网络安全管理要求

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

3 NO. 互联网信息服务——WEB浏览的安全
(4)应记录向公众发布的信息内容及其公布时间、互联网地址 或者域名等,以便需要时能够查询相关信息;应避免相关数据和 信息被篡改和破坏。 (5)应对用户访问Web服务器的操作进行日志记录,以便需要 时能够查询相关信息;应避免相关数据和信息被篡改和破坏。 (6)用户在进行WEB浏览时,应尽量选择合法的网站;不要浏 览色情网站;对弹出的广告窗口谨慎点击;勿发表一些攻击性或 反动或迷信的内容。
互联网安全防护范围:
包括互联网业务及应用系统、以及互联 网相关系统提出的安全防护要求。
互联网业务及应用系统
互联网域名服务 域名解析、域名注册、域名交易
互联网接入服务 互联网信息服务
Web浏览 FTP服务 电子邮件服务 公众信息发布 在线数据处理与交易 移动互联网信息服务
Web浏览包括:网页浏览、信息发布、内容下载等
(1)应保护业务相关信息的安全,避免相关数据和页面被篡改和破坏;
(2)应禁止不必要的内嵌网络服务,应禁止在用户端自动安装恶意软件, 应监控用户下载的软件是否含有病毒,应自动采取处理措施;
(3)对外提供Web浏览服务的平台不应向公众发布有害信息; 例如:交互式栏目(论坛)管理要求 1、关键字过滤 1> 智能过滤(技术和人工手段); 2> 关键字应跟随形势的变化而变化; 3> 关键字过滤掉的帖子,应另做保存; 2、作好审计工作,记录张贴人的IP地址。 3、认真落实“先审后发”的信息预审制度,把有害信息扼 杀在萌芽状态。
7 NO. 互联网信息服务——通用安全
(1)应保护用户隐私,不泄露用户相关信息; (2)相关服务器应使用防火墙和防病毒等软件,应具备一定的容错、 防病毒传播、防恶意软件、防黑客及其他来自内部和外部的各种常见 攻击的能力;
(3)相关服务器应定期更新各种软件、系统补丁,定期检查相关服务 器安全状况,并做相应检查记录;
Байду номын сангаас
6 NO. 互联网信息服务——数据的安全
在线数据:指网络服务器上的数据
(1)应保护客户相关资料的安全性,包括硬件、软件、数据及应用等; (2)对托管/代维的服务器,应按照要求对服务器进行维护管理,保证 服务器正常运行; (3)应按照客户的要求,记录对相关服务器的操作访问等日志,并保 留一定的期限,以便需要时能够查询相关信息,并避免数据和信息篡 改和破坏。
互联网业务及应用系统
互联网域名服务 域名解析、域名注册、域名交易
互联网接入服务 互联网信息服务
Web浏览 FTP服务 电子邮件服务 公众信息发布 在线数据处理与交易 移动互联网信息服务
2 NO. 互联网接入服务的安全
内容包括:个人用户接入、集体用户接入等
(1)宽带网络接入服务器或网络接入服务器应通过用户名等方式 识别并确认用户的身份,应可选择不同的认证协议 对用户进行 身份验证; (2)应设置不同的访问控制策略 来控制用户的接入; (3)应能够控制用户对资源的访问,不允许用户过量的占用资源; (4)宽带网络接入服务器应支持VPN(虚拟专用网络) 功能。
5 NO. 互联网信息服务——电子邮件的安全
电子邮件是—种用电子手段提供信息交换的通信方式,是Internet应用最广的服务
(1)电子邮件服务器应监控收发电子邮件中是否含有病毒,并自动 采取相应的措施;
(2)应建立有效的机制防范垃圾邮件,例如垃圾邮件投诉处理机制 等,确保正常用户邮件业务的使用;
垃圾及有害电子邮件管理要求: 1、关闭邮件系统的匿名转发服务(SMTP); 2、过滤:过滤技术是目前反垃圾邮件用到的主要技术。标准电
子邮件地址、主题、信件内容等相关字段,是过滤技术判断、 分析、统计和提取的依据。
(3)应对用户收发邮件等操作进行日志记录,以便需要时能够查询 相关信息,应避免相关数据和信息被篡改和破坏。
互联网业务及应用系统
互联网域名服务 域名解析、域名注册、域名交易
互联网接入服务 互联网信息服务
Web浏览 FTP服务 电子邮件服务 公众信息发布 在线数据处理与交易 移动互联网信息服务
4 NO. 互联网信息服务——FTP服务的安全
FTP:(File Transfer Protocol)文件传输协议,使得主机间可以共享文件
(1)FTP服务器应监控用户上传文件中是否含有病毒,并自动 采取相应处理措施; (2)应防止用户对FTP服务器进行非法读写,应拒绝由未被允 许的IP地址、用户名、子网域发来的FTP操作请求,应能够限制 单个IP地址、用户名、子网域的链接数量和链接频率; (3)应对用户上传下载文件等操作进行日志记录,以便需要时 能够查询相关信息,应避免相关数据和信息被篡改和破坏。
VPN属于远程访问技术,简单地说就是利用公网链路架设私有网络。
互联网业务及应用系统
互联网域名服务 域名解析、域名注册、域名交易
互联网接入服务 互联网信息服务
Web浏览 FTP服务 电子邮件服务 公众信息发布 在线数据处理与交易 移动互联网信息服务
3 NO. 互联网信息服务——WEB浏览的安全
1 NO. 互联网域名服务的安全
内容包括:域名解析、域名注册、域名交易
(1)提供域名注册服务的机构,应对注册的域名进行审查,杜绝 不良域名的出现; (2)应确保重要数据例如域名信息的安全性,防止被篡改和破坏; (3)针对互联网域名解析服务,在排除外力因素的情况下, DNS服务器组的可用性应>=99.9%; (4)针对不同的服务,应保存相应的服务记录,并保留一定的期 限,以便需要时能够查询相关信息,并避免相关数据和信息被篡 改和破坏。
(4)应给予用户执行日常任务所必须的最低等级的访问许可权,相应 口令应足够复杂,口令应经常更换;
(5)在向用户提供业务时应保证相关系统之间传递信息的真实性和完 整性。
案例分析
案例 网络隐私权的保护
随着互联网的发展和网络商业化的增强,信息网络用户的个人资料,作为一种重 要的网络资源,其被收集和利用的情形无法避免。这种情景势必会对网络使用者 的个人隐私权造成一定的威胁。
相关文档
最新文档