公开、透明把握安全趋势 设备商助力海外运营商构建信息安全体系

第一篇：公开、透明把握安全趋势 设备商助力海外运营商构建信息安全体系

公开、透明把握安全趋势 设备商助力海外运营商构建信息安全体系

移动互联网应用的丰富及模式的变化，对于运营商提出了新的要求，随之而来的其对于信息安全的需求也发生了变化。设备商将如何应对这些变化，来满足运营商新的安全需求？

打铁尚需自身硬海外市场不拒中国设备商

与华为、中兴近期在美国受阻不同，近日，英国最大的电信运营商EE宣布，其4G网络的基础设施及解决方案由华为独家提供。此前，美国电信运营商Clearwire也宣布将在2013年的高速移动通信网络升级中，继续使用华为的设备。EE和Clerawire都是欧美有影响的大型电信运营商，而他们的举动，令美国国会不久前发布的“华为中兴威胁美国国家安全”的调查结论不攻自破。对此，美国相关权威投资网站发表分析文章称，华为目前在电信设备制造领域的实力有目共睹，除了可以提供电信运营商所需的各类设备外，其价格也低于思科等欧美厂商，对欧美运营商具有极大的吸引力。对此，伦敦的国际战略研究所高级研究员奈杰尔·英克斯特指出，如今没有一家美国公司能够用美国制造的零部件建设一个4G网络，像思科这样为美国政府建造很多系统的公司，也要从中国采购零部件。

针对上述事实，中国工程院院士、中科院计算所研究员倪光南告诉记者：“华为、中兴这些年通过自主创新早已具备与国外同类企业竞争的实力，这从二者所拥有的专利数可见一斑，而性价比的优势无疑又会让中国企业的产品在海外市场竞争中得到青睐。”

同样，华为和中兴也被德国市场所熟知。例如，两家公司都在帮助发展涉及全部德国移动运营商的超高速LTE无线网络。为了表示自己产品的透明和安全，华为在英国甚至建立了一个安全中心，地方当局可以在此检查他们的组件。这个安全评价中心(Security Evaluation Centre)位于英国班伯里，从2010年设立至今。在该国通过与联邦信息安全办公室(BSI)合作一个类似的中心也同样在考虑中。

在饱受争议的美国市场，为了减缓美国企业对安全问题的担忧，华为公布了其源代码，并允许一家名为电子冲突协会（Electronic Warfare Associates）的公司对其进行持续监控。这一举措在印度和英国已经获得成功。为此EWA公司负责基础设施技术部的总裁兼CEO约翰·林奎斯特表示，华为公司接受了国防部和情报机构最高级别的安全调查，因此可以同步所有已知的网络风险。华为的客户都可以利用EWA的调查，放心购买华为的设备。

另外，为在美国运营商中建立起信任，华为从思科、爱立信、英特尔、诺基亚、Sun、北电等公司招揽多名高管，甚至聘请前美国国务院首席律师、美国国家安全委员会顾问约翰·贝林格(John Bellinger)担任公司顾问，并向亚德诺、博通、戴尔等美国公司采购软件、元器件、芯片和服务。数据显示，2006年以来，华为对美采购累计约300亿美元。种种事实表明，华为用自己的公开、透明向海外运营商证明，要想用自己的产品、服务、方案协助构建信息安全体系，首先需要自己的产品是安全可靠的，所谓打铁先需自身硬。一体化解决方案保运营商安全

目前，电信运营商都在从网络接入提供商向网络服务提供商转变，其盈利模式也在随之发生改变，从单纯向用户提供网络带宽转变为通过提供各种增值服务，如为个人用户提供彩铃、彩信，为家庭用户提供互联网服务、视频点播，为企业用户提供数据中心、在线视频监控、移动办公等服务而产生利润。不仅如此，越来越多的运营商在传统业务上推陈出新，增加了诸多安全、存储的增值服务。

与此同时，电信网络也在向融合化、全IP化的方向发展。基于IP化固有的问题，如先天安全缺失和开放性，以及融合网络带来的“牵一发而动全身”的安全问题，安全防护产业也在不断地发展变化。

“安全功能基础化之后，方案的竞争优势越来越依赖于设备提供商的服务和咨询；安全防护技术将向着广而深的方向发展，覆盖面更广并与信息世界更加密不可分；各种安全防护产品的融合日益紧密。”某行业专家如此评价运营商网络安全的趋势。

所以说，安全防护已经不是一个简单的技术或产品，而是一个从分析、设计、实施、测试到运维和管理的螺旋式不断上升的过程。设备提供商仅仅依靠产品的高可靠性和良好的性价比，已经无法满足市场需求，因为运营商需要的是能够从运营层面，为客户提供一体化的综合解决方案。

例如，海外某老牌电信运营商，对网络安全问题非常重视，2008年底专门邀请英国一家专业的安全服务公司，对其网络实施渗透测试。测试结果显示，网络存在一定的安全漏洞，虽然暂时不会出现影响业务的安全事件，但却为网络长期稳定运行埋下了安全隐患。为此，该运营商向设备商提出5年期安全规划需求，其中涉及组织、流程、审计、运维等环节。

“在充分理解客户需求的基础上，华为提出了整网安全评估和规划方案，分步骤、多层次地协助客户进行整网安全建设，主要包括风险评估、安全流程设计、网络安全架构部署等。华为整体方案从咨询、设计、集成到运维，端到端的统筹规划和设计，得到了该运营商的高度认可，极大地推动了其网络安全建设及业务发展，为该运营商获得ISO27001信息安全体系认证提供了有力保障。”华为相关人士向记者介绍。

对于上述华为的案例，业内安全专家认为：“面对网络安全挑战，政府、运营商、设备制造商必须联合在一起，任何一方都难以单独对抗网络安全问题，而设备制造商是网络安全最重要的环节，因为设备商是连接上述环节的纽带，设备商必须在设备功能上完成其安全机制。” “华为解决方案的安全性和完整性是国际业界公认的，其诚信表现、产品质量与安全得到了全球140多个市场的认可，被超过500家运营商使用。同时，华为还引进西方管理实践，构建了规范的、流程化的运作管理体系，包括产品开发、供应链管理、财务管理、人力资源、质量管理等。”某熟悉华为的业内人士如此评价华为的实力。文章来源：移动通信http://www.xiexiebang.com

第二篇：构建信息安全保密体系

构建信息安全保密体系

摘 要：信息安全保密已经成为当前保密工作的重点。本文从策略和机制的角度出发，给出了信息安全保密的服务支持、标准规范、技术防范、管理保障和工作能力体系，体现了技术与管理相结合的信息安全保密原则。关键词：信息 安全 保密 体系

一、引言

构建信息安全保密体系，不能仅仅从技术层面入手，而应该将管理和技术手段有机结合起来，用规范的制度约束人，同时建立、健全信息安全保密的组织体制，改变现有的管理模式，弥补技术、制度、体制等方面存在的不足，从标准、技术、管理、服务、策略等方面形成综合的信息安全保密能力，如图1所示。图 1 信息安全保密的体系框架

该保密体系是以信息安全保密策略和机制为核心，以信息安全保密服务为支持，以标准规范、安全技术和组织管理体系为具体内容，最终形成能够满足信息安全保密需求的工作能力。

二、信息安全保密的策略和机制 所谓信息安全保密策略，是指为了保护信息系统和信息网络中的秘密，对使用者（及其代理）允许什么、禁止什么的规定。从信息资产安全管理的角度出发，为了保护涉密信息资产，消除或降低泄密风险，制订的各种纲领、制度、规范和操作流程等，都属于安全保密策略。例如：禁止（工作或技术人员）将涉密软盘或移动存储设备带出涉密场所；严禁（使用人员将）涉密计算机（连）上互联网；不允许（参观人员）在涉密场所拍照、录像等。

信息安全保密机制，是指实施信息安全保密策略的一种方法、工具或者规程。例如，针对前面给出的保密策略，可分别采取以下机制：为涉密移动存储设备安装射频标识，为涉密场所安装门禁和报警系统；登记上网计算机的（物理）地址，实时监控上网设备；进入涉密场所前，托管所有摄录像设备等。

根据信息系统和信息网络的安全保密需求，在制定其安全保密策略时，应主要从物理安全保密策略，系统或网络的访问控制策略，信息的加密策略，系统及网络的安全管理策略，人员安全管理策略，内容监管策略等方面入手。在安全保密机制方面，应主要从组织管理、安全控制和教育培训等方面，针对给出的安全保密策略，确定详细的操作或运行规程，技术标准和安全解决方案。

三、信息安全保密的服务支持体系

信息安全保密的服务支持体系，主要是由技术检查服务、调查取证服务、风险管理服务、系统测评服务、应急响应服务和咨询培训服务组成的，如图2所示。其中，风险管理服务必须贯穿到信息安全保密的整个工程中，要在信息系统和信息网络规划与建设的初期，就进行专业的安全风险评估与分析，并在系统或网络的运营管理过程中，经常性地开展保密风险评估工作，采取有效的措施控制风险，只有这样才能提高信息安全保密的效益和针对性，增强系统或网络的安全可观性、可控性。其次，还要大力加强调查取证服务、应急响应服务和咨询培训服务的建设，对突发性的失泄密事件能够快速反应，同时尽可能提高信息系统、信息网络管理人员的安全技能，以及他们的法规意识和防范意识，做到“事前有准备，事后有措施，事中有监察”。

加强信息安全保密服务的主要措施包括： 借用安全评估服务帮助我们了解自身的安全性

通过安全扫描、渗透测试、问卷调查等方式对信息系统及网络的资产价值、存在的脆弱性和面临的威胁进行分析评估，确定失泄密风险的大小，并实施有效的安全风险控制。采用安全加固服务来增强信息系统的自身安全性 具体包括操作系统的安全修补、加固和优化；应用服务的安全修补、加固和优化；网络设备的安全修补、加固和优化；现有安全制度和策略的改进与完善等。部署专用安全系统及设备提升安全保护等级

借助目前成熟的安全技术和产品来帮助我们提升整个系统及网络的安全防护等级，可采用的产品包括防火墙、IDS、VPN、防病毒网关等。

运用安全控制服务增强信息系统及网络的安全可观性、可控性

通过部署面向终端、服务器和网络边界的安全控制系统，以及集中式的安全控制平台，增强对整个信息系统及网络的可观性，以及对使用网络的人员、网络中的设备及其所提供服务的可控性。

加强安全保密教育培训来减少和避免失泄密事件的发生 加强信息安全基础知识及防护技能的培训，尤其是个人终端安全技术的培训，提高使用和管理人员的安全保密意识，以及检查入侵、查处失泄密事件的能力。引入应急响应服务及时有效地处理重大失泄密事件

具体包括：协助恢复系统到正常工作状态；协助检查入侵来源、时间、方法等；对网络进行安全评估，找出存在的安全隐患；做出事件分析报告；制定并贯彻实施安全改进计划。采用安全通告服务来对窃密威胁提前预警 具体包括对紧急事件的通告，对安全漏洞和最新补丁的通告，对最新防护技术及措施的通告，对国家、军队的安全保密政策法规和安全标准的通告等。

四、信息安全保密的标准规范体系 信息安全保密的标准规范体系，主要是由国家和军队相关安全技术标准构成的，如图3所示。这些技术标准和规范涉及到物理场所、电磁环境、通信、计算机、网络、数据等不同的对象，涵盖信息获取、存储、处理、传输、利用和销毁等整个生命周期。既有对信息载体的相关安全保密防护规定，也有对人员的管理和操作要求。因此，它们是设计信息安全保密解决方案，提供各种安全保密服务，检查与查处失泄密事件的准则和依据。各部门应该根据本单位信息系统、信息网络的安全保密需求，以及组织结构和使用维护人员的配置情况，制定相应的，操作性和针对性更强的技术和管理标准。

五、信息安全保密的技术防范体系 信息安全保密的技术防范体系，主要是由电磁防护技术、信息终端防护技术、通信安全技术、网络安全技术和其他安全技术组成的。这些技术措施的目的，是为了从信息系统和信息网络的不同层面保护信息的机密性、完整性、可用性、可控性和不可否认性，进而保障信息及信息系统的安全，提高信息系统和信息网络的抗攻击能力和安全可靠性。安全保密技术是随着信息技术、网络技术，以及各种入侵与攻击技术的发展不断完善和提高的，一些最新的安全防护技术，如可信计算技术、内网监控技术等，可以极大地弥补传统安全防护手段存在的不足，这就为我们降低安全保密管理的难度和成本，提高信息系统和信息网络的安全可控性和可用性，奠定了技术基础。因此，信息安全保密的技术防范体系，是构建信息安全保密体系的一个重要组成部分，应该在资金到位和技术可行的情况下，尽可能采用最新的、先进的技术防护手段，这样才能有效抵御不断出现的安全威胁。

六、信息安全保密的管理保障体系

俗话说，信息安全是“三分靠技术，七分靠管理”。信息安全保密的管理保障体系，主要是从技术管理、制度管理、资产管理和风险管理等方面，加强安全保密管理的力度，使管理成为信息安全保密工作的重中之重。

技术管理主要包括对泄密隐患的技术检查，对安全产品、系统的技术测评，对各种失泄密事件的技术取证；制度管理主要是指各种信息安全保密制度的制定、审查、监督执行与落实；资产管理主要包括涉密人员的管理，重要信息资产的备份恢复管理，涉密场所、计算机和网络的管理，涉密移动通信设备和存储设备的管理等；风险管理主要是指保密安全风险的评估与控制。

现有的安全管理，重在保密技术管理，而极大地忽视了保密风险管理，同时在制度管理和资产管理等方面也存在很多问题，要么是管理制度不健全，落实不到位；要么是一些重要的资产监管不利，这就给失窃密和遭受网络攻击带来了人为的隐患。加强安全管理，不但能改进和提高现有安全保密措施的效益，还能充分发挥人员的主动性和积极性，使信息安全保密工作从被动接受变成自觉履行。

七、信息安全保密的工作能力体系

将技术、管理与标准规范结合起来，以安全保密策略和服务为支持，就能合力形成信息安全保密工作的能力体系，如图4所示。该能力体系既是信息安全保密工作效益与效率的体现，也能反映出当前信息安全保密工作是否到位。它以防护、检测、响应、恢复为核心，对信息安全保密的相关组织和个人进行工作考评，并通过标准化、流程化的方式加以持续改进，使信息安全保密能力随着信息化建设的进展不断提高。

八、结论

技术与管理相结合，是构建信息安全保密体系应该把握的核心原则。为了增强信息系统和信息网络的综合安全保密能力，重点应该在健全上述保密体系，尤其是组织体系、管理体系、服务体系和制度（技术标准及规范）体系的基础上，规范数据备份、密钥管理、访问授权、风险控制、身份认证、应急响应、系统及应用安全等管理方案，努力提高系统漏洞扫描、信息内容监控、安全风险评估、入侵事件检测、病毒预防治理、系统安全审计、网络边界防护等方面的技术水平。

参考文献：

[1]信息与网络安全研究新进展．全国计算机安全学术交流会论文集．第二十二卷[C]．合肥：中国科技大学出版社, 2007 [2]中国计算机学会信息保密专业委员会论文集．第十六卷[C]．合肥：中国科技大学出版社, 2006 [3]胡建伟．网络安全与保密[M]．西安：西安电子科技大学出版社, 2003

第三篇：构建信息安全保密体系.

构建信息安全保密体系

摘要:信息安全保密已经成为当前保密工作的重点。本文从策略和机制的角度出发,给出了信息安全保密的服务支持、标准规范、技术防范、管理保障和工作能力体系,体现了技术与管理相结合的信息安全保密原则。

关键词:信息安全保密体系

一、引言

构建信息安全保密体系,不能仅仅从技术层面入手,而应该将管理和技术手段有机结合起来,用规范的制度约束人,同时建立、健全信息安全保密的组织体制,改变现有的管理模式,弥补技术、制度、体制等方面存在的不足,从标准、技术、管理、服务、策略等方面形成综合的信息安全保密能力,如图1所示。

图1 信息安全保密的体系框架

该保密体系是以信息安全保密策略和机制为核心,以信息安全保密服务为支持,以标准规范、安全技术和组织管理体系为具体内容,最终形成能够满足信息安全保密需求的工作能力。

二、信息安全保密的策略和机制

所谓信息安全保密策略,是指为了保护信息系统和信息网络中的秘密,对使用者(及其代理允许什么、禁止什么的规定。从信息资产安全管理的角度出发,为了保护涉密信息资产,消除或降低泄密风险,制订的各种纲领、制度、规范和操作流程等,都属于安全保密策略。例如:禁止(工作或技术人员将涉密软盘或移动存储设备带出涉密场所;严禁(使用人员将涉密计算机(连上互联网;不允许(参观人员在涉密场所拍照、录像等。

信息安全保密机制,是指实施信息安全保密策略的一种方法、工具或者规程。例如,针对前面给出的保密策略,可分别采取以下机制:为涉密移动存储设备安装射频标识,为涉密场所安装门禁和报警系统;登记上网计算机的(物理地址,实时监控上网设备;进入涉密场所前,托管所有摄录像设备等。

根据信息系统和信息网络的安全保密需求,在制定其安全保密策略时,应主要从物理安全保密策略,系统或网络的访问控制策略,信息的加密策略,系统及网络的安全管理策略,人员安全管理策略,内容监管策略等方面入手。在安全保密机制方面,应主要从组织管理、安全控制和教育培训等方面,针对给出的安全保密策略,确定详细的操作或运行规程,技术标准和安全解决方案。

三、信息安全保密的服务支持体系

信息安全保密的服务支持体系,主要是由技术检查服务、调查取证服务、风险管理服务、系统测评服务、应急响应服务和咨询培训服务组成的,如图2所示。其中,风险管理服务必须贯穿到信息安全保密的整个工程中,要在信息系统和信息网络规划与建设的初期,就进行专业的安全风险评估与分析,并在系统或网络的运营管理过程中,经常性地开展保密风险评估工作,采取有效的措施控制风险,只有这样才能提高信息安全保密的效益和针对性,增强系统或网络的安全可观性、可控性。其次,还要大力加强调查取证服务、应急响应服务和咨询培训服务的建设,对突发性的失泄密事件能够快速反应,同时尽可能提高信息系统、信息网络管理人员的安全技能,以及他们的法规意识和防范意识,做到“事前有准备,事后有措施,事中有监察”。

加强信息安全保密服务的主要措施包括: 借用安全评估服务帮助我们了解自身的安全性

通过安全扫描、渗透测试、问卷调查等方式对信息系统及网络的资产价值、存在的脆弱性和面临的威胁进行分析评估,确定失泄密风险的大小,并实施有效的安全风险控制。

采用安全加固服务来增强信息系统的自身安全性

具体包括操作系统的安全修补、加固和优化;应用服务的安全修补、加固和优化;网络设备的安全修补、加固和优化;现有安全制度和策略的改进与完善等。

部署专用安全系统及设备提升安全保护等级

借助目前成熟的安全技术和产品来帮助我们提升整个系统及网络的安全防护等级,可采用的产品包括防火墙、IDS、VPN、防病毒网关等。

运用安全控制服务增强信息系统及网络的安全可观性、可控性

通过部署面向终端、服务器和网络边界的安全控制系统,以及集中式的安全控制平台,增强对整个信息系统及网络的可观性,以及对使用网络的人员、网络中的设备及其所提供服务的可控性。

加强安全保密教育培训来减少和避免失泄密事件的发生

加强信息安全基础知识及防护技能的培训,尤其是个人终端安全技术的培训,提高使用和管理人员的安全保密意识,以及检查入侵、查处失泄密事件的能力。

引入应急响应服务及时有效地处理重大失泄密事件

具体包括:协助恢复系统到正常工作状态;协助检查入侵来源、时间、方法等;对网络进行安全评估,找出存在的安全隐患;做出事件分析报告;制定并贯彻实施安全改进计划。

采用安全通告服务来对窃密威胁提前预警

具体包括对紧急事件的通告,对安全漏洞和最新补丁的通告,对最新防护技术及措施的通告,对国家、军队的安全保密政策法规和安全标准的通告等。

四、信息安全保密的标准规范体系

信息安全保密的标准规范体系,主要是由国家和军队相关安全技术标准构成的,如图3所示。这些技术标准和规范涉及到物理场所、电磁环境、通信、计算机、网络、数据等不同的对象,涵盖信息获取、存储、处理、传输、利用和销毁等整个生命周期。既有对信息载体的相关安全保密防护规定,也有对人员的管理和操作要求。因此,它们是设计信息安全保密解决方案,提供各种安全保密服务,检查与查处失泄密事件的准则和依据。各部门应该根据本单位信息系统、信息网络的安全保密需

求,以及组织结构和使用维护人员的配置情况,制定相应的,操作性和针对性更强的技术和管理标准。

五、信息安全保密的技术防范体系

信息安全保密的技术防范体系,主要是由电磁防护技术、信息终端防护技术、通信安全技术、网络安全技术和其他安全技术组成的。这些技术措施的目的,是为了从信息系统和信息网络的不同层面保护信息的机密性、完整性、可用性、可控性和不可否认性,进而保障信息及信息系统的安全,提高信息系统和信息网络的抗攻击能力和安全可靠性。安全保密技术是随着信息技术、网络技术,以及各种入侵与攻击技术的发展不断完善和提高的,一些最新的安全防护技术,如可信计算技术、内网监控技术等,可以极大地弥补传统安全防护手段存在的不足,这就为我们降低安全保密管理的难度和成本,提高信息系统和信息网络的安全可控性和可用性,奠定了技术基础。因此,信息安全保密的技术防范体系,是构建信息安全保密体系的一个重要组成部分,应该在资金到位和技术可行的情况下,尽可能采用最新的、先进的技术防护手段,这样才能有效抵御不断出现的安全威胁。

六、信息安全保密的管理保障体系

俗话说,信息安全是“三分靠技术,七分靠管理”。信息安全保密的管理保障体系,主要是从技术管理、制度管理、资产管理和风险管理等方面,加强安全保密管理的力度,使管理成为信息安全保密工作的重中之重。

技术管理主要包括对泄密隐患的技术检查,对安全产品、系统的技术测评,对各种失泄密事件的技术取证;制度管理主要是指各种信息安全保密制度的制定、审查、监督执行与落实;资产管理主要包括涉密人员的管理,重要信息资产的备份恢复管理,涉密场所、计算机和网

络的管理,涉密移动通信设备和存储设备的管理等;风险管理主要是指保密安全风险的评估与控制。

现有的安全管理,重在保密技术管理,而极大地忽视了保密风险管理,同时在制度管理和资产管理等方面也存在很多问题,要么是管理制度不健全,落实不到位;要么是一些重要的资产监管不利,这就给失窃密和遭受网络攻击带来了人为的隐患。加强安全管理,不但能改进和提高现有安全保密措施的效益,还能充分发挥人员的主动性和积极性,使信息安全保密工作从被动接受变成自觉履行。

七、信息安全保密的工作能力体系

将技术、管理与标准规范结合起来,以安全保密策略和服务为支持,就能合力形成信息安全保密工作的能力体系,如图4所示。该能力体系既是信息安全保密工作效益与效率的体现,也能反映出当前信息安全保密工作是否到位。它以防护、检测、响应、恢复为核心,对信息安全保密的相关组织和个人进行工作考评,并通过标准化、流程化的方式加以持续改进,使信息安全保密能力随着信息化建设的进展不断提高。

八、结论

技术与管理相结合,是构建信息安全保密体系应该把握的核心原则。为了增强信息系统和信息网络的综合安全保密能力,重点应该在健全上述保密体系,尤其是组织体系、管理体系、服务体系和制度(技术标准及规范体系的基础上,规范数据备份、密钥管理、访问授权、风险控制、身份认证、应急响应、系统及应用安全等管理方案,努力提高系统漏洞扫描、信息内容监控、安全风险评估、入侵事件检测、病毒预防治理、系统安全审计、网络边界防护等方面的技术水平。

参考文献: [1]信息与网络安全研究新进展.全国计算机安全学术交流会论文集.第二十二卷[C].合肥:中国科技大学出版社, 2007 [2]中国计算机学会信息保密专业委员会论文集.第十六卷[C].合肥:中国科技大学出版社, 2006

[3]胡建伟.网络安全与保密[M].西安:西安电子科技大学出版社, 2003

第四篇：五步构建信息安全运维体系

五步构建信息安全运维体系

随着信息安全管理体系和技术体系在信息安全建设中不断推进，占信息系统生命周期70%-80%的信息安全运维体系的建设已经越来越被广大用户重视。尤其是随着信息系统建设工作从大规模建设阶段逐步转型到“建设和运维”并举的发展阶段，信息安全负责人员需要管理越来越庞大的IT系统的情况下，信息安全运维体系建设已经被提到了一个空前的高度上。

目前，大多数的信息安全运维体系的服务水平处在一个被动的阶段。这主要表现在信息技术和设备的应用越来越多，但运维人员在信息系统出现安全事件的时候却茫然不知所措。究其原因，是该组织未建设成完整的信息安全运维体系。

正是因为目前运维服务中存在的弊端，山东省软件评测中心依靠长期从事信息系统运维服务的经验，同时结合信息安全保障体系建设中运维体系建设的要求，遵循ITIL、ISO/IEC 27000系列服务标准、等级保护和分级保护制度，建立了一整套信息安全运维服务管理的建设方案。

信息安全运维体系的构建第一步：建立安全运维监控中心

基于关键业务点面向业务系统可用性和业务连续性进行合理布控和监测，以关键绩效指标指导和考核信息系统运行质量和运维管理工作的实施和执行，帮助用户建立全面覆盖信息系统的监测中心，并对各类事件做出快速、准确的定位和展现。实现对信息系统运行动态的快速掌握，以及运行维护管理过程中的事前预警、事发时快速定位。其主要包括：

● 集中监控：采用开放的、遵循国际标准的、可扩展的架构，整合各类监控管理工具的监控信息，实现对信息资产的集中监视、查看和管理的智能化、可视化监控系统。监控的主要内容包括：基础环境、网络、通信、安全、主机、中间件、数据库和核心应用系统等。

● 综合展现：合理规划与布控，整合来自各种不同的监控管理工具和信息源，进行标准化、归一化的处理，并进行过滤和归并，实现集中、综合的展现。● 快速定位和预警：经过同构和归并的信息，将依据预先配置的规则、事件知识库、关联关系进行快速的故障定位，并根据预警条件进行预警。

构建第二步：建立安全运维告警中心

基于规则配置和自动关联，实现对监控采集、同构、归并的信息的智能关联判别，并综合的展现信息系统中发生的预警和告警事件，帮助运维管理人员快速定位、排查问题所在。

同时，告警中心提供多种告警响应方式，内置与事件响应中心的工单和预案处理接口，可依据事件关联和响应规则的定义，触发相应的预案处理，实现运维管理过程中突发事件和问题处理的自动化和智能化。其中只要包括：

事件基础库维护：是事件知识库的基础定义，内置大量的标准事件，按事件类型进行合理划分和维护管理，可基于事件名称和事件描述信息进行归一化处理的配置，定义了多源、异构信息的同构规则和过滤规则。

智能关联分析：借助基于规则的分析算法，对获取的各类信息进行分析，找到信息之间的逻辑关系，结合安全事件产生的网络环境、资产重要程度，对安全事件进行深度分析，消除安全事件的误报和重复报警。

综合查询和展现：实现了多种视角的故障告警信息和业务预警信息的查询和集中展现。

告警响应和处理：提供了事件生成、过滤、短信告警、邮件告警、自动派发工单、启动预案等多种响应方式，内置监控界面的图形化告警方式；提供了与事件响应中心的智能接口，可基于事件关联响应规则自动生成工单并触发相应的预案工作流进行处理。

构建第三步：建立安全运维事件响应中心

借鉴并融合了ITIL（信息系统基础设施库）/ITSM（IT服务管理）的先进管理规范和最佳实践指南，借助工作流模型参考等标准，开发图形化、可配置的工作流程管理系统，将运维管理工作以任务和工作单传递的方式，通过科学的、符合用户运维管理规范的工作流程进行处置，在处理过程中实现电子化的自动流转，无需人工干预，缩短了流程周期，减少人工错误，并实现对事件、问题处理过程中的各个环节的追踪、监督和审计。其中包括：

图形化的工作流建模工具：实现预案建模的图形化管理，简单易用的预案流程的创建和维护，简洁的工作流仿真和验证。

可配置的预案流程：所有运维管理流程均可由用户自行配置定义，即可实现ITIL/ITSM的主要运维管理流程，又可根据用户的实际管理要求和规范，配置个性化的任务、事件处理流程。

智能化的自动派单：智能的规则匹配和处理，基于用户管理规范的自动处理，降低事件、任务发起到处理的延时，以及人工派发的误差。

全程的事件处理监控：实现对事件响应处理全过程的跟踪记录和监控，根据ITIL管理建议和用户运维要求，对事件处理的响应时限和处理时限的监督和催办。

事件处理经验的积累：实现对事件处理过程的备案和综合查询，帮助用户在处理事件时查找历史处理记录和流程，为运维管理工作积累经验。

构建第四步：建立安全运维审核评估中心

该中心提供对信息系统运行质量、服务水平、运维管理工作绩效的综合评估、考核、审计管理功能。其中包括：

评估：遵循国际和工业标准及指南建立平台的运行质量评估框架，通过评估模型使用户了解运维需求、认知运行风险、采取相应的保护和控制，有效的保证信息系统的建设投入与运行风险的平衡，系统地保证信息化建设的投资效益，提高关键业务应用的连续性。

考核：是为了在评价过程中避免主观臆断和片面随意性，应实现工作量、工作效率、处理考核、状态考核等功能。

审计：是以跨平台多数据源信息安全审计为框架，以电子数据处理审计为基础的信息审计系统。主要包括：系统流程和输入输出数据以及数据接口的完整性、合规性、有效性、真实性审计。构建第五步：以信息资产管理为核心

IT资产管理是全面实现信息系统运行维护管理的基础，提供的丰富的IT资产信息属性维护和备案管理，以及对业务应用系统的备案和配置管理。

基于关键业务点配置关键业务的基础设施关联，通过资产对象信息配置丰富业务应用系统的运行维护内容，实现各类IT基础设施与用户关键业务的有机结合，以及全面的综合监控。这其中包括：

综合运行态势：是全面整合现有各类设备和系统的各类异构信息，包括网络设备、安全设备、应用系统和终端管理中各种事件，经过分析后的综合展现界面，注重对信息系统的运行状态、综合态势的宏观展示。

系统采集管理：以信息系统内各种IT资源及各个核心业务系统的监控管理为主线，采集相关异构监控系统的信息，通过对不同来源的信息数据的整合、同构、规格化处理、规则匹配，生成面向运行维护管理的事件数据，实现信息的共享和标准化。

系统配置管理：从系统容错、数据备份与恢复和运行监控三个方面着手建立自身的运行维护体系，采用平台监测器实时监测、运行检测工具主动检查相结合的方式，构建一个安全稳定的系统。

第五篇：广东省工程建设领域项目安全生产信息公开和诚信体系建设工作实施方案

广东省工程建设领域项目安全生产信息公开

和诚信体系建设工作实施方案

为贯彻落实省工程建设领域项目信息公开和诚信体系建设试点工作会议精神，扎实有效地做好项目安全生产信息公开和诚信体系建设工作，根据《广东省工程建设领域项目信息公开和诚信体系建设试点工作方案》安排，决定在全省安全监管系统开展工程建设领域项目安全生产信息公开和诚信体系建设工作，力争在2010年6月底前完成全省安全监管系统的项目安全生产信息公开和诚信体系建设的基本框架及运行机制。

一、工作目标

2010年6月底前，全省安全监管系统制定和发布适用于本系统的工程建设领域项目安全生产信息公开和信用信息目录，依托政府网站建立“工程建设领域项目安全生产信息公开专栏”，整合建立相对集中的项目安全生产信息公开服务平台，加强安全生产信用信息的公开共享，重点做好工程建设领域生产安全事故从业单位和从业人员不良行为信息的公开，探索建立工程建设领域安全生产诚信体系的守信激励和失信惩戒制度。

二、试点范围

全省二十一个地市安全监管部门以及广州、深圳、珠海、佛山、惠州、东莞、中山、江门、肇庆市各县级安全监管部门。

三、工作任务

（一）编制和发布工程建设领域项目安全生产信息公开和信用信息目录。以《工程建设领域项目安全生产信息公开基本指导目录（试行）》、《工程建设领域信用信息基本指导目录（试-1-

行）》（见附件）为指导，各地市和有关区县安全监管部门结合实际，按照“谁制作、谁公开，谁保存、谁公开”的原则，制定和公布本部门工程建设领域项目安全生产信息公开和信用信息目录，进一步明确和细化信息公开的内容、形式和责任主体，规范有序地推进安全生产信用信息公开共享的实施。

（二）依托政府网站建立“工程建设领域项目安全生产信息公开专栏”。以项目安全生产信息公开目录为要求，各地（及有关区县）安全监管部门在本单位政府网站上开设“工程建设领域项目安全生产信息公开专栏”，发布有关工程建设领域项目安全生产信息，实现页面展现、信息导航、访问权限等发布、管理及服务功能，并及时更新信息。

（三）整合建立信息公开服务平台。各地和有关区县安全监管单位要做好项目安全生产信息公开专栏与政府门户网站设立的工程建设领域项目信息公开专栏链接，配合做好信息共享服务。

（四）促进从业单位和人员不良行为信息公开、共享应用。各地及有关区县安全监管部门基于“工程建设领域项目安全生产信息公开专栏”，制定并发布信用信息采集、审核、发布、更正和使用的相关管理规定，及时发布从业单位和从业人员的安全生产信用信息，促进信用信息在工程建设领域诚信体系建设中的共享应用。

（五）建立和完善守信激励制度和失信惩戒制度。各地及有关区县安全监管部门根据安全生产诚信体系建设的需要，结合安全生产工作实际，围绕从业单位和从业人员的信用管理，制定并发布安全生产信用信息管理、良好行为和不良行为认定、信誉评价管理等相关规定，推进守信激励制度和失信惩戒制度建设，完善市场准入和退出机制，加强守信激励和失信惩戒。

（六）加强工程建设项目安全生产信息公开的监督和检查。省局治工办按月检查各地信息公开工作，有关情况报省专项治理领导小组办公室。

四、时间安排

（一）2010年4月25日前，全省各级安全监管系统成立本单位工程建设领域项目安全生产信息公开和诚信体系建设协调小组，建立工作机制。

（二）2010年5月15日前，各级安全监管系统按照当地治工办要求编制本部门工程建设领域项目安全生产信息公开和诚信体系建设实施方案，进一步细化实施任务、明确责任人，实施方案报省局治工办。

（三）2010年5月30日前，各地安全监管部门编制并发布本部门工程建设领域项目安全生产信息公开和信用信息目录，制定并发布信用信息采集、审核、发布、更正和使用的相关管理规定。

（四）2010年5月30前，各地安全监管部门梳理完成2009年以来本级项目安全生产信息公开资料以及可公开的从业单位和从业人员信用信息，在政府网站上建立“工程建设领域项目安全生产信息公开专栏”，发布项目安全生产信用公开信息。

（五）2010年5月30日前，各地安全监管部门制定并发布安全生产信用信息管理、良好行为和不良行为认定、信誉评价管理等相关规定。

（六）2010年6月10日前，各地安全监管部门做好本部门

开展信息公开和诚信体系建设的工作情况，形成书面材料报省局治工办。

五、保障措施

（一）加强组织领导。省局成立工程建设领域项目安全生产信息公开和诚信体系建设协调小组，负责全省安全监管系统实施的组织、指导、督促、检查等工作。各市、县安全监管部门要按照省的要求成立协调小组，负责实施本级项目安全生产信息公开和信用信息公开共享各项工作。

（二）加强监督检查。制定《工程建设领域项目安全生产信息公开检查指标》，建立定期检查和汇报机制，编发工作通报，及时发现实施过程中的问题，按计划推进实施工作的开展。

（三）加强沟通联系。各级安全监管部门在开展工作中遇到的问题，要及时向当地治工办报告。有关工作开展情况及时上报上一级安全监管部门。

基本指导目录（试行）

一、项目安全监管信息

1、项目督查检查情况通报

2、项目安全隐患整改情况

二、项目生产安全事故信息

1、发生事故情况

2、事故查处情况

三、其他相关信息

基本指导目录（试行）

一、从业单位安全生产信用信息

1、安全生产良好行为记录信息（包括被各级政府部门评为安全生产先进单位的情况）

2、安全生产不良行为记录信息（包括在各级政府部门检查中发现问题以及发生事故情况）

二、从业人员信用信息

1、从业人员良好行为记录信息（包括被各级政府部门评为安全生产先进个人的情况）

2、从业人员不良行为记录信息（包括从业人员违章指挥、违章作业等情况）

三、其他相关信息