信息安全管理辦法范文

時間:2023-10-09 17:12:02

導(dǎo)語:如何才能寫好一篇信息安全管理辦法,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務(wù)員之家整理的十篇范文,供你借鑒。

篇1

【關(guān)鍵詞】信息與通信工程;安全管理;施工現(xiàn)場

1.信息通信工程安全管理理念

信息通信工程是人們?nèi)粘I钪胁豢扇鄙俚囊徊糠?,同樣也是國家政治、軍事以及企業(yè)運行中不可或缺的,所以它的安全管理在使用中顯得尤為重要。所以,它在我國社會發(fā)展中起著重要的作用。信息通信工程安全管理一般是指在信息通信工程安全建設(shè)中所涉及到的有關(guān)問題,例如建設(shè)主管部門安全問題、建設(shè)主體安全問題、安全生產(chǎn)企業(yè)管理問題等,所以,在信息通信工程管理建設(shè)中,安全是發(fā)展中的首要問題。

2.通信工程安全管理的重要性

2.1促進安全生產(chǎn)保證機制的形成

對信息通信工程實行安全管理制度,可以提高施工人員在工作中的安全意識,同時也會引起企業(yè)其他部門的爭相效仿,進而使整個單位企業(yè)都對安全施工有了新的認識,促進了政府、施工企業(yè)以及監(jiān)理單位等監(jiān)管體系的有效協(xié)作,更加促進安全生產(chǎn)保障機制形成,為施工人員作業(yè)安全提供保障。

2.2提高信息通信工程安全生產(chǎn)水平

政府、施工企業(yè)以及監(jiān)理單位等監(jiān)管體系的有效協(xié)作,即政府安全生產(chǎn)監(jiān)管、施工單位的安全控制以及監(jiān)理單位建立的有效協(xié)作,充分發(fā)揮了有效的市場監(jiān)管作用,政府在信息通信工程的調(diào)解中發(fā)現(xiàn)了市場監(jiān)管存在的不足,監(jiān)理單位的調(diào)控使得信息通信的安全生產(chǎn)在一定程度上得到治理。施工單位一定要對施工人員制作好安全防護制度,如果施工單位仍有存在不足的地方,施工人員也可提出安全要求進行整改,只有政府、施工企業(yè)以及監(jiān)理單位相互協(xié)作,安全生產(chǎn)水平才能得到整體提高,才能保證自身和他人的生命財產(chǎn)安全。

2.3有利于實現(xiàn)通信工程建設(shè)投資效益最大化

在信息通信安全管理辦法實施以后,企業(yè)管理人員發(fā)現(xiàn)施工人員對工程監(jiān)督得到了加強,也開始修復(fù)在施工過程中出現(xiàn)的漏洞,安全施工得到很大程度的完善。這種做法不但在一定程度上避免了施工中安全事故的發(fā)生,同時也提高了信息通信工程的質(zhì)量保證,使得企業(yè)的建設(shè)投資得到正激勵提高,實現(xiàn)了工程建設(shè)投資效益最大化。

3.強化通信工程安全管理的有效對策

3.1重視對施工人員的教育

作為施工人員,在進入企業(yè)時,企業(yè)負責(zé)人就必須向施工人員講述安全施工管理的重要性,提高施工人員的綜合素質(zhì),并在企業(yè)發(fā)展工程中定期對施工人員加強安全施工的引導(dǎo),增強施工人員的職業(yè)安全素質(zhì),提高施工人員在去年全市共中的重視力度。因為信息通信工程的建設(shè)不是兒戲,它涉及到施工人員的生命安全,不能一概而論,更不能走形式主義,必須毫不松懈傳輸安全教育。

3.2提高員工責(zé)任心

在施工過程中要保證信息通信工程建設(shè)管理的安全質(zhì)量,施工人員在現(xiàn)場施工中一定要樹立強烈的責(zé)任心,要從實際出發(fā),制定出關(guān)于施工安全的管理辦法。施工人員要結(jié)合實際總結(jié)出施工時產(chǎn)生的狀況、管理中產(chǎn)生的狀況以及施工人員在安全方面的管理措施,提高工程中管理人員的整體素質(zhì),并把管理中的每個細節(jié)都落實到位。嚴(yán)格的控制并劃分出每個責(zé)任人負責(zé)的區(qū)域,若今后在信息通信工程中出現(xiàn)問題,避免責(zé)任人相互推卸責(zé)任。

3.3確保建設(shè)安全中資金的有效投入

在信息通信工程建設(shè)施工過程中,管理人員往往只重視施工的高效性,卻對安全施工不夠重視,由于對安全資金的投入不足或者不到位,在施工過程中很容易發(fā)生不確定性事故。所以,在施工之前,管理人員必須羅列出安全措施的詳細計劃單,保證在安全管理中安全??畹倪m用范圍。在安全投入費用中,監(jiān)理單位也必須對其進行單獨開支,保證監(jiān)理單位對工程監(jiān)理負責(zé)的積極性,可以在這種基礎(chǔ)上實行安全生產(chǎn)獎罰制度,促進員工進行有效安全措施。

3.4建立安全管理規(guī)章制度

我國企業(yè)對每項工程都會制定不同的安全管理辦法,并且我們質(zhì)量安全監(jiān)督局會對施工現(xiàn)場進行勘測和檢查,并簽訂《安全生產(chǎn)管理計劃書》,最大程度的把安全責(zé)任落實到位。在施工現(xiàn)場,企業(yè)要對安全施工和安全生產(chǎn)做好宣傳,弘揚安全生產(chǎn)的信心,把安全施工大標(biāo)題張貼在醒目的位置,最好切實有效的安全工作職責(zé)運行,若在施工現(xiàn)場出現(xiàn)問題,一定要認真分析出現(xiàn)問題的原因,找到可以解決的方案,切忌亂動施工現(xiàn)場,防止出現(xiàn)混亂。

結(jié)束語

隨著我國信息通信工程技術(shù)的飛速發(fā)展,其安全管理辦法的實施研究不僅是我國信息保障得到安全運用,同時在一定程度上也保障了通信施工人員的人身安全,對以后信息安全保障起到非常重要的作用。在信息通信安全管理中,要注重對工作人員安全素質(zhì)的培養(yǎng),重用高科技專業(yè)發(fā)展人才,提高人員安全保護意識。并且重視對安全管理人員的管理進行創(chuàng)新,加強安全管理理念,保證技術(shù)工程的順利進行。

參考文獻

[1] 戴凱.通信工程安全管理辦法研究[J].中國新通信,2014,(7).

[2] 黃云龍.通信工程安全管理探析[J].企業(yè)改革與管理,2014,(5).

[3] 李剛.論通信工程安全管理的對策[J].中國化工貿(mào)易 ,2013,(10):68-68.

篇2

第一條 為加強證券期貨業(yè)信息安全保障工作的組織協(xié)調(diào),建立、健全信息安全管理制度和運行機制,提高行業(yè)信息安全保障工作水平,切實保護投資者合法權(quán)益,根據(jù)國家有關(guān)法律、法規(guī)和相關(guān)規(guī)定,制定本辦法。

第二條本辦法適用于證券期貨市場的監(jiān)管機構(gòu)、行業(yè)自律組織及經(jīng)營機構(gòu)。監(jiān)管機構(gòu)為中國證券監(jiān)督管理委員會(以下簡稱“中國證監(jiān)會”);行業(yè)自律組織包括證券、期貨交易所及其通信公司,證券登記結(jié)算公司、中國證券業(yè)協(xié)會和中國期貨業(yè)協(xié)會;經(jīng)營機構(gòu)包括證券、期貨公司,基金管理公司及證券、期貨投資咨詢公司。

第二章 安全職責(zé)劃分

第三條 中國證監(jiān)會負責(zé)證券期貨行業(yè)信息安全保障工作的監(jiān)督管理及組織協(xié)調(diào)。

第四條 證券、期貨交易所及其通信公司,登記結(jié)算公司,證券、期貨公司,基金管理公司,證券、期貨投資咨詢公司等是各自信息系統(tǒng)安全運營管理的責(zé)任主體單位(以下簡稱“主體單位”)。

第五條證券交易所負責(zé)證券交易、信息及市場監(jiān)管信息系統(tǒng)的安全運營。證券通信公司受證券交易所及證券登記結(jié)算公司、經(jīng)營機構(gòu)的委托,負責(zé)通信系統(tǒng)的安全運營,保障交易、結(jié)算等業(yè)務(wù)數(shù)據(jù)的及時安全傳送。期貨交易所負責(zé)期貨交易和結(jié)算處理、信息、市場監(jiān)管信息系統(tǒng)及通信系統(tǒng)的安全運營。

第六條 證券登記結(jié)算公司負責(zé)證券登記、結(jié)算業(yè)務(wù)信息系統(tǒng)的安全運營。

第七條 中國證券業(yè)協(xié)會負責(zé)證券公司、基金管理公司、證券投資咨詢公司等會員單位信息安全保障的組織、協(xié)調(diào)工作。

中國期貨業(yè)協(xié)會負責(zé)期貨公司、期貨投資咨詢公司等會員單位信息安全保障的組織、協(xié)調(diào)工作。

第八條 證券、期貨公司,基金管理公司及證券、期貨投資咨詢公司負責(zé)總部及下屬經(jīng)營機構(gòu)信息系統(tǒng)的安全運營。

第三章 安全目標(biāo)與基本原則

第九條 信息安全保障工作的總體目標(biāo)是確保信息和信息系統(tǒng)的完整性、保密性、可用性、時效性、可審查性和可控性,切實保護市場參與各方的合法權(quán)益,促進證券期貨市場的持續(xù)、穩(wěn)定、健康發(fā)展。

第十條 信息安全保障工作的具體目標(biāo)是:

(一) 保護證券期貨業(yè)信息系統(tǒng)的物理環(huán)境、設(shè)備設(shè)施和運行環(huán)境,保證信息系統(tǒng)的環(huán)境安全;

(二) 確保信息內(nèi)容的合法性,保護信息在采集、傳輸、使用和存儲過程中的保密性、完整性、可用性、時效性、可審查性和可控性,保證信息的安全;

(三) 提高證券期貨業(yè)人員的信息安全意識、安全專業(yè)素質(zhì)以及安全管理與服務(wù)水平;

(四) 提高信息系統(tǒng)的可用率和災(zāi)難恢復(fù)能力,為業(yè)務(wù)的可持續(xù)性運行提供保障。

第十一條 信息安全保障工作應(yīng)遵循以下基本原則:

(一) 責(zé)任制原則:安全管理應(yīng)做到“誰主管,誰負責(zé)”、“誰運營,誰負責(zé)”,注重以法律手段明確與他方的責(zé)任關(guān)系,通過契約、協(xié)調(diào)等方式與他方進行責(zé)任劃分,明確進行風(fēng)險轉(zhuǎn)移,通過責(zé)任主體制約他方。

(二) 規(guī)范化原則:遵循國內(nèi)、國際的信息安全標(biāo)準(zhǔn)及行業(yè)規(guī)范,對信息系統(tǒng)實行等級保護。

(三) 全面統(tǒng)籌原則:信息安全保障工作應(yīng)貫穿于信息化全過程,堅持統(tǒng)籌規(guī)劃、突出重點,安全與發(fā)展并進,管理與技術(shù)并重,應(yīng)急防御與長效機制相結(jié)合。

(四) 實用性原則:在確保信息系統(tǒng)性能和安全的前提下,充分利用資源,講究實效,避免重復(fù)和盲目投資,積極采用國家法律法規(guī)允許的、成熟的先進技術(shù)和專業(yè)安全服務(wù),運用科學(xué)的經(jīng)營管理方法,降低成本,保障安全運行。

第四章 安全保障要求

第十二條 主體單位應(yīng)建立以安全組織體系為核心、安全管理體系為保障、安全技術(shù)體系為支撐的全面信息安全體系,保持三個體系穩(wěn)定、均衡發(fā)展。

第十三條 主體單位應(yīng)建立明確的信息安全組織體系:

(一) 建立決策層、管理層和執(zhí)行層三層工作關(guān)系,明確信息安全主管領(lǐng)導(dǎo),落實信息安全管理部門,指定信息安全執(zhí)行崗位;

(二) 設(shè)立專職的安全管理員和安全審計員崗位,分別負責(zé)信息安全工作的實施和審計;

(三) 通過多種安全培訓(xùn)方式加強信息安全人才隊伍的建設(shè),提高信息安全工作人員的技能水平,提高員工安全意識。

第十四條 主體單位應(yīng)建立全面的信息安全管理體系:

(一) 制定統(tǒng)一的信息安全策略和全面、可操作的信息安全管理制度,指導(dǎo)和規(guī)范信息系統(tǒng)的安全規(guī)劃與建設(shè),確保策略和制度得到恰當(dāng)?shù)睦斫獠⒌玫接行У淖裱蛨?zhí)行;

(二) 加強信息系統(tǒng)資產(chǎn)安全管理,保護信息系統(tǒng)設(shè)備、軟件、數(shù)據(jù)和技術(shù)文檔的安全,實行信息系統(tǒng)資產(chǎn)管理責(zé)任制,實現(xiàn)等級管理、密級管理,重點保護核心信息系統(tǒng)資產(chǎn)的安全;

(三) 強化信息系統(tǒng)的物理安全保護,執(zhí)行嚴(yán)格的機房安全管理、環(huán)境安全管理和有效的物理控制措施;

(四) 建立信息系統(tǒng)網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等各層面的安全管理流程,實現(xiàn)對信息系統(tǒng)規(guī)劃、建設(shè)、運行、維護各個階段的安全管理,開發(fā)與運營獨立管理,嚴(yán)格執(zhí)行日常的實時管理和定期管理工作;

(五) 實現(xiàn)對信息系統(tǒng)的安全風(fēng)險管理,對信息資產(chǎn)、威脅和脆弱性的狀況進行定期評估,及時發(fā)現(xiàn)安全隱患并進行預(yù)防性的保護,選擇適用、有效的安全措施。

第十五條 主體單位應(yīng)建立有效的信息安全技術(shù)體系:

(一) 建立完善的安全預(yù)警體系,及時發(fā)現(xiàn)安全隱患;

(二) 強化現(xiàn)有的安全防護體系,實現(xiàn)對核心業(yè)務(wù)系統(tǒng)的重點保護;

(三) 建立有效的安全監(jiān)控體系,監(jiān)控核心業(yè)務(wù)系統(tǒng),為進一步完善信息安全體系提供決策依據(jù);

(四) 建立全面的應(yīng)急響應(yīng)體系,制定規(guī)范、完整的應(yīng)急處理和響應(yīng)流程,定期進行應(yīng)急恢復(fù)的演練和測試,完善信息安全通報機制;

(五) 按照不同的安全保護等級建立相應(yīng)的災(zāi)難恢復(fù)體系,定期進行災(zāi)難恢復(fù)的演練和測試,確保災(zāi)難發(fā)生后能夠充分發(fā)揮備份的效能,降低造成的影響和損失。

第五章 附 則

第十六條 中國證監(jiān)會對證券期貨業(yè)信息系統(tǒng)安全保障情況組織安全檢查,檢查方式包括自檢查、委托檢查等方式。

篇3

【關(guān)鍵詞】安全等級;四級;TDCS;接入安全

1 TDCS與《信息安全等級保護管理辦法》中四級基本要求的差距

1.1 四級基本要求介紹

《信息安全等級保護管理辦法》中四級的基本要求有2大方面即管理要求與技術(shù)要求。

1.1.1 管理要求

該部分分為5個方面:安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理。

1.1.2 技術(shù)要求

要求分為5個方面:物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)。下面就這5個方面進行簡單介紹。

1)物理安全

規(guī)定了系統(tǒng)設(shè)備的物理環(huán)境,避免常見自然或人為災(zāi)害的影響。

2)網(wǎng)絡(luò)安全

結(jié)構(gòu)安全:規(guī)定了結(jié)構(gòu)上要保證冗余并根據(jù)職能和重要性進行網(wǎng)段劃分,通道上要保證訪問路徑的安全和帶寬,邊界上保證與其它網(wǎng)絡(luò)的可靠隔離。

訪問控制:邊界上要部署訪問流量的控制設(shè)備,進行訪問控制;內(nèi)部嚴(yán)禁開通遠程撥號功能。

安全審計:集中審計運行情況、流量、用戶行為,便于分析問題以及數(shù)據(jù)恢復(fù)。

入侵防范:監(jiān)測網(wǎng)絡(luò)邊界的攻擊行為,并定位記錄和即時報警。

惡意代碼防范:在內(nèi)部及時更新防范的代碼庫,在邊界要做到檢測和清除惡意代碼。

3)主機安全

規(guī)定了身份鑒別、安全標(biāo)記、訪問控制、可信路徑、安全審計、信息保護、入侵防范、惡意代碼防范及資源控制。

4)應(yīng)用安全

規(guī)定了身份鑒別、安全標(biāo)記、訪問控制、可信路徑、安全審計、信息保護、通信的完整性和保密性、軟件容錯、資源控制、抗抵賴。

5)數(shù)據(jù)安全及備份恢復(fù)

規(guī)定了數(shù)據(jù)的完整性和保密性,以及備份數(shù)據(jù)的恢復(fù)。

1.2 TDCS現(xiàn)狀與四級差距

目前TDCS網(wǎng)絡(luò)安全建設(shè)相對于《國家信息安全等級保護管理辦法》中4 級《信息系統(tǒng)安全等級保護基本要求》還存在著巨大的差距,其中如接入安全控制系統(tǒng)、指紋認證系統(tǒng)、網(wǎng)絡(luò)安全審計和IT資源集中安全管理等重要網(wǎng)絡(luò)安全子系統(tǒng)目前仍是空白,具體防護差距請見表1。

2 幾種網(wǎng)絡(luò)安全技術(shù)介紹

2.1 接入安全控制系統(tǒng)

接入安全控制系統(tǒng)是內(nèi)網(wǎng)安全管理的重要組成部分,部署在企業(yè)的內(nèi)部網(wǎng)絡(luò)中,可以保護內(nèi)部計算機免受外來終端的危害,可禁止重要信息通過外設(shè)和USB 等端口泄漏,防范非法設(shè)備接入內(nèi)網(wǎng)等。

2.1.1 外設(shè)與接口管理

外設(shè)與接口管理主要對內(nèi)網(wǎng)終端計算機上的各種外設(shè)和接口進行管理??梢詫?nèi)網(wǎng)終端計算機上的各種外設(shè)和接口設(shè)置禁用,防止用戶非法使用。

2)本表嚴(yán)格依據(jù)國家《信息安全等級保護管理辦法》中4 級《信息系統(tǒng)安全等級保護基本要求》起草,表中8.x.x.x 編號為《基本要求》文件中實際編號.

1)存儲設(shè)備禁用

除了網(wǎng)絡(luò)外,另一個最可能帶來病毒入侵的方式就是存儲設(shè)備了。內(nèi)網(wǎng)安全控制系統(tǒng)可以禁止如下存儲設(shè)備的使用:軟驅(qū)、光驅(qū)、存儲設(shè)備、移動硬盤等。

2)設(shè)置移動存儲設(shè)備只讀

內(nèi)網(wǎng)安全控制系統(tǒng)可以設(shè)置將移動存儲設(shè)備置于只讀狀態(tài),不允許用戶修改或者寫入。

2.1.2 安全接入管理

1)在線主機監(jiān)測可以通過監(jiān)聽和主動探測等方式檢測網(wǎng)絡(luò)中所有在線的主機,并判別在線主機是否是經(jīng)過內(nèi)網(wǎng)安全控制系統(tǒng)授權(quán)認證的信任主機。

2)主機授權(quán)認證

很多的計算機被病毒入侵,主要原因是自身的健壯性與否造成的。根據(jù)這種情況,內(nèi)網(wǎng)安全控制系統(tǒng)提供了網(wǎng)絡(luò)授權(quán)認證功能。內(nèi)網(wǎng)安全控制系統(tǒng)可以通過識別在線主機是否安裝客戶端程序,并結(jié)合客戶端報告的主機補丁安裝情況,反病毒程序安裝和工作情況等信息,進行網(wǎng)絡(luò)的授權(quán)認證,只允許通過授權(quán)認證的主機使用網(wǎng)絡(luò)資源。

3)非法主機網(wǎng)絡(luò)阻斷

對于探測到的非法主機,內(nèi)網(wǎng)安全控制系統(tǒng)可以主動阻止其訪問任何網(wǎng)絡(luò)資源,從而保證非法主機不對網(wǎng)絡(luò)產(chǎn)生影響。

3 結(jié)束語

可以想像,未來的TDCS系統(tǒng),應(yīng)該具備這樣幾個特點:第一,網(wǎng)絡(luò)是安全的,體現(xiàn)在網(wǎng)絡(luò)應(yīng)該具有精確識別人員身份,可以阻止內(nèi)部和外部攻擊,可以阻止各種內(nèi)網(wǎng)安全控制系統(tǒng)未授權(quán)的非法主機接入和訪問。第二,網(wǎng)絡(luò)是穩(wěn)定的,體現(xiàn)在網(wǎng)絡(luò)應(yīng)該具有冗余性和自愈性及良好的通道。第三,網(wǎng)絡(luò)管理是高效地,體現(xiàn)在將有統(tǒng)一的管理設(shè)備可以將網(wǎng)絡(luò)管理功能覆蓋。

【參考文獻】

篇4

在國際信息安全環(huán)境日趨惡劣,國家全面倡導(dǎo)信息安全的大環(huán)境下,為了確保信息安全工作的可持續(xù)性開展及業(yè)務(wù)信息系統(tǒng)的穩(wěn)定運行,依據(jù)集團總部《關(guān)于建立集團公司網(wǎng)絡(luò)與信息安全組織保障體系的通知》、鄂通信局發(fā)[2013]127號《關(guān)于進一步落實基礎(chǔ)電信企業(yè)網(wǎng)絡(luò)與信息安全責(zé)任考核及有關(guān)工作的意見》等相關(guān)文件精神,同時參考《GA/T708-2007信息安全技術(shù)-信息系統(tǒng)安全等級保護體系框架》、《GB/T22239-2008信息安全技術(shù)-信息系統(tǒng)安全等級保護基本要求》《GB/T20269-2006信息安全技術(shù)-信息系統(tǒng)安全管理要求》、《GB/T0984-2007信息安全技術(shù)-信息安全風(fēng)險評估規(guī)范》等國家標(biāo)準(zhǔn),制定了《信息安全管理辦法》、《信息安全策略》、《安全保障框架》及《安全保障基線規(guī)范》規(guī)范等,率先在企業(yè)內(nèi)建立并實施該體系,全面倡導(dǎo)企業(yè)向信息安全生產(chǎn)經(jīng)營轉(zhuǎn)型,同時積極引導(dǎo)合作伙伴樹立信息安全意識,規(guī)范自身的生產(chǎn)及合作行為,明確安全風(fēng)險責(zé)任、細化管理要求,立足自身,兼顧第三方,共同打造信息安全的綠色長城,確保企業(yè)長足健康發(fā)展。通過該安全管理體系的實施,從中全面深入地挖掘現(xiàn)有安全體系的不足之處,并針對現(xiàn)有業(yè)務(wù)系統(tǒng)中的各類安全隱患制定了有效的整改方案并予以實施、預(yù)警,確保了移動互聯(lián)網(wǎng)業(yè)務(wù)的可持續(xù)性發(fā)展及業(yè)務(wù)信息系統(tǒng)的穩(wěn)定運行。首先,組織完成企業(yè)的自有業(yè)務(wù)信息系統(tǒng)和合作業(yè)務(wù)信息系統(tǒng)的安全等級劃分工作,將平臺安全管理工作落實到具體的責(zé)任人,并簽署責(zé)任狀,從而樹立全員安全責(zé)任意識,實現(xiàn)人人參與安全管理。定期采用SysInternalsSuite、Nmap、Nes-sus、Openvas、Metasploit等技術(shù)對業(yè)務(wù)信息系統(tǒng)進行安全掃描、安全審計,并應(yīng)用HIVE、Waka、PIG、Mahout等工具對海量日志、數(shù)據(jù)進行分析和審核,發(fā)現(xiàn)相關(guān)漏洞與脆弱點,并針對自有及合作業(yè)務(wù)信息系統(tǒng)編寫了整改建議和系統(tǒng)層面的加固方案。通過持續(xù)對自有及合作信息系統(tǒng)的檢查,共發(fā)現(xiàn)自有業(yè)務(wù)信息系統(tǒng)存在各類安全漏洞攻擊39處,合作業(yè)務(wù)信息系統(tǒng)存在各類安全漏洞14處,目前這些漏洞已經(jīng)全部整改與加固完畢,消除了安全隱患。其次,以信息安全管理為導(dǎo)向,組建了由電信營運商、合作伙伴、專業(yè)公司三方共同構(gòu)成的一支業(yè)務(wù)信息系統(tǒng)安全管理團隊,通過從合作業(yè)務(wù)管理規(guī)范的建立到合作伙伴安全技能培訓(xùn),從信息安全制度宣貫到系統(tǒng)安全處罰辦法的落實執(zhí)行,從系統(tǒng)安全的定期評估到系統(tǒng)漏洞的及時加固等一系列舉措,最終創(chuàng)建一套業(yè)務(wù)信息系統(tǒng)全新的安全管理模型,提高業(yè)務(wù)信息系統(tǒng)運行質(zhì)量和服務(wù)能力,提升創(chuàng)新業(yè)務(wù)品牌形象。從安全管理模型啟用至今,未發(fā)生一起信息安全事故,這樣強化了合作伙伴的信息安全概念,督促合作伙伴在發(fā)展業(yè)務(wù)的同時也重點關(guān)注信息安全問題,極大地降低了由于合作系統(tǒng)的信息安全漏洞導(dǎo)致的中病毒或木馬、假冒網(wǎng)站、賬號或密碼被盜、個人信息泄露等客戶信息安全事件的發(fā)生概率,此類原因造成創(chuàng)新業(yè)務(wù)投訴比率和往年相比降低了15%,改變了用戶對創(chuàng)新業(yè)務(wù)的固有印象,建立了良好的創(chuàng)新業(yè)務(wù)服務(wù)品牌形象。此模型具備良好的可復(fù)制性,可指導(dǎo)通信領(lǐng)域運營企業(yè)開展信息安全工作。在全國率先打造這套移動互聯(lián)網(wǎng)業(yè)務(wù)安全管理體系,包含一系列業(yè)務(wù)系統(tǒng)信息安全管理辦法、信息安全策略、安全保障框架、安全保障基線規(guī)范等相關(guān)業(yè)務(wù)系統(tǒng)管理制度及規(guī)范,業(yè)務(wù)系統(tǒng)安全管理體系的先進性和時效性在通信行業(yè)內(nèi)名列前茅,同時通過近兩年的安全理論研究和安全評估加固實踐,針對當(dāng)前企業(yè)業(yè)務(wù)平臺系統(tǒng)在信息安全監(jiān)管中面臨的一些問題,對當(dāng)前主流關(guān)聯(lián)分析技術(shù)進行研究的基礎(chǔ)上,提出了一種新的安全事件關(guān)聯(lián)分析技術(shù)。該技術(shù)涉及到多源數(shù)據(jù)預(yù)處理、報警聚合、關(guān)聯(lián)分析、大數(shù)據(jù)分析和安全狀況態(tài)勢評估等相關(guān)技術(shù)。此技術(shù)運用到電信行業(yè)的信息安全監(jiān)管上,就能夠?qū)ΡO(jiān)控設(shè)備收集的日志及安全設(shè)備產(chǎn)生的告警進行關(guān)聯(lián)分析和挖掘,從包含大量冗余信息的數(shù)據(jù)中提取出盡可能多的隱藏的安全信息,通過對此類信息的統(tǒng)計、濃縮、總結(jié)、關(guān)聯(lián)和分類,抽象出利于進行判斷和比較的特征庫,并智能地學(xué)習(xí)和維護其特征庫,從而在提高安全事件報警準(zhǔn)確率的情況下保證極高的識別效率。同時該安全管理體系成功應(yīng)用到與百度公司合作開發(fā)的愛奇藝視頻業(yè)務(wù)系統(tǒng)、與騰訊科技公司聯(lián)合開發(fā)的微信平臺、與奇虎科技公司共同開發(fā)的安全衛(wèi)士手機應(yīng)用系統(tǒng),得到部分在美國納斯達克上市的中國互聯(lián)網(wǎng)精英公司的高度認可和贊許,并表示今后與電信運營商共同開發(fā)產(chǎn)品都依照此安全管理規(guī)范和體系,確保產(chǎn)品的各項安全性能指標(biāo)。

2創(chuàng)新點

為順應(yīng)移動互聯(lián)網(wǎng)時代,運營商從基礎(chǔ)通信運營向流量運營轉(zhuǎn)型的新趨勢,湖北移動確定了“業(yè)務(wù)轉(zhuǎn)型,安全先行”的發(fā)展思路,堅持“以安全保發(fā)展、以發(fā)展促安全”。在已有的網(wǎng)絡(luò)與信息安全管理辦法的基礎(chǔ)上,積極開展適應(yīng)移動互聯(lián)網(wǎng)時代安全管理體系建設(shè),不斷推進科學(xué)的安全管理方法,做到六“注重”六“突出”,即:(1)注重整體規(guī)劃,突出體系建設(shè),促進職責(zé)高效履行。制定下發(fā)安全標(biāo)準(zhǔn)化管理與評價體系建設(shè)計劃,內(nèi)容涵蓋安全工作方針目標(biāo)、安全目標(biāo)、各方職責(zé)、安全管理體系和模式、安全設(shè)施和機房環(huán)境保護設(shè)施標(biāo)準(zhǔn)、安全文明操作保證金、安全考核與獎懲、過程的主要控制措施、應(yīng)急準(zhǔn)備和響應(yīng)等方面。嚴(yán)格按計劃有序開展體系建設(shè)工作;嚴(yán)格按體系文件要求開展業(yè)務(wù)或系統(tǒng)試運行工作;加強保證與監(jiān)督體系的建設(shè)。(2)注重文化建設(shè),突出信息安全特色,促進習(xí)慣養(yǎng)成。以人為本,加強企業(yè)安全文化建設(shè),促使安全文化落地,提高員工安全與風(fēng)險防范意識。(3)注重教育培訓(xùn),突出行業(yè)特色,達到安全管理效果。通過多種渠道、形式多樣的安全教育和培訓(xùn)方式,組織各單位安全管理人員開展安全教育和培訓(xùn)工作:一是安排專家和行業(yè)資深人士進行專題講座;二是在專題培訓(xùn)的基礎(chǔ)上,做好網(wǎng)絡(luò)與信息安全專項工作如何開展的培訓(xùn)。(4)注重設(shè)備管理,突出針對特色,實現(xiàn)安全管理精細化。首先,網(wǎng)絡(luò)設(shè)備較多,加強網(wǎng)絡(luò)安全管理提高設(shè)備安全可靠性是首要任務(wù),為此各維護單位對每臺設(shè)備均建立了安全技術(shù)臺帳,臺帳包括運行記錄、檢查保養(yǎng)記錄和定期檢驗記錄。其次,組織精干力量先后兩次對所有設(shè)備、流程、機房進行全面的安全評估工作。第三,使隱患排查整改形成機制。(5)注重安全投入,突出專用特色,合理使用安全生產(chǎn)費用。認真落實安全管理費用投入長效機制,加大安全費用的管理,做到??顚S?,確保安全生產(chǎn)費用規(guī)范化、合理化和足額投入。并加強安全生產(chǎn)保證金的管理,建立安全生產(chǎn)保證金并實行年底考核的機制,有效促進了安全管理工作。(6)注重應(yīng)急預(yù)案,突出超前特色,安全管理贏在主動。在安全管理中,把預(yù)防工作落到實處,建立健全了應(yīng)急處置機構(gòu),將應(yīng)急處置工作進一步制度化,規(guī)范化,形成了完整的安全事故預(yù)防體系。同時,開展形式多樣、符合實際的應(yīng)急演練。

3結(jié)語

篇5

關(guān)鍵詞:信息系統(tǒng)安全 等級保護 福建

一、引言

信息安全等級保護制度是國家在國民經(jīng)濟和社會信息化的發(fā)展過程中,提高信息安全保障能力和水平,維護國家安全、社會穩(wěn)定和公共利益,保障和促進信息化建設(shè)健康發(fā)展的一項基本制度。我國實施的信息系統(tǒng)安全等級保護制度,根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度,信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素,將信息系統(tǒng)的安全保護等級劃分為5個級別,從第一級到第五級逐級增高,對不同安全級別的信息系統(tǒng)實施不同的安全管理。

二、我國信息系統(tǒng)安全等級保護思想的形成

1994年,《中華人民共和國計算機信息系統(tǒng)安全保護條例 》(國務(wù)院147號令)規(guī)定,“計算機信息系統(tǒng)實行安全等級保護,安全等級的劃分標(biāo)準(zhǔn)和安全等級保護的具體辦法,由公安部會同有關(guān)部門制定”。

20世紀(jì)80年代初,美國國防部制定了“國家計算機安全標(biāo)準(zhǔn)”等系列標(biāo)準(zhǔn),包括《可信計算機系統(tǒng)評估準(zhǔn)則》(TCSEC,即俗稱的“桔皮書”)及其他近40個相關(guān)標(biāo)準(zhǔn),合稱“彩虹系列”。 TCSEC標(biāo)準(zhǔn)是國際上計算機系統(tǒng)安全評估的第一套大規(guī)模系統(tǒng)標(biāo)準(zhǔn),具有劃時代的意義。TCSEC將安全產(chǎn)品的安全功能和可信度綜合在一起,設(shè)立了4類7級。

1999年,我國公安部組織制定了強制性國家標(biāo)準(zhǔn)――《計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》。

2000年11月10日,國家計委批準(zhǔn)公安部開展“計算機信息系統(tǒng)安全保護等級評估體系及互聯(lián)網(wǎng)絡(luò)電子身份管理與安全保護平臺項目”建設(shè)。

2003年,《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》(中辦發(fā)[2003]27號)明確指出“實行信息安全等級保護”,“要重點保護基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng),抓緊建立信息安全等級保護制度,制定信息安全等級保護的管理辦法和技術(shù)指南”。這標(biāo)志著等級保護從計算機信息系統(tǒng)安全保護的一項制度提升到國家信息安全保障一項基本制度。同時中央27號文明確了各級黨委和政府在信息安全保障工作中的領(lǐng)導(dǎo)地位,以及“誰主管誰負責(zé),誰運營誰負責(zé)”的信息安全保障責(zé)任制。

2004年9月,公安部會同國家保密局、國家密碼管理局和國務(wù)院信息辦聯(lián)合出臺了《關(guān)于信息安全等級保護工作的實施意見》(公通字[2004]66號),明確了信息安全等級保護制度的原則和基本內(nèi)容,以及信息安全等級保護工作的職責(zé)分工、工作實施的要求等。

2006年1月,公安部、國家保密局、國家密碼管理局、國信辦聯(lián)合制定了《信息安全等級保護管理辦法(試行)》,并于2007年6月修訂。

2007年6月,公安部會同國家保密局、國家密碼管理局和國務(wù)院信息辦聯(lián)合頒布《信息安全等級保護管理辦法》(公通字[2007]43號,以下簡稱《管理辦法》),明確了信息安全等級保護制度的基本內(nèi)容、流程及工作要求,進一步明確了信息系統(tǒng)運營使用單位和主管部門、監(jiān)管部門在信息安全等級保護工作中的職責(zé)、任務(wù),為開展信息安全等級保護工作提供了規(guī)范保障。

三、開展信息系統(tǒng)安全等級保護工作的必要性和重要性

⒈開展信息系統(tǒng)安全等級保護工作的必要性

隨著網(wǎng)絡(luò)新技術(shù)的飛速發(fā)展和各類信息系統(tǒng)的廣泛應(yīng)用,網(wǎng)絡(luò)與信息安全也相應(yīng)出現(xiàn)了許多新情況、新問題,福建省網(wǎng)絡(luò)與信息安全防護工作面臨的形勢十分嚴(yán)峻。這就使得開展信息系統(tǒng)安全等級保護工作成為必然。

一是網(wǎng)上斗爭日趨復(fù)雜,不確定性增強。由于在互聯(lián)網(wǎng)上傳播信息具備快速便捷、低成本、無國界、易消除痕跡、技術(shù)變化快等特點,使互聯(lián)網(wǎng)成為境內(nèi)外敵對勢力、敵對分子從事各種破壞活動的重要工具。我國將長期面臨敵對勢力的信息優(yōu)勢、技術(shù)優(yōu)勢所帶來的信息安全威脅。

二是網(wǎng)絡(luò)違法犯罪活動迅速增多,造成的后果越來越嚴(yán)重。隨著新技術(shù)、新應(yīng)用的發(fā)展,暴露出來的網(wǎng)絡(luò)與信息安全問題也日益增多。

三是漏洞數(shù)量居高不下,利用漏洞發(fā)起攻擊仍是互聯(lián)網(wǎng)最大的安全隱患。安全漏洞是指在網(wǎng)絡(luò)系統(tǒng)中硬件、軟件、協(xié)議和系統(tǒng)安全策略等存在的缺陷和錯誤,攻擊者利用這些缺陷和錯誤可以對網(wǎng)絡(luò)系統(tǒng)進行非授權(quán)的訪問或破壞。

四是計算機病毒傳播和對網(wǎng)絡(luò)非法入侵十分嚴(yán)重。據(jù)公安機關(guān)調(diào)查,2007年1-6月,我國平均每月截獲計算機病毒6.6萬個,累計感染計算機達1.18億臺次。2007年初在我國發(fā)生的“熊貓燒香”病毒案,短時間內(nèi)就出現(xiàn)病毒變種700余個,感染了445萬臺計算機,大批網(wǎng)民的網(wǎng)上帳號、口令被竊取。

⒉開展信息系統(tǒng)安全等級保護工作的重要性

開展信息安全等級保護工作,就是要解決我國信息安全面臨的威脅和存在的主要問題,按標(biāo)準(zhǔn)建設(shè)安全保護措施,建立安全保護制度,落實安全責(zé)任,加強監(jiān)督檢查,有效保護重要信息系統(tǒng)安全,有效提高我國信息和信息系統(tǒng)安全建設(shè)的整體水平。

建立信息安全等級保護制度,開展信息安全等級保護工作,有利于在信息化建設(shè)過程中同步建設(shè)信息安全設(shè)施,保障信息安全與信息化建設(shè)相協(xié)調(diào);有利于為信息系統(tǒng)安全建設(shè)和管理提供系統(tǒng)性、針對性、可行性的指導(dǎo)和服務(wù);有利于優(yōu)化信息安全資源的配置,重點保障基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)的安全;有利于明確國家、法人和其他組織、公民的信息安全責(zé)任,加強信息安全管理;有利于推動信息安全產(chǎn)業(yè)的發(fā)展,逐步探索出一條適應(yīng)社會主義市場經(jīng)濟發(fā)展的信息安全模式。

四、加快推進福建省重要信息系統(tǒng)安全等級保護工作

2007年7月20日,公安部、國家保密局、國家密碼管理局、國務(wù)院信息化工作辦公室在北京聯(lián)合召開“全國重要信息系統(tǒng)安全等級保護定級工作電視電話會議”,部署在全國范圍內(nèi)開展重要信息系統(tǒng)安全等級保護定級工作。8月13日,福建省公安廳、省保密局、省委機要局、數(shù)字福建建設(shè)領(lǐng)導(dǎo)小組辦公室等四家單位也聯(lián)合召開“福建省重要信息系統(tǒng)安全等級保護定級工作電視電話會議”。這標(biāo)志著福建省重要信息系統(tǒng)安全等級保護工作正式啟動。

信息系統(tǒng)安全保護工作的首要環(huán)節(jié)是定級,定級工作是開展信息系統(tǒng)建設(shè)、整改、測評、備案、監(jiān)督檢查等后續(xù)工作的重要基礎(chǔ)。信息系統(tǒng)安全級別定不準(zhǔn),系統(tǒng)建設(shè)、整改、備案、等級測評等后續(xù)工作都將失去針對性。此次福建省重要信息系統(tǒng)安全等級保護工作將分四個階段進行。

1.突出重點,全面準(zhǔn)確劃定定級范圍和定級對象

此次重要信息系統(tǒng)定級的范圍是國家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng),這些網(wǎng)絡(luò)和系統(tǒng)廣泛分布在各級黨政機關(guān)和電信、廣電、鐵路、銀行、民航、海關(guān)、稅務(wù)、電力、證券、保險等數(shù)十個行業(yè)。將這些基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)納入此次定級的重點范圍,體現(xiàn)了統(tǒng)籌規(guī)劃、突出重點、重點保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全的總體要求和原則。

2.依據(jù)《管理辦法》,準(zhǔn)確確定信息系統(tǒng)安全保護等級

福建省各運營使用單位和主管部門在全面分析各自信息網(wǎng)絡(luò)和信息系統(tǒng)在國家安全、社會秩序、公共利益等方面的作用和影響的基礎(chǔ)上,根據(jù)信息網(wǎng)絡(luò)和信息系統(tǒng)被攻擊破壞后對國家安全、社會秩序和公共利益等方面可能造成的危害程度等因素,依據(jù)《管理辦法》,參照《定級指南》所提供的定級方法,綜合確定信息系統(tǒng)的安全保護等級。在確定等級的過程中,要最大限度地避免定級的盲目性、隨意性,力爭做到定級準(zhǔn)確、科學(xué)、合理。

3.及時備案,加強對定級工作的監(jiān)督、檢查和指導(dǎo)

為全面掌握基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的單位和系統(tǒng)的基本情況,保護重點領(lǐng)域的重要信息網(wǎng)絡(luò)和信息系統(tǒng),凡是安全保護等級為第二級以上的信息系統(tǒng)運營使用單位或主管部門要按照《管理辦法》的要求,到公安機關(guān)進行備案。公安機關(guān)受理備案后要對備案材料進行審核,加強對重要信息系統(tǒng)安全等級保護定級工作的監(jiān)督、檢查和指導(dǎo);對定級不準(zhǔn)的,要及時通知備案單位重新定級。

4.依據(jù)《管理辦法》和技術(shù)標(biāo)準(zhǔn),開展整改、測評等工作

信息系統(tǒng)的安全保護等級確定后,運營使用單位要按照信息安全等級保護管理規(guī)范和技術(shù)標(biāo)準(zhǔn),使用符合國家有關(guān)規(guī)定、滿足信息系統(tǒng)安全保護等級需求的信息技術(shù)產(chǎn)品,開展信息系統(tǒng)安全建設(shè)或者改建工作,建設(shè)符合等級要求的信息安全設(shè)施;參照信息安全等級保護管理規(guī)范,制定并落實安全管理制度;選擇符合《管理辦法》規(guī)定條件的測評機構(gòu),依據(jù)技術(shù)標(biāo)準(zhǔn)對信息系統(tǒng)安全等級狀況開展等級測評,使其盡快達到等級要求的安全保護能力和水平。

五、加大力度,確保福省重要信息系統(tǒng)安全等級保護工作任務(wù)落到實處

隨著北京奧運會的日益臨近,特別是“科技奧運”和“數(shù)字奧運”是2008年北京奧運會的一大亮點,信息安全等級保護的工作任務(wù)艱巨,責(zé)任重大。福建省公安、保密、密碼工作和信息化等部門要密切配合,及時開展監(jiān)督、檢查,嚴(yán)格審查信息系統(tǒng)所定級別,積極開展備案、整改、測評等工作。同時,充分利用廣播電視、報刊雜志、互聯(lián)網(wǎng)等媒體,加大對國家信息安全等級保護制度的宣傳力度,積極開展面向不同層次、不同對象的宣傳、培訓(xùn),以確保福建省重要信息系統(tǒng)安全等級保護工作落到實處。

1.明確職責(zé),落實責(zé)任

各級公安機關(guān)要積極向當(dāng)?shù)攸h委、政府專門匯報,主動爭取黨委、政府對信息安全等級保護工作的重視和支持;或者成立專門的等級保護工作直轄市領(lǐng)導(dǎo)小組,加強對定級工作的領(lǐng)導(dǎo),研究制定定級工作實施方案。各運營使用單位及其主管部門要按照“誰主管誰負責(zé)、誰運營誰負責(zé)”的要求,明確主管領(lǐng)導(dǎo)和責(zé)任部門。各信息系統(tǒng)主管部門要切實加強對定級工作的組織、領(lǐng)導(dǎo),落實等級保護各項責(zé)任,督促、指導(dǎo)本行業(yè)、本系統(tǒng)開展定級、備案、建設(shè)整改等工作。

2.密切配合,通力協(xié)作

各級公安機關(guān)作為開展等級保護工作的牽頭部門,要加強同保密、密碼工作、信息辦等其他信息安全職能部門的協(xié)調(diào)、配合,盡快建立健全信息安全等級保護監(jiān)管工作的協(xié)調(diào)配合機制;要主動與信息系統(tǒng)主管部門交流溝通,督促配合其組織下屬信息系統(tǒng)運營、使用單位建立信息安全責(zé)任制,建立并落實等級保護制度,從而確保等級保護工作的順利、有效實施。

3.加強宣傳,強化培訓(xùn)

篇6

根據(jù)自治區(qū)、地區(qū)有關(guān)要求,按照《XXX新聞宣傳報道管理辦法》有關(guān)內(nèi)容,為進一步加強我縣網(wǎng)絡(luò)和信息安全管理工作,現(xiàn)就有關(guān)事項通知如下。

一、建立健全網(wǎng)絡(luò)和信息安全管理制度

各單位要按照網(wǎng)絡(luò)與信息安全的有關(guān)法律、法規(guī)規(guī)定和工作要求,制定并組織實施本單位網(wǎng)絡(luò)與信息安全管理規(guī)章制度。要明確網(wǎng)絡(luò)與信息安全工作中的各種責(zé)任,規(guī)范計算機信息網(wǎng)絡(luò)系統(tǒng)內(nèi)部控制及管理制度,切實做好本單位網(wǎng)絡(luò)與信息安全保障工作。

二、切實加強網(wǎng)絡(luò)和信息安全管理

各單位要設(shè)立計算機信息網(wǎng)絡(luò)系統(tǒng)應(yīng)用管理領(lǐng)導(dǎo)小組,負責(zé)對計算機信息網(wǎng)絡(luò)系統(tǒng)建設(shè)及應(yīng)用、管理、維護等工作進行指導(dǎo)、協(xié)調(diào)、檢查、監(jiān)督。要建立本單位計算機信息網(wǎng)絡(luò)系統(tǒng)應(yīng)用管理崗位責(zé)任制,明確主管領(lǐng)導(dǎo),落實責(zé)任部門,各盡其職,常抓不懈,并按照“誰主管誰負責(zé),誰運行誰負責(zé),誰使用誰負責(zé)”的原則,切實履行好信息安全保障職責(zé)。

三、嚴(yán)格執(zhí)行計算機網(wǎng)絡(luò)使用管理規(guī)定

各單位要提高計算機網(wǎng)絡(luò)使用安全意識,嚴(yán)禁涉密計算機連接互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò),嚴(yán)禁在非涉密計算機上存儲、處理涉密信息,嚴(yán)禁在涉密與非涉密計算機之間交叉使用移動存儲介質(zhì)。辦公內(nèi)網(wǎng)必須與互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)實行物理隔離,并強化身份鑒別、訪問控制、安全審計等技術(shù)防護措施,有效監(jiān)控違規(guī)操作,嚴(yán)防違規(guī)下載涉密和敏感信息。通過互聯(lián)網(wǎng)電子郵箱、即時通信工具等處理、傳遞、轉(zhuǎn)發(fā)涉密和敏感信息。

四、加強網(wǎng)站、微信公眾平臺信息審查監(jiān)管

各單位通過站、微信公眾平臺在互聯(lián)網(wǎng)上公開信息,要遵循涉密不公開、公開不涉密的原則,按照信息公開條例和有關(guān)規(guī)定,建立嚴(yán)格的審查制度。要對網(wǎng)站上的信息進行審核把關(guān),審核內(nèi)容包括:上網(wǎng)信息有無涉密問題;上網(wǎng)信息目前對外是否適宜;信息中的文字、數(shù)據(jù)、圖表、圖像是否準(zhǔn)確等。未經(jīng)本單位領(lǐng)導(dǎo)許可嚴(yán)禁以單位的名義在網(wǎng)上信息,嚴(yán)禁交流傳播涉密信息。堅持先審查、后公開,一事一審、全面審查。各單位網(wǎng)絡(luò)信息審查工作要有領(lǐng)導(dǎo)分管、部門負責(zé)、專人實施。

嚴(yán)肅突發(fā)、敏感事(案)件的新聞報道紀(jì)律,對民族、宗教、軍事、環(huán)保、反腐、人權(quán)、計劃生育、嚴(yán)打活動、暴恐案件、自然災(zāi)害,涉暴涉恐公捕大會、案件審理、非宗教教職人員、留大胡須、蒙面罩袍等敏感事(案)件的新聞稿件原則上不進行宣傳報道,如確需宣傳報道的,經(jīng)縣領(lǐng)導(dǎo)同意,上報地區(qū)層層審核,經(jīng)自治區(qū)黨委宣傳部審核同意后,方可按照宣傳內(nèi)容做到統(tǒng)一口徑、統(tǒng)一,確保信息的時效性和嚴(yán)肅性。

五、組織開展網(wǎng)絡(luò)和信息安全清理檢查

篇7

【關(guān)鍵詞】通信運營企業(yè)客戶信息安全安全域SOC

一、電信運營商客戶信息安全現(xiàn)狀

目前電信運營商對信息系統(tǒng)依賴性日益增強,而掃描探測、DDOS等攻擊數(shù)量急劇上升,漏洞利用的速度縮小到了天。但是作為電信運營商,由于網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜,導(dǎo)致系統(tǒng)管理維護困難。一般會有網(wǎng)管網(wǎng)、計費網(wǎng)、辦公網(wǎng)、互聯(lián)網(wǎng)接口、新業(yè)務(wù)、地市公司等多張網(wǎng),安全防護困難。

同時在運營商中也發(fā)生過一些客戶信息泄密的案例,“3.15”晚會也曝光過一些。電信運營商的客戶資料、充值卡、財務(wù)報表、發(fā)展計劃等商業(yè)機密的實際價值遠遠超過了固定的有形資產(chǎn)。

因此電信運營商如何保證客戶信息安全,成為了重要課題。

二、客戶信息安全體系

客戶信息生命周期包括了信息的產(chǎn)生、傳輸、存儲、處理、銷毀,因此我們在設(shè)計安全體系時,要按照“堅持積極防御、綜合防范的方針”,將安全組織、策略和運作流程等管理手段和安全技術(shù)緊密結(jié)合。

下面參考信息安全保障體系框架IATF和BS7799,以項目中的實踐來分別說明:

人是信息體系的主體,包括管理者、維護人員、使用者、第三方。電信運營商應(yīng)該建立安全領(lǐng)導(dǎo)小組,專門的安全管理員、安全顧問、安全審計員。

制定信息安全責(zé)任矩陣,組織范圍內(nèi)的信息安全落實到人,尤其外包的安全,第三方必須簽定保密協(xié)議。離職或調(diào)動時,必須清理信息系統(tǒng)賬號,避免用戶權(quán)限只有增加沒有減少。

資產(chǎn)進行分類與控制,梳理客戶信息相關(guān)的資產(chǎn),標(biāo)明重要性等級以及制定相應(yīng)管理辦法。如客戶資料、充值卡等就是重要信息,必須重點防護。

制定完善的維護作業(yè)計劃,對設(shè)備性能、安全狀況進行監(jiān)控,分清日、月、年不同層次的維護內(nèi)容,包括電源、主機、中間件、數(shù)據(jù)庫、應(yīng)用、安全事件、備份、調(diào)優(yōu)等。

定期進行安全評估和加固,減少系統(tǒng)風(fēng)險,可以找專業(yè)的安全廠商進行滲透測試。設(shè)定各系統(tǒng)的安全基線,保證系統(tǒng)必須達到的最基本的安全配置要求。如果某臺服務(wù)器上突然多了一個來歷不明的進程,就有必要檢查是否有安全風(fēng)險。

業(yè)務(wù)過程中可以通過金庫模式等加強業(yè)務(wù)過程中的安全管控,即關(guān)鍵業(yè)務(wù)需第二個人授權(quán)之后才能夠操作,通過多人的相互監(jiān)督進行制約,如批量查詢客戶資料、詳單時。同時定期進行日志稽核,進行事后的控制。所有的業(yè)務(wù)操作有相應(yīng)的工單、審批單、業(yè)務(wù)受理單,如果沒有這樣的工單,則可以認為操作是不合規(guī)的。

在信息系統(tǒng)生命周期過程中,要全面審查信息系統(tǒng)的設(shè)計、操作、使用和管理是否符合組織安全政策和標(biāo)準(zhǔn)。系統(tǒng)開發(fā)和建設(shè)過程中,就要明確系統(tǒng)的安全要求,確保安全機制被內(nèi)建于信息系統(tǒng)內(nèi);控制應(yīng)用系統(tǒng)的安全,防止應(yīng)用系統(tǒng)中存在的后門、孤立網(wǎng)頁造成用戶數(shù)據(jù)的丟失、被修改或誤用。上線前及早進行安全評估和掃描,提前發(fā)現(xiàn)漏洞。注意不要隨便使用真實敏感數(shù)據(jù),測試數(shù)據(jù)的清理、保護。

三、客戶信息安全工程建設(shè)過程

客戶信息安全建設(shè)過程中應(yīng)注意業(yè)務(wù)可用與安全性平衡原則,采用統(tǒng)籌規(guī)劃、分步實施的方法。

篇8

1高校信息安全管理問題

在強大科技的支撐下,加之高校自身不懈努力,采取了物理、技術(shù)、管理等一系列舉措,在保障信息安全方面取得了一定成效。但是,縱觀高校信息安全管理整體,其中還存在不少問題,具體表述如下:

1.1制度體系缺失

長期的實踐經(jīng)驗表明,一般情況下,任何管理活動都需要一套完備的管理制度體系,高校信息安全管理亦是如此。近年來,大多數(shù)高校已逐步認識到信息安全管理的重要性及必要性,并先后制定了管理辦法及規(guī)章制度,以保證此項工作有序開展、高效完成,然而從客觀的角度上講,其相關(guān)建設(shè)還不盡完善。隨著信息技術(shù)的發(fā)展,虛擬網(wǎng)絡(luò)環(huán)境愈加復(fù)雜,威脅信息安全的因素變化多端,并且具有很強的突變性。有些高校對信息安全管理的特性認識不到位,尚未設(shè)置相應(yīng)的應(yīng)急預(yù)案,一旦遇到信息安全問題突然爆發(fā),勢必會導(dǎo)致高校應(yīng)對不及,從而可能造成不可挽回的損失或影響。甚至有些高校并未成立專門的信息安全管理組織機構(gòu),相關(guān)制度、措施落實不到位,形同虛設(shè),加之監(jiān)管不力,直接影響了信息安全管理工作成效。

1.2技術(shù)人才不足

高校信息安全管理是一項系統(tǒng)工程,它不僅僅是技術(shù)上的問題,也不是單憑幾項管理條例就能解決的,其核心還在于專業(yè)技術(shù)人才。部分高校在安全技術(shù)舉措方面投入大量經(jīng)費本無可厚非,但其過度依賴軟硬件技術(shù)防護,輕視專業(yè)技術(shù)人才隊伍建設(shè),則很難實現(xiàn)信息安全管理目標(biāo)。首先,從數(shù)量上來看,高校所設(shè)信息安全管理各崗位人數(shù)不盡合理,甚至存在一人多職的現(xiàn)象。正所謂術(shù)業(yè)有專攻,如此不僅分散了信息安全管理工作人員的時間和精力,難以在某個專業(yè)領(lǐng)域有所建樹,還暴露出了其在某個崗位上的能力缺陷,直接影響了工作成效;其次,從質(zhì)量上來看,高校信息安全管理工作人員素質(zhì)及能力表現(xiàn)普遍不高。影響信息安全的因素眾多,并且具有多變的特性。由于高校培訓(xùn)力度不夠,加之信息安全管理工作人員自主學(xué)習(xí)意識弱化,逐漸與網(wǎng)絡(luò)發(fā)展脫節(jié),在遇到棘手問題時不能快速、有效解決。

2高校信息安全管理強化策略

信息安全管理是高校教育邁入發(fā)展快車道的保障基礎(chǔ)。作者結(jié)合上文的分析,有針對性地提出了以下幾種強化高校信息安全管理策略,以供參考和借鑒。

2.1完善規(guī)章制度

成熟的信息安全管理組織可以使得高校信息安全管理工作事半功倍。新時期,高校必須要轉(zhuǎn)變重技術(shù)、輕管理的思想觀念,統(tǒng)籌發(fā)展規(guī)劃,盡快完善相關(guān)規(guī)章制度,加大技術(shù)投資的同時,提高管理投入,以保證信息安全管理工作高效運轉(zhuǎn)和實施。具體而言,高校應(yīng)結(jié)合信息安全管理需求,科學(xué)設(shè)置工作崗位,并明確責(zé)任制度和獎懲制度,嚴(yán)格審查各部門及個人工作表現(xiàn)情況,進而作出相應(yīng)的獎勵或處罰,督導(dǎo)其提高工作實效。此外,高校還應(yīng)該進一步完善信息安全風(fēng)險評估機制和應(yīng)急預(yù)警機制,理性分析現(xiàn)代網(wǎng)絡(luò)環(huán)境中的不穩(wěn)定因素,深刻認識到網(wǎng)絡(luò)系統(tǒng)、應(yīng)用軟件以及數(shù)據(jù)信息等都可能成為威脅信息安全的目標(biāo),并逐步形成制度化,以免這些對高校信息網(wǎng)絡(luò)造成干擾。在此基礎(chǔ)上,高校還需針對應(yīng)急預(yù)警機制做預(yù)控方案,考慮信息安全事件發(fā)生時造成的影響度和損壞度,避免事態(tài)擴大。

2.2加強人才建設(shè)

就現(xiàn)階段而言,高校信息安全管理的當(dāng)務(wù)之急,是建立一支專業(yè)化人才隊伍。在此過程中,高校應(yīng)依據(jù)信息安全管理崗位設(shè)計,配置相等數(shù)量的人才,各司其職,最大限度地發(fā)揮其專業(yè)特長,使之有更多的時間和精力投入到本職工作上。高校作為高素質(zhì)人才的聚集地,應(yīng)該充分發(fā)揮自身資源優(yōu)勢,組織相關(guān)專業(yè)導(dǎo)師及學(xué)生積極參與信息安全管理。如此不僅緩解了投入壓力,同時還為教學(xué)提供了良好的實踐平臺。此外,高校還應(yīng)定時定期開展信息安全管理培訓(xùn)工作,及時更新相關(guān)人員的思想觀念及專業(yè)知識,分享有效經(jīng)驗,提高其綜合素質(zhì)和能力,使之提供更完善、高效的信息安全管理服務(wù),夯實工作的人才基礎(chǔ)。與此同時,高校需要加強與企業(yè)的合作,從不同角度、層面認識信息安全管理工作,積極促動彼此間的互動交流,及時掌握行業(yè)發(fā)展動態(tài),保證技術(shù)與人才的先進性。

3結(jié)束語

總而言之,高校信息安全管理十分重要和必要。由于個人能力有限,加之網(wǎng)絡(luò)信息技術(shù)發(fā)展迅速,威脅信息安全因素眾多,本文作出的相關(guān)研究可能存在不足之處。因此,作者希望各高校提高對信息安全管理的重視程度,可結(jié)合本文論點,深刻分析和總結(jié)此項工作中的不足或問題,并進行深化與拓展,有針對性地采取更多完善措施,從而提升信息安全管理成效,為廣大師生營造安全、良好的應(yīng)用環(huán)境。

作者:張威 單位:沈陽科技學(xué)院

參考文獻:

[1]何濟玲,陳仕品,程吉麟,艾賢明.基于ISO/IEC27001標(biāo)準(zhǔn)的高校信息安全治理[J].現(xiàn)代教育技術(shù),2016(09):60-65.

篇9

關(guān)鍵詞: 企業(yè);網(wǎng)絡(luò)信息安全;威脅;管理對策

1 網(wǎng)絡(luò)信息安全管理內(nèi)涵闡述

隨著計算機網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,企業(yè)網(wǎng)絡(luò)化管理成為當(dāng)今世界經(jīng)濟和社會發(fā)展的趨勢與主流。在網(wǎng)絡(luò)化背景下,企業(yè)不僅能夠方便快捷地進行信息共享、信息交流與信息服務(wù),而且極大地提高了工作效率,創(chuàng)造了經(jīng)濟效益,增加了在激勵市場競爭中的核心競爭力。然而,凡事有利則有弊,網(wǎng)絡(luò)技術(shù)也不例外,網(wǎng)絡(luò)化給企業(yè)帶來巨大利益的同時,網(wǎng)絡(luò)信息安全問題也成為眾多企業(yè)十分頭痛的問題。如何解決常見網(wǎng)絡(luò)問題,消除網(wǎng)絡(luò)安全隱患,嚴(yán)堵安全漏洞,確保企業(yè)計算機網(wǎng)絡(luò)及信息的安全,從而來確保油田企業(yè)生產(chǎn)、科研等工作正確開展,已成為油田企業(yè)亟待解決的重要課題。

言及此,筆者覺得十分有必要對網(wǎng)絡(luò)信息安全管理的內(nèi)涵,進行再分析與闡述。一直以來,許多企業(yè),談及網(wǎng)絡(luò)信息安全管理,大多認為就是技術(shù)層面的工作,如防黑客攻擊、反病毒侵蝕、堵系統(tǒng)安全漏洞等專業(yè)技術(shù)問題。其實維護網(wǎng)站安全工作,應(yīng)不止于此。網(wǎng)絡(luò)環(huán)境下的信息安全不僅涉及到數(shù)據(jù)加密、防黑客、反病毒、控制入網(wǎng)訪問、防火墻升級技術(shù)等專業(yè)技術(shù)問題,更應(yīng)該涉及法律政策問題和制度管理問題。不少企業(yè),往往重視升級硬件、技術(shù)防范,卻忽視安全管理問題,特別是人員管理、制度管理。其中,安全技術(shù)與安全管理齊頭并進,兩手共抓才是企業(yè)網(wǎng)絡(luò)信息安全致勝的法寶,技術(shù)問題是基礎(chǔ)與保障,而安全管理則是信息安全更強大的方式手段。

2 “兩手抓,兩手都要硬”加強企業(yè)網(wǎng)絡(luò)信息安全管理對策

2.1 高度重視網(wǎng)絡(luò)管理制度層面工作

油田企業(yè)是科研性單位,許多科技數(shù)據(jù)、技術(shù)數(shù)據(jù)等對企業(yè)生存發(fā)展來說至關(guān)重要,如錄井技術(shù)就是油氣勘探開發(fā)活動中最基本的技術(shù),是發(fā)現(xiàn)、評估油氣藏最及時、最直接的手段,因而石油勘探企業(yè)網(wǎng)絡(luò)安全管理問題更是不容忽視,網(wǎng)絡(luò)上的任何一個小漏洞,都會導(dǎo)致全網(wǎng)的安全問題,給企業(yè)造成不可估量的損失。

首先,我們必須在企業(yè)內(nèi)部制定嚴(yán)格并切實可行的網(wǎng)絡(luò)安全管理規(guī)章制度,企業(yè)主管領(lǐng)導(dǎo)應(yīng)當(dāng)高度重視,建立內(nèi)部安全管理制度,如出入機房制度、機房管理制度、設(shè)備管理維護制度、崗位責(zé)任制、操作安全管理制度、病毒防范制度、應(yīng)急處理制度等。還要定期對制度落實情況進行例行檢查與抽查,重在落實,避免流于形式。確保通過制度能夠做到業(yè)務(wù)計算機專門使用,業(yè)務(wù)系統(tǒng)與其他信息系統(tǒng)充分隔離,企業(yè)局域網(wǎng)與互聯(lián)的其他網(wǎng)絡(luò)充分隔離。充分降低安全風(fēng)險。其次,要提高員工的網(wǎng)絡(luò)安全意識。加強對使用人員的安全知識教育與培訓(xùn),組織員工學(xué)習(xí)熟悉《中國信息系統(tǒng)安全保護條例》、《算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法》等條例,增強相關(guān)法律知識,信息安全意識,堅持杜絕員工在工作時間內(nèi)利用企業(yè)工作電腦訪問與業(yè)務(wù)無關(guān)的網(wǎng)站,尤其是開展聊天、游戲、電影、下載、購物等娛樂活動,避免企業(yè)內(nèi)部的文件以及數(shù)據(jù)甚至機密資料被盜現(xiàn)象。使用中不要隨意使用自帶光盤、移動硬盤與U盤等存儲設(shè)備,避免傳染病毒等。再次,通過學(xué)習(xí)培訓(xùn)增強網(wǎng)站管理人員的技術(shù)水平與能力。管理員必須對企業(yè)信息網(wǎng)絡(luò)系統(tǒng)的安全狀況和安全漏洞進行周期性評估,以便隨意采取相關(guān)措施,有應(yīng)對突發(fā)風(fēng)險的能力,并通過訪問控制、升級防火墻、漏洞檢測、病毒查殺、入侵檢測等技術(shù),做好日常網(wǎng)站的安全維護工作。

2.2 重視加強網(wǎng)絡(luò)安全技術(shù)層面工作

目前網(wǎng)絡(luò)安全技術(shù)工作,早已從操作系統(tǒng)維護、簡單的病毒防范發(fā)展到防止黑客惡意進攻,防范蠕蟲、木馬程序等種類多樣的網(wǎng)絡(luò)病毒以及變種等諸多工作,表現(xiàn)在高水平防御體系的建構(gòu)上。

俗話說:病從口入。首先,要做好訪問控制管理,這就是抓好源頭工作。特別是核心技術(shù)、重要數(shù)據(jù)的共享網(wǎng)站,一定要做到對入網(wǎng)訪問控制和網(wǎng)絡(luò)資源的訪問控制,可實施有效的用戶口令和訪問賬號密碼,避免用戶非法訪問。此外口令、密碼的設(shè)置上應(yīng)盡量長一些復(fù)雜一些,數(shù)字字母相結(jié)合。如目前實用的USBKEY認證方法也是一種較可靠的方法,出現(xiàn)調(diào)離或者解雇員工,應(yīng)該立即對其的網(wǎng)絡(luò)賬號進行清除,避免非法登陸,泄露企業(yè)信息。其次,通過防火墻、入侵檢測、網(wǎng)絡(luò)安全防漏洞、數(shù)據(jù)加密傳輸、防殺病毒等全方面的技術(shù)工作,保證企業(yè)網(wǎng)絡(luò)信息的安全。如在防火墻設(shè)置原則上,保證實施合理有效的安全過濾原則,嚴(yán)格控制外網(wǎng)用戶非法訪問,確保經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻,使用網(wǎng)絡(luò)防病毒軟件,建立起企業(yè)整體防病毒體系,盡可能企業(yè)內(nèi)部一些重要的資料或者核心數(shù)據(jù)進行加密傳輸與加密儲存,這些一系列的工作可讓網(wǎng)絡(luò)環(huán)境變得更安全。

當(dāng)然,網(wǎng)絡(luò)安全管理工作是一項長期而細致艱辛的工作,不可能一蹴而就,也不能無所進步,隨著信息技術(shù)的快速發(fā)展,對信息安全技術(shù)、網(wǎng)絡(luò)安全管理工作的要求也會隨之增高,今后企業(yè)信息安全技術(shù)、管理工作應(yīng)該繼續(xù)跟蹤、學(xué)習(xí)國內(nèi)外最先進的知識經(jīng)驗,努力提高企業(yè)信息安全管理技術(shù)水平。

參考文獻:

[1]由媛,淺談企業(yè)網(wǎng)絡(luò)信息安全[J].電腦知識與技術(shù),2012(02):1057-1058.

篇10

0引言

 

隨著光纖寬帶、移動電話、移動互聯(lián)網(wǎng)的普及,通信服務(wù)在我們的日常生活中發(fā)揮了越來越重要的作用。伴隨社會的信息化推進,通信技術(shù)也得到了快速發(fā)展。通信得到了社會的廣泛認可。近年來,伴隨著互聯(lián)網(wǎng)技術(shù)在全球迅猛發(fā)展,信息化給人們提供了極大的便利,然而,同時我們也正受到日益嚴(yán)重的來自網(wǎng)絡(luò)的安全威脅,比如黑客攻擊、重要信息被盜等,網(wǎng)絡(luò)安全事件頻發(fā),給人們的財產(chǎn)和精神帶來很大損失。但是,在世界范圍內(nèi),黑客活動越來越猖狂,黑客攻擊者無孔不入,對信息系統(tǒng)的安全造成了很大的威脅,對社會造成了嚴(yán)重的危害。除此之外,互聯(lián)網(wǎng)上黑客網(wǎng)站還在不斷增加,這就給黑客更多的學(xué)習(xí)攻擊的信息,在黑客網(wǎng)站上,學(xué)習(xí)黑客技術(shù)、獲得黑客攻擊工具變得輕而易舉,更是加大了對互聯(lián)網(wǎng)的威脅。如何才能保障信息系統(tǒng)的信息安全,怎樣才能確保網(wǎng)絡(luò)信息的安全性,尤其是網(wǎng)絡(luò)上重要的數(shù)據(jù)的安全性。

 

在通信領(lǐng)域,信息安全尤為重要,它是通信安全的重要環(huán)節(jié)。在通信組織運作時,信息安全是維護通信安全的重要內(nèi)容。通信涉及到我們生活的許多方面,小到人與人之間聯(lián)系的紐帶,大到國與國之間的信息交流。因此,研究信息安全和防護具有重要的現(xiàn)實意義。

 

一、通信運用中加強信息安全和防護的必要性

 

1.1搞好信息安全防護是確保國家安全的重要前提

 

眾所周知,未來的社會是信息化的社會,網(wǎng)絡(luò)空間的爭奪尤其激烈。信息化成為國家之間競爭的焦點,如果信息安全防護工作跟不上,一個國家可能面臨信息被竊、網(wǎng)絡(luò)被毀、指揮系統(tǒng)癱瘓、制信息權(quán)喪失的嚴(yán)重后果。因此,信息安全防護不僅是未來戰(zhàn)爭勝利的重要保障,而且將作為交戰(zhàn)雙方信息攻防的重要手段,貫穿戰(zhàn)爭的全過程。一旦信息安全出現(xiàn)問題,可能導(dǎo)致整個國家的經(jīng)濟癱瘓,戰(zhàn)爭和軍事領(lǐng)域是這樣,政治、經(jīng)濟、文化、科技等領(lǐng)域也不例外。信息安全關(guān)系到國家的生死存亡,關(guān)系到世界的安定和平。比如,美國加利弗尼亞州銀行協(xié)會的曾經(jīng)發(fā)出一份報告,稱如果該銀行的數(shù)據(jù)庫系統(tǒng)遭到網(wǎng)絡(luò)“黑客”的破壞,造成的后果將是致命的,3天就會影響加州的經(jīng)濟,5天就能波及全美經(jīng)濟,7天會使全世界經(jīng)濟遭受損失。鑒于信息安全如此重要,美國國家委員會早在2000年初的《國家安全戰(zhàn)備報告》里就強調(diào):執(zhí)行國家安全政策時把信息安全放在重要位置。俄羅斯于2000年通過的《國家信息安全學(xué)說》,第一次把信息安全擺在戰(zhàn)略地位。并從理論和時間中加強信息安全的防護。近年來,我國也越來越重視信息安全問題,相關(guān)的研究層出不窮,為我國信息安全的發(fā)展奠定了基礎(chǔ)。

 

1.2我國信息安全面臨的形勢十分嚴(yán)峻

 

信息安全是國家安全的重要組成部分,它不僅體現(xiàn)在軍事信息安全上,同時也涉及到政治、經(jīng)濟、文化等各方面。當(dāng)今社會,由于國家活動對信息和信息網(wǎng)絡(luò)的依賴性越來越大,所以一旦信息系統(tǒng)遭到破壞,就可能導(dǎo)致整個國家能源供應(yīng)的中斷、經(jīng)濟活動的癱瘓、國防力量的削弱和社會秩序的混亂,其后果不堪設(shè)想。由于我國信息化起步較晚,目前信息化系統(tǒng)大多數(shù)還處在“不設(shè)防’,的狀態(tài)下,國防信息安全的形勢十分嚴(yán)峻。具體體現(xiàn)在以卜幾個方面:首先,全社會對信息安全的認識還比較模糊。很多人對信息安全缺乏足夠的了解,對因忽視信息安全而可能造成的重大危害還認識不足,信息安全觀念還十分淡薄。因此,在研究開發(fā)信息系統(tǒng)過程中對信息安全問題不夠重視,許多應(yīng)用系統(tǒng)處在不設(shè)防狀態(tài),具有極大的風(fēng)險性和危險性。其次,我國的信息化系統(tǒng)還嚴(yán)重依賴大量的信息技術(shù)及設(shè)備極有可能對我國信息系統(tǒng)埋下不安全的隱患。無論是在計算機硬件上,還是在計算機軟件上,我國信息化系統(tǒng)的國產(chǎn)率還較低,而在引進國外技術(shù)和設(shè)備的過程中,又缺乏必要的信息安全檢測和改造。再次,在軍事領(lǐng)域,通過網(wǎng)絡(luò)泄密的事故屢有發(fā)生,敵對勢力“黑客”攻擊對我軍事信息安全危害極大。最后,我國國家信息安全防護管理機構(gòu)缺乏權(quán)威,協(xié)調(diào)不夠,對信息系統(tǒng)的監(jiān)督管理還不夠有力。各信息系統(tǒng)條塊分割、相互隔離,管理混亂,缺乏與信息化進程相一致的國家信息安全總體規(guī)劃,妨礙了信息安全管理的方針、原則和國家有關(guān)法規(guī)的貫徹執(zhí)行。

 

二、通信中存在的信息安全問題

 

2.1信息網(wǎng)絡(luò)安全意識有待加強

 

我國的信息在傳輸?shù)倪^程中,特別是軍事信息,由于存在擴散和較為敏感的特征,有的人利用了這一特點采取種種手段截獲信息,以便了解和掌握對方的新措施。更有甚者,在信息網(wǎng)絡(luò)運行管理和使用中,更多的是考慮效益、速度和便捷。而把安全、保密等置之度外。因此,我們更要深層次地加強網(wǎng)絡(luò)安全方面的觀念,認識到信息安全防護工作不僅僅是操作人員的“專利”,它更需要所有相關(guān)人員來共同防護。

 

2.2信息網(wǎng)絡(luò)安全核心技術(shù)貧乏

 

目前,我國在信息安全技術(shù)領(lǐng)域自主知識產(chǎn)權(quán)產(chǎn)品少采用的基礎(chǔ)硬件操作系統(tǒng)和數(shù)據(jù)庫等系統(tǒng)軟件大部分依賴國外產(chǎn)品。有些設(shè)備更是拿來就用,忽略了一定的安全隱患。技術(shù)上的落后,使得設(shè)備受制于人。因此,我們要加大對信息網(wǎng)絡(luò)安全關(guān)鍵技術(shù)的研發(fā),避免出現(xiàn)信息泄露的“后門”。

 

2.3信息網(wǎng)絡(luò)安全防護體系不完善

 

防護體系是系統(tǒng)頂層設(shè)計的一個重要組成部分,是保證各系統(tǒng)之間可集成、可互操作的關(guān)鍵。以前信息網(wǎng)絡(luò)安全防護主要是進行一對一的攻防,技術(shù)單一?,F(xiàn)代化的信息網(wǎng)絡(luò)安全防護體系已經(jīng)成為一個規(guī)模龐大、技術(shù)復(fù)雜、獨具特色的重要信息子系統(tǒng),并擔(dān)負著網(wǎng)絡(luò)攻防對抗的重任。因此,現(xiàn)代化信息網(wǎng)絡(luò)安全防護體系的建立應(yīng)具有多效地安全防護機制、安全防護服務(wù)和相應(yīng)的安全防護管理措施等內(nèi)容。

 

2.4信息網(wǎng)絡(luò)安全管理人才缺乏

 

高級系統(tǒng)管理人才缺乏,已成為影響我軍信息網(wǎng)絡(luò)安全防護的因素之一。信息網(wǎng)絡(luò)安全管理人才不僅要精通計算機網(wǎng)絡(luò)技術(shù),還要熟悉安全技術(shù)。既要具有豐富的網(wǎng)絡(luò)工程建設(shè)經(jīng)驗,又要具備管理知識。顯然,加大信息安全人才的培養(yǎng)任重而道遠。

 

三、通信組織運用中的網(wǎng)絡(luò)安全防護

 

網(wǎng)絡(luò)安全是通信系統(tǒng)安全的重要環(huán)節(jié)。保障通信組織的安全主要是保障網(wǎng)絡(luò)安全。網(wǎng)絡(luò)安全備受關(guān)注,如何防范病毒入侵、保護信息安全是人們關(guān)心的問題,筆者總結(jié)了幾點常用的防范措施,遵循這些措施可以降低風(fēng)險發(fā)生的概率,進而降低通信組織中信息安全事故發(fā)生的概率。

 

3.1數(shù)據(jù)備份

 

對重要信息資料要及時備份,或預(yù)存影像資料,保證資料的安全和完整。設(shè)置口令,定期更換,以防止人為因素導(dǎo)致重要資料的泄露和丟失。利用鏡像技術(shù),在磁盤子系統(tǒng)中有兩個系統(tǒng)進行同樣的工作,當(dāng)其中一個系統(tǒng)故障時,另一個系統(tǒng)仍然能正常工作。加密對網(wǎng)絡(luò)通信加密,以防止網(wǎng)絡(luò)被竊聽和截取,尤其是絕密文件更要加密處理,并定期更換密碼。另外,文件廢棄處理時對重要文件粉碎處理,并確保文件不可識別。

 

3.2防治病毒

 

保障信息系統(tǒng)安全的另一個重要措施是病毒防治。安裝殺毒軟件,定期檢查病毒。嚴(yán)格檢查引入的軟盤或下載的軟件和文檔的安全性,保證在使用前對軟盤進行病毒檢查,殺毒軟件應(yīng)及時更新版本。一旦發(fā)現(xiàn)正在流行的病毒,要及時采取相應(yīng)的措施,保障信息資料的安全。

 

3.3提高物理安全

 

物理安全是保障網(wǎng)絡(luò)和信息系統(tǒng)安全的基本保障,機房的安全尤為重要,要嚴(yán)格監(jiān)管機房人員的出入,堅決執(zhí)行出入管理制度,對機房工作人員要嚴(yán)格審查,做到專人專職、專職專責(zé)。另外,可以在機房安裝許多裝置以確保計算機和計算機設(shè)備的安全,例如用高強度電纜在計算機的機箱穿過。但是,所有其他裝置的安裝,都要確保不損害或者妨礙計算機的操作。

 

3.4安裝補丁軟件

 

為避免人為因素(如黑客攻擊)對計算機造成威脅,要及時安裝各種安全補丁程序,不要給入侵者以可乘之機。一旦系統(tǒng)存在安全漏洞,將會迅速傳播,若不及時修正,可能導(dǎo)致無法預(yù)料的結(jié)果。為了保障系統(tǒng)的安全運行,可以及時關(guān)注一些大公司的網(wǎng)站上的系統(tǒng)安全漏洞說明,根據(jù)其附有的解決方法,及時安裝補丁軟件。用戶可以經(jīng)常訪問這些站點以獲取有用的信息。

 

3.5構(gòu)筑防火墻

 

構(gòu)筑系統(tǒng)防火墻是一種很有效的防御措施。防火墻是有經(jīng)驗豐富的專業(yè)技術(shù)人員設(shè)置的,能阻止一般性病毒入侵系統(tǒng)。防火墻的不足之處是很難防止來自內(nèi)部的攻擊,也不能阻止惡意代碼的入侵,如病毒和特洛伊木馬。

 

四、加強通信運用中的信息安全與防護的幾點建議

 

為了應(yīng)付信息安全所面臨的嚴(yán)峻挑戰(zhàn),我們有必要從以下幾個方面著手,加強國防信息安全建設(shè)。

 

4.1要加強宣傳教育,切實增強全民的國防信息安全意識

 

在全社會范圍內(nèi)普及信息安全知識,樹立敵情觀念、紀(jì)律觀念和法制觀念,強化社會各界的信息安全意識,營造一個良好的信息安全防護環(huán)境。各級領(lǐng)導(dǎo)要充分認識自己在信息安全防護工作中的重大責(zé)仟‘一方而要經(jīng)常分析新形勢卜信息安全工作形勢,自覺針對存在的薄弱環(huán)節(jié),采取各種措施,把這項工作做好;另一方面要結(jié)合工作實際,進行以安全防護知識、理論、技術(shù)以及有關(guān)法規(guī)為內(nèi)容的自我學(xué)習(xí)和教育。

 

4.2要建立完備的信息安全法律法規(guī)

 

信息安全需要建立完備的法律法規(guī)保護。自國家《保密法》頒布實施以來,我國先后制定和頒布了《關(guān)于維護互聯(lián)網(wǎng)安全的決定》、《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法》、《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》、《計算機信息系統(tǒng)安全專用產(chǎn)品檢測和銷售許可證管理辦法》、《計算機信息系統(tǒng)安全專用產(chǎn)品分類原則》、《金融機構(gòu)計算機信息系統(tǒng)安全保護工作暫行規(guī)定》等一系列信息安全方面的法律法規(guī),但從整體上看,我國信息安全法規(guī)建設(shè)尚處在起步階段,層次不高,具備完整性、適用性和針對性的信息安全法律體系尚未完全形成。因此,我們應(yīng)當(dāng)加快信息安全有關(guān)法律法規(guī)的研究,及早建立我國信息安全法律法規(guī)體系。

 

4.3要加強信息管理

 

要成立國家信息安全機構(gòu),研究確立國家信息安全的重大決策,制定和國家信息安全政策。在此基礎(chǔ)上,成立地方各部門的信息安全管理機構(gòu),建立相應(yīng)的信息安全管理制度,對其所屬地區(qū)和部門內(nèi)的信息安全實行統(tǒng)一管理。

 

4.4要加強信息安全技術(shù)開發(fā),提高信息安全防護技術(shù)水平

 

沒有先進、有效的信息安全技術(shù),國家信息安全就是一句空話。因此,我們必須借鑒國外先進技術(shù),自主進行信息安全關(guān)鍵技術(shù)的研發(fā)和運用。大力發(fā)展防火墻技術(shù),開發(fā)出高度安全性、高度透明性和高度網(wǎng)絡(luò)化的國產(chǎn)自主知識產(chǎn)權(quán)的防火墻。積極發(fā)展計算機網(wǎng)絡(luò)病毒防治技術(shù),加強計算機網(wǎng)絡(luò)安全管理,為保護國家信息安全打卜一個良好的基礎(chǔ)。

 

4.5加強計算機系統(tǒng)網(wǎng)絡(luò)風(fēng)險的防范加強網(wǎng)絡(luò)安全防范是風(fēng)險防范的重要環(huán)節(jié)

 

首先,可以采取更新技術(shù)、更新設(shè)備的方式。并且要加強工作人員風(fēng)險意識,加大網(wǎng)絡(luò)安全教育的投入。其次,重要數(shù)據(jù)和信息要及時備份,也可采用影像技術(shù)提高資料的完整性。第三,及時更新殺毒軟件版本,殺毒軟件可將部分病毒拒之門外,殺毒軟件更新提高了防御病毒攻擊的能力。第五,對重要信息采取加密技術(shù),密碼設(shè)置應(yīng)包含數(shù)字、字母和其他字符。加密處理可以防止內(nèi)部信息在網(wǎng)絡(luò)上被非授權(quán)用戶攔截。第六,嚴(yán)格執(zhí)行權(quán)限控制,做好信息安全管理工作?!叭旨夹g(shù),七分管理”,可見信息安全管理在預(yù)防風(fēng)險時的重要性,只有加強監(jiān)管和管理,才能使信息安全更上一個臺階。

 

4.6建立和完善計算機系統(tǒng)風(fēng)險防范的管理制度

 

建立完善的防范風(fēng)險的制度是預(yù)防風(fēng)險的基礎(chǔ),是進行信息安全管理和防護的標(biāo)準(zhǔn)。首先,要高度重視安全問題。隨著信息技術(shù)的發(fā)展,攻擊者的攻擊手段也在不斷進化,面對高智商的入侵者,我們必須不惜投入大量人力、物力、財力來研究和防范風(fēng)險。在研究安全技術(shù)和防范風(fēng)險的策略時,可以借鑒國外相關(guān)研究,尤其是一些發(fā)達國家,他們信息技術(shù)起步早,風(fēng)險評估研究也很成熟,我們可以借鑒他們的管理措施,結(jié)合我們的實際,應(yīng)用到風(fēng)險防范中,形成風(fēng)險管理制度,嚴(yán)格執(zhí)行。

 

其次,應(yīng)當(dāng)設(shè)立信息安全管理的專門機構(gòu),并配備專業(yè)技術(shù)人才,選拔防范風(fēng)險的技術(shù)骨干,開展對信息安全技術(shù)的研究,對系統(tǒng)弱點進行風(fēng)險評估,及時采取補救措施。完善信息安全措施,并落實到信息安全管理中去。

 

五、結(jié)論

 

通信在生活中有著廣泛的應(yīng)用,涉及到人們生活的方方面面。它構(gòu)建安全的通信系統(tǒng)是進行通信組織運用中信息安全防護的前提。通信系統(tǒng)網(wǎng)絡(luò)安全防護體系應(yīng)以一個良好的安全策略為起點,建立在安全的網(wǎng)絡(luò)中,保障通信系統(tǒng)的安全,維護信息安全。