1、通讯通信企业管理与执法全书通讯通信企业管理与执法全书计算机安全 郭雅 主编 吉林摄影出版社图 书 在 版 编 目 (CIP)数 据 通 讯 通 信 企 业 管 理 与 执 法 全 书 /郭 雅 主 编 . 长春 吉林摄影 出版社 2004ISBN 7-80606-737-X. 通 .郭 . 电信 邮电企业 市场竞争 中国. F632.3中国版本图书馆 CIP 数据核字(2004)第 112282 号出版发行 吉林摄影出版社 (长 春 市 人 民 大 街 124 号 130021) 责任编辑 李乡壮经销 全国各地新华书店印刷 北京施园印刷厂 版次 2004 年 8 月第 1 版书号 ISBN 7
2、-80606-737-X / F 297定价 912.00 元 本卷定价 16.00 元I目 录计算机信息网络国际联网安全保护管理办法 .1安徽省计算机信息系统安全保护办法 .8对计算机安全认识的七大误区 .17计算机安全管理制度 .19企业必须保证计算机安全 否则面临牢狱之灾 22美众议院提出的计算机安全审计法案遭质疑 .24计算机安全专家应当吸取人类疾病的教训 .26WIRED 微软将对全球计算机安全造成灾难性后果 .27信息安全专家 操作系统不能笼统比较安全性 .31漫谈网络安全策略 .34服务器安全技巧七则 .48构建安全稳固的网络设施 .53病毒肆虐 互联网安全饱受威胁 57金融系统
3、计算机安全问题存在的隐患必须引起高度重视 .65安全防护守则 .72英国刊物漫谈计算机安全 .74电脑安全知识 防御计算机病毒十大必知步骤 .77计算机安全认识的七大误区 .81I盖茨诠释计算机安全 LINUX 漏洞可能更多 .83电脑安全首先在于 意识 .87大力发展计算机安全技术及产业 .90中华人民共和国计算机信息网络国际联网管理暂行办法 .97构筑邮政金融计算机系统的安全防范体系 .102交易平台安全受重视 金融业引入专门认证 .108中文 WIN XP SP2 月内投产 安全功能新在何处 112网络银行安全问题主要源自内部 技术应用未到位 117信安不等于国家安全 另眼看 INFO
4、SECURITY 126信息安全认证在国内能否受到追捧 .129网络安全市场并购联盟风起的背后 .132宽带网络防御进行时 .140建设网络信任体系 .150综合集成方法解决安全 .162存储 安全 .166木桶新理论与信息安全 .170中国安全漏洞分析 .178专家称我国将在 5 年内形成信息安全保障体系 186信息安全综论 .187怎样保障档案信息安全给我们提出了新的思考 .199I信息安全管理标准释疑 .203信息安全盛世危言 .210安全组织警告 无线网络通讯协定存在漏洞 .215震荡波 的冲击与思考 .216重视灾难备份工作 保障重要信息系统安全 218网络服务安全标准 拍版定案 企
5、业应用前途无量 .226计算机安全 1计算机信息网络国际联网安全保护管理办 法第一章 总 则第一条 为 了 加 强 对 计 算 机 信 息 网 络 国 际 联 网 的 安全保护 维护公共秩序和社会稳定 根 据 中 华 人 民共和国计算机信息系统安全保护条例 中华人民 共和国计算机信息网络国际联网管理暂行规定 和其 他法律 行政法规的规定 制定本办法第二条 中 华 人 民 共 和 国 境 内 的 计 算 机 信 息 网 络 国际联网安全保护管理 适用本办法第三条 公 安 部 计 算 机 管 理 监 察 机 构 负 责 计 算 机 信息网络国际联网的安全保护管理工作 公安机关计 算 机 管 理 监
6、 察 机 构 应 当 保 护 计 算 机 信 息 网 络 国 际 联 网的公共安全 维护从事国际联网业务的单位和个人 的合法权益和公众利益第四条 任 何 单 位 和 个 人 不 得 利 用 国 际 联 网 危 害 国家安全 泄露国家秘密 不得侵犯国家的 社会的 集体的利益和公民的合法权益 不得从事违法犯罪活 动第 五 条 任 何 单 位 和 个 人 不 得 利 用 国 际 联 网 制 作 复制 查阅和传播下列信息(一 )煽 动 抗 拒 破 坏 宪 法 和 法 律 行政法规实施计算机安全 2的(二 )煽 动 颠 覆 国 家 政 权 推翻社会主义制度的 (三 )煽 动 分 裂 国 家 破坏国家统一
7、的 (四 )煽 动 民 族 仇 恨 民族歧视 破坏民族团结的 (五 )捏 造 或 者 歪 曲 事 实 散布谣言 扰乱社会秩序的(六 )宣 扬 封 建 迷 信 淫 秽 色情 赌博 暴力 凶杀 恐怖 教唆犯罪的(七 )公 然 侮 辱 他 人 或 者 捏 造 事 实 诽 谤 他 人 的 (八 )损 害 国 家 机 关 信 誉 的 (九 )其 他 违 反 宪 法 和 法 律 行政法规的第六条 任 何 单 位 和 个 人 不 得 从 事 下 列 危 害 计 算 机信息网络安全的活动(一 )未 经 允 许 进 入 计 算 机 信 息 网 络 或 者 使 用 计 算机信息网络资源的(二 )未 经 允 许 对
8、计算机信息网络功能进行删除 修改或者增加的(三 )未 经 允 许 对计算机信息网络中存储 处理 或者传输的数据和应用程序进行删除 修改或者增加 的(四 )故 意 制 作 传播计算机病毒等破坏性程序的(五 )其 他 危 害 计 算 机 信 息 网 络 安 全 的计算机安全 3第 七 条 用 户 的 通 信 自 由 和 通 信 秘 密 受 法 律 保 护 任何单位和个人不得违反法律规定 利用国际联 网侵犯用户的通信自由和通信秘密第二章 安全保护责任第八条 从 事 国 际 联 网 业 务 的 单 位 和 个 人 应 当 接 受公安机关的安全监督 检查和指导 如实向公安机 关提供有关安全保护的信息 资
9、料及数据文件 协助 公 安 机 关 查 处 通 过 国 际 联 网 的 计 算 机 信 息 网 络 的 违 法犯罪行为第九条 国 际 出 入 口 信 道 提 供 单 位 互联单位的 主管部门或者主管单位 应当依照法律和国家有关规 定负责国际出入口信道 所属互联网络的安全保护管 理工作第十条 互 联 单 位 接 入 单 位 及 使 用 计 算 机 信 息 网 络 国 际 联 网 的 法 人 和 其 他 组 织 应 当 履 行 下 列 安 全 保护职责(一)负责本网络的安全保护管理工作 建立健全 安全保护管理制度(二)落实安全保护技术措施 保障本网络的运行 安全和信息安全(三 )负 责 对 本 网
10、 络 用 户 的 安 全 教 育 和 培 训 (四 )对 委 托 发 布 信 息 的 单 位 和 个 人 进 行 登 记 并计算机安全 4对所提供的信息内容按照本办法第五条进行审核(五 )建 立 计 算 机 信 息 网 络 电 子 公 告 系 统 的 用 户 登 记和信息管理制度(六 )发 现 有 本 办 法 第 四 条 第五条 第六条 第 七条所列情形之一的 应当保留有关原始记录 并在 二十四小时内向当地公安机关报告(七 )按 照 国 家 有 关 规 定 删除本网络中含有本办 法第五条内容的地址 目录或者关闭服务器第十一条 用 户 在 接 入 单 位 办 理 入 网 手 续 时 应 当填写用
11、户备案表 备案表由公安部监制第十二条 互 联 单 位 接 入 单 位 使 用 计 算 机 信 息 网 络 国 际 联 网 的 法 人 和 其 他 组 织 (包 括 跨 省 自治 区 直 辖 市 联 网 的 单 位 和 所 属 的 分 支 机 构 ) 应当自 网络正式联通之日起三十日内 到所在地的省 自治 区 直辖市人民政府公安机关指定的受理机关办理备 案手续前 款 所 列 单 位 应 当 负 责 将 接 入 本 网 络 的 接 入 单 位和用户情况报当地公安机关备案 并及时报告本网 络中接入单位和用户的变更情况第十三条 使 用 公 用 帐 号 的 注 册 者 应 当 加 强 对 公 用帐号的管
12、理 建立帐号使用登记制度 用户帐号不 得转借 转让计算机安全 5第十四条 涉及国家事务 经济建设 国防建设 尖端科学技术等重要领域的单位办理备案手续时 应 当出具其行政主管部门的审批证明 前款所列单位的 计算机信息网络与国际联网 应当采取相应的安全保 护措施第三章 安全监督第 十 五 条 省 自 治 区 直 辖 市 公 安 厅 (局 ) 地 (市 ) 县 (市 )公 安 局 应 当 有 相 应 机 构 负 责 国 际 联 网 的安全保护管理工作第十六条 公 安 机 关 计 算 机 管 理 监 察 机 构 应 当 掌 握互联单位 接入单位和用户的备案情况 建立备案 档案 进行备案统计 并按照国家
13、有关规定逐级上报第十七条 公 安 机 关 计 算 机 管 理 监 察 机 构 应 当 督 促互联单位 接入单位及有关用户建立健全安全保护 管理制度 监督 检查网络安全保护管理以及技术措 施的落实情况公 安 机 关 计 算 机 管 理 监 察 机 构 在 组 织 安 全 检 查 时 有关单位应当派人参加 公安机关计算机管理监 察机构对安全检查发现的问题 应当提出改进意见 作出详细记录 存档备查第十八条 公 安 机 关 计 算 机 管 理 监 察 机 构 发 现 含 有 本 办 法 第 五 条 所 列 内 容 的 地 址 目 录 或 者 服 务 器计算机安全 6时 应当通知有关单位关闭或者删除第十
14、九条 公 安 机 关 计 算 机 管 理 监 察 机 构 应 当 负 责 追 踪 和 查 处 通 过 计 算 机 信 息 网 络 的 违 法 行 为 和 针 对 计 算 机 信 息 网 络 的 犯 罪 案 件 对 违 反 本 办 法 第 四 条 第七条规定的违法犯罪行为 应当按照国家有关 规定移送有关部门或者司法机关处理第四章 法律责任第二十条 违 反 法 律 行 政 法 规 有 本 办 法 第 五 条 第六条所列行为之一的 由公安机关给予警告 有违法所得的 没收违法所得 对个人可以并处五千 元以下的罚款 对单位可以并处一万五千元以下的罚 款 情节严重的 并可以给予六个月以内停止联网 停机整顿
15、的处罚必要时可以建议原发证 审批机构 吊销经营许可证或者取消联网资格 构成违反治安管 理行为的 依照治安管理处罚条例的规定处罚 构成 犯罪的 依法追究刑事责任第二十一条 有 下 列 行 为 之 一 的 由 公 安 机 关 责 令限期改正 给予警告 有违法所得的 没收违法所 得 在规定的限期内未改正的 对单位的主管负责人 员和其他直接责任人员可以并处五千元以下的罚款 对 单 位 可 以 并 处 一 万 五 千 元 以 下 的 罚 款 情 节 严 重 的 并可以给予六个月以内的停止联网 停机整顿的计算机安全 7处罚 必要时可以建议原发证 审批机构吊销经营许 可证或者取消联网资格(一 )未 建 立
16、安 全 保 护 管 理 制 度 的 (二 )未 采 取 安 全 技 术 保 护 措 施 的 (三 )未 对 网 络 用 户 进 行 安 全 教 育 和 培 训 的 (四)未提供安全保护管理所需信息 资料及数据文件 或者所提供内容不真实的(五 )对 委 托 其 发 布 的 信 息 内 容 未 进 行 审 核 或 者 对 委托单位和个人未进行登记的(六 )未 建 立 电 子 公 告 系 统 的 用 户 登 记 和 信 息 管 理 制度的(七 )未 按 照 国 家 有 关 规 定 删除网络地址 目录 或者关闭服务器的(八 )未 建 立 公 用 帐 号 使 用 登 记 制 度 的 (九 )转 借 转让
17、用户帐号的第二十二条 违反本办法第四条 第七条规定的 依照有关法律 法规予以处罚第二十三条 违 反 本 办 法 第 十 一 条 第十二条规 定 不履行备案职责的 由公安机关给予警告或者停 机整顿不超过六个月的处罚第五章 附 则第二十四条 与 香 港 特 别 行 政 区 和 台 湾 澳门地计算机安全 8区联网的计算机信息网络的安全保护管理 参照本办 法执行第二十五条 本办法自发布之日起施行安徽省计算机信息系统安全保护办法第一章 总 则第一条 为了保护计算机信息系统安全 促进计 算机应用和发展 维护社会稳定 保障社会主义建设 事业顺利进行 根据 中华人民共和国计算机信息系 统安全保护条例 及其他有
18、关法律 法规 结合省实 际 制定本办法第二条 本办法所称计算机信息系统 是指由计 算机及其相关的和配套的设备 设 施 (含 网 络 下同) 构 成 的 按 照 一 定 的 应 用 目 标 和 规 则 对 信 息 进 行 采 集 加工 存储 传输 检索等处理的人机系统第三条 计算机信息系统的安全保护 应当保障 计算机及相关的和配套的设备 设施和运行环境的安 全 确保计算机功能的正常发挥 维护计算机信息系 统的安全运行 保障信息的安全 预防和打击危害计 算机信息系统安全的违法犯罪活动第四条 计算机信息系统安全保护工作 重点维 护涉及国家事务 经济建设 国防建设 尖端科学技 术 等 重 要 领 域
19、以 及 国 际 联 网 的 计 算 机 信 息 系 统 的 安计算机安全 9全第 五 条 本 省 行 政 区 域 内 的 计 算 机 信 息 系 统 安全保护 适用本办法 军队计算机信息系统的安全保护 按照国家有关规定执行第 六 条 公 安 机 关 主 管 计 算 机 信 息 系 统 安 全 保 护工作国家安全 国家保密部门和其他有关部门 在其 职 责 范 围 内 做 好 计 算 机 信 息 系 统 安 全 保 护 的 有 关 工 作第七条 任何单位和个人 不得危害计算机信息 系统的安全 不得利用计算机信息系统从事危害公共 利益和公民 法人及其他组织合法权益的活动 不得 利用计算机信息系统危害
20、国家安全 泄露国家秘密第二章 安全保护第 八 条 计 算 机 信 息 系 统 使 用 单 位 应 当 建 立 建 全计算机信息系统安全管理制度 负责本单位计算机 信息系统的安全保护工作第 九 条 公 安 机 关 对 计 算 机 信 息 系 统 安 全 保 护 工作实行指导 监督 其具体职责(一)宣传计算机信息系统安全保护法律 法规和 规章计算机安全 10(二 )检 查 计 算 机 信 息 系 统 安 全 保 护 工 作 (三 )管 理 计 算 机 病 毒 和 其 他 有 害 数 据 的 防 治 工作(四 )监 督 检查计算机信息系统安全专用产品销售活动(五 )查 处 计 算 机 信 息 系 统
21、 安 全 的 违 法 犯 罪 案 件 (六 )依 法 应 当 履 行 的 其 他 职 责第 十 条 公 安 机 关 在 对 计 算 机 信 息 系 统 安 全 保 护工作进行指导 监督中 发现计算机信息系统存在 安全隐患 应当在 3 日内书面通知使用单位和个人限 期采取安全保护措施第十一条 计算机信息系统实行安全等级保护 计算机信息系统的安全等级 由公安机关根据计算机信息系统处理信息的等级和国家有关规定划定 计 算 机 信 息 系 统 使 用 单 位 应 当 根 据 规 定 的 安 全等级 采取相应的安全保护措施第十二条 根据信息的种类和性质 计算机信息 系统处理的信息分为以下四个等级(一 )
22、A 级 即密级信息 含绝密信息 机密信息 秘密信息三个次等级(二 )B 级 即敏感信息(三 )C 级 即内部管理信息计算机安全 11(四 )D 级 即公共信息信息等级的具体标准 由省公安厅会同有关部门 依照国家法律 法规和其他有关规定制定第 十 三 条 计 算 机 信 息 系 统 使 用 单 位 应 当 将 计 算机信息系统处理的信息的种类和性质 向当地公安 机关报告 公安机关应当自接到报告之日起 15 日内 划定安全等级 通知使用单位采取相应的安全保护措 施计 算 机 信 息 系 统 处 理 的 信 息 的 种 类 和 性 质 变 化 的 使用单位应当在 30 日内报告公安机关 重新划 定安
23、全等级第十四条 利用计算机信息系统处理 C 级以上 信息的单位 或者计算机信息系统国际联网的单位 应当指定专人负责计算机信息系统安全保护工作 确 定计算机信息系统安全管理员第十五条 利用计算机信息系统处理 B 级以上 信息的单位 或者计算机信息系统国际联网的单位的 计算机信息系统安全管理员 应当参加公安机关组织 的计算机信息系统安全知识培训 取得 安徽省计算 机信息系统安全管理员证第十六条 利用计算机信息系统处理 B 级以上 信息的单位 应当对计算机信息系统应用的软件和处计算机安全 12理 的 数 据 异 地 备 份 系 统 操 作 人 员 应 当 填 写 操 作 日 志 记录计算机信息系统运
24、行情况第 十 七 条 计 算 机 机 房 建 设 应 当 符 合 国 家 标 准 和国家有关规定处理 A 级信息的计算机机房 应有相应的保密技 术防范设备在计算机机房附近施工或者进行其他活动 不得 危害计算机信息系统的安全第十八条 任何单位和个人不得从事下列活动(一 )制 作 故意传播计算机病毒破坏性程序和其 他有害数据(二 )未 经 使 用 单 位 允 许 进入计算机信息系统或 者使用计算机信息系统资源(三 )未 经 使 用 单 位 允 许 对计算机信息系统功能 进行删除 修改或者增加(四 )未 经 使 用 单 位 允 许 对计算机信息系统中存 储 处理或者传输的数据和应用程序进行删除 修改
25、 或者增加第 十 九 条 未 经 省 公 安 厅 或 者 公 安 部 计 算 机 安 全 监 察 机 构 批 准 任 何 单 位 和 个 人 不 得 从 事 下 列 活 动(一 )收 集 保存计算机病毒计算机安全 13(二 )公 开 发 布 计 算 机 病 毒 疫 情 消 息第二十条 计 算 机 信 息 系 统 使 用 单 位 和 个 人 发 现危害计算机信息系统违法犯罪活动的 应当在 24 小时内报告当地公安机关 并保护现场和相关资料第 二 十 一 条 计 算 机 信 息 系 统 国 际 联 网 实 行 备 案制度计 算 机 信 息 系 统 使 用 单 位 和 个 人 在 接 入 单 位 办
26、 理 入 网 手 续 时 应 当 填 写 由 公 安 部 监 制 的 用 户 备 案 表互联单位 接入单位 使用计算机信息网络国际 联 网 的 法 人 和 其 他 组 织 (包 括 跨 省 自治区 直辖市 联 网 的 单 位 和 所 属 的 分 支 机 构 下 同 ) 应 当 自 网 络 正式联通之日起 30 日内 到省公安厅指定的受理机 关办理备案手续互联单位 接入单位 使用计算机信息网络国际 联网的法人和其他组织 负责将接入本网络的接入单 位 用户情况报当地公安机关备案 并报告本网络中 接入单位 用户的变更情况第 二 十 二 条 计 算 机 信 息 系 统 安 全 专 用 产 品 进 入市
27、场销售 实行许可证制度计 算 机 信 息 系 统 安 全 专 用 产 品 生 产 者 在 其 产 品 进入市场销售之前 应当依照国家有关规定 向公安计算机安全 14部计算机安全监察机构申领 计算机信息系统安全专 用产品销售许可证从事计算机信息系统安全专用产品经营的 应当 向地级以上公安机关办理登记手续第二十三条 从事计算机硬件 软件制造 销售 出租 维修等经营活动的单位和个人 发现计算机病 毒等破坏性程序和其他有害数据的 应当在 24 小时 内报告当地公安机关第 二 十 四 条 计 算 机 知 识 教 育 和 计 算 机 知 识 考 核 应当有计算机信息系统安全保护法律 法规和安 全保护基础知
28、识的内容第二十五条 运输 携带 邮寄计算机信息媒体 进出境的 必须如实向海关申报 必要时 公安机关 可协助海关对出境的计算机信息媒体进行安全检测第三章 法律责任第二十六条 有下列行为之一的 处以警告或者2 个月以内的停机整顿(一 )接 到 公 安 机 关 要 求 改 进 安 全 状 况 的 通 知 后 在限期内拒不改进的(二 )未 将 计 算 机 信 息 系 统 处 理 的 信 息 的 种 类 和 性 质有公安机关报告 或者未按确定的安全等级采取相 应的安全保护措施的计算机安全 15(三 )发 现 危 害 计 算 机 信 息 系 统 违 法 犯 罪 活 动 或 者发现经营的计算机硬件 软件含计
29、算机病毒等破坏 性程序和其他有害数据 未按规定的时间报告的(四 )违 反 计 算 机 信 息 系 统 国 际 联 网 备 案 制 度 的 第二十七条 违反第十七条规定的 由公安机关会同有关单位处理第二十八条 违反第本办法十八条规定的 处以 警告 有违法所得的 没收违法所得 以个人处以 1000 元至 5000 元的罚款 对单位处以 3000 元至 15000 元 罚款第二十九条 违反本办法第十九条规定的 处以500 元以下的罚款第三十条 违反本办法第二十二条规定的 处以 警告 或者对个人处以 1000 元至 5000 元地罚款 对 单位处以 3000 元至 15000 元的罚款 有违法所得的没
30、收违法所得 可并处违法所得 1 至 3 倍的罚款 第三十一条 运输 携带 邮寄计算机信息媒体进出境 不如实向海关申报的 由 海 关 依 照 中 华 人 民共和国海关法 和有关法律 法规的规定进行处理第三十二条 违反本办法 触犯其他有关法律 法规的 依照有关法律 法规的规定处理 构成犯罪 的 依法追究刑事责任计算机安全 16第 三 十 三 条 当 事 人 对 依 照 本 办 法 作 出 的 行 政 处罚不服的 可以依法申请行政复议或者提起行政诉 讼第三十四条 国家工作人员在指导 监督计算机 信息系统安全保护工作中 滥用职权 徇私舞弊 玩 忽职守的 依法给予行政处分 构成犯罪的 依法追 究刑事责任
31、第四章 附 则第三十五条 本办法下列用语的含义为 计算机病毒 是指编制的或者计算机程序中插入的 破坏计算机功能或者破坏数据 影响计算机使用 并能自我复制的一组计算机指令或者程序代码有害数据 是指与计算机信息系统相关的 含有 危害计算机信息系统安全运行的程序 或者对国家和 社会公共安全构成危害或潜在威胁的数据计算机信息媒体 是指可存储 携带计算机程序 数据和信息的计算机硬磁盘 软磁盘 光盘 磁带 纸带 卡片 打印纸 芯片等计算机信息系统安全专用产品 是指用于保护计 算机信息系统安全的专用硬件和软件产品第三十六条 本办法自 1999 年 1 月 1 日起施行计算机安全 17对计算机安全认识的七大误
32、区在日前举行的 PC 安全普及日 的主题公益活 动中 一家知名软件公司通过对活动现场回收的 5000 余份调查表归纳整理发现 89%的 人 对 电 脑 安 全 问 题 的认识还存在许多误区误区一 电脑安全问题就是如何查杀电脑病毒 病毒的发作给全球计算机系统造成巨大损失 令人们 谈 毒 色变 但 电 脑 病 毒 远 非 PC 安全课题的全部 它更包括了软件漏洞 非法操作 文件误删除 系统 物理故障等多方面的问题 现有杀毒软件不足以从根 本上解决这些计算机安全的问题误区二 病毒制造者是造成计算机安全问题的主 要原因 去年给全球带来超过 30 亿美元损失的 红 色代码 病毒 就是利用了微软 ISS
33、网络服务器软件 的一个漏洞大肆进行攻击和破坏 我国著名的信息安 全专家 中国工程院院士沈昌祥指出 软件漏洞是一 切信息安全问题的根源 即使没有病毒的攻击 它也 可能给计算机带来巨大的隐患和危险误区三 对 待 电 脑 病 毒 的 关 键 是 杀 对 于 电 脑病毒 很多人都有一种深恶痛绝的感觉 恨不能把 它们通通杀光 但实际上这种方式并不足取 因为杀 毒软件很有可能良莠不分 把本来合法的软件也当作计算机安全 18病毒一刀 喀嚓 了 这就很容易造成数据的丢失和 损毁 因此 对待电脑病毒应当是以 防 为主误区四 文件被删除后就不可恢复 不少人以为 被删除的文件从 回收站 彻底清空后就永远消失 从而放
34、弃了因误删除数据和文件后重新恢复的努力 事实上 一些全新技术 如全息技术在信息安全领域 的运用 使得恢复被删除 损坏的数据成为可能误区五 杀 毒 软 件 的 定 位 就 是 电 脑 医 生 目 前绝大多数的杀毒软件都在扮演 事后诸葛亮 的角 色 即 电 脑 被 病 毒 感 染 后 杀 毒 软 件 才 忙 不 迭 地 去 发 现 分析 治疗 这种被动防御的消极模式远远不能 彻底解决计算机安全的问题 安全软件应该是立足于 拒病毒于 PC 门外的 健康专家误区六 在内部网上共享的文件是安全的 其实 你 在 共 享 文 件 的 同 时 就 会 有 软 件 漏 洞 呈 现 在 互 联 网 的不速之客面前
35、 公众以及您的对手将可以自由地访 问您的那些文件 并很有可能被有恶意的人利用和攻 击 因此共享文件应该设置密码 一旦不需要共享时 立即关闭误区七 面对新病毒的纷纷涌现必须频繁升级你 的杀毒软件这 样 的 结 果 毫 无 疑 问 就 是 花 更 多 的 钱 和 精 力 去计算机安全 19和病毒 赛跑 这 种 无 休 止 的 道 高 一 尺 魔高一 丈 的升级大战 意味着原有的杀毒软件技术理念已 经走到了尽头有关专家指出 如何纠正这些错误认识 传播正 确的电脑安全观念 是改善和提高中国 PC 应用的安 全环境的关键计算机安全管理制度本文涉及的电脑设备 包括电脑室电脑设备及由 电脑室负责安装在其它部
36、门或单位的电脑设备(一 )病 毒 防 护 1 要求(1)装 有 软 驱 的 微 机 一 律 不 得 入 网 (2)对 于 联 网 的 计 算 机 任何人在未经批准的情况下 不得向计算机网络拷入软件或文档(3)对 于 尚 未 联 网 计 算 机 其软件的安装由电脑室 负责(4)任 何 微 机 需 安 装 软 件 时 由相关专业负责人提 出书面报告 经经理同意后 由电脑室负责安装(5)所 有 微 机 不 得 安 装 游 戏 软 件 (6)数 据 的 备 份 由 相 关 专 业 负 责 人 管 理 备份用的软盘由专业负责人提供(7)软 盘 在 使 用 前 必须确保无病毒计算机安全 20(8)使 用
37、人 在 离 开 前 应 退 出 系 统 并 关 机 (9)任 何 人 未 经 保 管 人 同 意 不 得 使 用 他 人 的 电脑2 监管措施(1)由 电 脑 室 指 定 专 人 负 责 电 脑 部 管 辖 范 围 内 所有微机的病毒检测和清理工作(2)由 电 脑 室 起 草 防 病 毒 作 业 计 划 (含 检 测 周 期 时间 方 式 工 具 及 责 任 人 ) 报 电 脑 经 理 批 准 后 实 施(3)由 各 专 业 负 责 人 和 电 脑 室 的 专 人 根据上述作 业计划按时(每周最少一次)进行检测工作 并填写检 测记录(4)由 电 脑 经 理 负 责 对 防 病 毒 措 施 的
38、落 实 情 况 进 行监督(二 )硬 件 保 护 及 保 养 1 要求(1)除 电 脑 室 负 责 硬 件 维 护 的 人 员 外 任何人不得 随意拆卸所使用的微机或相关的电脑设备(2)硬 件 维 护 人 员 在 拆 卸 微 机 时 必须采取必要的 防静电措施(3)硬 件 维 护 人 员 在 作 业 完 成 后 或 准 备 离 去 时 必 须将所拆卸的设备复原计算机安全 21(4)要 求 各 专 业 负 责 人 认 真 落 实 所 辖 微 机 及 配 套 设备的使用和保养责任(5)要 求 各 专 业 负 责 人 采 取 必 要 措 施 确保所用的 微机及外设始终处于整洁和良好的状态(6)所 有
39、 带 锁 的 微 机 在使用完毕或离去前必须上锁(7)对 于 关 键 的 电 脑 设 备 应 配 备 必 要 的 断 电 继 电保护电源2 监管措施(1)各 单 位 所 辖 微 机 的 使 用 清洗和保养工作 由 相应专业负责人负责(2)各 专 业 负 责 人 必 须 经 常 检 查 所 辖 微 机 及 外 设 的状况 及时发现和解决问题(三 )奖 惩 办 法 由 于 电 脑 设 备 已 逐 步 成 为 我 们 工 作 中 必 不 可 少的重要工具 因此 电脑部决定将电脑的管理纳入对 各专业负责人的考核范围 并将严格实行从本文公布之日起 1 凡是发现 (1)电 脑 感 染 病 毒(2)私 自
40、安 装 和 使 用 未 经 许 可 的 软 件 (含 游 戏 ) (3)微 机 具 有 密 码 功 能 却 未 使 用计算机安全 22(4)离 开 微 机 却 未 退 出 系 统 或 关 机 (5)擅 自 使 用 他 人 微 机 或 外 设 造 成 不 良 影 响 (6)没 有 及 时 检 查 或 清 洁 电 脑 及 相 关 外 设 电 脑 部 根 据 实 际 情 况 追 究 当 事 人 及 其 直 接 领 导的责任2 凡发现由于 (1)违 章 作 业 (2)保 管 不 当(3)擅 自 安 装 使用硬件和电气装置 造成硬件的损坏或丢失的 其损失由当事人如数赔偿3 电 脑 部 将 根 据 检 查
41、 的 结 果 按 季 度 对 认 真 执 行 本 制 度 的 专 业 负 责 人 和 系 统 维 护 人 员 进 行 奖 励 (具 体办法另行公布)企业必须保证计算机安全 否 则 面 临 牢 狱 之 灾专家表示 黑客 病毒和其它网络威胁不仅仅会 让互联网用户感到头疼 而且还会给企业的官员带来 牢狱之灾据安全和法律专家称 尽管企业行业组织已经成 功游说国会没有通过以电脑安全为主的法律 但是 根据现有的法律和法庭判决 没有采取措施保证网络计算机安全 23安全的企业可能会被追究民事和刑事责任 计算机安 全厂商 Entrust 公司的副总裁伯顿表示 计算机安全 不仅仅是技术性问题尽管医疗 银行 企业反
42、欺诈等方面的法律都规 定了安全义务 但正在实施的会计改革法律则对电脑 安全产生了最大的影响 RSA 安全公司负责政府事务 的 主 管 香 侬 表 示 通 过 要 求 企 业 官 员 发 誓 证 实 企 业 内 部 控 制 是 足 够 的 2002 年 通 过 的 Sarbanes-Oxley Act 法 使 企 业 官 员 为 电 脑 安 全 担 担 当 责 任 审计人员也开始考虑电脑安全事务Cleary Gottlieb 法 律 事 务 所 的 合 伙 人 贝 克 尔 表 示 触犯这些条款会受到司法部的刑事指控 可能会 被判处监禁 他说 任何故意严重违犯联邦证券法律 的行为都构成犯罪 专家表
43、示 企业可以证明自己已 经采取了足够的证据来改进计算机网络的安全性 这 样会有较大的机会在法庭上打赢官司据 反 病 毒 厂 商 趋 势 公 司 称 象 Sobig Slammer 等网络病毒和蠕虫都造成了网络大塞车 去年给企业 造成了 550 亿美元的损失 包括从身份窃贼到间谍在 内的其它网络危险造成的损失则很难量化美国政府于去年发布了提高网络安全的计划 但 其中几乎没有包括要求企业必须遵守的条件 在遭到计算机安全 24企业组织的反对后 另一项要求上市公司披露所采取 的安全措施的提案被否决了但 许 多 支 持 政 府 不 干 涉 政 策 的 专 家 表 示 受 Sarbanes-Oxley A
44、ct 和其它当先的影响 企业必须 对网络安全系统进行升级 根据 1996 年通过的一项 法律 到 2005 年 4 月份 医疗机构必须以机密和安 全的方式保存电子病历 根据 1999 年通过的一项法 律 银行和其它金融机构面临同样的要求 不兑现安全承诺的企业将面临美国联邦贸易委员会的调查 美 国 的 一 些 法 庭 也 裁 决 企 业 对 计 算 机 系 统 安 全负有责任 去年 缅因州的一个陪审团裁定 Verizon 通讯公司应当能够预测到其网络会受到 Slammer 等 病毒的攻击 在其网络损坏期间应当赔偿缅因州的损 失 在华盛顿 内政部几次被裁决将其计算机系统从 互 联 网 上 断 开
45、原 因 是 它 不 能 保 证 计 算 机 系 统 的 安 全美众议院提出的计算机安全审计法案遭质 疑据 美 国 众 议 院 正 在 起 草 的 一 项 人 们 期 待 已 久 立 法草案规定 美国上市公司要保证进行年度计算机安 全审计据众议院技术委员会主席共和党众议员 Putnam计算机安全 25起草的这项法案称 审计工作必须由独立的第三方实 施 并且评估因非法入侵 修改或者破坏公司计算机 之后可能产生的风险和损害的程度Putnam 在 本 星 期 发 表 的 声 明 中 表 示 考虑到威 胁程度和目前存在的安全漏洞的严重性 我们必须要 积极地和共同地解决这个问题 以便代表美国人民和 美国经
46、济加强对国家信息网络的保护 他警告说 联 邦 信 息 安 全 管 理 法 案 详 细 说 明 了 机 构 必 须 遵 守 的 一 些规定 但是 私营企业没有这个义务然而 现在还不清楚 Putnam 提议的 企业信息 安全责任法案 的命运如何 对于来自华盛顿的政治 家 提 出 的 积 极 的 政 府 规 定 和 法 规 有 顾 虑 的 科 技 公 司 正在悄悄地设法说服 Putnam 不要提出这个建议11 月 5 日 一些著名的技术说客举行秘密会议试 图对 Putnam 的建议提出一个替代的方案 这个非正 式的工作组包括美国商会代表 美国系统网络安全协 会 (SANS Institute)和 美 国 信 息 技 术 协 会 (ITAA)ITAA 总裁 Harris Miller 星期四称 这个小组将 在 2004 年年初向 Putnam 提出一个具体建议 说明这 个会议一致同意的共同目标 以及应该加强哪一方面 的工作来重点提高美国企业的信息安全 M iller 表示 最终的建议可能包括立法 法规和自律措施
