金沙视讯中心信息与教育技术中心信息系统信息安全总体方针与政策(总则)
设计和施工管理
第一条 计算机信息系统安全应严格按照国家法律、法规和标准进行设计,要充分利用计算机网络系统的安全技术成果,推动计算机信息系统系统建设与安全技术水平的协调发展,保障计算机及其相关配套设备及运行环境的安全,最大程度地防范安全风险。
第二条 计算机信息系统安全设计应充分考虑信息安全所面临的内外部威胁,以提高计算机信息系统安全防范能力。 ① 同信息与教育技术中心定期(原则上一年不少于一次)开展计算机信息系统安全可靠性评估自查工作,不断提高安全防范水平。
第三条 计算机信息系统安全要防范以下非人为的安全威胁
(一)地震、水灾、火灾、风灾等自然灾难;
(二)系统、硬件、软件的设计漏洞、现实漏洞和配置漏洞等技术缺陷。
第四条 计算机信息系统安全应能防范以下人为的安全威胁
(一)内部人员安全威胁(包括恶意的和非恶意的两种):恶意内部攻击包括恶意修改数据和安全机制配置参数、恶意建立未授权的网络连接、恶意的物理损坏和破坏等,非恶意威胁包括误操作、无意的数据损坏和破坏等;
(二)典型的被动攻击,包括监视通信数据、通信流量分析、截获口令、破译加密不善的通信数据等;
(三)典型的主动攻击,包括修改数据、重放所截获的数据、插入数据、盗取合法建立的会话、越权访问、利用缓存区溢出漏洞执行代码、插入和利用恶意代码、利用协议、软件、系统故障和后门等对信息系统进行攻击;
(四)典型的临近攻击,包括偷取磁盘后又还回、偷窥屏幕信息、收集作废的打印纸、物理毁坏通信线路、利用电磁辐射和泄露接收电磁信息等接近被攻击的网络、系统和设备等;
(五)典型的分发攻击,包括利用开发制造商的设备修改软硬件配置、在产品分发、安装时修改软硬件配置等在电子信息系统软件和硬件的开发、生产、运输和安装阶段,恶意修改设计、配置的行为;
(六)经评估认定的其它人为安全威胁。
第五条 计算机信息系统的设计、建造单位应有国家颁发的资质证书;所使用产品应符合安全质量标准和有关要求;参与设计、施工的人员应政治可靠,业务熟练(或经过培训),能够满足安全保护的要求,在施工过程中,要严把质量关,防止在施工过程中留下安全隐患。
第六条 计算机信息系统建设单位与设计单位应共同成立小组,进行网络和业务分析,形成安全风险分析报告,并明确安全需求的重点;依据风险分析报告和重点安全需求,进行安全实施方案的设计。
第七条 安全产品的选型应遵循以下原则:合法性原则(密码产品/通用安全设备);产品自身性能、功能先进的原则;与其他安全产品协同工作的原则;支持集中安全管理和监控的原则;满足需求并适当考虑发展需求的原则;选择产品更要选择厂家的原则。
第八条 计算机信息系统安全的建设应按国家有关规定实行监理制度,承担监理任务的单位应有相应的资质。