第一篇:某公司信息安全保障体系信息安全组织体系[大全]
信息安全保障体系
组织体系
组织体系 1 范围 本标准规定了公司内部安全保障体系组织架构的要求,包括人员组成,责任和要求。
本标准适用于公司,各厂应依据本标准制订适用的标准。规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注版本(日期)的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注版本(日期)的引用文件,其最新版本适用于本标准。术语和定义 无。职责 4.1 信息中心负责公司整体信息安全保障体系组织建设。
4.2 各厂负责在授权范围内开展安全组织建设,负责本单位信息安全日常管理、监督。信息安全管理组织架构 在组织架构方面,应依托企业现有的组织体系,赋予各层面的组织和个人以安全职责,使原有的组织架构具有信息安全的管理职能,同时应对企业安全管理的三层组织结构:决策层、管理层和执行层的机构建立、安全目标、岗位设置、安全职责进行确定,组织架构的建立和充分发挥职能是整个系统安全的前提和基础。
决策层管理层业务安全决策安全战略规划安全绩效考核信息安全领导小组信息安全管理部门安全管理系统安全工程安全绩效管理信息安全执行部门实施与运作运行管理安全审计实施执行层
图 1 信息安全管理组织架构层次图 组织架构
企业本部
企业下属各厂
决策层
公司信息化建设主管领导 各厂信息化建设主管领导 管理层
公司信息、办公室、财务、营销、人事、技术等各部门负责人 各厂信息、财务、生产、人事等业务部门负责人 执行层
公司具体负责信息系统管理和信息安全管理工作的技术人员及相关部门的专职(或兼职)信息安全员 各厂具体负责信息系统管理和信息安全管理工作的技术人员及相关部门的专职(或兼职)信息安全员
图 2 信息安全管理组织架构细化表信息安全组织架构各层职责说明 6.1 决策机构 信息安全决策机构处于安全组织机构的第一个层次,是企业公司信息安全工作的最高管理机构,按照国家和国家局的方针、政策和要求,对企业公司信息安全进行统一领导和管理。
其主要职责包括:
1)领导和督促全企业公司范围的信息安全工作; 2)制定企业公司信息安全战略、方针和政策,确定企业公司信息安全发展方向和目标; 3)为信息安全提供所需的资源; 4)批准整个组织内信息安全特定角色和职责的分配; 5)建立企业公司的总体安全规划方案; 6)制定企业公司统一的安全策略体系; 7)审批企业公司重大的信息安全活动; 8)重大技术事项或突发紧急问题的协调处理和事后调查仲裁等; 9)审批信息安全项目及安全产品的采购申请; 10)审阅下级的重要工作汇报和意见,并及时反馈批复意见; 11)监督管理层信息安全工作的管理和执行情况,协调管理队伍之间的关系; 12)负责组织企业公司范围的信息安全事件的调查,并听取相关汇报; 13)定期组织会议,了解企业公司信息系统的整体安全现状,讨论提高安全水平的整改措施。
14)启动计划和程序来保持信息安全意识; 15)信息安全领导小组应定期组织信息安全巡检和评审工作。
6.2 管理机构 信息安全管理机构处于安全组织机构的第二个层次,在决策机构的领导下,负责组织制订信息安全保障体系建设规划,以及信息安全的管理、监督、检查、考核等工作。日常的信息安全管理工作主要由信息化工作部门负责。
其主要职责包括:
1)根据决策层总体安全规划制定系统安全建设的详细安全计划并组织实施; 2)根据决策层统一的安全策略制定并落实信息安全管理制度; 3)监督和指导执行层信息安全工作的贯彻和实施; 4)组织技术人员和普通员工的安全技术交流与培训; 5)参与信息系统相关的新工程建设和新业务开展的方案论证,并提出安全方面的相应
建议; 6)在信息系统相关的工程验收时,对信息安全方面的验收测试方案进行审查并参与验收; 7)组织相关安全员定期进行信息安全巡检; 8)负责组织范围内的信息安全事件调查,并听取相关汇报; 9)审阅执行层的重要工作汇报和意见,并及时反馈批复意见; 10)定期组织会议,了解管辖系统的整体安全现状,讨论提高安全水平的整改措施; 6.3 执行机构 信息安全执行机构处于信息安全组织机构的第三个层次,在管理层的领导下,负责保证信息安全技术体系的有效运行及日常维护,通过具体技术手段落实安全策略,消除安全风险,以及发生安全事件后的具体响应和处理。
主要职责包括:
1)学习和执行企业公司制定的各项信息安全管理策略、制度、规范和指南; 2)企业公司信息安全规划、管理制度的落实和执行工作; 3)直接负责管理范围内各业务系统的安全管理和维护工作; 4)参与检查与国家信息安全相关的法律、法规、规章、标准等的符合性,参与企业公司安全方案的规划、设计; 5)具体安全项目的实施与支持; 6)根据管理层安全规划制定系统安全建设的详细安全计划并组织实施; 7)监督和指导管理范围内信息安全工作的贯彻和实施; 8)组织内部的安全技术交流与培训; 9)参与管理范围内工程建设和业务开展的方案论证,并提出相应的安全方面的建议; 10)提出的网络安全整改意见,提交管理层审批; 11)向管理层定期汇报系统当前安全现状以及安全事件的处理情况;安全职责的分配 为明确安全责任,划分(界定)安全管理与具体执行之间的工作职责,公司必须建立安全责任制度。
安全责任分配的基本原则是“谁主管,谁负责”。公司拥有的每项网络与信息资产,必须根据资产归属确定“责任人”。“责任人”对资产安全保护负有完全责任。“责任人”可以是个人或部门,但“责任人”是部门时,应由该部门领导实际负责。
“责任人”可以将具体的执行工作委派给“维护人”,但“责任人”仍然必须承担资产安全的最终责任。因此“责任人”应明确规定“维护人”的工作职责,并定期检查“维护人”是否正确履行了安全职责。“维护人”可以是个人或部门,也可以是外包服务提供商。当“维护人”是部门时,应由该部门领导实际负责。
安全工作人员的职责是指导、监督、管理、考核“责任人”的安全工作,不能替代“责任人”对具体网络与信息资产进行安全保护。
在资产的安全保护工作中,应重点关注以下内容:
a)应清楚地说明每个独立的网络与信息系统所包含的各种资产和相应的安全保护流程。
b)“责任人”与“维护人”都应明确接受其负责的安全职责和安全保护流程,并对该职责的详细内容记录在案。
c)所有授权的内容和权限应当被明确规定,并记录在案。职责分散与隔离 职责分隔(Segregation of Duties)是一种减少偶然或故意行为造成安全风险的方法。公司应分散某些任务的管理、执行及职责范围,以减少误用或滥用职责带来风险的概率。例如关键数据修改的审批与制作必须分开。
在无法实现职责充分分散的情况下,应采取其他补偿控制措施并记录在案。例如:活动监控、检查审计跟踪记录以及管理监督等。
为避免串通勾结等欺诈活动,公司应尽量隔离相应职责,并增加执行和监督人员,以降低串通的可能性。安全信息的获取和发布 信息技术的发展日新月异,安全工作愈发复杂和困难。公司必须建立有效可靠的渠道,获取安全信息,不断推进安全工作。例如:
a)从内部挑选经验丰富的安全管理和技术人员,组成内部专家组,制定安全解决方案,参与安全事件处理,解决实际安全问题,提供预防性建议等。为使内部专家组的工作更具成效,应允许他们直接接触公司的管理层。
b)与设备提供商、安全服务商等外部安全专家保持紧密联系,听取他们的安全建议。
c)从一些公开的信息渠道获取安全信息,例如专业出版物、定期公告等。
企业权威的安全信息发布机构为公司信息中心。公司负责收集和整理并向各厂信息部门发布安全信息;各厂负责厂内发布和信息上报。加强与外部组织之间的协作 公司应加强与国家安全机关、行业监管部门、其他运营商和信息服务提供商等外部组织的联系,并建立协作流程,以便在出现安全事件时,尽快获取信息、采取措施。
公司在加入安全组织或与其他组织进行交流时,应对信息交换予以严格限制,以确保公司信息的保密性。安全审计的独立性 安全审计是从管理和技术两个方面检查公司的安全策略和控制措施的执行情况,发现安全隐患的过程。
安全审计的独立性是指审计方与被审计方应保持相对独立,即不能自己审计自己的工作,以确保审计结果的公正可靠。
安全审计可由公司内部审计组织,或外聘的专业审计机构完成。审计人员应接受审计培训,掌握一定的技能和经验。当采用外聘审计机构时,应充分考虑其风险,并采取相应的控制措施。
第二篇:网络信息安全保障体系建设
附件3 网络信息安全保障体系建设方案
目录
网络信息安全保障体系建设方案........................................................................1
1、建立完善安全管理体系.................................................................................1 1.1成立安全保障机构.........................................................................................1
2、可靠性保证.....................................................................................................2 2.1操作系统的安全.............................................................................................3 2.2系统架构的安全.............................................................................................3 2.3设备安全.........................................................................................................4 2.4网络安全.........................................................................................................4 2.5物理安全.........................................................................................................5 2.6网络设备安全加固.........................................................................................5 2.7网络安全边界保护.........................................................................................6 2.8拒绝服务攻击防范.........................................................................................6 2.9信源安全/组播路由安全...............................................................................7
网络信息安全保障体系建设方案
1、建立完善安全管理体系
1.1成立安全保障机构
山东联通以及莱芜联通均成立以总经理为首的安全管理委员会,以及分管副总经理为组长的网络运行维护部、电视宽带支撑中心、网络维护中心等相关部门为成员的互联网网络信息安全应急小组,负责全省网络信息安全的总体管理工作。
山东联通以及莱芜联通两个层面都建立了完善的内部安全保障工作制度和互联网网络信息安全应急预案,通过管理考核机制,严格执行网络信息安全技术标准,接受管理部门的监督检查。同时针对三网融合对网络信息安全的特殊要求,已将IPTV等宽带增值业务的安全保障工作纳入到统一的制度、考核及应急预案当中。内容涵盖事前防范、事中阻断、事后追溯的信息安全技术保障体系,域名信息登记管理制度IP地址溯源和上网日志留存等。并将根据国家规范要求,对三网融合下防黑客攻击、防信息篡改、防节目插播、防网络瘫痪技术方案进行建立和完善。
2、可靠性保证
IPTV是电信级业务,对承载网可靠性有很高的要求。可靠性分为设备级别的可靠性和网络级别的可靠性。
(1)设备级可靠性
核心设备需要99.999%的高可靠性,对关键网络节点,需要采用双机冗余备份。此外还需要支持不间断电源系统(含电池、油机系统)以保证核心设备24小时无间断运行。
(2)网络级可靠性
关键节点采用冗余备份和双链路备份以提供高可靠性。网络可靠性包括以下几方面:
接入层:接入层交换机主要利用STP/RSTP协议在OSI二层实现网络收敛自愈。
汇聚层:在OSI第三层上使用双机VRRP备份保护机制,使用BFD、Ethernet OAM、MPlS OAM来对链路故障进行探测,然后通过使用快速路由协议收敛来完成链路快速切换。 核心层:在P设备(Core设备和CR设备)上建立全连接LDP over TE。TE的数量在200以下。
组播业务保护:主要基于IS-IS协议对组播业务采取快速收敛保护,对组播分发进行冗余保护和负载分担。
2.1操作系统的安全
在操作系统级别上,其安全需求主要表现在防止非法用户入侵、防病毒、防止数据丢失等。
防止非法用户入侵:系统设置防火墙,将所有需要保护的主机设置在防火墙内部,物理上防止恶意用户发起的非法攻击和侵入。为业务管理人员建立起身份识别的机制,不同级别的业务管理人员,拥有不同级别的对象和数据访问权限。 防病毒:部署防病毒软件,及时更新系统补丁。
数据安全:建立数据安全传输体系,系统具备完善的日志功能,登记所有对系统的访问记录。建立安全的数据备份策略,有效地保障系统数据的安全性。
2.2系统架构的安全
IPTV运营管理平台具备双机热备份功能,业务处理机、EPG服务器、接口机都支持主备功能。
存储系统能够支持磁盘RAID模式,利用RAID5技术防止硬盘出现故障时数据的安全。支持HA(High Availability)模式,实现系统的热备份,在主用系统故障时能够自动切换到备用系统,可提供流媒体服务器多种单元的冗余备份。
支持用户通过手工备份功能。并且备份数据可保存到外部设备中。同时,设备可通过分布式部署,保证系统的安全。EPG服务器、VDN调度单元、网管均支持分布式处理。2.3设备安全
核心系统(服务器硬件、系统软件、应用软件)能在常温下每周7×24小时连续不间断工作,稳定性高,故障率低,系统可用率大于99.9%。
具备油机不间断供电系统,以保证设备运行不受市电中断的影响。服务器平均无故障时间(MTBF)大于5,000小时,小型机平均无故障时间(MTBF)大于10,000小时,所有主机硬件三年内故障修复时间不超过30个小时。2.4网络安全
IPTV业务承载网络直接与internet等网络互联,作为IP网络也面临各种网络安全风险,包括网络设备入侵、拒绝服务攻击、路由欺骗、QOS服务破坏以及对网络管理、控制协议进行网络攻击等,故IPTV承载网络的安全建设实现方式应包括物理安全、网络设备的安全加固、网络边界安全访问控制等内容。2.5物理安全
包括IPTV承载网络通信线路、物理设备的安全及机房的安全。网络物理层的安全主要体现在通信线路的可靠性,软硬件设备安全性,设备的备份和容灾能力,不间断电源保障等。2.6网络设备安全加固
作为IP承载网,首先必须加强对网络设备的安全配置,即对网络设备的安全加固,主要包括口令管理、服务管理、交互式访问控制等措施。
口令的安全管理,所有网络设备的口令需要满足一定的复杂性要求;对设备口令在本地的存储,应采用系统支持的强加密方式;在口令的配置策略上,所有网络设备口令不得相同,口令必须定时更新等;在口令的安全管理上,为了适应网络设备的规模化要求,必须实施相应的用户授权及集中认证单点登录等机制,不得存在测试账户、口令现象。
服务管理,在网络设备的网络服务配置方面,必须遵循最小化服务原则,关闭网络设备不需要的所有服务,避免网络服务或网络协议自身存在的安全漏洞增加网络的安全风险。对于必须开启的网络服务,必须通过访问控制列表等手段限制远程主机地址。在边缘路由器应当关闭某些会引起网络安全风险的协议或服务,如ARP代理、CISCO的CDP协议等。控制交互式访问,网络设备的交互式访问包括本地的控制台访问及远程的VTY终端访问等。网络设备的交互式访问安全措施包括:加强本地控制台的物理安全性,限制远程VTY终端的IP地址;控制banner信息,不得泄露任何相关信息;远程登录必须通过加密方式,禁止反向telnet等。2.7网络安全边界保护
网络安全边界保护的主要手段是通过防火墙或路由器对不同网络系统之间实施相应的安全访问控制策略,在保证业务正常访问的前提下从网络层面保证网络系统的安全性。
IPTV承载网络边界保护措施主要包括以下两点:
通过路由过滤或ACL的方式隐藏IPTV承载网路由设备及网管等系统的IP地址,减少来自Internet或其它不可信网络的安全风险。
在IPTV承载网络边缘路由器与其它不可信网络出口过滤所有的不需要的网络管理、控制协议,包括HSRP、SNMP等。2.8拒绝服务攻击防范
拒绝服务攻击对IPTV承载网络的主要影响有:占用IPTV承载网网络带宽,造成网络性能的下降;消耗网络设备或服务器系统资源,导致网络设备或系统无法正常提供服务等。
建议IPTV承载网络采取以下措施实现拒绝服务攻击的防范:实现网络的源IP地址过滤,在IPTV承载网接入路由器对其进行源IP地址的检查。关闭网络设备及业务系统可能被利用进行拒绝服务攻击的网络服务端口及其它网络功能,如echo、chargen服务,网络设备的子网直接广播功能等。通过建立网络安全管理系统平台实现对拒绝服务攻击的分析、预警功能,从全局的角度实现对拒绝服务攻击的监测,做到早发现、早隔离。
下图给出了IPTV承载网安全建设实现方式图。
2.9信源安全/组播路由安全
尽管组播技术具备开展新业务的许多优势,并且协议日趋完善,但开展组播业务还面临着组播用户认证、组播源安全和组播流量扩散安全性的问题。
组播源管理:在组播流进入骨干网络前,组播业务控制设备应负责区分合法和非法媒体服务器,可以在RP上对组播源的合法性进行检查,如果发现来自未经授权的组播源的注册报文,可以拒绝接收发送过来的单播注册报文,因此下游用户就可以避免接收到非法的组播节目。为防止非法用户将组播源接入到组播网络中,可以在边缘设备上配置组播源组过滤策略,只有属于合法范围的组播源的数据才进行处理。这样既可以对组播报文的组地址进行过滤,也可以对组播报文的源组地址进行过滤。
组播流量扩散安全性:在标准的组播中,接收者可以加入任意的组播组,也就是说,组播树的分枝是不可控的,信源不了解组播树的范围与方向,安全性较低。为了实现对一些重要信息的保护,需要控制其扩散范围,静态组播树方案就是为了满足此需求而提出的。静态组播树将组播树事先配置,控制组播树的范围与方向,不接收其他动态的组播成员的加入,这样能使组播信源的报文在规定的范围内扩散。在网络中,组播节目可能只需要一定直径范围内的用户接收,可以在路由器上对转发的组播报文的TTL数进行检查,只对大于所配置的TTL阈值的组播报文进行转发,因此可以限制组播报文扩散到未经授权的范围。
组播用户的管理:原有标准的组播协议没有考虑用户管理的问题,但从目前组播应用的情况来看,在很多的组播业务运营中,组播用户的管理仍未得到很好的解决。在IPTV业务中,直播业务作为十分重要的业务,对用户进行控制管理是必不可少的。对组播用户的管理就是对经过授权的组播用户控制其对组播业务的接入,控制用户哪些组播频道可以观看,哪些频道不可以观看。通过在DSLAM/LAN交换机用户侧对组播组进行控制,防止恶意用户的非法组播流攻击网络。
第三篇:ISO27001信息安全体系培训(条款A6-信息安全组织).
ISO27001培训系列V1.0 ISO 27001信息安全体系培训控制目标和控制措施(条款A6-信息安全组织 2009年11月
董翼枫(dongyifeng78@hotmail.com 条款A6
信息安全组织 A6.1内部组织 ✓目标: 在组织内管理信息安全。
✓应建立管理框架,以启动和控制组织范围内的信息安全的实施。✓管理者应批准信息安全方针、指派安全角色以及协调和评审整个组织安全的实施。
✓若需要,要在组织范围内建立专家信息安全建议库,并在组织内可用。要发展与外部安全专家或组织(包括相关权威人士的联系,以便跟上行业趋势、跟踪标准和评估方法,并且当处理信息安全事件时,提供合适的联络点。应鼓励采用多学科方法,解决信息安全问题。
控制措施
管理者应通过清晰的说明、可证实的承诺、明确的信息安全职责分配及确认,来积极支持组织内的安全。
实施指南 ✓管理者应: a确保信息安全目标得以识别,满足组织要求,并已被整合到相关过程中;b制定、评审、批准信息安全方针;c评审信息安全方针实施的有效性;d为安全启动提供明确的方向和管理者明显的支持;e为信息安全提供所需的资源;f批准整个组织内信息安全专门的角色和职责分配;g启动计划和程序来保持信息安全意识;h确保整个组织内的信息安全控制措施的实施是相互协调的(见A6.1.2。✓管理者应识别对内外部专家的信息安全建议的需求,并在整个组织内评审和协调专家建议结果。
✓根据组织的规模不同,这些职责可以由一个专门的管理协调小组或由一个已存在的机构(例如董事会承担。
A6.1.2信息安全协调
信息安全活动应由来自组织不同部门并具备相关角色和工作职责 的代表进行协调。
A6.1.2信息安全协调
✓典型的,信息安全协调应包括管理人员、用户、行政人员、应用设计人员、审核员和安全专员,以及保险、法律、人力资源、IT 或风险管理等领域 专家的协调和协作。这些活动应: 确保安全活动的实施与信息安全方针相一致;确定如何处理不符合项;核准信息安全的方法和过程,例如风险评估、信息分类;识别重大的威胁变更和暴露于威胁下的信息和信息处理设施;评估信息安全控制措施实施的充分性和协调性;有效地促进整个组织内的信息安全教育、培训和意识;评价在信息安全事件的监视和评审中获得的信息,推荐适当的措施响应识别的信息安 全事件。
✓如果组织没有使用一个独立的跨部门的小组,例如因为这样的小组对组织 规模来说是不适当的,那么上面描述的措施应由其它合适的管理机构或单
A6.1.3信息安全职责的分配 所有的信息安全职责应予以清晰地定义。A6.1.3信息安全职责的分配
✓信息安全职责的分配应和信息安全方针(见 A5相一致。各个资产的保护 和执行特定安全过程的职责应被清晰的识别。这些职责应在必要时加以补 充,来为特定地点和信息处理设施提供更详细的指南。资产保护和执行特 定安全过程(诸如业务连续性计划的局部职责应予以清晰地定义。✓分配有安全职责的人员可以将安全任务委托给其他人员。尽管如此,他们 仍然负有责任,并且他们应能够确定任何被委托的任务是否已被正确地执 行。
✓个人负责的领域要予以清晰地规定;特别是,应进行下列工作: 与每个特殊系统相关的资产和安全过程应予以识别并清晰地定义;应分配每一资产或安全过程的实体职责,并且该职责的细节应形成文件(见 A7.1.2;授权级别应清晰地予以定义,并形成文件。
A6.1.4信息处理设施的授权过程 ✓新信息处理设施应定义和实施一个管理授权过程。
✓授权过程应考虑下列指南: 新设施要有适当的用户管理授权,以批准其用途和使用;还要获得负责维护本地系统 安全环境的管理人员授权,以确保所有相关的安全方针策略和要求得到满足;若需要,硬件和软件应进行检查,以确保它们与其他系统组件兼容;使用个人或私有信息处理设施(例如便携式电脑、家用电脑或手持设备处理业务信 息,可能引起新的脆弱性,因此应识别和实施必要的控制措施。
A6.1.5保密性协议
应识别并定期评审反映组织信息保护需要的保密性或不泄露协议 的要求。A6.1.5保密性协议
✓保密或不泄露协议应使用合法可实施条款来解决保护机密信息的要求。要识别保密或不泄 露协议的要求,需考虑下列因素: a 定义 要保护的信息(如机密信息;b 协议的期望 持续时间 ,包括不确定的需要维持保密性的情形;c 协议终止时所需的 措施;
d 为避免未授权信息泄露的签署者的 职责和行为;e 信息所有者、商业秘密和 知识产权 ,以及他们如何与机密信息保护相关联;f 机密信息的许可使用,及签署者使用信息的 权力;g 对涉及机密信息的活动的 审核和监视 权力;h 未授权泄露或机密信息破坏的 通知 和报告过程;i 关于协议终止时信息 归档或销毁 的条款;j 违反协议后期望采取的 措施。
✓基于一个组织的安全要求,在保密性或不泄露协议中可能需要其他因素。✓保密性和不泄露协议应针对它适用的管辖范围(见 A15.1.1遵循所有适用的法律法规。保密性和不泄露协议的要求应进行周期性 评审 ,当发生影响这些要求的变更时,也要进行
A6.1.6与政府部门的联系
✓应保持与政府相关部门的适当 联系。
✓组织应有规程指明什么时候应当与哪个部门(例如,执法部门、消防局、监管部门联系,以及怀疑已识别的信息安全事件可能 触犯了法律时,应如何及时报告。
✓受到来自互联网攻击的组织可能需要外部第三方(例如互联网服 务提供商或电信运营商采取措施以应对攻击源。
✓保持这样的联系可能是支持信息安全事件管理(A13.2或业务连续性和应急规划过程(A14的要 求。与法规部门的联系有助于预先知道组织必须遵循的法律法规方面预期的变化,并为这些变化做 好准备。与其他部门的联系包括公共部门、紧急
服务和健康安全部门,例如消防局(A14章的业务 连续性有关、电信提供商(与路由和可用性有关、供水部门(与设备的冷却设施有关。
A6.1.7与特定利益集团的联系
✓应保持与特定利益集团、其他安全专家组和专业协会的适当联系。✓应考虑成为特定利益集团或安全专家组的成员,以便: a 增进对最佳实践和最新相关安全信息的了解;b 确保全面了解当前的信息安全环境;c 尽早收到关于攻击和脆弱性的预警、建议和补丁;d 获得信息安全专家的建议;e 分享和交换关于新的技术、产品、威胁或脆弱性的信息;f 提供处理信息安全事件时适当的联络点(见 A13.2.1。A6.1.8信息安全的独立评审
✓组织管理信息安全的方法及其实施(例如信息安全的控制目标、控制措施、策略、过程和程序应按计划的时间间隔进行独立评审,当安全实施发 生重大变化时,也要进行独立评审。
✓独立评审应由管理者启动。对于确保一个组织管理信息安全方法的持续的适宜性、充分性 和有效性,这种独立评审是必须的。评审应包括评估安全方法改进的机会和变更的需要, 包括方针和控制目标。
✓这样的评审应由独立于被评审范围的人员执行,例如内部审核部门、独立的管理人员或专 门进行这种评审的第三方组织。从事这些评审的人员应具备适当的技能和经验。
✓独立评审的结果应被记录并报告给启动评审的管理者。这些记录应加以保持。
✓如果独立评审识别出组织管理信息安全的方法和实施不充分,或不符合信息安全方针文件(见 A5.1.1中声明的信息安全的方向,管理者应考虑纠正措施。
A6.2外部各方 ✓目标: 保持组织的被外部各方访问、处理、管理或与外部进行通信的信息和信息处理设施的安全。
✓组织的信息处理设施和信息资产的安全不应由于引入外部方的产品或服务而降低。
✓任何外部方对组织信息处理设施的访问、对信息资产的处理和通信都应予以控制。
✓若有与外部方一起工作的业务需要,它可能要求访问组织的信息和信息处理设施、从外部方获得一个产品和服务,或提供给外部方一个产品和服务,应进行风险评估,以确定涉及安全的方面和控制要求。在与外部方签订的协议中要商定和定义控制措施。
外部各方
✓服务提供商(例如互联网服务提供商、网络提供商、电话服务、维护和支持服务;✓受管理的安全服务;✓顾客;✓设施和运行的外包,例如,IT系统、数据收集服务、中心呼叫业务;
✓管理者,业务顾问和审核员;✓开发者和提供商,例如软件产品和IT系统的开发者和提供商;✓保洁、餐饮和其他外包支持服务;✓临时人员、实习学生和其他临时短期安排。控制措施
应识别涉及外部各方业务过程中组织的信息和信息处理设施的风险,并在允许访问前实施适当的控制措施。
实施指南
✓当需要允许外部方访问组织的信息处理设施或信息时,应实施风险评估(见A4以识别特定控制措施的要求。
关于外部方访问的风险的识别应考虑以下问题: a外部方需要访问的信息处理设施;b外部方对信息和信息处理设施的访问类型,例如: 物理访问,例如进入办公室,计算机机房,档案室;逻辑访问,例如访问组织的数据库,信息系统;组织和外部方之间的网络连接,例如,固定连接、远程访问;现场访问还是非现场访问;c所涉及信息的价值和敏感性,及对业务运行的关键程度;d为保护不希望被外部方访问到的信息所需的控制措施;e与处理组织信息有关的外部方人员;
f能够识别组织或人员如何被授权访问、如何进行授权验证,以及多长时间需要再确认;g外部方在存储、处理、传送、共享和交换信息过程中所使用的不同的方法和控制措施;h外部方需要时无法访问,外部方输入或接收不正确的或误导的信息的影响;i处理信息安全事件和潜在破坏的惯例和程序,和当发生信息安全事件时外部方持续访问的条款和条件;j应考虑与外部方有关的法律法规要求和其他合同责任;k这些安排对其他利益相关人的利益可能造成怎样的影响。
✓除非已实施了适当的控制措施,才可允许外部方访问组织信息,可行时,应签订合同规定外部方连接或访问以及工作安排的条款和条件,一般而言,与外部方合作引起的安全要求或内部控制措施应通过与外部方的协议反映出来(见A6.2.2和A6.2.3。
✓应确保外部方意识到他们的责任,并且接受在访问、处理、通信或管理组织的信息和信息处理设施所涉及的职责和责任。
A6.2.2处理与顾客有关的安全问题 控制措施
应在允许顾客访问组织信息或资产之前处理所有确定的安全要求。A6.2.2处理与顾客有关的安全问题 实施指南
要在允许顾客访问组织任何资产(依据访问的类型和范围,并不需要应用所有的条款)前解决安全问题,应考虑 下列条款: a 资产保护,包括: 及对已知脆弱性的管理;
保护组织资产(包括信息和软件)的程序,以
判定资产是否受到损害(例如丢失数据或修改数据)的程序; 完整性; 对拷贝和公开信息的限制; b c d 拟提供的产品或服务的允许的访问描述; 顾客访问的不同原因、要求和利益; 访问控制策略,包括: 方法,唯一标识符的控制和使用,例如用户ID和口令; 权过程; 没有明确授权的访问均被禁止的声明;
用户访问和权限的授
撤消访问权或中断系统间连接的处理; e 信息错误(例如个人信息的错误)、信息安全事件和安全违规的报告、通知和调查的安排; f g h i j k 每项可用服务的描述; 服务的目标级别和服务的不可接受级别; 监视和撤销与组织资产有关的任何活动的权利; 组织和顾客各自的义务; 相关法律责任和如何确保满足法律要求(例如,数据保护法律)。如果协议涉及与其他国家顾客的合作,特别要考虑到不同国家的法律体系(也 见A15.1); 知识产权(IPRs)和版权转让(见A15.1.2)以及任何合著作品的保护(见A6.1.5);-20-A6.2.3处理第三方协议中的安全问题 控制措施
涉及访问、处理或管理组织的信息或信息处理设施以及与之通信 的第三方协议,或在信息处理设施中增加产品或服务的第三方协 议,应涵盖所有相关的安全要求。-21-A6.2.3处理第三方协议中的安全问题 实施指南
协议应确保在组织和第三方之间不存在误解。组织应使第三方的保证满足自己的需要。为满足识别的安全要求(见A6.2.1),应考虑将下列条款包含在协议中: a b c d e f g h i j k l m n 信息安全方针; 确保资产保护的控制措施,对用户和管理员在方法、程序和安全方面的培训; 确保用户意识到信息安全职责和问题; 若适宜,人员调动的规定; 关于硬件和软件安装和维护的职责; 一种清晰的报告结构和商定的报告格式; 一种清晰规定的变更管理过程; 访问控制策略; 报告、通知和调查信息安全事件和安全违规以及违背协议中所声明的要求的安排; 提供的每项产品和服务的描述,根据安全分类(见7.2.1)提供可获得信息的描述; 服务的目标级别和服务的不可接受级别; 可验证的性能准则的定义、监视和报告; 监视和撤销与组织资产有关的任何活动的权利; o p q r s t u v 审核协议中规定的责任、第三方实施的审核、列举审核员的法定权限等方面的权利; 建立逐级解决问题的过程; 服务连续性要求,包括根据一个组织的业务优先级对可用性和可靠性的测度; 协议各方的相关义务;
有关法律的责任和如何确保满足法律要求(例如,数据保护法律)。如果该协议涉及与其他国家的组织的合作,特别要考虑到不同国家的法律体系(也见 15.1); 知识产权(IPRs)和版权转让(见15.1.2)以及任何合著作品的保护(见6.1.5); 涉及具有次承包商的第三方,应对这些次承包商需要实施安全控制措施; 重新协商/终止协议的条件。-22-END Thank you!
董翼枫(dongyf@fugle.info)-23
第四篇:构建信息安全保密体系
构建信息安全保密体系
摘 要:信息安全保密已经成为当前保密工作的重点。本文从策略和机制的角度出发,给出了信息安全保密的服务支持、标准规范、技术防范、管理保障和工作能力体系,体现了技术与管理相结合的信息安全保密原则。关键词:信息 安全 保密 体系
一、引言
构建信息安全保密体系,不能仅仅从技术层面入手,而应该将管理和技术手段有机结合起来,用规范的制度约束人,同时建立、健全信息安全保密的组织体制,改变现有的管理模式,弥补技术、制度、体制等方面存在的不足,从标准、技术、管理、服务、策略等方面形成综合的信息安全保密能力,如图1所示。图 1 信息安全保密的体系框架
该保密体系是以信息安全保密策略和机制为核心,以信息安全保密服务为支持,以标准规范、安全技术和组织管理体系为具体内容,最终形成能够满足信息安全保密需求的工作能力。
二、信息安全保密的策略和机制 所谓信息安全保密策略,是指为了保护信息系统和信息网络中的秘密,对使用者(及其代理)允许什么、禁止什么的规定。从信息资产安全管理的角度出发,为了保护涉密信息资产,消除或降低泄密风险,制订的各种纲领、制度、规范和操作流程等,都属于安全保密策略。例如:禁止(工作或技术人员)将涉密软盘或移动存储设备带出涉密场所;严禁(使用人员将)涉密计算机(连)上互联网;不允许(参观人员)在涉密场所拍照、录像等。
信息安全保密机制,是指实施信息安全保密策略的一种方法、工具或者规程。例如,针对前面给出的保密策略,可分别采取以下机制:为涉密移动存储设备安装射频标识,为涉密场所安装门禁和报警系统;登记上网计算机的(物理)地址,实时监控上网设备;进入涉密场所前,托管所有摄录像设备等。
根据信息系统和信息网络的安全保密需求,在制定其安全保密策略时,应主要从物理安全保密策略,系统或网络的访问控制策略,信息的加密策略,系统及网络的安全管理策略,人员安全管理策略,内容监管策略等方面入手。在安全保密机制方面,应主要从组织管理、安全控制和教育培训等方面,针对给出的安全保密策略,确定详细的操作或运行规程,技术标准和安全解决方案。
三、信息安全保密的服务支持体系
信息安全保密的服务支持体系,主要是由技术检查服务、调查取证服务、风险管理服务、系统测评服务、应急响应服务和咨询培训服务组成的,如图2所示。其中,风险管理服务必须贯穿到信息安全保密的整个工程中,要在信息系统和信息网络规划与建设的初期,就进行专业的安全风险评估与分析,并在系统或网络的运营管理过程中,经常性地开展保密风险评估工作,采取有效的措施控制风险,只有这样才能提高信息安全保密的效益和针对性,增强系统或网络的安全可观性、可控性。其次,还要大力加强调查取证服务、应急响应服务和咨询培训服务的建设,对突发性的失泄密事件能够快速反应,同时尽可能提高信息系统、信息网络管理人员的安全技能,以及他们的法规意识和防范意识,做到“事前有准备,事后有措施,事中有监察”。
加强信息安全保密服务的主要措施包括: 借用安全评估服务帮助我们了解自身的安全性
通过安全扫描、渗透测试、问卷调查等方式对信息系统及网络的资产价值、存在的脆弱性和面临的威胁进行分析评估,确定失泄密风险的大小,并实施有效的安全风险控制。采用安全加固服务来增强信息系统的自身安全性 具体包括操作系统的安全修补、加固和优化;应用服务的安全修补、加固和优化;网络设备的安全修补、加固和优化;现有安全制度和策略的改进与完善等。部署专用安全系统及设备提升安全保护等级
借助目前成熟的安全技术和产品来帮助我们提升整个系统及网络的安全防护等级,可采用的产品包括防火墙、IDS、VPN、防病毒网关等。
运用安全控制服务增强信息系统及网络的安全可观性、可控性
通过部署面向终端、服务器和网络边界的安全控制系统,以及集中式的安全控制平台,增强对整个信息系统及网络的可观性,以及对使用网络的人员、网络中的设备及其所提供服务的可控性。
加强安全保密教育培训来减少和避免失泄密事件的发生 加强信息安全基础知识及防护技能的培训,尤其是个人终端安全技术的培训,提高使用和管理人员的安全保密意识,以及检查入侵、查处失泄密事件的能力。引入应急响应服务及时有效地处理重大失泄密事件
具体包括:协助恢复系统到正常工作状态;协助检查入侵来源、时间、方法等;对网络进行安全评估,找出存在的安全隐患;做出事件分析报告;制定并贯彻实施安全改进计划。采用安全通告服务来对窃密威胁提前预警 具体包括对紧急事件的通告,对安全漏洞和最新补丁的通告,对最新防护技术及措施的通告,对国家、军队的安全保密政策法规和安全标准的通告等。
四、信息安全保密的标准规范体系 信息安全保密的标准规范体系,主要是由国家和军队相关安全技术标准构成的,如图3所示。这些技术标准和规范涉及到物理场所、电磁环境、通信、计算机、网络、数据等不同的对象,涵盖信息获取、存储、处理、传输、利用和销毁等整个生命周期。既有对信息载体的相关安全保密防护规定,也有对人员的管理和操作要求。因此,它们是设计信息安全保密解决方案,提供各种安全保密服务,检查与查处失泄密事件的准则和依据。各部门应该根据本单位信息系统、信息网络的安全保密需求,以及组织结构和使用维护人员的配置情况,制定相应的,操作性和针对性更强的技术和管理标准。
五、信息安全保密的技术防范体系 信息安全保密的技术防范体系,主要是由电磁防护技术、信息终端防护技术、通信安全技术、网络安全技术和其他安全技术组成的。这些技术措施的目的,是为了从信息系统和信息网络的不同层面保护信息的机密性、完整性、可用性、可控性和不可否认性,进而保障信息及信息系统的安全,提高信息系统和信息网络的抗攻击能力和安全可靠性。安全保密技术是随着信息技术、网络技术,以及各种入侵与攻击技术的发展不断完善和提高的,一些最新的安全防护技术,如可信计算技术、内网监控技术等,可以极大地弥补传统安全防护手段存在的不足,这就为我们降低安全保密管理的难度和成本,提高信息系统和信息网络的安全可控性和可用性,奠定了技术基础。因此,信息安全保密的技术防范体系,是构建信息安全保密体系的一个重要组成部分,应该在资金到位和技术可行的情况下,尽可能采用最新的、先进的技术防护手段,这样才能有效抵御不断出现的安全威胁。
六、信息安全保密的管理保障体系
俗话说,信息安全是“三分靠技术,七分靠管理”。信息安全保密的管理保障体系,主要是从技术管理、制度管理、资产管理和风险管理等方面,加强安全保密管理的力度,使管理成为信息安全保密工作的重中之重。
技术管理主要包括对泄密隐患的技术检查,对安全产品、系统的技术测评,对各种失泄密事件的技术取证;制度管理主要是指各种信息安全保密制度的制定、审查、监督执行与落实;资产管理主要包括涉密人员的管理,重要信息资产的备份恢复管理,涉密场所、计算机和网络的管理,涉密移动通信设备和存储设备的管理等;风险管理主要是指保密安全风险的评估与控制。
现有的安全管理,重在保密技术管理,而极大地忽视了保密风险管理,同时在制度管理和资产管理等方面也存在很多问题,要么是管理制度不健全,落实不到位;要么是一些重要的资产监管不利,这就给失窃密和遭受网络攻击带来了人为的隐患。加强安全管理,不但能改进和提高现有安全保密措施的效益,还能充分发挥人员的主动性和积极性,使信息安全保密工作从被动接受变成自觉履行。
七、信息安全保密的工作能力体系
将技术、管理与标准规范结合起来,以安全保密策略和服务为支持,就能合力形成信息安全保密工作的能力体系,如图4所示。该能力体系既是信息安全保密工作效益与效率的体现,也能反映出当前信息安全保密工作是否到位。它以防护、检测、响应、恢复为核心,对信息安全保密的相关组织和个人进行工作考评,并通过标准化、流程化的方式加以持续改进,使信息安全保密能力随着信息化建设的进展不断提高。
八、结论
技术与管理相结合,是构建信息安全保密体系应该把握的核心原则。为了增强信息系统和信息网络的综合安全保密能力,重点应该在健全上述保密体系,尤其是组织体系、管理体系、服务体系和制度(技术标准及规范)体系的基础上,规范数据备份、密钥管理、访问授权、风险控制、身份认证、应急响应、系统及应用安全等管理方案,努力提高系统漏洞扫描、信息内容监控、安全风险评估、入侵事件检测、病毒预防治理、系统安全审计、网络边界防护等方面的技术水平。
参考文献:
[1]信息与网络安全研究新进展.全国计算机安全学术交流会论文集.第二十二卷[C].合肥:中国科技大学出版社, 2007 [2]中国计算机学会信息保密专业委员会论文集.第十六卷[C].合肥:中国科技大学出版社, 2006 [3]胡建伟.网络安全与保密[M].西安:西安电子科技大学出版社, 2003
第五篇:构建信息安全保密体系.
构建信息安全保密体系
摘要:信息安全保密已经成为当前保密工作的重点。本文从策略和机制的角度出发,给出了信息安全保密的服务支持、标准规范、技术防范、管理保障和工作能力体系,体现了技术与管理相结合的信息安全保密原则。
关键词:信息安全保密体系
一、引言
构建信息安全保密体系,不能仅仅从技术层面入手,而应该将管理和技术手段有机结合起来,用规范的制度约束人,同时建立、健全信息安全保密的组织体制,改变现有的管理模式,弥补技术、制度、体制等方面存在的不足,从标准、技术、管理、服务、策略等方面形成综合的信息安全保密能力,如图1所示。
图1 信息安全保密的体系框架
该保密体系是以信息安全保密策略和机制为核心,以信息安全保密服务为支持,以标准规范、安全技术和组织管理体系为具体内容,最终形成能够满足信息安全保密需求的工作能力。
二、信息安全保密的策略和机制
所谓信息安全保密策略,是指为了保护信息系统和信息网络中的秘密,对使用者(及其代理允许什么、禁止什么的规定。从信息资产安全管理的角度出发,为了保护涉密信息资产,消除或降低泄密风险,制订的各种纲领、制度、规范和操作流程等,都属于安全保密策略。例如:禁止(工作或技术人员将涉密软盘或移动存储设备带出涉密场所;严禁(使用人员将涉密计算机(连上互联网;不允许(参观人员在涉密场所拍照、录像等。
信息安全保密机制,是指实施信息安全保密策略的一种方法、工具或者规程。例如,针对前面给出的保密策略,可分别采取以下机制:为涉密移动存储设备安装射频标识,为涉密场所安装门禁和报警系统;登记上网计算机的(物理地址,实时监控上网设备;进入涉密场所前,托管所有摄录像设备等。
根据信息系统和信息网络的安全保密需求,在制定其安全保密策略时,应主要从物理安全保密策略,系统或网络的访问控制策略,信息的加密策略,系统及网络的安全管理策略,人员安全管理策略,内容监管策略等方面入手。在安全保密机制方面,应主要从组织管理、安全控制和教育培训等方面,针对给出的安全保密策略,确定详细的操作或运行规程,技术标准和安全解决方案。
三、信息安全保密的服务支持体系
信息安全保密的服务支持体系,主要是由技术检查服务、调查取证服务、风险管理服务、系统测评服务、应急响应服务和咨询培训服务组成的,如图2所示。其中,风险管理服务必须贯穿到信息安全保密的整个工程中,要在信息系统和信息网络规划与建设的初期,就进行专业的安全风险评估与分析,并在系统或网络的运营管理过程中,经常性地开展保密风险评估工作,采取有效的措施控制风险,只有这样才能提高信息安全保密的效益和针对性,增强系统或网络的安全可观性、可控性。其次,还要大力加强调查取证服务、应急响应服务和咨询培训服务的建设,对突发性的失泄密事件能够快速反应,同时尽可能提高信息系统、信息网络管理人员的安全技能,以及他们的法规意识和防范意识,做到“事前有准备,事后有措施,事中有监察”。
加强信息安全保密服务的主要措施包括: 借用安全评估服务帮助我们了解自身的安全性
通过安全扫描、渗透测试、问卷调查等方式对信息系统及网络的资产价值、存在的脆弱性和面临的威胁进行分析评估,确定失泄密风险的大小,并实施有效的安全风险控制。
采用安全加固服务来增强信息系统的自身安全性
具体包括操作系统的安全修补、加固和优化;应用服务的安全修补、加固和优化;网络设备的安全修补、加固和优化;现有安全制度和策略的改进与完善等。
部署专用安全系统及设备提升安全保护等级
借助目前成熟的安全技术和产品来帮助我们提升整个系统及网络的安全防护等级,可采用的产品包括防火墙、IDS、VPN、防病毒网关等。
运用安全控制服务增强信息系统及网络的安全可观性、可控性
通过部署面向终端、服务器和网络边界的安全控制系统,以及集中式的安全控制平台,增强对整个信息系统及网络的可观性,以及对使用网络的人员、网络中的设备及其所提供服务的可控性。
加强安全保密教育培训来减少和避免失泄密事件的发生
加强信息安全基础知识及防护技能的培训,尤其是个人终端安全技术的培训,提高使用和管理人员的安全保密意识,以及检查入侵、查处失泄密事件的能力。
引入应急响应服务及时有效地处理重大失泄密事件
具体包括:协助恢复系统到正常工作状态;协助检查入侵来源、时间、方法等;对网络进行安全评估,找出存在的安全隐患;做出事件分析报告;制定并贯彻实施安全改进计划。
采用安全通告服务来对窃密威胁提前预警
具体包括对紧急事件的通告,对安全漏洞和最新补丁的通告,对最新防护技术及措施的通告,对国家、军队的安全保密政策法规和安全标准的通告等。
四、信息安全保密的标准规范体系
信息安全保密的标准规范体系,主要是由国家和军队相关安全技术标准构成的,如图3所示。这些技术标准和规范涉及到物理场所、电磁环境、通信、计算机、网络、数据等不同的对象,涵盖信息获取、存储、处理、传输、利用和销毁等整个生命周期。既有对信息载体的相关安全保密防护规定,也有对人员的管理和操作要求。因此,它们是设计信息安全保密解决方案,提供各种安全保密服务,检查与查处失泄密事件的准则和依据。各部门应该根据本单位信息系统、信息网络的安全保密需
求,以及组织结构和使用维护人员的配置情况,制定相应的,操作性和针对性更强的技术和管理标准。
五、信息安全保密的技术防范体系
信息安全保密的技术防范体系,主要是由电磁防护技术、信息终端防护技术、通信安全技术、网络安全技术和其他安全技术组成的。这些技术措施的目的,是为了从信息系统和信息网络的不同层面保护信息的机密性、完整性、可用性、可控性和不可否认性,进而保障信息及信息系统的安全,提高信息系统和信息网络的抗攻击能力和安全可靠性。安全保密技术是随着信息技术、网络技术,以及各种入侵与攻击技术的发展不断完善和提高的,一些最新的安全防护技术,如可信计算技术、内网监控技术等,可以极大地弥补传统安全防护手段存在的不足,这就为我们降低安全保密管理的难度和成本,提高信息系统和信息网络的安全可控性和可用性,奠定了技术基础。因此,信息安全保密的技术防范体系,是构建信息安全保密体系的一个重要组成部分,应该在资金到位和技术可行的情况下,尽可能采用最新的、先进的技术防护手段,这样才能有效抵御不断出现的安全威胁。
六、信息安全保密的管理保障体系
俗话说,信息安全是“三分靠技术,七分靠管理”。信息安全保密的管理保障体系,主要是从技术管理、制度管理、资产管理和风险管理等方面,加强安全保密管理的力度,使管理成为信息安全保密工作的重中之重。
技术管理主要包括对泄密隐患的技术检查,对安全产品、系统的技术测评,对各种失泄密事件的技术取证;制度管理主要是指各种信息安全保密制度的制定、审查、监督执行与落实;资产管理主要包括涉密人员的管理,重要信息资产的备份恢复管理,涉密场所、计算机和网
络的管理,涉密移动通信设备和存储设备的管理等;风险管理主要是指保密安全风险的评估与控制。
现有的安全管理,重在保密技术管理,而极大地忽视了保密风险管理,同时在制度管理和资产管理等方面也存在很多问题,要么是管理制度不健全,落实不到位;要么是一些重要的资产监管不利,这就给失窃密和遭受网络攻击带来了人为的隐患。加强安全管理,不但能改进和提高现有安全保密措施的效益,还能充分发挥人员的主动性和积极性,使信息安全保密工作从被动接受变成自觉履行。
七、信息安全保密的工作能力体系
将技术、管理与标准规范结合起来,以安全保密策略和服务为支持,就能合力形成信息安全保密工作的能力体系,如图4所示。该能力体系既是信息安全保密工作效益与效率的体现,也能反映出当前信息安全保密工作是否到位。它以防护、检测、响应、恢复为核心,对信息安全保密的相关组织和个人进行工作考评,并通过标准化、流程化的方式加以持续改进,使信息安全保密能力随着信息化建设的进展不断提高。
八、结论
技术与管理相结合,是构建信息安全保密体系应该把握的核心原则。为了增强信息系统和信息网络的综合安全保密能力,重点应该在健全上述保密体系,尤其是组织体系、管理体系、服务体系和制度(技术标准及规范体系的基础上,规范数据备份、密钥管理、访问授权、风险控制、身份认证、应急响应、系统及应用安全等管理方案,努力提高系统漏洞扫描、信息内容监控、安全风险评估、入侵事件检测、病毒预防治理、系统安全审计、网络边界防护等方面的技术水平。
参考文献: [1]信息与网络安全研究新进展.全国计算机安全学术交流会论文集.第二十二卷[C].合肥:中国科技大学出版社, 2007 [2]中国计算机学会信息保密专业委员会论文集.第十六卷[C].合肥:中国科技大学出版社, 2006
[3]胡建伟.网络安全与保密[M].西安:西安电子科技大学出版社, 2003
![下载某公司信息安全保障体系信息安全组织体系[大全]word格式文档](http://static.xiexiebang.com/skin/default/images/icon_word.png){kind=icon}
点击咨询 