導(dǎo)語(yǔ)：如何才能寫(xiě)好一篇信息安全戰(zhàn)略報(bào)告，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

IDC的報(bào)告表明，2008 年第3季度，國(guó)際金融危機(jī)對(duì)中國(guó)的影響開(kāi)始顯現(xiàn)，第4季度經(jīng)濟(jì)形勢(shì)加劇惡化，對(duì)IT安全硬件市場(chǎng)產(chǎn)生了迅速和直接的影響。而在整體經(jīng)濟(jì)環(huán)境持續(xù)惡化的一年中，聯(lián)想網(wǎng)御卻繼續(xù)實(shí)現(xiàn)了高速增長(zhǎng)，在摘得一金二銀成績(jī)的同時(shí)，聯(lián)想網(wǎng)御的競(jìng)爭(zhēng)力排名也直線上升，成為國(guó)內(nèi)成長(zhǎng)最快的信息安全企業(yè)，充分顯示出聯(lián)想網(wǎng)御作為中國(guó)信息安全領(lǐng)軍企業(yè)的深厚功底。

IDC報(bào)告指出，2008年，中國(guó)IT安全硬件市場(chǎng)的市場(chǎng)規(guī)模為4.84億美元，同比增長(zhǎng)28.1%。其中，入侵防御硬件市場(chǎng)（IPS）、統(tǒng)一威脅管理硬件市場(chǎng)（UTM）、安全內(nèi)容管理硬件市場(chǎng)和VPN 硬件市場(chǎng)出現(xiàn)了高速增長(zhǎng)。IDC預(yù)測(cè)，隨著市場(chǎng)的進(jìn)一步擴(kuò)大，這些高速成長(zhǎng)的電子市場(chǎng)在整體IT安全硬件市場(chǎng)中所占比例將逐漸加大。

聯(lián)想網(wǎng)御認(rèn)為，信息安全企業(yè)唯有眼光長(zhǎng)遠(yuǎn)，苦練內(nèi)功，把握需求，持續(xù)創(chuàng)新，并據(jù)此制定正確的企業(yè)發(fā)展戰(zhàn)略，才能有所建樹(shù)。作為國(guó)內(nèi)領(lǐng)先的信息安全廠商，聯(lián)想網(wǎng)御一直以高于行業(yè)平均增長(zhǎng)速度領(lǐng)跑整個(gè)信息安全產(chǎn)業(yè)，并不斷結(jié)合用戶需求進(jìn)行產(chǎn)品技術(shù)創(chuàng)新。2008年，聯(lián)想網(wǎng)御明確提出了“鞏固網(wǎng)絡(luò)安全，發(fā)展應(yīng)用安全，布局管理安全”的三年發(fā)展戰(zhàn)略。在該戰(zhàn)略的指引下，聯(lián)想網(wǎng)御通過(guò)對(duì)信息安全產(chǎn)業(yè)發(fā)展趨勢(shì)的敏銳判斷，率先開(kāi)始了在應(yīng)用與數(shù)據(jù)安全領(lǐng)域的戰(zhàn)略布局。

篇2

共話數(shù)據(jù)安全未來(lái)

中國(guó)科學(xué)院何積豐院士在題為《大數(shù)據(jù)與智能制造》的主題報(bào)告中提出，大數(shù)據(jù)越來(lái)越多地被運(yùn)用到能源、健康、制造、交通等領(lǐng)域，數(shù)據(jù)的分析與挖掘產(chǎn)生巨大的經(jīng)濟(jì)價(jià)值，深度剖析數(shù)據(jù)的保護(hù)刻不容緩，安全亟待升級(jí)。

中國(guó)工程院沈昌祥院士在題為《可信計(jì)算筑牢網(wǎng)絡(luò)安全防線》的專項(xiàng)報(bào)告中強(qiáng)調(diào)，面臨日益嚴(yán)峻的國(guó)際網(wǎng)絡(luò)空間形勢(shì)，我們要立足國(guó)情，創(chuàng)新驅(qū)動(dòng)，解決受制于人的問(wèn)題，堅(jiān)持縱深防御，用可信計(jì)算3.0構(gòu)建網(wǎng)絡(luò)空間安全防線。

中國(guó)工程院倪光南院士在《云安全的思考》主題演講中指出，云安全一定會(huì)呈現(xiàn)出多維度、多層次、跨領(lǐng)域、多學(xué)科技術(shù)交叉等方面的特征。對(duì)于云計(jì)算的安全保護(hù)，單一手段遠(yuǎn)遠(yuǎn)不夠，需要有一個(gè)完備的體系，總體上需要從技術(shù)、監(jiān)管、法律三個(gè)層面進(jìn)行，形成可感知、可預(yù)防的智能云安全體系。

解讀前沿技術(shù)趨勢(shì)

浙江華途信息安全技術(shù)股份有限公司董事長(zhǎng)總裁謝永勝分享了《中國(guó)數(shù)據(jù)安全發(fā)展的思考》。他認(rèn)為：“歐盟、美國(guó)和中國(guó)都立法從網(wǎng)絡(luò)安全頂層設(shè)計(jì)數(shù)據(jù)安全保護(hù)，如我國(guó)的《網(wǎng)絡(luò)安全法》等。即使有戰(zhàn)略規(guī)劃，有法律法規(guī)，有國(guó)家標(biāo)準(zhǔn)，數(shù)據(jù)泄漏事件仍愈演愈烈?！?/p>

據(jù)了解，2016年全球安全市場(chǎng)收入736億美元，其中數(shù)據(jù)泄露防護(hù)領(lǐng)域占15%，而放眼全球市場(chǎng)，中國(guó)在全球數(shù)據(jù)安全防護(hù)市場(chǎng)的投入比例僅占4%。綜上所述，要解決數(shù)據(jù)安全的問(wèn)題，除了戰(zhàn)略規(guī)劃、法律法規(guī)、行業(yè)標(biāo)準(zhǔn)的措施外，還需要加大安全領(lǐng)域的投入。

中科院信息工程研究所所長(zhǎng)黃偉慶做了《物理空間信息安全風(fēng)險(xiǎn)與防護(hù)》的演講。他表示：“物理空間信息安全的L險(xiǎn)與防護(hù)，正在成為一個(gè)備受關(guān)注的領(lǐng)域?！惫膊啃畔⒌燃?jí)保護(hù)評(píng)估中心副主任畢馬寧呼吁《關(guān)注形勢(shì)變化 注重動(dòng)態(tài)安全》，信息化發(fā)展是支撐，是領(lǐng)導(dǎo)，信息安全是保障。等級(jí)是手段，保護(hù)是目的。

篇3

 

一、加強(qiáng)頂層設(shè)計(jì)，確立信息安全教育國(guó)家戰(zhàn)略

 

1.《網(wǎng)絡(luò)空間安全國(guó)家戰(zhàn)略》

 

布什政府在2003年2月了《網(wǎng)絡(luò)空間安全國(guó)家戰(zhàn)略》，其中首次從國(guó)家層面提出了“提高網(wǎng)絡(luò)安全意識(shí)與培訓(xùn)計(jì)劃”，指出，“除了信息技術(shù)系統(tǒng)的脆弱性外，要提高網(wǎng)絡(luò)的安全性至少面臨著兩個(gè)障礙：缺乏對(duì)安全問(wèn)題的了解和認(rèn)識(shí);無(wú)法找到足夠多的經(jīng)過(guò)培訓(xùn)或通過(guò)認(rèn)證的人員來(lái)建立并管理安全系統(tǒng)?！盀榇?，美國(guó)要開(kāi)展全國(guó)性的增強(qiáng)安全意識(shí)活動(dòng)，加強(qiáng)培訓(xùn)和網(wǎng)絡(luò)安全專業(yè)人員資格認(rèn)證。

 

2.《美國(guó)網(wǎng)絡(luò)安全評(píng)估》報(bào)告

 

2009年5月29日美國(guó)公布了《美國(guó)網(wǎng)絡(luò)安全評(píng)估》報(bào)告，評(píng)估了美國(guó)政府在網(wǎng)絡(luò)空間的安全戰(zhàn)略、策略和標(biāo)準(zhǔn)，指出了存在的問(wèn)題，提出行動(dòng)計(jì)戈IJ。所提議的優(yōu)先行動(dòng)計(jì)劃之一就是“加強(qiáng)公眾網(wǎng)絡(luò)安全教育”。

 

3.《國(guó)家網(wǎng)絡(luò)安全綜合計(jì)劃》(CNCI)

 

2010年3月2日，奧巴馬政府對(duì)前布什政府在2007年制定的一份國(guó)家網(wǎng)絡(luò)安全綜合計(jì)劃的部分內(nèi)容進(jìn)行解密。CNCI計(jì)劃提出要實(shí)現(xiàn)重要目標(biāo)之一就是：“為了有效地保證持續(xù)的技術(shù)優(yōu)勢(shì)和未來(lái)的網(wǎng)絡(luò)安全，必須制定一個(gè)技術(shù)熟練和精通網(wǎng)絡(luò)的勞動(dòng)力和未來(lái)員工的有效渠道。擴(kuò)大網(wǎng)絡(luò)教育，以加強(qiáng)未來(lái)的網(wǎng)絡(luò)安全環(huán)境?！?/p>

 

4.《國(guó)家網(wǎng)絡(luò)空間安全教育戰(zhàn)略計(jì)劃》

 

2011年8月11日，NIST授權(quán)《美國(guó)網(wǎng)絡(luò)

 

安全教育倡議戰(zhàn)略規(guī)劃：構(gòu)建數(shù)字美國(guó)》草案，征求公眾意見(jiàn)。該規(guī)劃是美國(guó)網(wǎng)絡(luò)安全教育倡議(NICE)的首個(gè)戰(zhàn)略規(guī)劃，闡明了NICE的任務(wù)、遠(yuǎn)景和目標(biāo)。NICE旨在通過(guò)創(chuàng)新的網(wǎng)絡(luò)行為教育、培訓(xùn)和加強(qiáng)相關(guān)意識(shí)，促進(jìn)美國(guó)的經(jīng)濟(jì)繁榮和保障國(guó)家安全，并通過(guò)以下三個(gè)目標(biāo)實(shí)現(xiàn)這一愿景：增強(qiáng)公眾有關(guān)網(wǎng)上活動(dòng)風(fēng)險(xiǎn)的意識(shí);擴(kuò)展能支持國(guó)家網(wǎng)絡(luò)安全的人員隊(duì)伍;建立和維持一支強(qiáng)大的具有全球競(jìng)爭(zhēng)力的網(wǎng)絡(luò)安全隊(duì)伍。

 

二、做好立法工作，完善法規(guī)標(biāo)隹體系

 

1.《聯(lián)邦信息安全管理法案》(FISMA)

 

2002年7月，美國(guó)政府制定了《聯(lián)邦信息安全管理法案》(FISMAhFISMA法案以立法的形式表明美國(guó)政府已經(jīng)認(rèn)識(shí)到信息安全對(duì)美國(guó)經(jīng)濟(jì)和國(guó)家安全利益的重要性，并從風(fēng)險(xiǎn)管理角度提出了一個(gè)有效的信息安全管理體系。信息安全教育與培訓(xùn)是信息安全管理體系中一個(gè)重要環(huán)節(jié)。

 

FISMA法案明確要求：聯(lián)邦政府機(jī)構(gòu)須為內(nèi)外部相關(guān)人員提供信息安全風(fēng)險(xiǎn)的安全意識(shí)培訓(xùn)，為此還提議了一個(gè)較為完善的國(guó)家安全意識(shí)及其培訓(xùn)系統(tǒng)。

 

2.國(guó)防部(DoD)8570指令

 

2005年12月，為了更好地支持“全球信息網(wǎng)格計(jì)戈j”，美國(guó)國(guó)防部了8570指令。該指令涵蓋以下主要內(nèi)容：建立技術(shù)基準(zhǔn)，管理職員的信息保障技能;實(shí)現(xiàn)正規(guī)的信息保障勞動(dòng)力技能培訓(xùn)和認(rèn)證活動(dòng);通過(guò)標(biāo)準(zhǔn)的測(cè)試認(rèn)證檢驗(yàn)信息保障人員的知識(shí)和技能;在基礎(chǔ)教育和實(shí)驗(yàn)教育中，持續(xù)的增加信息保障內(nèi)容。

 

3.聯(lián)邦政府信息技術(shù)安全培訓(xùn)標(biāo)準(zhǔn)(FIPS)

 

FISMA法案明確指定NIST負(fù)責(zé)制定聯(lián)邦政府(除國(guó)防、情報(bào)部門(mén)以外)所使用的信息安全技術(shù)、產(chǎn)品和培訓(xùn)方面的國(guó)家標(biāo)準(zhǔn)。目前，NIST已制定和兩部權(quán)威的信息安全培訓(xùn)標(biāo)準(zhǔn)：《信息技術(shù)安全培訓(xùn)要求：基于角色和表現(xiàn)的模型》(NISTSP800-16)和《建立信息安全意i只和培訓(xùn)方案》(NISTSP800—50)cNIST在SP800—16標(biāo)準(zhǔn)中提出了信息安全培訓(xùn)概念性的框架，依據(jù)這些框架，美國(guó)聯(lián)邦政府部門(mén)開(kāi)展了很多綜合性的聯(lián)邦計(jì)算臟務(wù)(FSC)項(xiàng)目。

 

4.網(wǎng)絡(luò)安全法案

 

2010年3月24日，美國(guó)參議院商務(wù)、科學(xué)和運(yùn)輸委員會(huì)全票通過(guò)了旨在加強(qiáng)美國(guó)網(wǎng)絡(luò)安全、幫助美國(guó)政府機(jī)構(gòu)和企業(yè)有效應(yīng)對(duì)網(wǎng)絡(luò)威脅的《網(wǎng)絡(luò)安全法案》。該法案要求政府機(jī)構(gòu)和私營(yíng)部門(mén)加強(qiáng)在網(wǎng)絡(luò)安全領(lǐng)域方面的信息共享，強(qiáng)調(diào)通過(guò)市場(chǎng)手段，鼓勵(lì)培養(yǎng)網(wǎng)絡(luò)安全人才，開(kāi)發(fā)網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)。

 

三、構(gòu)建信息網(wǎng)絡(luò)安全組織機(jī)構(gòu)，健全安全教育培訓(xùn)管理體制

 

為了落實(shí)信息安全教育培訓(xùn)相關(guān)政策和法律法規(guī)，美國(guó)將協(xié)調(diào)、執(zhí)行、監(jiān)督、管理等權(quán)利分配給多個(gè)政府部門(mén)，依據(jù)最新的《國(guó)家網(wǎng)絡(luò)安全教育戰(zhàn)略計(jì)劃》的思路，國(guó)家標(biāo)準(zhǔn)技術(shù)研究所(NIST)為整個(gè)計(jì)劃的負(fù)責(zé)單位，協(xié)調(diào)其他部門(mén)參與計(jì)劃的實(shí)施;國(guó)土安全部(DHS)、國(guó)防部(DoD)、國(guó)務(wù)院、教育部和國(guó)家科學(xué)基金會(huì)(NSF)協(xié)力加強(qiáng)公眾的信息安全意識(shí);DHS、海關(guān)總署、NSF和國(guó)家安全局(NSA)共同加強(qiáng)從業(yè)人員f支術(shù)能力;DHS、DoD、NIST、NSA、NSF和人事管理局(OPM)負(fù)責(zé)建立高端網(wǎng)絡(luò)安全人才隊(duì)伍。

 

社會(huì)各界積極參與

 

行業(yè)協(xié)會(huì)已經(jīng)站到了信息安全教育培訓(xùn)的前沿，成為信息安全教育培訓(xùn)的踐行者。其職責(zé)主要是協(xié)助有關(guān)部門(mén)制定信息安全教育與培訓(xùn)的標(biāo)準(zhǔn)，組織持續(xù)的教育活動(dòng)，并向內(nèi)部成員單位實(shí)施培訓(xùn)。行業(yè)協(xié)會(huì)自身作為提供教育和培訓(xùn)的主體，一方面可以根據(jù)政府的引導(dǎo)和企業(yè)的需求來(lái)設(shè)置培訓(xùn)內(nèi)容;另一方面可以利用政府和產(chǎn)業(yè)界的資源，充分發(fā)揮其在信息安全領(lǐng)域內(nèi)不可替代的社會(huì)職能。行業(yè)協(xié)會(huì)提供的培訓(xùn)標(biāo)準(zhǔn)是政府制定的培訓(xùn)標(biāo)準(zhǔn)的主要補(bǔ)充，為規(guī)范和完善美國(guó)信息安全培訓(xùn)行業(yè)提供了切實(shí)可行的保障。

 

(1)國(guó)際信息系統(tǒng)審計(jì)協(xié)會(huì)(丨SACA)

 

國(guó)際信息系統(tǒng)審計(jì)協(xié)會(huì)(ISACA)是一個(gè)為信息管理、控制、安全和審計(jì)專業(yè)設(shè)定規(guī)范標(biāo)準(zhǔn)的全球性組織，會(huì)員遍布逾160個(gè)國(guó)家，總數(shù)超過(guò)86,000人。ISACA成立于1969年，除贊助舉辦國(guó)際會(huì)議外，還編輯出版《信息系統(tǒng)監(jiān)控期刊》，制定國(guó)際信息系統(tǒng)的審計(jì)與監(jiān)控標(biāo)準(zhǔn)，以及頒授國(guó)際廣泛認(rèn)可的注冊(cè)信息系統(tǒng)審計(jì)師(CISA)專業(yè)資格認(rèn)證。CISA認(rèn)證體系已通過(guò)美國(guó)國(guó)家標(biāo)準(zhǔn)協(xié)會(huì)(ANSI)依照ISO/IEC17024:2003標(biāo)準(zhǔn)對(duì)其進(jìn)行的資格鑒定。同時(shí)，美國(guó)國(guó)防部也認(rèn)可了CISA認(rèn)證，并將其納入到國(guó)防系統(tǒng)信息技術(shù)人員技能商業(yè)資格認(rèn)證體系當(dāng)中。這產(chǎn)生了以下四方面的作用：認(rèn)可CISA認(rèn)證所提供的特有資格和專業(yè)知識(shí)技能;保護(hù)認(rèn)證的信譽(yù)并提供法律保護(hù);增進(jìn)消費(fèi)者和公眾對(duì)本認(rèn)證和持證者的信心;使跨國(guó)、跨行業(yè)的人才流動(dòng)更加便利。

 

(2)美國(guó)系統(tǒng)網(wǎng)絡(luò)安全(SANS)研究院SANS是于1989年創(chuàng)立的美國(guó)非政府組織(NGO)，是一所具有代表性的從事網(wǎng)絡(luò)安全研究教育的專業(yè)機(jī)構(gòu)。1999年SANS首次推出了安全技術(shù)認(rèn)證程序(GIAC)。

 

GIAC認(rèn)證程序有以下幾個(gè)特點(diǎn)：

 

GIAC提供超過(guò)20種的信息安全認(rèn)證，其大多數(shù)符合DOD8570指令。GIAC依據(jù)國(guó)家標(biāo)準(zhǔn)對(duì)安全專業(yè)人員及開(kāi)發(fā)人員進(jìn)行各方面技能認(rèn)證。GIAC安全認(rèn)證分為入門(mén)級(jí)信息安全基礎(chǔ)認(rèn)證(GISF)和高級(jí)安全要素認(rèn)證(GSEC)。兩種認(rèn)證都重點(diǎn)考察安全基礎(chǔ)知識(shí)，保證揺正人員擁有必備的安全技能。其它GIAC安全認(rèn)證包括：認(rèn)證防火墻分析師(確認(rèn)設(shè)計(jì)、配置和監(jiān)控路由器、防火墻和其它邊界設(shè)備所需的知識(shí)、技能和能力)、認(rèn)證入侵分析師(評(píng)估考生配置和監(jiān)控入侵檢測(cè)系統(tǒng)的知識(shí))、認(rèn)證事故處理員(考察考生處理事故和攻擊的能力)和認(rèn)證司法辯論分析師(考查考生高效處理正式司法調(diào)查的能力。

 

(3)國(guó)際信息系統(tǒng)安全認(rèn)證聯(lián)盟(ISC)2

 

國(guó)際信息系統(tǒng)安全核準(zhǔn)聯(lián)盟(ISC)2成立于1989年，是一家致力于為全球信息系統(tǒng)安全從業(yè)人員提供信息安全專業(yè)技能培訓(xùn)和認(rèn)證的國(guó)際領(lǐng)先非營(yíng)利組織。在(ISC)2各種認(rèn)證中，CISSP數(shù)量最多。截至2010年底，全球共有75000名CISSP獲證人員，其中，美國(guó)獲證人員數(shù)量超過(guò)70%^CISSP獲證人員中，約30%在政府部門(mén)工作，40%從事信息安全月服務(wù)行業(yè)，30%從事用戶終端工作。

 

注冊(cè)信息系統(tǒng)安全專業(yè)人員通用知識(shí)體(CISSPCBK)提供了通用的信息安全術(shù)語(yǔ)和原理框架，使得全世界的信息安全專業(yè)人員能夠以相同的術(shù)語(yǔ)和理念，討論、辯論和解決信息安全相關(guān)問(wèn)題。

篇4

［關(guān)鍵詞］ 信息安全保障體系； 中國(guó)石油； 企業(yè)

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 09. 054

［中圖分類號(hào)］ TP309 ［文獻(xiàn)標(biāo)識(shí)碼］ A ［文章編號(hào)］ 1673 - 0194（2012）09- 0089- 02

1 信息安全保障體系概述

信息安全保障（Information Assurance，IA）來(lái)源于1996年美國(guó)國(guó)防部DoD指令5－3600．1（DoDD5－3600．1）。其發(fā)展經(jīng)歷了通信安全、計(jì)算機(jī)安全、信息安全直至現(xiàn)在的信息安全保障。內(nèi)容包括保護(hù)（Protection）、檢測(cè)（Detection）、響應(yīng)（Response）、恢復(fù)（Recovery） 4個(gè)環(huán)節(jié)，即PDRR模型。

信息安全保障體系分為人員體系、技術(shù)體系和管理體系3個(gè)層面，人員體系包括安全人員的崗位與職責(zé)、全體工作人員的安全管理兩部分。技術(shù)體系由本地計(jì)算環(huán)境、區(qū)域邊界、網(wǎng)絡(luò)基礎(chǔ)設(shè)施及支撐性基礎(chǔ)設(shè)施組成。管理體系包括建立完善的信息安全管理體系、構(gòu)建自上而下的各級(jí)信息安全管理組織架構(gòu)、制定信息安全方針與信息安全策略及完善信息安全管理制度4個(gè)板塊。通過(guò)縱深防御的多層防護(hù)，多處設(shè)置保護(hù)機(jī)制，抵御通過(guò)內(nèi)部或外部從多點(diǎn)向信息系統(tǒng)發(fā)起的攻擊，將信息系統(tǒng)的安全風(fēng)險(xiǎn)降低到可以接受的程度。

2 國(guó)外信息安全保障體系建設(shè)

美國(guó)的信息化程度全球最高，在信息技術(shù)的主導(dǎo)權(quán)和網(wǎng)絡(luò)上的話語(yǔ)權(quán)等方面占據(jù)先天優(yōu)勢(shì)，他們?cè)谛畔踩Ｕ象w系建設(shè)以及政策支持方面也走在全球的前列。美國(guó)政府先后了一系列政策戰(zhàn)略報(bào)告，將信息安全由“政策”、“計(jì)劃”上升到“國(guó)家戰(zhàn)略”及“國(guó)際戰(zhàn)略”的高度。美國(guó)國(guó)土安全局是美國(guó)信息安全管理的最高權(quán)力機(jī)構(gòu)，其他負(fù)責(zé)信息安全管理和執(zhí)行的機(jī)構(gòu)有國(guó)家安全局、聯(lián)邦調(diào)查局、國(guó)防部、商務(wù)部等，主要根據(jù)相應(yīng)的方針和政策結(jié)合自己部門(mén)的情況實(shí)施信息安全保障工作。

其他國(guó)家也都非常重視信息安全保障工作。構(gòu)建可信的網(wǎng)絡(luò)，建設(shè)有效的信息安全保障體系，實(shí)施切實(shí)可行的信息安全保障措施已經(jīng)成為世界各國(guó)信息化發(fā)展的主要需求。信息化發(fā)展比較好的發(fā)達(dá)國(guó)家，如俄、德、日等國(guó)家都已經(jīng)或正在制定自己的信息安全發(fā)展戰(zhàn)略和發(fā)展計(jì)劃，確保信息安全沿著正確的方向發(fā)展，在信息安全領(lǐng)域不斷進(jìn)行著積極有益的探索。

3 國(guó)內(nèi)信息安全保障體系建設(shè)

我國(guó)信息化安全保障體系建設(shè)相對(duì)于發(fā)達(dá)國(guó)家起步較晚，2003年9月，中央提出要在5年內(nèi)建設(shè)中國(guó)信息安全保障體系。2006年9月，“十一五”發(fā)展綱要提出科技“支撐發(fā)展”的重要思想，提出要提高我國(guó)信息產(chǎn)業(yè)核心技術(shù)自主開(kāi)發(fā)能力和整體水平，初步建立有中國(guó)特色的信息安全保障體系。2007年7月20日，“全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作電視電話會(huì)議”召開(kāi)，標(biāo)志著信息安全等級(jí)保護(hù)工作在全國(guó)范圍內(nèi)的開(kāi)展與實(shí)施。2011年3月《我國(guó)國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展十二五規(guī)劃綱要》明確提出加強(qiáng)網(wǎng)絡(luò)與信息安全保障工作。通過(guò)一系列的文件要求，不斷完善與提升我國(guó)的信息安全體系，強(qiáng)調(diào)信息安全的重要性。

我國(guó)信息安全保障體系建設(shè)主要包括：① 加快信息安全立法、建立信息安全法制體系，做到有法可依，有法必依。② 建立國(guó)家信息安全組織管理體系，加強(qiáng)國(guó)家職能，建立職能高效、職責(zé)分工明確的行政管理和業(yè)務(wù)組織體系，建立信息安全標(biāo)準(zhǔn)和評(píng)價(jià)體系。③ 建立國(guó)家信息安全技術(shù)保障體系，使用科學(xué)技術(shù)，實(shí)施安全的防護(hù)保障。④ 在技術(shù)保障體系下，建設(shè)國(guó)家信息安全保障基礎(chǔ)設(shè)施。⑤ 建立國(guó)家信息安全經(jīng)費(fèi)保障體系，加大信息安全投入。⑥ 高度重視人才培養(yǎng)，建立信息安全人才培養(yǎng)機(jī)制。

我國(guó)通過(guò)近幾年的努力，信息安體保障體系取得了長(zhǎng)足發(fā)展，2002年成立了全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)，不斷完善信息安全標(biāo)準(zhǔn)。同時(shí)在互聯(lián)網(wǎng)管理、信息安全測(cè)評(píng)認(rèn)證、信息安全等級(jí)保護(hù)工作等方面取得了實(shí)質(zhì)性進(jìn)展，但CPU芯片、操作系統(tǒng)與數(shù)據(jù)庫(kù)、網(wǎng)關(guān)軟件仍大多依賴進(jìn)口，受制于人。

4 企業(yè)信息安全保障體系建設(shè)

中國(guó)石油集團(tuán)公司信息化建設(shè)在我國(guó)大型企業(yè)中處于領(lǐng)先地位，在國(guó)資委歷年信息化評(píng)比中，都名列前茅，“十一五”期間，公司將企業(yè)信息安全保障體系建設(shè)納入信息化整體規(guī)劃中，并逐步實(shí)施。其中涉及管理類項(xiàng)目3個(gè)，控制類項(xiàng)目3個(gè)，技術(shù)類項(xiàng)目5個(gè)。

管理類項(xiàng)目包括信息安全組織完善、信息安全運(yùn)行能力建設(shè)、風(fēng)險(xiǎn)評(píng)估能力建設(shè)3個(gè)項(xiàng)目。信息安全組織完善是指完善信息安全的決策、管理與技術(shù)服務(wù)組織，合理配置崗位并明確職責(zé)，建立完備的管理流程，為信息安全建設(shè)與運(yùn)行提供組織保障。信息安全運(yùn)行能力建設(shè)內(nèi)容包括建立統(tǒng)一、完備的信息安全運(yùn)行維護(hù)流程及組織IT運(yùn)行維護(hù)人員信息安全技能培訓(xùn)，較快形成基本的信息安全運(yùn)行能力。風(fēng)險(xiǎn)評(píng)估能力建設(shè)是指通過(guò)建立風(fēng)險(xiǎn)評(píng)估規(guī)范及實(shí)施團(tuán)隊(duì)，提高信息安全風(fēng)險(xiǎn)自評(píng)估能力和風(fēng)險(xiǎn)管理能力，強(qiáng)化保障體系的有效性。

信息安全控制類項(xiàng)目涉及信息安全制度與標(biāo)準(zhǔn)完善、基礎(chǔ)設(shè)施安全配置規(guī)范開(kāi)發(fā)、應(yīng)用系統(tǒng)安全合規(guī)性實(shí)施3個(gè)項(xiàng)目。信息安全制度與標(biāo)準(zhǔn)完善包括：① 初步構(gòu)建了制度和標(biāo)準(zhǔn)體系，了《信息系統(tǒng)安全管理辦法》及系統(tǒng)定級(jí)實(shí)施辦法。② 建立和完善了信息系統(tǒng)安全管理員制度，開(kāi)展了信息安全培訓(xùn)。③ 跟蹤國(guó)家信息安全等級(jí)保護(hù)政策，開(kāi)展信息系統(tǒng)安全測(cè)評(píng)方法研究等，規(guī)范了信息系統(tǒng)安全管理流程，提升安全運(yùn)行能力。基礎(chǔ)設(shè)施安全配置規(guī)范開(kāi)發(fā)目標(biāo)是制定滿足安全域和等級(jí)保護(hù)要求的信息技術(shù)基礎(chǔ)設(shè)施安全配置規(guī)范，提高信息技術(shù)基礎(chǔ)設(shè)施的安全防護(hù)能力。應(yīng)用系統(tǒng)安全合規(guī)性實(shí)施是提供專業(yè)的信息安全指導(dǎo)與服務(wù)，支持國(guó)家等級(jí)保護(hù)、中國(guó)石油內(nèi)部控制等制度的實(shí)施，使信息化建設(shè)與應(yīng)用滿足合規(guī)性要求。

信息安全技術(shù)類項(xiàng)目由身份管理與認(rèn)證、網(wǎng)絡(luò)安全域?qū)嵤?、桌面安全管理、系統(tǒng)災(zāi)難恢復(fù)、信息安全運(yùn)行中心5個(gè)項(xiàng)目組成。身份管理與認(rèn)證是指建成集中身份管理與統(tǒng)一認(rèn)證平臺(tái)，實(shí)現(xiàn)關(guān)鍵和重要系統(tǒng)的用戶身份認(rèn)證，提高用戶身份管理效率，保證系統(tǒng)訪問(wèn)的安全性。網(wǎng)絡(luò)安全域包括廣域網(wǎng)邊界防護(hù)、廣域網(wǎng)域間與數(shù)據(jù)中心防護(hù)、廣域網(wǎng)域內(nèi)防護(hù)3項(xiàng)內(nèi)容。廣域網(wǎng)邊界防護(hù)是指將全國(guó)各地的中國(guó)石油單位的互聯(lián)網(wǎng)集中統(tǒng)一到16個(gè)區(qū)域網(wǎng)絡(luò)中心，員工受控訪問(wèn)互聯(lián)網(wǎng)資源，并最終實(shí)現(xiàn)實(shí)名制上網(wǎng)。廣域網(wǎng)域間與數(shù)據(jù)中心防護(hù)項(xiàng)目指建立。區(qū)域間訪問(wèn)與防護(hù)標(biāo)準(zhǔn)、數(shù)據(jù)中心防護(hù)標(biāo)準(zhǔn)。廣域網(wǎng)域內(nèi)防護(hù)將分離其他網(wǎng)絡(luò)并制定訪問(wèn)策略，完善域內(nèi)安全監(jiān)控手段和技術(shù)，規(guī)范域內(nèi)防護(hù)標(biāo)準(zhǔn)。桌面安全管理項(xiàng)目包括防病毒、補(bǔ)丁分發(fā)、端點(diǎn)準(zhǔn)入、后臺(tái)管理、電子文檔保護(hù)和信息安全等級(jí)保護(hù)綜合管理6個(gè)子系統(tǒng)。系統(tǒng)災(zāi)難恢復(fù)包括：① 對(duì)數(shù)據(jù)中心機(jī)房進(jìn)行了風(fēng)險(xiǎn)評(píng)估，提出了風(fēng)險(xiǎn)防范和改進(jìn)措施。② 對(duì)已上線的18個(gè)信息系統(tǒng)進(jìn)行業(yè)務(wù)影響分析，確定了災(zāi)難恢復(fù)關(guān)鍵指標(biāo)。③ 制定整體的災(zāi)備策略和災(zāi)難恢復(fù)系統(tǒng)方案。信息安全運(yùn)行中心旨在形成安全監(jiān)控信息匯總樞紐和信息安全事件協(xié)調(diào)處理中心，提高對(duì)信息安全事件的預(yù)警和響應(yīng)能力。

5 存在問(wèn)題及建議

中國(guó)石油作為國(guó)資委超大型企業(yè)和能源工業(yè)龍頭企業(yè)，集團(tuán)領(lǐng)導(dǎo)和各級(jí)領(lǐng)導(dǎo)，一貫重視信息安全工作，在落實(shí)等級(jí)保護(hù)制度，加強(qiáng)信息安全基礎(chǔ)設(shè)施建設(shè)，深入開(kāi)展信息安全戰(zhàn)略、策略研究等方面，都取得的豐碩成果，值得其他企業(yè)借鑒。公司在信息安全保障體系建設(shè)中還存在以下問(wèn)題：

（1） 信息安全組織體系不夠健全，不能較好地落實(shí)安全管理責(zé)任制。目前，部分二級(jí)單位沒(méi)有獨(dú)立的信息部門(mén)，更沒(méi)有負(fù)責(zé)安全體系建設(shè)、運(yùn)行和管理的專職機(jī)構(gòu)，安全的組織保障職能分散在各個(gè)部門(mén)，兼職安全管理員有責(zé)無(wú)權(quán)的現(xiàn)象普遍存在，制約了中國(guó)石油信息安全保障體系建設(shè)的發(fā)展。需強(qiáng)制建立從上至下完善的管理體系，明確直屬二級(jí)單位的信息部門(mén)建設(shè)，崗位設(shè)定、人員配備滿足對(duì)信息系統(tǒng)管理的需求。

篇5

目前，我國(guó)的信息安全事件和事故的頻繁發(fā)生，這和老百姓最為直接的就是個(gè)人網(wǎng)絡(luò)賬號(hào)被盜。據(jù)賽門(mén)鐵克諾頓公司9月11日的諾頓安全報(bào)告顯示，從2011年7月至2012年7月，網(wǎng)絡(luò)犯罪致使全球個(gè)人用戶蒙受的直接損失高達(dá)1100億美元。同期，中國(guó)估計(jì)有超過(guò)2.57億人成為網(wǎng)絡(luò)犯罪受害者，直接經(jīng)濟(jì)損失達(dá)人民幣2890億元。

針對(duì)日趨嚴(yán)重的網(wǎng)絡(luò)安全問(wèn)題。工信部通信保障局網(wǎng)絡(luò)安全處副處長(zhǎng)付景廣對(duì)記者說(shuō)，工信部建立了通訊行業(yè)和網(wǎng)絡(luò)安全防護(hù)、應(yīng)急演練等等，以保障網(wǎng)絡(luò)運(yùn)行的穩(wěn)定和安全?！搬槍?duì)網(wǎng)絡(luò)釣魚(yú)、垃圾信息等危險(xiǎn)用戶的切實(shí)利益問(wèn)題，我們與中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)、中國(guó)網(wǎng)絡(luò)互聯(lián)網(wǎng)信息中心等建立了相關(guān)的機(jī)制，以凈化網(wǎng)絡(luò)環(huán)境?！?/p>

信息安全風(fēng)險(xiǎn)管理需常態(tài)化

國(guó)家信息化專家咨詢委員會(huì)委員、國(guó)家信息化中國(guó)專家委員會(huì)副主任寧家駿認(rèn)為，當(dāng)前，信息安全形勢(shì)變化總體來(lái)說(shuō)是國(guó)家信息安全形勢(shì)的一種表現(xiàn)。2010年前后可以看到美國(guó)進(jìn)一步調(diào)整它的國(guó)家信息安全戰(zhàn)略，俄羅斯、紐約也在調(diào)整，日本更明確把國(guó)家的安全防范對(duì)象轉(zhuǎn)向我們國(guó)家?！?·11恐怖事件”發(fā)生后，美國(guó)的多部門(mén)獨(dú)立管理，多種模式逐漸感到?jīng)]有辦法適應(yīng)信息時(shí)代國(guó)家安全戰(zhàn)略調(diào)整需求。所以，它先后整合了一些部門(mén)通管他們信息安全技術(shù)，另外也任命了公安局的局長(zhǎng)出任網(wǎng)絡(luò)司令部的司令整合軍內(nèi)的信息戰(zhàn)略領(lǐng)域。

在當(dāng)前我們必須看到我們國(guó)家的網(wǎng)絡(luò)信息安全工作面臨新的復(fù)雜的形勢(shì)。進(jìn)入新世紀(jì)以來(lái)，經(jīng)濟(jì)、社會(huì)發(fā)展對(duì)我們信息網(wǎng)絡(luò)和信息化的依賴程度越來(lái)越高，現(xiàn)在我們可以說(shuō)金融、交通、電力、水務(wù)等都離不開(kāi)信息網(wǎng)絡(luò)。

寧家駿指出，信息網(wǎng)絡(luò)的發(fā)展已經(jīng)成為推動(dòng)社會(huì)和經(jīng)濟(jì)發(fā)展的重要力量，也是各國(guó)競(jìng)爭(zhēng)的制高點(diǎn)。一方面我們看到信息化的大勢(shì)不可逆轉(zhuǎn)，但是同時(shí)我們要必須看到，隨著我們中國(guó)的迅速崛起，也引起了國(guó)際社會(huì)的廣泛關(guān)注。在這種背景下，在全球網(wǎng)絡(luò)空間國(guó)際競(jìng)爭(zhēng)日趨激烈的背景下，我們的信息安全問(wèn)題更加錯(cuò)綜復(fù)雜。所以，對(duì)信息安全保障體系的建設(shè)需求更加緊迫，面對(duì)國(guó)內(nèi)和國(guó)際形勢(shì)，必須進(jìn)一步提高對(duì)我們重要性系統(tǒng)的信息安全保障體系建設(shè)的高度重視和對(duì)風(fēng)險(xiǎn)的應(yīng)對(duì)能力。

特別是在當(dāng)前互聯(lián)網(wǎng)這種特性——規(guī)模龐大、帶寬持續(xù)增長(zhǎng)和應(yīng)用邏輯日益復(fù)雜的情況下，如果繼續(xù)在不同的安全領(lǐng)域中間各自為戰(zhàn)將不能適應(yīng)信息安全新的發(fā)展要求。如何處理這種信息訪問(wèn)的瓶頸？如何應(yīng)對(duì)這種開(kāi)放協(xié)議的安全事件？如何來(lái)解決我們應(yīng)用軟件中安全漏洞難以避免的現(xiàn)實(shí)？寧家駿認(rèn)為，這些問(wèn)題要求我們必須解決在信息安全保障中全局協(xié)同的問(wèn)題，同時(shí)要提高我們的效能，提高我們對(duì)事件處置能力和事前應(yīng)急預(yù)警的能力。

在世界競(jìng)爭(zhēng)日趨復(fù)雜的環(huán)境中，已經(jīng)發(fā)生的一些重大信息安全事件對(duì)我國(guó)的發(fā)展產(chǎn)生不同的損失，對(duì)我國(guó)信息安全的重要性提出了更加緊迫的要求。特別是我們看到威脅在不斷的演變，有些部門(mén)的人覺(jué)得自己的電腦沒(méi)有什么可以保密的文件，疏忽管理。其實(shí)恰恰不然，很多的隱蔽性的網(wǎng)絡(luò)攻擊就是把這些看似沒(méi)有價(jià)值的電腦作為網(wǎng)絡(luò)攻擊的第一個(gè)跳板。特別是當(dāng)前移動(dòng)互聯(lián)網(wǎng)的發(fā)展，智能終端的廣泛應(yīng)用已經(jīng)成為當(dāng)前在網(wǎng)絡(luò)攻擊中的一個(gè)最好的獲利的平臺(tái)。

所以，國(guó)外每年銀行卡信息被盜損失的金額非常巨大，特別是在當(dāng)前我們這種移動(dòng)終端，包括山寨手機(jī)內(nèi)置的一些軟件，包括我們惡意捆綁那些流氓的軟件，使得我們的手機(jī)不僅僅是被吸取話費(fèi)，而且把病毒傳播開(kāi)來(lái)。寧家駿說(shuō)：“未來(lái)一方面是信息化安全技術(shù)，一方面是面臨這種復(fù)雜的環(huán)境，使我們應(yīng)對(duì)危機(jī)的難度在增加。所以，我們必須看到我們存在明顯的不足，清醒的認(rèn)識(shí)到這種日益增加的戰(zhàn)略層面的巨大的威脅，包括我們很多的技術(shù)手段。同時(shí)，我們必須要解決這種各自為戰(zhàn)的，要克服這種誰(shuí)主管、誰(shuí)負(fù)責(zé)的局限性?！?/p>

“我們又必須看到風(fēng)險(xiǎn)管理的滯后和非常態(tài)化。當(dāng)前，我們重視了風(fēng)險(xiǎn)評(píng)估工作，但是往往我們對(duì)風(fēng)險(xiǎn)的理解常常是限定在技術(shù)層面，而沒(méi)有考慮到相關(guān)方的核心力?！睂幖因E說(shuō)，“我們的風(fēng)險(xiǎn)評(píng)估常常基于靜態(tài)，沒(méi)有真正的開(kāi)展常態(tài)化的、動(dòng)態(tài)的持續(xù)的監(jiān)管。特別是我們個(gè)人信息的保護(hù)嚴(yán)重的滯后，所以在這里既有我們用戶和企業(yè)的意識(shí)淡薄，更有我們法律的欠缺，也有我們相應(yīng)的服務(wù)和管理上的約束的不足?！?/p>

手機(jī)信息安全不容忽視

黑客的入侵手法日益更新，傳統(tǒng)的網(wǎng)絡(luò)安全問(wèn)題正逐漸向移動(dòng)互聯(lián)網(wǎng)等領(lǐng)域延伸。付景廣介紹，手機(jī)終端與PC終端面臨的問(wèn)題沒(méi)有本質(zhì)的區(qū)別，都面臨木馬病毒等問(wèn)題。但是，手機(jī)的繳費(fèi)和扣費(fèi)功能更容易受到黑客的關(guān)注。調(diào)查發(fā)現(xiàn)有些木馬病毒可以操控手機(jī)，定制收費(fèi)業(yè)務(wù)，造成用戶的經(jīng)濟(jì)損失，有的還可以遠(yuǎn)程竊取手機(jī)的位置信息和通話記錄等，導(dǎo)致用戶隱私泄露。

今年以來(lái)，社會(huì)上有一些企業(yè)搜集用戶的個(gè)人信息引起人們關(guān)注。付景廣說(shuō)：“我們需要增強(qiáng)安全意識(shí)，這與現(xiàn)實(shí)生活中的偷盜詐騙等相比，手機(jī)的安全問(wèn)題和虛擬性、空間地域性，使網(wǎng)絡(luò)的安全問(wèn)題變得更加隱蔽和復(fù)雜?！彼J(rèn)為，人們只有樹(shù)立起正確的防范意識(shí)，才會(huì)自覺(jué)地養(yǎng)成良好的防范舉措。但是，還有很多在信息產(chǎn)業(yè)中的從業(yè)人員對(duì)信息安全的防范也是一知半解。

最近，工信部發(fā)文明確要求：

第一，手機(jī)制造企業(yè)和行業(yè)協(xié)會(huì)要承擔(dān)起指導(dǎo)用戶安全使用手機(jī)的責(zé)任，加強(qiáng)風(fēng)險(xiǎn)提示等。

第二，加強(qiáng)應(yīng)用商店安全管理，控制手機(jī)惡意程序的渠道。對(duì)捆綁惡意功能的程序必須加大力度處理；另一方面開(kāi)辦應(yīng)用商店的基礎(chǔ)企業(yè)，移動(dòng)互聯(lián)網(wǎng)企業(yè)和手機(jī)制造企業(yè)要切實(shí)履行好各自的責(zé)任和安全的審核機(jī)制。

篇6

關(guān)鍵詞：信息安全管理 等級(jí)保護(hù) 數(shù)據(jù)采集 日志管理

中圖分類號(hào)：TP39 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1672-3791（2015）11（c）-0007-02

我國(guó)電子政務(wù)建設(shè)正處在高速發(fā)展期，從中央到省市各級(jí)政府部門(mén)都投入了大量的人力和財(cái)力來(lái)推進(jìn)信息化工作。電子政務(wù)公共平臺(tái)的頂層設(shè)計(jì)和實(shí)施建成，較大程度地提高了政府信息政務(wù)公開(kāi)和共享等的工作效率和服務(wù)質(zhì)量。電子政務(wù)公共平臺(tái)穩(wěn)定和安全運(yùn)行已經(jīng)構(gòu)成了政府運(yùn)轉(zhuǎn)連續(xù)性的重要保障之一。 因此，電子政務(wù)公共平臺(tái)的安全保障工作已經(jīng)成為政府信息化工作成敗的關(guān)鍵因素。信息安全的管理需要在各個(gè)層面為電子政務(wù)提供機(jī)密性、完整性、可用性、鑒別等安全服務(wù)。該文基于信息安全等級(jí)保護(hù)，從安全基礎(chǔ)設(shè)施、訪問(wèn)控制策略、安全防御、安全監(jiān)控、安全審計(jì)和安全響應(yīng)恢復(fù)等研究信息安全研究電子政務(wù)的安全管理體系。從而從整體上提高電子政務(wù)公共平臺(tái)信息安全管理全面性。

1 研究思路

基于電子政務(wù)公共平臺(tái)服務(wù)的戰(zhàn)略定位、統(tǒng)籌規(guī)劃和實(shí)施路徑的總體把握，按照基于等級(jí)保護(hù)技術(shù)要求，并根據(jù)電子政務(wù)信息化服務(wù)業(yè)務(wù)安全需求，為信息化綜合服務(wù)提供安全支撐服務(wù)，從而使得平臺(tái)可以安全、穩(wěn)定、可連續(xù)的進(jìn)行信息化服務(wù)。重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全，實(shí)現(xiàn)信息安全服務(wù)支撐工作的有效安全技術(shù)和管理措施要求，以實(shí)現(xiàn)信息安全等級(jí)保護(hù)實(shí)施的重大的現(xiàn)實(shí)和戰(zhàn)略意義。

2 總體設(shè)計(jì)目標(biāo)

（1）電子政務(wù)公共平臺(tái)安全管理建設(shè)的總體目標(biāo)是統(tǒng)一技術(shù)標(biāo)準(zhǔn)，共建共享信息安全基礎(chǔ)設(shè)施，建立統(tǒng)一的公共密鑰基礎(chǔ)設(shè)施（PKI），實(shí)現(xiàn)跨系統(tǒng)的身份認(rèn)證機(jī)制等。

（2）解決傳統(tǒng)信息化系統(tǒng)建設(shè)中，電子政務(wù)公共平臺(tái)基礎(chǔ)設(shè)施、信息資源與業(yè)務(wù)系統(tǒng)因所有權(quán)、使用權(quán)和管理權(quán)界定不清晰，存在基礎(chǔ)設(shè)施和業(yè)務(wù)應(yīng)用的管理權(quán)限難以分離管理，責(zé)任權(quán)限過(guò)大或者過(guò)小，造成設(shè)備利用率不高，或容易出現(xiàn)信息安全事件的情況。

（3）解決不同的政府部分因不同的職能/服務(wù)導(dǎo)致的電子政務(wù)基礎(chǔ)設(shè)施和資源的重復(fù)建設(shè)和資金浪費(fèi)問(wèn)題。

（4）解決信息化綜合服務(wù)的安全服務(wù)支撐，實(shí)現(xiàn)各級(jí)信息系統(tǒng)的授權(quán)管理、認(rèn)證服務(wù)、鑒別服務(wù)、訪問(wèn)控制和數(shù)據(jù)防護(hù)的安全服務(wù)支撐，最終實(shí)現(xiàn)各級(jí)信息系統(tǒng)互聯(lián)互通的信息化服務(wù)。

3 設(shè)計(jì)分析

3.1 設(shè)計(jì)思路

（1）電子政務(wù)公共平臺(tái)安全管理建設(shè)統(tǒng)一管理電子政務(wù)邊界安全防護(hù)系統(tǒng)，集中建設(shè)互聯(lián)網(wǎng)接入點(diǎn)，實(shí)現(xiàn)部門(mén)互聯(lián)網(wǎng)的安全接入和可管可控可剝離等。

（2）電子政務(wù)公共平臺(tái)安全管理基于安全技術(shù)體系下，根據(jù)各自信息安全等級(jí)，建設(shè)、升級(jí)、完善安全系統(tǒng)等。

（3）電子政務(wù)公共平臺(tái)安全管理中心系統(tǒng)將不同位置、不同安全系統(tǒng)中分散且海量的單一安全事件進(jìn)行匯總、過(guò)濾、收集和關(guān)聯(lián)分析，以全局角度分析信息安全風(fēng)險(xiǎn)和信息安全事件，形成分層次分區(qū)域的安全策略，以對(duì)安全事件進(jìn)行響應(yīng)和處置的綜合性信息安全管理平臺(tái)。

（4）電子政務(wù)公共平臺(tái)安全管理是一個(gè)跨系統(tǒng)、跨部門(mén)的綜合信息系統(tǒng)，由虛擬資源管理系統(tǒng)、數(shù)據(jù)挖掘與智能瀏覽、虛擬資源隔離系統(tǒng)、信息資源目錄與交換系統(tǒng)、基于SOA的業(yè)務(wù)協(xié)同、多元數(shù)據(jù)融合與集成系統(tǒng)、數(shù)據(jù)庫(kù)資源整合與綜合應(yīng)用、多級(jí)數(shù)據(jù)交換系統(tǒng)、信息服務(wù)資源運(yùn)營(yíng)管理平臺(tái)、信息化綜合服務(wù)管理平臺(tái)信息中心構(gòu)成的完整獨(dú)立體系構(gòu)成等。

（5）電子政務(wù)公共平臺(tái)信息安全管理是按照其保障工作流程，依次分為數(shù)據(jù)采集層、分析層、展示層等。

（6）電子政務(wù)公共平臺(tái)安全管理設(shè)計(jì)研究多種分類的數(shù)據(jù)接口，一方面滿足與用戶已有或后續(xù)建設(shè)的其他管理系統(tǒng)或平臺(tái)集成整合，另一方面，安全管理中心還提供了相關(guān)數(shù)據(jù)接口和配置接口，可對(duì)相關(guān)安全產(chǎn)品進(jìn)行統(tǒng)一配置和管理等。

（7）電子政務(wù)公共平臺(tái)安全管理的數(shù)據(jù)采集層針對(duì)重要信息系統(tǒng)進(jìn)行信息安全數(shù)據(jù)采集，包括關(guān)鍵業(yè)務(wù)系統(tǒng)環(huán)境相關(guān)的網(wǎng)絡(luò)設(shè)備、主機(jī)、安全產(chǎn)品等信息。

（8）電子政務(wù)公共平臺(tái)安全管理的分析層是安全運(yùn)行管理的核心，負(fù)責(zé)對(duì)數(shù)據(jù)采集的信息進(jìn)行分析處理，并對(duì)相關(guān)的信息安全風(fēng)險(xiǎn)和信息安全事件進(jìn)行預(yù)警和響應(yīng)等。

（9）電子政務(wù)公共平臺(tái)主要功能包括了安全監(jiān)控、預(yù)警、告警、響應(yīng)、信息安全策略管理和系統(tǒng)管理等。

（10）電子政務(wù)公共平臺(tái)安全管理的數(shù)據(jù)展示層提供了安全運(yùn)行管理可視化界面，分為管理員界面和為客戶提供的可視化界面。管理員通過(guò)管理界面，對(duì)電子政務(wù)公共平臺(tái)整體信息安全態(tài)勢(shì)、管理和配置進(jìn)行管理操作，主要包括網(wǎng)絡(luò)、系統(tǒng)運(yùn)行、事件報(bào)警等展示和策略配置管理；為電子政務(wù)服務(wù)提供定制化全網(wǎng)的安全信息和安全狀態(tài)分析展示，包括風(fēng)險(xiǎn)預(yù)警、告警事件、故障分析、策略、報(bào)表報(bào)告等數(shù)據(jù)分析和展示功能等。

3.2 設(shè)計(jì)模型

（1）電子政務(wù)公共平臺(tái)安全管理中心系統(tǒng)。

①組成：數(shù)據(jù)采集層、數(shù)據(jù)和業(yè)務(wù)管理層、數(shù)據(jù)展示層等；

②通過(guò)數(shù)據(jù)接口連接外部產(chǎn)品管理接口，諸如，實(shí)時(shí)數(shù)據(jù)接口、文件接口、數(shù)據(jù)庫(kù)接口、其他接口等。

（2）電子政務(wù)公共平臺(tái)安全管理中心系統(tǒng)數(shù)據(jù)展示層。

①風(fēng)險(xiǎn)展現(xiàn)管理：包括，拓?fù)湔故?、運(yùn)行狀態(tài)、實(shí)時(shí)性能、風(fēng)險(xiǎn)預(yù)警、告警事件、故障分析、策略、報(bào)表報(bào)告等。

②通過(guò)采集探針Probe整合，以Portal的方式進(jìn)行多系統(tǒng)數(shù)據(jù)展示整合。

（3）電子政務(wù)公共平臺(tái)安全管理中心系統(tǒng)分析層。

①分析層是安全運(yùn)行管理平臺(tái)的核心，由信息安全核心服務(wù)器和數(shù)據(jù)庫(kù)構(gòu)成等。

②負(fù)責(zé)對(duì)前端信息安全數(shù)據(jù)采集的風(fēng)險(xiǎn)點(diǎn)進(jìn)行分析，并對(duì)根據(jù)信息安全策略對(duì)安全目標(biāo)進(jìn)行預(yù)警和響應(yīng)等。

③負(fù)責(zé)安全監(jiān)控、預(yù)警、告警、響應(yīng)、信息安全策略管理和系統(tǒng)管理等。

④組成：應(yīng)用引擎平臺(tái)、業(yè)務(wù)邏輯子層、數(shù)據(jù)邏輯子層、資源管理（KBP）、數(shù)據(jù)管理（KPI）、南向適配（配置、性能、事件數(shù)據(jù)元素整形適配器）、采集調(diào)試管理等。

⑤業(yè)務(wù)邏輯子層通過(guò)工單交互、知識(shí)庫(kù)交互等，與企業(yè)整體的運(yùn)維管理系統(tǒng)實(shí)現(xiàn)雙向接口等。

⑥數(shù)據(jù)邏輯子層通過(guò)CMDB復(fù)用等，以統(tǒng)一CMDB的形式與網(wǎng)管、運(yùn)維系統(tǒng)整合等。

（4）電子政務(wù)公共平臺(tái)安全管理中心系統(tǒng)采集層。

①數(shù)據(jù)采集層針對(duì)重要信息系統(tǒng)進(jìn)行信息安全數(shù)據(jù)采集，包括關(guān)鍵業(yè)務(wù)系統(tǒng)環(huán)境相關(guān)的網(wǎng)絡(luò)設(shè)備、主機(jī)、安全產(chǎn)品等信息。

②設(shè)計(jì)部署采集管理控制臺(tái)統(tǒng)一進(jìn)行信息采集，并設(shè)計(jì)采集任務(wù)分發(fā)給相對(duì)應(yīng)的采集點(diǎn)。

③設(shè)計(jì)可定制化的采集的策略，包括采集范圍對(duì)象、采集頻度、采集數(shù)量等。

3.3 數(shù)據(jù)模型分析

數(shù)據(jù)采集層設(shè)計(jì)采用以下網(wǎng)絡(luò)協(xié)議進(jìn)行數(shù)據(jù)采集，列舉主要的安全管理中心應(yīng)用的協(xié)議和技術(shù)實(shí)施例。

4 研究案例與成果

信息安全保障技術(shù)是為管理做技術(shù)支持，管理和技術(shù)并重。信息安全管理的策略設(shè)計(jì)與運(yùn)行實(shí)施才是安全管理落地的根本，從運(yùn)行和維護(hù)的信息安全角度，總結(jié)信息安全管理主要工作主要包括了：（1）建立完善的電子政務(wù)服務(wù)身份認(rèn)證和訪問(wèn)控制機(jī)制，規(guī)范管理電子政務(wù)服務(wù)信息安全標(biāo)準(zhǔn)規(guī)范和相關(guān)協(xié)議的合規(guī)性作業(yè)流程；（2）信息安全的管理運(yùn)行分級(jí)分域進(jìn)行信息安全管理，即采取分級(jí)控制和按業(yè)務(wù)類型重要程度分域的管理，并對(duì)運(yùn)維人員的職責(zé)范圍明確劃分；（3）設(shè)立以政府為主導(dǎo)的第三方監(jiān)督審計(jì)機(jī)構(gòu)，對(duì)電子政務(wù)服務(wù)安全性、合規(guī)性監(jiān)督測(cè)評(píng)；（4）定期開(kāi)展信息安全培訓(xùn)，加強(qiáng)人員的信息安全意識(shí)，健全內(nèi)部機(jī)制，增強(qiáng)政府服務(wù)的安全防范意識(shí)和風(fēng)險(xiǎn)管理能力。

5 結(jié)語(yǔ)

該文研究信息安全管理系統(tǒng)滿足電子政務(wù)業(yè)務(wù)的安全事件集中收集和處理能力，構(gòu)筑了基于資產(chǎn)安全屬性（CIA）和安全域的業(yè)務(wù)安全風(fēng)險(xiǎn)管理體系，通過(guò)關(guān)聯(lián)分析和客戶化關(guān)聯(lián)分析規(guī)則定義，實(shí)現(xiàn)準(zhǔn)確的事件定位，形成了統(tǒng)一的安全知識(shí)共享體系，可實(shí)現(xiàn)多級(jí)不同管理模式的功能，具備安全管理中心的高容錯(cuò)性、高可用性和高冗余可靠性。該研究成果具有良好安全管理中心的可擴(kuò)展性，包括多級(jí)擴(kuò)展、功能擴(kuò)展，滿足級(jí)保護(hù)三級(jí)―― 監(jiān)督保護(hù)級(jí)要求，并遵循《關(guān)于印發(fā)的通知》（國(guó)信辦【2006】9號(hào)）進(jìn)行資產(chǎn)、弱點(diǎn)、威脅和采取的控制措施進(jìn)行評(píng)估的要求。

參考文獻(xiàn)

[1] 周曉斌，董瑞陽(yáng).電子政務(wù)信息安全十大問(wèn)題[N].計(jì)算機(jī)世界，2009-06-29.

篇7

關(guān)鍵詞： BOSS系統(tǒng)；風(fēng)險(xiǎn)評(píng)估；廣電

中圖分類號(hào)：F49 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1671－7597（2012）0210099－01

1 項(xiàng)目背景

隨著公司整體融資上市，陜西廣電確立了“管理架構(gòu)集團(tuán)化、產(chǎn)業(yè)發(fā)展多元化、經(jīng)營(yíng)運(yùn)作市場(chǎng)化”的“三化”戰(zhàn)略構(gòu)想，并在全國(guó)率先完成網(wǎng)絡(luò)整合，實(shí)現(xiàn)有線電視業(yè)務(wù)和數(shù)據(jù)多業(yè)務(wù)等全業(yè)務(wù)運(yùn)營(yíng)，公司從傳統(tǒng)的有線電視運(yùn)營(yíng)商向綜合信息服務(wù)供應(yīng)商轉(zhuǎn)型。2010年，伴隨三網(wǎng)融合的逐步推進(jìn)，陜西廣電將加大全業(yè)務(wù)運(yùn)營(yíng)的步伐，有線電視數(shù)字化、數(shù)據(jù)業(yè)務(wù)、高清、互動(dòng)業(yè)務(wù)等蓬勃發(fā)展。為適應(yīng)企業(yè)業(yè)務(wù)的轉(zhuǎn)型和業(yè)務(wù)的飛速發(fā)展，陜西廣電于08年開(kāi)始建設(shè)自己的運(yùn)營(yíng)支撐平臺(tái)BOSS系統(tǒng)，這是陜西廣電業(yè)務(wù)運(yùn)營(yíng)上臺(tái)階、管理上品質(zhì)的一次里程碑式的重要舉措，將全面優(yōu)化陜西廣電的業(yè)務(wù)運(yùn)營(yíng)，全面提升企業(yè)運(yùn)營(yíng)效率，因此，BOSS系統(tǒng)建設(shè)的成敗、是否安全穩(wěn)定的運(yùn)行對(duì)于陜西廣電至關(guān)重要。

根據(jù)信息安全與信息系統(tǒng)“同步規(guī)劃、同步建設(shè)、同步運(yùn)營(yíng)”的三同步原則，陜西廣電決定同步著手構(gòu)建BOSS系統(tǒng)的信息安全體系。從風(fēng)險(xiǎn)控制以及安全經(jīng)濟(jì)效益的角度，“以安全保發(fā)展、在發(fā)展中求安全”，避免來(lái)自信息安全方面的風(fēng)險(xiǎn)，實(shí)現(xiàn)BOSS系統(tǒng)安全可管理、可運(yùn)營(yíng)，增強(qiáng)企業(yè)可持續(xù)發(fā)展的能力，最大限度實(shí)現(xiàn)間接的安全經(jīng)濟(jì)效益的提升。

那么，BOSS系統(tǒng)的信息安全如何建設(shè)、如何運(yùn)營(yíng)管理，依據(jù)是什么？信息安全風(fēng)險(xiǎn)評(píng)估是企業(yè)信息安全建設(shè)中關(guān)鍵的第一步，它將明確告訴我們BOSS系統(tǒng)有哪些信息資產(chǎn)，信息資產(chǎn)存在的漏洞、所面臨的威脅以及主要的信息安全風(fēng)險(xiǎn)點(diǎn)在哪里，從而為企業(yè)的信息安全規(guī)劃和建設(shè)提供最直接的決策依據(jù)，使得企業(yè)的信息安全建設(shè)能夠有目標(biāo)、有重點(diǎn)、有計(jì)劃、有步驟進(jìn)行。

2 項(xiàng)目實(shí)施

2.1 項(xiàng)目實(shí)施范圍

本項(xiàng)目屬于企業(yè)信息化中信息安全領(lǐng)域，陜西廣電網(wǎng)絡(luò)BOSS系統(tǒng)風(fēng)險(xiǎn)評(píng)估項(xiàng)目的重點(diǎn)是對(duì)BOSS系統(tǒng)的核心區(qū)域進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估，同時(shí)，鑒于地市分公司之間在信息安全方面具有較強(qiáng)的共性，因此以抽樣的方式，抽取了3個(gè)節(jié)點(diǎn)進(jìn)行風(fēng)險(xiǎn)評(píng)估。

項(xiàng)目主要內(nèi)容包括：

1）信息資產(chǎn)的清理和重要性賦值

2）安全技術(shù)漏洞和威脅的調(diào)研評(píng)估

3）安全管理漏洞和威脅的調(diào)研評(píng)估

4）全面分析BOSS系統(tǒng)存在的信息安全風(fēng)險(xiǎn)

5）提出BOSS系統(tǒng)信息安全管理體系改進(jìn)建議

6）提出合理的安全技術(shù)解決方案建議

7）提出若干重要的信息安全管理制度和規(guī)范

2.2 項(xiàng)目實(shí)施內(nèi)容

2.2.1 系統(tǒng)業(yè)務(wù)調(diào)研。業(yè)務(wù)調(diào)研的目的是使評(píng)估活動(dòng)業(yè)務(wù)密切結(jié)合，安全建議能夠與企業(yè)的業(yè)務(wù)發(fā)展戰(zhàn)略相一致，通過(guò)調(diào)查BOSS系統(tǒng)上運(yùn)行的所有業(yè)務(wù)和應(yīng)用，了解主要業(yè)務(wù)流程，清楚的掌握支持業(yè)務(wù)運(yùn)行的網(wǎng)絡(luò)系統(tǒng)基本結(jié)構(gòu)和安全現(xiàn)狀，收集評(píng)估所需的資產(chǎn)屬性信息。調(diào)研范圍包括：評(píng)估的業(yè)務(wù)或應(yīng)用、信息資產(chǎn)、人員、環(huán)境、活動(dòng)、IP地址信息。

2.2.2 資產(chǎn)識(shí)別與估價(jià)。在BOSS系統(tǒng)的評(píng)估范圍內(nèi)，按照網(wǎng)絡(luò)安全拓?fù)浣Y(jié)構(gòu)圖的業(yè)務(wù)系統(tǒng)為主線，列出所有網(wǎng)絡(luò)上的物理資產(chǎn)、軟件資產(chǎn)和數(shù)據(jù)資產(chǎn)，并為每項(xiàng)資產(chǎn)賦予價(jià)值。首先根據(jù)調(diào)查結(jié)果對(duì)資產(chǎn)屬性進(jìn)行權(quán)值定義，然后對(duì)進(jìn)行影響分析。主要從以下幾方面來(lái)考慮：違反了有關(guān)法律或（和）規(guī)章制度、影響了業(yè)務(wù)執(zhí)行、造成了信譽(yù)、聲譽(yù)損失、侵犯了個(gè)人隱私、造成了人身傷害、對(duì)法律實(shí)施造成了負(fù)面影響、侵犯了商業(yè)機(jī)密、違反了社會(huì)公共準(zhǔn)則、造成了經(jīng)濟(jì)損失、破壞了業(yè)務(wù)活動(dòng)、危害了公共安全。

2.2.3 威脅評(píng)估。BOSS系統(tǒng)威脅評(píng)估過(guò)程中，首先要對(duì)組織需要保護(hù)的每一項(xiàng)關(guān)鍵資產(chǎn)進(jìn)行威脅識(shí)別。用于威脅評(píng)估的信息能夠從信息安全管理的有關(guān)人員，以及相關(guān)的商業(yè)過(guò)程中獲得。

接著要做的是對(duì)每種威脅的嚴(yán)重性和發(fā)生的可能性進(jìn)行分析，最終為其賦予相對(duì)等級(jí)值。評(píng)估確定威脅發(fā)生的可能性是這一階段的重要工作。其中，威脅發(fā)生的可能性受下列因素影響：資產(chǎn)的吸引力、資產(chǎn)轉(zhuǎn)化成報(bào)酬的容易程度、威脅的技術(shù)力量、脆弱性被利用的難易程度。

2.2.4 脆弱性評(píng)估。針對(duì)BOSS系統(tǒng)需要保護(hù)的信息資產(chǎn)，找出威脅所能利用的脆弱性，并對(duì)脆弱性的嚴(yán)重程度進(jìn)行評(píng)估。脆弱性評(píng)估主要從技術(shù)、管理和策略三個(gè)方面進(jìn)行。其中在技術(shù)方面主要是通過(guò)遠(yuǎn)程和本地兩種方式進(jìn)行系統(tǒng)掃描、對(duì)網(wǎng)絡(luò)設(shè)備和主機(jī)等進(jìn)行適當(dāng)?shù)娜斯こ椴?、?duì)關(guān)鍵外網(wǎng)服務(wù)主機(jī)進(jìn)行遠(yuǎn)程滲透測(cè)試；管理脆弱性評(píng)估方面主要是按照ISO27001的安全管理要求對(duì)現(xiàn)有的安全管理制度及其執(zhí)行情況進(jìn)行檢查；策略脆弱性評(píng)估方面主要是從整體網(wǎng)絡(luò)安全的角度對(duì)現(xiàn)有的網(wǎng)絡(luò)安全策略進(jìn)行全局性的評(píng)估。脆弱性評(píng)估所采用的方法主要為：?jiǎn)柧碚{(diào)查、顧問(wèn)訪談、工具掃描、人工檢查、文檔審查、滲透測(cè)試等。

2.2.5 已有安全措施的確認(rèn)。BOSS系統(tǒng)安全措施可以分為預(yù)防性安全措施和保護(hù)性安全措施兩種，預(yù)防性安全措施可以降低威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，如入侵檢測(cè)系統(tǒng)；保護(hù)性安全措施可以減少因安全事件發(fā)生對(duì)資產(chǎn)造成的影響。已有安全措施的確認(rèn)是對(duì)已采取的安全措施的有效性進(jìn)行確認(rèn)，防止安全措施的重復(fù)實(shí)施。對(duì)于確認(rèn)為不適當(dāng)?shù)陌踩胧?yīng)核實(shí)是否應(yīng)被取消，或者用更合適的安全措施替代。

2.2.6 現(xiàn)狀與風(fēng)險(xiǎn)的分析管理。首先是對(duì)各種數(shù)據(jù)的匯總和分析，從物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、管理等方面全面分析，得出系統(tǒng)的整體安全現(xiàn)狀，輸出安全現(xiàn)狀和風(fēng)險(xiǎn)報(bào)告。根據(jù)評(píng)估結(jié)果進(jìn)一步完成相關(guān)的安全建設(shè)方案，明確保護(hù)哪些資產(chǎn)，防止哪些威脅，如何才能保證系統(tǒng)達(dá)到某一安全級(jí)別；所提出的安全方案需要多少技術(shù)和費(fèi)用的消耗等。

3 項(xiàng)目推廣情況及前景

3.1 貫徹“同步規(guī)劃、同步建設(shè)、同步運(yùn)行”原則

篇8

〔關(guān)鍵詞〕圖書(shū)館；網(wǎng)絡(luò)信息安全管理；模型

doi：10.3969/j.issn.1008-0821.2014.02.016

〔中圖分類號(hào)〕g250.7 〔文獻(xiàn)標(biāo)識(shí)碼〕a 〔文章編號(hào)〕1008-0821（2014）02-0076-06

借助于網(wǎng)絡(luò)高新技術(shù)的發(fā)展，新的信息資源形態(tài)和使用方式，給圖書(shū)館讀者帶來(lái)便利的同時(shí)也必然存在許多隱患。計(jì)算機(jī)網(wǎng)絡(luò)分布的廣域性、開(kāi)放性和信息資源的共享性，為信息的竊取、盜用、非法的增刪、修改及種種擾亂破壞，提供了極為方便且難以控制的可乘之機(jī)，圖書(shū)館信息服務(wù)的權(quán)益及監(jiān)督得不到有效的保障；同時(shí)，由于計(jì)算機(jī)網(wǎng)絡(luò)的脆弱性，圖書(shū)館的網(wǎng)絡(luò)系統(tǒng)本身經(jīng)常處于黑客的攻擊之中，一旦圖書(shū)館網(wǎng)絡(luò)出現(xiàn)故障，輕則信息服務(wù)得不到有效保障、數(shù)據(jù)丟失，重則整個(gè)圖書(shū)館處于癱瘓境地。因此，在信息化時(shí)代，圖書(shū)館信息安全顯得尤為重要，構(gòu)建圖書(shū)館網(wǎng)絡(luò)信息安全管理模型來(lái)保證網(wǎng)絡(luò)信息安全，使其高效運(yùn)行是圖書(shū)館現(xiàn)代化建設(shè)中一項(xiàng)迫在眉睫的重要任務(wù)。

1 信息安全管理概述信息安全管理，是指實(shí)施和維護(hù)信息安全的原則、規(guī)劃、標(biāo)準(zhǔn)和內(nèi)容的綜合，包括信息安全策略、信息風(fēng)險(xiǎn)評(píng)估、信息技術(shù)控制和信息安全意識(shí)等。這些內(nèi)容在一個(gè)信息安全治理框架下相互協(xié)調(diào)、相互說(shuō)明，從而為組織提供全面的信息安全規(guī)劃。它結(jié)合技術(shù)、程序和人員，以培養(yǎng)信息安全文化為目的，最終實(shí)現(xiàn)信息資產(chǎn)風(fēng)險(xiǎn)的最小化。為對(duì)信息安全內(nèi)容有一個(gè)全面深入的了解，本文從信息安全原則、信息安全規(guī)劃、信息安全標(biāo)準(zhǔn)和信息安全內(nèi)容4個(gè)方面進(jìn)行詳細(xì)的論述，從而為圖書(shū)館網(wǎng)絡(luò)信息安全管理模型的構(gòu)建提供理論上的指導(dǎo)。

1.1 isa信息安全原則為保護(hù)組織的信息資產(chǎn)免遭威脅，tudor提出了一個(gè)全面靈活的信息安全架構(gòu)方法（information security architecture，簡(jiǎn)稱isa），這種方法提出5個(gè)關(guān)鍵性的信息安全原則（見(jiàn)表1）[1]。這些原則，可以了解組織工作的風(fēng)險(xiǎn)環(huán)境并對(duì)其實(shí)行評(píng)估和控制，從而減少這種風(fēng)險(xiǎn)；強(qiáng)調(diào)遵守國(guó)家信息安全法規(guī)的重要性，確保組織的機(jī)密信息受到國(guó)家的保護(hù)；涵蓋信息安全技術(shù)與過(guò)程，滿足組織信息安全的需要。表1 isa信息安全原則

原 則含義或目標(biāo)1安全組織和基礎(chǔ)設(shè)施確定角色、職責(zé)和執(zhí)行贊助。2安全政策、標(biāo)準(zhǔn)和程序制定政策、標(biāo)準(zhǔn)和程序。3安全規(guī)劃風(fēng)險(xiǎn)管理納入安全規(guī)劃。4安全文化意識(shí)和培訓(xùn)通過(guò)用戶培訓(xùn)提高安全意識(shí)。建立用戶、管理和第三方之間的信任。5監(jiān)控規(guī)范監(jiān)控內(nèi)外部的信息安全。

1.2 cmm信息安全規(guī)劃為給組織提供一整套信息資產(chǎn)免受未經(jīng)授權(quán)的訪問(wèn)、修改或銷(xiāo)毀的信息安全整體規(guī)劃，mccarthy和 campbell構(gòu)建了能力成熟度模型（capability maturity model，簡(jiǎn)稱cmm）[2]。該模型包括7個(gè)信息安全規(guī)劃內(nèi)容（見(jiàn)表2），目標(biāo)是從戰(zhàn)略層面開(kāi)始并用戰(zhàn)略水平去指導(dǎo)技術(shù)等方面的工作，在評(píng)估當(dāng)前信息安全風(fēng)險(xiǎn)的基礎(chǔ)上構(gòu)建合適的解決方案以減輕風(fēng)險(xiǎn)，并在實(shí)踐過(guò)程中對(duì)各解決方案集成應(yīng)用與監(jiān)控。表2 cmm信息安全規(guī)劃

規(guī) 劃含義或目標(biāo)1安全領(lǐng)導(dǎo)安全贊助、安全策略以及投資回報(bào)。2安全規(guī)劃安全規(guī)劃程序、資源和技能。3安全政策安全政策、標(biāo)準(zhǔn)和程序。4安全管理安全操作、監(jiān)控和隱私。5用戶管理用戶安全管理和意識(shí)。6信息資產(chǎn)安全應(yīng)用程序的安全、數(shù)據(jù)庫(kù)/元數(shù)據(jù)的安全、主機(jī)安全、內(nèi)外部網(wǎng)絡(luò)安全、殺毒及系統(tǒng)開(kāi)發(fā)。7技術(shù)保護(hù)與持續(xù)性物理和環(huán)境控制與持續(xù)規(guī)劃控制。

3 protect信息安全標(biāo)準(zhǔn)在eloff.j.h和eloff.m所主持研究的“protect”項(xiàng)目，是政策、風(fēng)險(xiǎn)、目標(biāo)、技術(shù)、執(zhí)行、合規(guī)性和團(tuán)隊(duì)的英文首字母的縮寫(xiě)，對(duì)信息安全管理及標(biāo)準(zhǔn)進(jìn)行了綜合的介紹[3]?！皃rotect”項(xiàng)目涉及各種集成控制的方法，在確保組織的有效性和效率的基礎(chǔ)上盡量減少風(fēng)險(xiǎn)，目的是全方面解決信息安全的問(wèn)題。為實(shí)現(xiàn)項(xiàng)目目標(biāo)，該項(xiàng)目提出了7個(gè)信息安全標(biāo)準(zhǔn)（見(jiàn)表3），確保信息安全規(guī)劃從技術(shù)術(shù)和人文角度得到有效的實(shí)施和管理。

1.4 iso/iec 17799和iso/iec 27001信息安全內(nèi)容國(guó)家標(biāo)準(zhǔn)組織（iso）指出信息安全技術(shù)是實(shí)現(xiàn)信息安全管理的關(guān)鍵點(diǎn)，通過(guò)技術(shù)對(duì)信息系統(tǒng)進(jìn)行安全性控制，是信息安全管理的重要內(nèi)容。

了更好地實(shí)現(xiàn)信息安全控制，iso提出了11個(gè)具體的信息安全控制內(nèi)容（見(jiàn)表4），這些內(nèi)容已成為國(guó)際上通用的信息安全內(nèi)容的重要標(biāo)準(zhǔn)，即通常所說(shuō)的iso/iec17799[4]。而iso/iec 27001是iso/iec 17799的第二部分，提出了包括操作、監(jiān)控、審查、維護(hù)和提高等一系列持續(xù)改進(jìn)信息安全管理系統(tǒng)的方法與過(guò)程[5]。表4 2 圖書(shū)館網(wǎng)絡(luò)信息安全內(nèi)容的選取與管理模型的構(gòu)建 前文所述的信息安全管理的原則、規(guī)劃、標(biāo)準(zhǔn)及內(nèi)容是基于整個(gè)信息社會(huì)行業(yè)而言的，具有一定概括性且4個(gè)方面之間存在著重復(fù)性，為了構(gòu)建出更具針對(duì)性的圖書(shū)館網(wǎng)絡(luò)信息安全管理模型，筆者根據(jù)圖書(shū)館的特性對(duì)信息安全管理的原則、規(guī)劃、標(biāo)準(zhǔn)和內(nèi)容進(jìn)行選取與整合，構(gòu)建出符合圖書(shū)館應(yīng)用要求的信息安全管理模型。

2.1 圖書(shū)館網(wǎng)絡(luò)信息安全內(nèi)容的選取圖書(shū)館網(wǎng)絡(luò)信息是對(duì)外開(kāi)放并以支持教學(xué)和科研為目的。在這種情況下，網(wǎng)絡(luò)信息安全是指讀者未經(jīng)授權(quán)無(wú)權(quán)使用、移動(dòng)、修改和破壞圖書(shū)館信息。在對(duì)圖書(shū)館信息采取安全保護(hù)措施時(shí)必須確保其具有以下屬性：①保密性：確保圖書(shū)館隱私信息的安全。此類信息必須嚴(yán)格控制讀者訪問(wèn)量，只能授權(quán)一定級(jí)別的讀者訪問(wèn)；同時(shí)，有權(quán)限訪問(wèn)圖書(shū)館隱私信息的讀者也不能向公眾透露相關(guān)的隱私信息。②完整性：確保圖書(shū)館信息是準(zhǔn)確、完整并具有持久性。因此，圖書(shū)館信息安全管理要確保圖書(shū)館信息內(nèi)容不是殘缺不全的、失蹤的、腐朽的、任意放置的，外借、故意或意外變化不會(huì)邊緣化，在盜竊或破壞中具有安全性。③可用性：讀者在授權(quán)時(shí)間內(nèi)能無(wú)限制地訪問(wèn)并獲取圖書(shū)館信息。圖書(shū)館必須有一個(gè)安全穩(wěn)定的信息管理（網(wǎng)絡(luò)）系統(tǒng)來(lái)支撐圖書(shū)館的運(yùn)行，確保圖書(shū)館信息能及時(shí)傳遞而不會(huì)被延誤。在維護(hù)圖書(shū)館信息安全的同時(shí)確保圖書(shū)館信息的保密性、完整性及可用性不缺失，這就要求在構(gòu)建圖書(shū)館網(wǎng)絡(luò)信息安全管理模型時(shí)對(duì)信息安全內(nèi)容的確定帶有一定的甄別性，不能將信息行業(yè)安全管理的所有原則、規(guī)劃、標(biāo)準(zhǔn)及內(nèi)容全部應(yīng)用于圖書(shū)館安全管理。根據(jù)圖書(shū)館信息的特性，本文從管理、運(yùn)行與操作、人員、建筑與技術(shù)及安全文化5個(gè)維度對(duì)圖書(shū)館信息安全的內(nèi)容進(jìn)行了選取，這5個(gè)維度的具體內(nèi)容在圖書(shū)館網(wǎng)絡(luò)信息安全管理模型中將會(huì)詳細(xì)論述。

2.2 圖書(shū)館網(wǎng)絡(luò)信息安全管理模型的構(gòu)建圖書(shū)館網(wǎng)絡(luò)信息安全管理目標(biāo)是為圖書(shū)館網(wǎng)絡(luò)信息安全保護(hù)提供整體性方案，結(jié)合管理、運(yùn)作流程、人文、建筑與文化氛圍來(lái)保證圖書(shū)館信息安全管理達(dá)到一個(gè)合理水平，從而保證圖書(shū)館信息風(fēng)險(xiǎn)最小化。為實(shí)現(xiàn)這一目標(biāo)，abashe atiku maidabino和zainab在滿足圖書(shū)館信息的特性上，將da veiga和eloff構(gòu)建的“房屋模型”[6]加以簡(jiǎn)化與融合，構(gòu)建出圖書(shū)館網(wǎng)絡(luò)信息安全管理模型[7]，見(jiàn)圖1。該模型將所有信息安全因素集合，確保圖書(shū)館信息能夠得到充分保護(hù)，同時(shí)為圖書(shū)館提供一個(gè)全面的方法和工具來(lái)實(shí)施和評(píng)估信息安全管理。模型內(nèi)容主要集中于5個(gè)維度：（1）管理維度：正確的領(lǐng)導(dǎo)，政策與程序到位；（2）流程和操作維度：包括實(shí)施過(guò)程、政策；（3）人員維度：讀者/館員信息安全意識(shí)和圖書(shū)館信息安全項(xiàng)目培訓(xùn)；（4）建筑和技術(shù)維度：支持館藏信息安全項(xiàng)目；（5）安全文化維度：將圖書(shū)館館藏信息安全理念有意識(shí)地植入館員日常工作中[8]。圖1 圖書(shū)館網(wǎng)絡(luò)信息安全管理模型

管理維度是指一組角色的規(guī)定，信息安全政策制定與管理由負(fù)責(zé)制定目標(biāo)和政策的安全管理團(tuán)隊(duì)成員行使，從而確保目標(biāo)和政策的實(shí)現(xiàn)，信息風(fēng)險(xiǎn)的評(píng)估與管理。圖書(shū)館的安全管理團(tuán)隊(duì)由圖書(shū)館各部門(mén)高級(jí)管理人員和安全部門(mén)的人員組成。這些成員應(yīng)具備必要的信息應(yīng)用和安全管理方面的經(jīng)驗(yàn)和知識(shí)，這些成員被授權(quán)管理時(shí)能夠遵守信息安全政策。信息安全管理責(zé)任是模型中管理維度的重要部分，這就要求圖書(shū)館應(yīng)規(guī)劃與制定精確的信息安全管理策略，明確風(fēng)險(xiǎn)管理的目標(biāo)和方向。信息安全風(fēng)險(xiǎn)評(píng)估在圖書(shū)館各級(jí)安全規(guī)劃風(fēng)險(xiǎn)設(shè)置中處于優(yōu)先級(jí)別。館藏信息定期風(fēng)險(xiǎn)評(píng)估規(guī)則的編制涉及圖書(shū)館資產(chǎn)類型、收藏價(jià)值、識(shí)別可能出現(xiàn)風(fēng)險(xiǎn)的威脅、漏洞和成本分析等詳細(xì)的情況。信息安全漏洞可以通過(guò)會(huì)議、問(wèn)卷、觀察和報(bào)告來(lái)確定。通過(guò)信息安全漏洞的監(jiān)測(cè)和風(fēng)險(xiǎn)評(píng)估過(guò)程的完善可以降低圖書(shū)館信息安全的風(fēng)險(xiǎn)，并能緩解圖書(shū)館的一些過(guò)度的承諾。管理維度強(qiáng)調(diào)要為圖書(shū)館信息管理、記錄、維護(hù)、審查、更新風(fēng)險(xiǎn)管理政策和程序編寫(xiě)報(bào)告，通過(guò)快訊、交互式網(wǎng)頁(yè)及其他內(nèi)部刊物在館員與讀者之間

廣泛宣傳館藏信息安全管理的必要性，將信息安全意識(shí)植入館員與讀者腦袋。這一維度有利于為圖書(shū)館提供良好的館藏安全管理信息。流程與操作維度是指信息安全管理團(tuán)隊(duì)為圖書(shū)館各相關(guān)部門(mén)制定信息安全管理運(yùn)行方案的過(guò)程。分別是：（a）采訪部：參與接收，標(biāo)記并建立可用于識(shí)別丟失、錯(cuò)放地方和費(fèi)用的庫(kù)存清單，以便于圖書(shū)館備份和恢復(fù)；（b）流通部：創(chuàng)建手工或計(jì)算機(jī)系統(tǒng)對(duì)圖書(shū)館紙質(zhì)信息進(jìn)行丟失、被盜、錯(cuò)位、濫用、損壞等方面進(jìn)行盤(pán)點(diǎn)，通過(guò)訪問(wèn)控制和信息的記錄與跟蹤，確保圖書(shū)館信息安全系統(tǒng)的修理與維護(hù)；（c）編目、技術(shù)部：通過(guò)圖書(shū)館opac系統(tǒng)對(duì)館藏信息集合進(jìn)行處理，應(yīng)用圖書(shū)館識(shí)別標(biāo)記建立和驗(yàn)證館藏信息所有權(quán)，標(biāo)識(shí)未經(jīng)處理的信息并進(jìn)行訪問(wèn)控制；（d）特藏部：對(duì)有價(jià)值的館藏信息載體進(jìn)行保護(hù)與保存，授權(quán)訪問(wèn)與監(jiān)控。人員維度是指讀者和執(zhí)行安全管理政策與程序的館員的安全意識(shí)。它規(guī)定圖書(shū)館需要闡明信息安全管理人員的角色和責(zé)任，對(duì)館員進(jìn)行有效的安全意識(shí)培訓(xùn)，幫助他們獲得處理安全事件、準(zhǔn)備可靠實(shí)用安全報(bào)告的知識(shí)。建筑與技術(shù)維度涉及信息安全管理所需要的建筑與技術(shù)氛圍。建筑氛圍是指信息安全管理措施應(yīng)與圖書(shū)館建筑的物理結(jié)構(gòu)和藏書(shū)空間融為一體：控制圖書(shū)館出入口；需要id卡身份識(shí)別進(jìn)入圖書(shū)館特別是特別館藏區(qū)域；制定保安巡邏圖書(shū)館的時(shí)間表。技術(shù)氛圍包括技術(shù)實(shí)踐和嵌入到館藏安全應(yīng)用規(guī)劃中的各種程序。它強(qiáng)調(diào)使用電子安全系統(tǒng)等技術(shù)設(shè)備來(lái)處理館藏應(yīng)用過(guò)程，控制安全漏洞，并在圖書(shū)館出入口點(diǎn)安裝安全系統(tǒng)。這就意味著圖書(shū)館需要安裝電子反盜竊設(shè)備、可視化相機(jī)、煙感探測(cè)及出入口、閱覽區(qū)報(bào)警系統(tǒng)等安全設(shè)備。這將有助于防止圖書(shū)館藏書(shū)的丟失和對(duì)閱讀區(qū)、參考咨詢區(qū)及書(shū)庫(kù)進(jìn)行可行性監(jiān)控和讀者流量的檢測(cè)。安全文化維度作為圖書(shū)館網(wǎng)絡(luò)信息安全管理模型構(gòu)成基礎(chǔ)的安全文化，包括讀者和館員對(duì)圖書(shū)館信息重要性的態(tài)度、信息保護(hù)存在的安全漏洞、信息相關(guān)事件的意識(shí)、阻礙或限制信息安全管理系統(tǒng)有效性的意識(shí)。意識(shí)是一個(gè)看不見(jiàn)但可以通過(guò)行為來(lái)證明的元素，如（a）圖書(shū)館館員的館藏信息安全政策和管理過(guò)程的認(rèn)識(shí)水平；（b）館員對(duì)安全政策和程序重要性的態(tài)度；（c）安全漏洞和安全驗(yàn)收責(zé)任的意識(shí)[9]。圖書(shū)館網(wǎng)絡(luò)信息安全管理模型中的安全文化是一種安全責(zé)任相互共享的文化，安全人員能夠相互提供信息和工具來(lái)應(yīng)對(duì)各種安全情況。這種態(tài)度與意識(shí)能夠確保圖書(shū)館信息安全治理、管理和運(yùn)行的有效性。圖書(shū)館網(wǎng)絡(luò)信息安全管理系統(tǒng)在權(quán)重一致的5個(gè)維度的相互作用下，在館藏信息得到安全管理的同時(shí)還能確保其在保密性、完整性和可用性上維持在一個(gè)合理的水平。

3 圖書(shū)館網(wǎng)絡(luò)信息安全管理模型應(yīng)用方案目前，在圖書(shū)館的計(jì)算機(jī)網(wǎng)絡(luò)上有館藏書(shū)目信息、讀者信息、各種電子文獻(xiàn)數(shù)據(jù)庫(kù)、光盤(pán)數(shù)據(jù)庫(kù)檢索系統(tǒng)、圖書(shū)管理系統(tǒng)、特藏?cái)?shù)據(jù)庫(kù)等內(nèi)容[10]。這些電子資源信息如果受到破壞，那么損失將會(huì)非常慘重，很可能會(huì)造成整個(gè)圖書(shū)館系統(tǒng)癱瘓。就目前的狀況來(lái)看，圖書(shū)館所面臨的網(wǎng)絡(luò)信息安全問(wèn)題主要有黑客攻擊、計(jì)算機(jī)病毒、網(wǎng)絡(luò)物理設(shè)備安全隱患、網(wǎng)絡(luò)設(shè)備配置安全與人員造成的安全隱患等方面。為了預(yù)防與應(yīng)對(duì)上述隱患對(duì)圖書(shū)館可能會(huì)帶來(lái)的網(wǎng)絡(luò)信息安全故障，圖書(shū)館應(yīng)按照網(wǎng)絡(luò)信息管理模型5維度的要求，建立起科學(xué)、規(guī)范、有效的網(wǎng)絡(luò)信息安全管理流程（見(jiàn)圖2），將網(wǎng)絡(luò)信息安全隱患處理于萌芽之中。圖2 圖書(shū)館網(wǎng)絡(luò)信息安全管理流程

應(yīng)用圖書(shū)館網(wǎng)絡(luò)信息安全模型處理網(wǎng)絡(luò)信息安全故障，其管理流程可分為3個(gè)階段：故障初排階段、故障處理階段與評(píng)估階段。在故障初排階段，圖書(shū)館工作人員或讀者在應(yīng)用圖書(shū)館的過(guò)程中，如果發(fā)現(xiàn)信息安全故障，應(yīng)及時(shí)進(jìn)行隱患初排并上報(bào)技術(shù)部，由技術(shù)部工作人員對(duì)該事件進(jìn)行了解，并請(qǐng)求技術(shù)部主管上報(bào)給以館領(lǐng)導(dǎo)為主的信息安全管理團(tuán)隊(duì)；在故障處理階段，技術(shù)部工作人員根據(jù)事件了解進(jìn)行安全故障檢查并調(diào)查影響范圍，從而形成第一次進(jìn)程報(bào)告，并將其上報(bào)給館領(lǐng)導(dǎo)，由館領(lǐng)導(dǎo)進(jìn)行資源調(diào)度后，技術(shù)部應(yīng)急搶修；技術(shù)部附上應(yīng)急搶修進(jìn)程報(bào)告上報(bào)給館領(lǐng)導(dǎo)形成第二次進(jìn)程報(bào)告，然后結(jié)案、審核并歸檔；在評(píng)估階段，各部門(mén)對(duì)此次信息安全故障事件進(jìn)行評(píng)估總結(jié)。圖書(shū)館網(wǎng)絡(luò)信息安全管理模型是以人為核心的信息安全保障體系，它強(qiáng)調(diào)的不是技術(shù)問(wèn)題，而是管理的問(wèn)題。圖書(shū)館網(wǎng)絡(luò)信息安全在以館領(lǐng)導(dǎo)為核心的安全管理團(tuán)隊(duì)的

領(lǐng)導(dǎo)下，在工作人員、讀者的共同配合下，依靠科學(xué)的管理流程，定能將圖書(shū)館網(wǎng)絡(luò)信息安全管理達(dá)到一個(gè)全新的層次。 　4 結(jié)束語(yǔ)構(gòu)建一個(gè)適應(yīng)計(jì)算機(jī)網(wǎng)絡(luò)普遍應(yīng)用的圖書(shū)館網(wǎng)絡(luò)信息安全管理模型，不僅是適應(yīng)新形勢(shì)的需要，也是圖書(shū)館信息數(shù)字化建設(shè)的重要組成部分。隨著圖書(shū)館社交網(wǎng)絡(luò)應(yīng)用的普及，圖書(shū)館信息將面臨更大的開(kāi)放性和更多的安全方面的挑戰(zhàn)。圖書(shū)館網(wǎng)絡(luò)信息安全管理模型是一個(gè)包括技術(shù)、管理、人員和安全文化等多個(gè)環(huán)節(jié)整體性很強(qiáng)的體系，不能孤立或靜止地看待和解決問(wèn)題，網(wǎng)絡(luò)信息安全性的提高依賴于不斷的技術(shù)進(jìn)步和應(yīng)用，依賴于管理的逐步完善和人員素質(zhì)的全面提升。相關(guān)人員應(yīng)根據(jù)網(wǎng)絡(luò)信息的特點(diǎn)和需求，進(jìn)行有針對(duì)性的系統(tǒng)設(shè)計(jì)，不斷地改進(jìn)和完善網(wǎng)絡(luò)技術(shù)的安全工作，更好地推動(dòng)圖書(shū)館網(wǎng)絡(luò)事業(yè)健康發(fā)展。

參考文獻(xiàn)

[1]j.k.tudor.information security architecture—an integrated approach to security in an organization[m].boca raton，fl：auerbach.

[2]mccarthy m.p，campbell s.security transformation[m].mcgraw-hill：new york.

[3]eloff j.h，eloff m.integrated information security architecture[j].computer fraud and security，2005，（11）：10-16.

[4]iso/iec 17799（bs 7799-1）.information technology，security techniques[s].code of practice for information security management，britain.

[5]iso/iec 27001（bs 7799-2）.information technology，security techniques[s].code of practice for information security management，britain.

[6]a.da veiga，j.h.eloff.an information security governance framework[j].information systems managenment，2007，（4）：361-372.

[7]abashe maidabino，a.n.zainab.a holistic approach to collection security implementation in university libraries[j].library collection，acquisitions & technical services，2012，（36）：107-120.

[8]sipone m.t.five dimensions of information security awareness[j].computer and society，2000，（6）：24-29.

[9]holt g.e.theft by library staff[j].the bottom line：managing library finances，2007，（2）：85-92.

篇9

信息安全檢查的作用

為了收集信息系統(tǒng)的運(yùn)行數(shù)據(jù)、了解信息安全管理體系的運(yùn)行情況，及時(shí)發(fā)現(xiàn)信息系統(tǒng)存在的安全問(wèn)題和修補(bǔ)安全漏洞，各大銀行普遍采用安全檢查的方法，提升信息系統(tǒng)的安全保障能力：一是檢查信息安全保障體系的建設(shè)情況、信息系統(tǒng)安全管理制度的落實(shí)情況，提高信息系統(tǒng)安全管理水平；二是檢查科技人員的安全技術(shù)水平以及安全培訓(xùn)教育情況，強(qiáng)化他們的信息安全意識(shí)；三是檢查信息系統(tǒng)運(yùn)行情況、日常操作中的安全控制措施，促進(jìn)完善安全內(nèi)控機(jī)制，及時(shí)處置操作安全風(fēng)險(xiǎn)；四是檢查信息系統(tǒng)數(shù)據(jù)存儲(chǔ)、傳輸、使用等數(shù)據(jù)管理情況，防范數(shù)據(jù)泄露風(fēng)險(xiǎn)；五是檢查應(yīng)急預(yù)案制定情況以及應(yīng)急演練結(jié)果，提高對(duì)突發(fā)事件的應(yīng)對(duì)能力。信息安全檢查工作的內(nèi)容信息安全檢查工作是為了查找信息安全問(wèn)題和薄弱環(huán)節(jié)，采取一定的檢查或檢測(cè)方法，發(fā)現(xiàn)安全現(xiàn)狀與安全要求之間的差距，以便有針對(duì)性地采取防范對(duì)策、改進(jìn)防范措施，進(jìn)一步提升安全防范能力，預(yù)防和減少重大信息安全事件的發(fā)生，切實(shí)保障信息系統(tǒng)的安全穩(wěn)定運(yùn)行。在進(jìn)行安全檢查前，首先要確定安全要求、明確信息安全檢查工作中要檢查的項(xiàng)目。郵儲(chǔ)銀行以信息安全保障評(píng)估框架為指導(dǎo)，以等級(jí)保護(hù)系列標(biāo)準(zhǔn)為基礎(chǔ)，結(jié)合銀監(jiān)會(huì)、中國(guó)人民銀行等監(jiān)管機(jī)構(gòu)對(duì)信息安全管理的相關(guān)監(jiān)管要求，提取內(nèi)部管理制度中對(duì)安全的相關(guān)要求，制定了具有特色的安全檢查要求，形成了《郵政金融計(jì)算機(jī)系統(tǒng)安全檢查手冊(cè)》。該《手冊(cè)》從主機(jī)安全、網(wǎng)絡(luò)及邊界安全、應(yīng)用安全、數(shù)據(jù)安全、基礎(chǔ)設(shè)施安全、網(wǎng)點(diǎn)終端安全、運(yùn)行安全、安全管理8個(gè)方面歸納整理出400多個(gè)安全檢查項(xiàng)。該《手冊(cè)》明確了信息安全檢查工作的檢查內(nèi)容、檢查要點(diǎn)和檢查方法。

信息安全檢查的實(shí)踐

郵儲(chǔ)銀行開(kāi)展的2014~2015年度信息安全檢查工作，包括了制定檢查工作計(jì)劃、信息安全檢查、問(wèn)題整改和檢查總結(jié)等階段。制定檢查工作計(jì)劃。在選取安全檢查項(xiàng)目時(shí)，緊緊圍繞年度安全管理目標(biāo)，結(jié)合年度信息安全工作的重點(diǎn)領(lǐng)域以及運(yùn)行維護(hù)工作中容易忽視的安全問(wèn)題。2015年的安全檢查在兼顧檢查全面性的同時(shí)，確定以網(wǎng)絡(luò)邊界安全、主機(jī)安全、數(shù)據(jù)安全3方面為檢點(diǎn)，從《手冊(cè)》中選取100個(gè)檢查項(xiàng)，同時(shí)規(guī)劃了現(xiàn)場(chǎng)檢查工作的方法、工作過(guò)程等內(nèi)容，從而形成年度安全檢查方案。隨后，根據(jù)各安全檢查項(xiàng)目在保障信息安全中的作用以及現(xiàn)有條件下實(shí)現(xiàn)的難度等實(shí)際情況，將安全檢查項(xiàng)分成基本要求項(xiàng)和增強(qiáng)要求項(xiàng)并對(duì)其賦予不同的分值，建立起安全檢查的量化評(píng)價(jià)標(biāo)準(zhǔn)。檢查完成后，可以通過(guò)評(píng)價(jià)標(biāo)準(zhǔn)直接給出的分?jǐn)?shù)，直觀地評(píng)價(jià)、比較各分行信息安全工作的情況。在組建安全檢查隊(duì)伍時(shí)，每個(gè)檢查小組由總行、分行的信息安全人員組成。各分行分組交叉檢查的方式，便于各分行通過(guò)檢查相互學(xué)習(xí)、取長(zhǎng)補(bǔ)短，提高信息安全的保障能力和水平。

實(shí)施信息安全檢查

信息安全檢查圍繞安全檢查項(xiàng)目，采用登錄系統(tǒng)檢查、在線工具檢查、查閱制度文檔、訪談關(guān)鍵人員、巡查網(wǎng)點(diǎn)等方法，收集安全運(yùn)行數(shù)據(jù)，評(píng)價(jià)安全管理水平。登錄信息系統(tǒng)設(shè)備檢查安全配置基本情況，重點(diǎn)關(guān)注系統(tǒng)日志、操作日志、配置文件等信息；使用安全漏洞掃描工具檢測(cè)設(shè)備存在的風(fēng)險(xiǎn)點(diǎn)；通過(guò)檢查設(shè)備的使用狀況，評(píng)價(jià)基層單位對(duì)信息資源的控制能力是否滿足安全保護(hù)的要求。查看各監(jiān)控系統(tǒng)的監(jiān)控記錄，確認(rèn)各項(xiàng)報(bào)警得到及時(shí)處理。查閱規(guī)章制度，了解安全規(guī)定是否覆蓋安全工作的所有領(lǐng)域；瀏覽審批記錄、登記表等詳細(xì)信息，了解日常工作中安全規(guī)定的執(zhí)行情況。通過(guò)訪談相關(guān)崗位人員、現(xiàn)場(chǎng)觀察各崗位人員的實(shí)際配合情況，了解日常工作流程中是否存在安全漏洞；通過(guò)實(shí)地檢查網(wǎng)點(diǎn)，最直觀地從工作環(huán)境考察安全管理細(xì)節(jié)，查看基層各項(xiàng)安全制度的落實(shí)情況。在檢查過(guò)程中發(fā)現(xiàn)的問(wèn)題，現(xiàn)場(chǎng)檢查組以事實(shí)確認(rèn)單的形式進(jìn)行記錄，并在現(xiàn)場(chǎng)檢查總結(jié)會(huì)上與被檢查機(jī)構(gòu)的人員進(jìn)行溝通和確認(rèn)，作為后期整改工作的基礎(chǔ)依據(jù)。

問(wèn)題整改

在完成了現(xiàn)場(chǎng)檢查工作之后，各檢查小組匯總事實(shí)確認(rèn)單，梳理出需要各分行著手整改的問(wèn)題，針對(duì)每個(gè)分行簽發(fā)安全檢查整改通知書(shū)，要求各分行對(duì)癥下藥完成整改工作，以完善信息系統(tǒng)的安全防護(hù)措施。對(duì)網(wǎng)絡(luò)邊界問(wèn)題的整改，完善了網(wǎng)絡(luò)各區(qū)域特別是第三方接入?yún)^(qū)防火墻、路由器、交換機(jī)的安全配置，對(duì)經(jīng)過(guò)網(wǎng)絡(luò)邊界的重要信息實(shí)施相應(yīng)保護(hù)，提升了抵御外部網(wǎng)絡(luò)攻擊的能力。對(duì)主機(jī)安全問(wèn)題的整改，調(diào)整了各類軟件的安全配置參數(shù)，使之遵循最新版本安全配置基線的要求，提升了主機(jī)的安全防護(hù)能力。對(duì)數(shù)據(jù)安全問(wèn)題的整改，增強(qiáng)了數(shù)據(jù)訪問(wèn)的身份認(rèn)證和訪問(wèn)控制機(jī)制，防止非授權(quán)使用，保證數(shù)據(jù)免遭泄露和篡改。同時(shí)加強(qiáng)了對(duì)備份數(shù)據(jù)管理，有效保護(hù)了數(shù)據(jù)的高可用性。對(duì)檢查中發(fā)現(xiàn)的其他問(wèn)題進(jìn)行整改，促進(jìn)了在運(yùn)行維護(hù)過(guò)程中主動(dòng)采取更加有效的安全措施，升級(jí)管理手段，使安全管理更加全面覆蓋到安全保障架構(gòu)的各個(gè)方面。

檢查總結(jié)

經(jīng)過(guò)一段時(shí)間的信息安全檢查整改工作，各分行報(bào)告了每個(gè)問(wèn)題的整改完成情況。總行依據(jù)整改報(bào)告評(píng)價(jià)各項(xiàng)整改措施的有效性，評(píng)估信息安全狀況和防護(hù)水平，促進(jìn)總行對(duì)信息安全管理工作進(jìn)行持續(xù)監(jiān)管。

持續(xù)改進(jìn)的信息安全檢查工作

篇10

英特爾前執(zhí)行副總裁兼首席行政官安迪?布萊恩特（Andy Bryant）曾這樣評(píng)價(jià)：“IT部門(mén)碌碌無(wú)為，英特爾也會(huì)無(wú)所作為；IT部門(mén)表現(xiàn)出色，英特爾就有了成功的良好基礎(chǔ)?！比涨?，《2010-2011年英特爾IT部門(mén)業(yè)績(jī)報(bào)告》（下文簡(jiǎn)稱《報(bào)告》），分享英特爾IT部門(mén)創(chuàng)造業(yè)務(wù)價(jià)值的經(jīng)驗(yàn)，這是英特爾第十期IT年度業(yè)績(jī)報(bào)告。

一年價(jià)值數(shù)據(jù)說(shuō)話

英特爾全球副總裁兼CIO黛安?布萊恩特（Diane Bryant）指出，英特爾IT部門(mén)通過(guò)主動(dòng)投資，提高員工工作效率來(lái)促進(jìn)業(yè)務(wù)發(fā)展和增加收入，并且提高業(yè)務(wù)運(yùn)行效率，降低成本，這借助了很多革新的信息技術(shù)和IT實(shí)踐。

《報(bào)告》顯示，2010年，英特爾IT部門(mén)使制造周期縮短了65%，訂單交付時(shí)間縮短了65%，工程設(shè)計(jì)的等待時(shí)間縮短了61%……一系列數(shù)據(jù)顯示出IT在英特爾業(yè)務(wù)中的重要地位。英特爾中國(guó)區(qū)CIO李克定（Liam Keating）在談及《報(bào)告》時(shí)說(shuō)，在創(chuàng)造業(yè)務(wù)價(jià)值方面，IT部門(mén)始終關(guān)注在業(yè)務(wù)解決方案上。

英特爾的核心競(jìng)爭(zhēng)力之一是世界級(jí)的制造管理，IT作為堅(jiān)實(shí)后盾，從2010年初開(kāi)始，英特爾IT部門(mén)開(kāi)始進(jìn)一步整合工廠自動(dòng)化系統(tǒng)和IT系統(tǒng)。通過(guò)系統(tǒng)整合，英特爾的晶圓制造工廠從改進(jìn)中受益，以前需要6～9個(gè)月才能實(shí)施的關(guān)鍵組件，現(xiàn)在在3個(gè)月內(nèi)就能完成部署。而在創(chuàng)建高效供應(yīng)鏈方面，工廠的庫(kù)存減少了32%，對(duì)客戶的響應(yīng)速度提高了3倍，這些成績(jī)的取得與支持全新設(shè)計(jì)業(yè)務(wù)流程并提供高效信息系統(tǒng)的IT部門(mén)密不可分。不僅如此，在資產(chǎn)設(shè)備優(yōu)化、加速產(chǎn)品開(kāi)發(fā)、降低產(chǎn)品退貨成本、贏得新客戶等方面，英特爾通過(guò)ERP、在線中心等手段，也始終在優(yōu)化中大幅提高效率。

在預(yù)算固定的情況下，英特爾利用ITIL框架來(lái)改變IT服務(wù)和支持方式，優(yōu)勢(shì)在2010年就可已經(jīng)開(kāi)始逐步顯現(xiàn)。作為在英特?zé)嵬茝V精益六西格瑪計(jì)劃的業(yè)務(wù)流程設(shè)計(jì)大本營(yíng)，該項(xiàng)目的325個(gè)項(xiàng)目已經(jīng)完成或正在實(shí)施中，目前正側(cè)重于優(yōu)化項(xiàng)目生命周期工作流程、數(shù)據(jù)存儲(chǔ)和資產(chǎn)管理等方面。

如何制定最佳實(shí)踐

企業(yè)IT部門(mén)經(jīng)常要收到來(lái)自各業(yè)務(wù)部門(mén)的需求，但要在不超出預(yù)算，人力有限的條件下一一滿足已非易事。更具挑戰(zhàn)性的是，如何抽身出來(lái)，立足長(zhǎng)遠(yuǎn)制定好戰(zhàn)略目標(biāo)，把挑戰(zhàn)、環(huán)境和趨勢(shì)都融入到IT發(fā)展藍(lán)圖和決策當(dāng)中?

英特爾的做法中最重要的環(huán)節(jié)是交互：IT部門(mén)每年都會(huì)與業(yè)務(wù)團(tuán)隊(duì)召開(kāi)高層會(huì)議，就優(yōu)先級(jí)和同步提交撥款申請(qǐng)達(dá)成一致；并且還會(huì)與產(chǎn)品部門(mén)進(jìn)行戰(zhàn)略性討論，在專業(yè)技術(shù)和行業(yè)趨勢(shì)方面進(jìn)行知識(shí)共享，參與到英特爾產(chǎn)品、解決方案和整體戰(zhàn)略當(dāng)中；在與產(chǎn)品規(guī)劃、設(shè)計(jì)和市場(chǎng)推廣部門(mén)召開(kāi)的聯(lián)合會(huì)議中，雙方討論的是IT技術(shù)驗(yàn)證、概念驗(yàn)證，以及與英特爾產(chǎn)品發(fā)展藍(lán)圖有關(guān)的架構(gòu)評(píng)估。

“我們會(huì)進(jìn)行調(diào)查和采訪，評(píng)估服務(wù)情況，確定在哪些方面需要改進(jìn)。”李克定介紹說(shuō)，IT團(tuán)隊(duì)會(huì)邀請(qǐng)高級(jí)業(yè)務(wù)團(tuán)隊(duì)代表，評(píng)估IT部門(mén)的表現(xiàn)，并在2010年通過(guò)“用戶心生”調(diào)查收集了來(lái)自不同地區(qū)近2000名員工的反饋。這樣的調(diào)查范圍還將繼續(xù)擴(kuò)大，對(duì)著重關(guān)注的目標(biāo)領(lǐng)域進(jìn)行調(diào)研。

要獲得業(yè)務(wù)團(tuán)隊(duì)的信賴，還必須要明確量化并傳達(dá)IT項(xiàng)目的業(yè)務(wù)價(jià)值。英特爾為此實(shí)施了全新的財(cái)務(wù)運(yùn)營(yíng)管理流程，以參考框架的方式列出了重要IT項(xiàng)目的優(yōu)先級(jí)列表、業(yè)務(wù)價(jià)值、項(xiàng)目成本、風(fēng)險(xiǎn)以及成功標(biāo)準(zhǔn)，支持把更多資源從低價(jià)值項(xiàng)目轉(zhuǎn)移到高價(jià)值項(xiàng)目當(dāng)中。

未來(lái)聚焦三大方向

與行業(yè)同仁一樣，英特爾在面對(duì)日新月異的技術(shù)變革時(shí)也必須迅捷響應(yīng)。李克定介紹說(shuō)，英特爾的IT著力點(diǎn)將是IT消費(fèi)品化和全球協(xié)作，云計(jì)算及虛擬化應(yīng)用，保護(hù)企業(yè)信息。

在業(yè)務(wù)周期縮短的環(huán)境中，分散于全球各地的英特爾員工必須要解決相互協(xié)作和無(wú)縫連接的問(wèn)題。而此時(shí)，個(gè)人的生活環(huán)境和工作環(huán)境正在融合，他們期待能自由選擇適合其工作方式的設(shè)備，比如使用智能手機(jī)和平板電腦來(lái)訪問(wèn)內(nèi)部網(wǎng)絡(luò)和數(shù)據(jù)，包括引入社交網(wǎng)絡(luò)，但這會(huì)帶來(lái)大量安全性和隱私問(wèn)題。英特爾IT部門(mén)制定策略，與人力、法務(wù)、安全等部門(mén)協(xié)作，開(kāi)始提供彈，截至2010年末，全球約有8600位英特爾員工用智能手機(jī)訪問(wèn)企業(yè)信息。據(jù)了解，英特爾還計(jì)劃對(duì)客戶端虛擬化進(jìn)行更多概念驗(yàn)證測(cè)試，從而跨越不同計(jì)算設(shè)備。

而在傳統(tǒng)客戶端方面，英特爾每隔兩到四年就會(huì)根據(jù)用戶分類，提供更高性能的移動(dòng)商用電腦?！拔覀冋诓渴鸩捎貌╀J技術(shù)和固態(tài)硬盤(pán)的產(chǎn)品?！崩羁硕ㄕf(shuō)，采用主動(dòng)客戶端管理的方式在降低成本、提高效率方面很有成效，而性能優(yōu)于硬盤(pán)的固態(tài)硬盤(pán)也已經(jīng)成為新一記本的標(biāo)準(zhǔn)部件。

為了加強(qiáng)不同區(qū)域團(tuán)隊(duì)的協(xié)作，IT部門(mén)在視頻會(huì)議方面投入巨資。2010年，英特爾具備視頻會(huì)議功能的會(huì)議室增加了兩倍以上，據(jù)估計(jì)，這為員工節(jié)省了約57000小時(shí)的差旅時(shí)間，節(jié)省差旅費(fèi)2600萬(wàn)美元。

始于六年前的云計(jì)算之旅在英特爾也開(kāi)始漸入佳境。將英特爾全球計(jì)算網(wǎng)格的經(jīng)驗(yàn)應(yīng)用于辦公和私有云開(kāi)發(fā)中。作為關(guān)鍵一步，有數(shù)據(jù)顯示，2010年初，英特爾計(jì)算環(huán)境的虛擬化程度為12%。到年底已經(jīng)達(dá)到了42%，預(yù)計(jì)將在未來(lái)幾年內(nèi)，實(shí)現(xiàn)75%的環(huán)境虛擬化。在陳舊、低效服務(wù)器上運(yùn)行的任務(wù)被整合至更少數(shù)量的新型服務(wù)器上，實(shí)現(xiàn)了高達(dá)20∶1的虛擬化整合比，功耗降低了90%，英特爾因此獲得了來(lái)自歐美多個(gè)組織機(jī)構(gòu)的能源補(bǔ)貼。《報(bào)告》顯示，英特爾在近幾年中，數(shù)據(jù)中心的數(shù)量減少了1/3，性能則提高了2.5倍，預(yù)計(jì)2014年前將創(chuàng)造6.5億美元的業(yè)務(wù)價(jià)值。