第一篇:信息安全保障體系在漸進中成熟
信息安全保障體系在漸進中成熟
--------本刊專訪陳曉樺博士
轉載時間:2011-06-10
從2003年中央頒發的第27號文件《國家信息化領導小組關于加強信息安全保障工作的意見》開始算起,至今已逾七載。俗語常說“7年之癢”,7年的時間往 往意味著曾經的一腔熱血在經歷了瓶頸之后,漸漸忘記初衷,變得麻木。那么中國信息安全這7年在經歷了翻天覆地的變化之后,是否依然堅定當初的決心和發展信 念呢?最初設定的那些目標和任務,完成情況如何?下一步工作如何開展?當前我國信息安全形勢又是怎樣?
2011年新年伊始,帶著對中國信息安全領域這一路走來的種種困惑,記者采訪到了中國信息安全認證中心副主任陳曉樺博士。他不僅是我國信息安全保障體系 逐步形成的見證人,更是一直奮戰其中的建設者。在采訪中,陳博士既談到了國家信息安全保障工作取得的成績,也談到了對工作中有關問題的反思。他對我國信息 安全形勢發展的思考,有更多源自產業現實的感悟,雖然這次采訪內容覆蓋面有限,但正是從他所探究的這些細節上,業內人士可以見微知著,得到啟發。
用他本人的話來講,信息安全工作涉及面非常廣,從政策法規建設到政府指引、從戰略規劃到實施方案,從產業規模到技術專利、從標準制定到人才培養,方方面面都需要加以總結,汲取經驗和教訓,作為我國十二五甚至更長遠工作規劃的出發點。
認證工作成績斐然
陳曉樺博士告訴記者,建立并完善信息安全認證認可制度,是建設我國信息安全保障體系工作當中的一項重要任務。幾年來,在國家相關部門的堅強領導和大力支 持下,這項制度的建立取得了突破性進展。信息安全產品認證制度的建設雖然遇到了重重阻力,但信息安全認證中心還是克服了重重困難,積極配合相關領導部門,應對國外的種種質疑與不合理要求,為制度的實施做了大量的技術性支撐工作。2009年4月底,根據國內外形勢的發展,國家對該項制度的實施范圍作了調整,即調整到了在政府采購法所規定的范圍,首先對13類信息安全產品強制要求認證,并把實施的時間推遲了一年。2010年5月前,財政部、工信部、質檢總局和 認監委聯合發布了財庫48號文件《關于信息安全產品實施政府采購的通知》,這標志著國家信息安全產品認證制度終于在經歷曲折和反復后順利實施和運行。
記者了解到,截止到2010年11月30日,信息安全認證中心共頒發國家信息安全產品認證證書158張,國家強制性產品(無線局域網產品)認證證書105張,信息安全產品認證的覆蓋面有了長足提高,信息安全產品認證的把關作用得到了體現。
多角度延伸認證服務
不僅如此,陳曉樺博士透露,前些年,國內的信息安全管理體系認證幾乎被外資機構壟斷,其潛在安全風險不可低估。而信息安全認證中心積極服務于 國家重要信息系統的安全保障,在強化認證質量和服務的基礎上,積極開展ISMS認證,得到了眾多關系到國計民生重要行業客戶的普遍認同。另外,繼2008 年為服務奧運安保工作推出應急處理服務資質認證后,信息安全認證中心還開展了信息安全風險評估服務資質認證,國家信息中心等18家從事風險評估的企事業單 位在2010年6月獲得了首批認證證書。“風險評估服務資質認證業務的推出,順應了社會的需求,得到了企事業單位的積極響應和好評。”陳曉樺博士總結道。
在培訓業務方面,信息安全認證中心不僅開展了工廠檢查員、體系審核員、體系咨詢師與服務資質評審員的培訓工作,還根據市場需求啟動了信息安全保障從業人員認證,培訓覆蓋面進一步拓寬,影響力逐步顯現。信息安全認證中心積極參與并承擔了多項國家和部委的科研和專項工作,并取得了一批成果。其承擔的863項目和國家科技支撐計劃項目分別通過了驗收和中期檢 查;國家發改委信息安全專項、電子產業發展基金重點項目順利通過了中期檢查;“國家信息安全產品認證專項”項目已完成基礎環境建設和檢測工具開發工作;參 與制定的一批行業標準已經發布實施,若干國家標準制定項目已完成征求意見工作,或已經進入報批階段。“從事這項制度的建立工作,我們深感任務艱巨,責任重大,使命光榮。我們清醒地認識到,在機構和隊伍
建設、核心業務拓展、基礎設施建設等方面還 有待進一步加強,我們的服務能力和水平,還有待進一步提高。我們目前的建設進度和成效,離國家對我們的要求和業界的期望還有很大的距離。”陳曉樺博士對記 者表示,“我們在2010年底已初步完成了中心發展的十二五戰略規劃的制定和論證工作,希望能夠指導今后5年相關工作的開展,大力推進各項建設工作,充分 發揮信息安全認證在國家信息安全保障體系中的基礎性作用,努力開創信息安全認證工作新局面。”
啟示一:信息安全需要從國家層面制定整體發展戰略
陳曉樺觀點:信息安全不是一支“獨舞”,需要各個部門相互配合開展工作。但是由于缺乏國家層面的戰略指導,很多情況下,信息安全工作還只能依賴領導批示和安全事件來驅動。把握當前國內外形勢和發展趨勢,制定國家信息安全總體發展戰略已經迫在眉睫。
采訪中,記者得知,以前相關部門開展信息安全工作,職責分工不夠清晰,可謂縱橫交織,既有必要的互補,也有太多的重復,缺乏有效的溝通協調機制,工作比較被動,經常依靠領導批示和安全事件的驅動。
陳曉樺博士認為,雖然以前這種工作方式也解決了許多信息安全問題,但從法律法規和制度的完善度來看,還遠遠不夠。而且,即使到了現階段,信息安全 與保密工作在相當大的程度上還帶有應急處理的特點。“當然,這和信息安全工作的性質有關,即使制定了一些法律法規和管理制度,采取了一些技術手段,也不能 完全遏制和避免安全和失泄密事件的發生。”陳曉樺坦言,由于還缺乏來自國家層面的戰略規劃和設計,沒有健全的法律法規整體的指導,更沒有先進、強大的科技 手段,這就導致信息安全工作在推動時面臨不少困難,很多時候仍然依靠事件驅動,或者依靠首長批示開展工作,工作方式也不是一種制度化、常態化的方式。缺乏 整體規劃帶來的另一個后果,就是協調制度不完善,雖然相關部門也各司其職,但是容易出現各行其是的局面。由于信息化建設的高速發展,新技術新應用層出不 窮,信息安全的總體規劃迫切需要全新的思路和設計。陳曉樺幽默地說,“救火還是需要的,但不要總是在救火。應急機制是必要的,但更重要的是建立信息安全工 作的長效機制。”他告訴記者,其實早在2004年,我國就成立了國家網絡與信息安全協調小組,這是我國信息安全工作的最高領導機構,其辦公室設在原國信辦,成立的初衷是領 導我國信息安全相關部門開展工作,并協調各個部門之間工作。由于2008年機構改革,原國信辦的職責并入了工業和信息化部。2009年底國務院又重新批準 成立國家網絡與信息安全協調小組,制定國家信息安全總體發展戰略的工作,已經提上日程。“十二五國家信息安全保障工作的指導思想、戰略目標、主要任務和重 點工作是什么?有哪些保障措施?這可能是國家信息安全戰略亟待明確的內容。”
啟示二:健全法律法規需集思廣益;落實相關政策需科技支撐
陳曉樺觀點:過去有些部門規章的要求,都是一刀切,但在實際工作中并沒有解決用戶的切實問題。國家信息安全立法工作開展多年,已經取得了很多經驗和教訓,需要加以認真總結,并需要與時俱進,用科學的手段保障政策法規的嚴格執行。
據公開報道,關于國內信息安全立法工作,相關部門認為當前規范信息安全的法律法規有憲法、刑法、國家安全法、保守國家秘密法、治安管理處罰法、電子簽名 法、《全國人民代表大會常務委員會關于維護互聯網安全的決定》以及數十部部門規章。這些法律法規或規章對加強信息安全發揮了積極作用,但也存在內容分散、相互交叉甚至抵觸的現象,影響了立法效力和執法嚴肅性,對信息安全監督管理造成了不利影響。需要對現有的信息安全的法律法規加以評估,包括清理和制修訂。2010年11月,工信部已完成了《信息安全條例》報送稿。國家今后將以該條例為基礎,提出綜合性的立法方案,解決當前缺乏互聯網法律規范的問題。
“適當的時候,可以擴大征集意見范圍,聽取更多國內各界人士的意見或建議。有了《信息安全條例》,我國的信息安全工作就可以更加有序地依法開展,有利于排 除外界干擾,有利于界定各方責任,厘清關系。”陳博士如是說。當然,信息安全問題,不僅僅是互聯網安全問題,從立法程序來看,《信息安全條例》正式出臺,可能還需要假以時日。
隨著國家信息化工作的推進,對信息安全保密工作越來越重視。新修訂的《保守國家秘密法》于2010年10月1日實施,總結了多年來保密工作和立法工作的經 驗,為適應信息化時代的需要,提出了許多具體而且可操作性強的要求。陳博士認為需要提醒大家的是,今后,即便是違規把涉密設備或涉密計算機接入互聯網,也 要依法給予處分;如果再發生互聯網泄密事件,就要當作泄露國家秘密罪論處,要依法追究刑事責任,而不再僅僅
是給予通報批評、降級等行政處分。“新保密法提 出的這些新要求,非常及時、非常必要。近些年,國內偵破的互聯網竊密和失泄密案件時有發生,造成的危害極大,影響極為惡劣。必須加大法律的威懾和懲處作 用,盡量杜絕此類案件繼續發生。”
保障信息安全,管理和技術并重。除了法律法規和相關管理制度,還需要科技手段的支持。陳博士說,現在有的部委信息化程度很高,已經建成了3個甚至4個相互 獨立的網絡,比如,與互聯網相連接的辦公網,可以上網瀏覽、檢索互聯網信息、收發郵件等;物理上相互隔離的政務外網、政務內網;有的機構還有自己特殊的業 務網絡。“對涉密網提出的物理隔離的強制要求,在我國目前的技術條件下是非常必要的。國家急需加緊研究開發自主可控、安全可靠的新一代信息隔離和交換技術 與產品,滿足不同網絡之間信息交換的現實合法需求,用先進的技術手段來保障信息安全,進一步發揮信息系統的作用,降低信息化建設的成本。”
啟示三:信息安全解決方案要開“藥方”而不是開“藥房”
陳曉樺觀點:某些信息安全企業的產品解決方案缺乏針對性,往往是以不變應萬變,顯然行不通。我們要開妙手回春的藥方,而不是開一應俱全的藥房,最好的“藥引子”就是安全企業主動提升創新水平。
我國現有的信息安全技術、產品和服務,或許已經基本上滿足我國信息安全的需求,但在骨干、高端、高性能方面,還缺乏自主創新性的產品。“有的企業由于緊跟 用戶需求,在產品設計中有了幾項小小的創新,最終成功中標某個項目,這恰恰說明用戶需求的重要性。”陳曉樺博士認為,目前國內信息安全產品大多數都不是基 于國內原創的安全理念,一些企業提供的行業安全解決方案也缺乏針對性,似乎放之四海而皆準,不是開“藥方”,更像是在開“藥房”!
當然,陳曉樺博士也認為,在信息安全應用領域,用新產品新技術去引導市場,完全實現“技術引領、技術驅動”還是很困難的,經常有廠商面向市場推廣產品時會 遇到不了解用戶需求的現象。“這和國家整體發展現狀有關,例如金融系統大量使用國外的服務器、路由和交換設備、數據庫管理系統、中間件,甚至包括安全防護 產品都不是國內自主開發的。本土企業的產品在進入現有系統時,可能會出現自主產品與國外產品不兼容等現象,影響國內信息安全解決方案的推廣。有些外國公司 的產品中,大量使用非標準或私有協議,對其他企業的產品接入造成事實上的不公平競爭。”陳曉樺博士堅持認為,雖然面臨種種困難,但針對用戶需求、突破國外 產品的技術壁壘,用創新技術積極參與競爭,仍然是我國產業發展、人才發展的長遠目標,未來各關鍵基礎設施和重要信息系統的信息安全技術都應該逐步做到自主 或可控。
在國內安全企業自主創新的道路上,往往也會出現另外一個誤區。陳曉樺博士介紹道,現在有一個現象,很多廠商都在推出第幾代升級產品,更新換代十分頻繁,甚 至剛成立幾年的公司,都已經開發出了第四代第五代產品,其實這大多只是該公司產品型號的變化,并沒有真正實現技術的換代。讓人擔憂的是,這樣的行為說明這 些企業對國內外的技術發展水平缺乏清醒的認識。信息安全企業的研發人員應該踏踏實實靜下心來做研究,把一些基本原理和技術搞清楚,真正研發出能滿足用戶需 求的,自主創新的好產品。“在企業發展到了一定規模時,企業擁有多少人才、多少自主知識產權、多少專利和多少自有品牌,這些才是衡量企業綜合實力的必要因 素,需要企業高度重視。”他進一步強調,“靠貼牌生產的信息安全企業,是注定做不大的。”
可喜的是,現在國內有不少本土信息安全企業越來越重視自主創新,雖然年銷售額和盈利還不算高,但擁有的專利和創新技術不少,這說明企業有發展眼光、有發展后勁。
啟示四:需要繃緊的那根弦不是安全知識而是安全意識
陳曉樺觀點:雖然信息安全和保密的重要性被廣泛認識,但從很多行業、部門甚至業界專家的行為中不難發現,他們并不缺乏安全知識,而是缺乏安全意識。
很多安全技術名詞被大家天天掛在嘴邊,但具有諷刺意義的是,安全意識卻沒有得到足夠的重視。陳曉樺惋惜地指出,很多信息安全廠家的高層或者市場人員,在名 片上留的郵件地址都是Hotmail、Gmail這樣的郵箱;甚至在申報國家項目中,很多單位匯總到專家辦公室的項目申請書、驗收材料,都通過 Hotmail、Gmail發送;很多學校、科研院所的領導、骨干,為了與國外通信方便,都習慣使用境外服務器的郵件地址。
“這可能和早期使用免費郵箱的習慣有關。但即便如此,由于郵件服務器在境外,我國重點單位或企業院校的專家和領導用這些郵箱來傳輸一些敏感材料和信息,也 是非常不合適的。因為發送的郵件往往涉及到安全項目的科研成果,所以這只能說明使用者缺乏安全意識!”陳曉樺強調,“關鍵部門、重要崗位該用什么樣的通信 服
務,尤其是政府部門的官員和工作人員,都需要在頭腦里時刻有根弦。”他語重心長地告訴記者,“在沒有采取特殊安全保密技術手段的情況下,大家在互聯網上 通過郵件傳遞信息,通過手機打電話和發送短信,其實就是信息的‘裸奔’!有些甚至還‘奔’出了國門。”
對某些看似普通的信息,其安全管理也需要加強。“由于社會分工日益專業化,很多日常工作都很容易涉及到國家或行業的敏感信息,很多人還沒有從國家安全的高 度認識到,對這些信息的安全管理是多么重要。”陳曉樺博士舉例告訴記者,銀行資金流向也是一個很敏感的事情,這不僅牽扯到銀行自身,還涉及到國家重點單位 的敏感信息。如果銀行對這類信息的安全管理沒有足夠重視,就很容易造成敏感信息泄露。例如,某個野戰部隊在地方銀行當中的資金信息一旦泄露,通過分析工資 結構就可以了解到這個部隊的人員結構,通過分析其維護費用就可以了解武器裝備的規模,甚至其作戰能力。
記者了解到,一些在境外上市的公司提交材料時,會不經意間就把涉及到國家、行業和重點企業的敏感材料提交出去。“很多失泄密事件的后果首先體現在國家經 濟利益的巨大損失方面,比如談判時我方的鐵礦石進口底價。很多網絡安全事件和失泄密事件給國家帶來了影響就業、經濟發展不平衡、社會不穩定等一系列問題。根據《保守國家秘密法》,國家的重要經濟信息、核心科技信息其實和軍事、外交信息一樣,都屬于國家秘密,這是需要我們理解并嚴格保密的。”陳博士歸納道。
啟示五:加強科研項目和專項主管部委的協調和交流,避免重復建設和浪費
陳曉樺觀點:每年國家都會投入巨額資金支持信息安全技術的研發和產業化。由于專項基金的不同管理部門之間缺乏有效的溝通機制,存在重復資助的現象。在關鍵技術研究、產品設計與制造、產業化等環節,甚至出現支持的時間點錯位的現象,所謂“先生兒子,后生爸爸”。
眾所周知,這些年發改委、工信部、科技部每年在信息安全技術研發和產業化方面投入了大量的資金,對我國信息安全技術研究、產業發展發揮了巨大的作用,可 謂成績輝煌,功不可沒。陳曉樺博士認為,一方面國家應該繼續鼓勵和加大資金的投入,支持技術研究、開發重點產品、實現產業化目標。另一方面,國家應該大力 促進科研成果更加有效地轉換成產品和技術。他告訴記者,一些花費了國家資金,花費了專家和科研人員大量時間研究出的科研成果,在驗收完以后就束之高閣,過 了很長的時間這些成果還沒有轉化為技術和產品。由于對這些成果的利用效果缺乏考評機制,因此,也無從判斷在國家投資的科研項目當中,3年、5年或10年后 最終有多少轉化成滿足市場需求的主流產品,有的技術在幾年內沒有投入到市場,就會被新技術所淘汰。
“在科研院所形成的創新技術、專利,如何轉化成為產品和生產力方面,還很難形成一套高效完善的制度,因為這牽扯到很多現行管理制度。但國家不能只鼓勵科研 院所只做基礎前端的研究,還應該改革現行制度,出臺鼓勵科技成果轉化的新政策和配套的制度,把科技成果轉化的效果也作為考核評價指標。”陳曉樺不無擔憂地 說,無論是現在,還是5年甚至10年以后,如果我國信息安全建設當中大量采用的安全技術和產品,大都不是國家專項經費支持的結果,那今后該怎么評價國家的 專項和基金的成就?
除了資金投入產出效果的考量外,就國家各個部委牽頭的多個專項和基金計劃而言,雖然在定位上有不同的分工,但也有重復,更由于相互之間缺乏有效的溝通和協 調機制,時常會發生重復投資的現象。陳曉樺解釋道,國家的各專項申請和審批都有嚴格的程序,公開競爭,專家論證,領導決定。打一個比方,某單位同期既申請 863高技術項目,又向地方科委申請經費支持,又向國家發改委申請產業化支持,還同時向電子產業發展基金申請,可能還申請了中小企業創新基金、聯合其他單 位申請了“核高基”等等。但是,實際上其核心技術是相同的,如果同期支持,就會產生重復。另外,還存在另一種時間錯位現象,比如:去年國家支持某單位的產 業化項目,今年國家又支持其重點產品招標項目,明年國家才支持其研發關鍵技術的現象,即所謂“先生兒子,后生爸爸”現象。“這種現象還不僅僅存在于國家的 信息安全專項領域,其他領域情況可能還要更嚴重一些。”啟示六:對涉及國計民生的基礎設施而言,其信息系統的安全運行與設施本身同等重要
陳曉樺觀點:隨著我國信息化高速發展,信息系統的支撐性、全局性作用也與日俱增,信息系統與基礎設施建設已交織為一體,需要充分重視。目前大多數基礎設 施都是比較脆弱的,哪怕是一些細小環節出現問題,都會導致整個基礎設施的癱瘓。正所謂“千里之堤,潰于蟻穴”,很多時候,我們需要未雨綢繆。
信息系統的安全保障管理工作也極為重要,現在很多影響國計民生的基礎設施都離不開信息化。一旦其信息系統受到破壞或出現故障,社會基礎設施也就無法正常運 行。陳曉樺舉例道,如果銀行清算系統出現故障,最
直接的影響就是銀行無法及時進行資金結算,消費者無法刷卡支付;民航登錄系統被破壞,乘客必然無法準時登 機;通信系統被地震破壞后,所有的座機、手機打不通,最急迫的信息就無法傳遞??這一切現象都表明,國民經濟的基礎設施都越來越離不開信息化系統。“不難 得出結論,其信息系統的安全可靠與基礎設施的正常運行密不可分,二者幾乎同等重要。但事實上,我們對支撐這些基礎設施的信息技術系統的安全重視程度還遠遠 不夠。”他強調,互聯網作為新興媒體,網上一旦發生安全事件、熱點事件就非常吸引眼球,但基礎設施的信息安全也同樣需要關注,甚至應該得到更高程度的重 視。
事實上,僅僅是重視還不夠,我們不得不承認一個現實存在的問題,那就是我們還沒有掌握許多核心技術,這種狀況可能還要持續很多年,我們對關鍵基礎設施和重 要信息系統的安全也未能做到心中有數。陳曉樺博士認為,“畢竟我國自主設計開發的系統還不夠,很多基礎設施可控的程度自然也不夠。這就需要安全管理工作要 提前部署,防患于未然。”
對安全管理的重視還有很關鍵的一個環節,那就是對供應鏈的管理。一條完整的供應鏈涉及到很多環節,包括產品元器件生產和采購、產品設計與開發、產品制造、部署和安裝、使用與運行、服務、升級和維修等,要做到安全可控管理,就必須對整個供應鏈進行全程控制。“這個觀點主要是針對重要的用戶、國家核心單位、關 鍵基礎設施。雖然我國研發的信息安全系統難免也存在缺陷,但仍然需要對供應鏈上若干過程加以安全管理,充分了解。畢竟蟻穴雖小可潰千里長堤。”他舉了一個 例子,有個數據統計機構,其信息技術設備都很先進,當發現某存儲設備故障后就將其直接送到外面維修,這個舉動表明該單位對供應鏈安全管理顯然缺乏足夠的認 識。由于時間和篇幅所限,記者的采訪暫時告一段落。陳曉樺博士針對我國信息安全工作成績的介紹和反思,觀點鮮明,語言生動,見解獨特,發人深醒。正如他所言,我國信息安全保障工作并不能一蹴而就,需要有一個長期建設和不斷優化的過程,所謂“總結是為了進步”,記者希望通過這次在2011年最初的采訪,讓越來越 多的人了解我國的信息安全保障工作,讓越來越多的人為國家信息安全保障體系建設添磚加瓦。
專家信息鏈接:陳曉樺簡介
1979年考入國防科技大學計算機系,1993年獲國防科技大學博士學位。曾在電子科技大學博士后流動站工作兩年。1997年起,參加原中國信息安全產品 測評認證中心籌建工作,曾任總工程師、副主任、常務副主任、研究員。2006年10月,參加中國信息安全認證中心籌建工作,2007年2月任中國信息安全 認證中心副主任、黨委委員。
入選1999年度“百千萬人才工程”,獲2000年度政府特殊津貼,獲2008年度國家科學技術進步一等獎;任全國信息安全標準化技術委員會副秘書長、委 員;《信息安全與通信保密》、《計算機安全》編委;電子科技大學、北方交大兼職教授;上海交通大學博士生導師;國家自然科學基金、國家發改委信息安全專 項、電子信息產業發展基金重點招標項目、國家科學技術進步獎評審專家;曾任國家“十五”863計劃第二屆信息技術領域信息安全技術主題專家組副組長,國家 互聯網應急中心242專項第一屆專家組組長。目前主要從事與信息安全檢測、評估與認證相關理論、技術、方法、標準、工具的研究和開發工作。
熱點評議
記者:前段時候鬧得沸沸揚揚的騰訊與奇虎360事件終于在公開道歉中落下帷幕,您認為這對信息安全市場中的企業有何警示作用?
陳曉樺:從世界范圍來看,企業之間適度競爭是非常正常的。但3Q事件是國內企業之間不公平競爭、惡性競爭現象的一次爆發,牽扯了上億用戶的權益。我希望這 件事情除了國家行業管理部門以外,地方政府部門不要再被企業牽扯進去。企業經過相關部門的協調,應該根據國家法律法規,按照公平競爭的原則,把為用戶服好 務作為目標,自我約束不正當的市場競爭行為。我建議企業之間的競爭不要通過不兼容和封殺對方這類手段來損害用戶的權益。如果僅僅是做到暫時互相不封殺,但 仍然在繼續較勁,并期望獲得地方政府和相關機構的支持在地方政策或行政許可等方面去打壓對方,這只能說明兩家企業將越走越遠,并沒有真正汲取教訓。從長遠 看,這對行業和企業發展并沒有好處。希望其他信息安全企業引以為鑒。
記者:2010年信息安全產業很多技術概念被持續熱炒,像云計算等等,眾人紛紛持觀望熱捧等態度,您認為該如何對待不斷推陳出新的技術理念?
陳曉樺:云計算、三網融合、物聯網都是這兩年被不斷熱炒的技術和經營理念。我認為當新技術、新理念出
現的時候,應當保持3種態度。第一個態度是不要驚慌,不要輕易高喊“狼來了”。幾年前,可信計算推廣時,一些專家認定一旦可信計算的模式在全世界推廣后,我國的信息安全產業將受到打壓和排擠,產業將重新洗 牌。實際上這么多年過來了,我們也應對過來了,那些現象也沒有發生,產業的技術標準體系和產業升級不是輕易就能發生跨越式改變的。第二個態度是要敢于質問 這是不是“皇帝的新裝”。面對新技術新應用的出現,要保持冷靜,要思考這是不是產品和技術的升級換代,是否真正是創新的技術、革命性的技術,不要人云亦 云。第三個態度是去研究是不是“新瓶裝舊酒”。要敢于質疑,不能盲目跟風炒作。對云計算的態度應該要謹慎,保持冷靜,先多下功夫認真研究云計算的經營模式 和關鍵技術。現在似乎與云計算有關的項目就是好的投資項目,上市企業聲稱與云計算相關就股票飛漲。在工程建設方面,不要為了政績或形象工程就一哄而上,不 妨先期安排幾個行業或地方試點或者示范,等積累了一些成功經驗,再規模化實施。我認為也許三五年以后云計算會顯現出優越性,現階段還只是一個夢想,只有極 個別的案例。關于云計算安全問題,應該提前研究,但如果現階段就安排試點、示范就過早了。“皮之不存,毛將焉附?”
記者:在2010年底頗受關注的十二五規劃即將正式落地,您對此持何態度?
陳曉樺:2010年11月,中央發布了制定第十二個五年規劃的建議。國家的信息安全戰略規劃,應該承上啟下,既能夠與“十一五”規劃的工作銜接,又能指導 今后5年的工作,還需要提前考慮更長遠的發展。自2003年中辦27號文件頒布以來,我國的信息安全保障工作取得了顯著成就,但我們也應該看到,還有很多 老問題沒有得到有效解決。國家信息安全保障體系是多層面、多方位的,它的建設工作應該有輕重緩急之分,應當有總體規劃,應當有全局意識。在新時期、新形勢 下,新技術、新應用層出不窮,新問題、新挑戰不斷涌現,各方面的信息安全保障工作,亟待做出戰略部署,需要加強協調,形成整體,形成合力。2011年是我 國第十二個五年規劃的開局之年,希望國家早日出臺國家信息戰略規劃,頒布新的指導性文件,從“十二五”開始,使我國的網絡與信息安全協調機制切實發揮更大 的作用。
轉自:《信息安全與通信保密》網站
第二篇:在漸進中提升
在漸進中提升
----濱湖中心學校小學部2013年教育教學工作總結
常規管理有條不紊
學期初政教處、教導處結合教學常規管理現狀,組織專班征求教師意見集體修訂新的《教育教學常規量化細則》,將常規工作分成師德建設、安全管理、班級管理、教學常規(課內比教學、課外訪萬家)、遠程教育、教學研究、培訓達標、第二課堂、教學質量、工作協作、教育成果、資料建設十二個模塊進行常規管理。工作中對照細則進行常規過程管理與量化,秉承 “讓制度說了算,讓大家說了算”管理理念。學校領導深入一線走進課堂、走近學生,走近教師,下課堂、訪學生、看資料、析備課、察作業。開學第一周對上學期教學質量不理想的教師和新教師進行課堂教學視導,下到班級推門聽課,定期或不定期開展學生課業檢查。每月底以學科教研組為單位對教師個人各項工作進行月檢,實行常規工作全程管理,并將量化結果納入教師個人績效管理。為了抓好學前教育工作,教導處召開了兩次專題會議,忌學前教育小學化,明析學前教學內容與育人目標。期中檢測召開質量分析專題會,把脈課堂教學,及時優化輔導措施。一年來在各級組織的開學工作檢查與期末工作檢查中多次受到市局和中心學校好評。校本研訓層層深入
我校研訓有集中和非集中兩種形式。集中是以學科組為單位的每周三、四下午的特有時間開展的專題研訓,每期研訓活動有計劃、有內容、有選題,教師有準備。內容循序漸進,步步為營,或聽專題報告,或賞名師實錄,或學教育技術,或疑難研討,或就“課堂參與”、“紅星激勵”課題開展研究,有聲有色有得;非集中指教師個人或小組開展的課堂移植、結對幫扶、自我研學,或走出去觀摩培訓。我校利用5月和10月電教活動月契機全面開展教學大比拼(8人次獲一等獎)。用校際交流(5月13日與府場鎮小,11月28日與小港中心學校小學部)的機會將教師的優質課推介出去,以研討課(10月16日全處作文研討課)為平臺打造精品課(代霞老師獲一等獎),以送教下鄉(4月9日送教到洪獅)的形式分享研究成果,以考促學方式提高教師現代教育技術應用水平。課題“我的課堂 我參與”成功結題,“‘紅星激勵’在班級管理中的作用”正在申報省級課題。技術裝備功能彰顯
我校以教育均衡發展為契機加大對教育裝備的投入,科學實驗室等專室以及室內器材嚴格按裝備要求配齊配足,擠資金還新建了電子備課室,科學實驗室和音樂教室配備了高標準電子白板無疑提升了裝備檔次。電子備課室可以幫助老師實現資源共享、遠程備課。一支粉筆一張嘴的科學課己不存在,每名學生能真正的進行科學探究。音樂課除了唱還可以吹、拉、彈、跳、賞。裝備的投入,豐富了學生的課堂,豐富了學生的興趣,農村娃也能享受到城里的待遇。11月4日順利通湖北省教育均衡驗收。陽光體育快樂無比
“我運動,我陽光,我快樂”本學年在落實兩課兩操的前提下,嚴格按上級要求開展陽光體育運動。走操、集體舞表演、廣播操展示是每天早運動的三個常項,以增強學生團隊意識和集體榮譽感;鍵球、短繩、長繩是我校傳統健身項目,以測代練,分段達標促提高;武術、籃球、乒乓球、羽毛球、足球、舞蹈、棋類是我校的興趣特長培訓項目,既能強體質又能激發學生運動樂趣;4月7日我校召開了春季運動會,5月31日召開了興趣特長節目展演會,11月15日舉辦了冬季趣味運動會,12月3日舉行了冬季師生長跑啟動儀式,5月20日我校全體教師參加了中心學校舉行的乒乓球、長繩、三人籃球賽獲團體冠軍。
語言文字人文規范
深入開展“講普通話,寫規范字”活動,組織學生“讀好書,好讀書”,將詩文素養教育貫穿于常規教學,我校20多名學生和5名教師的作品參加“中國夢·我的夢”征文競賽獲地市級獎。9月推普周舉行了“我喜愛的老師”普通話競賽,9月30日政教處舉行了“慶國慶·話夢想”詩朗誦暨演講比賽。平時還充分利用墻報、板報、櫥窗、電子屏、廣播、集會等形式宣傳校園新人新事新氣象,讓正能量校園無限傳播。名言警句、名人畫像、宣傳標語、樓梯提示、校訓班規引導學生健康成長。家校協作成績斐然
家校攜手育英才。我校十分重視家校協作關系,開學初領導包村場帶隊帶領教師到學生家中走訪,每家必到,每生必訪。把黨的政策送到家中,把教育溫暖送到家中,傾聽家長匯報,聆聽家長心聲,解答家教疑難。聘請家長參加期中考務工作,期中考試后再次普訪把學生在校表現送到學生家庭,邀請家長到學校參加家長會,交流家庭教育心得,免費向家長發放《家長讀本》,拉近家校距離,達成育人共識,贏得家長理解、支持與配合,提高家長育人水平。11月20日我們進行了為期半天的家校開放日,邀請家庭教育專家來校指導家庭教育,請家長到課堂聽課,接受家長對學校工作的滿意度測評。為更好地加強家校間的聯系,聘請了26名家長成立了家長學校委員會。目前家長學校己掛牌,因工作做的實,12月24日順利通過荊州“示范家長學校”驗收。校園安全無縫管理
安全無小事。安全管理是我校的頭等大事,領導、教師分時段分區間輪崗值班,加強了安全值班力度,減緩了教師疲勞的可能性,提高了安全指數。安全主題班會、安全演練、月安全排查、消除安全隱患,校外安全巡邏、簽訂《安全值日責任狀》,學習安全公約、上交通安全課,安全知識競賽,家長接送學生、教師考勤程式化等是我校安全工作的具體舉措。教師考核安全工作 “一票否決”。一年來實行安全無縫值班,加強引導教育,不曾發生一起碰、摔、撞現象。
班級管理有章有序
“捆綁式”是我校班級管理模式,班主任負責、副班主任分擔、協管員協助三人齊抓共管,分工清楚、責任明確,包班領導釋疑解難。班級管理中事事有人做,人人有事做,班級管理與考核和績效掛鉤,全校掀起了班榮我榮的氛圍。“紅星激勵法”是我校對學生實施評價的一種模式。從衛生保潔、愛護公物、勤奮學習、遵規守紀、文明禮儀五方面實行紅星獎勵。為讓“紅星激勵法”評價方式更具實用性學期初對照上學期總結情況交流經驗重新擬定實施方案,期中再次進行座談匯報,期末再次提煉總結。評價中每天輔以“一日自查”和日常行為“三字經”誦讀形式,提醒學生節節進步、天天進步。政教處、少先隊每日一評比,每周一小結,每月一總結,學校評班級,班級評學生,層層管理,及時兌現獎勵。走進小學部校園會有一種幸福、心怡之感!師德建設自覺規范
加強教師職業道德建設,組織教師學習《十不準》、《中小學教師職業道德規范》及上級相關規范辦學行為文件精神,及時通報本系統違規處罰典型案例現身說法,與教師簽訂《承諾書》、《誠信公約》,到家長中、社會上進行教師《滿意度問卷調查》將“三亂”行為拒之校外,讓治庸問責融入工作、融入學習、融入生活。截止目前,我校教師無一例違規行為,因零投訴零問責,滿意度測評達98%以上,獲洪湖市“德育工作先進單位”、“八星級”德育學校、“師德建設先進單位”稱號,并送“荊州市師德建設先進單位”參評。
工作只能說明過去,今后我校還將繼續努力,總結不足,集思廣益讓各項工作更上一層樓!
第三篇:信息安全保障體系信息安全論文計算機論文
信息安全保障體系-信息安全論文-計算機論文 ——文章均為 WORD 文檔,下載后可直接編輯使用亦可打印——
【摘要】隨著社會的現代化發展,促進了信息技術的提高。在 管理中,傳統的 管理模式存在著較多的問題,受各種安全隱患的影響,給 信息資料的保存帶來了一定的安全威脅。
具有憑證的價值,是信息傳遞的重要途徑,影響著我國的可持續發展。在疾控中心,的管理具有一定的特殊性,具有專業性、機密性、政策性等特點。本文敘述了疾控中心 信息安全保障體系建設的重要性,還闡述了構建 信息安全保障體系的措施。
【關鍵詞】疾控中心; 信息;安全保障體系
1.疾控中心 信息安全保障體系建設的重要性
在我國,疾控預防控制中心的發展歷史悠久,而疾控中心的前身是防疫站,在防疫站時期,我國的信息化建設還未得到良好的發展,那個時期主要以紙質 為主,從而增加了 管理的難度。隨著國家信息化建設的推進,近年來,我國疾控中心的工作量不斷的加大,管理難度越來越大,國家對公共衛生事業十分的重視,對疾控中心的 安全管理工作提出了明確的要求。在這種艱難的環境下,疾控中心若想實現信息化的穩步發展,需要結合時代的特點,加強 管理的信息化建設,并著力構建 信息安全保障體系,以確保疾控中心的可持續發展。上文提到,疾控中心的 管理具有機密性的特點,信息一旦被泄露,不僅是疾控中心的損失,還會對國家造成危害,其影響極其惡劣,因此,在疾控中心建設中,加強 信息安全保障體系的構建是十分重要的。
2.影響疾控中心 信息安全的因素
在疾控中心內,信息的內容十分復雜,其中包含了:疫情信息、科研、傳染病 資料、突發性流行病資料、公共衛生信息、艾滋病信息等方面,所涉及的信息內容具有特殊性和機密性。在國家的現代化建設中,保障 信息的安全是疾控中心的重要工作內容。在疾控中心 信息安全管理中,信息的安全仍然會受到多個方面因素的影響,例如:網絡安全,隨著我國的信息化,促進了 管理的信息化發展,電子 成為了 信息的重要組成部分,受網絡安全問題的影響,電子 可能會受到病毒、黑客等不良因素攻擊,造成 丟失或外泄,引發 管理安全問題;系統軟件安全,在管理電子 的過程中,若發生硬件故障等問題,則可能造成信息的丟失;人員安全問題,工作人員責任意識和安全意識不高,在管理中存在監守自盜的行為,引發信息安全問題。
3.構建 信息安全保障體系的措施
為了確保疾控中心 信息的安全,加強安全保障體系的建設是重要的安全保障措施,建設安全保障體系的措施主要有以下幾點:
3.1 完善安全管理制度保障體系
完善的制度管理是規范工作人員行為的重要措施,工作人員是 信息管理中重要的組成部分,承擔著重要的安全責任。在安全保障體系的建設中,完善安全管理制度,可以提高工作人員的責任意識和安全意識,有利于工作人員將 信息的安全管理工作落到實處,從而降低安全問題的發生率,提升我國疾控中心 信息管理的安全性。結合我國對 信息管理的相關要求和規范,例如:《 信息系統安全等級保護定級工作指南》,根據疾控中心的實際情況,制定出合理的、科學的安全管理制度。在建設之前,工作人員需要對 信息進行合理的統籌規劃,加強 信息的數字化建設,結合各個工作環節的要求和功能,制定完善的安全管理制度。
3.2 重視工作人員的安全教育
在疾控中心內,管理人員承擔著重要的責任,是 信息安全管理的中心,是實際的運行者和操作者,亦是安全保障體系建設的核心。疾控中心應該加強管理人員安全意識培訓,可以在中心內,定期開展有關安全知識講解的培訓會,鼓勵并組織管理人員積極的參與培訓,并加強對管理人員的考核,以提高管理人員對安全知識學習的重視程度。另外,給予管理人員更多有關專業技能和素養的培訓機會,提高管理人員的整體素質,提升管理人員的業務能力,有利于提高管理人員 信息安全管理的水平。
3.3 完善安全技術保障體系
提高安全技術是維護疾控中心 信息安全管理的重要途徑,隨著我國 信息管理的信息化發展,信息系統的安全管理需要安全技術的大力支持,以降低發生安全問題的概率。結合疾控中心的實際發展情況,加強系統安全技術、技術創新、數據安全技術、物理安全技術等方面的研究,以強化 信息的數據備份和恢復、數據庫防火墻、數據加密、信息的安全儲存、云數據的安全處理等方面,從而降低文件信息被篡改或泄露、病毒攻擊、硬件故障等方面的發生率,保障 信息管理的安全。
結語
綜上所述,在新時代的背景下,我國 信息管理正面臨著巨大的挑戰,在信息化建設中,信息管理不僅需要加強 信息化建設,還需要重視 信息的安全管理,重視安全保障體系的構建。通過完善安全管理制度保障體系、重視工作人員的安全教育、完善安全技術保障體系等方面,提高疾控中心 信息安全管理的水平,降低安全問題的發生率,有利于促進疾控中心 管理的可持續發展。
參考文獻:
[1]駱念.疾控中心 信息化建設與管理初探[J].職業衛生與病傷.2016.31(2):127-128
——文章均為 WORD 文檔,下載后可直接編輯使用亦可打印——
第四篇:網絡信息安全保障體系建設
附件3 網絡信息安全保障體系建設方案
目錄
網絡信息安全保障體系建設方案........................................................................1
1、建立完善安全管理體系.................................................................................1 1.1成立安全保障機構.........................................................................................1
2、可靠性保證.....................................................................................................2 2.1操作系統的安全.............................................................................................3 2.2系統架構的安全.............................................................................................3 2.3設備安全.........................................................................................................4 2.4網絡安全.........................................................................................................4 2.5物理安全.........................................................................................................5 2.6網絡設備安全加固.........................................................................................5 2.7網絡安全邊界保護.........................................................................................6 2.8拒絕服務攻擊防范.........................................................................................6 2.9信源安全/組播路由安全...............................................................................7
網絡信息安全保障體系建設方案
1、建立完善安全管理體系
1.1成立安全保障機構
山東聯通以及萊蕪聯通均成立以總經理為首的安全管理委員會,以及分管副總經理為組長的網絡運行維護部、電視寬帶支撐中心、網絡維護中心等相關部門為成員的互聯網網絡信息安全應急小組,負責全省網絡信息安全的總體管理工作。
山東聯通以及萊蕪聯通兩個層面都建立了完善的內部安全保障工作制度和互聯網網絡信息安全應急預案,通過管理考核機制,嚴格執行網絡信息安全技術標準,接受管理部門的監督檢查。同時針對三網融合對網絡信息安全的特殊要求,已將IPTV等寬帶增值業務的安全保障工作納入到統一的制度、考核及應急預案當中。內容涵蓋事前防范、事中阻斷、事后追溯的信息安全技術保障體系,域名信息登記管理制度IP地址溯源和上網日志留存等。并將根據國家規范要求,對三網融合下防黑客攻擊、防信息篡改、防節目插播、防網絡癱瘓技術方案進行建立和完善。
2、可靠性保證
IPTV是電信級業務,對承載網可靠性有很高的要求。可靠性分為設備級別的可靠性和網絡級別的可靠性。
(1)設備級可靠性
核心設備需要99.999%的高可靠性,對關鍵網絡節點,需要采用雙機冗余備份。此外還需要支持不間斷電源系統(含電池、油機系統)以保證核心設備24小時無間斷運行。
(2)網絡級可靠性
關鍵節點采用冗余備份和雙鏈路備份以提供高可靠性。網絡可靠性包括以下幾方面:
? 接入層:接入層交換機主要利用STP/RSTP協議在OSI二層實現網絡收斂自愈。
? 匯聚層:在OSI第三層上使用雙機VRRP備份保護機制,使用BFD、Ethernet OAM、MPlS OAM來對鏈路故障進行探測,然后通過使用快速路由協議收斂來完成鏈路快速切換。? 核心層:在P設備(Core設備和CR設備)上建立全連接LDP over TE。TE的數量在200以下。
? 組播業務保護:主要基于IS-IS協議對組播業務采取快速收斂保護,對組播分發進行冗余保護和負載分擔。
2.1操作系統的安全
在操作系統級別上,其安全需求主要表現在防止非法用戶入侵、防病毒、防止數據丟失等。
? 防止非法用戶入侵:系統設置防火墻,將所有需要保護的主機設置在防火墻內部,物理上防止惡意用戶發起的非法攻擊和侵入。為業務管理人員建立起身份識別的機制,不同級別的業務管理人員,擁有不同級別的對象和數據訪問權限。? 防病毒:部署防病毒軟件,及時更新系統補丁。
? 數據安全:建立數據安全傳輸體系,系統具備完善的日志功能,登記所有對系統的訪問記錄。建立安全的數據備份策略,有效地保障系統數據的安全性。
2.2系統架構的安全
IPTV運營管理平臺具備雙機熱備份功能,業務處理機、EPG服務器、接口機都支持主備功能。
存儲系統能夠支持磁盤RAID模式,利用RAID5技術防止硬盤出現故障時數據的安全。支持HA(High Availability)模式,實現系統的熱備份,在主用系統故障時能夠自動切換到備用系統,可提供流媒體服務器多種單元的冗余備份。
支持用戶通過手工備份功能。并且備份數據可保存到外部設備中。同時,設備可通過分布式部署,保證系統的安全。EPG服務器、VDN調度單元、網管均支持分布式處理。2.3設備安全
核心系統(服務器硬件、系統軟件、應用軟件)能在常溫下每周7×24小時連續不間斷工作,穩定性高,故障率低,系統可用率大于99.9%。
具備油機不間斷供電系統,以保證設備運行不受市電中斷的影響。服務器平均無故障時間(MTBF)大于5,000小時,小型機平均無故障時間(MTBF)大于10,000小時,所有主機硬件三年內故障修復時間不超過30個小時。2.4網絡安全
IPTV業務承載網絡直接與internet等網絡互聯,作為IP網絡也面臨各種網絡安全風險,包括網絡設備入侵、拒絕服務攻擊、路由欺騙、QOS服務破壞以及對網絡管理、控制協議進行網絡攻擊等,故IPTV承載網絡的安全建設實現方式應包括物理安全、網絡設備的安全加固、網絡邊界安全訪問控制等內容。2.5物理安全
包括IPTV承載網絡通信線路、物理設備的安全及機房的安全。網絡物理層的安全主要體現在通信線路的可靠性,軟硬件設備安全性,設備的備份和容災能力,不間斷電源保障等。2.6網絡設備安全加固
作為IP承載網,首先必須加強對網絡設備的安全配置,即對網絡設備的安全加固,主要包括口令管理、服務管理、交互式訪問控制等措施。
口令的安全管理,所有網絡設備的口令需要滿足一定的復雜性要求;對設備口令在本地的存儲,應采用系統支持的強加密方式;在口令的配置策略上,所有網絡設備口令不得相同,口令必須定時更新等;在口令的安全管理上,為了適應網絡設備的規模化要求,必須實施相應的用戶授權及集中認證單點登錄等機制,不得存在測試賬戶、口令現象。
服務管理,在網絡設備的網絡服務配置方面,必須遵循最小化服務原則,關閉網絡設備不需要的所有服務,避免網絡服務或網絡協議自身存在的安全漏洞增加網絡的安全風險。對于必須開啟的網絡服務,必須通過訪問控制列表等手段限制遠程主機地址。在邊緣路由器應當關閉某些會引起網絡安全風險的協議或服務,如ARP代理、CISCO的CDP協議等。控制交互式訪問,網絡設備的交互式訪問包括本地的控制臺訪問及遠程的VTY終端訪問等。網絡設備的交互式訪問安全措施包括:加強本地控制臺的物理安全性,限制遠程VTY終端的IP地址;控制banner信息,不得泄露任何相關信息;遠程登錄必須通過加密方式,禁止反向telnet等。2.7網絡安全邊界保護
網絡安全邊界保護的主要手段是通過防火墻或路由器對不同網絡系統之間實施相應的安全訪問控制策略,在保證業務正常訪問的前提下從網絡層面保證網絡系統的安全性。
IPTV承載網絡邊界保護措施主要包括以下兩點:
通過路由過濾或ACL的方式隱藏IPTV承載網路由設備及網管等系統的IP地址,減少來自Internet或其它不可信網絡的安全風險。
在IPTV承載網絡邊緣路由器與其它不可信網絡出口過濾所有的不需要的網絡管理、控制協議,包括HSRP、SNMP等。2.8拒絕服務攻擊防范
拒絕服務攻擊對IPTV承載網絡的主要影響有:占用IPTV承載網網絡帶寬,造成網絡性能的下降;消耗網絡設備或服務器系統資源,導致網絡設備或系統無法正常提供服務等。
建議IPTV承載網絡采取以下措施實現拒絕服務攻擊的防范:實現網絡的源IP地址過濾,在IPTV承載網接入路由器對其進行源IP地址的檢查。關閉網絡設備及業務系統可能被利用進行拒絕服務攻擊的網絡服務端口及其它網絡功能,如echo、chargen服務,網絡設備的子網直接廣播功能等。通過建立網絡安全管理系統平臺實現對拒絕服務攻擊的分析、預警功能,從全局的角度實現對拒絕服務攻擊的監測,做到早發現、早隔離。
下圖給出了IPTV承載網安全建設實現方式圖。
2.9信源安全/組播路由安全
盡管組播技術具備開展新業務的許多優勢,并且協議日趨完善,但開展組播業務還面臨著組播用戶認證、組播源安全和組播流量擴散安全性的問題。
組播源管理:在組播流進入骨干網絡前,組播業務控制設備應負責區分合法和非法媒體服務器,可以在RP上對組播源的合法性進行檢查,如果發現來自未經授權的組播源的注冊報文,可以拒絕接收發送過來的單播注冊報文,因此下游用戶就可以避免接收到非法的組播節目。為防止非法用戶將組播源接入到組播網絡中,可以在邊緣設備上配置組播源組過濾策略,只有屬于合法范圍的組播源的數據才進行處理。這樣既可以對組播報文的組地址進行過濾,也可以對組播報文的源組地址進行過濾。
組播流量擴散安全性:在標準的組播中,接收者可以加入任意的組播組,也就是說,組播樹的分枝是不可控的,信源不了解組播樹的范圍與方向,安全性較低。為了實現對一些重要信息的保護,需要控制其擴散范圍,靜態組播樹方案就是為了滿足此需求而提出的。靜態組播樹將組播樹事先配置,控制組播樹的范圍與方向,不接收其他動態的組播成員的加入,這樣能使組播信源的報文在規定的范圍內擴散。在網絡中,組播節目可能只需要一定直徑范圍內的用戶接收,可以在路由器上對轉發的組播報文的TTL數進行檢查,只對大于所配置的TTL閾值的組播報文進行轉發,因此可以限制組播報文擴散到未經授權的范圍。
組播用戶的管理:原有標準的組播協議沒有考慮用戶管理的問題,但從目前組播應用的情況來看,在很多的組播業務運營中,組播用戶的管理仍未得到很好的解決。在IPTV業務中,直播業務作為十分重要的業務,對用戶進行控制管理是必不可少的。對組播用戶的管理就是對經過授權的組播用戶控制其對組播業務的接入,控制用戶哪些組播頻道可以觀看,哪些頻道不可以觀看。通過在DSLAM/LAN交換機用戶側對組播組進行控制,防止惡意用戶的非法組播流攻擊網絡。
第五篇:某公司信息安全保障體系信息安全組織體系
信息安全保障體系
組織體系
組織體系 1 范圍 本標準規定了公司內部安全保障體系組織架構的要求,包括人員組成,責任和要求。
本標準適用于公司,各廠應依據本標準制訂適用的標準。規范性引用文件 下列文件中的條款通過本標準的引用而成為本標準的條款。凡是注版本(日期)的引用文件,其隨后所有的修改單(不包括勘誤的內容)或修訂版均不適用于本標準,然而,鼓勵根據本標準達成協議的各方研究是否可使用這些文件的最新版本。凡是不注版本(日期)的引用文件,其最新版本適用于本標準。術語和定義 無。職責 4.1 信息中心負責公司整體信息安全保障體系組織建設。
4.2 各廠負責在授權范圍內開展安全組織建設,負責本單位信息安全日常管理、監督。信息安全管理組織架構 在組織架構方面,應依托企業現有的組織體系,賦予各層面的組織和個人以安全職責,使原有的組織架構具有信息安全的管理職能,同時應對企業安全管理的三層組織結構:決策層、管理層和執行層的機構建立、安全目標、崗位設置、安全職責進行確定,組織架構的建立和充分發揮職能是整個系統安全的前提和基礎。
決策層管理層業務安全決策安全戰略規劃安全績效考核信息安全領導小組信息安全管理部門安全管理系統安全工程安全績效管理信息安全執行部門實施與運作運行管理安全審計實施執行層
圖 1 信息安全管理組織架構層次圖 組織架構
企業本部
企業下屬各廠
決策層
公司信息化建設主管領導 各廠信息化建設主管領導 管理層
公司信息、辦公室、財務、營銷、人事、技術等各部門負責人 各廠信息、財務、生產、人事等業務部門負責人 執行層
公司具體負責信息系統管理和信息安全管理工作的技術人員及相關部門的專職(或兼職)信息安全員 各廠具體負責信息系統管理和信息安全管理工作的技術人員及相關部門的專職(或兼職)信息安全員
圖 2 信息安全管理組織架構細化表信息安全組織架構各層職責說明 6.1 決策機構 信息安全決策機構處于安全組織機構的第一個層次,是企業公司信息安全工作的最高管理機構,按照國家和國家局的方針、政策和要求,對企業公司信息安全進行統一領導和管理。
其主要職責包括:
1)領導和督促全企業公司范圍的信息安全工作; 2)制定企業公司信息安全戰略、方針和政策,確定企業公司信息安全發展方向和目標; 3)為信息安全提供所需的資源; 4)批準整個組織內信息安全特定角色和職責的分配; 5)建立企業公司的總體安全規劃方案; 6)制定企業公司統一的安全策略體系; 7)審批企業公司重大的信息安全活動; 8)重大技術事項或突發緊急問題的協調處理和事后調查仲裁等; 9)審批信息安全項目及安全產品的采購申請; 10)審閱下級的重要工作匯報和意見,并及時反饋批復意見; 11)監督管理層信息安全工作的管理和執行情況,協調管理隊伍之間的關系; 12)負責組織企業公司范圍的信息安全事件的調查,并聽取相關匯報; 13)定期組織會議,了解企業公司信息系統的整體安全現狀,討論提高安全水平的整改措施。
14)啟動計劃和程序來保持信息安全意識; 15)信息安全領導小組應定期組織信息安全巡檢和評審工作。
6.2 管理機構 信息安全管理機構處于安全組織機構的第二個層次,在決策機構的領導下,負責組織制訂信息安全保障體系建設規劃,以及信息安全的管理、監督、檢查、考核等工作。日常的信息安全管理工作主要由信息化工作部門負責。
其主要職責包括:
1)根據決策層總體安全規劃制定系統安全建設的詳細安全計劃并組織實施; 2)根據決策層統一的安全策略制定并落實信息安全管理制度; 3)監督和指導執行層信息安全工作的貫徹和實施; 4)組織技術人員和普通員工的安全技術交流與培訓; 5)參與信息系統相關的新工程建設和新業務開展的方案論證,并提出安全方面的相應
建議; 6)在信息系統相關的工程驗收時,對信息安全方面的驗收測試方案進行審查并參與驗收; 7)組織相關安全員定期進行信息安全巡檢; 8)負責組織范圍內的信息安全事件調查,并聽取相關匯報; 9)審閱執行層的重要工作匯報和意見,并及時反饋批復意見; 10)定期組織會議,了解管轄系統的整體安全現狀,討論提高安全水平的整改措施; 6.3 執行機構 信息安全執行機構處于信息安全組織機構的第三個層次,在管理層的領導下,負責保證信息安全技術體系的有效運行及日常維護,通過具體技術手段落實安全策略,消除安全風險,以及發生安全事件后的具體響應和處理。
主要職責包括:
1)學習和執行企業公司制定的各項信息安全管理策略、制度、規范和指南; 2)企業公司信息安全規劃、管理制度的落實和執行工作; 3)直接負責管理范圍內各業務系統的安全管理和維護工作; 4)參與檢查與國家信息安全相關的法律、法規、規章、標準等的符合性,參與企業公司安全方案的規劃、設計; 5)具體安全項目的實施與支持; 6)根據管理層安全規劃制定系統安全建設的詳細安全計劃并組織實施; 7)監督和指導管理范圍內信息安全工作的貫徹和實施; 8)組織內部的安全技術交流與培訓; 9)參與管理范圍內工程建設和業務開展的方案論證,并提出相應的安全方面的建議; 10)提出的網絡安全整改意見,提交管理層審批; 11)向管理層定期匯報系統當前安全現狀以及安全事件的處理情況;安全職責的分配 為明確安全責任,劃分(界定)安全管理與具體執行之間的工作職責,公司必須建立安全責任制度。
安全責任分配的基本原則是“誰主管,誰負責”。公司擁有的每項網絡與信息資產,必須根據資產歸屬確定“責任人”。“責任人”對資產安全保護負有完全責任。“責任人”可以是個人或部門,但“責任人”是部門時,應由該部門領導實際負責。
“責任人”可以將具體的執行工作委派給“維護人”,但“責任人”仍然必須承擔資產安全的最終責任。因此“責任人”應明確規定“維護人”的工作職責,并定期檢查“維護人”是否正確履行了安全職責。“維護人”可以是個人或部門,也可以是外包服務提供商。當“維護人”是部門時,應由該部門領導實際負責。
安全工作人員的職責是指導、監督、管理、考核“責任人”的安全工作,不能替代“責任人”對具體網絡與信息資產進行安全保護。
在資產的安全保護工作中,應重點關注以下內容:
a)應清楚地說明每個獨立的網絡與信息系統所包含的各種資產和相應的安全保護流程。
b)“責任人”與“維護人”都應明確接受其負責的安全職責和安全保護流程,并對該職責的詳細內容記錄在案。
c)所有授權的內容和權限應當被明確規定,并記錄在案。職責分散與隔離 職責分隔(Segregation of Duties)是一種減少偶然或故意行為造成安全風險的方法。公司應分散某些任務的管理、執行及職責范圍,以減少誤用或濫用職責帶來風險的概率。例如關鍵數據修改的審批與制作必須分開。
在無法實現職責充分分散的情況下,應采取其他補償控制措施并記錄在案。例如:活動監控、檢查審計跟蹤記錄以及管理監督等。
為避免串通勾結等欺詐活動,公司應盡量隔離相應職責,并增加執行和監督人員,以降低串通的可能性。安全信息的獲取和發布 信息技術的發展日新月異,安全工作愈發復雜和困難。公司必須建立有效可靠的渠道,獲取安全信息,不斷推進安全工作。例如:
a)從內部挑選經驗豐富的安全管理和技術人員,組成內部專家組,制定安全解決方案,參與安全事件處理,解決實際安全問題,提供預防性建議等。為使內部專家組的工作更具成效,應允許他們直接接觸公司的管理層。
b)與設備提供商、安全服務商等外部安全專家保持緊密聯系,聽取他們的安全建議。
c)從一些公開的信息渠道獲取安全信息,例如專業出版物、定期公告等。
企業權威的安全信息發布機構為公司信息中心。公司負責收集和整理并向各廠信息部門發布安全信息;各廠負責廠內發布和信息上報。加強與外部組織之間的協作 公司應加強與國家安全機關、行業監管部門、其他運營商和信息服務提供商等外部組織的聯系,并建立協作流程,以便在出現安全事件時,盡快獲取信息、采取措施。
公司在加入安全組織或與其他組織進行交流時,應對信息交換予以嚴格限制,以確保公司信息的保密性。安全審計的獨立性 安全審計是從管理和技術兩個方面檢查公司的安全策略和控制措施的執行情況,發現安全隱患的過程。
安全審計的獨立性是指審計方與被審計方應保持相對獨立,即不能自己審計自己的工作,以確保審計結果的公正可靠。
安全審計可由公司內部審計組織,或外聘的專業審計機構完成。審計人員應接受審計培訓,掌握一定的技能和經驗。當采用外聘審計機構時,應充分考慮其風險,并采取相應的控制措施。
點擊咨詢 