第一篇:信息安全保障体系在渐进中成熟
信息安全保障体系在渐进中成熟
--------本刊专访陈晓桦博士
转载时间:2011-06-10
从2003年中央颁发的第27号文件《国家信息化领导小组关于加强信息安全保障工作的意见》开始算起,至今已逾七载。俗语常说“7年之痒”,7年的时间往 往意味着曾经的一腔热血在经历了瓶颈之后,渐渐忘记初衷,变得麻木。那么中国信息安全这7年在经历了翻天覆地的变化之后,是否依然坚定当初的决心和发展信 念呢?最初设定的那些目标和任务,完成情况如何?下一步工作如何开展?当前我国信息安全形势又是怎样?
2011年新年伊始,带着对中国信息安全领域这一路走来的种种困惑,记者采访到了中国信息安全认证中心副主任陈晓桦博士。他不仅是我国信息安全保障体系 逐步形成的见证人,更是一直奋战其中的建设者。在采访中,陈博士既谈到了国家信息安全保障工作取得的成绩,也谈到了对工作中有关问题的反思。他对我国信息 安全形势发展的思考,有更多源自产业现实的感悟,虽然这次采访内容覆盖面有限,但正是从他所探究的这些细节上,业内人士可以见微知著,得到启发。
用他本人的话来讲,信息安全工作涉及面非常广,从政策法规建设到政府指引、从战略规划到实施方案,从产业规模到技术专利、从标准制定到人才培养,方方面面都需要加以总结,汲取经验和教训,作为我国十二五甚至更长远工作规划的出发点。
认证工作成绩斐然
陈晓桦博士告诉记者,建立并完善信息安全认证认可制度,是建设我国信息安全保障体系工作当中的一项重要任务。几年来,在国家相关部门的坚强领导和大力支 持下,这项制度的建立取得了突破性进展。信息安全产品认证制度的建设虽然遇到了重重阻力,但信息安全认证中心还是克服了重重困难,积极配合相关领导部门,应对国外的种种质疑与不合理要求,为制度的实施做了大量的技术性支撑工作。2009年4月底,根据国内外形势的发展,国家对该项制度的实施范围作了调整,即调整到了在政府采购法所规定的范围,首先对13类信息安全产品强制要求认证,并把实施的时间推迟了一年。2010年5月前,财政部、工信部、质检总局和 认监委联合发布了财库48号文件《关于信息安全产品实施政府采购的通知》,这标志着国家信息安全产品认证制度终于在经历曲折和反复后顺利实施和运行。
记者了解到,截止到2010年11月30日,信息安全认证中心共颁发国家信息安全产品认证证书158张,国家强制性产品(无线局域网产品)认证证书105张,信息安全产品认证的覆盖面有了长足提高,信息安全产品认证的把关作用得到了体现。
多角度延伸认证服务
不仅如此,陈晓桦博士透露,前些年,国内的信息安全管理体系认证几乎被外资机构垄断,其潜在安全风险不可低估。而信息安全认证中心积极服务于 国家重要信息系统的安全保障,在强化认证质量和服务的基础上,积极开展ISMS认证,得到了众多关系到国计民生重要行业客户的普遍认同。另外,继2008 年为服务奥运安保工作推出应急处理服务资质认证后,信息安全认证中心还开展了信息安全风险评估服务资质认证,国家信息中心等18家从事风险评估的企事业单 位在2010年6月获得了首批认证证书。“风险评估服务资质认证业务的推出,顺应了社会的需求,得到了企事业单位的积极响应和好评。”陈晓桦博士总结道。
在培训业务方面,信息安全认证中心不仅开展了工厂检查员、体系审核员、体系咨询师与服务资质评审员的培训工作,还根据市场需求启动了信息安全保障从业人员认证,培训覆盖面进一步拓宽,影响力逐步显现。信息安全认证中心积极参与并承担了多项国家和部委的科研和专项工作,并取得了一批成果。其承担的863项目和国家科技支撑计划项目分别通过了验收和中期检 查;国家发改委信息安全专项、电子产业发展基金重点项目顺利通过了中期检查;“国家信息安全产品认证专项”项目已完成基础环境建设和检测工具开发工作;参 与制定的一批行业标准已经发布实施,若干国家标准制定项目已完成征求意见工作,或已经进入报批阶段。“从事这项制度的建立工作,我们深感任务艰巨,责任重大,使命光荣。我们清醒地认识到,在机构和队伍
建设、核心业务拓展、基础设施建设等方面还 有待进一步加强,我们的服务能力和水平,还有待进一步提高。我们目前的建设进度和成效,离国家对我们的要求和业界的期望还有很大的距离。”陈晓桦博士对记 者表示,“我们在2010年底已初步完成了中心发展的十二五战略规划的制定和论证工作,希望能够指导今后5年相关工作的开展,大力推进各项建设工作,充分 发挥信息安全认证在国家信息安全保障体系中的基础性作用,努力开创信息安全认证工作新局面。”
启示一:信息安全需要从国家层面制定整体发展战略
陈晓桦观点:信息安全不是一支“独舞”,需要各个部门相互配合开展工作。但是由于缺乏国家层面的战略指导,很多情况下,信息安全工作还只能依赖领导批示和安全事件来驱动。把握当前国内外形势和发展趋势,制定国家信息安全总体发展战略已经迫在眉睫。
采访中,记者得知,以前相关部门开展信息安全工作,职责分工不够清晰,可谓纵横交织,既有必要的互补,也有太多的重复,缺乏有效的沟通协调机制,工作比较被动,经常依靠领导批示和安全事件的驱动。
陈晓桦博士认为,虽然以前这种工作方式也解决了许多信息安全问题,但从法律法规和制度的完善度来看,还远远不够。而且,即使到了现阶段,信息安全 与保密工作在相当大的程度上还带有应急处理的特点。“当然,这和信息安全工作的性质有关,即使制定了一些法律法规和管理制度,采取了一些技术手段,也不能 完全遏制和避免安全和失泄密事件的发生。”陈晓桦坦言,由于还缺乏来自国家层面的战略规划和设计,没有健全的法律法规整体的指导,更没有先进、强大的科技 手段,这就导致信息安全工作在推动时面临不少困难,很多时候仍然依靠事件驱动,或者依靠首长批示开展工作,工作方式也不是一种制度化、常态化的方式。缺乏 整体规划带来的另一个后果,就是协调制度不完善,虽然相关部门也各司其职,但是容易出现各行其是的局面。由于信息化建设的高速发展,新技术新应用层出不 穷,信息安全的总体规划迫切需要全新的思路和设计。陈晓桦幽默地说,“救火还是需要的,但不要总是在救火。应急机制是必要的,但更重要的是建立信息安全工 作的长效机制。”他告诉记者,其实早在2004年,我国就成立了国家网络与信息安全协调小组,这是我国信息安全工作的最高领导机构,其办公室设在原国信办,成立的初衷是领 导我国信息安全相关部门开展工作,并协调各个部门之间工作。由于2008年机构改革,原国信办的职责并入了工业和信息化部。2009年底国务院又重新批准 成立国家网络与信息安全协调小组,制定国家信息安全总体发展战略的工作,已经提上日程。“十二五国家信息安全保障工作的指导思想、战略目标、主要任务和重 点工作是什么?有哪些保障措施?这可能是国家信息安全战略亟待明确的内容。”
启示二:健全法律法规需集思广益;落实相关政策需科技支撑
陈晓桦观点:过去有些部门规章的要求,都是一刀切,但在实际工作中并没有解决用户的切实问题。国家信息安全立法工作开展多年,已经取得了很多经验和教训,需要加以认真总结,并需要与时俱进,用科学的手段保障政策法规的严格执行。
据公开报道,关于国内信息安全立法工作,相关部门认为当前规范信息安全的法律法规有宪法、刑法、国家安全法、保守国家秘密法、治安管理处罚法、电子签名 法、《全国人民代表大会常务委员会关于维护互联网安全的决定》以及数十部部门规章。这些法律法规或规章对加强信息安全发挥了积极作用,但也存在内容分散、相互交叉甚至抵触的现象,影响了立法效力和执法严肃性,对信息安全监督管理造成了不利影响。需要对现有的信息安全的法律法规加以评估,包括清理和制修订。2010年11月,工信部已完成了《信息安全条例》报送稿。国家今后将以该条例为基础,提出综合性的立法方案,解决当前缺乏互联网法律规范的问题。
“适当的时候,可以扩大征集意见范围,听取更多国内各界人士的意见或建议。有了《信息安全条例》,我国的信息安全工作就可以更加有序地依法开展,有利于排 除外界干扰,有利于界定各方责任,厘清关系。”陈博士如是说。当然,信息安全问题,不仅仅是互联网安全问题,从立法程序来看,《信息安全条例》正式出台,可能还需要假以时日。
随着国家信息化工作的推进,对信息安全保密工作越来越重视。新修订的《保守国家秘密法》于2010年10月1日实施,总结了多年来保密工作和立法工作的经 验,为适应信息化时代的需要,提出了许多具体而且可操作性强的要求。陈博士认为需要提醒大家的是,今后,即便是违规把涉密设备或涉密计算机接入互联网,也 要依法给予处分;如果再发生互联网泄密事件,就要当作泄露国家秘密罪论处,要依法追究刑事责任,而不再仅仅
是给予通报批评、降级等行政处分。“新保密法提 出的这些新要求,非常及时、非常必要。近些年,国内侦破的互联网窃密和失泄密案件时有发生,造成的危害极大,影响极为恶劣。必须加大法律的威慑和惩处作 用,尽量杜绝此类案件继续发生。”
保障信息安全,管理和技术并重。除了法律法规和相关管理制度,还需要科技手段的支持。陈博士说,现在有的部委信息化程度很高,已经建成了3个甚至4个相互 独立的网络,比如,与互联网相连接的办公网,可以上网浏览、检索互联网信息、收发邮件等;物理上相互隔离的政务外网、政务内网;有的机构还有自己特殊的业 务网络。“对涉密网提出的物理隔离的强制要求,在我国目前的技术条件下是非常必要的。国家急需加紧研究开发自主可控、安全可靠的新一代信息隔离和交换技术 与产品,满足不同网络之间信息交换的现实合法需求,用先进的技术手段来保障信息安全,进一步发挥信息系统的作用,降低信息化建设的成本。”
启示三:信息安全解决方案要开“药方”而不是开“药房”
陈晓桦观点:某些信息安全企业的产品解决方案缺乏针对性,往往是以不变应万变,显然行不通。我们要开妙手回春的药方,而不是开一应俱全的药房,最好的“药引子”就是安全企业主动提升创新水平。
我国现有的信息安全技术、产品和服务,或许已经基本上满足我国信息安全的需求,但在骨干、高端、高性能方面,还缺乏自主创新性的产品。“有的企业由于紧跟 用户需求,在产品设计中有了几项小小的创新,最终成功中标某个项目,这恰恰说明用户需求的重要性。”陈晓桦博士认为,目前国内信息安全产品大多数都不是基 于国内原创的安全理念,一些企业提供的行业安全解决方案也缺乏针对性,似乎放之四海而皆准,不是开“药方”,更像是在开“药房”!
当然,陈晓桦博士也认为,在信息安全应用领域,用新产品新技术去引导市场,完全实现“技术引领、技术驱动”还是很困难的,经常有厂商面向市场推广产品时会 遇到不了解用户需求的现象。“这和国家整体发展现状有关,例如金融系统大量使用国外的服务器、路由和交换设备、数据库管理系统、中间件,甚至包括安全防护 产品都不是国内自主开发的。本土企业的产品在进入现有系统时,可能会出现自主产品与国外产品不兼容等现象,影响国内信息安全解决方案的推广。有些外国公司 的产品中,大量使用非标准或私有协议,对其他企业的产品接入造成事实上的不公平竞争。”陈晓桦博士坚持认为,虽然面临种种困难,但针对用户需求、突破国外 产品的技术壁垒,用创新技术积极参与竞争,仍然是我国产业发展、人才发展的长远目标,未来各关键基础设施和重要信息系统的信息安全技术都应该逐步做到自主 或可控。
在国内安全企业自主创新的道路上,往往也会出现另外一个误区。陈晓桦博士介绍道,现在有一个现象,很多厂商都在推出第几代升级产品,更新换代十分频繁,甚 至刚成立几年的公司,都已经开发出了第四代第五代产品,其实这大多只是该公司产品型号的变化,并没有真正实现技术的换代。让人担忧的是,这样的行为说明这 些企业对国内外的技术发展水平缺乏清醒的认识。信息安全企业的研发人员应该踏踏实实静下心来做研究,把一些基本原理和技术搞清楚,真正研发出能满足用户需 求的,自主创新的好产品。“在企业发展到了一定规模时,企业拥有多少人才、多少自主知识产权、多少专利和多少自有品牌,这些才是衡量企业综合实力的必要因 素,需要企业高度重视。”他进一步强调,“靠贴牌生产的信息安全企业,是注定做不大的。”
可喜的是,现在国内有不少本土信息安全企业越来越重视自主创新,虽然年销售额和盈利还不算高,但拥有的专利和创新技术不少,这说明企业有发展眼光、有发展后劲。
启示四:需要绷紧的那根弦不是安全知识而是安全意识
陈晓桦观点:虽然信息安全和保密的重要性被广泛认识,但从很多行业、部门甚至业界专家的行为中不难发现,他们并不缺乏安全知识,而是缺乏安全意识。
很多安全技术名词被大家天天挂在嘴边,但具有讽刺意义的是,安全意识却没有得到足够的重视。陈晓桦惋惜地指出,很多信息安全厂家的高层或者市场人员,在名 片上留的邮件地址都是Hotmail、Gmail这样的邮箱;甚至在申报国家项目中,很多单位汇总到专家办公室的项目申请书、验收材料,都通过 Hotmail、Gmail发送;很多学校、科研院所的领导、骨干,为了与国外通信方便,都习惯使用境外服务器的邮件地址。
“这可能和早期使用免费邮箱的习惯有关。但即便如此,由于邮件服务器在境外,我国重点单位或企业院校的专家和领导用这些邮箱来传输一些敏感材料和信息,也 是非常不合适的。因为发送的邮件往往涉及到安全项目的科研成果,所以这只能说明使用者缺乏安全意识!”陈晓桦强调,“关键部门、重要岗位该用什么样的通信 服
务,尤其是政府部门的官员和工作人员,都需要在头脑里时刻有根弦。”他语重心长地告诉记者,“在没有采取特殊安全保密技术手段的情况下,大家在互联网上 通过邮件传递信息,通过手机打电话和发送短信,其实就是信息的‘裸奔’!有些甚至还‘奔’出了国门。”
对某些看似普通的信息,其安全管理也需要加强。“由于社会分工日益专业化,很多日常工作都很容易涉及到国家或行业的敏感信息,很多人还没有从国家安全的高 度认识到,对这些信息的安全管理是多么重要。”陈晓桦博士举例告诉记者,银行资金流向也是一个很敏感的事情,这不仅牵扯到银行自身,还涉及到国家重点单位 的敏感信息。如果银行对这类信息的安全管理没有足够重视,就很容易造成敏感信息泄露。例如,某个野战部队在地方银行当中的资金信息一旦泄露,通过分析工资 结构就可以了解到这个部队的人员结构,通过分析其维护费用就可以了解武器装备的规模,甚至其作战能力。
记者了解到,一些在境外上市的公司提交材料时,会不经意间就把涉及到国家、行业和重点企业的敏感材料提交出去。“很多失泄密事件的后果首先体现在国家经 济利益的巨大损失方面,比如谈判时我方的铁矿石进口底价。很多网络安全事件和失泄密事件给国家带来了影响就业、经济发展不平衡、社会不稳定等一系列问题。根据《保守国家秘密法》,国家的重要经济信息、核心科技信息其实和军事、外交信息一样,都属于国家秘密,这是需要我们理解并严格保密的。”陈博士归纳道。
启示五:加强科研项目和专项主管部委的协调和交流,避免重复建设和浪费
陈晓桦观点:每年国家都会投入巨额资金支持信息安全技术的研发和产业化。由于专项基金的不同管理部门之间缺乏有效的沟通机制,存在重复资助的现象。在关键技术研究、产品设计与制造、产业化等环节,甚至出现支持的时间点错位的现象,所谓“先生儿子,后生爸爸”。
众所周知,这些年发改委、工信部、科技部每年在信息安全技术研发和产业化方面投入了大量的资金,对我国信息安全技术研究、产业发展发挥了巨大的作用,可 谓成绩辉煌,功不可没。陈晓桦博士认为,一方面国家应该继续鼓励和加大资金的投入,支持技术研究、开发重点产品、实现产业化目标。另一方面,国家应该大力 促进科研成果更加有效地转换成产品和技术。他告诉记者,一些花费了国家资金,花费了专家和科研人员大量时间研究出的科研成果,在验收完以后就束之高阁,过 了很长的时间这些成果还没有转化为技术和产品。由于对这些成果的利用效果缺乏考评机制,因此,也无从判断在国家投资的科研项目当中,3年、5年或10年后 最终有多少转化成满足市场需求的主流产品,有的技术在几年内没有投入到市场,就会被新技术所淘汰。
“在科研院所形成的创新技术、专利,如何转化成为产品和生产力方面,还很难形成一套高效完善的制度,因为这牵扯到很多现行管理制度。但国家不能只鼓励科研 院所只做基础前端的研究,还应该改革现行制度,出台鼓励科技成果转化的新政策和配套的制度,把科技成果转化的效果也作为考核评价指标。”陈晓桦不无担忧地 说,无论是现在,还是5年甚至10年以后,如果我国信息安全建设当中大量采用的安全技术和产品,大都不是国家专项经费支持的结果,那今后该怎么评价国家的 专项和基金的成就?
除了资金投入产出效果的考量外,就国家各个部委牵头的多个专项和基金计划而言,虽然在定位上有不同的分工,但也有重复,更由于相互之间缺乏有效的沟通和协 调机制,时常会发生重复投资的现象。陈晓桦解释道,国家的各专项申请和审批都有严格的程序,公开竞争,专家论证,领导决定。打一个比方,某单位同期既申请 863高技术项目,又向地方科委申请经费支持,又向国家发改委申请产业化支持,还同时向电子产业发展基金申请,可能还申请了中小企业创新基金、联合其他单 位申请了“核高基”等等。但是,实际上其核心技术是相同的,如果同期支持,就会产生重复。另外,还存在另一种时间错位现象,比如:去年国家支持某单位的产 业化项目,今年国家又支持其重点产品招标项目,明年国家才支持其研发关键技术的现象,即所谓“先生儿子,后生爸爸”现象。“这种现象还不仅仅存在于国家的 信息安全专项领域,其他领域情况可能还要更严重一些。”启示六:对涉及国计民生的基础设施而言,其信息系统的安全运行与设施本身同等重要
陈晓桦观点:随着我国信息化高速发展,信息系统的支撑性、全局性作用也与日俱增,信息系统与基础设施建设已交织为一体,需要充分重视。目前大多数基础设 施都是比较脆弱的,哪怕是一些细小环节出现问题,都会导致整个基础设施的瘫痪。正所谓“千里之堤,溃于蚁穴”,很多时候,我们需要未雨绸缪。
信息系统的安全保障管理工作也极为重要,现在很多影响国计民生的基础设施都离不开信息化。一旦其信息系统受到破坏或出现故障,社会基础设施也就无法正常运 行。陈晓桦举例道,如果银行清算系统出现故障,最
直接的影响就是银行无法及时进行资金结算,消费者无法刷卡支付;民航登录系统被破坏,乘客必然无法准时登 机;通信系统被地震破坏后,所有的座机、手机打不通,最急迫的信息就无法传递„„这一切现象都表明,国民经济的基础设施都越来越离不开信息化系统。“不难 得出结论,其信息系统的安全可靠与基础设施的正常运行密不可分,二者几乎同等重要。但事实上,我们对支撑这些基础设施的信息技术系统的安全重视程度还远远 不够。”他强调,互联网作为新兴媒体,网上一旦发生安全事件、热点事件就非常吸引眼球,但基础设施的信息安全也同样需要关注,甚至应该得到更高程度的重 视。
事实上,仅仅是重视还不够,我们不得不承认一个现实存在的问题,那就是我们还没有掌握许多核心技术,这种状况可能还要持续很多年,我们对关键基础设施和重 要信息系统的安全也未能做到心中有数。陈晓桦博士认为,“毕竟我国自主设计开发的系统还不够,很多基础设施可控的程度自然也不够。这就需要安全管理工作要 提前部署,防患于未然。”
对安全管理的重视还有很关键的一个环节,那就是对供应链的管理。一条完整的供应链涉及到很多环节,包括产品元器件生产和采购、产品设计与开发、产品制造、部署和安装、使用与运行、服务、升级和维修等,要做到安全可控管理,就必须对整个供应链进行全程控制。“这个观点主要是针对重要的用户、国家核心单位、关 键基础设施。虽然我国研发的信息安全系统难免也存在缺陷,但仍然需要对供应链上若干过程加以安全管理,充分了解。毕竟蚁穴虽小可溃千里长堤。”他举了一个 例子,有个数据统计机构,其信息技术设备都很先进,当发现某存储设备故障后就将其直接送到外面维修,这个举动表明该单位对供应链安全管理显然缺乏足够的认 识。由于时间和篇幅所限,记者的采访暂时告一段落。陈晓桦博士针对我国信息安全工作成绩的介绍和反思,观点鲜明,语言生动,见解独特,发人深醒。正如他所言,我国信息安全保障工作并不能一蹴而就,需要有一个长期建设和不断优化的过程,所谓“总结是为了进步”,记者希望通过这次在2011年最初的采访,让越来越 多的人了解我国的信息安全保障工作,让越来越多的人为国家信息安全保障体系建设添砖加瓦。
专家信息链接:陈晓桦简介
1979年考入国防科技大学计算机系,1993年获国防科技大学博士学位。曾在电子科技大学博士后流动站工作两年。1997年起,参加原中国信息安全产品 测评认证中心筹建工作,曾任总工程师、副主任、常务副主任、研究员。2006年10月,参加中国信息安全认证中心筹建工作,2007年2月任中国信息安全 认证中心副主任、党委委员。
入选1999年度“百千万人才工程”,获2000年度政府特殊津贴,获2008年度国家科学技术进步一等奖;任全国信息安全标准化技术委员会副秘书长、委 员;《信息安全与通信保密》、《计算机安全》编委;电子科技大学、北方交大兼职教授;上海交通大学博士生导师;国家自然科学基金、国家发改委信息安全专 项、电子信息产业发展基金重点招标项目、国家科学技术进步奖评审专家;曾任国家“十五”863计划第二届信息技术领域信息安全技术主题专家组副组长,国家 互联网应急中心242专项第一届专家组组长。目前主要从事与信息安全检测、评估与认证相关理论、技术、方法、标准、工具的研究和开发工作。
热点评议
记者:前段时候闹得沸沸扬扬的腾讯与奇虎360事件终于在公开道歉中落下帷幕,您认为这对信息安全市场中的企业有何警示作用?
陈晓桦:从世界范围来看,企业之间适度竞争是非常正常的。但3Q事件是国内企业之间不公平竞争、恶性竞争现象的一次爆发,牵扯了上亿用户的权益。我希望这 件事情除了国家行业管理部门以外,地方政府部门不要再被企业牵扯进去。企业经过相关部门的协调,应该根据国家法律法规,按照公平竞争的原则,把为用户服好 务作为目标,自我约束不正当的市场竞争行为。我建议企业之间的竞争不要通过不兼容和封杀对方这类手段来损害用户的权益。如果仅仅是做到暂时互相不封杀,但 仍然在继续较劲,并期望获得地方政府和相关机构的支持在地方政策或行政许可等方面去打压对方,这只能说明两家企业将越走越远,并没有真正汲取教训。从长远 看,这对行业和企业发展并没有好处。希望其他信息安全企业引以为鉴。
记者:2010年信息安全产业很多技术概念被持续热炒,像云计算等等,众人纷纷持观望热捧等态度,您认为该如何对待不断推陈出新的技术理念?
陈晓桦:云计算、三网融合、物联网都是这两年被不断热炒的技术和经营理念。我认为当新技术、新理念出
现的时候,应当保持3种态度。第一个态度是不要惊慌,不要轻易高喊“狼来了”。几年前,可信计算推广时,一些专家认定一旦可信计算的模式在全世界推广后,我国的信息安全产业将受到打压和排挤,产业将重新洗 牌。实际上这么多年过来了,我们也应对过来了,那些现象也没有发生,产业的技术标准体系和产业升级不是轻易就能发生跨越式改变的。第二个态度是要敢于质问 这是不是“皇帝的新装”。面对新技术新应用的出现,要保持冷静,要思考这是不是产品和技术的升级换代,是否真正是创新的技术、革命性的技术,不要人云亦 云。第三个态度是去研究是不是“新瓶装旧酒”。要敢于质疑,不能盲目跟风炒作。对云计算的态度应该要谨慎,保持冷静,先多下功夫认真研究云计算的经营模式 和关键技术。现在似乎与云计算有关的项目就是好的投资项目,上市企业声称与云计算相关就股票飞涨。在工程建设方面,不要为了政绩或形象工程就一哄而上,不 妨先期安排几个行业或地方试点或者示范,等积累了一些成功经验,再规模化实施。我认为也许三五年以后云计算会显现出优越性,现阶段还只是一个梦想,只有极 个别的案例。关于云计算安全问题,应该提前研究,但如果现阶段就安排试点、示范就过早了。“皮之不存,毛将焉附?”
记者:在2010年底颇受关注的十二五规划即将正式落地,您对此持何态度?
陈晓桦:2010年11月,中央发布了制定第十二个五年规划的建议。国家的信息安全战略规划,应该承上启下,既能够与“十一五”规划的工作衔接,又能指导 今后5年的工作,还需要提前考虑更长远的发展。自2003年中办27号文件颁布以来,我国的信息安全保障工作取得了显著成就,但我们也应该看到,还有很多 老问题没有得到有效解决。国家信息安全保障体系是多层面、多方位的,它的建设工作应该有轻重缓急之分,应当有总体规划,应当有全局意识。在新时期、新形势 下,新技术、新应用层出不穷,新问题、新挑战不断涌现,各方面的信息安全保障工作,亟待做出战略部署,需要加强协调,形成整体,形成合力。2011年是我 国第十二个五年规划的开局之年,希望国家早日出台国家信息战略规划,颁布新的指导性文件,从“十二五”开始,使我国的网络与信息安全协调机制切实发挥更大 的作用。
转自:《信息安全与通信保密》网站
第二篇:在渐进中提升
在渐进中提升
----滨湖中心学校小学部2013年教育教学工作总结
常规管理有条不紊
学期初政教处、教导处结合教学常规管理现状,组织专班征求教师意见集体修订新的《教育教学常规量化细则》,将常规工作分成师德建设、安全管理、班级管理、教学常规(课内比教学、课外访万家)、远程教育、教学研究、培训达标、第二课堂、教学质量、工作协作、教育成果、资料建设十二个模块进行常规管理。工作中对照细则进行常规过程管理与量化,秉承 “让制度说了算,让大家说了算”管理理念。学校领导深入一线走进课堂、走近学生,走近教师,下课堂、访学生、看资料、析备课、察作业。开学第一周对上学期教学质量不理想的教师和新教师进行课堂教学视导,下到班级推门听课,定期或不定期开展学生课业检查。每月底以学科教研组为单位对教师个人各项工作进行月检,实行常规工作全程管理,并将量化结果纳入教师个人绩效管理。为了抓好学前教育工作,教导处召开了两次专题会议,忌学前教育小学化,明析学前教学内容与育人目标。期中检测召开质量分析专题会,把脉课堂教学,及时优化辅导措施。一年来在各级组织的开学工作检查与期末工作检查中多次受到市局和中心学校好评。校本研训层层深入
我校研训有集中和非集中两种形式。集中是以学科组为单位的每周三、四下午的特有时间开展的专题研训,每期研训活动有计划、有内容、有选题,教师有准备。内容循序渐进,步步为营,或听专题报告,或赏名师实录,或学教育技术,或疑难研讨,或就“课堂参与”、“红星激励”课题开展研究,有声有色有得;非集中指教师个人或小组开展的课堂移植、结对帮扶、自我研学,或走出去观摩培训。我校利用5月和10月电教活动月契机全面开展教学大比拼(8人次获一等奖)。用校际交流(5月13日与府场镇小,11月28日与小港中心学校小学部)的机会将教师的优质课推介出去,以研讨课(10月16日全处作文研讨课)为平台打造精品课(代霞老师获一等奖),以送教下乡(4月9日送教到洪狮)的形式分享研究成果,以考促学方式提高教师现代教育技术应用水平。课题“我的课堂 我参与”成功结题,“‘红星激励’在班级管理中的作用”正在申报省级课题。技术装备功能彰显
我校以教育均衡发展为契机加大对教育装备的投入,科学实验室等专室以及室内器材严格按装备要求配齐配足,挤资金还新建了电子备课室,科学实验室和音乐教室配备了高标准电子白板无疑提升了装备档次。电子备课室可以帮助老师实现资源共享、远程备课。一支粉笔一张嘴的科学课己不存在,每名学生能真正的进行科学探究。音乐课除了唱还可以吹、拉、弹、跳、赏。装备的投入,丰富了学生的课堂,丰富了学生的兴趣,农村娃也能享受到城里的待遇。11月4日顺利通湖北省教育均衡验收。阳光体育快乐无比
“我运动,我阳光,我快乐”本学年在落实两课两操的前提下,严格按上级要求开展阳光体育运动。走操、集体舞表演、广播操展示是每天早运动的三个常项,以增强学生团队意识和集体荣誉感;键球、短绳、长绳是我校传统健身项目,以测代练,分段达标促提高;武术、篮球、乒乓球、羽毛球、足球、舞蹈、棋类是我校的兴趣特长培训项目,既能强体质又能激发学生运动乐趣;4月7日我校召开了春季运动会,5月31日召开了兴趣特长节目展演会,11月15日举办了冬季趣味运动会,12月3日举行了冬季师生长跑启动仪式,5月20日我校全体教师参加了中心学校举行的乒乓球、长绳、三人篮球赛获团体冠军。
语言文字人文规范
深入开展“讲普通话,写规范字”活动,组织学生“读好书,好读书”,将诗文素养教育贯穿于常规教学,我校20多名学生和5名教师的作品参加“中国梦·我的梦”征文竞赛获地市级奖。9月推普周举行了“我喜爱的老师”普通话竞赛,9月30日政教处举行了“庆国庆·话梦想”诗朗诵暨演讲比赛。平时还充分利用墙报、板报、橱窗、电子屏、广播、集会等形式宣传校园新人新事新气象,让正能量校园无限传播。名言警句、名人画像、宣传标语、楼梯提示、校训班规引导学生健康成长。家校协作成绩斐然
家校携手育英才。我校十分重视家校协作关系,开学初领导包村场带队带领教师到学生家中走访,每家必到,每生必访。把党的政策送到家中,把教育温暖送到家中,倾听家长汇报,聆听家长心声,解答家教疑难。聘请家长参加期中考务工作,期中考试后再次普访把学生在校表现送到学生家庭,邀请家长到学校参加家长会,交流家庭教育心得,免费向家长发放《家长读本》,拉近家校距离,达成育人共识,赢得家长理解、支持与配合,提高家长育人水平。11月20日我们进行了为期半天的家校开放日,邀请家庭教育专家来校指导家庭教育,请家长到课堂听课,接受家长对学校工作的满意度测评。为更好地加强家校间的联系,聘请了26名家长成立了家长学校委员会。目前家长学校己挂牌,因工作做的实,12月24日顺利通过荆州“示范家长学校”验收。校园安全无缝管理
安全无小事。安全管理是我校的头等大事,领导、教师分时段分区间轮岗值班,加强了安全值班力度,减缓了教师疲劳的可能性,提高了安全指数。安全主题班会、安全演练、月安全排查、消除安全隐患,校外安全巡逻、签订《安全值日责任状》,学习安全公约、上交通安全课,安全知识竞赛,家长接送学生、教师考勤程式化等是我校安全工作的具体举措。教师考核安全工作 “一票否决”。一年来实行安全无缝值班,加强引导教育,不曾发生一起碰、摔、撞现象。
班级管理有章有序
“捆绑式”是我校班级管理模式,班主任负责、副班主任分担、协管员协助三人齐抓共管,分工清楚、责任明确,包班领导释疑解难。班级管理中事事有人做,人人有事做,班级管理与考核和绩效挂钩,全校掀起了班荣我荣的氛围。“红星激励法”是我校对学生实施评价的一种模式。从卫生保洁、爱护公物、勤奋学习、遵规守纪、文明礼仪五方面实行红星奖励。为让“红星激励法”评价方式更具实用性学期初对照上学期总结情况交流经验重新拟定实施方案,期中再次进行座谈汇报,期末再次提炼总结。评价中每天辅以“一日自查”和日常行为“三字经”诵读形式,提醒学生节节进步、天天进步。政教处、少先队每日一评比,每周一小结,每月一总结,学校评班级,班级评学生,层层管理,及时兑现奖励。走进小学部校园会有一种幸福、心怡之感!师德建设自觉规范
加强教师职业道德建设,组织教师学习《十不准》、《中小学教师职业道德规范》及上级相关规范办学行为文件精神,及时通报本系统违规处罚典型案例现身说法,与教师签订《承诺书》、《诚信公约》,到家长中、社会上进行教师《满意度问卷调查》将“三乱”行为拒之校外,让治庸问责融入工作、融入学习、融入生活。截止目前,我校教师无一例违规行为,因零投诉零问责,满意度测评达98%以上,获洪湖市“德育工作先进单位”、“八星级”德育学校、“师德建设先进单位”称号,并送“荆州市师德建设先进单位”参评。
工作只能说明过去,今后我校还将继续努力,总结不足,集思广益让各项工作更上一层楼!
第三篇:信息安全保障体系信息安全论文计算机论文
信息安全保障体系-信息安全论文-计算机论文 ——文章均为 WORD 文档,下载后可直接编辑使用亦可打印——
【摘要】随着社会的现代化发展,促进了信息技术的提高。在 管理中,传统的 管理模式存在着较多的问题,受各种安全隐患的影响,给 信息资料的保存带来了一定的安全威胁。
具有凭证的价值,是信息传递的重要途径,影响着我国的可持续发展。在疾控中心,的管理具有一定的特殊性,具有专业性、机密性、政策性等特点。本文叙述了疾控中心 信息安全保障体系建设的重要性,还阐述了构建 信息安全保障体系的措施。
【关键词】疾控中心; 信息;安全保障体系
1.疾控中心 信息安全保障体系建设的重要性
在我国,疾控预防控制中心的发展历史悠久,而疾控中心的前身是防疫站,在防疫站时期,我国的信息化建设还未得到良好的发展,那个时期主要以纸质 为主,从而增加了 管理的难度。随着国家信息化建设的推进,近年来,我国疾控中心的工作量不断的加大,管理难度越来越大,国家对公共卫生事业十分的重视,对疾控中心的 安全管理工作提出了明确的要求。在这种艰难的环境下,疾控中心若想实现信息化的稳步发展,需要结合时代的特点,加强 管理的信息化建设,并着力构建 信息安全保障体系,以确保疾控中心的可持续发展。上文提到,疾控中心的 管理具有机密性的特点,信息一旦被泄露,不仅是疾控中心的损失,还会对国家造成危害,其影响极其恶劣,因此,在疾控中心建设中,加强 信息安全保障体系的构建是十分重要的。
2.影响疾控中心 信息安全的因素
在疾控中心内,信息的内容十分复杂,其中包含了:疫情信息、科研、传染病 资料、突发性流行病资料、公共卫生信息、艾滋病信息等方面,所涉及的信息内容具有特殊性和机密性。在国家的现代化建设中,保障 信息的安全是疾控中心的重要工作内容。在疾控中心 信息安全管理中,信息的安全仍然会受到多个方面因素的影响,例如:网络安全,随着我国的信息化,促进了 管理的信息化发展,电子 成为了 信息的重要组成部分,受网络安全问题的影响,电子 可能会受到病毒、黑客等不良因素攻击,造成 丢失或外泄,引发 管理安全问题;系统软件安全,在管理电子 的过程中,若发生硬件故障等问题,则可能造成信息的丢失;人员安全问题,工作人员责任意识和安全意识不高,在管理中存在监守自盗的行为,引发信息安全问题。
3.构建 信息安全保障体系的措施
为了确保疾控中心 信息的安全,加强安全保障体系的建设是重要的安全保障措施,建设安全保障体系的措施主要有以下几点:
3.1 完善安全管理制度保障体系
完善的制度管理是规范工作人员行为的重要措施,工作人员是 信息管理中重要的组成部分,承担着重要的安全责任。在安全保障体系的建设中,完善安全管理制度,可以提高工作人员的责任意识和安全意识,有利于工作人员将 信息的安全管理工作落到实处,从而降低安全问题的发生率,提升我国疾控中心 信息管理的安全性。结合我国对 信息管理的相关要求和规范,例如:《 信息系统安全等级保护定级工作指南》,根据疾控中心的实际情况,制定出合理的、科学的安全管理制度。在建设之前,工作人员需要对 信息进行合理的统筹规划,加强 信息的数字化建设,结合各个工作环节的要求和功能,制定完善的安全管理制度。
3.2 重视工作人员的安全教育
在疾控中心内,管理人员承担着重要的责任,是 信息安全管理的中心,是实际的运行者和操作者,亦是安全保障体系建设的核心。疾控中心应该加强管理人员安全意识培训,可以在中心内,定期开展有关安全知识讲解的培训会,鼓励并组织管理人员积极的参与培训,并加强对管理人员的考核,以提高管理人员对安全知识学习的重视程度。另外,给予管理人员更多有关专业技能和素养的培训机会,提高管理人员的整体素质,提升管理人员的业务能力,有利于提高管理人员 信息安全管理的水平。
3.3 完善安全技术保障体系
提高安全技术是维护疾控中心 信息安全管理的重要途径,随着我国 信息管理的信息化发展,信息系统的安全管理需要安全技术的大力支持,以降低发生安全问题的概率。结合疾控中心的实际发展情况,加强系统安全技术、技术创新、数据安全技术、物理安全技术等方面的研究,以强化 信息的数据备份和恢复、数据库防火墙、数据加密、信息的安全储存、云数据的安全处理等方面,从而降低文件信息被篡改或泄露、病毒攻击、硬件故障等方面的发生率,保障 信息管理的安全。
结语
综上所述,在新时代的背景下,我国 信息管理正面临着巨大的挑战,在信息化建设中,信息管理不仅需要加强 信息化建设,还需要重视 信息的安全管理,重视安全保障体系的构建。通过完善安全管理制度保障体系、重视工作人员的安全教育、完善安全技术保障体系等方面,提高疾控中心 信息安全管理的水平,降低安全问题的发生率,有利于促进疾控中心 管理的可持续发展。
参考文献:
[1]骆念.疾控中心 信息化建设与管理初探[J].职业卫生与病伤.2016.31(2):127-128
——文章均为 WORD 文档,下载后可直接编辑使用亦可打印——
第四篇:网络信息安全保障体系建设
附件3 网络信息安全保障体系建设方案
目录
网络信息安全保障体系建设方案........................................................................1
1、建立完善安全管理体系.................................................................................1 1.1成立安全保障机构.........................................................................................1
2、可靠性保证.....................................................................................................2 2.1操作系统的安全.............................................................................................3 2.2系统架构的安全.............................................................................................3 2.3设备安全.........................................................................................................4 2.4网络安全.........................................................................................................4 2.5物理安全.........................................................................................................5 2.6网络设备安全加固.........................................................................................5 2.7网络安全边界保护.........................................................................................6 2.8拒绝服务攻击防范.........................................................................................6 2.9信源安全/组播路由安全...............................................................................7
网络信息安全保障体系建设方案
1、建立完善安全管理体系
1.1成立安全保障机构
山东联通以及莱芜联通均成立以总经理为首的安全管理委员会,以及分管副总经理为组长的网络运行维护部、电视宽带支撑中心、网络维护中心等相关部门为成员的互联网网络信息安全应急小组,负责全省网络信息安全的总体管理工作。
山东联通以及莱芜联通两个层面都建立了完善的内部安全保障工作制度和互联网网络信息安全应急预案,通过管理考核机制,严格执行网络信息安全技术标准,接受管理部门的监督检查。同时针对三网融合对网络信息安全的特殊要求,已将IPTV等宽带增值业务的安全保障工作纳入到统一的制度、考核及应急预案当中。内容涵盖事前防范、事中阻断、事后追溯的信息安全技术保障体系,域名信息登记管理制度IP地址溯源和上网日志留存等。并将根据国家规范要求,对三网融合下防黑客攻击、防信息篡改、防节目插播、防网络瘫痪技术方案进行建立和完善。
2、可靠性保证
IPTV是电信级业务,对承载网可靠性有很高的要求。可靠性分为设备级别的可靠性和网络级别的可靠性。
(1)设备级可靠性
核心设备需要99.999%的高可靠性,对关键网络节点,需要采用双机冗余备份。此外还需要支持不间断电源系统(含电池、油机系统)以保证核心设备24小时无间断运行。
(2)网络级可靠性
关键节点采用冗余备份和双链路备份以提供高可靠性。网络可靠性包括以下几方面:
接入层:接入层交换机主要利用STP/RSTP协议在OSI二层实现网络收敛自愈。
汇聚层:在OSI第三层上使用双机VRRP备份保护机制,使用BFD、Ethernet OAM、MPlS OAM来对链路故障进行探测,然后通过使用快速路由协议收敛来完成链路快速切换。 核心层:在P设备(Core设备和CR设备)上建立全连接LDP over TE。TE的数量在200以下。
组播业务保护:主要基于IS-IS协议对组播业务采取快速收敛保护,对组播分发进行冗余保护和负载分担。
2.1操作系统的安全
在操作系统级别上,其安全需求主要表现在防止非法用户入侵、防病毒、防止数据丢失等。
防止非法用户入侵:系统设置防火墙,将所有需要保护的主机设置在防火墙内部,物理上防止恶意用户发起的非法攻击和侵入。为业务管理人员建立起身份识别的机制,不同级别的业务管理人员,拥有不同级别的对象和数据访问权限。 防病毒:部署防病毒软件,及时更新系统补丁。
数据安全:建立数据安全传输体系,系统具备完善的日志功能,登记所有对系统的访问记录。建立安全的数据备份策略,有效地保障系统数据的安全性。
2.2系统架构的安全
IPTV运营管理平台具备双机热备份功能,业务处理机、EPG服务器、接口机都支持主备功能。
存储系统能够支持磁盘RAID模式,利用RAID5技术防止硬盘出现故障时数据的安全。支持HA(High Availability)模式,实现系统的热备份,在主用系统故障时能够自动切换到备用系统,可提供流媒体服务器多种单元的冗余备份。
支持用户通过手工备份功能。并且备份数据可保存到外部设备中。同时,设备可通过分布式部署,保证系统的安全。EPG服务器、VDN调度单元、网管均支持分布式处理。2.3设备安全
核心系统(服务器硬件、系统软件、应用软件)能在常温下每周7×24小时连续不间断工作,稳定性高,故障率低,系统可用率大于99.9%。
具备油机不间断供电系统,以保证设备运行不受市电中断的影响。服务器平均无故障时间(MTBF)大于5,000小时,小型机平均无故障时间(MTBF)大于10,000小时,所有主机硬件三年内故障修复时间不超过30个小时。2.4网络安全
IPTV业务承载网络直接与internet等网络互联,作为IP网络也面临各种网络安全风险,包括网络设备入侵、拒绝服务攻击、路由欺骗、QOS服务破坏以及对网络管理、控制协议进行网络攻击等,故IPTV承载网络的安全建设实现方式应包括物理安全、网络设备的安全加固、网络边界安全访问控制等内容。2.5物理安全
包括IPTV承载网络通信线路、物理设备的安全及机房的安全。网络物理层的安全主要体现在通信线路的可靠性,软硬件设备安全性,设备的备份和容灾能力,不间断电源保障等。2.6网络设备安全加固
作为IP承载网,首先必须加强对网络设备的安全配置,即对网络设备的安全加固,主要包括口令管理、服务管理、交互式访问控制等措施。
口令的安全管理,所有网络设备的口令需要满足一定的复杂性要求;对设备口令在本地的存储,应采用系统支持的强加密方式;在口令的配置策略上,所有网络设备口令不得相同,口令必须定时更新等;在口令的安全管理上,为了适应网络设备的规模化要求,必须实施相应的用户授权及集中认证单点登录等机制,不得存在测试账户、口令现象。
服务管理,在网络设备的网络服务配置方面,必须遵循最小化服务原则,关闭网络设备不需要的所有服务,避免网络服务或网络协议自身存在的安全漏洞增加网络的安全风险。对于必须开启的网络服务,必须通过访问控制列表等手段限制远程主机地址。在边缘路由器应当关闭某些会引起网络安全风险的协议或服务,如ARP代理、CISCO的CDP协议等。控制交互式访问,网络设备的交互式访问包括本地的控制台访问及远程的VTY终端访问等。网络设备的交互式访问安全措施包括:加强本地控制台的物理安全性,限制远程VTY终端的IP地址;控制banner信息,不得泄露任何相关信息;远程登录必须通过加密方式,禁止反向telnet等。2.7网络安全边界保护
网络安全边界保护的主要手段是通过防火墙或路由器对不同网络系统之间实施相应的安全访问控制策略,在保证业务正常访问的前提下从网络层面保证网络系统的安全性。
IPTV承载网络边界保护措施主要包括以下两点:
通过路由过滤或ACL的方式隐藏IPTV承载网路由设备及网管等系统的IP地址,减少来自Internet或其它不可信网络的安全风险。
在IPTV承载网络边缘路由器与其它不可信网络出口过滤所有的不需要的网络管理、控制协议,包括HSRP、SNMP等。2.8拒绝服务攻击防范
拒绝服务攻击对IPTV承载网络的主要影响有:占用IPTV承载网网络带宽,造成网络性能的下降;消耗网络设备或服务器系统资源,导致网络设备或系统无法正常提供服务等。
建议IPTV承载网络采取以下措施实现拒绝服务攻击的防范:实现网络的源IP地址过滤,在IPTV承载网接入路由器对其进行源IP地址的检查。关闭网络设备及业务系统可能被利用进行拒绝服务攻击的网络服务端口及其它网络功能,如echo、chargen服务,网络设备的子网直接广播功能等。通过建立网络安全管理系统平台实现对拒绝服务攻击的分析、预警功能,从全局的角度实现对拒绝服务攻击的监测,做到早发现、早隔离。
下图给出了IPTV承载网安全建设实现方式图。
2.9信源安全/组播路由安全
尽管组播技术具备开展新业务的许多优势,并且协议日趋完善,但开展组播业务还面临着组播用户认证、组播源安全和组播流量扩散安全性的问题。
组播源管理:在组播流进入骨干网络前,组播业务控制设备应负责区分合法和非法媒体服务器,可以在RP上对组播源的合法性进行检查,如果发现来自未经授权的组播源的注册报文,可以拒绝接收发送过来的单播注册报文,因此下游用户就可以避免接收到非法的组播节目。为防止非法用户将组播源接入到组播网络中,可以在边缘设备上配置组播源组过滤策略,只有属于合法范围的组播源的数据才进行处理。这样既可以对组播报文的组地址进行过滤,也可以对组播报文的源组地址进行过滤。
组播流量扩散安全性:在标准的组播中,接收者可以加入任意的组播组,也就是说,组播树的分枝是不可控的,信源不了解组播树的范围与方向,安全性较低。为了实现对一些重要信息的保护,需要控制其扩散范围,静态组播树方案就是为了满足此需求而提出的。静态组播树将组播树事先配置,控制组播树的范围与方向,不接收其他动态的组播成员的加入,这样能使组播信源的报文在规定的范围内扩散。在网络中,组播节目可能只需要一定直径范围内的用户接收,可以在路由器上对转发的组播报文的TTL数进行检查,只对大于所配置的TTL阈值的组播报文进行转发,因此可以限制组播报文扩散到未经授权的范围。
组播用户的管理:原有标准的组播协议没有考虑用户管理的问题,但从目前组播应用的情况来看,在很多的组播业务运营中,组播用户的管理仍未得到很好的解决。在IPTV业务中,直播业务作为十分重要的业务,对用户进行控制管理是必不可少的。对组播用户的管理就是对经过授权的组播用户控制其对组播业务的接入,控制用户哪些组播频道可以观看,哪些频道不可以观看。通过在DSLAM/LAN交换机用户侧对组播组进行控制,防止恶意用户的非法组播流攻击网络。
第五篇:某公司信息安全保障体系信息安全组织体系
信息安全保障体系
组织体系
组织体系 1 范围 本标准规定了公司内部安全保障体系组织架构的要求,包括人员组成,责任和要求。
本标准适用于公司,各厂应依据本标准制订适用的标准。规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注版本(日期)的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注版本(日期)的引用文件,其最新版本适用于本标准。术语和定义 无。职责 4.1 信息中心负责公司整体信息安全保障体系组织建设。
4.2 各厂负责在授权范围内开展安全组织建设,负责本单位信息安全日常管理、监督。信息安全管理组织架构 在组织架构方面,应依托企业现有的组织体系,赋予各层面的组织和个人以安全职责,使原有的组织架构具有信息安全的管理职能,同时应对企业安全管理的三层组织结构:决策层、管理层和执行层的机构建立、安全目标、岗位设置、安全职责进行确定,组织架构的建立和充分发挥职能是整个系统安全的前提和基础。
决策层管理层业务安全决策安全战略规划安全绩效考核信息安全领导小组信息安全管理部门安全管理系统安全工程安全绩效管理信息安全执行部门实施与运作运行管理安全审计实施执行层
图 1 信息安全管理组织架构层次图 组织架构
企业本部
企业下属各厂
决策层
公司信息化建设主管领导 各厂信息化建设主管领导 管理层
公司信息、办公室、财务、营销、人事、技术等各部门负责人 各厂信息、财务、生产、人事等业务部门负责人 执行层
公司具体负责信息系统管理和信息安全管理工作的技术人员及相关部门的专职(或兼职)信息安全员 各厂具体负责信息系统管理和信息安全管理工作的技术人员及相关部门的专职(或兼职)信息安全员
图 2 信息安全管理组织架构细化表信息安全组织架构各层职责说明 6.1 决策机构 信息安全决策机构处于安全组织机构的第一个层次,是企业公司信息安全工作的最高管理机构,按照国家和国家局的方针、政策和要求,对企业公司信息安全进行统一领导和管理。
其主要职责包括:
1)领导和督促全企业公司范围的信息安全工作; 2)制定企业公司信息安全战略、方针和政策,确定企业公司信息安全发展方向和目标; 3)为信息安全提供所需的资源; 4)批准整个组织内信息安全特定角色和职责的分配; 5)建立企业公司的总体安全规划方案; 6)制定企业公司统一的安全策略体系; 7)审批企业公司重大的信息安全活动; 8)重大技术事项或突发紧急问题的协调处理和事后调查仲裁等; 9)审批信息安全项目及安全产品的采购申请; 10)审阅下级的重要工作汇报和意见,并及时反馈批复意见; 11)监督管理层信息安全工作的管理和执行情况,协调管理队伍之间的关系; 12)负责组织企业公司范围的信息安全事件的调查,并听取相关汇报; 13)定期组织会议,了解企业公司信息系统的整体安全现状,讨论提高安全水平的整改措施。
14)启动计划和程序来保持信息安全意识; 15)信息安全领导小组应定期组织信息安全巡检和评审工作。
6.2 管理机构 信息安全管理机构处于安全组织机构的第二个层次,在决策机构的领导下,负责组织制订信息安全保障体系建设规划,以及信息安全的管理、监督、检查、考核等工作。日常的信息安全管理工作主要由信息化工作部门负责。
其主要职责包括:
1)根据决策层总体安全规划制定系统安全建设的详细安全计划并组织实施; 2)根据决策层统一的安全策略制定并落实信息安全管理制度; 3)监督和指导执行层信息安全工作的贯彻和实施; 4)组织技术人员和普通员工的安全技术交流与培训; 5)参与信息系统相关的新工程建设和新业务开展的方案论证,并提出安全方面的相应
建议; 6)在信息系统相关的工程验收时,对信息安全方面的验收测试方案进行审查并参与验收; 7)组织相关安全员定期进行信息安全巡检; 8)负责组织范围内的信息安全事件调查,并听取相关汇报; 9)审阅执行层的重要工作汇报和意见,并及时反馈批复意见; 10)定期组织会议,了解管辖系统的整体安全现状,讨论提高安全水平的整改措施; 6.3 执行机构 信息安全执行机构处于信息安全组织机构的第三个层次,在管理层的领导下,负责保证信息安全技术体系的有效运行及日常维护,通过具体技术手段落实安全策略,消除安全风险,以及发生安全事件后的具体响应和处理。
主要职责包括:
1)学习和执行企业公司制定的各项信息安全管理策略、制度、规范和指南; 2)企业公司信息安全规划、管理制度的落实和执行工作; 3)直接负责管理范围内各业务系统的安全管理和维护工作; 4)参与检查与国家信息安全相关的法律、法规、规章、标准等的符合性,参与企业公司安全方案的规划、设计; 5)具体安全项目的实施与支持; 6)根据管理层安全规划制定系统安全建设的详细安全计划并组织实施; 7)监督和指导管理范围内信息安全工作的贯彻和实施; 8)组织内部的安全技术交流与培训; 9)参与管理范围内工程建设和业务开展的方案论证,并提出相应的安全方面的建议; 10)提出的网络安全整改意见,提交管理层审批; 11)向管理层定期汇报系统当前安全现状以及安全事件的处理情况;安全职责的分配 为明确安全责任,划分(界定)安全管理与具体执行之间的工作职责,公司必须建立安全责任制度。
安全责任分配的基本原则是“谁主管,谁负责”。公司拥有的每项网络与信息资产,必须根据资产归属确定“责任人”。“责任人”对资产安全保护负有完全责任。“责任人”可以是个人或部门,但“责任人”是部门时,应由该部门领导实际负责。
“责任人”可以将具体的执行工作委派给“维护人”,但“责任人”仍然必须承担资产安全的最终责任。因此“责任人”应明确规定“维护人”的工作职责,并定期检查“维护人”是否正确履行了安全职责。“维护人”可以是个人或部门,也可以是外包服务提供商。当“维护人”是部门时,应由该部门领导实际负责。
安全工作人员的职责是指导、监督、管理、考核“责任人”的安全工作,不能替代“责任人”对具体网络与信息资产进行安全保护。
在资产的安全保护工作中,应重点关注以下内容:
a)应清楚地说明每个独立的网络与信息系统所包含的各种资产和相应的安全保护流程。
b)“责任人”与“维护人”都应明确接受其负责的安全职责和安全保护流程,并对该职责的详细内容记录在案。
c)所有授权的内容和权限应当被明确规定,并记录在案。职责分散与隔离 职责分隔(Segregation of Duties)是一种减少偶然或故意行为造成安全风险的方法。公司应分散某些任务的管理、执行及职责范围,以减少误用或滥用职责带来风险的概率。例如关键数据修改的审批与制作必须分开。
在无法实现职责充分分散的情况下,应采取其他补偿控制措施并记录在案。例如:活动监控、检查审计跟踪记录以及管理监督等。
为避免串通勾结等欺诈活动,公司应尽量隔离相应职责,并增加执行和监督人员,以降低串通的可能性。安全信息的获取和发布 信息技术的发展日新月异,安全工作愈发复杂和困难。公司必须建立有效可靠的渠道,获取安全信息,不断推进安全工作。例如:
a)从内部挑选经验丰富的安全管理和技术人员,组成内部专家组,制定安全解决方案,参与安全事件处理,解决实际安全问题,提供预防性建议等。为使内部专家组的工作更具成效,应允许他们直接接触公司的管理层。
b)与设备提供商、安全服务商等外部安全专家保持紧密联系,听取他们的安全建议。
c)从一些公开的信息渠道获取安全信息,例如专业出版物、定期公告等。
企业权威的安全信息发布机构为公司信息中心。公司负责收集和整理并向各厂信息部门发布安全信息;各厂负责厂内发布和信息上报。加强与外部组织之间的协作 公司应加强与国家安全机关、行业监管部门、其他运营商和信息服务提供商等外部组织的联系,并建立协作流程,以便在出现安全事件时,尽快获取信息、采取措施。
公司在加入安全组织或与其他组织进行交流时,应对信息交换予以严格限制,以确保公司信息的保密性。安全审计的独立性 安全审计是从管理和技术两个方面检查公司的安全策略和控制措施的执行情况,发现安全隐患的过程。
安全审计的独立性是指审计方与被审计方应保持相对独立,即不能自己审计自己的工作,以确保审计结果的公正可靠。
安全审计可由公司内部审计组织,或外聘的专业审计机构完成。审计人员应接受审计培训,掌握一定的技能和经验。当采用外聘审计机构时,应充分考虑其风险,并采取相应的控制措施。