導(dǎo)語:在公司信息安全建設(shè)的撰寫旅程中�,學(xué)習(xí)并吸收他人佳作的精髓是一條寶貴的路徑�����,好期刊匯集了九篇優(yōu)秀范文�,愿這些內(nèi)容能夠啟發(fā)您的創(chuàng)作靈感,引領(lǐng)您探索更多的創(chuàng)作可能�����。
第1篇
關(guān)鍵詞 食品安全����;信息追溯;終端查詢
中圖分類號:TS201 文獻(xiàn)標(biāo)識碼:A 文章編號:1671-7597(2014)10-0137-01
當(dāng)前食品�����、藥品等關(guān)系國計(jì)民生的行業(yè)屢屢出現(xiàn)嚴(yán)重的質(zhì)量問題����,從毒果凍、毒酸奶�����、毒膠囊到三聚氰胺、瘦肉精����、塑化劑等,無一不在震撼大眾視聽���,社會上對于產(chǎn)品的質(zhì)量安全保證要求呼聲越來越高��,企業(yè)也非常希望能建立一套完善的質(zhì)量追蹤追溯系統(tǒng)�?���!秶沂逡?guī)劃》中明確提出要“建立食品藥品質(zhì)量追溯制度,形成來源可追溯����、去向可查證、責(zé)任可追究的安全責(zé)任鏈”����。
2007年吐魯番地區(qū)提出加快實(shí)施“精品哈密瓜品牌戰(zhàn)略”,開展了包括質(zhì)量安全信息追溯體系建設(shè)等為內(nèi)容的多種舉措工作,新疆標(biāo)準(zhǔn)化研究院抓住這一契機(jī)���,在當(dāng)?shù)叵嚓P(guān)部門的支持下���,建設(shè)完成了“吐魯番哈密瓜質(zhì)量安全追溯體系建設(shè)應(yīng)用示范”項(xiàng)目。項(xiàng)目的建設(shè)完成成為質(zhì)監(jiān)部門在開展質(zhì)量安全信息追溯工作方面的首個(gè)應(yīng)用示范工程�����。隨后通過幾年的努力�,截至2011年����,又先后在和田、吐魯番����、喀什、昌吉等4個(gè)地州對總計(jì)12個(gè)農(nóng)產(chǎn)品完成了體系建設(shè)工作����,取得了一定的效果:如追溯體系的建設(shè)得到國家中心及兄弟省市同行的認(rèn)可,產(chǎn)生了一定的影響力��;納入平臺企業(yè)的信息化管理水平得到了提高,農(nóng)戶取得了一定的收益���。
然而��,目前追溯體系建設(shè)工作的開展在定位����、運(yùn)作方式�、系統(tǒng)功能完善及市場開拓和制度建設(shè)等方面還需要進(jìn)一步地研究與探索,以滿足食品安全信息追溯工作在新形勢下實(shí)現(xiàn)快速發(fā)展的新要求���。
1 平臺網(wǎng)站建設(shè)
1.1 平臺網(wǎng)站功能框架
架設(shè)應(yīng)用子系統(tǒng)���,主要包括“果蔬類追溯系統(tǒng)”、“乳制品電子信息追溯系統(tǒng)”����、“水產(chǎn)品追溯系統(tǒng)”、“畜禽肉追溯系統(tǒng)”等���,完善食品安全追溯信息中心數(shù)據(jù)庫�����。
主要版塊:新疆食品安全追溯信息查詢服務(wù)���,新加入會員的產(chǎn)品宣傳�����,企業(yè)展示�、營銷�,食品安全相關(guān)資訊的,力爭將網(wǎng)站建成新疆權(quán)威的食品安全追溯網(wǎng)站���;同時(shí)不斷優(yōu)化平臺,提高在google����、baidu中的排名。
信息方式以實(shí)現(xiàn)互聯(lián)網(wǎng)�����、查詢終端�����、電話、手機(jī)接入wap網(wǎng)站服務(wù)�、短信等。
提供系統(tǒng)智能統(tǒng)計(jì)分析�;整合各個(gè)已有的食品安全信息追溯應(yīng)用服務(wù),形成對外統(tǒng)計(jì)�����、查詢接口�����。
1.2 為平臺的可擴(kuò)展性預(yù)留接口���,實(shí)現(xiàn)追溯信息的資源共享
1)考慮與國家質(zhì)監(jiān)總局追溯平臺數(shù)據(jù)對接�。
2)與第三方檢測機(jī)構(gòu)數(shù)據(jù)對接�����。
3)考慮與銷售終端網(wǎng)點(diǎn)��、信息門戶網(wǎng)站����、網(wǎng)上營銷等實(shí)現(xiàn)的數(shù)據(jù)對接與資源共享��。
1.3 追溯碼長度適應(yīng)多樣化要求
可依據(jù)企業(yè)需求��,按照國家標(biāo)準(zhǔn)可自由選擇在編碼要求規(guī)定范圍內(nèi)編制追溯碼�;同時(shí)�,查詢平臺滿足不同長度追溯碼的查詢。
2 平臺主要內(nèi)容
2.1 平臺的軟件環(huán)境
軟件環(huán)境:Windows 2000 Server以上的操作系統(tǒng)��,Microsoft SQL Server 2000以上的數(shù)據(jù)庫�、IIS(Internet信息服務(wù)) 5.0以上、Microsoft .NET Framework 2.0以上�����、與Microsoft .NET Framework對應(yīng)的Crystal Reports�、Microsoft 2.0 AJAX Extensions��。
2.2 平臺建設(shè)目的
1)滿足職能部門的監(jiān)管需要�;通過提供有效的追溯信息,為職能部門依法行政����、打擊假冒偽劣等工作提供服務(wù)。
2)滿足企業(yè)管理的需要�;“總平臺”建設(shè)以“扶優(yōu)撫強(qiáng)”為基本出發(fā)點(diǎn)����,通過加強(qiáng)追溯信息鏈條各環(huán)節(jié)的管理控制工作����,提升企業(yè)質(zhì)量控制能力的水平。
3)滿足消費(fèi)者知情權(quán)的需要���;通過強(qiáng)化企業(yè)的應(yīng)用主體責(zé)任���,向社會明示追溯產(chǎn)品信息的真實(shí)、有效并公開承諾責(zé)任義務(wù)�,為社會監(jiān)督企業(yè)行為獲取追溯信息提供渠道。
4)滿足研究部門提供有效服務(wù)的需要�����;通過對“總平臺”管理體系�、標(biāo)準(zhǔn)體系、技術(shù)體系的研究與建設(shè)�,全面提高向社會各界提供有效服務(wù)的能力和水平。
2.3 平臺特點(diǎn)
通過平臺的建設(shè)��,政府監(jiān)管部門通過此平臺可及時(shí)對企業(yè)及食品進(jìn)行流向跟蹤�����、抽檢,并拉近了企業(yè)與消費(fèi)者的距離���,主要體現(xiàn)在以下幾個(gè)方面����。
1)實(shí)現(xiàn)信息查詢的完整性�。在種植/養(yǎng)殖過程����、原輔料供應(yīng)、生產(chǎn)管理�、倉儲物流、銷售業(yè)務(wù)等各個(gè)環(huán)節(jié)采取合適的技術(shù)手段實(shí)時(shí)記錄產(chǎn)品信息���,可通過查詢隨時(shí)跟蹤產(chǎn)品的生產(chǎn)狀態(tài)��、倉儲狀態(tài)和流向,以達(dá)到產(chǎn)品追溯管理的目的��。
2)信息的唯一性�。通過追溯碼的唯一性����,能夠定位到每個(gè)或每批次包裝產(chǎn)品���。
3)信息查詢的準(zhǔn)確性�。消費(fèi)者查詢到的食品安全信息應(yīng)與企業(yè)食品實(shí)際生產(chǎn)過程相一致��,保證數(shù)據(jù)的真實(shí)性���,同時(shí)應(yīng)對數(shù)據(jù)傳輸各環(huán)節(jié)進(jìn)行監(jiān)控�,防止數(shù)據(jù)篡改和前后不一致���。
4)信息查詢的方便性�����。消費(fèi)者可通過手機(jī)����、PC���、超市掃描設(shè)備等終端隨時(shí)隨地對食品安全信息進(jìn)行查詢���。
2.4 平臺建設(shè)原則
平臺建設(shè)的5個(gè)原則:
1)法律法規(guī)為基礎(chǔ)的原則:平臺建設(shè)充分考慮政策的支持�����,貫徹落實(shí)《食品安全法》����、《農(nóng)產(chǎn)品食品安全法》�����、《標(biāo)準(zhǔn)化法》���、《食品安全法實(shí)施條例》���、《國務(wù)院關(guān)于加強(qiáng)食品等產(chǎn)品安全監(jiān)督管理的特別規(guī)定》等相關(guān)法律法規(guī)。
2)政府引導(dǎo)���、企業(yè)自愿加入的原則:以“會員制”方式發(fā)展成員�,以三種模式開展會員制建設(shè)工作����,一是“政府引導(dǎo)、企業(yè)參與”的方式帶動區(qū)域追溯體系建設(shè)工作��;二是以經(jīng)濟(jì)合作方式下的社團(tuán)參與模式����;三是企業(yè)化的運(yùn)作模式。
3)符合“扶優(yōu)扶強(qiáng)”的原則:加入平臺的企業(yè)具備一定的條件����,通過“準(zhǔn)入制度”的相關(guān)要求進(jìn)行審核評價(jià)后,滿足追溯體系建設(shè)的最低標(biāo)準(zhǔn)要求方可成為平臺的加盟企業(yè)�����。
4)企業(yè)應(yīng)用主體責(zé)任原則:強(qiáng)調(diào)企業(yè)在食品安全信息追溯中主體責(zé)任的內(nèi)容��,通過落實(shí)企業(yè)在食品安全中第一責(zé)任人的角色��,協(xié)助企業(yè)建立“食品質(zhì)量安全記錄制度”�����。企業(yè)對的信息確保其真實(shí)性��、準(zhǔn)確性、有效性���,并向社會公開承諾��。
5)整體規(guī)劃����、分步實(shí)施的原則:以完成追溯管理要求和查詢的要求出發(fā)�,逐步完成較全面的綜合網(wǎng)站平臺建設(shè)任務(wù)。
3 結(jié)束語
質(zhì)量安全追溯系統(tǒng)的應(yīng)用����,無論對企業(yè)還是社會,都具有重大的意義和價(jià)值���。對于企業(yè)來講����,追溯系統(tǒng)能解決其生產(chǎn)經(jīng)營過程中的質(zhì)量管理問題���,有助于企業(yè)提高產(chǎn)品質(zhì)量���,提升客戶滿意度�;對于社會來講��,追溯系統(tǒng)的廣泛應(yīng)用可以有效地實(shí)現(xiàn)產(chǎn)品質(zhì)量監(jiān)管�。因此���,無論企業(yè)還是政府部門都在不斷加大力度推動生產(chǎn)���、流通領(lǐng)域建立質(zhì)量安全追溯體系。
第2篇
(北京中油瑞飛信息技術(shù)有限責(zé)任公司北京100007)
摘要:通過對大中型跨國企業(yè)海外信息安全體系的研究����,形成了一個(gè)完整的海外信息安全體系框架,包括安全策略�����、安全技術(shù)體系��、安全管理體系�、運(yùn)行保障體系和建設(shè)實(shí)施規(guī)劃等。依照該框架����,企業(yè)可以針對各部分進(jìn)行具體實(shí)施����,從而完成整個(gè)的海外信息安全建設(shè)����。
關(guān)鍵詞 :大中型企業(yè);信息安全體系���;框架�����;理論指導(dǎo)����;安全模型
1海外信息安全體系建設(shè)原則
大中型企業(yè)海外信息安全體系的建設(shè)��,涉及面廣、工作量大,整體設(shè)計(jì)必須堅(jiān)持以下的原則��,以保證建設(shè)和運(yùn)營的效果。
1.1統(tǒng)一規(guī)劃管理
要對信息安全體系建設(shè)進(jìn)行統(tǒng)一的規(guī)劃�����,制定信息安全體系框架,明確保障體系中所包含的內(nèi)容�。同時(shí),還要制定統(tǒng)一的信息安全建設(shè)標(biāo)準(zhǔn)和管理規(guī)范�,使得信息安全體系建設(shè)遵循一致的標(biāo)準(zhǔn)、管理遵循一致的規(guī)范��。
1.2分步有序?qū)嵤?/p>
信息安全體系建設(shè)的內(nèi)容龐雜�,必須堅(jiān)持分步有序的實(shí)施原則���,循序漸進(jìn)����。
1.3技術(shù)管理并重
僅有全面的安全技術(shù)和機(jī)制是遠(yuǎn)遠(yuǎn)不夠的�,安全管理也具有同樣的重要性。信息安全體系的建設(shè)�,必須遵循安全技術(shù)和安全管理并重的原則,制定統(tǒng)一的安全建設(shè)管理規(guī)范�,指導(dǎo)安全管理工作。
1.4突出安全保障
信息安全體系建設(shè)要突出安全保障的重要性����,通過數(shù)據(jù)備份、冗余設(shè)計(jì)����、應(yīng)急響應(yīng)��、安全審計(jì)����、災(zāi)難恢復(fù)等安全保障機(jī)制����,保障業(yè)務(wù)的持續(xù)性和數(shù)據(jù)的安全性。
2海外信息安全體系建設(shè)目標(biāo)
大型跨國企業(yè)海外信息安全的建設(shè)目標(biāo)是:基于安全基礎(chǔ)設(shè)施����、以安全策略為指導(dǎo),提供全面的安全服務(wù)內(nèi)容����,覆蓋從物理、網(wǎng)絡(luò)��、系統(tǒng)直至數(shù)據(jù)和應(yīng)用平臺各個(gè)層面����,以及保護(hù)、檢測����、響應(yīng)�����、恢復(fù)等各個(gè)環(huán)節(jié)�����,構(gòu)建全面�����、完整、高效的信息安全體系���,從而提高企業(yè)信息系統(tǒng)的整體安全等級���,為企業(yè)海外業(yè)務(wù)發(fā)展提供堅(jiān)實(shí)的信息安全保障。
3海外信息安全體系框架
企業(yè)進(jìn)行信息安全建設(shè)的目標(biāo)是建立起一個(gè)全面����、有效的信息安全體系,包括了安全技術(shù)����、安全管理����、人員組織����、教育培訓(xùn)、資金投入等關(guān)鍵因素����,信息安全建設(shè)的內(nèi)容多,規(guī)模大����,必須進(jìn)行全面的統(tǒng)籌規(guī)劃,明確信息安全建設(shè)的工作內(nèi)容����、技術(shù)標(biāo)準(zhǔn)、組織機(jī)構(gòu)����、管理規(guī)范、人員崗位配備、實(shí)施步驟����、資金投入,才能夠保證信息安全建設(shè)有序可控地進(jìn)行����,使信息安全體系發(fā)揮最優(yōu)的保障效果。
同時(shí)還應(yīng)該制定一系列的安全管理規(guī)范����,指導(dǎo)信息安全建設(shè)和運(yùn)營工作,使得信息安全建設(shè)能夠依據(jù)統(tǒng)一的標(biāo)準(zhǔn)開展����,信息安全體系的運(yùn)營和維護(hù)能夠遵循統(tǒng)一的規(guī)范進(jìn)行。
3.1安全目標(biāo)模型
根據(jù)大型跨國企業(yè)海外信息安全體系建設(shè)目標(biāo)和總體安全策略����,建立與之對應(yīng)的目標(biāo)模型����,稱為WP2DRR安全模型。該模型由預(yù)警( Warning)����、策略(Policy)����、保護(hù)(Protectlon)����、檢測(Detection)、響應(yīng)(Response)����、恢復(fù)(Recovery)6個(gè)要素環(huán)節(jié)構(gòu)成了一個(gè)基于時(shí)間的、完整的����、動態(tài)的信息安全體系。WP2DRR模型在P2DR模型的基礎(chǔ)上新增加了預(yù)警Warnlng和恢復(fù)Recover����,增強(qiáng)了安全保障體系的事前預(yù)防和事后恢復(fù)能力,系統(tǒng)一旦發(fā)生安全事故����,也能恢復(fù)系統(tǒng)功能和數(shù)據(jù),恢復(fù)系統(tǒng)的正常運(yùn)行����。
安全目標(biāo)模型是信息安全體系框架的基礎(chǔ)����,大型跨國企業(yè)的海外信息安全體系框架應(yīng)該緊密圍繞安全模型的6個(gè)要素環(huán)節(jié)進(jìn)行設(shè)計(jì)����,每個(gè)要素環(huán)節(jié)的功能都在安全技術(shù)體系、安全組織和管理體系以及運(yùn)行保障體系中體現(xiàn)出來����。
3.2信息安全體系框架組成
通過對企業(yè)的網(wǎng)絡(luò)和應(yīng)用現(xiàn)狀、安全現(xiàn)狀����、面臨的安全風(fēng)險(xiǎn)的分析,根據(jù)安全保障目標(biāo)模型����,制定了大型跨國企業(yè)海外信息安全體系框架����。制定該框架的目的在于從宏觀上指導(dǎo)和管理信息安全體系的建設(shè)和運(yùn)營����。
該框架由一組相互關(guān)聯(lián)����、相互作用����、相互彌補(bǔ)、相互推動����、相互依賴、不可分割的信息安全保障要素組成����。此框架中,以安全策略為指導(dǎo)����,融會了安全技術(shù)、安全管理和運(yùn)行保障3個(gè)層次的安全體系����,以達(dá)到系統(tǒng)可用性、可控性����、抗攻擊性����、完整性����、保密性的安全目標(biāo)。大型跨國企業(yè)海外信息安全體系框架的總體結(jié)構(gòu)如圖1所示����。
3.2.1安全策略
在這個(gè)框架中,安全策略是指導(dǎo)����,與安全技術(shù)體系、安全組織和管理體系以及運(yùn)行保障體系這3大體系相互作用����。一方面,3大體系是在安全策略的指導(dǎo)下構(gòu)建的����,主要是要將安全策略中制定的各個(gè)要素轉(zhuǎn)化成為可行的技術(shù)實(shí)現(xiàn)方法和管理、運(yùn)行保障手段����,全面實(shí)現(xiàn)安全策略中所制定的目標(biāo)。另一方面����,安全策略本身也有包括草案設(shè)計(jì)、評審����、實(shí)施、培訓(xùn)����、部署、監(jiān)控����、強(qiáng)化、重新評佶����、修訂等步驟在內(nèi)的生命周期,需要采用一些技術(shù)方法和管理手段進(jìn)行管理����,保證安全策略的及時(shí)性和有效性����。
按照要保障的資產(chǎn)對象的不同����,總體策略劃分為物理安全、網(wǎng)絡(luò)安全����、系統(tǒng)安全、病毒防治����、身份認(rèn)證、應(yīng)用授權(quán)和訪問控制����、數(shù)據(jù)加密、數(shù)據(jù)備份和災(zāi)難恢復(fù)����、應(yīng)急響應(yīng)、教育培訓(xùn)等若干方面進(jìn)行闡述����。
隨著技術(shù)的發(fā)展以及系統(tǒng)的升級����、調(diào)整����,安全策略也應(yīng)該進(jìn)行重新評估和制定����,隨時(shí)保持策略與安全目標(biāo)的一致性。
3.2.2安全技術(shù)體系
安全技術(shù)體系是整個(gè)信息安全體系框架的基礎(chǔ)����,包括了安全基礎(chǔ)設(shè)施平臺、安全應(yīng)用系統(tǒng)平臺和安全綜合管理平臺這3個(gè)部分����,以統(tǒng)一的信息安全基礎(chǔ)設(shè)施平臺為支撐,以統(tǒng)一的安全系統(tǒng)應(yīng)用平臺為輔助����,在統(tǒng)一的綜合安全管理平臺管理下的技術(shù)保障體系框架。
安全基礎(chǔ)設(shè)施平臺是以安全策略為指導(dǎo)����,立足于現(xiàn)有的成熟安全技術(shù)和安全機(jī)制����,從物理和通信安全防護(hù)����、網(wǎng)絡(luò)安全防護(hù)、主機(jī)系統(tǒng)安全防護(hù)����、應(yīng)用安全防護(hù)等多個(gè)層次出發(fā),建立起的一個(gè)各個(gè)部分相互協(xié)同的完整的安全技術(shù)防護(hù)體系����。
應(yīng)用信息系統(tǒng)通過使用安全基礎(chǔ)設(shè)施平臺所提供的各類安全服務(wù),提升自身的安全等級����,以更加安全的方式,提供業(yè)務(wù)服務(wù)和內(nèi)部信息管理服務(wù)����。安全綜合管理平臺的管理范圍盡可能地涵蓋安全技術(shù)體系中涉及的各種安全機(jī)制與安全設(shè)備,對這些安全機(jī)制和安全設(shè)備進(jìn)行統(tǒng)一的管理和控制����,負(fù)責(zé)管理和維護(hù)安全策略����,配置管理相應(yīng)的安全機(jī)制����,確保這些安全技術(shù)與設(shè)施能夠按照設(shè)計(jì)的要求協(xié)同運(yùn)作,可靠運(yùn)行����。它在傳統(tǒng)的信息系統(tǒng)應(yīng)用體系與備類安全技術(shù)����、安全產(chǎn)品、安全防御措施等安全手段之間搭起橋梁����,使得各類安全手段能與現(xiàn)有的信息系統(tǒng)應(yīng)用體系緊密的結(jié)合實(shí)現(xiàn)無縫連接,促成信息系統(tǒng)安全與信息系統(tǒng)應(yīng)用的真正的一體化����,使得傳統(tǒng)的信息系統(tǒng)應(yīng)用體系逐步過渡向安全的信息系統(tǒng)應(yīng)用體系。
統(tǒng)一的安全管理平臺有助于各種安全管理技術(shù)手段的相互補(bǔ)充和有效發(fā)揮����,也便于從系統(tǒng)整體的角度來進(jìn)行安全的監(jiān)控和管理����,從而提高安全管理工作的效率����,使人為的安全管理活動參與量大幅下降。
3.2.3安全管理體系
安全組織和管理體系是安全技術(shù)體系真正有效發(fā)揮保護(hù)作用的重要保障����,安全管理體系的設(shè)計(jì)立足于總體安全策略,并與安全技術(shù)體系相互配合����,增強(qiáng)技術(shù)防護(hù)體系的效率和效果,同時(shí)也彌補(bǔ)當(dāng)前技術(shù)無法完全解決的安全缺陷����。
技術(shù)和管理是相互結(jié)合的。一方面����,安全防護(hù)技術(shù)措施需要安全管理措施來加強(qiáng),另一方面技術(shù)也是對管理措施貫徹執(zhí)行的監(jiān)督手段����。在大型跨國企業(yè)海外信息安全體系框架中����,安全管理體系的設(shè)計(jì)充分參考和借鑒了國際信息安全管理標(biāo)準(zhǔn)《BS7799 (IS017799)》的建議����。
大型跨國企業(yè)海外信息安全管理體系由若干信息安全管理類組成,每項(xiàng)信息安全管理類可分解為多個(gè)安全目標(biāo)和安全控制����。每個(gè)安全目標(biāo)都有若干安全控制與其相對應(yīng),這些安全控制是為了達(dá)成相應(yīng)安全目標(biāo)的管理工作和要求����。
3.2.4運(yùn)行保障體系
運(yùn)行與保障體系由安全技術(shù)和安全管理緊密結(jié)合的內(nèi)容所組成����,包括了系統(tǒng)可靠性設(shè)計(jì)、系統(tǒng)數(shù)據(jù)的備份計(jì)劃����、安全事件的應(yīng)急響應(yīng)計(jì)劃、安全審計(jì)����、災(zāi)難恢復(fù)計(jì)劃等����,運(yùn)行和保障體系對于企業(yè)網(wǎng)絡(luò)和信息系統(tǒng)的可持續(xù)性運(yùn)營提供了重要的保障手段����。
3.2.5建設(shè)實(shí)施規(guī)劃
建設(shè)實(shí)施規(guī)劃是在安全管理體系、安全技術(shù)體系����、運(yùn)行保障體系設(shè)計(jì)的基礎(chǔ)上進(jìn)一步制定的建設(shè)步驟和實(shí)施方案。在建設(shè)實(shí)施規(guī)劃中突出體現(xiàn)了分步有序?qū)嵤┑脑瓌t����。
任何信息安全建設(shè)都需要人員負(fù)責(zé)管理和實(shí)施,因此����,首先應(yīng)該建立信息安全工作監(jiān)管組織機(jī)構(gòu),明確各級管理機(jī)構(gòu)的人員配備����,職能和責(zé)任。其中信息安全管理機(jī)構(gòu)負(fù)責(zé)信息安全策略的審核與頒布����、統(tǒng)一技術(shù)標(biāo)準(zhǔn)和管理規(guī)范的制定����、指導(dǎo)和監(jiān)督信息安全建設(shè)工作����、對信息安全系統(tǒng)進(jìn)行監(jiān)控與審計(jì)管理。
信息安全體系建設(shè)����,應(yīng)該首先從物理環(huán)境安全建設(shè)入手,確保機(jī)房建設(shè)按照的統(tǒng)一標(biāo)準(zhǔn)進(jìn)行建設(shè)����,并且按照統(tǒng)一的管理規(guī)范進(jìn)行管理。
在接下來的網(wǎng)絡(luò)安全建設(shè)中����,應(yīng)對計(jì)算機(jī)網(wǎng)絡(luò)的安全域進(jìn)行劃分����,對網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行調(diào)整,以確保內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)����、業(yè)務(wù)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)邊界清晰;在各安全域的邊界處部署防火墻����、網(wǎng)絡(luò)入侵檢測等安全產(chǎn)品,形成立體的區(qū)域邊界保護(hù)機(jī)制����,對各安全域進(jìn)行邏輯安全隔離,禁止未授權(quán)的網(wǎng)絡(luò)訪問����;在內(nèi)部網(wǎng)絡(luò)中部署網(wǎng)絡(luò)脆弱性分析工具,定期對內(nèi)部網(wǎng)絡(luò)進(jìn)行檢查����,并采取措施及時(shí)彌補(bǔ)新發(fā)現(xiàn)的安全漏洞。
在進(jìn)行網(wǎng)絡(luò)安全建設(shè)的同時(shí)����,還可以進(jìn)行系統(tǒng)安全建設(shè),在內(nèi)部網(wǎng)絡(luò)中全面部署網(wǎng)絡(luò)病毒查殺系統(tǒng)����,有效抑制計(jì)算機(jī)病毒在內(nèi)部網(wǎng)絡(luò)中傳播����,避免對系統(tǒng)和數(shù)據(jù)造成損害����。另外����,主機(jī)系統(tǒng)管理員還應(yīng)該按照主機(jī)系統(tǒng)管理規(guī)范的要求,借助主機(jī)脆弱性分析和安全加固工具����,定期對主機(jī)系統(tǒng)進(jìn)行檢查����,更新安全漏洞補(bǔ)丁的級別,修正不當(dāng)?shù)南到y(tǒng)和服務(wù)配置����,查看和分析系統(tǒng)審計(jì)日志,控制和保證主機(jī)系統(tǒng)的良好安全狀態(tài)����。
應(yīng)用安全建設(shè)包括建立身份認(rèn)證系統(tǒng)、應(yīng)用授權(quán)和訪問控制系統(tǒng)����、數(shù)據(jù)安全傳輸系統(tǒng)等,對專業(yè)業(yè)務(wù)應(yīng)用系統(tǒng)和內(nèi)部信息管理系統(tǒng)提供各種安全服務(wù)����。
按照統(tǒng)一標(biāo)準(zhǔn)����,建立安全審計(jì)與分析系統(tǒng)、系統(tǒng)和數(shù)據(jù)備份計(jì)劃����、安全事件應(yīng)急響應(yīng)計(jì)劃、災(zāi)難恢復(fù)計(jì)劃等安全保障機(jī)制����,重在保護(hù)業(yè)務(wù)數(shù)據(jù)等信息資產(chǎn),保證內(nèi)外應(yīng)用服務(wù)的持續(xù)可用性����。
對所有員工進(jìn)行基本安全教育����,為信息安全系統(tǒng)相關(guān)技術(shù)人員提供專門的安全理論和安全技能培訓(xùn)����,提高全員的安全意識,打造一支高素質(zhì)的專業(yè)技術(shù)和管理隊(duì)伍����。
4結(jié)論
海外信息安全體系是一個(gè)全方位的體系,從技術(shù)到管理����、從網(wǎng)絡(luò)到設(shè)備再到人。任何一個(gè)方面都要考慮周全����,只有每一個(gè)部分的安全才是整體的安全����。
參考文獻(xiàn)
第3篇
關(guān)鍵詞:智能電網(wǎng) 信息安全 必要性
今年11月18日召開的國家電網(wǎng)公司學(xué)習(xí)貫徹黨的十八屆三中全會精神暨2013年第四季度工作會議,就堅(jiān)強(qiáng)智能電網(wǎng)建設(shè)提出要求����,強(qiáng)調(diào)當(dāng)前要把握第三次工業(yè)革命孕育發(fā)展的新機(jī)遇����,加快建設(shè)堅(jiān)強(qiáng)智能電網(wǎng)����,承載和推動第三次工業(yè)革命����,實(shí)現(xiàn)安全發(fā)展、高效發(fā)展����、清潔發(fā)展、友好發(fā)展的目標(biāo)����。堅(jiān)強(qiáng)智能電網(wǎng)建設(shè)自2009年實(shí)施起發(fā)展至今已有五年之久。在此期間����,國家電網(wǎng)公司結(jié)合電網(wǎng)用戶服務(wù)新需求,通過對當(dāng)前國內(nèi)外供電服務(wù)形勢的研究����,提出了符合本國國情的堅(jiān)強(qiáng)智能電網(wǎng)的戰(zhàn)略發(fā)展思路����,即“一個(gè)目標(biāo)����,兩條主線、三個(gè)階段����、四個(gè)體系、五個(gè)內(nèi)涵”����。該框架基于變電站、智能供配電����、智能用電、電力調(diào)度等業(yè)務(wù)規(guī)模����,結(jié)合網(wǎng)絡(luò)通信科技和長遠(yuǎn)戰(zhàn)略規(guī)劃,從基礎(chǔ)設(shè)施和開發(fā)需求兩方面對本國智能電網(wǎng)建設(shè)情況進(jìn)行了細(xì)致的分析����,在此基礎(chǔ)上提出了智能電網(wǎng)建設(shè)的關(guān)鍵技術(shù)研究內(nèi)容及實(shí)施計(jì)劃����,為堅(jiān)強(qiáng)智能電網(wǎng)建設(shè)埋下良好的伏筆����。
隨著經(jīng)濟(jì)社會持續(xù)快速發(fā)展����,以及霧霾等環(huán)境問題不斷加劇,電網(wǎng)發(fā)展面臨一系列新課題����、新挑戰(zhàn):電網(wǎng)“兩頭薄弱”問題亟待解決,新能源和分布式電源發(fā)展迅猛����,社會用電友好互動要求不斷提高。應(yīng)對挑戰(zhàn)����,滿足經(jīng)濟(jì)社會發(fā)展的需要,根本在于加快建設(shè)堅(jiān)強(qiáng)智能電網(wǎng)����。從本質(zhì)上看����,堅(jiān)強(qiáng)智能電網(wǎng)就是以堅(jiān)強(qiáng)網(wǎng)架為基礎(chǔ)����,集成現(xiàn)代網(wǎng)絡(luò)技術(shù)、控制技術(shù)和信息技術(shù)����,聯(lián)接大型能源基地、分布式電源和各類電力客戶的“能源互聯(lián)網(wǎng)”����,是功能強(qiáng)大的能源轉(zhuǎn)換、高效配置和互動服務(wù)綜合平臺����。當(dāng)前,要加快建設(shè)堅(jiān)強(qiáng)智能電網(wǎng)����,承載和推動第三次工業(yè)革命,實(shí)現(xiàn)安全����、高效����、清潔����、友好發(fā)展的目標(biāo)。但隨著智能電網(wǎng)建設(shè)的逐步展開����,電網(wǎng)信息系統(tǒng)的安全防御逐漸成為業(yè)界關(guān)注的焦點(diǎn)問題����,構(gòu)建一套實(shí)用型的信息安全防御體系,從而為智能電網(wǎng)信息系統(tǒng)安全運(yùn)行提供基本保障����。
1 智能電網(wǎng)信息安全需求必要性分析
1.1 電網(wǎng)系統(tǒng)信息化建設(shè)的需要 近期,“棱鏡門”的持續(xù)發(fā)酵使網(wǎng)絡(luò)信息安全問題再次受到社會的廣泛關(guān)注����。實(shí)際上,不僅在傳統(tǒng)的公用互聯(lián)網(wǎng)領(lǐng)域����,由于關(guān)注度不高以及前期起步階段受到諸多客觀因素的制約����,相較于傳統(tǒng)互聯(lián)網(wǎng)行業(yè)來說����,智能電網(wǎng)信息安全問題隱患更大。為確保電網(wǎng)系統(tǒng)的安全穩(wěn)定運(yùn)行����,應(yīng)該結(jié)合本國國情和電網(wǎng)行業(yè)發(fā)展規(guī)劃,構(gòu)建一套穩(wěn)定可靠的安全防護(hù)體系����,創(chuàng)建“本質(zhì)安全”的安全控制網(wǎng)。
1.2 電網(wǎng)系統(tǒng)對網(wǎng)絡(luò)安全防護(hù)體系的需要 當(dāng)前����,網(wǎng)絡(luò)科技的發(fā)展極大的方便了居民的日常生活,但由此產(chǎn)生的網(wǎng)絡(luò)病毒����、黑客攻擊事件也使企業(yè)內(nèi)部網(wǎng)絡(luò)面臨諸多考驗(yàn)。尤其近幾個(gè)月以來����,由斯諾登曝光的數(shù)據(jù)泄密問題已經(jīng)造成各國政府����、金融業(yè)及網(wǎng)絡(luò)科技行業(yè)的高度關(guān)注����。在國內(nèi),以網(wǎng)絡(luò)科技為主線的信息安全產(chǎn)業(yè)鏈已逐步完善����,但行業(yè)集中度很低導(dǎo)致技術(shù)仍然比較落后,部分企業(yè)甚至缺乏技術(shù)產(chǎn)品化的能力����。中國工程院沈昌祥院士指出����,由老三樣(防火墻、入侵監(jiān)測和病毒防范)為主要構(gòu)成的傳統(tǒng)信息安全系統(tǒng)����,是以防外與封堵為特征,與目前信息安全主要威脅源自內(nèi)部的實(shí)際狀況不相符合����,并且從組成信息系統(tǒng)的服務(wù)器����、網(wǎng)絡(luò)����、終端三個(gè)層面上來看,現(xiàn)有的保護(hù)手段是逐層遞減的����。因此,從信息安全的角度來看����,進(jìn)一步加強(qiáng)和改進(jìn)電網(wǎng)信息系統(tǒng)安全防護(hù)體系建設(shè)確有必要。
1.3 解決電網(wǎng)信息系統(tǒng)存在的問題 針對電網(wǎng)信息安全系統(tǒng)建設(shè)中存在的問題����,筆者強(qiáng)調(diào),電網(wǎng)信息系統(tǒng)建設(shè)應(yīng)立足國產(chǎn)化����,積極探索自主可控安全管理模式,結(jié)合電網(wǎng)安全需求,加強(qiáng)頂層設(shè)計(jì)����,對電網(wǎng)信息安全工作進(jìn)行整體規(guī)劃,建成電網(wǎng)信息安全等級保護(hù)縱深防御體系����,為建設(shè)世界一流電網(wǎng)和國際一流企業(yè)提供了強(qiáng)有力的信息安全運(yùn)行保障。電力行業(yè)主管部門高度評價(jià)公司信息安全建設(shè)工作����,對電力行業(yè)和其他中央企業(yè)的信息安全建設(shè)都具有很好的示范性。
2 智能電網(wǎng)信息安全體系可行性分析
隨著電力通信和網(wǎng)絡(luò)科技的發(fā)展����,各種攻擊技術(shù)、網(wǎng)絡(luò)入侵技術(shù)水平也得到了飛速發(fā)展����。電網(wǎng)的升級改造和業(yè)務(wù)規(guī)模的拓展,不僅面臨眾多考驗(yàn)����,而且必須解決電網(wǎng)信息安全防御體系建設(shè)的問題����。過去十余年來����,電力信息技術(shù)的發(fā)展主要致力于實(shí)現(xiàn)互聯(lián)����,而未來十年電力信息技術(shù)的發(fā)展將側(cè)重于安全防護(hù)。在全面深化改革的重大歷史進(jìn)程中����,我們要堅(jiān)定不移加快轉(zhuǎn)變電網(wǎng)發(fā)展方式,著力解決電網(wǎng)“兩頭薄弱”問題����;同時(shí),建立縱深防御的安全系統(tǒng)����,有效抵御各類不法行為的攻擊,使電力信息系統(tǒng)成為智能電網(wǎng)建設(shè)的有力支撐����。就目前智能電網(wǎng)建設(shè)要求而言,加強(qiáng)電力信息系統(tǒng)安全防御體系建設(shè)����,不僅是電力系統(tǒng)自身建設(shè)的需求����,而且是關(guān)系國民經(jīng)濟(jì)和居民生活的大問題����。從經(jīng)濟(jì)發(fā)展的角度來分析,加強(qiáng)電力信息系統(tǒng)安全建設(shè)����,就是通過現(xiàn)代網(wǎng)絡(luò)信息技術(shù)的應(yīng)用拓展業(yè)務(wù)規(guī)模的重要手段,是我國電網(wǎng)行業(yè)適應(yīng)全球化經(jīng)濟(jì)特征的基本要求����。
3 智能電網(wǎng)信息安全體系建設(shè)的目標(biāo)
信息安全體系建設(shè)是電網(wǎng)安全穩(wěn)定運(yùn)行的基本保障。作為智能電網(wǎng)建設(shè)的有力支撐信息系統(tǒng)建設(shè)����,應(yīng)立足國產(chǎn)化,積極探索自主可控安全管理模式����,結(jié)合電網(wǎng)安全需求,加強(qiáng)頂層設(shè)計(jì)����,對電網(wǎng)信息安全工作進(jìn)行整體規(guī)劃,建成電網(wǎng)信息安全等級保護(hù)縱深防御體系����,為建設(shè)世界一流電網(wǎng)和國際一流企業(yè)提供了強(qiáng)有力的信息安全運(yùn)行保障。電力行業(yè)主管部門高度評價(jià)公司信息安全建設(shè)工作����,對電力行業(yè)和其他中央企業(yè)的信息安全建設(shè)都具有很好的示范性。
智能電網(wǎng)信息安全體系建設(shè)����,應(yīng)科學(xué)制定規(guī)劃目標(biāo),推進(jìn)設(shè)計(jì)變革����,促進(jìn)電力流、信息流����、業(yè)務(wù)流的深度融合;制定統(tǒng)一標(biāo)準(zhǔn)的技術(shù)規(guī)范����,規(guī)范地下電力管線建設(shè)����,完善智能電網(wǎng)技術(shù)標(biāo)準(zhǔn)體系����;積極爭取優(yōu)惠支持政策,爭取電價(jià)����、財(cái)政、稅收與金融等激勵(lì)政策����,爭取地方政府政策支持,提高電網(wǎng)信息的實(shí)用性和可審計(jì)性����,確保電網(wǎng)信息系統(tǒng)機(jī)密、安全����,最終實(shí)現(xiàn)“實(shí)體可信、行為可控����、資源可管����、事件可查����、運(yùn)行可靠”的目標(biāo)����。
4 結(jié)語
站在新的歷史起點(diǎn)上,我們要強(qiáng)化政治意識和大局意識����,科學(xué)謀劃電網(wǎng)發(fā)展,讓生產(chǎn)要素的活力競相迸發(fā)����,讓創(chuàng)新發(fā)展的源泉充分涌動,堅(jiān)定不移實(shí)現(xiàn)中央改革決策部署����,不斷贏得發(fā)展新優(yōu)勢、開創(chuàng)事業(yè)新局面����。
參考文獻(xiàn):
[1]張明輝.淺析電力企業(yè)信息化建設(shè)[J].電力信息化����,2004����,06,28
-310.
第4篇
當(dāng)前信息安全的發(fā)展趨勢已經(jīng)不僅僅是升級傳統(tǒng)安全產(chǎn)品����,而是從業(yè)務(wù)策略和整體系統(tǒng)上來考慮安全問題,幫助企業(yè)建立安全����、完善的IT環(huán)境,以應(yīng)對來自內(nèi)外部的攻擊����,降低風(fēng)險(xiǎn)和損失。因此����,全方位安全策略及解決方案對保護(hù)電信運(yùn)營商信息系統(tǒng)的安全不可或缺。
對于電信運(yùn)營商而言����,目前都已制定了相關(guān)的制度和流程����,但還沒有企業(yè)級整體的信息安全規(guī)劃和建設(shè)����,信息安全還沒有或很少從整體上進(jìn)行考慮。IBM企業(yè)IT安全服務(wù)是一套針對企業(yè)信息安全管理的完善解決方案����,能夠協(xié)助企業(yè)更加全面地認(rèn)識信息技術(shù)����、評估企業(yè)的信息安全隱患及薄弱環(huán)節(jié),進(jìn)一步完善運(yùn)營商安全架構(gòu)����,為電信運(yùn)營商的應(yīng)用構(gòu)建高度信息安全的運(yùn)行環(huán)境,共同規(guī)劃����、設(shè)計(jì)、實(shí)施����、運(yùn)作����,從而保護(hù)企業(yè)信息系統(tǒng)的安全����。
事實(shí)上,管理者不應(yīng)該再將信息安全看作一個(gè)孤立的或是純技術(shù)的問題����,而要從企業(yè)運(yùn)營的全局角度整體看待,制定與企業(yè)特點(diǎn)和成長潛力相適應(yīng)的安全管理架構(gòu)����。
完善的安全架構(gòu)必須能夠隨著市場的變化進(jìn)行調(diào)整,IT部門的決策者必須密切關(guān)注市場的變化����。2007年安全用戶在三類需求上將有突出的增長����。CIO需要更好地應(yīng)對日益增長的法規(guī)遵從性要求����,更多地關(guān)注應(yīng)用層面����,與此同時(shí)����,積極利用外包的機(jī)遇實(shí)現(xiàn)更好的投資回報(bào)。
在中國����,隨著信息安全和上市公司相關(guān)立法的完善����,法規(guī)遵從性和相關(guān)審計(jì)在行業(yè)中的要求也正在不斷普及,越來越多的公司和行業(yè)正努力去滿足法律所規(guī)定的安全要求����。電信運(yùn)營商在信息管理方面需要做到三點(diǎn):信息的完整性、信息的保密性和要求信息能夠在適當(dāng)?shù)臅r(shí)間以適當(dāng)?shù)母袷奖辉L問����,這都與信息安全密不可分。保護(hù)企業(yè)數(shù)據(jù)安全,達(dá)到法規(guī)遵從性的要求將是CIO們2007年的一大職責(zé)����。
應(yīng)用安全是另一個(gè)市場焦點(diǎn)。隨著企業(yè)業(yè)務(wù)更多依賴于各類基礎(chǔ)性應(yīng)用����,讓企業(yè)安全、順暢地訪問應(yīng)用數(shù)據(jù)����,保證業(yè)務(wù)永續(xù)運(yùn)行的同時(shí)保障應(yīng)用性能成為CIO的重要目標(biāo)����。過去信息安全的老三樣(防火墻����、入侵檢測和防病毒)的概念已經(jīng)過時(shí)����,網(wǎng)絡(luò)邊界這樣的概念會越來越模糊����,而基于身份和用戶管理的網(wǎng)絡(luò)行為控制將會成為主流����。安全即意味著只有允許的人在允許的時(shí)間訪問允許的數(shù)據(jù)����,故而身份管理可以整合各種不同類型的安全工具。同時(shí)����,它也可以幫助企業(yè)認(rèn)清和應(yīng)對新技術(shù)部署帶來的新問題����,例如無線技術(shù)在企業(yè)范圍內(nèi)的廣泛應(yīng)用����,已經(jīng)使得安全陣地從有形的網(wǎng)絡(luò)線路擴(kuò)展到無形空間。
在電信運(yùn)營商運(yùn)營商強(qiáng)化自身安全的同時(shí)����,網(wǎng)絡(luò)安全外包的發(fā)展給電信運(yùn)營商帶來了更多的選擇����。對于缺乏安全技能和人力的中小企業(yè)來說����,安全管理服務(wù)(ManagedSecurityService,MSS)是一條捷徑����,即通過在電信網(wǎng)絡(luò)上提供托管形式的安全服務(wù),代客戶管理及監(jiān)控信息安全系統(tǒng)與設(shè)備����,并在安全事件發(fā)生的第一時(shí)間做出適當(dāng)回應(yīng)。在這個(gè)過程中����,用戶則將目光轉(zhuǎn)向安全運(yùn)維中心(SOC)服務(wù)。盡管國內(nèi)用戶對SOC的理解不完全一致����,但都希望借助SOC融合安全技術(shù)����、安全產(chǎn)品����、安全策略和安全措施����,與電信運(yùn)營商的安全咨詢����、安全響應(yīng)����、特別是與安全運(yùn)維相結(jié)合����,協(xié)調(diào)各方面資源以最具成本效益的方式處理安全問題����,為企業(yè)和機(jī)構(gòu)提供了整體性的解決方案。
鏈接天津移動構(gòu)建全面信息安全管理體系
根據(jù)中國移動集團(tuán)公司制定的安全指導(dǎo)原則,天津移動從2000年起就開始著手IT安全建設(shè)����,特別是將信息安全管理體系的建立與建全作為了一項(xiàng)重點(diǎn)工作,并在全局性的安全規(guī)劃上進(jìn)行了積極探索����。2007年����,通過與IBM的合作����,天津移動對信息安全進(jìn)行了全方位的考量和整體規(guī)劃,并分三個(gè)階段進(jìn)行具體實(shí)施:
安全體系建立:在對企業(yè)IT安全現(xiàn)狀進(jìn)行評估及需求調(diào)研的基礎(chǔ)上,進(jìn)行安全管理體系的規(guī)劃和建立����,包括按ISO27001信息安全管理體系建立,匯總����、歸納、體系化各種規(guī)章制度����,以及相關(guān)人員的安全意識培訓(xùn)等����;
安全建設(shè)實(shí)施:主要包括各種軟件、硬件設(shè)備的購買、評估及加強(qiáng)等����,輔助安全管理體系的執(zhí)行����;
第5篇
現(xiàn)代供應(yīng)鏈中無論是企業(yè)內(nèi)部的生產(chǎn)����、銷售訂單����、合作企業(yè)的生產(chǎn)進(jìn)度,還是企業(yè)間的資金轉(zhuǎn)帳����、招投標(biāo)信息,都是需要高度保密的敏感信息,這些信息的準(zhǔn)確性、機(jī)密性將直接影響到供應(yīng)鏈企業(yè)的生產(chǎn)和經(jīng)營決策[2]����。在供應(yīng)鏈中,由于信息在節(jié)點(diǎn)企業(yè)間共享,對信息安全提出了新的要求:(1)信息安全不再是某個(gè)企業(yè)個(gè)體的事情,而是整條供應(yīng)鏈所有節(jié)點(diǎn)企業(yè)共同面臨的問題,任何一家企業(yè)由于自身原因?qū)е碌男畔踩鹿?將可能危害整條供應(yīng)鏈的利益����。供應(yīng)鏈信息安全保障工作要遠(yuǎn)比單個(gè)企業(yè)復(fù)雜。(2)供應(yīng)鏈上下游企業(yè)形成“委托—”關(guān)系,具有優(yōu)勢的方往往傾向于增加信息不對稱,來獲得額外的利益。(3)由于供應(yīng)鏈企業(yè)間共享的信息具有較高的商業(yè)價(jià)值,有些企業(yè)為了自身利益,可能會將共享的信息泄露給供應(yīng)鏈外企業(yè)����。如何既保證節(jié)點(diǎn)企業(yè)間的信息共享,又防止企業(yè)泄露信息����、身份欺詐等有害行為的發(fā)生是供應(yīng)鏈信息安全需要研究的問題����。
2供應(yīng)鏈信息安全現(xiàn)狀與問題
目前,我國企業(yè)在供應(yīng)鏈管理的實(shí)踐中,對供應(yīng)鏈信息安全或者重視不夠或者束手無策,存在一些較為突出的問題。
(1)信息安全意識淡薄目前我國很多供應(yīng)鏈節(jié)點(diǎn)企業(yè)沒有意識到信息是重要資產(chǎn),沒有把信息安全管理工作作為日常工作的重點(diǎn)����。據(jù)北京谷安天下公司開展的《2011年度中國企業(yè)員工信息安全意識調(diào)查》活動結(jié)果顯示,受訪者的工作胸卡保管����、個(gè)人及公司物品保管����、出差物理環(huán)境安全����、辦公桌面安全����、打印機(jī)安全、尾隨����、口令/密碼設(shè)置����、敏感數(shù)據(jù)保護(hù)����、數(shù)據(jù)備份����、密級資料處理、電腦桌面安全等相關(guān)安全意識相對較差����。
(2)信息安全管理無章可循、有章不循現(xiàn)象普遍供應(yīng)鏈信息安全工作缺乏統(tǒng)一的依據(jù)和準(zhǔn)則,節(jié)點(diǎn)企業(yè)的安全制度互相間存在內(nèi)容交叉甚至矛盾,邊界定義不明確,安全職責(zé)模糊不清,部門責(zé)任和崗位責(zé)任制得不到真正落實(shí),執(zhí)行監(jiān)督機(jī)制薄弱����。許多企業(yè)對移動存儲設(shè)備的使用無嚴(yán)格規(guī)定,員工可以隨意使用移動存儲設(shè)備對文件進(jìn)行存儲備份,企業(yè)信息逐步成為個(gè)人資產(chǎn),隨著人員流動而廣泛傳播����。員工工作時(shí)間上網(wǎng)暢通無阻,無限制地使用QQ、MSN等傳送����、接收文件,容易導(dǎo)致機(jī)密泄露和病毒、木馬����、黑客的攻擊����。掌握大量機(jī)密信息的特權(quán)員工,例如數(shù)據(jù)庫管理員����、網(wǎng)絡(luò)管理員、營銷主管和技術(shù)研發(fā)人員容易將掌握的機(jī)密信息出售給企業(yè)的競爭對手����。
(3)缺乏信息安全技術(shù)與管理人才信息化建設(shè)中存在重硬件,輕軟件和管理的現(xiàn)象,對信息人才的培養(yǎng)與引進(jìn)關(guān)注不夠。為了節(jié)約人力成本,往往一個(gè)信息安全管理員既要負(fù)責(zé)系統(tǒng)的配置,又要負(fù)責(zé)系統(tǒng)安全管理,管理權(quán)限過于集中,一旦出現(xiàn)管理員的權(quán)限失控或離職等情況,極易導(dǎo)致重要信息泄露����。
(4)缺乏統(tǒng)一的信息安全戰(zhàn)略規(guī)劃和防范機(jī)制許多企業(yè)的信息安全措施隨意性很強(qiáng),缺少嚴(yán)格的科學(xué)論證,采取的是“貼膏藥”式的安全策略,從而引起軟硬件安全設(shè)備(系統(tǒng))間防護(hù)功能的重疊和弱化,導(dǎo)致管理難度加大,重復(fù)投資現(xiàn)象普遍[6]。有些企業(yè)經(jīng)常出現(xiàn)“先業(yè)務(wù),后安全”的現(xiàn)象[7],安全管理嚴(yán)重滯后于業(yè)務(wù)的發(fā)展����。安全事件發(fā)生后才去解決,信息安全人員變成“救火員”,安全建設(shè)經(jīng)常是“亡羊補(bǔ)牢”。
(5)供應(yīng)鏈企業(yè)之間信息的共享與交流存在安全問題供應(yīng)鏈各節(jié)點(diǎn)企業(yè)在合作過程中一再強(qiáng)調(diào)依靠信息共享實(shí)現(xiàn)雙贏,但又都是獨(dú)立的利益?zhèn)€體,一旦企業(yè)之間發(fā)生利益沖突,則容易出現(xiàn)的主要問題有:①合作伙伴的逆向選擇風(fēng)險(xiǎn)[8]����。由于信息不對稱,各節(jié)點(diǎn)企業(yè)形成的“委托—”關(guān)系往往導(dǎo)致了一種逆向選擇的風(fēng)險(xiǎn)。委托方往往比方處于更不利的位置,企業(yè)往往通過阻礙信息共享,增加供應(yīng)鏈中信息的不對稱,從合作伙伴那里獲得更大利益����。②供應(yīng)鏈節(jié)點(diǎn)企業(yè)的敗德行為。當(dāng)前我國企業(yè)與供應(yīng)鏈(網(wǎng)絡(luò)信息犯罪)相關(guān)法律法規(guī)不健全的法制環(huán)境下,節(jié)點(diǎn)企業(yè)會利用信息優(yōu)勢而采取一些違背供應(yīng)鏈整體利益或者其它成員企業(yè)利益的措施����。企業(yè)會主動或有意將供應(yīng)鏈內(nèi)共享的信息泄露給沒用參與共享的企業(yè)來獲得額外利益。企業(yè)成員間還存在欺詐行為,如不法企業(yè)利用身份欺騙,以某企業(yè)成員的名義,欺騙其他企業(yè)成員[9]����。諸如此類敗德行為如不加控制會降低供應(yīng)鏈的服務(wù)水準(zhǔn),導(dǎo)致供應(yīng)鏈其余節(jié)點(diǎn)企業(yè)、顧客的不滿和利益流失����。
3供應(yīng)鏈信息安全體系框架
供應(yīng)鏈信息安全系統(tǒng)中的各個(gè)安全組件或要素只有整合成為一個(gè)整體協(xié)同作用時(shí),才能有效保證整體安全管控的目標(biāo)得以實(shí)現(xiàn)。然而,對于我國大多數(shù)供應(yīng)鏈企業(yè)說,信息安全存在上述諸多問題,主要原因是在信息安全建設(shè)之初,沒有根據(jù)供應(yīng)鏈整體業(yè)務(wù)發(fā)展的需要確立合理的信息安全需求,導(dǎo)致供應(yīng)鏈信息安全架構(gòu)不合理����。供應(yīng)鏈信息安全框架旨在為供應(yīng)鏈及其節(jié)點(diǎn)企業(yè)提供一個(gè)全面的、自上而下的����、結(jié)合了國際國內(nèi)相關(guān)安全標(biāo)準(zhǔn)的安全模172型[1]����。供應(yīng)鏈信息安全框架由企業(yè)信息安全治理����、信息安全管理����、基礎(chǔ)安全服務(wù)和架構(gòu)、第三方信息安全服務(wù)與認(rèn)證機(jī)構(gòu)和供應(yīng)鏈信息安全技術(shù)標(biāo)準(zhǔn)體系五個(gè)模塊構(gòu)成����。安全治理作為架構(gòu)的核心內(nèi)容,是安全管理模塊的服務(wù)對象,同時(shí),它們也是信息安全策略制定的基礎(chǔ)和依據(jù),還是基礎(chǔ)安全服務(wù)和架構(gòu)模塊中的各個(gè)子系統(tǒng)提供選擇和建設(shè)的依據(jù)����?���;A(chǔ)安全服務(wù)和架構(gòu)模塊是信息安全建設(shè)技術(shù)需求和功能的實(shí)現(xiàn)者,是信息安全建設(shè)的重要支柱����。中間的安全管理模塊則通過一系列控制措施,確?���;A(chǔ)安全服務(wù)功能的實(shí)現(xiàn),最終實(shí)現(xiàn)安全治理的要求,滿足供應(yīng)鏈系統(tǒng)的信息安全需求。供應(yīng)鏈信息技術(shù)標(biāo)準(zhǔn)體系為供應(yīng)鏈和第三方信息安全服務(wù)與認(rèn)證機(jī)構(gòu)提供了標(biāo)準(zhǔn)保障和依據(jù),有利于形成健康法制的第三方信息安全服務(wù)市場環(huán)境����。第三方信息安全服務(wù)與認(rèn)證機(jī)構(gòu)可彌補(bǔ)供應(yīng)鏈企業(yè)信息安全技術(shù)和經(jīng)驗(yàn)的不足,提供安全托管及信息安全認(rèn)證服務(wù)。
4供應(yīng)鏈信息安全體系框架的應(yīng)用
供應(yīng)鏈信息安全框架參考了眾多企業(yè)所積累的經(jīng)驗(yàn),吸取了供應(yīng)鏈信息安全領(lǐng)域的最新理論研究成果����。在具體運(yùn)用中可結(jié)合信息安全相關(guān)方法論、模型及標(biāo)準(zhǔn),從企業(yè)需求出發(fā),參照供應(yīng)鏈信息安全管理框架,通過評估和風(fēng)險(xiǎn)分析等方法,定義供應(yīng)鏈及其節(jié)點(diǎn)企業(yè)安全需求,再根據(jù)安全需求定義信息安全建設(shè)的內(nèi)容和方向,如圖2所示����。圖2供應(yīng)鏈信息安全體系框架應(yīng)用����。
5結(jié)論
第6篇
鐵路投產(chǎn)運(yùn)行的信息系統(tǒng)很多,有的系統(tǒng)按照等級保護(hù)要求確定了安全等級并建立了安全系統(tǒng)����;有的系統(tǒng)在設(shè)計(jì)中考慮了安全等級,但在建設(shè)過程中并未按設(shè)計(jì)要求實(shí)施安全方案����;還有的系統(tǒng)沒有考慮安全措施����。針對鐵路信息系統(tǒng)投產(chǎn)運(yùn)行后的實(shí)際情況����,鐵路總公司有必要組織內(nèi)外部測評隊(duì)伍����,根據(jù)國家和總公司對信息安全的建設(shè)要求,對信息系統(tǒng)開展技術(shù)和管理兩方面的現(xiàn)狀評估����,檢查信息系統(tǒng)在物理安全、網(wǎng)絡(luò)安全����、主機(jī)安全、應(yīng)用安全����、數(shù)據(jù)安全以及安全管理上與相應(yīng)安全等級標(biāo)準(zhǔn)的差距,進(jìn)行差距分析����,提出建設(shè)整改意見。
2安全等級測評
在信息系統(tǒng)等級保護(hù)安全建設(shè)完成和投產(chǎn)之前,首先組織內(nèi)部測評隊(duì)伍對安全建設(shè)情況進(jìn)行效果測評����,發(fā)現(xiàn)不符合性提出整改建議。內(nèi)部測評結(jié)束及整改驗(yàn)收后����,再聘請有第三方測評資質(zhì)的測評機(jī)構(gòu)進(jìn)行等級測評,驗(yàn)證與國家及行業(yè)等級保護(hù)標(biāo)準(zhǔn)的符合性����。通過總公司內(nèi)部和專業(yè)測評機(jī)構(gòu)的兩級測評,可有效地推進(jìn)國家及行業(yè)信息安全標(biāo)準(zhǔn)在全路的落實(shí)完善����。按照GB/T22239-2008《信息安全技術(shù)—信息系統(tǒng)安全等級保護(hù)基本要求》中的等級測評要求,信息系統(tǒng)在運(yùn)行過程中����,等級保護(hù)測評工作要定期開展,其中三級系統(tǒng)每年要測評一次����,四級系統(tǒng)每半年要測評一次。根據(jù)該要求����,結(jié)合每年鐵路安全大檢查工作的需要����,制定每年的安全大檢查計(jì)劃����,組織內(nèi)外部專業(yè)測評隊(duì)伍����,對三級及以上的信息系統(tǒng)開展安全等級測評工作����。
3安全建設(shè)整改
3.1機(jī)房物理環(huán)境整改
按照《鐵路行業(yè)信息機(jī)房設(shè)計(jì)及建設(shè)規(guī)范》、《鐵路行業(yè)信息機(jī)房管理規(guī)范》的要求����,完善機(jī)房環(huán)境、設(shè)備管理����、電源管理����、安全管理和資料管理����,并從防雷����、防火����、防水、防靜電����、防盜竊、防破壞����、電力供應(yīng)、機(jī)房電源及環(huán)境監(jiān)控等方面對機(jī)房環(huán)境進(jìn)行改造����。
3.2安全域劃分
按照《鐵路行業(yè)信息系統(tǒng)安全體系總體設(shè)計(jì)方案》,根據(jù)信息系統(tǒng)的安全等級����,采用交換機(jī)劃分VLAN、設(shè)置訪問控制策略����、部署防火墻等技術(shù)措施對信息系統(tǒng)進(jìn)行安全域劃分。
3.3邊界網(wǎng)絡(luò)防護(hù)
明確總公司信息網(wǎng)絡(luò)����、業(yè)務(wù)專網(wǎng)和互聯(lián)網(wǎng)的網(wǎng)絡(luò)邊界����,對網(wǎng)絡(luò)邊界部署內(nèi)、外部網(wǎng)絡(luò)訪問控制策略����、入侵檢測等多項(xiàng)防護(hù)措施����,并加強(qiáng)網(wǎng)絡(luò)邊界的監(jiān)測。
3.4主機(jī)安全加固
遵照《鐵路行業(yè)信息系統(tǒng)安全加固實(shí)施指南》����,通過配置安全策略����、安裝安全補(bǔ)丁����、修補(bǔ)系統(tǒng)漏洞、強(qiáng)化身份鑒別等方法對各類主機(jī)設(shè)備的操作系統(tǒng)����、數(shù)據(jù)庫����、中間件等及時(shí)進(jìn)行策略配置和加固。
3.5應(yīng)用及數(shù)據(jù)安全防護(hù)
依照國家和行業(yè)標(biāo)準(zhǔn)����,從用戶身份認(rèn)證、訪問控制����、數(shù)據(jù)加密、容錯(cuò)能力����、日志審計(jì)等方面進(jìn)行應(yīng)用系統(tǒng)安全改造和建設(shè)����。在數(shù)據(jù)安全防護(hù)方面����,采用有效的數(shù)據(jù)備份策略對重要數(shù)據(jù)進(jìn)行定期和增量備份����,采用安全移動存儲介質(zhì)進(jìn)行必要的數(shù)據(jù)交換。
3.6強(qiáng)化信息安全隊(duì)伍建設(shè)
從安全管理����、運(yùn)行����、監(jiān)督、技術(shù)支持等方面加強(qiáng)行業(yè)內(nèi)信息安全隊(duì)伍建設(shè)����,確保安全責(zé)任落實(shí)。做好總公司����、鐵路局兩級和一線服務(wù)、二線運(yùn)維����、三線技術(shù)支持安全運(yùn)維服務(wù)隊(duì)伍,負(fù)責(zé)各系統(tǒng)日常安全運(yùn)行維護(hù)工作����。
3.7完善信息安全管理工作
為切實(shí)做好信息安全管理工作,總公司需要結(jié)合信息安全管理體系建設(shè)項(xiàng)目����,以等級保護(hù)為抓手,將等級保護(hù)與信息安全日常管理緊密結(jié)合����,將信息安全管理全面納入鐵路運(yùn)輸安全生產(chǎn)管理體系,按照“誰主管誰負(fù)責(zé)����、誰運(yùn)行誰負(fù)責(zé)”和屬地化管理原則����,逐級落實(shí)信息安全責(zé)任,建立與總公司信息化發(fā)展相適應(yīng)的信息安全監(jiān)督機(jī)制、應(yīng)急機(jī)制����、故障通報(bào)與處理機(jī)制、事件責(zé)任追究機(jī)制和風(fēng)險(xiǎn)管理機(jī)制����。總公司在加強(qiáng)信息系統(tǒng)建設(shè)管理方面����,需制定一系列的規(guī)章制度,包括《鐵路行業(yè)信息系統(tǒng)上下線管理規(guī)范》和《鐵路行業(yè)計(jì)算機(jī)應(yīng)用軟件通用安全要求》等����,明確系統(tǒng)定級備案、方案設(shè)計(jì)����、產(chǎn)品采購使用����、密碼使用����、軟件開發(fā)����、驗(yàn)收交付����、等級測評、安全服務(wù)等管理內(nèi)容����。
4安全措施落實(shí)
4.1建立鐵路信息系統(tǒng)安全技術(shù)體系
研究建立“一個(gè)中心(安全管理中心),三重防護(hù)(計(jì)算環(huán)境����、區(qū)域邊界����、信息網(wǎng)絡(luò))”的鐵路信息系統(tǒng)安全縱深防護(hù)和主動防御的技術(shù)體系,按總公司����、鐵路局、站段三級管理模式和信息系統(tǒng)運(yùn)輸生產(chǎn)專網(wǎng)����、內(nèi)部服務(wù)網(wǎng)����、外部服務(wù)網(wǎng)三網(wǎng)的特點(diǎn)����,實(shí)現(xiàn)運(yùn)輸組織及客貨營銷類信息系統(tǒng)“分級分區(qū)����、專網(wǎng)專用、橫向隔離����、縱向認(rèn)證”的安全策略,經(jīng)營管理類信息系統(tǒng)“三級獨(dú)立成域����、主動防御、內(nèi)外兼防”的安全策略����。
4.2建設(shè)鐵路信息安全綜合管理平臺
鐵路信息安全綜合管理平臺是為總公司及下屬單位開展與信息安全管理相關(guān)工作的綜合工作平臺����,功能將覆蓋總公司及其下屬單位的信息安全管理工作的主要內(nèi)容����,并支持公安部等級保護(hù)管理工作����。平臺主要提供以下3類功能:
(1)以信息系統(tǒng)定級����、備案、整改����、測評和檢查等規(guī)定步驟為主線,實(shí)現(xiàn)等級保護(hù)工作任務(wù)的下發(fā)����、執(zhí)行、進(jìn)度監(jiān)控和督辦����;
(2)風(fēng)險(xiǎn)管理����、應(yīng)急管理����、安全檢查和事故通報(bào)等專項(xiàng)管理功能����;
(3)日常辦公的綜合管理、培訓(xùn)教育����、標(biāo)準(zhǔn)管理等。
4.3建設(shè)鐵路信息安全一體化運(yùn)行監(jiān)控平臺
鐵路信息安全一體化運(yùn)行監(jiān)控平臺是集綜合網(wǎng)管����、應(yīng)用防護(hù)����、IT運(yùn)維、機(jī)房監(jiān)控為一體的信息系統(tǒng)安全運(yùn)行監(jiān)控管理平臺����,實(shí)現(xiàn)網(wǎng)絡(luò)監(jiān)控、主機(jī)監(jiān)控����、機(jī)房監(jiān)控、邊界防御����、桌面終端安全的全方位監(jiān)控功能。
4.4開展國產(chǎn)化和自主可控技術(shù)研究
在信息安全越來越重視國產(chǎn)化的大技術(shù)背景下����,開展鐵路行業(yè)的信息安全國產(chǎn)化和自主可控技術(shù)的研究尤為重要。在國產(chǎn)化方面����,緊緊圍繞鐵路網(wǎng)絡(luò)安全自主可控戰(zhàn)略目標(biāo),根據(jù)國產(chǎn)產(chǎn)品成熟情況����,結(jié)合鐵路業(yè)務(wù)發(fā)展、業(yè)務(wù)需求����,按照“統(tǒng)籌規(guī)劃、分步實(shí)施����,應(yīng)用牽引����、平臺重構(gòu)����,項(xiàng)目推動����、政策保障”的工作思路,采取“直接采用����、對等替換、平臺替換”技術(shù)策略����,進(jìn)行信息系統(tǒng)國產(chǎn)化改造和構(gòu)建鐵路信息安全等級保護(hù)技術(shù)體系的積極探索。在自主可控方面����,通過統(tǒng)一標(biāo)準(zhǔn)、自主研發(fā)����、自主實(shí)施����、產(chǎn)權(quán)管理、風(fēng)險(xiǎn)評估����、安全測評、安全管控����、安全巡檢等手段實(shí)現(xiàn)信息系統(tǒng)全生命周期各階段的安全可控。
4.5開展基于云計(jì)算的安全技術(shù)探索
云計(jì)算已成為信息技術(shù)的重要發(fā)展方向����,建立鐵路云應(yīng)用平臺將對鐵路信息化應(yīng)用技術(shù)產(chǎn)生深遠(yuǎn)影響。云計(jì)算環(huán)境下的信息安全問題是信息安全技術(shù)領(lǐng)域面臨的一個(gè)新課題����,在開展鐵路云應(yīng)用平臺研究的同時(shí),同步開展云安全應(yīng)用技術(shù)的研究和探索����,使基于云計(jì)算的鐵路應(yīng)用平臺在設(shè)計(jì)����、建設(shè)����、投產(chǎn)3個(gè)環(huán)節(jié)將信息安全同步納入����。
4.6建立鐵路信息安全評測體系與技術(shù)督查體系
采用安全檢查、風(fēng)險(xiǎn)評估����、內(nèi)外評測、安全運(yùn)維等管理和技術(shù)手段����,建立有效的安全測評與技術(shù)督查體系。通過在重要時(shí)間節(jié)點(diǎn)(如春運(yùn)����、暑運(yùn)等)開展安全檢查和自查工作����,使路局、站段管理人員保持安全意識;按照等級保護(hù)標(biāo)準(zhǔn)要求定期開展風(fēng)險(xiǎn)評估����、等級評測等工作,確保等級保護(hù)安全手段能貫穿重要信息系統(tǒng)的始終����;通過完善鐵路兩級三線安全運(yùn)維服務(wù)體系,建立總公司����、鐵路局兩級信息安全技術(shù)督查工作機(jī)制����,將信息安全技術(shù)和管理有機(jī)結(jié)合起來����,實(shí)現(xiàn)安全管理、運(yùn)維����、督辦相輔相成、相互監(jiān)督的局面����。
4.7等級保護(hù)示范工程仿真實(shí)驗(yàn)環(huán)境及試點(diǎn)工程建設(shè)
第7篇
[關(guān)鍵詞] 信息等級保護(hù)概述����;中國石油����;等級保護(hù)建設(shè)
[中圖分類號] TP391;X913.2 [文獻(xiàn)標(biāo)識碼] A [文章編號] 1673 - 0194(2013)05- 0057- 02
1 信息等級保護(hù)制度概述
信息安全等級保護(hù)制度是國家信息安全保障工作的基本制度����,是促進(jìn)信息化健康發(fā)展的根本保障����。其具體內(nèi)容包括:①對國家秘密信息,法人和其他組織及公民的專有信息以及公開信息����,存儲、傳輸����、處理這些信息的信息系統(tǒng)實(shí)行分等級安全保護(hù)、分等級監(jiān)管����;②對信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級管理����;③對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)����、處置。信息安全等級保護(hù)配套政策體系及標(biāo)準(zhǔn)體系如圖1����、圖2所示����。
定條件的測評機(jī)構(gòu)開展等級測評����;④建設(shè)整改:備案單位根據(jù)信息系統(tǒng)安全等級,按照國家政策����、標(biāo)準(zhǔn)開展安全建設(shè)整改;⑤檢查:公安機(jī)關(guān)定期開展監(jiān)督����、檢查����、指導(dǎo)����。
2 中國石油信息安全等級保護(hù)制度建設(shè)
中國石油信息化建設(shè)處于我國大型企業(yè)領(lǐng)先地位����,在國資委歷年信息化評比中都名列前茅。2007 年全國開展信息安全等級保護(hù)工作之后����,中國石油認(rèn)真貫徹國家信息安全等級保護(hù)制度各項(xiàng)要求,全面開展信息安全等級保護(hù)工作����。逐步建成先進(jìn)實(shí)用、完整可靠的信息安全體系����,保障信息化建設(shè)和應(yīng)用,支撐公司業(yè)務(wù)發(fā)展和總體戰(zhàn)略的實(shí)施����,使中國石油的信息安全保障能力顯著提高����。主要采取的措施有以下幾個(gè)方面:
(1)以信息安全等級保護(hù)工作為契機(jī) ����, 全面梳理業(yè)務(wù)系統(tǒng)并定級備案。中國石油根據(jù)國家信息安全等級保護(hù)制度要求����,建立自上而下的工作組織體系,明確信息安全責(zé)任部門����,對中國石油統(tǒng)一建設(shè)的應(yīng)用系統(tǒng)進(jìn)行等級保護(hù)定級和備案,通過制定《中國石油天然氣集團(tuán)公司重要信息系統(tǒng)安全等級保護(hù)定級實(shí)施暫行意見》����,加強(qiáng)桌面安全����、網(wǎng)絡(luò)安全����、身份認(rèn)證等安全基礎(chǔ)防護(hù)工作����,加快開展重要信息系統(tǒng)的等級測評和安全建設(shè)整改工作����,進(jìn)一步提高信息系統(tǒng)的安全防御能力,提高系統(tǒng)的可用性和安全性����。在全面組織開展信息系統(tǒng)等級保護(hù)定級備案工作之后,聘請專業(yè)測評機(jī)構(gòu)����,及時(shí)開展等級測評、安全檢查和風(fēng)險(xiǎn)評估工作����,并通過等級測評工作查找系統(tǒng)的不足和安全隱患����,制訂安全整改方案,開展安全整改和加固改造����,保障信息系統(tǒng)持續(xù)安全穩(wěn)定運(yùn)行����。
(2)以信息安全等級保護(hù)工作為抓手 ����, 全面推動中國石油信息安全體系建設(shè)。中國石油以信息安全等級保護(hù)工作為抓手����,完善信息安全整體解決方案,建立技術(shù)保障體系����、管理保障體系和控制保障體系����。采用分級、分域的縱深防御理念����,將桌面安全����、身份認(rèn)證����、網(wǎng)絡(luò)安全����、容災(zāi)等相關(guān)技術(shù)相互結(jié)合,建立統(tǒng)一的安全監(jiān)控平臺和安全運(yùn)行中心����,實(shí)現(xiàn)對應(yīng)用系統(tǒng)的授權(quán)訪問����、桌面計(jì)算機(jī)的安全控制、網(wǎng)絡(luò)流量的異常監(jiān)控����、惡意軟件與攻擊行為的及時(shí)發(fā)現(xiàn)與防御、業(yè)務(wù)與數(shù)據(jù)安全保障等功能����,顯著提高抵御外部和內(nèi)部信息安全威脅的能力。建立了總部、區(qū)域網(wǎng)絡(luò)中心����、企事業(yè)單位三級信息系統(tǒng)安全運(yùn)維隊(duì)伍;采用集中管理����、分級維護(hù)的管理模式,網(wǎng)絡(luò)與安全運(yùn)維人員采用授權(quán)方式����,持證上崗����,建立網(wǎng)絡(luò)管理員、安全管理員和安全審計(jì)員制度����;初步建立起中國石油內(nèi)部信息安全風(fēng)險(xiǎn)評估隊(duì)伍,并于 2010 年完成地區(qū)公司的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估工作����。
(3)建立重要信息系統(tǒng)應(yīng)急處置預(yù)案,完善災(zāi)難恢復(fù)機(jī)制����。2008 年,中國石油了《網(wǎng)絡(luò)與信息安全突發(fā)事件專項(xiàng)應(yīng)急預(yù)案》����,所有業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)管理����、安全管理等都建立了應(yīng)急響應(yīng)處置預(yù)案和災(zāi)備系統(tǒng)����,保障業(yè)務(wù)系統(tǒng)在遭遇突發(fā)事件時(shí),能快速反應(yīng)并恢復(fù)業(yè)務(wù)系統(tǒng)可用性����。通過災(zāi)難恢復(fù)項(xiàng)目研究,形成了現(xiàn)狀及風(fēng)險(xiǎn)分析����、災(zāi)難恢復(fù)等級劃分、災(zāi)備部署策略分析和災(zāi)備部署方案四步法����,劃分了信息系統(tǒng)災(zāi)難恢復(fù)等級,完善了災(zāi)難恢復(fù)機(jī)制。
(4)規(guī)劃信息安全運(yùn)行中心����,建立重要信息系統(tǒng)安全監(jiān)控機(jī)制。中國石油規(guī)劃了信息安全運(yùn)行中心的建設(shè)方案����,提出了信息安全運(yùn)行中心建設(shè)目標(biāo)����,通過網(wǎng)絡(luò)運(yùn)行狀態(tài)、安全信息數(shù)據(jù)匯集����、安全監(jiān)測分析功能和安全管理流程的有機(jī)整合,實(shí)現(xiàn)中國石油 信息安全狀況的可感知����、可分析、可展示����、可管理和可指揮,形成中國石油信息安全事件分析����、風(fēng)險(xiǎn)分析����、預(yù)警管理和應(yīng)急響應(yīng)處理一體化的技術(shù)支撐能力����;通過完善安全運(yùn)行管理體系����,將安全運(yùn)行管理組織����、安全運(yùn)維管理流程和安全監(jiān)測預(yù)警系統(tǒng)三方面有機(jī)結(jié)合,實(shí)現(xiàn)事前預(yù)警防范����、事中監(jiān)控處置、事后追溯定位的信息安全閉環(huán)運(yùn)行機(jī)制����,形成中國石油統(tǒng)一的應(yīng)急指揮與協(xié)調(diào)調(diào)度能力,為中國石油信息安全保障奠定良好的基礎(chǔ)����。
3 信息安全等級保護(hù)工作存在的不足及改進(jìn)建議
信息安全等級保護(hù)管理辦法 (公通字[2007]43號)正式標(biāo)志著全國范圍內(nèi)的信息安全等級保護(hù)工作開始����,通過5年的努力����,全國信息安全工作形成了以落實(shí)信息安全等級保護(hù)制度為核心����,信息通報(bào)、應(yīng)急處理����、技術(shù)研究、產(chǎn)業(yè)發(fā)展����、網(wǎng)絡(luò)信任體系和標(biāo)準(zhǔn)化建設(shè)等工作快速發(fā)展的良好局面,重要行業(yè)部門的信息安全意識����、重視程度、工作能力有了顯著提高����。40余個(gè)重要行業(yè)出臺了100余份行業(yè)等級保護(hù)政策文件����,20余個(gè)重要行業(yè)出臺了40余份行業(yè)等級保護(hù)標(biāo)準(zhǔn)����,但同時(shí)存在著以下不足:
(1)對信息安全工作的認(rèn)識不到位����,對重要信息系統(tǒng)安全保護(hù)缺乏應(yīng)有的重視����。依據(jù)公安部相關(guān)資料統(tǒng)計(jì),截至2012年6月����,我國有18%的單位未成立信息安全工作領(lǐng)導(dǎo)機(jī)構(gòu);21%的單位未落實(shí)信息安全責(zé)任部門����,缺乏信息安全整體規(guī)劃;14個(gè)行業(yè)重要信息系統(tǒng)底數(shù)不清����、安全保護(hù)狀況不明����;12個(gè)行業(yè)未組織全行業(yè)信息安全專門業(yè)務(wù)培訓(xùn)����,開展信息安全工作的思路和方法不得當(dāng),措施不得力����。20%的單位在信息系統(tǒng)規(guī)劃過程中,沒有認(rèn)真制定安全策略和安全體系規(guī)劃����,導(dǎo)致安全策略不得當(dāng);22%的信息系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)劃分不合理����,核心業(yè)務(wù)區(qū)域部署位置不當(dāng),業(yè)務(wù)應(yīng)用不合理����,容易導(dǎo)致黑客入侵攻擊,造成網(wǎng)絡(luò)癱瘓����,數(shù)據(jù)被竊取和破壞����。34.6%的重要信息系統(tǒng)未配置專職安全管理人員����,相關(guān)崗位設(shè)置不完整,安全管理人員身兼多職����;48%的單位信息安全建設(shè)資金投入不足,導(dǎo)致重要信息系統(tǒng)安全加固和整改經(jīng)費(fèi)嚴(yán)重缺乏����;27%的單位沒有針對安全崗位人員制訂相關(guān)的培訓(xùn)計(jì)劃����,沒有組織開展信息安全教育和培訓(xùn)����,安全管理、運(yùn)維技術(shù)人員能力較弱����。
(2)重要信息系統(tǒng)未落實(shí)關(guān)鍵安全保護(hù)技術(shù)措施����。重要信息系統(tǒng)未落實(shí)安全審計(jì)措施����。在主機(jī)層面,有34.9%的信息系統(tǒng)沒有保護(hù)主機(jī)審計(jì)記錄����,34.8%的信息系統(tǒng)沒有保護(hù)主機(jī)審計(jì)進(jìn)程,容易導(dǎo)致事故責(zé)任無法認(rèn)定����,無法確定事故(事件)原因,影響應(yīng)急處理效率����。38%的信息系統(tǒng)沒有落實(shí)對重要系統(tǒng)程序和文件進(jìn)行完整性檢測和自動恢復(fù)的技術(shù)措施����,35%的信息系統(tǒng)沒有采取監(jiān)測重要服務(wù)器入侵行為的技術(shù)措施,容易使內(nèi)部網(wǎng)絡(luò)感染病毒,對攻擊行為無法進(jìn)行有效監(jiān)測和處置����。
(3)我國信息技術(shù)與國外存在一定差距,安全專業(yè)化服務(wù)力量薄弱����。具有我國自主知識產(chǎn)權(quán)的重要信息技術(shù)產(chǎn)品和核心技術(shù)水平還有待提高,依賴國外產(chǎn)品的情況還比較普遍����;國內(nèi)信息安全專業(yè)化服務(wù)力量薄弱,安全服務(wù)能力不強(qiáng)����,部分重要信息系統(tǒng)的關(guān)鍵產(chǎn)品維護(hù)和系統(tǒng)運(yùn)維依賴國外廠商,給重要信息系統(tǒng)安全留下了隱患����。
為了有效提高我國企業(yè)信息安全水平,增加等級保護(hù)的可行性及執(zhí)行力����,建議:①各企業(yè)開展以信息安全等級保護(hù)為核心的安全防范工作����,提高網(wǎng)絡(luò)主動防御能力����,并制訂應(yīng)急處置預(yù)案����,加強(qiáng)應(yīng)急演練����,提高網(wǎng)絡(luò)應(yīng)急處置能力。②加大人員和資金投入����,提高保障能力。③國家層面加快關(guān)鍵技術(shù)研究和產(chǎn)品化����,重視產(chǎn)品供應(yīng)鏈的安全可控。
主要參考文獻(xiàn)
[1]中國石油天然氣集團(tuán)公司. 中國石油天然氣集團(tuán)公司全面開展信息安全等級保護(hù)工作為信息化建設(shè)保駕護(hù)航[J].信息網(wǎng)絡(luò)安全����,2012(1).
第8篇
1當(dāng)前國有大型企業(yè)信息化管理體系安全現(xiàn)狀和差距
1.1信息化管理體系安全現(xiàn)狀
當(dāng)前,一些國有大型企業(yè)的信息安全建設(shè)����,有效保障了內(nèi)部網(wǎng)絡(luò)的安全性和保密性����,并形成了一套相關(guān)信息的安全管理制度����,為后續(xù)信息系統(tǒng)安全體系的完善和發(fā)展奠定了堅(jiān)實(shí)基礎(chǔ)����。1.1.1安全基礎(chǔ)設(shè)施和系統(tǒng)信息基礎(chǔ)設(shè)施的安全是信息安全的基礎(chǔ),目前企業(yè)已在物理層����、網(wǎng)絡(luò)層和桌面系統(tǒng)加固與監(jiān)控這3個(gè)方面,建設(shè)了一系列網(wǎng)絡(luò)安全防護(hù)設(shè)備����,完善了企業(yè)的信息安全系統(tǒng)。1.1.2安全管理和制度信息安全管理制度是信息安全技術(shù)真正發(fā)揮作用的保證����,企業(yè)已將信息安全管理作為信息化管理的主要內(nèi)容之一,實(shí)施信息安全分類管理����。在信息分類管理中制定了一系列管理制度、流程和標(biāo)準(zhǔn)����,確保信息安全管理的有效和規(guī)范。同時(shí)����,將信息安全管理納入各項(xiàng)安全管理工作����,在財(cái)務(wù)管理、HES管理等重要業(yè)務(wù)管理中強(qiáng)化信息安全管理����。由此可見,企業(yè)在信息化安全建設(shè)方面已做出巨大努力����,但距離建立一套完整可用的信息安全體系的目標(biāo)還存在一定差距。
1.2信息化管理體系安全問題的差距
部分企業(yè)雖然已經(jīng)建立了專門的信息安全組織����,制定了一些管理制度����,部署的信息安全基礎(chǔ)設(shè)施也能提供基本的網(wǎng)絡(luò)安全性保障����,但信息安全組織還不健全,信息標(biāo)準(zhǔn)的范圍和執(zhí)行力度薄弱����,未制定針對信息系統(tǒng)等級保護(hù)的相關(guān)制度,沒有部署上網(wǎng)行為管理系統(tǒng)等安全設(shè)備����,缺少與信息管理����、信息質(zhì)量管理有關(guān)的規(guī)范,如各類編碼標(biāo)準(zhǔn)����,信息質(zhì)量控制流程等。因此����,需要進(jìn)一步制定����、完善統(tǒng)一的信息管理制度和信息標(biāo)準(zhǔn)����,依托強(qiáng)有力的技術(shù)手段����,支撐信息化管理體系,并對標(biāo)準(zhǔn)執(zhí)行建立相應(yīng)的監(jiān)督考核機(jī)制����。
2企業(yè)信息化管理體系安全優(yōu)化策略
2.1完善信息化制度管理體系
企業(yè)的信息化建設(shè)要采用制度化管理方法,通過制定企業(yè)信息系統(tǒng)相關(guān)的安全管理制度����,做好服務(wù)器和數(shù)據(jù)庫系統(tǒng)的安全管理工作,保障企業(yè)珍貴數(shù)據(jù)資源安全����。同時(shí)還要加強(qiáng)網(wǎng)絡(luò)輿情管理����、企業(yè)機(jī)房管理����、計(jì)算機(jī)現(xiàn)場管理及服務(wù)器相關(guān)管理制度建設(shè)����,以及通信、網(wǎng)絡(luò)和信息系統(tǒng)相關(guān)應(yīng)急預(yù)案等制度建設(shè)����,規(guī)范網(wǎng)絡(luò)、服務(wù)器管理人員以及終端用戶的行為����,逐步完善信息化制度管理體系。
2.2建立信息化安全管理體系
信息系統(tǒng)安全建設(shè)不僅是安全模塊功能的實(shí)現(xiàn)����,還是一個(gè)整合的安全體系。信息安全是保護(hù)信息免受各種威脅和損害����,確保業(yè)務(wù)的連續(xù)性,使業(yè)務(wù)風(fēng)險(xiǎn)最小化����,投資回報(bào)和商業(yè)機(jī)遇最大化����。信息安全是組織的一個(gè)業(yè)務(wù)問題����,需要管理層的承諾和支持����,還需要企業(yè)安全文化和運(yùn)營流程作保障����。
2.3建立信息化流程管理體系
信息安全管理流程首先要提升全體員工的信息安全意識、技能培訓(xùn)和專業(yè)教育����,然后對信息安全進(jìn)行風(fēng)險(xiǎn)管理,要進(jìn)行需求分析����、控制實(shí)施、運(yùn)行監(jiān)控和響應(yīng)恢復(fù)4個(gè)步驟����,最后是信息安全監(jiān)督檢查和改進(jìn)����,通過檢查和改進(jìn)進(jìn)一步提升員工的信息安全意識����,形成閉環(huán)管理,如圖1所示����。
2.4通過信息化技術(shù)支撐管理體系
為保障以安全可靠為核心的信息化管理體系的運(yùn)行正常����,有必要利用信息化技術(shù)給其最有效的支撐。2.4.1上網(wǎng)行為管理上網(wǎng)行為管理的主要目的是有效規(guī)范員工上網(wǎng)行為����,助力構(gòu)建企業(yè)安全、和諧����、穩(wěn)定的生產(chǎn)經(jīng)營環(huán)境,其原則是“事前預(yù)防����,事后溯源”����。事前預(yù)防就是要做到事前制訂安全防范策略����,最大限度保證機(jī)密數(shù)據(jù)和有害信息不由公司網(wǎng)絡(luò)流向社會。事后溯源就是要記錄每臺內(nèi)部計(jì)算機(jī)與互聯(lián)網(wǎng)的信息交互內(nèi)容����,發(fā)生問題后迅速準(zhǔn)確地定位到問題源頭,做到有據(jù)可查����,能追本溯源����。2.4.2端點(diǎn)防護(hù)建立企業(yè)級的端點(diǎn)防護(hù)系統(tǒng),對終端實(shí)現(xiàn)安全合規(guī)性檢查和控制����,加強(qiáng)策略管理。使用總體安全策略與本地自定義安全策略相結(jié)合的方式����,在大規(guī)模部署端點(diǎn)防護(hù)系統(tǒng)的前提下����,提升防病毒等安全管理系統(tǒng)的安裝率����,促進(jìn)網(wǎng)絡(luò)安全的綜合治理和改善。2.4.3端點(diǎn)準(zhǔn)入控制可采用VRV系統(tǒng)作為端點(diǎn)準(zhǔn)入控制的手段����。端點(diǎn)準(zhǔn)入控制包括對公司內(nèi)網(wǎng)計(jì)算機(jī),也包括由VPN接入的外網(wǎng)計(jì)算機(jī)����。VRV強(qiáng)化了對網(wǎng)絡(luò)計(jì)算機(jī)終端狀態(tài)、行為以及事件的管理����,提供了防火墻、IDS����、防病毒系統(tǒng)、專業(yè)網(wǎng)管軟件所不能提供的防護(hù)功能����,對它們管理的盲區(qū)進(jìn)行監(jiān)控����,擴(kuò)展成為一個(gè)實(shí)時(shí)可控的內(nèi)網(wǎng)管理平臺����,并能同其他安全設(shè)備進(jìn)行安全集成和報(bào)警聯(lián)動。2.4.4身份認(rèn)證管理通過加強(qiáng)身份認(rèn)證管理����,實(shí)現(xiàn)用戶通過使用USBKey實(shí)現(xiàn)單點(diǎn)登錄,更為方便和安全地訪問應(yīng)用系統(tǒng)����,集中實(shí)現(xiàn)應(yīng)用系統(tǒng)用戶帳號的電子化流程管理����,并與員工HR信息的變化聯(lián)動����,提高應(yīng)用系統(tǒng)賬號管理的時(shí)效性,加強(qiáng)賬號管理力度����,身份認(rèn)證管理流程如圖2所示����。2.4.5安全域根據(jù)安全需求強(qiáng)度的不同����,可將安全域劃分為不同層次,要有針對性的采取安全控制和防護(hù)策略����,針對信息系統(tǒng)網(wǎng)絡(luò)的網(wǎng)絡(luò)結(jié)構(gòu)、數(shù)據(jù)流通模式以及安全防護(hù)需求����,可將整體網(wǎng)絡(luò)劃分為3個(gè)安全域:核心安全域、接入安全域����、邊界安全域����。2.4.6邊界隔離網(wǎng)絡(luò)劃分安全區(qū)域后,在不同信任級別的安全區(qū)域之間就形成了網(wǎng)絡(luò)邊界����?���?邕吔绲墓舴N類繁多����、破壞力強(qiáng),邊界防護(hù)解決方案可徹底解決以上問題����。企業(yè)邊界防護(hù)方案由防火墻、入侵防御系統(tǒng)����、物理隔離網(wǎng)關(guān)組成。關(guān)鍵路徑上部署獨(dú)立的具有深度檢測防御的IPS(入侵防御系統(tǒng))����。深度檢測防御是為了檢測計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略的行為。使用IPS系統(tǒng)可以濾出DDOS攻擊����,間諜軟件����、BitTorrent數(shù)據(jù)流����、釣魚攻擊等幾十類近100萬種攻擊類型����。2.4.7流量控制和審計(jì)流量控制和審計(jì)方案主要涉及兩個(gè)方面,一是對流量的深度檢測和帶寬控制����,二是對用戶訪問的網(wǎng)站進(jìn)行海量篩查。通過這兩個(gè)手段在主觀或客觀上都能防止網(wǎng)絡(luò)用戶的不良行為����,避免網(wǎng)絡(luò)性能和安全性受到負(fù)面影響。2.4.8訪問控制列表訪問控制列表(ACL)是為了阻止部分用戶不能訪問另一部分用戶或者服務(wù)而提出的����。訪問控制列表通常應(yīng)用于路由器或者三層交換機(jī)上,能阻止或允許某些網(wǎng)段的用戶訪問資源����,也能阻止或允許某個(gè)用戶訪問資源����。2.4.9網(wǎng)絡(luò)設(shè)備安全管理(1)網(wǎng)絡(luò)設(shè)備登錄安全通過用戶狀態(tài)進(jìn)行存取控制����,保證設(shè)備控制安全����。限制SNMP和Telnet的用戶訪問。(2)網(wǎng)絡(luò)設(shè)備日志記錄對于網(wǎng)絡(luò)安全����,不僅要關(guān)注網(wǎng)絡(luò)的事前防范能力,還要充分考慮事后跟蹤能力����,在安全事件發(fā)生前后,可通過對用戶上網(wǎng)端口����、時(shí)間、訪問地的記錄����,全面追溯用戶上網(wǎng)的狀態(tài),從而為后期分析提供第一手資料。(3)路由信息安全路由協(xié)議的安全管理主要通過路由信息交換的認(rèn)證來保證����。啟用PassiveInterface命令后����,該接口的網(wǎng)段路由可以照常出去,但該接口不會再收發(fā)OSPF協(xié)議報(bào)文����,也就不會再與任何其他路由設(shè)備建立鄰居關(guān)系,從而避免路由泄露����。2.4.10專網(wǎng)企業(yè)可按照國家保密局����、中辦機(jī)要局要求及國家相關(guān)標(biāo)準(zhǔn)建設(shè)辦公專網(wǎng),通過驗(yàn)收用于處理國家秘密及以下級別的文件和信息����,供企業(yè)員工日常辦公使用。該網(wǎng)與互聯(lián)網(wǎng)物理隔離����,并利用安全保密設(shè)備提高網(wǎng)絡(luò)和數(shù)據(jù)傳輸?shù)陌踩?���,與其他相關(guān)企業(yè)可采用專線方式單點(diǎn)連接����。企業(yè)辦公專網(wǎng)的網(wǎng)絡(luò)架構(gòu)如圖3所示。
2.5建立信息化考核評價(jià)管理體系
企業(yè)信息化流程管理系統(tǒng)評價(jià)體系可包含信息化建設(shè)有關(guān)的基礎(chǔ)管理內(nèi)容及建立在此基礎(chǔ)上的資源����、信息、程序����、過程等要素管理。從信息化過程監(jiān)控和改善來看����,通過考核評價(jià)體系建立一組有效描述信息化建設(shè)與運(yùn)行過程情況的信息����,幫助公司識別相關(guān)技術(shù)和管理的不足,逐步改善公司的信息化過程����,達(dá)到持續(xù)改進(jìn)的目標(biāo)����。
2.6建立信息化隊(duì)伍管理體系
成立由公司領(lǐng)導(dǎo)班子成員����、機(jī)關(guān)部門����、基層單位主要領(lǐng)導(dǎo)組成的信息化領(lǐng)導(dǎo)小組,決策公司信息化建設(shè)中的重大問題����,指導(dǎo)信息化項(xiàng)目建設(shè);依托公司信息化工作的歸口管理部門����,負(fù)責(zé)制訂企業(yè)信息化發(fā)展規(guī)劃,負(fù)責(zé)信息化工作的有關(guān)政策����、管理辦法、技術(shù)標(biāo)準(zhǔn)和工作規(guī)范的制訂����,并組織實(shí)施和檢查等工作����。同時(shí)����,注重對企業(yè)員工的專業(yè)培訓(xùn),采取激勵(lì)措施����,培養(yǎng)一支高素質(zhì)階梯化專業(yè)人才隊(duì)伍。
3結(jié)語
第9篇
一����、電子政務(wù)建設(shè)取得階段性成效
(一)2014年我縣職能部門建立電子政務(wù)平臺37個(gè),涉及黨政����、教育、水務(wù)����、醫(yī)療����、金融����、煙草����、公共安全等多個(gè)方面。其中電信新開通平臺1個(gè)����,聯(lián)通開通平臺4個(gè)����,萬網(wǎng)工程建設(shè)外網(wǎng)平臺32個(gè)。
(二)移動公司完成了101條信息化專線建設(shè)����。
二、城鄉(xiāng)信息化發(fā)展迅速
(一)2014年全縣新建基站119個(gè)����,其中電信在、縣城等區(qū)域新建基站11個(gè)����,移動投資1200余萬元建設(shè)基站61個(gè)����,聯(lián)通建設(shè)基站47個(gè)����,覆蓋全縣所有鄉(xiāng)鎮(zhèn)。
(二)為推動城鄉(xiāng)信息化發(fā)展����,各通信服務(wù)企業(yè)紛紛出臺城鄉(xiāng)優(yōu)惠政策,通過改造農(nóng)村寬帶����、話費(fèi)優(yōu)惠、話機(jī)促銷等方式����,促進(jìn)城鄉(xiāng)信息消費(fèi),提高城鄉(xiāng)信息化程度����。其中移動公司投資600余萬元,完成63個(gè)小區(qū)寬帶����、11個(gè)鄉(xiāng)鎮(zhèn)寬帶和25個(gè)農(nóng)村寬帶建設(shè)����。
三����、“兩化融合”工作進(jìn)展順利
(一)為更好進(jìn)行“大社會”治安管理監(jiān)控,我縣先后完成了21家大社會視頻監(jiān)控項(xiàng)目����,對56家煤礦企業(yè)進(jìn)行實(shí)時(shí)監(jiān)控。
(二)為做好全縣經(jīng)濟(jì)運(yùn)行分析工作����,我縣將具有行業(yè)代表性的32家中小企業(yè)納入省中小企業(yè)生產(chǎn)經(jīng)營運(yùn)行監(jiān)測平臺進(jìn)行監(jiān)測����,為全縣經(jīng)濟(jì)分析提供有效參數(shù)。
(三)為更好的服務(wù)于企業(yè)����,提高企業(yè)生產(chǎn)、管理����、銷售信息化水平����,2014年我縣共為11戶企業(yè)建立移動信息基站����。
四、園區(qū)信息化發(fā)展機(jī)制完善
(一)園區(qū)無線寬帶建設(shè)
無線接入網(wǎng)在公共區(qū)域采用最新的802.11n協(xié)議標(biāo)準(zhǔn)����,實(shí)現(xiàn)300mbit/s的高速無線接入,全面實(shí)現(xiàn)移動辦公����。
(二)骨干網(wǎng)建設(shè)
1、在有線接入網(wǎng)絡(luò)上采用pon和ftto接入����,實(shí)現(xiàn)電話網(wǎng)、電視網(wǎng)����、計(jì)算機(jī)網(wǎng)絡(luò)的三網(wǎng)融合。
2����、在各單位內(nèi)部采用塑料光纖建設(shè)以太局域網(wǎng)����,通過千兆路由器上聯(lián)到園區(qū)ip骨干網(wǎng)����,從而實(shí)現(xiàn)萬兆到園區(qū),千兆到大樓����,百兆到桌面的高速寬帶上網(wǎng)。
3����、在園區(qū)機(jī)房建設(shè)匯聚路由器����,實(shí)現(xiàn)對園區(qū)信息輸送的匯聚����。
(三)電子商務(wù)
1、基于建設(shè)好的網(wǎng)絡(luò)承載平臺����,以園區(qū)網(wǎng)站建設(shè)為龍頭����,建設(shè)統(tǒng)一的數(shù)據(jù)交換平臺����,發(fā)展統(tǒng)一的園區(qū)電子政務(wù)平臺,實(shí)現(xiàn)“陽光政務(wù)”����。
2、通過園區(qū)網(wǎng)站的建設(shè)及與大型電子商務(wù)平臺的對接����,為企業(yè)提供高端的電子商務(wù)平臺,同時(shí)嵌入主流物流平臺軟件����,使園區(qū)的所有物流情況全部通過電子物流平臺實(shí)現(xiàn)指令傳送和過程監(jiān)管。
五����、信息化安全建設(shè)體系完善
(一)貫徹落實(shí)手機(jī)實(shí)名制
積極貫徹工信部手機(jī)實(shí)名入網(wǎng)相關(guān)文件精神,嚴(yán)格要求電信、移動����、聯(lián)通三大電信運(yùn)行商自9月起執(zhí)行新用戶入網(wǎng)時(shí)必須登記實(shí)名信息。通過手機(jī)實(shí)名制的推進(jìn)����,有利于杜絕非法使用手機(jī)通訊現(xiàn)象,促進(jìn)我縣的通訊事業(yè)健康發(fā)展����。
(二)園區(qū)信息安全建設(shè)
1����、采用mpls-vpn功能的olt設(shè)備,為園區(qū)企業(yè)提供端到端服務(wù)����,為建設(shè)vpn網(wǎng)絡(luò)提供極大方便,增強(qiáng)了園區(qū)企業(yè)內(nèi)部網(wǎng)絡(luò)安全性����。
2����、在園區(qū)環(huán)形骨干光纜的多物理路由保護(hù)下����,實(shí)現(xiàn)對入駐企業(yè)內(nèi)部網(wǎng)絡(luò)的多路由保護(hù)����。
3、在園區(qū)匯聚路由器的前端安裝硬件防火墻����,加強(qiáng)園區(qū)企業(yè)信息安全。
(三)認(rèn)真開展通訊行業(yè)應(yīng)急工作
根據(jù)省����、市、縣通訊保障應(yīng)急工作安排����,由我局牽頭對縣域三大通訊公司進(jìn)行通訊應(yīng)急工作檢查,重點(diǎn)查看應(yīng)急預(yù)案����,車輛配備,應(yīng)急器材保養(yǎng)等情況����,對不符合規(guī)范的情況責(zé)令整改,要求三大運(yùn)營商在保障日常通訊的同時(shí)����,配備專人開展應(yīng)急通訊工作,維護(hù)相關(guān)器材����,確保在大災(zāi)大害等特殊情況下的通訊暢通。
六����、2014年工作計(jì)劃
(一)積極推進(jìn)企業(yè)“兩化融合”工作
1、促進(jìn)園區(qū)企業(yè)綜合信息平臺建設(shè)����,實(shí)現(xiàn)信息資源優(yōu)化配制,節(jié)約企業(yè)運(yùn)行成本����。
2、選擇雙星茶業(yè)����、好牛旺食品公司����、同心木業(yè)等行業(yè)代表企業(yè)開展電子商務(wù)應(yīng)用示范����,充分發(fā)揮其輻射和示范作用����。
(二)加快推進(jìn)電子政務(wù)建設(shè)工程
推進(jìn)全縣政務(wù)外網(wǎng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的改造升級,進(jìn)一步完善網(wǎng)絡(luò)結(jié)構(gòu)����,打造全縣黨政機(jī)關(guān)各部門信息共享、數(shù)據(jù)交換的政務(wù)外網(wǎng)統(tǒng)一平臺����。
(三)加強(qiáng)信息安全
完善和落實(shí)《網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案》,提高我縣處置網(wǎng)絡(luò)與安全突發(fā)公共事件能力����,確保重要計(jì)算機(jī)信息系統(tǒng)的實(shí)體安全����、運(yùn)行安全和數(shù)據(jù)安全����。
