征信信息安全管理范文

時間:2023-10-09 17:10:54

導語:如何才能寫好一篇征信信息安全管理,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。

征信信息安全管理

篇1

為了支撐部門預算管理和國庫集中收付制度改革,按照建立我國公共財政系統(tǒng)框架的總體要求建設先進的政府財政管理信息系統(tǒng)有利于預算管理的規(guī)范化提高國庫資金的使用效率提高政府財政管理決策的科學性增大財政管理的透明度有利于加強廉政建設。

GFMIs的重要性使得其信息價值倍增,但它本身存在著管理和技術(shù)實現(xiàn)的脆弱性。因此GFMls容易受到攻擊造成政府財政管理信息的泄露、篡改和刪節(jié)造成政府財政管理信息需要使用時不可用等對我國的國家安全造成嚴重威脅。

系統(tǒng)概述

政府財政管理信息系統(tǒng)的網(wǎng)絡結(jié)構(gòu)一般都是分級分層次建設的。比如某省級政府財政管理信息系統(tǒng)的網(wǎng)絡結(jié)構(gòu).它分為省、地市和縣級三層并且省與地市級網(wǎng)絡鏈接線路有備份。

系統(tǒng)資源分析

系統(tǒng)資源分析

政府財政管理信息系統(tǒng)中的主要資源包括

1)物理資源

(1)計算機系統(tǒng):系統(tǒng)硬件、群件、操作系統(tǒng)、軟件、數(shù)據(jù)庫

(2)通信系統(tǒng):通信系統(tǒng)設備及部件、傳輸系統(tǒng)(有線、無線傳輸);

(3)網(wǎng)絡系統(tǒng):網(wǎng)絡設備、網(wǎng)絡互聯(lián)設備、網(wǎng)絡管理設備及軟件、網(wǎng)絡應用;

(4)環(huán)境設施:運行環(huán)境的建筑物、機房等。

2)信息資源

(1)數(shù)據(jù)和記錄

(2)軟件;

(3)其他任何形式的信息。

應用系統(tǒng)描述

政府財政管理信息系統(tǒng)(GFMIS)的應用主要以數(shù)據(jù)交換和信息共享為主要業(yè)務內(nèi)容網(wǎng)絡信道采用丁C尸/lP協(xié)議集。應用系統(tǒng)根據(jù)具體業(yè)務安全需求,采取一定的安全技術(shù)手段進行安全設計以保護政府財政管理信息系統(tǒng)中各級財政信息防止外界侵入。

安全需求分析

安全需求包括用戶提出的非專業(yè)以及從專業(yè)角度為系統(tǒng)進行的安全需求分析,在最后確定安全需求時將充分考慮用戶要求。

為了更準確地確定系統(tǒng)的安全需求,將對系統(tǒng)遇到的攻擊進行分析,它包括主動攻擊、被動攻擊、物理臨近攻擊、內(nèi)部人員攻擊以及軟硬件裝配和分發(fā)攻擊。與此同時也要對系統(tǒng)的安全漏洞和安全管理進行分析。

風險分析

被動攻擊威脅

1)網(wǎng)絡和基礎(chǔ)設施的被動攻擊威脅。線路竊聽局域網(wǎng)線路的竊聽監(jiān)視沒被保護的通信線路破譯弱保護的通信線路信息信息流量分析利用被動攻擊為主動攻擊創(chuàng)造條件以便對網(wǎng)絡基礎(chǔ)設施設備進行破壞;機房和處理信息的終端的電磁泄露。

2)區(qū)域邊界/外部連接的被動攻擊威脅。機房和處理信息終端的電磁泄露;截取末受保護的網(wǎng)絡信息;流量分析攻擊;遠程接入連接。

3)計算環(huán)境的被動攻擊威脅。機房和處理信息的終端的電磁泄露;獲取鑒別信息和控制信息:獲取明文或解密弱密文實施重放攻擊。

4)支持性基礎(chǔ)設施的被動攻擊威脅。機房和處理信息終端的信息電磁泄露;獲取鑒別信息和控制信息。主動攻擊威脅

1)網(wǎng)絡和基礎(chǔ)設施的主動攻擊威脅。一是可用帶寬的損失攻擊.如網(wǎng)絡阻塞攻擊、擴散攻擊等。二是網(wǎng)絡管理通訊混亂使網(wǎng)絡基礎(chǔ)設施失去控制的攻擊。最嚴重的網(wǎng)絡攻擊是使網(wǎng)絡基礎(chǔ)設施運行控制失靈。三是網(wǎng)絡管理通信的中斷攻擊.它是通過攻擊網(wǎng)絡底層設備控制信號來干擾網(wǎng)絡傳輸?shù)挠脩粜畔?引入病毒攻擊引入惡意代碼攻擊。

2)區(qū)域邊界連接的主動攻擊威脅。試圖阻斷或攻破保護機制(內(nèi)網(wǎng)或外網(wǎng))偷竊或篡改信息利用‘’社會工程”攻擊欺騙合法用戶偽裝成合法用戶對服務器進行攻擊lP地址欺騙攻擊;拒絕服務攻擊;利用協(xié)議和基礎(chǔ)設施的安全漏洞進行攻擊;利用遠程接入用戶帳號對內(nèi)網(wǎng)進行攻擊;建立非授權(quán)的網(wǎng)絡連接;監(jiān)測遠程用戶鏈路、修改傳輸數(shù)據(jù);解讀末加密或弱加密的傳輸信息惡意代碼和病毒攻擊。

3)計算環(huán)境的主動攻擊威脅。引入病毒攻擊;引入惡意代碼攻擊;冒充超級用戶或其他合法用戶;拒絕服務和數(shù)據(jù)的篡改;偽裝成合法用戶和服務器進行攻擊;利用配置漏洞進行攻擊利用系統(tǒng)脆弱性(操作系統(tǒng)安全脆弱性、數(shù)據(jù)庫安全脆弱性)實施攻擊;利用服務器的安全脆弱性進行攻擊利用應用系統(tǒng)安全脆弱性進行攻擊。

4)對基礎(chǔ)設施的主動攻擊威脅。對未加密或弱加密通信線路的搭線竊聽:用獲取包含錯誤信息的證書進行偽裝攻擊;拒絕服務攻擊攻擊曰N獲取對用戶私鑰的訪問、在支持性基礎(chǔ)設施的組件中引入惡意代碼攻擊、在密鑰分發(fā)期間對密鑰實施攻擊、對尸Kl私鑰實施密碼攻擊、對密鑰恢復后的密鑰進行末授權(quán)訪問、在用戶認證期間使用戶不能生成失效信息;利用備份信息進行攻擊。

內(nèi)音陣攻擊

1)網(wǎng)絡和基礎(chǔ)設施的內(nèi)部人員攻擊威脅。網(wǎng)管中,合內(nèi)部人員惡意攻擊(他們有能力向網(wǎng)絡提供錯誤的信息實現(xiàn)不容易發(fā)覺的攻擊)遠程操作人員的惡意攻擊(他們是網(wǎng)絡專家,可以和內(nèi)部人員一樣對網(wǎng)絡實施攻擊):內(nèi)部人員誤操作攻擊。

2)區(qū)域邊界連接的內(nèi)部人員攻擊威脅。遠程內(nèi)部操作人員的惡意攻擊;內(nèi)部人員的錯誤操作、惡意攻擊。

3)支持性基礎(chǔ)設施的內(nèi)部人員攻擊威脅。內(nèi)部人員的錯誤操作;內(nèi)部人員的惡意攻擊。

4)軟硬件裝配和分發(fā)攻擊。系統(tǒng)集成商、設備供應商、軟件供應商為了維護或其他一些惡意目的留有后門。

自然災害威脅。嚴重的自然災害如水災、火災、地震、雷電等。

安全建設目標

網(wǎng)絡和基礎(chǔ)設施安全

采取物理措施將政府財政管理信息系統(tǒng)與因特網(wǎng)進行物理隔離。骨干網(wǎng)采用SV尸N技術(shù)保證網(wǎng)絡傳輸信息的機密性、完整性。內(nèi)部局域網(wǎng)傳輸應加密防止重要信息泄漏也防止外部的各種攻擊。與網(wǎng)絡供應商簽訂通信線路質(zhì)量保證協(xié)議確保優(yōu)先級、訪問控制、傳輸質(zhì)量等。因特網(wǎng)(包括對公眾服務網(wǎng)站)要與內(nèi)部網(wǎng)進行物理隔離以防止內(nèi)網(wǎng)信息的泄露和來自外網(wǎng)的攻擊。加強網(wǎng)絡管理中心的保護,運用技術(shù)和物理措施限制對網(wǎng)絡管理中心的訪問。網(wǎng)絡管理中心必須對網(wǎng)絡管理員進行認證。所有撥號入網(wǎng)的用戶在進入網(wǎng)絡之前須進行注冊和強制身份認證,并且保護它們之間的安全通訊。

邊界安全

采用SV尸N技術(shù)解決骨干網(wǎng)的邊界保護。建立防火墻體系.設置合理的安全策略實現(xiàn)網(wǎng)絡訪問控制;建立系統(tǒng)遠程訪問安全系統(tǒng)以保衛(wèi)系統(tǒng)邊界訪問的安全;建立網(wǎng)絡級入侵檢測系統(tǒng)防止入侵者的攻擊:建立網(wǎng)絡防病毒系統(tǒng):建立系統(tǒng)漏洞掃描系統(tǒng)改進系統(tǒng)的配置和功能設置;通過VLAN技術(shù),邏輯上將內(nèi)部網(wǎng)隔離成各主管領(lǐng)導網(wǎng)段,并采用相應的安全措施保證各網(wǎng)段之間的隔離以防止互

相影響和內(nèi)部惡意人員的跨網(wǎng)段攻擊;撥號入網(wǎng)的用戶在進入網(wǎng)絡之前須進行注冊和強制身份認證,并且保護它們之間的安全通訊。

計算環(huán)境安全

建立政府財政管理信息系統(tǒng)的用戶終端、數(shù)據(jù)庫、服務器、應用程序保護機制防止拒絕服務、數(shù)據(jù)未授權(quán)的泄露和數(shù)據(jù)的修改。操作系統(tǒng)在重要的應用場合要采用可信的B1級操作系統(tǒng)。對數(shù)據(jù)庫訪問要進行細粒度訪問控制、關(guān)鍵數(shù)據(jù)用加密服務器、確保物理安全、重要服務器要用單獨網(wǎng)段進行隔離、強制身份鑒別、備份、恢復應急措施、安全審計、審計失敗的保護、關(guān)鍵數(shù)據(jù)庫底層操作系統(tǒng)要達到日1級。保證每個部門預算的真實性和不可否認性在支付政府財政資金前必須具有政府財政管理部門審查批準的電子簽名。政府財政資金的賬戶要得到很好的保護并要登記注冊。每一筆收入和支出應具備自動可跟蹤性盡量減少人工干預,建立基于主機的入侵檢測體系和基于主機的病毒防范體系。同時要建立政府財政管理信息系統(tǒng)的安全審計體系。

預算與國庫系統(tǒng)安全

保證記錄每一次預算調(diào)整文檔資料的真實性和責任’!生。保證預算的真實性、責任性和可追蹤性。包括:初始預算、追加和追減調(diào)整的預算。采取安全技術(shù)措施保證預算編制過程科目的對應關(guān)系控制政府財政國庫支付過程在沒有驗證預算科目的真實性前不得支付以保證與預算過程的一致性。建立可用款計劃控制。保證已批準授權(quán)的各種預算單位上報的預算資金計劃得到驗證,政府財政國庫支付單位才可審核、批復可用資金計劃數(shù)同時審計記錄在案以便達到可追蹤性和負責性的目的。保證承諾、待付、支付控制。在申請進行政府采購時,將從預算授權(quán)書把申請金額自動減掉時應保證前后資金額的真實性即保證預算授權(quán)余額與待付承諾數(shù)額的真實性。施待驗證采購合同有效性后把承諾金額轉(zhuǎn)為待付金額到貨驗收后驗證審核單據(jù)的合法性后才可支付,核對承諾數(shù)、待付數(shù)和支付數(shù)的一致性,保證政府采購全過程得到有效控制。采取安全技術(shù)措施保證授權(quán)的凍結(jié)、恢復和回收控制(有待于訪問控制的細化)。保證建立國庫支票的流轉(zhuǎn)控制.系統(tǒng)簽發(fā)的支票均以支票號碼為依據(jù)進行跟蹤核對要保證支票號碼的完整性。建立與銀行回單信息核對控制機制。

支持性基礎(chǔ)設施安全

建立基于尸KI技術(shù)的CA身份認證系統(tǒng),支撐整個財政系統(tǒng)的安全身份認證確認登錄系統(tǒng)設備的安個性_

安全管理

安全管理在GFMIS中起著非常重要的作用一方面可以保證安全產(chǎn)品真正發(fā)揮作用,另一方面合適的程序性安全機制可以彌補安全產(chǎn)品的不足所謂“三分技術(shù)七分管理“。安全管理制度的實現(xiàn)需政府財政系統(tǒng)各級領(lǐng)導提供指導方向和人力物力支持來建立完備的安全管理體系。建立政府財政管理信息系統(tǒng)的安全管理體系結(jié)構(gòu),保護信息資產(chǎn)。設立政府財政管理信息系統(tǒng)的安全管理機構(gòu)。安全管理應與系統(tǒng)管理分開.安全功能管理應與安全審計管理分開。系統(tǒng)應設立安全管理員安全管理員與安全審計管理員應分開,當對他們識別與鑒別時應使用基于身份的識別與鑒別機制。

物理安全

根據(jù)信息系統(tǒng)設備的安全等級不同執(zhí)行下列國家標準:

(1)計算機場地通用規(guī)范(GB/T2887:2000);

(2)計算機場地安全要求(GB9361:1988);

(3)計算機機房用活動地板技術(shù)條件(GB665O一1986):

(4)電子計算機機房設計規(guī)范(CB50174一1993)

(5)計算機信息系統(tǒng)防雷保安器(GA173一98)。電磁兼容。低壓電氣及電子設備發(fā)出的諧波電流限值(設備每相輸入電流(16A)(GB17625.1一1998)。電磁兼容限值是對額定電流不大于16A的設備在低壓供電系統(tǒng)中產(chǎn)生的電壓波動和閃爍的限制(GB176252一1999)。

電磁干擾

(1)信息技術(shù)設備的無線電騷擾極限值和測量方法(GB9254一1998);

(2)信息技術(shù)設備抗擾度限值和測量方法(GB17618一1998)。

篇2

在我國,信息化建設已經(jīng)有30多年的發(fā)展歷程,信息安全已成為影響國民經(jīng)濟和社會發(fā)展的重要因素,得到了政府、行業(yè)和用戶的高度重視。2011年3月的《國民經(jīng)濟和社會發(fā)展第十二個五年規(guī)劃綱要》明確指出:“十二五”期間,我國將健全網(wǎng)絡與信息安全法律法規(guī),完善信息安全標準體系和認證認可體系,實施信息安全等級保護、風險評估等制度,加快推進安全可控關(guān)鍵軟硬件的應用試點示范和推廣,確保國家信息安全。

事實上,為了進一步完善國家信息安全保障體系建設,我國推出了一系列政策和措施。從2007年起,我國就在全國范圍內(nèi)開展信息安全保護工作,促進政府、金融、電信等各重點領(lǐng)域信息安全建設,并取得了良好的成果。但值得我們關(guān)注的是,當大多數(shù)人將對于信息安全的注意力更多地“盯”在計算機系統(tǒng)和網(wǎng)絡領(lǐng)域時,重要信息在輸出終端,即文件打印、復印等文印流程中的安全性卻很少得到重視。在最為重要的政務信息安全領(lǐng)域,文印流程安全、管理的現(xiàn)狀如何?現(xiàn)有的解決方案能夠滿足用戶的管理需求嗎?在對政府單位的走訪中記者發(fā)現(xiàn),一套基于硬件控制,輔以軟件管理的解決方案,正得到政府用戶越來越多的青睞。

安全與效率面臨挑戰(zhàn)

隨著越來越多的敏感信息電子化,文印輸出過程中信息泄密的風險大大增加,特別是共享和網(wǎng)絡打印的快速普及,在給用戶帶來便捷體驗的同時,也對政府機構(gòu)的信息安全提出了空前嚴峻的挑戰(zhàn)。

在政府機構(gòu)內(nèi)部,各部門一般從空間上相互獨立,每個屋子也都單獨配備了打印機,以確保信息保密。但是,這樣的打印設備功能卻很有限,且布置分散,運營成本過高,不能滿足當前文印管理需要。為解決效率問題,不少部門專門設置了文印中心,但是這樣的文印中心也在安全和效率兩方面面臨著新的挑戰(zhàn)。

“目前我們使用文印設備的流程還是比較簡單的,尤其是非窗口單位,基本上就是用自己的桌面打印機打印日常工作需要的文件,如果是大量地打印、復印文件,就去專門的文印室。我們對于日常使用的打印機并沒有特別復雜的要求,主要是安全、穩(wěn)定、快速、易操作。保密的重要性對于機關(guān)單位來說也非常重要,目前我們所采用的方法就是內(nèi)外網(wǎng)隔離,文印設備基本不聯(lián)網(wǎng),每人使用一臺桌面打印機?!眹鴦赵簷C關(guān)事務管理局公共機構(gòu)節(jié)能管理司黃滔處長向記者介紹。

與國務院機關(guān)事務管理局(以下簡稱國管局)公共機構(gòu)節(jié)能管理司相似,大部分的機關(guān)單位在日常辦公中,內(nèi)外網(wǎng)隔離是最基本的保密方式,對文印保密也有相關(guān)的制度和規(guī)定,比如不準隨意翻印文件;凡絕密級和注明不準翻印的上級機關(guān)公文有關(guān)材料,一律不得翻印;確因工作需要翻印秘密文件時,必須經(jīng)局、主管領(lǐng)導批準;翻印時應注明翻印機關(guān)、日期、份數(shù)和印發(fā)范圍等。

“從制度上來說,我們在文印管理方面的保密和管理還是比較嚴密的,比如說文件需要簽字才能打印,電腦內(nèi)文件不能用移動存儲設備帶走,不能聯(lián)網(wǎng)打印等。對于一些的部門,我們也能做到事后追溯?!眹芫窒嚓P(guān)工作人員介紹。

有管理才有安全

然而根據(jù)記者的深入了解,在實際工作中,政府機關(guān)的文印管理流程仍存在著漏洞,比如打印機管理長期處于分散狀態(tài),打印設備缺少專人管理等。對文印流程缺少安全管理,信息安全和保密自然難以得到保障,再加上辦公室人員流動頻繁以及人為的文件遺留等問題,信息泄露的風險依然需要處處防范。

國家食品藥品監(jiān)督管理局處長姚珀表示,“出于保密的原因,我們目前都是不聯(lián)網(wǎng)打印的,這確實給我們的工作帶來了很多麻煩。比如我們現(xiàn)在打印、復印一份文件,很可能要樓上樓下跑好幾趟,工作效率難以提高。但如果聯(lián)網(wǎng)又會涉及到安全問題,這讓我們的文印管理陷入兩難局面?!?/p>

談到文印安全方面的特殊需求時,姚珀說,“一些敏感數(shù)據(jù)和文件需要打印,但又不想任何無關(guān)的人看到這些打印件,以前我們?yōu)榇嗽O置機密打印室,需要打印的時候,都要提交打印申請,非常麻煩。我們理想中的文印管理,一是要方便,不必跑上跑下就能就近取到文件。二就是要安全,要保證不從網(wǎng)絡內(nèi)部泄露信息,也不讓文件能輕易被無關(guān)人員打印出來?!?/p>

對于姚珀提出的問題,記者專門采訪了文印解決方案領(lǐng)域的專家。來自惠普的技術(shù)顧問介紹說,針對這個問題,只需借助惠普的PIN碼打印技術(shù)就可以輕松解決。用戶在打印機密文檔時,可設置安全PIN碼,文檔傳輸?shù)酱蛴C后只有用戶在打印機控制面板上輸入相應PIN碼后才能進行檢索和打印作業(yè),確保敏感數(shù)據(jù)的安全。事實上,在日常工作中,這種PIN碼設置,不僅能有效保護機密數(shù)據(jù)安全,還能有效防止文檔被別人拿走、放錯地方或扔掉而重復打印造成的浪費。而借助打印管理軟件HP Web Jetadmin的打印權(quán)限設置功能,IT管理員可輕松進行每臺設備的訪問權(quán)限設置,只有被賦予訪問權(quán)限者才能通過該打印機進行文檔輸出,保證了各部門內(nèi)部信息不通過文印設備外泄。

根據(jù)記者了解,對于硬件購置和耗材補充方面的成本,行業(yè)用戶已經(jīng)有一定程度認識,但對于設備監(jiān)控和持續(xù)管理、最終用戶使用效率提升以及工作流程改進等問題,用戶還缺乏了解。對此問題,惠普的文印工程師介紹說,政府文印管理的問題,可以通過“優(yōu)化基礎(chǔ)架構(gòu)”、“管理文印環(huán)境”、“改善工作流程”三大解決方案來完成,進而幫助政府保障信息安全,降低成本,節(jié)省資源并簡化文檔密集型工作流程。“提高效率、降低成本、保障信息安全,要做到這幾點,文印設備的管理必不可少”,惠普技術(shù)顧問表示。

軟件+硬件+服務,解決政府辦公后顧之憂

“雖然政府辦公并沒有太多復雜的打印流程,但單純地購買打印機已經(jīng)很難滿足打印需求。打印量大,而專業(yè)人員又相對較少,一旦機器出現(xiàn)問題,很難及時解決,以致降低工作效率?!币︾暾J為?!俺鲇谔岣咝实哪康模覀円部紤]在今后實現(xiàn)聯(lián)網(wǎng)打印。一旦設備聯(lián)網(wǎng),對文印管理的專業(yè)水平的要求就會更高。我們內(nèi)部的工作人員很難解決這些問題,就需要借助專門的軟件和技術(shù)人員來實現(xiàn)相關(guān)目標。比如在網(wǎng)絡環(huán)境中保證信息安全,以有限的人手來管理整個部門的機器,如何使打印更為高效快捷等?!?/p>

篇3

第一條為了促進我省電子政務的發(fā)展,保障我省電子政務健康運行,根據(jù)《國家信息化領(lǐng)導小組關(guān)于我國電子政務建設指導意見》,并結(jié)合我省實際情況,制定本辦法。

第二條電子政務信息安全工作應遵循注重實效、促進發(fā)展、強化管理和積極防范的原則。

第三條省信息化工作領(lǐng)導小組辦公室根據(jù)省信息化工作領(lǐng)導小組關(guān)于電子政務信息安全工作的決策,負責組織協(xié)調(diào)全省電子政務信息安全工作,并對執(zhí)行情況進行檢查監(jiān)督。省直各有關(guān)部門根據(jù)各自職能分工負責電子政務信息安全的具體工作。各市電子政務主管部門負責本市電子政務信息安全工作。

第四條由省信息化工作領(lǐng)導小組辦公室牽頭,會同省信息產(chǎn)業(yè)廳、保密局、公安廳、科技廳組成省電子政務信息安全工作小組,負責制定全省電子政務信息安全策略和工作規(guī)范,建立全省電子政務信息安全風險評估體系。各單位要制定本單位電子政務信息安全措施,定期進行安全風險評估,落實信息安全工作責任制,建立健全信息安全工作規(guī)章制度,并于每年6月份書面報本級電子政務主管部門備案。

第五條電子政務網(wǎng)絡由政務內(nèi)網(wǎng)和政務外網(wǎng)構(gòu)成,兩網(wǎng)之間物理隔離。電子政務內(nèi)網(wǎng)是政務部門的辦公專網(wǎng),連接包括省四套班子和省直各部門。電子政務內(nèi)網(wǎng)信息安全管理要嚴格執(zhí)行國家有關(guān)規(guī)定。

第六條電子政務外網(wǎng)是政府的業(yè)務專網(wǎng)。全省建設一個統(tǒng)一的電子政務外網(wǎng),凡是不涉及國家秘密的、面向社會的專業(yè)業(yè)務系統(tǒng)和不需在內(nèi)網(wǎng)上運行的業(yè)務系統(tǒng)必須接入或建在電子政務外網(wǎng)上,并采用電子政務外網(wǎng)上所要求的信息安全措施。

第七條電子政務外網(wǎng)必須與國際互聯(lián)網(wǎng)和其他公共信息網(wǎng)絡實行邏輯隔離。全省統(tǒng)一管理電子政務外網(wǎng)的國際互聯(lián)網(wǎng)出口。凡接入電子政務外網(wǎng)的電子政務應用系統(tǒng),不得擅自連接到國際互聯(lián)網(wǎng)。在國際互聯(lián)網(wǎng)上運行的政府網(wǎng)站,要采取必要的信息安全措施方可接入電子政務外網(wǎng)。

第八條在電子政務外網(wǎng)上建立統(tǒng)一的數(shù)字證書認證體系,建立電子政務安全信任機制和授權(quán)管理機制。凡接入電子政務外網(wǎng)的應用系統(tǒng)必須采用省電子政務認證中心發(fā)放的數(shù)字證書。各市可直接采用省電子政務認證中心提供的數(shù)字證書注冊服務,也可根據(jù)實際應用情況建立本市數(shù)字證書注冊服務中心,負責本市范圍內(nèi)數(shù)字證書的登記注冊。

第九條各級電子政務外網(wǎng)網(wǎng)絡管理單位負責本級電子政務外網(wǎng)的公共安全工作,建立信息網(wǎng)絡安全責任制。要對所管理的本級外網(wǎng)網(wǎng)絡進行實時監(jiān)控,定期進行安全性能檢測,定期向主管部門通報網(wǎng)絡安全狀況信息,并向其網(wǎng)絡用戶單位提供安全預警服務。

第十條電子政務外網(wǎng)要建立應急處理和災難恢復機制。應急支援中心和數(shù)據(jù)災難備份中心要制定數(shù)據(jù)備份制度,制定事故應急響應和支援處理措施,制定數(shù)據(jù)災難恢復策略和災難恢復預案,并報本級電子政務信息安全主管部門備案。全省性電子政務應用系統(tǒng)的主要數(shù)據(jù)庫和重要的基礎(chǔ)性數(shù)據(jù)庫,必須在應急支援中心和數(shù)據(jù)災難備份中心實現(xiàn)異地備份。

第十一條各單位要根據(jù)國家有關(guān)信息安全保護等級的保護規(guī)范,明確本單位電子政務應用系統(tǒng)的安全等級,并按照保護規(guī)范進行安全建設、安全管理和邊界保護。各單位負責其應用系統(tǒng)接入電子政務外網(wǎng)之前的所有安全工作,并配合網(wǎng)絡管理單位進行網(wǎng)絡安全管理和檢查工作。

第十二條各單位要明確信息采集、、維護的規(guī)范程序,確保其電子政務應用系統(tǒng)運行的數(shù)據(jù)信息真實準確、安全可靠。各單位要按照“誰上網(wǎng)誰負責”的原則,保證其在電子政務外網(wǎng)上運行的數(shù)據(jù)信息真實可靠,且不得涉及國家秘密。

第十三條各單位的電子政務應用系統(tǒng)要建立數(shù)據(jù)信息的存取訪問控制機制,按數(shù)據(jù)信息的重要程度進行分類,劃分訪問和存儲等級,設立訪問和存儲權(quán)限,防止越權(quán)存取數(shù)據(jù)信息。

第十四條各單位的電子政務應用系統(tǒng)要建立信息審計跟蹤機制,對用戶每次訪問系統(tǒng)的情況以及系統(tǒng)出錯和配置修改等信息均應有詳細記錄。

第十五條各單位的電子政務應用系統(tǒng)應當建立計算機病毒防范機制,要定期使用經(jīng)國家有關(guān)部門檢測認可的防病毒軟件進行檢測。

篇4

一.培訓內(nèi)容

這次培訓班的課程充實緊湊,涉及到辦公室工作的各大方

面,具體講授了以下專題:

財政部辦公廳秘書處邱玲處長講授的《認真執(zhí)行國務

院公文處理辦法進一步提高財政公文質(zhì)量》。內(nèi)容包括:

()年月了《國家行政機關(guān)公文處理辦

法》,相較于舊的《辦法》,作了重要的修改并新增了不少內(nèi)容。(具體內(nèi)容見材料)

()公文辦理中需要注意的問題和常見差錯。其中,主

要講解了“函”這一文體?!昂闭f白了就是非文件,是一個大類。相較于正式的“文件”,函的形式更靈活、運作的過程更簡便。

府辦公廳秘書處馮宏梅處長講授《關(guān)于國家行政機關(guān)

公文格式的若干問題》。對公文的格式作了具體而詳盡的總結(jié)。

()介紹了公文的種類。分為①文件式(紅頭文件);②信函式、命令式;③會議紀錄、電報;

()介紹了文件式的格式,文件式是公文中最常用的

文體,包括版頭(眉首)、主體、版記三部分,每一部分都有具體而詳盡的規(guī)定;

()介紹了信函式、命令式的格式;

()介紹了會議紀要的格式;

()介紹了省政府辦公廳的動作。即收文、分辦、辦

理、呈送、核稿、審批、發(fā)文(對外發(fā)文)、督辦、返譴、歸檔的全套模式。

廣東省檔案局石大泱處長講授《加強機關(guān)檔案工作、提高檔案水平》。內(nèi)容涉及以下三個方面:

()《檔案法》對機關(guān)檔案工作的規(guī)定。重點指出行政部門形成的檔案是國家檔案的重要組組成部分。受國家重點保護;要求行政部門檔案要集中統(tǒng)一管理,要維護檔案完整。

()檔案工作與機關(guān)工作的聯(lián)系。石處長指出檔案工作是各項業(yè)務工作的一個基礎(chǔ),機關(guān)工作的過程、結(jié)果都客觀地記在檔案中。同時,檔案材料也是加強機關(guān)管理的基礎(chǔ)材料、是機關(guān)領(lǐng)導決策的重要參考、是開展機關(guān)各項研究工作的重要材料、是編史修志的第一手材料。

因此,機關(guān)部門應對檔案工作給予高度的重視。

政府辦公廳信息處羅展懷處長講授《政務信息工作理

論與實踐》。主要內(nèi)容包括:

()怎樣看待信息工作。首先認識信息工作的特點:對

現(xiàn)實情況反映快、涉及社會經(jīng)濟的范圍廣、形式靈活。其次是了解信息工作的作用:是領(lǐng)導了解各方面工作的渠道,可以讓領(lǐng)導掌握社會動態(tài);是向領(lǐng)導同志匯報工作、擴大影響的經(jīng)常性渠道;是反映問題和解決問題的一個途徑;可以成為推動政府轉(zhuǎn)變職能、轉(zhuǎn)變工作作風的有力手段。

()信息工作的具體內(nèi)容。作為政務信息,包含了三個

層面:為上級領(lǐng)導服務;為本級領(lǐng)導服務;為下級領(lǐng)導服務。

二、培訓心得

各級領(lǐng)導在培訓班上的發(fā)言、授課,對辦公室作為一切工作運轉(zhuǎn)中心的重要地位給予了高度肯定,對今后更好地開展辦公室各項工作提出了新的建議:

邱玲處長在如何提高財政公文質(zhì)量的問題上提出在辦公室的具體工作中,首先要深入學習年的新《辦法》,嚴格按照新《辦法》的各項規(guī)定進行公文寫作,務求格式規(guī)范、內(nèi)容嚴謹;

其次是要深入了解新《辦法》中提出的“函”這一形式,相較于文件,“函”的靈活和運轉(zhuǎn)的簡便有助于減輕繁雜的辦公室事務。一些重要性、緊急性低的內(nèi)容應多用“函”的形式發(fā)出,以簡便流程、減輕辦公室的工作量。

馮宏梅處長在公文格式的問題上提出各級機關(guān)部門應嚴格把住公文的格式關(guān),將格式上的錯誤降到最低點。

同時,馮處長也介紹了省政府辦公廳的運作過程以供各級機關(guān)部門參考:①收文,由秘書處資料科收文,包括上級、同級、下級各方面的來文,分為閱卷和辦卷來進行登記,分送承辦的科室;②辦理,由省政府辦公廳綜合一二處辦理,收文后每人簽收,按規(guī)定處理,將不符合要求的文退回,將不屬于本處職權(quán)范圍內(nèi)的文再分送;③承送,報送領(lǐng)導審批;④核稿,是正式文件的核稿,領(lǐng)導審批完付印前由辦公廳主任最后審核,再由秘書處審核一次,有原則性改動的重新審批,沒有原則性改動的可付??;⑤發(fā)文,由發(fā)行科發(fā)文,電報則由省委機要局發(fā)出;⑥督辦,對已發(fā)文進行事后監(jiān)督,包括電話催辦、領(lǐng)導上門等方式;⑦返譴,用領(lǐng)導批示回報表,復印領(lǐng)導批示,送達先閱先批者處;⑧歸檔,書面存檔,方便以后查閱,將所涉及所有材料羅列。

此外,馮處長建議各級機關(guān)制作政務動態(tài)通報,將一天內(nèi)重要領(lǐng)導批示,上訪情況等整理制文,第二天放至領(lǐng)導處,以全領(lǐng)導全面掌握情況。

石大泱處長對檔案工作提出了新的要求:首先是要對《檔案法》進行深入學習,將《檔案法》里的各項規(guī)定落實到各項具體的工作中;其次是認識到檔案工作與機關(guān)工作的密切聯(lián)系,在具體工作中加大對檔案工作的重視;再次是提出辦公室作為檔案工作的領(lǐng)導,應如何在具體工作中加強它的領(lǐng)導作用。

羅展懷處長提出了做好信息上報工作的具體內(nèi)容:首先,要保持良好的溝通交流渠道,其中又以人的溝通為主為重;其次是要把握上報住處的最基本的內(nèi)容,這些內(nèi)容包括重大的經(jīng)濟社會動態(tài)、突發(fā)事件、重要的工作部署、領(lǐng)導決策落實的情況、需要上級幫助解決的困難、上級要求上報的內(nèi)容、領(lǐng)導批示的反饋等等;再次是要提高上報信息的針對性。這主要是指內(nèi)容的針對性:考慮內(nèi)容的重要性、綜合性;介紹的經(jīng)驗是否先進和可借鑒性;反映的問題是否需要上級關(guān)注和幫助解決、提出的建議是否針對上級提出來的。

篇5

(一)加強信息安全管理

金融行業(yè)通過在互聯(lián)網(wǎng)開展業(yè)務、提高管理效能、創(chuàng)新金融服務、開拓金融市場來擴大自身影響力,對防范和抵御來自互聯(lián)網(wǎng)的信息安全威脅十分重視,而對來自內(nèi)部的信息安全威脅卻防范不足。尤其缺乏對內(nèi)部人員信息安全意識的培養(yǎng),在信息安全管理制度執(zhí)行方面存在不足。調(diào)查顯示,超過75%的信息系統(tǒng)泄密和惡意攻擊事件都是由于內(nèi)部人員疏忽和無意識泄密造成的,這是安全威脅不斷升級的重要原因之一。此外,在利益驅(qū)動下,個別內(nèi)部人員鋌而走險,利用管理的疏漏主動發(fā)起的信息安全威脅更難防范。同時,信息安全不能只靠一些信息安全產(chǎn)品實現(xiàn),安全產(chǎn)品和技術(shù)只是信息安全管理體系里的一小部分。只有在良好的信息安全管理基礎(chǔ)上才能發(fā)揮作用,所以“三分技術(shù),七分管理”是保障信息安全的基本原則。

(二)建立信息安全事件調(diào)查規(guī)范

懷疑發(fā)生信息安全事件后,要及時啟動調(diào)查程序,而每個調(diào)查程序必須有一套基本的規(guī)范加以指導。通常從調(diào)查人員構(gòu)成、調(diào)查時間緊迫程度、調(diào)查方案、保密范圍以及需要采取的后續(xù)措施等方面逐一規(guī)定。在調(diào)查組成員的選配上,需要業(yè)務部門、技術(shù)部門、監(jiān)督檢查部門以至外聘專家共同組成;在時間要求上,第一時間開展調(diào)查能夠防止重要信息被刪除、篡改,爭取得到第一手資料;在調(diào)查方案上,信息安全事件調(diào)查需要從業(yè)務操作、內(nèi)部管理、技術(shù)原因等各方面開展調(diào)查;在保密要求上,需要對被檢查單位和人員保密調(diào)查內(nèi)容和調(diào)查方法,防止出現(xiàn)相關(guān)證據(jù)信息被人為隱瞞、銷毀的情況;在調(diào)查評估上,信息安全事件發(fā)生后引起的嚴重影響,是否需要啟動司法程序等作出規(guī)定。因此,建立一整套信息安全事件調(diào)查程序至關(guān)重要,主要是為了確保以下4個方面的內(nèi)容。1.信息安全異?,F(xiàn)象可以被檢測出來并得到有效處理,尤其是確定是否需要將異?,F(xiàn)象歸類為信息安全事件。2.對已確定的信息安全事件進行評估,并以最恰當和最有效的方式作出響應。3.作為事件響應的一部分,通過恰當?shù)姆雷o措施,將信息安全事件對組織及其業(yè)務運行的負面影響降至最低。4.及時總結(jié)信息安全事件及其管理的經(jīng)驗教訓,有效預防將來信息安全事件發(fā)生的頻率,改進信息安全防護措施的實施和使用,同時全面改進信息安全事件管理方案。

(三)提高信息安全人員素質(zhì)

除了建立信息安全管理制度并嚴格落實外,高素質(zhì)的信息安全人員是信息安全保障體系的智力支撐。從IT行業(yè)越來越細的專業(yè)劃分和日益復雜嚴重的信息安全威脅來看,信息安全管理儼然成為需要有更高專業(yè)素養(yǎng)的領(lǐng)域。信息安全管理人員需要掌握的知識結(jié)構(gòu)包括信息安全保障基礎(chǔ)知識、信息安全技術(shù)、信息安全管理、信息安全工程以及信息安全標準法規(guī)等。在技術(shù)領(lǐng)域需要掌握操作系統(tǒng)安全、防火墻、防病毒、入侵檢測、密碼技術(shù)和應用等安全技術(shù)知識;在管理方面要掌握信息安全管理和治理,并要具有開展風險評估、災難恢復、應急響應所需相關(guān)知識和實踐能力;在工程領(lǐng)域要有開展信息安全工程管理、咨詢和監(jiān)理的實踐經(jīng)驗;在標準和法律法規(guī)領(lǐng)域,需要掌握國家信息安全相關(guān)的法律法規(guī)以及國內(nèi)外信息安全相關(guān)的標準和實踐經(jīng)驗。此外,一個合格的信息安全員不但要有不斷更新自身知識結(jié)構(gòu)的自主學習能力,還要具有高度的責任心和自律能力。因此,建立一支高素質(zhì)的信息安全員隊伍,是信息安全工作的重要保障。

(四)建立金融機構(gòu)間協(xié)同調(diào)查機制

在廣域網(wǎng)環(huán)境中,服務器、網(wǎng)絡設備、安全監(jiān)控系統(tǒng)在地理上是分散的,可能部署在不同層次的網(wǎng)絡節(jié)點并分屬不同的管理機構(gòu)。由于網(wǎng)絡的互通性,黑客經(jīng)常會使用遠程攻擊或利用被侵入的主機作為跳板隱藏自身地址,入侵和攻擊事件表面上發(fā)生在A地,但發(fā)起攻擊的源頭很可能在B地。如果要追蹤攻擊的源頭,就需要收集所有關(guān)鍵服務器、網(wǎng)絡節(jié)點的日志信息等,并將它們按一定的規(guī)律關(guān)聯(lián)起來。例如這次事件的調(diào)查雖然不屬于黑客攻擊,但如果要找到登錄終端,就需要調(diào)取商業(yè)銀行、人民銀行各級網(wǎng)絡交換機、路由器、防火墻等設備的配置文件、日志文件,甚至是系統(tǒng)臨時文件等。由于商業(yè)銀行和人民銀行之間沒有建立相應的協(xié)同工作機制,調(diào)查組無法及時獲取這些資料,所以也就無法通過IP地址找到登錄終端,并通過登錄終端找到查詢?nèi)藛T。隨著人民銀行與金融機構(gòu)間網(wǎng)絡的互聯(lián)互通,提供的服務項目增多,加上微小金融機構(gòu)大量接入金融服務平臺,出現(xiàn)此類信息安全事件的概率也會上升,需要各金融機構(gòu)間共享關(guān)鍵信息并協(xié)助開展調(diào)查的事件也會越來越多,所以建立金融機構(gòu)間信息安全事件協(xié)同調(diào)查機制至關(guān)重要。

(五)重視Web應用系統(tǒng)安全設計

篇6

關(guān)鍵詞:個人;金融信息;保護;法律體系

一、個人金融信息泄露的原因

(一)法律體系不完善,個人金融信息的保護規(guī)定不健全。目前,我國尚未制定一部專門的個人信息保護法,發(fā)揮個人金融信息保護功能的主要是中國人民銀行出臺的《個人信用信息基礎(chǔ)數(shù)據(jù)庫管理暫行辦法》(2005)、《關(guān)于銀行業(yè)金融機構(gòu)做好個人金融信息保護工作的通知》(2011),這些只是部門性德規(guī)章制度和政策文件,兩者雖對個人金融信息收集、保存、使用等做了相應規(guī)定,但前者屬效力層級較低的部門規(guī)章,且只針對信貸領(lǐng)域的個人信用信息,后者為規(guī)范性文件,在實際工作中不具備正式法的效力,執(zhí)行能力不強。

(二)銀行業(yè)金融機構(gòu)對個人信息安全保護的重要性缺乏充分認識,對個人信息缺乏統(tǒng)一的保護機制。銀行業(yè)金融機構(gòu)對客戶的個人信息安全保護認識不足,缺乏個人信息安全管理制度,對客戶個人信息保密責任不明晰,沒有對信息實行有效的安全等級分類管理;對制度的執(zhí)行監(jiān)督檢查、評估不夠,對掌握重要信息的離崗人員的保密責任沒有嚴格的約束措施。目前個人金融信息保護的相關(guān)規(guī)定只是散見于銀行各類業(yè)務的管理制度中,無法保證個人金融信息的采集、保管和追蹤等各個環(huán)節(jié)工作的統(tǒng)一性。同時,銀行各個業(yè)務部門中涉及個人金融信息,沒有統(tǒng)一的聯(lián)系和管理機制,個人金融信息在銀行內(nèi)部沒有形成互通互聯(lián),這給信息保護帶來很大難度,是個人信息保護中的漏洞所在。內(nèi)部監(jiān)督檢查力度較弱,沒有對個人信息保護的專項檢查制度,將該類檢查納入常規(guī)性檢查定期進行的機構(gòu)比例較低。

(三)監(jiān)管部門不明確,監(jiān)管手段欠缺。目前,人民銀行從征信管理的角度加強了對個人客戶信息保護工作的力度,印發(fā)了《關(guān)于銀行業(yè)金融機構(gòu)做好個人金融信息保護工作的通知》(2011),盡管對個人金融信息收集、保存、使用、對外提供等做了全面的規(guī)定,但由于缺乏明確的法律依據(jù),人民銀行履行該項職能缺乏必要的監(jiān)管手段。囿于效力層次,不能設立行政檢查檢查權(quán)和處罰權(quán),人民銀行對違反個人金融信息保護規(guī)定的金融機構(gòu)只能采取“核實、約見談話、責令整改、通報”等柔性處理措施,約束力較弱,保護力度受限,效果不明顯。

(四)銀行業(yè)金融機構(gòu)缺乏對風險防范意識的宣傳和教育,客戶對于個人信息保護的意識不強。由于銀行金融機構(gòu)在營銷產(chǎn)品的過程中,對產(chǎn)品可能存在的風險沒有做到全面告知,客戶對個人信息保護雖有一定認識,但對個人信息的重要性及個人信息保護制度的相關(guān)細節(jié)卻普遍缺乏深入的了解,個人信息保護意識不高,風險防范意識較為薄弱。

二、加強保護個人金融信息的建議

(一)制定專門法規(guī),為保護個人金融信息提供法律依據(jù)。個人信息的保護法規(guī)需要多層次、系統(tǒng)化的制度作為保證,形成協(xié)調(diào)統(tǒng)一的法律體系。首先要明確個人金融信息的定義,明確銀行收集個人金融信息的目的和范圍;其次,規(guī)定銀行保護、使用個人金融信息的法定義務,即要求銀行必須按照法定的方式、途徑來收集、保存和使用個人金融信息,并履行一定的告知義務;再次,就是侵害個人金融信息的認定辦法和救濟途徑作出明確規(guī)定。

(二)銀行業(yè)金融機構(gòu)要切實提高客戶個人信息安全保護意識。金融機構(gòu)要加強對個人金融信息的保護工作,完善個人信息系統(tǒng)的建設。對個人金融信息的收集、使用等各個環(huán)節(jié)做出明確的規(guī)定,并建立有效的制度對各個環(huán)節(jié)面臨的風險進行有效的防范。同時,明確保密和管理職責權(quán)限,落實責任制,與在崗員工簽訂安全保密責任書,與離崗人員簽訂安全保密承諾書;強化監(jiān)管和問責,定期對信息安全狀況進行評估、審計和檢查監(jiān)督,及時發(fā)現(xiàn)和糾正工作中存在的隱患和漏洞;加強對員工尤其是新員工的信息安全教育培訓,使員工了解信息安全管理的內(nèi)容、規(guī)定以及信息安全管理的重要性,增強信息安全風險意識,防范道德風險。

篇7

關(guān)鍵詞:征信系統(tǒng);非銀行信用信息;信息共享

中圖分類號:F830.51文獻標識碼:B 文章編號:1007-4392(2008)05-0065-02

一、天津市征信系統(tǒng)建設情況

建立健全征信系統(tǒng),是建立社會征信體系的重要基礎(chǔ)工作。近幾年來,天津市征信系統(tǒng)建設取得了一定進展。由市政府決策并投資建設的天津市企業(yè)信用信息系統(tǒng)已于2003年開通查詢,目前該系統(tǒng)已經(jīng)收錄了500多萬條企業(yè)信用信息,可供市政府和提供信息的政府部門查詢使用;由人民銀行建立的全國統(tǒng)一的企業(yè)和個人信用信息基礎(chǔ)數(shù)據(jù)庫已于2006年在天津市正式運行并開通查詢,目前該系統(tǒng)收錄了天津市6萬多戶借款企業(yè)和 700多萬自然人的基本信息和銀行信用交易信息,可供全市30多家金融機構(gòu)查詢使用,金融監(jiān)督管理機構(gòu)、司法部門及其他政府機構(gòu),根據(jù)相關(guān)法律、法規(guī)的規(guī)定,也可按規(guī)定的程序進行查詢。

二、征信系統(tǒng)發(fā)揮的作用及存在的問題

天津市征信系統(tǒng)運行以來作用明顯,主要體現(xiàn)在以下幾個方面:一是有效防范了信用風險,提高了商業(yè)銀行信貸資產(chǎn)質(zhì)量。目前,幾乎所有商業(yè)銀行都把查詢征信系統(tǒng)作為審查貸款的必經(jīng)環(huán)節(jié)。通過查詢征信系統(tǒng),商業(yè)銀行可以避免為靠騙貸過日子、惡意逃廢債、信用狀況不佳的借款人發(fā)放貸款,從而有效防范信貸風險。二是促進了信貸市場的發(fā)展,擴大了信貸范圍。征信系統(tǒng)不僅有利于防止信貸欺詐,降低不良貸款比率,而且在提高審貸效率,方便廣大企業(yè)、個人借貸,促進生產(chǎn)、消費等方面也發(fā)揮了重要作用。三是為加強金融監(jiān)管和宏觀調(diào)控,改善金融環(huán)境提供了條件。企業(yè)和個人征信系統(tǒng),記錄了企業(yè)和個人最原始的信貸情況和還款記錄,依托該系統(tǒng),按照不同的監(jiān)管和宏觀調(diào)控需要,可以對信貸市場的狀況進行統(tǒng)計和分析,為有針對性地加強監(jiān)管、實現(xiàn)貨幣和信貸政策的微調(diào)創(chuàng)造條件。四是提高了社會誠信水平。征信系統(tǒng)“失信懲戒機制”作用的發(fā)揮,逐漸改變著企業(yè)和個人的行為,一些借款人主動償還拖欠的貸款,為避免出現(xiàn)不良記錄,按時履行償還貸款等合同義務。五是對社會穩(wěn)定起到一定作用。實踐證明,不少企業(yè)和個人具有過度負債的沖動,如果不加約束,可能造成企業(yè)和個人債務負擔過重,影響企業(yè)和個人正常經(jīng)營和生活,甚至引發(fā)社會問題。

目前,天津市征信系統(tǒng)的功能還沒有得到充分發(fā)揮,主要表現(xiàn)在:一是人民銀行全國統(tǒng)一的企業(yè)和個人信用信息基礎(chǔ)數(shù)據(jù)庫缺失金融機構(gòu)以外的非銀行信用信息,尚難滿足金融機構(gòu)全面評估客戶信用狀況的需要;二是天津市企業(yè)信用信息系統(tǒng)中的大量非銀行信用信息尚未實現(xiàn)充分利用,其信用信息的社會價值有待挖掘。三是部門之間還存在信息分割問題,沒有實現(xiàn)信用信息的充分共享利用。造成這些問題的主要原因包括:一是我國缺少信息公開方面的相關(guān)法律規(guī)范,一些政府部門在信息披露和共享方面仍然存在法律方面的顧慮,為避免出現(xiàn)法律糾紛,有些部門選擇了不進行信息共享。二是部門間的信息共享機制尚未建立。企業(yè)和個人的定位信息和信用信息主要分散在不同的政府部門之間,而部門之間缺乏有效的信息共享、信息交換和信息更新機制,同時,部門之間的相互協(xié)調(diào)也比較困難。三是部分單位掌握信息的信息管理中心實行自收自支,如果將其共享,利益分配問題也不容忽視。

為實現(xiàn)信用數(shù)據(jù)資源與信用數(shù)據(jù)需求的連接,最大限度地發(fā)揮征信系統(tǒng)的社會價值,維護天津市金融穩(wěn)定,推進社會信用體系建設,必須有效解決信息分割問題,暢通信息共享渠道,進一步增強征信系統(tǒng)的功能。

三、增強天津市征信系統(tǒng)功能的思路與建議

(一)構(gòu)建信用信息共享機制,推動天津市征信系統(tǒng)的橫向聯(lián)結(jié)

征信系統(tǒng)涉及的信息主要包括基本信息、信貸信息和非銀行信息三大類,其中非銀行信用信息主要涉及工商、稅務、勞動和社會保障、質(zhì)量技術(shù)監(jiān)督、環(huán)境保護、民政、公安、法院、房產(chǎn)、住房公積金管理、電信、公用事業(yè)等單位。目前,天津市的信貸信息和部分政府部門信用信息已經(jīng)實現(xiàn)了部門內(nèi)共享,但信貸信息和政府部門的非銀行信用信息尚存在條塊分割問題,信用數(shù)據(jù)必須進一步突破部門和行業(yè)的限制。建議市政府責成人民銀行和天津市牽頭部門,共同協(xié)調(diào)有關(guān)部門開放數(shù)據(jù),構(gòu)建信用信息共享機制。同時,為節(jié)約建設成本,避免重復投入,可以人民銀行的企業(yè)和個人信用信息基礎(chǔ)數(shù)據(jù)庫為基礎(chǔ),整合信用信息資源,并提供信用信息服務。主要依據(jù),一是人民銀行履行著“管理信貸征信業(yè),推動建立社會信用體系”的主要職能;二是人民銀行已經(jīng)有近十年的信用信息基礎(chǔ)數(shù)據(jù)庫建設和管理經(jīng)驗;三是與其他部門相比較,人民銀行所掌握的信用信息安全性要求較高,也具有很強的針對性和系統(tǒng)性,而政府各部門在法律上可以公開的信息,是可以通過人民銀行提供的信息平臺實現(xiàn)披露和共享的;四是金融部門是信用信息最主要的應用者,人民銀行已經(jīng)建立了連接本地金融機構(gòu)的金融城域網(wǎng),通過該網(wǎng)絡,信用信息可以直接延伸到金融機構(gòu)的信貸業(yè)務網(wǎng)點,滿足金融機構(gòu)防范信貸風險的需要?;谏鲜隹紤],以人民銀行的征信系統(tǒng)為基礎(chǔ)整合信用信息資源并建立信用信息披露的平臺最具可行性,可以盡快實現(xiàn)信用信息為金融和天津市經(jīng)濟發(fā)展服務。部門間信用信息數(shù)據(jù)共享可以采取多種方式,對于已經(jīng)建成的征信系統(tǒng),可以通過專線網(wǎng)等方式進行橫向連接,對于數(shù)據(jù)尚未集中的部門,可以通過存儲介質(zhì)報送、手工直接錄入的方式實現(xiàn)信息歸集和共享。

(二)暢通信息傳輸渠道,提高信用信息及網(wǎng)絡資源的使用效率

現(xiàn)階段,信用數(shù)據(jù)的需求主要集中在金融機構(gòu)、政府部門、金融調(diào)控和監(jiān)管機構(gòu)。金融機構(gòu)依據(jù)信用信息判斷借款企業(yè)和個人的信用狀況,防范信貸風險;政府部門和金融監(jiān)管部門依法履行職責需要查詢企業(yè)和個人的信用信息;金融宏觀調(diào)控部門依據(jù)征信系統(tǒng)提供的信息,制定和實施貨幣政策。

考慮到信用信息保密程度的不同和現(xiàn)有的網(wǎng)絡資源,信息需求方可以通過不同方式享受信息服務,查詢信用信息系統(tǒng):金融機構(gòu)、金融調(diào)控和監(jiān)管部門可以通過金融城域網(wǎng)采用在線查詢方式。金融機構(gòu)、金融調(diào)控和監(jiān)管部門在正確登陸網(wǎng)絡后,可以對數(shù)據(jù)庫進行直接訪問,查詢相關(guān)的信用信息。政府部門可以采用離線查詢方式。政府部門通過電子郵件、傳真、電話等多種方式向征信系統(tǒng)提出信用信息需求,人民銀行數(shù)據(jù)中心業(yè)務人員對征信系統(tǒng)進行操作查詢,將查詢結(jié)果以文件形式存儲于磁盤、光盤等介質(zhì),或者直接打印輸出,將查詢結(jié)果返回給需求方。

篇8

(一)信息科技支撐不足,信息化戰(zhàn)略風險凸顯目前村鎮(zhèn)銀行支撐業(yè)務運轉(zhuǎn)的信息科技建設與傳統(tǒng)銀行相比嚴重落后,難以保證其健康運行和快速發(fā)展,形成了村鎮(zhèn)銀行發(fā)展的戰(zhàn)略風險。一是系統(tǒng)支撐能力不足。如漳平民泰村鎮(zhèn)銀行未加入當?shù)厝嗣胥y行大小額支付系統(tǒng)和財稅庫行橫向聯(lián)網(wǎng)系統(tǒng),大量小微企業(yè)因無法進行開戶代扣稅等原因只能對其“望而卻步”,目前該行某些業(yè)務須借助當?shù)嘏d業(yè)銀行的平臺。二是漳平民泰村鎮(zhèn)銀行無法并入銀聯(lián)銀行卡網(wǎng)絡,無法提供網(wǎng)上銀行服務等電子化服務渠道,因此直接“屏蔽”了許多客戶的需求,難以適應農(nóng)村信息化建設,滿足深入推進和滿足農(nóng)民日益迫切的新興電子化金融服務和產(chǎn)品的強烈需求。三是信息科技投入不足,一方面部分設備老化、性能較差,未達到重要設備及系統(tǒng)的雙機備份要求;另一面專業(yè)科技人才稀缺,且技術(shù)水平和實踐經(jīng)驗相對不足,難以勝任地方特色中間業(yè)務的開發(fā)運維任務。

(二)信息科技發(fā)展意識淡薄,治理架構(gòu)不到位一是中小金融機構(gòu)管理層目前關(guān)注點仍立足利潤、收息、不良貸款等傳統(tǒng)經(jīng)濟效益指標,對信息化建設的潛在效益重視不足,未形成有效的信息科技治理架構(gòu),科學性、規(guī)范性決策欠缺。二是系統(tǒng)運行穩(wěn)定性、安全性較差,部分核心系統(tǒng)剛開發(fā)投入使用不久,需要經(jīng)常進行補丁更新和升級,核心數(shù)據(jù)安全無法保障。數(shù)據(jù)備份周期過長、備份方式落后,備份介質(zhì)存放環(huán)境差且未進行異地存放,有些核心數(shù)據(jù)完全依托發(fā)起行備份管理,如個人和企業(yè)征信業(yè)務存在數(shù)據(jù)泄密隱患。三是業(yè)務連續(xù)性風險隱患大。中小金融機構(gòu)未建立專業(yè)的機房,科技設備及系統(tǒng)運行整體環(huán)境較差,管理人員為單人,業(yè)務中斷風險嚴重。

(三)信息科技對外依賴性強,外包風險突出中小金融機構(gòu)由于自身科技力量不足,信息化建設嚴重依賴外部,從系統(tǒng)開發(fā)上線到運行管理維護等各個環(huán)節(jié)都依賴發(fā)起行或外包公司的支持。在未與發(fā)起行或外包公司簽訂明確的服務水平協(xié)議的情況下,普遍缺乏對發(fā)起行或外包公司科技管理維護人員的有效制約機制。外包公司倒閉、服務響應時間長等外包風險都對銀行信息化建設發(fā)展提出挑戰(zhàn)。

(四)約束機制不到位,存在操作風險及案件隱患中小金融機構(gòu)整體科技人員不足,各類約束制約機制不到位,在信息安全方面普遍存在操作風險及案件隱患。在銀行只有1名兼職科技人員的情況下,信息科技運行中存在單人操作現(xiàn)象;同時,科技人員權(quán)限過大,數(shù)據(jù)備份、系統(tǒng)管理、安全管理等職責集于一身。如漳平民泰村鎮(zhèn)銀行的保衛(wèi)監(jiān)控室與計算機房合為一體,這都為操作風險及案件發(fā)生創(chuàng)造了可能性。

(五)信息安全指導和監(jiān)管明顯滯后與中小金融機構(gòu)信息化高速發(fā)展相比,中小金融機構(gòu)的信息安全指導和監(jiān)管工作還需要進一步加強。首先,人民銀行對中小金融機構(gòu)信息安全工作的指導和協(xié)調(diào)職責,與銀監(jiān)部門監(jiān)督檢查內(nèi)容重疊且標準不一,極易造成多頭管理且口徑要求不統(tǒng)一的問題,導致監(jiān)管部門之間分工不明確,在缺乏有效的溝通和協(xié)調(diào)下,易造成中小金融機構(gòu)間的誤解。其次,中小金融機構(gòu)與人民銀行之間在信息安全方面缺乏交流機制,人民銀行對中小金融機構(gòu)信息安全措施是否符合規(guī)范缺乏了解,對中小金融機構(gòu)信息安全工作缺乏指導,造成人民銀行與中小金融機構(gòu)在信息安全保障方面安全標準不對稱的局面。

二、政策建議

中小金融機構(gòu)的設立和發(fā)展,是推進金融深化改革,完善金融組織體系的必由之路。在此過程中,能否處理好信息科技與業(yè)務發(fā)展的關(guān)系至關(guān)重要,對此我們提出以下建議。

(一)立足長遠,以科技驅(qū)動業(yè)務發(fā)展并提升管理水平中小金融機構(gòu)應立足長遠,在發(fā)展中樹立科技先行的理念,不僅將信息科技作為支撐,而且把它作為引領(lǐng)業(yè)務實現(xiàn)跨越式發(fā)展并最終走向成熟的引擎,切實以科技驅(qū)動業(yè)務發(fā)展并提升管理水平。一是高管層應提高對信息科技的認識,理順信息科技與業(yè)務發(fā)展的關(guān)系。二是加大人財物投人,長遠、科學合理規(guī)劃信息科技發(fā)展。三是在信息科技方面建章立制,加強執(zhí)行力建設,以規(guī)矩成方圓。

(二)完善中小金融機構(gòu)信息安全管理機制中小金融機構(gòu)應建立和完善信息安全管理的組織架構(gòu),明確部門和崗位職責,形成分工合理、職責明確、相互制衡的信息安全組織架構(gòu);應制訂符合總體業(yè)務發(fā)展的信息安全運行規(guī)劃,確保配置足夠的人力、物力、財力,維持穩(wěn)定、安全的信息安全環(huán)境;應制訂全面的信息安全管理策略,包括信息分級與保護、運行和維護、訪問控制、物理安全、人員安全以及外包管理機制等;應強化運維體系建設,完善運維管理流程,明確運維管理標準,并且針對目前中小金融機構(gòu)信息系統(tǒng)的開發(fā)、建設和運維依靠外包服務的趨勢,應建立健全科技外包管理制度,積極防范外包服務風險,規(guī)范服務商的服務標準和流程;應建立持證上崗制度,加強中小金融機構(gòu)信息安全工作人員培訓,在信息安全崗位設置上要滿足信息安全工作的需要,信息安全工作人員應考取相關(guān)上崗資格證后方能上崗;應建立信息安全考核評價機制和獎懲制度,出臺考核辦法,并對信息安全工作進行評價,有效落實信息安全責任制和問責制。

(三)引導中小金融機構(gòu)加強等級保護工作金融信息安全體系的構(gòu)建必須建立在風險評估的基礎(chǔ)上。信息安全等級保護能夠有效提高信息以及金融信息安全體系建設的整體水平,為金融信息安全體系的構(gòu)建提供系統(tǒng)性、針對性、可行性的指導和服務,有效控制信息安全建設成本,優(yōu)化信息安全資源的配置。一是根據(jù)《信息安全等級保護管理辦法》和《金融行業(yè)信息系統(tǒng)信息安全等級保護實施指引》,加大中小金融機構(gòu)等級保護工作的開展力度,做好等級保護評估工作。二是當?shù)厝嗣胥y行應根據(jù)中小金融機構(gòu)的特點,建立切實可行的中小金融機構(gòu)信息安全等級保護標準和監(jiān)管措施,對中小金融機構(gòu)的系統(tǒng)風險和操作風險進行分類,對其信息系統(tǒng)安全定級過程與結(jié)果進行審核監(jiān)督。三是人民銀行應與公安部門、金融監(jiān)管部門建立協(xié)調(diào)檢查機制,適時組織對中小金融機構(gòu)等級保護工作開展情況進行檢查,加強信息安全等級保護制度在中小金融機構(gòu)中的有效落實。

篇9

區(qū)域信息生態(tài)系統(tǒng)是一個具有多樣性、復雜性的有機系統(tǒng)。近幾年來,我國許多區(qū)域的信息污染、信息壟斷、信息超載、信息孤島、信息侵犯、網(wǎng)絡安全等問題較為嚴重。加深對區(qū)域信息生態(tài)系統(tǒng)及服務體系的研究,有利于其保持良性運行,也有助于信息生產(chǎn)和消費之間的平衡,完善媒體信息資源公益性開發(fā)機制。

區(qū)域信息生態(tài)系統(tǒng)概念模型

區(qū)域信息生態(tài)系統(tǒng)是一個在某一地區(qū)信息生態(tài)循環(huán)中,由信息人、信息和信息環(huán)境三大要素及其內(nèi)部各生態(tài)因子組成的動態(tài)而開放的系統(tǒng)。其中,信息人不僅包括參與信息活動的單個個體,也包括從事信息工作的政府、媒體機構(gòu)、民間團體、行業(yè)協(xié)會、社區(qū)等,這是信息生態(tài)系統(tǒng)的核心。其參與信息活動是使生態(tài)系統(tǒng)維持“平衡失衡平衡”螺旋式上升的主導力量。信息主要指區(qū)域內(nèi)所有的數(shù)據(jù)資源,也包括與之相關(guān)的區(qū)域外信息資源,其具有價值性、時效性、傳遞性、可處理性、服務性、共享性、增值性等特征。信息環(huán)境涵蓋信息基礎(chǔ)設施、信息資源、信息技術(shù)、信息政策與法規(guī)等,其中,信息技術(shù)是獲取、傳遞、處理、存儲、再生和利用信息的主導因子,包括計算機技術(shù)、網(wǎng)絡技術(shù)、通信技術(shù)、感測技術(shù)、自動控制技術(shù)、數(shù)據(jù)庫技術(shù)和多媒體技術(shù),以及由這些技術(shù)分解出的其他相關(guān)技術(shù)。區(qū)域信息生態(tài)系統(tǒng)內(nèi)部各生態(tài)因子之間相互聯(lián)系、相互作用、相互依存、共生共進。在系統(tǒng)中,信息人、信息與信息環(huán)境之間存在著動態(tài)的相互適應過程,持續(xù)的動態(tài)適應過程維持著系統(tǒng)的有序平衡。

基于上述認知,本課題建立了區(qū)域信息生態(tài)系統(tǒng)的概念模型(如下頁圖1)。

在系統(tǒng)中,信息人是生態(tài)的主體,信息資源是生態(tài)的客體,信息環(huán)境不僅是生態(tài)的背景和場所,而且是所有與信息相互關(guān)聯(lián)的外部因素之和。信息人從其所處的信息環(huán)境中獲取與利用信息資源,又發(fā)揮自己的能動性通過實踐活動改造信息環(huán)境,從而實現(xiàn)不斷變化的目標。事實上,信息社會是以信息的收集、開發(fā)、傳播、利用為主要特征的,信息作用的發(fā)揮必須借助于信息技術(shù),同時也由于信息技術(shù)的進步促進信息生態(tài)系統(tǒng)的改善。信息人通過一定的信息技術(shù)與外界信息環(huán)境之間進行信息交換,構(gòu)成了一個信息生態(tài)循環(huán)。

區(qū)域信息生態(tài)系統(tǒng)服務體系構(gòu)建

本課題構(gòu)建的區(qū)域信息生態(tài)系統(tǒng)服務體系框架,包括四大平臺和兩大體系(如圖2)。

四大平臺包括:1.數(shù)字政府。改革政府行政管理方式,建設統(tǒng)一的政務網(wǎng)絡平臺。通過網(wǎng)上審批、網(wǎng)上審計、網(wǎng)上、網(wǎng)上監(jiān)督考核等多種信息技術(shù)手段,降低行政成本,提高行政效能,實現(xiàn)網(wǎng)上互動;建設完善一批重點業(yè)務下臺,并將以傳統(tǒng)載體保存的政務信息資源數(shù)字化、網(wǎng)絡化。2.數(shù)字企業(yè)。以建設區(qū)域先進制造業(yè)基地為目標,加快信息化帶動工業(yè)化,提升產(chǎn)業(yè)集群、企業(yè)及產(chǎn)品信息化水平,加強自主創(chuàng)新,掌握信息化核心技術(shù),從而促進企業(yè)生產(chǎn)經(jīng)營和管理方式變革。3.數(shù)字城市。圍繞著如何提高城市綜合管理能力和公共服務水平這個目標,完善城市信息基礎(chǔ)設施建設,發(fā)展技術(shù)含量高、關(guān)聯(lián)度大的現(xiàn)代服務行業(yè),促進政府公共管理、社會公共服務和便民商業(yè)服務的融合。同時注重數(shù)字圖書館建設。4.數(shù)字新農(nóng)村。為了增強服務“三農(nóng)”的能力,在農(nóng)村建立信息網(wǎng)絡服務體系,加快現(xiàn)代農(nóng)業(yè)信息技術(shù)應用,并積極開展農(nóng)業(yè)信息技術(shù)培訓服務,不斷提高農(nóng)民信息應用技能,切實加強農(nóng)戶、農(nóng)村合作社與企業(yè)的聯(lián)系,促進農(nóng)產(chǎn)品的銷售、深加工,提高農(nóng)民收入。

兩大體系包括:1.信息安全體系。在各級政府有關(guān)部門的統(tǒng)一領(lǐng)導下,根據(jù)國家有關(guān)信息安全的法律法規(guī),建立起信息安全監(jiān)管機制及其保障體系。有關(guān)人員要提高對電子政務、電子商務、信息資源開發(fā)利用、信息服務、信息市場、資源共享等方面的安全風險管控能力,強化等級保護和風險評估,使得信息安全管理更加科學有效。2.社會誠信體系。建立涉及社會諸多領(lǐng)域的信用信息記錄、信用產(chǎn)品使用、守信受益及失信懲戒的信用制度,形成各部門協(xié)同推進、社會和企業(yè)廣泛參與的誠信工作格局;誠信體系覆蓋信用服務產(chǎn)業(yè)鏈各個環(huán)節(jié),包括社會信用制度建設、信用服務體系建設、個人信用聯(lián)合征信系統(tǒng)、企業(yè)聯(lián)合征信系統(tǒng)和信用服務行業(yè)協(xié)會等。

篇10

〔關(guān)鍵詞〕供應鏈系統(tǒng);情報泄密;機理;信息安全;反競爭情報

〔Abstract〕The paper,from the perspective of the counterintelligence technical support system,constructed the supply chain information security system model from such five parts as the information security decision center,the information security counterintelligence center,the network counterintelligence system supported by the honeynet technology,the human intelligence network system and the integrated supply chain information system;combed the security hidden danger of information security system in supply chain;and explored the path of the supply chain system information leakage to find that the ineffective supervision of information security governance process caused the leakage of supply chain system information,information security policy management lags behind the information security needs of the supply chain system,the feature of the double edged sword of the honeynet technology threatened the security of the network countercompetitive intelligence system,the human intelligence network with high maintenance cost and the regulatory difficulties had become the supply chain system security short board,and the security vulnerabilities of integrated information system in supply chain was the basis of competitive intelligence.

〔Key words〕supply chain system;information leakage;mechanism;information security;counterintelligence

S著網(wǎng)絡和信息技術(shù)的發(fā)展,閉環(huán)的企業(yè)內(nèi)部信息管理模式逐步為開放的供應鏈集成化信息管理模式所取代。當供應鏈成員通過開放的互聯(lián)網(wǎng)來實現(xiàn)遠程交互訪問、進行信息共享時,這種開放的網(wǎng)絡系統(tǒng)給需要高度保密的敏感情報如企業(yè)內(nèi)部的生產(chǎn)、銷售訂單、合作企業(yè)的生產(chǎn)進度、企業(yè)間的資金轉(zhuǎn)帳、招投標信息等,帶來了很多安全隱患,從而威脅到整個供應鏈系統(tǒng)的信息安全。Sindhuja P N和Anand SKunnathur建議從管理控制的角度看,有必要對全球供應鏈中的各類組織的信息安全紀律進行全覆蓋[1];Ramesh Kolluru和Paul HMeredith發(fā)現(xiàn)供應鏈合作伙伴之間的不同類型的數(shù)據(jù)共享需求需要不同層次的安全性[2];Peter Finch指出當公司暴露于組織間網(wǎng)絡時,開展風險評估以及需要考慮業(yè)務連續(xù)性規(guī)劃的重要性[3];Zachary Williams等人通過定性研究,發(fā)現(xiàn)存在4個主要的供應鏈安全的驅(qū)動因素,即政府、顧客、競爭者和社會[4];蔣魯寧認為信息安全供應鏈的安全涉及4個方面,即信息安全供給基礎(chǔ)、信息安全產(chǎn)品(包括信息安全服務)過程,信息安全能力形成過程以及對這些過程的安全確認[5];劉丹則認為供應鏈信息系統(tǒng)的安全涉及從粗到細的4個層面:系統(tǒng)級安全、程序資源訪問控制安全、功能性安全和數(shù)據(jù)域安全[6];齊源選擇了信息共享內(nèi)容風險、委托-風險、管理風險、成本增加風險以及技術(shù)風險等5大預警指標,構(gòu)建了基于第三方及GAHP的供應鏈信息共享風險預警系統(tǒng)[7];董紹輝等認為,供應鏈信息泄露的途徑包括供應鏈上游企業(yè)、下游企業(yè)、獨立第三方以及供應鏈管理系統(tǒng)等4個方面[8];宋偉等提出通過接入中間件,在內(nèi)、外系統(tǒng)之間進行必要的安全隔離,從而提高整個供應鏈協(xié)同系統(tǒng)的魯棒性和抗攻擊能力[9];李劍鋒等提出了由信息安全治理、信息安全管理、基礎(chǔ)安全服務和架構(gòu)、第三方信息安全服務與認證機構(gòu)和供應鏈信息安全技術(shù)標準體系5個部分構(gòu)成的供應鏈信息安全體系框架[10]。上述研究表明,雖然國內(nèi)外學者對于供應鏈系統(tǒng)的信息安全問題高度關(guān)注,從供應鏈信息安全的內(nèi)容、影響因素、風險評估、泄密途徑、體系框架到防范措施等方面都作了較為深入的研究,但是在供應鏈信息安全系統(tǒng)的泄密源排查、泄密原因分析、泄密路徑梳理等問題上缺乏深入的研究。本文擬從供應鏈反競爭情報技術(shù)系統(tǒng)視角構(gòu)建供應鏈信息安全系統(tǒng)模型,站在競爭對手的立場上審視供應鏈信息安全系統(tǒng)存在的安全隱患,進而研究供應鏈系統(tǒng)情報為何泄密、如何泄密、怎樣泄密的內(nèi)在機理,促使供應鏈系統(tǒng)各參與方高度重視情報泄密的防控問題,避免或減少敏感信息情報的泄密。

1反競爭情報技術(shù)系統(tǒng)視角的供應鏈信息安全系統(tǒng)模型的構(gòu)建供應鏈信息安全系統(tǒng)的構(gòu)建應重點研究敵意侵害方的競爭情報系統(tǒng),梳理出供應鏈系統(tǒng)可能存在的信息安全隱患,從反競爭情報技術(shù)系統(tǒng)視角來構(gòu)建供應鏈信息安全系統(tǒng)模型。一般而言,敵意侵害方的一個完善的競爭情報系統(tǒng)由競爭情報中心以及組織網(wǎng)絡、人際網(wǎng)絡和信息網(wǎng)絡組成[11]的“一中心三W絡”的組織構(gòu)架。競爭情報中心是整個競爭情報工作的中樞,它是為企業(yè)競爭情報決策提供信息資源支持;組織網(wǎng)絡是企業(yè)競爭情報工作的平臺,它保障了競爭情報系統(tǒng)的協(xié)調(diào)一致;人際網(wǎng)絡是企業(yè)競爭情報重要的隱性情報源,它是收集、分析情報乃至影響對手決策的一個有效路徑;信息網(wǎng)絡涉及企業(yè)的內(nèi)網(wǎng)與外網(wǎng)平臺,通過管理信息系統(tǒng)整合與完善企業(yè)的競爭情報功能[12]。因此,供應鏈信息安全系統(tǒng)的構(gòu)建應充分考慮敵意侵害方的“一中心三網(wǎng)絡”的競爭情報系統(tǒng)組織構(gòu)架,科學設計自身的信息安全系統(tǒng)。研究認為,供應鏈信息安全系統(tǒng)應由5部分組成,即信息安全決策中心、信息安全反競爭情報中心、供應鏈集成化信息系統(tǒng)、蜜網(wǎng)技術(shù)支持的網(wǎng)絡反競爭情報系統(tǒng)、人際情報網(wǎng)絡系統(tǒng),如圖1所示。

11信息安全決策中心

信息安全決策中心是供應鏈信息安全系統(tǒng)的中樞,統(tǒng)籌協(xié)調(diào)涉及供應鏈系統(tǒng)信息安全治理的重大問題;研究制定供應鏈系統(tǒng)信息安全發(fā)展戰(zhàn)略、總體規(guī)劃和重大信息安全政策的協(xié)調(diào);推動供應鏈系統(tǒng)信息安全的制度化建設,不斷增強供應鏈系統(tǒng)信息安全治理能力。

信息安全決策中心接收來自信息安全反競爭情報中心的經(jīng)過處理的各類信息情報,作為信息安全決策的基礎(chǔ)和依據(jù)。同時,信息安全決策中心制定的信息安全戰(zhàn)略、總體規(guī)劃和重大信息安全政策等經(jīng)由信息安全反競爭情報中心具體化為信息安全戰(zhàn)術(shù)決策,作為信息安全反競爭情報中心各子系統(tǒng)行動的指南。

12信息安全反競爭情報中心

反競爭情報中心是企業(yè)反競爭情報技術(shù)支持系統(tǒng)的中樞,由反競爭情報收集子系統(tǒng)、反競爭情報分析子系統(tǒng)和反競爭情報服務子系統(tǒng)等3部分組成,負責供應鏈信息安全系統(tǒng)的安全管理工作,如圖2所示。

反競爭情報中心對來自蜜網(wǎng)技術(shù)支持的網(wǎng)絡反競爭情報系統(tǒng)和人際情報網(wǎng)絡的各類信息進行收集、整理、分析,進而實施相應的信息安全策略管理:對可能引起安全事件的關(guān)鍵信息及其來源開展危害性評估并發(fā)出危機預警;對已造成實質(zhì)性危害的信息安全事件作出應急響應,堵塞信息安全漏洞,努力減輕信息安全事件對供應鏈系統(tǒng)造成的損失;對信息安全方面的例外問題,及時上報信息安全決策中心,由高層決策者們進行非程序化決策。

13蜜網(wǎng)技術(shù)支持的網(wǎng)絡反競爭情報系統(tǒng)

近年來,作為一種新型防御技術(shù)出現(xiàn)的蜜網(wǎng)(Honeynet)在檢測、捕獲和控制網(wǎng)絡攻擊方面具有獨特的優(yōu)勢。蜜網(wǎng)由數(shù)據(jù)流重定向器與蜜網(wǎng)環(huán)境兩部分組成的,該網(wǎng)絡置于防火墻系統(tǒng)之后,所有進出網(wǎng)絡的數(shù)據(jù)都會通過這里,并可以捕獲控制這些數(shù)據(jù)[13],如圖3所示。蜜網(wǎng)(Honeynet)包含一個或多個蜜罐(Honey Pot),這種蜜罐(Honey Pot)是專門用來吸引敵意入侵者進行攻擊的陷阱。當入侵者試圖針對供應鏈節(jié)點企業(yè)開展競爭情報活動時,往往直奔企業(yè)需要高度保密的敏感情報如企業(yè)內(nèi)部的生產(chǎn)、銷售訂單、合作企業(yè)的生產(chǎn)進度、企業(yè)間的資金轉(zhuǎn)帳、招投標信息等,而蜜網(wǎng)(Honeynet)中的網(wǎng)絡應用程序恰恰以這些敏感情報來命名,這樣入侵者就會立刻現(xiàn)行。反競爭情報中心就可以根據(jù)這些被捕獲的資料來分析判斷入侵者所使用的工具、方法及動機,進而建議信息安全決策中心采取反制措施。

14人際情報網(wǎng)絡系統(tǒng)

人際情報網(wǎng)絡系統(tǒng)是應情報活動的需要而構(gòu)建的一種人際網(wǎng)絡,是情報從業(yè)者獲取、分析和傳播非公開信息和隱性知識的重要平臺[14]。供應鏈信息安全系統(tǒng)的人際情報網(wǎng)絡分為節(jié)點企業(yè)外部人際情報網(wǎng)絡和節(jié)點企業(yè)內(nèi)部人際情報網(wǎng)絡,如圖4所示。

節(jié)點企業(yè)外部人際情報網(wǎng)絡主要包括供應商、分銷商、包括中介機構(gòu)、行業(yè)協(xié)會、物流服務企業(yè)、消費者組織、新聞記者等在內(nèi)的第三方機構(gòu)、競爭對手、最終消費者等,節(jié)點企業(yè)內(nèi)部人際情報網(wǎng)絡主要由企業(yè)內(nèi)部各層級的管理人員和各部門的員工組成。

15供應鏈集成化信息系統(tǒng)

供應鏈集成化信息系統(tǒng)是各節(jié)點企業(yè)內(nèi)部供應鏈與外部合作伙伴(如供應商、分銷商、中介機構(gòu)以及行業(yè)協(xié)會、消費者組織、新聞記者等第三方機構(gòu))集成起來的一個供應網(wǎng)鏈,是整個供應鏈信息安全系統(tǒng)的基礎(chǔ)信息平臺。供應鏈各節(jié)點通過高速數(shù)據(jù)專用線連接到Internet骨干網(wǎng)中,通過路由器與自己的Intranet相連,再由Intranet內(nèi)主機或服務器為其內(nèi)部各部門提供存取服務,如圖5所示。

供應鏈集成化信息系統(tǒng)是升級版的企業(yè)間信息系統(tǒng),為企業(yè)內(nèi)部的信息系統(tǒng)提供與外部供應鏈各節(jié)點的很好的接口,它實現(xiàn)了供應鏈合作伙伴間的信息交互與信息共享,消除了企業(yè)間傳統(tǒng)的信息隔離狀態(tài)。除信息集成外,供應鏈集成化信息系統(tǒng)還可以通過競爭情報的檢測,篩選出數(shù)據(jù)流中的競爭情報信息流,將正常業(yè)務流與競爭情報信息流分開,從而實現(xiàn)了供應鏈信息系統(tǒng)的功能集成。

2供應鏈信息安全系統(tǒng)的安全隱患梳理

21信息安全決策中心安全隱患梳理

作為整個供應鏈信息安全系統(tǒng)的中樞,信息安全決策中心一旦發(fā)生泄密事件,必將對供應鏈系統(tǒng)信息安全治理工作帶來重大安全隱患。信息安全決策中心可能存在的安全隱患大體涉及高管泄密以及信息安全治理過程中的情報泄密兩個方面。信息安全決策中心的高管泄密專指參與供應鏈系統(tǒng)信息安全治理工作的高管惡意或非惡意地泄露涉及供應鏈系統(tǒng)信息安全治理問題的決策信息。惡意泄密往往發(fā)生在對公司不滿或有預謀離職的高管身上,非惡意泄露往往因為缺乏責任心、安全防范意識淡薄、公司對高管的放任等原因造成的。

信息安全治理過程中的情報泄密可能發(fā)生在信息安全決策中心制定信息安全戰(zhàn)略、總體規(guī)劃和重大信息安全政策等的醞釀、起草、征詢意見、方案評估、方案試行前的各個階段。因為時間跨度長、涉及面廣、牽涉人員多等原因,信息安全治理過程中的情報泄密問題更加難以控制。

22信息安全反競爭情報中心安全隱患梳理

信息安全反競爭情報中心的安全隱患主要源于反競爭情報收集子系統(tǒng)、反競爭情報分析子系統(tǒng)和反競爭情報服務子系統(tǒng)之間業(yè)務上的協(xié)調(diào)不夠以及各自功能的發(fā)揮不夠充分。具體表現(xiàn)為:其一,信息安全反競爭情報中心各子系統(tǒng)的協(xié)調(diào)不夠,導致信息的收集、整理、分析、存儲以及上報不夠及時;其二,反競爭情報收集子系統(tǒng)忽視了可能引起安全事件的P鍵信息;第三,反競爭情報分析子系統(tǒng)對可能引起安全事件的關(guān)鍵信息及其來源的危害性認識不足;第四,反競爭情報服務子系統(tǒng)未能及時就信息安全方面的例外問題上報信息安全決策中心。

23蜜網(wǎng)技術(shù)支持的網(wǎng)絡反競爭情報系統(tǒng)安全隱患梳理蜜網(wǎng)技術(shù)的應用使得網(wǎng)絡反競爭情報系統(tǒng)在收集敵意侵害方的攻擊信息、保護供應鏈信息系統(tǒng)情報、發(fā)現(xiàn)內(nèi)網(wǎng)中可能存在的安全漏洞等方面具有重要作用,但同時蜜網(wǎng)技術(shù)是一把雙刃劍,也會給網(wǎng)絡反競爭情報系統(tǒng)帶來安全隱患:其一,使網(wǎng)絡反競爭情報系統(tǒng)遭受更多的攻擊,交互的程度越高,模擬得越像,供應鏈系統(tǒng)陷入危險的概率就越大;其二,模擬服務的軟件存在問題,也會產(chǎn)生新的漏洞;其三,敵意侵害方若取得Root權(quán)限,便可以自由存取目標機上的數(shù)據(jù),然后利用已有資源繼續(xù)攻擊其它機器;第四,虛擬蜜網(wǎng)的引入使得架設蜜網(wǎng)的代價大幅降低,便于部署和管理,但同時也帶來更大的風險,敵意侵害方有可能識別出虛擬操作系統(tǒng)軟件的指紋,也可能攻破虛擬操作系統(tǒng)軟件從而獲得整個蜜網(wǎng)的控制權(quán)。

24人際情報網(wǎng)絡系統(tǒng)安全隱患梳理

隨著供應鏈共享信息平臺的建設以及信息交互、信息共享水平的不斷提升,人際情報網(wǎng)絡系統(tǒng)的安全隱患問題愈加突出:首先,供應鏈共享信息平臺為供應鏈節(jié)點企業(yè)外部人際情報網(wǎng)絡和節(jié)點企業(yè)內(nèi)部人際情報網(wǎng)絡提供了功能強大的信息溝通平臺,網(wǎng)絡虛擬空間中的復雜人際關(guān)系增添了信息情報泄露的可能;其次,敵意競爭情報方可以利用共享信息平臺中的人際情報網(wǎng)絡,繞開供應鏈系統(tǒng)的防火墻,進入專用網(wǎng)絡內(nèi)部,更便于其競爭情報工作的開展;再者,傳統(tǒng)的人際情報網(wǎng)絡泄密仍然在發(fā)揮其獨特的作用,敵意競爭情報方可以利用接待或訪問節(jié)點企業(yè)、欺騙、引誘和拉攏節(jié)點企業(yè)關(guān)鍵崗位人員及關(guān)聯(lián)人員、通過關(guān)聯(lián)第三方等渠道,獲取供應鏈系統(tǒng)的敏感信息情報。

25供應鏈集成化信息系統(tǒng)安全隱患梳理

供應鏈集成化信息系統(tǒng)在實現(xiàn)供應鏈合作伙伴間的信息交互與信息共享的同時,也為敵意侵害方的競爭情報工作提供了機會。供應鏈集成化信息系統(tǒng)安全隱患可能存在以下3個環(huán)節(jié)中:其一,敵意侵害方成功地避開了供應鏈集成化信息系統(tǒng)的競爭情報檢測;其二,數(shù)據(jù)流重定向器未能篩選出數(shù)據(jù)流中的競爭情報信息流,將競爭情報信息流誤認為正常業(yè)務流;其三,Intranet內(nèi)主機或服務器為競爭情報方提供信息存取服務,就會造成供應鏈系統(tǒng)關(guān)鍵信息情報的泄密。

3供應鏈系統(tǒng)情報泄密的路徑分析

31信息安全治理過程監(jiān)管不力造成供應鏈系統(tǒng)情報泄密信息安全決策中心安全隱患之一在于信息安全治理過程中的情報泄密。由于情報泄密可能發(fā)生在信息安全決策中心制定信息安全戰(zhàn)略、總體規(guī)劃和重大信息安全政策等的醞釀、起草、征詢意見、方案評估、方案試行前的各個階段,因此,信息安全治理工作需要統(tǒng)籌規(guī)劃,點面結(jié)合,齊抓共管。既要制定好信息安全治理工作的總體預案,又要有分階段的詳細應對計劃。對參與信息安全治理工作的部門和人員(包括高管在內(nèi))實行全流程、全員備案制,從制度上堵塞安全漏洞。

32信息安全策略管理工作滯后于供應鏈系統(tǒng)信息安全的需要信息安全反競爭情報中心的安全隱患主要源于信息安全策略管理工作不能滿足供應鏈系統(tǒng)信息安全的需要。具體表現(xiàn)為:信息安全反競爭情報中心組織協(xié)調(diào)工作不夠,各子系統(tǒng)不能形成合力,導致信息安全管理工作滯后;對可能引起安全事件的關(guān)鍵信息及其來源的危害性認識不足,未能及時發(fā)出危機預警信號;對已造成實質(zhì)性危害的信息安全事件未能作出及時響應或應對措施不得力,未能及時堵塞信息安全漏洞,造成信息安全事件對供應鏈系統(tǒng)損失的擴大;對信息安全方面的例外問題,未能及時上報信息安全決策中心,延緩了高層決策者們非程序化決策工作的開展,以致高層決策者們不能及時調(diào)動整個供應鏈資源來消除信息安全危害。