信息安全管理办法范文

时间:2023-10-09 17:12:02

导语:如何才能写好一篇信息安全管理办法,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

信息安全管理办法

篇1

【关键词】信息与通信工程;安全管理;施工现场

1.信息通信工程安全管理理念

信息通信工程是人们日常生活中不可缺少的一部分,同样也是国家政治、军事以及企业运行中不可或缺的,所以它的安全管理在使用中显得尤为重要。所以,它在我国社会发展中起着重要的作用。信息通信工程安全管理一般是指在信息通信工程安全建设中所涉及到的有关问题,例如建设主管部门安全问题、建设主体安全问题、安全生产企业管理问题等,所以,在信息通信工程管理建设中,安全是发展中的首要问题。

2.通信工程安全管理的重要性

2.1促进安全生产保证机制的形成

对信息通信工程实行安全管理制度,可以提高施工人员在工作中的安全意识,同时也会引起企业其他部门的争相效仿,进而使整个单位企业都对安全施工有了新的认识,促进了政府、施工企业以及监理单位等监管体系的有效协作,更加促进安全生产保障机制形成,为施工人员作业安全提供保障。

2.2提高信息通信工程安全生产水平

政府、施工企业以及监理单位等监管体系的有效协作,即政府安全生产监管、施工单位的安全控制以及监理单位建立的有效协作,充分发挥了有效的市场监管作用,政府在信息通信工程的调解中发现了市场监管存在的不足,监理单位的调控使得信息通信的安全生产在一定程度上得到治理。施工单位一定要对施工人员制作好安全防护制度,如果施工单位仍有存在不足的地方,施工人员也可提出安全要求进行整改,只有政府、施工企业以及监理单位相互协作,安全生产水平才能得到整体提高,才能保证自身和他人的生命财产安全。

2.3有利于实现通信工程建设投资效益最大化

在信息通信安全管理办法实施以后,企业管理人员发现施工人员对工程监督得到了加强,也开始修复在施工过程中出现的漏洞,安全施工得到很大程度的完善。这种做法不但在一定程度上避免了施工中安全事故的发生,同时也提高了信息通信工程的质量保证,使得企业的建设投资得到正激励提高,实现了工程建设投资效益最大化。

3.强化通信工程安全管理的有效对策

3.1重视对施工人员的教育

作为施工人员,在进入企业时,企业负责人就必须向施工人员讲述安全施工管理的重要性,提高施工人员的综合素质,并在企业发展工程中定期对施工人员加强安全施工的引导,增强施工人员的职业安全素质,提高施工人员在去年全市共中的重视力度。因为信息通信工程的建设不是儿戏,它涉及到施工人员的生命安全,不能一概而论,更不能走形式主义,必须毫不松懈传输安全教育。

3.2提高员工责任心

在施工过程中要保证信息通信工程建设管理的安全质量,施工人员在现场施工中一定要树立强烈的责任心,要从实际出发,制定出关于施工安全的管理办法。施工人员要结合实际总结出施工时产生的状况、管理中产生的状况以及施工人员在安全方面的管理措施,提高工程中管理人员的整体素质,并把管理中的每个细节都落实到位。严格的控制并划分出每个责任人负责的区域,若今后在信息通信工程中出现问题,避免责任人相互推卸责任。

3.3确保建设安全中资金的有效投入

在信息通信工程建设施工过程中,管理人员往往只重视施工的高效性,却对安全施工不够重视,由于对安全资金的投入不足或者不到位,在施工过程中很容易发生不确定性事故。所以,在施工之前,管理人员必须罗列出安全措施的详细计划单,保证在安全管理中安全专款的适用范围。在安全投入费用中,监理单位也必须对其进行单独开支,保证监理单位对工程监理负责的积极性,可以在这种基础上实行安全生产奖罚制度,促进员工进行有效安全措施。

3.4建立安全管理规章制度

我国企业对每项工程都会制定不同的安全管理办法,并且我们质量安全监督局会对施工现场进行勘测和检查,并签订《安全生产管理计划书》,最大程度的把安全责任落实到位。在施工现场,企业要对安全施工和安全生产做好宣传,弘扬安全生产的信心,把安全施工大标题张贴在醒目的位置,最好切实有效的安全工作职责运行,若在施工现场出现问题,一定要认真分析出现问题的原因,找到可以解决的方案,切忌乱动施工现场,防止出现混乱。

结束语

随着我国信息通信工程技术的飞速发展,其安全管理办法的实施研究不仅是我国信息保障得到安全运用,同时在一定程度上也保障了通信施工人员的人身安全,对以后信息安全保障起到非常重要的作用。在信息通信安全管理中,要注重对工作人员安全素质的培养,重用高科技专业发展人才,提高人员安全保护意识。并且重视对安全管理人员的管理进行创新,加强安全管理理念,保证技术工程的顺利进行。

参考文献

[1] 戴凯.通信工程安全管理办法研究[J].中国新通信,2014,(7).

[2] 黄云龙.通信工程安全管理探析[J].企业改革与管理,2014,(5).

[3] 李刚.论通信工程安全管理的对策[J].中国化工贸易 ,2013,(10):68-68.

篇2

第一条 为加强证券期货业信息安全保障工作的组织协调,建立、健全信息安全管理制度和运行机制,提高行业信息安全保障工作水平,切实保护投资者合法权益,根据国家有关法律、法规和相关规定,制定本办法。

第二条本办法适用于证券期货市场的监管机构、行业自律组织及经营机构。监管机构为中国证券监督管理委员会(以下简称“中国证监会”);行业自律组织包括证券、期货交易所及其通信公司,证券登记结算公司、中国证券业协会和中国期货业协会;经营机构包括证券、期货公司,基金管理公司及证券、期货投资咨询公司。

第二章 安全职责划分

第三条 中国证监会负责证券期货行业信息安全保障工作的监督管理及组织协调。

第四条 证券、期货交易所及其通信公司,登记结算公司,证券、期货公司,基金管理公司,证券、期货投资咨询公司等是各自信息系统安全运营管理的责任主体单位(以下简称“主体单位”)。

第五条证券交易所负责证券交易、信息及市场监管信息系统的安全运营。证券通信公司受证券交易所及证券登记结算公司、经营机构的委托,负责通信系统的安全运营,保障交易、结算等业务数据的及时安全传送。期货交易所负责期货交易和结算处理、信息、市场监管信息系统及通信系统的安全运营。

第六条 证券登记结算公司负责证券登记、结算业务信息系统的安全运营。

第七条 中国证券业协会负责证券公司、基金管理公司、证券投资咨询公司等会员单位信息安全保障的组织、协调工作。

中国期货业协会负责期货公司、期货投资咨询公司等会员单位信息安全保障的组织、协调工作。

第八条 证券、期货公司,基金管理公司及证券、期货投资咨询公司负责总部及下属经营机构信息系统的安全运营。

第三章 安全目标与基本原则

第九条 信息安全保障工作的总体目标是确保信息和信息系统的完整性、保密性、可用性、时效性、可审查性和可控性,切实保护市场参与各方的合法权益,促进证券期货市场的持续、稳定、健康发展。

第十条 信息安全保障工作的具体目标是:

(一) 保护证券期货业信息系统的物理环境、设备设施和运行环境,保证信息系统的环境安全;

(二) 确保信息内容的合法性,保护信息在采集、传输、使用和存储过程中的保密性、完整性、可用性、时效性、可审查性和可控性,保证信息的安全;

(三) 提高证券期货业人员的信息安全意识、安全专业素质以及安全管理与服务水平;

(四) 提高信息系统的可用率和灾难恢复能力,为业务的可持续性运行提供保障。

第十一条 信息安全保障工作应遵循以下基本原则:

(一) 责任制原则:安全管理应做到“谁主管,谁负责”、“谁运营,谁负责”,注重以法律手段明确与他方的责任关系,通过契约、协调等方式与他方进行责任划分,明确进行风险转移,通过责任主体制约他方。

(二) 规范化原则:遵循国内、国际的信息安全标准及行业规范,对信息系统实行等级保护。

(三) 全面统筹原则:信息安全保障工作应贯穿于信息化全过程,坚持统筹规划、突出重点,安全与发展并进,管理与技术并重,应急防御与长效机制相结合。

(四) 实用性原则:在确保信息系统性能和安全的前提下,充分利用资源,讲究实效,避免重复和盲目投资,积极采用国家法律法规允许的、成熟的先进技术和专业安全服务,运用科学的经营管理方法,降低成本,保障安全运行。

第四章 安全保障要求

第十二条 主体单位应建立以安全组织体系为核心、安全管理体系为保障、安全技术体系为支撑的全面信息安全体系,保持三个体系稳定、均衡发展。

第十三条 主体单位应建立明确的信息安全组织体系:

(一) 建立决策层、管理层和执行层三层工作关系,明确信息安全主管领导,落实信息安全管理部门,指定信息安全执行岗位;

(二) 设立专职的安全管理员和安全审计员岗位,分别负责信息安全工作的实施和审计;

(三) 通过多种安全培训方式加强信息安全人才队伍的建设,提高信息安全工作人员的技能水平,提高员工安全意识。

第十四条 主体单位应建立全面的信息安全管理体系:

(一) 制定统一的信息安全策略和全面、可操作的信息安全管理制度,指导和规范信息系统的安全规划与建设,确保策略和制度得到恰当的理解并得到有效的遵循和执行;

(二) 加强信息系统资产安全管理,保护信息系统设备、软件、数据和技术文档的安全,实行信息系统资产管理责任制,实现等级管理、密级管理,重点保护核心信息系统资产的安全;

(三) 强化信息系统的物理安全保护,执行严格的机房安全管理、环境安全管理和有效的物理控制措施;

(四) 建立信息系统网络、系统、应用等各层面的安全管理流程,实现对信息系统规划、建设、运行、维护各个阶段的安全管理,开发与运营独立管理,严格执行日常的实时管理和定期管理工作;

(五) 实现对信息系统的安全风险管理,对信息资产、威胁和脆弱性的状况进行定期评估,及时发现安全隐患并进行预防性的保护,选择适用、有效的安全措施。

第十五条 主体单位应建立有效的信息安全技术体系:

(一) 建立完善的安全预警体系,及时发现安全隐患;

(二) 强化现有的安全防护体系,实现对核心业务系统的重点保护;

(三) 建立有效的安全监控体系,监控核心业务系统,为进一步完善信息安全体系提供决策依据;

(四) 建立全面的应急响应体系,制定规范、完整的应急处理和响应流程,定期进行应急恢复的演练和测试,完善信息安全通报机制;

(五) 按照不同的安全保护等级建立相应的灾难恢复体系,定期进行灾难恢复的演练和测试,确保灾难发生后能够充分发挥备份的效能,降低造成的影响和损失。

第五章 附 则

第十六条 中国证监会对证券期货业信息系统安全保障情况组织安全检查,检查方式包括自检查、委托检查等方式。

篇3

【关键词】安全等级;四级;TDCS;接入安全

1 TDCS与《信息安全等级保护管理办法》中四级基本要求的差距

1.1 四级基本要求介绍

《信息安全等级保护管理办法》中四级的基本要求有2大方面即管理要求与技术要求。

1.1.1 管理要求

该部分分为5个方面:安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。

1.1.2 技术要求

要求分为5个方面:物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复。下面就这5个方面进行简单介绍。

1)物理安全

规定了系统设备的物理环境,避免常见自然或人为灾害的影响。

2)网络安全

结构安全:规定了结构上要保证冗余并根据职能和重要性进行网段划分,通道上要保证访问路径的安全和带宽,边界上保证与其它网络的可靠隔离。

访问控制:边界上要部署访问流量的控制设备,进行访问控制;内部严禁开通远程拨号功能。

安全审计:集中审计运行情况、流量、用户行为,便于分析问题以及数据恢复。

入侵防范:监测网络边界的攻击行为,并定位记录和即时报警。

恶意代码防范:在内部及时更新防范的代码库,在边界要做到检测和清除恶意代码。

3)主机安全

规定了身份鉴别、安全标记、访问控制、可信路径、安全审计、信息保护、入侵防范、恶意代码防范及资源控制。

4)应用安全

规定了身份鉴别、安全标记、访问控制、可信路径、安全审计、信息保护、通信的完整性和保密性、软件容错、资源控制、抗抵赖。

5)数据安全及备份恢复

规定了数据的完整性和保密性,以及备份数据的恢复。

1.2 TDCS现状与四级差距

目前TDCS网络安全建设相对于《国家信息安全等级保护管理办法》中4 级《信息系统安全等级保护基本要求》还存在着巨大的差距,其中如接入安全控制系统、指纹认证系统、网络安全审计和IT资源集中安全管理等重要网络安全子系统目前仍是空白,具体防护差距请见表1。

2 几种网络安全技术介绍

2.1 接入安全控制系统

接入安全控制系统是内网安全管理的重要组成部分,部署在企业的内部网络中,可以保护内部计算机免受外来终端的危害,可禁止重要信息通过外设和USB 等端口泄漏,防范非法设备接入内网等。

2.1.1 外设与接口管理

外设与接口管理主要对内网终端计算机上的各种外设和接口进行管理。可以对内网终端计算机上的各种外设和接口设置禁用,防止用户非法使用。

2)本表严格依据国家《信息安全等级保护管理办法》中4 级《信息系统安全等级保护基本要求》起草,表中8.x.x.x 编号为《基本要求》文件中实际编号.

1)存储设备禁用

除了网络外,另一个最可能带来病毒入侵的方式就是存储设备了。内网安全控制系统可以禁止如下存储设备的使用:软驱、光驱、存储设备、移动硬盘等。

2)设置移动存储设备只读

内网安全控制系统可以设置将移动存储设备置于只读状态,不允许用户修改或者写入。

2.1.2 安全接入管理

1)在线主机监测可以通过监听和主动探测等方式检测网络中所有在线的主机,并判别在线主机是否是经过内网安全控制系统授权认证的信任主机。

2)主机授权认证

很多的计算机被病毒入侵,主要原因是自身的健壮性与否造成的。根据这种情况,内网安全控制系统提供了网络授权认证功能。内网安全控制系统可以通过识别在线主机是否安装客户端程序,并结合客户端报告的主机补丁安装情况,反病毒程序安装和工作情况等信息,进行网络的授权认证,只允许通过授权认证的主机使用网络资源。

3)非法主机网络阻断

对于探测到的非法主机,内网安全控制系统可以主动阻止其访问任何网络资源,从而保证非法主机不对网络产生影响。

3 结束语

可以想像,未来的TDCS系统,应该具备这样几个特点:第一,网络是安全的,体现在网络应该具有精确识别人员身份,可以阻止内部和外部攻击,可以阻止各种内网安全控制系统未授权的非法主机接入和访问。第二,网络是稳定的,体现在网络应该具有冗余性和自愈性及良好的通道。第三,网络管理是高效地,体现在将有统一的管理设备可以将网络管理功能覆盖。

【参考文献】

篇4

在国际信息安全环境日趋恶劣,国家全面倡导信息安全的大环境下,为了确保信息安全工作的可持续性开展及业务信息系统的稳定运行,依据集团总部《关于建立集团公司网络与信息安全组织保障体系的通知》、鄂通信局发[2013]127号《关于进一步落实基础电信企业网络与信息安全责任考核及有关工作的意见》等相关文件精神,同时参考《GA/T708-2007信息安全技术-信息系统安全等级保护体系框架》、《GB/T22239-2008信息安全技术-信息系统安全等级保护基本要求》《GB/T20269-2006信息安全技术-信息系统安全管理要求》、《GB/T0984-2007信息安全技术-信息安全风险评估规范》等国家标准,制定了《信息安全管理办法》、《信息安全策略》、《安全保障框架》及《安全保障基线规范》规范等,率先在企业内建立并实施该体系,全面倡导企业向信息安全生产经营转型,同时积极引导合作伙伴树立信息安全意识,规范自身的生产及合作行为,明确安全风险责任、细化管理要求,立足自身,兼顾第三方,共同打造信息安全的绿色长城,确保企业长足健康发展。通过该安全管理体系的实施,从中全面深入地挖掘现有安全体系的不足之处,并针对现有业务系统中的各类安全隐患制定了有效的整改方案并予以实施、预警,确保了移动互联网业务的可持续性发展及业务信息系统的稳定运行。首先,组织完成企业的自有业务信息系统和合作业务信息系统的安全等级划分工作,将平台安全管理工作落实到具体的责任人,并签署责任状,从而树立全员安全责任意识,实现人人参与安全管理。定期采用SysInternalsSuite、Nmap、Nes-sus、Openvas、Metasploit等技术对业务信息系统进行安全扫描、安全审计,并应用HIVE、Waka、PIG、Mahout等工具对海量日志、数据进行分析和审核,发现相关漏洞与脆弱点,并针对自有及合作业务信息系统编写了整改建议和系统层面的加固方案。通过持续对自有及合作信息系统的检查,共发现自有业务信息系统存在各类安全漏洞攻击39处,合作业务信息系统存在各类安全漏洞14处,目前这些漏洞已经全部整改与加固完毕,消除了安全隐患。其次,以信息安全管理为导向,组建了由电信营运商、合作伙伴、专业公司三方共同构成的一支业务信息系统安全管理团队,通过从合作业务管理规范的建立到合作伙伴安全技能培训,从信息安全制度宣贯到系统安全处罚办法的落实执行,从系统安全的定期评估到系统漏洞的及时加固等一系列举措,最终创建一套业务信息系统全新的安全管理模型,提高业务信息系统运行质量和服务能力,提升创新业务品牌形象。从安全管理模型启用至今,未发生一起信息安全事故,这样强化了合作伙伴的信息安全概念,督促合作伙伴在发展业务的同时也重点关注信息安全问题,极大地降低了由于合作系统的信息安全漏洞导致的中病毒或木马、假冒网站、账号或密码被盗、个人信息泄露等客户信息安全事件的发生概率,此类原因造成创新业务投诉比率和往年相比降低了15%,改变了用户对创新业务的固有印象,建立了良好的创新业务服务品牌形象。此模型具备良好的可复制性,可指导通信领域运营企业开展信息安全工作。在全国率先打造这套移动互联网业务安全管理体系,包含一系列业务系统信息安全管理办法、信息安全策略、安全保障框架、安全保障基线规范等相关业务系统管理制度及规范,业务系统安全管理体系的先进性和时效性在通信行业内名列前茅,同时通过近两年的安全理论研究和安全评估加固实践,针对当前企业业务平台系统在信息安全监管中面临的一些问题,对当前主流关联分析技术进行研究的基础上,提出了一种新的安全事件关联分析技术。该技术涉及到多源数据预处理、报警聚合、关联分析、大数据分析和安全状况态势评估等相关技术。此技术运用到电信行业的信息安全监管上,就能够对监控设备收集的日志及安全设备产生的告警进行关联分析和挖掘,从包含大量冗余信息的数据中提取出尽可能多的隐藏的安全信息,通过对此类信息的统计、浓缩、总结、关联和分类,抽象出利于进行判断和比较的特征库,并智能地学习和维护其特征库,从而在提高安全事件报警准确率的情况下保证极高的识别效率。同时该安全管理体系成功应用到与百度公司合作开发的爱奇艺视频业务系统、与腾讯科技公司联合开发的微信平台、与奇虎科技公司共同开发的安全卫士手机应用系统,得到部分在美国纳斯达克上市的中国互联网精英公司的高度认可和赞许,并表示今后与电信运营商共同开发产品都依照此安全管理规范和体系,确保产品的各项安全性能指标。

2创新点

为顺应移动互联网时代,运营商从基础通信运营向流量运营转型的新趋势,湖北移动确定了“业务转型,安全先行”的发展思路,坚持“以安全保发展、以发展促安全”。在已有的网络与信息安全管理办法的基础上,积极开展适应移动互联网时代安全管理体系建设,不断推进科学的安全管理方法,做到六“注重”六“突出”,即:(1)注重整体规划,突出体系建设,促进职责高效履行。制定下发安全标准化管理与评价体系建设计划,内容涵盖安全工作方针目标、安全目标、各方职责、安全管理体系和模式、安全设施和机房环境保护设施标准、安全文明操作保证金、安全考核与奖惩、过程的主要控制措施、应急准备和响应等方面。严格按计划有序开展体系建设工作;严格按体系文件要求开展业务或系统试运行工作;加强保证与监督体系的建设。(2)注重文化建设,突出信息安全特色,促进习惯养成。以人为本,加强企业安全文化建设,促使安全文化落地,提高员工安全与风险防范意识。(3)注重教育培训,突出行业特色,达到安全管理效果。通过多种渠道、形式多样的安全教育和培训方式,组织各单位安全管理人员开展安全教育和培训工作:一是安排专家和行业资深人士进行专题讲座;二是在专题培训的基础上,做好网络与信息安全专项工作如何开展的培训。(4)注重设备管理,突出针对特色,实现安全管理精细化。首先,网络设备较多,加强网络安全管理提高设备安全可靠性是首要任务,为此各维护单位对每台设备均建立了安全技术台帐,台帐包括运行记录、检查保养记录和定期检验记录。其次,组织精干力量先后两次对所有设备、流程、机房进行全面的安全评估工作。第三,使隐患排查整改形成机制。(5)注重安全投入,突出专用特色,合理使用安全生产费用。认真落实安全管理费用投入长效机制,加大安全费用的管理,做到专款专用,确保安全生产费用规范化、合理化和足额投入。并加强安全生产保证金的管理,建立安全生产保证金并实行年底考核的机制,有效促进了安全管理工作。(6)注重应急预案,突出超前特色,安全管理赢在主动。在安全管理中,把预防工作落到实处,建立健全了应急处置机构,将应急处置工作进一步制度化,规范化,形成了完整的安全事故预防体系。同时,开展形式多样、符合实际的应急演练。

3结语

篇5

关键词:信息系统安全 等级保护 福建

一、引言

信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。我国实施的信息系统安全等级保护制度,根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素,将信息系统的安全保护等级划分为5个级别,从第一级到第五级逐级增高,对不同安全级别的信息系统实施不同的安全管理。

二、我国信息系统安全等级保护思想的形成

1994年,《中华人民共和国计算机信息系统安全保护条例 》(国务院147号令)规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。

20世纪80年代初,美国国防部制定了“国家计算机安全标准”等系列标准,包括《可信计算机系统评估准则》(TCSEC,即俗称的“桔皮书”)及其他近40个相关标准,合称“彩虹系列”。 TCSEC标准是国际上计算机系统安全评估的第一套大规模系统标准,具有划时代的意义。TCSEC将安全产品的安全功能和可信度综合在一起,设立了4类7级。

1999年,我国公安部组织制定了强制性国家标准――《计算机信息系统安全保护等级划分准则》。

2000年11月10日,国家计委批准公安部开展“计算机信息系统安全保护等级评估体系及互联网络电子身份管理与安全保护平台项目”建设。

2003年,《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出“实行信息安全等级保护”,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。这标志着等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障一项基本制度。同时中央27号文明确了各级党委和政府在信息安全保障工作中的领导地位,以及“谁主管谁负责,谁运营谁负责”的信息安全保障责任制。

2004年9月,公安部会同国家保密局、国家密码管理局和国务院信息办联合出台了《关于信息安全等级保护工作的实施意见》(公通字[2004]66号),明确了信息安全等级保护制度的原则和基本内容,以及信息安全等级保护工作的职责分工、工作实施的要求等。

2006年1月,公安部、国家保密局、国家密码管理局、国信办联合制定了《信息安全等级保护管理办法(试行)》,并于2007年6月修订。

2007年6月,公安部会同国家保密局、国家密码管理局和国务院信息办联合颁布《信息安全等级保护管理办法》(公通字[2007]43号,以下简称《管理办法》),明确了信息安全等级保护制度的基本内容、流程及工作要求,进一步明确了信息系统运营使用单位和主管部门、监管部门在信息安全等级保护工作中的职责、任务,为开展信息安全等级保护工作提供了规范保障。

三、开展信息系统安全等级保护工作的必要性和重要性

⒈开展信息系统安全等级保护工作的必要性

随着网络新技术的飞速发展和各类信息系统的广泛应用,网络与信息安全也相应出现了许多新情况、新问题,福建省网络与信息安全防护工作面临的形势十分严峻。这就使得开展信息系统安全等级保护工作成为必然。

一是网上斗争日趋复杂,不确定性增强。由于在互联网上传播信息具备快速便捷、低成本、无国界、易消除痕迹、技术变化快等特点,使互联网成为境内外敌对势力、敌对分子从事各种破坏活动的重要工具。我国将长期面临敌对势力的信息优势、技术优势所带来的信息安全威胁。

二是网络违法犯罪活动迅速增多,造成的后果越来越严重。随着新技术、新应用的发展,暴露出来的网络与信息安全问题也日益增多。

三是漏洞数量居高不下,利用漏洞发起攻击仍是互联网最大的安全隐患。安全漏洞是指在网络系统中硬件、软件、协议和系统安全策略等存在的缺陷和错误,攻击者利用这些缺陷和错误可以对网络系统进行非授权的访问或破坏。

四是计算机病毒传播和对网络非法入侵十分严重。据公安机关调查,2007年1-6月,我国平均每月截获计算机病毒6.6万个,累计感染计算机达1.18亿台次。2007年初在我国发生的“熊猫烧香”病毒案,短时间内就出现病毒变种700余个,感染了445万台计算机,大批网民的网上帐号、口令被窃取。

⒉开展信息系统安全等级保护工作的重要性

开展信息安全等级保护工作,就是要解决我国信息安全面临的威胁和存在的主要问题,按标准建设安全保护措施,建立安全保护制度,落实安全责任,加强监督检查,有效保护重要信息系统安全,有效提高我国信息和信息系统安全建设的整体水平。

建立信息安全等级保护制度,开展信息安全等级保护工作,有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调;有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务;有利于优化信息安全资源的配置,重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全;有利于明确国家、法人和其他组织、公民的信息安全责任,加强信息安全管理;有利于推动信息安全产业的发展,逐步探索出一条适应社会主义市场经济发展的信息安全模式。

四、加快推进福建省重要信息系统安全等级保护工作

2007年7月20日,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室在北京联合召开“全国重要信息系统安全等级保护定级工作电视电话会议”,部署在全国范围内开展重要信息系统安全等级保护定级工作。8月13日,福建省公安厅、省保密局、省委机要局、数字福建建设领导小组办公室等四家单位也联合召开“福建省重要信息系统安全等级保护定级工作电视电话会议”。这标志着福建省重要信息系统安全等级保护工作正式启动。

信息系统安全保护工作的首要环节是定级,定级工作是开展信息系统建设、整改、测评、备案、监督检查等后续工作的重要基础。信息系统安全级别定不准,系统建设、整改、备案、等级测评等后续工作都将失去针对性。此次福建省重要信息系统安全等级保护工作将分四个阶段进行。

1.突出重点,全面准确划定定级范围和定级对象

此次重要信息系统定级的范围是国家基础信息网络和重要信息系统,这些网络和系统广泛分布在各级党政机关和电信、广电、铁路、银行、民航、海关、税务、电力、证券、保险等数十个行业。将这些基础信息网络和重要信息系统纳入此次定级的重点范围,体现了统筹规划、突出重点、重点保障基础信息网络和重要信息系统安全的总体要求和原则。

2.依据《管理办法》,准确确定信息系统安全保护等级

福建省各运营使用单位和主管部门在全面分析各自信息网络和信息系统在国家安全、社会秩序、公共利益等方面的作用和影响的基础上,根据信息网络和信息系统被攻击破坏后对国家安全、社会秩序和公共利益等方面可能造成的危害程度等因素,依据《管理办法》,参照《定级指南》所提供的定级方法,综合确定信息系统的安全保护等级。在确定等级的过程中,要最大限度地避免定级的盲目性、随意性,力争做到定级准确、科学、合理。

3.及时备案,加强对定级工作的监督、检查和指导

为全面掌握基础信息网络和重要信息系统的单位和系统的基本情况,保护重点领域的重要信息网络和信息系统,凡是安全保护等级为第二级以上的信息系统运营使用单位或主管部门要按照《管理办法》的要求,到公安机关进行备案。公安机关受理备案后要对备案材料进行审核,加强对重要信息系统安全等级保护定级工作的监督、检查和指导;对定级不准的,要及时通知备案单位重新定级。

4.依据《管理办法》和技术标准,开展整改、测评等工作

信息系统的安全保护等级确定后,运营使用单位要按照信息安全等级保护管理规范和技术标准,使用符合国家有关规定、满足信息系统安全保护等级需求的信息技术产品,开展信息系统安全建设或者改建工作,建设符合等级要求的信息安全设施;参照信息安全等级保护管理规范,制定并落实安全管理制度;选择符合《管理办法》规定条件的测评机构,依据技术标准对信息系统安全等级状况开展等级测评,使其尽快达到等级要求的安全保护能力和水平。

五、加大力度,确保福省重要信息系统安全等级保护工作任务落到实处

随着北京奥运会的日益临近,特别是“科技奥运”和“数字奥运”是2008年北京奥运会的一大亮点,信息安全等级保护的工作任务艰巨,责任重大。福建省公安、保密、密码工作和信息化等部门要密切配合,及时开展监督、检查,严格审查信息系统所定级别,积极开展备案、整改、测评等工作。同时,充分利用广播电视、报刊杂志、互联网等媒体,加大对国家信息安全等级保护制度的宣传力度,积极开展面向不同层次、不同对象的宣传、培训,以确保福建省重要信息系统安全等级保护工作落到实处。

1.明确职责,落实责任

各级公安机关要积极向当地党委、政府专门汇报,主动争取党委、政府对信息安全等级保护工作的重视和支持;或者成立专门的等级保护工作直辖市领导小组,加强对定级工作的领导,研究制定定级工作实施方案。各运营使用单位及其主管部门要按照“谁主管谁负责、谁运营谁负责”的要求,明确主管领导和责任部门。各信息系统主管部门要切实加强对定级工作的组织、领导,落实等级保护各项责任,督促、指导本行业、本系统开展定级、备案、建设整改等工作。

2.密切配合,通力协作

各级公安机关作为开展等级保护工作的牵头部门,要加强同保密、密码工作、信息办等其他信息安全职能部门的协调、配合,尽快建立健全信息安全等级保护监管工作的协调配合机制;要主动与信息系统主管部门交流沟通,督促配合其组织下属信息系统运营、使用单位建立信息安全责任制,建立并落实等级保护制度,从而确保等级保护工作的顺利、有效实施。

3.加强宣传,强化培训

篇6

根据自治区、地区有关要求,按照《XXX新闻宣传报道管理办法》有关内容,为进一步加强我县网络和信息安全管理工作,现就有关事项通知如下。

一、建立健全网络和信息安全管理制度

各单位要按照网络与信息安全的有关法律、法规规定和工作要求,制定并组织实施本单位网络与信息安全管理规章制度。要明确网络与信息安全工作中的各种责任,规范计算机信息网络系统内部控制及管理制度,切实做好本单位网络与信息安全保障工作。

二、切实加强网络和信息安全管理

各单位要设立计算机信息网络系统应用管理领导小组,负责对计算机信息网络系统建设及应用、管理、维护等工作进行指导、协调、检查、监督。要建立本单位计算机信息网络系统应用管理岗位责任制,明确主管领导,落实责任部门,各尽其职,常抓不懈,并按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,切实履行好信息安全保障职责。

三、严格执行计算机网络使用管理规定

各单位要提高计算机网络使用安全意识,严禁涉密计算机连接互联网及其他公共信息网络,严禁在非涉密计算机上存储、处理涉密信息,严禁在涉密与非涉密计算机之间交叉使用移动存储介质。办公内网必须与互联网及其他公共信息网络实行物理隔离,并强化身份鉴别、访问控制、安全审计等技术防护措施,有效监控违规操作,严防违规下载涉密和敏感信息。通过互联网电子邮箱、即时通信工具等处理、传递、转发涉密和敏感信息。

四、加强网站、微信公众平台信息审查监管

各单位通过站、微信公众平台在互联网上公开信息,要遵循涉密不公开、公开不涉密的原则,按照信息公开条例和有关规定,建立严格的审查制度。要对网站上的信息进行审核把关,审核内容包括:上网信息有无涉密问题;上网信息目前对外是否适宜;信息中的文字、数据、图表、图像是否准确等。未经本单位领导许可严禁以单位的名义在网上信息,严禁交流传播涉密信息。坚持先审查、后公开,一事一审、全面审查。各单位网络信息审查工作要有领导分管、部门负责、专人实施。

严肃突发、敏感事(案)件的新闻报道纪律,对民族、宗教、军事、环保、反腐、人权、计划生育、严打活动、暴恐案件、自然灾害,涉暴涉恐公捕大会、案件审理、非宗教教职人员、留大胡须、蒙面罩袍等敏感事(案)件的新闻稿件原则上不进行宣传报道,如确需宣传报道的,经县领导同意,上报地区层层审核,经自治区党委宣传部审核同意后,方可按照宣传内容做到统一口径、统一,确保信息的时效性和严肃性。

五、组织开展网络和信息安全清理检查

篇7

【关键词】通信运营企业客户信息安全安全域SOC

一、电信运营商客户信息安全现状

目前电信运营商对信息系统依赖性日益增强,而扫描探测、DDOS等攻击数量急剧上升,漏洞利用的速度缩小到了天。但是作为电信运营商,由于网络结构复杂,导致系统管理维护困难。一般会有网管网、计费网、办公网、互联网接口、新业务、地市公司等多张网,安全防护困难。

同时在运营商中也发生过一些客户信息泄密的案例,“3.15”晚会也曝光过一些。电信运营商的客户资料、充值卡、财务报表、发展计划等商业机密的实际价值远远超过了固定的有形资产。

因此电信运营商如何保证客户信息安全,成为了重要课题。

二、客户信息安全体系

客户信息生命周期包括了信息的产生、传输、存储、处理、销毁,因此我们在设计安全体系时,要按照“坚持积极防御、综合防范的方针”,将安全组织、策略和运作流程等管理手段和安全技术紧密结合。

下面参考信息安全保障体系框架IATF和BS7799,以项目中的实践来分别说明:

人是信息体系的主体,包括管理者、维护人员、使用者、第三方。电信运营商应该建立安全领导小组,专门的安全管理员、安全顾问、安全审计员。

制定信息安全责任矩阵,组织范围内的信息安全落实到人,尤其外包的安全,第三方必须签定保密协议。离职或调动时,必须清理信息系统账号,避免用户权限只有增加没有减少。

资产进行分类与控制,梳理客户信息相关的资产,标明重要性等级以及制定相应管理办法。如客户资料、充值卡等就是重要信息,必须重点防护。

制定完善的维护作业计划,对设备性能、安全状况进行监控,分清日、月、年不同层次的维护内容,包括电源、主机、中间件、数据库、应用、安全事件、备份、调优等。

定期进行安全评估和加固,减少系统风险,可以找专业的安全厂商进行渗透测试。设定各系统的安全基线,保证系统必须达到的最基本的安全配置要求。如果某台服务器上突然多了一个来历不明的进程,就有必要检查是否有安全风险。

业务过程中可以通过金库模式等加强业务过程中的安全管控,即关键业务需第二个人授权之后才能够操作,通过多人的相互监督进行制约,如批量查询客户资料、详单时。同时定期进行日志稽核,进行事后的控制。所有的业务操作有相应的工单、审批单、业务受理单,如果没有这样的工单,则可以认为操作是不合规的。

在信息系统生命周期过程中,要全面审查信息系统的设计、操作、使用和管理是否符合组织安全政策和标准。系统开发和建设过程中,就要明确系统的安全要求,确保安全机制被内建于信息系统内;控制应用系统的安全,防止应用系统中存在的后门、孤立网页造成用户数据的丢失、被修改或误用。上线前及早进行安全评估和扫描,提前发现漏洞。注意不要随便使用真实敏感数据,测试数据的清理、保护。

三、客户信息安全工程建设过程

客户信息安全建设过程中应注意业务可用与安全性平衡原则,采用统筹规划、分步实施的方法。

篇8

1高校信息安全管理问题

在强大科技的支撑下,加之高校自身不懈努力,采取了物理、技术、管理等一系列举措,在保障信息安全方面取得了一定成效。但是,纵观高校信息安全管理整体,其中还存在不少问题,具体表述如下:

1.1制度体系缺失

长期的实践经验表明,一般情况下,任何管理活动都需要一套完备的管理制度体系,高校信息安全管理亦是如此。近年来,大多数高校已逐步认识到信息安全管理的重要性及必要性,并先后制定了管理办法及规章制度,以保证此项工作有序开展、高效完成,然而从客观的角度上讲,其相关建设还不尽完善。随着信息技术的发展,虚拟网络环境愈加复杂,威胁信息安全的因素变化多端,并且具有很强的突变性。有些高校对信息安全管理的特性认识不到位,尚未设置相应的应急预案,一旦遇到信息安全问题突然爆发,势必会导致高校应对不及,从而可能造成不可挽回的损失或影响。甚至有些高校并未成立专门的信息安全管理组织机构,相关制度、措施落实不到位,形同虚设,加之监管不力,直接影响了信息安全管理工作成效。

1.2技术人才不足

高校信息安全管理是一项系统工程,它不仅仅是技术上的问题,也不是单凭几项管理条例就能解决的,其核心还在于专业技术人才。部分高校在安全技术举措方面投入大量经费本无可厚非,但其过度依赖软硬件技术防护,轻视专业技术人才队伍建设,则很难实现信息安全管理目标。首先,从数量上来看,高校所设信息安全管理各岗位人数不尽合理,甚至存在一人多职的现象。正所谓术业有专攻,如此不仅分散了信息安全管理工作人员的时间和精力,难以在某个专业领域有所建树,还暴露出了其在某个岗位上的能力缺陷,直接影响了工作成效;其次,从质量上来看,高校信息安全管理工作人员素质及能力表现普遍不高。影响信息安全的因素众多,并且具有多变的特性。由于高校培训力度不够,加之信息安全管理工作人员自主学习意识弱化,逐渐与网络发展脱节,在遇到棘手问题时不能快速、有效解决。

2高校信息安全管理强化策略

信息安全管理是高校教育迈入发展快车道的保障基础。作者结合上文的分析,有针对性地提出了以下几种强化高校信息安全管理策略,以供参考和借鉴。

2.1完善规章制度

成熟的信息安全管理组织可以使得高校信息安全管理工作事半功倍。新时期,高校必须要转变重技术、轻管理的思想观念,统筹发展规划,尽快完善相关规章制度,加大技术投资的同时,提高管理投入,以保证信息安全管理工作高效运转和实施。具体而言,高校应结合信息安全管理需求,科学设置工作岗位,并明确责任制度和奖惩制度,严格审查各部门及个人工作表现情况,进而作出相应的奖励或处罚,督导其提高工作实效。此外,高校还应该进一步完善信息安全风险评估机制和应急预警机制,理性分析现代网络环境中的不稳定因素,深刻认识到网络系统、应用软件以及数据信息等都可能成为威胁信息安全的目标,并逐步形成制度化,以免这些对高校信息网络造成干扰。在此基础上,高校还需针对应急预警机制做预控方案,考虑信息安全事件发生时造成的影响度和损坏度,避免事态扩大。

2.2加强人才建设

就现阶段而言,高校信息安全管理的当务之急,是建立一支专业化人才队伍。在此过程中,高校应依据信息安全管理岗位设计,配置相等数量的人才,各司其职,最大限度地发挥其专业特长,使之有更多的时间和精力投入到本职工作上。高校作为高素质人才的聚集地,应该充分发挥自身资源优势,组织相关专业导师及学生积极参与信息安全管理。如此不仅缓解了投入压力,同时还为教学提供了良好的实践平台。此外,高校还应定时定期开展信息安全管理培训工作,及时更新相关人员的思想观念及专业知识,分享有效经验,提高其综合素质和能力,使之提供更完善、高效的信息安全管理服务,夯实工作的人才基础。与此同时,高校需要加强与企业的合作,从不同角度、层面认识信息安全管理工作,积极促动彼此间的互动交流,及时掌握行业发展动态,保证技术与人才的先进性。

3结束语

总而言之,高校信息安全管理十分重要和必要。由于个人能力有限,加之网络信息技术发展迅速,威胁信息安全因素众多,本文作出的相关研究可能存在不足之处。因此,作者希望各高校提高对信息安全管理的重视程度,可结合本文论点,深刻分析和总结此项工作中的不足或问题,并进行深化与拓展,有针对性地采取更多完善措施,从而提升信息安全管理成效,为广大师生营造安全、良好的应用环境。

作者:张威 单位:沈阳科技学院

参考文献:

[1]何济玲,陈仕品,程吉麟,艾贤明.基于ISO/IEC27001标准的高校信息安全治理[J].现代教育技术,2016(09):60-65.

篇9

关键词: 企业;网络信息安全;威胁;管理对策

1 网络信息安全管理内涵阐述

随着计算机网络技术的飞速发展,企业网络化管理成为当今世界经济和社会发展的趋势与主流。在网络化背景下,企业不仅能够方便快捷地进行信息共享、信息交流与信息服务,而且极大地提高了工作效率,创造了经济效益,增加了在激励市场竞争中的核心竞争力。然而,凡事有利则有弊,网络技术也不例外,网络化给企业带来巨大利益的同时,网络信息安全问题也成为众多企业十分头痛的问题。如何解决常见网络问题,消除网络安全隐患,严堵安全漏洞,确保企业计算机网络及信息的安全,从而来确保油田企业生产、科研等工作正确开展,已成为油田企业亟待解决的重要课题。

言及此,笔者觉得十分有必要对网络信息安全管理的内涵,进行再分析与阐述。一直以来,许多企业,谈及网络信息安全管理,大多认为就是技术层面的工作,如防黑客攻击、反病毒侵蚀、堵系统安全漏洞等专业技术问题。其实维护网站安全工作,应不止于此。网络环境下的信息安全不仅涉及到数据加密、防黑客、反病毒、控制入网访问、防火墙升级技术等专业技术问题,更应该涉及法律政策问题和制度管理问题。不少企业,往往重视升级硬件、技术防范,却忽视安全管理问题,特别是人员管理、制度管理。其中,安全技术与安全管理齐头并进,两手共抓才是企业网络信息安全致胜的法宝,技术问题是基础与保障,而安全管理则是信息安全更强大的方式手段。

2 “两手抓,两手都要硬”加强企业网络信息安全管理对策

2.1 高度重视网络管理制度层面工作

油田企业是科研性单位,许多科技数据、技术数据等对企业生存发展来说至关重要,如录井技术就是油气勘探开发活动中最基本的技术,是发现、评估油气藏最及时、最直接的手段,因而石油勘探企业网络安全管理问题更是不容忽视,网络上的任何一个小漏洞,都会导致全网的安全问题,给企业造成不可估量的损失。

首先,我们必须在企业内部制定严格并切实可行的网络安全管理规章制度,企业主管领导应当高度重视,建立内部安全管理制度,如出入机房制度、机房管理制度、设备管理维护制度、岗位责任制、操作安全管理制度、病毒防范制度、应急处理制度等。还要定期对制度落实情况进行例行检查与抽查,重在落实,避免流于形式。确保通过制度能够做到业务计算机专门使用,业务系统与其他信息系统充分隔离,企业局域网与互联的其他网络充分隔离。充分降低安全风险。其次,要提高员工的网络安全意识。加强对使用人员的安全知识教育与培训,组织员工学习熟悉《中国信息系统安全保护条例》、《算机信息网络国际联网安全保护管理办法》等条例,增强相关法律知识,信息安全意识,坚持杜绝员工在工作时间内利用企业工作电脑访问与业务无关的网站,尤其是开展聊天、游戏、电影、下载、购物等娱乐活动,避免企业内部的文件以及数据甚至机密资料被盗现象。使用中不要随意使用自带光盘、移动硬盘与U盘等存储设备,避免传染病毒等。再次,通过学习培训增强网站管理人员的技术水平与能力。管理员必须对企业信息网络系统的安全状况和安全漏洞进行周期性评估,以便随意采取相关措施,有应对突发风险的能力,并通过访问控制、升级防火墙、漏洞检测、病毒查杀、入侵检测等技术,做好日常网站的安全维护工作。

2.2 重视加强网络安全技术层面工作

目前网络安全技术工作,早已从操作系统维护、简单的病毒防范发展到防止黑客恶意进攻,防范蠕虫、木马程序等种类多样的网络病毒以及变种等诸多工作,表现在高水平防御体系的建构上。

俗话说:病从口入。首先,要做好访问控制管理,这就是抓好源头工作。特别是核心技术、重要数据的共享网站,一定要做到对入网访问控制和网络资源的访问控制,可实施有效的用户口令和访问账号密码,避免用户非法访问。此外口令、密码的设置上应尽量长一些复杂一些,数字字母相结合。如目前实用的USBKEY认证方法也是一种较可靠的方法,出现调离或者解雇员工,应该立即对其的网络账号进行清除,避免非法登陆,泄露企业信息。其次,通过防火墙、入侵检测、网络安全防漏洞、数据加密传输、防杀病毒等全方面的技术工作,保证企业网络信息的安全。如在防火墙设置原则上,保证实施合理有效的安全过滤原则,严格控制外网用户非法访问,确保经过精心选择的应用协议才能通过防火墙,使用网络防病毒软件,建立起企业整体防病毒体系,尽可能企业内部一些重要的资料或者核心数据进行加密传输与加密储存,这些一系列的工作可让网络环境变得更安全。

当然,网络安全管理工作是一项长期而细致艰辛的工作,不可能一蹴而就,也不能无所进步,随着信息技术的快速发展,对信息安全技术、网络安全管理工作的要求也会随之增高,今后企业信息安全技术、管理工作应该继续跟踪、学习国内外最先进的知识经验,努力提高企业信息安全管理技术水平。

参考文献:

[1]由媛,浅谈企业网络信息安全[J].电脑知识与技术,2012(02):1057-1058.

篇10

0引言

 

随着光纤宽带、移动电话、移动互联网的普及,通信服务在我们的日常生活中发挥了越来越重要的作用。伴随社会的信息化推进,通信技术也得到了快速发展。通信得到了社会的广泛认可。近年来,伴随着互联网技术在全球迅猛发展,信息化给人们提供了极大的便利,然而,同时我们也正受到日益严重的来自网络的安全威胁,比如黑客攻击、重要信息被盗等,网络安全事件频发,给人们的财产和精神带来很大损失。但是,在世界范围内,黑客活动越来越猖狂,黑客攻击者无孔不入,对信息系统的安全造成了很大的威胁,对社会造成了严重的危害。除此之外,互联网上黑客网站还在不断增加,这就给黑客更多的学习攻击的信息,在黑客网站上,学习黑客技术、获得黑客攻击工具变得轻而易举,更是加大了对互联网的威胁。如何才能保障信息系统的信息安全,怎样才能确保网络信息的安全性,尤其是网络上重要的数据的安全性。

 

在通信领域,信息安全尤为重要,它是通信安全的重要环节。在通信组织运作时,信息安全是维护通信安全的重要内容。通信涉及到我们生活的许多方面,小到人与人之间联系的纽带,大到国与国之间的信息交流。因此,研究信息安全和防护具有重要的现实意义。

 

一、通信运用中加强信息安全和防护的必要性

 

1.1搞好信息安全防护是确保国家安全的重要前提

 

众所周知,未来的社会是信息化的社会,网络空间的争夺尤其激烈。信息化成为国家之间竞争的焦点,如果信息安全防护工作跟不上,一个国家可能面临信息被窃、网络被毁、指挥系统瘫痪、制信息权丧失的严重后果。因此,信息安全防护不仅是未来战争胜利的重要保障,而且将作为交战双方信息攻防的重要手段,贯穿战争的全过程。一旦信息安全出现问题,可能导致整个国家的经济瘫痪,战争和军事领域是这样,政治、经济、文化、科技等领域也不例外。信息安全关系到国家的生死存亡,关系到世界的安定和平。比如,美国加利弗尼亚州银行协会的曾经发出一份报告,称如果该银行的数据库系统遭到网络“黑客”的破坏,造成的后果将是致命的,3天就会影响加州的经济,5天就能波及全美经济,7天会使全世界经济遭受损失。鉴于信息安全如此重要,美国国家委员会早在2000年初的《国家安全战备报告》里就强调:执行国家安全政策时把信息安全放在重要位置。俄罗斯于2000年通过的《国家信息安全学说》,第一次把信息安全摆在战略地位。并从理论和时间中加强信息安全的防护。近年来,我国也越来越重视信息安全问题,相关的研究层出不穷,为我国信息安全的发展奠定了基础。

 

1.2我国信息安全面临的形势十分严峻

 

信息安全是国家安全的重要组成部分,它不仅体现在军事信息安全上,同时也涉及到政治、经济、文化等各方面。当今社会,由于国家活动对信息和信息网络的依赖性越来越大,所以一旦信息系统遭到破坏,就可能导致整个国家能源供应的中断、经济活动的瘫痪、国防力量的削弱和社会秩序的混乱,其后果不堪设想。由于我国信息化起步较晚,目前信息化系统大多数还处在“不设防’,的状态下,国防信息安全的形势十分严峻。具体体现在以卜几个方面:首先,全社会对信息安全的认识还比较模糊。很多人对信息安全缺乏足够的了解,对因忽视信息安全而可能造成的重大危害还认识不足,信息安全观念还十分淡薄。因此,在研究开发信息系统过程中对信息安全问题不够重视,许多应用系统处在不设防状态,具有极大的风险性和危险性。其次,我国的信息化系统还严重依赖大量的信息技术及设备极有可能对我国信息系统埋下不安全的隐患。无论是在计算机硬件上,还是在计算机软件上,我国信息化系统的国产率还较低,而在引进国外技术和设备的过程中,又缺乏必要的信息安全检测和改造。再次,在军事领域,通过网络泄密的事故屡有发生,敌对势力“黑客”攻击对我军事信息安全危害极大。最后,我国国家信息安全防护管理机构缺乏权威,协调不够,对信息系统的监督管理还不够有力。各信息系统条块分割、相互隔离,管理混乱,缺乏与信息化进程相一致的国家信息安全总体规划,妨碍了信息安全管理的方针、原则和国家有关法规的贯彻执行。

 

二、通信中存在的信息安全问题

 

2.1信息网络安全意识有待加强

 

我国的信息在传输的过程中,特别是军事信息,由于存在扩散和较为敏感的特征,有的人利用了这一特点采取种种手段截获信息,以便了解和掌握对方的新措施。更有甚者,在信息网络运行管理和使用中,更多的是考虑效益、速度和便捷。而把安全、保密等置之度外。因此,我们更要深层次地加强网络安全方面的观念,认识到信息安全防护工作不仅仅是操作人员的“专利”,它更需要所有相关人员来共同防护。

 

2.2信息网络安全核心技术贫乏

 

目前,我国在信息安全技术领域自主知识产权产品少采用的基础硬件操作系统和数据库等系统软件大部分依赖国外产品。有些设备更是拿来就用,忽略了一定的安全隐患。技术上的落后,使得设备受制于人。因此,我们要加大对信息网络安全关键技术的研发,避免出现信息泄露的“后门”。

 

2.3信息网络安全防护体系不完善

 

防护体系是系统顶层设计的一个重要组成部分,是保证各系统之间可集成、可互操作的关键。以前信息网络安全防护主要是进行一对一的攻防,技术单一。现代化的信息网络安全防护体系已经成为一个规模庞大、技术复杂、独具特色的重要信息子系统,并担负着网络攻防对抗的重任。因此,现代化信息网络安全防护体系的建立应具有多效地安全防护机制、安全防护服务和相应的安全防护管理措施等内容。

 

2.4信息网络安全管理人才缺乏

 

高级系统管理人才缺乏,已成为影响我军信息网络安全防护的因素之一。信息网络安全管理人才不仅要精通计算机网络技术,还要熟悉安全技术。既要具有丰富的网络工程建设经验,又要具备管理知识。显然,加大信息安全人才的培养任重而道远。

 

三、通信组织运用中的网络安全防护

 

网络安全是通信系统安全的重要环节。保障通信组织的安全主要是保障网络安全。网络安全备受关注,如何防范病毒入侵、保护信息安全是人们关心的问题,笔者总结了几点常用的防范措施,遵循这些措施可以降低风险发生的概率,进而降低通信组织中信息安全事故发生的概率。

 

3.1数据备份

 

对重要信息资料要及时备份,或预存影像资料,保证资料的安全和完整。设置口令,定期更换,以防止人为因素导致重要资料的泄露和丢失。利用镜像技术,在磁盘子系统中有两个系统进行同样的工作,当其中一个系统故障时,另一个系统仍然能正常工作。加密对网络通信加密,以防止网络被窃听和截取,尤其是绝密文件更要加密处理,并定期更换密码。另外,文件废弃处理时对重要文件粉碎处理,并确保文件不可识别。

 

3.2防治病毒

 

保障信息系统安全的另一个重要措施是病毒防治。安装杀毒软件,定期检查病毒。严格检查引入的软盘或下载的软件和文档的安全性,保证在使用前对软盘进行病毒检查,杀毒软件应及时更新版本。一旦发现正在流行的病毒,要及时采取相应的措施,保障信息资料的安全。

 

3.3提高物理安全

 

物理安全是保障网络和信息系统安全的基本保障,机房的安全尤为重要,要严格监管机房人员的出入,坚决执行出入管理制度,对机房工作人员要严格审查,做到专人专职、专职专责。另外,可以在机房安装许多装置以确保计算机和计算机设备的安全,例如用高强度电缆在计算机的机箱穿过。但是,所有其他装置的安装,都要确保不损害或者妨碍计算机的操作。

 

3.4安装补丁软件

 

为避免人为因素(如黑客攻击)对计算机造成威胁,要及时安装各种安全补丁程序,不要给入侵者以可乘之机。一旦系统存在安全漏洞,将会迅速传播,若不及时修正,可能导致无法预料的结果。为了保障系统的安全运行,可以及时关注一些大公司的网站上的系统安全漏洞说明,根据其附有的解决方法,及时安装补丁软件。用户可以经常访问这些站点以获取有用的信息。

 

3.5构筑防火墙

 

构筑系统防火墙是一种很有效的防御措施。防火墙是有经验丰富的专业技术人员设置的,能阻止一般性病毒入侵系统。防火墙的不足之处是很难防止来自内部的攻击,也不能阻止恶意代码的入侵,如病毒和特洛伊木马。

 

四、加强通信运用中的信息安全与防护的几点建议

 

为了应付信息安全所面临的严峻挑战,我们有必要从以下几个方面着手,加强国防信息安全建设。

 

4.1要加强宣传教育,切实增强全民的国防信息安全意识

 

在全社会范围内普及信息安全知识,树立敌情观念、纪律观念和法制观念,强化社会各界的信息安全意识,营造一个良好的信息安全防护环境。各级领导要充分认识自己在信息安全防护工作中的重大责仟‘一方而要经常分析新形势卜信息安全工作形势,自觉针对存在的薄弱环节,采取各种措施,把这项工作做好;另一方面要结合工作实际,进行以安全防护知识、理论、技术以及有关法规为内容的自我学习和教育。

 

4.2要建立完备的信息安全法律法规

 

信息安全需要建立完备的法律法规保护。自国家《保密法》颁布实施以来,我国先后制定和颁布了《关于维护互联网安全的决定》、《计算机信息网络国际联网安全保护管理办法》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息系统国际联网保密管理规定》、《计算机信息系统安全专用产品检测和销售许可证管理办法》、《计算机信息系统安全专用产品分类原则》、《金融机构计算机信息系统安全保护工作暂行规定》等一系列信息安全方面的法律法规,但从整体上看,我国信息安全法规建设尚处在起步阶段,层次不高,具备完整性、适用性和针对性的信息安全法律体系尚未完全形成。因此,我们应当加快信息安全有关法律法规的研究,及早建立我国信息安全法律法规体系。

 

4.3要加强信息管理

 

要成立国家信息安全机构,研究确立国家信息安全的重大决策,制定和国家信息安全政策。在此基础上,成立地方各部门的信息安全管理机构,建立相应的信息安全管理制度,对其所属地区和部门内的信息安全实行统一管理。

 

4.4要加强信息安全技术开发,提高信息安全防护技术水平

 

没有先进、有效的信息安全技术,国家信息安全就是一句空话。因此,我们必须借鉴国外先进技术,自主进行信息安全关键技术的研发和运用。大力发展防火墙技术,开发出高度安全性、高度透明性和高度网络化的国产自主知识产权的防火墙。积极发展计算机网络病毒防治技术,加强计算机网络安全管理,为保护国家信息安全打卜一个良好的基础。

 

4.5加强计算机系统网络风险的防范加强网络安全防范是风险防范的重要环节

 

首先,可以采取更新技术、更新设备的方式。并且要加强工作人员风险意识,加大网络安全教育的投入。其次,重要数据和信息要及时备份,也可采用影像技术提高资料的完整性。第三,及时更新杀毒软件版本,杀毒软件可将部分病毒拒之门外,杀毒软件更新提高了防御病毒攻击的能力。第五,对重要信息采取加密技术,密码设置应包含数字、字母和其他字符。加密处理可以防止内部信息在网络上被非授权用户拦截。第六,严格执行权限控制,做好信息安全管理工作。“三分技术,七分管理”,可见信息安全管理在预防风险时的重要性,只有加强监管和管理,才能使信息安全更上一个台阶。

 

4.6建立和完善计算机系统风险防范的管理制度

 

建立完善的防范风险的制度是预防风险的基础,是进行信息安全管理和防护的标准。首先,要高度重视安全问题。随着信息技术的发展,攻击者的攻击手段也在不断进化,面对高智商的入侵者,我们必须不惜投入大量人力、物力、财力来研究和防范风险。在研究安全技术和防范风险的策略时,可以借鉴国外相关研究,尤其是一些发达国家,他们信息技术起步早,风险评估研究也很成熟,我们可以借鉴他们的管理措施,结合我们的实际,应用到风险防范中,形成风险管理制度,严格执行。

 

其次,应当设立信息安全管理的专门机构,并配备专业技术人才,选拔防范风险的技术骨干,开展对信息安全技术的研究,对系统弱点进行风险评估,及时采取补救措施。完善信息安全措施,并落实到信息安全管理中去。

 

五、结论

 

通信在生活中有着广泛的应用,涉及到人们生活的方方面面。它构建安全的通信系统是进行通信组织运用中信息安全防护的前提。通信系统网络安全防护体系应以一个良好的安全策略为起点,建立在安全的网络中,保障通信系统的安全,维护信息安全。