一、网络运营者
1.1 身份鉴别安全措施
身份鉴别是应用系统与用户建立信任关系、确认操作者身份的过程,应用系统的登录控制模块应做到:
1)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,鉴别信息具有复杂度要求并定期更换。
2)应提供并启用登录失败处理功能,多次登录失败后应采取必要的保护措施。
3)应强制用户首次登录时修改初始口令。
4)用户身份鉴别信息丢失或失效时,应采用鉴别信息重置或其他技术措施保证系统安全。
5)应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别。
1.2 访问控制安全设施
访问控制策略的配置必须由安全管理人员完成,且必须遵循以下几点:
1)应提供访问控制功能,对登录的用户分配账号和权限。
2)应重命名默认账号或修改这些账号的默认口令。
3)应及时删除或停用多余的、过期的账号,避免共享账号的存在。
4)应授予不同账号为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系。
5)应由授权主体配置策略,策略规定主体对客体的访问规则。
6)的粒度应达到主体为用户级,客体为文件或表级、记录或字段级。
7)应对敏感信息资源设置安全标记,并控制主体对有安全标记信息资源的访问。
1.3 安全审计措施
2)需要对审计记录和实时保护,对于审计记录要做到定期备份,
1)应提供安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。
2)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。例如用户的登录成功和失败、用户的修改和重置、用户的信息更改、用户对重要资源的访问和修改、策略的变更等,对于上述事件的记录内容至少要包括事件的日期和时间(由 NTP 产生)、用户名和 IP 地址、事件的类型(登录、配置修改、资源访问)、具体的操作(修改了什么配置、访问了什么资源)以及操作是否成功等。
3)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。保证记录可以保存 6 个月以上的时间,并通过功能防止用户删除、修改、覆盖审计记录或关闭审计。
4)应对审计进程进行保护,防止未经授权的中断。
5)审计记录产生时的时间应由系统范围内唯一确定的时钟产生,以确保审计分析的正确性。
1.4 软件容错安全措施
应用系统应具备一定的容错功能:
1)应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求。对用户输入数据的有效性进行校验,确保用户按照系统规定的格式提交数据,对于非法的或可能损害系统的字符、语句,可以选择过滤、转义或拒绝。
2)应用系统各功能模块对资源的需求等应做到相对独立,在故障发生时,应能够继续提供一部分功能,确保能够实施必要的措施。
3)应提供自动保护功能,当故障发生时自动保护当前所有状态,保证系统能够进行恢复。
1.5 资源控制安全措施
应用系统应具备资源控制功能:
1)当通信双方中的一方在一段时间内未做任何响应,另一方应能够自动结束会话。
2)应能够对系统的最大并发会话连接数进行限制。
3)应能够对单个账号的多重并发会话进行限制。
4)应能够对并发的每个占用的资源分配最大限额。
1.6 数据完整性安全措施
应用系统中通信双方应利用密码对数据进行完整性校验,
1)应采用校验码技术或加解密技术保证重要数据在传输过程中的完整性。
2)应采用校验码技术或加解密技术保证重要数据在存储过程中的完整性。
保证数据在传输过程中不被替换、修改或破坏,对完整性检验错误的数据,应予以丢弃,并触发重发机制,恢复出正确的通信数据并重新发送。同时还应当保证数据在存储过程中不被替换、修改或破坏,例如使用摘要算法对重要文件预先计算摘要值,在使用前重新计算并与原摘要进行比对确保文件完整性,并制定和执行合理的备份策略,从而实现存储完整性被破坏的情况下的数据纠正和恢复。
1.7 数据保密性安全措施
1)应采用加解密技术保证重要数据在传输过程中的保密性。
2)应采用加解密技术保证重要数据在存储过程中的保密性。
1.8 数据备份恢复安全措施
1)应提供重要数据的本地数据备份与恢复功能。重要数据应根据需要定期备份,达到本地数据备份与恢复功能要求。备份方式采取实时备份与异步备份或完全备份与增量备份相结合的方式,根据系统和数据重要程度决定备份周期,在两次完全备份之间合理安排多次增量备份,确保系统恢复点目标(RPO)满足设计要求。
2)应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地。备份光盘、磁盘、磁带介质应选择合适的存放地点,存放在介质柜中,由专人负责备份介质的出入库,并定期进行数据可用性检查和介质盘点。备份数据保存期限应符合国家相关规定和标准并满足系统设计的要求。应为重要信息系统同步规划建设异地备份中心,在实现数据定时批量传送至备份中心的基础上,进一步实现用通信网络将重要数据实时备份至备份中心的更高要求。生产中心到备份中心的网络设备、通信线路和信息系统的硬件应具备较高承载能力,满足实时异地备份对基础环境的较高要求。异地实时备份一般可采用存储技术或虚拟化技术实现存储设备或云平台的实时同步。应对异地备份策略和实施情况定期进行测试验证,确保备份操作有效、数据可用。有条件的情况下,还可以建设灾难备份中心,实现应用级容灾。
3)应提供重要数据处理系统的热冗余,保证系统的高可用性。
1.9 剩余信息保护安全措施
应用系统、和应具备剩余信息保护的功能,剩余信息是指当前用户在登出后仍然留存在系统内存、磁盘中的身份标识、鉴别信息或其他形式的登录凭证,以及敏感数据。
1)应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除。
2)应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。
1.10 个人信息保护安全措施
作为网络运营者,收集、使用,应当遵循合法、正当、必要的原则,公开收集、使用信息的规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意;采取技术措施和其他必要措施,确保其收集的个人,防止、毁损、丢失;未经被收集者同意,不得向他人提供;对于发生或可能发生的情况,应按规定及时向用户和主管部门报告。
1)应仅采集和保存业务必需的用户个人信息。
2)应禁止未授权访问和使用用户个人信息。
二、网络使用者
随着互联网的普及,所有人都在利用网络传递信息,网络渠道成为人们沟通和交流的又一大常用平台。互联网带给大家便利的同时也存在极大隐患,你的个人信息一旦被泄露,后果可想而知。以下这十大常见的网络安全隐患,必须得引起重视。
2.1 微信朋友圈禁止陌生人查看照片
微信用户都知道,“朋友圈” 只有好友才能看和评论你分享的照片。然而它却留有一个隐患,如果 “附近的人” 被启用,即使他不是你的微信好友,你的 10 张照片也会被陌生人查看。很多微信用户并没意识到此隐患会导致个人信息泄露。
如需避免,首先点击 “附近的人” 功能,然后 “清除位置信息并退出”。最后在隐私项,关掉 “允许陌生人看 10 张照片”。
2.2 微博相册、签到、足迹
除了微信,微博也是大家常用的社交工具之一。很多明星大咖都在微博上公开发布个人信息动态,可想它的影响力有多大。
大多数人喜欢在微博上直播旅游照片和个人照片。在晒快乐的同时别忘了保护自己隐私,不要在微博上泄露出游时间、地点等信息。如果要发布的话最好也是对现实好友分组可见。
2.3 公共场所免费网络要慎用
年轻人喜欢去咖啡厅喝喝咖啡,流量不够怎么办,别急,店里有 WIFI。对于公用 WIFI 切记以下两点:
1)使用免费 WiFi 的时候,看准 WiFi 的提供者。
2)在一些公共区域,尽量不使用带有个人帐号和密码信息的软件。
2.4 切勿盲目乱扫二维码
如今,大街小巷随处可见二维码。吃喝玩乐,只需扫一扫即可付钱,甚至还有 “扫一扫有惊喜” 的大量活动。这个时候自己要留个心眼,没有认证的二维码尽量不要扫。
2.5 留心恶意软件
切记不要随意点开网站上的广告,点进去之后若是被恶意软件锁定,那就出大事了。恶意软件会在后台收集你的位置信息、通话记录、电话号码及短信等信息上传至服务器,公布到公网。
2.6 谨防游戏内置收费项目
对于手游玩家来说,不惜任何代价都要玩到第一,因此忽略了其中猫腻。很多扣费代码是内置在游戏中,不用通过用户审核便直接扣费。用户在遭到恶意扣费以后不会收到提示消息,自认倒霉。
2.7 网络购物应谨慎
网络购物一定要核对信息,不要被不法分子钻空子,索取你的银行账号和密码,一定要通过第三方交易平台支付。二则需认真核查卖家信誉度,不要被刷出来的高信誉所迷惑,票据、聊天记录要保存。
2.8 正确使用网银
(1)绝不告诉别人密码,使用 U 盾、绑定手机,手工输入正确网址登录网银。
(2)安装杀毒软件、防火墙并及时升级系统补丁,不要通过超链接或搜索引擎访问银行网站。
2.9 警惕山寨 APP
智能手机的普及,推动移动应用程序的发展。各个软件公司都在开发各种手机 APP,以假乱真扰乱视觉,不知道的就上了当。不少山寨者使用与热门应用相似的名称获利,如同实体品牌狸猫换太子。所以大家在下载 app 的时候一定要看清图标及认证机构。
2.10 购买游戏装备需小心
很多游戏玩家会购买装备增加自己的战斗力,就会涉及网络交易。在此要警惕所谓网上先行支付押金、保证金等情形,要注意核对支付平台或网上银行的相关网址,避免登录钓鱼网站。
以上十点,只是我们在日常生活中常见的网络隐患,可能还有许多不知道网络漏洞潜伏在大家身边。网络对于每个家庭成员包括孩子的生活和学习,都产生了重要影响。网络安全更需要网民们时刻警惕,让不法分子无机可乘。