安全審計培訓(xùn)范文

時間:2023-06-16 17:39:22

導(dǎo)語:如何才能寫好一篇安全審計培訓(xùn),這就需要搜集整理更多的資料和文獻(xiàn),歡迎閱讀由公務(wù)員之家整理的十篇范文,供你借鑒。

安全審計培訓(xùn)

篇1

為進(jìn)一步加強(qiáng)對安全培訓(xùn)機(jī)構(gòu)的監(jiān)督管理,促進(jìn)安全培訓(xùn)機(jī)構(gòu)提高培訓(xùn)質(zhì)量和管理水平,根據(jù)《行政許可法》及《安全生產(chǎn)培訓(xùn)管理辦法》(原國家安全監(jiān)管局令第20號)、《國家安全監(jiān)管總局關(guān)于印發(fā)〈一、二級安全培訓(xùn)機(jī)構(gòu)認(rèn)定標(biāo)準(zhǔn)(試行)〉的通知》(安監(jiān)總培訓(xùn)〔*〕226號,以下簡稱《標(biāo)準(zhǔn)》),決定對*年資質(zhì)到期的安全培訓(xùn)機(jī)構(gòu)進(jìn)行復(fù)審檢查?,F(xiàn)將有關(guān)事宜通知如下:

一、復(fù)審檢查目的及原則

通過復(fù)審檢查,進(jìn)一步加強(qiáng)對培訓(xùn)機(jī)構(gòu)的監(jiān)督管理,健全培訓(xùn)質(zhì)量評估機(jī)制,完善培訓(xùn)網(wǎng)絡(luò)基地,促進(jìn)培訓(xùn)機(jī)構(gòu)加大投入、改善條件、健全制度、改進(jìn)方法,提高培訓(xùn)質(zhì)量。

復(fù)審檢查堅持公開、公平、公正和總量控制、合理布局、資源整合、動態(tài)管理的原則,嚴(yán)格按照《標(biāo)準(zhǔn)》對培訓(xùn)機(jī)構(gòu)進(jìn)行復(fù)審考核和監(jiān)督檢查,做到硬件與軟件相結(jié)合、定量與定性相結(jié)合、選樹示范與鞭策落后相結(jié)合。

二、復(fù)審檢查范圍

*年資質(zhì)到期的91家一、二級安全培訓(xùn)機(jī)構(gòu)。

三、復(fù)審檢查內(nèi)容

1.復(fù)審考核主要內(nèi)容。培訓(xùn)機(jī)構(gòu)設(shè)置、注冊資金或開辦費(fèi)、管理人員及辦公場所、教師、教學(xué)及生活設(shè)施等必備條件情況,以及培訓(xùn)師資隊伍、教學(xué)研究、組織實(shí)施、業(yè)績和規(guī)章制度建設(shè)等情況。

2.監(jiān)督檢查主要內(nèi)容。培訓(xùn)機(jī)構(gòu)貫徹落實(shí)安全培訓(xùn)有關(guān)規(guī)定、培訓(xùn)收費(fèi)、資質(zhì)管理、合作辦班以及公務(wù)員在培訓(xùn)機(jī)構(gòu)兼職等情況。

四、復(fù)審檢查安排

1.培訓(xùn)機(jī)構(gòu)自查階段(7月1日至20日)。培訓(xùn)機(jī)構(gòu)按照《標(biāo)準(zhǔn)》進(jìn)行自查,總結(jié)成績與經(jīng)驗,查擺問題與差距,形成自查報告和現(xiàn)場復(fù)審檢查備查材料(見附件2)。

2.現(xiàn)場復(fù)審檢查階段(7月21日至8月31日)。國家安全監(jiān)管總局人事培訓(xùn)司組織現(xiàn)場評審專家組(每組設(shè)組長1人,成員2名)會同機(jī)構(gòu)所在地省級安全監(jiān)管監(jiān)察部門,按照《標(biāo)準(zhǔn)》對培訓(xùn)機(jī)構(gòu)進(jìn)行現(xiàn)場復(fù)審檢查。

3.評審結(jié)果確定階段?,F(xiàn)場復(fù)審檢查結(jié)束后,國家安全監(jiān)管總局組織召開由培訓(xùn)管理、紀(jì)檢監(jiān)察等部門、現(xiàn)場評審專家組組長及其他有關(guān)專家參加的綜合評審會議,對培訓(xùn)機(jī)構(gòu)進(jìn)行綜合評審,并將評審結(jié)果在國家安全監(jiān)管總局網(wǎng)站上進(jìn)行公示。公示期滿,對社會無異議、符合條件的,按照有關(guān)規(guī)定延期換發(fā)相應(yīng)資質(zhì)證書。

五、復(fù)審檢查方式

1.聽取匯報,座談交流?,F(xiàn)場評審專家組要全面聽取復(fù)審機(jī)構(gòu)自查情況匯報和當(dāng)?shù)厥〖壈踩O(jiān)管監(jiān)察部門意見,組織召開由復(fù)審機(jī)構(gòu)主管策劃、管理、財務(wù)、后勤等工作的負(fù)責(zé)人以及培訓(xùn)學(xué)員參加的座談會,聽取意見和建議。

2.查閱資料,現(xiàn)場檢查。現(xiàn)場評審專家組要深入現(xiàn)場進(jìn)行實(shí)地檢查,既要核查培訓(xùn)設(shè)施、培訓(xùn)場地、后勤保證等硬件,又要核查文件資料、培訓(xùn)檔案、管理制度等軟件,多渠道了解培訓(xùn)情況。

3.反饋意見,整改提高。現(xiàn)場復(fù)審檢查結(jié)束后,專家組要向復(fù)審機(jī)構(gòu)通報現(xiàn)場復(fù)審檢查情況,提出整改建議和要求。復(fù)審機(jī)構(gòu)要按照專家組意見制定整改措施,并組織落實(shí)。

4.發(fā)現(xiàn)典型,總結(jié)推廣。復(fù)審檢查中,要注意發(fā)現(xiàn)各單位在安全培訓(xùn)方面的好經(jīng)驗好做法,以便總結(jié)推廣。

六、復(fù)審檢查工作要求

1.有關(guān)培訓(xùn)機(jī)構(gòu)要高度重視復(fù)審檢查工作,加強(qiáng)領(lǐng)導(dǎo),認(rèn)真制定自查方案,深入細(xì)致地開展自查,發(fā)現(xiàn)問題及時解決,做好各方面準(zhǔn)備工作。

2.現(xiàn)場評審專家要嚴(yán)格執(zhí)行黨風(fēng)廉政建設(shè)的有關(guān)規(guī)定,輕車簡從,廉潔自律,出發(fā)前要簽署《現(xiàn)場復(fù)審檢查公正、廉潔、保密承諾書》(見附件3)。

3.現(xiàn)場評審專家組要認(rèn)真履行職責(zé),本著公平、公正、廉潔、高效的原則,嚴(yán)格按照《標(biāo)準(zhǔn)》中的各項指標(biāo),逐條逐項進(jìn)行檢查打分,不得泄露復(fù)審機(jī)構(gòu)的商業(yè)秘密和復(fù)審分?jǐn)?shù)。

4.現(xiàn)場評審專家與復(fù)審機(jī)構(gòu)之間存在關(guān)聯(lián)的,應(yīng)主動提出回避;復(fù)審機(jī)構(gòu)發(fā)現(xiàn)本單位與現(xiàn)場復(fù)審檢查人員存在關(guān)聯(lián)的,有權(quán)提請其回避,對復(fù)審檢查工作存在疑義的,可向國家安全監(jiān)管總局人事培訓(xùn)司提出質(zhì)詢,必要時,將組織專家重新復(fù)審。

篇2

一、信息安全概況

隨著信息技術(shù)的飛速發(fā)展,金融機(jī)構(gòu)生產(chǎn)、使用和共享的信息呈現(xiàn)幾何增長的態(tài)勢,信息傳遞的方式和渠道急劇增加,在為金融機(jī)構(gòu)帶來收益和效率的同時,也使信息安全問題更加凸顯。在全球范圍內(nèi),信息安全事件頻發(fā),給銀行和客戶造成經(jīng)濟(jì)損失的同時,也帶來了巨大的聲譽(yù)損失。如何有效提升信息安全管理水平,成為銀行關(guān)注的焦點(diǎn)。信息安全審計作為信息安全保障工作中的重要一環(huán),能夠促進(jìn)信息安全控制措施的落實(shí),規(guī)范信息安全管理,提高全員信息安全意識,從而有利于保持和持續(xù)改進(jìn)銀行信息安全能力和水平。

根據(jù)當(dāng)前的信息安全管理體系國家標(biāo)準(zhǔn)GB/T22080-2008(等同采用ISO/IEC27001:2005),信息安全保障工作從整體看應(yīng)包括四個階段:一是規(guī)劃和建設(shè)階段(Plan,簡稱“P階段”);二是實(shí)施和運(yùn)行階段(Do,簡稱“D階段”);三是監(jiān)視和評審階段(Check,簡稱“C階段”);四是保持和改進(jìn)(Act,簡稱“A階段”)。這四個階段按順序循環(huán)往復(fù),從而使信息安全得到持續(xù)改進(jìn)。這種方法也被稱為“PDCA循環(huán)”,如圖1所示。

經(jīng)過近十幾年的努力,金融行業(yè)信息安全保障工作已經(jīng)普遍走過了“P階段”和“D階段”,金融行業(yè)的信息安全需求已基本明確,滿足信息安全需求的基礎(chǔ)設(shè)施也基本具備。經(jīng)過大范圍的規(guī)劃建設(shè),各金融機(jī)構(gòu)已經(jīng)建立了相對完備的信息安全軟硬件環(huán)境,初步形成了信息安全保障體系。盡管如此,作為關(guān)系國計民生的重要基礎(chǔ)產(chǎn)業(yè),金融行業(yè)對信息安全有著更高的要求,也面臨著更大的信息安全風(fēng)險挑戰(zhàn)。近年來,金融行業(yè)頻繁發(fā)生的信息安全事件表明,金融行業(yè)信息安全保障工作還存在很多缺陷和不足。導(dǎo)致這一局面的因素很多,其中一個重要的原因就是大家普遍重視信息安全的建設(shè)和運(yùn)行,而忽視了信息安全工作的檢查和改進(jìn)。從整體上看,金融行業(yè)信息安全保障工作已經(jīng)走過“P階段”和“D階段”,尚未進(jìn)入“C階段”和“A階段”,還沒有形成完整的基于“PDCA”過程方法的持續(xù)改進(jìn)機(jī)制。接下來金融行業(yè)信息安全工作的重心應(yīng)該轉(zhuǎn)向檢查和改進(jìn)。信息安全審計是“C階段”的主要手段。它利用傳統(tǒng)財務(wù)審計和審計工作的規(guī)范與嚴(yán)謹(jǐn),結(jié)合信息和保密技術(shù)的工具與手段,對金融機(jī)構(gòu)信息安全工作的成效和不足給出客觀、確定的審計結(jié)論,并根據(jù)審計結(jié)果,對金融機(jī)構(gòu)的信息安全保障工作提出改進(jìn)措施、給出合理化建議。

為了對商業(yè)銀行信息科技整個生命周期內(nèi)的信息安全、業(yè)務(wù)連續(xù)性管理和外包等主要方面提出高標(biāo)準(zhǔn)、高要求,滿足商業(yè)銀行信息科技風(fēng)險管理的需要,銀監(jiān)會2009年了《商業(yè)銀行信息科技風(fēng)險管理指引》,其中第六十五條規(guī)定:“商業(yè)銀行應(yīng)根據(jù)業(yè)務(wù)性質(zhì)、規(guī)模和復(fù)雜程度,信息科技應(yīng)用情況,以及信息科技風(fēng)險評估結(jié)果,決定信息科技內(nèi)部審計范圍和頻率。但至少應(yīng)每三年進(jìn)行一次全面審計?!?/p>

二、國內(nèi)外信息安全審計現(xiàn)狀

(一)國外信息安全審計發(fā)展與現(xiàn)狀

在建立信息安全審計制度,開展信息安全審計研究方面,美國走在了世界前列。早在計算機(jī)進(jìn)入實(shí)用階段時,美國就開始提出系統(tǒng)審計(SYSTEMAUDIT)概念。1969年在洛杉磯成立了電子數(shù)據(jù)處理審計師協(xié)會(EDPAA),1994年該協(xié)會更名為信息系統(tǒng)審計與控制協(xié)會(ISACA),總部設(shè)在美國芝加哥。自1978年以來,由ISACA發(fā)起的注冊信息系統(tǒng)審計師(CISA)認(rèn)證計劃已經(jīng)成為涵蓋信息系統(tǒng)審計、控制與安全等專業(yè)領(lǐng)域的被廣泛認(rèn)可的標(biāo)準(zhǔn)。目前該組織在世界上100多個國家設(shè)有160多個分會,現(xiàn)有會員兩萬多人。

1999年,美國國家審計署(GAO)《聯(lián)邦信息系統(tǒng)控制審計手冊》(第一版),為美國聯(lián)邦政府實(shí)施信息安全審計提供基本準(zhǔn)則和方法。2001年,GAO《聯(lián)邦信息系統(tǒng)安全審計管理的計劃指南》,用于為美國聯(lián)邦政府實(shí)施信息安全審計提供具體指導(dǎo);2009年,GAO《聯(lián)邦信息系統(tǒng)控制審計手冊》(第二版),該手冊成為現(xiàn)階段美國聯(lián)邦政府實(shí)施信息安全審計的事實(shí)標(biāo)準(zhǔn)。

近年來,美國通過立法賦予信息安全審計新的意義,并對企業(yè)實(shí)施信息安全審計產(chǎn)生重大影響。2002年,美國安然公司和世通財務(wù)欺詐案爆發(fā)后,美國國會和政府緊急通過了《薩班斯——奧克斯利法案》(Sarbanes-OxleyAct,簡稱薩班斯法案)。薩班斯法案第302條款和第404條款明確要求“,通過內(nèi)部控制加強(qiáng)公司治理,包括加強(qiáng)與財務(wù)報表相關(guān)的IT系統(tǒng)內(nèi)部控制,而信息安全審計正是IT系統(tǒng)內(nèi)部控制的核心。”2006年底生效的《巴塞爾新資本協(xié)議(》BaselII),要求全球銀行必須針對其市場、信用及營運(yùn)等三種金融作業(yè)風(fēng)險提供相應(yīng)水準(zhǔn)的資金準(zhǔn)備,迫使各銀行必須做好風(fēng)險控管,而這一“金融作業(yè)風(fēng)險”的防范也正是需要業(yè)務(wù)信息安全審計為依托。

近一段時期,以美國、加拿大、澳大利亞為主的西方國家,針對不同的組織機(jī)構(gòu),以不同的信息安全審計方式,卓有成效地開展了包括信息系統(tǒng)計劃與技術(shù)構(gòu)架、信息安全保護(hù)與災(zāi)難恢復(fù)、軟件系統(tǒng)開發(fā)、獲得、實(shí)施及維護(hù)、商業(yè)流程評估及風(fēng)險管理等方面的信息安全審計。

具體來說,針對各類企業(yè)的信息安全審計,采取了以內(nèi)部審計為主,從關(guān)注安全向關(guān)注業(yè)務(wù)目標(biāo)過渡,一般控制審計與應(yīng)用控制審計相結(jié)合的方式;針對政府機(jī)構(gòu)的信息安全審計,強(qiáng)調(diào)外部審計與政府內(nèi)部審計結(jié)合,融入績效預(yù)算管理體系,關(guān)注系統(tǒng)最終效果。

在亞洲,日本的信息安全審計始于20世紀(jì)80年代。1983年,通產(chǎn)省公開發(fā)表了《系統(tǒng)審計標(biāo)準(zhǔn)》,并在全國軟件水平考試中增加了“系統(tǒng)審計師”一級的考試,著手培養(yǎng)從事信息系統(tǒng)審計的骨干隊伍。近幾年,東南亞各國也開始制定電子商務(wù)法規(guī),成立專門機(jī)構(gòu)開展信息系統(tǒng)審計業(yè)務(wù),并制定技術(shù)標(biāo)準(zhǔn)。

(二)我國信息安全審計發(fā)展與現(xiàn)狀

近年來,我國的信息安全審計日益受到重視,審計署以及一些大型國有銀行也相繼開展了信息安全方面的審計工作。信息系統(tǒng)審計規(guī)范的研究和制定方面,我國已建成了一套比較成熟規(guī)范的法規(guī)、準(zhǔn)則體系,但在信息系統(tǒng)及信息安全審計方面,雖有《內(nèi)部審計具體準(zhǔn)則第28號——信息系統(tǒng)審計》(中國內(nèi)部審計協(xié)會2008年)以及審計署對信息系統(tǒng)審計相關(guān)法規(guī)、準(zhǔn)則的規(guī)劃及研究,但尚未形成系統(tǒng)的法規(guī)、準(zhǔn)則和技術(shù)標(biāo)準(zhǔn)體系。

三、金融行業(yè)信息安全審計組織與實(shí)施

金融行業(yè)的信息安全審計(InformationSecurityAudit),是指金融機(jī)構(gòu)為了掌握其信息安全保障工作的有效性,根據(jù)事先確定的審計依據(jù),在規(guī)定的審計范圍內(nèi),通過文件審核、記錄檢查、技術(shù)測試、現(xiàn)場訪談等活動,獲得審計證據(jù),并對其進(jìn)行客觀的評價,以確定被審計對象滿足審計依據(jù)的程度所進(jìn)行的系統(tǒng)的、獨(dú)立的并形成文件的過程。金融機(jī)構(gòu)可以單獨(dú)實(shí)施信息安全審計,也可以將信息安全審計作為其他相關(guān)工作的一部分內(nèi)容聯(lián)合實(shí)施。如IT審計、信息安全等級保護(hù)建設(shè)、信息安全風(fēng)險評估、信息安全管理體系建設(shè)等。審計的工作流程和內(nèi)容大致包括六個方面的活動(如圖2所示)。

1.確定審計目的和范圍。金融機(jī)構(gòu)實(shí)施信息安全審計,首先要明確審計目的,確定審計范圍。審計目的是信息安全審計工作的出發(fā)點(diǎn)。審計目的可以從滿足監(jiān)管部門的要求、滿足信息安全國際國內(nèi)標(biāo)準(zhǔn)的要求、滿足機(jī)構(gòu)自身信息安全工作要求等合規(guī)性方面考慮。明確了審計目的,然后要確定審計范圍。審計范圍是影響審計工作量的一個重要因素。確定審計范圍,可以從組織機(jī)構(gòu)考慮,如僅對個別部門實(shí)施審計,或者在組織全部范圍實(shí)施審計;也可以從業(yè)務(wù)和系統(tǒng)角度考慮,如僅對核心系統(tǒng)實(shí)施審計,或者僅對信貸業(yè)務(wù)實(shí)施審計等。

2.明確審計依據(jù)。審計依據(jù)就像一把“尺子”,審計人員用它來衡量信息安全工作的“長短”。審計目的不同,審計依據(jù)就可能不同,如表1中所示。

3.組建審計組。審計組是具體實(shí)施信息安全審計工作的基本組織單位,應(yīng)由審計組長和審計員組成。管理良好的審計組是信息安全審計工作順利實(shí)施并達(dá)成審計目的的保障。審計組長應(yīng)由金融機(jī)構(gòu)內(nèi)部審計部門的管理者任命。負(fù)責(zé)編制審計方案和審計計劃,選擇審計員,管理審計小組,與被審計對象溝通等。審計組長應(yīng)具備較強(qiáng)的項目管理能力,熟悉被審計對象的業(yè)務(wù)和系統(tǒng),了解被審計對象面臨的信息安全風(fēng)險和常用的風(fēng)險控制措施。審計員應(yīng)選擇責(zé)任心強(qiáng)、公正、獨(dú)立、熟悉業(yè)務(wù)的人員擔(dān)任,避免審計員與被審計對象存在利害關(guān)系,以免影響審計結(jié)果的公正性。正式實(shí)施信息安全審計前,應(yīng)對審計組成員進(jìn)行培訓(xùn)。

4.實(shí)施現(xiàn)場審計。審計準(zhǔn)備工作就緒后,則可以實(shí)施現(xiàn)場審計?,F(xiàn)場審計是一項復(fù)雜的系統(tǒng)工程,具有較強(qiáng)的不確定性。因此,現(xiàn)場審計應(yīng)根據(jù)事先編制的審計方案和審計計劃執(zhí)行,審計過程中還要做好變更控制?,F(xiàn)場審計往往由首次會議開始,至末次會議結(jié)束。在首次會議上,審計組長應(yīng)向被審計單位闡明此次審計的目的、范圍、依據(jù)和審計計劃,并提出需要被審計單位配合的事項。末次會議上,審計組長向被審計單位說明審計發(fā)現(xiàn),報告審計初步結(jié)果,并與被審計單位就初步審計結(jié)果達(dá)成一致?,F(xiàn)場審計方法通常包括:現(xiàn)場訪談、審閱文件、查看記錄、系統(tǒng)檢查和測試等。在系統(tǒng)檢查和測試過程中,可能需要相關(guān)的審計工具,如系統(tǒng)漏洞掃描器、數(shù)據(jù)庫安全審計系統(tǒng)、桌面終端配置檢查工具、網(wǎng)絡(luò)安全檢查工具、惡意軟件掃描器等。現(xiàn)場審計過程中,應(yīng)做好文檔化工作。對所發(fā)現(xiàn)的審計證據(jù)應(yīng)進(jìn)行詳細(xì)記錄,并與被審計單位人員進(jìn)行現(xiàn)場確認(rèn)?,F(xiàn)場審計應(yīng)注意方式方法,就意見不一致的問題先做好記錄,避免現(xiàn)場與被審計單位人員發(fā)生爭執(zhí)。

篇3

【 關(guān)鍵詞 】 互聯(lián)網(wǎng);安全;防御;威脅

Key Measures of the "Internet +" Under the New Normal, Safe Operation of the Internet

Xiong Wei

(CPC Hunan Provincial Committee Party School HunanXiangtan 410006 )

【 Abstract 】 With cloud computing, distributed computing, rapid development of mobile computing technology and improve the development of a new generation of computer technology gave birth to the "Internet +" era, to achieve widespread popularity of the Internet in industrial production, commerce, and virtual reality in and achieved remarkable results. "Internet +" era of many types of network applications, applications scale complex and require strict network security management system and preventive measures, in order to be able to improve network security defense capabilities to ensure the normal application of network security.

【 Keywords 】 internet; security; defense; threats

1 引言

目前,隨著新一代信息技術(shù)地發(fā)展和改進(jìn),其催生了物聯(lián)網(wǎng)、社會計算、云計算、大數(shù)據(jù)、移動計算等技術(shù),進(jìn)而實(shí)現(xiàn)了網(wǎng)絡(luò)創(chuàng)新2.0,推動了創(chuàng)新2.0的改革和演變,形成了體驗實(shí)驗區(qū)、個人創(chuàng)造實(shí)驗室、應(yīng)用創(chuàng)新園區(qū)、維基模式等應(yīng)用系統(tǒng)的誕生,實(shí)現(xiàn)了傳統(tǒng)行業(yè)與互聯(lián)網(wǎng)融合發(fā)展,形成了“互聯(lián)網(wǎng)+”時代的新業(yè)態(tài)和新形態(tài)?!盎ヂ?lián)網(wǎng)+”時代促進(jìn)了各類基于網(wǎng)絡(luò)的應(yīng)用系統(tǒng)誕生和普及,以云計算、物聯(lián)網(wǎng)、車聯(lián)網(wǎng)、大數(shù)據(jù)為代表的新一代信息技術(shù)與工業(yè)制造、生產(chǎn)服務(wù)、金融經(jīng)濟(jì)融合創(chuàng)新,打造了新的產(chǎn)業(yè)增長點(diǎn),為大眾創(chuàng)業(yè)、萬眾創(chuàng)新提供了新的環(huán)境,支撐產(chǎn)業(yè)智能化、經(jīng)濟(jì)發(fā)展創(chuàng)新化發(fā)展。隨著人類信息化社會進(jìn)入“互聯(lián)網(wǎng)+”時代,互聯(lián)網(wǎng)應(yīng)用規(guī)模迅速上升,復(fù)雜程度也大幅度增加,互聯(lián)網(wǎng)新常態(tài)下面臨了更多的安全威脅,具體表現(xiàn)在幾個方面。

(1)“互聯(lián)網(wǎng)+”時代安全威脅更加智能。“互聯(lián)網(wǎng)+”時代的到來,促進(jìn)了網(wǎng)絡(luò)木馬、病毒和黑客攻擊技術(shù)的提升,導(dǎo)致網(wǎng)絡(luò)安全威脅日趨智能化,能夠發(fā)現(xiàn)互聯(lián)網(wǎng)應(yīng)用系統(tǒng)存在的、更加隱蔽的風(fēng)險和漏洞進(jìn)行攻擊。

(2)“互聯(lián)網(wǎng)+”時代安全威脅傳播范圍廣、速度快?!盎ヂ?lián)網(wǎng)+”時代,云計算技術(shù)、分布式計算技術(shù)、移動計算技術(shù)使更多的網(wǎng)絡(luò)節(jié)點(diǎn)通過光纖網(wǎng)絡(luò)連接在一起,如果一個網(wǎng)絡(luò)節(jié)點(diǎn)存在漏洞被安全威脅攻擊,則將在更短的時間內(nèi)感染其他節(jié)點(diǎn),產(chǎn)生更大的損失。

因此,為了能夠提高“互聯(lián)網(wǎng)+”時代網(wǎng)絡(luò)安全管理成效,需要創(chuàng)新網(wǎng)絡(luò)安全管理體系和模式,全方位實(shí)現(xiàn)網(wǎng)絡(luò)安全漏洞掃描和風(fēng)險評估,對“互聯(lián)網(wǎng)+”安全管理涉及的節(jié)點(diǎn)資源進(jìn)行審計,采用主動防御技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)安全管理,具有重要的作用和意義。

2 互聯(lián)網(wǎng)安全管理體系創(chuàng)新及其模式

2.1 網(wǎng)絡(luò)安全風(fēng)險評估

網(wǎng)絡(luò)安全風(fēng)險評估可以有效評估網(wǎng)絡(luò)軟硬件資源受到的威脅,以便能夠?qū)踩{控制在可接受的范圍內(nèi)。網(wǎng)絡(luò)安全風(fēng)險評估是確定計算機(jī)網(wǎng)絡(luò)中是否存在潛在威脅和攻擊事件的重要工具。網(wǎng)絡(luò)安全風(fēng)險評估包括五種基本要素,分別是資產(chǎn)、威脅、脆弱性、信息安全風(fēng)險和安全措施。資產(chǎn)是指計算機(jī)網(wǎng)絡(luò)節(jié)點(diǎn)使用的、有價值的固定設(shè)備、軟件系統(tǒng)等有形或無形的資產(chǎn)。威脅是指可能對資產(chǎn)造成損害的一些潛在的攻擊事件或非法事件,威脅可以使用主體、動機(jī)、資源和途徑等多個屬性進(jìn)行聯(lián)合刻畫。脆弱性是指可能被威脅利用的薄弱環(huán)節(jié)或漏洞,其可以對資產(chǎn)造成損失。信息安全風(fēng)險包括自熱因素造成的風(fēng)險或人為因素造成的風(fēng)險,能夠利用計算機(jī)軟硬件存在的漏洞攻擊計算機(jī)網(wǎng)絡(luò),破壞網(wǎng)絡(luò)的安全性。安全措施是指為了能夠防御計算機(jī)信息系統(tǒng)遭到破壞,以便能夠采用入侵檢測、防火墻等具體的措施,保護(hù)資產(chǎn)安全,防御安全攻擊事件發(fā)生,并且能夠用來打擊犯罪,其包括各類規(guī)范、防御技術(shù)等。

2.2 網(wǎng)絡(luò)安全審計

網(wǎng)絡(luò)安全審計可以通過數(shù)據(jù)采集、數(shù)據(jù)分析、安全審計響應(yīng)等過程,能夠獲取網(wǎng)絡(luò)操作系統(tǒng)的使用狀況和設(shè)備狀態(tài)信息,并且可以將采集到的數(shù)據(jù)進(jìn)行統(tǒng)一變換,實(shí)施預(yù)處理,接著使用數(shù)據(jù)分析技術(shù),按照既定的安全審計規(guī)則,鑒別數(shù)據(jù)中存在的異常行為、非法行為。安全審計分析完成之后,可以根據(jù)安全審計的結(jié)果做出相關(guān)的響應(yīng)操作,安全審計響應(yīng)主要包括主動響應(yīng)和被動響應(yīng)。安全審計系統(tǒng)檢測到網(wǎng)絡(luò)中存在的異常行為之后,安全審計系統(tǒng)不主動做出響應(yīng);安全審計系統(tǒng)通過發(fā)出異常檢測報警,可以通過告警彈窗、發(fā)送短消息、郵件等到管理員處,由其他人員或者安全設(shè)備采取預(yù)防或改進(jìn)措施。

2.3 網(wǎng)絡(luò)主動防御系統(tǒng)

傳統(tǒng)的網(wǎng)絡(luò)安全通常采用訪問控制列表、防火墻、包過濾、入侵檢測等技術(shù),雖然能夠阻止網(wǎng)絡(luò)木馬、病毒和黑客的攻擊。但是隨著“互聯(lián)網(wǎng)+”時代的到來,網(wǎng)絡(luò)安全威脅技術(shù)日趨智能,傳播速度越來越快,感染范圍也越來越廣泛,傳統(tǒng)網(wǎng)絡(luò)安全防御已經(jīng)無法滿足“互聯(lián)網(wǎng)+”時代網(wǎng)絡(luò)安全管理需求,因此在網(wǎng)絡(luò)安全管理過程中,可以采用網(wǎng)絡(luò)安全主動防御技術(shù)提高網(wǎng)絡(luò)安全管理能力。網(wǎng)絡(luò)安全主動防御技術(shù)主要包括預(yù)警、防護(hù)、檢測、響應(yīng)、恢復(fù)和反擊六種,將這六種技術(shù)有機(jī)集成在一起,分布于網(wǎng)絡(luò)安全防御的不同層次,構(gòu)建深度防御體系,能夠及時地發(fā)現(xiàn)大數(shù)據(jù)時代網(wǎng)絡(luò)中非法入侵信息和不正常數(shù)據(jù),以便能夠及時地對攻擊行為進(jìn)行阻斷、反擊,恢復(fù)網(wǎng)絡(luò)至正常的運(yùn)行狀態(tài)。

3 互聯(lián)網(wǎng)安全運(yùn)營的關(guān)鍵措施

3.1 管理措施

“互聯(lián)網(wǎng)+”時代,網(wǎng)絡(luò)應(yīng)用系統(tǒng)使用制度具有較為重要的作用,許多計算機(jī)網(wǎng)絡(luò)安全專家提出,網(wǎng)絡(luò)安全七分防御、三分管理,因此可以甚至網(wǎng)絡(luò)安全管理制度在安全管理過程中,具有不可替代的作用。網(wǎng)絡(luò)安全應(yīng)用用戶越來越多,網(wǎng)絡(luò)安全操作用戶大部分非計算機(jī)專業(yè)人才,因此需要建立健全管理制度,以便能夠規(guī)范網(wǎng)絡(luò)用戶操作,強(qiáng)化用戶網(wǎng)絡(luò)安全防御技術(shù)培訓(xùn),定期對網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全漏洞掃描和評估,并且制定網(wǎng)絡(luò)安全防御策略,使得網(wǎng)絡(luò)安全管理制度融入到工作、生活和學(xué)習(xí)過程中,通過學(xué)習(xí)、培訓(xùn),提高用戶的安全意識,增強(qiáng)用戶的警覺性。

3.2 技術(shù)措施

網(wǎng)絡(luò)安全主動防御技術(shù)主要包括安全預(yù)警、安全保護(hù)、安全監(jiān)測、安全響應(yīng)、網(wǎng)絡(luò)恢復(fù)和網(wǎng)絡(luò)反攻擊等六種。網(wǎng)絡(luò)安全預(yù)警可以有效地對網(wǎng)絡(luò)中可能發(fā)生的攻擊進(jìn)行警告,包括漏洞預(yù)警、行為預(yù)警、攻擊趨勢預(yù)警等措施,預(yù)知網(wǎng)絡(luò)未來可能發(fā)生的網(wǎng)絡(luò)攻擊。網(wǎng)絡(luò)安全保護(hù)可以采用多種手段,保護(hù)網(wǎng)絡(luò)安全系統(tǒng)的機(jī)密性、可用性、完整性、不可否認(rèn)性和可控性,網(wǎng)絡(luò)安全保護(hù)措施主要包括防病毒軟件、防火墻服務(wù)器、虛擬專用網(wǎng)等技術(shù)。網(wǎng)絡(luò)安全監(jiān)測的主要目的是能夠及時地發(fā)現(xiàn)網(wǎng)絡(luò)中存在的攻擊信息,以便能夠檢測網(wǎng)絡(luò)中是否存在非法信息流,檢測網(wǎng)絡(luò)服務(wù)系統(tǒng)是否存在安全漏洞等,以便能夠?qū)崟r地應(yīng)對網(wǎng)絡(luò)安全攻擊,網(wǎng)絡(luò)安全監(jiān)測技術(shù)包括入侵檢測技術(shù)、網(wǎng)絡(luò)安全掃描技術(shù)和網(wǎng)絡(luò)實(shí)時監(jiān)控技術(shù)。

網(wǎng)絡(luò)安全響應(yīng)能夠?qū)W(wǎng)絡(luò)中存在的病毒、木馬等安全威脅做出及時的反應(yīng),以便進(jìn)一步阻止網(wǎng)絡(luò)攻擊,將網(wǎng)絡(luò)安全威脅阻斷或者引誘到其他的備用主機(jī)上。網(wǎng)絡(luò)恢復(fù)技術(shù)可以為了保證網(wǎng)絡(luò)受到攻擊之后,能夠及時地恢復(fù)系統(tǒng),需要在平時做好備份工作,常用的備份技術(shù)包括現(xiàn)場外備份、現(xiàn)場內(nèi)備份和冷熱備份等。網(wǎng)絡(luò)安全反擊技術(shù)是主動防御系統(tǒng)最為重要的特征之一,其可以對網(wǎng)絡(luò)攻擊源進(jìn)行有效的反擊,網(wǎng)絡(luò)安全反擊綜合采用各類網(wǎng)絡(luò)攻擊手段,確保網(wǎng)絡(luò)高效服務(wù)用戶。

4 結(jié)束語

隨著“互聯(lián)網(wǎng)+”時代的到來,網(wǎng)絡(luò)安全攻擊技術(shù)更加智能、傳播速度更快、影響范圍更加廣泛,構(gòu)建和實(shí)現(xiàn)新的網(wǎng)絡(luò)安全管理系統(tǒng),可以全方位實(shí)現(xiàn)網(wǎng)絡(luò)安全防御。

參考文獻(xiàn)

[1] 郭威,曾濤,劉偉霞.計算機(jī)網(wǎng)絡(luò)技術(shù)與安全管理維護(hù)的研究[J]. 信息通信, 2014, 32(10):164-164.

[2] 田紅廣.如何加強(qiáng)計算機(jī)網(wǎng)絡(luò)的安全管理和安全防范[J].軟件, 2014, 26(1):92-93.

[3] 蔡艷.探討數(shù)據(jù)挖掘技術(shù)在網(wǎng)絡(luò)信息安全管理中的應(yīng)用[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用, 2013, 21(10):58-58.

篇4

一、 道路交通安全長效管理機(jī)制內(nèi)涵

道路交通事故通常指人、車在道路上通行時,由于違反交通規(guī)則或其它原因發(fā)生人員、牲畜和車、物損失的事件?!吨腥A人民共和國道路交通安全法》中對“交通事故”的定義是指車輛在道路上因過錯或者意外造成的人身傷亡或者財產(chǎn)損失的事件。由法律定義引申,筆者認(rèn)為道路交通安全長效管理機(jī)制的內(nèi)涵應(yīng)該為:在道路交通的執(zhí)行、管理過程中能有效預(yù)防事故,保證道路交通的順利進(jìn)行,并能對今后一段時期的道路交通安全工作產(chǎn)生積極影響的運(yùn)行方式、管理模式和監(jiān)督體制的總和。而這種長效管理機(jī)制首先是切實(shí)可行,而又長期有效的;它所形成的規(guī)范性條款和規(guī)定,并不只局限于現(xiàn)任,無需隨人員的流動或機(jī)構(gòu)的變遷而動。因此它必須具有以下五個特性:

長期性在立法思路、管理策略和采取的措施上,管理效應(yīng)會對今后相當(dāng)長一段時期的工作產(chǎn)生影響,而不是一種短期行為。

系統(tǒng)通安全長效管理機(jī)制豐富的內(nèi)涵決定了必須有多項的措施保證其功能的實(shí)現(xiàn)。這是一個系統(tǒng)共同作用而產(chǎn)生的效果,不是單一的措施就能完成的。

根本性立足防范,從治本上研究和考慮立法思路、管理策略和采取的措施。

自主性這種機(jī)制所產(chǎn)生的效果能使生產(chǎn)經(jīng)營主體真正形成自我管理的意識,形成自我約束的機(jī)制。

有效性有效性是建立長效管理機(jī)制的最終目的,只有在實(shí)踐的過程中,才能檢驗其存在的真正價值。

二、道路交通安全長效管理機(jī)制的構(gòu)建

筆者認(rèn)為,構(gòu)建福建省道路交通安全長效管理機(jī)制應(yīng)從七個層面加以思考,即建立健全四個體系、引進(jìn)一個制度、實(shí)現(xiàn)兩個創(chuàng)新。

(一)建立健全交通安全相關(guān)的法律法規(guī)體系

當(dāng)前,應(yīng)盡快做好道路交通安全主法的配套和細(xì)化工作。一要盡快制定和出臺有關(guān)單行法規(guī)、條例;二要結(jié)合實(shí)際,通過地方立法,補(bǔ)充和完善道路交通安全法律體系,如對交通主管部門機(jī)構(gòu)設(shè)置和人員配置及對交通安全行政執(zhí)法和處罰進(jìn)行細(xì)化等;三要加強(qiáng)交通安全立法理論研究和司法總結(jié),擴(kuò)大交通安全立法的公開性、民主性和廣泛性。

(二)建立健全安全目標(biāo)管理體系

1、加強(qiáng)各級人員對道路交通安全目標(biāo)管理的認(rèn)識。道路交通企業(yè)領(lǐng)導(dǎo)對安全目標(biāo)管理要有深刻的認(rèn)識,要深入調(diào)查研究,結(jié)合本單位實(shí)際情況,制定企業(yè)的總目標(biāo),并參加全過程的管理;加強(qiáng)對中層和基層干部的思想教育,提高他們對安全目標(biāo)管理重要性的認(rèn)識和組織協(xié)調(diào)能力;還要加強(qiáng)對職工的宣傳教育,普及安全目標(biāo)管理的基本知識與方法。

2、安全目標(biāo)管理需要全員參與。安全目標(biāo)管理是以目標(biāo)責(zé)任者為主的自主管理,因此,必須充分發(fā)動群眾,將企業(yè)的全體員工科學(xué)地組織起來,實(shí)行全員、全過程參與,才能保證安全目標(biāo)的有效實(shí)施。

3、安全目標(biāo)管理需要責(zé)、權(quán)、利相結(jié)合。實(shí)施安全目標(biāo)管理時要明確職工在目標(biāo)管理中的職責(zé)。同時,要賦予他們在日常管理上的權(quán)力,還要給予他們應(yīng)得的利益,責(zé)、權(quán)、利的有機(jī)結(jié)合才能調(diào)動廣大職工的積極性和持久性。

4、安全目標(biāo)管理要與其他安全管理方法相結(jié)合。在實(shí)現(xiàn)安全目標(biāo)過程中,要依靠和發(fā)揮各種安全管理方法的作用,如建立安全生產(chǎn)責(zé)任制、制定安全技術(shù)措施計劃、開展安全教育和安全檢查等。只有兩者有機(jī)結(jié)合,才能使企業(yè)的安全管理工作做得更好。

(三)建立健全交通部門的預(yù)警體系

長期以來,道路交通安全部門的安全管理基本是單一的反饋控制模式。這種模式主要體現(xiàn)了事后把關(guān)的安全管理思想,即主要通過對已發(fā)生的事故和事故苗子等進(jìn)行分析,找出原因,然后制定實(shí)施對策。隨著道路里程的增加和交通工具密度日益增大,交通運(yùn)輸生產(chǎn)的系統(tǒng)復(fù)雜度和風(fēng)險度顯著提高。這種單一的管理模式,已經(jīng)遠(yuǎn)遠(yuǎn)不能適應(yīng)現(xiàn)代安全管理的需求。

因此有必要構(gòu)建先進(jìn)的交通安全預(yù)警系統(tǒng),綜合利用現(xiàn)有的交通運(yùn)輸系統(tǒng)安全信息,針對交通運(yùn)輸生產(chǎn)系統(tǒng)本身或其輸入發(fā)生的變化,在其影響運(yùn)輸生產(chǎn)安全之前就事先將對其可能造成的影響進(jìn)行分析評價,開展事故安全預(yù)測,及時向交通安全部門反饋信息,使其能夠根據(jù)得到的前饋信息,科學(xué)預(yù)見交通運(yùn)輸生產(chǎn)系統(tǒng)及其要素的安全態(tài)勢,采取合理措施對交通運(yùn)輸生產(chǎn)系統(tǒng)的人、機(jī)、環(huán)境、管理等四個要素進(jìn)行事前協(xié)調(diào),把事故消滅在萌芽之中,防患于未然。

(四)建立健全道路交通信息化體系

1994年,福建省交通信息化工作開始實(shí)施"三步走"的發(fā)展戰(zhàn)略。目前已經(jīng)實(shí)現(xiàn)了第一步:普及計算機(jī)和推廣應(yīng)用信息技術(shù)的基礎(chǔ)工作;第二步也基本完成:部份數(shù)據(jù)庫和局域網(wǎng)的建設(shè),基本實(shí)現(xiàn)《福建省道路、水運(yùn)交通信息化1998-2000發(fā)展規(guī)劃》中提出的目標(biāo),全行業(yè)信息技術(shù)應(yīng)用達(dá)到一定水平。

作為第三步任務(wù)目標(biāo)是建設(shè)“數(shù)字交通”。它是以我省交通為對象的數(shù)字化、網(wǎng)絡(luò)化、可視化和智能化的信息集成及應(yīng)用系統(tǒng)。著力在五個領(lǐng)域取得進(jìn)展,實(shí)現(xiàn)交通政務(wù)信息化;交通基礎(chǔ)設(shè)施建設(shè)與管理信息化;交通運(yùn)輸生產(chǎn)管理信息化;交通產(chǎn)品營銷信息化;交通科學(xué)技術(shù)信息化。重點(diǎn)實(shí)施交通信息化"123重點(diǎn)工程":抓好電子政務(wù)建設(shè);力爭在智能運(yùn)輸系統(tǒng)(ITS)和物流兩個領(lǐng)域有實(shí)質(zhì)性突破;開發(fā)、推廣、應(yīng)用高速道路聯(lián)網(wǎng)收費(fèi)、交通基礎(chǔ)設(shè)施建設(shè)質(zhì)量安全監(jiān)控、交通公共信息服務(wù)三個系統(tǒng)。

(五)引進(jìn)道路安全審計制度

道路安全審計是有效預(yù)防和降低交通事故的重要手段之一。首先,“預(yù)防重于治理”,道路建設(shè)項目的各個階段實(shí)行安全審計是從源頭預(yù)防交通事故的重要措施,;其次應(yīng)盡快開展道路安全審計的法規(guī)研究,明確道路安全審計的程序和安全審計人員的責(zé)任、義務(wù)及權(quán)益;第三,要加緊加快道路安全審計指標(biāo)體系的研究,從而形成一套較完善的評價標(biāo)準(zhǔn);第四,培育道路安全審計隊伍及建立相應(yīng)機(jī)構(gòu),保證審計人員獨(dú)立公正地開展工作。

(六)實(shí)現(xiàn)交通科技創(chuàng)新

未來交通發(fā)展的重點(diǎn)是擴(kuò)充能力、優(yōu)化結(jié)構(gòu)、提高質(zhì)量、改善服務(wù)、保障安全、保護(hù)環(huán)境,任務(wù)十分艱巨??茖W(xué)技術(shù)是第一生產(chǎn)力,是交通發(fā)展的重要推動力量,對交通發(fā)展將產(chǎn)生重大影響。充分依靠科技進(jìn)步,全面提升交通行業(yè)的科技含量,是走新型工業(yè)化道路、實(shí)現(xiàn)交通更快更好發(fā)展的必然選擇。

構(gòu)建智能交通管理指揮系統(tǒng)結(jié)構(gòu),其總體目標(biāo)應(yīng)為:以信息技術(shù)為主導(dǎo),以計算機(jī)通信網(wǎng)絡(luò)和智能化指揮控制管理為基礎(chǔ),初步建成集高新技術(shù)應(yīng)用為一體的智能化道路交通管理體系,基本實(shí)現(xiàn)交通指揮現(xiàn)代化、管理數(shù)字化、信息網(wǎng)絡(luò)化、辦公自動化,進(jìn)而實(shí)現(xiàn)交通管理決策科學(xué)化、交通指揮調(diào)度信息化、城市快速路網(wǎng)交通管理智能化、交通信號控制自動化以及實(shí)現(xiàn)交通管理電子警務(wù)和電子政務(wù)。

(七)推進(jìn)安全文化創(chuàng)新

1、進(jìn)行安全知識教育。安全教育包括新工人上崗教育、事故案例教育、違章教育等等。進(jìn)行職工的安全知識教育一是要堅持全員教育和重點(diǎn)教育相結(jié)合的原則,根據(jù)不同的教育對象,授以不同的教育內(nèi)容和提出不同的要求。

篇5

十幾年來,勤勞智慧的藍(lán)盾人憑借高度民族使命感和責(zé)任感,自主研發(fā)出十個系列、近50個型號的產(chǎn)品,多項產(chǎn)品通過公安、保密、軍隊等權(quán)威主管部門的檢測認(rèn)證。

藍(lán)盾擁有AAA級企業(yè)信用等級,在經(jīng)營活動中始終堅持“誠信服務(wù)”,追求細(xì)致卓越,高效服務(wù)客戶,以客戶需求為導(dǎo)向,在發(fā)展過程中逐步形成了涵蓋安全產(chǎn)品研發(fā)及銷售、安全集成及安全服務(wù)的完整業(yè)務(wù)體系,形成了強(qiáng)大的綜合服務(wù)能力。藍(lán)盾已成為一家安全產(chǎn)品、安全服務(wù)、安全集成多業(yè)務(wù)齊頭并進(jìn)的綜合性信息安全企業(yè)。

藍(lán)盾建立了以廣州營銷總部為中心,以北京、上海、重慶為支點(diǎn),輻射全國的營銷和技術(shù)服務(wù)體系。作為華南地區(qū)信息安全第一品牌,藍(lán)盾目前已擁有覆蓋全國,涉及政府、電信、金融、軍隊、能源、交通、教育、流通、郵政、制造等行業(yè)的近千余家客戶。藍(lán)盾雄厚的實(shí)力和一流的服務(wù)為公司贏得了廣大客戶的高度贊譽(yù)。

1.安全產(chǎn)品

藍(lán)盾擁有包括安全網(wǎng)關(guān)、安全審計、應(yīng)用安全在內(nèi)的三大類、十大系列、50多個品種的安全產(chǎn)品線,可基本滿足客戶在網(wǎng)絡(luò)邊界安全、安全審計與合規(guī)、應(yīng)用安全等方面的信息安全需求。

2.安全集成

作為主營業(yè)務(wù)之一,藍(lán)盾安全集成業(yè)務(wù)包括自有的和第三方的信息系統(tǒng)安全產(chǎn)品銷售、基礎(chǔ)信息系統(tǒng)建設(shè)、應(yīng)用信息系統(tǒng)開發(fā)、信息系統(tǒng)運(yùn)維服務(wù)、信息系統(tǒng)安全運(yùn)營等。藍(lán)盾已為政府、教育、金融、電力、醫(yī)療等行業(yè)的多家客戶提供了信息安全系統(tǒng)整體解決方案。

有別于傳統(tǒng)的系統(tǒng)集成業(yè)務(wù),藍(lán)盾安全集成業(yè)務(wù)以公司自有信息安全產(chǎn)品和業(yè)務(wù)整合為基礎(chǔ),以信息系統(tǒng)安全運(yùn)營服務(wù)平臺為基礎(chǔ)結(jié)構(gòu),建立了覆蓋產(chǎn)品研發(fā)、方案設(shè)計、銷售和集成、工程實(shí)施、管網(wǎng)建設(shè)和運(yùn)營服務(wù)的一整套信息系統(tǒng)安全運(yùn)營業(yè)務(wù)支持體系,成功實(shí)現(xiàn)了從傳統(tǒng)信息系統(tǒng)集成業(yè)務(wù)到以信息安全產(chǎn)品為基礎(chǔ)、提供信息系統(tǒng)安全運(yùn)營整體服務(wù)的戰(zhàn)略跨越,從而確立了公司整體解決方案在信息安全市場中的領(lǐng)先地位。

3.安全服務(wù)

藍(lán)盾提供的安全服務(wù)主要包括安全咨詢與評估、專業(yè)化安全檢測與防護(hù)、安全認(rèn)證培訓(xùn)服務(wù)、安全運(yùn)營及管理、安全技術(shù)支持等。經(jīng)過多年積累,藍(lán)盾已為上百家客戶提供了專業(yè)化的服務(wù),構(gòu)建了覆蓋不同行業(yè)客戶及客戶不同發(fā)展階段的信息安全服務(wù)體系。

信息安全產(chǎn)品的研發(fā)、生產(chǎn)和銷售是藍(lán)盾業(yè)務(wù)體系的基礎(chǔ)。它對信息安全集成及信息安全服務(wù)的發(fā)展起著至關(guān)重要的作用。安全產(chǎn)品業(yè)務(wù)能夠有效促進(jìn)公司安全集成與安全服務(wù)業(yè)務(wù)的實(shí)現(xiàn)和業(yè)務(wù)量的提升。安全集成與安全服務(wù)業(yè)務(wù)同時還會促進(jìn)安全產(chǎn)品技術(shù)和應(yīng)用水平的提升。隨著技術(shù)實(shí)力和安全產(chǎn)品競爭力的提高,藍(lán)盾提供整體解決方案的能力也在逐漸增強(qiáng)。在安全集成業(yè)務(wù)收入快速增長的同時,藍(lán)盾自有安全產(chǎn)品的銷售額也在快速增加。

技術(shù)創(chuàng)新 締造優(yōu)勢

藍(lán)盾始終以自主創(chuàng)新為發(fā)展原動力,以領(lǐng)先的技術(shù)研發(fā)搶占市場。經(jīng)過多年的探索和積累,藍(lán)盾已掌握了信息安全領(lǐng)域內(nèi)的主要核心技術(shù),并擁有該領(lǐng)域內(nèi)近百項軟件著作權(quán)。藍(lán)盾目前掌握的主要技術(shù)處于國內(nèi)領(lǐng)先地位,其中藍(lán)盾DDoS防御網(wǎng)關(guān)采用的零積累智能識別技術(shù)達(dá)到了國際先進(jìn)水平。

憑借領(lǐng)先的技術(shù)實(shí)力,藍(lán)盾先后實(shí)施了包括公安部科技攻關(guān)項目在內(nèi)的多項國家級、部級、省市區(qū)級的重點(diǎn)信息安全科研項目,并在公安部等部委制定服務(wù)器安全類產(chǎn)品和安全審計類產(chǎn)品行業(yè)技術(shù)標(biāo)準(zhǔn)的過程種發(fā)揮了重要作用。

此外,藍(lán)盾還成功地為北京奧運(yùn)會和殘奧會提供了信息安全產(chǎn)品和服務(wù),并因此獲得了北京奧組委頒發(fā)的榮譽(yù)獎?wù)隆?/p>

專業(yè)資質(zhì) 彰顯實(shí)力

安全行業(yè)是國家強(qiáng)制性保護(hù)的行業(yè),獲得資質(zhì)或許可的多少是衡量信息安全企業(yè)競爭實(shí)力的重要標(biāo)準(zhǔn)。

藍(lán)盾具有技術(shù)優(yōu)勢及綜合服務(wù)能力,已擁有商用密碼產(chǎn)品銷售許可證、軍隊網(wǎng)絡(luò)采購信息資格認(rèn)證、信息系統(tǒng)產(chǎn)品檢測證書、軍用信息安全產(chǎn)品認(rèn)證證書、產(chǎn)品銷售許可證、中國信息安全認(rèn)證中心產(chǎn)品認(rèn)證證書、廣州市自主創(chuàng)新產(chǎn)品證書,并取得了計算機(jī)信息系統(tǒng)安全服務(wù)一級資質(zhì)證書、計算機(jī)信息系統(tǒng)集成一級資質(zhì)證書、計算機(jī)信息系統(tǒng)集成乙級證書、信息安全應(yīng)急處理服務(wù)資質(zhì)、信息安全風(fēng)險評估服務(wù)資質(zhì)等業(yè)務(wù)資質(zhì),還獲得了包括信息安全產(chǎn)品、信息安全集成及信息安全服務(wù)在內(nèi)的所有業(yè)務(wù)類別的較高級別資質(zhì)和許可,是業(yè)內(nèi)獲得資質(zhì)和許可最全的企業(yè)之一。

綜合服務(wù) 鑄就品牌

藍(lán)盾的各業(yè)務(wù)模塊能相互促進(jìn),共同發(fā)展,從而形成了較強(qiáng)的綜合服務(wù)能力。

藍(lán)盾的信息安全產(chǎn)品可滿足客戶在網(wǎng)絡(luò)邊界安全、安全審計與合規(guī)、應(yīng)用安全等方面的信息安全需求,并能為客戶設(shè)計和實(shí)施信息安全方面的整體解決方案,滿足客戶系統(tǒng)化、個性化的安全需求。

此外,藍(lán)盾還可以為客戶提供安全咨詢與評估、安全檢測與防護(hù)、安全認(rèn)證培訓(xùn)服務(wù)等專業(yè)化的安全服務(wù)。藍(lán)盾完整的業(yè)務(wù)體系及豐富的產(chǎn)品種類可滿足不同行業(yè)客戶的信息安全需求,增強(qiáng)公司的綜合競爭力。

藍(lán)盾建立了輻射全國的營銷和技術(shù)服務(wù)體系,這為公司掌握信息安全領(lǐng)域的最新市場動態(tài)、及時響應(yīng)客戶需求提供了重要保證。

客戶穩(wěn)定 促進(jìn)增長

信息安全行業(yè)的特殊性決定了下游客戶對信息安全提供商存在一定的依賴性。隨著社會各界對信息安全要求的逐步提高,下游客戶在信息安全系統(tǒng)建設(shè)和升級的過程中會對安全產(chǎn)品、安全集成及安全服務(wù)產(chǎn)生交叉消費(fèi)和重復(fù)消費(fèi)。

因此,下游用戶對信息安全領(lǐng)域的投入是持續(xù)性的。藍(lán)盾現(xiàn)有的客戶資源既是穩(wěn)定的業(yè)務(wù)來源,也是宣傳品牌、擴(kuò)大影響力的最好載體,這有利于新市場及新客戶的開拓,也為公司的持續(xù)盈利提供了重要保障。

精英匯聚 引領(lǐng)成功

篇6

關(guān)鍵詞:信息管理系統(tǒng) 信息安全 系統(tǒng)安全建設(shè)

中圖分類號:TP39 文獻(xiàn)標(biāo)識碼:A 文章編號:1003-9082(2014)03-0001-02

一、引言

隨著全球信息化不斷在我國深化和發(fā)展,我國各地區(qū)、各行業(yè)使用信息系統(tǒng)開展工作的比例越來越大。一般來說,信息化程度越高,對信息管理系統(tǒng)的依賴性就越強(qiáng),信息安全問題就越為突顯和嚴(yán)重。而信息安全問題也正逐漸成為影響各企事業(yè)單位業(yè)務(wù)能否正常運(yùn)行、生產(chǎn)力能否快速發(fā)展的重要因素之一。但是由于我國信息化建設(shè)起步相對較晚,與國外先進(jìn)國家相比,無論在信息安全意識還是信息安全防護(hù)技術(shù)等諸多方面都還存在較大差距,各企事業(yè)單位的信息安全基本上均處于一個相對較為薄弱的環(huán)節(jié)。一旦信息管理系統(tǒng)中的個人信息和敏感數(shù)據(jù)發(fā)生丟失或者泄漏,可能會對自身造成無可估量的損失。因此,重點(diǎn)保障信息管理系統(tǒng)安全已成為各行各業(yè)的首要任務(wù)。信息管理系統(tǒng)安全建設(shè)應(yīng)該系統(tǒng)地、有條理地進(jìn)行全面規(guī)劃,充分地、全方位地考慮安全需求和特性,從而達(dá)到各種安全產(chǎn)品、安全管理、整體安全策略和外部安全服務(wù)的統(tǒng)一,發(fā)揮其最大的效率,給予信息管理系統(tǒng)以最大保障。

二、信息管理系統(tǒng)安全建設(shè)原則

1.安全體系兼容性

安全體系有一個重要的思想是安全技術(shù)的兼容性,安全措施能夠和目前主流、標(biāo)準(zhǔn)的安全技術(shù)和產(chǎn)品兼容。

2.信息管理系統(tǒng)體系架構(gòu)安全性

系統(tǒng)的系統(tǒng)架構(gòu)已經(jīng)成為保護(hù)系統(tǒng)安全的重要防線,一個優(yōu)秀的系統(tǒng)體系架構(gòu)除了能夠保證系統(tǒng)的穩(wěn)定性以外,還能夠封裝不同層次的業(yè)務(wù)邏輯。各種業(yè)務(wù)組件之間的“黑盒子”操作,能夠有效地保護(hù)系統(tǒng)邏輯隱蔽性和獨(dú)立性。

3.傳輸安全性

由于計算機(jī)網(wǎng)絡(luò)涉及很多用戶的接入訪問,因此如何保護(hù)數(shù)據(jù)在傳輸過程中不被竊聽和撰改就成為重點(diǎn)考慮內(nèi)的問題,建議采用傳輸協(xié)議的加密保護(hù)。

4.軟硬件結(jié)合的防護(hù)體系

系統(tǒng)應(yīng)支持和多種軟硬件安全設(shè)備結(jié)合,構(gòu)成一個立體防護(hù)體系,主要安全軟硬件設(shè)備為防火墻系統(tǒng)、防病毒軟件等。

5.可跟蹤審計

系統(tǒng)應(yīng)內(nèi)置多粒度的日志系統(tǒng),能夠按照需要把各種不同操作粒度的動作都記錄在日志中,用于跟蹤和審計用戶的歷史操作。

6.身份確認(rèn)及操作不可抵賴

身份確認(rèn)對于系統(tǒng)來說有兩重含義,一是用戶身份的確認(rèn),二是服務(wù)器身份的確認(rèn),兩者在信息安全體系建設(shè)中必不可少。

7.數(shù)據(jù)存儲的安全性

系統(tǒng)中數(shù)據(jù)存儲方面可以采取兩道機(jī)制進(jìn)行的保護(hù),一是系統(tǒng)提供的訪問權(quán)限控制,二是數(shù)據(jù)的加密存放。

三、信息管理系統(tǒng)安全建設(shè)內(nèi)容

按照系統(tǒng)安全體系結(jié)構(gòu),結(jié)合安全需求、安全策略和安全措施,并充分利用安全設(shè)備包括防火墻、入侵檢測、主機(jī)審計等,其建設(shè)內(nèi)容主要有:

1.物理安全

機(jī)房要求保護(hù)計算機(jī)設(shè)備、設(shè)施(含網(wǎng)絡(luò))以及其它媒體免遭地震、水災(zāi)、火災(zāi)、有害氣體和其它環(huán)境事故(如電磁污染、電源故障、設(shè)備被盜、被毀等)破壞。

2.網(wǎng)絡(luò)安全

利用現(xiàn)有的防火墻、路由器,實(shí)行訪問控制,按用戶與系統(tǒng)間的訪問規(guī)則,決定允許或拒絕用戶對受控系統(tǒng)進(jìn)行資源訪問。同時加強(qiáng)端口、拒絕服務(wù)攻擊、網(wǎng)絡(luò)蠕蟲等的監(jiān)控,保障系統(tǒng)網(wǎng)絡(luò)運(yùn)行的暢通。

2.1使用防火墻技術(shù)

通過使用防火墻技術(shù),建立系統(tǒng)的第二道安全屏障。例如,防止外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)的未授權(quán)訪問,建立系統(tǒng)的對外安全屏障。最好是采用不同技術(shù)的防火墻,增加黑客擊穿防火墻的難度。

2.2使用入侵監(jiān)測系統(tǒng)

使用入侵監(jiān)測系統(tǒng),建立系統(tǒng)的第三道安全屏障,提高系統(tǒng)的安全性能,主要包括:監(jiān)測分析用戶和系統(tǒng)的活動、核查系統(tǒng)配置和漏洞、評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性、識別已知的攻擊行為、統(tǒng)計分析異常行為、操作系統(tǒng)日志管理,并識別違反安全策略的用戶活動等功能。

3.主機(jī)安全

系統(tǒng)主機(jī)安全從主機(jī)身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范和資源控制等方面考慮。

3.1主機(jī)身份鑒別

對登錄操作系統(tǒng)的用戶進(jìn)行身份設(shè)別和鑒別,對操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)設(shè)置復(fù)雜的登錄口令,并且定期進(jìn)行更換。同時對操作系統(tǒng)和數(shù)據(jù)庫用戶分配不同的用戶分配不同用戶名。

3.2訪問控制

通過三層交換機(jī)和防火墻設(shè)置對系統(tǒng)服務(wù)器的訪問控制權(quán)限。對服務(wù)器實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離,限制默認(rèn)賬號的訪問權(quán)限,重命名系統(tǒng)默認(rèn)賬戶,修改默認(rèn)密碼。

3.3安全審計

服務(wù)器操作系統(tǒng)本身帶有審計功能,要求審計范圍覆蓋到服務(wù)器上的每個操作系統(tǒng)用戶,審計內(nèi)容包括重要用戶行為、系統(tǒng)資源異常使用并進(jìn)行記錄。

信息管理系統(tǒng)也應(yīng)考慮安全審計功能,記錄系統(tǒng)用戶行為,系統(tǒng)用戶操作事件日期、時間、類型、操作結(jié)果等。

3.4入侵防范

利用入侵檢測系統(tǒng)和防火墻相應(yīng)功能,檢測對服務(wù)器入侵行為,記錄入侵源IP、攻擊的類型、攻擊的目標(biāo)、攻擊時間,并在發(fā)生嚴(yán)重的入侵事件時提供報警。

3.5惡意代碼防范

在服務(wù)器上安裝服務(wù)器端防病毒系統(tǒng),以提供對病毒的檢測、清除、免疫和對抗能力。

3.6資源控制

在核心交換機(jī)與防火墻配置詳細(xì)訪問控制策略,限制非法訪問。

4.應(yīng)用安全

4.1安全審計

信息管理系統(tǒng)應(yīng)提供覆蓋到每個用戶的安全審計功能,對應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計,審計記錄內(nèi)容至少包括事件的日期、時間、發(fā)起者信息、類型、描述和結(jié)果等,保證無法刪除、修改或覆蓋審計記錄。

4.2資源控制

信息管理系統(tǒng)應(yīng)限制用戶對系統(tǒng)的最大并發(fā)會話連接數(shù)、限制單個賬戶的多重并發(fā)會話、限制某一時間段內(nèi)可能的并發(fā)會話連接數(shù)。

5.數(shù)據(jù)安全

系統(tǒng)數(shù)據(jù)安全要求確保管理數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)等重要信息在傳輸過程和存儲過程中的完整性和保密性。對于數(shù)據(jù)庫中的敏感數(shù)據(jù),需對數(shù)據(jù)項進(jìn)行加密,保證管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程與存儲過程中完整性不受到破壞。

對數(shù)據(jù)進(jìn)行定期備份,確保存儲過程中檢測到數(shù)據(jù)完整性錯誤時,具有數(shù)據(jù)恢復(fù)能力。必須采用至少兩種手段進(jìn)行備份,備份手段以整體安全備份系統(tǒng)為主,配合其他備份手段,如GHOST、TRUE IMAGE或操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)本身的備份服務(wù)等。備份具體要求如下:

5.1各服務(wù)器專職管理員根據(jù)所管服務(wù)器的具體情況與整體安全備份系統(tǒng)專職管理員協(xié)調(diào)制訂好所管服務(wù)器的備份計劃及備份策略。

5.2整體安全備份系統(tǒng)專職管理人員必須組織各服務(wù)器專職管理員對各服務(wù)器每個季度進(jìn)行一次整體災(zāi)備(冷備)。若某臺服務(wù)器的配置需要發(fā)生較大變更,該服務(wù)器的專職管理員應(yīng)在對該服務(wù)器實(shí)施變更前和圓滿完成變更后,分別對該服務(wù)器做一次整體災(zāi)備,必要時整體安全備份系統(tǒng)專職管理員需對整體災(zāi)備提供協(xié)助。

5.3數(shù)據(jù)備份主要分為月備份、周備份、日備份及日志(增量)備份。月備份每月對各服務(wù)器的所有系統(tǒng)、目錄及數(shù)據(jù)庫做一次全備(熱備)。周備份每周對各服務(wù)器的所有系統(tǒng)、目錄及數(shù)據(jù)庫做一次全備(熱備)。日備份每天對各服務(wù)器的重要目錄及數(shù)據(jù)庫做一次備份。日志(增量)備份針對數(shù)據(jù)更新較頻繁的服務(wù)器,每天進(jìn)行多次增量備份。

5.4除日志(增量)備份外,其它各種備份以每一次獨(dú)立執(zhí)行的備份作為一個獨(dú)立版本。每個獨(dú)立版本的備份必須存儲在獨(dú)立的備份介質(zhì)上,不能混合存儲在同一套備份介質(zhì)。整體災(zāi)備(冷備)和月備份一般要求保留至少能覆蓋當(dāng)年及上一年全年時間的所有版本,周備份要求保留至少最近5個版本,日備份要求保留至少最近4個版本,日志(增量)備份保留至少自上一次周備份以來的所有版本。

5.5備份介質(zhì)應(yīng)放在機(jī)房以外安全的地方保管。所有備份介質(zhì)必須有明確、詳盡的標(biāo)簽文字說明。

5.6整體安全備份系統(tǒng)專職管理員必須定時檢查備份作業(yè)的運(yùn)行情況,備份異常情況應(yīng)盡快查明原因,解決問題并在值班登記本上詳細(xì)記錄。

四、安全制度建設(shè)

建設(shè)嚴(yán)格、完整的基本管理制度包括安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理機(jī)制幾個方面。

安全管理制度:包括安全策略、安全制度、操作規(guī)程等的管理制度;管理制度的制定和;管理制度的評審和修訂。

安全管理機(jī)構(gòu):包括職能部門崗位設(shè)置;系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員的人員配備;授權(quán)和審批;管理人員、內(nèi)部機(jī)構(gòu)和職能部門間的溝通和合作;定期的安全審核和安全檢查。

人員安全管理:包括人員錄用;人員離崗;人員考核;安全意識教育和培訓(xùn);外部人員訪問管理。

系統(tǒng)建設(shè)管理:包括系統(tǒng)定級;安全方案設(shè)計;產(chǎn)品采購和使用;自行軟件開發(fā);外包軟件開發(fā);工程實(shí)施;測試驗收;系統(tǒng)交付;系統(tǒng)備案;等級測評;安全服務(wù)商選擇。

系統(tǒng)運(yùn)維管理:包括機(jī)房環(huán)境管理;信息資產(chǎn)管理;介質(zhì)管理;設(shè)備管理;監(jiān)控管理和安全管理中心;網(wǎng)絡(luò)安全管理;系統(tǒng)安全管理;惡意代碼防范管理;密碼管理;變更管理;備份與恢復(fù)管理;安全事件處置;應(yīng)急預(yù)案管理。

五、結(jié)束語

信息化建設(shè)已經(jīng)涉及到國民經(jīng)濟(jì)和社會生活的各個領(lǐng)域,信息管理系統(tǒng)也成為各行各業(yè)信息化建設(shè)發(fā)展中的重要工具。如何保障信息管理系統(tǒng)安全從而保證信息安全是關(guān)系到國家安全、社會安全和行業(yè)安全的大問題。我們只有在實(shí)現(xiàn)信息安全的條件下,才能有效利用信息管理系統(tǒng)這個有力的工具提高生產(chǎn)力,推動社會的發(fā)展。本文通過對信息系統(tǒng)安全建設(shè)原則、安全建設(shè)內(nèi)容和安全制度建設(shè)三方面較為詳細(xì)的探討,應(yīng)該對于各企事業(yè)單位信息管理系統(tǒng)的安全建設(shè)有所幫助和借鑒。

參考文獻(xiàn)

[1] 林國恩,李建彬,信息系統(tǒng)安全,電子工業(yè)出版社,2010-03

[2] Dieter Gollmann, Computer Security 2 edition, Wiley, 2006

[3]《信息系統(tǒng)安全等級保護(hù)基本要求》,中華人民共和國國家標(biāo)準(zhǔn),GB/T 22239-2008

[4] 尚邦治等,做好信息安全等級保護(hù)工作,中國衛(wèi)生信息管理雜志,2012.5

篇7

【關(guān)鍵詞】 醫(yī)院信息化建設(shè) IT運(yùn)維與安全管理

引言:

目前,隨著信息技術(shù)的日新月異和網(wǎng)絡(luò)信息系統(tǒng)應(yīng)用的發(fā)展,醫(yī)院、企業(yè)網(wǎng)絡(luò)技術(shù)的應(yīng)用層次正在從傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴(kuò)展。面對日趨復(fù)雜的IT系統(tǒng),不同背景的運(yùn)維人員已給企事業(yè)信息系統(tǒng)安全運(yùn)行帶來較大的潛在風(fēng)險,如醫(yī)院信息系統(tǒng)是醫(yī)院日常工作的重要應(yīng)用,存儲著重要的數(shù)據(jù)資源,是醫(yī)院正常運(yùn)行必不可少的組成部分,所以必須加強(qiáng)安全保障體系的建設(shè)。于是,堡壘機(jī)在醫(yī)院中的應(yīng)用,為醫(yī)院工作的應(yīng)用提供了安全可靠的運(yùn)行環(huán)境。

傳統(tǒng)的網(wǎng)絡(luò)安全審計系統(tǒng)給醫(yī)院的的運(yùn)維安全問題帶來了很多風(fēng)險,如:賬號管理無秩序,暗藏巨大隱患;粗放式權(quán)限管理的安全性難以保證;設(shè)備自身陳舊,無法審計運(yùn)維加密協(xié)議、遠(yuǎn)程桌面內(nèi)容等,從而難以有效定位安全事件。

以上所面臨的風(fēng)險嚴(yán)重破壞政府、醫(yī)院、企業(yè)等的信息系統(tǒng)安全,已經(jīng)成為其信息系統(tǒng)安全運(yùn)行的嚴(yán)重隱患,尤其是醫(yī)院,將影響其效益。尤其醫(yī)院信息系統(tǒng)是一個復(fù)雜的系統(tǒng)工程,涉及人、技術(shù)、操作等要素,單靠技術(shù)或單靠管理都不可能實(shí)現(xiàn)。

因此在考慮安全保障體系時,必須將各種安全技術(shù)與運(yùn)行管理機(jī)制、人員思想教育與技術(shù)培訓(xùn)、安全規(guī)章制度建設(shè)相結(jié)合。

如何有效監(jiān)控業(yè)務(wù)系統(tǒng)訪問行為和敏感信息的傳播,準(zhǔn)確掌握網(wǎng)絡(luò)系統(tǒng)的安全狀態(tài),及時發(fā)現(xiàn)違反安全策略的事件并實(shí)時告警、記錄,同時進(jìn)行安全事件定位分析,事后追查取證,滿足合規(guī)性審計要求,是企事業(yè)迫切需要解決的問題,即IT運(yùn)維安全管理的變革已刻不容緩!

堡壘機(jī)提供一套先進(jìn)的運(yùn)維安全管控與審計解決方案,它通過網(wǎng)絡(luò)數(shù)據(jù)的采集、分析、識別,實(shí)時動態(tài)監(jiān)測通信內(nèi)容、網(wǎng)絡(luò)行為和網(wǎng)絡(luò)流量,發(fā)現(xiàn)和捕獲各種敏感信息、違規(guī)行為,實(shí)時報警響應(yīng),全面記錄網(wǎng)絡(luò)系統(tǒng)中的各種會話和事件,實(shí)現(xiàn)對網(wǎng)絡(luò)信息的智能關(guān)聯(lián)分析、評估及安全事件的準(zhǔn)確全程跟蹤定位,為整體網(wǎng)絡(luò)安全策略的制定提供權(quán)威可靠的支持。

隨著堡壘機(jī)在醫(yī)院中的應(yīng)用,其主要實(shí)現(xiàn)了以下功能:

1)賬號管理集中

堡壘機(jī)建立于唯一身份標(biāo)識的全局實(shí)名制管理,支持統(tǒng)一賬號管理策略,實(shí)現(xiàn)與各服務(wù)器、網(wǎng)絡(luò)設(shè)備等無縫連接,集中管理主賬號(普通用戶)、從賬號(目標(biāo)設(shè)備系統(tǒng)賬號)及相關(guān)屬性。

2)訪問控制集中

堡壘機(jī)通過集中對應(yīng)用系統(tǒng)的訪問控制,通過對主機(jī)、服務(wù)器、網(wǎng)絡(luò)、數(shù)據(jù)庫等網(wǎng)絡(luò)中所有資源的統(tǒng)一訪問控制,確保用戶擁有的權(quán)限是完成任務(wù)所需的最小權(quán)限,實(shí)現(xiàn)集中有序的運(yùn)維操作管理,防止非法、越權(quán)訪問事件的發(fā)生。

3)安全審計集中

基于唯一身份標(biāo)識,堡壘機(jī)通過對用戶從登錄到退出的全程操作行為審計,監(jiān)控用戶對被管理設(shè)備的所有敏感的關(guān)鍵操作,提供分級告警,聚焦關(guān)鍵事件,能完成對醫(yī)院內(nèi)網(wǎng)所有網(wǎng)上行為的監(jiān)控和對安全事件及時預(yù)警發(fā)現(xiàn)、準(zhǔn)確可查的功能。

通過此體系監(jiān)控到的數(shù)據(jù)能對醫(yī)院內(nèi)部網(wǎng)絡(luò)的使用率、數(shù)據(jù)流量、應(yīng)用提供比例、安全事件記錄、網(wǎng)絡(luò)設(shè)備的動作情況、網(wǎng)絡(luò)內(nèi)人員的網(wǎng)上行為記錄、網(wǎng)絡(luò)整體風(fēng)險情況等這些情況有較全面的了解。

信息安全是一個動態(tài)的過程,要根據(jù)網(wǎng)絡(luò)安全的變化不斷調(diào)整安全措施,適應(yīng)新的網(wǎng)絡(luò)環(huán)境,M足新的網(wǎng)絡(luò)安全需求。

安全管理制度也有一個不斷完善的過程,經(jīng)過安全事件的處理和安全風(fēng)險評估,會發(fā)現(xiàn)原有的安全管理制定中存在的不足之處。根據(jù)安全事件處理經(jīng)驗教訓(xùn)和安全風(fēng)險評估的結(jié)果,對信息安全管理策略進(jìn)行修改,對信息安全管理范圍進(jìn)行調(diào)整。

參 考 文 獻(xiàn)

[1]趙瑞霞.構(gòu)建堡壘主機(jī)抵御網(wǎng)絡(luò)攻擊[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2010,08.

篇8

鄧高峰:國內(nèi)信息安全產(chǎn)業(yè)經(jīng)歷了十多年的發(fā)展積累了一批中堅力量,大多分布在信息安全產(chǎn)品提供商和服務(wù)提供商以及第三方機(jī)構(gòu),但從信息安全責(zé)任單位以及為其提供各類信息技術(shù)服務(wù)外包的更廣泛的IT行業(yè)來看,大部分行業(yè)和組織還沒有專門的信息安全崗位設(shè)置和專業(yè)的信息安全人才配置,據(jù)權(quán)威機(jī)構(gòu)估算,我國信息安全人才的需要量在50多萬。目前,信息安全專業(yè)在國內(nèi)仍是高等教育的二級學(xué)科,全國有將近80家高校設(shè)置了信息安全類本科專業(yè),通過高校培養(yǎng)的信息安全人才不到4萬人,這些青年軍無論在整體數(shù)量還是在實(shí)踐實(shí)戰(zhàn)上,距離國家健全信息安全保障體系、上海市智慧城市所要求的信息安全總體可控,還有很大缺口,亟需通過專業(yè)的職業(yè)培訓(xùn)來補(bǔ)充和提升。

我理解的信息安全是暫時的,不安全是永恒的;信息安全的系統(tǒng)建設(shè)是一個持續(xù)進(jìn)行的過程,其實(shí)就是指信息安全的“新四化”。以上海這樣信息化程度很高的城市為例,無論是政府還是企業(yè),一方面其業(yè)務(wù)對信息技術(shù)的依賴程度很大,另一方面這些改革開放的前沿也是各方關(guān)注的焦點(diǎn),信息安全和業(yè)務(wù)連續(xù)的保障需求自然就十分迫切,信息安全不應(yīng)成為信息化發(fā)展瓶頸,而應(yīng)成為趨利避害的重要手段。全面提高各單位各企業(yè)的信息安全意識,有效提升信息安全專業(yè)技能水平,包括重點(diǎn)培育信息安全專業(yè)服務(wù)機(jī)構(gòu),這些工作都離不開信息安全人才培養(yǎng)和集聚,因此在各行業(yè)大力開展CISP等相關(guān)培訓(xùn)將為建設(shè)上海信息安全人才高地打下堅實(shí)的基礎(chǔ)。

《上海信息化》:三零衛(wèi)士在CISP培訓(xùn)體系建設(shè)上,又有哪些新的創(chuàng)新與思考?

鄧高峰:CISP培訓(xùn)一直致力于培養(yǎng)信息安全的組織者、推動者和管理者。信息安全體系建設(shè),不只是用信息安全產(chǎn)品搭建一個堡壘,更重要的是組織自身需建立一套完善的信息安全制度,只有硬件(技術(shù))和軟件(人才)相互結(jié)合,才能保障信息的機(jī)密性、完整性和可用性。對于公司的培訓(xùn)來說,則是將安全知識體系和實(shí)際工作中的應(yīng)用一起納入了信息安全體系建設(shè)。組織面臨的安全問題多種多樣,除了常見的系統(tǒng)漏洞、黑客入侵、掛馬和釣魚網(wǎng)站、木馬下載器等一些技術(shù)性威脅外,一些安全意識薄弱同樣也會產(chǎn)生安全問題,比如:沒有專業(yè)的安全培訓(xùn)嚴(yán)重缺乏安全意識;不知道組織存在哪些安全隱患;出現(xiàn)突發(fā)安全事故無法第一時間了解等等。對于那些沒有經(jīng)過專門的安全培訓(xùn)、沒有配備專業(yè)的技術(shù)人才、沒有設(shè)定合理安全流程的企業(yè)來講,只靠采購安裝軟、硬件安全產(chǎn)品來避免威脅或在遇到威脅時應(yīng)急處理,是非常不現(xiàn)實(shí)的。

對此,CISP全面覆蓋全球信息安全知識,充分貼合中國信息安全國情,具有非常系統(tǒng)化的知識體系,使用組件模塊化的結(jié)構(gòu),包括知識類、知識體、知識域和知識子域四個層次,更注重全面性、前沿性和實(shí)用性。

《上海信息化》:國際上也有CISSP等信息安全培訓(xùn),與之相比CISP有什么優(yōu)勢或特點(diǎn)?

鄧高峰:國際上除了(ISC)2的CISSP(信息系統(tǒng)安全專家)培訓(xùn)之外,還有ISACA的CISA(注冊信息安全審計師)、ISO27001的主任審核員等與信息安全相關(guān)的人員培訓(xùn),但分別側(cè)重技術(shù)、審計和管理體系,參與培訓(xùn)的人員也未必是信息安全從業(yè)人員。國內(nèi)有公安部的信息安全師、工信部網(wǎng)絡(luò)信息安全師、國家信息安全認(rèn)證中心的CISAW(信息安全保障從業(yè)人員)等培訓(xùn),還有不少社會化IT培訓(xùn)中也有所謂的信息安全模塊,但是無論從專業(yè)人員定位、培訓(xùn)體系構(gòu)成還是從與國家信息安全保障工作的關(guān)聯(lián)度來看,均遜色于CISP。

CISP最初是瞄準(zhǔn)CISSP所設(shè)計的高端專業(yè)培訓(xùn),十年來結(jié)合國家信息安全保障的需求,不斷得到更新和充實(shí),現(xiàn)在已形成由CISM(注冊信息安全人員)、CISO(注冊信息安全管理人員)、CISE(注冊信息安全工程師)、CISP-AUDIT(注冊信息安全審計師)、CISP-DRP(注冊信息安全災(zāi)難恢復(fù)工程師)、CISD(注冊信息安全專業(yè)開發(fā)人員)所構(gòu)成的系列培訓(xùn)和人員認(rèn)證。所以說,如果希望在信息安全行業(yè)長期發(fā)展,就目前而言,CISP專業(yè)培訓(xùn)具有不可替代性。

《上海信息化》:今年上海針對信息安全教育培訓(xùn)有什么具體的政策和要求?

鄧高峰:“發(fā)展以安全為重,安全以人才為本”是CISP培訓(xùn)的宗旨,信息化的成效很大程度上取決于信息安全保障水平,而信息安全保障的關(guān)鍵在于人,CISP培訓(xùn)的初衷就是在最大范圍建立大家的信息安全意識,并針對信息安全相關(guān)人員普及信息安全知識,掌握必要的信息安全技能。就目前來看,CISP不僅是申請信息安全服務(wù)資質(zhì)的必備條件,并在越來越多的行業(yè)成為信息安全崗位的“上崗證”,上海市也開始要求IT服務(wù)外包企業(yè)將信息安全專業(yè)人員納入技術(shù)團(tuán)隊標(biāo)準(zhǔn)配置。

篇9

【關(guān)鍵詞】網(wǎng)絡(luò)經(jīng)濟(jì);審計;存在問題;安全防范

一、網(wǎng)絡(luò)經(jīng)濟(jì)對財務(wù)審計的影響分析

(1)審計目的的影響。財務(wù)審計在網(wǎng)絡(luò)環(huán)境的影響下,會計報表與傳統(tǒng)手工報表表現(xiàn)出了很大的差異,具有及時性、實(shí)時性、高效率等特征。在審計目標(biāo)和指標(biāo)方面,網(wǎng)絡(luò)環(huán)境下的財務(wù)審計更全面,更真實(shí),表現(xiàn)出一定的動態(tài)性和靈活性。(2)審計模式的影響。傳統(tǒng)的財務(wù)審計受到物質(zhì)、環(huán)境以及人的主觀能動性等方面影響比較突出,網(wǎng)絡(luò)環(huán)境下財務(wù)審計主要是基于無紙化辦公以及電子化信息處理。財務(wù)審計工作變得更加規(guī)范和合理,這在無形當(dāng)中增加了財務(wù)審計的規(guī)范性和可操作性。(3)對財務(wù)審計主體的影響。傳統(tǒng)財務(wù)審計的重點(diǎn)主要是審計管理人員及審計專業(yè)人員,對于審計人員素質(zhì)要求高,要求審計人員具備專業(yè)的審計素質(zhì)和水平。

二、網(wǎng)絡(luò)經(jīng)濟(jì)環(huán)境中財務(wù)審計的主要方向

(1)網(wǎng)絡(luò)審計具有多部門聯(lián)合作業(yè)的優(yōu)勢。審計的內(nèi)容不僅僅局限于作業(yè)的經(jīng)濟(jì)活動和財務(wù)記錄,而且可以聯(lián)合其它的審計管理部門、職能部門等通過網(wǎng)絡(luò)加大溝通交流、協(xié)作配合、分析討論、交流經(jīng)驗、分享心得體會等,加強(qiáng)審計過程的透明性和權(quán)威性,合理配置審計資源;審計機(jī)構(gòu)在接受委托人或授權(quán)人的委托或授權(quán)后的,提高了審計管理工作的時效性和準(zhǔn)確性,提高了審計的效率和質(zhì)量。(2)安全性和保密性的財務(wù)審計。在審計過程中,要加強(qiáng)對財務(wù)審計的保密性和安全性管理,通過職責(zé)分離而又有保持必要的溝通協(xié)作機(jī)構(gòu),對被審計單位的容錯處理、安全管理、安全保密技術(shù)等進(jìn)行深入的調(diào)研和了解,以評價其財務(wù)審計工作的工作性和完備性。(3)加強(qiáng)內(nèi)部控制、降低管理風(fēng)險。內(nèi)部控制是新形勢下財務(wù)審計過程中的重要組成部分。主要集中于內(nèi)部的管理、運(yùn)行、維護(hù)、監(jiān)控、風(fēng)險防范等方面的相關(guān)管理技術(shù)以及由這些管理可能帶來的風(fēng)險措施。通過加強(qiáng)系統(tǒng)的安全審計,可以及時有效地防范潛在的安全隱患,增加內(nèi)部控制的審計的安全性。(4)加強(qiáng)風(fēng)險管理。財務(wù)風(fēng)險審計是審計管理中的重點(diǎn)和難點(diǎn),要加強(qiáng)對審計人員的風(fēng)險管理意識培訓(xùn),用最新審計知識更新頭腦,有效指導(dǎo)審計工作,提高審計效率和水平,降低審計風(fēng)險。

三、財務(wù)審計相關(guān)內(nèi)容分析

(1)會計報表的審計。會計報表的審計主要是對企業(yè)資產(chǎn)負(fù)債表、損益表、現(xiàn)金流量表等的真實(shí)性、完整性、合法性和準(zhǔn)確性等的審計,而網(wǎng)絡(luò)條件下的審計可以滿足以上這些審計要求。(2)資產(chǎn)審計分析。網(wǎng)絡(luò)環(huán)境下的資產(chǎn)審計可以對被審計單位的資產(chǎn)進(jìn)行整合,與傳統(tǒng)的方式相比,具有動態(tài)管理性,可以真實(shí)性、完整性等反映出記錄在有關(guān)賬簿及會計報表的資產(chǎn)的真實(shí)存在。(3)所有者權(quán)益審計。企業(yè)的實(shí)收資本、資本公積、盈余公積、未分配利潤等都是所有者權(quán)益審計的重點(diǎn)和關(guān)鍵點(diǎn)。網(wǎng)絡(luò)環(huán)境下的所有者權(quán)益,變得全面、權(quán)威、準(zhǔn)確,同時又具有時效性強(qiáng)、方便快捷等特點(diǎn)。

四、網(wǎng)絡(luò)審計存在問題及防范措施

(1)接受委托風(fēng)險問題。客戶在經(jīng)營管理過程中,由于自身利益考慮,通過人為制造虛假業(yè)績數(shù)據(jù),加上審計內(nèi)控機(jī)制不健全,管理存在漏洞,致使操作過程存在較大的風(fēng)險。對于此類風(fēng)險,審計人員可以通過查詢往年工作底稿、詢問相關(guān)工作人員、調(diào)閱相關(guān)資料等方式增強(qiáng)對審計風(fēng)險的評估分析能力來決定是否接受該項業(yè)務(wù)。(2)信息系統(tǒng)風(fēng)險問題。由于網(wǎng)絡(luò)存在的脆弱性,審計過程中系統(tǒng)風(fēng)險在所難免。由于信息系統(tǒng)涉及面廣,內(nèi)容龐大,審計人員很難全面掌握信息系統(tǒng)風(fēng)險問題,這就使得審計人員在審計過程中加強(qiáng)與專業(yè)人員溝通和交流,同時根據(jù)審計需要,聘請外部IT專業(yè)人士加強(qiáng)對信息系統(tǒng)的安全審計。(3)審計取證風(fēng)險。由于計算機(jī)網(wǎng)絡(luò)及數(shù)據(jù)加密技術(shù)在應(yīng)用過程存在的缺陷和漏洞??赡軒淼臄?shù)據(jù)傳輸丟失、非法篡改、非法竊聽等問題,這加大了審計取證的難度,降低了審計結(jié)果的可靠性,加大了審計風(fēng)險。(4)審計評價風(fēng)險。對于審計過程發(fā)現(xiàn)的問題,能否根據(jù)科學(xué)的模式和方法對存在的問題做出合理的評估和分析,使審計過程中既遵循科學(xué)合理的程序和規(guī)范,又能客觀真實(shí)性地再現(xiàn)審計過程中的問題,這在某種程度上構(gòu)成了審計的評價風(fēng)險。為了提升審計的科學(xué)性和準(zhǔn)確性,審計人員在審計過程中需要出具嚴(yán)謹(jǐn)?shù)膶徲媹蟾妫瑢徲媹蟾婕纫w現(xiàn)出審計的靈活性和有效性,還要能夠針對具體的問題做出合理的評價。

參 考 文 獻(xiàn)

[1]于寧.網(wǎng)絡(luò)環(huán)境下會計信息的披露與監(jiān)管[J].安徽工業(yè)大學(xué)學(xué)報(社會科學(xué)版).2005(3)

篇10

總的來講,我們目前對信息系統(tǒng)的安全保障工作處在初級階段,主要表現(xiàn)在信息系統(tǒng)安全建設(shè)和管理的目標(biāo)不明確,信息安全保障工作的重點(diǎn)不突出,信息安全監(jiān)管體系尚待完善。為了實(shí)施信息系統(tǒng)的安全保護(hù),我國制定頒布了《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》(GB17859-1999)和《信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則》(GB/T18336-2001)等基本標(biāo)準(zhǔn),隨后又制定了一系列相關(guān)的國家標(biāo)準(zhǔn),對信息等級保護(hù)工作的定級、建設(shè)、測評、安全管理等進(jìn)行規(guī)范。信息安全等級保護(hù)制度一個很重要的思想就是對各領(lǐng)域的重要信息系統(tǒng)依照其對國家的重要程度進(jìn)行分類分級,針對不同的安全等級采取不同的保護(hù)措施,以此來指導(dǎo)不同領(lǐng)域的信息安全工作[1]。99年頒布的《等級劃分準(zhǔn)則》對計算機(jī)信息系統(tǒng)安全保護(hù)能力劃分了五個等級[2],保護(hù)能力隨著安全保護(hù)等級的增高,逐漸增強(qiáng)。第一級為用戶自主保護(hù)級。使用戶具備自主安全保護(hù)的能力。第二級為系統(tǒng)審計保護(hù)級。在繼承前面安全級別安全功能的基礎(chǔ)上,需要創(chuàng)建和維護(hù)訪問的審計跟蹤記錄。第三級為安全標(biāo)記保護(hù)級。在繼承前面安全級別安全功能的基礎(chǔ)上,要求依據(jù)訪問安全級別限制訪問權(quán)限。第四級為結(jié)構(gòu)化保護(hù)級。繼承前面安全級別安全功能的基礎(chǔ)上,劃分安全保護(hù)機(jī)制為兩部分,關(guān)鍵部分和非關(guān)鍵部分,對關(guān)鍵部分訪問者直接控制訪問對象的存取。第五級為訪問驗證保護(hù)級。按要求增設(shè)訪問驗證的功能,負(fù)責(zé)訪問者對所有訪問對象的訪問活動進(jìn)行仲裁。

2.企業(yè)信息安全等級保護(hù)的實(shí)施流程

在實(shí)施企業(yè)信息安全等級保護(hù)流程時,主要得工作可以分為信息系統(tǒng)定級、規(guī)劃與設(shè)計和實(shí)施、等級評估與改進(jìn)三個主要的階段。

2.1信息系統(tǒng)定級

系統(tǒng)定級是根據(jù)整個系統(tǒng)要求達(dá)到的防護(hù)水平,確定信息系統(tǒng)和各個子系統(tǒng)的安全防護(hù)等級。需要由專業(yè)人員評估企業(yè)的信息系統(tǒng)、各種軟硬件設(shè)備及企業(yè)業(yè)務(wù)支撐的各個環(huán)節(jié),根據(jù)其重要性和復(fù)雜性劃分為各個子系統(tǒng),描述子系統(tǒng)的組成和邊界,以此確定總系統(tǒng)和子系統(tǒng)的安全等級。2.2安全規(guī)劃和設(shè)計安全規(guī)劃和設(shè)計是根據(jù)系統(tǒng)定級的結(jié)果,對信息系統(tǒng)及其子系統(tǒng)制定全套的安全防護(hù)解決方案,并根據(jù)方案選取相應(yīng)的軟、硬件防護(hù)產(chǎn)品進(jìn)行具體實(shí)施的階段,這個階段的工作主要可以歸納為以下三個方面的內(nèi)容:

2.2.1系統(tǒng)對象的分類劃分及相應(yīng)保護(hù)框架的確立。

企業(yè)需要對信息系統(tǒng)進(jìn)行保護(hù)對象進(jìn)行分類和劃分,建立起一個企業(yè)信息系統(tǒng)保護(hù)的框架,根據(jù)系統(tǒng)功能的差異和安全要求不同對系統(tǒng)進(jìn)行分域、分級防護(hù)。

2.2.2選擇安全措施并根據(jù)需要進(jìn)行調(diào)整。

在確定了企業(yè)信息系統(tǒng)及各個子系統(tǒng)的安全等級以后,根據(jù)需要選擇相應(yīng)的等級安全要求。根據(jù)對系統(tǒng)評估的結(jié)果,確定出主系統(tǒng)、子系統(tǒng)和各保護(hù)對象的安全措施,并根據(jù)項目實(shí)施過程中的需要進(jìn)行適當(dāng)?shù)恼{(diào)整。

2.2.3安全措施規(guī)劃和安全方案實(shí)施。

確定需要的安全措施以后,定制相應(yīng)安全解決方案和運(yùn)維管理方案,以此為依據(jù)采購必要的安全保護(hù)軟、硬件及安全服務(wù)。

2.3實(shí)施、等級評估和改進(jìn)[4]

依照此前確定的安全措施和解決方案,在企業(yè)中進(jìn)行方案實(shí)施。實(shí)施完畢之后,對照“信息安全等級保護(hù)”相關(guān)標(biāo)準(zhǔn),評估所部署的方案是否達(dá)到了預(yù)想的防護(hù)要求,如果評估未能通過,則需對部分安全方案進(jìn)行改進(jìn)后再進(jìn)行評估,直至符合等級保護(hù)要求。

3.企業(yè)信息安全等級保護(hù)體系的主要內(nèi)容

3.1安全體系設(shè)計的原則及設(shè)計目標(biāo)

信息系統(tǒng)安全體系的設(shè)計需要按照合規(guī)可行、全局均衡、體系化和動態(tài)發(fā)展原則,達(dá)到并實(shí)現(xiàn)“政策合規(guī)、資源可控、數(shù)據(jù)可信、持續(xù)發(fā)展”的生存管理與安全運(yùn)維目的。系統(tǒng)安全等級保護(hù)體系的技術(shù)指標(biāo),可以分為信息技術(shù)測評指標(biāo)和非信息技術(shù)測評指標(biāo)兩類。所以整個安全等級保護(hù)體系應(yīng)包含基本技術(shù)措施和基本管理措施兩個組成部分。

3.2基本技術(shù)措施

3.2.1物理安全

物理安全是信息系統(tǒng)安全的基礎(chǔ),物理安全主要內(nèi)容包括環(huán)境安全(防火、防水、防雷擊等)、設(shè)備和介質(zhì)的防盜竊、防破壞等方面。

3.2.2網(wǎng)絡(luò)安全

網(wǎng)絡(luò)是若干網(wǎng)絡(luò)設(shè)備組成的可用于數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)環(huán)境,是信息系統(tǒng)安全運(yùn)行的基礎(chǔ)設(shè)施。對于內(nèi)網(wǎng)未通過準(zhǔn)許聯(lián)到外網(wǎng)的行為,可以使用終端安全管理系統(tǒng)來檢測。對登錄網(wǎng)絡(luò)設(shè)備和服務(wù)器的用戶進(jìn)行基本的身份識別,使網(wǎng)絡(luò)最基本具備基本的防護(hù)能力。[5]

3.2.3主機(jī)安全

主機(jī)安全主要是指服務(wù)器和終端系統(tǒng)層面的安全風(fēng)險。主機(jī)的安全風(fēng)險主要包括兩個方面:一是操作系統(tǒng)的脆弱性,二是來自系統(tǒng)配置管理和使用過程??梢酝ㄟ^建立一套完善安全審計系統(tǒng)實(shí)現(xiàn)系統(tǒng)層、網(wǎng)絡(luò)層以及應(yīng)用層的安全審計。

3.2.4應(yīng)用系統(tǒng)安全

應(yīng)用系統(tǒng)是提供給用戶真正可使用的功能,是以物理層、網(wǎng)絡(luò)層和主機(jī)層為基礎(chǔ)的,是用戶與系統(tǒng)底層的接口。應(yīng)用安全首先要考慮身份驗證、通訊加密、信息保護(hù)和抗抵賴性等安全風(fēng)險,對應(yīng)用系統(tǒng)方面應(yīng)關(guān)注系統(tǒng)資源控制、應(yīng)用代碼安全、系統(tǒng)安全審計和系統(tǒng)容錯等內(nèi)容,一般需要通過安全審計系統(tǒng)和專業(yè)的安全服務(wù)來實(shí)現(xiàn)。

3.2.5數(shù)據(jù)安全

數(shù)據(jù)是指用戶真正的數(shù)據(jù),信息系統(tǒng)數(shù)據(jù)安全所面臨的主要風(fēng)險包括:數(shù)據(jù)遭到盜竊;數(shù)據(jù)被惡意刪除或篡改。在考慮數(shù)據(jù)安全方案時,除了使用從物理層到應(yīng)用層的各種層次的安全產(chǎn)品,更重要的是考慮對數(shù)據(jù)的實(shí)時備份。目前主要使用數(shù)據(jù)庫技術(shù)來保證數(shù)據(jù)私密性和完整性,制定好數(shù)據(jù)存儲與備份方案,來完成日常的數(shù)據(jù)備份與恢復(fù)。這部分工作可以考慮引入專業(yè)安全服務(wù)。

3.3基本管理措施

3.3.1安全管理制度

安全管理制度的制定、、審核和修訂等工作,需要在信息安全領(lǐng)導(dǎo)小組的統(tǒng)籌下,按照安全工作的總體方案,根據(jù)系統(tǒng)應(yīng)用安全的實(shí)際情況,組織相關(guān)人員進(jìn)行,并進(jìn)行定期的審核和修訂。

3.3.2安全管理機(jī)構(gòu)

要根據(jù)要求建立專門的安全職能部門,配置專門的安全管理人員,并對安全管理人員進(jìn)行日常活動的監(jiān)督指導(dǎo)。同時要對安全職能部門進(jìn)行全面的設(shè)計,內(nèi)容包括的人員和崗位的配置、日常工作流程、與其他部門的溝通和合作、系統(tǒng)安全的審核和檢查等方面。

3.3.3人員安全管理

人員的入職、離職、績效考核、業(yè)務(wù)培訓(xùn)等環(huán)節(jié)都要考慮安全因素。對第三方人員管理上也要考慮安全風(fēng)險。

3.3.4系統(tǒng)建設(shè)過程管理

要在系統(tǒng)建設(shè)的各個階段貫徹系統(tǒng)安全等級保護(hù)體系的思想和內(nèi)容。主要是對系統(tǒng)建設(shè)從方案設(shè)計、采購、開發(fā)、實(shí)施、測試驗收、交付到系統(tǒng)備案、安全測評等環(huán)節(jié)進(jìn)行全流程的監(jiān)控,對所有涉及安全保護(hù)的方面提出具體要求。

3.3.5系統(tǒng)運(yùn)行和維護(hù)管理

信息系統(tǒng)運(yùn)維安全管理涉包括日常管理、安全事件處置、應(yīng)急預(yù)案管理和安管中心等幾方面內(nèi)容,可以是內(nèi)部人員管理維護(hù),也可以根據(jù)需要采用內(nèi)部人員和專業(yè)安全廠商相結(jié)合的方式。

4.總結(jié)