導(dǎo)語：如何才能寫好一篇安全審計(jì)服務(wù)規(guī)范，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

    電子業(yè)務(wù)系統(tǒng)安全審計(jì)體系的研究與建設(shè)

    結(jié)合山東局綜合管理體系建設(shè)要求,首先,對(duì)各業(yè)務(wù)系統(tǒng)從管理者和使用者兩個(gè)層面明確職責(zé),規(guī)定相應(yīng)的口令管理制度、授權(quán)管理制度、系統(tǒng)操作規(guī)程(作業(yè)指導(dǎo)書)等業(yè)務(wù)系統(tǒng)運(yùn)行規(guī)章制度及有關(guān)記錄表格。二是,針對(duì)各業(yè)務(wù)系統(tǒng)制定安全審計(jì)規(guī)范,利用內(nèi)部審計(jì)及外部審計(jì)來評(píng)估業(yè)務(wù)系統(tǒng)安全漏洞,規(guī)劃審計(jì)策略,明確審計(jì)目標(biāo),確定日常安全審計(jì)及集中安全審計(jì)任務(wù)和手段,并對(duì)審計(jì)結(jié)果進(jìn)行評(píng)估分析,制定糾正措施。三是,結(jié)合山東局績效考核管理辦法,將安全審計(jì)結(jié)果納入績效考核,已達(dá)到從制度上約束行為的目的。各電子業(yè)務(wù)系統(tǒng)的開發(fā)應(yīng)按照我們制定的安全審計(jì)規(guī)范要求建立安全審計(jì)模塊,每個(gè)用戶登錄系統(tǒng)、進(jìn)入應(yīng)用,一直到使用各個(gè)應(yīng)用模塊都可以進(jìn)行訪問日志記錄,安全審計(jì)模塊可以調(diào)用日志SDK的API,根據(jù)應(yīng)用規(guī)則來記錄各種日志。日志可以是分為安全日志、系統(tǒng)日志、數(shù)據(jù)變更日志等等可以由系統(tǒng)安全管理人員隨時(shí)調(diào)閱,以達(dá)到安全審計(jì)的目的。針對(duì)業(yè)務(wù)系統(tǒng)具體環(huán)節(jié)分析風(fēng)險(xiǎn)點(diǎn),根據(jù)制定的安全控制規(guī)范,應(yīng)用于各電子業(yè)務(wù)系統(tǒng),開發(fā)安全審計(jì)系統(tǒng),進(jìn)行風(fēng)險(xiǎn)布控、監(jiān)控設(shè)定、自動(dòng)預(yù)警與自動(dòng)核查,對(duì)業(yè)務(wù)系統(tǒng)全過程監(jiān)控。由于目前業(yè)務(wù)系統(tǒng)數(shù)量眾多,數(shù)據(jù)處理不同,進(jìn)行安全審計(jì)系統(tǒng)開發(fā)時(shí)需針對(duì)各業(yè)務(wù)系統(tǒng)進(jìn)行分析歸納,特別是CIQ2000綜合業(yè)務(wù)管理系統(tǒng)作為檢驗(yàn)檢疫電子業(yè)務(wù)的主干系統(tǒng),數(shù)據(jù)處理過程的質(zhì)量決定著業(yè)務(wù)工作的質(zhì)量,我們首先從CIQ2000業(yè)務(wù)管理系統(tǒng)入手試點(diǎn),對(duì)CIQ2000綜合業(yè)務(wù)管理系統(tǒng)實(shí)施全過程監(jiān)控,監(jiān)控賬戶的合法性、權(quán)限的合理性、登錄及操作行為的可追溯性、數(shù)據(jù)修改的安全性等,對(duì)用戶行為實(shí)施有效監(jiān)督、約束,規(guī)范行為,保證工作質(zhì)量。對(duì)CIQ2000綜合業(yè)務(wù)系統(tǒng)進(jìn)行安全審計(jì)主要分以下幾方面:1)用戶操作行為日志審查常規(guī)監(jiān)測(cè)及時(shí)收集和分析CIQ2000系統(tǒng)本身提供的系統(tǒng)登錄、業(yè)務(wù)操作、流程控制、權(quán)限等信息,通過設(shè)定邏輯嚴(yán)密、科學(xué)合理的審計(jì)規(guī)則,根據(jù)用戶登錄時(shí)間、狀態(tài)和業(yè)務(wù)操作記錄等數(shù)據(jù),發(fā)現(xiàn)異常登錄和非法操作,在系統(tǒng)界面進(jìn)行展示,并形成報(bào)表。特殊監(jiān)測(cè)根據(jù)業(yè)務(wù)和系統(tǒng)管理需要,對(duì)特殊時(shí)間段、特殊業(yè)務(wù)操作進(jìn)行特殊監(jiān)測(cè),通過觸發(fā)器收集關(guān)鍵業(yè)務(wù)對(duì)象、關(guān)鍵數(shù)據(jù)的變更情況,記錄操作人的登錄信息和操作信息。如對(duì)關(guān)鍵業(yè)務(wù)數(shù)據(jù)的操作及修改過程(如計(jì)收費(fèi)數(shù)據(jù)的修改、不合格結(jié)果登記修改為合格結(jié)果登記、未經(jīng)檢務(wù)操作擅自添加證書、攔截?cái)?shù)據(jù)人工干預(yù)放行等)進(jìn)行過程記錄。2)用戶密碼審查根據(jù)制訂的密碼審計(jì)規(guī)則,自動(dòng)檢查指定機(jī)構(gòu)下的用戶及密碼,查找密碼為空或者密碼設(shè)置不符合安全規(guī)范的用戶,在系統(tǒng)界面展示并可形成報(bào)表。3)重復(fù)用戶檢查根據(jù)同一用戶在統(tǒng)一機(jī)構(gòu)下不得同時(shí)擁有兩個(gè)可以同時(shí)使用的用戶賬號(hào)原則,自動(dòng)檢查指定機(jī)構(gòu)下的用戶,檢查是否在同一機(jī)構(gòu)具有同時(shí)在崗的重名用戶。4)用戶權(quán)限檢查自動(dòng)檢查指定機(jī)構(gòu)下的用戶及使用權(quán)限,查找具有分配全業(yè)務(wù)流程的用戶,也可查找具有指定權(quán)限的用戶。5)安全事件警告根據(jù)對(duì)業(yè)務(wù)系統(tǒng)各關(guān)鍵環(huán)節(jié)和關(guān)鍵對(duì)象數(shù)據(jù)的采集和分析,對(duì)可能存在信息安全隱患的環(huán)節(jié)給予相應(yīng)級(jí)別的告警。告警方式包括:界面查看、短信預(yù)警、郵件預(yù)警。6)系統(tǒng)服務(wù)用戶管理選項(xiàng)設(shè)置安全審計(jì)告警策略安全事件確認(rèn)審計(jì)對(duì)象配置助手對(duì)于以上審計(jì)內(nèi)容,通過布控,可以實(shí)現(xiàn)實(shí)時(shí)監(jiān)控,發(fā)現(xiàn)違規(guī)操作及時(shí)報(bào)警,也可以進(jìn)行統(tǒng)計(jì)查詢、數(shù)據(jù)分析,防患于未然。通過安全審計(jì)系統(tǒng)的運(yùn)行,特別是對(duì)CIQ2000綜合業(yè)務(wù)管理系統(tǒng)的安全審計(jì),發(fā)現(xiàn)高風(fēng)險(xiǎn)監(jiān)控點(diǎn),進(jìn)一步對(duì)體系進(jìn)行驗(yàn)證完善,通過兩方面的互補(bǔ),保證業(yè)務(wù)系統(tǒng)的安全合規(guī)運(yùn)行。通過以上步驟,制定我局電子業(yè)務(wù)系統(tǒng)安全審計(jì)規(guī)范并正式下發(fā)執(zhí)行,建立檢驗(yàn)檢疫電子業(yè)務(wù)系統(tǒng)安全審計(jì)體系。并通過CIQ2000綜合業(yè)務(wù)安全審計(jì)系統(tǒng)應(yīng)用實(shí)例進(jìn)行驗(yàn)證優(yōu)化,并以此成功案例進(jìn)行推廣、全面開展對(duì)山東局電子業(yè)務(wù)安全審計(jì)系統(tǒng)的建設(shè)與發(fā)展。

    電子業(yè)務(wù)系統(tǒng)安全審計(jì)體系研究技術(shù)方面

    電子業(yè)務(wù)安全審計(jì)系統(tǒng)建設(shè)技術(shù)方面1)使用統(tǒng)一開發(fā)平臺(tái)的UIP-SDP框架開發(fā)。該框架提供輕量級(jí)的框架,框架遵照MVC的通用設(shè)計(jì)模式;采用面向服務(wù)體系結(jié)構(gòu)(SOA)及組件化的設(shè)計(jì)思想,便于系統(tǒng)的復(fù)用和集成;包含大量公共的、實(shí)用性的組件和控件,并且提供了一般業(yè)務(wù)系統(tǒng)底層的最基本模塊,可以輕松集成到業(yè)務(wù)系統(tǒng)之中。2)框架提供了通用的前后臺(tái)校驗(yàn)機(jī)制、統(tǒng)一的分頁處理、基于AJAX的局部刷新功能、多文件上載的功能、基于數(shù)字證書的認(rèn)證方式、靈活、實(shí)用的規(guī)則引擎、基于配置的任務(wù)調(diào)度功能、基于配置的事務(wù)處理、統(tǒng)一的日志管理、方便快捷的單元測(cè)試、子模塊基于XML的單獨(dú)配置3)系統(tǒng)由數(shù)據(jù)采集層、事件管理層、運(yùn)行管理層構(gòu)成。山東檢驗(yàn)檢疫電子業(yè)務(wù)系統(tǒng)安全審計(jì)體系(圖略)。電子業(yè)務(wù)安全審計(jì)系統(tǒng)建設(shè)技術(shù)規(guī)范方面采用標(biāo)準(zhǔn)的Linux、Unix操作系統(tǒng)建立基礎(chǔ)平臺(tái)采用統(tǒng)一的Oracle數(shù)據(jù)庫建立數(shù)據(jù)中心平臺(tái)采用先進(jìn)的軟件工程設(shè)計(jì)方法,滿足系統(tǒng)的先進(jìn)性、可靠性、可伸縮性、可擴(kuò)展性復(fù)雜的商業(yè)規(guī)則的實(shí)現(xiàn)集中由應(yīng)用服務(wù)器實(shí)現(xiàn),可隨業(yè)務(wù)量增長而輕松擴(kuò)展采用流行的B/S架構(gòu),實(shí)現(xiàn)零客戶端采用先進(jìn)AJAX、WebService技術(shù)采用XML技術(shù),規(guī)范信息交換格式和數(shù)據(jù)交換流程采用統(tǒng)一的消息中間件實(shí)現(xiàn)數(shù)據(jù)交換可以采用CA認(rèn)證及SSL128位加密技術(shù),確保通訊的安全性4結(jié)論通過建設(shè)安全審計(jì)體系建設(shè),可以從制度上規(guī)范行為;審計(jì)系統(tǒng)的開發(fā)運(yùn)行可以利用技術(shù)手段實(shí)現(xiàn)業(yè)務(wù)監(jiān)控、工作質(zhì)量稽查及用戶行為審計(jì),自動(dòng)查找違規(guī)現(xiàn)象,及時(shí)通知相關(guān)單位整改,以查促管,防患于未然;審計(jì)的結(jié)果反過來促進(jìn)制度的建設(shè),最終保證檢驗(yàn)檢疫業(yè)務(wù)的正常運(yùn)轉(zhuǎn)。

篇2

[關(guān)鍵詞]信息安全審計(jì)；審計(jì)應(yīng)用；審計(jì)實(shí)現(xiàn) ；APP

doi：10.3969/j.issn.1673 - 0194.2015.08.012

[中圖分類號(hào)]TP393.08 [文獻(xiàn)標(biāo)識(shí)碼]A [文章編號(hào)]1673-0194（2015）08-0019-01

近年來，隨著辦公業(yè)務(wù)對(duì)手機(jī)軟件相關(guān)信息系統(tǒng)的依賴越來越高，APP應(yīng)用軟件信息系統(tǒng)存在的風(fēng)險(xiǎn)對(duì)業(yè)務(wù)的潛在影響也越來越大。解決針對(duì)業(yè)務(wù)信息內(nèi)容的篡改操作行為的監(jiān)控管理的問題，必須要有一種有效的安全技術(shù)手段對(duì)內(nèi)部員工、運(yùn)行維護(hù)人員以及第三方人員的上網(wǎng)行為、內(nèi)網(wǎng)行為、操作行為等進(jìn)行有效的監(jiān)控和管理，并對(duì)其行為趨勢(shì)進(jìn)行分析和總結(jié)。

1 APP應(yīng)用信息安全審計(jì)定義

為了APP應(yīng)用信息系統(tǒng)的安全、可靠與有效，由獨(dú)立于審計(jì)對(duì)象的IT審計(jì)師，以第三方的客觀立場(chǎng)對(duì)以計(jì)算機(jī)為核心的信息系統(tǒng)進(jìn)行綜合的檢查與評(píng)價(jià)，向IT審計(jì)對(duì)象的最高領(lǐng)導(dǎo)，提出問題與建議的一連串的活動(dòng)稱為IT審計(jì)。IT審計(jì)就是信息系統(tǒng)審計(jì)，也稱IT監(jiān)查。

2 APP應(yīng)用信息安全審計(jì)的實(shí)現(xiàn)

要實(shí)現(xiàn)APP應(yīng)用信息安全審計(jì)，保障計(jì)算機(jī)信息系統(tǒng)中信息的機(jī)密性、完整性、可控性、可用性和不可否認(rèn)性（抗抵賴），需要對(duì)計(jì)算機(jī)信息系統(tǒng)中的所有網(wǎng)絡(luò)資源（包括數(shù)據(jù)庫、主機(jī)、操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等）進(jìn)行安全審計(jì)，記錄所有發(fā)生的事件，提供給系統(tǒng)管理員作為系統(tǒng)維護(hù)以及安全防范的依據(jù)。

2.1 合規(guī)性審計(jì)

做到有效控制IT風(fēng)險(xiǎn)，尤其是操作風(fēng)險(xiǎn)，對(duì)業(yè)務(wù)的安全運(yùn)營至關(guān)重要。因此，合規(guī)性審計(jì)成為被行業(yè)推崇的有效方法。安全合規(guī)性審計(jì)指在建設(shè)與運(yùn)行IT系統(tǒng)中的過程是否符合相關(guān)的法律、標(biāo)準(zhǔn)、規(guī)范、文件精神的要求一種檢測(cè)方法。這作為風(fēng)險(xiǎn)控制的主要內(nèi)容之一，是檢查安全策略落實(shí)情況的一種手段。

2.2 日志審計(jì)

基于日志的安全審計(jì)技術(shù)是通過SNMP、SYSLOG或者其他的日志接口從網(wǎng)絡(luò)設(shè)備、主機(jī)服務(wù)器、用戶終端、數(shù)據(jù)庫、應(yīng)用系統(tǒng)和網(wǎng)絡(luò)安全設(shè)備中收集日志，對(duì)收集的日志進(jìn)行格式標(biāo)準(zhǔn)化、統(tǒng)一分析和報(bào)警，并形成多種格式和類型的審計(jì)報(bào)表。

2.3 網(wǎng)絡(luò)行為審計(jì)

基于網(wǎng)絡(luò)技術(shù)的安全審計(jì)是通過旁路和串接的方式實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)數(shù)據(jù)包的捕獲，進(jìn)行協(xié)議分析和還原，可達(dá)到審計(jì)服務(wù)器、用戶終端、數(shù)據(jù)庫、應(yīng)用系統(tǒng)的安全漏洞，審計(jì)合法、非法或入侵操作，監(jiān)控上網(wǎng)行為和內(nèi)容，監(jiān)控用戶非工作行為等目的。網(wǎng)絡(luò)行為審計(jì)更偏重于網(wǎng)絡(luò)行為，具備部署簡單等優(yōu)點(diǎn)。

2.4 主機(jī)審計(jì)

主機(jī)安全審計(jì)是通過在主機(jī)服務(wù)器、用戶終端、數(shù)據(jù)庫或其他審計(jì)對(duì)象中安裝客戶端的方式來進(jìn)行審計(jì)，可達(dá)到審計(jì)安全漏洞、審計(jì)合法和非法或入侵操作、監(jiān)控上網(wǎng)行為和內(nèi)容以及向外拷貝文件行為、監(jiān)控用戶非法行為等目的。主機(jī)審計(jì)包括主機(jī)的漏洞掃描產(chǎn)品、主機(jī)防火墻和主機(jī)IDS/IPS的安全審計(jì)功能、主機(jī)上網(wǎng)和上機(jī)行為監(jiān)控、終端管理等類型的產(chǎn)品。

2.5 應(yīng)用系統(tǒng)審計(jì)

應(yīng)用系統(tǒng)安全審計(jì)是對(duì)用戶在業(yè)務(wù)應(yīng)用過程中的登錄、操作、退出的一切行為通過內(nèi)部截取和跟蹤等相關(guān)方式進(jìn)行監(jiān)控和詳細(xì)記錄，并對(duì)這些記錄按時(shí)間段、地址段、用戶、操作命令、操作內(nèi)容等分別進(jìn)行審計(jì)。

2.6 集中操作運(yùn)維審計(jì)

集中操作運(yùn)維審計(jì)側(cè)重于對(duì)網(wǎng)絡(luò)設(shè)備、服務(wù)器、安全設(shè)備、數(shù)據(jù)庫的運(yùn)行維護(hù)過程中的風(fēng)險(xiǎn)審計(jì)。

運(yùn)維審計(jì)的方式不同于其他審計(jì)，尤其是維護(hù)人員為了安全的要求，開始大量采用加密方式，如遠(yuǎn)程桌面協(xié)議（Remote Desktop Protocol，RDP）、SSL等，加密口令在連接建立的時(shí)候動(dòng)態(tài)生成，一般的針對(duì)網(wǎng)絡(luò)行為進(jìn)行審計(jì)的技術(shù)是無法實(shí)現(xiàn)的。

3 審計(jì)系統(tǒng)的實(shí)現(xiàn)

通過對(duì)6類審計(jì)產(chǎn)品的綜合應(yīng)用，可以形成較完備的APP應(yīng)用信息系統(tǒng)安全審計(jì)應(yīng)用系統(tǒng)，對(duì)整個(gè)網(wǎng)絡(luò)與信息系統(tǒng)中的網(wǎng)絡(luò)、主機(jī)、應(yīng)用系統(tǒng)、數(shù)據(jù)庫及安全設(shè)備等進(jìn)行安全審計(jì)，且可以支持分布式跨網(wǎng)審計(jì)，并進(jìn)行集中統(tǒng)一管理，達(dá)到對(duì)審計(jì)數(shù)據(jù)綜合的統(tǒng)計(jì)與分析，更有效地防御外部的入侵和內(nèi)部的非法違規(guī)操作，最終起到保護(hù)信息和資源的作用。

參考網(wǎng)絡(luò)與信息系統(tǒng)安全審計(jì)應(yīng)用模型，企業(yè)既可以采取單項(xiàng)逐一建設(shè)方式，也可以采用多項(xiàng)綜合建設(shè)方式建立內(nèi)部審計(jì)應(yīng)用系統(tǒng)。對(duì)于擁有分（子）公司且不在同一地區(qū)的企業(yè)，也可以通過城域網(wǎng)絡(luò)把多個(gè)分（子）公司統(tǒng)一起來，進(jìn)行集中建設(shè)，統(tǒng)一管理。

4 結(jié) 論

通過整合市面上多種不同類型的審計(jì)產(chǎn)品，按照網(wǎng)絡(luò)與信息系統(tǒng)安全審計(jì)應(yīng)用模型，采用“統(tǒng)一規(guī)劃、分步實(shí)施”的方式，可以在企業(yè)內(nèi)部建立起嚴(yán)格監(jiān)控的網(wǎng)絡(luò)與信息系統(tǒng)安全審計(jì)應(yīng)用平臺(tái)，提升企業(yè)信息化日常運(yùn)維及操作的安全性。

主要參考文獻(xiàn)

[1]胡克瑾.IT審計(jì)[M].北京：電子工業(yè)出版社，2002.

篇3

【關(guān)鍵詞】計(jì)算機(jī)信息系統(tǒng);安全

隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)通信技術(shù)的飛速發(fā)展，計(jì)算機(jī)信息系統(tǒng)規(guī)模的不斷擴(kuò)大，成為了一個(gè)龐大的復(fù)雜系統(tǒng)。而信息的共享程度越來越高，使系統(tǒng)安全涉及的技術(shù)面非常廣，保密性、完整性、真實(shí)性和可用性，使我國的計(jì)算機(jī)信息系統(tǒng)安全體系必須建立統(tǒng)一的框架和實(shí)施標(biāo)準(zhǔn)。

1動(dòng)態(tài)縱深防御安全體系模型

1．1計(jì)算機(jī)信息系統(tǒng)安全發(fā)展

計(jì)算機(jī)信息系統(tǒng)安全涉及的技術(shù)面非常廣，其中3D安全框架是一個(gè)通用的框架，它提出了一個(gè)概念性的框架，涉及ISO/OSI的七個(gè)協(xié)議層次，應(yīng)用安全平臺(tái)等都是重要的安全“零部件”，是一個(gè)立體的、多方位、多層次的系統(tǒng)問題，但并不是簡單地將它們疊加在一起。隨著網(wǎng)絡(luò)的深入發(fā)展，三維計(jì)算機(jī)信息系統(tǒng)不能完全適應(yīng)動(dòng)態(tài)變化的網(wǎng)絡(luò)環(huán)境，提出了PZDR動(dòng)態(tài)模型，比傳統(tǒng)靜態(tài)安全方案有突破性提高，其中引進(jìn)了時(shí)間的概念，特點(diǎn)就是動(dòng)態(tài)性和基于時(shí)間的特性，但它忽略了內(nèi)在的變化因素。這樣，又提出了信息保障技術(shù)框架概念，對(duì)信息基礎(chǔ)設(shè)施進(jìn)行“深層防御策略”，提供了強(qiáng)健性策略描述，把信息的價(jià)值劃分成5級(jí)，對(duì)無線應(yīng)用的安全保障方面不足。目前國內(nèi)外相繼提出了很多安全標(biāo)準(zhǔn)，比如美國TcsEc(桔皮書)，歐洲ITSEC，加拿大CTCPEC，聯(lián)合公共準(zhǔn)則(C)C等，現(xiàn)有標(biāo)準(zhǔn)/規(guī)范己經(jīng)相當(dāng)細(xì)致和深入，但仍有不盡人意的地方，比如有些屬于特定行業(yè)規(guī)范，有些標(biāo)準(zhǔn)/規(guī)范側(cè)重于系統(tǒng)安全的某個(gè)方面，未包含行政管理安全的評(píng)價(jià)準(zhǔn)則等，沒有針對(duì)廣泛存在和應(yīng)用的網(wǎng)絡(luò)環(huán)境安全等，因此，分析計(jì)算機(jī)信息系統(tǒng)安全體系，可以推動(dòng)我國信息安全產(chǎn)業(yè)的發(fā)展。

1．2動(dòng)態(tài)縱深防御安全體系模型

在設(shè)計(jì)安全體系時(shí)，安全組件必須根據(jù)需要分層次、分布式部署，安全體系應(yīng)貫徹積極防御的思想，功能模塊應(yīng)構(gòu)成一個(gè)閉環(huán)的動(dòng)態(tài)控制系統(tǒng)，當(dāng)系統(tǒng)遭到破壞時(shí)能及時(shí)進(jìn)行恢復(fù)。安全組件之間能夠協(xié)同作戰(zhàn)，隨時(shí)處置可能出現(xiàn)的黑客或病毒攻擊，進(jìn)行安全組件的組合與集成。安全體系模型應(yīng)從多方面考慮，對(duì)安全域劃分出不同安全防護(hù)層次，以安全域和安全防護(hù)層次實(shí)現(xiàn)縱深防御，配置入侵檢測(cè)系統(tǒng)、脆弱性分析系統(tǒng)等，在設(shè)計(jì)時(shí)應(yīng)首先考慮邏輯層次的劃分，根據(jù)信息的安全級(jí)別和服務(wù)的重要性來劃分，安全域的劃分不改變系統(tǒng)的任何部分，每個(gè)安全域可按物理或邏輯位置的不同劃分，保護(hù)計(jì)算環(huán)境的安全目標(biāo)。在安全策略的指導(dǎo)下，依靠技術(shù)進(jìn)行操作。明確系統(tǒng)可能出現(xiàn)的安全事件，引進(jìn)“風(fēng)險(xiǎn)分析”概念，強(qiáng)調(diào)信息安全技術(shù)的綜合使用，將安全風(fēng)險(xiǎn)降低到預(yù)期的范圍內(nèi)。人員素質(zhì)是信息安全體系的基石，應(yīng)努力提高人員的安全意識(shí)，各部門要遵守的規(guī)范及應(yīng)負(fù)的責(zé)任，提供一個(gè)集成的安全管理環(huán)境，使得安全部件之間能夠協(xié)同作戰(zhàn)，風(fēng)險(xiǎn)分析是有效保證信息安全的前提條件，大規(guī)模減少安全管理員的手工勞動(dòng)，避免非法攻擊的進(jìn)行。

2計(jì)算機(jī)信息系統(tǒng)安全

安全分析的目的是為不同安全需求的用戶，在普通計(jì)算機(jī)信息系統(tǒng)、安全系統(tǒng)間建立聯(lián)系，為滿足不同的用戶安全需求，根據(jù)數(shù)據(jù)在丟失、破壞及泄露時(shí)的不同影響，提出相對(duì)應(yīng)的安全保障級(jí)別的概念，根據(jù)信息類別和威脅級(jí)別的定義，選擇安全防護(hù)機(jī)制及技術(shù)，為不同安全要求的用戶提供解決方案。確定系統(tǒng)中的信息和服務(wù)的用途，概括計(jì)算機(jī)信息系統(tǒng)的業(yè)務(wù)流程，將計(jì)算機(jī)信息系統(tǒng)劃分成不同的安全域，當(dāng)威脅和策略都確定后，通過評(píng)價(jià)每一種威脅成功實(shí)施的可能性，需要制定相應(yīng)的安全目的。安全功能應(yīng)清晰地表達(dá)，每種安全產(chǎn)品都有一組安全功能，在計(jì)算機(jī)信息系統(tǒng)安全需求分析中，應(yīng)以表的形式將安全目的分配，并應(yīng)適于對(duì)抗所有已知的威脅，安全功能的強(qiáng)度要符合相應(yīng)的保障級(jí)別，并通過文檔化的形式單獨(dú)列出安全制度。

3安全設(shè)計(jì)

安全管理是安全體系的保障，建立并保持文件化的安全管理體系，這與安全技術(shù)和安全策略密切相關(guān)，相應(yīng)技術(shù)要求包括防火墻、服務(wù)器、路由器等。防火墻主要有包過濾防火墻和應(yīng)用級(jí)防火墻，路由器是一類專用的網(wǎng)絡(luò)設(shè)備，網(wǎng)絡(luò)服務(wù)器以各種服務(wù)為基礎(chǔ)。安全檢測(cè)系統(tǒng)控制的充分程度，它包括自動(dòng)響應(yīng)的分級(jí)要求。安全審計(jì)數(shù)據(jù)產(chǎn)生的分級(jí)要求都必須包括用戶自主選擇，能生成實(shí)時(shí)報(bào)警信息，使用身份鑒別機(jī)制，審計(jì)記錄應(yīng)包含客體名及客體的安全級(jí)別;安全審計(jì)分析的分級(jí)要求應(yīng)能用一系列規(guī)則去監(jiān)控審計(jì)事件，應(yīng)維護(hù)用戶所具有的質(zhì)疑等級(jí)，檢測(cè)對(duì)安全功能實(shí)施有重大威脅的簽名事件;安全審計(jì)查閱的分級(jí)要求提供從審計(jì)記錄中讀取信息的能力，提供從審計(jì)記錄中讀取信息的能力，選擇要查閱的審計(jì)數(shù)據(jù)的功能;安全審計(jì)事件存儲(chǔ)的分級(jí)要求審計(jì)蹤跡的存儲(chǔ)受到應(yīng)有的保護(hù);網(wǎng)絡(luò)環(huán)境安全審計(jì)的分級(jí)要求建立分布式安全審計(jì)系統(tǒng)，實(shí)時(shí)收集各安全程序的審計(jì)信息，設(shè)置跨平臺(tái)的安全審計(jì)機(jī)制，給出智能化審計(jì)報(bào)告及趨向報(bào)告。防止計(jì)算機(jī)和網(wǎng)絡(luò)病毒的入侵，嚴(yán)格控制各種外來介質(zhì)的使用，應(yīng)設(shè)置病毒管理中心，應(yīng)將防病毒與網(wǎng)絡(luò)管理相結(jié)合，阻止病毒的擴(kuò)散和傳播。提供數(shù)據(jù)加解密和密鑰管理，確定相應(yīng)的密碼分級(jí)，應(yīng)對(duì)不同級(jí)別的密鑰實(shí)施不同管理。

參考文獻(xiàn):

［1］段云所，陳鐘．信息網(wǎng)絡(luò)安全目標(biāo)、技術(shù)和方法［J］．網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2001(01)．

［2］胡華平，黃遵國，龐立會(huì)．網(wǎng)絡(luò)安全縱深防御與保障體系［J］．計(jì)算機(jī)工程與科學(xué)，2002(6)．

［3］胡華平，陳海濤，黃辰林．入侵檢測(cè)系統(tǒng)的研究現(xiàn)狀與發(fā)展趨勢(shì)［J］．計(jì)算機(jī)工程與科學(xué)，2001，23(02)．

［4］GA/TT389－2002．計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)數(shù)據(jù)庫管理系統(tǒng)技術(shù)要求［S］．2006．

篇4

1利用網(wǎng)絡(luò)及安全治理的漏洞窺探用戶口令或電子帳號(hào)，冒充合法用戶作案，篡改磁性介質(zhì)記錄竊取資產(chǎn)。

2利用網(wǎng)絡(luò)遠(yuǎn)距離竊取企業(yè)的商業(yè)秘密以換取錢財(cái)，或利用網(wǎng)絡(luò)傳播計(jì)算機(jī)病毒以破壞企業(yè)的信息系統(tǒng)。

3建立在計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)上的電子商貿(mào)使貿(mào)易趨向“無紙化”，越來越多的經(jīng)濟(jì)業(yè)務(wù)的原始記錄以電子憑證的方式存在和傳遞。不法之徒通過改變電子貨幣帳單、銀行結(jié)算單及其它帳單，就有可能將公私財(cái)產(chǎn)的所有權(quán)進(jìn)行轉(zhuǎn)移。

計(jì)算機(jī)網(wǎng)絡(luò)帶來會(huì)計(jì)系統(tǒng)的開放與數(shù)據(jù)共享，而開放與共享的基礎(chǔ)則是安全。企業(yè)一方面通過網(wǎng)絡(luò)開放自己，向全世界推銷自己的形象和產(chǎn)品，實(shí)現(xiàn)電子貿(mào)易、電子信息交換，但也需要守住自己的商業(yè)秘密、治理秘密和財(cái)務(wù)秘密，而其中已實(shí)現(xiàn)了電子化且具有貨幣價(jià)值的會(huì)計(jì)秘密、理財(cái)秘密是最重要的。我們有必要為它創(chuàng)造一個(gè)安全的環(huán)境，抵抗來自系統(tǒng)內(nèi)外的各種干擾和威協(xié)，做到該開放的放開共享，該封閉的要讓黑客無奈。

一、網(wǎng)絡(luò)安全審計(jì)及基本要素

安全審計(jì)是一個(gè)新概念，它指由專業(yè)審計(jì)人員根據(jù)有關(guān)的法律法規(guī)、財(cái)產(chǎn)所有者的委托和治理當(dāng)局的授權(quán)，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境下的有關(guān)活動(dòng)或行為進(jìn)行系統(tǒng)的、獨(dú)立的檢查驗(yàn)證，并作出相應(yīng)評(píng)價(jià)。

沒有網(wǎng)絡(luò)安全，就沒有網(wǎng)絡(luò)世界。任何一個(gè)建立網(wǎng)絡(luò)環(huán)境計(jì)算機(jī)會(huì)計(jì)系統(tǒng)的機(jī)構(gòu)，都會(huì)對(duì)系統(tǒng)的安全提出要求，在運(yùn)行和維護(hù)中也都會(huì)從自己的角度對(duì)安全作出安排。那么系統(tǒng)是否安全了呢？這是一般人心中無數(shù)也最不放心的問題。應(yīng)該肯定，一個(gè)系統(tǒng)運(yùn)行的安全與否，不能單從雙方當(dāng)事人的判定作出結(jié)論，而必須由第三方的專業(yè)審計(jì)人員通過審計(jì)作出評(píng)價(jià)。因?yàn)榘踩珜徲?jì)人員不但具有專門的安全知識(shí)，而且具有豐富的安全審計(jì)經(jīng)驗(yàn)，只有他們才能作出客觀、公正、公平和中立的評(píng)價(jià)。

安全審計(jì)涉及四個(gè)基本要素：控制目標(biāo)、安全漏洞、控制措施和控制測(cè)試。其中，控制目標(biāo)是指企業(yè)根據(jù)詳細(xì)的計(jì)算機(jī)應(yīng)用，結(jié)合單位實(shí)際制定出的安全控制要求。安全漏洞是指系統(tǒng)的安全薄弱環(huán)節(jié)，容易擾或破壞的地方。控制措施是指企業(yè)為實(shí)現(xiàn)其安全控制目標(biāo)所制定的安全控制技術(shù)、配置方法及各種規(guī)范制度?？刂茰y(cè)試是將企業(yè)的各種安全控制措施與預(yù)定的安全標(biāo)準(zhǔn)進(jìn)行一致性比較，確定各項(xiàng)控制措施是否存在、是否得到執(zhí)行、對(duì)漏洞的防范是否有效，評(píng)價(jià)企業(yè)安全措施的可依賴程度。顯然，安全審計(jì)作為一個(gè)專門的審計(jì)項(xiàng)目，要求審計(jì)人員必須具有較強(qiáng)的專業(yè)技術(shù)知識(shí)與技能。

安全審計(jì)是審計(jì)的一個(gè)組成部分。由于計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境的安全將不僅涉及國家安危，更涉及到企業(yè)的經(jīng)濟(jì)利益。因此，我們認(rèn)為必須迅速建立起國家、社會(huì)、企業(yè)三位一體的安全審計(jì)體系。其中，國家安全審計(jì)機(jī)關(guān)應(yīng)依據(jù)國家法律，非凡是針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)本身的各種安全技術(shù)要求，對(duì)廣域網(wǎng)上企業(yè)的信息安全實(shí)施年審制。另外，應(yīng)該發(fā)展社會(huì)中介機(jī)構(gòu)，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境的安全提供審計(jì)服務(wù)，它與會(huì)計(jì)師事務(wù)所、律師事務(wù)所一樣，是社會(huì)對(duì)企業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全作出評(píng)價(jià)的機(jī)構(gòu)。當(dāng)企業(yè)治理當(dāng)局權(quán)衡網(wǎng)絡(luò)系統(tǒng)所帶來的潛在損失時(shí)，他們需要通過中介機(jī)構(gòu)對(duì)安全性作出檢查和評(píng)價(jià)。此外財(cái)政、財(cái)務(wù)審計(jì)也離不開網(wǎng)絡(luò)安全專家，他們對(duì)網(wǎng)絡(luò)的安全控制作出評(píng)價(jià)，幫助注冊(cè)會(huì)計(jì)師對(duì)相應(yīng)的信息處理系統(tǒng)所披露信息的真實(shí)性、可靠性作出正確判定。

二、網(wǎng)絡(luò)安全審計(jì)的程序安全

審計(jì)程序是安全監(jiān)督活動(dòng)的詳細(xì)規(guī)程，它規(guī)定安全審計(jì)工作的詳細(xì)內(nèi)容、時(shí)間安排、詳細(xì)的審計(jì)方法和手段。與其它審計(jì)一樣，安全審計(jì)主要包括三個(gè)階段：審計(jì)預(yù)備階段、實(shí)施階段以及終結(jié)階段。

安全審計(jì)預(yù)備階段需要了解審計(jì)對(duì)象的詳細(xì)情況、安全目標(biāo)、企業(yè)的制度、結(jié)構(gòu)、一般控制和應(yīng)用控制情況，并對(duì)安全審計(jì)工作制訂出詳細(xì)的工作計(jì)劃。在這一階段，審計(jì)人員應(yīng)重點(diǎn)確定審計(jì)對(duì)象的安全要求、審計(jì)重點(diǎn)、可能的漏洞及減少漏洞的各種控制措施。

1了解企業(yè)網(wǎng)絡(luò)的基本情況。例如，應(yīng)該了解企業(yè)內(nèi)部網(wǎng)的類型、局域網(wǎng)之間是否設(shè)置了單向存取限制、企業(yè)網(wǎng)與Internet的聯(lián)接方式、是否建立了虛擬專用網(wǎng)（VPN）？

2了解企業(yè)的安全控制目標(biāo)。安全控制目標(biāo)一般包括三個(gè)方面：第一，保證系統(tǒng)的運(yùn)轉(zhuǎn)正常，數(shù)據(jù)的可靠完整；第二，保障數(shù)據(jù)的有效備份與系統(tǒng)的恢復(fù)能力；第三，對(duì)系統(tǒng)資源使用的授權(quán)與限制。當(dāng)然安全控制目標(biāo)因企業(yè)的經(jīng)營性質(zhì)、規(guī)模的大小以及治理當(dāng)局的要求而有所差異。

3了解企業(yè)現(xiàn)行的安全控制情況及潛在的漏洞。審計(jì)人員應(yīng)充分取得目前企業(yè)對(duì)網(wǎng)絡(luò)環(huán)境的安全保密計(jì)劃，了解所有有關(guān)的控制對(duì)上述的控制目標(biāo)的實(shí)現(xiàn)情況，系統(tǒng)還有哪些潛在的漏洞。

安全審計(jì)實(shí)施階段的主要任務(wù)是對(duì)企業(yè)現(xiàn)有的安全控制措施進(jìn)行測(cè)試，以明確企業(yè)是否為安全采取了適當(dāng)?shù)目刂拼胧@些措施是否發(fā)揮著作用。審計(jì)人員在實(shí)施環(huán)節(jié)應(yīng)充分利用各種技術(shù)工具產(chǎn)品，如網(wǎng)絡(luò)安全測(cè)試產(chǎn)品、網(wǎng)絡(luò)監(jiān)視產(chǎn)品、安全審計(jì)分析器。

安全審計(jì)終結(jié)階段應(yīng)對(duì)企業(yè)現(xiàn)存的安全控制系統(tǒng)作出評(píng)價(jià)，并提出改進(jìn)和完善的方法和其他意見。安全審計(jì)終結(jié)的評(píng)價(jià)，按系統(tǒng)的完善程度、漏洞的大小和存在問題的性質(zhì)可以分為三個(gè)等級(jí)：危險(xiǎn)、不安全和基本安全。危險(xiǎn)是指系統(tǒng)存在毀滅性數(shù)據(jù)丟失隱患（如缺乏合理的數(shù)據(jù)備份機(jī)制與有效的病毒防范措施）和系統(tǒng)的盲目開放性（如有意和無意用戶常常能闖入系統(tǒng)，對(duì)系統(tǒng)數(shù)據(jù)進(jìn)行查閱或刪改）。不安全是指系統(tǒng)尚存在一些較常見的問題和漏洞，如系統(tǒng)缺乏監(jiān)控機(jī)制和數(shù)據(jù)檢測(cè)手段等?；景踩侵父鱾€(gè)企業(yè)網(wǎng)絡(luò)應(yīng)達(dá)到的目標(biāo)，其大漏洞僅限于不可預(yù)見或罕預(yù)見性、技術(shù)極限性以及窮舉性等，其他小問題發(fā)生時(shí)不影響系統(tǒng)運(yùn)行，也不會(huì)造成大的損失，且具有隨時(shí)發(fā)現(xiàn)問題并糾正的能力。

三、網(wǎng)絡(luò)安全審計(jì)的主要測(cè)試

測(cè)試是安全審計(jì)實(shí)施階段的主要任務(wù)，一般應(yīng)包括對(duì)數(shù)據(jù)通訊、硬件系統(tǒng)、軟件系統(tǒng)、數(shù)據(jù)資源以及安全產(chǎn)品的測(cè)試。

下面是對(duì)網(wǎng)絡(luò)環(huán)境會(huì)計(jì)信息系統(tǒng)的主要測(cè)試。

1數(shù)據(jù)通訊的控制測(cè)試數(shù)據(jù)通訊控制的總目標(biāo)是數(shù)據(jù)通道的安全與完整。詳細(xì)說，能發(fā)現(xiàn)和糾正設(shè)備的失靈，避免數(shù)據(jù)丟失或失真，能防止和發(fā)現(xiàn)來自Internet及內(nèi)部的非法存取操作。為了達(dá)到上述控制目標(biāo)，審計(jì)人員應(yīng)執(zhí)行以下控制測(cè)試：（1）抽取一組會(huì)計(jì)數(shù)據(jù)進(jìn)行傳輸，檢查由于線路噪聲所導(dǎo)致數(shù)據(jù)失真的可能性。（2）檢查有關(guān)的數(shù)據(jù)通訊記錄，證實(shí)所有的數(shù)據(jù)接收是有序及正確的。（3）通過假設(shè)系統(tǒng)外一個(gè)非授權(quán)的進(jìn)入請(qǐng)求，測(cè)試通訊回叫技術(shù)的運(yùn)行情況。（4）檢查密鑰治理和口令控制程序，確認(rèn)口令文件是否加密、密鑰存放地點(diǎn)是否安全。（5）發(fā)送一測(cè)試信息測(cè)試加密過程，檢查信息通道上在各不同點(diǎn)上信息的內(nèi)容。（6）檢查防火墻是否控制有效。防火墻的作用是在Internet與企業(yè)內(nèi)部網(wǎng)之間建立一道屏障，其有效性主要包括靈活性以及過濾、分離、報(bào)警等方面的能力。例如，防火墻應(yīng)具有拒絕任何不正確的申請(qǐng)者的過濾能力，只有授權(quán)用戶才能通過防火墻訪問會(huì)計(jì)數(shù)據(jù)。

2硬件系統(tǒng)的控制測(cè)試硬件控制測(cè)試的總目標(biāo)是評(píng)價(jià)硬件的各項(xiàng)控制的適當(dāng)性與有效性。測(cè)試的重點(diǎn)包括：實(shí)體安全、火災(zāi)報(bào)警防護(hù)系統(tǒng)、使用記錄、后備電源、操作規(guī)程、災(zāi)害恢復(fù)計(jì)劃等。審計(jì)人員應(yīng)確定實(shí)物安全控制措施是否適當(dāng)、在處理日常運(yùn)作及部件失靈中操作員是否作出了適當(dāng)?shù)挠涗浥c定期分析、硬件的災(zāi)害恢復(fù)計(jì)劃是否適當(dāng)、是否制定了相關(guān)的操作規(guī)程、各硬件的資料歸檔是否完整。

3軟件系統(tǒng)的控制測(cè)試軟件系統(tǒng)包括系統(tǒng)軟件和應(yīng)用軟件，其中最主要的是操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和會(huì)計(jì)軟件系統(tǒng)?？傮w控制目標(biāo)應(yīng)達(dá)到防止來自硬件失靈、計(jì)算機(jī)黑客、病毒感染、具有特權(quán)職員的各種破壞行為，保障系統(tǒng)正常運(yùn)行。對(duì)軟件系統(tǒng)的測(cè)試主要包括：（1）檢查軟件產(chǎn)品是否從正當(dāng)途徑購買，審計(jì)人員應(yīng)對(duì)購買訂單進(jìn)行抽樣審查。（2）檢查防治病毒措施，是否安裝有防治病毒軟件、使用外來軟盤之前是否檢查病毒。（3）證實(shí)只有授權(quán)的軟件才安裝到系統(tǒng)里。

4數(shù)據(jù)資源的控制測(cè)試數(shù)據(jù)控制目標(biāo)包括兩方面：一是數(shù)據(jù)備份，為恢復(fù)被丟失、損壞或擾的數(shù)據(jù)，系統(tǒng)應(yīng)有足夠備份；二是個(gè)人應(yīng)當(dāng)經(jīng)授權(quán)限制性地存取所需的數(shù)據(jù)，未經(jīng)授權(quán)的個(gè)人不能存取數(shù)據(jù)庫。審計(jì)測(cè)試應(yīng)檢查是否提供了雙硬盤備份、動(dòng)態(tài)備份、業(yè)務(wù)日志備份等功能，以及在日常工作中是否真正實(shí)施了這些功能。根據(jù)系統(tǒng)的授權(quán)表，檢查存取控制的有效性。

5系統(tǒng)安全產(chǎn)品的測(cè)試隨著網(wǎng)絡(luò)系統(tǒng)安全的日益重要，各種用于保障網(wǎng)絡(luò)安全的軟、硬件產(chǎn)品應(yīng)運(yùn)而生，如VPN、防火墻、身份認(rèn)證產(chǎn)品、CA產(chǎn)品等等。企業(yè)將在不斷發(fā)展的安全產(chǎn)品市場(chǎng)上購買各種產(chǎn)品以保障系統(tǒng)的安全，安全審計(jì)機(jī)構(gòu)應(yīng)對(duì)這些產(chǎn)品是否有效地使用并發(fā)揮其應(yīng)有的作用進(jìn)行測(cè)試與作出評(píng)價(jià)。例如，檢查安全產(chǎn)品是否經(jīng)過認(rèn)證機(jī)構(gòu)或公安部部門的認(rèn)征，產(chǎn)品的銷售商是否具有銷售許可證產(chǎn)品的安全保護(hù)功能是否發(fā)揮作用。

四、應(yīng)該建立內(nèi)部安全審計(jì)制度

篇5

作為我國電子政務(wù)重要基礎(chǔ)設(shè)施的電子政務(wù)外網(wǎng)，為了實(shí)現(xiàn)服務(wù)各級(jí)黨政部門，滿足各級(jí)政務(wù)部門社會(huì)管理、公共服務(wù)等方面需要的重要功能，要求具有互聯(lián)網(wǎng)出口，并且與互聯(lián)網(wǎng)邏輯隔離。因此，電子政務(wù)外網(wǎng)面臨來自互聯(lián)網(wǎng)和內(nèi)部網(wǎng)用戶兩大急需解決的安全難題。

二、設(shè)計(jì)思路

本方案按照《國家電子政務(wù)外網(wǎng)安全保障體系總體規(guī)劃建議》進(jìn)行設(shè)計(jì)，規(guī)劃范圍以市級(jí)電子政務(wù)外網(wǎng)為主，以市級(jí)電子政務(wù)外網(wǎng)運(yùn)維中心為重點(diǎn)，覆蓋市委、市政府、市人大、市政協(xié)和多個(gè)委辦局單位以及市屬各個(gè)縣區(qū)，根據(jù)國家電子政務(wù)外網(wǎng)安全保障體系的規(guī)劃，市級(jí)電子政務(wù)外網(wǎng)安全體系包括如下三個(gè)方面的內(nèi)容:

(一)安全管理體系。主要包括:按照國家安全保障體系建設(shè)標(biāo)準(zhǔn)，建設(shè)市級(jí)安全管理中心(SOC);以《國家電子政務(wù)外網(wǎng)安全標(biāo)準(zhǔn)指南》為標(biāo)準(zhǔn)貫徹執(zhí)行國家已有安全法規(guī)標(biāo)準(zhǔn)，同時(shí)制訂符合本市電子政務(wù)外網(wǎng)自身特點(diǎn)和要求的有關(guān)規(guī)定和技術(shù)規(guī)范。

(二)網(wǎng)絡(luò)安全基礎(chǔ)防護(hù)體系。主要包括:網(wǎng)絡(luò)防護(hù)與隔離系統(tǒng)、入侵防御系統(tǒng)、接入認(rèn)證系統(tǒng)、業(yè)務(wù)隔離和加密傳輸系統(tǒng)、防病毒、漏洞掃描系統(tǒng)等。

(三)網(wǎng)絡(luò)信任體系。主要包括:PKI/CA系統(tǒng)、權(quán)限管理系統(tǒng)和認(rèn)證授權(quán)審計(jì)系統(tǒng)。

三、方案設(shè)計(jì)

(一)安全管理中心。市級(jí)安全管理中心是市級(jí)電子政務(wù)外網(wǎng)安全的規(guī)劃、實(shí)施、協(xié)調(diào)和管理機(jī)構(gòu)，上聯(lián)省級(jí)電子政務(wù)外網(wǎng)安全管理中心，把各類安全事件以標(biāo)準(zhǔn)格式上報(bào)到省中心，同時(shí)對(duì)縣區(qū)管理中心下發(fā)安全策略，并接收縣區(qū)的日志、事件。縣級(jí)安全管理中心在市中心的授權(quán)下，具有一定的管理權(quán)限，并對(duì)縣級(jí)安全策略及日志、事件進(jìn)行采集和上報(bào)。市級(jí)安全管理中心也是市級(jí)網(wǎng)絡(luò)安全設(shè)施的管理維護(hù)機(jī)構(gòu)，為使安全設(shè)施能夠最大限度地發(fā)揮其安全保障功能，需要建立一個(gè)良好的安全綜合管理平臺(tái)，以實(shí)現(xiàn)業(yè)務(wù)流程分析，并對(duì)業(yè)務(wù)系統(tǒng)在安全監(jiān)控、安全審計(jì)、健康性評(píng)估等方面的運(yùn)行進(jìn)行有效的管控，從全局角度進(jìn)行安全策略的管理，對(duì)各類安全事件作出實(shí)時(shí)的監(jiān)控及響應(yīng)，為管理者提供及時(shí)的運(yùn)行情況報(bào)告、問題報(bào)告、事件報(bào)告、安全審計(jì)報(bào)告、健康性報(bào)告和風(fēng)險(xiǎn)分析報(bào)告，從而使決策者能及時(shí)調(diào)整安全防護(hù)策略，恰當(dāng)?shù)剡M(jìn)行網(wǎng)絡(luò)優(yōu)化，及時(shí)地部署安全措施，消除各類安全隱患。

(二)基礎(chǔ)防護(hù)平臺(tái)建設(shè)?；A(chǔ)防護(hù)平臺(tái)主要是以確定的安全防護(hù)模型框架為依據(jù)，結(jié)合政府業(yè)務(wù)的實(shí)際安全需求，在原有互聯(lián)網(wǎng)安全設(shè)施基礎(chǔ)上進(jìn)行安全基礎(chǔ)防護(hù)體系的新建或擴(kuò)充、延伸與擴(kuò)展。包括邊界隔離與控制、身份鑒別、認(rèn)證與授權(quán)、入侵檢測(cè)與防御、安全審計(jì)與記錄、流量監(jiān)測(cè)與清洗、數(shù)據(jù)加密傳輸、病毒監(jiān)測(cè)與防護(hù)、安全掃描與評(píng)估、安全策略集中管理、安全監(jiān)控管理和安全審計(jì)管理等基礎(chǔ)安全防護(hù)措施。最終達(dá)到提升系統(tǒng)的整體抗攻擊能力，確保電子政務(wù)外網(wǎng)能夠更好地支撐各類政務(wù)應(yīng)用系統(tǒng)的運(yùn)轉(zhuǎn)。

(三)邊界隔離與控制。防火墻是實(shí)現(xiàn)網(wǎng)絡(luò)邊界隔離的首選設(shè)備，防火墻是運(yùn)行于軟件和硬件上的，安裝在特定網(wǎng)絡(luò)邊界的，實(shí)施網(wǎng)間訪問控制的一組組件的集合。它在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間形成一道安全保護(hù)屏障，防止非法用戶訪問內(nèi)部網(wǎng)絡(luò)上的資源和非法向外傳遞內(nèi)部信息，同時(shí)也防止這類非法和惡意的網(wǎng)絡(luò)行為破壞內(nèi)部網(wǎng)絡(luò)。它可以讓用戶在一個(gè)安全屏障后接入互聯(lián)網(wǎng)，還可以把單位的公共網(wǎng)絡(luò)服務(wù)器和企業(yè)內(nèi)部網(wǎng)絡(luò)隔開，同時(shí)也可以通過防火墻將網(wǎng)絡(luò)中的服務(wù)器與網(wǎng)絡(luò)邏輯分離，進(jìn)行重點(diǎn)防護(hù)。部署防火墻能夠保護(hù)一個(gè)網(wǎng)絡(luò)不受來自另外網(wǎng)絡(luò)的攻擊。

(四)入侵檢測(cè)與防御。在整體的網(wǎng)絡(luò)安全中，依靠安全策略的指導(dǎo)，對(duì)信息系統(tǒng)防護(hù)有積極的意義。但是，無論網(wǎng)絡(luò)防護(hù)得多么牢固，依舊不能說“網(wǎng)絡(luò)是安全的”。因?yàn)殡S著技術(shù)的發(fā)展，任何防護(hù)措施都不能保證網(wǎng)絡(luò)不出現(xiàn)新的安全事件，不被手段高超的人員成功入侵。在攻擊與防御的較量中，實(shí)時(shí)監(jiān)測(cè)處在一個(gè)核心的地位。

(五)安全審計(jì)與記錄。安全審計(jì)系統(tǒng)記錄了網(wǎng)絡(luò)使用者的全部上網(wǎng)行為，是支撐網(wǎng)絡(luò)安全事件調(diào)查的基礎(chǔ)，是審計(jì)信息的重要來源，在電子政務(wù)外網(wǎng)的建設(shè)中，應(yīng)當(dāng)盡量延伸安全審計(jì)系統(tǒng)部署的范圍，并采用多種的安全審計(jì)系統(tǒng)類型(如網(wǎng)絡(luò)審計(jì)、主機(jī)審計(jì)、數(shù)據(jù)庫審計(jì)等)擴(kuò)展安全審計(jì)的層面。

(六)流量檢測(cè)與清洗。流量檢測(cè)與清洗服務(wù)是針對(duì)網(wǎng)絡(luò)傳輸信息流類型、大小以及諸如DOS/DDOS等安全攻擊行為的監(jiān)控、告警和防護(hù)的一種網(wǎng)絡(luò)安全服務(wù)。該服務(wù)對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)的業(yè)務(wù)數(shù)據(jù)流量進(jìn)行實(shí)時(shí)監(jiān)控，及時(shí)發(fā)現(xiàn)包括DOS攻擊在內(nèi)的異常流量。在不影響正常業(yè)務(wù)的前提下，清洗掉異常流量。有效滿足各業(yè)務(wù)系統(tǒng)運(yùn)作連續(xù)性的要求。同時(shí)該服務(wù)通過時(shí)間通告、分析報(bào)表等服務(wù)內(nèi)容提升客戶網(wǎng)絡(luò)流量的可見性和安全狀況的清晰性。

(七)統(tǒng)一病毒防護(hù)平臺(tái)。根據(jù)電子政務(wù)外網(wǎng)省、市、縣三級(jí)分布的特點(diǎn)，可采用多級(jí)、多種的方式進(jìn)行病毒防護(hù)系統(tǒng)的綜合部署，包括在網(wǎng)絡(luò)邊界安裝硬件防病毒網(wǎng)關(guān)、針對(duì)特定應(yīng)用布署網(wǎng)絡(luò)防病毒系統(tǒng)、針對(duì)多數(shù)工作終端布署單機(jī)版病毒查殺軟件等方式。

(八)終端管理。利用桌面終端管理系統(tǒng)，對(duì)于終端電腦從以下四方面進(jìn)行進(jìn)行標(biāo)準(zhǔn)化管理:

1．網(wǎng)絡(luò)準(zhǔn)入。通過網(wǎng)絡(luò)邊界部署的防火墻設(shè)備、網(wǎng)絡(luò)交換機(jī)設(shè)備與終端管理服務(wù)器配合，實(shí)現(xiàn)終端用戶的802．1x準(zhǔn)入認(rèn)證，使得所有終端用戶接入電子政務(wù)外網(wǎng)網(wǎng)絡(luò)必須提出申請(qǐng)，并對(duì)接入機(jī)器做防病毒等安全審核，在安裝了準(zhǔn)入客戶端軟件(Agent)并分配了用戶名/密碼后，才能合法接入網(wǎng)絡(luò)并使用信息資源，開展業(yè)務(wù)工作，實(shí)現(xiàn)了對(duì)終端用戶的有效管理。

2．網(wǎng)絡(luò)切換。通過實(shí)現(xiàn)終端用戶訪問互聯(lián)網(wǎng)和電子政務(wù)外網(wǎng)兩網(wǎng)切換使用功能，實(shí)現(xiàn)對(duì)兩網(wǎng)資源使用的嚴(yán)格管理，避免安全隱患的發(fā)生。

3．文件保險(xiǎn)箱。利用“文件保險(xiǎn)箱”功能，在終端用戶處于“政務(wù)外網(wǎng)”訪問狀態(tài)時(shí)可以使用“文件保險(xiǎn)箱”功能，并創(chuàng)建、修改、使用加密文件或文件夾，在終端用戶處于“互聯(lián)網(wǎng)”狀態(tài)時(shí)無法使用此功能，不能創(chuàng)建、修改、使用加密文件或文件夾，從而保證工作文件的安全。

4．補(bǔ)丁管理。利用桌面系統(tǒng)補(bǔ)丁管理的功能，幫助管理員對(duì)網(wǎng)內(nèi)基于Windows平臺(tái)的系統(tǒng)快速部署最新的安全更新和重要功能更新。系統(tǒng)能檢測(cè)用戶已安裝的補(bǔ)丁和需要安裝的補(bǔ)丁，管理員能通過管理平臺(tái)對(duì)桌面系統(tǒng)下發(fā)安裝補(bǔ)丁的命令。補(bǔ)丁服務(wù)器可自動(dòng)從微軟網(wǎng)站更新補(bǔ)丁庫，管理員負(fù)責(zé)審核是否允許補(bǔ)丁在終端系統(tǒng)安裝。通過策略定制，終端系統(tǒng)可以自動(dòng)檢測(cè)、下載和安裝已審核的補(bǔ)丁。

(九)采用2+N的業(yè)務(wù)模式。對(duì)于利用互聯(lián)網(wǎng)接入的業(yè)務(wù)系統(tǒng)，必須采用VPN接入，建設(shè)互聯(lián)網(wǎng)接入?yún)^(qū)，隔離互聯(lián)網(wǎng)與政務(wù)外網(wǎng)的數(shù)據(jù)包，將互聯(lián)網(wǎng)業(yè)務(wù)進(jìn)行封裝，確保互聯(lián)網(wǎng)業(yè)務(wù)在專網(wǎng)的VPN通道內(nèi)進(jìn)行傳輸，對(duì)于需要與互聯(lián)網(wǎng)聯(lián)接的為公眾服務(wù)的業(yè)務(wù)，通過邏輯隔離的安全防范措施，采用防火墻系統(tǒng)、入侵防御系統(tǒng)和網(wǎng)絡(luò)防病毒系統(tǒng)，對(duì)互聯(lián)網(wǎng)接入業(yè)務(wù)提供必要安全防護(hù)，保障電子政務(wù)外網(wǎng)的信息安全。

(十)信任體系設(shè)計(jì)。建立了基于PKI/CA公鑰基礎(chǔ)設(shè)施的數(shù)字證書認(rèn)證體系。完善、推廣、促進(jìn)數(shù)字證書體系的發(fā)展和根據(jù)業(yè)務(wù)需要建立相應(yīng)CA機(jī)構(gòu)，并實(shí)現(xiàn)某些應(yīng)用和管理需要的單點(diǎn)登錄要求。

篇6

各縣區(qū)、各部門要把信息安全和保密工作列入重要議事日程，加強(qiáng)領(lǐng)導(dǎo)，落實(shí)責(zé)任，完善措施，切實(shí)抓緊抓好。要按照“誰主管誰負(fù)責(zé)、誰運(yùn)行誰負(fù)責(zé)、誰使用誰負(fù)責(zé)”的原則，健全信息安全和保密責(zé)任制，把責(zé)任落實(shí)到具體部門、具體崗位和個(gè)人。一是各級(jí)行政機(jī)關(guān)要明確一名主管領(lǐng)導(dǎo)，負(fù)責(zé)本單位信息系統(tǒng)安全和保密管理工作，根據(jù)國家法律和有關(guān)要求，結(jié)合實(shí)際組織制訂信息安全和保密管理制度、防護(hù)措施，協(xié)調(diào)處理本單位重大信息安全和泄密事件。二是各級(jí)行政機(jī)關(guān)要指定一個(gè)機(jī)構(gòu)具體承擔(dān)信息安全和保密管理工作，負(fù)責(zé)組織落實(shí)本單位信息安全和保密管理制度，加強(qiáng)防護(hù)手段建設(shè)，開展信息安全、保密教育和監(jiān)督檢查等。三是行政機(jī)關(guān)中的各內(nèi)設(shè)機(jī)構(gòu)都要指定一位安全觀念強(qiáng)、富有責(zé)任心、懂安全防護(hù)技術(shù)的工作人員擔(dān)任專職或兼職信息系統(tǒng)安全員，負(fù)責(zé)日常督促、檢查、指導(dǎo)工作。四是建立健全崗位信息安全和保密責(zé)任制度，明確信息安全和保密責(zé)任。

二、強(qiáng)化教育培訓(xùn)，提高安全意識(shí)和防護(hù)意識(shí)

各縣區(qū)、各部門要認(rèn)真組織信息安全和保密基本技能培訓(xùn)，開展信息安全和保密形勢(shì)分析、典型安全分析和警示教育，并做到經(jīng)?；?、制度化。要把信息安全和保密教育作為工作人員上崗、干部培訓(xùn)、業(yè)務(wù)學(xué)習(xí)的重要內(nèi)容，提高安全和保密意識(shí)，使主動(dòng)做好信息安全和保密工作成為每個(gè)工作人員的自覺行動(dòng)，把信息安全防護(hù)基本技能作為應(yīng)知應(yīng)會(huì)內(nèi)容納入工作考核范圍，并作為考核干部的重要依據(jù)。加快研究建立行政機(jī)關(guān)工作人員信息安全技能考試制度，逐步做到工作人員持證上崗。當(dāng)前，要針對(duì)存在的突出問題，深入學(xué)習(xí)宣傳信息安全“五禁止”規(guī)定：一是禁止將信息系統(tǒng)接入國際互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)；二是禁止在計(jì)算機(jī)與非計(jì)算機(jī)之間交叉使用U盤等移動(dòng)存儲(chǔ)設(shè)備；三是禁止在沒有防護(hù)措施的情況下將國際互聯(lián)網(wǎng)等公共信息網(wǎng)絡(luò)上的數(shù)據(jù)拷貝到信息系統(tǒng)；四是禁止計(jì)算機(jī)、移動(dòng)存儲(chǔ)設(shè)備與非計(jì)算機(jī)、非移動(dòng)存儲(chǔ)設(shè)備混用；五是禁止使用具有無線互聯(lián)功能的設(shè)備處理信息。行政機(jī)關(guān)及其工作人員要切實(shí)遵守信息安全和保密管理各項(xiàng)規(guī)定，做到令行禁止，杜絕安全隱患。

三、完善安全措施和手段，夯實(shí)安全工作基礎(chǔ)

一是加強(qiáng)對(duì)信息、人員、場(chǎng)所和設(shè)備的管理。嚴(yán)格執(zhí)行保密要害部門、要害部位管理制度；嚴(yán)格執(zhí)行人員管理和資格審查制度；嚴(yán)格執(zhí)行計(jì)算機(jī)、設(shè)備登記管理和定期檢查制度；嚴(yán)格執(zhí)行計(jì)算機(jī)、信息系統(tǒng)軟件和維護(hù)服務(wù)提供者資質(zhì)審查及監(jiān)管制度。

二是實(shí)行計(jì)算機(jī)配置管理和安全審計(jì)。加快對(duì)辦公用計(jì)算機(jī)和移動(dòng)存儲(chǔ)設(shè)備實(shí)行配置管理，統(tǒng)一編號(hào)、統(tǒng)一標(biāo)志、統(tǒng)一登記；對(duì)辦公用計(jì)算機(jī)逐步加裝安全審計(jì)工具，定期進(jìn)行安全審計(jì)。信息安全主管部門要會(huì)同有關(guān)部門和單位抓緊制訂行政機(jī)關(guān)辦公用計(jì)算機(jī)配置指南、安全使用規(guī)范和安全審計(jì)辦法。

三是規(guī)范電子文檔的管理。統(tǒng)一電子文檔命名規(guī)則，根據(jù)文件內(nèi)容在文件名中標(biāo)明密級(jí)、類別，便于識(shí)別和管理。建立并保留電子文檔的創(chuàng)建、復(fù)制、傳遞，電子文檔必須在信息系統(tǒng)中存儲(chǔ)、處理，復(fù)制和傳遞電子文檔要嚴(yán)格按照同等密級(jí)紙質(zhì)文件的有關(guān)規(guī)定進(jìn)行。逐步采用加密技術(shù)手段對(duì)電子文檔的存儲(chǔ)和傳輸進(jìn)行保護(hù)。

四是加快信息安全防護(hù)設(shè)施建設(shè)。行政機(jī)關(guān)在規(guī)劃建設(shè)政府信息系統(tǒng)時(shí)，要嚴(yán)格遵循同步規(guī)劃、同步建設(shè)、同步運(yùn)行的原則，按照國家有關(guān)法律法規(guī)和標(biāo)準(zhǔn)同步規(guī)劃、設(shè)計(jì)、建設(shè)、運(yùn)行、管理信息安全防護(hù)設(shè)施。要將信息安全防護(hù)設(shè)施建設(shè)、運(yùn)行、維護(hù)、檢查和管理費(fèi)用納入預(yù)算，保證資金落實(shí)。項(xiàng)目審批部門要將擬建政府信息系統(tǒng)是否具備信息安全防護(hù)設(shè)施作為重要審核內(nèi)容。政府信息系統(tǒng)建成后，必須經(jīng)保密工作部門審批后方可投入使用。

五是切實(shí)增強(qiáng)政府業(yè)務(wù)網(wǎng)絡(luò)安全保障能力。政府業(yè)務(wù)網(wǎng)絡(luò)是政府信息系統(tǒng)的重要組成部分，是推行電子政務(wù)的重要基礎(chǔ)，必須采取切實(shí)有效的安全措施。要加快建立健全以身份認(rèn)證、訪問控制、安全審計(jì)、責(zé)任認(rèn)定、病毒防護(hù)等為主要內(nèi)容的網(wǎng)絡(luò)安全體系，完善網(wǎng)絡(luò)安全技術(shù)防護(hù)手段。抓緊制訂網(wǎng)絡(luò)對(duì)接、信息交換、安全技術(shù)及運(yùn)行管理標(biāo)準(zhǔn)規(guī)范，實(shí)行嚴(yán)格的網(wǎng)絡(luò)接入審批制度。行政機(jī)關(guān)要督促、指導(dǎo)業(yè)務(wù)網(wǎng)絡(luò)管理單位完善相應(yīng)的辦法，保證網(wǎng)絡(luò)安全運(yùn)行。

六是嚴(yán)格信息技術(shù)產(chǎn)品的采購管理。按照政府采購法和有關(guān)政策要求，行政機(jī)關(guān)要帶頭使用國產(chǎn)信息技術(shù)產(chǎn)品和服務(wù)，確保信息系統(tǒng)安全可控。其中，辦公用計(jì)算機(jī)、公文處理軟件、信息安全產(chǎn)品等應(yīng)使用國產(chǎn)產(chǎn)品，信息安全服務(wù)應(yīng)選擇有相應(yīng)資質(zhì)的國內(nèi)廠商，因特殊原因必須選用國外信息技術(shù)產(chǎn)品和信息安全服務(wù)的，應(yīng)進(jìn)行安全審查，并報(bào)本單位主管信息安全工作的領(lǐng)導(dǎo)同志批準(zhǔn)。政府信息系統(tǒng)、保密要害部門和部位使用信息技術(shù)產(chǎn)品及服務(wù)，必須嚴(yán)格執(zhí)行國家有關(guān)保密規(guī)定和標(biāo)準(zhǔn)。政府信息系統(tǒng)以及關(guān)系國家安全的重要信息系統(tǒng)的數(shù)據(jù)中心，災(zāi)難備份中心不得設(shè)立在境外，原則上不得接受在線遠(yuǎn)程服務(wù)。

四、做好信息安全檢查工作，依法追究責(zé)任

篇7

衛(wèi)生監(jiān)督信息系統(tǒng)信息安全技術(shù)體系建設(shè)，嚴(yán)格遵循等級(jí)保護(hù)第三級(jí)的技術(shù)要求進(jìn)行詳細(xì)設(shè)計(jì)、技術(shù)選擇、產(chǎn)品選型、產(chǎn)品部署。技術(shù)體系從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)等5個(gè)方面進(jìn)行設(shè)計(jì)。

1.物理安全

衛(wèi)生監(jiān)督中心現(xiàn)有南北兩個(gè)機(jī)房，機(jī)房及相關(guān)配套設(shè)施面積總計(jì)160平方米。北機(jī)房部署等級(jí)保護(hù)第三級(jí)信息系統(tǒng)，南機(jī)房部署等級(jí)保護(hù)第二級(jí)信息系統(tǒng)，實(shí)現(xiàn)了第三級(jí)系統(tǒng)與第二級(jí)系統(tǒng)物理環(huán)境隔離。根據(jù)等級(jí)保護(hù)有關(guān)要求，機(jī)房均采用了精密空調(diào)、門禁系統(tǒng)、環(huán)境監(jiān)測(cè)系統(tǒng)等設(shè)備設(shè)施及技術(shù)手段，有效地保證了機(jī)房的物理安全。

2.網(wǎng)絡(luò)安全

主干網(wǎng)絡(luò)鏈路均采用雙鏈路連接，關(guān)鍵網(wǎng)絡(luò)、安全設(shè)備均采用雙機(jī)冗余方式，避免單點(diǎn)故障。采用防火墻、入侵防護(hù)系統(tǒng)、DDoS系統(tǒng)進(jìn)行邊界防護(hù)，各網(wǎng)絡(luò)區(qū)域之間采用防火墻進(jìn)行區(qū)域隔離，在對(duì)外服務(wù)區(qū)部署了入侵檢測(cè)系統(tǒng)，在交換服務(wù)區(qū)部署了網(wǎng)絡(luò)審計(jì)系統(tǒng)。在核心數(shù)據(jù)區(qū)部署了數(shù)據(jù)庫審計(jì)系統(tǒng)，對(duì)網(wǎng)絡(luò)行為進(jìn)行監(jiān)控和記錄。在安全管理區(qū)部署安全管理系統(tǒng)，實(shí)現(xiàn)設(shè)備日志的統(tǒng)一收集及分析。

3.主機(jī)安全

所有服務(wù)器和管理終端配置了密碼安全策略；禁止用戶遠(yuǎn)程管理，管理用戶必須進(jìn)入機(jī)房通過KVM進(jìn)行本地管理；所有服務(wù)器和管理終端進(jìn)行了補(bǔ)丁更新，刪除了多余賬戶，關(guān)閉了不必要的端口和服務(wù)；所有服務(wù)器和管理終端開啟了安全審計(jì)功能；通過對(duì)數(shù)據(jù)庫的安全配置，實(shí)現(xiàn)管理用戶和特權(quán)用戶的分離，并實(shí)現(xiàn)最小授權(quán)要求。

4.應(yīng)用安全

衛(wèi)生監(jiān)督中心7個(gè)應(yīng)用系統(tǒng)均完成了定級(jí)備案，并按照等級(jí)保護(hù)要求開展了測(cè)評(píng)工作。應(yīng)用服務(wù)器采取了集群工作部署，保證了系統(tǒng)的高可用性，同時(shí)建立了安全審計(jì)功能模塊，記錄登錄日志、業(yè)務(wù)操作日志、系統(tǒng)操作日志3種日志，并實(shí)現(xiàn)查詢和審計(jì)統(tǒng)計(jì)功能，配置了獨(dú)立的審計(jì)賬戶。門戶網(wǎng)站也采用了網(wǎng)頁防篡改、DDoS等系統(tǒng)。信息安全等級(jí)保護(hù)第三級(jí)系統(tǒng)管理人員及高權(quán)限用戶均使用CA證書登錄相應(yīng)系統(tǒng)。

5.數(shù)據(jù)安全及備份恢復(fù)

衛(wèi)生監(jiān)督信息報(bào)告系統(tǒng)數(shù)據(jù)庫服務(wù)器使用了雙機(jī)熱備，應(yīng)用服務(wù)器采用多機(jī)負(fù)載均衡，每天本地備份，保證了業(yè)務(wù)系統(tǒng)的安全、穩(wěn)定和可靠運(yùn)行。其余等級(jí)保護(hù)第三級(jí)信息系統(tǒng)使用了雙機(jī)備份，無論是軟件還是硬件問題，都可以及時(shí)準(zhǔn)確地進(jìn)行恢復(fù)并正常提供服務(wù)。同時(shí)，衛(wèi)生監(jiān)督中心在云南建立了異地?cái)?shù)據(jù)備份中心，每天進(jìn)行增量備份，每周對(duì)數(shù)據(jù)進(jìn)行一次全備份。備份數(shù)據(jù)在一定時(shí)間內(nèi)進(jìn)行恢復(fù)測(cè)試，保證備份的有效性。

二、信息安全管理體系

在開展信息安全等級(jí)保護(hù)工作中，我們深刻體會(huì)到，信息安全工作“三分靠技術(shù)，七分靠管理”。為保證信息安全等級(jí)保護(hù)工作順利進(jìn)行，參考ISO/IEC27001《信息安全管理體系要求》，衛(wèi)生監(jiān)督中心建立了符合實(shí)際工作情況的信息安全管理制度體系，明確了“統(tǒng)一領(lǐng)導(dǎo)，技管并重；預(yù)防為主，責(zé)權(quán)分明；重點(diǎn)防護(hù)，適度安全”的安全方針，涵蓋等級(jí)保護(hù)管理要求中安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理五大方面的要求。衛(wèi)生監(jiān)督中心建立了較為完善的信息安全責(zé)任制，設(shè)立了信息安全領(lǐng)導(dǎo)小組，領(lǐng)導(dǎo)小組組長由衛(wèi)生監(jiān)督中心主任擔(dān)任，成員由衛(wèi)生監(jiān)督中心有關(guān)處室負(fù)責(zé)人組成，信息處作為信息安全工作辦公室負(fù)責(zé)衛(wèi)生監(jiān)督中心日常信息安全管理工作。信息處設(shè)立了信息安全管理崗位，分別為網(wǎng)絡(luò)管理員、系統(tǒng)管理員、應(yīng)用管理員、安全管理員、安全審計(jì)員、機(jī)房管理員，并建立了信息安全崗位責(zé)任制度。此外，衛(wèi)生監(jiān)督中心依據(jù)上年度運(yùn)維中存在的信息安全隱患每年對(duì)其進(jìn)行修訂，確保信息安全工作落到實(shí)處。

三、信息安全運(yùn)維體系

在信息安全工作中，建立信息安全管理制度不是目的，要以信息安全等級(jí)保護(hù)有關(guān)要求指導(dǎo)信息安全運(yùn)維實(shí)踐。衛(wèi)生監(jiān)督中心結(jié)合實(shí)際情況，編制了《國家級(jí)衛(wèi)生監(jiān)督信息系統(tǒng)運(yùn)行維護(hù)工作規(guī)范》，從運(yùn)行維護(hù)流程、資源管理和環(huán)境管理三個(gè)方面進(jìn)行了規(guī)范，將安全運(yùn)維理念落到實(shí)處。運(yùn)維人員在實(shí)際工作中，嚴(yán)格按照工作規(guī)范要求。利用衛(wèi)生監(jiān)督中心OA系統(tǒng)，建立了統(tǒng)一的服務(wù)臺(tái)，實(shí)現(xiàn)了事件、問題的全流程閉環(huán)管理（即：發(fā)現(xiàn)問題、登記問題、解決問題、解決反饋、解決確認(rèn)）。年均處理信息安全事件近百件，將信息安全問題消滅在萌芽階段，有效地保證了信息系統(tǒng)穩(wěn)定運(yùn)行，保證了衛(wèi)生監(jiān)督中心信息安全目標(biāo)和方針的實(shí)現(xiàn)。

四、信息安全等級(jí)保護(hù)實(shí)踐經(jīng)驗(yàn)

1.規(guī)范管理，細(xì)化流程

衛(wèi)生監(jiān)督中心從安全管理制度、安全管理組織機(jī)構(gòu)及人員、安全建設(shè)管理和安全運(yùn)維管理等方面建立了較為完善的安全管理體系。通過管理體系的建設(shè)，為國家級(jí)衛(wèi)生監(jiān)督信息系統(tǒng)運(yùn)維管理工作中安全管理提供了重要指導(dǎo)。國家級(jí)衛(wèi)生監(jiān)督信息系統(tǒng)運(yùn)維工作從安全管理體系的建設(shè)中吸取了很多有益經(jīng)驗(yàn)，不僅合理調(diào)配了運(yùn)維管理人員，落實(shí)了運(yùn)維管理組織機(jī)構(gòu)和崗位職責(zé)，而且細(xì)化了運(yùn)維管理流程，形成了“二級(jí)三線”的運(yùn)維處理機(jī)制。

2.循序漸進(jìn)，持續(xù)完善

篇8

關(guān)鍵詞：防護(hù)體系；醫(yī)院信息系統(tǒng)；立體安全

現(xiàn)如今，醫(yī)院已經(jīng)可以采用電子信息技術(shù)實(shí)現(xiàn)對(duì)整個(gè)醫(yī)院各個(gè)環(huán)節(jié)的覆蓋，其中包括設(shè)備物資管理、HIS、PASS、LIS、PACS、醫(yī)療統(tǒng)計(jì)分析，全面覆蓋管理、研究、護(hù)理、醫(yī)療、教學(xué)、后勤等，在遠(yuǎn)程醫(yī)療、合作醫(yī)療的條件下，醫(yī)院信息系統(tǒng)無法脫離網(wǎng)絡(luò)的客觀因素來實(shí)現(xiàn)操作。而在復(fù)雜、龐大的網(wǎng)絡(luò)結(jié)構(gòu)背景下，如何保證醫(yī)院的信息系統(tǒng)能在安全穩(wěn)定的環(huán)境下展開有序的運(yùn)行，是醫(yī)療服務(wù)正常開展的重要前提與保障，并且醫(yī)院信息系統(tǒng)的安全性也關(guān)系到患者和醫(yī)院的隱私、是維護(hù)患者和醫(yī)院基本權(quán)益的重要基礎(chǔ)。我們要引起高度的重視。

1 醫(yī)院信息系統(tǒng)立體安全防護(hù)系統(tǒng)的設(shè)計(jì)需求

在醫(yī)院運(yùn)行信息系統(tǒng)的過程中，具有良好的安全手段、安全管理、安全策略、安全環(huán)境等良好的特性，所以在開放的網(wǎng)絡(luò)背景下，醫(yī)院信息系統(tǒng)的安全問題主要是由于黑客等人為的故意入侵與破壞，造成數(shù)據(jù)泄露、醫(yī)院信息系統(tǒng)配置問題等隱患。針對(duì)這樣的安全風(fēng)險(xiǎn)，我們主要通過建立科學(xué)合理的安全防護(hù)體系來確保其正常運(yùn)行，可以分為以下4個(gè)環(huán)節(jié)：網(wǎng)絡(luò)安全、物理級(jí)安全、系統(tǒng)級(jí)安全、應(yīng)用級(jí)安全。安全管理標(biāo)準(zhǔn)和制度是整個(gè)信息系統(tǒng)防護(hù)體系的中心任務(wù)。對(duì)數(shù)據(jù)安全起到多角度、多方位、多層次的立體防護(hù)。

2 醫(yī)院信息系統(tǒng)立體安全防護(hù)系統(tǒng)的設(shè)計(jì)構(gòu)想

為了更好的應(yīng)對(duì)上訴提到的安全風(fēng)險(xiǎn)，我們應(yīng)該建立安全可靠的安全防護(hù)體系，堅(jiān)持以多角度、多方位為體系設(shè)計(jì)的基本原則，制定網(wǎng)絡(luò)安全策略、應(yīng)用安全策略、系統(tǒng)安全策略、安全管理策略等，更好的完善整個(gè)防護(hù)體系。在等級(jí)保護(hù)的作用指引下，應(yīng)該采用P2DR（防護(hù)、響應(yīng)、檢測(cè)）安全模型作為系統(tǒng)建設(shè)和安全規(guī)劃的基本方針和思路。防護(hù)體系根據(jù)事中檢測(cè)、事前防護(hù)、時(shí)候?qū)徲?jì)等作為根本指導(dǎo)策略。

3 醫(yī)院信息系統(tǒng)立體安全防護(hù)系統(tǒng)的全面設(shè)計(jì)

3.1物理層安全 物理安全主要包括物理訪問控制、防破壞、電磁防護(hù)、物理位置選擇、防火、防潮、溫濕度控制、防雷擊、防盜竊、防水電力供應(yīng)等。

3.2網(wǎng)絡(luò)層面的安全防護(hù) 關(guān)于網(wǎng)絡(luò)層面的安全防護(hù)控制主要內(nèi)容有訪問安全控制、入侵防范、結(jié)構(gòu)安全、惡意代碼防范、網(wǎng)絡(luò)防備防護(hù)等。其中通過幾個(gè)方面進(jìn)行具體的操作：

3.2.1劃分安全區(qū)域 對(duì)安全區(qū)域的劃分主要包括以下幾項(xiàng)基本原則：結(jié)構(gòu)簡化原則、立體防護(hù)原則、業(yè)務(wù)保障原則、生命周期原則、等級(jí)保護(hù)原則。

3.2.2對(duì)邊界訪問進(jìn)行控制 在網(wǎng)絡(luò)體系中，對(duì)個(gè)區(qū)域的邊界訪問進(jìn)行控制是很有效的防護(hù)手段，主要是對(duì)醫(yī)院信息防護(hù)系統(tǒng)的各個(gè)邊界進(jìn)行安全防護(hù)措施，例如部署防火墻、運(yùn)行入侵檢測(cè)系統(tǒng)、隔離網(wǎng)閘、對(duì)vlan進(jìn)行劃分等高級(jí)別的網(wǎng)絡(luò)控制手段。

3.2.3開展網(wǎng)絡(luò)審計(jì) 在開展信息系統(tǒng)網(wǎng)絡(luò)維護(hù)的過程中，在交換機(jī)的旁邊布置網(wǎng)絡(luò)審計(jì)和網(wǎng)絡(luò)監(jiān)控系統(tǒng)，對(duì)網(wǎng)絡(luò)流量數(shù)據(jù)展開相應(yīng)的網(wǎng)絡(luò)審計(jì)，與此同時(shí)，將其他網(wǎng)絡(luò)設(shè)備的監(jiān)控?cái)?shù)據(jù)收集起來共同為整個(gè)防護(hù)體系提供檢測(cè)數(shù)據(jù)。

3.2.4開展網(wǎng)絡(luò)入侵防范措施 交換機(jī)是信息系統(tǒng)的核心設(shè)備，可以在交換機(jī)的旁邊部開展對(duì)網(wǎng)絡(luò)入侵的檢測(cè)測(cè)試系統(tǒng)。將計(jì)算機(jī)網(wǎng)絡(luò)收集的信息進(jìn)行具體全面的檢測(cè)與分析，一旦發(fā)現(xiàn)有安全隱患的行為就要及時(shí)進(jìn)行處理。例如木馬、病毒、間諜軟件、蠕蟲、可以代碼等。同時(shí)在發(fā)現(xiàn)嚴(yán)重危險(xiǎn)信號(hào)時(shí)應(yīng)該馬上報(bào)警。

3.3對(duì)主機(jī)層的安全防護(hù) 對(duì)主機(jī)層面進(jìn)行安全防護(hù)的內(nèi)容主要包括訪問控制、入侵防護(hù)、身份鑒別、安全審計(jì)、資源控制、對(duì)惡意代碼防護(hù)等。我們具體介紹下其中幾個(gè)方面的防護(hù)內(nèi)容。

3.3.1身份鑒別 為了更好的提高網(wǎng)絡(luò)防護(hù)的性能要求，保證運(yùn)行的穩(wěn)定性和安全性，我們對(duì)主機(jī)系統(tǒng)采用身份鑒別的方式加以鞏固，相關(guān)的步驟為：首先對(duì)網(wǎng)絡(luò)操作的用戶進(jìn)行身份識(shí)別，確保用戶名不重復(fù)的登陸。然后根據(jù)口令要求，采用長度高于8位數(shù)、3種不同字符的口令。最后，如果登陸失敗，應(yīng)該立即關(guān)鍵會(huì)話窗口，并對(duì)關(guān)鍵的主機(jī)系統(tǒng)進(jìn)行重新驗(yàn)證。

3.3.2主機(jī)入侵防護(hù) 通過掃描、檢測(cè)等多種手段對(duì)有可能出現(xiàn)的主機(jī)入侵情況進(jìn)行防護(hù)，在操作過程中應(yīng)該注意以最小安裝為基本原則，降低在服務(wù)和程序中可能出現(xiàn)的漏洞。

3.4應(yīng)用層的防護(hù)

3.4.1安全審計(jì) 對(duì)應(yīng)用層進(jìn)行安全審計(jì)主要是針對(duì)業(yè)務(wù)管理系統(tǒng)來說的，業(yè)務(wù)管理與應(yīng)用應(yīng)該和信息安全系統(tǒng)相聯(lián)系起來。將應(yīng)用功能和審計(jì)功能放在同等重要的位置上?？梢詫?duì)醫(yī)院里一些比較重大的事情發(fā)生時(shí)間、發(fā)生情況、主要人物等進(jìn)行相關(guān)的記錄和描述。并且做好相應(yīng)的保護(hù)措施，禁止非法修改、刪除等[1-3]。信息系統(tǒng)可以對(duì)收集到的數(shù)據(jù)進(jìn)行分析、統(tǒng)計(jì)、查詢等操作。審計(jì)系統(tǒng)要對(duì)每個(gè)具體的事件狀態(tài)進(jìn)行安全審計(jì)，確保數(shù)據(jù)庫的穩(wěn)定性。

3.4.2通信的完整 可以通過加密的方式對(duì)整個(gè)信息的傳輸過程進(jìn)行保護(hù)，可以采用密碼機(jī)等相關(guān)的防護(hù)措施來確保數(shù)據(jù)遠(yuǎn)程交換的完整性。

4 結(jié)束語

要完善醫(yī)院信息系統(tǒng)的安全防護(hù)體系是醫(yī)院開展正常工作的重要保障與條件，但是面對(duì)復(fù)雜多變的網(wǎng)絡(luò)環(huán)境，信息系統(tǒng)還存在很多的安全隱患需要我們及時(shí)的進(jìn)行維護(hù)與改善，除了加強(qiáng)相應(yīng)的技術(shù)手段外，還要建立安全的信息管理體系對(duì)信息系統(tǒng)進(jìn)行全面的管理，加強(qiáng)規(guī)范化的操作手段，要提升技術(shù)與管理的相互合作、相互協(xié)調(diào)性，確保信息系統(tǒng)的穩(wěn)定性。

參考文獻(xiàn)：

[1]劉金長，賴征田，楊成月，等.面向智能電網(wǎng)的信息安全防護(hù)體系建設(shè)[J].電力信息化，2013（09）.

篇9

一、廉潔自律，嚴(yán)修為政之德

20**年，我很好地遵守了黨的四大紀(jì)律和八項(xiàng)要求，廉潔自律，嚴(yán)于律已，很好地把握自己。無論財(cái)經(jīng)紀(jì)律還是其他經(jīng)濟(jì)方面，個(gè)人都能堅(jiān)持原則，沒有利用職務(wù)之便為自己謀私利，對(duì)吃喝送請(qǐng)堅(jiān)決進(jìn)行回絕。主要作法是：

1、堅(jiān)持學(xué)習(xí)，用尚方寶劍來警示自己。本時(shí)始終堅(jiān)持看書讀報(bào)，對(duì)黨的方針政策作到心中有數(shù)。充分利用黨委中心組學(xué)習(xí)和討論的機(jī)會(huì)，增強(qiáng)對(duì)政策的熟悉和理解。認(rèn)真學(xué)習(xí)集團(tuán)下發(fā)的各項(xiàng)文件和規(guī)定，作到心中有數(shù)。

2、涉及重大經(jīng)濟(jì)合同方面的事項(xiàng)嚴(yán)格按公司規(guī)定辦。20**年公司新增固定資產(chǎn)投資2000多萬元，涉及我分管的部門資金就占了一半，對(duì)于這些項(xiàng)目的采購，我以宏觀把握為主，具體采購則是由公司采購小組來完成。這樣就避免了領(lǐng)導(dǎo)一言堂，使采購走過場(chǎng)的可能，從而有效地發(fā)揮了采購小組貨比三家的原則，達(dá)到了按優(yōu)采購的目的。

3、堅(jiān)持民-主集中制原則。對(duì)于重大問題多請(qǐng)示，常匯報(bào)，把自己分管的工作進(jìn)行通報(bào)，做到在位不越位，分工不分家;使工作大家一起作，困難一起幫。

二、礪志勤勉，緊緊圍繞三條主線開展工作

1、圍繞黨委分工協(xié)助總經(jīng)理抓好落實(shí)。

20**年黨委分工中明確，我主管經(jīng)營管理工作，協(xié)助總經(jīng)理抓好財(cái)務(wù)工作，兼管地勤保障部、安全檢查站，聯(lián)系公安、口岸工作。

公司的財(cái)務(wù)工作一直走在集團(tuán)的前列，這是有目共睹的，多年來，形成了一整套行之有效的規(guī)章制度，特別是20**年度，企劃財(cái)務(wù)部的工作除了作好了日常工作，如財(cái)務(wù)指標(biāo)的下達(dá)、年中的財(cái)務(wù)檢查與考核、以及年未財(cái)務(wù)兌現(xiàn)工作、集團(tuán)財(cái)務(wù)規(guī)定的各項(xiàng)工作，充分為了公司的兩大審計(jì)工作和文明機(jī)場(chǎng)的準(zhǔn)備工作積極籌措資金，快速上報(bào)各項(xiàng)固定資產(chǎn)投資計(jì)劃。此外，還圓滿地完成了湖南審計(jì)廳對(duì)包括對(duì)我分公司在內(nèi)的機(jī)場(chǎng)集團(tuán)的經(jīng)濟(jì)責(zé)任審計(jì)工作，這既是一場(chǎng)硬仗，又是一場(chǎng)大勝仗。

地勤保障部和安全檢查站都是一線生產(chǎn)單位，直接面對(duì)旅客和機(jī)組人員，每一個(gè)人的工作都代表了機(jī)場(chǎng)的形象，兩個(gè)部門在公司的員工總數(shù)中占到了二分之一，但相對(duì)于目前公司的生產(chǎn)量和場(chǎng)地來說，其工作崗位還欠缺人手。我是從05年開始分管地勤保障部的，從一開始，我不是特別熟悉其工作，因此買了一些服務(wù)禮儀方面的書籍來充實(shí)自己，平時(shí)注意到基層多問、多看，漸漸地熟悉了這個(gè)部門的工作性質(zhì)，崗位流程，以及員工歡快的笑聲與委屈的淚水。地保部的工作是安全與服務(wù)兩大主題，但更多地是服務(wù)工作。采取了不少形式來提高服務(wù)質(zhì)量。我是從去年開始分管安檢站的工作的，由于國際形勢(shì)日益復(fù)雜，空防安全凸現(xiàn)壓力。只有從技術(shù)手段不斷提升才能有效降低安全風(fēng)險(xiǎn)，同時(shí)也必須注重服務(wù)質(zhì)量，才能取得旅客的配合與滿意。

地保部和安檢站還在公司的文藝和體育方面充當(dāng)著積極的主力軍,他們克服工作壓力,擠出時(shí)間,積極參與,涌現(xiàn)出了不少明星或中堅(jiān)骨干.

2、圍繞公司重點(diǎn)工作搞好督促工作;

應(yīng)該說，機(jī)場(chǎng)分公司2013年有三件大事：即文明機(jī)場(chǎng)的創(chuàng)建，安保審計(jì)和安全審計(jì)。如果說我的分管工作更多地是從塊塊出發(fā)的話，那2013年我在督促公司的重點(diǎn)工作方面更多地是從條條出發(fā)，兼顧塊塊的。2013年公司的這三件大事，集團(tuán)都給予了高度的重視，集團(tuán)領(lǐng)導(dǎo)多次來公司指導(dǎo)工作。公司黨委也是下定決心，集中精力辦大事，出臺(tái)了一系列的舉措來確保這三件大事的順利完成。我也正是基于公司的統(tǒng)一部署不折不扣的抓落實(shí)的。

在文明機(jī)場(chǎng)創(chuàng)建時(shí)，我主要負(fù)責(zé)環(huán)境衛(wèi)生的督察工作。我機(jī)場(chǎng)在創(chuàng)建前，基礎(chǔ)工作相對(duì)薄弱，環(huán)境秩序檔次較低，集團(tuán)公司秦書記幾次親臨公司指導(dǎo)工作時(shí)，對(duì)我公司的創(chuàng)建工作從很高的角度出發(fā)，除了給候機(jī)樓更換了座椅，同意安排專門的改造費(fèi)用，新增了人手，此外，對(duì)工作區(qū)的環(huán)境衛(wèi)生的整改也提出了很高的標(biāo)準(zhǔn)。正是由于上級(jí)領(lǐng)導(dǎo)的支持與關(guān)心，文明機(jī)場(chǎng)的創(chuàng)建工作進(jìn)展比較順利。各部門把各自責(zé)任區(qū)的環(huán)境衛(wèi)生按照高標(biāo)準(zhǔn)完成了，對(duì)于機(jī)關(guān)下達(dá)的整改通知也都能按時(shí)完成。

安保審計(jì)工作的意義在于嚴(yán)把空防安全關(guān)口，規(guī)范進(jìn)入隔離區(qū)的人、車和物品的程序，消除進(jìn)入隔離區(qū)的人、車和物品可能存在的不安全性因素，完善機(jī)場(chǎng)應(yīng)急救援程序。在審計(jì)前，我主要針對(duì)機(jī)場(chǎng)坪秩序和進(jìn)入隔離區(qū)的證件辦理進(jìn)行了督促，重點(diǎn)加強(qiáng)了對(duì)公安和安檢的檢查工作。在陪同審計(jì)組檢查時(shí)，不失時(shí)機(jī)地把公司上下齊心協(xié)力地作準(zhǔn)備工作的感人經(jīng)歷介紹給審計(jì)人員，讓審計(jì)組能更動(dòng)態(tài)地了解我公司的安保審計(jì)工作的認(rèn)真對(duì)待的態(tài)度和爭取達(dá)標(biāo)的迫切心理。此外，由于安檢員人數(shù)和執(zhí)證上崗率都難以達(dá)到標(biāo)準(zhǔn)，安檢站也充分利用同學(xué)關(guān)系，積極作工作，爭取審計(jì)員理解我們的工作，使其相信我們今后會(huì)作得更好!

通過文明機(jī)場(chǎng)和安保審計(jì)工作的順利完成，公司的環(huán)境秩序明顯變化了，各種規(guī)章和臺(tái)賬也建立健全了，迎審工作經(jīng)驗(yàn)也豐富了。因此，對(duì)于安全審計(jì)工作也作到了心中有數(shù)。安全審計(jì)工作包含七大部分，我主要負(fù)責(zé)對(duì)各部門的進(jìn)度情況進(jìn)行掌握，重點(diǎn)是帶領(lǐng)人事部對(duì)各部門的人員培訓(xùn)進(jìn)行檢查。由于大家的準(zhǔn)備工作充分，加上審計(jì)過程中積極熱情，把一個(gè)充滿活力，富有朝氣的荷花機(jī)場(chǎng)展現(xiàn)在審計(jì)組全體人員和觀摩人員面前了，因此，審計(jì)工作相當(dāng)順利地通過了。

3、圍繞公司對(duì)外關(guān)系作好協(xié)調(diào)工作;

篇10

為了應(yīng)對(duì)各種安全風(fēng)險(xiǎn),保障公安網(wǎng)絡(luò)及其信息資源的安全,四川省公安選用了啟明星辰的全系安全產(chǎn)品來為其提供全面、可靠的安全保障。

安全域劃分

遵循IATF的縱深防御思想和IA原則,結(jié)合四川省公安信息網(wǎng)絡(luò)的實(shí)際情況,啟明星辰對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行了安全域劃分。啟明星辰將整個(gè)網(wǎng)絡(luò)劃分為邊界接入域、計(jì)算環(huán)境域、網(wǎng)絡(luò)設(shè)施域和支撐設(shè)施域四個(gè)安全域;每個(gè)安全域又分為不同的安全區(qū),如根據(jù)接入的現(xiàn)狀將邊界接入域劃分為外聯(lián)網(wǎng)接入?yún)^(qū)、內(nèi)部接入?yún)^(qū)、內(nèi)聯(lián)網(wǎng)接入?yún)^(qū)和邊界接入平臺(tái)四個(gè)不同的接入?yún)^(qū)。

在這四個(gè)安全域中,所面臨的風(fēng)險(xiǎn)和風(fēng)險(xiǎn)的危害程度是各不相同的,防護(hù)的重點(diǎn)也不一樣,需要根據(jù)每個(gè)安全域的特點(diǎn)制定相應(yīng)的安全策略,部署相應(yīng)的安全產(chǎn)品。

邊界接入域

網(wǎng)絡(luò)邊界的綜合安全防護(hù)

邊界接入域所面臨的主要威脅包括非授權(quán)訪問、來自外部的入侵、蠕蟲病毒等,因此在邊界接入域上需要采取訪問控制(防火墻)、安全遠(yuǎn)程接入(VPN)、防病毒和網(wǎng)絡(luò)入侵防御等多種安全防護(hù)措施,全面應(yīng)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

針對(duì)邊界接入域的防護(hù)需求,啟明星辰在邊界接入域各接入?yún)^(qū)的邊界位置部署天清漢馬USG一體化安全網(wǎng)關(guān),以提供綜合的安全防御。

天清漢馬USG一體化安全網(wǎng)關(guān)是國內(nèi)領(lǐng)先的UTM產(chǎn)品,市場(chǎng)份額在2007年和2008年連續(xù)兩年位居國內(nèi)廠商前茅。天清漢馬USG除具備防火墻的狀態(tài)檢測(cè)和訪問控制功能外,還具備VPN、網(wǎng)關(guān)防病毒、網(wǎng)絡(luò)入侵防御(IPS)、抗拒絕服務(wù)(DoS)攻擊等高級(jí)安全功能,能夠?yàn)榫W(wǎng)絡(luò)邊界提供立體化的縱深防御,并大大簡化網(wǎng)絡(luò)邊界的安全部署。天清漢馬USG采用了高性能的硬件架構(gòu)和一體化的軟件設(shè)計(jì),在開啟多種安全防護(hù)功能之后,仍然能夠確保高性能和低延遲,可謂是邊界防御的理想之選。

計(jì)算環(huán)境域

核心業(yè)務(wù)安全防御和合規(guī)保障

計(jì)算環(huán)境域包含了公安信息網(wǎng)中核心的業(yè)務(wù)平臺(tái)和業(yè)務(wù)服務(wù)器,其所面臨的主要威脅是外界對(duì)應(yīng)用系統(tǒng)的攻擊和入侵行為,尤其是SQL注入攻擊和跨站腳本(XSS)攻擊對(duì)網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)所帶來的嚴(yán)重危害。另外,內(nèi)部人員越權(quán)、濫用、操作失誤和抵賴等行為所帶來的安全風(fēng)險(xiǎn),也需要進(jìn)行積極的防范。

以核心計(jì)算域核心服務(wù)器區(qū)的防護(hù)為例,針對(duì)外部的攻擊和入侵行為,可以通過部署千兆天清NDP入侵防御系統(tǒng)(IPS)來提供深層防御。天清IPS可以防御傳統(tǒng)防火墻發(fā)現(xiàn)不了的4~7層深層攻擊行為,如緩沖溢出、木馬后門、蠕蟲病毒等,能夠進(jìn)一步提升對(duì)關(guān)鍵業(yè)務(wù)和數(shù)據(jù)的防御能力。針對(duì)日益泛濫的SQL注入攻擊、跨站腳本攻擊等網(wǎng)絡(luò)攻擊行為,天清IPS采用了攻擊機(jī)理分析的檢測(cè)技術(shù)。與傳統(tǒng)的基于數(shù)據(jù)特征匹配和基于異常模型構(gòu)建的檢測(cè)方相比,基于攻擊機(jī)理分析的檢測(cè)技術(shù)有著更低的漏報(bào)率和誤報(bào)率,能夠?qū)W(wǎng)絡(luò)攻擊行為進(jìn)行精確的判斷和阻斷,不會(huì)因?yàn)檎`警而影響網(wǎng)絡(luò)的正常應(yīng)用。

針對(duì)內(nèi)部合規(guī)審計(jì)和管理的需求,通過部署啟明星辰天h網(wǎng)絡(luò)安全審計(jì)系統(tǒng),可以做到對(duì)重要數(shù)據(jù)庫和關(guān)鍵業(yè)務(wù)應(yīng)用的行為審計(jì)。天h網(wǎng)絡(luò)安全審計(jì)系統(tǒng)是對(duì)業(yè)務(wù)環(huán)境下的網(wǎng)絡(luò)操作行為進(jìn)行細(xì)粒度審計(jì)的合規(guī)性管理系統(tǒng)。它通過對(duì)被授權(quán)人員和系統(tǒng)的網(wǎng)絡(luò)行為進(jìn)行解析、分析、記錄、匯報(bào),能夠幫助用戶實(shí)現(xiàn)事前規(guī)劃預(yù)防、事中實(shí)時(shí)監(jiān)控和違規(guī)響應(yīng),以及事后合規(guī)報(bào)告和追蹤回放,從而加強(qiáng)內(nèi)外部網(wǎng)絡(luò)行為監(jiān)管,避免核心資產(chǎn)(數(shù)據(jù)庫、服務(wù)器、網(wǎng)絡(luò)設(shè)備等)損失,保障業(yè)務(wù)系統(tǒng)的正常運(yùn)營。

網(wǎng)絡(luò)設(shè)施域

網(wǎng)絡(luò)行為和流量監(jiān)控

網(wǎng)絡(luò)設(shè)施域內(nèi)的各種網(wǎng)絡(luò)設(shè)備,承載著公安信息網(wǎng)內(nèi)所有的業(yè)務(wù)和通信流量,面臨著漏洞利用、數(shù)據(jù)竊聽、通信鏈路故障等風(fēng)險(xiǎn)。除了通過各種措施保證通信鏈路的可靠性以外,還需要對(duì)網(wǎng)絡(luò)中的各種安全事件、網(wǎng)絡(luò)流量的分布情況進(jìn)行監(jiān)測(cè),并根據(jù)監(jiān)測(cè)到的信息及時(shí)調(diào)整安全策略。

針對(duì)網(wǎng)絡(luò)設(shè)施域的防護(hù)需求,啟明星辰在信息網(wǎng)的核心交換機(jī)上旁路部署天闐入侵檢測(cè)系統(tǒng)(IDS),來對(duì)全網(wǎng)的安全事件和流量信息進(jìn)行監(jiān)控。

啟明星辰的天闐IDS連續(xù)六年(2003~2008年)蟬聯(lián)國內(nèi)IDS市場(chǎng)領(lǐng)先地位,是名副其實(shí)的中國IT安全市場(chǎng)入侵檢測(cè)知名品牌。天闐IDS可以監(jiān)視端口掃描、木馬后門攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊、網(wǎng)絡(luò)蠕蟲攻擊等各種入侵事件,并在發(fā)生嚴(yán)重入侵事件時(shí)通過屏幕提示、郵件告警、E-mail告警等多種方式向管理員提供報(bào)警。天闐IDS還可以對(duì)全網(wǎng)的流量情況進(jìn)行全局分析,提供實(shí)時(shí)的流量統(tǒng)計(jì)圖,幫助網(wǎng)絡(luò)管理員直觀地掌握網(wǎng)絡(luò)中各種應(yīng)用的分布情況。

支撐設(shè)施域

脆弱性評(píng)估和內(nèi)網(wǎng)安全

支撐設(shè)施域范圍很廣,包含了信息網(wǎng)中所使用的業(yè)務(wù)應(yīng)用運(yùn)維系統(tǒng)、公用秘鑰體系、安全管理體系等各種支撐體系。支撐域所面臨的風(fēng)險(xiǎn)主要有兩方面:一方面是支撐域中的各種終端、網(wǎng)絡(luò)設(shè)備、服務(wù)器可能存在的漏洞和脆弱性,這些漏洞和脆弱性能夠被不法分子利用以進(jìn)入內(nèi)部網(wǎng)絡(luò),非法獲取內(nèi)部信息資產(chǎn);另一方面來自于內(nèi)部人員,員工的不規(guī)范操作、終端隨意接入、權(quán)限私自共享等行為,往往會(huì)導(dǎo)致傳輸泄密、網(wǎng)絡(luò)癱瘓、文件破壞等嚴(yán)重后果。

對(duì)于資產(chǎn)的脆弱性風(fēng)險(xiǎn),通過在支撐域中部署天鏡脆弱性掃描和管理系統(tǒng),可以快速發(fā)現(xiàn)網(wǎng)絡(luò)中的各種資產(chǎn),并對(duì)資產(chǎn)進(jìn)行識(shí)別;對(duì)網(wǎng)絡(luò)中的核心服務(wù)器、各種終端、重要的網(wǎng)絡(luò)設(shè)備,包括服務(wù)器、交換機(jī)等進(jìn)行安全漏洞檢測(cè)和分析;對(duì)于發(fā)現(xiàn)的漏洞,給出修復(fù)建議和預(yù)防措施,并對(duì)風(fēng)險(xiǎn)控制策略進(jìn)行有效審核,從而幫助客戶在弱點(diǎn)全面評(píng)估的基礎(chǔ)上實(shí)現(xiàn)安全自主掌控。

對(duì)于內(nèi)部人員風(fēng)險(xiǎn),通過在業(yè)務(wù)和運(yùn)維終端部署天內(nèi)網(wǎng)風(fēng)險(xiǎn)控制和安全管理系統(tǒng),能夠?qū)θW(wǎng)的接入主機(jī)進(jìn)行補(bǔ)丁自動(dòng)分發(fā)和終端合規(guī)檢查,杜絕不安全的終端接入內(nèi)網(wǎng)。使用天獨(dú)有的內(nèi)核加密技術(shù),可實(shí)時(shí)動(dòng)態(tài)加解密,以及基于用戶角色的關(guān)鍵數(shù)據(jù)受控共享,結(jié)合完善的防非法外聯(lián)技術(shù),能夠有效切斷數(shù)據(jù)非法傳播途徑,從根本上解決數(shù)據(jù)防泄密問題,保護(hù)用戶關(guān)鍵信息資產(chǎn)。