導(dǎo)語：如何才能寫好一篇信息安全服務(wù)體系，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

研究院的安全服務(wù)主要包含四大獨(dú)立服務(wù)：安全服務(wù)、監(jiān)測服務(wù)、睿眼通和信息安全應(yīng)急響應(yīng)指揮平臺(tái)。服務(wù)內(nèi)容主要包括以下幾個(gè)方面：

首先是安全咨詢。以“業(yè)務(wù)需求管理”為核心出發(fā)點(diǎn)，依托ISO27001、ISO17799等國際信息安全標(biāo)準(zhǔn)和法規(guī)及行業(yè)規(guī)范，融合自上而下的指導(dǎo)方針、管理策略、業(yè)務(wù)流程運(yùn)行規(guī)則、系統(tǒng)操作指南，建立信息安全管理體系。

其次是安全培訓(xùn)。安全培訓(xùn)旨在提高客戶的信息安全意識(shí)和技能，為最大程度上提高客戶的整體安全防衛(wèi)意識(shí)和安全防衛(wèi)技能，真正把信息安全管理體系落到實(shí)處，提供強(qiáng)力有效的技術(shù)支撐保障。

再次是安全評(píng)估。對(duì)信息資產(chǎn)所面臨的威脅、存在的弱點(diǎn)、造成的影響，以及三者綜合作用所帶來風(fēng)險(xiǎn)的可能性評(píng)估，為客戶信息安全管理體系策劃提供基礎(chǔ)。

最后是安全加固。結(jié)合等級(jí)保護(hù)國家政策及行業(yè)規(guī)范，通過現(xiàn)場調(diào)研，合理使用安全加固工具等為客戶提供安全加固服務(wù)，主要提供主機(jī)加固、系統(tǒng)加固、數(shù)據(jù)庫加固、應(yīng)用服務(wù)器加固、應(yīng)用加固等服務(wù)，安全補(bǔ)丁、安全策略調(diào)優(yōu)、配置優(yōu)化等服務(wù)。

七大監(jiān)測服務(wù)主要包括下幾個(gè)方面：

第一，“睿眼”外網(wǎng)安全監(jiān)測預(yù)警服務(wù)平臺(tái)是一套軟硬件一體化監(jiān)測平臺(tái)，以大數(shù)據(jù)技術(shù)為依托，集成了Web漏洞掃描檢測技術(shù)、采用遠(yuǎn)程監(jiān)測對(duì)外網(wǎng)網(wǎng)站提供7×24小時(shí)實(shí)時(shí)安全監(jiān)測服務(wù)。通過對(duì)網(wǎng)站的不間斷監(jiān)測服務(wù)及時(shí)發(fā)現(xiàn)威脅，從而提升網(wǎng)站的安全防護(hù)能力和網(wǎng)站服務(wù)質(zhì)量，并通過安全監(jiān)測平臺(tái)的事件跟蹤功能建立起一種長效的安全保障機(jī)制。

第二，“睿眼”移動(dòng)安全監(jiān)測預(yù)警服務(wù)平臺(tái)，為政府和企事業(yè)單位搭建一個(gè)應(yīng)用App統(tǒng)一存放、統(tǒng)一管理、統(tǒng)一安全監(jiān)測的AppStroe平臺(tái)，通過此平臺(tái)進(jìn)一步提升用戶辦事體驗(yàn)，同時(shí)方便國家、省部級(jí)對(duì)下級(jí)單位進(jìn)行移動(dòng)App管理和統(tǒng)計(jì)。

第三，“睿眼”內(nèi)網(wǎng)安全監(jiān)測預(yù)警服務(wù)平臺(tái)，基于對(duì)內(nèi)網(wǎng)網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行的考慮，平臺(tái)提供對(duì)內(nèi)網(wǎng)的實(shí)時(shí)安全監(jiān)測、分析和預(yù)警功能。

睿眼通

睿眼通是七大監(jiān)測預(yù)警服務(wù)平臺(tái)提供給客戶的一款智能移動(dòng)終端，基于客戶對(duì)信息安全情況的即時(shí)需求，以七大監(jiān)測預(yù)警服務(wù)平臺(tái)監(jiān)測結(jié)果為主線，可以成為客戶處理信息安全問題、了解安全狀態(tài)趨勢、掌握最新安全資訊的貼心助手，隨時(shí)隨地了解網(wǎng)站及信息系統(tǒng)等的整體運(yùn)行情況。

信息安全應(yīng)急響應(yīng)指揮平臺(tái)

應(yīng)急響應(yīng)指揮平臺(tái)通過各大監(jiān)測預(yù)警服務(wù)平臺(tái)實(shí)時(shí)監(jiān)測結(jié)果，對(duì)告警的安全故障或安全威脅，以最短的時(shí)間進(jìn)行故障排查定位和應(yīng)急處理。

安全產(chǎn)品

公司安全產(chǎn)品包括堡壘主機(jī)系統(tǒng)、系統(tǒng)安全加固、審計(jì)系統(tǒng)和信息共享管理系統(tǒng)。

（1）堡壘主機(jī)系統(tǒng)。堡壘主機(jī)是一種被加固的可以防御進(jìn)攻的計(jì)算機(jī)，具備堅(jiān)強(qiáng)的安全防護(hù)能力。堡壘主機(jī)系統(tǒng)軟件扮演著看門者的職責(zé)，所有對(duì)網(wǎng)絡(luò)設(shè)備和服務(wù)器的請求都要從這扇大門經(jīng)過。

（2）系統(tǒng)安全加固。系統(tǒng)安全加固V1.0產(chǎn)品是軟硬件相結(jié)合的產(chǎn)品，通過硬件USB-KEY，提高了服務(wù)器系統(tǒng)的安全性，克服單純使用軟件防護(hù)的局限性；軟件部分包括服務(wù)器操作系統(tǒng)安全增強(qiáng)軟件、服務(wù)器安全，以及統(tǒng)一安全管理平臺(tái)軟件。

（3）審計(jì)系統(tǒng)

①日志審計(jì)系統(tǒng)。日志審計(jì)系統(tǒng)一方面可以集中收集、長時(shí)間存放所有的記錄日志，避免日志遭到惡意篡改或刪除而在安全事件發(fā)生時(shí)無據(jù)可查的狀況發(fā)生，另一方面日志審計(jì)系統(tǒng)強(qiáng)大的日志審計(jì)功能可以為組織審計(jì)人員提供日志實(shí)時(shí)監(jiān)控、高效檢索、審計(jì)報(bào)表等日志審計(jì)手段，從而使原本不可能完成的海量日志審計(jì)工作可以在短時(shí)間內(nèi)輕松完成，大大減少信息部門的工作量。

②網(wǎng)絡(luò)安全審計(jì)系統(tǒng)。網(wǎng)絡(luò)安全審計(jì)系統(tǒng)主要通過旁路監(jiān)視并記錄對(duì)數(shù)據(jù)庫服務(wù)器的各類操作行為，通過對(duì)各類網(wǎng)絡(luò)行為的分析，實(shí)時(shí)地、智能地監(jiān)控審計(jì)，并將審計(jì)數(shù)據(jù)存儲(chǔ)，以便日后進(jìn)行查詢、分析，實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)環(huán)境內(nèi)的操作訪問行為的監(jiān)控和審計(jì)。

篇2

【論文關(guān)鍵詞】檔案信息服務(wù)；隱私權(quán)；網(wǎng)絡(luò)化 

 

檔案信息是一種重要的原始信息，也是記錄隱私的重要載體，同時(shí)，作為歷史的記錄，檔案中的許多內(nèi)容涉及個(gè)人隱私，因此，檔案工作和隱私權(quán)保護(hù)有著必然的聯(lián)系。蓬勃發(fā)展起來的網(wǎng)絡(luò)環(huán)境在改變檔案信息收集、整理、貯存、傳遞、利用的傳統(tǒng)模式的同時(shí)，也使隱私權(quán)保護(hù)呈現(xiàn)出新的特點(diǎn)。網(wǎng)絡(luò)本身的安全性并不十分可靠，這是檔案信息網(wǎng)絡(luò)化服務(wù)進(jìn)程中一個(gè)極為重要的問題，由于技術(shù)的不完善，第三方（如“黑客”等）對(duì)當(dāng)事人隱私權(quán)的侵犯既可以發(fā)生在檔案館與用戶通過網(wǎng)絡(luò)傳送個(gè)人資料或不同的檔案網(wǎng)站之間共享個(gè)人資料的某個(gè)環(huán)節(jié)，也可以發(fā)生在檔案網(wǎng)站貯存?zhèn)€人資料的過程。這也從客觀上推動(dòng)了我們對(duì)檔案信息（網(wǎng)絡(luò)化）服務(wù)中的隱私權(quán)保護(hù)問題的探討。 

一、檔案信息服務(wù)中涉及的隱私權(quán)問題分析 

在檔案信息服務(wù)中保護(hù)隱私權(quán)的意義不僅僅在于維護(hù)當(dāng)事人的合法權(quán)益，而且在于為檔案事業(yè)的發(fā)展?fàn)I造良好的社會(huì)氛圍，推動(dòng)檔案信息化進(jìn)程，促進(jìn)檔案社會(huì)價(jià)值的發(fā)揮。 

（一）個(gè)人資料收集中的隱私權(quán)問題 

檔案是一種重要的原始信息，且具有保密性。其中包括公民的一些重要的個(gè)人信息，大多數(shù)鮮為人知。雖然檔案法對(duì)保密檔案的管理和利用、密級(jí)的變更和解密都作了嚴(yán)格的規(guī)定，同時(shí)制定了檔案的開放期限，但其法律相對(duì)方主要是機(jī)關(guān)、團(tuán)體、企事業(yè)單位，對(duì)于個(gè)人重要檔案信息沒有給予明確的說明。事實(shí)上，在檔案所有人向檔案館移交、捐贈(zèng)、寄存或檔案館自行收集關(guān)于公民的檔案之初，就應(yīng)妥善處理好隱私權(quán)問題。 

隱私權(quán)保護(hù)問題在傳統(tǒng)的個(gè)人資料收集過程中并不太引人注目，但在網(wǎng)絡(luò)化的今天，檔案館通過網(wǎng)絡(luò)收集個(gè)人資料變得快捷化、自動(dòng)化、詳細(xì)化，隱私權(quán)問題相對(duì)也就更加突出。比如，檔案網(wǎng)站在接受訪問時(shí)往往要求用戶提供若干個(gè)人資料，包括年齡、性別、身份證號(hào)、職業(yè)、收入、工作單位、研究方向、聯(lián)系電話、傳真、電子信箱等；檔案網(wǎng)站可以利用一些追蹤軟件來持續(xù)掌握用戶的網(wǎng)上行為，判斷他們的檔案信息消費(fèi)特點(diǎn)。 

檔案網(wǎng)站采用先進(jìn)的技術(shù)手段收集個(gè)人資料并非出于惡意，目的是通過對(duì)個(gè)人資料的分析與挖掘，找出可能連用戶自己都沒有意識(shí)到的檔案信息消費(fèi)習(xí)慣或消費(fèi)需求，改進(jìn)服務(wù)工作，這是網(wǎng)絡(luò)環(huán)境中檔案信息服務(wù)和信息產(chǎn)品開發(fā)“量身定制”的個(gè)性化、多樣化的要求。但是，檔案網(wǎng)站在用戶毫不知情或無可奈何的情況下（例如有的網(wǎng)站拒絕為不提供個(gè)人資料的用戶服務(wù)）收集個(gè)人資料，就會(huì)侵犯用戶對(duì)其個(gè)人資料的占有權(quán)和支配權(quán)。 

（二）個(gè)人資料傳輸和貯存中的隱私權(quán)問題 

檔案信息傳輸和貯存過程中所涉及的隱私權(quán)問題，主要出現(xiàn)在檔案信息網(wǎng)絡(luò)化過程中。 

網(wǎng)絡(luò)本身的安全性并不十分可靠，這是檔案信息網(wǎng)絡(luò)化服務(wù)中可能產(chǎn)生隱私權(quán)問題的又一個(gè)原因。由于技術(shù)的不完善，第三方（如“黑客”等）對(duì)當(dāng)事人隱私權(quán)的侵犯既可以發(fā)生在檔案館與用戶通過網(wǎng)絡(luò)傳送個(gè)人資料或不同的檔案網(wǎng)站之間共享個(gè)人資料的某個(gè)環(huán)節(jié)，也可以發(fā)生在檔案網(wǎng)站貯存?zhèn)€人資料的過程中。比如，第三方可以直接侵入檔案網(wǎng)站的用戶數(shù)據(jù)庫，觀看、篡改、傳播個(gè)人資料，如果這種行為是出于惡意，那么當(dāng)事人的隱私權(quán)無疑將受到極大的威脅。 

（三）個(gè)人資料利用中的隱私權(quán)問題 

不恰當(dāng)?shù)乩脗€(gè)人資料是檔案信息服務(wù)中可能產(chǎn)生隱私權(quán)問題的第三個(gè)原因。 

檔案利用與隱私權(quán)保護(hù)之間存在著矛盾，檔案利用必然涉及到公民的隱私權(quán)保護(hù)問題。如果涉及隱私的檔案被自由利用，就可能導(dǎo)致政治與經(jīng)濟(jì)活動(dòng)的混亂，使社會(huì)公民產(chǎn)生生活危機(jī)感，給社會(huì)的安寧團(tuán)結(jié)帶來不利因素。因此，如何認(rèn)識(shí)和正確處理好檔案利用與保護(hù)公民隱私權(quán)問題，是檔案利用工作在改革開放過程中的一個(gè)重要課題。由于這種侵權(quán)往往涉及到檔案館的管理職能及檔案館對(duì)個(gè)人資料的常規(guī)使用，所以控制和防止此種侵權(quán)的困難較大。比如，檔案館將用戶為了特定的目的提供的個(gè)人資料出于業(yè)務(wù)需要用于未經(jīng)授權(quán)的另一目的上，包括但不限于向別的檔案館提供該資料，且未限制該檔案館對(duì)個(gè)人資料的合理使用——雖然這種利用個(gè)人資料的方法對(duì)用戶的合法權(quán)益并無損害。 

由于各種原因，目前在檔案開放利用工作中公民的隱私權(quán)得不到應(yīng)得的保護(hù)甚至被人們所忽視，這無疑給檔案信息服務(wù)工作帶來了一定隱患。在目前我國隱私權(quán)的觀念尚未深入人心，在人們普遍缺乏隱私權(quán)保護(hù)意識(shí)的情況下，檔案部門在開放利用中忽視隱私權(quán)保護(hù)的行為還能被社會(huì)所容忍。但伴隨著我國法制化建設(shè)的進(jìn)程，公民隱私權(quán)意識(shí)的加強(qiáng)，檔案部門在實(shí)際工作中如不能很好地貫徹法律的規(guī)定，忽視了對(duì)公民隱私權(quán)的保護(hù)，那么將會(huì)在很大程度上影響檔案信息服務(wù)工作的開展。 

二、檔案信息服務(wù)中保護(hù)隱私權(quán)的對(duì)策 

要使得公民的隱私權(quán)在檔案信息服務(wù)過程中得到保護(hù)，必須走依法治檔的道路，進(jìn)行相關(guān)方面的檔案法律建設(shè)。目前我國《檔案法》中沒有明確規(guī)定檔案信息所涉及的隱私權(quán)問題，僅在部分條款中作有類似說明。 

在檔案信息服務(wù)過程中，檔案利用是涉及隱私權(quán)的一個(gè)關(guān)鍵環(huán)節(jié)，在利用時(shí)應(yīng)區(qū)別對(duì)待，通過控制使用這些涉及私人權(quán)益的檔案，限制其利用范圍，使隱私權(quán)受到必要的保護(hù)，做到合法利用。 

做好檔案信息服務(wù)中的隱私權(quán)保護(hù)，檔案界和檔案館還應(yīng)采取以下對(duì)策： 

（一）制定檔案行業(yè)的隱私權(quán)保護(hù)政策 

1997年9月27日，國家檔案局、國家保密局聯(lián)合頒發(fā)了《各級(jí)國家檔案館館藏檔案解密和劃分控制使用范圍的暫行規(guī)定》。該文件對(duì)于有效預(yù)防在檔案開放利用工作中發(fā)生對(duì)個(gè)人隱私的侵權(quán)，起到非常重要的作用。各級(jí)各類檔案部門以此項(xiàng)規(guī)定作為政策指導(dǎo)和保障，結(jié)合各自實(shí)際館藏狀況，制定了相關(guān)的規(guī)章制度，收效顯著。不僅如此，檔案學(xué)會(huì)和檔案館也應(yīng)制定本行業(yè)的網(wǎng)絡(luò)隱私權(quán)保護(hù)政策，并在網(wǎng)站主頁的顯著位置予以明示，內(nèi)容包括：告知網(wǎng)站收集個(gè)人資料的目的、方式、范圍；對(duì)個(gè)人資料提供保密和安全措施的承諾；告知用戶的請求閱覽權(quán)、補(bǔ)充修正權(quán)、刪除權(quán)、訴訟權(quán)等以及相關(guān)免責(zé)條款。 

檔案法律在以后的完善健全過程中，要著重注意解決一個(gè)問題，即檔案信息開放服務(wù)過程中公民隱私權(quán)與知情權(quán)的關(guān)系。在檔案利用實(shí)踐中，我們有時(shí)不得不在保護(hù)公民隱私權(quán)和維護(hù)公民知情權(quán)之間做出選擇。檔案部門所作出的選擇要符合法律利益最大化原則。如當(dāng)檔案中的隱私涉及共同利益、公共需求、政治利益時(shí)，檔案部門就要偏向于后者，因?yàn)樗洗蠖鄶?shù)人的需要，從長遠(yuǎn)來看，根本上也符合隱私權(quán)主體的利益。 

（二）加強(qiáng)對(duì)個(gè)人檔案隱私權(quán)的管理與技術(shù)保護(hù) 

1.在檔案管理中采取措施 

這是合法利用檔案信息的前提條件，要求對(duì)涉及公民隱私權(quán)的檔案進(jìn)行鑒定與區(qū)分，使之與一般檔案區(qū)別對(duì)待，分開保管，做到有關(guān)檔案的完整、安全和保密。目前，檔案法規(guī)對(duì)涉及公民隱私權(quán)檔案的劃分并不十分明確，在實(shí)際工作中不易操作，這種狀況亟待改善。 

利用者在利用涉及隱私的檔案時(shí)，只限于達(dá)到既定目的，當(dāng)按規(guī)定獲得了對(duì)檔案的利用權(quán)后，可對(duì)這些檔案進(jìn)行閱覽、復(fù)制和摘錄，但不得將其以現(xiàn)行檔案法規(guī)中明令禁止的形式對(duì)外公布，不得擅自傳閱、散布、發(fā)表這些涉及他人隱私的檔案內(nèi)容。檔案工作者有必要在提供檔案信息服務(wù)過程中向利用者說明有關(guān)注意事項(xiàng)。 

2.網(wǎng)絡(luò)化過程中的保護(hù)手段 

相對(duì)于傳統(tǒng)的紙質(zhì)檔案而言，在檔案信息網(wǎng)絡(luò)化過程中，可以采取的技術(shù)保護(hù)手段可謂多種多樣?，F(xiàn)在已經(jīng)有了cookies軟件管理工具、個(gè)人隱私偏好平臺(tái)（p3p）、加密軟件、自動(dòng)刪除個(gè)人資料軟件等由用戶自己保護(hù)個(gè)人資料的技術(shù)。檔案網(wǎng)站保護(hù)個(gè)人資料的技術(shù)也有很多種，比如：檔案館為了禁止未獲授權(quán)的人截取或查閱個(gè)人資料，可以通過設(shè)置本網(wǎng)站運(yùn)行的服務(wù)器，自動(dòng)使電子郵件傳輸?shù)揭粋€(gè)預(yù)先指定的服務(wù)器目錄機(jī)密郵箱，只供獲得授權(quán)的人查閱。 

（三）提高檔案館保護(hù)隱私權(quán)的自律性 

“自律”是檔案館保護(hù)隱私權(quán)的一條重要原則，即通過檔案館采取自律措施來規(guī)范自己在個(gè)人資料收集、存貯、傳輸利用中的行為，達(dá)到保護(hù)隱私權(quán)的目的。 

1.檔案館應(yīng)開展檔案開放利用的鑒定工作 

組織鑒定小組及時(shí)鑒定需要開放利用的檔案，著重分析檔案涉及隱私的內(nèi)容和本館檔案的類型，從而確定哪些檔案涉及個(gè)人隱私，屬于控制范圍。對(duì)個(gè)人資料的重要程度劃分等級(jí)，以決定采取不同的保護(hù)措施。檔案館還要建立一些規(guī)章制度，避免使所有的檔案館人員都能接觸到敏感的個(gè)人資料（如出身、種族、政治傾向、宗教信仰、犯罪記錄等），確保只有經(jīng)過批準(zhǔn)的檔案館人員才能收集、查閱、傳播這些個(gè)人資料。對(duì)于已到開放期的檔案，要嚴(yán)格按照《各級(jí)國家檔案館開放檔案辦法》、《各級(jí)國家檔案館館藏檔案解密和劃分控制使用范圍的暫行規(guī)定》中的相關(guān)規(guī)定，對(duì)擬開放檔案組織認(rèn)真鑒定，以決定包含個(gè)人資料的檔案的開放時(shí)間、開放方式和范圍。 

2.檔案工作者要注意保護(hù)他人隱私 

篇3

 

國家審計(jì)是在國家開展宏觀經(jīng)濟(jì)綜合監(jiān)督體系的重要環(huán)節(jié)，實(shí)現(xiàn)其運(yùn)行系統(tǒng)和整體信息安全的有效性是極為必要的。通過審計(jì)信息化系統(tǒng)建設(shè)項(xiàng)目有效結(jié)合了審計(jì)基本業(yè)務(wù)特征環(huán)節(jié)的信息安全防護(hù)以及實(shí)現(xiàn)系統(tǒng)健康運(yùn)行的監(jiān)控運(yùn)維服務(wù)體系，在實(shí)現(xiàn)系統(tǒng)化的體系建設(shè)且開展綜合性的防護(hù)保障措施之后，以有效保障國家審計(jì)在進(jìn)行信息系統(tǒng)建設(shè)整體系統(tǒng)的健康安全運(yùn)行[1]。

 

一、結(jié)合審計(jì)業(yè)務(wù)特征所開展的信息安全防護(hù)工作

 

信息安全防護(hù)在國家電子政務(wù)活動(dòng)中進(jìn)行應(yīng)用時(shí)，需要嚴(yán)格遵守國家在相關(guān)方面的政策制定和規(guī)劃性要求，更需要明確政務(wù)職能環(huán)節(jié)業(yè)務(wù)信息的風(fēng)險(xiǎn)和特征，然后從根本實(shí)際出發(fā)開展有針對(duì)性的信息安全防護(hù)規(guī)劃工作，保障所采取的措施能夠有效解決實(shí)際問題，確保安全防護(hù)工作的順利有效。

 

1.1對(duì)審計(jì)信息和業(yè)務(wù)的流轉(zhuǎn)型特征展開研究

 

一般而言，國際審計(jì)中包絡(luò)初期的數(shù)據(jù)采集及有效形成核查環(huán)節(jié)的審計(jì)信息記錄和證據(jù)整合，并通過互聯(lián)網(wǎng)的應(yīng)用將相關(guān)信息報(bào)送審計(jì)機(jī)關(guān)的非涉密專網(wǎng)中，這就涉及到業(yè)務(wù)活動(dòng)中的信息安全性，如果在流轉(zhuǎn)環(huán)節(jié)出現(xiàn)審計(jì)信息的泄露，因?yàn)閲覍徲?jì)所具有的設(shè)密性和權(quán)威性，將構(gòu)成重大的安全風(fēng)險(xiǎn)[2]。

 

1.2針對(duì)審計(jì)業(yè)務(wù)的整體特征開展有效的安全防護(hù)規(guī)劃

 

在國家審計(jì)要求范圍之下，對(duì)國家電子政務(wù)信息安全和信息化的協(xié)調(diào)發(fā)展給出了總體性的規(guī)劃要求，實(shí)現(xiàn)審計(jì)信息化系統(tǒng)項(xiàng)目建設(shè)的三網(wǎng)安全規(guī)范，通過審計(jì)門戶網(wǎng)、審計(jì)專網(wǎng)、審計(jì)內(nèi)網(wǎng)三個(gè)環(huán)節(jié)實(shí)現(xiàn)對(duì)電子政務(wù)信息的安全防護(hù)，有效保障涉密信息的安全性。此外，還需要根據(jù)四級(jí)互聯(lián)審計(jì)專網(wǎng)對(duì)于信息安全防護(hù)的要求，在有效倚仗外網(wǎng)的信息信任體系來實(shí)現(xiàn)覆蓋全國的信息系統(tǒng)建設(shè)，構(gòu)建有效的病毒中心防御系統(tǒng)，為信息的安全防護(hù)提供基礎(chǔ)環(huán)節(jié)的保障。

 

1.3根據(jù)國家審計(jì)的信息特征出發(fā)進(jìn)行安全防護(hù)策略的研究

 

國家審計(jì)業(yè)務(wù)具有一定的流轉(zhuǎn)性，這就需要對(duì)該環(huán)節(jié)的信息安全進(jìn)行有效的風(fēng)險(xiǎn)評(píng)估，以避免出現(xiàn)泄漏狀況，在國家信息保密和安全主管部門的支持和指導(dǎo)管理下，在進(jìn)行信息化系統(tǒng)建設(shè)項(xiàng)目時(shí)采取了信息交換和安全交互以及三網(wǎng)隔離的主體策略，以有效保障審計(jì)信息在流轉(zhuǎn)環(huán)節(jié)的安全性。

 

二、保障國家審計(jì)信息安全的運(yùn)維服務(wù)體系建設(shè)

 

通過實(shí)現(xiàn)運(yùn)維服務(wù)體系的建設(shè)有效保障了國家審計(jì)信息的整體安全性。在審計(jì)信息化系統(tǒng)建設(shè)項(xiàng)目中，運(yùn)維體系的建設(shè)主要在整體隊(duì)伍、方式、系統(tǒng)和制度以及資金等方面，在這個(gè)過程中要有效保障整體建設(shè)同運(yùn)維服務(wù)的關(guān)系。

 

2.1運(yùn)維服務(wù)系統(tǒng)

 

在審計(jì)信息化系統(tǒng)建設(shè)項(xiàng)目中，運(yùn)行監(jiān)管系統(tǒng)和信息服務(wù)系統(tǒng)構(gòu)成了運(yùn)維服務(wù)的整體系統(tǒng)。其中信息服務(wù)系統(tǒng)中的現(xiàn)場審計(jì)和審計(jì)管理系統(tǒng)已經(jīng)面向全國的審計(jì)系統(tǒng)，以更好地實(shí)現(xiàn)兩項(xiàng)系統(tǒng)應(yīng)用的有效性，另外，審計(jì)署還建立了面向全國審計(jì)系統(tǒng)的熱線電話和服務(wù)網(wǎng)站的整體服務(wù)體系，而且國家審計(jì)系統(tǒng)還發(fā)行了同信息安全建設(shè)運(yùn)維系統(tǒng)相關(guān)的指導(dǎo)性信息和文件，以保障信息系統(tǒng)應(yīng)用的有效性。運(yùn)行監(jiān)管系統(tǒng)側(cè)重于對(duì)整體系統(tǒng)建設(shè)中的各項(xiàng)子系統(tǒng)的運(yùn)行狀態(tài)實(shí)現(xiàn)有效的監(jiān)管控制，以有效納入整體的安全系統(tǒng)實(shí)現(xiàn)統(tǒng)一的管理，整體性的滿足了多層級(jí)的系統(tǒng)運(yùn)維監(jiān)管任務(wù)，極大地提升了監(jiān)管力度，使得國家審計(jì)信息系統(tǒng)以及所屬子系統(tǒng)的運(yùn)行都能夠具有穩(wěn)定、安全的整體環(huán)境。

 

2.2運(yùn)維服務(wù)隊(duì)伍

 

審計(jì)信息化系統(tǒng)建設(shè)項(xiàng)目實(shí)現(xiàn)了國家審計(jì)總數(shù)的服務(wù)部門和省級(jí)的工程服務(wù)辦的兩級(jí)服務(wù)系統(tǒng)構(gòu)建，并建設(shè)完成了中央省市縣的四級(jí)審計(jì)機(jī)關(guān)的信息系統(tǒng)的整體運(yùn)行服務(wù)隊(duì)伍。在進(jìn)行子系統(tǒng)集中管理的基礎(chǔ)前提下，審計(jì)署建立了面向下屬各個(gè)機(jī)關(guān)和部門及全國性地方審計(jì)的“呼叫中心”運(yùn)維服務(wù)隊(duì)伍，有效保障了熱線電話和服務(wù)網(wǎng)站的整體有效性運(yùn)行，將疑難問題和咨詢答復(fù)等交由運(yùn)行后臺(tái)專家，并得到專業(yè)性的確定答案之后予以恢復(fù)，有效實(shí)現(xiàn)了整體運(yùn)維服務(wù)體系的建設(shè)。

 

2.3運(yùn)維服務(wù)制度

 

就審計(jì)信息化系統(tǒng)建設(shè)項(xiàng)目的相關(guān)制度而言，均是由審計(jì)署所制定的相關(guān)指導(dǎo)辦法和體系，以有效明確運(yùn)維過程中的職責(zé)分工和機(jī)構(gòu)設(shè)置，有效實(shí)現(xiàn)對(duì)運(yùn)維內(nèi)容和機(jī)制的執(zhí)行。另外，在進(jìn)行運(yùn)維資金的使用和管理方面也制定了一定的制度規(guī)范和要求，以確定在運(yùn)行中經(jīng)費(fèi)使用的有效性以及利用的最大化。通過各項(xiàng)管理制度確定，使得整體的運(yùn)維體系科學(xué)、合理，并能夠在制度的支持下實(shí)現(xiàn)對(duì)相關(guān)專業(yè)人員的專業(yè)素質(zhì)和技能培訓(xùn)以及使用經(jīng)費(fèi)和規(guī)范化服務(wù)等相關(guān)內(nèi)容的引導(dǎo)，進(jìn)一步強(qiáng)化了整體的運(yùn)維服務(wù)體系建設(shè)[3]。

 

2.4運(yùn)維服務(wù)外包方式

 

在實(shí)際的發(fā)展過程中，審計(jì)署將審計(jì)信息化系統(tǒng)建設(shè)項(xiàng)目中的“呼叫中心”服務(wù)隊(duì)伍建設(shè)實(shí)行了外包政策，并在逐漸的發(fā)展中，在運(yùn)維服務(wù)系統(tǒng)的整體性要求性下，將該環(huán)節(jié)在內(nèi)的網(wǎng)絡(luò)系統(tǒng)和應(yīng)用系統(tǒng)通過集成商的方式通過外包服務(wù)實(shí)現(xiàn)有效的運(yùn)維服務(wù)體系建設(shè)。另外在運(yùn)維服務(wù)體系的信息系統(tǒng)建設(shè)中，也實(shí)現(xiàn)了政府對(duì)技術(shù)人員隊(duì)伍建設(shè)的外包服務(wù)組建方式。

 

2.5完善整體系統(tǒng)與運(yùn)維服務(wù)的體系構(gòu)建

 

在國家審計(jì)信息系統(tǒng)建設(shè)環(huán)節(jié)中，運(yùn)維保障和信息系統(tǒng)建設(shè)是支撐前進(jìn)的兩大驅(qū)動(dòng)力量，這就需要正視兩者之間的關(guān)系，在啟動(dòng)運(yùn)維保應(yīng)用的基礎(chǔ)上開設(shè)有效的指導(dǎo)性欄目或者咨詢通道。此外，還可以構(gòu)建全國性的運(yùn)維體系效能保障，實(shí)現(xiàn)普及性的管理建設(shè)，并在運(yùn)維體系的支撐下強(qiáng)化整體系統(tǒng)的集中統(tǒng)一管理。最后，需要實(shí)現(xiàn)有效的監(jiān)控運(yùn)維提下，實(shí)現(xiàn)對(duì)整體運(yùn)維服務(wù)的監(jiān)控和管理，確保整體運(yùn)行的安全性和有效性。

 

三、結(jié)束語

 

審計(jì)信息系統(tǒng)建設(shè)項(xiàng)目需要有效的網(wǎng)絡(luò)效能支持，這就需要保障在管理應(yīng)用中的安全有效性，尤其是國家審計(jì)環(huán)節(jié)中的涉密文件，因其本身所具有的嚴(yán)肅性和影響性，在這樣的基本認(rèn)知下，就需要從根本實(shí)際現(xiàn)狀出發(fā)開展有效的安全防護(hù)工作以及相應(yīng)的運(yùn)維服務(wù)體系的完善和建設(shè)，以保障國家審計(jì)信息的整體安全性。

篇4

2006年至2009年四年間,聯(lián)想網(wǎng)御的年銷售收入復(fù)合增長率大于50%,遠(yuǎn)高于業(yè)內(nèi)平均水平。2009年,聯(lián)想網(wǎng)御更是龍門一躍,不僅拿下了標(biāo)的近億元的中國信息安全產(chǎn)業(yè)十年第一大單,讓銷售額再創(chuàng)歷史新高,而且在技術(shù)研發(fā)、人才儲(chǔ)備、服務(wù)體系建設(shè)等方面完成了從量變到質(zhì)變的突破,為后續(xù)發(fā)展夯實(shí)了基礎(chǔ)。

創(chuàng)造客戶價(jià)值

管理大師德魯克曾經(jīng)說過,企業(yè)的唯一使命是創(chuàng)造客戶。劉科全認(rèn)為,隨著信息化建設(shè)的不斷深入,信息技術(shù)與物理世界正在不斷融為一體,信息安全的需求日益務(wù)實(shí)、復(fù)雜,只提供標(biāo)準(zhǔn)化產(chǎn)品的傳統(tǒng)做法已經(jīng)不能滿足要求了?；诖?聯(lián)想網(wǎng)御提出了新的經(jīng)營理念,即關(guān)注客戶需求,把為客戶創(chuàng)造價(jià)值作為自己一切經(jīng)營行為的指南。聯(lián)想網(wǎng)御堅(jiān)信這種改變符合信息化發(fā)展的要求,是服務(wù)經(jīng)濟(jì)在信息安全領(lǐng)域的體現(xiàn)。聯(lián)想網(wǎng)御稱這一體現(xiàn)為信息安全新價(jià)值。

“我們要做信息安全新價(jià)值時(shí)代的引領(lǐng)者。或者說,我們正在引領(lǐng)國內(nèi)信息安全產(chǎn)業(yè)進(jìn)入新價(jià)值時(shí)代。”劉科全對(duì)記者說:我們始終強(qiáng)調(diào)科技應(yīng)當(dāng)以人為本,強(qiáng)調(diào)以為客戶創(chuàng)造價(jià)值為目標(biāo)?！罢l的技術(shù)最強(qiáng),應(yīng)該看它是否為客戶創(chuàng)造出了最多的價(jià)值?！?/p>

基于上述經(jīng)營理念,自2006年起,聯(lián)想網(wǎng)御就制定了具有前瞻性的發(fā)展戰(zhàn)略:信息安全藍(lán)海戰(zhàn)略。該戰(zhàn)略強(qiáng)調(diào)把技術(shù)創(chuàng)新轉(zhuǎn)化為價(jià)值創(chuàng)新,將企業(yè)自身的發(fā)展與用戶的價(jià)值創(chuàng)新統(tǒng)一起來,以為用戶創(chuàng)造更高安全價(jià)值來推動(dòng)聯(lián)想網(wǎng)御的發(fā)展。

為了保證這一戰(zhàn)略的實(shí)施,自2007年起,聯(lián)想網(wǎng)御開始在應(yīng)用技術(shù)研發(fā)、人才儲(chǔ)備、服務(wù)體系建設(shè)等方面進(jìn)行全面布局,并推出了一系列旨在轉(zhuǎn)變經(jīng)營機(jī)制的策略。這些策略讓聯(lián)想網(wǎng)御在“信息安全新價(jià)值時(shí)代”駛?cè)氚l(fā)展快車道的今天獲得了先機(jī)。

劉科全認(rèn)為,只有貼近用戶,提供全方位服務(wù)才能最終為用戶創(chuàng)造價(jià)值。幾年來,聯(lián)想網(wǎng)御在全國各省不斷擴(kuò)大辦事處規(guī)模,建立起了覆蓋全國的完善的售后服務(wù)體系,可以為用戶提供7×24小時(shí)的全天候服務(wù)。服務(wù)體系的完善不僅縮短了聯(lián)想網(wǎng)御的客戶響應(yīng)時(shí)間,解除了客戶的后顧之憂,而且還提高了聯(lián)想網(wǎng)御的項(xiàng)目實(shí)施速度,降低了客戶的交易成本,從而為客戶創(chuàng)造了更多的價(jià)值。

戰(zhàn)略中的技術(shù)路徑

在核心技術(shù)創(chuàng)新方面,2007年,聯(lián)想網(wǎng)御推出蘊(yùn)含著全新技術(shù)理念的下一代安全架構(gòu),面向IT基礎(chǔ)架構(gòu)安全,面向應(yīng)用與數(shù)據(jù)安全,面向管理與流程安全,布局核心技術(shù)與解決方案,計(jì)劃形成從邊界安全到全網(wǎng)安全、從平臺(tái)安全到應(yīng)用安全、從安全止損到安全增值的整體解決方案,從而繪制出了信息安全新價(jià)值時(shí)代的技術(shù)發(fā)展路線圖。

劉科全說:“我們在核心技術(shù)創(chuàng)新方面取得了以VSP通用安全平臺(tái)、USE統(tǒng)一威脅引擎、TSA可信安全接入、ASE應(yīng)用安全監(jiān)控為代表的重大技術(shù)創(chuàng)新成果,推出了一系列針對(duì)客戶需求、能為客戶創(chuàng)造價(jià)值的產(chǎn)品和解決方案?！?/p>

篇5

[關(guān)鍵詞]電子政務(wù) 安全體系 技術(shù)體系 管理體系 服務(wù)體系

[中圖分類號(hào)]TP393.08[文獻(xiàn)標(biāo)識(shí)碼]A[文章編號(hào)]1009-5349(2010)06-0118-02

電子政務(wù)是指政府運(yùn)用現(xiàn)代計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù),實(shí)現(xiàn)其公共管理和服務(wù)職能的數(shù)字化和網(wǎng)絡(luò)化,重組優(yōu)化政府組織結(jié)構(gòu)和工作流程,向社會(huì)提供高效優(yōu)質(zhì)、規(guī)范透明和全方位的管理與服務(wù)。它使得政府事務(wù)變得公開、高效、透明、廉潔和信息共享。但是由于網(wǎng)絡(luò)的開放性和公開化,電子政務(wù)系統(tǒng)安全問題日益突出和嚴(yán)重,影響了電子政務(wù)信息系統(tǒng)功能的發(fā)揮,甚至對(duì)政府部門和社會(huì)公眾產(chǎn)生危害,嚴(yán)重的還將對(duì)國家信息安全乃至國家安全產(chǎn)生威脅。

一、電子政務(wù)系統(tǒng)面臨多層次的安全威脅

(一)物理層安全威脅

這個(gè)層次面臨的安全威脅主要包括有:設(shè)備的被盜、惡意破壞、線路截獲監(jiān)聽、電磁干擾、電源掉線以及設(shè)備的損壞等。這些都對(duì)整個(gè)網(wǎng)絡(luò)的基礎(chǔ)設(shè)備及上層的各種應(yīng)用有著嚴(yán)重的安全威脅。

(二)網(wǎng)絡(luò)層安全威脅

網(wǎng)絡(luò)層是網(wǎng)絡(luò)入侵者進(jìn)攻信息系統(tǒng)的渠道和通路,許多安全問題都集中體現(xiàn)在網(wǎng)絡(luò)的安全方面。大型網(wǎng)絡(luò)系統(tǒng)內(nèi)運(yùn)行的TCP\IP協(xié)議并非專為安全通訊而設(shè)計(jì),所以網(wǎng)絡(luò)系統(tǒng)存在大量安全隱患和威脅。

(三)系統(tǒng)層安全威脅

系統(tǒng)層的安全威脅主要是操作系統(tǒng)平臺(tái)的安全威脅。由于現(xiàn)代操作系統(tǒng)的代碼龐大,從而在不同程度上都存在一些安全漏洞。操作系統(tǒng)自身的脆弱性將直接影響到其上所有的應(yīng)用系統(tǒng)的安全性。

(四)應(yīng)用層安全威脅

應(yīng)用層安全是指用戶在網(wǎng)絡(luò)上的應(yīng)用系統(tǒng)的安全,包括郵件系統(tǒng)、WEB、DNS以及各種業(yè)務(wù)系統(tǒng)等。雖然應(yīng)用系統(tǒng)復(fù)雜多樣,但都存在一些廣為人知的漏洞,容易被人作為攻擊的切入點(diǎn)。

(五)管理層安全威脅

其威脅包括:沒有完善的網(wǎng)絡(luò)與安全人員管理制度;沒有定期對(duì)現(xiàn)有的操作管理人員進(jìn)行安全培訓(xùn);網(wǎng)絡(luò)或安全設(shè)備的登陸密碼安全策略強(qiáng)度不符合要求;沒有及時(shí)獲知安全狀態(tài)及最新安全漏洞的途徑;對(duì)于可能出現(xiàn)的安全問題,沒有一套完整的處理流程。

二、電子政務(wù)系統(tǒng)安全體系框架

電子政務(wù)系統(tǒng)的安全體系框架是針對(duì)電子政務(wù)系統(tǒng)面臨的五個(gè)層面安全威脅分析進(jìn)行設(shè)計(jì)的,是對(duì)電子政務(wù)系統(tǒng)提供保護(hù)的整體策略集合,包括:運(yùn)行管理安全、物理環(huán)境保障、數(shù)據(jù)安全、資源可信和網(wǎng)絡(luò)及系統(tǒng)安全五個(gè)層面的內(nèi)容,其體系框架如圖2.1所示。安全體系框架在物理環(huán)境安全的保障下,提供數(shù)據(jù)安全、資源可信和網(wǎng)絡(luò)及系統(tǒng)安全三大類安全支撐,確保用戶環(huán)境、應(yīng)用與數(shù)據(jù)環(huán)境和網(wǎng)絡(luò)基礎(chǔ)環(huán)境的安全,同時(shí)運(yùn)行管理安全貫穿其中,共同為電子政務(wù)系統(tǒng)提供多級(jí)別、多層面的保護(hù)。

三、電子政務(wù)系統(tǒng)安全域的劃分

安全域的規(guī)劃是通過對(duì)業(yè)務(wù)資源的分析,確定其保護(hù)的范圍和等級(jí),并采取相應(yīng)的保護(hù)措施,主要包括安全定級(jí)、安全域劃分和安全策略配置三部分內(nèi)容。

(一)安全定級(jí)

電子政務(wù)系統(tǒng)的安全定級(jí)是指定制電子政務(wù)系統(tǒng)的安全等級(jí),根據(jù)電子政務(wù)系統(tǒng)在國家安全、社會(huì)穩(wěn)定和保護(hù)公共利益等方面的重要程度,結(jié)合系統(tǒng)面臨的風(fēng)險(xiǎn)等因素,將其劃分成不同的安全等級(jí),采取相應(yīng)的安全措施,保障安全。

(二)安全域的劃分

安全域劃分是指從安全的角度出發(fā),對(duì)電子政務(wù)系統(tǒng)進(jìn)行結(jié)構(gòu)化的分解,劃分成為不同類別的保護(hù)對(duì)象,形成不同的安全區(qū)域,保證網(wǎng)絡(luò)中用戶的可信、設(shè)備的可信和服務(wù)的可信,并以可管為目的實(shí)現(xiàn)多個(gè)安全域之間的互聯(lián)互通和業(yè)務(wù)協(xié)同。

(三)安全策略配置

根據(jù)安全體系框架和安全定級(jí)、安全域劃分,來為電子政務(wù)系統(tǒng)各安全域配置安全策略,如全國信息系統(tǒng)的安全策略配置如下:網(wǎng)絡(luò)接入?yún)^(qū):采用數(shù)據(jù)可信傳輸、邊界防御、實(shí)時(shí)監(jiān)控等措施,防止非法用戶和非法數(shù)據(jù)進(jìn)入網(wǎng)絡(luò);業(yè)務(wù)數(shù)據(jù)區(qū):采用信息保密、注冊鑒權(quán)、強(qiáng)身份認(rèn)證、訪問控制和病毒防護(hù)等措施,保護(hù)數(shù)據(jù)和應(yīng)用的安全;安全服務(wù)區(qū):采用符合國家規(guī)定的機(jī)房物理保護(hù)措施。

四、電子政務(wù)系統(tǒng)安全技術(shù)體系設(shè)計(jì)

電子政務(wù)系統(tǒng)安全技術(shù)體系由安全支撐平臺(tái)和安全應(yīng)用支撐平臺(tái)兩部分構(gòu)成。安全支撐平臺(tái)以密碼技術(shù)為基礎(chǔ),為安全應(yīng)用支撐平臺(tái)和電子政務(wù)系統(tǒng)提供信息保護(hù)、身份認(rèn)證、訪問控制等安全服務(wù)。安全應(yīng)用支撐平臺(tái)以呼叫控制、業(yè)務(wù)控制、媒體控制和業(yè)務(wù)管理為主要內(nèi)容,為電子政務(wù)系統(tǒng)提供可信的呼叫控制、應(yīng)用整合、媒體控制和資源管理等應(yīng)用支撐服務(wù),并以用戶為中心提供基本網(wǎng)絡(luò)業(yè)務(wù)服務(wù)。

五、電子政務(wù)系統(tǒng)安全管理體系設(shè)計(jì)

在電子政務(wù)系統(tǒng)中,僅僅靠技術(shù)手段難以防范所有的安全隱患,還需要建立相應(yīng)的安全管理體系。安全管理體系主要包括有安全策略、安全組織和安全制度。

(一)安全策略

安全策略是管理體系的靈魂,要做到全面、靈活使用,必須在對(duì)信息系統(tǒng)進(jìn)行全面細(xì)致的調(diào)查、評(píng)估之后,結(jié)合電子政務(wù)的業(yè)務(wù)流程,制定出符合實(shí)際情況的安全策略體系。安全策略體系包括安全方針、主策略和子策略和電子政務(wù)系統(tǒng)日常管理所需要的制度。

(二)安全組織

為保障電子政務(wù)系統(tǒng)信息的安全,需要在條件合適的時(shí)候建立合適的安全管理組織框架,以保證在組織內(nèi)部開展和控制信息安全的實(shí)施。建立具有管理權(quán)的適當(dāng)?shù)男畔踩芾砦瘑T會(huì)來批準(zhǔn)信息安全方針、分配安全職責(zé)并協(xié)調(diào)組織內(nèi)部信息安全的實(shí)施。如有必要,應(yīng)在組織內(nèi)建立提供信息安全建議的專家小組并使其有效。

(三)安全制度

電子政務(wù)系統(tǒng)是一個(gè)安全性要求非常高的系統(tǒng),所以安全制度要求也很嚴(yán)格。必須由管理層制定切實(shí)可行的日常安全保密制度、審計(jì)制度、機(jī)房管理、操作規(guī)程管理、系統(tǒng)維護(hù)管理等,明確定義日常安全審計(jì)的例行制度、實(shí)施日程安排與計(jì)劃、報(bào)告的形式及內(nèi)容、達(dá)到的目標(biāo)等。

六、電子政務(wù)系統(tǒng)安全服務(wù)體系設(shè)計(jì)

電子政務(wù)安全服務(wù)體系設(shè)計(jì)強(qiáng)調(diào)以“安全人”為核心,包括以下安全服務(wù)內(nèi)容:

(一)安全評(píng)估審計(jì)服務(wù)。定期檢查電子政務(wù)信息系統(tǒng)的安全現(xiàn)狀,以便動(dòng)態(tài)地調(diào)整安全防護(hù)策略。

(二)安全增強(qiáng)加固服務(wù)。主要是針對(duì)安全狀況的動(dòng)態(tài)變化,及時(shí)彌補(bǔ)最新出現(xiàn)的各類安全漏洞、安全隱患。

(三)安全信息通告服務(wù)。通過郵件、WEB網(wǎng)站或電話等方式,為電子政務(wù)信息系統(tǒng)提供及時(shí)的、有針對(duì)性的各類安全信息,幫助信息系統(tǒng)維護(hù)人員及時(shí)了解最新安全動(dòng)態(tài)。

(四)安全應(yīng)急響應(yīng)服務(wù)。針對(duì)電子政務(wù)信息系統(tǒng)隨機(jī)出現(xiàn)的重大、疑難安全故障進(jìn)行及時(shí)的專家安全響應(yīng)和恢復(fù),提高信息系統(tǒng)應(yīng)對(duì)重大安全事故的能力,保障系統(tǒng)各業(yè)務(wù)網(wǎng)絡(luò)的業(yè)務(wù)連續(xù)性。

(五)專業(yè)安全培訓(xùn)服務(wù)。電子政務(wù)信息系統(tǒng)的長期安全保障必須依賴各類人員的安全技能和安全意識(shí)水平的提高,進(jìn)行專業(yè)安全培訓(xùn)是提高安全技能和安全意識(shí)水平的最佳方式之一。

七、總結(jié)

電子政務(wù)系統(tǒng)的安全目標(biāo)是保護(hù)政務(wù)信息資源價(jià)值不受侵犯,保證信息資產(chǎn)的擁有者面臨最小的風(fēng)險(xiǎn)和獲取最大的安全利益,使政務(wù)的信息基礎(chǔ)設(shè)施、信息應(yīng)用服務(wù)和信息內(nèi)容為抵御上述威脅而具有保密性、完整性和不可否認(rèn)性的能力。因此本文從全局來構(gòu)建電子政務(wù)安全保障的體系框架,以保證電子政務(wù)的健康發(fā)展。

【參考文獻(xiàn)】

[1]王東霞,趙剛.安全體系結(jié)構(gòu)與安全標(biāo)準(zhǔn)體系[J].計(jì)算機(jī)工程與應(yīng)用,2005(8).

[2]電子政務(wù)安全問題.省略/news/getnews-content.action.

篇6

關(guān)鍵詞：電子政務(wù)；信息安全；體系管理

中圖分類號(hào)：TP309 文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1007-9599 (2011) 20-0000-01

E-government Information Security Management System Construction

Chen Jisheng,Xu Yunpeng

(Shandong Jining Information Center,Jining272017,China)

Abstract:E-government electronic and information technology and management as a combination,just like modern information technology has become the most important areas.It is precisely because of its importance,its information security is to be ignored.This will be its information security management needs analysis,security threats in a bid to build their management and security system to give a systematic exposition.

Keywords:E-government;Information security;System management

所謂電子政務(wù)信息安全管理體系就是依據(jù)電子政務(wù)安全需求，安全威脅來源而建立起來的有效防治安全威脅、保證電子政務(wù)安全有序運(yùn)行的保障體系。因此要構(gòu)建一個(gè)完備的電子政務(wù)安全管理體系就必須對(duì)安全威脅有清楚的認(rèn)識(shí)并加之行之有效的管理。

一、電子政務(wù)系統(tǒng)安全需求分析

電子政務(wù)涉及國家秘密信息和高敏感度核心政務(wù)，因此有嚴(yán)格的安全要求。如嚴(yán)格的保密要求，信息準(zhǔn)確交換的要求，嚴(yán)格的權(quán)限管理要求，嚴(yán)格的程序和流程要求。電子政務(wù)內(nèi)部信息網(wǎng)站有著大量高度機(jī)密的數(shù)據(jù)和信息，直接涉及政府的核心政務(wù)，它關(guān)系到政府部門、各大系統(tǒng)乃至整個(gè)國家的利益，有的甚至涉及國家安全。因此，電子政務(wù)信息安全是制約電子政務(wù)建設(shè)與發(fā)展的首要問題和核心問題，是電子政務(wù)的職能與優(yōu)勢得以實(shí)現(xiàn)的根本前提。如果電子政務(wù)信息安全得不到保障，不僅電子政務(wù)的便利與效率無從保證，更會(huì)給國家利益帶來嚴(yán)重威脅。

二、電子政務(wù)信息安全威脅

電子政務(wù)信息安全威脅主要來自兩個(gè)方面，一是信息安全技術(shù)層面，主要是物理安全威脅，網(wǎng)絡(luò)基礎(chǔ)平臺(tái)安全威脅，信息資源層安全威脅，業(yè)務(wù)應(yīng)用層安全威脅等。物理安全威脅主要是物理通路的損壞、物理通路的竊聽、對(duì)物理通路的攻擊。網(wǎng)絡(luò)基礎(chǔ)平臺(tái)的安全威脅是非法用戶與非授權(quán)客戶的突發(fā)使用，造成網(wǎng)絡(luò)路由錯(cuò)誤，信息被攔截或監(jiān)聽。而信息資源層安全威脅是主要安全問題，要求保證客戶資料、操作系統(tǒng)訪問控制的安全，同時(shí)能夠?qū)υ谠摬僮飨到y(tǒng)上的應(yīng)用進(jìn)行審計(jì)。業(yè)務(wù)應(yīng)用層安全也很容易受到攻擊，應(yīng)用系統(tǒng)直接面向最終用戶，其安全問題最多，包括規(guī)范化操作、合法性使用、系統(tǒng)本身安全漏洞、信息泄露等。二是安全管理方面，也是整個(gè)系統(tǒng)的關(guān)鍵。通常存在的管理問題包括管理組織、管理規(guī)范、技術(shù)管理、日常管理等。管理組織不完善、管理規(guī)范未建立、技術(shù)管理不到位、日常管理幾乎空白等。

由于電子政務(wù)對(duì)過度開放的網(wǎng)絡(luò)的高度依賴，以及當(dāng)今電子政務(wù)安全技術(shù)的缺陷導(dǎo)致電子政務(wù)存在來自各方面的安全威脅。因?yàn)殡娮诱?wù)是建立在基于互聯(lián)網(wǎng)的網(wǎng)絡(luò)平臺(tái)上，而互聯(lián)網(wǎng)是一個(gè)缺少安全管理的開放性平臺(tái)，安全隱患特別多，給予網(wǎng)絡(luò)黑客或不法分子可乘之機(jī)。對(duì)電子政務(wù)的安全威脅還包括網(wǎng)上犯罪、病毒泛濫和蔓延，信息間諜的潛入和竊密，網(wǎng)絡(luò)恐怖集團(tuán)的攻擊和破壞，網(wǎng)絡(luò)系統(tǒng)的脆弱和癱瘓，信息安全產(chǎn)品的失控以及信息安全技術(shù)層面的滯后等。

三、構(gòu)建電子政務(wù)信息安全管理體系

根據(jù)上述的需求以及各方面威脅的來源就可以有針對(duì)性的建立起電子政務(wù)信息安全管理體系，從而使政務(wù)的信息基礎(chǔ)設(shè)施、信息應(yīng)用服務(wù)能夠具有保密性、完整性、真實(shí)性和可用性。電子政務(wù)信息安全管理體系包括技術(shù)保障體系、管理運(yùn)營體系、服務(wù)保障體系和基礎(chǔ)設(shè)施平臺(tái)。

（一）構(gòu)建技術(shù)保障體系。由于電子政務(wù)的國家性，電子政務(wù)系統(tǒng)工程的安全保障需要各種有自主知識(shí)產(chǎn)權(quán)的信息安全技術(shù)和產(chǎn)品，全面推動(dòng)自主研發(fā)和創(chuàng)新這些技術(shù)和產(chǎn)品是電子政務(wù)安全的需要。核心技術(shù)的研發(fā)可以保證在安全保衛(wèi)戰(zhàn)上的主動(dòng)性。這些核心技術(shù)主要包括數(shù)據(jù)加密技術(shù)、信息隱藏技術(shù)和信息認(rèn)證技術(shù)。鑒于現(xiàn)今我國技術(shù)水平落后，各地政府部門所用的信息平臺(tái)大多屬于國外技術(shù)產(chǎn)品，這更加加大的信息安全的風(fēng)險(xiǎn)。因此加快技術(shù)研發(fā)、技術(shù)產(chǎn)品化及產(chǎn)業(yè)化迫在眉睫。

（二）構(gòu)建管理運(yùn)營體系。有了行之有效的技術(shù)保障體系后最主要的問題就是管理的跟進(jìn)啦，構(gòu)建安全管理系統(tǒng)是電子政務(wù)安全進(jìn)行的重要基礎(chǔ)。從管理體制上落實(shí)安全責(zé)任制，建立完備的信息安全管理和認(rèn)證機(jī)制。安全管理系統(tǒng)主要包括安全組織，安全策略和制度，安全評(píng)估和安全審計(jì)等。

1.安全組織。建立安全決策組織、安全指導(dǎo)小組、安全專家小組、安全領(lǐng)導(dǎo)小組，建立網(wǎng)絡(luò)日常管理機(jī)構(gòu)，建立維護(hù)單元等。只有建設(shè)一個(gè)國家到省市縱向和橫向各部委、廳局架構(gòu)的安全管理組織，才能真正實(shí)現(xiàn)全面的安全等級(jí)保護(hù)。

2.安全策略和制度。安全的政策和制度也是整個(gè)系統(tǒng)的關(guān)鍵部分，電子政務(wù)的安全運(yùn)行必須以法律法規(guī)形式加以保障。通過加大執(zhí)法力度，嚴(yán)格執(zhí)法限制安全威脅。

3.安全評(píng)估。安全評(píng)估主要是分析潛在威脅，威脅嚴(yán)重程度，可能造成的后果，系統(tǒng)應(yīng)對(duì)的安全措施等。

4.安全審計(jì)。在上述各項(xiàng)的基礎(chǔ)上同時(shí)還要定期對(duì)各項(xiàng)安全舉措執(zhí)行情況進(jìn)行達(dá)標(biāo)審查。檢查體系運(yùn)行情況，并做出下一步工作方向。

（三）建立穩(wěn)定的服務(wù)保障體系。電子政務(wù)發(fā)展進(jìn)入了以服務(wù)對(duì)象為中心的新階段，服務(wù)是電子政務(wù)的出發(fā)點(diǎn)和落腳點(diǎn)，建立安全穩(wěn)定的服務(wù)保障體系則是提供可持續(xù)服務(wù)的基礎(chǔ)。其服務(wù)對(duì)象是就是最廣大的人民大眾，基數(shù)龐大，且利益重、影響大，更加大了服務(wù)保障的挑戰(zhàn)性。而現(xiàn)階段我國電子政務(wù)建設(shè)中存在的問題都與缺乏服務(wù)密切相關(guān)。包括重建設(shè)輕應(yīng)用；重內(nèi)部網(wǎng)絡(luò)，輕門戶窗口；重投入輕維護(hù)；重部門建設(shè)，輕跨部門合作；對(duì)公眾服務(wù)創(chuàng)新較弱等等。歸根結(jié)底是沒有樹立起以公眾為中心的的服務(wù)意識(shí)、態(tài)度和能力。對(duì)于服務(wù)體系要進(jìn)行嚴(yán)格的劃分。按服務(wù)對(duì)象可分為面向公眾的服務(wù)、面向企業(yè)的服務(wù)、面向組織和部門的服務(wù)。按服務(wù)內(nèi)容的層次又可以劃分為基礎(chǔ)、創(chuàng)新和個(gè)性化服務(wù)等，依據(jù)各種類劃分嚴(yán)格建立體系相應(yīng)機(jī)構(gòu)。

參考文獻(xiàn)：

[1]翟亞紅.淺析信息安全風(fēng)險(xiǎn)評(píng)估與等級(jí)保護(hù)的關(guān)系[J].信息安全與通信保密,2011,4

[2]趙章界,李晨D,劉海峰.信息安全策略開發(fā)的關(guān)鍵問題研究[J].信息網(wǎng)絡(luò)安全,2011,3

篇7

【關(guān)鍵詞】區(qū)域信息化；運(yùn)轉(zhuǎn)機(jī)制；融資渠道；信息化人才

黨的十明確提出要“堅(jiān)持走中國特色新型工業(yè)化、信息化、城鎮(zhèn)化、農(nóng)業(yè)現(xiàn)代化道路”，并特別提出要大力推進(jìn)信息化和工業(yè)化深度融合、工業(yè)化和城鎮(zhèn)化良性互動(dòng)、城鎮(zhèn)化和農(nóng)業(yè)現(xiàn)代化相互協(xié)調(diào)，促進(jìn)工業(yè)化、信息化、城鎮(zhèn)化、農(nóng)業(yè)現(xiàn)代化同步發(fā)展。面對(duì)日益嚴(yán)峻的資源、能源和環(huán)境壓力，加快區(qū)域信息化建設(shè)已經(jīng)迫在眉睫。

一、建立信息化管理體系，完善信息化運(yùn)轉(zhuǎn)機(jī)制

根據(jù)信息化的發(fā)展需要，成立區(qū)域信息化領(lǐng)導(dǎo)小組，進(jìn)一步加強(qiáng)對(duì)信息化建設(shè)與應(yīng)用工作的指導(dǎo)和協(xié)調(diào)。同時(shí)，要成立相應(yīng)的區(qū)域信息中心，并在政策、人員、經(jīng)費(fèi)等方面給予保證。組織制定統(tǒng)一的信息化發(fā)展規(guī)劃，制定切實(shí)可行的實(shí)施方案；制訂信息化法規(guī)，建立信息市場準(zhǔn)入制度和交易準(zhǔn)則；制定統(tǒng)一的信息化技術(shù)標(biāo)準(zhǔn)，防止各自為政，盲目建設(shè)等行為，反對(duì)信息壟斷等。

堅(jiān)持信息化工作統(tǒng)一規(guī)劃、統(tǒng)一領(lǐng)導(dǎo)、統(tǒng)一管理的原則。政府信息中心與各相關(guān)部門協(xié)調(diào)一致，充分行使對(duì)信息化建設(shè)的指導(dǎo)、組織、管理和協(xié)調(diào)職能，做到有機(jī)構(gòu)、有人員、有經(jīng)費(fèi)。成立區(qū)域信息化專家咨詢小組，充分發(fā)揮專家在制定發(fā)展規(guī)劃以及在重大項(xiàng)目措施中的咨詢作用。每年召開區(qū)域信息化工作會(huì)議，總結(jié)部署工作。把信息化工作作為考核各部門主要領(lǐng)導(dǎo)工作實(shí)績的重要內(nèi)容，納入目標(biāo)考核。

二、優(yōu)化信息化政策環(huán)境，拓展信息化融資渠道

研究、制定和完善與信息化發(fā)展需要相適應(yīng)的產(chǎn)業(yè)政策、投資融資政策、消費(fèi)政策、吸引和激勵(lì)人才政策、分配政策以及其他有關(guān)政策。優(yōu)化信息產(chǎn)業(yè)發(fā)展環(huán)境、信息技術(shù)應(yīng)用環(huán)境、信息文化傳播環(huán)境和信息人才培養(yǎng)環(huán)境，促進(jìn)各行各業(yè)的信息化應(yīng)用和信息產(chǎn)業(yè)快速、持續(xù)、健康發(fā)展。支持相關(guān)企業(yè)的發(fā)展，將從事信息技術(shù)、信息設(shè)備制造、信息資源開發(fā)、集成、運(yùn)營和信息服務(wù)的企業(yè)納入高新技術(shù)企業(yè)，享受工業(yè)園區(qū)的優(yōu)惠政策。

根據(jù)省、市、縣有關(guān)信息化建設(shè)項(xiàng)目管理要求，將信息化基礎(chǔ)建設(shè)措施和網(wǎng)絡(luò)建設(shè)列入?yún)^(qū)域基本建設(shè)投資計(jì)劃，同時(shí)鼓勵(lì)、支持企業(yè)和社會(huì)公共服務(wù)部門投資自身的信息化建設(shè)，形成以政府為先導(dǎo)的多元化投資體系，利用政府投資帶動(dòng)社會(huì)投資，實(shí)現(xiàn)向投資主體多元化、投資方式多樣化的轉(zhuǎn)變。

三、構(gòu)建信息化籌資體系，提高信息化投資效益

根據(jù)經(jīng)濟(jì)學(xué)有關(guān)公共物品的基本原理，建立多元化投資體系勢在必行。一般信息化系統(tǒng)有三類產(chǎn)品或服務(wù)：一是純公共產(chǎn)品，如電子政務(wù)系統(tǒng)（如市、縣區(qū)、鄉(xiāng)鎮(zhèn)三級(jí)信息網(wǎng)站，公共場所設(shè)立的生活用品市場行情電子顯示屏，基礎(chǔ)數(shù)據(jù)庫，公共信息基礎(chǔ)設(shè)施等），這些都是為了滿足公共需要而設(shè)立，具有公益性特征，應(yīng)當(dāng)由政府投資興建或提供；二是私人產(chǎn)品（如居民購置的電腦、網(wǎng)絡(luò)終端，部分電子商務(wù)功能的使用等），這些屬于私人專用物品，具有排它性特征，應(yīng)該由私人投資或由市場提供；三是準(zhǔn)公共產(chǎn)品（例如大中專教育信息化系統(tǒng)、醫(yī)療衛(wèi)生信息化系統(tǒng)等），這部分產(chǎn)品與服務(wù)介于純公共產(chǎn)品與私人產(chǎn)品之間，可由政府與市場共同投資興建或提供。因此，必須根據(jù)信息化產(chǎn)品的性質(zhì)或?qū)傩?，建立政府或?cái)政投資、民間集資、引進(jìn)外資及其相結(jié)合的投資體系，以確保信息化持續(xù)、快速發(fā)展。

四、加強(qiáng)信息化服務(wù)體系，保障信息化安全建設(shè)

信息化服務(wù)體系縱向上與多個(gè)行政層次緊密相連，在橫向上涉及科技、農(nóng)業(yè)、林業(yè)、水利、氣象、環(huán)保等多個(gè)行業(yè)，其服務(wù)對(duì)象涵蓋所有管轄的居民。通信運(yùn)營商、廣電部門、應(yīng)用終端設(shè)備提供商、以及應(yīng)用系統(tǒng)開發(fā)商要結(jié)合農(nóng)村分布范圍比較廣的特點(diǎn)，合理建設(shè)運(yùn)營維護(hù)服務(wù)網(wǎng)點(diǎn)，明確運(yùn)營維護(hù)方式和運(yùn)營維護(hù)反應(yīng)時(shí)間，提供方便、快捷的保障服務(wù)，確保固話、網(wǎng)絡(luò)、數(shù)字寬帶網(wǎng)絡(luò)、無線通信網(wǎng)絡(luò)、廣播電視網(wǎng)絡(luò)的暢通和穩(wěn)定，確保網(wǎng)絡(luò)通信、應(yīng)用終端設(shè)備和應(yīng)用系統(tǒng)出現(xiàn)問題時(shí)能及時(shí)反應(yīng)服務(wù)，確保群眾提出業(yè)務(wù)服務(wù)變化時(shí)能及時(shí)受理；同時(shí)，采取有效安全防護(hù)措施，提高對(duì)垃圾郵件、網(wǎng)絡(luò)欺詐、手機(jī)和短信陷阱等不良信息的防范能力。

認(rèn)真貫徹國家有關(guān)信息安全保密的規(guī)定，遵守“誰、誰負(fù)責(zé)”的原則，建立健全信息安全保密體系。抓好信息安全教育和崗位培訓(xùn)，提高全社會(huì)的信息安全意識(shí)。加強(qiáng)網(wǎng)上資源的安全保護(hù)，積極應(yīng)用信息與網(wǎng)絡(luò)的加密、識(shí)別、過濾、控制和抗干擾等安全技術(shù)和產(chǎn)品，加強(qiáng)對(duì)信息網(wǎng)絡(luò)工程及網(wǎng)絡(luò)安全的檢查，增強(qiáng)信息網(wǎng)絡(luò)的安全性。進(jìn)一步加強(qiáng)安全制度體系建設(shè)，形成有力的安全保障機(jī)制，保障網(wǎng)絡(luò)運(yùn)行安全可靠。

五、加強(qiáng)信息化宣傳培訓(xùn)，建設(shè)信息化人才隊(duì)伍

充分利用大專院校、科研院所技術(shù)和人才集中的優(yōu)勢，分期分批選派信息人員到有關(guān)單位進(jìn)行委托培訓(xùn)，尤其要注重培養(yǎng)高層次、復(fù)合型的信息化人才。加強(qiáng)信息管理人員的業(yè)務(wù)培訓(xùn)，重點(diǎn)搞好信息化基礎(chǔ)知識(shí)和網(wǎng)絡(luò)與數(shù)據(jù)庫認(rèn)證培訓(xùn)，提高信息化管理隊(duì)伍整體素質(zhì)。發(fā)掘多渠道培訓(xùn)的潛力，為信息化建設(shè)培育各種層面的人才隊(duì)伍。創(chuàng)造條件，吸引信息化方面的專業(yè)技術(shù)人員，特別是高級(jí)技術(shù)人才參與信息化建設(shè)，為提高區(qū)域信息化水平提供人才保證。

廣泛開展信息化知識(shí)宣傳教育。充分利用新聞出版、廣播、電視、報(bào)刊、政務(wù)網(wǎng)點(diǎn)媒體，宣傳信息化知識(shí)，報(bào)道區(qū)域信息化工作動(dòng)態(tài)，營造加強(qiáng)信息化發(fā)展的輿論氛圍，提高全民信息化意識(shí)。

【參考文獻(xiàn)】

[1]張林.系統(tǒng)視角下的區(qū)域規(guī)劃范式研究[J].人文地理，2011（03）.

篇8

2014年，全區(qū)行政村光纖實(shí)現(xiàn)全覆蓋，電信共10908戶，其中光纖入戶達(dá)到2980戶。我局積極推進(jìn)信息基礎(chǔ)設(shè)施建設(shè)升級(jí)，截止目前電信3G基站45個(gè)，4G基站5個(gè)，2014年新建基站11個(gè)。電信部門根據(jù)不同用戶提供不同的帶寬，以提高客戶體驗(yàn)為中心，建立內(nèi)部運(yùn)營服務(wù)體系以及相應(yīng)的服務(wù)體系標(biāo)準(zhǔn)化，滿足客戶的整體服務(wù)需求，不存在市場準(zhǔn)入門檻設(shè)立情況。

4G基站建設(shè)和三網(wǎng)融合是現(xiàn)階段重點(diǎn)工作，旨在全力打造“智慧城市”、“幸福新農(nóng)村”。將電話、電視、寬帶網(wǎng)互聯(lián)互通、資源共享，能為用戶提供語音、數(shù)據(jù)和廣播電視等多種服務(wù)。目前三網(wǎng)融合正大力推廣，市人力資源和社會(huì)保障局下屬農(nóng)村勞動(dòng)保障服務(wù)站進(jìn)村為群眾服務(wù)，現(xiàn)場錄入各類信息，上傳下達(dá)各類信息政策。

經(jīng)與財(cái)政、稅務(wù)部門溝通，我區(qū)暫未設(shè)立國家集成電路產(chǎn)業(yè)投資基金，完善高新技術(shù)企業(yè)認(rèn)定管理辦法，落實(shí)企業(yè)研發(fā)費(fèi)用稅前加計(jì)扣除政策等，具體情況請與財(cái)政、稅務(wù)部門聯(lián)系。

二、寬帶發(fā)展規(guī)劃、網(wǎng)絡(luò)設(shè)施，培育信息消費(fèi)需求，構(gòu)建安全可信的信息消費(fèi)環(huán)境基礎(chǔ)，提升信息安全保障能力情況

篇9

關(guān)鍵詞：云平臺(tái)；信息安全；保障；風(fēng)險(xiǎn)評(píng)估

引言

某云服務(wù)平臺(tái)是以云分布式計(jì)算系統(tǒng)為基礎(chǔ)，面向全省打造的云服務(wù)平臺(tái)，實(shí)現(xiàn)大數(shù)據(jù)資源開放、互通、共享。該平臺(tái)的建設(shè)和應(yīng)用將為實(shí)現(xiàn)數(shù)據(jù)應(yīng)用、衍生產(chǎn)業(yè)提供強(qiáng)有力的支撐。該平臺(tái)將搭建電子政務(wù)云、工業(yè)云、電子商務(wù)云、智能交通云、智慧旅游云、食品安全云、環(huán)保云等，稱為“N朵云工程”。從該云平臺(tái)的總體規(guī)劃化上看，包括了公有云、私有云、混合云以及社區(qū)云，應(yīng)用場景和應(yīng)用結(jié)構(gòu)較為復(fù)雜。另一方面，隨著信息化建設(shè)的進(jìn)一步深入，將有更多業(yè)務(wù)納入該云平臺(tái)中，故而信息安全保障工作是一項(xiàng)至關(guān)重要的工作。如果一旦形成數(shù)據(jù)竊取、非法入侵、數(shù)據(jù)丟失等問題，將必將產(chǎn)生重大后果，并釀成重大事故。

1云安全保障工作重點(diǎn)

首先，我們基于云分布式計(jì)算系統(tǒng)的體系結(jié)構(gòu)分析該云平臺(tái)的邏輯結(jié)構(gòu)。我們可以將云分布式計(jì)算系統(tǒng)及其管理的云基礎(chǔ)計(jì)算資源及云基礎(chǔ)存儲(chǔ)資源看成該云平臺(tái)的基礎(chǔ)層，“N朵云工程”的云應(yīng)用及云服務(wù)、云平臺(tái)門戶是構(gòu)建在基礎(chǔ)層之上的應(yīng)用層。同時(shí)還有云資源權(quán)限控制體系及云管理保障服務(wù)體系作為十分重要的保障體系。根據(jù)以上分析，可以看出，從信息安全的角度上講，信息安全保障工作應(yīng)從云基礎(chǔ)安全、云平臺(tái)的云應(yīng)用及云服務(wù)安全、云應(yīng)用及云服務(wù)建設(shè)的標(biāo)準(zhǔn)化和規(guī)范化、云資源權(quán)限控制體系的安全保障、管理保障服務(wù)體系可靠有效等方面進(jìn)行分析。（1）針對(duì)云基礎(chǔ)安全方面，依據(jù)相關(guān)云分布式計(jì)算系統(tǒng)的安全白皮書的相關(guān)內(nèi)容，安全保障重點(diǎn)在于基礎(chǔ)資源的可用性檢查及故障修復(fù)、云操作系統(tǒng)的補(bǔ)丁安裝及版本升級(jí)、云平臺(tái)的邊界安全、接入安全、云基礎(chǔ)平臺(tái)建設(shè)過程監(jiān)理、云分布式計(jì)算系統(tǒng)運(yùn)維服務(wù)支持等方面。（2）針對(duì)該云平臺(tái)云應(yīng)用及云服務(wù)安全方面，需對(duì)基于云基礎(chǔ)平臺(tái)開發(fā)的應(yīng)用的權(quán)限管理、應(yīng)用漏洞掃描、公有云、私有云、混合云以及社區(qū)云的合理使用等內(nèi)容進(jìn)行評(píng)估分析。（3）針對(duì)云資源權(quán)限控制體系的安全保障方面，基于相關(guān)云分布式計(jì)算系統(tǒng)的安全白皮書的相關(guān)內(nèi)容進(jìn)行分析，可看出系統(tǒng)安全性主要通過其復(fù)雜的云資源權(quán)限控制模塊完成，因此針對(duì)云資源權(quán)限控制模塊的用戶及其權(quán)限管理是至關(guān)重要的，重中之重是對(duì)其配置的云資源權(quán)限規(guī)則的審計(jì)和檢查。（4）針對(duì)云應(yīng)用及云服務(wù)建設(shè)的標(biāo)準(zhǔn)化和規(guī)范化方面，需在應(yīng)用設(shè)計(jì)開發(fā)過程中，嚴(yán)格審計(jì)開發(fā)單位的設(shè)計(jì)思路、開發(fā)過程、開發(fā)規(guī)范性檢查，并在應(yīng)用及服務(wù)上線前，引入第三方測試，確保開發(fā)過程中嚴(yán)格按照云分布式計(jì)算系統(tǒng)的開發(fā)作業(yè)標(biāo)準(zhǔn)進(jìn)行，無嚴(yán)重性漏洞，特別是權(quán)限控制和數(shù)據(jù)管理。（5）針對(duì)系統(tǒng)可用性方面，應(yīng)嚴(yán)格監(jiān)控出口帶寬及流量消耗問題、系統(tǒng)故障影響范圍分析、系統(tǒng)故障排除周期分析等內(nèi)容。（6）針對(duì)信息安全保障制度建設(shè)方面，應(yīng)以云分布式計(jì)算系統(tǒng)的基本保障要求及云平臺(tái)自身的信息安全保障要求，構(gòu)建包括人員管理制度、開發(fā)團(tuán)隊(duì)管理制度、運(yùn)維管理制度、基礎(chǔ)配套管理制度、機(jī)房管理制度、云服務(wù)及應(yīng)用開發(fā)規(guī)范、數(shù)據(jù)應(yīng)用及交換申請?jiān)u估制度、云服務(wù)及應(yīng)用完備性測試管理制度、安全事件應(yīng)急指揮制度等在內(nèi)的多項(xiàng)規(guī)章制度建設(shè)制度。并針對(duì)每項(xiàng)制度的執(zhí)行情況做定期監(jiān)督檢查。綜上所述，云基礎(chǔ)平臺(tái)安全檢查及審計(jì)、云平臺(tái)應(yīng)用及服務(wù)、云應(yīng)用及云服務(wù)上線前審查及測試、云資源權(quán)限控制體系的管理、信息安全保障制度建設(shè)及監(jiān)督檢查是該云平臺(tái)信息安全保障工作的重點(diǎn)。

2云安全風(fēng)險(xiǎn)評(píng)估方法

依據(jù)以上分析，可得出云平臺(tái)的信息安全評(píng)估方法。依據(jù)IT基礎(chǔ)資源管理軟件、云操作系統(tǒng)的實(shí)時(shí)監(jiān)控工具等手段對(duì)云基礎(chǔ)設(shè)施進(jìn)行實(shí)時(shí)監(jiān)控，并建立應(yīng)急指揮體系，發(fā)現(xiàn)問題及時(shí)排除。由于該云平臺(tái)的“N朵云工程”的云應(yīng)用及云服務(wù)均是基于云分布式計(jì)算系統(tǒng)完成的，首先定期對(duì)云基礎(chǔ)操作系統(tǒng)進(jìn)行全面檢查及防護(hù)，這也是評(píng)估工作的重點(diǎn)內(nèi)容。按照地方政府對(duì)該云平臺(tái)的基本要求，對(duì)各類數(shù)據(jù)資源及計(jì)算資源的分配權(quán)限及配置規(guī)則進(jìn)行評(píng)估檢查，確保最小化授權(quán)機(jī)制，嚴(yán)防因權(quán)限控制規(guī)則設(shè)置不當(dāng)而產(chǎn)生的數(shù)據(jù)泄露、亂用、非正常改變等問題。針對(duì)基于云分布式計(jì)算系統(tǒng)開發(fā)的相關(guān)云應(yīng)用及云服務(wù)的程序漏洞、管理口令、運(yùn)維窗口、系統(tǒng)升級(jí)流程、數(shù)據(jù)修改及銷毀過程等進(jìn)行全面的審計(jì)和安全評(píng)估。對(duì)新開發(fā)上線的云應(yīng)用及云服務(wù)進(jìn)行系統(tǒng)測評(píng)評(píng)估，確保通過評(píng)估的系統(tǒng)可上線，未過評(píng)估的應(yīng)用及服務(wù)杜絕其部署到正式環(huán)境中，特別是權(quán)限控制不嚴(yán)格的、有故有可被黑客利用的漏洞的程序。簡單可視的自動(dòng)化配置方法，降低虛擬化網(wǎng)絡(luò)安全管理的技術(shù)復(fù)雜度，屏蔽虛擬化網(wǎng)絡(luò)內(nèi)部技術(shù)細(xì)節(jié)；軟件定義的安全檢測邊界，提供靈活、高效的網(wǎng)絡(luò)安全管理方法；無間斷的安全服務(wù)，無需人工干預(yù)的自主安全策略跟隨遷移，適應(yīng)虛擬化動(dòng)態(tài)擴(kuò)展、自主遷移等拓?fù)涠嘧兊奶匦浴?/p>

3云應(yīng)用上線測試

云應(yīng)用上線前需要基于云分布式計(jì)算系統(tǒng)進(jìn)行性能與安全測試。服務(wù)商提供多種平臺(tái)和多種瀏覽器的平臺(tái)，一般的用戶在本地用Selenium把自動(dòng)化測試腳本編寫好，然后上傳到云平臺(tái)，然后就可以在他們的平臺(tái)上運(yùn)行測試腳本。云測試提供一整套測試環(huán)境，測試人員利用虛擬桌面等手段登錄到該測試環(huán)境，就可以立即展開測試。以現(xiàn)在的虛擬化技術(shù)，在測試人員指定硬件配置、軟件棧（操作系統(tǒng)、中間件、工具軟件）、網(wǎng)絡(luò)拓?fù)浜?，?chuàng)建一套新的測試環(huán)境只需幾個(gè)小時(shí)。如果測試人員可以接受已創(chuàng)建好的標(biāo)準(zhǔn)測試環(huán)境，那么他可以立即登錄。提供專業(yè)知識(shí)的服務(wù)。這些知識(shí)可以通過測試用例、測試數(shù)據(jù)、自動(dòng)測試服務(wù)等形式提供。例如，許多應(yīng)用需要讀取文件，云測試可以提供針對(duì)文件讀取的模糊測試。測試人員將被測試的應(yīng)用程序提交給云，云將其部署到多臺(tái)測試機(jī)上。在每一臺(tái)測試上，應(yīng)用程序要讀取海量的文件，每一個(gè)文件都是特意構(gòu)造的攻擊文件。一旦棧溢出、堆溢出等問題被發(fā)現(xiàn)，將立即保存應(yīng)用程序的內(nèi)存映像。一段時(shí)間后，測試人員將獲得云測試返回的測試結(jié)果，暨一份詳細(xì)的分析報(bào)告和一大堆內(nèi)存映像文件。測試類型包括了：兼容測試、性能測試、功能測試、安全測試。

4結(jié)束語

本文通過以上各方面，以某云平臺(tái)為例闡述了云平臺(tái)信息安全保障及評(píng)估方法的基本研究思路和工作內(nèi)容。要提升云平臺(tái)的安全保障能力，需從組織安全管理、合規(guī)安全管理、數(shù)據(jù)安全管理、訪問控制管理、人員安全管理、物理安全管理、基礎(chǔ)安全管理、系統(tǒng)開發(fā)及維護(hù)管理、災(zāi)難恢復(fù)及業(yè)務(wù)連續(xù)性管理等方面綜合考慮，以云平臺(tái)及其應(yīng)用安全為我們研究的最終目標(biāo)。

參考文獻(xiàn)：

[1]桑子華，喻愛惠.基于XenApp技術(shù)的區(qū)域性教育資源云平臺(tái)安全布署.湖南師范大學(xué)自然科學(xué)學(xué)報(bào)，2016.

[2]黃宗正.關(guān)于云平臺(tái)安全審計(jì)技術(shù)的研究.工程技術(shù):文摘版，2016.

篇10

國家、省、地市、縣四級(jí)全國學(xué)籍信息系統(tǒng)運(yùn)行維護(hù)和技術(shù)支持服務(wù)體系依托各級(jí)教育信息中心（或教育信息化相關(guān)部門）建立。該體系明確各級(jí)系統(tǒng)技術(shù)支持單位，落實(shí)專門負(fù)責(zé)人員來做好系統(tǒng)運(yùn)行維護(hù)、技術(shù)支持服務(wù)和信息安全工作，保障系統(tǒng)長期、穩(wěn)定、高效、安全運(yùn)行，充分發(fā)揮系統(tǒng)的管理、服務(wù)和決策支撐作用。

（一）教育部職責(zé)

統(tǒng)籌協(xié)調(diào)全國學(xué)籍系統(tǒng)建設(shè)運(yùn)行管理工作，規(guī)范各省系統(tǒng)運(yùn)行管理，提供系統(tǒng)應(yīng)用培訓(xùn)和技術(shù)支持服務(wù)。

（1）負(fù)責(zé)全國學(xué)籍系統(tǒng)功能完善與升級(jí)；

（2）負(fù)責(zé)組織建設(shè)全國學(xué)籍系統(tǒng)運(yùn)行維護(hù)和技術(shù)支持服務(wù)體系，制定相關(guān)規(guī)范和制度；

（3）負(fù)責(zé)國家級(jí)學(xué)籍系統(tǒng)運(yùn)行維護(hù)與信息安全；

（4）負(fù)責(zé)省級(jí)、地市級(jí)用戶培訓(xùn)；

（5）負(fù)責(zé)省級(jí)及以下用戶技術(shù)支持服務(wù)，重點(diǎn)解決省級(jí)及以下技術(shù)支持服務(wù)人員無法解決的問題。

（二）省級(jí)教育行政部門職責(zé)

統(tǒng)籌本省全國學(xué)籍系統(tǒng)建設(shè)運(yùn)行管理工作。

（1）負(fù)責(zé)本省全國學(xué)籍系統(tǒng)運(yùn)行維護(hù)和技術(shù)支持服務(wù)體系建設(shè)；

（2）負(fù)責(zé)本省全國學(xué)籍系統(tǒng)的運(yùn)行維護(hù)和信息安全保護(hù)工作；

（3）負(fù)責(zé)地市級(jí)用戶培訓(xùn)，有條件的可以直接培訓(xùn)到縣；

（4）負(fù)責(zé)地方和學(xué)校用戶技術(shù)支持服務(wù)；

（5）及時(shí)溝通教育部，反饋需要協(xié)助解決的系統(tǒng)運(yùn)行、系統(tǒng)應(yīng)用中存在的問題，配合完成系統(tǒng)應(yīng)用升級(jí)。

（三）地市級(jí)教育行政部門職責(zé)

統(tǒng)籌本轄區(qū)內(nèi)全國學(xué)籍系統(tǒng)運(yùn)行管理工作。

（1）負(fù)責(zé)轄區(qū)內(nèi)全國學(xué)籍系統(tǒng)技術(shù)支持服務(wù)體系建設(shè)；

（2）負(fù)責(zé)縣級(jí)用戶培訓(xùn)，有條件的可以直接培訓(xùn)到學(xué)校；

（3）負(fù)責(zé)本級(jí)及縣和學(xué)校用戶技術(shù)支持服務(wù)；

（4）及時(shí)溝通上級(jí)教育行政部門，反饋系統(tǒng)應(yīng)用中存在問題。

（四）區(qū)縣級(jí)教育行政部門職責(zé)

統(tǒng)籌本轄區(qū)內(nèi)全國學(xué)籍系統(tǒng)運(yùn)行管理工作。

（1）負(fù)責(zé)學(xué)校用戶培訓(xùn)；

（2）負(fù)責(zé)本級(jí)和學(xué)校用戶技術(shù)支持服務(wù)；

（3）及時(shí)溝通上級(jí)教育行政部門，反饋系統(tǒng)應(yīng)用中存在問題。

二、系統(tǒng)運(yùn)行維護(hù)

（一）維護(hù)范圍

省級(jí)學(xué)籍系統(tǒng)維護(hù)范圍主要包括網(wǎng)絡(luò)、硬件設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫、中間件、工具軟件等基礎(chǔ)支撐平臺(tái)，以及全國學(xué)籍系統(tǒng)軟件、電子學(xué)籍?dāng)?shù)據(jù)等。

（二）維護(hù)主要內(nèi)容

（1）硬件設(shè)備維護(hù)

包括服務(wù)器、存儲(chǔ)等設(shè)備的運(yùn)行狀態(tài)監(jiān)控、故障診斷與排除、升級(jí)、擴(kuò)容等，根據(jù)需求合理規(guī)劃和分配硬件資源，并適時(shí)進(jìn)行調(diào)整和優(yōu)化。

（2）網(wǎng)絡(luò)維護(hù)

對(duì)路由器、交換機(jī)、防火墻、負(fù)載均衡、VPN、堡壘主機(jī)等設(shè)備進(jìn)行檢查、配置、變更等，維護(hù)域名和負(fù)載均衡配置，重點(diǎn)處理網(wǎng)絡(luò)中斷、設(shè)備故障、異常流量、非法攻擊等問題。在學(xué)籍系統(tǒng)應(yīng)用高峰期動(dòng)態(tài)調(diào)整網(wǎng)絡(luò)帶寬，確保網(wǎng)絡(luò)暢通。

（3）數(shù)據(jù)庫維護(hù)

合理規(guī)劃數(shù)據(jù)庫系統(tǒng)，監(jiān)控Oracle數(shù)據(jù)庫運(yùn)行狀態(tài)，優(yōu)化數(shù)據(jù)庫性能，定期清理日志，及時(shí)處理數(shù)據(jù)庫故障，實(shí)現(xiàn)數(shù)據(jù)每日備份（須異機(jī)備份，有條件的要做到異地備份）。

（4）系統(tǒng)應(yīng)用服務(wù)器維護(hù)

做好應(yīng)用服務(wù)器運(yùn)行監(jiān)控（磁盤空間使用率、共享存儲(chǔ)狀態(tài)、 CPU、內(nèi)存利用率、磁盤IO、系統(tǒng)日志等）和Weblogic管理（增減應(yīng)用服務(wù)器節(jié)點(diǎn)、服務(wù)啟動(dòng)與停止、節(jié)點(diǎn)狀態(tài)監(jiān)控、日志監(jiān)控、Weblogic參數(shù)優(yōu)化）。

（5）數(shù)據(jù)交換維護(hù)

包括數(shù)據(jù)交換前置機(jī)、數(shù)據(jù)打包前置機(jī)的每日運(yùn)行監(jiān)控與異常處理，確保數(shù)據(jù)交換暢通無阻。

（6）基礎(chǔ)平臺(tái)維護(hù)

對(duì)其他基礎(chǔ)支撐平臺(tái)軟件的日常運(yùn)行維護(hù)、運(yùn)行監(jiān)控、故障診斷與排除。

（7）學(xué)籍系統(tǒng)應(yīng)用升級(jí)維護(hù)

按照學(xué)籍系統(tǒng)升級(jí)維護(hù)操作流程與步驟，完成系統(tǒng)升級(jí)與維護(hù)操作。

（8）系統(tǒng)安全監(jiān)控

對(duì)網(wǎng)絡(luò)與安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫、中間件、學(xué)籍系統(tǒng)等進(jìn)行日常巡查和定期全面檢查，分析相關(guān)日志是否存在異常，及時(shí)安裝補(bǔ)丁程序，按照應(yīng)急預(yù)案處置安全事件。

（三）相關(guān)要求

（1）人員保障

省級(jí)技術(shù)支持單位須配備足夠數(shù)量和技術(shù)能力的硬件工程師、網(wǎng)絡(luò)工程師、操作系統(tǒng)工程師、數(shù)據(jù)庫工程師、應(yīng)用系統(tǒng)維護(hù)工程師等系統(tǒng)運(yùn)行維護(hù)人員，明確人員崗位職責(zé)，可一人多崗。

（2）制度建設(shè)

根據(jù)國家要求，結(jié)合本省實(shí)際制定省級(jí)學(xué)籍系統(tǒng)運(yùn)行維護(hù)管理制度，確保系統(tǒng)運(yùn)行穩(wěn)定和應(yīng)用順暢。

（3）建立快捷反饋機(jī)制

省級(jí)系統(tǒng)設(shè)備發(fā)生故障時(shí)，在進(jìn)行故障排除的同時(shí)，將故障初步情況上報(bào)教育部信息中心；因機(jī)房停電、設(shè)備檢修或其他原因，系統(tǒng)需暫停服務(wù)的，要提前告知教育部信息中心；其他與學(xué)籍系統(tǒng)運(yùn)行相關(guān)的問題也要及時(shí)反饋。

三、系統(tǒng)技術(shù)支持服務(wù)

（一）技術(shù)服務(wù)主要內(nèi)容

國家、省、地市、縣級(jí)系統(tǒng)技術(shù)支持單位須配備專門人員，利用全國教育技術(shù)服務(wù)平臺(tái)、電話（呼叫中心）、郵件等多種工具和方式，逐級(jí)對(duì)轄區(qū)內(nèi)全國學(xué)籍系統(tǒng)的應(yīng)用提供技術(shù)支持服務(wù)，及時(shí)解答下級(jí)單位咨詢的系統(tǒng)問題，指導(dǎo)系統(tǒng)建設(shè)、記錄問題處理情況，保障系統(tǒng)應(yīng)用順暢。

（1）問題解答

及時(shí)解答下級(jí)用戶使用全國學(xué)籍系統(tǒng)過程中出現(xiàn)的政策、業(yè)務(wù)、系統(tǒng)操作等問題。

（2）技術(shù)培訓(xùn)

對(duì)轄區(qū)內(nèi)全國學(xué)籍系統(tǒng)用戶開展系統(tǒng)技術(shù)培訓(xùn)。

（3）問題整理

及時(shí)記錄問題及問題處理情況，定期進(jìn)行匯總整理，形成常見問題列表與知識(shí)庫，同時(shí)收集整理系統(tǒng)完善的相關(guān)建議。

（4）意見反饋

及時(shí)向上級(jí)部門反饋無法解決的系統(tǒng)問題和系統(tǒng)建設(shè)的有關(guān)建議。

（二）技術(shù)服務(wù)相關(guān)要求

（1）人員保障

省、地市、縣級(jí)系統(tǒng)技術(shù)支持單位須明確系統(tǒng)技術(shù)支持服務(wù)責(zé)任人員。省級(jí)要配備2名呼叫中心坐席人員，負(fù)責(zé)解答本省各業(yè)務(wù)系統(tǒng)（包括全國學(xué)籍系統(tǒng)）來電及平臺(tái)提問。

（2）建立實(shí)名制技術(shù)服務(wù)網(wǎng)絡(luò)

全國學(xué)籍系統(tǒng)的各級(jí)應(yīng)用人員和技術(shù)支持服務(wù)人員均須實(shí)名注冊并登錄全國教育技術(shù)服務(wù)平臺(tái)，通過平臺(tái)開展系統(tǒng)技術(shù)支持服務(wù)。

（3）建立技術(shù)培訓(xùn)機(jī)制

定期對(duì)轄區(qū)內(nèi)的系統(tǒng)應(yīng)用人員和技術(shù)支持服務(wù)人員開展技術(shù)培訓(xùn)，進(jìn)一步提高隊(duì)伍學(xué)籍管理政策業(yè)務(wù)、系統(tǒng)操作使用、系統(tǒng)擴(kuò)展應(yīng)用、系統(tǒng)技術(shù)支持服務(wù)能力。

（4）制定技術(shù)支持服務(wù)規(guī)范

根據(jù)國家要求，結(jié)合本地實(shí)際，制定學(xué)籍系統(tǒng)技術(shù)支持服務(wù)的相關(guān)制度和規(guī)范。

（三）技術(shù)服務(wù)相關(guān)工具

（1）教育技術(shù)服務(wù)平臺(tái)

教育部統(tǒng)一建設(shè)覆蓋中央、省、地市、縣和學(xué)校的教育技術(shù)服務(wù)平臺(tái)，構(gòu)建快速的全國信息溝通渠道和機(jī)制。教育技術(shù)服務(wù)平臺(tái)重點(diǎn)為各級(jí)教育行政部門和各級(jí)各類學(xué)校的教育管理信息系統(tǒng)應(yīng)用提供技術(shù)支持服務(wù)，同時(shí)也可用于管理者信息，教師學(xué)生間溝通交流。平臺(tái)支持PC及手機(jī)等移動(dòng)終端設(shè)備。

1）平臺(tái)主要功能

①即時(shí)通訊，支持點(diǎn)對(duì)點(diǎn)和群組交流溝通；

②技術(shù)支持服務(wù)，支持分級(jí)輪巡服務(wù)；

③通知、消息，支持分級(jí)方式。

2）平臺(tái)建設(shè)安排

平臺(tái)建設(shè)分兩階段實(shí)施，第一階段部署在教育部數(shù)據(jù)中心，用戶覆蓋到中央、省、地市、區(qū)縣和學(xué)校，目前已投入使用。第二階段部署到省級(jí)數(shù)據(jù)中心，用戶覆蓋到教師、學(xué)生、家長。

3）平臺(tái)用戶類型（圖1所示）

平臺(tái)為省、市、縣、學(xué)校各級(jí)均設(shè)置3類用戶：超級(jí)管理員、業(yè)務(wù)系統(tǒng)管理員、普通用戶。

（2）呼叫中心

教育部將統(tǒng)一建設(shè)覆蓋中央和32個(gè)省級(jí)單位的全國教育管理信息系統(tǒng)呼叫中心，在教育部和32個(gè)省級(jí)單位安排客服代表，為全國各級(jí)系統(tǒng)用戶提供5×8小時(shí)（高峰時(shí)段可安排7×24小時(shí)）信息化服務(wù)。

呼叫中心將統(tǒng)一接入號(hào)碼，通過識(shí)別客戶主叫號(hào)碼歸屬地，將各地用戶來電自動(dòng)轉(zhuǎn)接至教育部或當(dāng)?shù)厥〖?jí)客服代表處理，實(shí)現(xiàn)對(duì)所有呼叫用戶業(yè)務(wù)咨詢受理、問題記錄、通話監(jiān)控及知識(shí)庫的信息化管理。

1）呼叫中心組網(wǎng)結(jié)構(gòu)（圖2所示）

2）省級(jí)環(huán)境要求

①硬件環(huán)境

電腦：直接訪問中央的呼叫中心服務(wù)器。

坐席終端設(shè)備：各省配備2套IP專用話機(jī)和耳麥。

②網(wǎng)絡(luò)環(huán)境

帶寬要求：各省到教育部的帶寬需要保證在200kbps/坐席。

VPN：教育部呼叫中心與各省分中心建立VPN專網(wǎng)。

3）省級(jí)人員工作要求

①各省2個(gè)坐席要專人專崗，負(fù)責(zé)本省呼叫中心用戶來電問題受理和問題解答，并按照要求填寫工單系統(tǒng)。如問題不能解決，可轉(zhuǎn)接到中央對(duì)應(yīng)坐席；

②依照服務(wù)規(guī)范要求，完成咨詢、問題受理、回訪等工作任務(wù)；

③通過工單系統(tǒng)完成教育技術(shù)服務(wù)平臺(tái)問題記錄及回復(fù)；

④定期收集、整理日常工作中遇到的典型問題，收錄到知識(shí)庫中并及時(shí)反饋給教育部。

4）工作安排

①上報(bào)坐席人員名單：各省于2014年9月初將2名坐席人員名單上報(bào)至教育部信息中心；

②呼叫中心部署聯(lián)調(diào)：2014年9月初完成；

③全國呼叫中心坐席人員培訓(xùn)：2014年9月中旬完成；

④正式上線運(yùn)行：2014年10月。

四、系統(tǒng)信息安全

（一）省級(jí)系統(tǒng)信息安全

（1）根據(jù)國家和教育部有關(guān)信息安全等級(jí)保護(hù)的政策、規(guī)范和技術(shù)標(biāo)準(zhǔn)，統(tǒng)一規(guī)劃建設(shè)覆蓋機(jī)房、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)的信息安全保障體系。

（2）建立安全組織機(jī)構(gòu)，制定明確的安全崗位職責(zé)，制定可落實(shí)的安全管理、安全運(yùn)行維護(hù)、數(shù)據(jù)使用與保護(hù)等安全管理制度。

（3）對(duì)本省全國學(xué)籍系統(tǒng)進(jìn)行安全定級(jí)與備案（建議等級(jí)保護(hù)三級(jí)），并按照國家相關(guān)要求對(duì)信息系統(tǒng)進(jìn)行定期安全等級(jí)保護(hù)測評(píng)。

（4）做好系統(tǒng)安全運(yùn)維管理和安全事件應(yīng)急響應(yīng)。

1）落實(shí)系統(tǒng)安全措施，加強(qiáng)防病毒、防入侵能力。

2）逐步推廣教育電子身份認(rèn)證（CA）、電子印章，以確保操作人員身份真實(shí)，系統(tǒng)操作和學(xué)籍信息安全。

3）對(duì)通過數(shù)據(jù)接口方式所獲取數(shù)據(jù)要建立嚴(yán)格的保密制度，嚴(yán)防學(xué)籍信息外泄和濫用。

4）加強(qiáng)用戶密碼保護(hù)。

（二）地市、縣和中小學(xué)校系統(tǒng)信息安全

（1）建立本單位全國學(xué)籍系統(tǒng)安全管理制度，包括系統(tǒng)應(yīng)用、用戶名密碼保護(hù)、數(shù)據(jù)使用與保護(hù)、安全事件應(yīng)急響應(yīng)等安全管理制度。

（2）嚴(yán)格落實(shí)各項(xiàng)安全管理制度，做好系統(tǒng)使用安全、數(shù)據(jù)使用與保護(hù)等。個(gè)人與單位使用者應(yīng)注意保護(hù)密碼（電子證書），不得隨意公開用戶名和密碼，密碼須按照要求定期修改。若因工作需要將本人密碼借給他人使用的，必須事先經(jīng)本級(jí)系統(tǒng)管理員同意并登記備案后方可借出，使用后原密碼應(yīng)及時(shí)修改，以保持責(zé)任唯一。若未經(jīng)本級(jí)系統(tǒng)管理員同意，私自將本人密碼借給他人使用，一切責(zé)任由本人承擔(dān)。

五、系統(tǒng)開放與共享

（一）系統(tǒng)數(shù)據(jù)共享方式（圖4所示）

（1）教育部：國家核心業(yè)務(wù)系統(tǒng)通過“教育基礎(chǔ)信息數(shù)據(jù)庫管理與服務(wù)系統(tǒng)”共享數(shù)據(jù)。

（2）省級(jí)：國家核心業(yè)務(wù)系統(tǒng)之間、省級(jí)自建系統(tǒng)與國家核心業(yè)務(wù)系統(tǒng)之間通過“教育基礎(chǔ)信息數(shù)據(jù)庫管理與服務(wù)系統(tǒng)”共享數(shù)據(jù)。

（3）地市、縣和學(xué)校自建業(yè)務(wù)系統(tǒng)通過“國家系統(tǒng)開放共享平臺(tái)”共享部署在省級(jí)教育數(shù)據(jù)中心的國家核心業(yè)務(wù)系統(tǒng)數(shù)據(jù)和功能。

（二）教育基礎(chǔ)信息數(shù)據(jù)庫管理與服務(wù)系統(tǒng)（圖5所示）

（三）國家系統(tǒng)開放共享平臺(tái)（圖6所示）

六、重點(diǎn)關(guān)注問題

（一）系統(tǒng)培訓(xùn)

（1）培訓(xùn)范圍：通過逐級(jí)培訓(xùn)的方式培訓(xùn)到各級(jí)教育行政部門和所有中小學(xué)校用戶，做到“不漏一縣、不漏一校”。

（2）培訓(xùn)內(nèi)容：系統(tǒng)業(yè)務(wù)與功能使用培訓(xùn)（日常、系統(tǒng)升級(jí)）、應(yīng)用提高培訓(xùn)（學(xué)籍?dāng)?shù)據(jù)應(yīng)用、功能擴(kuò)展開發(fā)）、系統(tǒng)技術(shù)支持服務(wù)能力培訓(xùn)（全國教育技術(shù)服務(wù)平臺(tái)、呼叫中心、常見問題解答等）。

（3）培訓(xùn)形式：現(xiàn)場、網(wǎng)絡(luò)。教育部將逐步推行學(xué)籍系統(tǒng)應(yīng)用人員和技術(shù)支持服務(wù)人員持證上崗。

（二）系統(tǒng)應(yīng)用高峰期應(yīng)對(duì)

（1）高峰期應(yīng)對(duì)準(zhǔn)備

各省根據(jù)國家要求，結(jié)合本省初中和高中招生、小學(xué)新生注冊等工作安排，分析學(xué)籍系統(tǒng)高峰時(shí)段，制定工作預(yù)案，提前做好服務(wù)器、網(wǎng)絡(luò)擴(kuò)容準(zhǔn)備。若有必要，可采取劃分業(yè)務(wù)辦理時(shí)間、分地區(qū)分時(shí)段操作等措施。

（2）重點(diǎn)業(yè)務(wù)處理

按照國家要求，配合業(yè)務(wù)部門按時(shí)完成學(xué)生畢業(yè)、升級(jí)、升學(xué)等重點(diǎn)業(yè)務(wù)處理。

（3）系統(tǒng)運(yùn)維和安全保障

加強(qiáng)網(wǎng)絡(luò)配置、數(shù)據(jù)庫、存儲(chǔ)設(shè)備等的日常巡檢，出現(xiàn)異常情況時(shí)及時(shí)處理，確保系統(tǒng)順暢運(yùn)行 。同時(shí)加強(qiáng)安全監(jiān)控、安全運(yùn)維管理工作，確保系統(tǒng)與數(shù)據(jù)安全。

（4）技術(shù)支持服務(wù)

加強(qiáng)技術(shù)支持服務(wù)，落實(shí)增加技術(shù)支持服務(wù)人員，充分利用技術(shù)支持服務(wù)平臺(tái)、呼叫中心等工具，及時(shí)解答學(xué)校和下級(jí)教育部門用戶的問題，做到有問必答，暫時(shí)無法解決的問題，直接向上反饋。

（三）系統(tǒng)對(duì)接工作

（1）前期對(duì)接驗(yàn)收

根據(jù)教育部系統(tǒng)對(duì)接驗(yàn)收要求，進(jìn)一步做好系統(tǒng)對(duì)接工作自查。對(duì)教育部反饋的數(shù)據(jù)質(zhì)量問題，及時(shí)對(duì)照分析處理。在畢業(yè)升級(jí)、小學(xué)新生注冊、招生入學(xué)測試對(duì)接聯(lián)調(diào)通過的情況下，結(jié)合實(shí)際數(shù)據(jù)情況，進(jìn)一步確認(rèn)業(yè)務(wù)聯(lián)調(diào)的準(zhǔn)確性。教育部將于2014年9月逐省進(jìn)行對(duì)接驗(yàn)收。

（2）畢業(yè)生跨省就學(xué)對(duì)接

仍未完成對(duì)跨省就學(xué)對(duì)接改造的省份，務(wù)必于2014年8月底前完成。已開始對(duì)接聯(lián)調(diào)的省份，要盡快完成對(duì)接聯(lián)調(diào)并上線運(yùn)行，確保全國畢業(yè)生跨省就學(xué)業(yè)務(wù)順利開展。

（3）系統(tǒng)第二階段對(duì)接準(zhǔn)備

全國學(xué)籍系統(tǒng)第二階段將增加學(xué)業(yè)成績、綜合素質(zhì)評(píng)價(jià)、校車管理、營養(yǎng)計(jì)劃管理等業(yè)務(wù)，各對(duì)接省份需做好經(jīng)費(fèi)、人員、技術(shù)等對(duì)接準(zhǔn)備工作。

（四）地方特色應(yīng)用開發(fā)

（1）通過“教育基礎(chǔ)信息數(shù)據(jù)庫管理與服務(wù)系統(tǒng)”和“國家系統(tǒng)開放共享平臺(tái)”，利用系統(tǒng)數(shù)據(jù)開發(fā)新的特色應(yīng)用功能，滿足地方和學(xué)校需求。

（2）整合全國學(xué)籍系統(tǒng)和地方特色應(yīng)用系統(tǒng)，實(shí)現(xiàn)學(xué)生注冊、異動(dòng)、升級(jí)、畢業(yè)、招生等業(yè)務(wù)聯(lián)動(dòng)。

（3）對(duì)接省要準(zhǔn)備盡快過渡到以全國學(xué)籍系統(tǒng)為基礎(chǔ)，開發(fā)完善特色需求的模式上來。

（五）系統(tǒng)數(shù)據(jù)應(yīng)用

積極開展電子學(xué)籍?dāng)?shù)據(jù)分析研究，為教育管理、決策、監(jiān)測、評(píng)價(jià)提供支撐。

（六）保障機(jī)制

（1）能力保障

加強(qiáng)系統(tǒng)運(yùn)維和技術(shù)支持服務(wù)人員培養(yǎng)，提高隊(duì)伍的系統(tǒng)運(yùn)維和技術(shù)支持服務(wù)能力。

（2）經(jīng)費(fèi)保障