當前位置：首頁 > 文庫 > 文案

信息安全服務體系范文8篇

時間：2024-08-15 14:16:19 111

信息安全服務體系

信息安全服務體系篇1

以審計信息和業(yè)務的基本流轉特征以及在各個方面所進行的防護規(guī)劃和整體策略等發(fā)面出發(fā)，有效分析在審計業(yè)務范圍要求之內(nèi)的所開展的信息安全防護，以及在國產(chǎn)化裝備的應用下有效強化信息化建設活動中的整體性信息安全防御工作，進而有效推動系統(tǒng)化的有效應用和整體運維服務體系的建設活動，其中主要包括制度、系統(tǒng)、資金行業(yè)方式、隊伍等的建設，以及實現(xiàn)系統(tǒng)建設同運維活動的協(xié)調一致。

【關鍵詞】

國家審計信息化；信息安全；運維建設

國家審計是在國家開展宏觀經(jīng)濟綜合監(jiān)督體系的重要環(huán)節(jié)，實現(xiàn)其運行系統(tǒng)和整體信息安全的有效性是極為必要的。通過審計信息化系統(tǒng)建設項目有效結合了審計基本業(yè)務特征環(huán)節(jié)的信息安全防護以及實現(xiàn)系統(tǒng)健康運行的監(jiān)控運維服務體系，在實現(xiàn)系統(tǒng)化的體系建設且開展綜合性的防護保障措施之后，以有效保障國家審計在進行信息系統(tǒng)建設整體系統(tǒng)的健康安全運行[1]。

一、結合審計業(yè)務特征所開展的信息安全防護工作

信息安全防護在國家電子中進行應用時，需要嚴格遵守國家在相關方面的政策制定和規(guī)劃性要求，更需要明確政務職能環(huán)節(jié)業(yè)務信息的風險和特征，然后從根本實際出發(fā)開展有針對性的信息安全防護規(guī)劃工作，保障所采取的措施能夠有效解決實際問題，確保安全防護工作的順利有效。

1.1對審計信息和業(yè)務的流轉型特征展開研究一般而言，國際審計中包絡初期的數(shù)據(jù)采集及有效形成核查環(huán)節(jié)的審計信息記錄和證據(jù)整合，并通過互聯(lián)網(wǎng)的應用將相關信息報送審計機關的非專網(wǎng)中，這就涉及到業(yè)務活動中的信息安全性，如果在流轉環(huán)節(jié)出現(xiàn)審計信息的泄露，因為國家審計所具有的設密性和權威性，將構成重大的安全風險[2]。

1.2針對審計業(yè)務的整體特征開展有效的安全防護規(guī)劃在國家審計要求范圍之下，對國家電子政務信息安全和信息化的協(xié)調發(fā)展給出了總體性的規(guī)劃要求，實現(xiàn)審計信息化系統(tǒng)項目建設的三網(wǎng)安全規(guī)范，通過審計門戶網(wǎng)、審計專網(wǎng)、審計內(nèi)網(wǎng)三個環(huán)節(jié)實現(xiàn)對電子政務信息的安全防護，有效保障信息的安全性。此外，還需要根據(jù)四級互聯(lián)審計專網(wǎng)對于信息安全防護的要求，在有效倚仗外網(wǎng)的信息信任體系來實現(xiàn)覆蓋全國的信息系統(tǒng)建設，構建有效的病毒中心防御系統(tǒng)，為信息的安全防護提供基礎環(huán)節(jié)的保障。

1.3根據(jù)國家審計的信息特征出發(fā)進行安全防護策略的研究國家審計業(yè)務具有一定的流轉性，這就需要對該環(huán)節(jié)的信息安全進行有效的風險評估，以避免出現(xiàn)泄漏狀況，在國家信息保密和安全主管部門的支持和指導管理下，在進行信息化系統(tǒng)建設項目時采取了信息交換和安全交互以及三網(wǎng)隔離的主體策略，以有效保障審計信息在流轉環(huán)節(jié)的安全性。

二、保障國家審計信息安全的運維服務體系建設

通過實現(xiàn)運維服務體系的建設有效保障了國家審計信息的整體安全性。在審計信息化系統(tǒng)建設項目中，運維體系的建設主要在整體隊伍、方式、系統(tǒng)和制度以及資金等方面，在這個過程中要有效保障整體建設同運維服務的關系。

2.1運維服務系統(tǒng)在審計信息化系統(tǒng)建設項目中，運行監(jiān)管系統(tǒng)和信息服務系統(tǒng)構成了運維服務的整體系統(tǒng)。其中信息服務系統(tǒng)中的現(xiàn)場審計和審計管理系統(tǒng)已經(jīng)面向全國的審計系統(tǒng)，以更好地實現(xiàn)兩項系統(tǒng)應用的有效性，另外，審計署還建立了面向全國審計系統(tǒng)的熱線電話和服務網(wǎng)站的整體服務體系，而且國家審計系統(tǒng)還發(fā)行了同信息安全建設運維系統(tǒng)相關的指導性信息和文件，以保障信息系統(tǒng)應用的有效性。運行監(jiān)管系統(tǒng)側重于對整體系統(tǒng)建設中的各項子系統(tǒng)的運行狀態(tài)實現(xiàn)有效的監(jiān)管控制，以有效納入整體的安全系統(tǒng)實現(xiàn)統(tǒng)一的管理，整體性的滿足了多層級的系統(tǒng)運維監(jiān)管任務，極大地提升了監(jiān)管力度，使得國家審計信息系統(tǒng)以及所屬子系統(tǒng)的運行都能夠具有穩(wěn)定、安全的整體環(huán)境。

2.2運維服務隊伍審計信息化系統(tǒng)建設項目實現(xiàn)了國家審計總數(shù)的服務部門和省級的工程服務辦的兩級服務系統(tǒng)構建，并建設完成了中央省市縣的四級審計機關的信息系統(tǒng)的整體運行服務隊伍。在進行子系統(tǒng)集中管理的基礎前提下，審計署建立了面向下屬各個機關和部門及全國性地方審計的“呼叫中心”運維服務隊伍，有效保障了熱線電話和服務網(wǎng)站的整體有效性運行，將疑難問題和咨詢答復等交由運行后臺專家，并得到專業(yè)性的確定答案之后予以恢復，有效實現(xiàn)了整體運維服務體系的建設。

2.3運維服務制度就審計信息化系統(tǒng)建設項目的相關制度而言，均是由審計署所制定的相關指導辦法和體系，以有效明確運維過程中的職責分工和機構設置，有效實現(xiàn)對運維內(nèi)容和機制的執(zhí)行。另外，在進行運維資金的使用和管理方面也制定了一定的制度規(guī)范和要求，以確定在運行中經(jīng)費使用的有效性以及利用的最大化。通過各項管理制度確定，使得整體的運維體系科學、合理，并能夠在制度的支持下實現(xiàn)對相關專業(yè)人員的專業(yè)素質和技能培訓以及使用經(jīng)費和規(guī)范化服務等相關內(nèi)容的引導，進一步強化了整體的運維服務體系建設[3]。

2.4運維服務外包方式在實際的發(fā)展過程中，審計署將審計信息化系統(tǒng)建設項目中的“呼叫中心”服務隊伍建設實行了外包政策，并在逐漸的發(fā)展中，在運維服務系統(tǒng)的整體性要求性下，將該環(huán)節(jié)在內(nèi)的網(wǎng)絡系統(tǒng)和應用系統(tǒng)通過集成商的方式通過外包服務實現(xiàn)有效的運維服務體系建設。另外在運維服務體系的信息系統(tǒng)建設中，也實現(xiàn)了政府對技術人員隊伍建設的外包服務組建方式。

2.5完善整體系統(tǒng)與運維服務的體系構建在國家審計信息系統(tǒng)建設環(huán)節(jié)中，運維保障和信息系統(tǒng)建設是支撐前進的兩大驅動力量，這就需要正視兩者之間的關系，在啟動運維保應用的基礎上開設有效的指導性欄目或者咨詢通道。此外，還可以構建全國性的運維體系效能保障，實現(xiàn)普及性的管理建設，并在運維體系的支撐下強化整體系統(tǒng)的集中統(tǒng)一管理。最后，需要實現(xiàn)有效的監(jiān)控運維提下，實現(xiàn)對整體運維服務的監(jiān)控和管理，確保整體運行的安全性和有效性。

三、結束語

審計信息系統(tǒng)建設項目需要有效的網(wǎng)絡效能支持，這就需要保障在管理應用中的安全有效性，尤其是國家審計環(huán)節(jié)中的文件，因其本身所具有的嚴肅性和影響性，在這樣的基本認知下，就需要從根本實際現(xiàn)狀出發(fā)開展有效的安全防護工作以及相應的運維服務體系的完善和建設，以保障國家審計信息的整體安全性。

參考文獻

[1]劉勇.審計信息化系統(tǒng)的研究與實踐[D].四川大學,2006.

[2]成瑤.我國審計信息化建設研究[D].首都經(jīng)濟貿(mào)易大學,2008.

[3]周德銘.國家審計信息化的模式創(chuàng)新與能力發(fā)展[J].電子政務,2013,07:45-56.

信息安全服務體系篇2

關鍵詞：信息安全安全屬性安全建設

我國信息化安全建設任務非常艱巨，主要包括各種業(yè)務的社會公網(wǎng)、行業(yè)專網(wǎng)、互聯(lián)網(wǎng)等信息基礎設施運營、管理和服務的安全自主保障、安全監(jiān)管、安全應急和打擊信息犯罪為核心的威懾體系的建設，其內(nèi)容包括網(wǎng)絡系統(tǒng)安全建設、領域和企業(yè)的業(yè)務信息化安全建設、網(wǎng)絡內(nèi)容與行為的安全建設和用戶關注的網(wǎng)絡安全建設等方面。這些安全建設對于不同的領域和領導層面關注的內(nèi)容、對象和程度各不相同。網(wǎng)絡信息安全是一個完整的、系統(tǒng)的概念。它既是一個理論問題，同時又是一個工程實踐問題。由于互聯(lián)網(wǎng)的開發(fā)性、復雜性和多樣性，使得網(wǎng)絡安全系統(tǒng)需要有一個完整的、嚴謹?shù)捏w系結構來保證網(wǎng)絡中信息的安全。

1 信息安全的定義及目標

信息的定義，從廣義上講，信息是任何一個事物的運動狀態(tài)以及運動狀態(tài)形式的變化，它是一種客觀存在。狹義的信息的含義是指信息接受主體所感覺到并能理解的東西。ISO 13335《信息技術安全管理指南》定義：信息是通過在數(shù)據(jù)上施加某此約定而賦予這此數(shù)據(jù)的特殊含義。信息是無形的，借助于信息媒體以多種形式存在和傳播，同時。信息也是一種重要資產(chǎn)，具有價值，需要保護。信息安全的目標是信息資產(chǎn)被泄露意味著保密性受到影響，被更改意味著完整性受到影響，被破壞意味著可用性受到影響。而保密性、完整性和可用性三個基本屬性是信息安全的最終目標。信息安全的保護對象包括了計算機硬件、軟件和數(shù)據(jù)。就本質而言，信息安全所針對的均是“信息”這種資源的“安全”，對信息安全的理解應從信息化背景出發(fā)，最終落實在信息的安全屬性上。

2 構建網(wǎng)絡信息化安全的意義

能否有效地保護信息資源，保護信息化進程健康、有序、可持續(xù)發(fā)展，直接關乎國家安危，關乎民族興亡，是國家、民族的頭等大事。沒有信息安全，就沒有真正意義上的政治安全，就沒有穩(wěn)固的經(jīng)濟安全和軍事安全，更沒有完整意義上的國家安全。信息安全是信息技術發(fā)展過程之中提出的課題，在信息化的大背景下被推上了歷史舞臺。信息安全不是最終目的，它只是服務于信息化的一種手段，其針對的是信息化這種戰(zhàn)略資源的安全，其主旨在于為信息化保駕護航。

3 網(wǎng)絡信息化的安全屬性

信息安全的概念與信息的本質屬性有著必然的聯(lián)系，它是信息的本質屬性所體現(xiàn)的安全意義。說安全屬性研究首先要從安全定義講起，安全定義分很多的層次，為什么分層次，我們隨著它的演變來看的，信息安全最初目標，叫數(shù)據(jù)安全，它關心的是數(shù)據(jù)自身，所以是一個狹義的數(shù)據(jù)安全，是保護信息自身的安全。

3.1 保密性（Confidentiality）

在傳統(tǒng)信息環(huán)境中，普通人通過郵政系統(tǒng)發(fā)信件時，為了個人隱私要裝上信封?？墒堑搅诵畔⒒瘯r代，信息在網(wǎng)上傳播時，如果沒有這個“信封”，那么所有的信息都是“明信片”，不再有秘密可言，這便是信息安全中的保密性需求。保密性是指信息不被泄露給非授權的用戶、實體或進程，或被其利用的特性。保密性不但包括信息內(nèi)容的保密，還包括信息狀態(tài)的保密。

3.2 完整性（Integrality）

完整性是指信息未經(jīng)授權不能進行更改的特性。即信息在存儲或傳輸過程中保持不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等破壞和丟失的特性。完整性與機密性不同，機密性要求信息不被泄露給未授權的人，而完整性則要求信息不致受到各種原因的破壞。

3.3 易用性（Availability）

易用性是信息可被授權實體訪問并按需求使用的特性。在授權用戶或實體需要信息服務時，信息服務應該可以使用，或者是信息系統(tǒng)部分受損或需要降級使用時，仍能為授權用戶提供有效服務。易用性一般用系統(tǒng)正常使用時間和整個工作時間之比來度量。

4 構建網(wǎng)絡信息化安全管理體系

在面向網(wǎng)絡信息的安全系統(tǒng)中，安全管理是應得到高度重視的。這是因為，據(jù)相關部門統(tǒng)計，在所有的計算機安全事件中，約有52％是人為因素造成的，25％是由火災、水災等自然災害引起的，技術錯誤占10％，組織內(nèi)部人員作案占10％，僅有3％左右是由外部不法人員攻擊造成的。簡單歸類，屬于管理方面的原因比重高達70％以上，這正應了人們常說的“三分技術，七分管理”的箋言。因此，解決網(wǎng)絡與信息安全問題，不僅應從技術方面著手，更應加強網(wǎng)絡住所的管理工作。

好的網(wǎng)絡信息化安全管理體現(xiàn)在以下幾個方面：在組織內(nèi)部建立全面的信息安全管理體系，強調信息安全是一個管理過程，而非技術過程；強調信息保密性、完整性、易用性三者在關鍵流程中運用的平衡；把信息提高到組織資產(chǎn)的高度，強調對組織信息資產(chǎn)進行價值及影響評估，對信息資產(chǎn)的脆弱性及其面臨的威脅進行分析，運用風險評估、風險管理手段管理信息安全，使組織風險降低到可接受的水平；從法律和最好的實踐經(jīng)驗角度，實施全面的控制措施，使組織信息安全威脅的方方面面置于嚴密控制之下；強調領導在信息安全管理中的作用；強調信息安全方針在管理體系中的作用；強調對信息技術及工具的實時和有效管理；強調組織運作的連續(xù)性及業(yè)務連續(xù)性的管理；強調信息安全管理水平的不斷提高及對流程的策劃、實施、檢查和改進的過程；信息安全應該是一個以“價值”為基礎的過程，即信息安全管理應是一個有附加價值，并講究投入產(chǎn)出比的過程。

5 關注信息化安全服務的綜合性、高技術性和對策性特點

信息安全產(chǎn)業(yè)有其鮮明的特點，雖然產(chǎn)生于信息化和信息系統(tǒng)，依然與通常的IT服務有許多區(qū)別。信息化安全的基本特征是服務性的。這種服務性與一般軟件的服務性是不同的。一般應用系統(tǒng)或產(chǎn)品的服務主要是維護和培訓，通常服務是非對策性的、非動態(tài)的和比較固定的。信息化安全服務是對策性的、動態(tài)性的、不斷產(chǎn)生新內(nèi)容的和似乎永遠不能成熟等特性。信息化安全服務范疇幾乎包括了整個信息化所包括的所有產(chǎn)品和系統(tǒng)，其服務的綜合性和復雜性是顯而易見的。信息化安全服務是最高技術的服務，無論從設計角度和使用的角度都要求深入、熟練和非常專業(yè)。我們可以驕傲地說，信息化安全服務是世界上最偉大的服務業(yè)，也是最困難的服務業(yè)。信息化安全服務的復雜性、高成本特性要求信息化安全企業(yè)必須在安全服務的遠程化和化的推進方面做出不懈努力，不斷降低服務成本。

6 結語

網(wǎng)絡信息安全不僅僅是一個純技術層面的問題，單靠技術因素不足以保證網(wǎng)絡中信息的安全。網(wǎng)絡信息安全還涉及到法律、管理、標準等多方面的問題。因此，信息安全是一個相當復雜的問題，只有協(xié)調好這些體系之間的關系，才能有效保證系統(tǒng)的安全。

參考文獻

[1] 王寶會,王大印.計算機信息安全教程[M].電子工業(yè)出版社,2006,1.

信息安全服務體系篇3

論文摘要:文章首先分析了信息安全外包存在的風險，根據(jù)風險提出信息安全外包的管理框架，并以此框架為基礎詳細探討了信息安全外包風險與管理的具體實施。文章以期時信息安全外包的風險進行控制，并獲得與外包商合作的最大收益。

1信息安全外包的風險

1.1信任風險

企業(yè)是否能與信息安全服務的外包商建立良好的工作和信任關系，仍是決定時候將安全服務外包的一個重要因素。因為信息安全的外包商可以訪問到企業(yè)的敏感信息，并全面了解其企業(yè)和系統(tǒng)的安全狀況，而這些重要的信息如果被有意或無意地對公眾散播出去，則會對企業(yè)造成巨大的損害。并且，如若企業(yè)無法信任外包商，不對外包商提供一些關鍵信息的話，則會造成外包商在運作過程中的信息不完全，從而導致某些環(huán)節(jié)的失效，這也會對服務質量造成影響。因此，信任是雙方合作的基礎，也是很大程度上風險規(guī)避的重點內(nèi)容。

1.2依賴風險

企業(yè)很容易對某個信息安全服務的外包商產(chǎn)生依賴性，并受其商業(yè)變化、商業(yè)伙伴和其他企業(yè)的影響，恰當?shù)娘L險緩釋方法是將安全服務外包給多個服務外包商，但相應地會加大支出并造成管理上的困難，企業(yè)將失去三種靈活性:第一種是短期靈活性，即企業(yè)重組資源的能力以及在經(jīng)營環(huán)境發(fā)生變化時的應變能力;第二種是適應能力，即在短期到中期的事件范圍內(nèi)所需的靈活性，這是一種以新的方式處理變革而再造業(yè)務流程和戰(zhàn)略的能力，再造能力即包括了信息技術;第三種靈活性就是進化性，其本質是中期到長期的靈活性，它產(chǎn)生于企業(yè)改造技術基本設施以利用新技術的時期。進化性的獲得需要對技術趨勢、商業(yè)趨勢的準確預測和確保雙方建立最佳聯(lián)盟的能力。

1.3所有權風險

不管外包商提供服務的范圍如何，企業(yè)都對基礎設施的安全操作和關鍵資產(chǎn)的保護持有所有權和責任。企業(yè)必須確定服務外包商有足夠的能力承擔職責，并且其服務級別協(xié)議條款支持這一職責的履行。正確的風險緩釋方法是讓包括員工和管理的各個級別的相關人員意識到，應該將信息安全作為其首要責任，并進行安全培訓課程，增強常規(guī)企業(yè)的安全意識。

1.4共享環(huán)境風臉

信息安全服務的外包商使用的向多個企業(yè)提供服務的操作環(huán)境要比單獨的機構內(nèi)部環(huán)境將包含更多的風險，因為共享的操作環(huán)境將支持在多企業(yè)之間共享數(shù)據(jù)傳輸(如公共網(wǎng)絡)或處理(如通用服務器)，這將會增加一個企業(yè)訪問另一企業(yè)敏感信息的可能性。這對企業(yè)而言也是一種風險。

1.5實施過程風險

啟動一個可管理的安全服務關系可能引起企業(yè)到服務外包商，或者一個服務外包商到另一個外包商之間的人員、過程、硬件、軟件或其他資產(chǎn)的復雜過渡，這一切都可能引起新的風險。企業(yè)應該要求外包商說明其高級實施計劃，并注明完成日期和所用時間。這樣在某種程度上就對實施過程中風險的時間期限做出了限制。

1.6合作關系失敗將導致的風險

如果企業(yè)和服務商的合作關系失敗，企業(yè)將面臨極大的風險。合作關系失敗帶來的經(jīng)濟損失、時間損失都是不言而喻的，而這種合作關系的失敗歸根究底來自于企業(yè)和服務外包商之間的服務計劃不夠充分完善以及溝通與交流不夠頻繁。這種合作關系在任何階段都有可能失敗，如同其他商業(yè)關系一樣，它需要給予足夠的重視、關注，同時還需要合作關系雙方進行頻繁的溝通。

2信息安全外包的管理框架

要進行成功的信息安全外包活動，就要建立起一個完善的管理框架，這對于企業(yè)實施和管理外包活動，協(xié)調與外包商的關系，最大可能降低外包風險，從而達到外包的目的是十分重要的。信息安全外包的管理框架的內(nèi)容分為幾個主體部分，分別包括企業(yè)協(xié)同信息安全的外包商確定企業(yè)的信息安全的方針以及信息安全外包的安全標準，然后是對企業(yè)遭受的風險進行系統(tǒng)的評估.并根據(jù)方針和風險程度.決定風險管理的內(nèi)容并確定信息安全外包的流程。之后，雙方共同制定適合企業(yè)的信息安全外包的控制方法，協(xié)調優(yōu)化企業(yè)的信息安全相關部門的企業(yè)結構，同時加強管理與外包商的關系。

3信息安全外包風險管理的實施

3.1制定信息安全方針

信息安全方針在很多時候又稱為信息安全策略，信息安全方針指的是在一個企業(yè)內(nèi)，指導如何對資產(chǎn)，包括敏感性信息進行管理、保護和分配的指導或者指示。信息安全的方針定義應該包括:(1)信息安全的定義，定義的內(nèi)容包括信息安全的總體目標、信息安全具體包括的范圍以及信息安全對信息共享的重要性;(2)管理層的目的的相關闡述;(3)信息安全的原則和標準的簡要說明，以及遵守這些原則和標準對企業(yè)的重要性;(4)信息安全管理的總體性責任的定義。在信息安全方針的部分只需要對企業(yè)的各個部門的安全職能給出概括性的定義，而具體的信息安全保護的責任細節(jié)將留至服務標準的部分來闡明。

3.2選擇信息安全管理的標準

信息安全管理體系標準bs7799與信息安全管理標準is013335是目前通用的信息安全管理的標準:

(1)bs7799:bs7799標準是由英國標準協(xié)會指定的信息安全管理標準，是國際上具有代表性的信息安全管理體系標準，標準包括如下兩部分:bs7799-1;1999《信息安全管理實施細則》;bs7799-2:1999((信息安全管理體系規(guī)范》。

(2)is013335:is013335《it安全管理方針》主要是給出如何有效地實施it安全管理的建議和指南。該標準目前分為5個部分，分別是信息技術安全的概念和模型部分;信息技術安全的管理和計劃部分;信息技術安全的技術管理部分;防護和選擇部分以及外部連接的防護部分。

3.3確定信息安全外包的流程

企業(yè)要根據(jù)企業(yè)的商業(yè)特性、地理位置、資產(chǎn)和技術來對信息安全外包的范圍進行界定。界定的時候需要考慮如下兩個方面:(1)需要保護的信息系統(tǒng)、資產(chǎn)、技術;(2)實物場所(地理位置、部門等)。信息安全的外包商應該根據(jù)企業(yè)的信息安全方針和所要求的安全程度，識別所有需要管理和控制的風險的內(nèi)容。企業(yè)需要協(xié)同信息安全的外包商選擇一個適合其安全要求的風險評估和風險管理方案，然后進行合乎規(guī)范的評估，識別目前面臨的風險。企業(yè)可以定期的選擇對服務外包商的站點和服務進行獨立評估，或者在年度檢查中進行評估。選擇和使用的獨立評估的方案要雙方都要能夠接受。在達成書面一致后，外包商授予企業(yè)獨立評估方評估權限，并具體指出評估者不能泄露外包商或客戶的任何敏感信息。給外包商提供關于檢查范圍的進一步消息和細節(jié)，以減少任何對可用性，服務程度，客戶滿意度等的影響。在評估執(zhí)行后的一段特殊時間內(nèi)，與外包商共享結果二互相討論并決定是否需要解決方案和/或開發(fā)計劃程序以應對由評估顯示的任何變化。評估所需要的相關材料和文檔在控制過程中都應該予以建立和保存，企業(yè)將這些文檔作為評估的重要工具，對外包商的服務績效進行考核。評估結束后，對事件解決方案和優(yōu)先級的檢查都將記錄在相應的文件中，以便今后雙方在服務和信息安全管理上進行改進。

3.4制定信息安全外包服務的控制規(guī)則

依照信息安全外包服務的控制規(guī)則，主要分為三部分內(nèi)容:第一部分定義了服務規(guī)則的框架，主要闡明信息安全服務要如何執(zhí)行，執(zhí)行的通用標準和量度，服務外包商以及各方的任務和職責;第二部分是信息安全服務的相關要求，這個部分具體分為高層服務需求;服務可用性;服務體系結構;服務硬件和服務軟件;服務度量;服務級別;報告要求，服務范圍等方面的內(nèi)容;第三部分是安全要求，包括安全策略、程序和規(guī)章制度;連續(xù)計劃;可操作性和災難恢復;物理安全;數(shù)據(jù)控制;鑒定和認證;訪問控制;軟件完整性;安全資產(chǎn)配置;備份;監(jiān)控和審計;事故管理等內(nèi)容。

3.5信息安全外包的企業(yè)結構管理具體的優(yōu)化方案如下:

(1)首席安全官:cso是公司的高層安全執(zhí)行者，他需要直接向高層執(zhí)行者進行工作匯報，主要包括:首席執(zhí)行官、首席運營官、首席財務官、主要管理部門的領導、首席法律顧問。cso需要監(jiān)督和協(xié)調各項安全措施在公司的執(zhí)行情況，并確定安全工作的標準和主動性，包括信息技術、人力資源、通信、法律、設備管理等部門。

(2)安全小組:安全小組的人員組成包括信息安全外包商的專業(yè)人員以及客戶企業(yè)的內(nèi)部it人員和信息安全專員。這個小組的任務主要是依照信息安全服務的外包商與企業(yè)簽訂的服務控制規(guī)則來進行信息安全的技術。

(3)管理委員會:這是信息安全服務外包商和客戶雙方高層解決問題的機構。組成人員包括雙方的首席執(zhí)行官，客戶企業(yè)的cio和cso，外包商的項目經(jīng)理等相關的高層決策人員。這個委員會每年召開一次會議，負責審核年度的服務水平、企業(yè)的適應性、評估結果、關系變化等內(nèi)容。

(4)咨詢委員會:咨詢委員會的會議主要解決計劃性問題。如服務水平的變更，新的技術手段的應用，服務優(yōu)先等級的更換以及服務的財政問題等，咨詢委員會的成員包括企業(yè)內(nèi)部的ti’人員和安全專員，還有財務部門、人力資源部門、業(yè)務部門的相關人員，以及外包商的具體項目的負責人。

(6)安全工作組:安全工作組的人員主要負責解決信息安全中某些特定的問題，工作組的人員組成也是來自服務外包商和企業(yè)雙方。工作組與服務交換中心密切聯(lián)系，將突出的問題組建成項目進行解決，并將無法解決的問題提交給咨詢委員會。

(7)服務交換中心:服務交換中心由雙方人員組成，其中主要人員是企業(yè)內(nèi)部的各個業(yè)務部門中與信息安全相關的人員。他們負責聯(lián)絡各個業(yè)務部門，發(fā)掘出企業(yè)中潛在的信息安全的問題和漏洞，并將這些問題報告給安全工作組。

（8）指令問題管理小組:這個小組的人員組成全部為企業(yè)內(nèi)部人員，包括信息安全專員以及各個業(yè)務部門的負責人。在安全小組的技術人員解決了企業(yè)中的安全性技術問題之后，或者，是當cso了關于信息安全的企業(yè)改進方案之后，這些解決方案都將傳送給指令問題管理小組，這個小組的人員經(jīng)過學習討論后，繼而將其到各個業(yè)務部門。

(9)監(jiān)督委員會:這個委員會全部由企業(yè)內(nèi)部人員組成。負責對外包商的服務過程的監(jiān)督。

3.6管理與外包商的關系

信息安全服務體系篇4

信息安全認證有風險

所謂“信息安全認證中的安全風險”,特指信息安全認證機構借助認證活動的便利條件,知悉被認證組織的敏感信息,或者直接接觸被認證組織的信息系統(tǒng),從而為被認證組織的信息資產(chǎn)帶來的安全風險,簡稱“認證安全風險”。

與常規(guī)認證認可制度研究中的認證風險概念不同,認證安全風險的承擔者不是認證機構,而是被認證組織。制造風險的直接主體則是認證機構。認證安全風險在本質上屬于信息安全風險,其后果是被認證組織的信息資產(chǎn)的保密性、完整性和可用性遭受損失。

根據(jù)《認證認可條例》定義的認證類型,當前認監(jiān)委已經(jīng)批準的信息安全認證業(yè)務分為信息安全產(chǎn)品認證、信息安全服務認證和信息安全管理體系認證。在以上三類認證活動中,信息安全產(chǎn)品和信息安全服務的被認證組織僅限于信息安全產(chǎn)品和服務提供商,且目前承擔信息安全產(chǎn)品和服務認證的中國信息安全認證中心是由中編辦批準、隸屬于國家質檢總局的事業(yè)單位。因此,信息安全產(chǎn)品認證和信息安全服務認證中的安全風險已經(jīng)降至最低。信息安全管理體系認證則不同:首先,其被認證組織遍布國民經(jīng)濟的各個行業(yè)和各個領域,甚至包括政府等公共機構;其次,國家認監(jiān)委已經(jīng)放開了信息安全管理體系認證機構的審批,前期已獲批的認證機構中既有國有事業(yè)單位,也有國內(nèi)企業(yè),此外還有外資企業(yè),認證市場的組成十分復雜。因此,目前認證安全風險問題主要存在于信息安全管理體系認證活動中。

從國家安全高度加以重視

1.認證安全風險的表現(xiàn)形式

在信息安全管理體系認證的審核階段,認證機構會接觸到受審核組織大量的敏感信息。這類信息分為兩類:一類是受審核組織的信息系統(tǒng)中存儲的信息;另一類是與受審核組織的信息安全防護相關的信息。例如,受審核組織的信息安全風險評估報告全面記錄了系統(tǒng)的信息資產(chǎn)、對信息安全威脅的判斷、信息安全漏洞、信息安全控制措施配置等信息,網(wǎng)絡拓撲圖也為攻擊者入侵系統(tǒng)提供了豐富的信息。這些信息如果被認證機構惡意使用,或者泄露給惡意第三方,都會導致受審核組織的信息失竊,或使其信息系統(tǒng)被外部控制。

此外,由于認證機構會直接接觸受審核組織的信息系統(tǒng),存在篡改其信息系統(tǒng)的可能性,例如在系統(tǒng)中植入惡意程序,或改變信息系統(tǒng)的功能,這便是美國國家安全局曾提出的五類信息安全威脅之―臨近攻擊。

以上問題不是在特定時期存在,也不是在特定場合存在,而是在任何一次信息安全管理體系認證中都有可能發(fā)生。因為認證機構為了開展工作,必須接觸受審核組織的信息系統(tǒng),必須獲得受審核組織的信息安全風險評估報告、網(wǎng)絡拓撲圖等信息安全相關信息。如果受審核組織位于關系國民經(jīng)濟命脈的重點行業(yè),則認證機構的惡意行為可能使國家利益嚴重受損。

2.認證安全風險是一個國家安全問題

當前,信息安全已經(jīng)成為國家安全的重要組成部分,國際上圍繞信息的控制與反控制的斗爭正日趨激烈。但是,很多這樣的斗爭常常隱藏在了看似正常的國際商貿(mào)活動之中,使公眾忽視了信息安全斗爭的復雜性和長期性。當前,對認證安全風險的認識往往存在三個誤區(qū):

一是認為認證機構在審核活動中獲得的信息無關緊要。事實上,如今信息安全攻擊與防范的技術的專業(yè)化程度已經(jīng)超出了很多人的想象。對一個熟練的攻擊者而言,任何有關攻擊目標的些許信息,都可能為其大開方便之門。以最普通的受審核組織的組織架構、員工姓名和聯(lián)系方式等信息為例,這些信息足以使攻擊者發(fā)起一次成功的社會工程攻擊。

二是認為受審核組織的信息僅關系到組織自身的安全,與國家安全相去甚遠。當前,信息技術的廣泛滲透性以及國民經(jīng)濟和社會發(fā)展對信息技術應用的依賴,使網(wǎng)絡與信息系統(tǒng)的戰(zhàn)略地位凸顯。特別是關系國計民生的重要行業(yè)的網(wǎng)絡與信息系統(tǒng),已經(jīng)成為國與國軍事對抗的戰(zhàn)場,成為非常時期敵方打擊的首要目標。正因為如此,中共中央辦公廳于2003年轉發(fā)的《國家信息化領導小組關于加強信息安全保障工作的意見》便將“重點保障基礎信息網(wǎng)絡和重要信息系統(tǒng)安全”作為我國信息安全保障工作的總體要求之一。

三是認為認證機構都是守法企業(yè),不可能去實施惡意行為。我們并不想對認證機構的行為妄加猜測,但必須強調,這是影響國家信息安全的一種途徑,必須牢固樹立風險防范意識。我國媒體曾多次報道,西方發(fā)達國家在近年來極力收集我基礎信息網(wǎng)絡和重要信息系統(tǒng)的敏感信息,甚至在這些網(wǎng)絡與信息系統(tǒng)中大量植入后門、木馬等惡意程序。來自西方發(fā)達國家的信息技術企業(yè)在華的擴張與滲透無疑為其上述行為提供了便利條件。任何商業(yè)實體都是具有國籍屬性的,都可能在國家緊急動員時被以國家意志而“征用”,為各國的政治服務。

建立信息安全服務管理制度

認證安全風險的出現(xiàn)是認證認可領域中的一個新問題。但是,在信息安全領域,類似問題由來已久,這便是信息安全服務的管理問題。目前,我國對信息安全服務的類型尚無統(tǒng)一標準,但無論在哪一種信息安全服務中,服務提供者對服務對象的了解都是深入和細致的,甚至直接掌控服務對象的信息系統(tǒng)和重要信息。從服務提供者與服務對象的關系以及服務的技術特征角度而言,信息安全管理體系認證是一種特殊的信息安全服務。在服務過程可能引發(fā)安全風險這一問題上,信息安全認證與其他信息安全服務毫無二致。由此,安全風險的管理對策也必然具有共通性。

為了加強信息安全服務管理,近年來我國有關部門和一些地方政府先后實施了信息安全相關服務管理制度。但是,這些制度的適用范圍有限,且多關注服務能力,沒有考慮如何防范安全風險。

目前,國外信息安全服務商和信息技術服務商已經(jīng)在我國高端服務市場占壟斷地位,這早已被視為國家信息安全的重大隱患。近年來,我國網(wǎng)絡與信息安全主管部門多次展開廣泛調研,但目前尚未信息安全服務管理政策意見。在這種情況下,要解決信息安全認證中的安全風險,目前還缺少更加明晰的政策環(huán)境和直接的政策支持。

管理認證安全風險六大對策

當前認證安全風險主要存在于信息安全管理體系認證領域,如何加強信息安全管理體系認證領域的安全風險管理?

1.管理目標

我國對信息系統(tǒng)有著嚴格管理,沒有系統(tǒng)集成資質的企業(yè)不能向其提供安全服務。至于政府信息系統(tǒng),在相當長時間內(nèi)申請信息安全管理體系認證者極少。因此,加強認證安全風險管理的主要目標,是確?；A信息網(wǎng)絡和重要信息系統(tǒng)在接受認證時的安全。建議圍繞這一目標設立管理制度。

2.管理重點

建議認證認可監(jiān)督管理部門在認證程序方面設定嚴格要求,例如禁止認證機構攜帶電子設備進入審核現(xiàn)場,不得將客戶的任何紙質或電子資料帶離現(xiàn)場,任何資料不得離境等。在制定這些管理要求時,一是要注意可行性,避免影響正常的認證活動,二是不能與將來的ISO/IEC 27007《信息安全管理體系審核指南》相悖。

但是,以上措施只能在一定程度上降低認證風險,而不能從根源上杜絕風險。從各國對供應鏈安全管理的實際經(jīng)驗及發(fā)展趨勢看,在重要領域屏蔽國外機構的服務,應該是最終的方向。我們關注的重要領域不僅僅是軍事和情報系統(tǒng),可能會有人質疑這違反了WTO規(guī)則的國民待遇原則。其實,WTO規(guī)則規(guī)定了一般安全例外和國家安全例外,但并未對國家安全的范疇作出定義。從我國信息化發(fā)展和信息安全保障的具體情況出發(fā),當前完全可以明確基礎信息網(wǎng)絡和重要信息系統(tǒng)與國家安全的關系,要敢于在此領域適用“國家安全例外”。當然,這會引發(fā)與他國的新一輪政治和經(jīng)濟博弈,但在涉及國家安全的重大問題上,必須有這樣的決心。否則,我國的認證安全風險管理政策以及今后的信息安全服務管理政策終將難有作為。

3.管理環(huán)節(jié)

認證安全風險管理的目標是保護特定領域網(wǎng)絡與系統(tǒng)的安全,因此難以在準入環(huán)節(jié)上對認證機構區(qū)別對待。建議以采購管理為主,準入管理為輔。但準入環(huán)節(jié)依然可以發(fā)揮前置門檻的作用,對認證市場進行總量控制,以減輕采購環(huán)節(jié)的壓力。在采購環(huán)節(jié),如當前出臺強制性采購政策的操作阻力較大,則可先行出臺指導性意見,引導基礎網(wǎng)絡和重要信息系統(tǒng)選擇國內(nèi)認證機構提供的信息安全管理體系認證服務。

4.風險管理與信息安全服務管理政策的關系

認證安全風險管理政策是一種特殊的信息安全服務管理政策,應受到我國信息安全服務管理制度所確立的總體原則的指導和支持。但在我國信息安全服務管理政策依然缺位的情況下,不妨先制定認證安全風險管理政策,這也可以為將來出臺信息安全服務管理政策積累經(jīng)驗。當然,這會在一定程度上增加認證安全風險管理政策的起草難度,特別是在采購政策方面。

與管理其他信息安全服務中的安全風險相比,認證安全風險管理工作也有兩個有利條件:一是國內(nèi)認證機構已經(jīng)成熟,可以完全替代國外認證機構的服務,甚至在某些領域的影響力已經(jīng)超越國外認證機構;二是信息安全認證機構及其認證活動已經(jīng)受到國家認監(jiān)委的嚴格管理,而目前絕大多數(shù)信息安全服務都缺少主管或監(jiān)管部門。在制定認證安全風險管理政策時,要充分利用這兩個有利條件。

5.輔助措施

一是加大宣傳和引導力度。目前國內(nèi)很多用戶對信息安全管理體系認證還存在不當認識,例如很多人不知道成立認證機構以及開展認證活動需要得到認監(jiān)委的審批,還有一些人認為國外認證機構頒發(fā)的是國際證書,而國內(nèi)認證機構頒發(fā)的證書則沒有權威性等。這將導致用戶在選擇認證機構時帶有錯誤的傾向性,以及證書采信者對證書價值產(chǎn)生誤判。目前這一問題非常嚴重,一些地方政府出臺的認證資助政策甚至規(guī)定,只資助獲得國外證書的企業(yè),而對國內(nèi)的證書不予承認。

二是嚴格市場準入條件,實行總量控制,并對違反《認證認可條例》的行為進行嚴厲查處。

三是積極推動信息安全管理體系認證的國際互認工作。

四是大力鼓勵國內(nèi)認證機構的發(fā)展,提高國內(nèi)認證機構的品牌影響力。

6.管理責任

認證安全風險管理工作應由哪一個部門牽頭?從《認證認可條例》制定的初衷看,監(jiān)管目標的核心還是確保認證有效性。認證風險是認證認可制度研究中的熱點問題,但認證安全風險與傳統(tǒng)的認證風險的概念完全不同,也與認證有效性沒有邏輯上的必然聯(lián)系。至于認證機構在認證活動中的違法行為(這些違法行為當然不限于違反了《認證認可條例》),應由法律授權的部門在各自職責范圍內(nèi)予以查處。認證安全風險是信息化發(fā)展帶來的新問題,目前我國還沒有立法對收集客戶信息(包括修改客戶的信息系統(tǒng))以及信息出境問題進行規(guī)范,對公民個人信息以及企業(yè)秘密的保護也缺少完善的法律規(guī)定。在這種情況下,認證認可監(jiān)督管理部門從維護社會公平正義的角度出發(fā),對認證機構的保密義務作出了規(guī)定,并且還擁有手段和龐大的執(zhí)法隊伍。但是,不能就此推論應由認證認可監(jiān)督管理部門負責信息安全認證風險管理。

當然,可以修改現(xiàn)有的法規(guī),或起草新的法規(guī),授權各行業(yè)監(jiān)管部門對本行業(yè)的信息安全風險進行管理,這并非不可行。建議將來的信息安全立法中要在總體上明確我國信息安全服務管理體制及主管部門。其主管部門可以根據(jù)具體服務類型的不同分為多個,例如國務院網(wǎng)絡與信息安全主管部門可對認證服務之外的多數(shù)服務設立行政許可,并查處侵害客戶信息安全利益的服務行為。對于認證服務這類已有監(jiān)督管理部門的,則完全可以授權認證認可監(jiān)督管理部門對認證安全風險進行監(jiān)管。

因此,責任制問題的實質,是立法問題。只要我國信息安全服務管理制度設計完善,并立法明確信息安全服務管理部門的責任,并非不可以由認證認可監(jiān)督管理部門承擔認證安全管理職責,但這種管理也僅限于規(guī)則的制定和對認證機構的查處,不能涉及采購環(huán)節(jié)。

認證安全風險管理涉及到多個方面的工作,必然需要建立多部門合作機制,相互配合,不能簡單地講由哪一個部門負主要責任。美國在解決供應鏈安全問題的思路中,屢次強調“綜合性”、“多管齊下”、“戰(zhàn)略性”,也是出于同樣的原因。我國信息安全立法還不十分完善,客觀上造成了一些重大事項責任制的模糊。在當前這種情況下,我們建議在實踐中對認證安全風險管理工作職責作如下區(qū)分:

國務院網(wǎng)絡與信息安全主管部門一要盡快制定基礎信息網(wǎng)絡和重要信息系統(tǒng)使用認證服務的有關采購規(guī)定,二要加快《信息安全條例》的制定,在條例中明確哪些信息安全服務中的行為應予禁止。

國務院認證認可監(jiān)督管理部門充分利用現(xiàn)有的監(jiān)管手段,一要在可能的情況下繼續(xù)嚴格信息安全管理體系認證程序,維護國家秘密和商業(yè)秘密的安全,二要加強本文前面提到的四項輔措施。

國外的安全風險防范意識及相關措施

以美國的信息安全產(chǎn)品認證為例,雖然美國是CC(信息技術安全性評估通用準則)互認協(xié)定的發(fā)起國,但其政府公布的產(chǎn)品采購清單(用于國家安全系統(tǒng)中)上,迄今沒有由國外認證機構認證的產(chǎn)品。

對信息安全管理體系認證等業(yè)務,西方發(fā)達國家目前雖然還沒有專門的安全風險防范措施,但對于包含認證服務在內(nèi)的所有的信息安全和信息技術相關服務,西方發(fā)達國家都在重點領域(例如國防和政府部門)施以嚴格的準入措施。例如:德國政府的信息安全服務全部由德國信息安全辦公室(BSI)完成,國外企業(yè)根本不可能涉足。

美國在鼓勵其企業(yè)在各國擴張的同時,對自身在采購信息技術產(chǎn)品和服務過程中面臨的風險極為警惕。多年以來,美國一直在研究“供應鏈”的安全問題。2009年5月,美國政府了網(wǎng)絡空間安全政策評估報告,提出要整合執(zhí)法、情報、反情報、軍事等力量,對從遠程網(wǎng)絡入侵到供應鏈安全等全面的信息安全威脅進行抵御。2010年3月,美國政府解密了曾一度被列為高度機密的第54 號國家安全總統(tǒng)令的摘要,該摘要顯示,美國已將情報威脅和供應鏈威脅列為信息安全領域的兩大重點威脅。其關注的供應鏈問題涵蓋了產(chǎn)品、系統(tǒng)和服務這三類對象,提出的解決該問題的工作方向有四個:一是必須提高安全意識;二是在技術層面開發(fā)風險控制工具;三是在政策層面調整采購政策;四是加強與工業(yè)界的合作。

信息安全服務體系篇5

【關鍵詞】黨政信息化網(wǎng)絡平臺

1 業(yè)務互聯(lián)互通：安全保密面臨的新挑戰(zhàn)

安全保密是黨政信息化的重要要求之一。黨政信息化系統(tǒng)根據(jù)所處網(wǎng)絡、所承載的信息敏感程度不同，需要按照等級保護和分級保護要求進行保護。在信息化發(fā)展過程中，安全保密手段也從防火墻、入侵檢測等被動安全防御發(fā)展到以PKI等密碼技術為主的主動安全，為信息化發(fā)展發(fā)揮了大量重要作用。

然而，隨著業(yè)務需求的不斷發(fā)展，黨政信息化正面臨著從各自為政向全程全網(wǎng)的重要變革。傳統(tǒng)以部門局域網(wǎng)、以區(qū)域、行業(yè)為對象的信息化建設模式，人為割裂了跨部門、跨區(qū)域和跨行業(yè)的政務業(yè)務鏈，導致信息化發(fā)展內(nèi)外嚴重不平衡，部門“出不去、進不來”的現(xiàn)象越來越嚴重，信息孤島、業(yè)務孤島由此而生。

在傳統(tǒng)的信息化建設模式下，網(wǎng)絡、信息系統(tǒng)都有明確的邊界，因而安全保密的重點就是“內(nèi)部保護”和“外部隔離”。

當以“互聯(lián)互通、信息共享和業(yè)務協(xié)同”為主要需求的全程全網(wǎng)信息化需求迅速發(fā)展時，以“?！睘橹鲃拥陌踩Ｃ茉诒ＷC了局部安全的同時，也成為了阻礙互聯(lián)互通的又一個孤島――安全孤島。而改變這種局面，需要改變安全保密局部防御的思路，建立全網(wǎng)安全保密支撐和服務體系，在確保安全保密的同時，更要發(fā)揮為業(yè)務全程全網(wǎng)保駕護航的作用。

2 網(wǎng)絡信任體系：全網(wǎng)安全保密的技術基礎

以PKI技術、現(xiàn)代密碼技術，是建立大規(guī)模網(wǎng)絡環(huán)境下實體信任的基礎。然而，要建立全網(wǎng)安全保密的支撐和服務體系，必須打破部門之間、區(qū)域之間、行業(yè)之間的信任孤島，真正實現(xiàn)面向全網(wǎng)的網(wǎng)絡信任體系。

全網(wǎng)網(wǎng)絡信任體系是建立幾個全網(wǎng)統(tǒng)一之上的：

2.1 是全網(wǎng)統(tǒng)一的網(wǎng)絡資源管理

這是網(wǎng)絡信任體系建立網(wǎng)絡實體信任關系的管理基礎，也是實體信任關系的信任源點，凡是需要信任的網(wǎng)絡對象，包括機構、用戶、應用資源等，都需要通過網(wǎng)絡資源管理的注冊、審核、登記，建立起和物理世界實體的信任關系，確保物理世界和網(wǎng)絡世界的一一對應。

2.2 是全網(wǎng)統(tǒng)一的身份認證服務

這是網(wǎng)絡實體的行為基礎，所有訪問行為、服務行為等都依賴其背后的身份可信。所以統(tǒng)一身份認證服務必須在網(wǎng)絡層實現(xiàn)，在用戶上網(wǎng)、應用上線的環(huán)節(jié)上能夠鑒別用戶、設備、系統(tǒng)的身份，并為每個需要進行身份確認的環(huán)節(jié)提供身份證明服務，身份認證、身份證明服務以全網(wǎng)為服務范圍。

2.3 是統(tǒng)一授權和權限服務

這是確保網(wǎng)絡行為有序、信息和應用資源受控訪問的基礎。統(tǒng)一授權服務，可以在全網(wǎng)范圍內(nèi)實現(xiàn)實體和被訪問資源之間的權限關系，而統(tǒng)一權限服務是確保這種權限關系全網(wǎng)有效，各相關資源保護點可以基于統(tǒng)一授權和權限服務，實現(xiàn)嚴格的訪問控制。

2.4 是統(tǒng)一的證據(jù)保留和責任認定

這是確保安全保密管理和事后責任追溯的基礎。在發(fā)生安全保密事故時，迅速確定事故發(fā)生地點、通過對行為證據(jù)的的綜合分析，可以在全網(wǎng)范圍內(nèi)判定責任人和責任范圍。

網(wǎng)絡信任體系的四個統(tǒng)一，使得安全保密具有了統(tǒng)一的管理和服務基礎，基于統(tǒng)一網(wǎng)絡信任體系，從網(wǎng)絡、信息、業(yè)務三個層面可以實現(xiàn)全網(wǎng)全網(wǎng)的安全保密。

3 網(wǎng)絡層安全保密：網(wǎng)絡互聯(lián)和邊界隔離保護

互聯(lián)互通首先是網(wǎng)絡層的互聯(lián)互通。和國際互聯(lián)網(wǎng)扁平化結構不同，還是黨政系統(tǒng)的網(wǎng)絡平臺，由于分層管理、分域保護的要求，其基本管理單元是以部門網(wǎng)絡構成的安全域，大量安全域根據(jù)行政機構實現(xiàn)橫向、縱向互聯(lián)，形成大型復雜網(wǎng)絡。網(wǎng)絡層安全保密必須確保網(wǎng)絡安全互聯(lián)的同時，又確保網(wǎng)絡互聯(lián)邊界的有效隔離保護，網(wǎng)絡邊界隔離保護是網(wǎng)絡整體安全的基礎。

互聯(lián)互通條件下的網(wǎng)絡邊界隔離保護解決方案是基于網(wǎng)絡信任體系的統(tǒng)一身份認證、統(tǒng)一授權和權限服務實現(xiàn)的，通過對網(wǎng)絡邊界部署網(wǎng)絡訪問控制安全網(wǎng)關設備，形成安全域保護邊界，對所有試圖訪問網(wǎng)絡邊界的用戶進行身份和權限驗證，確保網(wǎng)絡通行為可管、可控。

根據(jù)安全保密的要求不同，網(wǎng)絡邊界隔離的保護點首先是在安全域互聯(lián)邊界，實現(xiàn)不同安全域之間網(wǎng)絡接入的安全保密；其次是在安全域內(nèi)德重點安全區(qū)，如重點應用系統(tǒng)、信息資源管理系統(tǒng)，可以部署資源訪問控制點，對試圖訪問安全區(qū)內(nèi)重要信息資源的行為進行強制主動保護，合法授權用戶可以透明訪問資源，而非法用戶將遠離試圖接觸的資源，極大提高了資源保護能力。

4 信息層安全保密：信息交換和可信交換控制

互聯(lián)互通的第二個層面是信息層的互聯(lián)互通。不同安全域的機構、應用、用戶之間、不同應用之間需要通過信息交換，傳遞文件、業(yè)務要求和其他業(yè)務信息，因此，建設統(tǒng)一體系、高效互聯(lián)的信息交換平臺勢在必行。然而在享受信息層互聯(lián)互通的同時，必須確?？缬蛐畔⒔粨Q符合安全保密的要求，確保安全可控。

因此，在信息交換平通各級安全域的同時，安全域邊界必須具有對交換信息安全保密控制的能力。而這種信息安全保密控制能力由信息交換平臺的信息交換發(fā)起方和安全域邊界的信息交換控制點共同實現(xiàn)：信息交換發(fā)起方必須具備對信息本身進行安全封裝的能力，在封裝過程中，需要明確設定當前信息的相關保密屬性；而安全域邊界的信息交換控制點必須具備對當前交換信息進行安全保密屬性鑒別能力，以及基于安全保密控制策略進行判斷能力，確保只有符合安全保密策略的交換信息通過。

5 安全保密為業(yè)務層互聯(lián)互通保駕護航

網(wǎng)絡層互聯(lián)互通和信息層互聯(lián)互通，為跨部門（跨安全域）業(yè)務互聯(lián)互通奠定了基礎。同時，網(wǎng)絡層安全保密和信息層安全保密為業(yè)務互聯(lián)互通的全程全網(wǎng)安全保密奠定了基礎。

長期以來，黨政信息化面向業(yè)務的全程全網(wǎng)開展一直是難點。由于缺乏信息互聯(lián)互通技術，傳統(tǒng)的業(yè)務跨部門（安全域）開展，只能采用遠程終端方式實現(xiàn)，而由于缺乏網(wǎng)絡互聯(lián)互通安全保密能力，為了規(guī)避網(wǎng)絡互聯(lián)互通的安全風險，只能依靠網(wǎng)絡隔離手段建設了大量的業(yè)務專網(wǎng)，業(yè)務孤島現(xiàn)象由此而生。

在網(wǎng)絡層和信息層互聯(lián)互通安全保密實現(xiàn)的基礎上，業(yè)務層互聯(lián)互通不再面臨安全風險威脅，基于統(tǒng)一的電子政務網(wǎng)絡，實現(xiàn)各個行業(yè)業(yè)務延伸已經(jīng)成為可能，這其中首先是全網(wǎng)網(wǎng)絡信任體系支撐下的安全保密技術突破，也是安全保密為業(yè)務保駕護航的重要方向。

黨政部門業(yè)務跨部門（安全域）互聯(lián)互通存在兩種基本模式：

5.1 全網(wǎng)共享型業(yè)務延伸

業(yè)務應用系統(tǒng)在一個部門（安全域）部署，其他部門（安全域）用戶經(jīng)過授權具有遠程訪問該業(yè)務應用系統(tǒng)的權限，而在遠程訪問發(fā)起過程中，網(wǎng)絡信任體系的安全域訪問控制和安全域訪問控制均可以對來訪用戶進行身份和權限的鑒別，確保共享型業(yè)務面向全網(wǎng)服務的安全保密。

5.2 全網(wǎng)協(xié)同型業(yè)務延伸

即參與業(yè)務協(xié)同的多個部門（安全域）各自部署相應的業(yè)務處理系統(tǒng)，而這些業(yè)務處理系統(tǒng)在業(yè)務開展過程中，用戶無需跨部門（安全域）遠程訪問其他業(yè)務處理系統(tǒng)，通過相互間交換業(yè)務信息和業(yè)務辦理要求，由分布在不同部門（安全域）的用戶在各自系統(tǒng)中進行跨系統(tǒng)業(yè)務協(xié)同，共同完成復雜業(yè)務。在跨部門（安全域）交換業(yè)務信息時，信息交換平臺一方面負責信息的端到端內(nèi)容安全性，而安全域邊界的信息交換控制點根據(jù)安全策略，負責信息流轉符合安全保密規(guī)則。

基于網(wǎng)絡層、信息層互聯(lián)互通和安全保密的方案，既保護了業(yè)務全程互聯(lián)互通、又確保業(yè)務跨域延伸的安全保密。

6 結束語

黨政信息化互聯(lián)互通、信息共享和業(yè)務協(xié)同的發(fā)展要求，對傳統(tǒng)的以防御、以隔離為主要特征的安全保密模式提出了新的挑戰(zhàn)。安全保密必須以業(yè)務發(fā)展為導向，以保障業(yè)務全程全網(wǎng)的安全開展為服務目標，因而也必須面向全網(wǎng)安全保密。全網(wǎng)網(wǎng)絡信任體系的實現(xiàn)為全網(wǎng)安全保密提供了基礎，網(wǎng)絡信任體系和一般意義上的應用系統(tǒng)信任、局域網(wǎng)信任的最大不同是網(wǎng)絡信任體系以全網(wǎng)為管理、服務范圍，具有真正的體系一致性。而基于全網(wǎng)網(wǎng)絡信任體系的管理和服務能力，網(wǎng)絡層互聯(lián)互通、信息層互聯(lián)互通的全網(wǎng)安全保密可以實現(xiàn)，進而為跨部門、跨區(qū)域、跨行業(yè)的業(yè)務開展，實現(xiàn)業(yè)務層互聯(lián)互通提供了支撐和保障，為黨政系統(tǒng)信息化安全保密提供了全新的解決方案。

作者單位

信息安全服務體系篇6

關鍵詞：信息管理系統(tǒng) 信息安全系統(tǒng)安全建設

中圖分類號：TP39 文獻標識碼：A 文章編號：1003-9082（2014）03-0001-02

一、引言

隨著全球信息化不斷在我國深化和發(fā)展，我國各地區(qū)、各行業(yè)使用信息系統(tǒng)開展工作的比例越來越大。一般來說，信息化程度越高，對信息管理系統(tǒng)的依賴性就越強，信息安全問題就越為突顯和嚴重。而信息安全問題也正逐漸成為影響各企事業(yè)單位業(yè)務能否正常運行、生產(chǎn)力能否快速發(fā)展的重要因素之一。但是由于我國信息化建設起步相對較晚，與國外先進國家相比，無論在信息安全意識還是信息安全防護技術等諸多方面都還存在較大差距，各企事業(yè)單位的信息安全基本上均處于一個相對較為薄弱的環(huán)節(jié)。一旦信息管理系統(tǒng)中的個人信息和敏感數(shù)據(jù)發(fā)生丟失或者泄漏，可能會對自身造成無可估量的損失。因此，重點保障信息管理系統(tǒng)安全已成為各行各業(yè)的首要任務。信息管理系統(tǒng)安全建設應該系統(tǒng)地、有條理地進行全面規(guī)劃，充分地、全方位地考慮安全需求和特性，從而達到各種安全產(chǎn)品、安全管理、整體安全策略和外部安全服務的統(tǒng)一，發(fā)揮其最大的效率，給予信息管理系統(tǒng)以最大保障。

二、信息管理系統(tǒng)安全建設原則

1.安全體系兼容性

安全體系有一個重要的思想是安全技術的兼容性，安全措施能夠和目前主流、標準的安全技術和產(chǎn)品兼容。

2.信息管理系統(tǒng)體系架構安全性

系統(tǒng)的系統(tǒng)架構已經(jīng)成為保護系統(tǒng)安全的重要防線，一個優(yōu)秀的系統(tǒng)體系架構除了能夠保證系統(tǒng)的穩(wěn)定性以外，還能夠封裝不同層次的業(yè)務邏輯。各種業(yè)務組件之間的“黑盒子”操作，能夠有效地保護系統(tǒng)邏輯隱蔽性和獨立性。

3.傳輸安全性

由于計算機網(wǎng)絡涉及很多用戶的接入訪問，因此如何保護數(shù)據(jù)在傳輸過程中不被竊聽和撰改就成為重點考慮內(nèi)的問題，建議采用傳輸協(xié)議的加密保護。

4.軟硬件結合的防護體系

系統(tǒng)應支持和多種軟硬件安全設備結合，構成一個立體防護體系，主要安全軟硬件設備為防火墻系統(tǒng)、防病毒軟件等。

5.可跟蹤審計

系統(tǒng)應內(nèi)置多粒度的日志系統(tǒng)，能夠按照需要把各種不同操作粒度的動作都記錄在日志中，用于跟蹤和審計用戶的歷史操作。

6.身份確認及操作不可抵賴

身份確認對于系統(tǒng)來說有兩重含義，一是用戶身份的確認，二是服務器身份的確認，兩者在信息安全體系建設中必不可少。

7.數(shù)據(jù)存儲的安全性

系統(tǒng)中數(shù)據(jù)存儲方面可以采取兩道機制進行的保護，一是系統(tǒng)提供的訪問權限控制，二是數(shù)據(jù)的加密存放。

三、信息管理系統(tǒng)安全建設內(nèi)容

按照系統(tǒng)安全體系結構，結合安全需求、安全策略和安全措施，并充分利用安全設備包括防火墻、入侵檢測、主機審計等，其建設內(nèi)容主要有：

1.物理安全

機房要求保護計算機設備、設施（含網(wǎng)絡）以及其它媒體免遭地震、水災、火災、有害氣體和其它環(huán)境事故（如電磁污染、電源故障、設備被盜、被毀等）破壞。

2.網(wǎng)絡安全

利用現(xiàn)有的防火墻、路由器，實行訪問控制，按用戶與系統(tǒng)間的訪問規(guī)則，決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問。同時加強端口、拒絕服務攻擊、網(wǎng)絡蠕蟲等的監(jiān)控，保障系統(tǒng)網(wǎng)絡運行的暢通。

2.1使用防火墻技術

通過使用防火墻技術，建立系統(tǒng)的第二道安全屏障。例如，防止外部網(wǎng)絡對內(nèi)部網(wǎng)絡的未授權訪問，建立系統(tǒng)的對外安全屏障。最好是采用不同技術的防火墻，增加黑客擊穿防火墻的難度。

2.2使用入侵監(jiān)測系統(tǒng)

使用入侵監(jiān)測系統(tǒng)，建立系統(tǒng)的第三道安全屏障，提高系統(tǒng)的安全性能，主要包括：監(jiān)測分析用戶和系統(tǒng)的活動、核查系統(tǒng)配置和漏洞、評估系統(tǒng)關鍵資源和數(shù)據(jù)文件的完整性、識別已知的攻擊行為、統(tǒng)計分析異常行為、操作系統(tǒng)日志管理，并識別違反安全策略的用戶活動等功能。

3.主機安全

系統(tǒng)主機安全從主機身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范和資源控制等方面考慮。

3.1主機身份鑒別

對登錄操作系統(tǒng)的用戶進行身份設別和鑒別，對操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)設置復雜的登錄口令，并且定期進行更換。同時對操作系統(tǒng)和數(shù)據(jù)庫用戶分配不同的用戶分配不同用戶名。

3.2訪問控制

通過三層交換機和防火墻設置對系統(tǒng)服務器的訪問控制權限。對服務器實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權用戶的權限分離，限制默認賬號的訪問權限，重命名系統(tǒng)默認賬戶，修改默認密碼。

3.3安全審計

服務器操作系統(tǒng)本身帶有審計功能，要求審計范圍覆蓋到服務器上的每個操作系統(tǒng)用戶，審計內(nèi)容包括重要用戶行為、系統(tǒng)資源異常使用并進行記錄。

信息管理系統(tǒng)也應考慮安全審計功能，記錄系統(tǒng)用戶行為，系統(tǒng)用戶操作事件日期、時間、類型、操作結果等。

3.4入侵防范

利用入侵檢測系統(tǒng)和防火墻相應功能，檢測對服務器入侵行為，記錄入侵源IP、攻擊的類型、攻擊的目標、攻擊時間，并在發(fā)生嚴重的入侵事件時提供報警。

3.5惡意代碼防范

在服務器上安裝服務器端防病毒系統(tǒng)，以提供對病毒的檢測、清除、免疫和對抗能力。

3.6資源控制

在核心交換機與防火墻配置詳細訪問控制策略，限制非法訪問。

4.應用安全

4.1安全審計

信息管理系統(tǒng)應提供覆蓋到每個用戶的安全審計功能，對應用系統(tǒng)重要安全事件進行審計，審計記錄內(nèi)容至少包括事件的日期、時間、發(fā)起者信息、類型、描述和結果等，保證無法刪除、修改或覆蓋審計記錄。

4.2資源控制

信息管理系統(tǒng)應限制用戶對系統(tǒng)的最大并發(fā)會話連接數(shù)、限制單個賬戶的多重并發(fā)會話、限制某一時間段內(nèi)可能的并發(fā)會話連接數(shù)。

5.數(shù)據(jù)安全

系統(tǒng)數(shù)據(jù)安全要求確保管理數(shù)據(jù)和業(yè)務數(shù)據(jù)等重要信息在傳輸過程和存儲過程中的完整性和保密性。對于數(shù)據(jù)庫中的敏感數(shù)據(jù)，需對數(shù)據(jù)項進行加密，保證管理數(shù)據(jù)、鑒別信息和重要業(yè)務數(shù)據(jù)在傳輸過程與存儲過程中完整性不受到破壞。

對數(shù)據(jù)進行定期備份，確保存儲過程中檢測到數(shù)據(jù)完整性錯誤時，具有數(shù)據(jù)恢復能力。必須采用至少兩種手段進行備份，備份手段以整體安全備份系統(tǒng)為主，配合其他備份手段，如GHOST、TRUE IMAGE或操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)本身的備份服務等。備份具體要求如下：

5.1各服務器專職管理員根據(jù)所管服務器的具體情況與整體安全備份系統(tǒng)專職管理員協(xié)調制訂好所管服務器的備份計劃及備份策略。

5.2整體安全備份系統(tǒng)專職管理人員必須組織各服務器專職管理員對各服務器每個季度進行一次整體災備（冷備）。若某臺服務器的配置需要發(fā)生較大變更，該服務器的專職管理員應在對該服務器實施變更前和圓滿完成變更后，分別對該服務器做一次整體災備，必要時整體安全備份系統(tǒng)專職管理員需對整體災備提供協(xié)助。

5.3數(shù)據(jù)備份主要分為月備份、周備份、日備份及日志（增量）備份。月備份每月對各服務器的所有系統(tǒng)、目錄及數(shù)據(jù)庫做一次全備（熱備）。周備份每周對各服務器的所有系統(tǒng)、目錄及數(shù)據(jù)庫做一次全備（熱備）。日備份每天對各服務器的重要目錄及數(shù)據(jù)庫做一次備份。日志（增量）備份針對數(shù)據(jù)更新較頻繁的服務器，每天進行多次增量備份。

5.4除日志（增量）備份外，其它各種備份以每一次獨立執(zhí)行的備份作為一個獨立版本。每個獨立版本的備份必須存儲在獨立的備份介質上，不能混合存儲在同一套備份介質。整體災備（冷備）和月備份一般要求保留至少能覆蓋當年及上一年全年時間的所有版本，周備份要求保留至少最近5個版本，日備份要求保留至少最近4個版本，日志（增量）備份保留至少自上一次周備份以來的所有版本。

5.5備份介質應放在機房以外安全的地方保管。所有備份介質必須有明確、詳盡的標簽文字說明。

5.6整體安全備份系統(tǒng)專職管理員必須定時檢查備份作業(yè)的運行情況，備份異常情況應盡快查明原因，解決問題并在值班登記本上詳細記錄。

四、安全制度建設

建設嚴格、完整的基本管理制度包括安全管理制度、安全管理機構、人員安全管理、系統(tǒng)建設管理和系統(tǒng)運維管理機制幾個方面。

安全管理制度：包括安全策略、安全制度、操作規(guī)程等的管理制度；管理制度的制定和；管理制度的評審和修訂。

安全管理機構：包括職能部門崗位設置；系統(tǒng)管理員、網(wǎng)絡管理員、安全管理員的人員配備；授權和審批；管理人員、內(nèi)部機構和職能部門間的溝通和合作；定期的安全審核和安全檢查。

人員安全管理：包括人員錄用；人員離崗；人員考核；安全意識教育和培訓；外部人員訪問管理。

系統(tǒng)建設管理：包括系統(tǒng)定級；安全方案設計；產(chǎn)品采購和使用；自行軟件開發(fā)；外包軟件開發(fā)；工程實施；測試驗收；系統(tǒng)交付；系統(tǒng)備案；等級測評；安全服務商選擇。

系統(tǒng)運維管理：包括機房環(huán)境管理；信息資產(chǎn)管理；介質管理；設備管理；監(jiān)控管理和安全管理中心；網(wǎng)絡安全管理；系統(tǒng)安全管理；惡意代碼防范管理；密碼管理；變更管理；備份與恢復管理；安全事件處置；應急預案管理。

五、結束語

信息化建設已經(jīng)涉及到國民經(jīng)濟和社會生活的各個領域，信息管理系統(tǒng)也成為各行各業(yè)信息化建設發(fā)展中的重要工具。如何保障信息管理系統(tǒng)安全從而保證信息安全是關系到國家安全、社會安全和行業(yè)安全的大問題。我們只有在實現(xiàn)信息安全的條件下，才能有效利用信息管理系統(tǒng)這個有力的工具提高生產(chǎn)力，推動社會的發(fā)展。本文通過對信息系統(tǒng)安全建設原則、安全建設內(nèi)容和安全制度建設三方面較為詳細的探討，應該對于各企事業(yè)單位信息管理系統(tǒng)的安全建設有所幫助和借鑒。

參考文獻

[1] 林國恩，李建彬，信息系統(tǒng)安全，電子工業(yè)出版社，2010-03

[2] Dieter Gollmann， Computer Security 2 edition， Wiley， 2006

[3]《信息系統(tǒng)安全等級保護基本要求》，中華人民共和國國家標準，GB/T 22239-2008

[4] 尚邦治等，做好信息安全等級保護工作，中國衛(wèi)生信息管理雜志，2012.5

[5] 王起全，企業(yè)安全生產(chǎn)信息管理系統(tǒng)構建研究，中國安全科學學報，2010.5

信息安全服務體系篇7

關鍵詞：信息安全管理等級保護數(shù)據(jù)采集日志管理

中圖分類號：TP39 文獻標識碼：A 文章編號：1672-3791（2015）11（c）-0007-02

我國電子政務建設正處在高速發(fā)展期，從中央到省市各級政府部門都投入了大量的人力和財力來推進信息化工作。電子政務公共平臺的頂層設計和實施建成，較大程度地提高了政府信息政務公開和共享等的工作效率和服務質量。電子政務公共平臺穩(wěn)定和安全運行已經(jīng)構成了政府運轉連續(xù)性的重要保障之一。因此，電子政務公共平臺的安全保障工作已經(jīng)成為政府信息化工作成敗的關鍵因素。信息安全的管理需要在各個層面為電子政務提供機密性、完整性、可用性、鑒別等安全服務。該文基于信息安全等級保護，從安全基礎設施、訪問控制策略、安全防御、安全監(jiān)控、安全審計和安全響應恢復等研究信息安全研究電子政務的安全管理體系。從而從整體上提高電子政務公共平臺信息安全管理全面性。

1 研究思路

基于電子政務公共平臺服務的戰(zhàn)略定位、統(tǒng)籌規(guī)劃和實施路徑的總體把握，按照基于等級保護技術要求，并根據(jù)電子政務信息化服務業(yè)務安全需求，為信息化綜合服務提供安全支撐服務，從而使得平臺可以安全、穩(wěn)定、可連續(xù)的進行信息化服務。重點保護基礎信息網(wǎng)絡和重要信息系統(tǒng)安全，實現(xiàn)信息安全服務支撐工作的有效安全技術和管理措施要求，以實現(xiàn)信息安全等級保護實施的重大的現(xiàn)實和戰(zhàn)略意義。

2 總體設計目標

（1）電子政務公共平臺安全管理建設的總體目標是統(tǒng)一技術標準，共建共享信息安全基礎設施，建立統(tǒng)一的公共密鑰基礎設施（PKI），實現(xiàn)跨系統(tǒng)的身份認證機制等。

（2）解決傳統(tǒng)信息化系統(tǒng)建設中，電子政務公共平臺基礎設施、信息資源與業(yè)務系統(tǒng)因所有權、使用權和管理權界定不清晰，存在基礎設施和業(yè)務應用的管理權限難以分離管理，責任權限過大或者過小，造成設備利用率不高，或容易出現(xiàn)信息安全事件的情況。

（3）解決不同的政府部分因不同的職能/服務導致的電子政務基礎設施和資源的重復建設和資金浪費問題。

（4）解決信息化綜合服務的安全服務支撐，實現(xiàn)各級信息系統(tǒng)的授權管理、認證服務、鑒別服務、訪問控制和數(shù)據(jù)防護的安全服務支撐，最終實現(xiàn)各級信息系統(tǒng)互聯(lián)互通的信息化服務。

3 設計分析

3.1 設計思路

（1）電子政務公共平臺安全管理建設統(tǒng)一管理電子政務邊界安全防護系統(tǒng)，集中建設互聯(lián)網(wǎng)接入點，實現(xiàn)部門互聯(lián)網(wǎng)的安全接入和可管可控可剝離等。

（2）電子政務公共平臺安全管理基于安全技術體系下，根據(jù)各自信息安全等級，建設、升級、完善安全系統(tǒng)等。

（3）電子政務公共平臺安全管理中心系統(tǒng)將不同位置、不同安全系統(tǒng)中分散且海量的單一安全事件進行匯總、過濾、收集和關聯(lián)分析，以全局角度分析信息安全風險和信息安全事件，形成分層次分區(qū)域的安全策略，以對安全事件進行響應和處置的綜合性信息安全管理平臺。

（4）電子政務公共平臺安全管理是一個跨系統(tǒng)、跨部門的綜合信息系統(tǒng)，由虛擬資源管理系統(tǒng)、數(shù)據(jù)挖掘與智能瀏覽、虛擬資源隔離系統(tǒng)、信息資源目錄與交換系統(tǒng)、基于SOA的業(yè)務協(xié)同、多元數(shù)據(jù)融合與集成系統(tǒng)、數(shù)據(jù)庫資源整合與綜合應用、多級數(shù)據(jù)交換系統(tǒng)、信息服務資源運營管理平臺、信息化綜合服務管理平臺信息中心構成的完整獨立體系構成等。

（5）電子政務公共平臺信息安全管理是按照其保障工作流程，依次分為數(shù)據(jù)采集層、分析層、展示層等。

（6）電子政務公共平臺安全管理設計研究多種分類的數(shù)據(jù)接口，一方面滿足與用戶已有或后續(xù)建設的其他管理系統(tǒng)或平臺集成整合，另一方面，安全管理中心還提供了相關數(shù)據(jù)接口和配置接口，可對相關安全產(chǎn)品進行統(tǒng)一配置和管理等。

（7）電子政務公共平臺安全管理的數(shù)據(jù)采集層針對重要信息系統(tǒng)進行信息安全數(shù)據(jù)采集，包括關鍵業(yè)務系統(tǒng)環(huán)境相關的網(wǎng)絡設備、主機、安全產(chǎn)品等信息。

（8）電子政務公共平臺安全管理的分析層是安全運行管理的核心，負責對數(shù)據(jù)采集的信息進行分析處理，并對相關的信息安全風險和信息安全事件進行預警和響應等。

（9）電子政務公共平臺主要功能包括了安全監(jiān)控、預警、告警、響應、信息安全策略管理和系統(tǒng)管理等。

（10）電子政務公共平臺安全管理的數(shù)據(jù)展示層提供了安全運行管理可視化界面，分為管理員界面和為客戶提供的可視化界面。管理員通過管理界面，對電子政務公共平臺整體信息安全態(tài)勢、管理和配置進行管理操作，主要包括網(wǎng)絡、系統(tǒng)運行、事件報警等展示和策略配置管理；為電子政務服務提供定制化全網(wǎng)的安全信息和安全狀態(tài)分析展示，包括風險預警、告警事件、故障分析、策略、報表報告等數(shù)據(jù)分析和展示功能等。

3.2 設計模型

（1）電子政務公共平臺安全管理中心系統(tǒng)。

①組成：數(shù)據(jù)采集層、數(shù)據(jù)和業(yè)務管理層、數(shù)據(jù)展示層等；

②通過數(shù)據(jù)接口連接外部產(chǎn)品管理接口，諸如，實時數(shù)據(jù)接口、文件接口、數(shù)據(jù)庫接口、其他接口等。

（2）電子政務公共平臺安全管理中心系統(tǒng)數(shù)據(jù)展示層。

①風險展現(xiàn)管理：包括，拓撲展示、運行狀態(tài)、實時性能、風險預警、告警事件、故障分析、策略、報表報告等。

②通過采集探針Probe整合，以Portal的方式進行多系統(tǒng)數(shù)據(jù)展示整合。

（3）電子政務公共平臺安全管理中心系統(tǒng)分析層。

①分析層是安全運行管理平臺的核心，由信息安全核心服務器和數(shù)據(jù)庫構成等。

②負責對前端信息安全數(shù)據(jù)采集的風險點進行分析，并對根據(jù)信息安全策略對安全目標進行預警和響應等。

③負責安全監(jiān)控、預警、告警、響應、信息安全策略管理和系統(tǒng)管理等。

④組成：應用引擎平臺、業(yè)務邏輯子層、數(shù)據(jù)邏輯子層、資源管理（KBP）、數(shù)據(jù)管理（KPI）、南向適配（配置、性能、事件數(shù)據(jù)元素整形適配器）、采集調試管理等。

⑤業(yè)務邏輯子層通過工單交互、知識庫交互等，與企業(yè)整體的運維管理系統(tǒng)實現(xiàn)雙向接口等。

⑥數(shù)據(jù)邏輯子層通過CMDB復用等，以統(tǒng)一CMDB的形式與網(wǎng)管、運維系統(tǒng)整合等。

（4）電子政務公共平臺安全管理中心系統(tǒng)采集層。

①數(shù)據(jù)采集層針對重要信息系統(tǒng)進行信息安全數(shù)據(jù)采集，包括關鍵業(yè)務系統(tǒng)環(huán)境相關的網(wǎng)絡設備、主機、安全產(chǎn)品等信息。

②設計部署采集管理控制臺統(tǒng)一進行信息采集，并設計采集任務分發(fā)給相對應的采集點。

③設計可定制化的采集的策略，包括采集范圍對象、采集頻度、采集數(shù)量等。

3.3 數(shù)據(jù)模型分析

數(shù)據(jù)采集層設計采用以下網(wǎng)絡協(xié)議進行數(shù)據(jù)采集，列舉主要的安全管理中心應用的協(xié)議和技術實施例。

4 研究案例與成果

信息安全保障技術是為管理做技術支持，管理和技術并重。信息安全管理的策略設計與運行實施才是安全管理落地的根本，從運行和維護的信息安全角度，總結信息安全管理主要工作主要包括了：（1）建立完善的電子政務服務身份認證和訪問控制機制，規(guī)范管理電子政務服務信息安全標準規(guī)范和相關協(xié)議的合規(guī)性作業(yè)流程；（2）信息安全的管理運行分級分域進行信息安全管理，即采取分級控制和按業(yè)務類型重要程度分域的管理，并對運維人員的職責范圍明確劃分；（3）設立以政府為主導的第三方監(jiān)督審計機構，對電子政務服務安全性、合規(guī)性監(jiān)督測評；（4）定期開展信息安全培訓，加強人員的信息安全意識，健全內(nèi)部機制，增強政府服務的安全防范意識和風險管理能力。

5 結語

該文研究信息安全管理系統(tǒng)滿足電子政務業(yè)務的安全事件集中收集和處理能力，構筑了基于資產(chǎn)安全屬性（CIA）和安全域的業(yè)務安全風險管理體系，通過關聯(lián)分析和客戶化關聯(lián)分析規(guī)則定義，實現(xiàn)準確的事件定位，形成了統(tǒng)一的安全知識共享體系，可實現(xiàn)多級不同管理模式的功能，具備安全管理中心的高容錯性、高可用性和高冗余可靠性。該研究成果具有良好安全管理中心的可擴展性，包括多級擴展、功能擴展，滿足級保護三級―― 監(jiān)督保護級要求，并遵循《關于印發(fā)的通知》（國信辦【2006】9號）進行資產(chǎn)、弱點、威脅和采取的控制措施進行評估的要求。

參考文獻

[1] 周曉斌，董瑞陽.電子政務信息安全十大問題[N].計算機世界，2009-06-29.

[2] 唐珂.淺談我國電子政務建設及信息安全管理問題檔案學研究，2004（6）：38-47.

信息安全服務體系篇8

關鍵詞：公路信息服務體系；主要問題；對策

隨著當前信息化技術的迅猛發(fā)展，積極打造“綜合交通”“智慧交通”“綠色交通”“平安交通”已成為當前交通運輸發(fā)展的戰(zhàn)略任務。公路信息服務作為交通信息服務的重要組成，逐步得到了越來越多的關注，主要包括公路交通運行、營運、管理、服務等關聯(lián)的一切信息。雖然部分省市加快了干線公路信息服務建設，新建了大量公路信息設施，但是由于建設初期缺乏系統(tǒng)化的規(guī)劃以及清晰的功能定位，公路信息服務的實際應用功能受到很大的制約。構建符合現(xiàn)代特征的干線公路信息體系就要立足于公路信息服務的基本特點，明確公路信息的服務對象，整合和利用社會公共服務體系中的相關服務，透過公路信息系統(tǒng)及服務平臺，為信息的服務對象提供均衡、優(yōu)質、高效、有用、方便的公路信息服務。

1 公路信息服務體系構建需求

公路信息服務的主要服務對象通常包括政府公路主管部門、公路生產(chǎn)運營管理主體、其他部門以及社會公眾等。不同的服務對象對信息服務的要求是不同的。本文緊密圍繞公路信息服務的對象的需求，分析公路信息服務屬性，按照公路信息服務資源特點，公路信息服務主要可以分為動態(tài)基礎信息、動態(tài)交通信息、靜態(tài)信息以及其他信息。其中，公路動態(tài)信息具體反映公路整體的運行狀態(tài)，主要體現(xiàn)在道路行駛的車流分布、結構比例等方面；動態(tài)交通信息主要包括交通限制信息、交通誘導信息等；靜態(tài)交通信息則側重于公路路產(chǎn)基本屬性；其他信息則能為公路信息服務對象提供其他信息的參考。具體公路信息服務需求如表1所示。

公路動態(tài)基礎信息主要包括道路車流量方向分布、道路車流量行駛時速分布、道路車流行駛路線、道路運行車型結構比例、道路擁擠情況、道路運行車輛軸載數(shù)據(jù)等，按照可能出現(xiàn)的道路突況，還需要包括道路阻斷信息、交通限制信息、交通誘導信息等。公路靜態(tài)屬性信息則更側重于公路路產(chǎn)路況等基本屬性，主要包括公路路網(wǎng)信息、公路路況基本信息、道路施工信息。為了更好地提供信息服務，公路信息服務內(nèi)容還應包括氣象信息等其他信息。

2 公路信息服務體系構建的方法

構建公路信息服務體系是滿足當前信息化時代下政府部門及社會大眾對日益增長的信息綜合需求的必然趨勢。公路信息化服務體系依托信息化平臺，為必要的服務對象提供綜合的、整合的、一站式的、便捷的信息化服務。為了使信息提供更為精準，帶來更好的用戶體驗，將信息化服務進行打包，構建面向服務的公路信息系統(tǒng)平臺，可以為用戶推薦相應的服務，也可以由用戶自己進行定制完成。具體如圖l所示。

3 公路信息服務體系構建面臨的主要問題

公路信息服務的服務對象既包括政策制定、決策部門，又包括社會公眾，這些社會公眾往往對信息化的需求也十分迫切。當前大環(huán)境中，公路信息服務的建設主體仍舊為政府和有關事業(yè)單位，相關信息化服務運行平臺尚未建立，資金保障也略顯不足，專業(yè)技術人員也明顯缺乏，信息服務的及時性、可靠性無法得到保障。

（1）行政資源。建立有效的公路信息服務體系不僅需要統(tǒng)籌協(xié)調公路各單位、部門現(xiàn)有資源，自上而下地建立協(xié)調機制，提供優(yōu)良的行政資源，才能打破現(xiàn)有“信息孤島”狀態(tài)。同時，還要積極協(xié)調與其他部門的資源共享，提供更多有價值、有意義的信息服務。（2）財政資源。公路信息服務在實際的應用過程中，將以社會的消費行為參與到社會經(jīng)濟活動中。其中產(chǎn)生的信息資源流動必定消耗生產(chǎn)成本，需要投入大量的資金來維持信息服務的正常運作。因此，需要從國家層面建立完善的融資渠道，通過政策支持，提供刺激發(fā)展的財政資源。（3）技術資源。公路信息服務體系也是智能交通的重要組成。當前缺乏統(tǒng)一的標準化內(nèi)容來實現(xiàn)行業(yè)內(nèi)外數(shù)據(jù)信息的順暢流動，使得公路信息服務的質量大大降低。

4 推進公路信息服務體系構建策略

推動公路信息服務體系的構建，是當前公路行業(yè)信息化發(fā)展的方向，也是打造智能交通的重要途徑。必須堅持以社會對公路信息服務需求為驅動，以公路行業(yè)主管部門為主導力量，發(fā)動全社會力量共同參與，構建具有服務性、系統(tǒng)性的平臺。

4.1 完善組織機構

針對公路信息服務特點，建立相應的信息化服務組織機構，明確機構工作職責，制定信息服務方針政策，緊密與其他部門（如氣象）溝通，建立互聯(lián)互通工作渠道，充分發(fā)揮公眾力量，努力構建公路信息服務閉環(huán)結構。

4.2 建立長效運營保障

建立健全、完善的組織體系，充分整合社會資源，是實現(xiàn)公路信息化的重要組織保證?？梢园凑铡敖y(tǒng)籌規(guī)劃、總體設計、試點先行”的原則，分步實施，逐步完善，通過新技術的應用，完善數(shù)據(jù)資源管理，建立相應軟硬件支撐平臺，建設具有一定先進性的網(wǎng)絡結構，建設相應的外場設備，做好必要的技術支持。建立健全運營維護機制，明確運維管理經(jīng)費來源。

4.3 加強技術安全保障

系統(tǒng)安全是信息系統(tǒng)平臺正常運行的重要保障。要切實保障系統(tǒng)安全，重點從組織安全、網(wǎng)絡安全、數(shù)據(jù)安全、系統(tǒng)安全、物理安全等角度落實。

5 結語

本文鏈接：http://www.lbgj202.com/v-141-3437.html信息安全服務體系范文8篇

聲明：本網(wǎng)頁內(nèi)容由互聯(lián)網(wǎng)博主自發(fā)貢獻，不代表本站觀點，本站不承擔任何法律責任。天上不會到餡餅，請大家謹防詐騙！若有侵權等問題請及時與本網(wǎng)聯(lián)系，我們將在第一時間刪除處理。

顯示全文

上一篇：校本研修自修筆記范文8篇

下一篇：校本研修培訓反思范文8篇

圣誕節(jié)主題手抄報12-23

自動化論文范文10篇08-15

吸收二氧化碳生成“石塊” 無花果樹實現(xiàn)“碳封存”07-16

經(jīng)典哲理的語錄05-23