网络安全管理体系建设范文
时间:2023-12-19 18:04:00
导语:如何才能写好一篇网络安全管理体系建设,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
关键词:信息安全安全属性安全建设
我国信息化安全建设任务非常艰巨,主要包括各种业务的社会公网、行业专网、互联网等信息基础设施运营、管理和服务的安全自主保障、安全监管、安全应急和打击信息犯罪为核心的威慑体系的建设,其内容包括网络系统安全建设、领域和企业的业务信息化安全建设、网络内容与行为的安全建设和用户关注的网络安全建设等方面。这些安全建设对于不同的领域和领导层面关注的内容、对象和程度各不相同。网络信息安全是一个完整的、系统的概念。它既是一个理论问题,同时又是一个工程实践问题。由于互联网的开发性、复杂性和多样性,使得网络安全系统需要有一个完整的、严谨的体系结构来保证网络中信息的安全。
1 信息安全的定义及目标
信息的定义,从广义上讲,信息是任何一个事物的运动状态以及运动状态形式的变化,它是一种客观存在。狭义的信息的含义是指信息接受主体所感觉到并能理解的东西。ISO 13335《信息技术安全管理指南》定义:信息是通过在数据上施加某此约定而赋予这此数据的特殊含义。信息是无形的,借助于信息媒体以多种形式存在和传播,同时。信息也是一种重要资产,具有价值,需要保护。信息安全的目标是信息资产被泄露意味着保密性受到影响,被更改意味着完整性受到影响,被破坏意味着可用性受到影响。而保密性、完整性和可用性三个基本属性是信息安全的最终目标。信息安全的保护对象包括了计算机硬件、软件和数据。就本质而言,信息安全所针对的均是“信息”这种资源的“安全”,对信息安全的理解应从信息化背景出发,最终落实在信息的安全属性上。
2 构建网络信息化安全的意义
能否有效地保护信息资源,保护信息化进程健康、有序、可持续发展,直接关乎国家安危,关乎民族兴亡,是国家、民族的头等大事。没有信息安全,就没有真正意义上的政治安全,就没有稳固的经济安全和军事安全,更没有完整意义上的国家安全。信息安全是信息技术发展过程之中提出的课题,在信息化的大背景下被推上了历史舞台。信息安全不是最终目的,它只是服务于信息化的一种手段,其针对的是信息化这种战略资源的安全,其主旨在于为信息化保驾护航。
3 网络信息化的安全属性
信息安全的概念与信息的本质属性有着必然的联系,它是信息的本质属性所体现的安全意义。说安全属性研究首先要从安全定义讲起,安全定义分很多的层次,为什么分层次,我们随着它的演变来看的,信息安全最初目标,叫数据安全,它关心的是数据自身,所以是一个狭义的数据安全,是保护信息自身的安全。
3.1 保密性(Confidentiality)
在传统信息环境中,普通人通过邮政系统发信件时,为了个人隐私要装上信封。可是到了信息化时代,信息在网上传播时,如果没有这个“信封”,那么所有的信息都是“明信片”,不再有秘密可言,这便是信息安全中的保密性需求。保密性是指信息不被泄露给非授权的用户、实体或进程,或被其利用的特性。保密性不但包括信息内容的保密,还包括信息状态的保密。
3.2 完整性(Integrality)
完整性是指信息未经授权不能进行更改的特性。即信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。完整性与机密性不同,机密性要求信息不被泄露给未授权的人,而完整性则要求信息不致受到各种原因的破坏。
3.3 易用性(Availability)
易用性是信息可被授权实体访问并按需求使用的特性。在授权用户或实体需要信息服务时,信息服务应该可以使用,或者是信息系统部分受损或需要降级使用时,仍能为授权用户提供有效服务。易用性一般用系统正常使用时间和整个工作时间之比来度量。
4 构建网络信息化安全管理体系
在面向网络信息的安全系统中,安全管理是应得到高度重视的。这是因为,据相关部门统计,在所有的计算机安全事件中,约有52%是人为因素造成的,25%是由火灾、水灾等自然灾害引起的,技术错误占10%,组织内部人员作案占10%,仅有3%左右是由外部不法人员攻击造成的。简单归类,属于管理方面的原因比重高达70%以上,这正应了人们常说的“三分技术,七分管理”的笺言。因此,解决网络与信息安全问题,不仅应从技术方面着手,更应加强网络住所的管理工作。
好的网络信息化安全管理体现在以下几个方面:在组织内部建立全面的信息安全管理体系,强调信息安全是一个管理过程,而非技术过程;强调信息保密性、完整性、易用性三者在关键流程中运用的平衡;把信息提高到组织资产的高度,强调对组织信息资产进行价值及影响评估,对信息资产的脆弱性及其面临的威胁进行分析,运用风险评估、风险管理手段管理信息安全,使组织风险降低到可接受的水平;从法律和最好的实践经验角度,实施全面的控制措施,使组织信息安全威胁的方方面面置于严密控制之下;强调领导在信息安全管理中的作用;强调信息安全方针在管理体系中的作用;强调对信息技术及工具的实时和有效管理;强调组织运作的连续性及业务连续性的管理;强调信息安全管理水平的不断提高及对流程的策划、实施、检查和改进的过程;信息安全应该是一个以“价值”为基础的过程,即信息安全管理应是一个有附加价值,并讲究投入产出比的过程。
5 关注信息化安全服务的综合性、高技术性和对策性特点
信息安全产业有其鲜明的特点,虽然产生于信息化和信息系统,依然与通常的IT服务有许多区别。信息化安全的基本特征是服务性的。这种服务性与一般软件的服务性是不同的。一般应用系统或产品的服务主要是维护和培训,通常服务是非对策性的、非动态的和比较固定的。信息化安全服务是对策性的、动态性的、不断产生新内容的和似乎永远不能成熟等特性。信息化安全服务范畴几乎包括了整个信息化所包括的所有产品和系统,其服务的综合性和复杂性是显而易见的。信息化安全服务是最高技术的服务,无论从设计角度和使用的角度都要求深入、熟练和非常专业。我们可以骄傲地说,信息化安全服务是世界上最伟大的服务业,也是最困难的服务业。信息化安全服务的复杂性、高成本特性要求信息化安全企业必须在安全服务的远程化和化的推进方面做出不懈努力,不断降低服务成本。
6 结语
网络信息安全不仅仅是一个纯技术层面的问题,单靠技术因素不足以保证网络中信息的安全。网络信息安全还涉及到法律、管理、标准等多方面的问题。因此,信息安全是一个相当复杂的问题,只有协调好这些体系之间的关系,才能有效保证系统的安全。
参考文献
篇2
(北京中油瑞飞信息技术有限责任公司北京100007)
摘要:通过对大中型跨国企业海外信息安全体系的研究,形成了一个完整的海外信息安全体系框架,包括安全策略、安全技术体系、安全管理体系、运行保障体系和建设实施规划等。依照该框架,企业可以针对各部分进行具体实施,从而完成整个的海外信息安全建设。
关键词 :大中型企业;信息安全体系;框架;理论指导;安全模型
1海外信息安全体系建设原则
大中型企业海外信息安全体系的建设,涉及面广、工作量大,整体设计必须坚持以下的原则,以保证建设和运营的效果。
1.1统一规划管理
要对信息安全体系建设进行统一的规划,制定信息安全体系框架,明确保障体系中所包含的内容。同时,还要制定统一的信息安全建设标准和管理规范,使得信息安全体系建设遵循一致的标准、管理遵循一致的规范。
1.2分步有序实施
信息安全体系建设的内容庞杂,必须坚持分步有序的实施原则,循序渐进。
1.3技术管理并重
仅有全面的安全技术和机制是远远不够的,安全管理也具有同样的重要性。信息安全体系的建设,必须遵循安全技术和安全管理并重的原则,制定统一的安全建设管理规范,指导安全管理工作。
1.4突出安全保障
信息安全体系建设要突出安全保障的重要性,通过数据备份、冗余设计、应急响应、安全审计、灾难恢复等安全保障机制,保障业务的持续性和数据的安全性。
2海外信息安全体系建设目标
大型跨国企业海外信息安全的建设目标是:基于安全基础设施、以安全策略为指导,提供全面的安全服务内容,覆盖从物理、网络、系统直至数据和应用平台各个层面,以及保护、检测、响应、恢复等各个环节,构建全面、完整、高效的信息安全体系,从而提高企业信息系统的整体安全等级,为企业海外业务发展提供坚实的信息安全保障。
3海外信息安全体系框架
企业进行信息安全建设的目标是建立起一个全面、有效的信息安全体系,包括了安全技术、安全管理、人员组织、教育培训、资金投入等关键因素,信息安全建设的内容多,规模大,必须进行全面的统筹规划,明确信息安全建设的工作内容、技术标准、组织机构、管理规范、人员岗位配备、实施步骤、资金投入,才能够保证信息安全建设有序可控地进行,使信息安全体系发挥最优的保障效果。
同时还应该制定一系列的安全管理规范,指导信息安全建设和运营工作,使得信息安全建设能够依据统一的标准开展,信息安全体系的运营和维护能够遵循统一的规范进行。
3.1安全目标模型
根据大型跨国企业海外信息安全体系建设目标和总体安全策略,建立与之对应的目标模型,称为WP2DRR安全模型。该模型由预警( Warning)、策略(Policy)、保护(Protectlon)、检测(Detection)、响应(Response)、恢复(Recovery)6个要素环节构成了一个基于时间的、完整的、动态的信息安全体系。WP2DRR模型在P2DR模型的基础上新增加了预警Warnlng和恢复Recover,增强了安全保障体系的事前预防和事后恢复能力,系统一旦发生安全事故,也能恢复系统功能和数据,恢复系统的正常运行。
安全目标模型是信息安全体系框架的基础,大型跨国企业的海外信息安全体系框架应该紧密围绕安全模型的6个要素环节进行设计,每个要素环节的功能都在安全技术体系、安全组织和管理体系以及运行保障体系中体现出来。
3.2信息安全体系框架组成
通过对企业的网络和应用现状、安全现状、面临的安全风险的分析,根据安全保障目标模型,制定了大型跨国企业海外信息安全体系框架。制定该框架的目的在于从宏观上指导和管理信息安全体系的建设和运营。
该框架由一组相互关联、相互作用、相互弥补、相互推动、相互依赖、不可分割的信息安全保障要素组成。此框架中,以安全策略为指导,融会了安全技术、安全管理和运行保障3个层次的安全体系,以达到系统可用性、可控性、抗攻击性、完整性、保密性的安全目标。大型跨国企业海外信息安全体系框架的总体结构如图1所示。
3.2.1安全策略
在这个框架中,安全策略是指导,与安全技术体系、安全组织和管理体系以及运行保障体系这3大体系相互作用。一方面,3大体系是在安全策略的指导下构建的,主要是要将安全策略中制定的各个要素转化成为可行的技术实现方法和管理、运行保障手段,全面实现安全策略中所制定的目标。另一方面,安全策略本身也有包括草案设计、评审、实施、培训、部署、监控、强化、重新评佶、修订等步骤在内的生命周期,需要采用一些技术方法和管理手段进行管理,保证安全策略的及时性和有效性。
按照要保障的资产对象的不同,总体策略划分为物理安全、网络安全、系统安全、病毒防治、身份认证、应用授权和访问控制、数据加密、数据备份和灾难恢复、应急响应、教育培训等若干方面进行阐述。
随着技术的发展以及系统的升级、调整,安全策略也应该进行重新评估和制定,随时保持策略与安全目标的一致性。
3.2.2安全技术体系
安全技术体系是整个信息安全体系框架的基础,包括了安全基础设施平台、安全应用系统平台和安全综合管理平台这3个部分,以统一的信息安全基础设施平台为支撑,以统一的安全系统应用平台为辅助,在统一的综合安全管理平台管理下的技术保障体系框架。
安全基础设施平台是以安全策略为指导,立足于现有的成熟安全技术和安全机制,从物理和通信安全防护、网络安全防护、主机系统安全防护、应用安全防护等多个层次出发,建立起的一个各个部分相互协同的完整的安全技术防护体系。
应用信息系统通过使用安全基础设施平台所提供的各类安全服务,提升自身的安全等级,以更加安全的方式,提供业务服务和内部信息管理服务。安全综合管理平台的管理范围尽可能地涵盖安全技术体系中涉及的各种安全机制与安全设备,对这些安全机制和安全设备进行统一的管理和控制,负责管理和维护安全策略,配置管理相应的安全机制,确保这些安全技术与设施能够按照设计的要求协同运作,可靠运行。它在传统的信息系统应用体系与备类安全技术、安全产品、安全防御措施等安全手段之间搭起桥梁,使得各类安全手段能与现有的信息系统应用体系紧密的结合实现无缝连接,促成信息系统安全与信息系统应用的真正的一体化,使得传统的信息系统应用体系逐步过渡向安全的信息系统应用体系。
统一的安全管理平台有助于各种安全管理技术手段的相互补充和有效发挥,也便于从系统整体的角度来进行安全的监控和管理,从而提高安全管理工作的效率,使人为的安全管理活动参与量大幅下降。
3.2.3安全管理体系
安全组织和管理体系是安全技术体系真正有效发挥保护作用的重要保障,安全管理体系的设计立足于总体安全策略,并与安全技术体系相互配合,增强技术防护体系的效率和效果,同时也弥补当前技术无法完全解决的安全缺陷。
技术和管理是相互结合的。一方面,安全防护技术措施需要安全管理措施来加强,另一方面技术也是对管理措施贯彻执行的监督手段。在大型跨国企业海外信息安全体系框架中,安全管理体系的设计充分参考和借鉴了国际信息安全管理标准《BS7799 (IS017799)》的建议。
大型跨国企业海外信息安全管理体系由若干信息安全管理类组成,每项信息安全管理类可分解为多个安全目标和安全控制。每个安全目标都有若干安全控制与其相对应,这些安全控制是为了达成相应安全目标的管理工作和要求。
3.2.4运行保障体系
运行与保障体系由安全技术和安全管理紧密结合的内容所组成,包括了系统可靠性设计、系统数据的备份计划、安全事件的应急响应计划、安全审计、灾难恢复计划等,运行和保障体系对于企业网络和信息系统的可持续性运营提供了重要的保障手段。
3.2.5建设实施规划
建设实施规划是在安全管理体系、安全技术体系、运行保障体系设计的基础上进一步制定的建设步骤和实施方案。在建设实施规划中突出体现了分步有序实施的原则。
任何信息安全建设都需要人员负责管理和实施,因此,首先应该建立信息安全工作监管组织机构,明确各级管理机构的人员配备,职能和责任。其中信息安全管理机构负责信息安全策略的审核与颁布、统一技术标准和管理规范的制定、指导和监督信息安全建设工作、对信息安全系统进行监控与审计管理。
信息安全体系建设,应该首先从物理环境安全建设入手,确保机房建设按照的统一标准进行建设,并且按照统一的管理规范进行管理。
在接下来的网络安全建设中,应对计算机网络的安全域进行划分,对网络结构进行调整,以确保内部网络与外部网络、业务网络与办公网络边界清晰;在各安全域的边界处部署防火墙、网络入侵检测等安全产品,形成立体的区域边界保护机制,对各安全域进行逻辑安全隔离,禁止未授权的网络访问;在内部网络中部署网络脆弱性分析工具,定期对内部网络进行检查,并采取措施及时弥补新发现的安全漏洞。
在进行网络安全建设的同时,还可以进行系统安全建设,在内部网络中全面部署网络病毒查杀系统,有效抑制计算机病毒在内部网络中传播,避免对系统和数据造成损害。另外,主机系统管理员还应该按照主机系统管理规范的要求,借助主机脆弱性分析和安全加固工具,定期对主机系统进行检查,更新安全漏洞补丁的级别,修正不当的系统和服务配置,查看和分析系统审计日志,控制和保证主机系统的良好安全状态。
应用安全建设包括建立身份认证系统、应用授权和访问控制系统、数据安全传输系统等,对专业业务应用系统和内部信息管理系统提供各种安全服务。
按照统一标准,建立安全审计与分析系统、系统和数据备份计划、安全事件应急响应计划、灾难恢复计划等安全保障机制,重在保护业务数据等信息资产,保证内外应用服务的持续可用性。
对所有员工进行基本安全教育,为信息安全系统相关技术人员提供专门的安全理论和安全技能培训,提高全员的安全意识,打造一支高素质的专业技术和管理队伍。
4结论
海外信息安全体系是一个全方位的体系,从技术到管理、从网络到设备再到人。任何一个方面都要考虑周全,只有每一个部分的安全才是整体的安全。
参考文献
篇3
(一)管理使用的系统
ERP、加油站账册、二次物流管理、加油卡、办公自动化以及企业门户网站等系统是石化销售企业首要的应用系统。应用系统有以下特征:一是系统应用范围广,全程参与企业的经营、管理、对外服务等;二是系统用户众多,涵盖企业各阶层员工;三是系统对持续运转要求高,因此对应用系统的安全运转要求较高。对公司的经营管理而言,系统的安全稳定运行具有重大意义,系统数据是否安全、保密性和供应商、企业利益有密切关系。
(二)安全管理
随着我国经济水平不断提高,石化销售企业越来越离不开信息化管理,世界各地的公司对内部成立一个信息化团队,根据内部的需要制定出具有整体性的管理体系,并根据相关的信息安全规定对系统内部的安全等级做好评估保护工作。各企业制定了详细有效的“信息系统应急预案”以应付各类突发事件。近几年,中国石化内控体系在建设过程中不断加强、完善自身管理体系,也在IT控制方面占有一定的优势。当前,石化销售企业已基本形成一套完整的信息安全防御和管理体系,从而确保了网络信息系统的安全性。
二、信息安全风险的评估
衡量安全管理体系的风险主要方法是进行信息安全风险的评估,以此保障信息资产清单和风险级别,进而确定相应的防控措施。在石化销售企业进行信息安全风险的评估过程中,主要通过资金、威胁、安全性等识别美容对风险进行安全检测,同时结合企业自身的实际情况,拟定风险控制相应的对策,把企业内的信息安全风险竟可能下降到最低水平。
(一)物理存在的风险
机房环境和硬件设备是主要的的物理风险。当前,部分企业存在的风险有:1)企业机房使用年限过长,如早期的配电、布线等设计标准陈旧,无法满足现在的需求;2)机房使用的装备年限太长、例如中央空调老化,制冷效果不佳导致温度不达标,UPS电源续航能力下降严重,门禁系统损坏等,存在风险;3)机房安全防护设施不齐全,存在风险。
(二)网络和系统安全存在的风险
石化访问系统的使用和操作大量存在安全风险,其中主要风险包括病毒入侵、黑客袭击、防火墙无效、端口受阻以及操作系统安全隐患等。即使大部分企业已安装统一的网络防病毒体系、硬件防火墙、按期更新网络系统软件、安装上网行为监控等,但因为系统漏洞数目不断增多网络结构和袭击逐渐减弱或者因为信息系统使用人员操作系统本身的安全机制不完善、也会产生安全隐患。
(三)系统安全风险
没有经过许可进行访问、数据泄密和被删改等威胁着系统的安全性。提供各类应用服务是企业信息系统的首要任务,而数据正是应用信息系统的核心,因此,实际应用与系统安全风险密切联系。当前,信息应用系统存储了大量的客户、交易等重要信息,一旦泄露,造成客户对企业信任度影响的同时也会影响企业的市场竞争力。
(四)安全管理存在的风险
安全管理存在的主要指没有同体的风险安全管理手段,管理制度不完善、管理标准没有统一,人员安全意识薄弱等等都存在管理风险,因此,需要设立完善的信息系统安全管理体系,从严管理,促使信息安全系统正常运作。一方面要规范健全信息安全管理手段,有效较强内控IT管理流程控制力度,狠抓落实管理体系的力度,杜绝局部管理不足点;另一方面,由于信息安全管理主要以动态发展的形式存在,要不断调整、完善制度,以符合信息安全的新环境需求。
三、信息安全管理体系框架的主要构思
信息安全管理体系的框架主要由监管体系、组织体系和技术体系形成,特点是系统化、程序化和文件化,而主要思想以预防控制为主,以过程和动态控制为条件。完善安全管理体系,使石化销售企业信息系统和信息网络能够安全可靠的运作,从机密性、完整性、不可否认性和可用性等方面确保数据安全,提升系统的持续性,加强企业的竞争力。
(一)组织体系
企业在完善管理体系过程中应设立信息安全委员会和相关管理部门,设置相应的信息安全岗位,明确各级负责的信息安全和人员配置等内容。在全面提升企业人员对信息安全了解的过程中必须进行信息安全知识的相关培训,使工作人员提高信息安全管理意识,实现信息安全管理工作人人有责。
(二)制度体系
操作规范、安全策略、应急预案等各项管理制度经过计划和下发,让信息安全管理有据可依。企业参照合理完善的各项制度进一步优化业务流程,规范操作行为,降低事故风险,提升应急能力,以此加强信息安全的管理体系。
(三)技术体系
管理技术、防护技术、控制技术是信息安全管理体系的主要技术基础。安全技术包括物理安全技术、网络安全技术、主机安全技术、终端安全技术、数据安全、应用安全技术等。一旦出现信息安全事件,技术体系会在最短的时间内降低事件的不良影响,依靠相关的信息安全管理技术平台,以实现信息安全技术的有效控制。管理体系的核心是技术手段,先进的加密算法和强化密钥管理构成的数据加密方式全程控制数据传输和数据存储,可以保证数据的安全性。采用堡垒机、防火墙等安全系统可以过滤掉不安全的服务和非法用户,防止入侵者接近防御设备。IDS作为防火墙的重要功能之一,能够帮助网络系统快速检测出攻击的对象,加强了管理员的安全管理技术(包括审计工作、监视、进攻识别等技术),提高了信息安全体系的防范性。企业数据备份这一块可以采用双机热本地集群网、异地集群网等各种形式进行网络备份,利用体统的可用性和容灾性加强安全管理能力。
近年来各个企业的恶意软件、攻击行为手法变化多端很难防御,在各种压力下,传统的的安全防预技术受到了严峻的考验,这时“云安全”技术当之无愧成为当今最热的安全技术。“云安全”技术主要使用分部式运算功能进行防御,而“云安全”技术对于企业用户而言确实明显的保障了信息的安全性以及降低客户端维护量。“云安全”技术是未来安全防护技术发展的必由之路,且今后“云安全”作为企业安全管理的核心内容为企业的数据、服务器群组以及端点提供强制的安全防御能力。”
四、信息安全管理体系相关步骤
由于管理体系具有灵活性,企业可依据自身的特点和实际情况,使用最优方案,结合石化销售的特征,提出以下步骤:1)管理体系的重要目标;2)管理体系的主要范畴;3)管理体系现状考察与风险估量;4)完善管理体系的制度;5)整理管理体系的文档;6)管理体系的运行方式;7)信息安全管理体系考核。
五、结论
篇4
关键词:企业;信息网络;安全体系;安全技术
大中型企业作为我国国民经济的骨干企业,在国家经济发挥举足轻重的作用,现代经济活动离不开信息和网络,大中型企业对网络和信息技术的依赖性很强,企业员工多、信息化互联设备多、种类多样,企业的关键业务大多架构在IT系统之上,网络环境的稳定性、安全性、高效性直接影响公司信息化应用。目前,许多大中型企业提出了建立“数字化企业”的目标,在企业信息化建设中,信息安全问题是必须要首先考虑的问题,可见,建立企业信息安全体系势在必行。
1 企业信息网络安全威胁及风险
近年来,许多大中型企业十分重视信息网络建设的应用和开发,但是对于信息网络安全的防护并没有得到足够重视。根据调研机构的调查报告显示,国内企业中63%经常遭受病毒或蠕虫攻击,而41%的企业受到恶意间谍软件或恶意软件的威胁。主要体现在:病毒和蠕虫攻击、黑客入侵、恶意攻击、完整性破坏、网络资源滥用、员工信息安全意识淡薄等。
目前企业面临着网络攻击的“外部威胁”及内部人员信息泄露的“内部威胁”的双重考验,垃圾邮件、企业机密泄露、网络资源滥用、病毒泛滥以及网络攻击等问题成为企业最为头疼的网络安全问题,企业网络环境日趋严峻。
2 企业网络安全体系
大中型企业网络面临严峻的安全形势,迫使各企业意识到构建完备安全体系的重要性,随着网络攻击的多样化,只针对网络层以下的安全解决方案已经不足以应付各种各样的攻击,同时还要随时注重操作系统、数据库、软硬件设备的安全性;企业安全体系建设不仅要有效抵御外网攻击,而且要能防范可能来自内部的安全泄密等威胁。企业必须采用多层次的安全系统架构才能保障企业网络安全,最终建立一套以内外兼防为特征的企业安全保障体系。
企业信息网络安全体系由物理安全、链路安全、网络安全、系统安全、信息安全五部分构成。
物理安全:物理安全主要是保护企业数据库服务器、应用服务器、网络设备、数据介质及其他物理实体设备的安全,提供一个安全可靠的物理运行环境。
链路安全:数据链路层(第二协议层)的通信连接就安全而言,是较为薄弱的环节。目的是保证网络链路传送的数据不被窃听和篡改。
网络安全:网络安全主要包括:通过防火墙隔离内外网络,不同区域的访问控制,部署基于网络的身份认证及入侵检测系统、VPN、网络集中防病毒等手段实现网络设备自身的安全可靠。
系统安全:系统安全主要指数据库、操作系统的安全保护。保证应用系统的可靠性、完整性和高效性。
信息安全:主要通过数据加密、CA认证、授权等手段保证信息处理、传递、存储的保密性、完整性和可用性。
典型企业信息网络安全管理体系拓扑结构如图一所示:
3 信息安全体系设计原则
企业安全设计应遵循如下原则:
3.1保密性:信息不能够泄露给非授权用户、实体或过程,或供其利用的特性。
3.2完整性:信息完整性是指信息在输入和传输的过程中,不被非法授权修改和破坏,保证数据的一致性。
3. 3可用性:保障授权用户在需要时可以获取信息并按要求使用的特性。
3.4可控性:对信息的处理、传递、存储等具有控制能力。
信息安全就是要保障维护信息的机密性、完整性、可用性以及保障维护信息的真实性、可问责性、不可抵赖性、可靠性、守法性。
4 企业网络安全防范技术手段
目前企业信息网络布署的安全技术手段主要方式有:
4.1防火墙系统
防火墙系统作为企业网络安全系统必不可少的组成部分,用于防范来自外部interne非法用户对企业内部网络的主动威胁。防火墙系统搭建在内部网络与外部公共Internet网络之间,通过合理配置访问控制策略,管理Internet和内部网络之间的访问。其主要功能包括访问控制、信息过滤、流量分析和监控、阻断非法数据传输等。企业在外部攻击的频度和攻击流量非常严重的情况下,建议配置专用的DDOS防火墙。
4.2入侵检测系统
入侵检测系统(简称“IDS”)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。IDS是一种积极主动的安全防护技术,可以弥补防火墙相对静态防御的不足,通过对来自外部网和内部的各种行为进行实时检测,及时发现未授权或异常现象以及各种可能的攻击企图,记录有关事件,以便网管员及时采取防范措施,为事后分析提供依据的依据。
4.3漏洞扫描系统
企业内部部署漏洞扫描系统,不间断地对企业工作站、服务器、防火墙、交换机等进行安全检查,提供记录有关漏洞的详细信息和最佳解决对策,协助网管员及时发现和堵绝漏洞、降低风险,防患于未然。
4.4网页防篡改系统
网页防篡改系统主要是防止企业对外Web遭受黑客的篡改,保证企业外部网站的正常运行。防篡改系统利用先进的Web服务器核心内嵌技术,将篡改检测模块(数字水印技术)和应用防护模块(防注入攻击)内嵌于Web服务器内部,并辅助以增强型事件触发检测技术,不仅实现了对静态网页和脚本的实时检测和恢复,更可以保护数据库中的动态内容免受来自于Web的攻击和篡改,彻底解决网页防篡改问题。
4.5上网行为管理系统
上网行为管理系统主要部署在企业外部防火墙和内部核心交换机之间,针对企业内部员工访问Internet行为进行集中管理与控制。其主要功能有:网页过滤、应用控制(IM聊天、P2P下载、在线娱乐、炒股软件、论坛发帖等)、带宽管理、内容审计(邮件收发、论坛发帖、FTP、HTTP文件传输等)、用户管理、日志管理等功能。
4.6内网安全管理平台
据FBI/CSI中国CNISTEC调查报告:来自企业外部威胁占20%,内部威胁高达80%。针对大型企业日益复杂的内部网络环境以及基于企业保密管理的需求,必须构造一套内网安全管理平台,规范和管理内部网络环境,提高内部网络资源的可控性。其功能应包括:用户认证与授权、IP与MAC绑定、网络监控、桌面监控、安全域管理、 存储介质管理、补丁分发、文档安全管理、资产管理、日志报表管理等。
4.7企业集中防病毒系统
在病毒肆虐的时代,反病毒已经成为企业信息安全非常重要的一环,企业网络情况比较复杂,由于员工计算机水平大多不高,构造一套完整的企业集中防病毒网络系统平台,可以强化病毒防护系统的应用策略和统一管理策略,并且使企业员工电脑的病毒库及时得到更新,增强病毒防护有效性,降低病毒对安全带来的威胁。
集中防病毒系统应具有:集中管控、远程安装、智能升级、远程报警、分布查杀等多种功能。
4.8建立健全企业安全管理组织体系及制度,加强企业信息安全意识
企业在建设信息网络安全建设技术手段的同时,更需要考虑管理的安全性,不断完善企业信息安全制度。通过培训,增强每个员工的安全意识,为大中型企业信息安全管理奠定基础。
随着信息技术的发展,企业无线接入、电子商务交易、数字签名、数字证书等安全管理也应逐步纳入企业信息安全体系范畴。
五、 结束语
目前,大中型企业信息进程的深入和互联网的快速发展,网络化已经成为企业信息化的发展大趋势,针对各种网络应用的攻击和破坏方式也变得异常频繁,信息化发展而来的网络安全问题日渐突出,网络安全问题已成为信息时代人类共同面临的挑战,同时,网络信息安全是一个系统工程,涉及人员、硬软件设备、资金、制度等因素,没有绝对可靠的安全技术,科学有效的管理可以弥补技术安全漏洞的缺陷。
参考文献:
[1]向宏,傅鹂,詹榜华 著 信息安全测评与风险评估 电子工业出版社 2009-01
[2]谢宗晓,郭立生 著 信息安全管理体系应用手册中国标准出版社 2008-10
篇5
关键词: 校园网;网络规划
中图分类号:TP393文献标识码:A文章编号:1006-4311(2012)07-0122-02
0引言
随着互联网的蓬勃发展,网络技术也以惊人的速度不断更新。为了适应国家信息基础设施建设的需要,提高教学质量、办公效率,解决青海大学当前信息化工作遇到的突出问题,在原有校园网的基础上,建设高性能、可靠安全、扩展能力强的新型校园信息化网络系统,建设和支持一批先进的教学、科研、管理和校园文化信息系统,在信息化领域率先取得突破和飞跃,达到国内先进水平,全面支撑未来五年学校各项建设和发展工作。
1校园网和信息化的现状分析
校园网和信息化建设的一般规律和发展周期是建设、应用、产生新的需求、再建设、再应用。青海大学目前处在应用阶段。经过几年的建设,校园网内部的网络传输和访问已经具备了相当的能力和条件,已经开通了一批有需求和应用前景的系统。目前的主要问题是已经投入使用的系统没有被有效地运用起来,关键环节是充分发挥已有系统的效益。主要存在以下几个方面的问题。
1.1 网络设备陈旧现有网络设备只具备很小的性能提升空间,同时对新型网络协议组的支持不足,网络通信的服务质量较低,导致网络性能不稳定。
1.2 管理体系亟待完善随着入网用户的增加,网络设备的维护和网络用户的管理难度越来越大。网络管理过度强调专业背景的倾向,使实际信息化工作中技术含量有余而管理含量不足。
1.3 网络安全体系差由于校园网规模大、应用种类多,用户活跃、流动性、群体的可控性差,所以,校园网的安全问题不仅来自于外网,更多的和更严重的是来自于内网。
1.4 校园网主干带宽不足无法满足目前教学和研究应用的需求,同时也无法满足新型带宽服务的需求。
2校园升级改造的设计方案
青海大学下一代校园网和信息系统的主要建设内容覆盖基础设施建设、管理体系建设、应用系统建设等各个方面,概述如下:
2.1 体系结构设计青海大学信息化服务基础设施如图1所示,按照4横3纵的架构进行规划。其中纵向上,左边安全管理体系和右边运行服务体系构成整个信息化基础设施的基础保障。横向上,通信基础设施、节点机房设施、计算机网络和信息系统向上递进支撑。
2.2 管理协调机构和机制设计大学校园信息化建设与实施是一项涉及面广、技术性强、投资巨大的系统工程,需要有一个良好的保障机制,以便统一规划、指挥和协调。进一步建立健全信息化建设的领导体系,加强组织建设力量,加强和落实基础设施和信息系统的运行维护队伍与运行机制。为信息化建设的正常进行创造基本条件。具体组织机构如图2所示。校园网和信息系统的建设和运行维护的顺利实施是一个管理与技术相结合的问题,特别强调管理部门和技术部门的配合、强调最终用户必须真正参与其中。
2.3 运行和服务体系用户服务、应用管理、基础保障环境管理构成了运维服务的主体,三块内容通过有效、合理的运维流程有机结合起来,形成了一个整体。管理制度与工作规范作为每块工作的依据和要求,保证运维服务工作能够有序进行。青海大学的运行服务机构包括以下3个业务部门。运行部:负责系统的日常运行值班与检测。系统部:保障应用系统稳定、高效地运行。网络部:保障网络系统、光缆等传输系统、防火墙等安全系统的正常运行。
2.4 校园网的升级改造设计
2.4.1 网络基础设施建设包括,通讯网络建设、计算机网络建设、节点建设和数据中心建设。分期建成先进的、稳定可靠的多核心万兆双栈主干网,以局域网有线接入为主体、无线接入为补充,提供充足的校园网用户接入能力,具有充足的校内网络传输带宽和校外互访带宽。建设集中的存储系统,将主要的存储功能从服务器中分离,形成独立的服务,使存储空间利用率有效提高,管理策略更加灵活,扩展容易,并大大增强系统的可用性。同时,基于集中的存储系统建立数据备份机制、保障数据安全。除了对数据进行备份以外,应用系统的保护和快速恢复也是重点,需要建设系统备份和快速恢复机制。具体网络拓扑如图3所示,青海大学下一代校园网主干采用一级扁平化拓扑结构,适当分散布设核心节点,由高档核心设备直接完成用户局域网接入,从而充分发挥高端设备的性能优势,提高网络的传输性能、稳定性和可管理性。
2.4.2 信息系统建设全面实施学校办公和管理工作的电子化、网络化和自动化,发展网络教学,大力加强电子图书馆建设。实施工作在学校决策层的统一指挥和协调下进行。根据学校的管理现状从易到难,分系统,分阶段,按计划地稳步实施推进。在实施中要特别强调各部门的合作,同步调整业务流程。特别强调用户了对系统的实际运用,避免重硬件基础设施建设轻应用系统建设,避免重系统建设轻系统的实际运用。
2.5 网络和安全管理体系建设校园网的安全问题不仅来自于外网,更多、更严重的是来自于内网。因此在网络和系统的安全模型上,只有数据中心、管理控制严密的重要子网才属于传统意义上的内网,是需要对外设防和保护的对象。而其他用户都是防范的对象。青海大学校园网在安全管理方面做了如下系统的建设工作,基于统一身份认证和授权系统的准入、准出控制及用户计费和用户管理审计系统、网络与服务管理系统、系统备份与故障恢复系统等:并在校机关、财务处和图书馆等少数关键或要害部门进行布设防火墙等安全产品。并建立健全了各类保障与应急响应的组织机构和工作规范以及规章制度。
3结束语
校园网信息化建设涉及学校各个方面庞大而复杂的系统,因此统一而正确的规划是整个系统能够成功实施和顺利发展的基本保证。本文从以一般高校实际情况出发,对校园网建设的体系结构设计、管理协调机构和机制设计、安全及管理等方面作了一些构想,希望能对高校校园网络的建设是有所裨益。
参考文献:
[1]MichaeI Palmer.局域网与广域网的设计与实现[M].北京:机械工业出版社,2000.
篇6
[关键词] 信息安全保障体系; 中国石油; 企业
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 09. 054
[中图分类号] TP309 [文献标识码] A [文章编号] 1673 - 0194(2012)09- 0089- 02
1 信息安全保障体系概述
信息安全保障(Information Assurance,IA)来源于1996年美国国防部DoD指令5-3600.1(DoDD5-3600.1)。其发展经历了通信安全、计算机安全、信息安全直至现在的信息安全保障。内容包括保护(Protection)、检测(Detection)、响应(Response)、恢复(Recovery) 4个环节,即PDRR模型。
信息安全保障体系分为人员体系、技术体系和管理体系3个层面,人员体系包括安全人员的岗位与职责、全体工作人员的安全管理两部分。技术体系由本地计算环境、区域边界、网络基础设施及支撑性基础设施组成。管理体系包括建立完善的信息安全管理体系、构建自上而下的各级信息安全管理组织架构、制定信息安全方针与信息安全策略及完善信息安全管理制度4个板块。通过纵深防御的多层防护,多处设置保护机制,抵御通过内部或外部从多点向信息系统发起的攻击,将信息系统的安全风险降低到可以接受的程度。
2 国外信息安全保障体系建设
美国的信息化程度全球最高,在信息技术的主导权和网络上的话语权等方面占据先天优势,他们在信息安全保障体系建设以及政策支持方面也走在全球的前列。美国政府先后了一系列政策战略报告,将信息安全由“政策”、“计划”上升到“国家战略”及“国际战略”的高度。美国国土安全局是美国信息安全管理的最高权力机构,其他负责信息安全管理和执行的机构有国家安全局、联邦调查局、国防部、商务部等,主要根据相应的方针和政策结合自己部门的情况实施信息安全保障工作。
其他国家也都非常重视信息安全保障工作。构建可信的网络,建设有效的信息安全保障体系,实施切实可行的信息安全保障措施已经成为世界各国信息化发展的主要需求。信息化发展比较好的发达国家,如俄、德、日等国家都已经或正在制定自己的信息安全发展战略和发展计划,确保信息安全沿着正确的方向发展,在信息安全领域不断进行着积极有益的探索。
3 国内信息安全保障体系建设
我国信息化安全保障体系建设相对于发达国家起步较晚,2003年9月,中央提出要在5年内建设中国信息安全保障体系。2006年9月,“十一五”发展纲要提出科技“支撑发展”的重要思想,提出要提高我国信息产业核心技术自主开发能力和整体水平,初步建立有中国特色的信息安全保障体系。2007年7月20日,“全国重要信息系统安全等级保护定级工作电视电话会议”召开,标志着信息安全等级保护工作在全国范围内的开展与实施。2011年3月《我国国民经济和社会发展十二五规划纲要》明确提出加强网络与信息安全保障工作。通过一系列的文件要求,不断完善与提升我国的信息安全体系,强调信息安全的重要性。
我国信息安全保障体系建设主要包括:① 加快信息安全立法、建立信息安全法制体系,做到有法可依,有法必依。② 建立国家信息安全组织管理体系,加强国家职能,建立职能高效、职责分工明确的行政管理和业务组织体系,建立信息安全标准和评价体系。③ 建立国家信息安全技术保障体系,使用科学技术,实施安全的防护保障。④ 在技术保障体系下,建设国家信息安全保障基础设施。⑤ 建立国家信息安全经费保障体系,加大信息安全投入。⑥ 高度重视人才培养,建立信息安全人才培养机制。
我国通过近几年的努力,信息安体保障体系取得了长足发展,2002年成立了全国信息安全标准化技术委员会,不断完善信息安全标准。同时在互联网管理、信息安全测评认证、信息安全等级保护工作等方面取得了实质性进展,但CPU芯片、操作系统与数据库、网关软件仍大多依赖进口,受制于人。
4 企业信息安全保障体系建设
中国石油集团公司信息化建设在我国大型企业中处于领先地位,在国资委历年信息化评比中,都名列前茅,“十一五”期间,公司将企业信息安全保障体系建设纳入信息化整体规划中,并逐步实施。其中涉及管理类项目3个,控制类项目3个,技术类项目5个。
管理类项目包括信息安全组织完善、信息安全运行能力建设、风险评估能力建设3个项目。信息安全组织完善是指完善信息安全的决策、管理与技术服务组织,合理配置岗位并明确职责,建立完备的管理流程,为信息安全建设与运行提供组织保障。信息安全运行能力建设内容包括建立统一、完备的信息安全运行维护流程及组织IT运行维护人员信息安全技能培训,较快形成基本的信息安全运行能力。风险评估能力建设是指通过建立风险评估规范及实施团队,提高信息安全风险自评估能力和风险管理能力,强化保障体系的有效性。
信息安全控制类项目涉及信息安全制度与标准完善、基础设施安全配置规范开发、应用系统安全合规性实施3个项目。信息安全制度与标准完善包括:① 初步构建了制度和标准体系,了《信息系统安全管理办法》及系统定级实施办法。② 建立和完善了信息系统安全管理员制度,开展了信息安全培训。③ 跟踪国家信息安全等级保护政策,开展信息系统安全测评方法研究等,规范了信息系统安全管理流程,提升安全运行能力。基础设施安全配置规范开发目标是制定满足安全域和等级保护要求的信息技术基础设施安全配置规范,提高信息技术基础设施的安全防护能力。应用系统安全合规性实施是提供专业的信息安全指导与服务,支持国家等级保护、中国石油内部控制等制度的实施,使信息化建设与应用满足合规性要求。
信息安全技术类项目由身份管理与认证、网络安全域实施、桌面安全管理、系统灾难恢复、信息安全运行中心5个项目组成。身份管理与认证是指建成集中身份管理与统一认证平台,实现关键和重要系统的用户身份认证,提高用户身份管理效率,保证系统访问的安全性。网络安全域包括广域网边界防护、广域网域间与数据中心防护、广域网域内防护3项内容。广域网边界防护是指将全国各地的中国石油单位的互联网集中统一到16个区域网络中心,员工受控访问互联网资源,并最终实现实名制上网。广域网域间与数据中心防护项目指建立。区域间访问与防护标准、数据中心防护标准。广域网域内防护将分离其他网络并制定访问策略,完善域内安全监控手段和技术,规范域内防护标准。桌面安全管理项目包括防病毒、补丁分发、端点准入、后台管理、电子文档保护和信息安全等级保护综合管理6个子系统。系统灾难恢复包括:① 对数据中心机房进行了风险评估,提出了风险防范和改进措施。② 对已上线的18个信息系统进行业务影响分析,确定了灾难恢复关键指标。③ 制定整体的灾备策略和灾难恢复系统方案。信息安全运行中心旨在形成安全监控信息汇总枢纽和信息安全事件协调处理中心,提高对信息安全事件的预警和响应能力。
5 存在问题及建议
中国石油作为国资委超大型企业和能源工业龙头企业,集团领导和各级领导,一贯重视信息安全工作,在落实等级保护制度,加强信息安全基础设施建设,深入开展信息安全战略、策略研究等方面,都取得的丰硕成果,值得其他企业借鉴。公司在信息安全保障体系建设中还存在以下问题:
(1) 信息安全组织体系不够健全,不能较好地落实安全管理责任制。目前,部分二级单位没有独立的信息部门,更没有负责安全体系建设、运行和管理的专职机构,安全的组织保障职能分散在各个部门,兼职安全管理员有责无权的现象普遍存在,制约了中国石油信息安全保障体系建设的发展。需强制建立从上至下完善的管理体系,明确直属二级单位的信息部门建设,岗位设定、人员配备满足对信息系统管理的需求。
篇7
论文摘要:特色是普通高等院校办学水平的标志,也是学校办学优势的具体体现。为了进一步巩固发展信息管理与信息系统专业,优化该专业的结构,提升该专业建设的整体水平,满足企业对信息化人才的需求,文章从信息管理与信息系统专业背景分析入手,对中国计量学院信息管理与信息系统专业的特色定位和教学体系改革提出若干思考。
一、引言
教育部1998年颁布的专业目录中,将信管专业的培养目标确定为:“培养具备现代管理学理论基础、计算机科学技术知识及应用能力,掌握系统思想和信息系统分析与设计方法以及信息管理等方面的知识与能力,能在国家各级管理部门、工商企业、金融机构、科研单位等部门从事信息管理以及信息系统分析、设计、实施管理和评价等方面的高级专门人才。”从培养目标中不难看出一方面教育部进行专业整合的初衷是为了摒弃以前专业划得过细的做法,把目标转向培养既懂经济管理知识,又懂信息技术的高层次、跨学科的复合型人才上来。它不同于计算机科学与技术专业,也有别于工商管理专业。但另一方面,又由于新专业是由五个专业归并而成的,目录中确定的培养目标只能是具有宽泛性和普适性要求的基本目标,给各个高校的具体操作留下了很大的空间。
由于侧重点不同,信管专业课程体系设置在国内高校中出现了多种方案。2005年以前有主干学科结构、知识模块结构、功能模块结构等七种方案。2005年以后仍然是百家争鸣、百花齐放。对于专业方向,有三、四、两个之划分;对于能力组成,有五项、三项之划分;对于核心课程设置,有十一门、八门、十门之划分。有的认为应以“信息系统的开发与管理”为核心,有的则认为应围绕ERP企业资源计划课程。对于知识体系,有五模块、三模块之划分。总之,目前我国信管专业的课程体系多是一种多学科课程的拼盘式组合,没有形成专业自身的专业基础理论体系。
中国计量学院在“十二五规划”中明确指出“要坚持走特色化办学、差异化竞争之路,把特色办学理念贯穿于创建特色鲜明、国内知名的教学研究型大学实践中”。为了进一步巩固发展我校信息管理与信息系统专业,优化该专业的结构,突出该专业建设的特色,需要从信息管理与信息系统专业背景分析入手,结合计量学院的办学特色,对信息管理与信息系统专业特色重新进行定位。
二、专业特色定位
中国计量学院经济与管理学院信管专业是2000年设置的,10多年来专业在学校和分院的指导下取得了一些成就和发展:国家自然科学基金两项、浙江省精品课程一门、浙江省重点教材两部;在学生实践教学中连续两年获得全国电子商务大赛一等奖。但是随着社会和学校的进一步发展,专业的发展面临着许多困难和问题:一是专业定位不明确,特色不明显;二是课程体系设置不合理,课程体系的设置主要是采用“拿来主义”;只注重单科课程设置,忽视课程之间的整合,不少课程内容严重重复,浪费教学时间和教学资源;三是实践环节薄弱,纯理论的课程占的比重过大,实践课程占的比重太小,实践教学明显不足,学生动手能力不强,分析问题和解决问题的能力差;四是专业定位与教学体系之间的吻合度难以考评。
专业建设是普通高等院校主要教学基本建设项目之一,处于教学建设的龙头地位。特色是普通高等院校办学水平的标志,也是学校办学优势的具体体现。办学特色,是一所学校或专业在长期办学过程中积淀形成的,反映在人才培养方面的独特个性和明显优势。它具体体现在学校或专业的办学定位、培养模式、课程体系、教学方法和实践环节等诸多方面,它是学校或专业办学水平和竞争能力的综合反映。
目前国内信管专业的人才培养模式主要有三种:一是以清华大学、同济大学为代表的经济管理模式(即M模式);二是以武汉大学、北京大学为代表的综合性大学的信息资源管理模式(即I模式);三是以中国人民大学和中山大学为代表的侧重于计算机系统导向模式(即S模式)。经过前期多次学科讨论,参照国内外著名高校的经验,我们拟将“信息管理”作为学科定位,以“信息安全管理”作为专业特色定位。这样的专业定位是依靠学校优势学科,以社会需求和学生能力为导向,借鉴国内外办学经验,发挥自身优势,办出特色与水平。中国计量学院是我国质量监督检验检疫行业唯一的本科院校,是一所具有鲜明的计量标准质量检验检疫特色的浙江省重点建设大学。学校坚持“立足浙江,面向全国,依托行业,服务地方”,积极开展科学研究。中国计量学院经济管理学院是中国唯一获得全球首届“ISO标准化高等教育奖”的学院,是通过GBT/19001-2000idtISO9000:2000质量管理体系认证的学院。学院紧紧围绕学校建设国内知名的教学研究型大学的奋斗目标,深入实施“先进的标准,精密的计量,卓越的质量”教学管理方针,坚持以贡献求支持,以特色争优势,以创新谋发展,立足浙江,面向全国,走向世界,使学院成为我国培养质量管理高层次专门人才的摇篮。
三、专业教学体系
培养目标的实现是靠课程体系的整合和设计来支撑的,课程体系直接反映了人才培养的方向,体现知识、能力、素质、市场(就业)和特色五个方面的导向作用。课程是教学之根本,其主要任务在于结合社会对人才的实际需求,依据专业培养的总体目标来设计一套最优的课程体系。信管专业也是一门应用性非常强的专业,其培养目标是应用型、高级的信管人才。纯理论课教学是解决不了动手能力问题的,也无法培养出应用型、高级的信管人才,必须加强实践教学。通过社会实践、认识实习、专业实习、课程设计、毕业设计等一系列环节来锻炼学生的动手能力。信管专业本着专业定位、特色定位从知识、能力、素质、市场(就业)和特色五个方面来设计专业的教学体系。
(一)信息管理
毕业生应具备以下几方面的知识和能力:一是掌握经济学、管理学、计算机和信息管理的基本理论和基本知识;二是具有信息获取、组织、分析、研究、传播与开发利用的基本能力;三是掌握运用现代化技术手段进行文献信息检索、资料查询收集的基本方法和能力,能利用计算机网络采集和信息,具有一定的科研和实际工作能力;四是具备文档管理的能力,包括文档、数据、信息分类管理等;五是具有运用现代的管理方法和手段对与企业或组织相关的信息资源和信息活动进行组织、规划、协调和控制,以实现对企业或组织信息资源的合理开发和有效利用的能力。
毕业生应具备以下几方面的素质:一是胜任力——学习能力和读写能力。不断地、有计划、有组织地学习,不断地追随管理专业的新发展,能用最少的时间,花最小的精力,获得最大量的新知识,并不断地优化自己的知识结构。追踪科技与社会发展的前沿,不断地更新和扩展自己的知识信息,以适应未来社会日新月异的发展变化。具备读写能力,信息管理人员才能实现对信息的收集、存储和传递。二是敏锐感知外部世界的能力——信息获取能力。三是熟练操纵因特网的能力。熟练掌握网络技术,把已获取的新信息通过一定的综合分析、计算、试验操作,最终找出问题,设计解决方案,得出科学结论。四是良好的沟通能力和团队合作精神。五是创新能力。
开设的主要课程:专业主要课程:信息资源管理学、信息存储与检索,信息分析与预测,信息组织学,信息计量学,专业实践课程:统计软件实习,管理软件实习。 就业方向:可以在政府部门或企事业单位的信息管理机构,从事文献和文档管理、信息收集、分析、处理、咨询服务和管理工作等。毕业生经过考试可以成为信息处理技术员、国家信息分析师。
(二)信息安全管理
信息安全管理在当前是全球的热门话题,而建立一个符合国际标准的体系,是大家普遍关注的焦点。建立健全信息安全管理体系(ISO27001认证)对企业的安全管理工作和企业的发展意义重大。首先,此体系的建立将提高员工信息安全意识,提升企业信息安全管理的水平,增强组织抵御灾难性事件的能力,是企业信息化建设中的重要环节,必将大大提高信息管理工作的安全性和可靠性,使其更好地服务于企业的业务发展。其次,通过信息安全管理体系的建设,可有效提高对信息安全风险的管控能力,通过与等级保护、风险评估等工作接续起来,使得信息安全管理更加科学有效。最后,信息安全管理体系的建立将使得企业的管理水平与国际先进水平接轨,从而成长为企业向国际化发展与合作的有力支撑。
BS7799标准是全球第一份关于信息安全管理体系的标准,BS7799-1现在已经被采纳为ISO/IEC27002:2005;BS7799-2也于2005年被采纳为ISO27001:2005。该标准当前已被诸多国家采纳为国家标准。截至2007年9月已经有超过4000家组织通过了ISO27001:2005的审核,获得了信息安全管理体系认证的证书。
毕业生应具备以下几方面的知识和能力:一是信息安全管理技术能力;二是信息安全管理能力。此主要目的是要求学生了解信息安全及其重要性,认识什么是信息安全管理体系,建立一套信息安全管理体系为何需要ISO27001,学会如何建立一套符合企业(组织)需要的信息安全管理制度。
开设的主要课程:计算机安全与技术、网络安全、信息安全管理体系、信息安全风险评估与管理、信息安全管理体系ISO27001建立与实施。
就业方向:毕业的学生经过考试获得信息安全管理体系认证证书,可以从事企事业单位信息安全管理。
四、结论
信管专业的特色培育和课程体系建设并非一蹴而就、一劳永逸的工作。为此,我们将建立一套完整的教学质量管理体系,囊括管理机构和人员、管理的规章制度、管理手段和评价指标体系等,其作用是对整个体系中进行信息反馈和控制,评价专业定位、特色定位与教学体系之间的吻合程度。
参考文献
1、陶雷,莫赞,张立厚.应用型本科“信管”专业课程体系探究及建构实践[J].情报杂志,2010(2).
2、何永刚,黄丽华.信息管理与信息系统专业课程体系研究综述[J].情报杂志,2007(8).
3、CISC2005课题组.中国高等院校信息系统学科课程体系2005[M].清华大学出版社,2005.
4、邓晓红.基于职业能力分析的信息管理与信息系统专业核心课程体系研究[J].中国管理信息化,2009(6).
5、张劲松.信息管理与信息系统专业课程体系创新研究[J].情报杂志,2008(11).
6、张庆华,谭旭红.基于集成化模式开展信息管理与信息系统专业建设[J].中国管理信息化,2009(3).
篇8
档案是当今社会信息的主要来源,也是其社会信息价值的最终体现。当今电子档案在档案事业的发展中占据着十分重要的位置。本文简要介绍了档案的开放与应用现状,分析了信息安全的重要意义,指出了当前档案开放和信息安全存在的相关问题,并提出了相应的解决方案。
关键词:
档案开放;信息安全;保障体系
人类文明发展有文字之后,档案便开始了漫长的保存与利用过程。档案的开放和安全保障是信息保存和开展相关工作的重要保障。目前,档案的开放和信息的保护遭到多方面的干扰,电子档案的兴起更对信息安全提出了更高的要求。因此,加强档案安全利用是档案部门需要重点研究和建设的项目。
一、档案开放与信息安全的必要性
档案开放是顺应市场经济发展的必然,是政府实施“信息公开”制度和“政务上网工程”的要求。档案开放能够推动民主政治的实现,并能推动其发展。档案信息必须附着于不同的载体上,在保存过程中遇到破坏在所难免,而因此造成的信息的丢失对社会的影响非常大。另外,随着信息时代的发展,档案管理电子化,即电子档案的普遍应用,网络开放性更是威胁着档案信息的安全使用。无论是从自然环境还是社会人文环境来看,加强档案信息安全的研究和保护都刻不容缓。
二、档案开放利用的现状
目前,我国档案信息资源的开放程度仍然较低,开放的档案仅占国家档案保存总量的28%。首先,外部环境的巨大变动严重威胁保存档案的硬件设备。其次,网络安全直接影响着电子档案的安全。在虚拟的网络环境里,黑客、病毒等的恶意篡改和攻击严重毁坏了档案的完整性和准确性。网络一旦瘫痪,所有的信息可能会消失殆尽。另外,信息安全的相关法规存在漏洞、执行能力差,安全管理上工作细致性不足,风险评估体系和水平不足。
三、档案开放与信息安全的辩证关系
作为档案工作的核心和最终目的,档案开放必须有严格的工作标准和规定。档案工作者利用多种渠道获得相关信息,进行统一的加工整理形成档案,交给档案使用人员同时加以保存。非保密档案可以依法向社会和人民大众公开,提供给民众参与社会化服务与政策的机会,保障知情权的行使。档案的开放极大地促进了信息的共享和资源的高效利用,能有效地促进相关工作的顺利进行。在档案的开放过程中,信息的安全保护相当关键。档案的开放极大地促进了信息的共享和资源的高效利用,但在档案的开放过程中,信息安全保障是现阶段高校档案不容忽视的一项工作。档案具有历史性、真实性和唯一性,一旦损毁,势必给社会造成难以挽回的重大损失,影响档案工作的发展。因此,如何健康安全地开放档案是档案工作的关键。
四、档案安全保障措施及防范体系
(一)建立完善的法律法规
当前,我国涉及档案安全的法规主要是信息安全和保密管理。它可以帮助档案开放工作健康、科学地发展。但针对信息安全重点建设的等级保护、风险评估、应急响应等内容在法规里仍是空白,这阻碍着档案信息安全系统的完善和对信息的保护。因此,必须建设完整的法律法规体系,加强档案部门工作人员的法律意识和责任感,保障法规的执行力度。同时,针对电子档案的法规也需建设和完善起来,以指导和规范电子档案的安全使用。
(二)加强档案基础环境建设
对于实体档案,如纸质、胶片、磁带档案要严格控制材料的选择,并根据不同的环境需求分开保存,分别配备相应的库房设备。电子档案的保存硬件设备即服务器、终端、存储设备和网络设备。这需要保证设备的物理条件,相关单位需定期检修保障设备的正常运行。电子档案安全更重要的环节是网络的安全保障,网络的安全管理、漏洞检测和病毒查杀都需要网络安全技术的保障。
(三)加强安全技术能力建设
1.实体档案信息安全保障技术。主要有保存技术和修复技术。保存技术重点对库房的环境建设和装帧技术展开。修复技术用于解决在档案的保存、利用过程中受不可抗外力作用,如纸张老化、胶片断折、光盘磨损等。加固技术、去酸去污技术,修裱技术都是常用的修复技术。电子档案安全保障技术就是从系统安全,数据安全,网络安全,用户安全等角度进行安全保护。2.档案信息安全保障手段。通过安全审计保障系统安全;利用数据加密技术、备份技术、应急响应技术保障数据安全;利用防病毒技术、防火墙技术、漏洞扫描技术保障网络安全;利用身份认证、权限控制技术保障用户安全。3.档案信息安全保障措施。对档案管理人员进行安全教育是保障信息安全的重要措施。首先,应该大力推广信息安全观。将个人电脑设定防毒措施,加强资料备份观念。防止在档案信息公开的过程中无意带入电脑病毒。档案部门需要在档案服务器上安装杀毒工具,建立起基本的防毒安全环境。在工作过程中,养成重要资料备份的习惯,将档案信息备份到服务器中,并备份到光盘或磁盘中。另外,制定文件信息安全防护和应急计划,定期进行修订。
(四)完善档案安全管理体系建设
档案的管理工作是真正实现档案安全的重要部分。好的管理思想和制度,负责的管理人员和到位的工作程序是保障档案信息安全的灵魂。建立起档案信息安全组织体系,设立信息安全管理部门,规划组织,明确职责。制定档案信息安全保障工作的整体规划确立明确的目标,拟定长期规划。同时加强管理制度的执行力度,成立安全工作领导小组,定期对档案信息进行检查。
(五)大力推广应用电子档案
从安全角度来看,电子档案较传统纸质档案有较大的安全性。首先,电子文件对环境条件、气候条件耐受性较高,不易被破坏,因此较安全。第二,在文件保管使用的整个环节都可以凭借高科技手段加以安全保护。第三,影响电子文件信息安全所需智力、技术、设备、环境等条件较高。第四,我们一直在不懈努力大幅度提高电子文件的安全技术研发功效,努力杜绝文件信息泄露的可能性。档案开发利用与信息安全保障本身存在很大矛盾。公布档案信息不可避免面临很多未知因素,本身对于档案安全就是一种挑战。要达到双赢的效果,就必须从软硬件环境、法律法规、安全技术、管理体系、行业标准、人才培养等方面进行研究。档案信息安全保障工作是档案工作的保障,也是档案应用工作的生命线。当今社会,传统档案与电子档案并存,必须在完善传统档案安全保障理论的基础上研究电子档案。建立完善的安全保障体系必须从保存环境、法律法规、管理体系等方面着手研究。
参考文献:
[1]尹振芳.浅析档案开放利用的安全保障[J].网友世界,2013(7):18-19.
[2]吴新丽.论电子档案开放利用中信息安全保障存在的问题与对策[J].青年与社会,2014(2):150.
[3]陈振.档案开放利用与信息安全保障研究[C].山东大学,2009.
[4]曲照言.论电子档案开放利用中信息安全保障存在的问题与对策[J].数字化用户,2014(10):105.
[5]肖寒.企业电子档案开放与信息安全措施[J].环球市场信息导报,2013(12):65.
篇9
作为黑龙江的代表乳品企业,飞鹤乳业利用信息化为传统乳品产业插上双翼,将整个全产业链的运作置于信息化管理下,保障了飞鹤乳业的高效顺畅运转。随着企业的快速发展,企业不仅带动了当地县域经济的繁荣,飞鹤乳业的产业链模式更带动了黑龙江省一百多万亩耕地增值,拉动了全省十五万农民增收致富,创造了十五万个就业岗位,近3年累计兑现奶资近30亿元、上缴各级财政税收10亿元,牧业成为农民稳定增收的重要保障。
建设信息化牧场
大规模的养殖对牧场运营流程提出了严峻的考核要求。为了保障奶牛量产和原奶品质,飞鹤乳业引进“电子身份识别系统”不仅有助于牧场工作人员全方位地监控管理各牧场牛群状况,更使各牧场的生产运作变得安全有序。
自启动黑龙江飞鹤原生态牧业股份有限公司以来,在飞鹤克东欧美牧场、飞鹤原生态牧场和飞鹤甘南欧美四个万头牧场陆续开始使用“奶业之星”计算机化管理系统和“电子身份识别系统”。牧场奶牛佩戴RFID电子耳标,并对其的喂养信息、饲料信息、治疗信息、防疫信息、消毒信息、产地信息、无害化信息等自动写入到牧场单独的自动化管理系统“奶业之星”, 整个牧业公司各牧场所有生产数据采集、整理、分析、预警报告得到系统化管理。
通过“奶业之星”,牧场各生产部门人员每天只需短短几分钟就可以将本部门各类生产信息及时录入,系统会自动按照繁殖、育种、泌乳、疾病、防疫、饲养等事件进行分类。生产人员也可依据初配、返情复配、产后配种等任务派单的提示,认真观察、适时配种,在提高期受胎率的同时,节约了冻精成本。最重要的是,“奶业之星”可帮助牧场生产人员依据个体奶牛的整体生产性能准确判断出是否需要淘汰某些奶牛不进行配种繁育,这大大地优化了飞鹤牧场奶牛的基因。
飞鹤乳业构造了一个支持牧业集团化管理和异地化信息管理系统的信息化管理平台,并在此平台上建立中心数据库和一套全面的生产管理体系,全面监控公司各牧场生产状况及牛奶品质,确保飞鹤乳业原料奶的安全性。管理者也可以全方位、多角度、科学、高效地管理牧场,了解牧场的整体运作机制。通过对牧场的全方位现场实时监控,及IT系统对各环节的管理与控制,对奶源实施全面化精细管理,从源头确保产品质量与食品安全。
乳业产品全产业链可追溯平台
企业决策并督导了产品可追溯系统立项、实施及上线,实现了公司所有婴幼儿配方乳粉进行单品追踪与管理,并通过网络平台开放给普通消费者进行查询和全产业链在线体验。这是国内第一个为用户提供在线查询婴幼儿配方乳粉产品的奶源地、生产、质检等关键环节信息的追溯平台,飞鹤也成为首家为用户提供追溯服务的乳品企业。
仅2011年到2012年,集团陆续已完成投资近千万元建设全产业链产品追溯系统。其中数字化、自动化、全程化的食品安全在线追溯与监控体系一期工程即产品可追溯体系已上线,已实现生产厂、生产时间,检验地点、检验时间,奶源地、追溯码等的追溯,并提供给所有消费者,可在线查询。企业级数据仓库与决策平台建设也正在积极推进。
飞鹤全产业链可追溯系统的上线将成为乳制品行业中对产品质量进行管控和为用户提供追溯服务的一种崭新模式探索,是乳制品行业的首个可自动化、可查询、可交互的全产业链食品安全管理体系建设的尝试。通过可追溯系统的运行,在确保乳制品质量安全的同时,将真正做到让消费者参与监督,购买放心奶粉,保持产品生产经营过程中的透明度。能够追溯的关键环节包括:产品追溯码、产品名称、生产厂、生产时间、检验地、检验时间、产品批号、奶源地等信息。立足食品安全,建设全面可追溯与生产安全监控系统,实现全产业链食品安全管理体系。
全产业链业态整合
飞鹤乳业信息化建设已经基本上完成了第一阶段,即信息化平台建设与应用阶段。正在进入数据中心建设与数据治理阶段,即主要工作围绕企业全产业链业态进行整合,建设企业数据仓库与智能决策体系,实施ITSM与数据治理。进而向IT建设的最高境界,打造企业核心竞争力迈进。
近期,飞鹤乳业将继续完善建设数字化、自动化、全程化的食品安全在线追溯与监控体系;建立企业集中统一的数据资产管理体系,实现数据存储、智能分析、决策支持及灾备平台;在现有ERP基础上进行主数据管理与企业服务总线搭建,实现企业应用与服务整合与集成;搭建集团化远程指挥、异地调度、实时监控的管理平台,同时对集团化网络平台进行升级与安全管理,实现集团统一网络出口、集中管控及网络安全管理。
篇10
事件发生以来,业界反应极为迅速,一批网络安全企业和科研单位通过官方网站和社交媒体等多种渠道,不断更新威胁动态,共享技术情报,及时技术保护措施和应对方案;政府部门和专业机构也及时公告和处置指南,增进了社会公众的关注度,加强了对基本防护信息的认知,降低了本次事件的影响程度。由于各方应对及时,“永恒之蓝”勒索蠕虫爆发在5月13日达到高峰后,感染率快速下降,周一上班并未出现更大规模的爆发,总体传播感染趋势得到快速控制。事件过后,对网络安全行业敲响了警钟,也有必要对这次事件进行经验总结,现将对勒索蠕虫病毒事件的一些思考分享出来。
“永恒之蓝”事件回溯
2017年4月期间,微软以及国内的主要安全公司都已经提示客户升级微软的相关补丁修复“永恒之蓝”漏洞,部分IPS技术提供厂商也提供了IPS规则阻止利用“永恒之蓝“的网络行为;(预警提示)
2017年5月12日下午,病毒爆发;(开始)
2017年5月12日爆发后几个小时,大部分网络安全厂商包括360企业安全、安天、亚信安全、深信服等均发出防护通告,提醒用户关闭445等敏感端口;(围堵)
2017年5月13日,微软总部决定公开已停服的XP特别安全补丁;国内瑞星、360企业安全、腾讯、深信服、蓝盾等均推出病毒免疫工具,用于防御永恒之蓝病毒;(补漏)
2017年5月13日晚,来自英国的网络安全工程师分析了其行为,注册了MalwareTech域名,使勒索蠕虫攻击暂缓了攻击的脚步;(分析)
2017年5月15日,厂商陆续“文件恢复”工具,工作机制本质上是采用“删除文件”恢复原理/机制,即恢复“非粉碎性删除文件”;(删除文件恢复)
2017年5月20日,阿里云安全团队推出“从内存中提取私钥”的方法,试图解密加密文件;生效的前提是中毒后电脑没重启、中毒后运行时间不能过长(否则会造成粉碎性文件删除);(侥幸解密恢复)
2017年5月20日之后,亚信安全等网络安全公司推出基于该病毒行为分析的病毒防护工具,用于预防该病毒变种入侵;(未知变种预防)
2017年6月2日,国内网络安全企业找到了简单灵活的、可以解决类似网络攻击(勒索病毒)方法的防护方案,需要进一步软件开发。
事件处理显示我国网络安全能力提升
(一)网络安全产业有能力应对这次“永恒之蓝”勒索蠕虫事件
早在4月15日,NSA泄漏“永恒之蓝”利用工具,国内不少主力网络安全企业就针对勒索软件等新安全威胁进行了技术和产品的准备,例如深信服等部分企业就提取了“永恒之蓝”的防护规则,并部分升级产品,还有部分企业识别并提前向客户和社会了预警信息,例如,在这次事件爆发时,亚信安全等网络安全企业保证了客户的“零损失”。
事件发生后,国内网络安全企业积极行动,各主要网络安全企业都进行了紧急动员,全力应对WannaCry/Wcry等勒索病毒及其种的入侵,帮助受到侵害的客户尽快恢复数据和业务,尽量减少损失。同时,也积极更新未受到侵害客户的系统和安全策略,提高其防护能力。360企业安全集团、安天等公司及时病毒防范信息,并持续更新补丁工具。此次“永恒之蓝” 勒索蠕虫被迅速遏制,我国网络安全企业发挥了重要作用,帮助客户避免被病毒侵害而遭受损失,帮助受到感染的客户最大限度地减少损失。
(二)网络安全防护组织架构体系科学、组织协调得力
随着《中国人民共和国网络安全法》的颁布实施,我国已经初步建立了一个以网信部门负责统筹协调和监督管理,以工信、公安、保密等其他相关部门依法在各自职责范围内负责网络安全保护和监督管理工作的管理体系。既统筹协调、又各自分工,我国的网络安全管理体系在应对此次事件中发挥了重要作用。
依照相关法律规范,在有关部门指导下,众多网信企业与国家网络安全应急响应机构积极协同,快速开展威胁情报、技术方案、通道、宣传资源、客户服务等方面的协作,有效地遏制住了事态发展、减少了损失。
安全事件暴露出的问题
(一)网络安全意识不强,对安全威胁(漏洞)重视不够
4月14日,Shadow Brokers 再次公布了一批新的 NSA 黑客工具,其中包含了一个攻击框架和多个Windows 漏洞利用工具。攻击者利用这些漏洞可以远程获取 Windows 系统权限并植入后门。
针对此次泄露的漏洞,微软提前了安全公告 MS17-010,修复了泄露的多个 SMB 远程命令执行漏洞。国内网络安全厂商也提前了针对此次漏洞的安全公告和安全预警。但是国内大部分行业及企事业单位并没有给予足够的重视,没有及时对系统打补丁,导致“永恒之蓝”大范围爆发后,遭受到“永恒之蓝”及其变种勒索软件的攻击,数据被挟持勒索,业务被中断。
在服务过程中发现,大量用户没有“数据备份”的习惯,这些用户遭受“永恒之蓝”攻击侵入后,损失很大。
(二)安全技术有待提高(安全攻防工具)
继2016年8月份黑客组织 Shadow Brokers 放出第一批 NSA“方程式小组”内部黑客工具后,2017年4月14日,Shadow Brokers 再次公布了一批新的 NSA 黑客工具,其中包含了一个攻击框架和多个Windows 漏洞利用工具。攻击者利用这些漏洞可以远程获取 Windows 系统权限并植入后门。
目前,我国在网络安全攻防工具方面的研发与欧美国家相比还存在较大差距,我国在网络安全漏洞分析、安全防护能力上需进一步加强。勒索蠕虫入侵一些行业和单位表明不少单位的安全运维水平较低。
实际上,防御这次勒索蠕虫攻击并不需要特别的网络安全新技术,各单位只需要踏踏实实地做好网络安全运维工作就可以基本避免受到侵害。具体而言,各单位切实落实好安全管理的基础性工作――漏洞闭环管理和防火墙或网络核心交换设备策略最小化就可以基本防御此次安全事件。
在漏洞管理中运用系统论的观点和方法,按照时间和工作顺序,通过引入过程反馈机制,实现整个管理链条的闭环衔接。也就是运用PDCA的管理模式,实现漏洞管理中,计划、实施、检查、改进各工作环节的衔接、叠加和演进。要尽力避免重发现、轻修复的情况出现。及时总结问题处置经验,进行能力和经验积累,不断优化安全管理制度体系,落实严格、明确的责任制度。需要从脆弱性管理的高度,对系统和软件补丁、配置缺陷、应用系统问题、业务逻辑缺陷等问题进行集中管理。通过这些规范、扎实的工作,切实地提升安全运维能力。
基础工作做到位,防护能力确保了,可以有效避免大量网络安全事件。
对提升网络安全防护能力的建议
(一)完善隔离网的纵深防御,内网没有免死金牌!
这次事件的爆发也反映出不少行业和单位的网络安全管理意识陈旧落后。部分决策者和运维管理人员盲目地认为网络隔离是解决安全问题最有效的方式,简单地认为只要采取了隔离方案就可以高枕无忧。一些单位在内网中没有设置有效的网络安全防护手段,一旦被入侵,内网可谓千疮百孔、一泻千里。部分单位的内网甚至还缺乏有效的集中化管理手段和工具,对于网络设备、网络拓扑、数据资产等不能够实现有效的统一管理,这给系统排查、业务恢复、应急响应都带来了很大的困难,也大幅度地增加了响应时间和响应成本。这次事件中一些使用网络隔离手段的行业损失惨重,这种情况需要高度警醒。
在4・19重要讲话中专门指出:“‘物理隔离’防线可被跨网入侵,电力调配指令可被恶意篡改,金融交易信息可被窃取,这些都是重大风险隐患。”
一定要破除“物理隔离就安全”的迷信。随着IT新技术的不断涌现和信息化的深入发展,现实中的网络边界越来越模糊,业务应用场景越来越复杂,IT 系统越来越庞大,管理疏忽、技术漏洞、人为失误等都可能被利用,有多种途径和方法突破隔离网的边界阻隔。网络隔离不是万能的,不能一隔了之,隔离网依然需要完善其纵深防御体系。
在网络安全建设和运营中,一定要坚持实事求是的科学精神。在全社会,特别是在政府、重点行业的企事业单位各级领导应树立正确的网络安全观仍是当今重要的紧迫工作。
(二)强化协同协作,进一步发挥国家队的作用
面对日益复杂的网络空间安全威胁,需要建立体系化的主动防御能力,既有全网安全态势感知和分析能力,又有纵深的响应和对抗能力。动态防御、整体防御才能有效地应对未知的安全威胁。体系化能力建设的关键在于协同和协作,协同协作不仅仅是在网络安全厂商之间、网信企业之间、网络安全厂商与客户之间、网信企业与专业机构之间,国家的相关部门也要参与其中。国家的相关专业机构,如国家互联网应急中心(CNCERT)等应在其中承担重要角色。
在安全事件初期,各种信息比较繁杂,并可能存在不准确的信息。建议国家信息安全应急响应机构作为国家队的代表,在出现重大安全事件时,积极参与并给出一个更独立、权威的解决方案,必要时可以购买经过验证的第三方可靠解决方案,通过多种公众信息平台,免费提供给社会,以快速高效地应对大规模的网络攻击事件。
(三)进一步加强网络安全意识建设和管理体系建设
三分技术、七分管理、十二分落实。安全意识和责任制度是落的基本保障。
加强网络安全检查机制。加强对国家关键基础设施的安全检查,特别是可能导致大规模安全事件的高危安全漏洞的检查。定期开展网络安全巡检,把网络安全工作常态化。把安全保障工作的重心放在事前,强化网络安全运营的理念和作业体系,把网络安全保障融入到日常工作和管理之中。
采用科学的网络安全建设模型和工具,做好顶层设计,推进体系化和全生命周期的网络安全建设与运营。尽力避免事后打补丁式的网络安全建设模式,把动态发展、整体的网络安全观念落实到信息化规划、建设和运营之中。
安全建设不要仅考虑产品,同时要重视制度、流程和规范的建设,并要加强人的管理和培训。
加强网络安全意识教育宣传。通过互联网、微信、海报、报刊等各种形式的宣传,加强全民网络安全意识教育的普及与重视。在中小学普及网络安全基础知识和意识教育。借助“国家网络安全宣传周”等重大活动,发动社会资源进行全民宣传教育,让“网络安全为人民、网络安全靠人民”的思想深入人心。
(四)进一步加强整体能力建设
切实落实“4・19讲话”精神,加快构建关键信息基础设施安全保障体系,建立全天候全方位感知网络安全态势的国家能力与产业能力,增强网络安全防御能力和威慑能力。不仅要建立政府和企业网络安全信息共享机制,同时要积极推进企业之间的网络安全信息共享,探索产业组织在其中能够发挥的积极作用。
加强网络安全核心技术攻关。针对大型网络安全攻击,开发具有普适性的核心网络安全关键技术,例如可以有效防御各类数据破坏攻击(数据删除、数据加密、数据修改)的安全技术。
完善国家网络安全产业结构。按照国家网络安全战略方针、战略目标,加强网络某些安全产品(安全检测、数据防护等)的研发。
加强网络安全高端人才培养。加强网络安全高端人才培养,特别是网络安全管理、技术专家培养,尤其是网络安全事件分析、网络安全应急与防护,密码学等高级人才的培养。
加强网络安全攻防演练。演练优化安全协调机制,提高安全技能和安全应急响应效率。
(五)加强对网络安全犯罪行为的惩罚
相关期刊
精品范文
10网络监督管理办法