征信信息安全管理范文

导语：如何才能写好一篇征信信息安全管理，这就需要搜集整理更多的资料和文献，欢迎阅读由公务员之家整理的十篇范文，供你借鉴。

篇1

为了支撑部门预算管理和国库集中收付制度改革，按照建立我国公共财政系统框架的总体要求建设先进的政府财政管理信息系统有利于预算管理的规范化提高国库资金的使用效率提高政府财政管理决策的科学性增大财政管理的透明度有利于加强廉政建设。

GFMIs的重要性使得其信息价值倍增，但它本身存在着管理和技术实现的脆弱性。因此GFMls容易受到攻击造成政府财政管理信息的泄露、篡改和删节造成政府财政管理信息需要使用时不可用等对我国的国家安全造成严重威胁。

系统概述

政府财政管理信息系统的网络结构一般都是分级分层次建设的。比如某省级政府财政管理信息系统的网络结构.它分为省、地市和县级三层并且省与地市级网络链接线路有备份。

系统资源分析

系统资源分析

政府财政管理信息系统中的主要资源包括

1)物理资源

(1)计算机系统:系统硬件、群件、操作系统、软件、数据库

(2)通信系统:通信系统设备及部件、传输系统(有线、无线传输);

(3)网络系统:网络设备、网络互联设备、网络管理设备及软件、网络应用;

(4)环境设施:运行环境的建筑物、机房等。

2)信息资源

(1)数据和记录

(2)软件;

(3)其他任何形式的信息。

应用系统描述

政府财政管理信息系统(GFMIS)的应用主要以数据交换和信息共享为主要业务内容网络信道采用丁C尸/lP协议集。应用系统根据具体业务安全需求，采取一定的安全技术手段进行安全设计以保护政府财政管理信息系统中各级财政信息防止外界侵入。

安全需求分析

安全需求包括用户提出的非专业以及从专业角度为系统进行的安全需求分析，在最后确定安全需求时将充分考虑用户要求。

为了更准确地确定系统的安全需求，将对系统遇到的攻击进行分析，它包括主动攻击、被动攻击、物理临近攻击、内部人员攻击以及软硬件装配和分发攻击。与此同时也要对系统的安全漏洞和安全管理进行分析。

风险分析

被动攻击威胁

1)网络和基础设施的被动攻击威胁。线路窃听局域网线路的窃听监视没被保护的通信线路破译弱保护的通信线路信息信息流量分析利用被动攻击为主动攻击创造条件以便对网络基础设施设备进行破坏;机房和处理信息的终端的电磁泄露。

2)区域边界/外部连接的被动攻击威胁。机房和处理信息终端的电磁泄露;截取末受保护的网络信息;流量分析攻击;远程接入连接。

3)计算环境的被动攻击威胁。机房和处理信息的终端的电磁泄露;获取鉴别信息和控制信息:获取明文或解密弱密文实施重放攻击。

4)支持性基础设施的被动攻击威胁。机房和处理信息终端的信息电磁泄露;获取鉴别信息和控制信息。主动攻击威胁

1)网络和基础设施的主动攻击威胁。一是可用带宽的损失攻击.如网络阻塞攻击、扩散攻击等。二是网络管理通讯混乱使网络基础设施失去控制的攻击。最严重的网络攻击是使网络基础设施运行控制失灵。三是网络管理通信的中断攻击.它是通过攻击网络底层设备控制信号来干扰网络传输的用户信息;引入病毒攻击引入恶意代码攻击。

2)区域边界连接的主动攻击威胁。试图阻断或攻破保护机制(内网或外网)偷窃或篡改信息利用‘’社会工程”攻击欺骗合法用户伪装成合法用户对服务器进行攻击lP地址欺骗攻击;拒绝服务攻击;利用协议和基础设施的安全漏洞进行攻击;利用远程接入用户帐号对内网进行攻击;建立非授权的网络连接;监测远程用户链路、修改传输数据;解读末加密或弱加密的传输信息恶意代码和病毒攻击。

3)计算环境的主动攻击威胁。引入病毒攻击;引入恶意代码攻击;冒充超级用户或其他合法用户;拒绝服务和数据的篡改;伪装成合法用户和服务器进行攻击;利用配置漏洞进行攻击利用系统脆弱性(操作系统安全脆弱性、数据库安全脆弱性)实施攻击;利用服务器的安全脆弱性进行攻击利用应用系统安全脆弱性进行攻击。

4)对基础设施的主动攻击威胁。对未加密或弱加密通信线路的搭线窃听:用获取包含错误信息的证书进行伪装攻击;拒绝服务攻击攻击曰N获取对用户私钥的访问、在支持性基础设施的组件中引入恶意代码攻击、在密钥分发期间对密钥实施攻击、对尸Kl私钥实施密码攻击、对密钥恢复后的密钥进行末授权访问、在用户认证期间使用户不能生成失效信息;利用备份信息进行攻击。

内音阵攻击

1)网络和基础设施的内部人员攻击威胁。网管中，合内部人员恶意攻击(他们有能力向网络提供错误的信息实现不容易发觉的攻击)远程操作人员的恶意攻击(他们是网络专家，可以和内部人员一样对网络实施攻击):内部人员误操作攻击。

2)区域边界连接的内部人员攻击威胁。远程内部操作人员的恶意攻击;内部人员的错误操作、恶意攻击。

3)支持性基础设施的内部人员攻击威胁。内部人员的错误操作;内部人员的恶意攻击。

4)软硬件装配和分发攻击。系统集成商、设备供应商、软件供应商为了维护或其他一些恶意目的留有后门。

自然灾害威胁。严重的自然灾害如水灾、火灾、地震、雷电等。

安全建设目标

网络和基础设施安全

采取物理措施将政府财政管理信息系统与因特网进行物理隔离。骨干网采用SV尸N技术保证网络传输信息的机密性、完整性。内部局域网传输应加密防止重要信息泄漏也防止外部的各种攻击。与网络供应商签订通信线路质量保证协议确保优先级、访问控制、传输质量等。因特网(包括对公众服务网站)要与内部网进行物理隔离以防止内网信息的泄露和来自外网的攻击。加强网络管理中心的保护，运用技术和物理措施限制对网络管理中心的访问。网络管理中心必须对网络管理员进行认证。所有拨号入网的用户在进入网络之前须进行注册和强制身份认证，并且保护它们之间的安全通讯。

边界安全

采用SV尸N技术解决骨干网的边界保护。建立防火墙体系.设置合理的安全策略实现网络访问控制;建立系统远程访问安全系统以保卫系统边界访问的安全;建立网络级入侵检测系统防止入侵者的攻击:建立网络防病毒系统:建立系统漏洞扫描系统改进系统的配置和功能设置;通过VLAN技术，逻辑上将内部网隔离成各主管领导网段，并采用相应的安全措施保证各网段之间的隔离以防止互

相影响和内部恶意人员的跨网段攻击;拨号入网的用户在进入网络之前须进行注册和强制身份认证，并且保护它们之间的安全通讯。

计算环境安全

建立政府财政管理信息系统的用户终端、数据库、服务器、应用程序保护机制防止拒绝服务、数据未授权的泄露和数据的修改。操作系统在重要的应用场合要采用可信的B1级操作系统。对数据库访问要进行细粒度访问控制、关键数据用加密服务器、确保物理安全、重要服务器要用单独网段进行隔离、强制身份鉴别、备份、恢复应急措施、安全审计、审计失败的保护、关键数据库底层操作系统要达到日1级。保证每个部门预算的真实性和不可否认性在支付政府财政资金前必须具有政府财政管理部门审查批准的电子签名。政府财政资金的账户要得到很好的保护并要登记注册。每一笔收入和支出应具备自动可跟踪性尽量减少人工干预，建立基于主机的入侵检测体系和基于主机的病毒防范体系。同时要建立政府财政管理信息系统的安全审计体系。

预算与国库系统安全

保证记录每一次预算调整文档资料的真实性和责任’!生。保证预算的真实性、责任性和可追踪性。包括:初始预算、追加和追减调整的预算。采取安全技术措施保证预算编制过程科目的对应关系控制政府财政国库支付过程在没有验证预算科目的真实性前不得支付以保证与预算过程的一致性。建立可用款计划控制。保证已批准授权的各种预算单位上报的预算资金计划得到验证，政府财政国库支付单位才可审核、批复可用资金计划数同时审计记录在案以便达到可追踪性和负责性的目的。保证承诺、待付、支付控制。在申请进行政府采购时，将从预算授权书把申请金额自动减掉时应保证前后资金额的真实性即保证预算授权余额与待付承诺数额的真实性。施待验证采购合同有效性后把承诺金额转为待付金额到货验收后验证审核单据的合法性后才可支付，核对承诺数、待付数和支付数的一致性，保证政府采购全过程得到有效控制。采取安全技术措施保证授权的冻结、恢复和回收控制(有待于访问控制的细化)。保证建立国库支票的流转控制.系统签发的支票均以支票号码为依据进行跟踪核对要保证支票号码的完整性。建立与银行回单信息核对控制机制。

支持性基础设施安全

建立基于尸KI技术的CA身份认证系统，支撑整个财政系统的安全身份认证确认登录系统设备的安个性_

安全管理

安全管理在GFMIS中起着非常重要的作用一方面可以保证安全产品真正发挥作用，另一方面合适的程序性安全机制可以弥补安全产品的不足所谓“三分技术七分管理“。安全管理制度的实现需政府财政系统各级领导提供指导方向和人力物力支持来建立完备的安全管理体系。建立政府财政管理信息系统的安全管理体系结构，保护信息资产。设立政府财政管理信息系统的安全管理机构。安全管理应与系统管理分开.安全功能管理应与安全审计管理分开。系统应设立安全管理员安全管理员与安全审计管理员应分开，当对他们识别与鉴别时应使用基于身份的识别与鉴别机制。

物理安全

根据信息系统设备的安全等级不同执行下列国家标准:

(1)计算机场地通用规范(GB/T2887:2000);

(2)计算机场地安全要求(GB9361:1988);

(3)计算机机房用活动地板技术条件(GB665O一1986):

(4)电子计算机机房设计规范(CB50174一1993)

(5)计算机信息系统防雷保安器(GA173一98)。电磁兼容。低压电气及电子设备发出的谐波电流限值(设备每相输入电流(16A)(GB17625.1一1998)。电磁兼容限值是对额定电流不大于16A的设备在低压供电系统中产生的电压波动和闪烁的限制(GB176252一1999)。

电磁干扰

(1)信息技术设备的无线电骚扰极限值和测量方法(GB9254一1998);

(2)信息技术设备抗扰度限值和测量方法(GB17618一1998)。

篇2

在我国，信息化建设已经有30多年的发展历程，信息安全已成为影响国民经济和社会发展的重要因素，得到了政府、行业和用户的高度重视。2011年3月的《国民经济和社会发展第十二个五年规划纲要》明确指出：“十二五”期间，我国将健全网络与信息安全法律法规，完善信息安全标准体系和认证认可体系，实施信息安全等级保护、风险评估等制度，加快推进安全可控关键软硬件的应用试点示范和推广，确保国家信息安全。

事实上，为了进一步完善国家信息安全保障体系建设，我国推出了一系列政策和措施。从2007年起，我国就在全国范围内开展信息安全保护工作，促进政府、金融、电信等各重点领域信息安全建设，并取得了良好的成果。但值得我们关注的是，当大多数人将对于信息安全的注意力更多地“盯”在计算机系统和网络领域时，重要信息在输出终端，即文件打印、复印等文印流程中的安全性却很少得到重视。在最为重要的政务信息安全领域，文印流程安全、管理的现状如何？现有的解决方案能够满足用户的管理需求吗？在对政府单位的走访中记者发现，一套基于硬件控制，辅以软件管理的解决方案，正得到政府用户越来越多的青睐。

安全与效率面临挑战

随着越来越多的敏感信息电子化，文印输出过程中信息泄密的风险大大增加，特别是共享和网络打印的快速普及，在给用户带来便捷体验的同时，也对政府机构的信息安全提出了空前严峻的挑战。

在政府机构内部，各部门一般从空间上相互独立，每个屋子也都单独配备了打印机，以确保信息保密。但是，这样的打印设备功能却很有限，且布置分散，运营成本过高，不能满足当前文印管理需要。为解决效率问题，不少部门专门设置了文印中心，但是这样的文印中心也在安全和效率两方面面临着新的挑战。

“目前我们使用文印设备的流程还是比较简单的，尤其是非窗口单位，基本上就是用自己的桌面打印机打印日常工作需要的文件，如果是大量地打印、复印文件，就去专门的文印室。我们对于日常使用的打印机并没有特别复杂的要求，主要是安全、稳定、快速、易操作。保密的重要性对于机关单位来说也非常重要，目前我们所采用的方法就是内外网隔离，文印设备基本不联网，每人使用一台桌面打印机。”国务院机关事务管理局公共机构节能管理司黄滔处长向记者介绍。

与国务院机关事务管理局(以下简称国管局)公共机构节能管理司相似，大部分的机关单位在日常办公中，内外网隔离是最基本的保密方式，对文印保密也有相关的制度和规定，比如不准随意翻印文件；凡绝密级和注明不准翻印的上级机关公文有关材料，一律不得翻印；确因工作需要翻印秘密文件时，必须经局、主管领导批准；翻印时应注明翻印机关、日期、份数和印发范围等。

“从制度上来说，我们在文印管理方面的保密和管理还是比较严密的，比如说文件需要签字才能打印，电脑内文件不能用移动存储设备带走，不能联网打印等。对于一些的部门，我们也能做到事后追溯。”国管局相关工作人员介绍。

有管理才有安全

然而根据记者的深入了解，在实际工作中，政府机关的文印管理流程仍存在着漏洞，比如打印机管理长期处于分散状态，打印设备缺少专人管理等。对文印流程缺少安全管理，信息安全和保密自然难以得到保障，再加上办公室人员流动频繁以及人为的文件遗留等问题，信息泄露的风险依然需要处处防范。

国家食品药品监督管理局处长姚珀表示，“出于保密的原因，我们目前都是不联网打印的，这确实给我们的工作带来了很多麻烦。比如我们现在打印、复印一份文件，很可能要楼上楼下跑好几趟，工作效率难以提高。但如果联网又会涉及到安全问题，这让我们的文印管理陷入两难局面。”

谈到文印安全方面的特殊需求时，姚珀说，“一些敏感数据和文件需要打印，但又不想任何无关的人看到这些打印件，以前我们为此设置机密打印室，需要打印的时候，都要提交打印申请，非常麻烦。我们理想中的文印管理，一是要方便，不必跑上跑下就能就近取到文件。二就是要安全，要保证不从网络内部泄露信息，也不让文件能轻易被无关人员打印出来。”

对于姚珀提出的问题，记者专门采访了文印解决方案领域的专家。来自惠普的技术顾问介绍说，针对这个问题，只需借助惠普的PIN码打印技术就可以轻松解决。用户在打印机密文档时，可设置安全PIN码，文档传输到打印机后只有用户在打印机控制面板上输入相应PIN码后才能进行检索和打印作业，确保敏感数据的安全。事实上，在日常工作中，这种PIN码设置，不仅能有效保护机密数据安全，还能有效防止文档被别人拿走、放错地方或扔掉而重复打印造成的浪费。而借助打印管理软件HP Web Jetadmin的打印权限设置功能，IT管理员可轻松进行每台设备的访问权限设置，只有被赋予访问权限者才能通过该打印机进行文档输出，保证了各部门内部信息不通过文印设备外泄。

根据记者了解，对于硬件购置和耗材补充方面的成本，行业用户已经有一定程度认识，但对于设备监控和持续管理、最终用户使用效率提升以及工作流程改进等问题，用户还缺乏了解。对此问题，惠普的文印工程师介绍说，政府文印管理的问题，可以通过“优化基础架构”、“管理文印环境”、“改善工作流程”三大解决方案来完成，进而帮助政府保障信息安全，降低成本，节省资源并简化文档密集型工作流程。“提高效率、降低成本、保障信息安全，要做到这几点，文印设备的管理必不可少”，惠普技术顾问表示。

软件+硬件+服务，解决政府办公后顾之忧

“虽然政府办公并没有太多复杂的打印流程，但单纯地购买打印机已经很难满足打印需求。打印量大，而专业人员又相对较少，一旦机器出现问题，很难及时解决，以致降低工作效率。”姚珀认为。“出于提高效率的目的，我们也考虑在今后实现联网打印。一旦设备联网，对文印管理的专业水平的要求就会更高。我们内部的工作人员很难解决这些问题，就需要借助专门的软件和技术人员来实现相关目标。比如在网络环境中保证信息安全，以有限的人手来管理整个部门的机器，如何使打印更为高效快捷等。”

篇3

第一条为了促进我省电子政务的发展，保障我省电子政务健康运行，根据《国家信息化领导小组关于我国电子政务建设指导意见》，并结合我省实际情况，制定本办法。

第二条电子政务信息安全工作应遵循注重实效、促进发展、强化管理和积极防范的原则。

第三条省信息化工作领导小组办公室根据省信息化工作领导小组关于电子政务信息安全工作的决策，负责组织协调全省电子政务信息安全工作，并对执行情况进行检查监督。省直各有关部门根据各自职能分工负责电子政务信息安全的具体工作。各市电子政务主管部门负责本市电子政务信息安全工作。

第四条由省信息化工作领导小组办公室牵头，会同省信息产业厅、保密局、公安厅、科技厅组成省电子政务信息安全工作小组，负责制定全省电子政务信息安全策略和工作规范，建立全省电子政务信息安全风险评估体系。各单位要制定本单位电子政务信息安全措施，定期进行安全风险评估，落实信息安全工作责任制，建立健全信息安全工作规章制度，并于每年6月份书面报本级电子政务主管部门备案。

第五条电子政务网络由政务内网和政务外网构成，两网之间物理隔离。电子政务内网是政务部门的办公专网，连接包括省四套班子和省直各部门。电子政务内网信息安全管理要严格执行国家有关规定。

第六条电子政务外网是政府的业务专网。全省建设一个统一的电子政务外网，凡是不涉及国家秘密的、面向社会的专业业务系统和不需在内网上运行的业务系统必须接入或建在电子政务外网上，并采用电子政务外网上所要求的信息安全措施。

第七条电子政务外网必须与国际互联网和其他公共信息网络实行逻辑隔离。全省统一管理电子政务外网的国际互联网出口。凡接入电子政务外网的电子政务应用系统，不得擅自连接到国际互联网。在国际互联网上运行的政府网站，要采取必要的信息安全措施方可接入电子政务外网。

第八条在电子政务外网上建立统一的数字证书认证体系，建立电子政务安全信任机制和授权管理机制。凡接入电子政务外网的应用系统必须采用省电子政务认证中心发放的数字证书。各市可直接采用省电子政务认证中心提供的数字证书注册服务，也可根据实际应用情况建立本市数字证书注册服务中心，负责本市范围内数字证书的登记注册。

第九条各级电子政务外网网络管理单位负责本级电子政务外网的公共安全工作，建立信息网络安全责任制。要对所管理的本级外网网络进行实时监控，定期进行安全性能检测，定期向主管部门通报网络安全状况信息，并向其网络用户单位提供安全预警服务。

第十条电子政务外网要建立应急处理和灾难恢复机制。应急支援中心和数据灾难备份中心要制定数据备份制度，制定事故应急响应和支援处理措施，制定数据灾难恢复策略和灾难恢复预案，并报本级电子政务信息安全主管部门备案。全省性电子政务应用系统的主要数据库和重要的基础性数据库，必须在应急支援中心和数据灾难备份中心实现异地备份。

第十一条各单位要根据国家有关信息安全保护等级的保护规范，明确本单位电子政务应用系统的安全等级，并按照保护规范进行安全建设、安全管理和边界保护。各单位负责其应用系统接入电子政务外网之前的所有安全工作，并配合网络管理单位进行网络安全管理和检查工作。

第十二条各单位要明确信息采集、、维护的规范程序，确保其电子政务应用系统运行的数据信息真实准确、安全可靠。各单位要按照“谁上网谁负责”的原则，保证其在电子政务外网上运行的数据信息真实可靠，且不得涉及国家秘密。

第十三条各单位的电子政务应用系统要建立数据信息的存取访问控制机制，按数据信息的重要程度进行分类，划分访问和存储等级，设立访问和存储权限，防止越权存取数据信息。

第十四条各单位的电子政务应用系统要建立信息审计跟踪机制，对用户每次访问系统的情况以及系统出错和配置修改等信息均应有详细记录。

第十五条各单位的电子政务应用系统应当建立计算机病毒防范机制，要定期使用经国家有关部门检测认可的防病毒软件进行检测。

篇4

一．培训内容

这次培训班的课程充实紧凑，涉及到办公室工作的各大方

面，具体讲授了以下专题：

财政部办公厅秘书处邱玲处长讲授的《认真执行国务

院公文处理办法进一步提高财政公文质量》。内容包括：

（）年月了《国家行政机关公文处理办

法》，相较于旧的《办法》，作了重要的修改并新增了不少内容。（具体内容见材料）

（）公文办理中需要注意的问题和常见差错。其中，主

要讲解了“函”这一文体。“函”说白了就是非文件，是一个大类。相较于正式的“文件”，函的形式更灵活、运作的过程更简便。

府办公厅秘书处冯宏梅处长讲授《关于国家行政机关

公文格式的若干问题》。对公文的格式作了具体而详尽的总结。

（）介绍了公文的种类。分为①文件式（红头文件）；②信函式、命令式；③会议纪录、电报；

（）介绍了文件式的格式，文件式是公文中最常用的

文体，包括版头（眉首）、主体、版记三部分，每一部分都有具体而详尽的规定；

（）介绍了信函式、命令式的格式；

（）介绍了会议纪要的格式；

（）介绍了省政府办公厅的动作。即收文、分办、办

理、呈送、核稿、审批、发文（对外发文）、督办、返谴、归档的全套模式。

广东省档案局石大泱处长讲授《加强机关档案工作、提高档案水平》。内容涉及以下三个方面：

（）《档案法》对机关档案工作的规定。重点指出行政部门形成的档案是国家档案的重要组组成部分。受国家重点保护；要求行政部门档案要集中统一管理，要维护档案完整。

（）档案工作与机关工作的联系。石处长指出档案工作是各项业务工作的一个基础，机关工作的过程、结果都客观地记在档案中。同时，档案材料也是加强机关管理的基础材料、是机关领导决策的重要参考、是开展机关各项研究工作的重要材料、是编史修志的第一手材料。

因此，机关部门应对档案工作给予高度的重视。

政府办公厅信息处罗展怀处长讲授《政务信息工作理

论与实践》。主要内容包括：

（）怎样看待信息工作。首先认识信息工作的特点：对

现实情况反映快、涉及社会经济的范围广、形式灵活。其次是了解信息工作的作用：是领导了解各方面工作的渠道，可以让领导掌握社会动态；是向领导同志汇报工作、扩大影响的经常性渠道；是反映问题和解决问题的一个途径；可以成为推动政府转变职能、转变工作作风的有力手段。

（）信息工作的具体内容。作为政务信息，包含了三个

层面：为上级领导服务；为本级领导服务；为下级领导服务。

二、培训心得

各级领导在培训班上的发言、授课，对办公室作为一切工作运转中心的重要地位给予了高度肯定，对今后更好地开展办公室各项工作提出了新的建议：

邱玲处长在如何提高财政公文质量的问题上提出在办公室的具体工作中，首先要深入学习年的新《办法》，严格按照新《办法》的各项规定进行公文写作，务求格式规范、内容严谨；

其次是要深入了解新《办法》中提出的“函”这一形式，相较于文件，“函”的灵活和运转的简便有助于减轻繁杂的办公室事务。一些重要性、紧急性低的内容应多用“函”的形式发出，以简便流程、减轻办公室的工作量。

冯宏梅处长在公文格式的问题上提出各级机关部门应严格把住公文的格式关，将格式上的错误降到最低点。

同时，冯处长也介绍了省政府办公厅的运作过程以供各级机关部门参考：①收文，由秘书处资料科收文，包括上级、同级、下级各方面的来文，分为阅卷和办卷来进行登记，分送承办的科室；②办理，由省政府办公厅综合一二处办理，收文后每人签收，按规定处理，将不符合要求的文退回，将不属于本处职权范围内的文再分送；③承送，报送领导审批；④核稿，是正式文件的核稿，领导审批完付印前由办公厅主任最后审核，再由秘书处审核一次，有原则性改动的重新审批，没有原则性改动的可付印；⑤发文，由发行科发文，电报则由省委机要局发出；⑥督办，对已发文进行事后监督，包括电话催办、领导上门等方式；⑦返谴，用领导批示回报表，复印领导批示，送达先阅先批者处；⑧归档，书面存档，方便以后查阅，将所涉及所有材料罗列。

此外，冯处长建议各级机关制作政务动态通报，将一天内重要领导批示，上访情况等整理制文，第二天放至领导处，以全领导全面掌握情况。

石大泱处长对档案工作提出了新的要求：首先是要对《档案法》进行深入学习，将《档案法》里的各项规定落实到各项具体的工作中；其次是认识到档案工作与机关工作的密切联系，在具体工作中加大对档案工作的重视；再次是提出办公室作为档案工作的领导，应如何在具体工作中加强它的领导作用。

罗展怀处长提出了做好信息上报工作的具体内容：首先，要保持良好的沟通交流渠道，其中又以人的沟通为主为重；其次是要把握上报住处的最基本的内容，这些内容包括重大的经济社会动态、突发事件、重要的工作部署、领导决策落实的情况、需要上级帮助解决的困难、上级要求上报的内容、领导批示的反馈等等；再次是要提高上报信息的针对性。这主要是指内容的针对性：考虑内容的重要性、综合性；介绍的经验是否先进和可借鉴性；反映的问题是否需要上级关注和帮助解决、提出的建议是否针对上级提出来的。

篇5

（一）加强信息安全管理

金融行业通过在互联网开展业务、提高管理效能、创新金融服务、开拓金融市场来扩大自身影响力，对防范和抵御来自互联网的信息安全威胁十分重视，而对来自内部的信息安全威胁却防范不足。尤其缺乏对内部人员信息安全意识的培养，在信息安全管理制度执行方面存在不足。调查显示，超过75%的信息系统泄密和恶意攻击事件都是由于内部人员疏忽和无意识泄密造成的，这是安全威胁不断升级的重要原因之一。此外，在利益驱动下，个别内部人员铤而走险，利用管理的疏漏主动发起的信息安全威胁更难防范。同时，信息安全不能只靠一些信息安全产品实现，安全产品和技术只是信息安全管理体系里的一小部分。只有在良好的信息安全管理基础上才能发挥作用，所以“三分技术，七分管理”是保障信息安全的基本原则。

（二）建立信息安全事件调查规范

怀疑发生信息安全事件后，要及时启动调查程序，而每个调查程序必须有一套基本的规范加以指导。通常从调查人员构成、调查时间紧迫程度、调查方案、保密范围以及需要采取的后续措施等方面逐一规定。在调查组成员的选配上，需要业务部门、技术部门、监督检查部门以至外聘专家共同组成；在时间要求上，第一时间开展调查能够防止重要信息被删除、篡改，争取得到第一手资料；在调查方案上，信息安全事件调查需要从业务操作、内部管理、技术原因等各方面开展调查；在保密要求上，需要对被检查单位和人员保密调查内容和调查方法，防止出现相关证据信息被人为隐瞒、销毁的情况；在调查评估上，信息安全事件发生后引起的严重影响，是否需要启动司法程序等作出规定。因此，建立一整套信息安全事件调查程序至关重要，主要是为了确保以下4个方面的内容。1．信息安全异常现象可以被检测出来并得到有效处理，尤其是确定是否需要将异常现象归类为信息安全事件。2．对已确定的信息安全事件进行评估，并以最恰当和最有效的方式作出响应。3．作为事件响应的一部分，通过恰当的防护措施，将信息安全事件对组织及其业务运行的负面影响降至最低。4．及时总结信息安全事件及其管理的经验教训，有效预防将来信息安全事件发生的频率，改进信息安全防护措施的实施和使用，同时全面改进信息安全事件管理方案。

（三）提高信息安全人员素质

除了建立信息安全管理制度并严格落实外，高素质的信息安全人员是信息安全保障体系的智力支撑。从IT行业越来越细的专业划分和日益复杂严重的信息安全威胁来看，信息安全管理俨然成为需要有更高专业素养的领域。信息安全管理人员需要掌握的知识结构包括信息安全保障基础知识、信息安全技术、信息安全管理、信息安全工程以及信息安全标准法规等。在技术领域需要掌握操作系统安全、防火墙、防病毒、入侵检测、密码技术和应用等安全技术知识；在管理方面要掌握信息安全管理和治理，并要具有开展风险评估、灾难恢复、应急响应所需相关知识和实践能力；在工程领域要有开展信息安全工程管理、咨询和监理的实践经验；在标准和法律法规领域，需要掌握国家信息安全相关的法律法规以及国内外信息安全相关的标准和实践经验。此外，一个合格的信息安全员不但要有不断更新自身知识结构的自主学习能力，还要具有高度的责任心和自律能力。因此，建立一支高素质的信息安全员队伍，是信息安全工作的重要保障。

（四）建立金融机构间协同调查机制

在广域网环境中，服务器、网络设备、安全监控系统在地理上是分散的，可能部署在不同层次的网络节点并分属不同的管理机构。由于网络的互通性，黑客经常会使用远程攻击或利用被侵入的主机作为跳板隐藏自身地址，入侵和攻击事件表面上发生在A地，但发起攻击的源头很可能在B地。如果要追踪攻击的源头，就需要收集所有关键服务器、网络节点的日志信息等，并将它们按一定的规律关联起来。例如这次事件的调查虽然不属于黑客攻击，但如果要找到登录终端，就需要调取商业银行、人民银行各级网络交换机、路由器、防火墙等设备的配置文件、日志文件，甚至是系统临时文件等。由于商业银行和人民银行之间没有建立相应的协同工作机制，调查组无法及时获取这些资料，所以也就无法通过IP地址找到登录终端，并通过登录终端找到查询人员。随着人民银行与金融机构间网络的互联互通，提供的服务项目增多，加上微小金融机构大量接入金融服务平台，出现此类信息安全事件的概率也会上升，需要各金融机构间共享关键信息并协助开展调查的事件也会越来越多，所以建立金融机构间信息安全事件协同调查机制至关重要。

（五）重视Web应用系统安全设计

篇6

关键词：个人；金融信息；保护；法律体系

一、个人金融信息泄露的原因

（一）法律体系不完善，个人金融信息的保护规定不健全。目前，我国尚未制定一部专门的个人信息保护法，发挥个人金融信息保护功能的主要是中国人民银行出台的《个人信用信息基础数据库管理暂行办法》（2005）、《关于银行业金融机构做好个人金融信息保护工作的通知》（2011），这些只是部门性德规章制度和政策文件，两者虽对个人金融信息收集、保存、使用等做了相应规定，但前者属效力层级较低的部门规章，且只针对信贷领域的个人信用信息，后者为规范性文件，在实际工作中不具备正式法的效力，执行能力不强。

（二）银行业金融机构对个人信息安全保护的重要性缺乏充分认识，对个人信息缺乏统一的保护机制。银行业金融机构对客户的个人信息安全保护认识不足，缺乏个人信息安全管理制度，对客户个人信息保密责任不明晰，没有对信息实行有效的安全等级分类管理；对制度的执行监督检查、评估不够，对掌握重要信息的离岗人员的保密责任没有严格的约束措施。目前个人金融信息保护的相关规定只是散见于银行各类业务的管理制度中，无法保证个人金融信息的采集、保管和追踪等各个环节工作的统一性。同时，银行各个业务部门中涉及个人金融信息，没有统一的联系和管理机制，个人金融信息在银行内部没有形成互通互联，这给信息保护带来很大难度，是个人信息保护中的漏洞所在。内部监督检查力度较弱，没有对个人信息保护的专项检查制度，将该类检查纳入常规性检查定期进行的机构比例较低。

（三）监管部门不明确，监管手段欠缺。目前，人民银行从征信管理的角度加强了对个人客户信息保护工作的力度，印发了《关于银行业金融机构做好个人金融信息保护工作的通知》（2011），尽管对个人金融信息收集、保存、使用、对外提供等做了全面的规定，但由于缺乏明确的法律依据，人民银行履行该项职能缺乏必要的监管手段。囿于效力层次，不能设立行政检查检查权和处罚权，人民银行对违反个人金融信息保护规定的金融机构只能采取“核实、约见谈话、责令整改、通报”等柔性处理措施，约束力较弱，保护力度受限，效果不明显。

（四）银行业金融机构缺乏对风险防范意识的宣传和教育，客户对于个人信息保护的意识不强。由于银行金融机构在营销产品的过程中，对产品可能存在的风险没有做到全面告知，客户对个人信息保护虽有一定认识，但对个人信息的重要性及个人信息保护制度的相关细节却普遍缺乏深入的了解，个人信息保护意识不高，风险防范意识较为薄弱。

二、加强保护个人金融信息的建议

（一）制定专门法规，为保护个人金融信息提供法律依据。个人信息的保护法规需要多层次、系统化的制度作为保证，形成协调统一的法律体系。首先要明确个人金融信息的定义，明确银行收集个人金融信息的目的和范围；其次，规定银行保护、使用个人金融信息的法定义务，即要求银行必须按照法定的方式、途径来收集、保存和使用个人金融信息，并履行一定的告知义务；再次，就是侵害个人金融信息的认定办法和救济途径作出明确规定。

（二）银行业金融机构要切实提高客户个人信息安全保护意识。金融机构要加强对个人金融信息的保护工作，完善个人信息系统的建设。对个人金融信息的收集、使用等各个环节做出明确的规定，并建立有效的制度对各个环节面临的风险进行有效的防范。同时，明确保密和管理职责权限，落实责任制，与在岗员工签订安全保密责任书，与离岗人员签订安全保密承诺书；强化监管和问责，定期对信息安全状况进行评估、审计和检查监督，及时发现和纠正工作中存在的隐患和漏洞；加强对员工尤其是新员工的信息安全教育培训，使员工了解信息安全管理的内容、规定以及信息安全管理的重要性，增强信息安全风险意识，防范道德风险。

篇7

关键词：征信系统；非银行信用信息；信息共享

中图分类号:F830.51文献标识码:B 文章编号:1007-4392(2008)05-0065-02

一、天津市征信系统建设情况

建立健全征信系统，是建立社会征信体系的重要基础工作。近几年来，天津市征信系统建设取得了一定进展。由市政府决策并投资建设的天津市企业信用信息系统已于2003年开通查询，目前该系统已经收录了500多万条企业信用信息，可供市政府和提供信息的政府部门查询使用；由人民银行建立的全国统一的企业和个人信用信息基础数据库已于2006年在天津市正式运行并开通查询，目前该系统收录了天津市6万多户借款企业和 700多万自然人的基本信息和银行信用交易信息，可供全市30多家金融机构查询使用，金融监督管理机构、司法部门及其他政府机构，根据相关法律、法规的规定，也可按规定的程序进行查询。

二、征信系统发挥的作用及存在的问题

天津市征信系统运行以来作用明显，主要体现在以下几个方面：一是有效防范了信用风险，提高了商业银行信贷资产质量。目前，几乎所有商业银行都把查询征信系统作为审查贷款的必经环节。通过查询征信系统，商业银行可以避免为靠骗贷过日子、恶意逃废债、信用状况不佳的借款人发放贷款，从而有效防范信贷风险。二是促进了信贷市场的发展，扩大了信贷范围。征信系统不仅有利于防止信贷欺诈，降低不良贷款比率，而且在提高审贷效率，方便广大企业、个人借贷，促进生产、消费等方面也发挥了重要作用。三是为加强金融监管和宏观调控，改善金融环境提供了条件。企业和个人征信系统，记录了企业和个人最原始的信贷情况和还款记录，依托该系统，按照不同的监管和宏观调控需要，可以对信贷市场的状况进行统计和分析，为有针对性地加强监管、实现货币和信贷政策的微调创造条件。四是提高了社会诚信水平。征信系统“失信惩戒机制”作用的发挥，逐渐改变着企业和个人的行为，一些借款人主动偿还拖欠的贷款，为避免出现不良记录，按时履行偿还贷款等合同义务。五是对社会稳定起到一定作用。实践证明，不少企业和个人具有过度负债的冲动，如果不加约束，可能造成企业和个人债务负担过重，影响企业和个人正常经营和生活，甚至引发社会问题。

目前，天津市征信系统的功能还没有得到充分发挥，主要表现在：一是人民银行全国统一的企业和个人信用信息基础数据库缺失金融机构以外的非银行信用信息，尚难满足金融机构全面评估客户信用状况的需要；二是天津市企业信用信息系统中的大量非银行信用信息尚未实现充分利用，其信用信息的社会价值有待挖掘。三是部门之间还存在信息分割问题，没有实现信用信息的充分共享利用。造成这些问题的主要原因包括：一是我国缺少信息公开方面的相关法律规范，一些政府部门在信息披露和共享方面仍然存在法律方面的顾虑，为避免出现法律纠纷，有些部门选择了不进行信息共享。二是部门间的信息共享机制尚未建立。企业和个人的定位信息和信用信息主要分散在不同的政府部门之间，而部门之间缺乏有效的信息共享、信息交换和信息更新机制，同时，部门之间的相互协调也比较困难。三是部分单位掌握信息的信息管理中心实行自收自支，如果将其共享，利益分配问题也不容忽视。

为实现信用数据资源与信用数据需求的连接，最大限度地发挥征信系统的社会价值，维护天津市金融稳定，推进社会信用体系建设，必须有效解决信息分割问题，畅通信息共享渠道，进一步增强征信系统的功能。

三、增强天津市征信系统功能的思路与建议

（一）构建信用信息共享机制，推动天津市征信系统的横向联结

征信系统涉及的信息主要包括基本信息、信贷信息和非银行信息三大类，其中非银行信用信息主要涉及工商、税务、劳动和社会保障、质量技术监督、环境保护、民政、公安、法院、房产、住房公积金管理、电信、公用事业等单位。目前，天津市的信贷信息和部分政府部门信用信息已经实现了部门内共享，但信贷信息和政府部门的非银行信用信息尚存在条块分割问题，信用数据必须进一步突破部门和行业的限制。建议市政府责成人民银行和天津市牵头部门，共同协调有关部门开放数据，构建信用信息共享机制。同时，为节约建设成本，避免重复投入，可以人民银行的企业和个人信用信息基础数据库为基础，整合信用信息资源，并提供信用信息服务。主要依据，一是人民银行履行着“管理信贷征信业，推动建立社会信用体系”的主要职能；二是人民银行已经有近十年的信用信息基础数据库建设和管理经验；三是与其他部门相比较，人民银行所掌握的信用信息安全性要求较高，也具有很强的针对性和系统性，而政府各部门在法律上可以公开的信息，是可以通过人民银行提供的信息平台实现披露和共享的；四是金融部门是信用信息最主要的应用者，人民银行已经建立了连接本地金融机构的金融城域网，通过该网络，信用信息可以直接延伸到金融机构的信贷业务网点，满足金融机构防范信贷风险的需要。基于上述考虑，以人民银行的征信系统为基础整合信用信息资源并建立信用信息披露的平台最具可行性，可以尽快实现信用信息为金融和天津市经济发展服务。部门间信用信息数据共享可以采取多种方式，对于已经建成的征信系统，可以通过专线网等方式进行横向连接，对于数据尚未集中的部门，可以通过存储介质报送、手工直接录入的方式实现信息归集和共享。

（二）畅通信息传输渠道，提高信用信息及网络资源的使用效率

现阶段，信用数据的需求主要集中在金融机构、政府部门、金融调控和监管机构。金融机构依据信用信息判断借款企业和个人的信用状况，防范信贷风险；政府部门和金融监管部门依法履行职责需要查询企业和个人的信用信息；金融宏观调控部门依据征信系统提供的信息，制定和实施货币政策。

考虑到信用信息保密程度的不同和现有的网络资源，信息需求方可以通过不同方式享受信息服务，查询信用信息系统：金融机构、金融调控和监管部门可以通过金融城域网采用在线查询方式。金融机构、金融调控和监管部门在正确登陆网络后，可以对数据库进行直接访问，查询相关的信用信息。政府部门可以采用离线查询方式。政府部门通过电子邮件、传真、电话等多种方式向征信系统提出信用信息需求，人民银行数据中心业务人员对征信系统进行操作查询，将查询结果以文件形式存储于磁盘、光盘等介质，或者直接打印输出，将查询结果返回给需求方。

篇8

（一）信息科技支撑不足，信息化战略风险凸显目前村镇银行支撑业务运转的信息科技建设与传统银行相比严重落后，难以保证其健康运行和快速发展，形成了村镇银行发展的战略风险。一是系统支撑能力不足。如漳平民泰村镇银行未加入当地人民银行大小额支付系统和财税库行横向联网系统，大量小微企业因无法进行开户代扣税等原因只能对其“望而却步”，目前该行某些业务须借助当地兴业银行的平台。二是漳平民泰村镇银行无法并入银联银行卡网络，无法提供网上银行服务等电子化服务渠道，因此直接“屏蔽”了许多客户的需求，难以适应农村信息化建设，满足深入推进和满足农民日益迫切的新兴电子化金融服务和产品的强烈需求。三是信息科技投入不足，一方面部分设备老化、性能较差，未达到重要设备及系统的双机备份要求；另一面专业科技人才稀缺，且技术水平和实践经验相对不足，难以胜任地方特色中间业务的开发运维任务。

（二）信息科技发展意识淡薄，治理架构不到位一是中小金融机构管理层目前关注点仍立足利润、收息、不良贷款等传统经济效益指标，对信息化建设的潜在效益重视不足，未形成有效的信息科技治理架构，科学性、规范性决策欠缺。二是系统运行稳定性、安全性较差，部分核心系统刚开发投入使用不久，需要经常进行补丁更新和升级，核心数据安全无法保障。数据备份周期过长、备份方式落后，备份介质存放环境差且未进行异地存放，有些核心数据完全依托发起行备份管理，如个人和企业征信业务存在数据泄密隐患。三是业务连续性风险隐患大。中小金融机构未建立专业的机房，科技设备及系统运行整体环境较差，管理人员为单人，业务中断风险严重。

（三）信息科技对外依赖性强，外包风险突出中小金融机构由于自身科技力量不足，信息化建设严重依赖外部，从系统开发上线到运行管理维护等各个环节都依赖发起行或外包公司的支持。在未与发起行或外包公司签订明确的服务水平协议的情况下，普遍缺乏对发起行或外包公司科技管理维护人员的有效制约机制。外包公司倒闭、服务响应时间长等外包风险都对银行信息化建设发展提出挑战。

（四）约束机制不到位，存在操作风险及案件隐患中小金融机构整体科技人员不足，各类约束制约机制不到位，在信息安全方面普遍存在操作风险及案件隐患。在银行只有1名兼职科技人员的情况下，信息科技运行中存在单人操作现象；同时，科技人员权限过大，数据备份、系统管理、安全管理等职责集于一身。如漳平民泰村镇银行的保卫监控室与计算机房合为一体，这都为操作风险及案件发生创造了可能性。

（五）信息安全指导和监管明显滞后与中小金融机构信息化高速发展相比，中小金融机构的信息安全指导和监管工作还需要进一步加强。首先，人民银行对中小金融机构信息安全工作的指导和协调职责，与银监部门监督检查内容重叠且标准不一，极易造成多头管理且口径要求不统一的问题，导致监管部门之间分工不明确，在缺乏有效的沟通和协调下，易造成中小金融机构间的误解。其次，中小金融机构与人民银行之间在信息安全方面缺乏交流机制，人民银行对中小金融机构信息安全措施是否符合规范缺乏了解，对中小金融机构信息安全工作缺乏指导，造成人民银行与中小金融机构在信息安全保障方面安全标准不对称的局面。

二、政策建议

中小金融机构的设立和发展，是推进金融深化改革，完善金融组织体系的必由之路。在此过程中，能否处理好信息科技与业务发展的关系至关重要，对此我们提出以下建议。

（一）立足长远，以科技驱动业务发展并提升管理水平中小金融机构应立足长远，在发展中树立科技先行的理念，不仅将信息科技作为支撑，而且把它作为引领业务实现跨越式发展并最终走向成熟的引擎，切实以科技驱动业务发展并提升管理水平。一是高管层应提高对信息科技的认识，理顺信息科技与业务发展的关系。二是加大人财物投人，长远、科学合理规划信息科技发展。三是在信息科技方面建章立制，加强执行力建设，以规矩成方圆。

（二）完善中小金融机构信息安全管理机制中小金融机构应建立和完善信息安全管理的组织架构，明确部门和岗位职责，形成分工合理、职责明确、相互制衡的信息安全组织架构；应制订符合总体业务发展的信息安全运行规划，确保配置足够的人力、物力、财力，维持稳定、安全的信息安全环境；应制订全面的信息安全管理策略，包括信息分级与保护、运行和维护、访问控制、物理安全、人员安全以及外包管理机制等；应强化运维体系建设，完善运维管理流程，明确运维管理标准，并且针对目前中小金融机构信息系统的开发、建设和运维依靠外包服务的趋势，应建立健全科技外包管理制度，积极防范外包服务风险，规范服务商的服务标准和流程；应建立持证上岗制度，加强中小金融机构信息安全工作人员培训，在信息安全岗位设置上要满足信息安全工作的需要，信息安全工作人员应考取相关上岗资格证后方能上岗；应建立信息安全考核评价机制和奖惩制度，出台考核办法，并对信息安全工作进行评价，有效落实信息安全责任制和问责制。

（三）引导中小金融机构加强等级保护工作金融信息安全体系的构建必须建立在风险评估的基础上。信息安全等级保护能够有效提高信息以及金融信息安全体系建设的整体水平，为金融信息安全体系的构建提供系统性、针对性、可行性的指导和服务，有效控制信息安全建设成本，优化信息安全资源的配置。一是根据《信息安全等级保护管理办法》和《金融行业信息系统信息安全等级保护实施指引》，加大中小金融机构等级保护工作的开展力度，做好等级保护评估工作。二是当地人民银行应根据中小金融机构的特点，建立切实可行的中小金融机构信息安全等级保护标准和监管措施，对中小金融机构的系统风险和操作风险进行分类，对其信息系统安全定级过程与结果进行审核监督。三是人民银行应与公安部门、金融监管部门建立协调检查机制，适时组织对中小金融机构等级保护工作开展情况进行检查，加强信息安全等级保护制度在中小金融机构中的有效落实。

篇9

区域信息生态系统是一个具有多样性、复杂性的有机系统。近几年来，我国许多区域的信息污染、信息垄断、信息超载、信息孤岛、信息侵犯、网络安全等问题较为严重。加深对区域信息生态系统及服务体系的研究，有利于其保持良性运行，也有助于信息生产和消费之间的平衡，完善媒体信息资源公益性开发机制。

区域信息生态系统概念模型

区域信息生态系统是一个在某一地区信息生态循环中，由信息人、信息和信息环境三大要素及其内部各生态因子组成的动态而开放的系统。其中，信息人不仅包括参与信息活动的单个个体，也包括从事信息工作的政府、媒体机构、民间团体、行业协会、社区等，这是信息生态系统的核心。其参与信息活动是使生态系统维持“平衡失衡平衡”螺旋式上升的主导力量。信息主要指区域内所有的数据资源，也包括与之相关的区域外信息资源，其具有价值性、时效性、传递性、可处理性、服务性、共享性、增值性等特征。信息环境涵盖信息基础设施、信息资源、信息技术、信息政策与法规等，其中，信息技术是获取、传递、处理、存储、再生和利用信息的主导因子，包括计算机技术、网络技术、通信技术、感测技术、自动控制技术、数据库技术和多媒体技术，以及由这些技术分解出的其他相关技术。区域信息生态系统内部各生态因子之间相互联系、相互作用、相互依存、共生共进。在系统中，信息人、信息与信息环境之间存在着动态的相互适应过程，持续的动态适应过程维持着系统的有序平衡。

基于上述认知，本课题建立了区域信息生态系统的概念模型（如下页图1）。

在系统中，信息人是生态的主体，信息资源是生态的客体，信息环境不仅是生态的背景和场所，而且是所有与信息相互关联的外部因素之和。信息人从其所处的信息环境中获取与利用信息资源，又发挥自己的能动性通过实践活动改造信息环境，从而实现不断变化的目标。事实上，信息社会是以信息的收集、开发、传播、利用为主要特征的，信息作用的发挥必须借助于信息技术，同时也由于信息技术的进步促进信息生态系统的改善。信息人通过一定的信息技术与外界信息环境之间进行信息交换，构成了一个信息生态循环。

区域信息生态系统服务体系构建

本课题构建的区域信息生态系统服务体系框架，包括四大平台和两大体系（如图2）。

四大平台包括：1.数字政府。改革政府行政管理方式，建设统一的政务网络平台。通过网上审批、网上审计、网上、网上监督考核等多种信息技术手段，降低行政成本，提高行政效能，实现网上互动；建设完善一批重点业务下台，并将以传统载体保存的政务信息资源数字化、网络化。2.数字企业。以建设区域先进制造业基地为目标，加快信息化带动工业化，提升产业集群、企业及产品信息化水平，加强自主创新，掌握信息化核心技术，从而促进企业生产经营和管理方式变革。3.数字城市。围绕着如何提高城市综合管理能力和公共服务水平这个目标，完善城市信息基础设施建设，发展技术含量高、关联度大的现代服务行业，促进政府公共管理、社会公共服务和便民商业服务的融合。同时注重数字图书馆建设。4.数字新农村。为了增强服务“三农”的能力，在农村建立信息网络服务体系，加快现代农业信息技术应用，并积极开展农业信息技术培训服务，不断提高农民信息应用技能，切实加强农户、农村合作社与企业的联系，促进农产品的销售、深加工，提高农民收入。

两大体系包括：1.信息安全体系。在各级政府有关部门的统一领导下，根据国家有关信息安全的法律法规，建立起信息安全监管机制及其保障体系。有关人员要提高对电子政务、电子商务、信息资源开发利用、信息服务、信息市场、资源共享等方面的安全风险管控能力，强化等级保护和风险评估，使得信息安全管理更加科学有效。2.社会诚信体系。建立涉及社会诸多领域的信用信息记录、信用产品使用、守信受益及失信惩戒的信用制度，形成各部门协同推进、社会和企业广泛参与的诚信工作格局；诚信体系覆盖信用服务产业链各个环节，包括社会信用制度建设、信用服务体系建设、个人信用联合征信系统、企业联合征信系统和信用服务行业协会等。

篇10

〔关键词〕供应链系统；情报泄密；机理；信息安全；反竞争情报

〔Abstract〕The paper，from the perspective of the counterintelligence technical support system，constructed the supply chain information security system model from such five parts as the information security decision center，the information security counterintelligence center，the network counterintelligence system supported by the honeynet technology，the human intelligence network system and the integrated supply chain information system；combed the security hidden danger of information security system in supply chain；and explored the path of the supply chain system information leakage to find that the ineffective supervision of information security governance process caused the leakage of supply chain system information，information security policy management lags behind the information security needs of the supply chain system，the feature of the double edged sword of the honeynet technology threatened the security of the network countercompetitive intelligence system，the human intelligence network with high maintenance cost and the regulatory difficulties had become the supply chain system security short board，and the security vulnerabilities of integrated information system in supply chain was the basis of competitive intelligence.

〔Key words〕supply chain system；information leakage；mechanism；information security；counterintelligence

S着网络和信息技术的发展，闭环的企业内部信息管理模式逐步为开放的供应链集成化信息管理模式所取代。当供应链成员通过开放的互联网来实现远程交互访问、进行信息共享时，这种开放的网络系统给需要高度保密的敏感情报如企业内部的生产、销售订单、合作企业的生产进度、企业间的资金转帐、招投标信息等，带来了很多安全隐患，从而威胁到整个供应链系统的信息安全。Sindhuja P N和Anand SKunnathur建议从管理控制的角度看，有必要对全球供应链中的各类组织的信息安全纪律进行全覆盖[1]；Ramesh Kolluru和Paul HMeredith发现供应链合作伙伴之间的不同类型的数据共享需求需要不同层次的安全性[2]；Peter Finch指出当公司暴露于组织间网络时，开展风险评估以及需要考虑业务连续性规划的重要性[3]；Zachary Williams等人通过定性研究，发现存在4个主要的供应链安全的驱动因素，即政府、顾客、竞争者和社会[4]；蒋鲁宁认为信息安全供应链的安全涉及4个方面，即信息安全供给基础、信息安全产品（包括信息安全服务）过程，信息安全能力形成过程以及对这些过程的安全确认[5]；刘丹则认为供应链信息系统的安全涉及从粗到细的4个层面：系统级安全、程序资源访问控制安全、功能性安全和数据域安全[6]；齐源选择了信息共享内容风险、委托-风险、管理风险、成本增加风险以及技术风险等5大预警指标，构建了基于第三方及GAHP的供应链信息共享风险预警系统[7]；董绍辉等认为，供应链信息泄露的途径包括供应链上游企业、下游企业、独立第三方以及供应链管理系统等4个方面[8]；宋伟等提出通过接入中间件，在内、外系统之间进行必要的安全隔离，从而提高整个供应链协同系统的鲁棒性和抗攻击能力[9]；李剑锋等提出了由信息安全治理、信息安全管理、基础安全服务和架构、第三方信息安全服务与认证机构和供应链信息安全技术标准体系5个部分构成的供应链信息安全体系框架[10]。上述研究表明，虽然国内外学者对于供应链系统的信息安全问题高度关注，从供应链信息安全的内容、影响因素、风险评估、泄密途径、体系框架到防范措施等方面都作了较为深入的研究，但是在供应链信息安全系统的泄密源排查、泄密原因分析、泄密路径梳理等问题上缺乏深入的研究。本文拟从供应链反竞争情报技术系统视角构建供应链信息安全系统模型，站在竞争对手的立场上审视供应链信息安全系统存在的安全隐患，进而研究供应链系统情报为何泄密、如何泄密、怎样泄密的内在机理，促使供应链系统各参与方高度重视情报泄密的防控问题，避免或减少敏感信息情报的泄密。

1反竞争情报技术系统视角的供应链信息安全系统模型的构建供应链信息安全系统的构建应重点研究敌意侵害方的竞争情报系统，梳理出供应链系统可能存在的信息安全隐患，从反竞争情报技术系统视角来构建供应链信息安全系统模型。一般而言，敌意侵害方的一个完善的竞争情报系统由竞争情报中心以及组织网络、人际网络和信息网络组成[11]的“一中心三W络”的组织构架。竞争情报中心是整个竞争情报工作的中枢，它是为企业竞争情报决策提供信息资源支持；组织网络是企业竞争情报工作的平台，它保障了竞争情报系统的协调一致；人际网络是企业竞争情报重要的隐性情报源，它是收集、分析情报乃至影响对手决策的一个有效路径；信息网络涉及企业的内网与外网平台，通过管理信息系统整合与完善企业的竞争情报功能[12]。因此，供应链信息安全系统的构建应充分考虑敌意侵害方的“一中心三网络”的竞争情报系统组织构架，科学设计自身的信息安全系统。研究认为，供应链信息安全系统应由5部分组成，即信息安全决策中心、信息安全反竞争情报中心、供应链集成化信息系统、蜜网技术支持的网络反竞争情报系统、人际情报网络系统，如图1所示。

11信息安全决策中心

信息安全决策中心是供应链信息安全系统的中枢，统筹协调涉及供应链系统信息安全治理的重大问题；研究制定供应链系统信息安全发展战略、总体规划和重大信息安全政策的协调；推动供应链系统信息安全的制度化建设，不断增强供应链系统信息安全治理能力。

信息安全决策中心接收来自信息安全反竞争情报中心的经过处理的各类信息情报，作为信息安全决策的基础和依据。同时，信息安全决策中心制定的信息安全战略、总体规划和重大信息安全政策等经由信息安全反竞争情报中心具体化为信息安全战术决策，作为信息安全反竞争情报中心各子系统行动的指南。

12信息安全反竞争情报中心

反竞争情报中心是企业反竞争情报技术支持系统的中枢，由反竞争情报收集子系统、反竞争情报分析子系统和反竞争情报服务子系统等3部分组成，负责供应链信息安全系统的安全管理工作，如图2所示。

反竞争情报中心对来自蜜网技术支持的网络反竞争情报系统和人际情报网络的各类信息进行收集、整理、分析，进而实施相应的信息安全策略管理：对可能引起安全事件的关键信息及其来源开展危害性评估并发出危机预警；对已造成实质性危害的信息安全事件作出应急响应，堵塞信息安全漏洞，努力减轻信息安全事件对供应链系统造成的损失；对信息安全方面的例外问题，及时上报信息安全决策中心，由高层决策者们进行非程序化决策。

13蜜网技术支持的网络反竞争情报系统

近年来，作为一种新型防御技术出现的蜜网（Honeynet）在检测、捕获和控制网络攻击方面具有独特的优势。蜜网由数据流重定向器与蜜网环境两部分组成的，该网络置于防火墙系统之后，所有进出网络的数据都会通过这里，并可以捕获控制这些数据[13]，如图3所示。蜜网（Honeynet）包含一个或多个蜜罐（Honey Pot），这种蜜罐（Honey Pot）是专门用来吸引敌意入侵者进行攻击的陷阱。当入侵者试图针对供应链节点企业开展竞争情报活动时，往往直奔企业需要高度保密的敏感情报如企业内部的生产、销售订单、合作企业的生产进度、企业间的资金转帐、招投标信息等，而蜜网（Honeynet）中的网络应用程序恰恰以这些敏感情报来命名，这样入侵者就会立刻现行。反竞争情报中心就可以根据这些被捕获的资料来分析判断入侵者所使用的工具、方法及动机，进而建议信息安全决策中心采取反制措施。

14人际情报网络系统

人际情报网络系统是应情报活动的需要而构建的一种人际网络，是情报从业者获取、分析和传播非公开信息和隐性知识的重要平台[14]。供应链信息安全系统的人际情报网络分为节点企业外部人际情报网络和节点企业内部人际情报网络，如图4所示。

节点企业外部人际情报网络主要包括供应商、分销商、包括中介机构、行业协会、物流服务企业、消费者组织、新闻记者等在内的第三方机构、竞争对手、最终消费者等，节点企业内部人际情报网络主要由企业内部各层级的管理人员和各部门的员工组成。

15供应链集成化信息系统

供应链集成化信息系统是各节点企业内部供应链与外部合作伙伴（如供应商、分销商、中介机构以及行业协会、消费者组织、新闻记者等第三方机构）集成起来的一个供应网链，是整个供应链信息安全系统的基础信息平台。供应链各节点通过高速数据专用线连接到Internet骨干网中，通过路由器与自己的Intranet相连，再由Intranet内主机或服务器为其内部各部门提供存取服务，如图5所示。

供应链集成化信息系统是升级版的企业间信息系统，为企业内部的信息系统提供与外部供应链各节点的很好的接口，它实现了供应链合作伙伴间的信息交互与信息共享，消除了企业间传统的信息隔离状态。除信息集成外，供应链集成化信息系统还可以通过竞争情报的检测，筛选出数据流中的竞争情报信息流，将正常业务流与竞争情报信息流分开，从而实现了供应链信息系统的功能集成。

2供应链信息安全系统的安全隐患梳理

21信息安全决策中心安全隐患梳理

作为整个供应链信息安全系统的中枢，信息安全决策中心一旦发生泄密事件，必将对供应链系统信息安全治理工作带来重大安全隐患。信息安全决策中心可能存在的安全隐患大体涉及高管泄密以及信息安全治理过程中的情报泄密两个方面。信息安全决策中心的高管泄密专指参与供应链系统信息安全治理工作的高管恶意或非恶意地泄露涉及供应链系统信息安全治理问题的决策信息。恶意泄密往往发生在对公司不满或有预谋离职的高管身上，非恶意泄露往往因为缺乏责任心、安全防范意识淡薄、公司对高管的放任等原因造成的。

信息安全治理过程中的情报泄密可能发生在信息安全决策中心制定信息安全战略、总体规划和重大信息安全政策等的酝酿、起草、征询意见、方案评估、方案试行前的各个阶段。因为时间跨度长、涉及面广、牵涉人员多等原因，信息安全治理过程中的情报泄密问题更加难以控制。

22信息安全反竞争情报中心安全隐患梳理

信息安全反竞争情报中心的安全隐患主要源于反竞争情报收集子系统、反竞争情报分析子系统和反竞争情报服务子系统之间业务上的协调不够以及各自功能的发挥不够充分。具体表现为：其一，信息安全反竞争情报中心各子系统的协调不够，导致信息的收集、整理、分析、存储以及上报不够及时；其二，反竞争情报收集子系统忽视了可能引起安全事件的P键信息；第三，反竞争情报分析子系统对可能引起安全事件的关键信息及其来源的危害性认识不足；第四，反竞争情报服务子系统未能及时就信息安全方面的例外问题上报信息安全决策中心。

23蜜网技术支持的网络反竞争情报系统安全隐患梳理蜜网技术的应用使得网络反竞争情报系统在收集敌意侵害方的攻击信息、保护供应链信息系统情报、发现内网中可能存在的安全漏洞等方面具有重要作用，但同时蜜网技术是一把双刃剑，也会给网络反竞争情报系统带来安全隐患：其一，使网络反竞争情报系统遭受更多的攻击，交互的程度越高，模拟得越像，供应链系统陷入危险的概率就越大；其二，模拟服务的软件存在问题，也会产生新的漏洞；其三，敌意侵害方若取得Root权限，便可以自由存取目标机上的数据，然后利用已有资源继续攻击其它机器；第四，虚拟蜜网的引入使得架设蜜网的代价大幅降低，便于部署和管理，但同时也带来更大的风险，敌意侵害方有可能识别出虚拟操作系统软件的指纹，也可能攻破虚拟操作系统软件从而获得整个蜜网的控制权。

24人际情报网络系统安全隐患梳理

随着供应链共享信息平台的建设以及信息交互、信息共享水平的不断提升，人际情报网络系统的安全隐患问题愈加突出：首先，供应链共享信息平台为供应链节点企业外部人际情报网络和节点企业内部人际情报网络提供了功能强大的信息沟通平台，网络虚拟空间中的复杂人际关系增添了信息情报泄露的可能；其次，敌意竞争情报方可以利用共享信息平台中的人际情报网络，绕开供应链系统的防火墙，进入专用网络内部，更便于其竞争情报工作的开展；再者，传统的人际情报网络泄密仍然在发挥其独特的作用，敌意竞争情报方可以利用接待或访问节点企业、欺骗、引诱和拉拢节点企业关键岗位人员及关联人员、通过关联第三方等渠道，获取供应链系统的敏感信息情报。

25供应链集成化信息系统安全隐患梳理

供应链集成化信息系统在实现供应链合作伙伴间的信息交互与信息共享的同时，也为敌意侵害方的竞争情报工作提供了机会。供应链集成化信息系统安全隐患可能存在以下3个环节中：其一，敌意侵害方成功地避开了供应链集成化信息系统的竞争情报检测；其二，数据流重定向器未能筛选出数据流中的竞争情报信息流，将竞争情报信息流误认为正常业务流；其三，Intranet内主机或服务器为竞争情报方提供信息存取服务，就会造成供应链系统关键信息情报的泄密。

3供应链系统情报泄密的路径分析

31信息安全治理过程监管不力造成供应链系统情报泄密信息安全决策中心安全隐患之一在于信息安全治理过程中的情报泄密。由于情报泄密可能发生在信息安全决策中心制定信息安全战略、总体规划和重大信息安全政策等的酝酿、起草、征询意见、方案评估、方案试行前的各个阶段，因此，信息安全治理工作需要统筹规划，点面结合，齐抓共管。既要制定好信息安全治理工作的总体预案，又要有分阶段的详细应对计划。对参与信息安全治理工作的部门和人员（包括高管在内）实行全流程、全员备案制，从制度上堵塞安全漏洞。

32信息安全策略管理工作滞后于供应链系统信息安全的需要信息安全反竞争情报中心的安全隐患主要源于信息安全策略管理工作不能满足供应链系统信息安全的需要。具体表现为：信息安全反竞争情报中心组织协调工作不够，各子系统不能形成合力，导致信息安全管理工作滞后；对可能引起安全事件的关键信息及其来源的危害性认识不足，未能及时发出危机预警信号；对已造成实质性危害的信息安全事件未能作出及时响应或应对措施不得力，未能及时堵塞信息安全漏洞，造成信息安全事件对供应链系统损失的扩大；对信息安全方面的例外问题，未能及时上报信息安全决策中心，延缓了高层决策者们非程序化决策工作的开展，以致高层决策者们不能及时调动整个供应链资源来消除信息安全危害。