維護（更新）和引用（查閱）的管理手續（即流程）的規范性及權力限定的嚴謹性。用一句通俗的話來歸納，在企業中，只有通過授權的人（崗位）才可使用（包括維護和引用）相關的資料，嚴禁未經過授權的人（崗位）非法使用資料。而對于（計算機）管理信息系統應用來說，資料包括基礎（技術）數據和業務數據。首選要求數據（即資料）要具有良好的共享性，其次要求流程（即業務）處理具有連貫性。基于上述兩者之間的需求，要求（計算機）管理信息系統本身應具有下列基本功能：1、保證企業資料的完整性和一致性（關系數據庫本身功能可解決）；2、資料存儲的安全可靠性（可通過配置高性能的數據庫服務器、備份及加強服務器的保安管理可解決）；3、通過強有力的權限管理功能，將企業所有的數據根據實際情況定義出所有者（機構）。同時授權（控制）每個人（崗位）的功能模塊（業務操作）使用權限，所能查閱及維護的數據的范圍（即能查閱哪些機構的數據，在軟件系統中表現為數據表中的記錄行），以及查閱及維護數據的哪些明細屬性（在軟件系統中表現為數據表的列）；4、結合企業運作的實際情況和未來需要，可定義出各業務之間的工作（操作）流程。第二篇：稅務系統信息安全策略論文編號：6g21112101稅務系統信息安全策略劉宏斌李懷永內容題要：隨著稅收信息化程度不斷提高，稅收工作對信息系統的依賴性不斷增大，稅務信息安全顯得更加重要。本文主要通過分析稅務信息化的網絡安全的重要性和內部網網絡信息存在的安全問題來提出稅務信息化的網絡安全實施方案。關鍵詞：稅務信息化、信息安全、安全策略計算機軟硬件技術的發展和互聯網技術的普及，為電子稅務的發展奠定了基礎。尤其是國家金稅工程的建設和應用，使稅務部門在遏止騙稅和稅款流失上取得了顯著成效。電子稅務可以最大限度地確保國家的稅收收入，但卻面臨著系統安全性的難題。雖然我國稅務信息化建設自開始金稅工程以來，取得了長足進步，極大提高了稅務工作效率和質量。但稅務系統本身也暴露出了一系列要改進的問題，各種應用軟件自成體系、重復開發、信息集中程度低。隨著信息化水平的不斷提高，基于信息網絡及計算機的犯罪事件也日益增加。稅務系統所面臨的信息網絡安全威脅不容忽視。建立稅務管理信息化網絡安全體系，要求人們必須提高對網絡安全重要性的認識，增強防范意識，加強網絡安全管理，采取先進有效的技術防范措施。本文主要通過分析稅務信息化的網絡安全威脅和內部網網絡信息管理的安全策略和技術來提出稅務信息化的網絡安全實施方案。一、稅務機關信息安全的重要性稅收是國家財政收入的重要途徑，相關的稅務系統業務要求其具有準確性、公證性和完整性的特點，隨著稅收信息化程度不斷提高，稅收工作對信息系統的依賴性不斷增大，稅務信息安全顯得更加重要。稅務信息系統已經覆蓋到全國鄉鎮，點多面廣，信息安全防范難度加大，稅務機關信息系統安全基礎條件不足、管理力量薄弱，成為稅務信息安全的重點和難點。因此保證稅務信息系統的安全性意義重大。稅務系統作為電子政務系統的一部分，屬國家基礎信息建設，其基本特點是：網絡地域廣、信息系統服務對象復雜；稅務信息具有數據集中、安全性要求高；應用系統的種類較多，網絡系統安全設備數量大，種類多，管理難度大。稅務系統是一個及其龐大復雜的系統，從業務上有國稅、地稅之分，從地域來說通過總局、省局、市局數據中心的三層數據分布和總局、省局、市局及縣/區級、分局/所五層網絡管理結構。網絡結點眾多、網絡設備和網絡出口不計其數、操作系統種類繁多、應用系統五花八門、網絡機構極其復雜。面對如此復雜的系統，其內部安全隱患隨處可見，經過不斷的研究和探索，目前已經積累了大量解決稅務系統信息基礎設施安全的方法和經驗，形成一整套稅務系統的安全保障方法，相關安全保障的體系也在不斷完善和發展中。二、稅務系統內部網存在的安全問題稅務信息化的網絡為計算機內部網，內部網是獨立于其他任何網絡的獨立網絡，這里所謂的獨立是指的物理上的獨立，因此保證保密內部網的網絡與信息安全也具有特有的要求。稅務內網安全的問題主要表現為：1、物理地域廣。內網設備地理位置分散，內網用戶水平參差不齊，承載業務不同，安全需求各異，從而決定了內網安全建設的復雜性和多元性；2、網絡邊界的擴大。遠程撥號用戶、移動辦公用戶、vpn用戶、分支機構、合作伙伴、供應商、無線局域網等等已經大大地擴展了網絡的邊界，使得邊界保護更加困難；稅務分局、稅務所等分支機構的局域網與上級稅務骨干網的連接，無論采用adsl、xdsl寬帶，還是采用ddn、sdh專線，基本沒有路由安全和防止入侵的技術措施。3、病毒/蠕蟲/特洛伊木馬。病毒蠕蟲大規模泛濫、新的蠕蟲不斷出現，給內網用戶帶來損失，以及網絡出現病毒、蠕蟲攻擊等安全問題后，不能做到及時地阻斷、隔離；一般是以尋找后門、竊取密碼和重要文件為主，還可以對電腦進行跟蹤監視、控制、查看、修改資料等操作，具有很強的隱蔽性、突發性和攻擊性。由于具有很強的隱蔽性，用戶往往是在自己的密碼被盜、機密文件丟失的情況下才知道自己中了木馬。部分內部網絡終端缺少有效的安全防護，業務資料和私人信息混存，不設開機口令，沒有讀寫控制，業務系統登錄口令簡單且長期不變，移動存儲設備不按規定使用，病毒和垃圾信息充斥。4、身份欺騙。內網安全防范措施相對脆弱，不能有效抵御來自內外部的入侵和攻擊的問題，安全策略不能得到及時地分發和執行，最終導致安全策略形同虛設；主要方式有：ip欺騙、arp欺騙、dns欺騙、web欺騙、電子郵件欺騙、源路由欺騙（通過指定路由，以假冒身份與其他主機進行合法通信或發送假報文，使受攻擊主機出現錯誤動作）、地址欺騙（包括偽造源地址和偽造中間站點）等。5、內網非法主機外聯。非法主機的接入、內部網非法通過modem、無線網卡非法外聯等的安全防范不足從而引入安全風險。有的終端在內部網和互聯網之間來回換用，一些只應在內部網上運行的操作系統、應用軟件和業務數據沒有與互聯網實行“隔離”，存在潛在風險。6、缺乏上網行為管理監控。缺乏對內網用戶行為（收發郵件，web頁面訪問，文件上傳下載等等）進行監控的手段，導致組織機密信息和隱私泄漏。內部網上設備和信息共享范圍廣，信息發布和公開比較隨意，不少重要或敏感信息只有發布沒有管理，缺少防止惡意攻擊信息系統和竊取保密信息的技術手段和措施。內外網間的安全解決方案和選購的設備等，不少沒有經過權威部門的檢測和認定，系統運行中缺少嚴格的跟蹤監控，存在安全隱患。7、其他安全威脅緩沖區溢出。緩沖區溢出是指當計算機程序向緩沖區內填充的數據位數超過了緩沖區本身的容量。溢出的數據覆蓋在合法數據上，一小部分數據或者一套指令的溢出就可能導致一個程序或者操作系統崩潰。三、稅務信息化的網絡安全實施方案1、做好信息安全風險評估為確保稅務信息資產的安全，應定期組織業務、技術和管理等專業人員進行信息安全風險評估，制定科學的安全預算。信息安全評估應著重于以下問題：（1）確定可能對信息資產造成危害的威脅，包括計算機病毒、黑客和自然災害等。（2）通過歷史資料和專家的經驗確定威脅實施的可能性。（3）對可能受到威脅影響的信息資產確定其價值、敏感性和嚴重性，以及相應的級別，確定所有信息資產的重要程度。（4）對最重要的、最敏感的信息資產，確定一旦威脅發生其潛在的損失或破壞。（5）準確了解網絡和系統的安全現狀。（6）明晰網絡和系統的安全需求。（7）確定網絡和系統的安全策略。（8）制定網絡和系統的安全解決方案。（9）向上級提交安全保障體系建設的意見和建議。（10）通過項目實施和培訓，培養自己的安全技術骨干及隊伍。2、加強信息安全管理信息安全“三分技術，七分管理”，安全管理是信息安全的核心，建立健全安全管理制度是安全管理的關鍵。規范化的安全管理，能夠最大限度地遏制或避免各種危害，是保障計算機信息安全的最重要環節。（1）建立健全信息安全管理組織，明確領導體制和工作機制。（2）建立健全信息安全管理制度，落實安全防范責任制。（3）廣泛開展計算機信息安全宣傳，提高全員信息安全意識，建立信息安全培訓機制，組織開展多層次、多方位的信息安全培訓，提高全員信息安全防范技能。（4）開展經常性的安全檢查，切實整改安全隱患，不斷改進信息安全管理工作。（5）科學評定信息系統及信息資產的重要級別，確定信息安全工作重點，制定近、中、遠期信息安全工作規劃。3、完善信息安全技術手段信息安全離不開安全技術的實施和安全技術防范體系的建立。基層單位要以協助和配合總局、省局統一的信息安全體系建設為主，自主建設為輔，且以內網和內部的防范為重點。（1）病毒防范。建立嚴密的、全方位的、統一的網絡病毒防范系統，實行統一的殺毒組件分發、維護、更新和報警等，重點防控網絡終端、移動存儲設備的病毒入侵和傳染。（2）身份鑒別與訪問控制。嚴格設定所有應用系統用戶的崗位和權限，改變傳統的用戶名加口令的辦法，使用基于密碼技術、生物統計技術等新型的、可靠的電子身份鑒別技術，把好進入系統的第一道關卡，防止非授權用戶進入各級信息系統。（3）安全審計。對網絡的web瀏覽、web發布、郵件、即時通信、ftp和遠程登錄等行為進行全面審計，對重要數據庫的訪問對象、訪問時間、訪問類型和訪問內容進行嚴密跟蹤，及時掌握整個網絡動態，發現網絡入侵和違規行為，記錄網上一切行為，為安全事件的處置和查證提供全面依據和確鑿證據。（4）入侵檢測。對內部網中主要的網段進行實時入侵監測，動態地監測網絡內部活動并做出及時的響應，及時發現網上攻擊行為并作出得當的處置。（5）信息加密。對重要信息資料、數據進行加密存儲和傳輸，防止重要信息被篡改、偽造、竊取和泄漏。稅務機關要立足實際，切實解決好人員、資金、技術問題，把信息安全管理工作放在應有位置，逐步實現信息安全的規范化、制度化管理，不斷建立和完善信息安全技術防范體系，為稅收征管信息化提供有力的安全保障。結束語解決信息系統的安全不是一個獨立的項目問題，安全策略包括各種安全方案、法律法規、規章制度、技術標準、管理規范等，是整個信息系統安全建設的依據。現有的安全保障體系一般基于深度防御技術框架，若能進一步利用現代信息處理技術中的人工智能技術、嵌入式技術、主動技術、實時技術等，將形成更加完善的信息安全管理體系。稅務信息安全直接關系到稅收信息化建設的成敗，必須引起稅務機關和每一位稅務人的重視。科學技術的發展不一定能對任何事物的本質和現象都產生影響，技術只有與先進的管理思想、管理體制相結合，才能產生巨大的效益。參考文獻：（1）戴宗坤，羅萬伯等.信息系統安全[m].電子工業出版社，2002.（2）黃章勇.信息安全概論.2005年第1版.出版社：北京郵電大學出版社，2005：7-58（3）孫銳，王純.信息安全原理及應用.2003年7月第1版.清華大學出版社，2003：17-21（4）王聰生.信息與網絡安全中的若干問題.電力信息化[j]，2004（7）.（5）白巖，甄真，倫志軍，周芮.計算機網絡信息管理及其安全.現代情報[j]，2006，8（8）.（6）王純斌.淺議計算機網絡信息安全管理.哈爾濱市委黨校學報[j]，2006（9）.（7）趙月霞.信息網絡安全設計與應用.寧夏電力[j]，2004（1）.（8）陳月波.網絡信息安全[m].武漢：武漢理工大學出版社，2005.（9）鐘樂海，王朝斌，李艷梅.網絡安全技術[m].北京：電子工業出版社，2003.（10）張千里.網絡安全基礎與應用[m].北京：人民郵電出版社，2007.（11）吳金龍，蔡燦輝，王晉隆.網絡安全[m].北京：高等教育出版社，2004.（12）熊心志.計算機網絡信息安全初探.計算機科學.2006，33卷.b12期：60-62（13）網絡信息安全及防范技術分析.中國科技信息.2006，16期：149-151（作者單位：盤錦市大洼縣國稅局）第三篇：淺談管理信息系統安全策略研究淺談管理信息系統安全策略研究本文重點探討信息系統的安全措施，及影響計算機網絡安全的主要因素，增強防范意思，確保計算機網絡信息安全性、保密性、完整性和可靠性。關鍵詞：管理系統系統安全信息科學加密技術防火墻隨著信息時代的發展，計算機網絡得到了廣泛應用，網絡的安全性已成為不同使用層次的用戶共同關心的問題。人們都希望自己的網絡系統能更加安全可靠地運行。但隨著網絡信息傳輸量的急劇增長，一些機構和部門上網的數據也會遭到不同程度的破壞。攻擊者可以竊取網絡上的信息，竊用口令、篡改數據庫內容，釋放計算機病毒等。這致使數據的安全性和自身的利益受到了嚴重的威脅，所以解決好網絡的安全性、可靠性問題，是確保網絡正常運行的前提和保障，更好地為企事業單位提供信息咨詢、信息檢索、信息存取等服務。一、管理信息系統的發展歷史管理信息系統的概念起源很早。早在20世紀初，隨著科學技術和社會經濟的迅速發展，人們迫切要求文獻信息管理工作的發展速度與之相互適應。20世紀30年代，柏德就強調了決策在組織管理中的作用。50年代，西蒙提出了管理依賴于信息和決策的概念。同一時代維納發表了控制論與管理，他把管理過程當成一個控制過程，此時計算機已用于會計工作。管理信息系統已經逐步成為一個獨立的學科分支，它繼承了其他眾多學科的理論及其應用技術，它與信息科學、系統科學、計算機科學、控制理論、統計學、會計學、經濟學、管理科學有著十分密切的聯系。同時，它又廣泛地應用于工業、農業、交通、運輸、文化、教育、衛生、體育以及各種社會經濟活動的信息管理之中，并起著極其重要的作用，顯示出強大的生命力。隨著社會的不斷進步、科學技術快速發展，管理工作越來越重要。在現代管理科學體系中，管理信息系統正不斷發展、逐步完善，它已被公認為是一門不可替代的嶄新學科。計算機作為現代化的工具與手段，已成為信息處理的重要工具。計算機的應用范圍越來越廣，最終導致了管理信息系統的產生。管理信息系統依賴于管理和科學技術的發展而形成、依賴于電子計算機的發展而發展的，管理信息系統是與電子計算機同步發展的，它是現代化管理的標志。二、國內信息系統發展現狀、存在問題企業是國民經濟的基礎，而企業信息系統建設是企業走向現代化的必由之路。我國目前各類企業在近20年來，不同程度上都遇到了企業信息系統建設的問題。80年代以來，國家有關部門就一直非常重視企業信息化的推進。90年代以后，隨著微型計算機、互連網等迅速普及，計算機技術對企業的影響越來越大，企業信息化進一步為人們所重視。在信息化快速發展的時代，我們在充分肯定這些已經取得的成果同時也不能忽視一些普遍存在的問題。在過去10年左右，我國企業信息系統建設雖然轟轟烈烈地發展，但其成功率并不是很理想。一些企業已經投入使用的模塊，實際中并未發揮作用，它只是針對一些局部系統，或特定類型的產品處于試運行階段。一些企業中的計算機的97%是用來做文字處理工作，有1/5的計算機是經常用來玩游戲的。這些調查、結果分析都說明：我國企業目前雖然使用計算機已經比較普遍，但許多信息系統的應用情況卻并沒有達到預想的效果。三、信息系統開發的緊迫性隨著企業規模的擴大和市場競爭的更加激烈，各行各業都愈來愈認識到人力資源管理的重要性及提升企業自身人力資源管理水平的迫切性，而人力資源管理水平的提升不僅需要高素質的管理人員，而且也需要信息化工具進行輔助。隨著中國企業管理水平的提高，人才的爭奪與管理已成為中國所面臨的嚴重問題。要面對高強度的競爭無疑是需要優秀的管理人才，而科學管理的實施是離不開數字化的工具做輔助。特別在組織規模不斷擴大的今天，做為管理人員和單位領導者要想對單位進行有效的管理和正確的決策就必須借助于數字化管理工具。四、網絡安全應具備的功能及影響信息系統安全的主要因素1、計算機網絡應用系統必須具備以下功能：（1）訪問控制（2）檢查安全漏洞（3）攻擊監控（4）加密通訊（5）認證（6）備份和恢復（7）多層防御（8）。設立安全監控中心2、影響信息系統安全的主要因素（1）信息系統在穩定性和可擴充性方面存在。由于設計系統的不規范、不合理以及缺乏安全性考慮，因而使其受到影響。（2）網絡硬件的配置不協調。主要是文件服務器，它是網絡的中樞，其運行穩定性、功能完善性直接影響信息系統的質量。設計和選型考慮欠周密，影響網絡的可靠性、擴充性和升級換代。（3）缺乏安全策略。許多站點在防火墻配置上無意識地擴大了訪問權限，忽視了這些權限可能會被其他人員濫用。（4）管理制度不健全，網絡管理、維護不力。五、。網絡安全應具備的防范措施1.信息系統結構設計合理與否是網絡安全運行的關鍵。全面分析信息系統設計的每個環節是企事業單位建立安全可靠的信息工程的首要任務。在總體設計方面要注意以下幾個問題：對接入以太網上任一節點進行偵聽，捕獲發生在這個以太網上的所有數據包，對其進行解包分析，竊取關鍵信息。為了解除這個信息系統固有的安全隱患，可采取以下措施：（1）網絡分段技術的應用從源頭杜絕網絡的安全隱患問題。局域網采取物理分段與邏輯分段，來實現對局域網的安全控制，目的就是將非法用戶與敏感的網絡資源相互隔離，防止非法偵聽，保證信息的安全暢通。（2）解除隱患的另一方法是交換式集線器代替共享式集線器。2.強化計算機管理是信息系統安全的保證（1）加強設施管理，確保計算機網絡系統實體安全。健全安全管理制度，防止非法用戶進入計算機控制室和其它各種非法行為的發生。在保護計算機系統、打印機、網絡服務器等外部設備和能信鏈路上下大功夫，并不定期的對運行溫度、濕度、清潔度、供電接頭、三防措施、志線、設備等進行檢查、測試和維護。著力改善抑制、防止電磁泄漏的能力，確保計算機系統有一個良好的電磁兼容的工作環境。（2）強化訪問控制，力求計算機網絡系統正常運行。第一，建立入網訪問功能模塊。通過對特定網段、服務建立的訪問控制體系，將絕大多數攻擊阻止在到達攻擊目標之前。入網訪問控制為網絡提供了第一層訪問控制。它允許哪些用戶可以登錄到網絡服務器并獲取網絡資源，控制準許用戶入網的時間和準許他們在哪臺工作站入網。用戶的入網訪問控制可分為3個過程：用戶名的識別與驗證；用戶口令的識別與驗證；用戶賬號的檢查。在3個過程中如果其中一個不能成立，系統就視為非法用戶，則不能訪問。第二，建立網絡的權限控制模塊。網絡的權限控制是針對網絡非法操作所提出的一種安全保護措施。可以根據訪問權限將用戶分為3種類型：特殊用戶、一般用戶、審計用戶。第三，建立屬性安全服務模塊。屬性安全控制可以將給定的屬性與網絡服務器的文件、目錄和網絡設備聯系起來。網絡屬性可以控制以下幾個方面的權限：向某個文件寫數據、拷貝一個文件、刪除目錄、文件的查看、執行、隱含、共享及系統屬性等，還可以保護重要的目錄和文件，防止用戶對目錄和文件的誤刪除、執行修改、顯示等。第四，建立檔案信息加密制度。主動地加密通訊，可使攻擊者不能了解、修改敏感信息。良好的認證體系可防止攻擊者假冒合法用戶，防止數據非法泄漏。第五，建立完善的備份及恢復機制。良好的備份和恢復機制，可在攻擊造成損失時，盡快地恢復數據和系統服務。同時，建立強大的數據庫觸發器和恢復重要數據的操作以及更新任務，確保在任何情況下使重要數據均能最大限度地得到恢復。第六，建立網絡服務器安全設置模塊。網絡服務器的安全控制包括設置口令鎖定服務器控制臺；設置服務器登錄時間限制、非法訪問者檢測和關閉的時間間隔；安裝防火墻。第七、建立安全監控設施。為信息系統提供安全體系管理、監控、保護及緊急情況服務。綜上所述，對于計算機網絡傳輸的安全問題，我們必須要做到以下幾點。第一，應嚴格限制上網用戶所訪問的系統信息和資源，這一功能可通過在訪問服務器上防火墻來實現。第二，應加強對上網用戶的身份認證，使用radius等專用身份驗證服務器。可以實現對上網用戶帳號的統一管理；在身份驗證過程中采用加密的手段，避免用戶口令泄露的可能性。第三，在數據傳輸過程中采用加密技術，防止數據被非法竊取。vpn在提供網間數據加密的同時，也提供了針對單機用戶的加密客戶端軟件，即采用軟件加密的技術來保證數據傳輸的安全性。參考文獻[1]。。計算機網絡技術.西安電子科技大學出版社，。2001[2]。。計算機網絡與通信.北京大學出版社，。1999.[3]。。計算機學報.。2001-2006.[4]。電腦報.。2000-2002.。。第四篇：信息系統安全管理制度信息安全管理制度為維護公司信息安全，保證公司網絡環境的穩定，特制定本制度。一、互聯網使用管理互聯網使用管理互聯網使用管理互聯網使用管理1、禁止利用公司計算機信息網絡系統制作、復制、查閱和傳播危害國家安全、泄露公司秘密、非法網站及與工作無關的網頁等信息。行政部門建立網管監控渠道對員工上網信息進行監督。一經發現，視情節嚴重給予警告、通報批評、扣發工資500-1000元/次、辭退等處罰。2、未經允許，禁止進入公司計算機信息網絡或者使用計算機信息網絡資源、對公司計算機信息網絡功能進行刪除、修改或者增加的、對公司計算機信息網絡中存儲、處理或者傳輸的數據和應用程序進行刪除、修改或者增加、故意制作、傳播計算機病毒等破壞性程序的等其它危害公司計算機信息系統和計算機網絡安全的。一經發現，視情節嚴重給予警告、通報批評、扣發工資1000-2000元/次、辭退等處罰。3、公司網絡采取分組開通域名方式，防止木馬蠕蟲病毒造成計算機運行速度降低、網絡堵塞、帳號密碼安全系數降低。二、網站信息管理1、公司網站發布、轉載信息依據國家有關規定執行，不包含違反國家各項法律法規的內容。2、公司網站內容定期進行備份，由網管員保管，并對相應操作系統和應用系統進行安全保護。3、公司網管加強對上網設備及相關信息的安全檢查，對網站系統的安全進行實時監控。4、嚴格執行公司保密規定，凡涉及公司秘密內容的科研資料及文件、內部辦公信息或暫不宜公開的事項不得上網；5、所有上網稿件須經分管領導審批后，由企劃部門統一上傳。三、軟件管理軟件管理軟件管理軟件管理1、公司軟件產品的采購、軟件的使用分配及版權控制等由行政部門信息系統管理員統一進行，任何部門和員工不得擅自采購。2、公司提供的全部軟件僅限于員工完成公司的工作使用。未經許可，不得將公司購買或開發的軟件擅自提供給第三人。3、操作系統由公司統一提供。禁止安裝使用其它來源的操作系統，特別是未經授權的非法拷貝。擅自使用造成的一切后果由使用人自行承擔，對于造成損失的，將視情節及危害程度嚴重給予警告、通報批評、扣發工資100-200元/次等處罰。4、一般應用軟件統一在公司文件服務器上提供常用軟件安裝目錄，不提供安裝光盤（操作系統除外）。安裝非公司提供的軟件導致系統損害，信息丟失的，將視情節及危害程度嚴重給予警告、通報批評、扣發工資100-300元/次、辭退等處罰。5、公司小范圍使用的專業版權軟件，使用人需在自行備份并由信息系統管理員驗證后才可進行安裝。6、禁止安裝使用非工作用軟件。其它工作所需的應用軟件，可由使用部門申請，再由行政部門統一發布。四、計算機病毒管理1、集團計算機病毒管理由集團信息辦負責進行規劃、實施和監控。2、員工應樹立預防計算機病毒的意識和熟知預防計算機病毒的措施，及時更新系統漏洞和使用殺毒軟件。具體內容包括：（1）及時更新微軟補丁，每周至少更新一次。當屏幕右下角有自動更新的圖標時，要及時安裝。（2）有些特殊的軟件（如sqlserver等），及時到相應網站打補丁。（3）及時安裝殺毒軟件和升級殺毒軟件病毒特征庫。嚴禁因殺毒軟件影響性能，而把殺毒軟件卸載。每周至少更新一次，確保殺毒軟件為最新版本。（4）嚴禁打開來歷不明的郵件。能判斷為病毒郵件的，立即刪除；不能判斷的聯系信息系統管理員解決。當計算機感染病毒后，請及時斷開網線，使用殺毒軟件查殺和查看操作系統和應用軟件的補丁是否及時更新；嚴重者請及時聯系信息辦信息系統管理員解決。（5）當有新病毒通過某些軟件（如：，msn）傳播時，請立即關閉相應軟件或拔掉網線。查殺問題解決后，方可繼續使用。3、凡未按以上預防計算機病毒步驟執行而造成機器感染病毒并傳播者，第一次給予警告、第二次給予通報批評，第三次及以上將給予通報批評并扣發工資50-100元/次。五、網絡資源管理1、集團網絡資源和服務器由集團信息辦信息系統管理員統一進行規劃、管理和監督。2、服務器及個人用機的管理：（1）部門級及以上服務器必須指定專人負責管理，并在行政部門備案，未經授權，非管理員不得對其進行操作。（2）部門級及以上的服務器管理員有責任對其負責的服務器進行例行檢查，包括：服務器的cpu、內存、硬盤等資源利用情況；服務器上運行的服務使用情況；服務器上運行的os及時升級；服務器上運行的殺毒軟件的及時更新；（3）服務器管理員要做好服務器的備份工作，至少每季度有一份完整異地（異機）備份，重要數據及時備份。信息系統管理員有責任監督、協調其備份工作。（4）個人和部門未經行政部門批準不得私自設立服務器。（5）服務器管理員每月定期對服務器做一次全面檢查，并填寫服務器檢查日志。（6）服務器管理員每季度需修改服務器密碼一次。當服務器管理員有變更時，管理員密碼需及時更改。（7）員工應避免隨意共享工作相關資料，若需共享，應指定合理權限，并在完成后及時取消；嚴禁未經信息系統管理部門批準，擅自共享給局域網內所有用戶。（8）員工應自行維護電腦的正常使用，并按照網管的要求進行設置及及時進行補丁更新，不得擅自退出域、去除域管理員權限、修改主機名、修改ip等。3、ip地址的管理。（1）ip地址由行政部門統一規劃管理。未經許可，不得擅自更改任何設備的ip地址。（2）公司申請的公網ip任何人不得私用。（3）工作需要公網ip，需申請信息部批準后，方可使用。（4）公司公網ip使用無工作需要時，立即停止使用，并通知行政部門收回。（5）ftp等特殊服務器的使用須經行政部門批準，且不得擅自更改使用用途。六、機房管理1、人員管理。相關維護人員憑門禁卡或密碼進出機房，其它人員不得擅入。如確需進入機房的其它工作人員，應向相關部門提出申請，并做相應的登記備案后，在相關人員的陪同下入內。信息系統管理員有權在場監控及記錄入內者的工作情況。2、機房設備管理。參照公司固定資產管理制度進行管理。非電源性電子設備（如路由器，服務器等）必須接不間斷電源，保證數據在突然斷電時不致丟失；機房溫度應保持在22±2℃。工作時間，非工作時間公司保安應定時巡視機房，確保機房環境、供電及溫度正常；如出現機房溫度超過30攝氏度警戒線、停電等異常情況，應與管理員聯絡，立刻采取必要措施保障機房設備的安全。3、信息管理。任何人員（包括管理員）在機房信息設備上進行更改操作，都需記錄備案。未經管理員許可在機房內擅自進行操作者，可視情節給予通報批評、扣發工資200-500元；情節嚴重的，可予以辭退。4、施工管理。公司機房建設應符合機房建設的有關標準和規定；在公司機房內施工，須由信息安全部經理批準，并有網絡管理員或授權的公司保安監督施工現場。七、電子設備使用管理1、電子設備的新增購買申請先采用調配方式，若無法調配同等配置的，才予購買。使用管理參照公司固定資產管理制度。2、計算機及其輔助設備一經領用，使用人員需嚴格按照設備使用說明書和管理員制定的相關使用規定操作。對丟失、擅自轉讓、人為毀損造成無法修復等損失，可視情節給予警告、通報批評、按價賠償。（1）臺式計算機：非經信息管理員工同意不得擅自打開機箱。（2）筆記本電腦設備：a、不同品牌型號的零配件不可互換使用。b、用于移動辦公，絕對不允許作為服務器共享操作。c、應保持出廠預裝的正版操作系統，保留硬盤中的隱藏分區。如確因工作需要重新安裝其它操作系統（如win2000等），需由系統管理員進行。不允許私自重新分區格式化，將原出廠隱藏區格式化刪除。3、非經許可，不得將個人臺式電腦及相關設備帶入公司，特殊情況，需辦理相關登記手續。4、員工不得隨意增減配件，不得在未經管理員許可的情況下對硬盤做低級格式化。未經行政部門批準，嚴禁將臺式電腦及其它電子設備帶出公司。私自調配電子設備（含配件），可視情節給予警告、通報批評、扣發工資200-500元/次。八、信息系統管理員1、管理權限和責任（1）負責公司各信息系統的信息安全、日常維護、系統管理等。（2）嚴格遵守公司制定的相關信息安全管理制度，履行工作職責。（3）制定各信息系統的管理維護標準，包含用戶及權限建立與變更標準及流程、定期檢查制度、違約處罰條款等，送交信息安全主管部門審核備案，并嚴格執行。（4）信息系統管理員必須簽訂《關鍵職位員工之保密承諾書》。2、職責規范（1）推動員工樹立信息系統安全防范意識，完善公司信息安全保障機制，逐步建立以預防、發現、響應、恢復為基礎的信息安全管理機制。（2）遵守職業道德，嚴守保密制度，不以任何形式攜帶走所接觸的、了解的、獲知的、掌握的、使用的集團任何資料；不向任何單位和個人泄露、透露或披露在工作期間所接觸到、了解到、知悉的、被告知的集團商業秘密（包括技術秘密和經營秘密）；未經公司書面同意，不擅自使用已接觸到、了解到、知悉或被告之的商業秘密；不利用已知的公司資源（如公司信息系統缺陷、口令等），做違反國家法規、竊取公司商業秘密、攻擊公司服務器等行為。（3）端正服務態度，對員工的需求積極快速響應，并提供迅速、周到的技術服務支持。九、附則：1、本制度解釋權歸集團信息辦。2、本制度自頒布之日起施行。第五篇：信息系統安全管理規范信息系統安全管理規范1、目標此文檔用于規范公司業務系統的安全管理，安全管理所達到的目標如下：確保業務系統中所有數據及文件的有效保護，未經許可的用戶無法訪問數據。對用戶權限進行合理規劃，使系統在安全狀態下滿足工作的需求。2、機房訪問控制機房做為設備的集中地，對于進入有嚴格的要求。只有公司指定的系統管理員及數據庫管理員才有權限申請進入機房。系統管理員及數據庫管理員因工作需要進入機房前必須經過公司書面批準。嚴格遵守機房管理制度。3、操作系統訪問控制保護系統數據安全的第一道防線是保障網絡訪問的安全，不允許未經許可的用戶進入到公司網絡中。第二道防線就是要控制存放數據及應用文件的主機系統不能被未經許可的用戶直接訪問。為防止主機系統被不安全訪問，采取以下措施：操作系統級的超級管理用戶口令、數據庫管理用戶口令、應用管理用戶口令只能由系統管理員設定并經辦公室審核，１個月做一次修改，口令要向其他人員保密。在應用系統實施階段，考慮到應用軟件提供商需要對自己的產品進行調試，可以在調試時將應用管理用戶口令暫時開放給應用軟件提供商；調試一結束系統管理員馬上更改口令。對口令設定必需滿足以下規范：最多允許嘗試次數口令最長有效期口令的最大長度口令的最小長度530天不受限6口令的唯一性要求。4、系統的安全控制最近三次所更改的口令不能相同通過口令控制及對象的安全控制實現。5、數據庫訪問控制為有效的保障業務數據的安全，采取以下措施：數據庫內具有較高權限的管理用戶口令由辦公室數據庫管理員設定，并由辦公室審核，不能向其他人開放。口令必須１個月做一次修改。業務系統后臺數據庫對象創建用戶的口令由辦公室數據庫管理員設定，由辦公室審核。不能向其他人開放。口令必須1個月做一次修改。對口令設定必需滿足以下規范：口令最長有效期口令的最大長度口令的最小長度口令的唯一性要求30天不受限6最近三次所更改的口令不能相同根據操作需求，在數據庫中分別建立對業務數據只有“增、刪、改”權限的用戶；對業務數據只有“查詢”權限的用戶。不同的操作需求開放不同權限的用戶。除辦公室門的人員外，其他部門的任何人員均沒有權限從后臺數據庫直接進行數據的“增、刪、改”操作對于業務必須的后臺job或批處理，必須由辦公室門人員執行。6、應用系統訪問控制應用系統訪問依靠系統內部定義的操作用戶權限來控制，操作用戶權限控制到菜單一級，對于操作用戶的安全管理有如下規范：所有應用級的操作用戶及初始口令統一由辦公室門設定，以個人郵件的形式分別發給各部門的操作人員。各部門操作人員在首次登錄時必須修改口令，口令必須１個月做一次修改。對于口令設定必需滿足以下規范：口令最長有效期口令的最大長度口令的最小長度口令的唯一性要求30天不受限6最近三次所更改的口令不能相同操作人員不能將自己的用戶及口令隨意告訴他人所有使用者的認可都由系統管理員來逐一分配。必須由部門經理提交訪問權認可的申請表，然后由辦公室批準。當應用系統中需要加入新的使用者時，首先使用者需要填寫“權限申請表”。該申請表應該得到部門經理和辦公室的共同批準。之后，it系統管理員會幫助應用系統的使用者開通賬戶，并建立相應的訪問等級和權限。當應用系統需要關閉某位使用者的賬戶時，首先該部門應該填寫“權限申請表”，并得到部門經理和辦