導(dǎo)語(yǔ)：如何才能寫(xiě)好一篇網(wǎng)絡(luò)安全保障應(yīng)急預(yù)案，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞:網(wǎng)絡(luò)安全;人力資源;維護(hù);管理;社會(huì)保障;應(yīng)用

隨著計(jì)算機(jī)信息化的迅猛發(fā)展，我國(guó)人力資源和社會(huì)保障網(wǎng)絡(luò)系統(tǒng)已經(jīng)實(shí)現(xiàn)了全覆蓋，范圍非常廣，而且涉及的人數(shù)非常多，關(guān)系到每一位參保人的切身利益，因此，如果該信息系統(tǒng)遭到網(wǎng)絡(luò)黑客的攻擊，一定會(huì)造成非常嚴(yán)重的后果，所以，健全網(wǎng)絡(luò)系統(tǒng)安全至關(guān)重要。網(wǎng)絡(luò)安全隱患大多集中在操作系統(tǒng)以及數(shù)據(jù)庫(kù)等方面，人力資源與社會(huì)保障信息系統(tǒng)最關(guān)鍵的就是信息的安全，容易遭到他們惡意的竊取、篡改和破壞。故而，要從多各方面加強(qiáng)對(duì)該系統(tǒng)的網(wǎng)絡(luò)安全的技術(shù)、維護(hù)和管理。

1網(wǎng)絡(luò)安全相關(guān)的技術(shù)綜述

1.1防火墻技術(shù)

防火墻技術(shù)是GilShwed發(fā)明并引至互連網(wǎng)當(dāng)中的，它是在內(nèi)網(wǎng)與外網(wǎng)中間的一個(gè)安全系統(tǒng)。防火墻根據(jù)內(nèi)網(wǎng)用戶(hù)的規(guī)則允許或是限制網(wǎng)絡(luò)數(shù)據(jù)的傳輸。這一技術(shù)從發(fā)明至今已經(jīng)歷4個(gè)階段，從開(kāi)始依靠路由器的防火墻發(fā)展到如今有安全操作系統(tǒng)的防火墻。它使得內(nèi)外網(wǎng)絡(luò)的信息溝通都要通過(guò)防火墻，且符合一定規(guī)則的數(shù)據(jù)方可通過(guò)，而且它本身具備很強(qiáng)的攻擊免疫力，故而這一技術(shù)可有效避免黑客的攻擊，確保網(wǎng)絡(luò)的安全。

1.2網(wǎng)關(guān)檢測(cè)技術(shù)

防火墻的發(fā)明有效阻止了大多數(shù)的網(wǎng)絡(luò)攻擊，然而伴隨網(wǎng)絡(luò)技術(shù)的快速發(fā)展，新攻擊手段層出不窮，僅靠防火墻已不能很全面的確保網(wǎng)絡(luò)的安全?，F(xiàn)在有不少攻擊，會(huì)把數(shù)據(jù)偽裝為合法數(shù)據(jù)流從而越過(guò)防火墻，這種情況下網(wǎng)關(guān)檢測(cè)技術(shù)被發(fā)明出來(lái)。這一技術(shù)借助分析輸入及輸出數(shù)據(jù)去識(shí)別異常的數(shù)據(jù)并實(shí)施隔離、刪除等措施。

1.3VPN技術(shù)

所謂VPN又可叫做虛擬專(zhuān)用網(wǎng)絡(luò)，它可以在公用的網(wǎng)絡(luò)上面建立屬于自己的網(wǎng)絡(luò)，大多借助密碼技術(shù)的網(wǎng)絡(luò)設(shè)備，這些是虛擬網(wǎng)絡(luò)所專(zhuān)用的設(shè)備，這項(xiàng)VPN技術(shù)能夠?yàn)楦鱾€(gè)用戶(hù)建立虛擬的安全網(wǎng)絡(luò)通道，使得攻擊者無(wú)法竊取到公共傳輸信息，保障在網(wǎng)絡(luò)傳輸中數(shù)據(jù)的安全。

1.4加密和認(rèn)證技術(shù)

前述提到的防火墻、網(wǎng)關(guān)檢測(cè)和VPN均是被動(dòng)型的網(wǎng)絡(luò)安全技術(shù)，而加密和認(rèn)證技術(shù)是通過(guò)密碼技術(shù)對(duì)網(wǎng)絡(luò)安全實(shí)施的主動(dòng)型安全措施，包含有數(shù)據(jù)保密與身份認(rèn)證等方面的技術(shù)。如今伴隨網(wǎng)絡(luò)技術(shù)的進(jìn)步，同時(shí)考慮人力資源和社會(huì)保障信息的特殊性，人員信息一定要確定為個(gè)人的身份證方可通過(guò)審核，在社會(huì)保障卡使用的時(shí)候還一定要簽名，部分地區(qū)還運(yùn)用數(shù)字簽名技術(shù)以確保相關(guān)信息的安全。

1.5訪問(wèn)控制技術(shù)

這一控制主要通過(guò)人力資源和社會(huì)保障數(shù)據(jù)中心的防火墻去設(shè)定，還采用有加密及認(rèn)證的技術(shù)。其將外網(wǎng)內(nèi)的訪問(wèn)組全部認(rèn)定成訪問(wèn)者，且僅允許有限的訪問(wèn)社保信息里的SSN區(qū)，這主要是對(duì)社保信息的查詢(xún)，同時(shí)拒絕其余所有外來(lái)的訪問(wèn)。而對(duì)內(nèi)網(wǎng)用戶(hù)常常設(shè)置成user，按照不同的權(quán)限等級(jí)去訪問(wèn)與之對(duì)應(yīng)的SSN區(qū)，并設(shè)定僅administer能夠?qū)?shù)據(jù)的訪問(wèn)不限制。

2人力資源與社會(huì)保障系統(tǒng)網(wǎng)絡(luò)安全的有效措施

2.1對(duì)系統(tǒng)訪問(wèn)進(jìn)行有效控制

在網(wǎng)絡(luò)接入方面，人力資源與社會(huì)保障系統(tǒng)只能在同一部的終端設(shè)備上才能將其接入，并要求必須具有一定的訪問(wèn)權(quán)限。同時(shí)，對(duì)于這些終端必須進(jìn)行查證和安全檢查，尤其對(duì)于不合格的終端要進(jìn)行及時(shí)的修復(fù)和升級(jí)處理，在認(rèn)證合格后才能將其接入網(wǎng)絡(luò)。另外，對(duì)于操作終端的人員要進(jìn)行身份的驗(yàn)證和限制其訪問(wèn)，要想進(jìn)行訪問(wèn)，必須具有訪問(wèn)許可，才能進(jìn)行訪問(wèn)。支持賬號(hào)、MAC和第三方認(rèn)證，對(duì)訪問(wèn)終端進(jìn)行嚴(yán)格控制后，有效的保證了訪問(wèn)的安全性。

2.2對(duì)用戶(hù)行為進(jìn)行有效管理

對(duì)數(shù)據(jù)的行為進(jìn)行有效管理，能夠保證數(shù)據(jù)的安全。尤其是對(duì)于基層接入較為分散的終端來(lái)說(shuō)，更需要采用一些較為有效的安全措施，才能有效防止用戶(hù)的非法操作。針對(duì)終端分散的特點(diǎn)，采用支持遠(yuǎn)程的管理功能，管理員具有遠(yuǎn)程控制和監(jiān)控的權(quán)限，為運(yùn)營(yíng)管理提供方便。對(duì)一些文件類(lèi)型進(jìn)行有效操作，將日志進(jìn)行上傳，以保證數(shù)據(jù)安全，不被篡改。另外，管理人員要具有統(tǒng)一軟件的能力，靈活處置終端軟件，及時(shí)對(duì)現(xiàn)有軟件進(jìn)行升級(jí)管理。同時(shí)，管理人員能夠?qū)⒔K端文件進(jìn)行遠(yuǎn)程備份，尤其是對(duì)核心機(jī)密文件能夠進(jìn)行有效備份，以防止意外損壞的發(fā)生。

2.3終端的安全檢查措施

因?yàn)榛鶎拥慕K端設(shè)備常常遭受病毒、黑客和木馬等的侵犯，安全形勢(shì)非常嚴(yán)峻，故而就要嚴(yán)格對(duì)接入終端予以安全檢查，必須檢查合格以后的終端方能夠接進(jìn)系統(tǒng)。在檢查的時(shí)候，重點(diǎn)檢查終端設(shè)備中的病毒軟件安裝和更新等有關(guān)情況，以防控病毒對(duì)基層終端造成的威脅;檢查終端互聯(lián)網(wǎng)內(nèi)的操作系統(tǒng)、瀏覽器和辦公軟件等，以保證其可以及時(shí)更新并安裝漏洞補(bǔ)丁，對(duì)系統(tǒng)和應(yīng)用程序可能遭到的木馬與病毒攻擊予以防范，借助補(bǔ)丁的更新有效消除系統(tǒng)的安全隱患;檢查終端的密碼以及賬號(hào)，對(duì)有保護(hù)的終端，應(yīng)對(duì)其屏保的啟動(dòng)時(shí)間予以重點(diǎn)檢查，且對(duì)指定范圍里尚未登記的賬戶(hù)予以確認(rèn)，以給閑置賬戶(hù)管理提供明顯的便利;檢查終端軟件的信息,目的是有效防范風(fēng)險(xiǎn)，終端一經(jīng)安裝違規(guī)的軟件,就會(huì)立刻限制其接進(jìn)網(wǎng)絡(luò)。通過(guò)終端安檢，能夠及時(shí)排查終端存在的安全隱患,并將其及時(shí)消除,以保證基層終端的安全性。

2.4對(duì)遠(yuǎn)程進(jìn)行集中管理

基層終端部署相對(duì)分散，工作人員在日常處理的時(shí)候較為困難，所以，需要對(duì)終端管理要加強(qiáng)其安全管控的能力。所以，對(duì)于終端管理軟件來(lái)說(shuō)，需要具備防御卸載，能夠強(qiáng)制升級(jí)，能夠?qū)λ械慕K端設(shè)備進(jìn)行安全策略下的下發(fā)和調(diào)整的功能，為了防止被惡意的破解和攔截，終端設(shè)備和服務(wù)器端的通信和管理界面的訪問(wèn)需要支持?jǐn)?shù)據(jù)的加密傳輸功能，這樣才能有效避免惡意的攔截和破解。

3有效維護(hù)和管理人力資源與社會(huì)保障系統(tǒng)

3.1完善系統(tǒng)運(yùn)行環(huán)境，能夠?qū)浖到y(tǒng)及時(shí)進(jìn)行更新

做好硬件設(shè)備設(shè)施的運(yùn)營(yíng)維護(hù)工作，發(fā)現(xiàn)故障隱患，能夠及時(shí)整改，保證設(shè)備的正常運(yùn)行。另外，對(duì)于計(jì)算機(jī)操作人員來(lái)說(shuō)，要完善上崗培訓(xùn)以及崗中培訓(xùn)工作，能夠第一時(shí)間處理計(jì)算機(jī)運(yùn)行過(guò)程中所出現(xiàn)的異常情況。能夠做好軟件維護(hù)以及相關(guān)備份工作。同時(shí)，在設(shè)備具體的工作過(guò)程中，要建立工作日記制度，能夠?qū)υO(shè)備所出現(xiàn)的故障和維護(hù)情況進(jìn)行詳細(xì)的登記、備案，對(duì)機(jī)房和操作臺(tái)進(jìn)行有效檢查，保證機(jī)器的正常運(yùn)行，確保人力資源和設(shè)備保障系統(tǒng)在系統(tǒng)配置、技術(shù)參數(shù)以及管理維護(hù)、數(shù)據(jù)庫(kù)性能等方面都能夠達(dá)到最優(yōu)狀態(tài)。

3.2完善數(shù)據(jù)庫(kù)管理

掌握好ORACLE數(shù)據(jù)庫(kù)的相關(guān)結(jié)構(gòu)，安裝數(shù)據(jù)庫(kù)管理系統(tǒng)并及時(shí)予以升級(jí)，根據(jù)要求對(duì)數(shù)據(jù)庫(kù)予以啟動(dòng)、關(guān)閉，努力完善管理及對(duì)數(shù)據(jù)庫(kù)用戶(hù)的監(jiān)控措施，科學(xué)的管理數(shù)據(jù)庫(kù)的特權(quán)以及存儲(chǔ)空間，依據(jù)有關(guān)要求建立、備份及恢復(fù)數(shù)據(jù)庫(kù)。

3.3完善網(wǎng)絡(luò)管理

不斷強(qiáng)化對(duì)網(wǎng)絡(luò)的安全管理，完善、健全安全管理的制度，應(yīng)嚴(yán)格遵循安全制度進(jìn)行有關(guān)操作。內(nèi)部網(wǎng)絡(luò)僅能用來(lái)處理和工作相關(guān)的事宜，嚴(yán)禁進(jìn)行和工作無(wú)關(guān)的事。為有效保障網(wǎng)絡(luò)的安全運(yùn)行，要強(qiáng)化日常的維護(hù)，定期對(duì)軟硬件予以檢測(cè)、升級(jí)及維護(hù)，及時(shí)對(duì)系統(tǒng)予以更新。對(duì)特殊機(jī)械的運(yùn)用要有完整記錄，以最大程度保障網(wǎng)絡(luò)安全。

4結(jié)語(yǔ)

綜上，人力資源和社會(huì)保障信息網(wǎng)絡(luò)系統(tǒng)作為為公眾提供服務(wù)的平臺(tái)，更要關(guān)注系統(tǒng)的安全管理工作，所以，要做好該系統(tǒng)的安全維護(hù)工作，才能夠保障為公眾提供高效、準(zhǔn)確、及時(shí)、優(yōu)質(zhì)的服務(wù)。

作者:郭凱 單位:遼寧省錦州市人力資源和社會(huì)保障信息中心

參考文獻(xiàn)：

[1]胡道元，閔京華.網(wǎng)絡(luò)安全[M].北京：清華大學(xué)出版社，2004.

[2]葉代亮.內(nèi)網(wǎng)的安全管理[J].計(jì)算機(jī)安全，2005.

[3]許蘭川.構(gòu)建辦公信息網(wǎng)絡(luò)安全防護(hù)體系[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2005.

[4]周銀珍，魯耀斌.區(qū)域人力資源管理的系統(tǒng)研究理念[J].經(jīng)濟(jì)地理，2008.

篇2

按照文件要求，市委網(wǎng)信辦對(duì)照工作職責(zé)，認(rèn)真排查梳理了我市網(wǎng)絡(luò)安全風(fēng)險(xiǎn)點(diǎn)，逐項(xiàng)建立完善工作機(jī)制，現(xiàn)匯報(bào)如下：

1.網(wǎng)絡(luò)安全風(fēng)險(xiǎn)研判工作：制定了《網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》，明確了由于人為原因、軟硬件缺陷或故障、自然災(zāi)害等對(duì)網(wǎng)絡(luò)和信息系統(tǒng)或其數(shù)據(jù)造成危害引發(fā)負(fù)面影響的事件的分析和處理。

2.網(wǎng)絡(luò)安全風(fēng)險(xiǎn)決策評(píng)估機(jī)制：成立了網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組，對(duì)全市網(wǎng)絡(luò)安全工作統(tǒng)籌指揮。制定了《網(wǎng)絡(luò)安全和信息化委員會(huì)工作規(guī)則》，明確網(wǎng)絡(luò)安全工作職責(zé)和工作制度。

3.網(wǎng)絡(luò)安全風(fēng)險(xiǎn)防控協(xié)同機(jī)制：組建了網(wǎng)絡(luò)安全專(zhuān)家小組，努力應(yīng)對(duì)新形勢(shì)下網(wǎng)絡(luò)安全錯(cuò)綜復(fù)雜的局面，提高網(wǎng)絡(luò)安全保障水平。實(shí)施網(wǎng)絡(luò)安全事件應(yīng)急處置聯(lián)席會(huì)制度，對(duì)全市網(wǎng)絡(luò)安全事件的進(jìn)行預(yù)防和應(yīng)急處理。

4. 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)防控責(zé)任機(jī)制：下發(fā)了《貫徹落實(shí)<黨委（黨組）網(wǎng)絡(luò)安全工作責(zé)任制實(shí)施辦法>責(zé)任分工方案》，明確責(zé)任主體和責(zé)任分工，提高網(wǎng)絡(luò)風(fēng)險(xiǎn)防范防控意識(shí)和能力。

篇3

規(guī)范網(wǎng)絡(luò)秩序，營(yíng)造良好輿論環(huán)境

規(guī)范網(wǎng)絡(luò)秩序，營(yíng)造良好輿論環(huán)境，是治國(guó)理政、定國(guó)安邦的大事。指出：“網(wǎng)絡(luò)空間是億萬(wàn)民眾共同的精神家園。網(wǎng)絡(luò)空間天朗氣清、生態(tài)良好，符合人民利益。網(wǎng)絡(luò)空間烏煙瘴氣、生態(tài)惡化，不符合人民利益?！钡闹v話(huà)，指出了當(dāng)前網(wǎng)絡(luò)空間存在的問(wèn)題和亟待改善的現(xiàn)象，蘊(yùn)含著對(duì)廣大網(wǎng)民的期待。網(wǎng)絡(luò)不是法外之地，同樣需要建立良好的秩序。我們要一手抓正能量傳播，一手抓網(wǎng)絡(luò)生態(tài)治理，大力培育積極健康、向上向善的網(wǎng)絡(luò)空間文化，為廣大網(wǎng)民特別是青少年朋友營(yíng)造一個(gè)風(fēng)清氣正的網(wǎng)絡(luò)生態(tài)環(huán)境。

建設(shè)網(wǎng)絡(luò)城市，讓人民群眾有更多獲得感

近年來(lái)，國(guó)家對(duì)互聯(lián)網(wǎng)的重視程度前所未有，“互聯(lián)網(wǎng)+”、中國(guó)制造2025、創(chuàng)新創(chuàng)業(yè)、大數(shù)據(jù)等系列重大政策密集出臺(tái)。全面落實(shí)國(guó)家戰(zhàn)略，促進(jìn)互聯(lián)網(wǎng)向更高目標(biāo)、更深層次發(fā)展，是我們共同的使命和任務(wù)。我們要全面落實(shí)“寬帶中國(guó)”戰(zhàn)略，大力實(shí)施“提速降費(fèi)”行動(dòng)，創(chuàng)建“全光網(wǎng)”城市，實(shí)現(xiàn)全市所有區(qū)縣光纖網(wǎng)絡(luò)全覆蓋，不斷提升100M光纖接入能力覆蓋城市家庭比例，提升4G網(wǎng)絡(luò)服務(wù)能力，率先引入5G網(wǎng)絡(luò)部署，推進(jìn)IPv6在LTE網(wǎng)絡(luò)中的部署應(yīng)用。推動(dòng)區(qū)域通信網(wǎng)絡(luò)資費(fèi)改革，鼓勵(lì)民營(yíng)企業(yè)參與寬帶建設(shè)運(yùn)營(yíng)，促進(jìn)良性競(jìng)爭(zhēng)，提升寬帶性?xún)r(jià)比，加強(qiáng)電信資費(fèi)公示和監(jiān)測(cè)，進(jìn)一步完善流量跨月不清零、流量轉(zhuǎn)增等服務(wù)，讓用戶(hù)享受更多優(yōu)惠，讓人民群眾有更多獲得感。

堅(jiān)持多措并舉，強(qiáng)化網(wǎng)絡(luò)安全體系化建設(shè)

篇4

本報(bào)訊 7月4日，2013年中國(guó)計(jì)算機(jī)網(wǎng)絡(luò)安全年會(huì)在內(nèi)蒙古呼和浩特市召開(kāi)，工業(yè)和信息化部總工程師張峰出席會(huì)議并致辭。

張峰指出，我國(guó)互聯(lián)網(wǎng)持續(xù)快速發(fā)展，融入到經(jīng)濟(jì)社會(huì)的方方面面，成為推動(dòng)國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展、改變?nèi)嗣袢罕娚罘绞降年P(guān)鍵行業(yè)和重要領(lǐng)域，同時(shí)我國(guó)網(wǎng)絡(luò)安全的現(xiàn)狀不容樂(lè)觀。一是在公共互聯(lián)網(wǎng)環(huán)境方面，黑客攻擊的趨利性特征日益明顯，不法分子以通信網(wǎng)絡(luò)、信息系統(tǒng)以及用戶(hù)信息和財(cái)產(chǎn)為目標(biāo)，利用黑客技術(shù)發(fā)起網(wǎng)絡(luò)攻擊牟取非法利益，逐步形成組織嚴(yán)密、分工明確的互聯(lián)網(wǎng)地下產(chǎn)業(yè)。二是移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、云計(jì)算、微博客等新技術(shù)新業(yè)務(wù)不斷涌現(xiàn)，在帶來(lái)新的經(jīng)濟(jì)增長(zhǎng)點(diǎn)的同時(shí)，也帶來(lái)更加復(fù)雜的網(wǎng)絡(luò)安全問(wèn)題。三是隨著信息技術(shù)在鐵路、銀行、電力等重要行業(yè)的廣泛應(yīng)用，以及核設(shè)施、航空航天、先進(jìn)制造等重要領(lǐng)域工業(yè)化與信息化深度融合，這些行業(yè)或領(lǐng)域的系統(tǒng)數(shù)據(jù)和運(yùn)行安全也面臨著嚴(yán)重威脅。

張峰簡(jiǎn)要回顧了近年來(lái)工業(yè)和信息化部在維護(hù)網(wǎng)絡(luò)安全方面開(kāi)展的工作，并對(duì)信息通信行業(yè)進(jìn)一步做好網(wǎng)絡(luò)安全工作提出五點(diǎn)要求。一是加強(qiáng)網(wǎng)絡(luò)安全工作聯(lián)動(dòng)，深化跨部門(mén)跨行業(yè)協(xié)調(diào)配合，完善部門(mén)之間、政企之間的聯(lián)動(dòng)機(jī)制，真正建立起運(yùn)轉(zhuǎn)靈活、反應(yīng)迅速的工作機(jī)制和流程。二是要求基礎(chǔ)電信企業(yè)和廣大互聯(lián)網(wǎng)企業(yè)認(rèn)真開(kāi)展安全評(píng)測(cè)和風(fēng)險(xiǎn)評(píng)估，不斷完善網(wǎng)絡(luò)安全應(yīng)急預(yù)案，加強(qiáng)應(yīng)急演練，加強(qiáng)對(duì)移動(dòng)互聯(lián)網(wǎng)應(yīng)用商店、增值電信業(yè)務(wù)經(jīng)營(yíng)者的網(wǎng)絡(luò)安全管理，繼續(xù)開(kāi)展針對(duì)各類(lèi)安全威脅的清理和處置，凈化公共互聯(lián)網(wǎng)網(wǎng)絡(luò)環(huán)境。三是加大科研投入，提高應(yīng)對(duì)網(wǎng)絡(luò)安全新風(fēng)險(xiǎn)的能力，加大對(duì)網(wǎng)絡(luò)安全防御體系的研究，形成網(wǎng)絡(luò)空間威脅監(jiān)測(cè)、全局感知、預(yù)警防護(hù)、應(yīng)急處置、協(xié)同聯(lián)動(dòng)等核心能力，提升國(guó)家網(wǎng)絡(luò)空間安全保障的技術(shù)能力。四是加強(qiáng)網(wǎng)絡(luò)安全國(guó)際交流與合作，增進(jìn)與其他國(guó)家間維護(hù)網(wǎng)絡(luò)安全的戰(zhàn)略互信，擴(kuò)大網(wǎng)絡(luò)安全領(lǐng)域的互利合作，拓展互聯(lián)網(wǎng)治理的交流協(xié)作機(jī)制，建立政府、研究機(jī)構(gòu)、行業(yè)組織以及企業(yè)之間多層次、多渠道的交流機(jī)制，共同維護(hù)全球網(wǎng)絡(luò)空間安全。五是希望相關(guān)企業(yè)、安全廠商和社會(huì)組織等共同努力，加強(qiáng)網(wǎng)絡(luò)安全宣傳教育，促進(jìn)全社會(huì)網(wǎng)絡(luò)安全防范意識(shí)與知識(shí)水平提高。（周壽英）

篇5

關(guān)鍵詞：證券行業(yè)信息安全網(wǎng)絡(luò)安全體系

近年來(lái)，我國(guó)資本市場(chǎng)發(fā)展迅速，市場(chǎng)規(guī)模不斷擴(kuò)大，社會(huì)影響力不斷增強(qiáng)．成為國(guó)民經(jīng)濟(jì)巾的重要組成部分，也成為老百姓重要的投資理財(cái)渠道。資本市場(chǎng)的穩(wěn)定健康發(fā)展，關(guān)系著億萬(wàn)投資者的切身利益，關(guān)系著社會(huì)穩(wěn)定和國(guó)家金融安全的大局。證券行業(yè)作為金融服務(wù)業(yè)，高度依賴(lài)信息技術(shù)，而信息安全是維護(hù)資本市場(chǎng)穩(wěn)定的前提和基礎(chǔ)。沒(méi)有信息安全就沒(méi)有資本市場(chǎng)的穩(wěn)定。

目前．國(guó)內(nèi)外網(wǎng)絡(luò)信息安全問(wèn)題日益突出。從資本市場(chǎng)看，近年來(lái)，隨著市場(chǎng)快速發(fā)展，改革創(chuàng)新深入推進(jìn)，市場(chǎng)交易模式日趨集巾化，業(yè)務(wù)處理邏輯日益復(fù)雜化，網(wǎng)絡(luò)安全事件、公共安全事件以及水災(zāi)冰災(zāi)、震災(zāi)等自然災(zāi)害都對(duì)行業(yè)信息系統(tǒng)的連續(xù)、穩(wěn)定運(yùn)行帶來(lái)新的挑戰(zhàn)。資本市場(chǎng)交易實(shí)時(shí)性和整體性強(qiáng)，交易時(shí)問(wèn)內(nèi)一刻也不能中斷。加強(qiáng)信息安全應(yīng)急丁作，積極采取預(yù)防、預(yù)警措施，快速、穩(wěn)妥地處置信息安全事件，盡力減少事故損失，全力維護(hù)交易正常，對(duì)于資本市場(chǎng)來(lái)說(shuō)至關(guān)重要。

1證券行業(yè)倍息安全現(xiàn)狀和存在的問(wèn)題

1．1行業(yè)信息安全法規(guī)和標(biāo)準(zhǔn)體系方面

健全的信息安全法律法規(guī)和標(biāo)準(zhǔn)體系是確保證券行業(yè)信息安全的基礎(chǔ)。是信息安全的第一道防線(xiàn)。為促進(jìn)證券市場(chǎng)的平穩(wěn)運(yùn)行，中國(guó)證監(jiān)會(huì)自1998年先后了一系列信息安全法規(guī)和技術(shù)標(biāo)準(zhǔn)。其中包括2個(gè)信息技術(shù)管理規(guī)范、2個(gè)信息安全等級(jí)保護(hù)通知、1個(gè)信息安全保障辦法、1個(gè)信息通報(bào)方法和10個(gè)行業(yè)技術(shù)標(biāo)準(zhǔn)。行業(yè)信息安全法規(guī)和標(biāo)準(zhǔn)體系的初步形成，推動(dòng)了行業(yè)信息化建設(shè)和信息安全工作向規(guī)范化、標(biāo)準(zhǔn)化邁進(jìn)。

雖然我國(guó)涉及信息安全的規(guī)范性文件眾多，但在現(xiàn)行的法律法規(guī)中。立法主體較多，法律法規(guī)體系龐雜而缺乏統(tǒng)籌規(guī)劃。面對(duì)新形勢(shì)下信息安全保障工作的發(fā)展需要，行業(yè)信息安全工作在政策法規(guī)和標(biāo)準(zhǔn)體系方面的問(wèn)題也逐漸顯現(xiàn)。一是法規(guī)和標(biāo)準(zhǔn)建設(shè)滯后，缺乏總體規(guī)劃；二是規(guī)范和標(biāo)準(zhǔn)互通性和協(xié)調(diào)性不強(qiáng)，部分規(guī)范和標(biāo)準(zhǔn)的可執(zhí)行性差；三是部分規(guī)范和標(biāo)準(zhǔn)已不適應(yīng)，無(wú)法應(yīng)對(duì)某些新型信息安全的威脅；四是部分信息安全規(guī)范和標(biāo)準(zhǔn)在行業(yè)內(nèi)難以得到落實(shí)。

1．2組織體系與信息安全保障管理模型方面

任何安全管理措施或技術(shù)手段都離不開(kāi)人員的組織和實(shí)施，組織體系是信息安全保障工作的核心。目前，證券行業(yè)采用“統(tǒng)一組織、分工有序”的信息安全工作體系，分為決策層、管理層、執(zhí)行層。

為加強(qiáng)證券期貨業(yè)信息安全保障工作的組織協(xié)調(diào)，建立健全信息安全管理制度和運(yùn)行機(jī)制，切實(shí)提高行業(yè)信息安全保障工作水平，根據(jù)證監(jiān)會(huì)頒布的《證券期貨業(yè)信息安全保障管理暫行辦法》，參照ISO／IEC27001：2005，提出證券期貨業(yè)信息安全保障管理體系框架。該體系框架采用立方體架構(gòu)．頂面是信息安全保障的7個(gè)目標(biāo)(機(jī)密性、完整性、可用性、真實(shí)性、可審計(jì)性、抗抵賴(lài)性、可靠性)，正面是行業(yè)組織結(jié)構(gòu)．側(cè)面是各個(gè)機(jī)構(gòu)為實(shí)現(xiàn)信息安全保障目標(biāo)所采取的措施和方式。

1．3IT治理方面

整個(gè)證券業(yè)處于高度信息化的背景下，IT治理已直接影響到行業(yè)各公司實(shí)現(xiàn)戰(zhàn)略目標(biāo)的可能性，良好的IT治理有助于增強(qiáng)公司靈活性和創(chuàng)新能力，規(guī)避IT風(fēng)險(xiǎn)。通過(guò)建立IT治理機(jī)制，可以幫助最高管理層發(fā)現(xiàn)信息技術(shù)本身的問(wèn)題。幫助管理者處理IT問(wèn)題，自我評(píng)估IT管理效果．可以加強(qiáng)對(duì)信息化項(xiàng)目的有效管理，保證信息化項(xiàng)目建設(shè)的質(zhì)量和應(yīng)用效果，使有限的投入取得更大的績(jī)效。

2003年lT治理理念引入到我國(guó)證券行業(yè)，當(dāng)前我國(guó)證券業(yè)企業(yè)的IT治理存在的問(wèn)題：一是IT資源在公司的戰(zhàn)略資產(chǎn)中的地位受到高層重視，但具體情況不清楚；二是IT治理缺乏明確的概念描述和參數(shù)指標(biāo)；是lT治理的責(zé)任與職能不清晰。

1．4網(wǎng)絡(luò)安全和數(shù)據(jù)安全方面

隨著互聯(lián)網(wǎng)的普及以及網(wǎng)上交易系統(tǒng)功能的不斷豐富、完善和使用的便利性，網(wǎng)上交易正逐漸成為證券投資者交易的主流模式。據(jù)統(tǒng)計(jì)，2008年我同證券網(wǎng)上交易量比重已超過(guò)總交易量的80％。雖然交易系統(tǒng)與互聯(lián)網(wǎng)的連接，方便了投資者。但由于互聯(lián)網(wǎng)的開(kāi)放性，來(lái)自互聯(lián)網(wǎng)上的病毒、小馬、黑客攻擊以及計(jì)算機(jī)威脅事件，都時(shí)刻威脅著行業(yè)的信息系統(tǒng)安全，成為制約行業(yè)平穩(wěn)、安全發(fā)展的障礙。此，維護(hù)網(wǎng)絡(luò)和數(shù)據(jù)安全成為行業(yè)信息安全保障工作的重要組成部分。近年來(lái)，證券行業(yè)各機(jī)構(gòu)采取了一系列措施，建立了相對(duì)安全的網(wǎng)絡(luò)安全防護(hù)體系和災(zāi)舴備份系統(tǒng)，基木保障了信息系統(tǒng)的安全運(yùn)行。但細(xì)追究起來(lái)，我國(guó)證券行業(yè)的網(wǎng)絡(luò)安全防護(hù)體系及災(zāi)備系統(tǒng)建設(shè)還不夠完善，還存存以下幾方面的問(wèn)題：一是網(wǎng)絡(luò)安全防護(hù)體系缺乏統(tǒng)一的規(guī)劃；二是網(wǎng)絡(luò)訪問(wèn)控制措施有待完善；三是網(wǎng)上交易防護(hù)能力有待加強(qiáng)；四是對(duì)數(shù)據(jù)安全重視不夠，數(shù)據(jù)備份措施有待改進(jìn)；五是技術(shù)人員的專(zhuān)業(yè)能力和信息安全意識(shí)有待提高。

1．5IT人才資源建設(shè)方面

近20年的發(fā)展歷程巾，證券行業(yè)對(duì)信息系統(tǒng)日益依賴(lài)，行業(yè)IT隊(duì)伍此不斷發(fā)展壯大。據(jù)統(tǒng)計(jì)，2008年初，在整個(gè)證券行業(yè)中，103家證券公司共有IT人員7325人，占證券行業(yè)從業(yè)總?cè)藬?shù)73990人的9．90％，總體上達(dá)到了行業(yè)協(xié)會(huì)的IT治理工作指引中“IT工作人員總數(shù)原則上應(yīng)不少于公司員工總?cè)藬?shù)的6％”的最低要求。目前，證券行業(yè)的IT隊(duì)伍肩負(fù)著信息系統(tǒng)安全、平穩(wěn)、高效運(yùn)行的重任，IT隊(duì)伍建設(shè)是行業(yè)信息安全I(xiàn)T作的根本保障。但是，IT人才隊(duì)伍依然存在著結(jié)構(gòu)不合理、后續(xù)教育不足等問(wèn)題，此行業(yè)的人才培養(yǎng)有待加強(qiáng)。

2采取的對(duì)策和措施

2．1進(jìn)一步完善法規(guī)和標(biāo)準(zhǔn)體系

首先，在法規(guī)規(guī)劃上，要統(tǒng)籌兼顧，制定科學(xué)的信息技術(shù)規(guī)范和標(biāo)準(zhǔn)體系框架。一是全面做好立法規(guī)劃；二是建立科學(xué)的行業(yè)信息安全標(biāo)準(zhǔn)和法規(guī)體系層次。行業(yè)信息安全標(biāo)準(zhǔn)和法規(guī)體系初步劃分為3層：第一層是管理辦法等巾同證監(jiān)會(huì)部門(mén)規(guī)章；第二層是證監(jiān)會(huì)相關(guān)部門(mén)制定的管理規(guī)范等規(guī)范性文件；第三層是技術(shù)指引等自律規(guī)則，一般由交易所、行業(yè)協(xié)會(huì)在證監(jiān)會(huì)總體協(xié)調(diào)下組織制定。其次，在法規(guī)制定上．要兼顧規(guī)范和發(fā)展，重視法規(guī)的可行性。最后，在法規(guī)實(shí)施上．要堅(jiān)持規(guī)范和指引相結(jié)合，重視監(jiān)督檢查和責(zé)任落實(shí)。

2．2深入開(kāi)展證券行業(yè)IT治理工作

2．2．1提高IT治理意識(shí)

中國(guó)證券業(yè)協(xié)會(huì)要進(jìn)一步加強(qiáng)IT治理理念的教育宣傳工作，特別是對(duì)會(huì)員單位高層領(lǐng)導(dǎo)的IT治理培訓(xùn)，將IT治理的定義、工具、模型等理論知識(shí)納入到高管任職資格考試的內(nèi)容之中。通過(guò)舉辦論壇、交流會(huì)等形式強(qiáng)化證券經(jīng)營(yíng)機(jī)構(gòu)的IT治理意識(shí)，提高他們IT治理的積極性。

2．2．2通過(guò)設(shè)立IT治理試點(diǎn)形成以點(diǎn)帶面的示范效應(yīng)

根據(jù)IT治理模型的不同特點(diǎn)，建議證券公司在決策層使用CISR模型，通過(guò)成立lT治理委員會(huì)，建立各部門(mén)之間的協(xié)調(diào)配合、監(jiān)督制衡的責(zé)權(quán)體系；在執(zhí)行層以COBIT模型、ITFL模型等其他模型為補(bǔ)充，規(guī)范信息技術(shù)部門(mén)的各項(xiàng)控制和管理流程。同時(shí)，證監(jiān)會(huì)指定一批證券公司和基金公司作為lT試點(diǎn)單位，進(jìn)行IT治理模型選擇、剪裁以及組合的實(shí)踐探索，形成一批成功實(shí)施IT治理的優(yōu)秀范例，以點(diǎn)帶面地提升全行業(yè)的治理水平。

2．3通過(guò)制定行業(yè)標(biāo)準(zhǔn)積極落實(shí)信息安全等級(jí)保護(hù)

行業(yè)監(jiān)管部門(mén)在推動(dòng)行業(yè)信息安全等級(jí)保護(hù)工作中的作用非常關(guān)鍵．應(yīng)進(jìn)一步明確監(jiān)管部門(mén)推動(dòng)行業(yè)信息安全等級(jí)保護(hù)工作的任務(wù)和工作機(jī)制，統(tǒng)一部署、組織行業(yè)的等級(jí)保護(hù)丁作，為該項(xiàng)丁作的順利開(kāi)展提供組織保證。行業(yè)各機(jī)構(gòu)應(yīng)采取自主貫徹信息系統(tǒng)等級(jí)保護(hù)的行業(yè)要求，對(duì)照標(biāo)準(zhǔn)逐條落實(shí)。同時(shí)，應(yīng)對(duì)各單位實(shí)施信息系統(tǒng)安全等級(jí)保護(hù)情況進(jìn)行測(cè)評(píng)，在測(cè)評(píng)環(huán)節(jié)一旦發(fā)現(xiàn)信息系統(tǒng)的不足，被測(cè)評(píng)單位應(yīng)立即制定相應(yīng)的整改方案并實(shí)施．且南相芙的監(jiān)督機(jī)構(gòu)進(jìn)行督促。

2．4加強(qiáng)網(wǎng)絡(luò)安全體系規(guī)劃以提升網(wǎng)絡(luò)安全防護(hù)水平

2．4．1以等級(jí)保護(hù)為依據(jù)進(jìn)行統(tǒng)籌規(guī)劃

等級(jí)保護(hù)是圍繞信息安全保障全過(guò)程的一項(xiàng)基礎(chǔ)性的管理制度，通過(guò)將等級(jí)化的方法和安全體系規(guī)劃有效結(jié)合，統(tǒng)籌規(guī)劃證券網(wǎng)絡(luò)安全體系的建設(shè)，建立一套信息安全保障體系，將是系統(tǒng)化地解決證券行業(yè)網(wǎng)絡(luò)安全問(wèn)題的一個(gè)非常有效的方法。

2．4．2通過(guò)加強(qiáng)網(wǎng)絡(luò)訪問(wèn)控制提高網(wǎng)絡(luò)防護(hù)能力

對(duì)向證券行業(yè)提供設(shè)備、技術(shù)和服務(wù)的IT公司的資質(zhì)和誠(chéng)信加強(qiáng)管理，確保其符合國(guó)家、行業(yè)技術(shù)標(biāo)準(zhǔn)。根據(jù)網(wǎng)絡(luò)隔離要求，要逐步建立業(yè)務(wù)網(wǎng)與辦公網(wǎng)、業(yè)務(wù)網(wǎng)與互聯(lián)網(wǎng)、網(wǎng)上交易各子系統(tǒng)間有效的網(wǎng)絡(luò)隔離。技術(shù)上可以對(duì)不同的業(yè)務(wù)安全區(qū)域劃分Vlan或者采用網(wǎng)閘設(shè)備進(jìn)行隔離；對(duì)主要的網(wǎng)絡(luò)邊界和各外部進(jìn)口進(jìn)行滲透測(cè)試，進(jìn)行系統(tǒng)和設(shè)備的安全加固．降低系統(tǒng)漏洞帶來(lái)的安全風(fēng)險(xiǎn)；在網(wǎng)上交易方面，采取電子簽名或數(shù)字認(rèn)證等高強(qiáng)度認(rèn)證方式，加強(qiáng)訪問(wèn)控制；針對(duì)現(xiàn)存惡意攻擊網(wǎng)站的事件越來(lái)越多的情況，要采取措施加強(qiáng)網(wǎng)站保護(hù)，提高對(duì)惡意代碼的防護(hù)能力，同時(shí)采用技術(shù)手段，提高網(wǎng)上交易客戶(hù)端軟件使朋的安全性。

2．4．3提高從業(yè)人員安全意識(shí)和專(zhuān)業(yè)水平

目前在證券行業(yè)內(nèi)，從業(yè)人員的網(wǎng)絡(luò)安全意識(shí)比較薄弱．必要時(shí)可定期對(duì)從業(yè)人員進(jìn)行安全意識(shí)考核，從行業(yè)內(nèi)部強(qiáng)化網(wǎng)絡(luò)安全工作。要加強(qiáng)網(wǎng)絡(luò)安全技術(shù)人員的管理能力和專(zhuān)業(yè)技能培訓(xùn)，提高行業(yè)網(wǎng)絡(luò)安全的管理水平和專(zhuān)業(yè)技術(shù)水平。

2．5扎實(shí)推進(jìn)行業(yè)災(zāi)難備份建設(shè)

數(shù)據(jù)的安全對(duì)證券行業(yè)是至關(guān)重要的，數(shù)據(jù)一旦丟失對(duì)市場(chǎng)各方的損失是難以估量的。無(wú)論是美國(guó)的“9·11”事件，還是我國(guó)2008年南方冰雪災(zāi)害和四川汶川大地震，都敲響了災(zāi)難備份的警鐘。證券業(yè)要在學(xué)習(xí)借鑒國(guó)際經(jīng)驗(yàn)的基礎(chǔ)上，針對(duì)自身需要，對(duì)重要系統(tǒng)開(kāi)展災(zāi)難備份建設(shè)。要繼續(xù)推進(jìn)證券、基金公司同城災(zāi)難備份建設(shè)，以及證券交易所、結(jié)算公司等市場(chǎng)核心機(jī)構(gòu)的異地災(zāi)難備份系統(tǒng)的規(guī)劃和建設(shè)。制定各類(lèi)相關(guān)的災(zāi)難應(yīng)急預(yù)案，并加強(qiáng)應(yīng)急預(yù)案的演練，確保災(zāi)難備份系統(tǒng)應(yīng)急有效．使應(yīng)急工作與日常工作有機(jī)結(jié)合。

2．6抓好人才隊(duì)伍建設(shè)

證券行業(yè)要采取切實(shí)可行的措施，建立吸引人才、留住人才、培養(yǎng)人才、發(fā)展人才的用人制度和機(jī)制。積極吸引有技術(shù)專(zhuān)長(zhǎng)的人才到行業(yè)巾來(lái)，加強(qiáng)lT人員的崗位技能培訓(xùn)和業(yè)務(wù)培訓(xùn)，注重培養(yǎng)既懂得技術(shù)義懂業(yè)務(wù)和管理的復(fù)合型人才。要促進(jìn)從業(yè)人員提高水平、轉(zhuǎn)變觀念，行業(yè)各機(jī)構(gòu)應(yīng)采取采取請(qǐng)進(jìn)來(lái)、派出去以及內(nèi)部講座等多種培訓(xùn)方式。通過(guò)建立規(guī)范有效的人才評(píng)價(jià)體系，對(duì)信息技術(shù)人員進(jìn)行科學(xué)有效的考評(píng)，提升行業(yè)人才資源的優(yōu)化配置和使用效率，促進(jìn)技術(shù)人才結(jié)構(gòu)的涮整和完善。

篇6

[關(guān)鍵詞] 信息等級(jí)保護(hù)概述；中國(guó)石油；等級(jí)保護(hù)建設(shè)

[中圖分類(lèi)號(hào)] TP391；X913.2 [文獻(xiàn)標(biāo)識(shí)碼] A [文章編號(hào)] 1673 - 0194（2013）05- 0057- 02

1 信息等級(jí)保護(hù)制度概述

信息安全等級(jí)保護(hù)制度是國(guó)家信息安全保障工作的基本制度，是促進(jìn)信息化健康發(fā)展的根本保障。其具體內(nèi)容包括：①對(duì)國(guó)家秘密信息，法人和其他組織及公民的專(zhuān)有信息以及公開(kāi)信息，存儲(chǔ)、傳輸、處理這些信息的信息系統(tǒng)實(shí)行分等級(jí)安全保護(hù)、分等級(jí)監(jiān)管；②對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級(jí)管理；③對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)響應(yīng)、處置。信息安全等級(jí)保護(hù)配套政策體系及標(biāo)準(zhǔn)體系如圖1、圖2所示。

定條件的測(cè)評(píng)機(jī)構(gòu)開(kāi)展等級(jí)測(cè)評(píng)；④建設(shè)整改：備案單位根據(jù)信息系統(tǒng)安全等級(jí)，按照國(guó)家政策、標(biāo)準(zhǔn)開(kāi)展安全建設(shè)整改；⑤檢查：公安機(jī)關(guān)定期開(kāi)展監(jiān)督、檢查、指導(dǎo)。

2 中國(guó)石油信息安全等級(jí)保護(hù)制度建設(shè)

中國(guó)石油信息化建設(shè)處于我國(guó)大型企業(yè)領(lǐng)先地位，在國(guó)資委歷年信息化評(píng)比中都名列前茅。2007 年全國(guó)開(kāi)展信息安全等級(jí)保護(hù)工作之后，中國(guó)石油認(rèn)真貫徹國(guó)家信息安全等級(jí)保護(hù)制度各項(xiàng)要求，全面開(kāi)展信息安全等級(jí)保護(hù)工作。逐步建成先進(jìn)實(shí)用、完整可靠的信息安全體系，保障信息化建設(shè)和應(yīng)用，支撐公司業(yè)務(wù)發(fā)展和總體戰(zhàn)略的實(shí)施，使中國(guó)石油的信息安全保障能力顯著提高。主要采取的措施有以下幾個(gè)方面：

（1）以信息安全等級(jí)保護(hù)工作為契機(jī) ， 全面梳理業(yè)務(wù)系統(tǒng)并定級(jí)備案。中國(guó)石油根據(jù)國(guó)家信息安全等級(jí)保護(hù)制度要求，建立自上而下的工作組織體系，明確信息安全責(zé)任部門(mén)，對(duì)中國(guó)石油統(tǒng)一建設(shè)的應(yīng)用系統(tǒng)進(jìn)行等級(jí)保護(hù)定級(jí)和備案，通過(guò)制定《中國(guó)石油天然氣集團(tuán)公司重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)實(shí)施暫行意見(jiàn)》，加強(qiáng)桌面安全、網(wǎng)絡(luò)安全、身份認(rèn)證等安全基礎(chǔ)防護(hù)工作，加快開(kāi)展重要信息系統(tǒng)的等級(jí)測(cè)評(píng)和安全建設(shè)整改工作，進(jìn)一步提高信息系統(tǒng)的安全防御能力，提高系統(tǒng)的可用性和安全性。在全面組織開(kāi)展信息系統(tǒng)等級(jí)保護(hù)定級(jí)備案工作之后，聘請(qǐng)專(zhuān)業(yè)測(cè)評(píng)機(jī)構(gòu)，及時(shí)開(kāi)展等級(jí)測(cè)評(píng)、安全檢查和風(fēng)險(xiǎn)評(píng)估工作，并通過(guò)等級(jí)測(cè)評(píng)工作查找系統(tǒng)的不足和安全隱患，制訂安全整改方案，開(kāi)展安全整改和加固改造，保障信息系統(tǒng)持續(xù)安全穩(wěn)定運(yùn)行。

（2）以信息安全等級(jí)保護(hù)工作為抓手 ， 全面推動(dòng)中國(guó)石油信息安全體系建設(shè)。中國(guó)石油以信息安全等級(jí)保護(hù)工作為抓手，完善信息安全整體解決方案，建立技術(shù)保障體系、管理保障體系和控制保障體系。采用分級(jí)、分域的縱深防御理念，將桌面安全、身份認(rèn)證、網(wǎng)絡(luò)安全、容災(zāi)等相關(guān)技術(shù)相互結(jié)合，建立統(tǒng)一的安全監(jiān)控平臺(tái)和安全運(yùn)行中心，實(shí)現(xiàn)對(duì)應(yīng)用系統(tǒng)的授權(quán)訪問(wèn)、桌面計(jì)算機(jī)的安全控制、網(wǎng)絡(luò)流量的異常監(jiān)控、惡意軟件與攻擊行為的及時(shí)發(fā)現(xiàn)與防御、業(yè)務(wù)與數(shù)據(jù)安全保障等功能，顯著提高抵御外部和內(nèi)部信息安全威脅的能力。建立了總部、區(qū)域網(wǎng)絡(luò)中心、企事業(yè)單位三級(jí)信息系統(tǒng)安全運(yùn)維隊(duì)伍；采用集中管理、分級(jí)維護(hù)的管理模式，網(wǎng)絡(luò)與安全運(yùn)維人員采用授權(quán)方式，持證上崗，建立網(wǎng)絡(luò)管理員、安全管理員和安全審計(jì)員制度；初步建立起中國(guó)石油內(nèi)部信息安全風(fēng)險(xiǎn)評(píng)估隊(duì)伍，并于 2010 年完成地區(qū)公司的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估工作。

（3）建立重要信息系統(tǒng)應(yīng)急處置預(yù)案，完善災(zāi)難恢復(fù)機(jī)制。2008 年，中國(guó)石油了《網(wǎng)絡(luò)與信息安全突發(fā)事件專(zhuān)項(xiàng)應(yīng)急預(yù)案》，所有業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)管理、安全管理等都建立了應(yīng)急響應(yīng)處置預(yù)案和災(zāi)備系統(tǒng)，保障業(yè)務(wù)系統(tǒng)在遭遇突發(fā)事件時(shí)，能快速反應(yīng)并恢復(fù)業(yè)務(wù)系統(tǒng)可用性。通過(guò)災(zāi)難恢復(fù)項(xiàng)目研究，形成了現(xiàn)狀及風(fēng)險(xiǎn)分析、災(zāi)難恢復(fù)等級(jí)劃分、災(zāi)備部署策略分析和災(zāi)備部署方案四步法，劃分了信息系統(tǒng)災(zāi)難恢復(fù)等級(jí)，完善了災(zāi)難恢復(fù)機(jī)制。

（4）規(guī)劃信息安全運(yùn)行中心，建立重要信息系統(tǒng)安全監(jiān)控機(jī)制。中國(guó)石油規(guī)劃了信息安全運(yùn)行中心的建設(shè)方案，提出了信息安全運(yùn)行中心建設(shè)目標(biāo)，通過(guò)網(wǎng)絡(luò)運(yùn)行狀態(tài)、安全信息數(shù)據(jù)匯集、安全監(jiān)測(cè)分析功能和安全管理流程的有機(jī)整合，實(shí)現(xiàn)中國(guó)石油 信息安全狀況的可感知、可分析、可展示、可管理和可指揮，形成中國(guó)石油信息安全事件分析、風(fēng)險(xiǎn)分析、預(yù)警管理和應(yīng)急響應(yīng)處理一體化的技術(shù)支撐能力；通過(guò)完善安全運(yùn)行管理體系，將安全運(yùn)行管理組織、安全運(yùn)維管理流程和安全監(jiān)測(cè)預(yù)警系統(tǒng)三方面有機(jī)結(jié)合，實(shí)現(xiàn)事前預(yù)警防范、事中監(jiān)控處置、事后追溯定位的信息安全閉環(huán)運(yùn)行機(jī)制，形成中國(guó)石油統(tǒng)一的應(yīng)急指揮與協(xié)調(diào)調(diào)度能力，為中國(guó)石油信息安全保障奠定良好的基礎(chǔ)。

3 信息安全等級(jí)保護(hù)工作存在的不足及改進(jìn)建議

信息安全等級(jí)保護(hù)管理辦法 （公通字[2007]43號(hào)）正式標(biāo)志著全國(guó)范圍內(nèi)的信息安全等級(jí)保護(hù)工作開(kāi)始，通過(guò)5年的努力，全國(guó)信息安全工作形成了以落實(shí)信息安全等級(jí)保護(hù)制度為核心，信息通報(bào)、應(yīng)急處理、技術(shù)研究、產(chǎn)業(yè)發(fā)展、網(wǎng)絡(luò)信任體系和標(biāo)準(zhǔn)化建設(shè)等工作快速發(fā)展的良好局面，重要行業(yè)部門(mén)的信息安全意識(shí)、重視程度、工作能力有了顯著提高。40余個(gè)重要行業(yè)出臺(tái)了100余份行業(yè)等級(jí)保護(hù)政策文件，20余個(gè)重要行業(yè)出臺(tái)了40余份行業(yè)等級(jí)保護(hù)標(biāo)準(zhǔn)，但同時(shí)存在著以下不足：

（1）對(duì)信息安全工作的認(rèn)識(shí)不到位，對(duì)重要信息系統(tǒng)安全保護(hù)缺乏應(yīng)有的重視。依據(jù)公安部相關(guān)資料統(tǒng)計(jì)，截至2012年6月，我國(guó)有18%的單位未成立信息安全工作領(lǐng)導(dǎo)機(jī)構(gòu)；21%的單位未落實(shí)信息安全責(zé)任部門(mén)，缺乏信息安全整體規(guī)劃；14個(gè)行業(yè)重要信息系統(tǒng)底數(shù)不清、安全保護(hù)狀況不明；12個(gè)行業(yè)未組織全行業(yè)信息安全專(zhuān)門(mén)業(yè)務(wù)培訓(xùn)，開(kāi)展信息安全工作的思路和方法不得當(dāng)，措施不得力。20%的單位在信息系統(tǒng)規(guī)劃過(guò)程中，沒(méi)有認(rèn)真制定安全策略和安全體系規(guī)劃，導(dǎo)致安全策略不得當(dāng)；22%的信息系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)劃分不合理，核心業(yè)務(wù)區(qū)域部署位置不當(dāng)，業(yè)務(wù)應(yīng)用不合理，容易導(dǎo)致黑客入侵攻擊，造成網(wǎng)絡(luò)癱瘓，數(shù)據(jù)被竊取和破壞。34.6%的重要信息系統(tǒng)未配置專(zhuān)職安全管理人員，相關(guān)崗位設(shè)置不完整，安全管理人員身兼多職；48%的單位信息安全建設(shè)資金投入不足，導(dǎo)致重要信息系統(tǒng)安全加固和整改經(jīng)費(fèi)嚴(yán)重缺乏；27%的單位沒(méi)有針對(duì)安全崗位人員制訂相關(guān)的培訓(xùn)計(jì)劃，沒(méi)有組織開(kāi)展信息安全教育和培訓(xùn)，安全管理、運(yùn)維技術(shù)人員能力較弱。

（2）重要信息系統(tǒng)未落實(shí)關(guān)鍵安全保護(hù)技術(shù)措施。重要信息系統(tǒng)未落實(shí)安全審計(jì)措施。在主機(jī)層面，有34.9%的信息系統(tǒng)沒(méi)有保護(hù)主機(jī)審計(jì)記錄，34.8%的信息系統(tǒng)沒(méi)有保護(hù)主機(jī)審計(jì)進(jìn)程，容易導(dǎo)致事故責(zé)任無(wú)法認(rèn)定，無(wú)法確定事故（事件）原因，影響應(yīng)急處理效率。38%的信息系統(tǒng)沒(méi)有落實(shí)對(duì)重要系統(tǒng)程序和文件進(jìn)行完整性檢測(cè)和自動(dòng)恢復(fù)的技術(shù)措施，35%的信息系統(tǒng)沒(méi)有采取監(jiān)測(cè)重要服務(wù)器入侵行為的技術(shù)措施，容易使內(nèi)部網(wǎng)絡(luò)感染病毒，對(duì)攻擊行為無(wú)法進(jìn)行有效監(jiān)測(cè)和處置。

（3）我國(guó)信息技術(shù)與國(guó)外存在一定差距，安全專(zhuān)業(yè)化服務(wù)力量薄弱。具有我國(guó)自主知識(shí)產(chǎn)權(quán)的重要信息技術(shù)產(chǎn)品和核心技術(shù)水平還有待提高，依賴(lài)國(guó)外產(chǎn)品的情況還比較普遍；國(guó)內(nèi)信息安全專(zhuān)業(yè)化服務(wù)力量薄弱，安全服務(wù)能力不強(qiáng)，部分重要信息系統(tǒng)的關(guān)鍵產(chǎn)品維護(hù)和系統(tǒng)運(yùn)維依賴(lài)國(guó)外廠商，給重要信息系統(tǒng)安全留下了隱患。

為了有效提高我國(guó)企業(yè)信息安全水平，增加等級(jí)保護(hù)的可行性及執(zhí)行力，建議：①各企業(yè)開(kāi)展以信息安全等級(jí)保護(hù)為核心的安全防范工作，提高網(wǎng)絡(luò)主動(dòng)防御能力，并制訂應(yīng)急處置預(yù)案，加強(qiáng)應(yīng)急演練，提高網(wǎng)絡(luò)應(yīng)急處置能力。②加大人員和資金投入，提高保障能力。③國(guó)家層面加快關(guān)鍵技術(shù)研究和產(chǎn)品化，重視產(chǎn)品供應(yīng)鏈的安全可控。

主要參考文獻(xiàn)

[1]中國(guó)石油天然氣集團(tuán)公司. 中國(guó)石油天然氣集團(tuán)公司全面開(kāi)展信息安全等級(jí)保護(hù)工作為信息化建設(shè)保駕護(hù)航[J].信息網(wǎng)絡(luò)安全，2012（1）.

篇7

【關(guān)鍵詞】CA證書(shū)認(rèn)證 體系設(shè)計(jì) 非功能性技術(shù)設(shè)計(jì) 內(nèi)外網(wǎng)統(tǒng)一安全接入――P2P VSN虛擬安全域 社會(huì)工程學(xué)入侵

目前大部分市區(qū)級(jí)政務(wù)信息網(wǎng)絡(luò)主要著承載政務(wù)辦公數(shù)據(jù)流系統(tǒng)、對(duì)公眾提供業(yè)務(wù)辦理等系統(tǒng)以及基本的互聯(lián)網(wǎng)訪問(wèn)權(quán)限。隨著政務(wù)信息業(yè)務(wù)系統(tǒng)業(yè)務(wù)邏輯日趨復(fù)雜，體量日益龐大，在政務(wù)信息系統(tǒng)的風(fēng)險(xiǎn)控制，安全運(yùn)維成本，科學(xué)管理，方面將迎來(lái)一個(gè)全新的戰(zhàn)場(chǎng)。

當(dāng)前政務(wù)信息系統(tǒng)有或部分有以下問(wèn)題：

區(qū)縣的相關(guān)管理、運(yùn)維人員能力匱乏，網(wǎng)絡(luò)安全知識(shí)相對(duì)較落后，對(duì)全局政務(wù)網(wǎng)的硬件服務(wù)器、存儲(chǔ)、數(shù)據(jù)庫(kù)軟件、應(yīng)用服務(wù)器中間件、相關(guān)政務(wù)信息業(yè)務(wù)系統(tǒng)并沒(méi)有做到了如指掌不能完全駕馭全局運(yùn)維與安全保障。在出現(xiàn)故障時(shí)無(wú)法從業(yè)務(wù)角度快度鎖定故障起源點(diǎn)，無(wú)法對(duì)故障進(jìn)行深度解析并提供完整解決方案并實(shí)施。

區(qū)縣政務(wù)信息系統(tǒng)是沒(méi)有統(tǒng)一的認(rèn)證授權(quán)并各自為政，無(wú)法做到訪問(wèn)控制，沒(méi)有USB-KEY，CA證書(shū)認(rèn)證等技術(shù)融入，病毒非常容相互間在各個(gè)系統(tǒng)中傳遞感染，重要數(shù)據(jù)岌岌可危；區(qū)縣政務(wù)網(wǎng)基本沒(méi)有全網(wǎng)的日志審計(jì)和客戶(hù)機(jī)上網(wǎng)行為管理的，各種繁雜的應(yīng)用安全系統(tǒng)設(shè)備產(chǎn)生的安全事件以及網(wǎng)絡(luò)安全行為監(jiān)控各自獨(dú)立，冗余度過(guò)高，沒(méi)有科學(xué)的審計(jì)，有效的整合，出現(xiàn)問(wèn)題業(yè)務(wù)系統(tǒng)管理員根本無(wú)法防御爆炸式連鎖攻擊，安全風(fēng)險(xiǎn)系數(shù)極高。外網(wǎng)辦公接入設(shè)備直接接入業(yè)務(wù)網(wǎng)，沒(méi)有對(duì)過(guò)程數(shù)據(jù)流進(jìn)行監(jiān)察審計(jì)，業(yè)務(wù)數(shù)據(jù)在網(wǎng)絡(luò)中的傳輸缺乏近乎透明傳遞，安全隱患非常嚴(yán)重。

政務(wù)信息網(wǎng)絡(luò)發(fā)生故障或者爆發(fā)大規(guī)模病毒攻擊時(shí)，無(wú)法精準(zhǔn)鎖定攻擊源頭，從根源控制攻擊，整個(gè)處理過(guò)程也缺少科學(xué)的提高故障解決手段，缺少應(yīng)急預(yù)案，缺少專(zhuān)家應(yīng)急小組。

這些問(wèn)題必須且毋庸置疑的解決和改善，應(yīng)采用以下技術(shù)和策略：CA證書(shū)認(rèn)證體系設(shè)計(jì)，非功能性技術(shù)設(shè)計(jì)，內(nèi)外網(wǎng)統(tǒng)一安全接入――P2P VSN虛擬安全域，USB-KEY，動(dòng)態(tài)短信密碼，一次性口令等方式，堵著社會(huì)工程學(xué)入侵缺口。

1 政務(wù)信息系統(tǒng)及網(wǎng)絡(luò)安全運(yùn)維的實(shí)踐

實(shí)現(xiàn)終端內(nèi)外網(wǎng)統(tǒng)一接入：整合梳理辦公內(nèi)網(wǎng)和Internet網(wǎng)絡(luò)的用戶(hù)認(rèn)證、訪問(wèn)授權(quán)、資源權(quán)限等問(wèn)題，徹底不留隱患的有效的解決辦公內(nèi)網(wǎng)的安全接入和Internet網(wǎng)絡(luò)安全接入，徹底清除未授權(quán)終端非法用戶(hù)對(duì)政務(wù)信息系統(tǒng)的存在威脅，確保了政務(wù)業(yè)務(wù)系統(tǒng)的數(shù)據(jù)在政務(wù)網(wǎng)絡(luò)中安全數(shù)據(jù)流傳輸?shù)目煽啃浴?/p>

完整的用戶(hù)行為和關(guān)鍵政務(wù)信息系統(tǒng)數(shù)據(jù)流日志審計(jì)，記錄并保留一個(gè)月以上的用戶(hù)上網(wǎng)行為是非常有必要的，在龐大的用戶(hù)痕跡日志信息中進(jìn)行初步數(shù)據(jù)挖掘，能發(fā)現(xiàn)潛在的安全隱患，防患于未然，將安全隱患控制牢牢控制，并扼殺。若已發(fā)生安全事故，可迅速定位事故爆發(fā)點(diǎn)，妥善快速解決問(wèn)題，如事故造成嚴(yán)重的財(cái)產(chǎn)損失，可提交公安機(jī)關(guān)進(jìn)行取證。

定期由專(zhuān)業(yè)安全運(yùn)維第三方服務(wù)公司提供專(zhuān)家級(jí)業(yè)務(wù)報(bào)告，為下一步網(wǎng)絡(luò)優(yōu)化提供建議，保障網(wǎng)絡(luò)持續(xù)、健康發(fā)展、安全：對(duì)整個(gè)被監(jiān)控網(wǎng)絡(luò)能夠提供全面安全健康狀態(tài)檢測(cè)報(bào)告。報(bào)告內(nèi)容包含客戶(hù)機(jī)非安全訪問(wèn)記錄、并發(fā)數(shù)異常記錄、帶寬控制效果、攻擊發(fā)生統(tǒng)計(jì)等等。

2 政務(wù)信息系統(tǒng)及網(wǎng)絡(luò)安全運(yùn)維建設(shè)

2.1 政務(wù)信息系統(tǒng)建設(shè)內(nèi)容應(yīng)涵蓋以下方面

建立覆蓋區(qū)縣政務(wù)信息系統(tǒng)所涉及的硬件服務(wù)器設(shè)備、存儲(chǔ)設(shè)備、核心網(wǎng)絡(luò)鏈路拓?fù)?、政?wù)業(yè)務(wù)系統(tǒng)結(jié)構(gòu)、數(shù)據(jù)庫(kù)并發(fā)數(shù)據(jù)鏈路流和中間件異常并況的綜合管理安全運(yùn)維平臺(tái)，包括集中授權(quán)管理中心、面向業(yè)務(wù)的精確帶寬流量控制系統(tǒng)和業(yè)務(wù)服務(wù)中心，系統(tǒng)應(yīng)具備完整業(yè)務(wù)功能和良好伸縮性。

實(shí)現(xiàn)集中授權(quán)管理中心，建立集中安全管控平臺(tái)：構(gòu)建全網(wǎng)集中的用戶(hù)賬號(hào)管理、認(rèn)證管理、授權(quán)管理、日志審計(jì)，為內(nèi)外網(wǎng)用戶(hù)提供統(tǒng)一的接入服務(wù)，加強(qiáng)內(nèi)控管理，并且為精確帶寬流量控制系統(tǒng)和業(yè)務(wù)服務(wù)管理中心提供管理控制依據(jù)。

面向業(yè)務(wù)的帶寬流量控制系統(tǒng)：構(gòu)建業(yè)務(wù)網(wǎng)絡(luò)分析、凈化、控制系統(tǒng)，進(jìn)行全面的流量監(jiān)視、凈化和控制，有效提高鏈路的帶寬利用率，保障重點(diǎn)業(yè)務(wù)的網(wǎng)絡(luò)質(zhì)量。

2.2 CA證書(shū)認(rèn)證體系設(shè)計(jì)

為切實(shí)做好政務(wù)信息系統(tǒng)安全認(rèn)證工作，提高各個(gè)區(qū)縣網(wǎng)絡(luò)安全保障水平和對(duì)應(yīng)用系統(tǒng)的防護(hù)能力，建立CA證書(shū)認(rèn)證體系。

遵循“建設(shè)政務(wù)信息系統(tǒng)統(tǒng)一的身份認(rèn)證體系，為構(gòu)建政務(wù)網(wǎng)絡(luò)信任體系奠定基礎(chǔ)，提高應(yīng)用系統(tǒng)安全保障和防護(hù)能力”的目標(biāo)，保證數(shù)據(jù)的完整性和保密性，確保用戶(hù)來(lái)源和行為的真實(shí)性和不可否認(rèn)性。

2.3 內(nèi)外網(wǎng)統(tǒng)一安全接入――P2P VSN虛擬安全工作域

建立P2P構(gòu)成的虛擬安全域，確保政務(wù)信息業(yè)務(wù)應(yīng)用環(huán)境的安全性。

通過(guò)集中安全管控平臺(tái)，用戶(hù)終端無(wú)論在企業(yè)網(wǎng)內(nèi)或是在互聯(lián)網(wǎng)中，只需要能夠在網(wǎng)絡(luò)層與安全網(wǎng)關(guān)之間可達(dá)、通過(guò)身份認(rèn)證后即可建立P2P VSN虛擬安全工作域，借由端到端的加密隧道與授權(quán)業(yè)務(wù)系統(tǒng)進(jìn)行通信。

2.4 防止社會(huì)工程學(xué)入侵滲透

在以上的技術(shù)應(yīng)用可以阻止90%以上的黑客攻擊，但是有關(guān)信息系統(tǒng)及其網(wǎng)絡(luò)安全的問(wèn)題是矛與盾永無(wú)休止的話(huà)題，事實(shí)上，沒(méi)有任何技術(shù)能防范社會(huì)工程學(xué)攻擊。這就是安全方面做薄弱的環(huán)節(jié)：人！

政務(wù)信息所有工作人員都應(yīng)該進(jìn)行定期前言安全知識(shí)培訓(xùn)。

政務(wù)信息系統(tǒng)所有業(yè)務(wù)干系人都應(yīng)懂得基本的安全策略，策略是指導(dǎo)業(yè)務(wù)人員行為保護(hù)政務(wù)信息系統(tǒng)與敏感信息所必須的規(guī)則。

參考文獻(xiàn)

[1]張麗麗.新常態(tài)下推進(jìn)“互聯(lián)網(wǎng)+政務(wù)服務(wù)”建設(shè)研究――以浙江省政務(wù)服務(wù)網(wǎng)為例[J].浙江學(xué)刊，2016（05）.

[2]馮巧玲.IPS在電子政務(wù)系統(tǒng)中的部署與實(shí)現(xiàn)[J].西安文理學(xué)院學(xué)報(bào)（自然科學(xué)版）， 2015（02）.

[3]劉邦凡，關(guān)夢(mèng)穎.電子政務(wù)的信息安全立法[J].電子商務(wù)，2014（01）.

篇8

關(guān)鍵詞：軟交換；網(wǎng)絡(luò)安全；安全區(qū)

中圖分類(lèi)號(hào)：F626.3 文獻(xiàn)標(biāo)識(shí)碼：A

軟交換網(wǎng)絡(luò)一個(gè)很大的優(yōu)勢(shì)就是具有開(kāi)放性的平臺(tái)和接口，這樣可以方便的進(jìn)行業(yè)務(wù)擴(kuò)展，這樣各種第三方的業(yè)務(wù)以及網(wǎng)絡(luò)都可以方便的和電信網(wǎng)絡(luò)實(shí)現(xiàn)無(wú)縫連接。這就導(dǎo)致電信網(wǎng)絡(luò)的規(guī)模以及業(yè)務(wù)類(lèi)型十分的反正，傳統(tǒng)互聯(lián)網(wǎng)所面臨的病毒、黑客等危險(xiǎn)也隨之蔓延到電信網(wǎng)絡(luò)上，從而給運(yùn)營(yíng)商的服務(wù)造成巨大的威脅。因此，對(duì)于軟交換來(lái)說(shuō)，能否做好安全保障工作是一個(gè)非常重要的環(huán)節(jié)。隨著軟交換技術(shù)的使用以及推廣，這就導(dǎo)致軟交換面臨著傳統(tǒng)的網(wǎng)絡(luò)安全問(wèn)題。同時(shí)，軟交換網(wǎng)絡(luò)和傳統(tǒng)網(wǎng)絡(luò)相比還有自身的一些特點(diǎn)，因此其安全問(wèn)題也具有自身的一些特點(diǎn)。在進(jìn)行軟交換安全防護(hù)的過(guò)程當(dāng)中一般都是從軟交換設(shè)備本身以及網(wǎng)絡(luò)這兩個(gè)大的方面為切入點(diǎn)來(lái)進(jìn)行的。首先應(yīng)該確保軟交換的相關(guān)設(shè)備自身在設(shè)置上的安全，并且做好相應(yīng)的硬件和軟件防護(hù)工作，從而使軟交換設(shè)備自身具有一定的安全防護(hù)能力。而對(duì)于網(wǎng)絡(luò)的安全，則是對(duì)于軟交換的承載網(wǎng)絡(luò)安全采取相應(yīng)的措施，建立健全完善的保護(hù)機(jī)制，防止通過(guò)網(wǎng)絡(luò)對(duì)軟交換設(shè)備造成的攻擊。

在軟交換網(wǎng)絡(luò)建設(shè)過(guò)程當(dāng)中一定要同時(shí)抓好軟交換設(shè)備安全以及網(wǎng)絡(luò)安全，兩者相輔相成，缺一不可。運(yùn)營(yíng)商首先要在思想上引起足夠的重視，做好相應(yīng)的軟交換安全保障工作。

1軟交換面臨的主要安全隱患

軟交換所面臨的安全問(wèn)題十分多樣，種類(lèi)層出不窮，但是大體可以分為以下幾個(gè)方面：第一，網(wǎng)絡(luò)安全，主要是軟交換網(wǎng)絡(luò)自身的安全；第二，終端安全，終端主要是指用戶(hù)側(cè)的終端設(shè)備。當(dāng)前對(duì)于用戶(hù)終端的病毒以及攻擊十分常見(jiàn)，由于軟交換網(wǎng)絡(luò)無(wú)法對(duì)其進(jìn)行有效的防范，因此往往利用終端對(duì)網(wǎng)絡(luò)發(fā)起攻擊，進(jìn)而對(duì)軟交換的設(shè)備產(chǎn)生影響；第三，設(shè)備安全，主要是指各種軟交換的承載設(shè)備自身的安全，這種安全隱患大多都是由于設(shè)備運(yùn)行不規(guī)范或者是外部對(duì)其進(jìn)行攻擊。

2軟交換安全服務(wù)措施

由于軟交換所面臨的安全隱患十分繁多，因此必須做好相應(yīng)的防范工作，為用戶(hù)提供安全的服務(wù)，可以通過(guò)以下幾個(gè)方面的措施來(lái)實(shí)現(xiàn)。

2.1保密性。應(yīng)該采取相應(yīng)的手段對(duì)軟交換網(wǎng)絡(luò)中傳遞的數(shù)據(jù)進(jìn)行相應(yīng)的加密，從而防止沒(méi)有經(jīng)過(guò)授權(quán)的用戶(hù)非法截留數(shù)據(jù)。這樣講數(shù)據(jù)以加密的形式傳遞，即使數(shù)據(jù)被截留，那么也沒(méi)法進(jìn)行解讀。除此之外，應(yīng)該做好相應(yīng)的數(shù)據(jù)傳輸端口的防護(hù)工作，防止非法對(duì)相應(yīng)的端口進(jìn)行監(jiān)聽(tīng)，保護(hù)數(shù)據(jù)的安全性。

2.2認(rèn)證。建立嚴(yán)密的身份認(rèn)證程序，防止用戶(hù)合法身份被盜用，而對(duì)資源進(jìn)行竊取。對(duì)于數(shù)據(jù)傳輸之前雙方的身份以及數(shù)據(jù)來(lái)源進(jìn)行認(rèn)證，從而保證通信雙方都具有相應(yīng)的合法身份和對(duì)應(yīng)的權(quán)限。將業(yè)務(wù)和實(shí)體身份進(jìn)行捆綁，防止身份被盜用或者是偽裝欺騙。

2.3完整性。為了防止未經(jīng)授權(quán)的用戶(hù)對(duì)數(shù)據(jù)繼續(xù)非法修改，可以利用VPN技術(shù)進(jìn)行通信。為了防止數(shù)據(jù)受到損壞，可以積極采用數(shù)字簽名以及其它的完整性檢測(cè)技術(shù)地?cái)?shù)據(jù)完整性進(jìn)行檢測(cè)。

2.4 訪問(wèn)控制。通過(guò)完善的授權(quán)機(jī)制對(duì)于網(wǎng)絡(luò)中的關(guān)鍵部分提供保護(hù)，對(duì)于相應(yīng)的訪問(wèn)者進(jìn)行等級(jí)劃分，具備相應(yīng)的等級(jí)才能夠訪問(wèn)相應(yīng)的資源，防止對(duì)于沒(méi)有權(quán)限的資源進(jìn)行使用。建立完善的數(shù)據(jù)庫(kù)，用于存儲(chǔ)安全認(rèn)證信息，用戶(hù)進(jìn)行認(rèn)證時(shí)需要將信息進(jìn)行嚴(yán)格的比對(duì)。對(duì)于認(rèn)證信息數(shù)據(jù)庫(kù)也應(yīng)該設(shè)立較高的等級(jí)，防止數(shù)據(jù)庫(kù)被非法篡改。

2.5安全協(xié)議。目前應(yīng)用較多的是IPSEC,SSL/TLS。至于MPLS, 嚴(yán)格地說(shuō)它并不是一種安全協(xié)議, 其主要用途是兼容和并存目前各種IP路由和ATM交換技術(shù), 提供一種更加具有彈性和擴(kuò)充性的、效率更高的交換路由技術(shù), 它對(duì)網(wǎng)絡(luò)安全貢獻(xiàn)應(yīng)主要在于流量方面。

3軟交換安全方案

軟交換網(wǎng)絡(luò)安全的實(shí)現(xiàn), 有多種方案可供選擇,下面介紹的IPSEC(ESP遂道模式)+SSL/TLS+認(rèn)證服務(wù)器/策略服務(wù)器+FW/NAT是一種可運(yùn)營(yíng)解決方案。IPSec 體系提供標(biāo)準(zhǔn)的、安全的、普遍的機(jī)制。可以保護(hù)主機(jī)之間、網(wǎng)關(guān)之間和主機(jī)與網(wǎng)關(guān)之間的數(shù)據(jù)包安全。由于涉及的算法為標(biāo)準(zhǔn)算法,可以保證互通性,并且可以提供嵌套安全服務(wù)。另外對(duì)IPV6 而言它是一個(gè)強(qiáng)制標(biāo)準(zhǔn),是今后發(fā)展的一個(gè)趨勢(shì)。

IPSec協(xié)議主要由AH (認(rèn)證頭)協(xié)議, ESP(封裝安全載荷)協(xié)議和負(fù)責(zé)密鑰管理的IKE(因特網(wǎng)密鑰交換) 協(xié)議三個(gè)協(xié)議組成。認(rèn)證頭(AH)協(xié)議對(duì)在媒體網(wǎng)關(guān)/終端設(shè)備和軟交換設(shè)備之間傳送的消息提供數(shù)據(jù)源認(rèn)證,無(wú)連接完整性保護(hù)和防重放攻擊保護(hù)。ESP協(xié)議除了提供數(shù)據(jù)完整性校驗(yàn)、身份認(rèn)證和防重放保護(hù)外, 同時(shí)提供加密。ESP 的加密和認(rèn)證是可選的, 要求支持這兩種算法中的至少一種算法, 但不能同時(shí)置為空。根據(jù)要求, ESP 協(xié)議必須支持下列算法: 第一，使用CBC 模式的DES算法。第二，使用MD5的HMAC算法。第三，使用SHA-1的HMAC算法。第四，空認(rèn)證算法。第五，空加密算法。數(shù)據(jù)完整性可以通過(guò)校驗(yàn)碼(MD5) 來(lái)保證；數(shù)據(jù)身份認(rèn)證通過(guò)在待認(rèn)證數(shù)據(jù)中加入一個(gè)共享密鑰來(lái)實(shí)現(xiàn)；報(bào)頭中的序列號(hào)可以防止重放攻擊。IKE協(xié)議主要在通信雙方建立連接時(shí)規(guī)定使用的IPSec協(xié)議類(lèi)型、加密算法、加密和認(rèn)證密鑰等屬性,并負(fù)責(zé)維護(hù)。IKE采用自動(dòng)模式進(jìn)行管理, IKE的實(shí)現(xiàn)可支持協(xié)商虛擬專(zhuān)業(yè)網(wǎng)(VPN),也可從用于在事先并不知道的遠(yuǎn)程訪問(wèn)接入方式。

認(rèn)證系統(tǒng)和策略系統(tǒng)對(duì)商用軟交換系統(tǒng)而言是必不可少的。它們?cè)诠芾韺用嫔蠈?shí)施訪問(wèn)控制、信息驗(yàn)證、信息保密性等措施,可以為網(wǎng)絡(luò)提供安全保證。同時(shí), 認(rèn)證服務(wù)可以提計(jì)費(fèi)的準(zhǔn)確性,保證網(wǎng)絡(luò)的商業(yè)運(yùn)營(yíng)。

防火墻/NAT 是保證網(wǎng)絡(luò)安全必不可少的一部分。防火墻種類(lèi)繁多,它在較交換中的竅越問(wèn)題可以通過(guò)兩種方法實(shí)現(xiàn):一是使用TCP；二是用短于關(guān)閉墻口時(shí)長(zhǎng)為周期,不斷發(fā)送消息,維持端口開(kāi)啟

4結(jié)束語(yǔ)

基于軟交換的NGN 網(wǎng)絡(luò)所存在的安全問(wèn)題一直以來(lái)受到大家的關(guān)注。而作為數(shù)據(jù)網(wǎng)絡(luò)上的一種新興的應(yīng)用,以IP作為承載媒體的軟交換所面臨的一些安全隱患, 實(shí)際是目前IP 網(wǎng)絡(luò)上存在的若干問(wèn)題的延續(xù)。只有很好地解決了網(wǎng)絡(luò)的安全問(wèn)題,同時(shí)配合產(chǎn)品本身的一些安全認(rèn)證機(jī)制,軟交換才能夠在新的電信網(wǎng)中持久穩(wěn)定的發(fā)揮作用,并成為解決話(huà)音、數(shù)據(jù)、視頻多媒體通信需求的有效解決方法, 并最終完成“三網(wǎng)合一”。

網(wǎng)絡(luò)安全工作是一個(gè)以管理為主的系統(tǒng)工程, 靠的是“三分技術(shù),七分管理”, 因此必須制定一系列的安全管理制度、安全評(píng)估和風(fēng)險(xiǎn)處置手段、應(yīng)急預(yù)案等, 這些措施應(yīng)覆蓋網(wǎng)絡(luò)安全的各個(gè)方面,達(dá)到能夠解決的安全問(wèn)題及時(shí)解決,可以減輕的安全問(wèn)題進(jìn)行加固,不能解決的問(wèn)題編制應(yīng)急預(yù)案減少安全威脅。與此同時(shí),需要強(qiáng)有力的管理來(lái)保障這些制度和手段落到實(shí)處。

參考文獻(xiàn)：

[1] 徐鵬,廖建新,吳乃星,馬旭濤.基于軟交換的集群媒體服務(wù)器的安全問(wèn)題及其解決方案[J].計(jì)算機(jī)應(yīng)用研究,2006(6).

篇9

關(guān)鍵詞：信息科技；風(fēng)險(xiǎn)；防范與控制

中圖分類(lèi)號(hào)：F832.35

信息科技在農(nóng)村金融機(jī)構(gòu)中發(fā)揮的作用也越來(lái)越大，各項(xiàng)業(yè)務(wù)對(duì)科技支撐的依賴(lài)程度越來(lái)越高，信息科技逐漸成為農(nóng)村金融機(jī)構(gòu)穩(wěn)健運(yùn)營(yíng)和發(fā)展的支柱。但也應(yīng)該看到，隨著對(duì)信息科技投入的不斷增加，信息系統(tǒng)規(guī)模的不斷擴(kuò)大，信息科技風(fēng)險(xiǎn)的難測(cè)性和隱蔽性帶來(lái)的風(fēng)險(xiǎn)也越來(lái)越突出，信息科技風(fēng)險(xiǎn)潛存的威脅越來(lái)越嚴(yán)重。目前，農(nóng)村金融機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理水平仍處于初級(jí)階段，如何有效管理信息化過(guò)程中產(chǎn)生的信息科技風(fēng)險(xiǎn)，使現(xiàn)代化的信息科技更好地服務(wù)于業(yè)務(wù)發(fā)展，已經(jīng)成為農(nóng)村金融機(jī)構(gòu)必須面對(duì)的挑戰(zhàn)。

1 農(nóng)村金融機(jī)構(gòu)信息科技所面臨的風(fēng)險(xiǎn)

農(nóng)村金融機(jī)構(gòu)信息科技風(fēng)險(xiǎn)是指，信息科技在被農(nóng)村金融機(jī)構(gòu)運(yùn)用過(guò)程中，由于技術(shù)漏洞、管理缺陷、人為因素、自然因素等原因而造成的問(wèn)題或危機(jī)。我國(guó)農(nóng)村金融機(jī)構(gòu)信息科技管理手段相對(duì)落后，管理機(jī)構(gòu)對(duì)信息科技的風(fēng)險(xiǎn)認(rèn)識(shí)不足，對(duì)科技風(fēng)險(xiǎn)管理工作不夠重視，信息管理水平較低，發(fā)生風(fēng)險(xiǎn)事故的概率高，且一旦發(fā)生危機(jī)，難以拿出強(qiáng)有力的應(yīng)急處置措施。具體來(lái)說(shuō)，在以下幾方面體現(xiàn)尤其明顯：

1.1 對(duì)信息科技管理認(rèn)識(shí)不足

目前我國(guó)農(nóng)村金融機(jī)構(gòu)管理層普遍對(duì)信息科技風(fēng)險(xiǎn)認(rèn)識(shí)不足，主要體現(xiàn)在兩方面。一是存在如下普遍問(wèn)題：重信息科技建設(shè)，輕信息科技管理；重提升信息科技建設(shè)的檔次，輕信息科技風(fēng)險(xiǎn)的防范；重銀行業(yè)務(wù)的發(fā)展，輕風(fēng)險(xiǎn)管理和長(zhǎng)期規(guī)劃。這與他們對(duì)信息科技管理知識(shí)的缺乏有關(guān)。二是從業(yè)人員方面。信息科技管理需要農(nóng)村金融機(jī)構(gòu)內(nèi)所有人員的參與，上至領(lǐng)導(dǎo)層，下至普通員工，乃至一線(xiàn)操作人員，目前都沒(méi)有形成人人有責(zé)的風(fēng)險(xiǎn)防范意識(shí)，對(duì)信息安全的重要性認(rèn)識(shí)不足。

1.2 缺乏必要的應(yīng)急機(jī)制保障

盡管農(nóng)村金融機(jī)構(gòu)都會(huì)制定系統(tǒng)應(yīng)急預(yù)案，但往往忽略配套的應(yīng)急培訓(xùn)，缺乏有效的應(yīng)急演練和壓力測(cè)試，一旦緊急事故發(fā)生，對(duì)問(wèn)題的及時(shí)完滿(mǎn)處理就得不到保障。有些農(nóng)村金融機(jī)構(gòu)制定的系統(tǒng)應(yīng)急預(yù)案存在著涵蓋面過(guò)于籠統(tǒng)，在針對(duì)性和可操縱性方面存在著不足，這又直接關(guān)系著問(wèn)題的處理效果。更多的農(nóng)村金融機(jī)構(gòu)在業(yè)務(wù)連續(xù)性方面缺乏有效的技術(shù)支持，只局限在網(wǎng)絡(luò)及數(shù)據(jù)的備份層次，沒(méi)有災(zāi)備，再者管理組織不夠完善，一旦發(fā)生重大風(fēng)險(xiǎn)，就難以完成應(yīng)急的有效性。這些情況都嚴(yán)重影響著應(yīng)急執(zhí)行效果，對(duì)風(fēng)險(xiǎn)的有效排除和危機(jī)的處理難以保障。

1.3 缺乏健全的組織機(jī)構(gòu)及崗位設(shè)置

我國(guó)農(nóng)村金融機(jī)構(gòu)對(duì)科技部門(mén)重視不足，普遍存在科技部門(mén)人員配備不足的現(xiàn)象。一個(gè)科技人員往往身兼數(shù)職，在重要崗位經(jīng)常發(fā)生AB崗位制度難以落實(shí)的情況。雖然有風(fēng)險(xiǎn)管理部門(mén)的設(shè)置，但該部門(mén)一般只發(fā)揮管控資產(chǎn)、負(fù)債類(lèi)業(yè)務(wù)風(fēng)險(xiǎn)的作用，不涉及信息科技風(fēng)險(xiǎn)職能。農(nóng)村金融機(jī)構(gòu)應(yīng)該高度重視科技風(fēng)險(xiǎn)管理工作，設(shè)置更健全的組織機(jī)構(gòu)和崗位，不能讓科技部門(mén)既是信息系統(tǒng)的建設(shè)者和維護(hù)者，又是信息科技風(fēng)險(xiǎn)的管理者，因?yàn)檫@樣會(huì)在形成有效的制衡機(jī)制、有效識(shí)別并量化可能存在的信息科技風(fēng)險(xiǎn)方面存在著不足。

1.4 科技從業(yè)人員素質(zhì)相對(duì)偏低

目前我國(guó)農(nóng)村金融機(jī)構(gòu)科技部門(mén)普遍存在著從業(yè)人員專(zhuān)業(yè)素質(zhì)偏低的現(xiàn)象。現(xiàn)有的從業(yè)人員工作重點(diǎn)主要體現(xiàn)在日?；A(chǔ)性設(shè)備和網(wǎng)絡(luò)工作的維護(hù)，更多掌握的是系統(tǒng)設(shè)備維護(hù)、機(jī)房管理等常規(guī)性工作，忽視了專(zhuān)業(yè)化的信息科技風(fēng)險(xiǎn)培訓(xùn)，因而對(duì)信息科技風(fēng)險(xiǎn)管理知識(shí)和相關(guān)專(zhuān)業(yè)知識(shí)相對(duì)缺乏，對(duì)信息科技管理、規(guī)避科技風(fēng)險(xiǎn)等管理性工作涉及較少，很難有效及時(shí)認(rèn)識(shí)到各項(xiàng)系統(tǒng)存在的漏洞，更別提全面隱患的排查和消除。

1.5 基礎(chǔ)設(shè)施安全建設(shè)存在隱患

基礎(chǔ)設(shè)施安全的隱患主要體現(xiàn)在兩方面：一是機(jī)房管理不善；二是網(wǎng)絡(luò)運(yùn)行安全性不高。我國(guó)農(nóng)村金融機(jī)構(gòu)的機(jī)房普遍存在著防火、防水、供電等不達(dá)標(biāo)的現(xiàn)象，沒(méi)有設(shè)置相應(yīng)的防雷系統(tǒng)，門(mén)禁系統(tǒng)缺失、監(jiān)控盲區(qū)的存在等等，這都是機(jī)房管理安全急需解決的問(wèn)題。在網(wǎng)絡(luò)運(yùn)行方面，由于數(shù)據(jù)的大集中，對(duì)農(nóng)村基層網(wǎng)絡(luò)的穩(wěn)定性和通暢性都提出了更高要求?，F(xiàn)實(shí)情況是，農(nóng)村金融機(jī)構(gòu)存在未按監(jiān)管要求配置主備通訊線(xiàn)路現(xiàn)象，這樣導(dǎo)致基層網(wǎng)點(diǎn)出現(xiàn)不能正常辦理業(yè)務(wù)的可能性增大，造成不良的影響。

1.6 電子銀行風(fēng)險(xiǎn)管理不到位

信息科技的出現(xiàn)為農(nóng)村金融機(jī)構(gòu)各項(xiàng)業(yè)務(wù)的豐富和高效提供了方便，促進(jìn)了我國(guó)農(nóng)村金融機(jī)構(gòu)信息科技建設(shè)的飛速發(fā)展。隨著信息科技在各個(gè)業(yè)務(wù)領(lǐng)域的不斷深入，農(nóng)村金融機(jī)構(gòu)的業(yè)務(wù)呈現(xiàn)飛速增長(zhǎng)趨勢(shì)，尤其是信息科技的優(yōu)勢(shì)體現(xiàn)――電子銀行的應(yīng)用。在這樣的環(huán)境下，多數(shù)農(nóng)村金融機(jī)構(gòu)的管理重心都放在了傳統(tǒng)業(yè)務(wù)發(fā)展方面，疏于電子銀行風(fēng)險(xiǎn)的管理。雖然制定了電子銀行相關(guān)的各項(xiàng)管理制度，但在具體的執(zhí)行上，仍然存在著嚴(yán)重的不到位情況，加上人員配置的不夠，最終直接導(dǎo)致電子銀行風(fēng)險(xiǎn)管理缺失。因此，目前我國(guó)農(nóng)村金融機(jī)構(gòu)中的電子銀行風(fēng)險(xiǎn)處于多發(fā)、高發(fā)期。

2 農(nóng)村金融機(jī)構(gòu)信息科技風(fēng)險(xiǎn)防控策略

2.1 增強(qiáng)風(fēng)險(xiǎn)防范意識(shí)，加大風(fēng)險(xiǎn)管理投入

信息科技工作對(duì)農(nóng)村金融機(jī)構(gòu)經(jīng)營(yíng)起著重要基礎(chǔ)和保障作用，必須充分認(rèn)識(shí)信息科技風(fēng)險(xiǎn)防范在金融機(jī)構(gòu)監(jiān)管中的重要性。農(nóng)村金融機(jī)構(gòu)高層管理者必須提高信息科技風(fēng)險(xiǎn)防范的思想認(rèn)識(shí)，對(duì)信息科技風(fēng)險(xiǎn)的管理加深了解，加強(qiáng)信息科技風(fēng)險(xiǎn)監(jiān)管工作的管理工作，最終將信息科技風(fēng)險(xiǎn)管理工作納入日常經(jīng)營(yíng)中去。同時(shí)，要加強(qiáng)信息科技安全建設(shè)方面的投入，及時(shí)消除信息科技系統(tǒng)所面臨的各種風(fēng)險(xiǎn)和隱患，保障農(nóng)村金融機(jī)構(gòu)的穩(wěn)步和連續(xù)性運(yùn)行。

2.2 完善應(yīng)急預(yù)案，加強(qiáng)應(yīng)急演練

農(nóng)村金融機(jī)構(gòu)要細(xì)化危機(jī)場(chǎng)景，完善應(yīng)急預(yù)案，定期對(duì)信息科技人員開(kāi)展應(yīng)急管理培訓(xùn)，根據(jù)自身實(shí)際情況不斷完善應(yīng)急預(yù)案的內(nèi)容，做到“責(zé)任明確、流程明確、預(yù)案明確、報(bào)告明確、聯(lián)絡(luò)明確”，并確保預(yù)案的具體性和可操作性，從業(yè)人員在不斷進(jìn)行應(yīng)急預(yù)案演練的過(guò)程中，不斷提高自身的應(yīng)急能力、抗風(fēng)險(xiǎn)的能力和處理突發(fā)事件的能力。另外，為了確保信息系統(tǒng)業(yè)務(wù)的連續(xù)性，農(nóng)村金融機(jī)構(gòu)還要加強(qiáng)業(yè)務(wù)連續(xù)性管理，根據(jù)自身真實(shí)狀況加強(qiáng)業(yè)務(wù)連續(xù)性體系建設(shè)，制定切實(shí)可行的業(yè)務(wù)連續(xù)性計(jì)劃，并定期不定期開(kāi)展業(yè)務(wù)連續(xù)性應(yīng)急演練。

2.3 增強(qiáng)從業(yè)人員專(zhuān)業(yè)素質(zhì)，加強(qiáng)崗位管理

針對(duì)高素質(zhì)專(zhuān)業(yè)從業(yè)人員不足和崗位配置不足的問(wèn)題，一是加大農(nóng)村金融機(jī)構(gòu)的人員投入，引入高素質(zhì)的信息科技人員，同時(shí)加大從業(yè)人員的培訓(xùn)力度，培養(yǎng)一批專(zhuān)門(mén)從事信息科技風(fēng)險(xiǎn)管理工作的專(zhuān)業(yè)人才。其次是增加管理、運(yùn)行、維護(hù)等崗位人員的配置，關(guān)鍵崗位設(shè)置有效的AB崗位，滿(mǎn)足崗位需求。最后，根據(jù)《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》要求，完善相關(guān)信息科技風(fēng)險(xiǎn)管理管理制度，加強(qiáng)信息科技風(fēng)險(xiǎn)審計(jì)，最終形成人員控制、制度保障、審計(jì)監(jiān)督三位一體的信息科技風(fēng)險(xiǎn)管理模式。

2.4 加強(qiáng)基礎(chǔ)設(shè)施建設(shè)，提升基礎(chǔ)設(shè)施安全水平

重點(diǎn)加強(qiáng)機(jī)房電力、UPS、消防系統(tǒng)等關(guān)鍵機(jī)房環(huán)境設(shè)備安全的保障，針對(duì)基礎(chǔ)設(shè)施不完善的情況，農(nóng)村金融機(jī)構(gòu)要采取有效措施改善，保障業(yè)務(wù)系統(tǒng)工作的連續(xù)性。同時(shí)完善機(jī)房管理制度，實(shí)時(shí)監(jiān)控各種設(shè)備的運(yùn)行狀況，做到對(duì)設(shè)備故障的有效預(yù)測(cè)和報(bào)警。還要組織專(zhuān)業(yè)人員定期對(duì)基礎(chǔ)設(shè)施進(jìn)行風(fēng)險(xiǎn)排查，檢驗(yàn)基礎(chǔ)設(shè)施相關(guān)的安全、流程和管理措施漏洞，確?；A(chǔ)設(shè)施安全管理有效性

2.5 加強(qiáng)電子銀行風(fēng)險(xiǎn)防范

農(nóng)村金融機(jī)構(gòu)要采取必要手段防范犯罪分子利用銀行卡、網(wǎng)上銀行、ATM、POS等金融機(jī)具實(shí)施的不法活動(dòng)。一方面，可通過(guò)提高網(wǎng)絡(luò)安全、網(wǎng)上銀行身份認(rèn)證等級(jí)、合理制定POS、ATM和網(wǎng)上銀行的交易限額等技術(shù)手段加強(qiáng)防范，另一方面可借助通過(guò)公眾金融服務(wù)教育和柜面宣傳增強(qiáng)風(fēng)險(xiǎn)防范合力，加強(qiáng)審查力度，強(qiáng)化電子銀行業(yè)務(wù)風(fēng)險(xiǎn)防范。

2.6 加強(qiáng)風(fēng)險(xiǎn)管理文化建設(shè)，提高員工風(fēng)險(xiǎn)意識(shí)

風(fēng)險(xiǎn)管理文化是風(fēng)險(xiǎn)管理體系的靈魂，要樹(shù)立信息科技風(fēng)險(xiǎn)管理文化意識(shí)，大力塑造與培育濃厚的信息科技風(fēng)險(xiǎn)管理文化，同時(shí)將信息科技風(fēng)險(xiǎn)管理文化建設(shè)很好地融入到企業(yè)文化建設(shè)中，并將信息科技風(fēng)險(xiǎn)管理文化轉(zhuǎn)化為廣大員工自覺(jué)的行動(dòng)與共同的認(rèn)知。加強(qiáng)員工信息安全教育及法律素質(zhì)教育，增強(qiáng)法律觀念和信息科技風(fēng)險(xiǎn)防范意識(shí)，人人正確樹(shù)立信息科技風(fēng)險(xiǎn)意識(shí)，人人提高信息科技風(fēng)險(xiǎn)知識(shí)水平。

參考文獻(xiàn)：

[1]中國(guó)銀行業(yè)監(jiān)督管理委員會(huì).農(nóng)村中小金融機(jī)構(gòu)風(fēng)險(xiǎn)管理機(jī)制建設(shè)指引，2009-12-1.

[2]中國(guó)銀行業(yè)監(jiān)督管理委員會(huì).商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引，2009-3-3.

篇10

關(guān)鍵詞 電子政務(wù) 信息安全體系 安全支撐體系

中圖分類(lèi)號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A

新時(shí)期的經(jīng)濟(jì)、文化、生態(tài)文明建設(shè)等都離不開(kāi)電子政務(wù)的支撐。在對(duì)電子政務(wù)系統(tǒng)進(jìn)行建設(shè)中，由于其自身發(fā)展的不完善，以及各種有意無(wú)意的電子政務(wù)違法犯罪行為，利益集團(tuán)在電子政務(wù)上的利益博弈，進(jìn)而使得電子政務(wù)安全問(wèn)題頻頻發(fā)生。

1電子政務(wù)系統(tǒng)安全介紹

1.1電子政務(wù)系統(tǒng)的信息安全及其重要性

由于電子政務(wù)系統(tǒng)建立在互聯(lián)網(wǎng)基礎(chǔ)平臺(tái)上，包含政務(wù)外網(wǎng)、內(nèi)網(wǎng)和門(mén)戶(hù)網(wǎng)。而互聯(lián)網(wǎng)是有很多缺陷的全球網(wǎng)絡(luò)，自身的安全風(fēng)險(xiǎn)隱患很多，使在互聯(lián)網(wǎng)上開(kāi)展的電子政務(wù)應(yīng)用面臨著嚴(yán)峻的挑戰(zhàn)。

電子政務(wù)系統(tǒng)的信息安全是指一個(gè)國(guó)家的政府信息資源不受外來(lái)的侵害與威脅，信息資源不被故意的或偶然的非法授權(quán)泄漏、更改，防止信息被非法入侵者辨識(shí)、竊取、控制、利用等。信息安全成為如今政府信息化中的關(guān)鍵問(wèn)題。安全問(wèn)題是電子政務(wù)建設(shè)中的重中之重。信息安全包括：存儲(chǔ)傳輸、系統(tǒng)風(fēng)險(xiǎn)管理、審計(jì)跟蹤、備份與恢復(fù)、應(yīng)急響應(yīng)等方面的安全內(nèi)容。

電子政務(wù)直接涉及到各級(jí)政府的重要核心政務(wù)，必須要求電子政務(wù)實(shí)施的過(guò)程具有極高的可靠性和安全性。電子政務(wù)系統(tǒng)中的信息安全還涉及到了公眾權(quán)益、個(gè)人信息保密，甚至國(guó)家利益、社會(huì)穩(wěn)定和國(guó)家安全等重要的問(wèn)題。

1.2電子政務(wù)系統(tǒng)的信息安全意義

信息安全主要是采取各種措施，保證信息的機(jī)密性、完整性、一致性和不可否認(rèn)性等。信息安全技術(shù)廣泛應(yīng)用于電子政務(wù)，規(guī)范了政務(wù)處理的流程，加快了信息流動(dòng)，提高了政務(wù)處理效率，給政務(wù)工作方式帶來(lái)了全新的變化。

當(dāng)今，我國(guó)電子政務(wù)中信息安全技術(shù)主要有：數(shù)據(jù)加密技術(shù)、認(rèn)證技術(shù)與數(shù)字簽名、信息安全分級(jí)等級(jí)保護(hù)方法、入侵檢測(cè)安全技術(shù)、政務(wù)系統(tǒng)安全域劃分技術(shù)、虛擬專(zhuān)網(wǎng)技術(shù)、防火墻技術(shù)。

2電子政務(wù)系統(tǒng)結(jié)構(gòu)模型及其系統(tǒng)安全體系的分析

2.1電子政務(wù)系統(tǒng)結(jié)構(gòu)模型

我國(guó)電子政務(wù)系統(tǒng)結(jié)構(gòu)從“三網(wǎng)一庫(kù)”到政務(wù)內(nèi)外網(wǎng)結(jié)構(gòu)，使得數(shù)據(jù)信息能夠?qū)崟r(shí)快速的進(jìn)行交換處理，地方政府尤其是基層政府對(duì)群眾的服務(wù)需求的反應(yīng)更加迅速。內(nèi)外網(wǎng)結(jié)構(gòu)模型，如圖1所示。

2.2電子政務(wù)系統(tǒng)安全體系的分析設(shè)計(jì)

保障電子政務(wù)系統(tǒng)安全各組成部分構(gòu)成電子政務(wù)系統(tǒng)安全體系。它包括電子政務(wù)安全支撐部分與電子政務(wù)安全法律法規(guī)部分，而電子政務(wù)安全支撐部分又由安全基礎(chǔ)設(shè)備與設(shè)施、信息安全技術(shù)、安全管理、安全應(yīng)急響應(yīng)系統(tǒng)組成。

要建立全方位、多層次的、完善的電子政務(wù)系統(tǒng)安全體系，需要從這電子政務(wù)安全支撐部分的四個(gè)部分與電子政務(wù)安全法律法規(guī)部分這些方面來(lái)設(shè)計(jì)構(gòu)造電子政務(wù)系統(tǒng)安全體系的框架模型。

3電子政務(wù)安全支撐結(jié)構(gòu)構(gòu)建

3.1電子政務(wù)系統(tǒng)安全的隱患介紹

電子政務(wù)系統(tǒng)安全性被破壞，造成機(jī)密的信息暴露或丟失，或網(wǎng)絡(luò)被攻擊導(dǎo)致系統(tǒng)功能毀壞等安全事件，帶來(lái)的后果必然極為嚴(yán)重，不堪設(shè)想，電子政務(wù)信息系統(tǒng)也必然成為信息間諜、黑客等各類(lèi)違法犯罪分子攻擊的目標(biāo)。電子政務(wù)系統(tǒng)安全主要包括以下方面的隱患：物理安全、系統(tǒng)安全、網(wǎng)絡(luò)安全、應(yīng)用安全及管理安全。

3.2電子政務(wù)安全支撐構(gòu)建分析

根據(jù)電子政務(wù)系統(tǒng)安全隱患，電子政務(wù)安全支撐部分主要由以下部分組成：安全基礎(chǔ)設(shè)備與設(shè)施；信息安全技術(shù)；安全管理；安全應(yīng)急響應(yīng)系統(tǒng)。

（1）電子政務(wù)建設(shè)的安全基礎(chǔ)設(shè)備與設(shè)施

電子政務(wù)系統(tǒng)安全基礎(chǔ)設(shè)備與設(shè)施是指能夠?yàn)殡娮诱?wù)系統(tǒng)提供安全保障的物理硬件環(huán)境、設(shè)施設(shè)備和軟件環(huán)境。它的具體內(nèi)容主要包括以下方面：

①保護(hù)電子政務(wù)物理硬件設(shè)備、設(shè)施以及其它硬件媒體免遭水災(zāi)、地震、火災(zāi)等環(huán)境事故，人為操作的失誤或錯(cuò)誤，及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞物理硬件環(huán)境、設(shè)施設(shè)備。

②能夠?yàn)殡娮诱?wù)系統(tǒng)中的通信、交易各方提供共同信任的權(quán)限授予、握手協(xié)議、秘鑰的分發(fā)和身份認(rèn)證的公共第三方安全基礎(chǔ)設(shè)施，它包括基于PKI技術(shù)的CA認(rèn)證中心、可信的時(shí)間戳服務(wù)中心、密碼秘鑰管理中心、基于PMI的授權(quán)管理設(shè)施、信任策略庫(kù)等安全基礎(chǔ)設(shè)施。

（2）信息安全技術(shù)

電子政務(wù)安全技術(shù)是指保護(hù)電子政務(wù)系統(tǒng)正常安全工作的安全方法、原則、規(guī)則等。安全技術(shù)是由保障電子政務(wù)系統(tǒng)安全工作的技術(shù)組成的總和，電子政務(wù)安全技術(shù)主要由信息安全技術(shù)構(gòu)成。信息安全技術(shù)廣泛的應(yīng)用在對(duì)電子政務(wù)系統(tǒng)起安全防護(hù)作用及起基礎(chǔ)安全支撐作用等其他輔助作用的系統(tǒng)中，它負(fù)責(zé)電子政務(wù)系統(tǒng)的網(wǎng)絡(luò)安全、局部計(jì)算的環(huán)境安全、區(qū)域邊界安全等方面的保護(hù)以及能夠?yàn)殡娮诱?wù)系統(tǒng)中的通信、交易各方提供共同信任的權(quán)限授予、握手協(xié)議、秘鑰的分發(fā)和身份認(rèn)證的基礎(chǔ)安全支撐，它包括應(yīng)用在防火墻系統(tǒng)、漏洞掃描系統(tǒng)、入侵監(jiān)測(cè)系統(tǒng)、路由器、Web防篡改系統(tǒng)、DNS服務(wù)器安全系統(tǒng)、網(wǎng)絡(luò)防病毒系統(tǒng)、基于PKI技術(shù)的CA認(rèn)證中心、密碼秘鑰管理中心、基于PMI的授權(quán)管理設(shè)施等設(shè)施或系統(tǒng)中的信息安全技術(shù)。

（3）安全管理

保障電子政務(wù)系統(tǒng)安全的一個(gè)重要核心是安全管理，安全管理是確保安全技術(shù)得以有效實(shí)施的重要保障。依據(jù)電子政務(wù)系統(tǒng)的安全需求及系統(tǒng)所出現(xiàn)的問(wèn)題，安全管理部分應(yīng)該包括以下內(nèi)容：安全管理的組織機(jī)構(gòu)的設(shè)立、安全管理的規(guī)章制度的制定、對(duì)安全技術(shù)的管理、對(duì)系統(tǒng)工作人員的管理與培訓(xùn)、安全管理技術(shù)體系、對(duì)安全基礎(chǔ)設(shè)備設(shè)施的管理、安全策略的制定與管理、對(duì)系統(tǒng)安全問(wèn)題的管理、對(duì)從事電子政務(wù)系統(tǒng)安全工作的單位與個(gè)人的資質(zhì)證書(shū)的認(rèn)證等、對(duì)系統(tǒng)安全性能風(fēng)險(xiǎn)的評(píng)估與安全資產(chǎn)價(jià)值的評(píng)估、對(duì)安全管理的組織及其管理工作人員的工作職責(zé)的監(jiān)督審查等。

（4）安全應(yīng)急響應(yīng)系統(tǒng)

安全應(yīng)急預(yù)案又稱(chēng)為安全事件預(yù)警與應(yīng)急響應(yīng)方案，它是建立起應(yīng)對(duì)安全突發(fā)事件的綜合系統(tǒng)，電子政務(wù)安全應(yīng)急響應(yīng)系統(tǒng)是指通過(guò)整體部署入侵檢測(cè)、安全性能風(fēng)險(xiǎn)評(píng)估、預(yù)警與響應(yīng)等的應(yīng)用，作為有效的技術(shù)支撐手段，建立起以安全工作人員隊(duì)伍為基礎(chǔ)、技術(shù)服務(wù)隊(duì)伍為后備，構(gòu)建組織管理，制定制度規(guī)范標(biāo)準(zhǔn)、預(yù)案流程等綜合措施，以便盡早分析、發(fā)現(xiàn)和確認(rèn)將要發(fā)生或己發(fā)生的有嚴(yán)重危害的網(wǎng)絡(luò)安全和計(jì)算機(jī)突發(fā)事件，并對(duì)其進(jìn)行應(yīng)急響應(yīng)，采取有效應(yīng)對(duì)措施，以盡可能降低將要造成的危害和損失的綜合安全系統(tǒng)。

安全應(yīng)急響應(yīng)服務(wù)指當(dāng)安全事件發(fā)生后，安全運(yùn)維服務(wù)團(tuán)隊(duì)根據(jù)安全突發(fā)事件及預(yù)案快速應(yīng)急響應(yīng)。應(yīng)急響應(yīng)預(yù)案應(yīng)按照準(zhǔn)備、檢測(cè)、抑制、根除、恢復(fù)、跟蹤等一系列標(biāo)準(zhǔn)措施制定，保證網(wǎng)絡(luò)安全無(wú)憂(yōu)，預(yù)防危險(xiǎn)發(fā)生。應(yīng)急處理和災(zāi)難恢復(fù)。這是電子政務(wù)建設(shè)近期迫切需要的。

（5）電子政務(wù)安全法律法規(guī)

國(guó)家相關(guān)部門(mén)最新數(shù)據(jù)顯示，中國(guó)遭受境外網(wǎng)絡(luò)攻擊的情況日趨嚴(yán)重，僅今年前兩個(gè)月，就有境外5324臺(tái)主機(jī)通過(guò)植入后門(mén)對(duì)中國(guó)境內(nèi)11421個(gè)網(wǎng)站實(shí)施遠(yuǎn)程控制，此外，針對(duì)中國(guó)網(wǎng)上銀行、支付平臺(tái)、網(wǎng)上商城等的釣魚(yú)網(wǎng)站有96%位于境外，中國(guó)境內(nèi)遭受網(wǎng)絡(luò)攻擊的情況十分嚴(yán)重。因此面對(duì)如此嚴(yán)峻形勢(shì)，需要國(guó)家相關(guān)部門(mén)盡快出臺(tái)國(guó)家信息安全戰(zhàn)略，確保網(wǎng)絡(luò)空間有法可依，并加大網(wǎng)絡(luò)違法犯罪打擊力度，整合部門(mén)、企業(yè)、社會(huì)組織等構(gòu)建國(guó)家網(wǎng)絡(luò)安全綜合防御體系，切實(shí)維護(hù)網(wǎng)絡(luò)安全，尤其是保障電子政務(wù)網(wǎng)絡(luò)的安全。

4總結(jié)

如何保障電子政務(wù)安全，做好電子政務(wù)安全建設(shè)，成為各國(guó)政府亟待解決的問(wèn)題。作為一個(gè)龐大的系統(tǒng)工程，電子政務(wù)系統(tǒng)安全體系的建設(shè)是其中的一個(gè)極為重要的復(fù)雜的系統(tǒng)工程，信息安全支撐部分是電子政務(wù)系統(tǒng)安全體系中的重要組成部分，也是保障電子政務(wù)系統(tǒng)安全的極為重要的手段。通過(guò)對(duì)電子政務(wù)系統(tǒng)信息安全支撐系統(tǒng)進(jìn)行介紹，進(jìn)而為構(gòu)建安全電子政務(wù)系統(tǒng)提供一定借鑒意義。

參考文獻(xiàn)

[1] 張劍鋒.電子政務(wù)安全體系研究[J].數(shù)字技術(shù)與應(yīng)用，2013（11）.