第一篇:智慧城市信息安全保障體系與安全策略
《智慧城市信息安全保障體系與安全策略》答案(87分)
一、單選
1、以下選項中,不屬于信息安全保障體系模型的要素是(保障過程)
2、以下選項中,不屬于業務協同面臨的安全威脅和風險的是(缺乏集中處理和高效分析能力??)
3、智慧城市以(物聯網、云計算等新一代信息技術應用)為基礎。
4、智慧城市總體架構的感知層的功能是(實現智慧城市數據的感知、采集、獲取??以及糾錯融合等數據預處理)
5、智慧城市信息安全保障的原則是(積極防御、綜合防范)
6、智慧城市需要打造一個統一平臺,??構建
(三)張基礎網絡??
7、信息安全的(可認證性)是指能夠核實??真實性。
8、智慧城市廣義上指(城市信息化)
9、(物聯網)是通過??管理的一種網絡。
10、以下選項中,不屬于智慧城市安全策略中??要同步的是(同步檢測)
二、多選
11、信息安全保障體系模型的主要特征是(強調綜合保障的概念、強調安全特征)
12、信息系統總是存在信息安全問題,??內因包括(全選)
13、大數據集中面臨的安全威脅和風險包括(不選網絡身份可信機制不完??篡改等現象)
14、信息安全的基本屬性包括(全選)
15、智慧城市總體架構的應用層可以細分為(不選關聯服務層)
16、對于城市而言,智慧是指??這里的服務主體主要指的是(不選組織)
17、智慧城市的安全策略包括(全選)
18、智慧城市信息安全技術體系的要素包括(不選安全權限管理)
19、在一般信息系統中,典型的信息安全風險包括(全選)20、智慧城市的特點包括(全選)
三、判斷
21、智慧城市將機器與機器之間??人與人之間的??通信(錯)
22、智慧城市信息安全管理體系??和技術管理法規規范。(對)
23、智慧城市是全球范圍內??建立相應的城市試點進行實踐(對)24、2013年,住建部??通知(對)
25、智慧城市是以通訊技術??讓城市成為??中樞(對)
26、信息系統安全保障是??相應的安全保障策略(對)
27、智慧城市的建設??高度集中與融合(對)
28、云計算主要強調云布局的計算方式,在基礎??部署的快捷(對)
29、智慧城市信息安全保障的目標是??保障智慧城市的安全(對)
30、智慧城市中存在大量的信息系統,必然要在建設過程中解決信息安全問題(對)
《邯鄲經濟形勢與未來發展》答案(94分)
一、單選題
1、邯鄲市推進經濟轉型升級發展的首要抓手是(項目建設)
2、從即期運行看,邯鄲市經濟面臨的難題不包括(市場約束缺乏)
3、近幾年,(工業)是拉動邯鄲市經濟增長的主導力量。
4、邯鄲市推進經濟轉型升級發展的戰略切點是(引進央企)
5、邯鄲是資源豐富、產業發達城市,??“兩黑”是指(鐵礦、煤炭)
6、以下選項中,不屬于邯鄲市科學治理污染的手段的是(禁止消耗能源)
7、以下選項中,不屬于邯鄲融入京津冀協同發展的不利因素的是(執法行為不夠規范)
8、以下選項中,不屬于邯鄲融入京津冀協同發展的有利因素的是(邯鄲自身經濟發展水平較高)9、2012年11月26日,國家(《中原經濟區規劃》)正式出臺,??或涉及邯鄲。
10、經濟學上,拉動經濟增長的三駕馬車是指(出口、消費、投資)
二、多選題
11、中國經濟發展新常態的特點包括(不選“增長速度從7%左右的中高速增長轉向10% 左右的高速增長”)
12、從未來發展看,邯鄲經濟面臨的壓力包括(全選)
13、邯鄲在京津冀協同發展中定位“一門戶、三基地”,其中三基地是指(不選“現代物流基地”)
14、邯鄲是全國重要的產業基地,其支柱工業主要包括(全選)
15、邯鄲是一個歷史文化城市,在悠久歷史中,邯鄲形成了(不選“軒轅文化”)等文化脈系。
16、邯鄲市實行項目投資負面清單管理是基于(不選“加快經濟增長速度”)的需要
17、邯鄲的經濟特征是(不選“東強西弱”)
18、邯鄲市工業經濟的質量效益不斷提升,主要表現在(全選)
19、邯鄲市借鑒海寧經驗,??評價指標主要包括(全選)
20、邯鄲作為京津冀協同發展的邊緣城市,為了去除“邊緣”二字,要做到(要盯緊核心,不放周邊;要不求所有,但求所用)
三、判斷題
21、邯鄲是晉冀魯豫四省交界區最大的城市??交通樞紐城市。(對)
22、負面清單相當于投資領域的“黑名單”,列明了企業不能投資的領域和產業。(對)
23、GDP常被公認為衡量國家經濟狀況的最佳指標,它能反映一個國家的經濟增長和資源消耗。(錯)
24、邯鄲目前還不是河北省的循環經濟試點城市。(錯)
25、冀南新區的兩港是指在冀南新區北部協調區內??“內陸港”。(對)
26、邯鄲的產品結構可概括為:資源型、初加工、出小力、賺大錢。(錯)
27、邯鄲市未來發展的目標是建設宜居宜業宜游的富強邯鄲、美麗邯鄲。(對)
28、邯鄲市積極推進鋼鐵企業減量整合重組的??穩步整合重組。(對)
29、經濟發展進入新常態,是我國經濟發展階段??自然規律作用的客觀體現。(對)30、邯鄲是環境優越、宜居宜業的城市,先后榮獲中國最具創新績效城市??等稱號。(對)
《世界戰略形勢及國家安全環境》答案(98分)
一、單選
1、以下對中國周邊安全環境??不恰當的(周邊大國多,且均擁有核武器??)
2、當今世界的戰略形勢可以概括為(一超主導,多強制衡)
3、世界戰略形勢??中國的解決對策不恰當的是(依靠國際社會的幫助與支持)
4、世界戰略形勢的主要特點??()為代表??軍事技術革命。(計算機技術和通信技術)
5、世界主要國家把(軍事力量)作為國家綜合國力的支柱。
6、從內部看,中國國家安全面臨的挑戰主要表現在(中國社會進入了矛盾凸顯期)
7、現階段中國國家安全面臨的外部威脅不包括(長時間地維持國內政治穩定較困難)
8、世界主要戰略力量競爭的主要目標是(爭奪國際規則的制定權)
9、針對目前世界戰略形勢??我國的應對策略是(加快經濟發展,維護國家安全)
10、中國國家面臨著軍事上同??以下對我國的相關描述正確的是(保衛海上交通線安全的能力不足)
二、多選
11、經濟全球化的趨勢??所帶來的影響有(促進科學技術的傳播和普及)(使國際剝削合法化)
12、武器裝備是保衛國家安全的重要工具??發展應注意(全選)
13、奧巴馬執政期間,值得中國關注的問題有(不選文化上我方已被美方“綁架”)
14、當今國際關系日益復雜化,美國??制定了一系列的對華戰略(不選文化上幫助)
15、經濟全球化的發展對中國產生的負面影響是(政治上面臨巨大壓力和軍事上面臨現實挑戰。這兩要選,另兩個不清楚)
16、中國國家安全面臨的機遇包括(不選面臨現實的戰爭威脅)
17、中國現階段所處的安全環境??,其中不利的因素是(不選與周邊國家的睦鄰友好關系空前發展)
18、當今世界戰略形勢的主要特點是(全選)
19、進入新世紀以來,為了??應努力做到(全選)20、在世界戰略形勢??中國相應的對美戰略是(全選)
三、判斷
21、政治多元化指的是??(對)
22、美國正在加速??反華包圍圈(對)
23、經濟全球化的??使各個連勝之間內政??(對)
24、目前我國領導體制和指揮??與現代戰爭的需求相適應(錯)
25、目前,其他大國和世界集團&??上對美國的主導地位構成制衡(對)
26、從世界戰略形式的長遠角度看,中美關系中的對抗因素將明顯上升(對)
27、進入新世紀以來,全球軍事革命趨向于軍事信息化戰爭(對)
28、從長遠角度看,中美關系中的對抗因素將明顯上升(對)
29、美國雖然受到金融危機的影響??同時??主要力量(對)30、經濟全球化和政治多元化的發展??建立了公平發展的新秩序。(錯)
《中國霧霾污染與防治對策》答案(87分)
單選題1-10 1.煤源性污染造成的大氣污染物是(二氧化硫)。
2.由于我國大城市的燃煤數量不斷減少,燃油和天然氣的情況增多,導致我國大城市霧霾向(-VOCS-)型發展。
3.顆粒物污染指標TSP是指(總懸浮顆粒)。
4.我國執行的世界衛生組織大氣環境質量初級標準是控制(PM2.5)的濃度。5.1952年倫敦煙霧事件期間非正常死亡率增高的主要原因是(硫酸物污染)。6.(20世紀80年代)開始氮氧化物排放量迅速增多,環境質量迅速下降。7.我國從什么時候開始控制大氣污染,關注環境保護(1970年前后)。8.PM2.5日均值達到75ug/m3是(中國二級標準)的顆粒物標準。9.下列各項大氣污染物中,控制難度最大的是(PM2.5)。
10.在我國大多數城市中,至今大氣污染物嚴重超標的是(PM2.5)。多選題11-20 11.制定大氣PM空氣質量標準難度極大的原因是(PM2.5化學組成隨時間變化、PM2.5化學組成不同環境影響不一樣)。
12.關于PM2.5的說法,正確的是(不選我國已找到-----)。
13.《中國環境報》發表的關于PM2.5源解析的主要來源是(不選燃煤)。
14.1982年我國第一次制定空氣質量標準時,就顆粒物而言制定了(PM10、TSP)的質量標準。
15.下列關于顆粒物標準的說法,正確的是(全選)。
16.下列各項中,對我國霧霾污染的防治措施正確的是(選制定------、控制--------)。17.中國霧霾的主要類型包括(不選—SOX—)。
18.改革開放以來,我國大氣污染物主要包括(B.二氧化碳C.二氧化氮D.二氧化硫)。
19.下列各項中,關于2013年北京霧霾事件和1952年倫敦煙霧事件的說法,正確的是(兩個北京低于)。
20.2013年6月李克強主持召開國務院常務會議時,部署大氣污染防治的措施包括(ABCD)。判斷題:
21.北京霧霾細微顆粒物污染會誘發慢性疾病的產生。(對)22.大氣污染中,大顆粒污染物容易控制,細微顆粒很難治理。(對)23.天津市的霧霾類型和北京市的霧霾類型不同,有很大的差異。(對)24.世界上只有中國遭遇霧霾污染。(錯)
25.從1990年到2012年我國PM2.5減少的幅度比SO2減少的幅度小得多。(錯)26.中國PM2.5控制比西方國家滯后了15年。(對)
27.霧霾污染與二氧化硫污染相比,霧霾污染更具有復雜性。(對)28.一次源顆粒物粒徑越小控制越困難。(對)
29.北京城區2013年1月霧霾期間,大氣中二氧化硫濃度高于氮氧化物濃度。(錯)
30.我國大城市對于大氣污染的治理,首先控制二氧化硫的污染,其次是氮氧化物的污染。(對)
《關于中國事業單位改革的理論思考》答案(83分)
一、單選題:
1、人類歷史上有市場組織、? 志愿性和公益
2、事業單位人事制度改革是事業? 轉換用人機制和搞活用人制度
3、中國事業單位人事制度? 大力推進聘用制度
4、事業單位改革實行合同管理? 人才中心
5、第三部門在中國包括 事業單位、社會團體和民辦非企業單位
6、競爭上崗的程序為 個人申請-競爭演講-擇優上崗-動態聘用
7、中國社保養老金改革要求實行 中央-地方-企業-個人
8、事業單位,特指沒有生產收,由 國家經費
9、事業單位按性質類別分類,可劃分為 行政執法類、生產經營類和社會公益類
10、十屆人大三次會議強調要把財力? 公共管理和公益服務
二、多選題
11、事業單位改革的分流措施包括 全選
12、中國事業單位面臨的問題有:政事不分 管理偏死 機制不活
13、事業單位按財政支持力度分類,可劃分為 自收自支 全額撥款 差額撥款
14、對事業單位改革的分類指導方針表述正確的是 對其他類型事業單位,實行符合其 對轉制為企業 對行使行政
15、事業單位的特征是 非政府 非營利 非企業
16、競爭上崗的公開內容包括 全選
17、中國事業單位具有的功能體現在 為緩解 是我國物質 是我國人才
18、我國事業單位改革的基本內容是 全選
19、在國際上事業單位的類似稱謂有 第三部門 非營利組織 公共服務部門 20、中國事業單位改革面臨的障礙是 全選
三、判斷題
21、事業單位進行改革,為確保?正確
22、現代社會第三部門發展程度如何,?正確
23、以盈利為目標的企業,?錯誤
24、事業單位的主要職能是提供教育、?正確
25、事業單位改革的分流方針是外部?正確
26、事業單位改革強調公開招聘,要求?錯誤
27、事業單位改革就是減錢、?錯誤
28、事業單位的范圍涉及教育類、?正確
29、事業單位招聘必須在?錯誤
30、由于技術進步,人類正邁入一個?錯誤
第二篇:信息安全策略
信息安全策略
是一個有效的信息安全項目的基礎。從信息安全領域中發生的事件來看,信息安全策略的核心地位變得越來越明顯。例如,沒有安全策略,系統管理員將不能安全的安裝防火墻。策略規定了所允許的訪問控制、協議以及怎樣記錄與安全有關的事件。盡管信息安全策略是廉價的實施控制方式,但它們也是最難實施的。策略花費的僅僅是創建、批準、交流所用的時間和精力,以及員工把策略整合形成日常行為規范所用的時間和精力。即使是雇傭外部顧問來輔助制定策略,與其它控制方法(特別是技術控制)相比,其花費也是較小的。策略的制定需要達成下述目標:減少風險,遵從法律和規則,確保組織運作的連續性、信息完整性和機密性。
信息安全策略應主要依靠組織所處理和使用的信息特性推動制定。組織為高層主管、董事會成員、戰略伙伴以及員工提供了內部信息系統,對信息系統中信息特性的理解,能為策略制定提供有用的依據。應當重視對信息系統了解深刻的員工,所提出的組織當前信息的主要特性,具體包括:什么信息是敏感的、什么信息是有價值的以及什么信息是關鍵的。
在制定一整套信息安全策略時,應當參考一份近期的風險評估或信息審計,以便清楚了解組織當前的信息安全需求。對曾出現的安全事件的總結,也是一份有價值的資料。也需要召開相關人員會議,比如首席信息官、物理安全主管、信息安全主管、內部審計主管和人力資源主管等。
為了確定哪些部分需要進一步注意,應收集組織當前所有相關的策略文件,例如計算機操作策略、應用系統開發策略、人力資源策略、物理安全策略。也可以參考國際標準、行業標準來獲得指導。
資料收集階段的工作非常重要,很多時候因為工作量和實施難度被簡化操作。資料收集不全,調研不夠充分會導致新建的信息安全策略無法與組織的真正需求一致。也無法確保策略中的要求與管理目標相一致。如果提出一套與組織文化明顯不一致的策略,更是一件很尷尬的事情。
在制定策略之前,對現狀進行徹底調研的另一個作用是要弄清楚內部信息系統體系結構。信息安全策略應當與已有的信息系統結構相一致,并對其完全支持。這一點不是針對信息安全體系結構,而是針對信息系統體系結構。信息安全策略一般在信息系統體系結構確立以后制定,以保障信息安全體系實施、運行。例如,互聯網訪問控制策略可使安全體系結構具體化,也有利于選擇和實施恰當的防火墻產品。
收集完上面所提到的材料后,也就是調研階段完成后,開始根據前期的調研資料制定信息安全策略文檔初稿。初稿完成后,應當尋找直接相關人員對其進行小范圍的評審。對反饋意見進行修改后,逐漸的擴大評審的范圍。當所有的支持部門做出修改后,交由信息安全管理委員會評審。
信息安全策略的制定過程有很高的政策性和個性,反復的評審過程能夠讓策略更加清晰、簡潔,更容易落地,為此在評審的過程中需要調動參與積極性,而不是抵觸。
評審過程的最后一步一般由總經理、總裁、首席執行官簽名。在人員合同中應當表明能予遵守并且這是繼續雇傭的條件。也應當發放到內部服務器、網頁以及一些宣傳版面上的顯眼位置,并附有高層管理者的簽名,以表明信息安全策略文檔
得到高層領導強有力的支持。如果讓首席執行官簽名不現實,由首席信息官簽名也可以。要注意僅有信息安全部門主管或同級的部門主管簽名,一般不足以表明高層管理者的同意和支持。雖然獲得高層管理者的同意很難實施,但經驗表明,高層的支持對策略的實施落地是非常重要的。
一般來說,在信息安全策略文件評審過程中,會得到組織內部各方多次評審和修訂,其中最為重要的是信息安全管理委員會。信息安全委員會一般由信息部門人員組成,參與者一般包括以下部門的成員:信息安全、內部審計、物理安全、信息系統、人力資源、法律、財政和會計部。這樣一個委員會本質上是監督信息安全部門的工作,負責篩選提煉已提交的策略,以便在整個組織內更好的實施落地。如果組織內還沒有信息安全管理委員會,在制定信息安全策略的時候正是建立管理委員會的好時機,或由組織內已存在的同職能部門擔任職責。
雖然制定了新的安全策略,還必須有一個適當的實施過程,如果這些策略不能得到實施,將起不到任何作用,不能得到執行的策略,可能比完全沒有策略更糟糕,因為這樣會教會員工作假和質疑組織內部執行力,這也可能麻痹管理者認為信息安全為題已經處理雖然現實是另外一回事。
管理層常以為員工行為當然以組織利益為重,這是一個欠考慮的想法。雖然策略不可能影響員工的個人價值觀,但管理層可以運用策略給員工提供機會,引導他們和組織的利益一致。策略告訴員工組織對他們的期望是什么。
新策略發布前,應在內部信息技術部門或審計部門內討論如果具體實施。新策略的執行可能會遇到多樣化的問題。可以通過績效評估和相應獎懲制度來保證策略的執行有效性。發現和懲罰違反策略的員工并不是目的。如果大量的人都不遵守,這就表明策略和相關的意識提升是無效的。在此情形下,需要尋找更有效的方式實施,或修改策略,以便更好的反映組織文化。
另有一些策略實施的建議:
在組織內部網站或一些媒體發布策略—新策略應發布在組織內部網站上,加入相關鏈接讓用戶能很快定位感興趣的材料。
制定自我評估調查表—在新的策略實施時,制定評估表,填寫實施情況,就能明確哪些部門沒有遵守好、哪些地方需要額外加強控制。
制定遵守信息安全策略的員工協議表——應當編輯一個反映員工該如何遵守信息安全策略的法律協議表,或直接體現在員工合同中。
建立考察機制檢查員工是否理解策略——調查員工是否理解安全策略文檔中的重點。通過考試確定是否要增加培訓和通告。
基礎信息安全培訓課程——培訓課程通過錄像或培訓軟件存檔。不同策略對象可能要不同的培訓課程。
分配策略落實負責人——按部門或實際情況分配負責人,落實責任。
第三篇:稅務系統信息安全策略
論文編號:6G21112101
稅務系統信息安全策略
劉宏斌 李懷永
內容題要:
隨著稅收信息化程度不斷提高,稅收工作對信息系統的依賴性不斷增大,稅務信息安全顯得更加重要。本文主要通過分析稅務信息化的網絡安全的重要性和內部網網絡信息存在的安全問題來提出稅務信息化的網絡安全實施方案。
關鍵詞:稅務信息化、信息安全、安全策略
計算機軟硬件技術的發展和互聯網技術的普及,為電子稅務的發展奠定了基礎。尤其是國家金稅工程的建設和應用,使稅務部門在遏止騙稅和稅款流失上取得了顯著成效。電子稅務可以最大限度地確保國家的稅收收入,但卻面臨著系統安全性的難題。雖然我國稅務信息化建設自開始金稅工程以來,取得了長足進步,極大提高了稅務工作效率和質量。但稅務系統本身也暴露出了一系列要改進的問題,各種應用軟件自成體系、重復開發、信息集中程度低。隨著信息化水平的不斷提高,基于信息網絡及計算機的犯罪事件也日益增加。稅務系統所面臨的信息網絡安全威脅不容忽視。建立稅務管理信息化網絡安全體系,要求人們必須提高對網絡安全重要性的認識,增強防范意識,加強網絡安全管理,采取先進有效的技術防范措施。本文主要通過分析稅務信息化的網絡安全威脅和內部網網絡信息管理的安全策略和技術來提出稅務信息化的網絡安全實施方案。
一、稅務機關信息安全的重要性
稅收是國家財政收入的重要途徑,相關的稅務系統業務要求其具有準確性、公證性和完整性的特點,隨著稅收信息化程度不斷提高,稅收工作對信息系統的依賴性不斷增大,稅務信息安全顯得更加重要。稅務信息系統已經覆蓋到全國鄉鎮,點多面廣,信息安全防范難度加大,稅務機關信息系統安全基礎條件不足、管理力量薄弱,成為稅務信息安全的重點和難點。因此保證稅務信息系統的安全性意義重大。稅務系統作為電子政務系統的一部分,屬國家基礎信息建設,其基本特點是:網絡地域廣、信息系統服務對象復雜;稅務信息具有數據集中、安全性要求高;應用系統的種類較多,網絡系統安全設備數量大,種類多,管理難度大。稅務系統是一個及其龐大復雜的系統,從業務上有國稅、地稅之分,從地域來說通過總局、省局、市局數據中心的三層數據分布和總局、省局、市局及縣/區級、分局/所五層網絡管理結構。網絡結點眾多、網絡設備和網絡出口不計其數、操作系統種類繁多、應用系統五花八門、網絡機構極其復雜。面對如此復雜的系統,其內部安全隱患隨處可見,經過不斷的研究和探索,目前已經積累了大量解決稅務系統信息基礎設施安全的方法和經驗,形成一整套稅務系統的安全保障方法,相關安全保障的體系也在不斷完善和發展中。
二、稅務系統內部網存在的安全問題
稅務信息化的網絡為計算機內部網,內部網是獨立于其他任何網絡的獨立網絡,這里所謂的獨立是指的物理上的獨立,因此保證保密內部網的網絡與信息安全也具有特有的要求。稅務內網安全的問題主要表現為:
1、物理地域廣。內網設備地理位置分散,內網用戶水平參差不齊,承載業務不同,安全需求各異,從而決定了內網安全建設的復雜性和多元性;
2、網絡邊界的擴大。遠程撥號用戶、移動辦公用戶、VPN 用戶、分支機構、合作伙伴、供應商、無線局域網等等已經大大地擴展了網絡的邊界,使得邊界保護更加困難;稅務分局、稅務所等分支機構的局域網與上級稅務骨干網的連接,無論采用ADSL、XDSL寬帶,還是采用DDN、SDH專線,基本沒有路由安全和防止入侵的技術措施。
3、病毒/蠕蟲/特洛伊木馬。病毒蠕蟲大規模泛濫、新的蠕蟲不斷出現,給內網用戶帶來損失,以及網絡出現病毒、蠕蟲攻擊等安全問題后,不能做到及時地阻斷、隔離;一般是以尋找后門、竊取密碼和重要文件為主,還可以對電腦進行跟蹤監視、控制、查看、修改資料等操作,具有很強的隱蔽性、突發性和攻擊性。由于具有很強的隱蔽性,用戶往往是在自己的密碼被盜、機密文件丟失的情況下才知道自己中了木馬。部分內部網絡終端缺少有效的安全防護,業務資料和私人信息混存,不設開機口令,沒有讀寫控制,業務系統登錄口令簡單且長期不變,移動存儲設備不按規定使用,病毒和垃圾信息充斥。
4、身份欺騙。內網安全防范措施相對脆弱,不能有效抵御來自內外部的入侵和攻擊的問題,安全策略不能得到及時地分發和執行,最終導致安全策略形同虛設;主要方式有:IP欺騙、ARP欺騙、DNS 欺騙、Web欺騙、電子郵件欺騙、源路由欺騙(通過指定路由,以假冒身份與其他主機進行合法通信或發送假報文,使受攻擊主機出現錯誤動作)、地址欺騙(包括偽造源地址和偽造中間站點)等。
5、內網非法主機外聯。非法主機的接入、內部網非法通過 Modem、無線網卡非法外聯等的安全防范不足從而引入安全風險。有的終端在內部網和互聯網之間來回換用,一些只應在內部網上運行的操作系統、應用軟件和業務數據沒有與互聯網實行“隔離”,存在潛在風險。
6、缺乏上網行為管理監控。缺乏對內網用戶行為(收發郵件,Web 頁面訪問,文件上傳下載等等)進行監控的手段,導致組織機密信息和隱私泄漏。內部網上設備和信息共享范圍廣,信息發布和公開比較隨意,不少重要或敏感信息只有發布沒有管理,缺少防止惡意攻擊信息系統和竊取保密信息的技術手段和措施。內外網間的安全解決方案和選購的設備等,不少沒有經過權威部門的檢測和認定,系統運行中缺少嚴格的跟蹤監控,存在安全隱患。
7、其他安全威脅緩沖區溢出。緩沖區溢出是指當計算機程序向緩沖區內填充的數據位數超過了緩沖區本身的容量。溢出的數據覆蓋在合法數據上,一小部分數據或者一套指令的溢出就可能導致一個程序或者操作系統崩潰。
三、稅務信息化的網絡安全實施方案
1、做好信息安全風險評估
為確保稅務信息資產的安全,應定期組織業務、技術和管理等專業人員進行信息安全風險評估,制定科學的安全預算。
信息安全評估應著重于以下問題:
(1)確定可能對信息資產造成危害的威脅,包括計算機病毒、黑客和自然災害等。
(2)通過歷史資料和專家的經驗確定威脅實施的可能性。(3)對可能受到威脅影響的信息資產確定其價值、敏感性和嚴重性,以及相應的級別,確定所有信息資產的重要程度。
(4)對最重要的、最敏感的信息資產,確定一旦威脅發生其潛在的損失或破壞。
(5)準確了解網絡和系統的安全現狀。(6)明晰網絡和系統的安全需求。(7)確定網絡和系統的安全策略。(8)制定網絡和系統的安全解決方案。
(9)向上級提交安全保障體系建設的意見和建議。
(10)通過項目實施和培訓,培養自己的安全技術骨干及隊伍。
2、加強信息安全管理
信息安全“三分技術,七分管理”,安全管理是信息安全的核心,建立健全安全管理制度是安全管理的關鍵。規范化的安全管理,能夠最大限度地遏制或避免各種危害,是保障計算機信息安全的最重要環節。
(1)建立健全信息安全管理組織,明確領導體制和工作機制。(2)建立健全信息安全管理制度, 落實安全防范責任制。(3)廣泛開展計算機信息安全宣傳,提高全員信息安全意識,建立信息安全培訓機制,組織開展多層次、多方位的信息安全培訓,提高全員信息安全防范技能。
(4)開展經常性的安全檢查,切實整改安全隱患,不斷改進信息安全管理工作。
(5)科學評定信息系統及信息資產的重要級別,確定信息安全工作重點,制定近、中、遠期信息安全工作規劃。
3、完善信息安全技術手段
信息安全離不開安全技術的實施和安全技術防范體系的建立。基層單位要以協助和配合總局、省局統一的信息安全體系建設為主,自主建設為輔,且以內網和內部的防范為重點。
(1)病毒防范:建立嚴密的、全方位的、統一的網絡病毒防范系統,實行統一的殺毒組件分發、維護、更新和報警等,重點防控網絡終端、移動存儲設備的病毒入侵和傳染。
(2)身份鑒別與訪問控制:嚴格設定所有應用系統用戶的崗位和權限,改變傳統的用戶名加口令的辦法,使用基于密碼技術、生物統計技術等新型的、可靠的電子身份鑒別技術,把好進入系統的第一道關卡,防止非授權用戶進入各級信息系統。
(3)安全審計:對網絡的Web瀏覽、Web發布、郵件、即時通信、FTP和遠程登錄等行為進行全面審計,對重要數據庫的訪問對象、訪問時間、訪問類型和訪問內容進行嚴密跟蹤,及時掌握整個網絡動態,發現網絡入侵和違規行為,記錄網上一切行為,為安全事件的處置和查證提供全面依據和確鑿證據。
(4)入侵檢測:對內部網中主要的網段進行實時入侵監測,動態地監測網絡內部活動并做出及時的響應,及時發現網上攻擊行為并作出得當的處置。
(5)信息加密:對重要信息資料、數據進行加密存儲和傳輸,防止重要信息被篡改、偽造、竊取和泄漏。
稅務機關要立足實際,切實解決好人員、資金、技術問題,把信息安全管理工作放在應有位置,逐步實現信息安全的規范化、制度化管理,不斷建立和完善信息安全技術防范體系,為稅收征管信息化提供有力的安全保障。
結束語
解決信息系統的安全不是一個獨立的項目問題,安全策略包括各種安全方案、法律法規、規章制度、技術標準、管理規范等,是整個信息系統安全建設的依據。現有的安全保障體系一般基于深度防御技術框架,若能進一步利用現代信息處理技術中的人工智能技術、嵌入式技術、主動技術、實時技術等,將形成更加完善的信息安全管理體系。稅務信息安全直接關系到稅收信息化建設的成敗,必須引起稅務機關和每一位稅務人的重視。科學技術的發展不一定能對任何事物的本質和現象都產生影響,技術只有與先進的管理思想、管理體制相結合,才能產生巨大的效益。
參考文獻:
(1)戴宗坤,羅萬伯等.信息系統安全[M].電子工業出版社,2002.(2)黃章勇.信息安全概論.2005年第1版.出版社:北京郵電大學出版社, 2005:7-58(3)孫銳,王純.信息安全原理及應用.2003年7月第1版.清華大學出版社,2003:17-21(4)王聰生.信息與網絡安全中的若干問題.電力信息化[J],2004(7).(5)白巖, 甄真, 倫志軍, 周芮.計算機網絡信息管理及其安全.現代情報[J],2006,8(8).(6)王純斌.淺議計算機網絡信息安全管理.哈爾濱市委黨校學報[J],2006(9).(7)趙月霞.信息網絡安全設計與應用.寧夏電力[J],2004(1).(8)陳月波.網絡信息安全[M].武漢:武漢理工大學出版社,2005.(9)鐘樂海,王朝斌,李艷梅.網絡安全技術[M].北京:電子工業出版社,2003.(10)張千里.網絡安全基礎與應用[M].北京:人民郵電出版社,2007.(11)吳金龍,蔡燦輝,王晉隆.網絡安全[M].北京:高等教育出版社,2004.(12)熊心志.計算機網絡信息安全初探.計算機科學.2006, 33卷.B12 期:60-62(13)網絡信息安全及防范技術分析.中國科技信息.2006,16期:149-151
(作者單位:盤錦市大洼縣國稅局)
第四篇:信息安全策略綱要
信息安全策略綱要
1范圍
信息系統是技術密集的大型復雜的網絡化人機系統,其面臨的安全問題非常突出。為了保障海南電網信息通信分公司(以下簡稱“公司”)信息系統的安全可靠運行,依據《信息系統安全等級保護基本要求》等相關標準法規制定本策略綱要。本綱要適用于公司信息系統。總體目標
總體目標:保護公司信息系統的硬件、軟件、業務信息和數據、通信網絡設備等資源的安全,有效防范各類安全事故,合法合規發展各類信息系統,確保為社會提供高效穩定的電力服務。規范性引用文件
下列文件中的條款通過本標準的引用而成為本標準的條款。凡注明日期的引用文件,其隨后所有的修改單或修訂版均不適用于本標準(不包括勘誤、通知單),然而,鼓勵根據本標準達成協議的各方研究是否可使用這些文件的最新版本。凡未注日期的引用文件,其最新版本適用于本標準
《信息安全技術 信息系統安全保障評估框架》(GB/T 20274.1-2006)《信息安全技術 信息系統安全管理要求》(GB/T 20269-2006)
《信息安全技術 信息系統安全等級保護基本要求》(GBT 22239-2008)本標準未涉及的管理內容,參照國家、電力行業、南方電網公司的有關標準和規定執行。總體方針
4.1組織與體制
構筑確保信息安全所必需的組織與體制,明確其責任與權限。
4.2 遵守法令法規
遵守與信息安全有關的法令法規,制定并遵守按基本方針所制定的信息安全相關的規定。
4.3信息資產的分類與管理
按照重要級別信息資產進行分類,并妥善管理。
4.4培訓與教育
為使相關人員全面了解信息安全的重要性,適當開展針對性培訓與教育教育活動。使他們充分認識信息安全的重要性以及掌握正確的管理方法。
4.5物理性保護
為避免非法入侵、干擾及破壞信息資產等事故的發生,對其保管場所與保管辦法加以明確。
4.6技術性保護
為切實保護信息資產不受來自外部的非法入侵,對信息系統的登錄方法、使用限制、網絡管理等采取適當的措施。
4.7運用
為確保基本方針的實際成效,在對遵守情況進行監督的同時,對違反基本方針時的處置辦法及針對來自外部的非法入侵等緊急事態采取的應對措施等加以規定。
4.8評價及復審
隨著社會環境的變化、技術的進步等,應定期對基本方針與運用方式進行評價與復審安全策略
5.1安全管理制度
在信息安全中,最活躍的因素是人,對人的管理包括法律、法規與政策的約束、安全指南的幫助、安全意識的提高、安全技能的培訓、人力資源管理措施以及企業文化的熏陶,這些功能的實現都是以完備的安全管理政策和制度為前提。安全管理制度包括信息安全工作的總體方針、策略、規范各種安全管理活動的管理制度以及管理人員或操作人員日常操作的操作規程。
安全管理制度重點關注管理制度、制定和發布、評審和修訂三方面。
目的是根據系統的安全等級,依照國家相關法律法規及政策標準,建立信息安全的各項管理規范和技術標準,規范基礎設施建設、系統和網絡平臺建設、應用系統開發、運行管理等重要環節,奠定信息安全的基礎。
5.2安全管理機構
建立組織管理體系是為了建立自上而下的信息安全工作管理體系,確定安全管理組織機構的職責,統籌規劃、專家決策,以推動信息安全工作的開展。
公司成立信息安全領導小組,是信息安全的最高決策機構,負責研究重大事件,落實方針政策,制定實施策略和原則,開展安全普及教育等。下設辦公室負責信息安全領導小組的日常事務。
信息安全領導小組下設兩個工作組:信息安全工作組、應急處理工作組。組長均由公司負責人擔任。
5.3人員安全管理
通過建立安全崗位責任制,最大限度降低人為失誤所造成的風險。人是決定性因素,人員安全管理的原則是:職責分離、有限授權、相互制約、任期審計。
人員安全管理的要素包括:安全管理人員配備、信息系統關鍵崗位、人員錄用、人員離崗、人員考核與審查、第三方人員管理等。
信息安全人員的配備和變更情況,應向上一級單位報告、備案。
信息安全人員調離崗位,必須嚴格辦理調離手續,承諾其調離后的保密義務。涉及公司業務核心技術的信息安全人員調離單位,必須進行離崗審計,并在規定的脫密期后,方可調離。
5.4系統建設管理
信息系統的安全管理貫穿系統的整個生命周期,系統建設管理主要關注的是生命周期中的前三個階段(初始、采購、實施)中各項安全管理活動。
系統建設管理分別從工程實施建設前、建設過程以及建設完畢交付等三方面考慮,具體包括系統定級、安全方案設計、產品采購和使用、自行軟件開發、外包軟件開發、工程實施、測試驗收、系統交付、系統備案、等級測評和安全服務商選擇十一個控制點。
5.5系統運維管理
目的是保障信息系統日常運行的安全穩定,對運行環境、技術支持、操作使用、病毒防范、備份措施、文檔建立等全方位管理。包括用戶管理、運行操作管理、運行維護管理、外包服務管理、有關安全機制保障、安全管理控制平臺等方面的管理要素。
對運行過程的任何變化,數據、軟件、物理設置等,都應實施技術監控和管理手段以確保其完整性,防止信息非法復制、篡改,任何查詢和變更操作需經過授權和合法性驗證。
應急管理也是運維的重要內容,目的是分析信息系統可能出現的緊急事件或災難,建立一整套應急措施,以保障核心業務的快速恢復和持續穩定運行。應急計劃包括應急處理和災難恢復策略、應急計劃、應急計劃的實施保障等管理要素。
在海南省電網公司統一的應急規劃下,針對信息系統面臨的各種應急場景編制相應的應急預案,并經過測試演練修訂,同時宣傳普及。
5.6物理安全
目的是保護計算機設備、設施(含網絡)以及信息系統免遭自然災害和其他形式的破壞,保證信息系統的實體安全。
有關物理環境的選址和設計應遵照相關標準,配備防火、防水、防雷擊、防靜電、防鼠害等機房措施,維持系統不間斷運行能力,確保信息系統運行的安全可靠。
對重要安全設備的選擇,需符合國家相關標準規范,相關證書齊全。
嚴格確定設備的合法使用人,建立詳細運行日志和維護記錄。
5.7網絡安全
目的是有效防范網絡體系的安全風險,為業務應用系統提供安全、可靠、穩定的網絡管理和技術平臺。
對于依賴網絡架構安全的業務應用系統,需根據其安全級別,實施相應的訪問控制、身份認證、審計等安全服務機制;在網絡邊界處,需根據資源的保護等級,實施相應安全級別的防火墻、認證、審計、動態檢測等技術,防范信息資源的非法訪問、篡改和破壞。
5.8主機安全
主機安全包括服務器、終端/工作站等在內的計算機設備在操作系統及數據庫系統層面的安全。終端/工作站是帶外設的臺式機與筆記本計算機,服務器則包括應用程序、網絡、web、文件與通信等服務器。主機承載著各種應用,是保護信息安全的中堅力量。
主機安全需著重關注和加強身份鑒別、訪問控制、惡意代碼防范、安全審計、入侵防范幾個方面,同時定期或不定期的進行安全評估(含滲透性測試)和加固,實時確保主機的健壯性。
5.9應用安全
應用安全成是信息系統整體防御的最后一道防線,目的是保障業務應用系統開發過程及最終產品的安全性。
在應用層面運行著信息系統的基于網絡的應用以及特定業務應用。基于網絡的應用是形成其他應用的基礎,是基本的應用;業務應用采納基本應用的功能以滿足特定業務的要求;故最終是保護系統的各種業務應用程序的安全運行。
應用系統的總體需求計劃階段,應全面評估系統的安全風險,確定系統的訪問控制、身份認證、審計跟蹤等安全需求;總體架構設計階段,應實施安全需求設計,確立安全服務機制、開發人員技術要求和操作規程;應用系統的實現階段,應全程實施質量控制,防止程序后門,減少代碼漏洞;在上線運行之前,應充分進行局部功能、整體功能、壓力測試,以及系統安全性能、操作流程、應急方案的測試。5.10數據安全及備份恢復
信息系統處理的各種數據(用戶數據、系統數據、業務數據等)在維持系統正常運行上起著至關重要的作用。由于信息系統的各個層面(網絡、主機、應用等)都對各類數據進行傳輸、存儲和處理等,因此,對數據的保護需要物理環境、網絡、數據庫和操作系統、應用程序等提供支持。
數據備份也是防止數據被破壞后無法恢復的重要手段,而硬件備份等更是保證系統可用的重要內容。附 則
? 本標準由海南電網公司信息通信分公司負責解釋。
? 本標準自頒布之日起實行。
第五篇:企業網絡信息安全策略
企業網絡信息安全策略
隨著計算機技術和網絡的快速發展,網絡管理也越來越受到人們的重視,企業的發展更離不開網絡,但是網絡的質量又直接影響著企業的信息安全管理,因此,企業需要制定一種網絡和數據安全策略,提高網絡管理員的信息掌控能力,為了把企業網絡管理做到安全合理,翔羚科技給廣大企業做出以下幾點建議。
評估企業網絡完整性
評估網絡的完整性。“了解自己 IT 基礎架構的起點和終點,但仍有為數眾多的企業不清楚其網絡的整體性。還要了解自己的?正常狀態?是什么,這樣能夠便于你快速確定問題并作出響應。”重新評估您的可接受使用策略和商業行為準則。“拋棄那種冗長的安全政策清單的做法,只將焦點放在那些您知道自己必須實施且能夠實施的政策上。”
做好企業內部人員數據管理
確定必須保護哪些數據。“如果不知道必須保護企業內部的哪些信息,您就無法構建有效的 DLP 計劃。您還必須確定企業內部哪些人有權訪問這些信息,以及必須采用什么方式。”了解數據所在位置,目前采用什么方式進行保護(以及是否正進行保護)。“確定哪些第三方有權存儲您公司的數據(從云服務提供商到電郵營銷企業),確保您的信息正得到適當的保護。合規要求,以及當前網絡犯罪領域?牽一發而動全身?的發展趨勢都表明,企業絕對不能假設自己的數據是安全的,即便是這些我要走了,今天就早!你給我的工資太高了我受不起啊,我每天都遲到自己感到十分的內疚,不過每天都是我來最早的!合同我已經撕了,你的那份我也幫你偷偷的撕了。我不會怪你的老板,要怪就怪那個寶寶,她怎么就在貴州了呢?我決定了去貴州了解我的下半輩子了!還有你把工資打我卡上吧。信息掌握在可信任的人手里。”
合理采用監控
采用出口監控。“這是一項基本要求,但是很多企業都不夠重視,出口監控是一種監控重心的轉變,而不是僅側重于阻止?壞人?進來。您應該監控那些由內向外發送的內容,包括發送者是誰、發往何處,并攔截那些不允許外泄的內容。”準備迎接必然到來的 BYOD。“企業不要再去想何時轉變到 BYOD 模式,而是要開始思考如何轉變。”
做好企業應變決策
制定事件響應計劃。“IT 方面的風險應該像任何其他業務風險一樣對待。這意味著企業需要預先制定明確的計劃,以便對任何類型的安全事件迅速作出適當的反應,無論這些事件屬于有針對性攻擊所造成的數據泄露、員工疏忽導致的違規還是黑客行動主義事件。”實施安全措施幫助彌補對社交網絡控制的不足。“不要低估技術控制的強大力量,比如用于抵御網絡威脅的入侵防御系統。聲譽過濾系統也是一種用于檢測可疑活動和內容的基本工具。”監控風險形勢的動態變化,及時向用戶通報。“企業及其安全團隊需要對范圍更廣的風險來源保持警惕,包括移動設備、云和社交網絡,以及未來新技術可能伴隨的任何威脅。他們應該采用雙管齊下的方法:對安全漏洞泄露作出反應,同時主動教育員工如何保護自身和企業抵御持久、嚴重的網絡威脅。”
點擊咨詢 