第一篇:智慧城市信息安全保障体系与安全策略
《智慧城市信息安全保障体系与安全策略》答案(87分)
一、单选
1、以下选项中,不属于信息安全保障体系模型的要素是(保障过程)
2、以下选项中,不属于业务协同面临的安全威胁和风险的是(缺乏集中处理和高效分析能力„„)
3、智慧城市以(物联网、云计算等新一代信息技术应用)为基础。
4、智慧城市总体架构的感知层的功能是(实现智慧城市数据的感知、采集、获取„„以及纠错融合等数据预处理)
5、智慧城市信息安全保障的原则是(积极防御、综合防范)
6、智慧城市需要打造一个统一平台,„„构建
(三)张基础网络„„
7、信息安全的(可认证性)是指能够核实„„真实性。
8、智慧城市广义上指(城市信息化)
9、(物联网)是通过„„管理的一种网络。
10、以下选项中,不属于智慧城市安全策略中„„要同步的是(同步检测)
二、多选
11、信息安全保障体系模型的主要特征是(强调综合保障的概念、强调安全特征)
12、信息系统总是存在信息安全问题,„„内因包括(全选)
13、大数据集中面临的安全威胁和风险包括(不选网络身份可信机制不完„„篡改等现象)
14、信息安全的基本属性包括(全选)
15、智慧城市总体架构的应用层可以细分为(不选关联服务层)
16、对于城市而言,智慧是指„„这里的服务主体主要指的是(不选组织)
17、智慧城市的安全策略包括(全选)
18、智慧城市信息安全技术体系的要素包括(不选安全权限管理)
19、在一般信息系统中,典型的信息安全风险包括(全选)20、智慧城市的特点包括(全选)
三、判断
21、智慧城市将机器与机器之间„„人与人之间的„„通信(错)
22、智慧城市信息安全管理体系„„和技术管理法规规范。(对)
23、智慧城市是全球范围内„„建立相应的城市试点进行实践(对)24、2013年,住建部„„通知(对)
25、智慧城市是以通讯技术„„让城市成为„„中枢(对)
26、信息系统安全保障是„„相应的安全保障策略(对)
27、智慧城市的建设„„高度集中与融合(对)
28、云计算主要强调云布局的计算方式,在基础„„部署的快捷(对)
29、智慧城市信息安全保障的目标是„„保障智慧城市的安全(对)
30、智慧城市中存在大量的信息系统,必然要在建设过程中解决信息安全问题(对)
《邯郸经济形势与未来发展》答案(94分)
一、单选题
1、邯郸市推进经济转型升级发展的首要抓手是(项目建设)
2、从即期运行看,邯郸市经济面临的难题不包括(市场约束缺乏)
3、近几年,(工业)是拉动邯郸市经济增长的主导力量。
4、邯郸市推进经济转型升级发展的战略切点是(引进央企)
5、邯郸是资源丰富、产业发达城市,„„“两黑”是指(铁矿、煤炭)
6、以下选项中,不属于邯郸市科学治理污染的手段的是(禁止消耗能源)
7、以下选项中,不属于邯郸融入京津冀协同发展的不利因素的是(执法行为不够规范)
8、以下选项中,不属于邯郸融入京津冀协同发展的有利因素的是(邯郸自身经济发展水平较高)9、2012年11月26日,国家(《中原经济区规划》)正式出台,„„或涉及邯郸。
10、经济学上,拉动经济增长的三驾马车是指(出口、消费、投资)
二、多选题
11、中国经济发展新常态的特点包括(不选“增长速度从7%左右的中高速增长转向10% 左右的高速增长”)
12、从未来发展看,邯郸经济面临的压力包括(全选)
13、邯郸在京津冀协同发展中定位“一门户、三基地”,其中三基地是指(不选“现代物流基地”)
14、邯郸是全国重要的产业基地,其支柱工业主要包括(全选)
15、邯郸是一个历史文化城市,在悠久历史中,邯郸形成了(不选“轩辕文化”)等文化脉系。
16、邯郸市实行项目投资负面清单管理是基于(不选“加快经济增长速度”)的需要
17、邯郸的经济特征是(不选“东强西弱”)
18、邯郸市工业经济的质量效益不断提升,主要表现在(全选)
19、邯郸市借鉴海宁经验,„„评价指标主要包括(全选)
20、邯郸作为京津冀协同发展的边缘城市,为了去除“边缘”二字,要做到(要盯紧核心,不放周边;要不求所有,但求所用)
三、判断题
21、邯郸是晋冀鲁豫四省交界区最大的城市„„交通枢纽城市。(对)
22、负面清单相当于投资领域的“黑名单”,列明了企业不能投资的领域和产业。(对)
23、GDP常被公认为衡量国家经济状况的最佳指标,它能反映一个国家的经济增长和资源消耗。(错)
24、邯郸目前还不是河北省的循环经济试点城市。(错)
25、冀南新区的两港是指在冀南新区北部协调区内„„“内陆港”。(对)
26、邯郸的产品结构可概括为:资源型、初加工、出小力、赚大钱。(错)
27、邯郸市未来发展的目标是建设宜居宜业宜游的富强邯郸、美丽邯郸。(对)
28、邯郸市积极推进钢铁企业减量整合重组的„„稳步整合重组。(对)
29、经济发展进入新常态,是我国经济发展阶段„„自然规律作用的客观体现。(对)30、邯郸是环境优越、宜居宜业的城市,先后荣获中国最具创新绩效城市„„等称号。(对)
《世界战略形势及国家安全环境》答案(98分)
一、单选
1、以下对中国周边安全环境„„不恰当的(周边大国多,且均拥有核武器„„)
2、当今世界的战略形势可以概括为(一超主导,多强制衡)
3、世界战略形势„„中国的解决对策不恰当的是(依靠国际社会的帮助与支持)
4、世界战略形势的主要特点„„()为代表„„军事技术革命。(计算机技术和通信技术)
5、世界主要国家把(军事力量)作为国家综合国力的支柱。
6、从内部看,中国国家安全面临的挑战主要表现在(中国社会进入了矛盾凸显期)
7、现阶段中国国家安全面临的外部威胁不包括(长时间地维持国内政治稳定较困难)
8、世界主要战略力量竞争的主要目标是(争夺国际规则的制定权)
9、针对目前世界战略形势„„我国的应对策略是(加快经济发展,维护国家安全)
10、中国国家面临着军事上同„„以下对我国的相关描述正确的是(保卫海上交通线安全的能力不足)
二、多选
11、经济全球化的趋势„„所带来的影响有(促进科学技术的传播和普及)(使国际剥削合法化)
12、武器装备是保卫国家安全的重要工具„„发展应注意(全选)
13、奥巴马执政期间,值得中国关注的问题有(不选文化上我方已被美方“绑架”)
14、当今国际关系日益复杂化,美国„„制定了一系列的对华战略(不选文化上帮助)
15、经济全球化的发展对中国产生的负面影响是(政治上面临巨大压力和军事上面临现实挑战。这两要选,另两个不清楚)
16、中国国家安全面临的机遇包括(不选面临现实的战争威胁)
17、中国现阶段所处的安全环境„„,其中不利的因素是(不选与周边国家的睦邻友好关系空前发展)
18、当今世界战略形势的主要特点是(全选)
19、进入新世纪以来,为了„„应努力做到(全选)20、在世界战略形势„„中国相应的对美战略是(全选)
三、判断
21、政治多元化指的是„„(对)
22、美国正在加速„„反华包围圈(对)
23、经济全球化的„„使各个连胜之间内政„„(对)
24、目前我国领导体制和指挥„„与现代战争的需求相适应(错)
25、目前,其他大国和世界集团&„„上对美国的主导地位构成制衡(对)
26、从世界战略形式的长远角度看,中美关系中的对抗因素将明显上升(对)
27、进入新世纪以来,全球军事革命趋向于军事信息化战争(对)
28、从长远角度看,中美关系中的对抗因素将明显上升(对)
29、美国虽然受到金融危机的影响„„同时„„主要力量(对)30、经济全球化和政治多元化的发展„„建立了公平发展的新秩序。(错)
《中国雾霾污染与防治对策》答案(87分)
单选题1-10 1.煤源性污染造成的大气污染物是(二氧化硫)。
2.由于我国大城市的燃煤数量不断减少,燃油和天然气的情况增多,导致我国大城市雾霾向(-VOCS-)型发展。
3.颗粒物污染指标TSP是指(总悬浮颗粒)。
4.我国执行的世界卫生组织大气环境质量初级标准是控制(PM2.5)的浓度。5.1952年伦敦烟雾事件期间非正常死亡率增高的主要原因是(硫酸物污染)。6.(20世纪80年代)开始氮氧化物排放量迅速增多,环境质量迅速下降。7.我国从什么时候开始控制大气污染,关注环境保护(1970年前后)。8.PM2.5日均值达到75ug/m3是(中国二级标准)的颗粒物标准。9.下列各项大气污染物中,控制难度最大的是(PM2.5)。
10.在我国大多数城市中,至今大气污染物严重超标的是(PM2.5)。多选题11-20 11.制定大气PM空气质量标准难度极大的原因是(PM2.5化学组成随时间变化、PM2.5化学组成不同环境影响不一样)。
12.关于PM2.5的说法,正确的是(不选我国已找到-----)。
13.《中国环境报》发表的关于PM2.5源解析的主要来源是(不选燃煤)。
14.1982年我国第一次制定空气质量标准时,就颗粒物而言制定了(PM10、TSP)的质量标准。
15.下列关于颗粒物标准的说法,正确的是(全选)。
16.下列各项中,对我国雾霾污染的防治措施正确的是(选制定------、控制--------)。17.中国雾霾的主要类型包括(不选—SOX—)。
18.改革开放以来,我国大气污染物主要包括(B.二氧化碳C.二氧化氮D.二氧化硫)。
19.下列各项中,关于2013年北京雾霾事件和1952年伦敦烟雾事件的说法,正确的是(两个北京低于)。
20.2013年6月李克强主持召开国务院常务会议时,部署大气污染防治的措施包括(ABCD)。判断题:
21.北京雾霾细微颗粒物污染会诱发慢性疾病的产生。(对)22.大气污染中,大颗粒污染物容易控制,细微颗粒很难治理。(对)23.天津市的雾霾类型和北京市的雾霾类型不同,有很大的差异。(对)24.世界上只有中国遭遇雾霾污染。(错)
25.从1990年到2012年我国PM2.5减少的幅度比SO2减少的幅度小得多。(错)26.中国PM2.5控制比西方国家滞后了15年。(对)
27.雾霾污染与二氧化硫污染相比,雾霾污染更具有复杂性。(对)28.一次源颗粒物粒径越小控制越困难。(对)
29.北京城区2013年1月雾霾期间,大气中二氧化硫浓度高于氮氧化物浓度。(错)
30.我国大城市对于大气污染的治理,首先控制二氧化硫的污染,其次是氮氧化物的污染。(对)
《关于中国事业单位改革的理论思考》答案(83分)
一、单选题:
1、人类历史上有市场组织、„ 志愿性和公益
2、事业单位人事制度改革是事业„ 转换用人机制和搞活用人制度
3、中国事业单位人事制度„ 大力推进聘用制度
4、事业单位改革实行合同管理„ 人才中心
5、第三部门在中国包括 事业单位、社会团体和民办非企业单位
6、竞争上岗的程序为 个人申请-竞争演讲-择优上岗-动态聘用
7、中国社保养老金改革要求实行 中央-地方-企业-个人
8、事业单位,特指没有生产收,由 国家经费
9、事业单位按性质类别分类,可划分为 行政执法类、生产经营类和社会公益类
10、十届人大三次会议强调要把财力„ 公共管理和公益服务
二、多选题
11、事业单位改革的分流措施包括 全选
12、中国事业单位面临的问题有:政事不分 管理偏死 机制不活
13、事业单位按财政支持力度分类,可划分为 自收自支 全额拨款 差额拨款
14、对事业单位改革的分类指导方针表述正确的是 对其他类型事业单位,实行符合其 对转制为企业 对行使行政
15、事业单位的特征是 非政府 非营利 非企业
16、竞争上岗的公开内容包括 全选
17、中国事业单位具有的功能体现在 为缓解 是我国物质 是我国人才
18、我国事业单位改革的基本内容是 全选
19、在国际上事业单位的类似称谓有 第三部门 非营利组织 公共服务部门 20、中国事业单位改革面临的障碍是 全选
三、判断题
21、事业单位进行改革,为确保„正确
22、现代社会第三部门发展程度如何,„正确
23、以盈利为目标的企业,„错误
24、事业单位的主要职能是提供教育、„正确
25、事业单位改革的分流方针是外部„正确
26、事业单位改革强调公开招聘,要求„错误
27、事业单位改革就是减钱、„错误
28、事业单位的范围涉及教育类、„正确
29、事业单位招聘必须在„错误
30、由于技术进步,人类正迈入一个„错误
第二篇:信息安全策略
信息安全策略
是一个有效的信息安全项目的基础。从信息安全领域中发生的事件来看,信息安全策略的核心地位变得越来越明显。例如,没有安全策略,系统管理员将不能安全的安装防火墙。策略规定了所允许的访问控制、协议以及怎样记录与安全有关的事件。尽管信息安全策略是廉价的实施控制方式,但它们也是最难实施的。策略花费的仅仅是创建、批准、交流所用的时间和精力,以及员工把策略整合形成日常行为规范所用的时间和精力。即使是雇佣外部顾问来辅助制定策略,与其它控制方法(特别是技术控制)相比,其花费也是较小的。策略的制定需要达成下述目标:减少风险,遵从法律和规则,确保组织运作的连续性、信息完整性和机密性。
信息安全策略应主要依靠组织所处理和使用的信息特性推动制定。组织为高层主管、董事会成员、战略伙伴以及员工提供了内部信息系统,对信息系统中信息特性的理解,能为策略制定提供有用的依据。应当重视对信息系统了解深刻的员工,所提出的组织当前信息的主要特性,具体包括:什么信息是敏感的、什么信息是有价值的以及什么信息是关键的。
在制定一整套信息安全策略时,应当参考一份近期的风险评估或信息审计,以便清楚了解组织当前的信息安全需求。对曾出现的安全事件的总结,也是一份有价值的资料。也需要召开相关人员会议,比如首席信息官、物理安全主管、信息安全主管、内部审计主管和人力资源主管等。
为了确定哪些部分需要进一步注意,应收集组织当前所有相关的策略文件,例如计算机操作策略、应用系统开发策略、人力资源策略、物理安全策略。也可以参考国际标准、行业标准来获得指导。
资料收集阶段的工作非常重要,很多时候因为工作量和实施难度被简化操作。资料收集不全,调研不够充分会导致新建的信息安全策略无法与组织的真正需求一致。也无法确保策略中的要求与管理目标相一致。如果提出一套与组织文化明显不一致的策略,更是一件很尴尬的事情。
在制定策略之前,对现状进行彻底调研的另一个作用是要弄清楚内部信息系统体系结构。信息安全策略应当与已有的信息系统结构相一致,并对其完全支持。这一点不是针对信息安全体系结构,而是针对信息系统体系结构。信息安全策略一般在信息系统体系结构确立以后制定,以保障信息安全体系实施、运行。例如,互联网访问控制策略可使安全体系结构具体化,也有利于选择和实施恰当的防火墙产品。
收集完上面所提到的材料后,也就是调研阶段完成后,开始根据前期的调研资料制定信息安全策略文档初稿。初稿完成后,应当寻找直接相关人员对其进行小范围的评审。对反馈意见进行修改后,逐渐的扩大评审的范围。当所有的支持部门做出修改后,交由信息安全管理委员会评审。
信息安全策略的制定过程有很高的政策性和个性,反复的评审过程能够让策略更加清晰、简洁,更容易落地,为此在评审的过程中需要调动参与积极性,而不是抵触。
评审过程的最后一步一般由总经理、总裁、首席执行官签名。在人员合同中应当表明能予遵守并且这是继续雇佣的条件。也应当发放到内部服务器、网页以及一些宣传版面上的显眼位置,并附有高层管理者的签名,以表明信息安全策略文档
得到高层领导强有力的支持。如果让首席执行官签名不现实,由首席信息官签名也可以。要注意仅有信息安全部门主管或同级的部门主管签名,一般不足以表明高层管理者的同意和支持。虽然获得高层管理者的同意很难实施,但经验表明,高层的支持对策略的实施落地是非常重要的。
一般来说,在信息安全策略文件评审过程中,会得到组织内部各方多次评审和修订,其中最为重要的是信息安全管理委员会。信息安全委员会一般由信息部门人员组成,参与者一般包括以下部门的成员:信息安全、内部审计、物理安全、信息系统、人力资源、法律、财政和会计部。这样一个委员会本质上是监督信息安全部门的工作,负责筛选提炼已提交的策略,以便在整个组织内更好的实施落地。如果组织内还没有信息安全管理委员会,在制定信息安全策略的时候正是建立管理委员会的好时机,或由组织内已存在的同职能部门担任职责。
虽然制定了新的安全策略,还必须有一个适当的实施过程,如果这些策略不能得到实施,将起不到任何作用,不能得到执行的策略,可能比完全没有策略更糟糕,因为这样会教会员工作假和质疑组织内部执行力,这也可能麻痹管理者认为信息安全为题已经处理虽然现实是另外一回事。
管理层常以为员工行为当然以组织利益为重,这是一个欠考虑的想法。虽然策略不可能影响员工的个人价值观,但管理层可以运用策略给员工提供机会,引导他们和组织的利益一致。策略告诉员工组织对他们的期望是什么。
新策略发布前,应在内部信息技术部门或审计部门内讨论如果具体实施。新策略的执行可能会遇到多样化的问题。可以通过绩效评估和相应奖惩制度来保证策略的执行有效性。发现和惩罚违反策略的员工并不是目的。如果大量的人都不遵守,这就表明策略和相关的意识提升是无效的。在此情形下,需要寻找更有效的方式实施,或修改策略,以便更好的反映组织文化。
另有一些策略实施的建议:
在组织内部网站或一些媒体发布策略—新策略应发布在组织内部网站上,加入相关链接让用户能很快定位感兴趣的材料。
制定自我评估调查表—在新的策略实施时,制定评估表,填写实施情况,就能明确哪些部门没有遵守好、哪些地方需要额外加强控制。
制定遵守信息安全策略的员工协议表——应当编辑一个反映员工该如何遵守信息安全策略的法律协议表,或直接体现在员工合同中。
建立考察机制检查员工是否理解策略——调查员工是否理解安全策略文档中的重点。通过考试确定是否要增加培训和通告。
基础信息安全培训课程——培训课程通过录像或培训软件存档。不同策略对象可能要不同的培训课程。
分配策略落实负责人——按部门或实际情况分配负责人,落实责任。
第三篇:税务系统信息安全策略
论文编号:6G21112101
税务系统信息安全策略
刘宏斌 李怀永
内容题要:
随着税收信息化程度不断提高,税收工作对信息系统的依赖性不断增大,税务信息安全显得更加重要。本文主要通过分析税务信息化的网络安全的重要性和内部网网络信息存在的安全问题来提出税务信息化的网络安全实施方案。
关键词:税务信息化、信息安全、安全策略
计算机软硬件技术的发展和互联网技术的普及,为电子税务的发展奠定了基础。尤其是国家金税工程的建设和应用,使税务部门在遏止骗税和税款流失上取得了显著成效。电子税务可以最大限度地确保国家的税收收入,但却面临着系统安全性的难题。虽然我国税务信息化建设自开始金税工程以来,取得了长足进步,极大提高了税务工作效率和质量。但税务系统本身也暴露出了一系列要改进的问题,各种应用软件自成体系、重复开发、信息集中程度低。随着信息化水平的不断提高,基于信息网络及计算机的犯罪事件也日益增加。税务系统所面临的信息网络安全威胁不容忽视。建立税务管理信息化网络安全体系,要求人们必须提高对网络安全重要性的认识,增强防范意识,加强网络安全管理,采取先进有效的技术防范措施。本文主要通过分析税务信息化的网络安全威胁和内部网网络信息管理的安全策略和技术来提出税务信息化的网络安全实施方案。
一、税务机关信息安全的重要性
税收是国家财政收入的重要途径,相关的税务系统业务要求其具有准确性、公证性和完整性的特点,随着税收信息化程度不断提高,税收工作对信息系统的依赖性不断增大,税务信息安全显得更加重要。税务信息系统已经覆盖到全国乡镇,点多面广,信息安全防范难度加大,税务机关信息系统安全基础条件不足、管理力量薄弱,成为税务信息安全的重点和难点。因此保证税务信息系统的安全性意义重大。税务系统作为电子政务系统的一部分,属国家基础信息建设,其基本特点是:网络地域广、信息系统服务对象复杂;税务信息具有数据集中、安全性要求高;应用系统的种类较多,网络系统安全设备数量大,种类多,管理难度大。税务系统是一个及其庞大复杂的系统,从业务上有国税、地税之分,从地域来说通过总局、省局、市局数据中心的三层数据分布和总局、省局、市局及县/区级、分局/所五层网络管理结构。网络结点众多、网络设备和网络出口不计其数、操作系统种类繁多、应用系统五花八门、网络机构极其复杂。面对如此复杂的系统,其内部安全隐患随处可见,经过不断的研究和探索,目前已经积累了大量解决税务系统信息基础设施安全的方法和经验,形成一整套税务系统的安全保障方法,相关安全保障的体系也在不断完善和发展中。
二、税务系统内部网存在的安全问题
税务信息化的网络为计算机内部网,内部网是独立于其他任何网络的独立网络,这里所谓的独立是指的物理上的独立,因此保证保密内部网的网络与信息安全也具有特有的要求。税务内网安全的问题主要表现为:
1、物理地域广。内网设备地理位置分散,内网用户水平参差不齐,承载业务不同,安全需求各异,从而决定了内网安全建设的复杂性和多元性;
2、网络边界的扩大。远程拨号用户、移动办公用户、VPN 用户、分支机构、合作伙伴、供应商、无线局域网等等已经大大地扩展了网络的边界,使得边界保护更加困难;税务分局、税务所等分支机构的局域网与上级税务骨干网的连接,无论采用ADSL、XDSL宽带,还是采用DDN、SDH专线,基本没有路由安全和防止入侵的技术措施。
3、病毒/蠕虫/特洛伊木马。病毒蠕虫大规模泛滥、新的蠕虫不断出现,给内网用户带来损失,以及网络出现病毒、蠕虫攻击等安全问题后,不能做到及时地阻断、隔离;一般是以寻找后门、窃取密码和重要文件为主,还可以对电脑进行跟踪监视、控制、查看、修改资料等操作,具有很强的隐蔽性、突发性和攻击性。由于具有很强的隐蔽性,用户往往是在自己的密码被盗、机密文件丢失的情况下才知道自己中了木马。部分内部网络终端缺少有效的安全防护,业务资料和私人信息混存,不设开机口令,没有读写控制,业务系统登录口令简单且长期不变,移动存储设备不按规定使用,病毒和垃圾信息充斥。
4、身份欺骗。内网安全防范措施相对脆弱,不能有效抵御来自内外部的入侵和攻击的问题,安全策略不能得到及时地分发和执行,最终导致安全策略形同虚设;主要方式有:IP欺骗、ARP欺骗、DNS 欺骗、Web欺骗、电子邮件欺骗、源路由欺骗(通过指定路由,以假冒身份与其他主机进行合法通信或发送假报文,使受攻击主机出现错误动作)、地址欺骗(包括伪造源地址和伪造中间站点)等。
5、内网非法主机外联。非法主机的接入、内部网非法通过 Modem、无线网卡非法外联等的安全防范不足从而引入安全风险。有的终端在内部网和互联网之间来回换用,一些只应在内部网上运行的操作系统、应用软件和业务数据没有与互联网实行“隔离”,存在潜在风险。
6、缺乏上网行为管理监控。缺乏对内网用户行为(收发邮件,Web 页面访问,文件上传下载等等)进行监控的手段,导致组织机密信息和隐私泄漏。内部网上设备和信息共享范围广,信息发布和公开比较随意,不少重要或敏感信息只有发布没有管理,缺少防止恶意攻击信息系统和窃取保密信息的技术手段和措施。内外网间的安全解决方案和选购的设备等,不少没有经过权威部门的检测和认定,系统运行中缺少严格的跟踪监控,存在安全隐患。
7、其他安全威胁缓冲区溢出。缓冲区溢出是指当计算机程序向缓冲区内填充的数据位数超过了缓冲区本身的容量。溢出的数据覆盖在合法数据上,一小部分数据或者一套指令的溢出就可能导致一个程序或者操作系统崩溃。
三、税务信息化的网络安全实施方案
1、做好信息安全风险评估
为确保税务信息资产的安全,应定期组织业务、技术和管理等专业人员进行信息安全风险评估,制定科学的安全预算。
信息安全评估应着重于以下问题:
(1)确定可能对信息资产造成危害的威胁,包括计算机病毒、黑客和自然灾害等。
(2)通过历史资料和专家的经验确定威胁实施的可能性。(3)对可能受到威胁影响的信息资产确定其价值、敏感性和严重性,以及相应的级别,确定所有信息资产的重要程度。
(4)对最重要的、最敏感的信息资产,确定一旦威胁发生其潜在的损失或破坏。
(5)准确了解网络和系统的安全现状。(6)明晰网络和系统的安全需求。(7)确定网络和系统的安全策略。(8)制定网络和系统的安全解决方案。
(9)向上级提交安全保障体系建设的意见和建议。
(10)通过项目实施和培训,培养自己的安全技术骨干及队伍。
2、加强信息安全管理
信息安全“三分技术,七分管理”,安全管理是信息安全的核心,建立健全安全管理制度是安全管理的关键。规范化的安全管理,能够最大限度地遏制或避免各种危害,是保障计算机信息安全的最重要环节。
(1)建立健全信息安全管理组织,明确领导体制和工作机制。(2)建立健全信息安全管理制度, 落实安全防范责任制。(3)广泛开展计算机信息安全宣传,提高全员信息安全意识,建立信息安全培训机制,组织开展多层次、多方位的信息安全培训,提高全员信息安全防范技能。
(4)开展经常性的安全检查,切实整改安全隐患,不断改进信息安全管理工作。
(5)科学评定信息系统及信息资产的重要级别,确定信息安全工作重点,制定近、中、远期信息安全工作规划。
3、完善信息安全技术手段
信息安全离不开安全技术的实施和安全技术防范体系的建立。基层单位要以协助和配合总局、省局统一的信息安全体系建设为主,自主建设为辅,且以内网和内部的防范为重点。
(1)病毒防范:建立严密的、全方位的、统一的网络病毒防范系统,实行统一的杀毒组件分发、维护、更新和报警等,重点防控网络终端、移动存储设备的病毒入侵和传染。
(2)身份鉴别与访问控制:严格设定所有应用系统用户的岗位和权限,改变传统的用户名加口令的办法,使用基于密码技术、生物统计技术等新型的、可靠的电子身份鉴别技术,把好进入系统的第一道关卡,防止非授权用户进入各级信息系统。
(3)安全审计:对网络的Web浏览、Web发布、邮件、即时通信、FTP和远程登录等行为进行全面审计,对重要数据库的访问对象、访问时间、访问类型和访问内容进行严密跟踪,及时掌握整个网络动态,发现网络入侵和违规行为,记录网上一切行为,为安全事件的处置和查证提供全面依据和确凿证据。
(4)入侵检测:对内部网中主要的网段进行实时入侵监测,动态地监测网络内部活动并做出及时的响应,及时发现网上攻击行为并作出得当的处置。
(5)信息加密:对重要信息资料、数据进行加密存储和传输,防止重要信息被篡改、伪造、窃取和泄漏。
税务机关要立足实际,切实解决好人员、资金、技术问题,把信息安全管理工作放在应有位置,逐步实现信息安全的规范化、制度化管理,不断建立和完善信息安全技术防范体系,为税收征管信息化提供有力的安全保障。
结束语
解决信息系统的安全不是一个独立的项目问题,安全策略包括各种安全方案、法律法规、规章制度、技术标准、管理规范等,是整个信息系统安全建设的依据。现有的安全保障体系一般基于深度防御技术框架,若能进一步利用现代信息处理技术中的人工智能技术、嵌入式技术、主动技术、实时技术等,将形成更加完善的信息安全管理体系。税务信息安全直接关系到税收信息化建设的成败,必须引起税务机关和每一位税务人的重视。科学技术的发展不一定能对任何事物的本质和现象都产生影响,技术只有与先进的管理思想、管理体制相结合,才能产生巨大的效益。
参考文献:
(1)戴宗坤,罗万伯等.信息系统安全[M].电子工业出版社,2002.(2)黄章勇.信息安全概论.2005年第1版.出版社:北京邮电大学出版社, 2005:7-58(3)孙锐,王纯.信息安全原理及应用.2003年7月第1版.清华大学出版社,2003:17-21(4)王聪生.信息与网络安全中的若干问题.电力信息化[J],2004(7).(5)白岩, 甄真, 伦志军, 周芮.计算机网络信息管理及其安全.现代情报[J],2006,8(8).(6)王纯斌.浅议计算机网络信息安全管理.哈尔滨市委党校学报[J],2006(9).(7)赵月霞.信息网络安全设计与应用.宁夏电力[J],2004(1).(8)陈月波.网络信息安全[M].武汉:武汉理工大学出版社,2005.(9)钟乐海,王朝斌,李艳梅.网络安全技术[M].北京:电子工业出版社,2003.(10)张千里.网络安全基础与应用[M].北京:人民邮电出版社,2007.(11)吴金龙,蔡灿辉,王晋隆.网络安全[M].北京:高等教育出版社,2004.(12)熊心志.计算机网络信息安全初探.计算机科学.2006, 33卷.B12 期:60-62(13)网络信息安全及防范技术分析.中国科技信息.2006,16期:149-151
(作者单位:盘锦市大洼县国税局)
第四篇:信息安全策略纲要
信息安全策略纲要
1范围
信息系统是技术密集的大型复杂的网络化人机系统,其面临的安全问题非常突出。为了保障海南电网信息通信分公司(以下简称“公司”)信息系统的安全可靠运行,依据《信息系统安全等级保护基本要求》等相关标准法规制定本策略纲要。本纲要适用于公司信息系统。总体目标
总体目标:保护公司信息系统的硬件、软件、业务信息和数据、通信网络设备等资源的安全,有效防范各类安全事故,合法合规发展各类信息系统,确保为社会提供高效稳定的电力服务。规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡注明日期的引用文件,其随后所有的修改单或修订版均不适用于本标准(不包括勘误、通知单),然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡未注日期的引用文件,其最新版本适用于本标准
《信息安全技术 信息系统安全保障评估框架》(GB/T 20274.1-2006)《信息安全技术 信息系统安全管理要求》(GB/T 20269-2006)
《信息安全技术 信息系统安全等级保护基本要求》(GBT 22239-2008)本标准未涉及的管理内容,参照国家、电力行业、南方电网公司的有关标准和规定执行。总体方针
4.1组织与体制
构筑确保信息安全所必需的组织与体制,明确其责任与权限。
4.2 遵守法令法规
遵守与信息安全有关的法令法规,制定并遵守按基本方针所制定的信息安全相关的规定。
4.3信息资产的分类与管理
按照重要级别信息资产进行分类,并妥善管理。
4.4培训与教育
为使相关人员全面了解信息安全的重要性,适当开展针对性培训与教育教育活动。使他们充分认识信息安全的重要性以及掌握正确的管理方法。
4.5物理性保护
为避免非法入侵、干扰及破坏信息资产等事故的发生,对其保管场所与保管办法加以明确。
4.6技术性保护
为切实保护信息资产不受来自外部的非法入侵,对信息系统的登录方法、使用限制、网络管理等采取适当的措施。
4.7运用
为确保基本方针的实际成效,在对遵守情况进行监督的同时,对违反基本方针时的处置办法及针对来自外部的非法入侵等紧急事态采取的应对措施等加以规定。
4.8评价及复审
随着社会环境的变化、技术的进步等,应定期对基本方针与运用方式进行评价与复审安全策略
5.1安全管理制度
在信息安全中,最活跃的因素是人,对人的管理包括法律、法规与政策的约束、安全指南的帮助、安全意识的提高、安全技能的培训、人力资源管理措施以及企业文化的熏陶,这些功能的实现都是以完备的安全管理政策和制度为前提。安全管理制度包括信息安全工作的总体方针、策略、规范各种安全管理活动的管理制度以及管理人员或操作人员日常操作的操作规程。
安全管理制度重点关注管理制度、制定和发布、评审和修订三方面。
目的是根据系统的安全等级,依照国家相关法律法规及政策标准,建立信息安全的各项管理规范和技术标准,规范基础设施建设、系统和网络平台建设、应用系统开发、运行管理等重要环节,奠定信息安全的基础。
5.2安全管理机构
建立组织管理体系是为了建立自上而下的信息安全工作管理体系,确定安全管理组织机构的职责,统筹规划、专家决策,以推动信息安全工作的开展。
公司成立信息安全领导小组,是信息安全的最高决策机构,负责研究重大事件,落实方针政策,制定实施策略和原则,开展安全普及教育等。下设办公室负责信息安全领导小组的日常事务。
信息安全领导小组下设两个工作组:信息安全工作组、应急处理工作组。组长均由公司负责人担任。
5.3人员安全管理
通过建立安全岗位责任制,最大限度降低人为失误所造成的风险。人是决定性因素,人员安全管理的原则是:职责分离、有限授权、相互制约、任期审计。
人员安全管理的要素包括:安全管理人员配备、信息系统关键岗位、人员录用、人员离岗、人员考核与审查、第三方人员管理等。
信息安全人员的配备和变更情况,应向上一级单位报告、备案。
信息安全人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务。涉及公司业务核心技术的信息安全人员调离单位,必须进行离岗审计,并在规定的脱密期后,方可调离。
5.4系统建设管理
信息系统的安全管理贯穿系统的整个生命周期,系统建设管理主要关注的是生命周期中的前三个阶段(初始、采购、实施)中各项安全管理活动。
系统建设管理分别从工程实施建设前、建设过程以及建设完毕交付等三方面考虑,具体包括系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级测评和安全服务商选择十一个控制点。
5.5系统运维管理
目的是保障信息系统日常运行的安全稳定,对运行环境、技术支持、操作使用、病毒防范、备份措施、文档建立等全方位管理。包括用户管理、运行操作管理、运行维护管理、外包服务管理、有关安全机制保障、安全管理控制平台等方面的管理要素。
对运行过程的任何变化,数据、软件、物理设置等,都应实施技术监控和管理手段以确保其完整性,防止信息非法复制、篡改,任何查询和变更操作需经过授权和合法性验证。
应急管理也是运维的重要内容,目的是分析信息系统可能出现的紧急事件或灾难,建立一整套应急措施,以保障核心业务的快速恢复和持续稳定运行。应急计划包括应急处理和灾难恢复策略、应急计划、应急计划的实施保障等管理要素。
在海南省电网公司统一的应急规划下,针对信息系统面临的各种应急场景编制相应的应急预案,并经过测试演练修订,同时宣传普及。
5.6物理安全
目的是保护计算机设备、设施(含网络)以及信息系统免遭自然灾害和其他形式的破坏,保证信息系统的实体安全。
有关物理环境的选址和设计应遵照相关标准,配备防火、防水、防雷击、防静电、防鼠害等机房措施,维持系统不间断运行能力,确保信息系统运行的安全可靠。
对重要安全设备的选择,需符合国家相关标准规范,相关证书齐全。
严格确定设备的合法使用人,建立详细运行日志和维护记录。
5.7网络安全
目的是有效防范网络体系的安全风险,为业务应用系统提供安全、可靠、稳定的网络管理和技术平台。
对于依赖网络架构安全的业务应用系统,需根据其安全级别,实施相应的访问控制、身份认证、审计等安全服务机制;在网络边界处,需根据资源的保护等级,实施相应安全级别的防火墙、认证、审计、动态检测等技术,防范信息资源的非法访问、篡改和破坏。
5.8主机安全
主机安全包括服务器、终端/工作站等在内的计算机设备在操作系统及数据库系统层面的安全。终端/工作站是带外设的台式机与笔记本计算机,服务器则包括应用程序、网络、web、文件与通信等服务器。主机承载着各种应用,是保护信息安全的中坚力量。
主机安全需着重关注和加强身份鉴别、访问控制、恶意代码防范、安全审计、入侵防范几个方面,同时定期或不定期的进行安全评估(含渗透性测试)和加固,实时确保主机的健壮性。
5.9应用安全
应用安全成是信息系统整体防御的最后一道防线,目的是保障业务应用系统开发过程及最终产品的安全性。
在应用层面运行着信息系统的基于网络的应用以及特定业务应用。基于网络的应用是形成其他应用的基础,是基本的应用;业务应用采纳基本应用的功能以满足特定业务的要求;故最终是保护系统的各种业务应用程序的安全运行。
应用系统的总体需求计划阶段,应全面评估系统的安全风险,确定系统的访问控制、身份认证、审计跟踪等安全需求;总体架构设计阶段,应实施安全需求设计,确立安全服务机制、开发人员技术要求和操作规程;应用系统的实现阶段,应全程实施质量控制,防止程序后门,减少代码漏洞;在上线运行之前,应充分进行局部功能、整体功能、压力测试,以及系统安全性能、操作流程、应急方案的测试。5.10数据安全及备份恢复
信息系统处理的各种数据(用户数据、系统数据、业务数据等)在维持系统正常运行上起着至关重要的作用。由于信息系统的各个层面(网络、主机、应用等)都对各类数据进行传输、存储和处理等,因此,对数据的保护需要物理环境、网络、数据库和操作系统、应用程序等提供支持。
数据备份也是防止数据被破坏后无法恢复的重要手段,而硬件备份等更是保证系统可用的重要内容。附 则
本标准由海南电网公司信息通信分公司负责解释。
本标准自颁布之日起实行。
第五篇:企业网络信息安全策略
企业网络信息安全策略
随着计算机技术和网络的快速发展,网络管理也越来越受到人们的重视,企业的发展更离不开网络,但是网络的质量又直接影响着企业的信息安全管理,因此,企业需要制定一种网络和数据安全策略,提高网络管理员的信息掌控能力,为了把企业网络管理做到安全合理,翔羚科技给广大企业做出以下几点建议。
评估企业网络完整性
评估网络的完整性。“了解自己 IT 基础架构的起点和终点,但仍有为数众多的企业不清楚其网络的整体性。还要了解自己的„正常状态‟是什么,这样能够便于你快速确定问题并作出响应。”重新评估您的可接受使用策略和商业行为准则。“抛弃那种冗长的安全政策清单的做法,只将焦点放在那些您知道自己必须实施且能够实施的政策上。”
做好企业内部人员数据管理
确定必须保护哪些数据。“如果不知道必须保护企业内部的哪些信息,您就无法构建有效的 DLP 计划。您还必须确定企业内部哪些人有权访问这些信息,以及必须采用什么方式。”了解数据所在位置,目前采用什么方式进行保护(以及是否正进行保护)。“确定哪些第三方有权存储您公司的数据(从云服务提供商到电邮营销企业),确保您的信息正得到适当的保护。合规要求,以及当前网络犯罪领域„牵一发而动全身‟的发展趋势都表明,企业绝对不能假设自己的数据是安全的,即便是这些我要走了,今天就早!你给我的工资太高了我受不起啊,我每天都迟到自己感到十分的内疚,不过每天都是我来最早的!合同我已经撕了,你的那份我也帮你偷偷的撕了。我不会怪你的老板,要怪就怪那个宝宝,她怎么就在贵州了呢?我决定了去贵州了解我的下半辈子了!还有你把工资打我卡上吧。信息掌握在可信任的人手里。”
合理采用监控
采用出口监控。“这是一项基本要求,但是很多企业都不够重视,出口监控是一种监控重心的转变,而不是仅侧重于阻止„坏人‟进来。您应该监控那些由内向外发送的内容,包括发送者是谁、发往何处,并拦截那些不允许外泄的内容。”准备迎接必然到来的 BYOD。“企业不要再去想何时转变到 BYOD 模式,而是要开始思考如何转变。”
做好企业应变决策
制定事件响应计划。“IT 方面的风险应该像任何其他业务风险一样对待。这意味着企业需要预先制定明确的计划,以便对任何类型的安全事件迅速作出适当的反应,无论这些事件属于有针对性攻击所造成的数据泄露、员工疏忽导致的违规还是黑客行动主义事件。”实施安全措施帮助弥补对社交网络控制的不足。“不要低估技术控制的强大力量,比如用于抵御网络威胁的入侵防御系统。声誉过滤系统也是一种用于检测可疑活动和内容的基本工具。”监控风险形势的动态变化,及时向用户通报。“企业及其安全团队需要对范围更广的风险来源保持警惕,包括移动设备、云和社交网络,以及未来新技术可能伴随的任何威胁。他们应该采用双管齐下的方法:对安全漏洞泄露作出反应,同时主动教育员工如何保护自身和企业抵御持久、严重的网络威胁。”
点击咨询 