第一篇:专业人士解析西电信息安全为何全国第一
专业人士解析西电信息安全为何全国第一
1、作为信息安全的主干学科,密码学西电亚洲第一。
1959年,受钱学森指示,西安电子科技大学在全国率先开展密码学研究,1988年,西电第一个获准设立密码学硕士点,1993年获准设立密码学博士点,是全国首批两个密码学博士点之一,也是唯一的军外博士点,1997年开始设有长江学者特聘教授岗位,并成为国家211重点建设学科。2001年,在密码学基础上建立了信息安全专业,是全国首批开设此专业的高校。
2、西电密码学天才辈出,人才济济。
在中国密码学会的24个理事中,西电占据了12个,且2个副理事长都是西电毕业的,中国在国际密码学会唯一一个会员也出自西电。毫不夸张地说,西电已成为中国培养密码学和信息安全人才的圣地。
以下简单列举部分西电信安毕业生:
来学嘉,国际密码学会委员,IDEA分组密码算法设计者; 陈立东,美国标准局研究员; 龚光,加拿大滑铁卢大学终身教授; 丁存生,香港科技大学副教授; 邢超平,新加坡NTU教授;
张焕国,武汉大学教授,中国密码学会常务理事; 何大可,西南交通大学教授,中国密码学会副理事长;
冯登国,中国科学院信息安全国家实验室主任,中国密码学会副理事长; 何良生,中国人民解放军总参谋部首席密码专家; 叶季青,中国人民解放军密钥管理中心主任;
魏仕民,2003年获百篇优秀博士论文提名,中国密码学会理事 ……
3、西电拥有中国在信息安全领域的三位领袖。
肖国镇老师是我国现代密码学研究的主要开拓者之一,他提出的关于组合函数的统计独立性概念,以及进一步提出的组合函数相关免疫性的频谱特征化定理,被国际上通称为肖—Massey定理,成为密码学研究的基本工具之一,开拓了流密码研究的新领域;他是亚洲密码学会执行委员会委员,中国密码学会副理事长,还是国际信息安全杂志(IJIS)编委会顾问;
他指导培养的研究生,有些已成为密码学领域国际知名学者,如来学嘉、丁存生等,有些在党、政、军各部门发挥着骨干作用,如刘福运、何良生、冯登国等。
王育民教授1959年毕业于西安电子科技大学,现任中国电子学会和中国通信学会会士、中国密码学会理事、中国电子学会信息论学会委员、中国自然基金研究会委员、IEEE会员。全国高等学校通信和信息工程专业教学指导委员会主任。在差错控制、多用户编码、T CM、密码学和语音加密等方面有深入研究,主持国家自然基金、保密通信发展基金、军事电子预研基金、八五军事通信装备研制等多项科研工作,其中“混合AR Q体制性能分析” 1983年获电子部科技成果特等奖,“战术电台中的语音加密” 1992年获电子部科技进步特等奖。
王新梅教授1960年毕业于中国人民解放军军事电讯工程学。现为中国电子学会和中国通信学会会士,中国电子学会信息论专业委员、中国通信学会通信理论专业会员和中国计算机学会多值逻辑与模糊专业委员会委员,国防科技大学兼职教授,西安电子科技大学博士导师。研究方向:主要从事通信、纠错码和密码的研究。
4、西电的信息安全排名连续7年全国第一。
(下面以2010年排名为例)
学位代码及名称
整体排名
学术队伍
科学研究
人才培养
学术声誉
排名 得分 排名 得分 排名 得分 排名 得分 排名 得分
10701 西安电子科技大学
92.44 12 77.7 1 100 83.14 1 100 10003 清华大学
91.56 7 86.59 3 86.74 1 100
92.83 10013 北京邮电大学
88.65 1 100
82.89 2 84.84 2 93.72 90002 国防科学技术大学
86.5 2 94.58 2 86.83 3 83.87
83.81 10286 武汉大学
83.16 8 85.99 9 76.93 5 80.03 93.31 10004 上海交通大学
81.07 3 94.04 10 76.81 8 77.93 12 82.4 10007 北京理工大学
80.62 5 88.14 7 79.25 9 75.96 11 82.69 10614 电子科技大学
80.04 9 78.55 12 74.97 7 78.12 5 89.97 10213 哈尔滨工业大学
79.44 6 87.01 6 80.07 68.96 7 84.48 10006 北京航空航天大学 78.29 18 70.34 4 85.18 10 71.56 14 80.17 10248
北京交通大学
78.09 4 90.99 14 73.88 11 71.24 83.06
5、西电的信息安全方向最有前途。
众所周知,信息安全专业分通信和计算机两个方向,在国内顶级高校中,西电、北邮、哈工大主要从事通信方面的研究,而清华、国防科大、上交、武大主要从事计算机方面的研究。在计算机安全中,网络安全占了70%左右的比重。然而,国内计算机方向的研究主要集
中在物理表现为有线的层次,对无线网络互联的涉及微乎其微。事实上,无线网络已经成为未来世界计算机与网络发展的趋势,美国最新计划表示要在2015年之前实现全美网络无线化,据可靠消息称2011年中国也将会把三网融合、下一代互联网纳入十二五规划。而无线网络在很大程度上上已经属于通信的范畴,预计在信息与通信系统方面拥有雄厚实力的西电将会借此时机谋求更大发展。
第二篇:电城镇爵西小学安全工作总结报
电城镇爵西小学
2011-2012学第二学期安全工作总结
一年以来,我校对安全工作长抓不懈,始终贯彻“以人为本、安全第一”的思想,居安思危,警钟长鸣。为了学校的安全,今年以来,我校认真贯彻县教育局及上级教育行政部门的各项要求,将创建平安校园列为学校的头等大事,与学校德育工作紧密结合,坚持以防为主,积极开展各类安全知识培训、教育活动,落实各项防卫措施,使创安工作得到全面、深入、有效地开展。同时,我校认真执行县教育局的文件精神,认真组织开展“校园安全督查工作”。现将我校开展安全工作情况汇报如下:
一、安全工作宗旨
在学校安全工作中,我校始终以“以防为主、以人为本、安全第一”思想为宗旨,好不松弛地把安全工作抓实抓牢。为进一步做好学校安全生产工作,切实加强对学校安全工作的领导,学校把安全工作列入重要议事日程,我校不但建立了安全工作预案、事故处理应急预案,同时成立了学
校安全工作督查小组。
二、开展督查情况
1、我校对安全隐患先进行自检自查,内容和项目包括:校舍、围墙、厕所、电线等都进行了检查。通过此次排查得出,我校对学生大力渲染安全防范意识,通过出黑板报、集队会等方式教育学生无论是在校内还是校园外,都应该注意安全隐患问题,安全教育内容有:
(1)、注意安全用火,强调学生不能带火柴或火机随身上学;
(2)、小学生不能骑摩托车和单车上学;(3)、防火、防震及用电安全知识的宣传和教育;(4)、防毒(含防食物、农药、煤气中毒)安全的宣传和教育;(5)、防交通事故安全的宣传和教育;(6)、防溺水安全的宣传和教育;(7)、防楼道挤压事故知识的宣传和教育;(8)、防不良行为的心理健康的宣传和教育;(9)、防动物伤害的宣传和教育;(10)、防各种流行性传染病的知识教肓。(11)和学生家长签定安全协议书。
(12)给学生制定安全守则。
(13)加强学校节假日的安全守校工作,杜决发生安全隐患。
三、对学校安全工作的努力方向
为使学校安全工作继续得到加强,创建和谐校园、平安校园,在学校安全工作中,我校将继续努力做到:
1、“看好自己的门,管好自己的人”,严禁社会闲杂人员进入校园,以确保学校正常的教学秩序。
2、坚持以防为主,防治结合,“人防”和“技防”并举的原则,作好节假日值班安排和记录。以确保学校的财产安全,防患于未然。
3、重视学校安全教育,采取讲座、参观、观看电影录像、演练、主题活动、出版墙报、广播宣传等多种形式开展对师生安全知识教育和培训提高他们的安全意识,增强处理突发事件的能力。
4、消防安全是学校安全工作中不可忽视的一个重要环节,学校将严格遵照《消防安全管理制度》,根据上级有关部门的要求,对学校重点部门的消防安全坚持“以防为主。以消为辅”的消防工作方针,做到技术规范、监督执行、经常检查、依法管理。
5、学校安全教育工作领导小组成员定期布置自查安全工作,实行安全工作自查制度,各完小要认真仔细地检查并做好记录,发现问题要及时报告、整改,排除不安全隐患,防止事故发生,确保学校师生人身安全和公共财产不受侵害,确保全年无死亡事故或重大伤害事故发生。
学校将继续做好全体师生的政治思想工作,努力为师生办实事,及时化解各种矛盾,稳定教师队伍,增强全体师生参与社会治安综合治理的意识,维护学校的正常秩序和良好的教学环境,使学校安全工作更上一个新台阶。
第三篇:全国大学生信息安全大赛情况简介
全国大学生信息安全竞赛简介
2011年第四届全国大学生信息安全竞赛,由教育部高教司和工信部信息安全协调司指导,由教育部高等学校信息安全类专业教学指导委员会主办,由国防科学技术大学承办。
全国大学生信息安全竞赛(以下简称竞赛)是一项全国性大学生科技活动,目的在于宣传信息安全知识;培养大学生的创新精神、团队合作意识;扩大大学生的科学视野,提高大学生的创新设计能力、综合设计能力和信息安全意识;促进高等学校信息安全专业课程体系、教学内容和方法的改革;吸引广大大学生踊跃参加课外科技活动,为培养、选拔、推荐优秀信息安全专业人才创造条件。
竞赛自2008年起,每年举行一届,每届历时四个月,分初赛和决赛。2008年的全国大学生信息安全竞赛,由成都电子科技大学主办,有来自全国54所高校的258支队伍报名参加大赛,最终有73件作品入选决赛,10件作品获一等奖,12件作品获二等奖。
2009年的全国大学生信息安全竞赛,由北京邮电大学主办,成都信息工程学院和北京交通大学协办,有来自全国85所高校的572支队伍报名参加大赛,最终有108件作品入选决赛,12件作品获一等奖,24件作品获二等奖,48件作品获三等奖,31件作品获得优胜奖。
2010年第三届全国大学生信息安全竞赛由哈尔滨工业大学承办,由哈尔滨工程大学协办,共有来自全国几十所高校的514支队伍报名参赛。进入初赛482支队伍,最终有110支竞赛队进入决赛。其中,12件作品获一等奖,25件作品获二等奖,50件作品获三等奖,23件作品获得优胜奖。
2011年全国大学生信息安全竞赛将在湖南省长沙市国防科技大学举行。
第四篇:信息安全管理制度----个人桌面终端管理办法解析
附件4:
XXXX 个人桌面终端管理办法(试 行)1.总则
1.1 为了加强XX公司个人桌面终端的安全使用,保证个人桌面终端操作系统、周边硬件、通信设备、应用系统的安全使用,切实防范和降低因桌面终端使用不当,对信息系统或数据的访问而带来的安全风险,制定本办法。
1.2 本办法适用于公司本部及所属各单位办公环境的所有个人桌面终端管理。1.3 公司范围内个人桌面终端设备自购入起直至报废前的使用过程,应按本办法相关规定进行管理。
1.4 个人桌面终端定义:接入公司及所属各单位网络的用于办公的各类计算机及所属设备。2 职责
2.1 公司各部门各单位对本部门本单位名下的个人桌面终端设备负有管理责任,各级信息化管理职能部门对本办法负有执行监督的责任,应保证设备的安全合理使用。按照“谁使用,谁负责”的原则,使用人对配臵给个人的桌面终端负有保管和安 — 17 —
全使用的责任,其所保管桌面终端设备,正确操作使用。
2.2 各部门各单位负责组织使用人参加相应知识培训,以掌握个人终端设备的使用方法和了解相关管理规范。
2.3 任何使用人在未经他人许可的情况下,不能使用他人或其它未经授权的个人桌面终端设备,也不得将所使用的个人桌面终端设备任意转借他人。
2.4 确因工作需要,使用人可以允许非公司人员在受监控的情况下操作其负责的个人桌面终端设备,但该使用人应承担使用过程中的全部责任。
2.5 个人桌面终端设备接入公司的办公网络前,由使用人根据工作需要提出增加终端的申请,并经使用单位(部门)审批后通过桌面系统需求变更单报送相关部门批准后方可接入。
第三方用户终端接入公司的办公网络按照《第三方人员管理办法》执行。
2.6 使用人在个人桌面终端设备使用过程中,有责任及时通过故障报修方式(电话或网络)向相关部门上报使用过程中发生的故障、错误和各类安全事件,并应当协助维护人员工作。
2.7通信相关部门负有利用各种技术管理手段对所辖个人桌面终端设备进行管理的职责,将定期或不定期的组织针对个人桌面终端设备相关软硬件配臵和使用情
况的检查。相关部门负有对使用人访问互联网的行为进行监控,并对违规行为进行 — 18 — 通报的责任。个人桌面终端硬件管理
3.1 保持良好的计算机使用办公环境。
3.2 使用人离开座位,应锁闭计算机屏幕,下班后,应关闭计算机。
3.3 使用人应妥善保养自己使用个人桌面终端设备,包括键盘、鼠标等,保持计算机设备清洁。不得私自拆卸、改装个人桌面终端及其相关设备。3.4 个人桌面终端设备的使用管理
3.4.1 新购入的终端设备必须经过固定资产管理责任部门登记、编号、贴标签卡后,才能交使用部门或使用者领用;各部门领用的个人桌面终端设备应有专人登记管理,定期清查,避免流失。
3.4.2 部门或使用人应对桌面终端设备妥善保管,防止盗窃及硬件损坏等情况的发生。若发生失窃,应及时向保卫部门报告。
3.4.3 使用人不得将公司的个人桌面终端设备接入不安全的网络环境中。3.5 便携机使用管理
3.5.1 各部门配备使用的便携机仅供生产及办公使用,不得挪作私用。— 19 —
3.5.2 便携机应加入密码管理。
3.5.3 便携机失窃,使用人应书面报告所在部门并向各单位资产管理部门进行备案。
3.6 个人桌面终端设备因使用时间较长或严重损坏而无法修复及超过固定资产使用年限需要报废的,由使用部门提出申请并按相关报废流程办理,对已批准报废的个人桌面终端设备应在信通中心进行数据清理后交由资产管理部门处理,使用部门无权自行处理。
3.7 不得私自将公司所属的个人桌面终端设备带出,如有特殊需要,必须由设备使用部门主管书面授权后方可进行。4 个人桌面终端软件管理
4.1 个人桌面终端设备上安装、运行的软件都必须为正版软件,未经授权的软件不得在个人桌面终端设备上安装、运行,在个人桌面上使用盗版软件带来的安全责任、法律责任由个人承担。
4.2 由公司购买的商业软件安装和使用必须遵从国家相关的法律并与软件供应商签署合同,任何个人未经许可不得将该软件复制或安装、使用于个人或其他非公司业务需要的领域。
4.3 不得在个人桌面终端设备上安装与工作无关的软件。不得使用计算机玩电子游戏和听音乐。
4.4 不得在个人桌面终端设备上使用黑客、系统破解、端口 — 20 —
扫描或口令破解等软件。不得使用个人桌面终端制造和散布各种恶意电脑程序,包括电脑病毒、电脑木马程序、电脑蠕虫程序等。不得使用个人桌面终端执行网络或主机扫描、网络监听、网络拒绝服务攻击。不得擅自监控网络流量,不得针对网络上的设备和系统运行安全测试工具和软件。5 个人桌面终端数据管理
5.1 个人桌面终端设备的安全保密规范依据公司《计算机信息系统安全和保密管理办法》等相关规定执行。
5.2 使用人有责任保护所接触到的含有公司相关的密级文档、敏感资料(包括第三方数据)的文件、数据介质、系统文档等信息资产,任何部门或个人,未经授权和许可,不得通过个人桌面终端设备调用、收集、存储、传送、打印或复制这些信息。
5.3 不得使用互联网(电话、传真、未安装加密设备的电脑网络)传递敏感信息资料。
5.4 使用人应将一切含有敏感信息的移动介质保存在安全可靠的地方。当相关介质使用完成之后,应将其中不再需要的敏感信息删除。需要带离办公区域的含有敏感信息的介质应经过各单位管理部门授权。
5.5 在拷贝、打印敏感信息或资料时,使用人应在拷贝、打印完毕后及时从相关外设中移除这些资料。
5.6 在个人桌面终端设备送修、回收、更换或转给其他人使用之前,所有包含公司保密的、受限的、敏感信息的,必须先进行备份,然后删除并格式化。5.7 已作废的介质、打印资料,由各部门负责处理。
5.8 所有与工作有关的电子文件存放在本地的硬盘内,重要的数据应定期自动采用U盘、光盘、移动硬盘等介质进行异地存储备份,应确保异地存储场所符合安全要求。终端内部网络使用管理
6.1 所有个人桌面终端的网络地址由网络管理员统一管理,任何人不得私借、盗用、伪造其他计算机的网络地址。
6.2 应避免在个人桌面终端设备上使用无限制的文件共享,避免信息泄露,因工作需要共享文件的要设口令并及时取消共享。6.3 不得私自安装非规定的网络协议。
6.4 禁止在网络上未得到许可的情况下使用别人的身份。
6.5 未经网络管理员授权,不要在网络上架设网络设备,如交换机,路由器,无线设备等,不得私自在局域网中搭建子网,或使用代理服务器软件供他人使用。
6.6 接入局域网后,不能擅自使用调制解调器(Modem)、ADSL、无线上网卡等设备将个人桌面终端设备与外部网络连接。
6.7 远程接入办公系统的,应采取公司提供的VPN网关安全措施。7 终端互联网访问和使用
7.1 使用人访问互联网应自觉遵守《中华人民共和国国家安全法》、《中华人民共和国保守国家秘密法》、《计算机信息系统国际联网保密管理规定》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《维护互联网安全的决定》等有关法律法规,如有违反应由本人独立承担一切责任。7.2 xxxx等未经批准的计算机禁止接入互联网。
7.3 有互联网访问权限的使用人必须规范自己的互联网访问行为,遵守道德上和法律上的规范。严禁在互联网上做与工作无关的事情;严禁利用公司的终端设备访问含有暴力、色情、反动及其它含有有害内容的网站;不得使用个人桌面终端传播和散布破坏社会秩序的文章或政治性评论。
7.4 禁止运行与工作无关占用大量带宽的应用程序,如网络视频/音频点播、大量文件的下载等。
7.5 不得从网站下载、安装、运行任何来源不明的软件,使用人下载、安装和使用第三方的程序必须不违反公司的软件版权规定。
7.6 不得在个人桌面终端中,私自设立WWW、FTP、BBS、NEWS、Online Chat、文件或打印共享等互联网服务。— 23 — 8 病毒和攻击防范
8.1 使用人必须确保其使用的终端设备上安装了公司统一的防病毒软件,并开启windows自带的防火墙软件。防病毒软件可在统一信息平台上获取和安装。8.2 使用人不得擅自更改和删除其所用操作系统和应用软件的安全设臵和防病毒软件、防火墙软件的设臵。应在系统或技术人员的提示和帮助下,确保操作系统、应用软件、防病毒软件、防火墙软件等完成最新安全更新。
8.3 对于以下的情况,使用人必须通过防杀病毒系统进行扫描,确认安全后才可以使用:
8.3.1 通过互联网下载文件和应用程序;
8.3.2 在共享网络上传输下载的数据和应用程序;
8.3.3 拷贝光盘及其他移动存储设备上的数据和应用程序。8.3.4 通过电子邮件等方式收到的文件。
8.4 使用人应确保病毒防护软件定期地自动进行系统扫描,并确保扫描完成,不得中止该定期扫描。
8.5 应关注公司关于安全补丁和病毒的统一信息平台公告,个人桌面终端使用人应及时按照公告和通知的指示安装厂商正式发布的各种补丁程序,使用人应确保防病毒软件能及时完成病毒特征库的更新。
8.6 如果防病毒、防火墙软件的正常运行无法完成,应及时 — 24 — 拨打通信中心故障报修电话以获得技术支持服务。
8.7 使用人一旦发现终端出现可能由病毒或攻击导致的异常系统行为或系统安全问题,应立即停止一切操作,切断网络连接,并立即拨打相关部门故障报修电话以获得支持。9 口令和密码管理
9.1 所有个人桌面终端,必须设定开机帐号口令和屏保密码,账号口令的设臵必须符合下列要求,应避免使用弱口令。9.1.1 用户口令长度不得低于8位。9.1.2 口令须由数字、字母组成。9.1.3 口令应至少每90天进行更新。
9.1.4 账号使用者在首次登录系统时应立即修改账号口令。
9.1.5 避免使用与个人有关数据(如生日、身份证字号、单位简称、电话号码、同事名字等)当做口令。
9.1.6 尽量避免使用一些常用的单词(如常用术语,计算机术语,硬件软件术语)作为口令。
9.1.7 屏保密码自动启动时间应设臵为小于3分钟。
9.2 口令在系统中保存或传输时,必须采取安全措施以保证账号的安全性,例如对口令进行加密等.除非可以安全保管,否则不得将口令记录在纸张等一切可视介质上。
9.3 账号、口令等用于身份识别的工具仅限于所属的使用人使用,任何个人不得擅自与他人共用,或者随意传播。不应将 — 25 —
口令告诉任何人,包括系统管理员。不得私下互相转让、借用个人账号、操作员IC卡。一旦有迹象表明口令可能被泄露,用户必须立即修改口令。10 个人桌面终端安全使用
10.1 个人桌面终端在无人使用时,使用人应将其设臵于未登录状态避免非法访问的发生;若长时间不使用,应将其电源关闭。
10.2 未经许可,不得随意使用他人的桌面终端设备。10.3 使用人使用个人桌面终端,必须按照统一的命名规则命名主机名;命令规则必须包含部门、办公室编号、序号,未经许可,不得更改主机名。
10.4 不得随意使用没有经过查杀病毒的外来软盘、U盘和移动硬盘。11 个人桌面终端安全检查
11.1 相关部门负责对个人终端的安全使用情况进行定期检查,对违反本管理办法中安全的个人终端,按照以下方式进行处理:
11.1.1 第一次违规:相关部门以邮件和电话通知违规者纠正;违规员工应在5个工作日内完成整改。
11.1.2 第二次违规(1年内):相关部门以邮件通知违规者纠正,并抄报其部门领导;违规员工应在5个工作日内完成整 — 26 — 改,并邮件回复其部门领导整改结果(附截图)。
11.1.3 三次及以上违规(1年内):三次及以上违规属于严重违规行为,相关部门定期(每季)以书面文件的形式上报给各级安全监察部,并抄送违规者部门领导;各级安全监察部向违规者所在部门下达整改通知书责令在5个工作日内完成整改(若5日内无法整改完成,则需另行确定),并接受安全监察部的检查,检查方式可选择以下三种方式之一: 1)反馈整改结果;
2)委托相关部门进行现场检查; 3)现场抽样检查。
11.2 对刻意不执行本安全管理制度、漠视计算机安全工作和存在安全隐患而没有及时整改的,以至造成重大安全事故和事件的,各级安全监察部将追究部门主要负责人和直接责任者的责任,涉嫌犯罪的,移送国家司法机关处理。12 附则
12.1 本办法未尽事宜,按照公司相关文件和国家现行法律、法规执行。12.2 本办法解释和修改权由XX负责。12.3 本办法由颁布之日起施行。13 附录
13.1 附录A(规范性附录)终端设备接入网络、故障处理工作流程 — 28 —
附录A:终端设备接入网络、故障处理工作流程:
流程步骤说明 客户申请
客户可以通过两种方式进行申请: 第一是拨打相关部门电话,申请受理内容。第二是登录网站按照服务说明申请。座席核实
客户申请业务单成功后,相关部门或人员需要仔细审查核实客户的信息和申请内容。业务派工
相关部门将客户的具体申请业务单派工到业务处理部门的相应职能工作组,由工作组人员接受到派工单。业务销单
工作人员打印工单后到现场工作,工作完成后进行销单。业务回访
业务处理流程中最后的闭环步骤,通过客户回访确定业务处理情况,由客户评定处理人员对是否处理完和处理的满意度,如果不满意要重新处理。— 30 —
第五篇:信息安全技术关键信息基础设施安全保障指标体系-全国信息安全
国家标准《信息安全技术 关键信息基础设施安全保障评价指标体系》
编制说明
1.工作简况 1.1.任务来源
根据国家标准化管理委员会2017年下达的国家标准制修订计划,国家标准《信息安全技术 关键信息基础设施安全保障评价指标体系》由大唐电信科技产业集团(电信科学技术研究院)主办。
关键信息基础设正常运转,关系国家安全、经济发展、社会稳定,随着关键信息基础设施逐渐向网络化、泛在化、智能化发展,网络安全成为关键信息基础设施的重要目标。世界主要国家和地区高度重视,陆续出台了相关战略、规划、立法以及实施方案等,加大对关键信息基础设施的保护力度。近年来,随着我国网络强国战略的深化和实施,国家关键信息基础设施在国民经济和社会发展中的基础性、重要性、保障性、战略性地位日益突出,构建国家关键信息基础设施安全保障体系已迫在眉睫,是当前一项全局性、战略性任务。
2016年4月19日,总书记在网络安全和信息化工作座谈会上指出,“金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,也是可能遭到重点攻击的目标。我们必须深入研究,采取有效措施,切实做好国家关键信息基础设施安全防护。” 2016年8月12日,中央网络安全和信息化领导小组办公室、国家质量监督检验检疫总局、国家标准化管理委员会联合印发《关于加强国家网络安全标准化工作的若干意见》(中网办发文〔2016〕5号),要求“按照深化标准化工作改革方案要求,整合精简强制性标准,在国家关键信息基础设施保护、涉密网络等领域制定强制性国家标准。”2016年11月7日,全国人民代表大会常务委员会发布《中华人民共和国网络安全法》,明确指出“保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治网络违法犯罪活动,维护网络空间安全和秩序”。2016年12月15日,国务院印发《“十三五”国家信息化规划》(国发〔2016〕73号),明确提出要构建关键信息基础设施安全保障体系。2016年12月27日,国家互联网信息办公室发布《国家网络空间安全战略》,要求“建立实施关键信息基础设施保护制度,从管理、技术、人才、资金等方面加大投入,依法综合施策,切实加强关键信息基础设施安全防护。”2017年7月10日,国家互联网信息办公室就《关键信息基础设施安全保护条例(征求意见稿)》公开征集意见。
目前国外主要国家对关键信息基础设施的保护起步较早,已出台关键信息基础设施的相关战略、规划、法律、标准、技术、监管等等一系列举措,大力加强关键信息基础设施安全建设,不断提升网络安全保障能力。对于我国而言,一方面,我国在引进外国先进技术、加快产业更新换代的同时,部分关键核心技术和设备受制于他国,存在系统受控、信息泄露发 1
现滞后等隐患,也给关键信息基础设施各领域带来许多安全隐患问题。另一方面,我国关键信息基础设施保护工作起步较晚、发展较慢,缺乏针对性、指导性的标准体系,无法适应新形势下的国际网络安全环境。本标准的制定主要为关键信息基础设施的政府管理部门提供态势判断和决策支持,为关键信息基础设施的管理部门及运营单位的信息安全管理工作提供支持和方法参考。1.2.编制目的
本标准主要解决关键信息基础设施网络安全的评价问题。本标准主要用于:评价我国关键信息基础设施安全保障的现状,包括建设情况、运行情况以及所面临的威胁等;为政府管理层的关键信息基础设施态势判断和宏观决策提供支持;为各关键信息基础设施运营单位及管理部门的信息安全保障工作提供参考。1.3.主要工作过程 1、2014年,项目组完成网络安全保障评价指标体系阶段性研究报告。主要针对以下三个问题进行了深入研究:研究国外特别是美国、欧盟、联合国等国家、地区和国际组织在网络安全保障评价指标研究方面的资料,总结网络安全保障评价的相关方法、指标、规定和标准;研究新形势、新技术条件下我国网络安全保障工作面临的挑战,分析我国网络安全保障工作的新需求,对我国与网络安全保障评价有关的法规、制度、标准进行梳理和总结;在理论研究和实践调研的基础上,研究提出我国网络安全保障评价指标体系和评价方法。2、2014年12月-2015年6月,项目组赶赴电力、民航、电信、中国银行等相关行业(企业)进行调研。3、2015年1月-2015年7月,项目组根据项目要求开展了研讨会,针对调研结果中各行业在网络安全评价中的成功经验和出现的问题进行总结。4、2015年1月-2015年9月,项目组与关键信息设施保护等进行工作对接。5、2015年1月-2015年7月,项目组进行了广泛研讨,并咨询了专家意见:2015年1月,对研究提出的网络安全保障评价指标体系的初步框架,召开专家咨询会,听取了崔书昆、李守鹏等专家的意见;2015年6月,召开专家会,听取了中国电信基于大数据的网络安全态势评价工作的介绍;2015年7月,召开专家会听取了关于民航、电信、互联网领域安全指标体系的研究现状,与会专家对网络安全保障评价指标体系课题提出意见建议。6、2015年8月-2015年9月,与2015年网络安全检查工作、关键信息基础保护工作进行对接。7、2016年1月-2016年2月,与网络安全检查工作进行对接,采用指标体系对相关检查结果进行了统计测算,并撰写评价报告。8、2016年4月-2016年8月,针对指标体系在网络安全检查工作中的成功经验和出现的问题进行总结,进一步更新了指标体系。9、2016年9月-2017年2月,与关键信息设施检查办进行对接,对指标体系的实际应
用进行了深入讨论。10、2017年3月,项目组在草案初稿的基础上,召开行业专家会,形成草案修正稿。11、2017年4月,在全国信息安全标准化技术委员会2017年第一次工作组会议周上,项目组申请国家标准制定项目立项。12、2017年6月,“信息安全技术 关键信息基础设施安全保障指标体系”标准制定项目正式立项。13、2017年7月,项目组召开专家咨询会,听取了李守鹏、魏军、闵京华、韩正平、张立武等专家的意见。14、2017年7月,在全国信息安全标准化技术委员会WG7第二次全体会议上,项目组广泛听取专家意见,形成征求意见稿。1.4.承担单位
起草单位:大唐电信科技产业集团(电信科学技术研究院)
协作单位:国家信息中心、北京奇安信科技有限公司、北京国舜科技股份有限公司、北京匡恩网络科技有限责任公司、北京天融信科技有限公司等。
本部分主要起草人:韩晓露 吕欣 李阳 毕钰 郭晓萧等。2.编制原则和主要内容 2.1.编制原则
为保证所建立的“关键信息基础设施安全保障评价指标体系”有一个客观、统一的基础,在评价指标体系的设计及指标的选取过程中,主要遵循以下原则:
1、综合性原则
关键信息基础设施安全保障评价指标体系建设是通过从整体和全局上把握我国关键信息基础设施安全保障体系的建设效果、运行状况和整体态势,形成多维的、动态的、综合的关键信息基础设施安全保障评价指标体系。因此,标准设计的首要原则是综合性。
2、科学适用性原则
关键信息基础设施安全保障评价指标体系必须是在符合我国国情、充分认识关键信息基础设施安全保障评价指标体系的科学基础之上建立的。按照国家信息安全保障体系总目标的设计原则,把关键信息基础实施安全各构成要素作为一个有机整体来考虑。指标体系必须符合理论上的完备性、科学性和正确性,即指标概念必须具有明确完整的科学内涵。
适用性原则,就是指标体系应该能够在时空上覆盖我国关键信息基础设施安全保障评价的各个层面,满足系统在完整性和全面性方面的客观要求。尤其是必须考虑由于经济、地区等原因造成的各机构间发展状况的差异,尽量做到不对基础数据的收集工作造成困扰。这一原则的关键在于,最精简的指标体系全面反映关键信息基础设施安全保障的整体水平。
3、导向性原则
评价的目的不是单纯评出名次及优劣的程度,更重要的是引导和鼓励被评价对象向正确 的方向和目标发展,要引导我国关键信息基础设施安全的健康发展。
4、可操作性强原则
可操作性强直接关系到指标体系的落实与实施,包括数据的易获取性(具有一定的现实统计基础,所选的指标变量必须在现实生活中是可以测量得到的或可通过科学方法聚合生成的)、可靠性(通过规范数据的来源、标准等保证数据的可靠与可信)、易处理性(数据便于统计分析处理)以及结果的可用性(便于实际操作,能够服务于我国涉密信息系统安全评价的)等方面。
5、定性定量结合原则
在众多指标中,有些因素是反映最终效果的定性指标,有些是能够通过项目运行过程得到实际数据的定量指标。对于评价最终效果而言,指标体系中这两方面的因素都不可或缺。但为了使指标体系具有高度的操作性,必须在选取定性指标时,舍弃部分与实施效果关系不大的非关键因素,并且尽量将关键的定性指标融合到对权重分配的影响中去。该指标设计的定性定量结合原则就是将定性分析反映在权重上,定量分析反映在指标数据上。
6、可比性原则
可比性是衡量关键信息基础设施安全保障评价指标体系的实际效果的客观标准,是方案权威性的重要标志。关键信息基础设施安全保障评价指标应该既可以横向对比不同机构信息安全保障水平的差异、又能够纵向反映国家及各地区关键信息基础设施安全保障的历史进程和发展趋势。这一原则主要体现在对各级指标的定义、量化和加权等方面。2.2.主要内容
本标准概述了本标准各部分通用的基础性概念,给出了关键信息基础设施安全保障指标体系设计的指标框架和评价方法。本标准主要用于:评价我国关键信息基础设施安全保障的现状,包括建设情况、运行情况以及所面临的威胁等;为政府管理层的关键信息基础设施态势判断和宏观决策提供支持;为各关键信息基础设施运营单位及管理部门的信息安全保障工作提供参考。本标准主要框架如下:
前言 引言 1 范围 规范性引用文件 3 术语和定义 4 指标体系 5 指标释义
附录A(规范性附录)指标测量过程 参考文献
本标准主要贡献如下:
1、明确了标准的目标读者及其可能感兴趣的内容
指出标准主要由三个相互关联的部分组成:第1部分包括1-3节,描述了本标准的范围和所使用的术语与定义,对关键信息基础设施、关键信息基础设施安全保障、关键信息基础设施安全保障评价等概念进行了阐释;第2部分为第4节,详细描述了关键信息基础设施安全保障指标体系的体系框架和指标;第3部分包括第5节和附录A,给出了关键信息基础设施安全保障指标体系各具体指标的衡量标准和量化方法,为体系的可操作性提供了保证。
2、给出了关键信息基础设施的概念
关键信息基础设施是指关系国家安全、国计民生,一旦数据泄露、遭到破坏或者丧失功能可能严重危害国家安全、公共利益的信息设施。
《中华人民共和国网络安全法》规定:国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
《国家网络空间安全战略》规定:国家关键信息基础设施是指关系国家安全、国计民生,一旦数据泄露、遭到破坏或者丧失功能可能严重危害国家安全、公共利益的信息设施,包括但不限于提供公共通信、广播电视传输等服务的基础信息网络,能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会保障、公用事业等领域和国家机关的重要信息系统,重要互联网应用系统等。
3、指出关键信息基础设施安全保障评价围绕三个维度进行
关键信息基础设施安全保障评价围绕三个维度进行,即建设情况、运行能力和安全态势,并依据关键信息基础设施安全保障对象和内容进行分析和分解,一级指标包括战略保障指标、管理保障指标、安全防护指标、安全监测指标、应急处置指标、信息对抗指标、威胁指标、隐患指标、事件指标。
4、给出了指标测量的一般过程
关键信息基础设施安全保障指标测量的一般过程描述了指标如何依据测量对象的相关属性设立基本测度,应用相应的测量方法得出测量值,并通过分析模型将测量值折算成指标值,最终应用于保障指标体系。关键信息基础设施安全保障指标评价测量过程通过定性或定量的方式将测量对象进行量化以实现评价测量对象的目的。3.其他事项说明
a.在关键信息基础设施安全保障指标指标的体系建设和测量过程方面,试图使所提出的指标体系与测量过程具有一定的通用性,以便于指标体系的推广和扩展;
b.考虑到指标设计方面应用的可扩展性,在体系建设和测量过程之中,指标体系可以根据实际评价对象的特性做出相应的指标调整,以完善指标体系并得出合理公正的评价。
《信息安全技术 关键信息基础设施安全保障指标体系》标准编写组
2017年8月