威尼斯98488信息与教育技术中心信息系统信息安全总体方针与政策(总则)
设计和施工管理
第一条 计算机信息系统安全应严格按照国家法律、法规和标准进行设计,要充分利用计算机网络系统的安全技术成果,推动计算机信息系统系统建设与安全技术水平的协调发展,保障计算机及其相关配套设备及运行环境的安全,最大程度地防范安全风险。
第二条 计算机信息系统安全设计应充分考虑信息安全所面临的内外部威胁,以提高计算机信息系统安全防范能力。 ① 同信息与教育技术中心定期(原则上一年不少于一次)开展计算机信息系统安全可靠性评估自查工作,不断提高安全防范水平。
第三条 计算机信息系统安全要防范以下非人为的安全威胁
(一)地震、水灾、火灾、风灾等自然灾难;
(二)系统、硬件、软件的设计漏洞、现实漏洞和配置漏洞等技术缺陷。
第四条 计算机信息系统安全应能防范以下人为的安全威胁
(一)内部人员安全威胁(包括恶意的和非恶意的两种):恶意内部攻击包括恶意修改数据和安全机制配置参数、恶意建立未授权的网络连接、恶意的物理损坏和破坏等,非恶意威胁包括误操作、无意的数据损坏和破坏等;
(二)典型的被动攻击,包括监视通信数据、通信流量分析、截获口令、破译加密不善的通信数据等;
(三)典型的主动攻击,包括修改数据、重放所截获的数据、插入数据、盗取合法建立的会话、越权访问、利用缓存区溢出漏洞执行代码、插入和利用恶意代码、利用协议、软件、系统故障和后门等对信息系统进行攻击;
(四)典型的临近攻击,包括偷取磁盘后又还回、偷窥屏幕信息、收集作废的打印纸、物理毁坏通信线路、利用电磁辐射和泄露接收电磁信息等接近被攻击的网络、系统和设备等;
(五)典型的分发攻击,包括利用开发制造商的设备修改软硬件配置、在产品分发、安装时修改软硬件配置等在电子信息系统软件和硬件的开发、生产、运输和安装阶段,恶意修改设计、配置的行为;
(六)经评估认定的其它人为安全威胁。
第五条 计算机信息系统的设计、建造单位应有国家颁发的资质证书;所使用产品应符合安全质量标准和有关要求;参与设计、施工的人员应政治可靠,业务熟练(或经过培训),能够满足安全保护的要求,在施工过程中,要严把质量关,防止在施工过程中留下安全隐患。
第六条 计算机信息系统建设单位与设计单位应共同成立小组,进行网络和业务分析,形成安全风险分析报告,并明确安全需求的重点;依据风险分析报告和重点安全需求,进行安全实施方案的设计。
第七条 安全产品的选型应遵循以下原则:合法性原则(密码产品/通用安全设备);产品自身性能、功能先进的原则;与其他安全产品协同工作的原则;支持集中安全管理和监控的原则;满足需求并适当考虑发展需求的原则;选择产品更要选择厂家的原则。
第八条 计算机信息系统安全的建设应按国家有关规定实行监理制度,承担监理任务的单位应有相应的资质。