公司网络信息安全指南

2024-05-26

公司网络信息安全指南（精选9篇）

篇1：公司网络信息安全指南

《信息与网络安全管理案例分析》实践考核指南

第一部分考核说明

一、课程地位和目标

《信息与网络安全管理案例分析》实践课是我省高等教育自学考试电子政务专业的一门专业必修课程。本课程旨在培养应考者系统地学习网络信息安全方面的案例，具体了解和掌握世界信息和网络安全的发展概况，剖析和总结信息与网络安全防护的成功案例，通过对不同案例中信息与网络安全技术和理论应用的分析,着重探讨有益于我国网络安全建设的经验和启迪，从而指导我国信息化建设健康、快速和有序地发展。

二、课程的基本要求

通过本课程的学习，应考者应达到以下要求：

1．了解世界及我国信息和网络安全的背景和现状；

2．理解并掌握信息与网络安全的技术发展、体系构建和实际应用等。

3．掌握电子政务和电子商务领域的信息与网络安全防护措施。

4．综合分析评价信息与网络安全案例。

三、教材

《信息与网络安全管理》，郑连清主编，北京交通大学出版社、清华大学出版社2004年版。

第二部分考核内容

一、考核方式

写一篇3000字左右的信息与网络安全案例分析或调查报告。

二、典型案例

以下共有六个信息与网络安全相关案例，考生可从中选择其中一个案例，按照后面的问题进行分析回答，字数3000字左右。

一、中国电子政务网络安全隐患案例

2004年举行的中国政府采购电子政务与网络安全论坛上指出，我国电子政务网络安全方面暴露问题比较突出的有五个方面：计算机病毒泛滥；木马程序带来安全保密方面的隐患；易受黑客攻击特别是洪流攻击；垃圾邮件阻塞网络；网络安全的威胁开始蔓延到应用的环节，其中windows占70%，lunix占30%。

国家信息安全评测中心主任吴世忠指出，80%的电子政务网络都有木马程序，电子政务信息安全保障不单是技术问题，更是业务问题，要和业务紧密结合。电子政务信息安全保障是一个综合的复杂的问题，不能脱离部门的工作，脱离部门对安全的需求。要保证电子政务正常运行的信息网络安全，建设以内网安全为核心的新型网络就显得至关重要。

针对目前电子政务信息安全保障问题，威视科技总经理江明家提出“网络安全整体解决方案”的概念，他认为：从技术上，网络安全取决于：网络设备的硬件和软件，网络安全由网络设备的软件和硬件互相配合来实现。电子政务安全的关键是要有自主的知识产权和关键技术，从根本上摆脱对外国技术的依赖。在安全技术不断发展的同时，全面加强安全技术的应用也是网络安全发展的一个重要内容。作为网络安全厂商，不应当简单为用户提供产品，而应当有能力根据用户需求，有针对性地为用户设计、提供网络安全整体解决方案。

问题：试论中国电子政务系统网络安全的现状。

二、网络信息安全调查案例

近年来，关于网上银行、网络游戏密码账号被盗的案例不胜枚举，网上密码安全问题已经成为目前最大的网络安全隐患。日前一项关于网络密码信息安全状况的调查结果显示，四成网民有过密码被盗的经历。

调查数据显示，39.43%的网民有过密码被盗的经历，60.57%的网民没有密码被盗经历。“网银大盗”“证券大盗”“传奇窃贼”“天堂杀手”等专门盗号的木马、黑客正是给网民带来损失的网上“杀手”。

目前网上盗窃犯罪现象屡屡发生，与网民的防范意识不强有关。调查显示，近五成网民对于网络密码信息没有采取有效保护措施。数据显示，34.50%的网民没有采取任何密码保护措施，13.61%网民表示采取过密码保护措施但仍然被盗，51.89%网民表示采取过密码保护措施。

在密码被盗后，有近六成网民认为主要原因是中了木马病毒，24.19%的网民认为主要是因为自我保护意识差，14.27%的网民认为主要原因是密码太简单被暴力破解。

网民对于杀毒软件仍然期待很高，数据显示，九成以上的网民认为杀毒软件应该具有密码保护功能，只有9.05%的网民认为杀毒软件应该专注杀毒，不应该去做密码保护。

问题：试论网络信息安全的保护。

三、计算机网络安全规划案例

计算机网络安全规划可以帮助你决定哪些东西需要保护，在保护时愿意投资多少，由谁来负责执行该保护等。威胁评估：制定一个有效的网络安全规划，第一步是评估系统连接中所表现出的各种威胁。与网络相关的主要有：非授权访问、信息泄露、拒绝服务；分布式控

制：实现网络安全的一种方法，是将一个大型网络中的各段责任和控制权分配给单位内部的一些小组。这种责任的层次结构从高到低包括网络管理员、子网管理员、系统管理员和用户，在该层次结构的每一点都有人负责和具体执行；编写网络安全策略：编写一个网络安全策略文件，明确地阐明要求达到什么目的和要求谁来执行是很重要的。一个网络安全策略文件包括如下内容：系统管理员的安全责任、正确地利用网络资源、检测到安全问题时的对策、网络用户的安全责任等。

一个全方位的计算机网络安全体系结构包含网络的物理安全、访问控制安全、系统安全、用户安全、信息加密、安全传输和管理安全等。充分利用各种先进的主机安全技术、身份认证技术、访问控制技术、密码技术、防火墙技术、网络反病毒技术、安全审计技术、安全管理技术、系统漏洞检测技术、黑客跟踪技术，在攻击者和受保护的资源间建立多道严密的安全防线，极大地增加了恶意攻击的难度，并增加了审核信息的数量，利用这些审核信息可以跟踪入侵者。在实施网络安全防范措施时要考虑以下几点：要加强主机本身的安全，做好安全配置，及时安装安全补丁程序，减少漏洞；要用各种系统漏洞检测软件定期对网络系统进行扫描分析，找出可能存在的安全隐患，并及时加以修补；从路由器到用户各级建立完善的访问控制措施，安装防火墙，加强授权管理和认证；利用数据存储技术加强数据备份和恢复措施；对敏感的设备和数据要建立必要的物理或逻辑隔离措施；对在公共网络上传输的敏感信息要进行数据加密；安装防病毒软件，加强内部网的整体防病毒措施；建立详细的安全审计日志，以便检测并跟踪入侵攻击等。

问题：试论计算机网络安全体系的构建。

四、防火墙的选择案例

网络安全产品主要细分产品包括防火墙、入侵检测系统、信息加密以及安全认证等。据赛迪网统计，2004年上半年，中国网络安全产品市场的销售总额达13.34亿元，比2003年上半年增长43.3%，其中防火墙软件以46.20%的份额，成为2004年上半年中国网络安全产品市场中主力军。

如何选择一个好的防火墙呢？

一、自身的安全性。防火墙自身的安全性主要体现在自身设计和管理两个方面。设计的安全性关键在于操作系统，而应用系统的安全是以操作系统的安全为基础的，同时防火墙自身的安全实现也直接影响整体系统的安全性。

二、系统的稳定性。由于种种原因，有些系统尚未最后定型或经过严格的大量测试就被推向了市场，其稳定性可想而知。可以通过权威的测评认证机构、实际调查、试用、厂商实力等多个方面加以判断；

三、是否高效。一般来说，防火墙加载上百条规则，其性能下降不应超过 5~10 ％（指包过滤防火墙）；

四、是否可靠。有较高的生产标准和设计冗余度能提高系统可靠性的；

五、是否功能灵活、强大。例如对普通用户，只要对 IP 地址进行过滤即可；如果是内部有不同安全级别的子网，有时则必须允许高级别子网对低级别子网进行单向访问。

六、是否配置方便。

七、是否可以抵抗拒绝服务攻击。在当前的网络攻击中，拒绝服务攻击是使用频率最高的方法。目前有很多防火墙号称可以抵御拒绝服务攻击，但严格地说，它应该是可以降低拒绝服务攻击的危害而不是抵御这种攻击；

八、是否可扩展、可升级。

问题：试论防火墙在网络信息安全中的应用。

五、电子商务安全要素分析

电子商务主要的安全要素有以下几个：

1、有效性。EC以电子形式取代了纸张,那么如何保证这种电子形式的贸易信息的有效性则是开展E的前提。EC作为贸易的一种形式,其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。因此,要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻、确定的地点是有效的。

2、机密性。EC作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。EC是建立在一个较为开放的网络环境上的(尤其Internet是更为开放的网络),维护商业机密是EC全面推广应用的重要保障。因此,要预防非法的信息存取和信息在传输过程中被非法窃取。

3、完整性。EC简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。贸易各方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易各方信息的完整性是EC应用的基础。因此,要预防对信息的随意生成、修改和删除,同时要防止数据传送过程中信息的丢失和重复并保证信息传送次序的统一。

4、可靠性、不可抵赖性、鉴别。EC可能直接关系到贸易双方的商业交易,如何确定要进行交易的贸易方正是进行交易所期望的贸易方这一问题则是保证EC顺利进行的关键。在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据的可靠性并预防抵赖行为的发生。这也就是人们常说的“白纸黑字”。在无纸化的EC方式下,通过手写签名和印章进行贸易方的鉴别已是不可能的。因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。

5、审查能力。根据机密性和完整性的要求,应对数据审查的结果进行记录。

问题：试论电子商务安全问题。

六、吉林省社保网络安全防范案例

一、背景

近年来，随着我国的互联网络迅猛发展，互联网络已经深入到各行各业当中，在我国的经济生活中发挥着日益重要的作用。吉林省社保网络我国最庞大的网络系统之一，关系着吉林省全省人民的切身利益，网络安全就成了首要的问题。一直以来，吉林省社保公司都在不断的加强全省的社保网络安全保护设施，以保证整个网络的信息安全。2003年是病毒频发的一年，安全问题尤其突出，吉林省社保网络多次面临各种病毒和恶意程序的袭击。为了彻底杜绝网络病毒的侵害，保证全省社保事业的正常健康运行，吉林省社保总公司决定采用交大铭泰的网路病毒解决方案。

二、方案实施过程

1、安装东方卫士管理员

在东方卫士中小企业版中，包含了允许网络管理员从一个单独的工作站上管理整个网络的东方卫士病毒保护程序。该工具名为东方卫士网络管理员。通过东方网络管理员，可进行安装、卸载、设置、扫描及更新工作站或服务器上的任何杀毒软件。

2、安装东方卫士服务器端

服务器端是专门为网络服务器设计的防病毒子系统。它承担着对当前服务器上病毒的实时监控、检测和清除任务。服务器还是整个卫士中小企业版网络防病毒系统的信息管理和病毒防护的自动控制核心。它实时地记录防护体系内每台计算机上的病毒监控、检测和清除信息。同时，根据控制台的设置，实现对整个防护系统的自动控制。其他子系统只有在服务器工作后，才可实现各自的网络防护功能。它必须先于其它子系统安装到符合条件的服务器上。服务器支持多级子服务器，分层管理，这样方便了大中型网络和扩展性强的网络结构。

3、安装东方卫士客户端（WEB方式）

客户端是专门为网络工作站（客户机）设计的防病毒子系统。它承担着对当前工作站上病毒的实时监控、检测和清除任务，同时自动向卫士中小企业版系统中心报告病毒监测情况。

本次客户端分发给技术人员留下了很深的印象，在无网段限制十分简洁和安全东发卫士所提供的这项服务以及成功实施的事实成为选型时非常重要的一条参考标准。

三、应用效果

整个系统的在实施过程中保持了流畅和平稳，基本上没有影响到既有网络系统的正常运行。安装的防病毒产品稳定性非常好，没有影响到其它应用的功能。防病毒系统的升级和功能应全自动化，整个系统具有及时更新的能力，能对整个防毒系统进行监控，并能集中生成报告。

问题：吉林省社保网络实现网络安全的成功经验有哪些？

三、论文、调查报告参考选题

考生也可在以下选题中任选一题作答，字数3000字左右。

1．试论我国网络安全中存在的问题

2．试论广州电子政务网络安全体系

3．电子政务与电子商务网络安全的比较分析

4．浅析网络信息传递中的安全防护

5．试论防火墙技术在网络安全中的作用

6．试析我国信息与网络安全立法的完善

7．信息加密及其在网络安全中的实际应用

8．试论我国网络信息安全制度建设

9．国外网络安全防范措施及其对我国的借鉴意义

10．试论网络攻击及其应对

篇2：公司网络信息安全指南

1、保护个人信息安全，共建美好幸福家园。

2、文明上网引领时尚，强化安全成就梦想。

3、树立网安意识，莫念无名之利。

4、保护个人信息，享受美好人生。

5、保护个人信息安全，人人有责。

6、保护个人信息安全，维护社会稳定大局。

7、提升自我防护意识，保护个人信息安全。

8、加强个人信息安全防护，提升自我保护意识。

9、保护个人资料，尊重他人私隐。

10、处理资料要谨慎，安全第一最稳阵。

11、个人资料保护好，安全使用无烦恼。

12、个人资料要小心，资讯安全勿轻心。

13、互联网上路路通，个人资料勿放松。

14、谨慎保护个人资料，开心畅游网络世界。

15、网络连着你我他，安全防范靠大家。

16、安全上网，健康成长。文明上网，放飞梦想。

17、上网需谨慎，“中奖”莫当真。

18、隐私加把锁，骗徒远离我!

19、私隐加把锁，骗徒远离我。

20、个人信息勿泄露，安全意识存心头。

21、文明上网，不触法律红线;安心用网，共享多彩生活。

22、网络连着你我他，防骗防盗两手抓。

23、e言e行见素养，e点e滴筑安全。

24、免费wifi不要蹭，账号密码不要登。

25、“众”视网络安全，“指”为幸福一点。

26、网络眼睛处处有，输入资料有保留。

27、多一份网络防护技能，多一份信息安全保证。

28、网上公开巡查，打造清明网络空间。

29、守护人民网络、建设网络强国。

30、网罗天下之事，安为万事之先。

31、注意网络安全，保护个人隐私。

32、网络创造幸福时代，安全守护绿色家园。

33、要保管好自己的证件，注意保护个人信息。

34、私隐保护做得好，网络使用没烦恼。

35、提升自我意识防护，个人信息才有保护。

36、人人关心信息安全，家家享受智慧服务。

37、人人知安全，幸福笑开颜。

38、手拉手保护个人信息，心连心建设智慧宁波。

39、提高个人信息保护意识，保护个人合法权益。

40、增强个人信息安全，提升自我防范意识。

41、智造新安全，安享新生活。

42、同撑个人信息安全保护伞，共筑个人信息隐患防火墙。

43、私隐重要勿轻心，预防泄漏要谨慎。

44、同撑资料安全保护伞，共筑信息隐患防火墙。

45、加强个人信息保护，防止个人信息泄露。

46、健全信息安全保障体系，增强信息安全保障能力。

47、网络安全始于心，安全网络践于行。

48、守护网络安全，呵护精神家园。

49、同心共筑中国梦想，合力共建网络强国。

50、网络社会法治社会，网络空间网警保卫。

51、网安则国安，国安则民安。

52、提高公众信息保护意识，I卫个人信息安全。

篇3：公司网络信息安全指南

2008年1月14日, 安徽省肥西供电公司办公网络信息安全项目主体工程安装结束, 标志着该公司正式启用网络安全管理策略。今后员工使用办公网络, 必须通过USB-KEY的身份验证后才可登录。

根据网络安全中的“分步式”防火的要求, 内部网络宜采用不信任机制, 必须通过一定的验证才可连接到办公网络。此次, 该公司通过应用USB-KEY的硬件手段, 验证使用者身份, 保证了终端机和网络的使用者拥有访问内部网络的授权, 确保了使用者的不可伪装和身份唯一性。即使有外部网络使用者通过入侵手段侵入某台终端, 其在内网也将寸步难行。同时, 该项技术将自动进行内部网络访问记录, 记录每个用户的访问时间、具体应用以及数据流向和流量等。当系统管理员发现有异常时, 可以随时切断某个或某些终端或者网段的连接, 以保护网络核心部分的安全, 尤其是服务器的安全。

这一新技术的应用填补了之前该公司内部网络安全方面的空白, 使得网络安全达到了“事前可防、事中可控、事后可查”的要求, 减少病毒的传播和入侵, 强化了办公网络的安全性和可靠性。另外, 该公司此项新技术应用已获得了公安部门的相关授权, 访问记录将具备电子证据的条件。

篇4：公司网络信息安全指南

【关键词】信息化；服务；信息安全

【中图分类号】TN915.08 【文献标识码】A 【文章编号】1672-5158（2012）09-0030-01

一、新疆电力公司业务应用情况

新疆电力公司始终坚持“服务党和国家工作大局、服务电力客户、服务发电企业、服务社会发展”的宗旨，从事电力购销业务，负责所辖区域电网之间的电力交易和调度。为了服务电力生产和统一调度的发展，以宽带达到100M以上。数据交换体系建设加快，实现了数据统计等关键信息的及时上报、自动汇总和动态发布。网省公司、地州电力调度机构实现了调度自动化系统，引入了电能计费系统和广域测量系统；变电站实现了计算机监控额无人、少人值守，大大提高了生产自动化水平。

建立地理信息系统（GIS），应用于输电、变电、配电管理业务。电力负荷、电力营销管理手段广泛应用，实现业务报装、电费抄核、故障报修、投诉受理等功能。地州供电企业营业窗口基本实现计算机受理用电业务，投运全国统一的“95598”电力客户电话服务系统。为方便用电客户缴费通过实现会计核算、业务报表及信息及时监控；实现银电联网，方便用电客户和发电企业进行缴费和资金结算；实现实现电子公文传输的单轨制运行和无纸化公文传输；建立集中规模招投标系统，在网上实现全过程招标和评标。

二、新疆电力公司网络结构

新疆电力公司广域网设计采用“双星形”网络拓扑结构。涵盖新疆电力公司下属22家单位及86个县供，覆盖率达到100%，实现了乌鲁木齐市内单位网络带宽1000M，地州单位网络带宽不低于100M互联，备用链路不低于10M；乌鲁木齐电业局及地州12家单位已经实现“双设备，双链路”设备及链路双冗余上行至新疆公司本部，主用155Mb通道，备用10Mb通道广域网核心路由使用NFA0-8及NFAOE，核心交换使用$9508设备，地州接入设备采用MSR50-60设备。

三、信息安全隐患分析

计算机信息安全面临来自多个方面的信息安全威胁，影响原因可能是系统本身、数据库以及移动储存介质，而它们在使用、管理过程中的疏忽也加剧了问题的严重性。

3.1 操作系统和应用程序的安全漏洞现在广泛使用的操作系统在安全体系结构上都先天不足，靠打补丁逐步完善，缺乏严密的安全框架，安全漏洞较多。访问控制与认证功能薄弱，用户认证方式单一，绝大多数仅为口令方式，一些更可靠的生物特征认证手段因缺少硬件认证部件没有得到广泛应用。有的操作系统还有陷门和隐蔽信道。在应用程序安全的问题上，主要是缺少完备的安全机制。在开发过程中没有遵照安全軟件工程的原则开发，用户只关心是否实现了所要求的功能，安全完全由程序员开发与控制，从而留下安全隐患。

3.2 移动储存介质

移动储存介质由于其本身具有方便小巧、存储量大、通用性强、易携带等特点，得到了广泛的使用。但这些特点也给网络带来了许多安全隐患，造成网络系统不易管理，尤其是涉密单位移动储存介质的管理。现阶段涉密介质的使用大多缺乏设备登记、身份认证、访问控制和审计机制，这给网络系统的信息安全造成很大的威胁。

3.3 数据库系统的安全隐患

数据库系统的安全隐患有如下特点：涉及到信息在不同程度上的安全，即客体具有层次性和多项性；在DBMS中受到保护的客体可能是复杂的逻辑结构，若干复杂的逻辑结构可能映射到同一物理数据客体上，即客体逻辑结构与物理结构的分离；客体之间的信息相关性较大，应该考虑对特殊推理攻击的范围。我们将企业数据库系统分成两个部分：一部分是数据库，按照一定的方式存取各业务数据。一部分是数据库管理系统（DBMS），它为用户及应用程序提供数据访问，同时对数据库进行管理，维护等多种功能。

3.4 路由和交换设备安全隐患路由器是企业网络的核心部件。它的安全将直接影响整个网络的安全。路由器在缺省情况下只使用简单的口令验证用户身份，并且在远程TELNET登录时以明文传输口令。一旦口令泄密，路由器将失去所有的保护能力。同时，路由器口令的弱点是没有计数器功能，所以每个人都可以不限次数地尝试登录口令，在口令字典等工具的帮助下很容易破解登录口令。每个管理员都可能使用相同的口令，路由器对于谁曾经作过什么修改没有跟踪审计的能力。此外，路由器实现的某些动态路由协议存在一定的安全漏洞，有可能被恶意攻击者利用来破坏网络的路由设置，达到破坏网络或为攻击作准备的目的。

3.5 黑客的威胁和攻击

黑客具有非常强的计算机网络系统知识，能熟练使用各种计算机技术和软件工具。黑客善于发现计算机网络系统自身存在的系统漏洞。漏洞成为黑客被攻击的目标或利用为攻击的途径，并对网络系统的安全构成了非常大的威胁。目前，在各个国家计算机信息网络上的黑客攻击事件都是越演越烈。

3.6 计算机病毒的侵害

由于计算机病毒具有蔓延速度快、范围广等特点，是计算机网络系统的最大的威胁造成的损失难以估计。计算机病毒破坏的对象直接就是计算机系统或者网络系统。一旦计算机感染上病毒后，轻则使系统执行效率下降，重则造成系统死机或毁坏，使部分文件或全部数据丢失，甚至造成计算机系统硬件设备等部件的损坏。

四、网络信息安全应对策略

4.1 访问控制策略

访问控制是网络安全防范和保护的主要策略，主要任务是保证网络资源不被非法使用和非法访问，是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用，但访问控制可以说是保证网络安全最重要的核心策略之一。下面分述各种访问控制策略。

4.2 信息加密策略

信息系统的数据加密常用的方法有链路加密、端点加密和节点加密三种。对于网络信息和电子文件具体加密的方法很多，如名称加密、内容加密、属性加密、形式加密等信息加密的目的是保护网络内部和网上传输的数据、文件、口令和控制信息的安全。信息加密过程是由形形色色的加密算法来具体实施，它以很小的代价提供很大的安全保护。在多数情况下，信息加密是保证信息机密性的唯一方法。据不完全统计，到目前为止，已经公开发表的各种加密算法多达数百种。按照收发双方密钥是否相同来分类，可将加密算法分为私钥加密算法和公钥加密算法。

4.3 网络安全管理策略

安全管理手段主要是从制度上完善信息系统的安全性，防止由于人的主观行为或制度问题导致信息系统的泄密。加强网络的安全管理，对于确保网络的安全、可靠运行和信息的安全保密，将起到十分有效的作用。在应对各种突发、紧急事件上建立起完备的应急预案：新疆电力公司信息系统应急计划的目标是分析信息系统可能出现的紧急事件或者灾难事故，技术支持和业务部门应建立一整套应急措施，以保障新疆电力公司核心业务的连续服务。一旦发生重大的或灾难性事故时，信息中心工作人员迅速进行灾情分析，并上报信息安全工作领导小组即成为应急领导小组，负责指挥执行紧急应变计划，排除灾难事故。同时应急领导小组还要组织相关的部门做好对外的解释、宣传和公告以及保卫工作，防止事态的扩大，

五、结束语

篇5：公司网络信息安全指南

为保证我公司系统网络与信息安全，进一步加强网络管理工作，有效地防范蓄意攻击、破坏网络信息系统及传播、粘贴非法信息等突发紧急事件的发生。按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则，将工作落实到人。公司成立信息安全检查工作组，负责公司网络安全检查工作，主要采取各处室自查和对部分处室抽查相结合的方式，开展网络安全清理检查工作。现将具体情况汇报如下：

一、现状与风险

随着公司系统信息化建设的发展，以计算机网络为依托的办公格局已初步形成。集团—公司—部门的三级局域网络已经建立。目前使用交换机30台，生产厂商为华为和H3C，服务器为IBM，联网计算机设备563台。网络与信息系统已成为整个工业生产系统的重要组成部分，成为企业重要基础设施。在工业信息化建设不断蓬勃发展的同时，网络与信息安全的风险也逐渐显露。

一是随着工业生产事业的发展，业务系统的要求，各级部门实现了联网与信息交换。

二是网络与信息系统中的关键设备如主机、路由器、以及操作系统等部分采用盗版或国外产品，存在着较大的安全隐患。

三是系统内计算机应用操作人员水平参差不齐，加上由于经费不足，安全防护设备与技术手段不尽如人意。

二、建立健全网络与信息安全组织机构

为了确保网络与信息安全工作得到重视和措施能及时落实，我公司成立了网络与信息安全领导小组：

组长：党委书记

董事长

副组长：班子其他成员

常务副组长：信息化总经理

成员：公司各部门负责人

网络安全责任人：信息化大数据办公室主任

领导小组下设办公室，具体负责日常工作，主任由信息化大数据办公室主任担任。

三、建立健全网络与信息安全岗责体系和规章制度

网络与信息安全办公室负责对以机关名义在内、外网站上发布信息的审查和监控;信息处负责网站的维护和技术支持以及其它各类应用信息系统的监控和维护;财务处负责相关资金支持;机关服务中心负责电力、空调、防火、防雷等基础设施的监控和维护。

网络与信息安全办公室负责在发生紧急事件时协调开展工作，并根据事件的严重程度起草向领导小组、公安部门或上级有关部门的报告或向全系统的通报;并负责各类网站、各应用系统、数据库系统的监控防范、应急处置和数据、系统恢复工作，以及网络系统的安全防范、应急处置和网络恢复工作及安全事件的事后追查。为做好内部系统网络安全自查工作，大数据中心在X月X日，通过视频培训，对全系统网管员进行网络安全知识培训,并对网络安全自查工作进行部署。建立健全了各种安全制度，包括(1)日志管理制度;(2)安全审计制度;(3)数据保护、安全备份、灾难恢复计划;(4)计算机机房及其他重要区域的出入制度;(5)硬件、软件、网络、媒体的使用及维护制度;(6)帐户、密码、通信保密的管理制度;(7)有害数据及计算机病毒预防、发现、报告及清除管理制度。(8)个人计算机使用及管理规定。

四、存在的问题

在自查过程中我们也发现了一些不足，同时结合实际，今后要在以下几个方面进行整改。

(一)安全意识还需加强。

要继续加强对广大职工使用网络的安全意识教育，提高做好安全工作的主动性和自觉性。

(二)设备维护、更新应及时。

要加大对线路、系统等的及时维护和保养，同时，针对信息技术的飞快发展的特点，需加大更新力度。

(三)安全工作的水平还有待提高。

对信息安全的管护还处于初级水平，要提高安全工作的现代化水平，有利于我们进一步加强对计算机信息系统安全的防范和保密工作。

(四)加强计算机安全意识教育和防范技能训练，充分认识到计算机泄密案件的严重性。

把计算机安全保护知识真正融于实际工作中，而不是记在纸上;人防与技防结合，把计算机安全保护的技术措施看作是保护信息安全的一道看不见的屏障。

(五)工作机制有待完善。

创新安全工作机制，是信息工作新形势的必然要求，这有利于提高机关网络信息工作的运行效率，有利于办公秩序的进一步规范。

五、整改措施

(一)局域网安装了防火墙。

同时对每台计算机配置安装了公司统一配置的金山毒霸杀毒软件，针对注册号户数不够的情况，向集团又申请了一些注册号，现网络版金山毒霸软件可以同时上线600台计算机，基本满足了公司办公需要。全公司X台电脑定期安装系统补丁，加强了在防篡改、防病毒、防攻击、防瘫痪、防泄密等方面的有效性。

(二)涉密计算机和局域网内所有计算机都强化口令设置，要求开机密码、公文处理口令必须字母与数字混合不少于8位。

同时，计算机相互共享之间设有身份认证和访问控制。

(三)内网计算机没有违规上国际互联网及其他的信息网的现象。

(四)安装了针对移动存储设备的专业杀毒软件，对移动存储设备接入计算机前必须须进行病毒扫描，对于经常接收外来数据的部门单位计算机都配备使用U盘病毒隔离器。

(五)对服务器上的应用、服务、端口和链接都进行了安全检查并加固处理。

(六)没有通过电子政务外网、互联网邮箱、限时通信工具等处理、传递、转发涉密或敏感信息的现象。

(七)制定了详细应急预案，并随着信息化程度的深入，结合各部门实际，并在以后不断完善。

篇6：公司网络信息安全指南

业务能力管理部

1、对口省分信息安全管理部，负责市分公司网络与信息安全的归口管理、牵头、组织及相关协调工作。

2、负责制订并落实市分公司网络与信息安全总体工作目标、年度及月度工作计划、相关工作总结等。

3、组织落实省分和上级部门的网络与信息安全各项管理制度、规范和要求，结合本地情况对省分下发的各类管理制度提出实施细则并具体组织落实。

4、负责牵头市分公司信息安全的组织、协调工作，制订并落实市分信息安全工作目标、工作计划、相关工作总结等。

5、配合完成垃圾短信治理，负责短信套餐管理、公众渠道的日常管控及违规处罚。

6、负责用户实名制的管理，对公众渠道的日常管控、检查、考核及违规处罚。

7、负责互联网业务推广渠道中信息内容安全工作的落实。

8、组织本地各单位落实用户信息保护各项要求、完善用户信息保护措施，组织开展本地相关检查、督促整改。具体负责落实市场销售过程中用户信息保护工作，负责用户登记资料管理、代理商管理、互联网电子商务业务过程等涉及用户信息保护的相关工作。

9、负责组织及开展市分网络与信息安全的教育培训工作。

10、负责组织制订市分信息安全应急预案，组织应急预案的培训及实施演练。

11、负责组织落实省分和上级部门要求的互联网净化网络环境等正面宣传引导相关工作。

12、贯彻落实集团公司及省公司的内网信息安全要求，负责本单位的信息化系统主机及数据安全、IT承载网安全以及终端安全工作，包括：

（1）负责牵头组织省内内网信息安全工程在本单位的实施和推广。（2）负责定期进行内网安全检查，预防内网信息安全隐患，对内网信息安全事故组织实施应急处理。

（3）负责内网信息安全工作的本地技术支撑和维护管理。

（4）负责内网信息系统中相关用户信息保护，并协调相关支撑工作。

网络公司综合维护部

1、负责落实市分公司网络安全相关工作，制订并落实市分网络安全工作目标、工作计划、相关工作总结等。

2、组织网络公司各专业开展网络与信息安全的日常维护、检查与监督工作。

3、做好IP地址备案，配合相关部门做好未备案网站或非法网站及时封堵工作。

4、负责组织制订市分网络安全应急预案，组织应急预案的培训及实施演练。

5、配合完成各类网络与信息安全事件的应急处置。

6、落实重要节日和重大活动的通信保障工作。

7、配合综合部规范信息查询和安全设备接入，依法依规配合政府部门工作。

8、负责市分网络安全教育培训工作。

集团客户事业部

一、网站备案：

1、负责集客互联网接入客户的非经营性网站的现场备案。

2、负责集客互联网专线未备案网站的处理。

3、定期对网站备案信息进行拨测、抽验、更新，并对网站备案相关考核指标负责。

二、垃圾短信处理：

1、对垃圾短信做好日常监控，将被省分、市分通报的垃圾短信及时告知市分相关产品经理进行处置。

2、督促及跟踪产品经理、客户经理对垃圾短信的核查，对于违规严重的直接对其关停处理。

三、IDC信息源入网安全：

1、负责核实用户入网资质和条件是否符合公司相关业务管理要求。

2、负责与用户签订《信息源入网安全责任书》。

3、发现信息安全问题后及时通知后台处理，并与用户沟通，妥善处理后续工作，督促用户进行整改。

四、实名制主要工作

1、负责下发和落实省分实名制工作相关要求，并定期通报和扣罚。

2、负责每月对新增用户实行实名制核查。每月抽取一定量的身份证进行国证通认证，核查真实性，同时随机抽取号码查验资料准确性。

3、负责下发各类返档方式使用方法及组织测试，返档方式变更相关通知，执行中相关问题的解决。

4、负责对不合规客户的资料整改（包括新增用户、全量用户）。

5、负责渠道实名登记的签约、培训、检查、考核及问责。

6、负责客户信息安全保障，包括签署用户信息保护协议、工号域权管理、信息提取流程管理及证件复印件专项办理承诺等。

7、负责集团（含中小企业）用户信息保护及管理，以及行业应用、ICT、IDC、云计算等业务的用户信息安全保护及管理，完善用户信息保护措施。

客户服务部

1、负责本部门工号（主要是客服代表、投诉处理人员、客服经理等人员使用的各类系统工号）的日常管理及稽核，编制工号稽核月报表。已开通系统工号人员离职或岗位调整，应及时提交工号申请进行工号及权限的失效和变更。

2、按照《电信和互联网用户个人信息保护规定》，负责本部门客服人员的用户个人信息保护培训及管理，确保客服人员在给用户提供服务或是处理用户投诉时，对知悉的用户个人信息应当予以保密，不得泄露、篡改或者毁损，不得出售或非法向他人提供。

3、建立分公司客户服务预警机制，及时发布可能导致大量客户投诉事件的预警提示信息，及时告知客户并提请相关单位及领导关注并及时采取措施加以控制解决，避免客户投诉事件的发展或升级。

篇7：上市公司环境信息披露指南

上市公司环境信息披露指南（征求意见稿）

摘要：第一章总则

第一条为规范上市公司环境信息披露行为，促进上市公司改进环境保护工作，引导上市公司积极履行保护环境的社会责任，根据《环境信息公开办法（试行）》（原国家环保总局令第35号）以及《关于进一步严格上市环保核查管理制度加强上市公司环保核查后督查工作的通知》（环发[2010]78号）规定，制定本指南。

第二条本指南适用于在上海证券交易所和深圳证券交易所A股市场的上市公司。

第三条上市公司应当准确、及时、完整地向公众披露环境信息，不得有虚假记载、误导性陈述或者重大遗漏。

第四条上市公司编制和披露环境信息，应有利于债权人、投资者、社会公众和政府管理部门了解企业环境保护情况。

第五条上市公司环境信息披露包括定期披露和临时披露。重污染行业上市公司应当定期披露环境信息，发布环境报告；发生突发环境事件或受到重大环保处罚的，应发布临时环境报告。

鼓励其它行业的上市公司参照本指南披露环境信息。

第六条上市公司应在环境保护部网站和公司网站上同时发布环境报告，在环保部网站、中国环境报和公司网站上同时发布临时环境报告。

第七条重污染行业上市公司的环境报告和临时环境报告的发布情况，作为各级环保部门上市环保核查的重要 http:/// 中顾法律网联合万名律师真诚为您服务

内容。

第二章环境报告

第八条环境报告期原则上为一个会计年，即每年1月1日至12月31日。上市公司可在发布公司财务报告的同时发布环境报告。

第九条环境报告应当披露的信息：

（一）重大环境问题的发生情况

1、发生突发环境事件并已发布临时环境报告的，应报告环境事件最终处理结果和环境影响，造成的经济损失和经济赔偿。

2、因为环境违法违规受到重大环保行政处罚且已发布临时环境报告的，报告采取的整改措施和效果。

（二）环境影响评价和“三同时”制度执行情况

说明依法开展建设项目环境影响评价和“三同时”验收制度的执行情况；未能按期完成验收的，应说明原因和进展情况。

（三）污染物达标排放情况

1、说明下属各生产企业废水和废气中常规污染物和特征污染物达标排放情况；厂界噪声和无组织排放达标情况。

2、出现污染物超标排放的，要说明排放浓度、排放标准，超标原因和整改措施。

3、下属企业中有国家重点监控企业的，应公布一年四次监督性监测情况。

（四）一般工业固体废物和危险废物依法处理处置情况 http:/// 中顾法律网联合万名律师真诚为您服务

1、一般工业固体废物的种类及综合利用情况；

2、危险废物的安全处置情况。

（五）总量减排任务完成情况

1、说明各子公司、分公司减排工程实施进度和减排指标完成情况。

2、未完成总量减排任务的，要说明原因和整改措施。

（六）依法缴纳排污费的情况

（七）清洁生产实施情况

1、上市公司内有属于重点企业应定期开展清洁生产审核的，报告应说明依法实施清洁生产审核及开展评估验收的情况。

2、上市公司内有依法应开展强制性清洁生产审核的企业且已被环保部门公布的，报告应披露企业名称、地址、法定代表人；主要污染物的名称、排放方式、排放浓度和总量、超标、超总量情况；企业环保设施的建设和运行情况；环境污染事故应急预案等环境信息。

（八）环境风险管理体系建立和运行情况

说明突发环境事件应急预案的完备情况;存在重大环境风险源的，要说明企业环境风险管理机制的建设情况。

第十条鼓励上市公司在环境报告中披露以下环境信息：

（一）经营者的环保理念 http:/// 中顾法律网联合万名律师真诚为您服务

上市公司最高经营者对企业的经营理念和价值观。

（二）上市公司的环境管理组织结构和环保目标

介绍环境管理组织结构图，各职能部门及其人员相关责任，环境管理组织运转现状，与环境保护方针相适应的中长期目标，目前目标和指标的完成情况及下一阶段计划等。

（三）环境管理情况

包括环境管理体系认证及自愿开展清洁生产的情况；与环保相关的教育及培训；与利益相关者进行环境信息交流；环境技术开发情况；环境管理会计推进情况；获得的环境保护荣誉；环境标志认证情况等。

（四）环境绩效情况

包括单位产品或单位原料的原料消耗、水资源消耗、能耗等；单位产品或单位原料的废水产生量、主要污染物排放量、温室气体排放量等。

（五）其他环境信息

包括为推进环境保护开展的环境教育、植树造林、生物多样性保护等各类环境公益项目。第三章临时环境报告

第十一条上市公司发生突发环境事件的，应在事件发生后1天内发布临时环境报告。

第十二条上市公司及其下属企业因环境违法被省级及以上环保部门通报批评、挂牌督办、环评限批、被处以高额罚款、被责令限期治理或停产整治、被责令拆除、关闭等重大环保处罚的，应当在得知处罚决定后1天内发布临时环境报告。http:/// 中顾法律网联合万名律师真诚为您服务

第十三条上市公司因突发环境事件发布临时环境报告的，应当报告环境事件的发生时间、地点、主要污染物质和数量、事件环境影响和人员伤害情况（如有）、已采取的应急处理措施等内容。

第十四条上市公司因环境违法被省级以上环保部门处以重大环保处罚的，应当在临时报告中披露违法情形和违反的法律条款、处罚时间、处罚具体内容、整改方案及进度。

第四章附则

第十五条本指南中下列用语的含义

（一）重污染行业

本指南所指重污染行业包括火电、钢铁、水泥、电解铝、煤炭、冶金、化工、石化、建材、造纸、酿造、制药、发酵、纺织、制革和采矿业，具体按照《上市公司环保核查行业分类管理名录》（环办函〔2008〕373号）认定。

（二）突发环境事件

按照《国家突发环境事件应急预案》认定。

（三）重点企业

本指南所称重点企业是指依照《中华人民共和国清洁生产促进法》规定应当实施清洁生产审核的企业，包括：

1、污染物超标排放或者污染物排放总量超过规定限额的污染严重企业。

2、生产中使用或排放有毒有害物质的企业（有毒有害物质是指被列入《危险货物品名表》（GB12268）、《危险化学品名录》、《国家危险废物名录》和《剧毒化学品目录》中的剧毒、强腐蚀性、强刺激性、放射性（不包括核电设施和军工 http:/// 中顾法律网联合万名律师真诚为您服务

核设施）、致癌、致畸等物质）。

3、按照环境保护部发布的《重点企业清洁生产行业分类管理名录》和《需重点审核的有毒有害物质名录（第一批）、（第二批）》应当开展清洁生产审核的企业。

（四）重大环境风险源

按照《建设项目环境风险评价技术导则》（HJ/T169－2004），重大环境风险源是指长期或短期生产、加工、运输、使用或贮存危险物质，且危险物质的数量等于或超过临界量的功能单元。危险物质（化学品）的类别临界量参照《危险化学品重大危险源辨识》（GB18218-2009）。第三章临时环境报告

第十一条上市公司发生突发环境事件的，应在事件发生后1天内发布临时环境报告。

第十二条上市公司及其下属企业因环境违法被省级及以上环保部门通报批评、挂牌督办、环评限批、被处以高额罚款、被责令限期治理或停产整治、被责令拆除、关闭等重大环保处罚的，应当在得知处罚决定后1天内发布临时环境报告。

第四章附则

第十五条本指南中下列用语的含义

（一）重污染行业 http:/// 中顾法律网联合万名律师真诚为您服务

（二）突发环境事件

按照《国家突发环境事件应急预案》认定。

（三）重点企业

本指南所称重点企业是指依照《中华人民共和国清洁生产促进法》规定应当实施清洁生产审核的企业，包括：

1、污染物超标排放或者污染物排放总量超过规定限额的污染严重企业。

2、生产中使用或排放有毒有害物质的企业（有毒有害物质是指被列入《危险货物品名表》（GB12268）、《危险化学品名录》、《国家危险废物名录》和《剧毒化学品目录》中的剧毒、强腐蚀性、强刺激性、放射性（不包括核电设施和军工核设施）、致癌、致畸等物质）。

（四）重大环境风险源

篇8：公司网络信息安全指南

2012年12月13日至14日,电力行业网络与信息安全领导小组工作会议在南京召开,国家电网公司年度信息安全工作获得表彰,其中公司信息通信部荣获先进集体,信息通信部有关人员获得信息安全通报工作先进个人称号。会议分析了当前国家与行业的信息安全态势,传达了国务院关于信息安全的若干要求,讨论了电力行业网络与信息安全下一步重点工作。

公安部、工信部、国家电监会及各派出机构、有关电力企业、总参三部、国家质检总局、国家信息中心等单位出席会议。

2012年,公司以“安全年”信息通信专项活动为载体,落实信息通信安全管理基础工作,深化隐患排查治理和安全督查,开展智能电网信息安全专项行动,全面完成信息系统安全等级保护测评工作,加强信息通信调运检体系和运行人员队伍建设,安全运行各项指标有显著提升,圆满完成了十八大信息安全保障,实现“三个确保八不发生”的目标。

篇9：小企业网络安全入门指南

关注基本的安全措施

小企业必须应对与大企业同样面临的互联网安全威胁，倦通常没有大企业那样充足的预算和人手。近年来，威胁出现了多样化，而且变得更加隐蔽：几年前你担心的是黑客或病毒会导致计算机崩溃，而如今你在蒙受重大经济损失之后才认识到自己的网络遭到了攻击。比方说，你的数据有可能丢失或者被劫持；你、你的同事或客户可能沦为身份盗窃的受害者(即所谓的“肉鸡”)；你的计算机可能被用于分发垃圾邮件或恶意软件。

当然，一旦贵公司发展到一定规模，比如拥有一两百名或更多的员工，最好还是把安全工作交给专业人士，通常是独立承包商或经销商。但如果你为一个工作组或小企业处理安全工作，而且预算紧张，那么还是应该制定及实施自己的安全政策。这或许不用花一分钱，只要你付出了必要的努力，安全政策可能会很有效。谁也不喜欢每个月都更改密码、定期执行备份、查找软件更新程序，但做好这些事有助于尽量减少安全风险。

一些安全组织提供了让你开始上路的实用指南。比方说，互联网安全联盟让注册用户可以免费下载《小企业网络安全常识指南》；你还可以在系统管理、审计、网络和安全协会(SANS Institute)撰写的《网络安全与中小企业》中读到一些相关内容。

这些指南都有类似的核对一览表，附有指示说明。你很可能以前看到过，但重要内容还是值得重复。包括你不常听到、但有助于堵住安全漏洞的内容。

把你的网络与外界连接起来的路由器是一道主要的防线；路由器通常有自己的防火墙。目前的消费级路由器通常还有其他安全功能，所以你应该查看手册，看看路由器提供哪些功能。许多原本很精明的用户常常会忽视一个重要步骤，那就是更改默认的管理员登录设置，以便外人无法轻易改动所有其他设置。(路由器厂商往往会让自己的所有产品使用相同的默认设置。)

如果你使用Wi-Fi，现在就该咬咬牙，使用市面上最好的加密方法：WPA2。如果你使用的笔记本电脑不支持WPA2，就升级至支持该加密方法的笔记本电脑，或者只好完全禁用Wi-Fi。使用有线连接。智能手机也是同样：最近发布的最新手机(包括iPhone)都支持WPA2，你应当放弃在不支持WPA2的旧手机上使用Wi-Fi。

升级至企业级产品

那么，企业级产品可以为你提供消费级产品提供不了的哪些功能呢?不能一概而论，但功能通常可能包括：功能更强的防火墙(随带的高级软件可以进行实时检查，确保数据包的合法性)、额外的反病毒/反间谍软件，反垃圾邮件保护；还有对企业友好的功能，比如VPN支持(那样就能安全地远程访问网络，又不会将网络暴露在入侵者面前)、访客互联网访问(那样造访你办公室的客人不用访问你的内部网络，就能上网)，以及支持多家宽带ISP(万一某家ISP出故障，其他的ISP就会顶上来；要是所有ISP都在正常工作，还可以实现负载均衡)等。

附带提一下VPN支持：这是企业级路由器的一项关键功能，因为许多人希望在家里或在路上时能够访问企业网络。(难道你不愿意让远程员工可以访问防火墙后面的企业数据、而是将文件副本保留在员工有可能丢失的笔记本电脑上吗?)别把企业级路由器上的VPN支持与许多消费级路由器上的VPN直通支持混为一谈，VPN直通支持旨在让家庭用户可以连接到企业VPN；而企业级路由器自己就能建立VPN。比方说，D-Link的DIR-130是一款八端口防火墙路由器。可以为最多25个用户建立VPN访问机制(但它不提供反病毒、反垃圾邮件或其他企业级功能)。

一体化方案

确实能满足所有企业安全要求的路由器被称为统一威胁管理(UTM)设备。这类设备通常除了收取基本硬件价格，还要收取附加授权费，那样才能更新反病毒/反间谍软件，反垃圾邮件软件；许多这类产品，都是根据支持的用户或连接数量来收费的(即使不用支付使用费，也应当查看一下该设备支持多少用户：超过这个数会导致网速大幅下降。)。

你心里可能会想：既然贵企业的个人电脑已经装有对付反病毒软件和反间谍软件，为什么还需要UTM?安全专家表示，网络层多一道保护确实大有好处，特别是当你客户端PC上和UTM设备上的反恶意软件程序来自不同厂商时，更是如此。你应当确定UTM设备厂商与哪些第三方软件开发商成为了合作伙伴；大多数设备厂商都会依赖老牌的反病毒、反垃圾邮件及反间谍软件产品，来确保这些服务的可靠。

安全选择广泛

UTM这类设备最近几年正得到迅猛的发展，供应商数量也与日俱增，既有家庭和小型企业网络公司(如D-Link和Netgear)、也有网络巨头(如思科)，还有以企业级安全设备或软件而家喻户晓的公司(如Check Point和SonicWal])。这些公司大多数都拥有供成长型企业不断发展所需的一系列产品。

这些产品价格差别很大，取决于功能和支持的用户数量。两个例子是：Check Point公司面向小企业的Safe@Office UTM设备有好几款，包括支持5个用户(299美元)、最多支持25个用户(599美元)，或者支持用户数量不限(999美元)。软件更新费是每年79美元。不过如果你主要关注的是一款好的防火墙，又不需要支持多家ISP之类的功能，那么Check Point旗下ZoneAlarm子公司提供的Z100G安全路由器就ok了，它支持802.11 b/g Wi-Fi及最多10个用户，价格为150美元。

与此同时，Netgear的ProSecureUTM设备也有很多可选配制：UTM 10(建议最多支持15个用户)和UTM 25(最多支持30个用户)。UTM 10的起价是550美元，包括一年的软件更新费用以及远程网络管理功能；一年过后。反恶意软件/垃圾邮件服务的订购费为每年175美元。

本文来自 360文秘网(www.360wenmi.com)，转载请保留网址和出处

【公司网络信息安全指南】相关文章：