身份验证和授权管理 身份验证和授权管理 VPN VPN z 创建安全的外围环境。信息是一种资产,对于组织运作来说是不可或缺的。信息以多种形式存在,可以打印或写在纸上,也可以以电子形式存储。或者口头交谈等,无论信息的形式如何,如何共享或存储,都必须得到适当的保护。 z 不限于计算机技术产品。对组织有用的信息是信息资产 信息安全管理体系。
总体管理体系的一部分,基于操作风险计划,用于建立、实施、运行、监督、审查、维护和改进信息安全。确保只有授权人员才能访问信息,避免信息泄露。确保信息不被未经授权的篡改以及信息处理方法的正确性。
确保授权用户可以在需要时访问信息并使用相关资产。
94年~97年
1、完善信息安全响应机制,以服务代替控制,实现24小时内报告机制见效。
1.健全資通安全應變機制,以服務代替管制,達成二十四小時內通報 機制效能
2.建置政府及重要基礎建設之資訊分享及分析中心,提升國家競爭力 3.建立二十四小時監控國家重要基礎建設資安系統,以降低資安威脅
4.建置安全無虞資通環境,確保民眾隱私權益,促進政府e化效能 5.推動資訊安全管理制度之認證達一百家以上,提升資安防護能量
7.增強網路犯罪查緝能力,建立國家級資安鑑識實驗室
8.增強全民資安認知能力,培育專業資安人才,每年培育資安專業人 才達400人以上
9.健全資通安全防護體系,有效遏止駭客入侵
教育部所属机构和各级公办、民办学校信息安全责任分级。两个规范性文件为教育机构建立信息安全管理体系提供了参考。中小学信息安全管理制度实施原则
教育系统信息安全管理标准的制定背景它使各级学校和教育网络中心能够以最低的成本和时间建立严格、适当的信息安全管理系统。未来将配合教育部规划的“教育系统信息安全管理验证”。
教育系统信息安全管理规范设计原则 信息资产分类与管理 信息安全组织 信息安全组织 信息安全政策 信息安全政策。
2)69 (1)約323
1994年,国家信息基础设施产业发展协会以《中小学信息安全管理体系实施原则》为指导,联合产、政、学界信息安全专家,共同关注信息环境的需求和构成。小学和中学。
规划学校单位更容易实施的信息安全操作。提供学校清单,方便学校检查和评估实施情况。策划合适的信息安全管理理念教育培训课程教材,提高员工信息安全理念和意识。
CNS 17800
網路安全 2. 系統安全
学校个人电脑使用的软件必须经过授权。学校应当制定计算机系统的用户注册和退订程序,并通过注册和退订程序控制对用户信息服务的访问。该操作必须包括以下内容: .检查用户是否获得系统管理单位的授权可以使用该信息系统或服务。
用户调动或离职后,应删除对其 ID 的访问权限。定期检查并取消(建议每学期)多余的用户 ID 和帐户。控制用户首次登录系统时必须立即更改。默认密码,默认密码必须有有效期。
信息系统和服务必须避免使用通用账户和密码 学校将向用户发布密码的制定和使用规则 内容必须包括以下内容: 用户必须对个人密码保密的责任。
用户在密码设置中应避免使用容易被猜到的数字或单词,例如生日、姓名、键盘上连续的字母和数字以及过多的重复字符。或者建议使用密码。信息安全事件报告程序应当张贴在校园内使用计算机、网络的场所,为用户提供信息。在工作结束时,所有学校人员必须报告他们处理或使用的机密信息。或者敏感信息(如官方文件、学籍信息等)和数据存储介质(如U盘、磁盘、光盘等)必须妥善保存。
避免重复数字/单位缩写/单词/生日。当计算机或设备不使用时,应采用适当的安全控制措施,确保公共场所无线上网的安全。 z 选择具有加密功能的无线基站。 z 使用认证机制对用户进行认证。工作人员要做好身份管理。 z 如果是高度机密信息,请避免使用无线传输。
使用公共计算机时,请特别注意不要启用记住您的帐户或密码的功能。
APWG: 全球藏有惡意程式網站的前三名國家 2008年3月:美國、俄羅斯、法國
计算机自动关闭或无缘无故重新启动。在未感染病毒的健康计算机上使用防病毒软件扫描有问题的硬盘。报告计算机病毒事件并寻求资源援助。
计算机处理速度变慢或崩溃频率增加 使用网络作为攻击目标 - 文件篡改、拒绝服务攻击、黑客攻击、计算机病毒等。使用计算机或利用计算机的措施 任何人因系统漏洞而侵入他人计算机或相关设备的,可处以三年以下有期徒刑、短期监禁,或者并处处十万元以下罚款。
无故获取、删除或者变更他人计算机或者相关设备的电磁数据,致使公众或者他人受到损害的,处五年以下有期徒刑、拘役或者有期徒刑。最高五年的刑期。处二十万元以下罚款。本文的主要目的是确保计算机中电磁数据的安全。无故以计算机程序或者其他电磁方式干扰他人计算机或者相关设备,造成公众或者他人损害的,处三年以下有期徒刑、拘役、或得或不得科新台币十万元以下罚锾。
犯前三条有关公共机关计算机或相关设备罪者,刑罚减半。创建专门用于实施本章规定的犯罪的计算机程序并将其用于自己或。对于公职人员和非公机构收集、处理和使用个人信息的行为,必须予以明确规范。
为了避免侵犯个人权利(隐私权)并鼓励合理使用个人数据,通过了《计算机处理个人数据保护法》,该法仅限于计算机处理的个人数据。信用报告行业通过计算机收集或处理个人数据的团体或个人,其主要业务是
关于计算机处理个人数据保护法修正案的提案。
