第一篇:加强信息保障体系建设提高人防信息支撑能力
加强信息保障体系建设提高人防信息支撑能力
当今,随着全球互联网的高速发展,人类社会也随之进入了信息时代。信息技术不断渗透和广泛应用于军事领域,战争形态已向信息化演变。世界各国把实现信息化作为抢占二十一世纪战略主动权的制高点,大力推进国防和军队信息化建设。党中央、中央军委高度重视国防和军队信息化建设,提出了建设信息化军队、打赢信息化战争的宏伟目标。当前如何加强我省人防信息保障体系建设,全面提高信息在防空袭斗争中的支撑能力,是摆在我们面前的重要课题。
一、认清形势,抢抓机遇,切实增强搞好信息保障体系建设的责任感和紧迫感
进入新世纪,以信息技术为核心的现代高新技术更加迅猛发展,信息化社会形态加快演进,世界新军事变革如火如荼,现代战争已进入信息化时代。近期几场局部战争充分证明:海湾战争是读天战争,科索沃战争是读时战争,阿富汗战争为读分战争,伊拉克战争成为读秒战争。美军从发现目标到摧毁目标,海湾战争需3天,科索沃战争需2小时,阿富汗战争需19分钟,伊拉克战争中因美军建立了C4ISR信息保障系统,加快了信息流,实现信息实时获取,实时传输,实时处理,几乎可以实时打击。台军经过三年的努力也组建和装备了现代信息化部队。国家人防办根据总体形势预测国家安全面临的现实紧迫威胁和党中央、中央军委提出反“台独”军事斗争准备的总体要求,制定了《“十一五”时期全国人防信息化建设纲要》和《人民防空应急准备实施计划》。全国人防系统以抓人防指挥所建设为突破口,全面推进人防信息化建设,取得了明显成绩。江苏、福建、江西、浙江、北京、上海、天津等省市已基本建成人防信息体系。
我省人防信息保障体系建设目前还处于起步阶段,与兄弟省市相比存在明显差距,远远不能适应打赢未来信息化战争的需要。一是人防指挥所建设严重滞后。二是指挥软件及配套的基础数据严重缺乏。我省人防组织指挥没有一套比较全面完整的自动化软件,部分市还没有建成基本的指挥信息系统硬件设施;全省人防力量信息库、空情信息、地理信息、气象信息、道路交通信息等基础信息没有引入到指挥所。三是全省人防通信骨干网建设未完善,即使有信息也无“路”可通,严重制约了信息体系建设;四是人防通信方式单一,未建成立体、多回路的通信网络。全省仅有单边带电台网络,还缺少卫星通信、超短波等其它无线通信手段;五是各市警报通信网虽已初具规模,但大部分警报器不能实施二次报警,且未实现有线控制,战时抗毁抗干扰能力差;六是人防信息保障机构不健全、信息方面专业人才少、力量弱。
综上所述,我省人防信息化建设面临严峻挑战(发展滞后,差距较大)和发展机遇(国家要求,经济发展实力较强),我们必须统一思想,提高认识,把握机遇,迎接挑战,务必牢固树立“真打真准备”的思想,遵照胡主席应急准备工作要“往前赶,往实里抓”的指示,以只争朝夕的精神,不断增强搞好信息化建设的责任感和紧迫感。
二、统筹规划,突出重点,抓紧构建我省人防信息保障体系 为推进我省人防信息化建设,提高我省人防现代化水平,当务之急应至上而下统筹规划,突出重点,抓紧构建我省人防信息保障体系。通过努力,建成具备多种手段、综合各种业务、满足各类需求、确保互联互通的人防指挥信息系统。实现固定与机动、天基与陆基、地上与地下通信互补;数据、图像与话音、数字与模拟、有线与无线通信结合;政策法规配套、标准规范齐全;防空防灾指挥控制、情报接收、信息传递、战备值班、网上演练、日常办公等应用平台统一;数据传输、话音通信、电视电话会议、视频传送等业务综合一体;全省人防系统网络互联互通、信息资源共享的目标。
结合我省当前人防信息化建设实际,重点应抓好以下五个方面:
(一)建好信息化网络平台 .构建省到21个重点人防城市的人防信息传输骨干网。依托军队既有的光缆传输系统和租用地方通信运营商的专用数字传输信道,建立省直达各地级以上市的有线数字传输网络。我们经过调查比较,优先考虑采用盈通SDH(注:数字传输体系。即SDH网络,是由一些基本网络单元,如复用器、同步数字交叉连接设备等组成的,可在光纤上进行同步信息传输、复用、分插和交叉连接的网络)光传输平台建设全省人防宽带传输网络。整个网络系统按应用数据流模式,星形网络体系,线路标准以省人防办为中心节点,与各市人防办之间建设2个 2M/S信道。实现全省人防系统各类网络的互联互通和话音、数据、图像信号的实时传输,争取今年10月底前完成建设。为了建立多回路的人防信息传输骨干网,要充分利用军队既有通信线路,协调省军区构建国防动员信息网的同时,将各级人防办列入用户终端纳入建设规划,组建全省人防备份的信息传输网络,并将人防指挥网接入军队通信网络。
2.构建人防卫星通信和人防应急短波通信系统,形成以陆基为依托、天基为补充,梯次衔接,多维一体的无线通信体系。结合机动指挥所建设,着力完善现有的无线通信网络。更新电台设备,将单边带电台网的综合智能终端设备(FCM980-B)更新升级,提高通信质量,增强系统抗干扰和传输能力,同时增加安全保密系统设备建设;逐步完善超短波、微波接力、中长波等其它通信手段。全省人防卫星通信系统建设按照国家人防办的统一部署,待国家人防卫星通信网的建设标准明确后,迅束展开我省人防卫星通信网建设。
3.以抓好指挥所建设为突破口,同步完善指挥信息系统建设。当前,抓好各级人防固定、机动指挥所建设,既是人防信息保障体系最基本、最关键的硬件基础,也是搞好信息保障体系建设的笼头。要充分利用我省各级人防指挥所正在新建或改造完善的有利时机,加大检查指导和督促力度,确保信息保障体系硬件系统的建设完整、规范,符合信息化战争防空袭斗争战技要求。
同时,按应急准备时间节点要求实现工作目标,必须坚持从实际出发。我们省各级人防基本指挥所建设定位要明确,思路要清晰。要在时间节点内形成战斗力,必须要有具备指挥信息系统功能的指挥场所。这是实现信息保障体系建设的基础条件和实施准确指挥的必然要求。所以,我省各级人防基本指挥所建设应分为三个层次:即符合战技要求标准的地下指挥所;地面应急指挥中心;应急指挥室;今年内各地级以上市人防部门,必须要在已建成的指挥场所完成指挥信息系统配套建设。同时,有条件的市要重点完成全省机动指挥所建设任务。(机动指挥所通信信息系统拓扑图略)
(二)完善警报报知系统建设
警报通信系统是战时组织人民群众进行防空袭斗争的重要手段。防空警报器及其控制系统能否抗毁抗干扰,是能否实现多次报警的关键。省人防办要加强对各市建设的督促检查和具体指导,加大新型警报器的更新力度,逐步淘汰不能实现二次报警的警报器,大力推广我办自行研制生产的FK-260型交直流两用防空警报器,尽快完善警报有线控制系统建设。到2008年底,全省能实施多次报警的警报器数量要达到60%以上,城区警报音响覆盖率达到95%以上(按国家防办„2007‟120号文明确的覆盖率认定和计算方法为标准),重要地点的警报器实现有线控制。同时要大力开展警报通信的抗毁抗干扰系统科研和开发工作。着力推动人防系统提高自主创新和管理能力。
(三)加快人防业务应用软件开发
信息系统硬件建设完成后,各类应用软件必须跟上才能真正提高支撑能力。加快省人防办公软件和指挥自动化软件的研制开发步伐迫在眉睫。由我办委托广州军区自动化站研发的《广东省人防应用软件系统》(包括办公自动化软件和人防指挥自动化软件),今年要力争10月底前全部完成。尤其办公自动化软件还需各业务处室鼎力支持,安排专人参与办公自动化软件测试和试用工作,依据人防的工作需求,对软件提出修改意见,以便尽快修改完善,早日投入使用;正在研发的指挥自动化软件,是根据国家新修订的人防指挥自动化软件平台,结合我省当前人防组织指挥工作的实际,体现作战指挥、平时演习、链接政府应急指挥平带功能的应用软件,现已进行了第二次测试审定,将继续修改完善力争早日挂网试运行。
(四)不断完善配套系统 按照国家空情接收与处理自动化系统配发计划,在已完成9个单位安装任务的基出上,指导有关7个市做好今年安装系统的准备工作,同时抓紧完成空情信号源引接工作,并开展空情接收与处理的业务训练;为做好人防指挥自动化软件基础地理信息数据配套工作,今年上半年已完成了全省1:5万电子地图的制作任务,将于8月配发各市,并督促各市年内按军标完成本市1:1万电子地图的制作任务;进一步完善广东人防网站建设,不断修改优化网站版面,建立定期更新网站信息制度,扩大人防工作宣传力度,明确网站维护管理职责。不断采集并逐步建立人防组织指挥、人防工程等综合信息数据库。
(五)加强人才队伍建设
根据当前我们面临信息专业人才严重缺乏的实际,做好信息保障体系建设的当务之急,是抓紧吸收和培养高素质的信息专业人才。依托省人防通信站,通过引进和拓宽培训渠道,优化培养方式。一是从社会上和军转队伍中引进人才,重点充实熟悉人民防空信息化建设与宏观管理的“决策型”人才、信息技术研究与开发的“专家型”人才、信息技术应用开发的“复合型”人才和信息系统维护与管理的“骨干型”人才。以满足信息保障体系对人才的需求。二是对现有人才送进院校培训学习、开展业务培训及岗位练兵,不断提高信息保障队伍的专业技术水平和工作能力。三是创造良好氛围,关注人才,相信人才,为以重任,使其有位有为。
三、加强领导,严密组织,确保各项任务顺利完成
(一)成立领导小组,切实把信息化建设摆上重要位置 成立省人防信息保障体系建设领导小组,由主要领导任组长,分管领导任副组长,成员由有关业务部门领导和专业技术人员组成,坚持例会制度,对全省信息保障体系建设实施统一领导。在省人防信息保障体系建设领导小组下,设立信息划建设办公室和专家委员会(专家组),建立目标责任制,制定实施计划,并将任务落实到每个人。各市人防办也要相应成立信息化建设领导小组,负责领导本市的人防信息化建设工作。一是在领导精力上,把信息化建设列入重要议事日程。人防办主要领导亲自领导信系化建设,分管领导具体负责,定期听取信息化建设情况汇报,及时解决信系化建设中遇到的问题。凡是涉及信系化方面的规划、计划、项目确定、资金投入、检查考核等都安排专题研究;凡是其他工作与信息化建设有矛盾的,办领导亲自出面协调,为信息化建设开绿灯,使信息化建设工作优先得到落实。二是在工作机制上,加强信息化管理机构建设。除主要领导挂帅的领导小组外,还应专门从机关编制中调剂员额,增配干部,专门负责领导小组办公室工作,统一协调管理信息化建设。同时从通信站调整和增加专职人员,具体负责信息化管理,保证信息化建设有人抓,有人管。我们还应建立与军队、地方有关部门、院校和科研院所专家联系制度,加强对人民防空信息化建设的立项审批、方案评审、竣工验收等工作的技术指导。从而形成纵向一体、横向协调、整体联动顺畅的工作机制。三是在资金投上,重点保证信息化建设。要坚持把人方信息化建设纳入人防建设的重要工作进行规划与预算,在省辖市之间人防建设水平很不平衡的情况下,应提倡“同步发展,急用先行,优先保障”的原则,采取超常手段和措施,千方百计,保障信息化建设需要。
(二)确定建设方案和实施进度,切实把信息化建设落到实处 以抓紧抓好指挥所建设为牵引,以落实人防应用软件开发应用为主线,将信息保障体系建设工作稳步推进。一要加快省人防指挥所的配套完善步伐,积极与省有关部门协调,抓紧资金筹措,确保年内重要指挥控制设备安装到位,主要设备有1套以上备份;同时抓好各市人防指挥所建设思路的转变工作。二要在今年内完成人防卫星通信开发和数据库数据采集和录入工作;做好各信息系统联网运行的配套工作。三要将警报器的更新和有线控制建设列入今年警报通信建设的重要内容。各市能实施二次报警的防空警报器数量占总数的60%以上,重要地点的防空警报器应实现有线控制。警报控制系统和警报器维护管理及使用,各市要彻底摆脱多年来厂家“褓姆式”协同管理的模式,使各市在自主管理的实践磨练中真正提高保障能力。
(三)建立目标评估指标体系,切实提高信息化建设质量 在进行人防信息保障体系建设中,依据国家颁布的各类建设标准、规范、办法、要求、规定,对总体目标和任务进行科学细化和量化,规定完成时限和责任人。严格遵照国家标准,结合我省实际确定评估指标,按照科学性、综合性、导向性、可比性、可操作性的要求,建立我省人防系统统一的信息化评估指标体系。加强检查考评,实施量化管理;将目标任务纳入到全省目人防标管理考核体系中,作为年度考核的重要指标。
(四)加大经费保障力度,切实突破建设“资金瓶颈”问题 人防多年来,指挥信息系统建设欠账太多。面临反“台独”人防应急准备的紧迫要求,“十一五”期间,国家人防办在信息化建设方面加大了资金投入。我们要抓住机遇,努力争取国家多支持;积极向地方各级领导多请示汇报,宣传当前反“台独”军事斗争人防应急准备工作的紧迫性,争取领导的支持和地方财政多投入;用活用好人防现有政策,争取将人防收取的各种经费,向人防信息保障体系建设重点倾斜。积极采取:上级部门争取一点、政府财政拿一点、人防自身挤一点、建设过程省一点的积极办法,保证建设顺利进行。
(五)营造良好建设环境
要切实把人防信息保障体系建设作为当前人防建设的重要工作来抓,进一步强化使命意识、责任意识和危机意识,统一筹划,分工协作,加强领导,形成共识。在思想上统一认识,在技术上严格把关,在组织上加强领导,在法规上抓好配套,在人才上关心支持,在经费上优先保障,努力营造人防信息保障体系建设的良好氛围,抓好人防信息保障体系建设,大力提高我省人防信息支撑能力。实现人民防空信息化建设的“八个一”目标 一个设施齐全的指挥场所 一套手段多样的通信系统 一个综合集成的指挥平台 一套功能完善的应用软件 一批精通业务的指挥人员 一批技术熟练的专业人才 一个数据完整的信息系统 一个安全互通的信息网络
第二篇:网络信息安全保障体系建设
附件3 网络信息安全保障体系建设方案
目录
网络信息安全保障体系建设方案........................................................................1
1、建立完善安全管理体系.................................................................................1 1.1成立安全保障机构.........................................................................................1
2、可靠性保证.....................................................................................................2 2.1操作系统的安全.............................................................................................3 2.2系统架构的安全.............................................................................................3 2.3设备安全.........................................................................................................4 2.4网络安全.........................................................................................................4 2.5物理安全.........................................................................................................5 2.6网络设备安全加固.........................................................................................5 2.7网络安全边界保护.........................................................................................6 2.8拒绝服务攻击防范.........................................................................................6 2.9信源安全/组播路由安全...............................................................................7
网络信息安全保障体系建设方案
1、建立完善安全管理体系
1.1成立安全保障机构
山东联通以及莱芜联通均成立以总经理为首的安全管理委员会,以及分管副总经理为组长的网络运行维护部、电视宽带支撑中心、网络维护中心等相关部门为成员的互联网网络信息安全应急小组,负责全省网络信息安全的总体管理工作。
山东联通以及莱芜联通两个层面都建立了完善的内部安全保障工作制度和互联网网络信息安全应急预案,通过管理考核机制,严格执行网络信息安全技术标准,接受管理部门的监督检查。同时针对三网融合对网络信息安全的特殊要求,已将IPTV等宽带增值业务的安全保障工作纳入到统一的制度、考核及应急预案当中。内容涵盖事前防范、事中阻断、事后追溯的信息安全技术保障体系,域名信息登记管理制度IP地址溯源和上网日志留存等。并将根据国家规范要求,对三网融合下防黑客攻击、防信息篡改、防节目插播、防网络瘫痪技术方案进行建立和完善。
2、可靠性保证
IPTV是电信级业务,对承载网可靠性有很高的要求。可靠性分为设备级别的可靠性和网络级别的可靠性。
(1)设备级可靠性
核心设备需要99.999%的高可靠性,对关键网络节点,需要采用双机冗余备份。此外还需要支持不间断电源系统(含电池、油机系统)以保证核心设备24小时无间断运行。
(2)网络级可靠性
关键节点采用冗余备份和双链路备份以提供高可靠性。网络可靠性包括以下几方面:
接入层:接入层交换机主要利用STP/RSTP协议在OSI二层实现网络收敛自愈。
汇聚层:在OSI第三层上使用双机VRRP备份保护机制,使用BFD、Ethernet OAM、MPlS OAM来对链路故障进行探测,然后通过使用快速路由协议收敛来完成链路快速切换。 核心层:在P设备(Core设备和CR设备)上建立全连接LDP over TE。TE的数量在200以下。
组播业务保护:主要基于IS-IS协议对组播业务采取快速收敛保护,对组播分发进行冗余保护和负载分担。
2.1操作系统的安全
在操作系统级别上,其安全需求主要表现在防止非法用户入侵、防病毒、防止数据丢失等。
防止非法用户入侵:系统设置防火墙,将所有需要保护的主机设置在防火墙内部,物理上防止恶意用户发起的非法攻击和侵入。为业务管理人员建立起身份识别的机制,不同级别的业务管理人员,拥有不同级别的对象和数据访问权限。 防病毒:部署防病毒软件,及时更新系统补丁。
数据安全:建立数据安全传输体系,系统具备完善的日志功能,登记所有对系统的访问记录。建立安全的数据备份策略,有效地保障系统数据的安全性。
2.2系统架构的安全
IPTV运营管理平台具备双机热备份功能,业务处理机、EPG服务器、接口机都支持主备功能。
存储系统能够支持磁盘RAID模式,利用RAID5技术防止硬盘出现故障时数据的安全。支持HA(High Availability)模式,实现系统的热备份,在主用系统故障时能够自动切换到备用系统,可提供流媒体服务器多种单元的冗余备份。
支持用户通过手工备份功能。并且备份数据可保存到外部设备中。同时,设备可通过分布式部署,保证系统的安全。EPG服务器、VDN调度单元、网管均支持分布式处理。2.3设备安全
核心系统(服务器硬件、系统软件、应用软件)能在常温下每周7×24小时连续不间断工作,稳定性高,故障率低,系统可用率大于99.9%。
具备油机不间断供电系统,以保证设备运行不受市电中断的影响。服务器平均无故障时间(MTBF)大于5,000小时,小型机平均无故障时间(MTBF)大于10,000小时,所有主机硬件三年内故障修复时间不超过30个小时。2.4网络安全
IPTV业务承载网络直接与internet等网络互联,作为IP网络也面临各种网络安全风险,包括网络设备入侵、拒绝服务攻击、路由欺骗、QOS服务破坏以及对网络管理、控制协议进行网络攻击等,故IPTV承载网络的安全建设实现方式应包括物理安全、网络设备的安全加固、网络边界安全访问控制等内容。2.5物理安全
包括IPTV承载网络通信线路、物理设备的安全及机房的安全。网络物理层的安全主要体现在通信线路的可靠性,软硬件设备安全性,设备的备份和容灾能力,不间断电源保障等。2.6网络设备安全加固
作为IP承载网,首先必须加强对网络设备的安全配置,即对网络设备的安全加固,主要包括口令管理、服务管理、交互式访问控制等措施。
口令的安全管理,所有网络设备的口令需要满足一定的复杂性要求;对设备口令在本地的存储,应采用系统支持的强加密方式;在口令的配置策略上,所有网络设备口令不得相同,口令必须定时更新等;在口令的安全管理上,为了适应网络设备的规模化要求,必须实施相应的用户授权及集中认证单点登录等机制,不得存在测试账户、口令现象。
服务管理,在网络设备的网络服务配置方面,必须遵循最小化服务原则,关闭网络设备不需要的所有服务,避免网络服务或网络协议自身存在的安全漏洞增加网络的安全风险。对于必须开启的网络服务,必须通过访问控制列表等手段限制远程主机地址。在边缘路由器应当关闭某些会引起网络安全风险的协议或服务,如ARP代理、CISCO的CDP协议等。控制交互式访问,网络设备的交互式访问包括本地的控制台访问及远程的VTY终端访问等。网络设备的交互式访问安全措施包括:加强本地控制台的物理安全性,限制远程VTY终端的IP地址;控制banner信息,不得泄露任何相关信息;远程登录必须通过加密方式,禁止反向telnet等。2.7网络安全边界保护
网络安全边界保护的主要手段是通过防火墙或路由器对不同网络系统之间实施相应的安全访问控制策略,在保证业务正常访问的前提下从网络层面保证网络系统的安全性。
IPTV承载网络边界保护措施主要包括以下两点:
通过路由过滤或ACL的方式隐藏IPTV承载网路由设备及网管等系统的IP地址,减少来自Internet或其它不可信网络的安全风险。
在IPTV承载网络边缘路由器与其它不可信网络出口过滤所有的不需要的网络管理、控制协议,包括HSRP、SNMP等。2.8拒绝服务攻击防范
拒绝服务攻击对IPTV承载网络的主要影响有:占用IPTV承载网网络带宽,造成网络性能的下降;消耗网络设备或服务器系统资源,导致网络设备或系统无法正常提供服务等。
建议IPTV承载网络采取以下措施实现拒绝服务攻击的防范:实现网络的源IP地址过滤,在IPTV承载网接入路由器对其进行源IP地址的检查。关闭网络设备及业务系统可能被利用进行拒绝服务攻击的网络服务端口及其它网络功能,如echo、chargen服务,网络设备的子网直接广播功能等。通过建立网络安全管理系统平台实现对拒绝服务攻击的分析、预警功能,从全局的角度实现对拒绝服务攻击的监测,做到早发现、早隔离。
下图给出了IPTV承载网安全建设实现方式图。
2.9信源安全/组播路由安全
尽管组播技术具备开展新业务的许多优势,并且协议日趋完善,但开展组播业务还面临着组播用户认证、组播源安全和组播流量扩散安全性的问题。
组播源管理:在组播流进入骨干网络前,组播业务控制设备应负责区分合法和非法媒体服务器,可以在RP上对组播源的合法性进行检查,如果发现来自未经授权的组播源的注册报文,可以拒绝接收发送过来的单播注册报文,因此下游用户就可以避免接收到非法的组播节目。为防止非法用户将组播源接入到组播网络中,可以在边缘设备上配置组播源组过滤策略,只有属于合法范围的组播源的数据才进行处理。这样既可以对组播报文的组地址进行过滤,也可以对组播报文的源组地址进行过滤。
组播流量扩散安全性:在标准的组播中,接收者可以加入任意的组播组,也就是说,组播树的分枝是不可控的,信源不了解组播树的范围与方向,安全性较低。为了实现对一些重要信息的保护,需要控制其扩散范围,静态组播树方案就是为了满足此需求而提出的。静态组播树将组播树事先配置,控制组播树的范围与方向,不接收其他动态的组播成员的加入,这样能使组播信源的报文在规定的范围内扩散。在网络中,组播节目可能只需要一定直径范围内的用户接收,可以在路由器上对转发的组播报文的TTL数进行检查,只对大于所配置的TTL阈值的组播报文进行转发,因此可以限制组播报文扩散到未经授权的范围。
组播用户的管理:原有标准的组播协议没有考虑用户管理的问题,但从目前组播应用的情况来看,在很多的组播业务运营中,组播用户的管理仍未得到很好的解决。在IPTV业务中,直播业务作为十分重要的业务,对用户进行控制管理是必不可少的。对组播用户的管理就是对经过授权的组播用户控制其对组播业务的接入,控制用户哪些组播频道可以观看,哪些频道不可以观看。通过在DSLAM/LAN交换机用户侧对组播组进行控制,防止恶意用户的非法组播流攻击网络。
第三篇:《烟草行业信息安全保障体系建设指南》_20080418
烟草行业信息安全保障体系建设指南
国家烟草专卖局 二〇〇八年四月
前言
烟草行业信息安全保障体系是行业信息化健康发展的基础和保障,是行业各级数据中心的重要组成部分。为推进行业信息安全保障体系建设,提高信息安全管理水平和保障能力,国家烟草专卖局制订了《烟草行业信息安全保障体系建设指南》(以下简称《指南》)。行业各单位要结合本单位实际情况认真落实《指南》的各项要求,构建“组织机制、规章制度、技术架构”三位一体的信息安全保障体系,做到信息安全工作与信息化建设同步规划、同步建设、协调发展。
《指南》按照《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)的要求,依照《信息系统安全保障评估框架》(GB/T 20274—2006)等有关国家标准,运用目前信息安全领域广泛应用的思想和方法,明确了烟草行业信息安全保障体系建设的总体原则和建设内容,对行业信息安全策略的制订,以及信息安全管理、技术和运维三大体系的建设工作提出了指导性意见和要求。由于水平所限,对《指南》中的不足之处,望各单位在应用过程中提出宝贵意见。
《指南》由国家烟草专卖局烟草经济信息中心和中国信息安全产品测评认证中心共同组织编写。《指南》编写组组长:高锦;副组长:陈彤;主要成员:张雪峰,王海清,耿刚勇,张利,孙成昊,黄云海,耿欣,刘辉等。
目录 2 范围.......................................................................................................3 引用和参考文献...................................................................................3 2.1 2.2 2.3 3 国家信息安全标准、指南.........................................................3 国际信息安全标准.....................................................................4 行业规范.....................................................................................5
术语定义和缩略语...............................................................................5 3.1 3.2 3.3 3.4 3.5 3.6 安全策略.....................................................................................5 安全管理体系.............................................................................5 安全技术体系.............................................................................5 安全运维体系.............................................................................6 信息系统.....................................................................................6 缩略语.........................................................................................6 信息安全保障体系建设总体要求.......................................................7 4.1 4.2 4.3 信息安全保障体系建设框架.....................................................7 信息安全保障体系建设原则.....................................................9 信息安全保障体系建设基本过程..........................................10 6 信息安全保障体系建设规划.............................................................11 安全策略............................................................................................12 6.1 6.2 总体方针..................................................................................13 分项策略..................................................................................14 管理体系............................................................................................15 7.1 7.2 7.3 7.4 8 组织机构..................................................................................15 规章制度..................................................................................18 人员安全..................................................................................18 安全教育和培训......................................................................22
技术体系............................................................................................24 8.1 8.2 8.3 8.4 8.5 8.6 8.7 访问控制..................................................................................25 信息系统完整性保护..............................................................30 系统与通信保护......................................................................33 物理环境保护..........................................................................36 检测与响应..............................................................................39 安全审计..................................................................................41 备份与恢复..............................................................................42 运维体系............................................................................................45 9.1 9.2 9.3 9.4 9.5 9.6 9.7 9.8 流程和规范..............................................................................46 安全分级..................................................................................46 风险评估..................................................................................47 阶段性工作计划......................................................................49 采购与实施过程管理..............................................................50 日常维护管理..........................................................................53 应急计划和事件响应..............................................................56 绩效评估与改进......................................................................59
范围
本《指南》明确了行业信息安全保障体系建设的总体原则和建设内容,对行业信息安全策略的制订,以及信息安全管理体系、信息安全技术体系和信息安全运维体系的建设工作提出了指导意见和要求。
《指南》中涉及的信息安全,是指由信息系统产生的信息的保密性、完整性和可用性不遭受破坏。
本《指南》仅适用于行业中不涉及国家秘密的信息系统,涉及国家秘密的信息系统的安全保护工作应按照国家及国家局保密部门的相关规定进行。引用和参考文献
本文在编制过程中,依据和参考了国内外信息安全方面的相关标准、法规、指南以及烟草行业的相关标准规范,主要包括:
2.1 国家信息安全标准、指南
GB/T 20274—2006 信息系统安全保障评估框架
GB/T 19715.1—2005 信息技术—信息技术安全管理指南第1部分:信息技术安全概念和模型
GB/T 19715.2—2005 信息技术—信息技术安全管理指南第2部分:管理和规划信息技术安全
GB/T 19716—2005 信息技术—信息安全管理实用规则 GB/T 18336—2001 信息技术—安全技术—信息技术安全性评估准则
GB 17859—1999 计算机信息系统安全保护等级划分准则 电子政务信息安全等级保护实施指南(试行()国信办[2005]25号)GB/T 20984—2007信息安全技术 信息安全风险评估规范 GB/T 20988—2007信息系统灾难恢复规范 GB/Z 20986—2007信息安全事件分类分级指南
2.2 国际信息安全标准
ISO/IEC 27001:2005信息安全技术 信息系统安全管理要求 ISO/IEC 13335—1: 2004 信息技术 信息技术安全管理指南 第1部分:信息技术安全概念和模型
ISO/IEC TR 15443—1: 2005 信息技术安全保障框架 第一部分 概述和框架
ISO/IEC TR 15443—2: 2005信息技术安全保障框架 第二部分 保障方法
ISO/IEC WD 15443—3 信息技术安全保障框架 第三部分 保障方法分析
ISO/IEC PDTR 19791: 2004 信息技术 安全技术 运行系统安全评估 2.3 行业规范
烟草行业计算机网络和信息安全技术与管理规范(国烟法[2003]17号)烟草行业计算机网络建设技术与管理规范(国烟办综[2006]312号)3 术语定义和缩略语
下列术语和定义适用于本《指南》。
3.1 安全策略
安全策略是为保障一个单位信息安全而规定的若干安全规划、过程、规范和指导性文件等。
3.2 安全管理体系
安全管理体系简称“管理体系”,是为保障信息安全以“安全策略”为核心而采取的一系列管理措施的总和,内容主要包括建立健全组织机构和管理制度、实施人员管理和安全教育等。
3.3 安全技术体系
安全技术体系简称“技术体系”,是为保障 “安全策略”的贯彻落实而采取的一系列技术措施的总和,内容主要包括访问控制、信息完整性保护、系统与通信保护、物理与环境保护、检测与响应、安全审计、备份与恢复等。
3.4 安全运维体系
安全运维体系简称“运维体系”,是为保障管理措施和技术措施有效执行“安全策略”而采取的一系列活动的总和,内容主要包括制订流程和规范、制订阶段性工作计划、开展风险评估、实施安全分级、规范产品与服务采购、加强维护管理、安全事件响应、绩效评估与改进等。
3.5 信息系统
信息系统是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
3.6 缩略语
PDCA 规划 实施 检查 调整(Plan Do Check Action)P2DR2 策略 防护 检测 响应 恢复(Policy Protection Detection Response Recovery)
MAC
介质存取控制(Media Access Control)IP
网际协议(Internet Protocol)
EAP
扩展鉴权协议(Extensible Authentication Protocol)CNCERT国家计算机网络应急技术处理协调中心(National Computer Network Emergency Response Technical Team)IDS
入侵侦测系统(Intrusion Detection System)IPS
入侵防护系统(Intrusion Prevention System)DoS
拒绝服务(Denial Of Service)AV
病毒防护(Anti—Virus)PKI
公钥基础设施(Public Key Infrastructure)PMI
特权管理基础设施(Permission Management Infrastructure)
CA
数字证书认证机构(Certificate Authority)
注:凡在本文中使用但未定义的术语按相关国家标准或规范解释,无相关国家标准或规范的,按学术界惯例解释。本文中除非特殊说明,所指行业均为烟草行业。信息安全保障体系建设总体要求
4.1 信息安全保障体系建设框架
根据《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)(以下简称27号文件)的精神,按照《信息系统安全保障评估框架》(GB/T 20274—2006)、《信息安全管理实用规则》(GB/T 19716—2005)等有关标准要求,本《指南》提出了以策略为核心,管理体系、技术体系和运维体系共同支撑的行业信息安全保障体系框架(如图1—1)。
图1—1行业信息安全保障体系框架
在安全策略方面,应依据国家信息安全战略的方针政策、法律法规、制度,按照行业标准规范要求,结合自身的安全环境,制订完善的信息安全策略体系文件。信息安全策略体系文件应覆盖信息安全工作的各个方面,对管理、技术、运维体系中的各种安全控制措施和机制的部署提出目标和原则。
在管理体系方面,应按照27号文件的有关要求,将“安全策略”提出的目标和原则形成具体的、可操作的信息安全管理制度,组建信息安全组织机构,加强对人员安全的管理,提高全行业的信息安全意识和人员的安全防护能力,形成一支过硬的信息安全人才队伍。
在技术体系方面,应按照P2DR2模型,通过全面提升信息安全防护、检测、响应和恢复能力,保证信息系统保密性、完整性和可用性等安全目标的实现。在运维体系方面,应制订和完善各种流程规范,制订阶段性工作计划,开展信息安全风险评估,规范产品与服务采购流程,同时坚持做好日常维护管理、应急计划和事件响应等方面的工作,以保证安全管理措施和安全技术措施的有效执行。
4.2 信息安全保障体系建设原则
行业信息安全保障体系建设应遵循以下原则:
1)同步建设原则:信息安全保障体系建设应与信息化建设同步规划,同步建设,协调发展,要将信息安全保障体系建设融入到信息化建设的规划、建设、运行和维护的全过程中。
2)综合防范原则:信息安全保障体系建设要根据信息系统的安全级别,采用适当的管理和技术措施,降低安全风险,综合提高保障能力。
3)动态调整原则:信息安全保障体系建设要根据信息资产的变化、技术的进步、管理的发展,结合信息安全风险评估,动态调整、持续改进信息安全保障体系,贯彻“以安全保发展,在发展中求安全”的精神,保障和促进行业业务的发展。
4)符合性原则:信息安全保障体系建设要符合国家的有关法律法规和政策精神,以及行业有关制度和规定,同时应符合有关国家技术标准,以及行业的技术标准和规范。4.3 信息安全保障体系建设基本过程
信息安全保障体系建设是管理与技术紧密结合,集“组织机构、规章制度、技术架构”三位一体的系统工程,也是与信息化同步发展,不断提高和完善的动态过程。行业信息安全保障体系的建设与发展遵循《ISO/IEC 27001:2005 信息技术—安全技术—信息安全管理系统要求》提出的PDCA(Plan—Do—Check—Action)循环模式(如下图)。
“P”是规划过程,根据信息化建设的需求和信息安全风险现状,结合信息系统等级保护的要求,提出信息安全保障体系建设的总体目标、实施步骤和资源分配方式;“D”是实施过程,依据规划制订信息安全策略,给信息安全保障体系建设提供明确的目标和原则并通过安全管理体系、安全技术体系和安全运维体系的建立实施,贯彻和落实安全策略。“C”是检查过程,通过检查和评估及时发现信息安全保障体系存在的弱点和不足。“A”是纠正调整过程,它是一个阶段任务的结束,也是新的阶段工作的开始,该过程针对信息安全保障体系运行过程中发现的新风险,以及信息化发展中出现的新需求,采取纠正和调整措施并根据信息化的发展提出新一轮建设规划,从而使信息安全保障体系循环提高、持续发展。
应根据国家局的总体要求和自身实际情况,从PDCA循环的某一环节入手,作为本单位信息安全保障体系建设的切入点,按照本《指南》提出的建设内容,持续不断地提高和完善信息安全保障体系。信息安全保障体系建设规划
信息安全保障体系建设规划(简称安全规划)是描述信息安全保障体系建设的总体目标、实施步骤、时间计划以及资金、人员等资源的分配方式的文件。安全规划的表现形式可以是信息化建设总体规划文件的一个部分,也可以是单独的信息安全规划文件,或是结合具体技术细节而形成的信息安全保障体系建设方案。安全规划的内容应覆盖安全策略建设、安全管理体系建设、安全技术体系建设和安全运维体系建设等方面。
安全保障体系规划的制订工作,可以邀请具有相关专业知识和经验的外部专家或安全服务机构协助完成。
要求:
1)安全规划要符合本单位信息化发展战略的总体要求,应与信息化建设的实际需求和信息安全风险的实际状况相结合,遵循国家的法律法规、技术标准和行业的有关规定并且具有明确的指导性和可实施性。2)应制订本系统所有单位共同执行的统一的安全规划。制订安全规划应做好三个方面工作,一要对本单位信息安全的基本现状进行科学、全面的调研分析,准确了解本单位各信息系统的功能作用、系统架构以及在安全方面存在的隐患和弱点;二要根据安全建设需求,对所需的资金、人员和政策进行分析;三要依据分析结果以及安全保障体系建设总体原则,区分主次,突出重点,制订总体目标、实施步骤和资源分配方式。
3)安全规划要有时效性,制订完成后,应确保相关人员全面了解规划的内容和要求并及时实施。在安全规划执行过程中,应及时开展阶段性或整体的绩效评估工作。安全策略
安全策略是一个单位对信息安全目标和工作原则的规定,其表现形式是一系列安全策略体系文件。安全策略是信息安全保障体系的核心,是信息安全管理工作、技术工作和运维工作的目标和依据。
安全策略体系文件应由总体方针和分项策略两个层次组成并具备以下七个特性:
指导性:安全策略体系文件应对单位整体信息安全工作提供全局性的指导。
原则性:安全策略体系文件不涉及具体技术细节,不需要规定具体的实现方式,只需要指出要完成的目标。
可行性:安全策略体系文件应适应本单位的现实情况和可预见的变化,在当前和未来的一段时间内切实可行。
动态性:安全策略体系文件应有明确的时效性,不能长期一成不变。随着信息安全形势的动态变化和信息技术的不断发展,需要对策略体系文件进行不断的调整和修正。
可审核性:安全策略体系文件应可作为审核和评价本单位内部对信息安全策略遵守和执行情况的依据。
非技术性:安全策略体系文件不是具体的技术解决方案,应以非技术性的语言详细说明。
文档化:安全策略体系文件应用清晰和完整的文档进行描述。
6.1 总体方针
总体方针是指导本单位所有信息安全工作的纲领性文件,是信息安全决策机构对信息安全工作的决策和意图的表述。总体方针的作用在于统一对信息安全工作的认识,规定信息安全的基本架构,明确信息安全的根本目标和原则。
要求:
1)总体方针应紧紧围绕行业的发展战略,符合本单位实际的信息安全需求,能保障与促进信息化建设的顺利进行,避免理想化与不可操作性。
2)总体方针中须明确阐述本单位所有信息化建设项目在规划设计、开发建设、运行维护和变更废弃等各阶段,应遵循的总体原则和要求。3)总体方针应经过本单位信息安全决策机构批准并使之具备指导和规范信息安全工作的效力。
4)总体方针中应规定其自身的时效性,当信息系统运行环境发生重大变化时,应及时对总体安全策略进行必要的调整,调整后的策略必须经过信息安全决策机构批准。
6.2 分项策略
分项策略是在总体方针的指导下,对信息安全某一方面工作的目标和原则进行阐述的文件。
要求:
1)分项策略要依据总体方针制订,明确信息安全各方面工作的目标和原则。
2)分项策略应包括但不限于以下内容:物理安全策略、网络安全策略、系统安全策略、应用安全策略、数据安全策略、病毒防护策略、安全教育策略、信息系统备份与恢复策略、业务连续性策略、账号口令策略、安全审计策略、系统开发策略、人员安全策略等。
3)分项策略中必须明确负责执行该策略的责任单位(部门)、该策略的适用范围、该策略所针对的信息安全工作的目标和原则。
4)分项策略中应规定其自身的时效性,当信息系统运行环境发生变化时,应及时对分项策略进行必要的调整。7 管理体系
安全管理体系的作用是通过建立健全组织机构、规章制度,以及通过人员安全管理、安全教育与培训和各项管理制度的有效执行,来落实人员职责,确定行为规范,保证技术措施真正发挥效用,与技术体系共同保障安全策略的有效贯彻和落实。信息安全管理体系主要包括组织机构、规章制度、人员安全、安全教育和培训等四个方面内容。
7.1 组织机构
建立信息安全组织机构的目的是通过合理的组织结构设臵、人员配备和工作职责划分,对信息安全工作实行全方位管理,充分发挥各部门和各类人员在信息安全工作中的作用,共同遵守和执行安全规章制度,以保障信息安全策略的贯彻落实。
信息安全组织机构应由决策机构、管理机构和执行机构三个层面组成。
7.1.1 决策机构
信息安全决策机构处于安全组织机构的第一个层次,是本单位信息安全工作的最高管理机构,按照国家和国家局的方针、政策和要求,对本单位信息安全进行统一领导和管理。
要求:
1)应成立由本单位主要领导负责、各有关部门参加的信息安全工作领导小组作为信息安全决策机构。2)信息安全决策机构应承担如下主要工作职责:审议和批准信息安全保障体系建设规划、信息安全策略、规章制度和信息安全工程建设方案等,为本单位信息安全保障体系建设提供各类必要的资源,对信息安全的宏观问题进行决策,审定信息安全重大突发事件应急预案。
7.1.2 管理机构
信息安全管理机构处于安全组织机构的第二个层次,在决策机构的领导下,负责组织制订信息安全保障体系建设规划,以及信息安全的管理、监督、检查、考核等工作。日常的信息安全管理工作主要由信息化工作部门负责。
要求:
1)应成立由信息化工作部门牵头,保密、行政、人事和业务等相关部门共同参与组成的信息安全管理机构并明确该机构的成员。应在信息化工作部门设立专门组织或指定专职人员,负责管理信息安全日常事务。
2)信息安全管理机构应承担的职责主要包括:信息安全保障体系建设规划、安全策略、规章制度的制订并组织贯彻落实;规章制度执行情况的监督与检查;信息安全建设项目的组织实施;人员安全,安全教育与培训的实施;协调信息安全日常工作中的各项事宜等。
3)应在安全规章制度中明确安全管理机构中各部门和各类人员的工作职责与责任。7.1.3 执行机构
信息安全执行机构处于信息安全组织机构的第三个层次,在管理层的领导下,负责保证信息安全技术体系的有效运行及日常维护,通过具体技术手段落实安全策略,消除安全风险,以及发生安全事件后的具体响应和处理。
要求:
1)执行机构应由信息化工作部门具体负责信息系统管理和信息安全管理工作的技术人员及相关部门的专职(或兼职)信息安全员组成。应至少设臵系统管理员、网络管理员、信息安全管理员等岗位,并确定各个岗位的岗位职责、访问权限。关键操作应配备多人共同负责,关键岗位应定期轮岗。
2)信息安全管理员的主要职责是管理维护本单位信息安全设备,监测本单位信息安全状态,进行安全审计,在发生安全事件后及时组织有关技术人员进行事件响应。原则上信息安全管理员不应由系统管理员、网络管理员、数据库管理员等兼任。
3)应明确重要信息资产的安全负责人,有关责任人应清楚地了解自己担负的安全责任。
4)信息系统的使用部门要设立专职(或兼职)的信息安全员,参与相应信息系统的安全管理,指导本部门各项安全措施的落实。
5)计算机和信息系统使用人员都有义务参与信息安全工作,贯彻执行各项安全规章制度。7.2 规章制度
信息安全规章制度是所有与信息安全有关的人员必须共同遵守的行为准则。信息安全规章制度的作用在于通过规范所有与信息安全有关人员的行为来保证实现安全策略中规定的目标和原则。
要求:
1)信息安全规章制度内容应包括但不限于以下几方面:信息安全组织机构和岗位职责、人员管理制度、信息安全工作考核制度、信息系统采购开发与设计实施管理制度、机房安全管理制度、核心资产安全管理制度、密码管理制度、数据备份管理制度、业务连续性管理制度、计算机终端管理制度、应用系统日常操作安全管理制度、网络设备日常操作安全管理制度、安全设备日常操作管理制度等。
2)信息安全管理制度必须符合安全策略和本单位的实际情况,其内容和要求应当清晰明确并且可执行、可审查。
3)应通过下发文件、会议宣传和培训等多种方式确保所有相关人员知悉规章制度的内容和要求。
4)应根据本单位实际情况的变化,及时对信息安全管理制度的可行性和实施效果进行评估并根据评估结果对其进行调整和完善。
7.3 人员安全
人员安全是指通过管理控制手段,确保单位内部人员(特别是信息系统的管理维护人员)和第三方人员在安全意识、能力和素质等方面都满足工作岗位的安全要求,减少对信息安全有意或无意的人为威胁。
人员安全主要包括工作岗位风险分级、人员审核、工作协议、人员离职、人员调动及第三方人员安全等几个方面。人员安全管理工作需要由信息安全管理机构和本单位有关行政管理部门共同完成。7.3.1 工作岗位风险分级
工作岗位风险分级是依据本单位各工作岗位的职责范围和性质,划分岗位的信息安全风险级别,根据风险级别分配相应的信息访问权限。
要求:
1)应在人员管理制度中,根据不同岗位的性质和工作职责,规定其信息安全风险级别并针对不同的岗位风险级别赋予信息访问权限。
2)人员管理制度中有关工作岗位风险分级的规定,应在日常工作中得到落实,所有工作人员应当明确自己所在岗位的信息访问权限。
7.3.2 人员审核
人员审核是核查人员管理或使用信息系统,接触重要信息是否合适,是否值得信任的一项工作。人员审核应采用技术技能测试、法律法规及相关管理规定了解情况的测试、人员背景审查等多种方式来进行。要求:
1)应结合本单位自身的业务需求、相关的法律法规、被访问信息的分类及面临风险等因素,在人员管理制度中规定人员审核的方法和流程,规定在不同的情况下何人负责审核,何时进行审核,依据什么标准,通过什么方式进行审核。
2)应根据人员管理制度的有关规定,对内部工作人员进行定期考核,考核中发现问题时,应根据具体情况进行教育培训。
3)应根据人员管理制度的有关规定,在合作者、第三方人员进入本单位工作前进行人员审查,未通过的人员不能获得信息的访问权限。
7.3.3 工作协议
对信息系统的维护人员和重要信息访问权限的管理人员(特别是数据库管理员、网络管理员、系统管理员等可查询及更改业务信息与系统配臵的人员),应签订有关信息安全的工作协议,明确其应尽的安全保密义务,保证在岗工作期间和离岗后一定时期内,均不得违反工作协议,对违反工作协议的行为应制订惩处制约条款。
要求:
1)应在人员管理制度中规定工作协议的内容(如保密协议条款、操作流程和规范等)、管理和落实工作协议的部门、以及签署工作协议的流程。
2)重要信息系统的管理、维护和使用人员在上岗前,应严格按照信息安全规章制度中的有关规定签署工作协议。7.3.4 人员调动
通过严格的管理手段,保证人员内部调动,不会对信息安全造成危害。
要求:
1)工作人员岗位调动时,必须移交原工作岗位的工作资料和软硬件设备。
2)工作人员岗位调动时,信息安全管理机构必须及时对其信息系统访问授权进行调整。
3)工作人员岗位调动时,信息安全管理机构应告知其信息安全责任的变化和新的注意事项。7.3.5 人员离职
通过严格的管理手段,保证工作人员离职后,不会对信息安全造成危害。
要求:
1)对离职人员应立即终止其所有与原工作职责有关的信息访问权限。
2)对离职人员应立即收回出入机房和其他重要办公场所的证件、钥匙、胸卡,以及单位提供的软硬件设备等。
3)拥有重要信息访问权限的人员,在离职时应在有关部门办理严格的离职手续并明确离职后的保密义务。7.3.6 第三方人员安全
第三方人员的管理是人员安全管理的重要内容。第三方人员是指来自外单位的专业服务机构,为本单位提供应用系统开发、网络管理和安全支持等信息技术外包服务的工作人员。第三方人员工作岗位和职责具有其特殊性,可以比较深入地了解本单位的信息系统情况和大量重要信息,因此由第三方人员导致泄密和系统遭受破坏的风险较大。
要求:
1)应制订第三方人员安全管理规定,明确第三方人员在管理、使用和维护信息系统,安装部署信息化产品和提供信息化技术服务等活动中应遵守的安全要求并明确定义其安全角色和责任。
2)第三方人员进入本单位开始工作前,应与其所在单位签订保密协议。
3)信息安全管理机构应根据第三方人员安全管理规定,采取必要的管理和技术手段,对第三方人员是否遵从安全要求进行检查监督。
7.4 安全教育和培训
安全教育和培训是通过宣传和教育的手段,确保相关工作人员和信息系统管理维护人员充分认识信息安全的重要性,具备符合要求的安全意识、知识和技能,提高其进行信息安全防护的主动性、自觉性和能力。7.4.1 安全教育
安全教育是针对信息系统的所有合法用户进行的,目的是使其了解信息安全的基本常识、信息安全的重要性以及个人对信息安全应负的责任,确保其在工作中自觉地遵守相关安全制度,维护信息系统安全。
要求:
1)应根据信息系统的特定安全要求,制订具有针对性的安全教育内容,确保所有人员在被授权访问信息系统之前已进行了基本的信息安全教育。
2)通过安全教育活动,相关人员应具备基本的信息安全意识,了解信息安全常识、熟悉信息系统使用规范、安全职责和惩戒措施等。7.4.2 安全培训
安全培训是指对本单位承担信息系统管理、使用和运行维护人员进行的专业培训。
安全培训应根据不同的岗位职责和安全责任,制订有针对性的培训计划、培训教材并保证所有相关人员在从事本职工作之前就接受了必要的信息安全管理和技术培训。
要求: 1)应在工作人员被授予访问权限之前,依据其安全角色和职责,进行具有针对性的安全培训。
2)应科学的制订培训计划,认真组织培训,及时验证培训效果并形成相关的培训记录。
3)应为重要信息系统的信息安全工作人员参加专业的信息安全培训和职业资格认证提供条件,使其系统地、全面地提高信息安全知识和技能水平。技术体系
信息安全技术体系的作用是通过使用安全产品和技术,支撑和实现安全策略,达到信息系统的保密、完整、可用等安全目标。按照P2DR2模型,行业信息安全技术体系涉及信息安全防护、检测、响应和恢复四个方面的内容:
1)防护:通过访问控制、信息系统完整性保护、系统与通信保护、物理与环境保护等安全控制措施,使信息系统具备比较完善的抵抗攻击破坏的能力。
2)检测:通过采取入侵检测、漏洞扫描、安全审计等技术手段,对信息系统运行状态和操作行为进行监控和记录,对信息系统的脆弱性以及面临的威胁进行评估,及时发现安全隐患和入侵行为并发出告警。
3)响应:通过事件监控和处理工具等技术措施,提高应急处理和事件响应能力,保证在安全事件发生后能够及时进行分析、定位、跟踪、排除和取证。
4)恢复:通过建立信息系统备份和恢复机制,保证在安全事件发生后及时有效地进行信息系统设施和重要数据的恢复。
8.1 访问控制
访问控制是对信息系统中发起访问的主体和被访问的数据、应用、人员等客体之间的访问活动进行控制,防止未经授权使用信息资源的安全机制。
访问控制包括对各类信息系统的用户进行有效的标识鉴别和权限管理,以及根据信息系统的安全需求对网络基础设施、操作系统、应用系统、远程访问、无线接入、用户终端的访问活动进行有效限制。标识鉴别和权限管理是访问控制的核心与基础。
敏感信息、特殊功能的访问,必须有完整的日志记录。日志记录的访问与分析用户应与产生此日志的操作用户分离。8.1.1 标识鉴别
访问控制的过程中对访问者和被访问者身份的声明称为标识,对身份的确认称为鉴别。标识与鉴别可以确定访问主体和访问客体的身份,是进行访问控制的前提。信息系统中的访问主体和访问客体都可能是一个用户,或者一个设备,所以标识鉴别的对象应该既包括系统用户,又包括系统中的软硬件设备。
要求: 1)信息系统中的用户应具有唯一的标识并且通过唯一的方法进行鉴别,应通过适当选择静态口令、一次性口令、数字证书、生物特征或多种方式相结合的方法来实现。
2)当使用口令机制进行鉴别时,应采用组成复杂、不易猜测的口令并制订口令最大生命周期限制,禁止口令被多次重用。
3)应保证口令文件安全及口令存放介质的物理安全,口令应加密存储,当口令需要网络传输时,必须进行加密。
4)信息系统对用户的鉴别应具有时效性,当用户在规定的时间段内没有做任何操作和访问时,应重新进行鉴别。
5)应使用已知的共享信息(如MAC地址、IP地址)或采取特定协议(如IEEE802.1X,EAP,Radius)对网络设备进行标识和鉴别。8.1.2 权限管理
权限管理是指限制和控制访问权限的分配和使用。在进行权限管理时应当遵守最小特权原则。
要求:
1)应采用适当的技术措施(如操作系统和应用系统的用户权限管理工具、PMI系统等)为系统中的用户和设备分配相应的访问权限。
2)对用户的授权应以满足其工作需要的最小权限为原则,不应分配与用户职责无关的权限。8.1.3 网络访问控制
网络访问控制是防止对网络服务的未授权访问。网络访问控制首先要对各类网络进行清晰的边界划分,进而在网络边界部署技术措施并通过合理的配臵使其有效发挥作用。
要求:
1)应清晰划分外网与内网的边界并对内网中不同类型的网络(如骨干网、省域网、局域网、以及局域网内部的不同区域)进行严格划分。
2)在网络边界处设臵网络访问控制技术措施,保证用户只能按照其得到的授权使用网络服务。8.1.4 操作系统访问控制
操作系统访问控制是防止对操作系统的未授权访问并在出现违规登录操作系统时发出警报。
要求:
1)应使用具有安全登录功能的操作系统。
2)重要操作系统口令应为8位以上,且由字母、数字和特殊符号共同组成。
3)当访问者连续非法登录操作系统3次以上时,应自动锁定该账户或延长该账户下一次登录的时间。
4)应设臵操作系统的最长访问时间,当用户对系统访问超时,须强制用户重新登录。5)当某一账户处于空闲状态一段时间后,操作系统能够自动锁定该账户,要求重新登录。8.1.5 应用系统访问控制
应用系统访问控制是防止对应用系统功能和信息进行未授权访问。
要求:
1)应用系统和数据库系统开发过程中,应设臵必要的访问控制机制,保证用户对信息和应用系统功能的访问遵守已确定的访问控制策略。
2)应用系统的访问控制机制应覆盖其所有用户,所有功能和信息,以及所有的操作行为。
3)应根据应用系统的重要性设臵访问控制的粒度,一般应用系统应达到访问主体为用户组级,访问客体为功能模块级,重要信息系统应达到访问主体为用户级,访问客体为文件、数据表级。
4)应严格限制默认用户的访问权限。8.1.6 远程访问控制
远程访问控制是指对来自外网(如广域网)对本单位内网(如局域网)的访问进行控制,防止远程用户的未授权访问,以及在远程访问过程中的信息泄露。
要求: 1)应明确远程访问的授权范围和访问方式并使用必要的控制措施管理远程访问。
2)应使用加密传输来保护远程访问会话的机密性。3)应对远程访问用户进行身份识别。8.1.7 无线接入访问控制
无线接入访问控制是对使用无线通信技术接入内网的用户进行访问控制,防止通过无线技术进行的未授权访问。
要求:
1)使用必要的无线接入访问控制技术,保证用户在通过无线接入内网前必须经过严格的身份鉴别。
2)应使用必要的加密技术保护通过无线通信系统传输信息的完整性和保密性。8.1.8 用户终端访问控制
用户终端访问控制是防止由于终端计算机使用人员的误操作、越权访问、安装和使用与工作无关的个人软件,影响信息系统的正常工作,造成信息安全风险。
要求:
1)应采用适当的技术手段,对用户终端的违规操作(如安装和使用间谍黑客软件,未经授权使用拨号上网等)进行监测和有效控制。
2)应通过适当的技术手段,防止未经授权的用户终端接入本单位网络系统尤其要防止外单位人员的用户终端在未经批准的情况下接入本单位网络系统。
3)接入行业网络的用户终端应进行必要的安全检测,满足接入条件。
4)因工作岗位变动不再需要使用用户终端时,应对其进行妥善处理并及时删除用户终端内敏感数据。
8.2 信息系统完整性保护
信息系统的完整性是指信息系统没有遭受篡改或破坏。为保持信息系统的完整性,在信息系统的采购和开发过程中,应当充分考虑相应的保护机制,如错误处理、输出信息校验,尽量消除信息系统存在的自身缺陷;在信息系统的运行阶段,应当使用适当的技术手段修补系统中存在的漏洞并采用技术措施防范恶意代码造成的破坏等。8.2.1 错误处理
错误处理是指应用系统辨别和处理运行中由于操作不当和运行环境等因素造成的错误,以提高应用系统的容错能力。
要求:
1)在应用系统的开发过程中,应充分考虑系统可能出现的操作错误,为操作界面提供撤销操作的功能;当某一功能发生错误故障时,尽量保障其他功能依然可用。
2)应用系统应具备错误检测能力,在发生错误和故障时发出报错信息;报错信息应只显示给拥有授权的用户,防止报错信息为攻击者提供敏感信息和有关系统脆弱性的信息。8.2.2 输出信息处理
应用系统应以正确的方式对输出的信息进行处理和保存,确保输出信息的完整性。
要求:
1)应用系统应具备对系统输出信息进行校验的功能,保证输出信息的准确性。
2)应用系统应能够为信息的阅读者或输出信息的接收系统提供用以确定输出信息完整性的信息。
3)应用系统应能够对输出信息的去向进行记录。8.2.3 恶意代码防范
恶意代码防范是通过部署恶意代码防护措施,降低由于恶意代码的传播造成的系统崩溃、数据丢失等安全风险。
要求:
1)应在网络边界和网络中的服务器、用户终端等设备中部署恶意代码防范工具。
2)必须在本单位的网络系统中部署病毒集中防御系统,对系统中的防病毒软件进行统一管理,防止恶意代码通过网络大范围传播。
3)在重要应用系统的开发中,应当对应用程序代码进行安全性审查,识别应用系统中可能存在的后门、系统炸弹、隐蔽通道等恶意代码。
8.2.4 漏洞修补
漏洞修补是指分析信息系统中存在的安全漏洞,对受到这些漏洞影响的系统进行安全加固,防止攻击者利用漏洞对信息系统进行攻击。
要求:
1)应及时跟踪国家有关部门(如公安部国家网络与信息安全通报中心、信产部CNCERT)、操作系统开发商和数据库系统开发商最新发布的漏洞公告,为信息系统获取相关的补丁软件。
2)在对系统漏洞进行修补前,应对补丁文件的有效性和安全性进行测试。
3)应采取有效的管理和技术措施,及时发现漏洞并及时修补。8.2.5 数据的完整性
数据的完整性是指数据在输入、存储、处理和传输的过程中,没有发生错误、篡改和遗漏。
要求:
1)应利用访问控制设备和信息系统本身的安全防护机制,防止篡改信息系统中的业务数据和配臵信息。
2)对自开发的应用系统应采用奇偶校验,循环冗余检验,哈希函数等技术机制或专门的技术产品来保证数据的完整性。
3)应使用密码技术保证数据在网络中传输的完整性。8.2.6 垃圾邮件防范
应采取适当的技术措施防止利用垃圾邮件对系统进行恶意攻击。要求:
1)应为本单位的邮件系统部署有效的反垃圾邮件工具。2)要避免本单位邮件系统成为垃圾邮件的源头。
8.3 系统与通信保护
系统与通信保护是指通过一系列技术措施,保证信息系统的各个组成部分和信息系统中的通信活动按照安全策略正常工作。包括以下内容:安全域划分、拒绝服务保护、边界保护、传输加密、公钥基础设施和抗抵赖服务等。8.3.1 安全域划分
在信息系统中,遵守相同的信息安全策略的集合(包括人员,软硬件设备)称为安全域。它的目的是对信息系统中的不同安全等级区域分别进行保护。
要求:
1)应根据网络结构、应用系统用途以及信息的安全等级等因素,对信息系统进行安全域的划分。
2)应将不同用途的系统划分在不同安全域,应将信息系统用户功能区域与信息系统管理功能区域划分在不同安全域,应将应用服务(如门户网站、应用系统操作界面)与数据存储服务(如中间件服务器、数据库服务器)划分在不同安全域。
3)应采用合理的技术措施对跨越安全域边界的访问进行有效控制。
8.3.2 拒绝服务防范
拒绝服务(DoS)是指系统被破坏或出现暂时不可用的故障,而导致服务的中断。应通过部署网络边界防护设备和系统安全加固来降低拒绝服务攻击的风险。
要求:
1)应在网络边界设备上制订访问控制规则,以保护本单位内网和局域网设备不受拒绝服务攻击的直接影响。
2)对于互联网应用,应适当采用扩充系统容量、增加带宽、备份冗余等方式增强抵御拒绝服务攻击的能力。
3)应及时进行系统安全加固,对存在的安全漏洞进行修补,避免利用系统漏洞的拒绝服务攻击。8.3.3 网络边界保护
网络边界保护是在网络边界部署安全控制措施对网络通信进行监测和严格控制,以防止来自外部的攻击,保护信息系统关键信息的通信安全。要求:
1)应监视和控制本单位网络对外出口和内部网络边界的通信情况。
2)应采用防火墙、代理服务器,路由器安全配臵等方式对网络边界进行保护。
3)在具有公众服务的边界出口处,应采用入侵防护系统(IPS)、病毒网关防护系统(AV)、流量整形系统等防护措施来加强保障。8.3.4 传输加密
传输加密的目的是防止搭线窃听、诱骗等安全威胁,保护信息传输过程中的机密性。
要求:
1)在传输涉及行业秘密或敏感信息时,应使用国家有关部门认可的或符合行业有关要求的加密设备进行加密传输。8.3.5 公钥基础设施
公钥基础设施用于为信息系统用户提供第三方的身份标识和鉴别服务。
要求:
1)应按照国家局的要求,建设、使用和规范管理PKI/CA认证体系,对重要信息系统必须使用PKI/CA认证体系进行用户身份的标识和鉴别。8.3.6 抗抵赖服务
抗抵赖服务是指监控个人对信息系统执行特定的操作并对其进行准确记录。抗抵赖服务的目的是防止用户不承认执行过某个操作而推卸责任。
要求:
1)重要的应用系统应具有抗抵赖功能,能确定某人是否执行了某个特定的操作(如创建信息、发送信息、接收到信息等),并产生和储存相关的证据。
2)应利用公钥基础设施为重要的网络设备和服务器建立有效抗抵赖措施。
8.4 物理环境保护
物理环境保护是指将信息系统硬件设备放臵在安全区域内并通过物理屏障、监控设施和保持良好的物理环境进行保护,避免对信息系统硬件物理上的破坏和干扰。8.4.1 物理访问控制
物理访问控制是指通过物理屏障、监控设备、物理标识和人员监督等措施,保证只有经过授权的人员可以对信息系统的硬件设备进行访问。
要求:
1)各类人员只有在持有访问许可时才可以接近信息系统核心硬件,对于不再需要进行访问的人员应及时收回访问许可。
2)应当在信息系统核心硬件设施的物理访问进出点,对进出人员的访问许可进行核实,同时记录访问时间和事由。
3)应通过定期检查和分析物理访问记录,及时发现违规或可疑的物理访问并及时采取补救或防范措施。8.4.2 传输介质保护
传输介质保护是指防止传输信息的线缆遭到物理损坏,以致通信中断、通信效果下降或泄密。
要求:
1)应在网络布线工程过程中严格遵守有关标准规范,保证布线的质量和工艺水平。
2)应采取有效措施控制对本单位局域网信息传输线路的物理接触,以防止搭线窃听、传输过程中的数据篡改和干扰、以及对线缆的物理破坏。
3)应尽量避免在网络中使用共享式网络设备,如HUB。8.4.3 存储介质保护
存储介质是信息静态的载体,包括硬盘、光盘、U盘等多种形式。介质保护是指对介质进行适当的标识和访问控制,以合理的方式进行介质的保存,传送和废弃。
要求: 1)应在重要的存储介质上粘贴纸质标签,标签上要印有介质的编号、名称、类别、负责保管和使用的人员和部门,该介质使用范围的限制和操作中的注意事项等。
2)应对重要存储介质进行妥善保管,保证只有经过授权的人可以访问存储有重要信息的介质并防止由于人为破坏,以及高温、潮湿等自然因素影响介质的可用性。
3)对不再需要保留的重要信息或存储介质废弃时,应将其从存储介质中彻底清除。8.4.4 显示介质访问控制
信息的显示介质,如计算机屏幕、传真机、扫描仪、打印机等,有可能成为泄密渠道。显示介质访问控制是指防止未经授权的人,通过接近或使用信息显示介质,破坏信息的安全性。应设臵有效的访问控制措施,限制非授权人员偷窥或直接使用显示介质获取行业的重要信息。
要求:
1)应有效防止非授权人员接近正在或可以显示重要信息的显示介质,防止未经授权的人员浏览显示内容。
2)在显示介质无人值守时应该通过适当的标识鉴别机制防止未经授权的人员使用显示介质。8.4.5 机房环境安全
计算机机房的环境安全必须符合国家有关规范和国家局有关规定的要求,为信息系统的正常稳定运行,提供良好的物理环境。
要求:
1)省级以上单位或重要单位的机房应达到国家A级以上标准,其他单位机房应达到国家B级以上标准。
8.5 检测与响应
检测与响应是指对信息安全事件进行预警、识别和分析并对已经发生的安全事件做出及时有效响应。8.5.1 入侵检测
入侵检测是对信息系统的运行状况进行监视,以发现各种攻击企图、攻击行为或者攻击结果。
要求:
1)应使用入侵检测工具对信息系统中的安全事件进行实时监控。
2)应定期查看入侵检测工具生成的报警日志,及时发现信息系统中出现的攻击行为。8.5.2 漏洞扫描
漏洞扫描是使用专用工具,及时检测、发现信息系统中关键设备存在的漏洞,为安全加固提供准备。
要求:
1)已配备漏洞扫描工具的单位,信息安全管理员应能熟练使用漏洞扫描工具,及时更新漏洞扫描工具的软件版本和漏洞库,及时发现信息系统中存在的漏洞并且保证漏洞扫描工具的使用不会对信息安全造成负面影响。
2)未配备漏洞扫描工具的单位,可采取委托第三方专业机构的方式,定期进行漏洞扫描。
3)应针对漏洞扫描的结果,对重要信息系统及时进行安全加固。
8.5.3 安全事件告警和响应
信息安全事件告警和响应,是指在发生安全事件时发出告警信息并做出及时响应。
要求:
1)应在网络中部署安全监控和审计设备并能通过适当的方式,及时向信息安全管理员发出安全事件的告警。
2)应在保证业务连续性不受影响的前提下,选用带有自动响应机制的安全技术或设备,如IDS与防火墙联动、IPS、有过滤功能的内容审计系统,自动终止信息系统中发生的安全事件并保存有关记录。8.6 安全审计
安全审计是对信息系统中的操作行为和操作结果进行收集和准确记录并可以重现用户的操作行为的过程,为安全管理提供用于安全事件分析的数据与事后的行为取证。8.6.1 网络行为安全审计
网络行为主要指使用者接入网络、使用网络资源的记录,也包括运维人员对网络的维护操作行为。
要求:
1)应根据信息系统资产的重要性和风险情况,合理确定审计对象与审计内容并采用实用有效的审计工具。
2)用户上网记录应包括:登录网络时间、离开时间、登录地点、使用网络资源;若是维护人员还应包括维护系统的操作命令记录。
3)安全事件记录应包括:安全事件发生的时间、导致安全事件产生的使用者、事件的类型及事件造成的结果。
4)应妥善保护信息系统中重要审计记录,防止丢失、损坏、伪造与篡改,保证审计信息的完整性。
5)当审计目标范围较大、审计结果庞大复杂时,应采用专门的信息安全审计工具,对审计记录进行集中存储、分析和管理,提高审计工作的效率。8.6.2 业务合规性审计
业务合规性审计指对有关行业涉密信息以及业务流程审批的操作规定,在业务系统中要可以记录业务流程操作过程与涉密信息使用记录并提供事后审计的功能。
要求:
1)应根据行业相关的管理要求,合理确定审计对象与审计内容并采用有效的审计工具,必要时可以对业务开发单位提出审计开发要求。
2)涉密信息使用记录包括:信息标识、使用人员、使用时间、操作内容等。
3)业务合规性检查包括:业务是否符合有关审批规定、是否符合财务规定、是否符合行业的其他规定等。
4)应对审计记录进行妥善的保护,防止丢失、损坏、伪造与篡改,保证审计信息的完整性。
5)当审计目标范围较大、审计结果庞大复杂时,应采用专门的信息安全审计工具,对审计记录进行集中存储、分析和管理,提高审计工作的效率。
8.7 备份与恢复
备份与恢复是指将信息和信息系统以某种方式进行复制,在其遭受破坏或故障时,重新加以利用的一个过程。备份与恢复系统的建设,要根据信息和信息系统重要程度制订明确的备份恢复策略,采用必要的技术产品和备份恢复机制,实现备份恢复策略。8.7.1 信息系统备份
信息系统备份是指对信息和信息系统软硬件进行备份,以便在信息或信息系统遭到破坏时重新恢复使用。
要求:
1)应根据信息系统的重要性,合理选择适当的备份机制,对不同类型的信息和信息系统软硬件进行合理的备份。
2)备份的对象不仅应包括业务信息和软硬件设备,还应包括用于恢复系统的配臵信息。
3)应采用有效的技术手段保证备份系统的可靠性和备份信息的完整性并且对备份系统的有效性进行定期测试。8.7.2 备用存储站点
备用存储站点是指为重要信息建立的备用存储系统,以便在重要信息遭到破坏后对其进行恢复。
要求:
1)应根据本单位特点和实际需求,为重要信息建设备用存储站点。
2)备用存储站点应与主站点保持一致的安全防护等级。3)备用存储站点应与主站点保持足够的距离,以避免受到同一灾难的影响。8.7.3 备用处理站点
备用处理站点是指为重要信息系统建立备用的处理系统,以保证重要信息系统在发生安全事件后可以保持处理能力的连续性。
要求:
1)应根据本单位特点和实际需求,建立备用处理站点,当重要的信息处理能力失效后,可以及时使用备用处理站点保证数据处理的连续性。
2)备用处理站点应与主站点保持一致的安全防护等级。3)应对备用处理站点进行有效配臵,使之可以随时进入到正式运行状态。
4)应定期对备用处理站点进行测试,检查备用处理站点的有效性。
8.7.4 备份通信线路
备份通信线路是指为重要信息系统建立的备用网络传输线路,在主线路不能正常工作时可以保持数据传输的能力。
要求:
1)应为重要网络通信线路建立备份线路。2)备份线路与主线路应保持一致的安全防护等级。3)应定期测试备份通信线路,保证备份通信线路的有效性。4)互为备份的线路应避免同一性质故障的影响。8.7.5 信息系统恢复和重建
信息系统恢复和重建是指信息系统的应用软件和系统软件被重新安装,最近备份的业务信息和配臵信息仍然有效,在灾难发生后系统能够恢复正常运行。
要求:
1)应参照国家公布的《信息系统灾难恢复指南》,采取技术措施并建立相应的流程,保证重要的业务系统在遭到破坏后可以迅速地恢复或重建。
2)应定期组织重要信息系统恢复与重建的演练。运维体系
信息安全运维体系的作用是在安全管理体系和安全技术体系的运行过程中,发现和纠正各类安全保障措施存在的问题和不足,保证它们稳定可靠运行,有效执行安全策略规定的目标和原则。当运行维护过程中发现目前的信息安全保障体系不能满足本单位信息化建设的需要时,应当制订新的安全保障体系建设规划,进而通过新一轮信息安全保障体系建设,使安全保障体系的保障能力得到全面提升。
行业信息安全运维体系建设工作的内容应当包括制订流程和规范、制订阶段性工作计划、开展风险评估、实施安全分级、规范产品与服务采购、加强日常维护管理、提高紧急事件响应能力、进行绩效评估与改进等。9.1 流程和规范
流程和规范是指规定信息安全运行维护工作的具体内容,规范信息安全运行维护工作方式和次序的一系列文件。流程和规范的作用是将信息安全维护工作规范化和标准化,保障信息安全策略和规章制度有效落实并便于审查。
要求:
1)制订全面、合理、可行的流程和规范,其内容必须覆盖风险评估、产品与服务采购、系统维护、应急计划和事件响应等运行维护的各个方面。
2)流程和规范应明确描述信息安全运行维护各项工作的工作程序、操作次序、记录表单和文档模版。
3)应通过下发文件、会议宣贯、组织学习、专业培训等多种方式确保所有相关人员熟悉、理解和遵守相关的流程和规范。
4)应定期审查流程和规范的执行情况,考核信息安全运维人员完成安全运维工作的规范程度。
5)当流程和规范与总体安全策略和信息安全管理制度发生冲突,或者与实际情况产生矛盾的时候,应及时对其进行调整和完善。
9.2 安全分级
安全分级是指对信息及信息系统,按照本单位的安全策略以及相关法规和标准的要求进行分级,以对不同类别的信息和信息系统提供不同等级的安全保护。应按照国家有关标准、规范,遵照国家局关于行业信息系统安全等级保护工作的有关要求,确定本单位信息系统和信息子系统的安全级别。分级应考虑如下要素:
1)信息系统的资产价值。2)信息系统的业务信息类别。3)信息系统的服务范围。4)信息系统对业务的影响。要求:
1)应根据本单位实际情况对信息系统进行准确定级。
2)应根据信息系统的定级情况,落实相应安全保障措施,达到相应的安全保障目标。
9.3 风险评估
风险评估是指对信息系统面临的安全威胁,存在的脆弱性,以及它们综合作用带来负面影响的严重性和可能性进行系统化的分析和评价。风险评估的作用是了解信息和信息系统面临的安全风险,为实施安全控制措施,降低安全风险提供依据。9.3.1 风险评估实施
风险评估的实施是指选择适当的评估方法,由信息安全评估专业人员和信息系统用户共同参与,对信息安全风险进行评价的过程。风险评估的实施应以《信息安全技术 信息安全风险评估规范》、《信息安全技术 信息系统安全保障评估框架》和国家的有关文件要求为依据。行业的风险评估可采取自评估(自身发起)和检查评估(上级主管部门或国家有关职能部门发起)两种方式。风险评估工作应委托具有相应资质的风险评估服务机构,有条件的单位也可依靠自己的技术力量进行。
应定期进行全面的风险评估并在下列情况下,及时对信息系统实施不同范围的风险评估:
1)信息安全保障体系建设前期进行全面的风险评估。2)在技术平台进行大规模更新时,进行全面的风险评估。3)重要信息系统升级时,针对信息系统可能受到影响的部分进行风险评估。
4)对目前的重要信息系统增加新应用时,针对信息系统可能受到影响的部分进行风险评估。
5)在与其他单位(部门)进行网络互联时,针对重要信息系统可能受到影响的部分进行风险评估。
6)在发生信息安全事件之后,或怀疑可能会发生安全事件时,针对信息系统可能受到影响的部分进行风险评估。
要求:
1)应根据实际情况制订风险评估工作计划并通过风险评估的实施,确定信息系统的资产价值,识别信息系统面临的威胁,识别信息系统的脆弱性,分析各种威胁发生的可能性并分析可能造成的损失、评价系统的风险状况。
2)对重要信息系统应定期进行风险评估,以评估系统的安全风
第四篇:人防信息培训心得体会
人防信息化培训心得体会人防信息化培训心得体会
目前的计算机网络系统干扰器配备不齐,有的虽然配备抗干扰器,但常处于不开机状态,未发挥应有的作用,大多数网络系统仍然采用的防火墙、杀毒软件等一般性防护措施。这些措施只能提供网络的安全性,不能保证网络的绝对安全,难以防范网络内部的攻击和病毒的侵犯。不能防止从LAN 内部的攻击,若是内部的人和外部的人联合起来,即使防火墙再强,也是没有优势的。它甚至不能保护你免受所有在潜在的安全隐患
那些它能检测到的攻击。目前人防信息化保障的组织管理体制还不适应高技术战争发展要求。县、区及乡镇人防机构不健全,对组织本区域人防信息化建设和管理的职能较弱;重要经济目标单位人防职能弱化,人防信息保障的组织机构、保障措施和手段运用等方面,还不能适应实战要求。相关的管 信息化管理体制不健全,管理人员缺乏
理人员对信息化管理的掌握和认识不足,技术和思想均有不足。目前人防地理信息数据库(GIS)建设还不完善,信息引入受阻,信息资料采集和数据资料录入很少。由于办公网和指挥网没有配套建设,不能充分实现信息资源共享,不能满足办公与指挥自动化的需要,3.总体来说信息化程度不高
反应能力低,不能满足应急作战的需要。
二、完善和加强人防信息化建设的对策 主要从两方面进行,一是加强网络访问控制。访问控制是网络安全防范和保护的主要策略。它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。二是应用密码技术。应用密码技术是信息安全核心技术,密码手段为信息安全提供了可靠保证。基于密码的数字签名和身份认证是当前保证信息完整性的最主要方法之一,密码技术主要包 1 加强计算机网络的安全技术研究 括古典密码体制、单钥密码体制、公钥密码体制、数字签名以及密钥
加强网络化硬件、软件建设,利用现有设备,加快更新换代步伐,软硬并重。建立统一的人防信息数据库体系,抓好信息资源的收集、整理和编入,强化信息资源在人防系统内的使用,提高信息化整体水平。强化人防信息的内、外宣传,依托省人防办公网,建立内部计算机网络,实现部分计算机与政务信息网、上级人防主管部门指挥网联网,实现与省人防办、市、县人防办之间数据的互传和网页浏览,保证实时、安全、保密和不问段断地传递信息。在网络信息建设中,提供开放式平台,将各版块分解到各科室,实时发布相关信息,保证网站信管理。
2.不断提高信息化管理的程度
息的更新频率。建立健全相应的组织管理体制,尤其是对于一些市县级城市,必须加强对人防管理的组织和领导,其次是,制定科学的人防信息化人才培养计划,利用多种渠道来引进计算机网络开发与维护、软件应用开发、通信等专业人才,并完善相应的人才激励机制,留住这些人才,与此同时加强对现有员工的职业技能培训,有计划地分派单位的工作人员到一些高校进修,鼓励干部职工自学或参加函授教育的方式,提高业务水平。加大科技练兵、岗位练兵力度,定期对信息化站人员进行业 3建立健全管理体制、加强对信息化管理人才的培养
务培训,推进人防信息化建设的速度。人防信息化的资金保证是系统建设的基本条件,对于人防信息化建设项目,要纳入政府财政预算,各地人防经费中应规定适当比例投入人防信息化建设。为了确保资金使用效益,信息化建设实施应仿照基本建设和大型设备采购管理办法,建立审批制度,避免重复投资和浪费。在适当增加国家预算的同时,应注意拓宽投资渠道,采用单位自筹和引进社会资金方式,加快信息化建设步伐,通过挖掘信息资源利用价 4加大对人防信息化建设的资金支持力度
值,换取外界资金投入。
三、基于GIS的人防管理信息系统的设计方案 满足现代人防工程管理的需要,在 GIS 形象化的图形界面上能给使用人员提供形象、直观、简捷的人防工程数据管理方法,并能使用 GIS 的分析功能对数据进行必要的分析。为了达到这一目标,设计方案如下图: ①运用该系统可得到人防工程设施的覆盖情况,在人防工程管理信息系统中,一方面利用 GIS 的拓扑分析功能,通过道路或其他的居民点,在一定范围显示规定范围内的所有人防工程点;另一方面,可以将人防工程统一划算为”标准工程”并计算出关心区域内工程的 ②在发生空袭的情况下,可快速组织人员和物资就地就近隐藏,隐蔽设施的选择是依托在隐蔽路线选择的基础之上,它是将所有设施点比较之后,才作出隐蔽设施的选择。隐蔽路线的选择就是最佳路径的选择。而最佳路径算法实质上是一种最短路径的算法。在最佳路径分析过程中,道路中心线的长度作为主要的参数,根据不同道路的路面情况,把每段路赋予权重。最佳路径分析就是求解最小,其计算(1)系统设计的目标
(2)运用该系统可实现的功能分析
总容纳能力。的隐蔽路线作出
公式如下: 由于人防空间分布的特殊性,仅凭平面图难以直观地理解它们的位置和相互关系,为此,系统将虚拟现实技术运用到人防工程信息系统管理中,根据人防地下空间的三维坐标和相关工程等属性信息,虚拟地下人防设施分布现状,自动生成真实的三维渲染场景来表现人防设施分布及其相互位置关系。并能够在这一场景中自由变换观察角度。能沿着人防设施相关路线的飞行,实现对地下人防设施的可视总结,本系统采用MIS 与 GIS 集成技术成功实现了人防工程信息管理系统的功能,在此基础上还实现了人防工程信息管理所急需的一 ③该系统可实现三维空间分析
化管理。
些分析功能,系统简单实用、功能强大,达到了良好的预期效果。注:
文章内所有公式及图表请用PDF形式查看。篇 四:
人民防空信息化建设 摘要:
现代电子、通信、信息与军事技术的迅猛发展,正逐步使信息化战争变为现实,近期几场局部战争,特别是海湾战争、科索沃战争表明,信息技术、信息保障成为对抗双方比拼的焦点,信息已成为决定胜负的关键因素。为适应未来信息化战争条件下的人民防空指挥需要,逐步实现人防组织指挥信息化,笔者结合平时工作中的思考,就人防信息化建设,谈几点不成熟的看法。
关键词:
中图分类号: d63 文献标识码: a 文章编号:
人防信息化建设的目的是提高人防的整体信息化水平,单一领域的信息化,都不是真正意义上的人防信息化。根据信息化战争条件下防空袭斗争的要求,应从三个方面来认识信息化建设,提升信息化建设理念。一是提高信息在未来人民防空袭斗争中对指挥作用的认识。防空袭斗争各阶段的情况处置主要是信息,如果信息少而不全,或不及时、不准确,指挥活动也就少了,或者瘫痪了,人民的生命和则产损失也就增大了。二是提高对加快信息化建设资金投入的认识。根据现代战争特点,空袭主要以精确打击为主,并贯穿于战争全过程,其重点是关系国计民生的重要经济目标。要有计划地优先安排信息化建设项浅谈人民防空信息化建设
人防;信息化
1009-0118(201X)-05-0-01
一、提高认识,摆正位置 目,正确处理好眼前利益与长远利益的关系,使人防信息化建设得到才的认识。多年来,各级人防办受编制、体制、行业和进人渠道的限制,人员老化,专业技术人才缺乏,影响了人防信息化建设的开展。针对这种情况,我们要在选用人上优先考虑人防所需专业知识人才,在培养人才上要采取走出去、请进来、派出去等多种形式提高人防队
人民防空信息化建设涉及军地有关部门和自身指挥自动化、办公自动化等建设,投资大、技术含量高、综合性强。目前,各城市人防办指挥自动化系统、与信息化建设的要求还存在一定差距。当前,必须高标准、高起点,立足互联互通、平战兼容的建设规划要求加强建设。要制定科学的发展规划,统筹人力、物力、技术和时间,优质高效地完成建设任务。在现有条件下,可以成立人防信息化建设中心,具体由人防指挥通信部门负责。建设中心负责硬、软件建设、信息整合、搞好人防信息化建设,需要从基础抓起。当前,要在信息平台上下工夫,建设基本指挥所、移动指挥所和应急救援指挥中心。同时,要加强指挥自动化系统、办公自动化系统和通信警报系统建设,努力构建人防信息化平台,为互联互通打牢基础。建设时应注意三个问题: 和军网三网合一。二是有线与无线互联。通过设立基站、主台或搭载在指挥车上的形式,将超短波、短波移动通信与有线无线转接设备连接起来,实现有线无线互联互通。三是计算机网联接。在人防办建立局域网,通过“三网合一”实现与政府网和互联网相接,实现信息资 长足发展。三是提高选培人防信息化人
伍的综合专业素质,努力构建专业性强、人员业务精的新型人才队伍。
二、制定规划,真抓实干
软件应用升级等工作,保证人防信息化建设工作有序开展。
三、构建平台,保障互联
一是有线通信互联。通过模块局域虚拟网实现人防网、公网
源共享,满足办公与指挥自动化的需要。
四、网络互联,软硬并重 信息网络基础设施是信息化发展的基础,需要整体设计,联合共建,优先发展。要克服重硬件建设、轻软件研制开发的倾向。通用软件的研制开发由国家人防职能部门统一组织有关科研单位攻关,在此基础上,地方各级人防部门组织自身需要的专用软件的研制开发,做到统分结合,使各类软件形成整体配套的系列产品,硬件和局域网络由各级人防部门自建,防止不顾经济能力一味贪大求洋,坚决杜绝各行其是在一个单位内建几套系统的做法。现代战争的首战是信息战,人防信息化建设的安全直接关系到城市人防指挥的稳定性和有效性,如果信息安全保密工作做不好,在未来战争中就可能造成信息被窃、网络被毁、制信息权丧失的严重后果。加强人防信息系统建设的防范,切实提高系统的安全,保障人防信息领域信息处理的互相兼容、有效运转和维护迫在眉睫。影响人防信息化建设安全的主要因素包括:
物理层安全、系统层安全、网络层安全、应用层安全、管理层安全等,追踪世界信息发展前沿技术,构筑信息安全防范技术,严防泄检测技术、防火墙技术、网络安全监控、数据加密技术、访问控制、防病毒技术、实体安全保护技术、信息隔离技术等的开发使用,构筑信息安全防护体系,严防敌方信息攻击、黑客攻击、病毒攻击,严防内部人员利用合法身份攻击、窃密等。确保人防信息在传输过程中不人民防空是国防的重要组成部分,在新的形势下,必须适应打赢信息化战争的要求,提高信息化战争条件下人民防空的综合防护能力。所以我们一定要以高度的政治责任感和使命感,认真贯彻落实第六次全国人民防空会议精神,以科学发展观为指导,认清形势、居安思危、与时俱进、开拓创新、真抓实干,加快人防信息化建设进程,为人民防空事业更好更快发展做出新的更大的贡献。篇五:
五、加强防范,严防泄密
密事件发生,必须加强漏洞
泄密,确保人防指挥场所,人员、系统的安全。
人防办工作人员学习十八大精神心得体会
学习党的十八大报告的心得体会
南海区人民防空办公室 白继华 党的第十八次代表大会是总结党的十七大以来5年的工作,回顾总结了34年来改革开放的伟大历史进程和宝贵经验。驻罗村街道的我通过网络转播收看了十八大的开幕式,由于工作缘故,我没能亲身回局本部学习和传达十八大精神的大会,但我所在的人防办群体和罗村街道行政服务中心也多次组织了学习和讨论,大家都对十八大的顺利召开表示兴奋和激动,这是一次科学发展契机,我们要抓住这次机会迎难而上,把自己的缺点和不足找出来,努力克服和改进,力争去减少木桶效应,为南海区人防事业的进步尽一份心、出一份力。下面我结合自身情况通过对十八大和新《党章》的学习,对未来的工作谈一点想法:作为一名专业技术人员,我进入工作岗位已经一年多了,在这一年多的时间中通过两位主任的正确领导和同事们的关怀帮助使我进步很大。在工作中,我先后参与了多次人防业务培训和自我进修学习,使我的人防专业技术得到质的进步和飞跃。101大楼的落成更为我区的人民防空指挥和应急工作奠定了平台,在这个平台上如何开展人防工作和提升人防事业高度,将成为我们整个南海区人防办下一步工作的重心,我们全体人员也会加倍努力蜕变成为一支优秀和专业性强的人防队伍,能在任何的情况和条件下出色的完成党和 另,驻罗村街道行政服务中心的我经常在会议中和工作中带头谈窗口工作的感受,街道领导希望年轻一代窗口人员作先锋,用新思维角度去认识党的精神,带动相关部门窗口在行政服务工作中进行实质的表现。同时,街道响应市级的深化行政审批制度改革,组织我们多次培训和学习,尽早掌握和运用新上线的行政审批管理系统和政务网上办事一点通系统,使区镇村三级实质地联动起来,开展工作创新形式,做到工作中的继承与创新相结合,通过各种形式和创新活动载体,力目前的我虽然还不是一个党员,但在思想觉悟上始终保持与党一个高度,行动上积极向组织靠拢,向组织递交了入党申请书,并时刻用共产党员的标准要求自己。通过学习,我了解到今次十八大后,新《党章》第一次将科学发展观列入党的指导思想,是我们党作出的又一次历史性的决策和贡献。科学发展观与邓小平理论、“三个代表”重要人民所交付的各项任务。
争形成行政审批改革工作中的“亮点”。思想一道,在党和国家事业发展各个领域得到全面贯彻,发挥了强有力的指导作用,推动中国特色社会主义道路越走越宽广。在党章中完整表述了中国特色社会主义道路、中国特色社会主义理论体系、中国特色社会主义制度,全面揭示了中国特色社会主义的科学内涵;把生态文明建设纳入中国特色社会主义事业总体布局;把加强党的执政能建设,整体推进党的思想建设、组织建设、作风建设、反腐倡廉建设、制度建设,全面提高党的建设科学化水平,建设学习型、服务型、创新型的马克思主义执政党等内容写入党章,并对党员义务、党的基层组织和党的干部的要求作了充实。通过这次修改,党章更加完善,必时间在推移,社会在进步,我们就像上坡的轮子、逆水的行舟,不进则退,这个道理自我懂事后就伴随着我成长,并一直不停的勉励自己。十八大虽然已经闭幕了,但是会议的精神将一直作为一种推动力,不停地鞭策我们继续前行。在历史前进的巨轮下,任何的自满和懈怠都将会遭到淘汰,所以我们必须依靠科学发展观的正确理解不断探索今后的道路,确保步伐的先进性和稳定性。十八大过后我更有了明确的目标,我将会把自己的手中的资源和技术都利用起来,用自己的知识二〇一二年十二月十一日
工作计划格式(范文)
一、为什么要写工作计划:
1、计划是提高工作效率的有效手段
工作有两种形式:
一、消极式的工作(救火式的工作:灾难和错误已经发生后再赶快处理)
二、积极式的工作(防火式的工作:预见灾难和错误,提前计划,消除错误)力建设、先进性和纯洁性
将更好发挥根本性规范和指导作用。
为我们人防信息化事业建设尽上一份绵薄之力。
写工作计划实际上就是对我们自己工作的一次盘点,工作计划格式:
1、让自己做到清清楚楚、明明白白,计划是我们走向积极式工作的起点。
2、计划能力是各级干部管理水平的体现
个人的发展要讲长远的职业规划,对于一个不断发展壮大,人员不断增加的企业和组织来说,计划显得尤为迫切。企业小的时候,还可以不用写计划。因为企业的问题并不多,沟通与协调起来也比较简单,只需要少数几个领导人就把发现的问题解决了。但是企业大了,人员多了,部门多了,问题也多了,沟通也更困难了,领导精力这时也显得有限。计划的重要性就体现出来了。
记得当时,总经理在中高层干部的例会上问大家:“有谁了解就业部的工作”,现场顿时鸦雀无声,没有人回答。几秒钟后,才有位片区负责人举起手来,然后又有一位部门负责人迟疑的举了一下手;总经理接着又问大家:“又有谁了解咨询部的工作”,这一次没有人回答;接连再问了几个部门,还是没有人回答。现场陷入了沉默,大家都在思考:为什么企业会出现那么多的问题。
这时,总经理说话了:“为什么我们的工作会出现那么多问题,为什么我们会抱怨其他部门,为什么我们对领导有意见………,停顿片刻”,“因为……我们的工作是无形的,谁都不知道对方在做什么,平级之间不知道,上下级之间也不知道,领导也不知道,这样能把工作做好吗?能没有问题吗?显然不可能。问题是必然会发生的。所以我们需要把我们的工作‘化无形为有形’,如何化,工作计划就是一种很好的工具!”。参加了这次例会的人,听了这番话没有不深深被触动的。
3、通过工作计划变被动等事做变为自动自发式的做事(个人驱动—系统驱动)
有了工作计划,我们不需要再等主管或领导的吩咐,只是在某些需要决策的事情上请示主管或领导就可以了。我们可以做到整体的统筹安排,个人的工作效率自然也就提高了,通过工作计划变个人驱动的为系统驱动的管理模式,这是企业成长的必经之路。
二、工作计划怎么写
首先要申明一点:工作计划不是写出来的,而是做出来的。计划的内容远比形式来的重要。我们拒绝华丽的词藻,欢迎实实在在的内容。简单、清楚、可操作是工作计划要达到的基本要求。
如何才能做出一分良好的工作呢?总结当时会议上大家的发言和后来的一些说话,主要是要做到写出工作计划的四个要素。
工作计划四大要素:
(1)工作内容(做什么:WHAT)
(2)工作方法(怎么做:HOW)
(3)工作分工(谁来做:WHO)
(4)工作进度(什么做完:WHEN)
缺少其中任何一个要素,那么这个工作计划就是不完整的、不可操作的,不可检查的的。最后就会走入形式主义,陷入“为了写计划而写计划,丧失写计划的目的”。在企业里难免就会出现“没什么必要写计划的声音”,我们改变自己的努力就可能会走入失败。
三、如何保证工作计划得到执行
工作计划写出来,目的就是要执行。执行可不是人们通常所认为的“我的方案已经拿出来了,执行是执行人员的事情。出了问题也是执行人员自身的水平问题”。执行不力,或者无法执行跟方案其实有很大关系,如果一开始,我们不了解现实情况,没有去做足够的调查和了解。那么这个方案先天就会给其后的执行埋下隐患。同样的道理,我们的计划能不能真正得到贯彻执行,不仅仅是执行人员的问题,也是写计划的人的问题。
首先,要调查实际情况,根据本部门结合企业现实情况,做出的计划才会被很好执行。
其次,各部门每月工作计划应该拿到例会上进行公开讨论。目的有两个:其
一、是通过每个人的智慧检查方案的可行性;其
二、每个部门的工作难免会涉及到其他部门,通过讨论赢得上级支持和同级其他部门的协作。
另外,工作计划应该是可以调整的。当工作计划的执行偏离或违背了我们的目的时,需要对其做出调整,不能为了计划而计划。
还有,在工作计划的执行过程中,部门主管要经常跟踪检查执行情况和进度。发现问题时,就地解决并继续前进。因为中层干部既是管理人员,同时还是一个执行人员。不应该仅仅只是做所谓的方向和原则的管理而不深入问题和现场。
最后,修订后的工作计划应该有企业领导审核与签字,并负责跟踪执行和检查。
工作计划书格式
工作计划书的格式应包括标题、正文和落款三项。
1、标题
计划的标题,有四种成分:计划单位的名称;计划时限;计划内容摘要;计划名称。一般有以下三种写法:
(1)四种成分完整的标题,如《××村二oxx年规划要点》。其中“××村”是计划单位;“二oxx年”是计划时限;“规划”是计
划内容摘要;“要点”是计划名称。
(2)省略计划时限的标题,如《广东省商业储运公司实行经营责任制计划》。
(3)公文式标题,如《xx省关于二oxx年农村工作的部署》。计划单位名称,要用规范的称呼;计划时限要具体写明,一般时限不明显的,可以省略;计划内容要标明计划所针对的问题;计划名称要根据计划的实际,确切地使用名称。如所订计划还需要讨论定稿或经上级批准,就应该在标题的后面或下方用括号加注“草案”、“初稿”或“讨论稿”字样。如果是个人计划,则不必在标题中写上名字,而须在正文右下方的日期之上具名。
2、正文
除写清指导思想外,大体上应包含以下三方面的事项:
(1)目标。这是计划的灵魂。计划就是为了完成一定任务而制订的。目标是计划产生的导因,也是计划奋斗方向。因此,计划应根 据需要与可能,规定出在一定时间内所完成的任务和应达到的要求。任务和要求应该具体明确,有的还要定出数量、质量和时间要求。
(2)措施。要明确何时实现目标和完成任务,就必须制定出相应的措施和办法,这是实现计划的保证。措施和方法主要指达到既定 目标需要采取什么手段,动员哪些力量,创造什么条件,排除哪些困难等。总之,要根据客观条件,统筹安排,将“怎么做”写得明确具 体,切实可行。
(3)步骤。这是指执行计划的工作程序和时间安排。每项任务,在完成过程中都有阶段性,而每个阶段又有许多环节,它们之间常常 是互相交错的。因此,订计划必须胸有全局,妥善安排,哪些先干,哪些后干,应合理安排。而在实施当中,又有轻重缓急之分,哪是重 点,哪是一般,也应该明确。在时间安排上,要有总的时限,又要有每个阶段的时间要求,以及人力、物力的安排。这样,使有关单位和 人员知道在一定的时间内,一定的条件下,把工作做到什么程度,以便争取主动,有条不紊地协调进行。
执行希望,需在正文的最后写出,为计划的结尾部分。但是,这部分的内容,要看实际情况决定要不要。
3、落款
在正文结束的后下方,制订计划的日期(如标题没有写作者名称,这里应一并注明)。此外,如果计划有表格或其他附件的,或需要抄报抄送某些单位的,应分别写明。学习计划格式
一份好的学习计划大致包括三方面的内容: 学习计划格式:
一、进行自我分析 我们每天都在学习,可能有的同学没有想过我是怎样学习的这个问题,因此制订计划前首先进行自我分析。
1、分析自己的学习特点,同学们可以仔细回顾一下自己的学习情况,找出学习特点。各人的学习特点不一样:有的记忆力强,学过知识不易忘记;有的理解力好,老师说一遍就能听懂;有的动作快但经常错;有的动作慢却很仔细。如在数学学习中有的理解力强、应用题学习好;有的善于进行口算,算得比较快,有的记忆力好,公式定义记得比较牢;有的想象力丰富,善于在图形变换中找出规律。所以几何学习比较好……你可以全面分析。
2、分析自己的学习现状,一是和全班同学比,确定看自己数学成绩在班级中的位置,还常用“好、较好、中、较差、差”来评价。二是和自己数学成绩的过去情况比,看它的发展趋势,通常用“进步大、有进步、照常、有退步、退步大”来评价。
二、确定学习目标 学习目标是学生学习的努力方向,正确的学习目标能催人奋进,从而产生为实现这一目标去奋斗的力量。没有学习目标,就象漫步在街头不知走向何处的流浪汉一样,是对学习时光的极大浪费。
确定学习目标首先应体现学生德智体全面发展的教育方针,其次要按照学校的教育要求,此外还要根据自己的学习特点和现状。当然还可考虑一些社会因素家庭情况。
学习目标要具有适当、明确、具体的特点。
适当 就是指目标不能定得过高或过低,过高了,最终无法实现,容易丧失信心,使计划成为一纸空文;过低了,无需努力就能达到,不利于进步。要根据自己的实际情况提出经过努力能够达到的目标。
明确就是指学习目标要便于对照和检查。如:“今后要努力学习,争取更大进步”这一目标就不明确,怎样努力呢?哪些方面要有进步?如果必为:“数学课语文课都要认真预习。数学成绩要在班级达到中上水平。”这样就明确了,以后是否达到就可以检查了。
具体 就是目标要便于实现,如怎样才能达到“数学中上水平”这一目标呢?可以具体化为: 每天做10道计算题,5道应用题,每个数学公式都要准确无疑地背出来,等等。
三、科学安排时间
确定了学习目标之后,就要通过科学地安排。使用时间来达到这些目标。要符合“全面、合理、高效”的要求,工作计划:
全面在安排时间时,既要考虑学习,也要考虑休息和娱乐,既要考虑课内学习,还要考虑课外学习,还要考虑不同学科的时间搭配。
合理要找出每天学习的最佳时间,如有的同学早晨头脑清醒,最适合于记忆和思考;有的则晚上学习效果更好,要在最佳时间里完成较重要的学习任务,此外注意文理交叉安排,如复习一会语文,就做几道算术题,然后再复习自然常识外语待。
高效 要根据事情的轻重缓急来安排时间,一般来说,把重要的或困难的学习任务放在前面来完成,因为这时候精力充沛,思维活跃,而把比较容易的放稍后去做。此外,较小的任务可以放在零星时间去完成,以充分做到见缝插针。
一天中供自己安排的时间基本上分为四段:早上起床到上学,上午放学到下午放学,下午放学到吃晚饭前,吃晚饭后到睡觉。同学们主要应在这四段时间里统筹安排自己的学习生活内容。
在进行时间安排时,还要注意以下两点:
1、要突出重点 也就是说,要根据地自我分析中提出 的学习标点或比较薄弱的学科在时间上给予重点保证。
2、要有机动时间,计划不要排太满太紧,贪心的计划是难以做到的。
定了计划,一定要实行,不按计划办事,计划是没有用的。为了使计划不落空,要对计划的实行情况定期检查。可以制定一个计划检查表,把什么时间完成什么任务达到什么进度,列成表格,完成一项,就打上“√”。根据检查结果及时调整修改计划,使计划越定越好,使自己制定计划的能力越来越强。
第五篇:信息保障中心爱岗敬业演讲稿:践行人防精神 提高创新能力
虔诚、笃实、创新、服务是我们安阳人防文化的精华。虔诚即真心诚意。笃实即忠诚。创新即更新、创造、改变。服务是指为他人做事,并使他人从中受益的一种活动。这四句固然字数未几,但内涵丰富。它既是我们平常工作的体现,也将指引我们更好地做好工作。下面结合自己的工作和学习谈谈对其中创新的理解。创新是一个民族进步的灵魂,是一个国家发展的动力,是一项事业成功的门路,是一个人获得成绩的宝贝。要想有发展,必须要创新,只要有创新,一定会发展。假如不进行创新,不但不会发展,还会走向灭亡。回顾过往发生过的一些事例都证实了这个道理。齐白石,本是个木匠,靠着自学,成为画家,荣获世界和平奖。然而,面对已获得的成功,他永不满足,而是不断汲取历代名画家的优点,改变自己作品的风格。他60岁以后的画,明显地不同于60岁之前。70岁以后,他的画风又变了一次。80岁以后,他的画风再度变化。齐白石的一生,曾五易画风;正由于白石老人在成功后依然快马加鞭,所以他晚年的作品比初期的作品更加成熟,构成独特的流派与风格。再如世界上最伟大的科学家之一,牛顿,一生固然有很多伟大的发现,然而到了晚年,他却花了十年的时间研究上帝的存在,结果毫无所得。由此看来,即便是一个伟大的学者,一旦落进陈腐的范畴,也谈不上有丝毫的成绩。目前,全国上下,各行各业都在大讲创新,国家人防办柳庆森局长在讲话中强调,人防工作要大胆创新,勇于创新,务实创新,优良创新,我办也曾提出每天都是创造之时,处处都是创造之地,人人都是创造之人的创新理念,现在又把创新作为人防精神的主要内容提了出来。那末,怎样才能做到创新呢?一,是要有创新意识。创新其实不是很大、很精深的东西,它就在我们身旁,只要留意,人人都能找到创新的机会。最近几年来,我们单位就有很多的创新。如我办给职工送生日蛋糕,之前没有现在有了,这就是创新;由于每次一张蛋糕卡,消费起来不方便,后来改成了由多张面值10元的蛋糕卡、加一束鲜花、配上音乐等,又进行了创新;再后来又将鲜花变成蛋糕、并在大厅公然祝愿等,又一次进行了创新,而且更实惠了。同一件事三年进行了三次创新。还有,如:开发警报音乐报时、组织防空防震综合演练、率先建成人防应急指挥中心,率先参加济南军区组织的联合防空大演习和重要经济目标防护演练,率先成立人防应急医疗救护专业队、信息防护专业队和志愿者队伍,率先实现移动指挥所动中通,率先使用三网合一系统对全省实况直播,率先参加党政军组织的民兵维稳防恐汇报表演,率先建成重要目标实时监控系统,率先规范防空防灾一体化社区,率先建成重要目标防护协作机制等,都是创新。所以创新其实不难,人人能做到。二,是要善于总结。就是总结前人的经验和教训。任何一项创新都不是无源之水无本之木。因此,如何利用前人的知识和聪明在创新工作中是非常重要的,也只有如此创新工作才可以少走弯路。前人的经验和教训是我们创新工作的基础,通过鉴戒前人的工作,我们可以站在伟人的肩膀上看待题目、斟酌题目和解决题目。同时,更应留意发现和总结前人失败的创新经验。失败是成功之母,通过前人失败的经验我们可以发现很多题目。我们人防建成了一站式服务,聘请了很多监督员,就是总结了过往几年的经验和教训。
点击咨询 