當(dāng)前位置：首頁(yè) > 文庫(kù) > 文案

信息安全服務(wù)體系范文8篇

時(shí)間：2024-08-15 14:16:19 24

信息安全服務(wù)體系

信息安全服務(wù)體系篇1

以審計(jì)信息和業(yè)務(wù)的基本流轉(zhuǎn)特征以及在各個(gè)方面所進(jìn)行的防護(hù)規(guī)劃和整體策略等發(fā)面出發(fā)，有效分析在審計(jì)業(yè)務(wù)范圍要求之內(nèi)的所開(kāi)展的信息安全防護(hù)，以及在國(guó)產(chǎn)化裝備的應(yīng)用下有效強(qiáng)化信息化建設(shè)活動(dòng)中的整體性信息安全防御工作，進(jìn)而有效推動(dòng)系統(tǒng)化的有效應(yīng)用和整體運(yùn)維服務(wù)體系的建設(shè)活動(dòng)，其中主要包括制度、系統(tǒng)、資金行業(yè)方式、隊(duì)伍等的建設(shè)，以及實(shí)現(xiàn)系統(tǒng)建設(shè)同運(yùn)維活動(dòng)的協(xié)調(diào)一致。

【關(guān)鍵詞】

國(guó)家審計(jì)信息化；信息安全；運(yùn)維建設(shè)

國(guó)家審計(jì)是在國(guó)家開(kāi)展宏觀經(jīng)濟(jì)綜合監(jiān)督體系的重要環(huán)節(jié)，實(shí)現(xiàn)其運(yùn)行系統(tǒng)和整體信息安全的有效性是極為必要的。通過(guò)審計(jì)信息化系統(tǒng)建設(shè)項(xiàng)目有效結(jié)合了審計(jì)基本業(yè)務(wù)特征環(huán)節(jié)的信息安全防護(hù)以及實(shí)現(xiàn)系統(tǒng)健康運(yùn)行的監(jiān)控運(yùn)維服務(wù)體系，在實(shí)現(xiàn)系統(tǒng)化的體系建設(shè)且開(kāi)展綜合性的防護(hù)保障措施之后，以有效保障國(guó)家審計(jì)在進(jìn)行信息系統(tǒng)建設(shè)整體系統(tǒng)的健康安全運(yùn)行[1]。

一、結(jié)合審計(jì)業(yè)務(wù)特征所開(kāi)展的信息安全防護(hù)工作

信息安全防護(hù)在國(guó)家電子中進(jìn)行應(yīng)用時(shí)，需要嚴(yán)格遵守國(guó)家在相關(guān)方面的政策制定和規(guī)劃性要求，更需要明確政務(wù)職能環(huán)節(jié)業(yè)務(wù)信息的風(fēng)險(xiǎn)和特征，然后從根本實(shí)際出發(fā)開(kāi)展有針對(duì)性的信息安全防護(hù)規(guī)劃工作，保障所采取的措施能夠有效解決實(shí)際問(wèn)題，確保安全防護(hù)工作的順利有效。

1.1對(duì)審計(jì)信息和業(yè)務(wù)的流轉(zhuǎn)型特征展開(kāi)研究一般而言，國(guó)際審計(jì)中包絡(luò)初期的數(shù)據(jù)采集及有效形成核查環(huán)節(jié)的審計(jì)信息記錄和證據(jù)整合，并通過(guò)互聯(lián)網(wǎng)的應(yīng)用將相關(guān)信息報(bào)送審計(jì)機(jī)關(guān)的非專網(wǎng)中，這就涉及到業(yè)務(wù)活動(dòng)中的信息安全性，如果在流轉(zhuǎn)環(huán)節(jié)出現(xiàn)審計(jì)信息的泄露，因?yàn)閲?guó)家審計(jì)所具有的設(shè)密性和權(quán)威性，將構(gòu)成重大的安全風(fēng)險(xiǎn)[2]。

1.2針對(duì)審計(jì)業(yè)務(wù)的整體特征開(kāi)展有效的安全防護(hù)規(guī)劃在國(guó)家審計(jì)要求范圍之下，對(duì)國(guó)家電子政務(wù)信息安全和信息化的協(xié)調(diào)發(fā)展給出了總體性的規(guī)劃要求，實(shí)現(xiàn)審計(jì)信息化系統(tǒng)項(xiàng)目建設(shè)的三網(wǎng)安全規(guī)范，通過(guò)審計(jì)門戶網(wǎng)、審計(jì)專網(wǎng)、審計(jì)內(nèi)網(wǎng)三個(gè)環(huán)節(jié)實(shí)現(xiàn)對(duì)電子政務(wù)信息的安全防護(hù)，有效保障信息的安全性。此外，還需要根據(jù)四級(jí)互聯(lián)審計(jì)專網(wǎng)對(duì)于信息安全防護(hù)的要求，在有效倚仗外網(wǎng)的信息信任體系來(lái)實(shí)現(xiàn)覆蓋全國(guó)的信息系統(tǒng)建設(shè)，構(gòu)建有效的病毒中心防御系統(tǒng)，為信息的安全防護(hù)提供基礎(chǔ)環(huán)節(jié)的保障。

1.3根據(jù)國(guó)家審計(jì)的信息特征出發(fā)進(jìn)行安全防護(hù)策略的研究國(guó)家審計(jì)業(yè)務(wù)具有一定的流轉(zhuǎn)性，這就需要對(duì)該環(huán)節(jié)的信息安全進(jìn)行有效的風(fēng)險(xiǎn)評(píng)估，以避免出現(xiàn)泄漏狀況，在國(guó)家信息保密和安全主管部門的支持和指導(dǎo)管理下，在進(jìn)行信息化系統(tǒng)建設(shè)項(xiàng)目時(shí)采取了信息交換和安全交互以及三網(wǎng)隔離的主體策略，以有效保障審計(jì)信息在流轉(zhuǎn)環(huán)節(jié)的安全性。

二、保障國(guó)家審計(jì)信息安全的運(yùn)維服務(wù)體系建設(shè)

通過(guò)實(shí)現(xiàn)運(yùn)維服務(wù)體系的建設(shè)有效保障了國(guó)家審計(jì)信息的整體安全性。在審計(jì)信息化系統(tǒng)建設(shè)項(xiàng)目中，運(yùn)維體系的建設(shè)主要在整體隊(duì)伍、方式、系統(tǒng)和制度以及資金等方面，在這個(gè)過(guò)程中要有效保障整體建設(shè)同運(yùn)維服務(wù)的關(guān)系。

2.1運(yùn)維服務(wù)系統(tǒng)在審計(jì)信息化系統(tǒng)建設(shè)項(xiàng)目中，運(yùn)行監(jiān)管系統(tǒng)和信息服務(wù)系統(tǒng)構(gòu)成了運(yùn)維服務(wù)的整體系統(tǒng)。其中信息服務(wù)系統(tǒng)中的現(xiàn)場(chǎng)審計(jì)和審計(jì)管理系統(tǒng)已經(jīng)面向全國(guó)的審計(jì)系統(tǒng)，以更好地實(shí)現(xiàn)兩項(xiàng)系統(tǒng)應(yīng)用的有效性，另外，審計(jì)署還建立了面向全國(guó)審計(jì)系統(tǒng)的熱線電話和服務(wù)網(wǎng)站的整體服務(wù)體系，而且國(guó)家審計(jì)系統(tǒng)還發(fā)行了同信息安全建設(shè)運(yùn)維系統(tǒng)相關(guān)的指導(dǎo)性信息和文件，以保障信息系統(tǒng)應(yīng)用的有效性。運(yùn)行監(jiān)管系統(tǒng)側(cè)重于對(duì)整體系統(tǒng)建設(shè)中的各項(xiàng)子系統(tǒng)的運(yùn)行狀態(tài)實(shí)現(xiàn)有效的監(jiān)管控制，以有效納入整體的安全系統(tǒng)實(shí)現(xiàn)統(tǒng)一的管理，整體性的滿足了多層級(jí)的系統(tǒng)運(yùn)維監(jiān)管任務(wù)，極大地提升了監(jiān)管力度，使得國(guó)家審計(jì)信息系統(tǒng)以及所屬子系統(tǒng)的運(yùn)行都能夠具有穩(wěn)定、安全的整體環(huán)境。

2.2運(yùn)維服務(wù)隊(duì)伍審計(jì)信息化系統(tǒng)建設(shè)項(xiàng)目實(shí)現(xiàn)了國(guó)家審計(jì)總數(shù)的服務(wù)部門和省級(jí)的工程服務(wù)辦的兩級(jí)服務(wù)系統(tǒng)構(gòu)建，并建設(shè)完成了中央省市縣的四級(jí)審計(jì)機(jī)關(guān)的信息系統(tǒng)的整體運(yùn)行服務(wù)隊(duì)伍。在進(jìn)行子系統(tǒng)集中管理的基礎(chǔ)前提下，審計(jì)署建立了面向下屬各個(gè)機(jī)關(guān)和部門及全國(guó)性地方審計(jì)的“呼叫中心”運(yùn)維服務(wù)隊(duì)伍，有效保障了熱線電話和服務(wù)網(wǎng)站的整體有效性運(yùn)行，將疑難問(wèn)題和咨詢答復(fù)等交由運(yùn)行后臺(tái)專家，并得到專業(yè)性的確定答案之后予以恢復(fù)，有效實(shí)現(xiàn)了整體運(yùn)維服務(wù)體系的建設(shè)。

2.3運(yùn)維服務(wù)制度就審計(jì)信息化系統(tǒng)建設(shè)項(xiàng)目的相關(guān)制度而言，均是由審計(jì)署所制定的相關(guān)指導(dǎo)辦法和體系，以有效明確運(yùn)維過(guò)程中的職責(zé)分工和機(jī)構(gòu)設(shè)置，有效實(shí)現(xiàn)對(duì)運(yùn)維內(nèi)容和機(jī)制的執(zhí)行。另外，在進(jìn)行運(yùn)維資金的使用和管理方面也制定了一定的制度規(guī)范和要求，以確定在運(yùn)行中經(jīng)費(fèi)使用的有效性以及利用的最大化。通過(guò)各項(xiàng)管理制度確定，使得整體的運(yùn)維體系科學(xué)、合理，并能夠在制度的支持下實(shí)現(xiàn)對(duì)相關(guān)專業(yè)人員的專業(yè)素質(zhì)和技能培訓(xùn)以及使用經(jīng)費(fèi)和規(guī)范化服務(wù)等相關(guān)內(nèi)容的引導(dǎo)，進(jìn)一步強(qiáng)化了整體的運(yùn)維服務(wù)體系建設(shè)[3]。

2.4運(yùn)維服務(wù)外包方式在實(shí)際的發(fā)展過(guò)程中，審計(jì)署將審計(jì)信息化系統(tǒng)建設(shè)項(xiàng)目中的“呼叫中心”服務(wù)隊(duì)伍建設(shè)實(shí)行了外包政策，并在逐漸的發(fā)展中，在運(yùn)維服務(wù)系統(tǒng)的整體性要求性下，將該環(huán)節(jié)在內(nèi)的網(wǎng)絡(luò)系統(tǒng)和應(yīng)用系統(tǒng)通過(guò)集成商的方式通過(guò)外包服務(wù)實(shí)現(xiàn)有效的運(yùn)維服務(wù)體系建設(shè)。另外在運(yùn)維服務(wù)體系的信息系統(tǒng)建設(shè)中，也實(shí)現(xiàn)了政府對(duì)技術(shù)人員隊(duì)伍建設(shè)的外包服務(wù)組建方式。

2.5完善整體系統(tǒng)與運(yùn)維服務(wù)的體系構(gòu)建在國(guó)家審計(jì)信息系統(tǒng)建設(shè)環(huán)節(jié)中，運(yùn)維保障和信息系統(tǒng)建設(shè)是支撐前進(jìn)的兩大驅(qū)動(dòng)力量，這就需要正視兩者之間的關(guān)系，在啟動(dòng)運(yùn)維保應(yīng)用的基礎(chǔ)上開(kāi)設(shè)有效的指導(dǎo)性欄目或者咨詢通道。此外，還可以構(gòu)建全國(guó)性的運(yùn)維體系效能保障，實(shí)現(xiàn)普及性的管理建設(shè)，并在運(yùn)維體系的支撐下強(qiáng)化整體系統(tǒng)的集中統(tǒng)一管理。最后，需要實(shí)現(xiàn)有效的監(jiān)控運(yùn)維提下，實(shí)現(xiàn)對(duì)整體運(yùn)維服務(wù)的監(jiān)控和管理，確保整體運(yùn)行的安全性和有效性。

三、結(jié)束語(yǔ)

審計(jì)信息系統(tǒng)建設(shè)項(xiàng)目需要有效的網(wǎng)絡(luò)效能支持，這就需要保障在管理應(yīng)用中的安全有效性，尤其是國(guó)家審計(jì)環(huán)節(jié)中的文件，因其本身所具有的嚴(yán)肅性和影響性，在這樣的基本認(rèn)知下，就需要從根本實(shí)際現(xiàn)狀出發(fā)開(kāi)展有效的安全防護(hù)工作以及相應(yīng)的運(yùn)維服務(wù)體系的完善和建設(shè)，以保障國(guó)家審計(jì)信息的整體安全性。

參考文獻(xiàn)

[1]劉勇.審計(jì)信息化系統(tǒng)的研究與實(shí)踐[D].四川大學(xué),2006.

[2]成瑤.我國(guó)審計(jì)信息化建設(shè)研究[D].首都經(jīng)濟(jì)貿(mào)易大學(xué),2008.

[3]周德銘.國(guó)家審計(jì)信息化的模式創(chuàng)新與能力發(fā)展[J].電子政務(wù),2013,07:45-56.

信息安全服務(wù)體系篇2

關(guān)鍵詞：信息安全安全屬性安全建設(shè)

我國(guó)信息化安全建設(shè)任務(wù)非常艱巨，主要包括各種業(yè)務(wù)的社會(huì)公網(wǎng)、行業(yè)專網(wǎng)、互聯(lián)網(wǎng)等信息基礎(chǔ)設(shè)施運(yùn)營(yíng)、管理和服務(wù)的安全自主保障、安全監(jiān)管、安全應(yīng)急和打擊信息犯罪為核心的威懾體系的建設(shè)，其內(nèi)容包括網(wǎng)絡(luò)系統(tǒng)安全建設(shè)、領(lǐng)域和企業(yè)的業(yè)務(wù)信息化安全建設(shè)、網(wǎng)絡(luò)內(nèi)容與行為的安全建設(shè)和用戶關(guān)注的網(wǎng)絡(luò)安全建設(shè)等方面。這些安全建設(shè)對(duì)于不同的領(lǐng)域和領(lǐng)導(dǎo)層面關(guān)注的內(nèi)容、對(duì)象和程度各不相同。網(wǎng)絡(luò)信息安全是一個(gè)完整的、系統(tǒng)的概念。它既是一個(gè)理論問(wèn)題，同時(shí)又是一個(gè)工程實(shí)踐問(wèn)題。由于互聯(lián)網(wǎng)的開(kāi)發(fā)性、復(fù)雜性和多樣性，使得網(wǎng)絡(luò)安全系統(tǒng)需要有一個(gè)完整的、嚴(yán)謹(jǐn)?shù)捏w系結(jié)構(gòu)來(lái)保證網(wǎng)絡(luò)中信息的安全。

1 信息安全的定義及目標(biāo)

信息的定義，從廣義上講，信息是任何一個(gè)事物的運(yùn)動(dòng)狀態(tài)以及運(yùn)動(dòng)狀態(tài)形式的變化，它是一種客觀存在。狹義的信息的含義是指信息接受主體所感覺(jué)到并能理解的東西。ISO 13335《信息技術(shù)安全管理指南》定義：信息是通過(guò)在數(shù)據(jù)上施加某此約定而賦予這此數(shù)據(jù)的特殊含義。信息是無(wú)形的，借助于信息媒體以多種形式存在和傳播，同時(shí)。信息也是一種重要資產(chǎn)，具有價(jià)值，需要保護(hù)。信息安全的目標(biāo)是信息資產(chǎn)被泄露意味著保密性受到影響，被更改意味著完整性受到影響，被破壞意味著可用性受到影響。而保密性、完整性和可用性三個(gè)基本屬性是信息安全的最終目標(biāo)。信息安全的保護(hù)對(duì)象包括了計(jì)算機(jī)硬件、軟件和數(shù)據(jù)。就本質(zhì)而言，信息安全所針對(duì)的均是“信息”這種資源的“安全”，對(duì)信息安全的理解應(yīng)從信息化背景出發(fā)，最終落實(shí)在信息的安全屬性上。

2 構(gòu)建網(wǎng)絡(luò)信息化安全的意義

能否有效地保護(hù)信息資源，保護(hù)信息化進(jìn)程健康、有序、可持續(xù)發(fā)展，直接關(guān)乎國(guó)家安危，關(guān)乎民族興亡，是國(guó)家、民族的頭等大事。沒(méi)有信息安全，就沒(méi)有真正意義上的政治安全，就沒(méi)有穩(wěn)固的經(jīng)濟(jì)安全和軍事安全，更沒(méi)有完整意義上的國(guó)家安全。信息安全是信息技術(shù)發(fā)展過(guò)程之中提出的課題，在信息化的大背景下被推上了歷史舞臺(tái)。信息安全不是最終目的，它只是服務(wù)于信息化的一種手段，其針對(duì)的是信息化這種戰(zhàn)略資源的安全，其主旨在于為信息化保駕護(hù)航。

3 網(wǎng)絡(luò)信息化的安全屬性

信息安全的概念與信息的本質(zhì)屬性有著必然的聯(lián)系，它是信息的本質(zhì)屬性所體現(xiàn)的安全意義。說(shuō)安全屬性研究首先要從安全定義講起，安全定義分很多的層次，為什么分層次，我們隨著它的演變來(lái)看的，信息安全最初目標(biāo)，叫數(shù)據(jù)安全，它關(guān)心的是數(shù)據(jù)自身，所以是一個(gè)狹義的數(shù)據(jù)安全，是保護(hù)信息自身的安全。

3.1 保密性（Confidentiality）

在傳統(tǒng)信息環(huán)境中，普通人通過(guò)郵政系統(tǒng)發(fā)信件時(shí)，為了個(gè)人隱私要裝上信封?？墒堑搅诵畔⒒瘯r(shí)代，信息在網(wǎng)上傳播時(shí)，如果沒(méi)有這個(gè)“信封”，那么所有的信息都是“明信片”，不再有秘密可言，這便是信息安全中的保密性需求。保密性是指信息不被泄露給非授權(quán)的用戶、實(shí)體或進(jìn)程，或被其利用的特性。保密性不但包括信息內(nèi)容的保密，還包括信息狀態(tài)的保密。

3.2 完整性（Integrality）

完整性是指信息未經(jīng)授權(quán)不能進(jìn)行更改的特性。即信息在存儲(chǔ)或傳輸過(guò)程中保持不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等破壞和丟失的特性。完整性與機(jī)密性不同，機(jī)密性要求信息不被泄露給未授權(quán)的人，而完整性則要求信息不致受到各種原因的破壞。

3.3 易用性（Availability）

易用性是信息可被授權(quán)實(shí)體訪問(wèn)并按需求使用的特性。在授權(quán)用戶或?qū)嶓w需要信息服務(wù)時(shí)，信息服務(wù)應(yīng)該可以使用，或者是信息系統(tǒng)部分受損或需要降級(jí)使用時(shí)，仍能為授權(quán)用戶提供有效服務(wù)。易用性一般用系統(tǒng)正常使用時(shí)間和整個(gè)工作時(shí)間之比來(lái)度量。

4 構(gòu)建網(wǎng)絡(luò)信息化安全管理體系

在面向網(wǎng)絡(luò)信息的安全系統(tǒng)中，安全管理是應(yīng)得到高度重視的。這是因?yàn)?，?jù)相關(guān)部門統(tǒng)計(jì)，在所有的計(jì)算機(jī)安全事件中，約有52％是人為因素造成的，25％是由火災(zāi)、水災(zāi)等自然災(zāi)害引起的，技術(shù)錯(cuò)誤占10％，組織內(nèi)部人員作案占10％，僅有3％左右是由外部不法人員攻擊造成的。簡(jiǎn)單歸類，屬于管理方面的原因比重高達(dá)70％以上，這正應(yīng)了人們常說(shuō)的“三分技術(shù)，七分管理”的箋言。因此，解決網(wǎng)絡(luò)與信息安全問(wèn)題，不僅應(yīng)從技術(shù)方面著手，更應(yīng)加強(qiáng)網(wǎng)絡(luò)住所的管理工作。

好的網(wǎng)絡(luò)信息化安全管理體現(xiàn)在以下幾個(gè)方面：在組織內(nèi)部建立全面的信息安全管理體系，強(qiáng)調(diào)信息安全是一個(gè)管理過(guò)程，而非技術(shù)過(guò)程；強(qiáng)調(diào)信息保密性、完整性、易用性三者在關(guān)鍵流程中運(yùn)用的平衡；把信息提高到組織資產(chǎn)的高度，強(qiáng)調(diào)對(duì)組織信息資產(chǎn)進(jìn)行價(jià)值及影響評(píng)估，對(duì)信息資產(chǎn)的脆弱性及其面臨的威脅進(jìn)行分析，運(yùn)用風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)管理手段管理信息安全，使組織風(fēng)險(xiǎn)降低到可接受的水平；從法律和最好的實(shí)踐經(jīng)驗(yàn)角度，實(shí)施全面的控制措施，使組織信息安全威脅的方方面面置于嚴(yán)密控制之下；強(qiáng)調(diào)領(lǐng)導(dǎo)在信息安全管理中的作用；強(qiáng)調(diào)信息安全方針在管理體系中的作用；強(qiáng)調(diào)對(duì)信息技術(shù)及工具的實(shí)時(shí)和有效管理；強(qiáng)調(diào)組織運(yùn)作的連續(xù)性及業(yè)務(wù)連續(xù)性的管理；強(qiáng)調(diào)信息安全管理水平的不斷提高及對(duì)流程的策劃、實(shí)施、檢查和改進(jìn)的過(guò)程；信息安全應(yīng)該是一個(gè)以“價(jià)值”為基礎(chǔ)的過(guò)程，即信息安全管理應(yīng)是一個(gè)有附加價(jià)值，并講究投入產(chǎn)出比的過(guò)程。

5 關(guān)注信息化安全服務(wù)的綜合性、高技術(shù)性和對(duì)策性特點(diǎn)

信息安全產(chǎn)業(yè)有其鮮明的特點(diǎn)，雖然產(chǎn)生于信息化和信息系統(tǒng)，依然與通常的IT服務(wù)有許多區(qū)別。信息化安全的基本特征是服務(wù)性的。這種服務(wù)性與一般軟件的服務(wù)性是不同的。一般應(yīng)用系統(tǒng)或產(chǎn)品的服務(wù)主要是維護(hù)和培訓(xùn)，通常服務(wù)是非對(duì)策性的、非動(dòng)態(tài)的和比較固定的。信息化安全服務(wù)是對(duì)策性的、動(dòng)態(tài)性的、不斷產(chǎn)生新內(nèi)容的和似乎永遠(yuǎn)不能成熟等特性。信息化安全服務(wù)范疇?zhēng)缀醢苏麄€(gè)信息化所包括的所有產(chǎn)品和系統(tǒng)，其服務(wù)的綜合性和復(fù)雜性是顯而易見(jiàn)的。信息化安全服務(wù)是最高技術(shù)的服務(wù)，無(wú)論從設(shè)計(jì)角度和使用的角度都要求深入、熟練和非常專業(yè)。我們可以驕傲地說(shuō)，信息化安全服務(wù)是世界上最偉大的服務(wù)業(yè)，也是最困難的服務(wù)業(yè)。信息化安全服務(wù)的復(fù)雜性、高成本特性要求信息化安全企業(yè)必須在安全服務(wù)的遠(yuǎn)程化和化的推進(jìn)方面做出不懈努力，不斷降低服務(wù)成本。

6 結(jié)語(yǔ)

網(wǎng)絡(luò)信息安全不僅僅是一個(gè)純技術(shù)層面的問(wèn)題，單靠技術(shù)因素不足以保證網(wǎng)絡(luò)中信息的安全。網(wǎng)絡(luò)信息安全還涉及到法律、管理、標(biāo)準(zhǔn)等多方面的問(wèn)題。因此，信息安全是一個(gè)相當(dāng)復(fù)雜的問(wèn)題，只有協(xié)調(diào)好這些體系之間的關(guān)系，才能有效保證系統(tǒng)的安全。

參考文獻(xiàn)

[1] 王寶會(huì),王大印.計(jì)算機(jī)信息安全教程[M].電子工業(yè)出版社,2006,1.

信息安全服務(wù)體系篇3

論文摘要:文章首先分析了信息安全外包存在的風(fēng)險(xiǎn)，根據(jù)風(fēng)險(xiǎn)提出信息安全外包的管理框架，并以此框架為基礎(chǔ)詳細(xì)探討了信息安全外包風(fēng)險(xiǎn)與管理的具體實(shí)施。文章以期時(shí)信息安全外包的風(fēng)險(xiǎn)進(jìn)行控制，并獲得與外包商合作的最大收益。

1信息安全外包的風(fēng)險(xiǎn)

1.1信任風(fēng)險(xiǎn)

企業(yè)是否能與信息安全服務(wù)的外包商建立良好的工作和信任關(guān)系，仍是決定時(shí)候?qū)踩?wù)外包的一個(gè)重要因素。因?yàn)樾畔踩耐獍炭梢栽L問(wèn)到企業(yè)的敏感信息，并全面了解其企業(yè)和系統(tǒng)的安全狀況，而這些重要的信息如果被有意或無(wú)意地對(duì)公眾散播出去，則會(huì)對(duì)企業(yè)造成巨大的損害。并且，如若企業(yè)無(wú)法信任外包商，不對(duì)外包商提供一些關(guān)鍵信息的話，則會(huì)造成外包商在運(yùn)作過(guò)程中的信息不完全，從而導(dǎo)致某些環(huán)節(jié)的失效，這也會(huì)對(duì)服務(wù)質(zhì)量造成影響。因此，信任是雙方合作的基礎(chǔ)，也是很大程度上風(fēng)險(xiǎn)規(guī)避的重點(diǎn)內(nèi)容。

1.2依賴風(fēng)險(xiǎn)

企業(yè)很容易對(duì)某個(gè)信息安全服務(wù)的外包商產(chǎn)生依賴性，并受其商業(yè)變化、商業(yè)伙伴和其他企業(yè)的影響，恰當(dāng)?shù)娘L(fēng)險(xiǎn)緩釋方法是將安全服務(wù)外包給多個(gè)服務(wù)外包商，但相應(yīng)地會(huì)加大支出并造成管理上的困難，企業(yè)將失去三種靈活性:第一種是短期靈活性，即企業(yè)重組資源的能力以及在經(jīng)營(yíng)環(huán)境發(fā)生變化時(shí)的應(yīng)變能力;第二種是適應(yīng)能力，即在短期到中期的事件范圍內(nèi)所需的靈活性，這是一種以新的方式處理變革而再造業(yè)務(wù)流程和戰(zhàn)略的能力，再造能力即包括了信息技術(shù);第三種靈活性就是進(jìn)化性，其本質(zhì)是中期到長(zhǎng)期的靈活性，它產(chǎn)生于企業(yè)改造技術(shù)基本設(shè)施以利用新技術(shù)的時(shí)期。進(jìn)化性的獲得需要對(duì)技術(shù)趨勢(shì)、商業(yè)趨勢(shì)的準(zhǔn)確預(yù)測(cè)和確保雙方建立最佳聯(lián)盟的能力。

1.3所有權(quán)風(fēng)險(xiǎn)

不管外包商提供服務(wù)的范圍如何，企業(yè)都對(duì)基礎(chǔ)設(shè)施的安全操作和關(guān)鍵資產(chǎn)的保護(hù)持有所有權(quán)和責(zé)任。企業(yè)必須確定服務(wù)外包商有足夠的能力承擔(dān)職責(zé)，并且其服務(wù)級(jí)別協(xié)議條款支持這一職責(zé)的履行。正確的風(fēng)險(xiǎn)緩釋方法是讓包括員工和管理的各個(gè)級(jí)別的相關(guān)人員意識(shí)到，應(yīng)該將信息安全作為其首要責(zé)任，并進(jìn)行安全培訓(xùn)課程，增強(qiáng)常規(guī)企業(yè)的安全意識(shí)。

1.4共享環(huán)境風(fēng)臉

信息安全服務(wù)的外包商使用的向多個(gè)企業(yè)提供服務(wù)的操作環(huán)境要比單獨(dú)的機(jī)構(gòu)內(nèi)部環(huán)境將包含更多的風(fēng)險(xiǎn)，因?yàn)楣蚕淼牟僮鳝h(huán)境將支持在多企業(yè)之間共享數(shù)據(jù)傳輸(如公共網(wǎng)絡(luò))或處理(如通用服務(wù)器)，這將會(huì)增加一個(gè)企業(yè)訪問(wèn)另一企業(yè)敏感信息的可能性。這對(duì)企業(yè)而言也是一種風(fēng)險(xiǎn)。

1.5實(shí)施過(guò)程風(fēng)險(xiǎn)

啟動(dòng)一個(gè)可管理的安全服務(wù)關(guān)系可能引起企業(yè)到服務(wù)外包商，或者一個(gè)服務(wù)外包商到另一個(gè)外包商之間的人員、過(guò)程、硬件、軟件或其他資產(chǎn)的復(fù)雜過(guò)渡，這一切都可能引起新的風(fēng)險(xiǎn)。企業(yè)應(yīng)該要求外包商說(shuō)明其高級(jí)實(shí)施計(jì)劃，并注明完成日期和所用時(shí)間。這樣在某種程度上就對(duì)實(shí)施過(guò)程中風(fēng)險(xiǎn)的時(shí)間期限做出了限制。

1.6合作關(guān)系失敗將導(dǎo)致的風(fēng)險(xiǎn)

如果企業(yè)和服務(wù)商的合作關(guān)系失敗，企業(yè)將面臨極大的風(fēng)險(xiǎn)。合作關(guān)系失敗帶來(lái)的經(jīng)濟(jì)損失、時(shí)間損失都是不言而喻的，而這種合作關(guān)系的失敗歸根究底來(lái)自于企業(yè)和服務(wù)外包商之間的服務(wù)計(jì)劃不夠充分完善以及溝通與交流不夠頻繁。這種合作關(guān)系在任何階段都有可能失敗，如同其他商業(yè)關(guān)系一樣，它需要給予足夠的重視、關(guān)注，同時(shí)還需要合作關(guān)系雙方進(jìn)行頻繁的溝通。

2信息安全外包的管理框架

要進(jìn)行成功的信息安全外包活動(dòng)，就要建立起一個(gè)完善的管理框架，這對(duì)于企業(yè)實(shí)施和管理外包活動(dòng)，協(xié)調(diào)與外包商的關(guān)系，最大可能降低外包風(fēng)險(xiǎn)，從而達(dá)到外包的目的是十分重要的。信息安全外包的管理框架的內(nèi)容分為幾個(gè)主體部分，分別包括企業(yè)協(xié)同信息安全的外包商確定企業(yè)的信息安全的方針以及信息安全外包的安全標(biāo)準(zhǔn)，然后是對(duì)企業(yè)遭受的風(fēng)險(xiǎn)進(jìn)行系統(tǒng)的評(píng)估.并根據(jù)方針和風(fēng)險(xiǎn)程度.決定風(fēng)險(xiǎn)管理的內(nèi)容并確定信息安全外包的流程。之后，雙方共同制定適合企業(yè)的信息安全外包的控制方法，協(xié)調(diào)優(yōu)化企業(yè)的信息安全相關(guān)部門的企業(yè)結(jié)構(gòu)，同時(shí)加強(qiáng)管理與外包商的關(guān)系。

3信息安全外包風(fēng)險(xiǎn)管理的實(shí)施

3.1制定信息安全方針

信息安全方針在很多時(shí)候又稱為信息安全策略，信息安全方針指的是在一個(gè)企業(yè)內(nèi)，指導(dǎo)如何對(duì)資產(chǎn)，包括敏感性信息進(jìn)行管理、保護(hù)和分配的指導(dǎo)或者指示。信息安全的方針定義應(yīng)該包括:(1)信息安全的定義，定義的內(nèi)容包括信息安全的總體目標(biāo)、信息安全具體包括的范圍以及信息安全對(duì)信息共享的重要性;(2)管理層的目的的相關(guān)闡述;(3)信息安全的原則和標(biāo)準(zhǔn)的簡(jiǎn)要說(shuō)明，以及遵守這些原則和標(biāo)準(zhǔn)對(duì)企業(yè)的重要性;(4)信息安全管理的總體性責(zé)任的定義。在信息安全方針的部分只需要對(duì)企業(yè)的各個(gè)部門的安全職能給出概括性的定義，而具體的信息安全保護(hù)的責(zé)任細(xì)節(jié)將留至服務(wù)標(biāo)準(zhǔn)的部分來(lái)闡明。

3.2選擇信息安全管理的標(biāo)準(zhǔn)

信息安全管理體系標(biāo)準(zhǔn)bs7799與信息安全管理標(biāo)準(zhǔn)is013335是目前通用的信息安全管理的標(biāo)準(zhǔn):

(1)bs7799:bs7799標(biāo)準(zhǔn)是由英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)指定的信息安全管理標(biāo)準(zhǔn)，是國(guó)際上具有代表性的信息安全管理體系標(biāo)準(zhǔn)，標(biāo)準(zhǔn)包括如下兩部分:bs7799-1;1999《信息安全管理實(shí)施細(xì)則》;bs7799-2:1999((信息安全管理體系規(guī)范》。

(2)is013335:is013335《it安全管理方針》主要是給出如何有效地實(shí)施it安全管理的建議和指南。該標(biāo)準(zhǔn)目前分為5個(gè)部分，分別是信息技術(shù)安全的概念和模型部分;信息技術(shù)安全的管理和計(jì)劃部分;信息技術(shù)安全的技術(shù)管理部分;防護(hù)和選擇部分以及外部連接的防護(hù)部分。

3.3確定信息安全外包的流程

企業(yè)要根據(jù)企業(yè)的商業(yè)特性、地理位置、資產(chǎn)和技術(shù)來(lái)對(duì)信息安全外包的范圍進(jìn)行界定。界定的時(shí)候需要考慮如下兩個(gè)方面:(1)需要保護(hù)的信息系統(tǒng)、資產(chǎn)、技術(shù);(2)實(shí)物場(chǎng)所(地理位置、部門等)。信息安全的外包商應(yīng)該根據(jù)企業(yè)的信息安全方針和所要求的安全程度，識(shí)別所有需要管理和控制的風(fēng)險(xiǎn)的內(nèi)容。企業(yè)需要協(xié)同信息安全的外包商選擇一個(gè)適合其安全要求的風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理方案，然后進(jìn)行合乎規(guī)范的評(píng)估，識(shí)別目前面臨的風(fēng)險(xiǎn)。企業(yè)可以定期的選擇對(duì)服務(wù)外包商的站點(diǎn)和服務(wù)進(jìn)行獨(dú)立評(píng)估，或者在年度檢查中進(jìn)行評(píng)估。選擇和使用的獨(dú)立評(píng)估的方案要雙方都要能夠接受。在達(dá)成書(shū)面一致后，外包商授予企業(yè)獨(dú)立評(píng)估方評(píng)估權(quán)限，并具體指出評(píng)估者不能泄露外包商或客戶的任何敏感信息。給外包商提供關(guān)于檢查范圍的進(jìn)一步消息和細(xì)節(jié)，以減少任何對(duì)可用性，服務(wù)程度，客戶滿意度等的影響。在評(píng)估執(zhí)行后的一段特殊時(shí)間內(nèi)，與外包商共享結(jié)果二互相討論并決定是否需要解決方案和/或開(kāi)發(fā)計(jì)劃程序以應(yīng)對(duì)由評(píng)估顯示的任何變化。評(píng)估所需要的相關(guān)材料和文檔在控制過(guò)程中都應(yīng)該予以建立和保存，企業(yè)將這些文檔作為評(píng)估的重要工具，對(duì)外包商的服務(wù)績(jī)效進(jìn)行考核。評(píng)估結(jié)束后，對(duì)事件解決方案和優(yōu)先級(jí)的檢查都將記錄在相應(yīng)的文件中，以便今后雙方在服務(wù)和信息安全管理上進(jìn)行改進(jìn)。

3.4制定信息安全外包服務(wù)的控制規(guī)則

依照信息安全外包服務(wù)的控制規(guī)則，主要分為三部分內(nèi)容:第一部分定義了服務(wù)規(guī)則的框架，主要闡明信息安全服務(wù)要如何執(zhí)行，執(zhí)行的通用標(biāo)準(zhǔn)和量度，服務(wù)外包商以及各方的任務(wù)和職責(zé);第二部分是信息安全服務(wù)的相關(guān)要求，這個(gè)部分具體分為高層服務(wù)需求;服務(wù)可用性;服務(wù)體系結(jié)構(gòu);服務(wù)硬件和服務(wù)軟件;服務(wù)度量;服務(wù)級(jí)別;報(bào)告要求，服務(wù)范圍等方面的內(nèi)容;第三部分是安全要求，包括安全策略、程序和規(guī)章制度;連續(xù)計(jì)劃;可操作性和災(zāi)難恢復(fù);物理安全;數(shù)據(jù)控制;鑒定和認(rèn)證;訪問(wèn)控制;軟件完整性;安全資產(chǎn)配置;備份;監(jiān)控和審計(jì);事故管理等內(nèi)容。

3.5信息安全外包的企業(yè)結(jié)構(gòu)管理具體的優(yōu)化方案如下:

(1)首席安全官:cso是公司的高層安全執(zhí)行者，他需要直接向高層執(zhí)行者進(jìn)行工作匯報(bào)，主要包括:首席執(zhí)行官、首席運(yùn)營(yíng)官、首席財(cái)務(wù)官、主要管理部門的領(lǐng)導(dǎo)、首席法律顧問(wèn)。cso需要監(jiān)督和協(xié)調(diào)各項(xiàng)安全措施在公司的執(zhí)行情況，并確定安全工作的標(biāo)準(zhǔn)和主動(dòng)性，包括信息技術(shù)、人力資源、通信、法律、設(shè)備管理等部門。

(2)安全小組:安全小組的人員組成包括信息安全外包商的專業(yè)人員以及客戶企業(yè)的內(nèi)部it人員和信息安全專員。這個(gè)小組的任務(wù)主要是依照信息安全服務(wù)的外包商與企業(yè)簽訂的服務(wù)控制規(guī)則來(lái)進(jìn)行信息安全的技術(shù)。

(3)管理委員會(huì):這是信息安全服務(wù)外包商和客戶雙方高層解決問(wèn)題的機(jī)構(gòu)。組成人員包括雙方的首席執(zhí)行官，客戶企業(yè)的cio和cso，外包商的項(xiàng)目經(jīng)理等相關(guān)的高層決策人員。這個(gè)委員會(huì)每年召開(kāi)一次會(huì)議，負(fù)責(zé)審核年度的服務(wù)水平、企業(yè)的適應(yīng)性、評(píng)估結(jié)果、關(guān)系變化等內(nèi)容。

(4)咨詢委員會(huì):咨詢委員會(huì)的會(huì)議主要解決計(jì)劃性問(wèn)題。如服務(wù)水平的變更，新的技術(shù)手段的應(yīng)用，服務(wù)優(yōu)先等級(jí)的更換以及服務(wù)的財(cái)政問(wèn)題等，咨詢委員會(huì)的成員包括企業(yè)內(nèi)部的ti’人員和安全專員，還有財(cái)務(wù)部門、人力資源部門、業(yè)務(wù)部門的相關(guān)人員，以及外包商的具體項(xiàng)目的負(fù)責(zé)人。

(6)安全工作組:安全工作組的人員主要負(fù)責(zé)解決信息安全中某些特定的問(wèn)題，工作組的人員組成也是來(lái)自服務(wù)外包商和企業(yè)雙方。工作組與服務(wù)交換中心密切聯(lián)系，將突出的問(wèn)題組建成項(xiàng)目進(jìn)行解決，并將無(wú)法解決的問(wèn)題提交給咨詢委員會(huì)。

(7)服務(wù)交換中心:服務(wù)交換中心由雙方人員組成，其中主要人員是企業(yè)內(nèi)部的各個(gè)業(yè)務(wù)部門中與信息安全相關(guān)的人員。他們負(fù)責(zé)聯(lián)絡(luò)各個(gè)業(yè)務(wù)部門，發(fā)掘出企業(yè)中潛在的信息安全的問(wèn)題和漏洞，并將這些問(wèn)題報(bào)告給安全工作組。

（8）指令問(wèn)題管理小組:這個(gè)小組的人員組成全部為企業(yè)內(nèi)部人員，包括信息安全專員以及各個(gè)業(yè)務(wù)部門的負(fù)責(zé)人。在安全小組的技術(shù)人員解決了企業(yè)中的安全性技術(shù)問(wèn)題之后，或者，是當(dāng)cso了關(guān)于信息安全的企業(yè)改進(jìn)方案之后，這些解決方案都將傳送給指令問(wèn)題管理小組，這個(gè)小組的人員經(jīng)過(guò)學(xué)習(xí)討論后，繼而將其到各個(gè)業(yè)務(wù)部門。

(9)監(jiān)督委員會(huì):這個(gè)委員會(huì)全部由企業(yè)內(nèi)部人員組成。負(fù)責(zé)對(duì)外包商的服務(wù)過(guò)程的監(jiān)督。

3.6管理與外包商的關(guān)系

信息安全服務(wù)體系篇4

信息安全認(rèn)證有風(fēng)險(xiǎn)

所謂“信息安全認(rèn)證中的安全風(fēng)險(xiǎn)”,特指信息安全認(rèn)證機(jī)構(gòu)借助認(rèn)證活動(dòng)的便利條件,知悉被認(rèn)證組織的敏感信息,或者直接接觸被認(rèn)證組織的信息系統(tǒng),從而為被認(rèn)證組織的信息資產(chǎn)帶來(lái)的安全風(fēng)險(xiǎn),簡(jiǎn)稱“認(rèn)證安全風(fēng)險(xiǎn)”。

與常規(guī)認(rèn)證認(rèn)可制度研究中的認(rèn)證風(fēng)險(xiǎn)概念不同,認(rèn)證安全風(fēng)險(xiǎn)的承擔(dān)者不是認(rèn)證機(jī)構(gòu),而是被認(rèn)證組織。制造風(fēng)險(xiǎn)的直接主體則是認(rèn)證機(jī)構(gòu)。認(rèn)證安全風(fēng)險(xiǎn)在本質(zhì)上屬于信息安全風(fēng)險(xiǎn),其后果是被認(rèn)證組織的信息資產(chǎn)的保密性、完整性和可用性遭受損失。

根據(jù)《認(rèn)證認(rèn)可條例》定義的認(rèn)證類型,當(dāng)前認(rèn)監(jiān)委已經(jīng)批準(zhǔn)的信息安全認(rèn)證業(yè)務(wù)分為信息安全產(chǎn)品認(rèn)證、信息安全服務(wù)認(rèn)證和信息安全管理體系認(rèn)證。在以上三類認(rèn)證活動(dòng)中,信息安全產(chǎn)品和信息安全服務(wù)的被認(rèn)證組織僅限于信息安全產(chǎn)品和服務(wù)提供商,且目前承擔(dān)信息安全產(chǎn)品和服務(wù)認(rèn)證的中國(guó)信息安全認(rèn)證中心是由中編辦批準(zhǔn)、隸屬于國(guó)家質(zhì)檢總局的事業(yè)單位。因此,信息安全產(chǎn)品認(rèn)證和信息安全服務(wù)認(rèn)證中的安全風(fēng)險(xiǎn)已經(jīng)降至最低。信息安全管理體系認(rèn)證則不同:首先,其被認(rèn)證組織遍布國(guó)民經(jīng)濟(jì)的各個(gè)行業(yè)和各個(gè)領(lǐng)域,甚至包括政府等公共機(jī)構(gòu);其次,國(guó)家認(rèn)監(jiān)委已經(jīng)放開(kāi)了信息安全管理體系認(rèn)證機(jī)構(gòu)的審批,前期已獲批的認(rèn)證機(jī)構(gòu)中既有國(guó)有事業(yè)單位,也有國(guó)內(nèi)企業(yè),此外還有外資企業(yè),認(rèn)證市場(chǎng)的組成十分復(fù)雜。因此,目前認(rèn)證安全風(fēng)險(xiǎn)問(wèn)題主要存在于信息安全管理體系認(rèn)證活動(dòng)中。

從國(guó)家安全高度加以重視

1.認(rèn)證安全風(fēng)險(xiǎn)的表現(xiàn)形式

在信息安全管理體系認(rèn)證的審核階段,認(rèn)證機(jī)構(gòu)會(huì)接觸到受審核組織大量的敏感信息。這類信息分為兩類:一類是受審核組織的信息系統(tǒng)中存儲(chǔ)的信息;另一類是與受審核組織的信息安全防護(hù)相關(guān)的信息。例如,受審核組織的信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告全面記錄了系統(tǒng)的信息資產(chǎn)、對(duì)信息安全威脅的判斷、信息安全漏洞、信息安全控制措施配置等信息,網(wǎng)絡(luò)拓?fù)鋱D也為攻擊者入侵系統(tǒng)提供了豐富的信息。這些信息如果被認(rèn)證機(jī)構(gòu)惡意使用,或者泄露給惡意第三方,都會(huì)導(dǎo)致受審核組織的信息失竊,或使其信息系統(tǒng)被外部控制。

此外,由于認(rèn)證機(jī)構(gòu)會(huì)直接接觸受審核組織的信息系統(tǒng),存在篡改其信息系統(tǒng)的可能性,例如在系統(tǒng)中植入惡意程序,或改變信息系統(tǒng)的功能,這便是美國(guó)國(guó)家安全局曾提出的五類信息安全威脅之―臨近攻擊。

以上問(wèn)題不是在特定時(shí)期存在,也不是在特定場(chǎng)合存在,而是在任何一次信息安全管理體系認(rèn)證中都有可能發(fā)生。因?yàn)檎J(rèn)證機(jī)構(gòu)為了開(kāi)展工作,必須接觸受審核組織的信息系統(tǒng),必須獲得受審核組織的信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告、網(wǎng)絡(luò)拓?fù)鋱D等信息安全相關(guān)信息。如果受審核組織位于關(guān)系國(guó)民經(jīng)濟(jì)命脈的重點(diǎn)行業(yè),則認(rèn)證機(jī)構(gòu)的惡意行為可能使國(guó)家利益嚴(yán)重受損。

2.認(rèn)證安全風(fēng)險(xiǎn)是一個(gè)國(guó)家安全問(wèn)題

當(dāng)前,信息安全已經(jīng)成為國(guó)家安全的重要組成部分,國(guó)際上圍繞信息的控制與反控制的斗爭(zhēng)正日趨激烈。但是,很多這樣的斗爭(zhēng)常常隱藏在了看似正常的國(guó)際商貿(mào)活動(dòng)之中,使公眾忽視了信息安全斗爭(zhēng)的復(fù)雜性和長(zhǎng)期性。當(dāng)前,對(duì)認(rèn)證安全風(fēng)險(xiǎn)的認(rèn)識(shí)往往存在三個(gè)誤區(qū):

一是認(rèn)為認(rèn)證機(jī)構(gòu)在審核活動(dòng)中獲得的信息無(wú)關(guān)緊要。事實(shí)上,如今信息安全攻擊與防范的技術(shù)的專業(yè)化程度已經(jīng)超出了很多人的想象。對(duì)一個(gè)熟練的攻擊者而言,任何有關(guān)攻擊目標(biāo)的些許信息,都可能為其大開(kāi)方便之門。以最普通的受審核組織的組織架構(gòu)、員工姓名和聯(lián)系方式等信息為例,這些信息足以使攻擊者發(fā)起一次成功的社會(huì)工程攻擊。

二是認(rèn)為受審核組織的信息僅關(guān)系到組織自身的安全,與國(guó)家安全相去甚遠(yuǎn)。當(dāng)前,信息技術(shù)的廣泛滲透性以及國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展對(duì)信息技術(shù)應(yīng)用的依賴,使網(wǎng)絡(luò)與信息系統(tǒng)的戰(zhàn)略地位凸顯。特別是關(guān)系國(guó)計(jì)民生的重要行業(yè)的網(wǎng)絡(luò)與信息系統(tǒng),已經(jīng)成為國(guó)與國(guó)軍事對(duì)抗的戰(zhàn)場(chǎng),成為非常時(shí)期敵方打擊的首要目標(biāo)。正因?yàn)槿绱?中共中央辦公廳于2003年轉(zhuǎn)發(fā)的《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》便將“重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全”作為我國(guó)信息安全保障工作的總體要求之一。

三是認(rèn)為認(rèn)證機(jī)構(gòu)都是守法企業(yè),不可能去實(shí)施惡意行為。我們并不想對(duì)認(rèn)證機(jī)構(gòu)的行為妄加猜測(cè),但必須強(qiáng)調(diào),這是影響國(guó)家信息安全的一種途徑,必須牢固樹(shù)立風(fēng)險(xiǎn)防范意識(shí)。我國(guó)媒體曾多次報(bào)道,西方發(fā)達(dá)國(guó)家在近年來(lái)極力收集我基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的敏感信息,甚至在這些網(wǎng)絡(luò)與信息系統(tǒng)中大量植入后門、木馬等惡意程序。來(lái)自西方發(fā)達(dá)國(guó)家的信息技術(shù)企業(yè)在華的擴(kuò)張與滲透無(wú)疑為其上述行為提供了便利條件。任何商業(yè)實(shí)體都是具有國(guó)籍屬性的,都可能在國(guó)家緊急動(dòng)員時(shí)被以國(guó)家意志而“征用”,為各國(guó)的政治服務(wù)。

建立信息安全服務(wù)管理制度

認(rèn)證安全風(fēng)險(xiǎn)的出現(xiàn)是認(rèn)證認(rèn)可領(lǐng)域中的一個(gè)新問(wèn)題。但是,在信息安全領(lǐng)域,類似問(wèn)題由來(lái)已久,這便是信息安全服務(wù)的管理問(wèn)題。目前,我國(guó)對(duì)信息安全服務(wù)的類型尚無(wú)統(tǒng)一標(biāo)準(zhǔn),但無(wú)論在哪一種信息安全服務(wù)中,服務(wù)提供者對(duì)服務(wù)對(duì)象的了解都是深入和細(xì)致的,甚至直接掌控服務(wù)對(duì)象的信息系統(tǒng)和重要信息。從服務(wù)提供者與服務(wù)對(duì)象的關(guān)系以及服務(wù)的技術(shù)特征角度而言,信息安全管理體系認(rèn)證是一種特殊的信息安全服務(wù)。在服務(wù)過(guò)程可能引發(fā)安全風(fēng)險(xiǎn)這一問(wèn)題上,信息安全認(rèn)證與其他信息安全服務(wù)毫無(wú)二致。由此,安全風(fēng)險(xiǎn)的管理對(duì)策也必然具有共通性。

為了加強(qiáng)信息安全服務(wù)管理,近年來(lái)我國(guó)有關(guān)部門和一些地方政府先后實(shí)施了信息安全相關(guān)服務(wù)管理制度。但是,這些制度的適用范圍有限,且多關(guān)注服務(wù)能力,沒(méi)有考慮如何防范安全風(fēng)險(xiǎn)。

目前,國(guó)外信息安全服務(wù)商和信息技術(shù)服務(wù)商已經(jīng)在我國(guó)高端服務(wù)市場(chǎng)占?jí)艛嗟匚?這早已被視為國(guó)家信息安全的重大隱患。近年來(lái),我國(guó)網(wǎng)絡(luò)與信息安全主管部門多次展開(kāi)廣泛調(diào)研,但目前尚未信息安全服務(wù)管理政策意見(jiàn)。在這種情況下,要解決信息安全認(rèn)證中的安全風(fēng)險(xiǎn),目前還缺少更加明晰的政策環(huán)境和直接的政策支持。

管理認(rèn)證安全風(fēng)險(xiǎn)六大對(duì)策

當(dāng)前認(rèn)證安全風(fēng)險(xiǎn)主要存在于信息安全管理體系認(rèn)證領(lǐng)域,如何加強(qiáng)信息安全管理體系認(rèn)證領(lǐng)域的安全風(fēng)險(xiǎn)管理?

1.管理目標(biāo)

我國(guó)對(duì)信息系統(tǒng)有著嚴(yán)格管理,沒(méi)有系統(tǒng)集成資質(zhì)的企業(yè)不能向其提供安全服務(wù)。至于政府信息系統(tǒng),在相當(dāng)長(zhǎng)時(shí)間內(nèi)申請(qǐng)信息安全管理體系認(rèn)證者極少。因此,加強(qiáng)認(rèn)證安全風(fēng)險(xiǎn)管理的主要目標(biāo),是確?；A(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)在接受認(rèn)證時(shí)的安全。建議圍繞這一目標(biāo)設(shè)立管理制度。

2.管理重點(diǎn)

建議認(rèn)證認(rèn)可監(jiān)督管理部門在認(rèn)證程序方面設(shè)定嚴(yán)格要求,例如禁止認(rèn)證機(jī)構(gòu)攜帶電子設(shè)備進(jìn)入審核現(xiàn)場(chǎng),不得將客戶的任何紙質(zhì)或電子資料帶離現(xiàn)場(chǎng),任何資料不得離境等。在制定這些管理要求時(shí),一是要注意可行性,避免影響正常的認(rèn)證活動(dòng),二是不能與將來(lái)的ISO/IEC 27007《信息安全管理體系審核指南》相悖。

但是,以上措施只能在一定程度上降低認(rèn)證風(fēng)險(xiǎn),而不能從根源上杜絕風(fēng)險(xiǎn)。從各國(guó)對(duì)供應(yīng)鏈安全管理的實(shí)際經(jīng)驗(yàn)及發(fā)展趨勢(shì)看,在重要領(lǐng)域屏蔽國(guó)外機(jī)構(gòu)的服務(wù),應(yīng)該是最終的方向。我們關(guān)注的重要領(lǐng)域不僅僅是軍事和情報(bào)系統(tǒng),可能會(huì)有人質(zhì)疑這違反了WTO規(guī)則的國(guó)民待遇原則。其實(shí),WTO規(guī)則規(guī)定了一般安全例外和國(guó)家安全例外,但并未對(duì)國(guó)家安全的范疇作出定義。從我國(guó)信息化發(fā)展和信息安全保障的具體情況出發(fā),當(dāng)前完全可以明確基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)與國(guó)家安全的關(guān)系,要敢于在此領(lǐng)域適用“國(guó)家安全例外”。當(dāng)然,這會(huì)引發(fā)與他國(guó)的新一輪政治和經(jīng)濟(jì)博弈,但在涉及國(guó)家安全的重大問(wèn)題上,必須有這樣的決心。否則,我國(guó)的認(rèn)證安全風(fēng)險(xiǎn)管理政策以及今后的信息安全服務(wù)管理政策終將難有作為。

3.管理環(huán)節(jié)

認(rèn)證安全風(fēng)險(xiǎn)管理的目標(biāo)是保護(hù)特定領(lǐng)域網(wǎng)絡(luò)與系統(tǒng)的安全,因此難以在準(zhǔn)入環(huán)節(jié)上對(duì)認(rèn)證機(jī)構(gòu)區(qū)別對(duì)待。建議以采購(gòu)管理為主,準(zhǔn)入管理為輔。但準(zhǔn)入環(huán)節(jié)依然可以發(fā)揮前置門檻的作用,對(duì)認(rèn)證市場(chǎng)進(jìn)行總量控制,以減輕采購(gòu)環(huán)節(jié)的壓力。在采購(gòu)環(huán)節(jié),如當(dāng)前出臺(tái)強(qiáng)制性采購(gòu)政策的操作阻力較大,則可先行出臺(tái)指導(dǎo)性意見(jiàn),引導(dǎo)基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)選擇國(guó)內(nèi)認(rèn)證機(jī)構(gòu)提供的信息安全管理體系認(rèn)證服務(wù)。

4.風(fēng)險(xiǎn)管理與信息安全服務(wù)管理政策的關(guān)系

認(rèn)證安全風(fēng)險(xiǎn)管理政策是一種特殊的信息安全服務(wù)管理政策,應(yīng)受到我國(guó)信息安全服務(wù)管理制度所確立的總體原則的指導(dǎo)和支持。但在我國(guó)信息安全服務(wù)管理政策依然缺位的情況下,不妨先制定認(rèn)證安全風(fēng)險(xiǎn)管理政策,這也可以為將來(lái)出臺(tái)信息安全服務(wù)管理政策積累經(jīng)驗(yàn)。當(dāng)然,這會(huì)在一定程度上增加認(rèn)證安全風(fēng)險(xiǎn)管理政策的起草難度,特別是在采購(gòu)政策方面。

與管理其他信息安全服務(wù)中的安全風(fēng)險(xiǎn)相比,認(rèn)證安全風(fēng)險(xiǎn)管理工作也有兩個(gè)有利條件:一是國(guó)內(nèi)認(rèn)證機(jī)構(gòu)已經(jīng)成熟,可以完全替代國(guó)外認(rèn)證機(jī)構(gòu)的服務(wù),甚至在某些領(lǐng)域的影響力已經(jīng)超越國(guó)外認(rèn)證機(jī)構(gòu);二是信息安全認(rèn)證機(jī)構(gòu)及其認(rèn)證活動(dòng)已經(jīng)受到國(guó)家認(rèn)監(jiān)委的嚴(yán)格管理,而目前絕大多數(shù)信息安全服務(wù)都缺少主管或監(jiān)管部門。在制定認(rèn)證安全風(fēng)險(xiǎn)管理政策時(shí),要充分利用這兩個(gè)有利條件。

5.輔助措施

一是加大宣傳和引導(dǎo)力度。目前國(guó)內(nèi)很多用戶對(duì)信息安全管理體系認(rèn)證還存在不當(dāng)認(rèn)識(shí),例如很多人不知道成立認(rèn)證機(jī)構(gòu)以及開(kāi)展認(rèn)證活動(dòng)需要得到認(rèn)監(jiān)委的審批,還有一些人認(rèn)為國(guó)外認(rèn)證機(jī)構(gòu)頒發(fā)的是國(guó)際證書(shū),而國(guó)內(nèi)認(rèn)證機(jī)構(gòu)頒發(fā)的證書(shū)則沒(méi)有權(quán)威性等。這將導(dǎo)致用戶在選擇認(rèn)證機(jī)構(gòu)時(shí)帶有錯(cuò)誤的傾向性,以及證書(shū)采信者對(duì)證書(shū)價(jià)值產(chǎn)生誤判。目前這一問(wèn)題非常嚴(yán)重,一些地方政府出臺(tái)的認(rèn)證資助政策甚至規(guī)定,只資助獲得國(guó)外證書(shū)的企業(yè),而對(duì)國(guó)內(nèi)的證書(shū)不予承認(rèn)。

二是嚴(yán)格市場(chǎng)準(zhǔn)入條件,實(shí)行總量控制,并對(duì)違反《認(rèn)證認(rèn)可條例》的行為進(jìn)行嚴(yán)厲查處。

三是積極推動(dòng)信息安全管理體系認(rèn)證的國(guó)際互認(rèn)工作。

四是大力鼓勵(lì)國(guó)內(nèi)認(rèn)證機(jī)構(gòu)的發(fā)展,提高國(guó)內(nèi)認(rèn)證機(jī)構(gòu)的品牌影響力。

6.管理責(zé)任

認(rèn)證安全風(fēng)險(xiǎn)管理工作應(yīng)由哪一個(gè)部門牽頭?從《認(rèn)證認(rèn)可條例》制定的初衷看,監(jiān)管目標(biāo)的核心還是確保認(rèn)證有效性。認(rèn)證風(fēng)險(xiǎn)是認(rèn)證認(rèn)可制度研究中的熱點(diǎn)問(wèn)題,但認(rèn)證安全風(fēng)險(xiǎn)與傳統(tǒng)的認(rèn)證風(fēng)險(xiǎn)的概念完全不同,也與認(rèn)證有效性沒(méi)有邏輯上的必然聯(lián)系。至于認(rèn)證機(jī)構(gòu)在認(rèn)證活動(dòng)中的違法行為(這些違法行為當(dāng)然不限于違反了《認(rèn)證認(rèn)可條例》),應(yīng)由法律授權(quán)的部門在各自職責(zé)范圍內(nèi)予以查處。認(rèn)證安全風(fēng)險(xiǎn)是信息化發(fā)展帶來(lái)的新問(wèn)題,目前我國(guó)還沒(méi)有立法對(duì)收集客戶信息(包括修改客戶的信息系統(tǒng))以及信息出境問(wèn)題進(jìn)行規(guī)范,對(duì)公民個(gè)人信息以及企業(yè)秘密的保護(hù)也缺少完善的法律規(guī)定。在這種情況下,認(rèn)證認(rèn)可監(jiān)督管理部門從維護(hù)社會(huì)公平正義的角度出發(fā),對(duì)認(rèn)證機(jī)構(gòu)的保密義務(wù)作出了規(guī)定,并且還擁有手段和龐大的執(zhí)法隊(duì)伍。但是,不能就此推論應(yīng)由認(rèn)證認(rèn)可監(jiān)督管理部門負(fù)責(zé)信息安全認(rèn)證風(fēng)險(xiǎn)管理。

當(dāng)然,可以修改現(xiàn)有的法規(guī),或起草新的法規(guī),授權(quán)各行業(yè)監(jiān)管部門對(duì)本行業(yè)的信息安全風(fēng)險(xiǎn)進(jìn)行管理,這并非不可行。建議將來(lái)的信息安全立法中要在總體上明確我國(guó)信息安全服務(wù)管理體制及主管部門。其主管部門可以根據(jù)具體服務(wù)類型的不同分為多個(gè),例如國(guó)務(wù)院網(wǎng)絡(luò)與信息安全主管部門可對(duì)認(rèn)證服務(wù)之外的多數(shù)服務(wù)設(shè)立行政許可,并查處侵害客戶信息安全利益的服務(wù)行為。對(duì)于認(rèn)證服務(wù)這類已有監(jiān)督管理部門的,則完全可以授權(quán)認(rèn)證認(rèn)可監(jiān)督管理部門對(duì)認(rèn)證安全風(fēng)險(xiǎn)進(jìn)行監(jiān)管。

因此,責(zé)任制問(wèn)題的實(shí)質(zhì),是立法問(wèn)題。只要我國(guó)信息安全服務(wù)管理制度設(shè)計(jì)完善,并立法明確信息安全服務(wù)管理部門的責(zé)任,并非不可以由認(rèn)證認(rèn)可監(jiān)督管理部門承擔(dān)認(rèn)證安全管理職責(zé),但這種管理也僅限于規(guī)則的制定和對(duì)認(rèn)證機(jī)構(gòu)的查處,不能涉及采購(gòu)環(huán)節(jié)。

認(rèn)證安全風(fēng)險(xiǎn)管理涉及到多個(gè)方面的工作,必然需要建立多部門合作機(jī)制,相互配合,不能簡(jiǎn)單地講由哪一個(gè)部門負(fù)主要責(zé)任。美國(guó)在解決供應(yīng)鏈安全問(wèn)題的思路中,屢次強(qiáng)調(diào)“綜合性”、“多管齊下”、“戰(zhàn)略性”,也是出于同樣的原因。我國(guó)信息安全立法還不十分完善,客觀上造成了一些重大事項(xiàng)責(zé)任制的模糊。在當(dāng)前這種情況下,我們建議在實(shí)踐中對(duì)認(rèn)證安全風(fēng)險(xiǎn)管理工作職責(zé)作如下區(qū)分:

國(guó)務(wù)院網(wǎng)絡(luò)與信息安全主管部門一要盡快制定基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)使用認(rèn)證服務(wù)的有關(guān)采購(gòu)規(guī)定,二要加快《信息安全條例》的制定,在條例中明確哪些信息安全服務(wù)中的行為應(yīng)予禁止。

國(guó)務(wù)院認(rèn)證認(rèn)可監(jiān)督管理部門充分利用現(xiàn)有的監(jiān)管手段,一要在可能的情況下繼續(xù)嚴(yán)格信息安全管理體系認(rèn)證程序,維護(hù)國(guó)家秘密和商業(yè)秘密的安全,二要加強(qiáng)本文前面提到的四項(xiàng)輔措施。

國(guó)外的安全風(fēng)險(xiǎn)防范意識(shí)及相關(guān)措施

以美國(guó)的信息安全產(chǎn)品認(rèn)證為例,雖然美國(guó)是CC(信息技術(shù)安全性評(píng)估通用準(zhǔn)則)互認(rèn)協(xié)定的發(fā)起國(guó),但其政府公布的產(chǎn)品采購(gòu)清單(用于國(guó)家安全系統(tǒng)中)上,迄今沒(méi)有由國(guó)外認(rèn)證機(jī)構(gòu)認(rèn)證的產(chǎn)品。

對(duì)信息安全管理體系認(rèn)證等業(yè)務(wù),西方發(fā)達(dá)國(guó)家目前雖然還沒(méi)有專門的安全風(fēng)險(xiǎn)防范措施,但對(duì)于包含認(rèn)證服務(wù)在內(nèi)的所有的信息安全和信息技術(shù)相關(guān)服務(wù),西方發(fā)達(dá)國(guó)家都在重點(diǎn)領(lǐng)域(例如國(guó)防和政府部門)施以嚴(yán)格的準(zhǔn)入措施。例如:德國(guó)政府的信息安全服務(wù)全部由德國(guó)信息安全辦公室(BSI)完成,國(guó)外企業(yè)根本不可能涉足。

美國(guó)在鼓勵(lì)其企業(yè)在各國(guó)擴(kuò)張的同時(shí),對(duì)自身在采購(gòu)信息技術(shù)產(chǎn)品和服務(wù)過(guò)程中面臨的風(fēng)險(xiǎn)極為警惕。多年以來(lái),美國(guó)一直在研究“供應(yīng)鏈”的安全問(wèn)題。2009年5月,美國(guó)政府了網(wǎng)絡(luò)空間安全政策評(píng)估報(bào)告,提出要整合執(zhí)法、情報(bào)、反情報(bào)、軍事等力量,對(duì)從遠(yuǎn)程網(wǎng)絡(luò)入侵到供應(yīng)鏈安全等全面的信息安全威脅進(jìn)行抵御。2010年3月,美國(guó)政府解密了曾一度被列為高度機(jī)密的第54 號(hào)國(guó)家安全總統(tǒng)令的摘要,該摘要顯示,美國(guó)已將情報(bào)威脅和供應(yīng)鏈威脅列為信息安全領(lǐng)域的兩大重點(diǎn)威脅。其關(guān)注的供應(yīng)鏈問(wèn)題涵蓋了產(chǎn)品、系統(tǒng)和服務(wù)這三類對(duì)象,提出的解決該問(wèn)題的工作方向有四個(gè):一是必須提高安全意識(shí);二是在技術(shù)層面開(kāi)發(fā)風(fēng)險(xiǎn)控制工具;三是在政策層面調(diào)整采購(gòu)政策;四是加強(qiáng)與工業(yè)界的合作。

信息安全服務(wù)體系篇5

【關(guān)鍵詞】黨政信息化網(wǎng)絡(luò)平臺(tái)

1 業(yè)務(wù)互聯(lián)互通：安全保密面臨的新挑戰(zhàn)

安全保密是黨政信息化的重要要求之一。黨政信息化系統(tǒng)根據(jù)所處網(wǎng)絡(luò)、所承載的信息敏感程度不同，需要按照等級(jí)保護(hù)和分級(jí)保護(hù)要求進(jìn)行保護(hù)。在信息化發(fā)展過(guò)程中，安全保密手段也從防火墻、入侵檢測(cè)等被動(dòng)安全防御發(fā)展到以PKI等密碼技術(shù)為主的主動(dòng)安全，為信息化發(fā)展發(fā)揮了大量重要作用。

然而，隨著業(yè)務(wù)需求的不斷發(fā)展，黨政信息化正面臨著從各自為政向全程全網(wǎng)的重要變革。傳統(tǒng)以部門局域網(wǎng)、以區(qū)域、行業(yè)為對(duì)象的信息化建設(shè)模式，人為割裂了跨部門、跨區(qū)域和跨行業(yè)的政務(wù)業(yè)務(wù)鏈，導(dǎo)致信息化發(fā)展內(nèi)外嚴(yán)重不平衡，部門“出不去、進(jìn)不來(lái)”的現(xiàn)象越來(lái)越嚴(yán)重，信息孤島、業(yè)務(wù)孤島由此而生。

在傳統(tǒng)的信息化建設(shè)模式下，網(wǎng)絡(luò)、信息系統(tǒng)都有明確的邊界，因而安全保密的重點(diǎn)就是“內(nèi)部保護(hù)”和“外部隔離”。

當(dāng)以“互聯(lián)互通、信息共享和業(yè)務(wù)協(xié)同”為主要需求的全程全網(wǎng)信息化需求迅速發(fā)展時(shí)，以“?！睘橹鲃?dòng)的安全保密在保證了局部安全的同時(shí)，也成為了阻礙互聯(lián)互通的又一個(gè)孤島――安全孤島。而改變這種局面，需要改變安全保密局部防御的思路，建立全網(wǎng)安全保密支撐和服務(wù)體系，在確保安全保密的同時(shí)，更要發(fā)揮為業(yè)務(wù)全程全網(wǎng)保駕護(hù)航的作用。

2 網(wǎng)絡(luò)信任體系：全網(wǎng)安全保密的技術(shù)基礎(chǔ)

以PKI技術(shù)、現(xiàn)代密碼技術(shù)，是建立大規(guī)模網(wǎng)絡(luò)環(huán)境下實(shí)體信任的基礎(chǔ)。然而，要建立全網(wǎng)安全保密的支撐和服務(wù)體系，必須打破部門之間、區(qū)域之間、行業(yè)之間的信任孤島，真正實(shí)現(xiàn)面向全網(wǎng)的網(wǎng)絡(luò)信任體系。

全網(wǎng)網(wǎng)絡(luò)信任體系是建立幾個(gè)全網(wǎng)統(tǒng)一之上的：

2.1 是全網(wǎng)統(tǒng)一的網(wǎng)絡(luò)資源管理

這是網(wǎng)絡(luò)信任體系建立網(wǎng)絡(luò)實(shí)體信任關(guān)系的管理基礎(chǔ)，也是實(shí)體信任關(guān)系的信任源點(diǎn)，凡是需要信任的網(wǎng)絡(luò)對(duì)象，包括機(jī)構(gòu)、用戶、應(yīng)用資源等，都需要通過(guò)網(wǎng)絡(luò)資源管理的注冊(cè)、審核、登記，建立起和物理世界實(shí)體的信任關(guān)系，確保物理世界和網(wǎng)絡(luò)世界的一一對(duì)應(yīng)。

2.2 是全網(wǎng)統(tǒng)一的身份認(rèn)證服務(wù)

這是網(wǎng)絡(luò)實(shí)體的行為基礎(chǔ)，所有訪問(wèn)行為、服務(wù)行為等都依賴其背后的身份可信。所以統(tǒng)一身份認(rèn)證服務(wù)必須在網(wǎng)絡(luò)層實(shí)現(xiàn)，在用戶上網(wǎng)、應(yīng)用上線的環(huán)節(jié)上能夠鑒別用戶、設(shè)備、系統(tǒng)的身份，并為每個(gè)需要進(jìn)行身份確認(rèn)的環(huán)節(jié)提供身份證明服務(wù)，身份認(rèn)證、身份證明服務(wù)以全網(wǎng)為服務(wù)范圍。

2.3 是統(tǒng)一授權(quán)和權(quán)限服務(wù)

這是確保網(wǎng)絡(luò)行為有序、信息和應(yīng)用資源受控訪問(wèn)的基礎(chǔ)。統(tǒng)一授權(quán)服務(wù)，可以在全網(wǎng)范圍內(nèi)實(shí)現(xiàn)實(shí)體和被訪問(wèn)資源之間的權(quán)限關(guān)系，而統(tǒng)一權(quán)限服務(wù)是確保這種權(quán)限關(guān)系全網(wǎng)有效，各相關(guān)資源保護(hù)點(diǎn)可以基于統(tǒng)一授權(quán)和權(quán)限服務(wù)，實(shí)現(xiàn)嚴(yán)格的訪問(wèn)控制。

2.4 是統(tǒng)一的證據(jù)保留和責(zé)任認(rèn)定

這是確保安全保密管理和事后責(zé)任追溯的基礎(chǔ)。在發(fā)生安全保密事故時(shí)，迅速確定事故發(fā)生地點(diǎn)、通過(guò)對(duì)行為證據(jù)的的綜合分析，可以在全網(wǎng)范圍內(nèi)判定責(zé)任人和責(zé)任范圍。

網(wǎng)絡(luò)信任體系的四個(gè)統(tǒng)一，使得安全保密具有了統(tǒng)一的管理和服務(wù)基礎(chǔ)，基于統(tǒng)一網(wǎng)絡(luò)信任體系，從網(wǎng)絡(luò)、信息、業(yè)務(wù)三個(gè)層面可以實(shí)現(xiàn)全網(wǎng)全網(wǎng)的安全保密。

3 網(wǎng)絡(luò)層安全保密：網(wǎng)絡(luò)互聯(lián)和邊界隔離保護(hù)

互聯(lián)互通首先是網(wǎng)絡(luò)層的互聯(lián)互通。和國(guó)際互聯(lián)網(wǎng)扁平化結(jié)構(gòu)不同，還是黨政系統(tǒng)的網(wǎng)絡(luò)平臺(tái)，由于分層管理、分域保護(hù)的要求，其基本管理單元是以部門網(wǎng)絡(luò)構(gòu)成的安全域，大量安全域根據(jù)行政機(jī)構(gòu)實(shí)現(xiàn)橫向、縱向互聯(lián)，形成大型復(fù)雜網(wǎng)絡(luò)。網(wǎng)絡(luò)層安全保密必須確保網(wǎng)絡(luò)安全互聯(lián)的同時(shí)，又確保網(wǎng)絡(luò)互聯(lián)邊界的有效隔離保護(hù)，網(wǎng)絡(luò)邊界隔離保護(hù)是網(wǎng)絡(luò)整體安全的基礎(chǔ)。

互聯(lián)互通條件下的網(wǎng)絡(luò)邊界隔離保護(hù)解決方案是基于網(wǎng)絡(luò)信任體系的統(tǒng)一身份認(rèn)證、統(tǒng)一授權(quán)和權(quán)限服務(wù)實(shí)現(xiàn)的，通過(guò)對(duì)網(wǎng)絡(luò)邊界部署網(wǎng)絡(luò)訪問(wèn)控制安全網(wǎng)關(guān)設(shè)備，形成安全域保護(hù)邊界，對(duì)所有試圖訪問(wèn)網(wǎng)絡(luò)邊界的用戶進(jìn)行身份和權(quán)限驗(yàn)證，確保網(wǎng)絡(luò)通行為可管、可控。

根據(jù)安全保密的要求不同，網(wǎng)絡(luò)邊界隔離的保護(hù)點(diǎn)首先是在安全域互聯(lián)邊界，實(shí)現(xiàn)不同安全域之間網(wǎng)絡(luò)接入的安全保密；其次是在安全域內(nèi)德重點(diǎn)安全區(qū)，如重點(diǎn)應(yīng)用系統(tǒng)、信息資源管理系統(tǒng)，可以部署資源訪問(wèn)控制點(diǎn)，對(duì)試圖訪問(wèn)安全區(qū)內(nèi)重要信息資源的行為進(jìn)行強(qiáng)制主動(dòng)保護(hù)，合法授權(quán)用戶可以透明訪問(wèn)資源，而非法用戶將遠(yuǎn)離試圖接觸的資源，極大提高了資源保護(hù)能力。

4 信息層安全保密：信息交換和可信交換控制

互聯(lián)互通的第二個(gè)層面是信息層的互聯(lián)互通。不同安全域的機(jī)構(gòu)、應(yīng)用、用戶之間、不同應(yīng)用之間需要通過(guò)信息交換，傳遞文件、業(yè)務(wù)要求和其他業(yè)務(wù)信息，因此，建設(shè)統(tǒng)一體系、高效互聯(lián)的信息交換平臺(tái)勢(shì)在必行。然而在享受信息層互聯(lián)互通的同時(shí)，必須確保跨域信息交換符合安全保密的要求，確保安全可控。

因此，在信息交換平通各級(jí)安全域的同時(shí)，安全域邊界必須具有對(duì)交換信息安全保密控制的能力。而這種信息安全保密控制能力由信息交換平臺(tái)的信息交換發(fā)起方和安全域邊界的信息交換控制點(diǎn)共同實(shí)現(xiàn)：信息交換發(fā)起方必須具備對(duì)信息本身進(jìn)行安全封裝的能力，在封裝過(guò)程中，需要明確設(shè)定當(dāng)前信息的相關(guān)保密屬性；而安全域邊界的信息交換控制點(diǎn)必須具備對(duì)當(dāng)前交換信息進(jìn)行安全保密屬性鑒別能力，以及基于安全保密控制策略進(jìn)行判斷能力，確保只有符合安全保密策略的交換信息通過(guò)。

5 安全保密為業(yè)務(wù)層互聯(lián)互通保駕護(hù)航

網(wǎng)絡(luò)層互聯(lián)互通和信息層互聯(lián)互通，為跨部門（跨安全域）業(yè)務(wù)互聯(lián)互通奠定了基礎(chǔ)。同時(shí)，網(wǎng)絡(luò)層安全保密和信息層安全保密為業(yè)務(wù)互聯(lián)互通的全程全網(wǎng)安全保密奠定了基礎(chǔ)。

長(zhǎng)期以來(lái)，黨政信息化面向業(yè)務(wù)的全程全網(wǎng)開(kāi)展一直是難點(diǎn)。由于缺乏信息互聯(lián)互通技術(shù)，傳統(tǒng)的業(yè)務(wù)跨部門（安全域）開(kāi)展，只能采用遠(yuǎn)程終端方式實(shí)現(xiàn)，而由于缺乏網(wǎng)絡(luò)互聯(lián)互通安全保密能力，為了規(guī)避網(wǎng)絡(luò)互聯(lián)互通的安全風(fēng)險(xiǎn)，只能依靠網(wǎng)絡(luò)隔離手段建設(shè)了大量的業(yè)務(wù)專網(wǎng)，業(yè)務(wù)孤島現(xiàn)象由此而生。

在網(wǎng)絡(luò)層和信息層互聯(lián)互通安全保密實(shí)現(xiàn)的基礎(chǔ)上，業(yè)務(wù)層互聯(lián)互通不再面臨安全風(fēng)險(xiǎn)威脅，基于統(tǒng)一的電子政務(wù)網(wǎng)絡(luò)，實(shí)現(xiàn)各個(gè)行業(yè)業(yè)務(wù)延伸已經(jīng)成為可能，這其中首先是全網(wǎng)網(wǎng)絡(luò)信任體系支撐下的安全保密技術(shù)突破，也是安全保密為業(yè)務(wù)保駕護(hù)航的重要方向。

黨政部門業(yè)務(wù)跨部門（安全域）互聯(lián)互通存在兩種基本模式：

5.1 全網(wǎng)共享型業(yè)務(wù)延伸

業(yè)務(wù)應(yīng)用系統(tǒng)在一個(gè)部門（安全域）部署，其他部門（安全域）用戶經(jīng)過(guò)授權(quán)具有遠(yuǎn)程訪問(wèn)該業(yè)務(wù)應(yīng)用系統(tǒng)的權(quán)限，而在遠(yuǎn)程訪問(wèn)發(fā)起過(guò)程中，網(wǎng)絡(luò)信任體系的安全域訪問(wèn)控制和安全域訪問(wèn)控制均可以對(duì)來(lái)訪用戶進(jìn)行身份和權(quán)限的鑒別，確保共享型業(yè)務(wù)面向全網(wǎng)服務(wù)的安全保密。

5.2 全網(wǎng)協(xié)同型業(yè)務(wù)延伸

即參與業(yè)務(wù)協(xié)同的多個(gè)部門（安全域）各自部署相應(yīng)的業(yè)務(wù)處理系統(tǒng)，而這些業(yè)務(wù)處理系統(tǒng)在業(yè)務(wù)開(kāi)展過(guò)程中，用戶無(wú)需跨部門（安全域）遠(yuǎn)程訪問(wèn)其他業(yè)務(wù)處理系統(tǒng)，通過(guò)相互間交換業(yè)務(wù)信息和業(yè)務(wù)辦理要求，由分布在不同部門（安全域）的用戶在各自系統(tǒng)中進(jìn)行跨系統(tǒng)業(yè)務(wù)協(xié)同，共同完成復(fù)雜業(yè)務(wù)。在跨部門（安全域）交換業(yè)務(wù)信息時(shí)，信息交換平臺(tái)一方面負(fù)責(zé)信息的端到端內(nèi)容安全性，而安全域邊界的信息交換控制點(diǎn)根據(jù)安全策略，負(fù)責(zé)信息流轉(zhuǎn)符合安全保密規(guī)則。

基于網(wǎng)絡(luò)層、信息層互聯(lián)互通和安全保密的方案，既保護(hù)了業(yè)務(wù)全程互聯(lián)互通、又確保業(yè)務(wù)跨域延伸的安全保密。

6 結(jié)束語(yǔ)

黨政信息化互聯(lián)互通、信息共享和業(yè)務(wù)協(xié)同的發(fā)展要求，對(duì)傳統(tǒng)的以防御、以隔離為主要特征的安全保密模式提出了新的挑戰(zhàn)。安全保密必須以業(yè)務(wù)發(fā)展為導(dǎo)向，以保障業(yè)務(wù)全程全網(wǎng)的安全開(kāi)展為服務(wù)目標(biāo)，因而也必須面向全網(wǎng)安全保密。全網(wǎng)網(wǎng)絡(luò)信任體系的實(shí)現(xiàn)為全網(wǎng)安全保密提供了基礎(chǔ)，網(wǎng)絡(luò)信任體系和一般意義上的應(yīng)用系統(tǒng)信任、局域網(wǎng)信任的最大不同是網(wǎng)絡(luò)信任體系以全網(wǎng)為管理、服務(wù)范圍，具有真正的體系一致性。而基于全網(wǎng)網(wǎng)絡(luò)信任體系的管理和服務(wù)能力，網(wǎng)絡(luò)層互聯(lián)互通、信息層互聯(lián)互通的全網(wǎng)安全保密可以實(shí)現(xiàn)，進(jìn)而為跨部門、跨區(qū)域、跨行業(yè)的業(yè)務(wù)開(kāi)展，實(shí)現(xiàn)業(yè)務(wù)層互聯(lián)互通提供了支撐和保障，為黨政系統(tǒng)信息化安全保密提供了全新的解決方案。

作者單位

信息安全服務(wù)體系篇6

關(guān)鍵詞：信息管理系統(tǒng) 信息安全系統(tǒng)安全建設(shè)

中圖分類號(hào)：TP39 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1003-9082（2014）03-0001-02

一、引言

隨著全球信息化不斷在我國(guó)深化和發(fā)展，我國(guó)各地區(qū)、各行業(yè)使用信息系統(tǒng)開(kāi)展工作的比例越來(lái)越大。一般來(lái)說(shuō)，信息化程度越高，對(duì)信息管理系統(tǒng)的依賴性就越強(qiáng)，信息安全問(wèn)題就越為突顯和嚴(yán)重。而信息安全問(wèn)題也正逐漸成為影響各企事業(yè)單位業(yè)務(wù)能否正常運(yùn)行、生產(chǎn)力能否快速發(fā)展的重要因素之一。但是由于我國(guó)信息化建設(shè)起步相對(duì)較晚，與國(guó)外先進(jìn)國(guó)家相比，無(wú)論在信息安全意識(shí)還是信息安全防護(hù)技術(shù)等諸多方面都還存在較大差距，各企事業(yè)單位的信息安全基本上均處于一個(gè)相對(duì)較為薄弱的環(huán)節(jié)。一旦信息管理系統(tǒng)中的個(gè)人信息和敏感數(shù)據(jù)發(fā)生丟失或者泄漏，可能會(huì)對(duì)自身造成無(wú)可估量的損失。因此，重點(diǎn)保障信息管理系統(tǒng)安全已成為各行各業(yè)的首要任務(wù)。信息管理系統(tǒng)安全建設(shè)應(yīng)該系統(tǒng)地、有條理地進(jìn)行全面規(guī)劃，充分地、全方位地考慮安全需求和特性，從而達(dá)到各種安全產(chǎn)品、安全管理、整體安全策略和外部安全服務(wù)的統(tǒng)一，發(fā)揮其最大的效率，給予信息管理系統(tǒng)以最大保障。

二、信息管理系統(tǒng)安全建設(shè)原則

1.安全體系兼容性

安全體系有一個(gè)重要的思想是安全技術(shù)的兼容性，安全措施能夠和目前主流、標(biāo)準(zhǔn)的安全技術(shù)和產(chǎn)品兼容。

2.信息管理系統(tǒng)體系架構(gòu)安全性

系統(tǒng)的系統(tǒng)架構(gòu)已經(jīng)成為保護(hù)系統(tǒng)安全的重要防線，一個(gè)優(yōu)秀的系統(tǒng)體系架構(gòu)除了能夠保證系統(tǒng)的穩(wěn)定性以外，還能夠封裝不同層次的業(yè)務(wù)邏輯。各種業(yè)務(wù)組件之間的“黑盒子”操作，能夠有效地保護(hù)系統(tǒng)邏輯隱蔽性和獨(dú)立性。

3.傳輸安全性

由于計(jì)算機(jī)網(wǎng)絡(luò)涉及很多用戶的接入訪問(wèn)，因此如何保護(hù)數(shù)據(jù)在傳輸過(guò)程中不被竊聽(tīng)和撰改就成為重點(diǎn)考慮內(nèi)的問(wèn)題，建議采用傳輸協(xié)議的加密保護(hù)。

4.軟硬件結(jié)合的防護(hù)體系

系統(tǒng)應(yīng)支持和多種軟硬件安全設(shè)備結(jié)合，構(gòu)成一個(gè)立體防護(hù)體系，主要安全軟硬件設(shè)備為防火墻系統(tǒng)、防病毒軟件等。

5.可跟蹤審計(jì)

系統(tǒng)應(yīng)內(nèi)置多粒度的日志系統(tǒng)，能夠按照需要把各種不同操作粒度的動(dòng)作都記錄在日志中，用于跟蹤和審計(jì)用戶的歷史操作。

6.身份確認(rèn)及操作不可抵賴

身份確認(rèn)對(duì)于系統(tǒng)來(lái)說(shuō)有兩重含義，一是用戶身份的確認(rèn)，二是服務(wù)器身份的確認(rèn)，兩者在信息安全體系建設(shè)中必不可少。

7.數(shù)據(jù)存儲(chǔ)的安全性

系統(tǒng)中數(shù)據(jù)存儲(chǔ)方面可以采取兩道機(jī)制進(jìn)行的保護(hù)，一是系統(tǒng)提供的訪問(wèn)權(quán)限控制，二是數(shù)據(jù)的加密存放。

三、信息管理系統(tǒng)安全建設(shè)內(nèi)容

按照系統(tǒng)安全體系結(jié)構(gòu)，結(jié)合安全需求、安全策略和安全措施，并充分利用安全設(shè)備包括防火墻、入侵檢測(cè)、主機(jī)審計(jì)等，其建設(shè)內(nèi)容主要有：

1.物理安全

機(jī)房要求保護(hù)計(jì)算機(jī)設(shè)備、設(shè)施（含網(wǎng)絡(luò)）以及其它媒體免遭地震、水災(zāi)、火災(zāi)、有害氣體和其它環(huán)境事故（如電磁污染、電源故障、設(shè)備被盜、被毀等）破壞。

2.網(wǎng)絡(luò)安全

利用現(xiàn)有的防火墻、路由器，實(shí)行訪問(wèn)控制，按用戶與系統(tǒng)間的訪問(wèn)規(guī)則，決定允許或拒絕用戶對(duì)受控系統(tǒng)進(jìn)行資源訪問(wèn)。同時(shí)加強(qiáng)端口、拒絕服務(wù)攻擊、網(wǎng)絡(luò)蠕蟲(chóng)等的監(jiān)控，保障系統(tǒng)網(wǎng)絡(luò)運(yùn)行的暢通。

2.1使用防火墻技術(shù)

通過(guò)使用防火墻技術(shù)，建立系統(tǒng)的第二道安全屏障。例如，防止外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)的未授權(quán)訪問(wèn)，建立系統(tǒng)的對(duì)外安全屏障。最好是采用不同技術(shù)的防火墻，增加黑客擊穿防火墻的難度。

2.2使用入侵監(jiān)測(cè)系統(tǒng)

使用入侵監(jiān)測(cè)系統(tǒng)，建立系統(tǒng)的第三道安全屏障，提高系統(tǒng)的安全性能，主要包括：監(jiān)測(cè)分析用戶和系統(tǒng)的活動(dòng)、核查系統(tǒng)配置和漏洞、評(píng)估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性、識(shí)別已知的攻擊行為、統(tǒng)計(jì)分析異常行為、操作系統(tǒng)日志管理，并識(shí)別違反安全策略的用戶活動(dòng)等功能。

3.主機(jī)安全

系統(tǒng)主機(jī)安全從主機(jī)身份鑒別、訪問(wèn)控制、安全審計(jì)、入侵防范、惡意代碼防范和資源控制等方面考慮。

3.1主機(jī)身份鑒別

對(duì)登錄操作系統(tǒng)的用戶進(jìn)行身份設(shè)別和鑒別，對(duì)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)設(shè)置復(fù)雜的登錄口令，并且定期進(jìn)行更換。同時(shí)對(duì)操作系統(tǒng)和數(shù)據(jù)庫(kù)用戶分配不同的用戶分配不同用戶名。

3.2訪問(wèn)控制

通過(guò)三層交換機(jī)和防火墻設(shè)置對(duì)系統(tǒng)服務(wù)器的訪問(wèn)控制權(quán)限。對(duì)服務(wù)器實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)用戶的權(quán)限分離，限制默認(rèn)賬號(hào)的訪問(wèn)權(quán)限，重命名系統(tǒng)默認(rèn)賬戶，修改默認(rèn)密碼。

3.3安全審計(jì)

服務(wù)器操作系統(tǒng)本身帶有審計(jì)功能，要求審計(jì)范圍覆蓋到服務(wù)器上的每個(gè)操作系統(tǒng)用戶，審計(jì)內(nèi)容包括重要用戶行為、系統(tǒng)資源異常使用并進(jìn)行記錄。

信息管理系統(tǒng)也應(yīng)考慮安全審計(jì)功能，記錄系統(tǒng)用戶行為，系統(tǒng)用戶操作事件日期、時(shí)間、類型、操作結(jié)果等。

3.4入侵防范

利用入侵檢測(cè)系統(tǒng)和防火墻相應(yīng)功能，檢測(cè)對(duì)服務(wù)器入侵行為，記錄入侵源IP、攻擊的類型、攻擊的目標(biāo)、攻擊時(shí)間，并在發(fā)生嚴(yán)重的入侵事件時(shí)提供報(bào)警。

3.5惡意代碼防范

在服務(wù)器上安裝服務(wù)器端防病毒系統(tǒng)，以提供對(duì)病毒的檢測(cè)、清除、免疫和對(duì)抗能力。

3.6資源控制

在核心交換機(jī)與防火墻配置詳細(xì)訪問(wèn)控制策略，限制非法訪問(wèn)。

4.應(yīng)用安全

4.1安全審計(jì)

信息管理系統(tǒng)應(yīng)提供覆蓋到每個(gè)用戶的安全審計(jì)功能，對(duì)應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì)，審計(jì)記錄內(nèi)容至少包括事件的日期、時(shí)間、發(fā)起者信息、類型、描述和結(jié)果等，保證無(wú)法刪除、修改或覆蓋審計(jì)記錄。

4.2資源控制

信息管理系統(tǒng)應(yīng)限制用戶對(duì)系統(tǒng)的最大并發(fā)會(huì)話連接數(shù)、限制單個(gè)賬戶的多重并發(fā)會(huì)話、限制某一時(shí)間段內(nèi)可能的并發(fā)會(huì)話連接數(shù)。

5.數(shù)據(jù)安全

系統(tǒng)數(shù)據(jù)安全要求確保管理數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)等重要信息在傳輸過(guò)程和存儲(chǔ)過(guò)程中的完整性和保密性。對(duì)于數(shù)據(jù)庫(kù)中的敏感數(shù)據(jù)，需對(duì)數(shù)據(jù)項(xiàng)進(jìn)行加密，保證管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過(guò)程與存儲(chǔ)過(guò)程中完整性不受到破壞。

對(duì)數(shù)據(jù)進(jìn)行定期備份，確保存儲(chǔ)過(guò)程中檢測(cè)到數(shù)據(jù)完整性錯(cuò)誤時(shí)，具有數(shù)據(jù)恢復(fù)能力。必須采用至少兩種手段進(jìn)行備份，備份手段以整體安全備份系統(tǒng)為主，配合其他備份手段，如GHOST、TRUE IMAGE或操作系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng)本身的備份服務(wù)等。備份具體要求如下：

5.1各服務(wù)器專職管理員根據(jù)所管服務(wù)器的具體情況與整體安全備份系統(tǒng)專職管理員協(xié)調(diào)制訂好所管服務(wù)器的備份計(jì)劃及備份策略。

5.2整體安全備份系統(tǒng)專職管理人員必須組織各服務(wù)器專職管理員對(duì)各服務(wù)器每個(gè)季度進(jìn)行一次整體災(zāi)備（冷備）。若某臺(tái)服務(wù)器的配置需要發(fā)生較大變更，該服務(wù)器的專職管理員應(yīng)在對(duì)該服務(wù)器實(shí)施變更前和圓滿完成變更后，分別對(duì)該服務(wù)器做一次整體災(zāi)備，必要時(shí)整體安全備份系統(tǒng)專職管理員需對(duì)整體災(zāi)備提供協(xié)助。

5.3數(shù)據(jù)備份主要分為月備份、周備份、日備份及日志（增量）備份。月備份每月對(duì)各服務(wù)器的所有系統(tǒng)、目錄及數(shù)據(jù)庫(kù)做一次全備（熱備）。周備份每周對(duì)各服務(wù)器的所有系統(tǒng)、目錄及數(shù)據(jù)庫(kù)做一次全備（熱備）。日備份每天對(duì)各服務(wù)器的重要目錄及數(shù)據(jù)庫(kù)做一次備份。日志（增量）備份針對(duì)數(shù)據(jù)更新較頻繁的服務(wù)器，每天進(jìn)行多次增量備份。

5.4除日志（增量）備份外，其它各種備份以每一次獨(dú)立執(zhí)行的備份作為一個(gè)獨(dú)立版本。每個(gè)獨(dú)立版本的備份必須存儲(chǔ)在獨(dú)立的備份介質(zhì)上，不能混合存儲(chǔ)在同一套備份介質(zhì)。整體災(zāi)備（冷備）和月備份一般要求保留至少能覆蓋當(dāng)年及上一年全年時(shí)間的所有版本，周備份要求保留至少最近5個(gè)版本，日備份要求保留至少最近4個(gè)版本，日志（增量）備份保留至少自上一次周備份以來(lái)的所有版本。

5.5備份介質(zhì)應(yīng)放在機(jī)房以外安全的地方保管。所有備份介質(zhì)必須有明確、詳盡的標(biāo)簽文字說(shuō)明。

5.6整體安全備份系統(tǒng)專職管理員必須定時(shí)檢查備份作業(yè)的運(yùn)行情況，備份異常情況應(yīng)盡快查明原因，解決問(wèn)題并在值班登記本上詳細(xì)記錄。

四、安全制度建設(shè)

建設(shè)嚴(yán)格、完整的基本管理制度包括安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理機(jī)制幾個(gè)方面。

安全管理制度：包括安全策略、安全制度、操作規(guī)程等的管理制度；管理制度的制定和；管理制度的評(píng)審和修訂。

安全管理機(jī)構(gòu)：包括職能部門崗位設(shè)置；系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員的人員配備；授權(quán)和審批；管理人員、內(nèi)部機(jī)構(gòu)和職能部門間的溝通和合作；定期的安全審核和安全檢查。

人員安全管理：包括人員錄用；人員離崗；人員考核；安全意識(shí)教育和培訓(xùn)；外部人員訪問(wèn)管理。

系統(tǒng)建設(shè)管理：包括系統(tǒng)定級(jí)；安全方案設(shè)計(jì)；產(chǎn)品采購(gòu)和使用；自行軟件開(kāi)發(fā)；外包軟件開(kāi)發(fā)；工程實(shí)施；測(cè)試驗(yàn)收；系統(tǒng)交付；系統(tǒng)備案；等級(jí)測(cè)評(píng)；安全服務(wù)商選擇。

系統(tǒng)運(yùn)維管理：包括機(jī)房環(huán)境管理；信息資產(chǎn)管理；介質(zhì)管理；設(shè)備管理；監(jiān)控管理和安全管理中心；網(wǎng)絡(luò)安全管理；系統(tǒng)安全管理；惡意代碼防范管理；密碼管理；變更管理；備份與恢復(fù)管理；安全事件處置；應(yīng)急預(yù)案管理。

五、結(jié)束語(yǔ)

信息化建設(shè)已經(jīng)涉及到國(guó)民經(jīng)濟(jì)和社會(huì)生活的各個(gè)領(lǐng)域，信息管理系統(tǒng)也成為各行各業(yè)信息化建設(shè)發(fā)展中的重要工具。如何保障信息管理系統(tǒng)安全從而保證信息安全是關(guān)系到國(guó)家安全、社會(huì)安全和行業(yè)安全的大問(wèn)題。我們只有在實(shí)現(xiàn)信息安全的條件下，才能有效利用信息管理系統(tǒng)這個(gè)有力的工具提高生產(chǎn)力，推動(dòng)社會(huì)的發(fā)展。本文通過(guò)對(duì)信息系統(tǒng)安全建設(shè)原則、安全建設(shè)內(nèi)容和安全制度建設(shè)三方面較為詳細(xì)的探討，應(yīng)該對(duì)于各企事業(yè)單位信息管理系統(tǒng)的安全建設(shè)有所幫助和借鑒。

參考文獻(xiàn)

[1] 林國(guó)恩，李建彬，信息系統(tǒng)安全，電子工業(yè)出版社，2010-03

[2] Dieter Gollmann， Computer Security 2 edition， Wiley， 2006

[3]《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》，中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)，GB/T 22239-2008

[4] 尚邦治等，做好信息安全等級(jí)保護(hù)工作，中國(guó)衛(wèi)生信息管理雜志，2012.5

[5] 王起全，企業(yè)安全生產(chǎn)信息管理系統(tǒng)構(gòu)建研究，中國(guó)安全科學(xué)學(xué)報(bào)，2010.5

信息安全服務(wù)體系篇7

關(guān)鍵詞：信息安全管理等級(jí)保護(hù) 數(shù)據(jù)采集日志管理

中圖分類號(hào)：TP39 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1672-3791（2015）11（c）-0007-02

我國(guó)電子政務(wù)建設(shè)正處在高速發(fā)展期，從中央到省市各級(jí)政府部門都投入了大量的人力和財(cái)力來(lái)推進(jìn)信息化工作。電子政務(wù)公共平臺(tái)的頂層設(shè)計(jì)和實(shí)施建成，較大程度地提高了政府信息政務(wù)公開(kāi)和共享等的工作效率和服務(wù)質(zhì)量。電子政務(wù)公共平臺(tái)穩(wěn)定和安全運(yùn)行已經(jīng)構(gòu)成了政府運(yùn)轉(zhuǎn)連續(xù)性的重要保障之一。因此，電子政務(wù)公共平臺(tái)的安全保障工作已經(jīng)成為政府信息化工作成敗的關(guān)鍵因素。信息安全的管理需要在各個(gè)層面為電子政務(wù)提供機(jī)密性、完整性、可用性、鑒別等安全服務(wù)。該文基于信息安全等級(jí)保護(hù)，從安全基礎(chǔ)設(shè)施、訪問(wèn)控制策略、安全防御、安全監(jiān)控、安全審計(jì)和安全響應(yīng)恢復(fù)等研究信息安全研究電子政務(wù)的安全管理體系。從而從整體上提高電子政務(wù)公共平臺(tái)信息安全管理全面性。

1 研究思路

基于電子政務(wù)公共平臺(tái)服務(wù)的戰(zhàn)略定位、統(tǒng)籌規(guī)劃和實(shí)施路徑的總體把握，按照基于等級(jí)保護(hù)技術(shù)要求，并根據(jù)電子政務(wù)信息化服務(wù)業(yè)務(wù)安全需求，為信息化綜合服務(wù)提供安全支撐服務(wù)，從而使得平臺(tái)可以安全、穩(wěn)定、可連續(xù)的進(jìn)行信息化服務(wù)。重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全，實(shí)現(xiàn)信息安全服務(wù)支撐工作的有效安全技術(shù)和管理措施要求，以實(shí)現(xiàn)信息安全等級(jí)保護(hù)實(shí)施的重大的現(xiàn)實(shí)和戰(zhàn)略意義。

2 總體設(shè)計(jì)目標(biāo)

（1）電子政務(wù)公共平臺(tái)安全管理建設(shè)的總體目標(biāo)是統(tǒng)一技術(shù)標(biāo)準(zhǔn)，共建共享信息安全基礎(chǔ)設(shè)施，建立統(tǒng)一的公共密鑰基礎(chǔ)設(shè)施（PKI），實(shí)現(xiàn)跨系統(tǒng)的身份認(rèn)證機(jī)制等。

（2）解決傳統(tǒng)信息化系統(tǒng)建設(shè)中，電子政務(wù)公共平臺(tái)基礎(chǔ)設(shè)施、信息資源與業(yè)務(wù)系統(tǒng)因所有權(quán)、使用權(quán)和管理權(quán)界定不清晰，存在基礎(chǔ)設(shè)施和業(yè)務(wù)應(yīng)用的管理權(quán)限難以分離管理，責(zé)任權(quán)限過(guò)大或者過(guò)小，造成設(shè)備利用率不高，或容易出現(xiàn)信息安全事件的情況。

（3）解決不同的政府部分因不同的職能/服務(wù)導(dǎo)致的電子政務(wù)基礎(chǔ)設(shè)施和資源的重復(fù)建設(shè)和資金浪費(fèi)問(wèn)題。

（4）解決信息化綜合服務(wù)的安全服務(wù)支撐，實(shí)現(xiàn)各級(jí)信息系統(tǒng)的授權(quán)管理、認(rèn)證服務(wù)、鑒別服務(wù)、訪問(wèn)控制和數(shù)據(jù)防護(hù)的安全服務(wù)支撐，最終實(shí)現(xiàn)各級(jí)信息系統(tǒng)互聯(lián)互通的信息化服務(wù)。

3 設(shè)計(jì)分析

3.1 設(shè)計(jì)思路

（1）電子政務(wù)公共平臺(tái)安全管理建設(shè)統(tǒng)一管理電子政務(wù)邊界安全防護(hù)系統(tǒng)，集中建設(shè)互聯(lián)網(wǎng)接入點(diǎn)，實(shí)現(xiàn)部門互聯(lián)網(wǎng)的安全接入和可管可控可剝離等。

（2）電子政務(wù)公共平臺(tái)安全管理基于安全技術(shù)體系下，根據(jù)各自信息安全等級(jí)，建設(shè)、升級(jí)、完善安全系統(tǒng)等。

（3）電子政務(wù)公共平臺(tái)安全管理中心系統(tǒng)將不同位置、不同安全系統(tǒng)中分散且海量的單一安全事件進(jìn)行匯總、過(guò)濾、收集和關(guān)聯(lián)分析，以全局角度分析信息安全風(fēng)險(xiǎn)和信息安全事件，形成分層次分區(qū)域的安全策略，以對(duì)安全事件進(jìn)行響應(yīng)和處置的綜合性信息安全管理平臺(tái)。

（4）電子政務(wù)公共平臺(tái)安全管理是一個(gè)跨系統(tǒng)、跨部門的綜合信息系統(tǒng)，由虛擬資源管理系統(tǒng)、數(shù)據(jù)挖掘與智能瀏覽、虛擬資源隔離系統(tǒng)、信息資源目錄與交換系統(tǒng)、基于SOA的業(yè)務(wù)協(xié)同、多元數(shù)據(jù)融合與集成系統(tǒng)、數(shù)據(jù)庫(kù)資源整合與綜合應(yīng)用、多級(jí)數(shù)據(jù)交換系統(tǒng)、信息服務(wù)資源運(yùn)營(yíng)管理平臺(tái)、信息化綜合服務(wù)管理平臺(tái)信息中心構(gòu)成的完整獨(dú)立體系構(gòu)成等。

（5）電子政務(wù)公共平臺(tái)信息安全管理是按照其保障工作流程，依次分為數(shù)據(jù)采集層、分析層、展示層等。

（6）電子政務(wù)公共平臺(tái)安全管理設(shè)計(jì)研究多種分類的數(shù)據(jù)接口，一方面滿足與用戶已有或后續(xù)建設(shè)的其他管理系統(tǒng)或平臺(tái)集成整合，另一方面，安全管理中心還提供了相關(guān)數(shù)據(jù)接口和配置接口，可對(duì)相關(guān)安全產(chǎn)品進(jìn)行統(tǒng)一配置和管理等。

（7）電子政務(wù)公共平臺(tái)安全管理的數(shù)據(jù)采集層針對(duì)重要信息系統(tǒng)進(jìn)行信息安全數(shù)據(jù)采集，包括關(guān)鍵業(yè)務(wù)系統(tǒng)環(huán)境相關(guān)的網(wǎng)絡(luò)設(shè)備、主機(jī)、安全產(chǎn)品等信息。

（8）電子政務(wù)公共平臺(tái)安全管理的分析層是安全運(yùn)行管理的核心，負(fù)責(zé)對(duì)數(shù)據(jù)采集的信息進(jìn)行分析處理，并對(duì)相關(guān)的信息安全風(fēng)險(xiǎn)和信息安全事件進(jìn)行預(yù)警和響應(yīng)等。

（9）電子政務(wù)公共平臺(tái)主要功能包括了安全監(jiān)控、預(yù)警、告警、響應(yīng)、信息安全策略管理和系統(tǒng)管理等。

（10）電子政務(wù)公共平臺(tái)安全管理的數(shù)據(jù)展示層提供了安全運(yùn)行管理可視化界面，分為管理員界面和為客戶提供的可視化界面。管理員通過(guò)管理界面，對(duì)電子政務(wù)公共平臺(tái)整體信息安全態(tài)勢(shì)、管理和配置進(jìn)行管理操作，主要包括網(wǎng)絡(luò)、系統(tǒng)運(yùn)行、事件報(bào)警等展示和策略配置管理；為電子政務(wù)服務(wù)提供定制化全網(wǎng)的安全信息和安全狀態(tài)分析展示，包括風(fēng)險(xiǎn)預(yù)警、告警事件、故障分析、策略、報(bào)表報(bào)告等數(shù)據(jù)分析和展示功能等。

3.2 設(shè)計(jì)模型

（1）電子政務(wù)公共平臺(tái)安全管理中心系統(tǒng)。

①組成：數(shù)據(jù)采集層、數(shù)據(jù)和業(yè)務(wù)管理層、數(shù)據(jù)展示層等；

②通過(guò)數(shù)據(jù)接口連接外部產(chǎn)品管理接口，諸如，實(shí)時(shí)數(shù)據(jù)接口、文件接口、數(shù)據(jù)庫(kù)接口、其他接口等。

（2）電子政務(wù)公共平臺(tái)安全管理中心系統(tǒng)數(shù)據(jù)展示層。

①風(fēng)險(xiǎn)展現(xiàn)管理：包括，拓?fù)湔故?、運(yùn)行狀態(tài)、實(shí)時(shí)性能、風(fēng)險(xiǎn)預(yù)警、告警事件、故障分析、策略、報(bào)表報(bào)告等。

②通過(guò)采集探針Probe整合，以Portal的方式進(jìn)行多系統(tǒng)數(shù)據(jù)展示整合。

（3）電子政務(wù)公共平臺(tái)安全管理中心系統(tǒng)分析層。

①分析層是安全運(yùn)行管理平臺(tái)的核心，由信息安全核心服務(wù)器和數(shù)據(jù)庫(kù)構(gòu)成等。

②負(fù)責(zé)對(duì)前端信息安全數(shù)據(jù)采集的風(fēng)險(xiǎn)點(diǎn)進(jìn)行分析，并對(duì)根據(jù)信息安全策略對(duì)安全目標(biāo)進(jìn)行預(yù)警和響應(yīng)等。

③負(fù)責(zé)安全監(jiān)控、預(yù)警、告警、響應(yīng)、信息安全策略管理和系統(tǒng)管理等。

④組成：應(yīng)用引擎平臺(tái)、業(yè)務(wù)邏輯子層、數(shù)據(jù)邏輯子層、資源管理（KBP）、數(shù)據(jù)管理（KPI）、南向適配（配置、性能、事件數(shù)據(jù)元素整形適配器）、采集調(diào)試管理等。

⑤業(yè)務(wù)邏輯子層通過(guò)工單交互、知識(shí)庫(kù)交互等，與企業(yè)整體的運(yùn)維管理系統(tǒng)實(shí)現(xiàn)雙向接口等。

⑥數(shù)據(jù)邏輯子層通過(guò)CMDB復(fù)用等，以統(tǒng)一CMDB的形式與網(wǎng)管、運(yùn)維系統(tǒng)整合等。

（4）電子政務(wù)公共平臺(tái)安全管理中心系統(tǒng)采集層。

①數(shù)據(jù)采集層針對(duì)重要信息系統(tǒng)進(jìn)行信息安全數(shù)據(jù)采集，包括關(guān)鍵業(yè)務(wù)系統(tǒng)環(huán)境相關(guān)的網(wǎng)絡(luò)設(shè)備、主機(jī)、安全產(chǎn)品等信息。

②設(shè)計(jì)部署采集管理控制臺(tái)統(tǒng)一進(jìn)行信息采集，并設(shè)計(jì)采集任務(wù)分發(fā)給相對(duì)應(yīng)的采集點(diǎn)。

③設(shè)計(jì)可定制化的采集的策略，包括采集范圍對(duì)象、采集頻度、采集數(shù)量等。

3.3 數(shù)據(jù)模型分析

數(shù)據(jù)采集層設(shè)計(jì)采用以下網(wǎng)絡(luò)協(xié)議進(jìn)行數(shù)據(jù)采集，列舉主要的安全管理中心應(yīng)用的協(xié)議和技術(shù)實(shí)施例。

4 研究案例與成果

信息安全保障技術(shù)是為管理做技術(shù)支持，管理和技術(shù)并重。信息安全管理的策略設(shè)計(jì)與運(yùn)行實(shí)施才是安全管理落地的根本，從運(yùn)行和維護(hù)的信息安全角度，總結(jié)信息安全管理主要工作主要包括了：（1）建立完善的電子政務(wù)服務(wù)身份認(rèn)證和訪問(wèn)控制機(jī)制，規(guī)范管理電子政務(wù)服務(wù)信息安全標(biāo)準(zhǔn)規(guī)范和相關(guān)協(xié)議的合規(guī)性作業(yè)流程；（2）信息安全的管理運(yùn)行分級(jí)分域進(jìn)行信息安全管理，即采取分級(jí)控制和按業(yè)務(wù)類型重要程度分域的管理，并對(duì)運(yùn)維人員的職責(zé)范圍明確劃分；（3）設(shè)立以政府為主導(dǎo)的第三方監(jiān)督審計(jì)機(jī)構(gòu)，對(duì)電子政務(wù)服務(wù)安全性、合規(guī)性監(jiān)督測(cè)評(píng)；（4）定期開(kāi)展信息安全培訓(xùn)，加強(qiáng)人員的信息安全意識(shí)，健全內(nèi)部機(jī)制，增強(qiáng)政府服務(wù)的安全防范意識(shí)和風(fēng)險(xiǎn)管理能力。

5 結(jié)語(yǔ)

該文研究信息安全管理系統(tǒng)滿足電子政務(wù)業(yè)務(wù)的安全事件集中收集和處理能力，構(gòu)筑了基于資產(chǎn)安全屬性（CIA）和安全域的業(yè)務(wù)安全風(fēng)險(xiǎn)管理體系，通過(guò)關(guān)聯(lián)分析和客戶化關(guān)聯(lián)分析規(guī)則定義，實(shí)現(xiàn)準(zhǔn)確的事件定位，形成了統(tǒng)一的安全知識(shí)共享體系，可實(shí)現(xiàn)多級(jí)不同管理模式的功能，具備安全管理中心的高容錯(cuò)性、高可用性和高冗余可靠性。該研究成果具有良好安全管理中心的可擴(kuò)展性，包括多級(jí)擴(kuò)展、功能擴(kuò)展，滿足級(jí)保護(hù)三級(jí)―― 監(jiān)督保護(hù)級(jí)要求，并遵循《關(guān)于印發(fā)的通知》（國(guó)信辦【2006】9號(hào)）進(jìn)行資產(chǎn)、弱點(diǎn)、威脅和采取的控制措施進(jìn)行評(píng)估的要求。

參考文獻(xiàn)

[1] 周曉斌，董瑞陽(yáng).電子政務(wù)信息安全十大問(wèn)題[N].計(jì)算機(jī)世界，2009-06-29.

[2] 唐珂.淺談我國(guó)電子政務(wù)建設(shè)及信息安全管理問(wèn)題檔案學(xué)研究，2004（6）：38-47.

信息安全服務(wù)體系篇8

關(guān)鍵詞：公路信息服務(wù)體系；主要問(wèn)題；對(duì)策

隨著當(dāng)前信息化技術(shù)的迅猛發(fā)展，積極打造“綜合交通”“智慧交通”“綠色交通”“平安交通”已成為當(dāng)前交通運(yùn)輸發(fā)展的戰(zhàn)略任務(wù)。公路信息服務(wù)作為交通信息服務(wù)的重要組成，逐步得到了越來(lái)越多的關(guān)注，主要包括公路交通運(yùn)行、營(yíng)運(yùn)、管理、服務(wù)等關(guān)聯(lián)的一切信息。雖然部分省市加快了干線公路信息服務(wù)建設(shè)，新建了大量公路信息設(shè)施，但是由于建設(shè)初期缺乏系統(tǒng)化的規(guī)劃以及清晰的功能定位，公路信息服務(wù)的實(shí)際應(yīng)用功能受到很大的制約。構(gòu)建符合現(xiàn)代特征的干線公路信息體系就要立足于公路信息服務(wù)的基本特點(diǎn)，明確公路信息的服務(wù)對(duì)象，整合和利用社會(huì)公共服務(wù)體系中的相關(guān)服務(wù)，透過(guò)公路信息系統(tǒng)及服務(wù)平臺(tái)，為信息的服務(wù)對(duì)象提供均衡、優(yōu)質(zhì)、高效、有用、方便的公路信息服務(wù)。

1 公路信息服務(wù)體系構(gòu)建需求

公路信息服務(wù)的主要服務(wù)對(duì)象通常包括政府公路主管部門、公路生產(chǎn)運(yùn)營(yíng)管理主體、其他部門以及社會(huì)公眾等。不同的服務(wù)對(duì)象對(duì)信息服務(wù)的要求是不同的。本文緊密圍繞公路信息服務(wù)的對(duì)象的需求，分析公路信息服務(wù)屬性，按照公路信息服務(wù)資源特點(diǎn)，公路信息服務(wù)主要可以分為動(dòng)態(tài)基礎(chǔ)信息、動(dòng)態(tài)交通信息、靜態(tài)信息以及其他信息。其中，公路動(dòng)態(tài)信息具體反映公路整體的運(yùn)行狀態(tài)，主要體現(xiàn)在道路行駛的車流分布、結(jié)構(gòu)比例等方面；動(dòng)態(tài)交通信息主要包括交通限制信息、交通誘導(dǎo)信息等；靜態(tài)交通信息則側(cè)重于公路路產(chǎn)基本屬性；其他信息則能為公路信息服務(wù)對(duì)象提供其他信息的參考。具體公路信息服務(wù)需求如表1所示。

公路動(dòng)態(tài)基礎(chǔ)信息主要包括道路車流量方向分布、道路車流量行駛時(shí)速分布、道路車流行駛路線、道路運(yùn)行車型結(jié)構(gòu)比例、道路擁擠情況、道路運(yùn)行車輛軸載數(shù)據(jù)等，按照可能出現(xiàn)的道路突況，還需要包括道路阻斷信息、交通限制信息、交通誘導(dǎo)信息等。公路靜態(tài)屬性信息則更側(cè)重于公路路產(chǎn)路況等基本屬性，主要包括公路路網(wǎng)信息、公路路況基本信息、道路施工信息。為了更好地提供信息服務(wù)，公路信息服務(wù)內(nèi)容還應(yīng)包括氣象信息等其他信息。

2 公路信息服務(wù)體系構(gòu)建的方法

構(gòu)建公路信息服務(wù)體系是滿足當(dāng)前信息化時(shí)代下政府部門及社會(huì)大眾對(duì)日益增長(zhǎng)的信息綜合需求的必然趨勢(shì)。公路信息化服務(wù)體系依托信息化平臺(tái)，為必要的服務(wù)對(duì)象提供綜合的、整合的、一站式的、便捷的信息化服務(wù)。為了使信息提供更為精準(zhǔn)，帶來(lái)更好的用戶體驗(yàn)，將信息化服務(wù)進(jìn)行打包，構(gòu)建面向服務(wù)的公路信息系統(tǒng)平臺(tái)，可以為用戶推薦相應(yīng)的服務(wù)，也可以由用戶自己進(jìn)行定制完成。具體如圖l所示。

3 公路信息服務(wù)體系構(gòu)建面臨的主要問(wèn)題

公路信息服務(wù)的服務(wù)對(duì)象既包括政策制定、決策部門，又包括社會(huì)公眾，這些社會(huì)公眾往往對(duì)信息化的需求也十分迫切。當(dāng)前大環(huán)境中，公路信息服務(wù)的建設(shè)主體仍舊為政府和有關(guān)事業(yè)單位，相關(guān)信息化服務(wù)運(yùn)行平臺(tái)尚未建立，資金保障也略顯不足，專業(yè)技術(shù)人員也明顯缺乏，信息服務(wù)的及時(shí)性、可靠性無(wú)法得到保障。

（1）行政資源。建立有效的公路信息服務(wù)體系不僅需要統(tǒng)籌協(xié)調(diào)公路各單位、部門現(xiàn)有資源，自上而下地建立協(xié)調(diào)機(jī)制，提供優(yōu)良的行政資源，才能打破現(xiàn)有“信息孤島”狀態(tài)。同時(shí)，還要積極協(xié)調(diào)與其他部門的資源共享，提供更多有價(jià)值、有意義的信息服務(wù)。（2）財(cái)政資源。公路信息服務(wù)在實(shí)際的應(yīng)用過(guò)程中，將以社會(huì)的消費(fèi)行為參與到社會(huì)經(jīng)濟(jì)活動(dòng)中。其中產(chǎn)生的信息資源流動(dòng)必定消耗生產(chǎn)成本，需要投入大量的資金來(lái)維持信息服務(wù)的正常運(yùn)作。因此，需要從國(guó)家層面建立完善的融資渠道，通過(guò)政策支持，提供刺激發(fā)展的財(cái)政資源。（3）技術(shù)資源。公路信息服務(wù)體系也是智能交通的重要組成。當(dāng)前缺乏統(tǒng)一的標(biāo)準(zhǔn)化內(nèi)容來(lái)實(shí)現(xiàn)行業(yè)內(nèi)外數(shù)據(jù)信息的順暢流動(dòng)，使得公路信息服務(wù)的質(zhì)量大大降低。

4 推進(jìn)公路信息服務(wù)體系構(gòu)建策略

推動(dòng)公路信息服務(wù)體系的構(gòu)建，是當(dāng)前公路行業(yè)信息化發(fā)展的方向，也是打造智能交通的重要途徑。必須堅(jiān)持以社會(huì)對(duì)公路信息服務(wù)需求為驅(qū)動(dòng)，以公路行業(yè)主管部門為主導(dǎo)力量，發(fā)動(dòng)全社會(huì)力量共同參與，構(gòu)建具有服務(wù)性、系統(tǒng)性的平臺(tái)。

4.1 完善組織機(jī)構(gòu)

針對(duì)公路信息服務(wù)特點(diǎn)，建立相應(yīng)的信息化服務(wù)組織機(jī)構(gòu)，明確機(jī)構(gòu)工作職責(zé)，制定信息服務(wù)方針政策，緊密與其他部門（如氣象）溝通，建立互聯(lián)互通工作渠道，充分發(fā)揮公眾力量，努力構(gòu)建公路信息服務(wù)閉環(huán)結(jié)構(gòu)。

4.2 建立長(zhǎng)效運(yùn)營(yíng)保障

建立健全、完善的組織體系，充分整合社會(huì)資源，是實(shí)現(xiàn)公路信息化的重要組織保證?？梢园凑铡敖y(tǒng)籌規(guī)劃、總體設(shè)計(jì)、試點(diǎn)先行”的原則，分步實(shí)施，逐步完善，通過(guò)新技術(shù)的應(yīng)用，完善數(shù)據(jù)資源管理，建立相應(yīng)軟硬件支撐平臺(tái)，建設(shè)具有一定先進(jìn)性的網(wǎng)絡(luò)結(jié)構(gòu)，建設(shè)相應(yīng)的外場(chǎng)設(shè)備，做好必要的技術(shù)支持。建立健全運(yùn)營(yíng)維護(hù)機(jī)制，明確運(yùn)維管理經(jīng)費(fèi)來(lái)源。

4.3 加強(qiáng)技術(shù)安全保障

系統(tǒng)安全是信息系統(tǒng)平臺(tái)正常運(yùn)行的重要保障。要切實(shí)保障系統(tǒng)安全，重點(diǎn)從組織安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、系統(tǒng)安全、物理安全等角度落實(shí)。

5 結(jié)語(yǔ)

本文鏈接：http://www.lbgj202.com/v-141-3437.html信息安全服務(wù)體系范文8篇

聲明：本網(wǎng)頁(yè)內(nèi)容由互聯(lián)網(wǎng)博主自發(fā)貢獻(xiàn)，不代表本站觀點(diǎn)，本站不承擔(dān)任何法律責(zé)任。天上不會(huì)到餡餅，請(qǐng)大家謹(jǐn)防詐騙！若有侵權(quán)等問(wèn)題請(qǐng)及時(shí)與本網(wǎng)聯(lián)系，我們將在第一時(shí)間刪除處理。

上一篇：校本研修自修筆記范文8篇

下一篇：校本研修培訓(xùn)反思范文8篇

相關(guān)文章：

簡(jiǎn)單的哲理的語(yǔ)錄08-10

客服工作人員個(gè)人總結(jié)怎么寫10-05

小學(xué)圖書(shū)室工作總結(jié)07-06

安全保密承諾書(shū)10-15

標(biāo)準(zhǔn)版咨詢顧問(wèn)服務(wù)協(xié)議書(shū)10-11

競(jìng)選學(xué)生會(huì)競(jìng)選稿09-13

有關(guān)吸毒的個(gè)人心得體會(huì)范文08-16

小學(xué)“我們的節(jié)日?中秋”主題活動(dòng)總結(jié)09-20

四年級(jí)西湖作文08-10