网络安全责任体系范文
时间:2024-01-04 17:11:56
网络安全责任体系篇1
一、充分认识加快推进教育网络与
信息安全工作的重要性和紧迫性
当今社会,信息技术发展日新月异,移动互联网、物联网、云计算、大数据等技术日渐成熟,信息化对人类的生产、生活乃至学习方式、思维方式等都已产生巨大影响,也为教育改革发展注入了新的活力,带来了新的机遇。同时,随着信息技术发展的突飞猛进,网络与信息安全问题日益突出,教育系统信息泄露、黑客攻击等事件也时有发生,给学校、师生及家长带来了极大的安全隐患,教育行业网络与信息安全面临着前所未有的困难和挑战。面对新形势、新要求,我们要立足全局、着眼长远,深刻认识加快推进教育网络与信息安全工作的重要意义,进一步增强做好这项工作的紧迫感、责任感和使命感。
1.做好教育网络与信息安全工作是主动适应网络安全发展态势的迫切需要。“网络安全问题已是全球性问题。”在不久前刚刚闭幕的第三届世界互联网大会上,这一观点得到了与会嘉宾的广泛赞同。当前,国际社会网络与信息安全事件频发,表明网络安全问题已是世界各国面临的共同问题,网络威胁无国界。放眼国内,2016年央视315晚会曝光的公共WIFI安全存在漏洞,不法分子可获取登录用户手机中的个人隐私信息,山东准大学生电信诈骗案,某大学教师被冒充的公检执法人员骗走个人财产等,都在提醒我们要时刻关注网络安全。就教育系统内部来说,江苏省教育系统网络与信息安全问题比较严重,在全国排名靠前,这与江苏省教育网络发达、网站众多有关,同时也说明了江苏省对教育网络与信息安全工作重视不够、制度建设不到位、防护力度不大、水平不高。教育部、省公安厅、网信办等部门发来的网络安全事件通报也表明,一些教育行政部门、学校网站存在各种安全漏洞,更有严重者,个别学校网站被黑客攻击,网站主页被张贴反动言论,造成了严重的负面影响。日益严峻的网络安全形势,要求我们以时不我待的紧迫感和责任感,加快推进教育行业网络与信息安全工作,增强抵御网络安全风险的防范能力。
2.做好教育网络与信息安全工作是落实中央决策部署、部省工作要求的迫切需要。党和国家高度重视网络与信息安全工作,成立了中央网络安全与信息化领导小组,亲自担任组长,并且在领导小组第一次会议上就提出“没有网络安全就没有国家安全,没有信息化就没有现代化”的战略论断。2016年4月19日,在网络安全和信息化工作座谈会上强调,网络安全和信息化是相辅相成的,安全是发展的前提,发展是安全的保障,安全和发展要同步推进,要树立正确的网络安全观,加快构建关键基础设施安全保障体系,全天候、全方位感知网络安全态势,增强网络安全防御能力和威慑能力。同年11月7日,十二届全国人大常委会第二十四次会议表决通过了《中华人民共和国网络安全法》,真正实现了“网络不是法外之地”的治理要求,为网络安全治理撑开了法律保护伞。教育部高度重视网络和信息安全工作,成立了教育部网络安全和信息化领导小组,并在第一次全体会议上就专题研究了保障信息安全问题,先后出台了《教育行业信息系统安全等级保护定级工作指南(试行)》等系列文件,要求切实加强教育行业的网络与信息安全建设。江苏省委、省政府坚持将网络与信息安全工作纳入经济社会信息化发展全局中统一谋划、统筹推进,出台了《省政府关于大力推进信息化发展和切实保障信息安全的实施意见》,要求建立健全信息安全保障体系。我们必须深刻领会国家法律和部、省重要文件要求,把思想和行动统一到相关决策部署上来,推动教育网络与信息安全工作迈上新台阶。
3.做好教育网络与信息安全工作是加快推动教育信息化、率先实现教育现代化的迫切需要。网络安全和信息化是一体之两翼、驱动之双轮,发展教育信息化,就必须重视教育行业的网络与信息安全建设,因为这是教育信息化发展的前提和保障。随着教育信息化建设的持续深入推进,信息系统、门户网站、数据中心越建越多,信息技术与教育教学和管理的融合应用越来越广泛,所涉及到的基础数据量越来越大,网络与信息安全责任也越来越重。加快推进教育网络与信息安全建设,通过完善网络与信息安全防护设备和软件,建立多层次网络与信息安全技术防护体系和数据容灾机制,全面落实信息系统安全等级保护制度,可以为云计算、物联网、移动互联网等新一代信息技术在教育中的运用提供强有力的支撑,为广大师生、学校及教育行政部门的基础数据提供全天候、全方位的安全保障。我们教育行政部门的管理者必须进一步明确对网络与信息安全的责任,推动网络安全与信息化协调发展,保障和促进教育信息化持续、健康、有序发展,为率先实现教育现代化奠定坚实的基础。
二、科学谋划教育网络与信息安全工作发展路径
当前及今后一段时期,全省教育系统网络与信息安全工作的总体要求是按照“一条思路,两个原则”即“摸清家底、落实责任、强化抓手”的工作思路,“统一规划,防护与建设相结合”的原则及“科学把握,技术与制度相结合”的原则,建立与教育信息化发展相适应的、完备的网络与信息安全保障体系,支撑教育现代化事业持续健康发展。
1.明晰发展思路,树立教育网络与信息安全工作新标杆。观念决定思路,思路Q定出路,科学的发展思路是做好一切工作的先导。推进教育网络与信息安全建设,必须坚持摸清家底、落实责任、强化抓手的工作思路。要摸清家底,底数清才能方向明,这是做好网络安全防护工作的前提。我们要搞清楚目前到底有多少系统,哪些是一般系统,哪些是关键信息基础设施,摸底数据的全面性和准确性直接影响到网络安全技术防护的部署安排。要落实责任,按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”和“属地化管理”的原则,严格落实网络与信息安全责任制,强化主要责任人是第一责任人的意识。要实现分级管理,层层落实责任,省教育厅负责统筹指导全省教育系统包括高校的网络与信息安全工作,各市教育局负责本地区教育部门和学校的网络与信息安全工作。强化抓手,就是要抓住重点,集中发力,实现突破。我们要以关键信息基础设施检查、安全等级保护工作为抓手,通过以查促管、以查促防、以查促改、以查促建,整体提升教育网络与信息安全工作建设水平。
2.明确基本原则,推动教育网络与信息安全协调发展。要坚持统一规划,防护与建设相结合的原则,在信息化建设过程中,网络与信息安全要同步规划、同步建设、同步实施,实现内容和技术并举、管理和技术并重,避免出现“重建设轻管理,重发展轻安全”的现象。要坚持科学把握,技术与制度相结合的原则,我们不仅要完善网络与信息安全防护设备和软件,加强网络与信息安全核心技术的研发和使用,还要严格执行网络与信息安全法律法规、政策和标准规范,严格遵循国家、省制定的各类教育信息化管理制度,对全省教育网络与信息系统安全防护采取符合我省实际要求的准入制度,严格要求管理、技术、人员岗位和操作实施流程。同时要兼顾效果优先及投入产出效益最大化,做到技术与制度相互补充,能通过制度达到的防护水平就无需通过采购设备来做技术防护,有效遏制不计成本的采购,提高经费使用效益。
3.抓住重点工作,确保教育网络与信息安全工作落到实处。抓住重点工作,才能做到有的放矢。我们要以重点工作为突破口,带动教育网络与信息安全整体水平的提升。根据国家及省里的工作要求,并结合教育实际,当前及今后一段时期,我们将从以下六个方面着手开展工作。一是深入开展关键信息基础设施检查工作,全面掌握关键信息基础设施数量、分布、主要功能、运行环境、运维方式等,提升关键信息基础设施防护能力。二是开展信息系统安全等级保护工作,推进信息系统安全等级保护制度的落实,开展信息系统的定级、备案、测评整改工作。协调教育部、省公安厅推进省级教育网络安全等级保护测评工作站建设。三是推进教育系统数字证书(CA)试点建设。开展CA重点用户安全认证工作,加快部署CA系统。四是开展网络安全日常监测与专项检查,加强对重要信息系统、关键数据资源进行常态化监测和检查,做好“两会”、高考等重要时期网络安全保障工作。五是依托教育城域网建设全省教育专网,实现全省各类信息报送、重要信息系统运行都在专网内进行;推进各级教育网群建设,打破“信息孤岛”,实现信息系统分级部署、集中管理。六是组织开展网络与信息安全培训,举办全省各级各类学校学生网络安全知识竞赛,全面增强教育系统人员、广大学生网络安全意识,提高抵御网络风险的防护能力。
三、切实增强推进教育网络与
信息安全工作的合力
当前,教育信息化工作已经进入了深化应用、融合创新的发展时期,越来越广泛、越来越深入的应用必然会对网络与信息安全工作提出新的更高的要求,应该说我们肩上的担子更重、责任更大。我们要进一步明确职责、狠抓落实、勇于担当、主动作为,切实加大教育网络与信息安全工作的推进力度,确保为教育信息化持续健康发展提供坚强的安全壁垒,为率先实现教育现代化作出应有的贡献。为此,应落实以下四点要求。
1.领导高度重视,层层落实责任。网络安全问题首先是认识的问题,认识不到位,工作自然做不好。目前有一些教育行政部门、学校领导对于网络与信息安全工作没有给予足够重视,出了不少问题,甚至出了问题还不当回事。做好网络与信息安全工作,首先领导要高度重视,要建立健全网络与信息安全组织领导体系。江苏省教育d即将把教育信息化工作领导小组更名为教育网络安全与信息化领导小组,由厅长、书记两个一把手任组长,副厅长任副组长,进一步强化主要领导对教育网络与信息安全工作的领导责任。各地也要加快建立党政一把手负责的网络与信息安全工作领导机构,由主要负责人担任网络与信息安全工作的第一责任人。在单位内部,进一步明确职能机构及专门管理人员专门负责网络与信息安全工作,对本单位网络与信息安全工作实施统筹管理,要求相关职能部门和技术支持机构做到安全到人、责任到岗,强化网络安全责任,建立责任追究制度,形成追责、补救机制。
2.建立工作机制,规范工作流程。完善的工作机制是网络与信息安全工作持续健康发展的重要保障。要建立健全网络与信息安全应急处置机制,制订网络与信息安全工作应急预案,明确应急处置流程和权限,配备专业的应急处置技术支持队伍,开展对专业人员的应急预案培训和演练,进一步优化应急设备和软硬件环境,提高网络与信息安全应急处置能力。要建立重大网络与信息安全事件处置和报告制度,进一步规范报送范围、统一报送流程、明确报送时间、落实事件处置紧急措施。要建立网络与信息安全工作月报制度,各地各单位要按照流程及时上报网络与信息安全工作情况、信息系统运行状况和网络信息事件处置情况,省教育厅将对全省网络与信息安全工作情况进行定期通报。要建立健全管理协调机制,与各级公安部门、网信部门、通信管理部门进行横向协调,省市县校实现纵向衔接,建立跨部门、跨地区的协调和事件处理机制,完善网络安全工作的组织保障。
3.加大经费投入,打造人才队伍。各地要加大网络与信息安全经费投入力度,建立稳定的网络与信息安全经费投入机制,将安全建设和运维经费纳入年度财政预算,设立网络与信息安全专项经费,明确网络与信息安全专项经费占教育信息化经费的支出比例,对网络与信息安全设施建设、安全防护能力建设及日常的网络安全维护工作予以重点支持。要合理安排和使用经费,提高经费使用效益。要强化人才队伍建设,各地要加快制定网络与信息安全的培训规划,积极开展网络与信息安全专项培训,建立网络与信息安全专业人员岗前培训和继续教育互为补充的培训制度,逐步实行网络与信息安全专业技术人员持证上岗。要面向不同群体,开展针对领导干部、管理人员、技术人员、师生的不同层次的培训,将网络与信息安全意识和政治意识、责任意识、保密意识结合起来,提高全体人员的网络与信息安全防范意识,网络安全意识要从小抓起,从娃娃抓起,让信息一代网络“原住民”从小就具备网络安全常识和网络安全防范能力,培养规范、合法的网络行为。
4.强化督查考核,推动工作落实。各地要制定并完善网络与信息安全检查、评价考核办法,建立隐患排查治理机制。省教育厅每年至少组织一次全省网络与信息安全工作大检查,各地要结合本地本单位实际,认真开展网络与信息安全工作自查,对检查中发现的隐患必须及时整改,检查结果和整改结果要上报省教育厅备案。省教育厅将把各地网络与信息安全工作情况纳入年度考核,建立积分排名制度,对工作得力的单位给予表彰,对工作不力的单位进行通报。要建立网络泄密举报制度和奖惩制度,充分调动社会各界和广大群众的监督作用。
网络安全责任体系篇2
一、以确保重大庆典活动安全为目标,强化网络与信息安全监督管理
(一)切实提高维护网上政治安全和社会稳定能力。借鉴北京奥运、国庆60周年和上海世博会等重大节庆日期间我省网络与信息安全保障工作的成功经验,积极指导、协调省级重点单位、各设区市网安办,以建党90周年、“6·18”海交会、“9·8”投洽会等重要活动、重大敏感期网上安保工作为重点,做好网络安全保障工作。(责任单位:省委宣传部、省公安厅、省教育厅、省通信管理局、省网安办)
(二)开展专项整治,严厉打击网上违法犯罪活动。深入开展“黑网吧”清查整治,强化对微博、网上论坛、视频、搜索引擎、博客、播客、手机网站等有害信息多发部位的巡查,及时清除网上“”、色情、诈骗、销售违禁品等违法信息,营造良好网络环境。加大对“”等组织网上反宣煸动活动的打击力度。开展网络反窃密、防窃密以及网络层面上涉及国家安全事项的专项工作。针对人民群众反映强烈的网上突出治安问题,持续开展打击网络攻击破坏、网络、网络色情、网络侵权盗版、网络诈骗等犯罪活动。(责任单位:省委宣传部、省委610办、省公安厅、省国家安全厅、省文化厅、省新闻出版局、省广电局、省通信管理局、省工商局)
(三)落实网上社区管控责任。按照“属地”、“准属地”的原则,进一步划分巡查责任区,落实监控措施,充分运用监控信息,发现线索,立案侦查,形成网上网下斗争相结合机制;在重点网站建立安全员,督促网站落实安全管理责任;积极与大型网站建立联络反馈机制,构建属地网站违法信息的源头过滤屏障。(责任单位:省委宣传部、省公安厅)
二、按照统筹共建的原则提升我省网络与信息安全应用水平
(一)完善政务内、外网信息系统安全保障基础建设。完善我省政务网安全监管平台,加大对违规外联等行为的处置力度。建立政务内、外网的系统安全补丁更新平台和网络杀毒平台,统一全省政务内、外网的系统安全补丁和杀毒软件病毒库升级出口。按照《省人民政府办公厅关于印发省网络与信息安全事件应急预案的通知》(政办〔〕19号)的要求,力争在年底,完成网络与信息安全事件应急处置平台建设,对政府类互联网网站信息内容、访问日志和受攻击情况实施监控,实现各部门安全管理平台的及时互通,安全事件动态的即时共享,安全事件及时处置。(责任单位:省网安办)
(二)推动安全技术措施向新技术、新应用延伸。在厦门试点建设无线安全监管系统,建立三网融合安全保障平台,实现安全技术措施在无线城市及三网融合条件下的延伸。(责任单位:省公安厅、厦门市人民政府)
(三)加强政务内外网云计算中心的安全保障措施建设。建设高性能、高可靠的网络安全一体化防护体系,充分利用云安全模式加强云端和客户端的关联耦合,以集中的安全服务中心应对无边界的安全防护,通过技术实现和标准制定保障云安全,提升用户对云计算服务的信任度。(责任单位:省经济信息中心、省网安办)
(四)实施全省政务信息网密码设备更新工程。根据国家密码管理局有关密码设备的管理规定,统一实施全省政务信息网密码设备更新工作,着力提升密码科技装备水平。(责任单位:省委机要局)
(五)完成省电子政务内网电子认证中心和密钥管理中心的建设。根据《全国党委系统信息化建设规划(~2012年)》(中办发〔〕1号)要求,开展我省电子政务内网电子认证基础设施和密钥管理基础设施建设工作,满足中央有关部委延伸到我省业务应用系统对电子认证服务和信任支持。(责任单位:省委机要局)
(六)推动电子认证的相关工作。按照工信部和国密办的规定,根据《电子签名法》的要求,健全电子政务电子认证服务体系。同时,积极推广电子认证应用,做好第三方电子认证服务工作,推动我省电子认证行业发展。(责任单位:省经贸委、省委机要局)
(七)完成内网保密监控管理平台的升级改造。按照国家保密局统一规划和部署,结合我省实际情况,对我省年建设的内网保密监控管理平台进行升级,既要在性能和安全防护上达到国家的要求,又要力求精简、共享,节省开支。(责任单位:省国家保密局)
(八)完成省政务信息网安全监管系统的建设。建立政务网病毒防护系统、移动存储介质管理系统、违规外联监控系统、日志审计系统和综合违规告警中心,为信息的传输提供安全可靠的保证。(责任单位:省委机要局)
三、以等级保护为切入点,进一步提高我省重要信息系统安全防护水平
(一)开展2001年省政务信息系统安全检查。根据工信部要求,结合我省工作实际,继续以保障政府类互联网站安全为重点,细化检查内容,加大检查力度,规范检查方式,巩固检查成效,全面提高我省各党政机关、重点企事业单位和市级各有关单位的网络与信息安全保障能力。年内至少对100家省级和设区市级重点单位的信息系统开展安全抽查。(责任单位:省委机要局、省国家保密局、省数字办、省网安办)
(二)重点开展行业信息系统安全测评。要保质保量每年完成全省40家重点单位240个信息系统安全测评任务的基础上,开展对邮政、电力、银行、证券等关键行业的信息系统安全测评工作,努力提高我省关键行业信息系统抗风险能力(责任单位:省网安办、省公安厅、人行中心支行、银监局、保监局)
(三)深入推进信息安全等级保护工作。依据等级保护相关技术要求,着重指导我省党政机关、企事业单位三级以上重要信息系统的安全管理制度和安全技术措施建设。在确保省级电子政务信息系统项目建设审批的安全风险评估和等级测评费用的同时,争取加大对三级以上信息系统的信息安全资金扶持力度,进一步保障我省重要信息系统安全。对信息系统依托国家保密局信息系统安全保密测评中心系统测评(省)分中心,按照有关保密技术进行安全分级保护测评,督促系统建设使用单位开展自查自纠。(责任单位:省公安厅、省国家保密局、省委机要局、省数字办、省网安办)
四、进一步关注信息安全领域发展,加大宣传培训力度
(一)进一步关注信息安全领域的发展。在科技项目立项和推动科技成果转化方面适度向信息安全相关行业倾斜,并给予更多优惠政策和资金扶持,培育企业创新的原动力,使科技成果转化与企业科技创新发展形成最佳结合点,推动网络信息安全事业的发展。(责任单位:省科技厅)
网络安全责任体系篇3
网络安全自查报告范文(一)
学校接到:重庆市巴南区教育委员会关于转发巴南区信息网络安全大检查专项行动实施方案的通知后,按文件精神立即落实相关部门进行自查,现将自查情况作如下报告:
一、充实领导机构,加强责任落实
接到文件通知后,学校立即召开行政办公会议,进一步落实领导小组及工作组,落实分工与责任人(领导小组见附件一)。鱼洞二小网络安全大检查专项行动由学校统一牵头,统一指挥,学校信息中心具体负责落实实施。信息中心设立工作小组(工作小组见附件一),小组成员及各自分工落实管理、维护、检查信及培训,层层落实,并坚决执行谁主管谁负责、谁运行谁负责、谁使用谁负责的管理原则,保障我校校园网的绝对安全,给全校师生提供一个安全健康的网络使用环境。
二、开展安全检查,及时整改隐患
1、我校网络中心、功能室、微机室、教室、办公室等都建立了使用及安全管理规章制度,且制度都上墙张贴。
2、网络中心的安全防护是重中之重,我们分为:物理安全、网络入出口安全、数据安全等。物理安全主要是设施设备的防火防盗、物理损坏等;网络入出口安全是指光纤接入防火墙-路由器-核心交换机及内网访问出去的安全,把握好源头;数据安全是指对校园网的数据备份、对不安全的信息进行处理上报、对信息的过渡等。信息中心有独立的管理制度,如网络更新登记、服务器资源、硬盘分布统计资料、安全日志等,便于发现问题,既时查找。
3、对我校几大网站平台的帐户、口令等进行了一次专门的清理检查,对弱口令进行等级加强,并及时将应用软件更新升级,我校是电信光纤专线接入互联网,采用思科硬件防火墙作为入口的第一道防线,然后是接入路由器,最后接入核心交换机,保证了我校网络接入互联网的几道很重要的过滤。网络中心服务器的杀毒软件是正式版本,能定时进行升级更新,每天对系统进行补丁升级,消除可能存在的一切安全隐患,我校对外的服务器有2台(FTP服务器、WEB服务器),FTP服务器只对外开放端口21,其余端口全部关闭;同样WEB服务器只开放端口80,其余端口全部关闭,在方便师生使用的同时,要保障网络的绝对安全,由于我校领导的高度重视,管理得当,我校从2001年建立校园网到现在,还没有任何黑客攻入内网的记录。
4、强化网络安全管理工作,对所有接入我校核心交换机的计算机设备进行了全面安全检查,对操作系统存在漏洞、防毒软件配置不到位的计算机进行全面升级,确保网络安全。
5、规范信息的采集、审核和流程,严格信息审核,确保所信息内容的准确性和真实性。每周定时对我校门户网站的留言簿、二小博客上的贴子,留言进行审核,对不健康的信息进行屏蔽,对于反映情况的问题,备份好数据,及时向学校汇报。
6、本期第三周我校在教职工大会组织老师学习有关信息网络法律法规,提高老师们合理、正确使用网络资源的意识,养成良好的上网习惯,不做任何与有关信息网络法律法规相违背的事。
7、严格禁止办公内网电脑直接与互联网相连,经检查未发现在非涉密计算机上处理、存储、传递涉密信息,在国际互联网上利用电子邮件系统传递涉密信息,在各种论坛、聊天室、博客等、谈论国家秘密信息以及利用QQ等聊天工具传递、谈论国家秘密信息等危害网络信息安全现象。
三、存在的问题
1、由于我校的网络终端300多个点,管理难度大,学校没有多余的经费来购买正版杀毒软件,现在使用的是伪版的或者免费版本的杀毒软件,这给我们的网络安全带来了一定的风险。
2、我校的服务器共有5台,但我们没有一套网络管理软件,平时全靠人工手动去管理,管理难度大,所以平时难免有忘补丁升级的时候,这难免也存在一定的安全风险。
3、在学校,网管员不能专职来搞网络管理,一般都还要兼一个人的工作量,所以在网络管理上的精力有限,在网络管理、资源整理,安全日志记录上还有待于进一步提高。
总之,在后面的工作中,针对我们的不足及问题,努力整改,在现有的基础上,尽最大努力把我校网络安全工作做到更好,给全校师生提供一个安全健康的网络环境。也殷切期望相关领导给我们指点迷津,谢谢。
网络安全自查报告范文(二)
根据上级网络安全管理文件精神,桃江县教育局成立了网络信息安全工作领导小组,在组长曾自强副局长的领导下,制定计划,明确责任,具体落实,对我系统网络与信息安全进行了一次全面的调查。发现问题,分析问题,解决问题,确保了网络能更好地保持良好运行,为我县教育发展提供一个强有力的信息支持平台。
一、加强领导,成立了网络与信息安全工作领导小组
为进一步加强全系统网络信息系统安全管理工作,我局成立了网络与信息系统安全保密工作领导小组,做到分工明确,责任具体到人。安全工作领导小组,组长曾自强,副组长吴万夫,成员有刘林声、王志纯、苏宇。分工与各自的职责如下:曾自强副局长为我局计算机网络与信息系统安全保密工作第一责任人,全面负责计算机网络与信息安全管理工作。办公室主任吴万夫分管计算机网络与信息安全管理工作。刘林声负责计算机网络与信息安全管理工作的日常事务,上级教育主管部门的信息、文件的接收工作。王志纯负责计算机网络与信息安全管理工作的日常协调、督促工作。苏宇负责网络维护和日常技术管理工作。
二、完善制度,确保了网络安全工作有章可循
为保证我系统计算机网络的正常运行与健康发展,加强对校园网的管理,规范网络使用行为,根据《中国教育和科研计算机网络管理办法(试行)》、《关于进一步加强桃江县教育系统网络安全管理工作的通知》的有关规定,制定了《桃江县教育系统网络安全管理办法》、《上网信息审核登记表》、《上网信息监控巡视制度》、《桃江县教育系统网络安全管理责任状》等相关制度、措施,确保网络安全。
三、强化管理,加强了网络安全技术防范措施
我系统计算机网络加强了技术防范措施。一是安装了卡巴斯基防火墙,防止病毒、反动不良信息入侵网络。二是安装瑞星和江民两种杀毒软件,网络管理员每周对杀毒软件的病毒库进行升级,及时进行杀毒软件的升级与杀毒,发现问题立即解决。三是网络与机关大楼避雷网相联,计算机所在部门加固门窗,购买灭火器,摆放在显著位置,做到设备防雷、防盗、防火,保证设备安全、完好。四是及时对服务器的系统和软件进行更新。五是密切注意CERT消息。六是对重要文件,信息资源做到及时备份。创建系统恢复文件。
我局网络安全领导小组每季度对全系统机房、学校办公用机、多媒体教室及学校电教室的环境安全、设备安全、信息安全、管理制度落实情况等内容进行一次全面的检查,对存在的问题及时进行纠正,消除安全隐患。
网络安全自查报告范文(三)
根据南信联发[XX]4号文件《关于开展**市电子政务网信息安全与网络管理专项检查的通知》文件精神,我局积极组织落实,认真对照,对网络安全基础设施建设情况、网络安全防范技术情况及网络信息安全保密管理情况进行了自查,对我局的网络信息安全建设进行了深刻的剖析,现将自查情况报告如下:
一、加强领导,成立了网络与信息安全工作领导小组
为进一步加强全局网络信息系统安全管理工作,我局成立了网络与信息系统安全保密工作领导小组,由局长任组长,下设办公室,做到分工明确,责任具体到人。确保网络信息安全工作顺利实施。
二、我局网络安全现状
我局的统计信息自动化建设从一九九七年开始,经过不断发展,逐渐由原来的小型局域网发展成为目前与国家局、自治区局以及县区局实现四级互联互通网络。网络核心采用思科7600和3600交换机,数据中心采用3com4226交换机,汇集层采用3com4226交换机、思科2924交换机和联想天工ispirit 1208e交换机,总共可提供150多个有线接入点,目前为止已使用80个左右。数据中心骨干为千兆交换式,百兆交换到桌面。因特网出口统一由市信息办提供,为双百兆光纤;与自治区统计局采用2兆光纤直联,各县区统计局及三个开发区统计局采用天融信vpn虚拟专用网络软件从互联网上连接进入到自治区统计局的网络,vpn入口总带宽为4兆,然后再连接到我局。横向方面,积极推进市统计局与政府网互联,目前已经实现与100多家市级党政部门和12个县区政府的光纤连接。我局采用天融信硬件防火墙对网络进行保护,采用伟思网络隔离卡和文件防弹衣软件对重点计算机进行单机保护,安装正版金山毒霸网络版杀毒软件,对全局计算机进行病毒防治。
三、我局网络信息化安全管理
为了做好信息化建设,规范统计信息化管理,我局专门制订了《**市统计局信息化规章制度》,对信息化工作管理、内部电脑安全管理、机房管理、机房环境安全管理、计算机及网络设备管理、数据、资料和信息的安全管理、网络安全管理、计算机操作人员管理、网站内容管理、网站维护责任等各方面都作了详细规定,进一步规范了我局信息安全管理工作。
针对计算机保密工作,我局制定了《涉密计算机管理制度》,并由计算机使用人员签订了《**市统计局计算机保密工作岗位责任书》,对计算机使用做到谁使用谁负责对我局内网产生的数据信息进行严格、规范管理。
此外,我局在全局范围内每年都组织相关计算机安全技术培训,计算站的同志还积极参加市信息办及其他计算机安全技术培训,提高了网络维护以及安全防护技能和意识,有力地保障我局统计信息网络正常运行。
四、网络安全存在的不足及整改措施
目前,我局网络安全仍然存在以下几点不足:一是安全防范意识较为薄弱;二是病毒监控能力有待提高;三是遇到恶意攻击、计算机病毒侵袭等突发事件处理不够及时。
针对目前我局网络安全方面存在的不足,提出以下几点整改办法:
1、加强我局计算机操作技术、网络安全技术方面的培训,强化我局计算机操作人员对网络病毒、信息安全的防范意识;
网络安全责任体系篇4
关键词:网络银行 交易不能 民事归责
一、网络银行交易不能及其原因分析
(一)网络银行交易不能
1.网络银行概念
网络银行,是指通过因特网或其它电子通讯手段提供各种金融服务的银行机构或虚网站。网络银行所提供的产品和服务主要包括:提存款服务、信贷服务、理财服务、电子单据支付服务,资金转帐服务、外汇交易服务、金融分析服务等。其中,网络银行最重要的服务功能是交易功能。
2.网络银行交易不能发生原因
网络银行的蓬勃发展,能使资金的转移高效、快捷、方便、低成本的进行,但同时由于互联网的高度互联和开放性,与传统的银行业务不同,依赖于互联网的网上银行业务是由客户通过因特网连接得电脑进入银行得电脑主机设备得终端与银行进行得,因此虽然网上银行交易关系的主体是银行及其客户,但其还涉及到网络通讯服务商和网络内容提供服务商,以及第三方例如电脑黑客和未经银行许可进入银行系统得第三者。因此导致网络银行业务交易存在很大的安全性问题。
(二)网络银行交易不能原因分析
1.网络银行方面造成交易不能的情况
第一,由于网络银行提供的服务有缺陷或瑕疵的情况造成的交易不能。
第二,由于网络银行整体技术不匹配或技术能力不足以支持整体系统的运行,导致支付、资金转帐及其它服务出现延迟或者错误造成的交易不能。
第三,由于网络银行内部工作人员借职务之便利,掌握客户的信息或商业秘密从事损害客户利益而造成的交易不能。
2.客户方面造成交易不能的情况
由于因客户不慎或故意向他人泄漏了认证密码而导致银行错误划拨或支付的风险;或者由客户由于操作失误造成损失或者网上交易没有完成的风险。
3.不可抗力造成交易不能的情况
不可抗力是指不能预见、不能避免并不能克服的客观情况。对于在网络银行交易中出现的不可抗力事件,如通讯系统出现大面积的故障,供电系统突然停电等情况。
4.第三方过错造成交易不能的情况
第一,由于因网络银行系统的硬件出现技术故障而对客户造成损害的风险。
第二,由于网络系统经营主体和通讯线路出现故障而给客户造成损害的风险。
第三,由于不法分子即“黑客”侵袭网络银行系统而给客户造成损失的风险。
二、网络银行交易不能的民事责任承担
(一)民事责任规责原则
当前对于网络银行的规责原则主要有过错责任原则,无过错责任原则,公平责任原则,另外还有免责条款。
1.过错责任原则是指以行为人的过错作为规责的根据。过错责任原则旨在要求善尽对他人的义务以达到避免损害结果的目的。
2.无过错责任原则是指不问行为人主观是否有过错,只要有侵权行为,损害后果以及二者之间存在因果关系,就应当承担民事责任的规责原则。无过错责任原则在使处在优势地位的一方当事人承担更多的责任,以保护处于弱势地位的当事人的利益。
3.公平责任原则,又称衡平责任原则,指在当事人双方在对造成损害的发生均无过错,法律又无特别规定适用无过错责任,不补偿又显失公平时,由法院根据公平观念,在考虑当事人的财产状况及其他情况的基础上,责令受损害轻的当事人对受损害重的当事人的财产损害给予适当的补偿,由当事人合理地分担损失的一种归责原则。
4.免责条款是指当事人在合同中约定免除将来可能发生的违约责任的条款,其所规定的免责事由即约定免责事由,如不可抗力等。
(二)交易不能的民事责任原则的适用
根据上述民事责任归责原则,作者对交易不能的几种情况分别做了分析:
1.网络银行方面造成交易不能的民事责任承担
对于上文中第一种和第二种情况,笔者认为应由银行承担责任,由于网络银行的技术能力直接关系到网上银行服务的质量和安全,诸如加密技术、数字签名技术、安全认证技等。银行负有提供准确,安全的服务的义务,因此银行也负有提供足以支持系统运行的技术条件的义务,如果银行的有关技术条件不足,则自然应承担相关的法律责任。但是,网上银行的业务是否符合安全性的标准问题难以确认,银行在此时的责任承担应是基于无过错责任原则。如果基于过错责任原则,则客户由于信息的不对称,无法掌握网上银行的业务系统信息和安全性指标来证明网上银行存在安全隐患,不利于保护消费者的合法权益。
对于第三种情况,作者认为应该由银行基于过无错责任原则承担责任,因为网络银行本身存在故意或者过失,应有网络银行承担客户损失后再由银行向相关单位或者个人追究责任。
2.客户方面造成交易不能的民事责任承担
这种情况是由于客户本身存在过错,网络银行无任何过错,应采取过错责任原则由客户自身承担法律责任。
3.不可抗力原因造成交易不能的民事责任承担
对于不可抗力,网络银行的服务条款中都有明确规定其不承担任何责任。但是。根据《合同法》规定,因不可抗力不能履行合同的,根据不可抗力的影响,部分或全部免除责任。因此,银行并不能完全免除责任,而应该根据不可抗力的实际影响对客户的损失承担部分的责任。
4.第三方过错造成交易不能的民事责任承担
对于第三方过错中的第一种情况,由于网络银行是依赖于互相网和计算机而展开业务,计算机等硬件的正常运行成为网络银行正常运转的保证,硬件存在问题则可能带来银行客户的损失。由于法律一般都规定银行有义务保障对当事人服务的及时和准确,因此由服务硬件所导致的错误或不能,也应由银行负责。美国《统一商法典》在确定银行对迟延、不当、失败履行支付命令时,银行有义务向资金移动的受益人或支付指令发出者支付利息。该法典并未对发生迟延、不当或失败的原因作具体限定。硬件的技术故障显然应该包含在其中。所以应该对网络银行实行严格责任的规则原则,由银行承担责任,如果硬件所引发的事故是由于硬件设备本身的质量不合格所致,则银行在对客户承担法律责任后,可向设备提供者、生产者追究有关责任。
对于第二种情况,由于网络交易需要通过网络系统与相应的通讯线路进行连接,这就涉及到网际网路服务提供商(internet service provider,简称ISP),如果在运行种网络系统与通讯系统发生故障,致使银行与客户遭受损失,ISP原则上应该负担债务不履行的损害赔偿责任。依据合同相对性原则,应该由银行向客户承担无过错责任,再由ISP向银行承担损害赔偿责任。
网络安全责任体系篇5
(市教育系统)
为切实加强我市教育系统网络意识形态和舆情风险防控能力,确保教育系统网络安全,市教局结合新时代意识形态工作要求和教育系统实际,特制定本工作方案。
一、重要意义
随着“互联网+”信息技术的飞速发展,教育宣传已形成由校刊校报、校园广播、教育(校园)网、微博、微信、校信通及其他自媒体等共同形成的立体格局,尤其是智慧校园的蓬勃发展,班级微信群、家长微信群活跃度高涨。媒体形式的多样化,使得各类信息来源、宣传内容、师生思想状况变得错综复杂,全市教育系统网络意识形态和舆情风险控制工作亟待进一步加强。这就要求,全市教育系统要深入学习贯彻党的和关于意识形态工作的重要讲话精神,牢牢把握正确的网络舆论导向,坚持立德树人根本任务,始终把社会主义核心价值观植根于宣传教育中,不断加强和改进网络意识形态工作和舆情风险防控工作,为加快推进教育现代化,建设教育强市提供强大思想保证。
二、组织机构
为更好落实网络意识形态工作责任,深化教师队伍思想建设,保证党管意识形态工作落到实处,市教育局决定成立网络意识形态和舆情风险防控工作领导小组:
组长:xx
副组长:xx、xx、xx
成员:xx、xx、xx
领导小组负责对全市教育系统网络意识形态和舆情风险防控工作的全面指导,安排部署重点工作;建立和完善相关工作机制,加强意识形态阵地建设,督促各地各单位落实网络意识形态和舆情风险防控工作职责;提高全市教育系统网络意识形态和舆情风险防控水平。
领导小组下设办公室,办公室主任由xx同志兼任,负责文件的上传下达、组织开展具体工作和资料归档。
三、目标任务及具体措施
(一)强化主体责任
各级教育部门党组织要切实担负起对网络意识形态工作和舆情风险防控工作的主体责任,牢固树立“四个意识”,坚定“四个自信”,做到“两个维护”。认真贯彻党中央、自治区党委、市委关于网络意识形态工作的决策部署,全面提升党管意识形态工作水平,确保网络意识形态安全。党组织书记做为第一责任人,要高度重视网络意识形态工作,坚持抓小抓早妥善处理舆情风险问题,站在网络意识形态工作的第一线,带头管阵地、把方向、强队伍,重要工作亲自部署、重要问题亲自过问、重大事件亲自处置。各班子成员、校长、科长、股长及环节干部,要认真履行“一岗双责”,抓好分管部门的网络意识形态工作。
(二)加强制度建设
1.完善考核机制。各级党组织要狠抓工作落实,层层传导压力,把网络意识形态工作纳入到党建工作重要内容,纳入年度目标责任考核。在各级党组织工作总结、党组织书记述职中,要报告网络意识形态和舆情风险防控工作履职情况。
2.建立监控机制。加强网络舆情监测,畅通信息上传下达。要建立定期研判制度,各级党组织要定期研判网络舆情,掌握网络意识形态风险点和舆情动向,准确把握热点,寻求规律,及时发现和处置苗头性倾向性问题;要建立重大事件报告制度,各级党组织要对本级各类涉教重大网络舆情和意识形态事件,第一时间向上级党组织报告,确保市教育局网络意识形态和舆情风险防控工作领导小组及时掌握最新情况。要建立重要节点值班制度,在两会、高考、国庆、教师节、春节、寒暑假等关键时间节点及有关特殊时期,全市各级教育部门要做好值班工作,安排专人做好网络信息宣传及网络安全保障工作。
3.建立信息周报制度。每周一各旗县区向市教育信息中心上报前一周工作简讯、要讯,由市教育信息中心汇总编制“xx市教育动态简报”,为市、旗县区教育行政部门提供及时的动态信息,为教育决策提供依据。
(三)正确对接媒体
在处理舆情事件与相关媒体有工作接触时,要坚持善解媒体、善待媒体、善用媒体的原则,因势而谋、应势而动、顺势而为。
1.善解媒体。高度重视媒体宣传的重要性,要全面理解、准确把握媒体的性质、特点,弄清来访记者、者的真实意图。
2.善待媒体。各单位要建立一套与媒体打交道的工作方案,构建各部门相互配合、各方面积极参与的体制机制。市级以上媒体记者采访,须第一时间向上级党委宣传部门报告,积极主动服务,加强沟通,绝不能横眉冷对、盲目阻止。
3.善用媒体。加快推动媒体融合发展,主动与市内各类媒体联系,坚持正面发声,积极解读政策,回应人民群众关切,传播正能量,使主流媒体具有强大传播力、引导力、影响力、公信力,努力形成网上网下“同心圆”。讲好“教育好故事”,传递“校园好声音”,构筑思想“防火墙”。
(四)加强阵地建设
加强各类网络意识形态阵地的建设和管理,充分发挥教育网站、校信通、微信等新媒体宣传作用,旗帜鲜明地反对和抵制各种错误观点。加大校园网络安全宣传力度,多方法、多形式宣传安全知识,提高广大师生及家长防范意识和能力,构建可信、可控、可查的网络与信息安全环境。组建xx市校报校刊和教育新媒体联盟,共建市、旗县区、学校及师生、家长之间的有效沟通和良性互动载体,实现宣传效果的最大化和最优化。
(五)加强队伍建设
1.加强网络宣传队伍建设与管理。各教育单位要配备专人负责网络意识形态教育宣传工作,培养政治素质过硬、基本功扎实的信息宣传报送员,规范网络媒体信息采集和报道流程。引导青年教职工和学生积极参与网络正向宣传,开展线上线下相结合的网络安全宣传活动,构建网上网下“立体化”新格局。
2.加强网络安全管理员队伍建设。及时对xx市教育网、微博、微信公众号以及校园网、校园广播、学校微信公众号进行信息排查和分析,规范网站、微信、微博信息管理。提高师生防护能力,筑牢网络基础,提升教育教学服务保障水平。
网络安全责任体系篇6
在过去的几年里,政府问责办公室对国土安全部能充分履行国家网络安全战略责任感到满意。但在谈到一些不足之处时,政府问责办公室对网络安全的关键领域提出了包括下表所列5个方面的30项建议。
虽然国土安全部尽最大努力满足网络安全职责各方面要求,但仍不能完全达到建议的要求,因此在这些领域需要采取进一步的行动。
由政府问责办公室确定的对网络安全关键领域需要改进的地方
1、加强网络的分析和预警能力。
2、行动期间严格完成网上演习。
3、改善网络安全控制系统的基础设施。
4、加强国土安全部恢复互联网中断的能力。
5、解决网络犯罪。
在涉及政府问责办公室的建议以及其他方面的关键战略时,政府问责办公室网络安全专家小组确定了12个需要改进的关键领域(见下表)。政府问责办公室发现,这些建议在很大程度上符合其报告,也很符合其在这方面大量的调查和经验。
由网络安全专家拟定的战略关键改进
1、确定具有明确战略目标、目的和重点的国家战略。
2、为领导和监督国家网络安全政策,建立白宫责任制和问责制。
3、建立战略执行的管理结构。
4、普及网络安全知识,提高网络安全意识。
5、建立负责任、有效的网络安全组织。
6、集中加强资产和职能的优化,评估网络安全存在的弱点,减少网络安全攻击,而不是发展更多额外计划。
7、通过改进价值观念和奖励机制加强政府和私人的合作关系。
8、多加重视解决全球的网络空间的问题。
9、加大对网络空间恶意破坏行活动的执法力度。
10、进一步加强于网络安全的研究和开发工作,包括考虑如何更好的协调政府和私营部门各方面的力量。
11、培养网络安全方面的骨干人才。
12、为联邦政府构建安全的网络模式,包括利用它已有的机能提升产品和服务的网络安全。
在政府问责办公室的建议之前,已经考虑了以上方面的建议。但政府和私人机构的基础设施仍不能得到充分的保护。因此,除了全面落实政府问责办公室的建议外,新政府在对国家网络安全战略做出决定时,他所考虑的改进方法是至关重要的。
政府问责办公室进行这项研究的意义
普遍且持续的网络攻击,使得联邦政府和私营部门的系统和业务以及一些关键的基础设施存在着潜在风险。考虑到这些威胁,布什总统了着力于改善全国网络安全的“2003年国家网络安全战略”及相关的政策指令。国会和相关部门,包括新内阁,随后都对战略进行了充分的审查,并指出需要改进之处。尽管如此,政府问责办公室认为这些领域依旧存在着高风险,而且,他们还作了有关执行全国网络安全战略所需的改良报告。
在这份材料中,政府问责办公室做出如下总结:(1)关于全国网络安全战略的报告和建议(2)专家对如何加强战略的观点。
政府问责办公室的建议
政府问责办公室之前已经提出了30项建议,大多数直接与国家领土安全局相关,重点在于增进我国的网络安全战略执行力度。国家领土安全局在很大程度上已经同意了政府问责办公室的建议,而且在某些方面对这一战略采取了措施。
尊敬的主席女士,委员会委员们:
谢谢你们给我一个机会,让我参加今天的关于讨论努力保护我们国家,以摆脱网络安全的威胁的听证会。普遍且持续的网络攻击,使得联邦政府和私营部门的系统和业务以及一些关键的基础设施存在着潜在风险。考虑到这些威胁,布什总统了着力于改善全国网络安全的“2003年国家网络安全战略”及相关的政策指令,包括政府系统和这些网络关键基础设施的持有和经营权的私营部门。由于这些威胁长期存在并有可能继续增加,我们于2007年8月成立了一个委员会-----第44届网络安全委员会,主席由两个国会议员和业界官员主持,其目的为了审查战略的充分性,确定在哪些领域需要改进。与此同时,布什政府开始提出包括联邦政府在内的旨在加强网络安全的一系列倡议。最近,在2009年2月,奥巴马总统开始了政府的整体网络安全战略审查和支持活动。
现在,应要求,我将谈谈以下几个问题:(1)关于国家网络安全的30项建议和相关成果的报告。(2)我们召集的专家小组讨论的关于如何加强我国战略及网络安全意识的相关结果。在准备这些材料的过程中,我们依据的是之前关于联邦政府履行国家网络安全职责的报告。这些报告对之前使用的方法和范围做出了详细概述。我们的观点是在讨论国家网络安全战略的效力和改良建议问题中达成一致的,并得到了网络安全专家的广泛认可。在小组讨论的综述中也提到,我们为所有的小组成员提供一次对我们的书面摘要进行评论的机会,而且他们的评论也将作为摘要的一部分。小组成员名单和他们的职位见目录I。我们的工作是2009年的2月和3月向华盛顿提交这些材料。这些材料中所进行的工作将按照政府普遍接受的审计标准进行的。
背景
政府官员都担心那些带有恶意攻击的个人或团体,比如罪犯、恐怖分子和外国的敌对势力。例如,在2009年2月,国家情报局局长表态说,一些国家和罪犯已经盯上了政府和私营部门的网络,以此获得竞争优势或对其进行潜在的破坏,恐怖组织也想利用网络手段来攻击美国。
联邦政府将制定了一项战略,以解决诸如此类的网络的威胁。具体来说,布什总统颁布了“2003年国家网络空间安全战略”和相关的政策指令,例如国土安全部总统第七号命令,这关系到是国家如何确保以计算机为基础的系统安全,包括政府系统和那些支持关键基础设施的持有和经营权的私营部门。这一战略和相关政策也将使国土安全部成为信息网络CIP的一个焦点,在这一领域他扮演多个领导角色,承担起应尽的责任。其中包括:(1)为CIP制定一个综合性的国家计划,包括网络安全在内;(2)培养和加强国家网络分析和预警能力;(3)提供和协调事件应对和恢复的规划,包括开展事故应变演习;(4)查明,评估和协助各方力量,以减少包括那些基础设施控制系统的网络威胁和脆弱性;(5)加强国家网络空间安全。另外,这一战略和相关政策指令指导国土安全部和其他利益相关者利用风险管理原则,将以整体和协调方式优化18个相关的重要基础设施部门的保护措施。
由于威胁持续和发展,布什总统在2008年2月开始采取一系列举措,通常称之为称为“综合国家网络安全计划(CNCI)”,其主要目的是为了提高国土安全部和其他的联邦机构抗干扰和预测未来威胁的能力。虽然这些倡议还没有公布,但国家情报局局长声称倡议包括了防御、进攻、研发、反间谍所取得的成就以及一个加强政府和个人合作关系的方案。随后,在2008年12月,网络安全委员会第44期主席报告指出,网络空间是一个紧迫的国家安全问题,报告还对战略和其执行方案的修改提出了25项建议。从那时起,奥巴马总统(2009年2月)对网络安全战略进行评估,并对此采取积极的行动。此次评价预计在2009年4月完成。
政府问责办公室对国家网络安全战略和其执行的关键方面的不足提出几点建议
在过去的几年里,我们已经就我国在完成网络安全战略的重要方面所作的努力提交了报告。特别是,从2005年到现在,我们不断报告国土安全部还没有完全履行它在战略中所指派的网络安全责任。为弥补这些不足,我们就表1所列的五个网络安全的关键领域提出了30项建议。国土安全部已经制定并采取了一些具体措施,以履行其网络安全各方面的义务,但该部还没有完全达到我们建议的要求,因此需要进一步采取行动来解决这些领域所存在的问题。
政府问责办公室确定的对网络安全关键领域需要改进的地方
1、加强网络的分析和预警能力
2、行动期间确保完成网上演习
3、改善网络安全控制系统的基础设施
4、加强国土安全部恢复互联网中断的能力
5、解决网络犯罪
报告指出,在2008年7月,国土安全部的计算机应急准备小组(US-CERT)没有很好地解决15个关键网络分析和预警有关的问题,其中包括(1)监测网络异常活动,(2)对异常情况进行分析调查,确认它们是否受到威胁,(3)实时监控威胁,(4)应对威胁,(5)反击威胁。因此,我们认为,这15项建议,能充分提高国家战略的网络分析和预警能力。国土安全部很大程度上也认同我们的意见。
2008年9月,通过进行重大的网络攻击演练,即网络风暴,国土安全部在这次演习中已经取得了8项重要的进展。然而,此次行动的经验教训表明,问题尚未完全解决。具体来说,66项行动计划已经完成42项,安全局已经确定有16项正在进行,另外7项在不久也将施行。因此,我们建议,国土安全部安排并完成所有的纠正行动,以加强协调就重大网络事件问题上的公共部门和私营部门伙伴关系,国土安全部也认可我们的建议。到目前为止,国土安全部将继续完成一些相关工作,但也仅仅局限于安全部内部。
在2007年9月的报告和2007年10月所提供的材料中,我们指出,为确保国家战略需求,减少威胁和安全漏洞,国土安全部提出多种控制系统的安全措施,包括通过脆弱性评价和应急响应来提高网络使用的安全性。然而,国土安全部并没有制定出一项战略,以协调参与的各种控制系统活动的联邦政府和私营机构,而且它并不能有效共享联邦政府和私营机构控制系统的漏洞信息。因此,我们建议国土安全部制定出能确保控制系统安全的战略,建立一个快速和安全分享敏感控制系统漏洞信息的操作程序。国土安全部目前已经开始制定该计划并共享敏感漏洞信息。
我们的报告指出,为制定一个综合的政府和私营互联网复苏计划,安全部已经开始了展开国家安全战略任务的各种行动,这在2006年也得到证实。然而,这些努力是不够的。因此,我们建议国土安全部实施9个行动以改善安全局的能力,保障在遭到干扰时,能帮助政府和私人恢复互联网的使用。2007年10月,国家安全局开始执行我们的建议,但是只完成了其中的两项。到目前为止,政府和私营部门互联网恢复计划已经不复存在。
在2007年,我们认为,政府和私营部门在追捕网络犯罪方面面临着许多挑战,包括确保法律执行,对调查的充分分析和技术支持,以及对国内和跨国互联网犯罪的起诉。网络安全专家强调需出台重要举措以加强国家网络安全态势
除了我们建议改善国家网络安全战略及其执行情况外,还有专家对于这些问题和其他关键战略方面的意见,其中包括提出可改良的各个领域。包括前任联邦政府官员、学者、私营部门执行官在内的专家,提出了12个主要改良方案,他们认为,必须改善我国战略和网络安全态势。这些改善在很大程度上是符合我们的材料,也符合在这方面进行的广泛研究和经验。包括:
1、确定具有明确战略目标、目的和重点的国家战略。此战略应该包括(1)明确的战略目的,(2)为政府和私营部门提供可行的目标,(3)突出网络安全这一重点,(4)为将来安全网络空间提供一个设想,(5)争取联合联邦政府各部得力量,(6)量化战略进展过程,(7)进展不大时,为行动的执行和责任提供一个有效的保障。专家小组成员认为,CNCI提供了一套战略举措,以集中加强联邦政府网络安全的战略活动;然而,它并没有作为一个整体为国家提供战略目标、目的和重点。
2、为领导和监督国家网络安全政策,建立白宫责任制和问责制----该战略使国土安全部成为网络安全保障核心部门;然而,专家小组成员认为,国土安全部没起到预期的作用,对全国关注的网络安全提升也没有提供足够的指导。因此,小组成员指出,要取得成功,就要给国家和网络关键基础设施的私营业主表明,网络安全是一个重点项目,并由白宫亲自领导实行。另外,为了有效发挥其效用,政府必须树立权威----例如,对预算和资源采取适当的奖励办法,以刺激行动的进行。
3、建立战略执行的管理机构----管理机构包括18个关键的基础设施部门,相应的政府部门和协调理事会,跨部门委员会等。然而,根据小组成员的意见,管理机构是以政府为中心,很大程度上依赖个人以达到信息共享和行动的实行。此外,虽然所有行业就网络功能而言并不具有同等重要性,但管理机构应对他们同等对待。为了确保战略改良计划的有效执行,专家建议,管理机构应该包括高级管理委员会代表(例如,国防部,国土安全部、司法局、州政府、财政部和白宫)和关键网络资产和功能的私营部门领导。专家小组成员也建议委员会的责任应该包括衡量和定期报告目标、任务和战略重点的进展,在进展不大时,督促各方面加快进度。
4、普及网络安全知识,提高网络安全意识----虽然该战略确定网络空间安全意识作为重点,专家指出,许多在商业和政府任职的,包括在国会就职的国家领导人,他们有能力为网络安全提供资金帮助,但大多数人网络安全意识不高,没有认识到网络安全引发国家和经济安全风险的严重性。专家组成员建议,应积极向领导者和普通民众宣传网络安全的重要性。
5、建立负责任的有效的网络安全组织----国土安全部创立了国家网络安全局(下属于网络安全部和通信部),负责领导国家日常的网络安全。然而,小组成员认为,这个部门并不能使国土安全部成为预期核心力量。小组成员声称,目前,国防部和其他情报部门有能力左右联邦的决定。他们说,他们也需要一个独立的网络安全组织来促进和联合私营部门、政府、执法机构、军队和情报部门以及国际盟友,合力解决全国重要的网络系统和职能问题。但是,网络安全组织应该如何处理这个问题,我们专家组成员没有达成共识。
6、集中加强资产和职能的优化,评估网络安全存在的弱点,减少网络安全攻击,而不是发展更多额外计划----该战略建议采取更多的行动来查明重要的网络资产和职能,但是专家组成员声称对国家重要的网络资产和职能进行检查的力度还不够。小组成员认为,对网络关键基础设施保护工作所作的努力,列出重要资产的清单,就目前而言是基于个人或团体意愿进行的。此外,目前的战略将以减少弱点作为重中之重;可是,评定和减少现有的弱点所做出的努力还是不够的。他们认为,必须采取更多行动才能识别和消除常见的弱点,而且对关键网络资产和职能应该具备有效的评估手段。
7、通过改进价值观念和奖励机制加强政府和私人的合作关系----虽然该战略激发了重要网络资产和职能的所有者和控制者采取行动,但是小组成员认为,网络安全工程需要更多的投资和更多人参与进来,目前的经济及其他激励制度远远不够。因此,小组成员指出,联邦政府应该提供有价值的服务(例如提供有用的威胁或是预警分析信息)或是奖励(例如发放津贴或是减免税款)来鼓励私人参与合作。他们还建议政府和私营部门能够使用一些像成本-利润分析这样的方法,来确保网络安全相关有限资源的高效利用。
8、多重视解决全球的网络空间的问题----该战略包括处理国际方面的网络空间安全问题。但是根据小组专家所说,美国并没有涉及网络空间如何管理和控制这一全球问题。他们认为,当其他国家正在积极参与制定条约、建立标准、以及推行国际协定(如隐私权)时,美国没有积极协作来确保国际协定符合美国的利益,有利于解决网络安全和网络犯罪问题。小组成员认为,美国应该摆出更加积极合作的姿态,这样可以让美国在国际合作中有一席之地,并能加强政府部门之间的合作,其中包括法律的实施。此外,一名成员还说,美国在网络安全战略上应该与全球应达成共识。
9、加大对网络空间恶意破坏行活动的执法力度----战略倡议加强国内外审查合作和促进各国就追捕网络犯罪达成一致意见。据一个小组成员所说,在国内,相关法律已经做出修改(例如,2008年通过的“未成年儿童行为保护法”),但是这只是整个工作过程中的一小部分。他还说,目前国内外的法律实行,包括行动、手续、方法和法律本身,已经太过时,不能适应现在高技术犯罪个人或团体,例如罪犯、恐怖分子和恶意目的的敌对国家。有必要加大法律的实施力度,加大对进行恶意破坏行为的个人或团体的打击力度。
10、进一步加强于网络安全的研究和开发工作,包括考虑如何更好的协调政府和私营部门各方面的力量----虽然该战略建议采取措施,实现进一步的研究和开发工作,努力协调政府和私营部门各方面力量,但专家指出,美国对此没有将充分投入资金集中进行研究,没有集中考虑新一代的网络空间及网络空间安全问题。另外,对正在进行的研究和开发工作,目前没有协调好政府和私营机构的各方力量。
11、培养网络安全骨干人才----该战略的任务包括增加网络安全专业人员的数量和提高他们的技能。但是,根据小组成员认为,目前此方面的专业人员人数还是不够,包括信息安全专家和网络犯罪侦探。专家组成员指出,要采取进一步的行动,增加符合网络安全技能要求的专业人才,包括(1)加大现有的奖学金的规模(例如增加服务奖学金)(2)通过测试和批准进行网络安全专业训练。
12、为联邦政府构建安全的网络模式,包括利用它已有的机能提升产品和服务的网络安全----战略将确保政府的网络空间的安全作为重点,并通过联邦政府现有的资产来实现。虽然联邦政府逐步加强各部门的网络安全,但小组成员认为,这还算不上是一个网络安全模型。此外,他们表示,联邦政府没转变现有资产的功能,在这方面对政府官员也没有进行有效的训练,因此其购买、使用的产品和服务的网络安全效率没有得到提升。
总的来说,我国正在遭受着计算机网络攻击,目前的战略以及改良措施在缓解威胁方面没有起到很大的作用,这正是国土安全部需采取进一步行动,充分履行我们的建议,以解决关键网络安全领域问题的原因之一。另外,旨在改进计算机网络安全的改进方案也得到权威专家的肯定,但是重要的国家部门和私营部门基础设施系统依旧处于网络安全威胁之中。关键性的改良,包括制定国家战略,这一战略要求能清楚体现出战略的目的,目标和重点;建立白宫领导权;加强管理;创立一个有能力负责任的领导组织。即使这些建议及改进措施实施后,联邦政府和私营部门的重要基础设施系统仍是敌对分子的攻击的目标。因此,除了充分执行我们的建议外,至关重要的是,奥巴马当局在重新审视网络安全战略时应对此做出改进,并下决心向前迈进。
主席女士,我的发言到此结束。我很乐意回答您和小组委员会成员的相关提问。
如果您对上述报告有任何疑问的话,请联系(202)512-9286,或发送电子邮件至pownerd@gao.gov。这份报告的其他主要贡献者包括布拉德利·贝克,尔卡米·查尔斯,迈克尔·吉尔莫,南希·格罗乌尔,库什·马罗特拉,加里·蒙乔伊,李麦·克拉肯和安德鲁斯·塔维斯基。
作者:David Powner(信息技术管理杂志主编)
网络安全责任体系篇7
[关键词]网络安全事故;救助;机制
学校网络安全事故属学校安全范畴,不是通常所指的网络技术安全事故,而是特指学生因不当使用网络而导致的危及自身或他人的身心、财产,危及社会的现象。学校网络安全事故分为两类:一类为危及自身的网络安全事故,主要包括由于各种不当上网行为引发的逃课、离家出走、突发疾病、自杀,甚至成为诈骗、强奸、故意伤害、杀人、拐卖等刑事犯罪受害者的事故;一类为危及他人及社会的网络安全事故,主要包括由于各种不当上网行为引发的各种违法或犯罪,如因“网资”不足而引发的抢劫、抢夺和盗窃等违法犯罪,因网上黄色淫秽内容及网恋引发的性犯罪,因网上暴力内容潜移默化的影响而引发的绑架、杀人等暴力型犯罪等。
近年来,由学生不当上网引发的学校网络安全事故呈不断上升之势,给自身、家庭、学校、社会造成极大影响与危害。科学合理的学校网络安全预警与干预机制的建立,能有效地使学校网络安全事故的发生率降到最低,但并不意味着事故可以完全杜绝。如何对已发生的学校网络安全事故进行准确分析判断,采取恰当措施对事故主体进行救护与援助,成为学校安全研究的又一重要课题。
一、学校网络安全事故救助机制的内涵和外延
学校网络安全事故救助机制是指学校网络安全事故救助涉及的诸如救助主体、对象、机构与人员、救助手段、程序等要素,以及各要素之间相互影响、相互制约而形成的有效联系、有机运行的系统总和。
学校网络安全事故救助机制的内涵主要是:首先,学校网络安全事故救助机制是在对事故进行准确分析判断的基础上进行的救护和援助活动的运行系统。对事故的成因进行系统分析,对其发生、发展及造成的危害进行测度,是成功救助的保障。其次,学校网络安全事故救助机制是事后的救护和援助机制。没有事故的发生,就谈不上救助。再次,救助的目的是最大限度地减少伤害和损失,最大限度地维护救助对象的合法权益。最后,救助机制是各要素间相互联系、相互影响和制约的有机运行系统,缺少任何一个要素,系统都无法正常运行。
根据救助级别划分,学校网络安全事故救助机制可以分为:政府、教育行政部门、学校三级救助机制,其中政府和教育行政部门救助机制又可划分为镇、县、市、省、国家五级机制。根据救助的时间划分,学校网络安全事故救助机制可以分为:长期救助机制和短期救助机制。其中短期救助机制是针对临时突发事故的救助机制,即应急机制。应急机制与干预机制的区别在于:一是目的不同。干预机制的目的是防止网络安全事故的发生;应急机制的目的是尽量减少已发生的网络安全事故带来的危害。二是适用的阶段不同。干预机制适用于事前,即网络安全事故发生前,是发出网络安全预警后的排警;应急机制则是事后的,是网络安全事故发生后的紧急救助。
二、学校网络安全事故救助机制建立的必要性
学校网络安全事故救助机制是预警与干预失败后的补救机制,是最大限度降低事故危害的保障。
(一)预警和干预并不能完全避免事故发生的特性决定了救助是必要的。学校建立了网络安全预警与干预机制,并不意味着网络安全事故将完全杜绝。预警与干预是对未来的预测以及在此基础上的防范和调控,而预警的主客观条件因素都是不断变化的,预警机制运行中的任何差错、干预措施不当或客观外界不可预料的因素都可能使网络安全事故的警示与干预失败。没有做到防患于未然,进行及时有效的救助,治患于已然便成为必然的补救选择。
(二)学校网络安全事故的危害性决定了救助是必要的。学校网络安全事故一旦发生,轻则危及学生自身的身心和财产,重则危及他人财产和生命、危及社会。因而,采取及时有效的救护和援助措施进行补救是十分必要的。只有这样,才能及时控制事态的进一步发展,将事故造成的影响和危害控制在最小范围,最大限度减少事故主体的伤害和损失,最大限度地维护主体的合法权益。
三、学校网络安全事故救助机制建立的可能性
(一)客观需要的存在。有需要就有可能,目前学校网络安全事故的发生每年呈上升趋势。事故发生后,不仅事故主体要受到事故带来的危害影响,学校、家长、社会等各方面也不同程度地受到影响,都希望并需要得到来自各方的救护和帮助,使事故对自身的影响降到最低。
(二)法律和政策的保障。现阶段,国家有关部门对学校安全问题极其重视,在学生安全救助方面已相继出台了一些相关办法和措施,如《中华人民共和国未成年人保护法》《中华人民共和国教育部学生伤害事故处理办法》等法律法规,为救助提供了最基础的法律依据。同时国家正加快网络管理立法,逐步采取各种措施加强网络管理,在法律和政策方面为学校网络安全事故救助机制的建立提供保障。
(三)以人为本的观念基础。当今时代以人为本的观念正深入人心,这为学校网络安全事故救助打下了良好的观念基础。学校网络安全事故救助是在以人为本的前提下进行的救助,目的是要保护事故主体一人的合法权益,降低事故对人的各方面的损害。在以人为本观念的影响下,参与救助的各方行动能够更加协调一致,利于整个机制的有效运行。
四、学校网络安全事故救助机制的构成
学校网络安全事故救助机制的构成是指学校网络安全事故救助机制包含的必不可少的有机组成要素,包括以下内容:
(一)救助主体。学校网络安全事故的救助主体是指享有网络安全事故救助权利,承担救助义务的有关组织或个人。学校网络安全事故救助的主体是多元一体的,这是因为:首先,《未成年人保护法》第五条第二款规定:“保护未成年人,是国家机关、武装力量、政党、社会团体、企业事业组织、未成年监护人和其他成年公民的重要责任。”第三款规定:“对侵犯未成年人合法权益的行为,任何组织和个人都有权进行劝阻、制止、或者向有关部门提出检举或控告。”可见,从法律角度看,学校网络安全事故救助主体是多元的。其次,由于影响学生网络安全事故的因素涉及学校、家庭、社会、个体自身等多方面,决定救助不是单方面的学校行动就能完全解决问题的。因此,学校网络安全事故的救助主体是多元一体的,即学校、家庭、社会、个体自身共同参与救助。
(二)救助机构及人员。学校网络安全事故的救助主体是多元一体的,学校、家庭、社会、个体自身都有责任和义务共同参与救助,但救助是一个系统的行为过程,需要一个常设的组织机构来具体组织和协调救助行动。学校网络安全事故的救助机构是根据救助机制的不同级别来设置的,可分为部级救助机构、省市县救助机构、学校救助机构。不同级别的救助机构都是由相应的教育主管部门领导,由相关部门、机构和人员组成的救助组织。学校级救助机构是在学校所属教育主管部门的领导下,由学校内主管领导、工作人员、教师及外聘法律、心理等相关专家组成。需要指出的是,学校网络安全事故救助机构的功能是组织和协调救助行动,一些具体的救助行动,如对当事人的生命救助,就需要医疗机构具体实施,对当事人的司法救助则需要司法机关具体参与,而学校网络安全事故救助机构在这些具体救助中是起协调和配合作用的。
(三)救助对象。学校网络安全事故的当事人有两类:一类是学校学生,一类是校外人员。事故的责任方有可能是学校学生,也有可能是校外人员,事故的受害方同样如此。生命属于每个人只有一次,珍惜生命、尊重人权、安全第一是以人为本的原则。因此,从人道主义出发,学校网络安全事故救助不仅要对事故的受害方进行救助,当责任方处于生命威胁时,还要对其进行救助;不仅要对学校学生进行救助,还要对校外人员进行救助,特别是在现场紧急情况下,不管是否属于校内学生,只要处于危险状态,都必须进行救助。
(四)救助形式。学校网络安全事故的救助形式是指学校网络安全事故救助主体对救助对象进行救助所采取的方式和途径。根据不同的划分标准,学校网络安全事故救助有不同的形式。根据救助主体划分,学校网络安全事故救助包括学校救助、家庭救助、社会救助和自我救助等;根据救助手段划分,学校网络安全事故救助包括经济救助、医疗救助、法律救助、心理救助、人道救助等;根据救助程序划分,学校网络安全事故救助包括现场救助和后续救助。学校网络安全事故救助形式是多样的,影响网络安全事故的因素是复杂的,事故发生后的具体情况是不同的,因而这些救助形式在事故的具体救助中常常要相互结合使用,才能达到有效的救助。
五、学校网络安全事故救助机制的运行
学校网络安全事故救助机制的运行是一个动态过程,其运行包括以下几个环节(图1):
(一)现场救助阶段。学校网络安全事故的现场救助是指救助主体第一时间在事故发生地对事故主体进行的紧急救助,其目的是尽量控制事态恶化,把事故造成的危害与影响降到最低。一般来说,学校网络安全事故的发生地点多在校外,无论是哪种情况,救助机构都应在得知事故发生后作出迅速反应,立即启动应急预案,在第一时间赶赴现场;同时根据实际情况需要,迅速通知医院进行急救、及时报警、尽快联系家长等,必要时请求社区相关部门给予支持和帮助。如因客观原因未在第一时间得知事故发生,赶赴现场后也应积极配合他人已经开始的自发救助,并将所掌握的事故主体的情况主动向警方汇报,并采取妥善方法安抚受害学生及家长。
(二)后续救助阶段。学校网络安全事故救助的后续救助是指在对事故进行现场救助后,为进一步消除事故的后续影响而进行的相关救助。经过现场救助,将学校网络安全事故的影响和危害控制在一定范围内后,还要采取各种措施消除其后续影响。对于事故造成的损失,责任方根据法律规定,按照责任的比例和受损程度向受害方支付一定数额的赔偿金;对于责任问题、赔偿问题发生争议或纠纷调解无效,可以采取法律手段进行解决,对于涉及违法、犯罪的事故,还将追究责任人的相关法律责任,以维护受害方的合法权益;网络安全事故对学生的心理危害也是极大的,无论是责任学生还是受害学生,在网络心理方面都存在不同程度的问题,特别是受害学生,常常处于事故造成的心理阴影之下,影响正常的学习生活,实施必要的心理辅导和疏通是非常必要的;对于仅仅危害自身且危害程度不大的事故,加强对责任人的教育和心理疏导也是必不可少的。
六、学校网络安全事故救助需要注意的问题
网络安全责任体系篇8
根据区网信办工作安排和要求,现将我局2020年网络意识形态和网络安全工作责任制落实情况汇报如下:
一、加强组织领导,提高政治站位
局领导班子对全局网络意识形态和网络安全工作负主体责任,成立网络意识形态工作领导小组,明确局党组书记、局长同志任组长,为落实网络意识形态和网络安全工作责任的第一责任人,副局长任副组长,为落实网络意识形态和网络安全工作分管负责人,其他班子成员根据工作分工,抓好分管部门领域的网络意识形态工作,对职责范围内的网络意识形态工作负领导责任。按照属地管理、分级负责和谁主管谁负责、谁主办谁负责原则,把网络意识形态和网络安全工作纳入议事日程,与业务工作同安排、同部署、同推进、同落实,形成了领导主抓、全员参与的网络意识形态和网络安全工作格局。
二、加强研究部署,充分研判形势
定期召开局党组(扩大)会议,对网络意识形态工作、网络安全工作进行研究部署和研判分析,并深入结合国土资源管理工作,分析了意识形态工作要点、网络安全工作重点,并对网络安全方面薄弱环节进行自查自纠,落实整改,做好了安全保密等系列工作,进一步夯实了局党组领导网络意识形态和网络安全工作的政治基础。
三、强化责任分工,落实落细措施
一是建立了分工协作机制。明确了办公室牵头落实全局意识形态和网络安全工作,人教股、信访、地理测绘信息股等各部门配合抓好落实。办公室总揽全局,侧重抓好新闻宣传工作,落实全体干部职工的网络精神文明建设工作,人教侧重抓好基层党建,加强党员的网上教育和管理,信访侧重抓好网络舆情处置工作,地理信息测绘股侧重抓好新媒体的运用和维护工作以及网络安全维护等工作。二是强化了保密工作意识。组织全局干部职工签订了《保密工作承诺书》,按照市区安全保密检查要求,对全局的网络风险隐患和涉密信息管理开展摸底排查,进一步强化了信息数据管理。坚持内外网隔离,外网计算机严禁存放涉密信息数据,内网计算机禁止接入互联网。三是加强了新闻宣传工作。今年以来,我局新闻宣传工作取得积极进展,各种媒体的上稿数量较以往都有所增加。先后在融媒、日报、晚报、门户网站等主流媒体上稿30篇,对老白性关心、关注的农村宅基地发证、征地拆迁“夏日风暴”等专项工作开展专题宣传和报道,创设了较好的工作氛围。四是净化了网络生态环境。加强了局QQ群、局微信群的管理,进群需要确认验证和实名,群内不得反动、低俗信息。定期对QQ群和微信群进行清理,对违规人员进行教育和训诫,进一步净化了网络生态环境。五是加强了网络舆情处置。对市区交办的网络舆情,按照业务分工,分别移交相应的分管领导和部门进行调查核实处理,并及时回复,较好的完成了处置任务。
四、加强学习提升,筑牢思想防线
局党组充分认识网络意识形态工作是党的一项极端重要的工作,关乎旗帜、关乎道路、关乎国家政治安全,要把全面落实网络意识形态工作责任制作为全局自然资源系统的重大政治任务来抓,切实履行网络意识形态工作职能职责。一是坚持“学习强国”学习。全局干部职工坚持“学习强国”的学习和运用,每名干部职工全年积分不少于7000分,确保新时代中国特色社会主义思想和党的精神入脑入心,确保干部职工的知识结构更科学、更全面。二是积极参与专项学习。今年以来,全局干部职工参与了普法考试、禁毒知识答题竞赛等各类专项学习测试和考试,进一步丰富了视野,提升了人文素养和内涵。