關(guān)于信息安全應(yīng)急響應(yīng)大全11篇

時(shí)間:2023-10-23 09:49:53

緒論:寫作既是個(gè)人情感的抒發(fā),也是對(duì)學(xué)術(shù)真理的探索,歡迎閱讀由發(fā)表云整理的11篇關(guān)于信息安全應(yīng)急響應(yīng)范文,希望它們能為您的寫作提供參考和啟發(fā)。

關(guān)于信息安全應(yīng)急響應(yīng)

篇(1)

根據(jù)《__縣人民政府辦公室關(guān)于印發(fā)__縣人民政府政府信息公開工作評(píng)議考核辦法的通知》(陸政辦發(fā)[20__]102號(hào))、《__縣人民政府關(guān)于印發(fā)__縣政府信息公開施行辦法的通知》(陸政發(fā)[20__]57號(hào))文件精神,我局領(lǐng)導(dǎo)高度重視,安排政府信息公開專人對(duì)20__年政府信息公開工作進(jìn)行總結(jié),現(xiàn)將有關(guān)情況綜合如下:

一、基本情況

__縣商務(wù)局現(xiàn)有__招商網(wǎng)、__縣商務(wù)之窗、__縣電子政務(wù)門戶網(wǎng)站、__縣商務(wù)局政府信息公開網(wǎng)站四個(gè)網(wǎng)站,現(xiàn)在正常運(yùn)行的有商務(wù)部提供的__縣商務(wù)之窗和__縣商務(wù)局政府信息公開網(wǎng)站,自開通以來(lái),四個(gè)網(wǎng)站還沒(méi)出現(xiàn)過(guò)重大網(wǎng)絡(luò)安全事件,各網(wǎng)站都由我局人員自行監(jiān)管,定期更新,及時(shí)商務(wù)公開信息,為公眾方便快捷地了解__起到了較好的宣傳作用。

1、領(lǐng)導(dǎo)重視,機(jī)構(gòu)落實(shí)

為保證我局重要網(wǎng)站的安全,我局嚴(yán)格按照“統(tǒng)一領(lǐng)導(dǎo)、歸口負(fù)責(zé)、綜合協(xié)調(diào)、各司其職”的原則、“屬地管理、分級(jí)響應(yīng)、及時(shí)發(fā)現(xiàn)、及時(shí)報(bào)告、及時(shí)救治、及時(shí)控制”的要求,明確成立了由局長(zhǎng)陳紅鋼任組長(zhǎng),黨支部書記朱學(xué)林任副組長(zhǎng),辦公室主任王有培、政策法規(guī)科科長(zhǎng)陸康沖、招商引資科科長(zhǎng)他石紅、外事科科長(zhǎng)劉雙林、政策法規(guī)科李翠娥為成員的__縣商務(wù)局政府信息公開領(lǐng)導(dǎo)小組,負(fù)責(zé)我局4個(gè)網(wǎng)站的安全工作及突發(fā)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全事件應(yīng)急處理工作。同時(shí),明確了由局辦公室按照“誰(shuí)主管、誰(shuí)負(fù)責(zé),誰(shuí)運(yùn)營(yíng)、誰(shuí)負(fù)責(zé)”的原則,實(shí)行責(zé)任制和責(zé)任追究制,依法對(duì)互聯(lián)網(wǎng)網(wǎng)絡(luò)與信息安全突發(fā)事件進(jìn)行防范、監(jiān)測(cè)、預(yù)警、報(bào)告、響應(yīng)、指揮和協(xié)調(diào)、控制。在出現(xiàn)安全事件后,對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)安全事件的處理提供技術(shù)支持和指導(dǎo),遵循正確的流程,采取正確快速的行動(dòng)作出響應(yīng),提出事件統(tǒng)計(jì)分析報(bào)告。

2、專人專管,務(wù)求實(shí)效

自20__年初__縣人民政府辦公室下發(fā)《關(guān)于做好施行〈中華人民共和國(guó)政府信息公開條例〉準(zhǔn)備工作的通知》(陸政辦發(fā)[20__]10號(hào))以來(lái),我局領(lǐng)導(dǎo)就安排專人對(duì)我局的政府信息公開工作進(jìn)行全面準(zhǔn)備,認(rèn)真學(xué)習(xí)政府信息公開的有關(guān)文件,積極參加政府信息公開培訓(xùn),對(duì)涉及商務(wù)的有關(guān)法律法規(guī)、發(fā)展規(guī)劃及行政認(rèn)可的事項(xiàng)進(jìn)行全面梳理,編制公開目錄和公開指南,并按時(shí)上報(bào)到縣政府信息產(chǎn)業(yè)辦。至20__年12月10日,我局共各類信息70條,其中:機(jī)構(gòu)職能信息4條,法律法規(guī)依據(jù)信息16條,行政執(zhí)法信息4條,商務(wù)發(fā)展規(guī)劃4條,招商引資信息2條,四項(xiàng)制度信息5條,公開指南信息2條,商務(wù)動(dòng)態(tài)信息29條,其它信息4條。

3、雙網(wǎng)并用,加強(qiáng)宣傳

20__年,我局充分利用政府信息公開網(wǎng)站和商務(wù)之窗加大對(duì)我縣商務(wù)、招商引資政策的宣傳力度,

二、存在的問(wèn)題

下一步工作將圍繞__縣政府信息公開網(wǎng)站監(jiān)測(cè)情況通報(bào)情況進(jìn)行完善。

1、進(jìn)一步全面規(guī)范政府信息公開目錄,做到目錄內(nèi)容與站內(nèi)信息的一致性,及時(shí)更新目錄內(nèi)容;

2、進(jìn)一步完善政府公開內(nèi)容。重點(diǎn)做好機(jī)構(gòu)職能、法律法規(guī)政策、發(fā)展規(guī)劃、行政執(zhí)法及動(dòng)態(tài)信息的分類,保證信息內(nèi)容的完整性;

3、進(jìn)一步做好政府信息公開網(wǎng)站建設(shè)工作。及時(shí)更新圖片,合理布局網(wǎng)站頁(yè)面,做到圖文并茂,保證頁(yè)面美觀。

4、全面梳理和整理商務(wù)法律法規(guī)、行政執(zhí)法信息,做到每天至少有2條信息。為科學(xué)應(yīng)對(duì)互聯(lián)網(wǎng)網(wǎng)絡(luò)與信息安全突發(fā)事件,建立健全互聯(lián)網(wǎng)網(wǎng)絡(luò)與信息安全應(yīng)急響應(yīng)機(jī)制,有效預(yù)防、及時(shí)控制和最大限度地消除互聯(lián)網(wǎng)網(wǎng)絡(luò)與信息安全各類突發(fā)事件的危害和影響,按照《__縣人民政府辦公室關(guān)于印發(fā)__縣互聯(lián)網(wǎng)網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案的通知》要求,結(jié)合我局實(shí)際,對(duì)我局互聯(lián)網(wǎng)網(wǎng)絡(luò)與信息安全情況進(jìn)行自查,現(xiàn)將有關(guān)情況綜合匯報(bào)如下:

一、基本情況

__縣商務(wù)局現(xiàn)有__招商網(wǎng)、__縣商務(wù)之窗、__縣電子政務(wù)門戶網(wǎng)站、__縣商務(wù)局政府信息公開網(wǎng)站四個(gè)網(wǎng)站,自開通以來(lái),四個(gè)網(wǎng)站還沒(méi)出現(xiàn)過(guò)重大網(wǎng)絡(luò)安全事件,各網(wǎng)站都由我局人員自監(jiān)管,定期更新,及時(shí)商務(wù)公開信息,為公眾方便快捷地了解__起到了較好的宣傳作用。

二、主要做法

(一)領(lǐng)導(dǎo)重視,責(zé)任明確

為保證我局重要網(wǎng)站的安全,我局嚴(yán)格按照“統(tǒng)一領(lǐng)導(dǎo)、歸口負(fù)責(zé)、綜合協(xié)調(diào)、各司其職”的原則、“屬地管理、分級(jí)響應(yīng)、及時(shí)發(fā)現(xiàn)、及時(shí)報(bào)告、及時(shí)救治、及時(shí)控制”的要求,明確成立了由局長(zhǎng)陳紅鋼任組長(zhǎng),黨支部書記朱學(xué)林任副組長(zhǎng),辦公室主任王有培、政策法規(guī)科科長(zhǎng)陸康沖、招商引資科科長(zhǎng)他石紅、招商局工作人員劉雙林、李翠娥為成員的__縣商務(wù)局互聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急領(lǐng)導(dǎo)小組,負(fù)責(zé)我局4個(gè)網(wǎng)站的安全工作及突發(fā)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全事件應(yīng)急處理工作。同時(shí),明確了由局辦公室按照“誰(shuí)主管、誰(shuí)負(fù)責(zé),誰(shuí)運(yùn)營(yíng)、誰(shuí)負(fù)責(zé)”的原則,實(shí)行責(zé)任制和責(zé)任追究制,依法對(duì)互聯(lián)網(wǎng)網(wǎng)絡(luò)與信息安全突發(fā)事件進(jìn)行防范、監(jiān)測(cè)、預(yù)警、報(bào)告、響應(yīng)、指揮和協(xié)調(diào)、控制。

(二)防范為主,加強(qiáng)監(jiān)控

我局隨時(shí)宣傳普及互聯(lián)網(wǎng)網(wǎng)絡(luò)與信息安全防范知識(shí),樹立常備不懈的觀念,經(jīng)常性地做好應(yīng)對(duì)互聯(lián)網(wǎng)網(wǎng)絡(luò)與信息安全突發(fā)事件的思想準(zhǔn)備、預(yù)案準(zhǔn)備、機(jī)制準(zhǔn)備和工作準(zhǔn)備,提高基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)的互聯(lián)網(wǎng)網(wǎng)絡(luò)與信息安全綜合保障水平。加強(qiáng)對(duì)互聯(lián)網(wǎng)網(wǎng)絡(luò)與信息安全隱患的日常監(jiān)測(cè),發(fā)現(xiàn)和防范重大互聯(lián)網(wǎng)網(wǎng)絡(luò)與信息安全突發(fā)性事件,及時(shí)采取有效的可控措施,迅速控制事件影響范圍,力爭(zhēng)將損失降到最低程度。

(三)責(zé)任到人,監(jiān)測(cè)到位

我局明確了由計(jì)算機(jī)水平較好的他石紅、劉雙林、李翠娥對(duì)我局的四個(gè)網(wǎng)站及網(wǎng)絡(luò)安全進(jìn)行管理,在出現(xiàn)安全事件后,向委托管理計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)的單位報(bào)告,由其提供技術(shù)支持和指導(dǎo),遵循正確的流程,采取正確快速的行動(dòng)作出響應(yīng),處理發(fā)生問(wèn)題的系統(tǒng),檢測(cè)入侵事件,并采取技術(shù)手段來(lái)降低損失,提出事件統(tǒng)計(jì)分析報(bào)告。

篇(2)

一、征文范圍

1. 新技術(shù)應(yīng)用環(huán)境下信息安全等級(jí)保護(hù)技術(shù):物聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)、工控系統(tǒng)、移動(dòng)接入網(wǎng)、下一代互聯(lián)網(wǎng)(IPv6)等新技術(shù)、環(huán)境下的等級(jí)保護(hù)支撐技術(shù),等級(jí)保護(hù)技術(shù)體系在新環(huán)境下的應(yīng)用方法;

2. 關(guān)鍵基礎(chǔ)設(shè)施信息安全保護(hù)技術(shù):政府部門及金融、交通、電力、能源、通信、制造等重要行業(yè)網(wǎng)站、核心業(yè)務(wù)信息系統(tǒng)等安全威脅、隱患分析及防范措施;

3. 國(guó)內(nèi)外信息安全管理政策與策略:信息安全管理政策和策略研究,信息安全管理體制和機(jī)制特點(diǎn),信息安全管理標(biāo)準(zhǔn)發(fā)展對(duì)策,網(wǎng)絡(luò)恐怖的特點(diǎn)、趨勢(shì)、危害研究;

4. 信息安全預(yù)警與突發(fā)事件應(yīng)急處置技術(shù):攻擊監(jiān)測(cè)技術(shù),態(tài)勢(shì)感知預(yù)警技術(shù),安全監(jiān)測(cè)技術(shù),安全事件響應(yīng)技術(shù),應(yīng)急處置技術(shù),災(zāi)難備份技術(shù),恢復(fù)和跟蹤技術(shù),風(fēng)險(xiǎn)評(píng)估技術(shù);

5. 信息安全等級(jí)保護(hù)建設(shè)技術(shù):密碼技術(shù),可信計(jì)算技術(shù),網(wǎng)絡(luò)實(shí)名制等體系模型與構(gòu)建技術(shù),漏洞檢測(cè)技術(shù),網(wǎng)絡(luò)監(jiān)測(cè)與監(jiān)管技術(shù),網(wǎng)絡(luò)身份認(rèn)證技術(shù),網(wǎng)絡(luò)攻防技術(shù),軟件安全技術(shù),信任體系研究;

6. 信息安全等級(jí)保護(hù)監(jiān)管技術(shù):用于支撐安全監(jiān)測(cè)的數(shù)據(jù)采集、挖掘與分析技術(shù),用于支撐安全監(jiān)管的敏感數(shù)據(jù)發(fā)現(xiàn)與保護(hù)技術(shù),安全態(tài)勢(shì)評(píng)估技術(shù),安全事件關(guān)聯(lián)分析技術(shù)、安全績(jī)效評(píng)估技術(shù),電子數(shù)據(jù)取證和鑒定技術(shù);

7. 信息安全等級(jí)保護(hù)測(cè)評(píng)技術(shù):標(biāo)準(zhǔn)符合性檢驗(yàn)技術(shù),安全基準(zhǔn)驗(yàn)證技術(shù),源代碼安全分析技術(shù),逆向工程剖析技術(shù),滲透測(cè)試技術(shù),測(cè)評(píng)工具和測(cè)評(píng)方法;

8. 信息安全等級(jí)保護(hù)策略與機(jī)制:網(wǎng)絡(luò)安全綜合防控體系建設(shè),重要信息系統(tǒng)的安全威脅與脆弱性分析,縱深防御策略,大數(shù)據(jù)安全保護(hù)策略,信息安全保障工作評(píng)價(jià)機(jī)制、應(yīng)急響應(yīng)機(jī)制、安全監(jiān)測(cè)預(yù)警機(jī)制。

二、投稿要求

1. 來(lái)稿內(nèi)容應(yīng)屬于作者的科研成果,數(shù)據(jù)真實(shí)、可靠,未公開發(fā)表過(guò),引用他人成果已注明出處,署名無(wú)爭(zhēng)議,論文摘要及全文不涉及保密內(nèi)容;

2. 會(huì)議只接受以Word排版的電子稿件,稿件一般不超過(guò)5000字;

3. 稿件以Email方式發(fā)送到征稿郵箱;

4. 凡投稿文章被錄用且未作特殊聲明者,視為已同意授權(quán)出版;

5. 提交截止日期: 2014年5月25日。

三、聯(lián)系方式

通信地址:北京市海淀區(qū)首都體育館南路1號(hào)

郵編:100048

Email:.cn

聯(lián)系人: 范博、王晨

聯(lián)系電話:010-68773930,

篇(3)

中圖分類號(hào):F2 文獻(xiàn)標(biāo)識(shí)碼:A 文章編碼:1672-3791(2013)06(b)-0014-02

2012年3月15日,上海市稅務(wù)局發(fā)生了一次信息安全事件,由于設(shè)備老化和供電異常,機(jī)房UPS設(shè)備發(fā)生嚴(yán)重故障,直接導(dǎo)致全市稅務(wù)大集中核心業(yè)務(wù)信息系統(tǒng)全面宕機(jī)。雖然相關(guān)部門立即開展了應(yīng)急處置和全力搶修,當(dāng)天晚上業(yè)務(wù)信息系統(tǒng)恢復(fù)正常運(yùn)行。但是因?yàn)樵撌录?dǎo)致全市納稅人無(wú)法正常辦理涉稅事項(xiàng),且15日是3月法定納稅申報(bào)期最后一個(gè)工作日,稅務(wù)部門不得不通過(guò)網(wǎng)站、電視、廣播、12366稅務(wù)熱線等社會(huì)媒體公告,宣布延長(zhǎng)當(dāng)月納稅申報(bào)期至16日。

雖然這件事情已經(jīng)過(guò)去一年多了,但它留給我們的卻是深刻地教訓(xùn)。對(duì)于信息安全事件我們絕不能掉以輕心。隨著信息化的不斷發(fā)展推廣,現(xiàn)在政府機(jī)關(guān)應(yīng)用信息系統(tǒng)來(lái)開展工作的范圍越來(lái)越廣泛,已經(jīng)涉及到民生、經(jīng)濟(jì)、政治、軍事各個(gè)領(lǐng)域。我國(guó)有這么多關(guān)鍵重要的信息系統(tǒng)在運(yùn)行,試想如果發(fā)生信息安全事件,那么或多或少地會(huì)造成社會(huì)影響甚至政治影響。所以說(shuō),如何避免信息安全事件的產(chǎn)生,已經(jīng)是擺在政府機(jī)關(guān)面前必須考慮的問(wèn)題了。筆者作為一名長(zhǎng)期在政府機(jī)關(guān)信息部門工作的技術(shù)人員,將在下面闡述我個(gè)人關(guān)于應(yīng)對(duì)信息安全事件的一些看法。

1 信息安全事件的分類

為了分析信息安全事件,我們應(yīng)當(dāng)對(duì)可能發(fā)生的信息安全事件進(jìn)行分類。依據(jù)事件發(fā)生的原因,我們將信息安全事件分為如下幾類。

1.1 外部環(huán)境異常引起的安全事件

第一類,是由于物理環(huán)境異常導(dǎo)致的安全事件。這里的物理環(huán)境主要指的是機(jī)房環(huán)境,比如承重、電源,空調(diào),水患、鼠患等等。承重設(shè)計(jì)不達(dá)標(biāo)不僅會(huì)造成信息安全事件,甚至可能造成人員傷亡;電源問(wèn)題包括市電供應(yīng)、UPS電源、防雷擊及靜電處理等,電源異常不僅會(huì)造成硬件設(shè)備的宕機(jī),也可能引發(fā)火災(zāi)、造成人員傷亡;空調(diào)問(wèn)題會(huì)引起硬件設(shè)備的運(yùn)行故障,從而影響信息系統(tǒng)運(yùn)行;水患是指機(jī)房如果建在地勢(shì)低洼處或有不能密閉的窗戶,遇到大水或雨季,會(huì)因?yàn)橛晁M(jìn)入機(jī)房而導(dǎo)致硬件設(shè)備的運(yùn)行故障;鼠患是指亂竄的老鼠會(huì)咬斷網(wǎng)線、引起短路、損壞硬件設(shè)施,所以滅鼠也是保障信息系統(tǒng)正常運(yùn)行需要考慮的工作。以上這些都是信息系統(tǒng)穩(wěn)定運(yùn)行的基本要素,任何一個(gè)環(huán)節(jié)出現(xiàn)問(wèn)題都會(huì)導(dǎo)致安全事件的發(fā)生。

1.2 網(wǎng)絡(luò)異常引起的安全事件

第二類,網(wǎng)絡(luò)異常導(dǎo)致的安全事件。現(xiàn)在政府機(jī)關(guān)的信息系統(tǒng)基本都是運(yùn)行在網(wǎng)絡(luò)環(huán)境中的,單機(jī)運(yùn)行的應(yīng)用系統(tǒng)已經(jīng)鮮有耳聞了,這個(gè)時(shí)候,網(wǎng)絡(luò)的重要性就顯而易見(jiàn)了。一旦網(wǎng)絡(luò)通信發(fā)生故障,即發(fā)生斷網(wǎng)、網(wǎng)絡(luò)擁塞等情況,那么信息系統(tǒng)也就癱瘓了。

1.3 硬件設(shè)施故障引起的安全事件

第三類、硬件設(shè)施故障引起的安全事件。比如存儲(chǔ)設(shè)備故障,主機(jī)服務(wù)器的故障、終端計(jì)算機(jī)的故障等。政府機(jī)關(guān)由于資金投入的限制,一方面這些硬件設(shè)施多半存在單點(diǎn)故障;另一方面,隱患發(fā)生時(shí)故障點(diǎn)常常不能被及時(shí)發(fā)現(xiàn)。舉個(gè)例子,某臺(tái)主機(jī)有數(shù)塊硬盤,考慮到數(shù)據(jù)安全技術(shù)人員對(duì)硬盤做了RAID5處理,以避免因硬盤損壞引起的數(shù)據(jù)丟失,但是如果硬盤損壞后未被發(fā)現(xiàn)不能被及時(shí)更換,那么當(dāng)故障硬盤達(dá)到數(shù)量的極限時(shí),系統(tǒng)還是會(huì)崩潰數(shù)據(jù)還是會(huì)丟失。在這里我必須指出,某些設(shè)備的故障將引起數(shù)據(jù)丟失或破壞,在數(shù)據(jù)的價(jià)值越來(lái)越被認(rèn)可的今天,這是必須引起警惕的。

1.4 軟件異常引起的事件

第四類,軟件系統(tǒng)異常引起的故障。這里的軟件系統(tǒng)是指操作系統(tǒng)異常、應(yīng)用軟件異常等。引起軟件系統(tǒng)異常的原因很多,比如:病毒感染、黑客侵入、升級(jí)異常、軟件沖突、安裝未經(jīng)測(cè)試的補(bǔ)丁和升級(jí)包等。

1.5 人為事件

第五類,人為因素引起的安全事件。比如說(shuō),管理不善、職責(zé)不清、對(duì)重要系統(tǒng)設(shè)施監(jiān)控不力,無(wú)視信息安全風(fēng)險(xiǎn),不能將信息安全事件扼殺在萌芽期;誤操作,由于責(zé)任心不強(qiáng)或技術(shù)能力不夠,導(dǎo)致操作失誤;故意行為,由于人性的弱點(diǎn),有的員工出于各種原因(對(duì)單位不滿或?qū)︻I(lǐng)導(dǎo)同事不滿)故意造就信息安全事件以借機(jī)發(fā)泄,還有人為謀求利益竊取數(shù)據(jù),甚或被策反加入間諜組織或與非法組織勾結(jié),破壞國(guó)家利益。

2 信息安全事件的分級(jí)

不同類型的信息安全事件造成影響的范圍有大有小,這時(shí)我們應(yīng)該對(duì)信息安全事件有一個(gè)分級(jí),分級(jí)的原則我們可以參照國(guó)家關(guān)于信息系統(tǒng)等級(jí)保護(hù)政策的思路,也就是通過(guò)判斷影響對(duì)象及影響程度來(lái)分級(jí)。影響對(duì)象可以是:公民、法人和其他組織的合法權(quán)益;社會(huì)秩序、公共利益;國(guó)家安全。影響程度可以是:一般損害;嚴(yán)重?fù)p害;特別嚴(yán)重?fù)p害。(如表1)

表1只是介紹一種定級(jí)的方法,各單位可以根據(jù)自身特點(diǎn)定義自己的信息安全事件級(jí)別,細(xì)化定級(jí)標(biāo)準(zhǔn)。在定義了不同的事件級(jí)別之后,再設(shè)計(jì)不同的響應(yīng)流程,也就是應(yīng)急響應(yīng)。這樣的話,在發(fā)生安全事件時(shí),就可以按照不同級(jí)別的信息安全事件啟動(dòng)應(yīng)急響應(yīng)流程,關(guān)于應(yīng)急響應(yīng)這里不作描述。

3 防患信息安全事件的建議

前面我描述了導(dǎo)致信息安全事件的因素及信息安全事件的分級(jí),接下來(lái)根據(jù)政府機(jī)關(guān)的特點(diǎn)我將給出預(yù)防信息安全事件的幾點(diǎn)建議。具體如下。

3.1 明確職責(zé)

我認(rèn)為在談關(guān)于信息系統(tǒng)的任何事之前,首先要明確職責(zé),不僅是明確領(lǐng)導(dǎo)層的職責(zé),也要明確執(zhí)行者的職責(zé)。也就是說(shuō),職責(zé)必須細(xì)化到每個(gè)人。換個(gè)角度說(shuō)的話,就是職責(zé)本身要進(jìn)行細(xì)化,比如一個(gè)信息系統(tǒng)的建設(shè)是誰(shuí)負(fù)責(zé)、后續(xù)運(yùn)維是誰(shuí)負(fù)責(zé),假如硬件設(shè)施由A負(fù)責(zé),那么A負(fù)責(zé)到什么程度呢,是不是只要硬件設(shè)施正常運(yùn)行不發(fā)生故障就OK了?日常運(yùn)維要管到什么程度呢?是不是要建立硬件設(shè)施的清單?這份清單是不是要更新?日常的運(yùn)維操作是否要有記錄?在我看來(lái),以上所有都應(yīng)該在崗責(zé)體系中進(jìn)行細(xì)化明確,只有明確了每個(gè)人的工作職責(zé)才能保證工作被落實(shí),制度被落實(shí)。

3.2 完善制度

要想減少信息安全事件的發(fā)生,首先要有制度,國(guó)有國(guó)法家有家規(guī),沒(méi)有規(guī)矩不成方圓,如果沒(méi)有制度,那就無(wú)章可循無(wú)法可依,發(fā)生信息安全事件之后也無(wú)法追究相關(guān)人員的責(zé)任。但是有些政府機(jī)關(guān)里的制度常常是只能掛在墻上看、放在會(huì)上念,有些單位的制度陳舊落后難操作,不能真正執(zhí)行的制度是不能發(fā)揮其作用的。我認(rèn)為一套好的信息安全管理制度應(yīng)該分三個(gè)層次,第一層是總體性的制度策略或框架,第二層是具有操作指導(dǎo)意義的制度規(guī)范,第三層則是建設(shè)方案、運(yùn)維手冊(cè)和使用說(shuō)明等更為細(xì)化的文檔資料。有了完整的制度體系,我們還要定期對(duì)制度進(jìn)行修訂,這樣才能讓制度始終符合實(shí)際狀況以便于操作落實(shí)。

3.3 在信息系統(tǒng)生命周期全方位考慮信息安全

因?yàn)樾畔⑾到y(tǒng)是有生命周期的,也就是系統(tǒng)的需求設(shè)計(jì)、建設(shè)、更新、運(yùn)維、廢棄5個(gè)階段,為此,我們應(yīng)該在信息系統(tǒng)的全生命周期考慮信息安全問(wèn)題,在每個(gè)階段我們都要考慮信息安全風(fēng)險(xiǎn)的規(guī)避問(wèn)題。由于信息安全的概念是近些年才被提及和重視的,在實(shí)際工作中我們發(fā)現(xiàn),政府機(jī)關(guān)的很多信息系統(tǒng)都是很早就開發(fā)出來(lái)在用的,隨著應(yīng)用需求的不斷變化,這些老舊的信息系統(tǒng)不斷的在升級(jí)在更新在打補(bǔ)丁。由于這些信息系統(tǒng)開發(fā)之初還沒(méi)有信息安全的概念,所以即使發(fā)現(xiàn)系統(tǒng)存在這這樣那樣的安全風(fēng)險(xiǎn)也很難下手修補(bǔ),常常因?yàn)橄到y(tǒng)性能存在瓶頸、存儲(chǔ)空間不夠、系統(tǒng)不夠穩(wěn)定等原因不敢解決信息安全漏洞。所以,我們提倡在新建系統(tǒng)的過(guò)程中,全面考慮信息安全保障,有能力的單位應(yīng)該解決在用信息系統(tǒng)的安全漏洞。

3.4 安全管理措施的部署

為避免信息安全風(fēng)險(xiǎn),提高安全保障水平,我們必須采取一些安全管理措施。比如使用虛擬機(jī)技術(shù)提升主機(jī)服務(wù)器的運(yùn)行性能;網(wǎng)絡(luò)雙線路鏈接、重要設(shè)備雙機(jī)熱備、雙路供電、管理員AB角,以避免單點(diǎn)故障;對(duì)系統(tǒng)進(jìn)行安全加固,關(guān)閉不需要的服務(wù)進(jìn)程及端口使服務(wù)最少化、啟用密碼策略、安裝重要補(bǔ)丁、開啟審計(jì)策略等等;為不同的管理員開啟不同的訪問(wèn)權(quán)限,使用戶權(quán)限最小化;為不同的用戶開啟不同的網(wǎng)絡(luò)訪問(wèn)鏈路,以進(jìn)行訪問(wèn)控制;在軟件系統(tǒng)進(jìn)行運(yùn)行前,對(duì)軟件系統(tǒng)開展源代碼審計(jì),對(duì)準(zhǔn)備安裝的升級(jí)包或補(bǔ)丁包進(jìn)行測(cè)試;建立審計(jì)環(huán)節(jié),對(duì)信息系統(tǒng)的建設(shè)運(yùn)維開展審計(jì);對(duì)重要的運(yùn)維操作進(jìn)行授權(quán),以限制管理員權(quán)限的濫用等等。安全管理措施的全方位執(zhí)行是減少信息安全事件發(fā)生的有力保障。

3.5 加強(qiáng)監(jiān)控分析

信息安全的發(fā)生有時(shí)好像地震,地震在發(fā)生前可能有一些征兆,只是由于我們?nèi)肆夹g(shù)的限制無(wú)法探知。信息安全事件發(fā)生前也會(huì)有一些蛛絲馬跡,如果我們能采取某些措施進(jìn)行監(jiān)控,提前得知相關(guān)信息,那么我們就能更早地掌握信息安全風(fēng)險(xiǎn),并采取措施避免事件的發(fā)生。現(xiàn)在信息安全領(lǐng)域的很多產(chǎn)品已經(jīng)很成熟,像IDS、IPS、防火墻、防病毒、桌面安全管理、主機(jī)性能監(jiān)控等等,我們應(yīng)該選擇合適的產(chǎn)品或服務(wù)來(lái)監(jiān)控我們的信息系統(tǒng),同時(shí),要注重對(duì)監(jiān)控信息加以分析,以便及早發(fā)現(xiàn)風(fēng)險(xiǎn)并消滅隱患。

3.6 引入“等級(jí)保護(hù)”和安全評(píng)估

近幾年來(lái),我國(guó)對(duì)信息安全的關(guān)注度越來(lái)越高,相關(guān)的管理部門也紛紛出臺(tái)了關(guān)于加強(qiáng)信息安全的文件要求,其中,等級(jí)保護(hù)制度是較為重要的政策。信息安全等級(jí)保護(hù)就是對(duì)國(guó)家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲(chǔ)、傳輸、處理這些信息的信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)。等級(jí)保護(hù)政策的出臺(tái)對(duì)于政府機(jī)關(guān)的信息安全工作有很強(qiáng)的指導(dǎo)意義,我們把信息系統(tǒng)按重要程度的不同進(jìn)行劃分,把有限的財(cái)力和人力集中到重要信息系統(tǒng)的保障中。另外,安全評(píng)估工作是了解政府機(jī)關(guān)信息系統(tǒng)安全程度的重要途徑,只有明白自身的風(fēng)險(xiǎn)點(diǎn)并進(jìn)行安全整改才能不斷鞏固信息系統(tǒng)的安全,以避免信息安全事件的發(fā)生。

3.7 應(yīng)急演練

要想提高信息安全事件的應(yīng)對(duì)能力,我們不得不提到應(yīng)急演練的重要性。應(yīng)急演練就是模擬事件的發(fā)生,演練事件發(fā)生后的補(bǔ)救措施。所以做好應(yīng)急演練是極其必要的。不管做不做應(yīng)急演練,應(yīng)急方案是必須要有的,我認(rèn)為應(yīng)急方案也應(yīng)該有幾個(gè)層次,首先要有一個(gè)總體方案,接著應(yīng)該是對(duì)總體方案細(xì)化建立子方案,也就是不同類型的信息安全事件要有各自的應(yīng)急方案。比如:機(jī)房環(huán)境應(yīng)急方案、網(wǎng)絡(luò)應(yīng)急方案、應(yīng)用系統(tǒng)應(yīng)急方案等。其中,不同的應(yīng)用系統(tǒng)應(yīng)該有不同的應(yīng)急方案。有了應(yīng)急方案之后,我們應(yīng)該定期進(jìn)行演練,以便熟悉應(yīng)急操作程序,將信息安全事件產(chǎn)生的影響盡力減少。

3.8 備份重要數(shù)據(jù)及系統(tǒng)

為了避免信息安全事件帶來(lái)的影響,有條件的政府機(jī)關(guān)可以建立自己的容災(zāi)備份系統(tǒng),對(duì)重要信息系統(tǒng)建立雙套系統(tǒng),建立熱備份或冷備份,如果有可能的話物理地址可以選取異地,以避免單點(diǎn)故障,提高自己應(yīng)對(duì)風(fēng)險(xiǎn)的能力。如果財(cái)力有限,我們可以采用定期手工備份重要數(shù)據(jù)及系統(tǒng)的方法,并做好備份介質(zhì)的管理工作。

3.9 加強(qiáng)人員管控

談到信息安全,有時(shí)候我們會(huì)忽略最重要的一個(gè)環(huán)節(jié),就是人員的管控。大家知道,所有的信息系統(tǒng)都是人開發(fā)出發(fā)的,要提升信息安全能力,就應(yīng)該增強(qiáng)人力資源,現(xiàn)在政府機(jī)關(guān)面臨的問(wèn)題很多都是人手緊張,人員素質(zhì)不高之類的問(wèn)題,由于政府機(jī)關(guān)的人員工資都是由國(guó)家規(guī)定的,不能享受像外企或民企甚或國(guó)企那樣的高薪酬,很多高水平的技術(shù)人才都不愿意留在政府機(jī)關(guān)。很多技術(shù)骨干在遇到升職加薪的瓶頸后選擇離職跳槽,使人才流失情況也很嚴(yán)重。那么如何來(lái)盤活機(jī)關(guān)內(nèi)部的計(jì)算機(jī)人才就是人事部門的一道難題了。很多時(shí)候,好不容易招聘過(guò)來(lái)的計(jì)算機(jī)人才,都被搶到業(yè)務(wù)部門做一線工作去了。因?yàn)楝F(xiàn)在的業(yè)務(wù)部門全是通過(guò)信息系統(tǒng)來(lái)操作工作的,有些上了年紀(jì)的員工對(duì)信息系統(tǒng)不熟練,導(dǎo)致很多業(yè)務(wù)部門都喜歡要懂計(jì)算機(jī)技術(shù)的人才。我認(rèn)為考慮到現(xiàn)在信息化技術(shù)的使用程度和依賴程度,適當(dāng)提高信息技術(shù)人員的福利待遇并保證信息部門的人才供給是應(yīng)當(dāng)被考慮的。另外,適當(dāng)增加一些工會(huì)活動(dòng)或團(tuán)體活動(dòng),增加單位凝聚力,也能讓信息技術(shù)人員更熱愛(ài)自己的單位和崗位,愿意盡全力付出努力,以保證技術(shù)人員管理信息系統(tǒng)的穩(wěn)定和安全。

4 結(jié)語(yǔ)

篇(4)

一、綜合電子政務(wù)平臺(tái)概述

電子政務(wù)是指政府機(jī)構(gòu)應(yīng)用信息技術(shù)提高政府事務(wù)處理的信息流效率,對(duì)政府機(jī)構(gòu)和職能進(jìn)行優(yōu)化,改善政府組織和公共管理能力。通常由核心網(wǎng)絡(luò)、接人網(wǎng)絡(luò)及訪問(wèn)網(wǎng)絡(luò)三部分組成。建設(shè)內(nèi)容一般包括:電子政務(wù)網(wǎng)絡(luò)平臺(tái)、政府門戶網(wǎng)站、電子政務(wù)主站點(diǎn)、“一站式”行政審批系統(tǒng)、視頻會(huì)議系統(tǒng)、公文交換和信息報(bào)送系統(tǒng)、電子郵件系統(tǒng)、辦公自動(dòng)化系統(tǒng)等。

電子政務(wù)網(wǎng)絡(luò)平臺(tái)網(wǎng)絡(luò)結(jié)構(gòu)中,核心網(wǎng)絡(luò)擁有重要的信息資源,并處理政府部門間的核心業(yè)務(wù)。政府部門間的數(shù)據(jù)交換流程是閉環(huán)的,即任何一個(gè)節(jié)點(diǎn)既是用戶又是數(shù)據(jù)源。因此,核心網(wǎng)絡(luò)節(jié)點(diǎn)之間的業(yè)務(wù)流程應(yīng)該是高速、嚴(yán)密、安全的,并且有嚴(yán)格的審核機(jī)制。核心網(wǎng)絡(luò)與接人網(wǎng)絡(luò)形成上下級(jí)關(guān)系的協(xié)同工作平臺(tái),進(jìn)行信息、數(shù)據(jù)的交換。它們之間的信息往來(lái)必須具備信任安全體系。政府核心網(wǎng)絡(luò)面向社會(huì)公眾提供信息服務(wù),對(duì)外宣傳政府信息,與訪問(wèn)網(wǎng)絡(luò)建立連接。

二、綜合電子政務(wù)平臺(tái)的安全風(fēng)險(xiǎn)

2.1網(wǎng)絡(luò)安全域的劃分和控制問(wèn)題

電子政務(wù)中的信息涉及國(guó)家秘密、國(guó)家安全,因此它需要絕對(duì)的安全。但是同時(shí)電子政務(wù)現(xiàn)在很重要的發(fā)展方向是要為社會(huì)提供行政監(jiān)管的渠道,為社會(huì)提供公共服務(wù),如社保醫(yī)保、大量的公眾咨詢、投訴等等,它同時(shí)又需要一定程度的開放。因此如何合理地劃分安全域顯得非常重要。

2.2內(nèi)部監(jiān)控、審核問(wèn)題

目前絕大部分單位都沒(méi)有系統(tǒng)可以實(shí)時(shí)地對(duì)內(nèi)部人員除個(gè)人隱私以外的各項(xiàng)具體操作進(jìn)行監(jiān)控和記錄,更不用談對(duì)一些非法操作進(jìn)行屏蔽和阻斷了。

2.3電子政務(wù)的信任體系問(wèn)題

電子政務(wù)要做到比較完善的安全保障體系,第三方認(rèn)證是必不可少的。只有通過(guò)一定級(jí)別的第三方認(rèn)證,才能說(shuō)建立了一套完善的信任體系。

2.4數(shù)字簽名(簽發(fā))問(wèn)題

在電子政務(wù)中,要真正實(shí)行無(wú)紙化辦公,很重要的一點(diǎn)是實(shí)現(xiàn)電子公文的流轉(zhuǎn),而在這之中,數(shù)字簽名(簽發(fā))問(wèn)題又是重中之重。

2.5電子政務(wù)的災(zāi)難響應(yīng)和應(yīng)急處理問(wèn)題

很多單位在進(jìn)行網(wǎng)絡(luò)規(guī)劃的時(shí)候,沒(méi)有考慮到作為系統(tǒng)核心部分一一數(shù)據(jù)庫(kù)本身的安全問(wèn)題,完全依賴干整個(gè)網(wǎng)絡(luò)的防護(hù)能力,一旦網(wǎng)絡(luò)的安全體系被穿破或者直接由內(nèi)部人員利用內(nèi)網(wǎng)用戶的優(yōu)勢(shì)進(jìn)行破壞,“數(shù)據(jù)”可以說(shuō)無(wú)任何招架之力。

三、綜合電子政務(wù)平臺(tái)安全體系建設(shè)方案

3.1技術(shù)保障體系

技術(shù)保障體系是安全管理體系的重要組成部分。它涉及兩個(gè)層面的問(wèn)題,一是信息安全的核心技術(shù)和基本理論的研究與開發(fā),二是信息安全產(chǎn)品和系統(tǒng)構(gòu)建綜合防護(hù)系統(tǒng)。

信息安全技術(shù)。信息安全的核心技術(shù)主要包括數(shù)據(jù)加密技術(shù)、信息隱藏技術(shù)和信息認(rèn)證技術(shù)。數(shù)據(jù)加密是把有意義的信息編碼為偽隨機(jī)性的亂碼,以實(shí)現(xiàn)信息保護(hù)的目的。數(shù)字簽名是指只有發(fā)送者才能產(chǎn)生的別人無(wú)法偽造的一段數(shù)字串,這段數(shù)字串同時(shí)也是對(duì)發(fā)送者信息真實(shí)性的證明。

信息安全防護(hù)體系。目前,主要的信息安全的產(chǎn)品和系統(tǒng)包括防病毒軟件、防火墻、入侵檢測(cè)系統(tǒng)、漏洞掃描、安全審計(jì)系統(tǒng)、物理隔離系統(tǒng)等。我們可采用屏蔽子網(wǎng)體系結(jié)構(gòu)保證核心網(wǎng)絡(luò)的安全。屏蔽子網(wǎng)體系結(jié)構(gòu)通過(guò)添加額外的安全層到被屏蔽主機(jī)體系結(jié)構(gòu),即通過(guò)添加周邊網(wǎng)絡(luò)更進(jìn)一步地把內(nèi)部網(wǎng)絡(luò)與Internet隔離開。在這種結(jié)構(gòu)下,即使攻破了堡壘主機(jī),也不能直接侵人內(nèi)部網(wǎng)絡(luò),它將仍然必須通過(guò)內(nèi)部路由器。

3.2運(yùn)行管理體系

安全行政管理。電子政務(wù)的安全行政管理應(yīng)包括建立安全組織機(jī)構(gòu)、安全人事管理、制定和落實(shí)安全制度。

安全技術(shù)管理。電子政務(wù)的安全技術(shù)管理可以從三個(gè)方面著手:硬件實(shí)體、軟件系統(tǒng)、密鑰。

風(fēng)險(xiǎn)管理。風(fēng)險(xiǎn)管理是對(duì)項(xiàng)目風(fēng)險(xiǎn)的識(shí)別、分析和應(yīng)對(duì)過(guò)程。它包括對(duì)正面事件效果的最大化及對(duì)負(fù)面事件影響的最小化。

3.3社會(huì)服務(wù)體系

安全管理服務(wù)。目前,一些信息安全管理服務(wù)提供商(ManagedSecurityServiceProviders,MSSP)正在逐步形成,它們有的是專門從事安全管理服務(wù)達(dá)到增值目的的,有的是一些軟件廠商為彌補(bǔ)其軟件系統(tǒng)的不足而附加一些服務(wù)的,有的是一些從IT集成或咨詢商發(fā)展而來(lái)提供信息安全咨詢的。

安全測(cè)評(píng)服務(wù)。測(cè)評(píng)認(rèn)證的實(shí)質(zhì)是由一個(gè)中立的權(quán)威機(jī)構(gòu),通過(guò)科學(xué)、規(guī)范、公正的測(cè)試和評(píng)估向消費(fèi)者、購(gòu)買者即需方,證實(shí)生產(chǎn)者或供方所提供的產(chǎn)品和服務(wù),符合公開、客觀和先進(jìn)的標(biāo)準(zhǔn)。

應(yīng)急響應(yīng)服務(wù)。應(yīng)急響應(yīng)是計(jì)算機(jī)或網(wǎng)絡(luò)系統(tǒng)遇到安全事件如黑客人侵、網(wǎng)絡(luò)惡意攻擊、病毒感染和破壞等時(shí),所能夠提供的緊急的響應(yīng)和快速的救援與恢復(fù)服務(wù)。:

3.4基礎(chǔ)設(shè)施平臺(tái)

篇(5)

[中圖分類號(hào)]G2 [文獻(xiàn)標(biāo)識(shí)碼]A [文章編號(hào)]1671-5918(2015)17-0073-02

一、計(jì)算機(jī)網(wǎng)絡(luò)信息所面臨的安全威脅分析

(一)網(wǎng)絡(luò)本身弱點(diǎn)

信息網(wǎng)絡(luò)具有開放性的顯著特點(diǎn),既為網(wǎng)絡(luò)用戶提供了便捷高速的服務(wù)方式,也成為網(wǎng)絡(luò)信息需要面臨的一項(xiàng)安全威脅。同時(shí),運(yùn)用于信息網(wǎng)絡(luò)的相關(guān)通信協(xié)議,不具備較高的安全性能,極易讓用戶遭受欺騙攻擊、信息篡改、數(shù)據(jù)截取等安全問(wèn)題。

(二)人為惡意攻擊

人為惡意攻擊是網(wǎng)絡(luò)信息中,用戶所面臨的最大安全威脅。人為惡意攻擊具有較強(qiáng)的針對(duì)性,是有目的地進(jìn)行網(wǎng)絡(luò)信息數(shù)據(jù)完整性、有效性等方面的破壞,其攻擊方式較為隱蔽,包括對(duì)網(wǎng)路信息數(shù)據(jù)的竊取、破譯、篡改等,主要威脅到用戶的經(jīng)濟(jì)利益。

(三)計(jì)算機(jī)病毒

計(jì)算機(jī)病毒存在隱蔽性、傳染性、破壞性等特點(diǎn),往往隱藏或偽裝為正常程序,隨著計(jì)算機(jī)程序的啟動(dòng)而被運(yùn)行。計(jì)算機(jī)病毒通過(guò)破壞、竊聽等方式,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)信息的操作。相比于其他安全威脅而言,其整體威脅程度較大,輕則影響操作系統(tǒng)的運(yùn)行效率,重則破壞用戶的整體系統(tǒng)數(shù)據(jù),且難以被恢復(fù),形成不可挽回的損失。

二、網(wǎng)絡(luò)信息技術(shù)安全現(xiàn)狀分析

目前,國(guó)內(nèi)絕大部分企業(yè)、單位都已建立了相關(guān)的信息系統(tǒng),實(shí)現(xiàn)了對(duì)各類豐富信息資源的充分利用。但隨著各行各業(yè)信息網(wǎng)絡(luò)系統(tǒng)的逐步成型,網(wǎng)絡(luò)信息所面臨的黑客、惡意軟件與其他攻擊等安全問(wèn)題越來(lái)越多,雖已研發(fā)、改進(jìn)了許多信息安全技術(shù),用于網(wǎng)絡(luò)信息安全防護(hù),但仍舊存在許多問(wèn)題,究其原因,主要表現(xiàn)在以下三方面:

第一,未建立健全的安全技術(shù)保障體系。當(dāng)前大部分企業(yè)、單位,在信息安全設(shè)備上投入較多資金,以確保網(wǎng)絡(luò)信息系統(tǒng)的安全可靠。但是,沒(méi)有建立健全相應(yīng)的技術(shù)保障體系,預(yù)期目標(biāo)難以被實(shí)現(xiàn)。

第二,缺乏制度化與常規(guī)化的應(yīng)急反應(yīng)體系。現(xiàn)階段,許多行業(yè)領(lǐng)域內(nèi),在網(wǎng)絡(luò)信息技術(shù)安全方面,還未建立健全相應(yīng)的應(yīng)急反應(yīng)系統(tǒng),而對(duì)已有應(yīng)急反應(yīng)系統(tǒng),沒(méi)有進(jìn)行制度化、常規(guī)化改進(jìn)。

第三,企業(yè)、單位的信息安全標(biāo)準(zhǔn)與制度滯后。在網(wǎng)絡(luò)信息安全的標(biāo)準(zhǔn)與制度建設(shè)方面,企業(yè)與單位都為進(jìn)行及時(shí)的調(diào)整與改進(jìn)。同時(shí),用戶缺乏信息安全意識(shí),網(wǎng)絡(luò)信息安全管理員為經(jīng)歷科學(xué)、系統(tǒng)的安全技術(shù)培訓(xùn),安全管理水平不高。而用于信息安全的經(jīng)費(fèi)投入較少,難以達(dá)到信息安全標(biāo)準(zhǔn)與要求。

三、現(xiàn)行主要信息安全技術(shù)及應(yīng)用分析

(一)通信協(xié)議安全

作為下一代互聯(lián)網(wǎng)通信協(xié)議,IPv6安全性較高,強(qiáng)制實(shí)施Internet安全協(xié)議IPSec,由認(rèn)證協(xié)議、封裝安全載荷、Internet密鑰交換協(xié)議三部分組成,即AH、ESP、IKE。IPSec確保IPv6擁有較高的互操作能力與安全性能,讓IP層多種安全服務(wù)得到有效實(shí)現(xiàn)。

(二)密碼技術(shù)

確保網(wǎng)絡(luò)信息安全的核心與關(guān)鍵為信息安全技術(shù)中的密碼技術(shù),其密碼體質(zhì)包括單鑰、雙鑰、混合密碼三種。其中,單鑰為對(duì)稱密碼;雙鑰為不對(duì)稱密碼;混亂密碼為單雙鑰的混合實(shí)現(xiàn)。在網(wǎng)絡(luò)系統(tǒng)中,采用加密技術(shù)能避免使用特殊網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),便于數(shù)據(jù)傳輸?shù)耐瑫r(shí),確保網(wǎng)絡(luò)路徑的安全可靠,為網(wǎng)絡(luò)通信過(guò)程提供真正的保障。現(xiàn)階段,在網(wǎng)絡(luò)信息中,所采用的密碼技術(shù)主要為雙鑰與混合密碼。

1.公鑰密碼

為了加強(qiáng)公鑰密碼的安全性能,公鑰的長(zhǎng)度均≥600bit。目前,基于Montgomery算法的RSA公鑰密碼,排出了已有的除法運(yùn)算模式,通過(guò)乘法與模減運(yùn)算的同時(shí)進(jìn)行,大程度提升了運(yùn)算速度,被廣泛使用。同時(shí),部分廠商已成功研制出與IEEEPl363標(biāo)準(zhǔn)相符合的橢圓曲線公鑰密碼,并成功運(yùn)用于電子政務(wù)中,具備較強(qiáng)的保密性與較高的運(yùn)行速度。

2.Hash函數(shù)

關(guān)于SHA-0碰撞與SHA-1理論破解的提出,降低了SHA-1破解的計(jì)算量,在很大程度上影響了Hash函數(shù)安全現(xiàn)狀的評(píng)估及其今后設(shè)計(jì)。同時(shí),由于MD5和SHA-1的破解,讓數(shù)字簽名的現(xiàn)有理論根基遭到質(zhì)疑,給正在使用中的數(shù)字簽名方法帶來(lái)巨大威脅。

3.量子密碼

量子加密技術(shù)采用量子力學(xué)定律,讓用戶雙方產(chǎn)生私有隨機(jī)數(shù)字字符串,以代表數(shù)字字符串的單個(gè)量子序列傳遞信息,并通過(guò)比特值進(jìn)行信息接收,確保通信不被竊聽。一旦竊聽現(xiàn)象發(fā)生,通信就會(huì)結(jié)束,并生成新的密鑰。

(三)防火墻技術(shù)

防護(hù)墻技術(shù)是一組軟硬件的有機(jī)組合,為控制內(nèi)部與外部網(wǎng)絡(luò)訪問(wèn)的有效手段,能確保內(nèi)部網(wǎng)安全穩(wěn)定運(yùn)行。防火墻技術(shù)為用戶提供存取控制與信息保密服務(wù),具有操作簡(jiǎn)單、透明度高的優(yōu)點(diǎn),在保持原有網(wǎng)絡(luò)應(yīng)用系統(tǒng)功能的基礎(chǔ)上,最大限度滿足用戶的網(wǎng)絡(luò)信息安全要求,受到用戶的廣泛推崇。防火墻技術(shù)的應(yīng)用,讓外部與內(nèi)部網(wǎng)絡(luò)必須通過(guò)防火墻實(shí)現(xiàn)相互通信。企業(yè)、單位在關(guān)于防火墻技術(shù)的應(yīng)用上,需制定合理、科學(xué)的安全策略,在此基礎(chǔ)上設(shè)置防火墻,隔絕其它類型信息。目前,防火墻技術(shù)主要分為以下三類:

第一,包過(guò)濾技術(shù)(Packet filtering)。其技術(shù)主要作用于網(wǎng)絡(luò)層,結(jié)合不同數(shù)據(jù)包源IP地址、目的IP地址、TCP/UDP源端口號(hào)與目的端口號(hào)等進(jìn)行區(qū)分、判斷,分析數(shù)據(jù)包是否符合安全策略,予以通行,其設(shè)計(jì)為過(guò)濾算法。

第二,(Proxy)服務(wù)技術(shù)。其技術(shù)主要作用于應(yīng)用層,通過(guò)轉(zhuǎn)接外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)的申請(qǐng)服務(wù),有效控制應(yīng)用層服務(wù)。內(nèi)部網(wǎng)絡(luò)無(wú)法接受外部網(wǎng)絡(luò)其它節(jié)點(diǎn)申請(qǐng)的直接請(qǐng)求,其接受的服務(wù)請(qǐng)求只能為模式。應(yīng)用網(wǎng)關(guān)即為服務(wù)運(yùn)行的主機(jī),具備較強(qiáng)的數(shù)據(jù)流監(jiān)控、過(guò)濾、記錄等相關(guān)功能。

第三,狀態(tài)監(jiān)控(State Inspection)技術(shù)。其技術(shù)主要作用于網(wǎng)絡(luò)層,通過(guò)網(wǎng)絡(luò)層實(shí)現(xiàn)包過(guò)濾與網(wǎng)絡(luò)服務(wù)。現(xiàn)階段,較為可行的為虛擬機(jī)方式(即:Inspect Virtual Machine)。

防護(hù)墻技術(shù)作為網(wǎng)絡(luò)信息安全技術(shù)之一,操作簡(jiǎn)單且實(shí)用性較強(qiáng),被廣泛應(yīng)用。但受其特點(diǎn)限制,缺乏對(duì)動(dòng)態(tài)化與復(fù)雜化攻擊手段的主動(dòng)響應(yīng),只能進(jìn)行靜態(tài)安全防御,無(wú)法保障對(duì)所有外部攻擊都能進(jìn)行有效阻擋。一些計(jì)算機(jī)水平較高的黑客便能翻過(guò)防火墻,達(dá)到攻擊目的。同時(shí),防火墻無(wú)法阻擋內(nèi)部攻擊。因此,為實(shí)現(xiàn)網(wǎng)絡(luò)安全,需進(jìn)行數(shù)據(jù)的加密處理,加強(qiáng)內(nèi)部網(wǎng)絡(luò)控制與管理。

(四)入侵檢測(cè)技術(shù)

入侵檢測(cè)技術(shù)主要作用于計(jì)算機(jī)與網(wǎng)絡(luò)資源中,對(duì)其存在的不軌行為進(jìn)行識(shí)別、響應(yīng)、處理的過(guò)程。入侵檢測(cè)系統(tǒng),在對(duì)外部入侵行為進(jìn)行檢測(cè)的同時(shí),也對(duì)未授權(quán)的內(nèi)部用戶行為作出檢測(cè),并及時(shí)給出響應(yīng),為網(wǎng)絡(luò)動(dòng)態(tài)安全的核心技術(shù)。入侵檢測(cè)技術(shù)分為誤用檢測(cè)與異常檢測(cè)兩種類型。其中,誤用檢測(cè)是指在入侵跡象分析中,結(jié)合已知攻擊方法,進(jìn)行是否構(gòu)成人侵行為的判定。對(duì)其跡象分析,既有利于防范已發(fā)生的入侵行為,也有利于預(yù)防潛在的入侵行為。異常檢測(cè)是指在入侵行為分析中,結(jié)合用戶行為與資源使用狀況的異常度,所進(jìn)行的判定。

目前,大部分網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)仍為實(shí)驗(yàn)室環(huán)境下的原型系統(tǒng),漏報(bào)與誤報(bào)所占比重較大,無(wú)法充分滿足當(dāng)前大范圍內(nèi)的網(wǎng)絡(luò)入侵檢測(cè)要求與病毒預(yù)防反擊要求。在此情況下,“蜜罐(Honey)”技術(shù)受到了廣泛關(guān)注。“蜜罐”為網(wǎng)絡(luò)誘騙系統(tǒng),以提供真實(shí)或模擬的網(wǎng)絡(luò)與服務(wù)為途徑,將不軌攻擊吸引過(guò)來(lái),并通過(guò)嚴(yán)密的監(jiān)控,將黑客的攻擊行為與攻擊方式、攻擊方法詳細(xì)記錄下來(lái),整理形成數(shù)據(jù),并發(fā)出預(yù)警。在這個(gè)過(guò)程中,“蜜罐”能有效轉(zhuǎn)移目標(biāo)與延緩攻擊,與以往被動(dòng)防護(hù)入侵檢測(cè)技術(shù)相比,安全防范性能更高。

四、網(wǎng)絡(luò)信息安全技術(shù)的綜合應(yīng)用

通過(guò)對(duì)現(xiàn)行主要網(wǎng)絡(luò)信息安全技術(shù)及其應(yīng)用的具體分析,可構(gòu)建一個(gè)全方位的網(wǎng)絡(luò)信息安全防護(hù)體系,實(shí)現(xiàn)對(duì)各類具有不同功能的網(wǎng)絡(luò)信息安全技術(shù)的綜合應(yīng)用。在該系統(tǒng)中,將具有不同針對(duì)性的網(wǎng)絡(luò)信息安全技術(shù),應(yīng)用于不同層面的不同網(wǎng)絡(luò)信息安全需求中,進(jìn)行多層面、大范圍內(nèi)的安全防護(hù),實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)的整體通信安全。由網(wǎng)絡(luò)安全評(píng)估體系、安全防護(hù)體系、網(wǎng)絡(luò)安全服務(wù)體系三部分組成了整體的網(wǎng)絡(luò)安全防護(hù)體系。其中,網(wǎng)絡(luò)安全評(píng)估體系包含對(duì)系統(tǒng)漏洞管理、通信方式評(píng)估等;安全防護(hù)體系包含病毒防護(hù)、網(wǎng)絡(luò)訪問(wèn)控制、網(wǎng)絡(luò)監(jiān)控、數(shù)據(jù)加密等多種技術(shù);網(wǎng)絡(luò)安全服務(wù)體系包含數(shù)據(jù)恢復(fù)、應(yīng)急服務(wù)等。對(duì)具備不同功能的網(wǎng)絡(luò)信息安全技術(shù)的綜合應(yīng)用,能構(gòu)建出全方位的安全防護(hù)體系,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)通信群全過(guò)程的安全防護(hù),有效增強(qiáng)網(wǎng)絡(luò)信息的可靠性與安全性。

結(jié)語(yǔ)

隨著計(jì)算機(jī)通信技術(shù)的不斷進(jìn)步,信息系統(tǒng)已逐漸轉(zhuǎn)變?yōu)槠髽I(yè)、單位實(shí)現(xiàn)信息交換的重要途徑。掌握信息系統(tǒng)中存在的不足與安全威脅,能幫助用戶制定具有較高可行性的安全策略,以真正提升信息系統(tǒng)的安全性能。同時(shí),網(wǎng)絡(luò)信息安全系統(tǒng)不僅僅是指僅作用于某一方面的單一安全技術(shù),而是指作用于不同方面的多種安全技術(shù),是一項(xiàng)構(gòu)成較復(fù)雜的系統(tǒng)。在這項(xiàng)系統(tǒng)中,既包含人的成分,也包含技術(shù)成分,并不是簡(jiǎn)單的防病毒、防火墻、加密、入侵檢測(cè)等安全技術(shù)的堆積,而是從系統(tǒng)到應(yīng)用方面的整體升級(jí)與優(yōu)化處理。目前,關(guān)于網(wǎng)絡(luò)信息安全技術(shù),正處于更新?lián)Q代階段,新技術(shù)不斷被研發(fā)。但受各方面因素的影響,新技術(shù)中也不可避免一些漏洞的存在,還需進(jìn)行及時(shí)更新與完善。

參考文獻(xiàn):

[1]白蘭.基于網(wǎng)絡(luò)信息安全技術(shù)管理的計(jì)算機(jī)應(yīng)用[J].信息系統(tǒng)工程,2012(3).

篇(6)

當(dāng)前,軍隊(duì)物資采購(gòu)系統(tǒng)根據(jù)總后關(guān)于信息化建設(shè)的精神,建立了依托干軍隊(duì)內(nèi)部的指揮自動(dòng)化網(wǎng)、軍隊(duì)綜合信息網(wǎng)等內(nèi)部指揮控制網(wǎng)絡(luò)、辦公網(wǎng)絡(luò)、業(yè)務(wù)管理網(wǎng)絡(luò)等信息服務(wù)和指揮網(wǎng)絡(luò),為軍隊(duì)采購(gòu)管理單位、采購(gòu)業(yè)務(wù)單位、科研和教學(xué)單位、軍內(nèi)終端客戶提供廣泛的信息服務(wù)。

實(shí)施信息安全管理,不僅能夠有效地提高信息系統(tǒng)的安全性、完整性、可用性以及對(duì)相關(guān)應(yīng)急采購(gòu)任務(wù)的快速反應(yīng)能力,同時(shí)也是保障軍隊(duì)物資采購(gòu)系統(tǒng)科學(xué)發(fā)展,為軍隊(duì)提供最優(yōu)保障力的重要手段。

一、軍隊(duì)物資采購(gòu)信息安全風(fēng)險(xiǎn)

在軍隊(duì)物資采購(gòu)活動(dòng)中,存在各種各樣的風(fēng)險(xiǎn),都對(duì)采辦的結(jié)果產(chǎn)生不同程度的影響。根據(jù)風(fēng)險(xiǎn)產(chǎn)生對(duì)象的不同,將風(fēng)險(xiǎn)分為人為風(fēng)險(xiǎn)、系統(tǒng)風(fēng)險(xiǎn)、數(shù)據(jù)風(fēng)險(xiǎn)等三個(gè)方面。

(一)人為風(fēng)險(xiǎn)。

人是信息安全最主要的風(fēng)險(xiǎn)因素,不適當(dāng)?shù)男畔⑾到y(tǒng)授權(quán),會(huì)導(dǎo)致未經(jīng)授權(quán)的人獲取不適當(dāng)?shù)男畔ⅰ2少?gòu)人員的操作失誤或疏忽會(huì)導(dǎo)致信息系統(tǒng)的錯(cuò)誤動(dòng)作或產(chǎn)生垃圾信息;違規(guī)篡改數(shù)據(jù)、修改系統(tǒng)時(shí)間、修改系統(tǒng)配置、違規(guī)導(dǎo)入或刪除信息系統(tǒng)的數(shù)據(jù),可能導(dǎo)致各種重大采購(gòu)事故的發(fā)生。有令不行、有禁不止等人為因素形成的風(fēng)險(xiǎn),是軍隊(duì)物資采購(gòu)信息安全的最大風(fēng)險(xiǎn)。

(二)系統(tǒng)風(fēng)險(xiǎn)。

系統(tǒng)風(fēng)險(xiǎn)包括系統(tǒng)開發(fā)風(fēng)險(xiǎn)和系統(tǒng)運(yùn)行風(fēng)險(xiǎn)。在采購(gòu)項(xiàng)目開發(fā)過(guò)程中沒(méi)有考慮到必要的信息系統(tǒng)安全設(shè)計(jì),或安全設(shè)計(jì)存在缺陷,都會(huì)導(dǎo)致采辦信息系統(tǒng)安全免疫能力不足。沒(méi)有完善、嚴(yán)格的生產(chǎn)系統(tǒng)運(yùn)行管理體制,會(huì)導(dǎo)致機(jī)房管理、口令管理、授權(quán)管理、用戶管理、服務(wù)器管理、網(wǎng)絡(luò)管理、備份管理、病毒管理等方面出現(xiàn)問(wèn)題,輕則產(chǎn)生垃圾信息,重則發(fā)生系統(tǒng)中斷、信息被非法獲取。

當(dāng)前的采購(gòu)信息系統(tǒng)已是一個(gè)龐大的網(wǎng)絡(luò)化系統(tǒng),在網(wǎng)絡(luò)內(nèi)存在眾多的中小型機(jī)、服務(wù)器、前置機(jī)、路由器、終端設(shè)備,也包括數(shù)據(jù)庫(kù)、操作系統(tǒng)、中間件、應(yīng)用系統(tǒng)等軟件系統(tǒng)。網(wǎng)絡(luò)系統(tǒng)中的任何一個(gè)環(huán)節(jié)都有可能出現(xiàn)故障,一旦出現(xiàn)故障便有可能造成系統(tǒng)中斷,影響業(yè)務(wù)正常運(yùn)作。同時(shí),由于自然災(zāi)害、戰(zhàn)爭(zhēng)等突發(fā)事件造成的系統(tǒng)崩潰、數(shù)據(jù)載體不可修復(fù)性損失等等,都能夠給采購(gòu)信息系統(tǒng)帶來(lái)很大的影響。

(三)數(shù)據(jù)風(fēng)險(xiǎn)。

數(shù)據(jù)是信息的載體,也是軍隊(duì)物資采購(gòu)系統(tǒng)最重要的資產(chǎn)。對(duì)數(shù)據(jù)的存儲(chǔ)、處理、獲取、和共享均需要有一套完整的流程和審批制度,沒(méi)有健全的數(shù)據(jù)管理制度,便存在導(dǎo)致數(shù)據(jù)信息泄露的風(fēng)險(xiǎn)。

二、軍隊(duì)物資采購(gòu)信息安全的內(nèi)容

通過(guò)對(duì)信息安全定義的查詢,可以看到其是根據(jù)不同的環(huán)境情況各自不同的。在相對(duì)受到專業(yè)影響較小的國(guó)際標(biāo)準(zhǔn)ISOl7799信息安全標(biāo)準(zhǔn)中,信息安全是指:使信息避免一系列威脅,保障商務(wù)的連續(xù)性,盡量減少業(yè)務(wù)損失,從而最大限度地獲取投資和商務(wù)的回報(bào)。

對(duì)于軍隊(duì)物資采購(gòu)系統(tǒng),信息安全管理則應(yīng)該堅(jiān)持系統(tǒng)和全局的觀念,基于平戰(zhàn)結(jié)合、立足應(yīng)急保障的思想,指導(dǎo)組織建立安全管理體系。通過(guò)系統(tǒng)、全面、科學(xué)的安全風(fēng)險(xiǎn)評(píng)估,體現(xiàn)“積極預(yù)防、綜合防范”的方針,強(qiáng)調(diào)遵守國(guó)家有關(guān)信息安全的法律法規(guī)及其他合同方要求,透過(guò)全過(guò)程和動(dòng)態(tài)控制,本著控制費(fèi)用與風(fēng)險(xiǎn)平衡的原則,合理選擇安全控制方式,保護(hù)組織所擁有的關(guān)鍵信息資產(chǎn),使信息風(fēng)險(xiǎn)的發(fā)生概率降低到可接受的水平,確保信息的保密性、完整性和可用性,保持組織業(yè)務(wù)運(yùn)作的持續(xù)性。

(一)保密性。

信息安全的保密性,在確保遵守軍隊(duì)保密守則規(guī)定的前提下,確保信息僅可讓授權(quán)獲取的相關(guān)人員訪問(wèn)。結(jié)合當(dāng)前的狀況,軍隊(duì)物資采購(gòu)系統(tǒng)的信息安全保密應(yīng)當(dāng)做熟嚴(yán)格分崗授權(quán)制衡機(jī)制,杜絕不相容崗位兼崗現(xiàn)象;嚴(yán)格用戶管理和授權(quán)管理,防止非法用戶,用戶冗余和用戶授權(quán)不當(dāng);加強(qiáng)密碼管理,防止不設(shè)口令或者口令過(guò)于簡(jiǎn)熟加強(qiáng)病毒防范管理,防范病毒損氰控制訪問(wèn)信息,組織非法訪問(wèn)信息系統(tǒng)確保對(duì)外網(wǎng)絡(luò)服務(wù)得到保護(hù),陰止非法訪問(wèn)網(wǎng)絡(luò);檢測(cè)非法行為,防范道德風(fēng)險(xiǎn);保證在使用移動(dòng)電腦和遠(yuǎn)程網(wǎng)絡(luò)設(shè)備時(shí)的信息安全,防止非法攻擊。

(二)完備性。

信息安全的完備性,是指信息準(zhǔn)確和具備完善的處理方法。具體要求是:嚴(yán)格采購(gòu)業(yè)務(wù)流程管理,確保采購(gòu)業(yè)務(wù)流程與采購(gòu)信息系統(tǒng)操作流程完備一熟嚴(yán)格控制生產(chǎn)系統(tǒng)數(shù)據(jù)修改,防止數(shù)據(jù)丟失。防止不正確修改,減少誤操作;嚴(yán)格數(shù)據(jù)管理,確保數(shù)據(jù)得到完整積累與保全,使系統(tǒng)數(shù)據(jù)能夠真實(shí)、完整地反映采購(gòu)業(yè)務(wù)信息;嚴(yán)格按照軍隊(duì)關(guān)于物資采購(gòu)規(guī)定和要求操作,減少或杜絕非標(biāo)業(yè)務(wù)。避免任何違反法令、法規(guī)、合同約定及易導(dǎo)致業(yè)務(wù)信息與數(shù)據(jù)信息不一致、不完整的行為。

(三)可用性。

信息安全的可用性,要求確保被授權(quán)人可以獲取所需信息。具體要求是:加強(qiáng)生產(chǎn)系統(tǒng)運(yùn)行管理,確保生產(chǎn)系統(tǒng)安全、穩(wěn)定、可靠運(yùn)行;加強(qiáng)生產(chǎn)機(jī)房建設(shè)與管理,保障機(jī)房工作環(huán)境所必需的濕度、溫度、電源、防火、防水、防靜電、防雷、限制進(jìn)人等要求,減少安全隱患;加強(qiáng)生產(chǎn)系統(tǒng)日常檢查管理,及早發(fā)現(xiàn)故障苗頭;加強(qiáng)系統(tǒng)備份,防止數(shù)據(jù)損失;嚴(yán)格生產(chǎn)系統(tǒng)時(shí)間管理,禁止隨意修改生產(chǎn)系統(tǒng)時(shí)間;保障系統(tǒng)持續(xù)運(yùn)標(biāo)實(shí)施災(zāi)難備份,防止關(guān)鍵業(yè)務(wù)處理在災(zāi)難發(fā)生時(shí)受到影響。

三、軍隊(duì)物資采購(gòu)信息安全管理

(一)信息安全機(jī)構(gòu)。

軍隊(duì)物資采購(gòu)系統(tǒng)應(yīng)分出專人專職來(lái)負(fù)責(zé)信息安全管理工作,并協(xié)同上級(jí)業(yè)務(wù)管理單位制定信息安全管理制度和工作程序,設(shè)定安全等級(jí),評(píng)估安全風(fēng)險(xiǎn)程度,落實(shí)防范措施方案,提出內(nèi)控體系整改方案與措施,監(jiān)督和評(píng)估信息安全管理成效。在與上級(jí)總部和軍區(qū)、軍兵種物油部管理機(jī)構(gòu)之間還要有一個(gè)快速響應(yīng)的信息安全事故收集、匯總、處理及反饋體系。

(二)信息安全管理制度與策略。

信息安全管理制度應(yīng)針對(duì)軍隊(duì)物資采購(gòu)系統(tǒng)現(xiàn)狀與發(fā)展方向來(lái)制定,要充分考慮可操作性。現(xiàn)階段可根據(jù)“積極防御、綜合防范”的方針,制定內(nèi)部網(wǎng)、OA網(wǎng)、外部網(wǎng)的管理辦法,明確用戶的訪問(wèn)權(quán)限。制定生產(chǎn)系統(tǒng)運(yùn)行管理辦法。嚴(yán)格實(shí)行分崗制衡、分級(jí)授權(quán),嚴(yán)格執(zhí)行生產(chǎn)系統(tǒng)時(shí)間管理、備份管理、數(shù)據(jù)管理和口令管理。

(三)信息安全分級(jí)管理。

信息安全分級(jí)管理,是將信息資源根據(jù)重要性進(jìn)行分級(jí),對(duì)不同級(jí)別的信息資產(chǎn)采用不同級(jí)別信息安全保護(hù)措施,國(guó)家已將信息安全等級(jí)保護(hù)監(jiān)督劃分為五個(gè)級(jí)別,分別為自主性保護(hù)、指導(dǎo)性保護(hù)、專控性保護(hù)。

軍隊(duì)物資采購(gòu)系統(tǒng)可以結(jié)合實(shí)際情況,將信息資產(chǎn)分為“三級(jí)”或“五級(jí)”保護(hù),目的在于突出重點(diǎn),抓住關(guān)鍵,兼顧一般,合理保護(hù)。分級(jí)管理的方法是分析危險(xiǎn)源或危險(xiǎn)點(diǎn),評(píng)估其重要性,再分設(shè)等級(jí),從而采取不同的保護(hù)措施。比如,對(duì)于采購(gòu)機(jī)構(gòu)業(yè)務(wù)機(jī)房,可采取門禁與限制進(jìn)入等方式進(jìn)行保護(hù);針對(duì)采購(gòu)中相關(guān)數(shù)據(jù)的提供,可設(shè)計(jì)一定的審判流程,根據(jù)數(shù)據(jù)的重要程度,分為公開信息、優(yōu)先共享信息、內(nèi)部一般信息、內(nèi)部控制信息、內(nèi)部關(guān)鍵信息和內(nèi)部核心信息,實(shí)施嚴(yán)格的授權(quán)控制;對(duì)于信息安全事故,可分為重大事故、一般事故、輕微事故等,采取不同的處置方案。

(四)信息安全集中監(jiān)控與處置。

設(shè)立集中運(yùn)行的信息安全監(jiān)控處置中心,及時(shí)監(jiān)控、發(fā)現(xiàn)安全事故,做到響應(yīng)快速、處置果斷,并實(shí)施應(yīng)急恢復(fù)。結(jié)合軍隊(duì)物資采購(gòu)系統(tǒng)當(dāng)前實(shí)際情況,可對(duì)網(wǎng)絡(luò)、服務(wù)器等運(yùn)行設(shè)備進(jìn)行集中監(jiān)控,開展服務(wù)器容量管理、網(wǎng)絡(luò)流量監(jiān)控;對(duì)應(yīng)用系統(tǒng)采取防范與監(jiān)控相結(jié)合的方式,對(duì)信息系統(tǒng)的數(shù)據(jù)設(shè)置校驗(yàn)碼,防止非法修改;在開發(fā)應(yīng)用系統(tǒng)的同時(shí),還應(yīng)開發(fā)相應(yīng)的審計(jì)檢查監(jiān)控程序,由各單位分別運(yùn)行和維護(hù),由上級(jí)采購(gòu)管理機(jī)構(gòu)定期查驗(yàn)和監(jiān)督,及時(shí)發(fā)現(xiàn)數(shù)據(jù)信息存在的風(fēng)險(xiǎn)。

四、信息安全管理系統(tǒng)

實(shí)現(xiàn)信息安全管理的集中運(yùn)行,需借助信息安全管理系統(tǒng)。各軍隊(duì)采購(gòu)機(jī)構(gòu)和部門可以按照上級(jí)下達(dá)的統(tǒng)一標(biāo)準(zhǔn),構(gòu)建基于同一操作平臺(tái)的信息安全管理系統(tǒng),幫助安全管理中心實(shí)現(xiàn)系統(tǒng)的監(jiān)控、分析、預(yù)警等功能,實(shí)現(xiàn)信息安全事故處理的收集、存儲(chǔ)、分析等功能,及時(shí)對(duì)信息風(fēng)險(xiǎn)作出反饋。

(一)監(jiān)控功能。

為采辦機(jī)構(gòu)和部門的相關(guān)信息處理和傳輸設(shè)備配置專人管理,并設(shè)置機(jī)房日志管理、服務(wù)器性能日志管理、服務(wù)器容量日志管理、數(shù)據(jù)修改日志管理、流量監(jiān)控日志等功能,酌情設(shè)置數(shù)據(jù)檢測(cè)結(jié)果日志管理功能。通過(guò)對(duì)存儲(chǔ)、傳輸和刪改的操作進(jìn)行管理,達(dá)到監(jiān)督控制的目的。

(二)處理功能.

根據(jù)采辦單位所在環(huán)境和情況,自主設(shè)置安全事故報(bào)告、響應(yīng)、處置等采辦信息管理功能,對(duì)于高級(jí)別信息,也可以采用每天零報(bào)告措施。通過(guò)信息處理的簡(jiǎn)化、優(yōu)化和快速反應(yīng),提高信息安全保障能力,從而保證軍隊(duì)采購(gòu)的正常進(jìn)行。

(三)安全等級(jí)管理功能。

篇(7)

(一)安全制度落實(shí)情況

1、成立了安全小組。明確了信息安全的主管領(lǐng)導(dǎo)和具體負(fù)責(zé)管護(hù)人員,安全小組為管理機(jī)構(gòu)。

2、建立了信息安全責(zé)任制。按責(zé)任規(guī)定:保密小組對(duì)信息安全負(fù)首責(zé),主管領(lǐng)導(dǎo)負(fù)總責(zé),具體管理人負(fù)主責(zé)。

3、制定了計(jì)算機(jī)及網(wǎng)絡(luò)的保密管理制度。鎮(zhèn)網(wǎng)站的信息管護(hù)人員負(fù)責(zé)保密管理,密碼管理,對(duì)計(jì)算機(jī)享有獨(dú)立使用權(quán),計(jì)算機(jī)的用戶名和開機(jī)密碼為其專有,且規(guī)定嚴(yán)禁外泄。

(二)安全防范措施落實(shí)情況

1、涉密計(jì)算機(jī)經(jīng)過(guò)了保密技術(shù)檢查,并安裝了防火墻。同時(shí)配置安裝了專業(yè)殺毒軟件,加強(qiáng)了在防篡改、防病毒、防攻擊、防癱瘓、防泄密等方面有效性。

2、涉密計(jì)算機(jī)都設(shè)有開機(jī)密碼,由專人保管負(fù)責(zé)。同時(shí),涉密計(jì)算機(jī)相互共享之間沒(méi)有嚴(yán)格的身份認(rèn)證和訪問(wèn)控制。

3、網(wǎng)絡(luò)終端沒(méi)有違規(guī)上國(guó)際互聯(lián)網(wǎng)及其他的信息網(wǎng)的現(xiàn)象,沒(méi)有安裝無(wú)線網(wǎng)絡(luò)等。

4、安裝了針對(duì)移動(dòng)存儲(chǔ)設(shè)備的專業(yè)殺毒軟件。

(三)應(yīng)急響應(yīng)機(jī)制建設(shè)情況

1、制定了初步應(yīng)急預(yù)案,并隨著信息化程度的深入,結(jié)合我鎮(zhèn)實(shí)際,處于不斷完善階段。

2、堅(jiān)持和涉密計(jì)算機(jī)系統(tǒng)定點(diǎn)維修單位聯(lián)系機(jī)關(guān)計(jì)算機(jī)維修事宜,并商定其給予鎮(zhèn)應(yīng)急技術(shù)以最大程度的支持。

3、嚴(yán)格文件的收發(fā),完善了清點(diǎn)、修理、編號(hào)、簽收制度,并要求信息管理員每天下班前進(jìn)行系統(tǒng)備份。

(四)信息技術(shù)產(chǎn)品和服務(wù)國(guó)產(chǎn)化情況

1、終端計(jì)算機(jī)的保密系統(tǒng)和防火墻、殺毒軟件等,皆為國(guó)產(chǎn)產(chǎn)品。

2、公文處理軟件具體使用金山軟件的wps系統(tǒng)。

3、工資系統(tǒng)、年報(bào)系統(tǒng)等皆為市政府、市委統(tǒng)一指定產(chǎn)品系統(tǒng)。

(五)安全教育培訓(xùn)情況

1、派專人參加了市政府組織的網(wǎng)絡(luò)系統(tǒng)安全知識(shí)培訓(xùn),并專門負(fù)責(zé)我鎮(zhèn)的網(wǎng)絡(luò)安全管理和信息安全工作。

2、安全小組組織了一次對(duì)基本的信息安全常識(shí)的學(xué)習(xí)活動(dòng)。

二、自查中發(fā)現(xiàn)的不足和整改意見(jiàn)

根據(jù)《通知》中的具體要求,在自查過(guò)程中我們也發(fā)現(xiàn)了一些不足,同時(shí)結(jié)合我鎮(zhèn)實(shí)際,今后要在以下幾個(gè)方面進(jìn)行整改。

1、安全意識(shí)不夠。要繼續(xù)加強(qiáng)對(duì)機(jī)關(guān)干部的安全意識(shí)教育,提高做好安全工作的主動(dòng)性和自覺(jué)性。

篇(8)

第二條電子政務(wù)信息安全工作應(yīng)遵循注重實(shí)效、促進(jìn)發(fā)展、強(qiáng)化管理和積極防范的原則。

第三條省信息化工作領(lǐng)導(dǎo)小組辦公室根據(jù)省信息化工作領(lǐng)導(dǎo)小組關(guān)于電子政務(wù)信息安全工作的決策,負(fù)責(zé)組織協(xié)調(diào)全省電子政務(wù)信息安全工作,并對(duì)執(zhí)行情況進(jìn)行檢查監(jiān)督。省直各有關(guān)部門根據(jù)各自職能分工負(fù)責(zé)電子政務(wù)信息安全的具體工作。各市電子政務(wù)主管部門負(fù)責(zé)本市電子政務(wù)信息安全工作。

第四條由省信息化工作領(lǐng)導(dǎo)小組辦公室牽頭,會(huì)同省信息產(chǎn)業(yè)廳、保密局、公安廳、科技廳組成省電子政務(wù)信息安全工作小組,負(fù)責(zé)制定全省電子政務(wù)信息安全策略和工作規(guī)范,建立全省電子政務(wù)信息安全風(fēng)險(xiǎn)評(píng)估體系。各單位要制定本單位電子政務(wù)信息安全措施,定期進(jìn)行安全風(fēng)險(xiǎn)評(píng)估,落實(shí)信息安全工作責(zé)任制,建立健全信息安全工作規(guī)章制度,并于每年6月份書面報(bào)本級(jí)電子政務(wù)主管部門備案。

第五條電子政務(wù)網(wǎng)絡(luò)由政務(wù)內(nèi)網(wǎng)和政務(wù)外網(wǎng)構(gòu)成,兩網(wǎng)之間物理隔離。電子政務(wù)內(nèi)網(wǎng)是政務(wù)部門的辦公專網(wǎng),連接包括省四套班子和省直各部門。電子政務(wù)內(nèi)網(wǎng)信息安全管理要嚴(yán)格執(zhí)行國(guó)家有關(guān)規(guī)定。

第六條電子政務(wù)外網(wǎng)是政府的業(yè)務(wù)專網(wǎng)。全省建設(shè)一個(gè)統(tǒng)一的電子政務(wù)外網(wǎng),凡是不涉及國(guó)家秘密的、面向社會(huì)的專業(yè)業(yè)務(wù)系統(tǒng)和不需在內(nèi)網(wǎng)上運(yùn)行的業(yè)務(wù)系統(tǒng)必須接入或建在電子政務(wù)外網(wǎng)上,并采用電子政務(wù)外網(wǎng)上所要求的信息安全措施。

第七條電子政務(wù)外網(wǎng)必須與國(guó)際互聯(lián)網(wǎng)和其他公共信息網(wǎng)絡(luò)實(shí)行邏輯隔離。全省統(tǒng)一管理電子政務(wù)外網(wǎng)的國(guó)際互聯(lián)網(wǎng)出口。凡接入電子政務(wù)外網(wǎng)的電子政務(wù)應(yīng)用系統(tǒng),不得擅自連接到國(guó)際互聯(lián)網(wǎng)。在國(guó)際互聯(lián)網(wǎng)上運(yùn)行的政府網(wǎng)站,要采取必要的信息安全措施方可接入電子政務(wù)外網(wǎng)。

第八條在電子政務(wù)外網(wǎng)上建立統(tǒng)一的數(shù)字證書認(rèn)證體系,建立電子政務(wù)安全信任機(jī)制和授權(quán)管理機(jī)制。凡接入電子政務(wù)外網(wǎng)的應(yīng)用系統(tǒng)必須采用省電子政務(wù)認(rèn)證中心發(fā)放的數(shù)字證書。各市可直接采用省電子政務(wù)認(rèn)證中心提供的數(shù)字證書注冊(cè)服務(wù),也可根據(jù)實(shí)際應(yīng)用情況建立本市數(shù)字證書注冊(cè)服務(wù)中心,負(fù)責(zé)本市范圍內(nèi)數(shù)字證書的登記注冊(cè)。

第九條各級(jí)電子政務(wù)外網(wǎng)網(wǎng)絡(luò)管理單位負(fù)責(zé)本級(jí)電子政務(wù)外網(wǎng)的公共安全工作,建立信息網(wǎng)絡(luò)安全責(zé)任制。要對(duì)所管理的本級(jí)外網(wǎng)網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)監(jiān)控,定期進(jìn)行安全性能檢測(cè),定期向主管部門通報(bào)網(wǎng)絡(luò)安全狀況信息,并向其網(wǎng)絡(luò)用戶單位提供安全預(yù)警服務(wù)。

第十條電子政務(wù)外網(wǎng)要建立應(yīng)急處理和災(zāi)難恢復(fù)機(jī)制。應(yīng)急支援中心和數(shù)據(jù)災(zāi)難備份中心要制定數(shù)據(jù)備份制度,制定事故應(yīng)急響應(yīng)和支援處理措施,制定數(shù)據(jù)災(zāi)難恢復(fù)策略和災(zāi)難恢復(fù)預(yù)案,并報(bào)本級(jí)電子政務(wù)信息安全主管部門備案。全省性電子政務(wù)應(yīng)用系統(tǒng)的主要數(shù)據(jù)庫(kù)和重要的基礎(chǔ)性數(shù)據(jù)庫(kù),必須在應(yīng)急支援中心和數(shù)據(jù)災(zāi)難備份中心實(shí)現(xiàn)異地備份。

第十一條各單位要根據(jù)國(guó)家有關(guān)信息安全保護(hù)等級(jí)的保護(hù)規(guī)范,明確本單位電子政務(wù)應(yīng)用系統(tǒng)的安全等級(jí),并按照保護(hù)規(guī)范進(jìn)行安全建設(shè)、安全管理和邊界保護(hù)。各單位負(fù)責(zé)其應(yīng)用系統(tǒng)接入電子政務(wù)外網(wǎng)之前的所有安全工作,并配合網(wǎng)絡(luò)管理單位進(jìn)行網(wǎng)絡(luò)安全管理和檢查工作。

第十二條各單位要明確信息采集、、維護(hù)的規(guī)范程序,確保其電子政務(wù)應(yīng)用系統(tǒng)運(yùn)行的數(shù)據(jù)信息真實(shí)準(zhǔn)確、安全可靠。各單位要按照“誰(shuí)上網(wǎng)誰(shuí)負(fù)責(zé)”的原則,保證其在電子政務(wù)外網(wǎng)上運(yùn)行的數(shù)據(jù)信息真實(shí)可靠,且不得涉及國(guó)家秘密。

第十三條各單位的電子政務(wù)應(yīng)用系統(tǒng)要建立數(shù)據(jù)信息的存取訪問(wèn)控制機(jī)制,按數(shù)據(jù)信息的重要程度進(jìn)行分類,劃分訪問(wèn)和存儲(chǔ)等級(jí),設(shè)立訪問(wèn)和存儲(chǔ)權(quán)限,防止越權(quán)存取數(shù)據(jù)信息。

第十四條各單位的電子政務(wù)應(yīng)用系統(tǒng)要建立信息審計(jì)跟蹤機(jī)制,對(duì)用戶每次訪問(wèn)系統(tǒng)的情況以及系統(tǒng)出錯(cuò)和配置修改等信息均應(yīng)有詳細(xì)記錄。

篇(9)

中國(guó)和亞太地區(qū)是伊頓在全球范圍內(nèi)具有戰(zhàn)略意義的市場(chǎng)。羅世光相信,中國(guó)數(shù)據(jù)中心市場(chǎng)的快速增長(zhǎng)將給伊頓的電能質(zhì)量業(yè)務(wù)帶來(lái)更大的增長(zhǎng)機(jī)會(huì)。因此,在2014年,伊頓將加強(qiáng)與商的合作,拓展分銷渠道,進(jìn)一步推進(jìn)與本土市場(chǎng)的全面融合,同時(shí)加大對(duì)本土產(chǎn)品研發(fā)和檢測(cè)的能力,提供更多符合中國(guó)客戶需求的高效節(jié)能的電能質(zhì)量解決方案。

深圳是伊頓面向全球的研發(fā)和生產(chǎn)基地。三家位于深圳的工廠擁有5000多名員工、29條先進(jìn)的自動(dòng)化生產(chǎn)線,年產(chǎn)UPS達(dá)到800萬(wàn)臺(tái)。伊頓在深圳設(shè)立的研發(fā)中心也是其全球三大電氣研發(fā)基地之一,產(chǎn)品研發(fā)和測(cè)試工程師超過(guò)1000人。

剛啟用的伊頓在深圳的亞太區(qū)電能質(zhì)量產(chǎn)品和系統(tǒng)檢測(cè)中心,是除美國(guó)、芬蘭之外,伊頓在全球擁有的第三個(gè)產(chǎn)品和系統(tǒng)檢測(cè)中心。“該檢測(cè)中心同時(shí)也是客戶體驗(yàn)中心,配備了全球領(lǐng)先的檢測(cè)設(shè)備和技術(shù),不僅能夠檢測(cè)單體設(shè)備,還能對(duì)包括UPS、電源分配單元(PDU)、AMS監(jiān)測(cè)系統(tǒng)和第三方設(shè)備的整個(gè)電能系統(tǒng)解決方案進(jìn)行測(cè)試,其最大測(cè)試能力是可對(duì)兩臺(tái)并聯(lián)的1100kW的UPS進(jìn)行測(cè)試。”羅世光介紹說(shuō),“客戶在選擇一款定制的電能解決方案后,即可在檢測(cè)中心看到其運(yùn)行的全過(guò)程,通過(guò)親身體驗(yàn)增進(jìn)對(duì)產(chǎn)品的了解和信心。”

“過(guò)去3~4年中,我們?cè)谥袊?guó)市場(chǎng)的總投入已經(jīng)超過(guò)1200萬(wàn)美元。我們?nèi)栽诔掷m(xù)加強(qiáng)中國(guó)本地化,并從去年底開始進(jìn)一步提升了針對(duì)中國(guó)用戶的售前和售后服務(wù)能力。”羅世光告訴記者,“目前,我們90%的UPS都在深圳研發(fā)和生產(chǎn)。最近,深圳研發(fā)中心剛剛研制出一款新的UPS產(chǎn)品。與許多跨國(guó)企業(yè)采取的遠(yuǎn)程遙控式的本地研發(fā)策略相比,我們是實(shí)實(shí)在在地將研發(fā)部門落戶在深圳,為亞太和中國(guó)市場(chǎng)提供本地化服務(wù)的同時(shí)也面向全球客戶。”

云計(jì)算與大數(shù)據(jù)的發(fā)展推動(dòng)了大型數(shù)據(jù)中心的快速發(fā)展,用戶對(duì)數(shù)據(jù)中心整體解決方案和定制化解決方案的需求也與日俱增。“從2010年開始,伊頓增加了為中國(guó)客戶定制數(shù)據(jù)中心解決方案的服務(wù)。在今年的商大會(huì)上,我看到了商和用戶的積極反饋。”羅世光表示。

針對(duì)小型數(shù)據(jù)中心,伊頓可以提供模塊化、標(biāo)準(zhǔn)化的解決方案;針對(duì)中型數(shù)據(jù)中心,伊頓可以針對(duì)不同行業(yè)客戶的需求,提供有差異化的解決方案;針對(duì)大型數(shù)據(jù)中心,伊頓可以提供按需擴(kuò)展的高能效、低整體擁有成本的解決方案。從產(chǎn)品到系統(tǒng)再到整體解決方案,這不僅對(duì)伊頓是一個(gè)新的挑戰(zhàn),對(duì)其商來(lái)說(shuō)也要經(jīng)歷一個(gè)大的轉(zhuǎn)變。

為了迅速提升商銷售解決方案的能力,伊頓一方面不斷更新其數(shù)據(jù)中心整體解決方案,另一方面加強(qiáng)對(duì)商的銷售培訓(xùn),實(shí)現(xiàn)信息共享。羅世光表示:“我們提供的定制化解決方案一方面要滿足用戶的個(gè)性化需求,另一方面還要保持開放性。我們將為用戶提供解決方案與服務(wù)打包的一體化解決方案。”

第三屆全國(guó)等級(jí)保護(hù)技術(shù)大會(huì)征文通知

為深入貫徹落實(shí)國(guó)家關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的文件精神,進(jìn)一步推進(jìn)信息安全等級(jí)保護(hù)技術(shù)交流,經(jīng)公安主管部門同意,公安部第一研究所擬于2014年7月舉辦第三屆全國(guó)信息安全等級(jí)保護(hù)技術(shù)大會(huì)(ICSP’2014)。

會(huì)議擬請(qǐng)公安、工業(yè)和信息化、國(guó)家保密、國(guó)家密碼管理主管部門、中國(guó)科學(xué)院、國(guó)家網(wǎng)絡(luò)與信息安全信息通報(bào)中心等部門擔(dān)任指導(dǎo)單位,同時(shí)將出版論文集,經(jīng)專家評(píng)選的部分優(yōu)秀論文,將推薦至國(guó)家核心期刊發(fā)表。現(xiàn)就會(huì)議征文的有關(guān)情況通知如下:

一、征文范圍

1. 新技術(shù)應(yīng)用環(huán)境下信息安全等級(jí)保護(hù)技術(shù):物聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)、工控系統(tǒng)、移動(dòng)接入網(wǎng)、下一代互聯(lián)網(wǎng)(IPv6)等新技術(shù)、環(huán)境下的等級(jí)保護(hù)支撐技術(shù),等級(jí)保護(hù)技術(shù)體系在新環(huán)境下的應(yīng)用方法;

2. 關(guān)鍵基礎(chǔ)設(shè)施信息安全保護(hù)技術(shù):政府部門及金融、交通、電力、能源、通信、制造等重要行業(yè)網(wǎng)站、核心業(yè)務(wù)信息系統(tǒng)等安全威脅、隱患分析及防范措施;

3. 國(guó)內(nèi)外信息安全管理政策與策略:信息安全管理政策和策略研究,信息安全管理體制和機(jī)制特點(diǎn),信息安全管理標(biāo)準(zhǔn)發(fā)展對(duì)策,網(wǎng)絡(luò)恐怖的特點(diǎn)、趨勢(shì)、危害研究;

4. 信息安全預(yù)警與突發(fā)事件應(yīng)急處置技術(shù):攻擊監(jiān)測(cè)技術(shù),態(tài)勢(shì)感知預(yù)警技術(shù),安全監(jiān)測(cè)技術(shù),安全事件響應(yīng)技術(shù),應(yīng)急處置技術(shù),災(zāi)難備份技術(shù),恢復(fù)和跟蹤技術(shù),風(fēng)險(xiǎn)評(píng)估技術(shù);

5. 信息安全等級(jí)保護(hù)建設(shè)技術(shù):密碼技術(shù),可信計(jì)算技術(shù),網(wǎng)絡(luò)實(shí)名制等體系模型與構(gòu)建技術(shù),漏洞檢測(cè)技術(shù),網(wǎng)絡(luò)監(jiān)測(cè)與監(jiān)管技術(shù),網(wǎng)絡(luò)身份認(rèn)證技術(shù),網(wǎng)絡(luò)攻防技術(shù),軟件安全技術(shù),信任體系研究;

6. 信息安全等級(jí)保護(hù)監(jiān)管技術(shù):用于支撐安全監(jiān)測(cè)的數(shù)據(jù)采集、挖掘與分析技術(shù),用于支撐安全監(jiān)管的敏感數(shù)據(jù)發(fā)現(xiàn)與保護(hù)技術(shù),安全態(tài)勢(shì)評(píng)估技術(shù),安全事件關(guān)聯(lián)分析技術(shù)、安全績(jī)效評(píng)估技術(shù),電子數(shù)據(jù)取證和鑒定技術(shù);

7. 信息安全等級(jí)保護(hù)測(cè)評(píng)技術(shù):標(biāo)準(zhǔn)符合性檢驗(yàn)技術(shù),安全基準(zhǔn)驗(yàn)證技術(shù),源代碼安全分析技術(shù),逆向工程剖析技術(shù),滲透測(cè)試技術(shù),測(cè)評(píng)工具和測(cè)評(píng)方法;

8. 信息安全等級(jí)保護(hù)策略與機(jī)制:網(wǎng)絡(luò)安全綜合防控體系建設(shè),重要信息系統(tǒng)的安全威脅與脆弱性分析,縱深防御策略,大數(shù)據(jù)安全保護(hù)策略,信息安全保障工作評(píng)價(jià)機(jī)制、應(yīng)急響應(yīng)機(jī)制、安全監(jiān)測(cè)預(yù)警機(jī)制。

二、投稿要求

1. 來(lái)稿內(nèi)容應(yīng)屬于作者的科研成果,數(shù)據(jù)真實(shí)、可靠,未公開發(fā)表過(guò),引用他人成果已注明出處,署名無(wú)爭(zhēng)議,論文摘要及全文不涉及保密內(nèi)容;

2. 會(huì)議只接受以Word排版的電子稿件,稿件一般不超過(guò)5000字;

3. 稿件以Email方式發(fā)送到征稿郵箱;

4. 凡投稿文章被錄用且未作特殊聲明者,視為已同意授權(quán)出版;

5. 提交截止日期: 2014年5月25日。

三、聯(lián)系方式

通信地址:北京市海淀區(qū)首都體育館南路1號(hào)

郵編:100048

Email:.cn

聯(lián)系人: 范博、王晨

聯(lián)系電話:010-68773930,

篇(10)

中圖分類號(hào):TU984 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):

當(dāng)前,國(guó)家數(shù)字化城市建設(shè)正在深入展開,作為城市數(shù)字化重要做成部分的電子政務(wù)建設(shè)也在進(jìn)一步完善。城市數(shù)字化的發(fā)展離不開城市電子政務(wù)平臺(tái)的建設(shè),而城市電子政務(wù)平臺(tái)的建設(shè)離不開快速安全的網(wǎng)絡(luò)存儲(chǔ)以及數(shù)據(jù)倉(cāng)庫(kù)技術(shù)。電子政務(wù)平臺(tái)上有相當(dāng)多的政府公文在流轉(zhuǎn),其中不乏重要情報(bào),關(guān)系到國(guó)家安全和社會(huì)穩(wěn)定。因此,如何保證這種基于網(wǎng)絡(luò)的,符合internet技術(shù)保準(zhǔn)的、面向政府機(jī)關(guān)內(nèi)部和其他政府機(jī)構(gòu)、企業(yè)以及社會(huì)公眾提供信息服務(wù)和信息處理的系統(tǒng)安全就顯得十分重要,本文就目前電子政務(wù)的安全問(wèn)題做簡(jiǎn)要的分析。

城市電子政務(wù)的安全現(xiàn)狀

城市電子政務(wù)系統(tǒng)提供科學(xué)決策、監(jiān)管控制、大眾服務(wù)等功能,信息安全是其成功實(shí)現(xiàn)功能的保障。解決好信息共享和保密性的關(guān)系、開放性和保護(hù)隱私的關(guān)系、互聯(lián)性和局部隔離的關(guān)系,是實(shí)現(xiàn)安全城市電子政務(wù)的前提。

城市電子政務(wù)潛在的安全威脅正在逐漸轉(zhuǎn)化成現(xiàn)實(shí)。根據(jù)美國(guó)的一項(xiàng)調(diào)查,美國(guó)每年因?yàn)榫W(wǎng)絡(luò)安全問(wèn)題造成的經(jīng)濟(jì)損失就高達(dá)170億美元。如果沒(méi)有有效的安全的措施,城市電子政務(wù)的權(quán)威性會(huì)遭到質(zhì)疑,政府辦公就不能真正實(shí)現(xiàn)電子化,走到網(wǎng)絡(luò)上來(lái)。

城市電子政務(wù)安全面臨的主要問(wèn)題

安全管理的標(biāo)準(zhǔn)問(wèn)題

安全管理的標(biāo)準(zhǔn)建設(shè)是非常重要的一項(xiàng)安全問(wèn)題。目前,國(guó)際上尚沒(méi)有可供參考的標(biāo)準(zhǔn)的安全管理的標(biāo)準(zhǔn),各個(gè)地區(qū)根據(jù)自己的實(shí)際情況制定的安全管理標(biāo)準(zhǔn)參差不齊,出入差別很大,而恰恰是在這方面是安全問(wèn)題最薄弱的環(huán)節(jié)。追究其關(guān)鍵是由于法律意識(shí)和管理意識(shí)不強(qiáng),管理缺乏經(jīng)驗(yàn)和依據(jù),即便是建立了相應(yīng)的制度也是考慮的不夠全面,甚至許多建立了制度的單位也由于組織的不完善而不能得到真正的貫徹執(zhí)行。

2、信息安全保障體系問(wèn)題

信息安全保障體系是基于PKI體系而開發(fā)的為多個(gè)應(yīng)用系統(tǒng)提供統(tǒng)一認(rèn)證、訪問(wèn)控制、應(yīng)用審計(jì)和遠(yuǎn)程接入的應(yīng)用安全網(wǎng)關(guān)系統(tǒng),它可以將不同地理位置、不同基礎(chǔ)設(shè)施(主機(jī)、網(wǎng)絡(luò)設(shè)備和安全設(shè)備等)中分散且海量的安全信息進(jìn)行樣式化、匯總、過(guò)濾和關(guān)聯(lián)分析,形成基于基礎(chǔ)設(shè)施與域的統(tǒng)一等級(jí)的威脅與風(fēng)險(xiǎn)管理,并依托安全知識(shí)庫(kù)和工作流程驅(qū)動(dòng),對(duì)威脅與風(fēng)險(xiǎn)進(jìn)行響應(yīng)和處理。信息安全保障體系問(wèn)題主要有: 保密性即主要體現(xiàn)在誰(shuí)能擁有信息,如何保證秘密和敏感信息僅為授權(quán)者享有; 完整性即主要體現(xiàn)在擁有的信息是否正確以及如何保證信息從真實(shí)的信源發(fā)往真實(shí)的信宿,傳輸、存儲(chǔ)、處理中未被刪改、增添、替換;可用性即主要體現(xiàn)在信息和信息系統(tǒng)是否能夠使用以及如何保證信息和信息系統(tǒng)隨時(shí)可為授權(quán)者提供服務(wù)而不被非授權(quán)者濫用;可控性即主要體現(xiàn)在是否能夠監(jiān)控管理信息和系統(tǒng)以及如何保證信息和信息系統(tǒng)的授權(quán)認(rèn)證和監(jiān)控管理;不可否認(rèn)性即主要體現(xiàn)在信息行為人為信息行為承擔(dān)責(zé)任,保證信息行為人不能否認(rèn)其信息行為。

響應(yīng)恢復(fù)的及時(shí)性問(wèn)題

城市電子政務(wù)是政府的對(duì)外服務(wù)窗口,它在很大程度上代表了政府的形像,其對(duì)災(zāi)難恢復(fù)和響應(yīng)的真實(shí)性、可靠性、及時(shí)性、方便性都是十分關(guān)鍵的。同時(shí)要特別關(guān)注信息被篡改、虛假信息被、系統(tǒng)平臺(tái)被攻擊、系統(tǒng)服務(wù)被阻塞等安全隱患問(wèn)題。

信息數(shù)據(jù)的安全性問(wèn)題

信息數(shù)據(jù)安全是基礎(chǔ)性工作,數(shù)據(jù)作為系統(tǒng)的最終元素,是系統(tǒng)安全保障的根本,對(duì)于電子政務(wù)而言尤為重要,而數(shù)據(jù)安全隱患主要有竊取、篡改、假冒、詆毀等。

網(wǎng)絡(luò)工作的協(xié)調(diào)性

政務(wù)工作網(wǎng)絡(luò)化本身與網(wǎng)絡(luò)安全是一對(duì)實(shí)際存在的矛盾。網(wǎng)絡(luò)化要求通暢交流,安全要求控制交流,這里除了處理網(wǎng)絡(luò)技術(shù)本身存在的隱患外,主要是政府網(wǎng)絡(luò)要求物理隔離,而各種交流可能直接引起網(wǎng)絡(luò)的聯(lián)通,由于聯(lián)通而引起外部攻擊的風(fēng)險(xiǎn)就會(huì)大大提高。同時(shí),由于大部分工作是在內(nèi)部網(wǎng)絡(luò)進(jìn)行的,內(nèi)部人員通過(guò)內(nèi)部網(wǎng)絡(luò)安全防護(hù)不嚴(yán)的漏洞和弱點(diǎn)直接攻擊系統(tǒng)、應(yīng)用系統(tǒng)漏洞來(lái)竊取重要信息。其中,假冒身份登錄等也是網(wǎng)絡(luò)工作中的重要安全問(wèn)題。

系統(tǒng)交流的嚴(yán)密性

城市政府電子政務(wù)系統(tǒng)可能與電子商務(wù)系統(tǒng)、企業(yè)辦公系統(tǒng)、internet網(wǎng)站互相交流,實(shí)際的安全控制就會(huì)隨之增加。由于涉及的范圍太廣,實(shí)際上安全問(wèn)題可能會(huì)漏洞百出,可能各個(gè)方面的交流通道都會(huì)成為外部攻擊的主要途徑,并使城市政府電子政務(wù)系統(tǒng)其他方面的隱患防范效果大大降低。

解決對(duì)策和建議

1、建立相應(yīng)的法規(guī)體系

在法律上逐漸建立起相應(yīng)的法律體系和對(duì)城市電子政務(wù)系統(tǒng)的安全有保障的法規(guī)。眾所周知,美國(guó)已經(jīng)有關(guān)于網(wǎng)上管理的立法三千多條。所以,當(dāng)前建立起標(biāo)準(zhǔn)的相應(yīng)的法律法規(guī)就顯得十分重要,如,我國(guó)2008年公布的《中華人民共和國(guó)政府信息公開條例》就為各個(gè)地區(qū)電子政務(wù)的發(fā)展提供了有力的保障。另外,還需要制定相應(yīng)的行業(yè)網(wǎng)絡(luò)法規(guī),進(jìn)一步完善現(xiàn)有法規(guī),根據(jù)實(shí)際實(shí)施情況作出相應(yīng)調(diào)整,使其更加適應(yīng)互聯(lián)網(wǎng)絡(luò)的發(fā)展。

2、建立安全管理的體系

通常情況下,信息網(wǎng)絡(luò)系統(tǒng)的安全必須健全相應(yīng)的管理措、管理機(jī)構(gòu)、管理依據(jù)、管理制度和管理流程。對(duì)日常操作、審查監(jiān)督、流程管理進(jìn)行統(tǒng)一的管理。由于網(wǎng)絡(luò)漏洞的不斷出現(xiàn)與新的威脅的增加,必須通過(guò)網(wǎng)絡(luò)安全管理實(shí)現(xiàn)系統(tǒng)審計(jì),以對(duì)信息進(jìn)行綜合分析,不斷在運(yùn)行中調(diào)整安全策略,完善安全設(shè)計(jì),使安全策略更符合實(shí)際、安全設(shè)計(jì)更趨于合理化。

3、建立完善的技術(shù)體系

就城市電子政務(wù)的安全技術(shù)而言,所包括的內(nèi)容是十分豐富的,它可以從多個(gè)角度去考慮問(wèn)題,目前在技術(shù)體系上包括:具有良好保障的防火墻、防病毒技術(shù)、入侵檢測(cè)與漏洞掃描技術(shù)、認(rèn)證與加密技術(shù)等。針對(duì)電子政務(wù)的安全問(wèn)題,可采取下列安全防患措施:

訪問(wèn)控制。通過(guò)對(duì)特定網(wǎng)段、服務(wù)建立的訪問(wèn)控制體系,將絕大多數(shù)的攻擊阻止在達(dá)到攻擊的目的之前。

漏洞安全檢查。通過(guò)對(duì)安全漏洞的周期性檢查,即使攻擊可達(dá)到攻擊目標(biāo),也可以使絕大多數(shù)攻擊無(wú)效。

攻擊監(jiān)控。通過(guò)對(duì)特定網(wǎng)段、服務(wù)建立的攻擊監(jiān)控體系,可以實(shí)時(shí)監(jiān)測(cè)出絕大多數(shù)攻擊,并及時(shí)采取相應(yīng)的措施。

加密通訊。主動(dòng)的加密通訊,可以使攻擊者不能了解、修改敏感信息。

認(rèn)證。良好的認(rèn)證體系可以防止攻擊者假冒合法用戶登陸。

備份和恢復(fù)。良好的備份和系統(tǒng)恢復(fù)機(jī)制,可以在遭到惡意攻擊后減少損失,盡快的恢復(fù)數(shù)據(jù)和系統(tǒng)服務(wù)。

多層防御。攻擊者在突破第一道防線后,延緩或阻斷其達(dá)到攻擊目標(biāo)的目的。

隱藏內(nèi)部信息。可以是攻擊者不清楚系統(tǒng)內(nèi)信息的真實(shí)情況,找不到要找的目標(biāo)。

設(shè)立安全監(jiān)控中心。可以為信息系統(tǒng)提供安全體系管理、監(jiān)控、維護(hù)以及緊急情況的服務(wù)。

針對(duì)以上安全策略的各個(gè)方面都應(yīng)該有更加詳細(xì)的解決方案,所有解決方案都是從城市電子政務(wù)的安全的角度去考慮的,而不應(yīng)該是單一的方面。

4、建立響應(yīng)與恢復(fù)體系

電子政務(wù)系統(tǒng)中保存著大量的信息,必須建立一套完善的響應(yīng)和恢復(fù)體系,確保出現(xiàn)自然災(zāi)害、系統(tǒng)崩潰、網(wǎng)絡(luò)攻擊后硬件故障等時(shí)能夠及時(shí)恢復(fù)系統(tǒng)。安全技術(shù)本身是一個(gè)不斷發(fā)展的課題,安全廠商和黑客之間在彼此“交鋒”的工程中此消彼長(zhǎng),需要不斷地跟蹤最新的安全技術(shù)以及黑客攻防技術(shù)動(dòng)向。操作系統(tǒng)、應(yīng)用系統(tǒng)的安全漏洞應(yīng)該不斷地被及時(shí)發(fā)現(xiàn),需要及時(shí)給系統(tǒng)漏洞“打補(bǔ)丁”;安全產(chǎn)品在安裝配置的時(shí)候滿足了當(dāng)時(shí)環(huán)境的安全需要,但是隨著新的安全問(wèn)題的出現(xiàn),需要對(duì)原有的安全參數(shù)進(jìn)行重新配置,安全系統(tǒng)也要做相應(yīng)的升級(jí)、更新?lián)Q代;黑客或者其他基于政治目的的攻擊行為需要具有安全管理經(jīng)驗(yàn)的專業(yè)技術(shù)人員作出及時(shí)快速的應(yīng)急相應(yīng)服務(wù);由于計(jì)算機(jī)病毒或者人為誤操作或者黑客破壞行為而造成的硬盤數(shù)據(jù)、網(wǎng)絡(luò)數(shù)據(jù)的丟失和破壞,需要對(duì)系統(tǒng)進(jìn)行安全、快速的修復(fù)等。

響應(yīng)和恢復(fù)體系應(yīng)該具備以下條件

支持大容量存儲(chǔ)

支持異地備份和恢復(fù)

跨平臺(tái)的備份能力

支持多種存儲(chǔ)介質(zhì)和備份模式

支持自動(dòng)恢復(fù)機(jī)制

響應(yīng)和恢復(fù)的具體措施

日常維護(hù):包括網(wǎng)絡(luò)安全日志、網(wǎng)絡(luò)日常監(jiān)控、網(wǎng)絡(luò)安全設(shè)備的管理和配置、反病毒軟件、病毒代碼庫(kù)的定期升級(jí)以及安全技術(shù)管理人員的定期技術(shù)培訓(xùn)等。

應(yīng)急響應(yīng):主要包括安全事件的應(yīng)急響應(yīng)與計(jì)算機(jī)病毒事件的應(yīng)急響應(yīng)。

篇(11)

1.1計(jì)算機(jī)信息

信息是關(guān)于客觀事實(shí)的可通訊的知識(shí),信息是客觀世界各種事物表征的反映。“信息”又被稱為消息、資訊,通常以文字或聲音、圖像的形式來(lái)表現(xiàn),是數(shù)據(jù)按有意義的關(guān)聯(lián)排列的結(jié)果。目前,根據(jù)對(duì)信息的研究成果,我們可以將信息的概念科學(xué)的概括如下:信息是對(duì)客觀世界中各種事物的運(yùn)動(dòng)狀態(tài)和變化的反映,是客觀事物之間相互關(guān)聯(lián)和相互作用的表征,表現(xiàn)的是客觀事物運(yùn)動(dòng)狀態(tài)和變化的實(shí)質(zhì)內(nèi)容。

1.2計(jì)算機(jī)信息安全

信息安全是指信息系統(tǒng)(包括硬件、軟件、數(shù)據(jù)、人、物理環(huán)境極其基礎(chǔ)設(shè)施)受到保護(hù),不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統(tǒng)連續(xù)可靠正常的運(yùn)行,信息服務(wù)不中斷,最終實(shí)現(xiàn)業(yè)務(wù)連續(xù)性。主要包括信息系統(tǒng)或信息網(wǎng)絡(luò)中的信息資源免受各種類型的威脅、干擾和破壞,確保信息的完整性、可用性、保密性和可靠性,即確保信息的安全性。

2高校計(jì)算機(jī)信息安全管理理論

2.1計(jì)算機(jī)信息安全管理體系不健全

從目前高校的安全管理模式可以看出,仍在沿用傳統(tǒng)的“以經(jīng)驗(yàn)管理為主,以科學(xué)管理為輔”的較固定的管理模式。完全依靠開會(huì)強(qiáng)調(diào)安全管理的重要性,靠文件學(xué)習(xí)風(fēng)險(xiǎn)防范方法,靠人員的巡視檢查來(lái)督促各部門的對(duì)信息的安全防范。這樣簡(jiǎn)單的、被動(dòng)的、機(jī)械的管理模式,不能夠適應(yīng)現(xiàn)在這個(gè)多變的社會(huì)環(huán)境。沒(méi)有一個(gè)全員的安全緊迫性、全方位的安全管理程序,不主動(dòng)查缺補(bǔ)漏,輕視安全隱患,往往會(huì)鑄就大的安全管理問(wèn)題。

2.2計(jì)算機(jī)信息安全管理手段較單一

高校往往重視教學(xué)和科研業(yè)務(wù)上的績(jī)效考核、獎(jiǎng)勵(lì)激勵(lì),而忽略了在信息安全管理方面表現(xiàn)卓越的激勵(lì)、保障制度。有關(guān)信息安全管理的規(guī)章制度也不成為專門的考核標(biāo)準(zhǔn),一些信息安全管理方面的資金投入也較科研開發(fā)、教學(xué)業(yè)務(wù)拓展等較少。只是在出了事故后層層問(wèn)責(zé),而懈怠了平時(shí)的敦促、提醒、培訓(xùn)。沒(méi)能根據(jù)實(shí)際工作環(huán)境和社會(huì)變化趨勢(shì)來(lái)應(yīng)對(duì)信息安全問(wèn)題,管理手段和方法單一落后。

2.3計(jì)算機(jī)信息安全監(jiān)督機(jī)制不完善

監(jiān)管部門的安全監(jiān)督責(zé)任有待調(diào)整和規(guī)范。高校尚未出臺(tái)可資借鑒的安全監(jiān)督執(zhí)行力度標(biāo)準(zhǔn),這樣,就會(huì)影響組織機(jī)構(gòu)在進(jìn)行監(jiān)督信息安全管理時(shí)的執(zhí)行力度。有法可依、執(zhí)法必嚴(yán)應(yīng)是相關(guān)部門應(yīng)該秉承的監(jiān)督圭臬,可是現(xiàn)實(shí)情況是制度缺失、人浮于事,監(jiān)督機(jī)構(gòu)設(shè)置如同虛設(shè)。

2.4計(jì)算機(jī)信息安全人才缺乏

高校現(xiàn)階段的信息安全人員多為其他崗位的兼職人員,而且非信息安全專業(yè)人才,通常是進(jìn)入崗位后,根據(jù)職能需要,逐步學(xué)習(xí),經(jīng)過(guò)培訓(xùn)而掌握了信息安全技術(shù)知識(shí)的人員。

3完善高校計(jì)算機(jī)信息安全管理的對(duì)此

3.1建立信息安全預(yù)防體系

改進(jìn)高校的信息安全管理體系需要從全局出發(fā),從基礎(chǔ)做起,然后逐步完善。要有條理、有策略、有方法,不能冒進(jìn),也不能半途而廢。因此,要建立長(zhǎng)效的信息安全預(yù)防體系,必須出臺(tái)切實(shí)可行的運(yùn)行機(jī)制和控制手段,逐一落實(shí),使企業(yè)的安全信息管理體系形成良性、螺旋上升的改進(jìn)形式。

3.2建立信息安全預(yù)防管理控制手段

(1)注重管理策略和規(guī)程;(2)加強(qiáng)技術(shù)控制。

3.3建立信息安全預(yù)防管理運(yùn)行機(jī)制

3.3.1組建相關(guān)的組織機(jī)構(gòu)

建立其專門的安全監(jiān)管部,負(fù)責(zé)為高校的網(wǎng)絡(luò)與信息安全突發(fā)事件的監(jiān)測(cè)、預(yù)警和應(yīng)急處理工作提供技術(shù)支持,并參與重要的判研、事件調(diào)查和總結(jié)評(píng)估。

3.3.2建立應(yīng)急響應(yīng)機(jī)制

即當(dāng)安全監(jiān)管部門發(fā)現(xiàn)安全問(wèn)題,及時(shí)向相關(guān)部門通報(bào)提請(qǐng)注意,然后將安全問(wèn)題定級(jí),提出預(yù)警等級(jí)建議,向有關(guān)領(lǐng)導(dǎo)報(bào)審。接到上級(jí)領(lǐng)導(dǎo)反饋后技術(shù)部門采取有效措施啟動(dòng)應(yīng)急預(yù)案。當(dāng)預(yù)警問(wèn)題解決后,向上級(jí)請(qǐng)示,解除預(yù)警。事后形成事件調(diào)查和風(fēng)險(xiǎn)評(píng)估總結(jié),呈報(bào)領(lǐng)導(dǎo)。

3.4提高信息監(jiān)管人員的素質(zhì)

首先物色合適的人選,根據(jù)崗位工作性質(zhì),經(jīng)過(guò)嚴(yán)格的考察和科學(xué)的論證,找出或培訓(xùn)所需的人員。選聘過(guò)程嚴(yán)格可控,然后把具備不同素質(zhì)、能力和特長(zhǎng)的人分別安排人員配備齊整。培訓(xùn)之后上崗,從而使個(gè)崗位上的人充分履行自己的職責(zé),最終促進(jìn)組織結(jié)構(gòu)功能的有效發(fā)揮。在人員到崗后,也要經(jīng)常抽查崗位員工的工作技能和態(tài)度,測(cè)試和培訓(xùn)崗位需求,經(jīng)常組織人員學(xué)習(xí)先進(jìn)的信息技術(shù)和前沿項(xiàng)目。

4結(jié)論

信息安全管理時(shí)一個(gè)動(dòng)態(tài)發(fā)展的過(guò)程,信息技術(shù)日新月異,信息安全管理策略就要隨之動(dòng)態(tài)調(diào)整。信息安全管理體系的規(guī)劃、設(shè)計(jì)和實(shí)施流程也要根據(jù)實(shí)際運(yùn)作的情況不斷調(diào)整和該井。完備的計(jì)算機(jī)信息安全管理體系可以使高校信息資產(chǎn)安全得到有效的保障,將高校信息安全風(fēng)險(xiǎn)控制到最低。

作者:張超 單位:遼寧經(jīng)濟(jì)職業(yè)技術(shù)學(xué)院

參考文獻(xiàn):

[1]張文雷.談高校信息技術(shù)的網(wǎng)絡(luò)安全[J].信息與電腦(理論版),2014(06).

[2]湯贊.淺談我國(guó)網(wǎng)絡(luò)安全對(duì)高校信息技術(shù)的影響[J].科技與創(chuàng)新,2016(02).

主站蜘蛛池模板: 暴力调教一区二区三区| A级毛片成人网站免费看| 精品国产Av一区二区三区| 国产成人精品无码免费看| 8x8x华人永久免费视频| 女人全身裸无遮挡图片| 中文国产在线观看| 日本一道一区二区免费看 | 成人福利视频导航| 国产精品天干天干| 99re热久久这里只有精品6| 好吊操视频在线观看| 一级毛片黄色片| 成年女人18级毛片毛片免费| 久久久国产99久久国产久| 日韩精品第一页| 亚洲av无码专区在线播放| 欧美性猛交xxxx乱大交蜜桃| 亚洲理论片在线中文字幕| 蜜臀av无码精品人妻色欲| 国产无av码在线观看| 色屁屁www欧美激情在线观看| 国产馆精品推荐在线观看| 99精品在线视频观看| 天天躁日日躁狠狠躁性色AVQ| 一级一级女人真片| 日韩电影免费在线观看网址| 亚洲乱码一二三四区国产| 欧美性xxxx极品高清| 亚洲欧美专区精品久久| 美女扒开胸罩摸双乳动图| 国产亚洲欧美日韩在线观看一区二区 | 人妻无码久久一区二区三区免费| 试看60边摸边吃奶边做| 国产成人久久精品亚洲小说| 欧美人xxxx| 国产欧美日韩一区二区三区在线 | 黄页网站在线观看视频| 国产成人综合欧美精品久久| 激情欧美人xxxxx| 国产日韩精品中文字无码|