當(dāng)前位置：首頁 > 文庫 > 文案

信息安全服務(wù)體系范文8篇

時間：2024-08-15 14:16:19 28

信息安全服務(wù)體系

信息安全服務(wù)體系篇1

以審計信息和業(yè)務(wù)的基本流轉(zhuǎn)特征以及在各個方面所進行的防護規(guī)劃和整體策略等發(fā)面出發(fā)，有效分析在審計業(yè)務(wù)范圍要求之內(nèi)的所開展的信息安全防護，以及在國產(chǎn)化裝備的應(yīng)用下有效強化信息化建設(shè)活動中的整體性信息安全防御工作，進而有效推動系統(tǒng)化的有效應(yīng)用和整體運維服務(wù)體系的建設(shè)活動，其中主要包括制度、系統(tǒng)、資金行業(yè)方式、隊伍等的建設(shè)，以及實現(xiàn)系統(tǒng)建設(shè)同運維活動的協(xié)調(diào)一致。

【關(guān)鍵詞】

國家審計信息化；信息安全；運維建設(shè)

國家審計是在國家開展宏觀經(jīng)濟綜合監(jiān)督體系的重要環(huán)節(jié)，實現(xiàn)其運行系統(tǒng)和整體信息安全的有效性是極為必要的。通過審計信息化系統(tǒng)建設(shè)項目有效結(jié)合了審計基本業(yè)務(wù)特征環(huán)節(jié)的信息安全防護以及實現(xiàn)系統(tǒng)健康運行的監(jiān)控運維服務(wù)體系，在實現(xiàn)系統(tǒng)化的體系建設(shè)且開展綜合性的防護保障措施之后，以有效保障國家審計在進行信息系統(tǒng)建設(shè)整體系統(tǒng)的健康安全運行[1]。

一、結(jié)合審計業(yè)務(wù)特征所開展的信息安全防護工作

信息安全防護在國家電子中進行應(yīng)用時，需要嚴格遵守國家在相關(guān)方面的政策制定和規(guī)劃性要求，更需要明確政務(wù)職能環(huán)節(jié)業(yè)務(wù)信息的風(fēng)險和特征，然后從根本實際出發(fā)開展有針對性的信息安全防護規(guī)劃工作，保障所采取的措施能夠有效解決實際問題，確保安全防護工作的順利有效。

1.1對審計信息和業(yè)務(wù)的流轉(zhuǎn)型特征展開研究一般而言，國際審計中包絡(luò)初期的數(shù)據(jù)采集及有效形成核查環(huán)節(jié)的審計信息記錄和證據(jù)整合，并通過互聯(lián)網(wǎng)的應(yīng)用將相關(guān)信息報送審計機關(guān)的非專網(wǎng)中，這就涉及到業(yè)務(wù)活動中的信息安全性，如果在流轉(zhuǎn)環(huán)節(jié)出現(xiàn)審計信息的泄露，因為國家審計所具有的設(shè)密性和權(quán)威性，將構(gòu)成重大的安全風(fēng)險[2]。

1.2針對審計業(yè)務(wù)的整體特征開展有效的安全防護規(guī)劃在國家審計要求范圍之下，對國家電子政務(wù)信息安全和信息化的協(xié)調(diào)發(fā)展給出了總體性的規(guī)劃要求，實現(xiàn)審計信息化系統(tǒng)項目建設(shè)的三網(wǎng)安全規(guī)范，通過審計門戶網(wǎng)、審計專網(wǎng)、審計內(nèi)網(wǎng)三個環(huán)節(jié)實現(xiàn)對電子政務(wù)信息的安全防護，有效保障信息的安全性。此外，還需要根據(jù)四級互聯(lián)審計專網(wǎng)對于信息安全防護的要求，在有效倚仗外網(wǎng)的信息信任體系來實現(xiàn)覆蓋全國的信息系統(tǒng)建設(shè)，構(gòu)建有效的病毒中心防御系統(tǒng)，為信息的安全防護提供基礎(chǔ)環(huán)節(jié)的保障。

1.3根據(jù)國家審計的信息特征出發(fā)進行安全防護策略的研究國家審計業(yè)務(wù)具有一定的流轉(zhuǎn)性，這就需要對該環(huán)節(jié)的信息安全進行有效的風(fēng)險評估，以避免出現(xiàn)泄漏狀況，在國家信息保密和安全主管部門的支持和指導(dǎo)管理下，在進行信息化系統(tǒng)建設(shè)項目時采取了信息交換和安全交互以及三網(wǎng)隔離的主體策略，以有效保障審計信息在流轉(zhuǎn)環(huán)節(jié)的安全性。

二、保障國家審計信息安全的運維服務(wù)體系建設(shè)

通過實現(xiàn)運維服務(wù)體系的建設(shè)有效保障了國家審計信息的整體安全性。在審計信息化系統(tǒng)建設(shè)項目中，運維體系的建設(shè)主要在整體隊伍、方式、系統(tǒng)和制度以及資金等方面，在這個過程中要有效保障整體建設(shè)同運維服務(wù)的關(guān)系。

2.1運維服務(wù)系統(tǒng)在審計信息化系統(tǒng)建設(shè)項目中，運行監(jiān)管系統(tǒng)和信息服務(wù)系統(tǒng)構(gòu)成了運維服務(wù)的整體系統(tǒng)。其中信息服務(wù)系統(tǒng)中的現(xiàn)場審計和審計管理系統(tǒng)已經(jīng)面向全國的審計系統(tǒng)，以更好地實現(xiàn)兩項系統(tǒng)應(yīng)用的有效性，另外，審計署還建立了面向全國審計系統(tǒng)的熱線電話和服務(wù)網(wǎng)站的整體服務(wù)體系，而且國家審計系統(tǒng)還發(fā)行了同信息安全建設(shè)運維系統(tǒng)相關(guān)的指導(dǎo)性信息和文件，以保障信息系統(tǒng)應(yīng)用的有效性。運行監(jiān)管系統(tǒng)側(cè)重于對整體系統(tǒng)建設(shè)中的各項子系統(tǒng)的運行狀態(tài)實現(xiàn)有效的監(jiān)管控制，以有效納入整體的安全系統(tǒng)實現(xiàn)統(tǒng)一的管理，整體性的滿足了多層級的系統(tǒng)運維監(jiān)管任務(wù)，極大地提升了監(jiān)管力度，使得國家審計信息系統(tǒng)以及所屬子系統(tǒng)的運行都能夠具有穩(wěn)定、安全的整體環(huán)境。

2.2運維服務(wù)隊伍審計信息化系統(tǒng)建設(shè)項目實現(xiàn)了國家審計總數(shù)的服務(wù)部門和省級的工程服務(wù)辦的兩級服務(wù)系統(tǒng)構(gòu)建，并建設(shè)完成了中央省市縣的四級審計機關(guān)的信息系統(tǒng)的整體運行服務(wù)隊伍。在進行子系統(tǒng)集中管理的基礎(chǔ)前提下，審計署建立了面向下屬各個機關(guān)和部門及全國性地方審計的“呼叫中心”運維服務(wù)隊伍，有效保障了熱線電話和服務(wù)網(wǎng)站的整體有效性運行，將疑難問題和咨詢答復(fù)等交由運行后臺專家，并得到專業(yè)性的確定答案之后予以恢復(fù)，有效實現(xiàn)了整體運維服務(wù)體系的建設(shè)。

2.3運維服務(wù)制度就審計信息化系統(tǒng)建設(shè)項目的相關(guān)制度而言，均是由審計署所制定的相關(guān)指導(dǎo)辦法和體系，以有效明確運維過程中的職責(zé)分工和機構(gòu)設(shè)置，有效實現(xiàn)對運維內(nèi)容和機制的執(zhí)行。另外，在進行運維資金的使用和管理方面也制定了一定的制度規(guī)范和要求，以確定在運行中經(jīng)費使用的有效性以及利用的最大化。通過各項管理制度確定，使得整體的運維體系科學(xué)、合理，并能夠在制度的支持下實現(xiàn)對相關(guān)專業(yè)人員的專業(yè)素質(zhì)和技能培訓(xùn)以及使用經(jīng)費和規(guī)范化服務(wù)等相關(guān)內(nèi)容的引導(dǎo)，進一步強化了整體的運維服務(wù)體系建設(shè)[3]。

2.4運維服務(wù)外包方式在實際的發(fā)展過程中，審計署將審計信息化系統(tǒng)建設(shè)項目中的“呼叫中心”服務(wù)隊伍建設(shè)實行了外包政策，并在逐漸的發(fā)展中，在運維服務(wù)系統(tǒng)的整體性要求性下，將該環(huán)節(jié)在內(nèi)的網(wǎng)絡(luò)系統(tǒng)和應(yīng)用系統(tǒng)通過集成商的方式通過外包服務(wù)實現(xiàn)有效的運維服務(wù)體系建設(shè)。另外在運維服務(wù)體系的信息系統(tǒng)建設(shè)中，也實現(xiàn)了政府對技術(shù)人員隊伍建設(shè)的外包服務(wù)組建方式。

2.5完善整體系統(tǒng)與運維服務(wù)的體系構(gòu)建在國家審計信息系統(tǒng)建設(shè)環(huán)節(jié)中，運維保障和信息系統(tǒng)建設(shè)是支撐前進的兩大驅(qū)動力量，這就需要正視兩者之間的關(guān)系，在啟動運維保應(yīng)用的基礎(chǔ)上開設(shè)有效的指導(dǎo)性欄目或者咨詢通道。此外，還可以構(gòu)建全國性的運維體系效能保障，實現(xiàn)普及性的管理建設(shè)，并在運維體系的支撐下強化整體系統(tǒng)的集中統(tǒng)一管理。最后，需要實現(xiàn)有效的監(jiān)控運維提下，實現(xiàn)對整體運維服務(wù)的監(jiān)控和管理，確保整體運行的安全性和有效性。

三、結(jié)束語

審計信息系統(tǒng)建設(shè)項目需要有效的網(wǎng)絡(luò)效能支持，這就需要保障在管理應(yīng)用中的安全有效性，尤其是國家審計環(huán)節(jié)中的文件，因其本身所具有的嚴肅性和影響性，在這樣的基本認知下，就需要從根本實際現(xiàn)狀出發(fā)開展有效的安全防護工作以及相應(yīng)的運維服務(wù)體系的完善和建設(shè)，以保障國家審計信息的整體安全性。

參考文獻

[1]劉勇.審計信息化系統(tǒng)的研究與實踐[D].四川大學(xué),2006.

[2]成瑤.我國審計信息化建設(shè)研究[D].首都經(jīng)濟貿(mào)易大學(xué),2008.

[3]周德銘.國家審計信息化的模式創(chuàng)新與能力發(fā)展[J].電子政務(wù),2013,07:45-56.

信息安全服務(wù)體系篇2

關(guān)鍵詞：信息安全安全屬性安全建設(shè)

我國信息化安全建設(shè)任務(wù)非常艱巨，主要包括各種業(yè)務(wù)的社會公網(wǎng)、行業(yè)專網(wǎng)、互聯(lián)網(wǎng)等信息基礎(chǔ)設(shè)施運營、管理和服務(wù)的安全自主保障、安全監(jiān)管、安全應(yīng)急和打擊信息犯罪為核心的威懾體系的建設(shè)，其內(nèi)容包括網(wǎng)絡(luò)系統(tǒng)安全建設(shè)、領(lǐng)域和企業(yè)的業(yè)務(wù)信息化安全建設(shè)、網(wǎng)絡(luò)內(nèi)容與行為的安全建設(shè)和用戶關(guān)注的網(wǎng)絡(luò)安全建設(shè)等方面。這些安全建設(shè)對于不同的領(lǐng)域和領(lǐng)導(dǎo)層面關(guān)注的內(nèi)容、對象和程度各不相同。網(wǎng)絡(luò)信息安全是一個完整的、系統(tǒng)的概念。它既是一個理論問題，同時又是一個工程實踐問題。由于互聯(lián)網(wǎng)的開發(fā)性、復(fù)雜性和多樣性，使得網(wǎng)絡(luò)安全系統(tǒng)需要有一個完整的、嚴謹?shù)捏w系結(jié)構(gòu)來保證網(wǎng)絡(luò)中信息的安全。

1 信息安全的定義及目標(biāo)

信息的定義，從廣義上講，信息是任何一個事物的運動狀態(tài)以及運動狀態(tài)形式的變化，它是一種客觀存在。狹義的信息的含義是指信息接受主體所感覺到并能理解的東西。ISO 13335《信息技術(shù)安全管理指南》定義：信息是通過在數(shù)據(jù)上施加某此約定而賦予這此數(shù)據(jù)的特殊含義。信息是無形的，借助于信息媒體以多種形式存在和傳播，同時。信息也是一種重要資產(chǎn)，具有價值，需要保護。信息安全的目標(biāo)是信息資產(chǎn)被泄露意味著保密性受到影響，被更改意味著完整性受到影響，被破壞意味著可用性受到影響。而保密性、完整性和可用性三個基本屬性是信息安全的最終目標(biāo)。信息安全的保護對象包括了計算機硬件、軟件和數(shù)據(jù)。就本質(zhì)而言，信息安全所針對的均是“信息”這種資源的“安全”，對信息安全的理解應(yīng)從信息化背景出發(fā)，最終落實在信息的安全屬性上。

2 構(gòu)建網(wǎng)絡(luò)信息化安全的意義

能否有效地保護信息資源，保護信息化進程健康、有序、可持續(xù)發(fā)展，直接關(guān)乎國家安危，關(guān)乎民族興亡，是國家、民族的頭等大事。沒有信息安全，就沒有真正意義上的政治安全，就沒有穩(wěn)固的經(jīng)濟安全和軍事安全，更沒有完整意義上的國家安全。信息安全是信息技術(shù)發(fā)展過程之中提出的課題，在信息化的大背景下被推上了歷史舞臺。信息安全不是最終目的，它只是服務(wù)于信息化的一種手段，其針對的是信息化這種戰(zhàn)略資源的安全，其主旨在于為信息化保駕護航。

3 網(wǎng)絡(luò)信息化的安全屬性

信息安全的概念與信息的本質(zhì)屬性有著必然的聯(lián)系，它是信息的本質(zhì)屬性所體現(xiàn)的安全意義。說安全屬性研究首先要從安全定義講起，安全定義分很多的層次，為什么分層次，我們隨著它的演變來看的，信息安全最初目標(biāo)，叫數(shù)據(jù)安全，它關(guān)心的是數(shù)據(jù)自身，所以是一個狹義的數(shù)據(jù)安全，是保護信息自身的安全。

3.1 保密性（Confidentiality）

在傳統(tǒng)信息環(huán)境中，普通人通過郵政系統(tǒng)發(fā)信件時，為了個人隱私要裝上信封?？墒堑搅诵畔⒒瘯r代，信息在網(wǎng)上傳播時，如果沒有這個“信封”，那么所有的信息都是“明信片”，不再有秘密可言，這便是信息安全中的保密性需求。保密性是指信息不被泄露給非授權(quán)的用戶、實體或進程，或被其利用的特性。保密性不但包括信息內(nèi)容的保密，還包括信息狀態(tài)的保密。

3.2 完整性（Integrality）

完整性是指信息未經(jīng)授權(quán)不能進行更改的特性。即信息在存儲或傳輸過程中保持不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等破壞和丟失的特性。完整性與機密性不同，機密性要求信息不被泄露給未授權(quán)的人，而完整性則要求信息不致受到各種原因的破壞。

3.3 易用性（Availability）

易用性是信息可被授權(quán)實體訪問并按需求使用的特性。在授權(quán)用戶或?qū)嶓w需要信息服務(wù)時，信息服務(wù)應(yīng)該可以使用，或者是信息系統(tǒng)部分受損或需要降級使用時，仍能為授權(quán)用戶提供有效服務(wù)。易用性一般用系統(tǒng)正常使用時間和整個工作時間之比來度量。

4 構(gòu)建網(wǎng)絡(luò)信息化安全管理體系

在面向網(wǎng)絡(luò)信息的安全系統(tǒng)中，安全管理是應(yīng)得到高度重視的。這是因為，據(jù)相關(guān)部門統(tǒng)計，在所有的計算機安全事件中，約有52％是人為因素造成的，25％是由火災(zāi)、水災(zāi)等自然災(zāi)害引起的，技術(shù)錯誤占10％，組織內(nèi)部人員作案占10％，僅有3％左右是由外部不法人員攻擊造成的。簡單歸類，屬于管理方面的原因比重高達70％以上，這正應(yīng)了人們常說的“三分技術(shù)，七分管理”的箋言。因此，解決網(wǎng)絡(luò)與信息安全問題，不僅應(yīng)從技術(shù)方面著手，更應(yīng)加強網(wǎng)絡(luò)住所的管理工作。

好的網(wǎng)絡(luò)信息化安全管理體現(xiàn)在以下幾個方面：在組織內(nèi)部建立全面的信息安全管理體系，強調(diào)信息安全是一個管理過程，而非技術(shù)過程；強調(diào)信息保密性、完整性、易用性三者在關(guān)鍵流程中運用的平衡；把信息提高到組織資產(chǎn)的高度，強調(diào)對組織信息資產(chǎn)進行價值及影響評估，對信息資產(chǎn)的脆弱性及其面臨的威脅進行分析，運用風(fēng)險評估、風(fēng)險管理手段管理信息安全，使組織風(fēng)險降低到可接受的水平；從法律和最好的實踐經(jīng)驗角度，實施全面的控制措施，使組織信息安全威脅的方方面面置于嚴密控制之下；強調(diào)領(lǐng)導(dǎo)在信息安全管理中的作用；強調(diào)信息安全方針在管理體系中的作用；強調(diào)對信息技術(shù)及工具的實時和有效管理；強調(diào)組織運作的連續(xù)性及業(yè)務(wù)連續(xù)性的管理；強調(diào)信息安全管理水平的不斷提高及對流程的策劃、實施、檢查和改進的過程；信息安全應(yīng)該是一個以“價值”為基礎(chǔ)的過程，即信息安全管理應(yīng)是一個有附加價值，并講究投入產(chǎn)出比的過程。

5 關(guān)注信息化安全服務(wù)的綜合性、高技術(shù)性和對策性特點

信息安全產(chǎn)業(yè)有其鮮明的特點，雖然產(chǎn)生于信息化和信息系統(tǒng)，依然與通常的IT服務(wù)有許多區(qū)別。信息化安全的基本特征是服務(wù)性的。這種服務(wù)性與一般軟件的服務(wù)性是不同的。一般應(yīng)用系統(tǒng)或產(chǎn)品的服務(wù)主要是維護和培訓(xùn)，通常服務(wù)是非對策性的、非動態(tài)的和比較固定的。信息化安全服務(wù)是對策性的、動態(tài)性的、不斷產(chǎn)生新內(nèi)容的和似乎永遠不能成熟等特性。信息化安全服務(wù)范疇幾乎包括了整個信息化所包括的所有產(chǎn)品和系統(tǒng)，其服務(wù)的綜合性和復(fù)雜性是顯而易見的。信息化安全服務(wù)是最高技術(shù)的服務(wù)，無論從設(shè)計角度和使用的角度都要求深入、熟練和非常專業(yè)。我們可以驕傲地說，信息化安全服務(wù)是世界上最偉大的服務(wù)業(yè)，也是最困難的服務(wù)業(yè)。信息化安全服務(wù)的復(fù)雜性、高成本特性要求信息化安全企業(yè)必須在安全服務(wù)的遠程化和化的推進方面做出不懈努力，不斷降低服務(wù)成本。

6 結(jié)語

網(wǎng)絡(luò)信息安全不僅僅是一個純技術(shù)層面的問題，單靠技術(shù)因素不足以保證網(wǎng)絡(luò)中信息的安全。網(wǎng)絡(luò)信息安全還涉及到法律、管理、標(biāo)準(zhǔn)等多方面的問題。因此，信息安全是一個相當(dāng)復(fù)雜的問題，只有協(xié)調(diào)好這些體系之間的關(guān)系，才能有效保證系統(tǒng)的安全。

參考文獻

[1] 王寶會,王大印.計算機信息安全教程[M].電子工業(yè)出版社,2006,1.

信息安全服務(wù)體系篇3

論文摘要:文章首先分析了信息安全外包存在的風(fēng)險，根據(jù)風(fēng)險提出信息安全外包的管理框架，并以此框架為基礎(chǔ)詳細探討了信息安全外包風(fēng)險與管理的具體實施。文章以期時信息安全外包的風(fēng)險進行控制，并獲得與外包商合作的最大收益。

1信息安全外包的風(fēng)險

1.1信任風(fēng)險

企業(yè)是否能與信息安全服務(wù)的外包商建立良好的工作和信任關(guān)系，仍是決定時候?qū)踩?wù)外包的一個重要因素。因為信息安全的外包商可以訪問到企業(yè)的敏感信息，并全面了解其企業(yè)和系統(tǒng)的安全狀況，而這些重要的信息如果被有意或無意地對公眾散播出去，則會對企業(yè)造成巨大的損害。并且，如若企業(yè)無法信任外包商，不對外包商提供一些關(guān)鍵信息的話，則會造成外包商在運作過程中的信息不完全，從而導(dǎo)致某些環(huán)節(jié)的失效，這也會對服務(wù)質(zhì)量造成影響。因此，信任是雙方合作的基礎(chǔ)，也是很大程度上風(fēng)險規(guī)避的重點內(nèi)容。

1.2依賴風(fēng)險

企業(yè)很容易對某個信息安全服務(wù)的外包商產(chǎn)生依賴性，并受其商業(yè)變化、商業(yè)伙伴和其他企業(yè)的影響，恰當(dāng)?shù)娘L(fēng)險緩釋方法是將安全服務(wù)外包給多個服務(wù)外包商，但相應(yīng)地會加大支出并造成管理上的困難，企業(yè)將失去三種靈活性:第一種是短期靈活性，即企業(yè)重組資源的能力以及在經(jīng)營環(huán)境發(fā)生變化時的應(yīng)變能力;第二種是適應(yīng)能力，即在短期到中期的事件范圍內(nèi)所需的靈活性，這是一種以新的方式處理變革而再造業(yè)務(wù)流程和戰(zhàn)略的能力，再造能力即包括了信息技術(shù);第三種靈活性就是進化性，其本質(zhì)是中期到長期的靈活性，它產(chǎn)生于企業(yè)改造技術(shù)基本設(shè)施以利用新技術(shù)的時期。進化性的獲得需要對技術(shù)趨勢、商業(yè)趨勢的準(zhǔn)確預(yù)測和確保雙方建立最佳聯(lián)盟的能力。

1.3所有權(quán)風(fēng)險

不管外包商提供服務(wù)的范圍如何，企業(yè)都對基礎(chǔ)設(shè)施的安全操作和關(guān)鍵資產(chǎn)的保護持有所有權(quán)和責(zé)任。企業(yè)必須確定服務(wù)外包商有足夠的能力承擔(dān)職責(zé)，并且其服務(wù)級別協(xié)議條款支持這一職責(zé)的履行。正確的風(fēng)險緩釋方法是讓包括員工和管理的各個級別的相關(guān)人員意識到，應(yīng)該將信息安全作為其首要責(zé)任，并進行安全培訓(xùn)課程，增強常規(guī)企業(yè)的安全意識。

1.4共享環(huán)境風(fēng)臉

信息安全服務(wù)的外包商使用的向多個企業(yè)提供服務(wù)的操作環(huán)境要比單獨的機構(gòu)內(nèi)部環(huán)境將包含更多的風(fēng)險，因為共享的操作環(huán)境將支持在多企業(yè)之間共享數(shù)據(jù)傳輸(如公共網(wǎng)絡(luò))或處理(如通用服務(wù)器)，這將會增加一個企業(yè)訪問另一企業(yè)敏感信息的可能性。這對企業(yè)而言也是一種風(fēng)險。

1.5實施過程風(fēng)險

啟動一個可管理的安全服務(wù)關(guān)系可能引起企業(yè)到服務(wù)外包商，或者一個服務(wù)外包商到另一個外包商之間的人員、過程、硬件、軟件或其他資產(chǎn)的復(fù)雜過渡，這一切都可能引起新的風(fēng)險。企業(yè)應(yīng)該要求外包商說明其高級實施計劃，并注明完成日期和所用時間。這樣在某種程度上就對實施過程中風(fēng)險的時間期限做出了限制。

1.6合作關(guān)系失敗將導(dǎo)致的風(fēng)險

如果企業(yè)和服務(wù)商的合作關(guān)系失敗，企業(yè)將面臨極大的風(fēng)險。合作關(guān)系失敗帶來的經(jīng)濟損失、時間損失都是不言而喻的，而這種合作關(guān)系的失敗歸根究底來自于企業(yè)和服務(wù)外包商之間的服務(wù)計劃不夠充分完善以及溝通與交流不夠頻繁。這種合作關(guān)系在任何階段都有可能失敗，如同其他商業(yè)關(guān)系一樣，它需要給予足夠的重視、關(guān)注，同時還需要合作關(guān)系雙方進行頻繁的溝通。

2信息安全外包的管理框架

要進行成功的信息安全外包活動，就要建立起一個完善的管理框架，這對于企業(yè)實施和管理外包活動，協(xié)調(diào)與外包商的關(guān)系，最大可能降低外包風(fēng)險，從而達到外包的目的是十分重要的。信息安全外包的管理框架的內(nèi)容分為幾個主體部分，分別包括企業(yè)協(xié)同信息安全的外包商確定企業(yè)的信息安全的方針以及信息安全外包的安全標(biāo)準(zhǔn)，然后是對企業(yè)遭受的風(fēng)險進行系統(tǒng)的評估.并根據(jù)方針和風(fēng)險程度.決定風(fēng)險管理的內(nèi)容并確定信息安全外包的流程。之后，雙方共同制定適合企業(yè)的信息安全外包的控制方法，協(xié)調(diào)優(yōu)化企業(yè)的信息安全相關(guān)部門的企業(yè)結(jié)構(gòu)，同時加強管理與外包商的關(guān)系。

3信息安全外包風(fēng)險管理的實施

3.1制定信息安全方針

信息安全方針在很多時候又稱為信息安全策略，信息安全方針指的是在一個企業(yè)內(nèi)，指導(dǎo)如何對資產(chǎn)，包括敏感性信息進行管理、保護和分配的指導(dǎo)或者指示。信息安全的方針定義應(yīng)該包括:(1)信息安全的定義，定義的內(nèi)容包括信息安全的總體目標(biāo)、信息安全具體包括的范圍以及信息安全對信息共享的重要性;(2)管理層的目的的相關(guān)闡述;(3)信息安全的原則和標(biāo)準(zhǔn)的簡要說明，以及遵守這些原則和標(biāo)準(zhǔn)對企業(yè)的重要性;(4)信息安全管理的總體性責(zé)任的定義。在信息安全方針的部分只需要對企業(yè)的各個部門的安全職能給出概括性的定義，而具體的信息安全保護的責(zé)任細節(jié)將留至服務(wù)標(biāo)準(zhǔn)的部分來闡明。

3.2選擇信息安全管理的標(biāo)準(zhǔn)

信息安全管理體系標(biāo)準(zhǔn)bs7799與信息安全管理標(biāo)準(zhǔn)is013335是目前通用的信息安全管理的標(biāo)準(zhǔn):

(1)bs7799:bs7799標(biāo)準(zhǔn)是由英國標(biāo)準(zhǔn)協(xié)會指定的信息安全管理標(biāo)準(zhǔn)，是國際上具有代表性的信息安全管理體系標(biāo)準(zhǔn)，標(biāo)準(zhǔn)包括如下兩部分:bs7799-1;1999《信息安全管理實施細則》;bs7799-2:1999((信息安全管理體系規(guī)范》。

(2)is013335:is013335《it安全管理方針》主要是給出如何有效地實施it安全管理的建議和指南。該標(biāo)準(zhǔn)目前分為5個部分，分別是信息技術(shù)安全的概念和模型部分;信息技術(shù)安全的管理和計劃部分;信息技術(shù)安全的技術(shù)管理部分;防護和選擇部分以及外部連接的防護部分。

3.3確定信息安全外包的流程

企業(yè)要根據(jù)企業(yè)的商業(yè)特性、地理位置、資產(chǎn)和技術(shù)來對信息安全外包的范圍進行界定。界定的時候需要考慮如下兩個方面:(1)需要保護的信息系統(tǒng)、資產(chǎn)、技術(shù);(2)實物場所(地理位置、部門等)。信息安全的外包商應(yīng)該根據(jù)企業(yè)的信息安全方針和所要求的安全程度，識別所有需要管理和控制的風(fēng)險的內(nèi)容。企業(yè)需要協(xié)同信息安全的外包商選擇一個適合其安全要求的風(fēng)險評估和風(fēng)險管理方案，然后進行合乎規(guī)范的評估，識別目前面臨的風(fēng)險。企業(yè)可以定期的選擇對服務(wù)外包商的站點和服務(wù)進行獨立評估，或者在年度檢查中進行評估。選擇和使用的獨立評估的方案要雙方都要能夠接受。在達成書面一致后，外包商授予企業(yè)獨立評估方評估權(quán)限，并具體指出評估者不能泄露外包商或客戶的任何敏感信息。給外包商提供關(guān)于檢查范圍的進一步消息和細節(jié)，以減少任何對可用性，服務(wù)程度，客戶滿意度等的影響。在評估執(zhí)行后的一段特殊時間內(nèi)，與外包商共享結(jié)果二互相討論并決定是否需要解決方案和/或開發(fā)計劃程序以應(yīng)對由評估顯示的任何變化。評估所需要的相關(guān)材料和文檔在控制過程中都應(yīng)該予以建立和保存，企業(yè)將這些文檔作為評估的重要工具，對外包商的服務(wù)績效進行考核。評估結(jié)束后，對事件解決方案和優(yōu)先級的檢查都將記錄在相應(yīng)的文件中，以便今后雙方在服務(wù)和信息安全管理上進行改進。

3.4制定信息安全外包服務(wù)的控制規(guī)則

依照信息安全外包服務(wù)的控制規(guī)則，主要分為三部分內(nèi)容:第一部分定義了服務(wù)規(guī)則的框架，主要闡明信息安全服務(wù)要如何執(zhí)行，執(zhí)行的通用標(biāo)準(zhǔn)和量度，服務(wù)外包商以及各方的任務(wù)和職責(zé);第二部分是信息安全服務(wù)的相關(guān)要求，這個部分具體分為高層服務(wù)需求;服務(wù)可用性;服務(wù)體系結(jié)構(gòu);服務(wù)硬件和服務(wù)軟件;服務(wù)度量;服務(wù)級別;報告要求，服務(wù)范圍等方面的內(nèi)容;第三部分是安全要求，包括安全策略、程序和規(guī)章制度;連續(xù)計劃;可操作性和災(zāi)難恢復(fù);物理安全;數(shù)據(jù)控制;鑒定和認證;訪問控制;軟件完整性;安全資產(chǎn)配置;備份;監(jiān)控和審計;事故管理等內(nèi)容。

3.5信息安全外包的企業(yè)結(jié)構(gòu)管理具體的優(yōu)化方案如下:

(1)首席安全官:cso是公司的高層安全執(zhí)行者，他需要直接向高層執(zhí)行者進行工作匯報，主要包括:首席執(zhí)行官、首席運營官、首席財務(wù)官、主要管理部門的領(lǐng)導(dǎo)、首席法律顧問。cso需要監(jiān)督和協(xié)調(diào)各項安全措施在公司的執(zhí)行情況，并確定安全工作的標(biāo)準(zhǔn)和主動性，包括信息技術(shù)、人力資源、通信、法律、設(shè)備管理等部門。

(2)安全小組:安全小組的人員組成包括信息安全外包商的專業(yè)人員以及客戶企業(yè)的內(nèi)部it人員和信息安全專員。這個小組的任務(wù)主要是依照信息安全服務(wù)的外包商與企業(yè)簽訂的服務(wù)控制規(guī)則來進行信息安全的技術(shù)。

(3)管理委員會:這是信息安全服務(wù)外包商和客戶雙方高層解決問題的機構(gòu)。組成人員包括雙方的首席執(zhí)行官，客戶企業(yè)的cio和cso，外包商的項目經(jīng)理等相關(guān)的高層決策人員。這個委員會每年召開一次會議，負責(zé)審核年度的服務(wù)水平、企業(yè)的適應(yīng)性、評估結(jié)果、關(guān)系變化等內(nèi)容。

(4)咨詢委員會:咨詢委員會的會議主要解決計劃性問題。如服務(wù)水平的變更，新的技術(shù)手段的應(yīng)用，服務(wù)優(yōu)先等級的更換以及服務(wù)的財政問題等，咨詢委員會的成員包括企業(yè)內(nèi)部的ti’人員和安全專員，還有財務(wù)部門、人力資源部門、業(yè)務(wù)部門的相關(guān)人員，以及外包商的具體項目的負責(zé)人。

(6)安全工作組:安全工作組的人員主要負責(zé)解決信息安全中某些特定的問題，工作組的人員組成也是來自服務(wù)外包商和企業(yè)雙方。工作組與服務(wù)交換中心密切聯(lián)系，將突出的問題組建成項目進行解決，并將無法解決的問題提交給咨詢委員會。

(7)服務(wù)交換中心:服務(wù)交換中心由雙方人員組成，其中主要人員是企業(yè)內(nèi)部的各個業(yè)務(wù)部門中與信息安全相關(guān)的人員。他們負責(zé)聯(lián)絡(luò)各個業(yè)務(wù)部門，發(fā)掘出企業(yè)中潛在的信息安全的問題和漏洞，并將這些問題報告給安全工作組。

（8）指令問題管理小組:這個小組的人員組成全部為企業(yè)內(nèi)部人員，包括信息安全專員以及各個業(yè)務(wù)部門的負責(zé)人。在安全小組的技術(shù)人員解決了企業(yè)中的安全性技術(shù)問題之后，或者，是當(dāng)cso了關(guān)于信息安全的企業(yè)改進方案之后，這些解決方案都將傳送給指令問題管理小組，這個小組的人員經(jīng)過學(xué)習(xí)討論后，繼而將其到各個業(yè)務(wù)部門。

(9)監(jiān)督委員會:這個委員會全部由企業(yè)內(nèi)部人員組成。負責(zé)對外包商的服務(wù)過程的監(jiān)督。

3.6管理與外包商的關(guān)系

信息安全服務(wù)體系篇4

信息安全認證有風(fēng)險

所謂“信息安全認證中的安全風(fēng)險”,特指信息安全認證機構(gòu)借助認證活動的便利條件,知悉被認證組織的敏感信息,或者直接接觸被認證組織的信息系統(tǒng),從而為被認證組織的信息資產(chǎn)帶來的安全風(fēng)險,簡稱“認證安全風(fēng)險”。

與常規(guī)認證認可制度研究中的認證風(fēng)險概念不同,認證安全風(fēng)險的承擔(dān)者不是認證機構(gòu),而是被認證組織。制造風(fēng)險的直接主體則是認證機構(gòu)。認證安全風(fēng)險在本質(zhì)上屬于信息安全風(fēng)險,其后果是被認證組織的信息資產(chǎn)的保密性、完整性和可用性遭受損失。

根據(jù)《認證認可條例》定義的認證類型,當(dāng)前認監(jiān)委已經(jīng)批準(zhǔn)的信息安全認證業(yè)務(wù)分為信息安全產(chǎn)品認證、信息安全服務(wù)認證和信息安全管理體系認證。在以上三類認證活動中,信息安全產(chǎn)品和信息安全服務(wù)的被認證組織僅限于信息安全產(chǎn)品和服務(wù)提供商,且目前承擔(dān)信息安全產(chǎn)品和服務(wù)認證的中國信息安全認證中心是由中編辦批準(zhǔn)、隸屬于國家質(zhì)檢總局的事業(yè)單位。因此,信息安全產(chǎn)品認證和信息安全服務(wù)認證中的安全風(fēng)險已經(jīng)降至最低。信息安全管理體系認證則不同:首先,其被認證組織遍布國民經(jīng)濟的各個行業(yè)和各個領(lǐng)域,甚至包括政府等公共機構(gòu);其次,國家認監(jiān)委已經(jīng)放開了信息安全管理體系認證機構(gòu)的審批,前期已獲批的認證機構(gòu)中既有國有事業(yè)單位,也有國內(nèi)企業(yè),此外還有外資企業(yè),認證市場的組成十分復(fù)雜。因此,目前認證安全風(fēng)險問題主要存在于信息安全管理體系認證活動中。

從國家安全高度加以重視

1.認證安全風(fēng)險的表現(xiàn)形式

在信息安全管理體系認證的審核階段,認證機構(gòu)會接觸到受審核組織大量的敏感信息。這類信息分為兩類:一類是受審核組織的信息系統(tǒng)中存儲的信息;另一類是與受審核組織的信息安全防護相關(guān)的信息。例如,受審核組織的信息安全風(fēng)險評估報告全面記錄了系統(tǒng)的信息資產(chǎn)、對信息安全威脅的判斷、信息安全漏洞、信息安全控制措施配置等信息,網(wǎng)絡(luò)拓撲圖也為攻擊者入侵系統(tǒng)提供了豐富的信息。這些信息如果被認證機構(gòu)惡意使用,或者泄露給惡意第三方,都會導(dǎo)致受審核組織的信息失竊,或使其信息系統(tǒng)被外部控制。

此外,由于認證機構(gòu)會直接接觸受審核組織的信息系統(tǒng),存在篡改其信息系統(tǒng)的可能性,例如在系統(tǒng)中植入惡意程序,或改變信息系統(tǒng)的功能,這便是美國國家安全局曾提出的五類信息安全威脅之―臨近攻擊。

以上問題不是在特定時期存在,也不是在特定場合存在,而是在任何一次信息安全管理體系認證中都有可能發(fā)生。因為認證機構(gòu)為了開展工作,必須接觸受審核組織的信息系統(tǒng),必須獲得受審核組織的信息安全風(fēng)險評估報告、網(wǎng)絡(luò)拓撲圖等信息安全相關(guān)信息。如果受審核組織位于關(guān)系國民經(jīng)濟命脈的重點行業(yè),則認證機構(gòu)的惡意行為可能使國家利益嚴重受損。

2.認證安全風(fēng)險是一個國家安全問題

當(dāng)前,信息安全已經(jīng)成為國家安全的重要組成部分,國際上圍繞信息的控制與反控制的斗爭正日趨激烈。但是,很多這樣的斗爭常常隱藏在了看似正常的國際商貿(mào)活動之中,使公眾忽視了信息安全斗爭的復(fù)雜性和長期性。當(dāng)前,對認證安全風(fēng)險的認識往往存在三個誤區(qū):

一是認為認證機構(gòu)在審核活動中獲得的信息無關(guān)緊要。事實上,如今信息安全攻擊與防范的技術(shù)的專業(yè)化程度已經(jīng)超出了很多人的想象。對一個熟練的攻擊者而言,任何有關(guān)攻擊目標(biāo)的些許信息,都可能為其大開方便之門。以最普通的受審核組織的組織架構(gòu)、員工姓名和聯(lián)系方式等信息為例,這些信息足以使攻擊者發(fā)起一次成功的社會工程攻擊。

二是認為受審核組織的信息僅關(guān)系到組織自身的安全,與國家安全相去甚遠。當(dāng)前,信息技術(shù)的廣泛滲透性以及國民經(jīng)濟和社會發(fā)展對信息技術(shù)應(yīng)用的依賴,使網(wǎng)絡(luò)與信息系統(tǒng)的戰(zhàn)略地位凸顯。特別是關(guān)系國計民生的重要行業(yè)的網(wǎng)絡(luò)與信息系統(tǒng),已經(jīng)成為國與國軍事對抗的戰(zhàn)場,成為非常時期敵方打擊的首要目標(biāo)。正因為如此,中共中央辦公廳于2003年轉(zhuǎn)發(fā)的《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》便將“重點保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全”作為我國信息安全保障工作的總體要求之一。

三是認為認證機構(gòu)都是守法企業(yè),不可能去實施惡意行為。我們并不想對認證機構(gòu)的行為妄加猜測,但必須強調(diào),這是影響國家信息安全的一種途徑,必須牢固樹立風(fēng)險防范意識。我國媒體曾多次報道,西方發(fā)達國家在近年來極力收集我基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的敏感信息,甚至在這些網(wǎng)絡(luò)與信息系統(tǒng)中大量植入后門、木馬等惡意程序。來自西方發(fā)達國家的信息技術(shù)企業(yè)在華的擴張與滲透無疑為其上述行為提供了便利條件。任何商業(yè)實體都是具有國籍屬性的,都可能在國家緊急動員時被以國家意志而“征用”,為各國的政治服務(wù)。

建立信息安全服務(wù)管理制度

認證安全風(fēng)險的出現(xiàn)是認證認可領(lǐng)域中的一個新問題。但是,在信息安全領(lǐng)域,類似問題由來已久,這便是信息安全服務(wù)的管理問題。目前,我國對信息安全服務(wù)的類型尚無統(tǒng)一標(biāo)準(zhǔn),但無論在哪一種信息安全服務(wù)中,服務(wù)提供者對服務(wù)對象的了解都是深入和細致的,甚至直接掌控服務(wù)對象的信息系統(tǒng)和重要信息。從服務(wù)提供者與服務(wù)對象的關(guān)系以及服務(wù)的技術(shù)特征角度而言,信息安全管理體系認證是一種特殊的信息安全服務(wù)。在服務(wù)過程可能引發(fā)安全風(fēng)險這一問題上,信息安全認證與其他信息安全服務(wù)毫無二致。由此,安全風(fēng)險的管理對策也必然具有共通性。

為了加強信息安全服務(wù)管理,近年來我國有關(guān)部門和一些地方政府先后實施了信息安全相關(guān)服務(wù)管理制度。但是,這些制度的適用范圍有限,且多關(guān)注服務(wù)能力,沒有考慮如何防范安全風(fēng)險。

目前,國外信息安全服務(wù)商和信息技術(shù)服務(wù)商已經(jīng)在我國高端服務(wù)市場占壟斷地位,這早已被視為國家信息安全的重大隱患。近年來,我國網(wǎng)絡(luò)與信息安全主管部門多次展開廣泛調(diào)研,但目前尚未信息安全服務(wù)管理政策意見。在這種情況下,要解決信息安全認證中的安全風(fēng)險,目前還缺少更加明晰的政策環(huán)境和直接的政策支持。

管理認證安全風(fēng)險六大對策

當(dāng)前認證安全風(fēng)險主要存在于信息安全管理體系認證領(lǐng)域,如何加強信息安全管理體系認證領(lǐng)域的安全風(fēng)險管理?

1.管理目標(biāo)

我國對信息系統(tǒng)有著嚴格管理,沒有系統(tǒng)集成資質(zhì)的企業(yè)不能向其提供安全服務(wù)。至于政府信息系統(tǒng),在相當(dāng)長時間內(nèi)申請信息安全管理體系認證者極少。因此,加強認證安全風(fēng)險管理的主要目標(biāo),是確?；A(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)在接受認證時的安全。建議圍繞這一目標(biāo)設(shè)立管理制度。

2.管理重點

建議認證認可監(jiān)督管理部門在認證程序方面設(shè)定嚴格要求,例如禁止認證機構(gòu)攜帶電子設(shè)備進入審核現(xiàn)場,不得將客戶的任何紙質(zhì)或電子資料帶離現(xiàn)場,任何資料不得離境等。在制定這些管理要求時,一是要注意可行性,避免影響正常的認證活動,二是不能與將來的ISO/IEC 27007《信息安全管理體系審核指南》相悖。

但是,以上措施只能在一定程度上降低認證風(fēng)險,而不能從根源上杜絕風(fēng)險。從各國對供應(yīng)鏈安全管理的實際經(jīng)驗及發(fā)展趨勢看,在重要領(lǐng)域屏蔽國外機構(gòu)的服務(wù),應(yīng)該是最終的方向。我們關(guān)注的重要領(lǐng)域不僅僅是軍事和情報系統(tǒng),可能會有人質(zhì)疑這違反了WTO規(guī)則的國民待遇原則。其實,WTO規(guī)則規(guī)定了一般安全例外和國家安全例外,但并未對國家安全的范疇作出定義。從我國信息化發(fā)展和信息安全保障的具體情況出發(fā),當(dāng)前完全可以明確基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)與國家安全的關(guān)系,要敢于在此領(lǐng)域適用“國家安全例外”。當(dāng)然,這會引發(fā)與他國的新一輪政治和經(jīng)濟博弈,但在涉及國家安全的重大問題上,必須有這樣的決心。否則,我國的認證安全風(fēng)險管理政策以及今后的信息安全服務(wù)管理政策終將難有作為。

3.管理環(huán)節(jié)

認證安全風(fēng)險管理的目標(biāo)是保護特定領(lǐng)域網(wǎng)絡(luò)與系統(tǒng)的安全,因此難以在準(zhǔn)入環(huán)節(jié)上對認證機構(gòu)區(qū)別對待。建議以采購管理為主,準(zhǔn)入管理為輔。但準(zhǔn)入環(huán)節(jié)依然可以發(fā)揮前置門檻的作用,對認證市場進行總量控制,以減輕采購環(huán)節(jié)的壓力。在采購環(huán)節(jié),如當(dāng)前出臺強制性采購政策的操作阻力較大,則可先行出臺指導(dǎo)性意見,引導(dǎo)基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)選擇國內(nèi)認證機構(gòu)提供的信息安全管理體系認證服務(wù)。

4.風(fēng)險管理與信息安全服務(wù)管理政策的關(guān)系

認證安全風(fēng)險管理政策是一種特殊的信息安全服務(wù)管理政策,應(yīng)受到我國信息安全服務(wù)管理制度所確立的總體原則的指導(dǎo)和支持。但在我國信息安全服務(wù)管理政策依然缺位的情況下,不妨先制定認證安全風(fēng)險管理政策,這也可以為將來出臺信息安全服務(wù)管理政策積累經(jīng)驗。當(dāng)然,這會在一定程度上增加認證安全風(fēng)險管理政策的起草難度,特別是在采購政策方面。

與管理其他信息安全服務(wù)中的安全風(fēng)險相比,認證安全風(fēng)險管理工作也有兩個有利條件:一是國內(nèi)認證機構(gòu)已經(jīng)成熟,可以完全替代國外認證機構(gòu)的服務(wù),甚至在某些領(lǐng)域的影響力已經(jīng)超越國外認證機構(gòu);二是信息安全認證機構(gòu)及其認證活動已經(jīng)受到國家認監(jiān)委的嚴格管理,而目前絕大多數(shù)信息安全服務(wù)都缺少主管或監(jiān)管部門。在制定認證安全風(fēng)險管理政策時,要充分利用這兩個有利條件。

5.輔助措施

一是加大宣傳和引導(dǎo)力度。目前國內(nèi)很多用戶對信息安全管理體系認證還存在不當(dāng)認識,例如很多人不知道成立認證機構(gòu)以及開展認證活動需要得到認監(jiān)委的審批,還有一些人認為國外認證機構(gòu)頒發(fā)的是國際證書,而國內(nèi)認證機構(gòu)頒發(fā)的證書則沒有權(quán)威性等。這將導(dǎo)致用戶在選擇認證機構(gòu)時帶有錯誤的傾向性,以及證書采信者對證書價值產(chǎn)生誤判。目前這一問題非常嚴重,一些地方政府出臺的認證資助政策甚至規(guī)定,只資助獲得國外證書的企業(yè),而對國內(nèi)的證書不予承認。

二是嚴格市場準(zhǔn)入條件,實行總量控制,并對違反《認證認可條例》的行為進行嚴厲查處。

三是積極推動信息安全管理體系認證的國際互認工作。

四是大力鼓勵國內(nèi)認證機構(gòu)的發(fā)展,提高國內(nèi)認證機構(gòu)的品牌影響力。

6.管理責(zé)任

認證安全風(fēng)險管理工作應(yīng)由哪一個部門牽頭?從《認證認可條例》制定的初衷看,監(jiān)管目標(biāo)的核心還是確保認證有效性。認證風(fēng)險是認證認可制度研究中的熱點問題,但認證安全風(fēng)險與傳統(tǒng)的認證風(fēng)險的概念完全不同,也與認證有效性沒有邏輯上的必然聯(lián)系。至于認證機構(gòu)在認證活動中的違法行為(這些違法行為當(dāng)然不限于違反了《認證認可條例》),應(yīng)由法律授權(quán)的部門在各自職責(zé)范圍內(nèi)予以查處。認證安全風(fēng)險是信息化發(fā)展帶來的新問題,目前我國還沒有立法對收集客戶信息(包括修改客戶的信息系統(tǒng))以及信息出境問題進行規(guī)范,對公民個人信息以及企業(yè)秘密的保護也缺少完善的法律規(guī)定。在這種情況下,認證認可監(jiān)督管理部門從維護社會公平正義的角度出發(fā),對認證機構(gòu)的保密義務(wù)作出了規(guī)定,并且還擁有手段和龐大的執(zhí)法隊伍。但是,不能就此推論應(yīng)由認證認可監(jiān)督管理部門負責(zé)信息安全認證風(fēng)險管理。

當(dāng)然,可以修改現(xiàn)有的法規(guī),或起草新的法規(guī),授權(quán)各行業(yè)監(jiān)管部門對本行業(yè)的信息安全風(fēng)險進行管理,這并非不可行。建議將來的信息安全立法中要在總體上明確我國信息安全服務(wù)管理體制及主管部門。其主管部門可以根據(jù)具體服務(wù)類型的不同分為多個,例如國務(wù)院網(wǎng)絡(luò)與信息安全主管部門可對認證服務(wù)之外的多數(shù)服務(wù)設(shè)立行政許可,并查處侵害客戶信息安全利益的服務(wù)行為。對于認證服務(wù)這類已有監(jiān)督管理部門的,則完全可以授權(quán)認證認可監(jiān)督管理部門對認證安全風(fēng)險進行監(jiān)管。

因此,責(zé)任制問題的實質(zhì),是立法問題。只要我國信息安全服務(wù)管理制度設(shè)計完善,并立法明確信息安全服務(wù)管理部門的責(zé)任,并非不可以由認證認可監(jiān)督管理部門承擔(dān)認證安全管理職責(zé),但這種管理也僅限于規(guī)則的制定和對認證機構(gòu)的查處,不能涉及采購環(huán)節(jié)。

認證安全風(fēng)險管理涉及到多個方面的工作,必然需要建立多部門合作機制,相互配合,不能簡單地講由哪一個部門負主要責(zé)任。美國在解決供應(yīng)鏈安全問題的思路中,屢次強調(diào)“綜合性”、“多管齊下”、“戰(zhàn)略性”,也是出于同樣的原因。我國信息安全立法還不十分完善,客觀上造成了一些重大事項責(zé)任制的模糊。在當(dāng)前這種情況下,我們建議在實踐中對認證安全風(fēng)險管理工作職責(zé)作如下區(qū)分:

國務(wù)院網(wǎng)絡(luò)與信息安全主管部門一要盡快制定基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)使用認證服務(wù)的有關(guān)采購規(guī)定,二要加快《信息安全條例》的制定,在條例中明確哪些信息安全服務(wù)中的行為應(yīng)予禁止。

國務(wù)院認證認可監(jiān)督管理部門充分利用現(xiàn)有的監(jiān)管手段,一要在可能的情況下繼續(xù)嚴格信息安全管理體系認證程序,維護國家秘密和商業(yè)秘密的安全,二要加強本文前面提到的四項輔措施。

國外的安全風(fēng)險防范意識及相關(guān)措施

以美國的信息安全產(chǎn)品認證為例,雖然美國是CC(信息技術(shù)安全性評估通用準(zhǔn)則)互認協(xié)定的發(fā)起國,但其政府公布的產(chǎn)品采購清單(用于國家安全系統(tǒng)中)上,迄今沒有由國外認證機構(gòu)認證的產(chǎn)品。

對信息安全管理體系認證等業(yè)務(wù),西方發(fā)達國家目前雖然還沒有專門的安全風(fēng)險防范措施,但對于包含認證服務(wù)在內(nèi)的所有的信息安全和信息技術(shù)相關(guān)服務(wù),西方發(fā)達國家都在重點領(lǐng)域(例如國防和政府部門)施以嚴格的準(zhǔn)入措施。例如:德國政府的信息安全服務(wù)全部由德國信息安全辦公室(BSI)完成,國外企業(yè)根本不可能涉足。

美國在鼓勵其企業(yè)在各國擴張的同時,對自身在采購信息技術(shù)產(chǎn)品和服務(wù)過程中面臨的風(fēng)險極為警惕。多年以來,美國一直在研究“供應(yīng)鏈”的安全問題。2009年5月,美國政府了網(wǎng)絡(luò)空間安全政策評估報告,提出要整合執(zhí)法、情報、反情報、軍事等力量,對從遠程網(wǎng)絡(luò)入侵到供應(yīng)鏈安全等全面的信息安全威脅進行抵御。2010年3月,美國政府解密了曾一度被列為高度機密的第54 號國家安全總統(tǒng)令的摘要,該摘要顯示,美國已將情報威脅和供應(yīng)鏈威脅列為信息安全領(lǐng)域的兩大重點威脅。其關(guān)注的供應(yīng)鏈問題涵蓋了產(chǎn)品、系統(tǒng)和服務(wù)這三類對象,提出的解決該問題的工作方向有四個:一是必須提高安全意識;二是在技術(shù)層面開發(fā)風(fēng)險控制工具;三是在政策層面調(diào)整采購政策;四是加強與工業(yè)界的合作。

信息安全服務(wù)體系篇5

【關(guān)鍵詞】黨政信息化網(wǎng)絡(luò)平臺

1 業(yè)務(wù)互聯(lián)互通：安全保密面臨的新挑戰(zhàn)

安全保密是黨政信息化的重要要求之一。黨政信息化系統(tǒng)根據(jù)所處網(wǎng)絡(luò)、所承載的信息敏感程度不同，需要按照等級保護和分級保護要求進行保護。在信息化發(fā)展過程中，安全保密手段也從防火墻、入侵檢測等被動安全防御發(fā)展到以PKI等密碼技術(shù)為主的主動安全，為信息化發(fā)展發(fā)揮了大量重要作用。

然而，隨著業(yè)務(wù)需求的不斷發(fā)展，黨政信息化正面臨著從各自為政向全程全網(wǎng)的重要變革。傳統(tǒng)以部門局域網(wǎng)、以區(qū)域、行業(yè)為對象的信息化建設(shè)模式，人為割裂了跨部門、跨區(qū)域和跨行業(yè)的政務(wù)業(yè)務(wù)鏈，導(dǎo)致信息化發(fā)展內(nèi)外嚴重不平衡，部門“出不去、進不來”的現(xiàn)象越來越嚴重，信息孤島、業(yè)務(wù)孤島由此而生。

在傳統(tǒng)的信息化建設(shè)模式下，網(wǎng)絡(luò)、信息系統(tǒng)都有明確的邊界，因而安全保密的重點就是“內(nèi)部保護”和“外部隔離”。

當(dāng)以“互聯(lián)互通、信息共享和業(yè)務(wù)協(xié)同”為主要需求的全程全網(wǎng)信息化需求迅速發(fā)展時，以“保”為主動的安全保密在保證了局部安全的同時，也成為了阻礙互聯(lián)互通的又一個孤島――安全孤島。而改變這種局面，需要改變安全保密局部防御的思路，建立全網(wǎng)安全保密支撐和服務(wù)體系，在確保安全保密的同時，更要發(fā)揮為業(yè)務(wù)全程全網(wǎng)保駕護航的作用。

2 網(wǎng)絡(luò)信任體系：全網(wǎng)安全保密的技術(shù)基礎(chǔ)

以PKI技術(shù)、現(xiàn)代密碼技術(shù)，是建立大規(guī)模網(wǎng)絡(luò)環(huán)境下實體信任的基礎(chǔ)。然而，要建立全網(wǎng)安全保密的支撐和服務(wù)體系，必須打破部門之間、區(qū)域之間、行業(yè)之間的信任孤島，真正實現(xiàn)面向全網(wǎng)的網(wǎng)絡(luò)信任體系。

全網(wǎng)網(wǎng)絡(luò)信任體系是建立幾個全網(wǎng)統(tǒng)一之上的：

2.1 是全網(wǎng)統(tǒng)一的網(wǎng)絡(luò)資源管理

這是網(wǎng)絡(luò)信任體系建立網(wǎng)絡(luò)實體信任關(guān)系的管理基礎(chǔ)，也是實體信任關(guān)系的信任源點，凡是需要信任的網(wǎng)絡(luò)對象，包括機構(gòu)、用戶、應(yīng)用資源等，都需要通過網(wǎng)絡(luò)資源管理的注冊、審核、登記，建立起和物理世界實體的信任關(guān)系，確保物理世界和網(wǎng)絡(luò)世界的一一對應(yīng)。

2.2 是全網(wǎng)統(tǒng)一的身份認證服務(wù)

這是網(wǎng)絡(luò)實體的行為基礎(chǔ)，所有訪問行為、服務(wù)行為等都依賴其背后的身份可信。所以統(tǒng)一身份認證服務(wù)必須在網(wǎng)絡(luò)層實現(xiàn)，在用戶上網(wǎng)、應(yīng)用上線的環(huán)節(jié)上能夠鑒別用戶、設(shè)備、系統(tǒng)的身份，并為每個需要進行身份確認的環(huán)節(jié)提供身份證明服務(wù)，身份認證、身份證明服務(wù)以全網(wǎng)為服務(wù)范圍。

2.3 是統(tǒng)一授權(quán)和權(quán)限服務(wù)

這是確保網(wǎng)絡(luò)行為有序、信息和應(yīng)用資源受控訪問的基礎(chǔ)。統(tǒng)一授權(quán)服務(wù)，可以在全網(wǎng)范圍內(nèi)實現(xiàn)實體和被訪問資源之間的權(quán)限關(guān)系，而統(tǒng)一權(quán)限服務(wù)是確保這種權(quán)限關(guān)系全網(wǎng)有效，各相關(guān)資源保護點可以基于統(tǒng)一授權(quán)和權(quán)限服務(wù)，實現(xiàn)嚴格的訪問控制。

2.4 是統(tǒng)一的證據(jù)保留和責(zé)任認定

這是確保安全保密管理和事后責(zé)任追溯的基礎(chǔ)。在發(fā)生安全保密事故時，迅速確定事故發(fā)生地點、通過對行為證據(jù)的的綜合分析，可以在全網(wǎng)范圍內(nèi)判定責(zé)任人和責(zé)任范圍。

網(wǎng)絡(luò)信任體系的四個統(tǒng)一，使得安全保密具有了統(tǒng)一的管理和服務(wù)基礎(chǔ)，基于統(tǒng)一網(wǎng)絡(luò)信任體系，從網(wǎng)絡(luò)、信息、業(yè)務(wù)三個層面可以實現(xiàn)全網(wǎng)全網(wǎng)的安全保密。

3 網(wǎng)絡(luò)層安全保密：網(wǎng)絡(luò)互聯(lián)和邊界隔離保護

互聯(lián)互通首先是網(wǎng)絡(luò)層的互聯(lián)互通。和國際互聯(lián)網(wǎng)扁平化結(jié)構(gòu)不同，還是黨政系統(tǒng)的網(wǎng)絡(luò)平臺，由于分層管理、分域保護的要求，其基本管理單元是以部門網(wǎng)絡(luò)構(gòu)成的安全域，大量安全域根據(jù)行政機構(gòu)實現(xiàn)橫向、縱向互聯(lián)，形成大型復(fù)雜網(wǎng)絡(luò)。網(wǎng)絡(luò)層安全保密必須確保網(wǎng)絡(luò)安全互聯(lián)的同時，又確保網(wǎng)絡(luò)互聯(lián)邊界的有效隔離保護，網(wǎng)絡(luò)邊界隔離保護是網(wǎng)絡(luò)整體安全的基礎(chǔ)。

互聯(lián)互通條件下的網(wǎng)絡(luò)邊界隔離保護解決方案是基于網(wǎng)絡(luò)信任體系的統(tǒng)一身份認證、統(tǒng)一授權(quán)和權(quán)限服務(wù)實現(xiàn)的，通過對網(wǎng)絡(luò)邊界部署網(wǎng)絡(luò)訪問控制安全網(wǎng)關(guān)設(shè)備，形成安全域保護邊界，對所有試圖訪問網(wǎng)絡(luò)邊界的用戶進行身份和權(quán)限驗證，確保網(wǎng)絡(luò)通行為可管、可控。

根據(jù)安全保密的要求不同，網(wǎng)絡(luò)邊界隔離的保護點首先是在安全域互聯(lián)邊界，實現(xiàn)不同安全域之間網(wǎng)絡(luò)接入的安全保密；其次是在安全域內(nèi)德重點安全區(qū)，如重點應(yīng)用系統(tǒng)、信息資源管理系統(tǒng)，可以部署資源訪問控制點，對試圖訪問安全區(qū)內(nèi)重要信息資源的行為進行強制主動保護，合法授權(quán)用戶可以透明訪問資源，而非法用戶將遠離試圖接觸的資源，極大提高了資源保護能力。

4 信息層安全保密：信息交換和可信交換控制

互聯(lián)互通的第二個層面是信息層的互聯(lián)互通。不同安全域的機構(gòu)、應(yīng)用、用戶之間、不同應(yīng)用之間需要通過信息交換，傳遞文件、業(yè)務(wù)要求和其他業(yè)務(wù)信息，因此，建設(shè)統(tǒng)一體系、高效互聯(lián)的信息交換平臺勢在必行。然而在享受信息層互聯(lián)互通的同時，必須確?？缬蛐畔⒔粨Q符合安全保密的要求，確保安全可控。

因此，在信息交換平通各級安全域的同時，安全域邊界必須具有對交換信息安全保密控制的能力。而這種信息安全保密控制能力由信息交換平臺的信息交換發(fā)起方和安全域邊界的信息交換控制點共同實現(xiàn)：信息交換發(fā)起方必須具備對信息本身進行安全封裝的能力，在封裝過程中，需要明確設(shè)定當(dāng)前信息的相關(guān)保密屬性；而安全域邊界的信息交換控制點必須具備對當(dāng)前交換信息進行安全保密屬性鑒別能力，以及基于安全保密控制策略進行判斷能力，確保只有符合安全保密策略的交換信息通過。

5 安全保密為業(yè)務(wù)層互聯(lián)互通保駕護航

網(wǎng)絡(luò)層互聯(lián)互通和信息層互聯(lián)互通，為跨部門（跨安全域）業(yè)務(wù)互聯(lián)互通奠定了基礎(chǔ)。同時，網(wǎng)絡(luò)層安全保密和信息層安全保密為業(yè)務(wù)互聯(lián)互通的全程全網(wǎng)安全保密奠定了基礎(chǔ)。

長期以來，黨政信息化面向業(yè)務(wù)的全程全網(wǎng)開展一直是難點。由于缺乏信息互聯(lián)互通技術(shù)，傳統(tǒng)的業(yè)務(wù)跨部門（安全域）開展，只能采用遠程終端方式實現(xiàn)，而由于缺乏網(wǎng)絡(luò)互聯(lián)互通安全保密能力，為了規(guī)避網(wǎng)絡(luò)互聯(lián)互通的安全風(fēng)險，只能依靠網(wǎng)絡(luò)隔離手段建設(shè)了大量的業(yè)務(wù)專網(wǎng)，業(yè)務(wù)孤島現(xiàn)象由此而生。

在網(wǎng)絡(luò)層和信息層互聯(lián)互通安全保密實現(xiàn)的基礎(chǔ)上，業(yè)務(wù)層互聯(lián)互通不再面臨安全風(fēng)險威脅，基于統(tǒng)一的電子政務(wù)網(wǎng)絡(luò)，實現(xiàn)各個行業(yè)業(yè)務(wù)延伸已經(jīng)成為可能，這其中首先是全網(wǎng)網(wǎng)絡(luò)信任體系支撐下的安全保密技術(shù)突破，也是安全保密為業(yè)務(wù)保駕護航的重要方向。

黨政部門業(yè)務(wù)跨部門（安全域）互聯(lián)互通存在兩種基本模式：

5.1 全網(wǎng)共享型業(yè)務(wù)延伸

業(yè)務(wù)應(yīng)用系統(tǒng)在一個部門（安全域）部署，其他部門（安全域）用戶經(jīng)過授權(quán)具有遠程訪問該業(yè)務(wù)應(yīng)用系統(tǒng)的權(quán)限，而在遠程訪問發(fā)起過程中，網(wǎng)絡(luò)信任體系的安全域訪問控制和安全域訪問控制均可以對來訪用戶進行身份和權(quán)限的鑒別，確保共享型業(yè)務(wù)面向全網(wǎng)服務(wù)的安全保密。

5.2 全網(wǎng)協(xié)同型業(yè)務(wù)延伸

即參與業(yè)務(wù)協(xié)同的多個部門（安全域）各自部署相應(yīng)的業(yè)務(wù)處理系統(tǒng)，而這些業(yè)務(wù)處理系統(tǒng)在業(yè)務(wù)開展過程中，用戶無需跨部門（安全域）遠程訪問其他業(yè)務(wù)處理系統(tǒng)，通過相互間交換業(yè)務(wù)信息和業(yè)務(wù)辦理要求，由分布在不同部門（安全域）的用戶在各自系統(tǒng)中進行跨系統(tǒng)業(yè)務(wù)協(xié)同，共同完成復(fù)雜業(yè)務(wù)。在跨部門（安全域）交換業(yè)務(wù)信息時，信息交換平臺一方面負責(zé)信息的端到端內(nèi)容安全性，而安全域邊界的信息交換控制點根據(jù)安全策略，負責(zé)信息流轉(zhuǎn)符合安全保密規(guī)則。

基于網(wǎng)絡(luò)層、信息層互聯(lián)互通和安全保密的方案，既保護了業(yè)務(wù)全程互聯(lián)互通、又確保業(yè)務(wù)跨域延伸的安全保密。

6 結(jié)束語

黨政信息化互聯(lián)互通、信息共享和業(yè)務(wù)協(xié)同的發(fā)展要求，對傳統(tǒng)的以防御、以隔離為主要特征的安全保密模式提出了新的挑戰(zhàn)。安全保密必須以業(yè)務(wù)發(fā)展為導(dǎo)向，以保障業(yè)務(wù)全程全網(wǎng)的安全開展為服務(wù)目標(biāo)，因而也必須面向全網(wǎng)安全保密。全網(wǎng)網(wǎng)絡(luò)信任體系的實現(xiàn)為全網(wǎng)安全保密提供了基礎(chǔ)，網(wǎng)絡(luò)信任體系和一般意義上的應(yīng)用系統(tǒng)信任、局域網(wǎng)信任的最大不同是網(wǎng)絡(luò)信任體系以全網(wǎng)為管理、服務(wù)范圍，具有真正的體系一致性。而基于全網(wǎng)網(wǎng)絡(luò)信任體系的管理和服務(wù)能力，網(wǎng)絡(luò)層互聯(lián)互通、信息層互聯(lián)互通的全網(wǎng)安全保密可以實現(xiàn)，進而為跨部門、跨區(qū)域、跨行業(yè)的業(yè)務(wù)開展，實現(xiàn)業(yè)務(wù)層互聯(lián)互通提供了支撐和保障，為黨政系統(tǒng)信息化安全保密提供了全新的解決方案。

作者單位

信息安全服務(wù)體系篇6

關(guān)鍵詞：信息管理系統(tǒng) 信息安全系統(tǒng)安全建設(shè)

中圖分類號：TP39 文獻標(biāo)識碼：A 文章編號：1003-9082（2014）03-0001-02

一、引言

隨著全球信息化不斷在我國深化和發(fā)展，我國各地區(qū)、各行業(yè)使用信息系統(tǒng)開展工作的比例越來越大。一般來說，信息化程度越高，對信息管理系統(tǒng)的依賴性就越強，信息安全問題就越為突顯和嚴重。而信息安全問題也正逐漸成為影響各企事業(yè)單位業(yè)務(wù)能否正常運行、生產(chǎn)力能否快速發(fā)展的重要因素之一。但是由于我國信息化建設(shè)起步相對較晚，與國外先進國家相比，無論在信息安全意識還是信息安全防護技術(shù)等諸多方面都還存在較大差距，各企事業(yè)單位的信息安全基本上均處于一個相對較為薄弱的環(huán)節(jié)。一旦信息管理系統(tǒng)中的個人信息和敏感數(shù)據(jù)發(fā)生丟失或者泄漏，可能會對自身造成無可估量的損失。因此，重點保障信息管理系統(tǒng)安全已成為各行各業(yè)的首要任務(wù)。信息管理系統(tǒng)安全建設(shè)應(yīng)該系統(tǒng)地、有條理地進行全面規(guī)劃，充分地、全方位地考慮安全需求和特性，從而達到各種安全產(chǎn)品、安全管理、整體安全策略和外部安全服務(wù)的統(tǒng)一，發(fā)揮其最大的效率，給予信息管理系統(tǒng)以最大保障。

二、信息管理系統(tǒng)安全建設(shè)原則

1.安全體系兼容性

安全體系有一個重要的思想是安全技術(shù)的兼容性，安全措施能夠和目前主流、標(biāo)準(zhǔn)的安全技術(shù)和產(chǎn)品兼容。

2.信息管理系統(tǒng)體系架構(gòu)安全性

系統(tǒng)的系統(tǒng)架構(gòu)已經(jīng)成為保護系統(tǒng)安全的重要防線，一個優(yōu)秀的系統(tǒng)體系架構(gòu)除了能夠保證系統(tǒng)的穩(wěn)定性以外，還能夠封裝不同層次的業(yè)務(wù)邏輯。各種業(yè)務(wù)組件之間的“黑盒子”操作，能夠有效地保護系統(tǒng)邏輯隱蔽性和獨立性。

3.傳輸安全性

由于計算機網(wǎng)絡(luò)涉及很多用戶的接入訪問，因此如何保護數(shù)據(jù)在傳輸過程中不被竊聽和撰改就成為重點考慮內(nèi)的問題，建議采用傳輸協(xié)議的加密保護。

4.軟硬件結(jié)合的防護體系

系統(tǒng)應(yīng)支持和多種軟硬件安全設(shè)備結(jié)合，構(gòu)成一個立體防護體系，主要安全軟硬件設(shè)備為防火墻系統(tǒng)、防病毒軟件等。

5.可跟蹤審計

系統(tǒng)應(yīng)內(nèi)置多粒度的日志系統(tǒng)，能夠按照需要把各種不同操作粒度的動作都記錄在日志中，用于跟蹤和審計用戶的歷史操作。

6.身份確認及操作不可抵賴

身份確認對于系統(tǒng)來說有兩重含義，一是用戶身份的確認，二是服務(wù)器身份的確認，兩者在信息安全體系建設(shè)中必不可少。

7.數(shù)據(jù)存儲的安全性

系統(tǒng)中數(shù)據(jù)存儲方面可以采取兩道機制進行的保護，一是系統(tǒng)提供的訪問權(quán)限控制，二是數(shù)據(jù)的加密存放。

三、信息管理系統(tǒng)安全建設(shè)內(nèi)容

按照系統(tǒng)安全體系結(jié)構(gòu)，結(jié)合安全需求、安全策略和安全措施，并充分利用安全設(shè)備包括防火墻、入侵檢測、主機審計等，其建設(shè)內(nèi)容主要有：

1.物理安全

機房要求保護計算機設(shè)備、設(shè)施（含網(wǎng)絡(luò)）以及其它媒體免遭地震、水災(zāi)、火災(zāi)、有害氣體和其它環(huán)境事故（如電磁污染、電源故障、設(shè)備被盜、被毀等）破壞。

2.網(wǎng)絡(luò)安全

利用現(xiàn)有的防火墻、路由器，實行訪問控制，按用戶與系統(tǒng)間的訪問規(guī)則，決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問。同時加強端口、拒絕服務(wù)攻擊、網(wǎng)絡(luò)蠕蟲等的監(jiān)控，保障系統(tǒng)網(wǎng)絡(luò)運行的暢通。

2.1使用防火墻技術(shù)

通過使用防火墻技術(shù)，建立系統(tǒng)的第二道安全屏障。例如，防止外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)的未授權(quán)訪問，建立系統(tǒng)的對外安全屏障。最好是采用不同技術(shù)的防火墻，增加黑客擊穿防火墻的難度。

2.2使用入侵監(jiān)測系統(tǒng)

使用入侵監(jiān)測系統(tǒng)，建立系統(tǒng)的第三道安全屏障，提高系統(tǒng)的安全性能，主要包括：監(jiān)測分析用戶和系統(tǒng)的活動、核查系統(tǒng)配置和漏洞、評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性、識別已知的攻擊行為、統(tǒng)計分析異常行為、操作系統(tǒng)日志管理，并識別違反安全策略的用戶活動等功能。

3.主機安全

系統(tǒng)主機安全從主機身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范和資源控制等方面考慮。

3.1主機身份鑒別

對登錄操作系統(tǒng)的用戶進行身份設(shè)別和鑒別，對操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)設(shè)置復(fù)雜的登錄口令，并且定期進行更換。同時對操作系統(tǒng)和數(shù)據(jù)庫用戶分配不同的用戶分配不同用戶名。

3.2訪問控制

通過三層交換機和防火墻設(shè)置對系統(tǒng)服務(wù)器的訪問控制權(quán)限。對服務(wù)器實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離，限制默認賬號的訪問權(quán)限，重命名系統(tǒng)默認賬戶，修改默認密碼。

3.3安全審計

服務(wù)器操作系統(tǒng)本身帶有審計功能，要求審計范圍覆蓋到服務(wù)器上的每個操作系統(tǒng)用戶，審計內(nèi)容包括重要用戶行為、系統(tǒng)資源異常使用并進行記錄。

信息管理系統(tǒng)也應(yīng)考慮安全審計功能，記錄系統(tǒng)用戶行為，系統(tǒng)用戶操作事件日期、時間、類型、操作結(jié)果等。

3.4入侵防范

利用入侵檢測系統(tǒng)和防火墻相應(yīng)功能，檢測對服務(wù)器入侵行為，記錄入侵源IP、攻擊的類型、攻擊的目標(biāo)、攻擊時間，并在發(fā)生嚴重的入侵事件時提供報警。

3.5惡意代碼防范

在服務(wù)器上安裝服務(wù)器端防病毒系統(tǒng)，以提供對病毒的檢測、清除、免疫和對抗能力。

3.6資源控制

在核心交換機與防火墻配置詳細訪問控制策略，限制非法訪問。

4.應(yīng)用安全

4.1安全審計

信息管理系統(tǒng)應(yīng)提供覆蓋到每個用戶的安全審計功能，對應(yīng)用系統(tǒng)重要安全事件進行審計，審計記錄內(nèi)容至少包括事件的日期、時間、發(fā)起者信息、類型、描述和結(jié)果等，保證無法刪除、修改或覆蓋審計記錄。

4.2資源控制

信息管理系統(tǒng)應(yīng)限制用戶對系統(tǒng)的最大并發(fā)會話連接數(shù)、限制單個賬戶的多重并發(fā)會話、限制某一時間段內(nèi)可能的并發(fā)會話連接數(shù)。

5.數(shù)據(jù)安全

系統(tǒng)數(shù)據(jù)安全要求確保管理數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)等重要信息在傳輸過程和存儲過程中的完整性和保密性。對于數(shù)據(jù)庫中的敏感數(shù)據(jù)，需對數(shù)據(jù)項進行加密，保證管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程與存儲過程中完整性不受到破壞。

對數(shù)據(jù)進行定期備份，確保存儲過程中檢測到數(shù)據(jù)完整性錯誤時，具有數(shù)據(jù)恢復(fù)能力。必須采用至少兩種手段進行備份，備份手段以整體安全備份系統(tǒng)為主，配合其他備份手段，如GHOST、TRUE IMAGE或操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)本身的備份服務(wù)等。備份具體要求如下：

5.1各服務(wù)器專職管理員根據(jù)所管服務(wù)器的具體情況與整體安全備份系統(tǒng)專職管理員協(xié)調(diào)制訂好所管服務(wù)器的備份計劃及備份策略。

5.2整體安全備份系統(tǒng)專職管理人員必須組織各服務(wù)器專職管理員對各服務(wù)器每個季度進行一次整體災(zāi)備（冷備）。若某臺服務(wù)器的配置需要發(fā)生較大變更，該服務(wù)器的專職管理員應(yīng)在對該服務(wù)器實施變更前和圓滿完成變更后，分別對該服務(wù)器做一次整體災(zāi)備，必要時整體安全備份系統(tǒng)專職管理員需對整體災(zāi)備提供協(xié)助。

5.3數(shù)據(jù)備份主要分為月備份、周備份、日備份及日志（增量）備份。月備份每月對各服務(wù)器的所有系統(tǒng)、目錄及數(shù)據(jù)庫做一次全備（熱備）。周備份每周對各服務(wù)器的所有系統(tǒng)、目錄及數(shù)據(jù)庫做一次全備（熱備）。日備份每天對各服務(wù)器的重要目錄及數(shù)據(jù)庫做一次備份。日志（增量）備份針對數(shù)據(jù)更新較頻繁的服務(wù)器，每天進行多次增量備份。

5.4除日志（增量）備份外，其它各種備份以每一次獨立執(zhí)行的備份作為一個獨立版本。每個獨立版本的備份必須存儲在獨立的備份介質(zhì)上，不能混合存儲在同一套備份介質(zhì)。整體災(zāi)備（冷備）和月備份一般要求保留至少能覆蓋當(dāng)年及上一年全年時間的所有版本，周備份要求保留至少最近5個版本，日備份要求保留至少最近4個版本，日志（增量）備份保留至少自上一次周備份以來的所有版本。

5.5備份介質(zhì)應(yīng)放在機房以外安全的地方保管。所有備份介質(zhì)必須有明確、詳盡的標(biāo)簽文字說明。

5.6整體安全備份系統(tǒng)專職管理員必須定時檢查備份作業(yè)的運行情況，備份異常情況應(yīng)盡快查明原因，解決問題并在值班登記本上詳細記錄。

四、安全制度建設(shè)

建設(shè)嚴格、完整的基本管理制度包括安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理機制幾個方面。

安全管理制度：包括安全策略、安全制度、操作規(guī)程等的管理制度；管理制度的制定和；管理制度的評審和修訂。

安全管理機構(gòu)：包括職能部門崗位設(shè)置；系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員的人員配備；授權(quán)和審批；管理人員、內(nèi)部機構(gòu)和職能部門間的溝通和合作；定期的安全審核和安全檢查。

人員安全管理：包括人員錄用；人員離崗；人員考核；安全意識教育和培訓(xùn)；外部人員訪問管理。

系統(tǒng)建設(shè)管理：包括系統(tǒng)定級；安全方案設(shè)計；產(chǎn)品采購和使用；自行軟件開發(fā)；外包軟件開發(fā)；工程實施；測試驗收；系統(tǒng)交付；系統(tǒng)備案；等級測評；安全服務(wù)商選擇。

系統(tǒng)運維管理：包括機房環(huán)境管理；信息資產(chǎn)管理；介質(zhì)管理；設(shè)備管理；監(jiān)控管理和安全管理中心；網(wǎng)絡(luò)安全管理；系統(tǒng)安全管理；惡意代碼防范管理；密碼管理；變更管理；備份與恢復(fù)管理；安全事件處置；應(yīng)急預(yù)案管理。

五、結(jié)束語

信息化建設(shè)已經(jīng)涉及到國民經(jīng)濟和社會生活的各個領(lǐng)域，信息管理系統(tǒng)也成為各行各業(yè)信息化建設(shè)發(fā)展中的重要工具。如何保障信息管理系統(tǒng)安全從而保證信息安全是關(guān)系到國家安全、社會安全和行業(yè)安全的大問題。我們只有在實現(xiàn)信息安全的條件下，才能有效利用信息管理系統(tǒng)這個有力的工具提高生產(chǎn)力，推動社會的發(fā)展。本文通過對信息系統(tǒng)安全建設(shè)原則、安全建設(shè)內(nèi)容和安全制度建設(shè)三方面較為詳細的探討，應(yīng)該對于各企事業(yè)單位信息管理系統(tǒng)的安全建設(shè)有所幫助和借鑒。

參考文獻

[1] 林國恩，李建彬，信息系統(tǒng)安全，電子工業(yè)出版社，2010-03

[2] Dieter Gollmann， Computer Security 2 edition， Wiley， 2006

[3]《信息系統(tǒng)安全等級保護基本要求》，中華人民共和國國家標(biāo)準(zhǔn)，GB/T 22239-2008

[4] 尚邦治等，做好信息安全等級保護工作，中國衛(wèi)生信息管理雜志，2012.5

[5] 王起全，企業(yè)安全生產(chǎn)信息管理系統(tǒng)構(gòu)建研究，中國安全科學(xué)學(xué)報，2010.5

信息安全服務(wù)體系篇7

關(guān)鍵詞：信息安全管理等級保護數(shù)據(jù)采集日志管理

中圖分類號：TP39 文獻標(biāo)識碼：A 文章編號：1672-3791（2015）11（c）-0007-02

我國電子政務(wù)建設(shè)正處在高速發(fā)展期，從中央到省市各級政府部門都投入了大量的人力和財力來推進信息化工作。電子政務(wù)公共平臺的頂層設(shè)計和實施建成，較大程度地提高了政府信息政務(wù)公開和共享等的工作效率和服務(wù)質(zhì)量。電子政務(wù)公共平臺穩(wěn)定和安全運行已經(jīng)構(gòu)成了政府運轉(zhuǎn)連續(xù)性的重要保障之一。因此，電子政務(wù)公共平臺的安全保障工作已經(jīng)成為政府信息化工作成敗的關(guān)鍵因素。信息安全的管理需要在各個層面為電子政務(wù)提供機密性、完整性、可用性、鑒別等安全服務(wù)。該文基于信息安全等級保護，從安全基礎(chǔ)設(shè)施、訪問控制策略、安全防御、安全監(jiān)控、安全審計和安全響應(yīng)恢復(fù)等研究信息安全研究電子政務(wù)的安全管理體系。從而從整體上提高電子政務(wù)公共平臺信息安全管理全面性。

1 研究思路

基于電子政務(wù)公共平臺服務(wù)的戰(zhàn)略定位、統(tǒng)籌規(guī)劃和實施路徑的總體把握，按照基于等級保護技術(shù)要求，并根據(jù)電子政務(wù)信息化服務(wù)業(yè)務(wù)安全需求，為信息化綜合服務(wù)提供安全支撐服務(wù)，從而使得平臺可以安全、穩(wěn)定、可連續(xù)的進行信息化服務(wù)。重點保護基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全，實現(xiàn)信息安全服務(wù)支撐工作的有效安全技術(shù)和管理措施要求，以實現(xiàn)信息安全等級保護實施的重大的現(xiàn)實和戰(zhàn)略意義。

2 總體設(shè)計目標(biāo)

（1）電子政務(wù)公共平臺安全管理建設(shè)的總體目標(biāo)是統(tǒng)一技術(shù)標(biāo)準(zhǔn)，共建共享信息安全基礎(chǔ)設(shè)施，建立統(tǒng)一的公共密鑰基礎(chǔ)設(shè)施（PKI），實現(xiàn)跨系統(tǒng)的身份認證機制等。

（2）解決傳統(tǒng)信息化系統(tǒng)建設(shè)中，電子政務(wù)公共平臺基礎(chǔ)設(shè)施、信息資源與業(yè)務(wù)系統(tǒng)因所有權(quán)、使用權(quán)和管理權(quán)界定不清晰，存在基礎(chǔ)設(shè)施和業(yè)務(wù)應(yīng)用的管理權(quán)限難以分離管理，責(zé)任權(quán)限過大或者過小，造成設(shè)備利用率不高，或容易出現(xiàn)信息安全事件的情況。

（3）解決不同的政府部分因不同的職能/服務(wù)導(dǎo)致的電子政務(wù)基礎(chǔ)設(shè)施和資源的重復(fù)建設(shè)和資金浪費問題。

（4）解決信息化綜合服務(wù)的安全服務(wù)支撐，實現(xiàn)各級信息系統(tǒng)的授權(quán)管理、認證服務(wù)、鑒別服務(wù)、訪問控制和數(shù)據(jù)防護的安全服務(wù)支撐，最終實現(xiàn)各級信息系統(tǒng)互聯(lián)互通的信息化服務(wù)。

3 設(shè)計分析

3.1 設(shè)計思路

（1）電子政務(wù)公共平臺安全管理建設(shè)統(tǒng)一管理電子政務(wù)邊界安全防護系統(tǒng)，集中建設(shè)互聯(lián)網(wǎng)接入點，實現(xiàn)部門互聯(lián)網(wǎng)的安全接入和可管可控可剝離等。

（2）電子政務(wù)公共平臺安全管理基于安全技術(shù)體系下，根據(jù)各自信息安全等級，建設(shè)、升級、完善安全系統(tǒng)等。

（3）電子政務(wù)公共平臺安全管理中心系統(tǒng)將不同位置、不同安全系統(tǒng)中分散且海量的單一安全事件進行匯總、過濾、收集和關(guān)聯(lián)分析，以全局角度分析信息安全風(fēng)險和信息安全事件，形成分層次分區(qū)域的安全策略，以對安全事件進行響應(yīng)和處置的綜合性信息安全管理平臺。

（4）電子政務(wù)公共平臺安全管理是一個跨系統(tǒng)、跨部門的綜合信息系統(tǒng)，由虛擬資源管理系統(tǒng)、數(shù)據(jù)挖掘與智能瀏覽、虛擬資源隔離系統(tǒng)、信息資源目錄與交換系統(tǒng)、基于SOA的業(yè)務(wù)協(xié)同、多元數(shù)據(jù)融合與集成系統(tǒng)、數(shù)據(jù)庫資源整合與綜合應(yīng)用、多級數(shù)據(jù)交換系統(tǒng)、信息服務(wù)資源運營管理平臺、信息化綜合服務(wù)管理平臺信息中心構(gòu)成的完整獨立體系構(gòu)成等。

（5）電子政務(wù)公共平臺信息安全管理是按照其保障工作流程，依次分為數(shù)據(jù)采集層、分析層、展示層等。

（6）電子政務(wù)公共平臺安全管理設(shè)計研究多種分類的數(shù)據(jù)接口，一方面滿足與用戶已有或后續(xù)建設(shè)的其他管理系統(tǒng)或平臺集成整合，另一方面，安全管理中心還提供了相關(guān)數(shù)據(jù)接口和配置接口，可對相關(guān)安全產(chǎn)品進行統(tǒng)一配置和管理等。

（7）電子政務(wù)公共平臺安全管理的數(shù)據(jù)采集層針對重要信息系統(tǒng)進行信息安全數(shù)據(jù)采集，包括關(guān)鍵業(yè)務(wù)系統(tǒng)環(huán)境相關(guān)的網(wǎng)絡(luò)設(shè)備、主機、安全產(chǎn)品等信息。

（8）電子政務(wù)公共平臺安全管理的分析層是安全運行管理的核心，負責(zé)對數(shù)據(jù)采集的信息進行分析處理，并對相關(guān)的信息安全風(fēng)險和信息安全事件進行預(yù)警和響應(yīng)等。

（9）電子政務(wù)公共平臺主要功能包括了安全監(jiān)控、預(yù)警、告警、響應(yīng)、信息安全策略管理和系統(tǒng)管理等。

（10）電子政務(wù)公共平臺安全管理的數(shù)據(jù)展示層提供了安全運行管理可視化界面，分為管理員界面和為客戶提供的可視化界面。管理員通過管理界面，對電子政務(wù)公共平臺整體信息安全態(tài)勢、管理和配置進行管理操作，主要包括網(wǎng)絡(luò)、系統(tǒng)運行、事件報警等展示和策略配置管理；為電子政務(wù)服務(wù)提供定制化全網(wǎng)的安全信息和安全狀態(tài)分析展示，包括風(fēng)險預(yù)警、告警事件、故障分析、策略、報表報告等數(shù)據(jù)分析和展示功能等。

3.2 設(shè)計模型

（1）電子政務(wù)公共平臺安全管理中心系統(tǒng)。

①組成：數(shù)據(jù)采集層、數(shù)據(jù)和業(yè)務(wù)管理層、數(shù)據(jù)展示層等；

②通過數(shù)據(jù)接口連接外部產(chǎn)品管理接口，諸如，實時數(shù)據(jù)接口、文件接口、數(shù)據(jù)庫接口、其他接口等。

（2）電子政務(wù)公共平臺安全管理中心系統(tǒng)數(shù)據(jù)展示層。

①風(fēng)險展現(xiàn)管理：包括，拓撲展示、運行狀態(tài)、實時性能、風(fēng)險預(yù)警、告警事件、故障分析、策略、報表報告等。

②通過采集探針Probe整合，以Portal的方式進行多系統(tǒng)數(shù)據(jù)展示整合。

（3）電子政務(wù)公共平臺安全管理中心系統(tǒng)分析層。

①分析層是安全運行管理平臺的核心，由信息安全核心服務(wù)器和數(shù)據(jù)庫構(gòu)成等。

②負責(zé)對前端信息安全數(shù)據(jù)采集的風(fēng)險點進行分析，并對根據(jù)信息安全策略對安全目標(biāo)進行預(yù)警和響應(yīng)等。

③負責(zé)安全監(jiān)控、預(yù)警、告警、響應(yīng)、信息安全策略管理和系統(tǒng)管理等。

④組成：應(yīng)用引擎平臺、業(yè)務(wù)邏輯子層、數(shù)據(jù)邏輯子層、資源管理（KBP）、數(shù)據(jù)管理（KPI）、南向適配（配置、性能、事件數(shù)據(jù)元素整形適配器）、采集調(diào)試管理等。

⑤業(yè)務(wù)邏輯子層通過工單交互、知識庫交互等，與企業(yè)整體的運維管理系統(tǒng)實現(xiàn)雙向接口等。

⑥數(shù)據(jù)邏輯子層通過CMDB復(fù)用等，以統(tǒng)一CMDB的形式與網(wǎng)管、運維系統(tǒng)整合等。

（4）電子政務(wù)公共平臺安全管理中心系統(tǒng)采集層。

①數(shù)據(jù)采集層針對重要信息系統(tǒng)進行信息安全數(shù)據(jù)采集，包括關(guān)鍵業(yè)務(wù)系統(tǒng)環(huán)境相關(guān)的網(wǎng)絡(luò)設(shè)備、主機、安全產(chǎn)品等信息。

②設(shè)計部署采集管理控制臺統(tǒng)一進行信息采集，并設(shè)計采集任務(wù)分發(fā)給相對應(yīng)的采集點。

③設(shè)計可定制化的采集的策略，包括采集范圍對象、采集頻度、采集數(shù)量等。

3.3 數(shù)據(jù)模型分析

數(shù)據(jù)采集層設(shè)計采用以下網(wǎng)絡(luò)協(xié)議進行數(shù)據(jù)采集，列舉主要的安全管理中心應(yīng)用的協(xié)議和技術(shù)實施例。

4 研究案例與成果

信息安全保障技術(shù)是為管理做技術(shù)支持，管理和技術(shù)并重。信息安全管理的策略設(shè)計與運行實施才是安全管理落地的根本，從運行和維護的信息安全角度，總結(jié)信息安全管理主要工作主要包括了：（1）建立完善的電子政務(wù)服務(wù)身份認證和訪問控制機制，規(guī)范管理電子政務(wù)服務(wù)信息安全標(biāo)準(zhǔn)規(guī)范和相關(guān)協(xié)議的合規(guī)性作業(yè)流程；（2）信息安全的管理運行分級分域進行信息安全管理，即采取分級控制和按業(yè)務(wù)類型重要程度分域的管理，并對運維人員的職責(zé)范圍明確劃分；（3）設(shè)立以政府為主導(dǎo)的第三方監(jiān)督審計機構(gòu)，對電子政務(wù)服務(wù)安全性、合規(guī)性監(jiān)督測評；（4）定期開展信息安全培訓(xùn)，加強人員的信息安全意識，健全內(nèi)部機制，增強政府服務(wù)的安全防范意識和風(fēng)險管理能力。

5 結(jié)語

該文研究信息安全管理系統(tǒng)滿足電子政務(wù)業(yè)務(wù)的安全事件集中收集和處理能力，構(gòu)筑了基于資產(chǎn)安全屬性（CIA）和安全域的業(yè)務(wù)安全風(fēng)險管理體系，通過關(guān)聯(lián)分析和客戶化關(guān)聯(lián)分析規(guī)則定義，實現(xiàn)準(zhǔn)確的事件定位，形成了統(tǒng)一的安全知識共享體系，可實現(xiàn)多級不同管理模式的功能，具備安全管理中心的高容錯性、高可用性和高冗余可靠性。該研究成果具有良好安全管理中心的可擴展性，包括多級擴展、功能擴展，滿足級保護三級―― 監(jiān)督保護級要求，并遵循《關(guān)于印發(fā)的通知》（國信辦【2006】9號）進行資產(chǎn)、弱點、威脅和采取的控制措施進行評估的要求。

參考文獻

[1] 周曉斌，董瑞陽.電子政務(wù)信息安全十大問題[N].計算機世界，2009-06-29.

[2] 唐珂.淺談我國電子政務(wù)建設(shè)及信息安全管理問題檔案學(xué)研究，2004（6）：38-47.

信息安全服務(wù)體系篇8

關(guān)鍵詞：公路信息服務(wù)體系；主要問題；對策

隨著當(dāng)前信息化技術(shù)的迅猛發(fā)展，積極打造“綜合交通”“智慧交通”“綠色交通”“平安交通”已成為當(dāng)前交通運輸發(fā)展的戰(zhàn)略任務(wù)。公路信息服務(wù)作為交通信息服務(wù)的重要組成，逐步得到了越來越多的關(guān)注，主要包括公路交通運行、營運、管理、服務(wù)等關(guān)聯(lián)的一切信息。雖然部分省市加快了干線公路信息服務(wù)建設(shè)，新建了大量公路信息設(shè)施，但是由于建設(shè)初期缺乏系統(tǒng)化的規(guī)劃以及清晰的功能定位，公路信息服務(wù)的實際應(yīng)用功能受到很大的制約。構(gòu)建符合現(xiàn)代特征的干線公路信息體系就要立足于公路信息服務(wù)的基本特點，明確公路信息的服務(wù)對象，整合和利用社會公共服務(wù)體系中的相關(guān)服務(wù)，透過公路信息系統(tǒng)及服務(wù)平臺，為信息的服務(wù)對象提供均衡、優(yōu)質(zhì)、高效、有用、方便的公路信息服務(wù)。

1 公路信息服務(wù)體系構(gòu)建需求

公路信息服務(wù)的主要服務(wù)對象通常包括政府公路主管部門、公路生產(chǎn)運營管理主體、其他部門以及社會公眾等。不同的服務(wù)對象對信息服務(wù)的要求是不同的。本文緊密圍繞公路信息服務(wù)的對象的需求，分析公路信息服務(wù)屬性，按照公路信息服務(wù)資源特點，公路信息服務(wù)主要可以分為動態(tài)基礎(chǔ)信息、動態(tài)交通信息、靜態(tài)信息以及其他信息。其中，公路動態(tài)信息具體反映公路整體的運行狀態(tài)，主要體現(xiàn)在道路行駛的車流分布、結(jié)構(gòu)比例等方面；動態(tài)交通信息主要包括交通限制信息、交通誘導(dǎo)信息等；靜態(tài)交通信息則側(cè)重于公路路產(chǎn)基本屬性；其他信息則能為公路信息服務(wù)對象提供其他信息的參考。具體公路信息服務(wù)需求如表1所示。

公路動態(tài)基礎(chǔ)信息主要包括道路車流量方向分布、道路車流量行駛時速分布、道路車流行駛路線、道路運行車型結(jié)構(gòu)比例、道路擁擠情況、道路運行車輛軸載數(shù)據(jù)等，按照可能出現(xiàn)的道路突況，還需要包括道路阻斷信息、交通限制信息、交通誘導(dǎo)信息等。公路靜態(tài)屬性信息則更側(cè)重于公路路產(chǎn)路況等基本屬性，主要包括公路路網(wǎng)信息、公路路況基本信息、道路施工信息。為了更好地提供信息服務(wù)，公路信息服務(wù)內(nèi)容還應(yīng)包括氣象信息等其他信息。

2 公路信息服務(wù)體系構(gòu)建的方法

構(gòu)建公路信息服務(wù)體系是滿足當(dāng)前信息化時代下政府部門及社會大眾對日益增長的信息綜合需求的必然趨勢。公路信息化服務(wù)體系依托信息化平臺，為必要的服務(wù)對象提供綜合的、整合的、一站式的、便捷的信息化服務(wù)。為了使信息提供更為精準(zhǔn)，帶來更好的用戶體驗，將信息化服務(wù)進行打包，構(gòu)建面向服務(wù)的公路信息系統(tǒng)平臺，可以為用戶推薦相應(yīng)的服務(wù)，也可以由用戶自己進行定制完成。具體如圖l所示。

3 公路信息服務(wù)體系構(gòu)建面臨的主要問題

公路信息服務(wù)的服務(wù)對象既包括政策制定、決策部門，又包括社會公眾，這些社會公眾往往對信息化的需求也十分迫切。當(dāng)前大環(huán)境中，公路信息服務(wù)的建設(shè)主體仍舊為政府和有關(guān)事業(yè)單位，相關(guān)信息化服務(wù)運行平臺尚未建立，資金保障也略顯不足，專業(yè)技術(shù)人員也明顯缺乏，信息服務(wù)的及時性、可靠性無法得到保障。

（1）行政資源。建立有效的公路信息服務(wù)體系不僅需要統(tǒng)籌協(xié)調(diào)公路各單位、部門現(xiàn)有資源，自上而下地建立協(xié)調(diào)機制，提供優(yōu)良的行政資源，才能打破現(xiàn)有“信息孤島”狀態(tài)。同時，還要積極協(xié)調(diào)與其他部門的資源共享，提供更多有價值、有意義的信息服務(wù)。（2）財政資源。公路信息服務(wù)在實際的應(yīng)用過程中，將以社會的消費行為參與到社會經(jīng)濟活動中。其中產(chǎn)生的信息資源流動必定消耗生產(chǎn)成本，需要投入大量的資金來維持信息服務(wù)的正常運作。因此，需要從國家層面建立完善的融資渠道，通過政策支持，提供刺激發(fā)展的財政資源。（3）技術(shù)資源。公路信息服務(wù)體系也是智能交通的重要組成。當(dāng)前缺乏統(tǒng)一的標(biāo)準(zhǔn)化內(nèi)容來實現(xiàn)行業(yè)內(nèi)外數(shù)據(jù)信息的順暢流動，使得公路信息服務(wù)的質(zhì)量大大降低。

4 推進公路信息服務(wù)體系構(gòu)建策略

推動公路信息服務(wù)體系的構(gòu)建，是當(dāng)前公路行業(yè)信息化發(fā)展的方向，也是打造智能交通的重要途徑。必須堅持以社會對公路信息服務(wù)需求為驅(qū)動，以公路行業(yè)主管部門為主導(dǎo)力量，發(fā)動全社會力量共同參與，構(gòu)建具有服務(wù)性、系統(tǒng)性的平臺。

4.1 完善組織機構(gòu)

針對公路信息服務(wù)特點，建立相應(yīng)的信息化服務(wù)組織機構(gòu)，明確機構(gòu)工作職責(zé)，制定信息服務(wù)方針政策，緊密與其他部門（如氣象）溝通，建立互聯(lián)互通工作渠道，充分發(fā)揮公眾力量，努力構(gòu)建公路信息服務(wù)閉環(huán)結(jié)構(gòu)。

4.2 建立長效運營保障

建立健全、完善的組織體系，充分整合社會資源，是實現(xiàn)公路信息化的重要組織保證?？梢园凑铡敖y(tǒng)籌規(guī)劃、總體設(shè)計、試點先行”的原則，分步實施，逐步完善，通過新技術(shù)的應(yīng)用，完善數(shù)據(jù)資源管理，建立相應(yīng)軟硬件支撐平臺，建設(shè)具有一定先進性的網(wǎng)絡(luò)結(jié)構(gòu)，建設(shè)相應(yīng)的外場設(shè)備，做好必要的技術(shù)支持。建立健全運營維護機制，明確運維管理經(jīng)費來源。

4.3 加強技術(shù)安全保障

系統(tǒng)安全是信息系統(tǒng)平臺正常運行的重要保障。要切實保障系統(tǒng)安全，重點從組織安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、系統(tǒng)安全、物理安全等角度落實。

5 結(jié)語

本文鏈接：http://edgebase.com.cn/v-141-3437.html信息安全服務(wù)體系范文8篇

聲明：本網(wǎng)頁內(nèi)容由互聯(lián)網(wǎng)博主自發(fā)貢獻，不代表本站觀點，本站不承擔(dān)任何法律責(zé)任。天上不會到餡餅，請大家謹防詐騙！若有侵權(quán)等問題請及時與本網(wǎng)聯(lián)系，我們將在第一時間刪除處理。

上一篇：校本研修自修筆記范文8篇

下一篇：校本研修培訓(xùn)反思范文8篇

相關(guān)文章：

寒露節(jié)氣手抄報10-06

小暑手抄報一等獎素材08-23

小學(xué)數(shù)學(xué)名言08-27

名人名言短句經(jīng)典語錄08-16