第一篇:專業人士解析西電信息安全為何全國第一
專業人士解析西電信息安全為何全國第一
1、作為信息安全的主干學科,密碼學西電亞洲第一。
1959年,受錢學森指示,西安電子科技大學在全國率先開展密碼學研究,1988年,西電第一個獲準設立密碼學碩士點,1993年獲準設立密碼學博士點,是全國首批兩個密碼學博士點之一,也是唯一的軍外博士點,1997年開始設有長江學者特聘教授崗位,并成為國家211重點建設學科。2001年,在密碼學基礎上建立了信息安全專業,是全國首批開設此專業的高校。
2、西電密碼學天才輩出,人才濟濟。
在中國密碼學會的24個理事中,西電占據了12個,且2個副理事長都是西電畢業的,中國在國際密碼學會唯一一個會員也出自西電。毫不夸張地說,西電已成為中國培養密碼學和信息安全人才的圣地。
以下簡單列舉部分西電信安畢業生:
來學嘉,國際密碼學會委員,IDEA分組密碼算法設計者; 陳立東,美國標準局研究員; 龔光,加拿大滑鐵盧大學終身教授; 丁存生,香港科技大學副教授; 邢超平,新加坡NTU教授;
張煥國,武漢大學教授,中國密碼學會常務理事; 何大可,西南交通大學教授,中國密碼學會副理事長;
馮登國,中國科學院信息安全國家實驗室主任,中國密碼學會副理事長; 何良生,中國人民解放軍總參謀部首席密碼專家; 葉季青,中國人民解放軍密鑰管理中心主任;
魏仕民,2003年獲百篇優秀博士論文提名,中國密碼學會理事 ……
3、西電擁有中國在信息安全領域的三位領袖。
肖國鎮老師是我國現代密碼學研究的主要開拓者之一,他提出的關于組合函數的統計獨立性概念,以及進一步提出的組合函數相關免疫性的頻譜特征化定理,被國際上通稱為肖—Massey定理,成為密碼學研究的基本工具之一,開拓了流密碼研究的新領域;他是亞洲密碼學會執行委員會委員,中國密碼學會副理事長,還是國際信息安全雜志(IJIS)編委會顧問;
他指導培養的研究生,有些已成為密碼學領域國際知名學者,如來學嘉、丁存生等,有些在黨、政、軍各部門發揮著骨干作用,如劉福運、何良生、馮登國等。
王育民教授1959年畢業于西安電子科技大學,現任中國電子學會和中國通信學會會士、中國密碼學會理事、中國電子學會信息論學會委員、中國自然基金研究會委員、IEEE會員。全國高等學校通信和信息工程專業教學指導委員會主任。在差錯控制、多用戶編碼、T CM、密碼學和語音加密等方面有深入研究,主持國家自然基金、保密通信發展基金、軍事電子預研基金、八五軍事通信裝備研制等多項科研工作,其中“混合AR Q體制性能分析” 1983年獲電子部科技成果特等獎,“戰術電臺中的語音加密” 1992年獲電子部科技進步特等獎。
王新梅教授1960年畢業于中國人民解放軍軍事電訊工程學。現為中國電子學會和中國通信學會會士,中國電子學會信息論專業委員、中國通信學會通信理論專業會員和中國計算機學會多值邏輯與模糊專業委員會委員,國防科技大學兼職教授,西安電子科技大學博士導師。研究方向:主要從事通信、糾錯碼和密碼的研究。
4、西電的信息安全排名連續7年全國第一。
(下面以2010年排名為例)
學位代碼及名稱
整體排名
學術隊伍
科學研究
人才培養
學術聲譽
排名 得分 排名 得分 排名 得分 排名 得分 排名 得分
10701 西安電子科技大學
92.44 12 77.7 1 100 83.14 1 100 10003 清華大學
91.56 7 86.59 3 86.74 1 100
92.83 10013 北京郵電大學
88.65 1 100
82.89 2 84.84 2 93.72 90002 國防科學技術大學
86.5 2 94.58 2 86.83 3 83.87
83.81 10286 武漢大學
83.16 8 85.99 9 76.93 5 80.03 93.31 10004 上海交通大學
81.07 3 94.04 10 76.81 8 77.93 12 82.4 10007 北京理工大學
80.62 5 88.14 7 79.25 9 75.96 11 82.69 10614 電子科技大學
80.04 9 78.55 12 74.97 7 78.12 5 89.97 10213 哈爾濱工業大學
79.44 6 87.01 6 80.07 68.96 7 84.48 10006 北京航空航天大學 78.29 18 70.34 4 85.18 10 71.56 14 80.17 10248
北京交通大學
78.09 4 90.99 14 73.88 11 71.24 83.06
5、西電的信息安全方向最有前途。
眾所周知,信息安全專業分通信和計算機兩個方向,在國內頂級高校中,西電、北郵、哈工大主要從事通信方面的研究,而清華、國防科大、上交、武大主要從事計算機方面的研究。在計算機安全中,網絡安全占了70%左右的比重。然而,國內計算機方向的研究主要集
中在物理表現為有線的層次,對無線網絡互聯的涉及微乎其微。事實上,無線網絡已經成為未來世界計算機與網絡發展的趨勢,美國最新計劃表示要在2015年之前實現全美網絡無線化,據可靠消息稱2011年中國也將會把三網融合、下一代互聯網納入十二五規劃。而無線網絡在很大程度上上已經屬于通信的范疇,預計在信息與通信系統方面擁有雄厚實力的西電將會借此時機謀求更大發展。
第二篇:電城鎮爵西小學安全工作總結報
電城鎮爵西小學
2011-2012學第二學期安全工作總結
一年以來,我校對安全工作長抓不懈,始終貫徹“以人為本、安全第一”的思想,居安思危,警鐘長鳴。為了學校的安全,今年以來,我校認真貫徹縣教育局及上級教育行政部門的各項要求,將創建平安校園列為學校的頭等大事,與學校德育工作緊密結合,堅持以防為主,積極開展各類安全知識培訓、教育活動,落實各項防衛措施,使創安工作得到全面、深入、有效地開展。同時,我校認真執行縣教育局的文件精神,認真組織開展“校園安全督查工作”。現將我校開展安全工作情況匯報如下:
一、安全工作宗旨
在學校安全工作中,我校始終以“以防為主、以人為本、安全第一”思想為宗旨,好不松弛地把安全工作抓實抓牢。為進一步做好學校安全生產工作,切實加強對學校安全工作的領導,學校把安全工作列入重要議事日程,我校不但建立了安全工作預案、事故處理應急預案,同時成立了學
校安全工作督查小組。
二、開展督查情況
1、我校對安全隱患先進行自檢自查,內容和項目包括:校舍、圍墻、廁所、電線等都進行了檢查。通過此次排查得出,我校對學生大力渲染安全防范意識,通過出黑板報、集隊會等方式教育學生無論是在校內還是校園外,都應該注意安全隱患問題,安全教育內容有:
(1)、注意安全用火,強調學生不能帶火柴或火機隨身上學;
(2)、小學生不能騎摩托車和單車上學;(3)、防火、防震及用電安全知識的宣傳和教育;(4)、防毒(含防食物、農藥、煤氣中毒)安全的宣傳和教育;(5)、防交通事故安全的宣傳和教育;(6)、防溺水安全的宣傳和教育;(7)、防樓道擠壓事故知識的宣傳和教育;(8)、防不良行為的心理健康的宣傳和教育;(9)、防動物傷害的宣傳和教育;(10)、防各種流行性傳染病的知識教肓。(11)和學生家長簽定安全協議書。
(12)給學生制定安全守則。
(13)加強學校節假日的安全守校工作,杜決發生安全隱患。
三、對學校安全工作的努力方向
為使學校安全工作繼續得到加強,創建和諧校園、平安校園,在學校安全工作中,我校將繼續努力做到:
1、“看好自己的門,管好自己的人”,嚴禁社會閑雜人員進入校園,以確保學校正常的教學秩序。
2、堅持以防為主,防治結合,“人防”和“技防”并舉的原則,作好節假日值班安排和記錄。以確保學校的財產安全,防患于未然。
3、重視學校安全教育,采取講座、參觀、觀看電影錄像、演練、主題活動、出版墻報、廣播宣傳等多種形式開展對師生安全知識教育和培訓提高他們的安全意識,增強處理突發事件的能力。
4、消防安全是學校安全工作中不可忽視的一個重要環節,學校將嚴格遵照《消防安全管理制度》,根據上級有關部門的要求,對學校重點部門的消防安全堅持“以防為主。以消為輔”的消防工作方針,做到技術規范、監督執行、經常檢查、依法管理。
5、學校安全教育工作領導小組成員定期布置自查安全工作,實行安全工作自查制度,各完小要認真仔細地檢查并做好記錄,發現問題要及時報告、整改,排除不安全隱患,防止事故發生,確保學校師生人身安全和公共財產不受侵害,確保全年無死亡事故或重大傷害事故發生。
學校將繼續做好全體師生的政治思想工作,努力為師生辦實事,及時化解各種矛盾,穩定教師隊伍,增強全體師生參與社會治安綜合治理的意識,維護學校的正常秩序和良好的教學環境,使學校安全工作更上一個新臺階。
第三篇:全國大學生信息安全大賽情況簡介
全國大學生信息安全競賽簡介
2011年第四屆全國大學生信息安全競賽,由教育部高教司和工信部信息安全協調司指導,由教育部高等學校信息安全類專業教學指導委員會主辦,由國防科學技術大學承辦。
全國大學生信息安全競賽(以下簡稱競賽)是一項全國性大學生科技活動,目的在于宣傳信息安全知識;培養大學生的創新精神、團隊合作意識;擴大大學生的科學視野,提高大學生的創新設計能力、綜合設計能力和信息安全意識;促進高等學校信息安全專業課程體系、教學內容和方法的改革;吸引廣大大學生踴躍參加課外科技活動,為培養、選拔、推薦優秀信息安全專業人才創造條件。
競賽自2008年起,每年舉行一屆,每屆歷時四個月,分初賽和決賽。2008年的全國大學生信息安全競賽,由成都電子科技大學主辦,有來自全國54所高校的258支隊伍報名參加大賽,最終有73件作品入選決賽,10件作品獲一等獎,12件作品獲二等獎。
2009年的全國大學生信息安全競賽,由北京郵電大學主辦,成都信息工程學院和北京交通大學協辦,有來自全國85所高校的572支隊伍報名參加大賽,最終有108件作品入選決賽,12件作品獲一等獎,24件作品獲二等獎,48件作品獲三等獎,31件作品獲得優勝獎。
2010年第三屆全國大學生信息安全競賽由哈爾濱工業大學承辦,由哈爾濱工程大學協辦,共有來自全國幾十所高校的514支隊伍報名參賽。進入初賽482支隊伍,最終有110支競賽隊進入決賽。其中,12件作品獲一等獎,25件作品獲二等獎,50件作品獲三等獎,23件作品獲得優勝獎。
2011年全國大學生信息安全競賽將在湖南省長沙市國防科技大學舉行。
第四篇:信息安全管理制度----個人桌面終端管理辦法解析
附件4:
XXXX 個人桌面終端管理辦法(試 行)1.總則
1.1 為了加強XX公司個人桌面終端的安全使用,保證個人桌面終端操作系統、周邊硬件、通信設備、應用系統的安全使用,切實防范和降低因桌面終端使用不當,對信息系統或數據的訪問而帶來的安全風險,制定本辦法。
1.2 本辦法適用于公司本部及所屬各單位辦公環境的所有個人桌面終端管理。1.3 公司范圍內個人桌面終端設備自購入起直至報廢前的使用過程,應按本辦法相關規定進行管理。
1.4 個人桌面終端定義:接入公司及所屬各單位網絡的用于辦公的各類計算機及所屬設備。2 職責
2.1 公司各部門各單位對本部門本單位名下的個人桌面終端設備負有管理責任,各級信息化管理職能部門對本辦法負有執行監督的責任,應保證設備的安全合理使用。按照“誰使用,誰負責”的原則,使用人對配臵給個人的桌面終端負有保管和安 — 17 —
全使用的責任,其所保管桌面終端設備,正確操作使用。
2.2 各部門各單位負責組織使用人參加相應知識培訓,以掌握個人終端設備的使用方法和了解相關管理規范。
2.3 任何使用人在未經他人許可的情況下,不能使用他人或其它未經授權的個人桌面終端設備,也不得將所使用的個人桌面終端設備任意轉借他人。
2.4 確因工作需要,使用人可以允許非公司人員在受監控的情況下操作其負責的個人桌面終端設備,但該使用人應承擔使用過程中的全部責任。
2.5 個人桌面終端設備接入公司的辦公網絡前,由使用人根據工作需要提出增加終端的申請,并經使用單位(部門)審批后通過桌面系統需求變更單報送相關部門批準后方可接入。
第三方用戶終端接入公司的辦公網絡按照《第三方人員管理辦法》執行。
2.6 使用人在個人桌面終端設備使用過程中,有責任及時通過故障報修方式(電話或網絡)向相關部門上報使用過程中發生的故障、錯誤和各類安全事件,并應當協助維護人員工作。
2.7通信相關部門負有利用各種技術管理手段對所轄個人桌面終端設備進行管理的職責,將定期或不定期的組織針對個人桌面終端設備相關軟硬件配臵和使用情
況的檢查。相關部門負有對使用人訪問互聯網的行為進行監控,并對違規行為進行 — 18 — 通報的責任。個人桌面終端硬件管理
3.1 保持良好的計算機使用辦公環境。
3.2 使用人離開座位,應鎖閉計算機屏幕,下班后,應關閉計算機。
3.3 使用人應妥善保養自己使用個人桌面終端設備,包括鍵盤、鼠標等,保持計算機設備清潔。不得私自拆卸、改裝個人桌面終端及其相關設備。3.4 個人桌面終端設備的使用管理
3.4.1 新購入的終端設備必須經過固定資產管理責任部門登記、編號、貼標簽卡后,才能交使用部門或使用者領用;各部門領用的個人桌面終端設備應有專人登記管理,定期清查,避免流失。
3.4.2 部門或使用人應對桌面終端設備妥善保管,防止盜竊及硬件損壞等情況的發生。若發生失竊,應及時向保衛部門報告。
3.4.3 使用人不得將公司的個人桌面終端設備接入不安全的網絡環境中。3.5 便攜機使用管理
3.5.1 各部門配備使用的便攜機僅供生產及辦公使用,不得挪作私用。— 19 —
3.5.2 便攜機應加入密碼管理。
3.5.3 便攜機失竊,使用人應書面報告所在部門并向各單位資產管理部門進行備案。
3.6 個人桌面終端設備因使用時間較長或嚴重損壞而無法修復及超過固定資產使用年限需要報廢的,由使用部門提出申請并按相關報廢流程辦理,對已批準報廢的個人桌面終端設備應在信通中心進行數據清理后交由資產管理部門處理,使用部門無權自行處理。
3.7 不得私自將公司所屬的個人桌面終端設備帶出,如有特殊需要,必須由設備使用部門主管書面授權后方可進行。4 個人桌面終端軟件管理
4.1 個人桌面終端設備上安裝、運行的軟件都必須為正版軟件,未經授權的軟件不得在個人桌面終端設備上安裝、運行,在個人桌面上使用盜版軟件帶來的安全責任、法律責任由個人承擔。
4.2 由公司購買的商業軟件安裝和使用必須遵從國家相關的法律并與軟件供應商簽署合同,任何個人未經許可不得將該軟件復制或安裝、使用于個人或其他非公司業務需要的領域。
4.3 不得在個人桌面終端設備上安裝與工作無關的軟件。不得使用計算機玩電子游戲和聽音樂。
4.4 不得在個人桌面終端設備上使用黑客、系統破解、端口 — 20 —
掃描或口令破解等軟件。不得使用個人桌面終端制造和散布各種惡意電腦程序,包括電腦病毒、電腦木馬程序、電腦蠕蟲程序等。不得使用個人桌面終端執行網絡或主機掃描、網絡監聽、網絡拒絕服務攻擊。不得擅自監控網絡流量,不得針對網絡上的設備和系統運行安全測試工具和軟件。5 個人桌面終端數據管理
5.1 個人桌面終端設備的安全保密規范依據公司《計算機信息系統安全和保密管理辦法》等相關規定執行。
5.2 使用人有責任保護所接觸到的含有公司相關的密級文檔、敏感資料(包括第三方數據)的文件、數據介質、系統文檔等信息資產,任何部門或個人,未經授權和許可,不得通過個人桌面終端設備調用、收集、存儲、傳送、打印或復制這些信息。
5.3 不得使用互聯網(電話、傳真、未安裝加密設備的電腦網絡)傳遞敏感信息資料。
5.4 使用人應將一切含有敏感信息的移動介質保存在安全可靠的地方。當相關介質使用完成之后,應將其中不再需要的敏感信息刪除。需要帶離辦公區域的含有敏感信息的介質應經過各單位管理部門授權。
5.5 在拷貝、打印敏感信息或資料時,使用人應在拷貝、打印完畢后及時從相關外設中移除這些資料。
5.6 在個人桌面終端設備送修、回收、更換或轉給其他人使用之前,所有包含公司保密的、受限的、敏感信息的,必須先進行備份,然后刪除并格式化。5.7 已作廢的介質、打印資料,由各部門負責處理。
5.8 所有與工作有關的電子文件存放在本地的硬盤內,重要的數據應定期自動采用U盤、光盤、移動硬盤等介質進行異地存儲備份,應確保異地存儲場所符合安全要求。終端內部網絡使用管理
6.1 所有個人桌面終端的網絡地址由網絡管理員統一管理,任何人不得私借、盜用、偽造其他計算機的網絡地址。
6.2 應避免在個人桌面終端設備上使用無限制的文件共享,避免信息泄露,因工作需要共享文件的要設口令并及時取消共享。6.3 不得私自安裝非規定的網絡協議。
6.4 禁止在網絡上未得到許可的情況下使用別人的身份。
6.5 未經網絡管理員授權,不要在網絡上架設網絡設備,如交換機,路由器,無線設備等,不得私自在局域網中搭建子網,或使用代理服務器軟件供他人使用。
6.6 接入局域網后,不能擅自使用調制解調器(Modem)、ADSL、無線上網卡等設備將個人桌面終端設備與外部網絡連接。
6.7 遠程接入辦公系統的,應采取公司提供的VPN網關安全措施。7 終端互聯網訪問和使用
7.1 使用人訪問互聯網應自覺遵守《中華人民共和國國家安全法》、《中華人民共和國保守國家秘密法》、《計算機信息系統國際聯網保密管理規定》、《中華人民共和國計算機信息網絡國際聯網管理暫行規定》、《維護互聯網安全的決定》等有關法律法規,如有違反應由本人獨立承擔一切責任。7.2 xxxx等未經批準的計算機禁止接入互聯網。
7.3 有互聯網訪問權限的使用人必須規范自己的互聯網訪問行為,遵守道德上和法律上的規范。嚴禁在互聯網上做與工作無關的事情;嚴禁利用公司的終端設備訪問含有暴力、色情、反動及其它含有有害內容的網站;不得使用個人桌面終端傳播和散布破壞社會秩序的文章或政治性評論。
7.4 禁止運行與工作無關占用大量帶寬的應用程序,如網絡視頻/音頻點播、大量文件的下載等。
7.5 不得從網站下載、安裝、運行任何來源不明的軟件,使用人下載、安裝和使用第三方的程序必須不違反公司的軟件版權規定。
7.6 不得在個人桌面終端中,私自設立WWW、FTP、BBS、NEWS、Online Chat、文件或打印共享等互聯網服務。— 23 — 8 病毒和攻擊防范
8.1 使用人必須確保其使用的終端設備上安裝了公司統一的防病毒軟件,并開啟windows自帶的防火墻軟件。防病毒軟件可在統一信息平臺上獲取和安裝。8.2 使用人不得擅自更改和刪除其所用操作系統和應用軟件的安全設臵和防病毒軟件、防火墻軟件的設臵。應在系統或技術人員的提示和幫助下,確保操作系統、應用軟件、防病毒軟件、防火墻軟件等完成最新安全更新。
8.3 對于以下的情況,使用人必須通過防殺病毒系統進行掃描,確認安全后才可以使用:
8.3.1 通過互聯網下載文件和應用程序;
8.3.2 在共享網絡上傳輸下載的數據和應用程序;
8.3.3 拷貝光盤及其他移動存儲設備上的數據和應用程序。8.3.4 通過電子郵件等方式收到的文件。
8.4 使用人應確保病毒防護軟件定期地自動進行系統掃描,并確保掃描完成,不得中止該定期掃描。
8.5 應關注公司關于安全補丁和病毒的統一信息平臺公告,個人桌面終端使用人應及時按照公告和通知的指示安裝廠商正式發布的各種補丁程序,使用人應確保防病毒軟件能及時完成病毒特征庫的更新。
8.6 如果防病毒、防火墻軟件的正常運行無法完成,應及時 — 24 — 撥打通信中心故障報修電話以獲得技術支持服務。
8.7 使用人一旦發現終端出現可能由病毒或攻擊導致的異常系統行為或系統安全問題,應立即停止一切操作,切斷網絡連接,并立即撥打相關部門故障報修電話以獲得支持。9 口令和密碼管理
9.1 所有個人桌面終端,必須設定開機帳號口令和屏保密碼,賬號口令的設臵必須符合下列要求,應避免使用弱口令。9.1.1 用戶口令長度不得低于8位。9.1.2 口令須由數字、字母組成。9.1.3 口令應至少每90天進行更新。
9.1.4 賬號使用者在首次登錄系統時應立即修改賬號口令。
9.1.5 避免使用與個人有關數據(如生日、身份證字號、單位簡稱、電話號碼、同事名字等)當做口令。
9.1.6 盡量避免使用一些常用的單詞(如常用術語,計算機術語,硬件軟件術語)作為口令。
9.1.7 屏保密碼自動啟動時間應設臵為小于3分鐘。
9.2 口令在系統中保存或傳輸時,必須采取安全措施以保證賬號的安全性,例如對口令進行加密等.除非可以安全保管,否則不得將口令記錄在紙張等一切可視介質上。
9.3 賬號、口令等用于身份識別的工具僅限于所屬的使用人使用,任何個人不得擅自與他人共用,或者隨意傳播。不應將 — 25 —
口令告訴任何人,包括系統管理員。不得私下互相轉讓、借用個人賬號、操作員IC卡。一旦有跡象表明口令可能被泄露,用戶必須立即修改口令。10 個人桌面終端安全使用
10.1 個人桌面終端在無人使用時,使用人應將其設臵于未登錄狀態避免非法訪問的發生;若長時間不使用,應將其電源關閉。
10.2 未經許可,不得隨意使用他人的桌面終端設備。10.3 使用人使用個人桌面終端,必須按照統一的命名規則命名主機名;命令規則必須包含部門、辦公室編號、序號,未經許可,不得更改主機名。
10.4 不得隨意使用沒有經過查殺病毒的外來軟盤、U盤和移動硬盤。11 個人桌面終端安全檢查
11.1 相關部門負責對個人終端的安全使用情況進行定期檢查,對違反本管理辦法中安全的個人終端,按照以下方式進行處理:
11.1.1 第一次違規:相關部門以郵件和電話通知違規者糾正;違規員工應在5個工作日內完成整改。
11.1.2 第二次違規(1年內):相關部門以郵件通知違規者糾正,并抄報其部門領導;違規員工應在5個工作日內完成整 — 26 — 改,并郵件回復其部門領導整改結果(附截圖)。
11.1.3 三次及以上違規(1年內):三次及以上違規屬于嚴重違規行為,相關部門定期(每季)以書面文件的形式上報給各級安全監察部,并抄送違規者部門領導;各級安全監察部向違規者所在部門下達整改通知書責令在5個工作日內完成整改(若5日內無法整改完成,則需另行確定),并接受安全監察部的檢查,檢查方式可選擇以下三種方式之一: 1)反饋整改結果;
2)委托相關部門進行現場檢查; 3)現場抽樣檢查。
11.2 對刻意不執行本安全管理制度、漠視計算機安全工作和存在安全隱患而沒有及時整改的,以至造成重大安全事故和事件的,各級安全監察部將追究部門主要負責人和直接責任者的責任,涉嫌犯罪的,移送國家司法機關處理。12 附則
12.1 本辦法未盡事宜,按照公司相關文件和國家現行法律、法規執行。12.2 本辦法解釋和修改權由XX負責。12.3 本辦法由頒布之日起施行。13 附錄
13.1 附錄A(規范性附錄)終端設備接入網絡、故障處理工作流程 — 28 —
附錄A:終端設備接入網絡、故障處理工作流程:
流程步驟說明 客戶申請
客戶可以通過兩種方式進行申請: 第一是撥打相關部門電話,申請受理內容。第二是登錄網站按照服務說明申請。座席核實
客戶申請業務單成功后,相關部門或人員需要仔細審查核實客戶的信息和申請內容。業務派工
相關部門將客戶的具體申請業務單派工到業務處理部門的相應職能工作組,由工作組人員接受到派工單。業務銷單
工作人員打印工單后到現場工作,工作完成后進行銷單。業務回訪
業務處理流程中最后的閉環步驟,通過客戶回訪確定業務處理情況,由客戶評定處理人員對是否處理完和處理的滿意度,如果不滿意要重新處理。— 30 —
第五篇:信息安全技術關鍵信息基礎設施安全保障指標體系-全國信息安全
國家標準《信息安全技術 關鍵信息基礎設施安全保障評價指標體系》
編制說明
1.工作簡況 1.1.任務來源
根據國家標準化管理委員會2017年下達的國家標準制修訂計劃,國家標準《信息安全技術 關鍵信息基礎設施安全保障評價指標體系》由大唐電信科技產業集團(電信科學技術研究院)主辦。
關鍵信息基礎設正常運轉,關系國家安全、經濟發展、社會穩定,隨著關鍵信息基礎設施逐漸向網絡化、泛在化、智能化發展,網絡安全成為關鍵信息基礎設施的重要目標。世界主要國家和地區高度重視,陸續出臺了相關戰略、規劃、立法以及實施方案等,加大對關鍵信息基礎設施的保護力度。近年來,隨著我國網絡強國戰略的深化和實施,國家關鍵信息基礎設施在國民經濟和社會發展中的基礎性、重要性、保障性、戰略性地位日益突出,構建國家關鍵信息基礎設施安全保障體系已迫在眉睫,是當前一項全局性、戰略性任務。
2016年4月19日,總書記在網絡安全和信息化工作座談會上指出,“金融、能源、電力、通信、交通等領域的關鍵信息基礎設施是經濟社會運行的神經中樞,是網絡安全的重中之重,也是可能遭到重點攻擊的目標。我們必須深入研究,采取有效措施,切實做好國家關鍵信息基礎設施安全防護。” 2016年8月12日,中央網絡安全和信息化領導小組辦公室、國家質量監督檢驗檢疫總局、國家標準化管理委員會聯合印發《關于加強國家網絡安全標準化工作的若干意見》(中網辦發文〔2016〕5號),要求“按照深化標準化工作改革方案要求,整合精簡強制性標準,在國家關鍵信息基礎設施保護、涉密網絡等領域制定強制性國家標準。”2016年11月7日,全國人民代表大會常務委員會發布《中華人民共和國網絡安全法》,明確指出“保護關鍵信息基礎設施免受攻擊、侵入、干擾和破壞,依法懲治網絡違法犯罪活動,維護網絡空間安全和秩序”。2016年12月15日,國務院印發《“十三五”國家信息化規劃》(國發〔2016〕73號),明確提出要構建關鍵信息基礎設施安全保障體系。2016年12月27日,國家互聯網信息辦公室發布《國家網絡空間安全戰略》,要求“建立實施關鍵信息基礎設施保護制度,從管理、技術、人才、資金等方面加大投入,依法綜合施策,切實加強關鍵信息基礎設施安全防護。”2017年7月10日,國家互聯網信息辦公室就《關鍵信息基礎設施安全保護條例(征求意見稿)》公開征集意見。
目前國外主要國家對關鍵信息基礎設施的保護起步較早,已出臺關鍵信息基礎設施的相關戰略、規劃、法律、標準、技術、監管等等一系列舉措,大力加強關鍵信息基礎設施安全建設,不斷提升網絡安全保障能力。對于我國而言,一方面,我國在引進外國先進技術、加快產業更新換代的同時,部分關鍵核心技術和設備受制于他國,存在系統受控、信息泄露發 1
現滯后等隱患,也給關鍵信息基礎設施各領域帶來許多安全隱患問題。另一方面,我國關鍵信息基礎設施保護工作起步較晚、發展較慢,缺乏針對性、指導性的標準體系,無法適應新形勢下的國際網絡安全環境。本標準的制定主要為關鍵信息基礎設施的政府管理部門提供態勢判斷和決策支持,為關鍵信息基礎設施的管理部門及運營單位的信息安全管理工作提供支持和方法參考。1.2.編制目的
本標準主要解決關鍵信息基礎設施網絡安全的評價問題。本標準主要用于:評價我國關鍵信息基礎設施安全保障的現狀,包括建設情況、運行情況以及所面臨的威脅等;為政府管理層的關鍵信息基礎設施態勢判斷和宏觀決策提供支持;為各關鍵信息基礎設施運營單位及管理部門的信息安全保障工作提供參考。1.3.主要工作過程 1、2014年,項目組完成網絡安全保障評價指標體系階段性研究報告。主要針對以下三個問題進行了深入研究:研究國外特別是美國、歐盟、聯合國等國家、地區和國際組織在網絡安全保障評價指標研究方面的資料,總結網絡安全保障評價的相關方法、指標、規定和標準;研究新形勢、新技術條件下我國網絡安全保障工作面臨的挑戰,分析我國網絡安全保障工作的新需求,對我國與網絡安全保障評價有關的法規、制度、標準進行梳理和總結;在理論研究和實踐調研的基礎上,研究提出我國網絡安全保障評價指標體系和評價方法。2、2014年12月-2015年6月,項目組趕赴電力、民航、電信、中國銀行等相關行業(企業)進行調研。3、2015年1月-2015年7月,項目組根據項目要求開展了研討會,針對調研結果中各行業在網絡安全評價中的成功經驗和出現的問題進行總結。4、2015年1月-2015年9月,項目組與關鍵信息設施保護等進行工作對接。5、2015年1月-2015年7月,項目組進行了廣泛研討,并咨詢了專家意見:2015年1月,對研究提出的網絡安全保障評價指標體系的初步框架,召開專家咨詢會,聽取了崔書昆、李守鵬等專家的意見;2015年6月,召開專家會,聽取了中國電信基于大數據的網絡安全態勢評價工作的介紹;2015年7月,召開專家會聽取了關于民航、電信、互聯網領域安全指標體系的研究現狀,與會專家對網絡安全保障評價指標體系課題提出意見建議。6、2015年8月-2015年9月,與2015年網絡安全檢查工作、關鍵信息基礎保護工作進行對接。7、2016年1月-2016年2月,與網絡安全檢查工作進行對接,采用指標體系對相關檢查結果進行了統計測算,并撰寫評價報告。8、2016年4月-2016年8月,針對指標體系在網絡安全檢查工作中的成功經驗和出現的問題進行總結,進一步更新了指標體系。9、2016年9月-2017年2月,與關鍵信息設施檢查辦進行對接,對指標體系的實際應
用進行了深入討論。10、2017年3月,項目組在草案初稿的基礎上,召開行業專家會,形成草案修正稿。11、2017年4月,在全國信息安全標準化技術委員會2017年第一次工作組會議周上,項目組申請國家標準制定項目立項。12、2017年6月,“信息安全技術 關鍵信息基礎設施安全保障指標體系”標準制定項目正式立項。13、2017年7月,項目組召開專家咨詢會,聽取了李守鵬、魏軍、閔京華、韓正平、張立武等專家的意見。14、2017年7月,在全國信息安全標準化技術委員會WG7第二次全體會議上,項目組廣泛聽取專家意見,形成征求意見稿。1.4.承擔單位
起草單位:大唐電信科技產業集團(電信科學技術研究院)
協作單位:國家信息中心、北京奇安信科技有限公司、北京國舜科技股份有限公司、北京匡恩網絡科技有限責任公司、北京天融信科技有限公司等。
本部分主要起草人:韓曉露 呂欣 李陽 畢鈺 郭曉蕭等。2.編制原則和主要內容 2.1.編制原則
為保證所建立的“關鍵信息基礎設施安全保障評價指標體系”有一個客觀、統一的基礎,在評價指標體系的設計及指標的選取過程中,主要遵循以下原則:
1、綜合性原則
關鍵信息基礎設施安全保障評價指標體系建設是通過從整體和全局上把握我國關鍵信息基礎設施安全保障體系的建設效果、運行狀況和整體態勢,形成多維的、動態的、綜合的關鍵信息基礎設施安全保障評價指標體系。因此,標準設計的首要原則是綜合性。
2、科學適用性原則
關鍵信息基礎設施安全保障評價指標體系必須是在符合我國國情、充分認識關鍵信息基礎設施安全保障評價指標體系的科學基礎之上建立的。按照國家信息安全保障體系總目標的設計原則,把關鍵信息基礎實施安全各構成要素作為一個有機整體來考慮。指標體系必須符合理論上的完備性、科學性和正確性,即指標概念必須具有明確完整的科學內涵。
適用性原則,就是指標體系應該能夠在時空上覆蓋我國關鍵信息基礎設施安全保障評價的各個層面,滿足系統在完整性和全面性方面的客觀要求。尤其是必須考慮由于經濟、地區等原因造成的各機構間發展狀況的差異,盡量做到不對基礎數據的收集工作造成困擾。這一原則的關鍵在于,最精簡的指標體系全面反映關鍵信息基礎設施安全保障的整體水平。
3、導向性原則
評價的目的不是單純評出名次及優劣的程度,更重要的是引導和鼓勵被評價對象向正確 的方向和目標發展,要引導我國關鍵信息基礎設施安全的健康發展。
4、可操作性強原則
可操作性強直接關系到指標體系的落實與實施,包括數據的易獲取性(具有一定的現實統計基礎,所選的指標變量必須在現實生活中是可以測量得到的或可通過科學方法聚合生成的)、可靠性(通過規范數據的來源、標準等保證數據的可靠與可信)、易處理性(數據便于統計分析處理)以及結果的可用性(便于實際操作,能夠服務于我國涉密信息系統安全評價的)等方面。
5、定性定量結合原則
在眾多指標中,有些因素是反映最終效果的定性指標,有些是能夠通過項目運行過程得到實際數據的定量指標。對于評價最終效果而言,指標體系中這兩方面的因素都不可或缺。但為了使指標體系具有高度的操作性,必須在選取定性指標時,舍棄部分與實施效果關系不大的非關鍵因素,并且盡量將關鍵的定性指標融合到對權重分配的影響中去。該指標設計的定性定量結合原則就是將定性分析反映在權重上,定量分析反映在指標數據上。
6、可比性原則
可比性是衡量關鍵信息基礎設施安全保障評價指標體系的實際效果的客觀標準,是方案權威性的重要標志。關鍵信息基礎設施安全保障評價指標應該既可以橫向對比不同機構信息安全保障水平的差異、又能夠縱向反映國家及各地區關鍵信息基礎設施安全保障的歷史進程和發展趨勢。這一原則主要體現在對各級指標的定義、量化和加權等方面。2.2.主要內容
本標準概述了本標準各部分通用的基礎性概念,給出了關鍵信息基礎設施安全保障指標體系設計的指標框架和評價方法。本標準主要用于:評價我國關鍵信息基礎設施安全保障的現狀,包括建設情況、運行情況以及所面臨的威脅等;為政府管理層的關鍵信息基礎設施態勢判斷和宏觀決策提供支持;為各關鍵信息基礎設施運營單位及管理部門的信息安全保障工作提供參考。本標準主要框架如下:
前言 引言 1 范圍 規范性引用文件 3 術語和定義 4 指標體系 5 指標釋義
附錄A(規范性附錄)指標測量過程 參考文獻
本標準主要貢獻如下:
1、明確了標準的目標讀者及其可能感興趣的內容
指出標準主要由三個相互關聯的部分組成:第1部分包括1-3節,描述了本標準的范圍和所使用的術語與定義,對關鍵信息基礎設施、關鍵信息基礎設施安全保障、關鍵信息基礎設施安全保障評價等概念進行了闡釋;第2部分為第4節,詳細描述了關鍵信息基礎設施安全保障指標體系的體系框架和指標;第3部分包括第5節和附錄A,給出了關鍵信息基礎設施安全保障指標體系各具體指標的衡量標準和量化方法,為體系的可操作性提供了保證。
2、給出了關鍵信息基礎設施的概念
關鍵信息基礎設施是指關系國家安全、國計民生,一旦數據泄露、遭到破壞或者喪失功能可能嚴重危害國家安全、公共利益的信息設施。
《中華人民共和國網絡安全法》規定:國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施,在網絡安全等級保護制度的基礎上,實行重點保護。關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定。
《國家網絡空間安全戰略》規定:國家關鍵信息基礎設施是指關系國家安全、國計民生,一旦數據泄露、遭到破壞或者喪失功能可能嚴重危害國家安全、公共利益的信息設施,包括但不限于提供公共通信、廣播電視傳輸等服務的基礎信息網絡,能源、金融、交通、教育、科研、水利、工業制造、醫療衛生、社會保障、公用事業等領域和國家機關的重要信息系統,重要互聯網應用系統等。
3、指出關鍵信息基礎設施安全保障評價圍繞三個維度進行
關鍵信息基礎設施安全保障評價圍繞三個維度進行,即建設情況、運行能力和安全態勢,并依據關鍵信息基礎設施安全保障對象和內容進行分析和分解,一級指標包括戰略保障指標、管理保障指標、安全防護指標、安全監測指標、應急處置指標、信息對抗指標、威脅指標、隱患指標、事件指標。
4、給出了指標測量的一般過程
關鍵信息基礎設施安全保障指標測量的一般過程描述了指標如何依據測量對象的相關屬性設立基本測度,應用相應的測量方法得出測量值,并通過分析模型將測量值折算成指標值,最終應用于保障指標體系。關鍵信息基礎設施安全保障指標評價測量過程通過定性或定量的方式將測量對象進行量化以實現評價測量對象的目的。3.其他事項說明
a.在關鍵信息基礎設施安全保障指標指標的體系建設和測量過程方面,試圖使所提出的指標體系與測量過程具有一定的通用性,以便于指標體系的推廣和擴展;
b.考慮到指標設計方面應用的可擴展性,在體系建設和測量過程之中,指標體系可以根據實際評價對象的特性做出相應的指標調整,以完善指標體系并得出合理公正的評價。
《信息安全技術 關鍵信息基礎設施安全保障指標體系》標準編寫組
2017年8月
點擊咨詢 