安全审计培训范文
时间:2023-06-16 17:39:22
导语:如何才能写好一篇安全审计培训,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
为进一步加强对安全培训机构的监督管理,促进安全培训机构提高培训质量和管理水平,根据《行政许可法》及《安全生产培训管理办法》(原国家安全监管局令第20号)、《国家安全监管总局关于印发〈一、二级安全培训机构认定标准(试行)〉的通知》(安监总培训〔*〕226号,以下简称《标准》),决定对*年资质到期的安全培训机构进行复审检查。现将有关事宜通知如下:
一、复审检查目的及原则
通过复审检查,进一步加强对培训机构的监督管理,健全培训质量评估机制,完善培训网络基地,促进培训机构加大投入、改善条件、健全制度、改进方法,提高培训质量。
复审检查坚持公开、公平、公正和总量控制、合理布局、资源整合、动态管理的原则,严格按照《标准》对培训机构进行复审考核和监督检查,做到硬件与软件相结合、定量与定性相结合、选树示范与鞭策落后相结合。
二、复审检查范围
*年资质到期的91家一、二级安全培训机构。
三、复审检查内容
1.复审考核主要内容。培训机构设置、注册资金或开办费、管理人员及办公场所、教师、教学及生活设施等必备条件情况,以及培训师资队伍、教学研究、组织实施、业绩和规章制度建设等情况。
2.监督检查主要内容。培训机构贯彻落实安全培训有关规定、培训收费、资质管理、合作办班以及公务员在培训机构兼职等情况。
四、复审检查安排
1.培训机构自查阶段(7月1日至20日)。培训机构按照《标准》进行自查,总结成绩与经验,查摆问题与差距,形成自查报告和现场复审检查备查材料(见附件2)。
2.现场复审检查阶段(7月21日至8月31日)。国家安全监管总局人事培训司组织现场评审专家组(每组设组长1人,成员2名)会同机构所在地省级安全监管监察部门,按照《标准》对培训机构进行现场复审检查。
3.评审结果确定阶段。现场复审检查结束后,国家安全监管总局组织召开由培训管理、纪检监察等部门、现场评审专家组组长及其他有关专家参加的综合评审会议,对培训机构进行综合评审,并将评审结果在国家安全监管总局网站上进行公示。公示期满,对社会无异议、符合条件的,按照有关规定延期换发相应资质证书。
五、复审检查方式
1.听取汇报,座谈交流。现场评审专家组要全面听取复审机构自查情况汇报和当地省级安全监管监察部门意见,组织召开由复审机构主管策划、管理、财务、后勤等工作的负责人以及培训学员参加的座谈会,听取意见和建议。
2.查阅资料,现场检查。现场评审专家组要深入现场进行实地检查,既要核查培训设施、培训场地、后勤保证等硬件,又要核查文件资料、培训档案、管理制度等软件,多渠道了解培训情况。
3.反馈意见,整改提高。现场复审检查结束后,专家组要向复审机构通报现场复审检查情况,提出整改建议和要求。复审机构要按照专家组意见制定整改措施,并组织落实。
4.发现典型,总结推广。复审检查中,要注意发现各单位在安全培训方面的好经验好做法,以便总结推广。
六、复审检查工作要求
1.有关培训机构要高度重视复审检查工作,加强领导,认真制定自查方案,深入细致地开展自查,发现问题及时解决,做好各方面准备工作。
2.现场评审专家要严格执行党风廉政建设的有关规定,轻车简从,廉洁自律,出发前要签署《现场复审检查公正、廉洁、保密承诺书》(见附件3)。
3.现场评审专家组要认真履行职责,本着公平、公正、廉洁、高效的原则,严格按照《标准》中的各项指标,逐条逐项进行检查打分,不得泄露复审机构的商业秘密和复审分数。
4.现场评审专家与复审机构之间存在关联的,应主动提出回避;复审机构发现本单位与现场复审检查人员存在关联的,有权提请其回避,对复审检查工作存在疑义的,可向国家安全监管总局人事培训司提出质询,必要时,将组织专家重新复审。
篇2
一、信息安全概况
随着信息技术的飞速发展,金融机构生产、使用和共享的信息呈现几何增长的态势,信息传递的方式和渠道急剧增加,在为金融机构带来收益和效率的同时,也使信息安全问题更加凸显。在全球范围内,信息安全事件频发,给银行和客户造成经济损失的同时,也带来了巨大的声誉损失。如何有效提升信息安全管理水平,成为银行关注的焦点。信息安全审计作为信息安全保障工作中的重要一环,能够促进信息安全控制措施的落实,规范信息安全管理,提高全员信息安全意识,从而有利于保持和持续改进银行信息安全能力和水平。
根据当前的信息安全管理体系国家标准GB/T22080-2008(等同采用ISO/IEC27001:2005),信息安全保障工作从整体看应包括四个阶段:一是规划和建设阶段(Plan,简称“P阶段”);二是实施和运行阶段(Do,简称“D阶段”);三是监视和评审阶段(Check,简称“C阶段”);四是保持和改进(Act,简称“A阶段”)。这四个阶段按顺序循环往复,从而使信息安全得到持续改进。这种方法也被称为“PDCA循环”,如图1所示。
经过近十几年的努力,金融行业信息安全保障工作已经普遍走过了“P阶段”和“D阶段”,金融行业的信息安全需求已基本明确,满足信息安全需求的基础设施也基本具备。经过大范围的规划建设,各金融机构已经建立了相对完备的信息安全软硬件环境,初步形成了信息安全保障体系。尽管如此,作为关系国计民生的重要基础产业,金融行业对信息安全有着更高的要求,也面临着更大的信息安全风险挑战。近年来,金融行业频繁发生的信息安全事件表明,金融行业信息安全保障工作还存在很多缺陷和不足。导致这一局面的因素很多,其中一个重要的原因就是大家普遍重视信息安全的建设和运行,而忽视了信息安全工作的检查和改进。从整体上看,金融行业信息安全保障工作已经走过“P阶段”和“D阶段”,尚未进入“C阶段”和“A阶段”,还没有形成完整的基于“PDCA”过程方法的持续改进机制。接下来金融行业信息安全工作的重心应该转向检查和改进。信息安全审计是“C阶段”的主要手段。它利用传统财务审计和审计工作的规范与严谨,结合信息和保密技术的工具与手段,对金融机构信息安全工作的成效和不足给出客观、确定的审计结论,并根据审计结果,对金融机构的信息安全保障工作提出改进措施、给出合理化建议。
为了对商业银行信息科技整个生命周期内的信息安全、业务连续性管理和外包等主要方面提出高标准、高要求,满足商业银行信息科技风险管理的需要,银监会2009年了《商业银行信息科技风险管理指引》,其中第六十五条规定:“商业银行应根据业务性质、规模和复杂程度,信息科技应用情况,以及信息科技风险评估结果,决定信息科技内部审计范围和频率。但至少应每三年进行一次全面审计。”
二、国内外信息安全审计现状
(一)国外信息安全审计发展与现状
在建立信息安全审计制度,开展信息安全审计研究方面,美国走在了世界前列。早在计算机进入实用阶段时,美国就开始提出系统审计(SYSTEMAUDIT)概念。1969年在洛杉矶成立了电子数据处理审计师协会(EDPAA),1994年该协会更名为信息系统审计与控制协会(ISACA),总部设在美国芝加哥。自1978年以来,由ISACA发起的注册信息系统审计师(CISA)认证计划已经成为涵盖信息系统审计、控制与安全等专业领域的被广泛认可的标准。目前该组织在世界上100多个国家设有160多个分会,现有会员两万多人。
1999年,美国国家审计署(GAO)《联邦信息系统控制审计手册》(第一版),为美国联邦政府实施信息安全审计提供基本准则和方法。2001年,GAO《联邦信息系统安全审计管理的计划指南》,用于为美国联邦政府实施信息安全审计提供具体指导;2009年,GAO《联邦信息系统控制审计手册》(第二版),该手册成为现阶段美国联邦政府实施信息安全审计的事实标准。
近年来,美国通过立法赋予信息安全审计新的意义,并对企业实施信息安全审计产生重大影响。2002年,美国安然公司和世通财务欺诈案爆发后,美国国会和政府紧急通过了《萨班斯——奥克斯利法案》(Sarbanes-OxleyAct,简称萨班斯法案)。萨班斯法案第302条款和第404条款明确要求“,通过内部控制加强公司治理,包括加强与财务报表相关的IT系统内部控制,而信息安全审计正是IT系统内部控制的核心。”2006年底生效的《巴塞尔新资本协议(》BaselII),要求全球银行必须针对其市场、信用及营运等三种金融作业风险提供相应水准的资金准备,迫使各银行必须做好风险控管,而这一“金融作业风险”的防范也正是需要业务信息安全审计为依托。
近一段时期,以美国、加拿大、澳大利亚为主的西方国家,针对不同的组织机构,以不同的信息安全审计方式,卓有成效地开展了包括信息系统计划与技术构架、信息安全保护与灾难恢复、软件系统开发、获得、实施及维护、商业流程评估及风险管理等方面的信息安全审计。
具体来说,针对各类企业的信息安全审计,采取了以内部审计为主,从关注安全向关注业务目标过渡,一般控制审计与应用控制审计相结合的方式;针对政府机构的信息安全审计,强调外部审计与政府内部审计结合,融入绩效预算管理体系,关注系统最终效果。
在亚洲,日本的信息安全审计始于20世纪80年代。1983年,通产省公开发表了《系统审计标准》,并在全国软件水平考试中增加了“系统审计师”一级的考试,着手培养从事信息系统审计的骨干队伍。近几年,东南亚各国也开始制定电子商务法规,成立专门机构开展信息系统审计业务,并制定技术标准。
(二)我国信息安全审计发展与现状
近年来,我国的信息安全审计日益受到重视,审计署以及一些大型国有银行也相继开展了信息安全方面的审计工作。信息系统审计规范的研究和制定方面,我国已建成了一套比较成熟规范的法规、准则体系,但在信息系统及信息安全审计方面,虽有《内部审计具体准则第28号——信息系统审计》(中国内部审计协会2008年)以及审计署对信息系统审计相关法规、准则的规划及研究,但尚未形成系统的法规、准则和技术标准体系。
三、金融行业信息安全审计组织与实施
金融行业的信息安全审计(InformationSecurityAudit),是指金融机构为了掌握其信息安全保障工作的有效性,根据事先确定的审计依据,在规定的审计范围内,通过文件审核、记录检查、技术测试、现场访谈等活动,获得审计证据,并对其进行客观的评价,以确定被审计对象满足审计依据的程度所进行的系统的、独立的并形成文件的过程。金融机构可以单独实施信息安全审计,也可以将信息安全审计作为其他相关工作的一部分内容联合实施。如IT审计、信息安全等级保护建设、信息安全风险评估、信息安全管理体系建设等。审计的工作流程和内容大致包括六个方面的活动(如图2所示)。
1.确定审计目的和范围。金融机构实施信息安全审计,首先要明确审计目的,确定审计范围。审计目的是信息安全审计工作的出发点。审计目的可以从满足监管部门的要求、满足信息安全国际国内标准的要求、满足机构自身信息安全工作要求等合规性方面考虑。明确了审计目的,然后要确定审计范围。审计范围是影响审计工作量的一个重要因素。确定审计范围,可以从组织机构考虑,如仅对个别部门实施审计,或者在组织全部范围实施审计;也可以从业务和系统角度考虑,如仅对核心系统实施审计,或者仅对信贷业务实施审计等。
2.明确审计依据。审计依据就像一把“尺子”,审计人员用它来衡量信息安全工作的“长短”。审计目的不同,审计依据就可能不同,如表1中所示。
3.组建审计组。审计组是具体实施信息安全审计工作的基本组织单位,应由审计组长和审计员组成。管理良好的审计组是信息安全审计工作顺利实施并达成审计目的的保障。审计组长应由金融机构内部审计部门的管理者任命。负责编制审计方案和审计计划,选择审计员,管理审计小组,与被审计对象沟通等。审计组长应具备较强的项目管理能力,熟悉被审计对象的业务和系统,了解被审计对象面临的信息安全风险和常用的风险控制措施。审计员应选择责任心强、公正、独立、熟悉业务的人员担任,避免审计员与被审计对象存在利害关系,以免影响审计结果的公正性。正式实施信息安全审计前,应对审计组成员进行培训。
4.实施现场审计。审计准备工作就绪后,则可以实施现场审计。现场审计是一项复杂的系统工程,具有较强的不确定性。因此,现场审计应根据事先编制的审计方案和审计计划执行,审计过程中还要做好变更控制。现场审计往往由首次会议开始,至末次会议结束。在首次会议上,审计组长应向被审计单位阐明此次审计的目的、范围、依据和审计计划,并提出需要被审计单位配合的事项。末次会议上,审计组长向被审计单位说明审计发现,报告审计初步结果,并与被审计单位就初步审计结果达成一致。现场审计方法通常包括:现场访谈、审阅文件、查看记录、系统检查和测试等。在系统检查和测试过程中,可能需要相关的审计工具,如系统漏洞扫描器、数据库安全审计系统、桌面终端配置检查工具、网络安全检查工具、恶意软件扫描器等。现场审计过程中,应做好文档化工作。对所发现的审计证据应进行详细记录,并与被审计单位人员进行现场确认。现场审计应注意方式方法,就意见不一致的问题先做好记录,避免现场与被审计单位人员发生争执。
篇3
【 关键词 】 互联网;安全;防御;威胁
Key Measures of the "Internet +" Under the New Normal, Safe Operation of the Internet
Xiong Wei
(CPC Hunan Provincial Committee Party School HunanXiangtan 410006 )
【 Abstract 】 With cloud computing, distributed computing, rapid development of mobile computing technology and improve the development of a new generation of computer technology gave birth to the "Internet +" era, to achieve widespread popularity of the Internet in industrial production, commerce, and virtual reality in and achieved remarkable results. "Internet +" era of many types of network applications, applications scale complex and require strict network security management system and preventive measures, in order to be able to improve network security defense capabilities to ensure the normal application of network security.
【 Keywords 】 internet; security; defense; threats
1 引言
目前,随着新一代信息技术地发展和改进,其催生了物联网、社会计算、云计算、大数据、移动计算等技术,进而实现了网络创新2.0,推动了创新2.0的改革和演变,形成了体验实验区、个人创造实验室、应用创新园区、维基模式等应用系统的诞生,实现了传统行业与互联网融合发展,形成了“互联网+”时代的新业态和新形态。“互联网+”时代促进了各类基于网络的应用系统诞生和普及,以云计算、物联网、车联网、大数据为代表的新一代信息技术与工业制造、生产服务、金融经济融合创新,打造了新的产业增长点,为大众创业、万众创新提供了新的环境,支撑产业智能化、经济发展创新化发展。随着人类信息化社会进入“互联网+”时代,互联网应用规模迅速上升,复杂程度也大幅度增加,互联网新常态下面临了更多的安全威胁,具体表现在几个方面。
(1)“互联网+”时代安全威胁更加智能。“互联网+”时代的到来,促进了网络木马、病毒和黑客攻击技术的提升,导致网络安全威胁日趋智能化,能够发现互联网应用系统存在的、更加隐蔽的风险和漏洞进行攻击。
(2)“互联网+”时代安全威胁传播范围广、速度快。“互联网+”时代,云计算技术、分布式计算技术、移动计算技术使更多的网络节点通过光纤网络连接在一起,如果一个网络节点存在漏洞被安全威胁攻击,则将在更短的时间内感染其他节点,产生更大的损失。
因此,为了能够提高“互联网+”时代网络安全管理成效,需要创新网络安全管理体系和模式,全方位实现网络安全漏洞扫描和风险评估,对“互联网+”安全管理涉及的节点资源进行审计,采用主动防御技术实现网络安全管理,具有重要的作用和意义。
2 互联网安全管理体系创新及其模式
2.1 网络安全风险评估
网络安全风险评估可以有效评估网络软硬件资源受到的威胁,以便能够将安全威胁控制在可接受的范围内。网络安全风险评估是确定计算机网络中是否存在潜在威胁和攻击事件的重要工具。网络安全风险评估包括五种基本要素,分别是资产、威胁、脆弱性、信息安全风险和安全措施。资产是指计算机网络节点使用的、有价值的固定设备、软件系统等有形或无形的资产。威胁是指可能对资产造成损害的一些潜在的攻击事件或非法事件,威胁可以使用主体、动机、资源和途径等多个属性进行联合刻画。脆弱性是指可能被威胁利用的薄弱环节或漏洞,其可以对资产造成损失。信息安全风险包括自热因素造成的风险或人为因素造成的风险,能够利用计算机软硬件存在的漏洞攻击计算机网络,破坏网络的安全性。安全措施是指为了能够防御计算机信息系统遭到破坏,以便能够采用入侵检测、防火墙等具体的措施,保护资产安全,防御安全攻击事件发生,并且能够用来打击犯罪,其包括各类规范、防御技术等。
2.2 网络安全审计
网络安全审计可以通过数据采集、数据分析、安全审计响应等过程,能够获取网络操作系统的使用状况和设备状态信息,并且可以将采集到的数据进行统一变换,实施预处理,接着使用数据分析技术,按照既定的安全审计规则,鉴别数据中存在的异常行为、非法行为。安全审计分析完成之后,可以根据安全审计的结果做出相关的响应操作,安全审计响应主要包括主动响应和被动响应。安全审计系统检测到网络中存在的异常行为之后,安全审计系统不主动做出响应;安全审计系统通过发出异常检测报警,可以通过告警弹窗、发送短消息、邮件等到管理员处,由其他人员或者安全设备采取预防或改进措施。
2.3 网络主动防御系统
传统的网络安全通常采用访问控制列表、防火墙、包过滤、入侵检测等技术,虽然能够阻止网络木马、病毒和黑客的攻击。但是随着“互联网+”时代的到来,网络安全威胁技术日趋智能,传播速度越来越快,感染范围也越来越广泛,传统网络安全防御已经无法满足“互联网+”时代网络安全管理需求,因此在网络安全管理过程中,可以采用网络安全主动防御技术提高网络安全管理能力。网络安全主动防御技术主要包括预警、防护、检测、响应、恢复和反击六种,将这六种技术有机集成在一起,分布于网络安全防御的不同层次,构建深度防御体系,能够及时地发现大数据时代网络中非法入侵信息和不正常数据,以便能够及时地对攻击行为进行阻断、反击,恢复网络至正常的运行状态。
3 互联网安全运营的关键措施
3.1 管理措施
“互联网+”时代,网络应用系统使用制度具有较为重要的作用,许多计算机网络安全专家提出,网络安全七分防御、三分管理,因此可以甚至网络安全管理制度在安全管理过程中,具有不可替代的作用。网络安全应用用户越来越多,网络安全操作用户大部分非计算机专业人才,因此需要建立健全管理制度,以便能够规范网络用户操作,强化用户网络安全防御技术培训,定期对网络系统进行安全漏洞扫描和评估,并且制定网络安全防御策略,使得网络安全管理制度融入到工作、生活和学习过程中,通过学习、培训,提高用户的安全意识,增强用户的警觉性。
3.2 技术措施
网络安全主动防御技术主要包括安全预警、安全保护、安全监测、安全响应、网络恢复和网络反攻击等六种。网络安全预警可以有效地对网络中可能发生的攻击进行警告,包括漏洞预警、行为预警、攻击趋势预警等措施,预知网络未来可能发生的网络攻击。网络安全保护可以采用多种手段,保护网络安全系统的机密性、可用性、完整性、不可否认性和可控性,网络安全保护措施主要包括防病毒软件、防火墙服务器、虚拟专用网等技术。网络安全监测的主要目的是能够及时地发现网络中存在的攻击信息,以便能够检测网络中是否存在非法信息流,检测网络服务系统是否存在安全漏洞等,以便能够实时地应对网络安全攻击,网络安全监测技术包括入侵检测技术、网络安全扫描技术和网络实时监控技术。
网络安全响应能够对网络中存在的病毒、木马等安全威胁做出及时的反应,以便进一步阻止网络攻击,将网络安全威胁阻断或者引诱到其他的备用主机上。网络恢复技术可以为了保证网络受到攻击之后,能够及时地恢复系统,需要在平时做好备份工作,常用的备份技术包括现场外备份、现场内备份和冷热备份等。网络安全反击技术是主动防御系统最为重要的特征之一,其可以对网络攻击源进行有效的反击,网络安全反击综合采用各类网络攻击手段,确保网络高效服务用户。
4 结束语
随着“互联网+”时代的到来,网络安全攻击技术更加智能、传播速度更快、影响范围更加广泛,构建和实现新的网络安全管理系统,可以全方位实现网络安全防御。
参考文献
[1] 郭威,曾涛,刘伟霞.计算机网络技术与安全管理维护的研究[J]. 信息通信, 2014, 32(10):164-164.
[2] 田红广.如何加强计算机网络的安全管理和安全防范[J].软件, 2014, 26(1):92-93.
[3] 蔡艳.探讨数据挖掘技术在网络信息安全管理中的应用[J]. 网络安全技术与应用, 2013, 21(10):58-58.
篇4
一、 道路交通安全长效管理机制内涵
道路交通事故通常指人、车在道路上通行时,由于违反交通规则或其它原因发生人员、牲畜和车、物损失的事件。《中华人民共和国道路交通安全法》中对“交通事故”的定义是指车辆在道路上因过错或者意外造成的人身伤亡或者财产损失的事件。由法律定义引申,笔者认为道路交通安全长效管理机制的内涵应该为:在道路交通的执行、管理过程中能有效预防事故,保证道路交通的顺利进行,并能对今后一段时期的道路交通安全工作产生积极影响的运行方式、管理模式和监督体制的总和。而这种长效管理机制首先是切实可行,而又长期有效的;它所形成的规范性条款和规定,并不只局限于现任,无需随人员的流动或机构的变迁而动。因此它必须具有以下五个特性:
长期性在立法思路、管理策略和采取的措施上,管理效应会对今后相当长一段时期的工作产生影响,而不是一种短期行为。
系统通安全长效管理机制丰富的内涵决定了必须有多项的措施保证其功能的实现。这是一个系统共同作用而产生的效果,不是单一的措施就能完成的。
根本性立足防范,从治本上研究和考虑立法思路、管理策略和采取的措施。
自主性这种机制所产生的效果能使生产经营主体真正形成自我管理的意识,形成自我约束的机制。
有效性有效性是建立长效管理机制的最终目的,只有在实践的过程中,才能检验其存在的真正价值。
二、道路交通安全长效管理机制的构建
笔者认为,构建福建省道路交通安全长效管理机制应从七个层面加以思考,即建立健全四个体系、引进一个制度、实现两个创新。
(一)建立健全交通安全相关的法律法规体系
当前,应尽快做好道路交通安全主法的配套和细化工作。一要尽快制定和出台有关单行法规、条例;二要结合实际,通过地方立法,补充和完善道路交通安全法律体系,如对交通主管部门机构设置和人员配置及对交通安全行政执法和处罚进行细化等;三要加强交通安全立法理论研究和司法总结,扩大交通安全立法的公开性、民主性和广泛性。
(二)建立健全安全目标管理体系
1、加强各级人员对道路交通安全目标管理的认识。道路交通企业领导对安全目标管理要有深刻的认识,要深入调查研究,结合本单位实际情况,制定企业的总目标,并参加全过程的管理;加强对中层和基层干部的思想教育,提高他们对安全目标管理重要性的认识和组织协调能力;还要加强对职工的宣传教育,普及安全目标管理的基本知识与方法。
2、安全目标管理需要全员参与。安全目标管理是以目标责任者为主的自主管理,因此,必须充分发动群众,将企业的全体员工科学地组织起来,实行全员、全过程参与,才能保证安全目标的有效实施。
3、安全目标管理需要责、权、利相结合。实施安全目标管理时要明确职工在目标管理中的职责。同时,要赋予他们在日常管理上的权力,还要给予他们应得的利益,责、权、利的有机结合才能调动广大职工的积极性和持久性。
4、安全目标管理要与其他安全管理方法相结合。在实现安全目标过程中,要依靠和发挥各种安全管理方法的作用,如建立安全生产责任制、制定安全技术措施计划、开展安全教育和安全检查等。只有两者有机结合,才能使企业的安全管理工作做得更好。
(三)建立健全交通部门的预警体系
长期以来,道路交通安全部门的安全管理基本是单一的反馈控制模式。这种模式主要体现了事后把关的安全管理思想,即主要通过对已发生的事故和事故苗子等进行分析,找出原因,然后制定实施对策。随着道路里程的增加和交通工具密度日益增大,交通运输生产的系统复杂度和风险度显著提高。这种单一的管理模式,已经远远不能适应现代安全管理的需求。
因此有必要构建先进的交通安全预警系统,综合利用现有的交通运输系统安全信息,针对交通运输生产系统本身或其输入发生的变化,在其影响运输生产安全之前就事先将对其可能造成的影响进行分析评价,开展事故安全预测,及时向交通安全部门反馈信息,使其能够根据得到的前馈信息,科学预见交通运输生产系统及其要素的安全态势,采取合理措施对交通运输生产系统的人、机、环境、管理等四个要素进行事前协调,把事故消灭在萌芽之中,防患于未然。
(四)建立健全道路交通信息化体系
1994年,福建省交通信息化工作开始实施"三步走"的发展战略。目前已经实现了第一步:普及计算机和推广应用信息技术的基础工作;第二步也基本完成:部份数据库和局域网的建设,基本实现《福建省道路、水运交通信息化1998-2000发展规划》中提出的目标,全行业信息技术应用达到一定水平。
作为第三步任务目标是建设“数字交通”。它是以我省交通为对象的数字化、网络化、可视化和智能化的信息集成及应用系统。着力在五个领域取得进展,实现交通政务信息化;交通基础设施建设与管理信息化;交通运输生产管理信息化;交通产品营销信息化;交通科学技术信息化。重点实施交通信息化"123重点工程":抓好电子政务建设;力争在智能运输系统(ITS)和物流两个领域有实质性突破;开发、推广、应用高速道路联网收费、交通基础设施建设质量安全监控、交通公共信息服务三个系统。
(五)引进道路安全审计制度
道路安全审计是有效预防和降低交通事故的重要手段之一。首先,“预防重于治理”,道路建设项目的各个阶段实行安全审计是从源头预防交通事故的重要措施,;其次应尽快开展道路安全审计的法规研究,明确道路安全审计的程序和安全审计人员的责任、义务及权益;第三,要加紧加快道路安全审计指标体系的研究,从而形成一套较完善的评价标准;第四,培育道路安全审计队伍及建立相应机构,保证审计人员独立公正地开展工作。
(六)实现交通科技创新
未来交通发展的重点是扩充能力、优化结构、提高质量、改善服务、保障安全、保护环境,任务十分艰巨。科学技术是第一生产力,是交通发展的重要推动力量,对交通发展将产生重大影响。充分依靠科技进步,全面提升交通行业的科技含量,是走新型工业化道路、实现交通更快更好发展的必然选择。
构建智能交通管理指挥系统结构,其总体目标应为:以信息技术为主导,以计算机通信网络和智能化指挥控制管理为基础,初步建成集高新技术应用为一体的智能化道路交通管理体系,基本实现交通指挥现代化、管理数字化、信息网络化、办公自动化,进而实现交通管理决策科学化、交通指挥调度信息化、城市快速路网交通管理智能化、交通信号控制自动化以及实现交通管理电子警务和电子政务。
(七)推进安全文化创新
1、进行安全知识教育。安全教育包括新工人上岗教育、事故案例教育、违章教育等等。进行职工的安全知识教育一是要坚持全员教育和重点教育相结合的原则,根据不同的教育对象,授以不同的教育内容和提出不同的要求。
篇5
十几年来,勤劳智慧的蓝盾人凭借高度民族使命感和责任感,自主研发出十个系列、近50个型号的产品,多项产品通过公安、保密、军队等权威主管部门的检测认证。
蓝盾拥有AAA级企业信用等级,在经营活动中始终坚持“诚信服务”,追求细致卓越,高效服务客户,以客户需求为导向,在发展过程中逐步形成了涵盖安全产品研发及销售、安全集成及安全服务的完整业务体系,形成了强大的综合服务能力。蓝盾已成为一家安全产品、安全服务、安全集成多业务齐头并进的综合性信息安全企业。
蓝盾建立了以广州营销总部为中心,以北京、上海、重庆为支点,辐射全国的营销和技术服务体系。作为华南地区信息安全第一品牌,蓝盾目前已拥有覆盖全国,涉及政府、电信、金融、军队、能源、交通、教育、流通、邮政、制造等行业的近千余家客户。蓝盾雄厚的实力和一流的服务为公司赢得了广大客户的高度赞誉。
1.安全产品
蓝盾拥有包括安全网关、安全审计、应用安全在内的三大类、十大系列、50多个品种的安全产品线,可基本满足客户在网络边界安全、安全审计与合规、应用安全等方面的信息安全需求。
2.安全集成
作为主营业务之一,蓝盾安全集成业务包括自有的和第三方的信息系统安全产品销售、基础信息系统建设、应用信息系统开发、信息系统运维服务、信息系统安全运营等。蓝盾已为政府、教育、金融、电力、医疗等行业的多家客户提供了信息安全系统整体解决方案。
有别于传统的系统集成业务,蓝盾安全集成业务以公司自有信息安全产品和业务整合为基础,以信息系统安全运营服务平台为基础结构,建立了覆盖产品研发、方案设计、销售和集成、工程实施、管网建设和运营服务的一整套信息系统安全运营业务支持体系,成功实现了从传统信息系统集成业务到以信息安全产品为基础、提供信息系统安全运营整体服务的战略跨越,从而确立了公司整体解决方案在信息安全市场中的领先地位。
3.安全服务
蓝盾提供的安全服务主要包括安全咨询与评估、专业化安全检测与防护、安全认证培训服务、安全运营及管理、安全技术支持等。经过多年积累,蓝盾已为上百家客户提供了专业化的服务,构建了覆盖不同行业客户及客户不同发展阶段的信息安全服务体系。
信息安全产品的研发、生产和销售是蓝盾业务体系的基础。它对信息安全集成及信息安全服务的发展起着至关重要的作用。安全产品业务能够有效促进公司安全集成与安全服务业务的实现和业务量的提升。安全集成与安全服务业务同时还会促进安全产品技术和应用水平的提升。随着技术实力和安全产品竞争力的提高,蓝盾提供整体解决方案的能力也在逐渐增强。在安全集成业务收入快速增长的同时,蓝盾自有安全产品的销售额也在快速增加。
技术创新 缔造优势
蓝盾始终以自主创新为发展原动力,以领先的技术研发抢占市场。经过多年的探索和积累,蓝盾已掌握了信息安全领域内的主要核心技术,并拥有该领域内近百项软件著作权。蓝盾目前掌握的主要技术处于国内领先地位,其中蓝盾DDoS防御网关采用的零积累智能识别技术达到了国际先进水平。
凭借领先的技术实力,蓝盾先后实施了包括公安部科技攻关项目在内的多项国家级、部级、省市区级的重点信息安全科研项目,并在公安部等部委制定服务器安全类产品和安全审计类产品行业技术标准的过程种发挥了重要作用。
此外,蓝盾还成功地为北京奥运会和残奥会提供了信息安全产品和服务,并因此获得了北京奥组委颁发的荣誉奖章。
专业资质 彰显实力
安全行业是国家强制性保护的行业,获得资质或许可的多少是衡量信息安全企业竞争实力的重要标准。
蓝盾具有技术优势及综合服务能力,已拥有商用密码产品销售许可证、军队网络采购信息资格认证、信息系统产品检测证书、军用信息安全产品认证证书、产品销售许可证、中国信息安全认证中心产品认证证书、广州市自主创新产品证书,并取得了计算机信息系统安全服务一级资质证书、计算机信息系统集成一级资质证书、计算机信息系统集成乙级证书、信息安全应急处理服务资质、信息安全风险评估服务资质等业务资质,还获得了包括信息安全产品、信息安全集成及信息安全服务在内的所有业务类别的较高级别资质和许可,是业内获得资质和许可最全的企业之一。
综合服务 铸就品牌
蓝盾的各业务模块能相互促进,共同发展,从而形成了较强的综合服务能力。
蓝盾的信息安全产品可满足客户在网络边界安全、安全审计与合规、应用安全等方面的信息安全需求,并能为客户设计和实施信息安全方面的整体解决方案,满足客户系统化、个性化的安全需求。
此外,蓝盾还可以为客户提供安全咨询与评估、安全检测与防护、安全认证培训服务等专业化的安全服务。蓝盾完整的业务体系及丰富的产品种类可满足不同行业客户的信息安全需求,增强公司的综合竞争力。
蓝盾建立了辐射全国的营销和技术服务体系,这为公司掌握信息安全领域的最新市场动态、及时响应客户需求提供了重要保证。
客户稳定 促进增长
信息安全行业的特殊性决定了下游客户对信息安全提供商存在一定的依赖性。随着社会各界对信息安全要求的逐步提高,下游客户在信息安全系统建设和升级的过程中会对安全产品、安全集成及安全服务产生交叉消费和重复消费。
因此,下游用户对信息安全领域的投入是持续性的。蓝盾现有的客户资源既是稳定的业务来源,也是宣传品牌、扩大影响力的最好载体,这有利于新市场及新客户的开拓,也为公司的持续盈利提供了重要保障。
精英汇聚 引领成功
篇6
关键词:信息管理系统 信息安全 系统安全建设
中图分类号:TP39 文献标识码:A 文章编号:1003-9082(2014)03-0001-02
一、引言
随着全球信息化不断在我国深化和发展,我国各地区、各行业使用信息系统开展工作的比例越来越大。一般来说,信息化程度越高,对信息管理系统的依赖性就越强,信息安全问题就越为突显和严重。而信息安全问题也正逐渐成为影响各企事业单位业务能否正常运行、生产力能否快速发展的重要因素之一。但是由于我国信息化建设起步相对较晚,与国外先进国家相比,无论在信息安全意识还是信息安全防护技术等诸多方面都还存在较大差距,各企事业单位的信息安全基本上均处于一个相对较为薄弱的环节。一旦信息管理系统中的个人信息和敏感数据发生丢失或者泄漏,可能会对自身造成无可估量的损失。因此,重点保障信息管理系统安全已成为各行各业的首要任务。信息管理系统安全建设应该系统地、有条理地进行全面规划,充分地、全方位地考虑安全需求和特性,从而达到各种安全产品、安全管理、整体安全策略和外部安全服务的统一,发挥其最大的效率,给予信息管理系统以最大保障。
二、信息管理系统安全建设原则
1.安全体系兼容性
安全体系有一个重要的思想是安全技术的兼容性,安全措施能够和目前主流、标准的安全技术和产品兼容。
2.信息管理系统体系架构安全性
系统的系统架构已经成为保护系统安全的重要防线,一个优秀的系统体系架构除了能够保证系统的稳定性以外,还能够封装不同层次的业务逻辑。各种业务组件之间的“黑盒子”操作,能够有效地保护系统逻辑隐蔽性和独立性。
3.传输安全性
由于计算机网络涉及很多用户的接入访问,因此如何保护数据在传输过程中不被窃听和撰改就成为重点考虑内的问题,建议采用传输协议的加密保护。
4.软硬件结合的防护体系
系统应支持和多种软硬件安全设备结合,构成一个立体防护体系,主要安全软硬件设备为防火墙系统、防病毒软件等。
5.可跟踪审计
系统应内置多粒度的日志系统,能够按照需要把各种不同操作粒度的动作都记录在日志中,用于跟踪和审计用户的历史操作。
6.身份确认及操作不可抵赖
身份确认对于系统来说有两重含义,一是用户身份的确认,二是服务器身份的确认,两者在信息安全体系建设中必不可少。
7.数据存储的安全性
系统中数据存储方面可以采取两道机制进行的保护,一是系统提供的访问权限控制,二是数据的加密存放。
三、信息管理系统安全建设内容
按照系统安全体系结构,结合安全需求、安全策略和安全措施,并充分利用安全设备包括防火墙、入侵检测、主机审计等,其建设内容主要有:
1.物理安全
机房要求保护计算机设备、设施(含网络)以及其它媒体免遭地震、水灾、火灾、有害气体和其它环境事故(如电磁污染、电源故障、设备被盗、被毁等)破坏。
2.网络安全
利用现有的防火墙、路由器,实行访问控制,按用户与系统间的访问规则,决定允许或拒绝用户对受控系统进行资源访问。同时加强端口、拒绝服务攻击、网络蠕虫等的监控,保障系统网络运行的畅通。
2.1使用防火墙技术
通过使用防火墙技术,建立系统的第二道安全屏障。例如,防止外部网络对内部网络的未授权访问,建立系统的对外安全屏障。最好是采用不同技术的防火墙,增加黑客击穿防火墙的难度。
2.2使用入侵监测系统
使用入侵监测系统,建立系统的第三道安全屏障,提高系统的安全性能,主要包括:监测分析用户和系统的活动、核查系统配置和漏洞、评估系统关键资源和数据文件的完整性、识别已知的攻击行为、统计分析异常行为、操作系统日志管理,并识别违反安全策略的用户活动等功能。
3.主机安全
系统主机安全从主机身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范和资源控制等方面考虑。
3.1主机身份鉴别
对登录操作系统的用户进行身份设别和鉴别,对操作系统和数据库系统设置复杂的登录口令,并且定期进行更换。同时对操作系统和数据库用户分配不同的用户分配不同用户名。
3.2访问控制
通过三层交换机和防火墙设置对系统服务器的访问控制权限。对服务器实现操作系统和数据库系统特权用户的权限分离,限制默认账号的访问权限,重命名系统默认账户,修改默认密码。
3.3安全审计
服务器操作系统本身带有审计功能,要求审计范围覆盖到服务器上的每个操作系统用户,审计内容包括重要用户行为、系统资源异常使用并进行记录。
信息管理系统也应考虑安全审计功能,记录系统用户行为,系统用户操作事件日期、时间、类型、操作结果等。
3.4入侵防范
利用入侵检测系统和防火墙相应功能,检测对服务器入侵行为,记录入侵源IP、攻击的类型、攻击的目标、攻击时间,并在发生严重的入侵事件时提供报警。
3.5恶意代码防范
在服务器上安装服务器端防病毒系统,以提供对病毒的检测、清除、免疫和对抗能力。
3.6资源控制
在核心交换机与防火墙配置详细访问控制策略,限制非法访问。
4.应用安全
4.1安全审计
信息管理系统应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计,审计记录内容至少包括事件的日期、时间、发起者信息、类型、描述和结果等,保证无法删除、修改或覆盖审计记录。
4.2资源控制
信息管理系统应限制用户对系统的最大并发会话连接数、限制单个账户的多重并发会话、限制某一时间段内可能的并发会话连接数。
5.数据安全
系统数据安全要求确保管理数据和业务数据等重要信息在传输过程和存储过程中的完整性和保密性。对于数据库中的敏感数据,需对数据项进行加密,保证管理数据、鉴别信息和重要业务数据在传输过程与存储过程中完整性不受到破坏。
对数据进行定期备份,确保存储过程中检测到数据完整性错误时,具有数据恢复能力。必须采用至少两种手段进行备份,备份手段以整体安全备份系统为主,配合其他备份手段,如GHOST、TRUE IMAGE或操作系统和数据库管理系统本身的备份服务等。备份具体要求如下:
5.1各服务器专职管理员根据所管服务器的具体情况与整体安全备份系统专职管理员协调制订好所管服务器的备份计划及备份策略。
5.2整体安全备份系统专职管理人员必须组织各服务器专职管理员对各服务器每个季度进行一次整体灾备(冷备)。若某台服务器的配置需要发生较大变更,该服务器的专职管理员应在对该服务器实施变更前和圆满完成变更后,分别对该服务器做一次整体灾备,必要时整体安全备份系统专职管理员需对整体灾备提供协助。
5.3数据备份主要分为月备份、周备份、日备份及日志(增量)备份。月备份每月对各服务器的所有系统、目录及数据库做一次全备(热备)。周备份每周对各服务器的所有系统、目录及数据库做一次全备(热备)。日备份每天对各服务器的重要目录及数据库做一次备份。日志(增量)备份针对数据更新较频繁的服务器,每天进行多次增量备份。
5.4除日志(增量)备份外,其它各种备份以每一次独立执行的备份作为一个独立版本。每个独立版本的备份必须存储在独立的备份介质上,不能混合存储在同一套备份介质。整体灾备(冷备)和月备份一般要求保留至少能覆盖当年及上一年全年时间的所有版本,周备份要求保留至少最近5个版本,日备份要求保留至少最近4个版本,日志(增量)备份保留至少自上一次周备份以来的所有版本。
5.5备份介质应放在机房以外安全的地方保管。所有备份介质必须有明确、详尽的标签文字说明。
5.6整体安全备份系统专职管理员必须定时检查备份作业的运行情况,备份异常情况应尽快查明原因,解决问题并在值班登记本上详细记录。
四、安全制度建设
建设严格、完整的基本管理制度包括安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理机制几个方面。
安全管理制度:包括安全策略、安全制度、操作规程等的管理制度;管理制度的制定和;管理制度的评审和修订。
安全管理机构:包括职能部门岗位设置;系统管理员、网络管理员、安全管理员的人员配备;授权和审批;管理人员、内部机构和职能部门间的沟通和合作;定期的安全审核和安全检查。
人员安全管理:包括人员录用;人员离岗;人员考核;安全意识教育和培训;外部人员访问管理。
系统建设管理:包括系统定级;安全方案设计;产品采购和使用;自行软件开发;外包软件开发;工程实施;测试验收;系统交付;系统备案;等级测评;安全服务商选择。
系统运维管理:包括机房环境管理;信息资产管理;介质管理;设备管理;监控管理和安全管理中心;网络安全管理;系统安全管理;恶意代码防范管理;密码管理;变更管理;备份与恢复管理;安全事件处置;应急预案管理。
五、结束语
信息化建设已经涉及到国民经济和社会生活的各个领域,信息管理系统也成为各行各业信息化建设发展中的重要工具。如何保障信息管理系统安全从而保证信息安全是关系到国家安全、社会安全和行业安全的大问题。我们只有在实现信息安全的条件下,才能有效利用信息管理系统这个有力的工具提高生产力,推动社会的发展。本文通过对信息系统安全建设原则、安全建设内容和安全制度建设三方面较为详细的探讨,应该对于各企事业单位信息管理系统的安全建设有所帮助和借鉴。
参考文献
[1] 林国恩,李建彬,信息系统安全,电子工业出版社,2010-03
[2] Dieter Gollmann, Computer Security 2 edition, Wiley, 2006
[3]《信息系统安全等级保护基本要求》,中华人民共和国国家标准,GB/T 22239-2008
[4] 尚邦治等,做好信息安全等级保护工作,中国卫生信息管理杂志,2012.5
篇7
【关键词】 医院信息化建设 IT运维与安全管理
引言:
目前,随着信息技术的日新月异和网络信息系统应用的发展,医院、企业网络技术的应用层次正在从传统的、小型业务系统逐渐向大型、关键业务系统扩展。面对日趋复杂的IT系统,不同背景的运维人员已给企事业信息系统安全运行带来较大的潜在风险,如医院信息系统是医院日常工作的重要应用,存储着重要的数据资源,是医院正常运行必不可少的组成部分,所以必须加强安全保障体系的建设。于是,堡垒机在医院中的应用,为医院工作的应用提供了安全可靠的运行环境。
传统的网络安全审计系统给医院的的运维安全问题带来了很多风险,如:账号管理无秩序,暗藏巨大隐患;粗放式权限管理的安全性难以保证;设备自身陈旧,无法审计运维加密协议、远程桌面内容等,从而难以有效定位安全事件。
以上所面临的风险严重破坏政府、医院、企业等的信息系统安全,已经成为其信息系统安全运行的严重隐患,尤其是医院,将影响其效益。尤其医院信息系统是一个复杂的系统工程,涉及人、技术、操作等要素,单靠技术或单靠管理都不可能实现。
因此在考虑安全保障体系时,必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。
如何有效监控业务系统访问行为和敏感信息的传播,准确掌握网络系统的安全状态,及时发现违反安全策略的事件并实时告警、记录,同时进行安全事件定位分析,事后追查取证,满足合规性审计要求,是企事业迫切需要解决的问题,即IT运维安全管理的变革已刻不容缓!
堡垒机提供一套先进的运维安全管控与审计解决方案,它通过网络数据的采集、分析、识别,实时动态监测通信内容、网络行为和网络流量,发现和捕获各种敏感信息、违规行为,实时报警响应,全面记录网络系统中的各种会话和事件,实现对网络信息的智能关联分析、评估及安全事件的准确全程跟踪定位,为整体网络安全策略的制定提供权威可靠的支持。
随着堡垒机在医院中的应用,其主要实现了以下功能:
1)账号管理集中
堡垒机建立于唯一身份标识的全局实名制管理,支持统一账号管理策略,实现与各服务器、网络设备等无缝连接,集中管理主账号(普通用户)、从账号(目标设备系统账号)及相关属性。
2)访问控制集中
堡垒机通过集中对应用系统的访问控制,通过对主机、服务器、网络、数据库等网络中所有资源的统一访问控制,确保用户拥有的权限是完成任务所需的最小权限,实现集中有序的运维操作管理,防止非法、越权访问事件的发生。
3)安全审计集中
基于唯一身份标识,堡垒机通过对用户从登录到退出的全程操作行为审计,监控用户对被管理设备的所有敏感的关键操作,提供分级告警,聚焦关键事件,能完成对医院内网所有网上行为的监控和对安全事件及时预警发现、准确可查的功能。
通过此体系监控到的数据能对医院内部网络的使用率、数据流量、应用提供比例、安全事件记录、网络设备的动作情况、网络内人员的网上行为记录、网络整体风险情况等这些情况有较全面的了解。
信息安全是一个动态的过程,要根据网络安全的变化不断调整安全措施,适应新的网络环境,M足新的网络安全需求。
安全管理制度也有一个不断完善的过程,经过安全事件的处理和安全风险评估,会发现原有的安全管理制定中存在的不足之处。根据安全事件处理经验教训和安全风险评估的结果,对信息安全管理策略进行修改,对信息安全管理范围进行调整。
参 考 文 献
[1]赵瑞霞.构建堡垒主机抵御网络攻击[J].网络安全技术与应用,2010,08.
篇8
邓高峰:国内信息安全产业经历了十多年的发展积累了一批中坚力量,大多分布在信息安全产品提供商和服务提供商以及第三方机构,但从信息安全责任单位以及为其提供各类信息技术服务外包的更广泛的IT行业来看,大部分行业和组织还没有专门的信息安全岗位设置和专业的信息安全人才配置,据权威机构估算,我国信息安全人才的需要量在50多万。目前,信息安全专业在国内仍是高等教育的二级学科,全国有将近80家高校设置了信息安全类本科专业,通过高校培养的信息安全人才不到4万人,这些青年军无论在整体数量还是在实践实战上,距离国家健全信息安全保障体系、上海市智慧城市所要求的信息安全总体可控,还有很大缺口,亟需通过专业的职业培训来补充和提升。
我理解的信息安全是暂时的,不安全是永恒的;信息安全的系统建设是一个持续进行的过程,其实就是指信息安全的“新四化”。以上海这样信息化程度很高的城市为例,无论是政府还是企业,一方面其业务对信息技术的依赖程度很大,另一方面这些改革开放的前沿也是各方关注的焦点,信息安全和业务连续的保障需求自然就十分迫切,信息安全不应成为信息化发展瓶颈,而应成为趋利避害的重要手段。全面提高各单位各企业的信息安全意识,有效提升信息安全专业技能水平,包括重点培育信息安全专业服务机构,这些工作都离不开信息安全人才培养和集聚,因此在各行业大力开展CISP等相关培训将为建设上海信息安全人才高地打下坚实的基础。
《上海信息化》:三零卫士在CISP培训体系建设上,又有哪些新的创新与思考?
邓高峰:CISP培训一直致力于培养信息安全的组织者、推动者和管理者。信息安全体系建设,不只是用信息安全产品搭建一个堡垒,更重要的是组织自身需建立一套完善的信息安全制度,只有硬件(技术)和软件(人才)相互结合,才能保障信息的机密性、完整性和可用性。对于公司的培训来说,则是将安全知识体系和实际工作中的应用一起纳入了信息安全体系建设。组织面临的安全问题多种多样,除了常见的系统漏洞、黑客入侵、挂马和钓鱼网站、木马下载器等一些技术性威胁外,一些安全意识薄弱同样也会产生安全问题,比如:没有专业的安全培训严重缺乏安全意识;不知道组织存在哪些安全隐患;出现突发安全事故无法第一时间了解等等。对于那些没有经过专门的安全培训、没有配备专业的技术人才、没有设定合理安全流程的企业来讲,只靠采购安装软、硬件安全产品来避免威胁或在遇到威胁时应急处理,是非常不现实的。
对此,CISP全面覆盖全球信息安全知识,充分贴合中国信息安全国情,具有非常系统化的知识体系,使用组件模块化的结构,包括知识类、知识体、知识域和知识子域四个层次,更注重全面性、前沿性和实用性。
《上海信息化》:国际上也有CISSP等信息安全培训,与之相比CISP有什么优势或特点?
邓高峰:国际上除了(ISC)2的CISSP(信息系统安全专家)培训之外,还有ISACA的CISA(注册信息安全审计师)、ISO27001的主任审核员等与信息安全相关的人员培训,但分别侧重技术、审计和管理体系,参与培训的人员也未必是信息安全从业人员。国内有公安部的信息安全师、工信部网络信息安全师、国家信息安全认证中心的CISAW(信息安全保障从业人员)等培训,还有不少社会化IT培训中也有所谓的信息安全模块,但是无论从专业人员定位、培训体系构成还是从与国家信息安全保障工作的关联度来看,均逊色于CISP。
CISP最初是瞄准CISSP所设计的高端专业培训,十年来结合国家信息安全保障的需求,不断得到更新和充实,现在已形成由CISM(注册信息安全人员)、CISO(注册信息安全管理人员)、CISE(注册信息安全工程师)、CISP-AUDIT(注册信息安全审计师)、CISP-DRP(注册信息安全灾难恢复工程师)、CISD(注册信息安全专业开发人员)所构成的系列培训和人员认证。所以说,如果希望在信息安全行业长期发展,就目前而言,CISP专业培训具有不可替代性。
《上海信息化》:今年上海针对信息安全教育培训有什么具体的政策和要求?
邓高峰:“发展以安全为重,安全以人才为本”是CISP培训的宗旨,信息化的成效很大程度上取决于信息安全保障水平,而信息安全保障的关键在于人,CISP培训的初衷就是在最大范围建立大家的信息安全意识,并针对信息安全相关人员普及信息安全知识,掌握必要的信息安全技能。就目前来看,CISP不仅是申请信息安全服务资质的必备条件,并在越来越多的行业成为信息安全岗位的“上岗证”,上海市也开始要求IT服务外包企业将信息安全专业人员纳入技术团队标准配置。
篇9
【关键词】网络经济;审计;存在问题;安全防范
一、网络经济对财务审计的影响分析
(1)审计目的的影响。财务审计在网络环境的影响下,会计报表与传统手工报表表现出了很大的差异,具有及时性、实时性、高效率等特征。在审计目标和指标方面,网络环境下的财务审计更全面,更真实,表现出一定的动态性和灵活性。(2)审计模式的影响。传统的财务审计受到物质、环境以及人的主观能动性等方面影响比较突出,网络环境下财务审计主要是基于无纸化办公以及电子化信息处理。财务审计工作变得更加规范和合理,这在无形当中增加了财务审计的规范性和可操作性。(3)对财务审计主体的影响。传统财务审计的重点主要是审计管理人员及审计专业人员,对于审计人员素质要求高,要求审计人员具备专业的审计素质和水平。
二、网络经济环境中财务审计的主要方向
(1)网络审计具有多部门联合作业的优势。审计的内容不仅仅局限于作业的经济活动和财务记录,而且可以联合其它的审计管理部门、职能部门等通过网络加大沟通交流、协作配合、分析讨论、交流经验、分享心得体会等,加强审计过程的透明性和权威性,合理配置审计资源;审计机构在接受委托人或授权人的委托或授权后的,提高了审计管理工作的时效性和准确性,提高了审计的效率和质量。(2)安全性和保密性的财务审计。在审计过程中,要加强对财务审计的保密性和安全性管理,通过职责分离而又有保持必要的沟通协作机构,对被审计单位的容错处理、安全管理、安全保密技术等进行深入的调研和了解,以评价其财务审计工作的工作性和完备性。(3)加强内部控制、降低管理风险。内部控制是新形势下财务审计过程中的重要组成部分。主要集中于内部的管理、运行、维护、监控、风险防范等方面的相关管理技术以及由这些管理可能带来的风险措施。通过加强系统的安全审计,可以及时有效地防范潜在的安全隐患,增加内部控制的审计的安全性。(4)加强风险管理。财务风险审计是审计管理中的重点和难点,要加强对审计人员的风险管理意识培训,用最新审计知识更新头脑,有效指导审计工作,提高审计效率和水平,降低审计风险。
三、财务审计相关内容分析
(1)会计报表的审计。会计报表的审计主要是对企业资产负债表、损益表、现金流量表等的真实性、完整性、合法性和准确性等的审计,而网络条件下的审计可以满足以上这些审计要求。(2)资产审计分析。网络环境下的资产审计可以对被审计单位的资产进行整合,与传统的方式相比,具有动态管理性,可以真实性、完整性等反映出记录在有关账簿及会计报表的资产的真实存在。(3)所有者权益审计。企业的实收资本、资本公积、盈余公积、未分配利润等都是所有者权益审计的重点和关键点。网络环境下的所有者权益,变得全面、权威、准确,同时又具有时效性强、方便快捷等特点。
四、网络审计存在问题及防范措施
(1)接受委托风险问题。客户在经营管理过程中,由于自身利益考虑,通过人为制造虚假业绩数据,加上审计内控机制不健全,管理存在漏洞,致使操作过程存在较大的风险。对于此类风险,审计人员可以通过查询往年工作底稿、询问相关工作人员、调阅相关资料等方式增强对审计风险的评估分析能力来决定是否接受该项业务。(2)信息系统风险问题。由于网络存在的脆弱性,审计过程中系统风险在所难免。由于信息系统涉及面广,内容庞大,审计人员很难全面掌握信息系统风险问题,这就使得审计人员在审计过程中加强与专业人员沟通和交流,同时根据审计需要,聘请外部IT专业人士加强对信息系统的安全审计。(3)审计取证风险。由于计算机网络及数据加密技术在应用过程存在的缺陷和漏洞。可能带来的数据传输丢失、非法篡改、非法窃听等问题,这加大了审计取证的难度,降低了审计结果的可靠性,加大了审计风险。(4)审计评价风险。对于审计过程发现的问题,能否根据科学的模式和方法对存在的问题做出合理的评估和分析,使审计过程中既遵循科学合理的程序和规范,又能客观真实性地再现审计过程中的问题,这在某种程度上构成了审计的评价风险。为了提升审计的科学性和准确性,审计人员在审计过程中需要出具严谨的审计报告,审计报告既要体现出审计的灵活性和有效性,还要能够针对具体的问题做出合理的评价。
参 考 文 献
[1]于宁.网络环境下会计信息的披露与监管[J].安徽工业大学学报(社会科学版).2005(3)
篇10
总的来讲,我们目前对信息系统的安全保障工作处在初级阶段,主要表现在信息系统安全建设和管理的目标不明确,信息安全保障工作的重点不突出,信息安全监管体系尚待完善。为了实施信息系统的安全保护,我国制定颁布了《计算机信息系统安全保护等级划分准则》(GB17859-1999)和《信息技术安全技术信息技术安全性评估准则》(GB/T18336-2001)等基本标准,随后又制定了一系列相关的国家标准,对信息等级保护工作的定级、建设、测评、安全管理等进行规范。信息安全等级保护制度一个很重要的思想就是对各领域的重要信息系统依照其对国家的重要程度进行分类分级,针对不同的安全等级采取不同的保护措施,以此来指导不同领域的信息安全工作[1]。99年颁布的《等级划分准则》对计算机信息系统安全保护能力划分了五个等级[2],保护能力随着安全保护等级的增高,逐渐增强。第一级为用户自主保护级。使用户具备自主安全保护的能力。第二级为系统审计保护级。在继承前面安全级别安全功能的基础上,需要创建和维护访问的审计跟踪记录。第三级为安全标记保护级。在继承前面安全级别安全功能的基础上,要求依据访问安全级别限制访问权限。第四级为结构化保护级。继承前面安全级别安全功能的基础上,划分安全保护机制为两部分,关键部分和非关键部分,对关键部分访问者直接控制访问对象的存取。第五级为访问验证保护级。按要求增设访问验证的功能,负责访问者对所有访问对象的访问活动进行仲裁。
2.企业信息安全等级保护的实施流程
在实施企业信息安全等级保护流程时,主要得工作可以分为信息系统定级、规划与设计和实施、等级评估与改进三个主要的阶段。
2.1信息系统定级
系统定级是根据整个系统要求达到的防护水平,确定信息系统和各个子系统的安全防护等级。需要由专业人员评估企业的信息系统、各种软硬件设备及企业业务支撑的各个环节,根据其重要性和复杂性划分为各个子系统,描述子系统的组成和边界,以此确定总系统和子系统的安全等级。2.2安全规划和设计安全规划和设计是根据系统定级的结果,对信息系统及其子系统制定全套的安全防护解决方案,并根据方案选取相应的软、硬件防护产品进行具体实施的阶段,这个阶段的工作主要可以归纳为以下三个方面的内容:
2.2.1系统对象的分类划分及相应保护框架的确立。
企业需要对信息系统进行保护对象进行分类和划分,建立起一个企业信息系统保护的框架,根据系统功能的差异和安全要求不同对系统进行分域、分级防护。
2.2.2选择安全措施并根据需要进行调整。
在确定了企业信息系统及各个子系统的安全等级以后,根据需要选择相应的等级安全要求。根据对系统评估的结果,确定出主系统、子系统和各保护对象的安全措施,并根据项目实施过程中的需要进行适当的调整。
2.2.3安全措施规划和安全方案实施。
确定需要的安全措施以后,定制相应安全解决方案和运维管理方案,以此为依据采购必要的安全保护软、硬件及安全服务。
2.3实施、等级评估和改进[4]
依照此前确定的安全措施和解决方案,在企业中进行方案实施。实施完毕之后,对照“信息安全等级保护”相关标准,评估所部署的方案是否达到了预想的防护要求,如果评估未能通过,则需对部分安全方案进行改进后再进行评估,直至符合等级保护要求。
3.企业信息安全等级保护体系的主要内容
3.1安全体系设计的原则及设计目标
信息系统安全体系的设计需要按照合规可行、全局均衡、体系化和动态发展原则,达到并实现“政策合规、资源可控、数据可信、持续发展”的生存管理与安全运维目的。系统安全等级保护体系的技术指标,可以分为信息技术测评指标和非信息技术测评指标两类。所以整个安全等级保护体系应包含基本技术措施和基本管理措施两个组成部分。
3.2基本技术措施
3.2.1物理安全
物理安全是信息系统安全的基础,物理安全主要内容包括环境安全(防火、防水、防雷击等)、设备和介质的防盗窃、防破坏等方面。
3.2.2网络安全
网络是若干网络设备组成的可用于数据传输的网络环境,是信息系统安全运行的基础设施。对于内网未通过准许联到外网的行为,可以使用终端安全管理系统来检测。对登录网络设备和服务器的用户进行基本的身份识别,使网络最基本具备基本的防护能力。[5]
3.2.3主机安全
主机安全主要是指服务器和终端系统层面的安全风险。主机的安全风险主要包括两个方面:一是操作系统的脆弱性,二是来自系统配置管理和使用过程。可以通过建立一套完善安全审计系统实现系统层、网络层以及应用层的安全审计。
3.2.4应用系统安全
应用系统是提供给用户真正可使用的功能,是以物理层、网络层和主机层为基础的,是用户与系统底层的接口。应用安全首先要考虑身份验证、通讯加密、信息保护和抗抵赖性等安全风险,对应用系统方面应关注系统资源控制、应用代码安全、系统安全审计和系统容错等内容,一般需要通过安全审计系统和专业的安全服务来实现。
3.2.5数据安全
数据是指用户真正的数据,信息系统数据安全所面临的主要风险包括:数据遭到盗窃;数据被恶意删除或篡改。在考虑数据安全方案时,除了使用从物理层到应用层的各种层次的安全产品,更重要的是考虑对数据的实时备份。目前主要使用数据库技术来保证数据私密性和完整性,制定好数据存储与备份方案,来完成日常的数据备份与恢复。这部分工作可以考虑引入专业安全服务。
3.3基本管理措施
3.3.1安全管理制度
安全管理制度的制定、、审核和修订等工作,需要在信息安全领导小组的统筹下,按照安全工作的总体方案,根据系统应用安全的实际情况,组织相关人员进行,并进行定期的审核和修订。
3.3.2安全管理机构
要根据要求建立专门的安全职能部门,配置专门的安全管理人员,并对安全管理人员进行日常活动的监督指导。同时要对安全职能部门进行全面的设计,内容包括的人员和岗位的配置、日常工作流程、与其他部门的沟通和合作、系统安全的审核和检查等方面。
3.3.3人员安全管理
人员的入职、离职、绩效考核、业务培训等环节都要考虑安全因素。对第三方人员管理上也要考虑安全风险。
3.3.4系统建设过程管理
要在系统建设的各个阶段贯彻系统安全等级保护体系的思想和内容。主要是对系统建设从方案设计、采购、开发、实施、测试验收、交付到系统备案、安全测评等环节进行全流程的监控,对所有涉及安全保护的方面提出具体要求。
3.3.5系统运行和维护管理
信息系统运维安全管理涉包括日常管理、安全事件处置、应急预案管理和安管中心等几方面内容,可以是内部人员管理维护,也可以根据需要采用内部人员和专业安全厂商相结合的方式。
4.总结
