導語：如何才能寫好一篇信息安全戰略報告，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

IDC的報告表明，2008 年第3季度，國際金融危機對中國的影響開始顯現，第4季度經濟形勢加劇惡化，對IT安全硬件市場產生了迅速和直接的影響。而在整體經濟環境持續惡化的一年中，聯想網御卻繼續實現了高速增長，在摘得一金二銀成績的同時，聯想網御的競爭力排名也直線上升，成為國內成長最快的信息安全企業，充分顯示出聯想網御作為中國信息安全領軍企業的深厚功底。

IDC報告指出，2008年，中國IT安全硬件市場的市場規模為4.84億美元，同比增長28.1%。其中，入侵防御硬件市場（IPS）、統一威脅管理硬件市場（UTM）、安全內容管理硬件市場和VPN 硬件市場出現了高速增長。IDC預測，隨著市場的進一步擴大，這些高速成長的電子市場在整體IT安全硬件市場中所占比例將逐漸加大。

聯想網御認為，信息安全企業唯有眼光長遠，苦練內功，把握需求，持續創新，并據此制定正確的企業發展戰略，才能有所建樹。作為國內領先的信息安全廠商，聯想網御一直以高于行業平均增長速度領跑整個信息安全產業，并不斷結合用戶需求進行產品技術創新。2008年，聯想網御明確提出了“鞏固網絡安全，發展應用安全，布局管理安全”的三年發展戰略。在該戰略的指引下，聯想網御通過對信息安全產業發展趨勢的敏銳判斷，率先開始了在應用與數據安全領域的戰略布局。

篇2

共話數據安全未來

中國科學院何積豐院士在題為《大數據與智能制造》的主題報告中提出，大數據越來越多地被運用到能源、健康、制造、交通等領域，數據的分析與挖掘產生巨大的經濟價值，深度剖析數據的保護刻不容緩，安全亟待升級。

中國工程院沈昌祥院士在題為《可信計算筑牢網絡安全防線》的專項報告中強調，面臨日益嚴峻的國際網絡空間形勢，我們要立足國情，創新驅動，解決受制于人的問題，堅持縱深防御，用可信計算3.0構建網絡空間安全防線。

中國工程院倪光南院士在《云安全的思考》主題演講中指出，云安全一定會呈現出多維度、多層次、跨領域、多學科技術交叉等方面的特征。對于云計算的安全保護，單一手段遠遠不夠，需要有一個完備的體系，總體上需要從技術、監管、法律三個層面進行，形成可感知、可預防的智能云安全體系。

解讀前沿技術趨勢

浙江華途信息安全技術股份有限公司董事長總裁謝永勝分享了《中國數據安全發展的思考》。他認為：“歐盟、美國和中國都立法從網絡安全頂層設計數據安全保護，如我國的《網絡安全法》等。即使有戰略規劃，有法律法規，有國家標準，數據泄漏事件仍愈演愈烈。”

據了解，2016年全球安全市場收入736億美元，其中數據泄露防護領域占15%，而放眼全球市場，中國在全球數據安全防護市場的投入比例僅占4%。綜上所述，要解決數據安全的問題，除了戰略規劃、法律法規、行業標準的措施外，還需要加大安全領域的投入。

中科院信息工程研究所所長黃偉慶做了《物理空間信息安全風險與防護》的演講。他表示：“物理空間信息安全的L險與防護，正在成為一個備受關注的領域。”公安部信息等級保護評估中心副主任畢馬寧呼吁《關注形勢變化 注重動態安全》，信息化發展是支撐，是領導，信息安全是保障。等級是手段，保護是目的。

篇3

 

一、加強頂層設計，確立信息安全教育國家戰略

 

1.《網絡空間安全國家戰略》

 

布什政府在2003年2月了《網絡空間安全國家戰略》，其中首次從國家層面提出了“提高網絡安全意識與培訓計劃”，指出，“除了信息技術系統的脆弱性外，要提高網絡的安全性至少面臨著兩個障礙：缺乏對安全問題的了解和認識;無法找到足夠多的經過培訓或通過認證的人員來建立并管理安全系統。“為此，美國要開展全國性的增強安全意識活動，加強培訓和網絡安全專業人員資格認證。

 

2.《美國網絡安全評估》報告

 

2009年5月29日美國公布了《美國網絡安全評估》報告，評估了美國政府在網絡空間的安全戰略、策略和標準，指出了存在的問題，提出行動計戈IJ。所提議的優先行動計劃之一就是“加強公眾網絡安全教育”。

 

3.《國家網絡安全綜合計劃》(CNCI)

 

2010年3月2日，奧巴馬政府對前布什政府在2007年制定的一份國家網絡安全綜合計劃的部分內容進行解密。CNCI計劃提出要實現重要目標之一就是：“為了有效地保證持續的技術優勢和未來的網絡安全，必須制定一個技術熟練和精通網絡的勞動力和未來員工的有效渠道。擴大網絡教育，以加強未來的網絡安全環境。”

 

4.《國家網絡空間安全教育戰略計劃》

 

2011年8月11日，NIST授權《美國網絡

 

安全教育倡議戰略規劃：構建數字美國》草案，征求公眾意見。該規劃是美國網絡安全教育倡議(NICE)的首個戰略規劃，闡明了NICE的任務、遠景和目標。NICE旨在通過創新的網絡行為教育、培訓和加強相關意識，促進美國的經濟繁榮和保障國家安全，并通過以下三個目標實現這一愿景：增強公眾有關網上活動風險的意識;擴展能支持國家網絡安全的人員隊伍;建立和維持一支強大的具有全球競爭力的網絡安全隊伍。

 

二、做好立法工作，完善法規標隹體系

 

1.《聯邦信息安全管理法案》(FISMA)

 

2002年7月，美國政府制定了《聯邦信息安全管理法案》(FISMAhFISMA法案以立法的形式表明美國政府已經認識到信息安全對美國經濟和國家安全利益的重要性，并從風險管理角度提出了一個有效的信息安全管理體系。信息安全教育與培訓是信息安全管理體系中一個重要環節。

 

FISMA法案明確要求：聯邦政府機構須為內外部相關人員提供信息安全風險的安全意識培訓，為此還提議了一個較為完善的國家安全意識及其培訓系統。

 

2.國防部(DoD)8570指令

 

2005年12月，為了更好地支持“全球信息網格計戈j”，美國國防部了8570指令。該指令涵蓋以下主要內容：建立技術基準，管理職員的信息保障技能;實現正規的信息保障勞動力技能培訓和認證活動;通過標準的測試認證檢驗信息保障人員的知識和技能;在基礎教育和實驗教育中，持續的增加信息保障內容。

 

3.聯邦政府信息技術安全培訓標準(FIPS)

 

FISMA法案明確指定NIST負責制定聯邦政府(除國防、情報部門以外)所使用的信息安全技術、產品和培訓方面的國家標準。目前，NIST已制定和兩部權威的信息安全培訓標準：《信息技術安全培訓要求：基于角色和表現的模型》(NISTSP800-16)和《建立信息安全意i只和培訓方案》(NISTSP800—50)cNIST在SP800—16標準中提出了信息安全培訓概念性的框架，依據這些框架，美國聯邦政府部門開展了很多綜合性的聯邦計算臟務(FSC)項目。

 

4.網絡安全法案

 

2010年3月24日，美國參議院商務、科學和運輸委員會全票通過了旨在加強美國網絡安全、幫助美國政府機構和企業有效應對網絡威脅的《網絡安全法案》。該法案要求政府機構和私營部門加強在網絡安全領域方面的信息共享，強調通過市場手段，鼓勵培養網絡安全人才，開發網絡安全產品和服務。

 

三、構建信息網絡安全組織機構，健全安全教育培訓管理體制

 

為了落實信息安全教育培訓相關政策和法律法規，美國將協調、執行、監督、管理等權利分配給多個政府部門，依據最新的《國家網絡安全教育戰略計劃》的思路，國家標準技術研究所(NIST)為整個計劃的負責單位，協調其他部門參與計劃的實施;國土安全部(DHS)、國防部(DoD)、國務院、教育部和國家科學基金會(NSF)協力加強公眾的信息安全意識;DHS、海關總署、NSF和國家安全局(NSA)共同加強從業人員f支術能力;DHS、DoD、NIST、NSA、NSF和人事管理局(OPM)負責建立高端網絡安全人才隊伍。

 

社會各界積極參與

 

行業協會已經站到了信息安全教育培訓的前沿，成為信息安全教育培訓的踐行者。其職責主要是協助有關部門制定信息安全教育與培訓的標準，組織持續的教育活動，并向內部成員單位實施培訓。行業協會自身作為提供教育和培訓的主體，一方面可以根據政府的引導和企業的需求來設置培訓內容;另一方面可以利用政府和產業界的資源，充分發揮其在信息安全領域內不可替代的社會職能。行業協會提供的培訓標準是政府制定的培訓標準的主要補充，為規范和完善美國信息安全培訓行業提供了切實可行的保障。

 

(1)國際信息系統審計協會(丨SACA)

 

國際信息系統審計協會(ISACA)是一個為信息管理、控制、安全和審計專業設定規范標準的全球性組織，會員遍布逾160個國家，總數超過86,000人。ISACA成立于1969年，除贊助舉辦國際會議外，還編輯出版《信息系統監控期刊》，制定國際信息系統的審計與監控標準，以及頒授國際廣泛認可的注冊信息系統審計師(CISA)專業資格認證。CISA認證體系已通過美國國家標準協會(ANSI)依照ISO/IEC17024:2003標準對其進行的資格鑒定。同時，美國國防部也認可了CISA認證，并將其納入到國防系統信息技術人員技能商業資格認證體系當中。這產生了以下四方面的作用：認可CISA認證所提供的特有資格和專業知識技能;保護認證的信譽并提供法律保護;增進消費者和公眾對本認證和持證者的信心;使跨國、跨行業的人才流動更加便利。

 

(2)美國系統網絡安全(SANS)研究院SANS是于1989年創立的美國非政府組織(NGO)，是一所具有代表性的從事網絡安全研究教育的專業機構。1999年SANS首次推出了安全技術認證程序(GIAC)。

 

GIAC認證程序有以下幾個特點：

 

GIAC提供超過20種的信息安全認證，其大多數符合DOD8570指令。GIAC依據國家標準對安全專業人員及開發人員進行各方面技能認證。GIAC安全認證分為入門級信息安全基礎認證(GISF)和高級安全要素認證(GSEC)。兩種認證都重點考察安全基礎知識，保證揺正人員擁有必備的安全技能。其它GIAC安全認證包括：認證防火墻分析師(確認設計、配置和監控路由器、防火墻和其它邊界設備所需的知識、技能和能力)、認證入侵分析師(評估考生配置和監控入侵檢測系統的知識)、認證事故處理員(考察考生處理事故和攻擊的能力)和認證司法辯論分析師(考查考生高效處理正式司法調查的能力。

 

(3)國際信息系統安全認證聯盟(ISC)2

 

國際信息系統安全核準聯盟(ISC)2成立于1989年，是一家致力于為全球信息系統安全從業人員提供信息安全專業技能培訓和認證的國際領先非營利組織。在(ISC)2各種認證中，CISSP數量最多。截至2010年底，全球共有75000名CISSP獲證人員，其中，美國獲證人員數量超過70%^CISSP獲證人員中，約30%在政府部門工作，40%從事信息安全月服務行業，30%從事用戶終端工作。

 

注冊信息系統安全專業人員通用知識體(CISSPCBK)提供了通用的信息安全術語和原理框架，使得全世界的信息安全專業人員能夠以相同的術語和理念，討論、辯論和解決信息安全相關問題。

篇4

［關鍵詞］ 信息安全保障體系； 中國石油； 企業

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 09. 054

［中圖分類號］ TP309 ［文獻標識碼］ A ［文章編號］ 1673 - 0194（2012）09- 0089- 02

1 信息安全保障體系概述

信息安全保障（Information Assurance，IA）來源于1996年美國國防部DoD指令5－3600．1（DoDD5－3600．1）。其發展經歷了通信安全、計算機安全、信息安全直至現在的信息安全保障。內容包括保護（Protection）、檢測（Detection）、響應（Response）、恢復（Recovery） 4個環節，即PDRR模型。

信息安全保障體系分為人員體系、技術體系和管理體系3個層面，人員體系包括安全人員的崗位與職責、全體工作人員的安全管理兩部分。技術體系由本地計算環境、區域邊界、網絡基礎設施及支撐性基礎設施組成。管理體系包括建立完善的信息安全管理體系、構建自上而下的各級信息安全管理組織架構、制定信息安全方針與信息安全策略及完善信息安全管理制度4個板塊。通過縱深防御的多層防護，多處設置保護機制，抵御通過內部或外部從多點向信息系統發起的攻擊，將信息系統的安全風險降低到可以接受的程度。

2 國外信息安全保障體系建設

美國的信息化程度全球最高，在信息技術的主導權和網絡上的話語權等方面占據先天優勢，他們在信息安全保障體系建設以及政策支持方面也走在全球的前列。美國政府先后了一系列政策戰略報告，將信息安全由“政策”、“計劃”上升到“國家戰略”及“國際戰略”的高度。美國國土安全局是美國信息安全管理的最高權力機構，其他負責信息安全管理和執行的機構有國家安全局、聯邦調查局、國防部、商務部等，主要根據相應的方針和政策結合自己部門的情況實施信息安全保障工作。

其他國家也都非常重視信息安全保障工作。構建可信的網絡，建設有效的信息安全保障體系，實施切實可行的信息安全保障措施已經成為世界各國信息化發展的主要需求。信息化發展比較好的發達國家，如俄、德、日等國家都已經或正在制定自己的信息安全發展戰略和發展計劃，確保信息安全沿著正確的方向發展，在信息安全領域不斷進行著積極有益的探索。

3 國內信息安全保障體系建設

我國信息化安全保障體系建設相對于發達國家起步較晚，2003年9月，中央提出要在5年內建設中國信息安全保障體系。2006年9月，“十一五”發展綱要提出科技“支撐發展”的重要思想，提出要提高我國信息產業核心技術自主開發能力和整體水平，初步建立有中國特色的信息安全保障體系。2007年7月20日，“全國重要信息系統安全等級保護定級工作電視電話會議”召開，標志著信息安全等級保護工作在全國范圍內的開展與實施。2011年3月《我國國民經濟和社會發展十二五規劃綱要》明確提出加強網絡與信息安全保障工作。通過一系列的文件要求，不斷完善與提升我國的信息安全體系，強調信息安全的重要性。

我國信息安全保障體系建設主要包括：① 加快信息安全立法、建立信息安全法制體系，做到有法可依，有法必依。② 建立國家信息安全組織管理體系，加強國家職能，建立職能高效、職責分工明確的行政管理和業務組織體系，建立信息安全標準和評價體系。③ 建立國家信息安全技術保障體系，使用科學技術，實施安全的防護保障。④ 在技術保障體系下，建設國家信息安全保障基礎設施。⑤ 建立國家信息安全經費保障體系，加大信息安全投入。⑥ 高度重視人才培養，建立信息安全人才培養機制。

我國通過近幾年的努力，信息安體保障體系取得了長足發展，2002年成立了全國信息安全標準化技術委員會，不斷完善信息安全標準。同時在互聯網管理、信息安全測評認證、信息安全等級保護工作等方面取得了實質性進展，但CPU芯片、操作系統與數據庫、網關軟件仍大多依賴進口，受制于人。

4 企業信息安全保障體系建設

中國石油集團公司信息化建設在我國大型企業中處于領先地位，在國資委歷年信息化評比中，都名列前茅，“十一五”期間，公司將企業信息安全保障體系建設納入信息化整體規劃中，并逐步實施。其中涉及管理類項目3個，控制類項目3個，技術類項目5個。

管理類項目包括信息安全組織完善、信息安全運行能力建設、風險評估能力建設3個項目。信息安全組織完善是指完善信息安全的決策、管理與技術服務組織，合理配置崗位并明確職責，建立完備的管理流程，為信息安全建設與運行提供組織保障。信息安全運行能力建設內容包括建立統一、完備的信息安全運行維護流程及組織IT運行維護人員信息安全技能培訓，較快形成基本的信息安全運行能力。風險評估能力建設是指通過建立風險評估規范及實施團隊，提高信息安全風險自評估能力和風險管理能力，強化保障體系的有效性。

信息安全控制類項目涉及信息安全制度與標準完善、基礎設施安全配置規范開發、應用系統安全合規性實施3個項目。信息安全制度與標準完善包括：① 初步構建了制度和標準體系，了《信息系統安全管理辦法》及系統定級實施辦法。② 建立和完善了信息系統安全管理員制度，開展了信息安全培訓。③ 跟蹤國家信息安全等級保護政策，開展信息系統安全測評方法研究等，規范了信息系統安全管理流程，提升安全運行能力。基礎設施安全配置規范開發目標是制定滿足安全域和等級保護要求的信息技術基礎設施安全配置規范，提高信息技術基礎設施的安全防護能力。應用系統安全合規性實施是提供專業的信息安全指導與服務，支持國家等級保護、中國石油內部控制等制度的實施，使信息化建設與應用滿足合規性要求。

信息安全技術類項目由身份管理與認證、網絡安全域實施、桌面安全管理、系統災難恢復、信息安全運行中心5個項目組成。身份管理與認證是指建成集中身份管理與統一認證平臺，實現關鍵和重要系統的用戶身份認證，提高用戶身份管理效率，保證系統訪問的安全性。網絡安全域包括廣域網邊界防護、廣域網域間與數據中心防護、廣域網域內防護3項內容。廣域網邊界防護是指將全國各地的中國石油單位的互聯網集中統一到16個區域網絡中心，員工受控訪問互聯網資源，并最終實現實名制上網。廣域網域間與數據中心防護項目指建立。區域間訪問與防護標準、數據中心防護標準。廣域網域內防護將分離其他網絡并制定訪問策略，完善域內安全監控手段和技術，規范域內防護標準。桌面安全管理項目包括防病毒、補丁分發、端點準入、后臺管理、電子文檔保護和信息安全等級保護綜合管理6個子系統。系統災難恢復包括：① 對數據中心機房進行了風險評估，提出了風險防范和改進措施。② 對已上線的18個信息系統進行業務影響分析，確定了災難恢復關鍵指標。③ 制定整體的災備策略和災難恢復系統方案。信息安全運行中心旨在形成安全監控信息匯總樞紐和信息安全事件協調處理中心，提高對信息安全事件的預警和響應能力。

5 存在問題及建議

中國石油作為國資委超大型企業和能源工業龍頭企業，集團領導和各級領導，一貫重視信息安全工作，在落實等級保護制度，加強信息安全基礎設施建設，深入開展信息安全戰略、策略研究等方面，都取得的豐碩成果，值得其他企業借鑒。公司在信息安全保障體系建設中還存在以下問題：

（1） 信息安全組織體系不夠健全，不能較好地落實安全管理責任制。目前，部分二級單位沒有獨立的信息部門，更沒有負責安全體系建設、運行和管理的專職機構，安全的組織保障職能分散在各個部門，兼職安全管理員有責無權的現象普遍存在，制約了中國石油信息安全保障體系建設的發展。需強制建立從上至下完善的管理體系，明確直屬二級單位的信息部門建設，崗位設定、人員配備滿足對信息系統管理的需求。

篇5

目前，我國的信息安全事件和事故的頻繁發生，這和老百姓最為直接的就是個人網絡賬號被盜。據賽門鐵克諾頓公司9月11日的諾頓安全報告顯示，從2011年7月至2012年7月，網絡犯罪致使全球個人用戶蒙受的直接損失高達1100億美元。同期，中國估計有超過2.57億人成為網絡犯罪受害者，直接經濟損失達人民幣2890億元。

針對日趨嚴重的網絡安全問題。工信部通信保障局網絡安全處副處長付景廣對記者說，工信部建立了通訊行業和網絡安全防護、應急演練等等，以保障網絡運行的穩定和安全。“針對網絡釣魚、垃圾信息等危險用戶的切實利益問題，我們與中國互聯網協會、中國網絡互聯網信息中心等建立了相關的機制，以凈化網絡環境。”

信息安全風險管理需常態化

國家信息化專家咨詢委員會委員、國家信息化中國專家委員會副主任寧家駿認為，當前，信息安全形勢變化總體來說是國家信息安全形勢的一種表現。2010年前后可以看到美國進一步調整它的國家信息安全戰略，俄羅斯、紐約也在調整，日本更明確把國家的安全防范對象轉向我們國家。“9·11恐怖事件”發生后，美國的多部門獨立管理，多種模式逐漸感到沒有辦法適應信息時代國家安全戰略調整需求。所以，它先后整合了一些部門通管他們信息安全技術，另外也任命了公安局的局長出任網絡司令部的司令整合軍內的信息戰略領域。

在當前我們必須看到我們國家的網絡信息安全工作面臨新的復雜的形勢。進入新世紀以來，經濟、社會發展對我們信息網絡和信息化的依賴程度越來越高，現在我們可以說金融、交通、電力、水務等都離不開信息網絡。

寧家駿指出，信息網絡的發展已經成為推動社會和經濟發展的重要力量，也是各國競爭的制高點。一方面我們看到信息化的大勢不可逆轉，但是同時我們要必須看到，隨著我們中國的迅速崛起，也引起了國際社會的廣泛關注。在這種背景下，在全球網絡空間國際競爭日趨激烈的背景下，我們的信息安全問題更加錯綜復雜。所以，對信息安全保障體系的建設需求更加緊迫，面對國內和國際形勢，必須進一步提高對我們重要性系統的信息安全保障體系建設的高度重視和對風險的應對能力。

特別是在當前互聯網這種特性——規模龐大、帶寬持續增長和應用邏輯日益復雜的情況下，如果繼續在不同的安全領域中間各自為戰將不能適應信息安全新的發展要求。如何處理這種信息訪問的瓶頸？如何應對這種開放協議的安全事件？如何來解決我們應用軟件中安全漏洞難以避免的現實？寧家駿認為，這些問題要求我們必須解決在信息安全保障中全局協同的問題，同時要提高我們的效能，提高我們對事件處置能力和事前應急預警的能力。

在世界競爭日趨復雜的環境中，已經發生的一些重大信息安全事件對我國的發展產生不同的損失，對我國信息安全的重要性提出了更加緊迫的要求。特別是我們看到威脅在不斷的演變，有些部門的人覺得自己的電腦沒有什么可以保密的文件，疏忽管理。其實恰恰不然，很多的隱蔽性的網絡攻擊就是把這些看似沒有價值的電腦作為網絡攻擊的第一個跳板。特別是當前移動互聯網的發展，智能終端的廣泛應用已經成為當前在網絡攻擊中的一個最好的獲利的平臺。

所以，國外每年銀行卡信息被盜損失的金額非常巨大，特別是在當前我們這種移動終端，包括山寨手機內置的一些軟件，包括我們惡意捆綁那些流氓的軟件，使得我們的手機不僅僅是被吸取話費，而且把病毒傳播開來。寧家駿說：“未來一方面是信息化安全技術，一方面是面臨這種復雜的環境，使我們應對危機的難度在增加。所以，我們必須看到我們存在明顯的不足，清醒的認識到這種日益增加的戰略層面的巨大的威脅，包括我們很多的技術手段。同時，我們必須要解決這種各自為戰的，要克服這種誰主管、誰負責的局限性。”

“我們又必須看到風險管理的滯后和非常態化。當前，我們重視了風險評估工作，但是往往我們對風險的理解常常是限定在技術層面，而沒有考慮到相關方的核心力。”寧家駿說，“我們的風險評估常常基于靜態，沒有真正的開展常態化的、動態的持續的監管。特別是我們個人信息的保護嚴重的滯后，所以在這里既有我們用戶和企業的意識淡薄，更有我們法律的欠缺，也有我們相應的服務和管理上的約束的不足。”

手機信息安全不容忽視

黑客的入侵手法日益更新，傳統的網絡安全問題正逐漸向移動互聯網等領域延伸。付景廣介紹，手機終端與PC終端面臨的問題沒有本質的區別，都面臨木馬病毒等問題。但是，手機的繳費和扣費功能更容易受到黑客的關注。調查發現有些木馬病毒可以操控手機，定制收費業務，造成用戶的經濟損失，有的還可以遠程竊取手機的位置信息和通話記錄等，導致用戶隱私泄露。

今年以來，社會上有一些企業搜集用戶的個人信息引起人們關注。付景廣說：“我們需要增強安全意識，這與現實生活中的偷盜詐騙等相比，手機的安全問題和虛擬性、空間地域性，使網絡的安全問題變得更加隱蔽和復雜。”他認為，人們只有樹立起正確的防范意識，才會自覺地養成良好的防范舉措。但是，還有很多在信息產業中的從業人員對信息安全的防范也是一知半解。

最近，工信部發文明確要求：

第一，手機制造企業和行業協會要承擔起指導用戶安全使用手機的責任，加強風險提示等。

第二，加強應用商店安全管理，控制手機惡意程序的渠道。對捆綁惡意功能的程序必須加大力度處理；另一方面開辦應用商店的基礎企業，移動互聯網企業和手機制造企業要切實履行好各自的責任和安全的審核機制。

篇6

關鍵詞：信息安全管理 等級保護 數據采集 日志管理

中圖分類號：TP39 文獻標識碼：A 文章編號：1672-3791（2015）11（c）-0007-02

我國電子政務建設正處在高速發展期，從中央到省市各級政府部門都投入了大量的人力和財力來推進信息化工作。電子政務公共平臺的頂層設計和實施建成，較大程度地提高了政府信息政務公開和共享等的工作效率和服務質量。電子政務公共平臺穩定和安全運行已經構成了政府運轉連續性的重要保障之一。 因此，電子政務公共平臺的安全保障工作已經成為政府信息化工作成敗的關鍵因素。信息安全的管理需要在各個層面為電子政務提供機密性、完整性、可用性、鑒別等安全服務。該文基于信息安全等級保護，從安全基礎設施、訪問控制策略、安全防御、安全監控、安全審計和安全響應恢復等研究信息安全研究電子政務的安全管理體系。從而從整體上提高電子政務公共平臺信息安全管理全面性。

1 研究思路

基于電子政務公共平臺服務的戰略定位、統籌規劃和實施路徑的總體把握，按照基于等級保護技術要求，并根據電子政務信息化服務業務安全需求，為信息化綜合服務提供安全支撐服務，從而使得平臺可以安全、穩定、可連續的進行信息化服務。重點保護基礎信息網絡和重要信息系統安全，實現信息安全服務支撐工作的有效安全技術和管理措施要求，以實現信息安全等級保護實施的重大的現實和戰略意義。

2 總體設計目標

（1）電子政務公共平臺安全管理建設的總體目標是統一技術標準，共建共享信息安全基礎設施，建立統一的公共密鑰基礎設施（PKI），實現跨系統的身份認證機制等。

（2）解決傳統信息化系統建設中，電子政務公共平臺基礎設施、信息資源與業務系統因所有權、使用權和管理權界定不清晰，存在基礎設施和業務應用的管理權限難以分離管理，責任權限過大或者過小，造成設備利用率不高，或容易出現信息安全事件的情況。

（3）解決不同的政府部分因不同的職能/服務導致的電子政務基礎設施和資源的重復建設和資金浪費問題。

（4）解決信息化綜合服務的安全服務支撐，實現各級信息系統的授權管理、認證服務、鑒別服務、訪問控制和數據防護的安全服務支撐，最終實現各級信息系統互聯互通的信息化服務。

3 設計分析

3.1 設計思路

（1）電子政務公共平臺安全管理建設統一管理電子政務邊界安全防護系統，集中建設互聯網接入點，實現部門互聯網的安全接入和可管可控可剝離等。

（2）電子政務公共平臺安全管理基于安全技術體系下，根據各自信息安全等級，建設、升級、完善安全系統等。

（3）電子政務公共平臺安全管理中心系統將不同位置、不同安全系統中分散且海量的單一安全事件進行匯總、過濾、收集和關聯分析，以全局角度分析信息安全風險和信息安全事件，形成分層次分區域的安全策略，以對安全事件進行響應和處置的綜合性信息安全管理平臺。

（4）電子政務公共平臺安全管理是一個跨系統、跨部門的綜合信息系統，由虛擬資源管理系統、數據挖掘與智能瀏覽、虛擬資源隔離系統、信息資源目錄與交換系統、基于SOA的業務協同、多元數據融合與集成系統、數據庫資源整合與綜合應用、多級數據交換系統、信息服務資源運營管理平臺、信息化綜合服務管理平臺信息中心構成的完整獨立體系構成等。

（5）電子政務公共平臺信息安全管理是按照其保障工作流程，依次分為數據采集層、分析層、展示層等。

（6）電子政務公共平臺安全管理設計研究多種分類的數據接口，一方面滿足與用戶已有或后續建設的其他管理系統或平臺集成整合，另一方面，安全管理中心還提供了相關數據接口和配置接口，可對相關安全產品進行統一配置和管理等。

（7）電子政務公共平臺安全管理的數據采集層針對重要信息系統進行信息安全數據采集，包括關鍵業務系統環境相關的網絡設備、主機、安全產品等信息。

（8）電子政務公共平臺安全管理的分析層是安全運行管理的核心，負責對數據采集的信息進行分析處理，并對相關的信息安全風險和信息安全事件進行預警和響應等。

（9）電子政務公共平臺主要功能包括了安全監控、預警、告警、響應、信息安全策略管理和系統管理等。

（10）電子政務公共平臺安全管理的數據展示層提供了安全運行管理可視化界面，分為管理員界面和為客戶提供的可視化界面。管理員通過管理界面，對電子政務公共平臺整體信息安全態勢、管理和配置進行管理操作，主要包括網絡、系統運行、事件報警等展示和策略配置管理；為電子政務服務提供定制化全網的安全信息和安全狀態分析展示，包括風險預警、告警事件、故障分析、策略、報表報告等數據分析和展示功能等。

3.2 設計模型

（1）電子政務公共平臺安全管理中心系統。

①組成：數據采集層、數據和業務管理層、數據展示層等；

②通過數據接口連接外部產品管理接口，諸如，實時數據接口、文件接口、數據庫接口、其他接口等。

（2）電子政務公共平臺安全管理中心系統數據展示層。

①風險展現管理：包括，拓撲展示、運行狀態、實時性能、風險預警、告警事件、故障分析、策略、報表報告等。

②通過采集探針Probe整合，以Portal的方式進行多系統數據展示整合。

（3）電子政務公共平臺安全管理中心系統分析層。

①分析層是安全運行管理平臺的核心，由信息安全核心服務器和數據庫構成等。

②負責對前端信息安全數據采集的風險點進行分析，并對根據信息安全策略對安全目標進行預警和響應等。

③負責安全監控、預警、告警、響應、信息安全策略管理和系統管理等。

④組成：應用引擎平臺、業務邏輯子層、數據邏輯子層、資源管理（KBP）、數據管理（KPI）、南向適配（配置、性能、事件數據元素整形適配器）、采集調試管理等。

⑤業務邏輯子層通過工單交互、知識庫交互等，與企業整體的運維管理系統實現雙向接口等。

⑥數據邏輯子層通過CMDB復用等，以統一CMDB的形式與網管、運維系統整合等。

（4）電子政務公共平臺安全管理中心系統采集層。

①數據采集層針對重要信息系統進行信息安全數據采集，包括關鍵業務系統環境相關的網絡設備、主機、安全產品等信息。

②設計部署采集管理控制臺統一進行信息采集，并設計采集任務分發給相對應的采集點。

③設計可定制化的采集的策略，包括采集范圍對象、采集頻度、采集數量等。

3.3 數據模型分析

數據采集層設計采用以下網絡協議進行數據采集，列舉主要的安全管理中心應用的協議和技術實施例。

4 研究案例與成果

信息安全保障技術是為管理做技術支持，管理和技術并重。信息安全管理的策略設計與運行實施才是安全管理落地的根本，從運行和維護的信息安全角度，總結信息安全管理主要工作主要包括了：（1）建立完善的電子政務服務身份認證和訪問控制機制，規范管理電子政務服務信息安全標準規范和相關協議的合規性作業流程；（2）信息安全的管理運行分級分域進行信息安全管理，即采取分級控制和按業務類型重要程度分域的管理，并對運維人員的職責范圍明確劃分；（3）設立以政府為主導的第三方監督審計機構，對電子政務服務安全性、合規性監督測評；（4）定期開展信息安全培訓，加強人員的信息安全意識，健全內部機制，增強政府服務的安全防范意識和風險管理能力。

5 結語

該文研究信息安全管理系統滿足電子政務業務的安全事件集中收集和處理能力，構筑了基于資產安全屬性（CIA）和安全域的業務安全風險管理體系，通過關聯分析和客戶化關聯分析規則定義，實現準確的事件定位，形成了統一的安全知識共享體系，可實現多級不同管理模式的功能，具備安全管理中心的高容錯性、高可用性和高冗余可靠性。該研究成果具有良好安全管理中心的可擴展性，包括多級擴展、功能擴展，滿足級保護三級―― 監督保護級要求，并遵循《關于印發的通知》（國信辦【2006】9號）進行資產、弱點、威脅和采取的控制措施進行評估的要求。

參考文獻

[1] 周曉斌，董瑞陽.電子政務信息安全十大問題[N].計算機世界，2009-06-29.

篇7

關鍵詞： BOSS系統；風險評估；廣電

中圖分類號：F49 文獻標識碼：A 文章編號：1671－7597（2012）0210099－01

1 項目背景

隨著公司整體融資上市，陜西廣電確立了“管理架構集團化、產業發展多元化、經營運作市場化”的“三化”戰略構想，并在全國率先完成網絡整合，實現有線電視業務和數據多業務等全業務運營，公司從傳統的有線電視運營商向綜合信息服務供應商轉型。2010年，伴隨三網融合的逐步推進，陜西廣電將加大全業務運營的步伐，有線電視數字化、數據業務、高清、互動業務等蓬勃發展。為適應企業業務的轉型和業務的飛速發展，陜西廣電于08年開始建設自己的運營支撐平臺BOSS系統，這是陜西廣電業務運營上臺階、管理上品質的一次里程碑式的重要舉措，將全面優化陜西廣電的業務運營，全面提升企業運營效率，因此，BOSS系統建設的成敗、是否安全穩定的運行對于陜西廣電至關重要。

根據信息安全與信息系統“同步規劃、同步建設、同步運營”的三同步原則，陜西廣電決定同步著手構建BOSS系統的信息安全體系。從風險控制以及安全經濟效益的角度，“以安全保發展、在發展中求安全”，避免來自信息安全方面的風險，實現BOSS系統安全可管理、可運營，增強企業可持續發展的能力，最大限度實現間接的安全經濟效益的提升。

那么，BOSS系統的信息安全如何建設、如何運營管理，依據是什么？信息安全風險評估是企業信息安全建設中關鍵的第一步，它將明確告訴我們BOSS系統有哪些信息資產，信息資產存在的漏洞、所面臨的威脅以及主要的信息安全風險點在哪里，從而為企業的信息安全規劃和建設提供最直接的決策依據，使得企業的信息安全建設能夠有目標、有重點、有計劃、有步驟進行。

2 項目實施

2.1 項目實施范圍

本項目屬于企業信息化中信息安全領域，陜西廣電網絡BOSS系統風險評估項目的重點是對BOSS系統的核心區域進行信息安全風險評估，同時，鑒于地市分公司之間在信息安全方面具有較強的共性，因此以抽樣的方式，抽取了3個節點進行風險評估。

項目主要內容包括：

1）信息資產的清理和重要性賦值

2）安全技術漏洞和威脅的調研評估

3）安全管理漏洞和威脅的調研評估

4）全面分析BOSS系統存在的信息安全風險

5）提出BOSS系統信息安全管理體系改進建議

6）提出合理的安全技術解決方案建議

7）提出若干重要的信息安全管理制度和規范

2.2 項目實施內容

2.2.1 系統業務調研。業務調研的目的是使評估活動業務密切結合，安全建議能夠與企業的業務發展戰略相一致，通過調查BOSS系統上運行的所有業務和應用，了解主要業務流程，清楚的掌握支持業務運行的網絡系統基本結構和安全現狀，收集評估所需的資產屬性信息。調研范圍包括：評估的業務或應用、信息資產、人員、環境、活動、IP地址信息。

2.2.2 資產識別與估價。在BOSS系統的評估范圍內，按照網絡安全拓撲結構圖的業務系統為主線，列出所有網絡上的物理資產、軟件資產和數據資產，并為每項資產賦予價值。首先根據調查結果對資產屬性進行權值定義，然后對進行影響分析。主要從以下幾方面來考慮：違反了有關法律或（和）規章制度、影響了業務執行、造成了信譽、聲譽損失、侵犯了個人隱私、造成了人身傷害、對法律實施造成了負面影響、侵犯了商業機密、違反了社會公共準則、造成了經濟損失、破壞了業務活動、危害了公共安全。

2.2.3 威脅評估。BOSS系統威脅評估過程中，首先要對組織需要保護的每一項關鍵資產進行威脅識別。用于威脅評估的信息能夠從信息安全管理的有關人員，以及相關的商業過程中獲得。

接著要做的是對每種威脅的嚴重性和發生的可能性進行分析，最終為其賦予相對等級值。評估確定威脅發生的可能性是這一階段的重要工作。其中，威脅發生的可能性受下列因素影響：資產的吸引力、資產轉化成報酬的容易程度、威脅的技術力量、脆弱性被利用的難易程度。

2.2.4 脆弱性評估。針對BOSS系統需要保護的信息資產，找出威脅所能利用的脆弱性，并對脆弱性的嚴重程度進行評估。脆弱性評估主要從技術、管理和策略三個方面進行。其中在技術方面主要是通過遠程和本地兩種方式進行系統掃描、對網絡設備和主機等進行適當的人工抽查、對關鍵外網服務主機進行遠程滲透測試；管理脆弱性評估方面主要是按照ISO27001的安全管理要求對現有的安全管理制度及其執行情況進行檢查；策略脆弱性評估方面主要是從整體網絡安全的角度對現有的網絡安全策略進行全局性的評估。脆弱性評估所采用的方法主要為：問卷調查、顧問訪談、工具掃描、人工檢查、文檔審查、滲透測試等。

2.2.5 已有安全措施的確認。BOSS系統安全措施可以分為預防性安全措施和保護性安全措施兩種，預防性安全措施可以降低威脅利用脆弱性導致安全事件發生的可能性，如入侵檢測系統；保護性安全措施可以減少因安全事件發生對資產造成的影響。已有安全措施的確認是對已采取的安全措施的有效性進行確認，防止安全措施的重復實施。對于確認為不適當的安全措施應核實是否應被取消，或者用更合適的安全措施替代。

2.2.6 現狀與風險的分析管理。首先是對各種數據的匯總和分析，從物理、網絡、系統、應用、管理等方面全面分析，得出系統的整體安全現狀，輸出安全現狀和風險報告。根據評估結果進一步完成相關的安全建設方案，明確保護哪些資產，防止哪些威脅，如何才能保證系統達到某一安全級別；所提出的安全方案需要多少技術和費用的消耗等。

3 項目推廣情況及前景

3.1 貫徹“同步規劃、同步建設、同步運行”原則

篇8

〔關鍵詞〕圖書館；網絡信息安全管理；模型

doi：10.3969/j.issn.1008-0821.2014.02.016

〔中圖分類號〕g250.7 〔文獻標識碼〕a 〔文章編號〕1008-0821（2014）02-0076-06

借助于網絡高新技術的發展，新的信息資源形態和使用方式，給圖書館讀者帶來便利的同時也必然存在許多隱患。計算機網絡分布的廣域性、開放性和信息資源的共享性，為信息的竊取、盜用、非法的增刪、修改及種種擾亂破壞，提供了極為方便且難以控制的可乘之機，圖書館信息服務的權益及監督得不到有效的保障；同時，由于計算機網絡的脆弱性，圖書館的網絡系統本身經常處于黑客的攻擊之中，一旦圖書館網絡出現故障，輕則信息服務得不到有效保障、數據丟失，重則整個圖書館處于癱瘓境地。因此，在信息化時代，圖書館信息安全顯得尤為重要，構建圖書館網絡信息安全管理模型來保證網絡信息安全，使其高效運行是圖書館現代化建設中一項迫在眉睫的重要任務。

1 信息安全管理概述信息安全管理，是指實施和維護信息安全的原則、規劃、標準和內容的綜合，包括信息安全策略、信息風險評估、信息技術控制和信息安全意識等。這些內容在一個信息安全治理框架下相互協調、相互說明，從而為組織提供全面的信息安全規劃。它結合技術、程序和人員，以培養信息安全文化為目的，最終實現信息資產風險的最小化。為對信息安全內容有一個全面深入的了解，本文從信息安全原則、信息安全規劃、信息安全標準和信息安全內容4個方面進行詳細的論述，從而為圖書館網絡信息安全管理模型的構建提供理論上的指導。

1.1 isa信息安全原則為保護組織的信息資產免遭威脅，tudor提出了一個全面靈活的信息安全架構方法（information security architecture，簡稱isa），這種方法提出5個關鍵性的信息安全原則（見表1）[1]。這些原則，可以了解組織工作的風險環境并對其實行評估和控制，從而減少這種風險；強調遵守國家信息安全法規的重要性，確保組織的機密信息受到國家的保護；涵蓋信息安全技術與過程，滿足組織信息安全的需要。表1 isa信息安全原則

原 則含義或目標1安全組織和基礎設施確定角色、職責和執行贊助。2安全政策、標準和程序制定政策、標準和程序。3安全規劃風險管理納入安全規劃。4安全文化意識和培訓通過用戶培訓提高安全意識。建立用戶、管理和第三方之間的信任。5監控規范監控內外部的信息安全。

1.2 cmm信息安全規劃為給組織提供一整套信息資產免受未經授權的訪問、修改或銷毀的信息安全整體規劃，mccarthy和 campbell構建了能力成熟度模型（capability maturity model，簡稱cmm）[2]。該模型包括7個信息安全規劃內容（見表2），目標是從戰略層面開始并用戰略水平去指導技術等方面的工作，在評估當前信息安全風險的基礎上構建合適的解決方案以減輕風險，并在實踐過程中對各解決方案集成應用與監控。表2 cmm信息安全規劃

規 劃含義或目標1安全領導安全贊助、安全策略以及投資回報。2安全規劃安全規劃程序、資源和技能。3安全政策安全政策、標準和程序。4安全管理安全操作、監控和隱私。5用戶管理用戶安全管理和意識。6信息資產安全應用程序的安全、數據庫/元數據的安全、主機安全、內外部網絡安全、殺毒及系統開發。7技術保護與持續性物理和環境控制與持續規劃控制。

3 protect信息安全標準在eloff.j.h和eloff.m所主持研究的“protect”項目，是政策、風險、目標、技術、執行、合規性和團隊的英文首字母的縮寫，對信息安全管理及標準進行了綜合的介紹[3]。“protect”項目涉及各種集成控制的方法，在確保組織的有效性和效率的基礎上盡量減少風險，目的是全方面解決信息安全的問題。為實現項目目標，該項目提出了7個信息安全標準（見表3），確保信息安全規劃從技術術和人文角度得到有效的實施和管理。

1.4 iso/iec 17799和iso/iec 27001信息安全內容國家標準組織（iso）指出信息安全技術是實現信息安全管理的關鍵點，通過技術對信息系統進行安全性控制，是信息安全管理的重要內容。

了更好地實現信息安全控制，iso提出了11個具體的信息安全控制內容（見表4），這些內容已成為國際上通用的信息安全內容的重要標準，即通常所說的iso/iec17799[4]。而iso/iec 27001是iso/iec 17799的第二部分，提出了包括操作、監控、審查、維護和提高等一系列持續改進信息安全管理系統的方法與過程[5]。表4 2 圖書館網絡信息安全內容的選取與管理模型的構建 前文所述的信息安全管理的原則、規劃、標準及內容是基于整個信息社會行業而言的，具有一定概括性且4個方面之間存在著重復性，為了構建出更具針對性的圖書館網絡信息安全管理模型，筆者根據圖書館的特性對信息安全管理的原則、規劃、標準和內容進行選取與整合，構建出符合圖書館應用要求的信息安全管理模型。

2.1 圖書館網絡信息安全內容的選取圖書館網絡信息是對外開放并以支持教學和科研為目的。在這種情況下，網絡信息安全是指讀者未經授權無權使用、移動、修改和破壞圖書館信息。在對圖書館信息采取安全保護措施時必須確保其具有以下屬性：①保密性：確保圖書館隱私信息的安全。此類信息必須嚴格控制讀者訪問量，只能授權一定級別的讀者訪問；同時，有權限訪問圖書館隱私信息的讀者也不能向公眾透露相關的隱私信息。②完整性：確保圖書館信息是準確、完整并具有持久性。因此，圖書館信息安全管理要確保圖書館信息內容不是殘缺不全的、失蹤的、腐朽的、任意放置的，外借、故意或意外變化不會邊緣化，在盜竊或破壞中具有安全性。③可用性：讀者在授權時間內能無限制地訪問并獲取圖書館信息。圖書館必須有一個安全穩定的信息管理（網絡）系統來支撐圖書館的運行，確保圖書館信息能及時傳遞而不會被延誤。在維護圖書館信息安全的同時確保圖書館信息的保密性、完整性及可用性不缺失，這就要求在構建圖書館網絡信息安全管理模型時對信息安全內容的確定帶有一定的甄別性，不能將信息行業安全管理的所有原則、規劃、標準及內容全部應用于圖書館安全管理。根據圖書館信息的特性，本文從管理、運行與操作、人員、建筑與技術及安全文化5個維度對圖書館信息安全的內容進行了選取，這5個維度的具體內容在圖書館網絡信息安全管理模型中將會詳細論述。

2.2 圖書館網絡信息安全管理模型的構建圖書館網絡信息安全管理目標是為圖書館網絡信息安全保護提供整體性方案，結合管理、運作流程、人文、建筑與文化氛圍來保證圖書館信息安全管理達到一個合理水平，從而保證圖書館信息風險最小化。為實現這一目標，abashe atiku maidabino和zainab在滿足圖書館信息的特性上，將da veiga和eloff構建的“房屋模型”[6]加以簡化與融合，構建出圖書館網絡信息安全管理模型[7]，見圖1。該模型將所有信息安全因素集合，確保圖書館信息能夠得到充分保護，同時為圖書館提供一個全面的方法和工具來實施和評估信息安全管理。模型內容主要集中于5個維度：（1）管理維度：正確的領導，政策與程序到位；（2）流程和操作維度：包括實施過程、政策；（3）人員維度：讀者/館員信息安全意識和圖書館信息安全項目培訓；（4）建筑和技術維度：支持館藏信息安全項目；（5）安全文化維度：將圖書館館藏信息安全理念有意識地植入館員日常工作中[8]。圖1 圖書館網絡信息安全管理模型

管理維度是指一組角色的規定，信息安全政策制定與管理由負責制定目標和政策的安全管理團隊成員行使，從而確保目標和政策的實現，信息風險的評估與管理。圖書館的安全管理團隊由圖書館各部門高級管理人員和安全部門的人員組成。這些成員應具備必要的信息應用和安全管理方面的經驗和知識，這些成員被授權管理時能夠遵守信息安全政策。信息安全管理責任是模型中管理維度的重要部分，這就要求圖書館應規劃與制定精確的信息安全管理策略，明確風險管理的目標和方向。信息安全風險評估在圖書館各級安全規劃風險設置中處于優先級別。館藏信息定期風險評估規則的編制涉及圖書館資產類型、收藏價值、識別可能出現風險的威脅、漏洞和成本分析等詳細的情況。信息安全漏洞可以通過會議、問卷、觀察和報告來確定。通過信息安全漏洞的監測和風險評估過程的完善可以降低圖書館信息安全的風險，并能緩解圖書館的一些過度的承諾。管理維度強調要為圖書館信息管理、記錄、維護、審查、更新風險管理政策和程序編寫報告，通過快訊、交互式網頁及其他內部刊物在館員與讀者之間

廣泛宣傳館藏信息安全管理的必要性，將信息安全意識植入館員與讀者腦袋。這一維度有利于為圖書館提供良好的館藏安全管理信息。流程與操作維度是指信息安全管理團隊為圖書館各相關部門制定信息安全管理運行方案的過程。分別是：（a）采訪部：參與接收，標記并建立可用于識別丟失、錯放地方和費用的庫存清單，以便于圖書館備份和恢復；（b）流通部：創建手工或計算機系統對圖書館紙質信息進行丟失、被盜、錯位、濫用、損壞等方面進行盤點，通過訪問控制和信息的記錄與跟蹤，確保圖書館信息安全系統的修理與維護；（c）編目、技術部：通過圖書館opac系統對館藏信息集合進行處理，應用圖書館識別標記建立和驗證館藏信息所有權，標識未經處理的信息并進行訪問控制；（d）特藏部：對有價值的館藏信息載體進行保護與保存，授權訪問與監控。人員維度是指讀者和執行安全管理政策與程序的館員的安全意識。它規定圖書館需要闡明信息安全管理人員的角色和責任，對館員進行有效的安全意識培訓，幫助他們獲得處理安全事件、準備可靠實用安全報告的知識。建筑與技術維度涉及信息安全管理所需要的建筑與技術氛圍。建筑氛圍是指信息安全管理措施應與圖書館建筑的物理結構和藏書空間融為一體：控制圖書館出入口；需要id卡身份識別進入圖書館特別是特別館藏區域；制定保安巡邏圖書館的時間表。技術氛圍包括技術實踐和嵌入到館藏安全應用規劃中的各種程序。它強調使用電子安全系統等技術設備來處理館藏應用過程，控制安全漏洞，并在圖書館出入口點安裝安全系統。這就意味著圖書館需要安裝電子反盜竊設備、可視化相機、煙感探測及出入口、閱覽區報警系統等安全設備。這將有助于防止圖書館藏書的丟失和對閱讀區、參考咨詢區及書庫進行可行性監控和讀者流量的檢測。安全文化維度作為圖書館網絡信息安全管理模型構成基礎的安全文化，包括讀者和館員對圖書館信息重要性的態度、信息保護存在的安全漏洞、信息相關事件的意識、阻礙或限制信息安全管理系統有效性的意識。意識是一個看不見但可以通過行為來證明的元素，如（a）圖書館館員的館藏信息安全政策和管理過程的認識水平；（b）館員對安全政策和程序重要性的態度；（c）安全漏洞和安全驗收責任的意識[9]。圖書館網絡信息安全管理模型中的安全文化是一種安全責任相互共享的文化，安全人員能夠相互提供信息和工具來應對各種安全情況。這種態度與意識能夠確保圖書館信息安全治理、管理和運行的有效性。圖書館網絡信息安全管理系統在權重一致的5個維度的相互作用下，在館藏信息得到安全管理的同時還能確保其在保密性、完整性和可用性上維持在一個合理的水平。

3 圖書館網絡信息安全管理模型應用方案目前，在圖書館的計算機網絡上有館藏書目信息、讀者信息、各種電子文獻數據庫、光盤數據庫檢索系統、圖書管理系統、特藏數據庫等內容[10]。這些電子資源信息如果受到破壞，那么損失將會非常慘重，很可能會造成整個圖書館系統癱瘓。就目前的狀況來看，圖書館所面臨的網絡信息安全問題主要有黑客攻擊、計算機病毒、網絡物理設備安全隱患、網絡設備配置安全與人員造成的安全隱患等方面。為了預防與應對上述隱患對圖書館可能會帶來的網絡信息安全故障，圖書館應按照網絡信息管理模型5維度的要求，建立起科學、規范、有效的網絡信息安全管理流程（見圖2），將網絡信息安全隱患處理于萌芽之中。圖2 圖書館網絡信息安全管理流程

應用圖書館網絡信息安全模型處理網絡信息安全故障，其管理流程可分為3個階段：故障初排階段、故障處理階段與評估階段。在故障初排階段，圖書館工作人員或讀者在應用圖書館的過程中，如果發現信息安全故障，應及時進行隱患初排并上報技術部，由技術部工作人員對該事件進行了解，并請求技術部主管上報給以館領導為主的信息安全管理團隊；在故障處理階段，技術部工作人員根據事件了解進行安全故障檢查并調查影響范圍，從而形成第一次進程報告，并將其上報給館領導，由館領導進行資源調度后，技術部應急搶修；技術部附上應急搶修進程報告上報給館領導形成第二次進程報告，然后結案、審核并歸檔；在評估階段，各部門對此次信息安全故障事件進行評估總結。圖書館網絡信息安全管理模型是以人為核心的信息安全保障體系，它強調的不是技術問題，而是管理的問題。圖書館網絡信息安全在以館領導為核心的安全管理團隊的

領導下，在工作人員、讀者的共同配合下，依靠科學的管理流程，定能將圖書館網絡信息安全管理達到一個全新的層次。 　4 結束語構建一個適應計算機網絡普遍應用的圖書館網絡信息安全管理模型，不僅是適應新形勢的需要，也是圖書館信息數字化建設的重要組成部分。隨著圖書館社交網絡應用的普及，圖書館信息將面臨更大的開放性和更多的安全方面的挑戰。圖書館網絡信息安全管理模型是一個包括技術、管理、人員和安全文化等多個環節整體性很強的體系，不能孤立或靜止地看待和解決問題，網絡信息安全性的提高依賴于不斷的技術進步和應用，依賴于管理的逐步完善和人員素質的全面提升。相關人員應根據網絡信息的特點和需求，進行有針對性的系統設計，不斷地改進和完善網絡技術的安全工作，更好地推動圖書館網絡事業健康發展。

參考文獻

[1]j.k.tudor.information security architecture—an integrated approach to security in an organization[m].boca raton，fl：auerbach.

[2]mccarthy m.p，campbell s.security transformation[m].mcgraw-hill：new york.

[3]eloff j.h，eloff m.integrated information security architecture[j].computer fraud and security，2005，（11）：10-16.

[4]iso/iec 17799（bs 7799-1）.information technology，security techniques[s].code of practice for information security management，britain.

[5]iso/iec 27001（bs 7799-2）.information technology，security techniques[s].code of practice for information security management，britain.

[6]a.da veiga，j.h.eloff.an information security governance framework[j].information systems managenment，2007，（4）：361-372.

[7]abashe maidabino，a.n.zainab.a holistic approach to collection security implementation in university libraries[j].library collection，acquisitions & technical services，2012，（36）：107-120.

[8]sipone m.t.five dimensions of information security awareness[j].computer and society，2000，（6）：24-29.

[9]holt g.e.theft by library staff[j].the bottom line：managing library finances，2007，（2）：85-92.

篇9

信息安全檢查的作用

為了收集信息系統的運行數據、了解信息安全管理體系的運行情況，及時發現信息系統存在的安全問題和修補安全漏洞，各大銀行普遍采用安全檢查的方法，提升信息系統的安全保障能力：一是檢查信息安全保障體系的建設情況、信息系統安全管理制度的落實情況，提高信息系統安全管理水平；二是檢查科技人員的安全技術水平以及安全培訓教育情況，強化他們的信息安全意識；三是檢查信息系統運行情況、日常操作中的安全控制措施，促進完善安全內控機制，及時處置操作安全風險；四是檢查信息系統數據存儲、傳輸、使用等數據管理情況，防范數據泄露風險；五是檢查應急預案制定情況以及應急演練結果，提高對突發事件的應對能力。信息安全檢查工作的內容信息安全檢查工作是為了查找信息安全問題和薄弱環節，采取一定的檢查或檢測方法，發現安全現狀與安全要求之間的差距，以便有針對性地采取防范對策、改進防范措施，進一步提升安全防范能力，預防和減少重大信息安全事件的發生，切實保障信息系統的安全穩定運行。在進行安全檢查前，首先要確定安全要求、明確信息安全檢查工作中要檢查的項目。郵儲銀行以信息安全保障評估框架為指導，以等級保護系列標準為基礎，結合銀監會、中國人民銀行等監管機構對信息安全管理的相關監管要求，提取內部管理制度中對安全的相關要求，制定了具有特色的安全檢查要求，形成了《郵政金融計算機系統安全檢查手冊》。該《手冊》從主機安全、網絡及邊界安全、應用安全、數據安全、基礎設施安全、網點終端安全、運行安全、安全管理8個方面歸納整理出400多個安全檢查項。該《手冊》明確了信息安全檢查工作的檢查內容、檢查要點和檢查方法。

信息安全檢查的實踐

郵儲銀行開展的2014~2015年度信息安全檢查工作，包括了制定檢查工作計劃、信息安全檢查、問題整改和檢查總結等階段。制定檢查工作計劃。在選取安全檢查項目時，緊緊圍繞年度安全管理目標，結合年度信息安全工作的重點領域以及運行維護工作中容易忽視的安全問題。2015年的安全檢查在兼顧檢查全面性的同時，確定以網絡邊界安全、主機安全、數據安全3方面為檢點，從《手冊》中選取100個檢查項，同時規劃了現場檢查工作的方法、工作過程等內容，從而形成年度安全檢查方案。隨后，根據各安全檢查項目在保障信息安全中的作用以及現有條件下實現的難度等實際情況，將安全檢查項分成基本要求項和增強要求項并對其賦予不同的分值，建立起安全檢查的量化評價標準。檢查完成后，可以通過評價標準直接給出的分數，直觀地評價、比較各分行信息安全工作的情況。在組建安全檢查隊伍時，每個檢查小組由總行、分行的信息安全人員組成。各分行分組交叉檢查的方式，便于各分行通過檢查相互學習、取長補短，提高信息安全的保障能力和水平。

實施信息安全檢查

信息安全檢查圍繞安全檢查項目，采用登錄系統檢查、在線工具檢查、查閱制度文檔、訪談關鍵人員、巡查網點等方法，收集安全運行數據，評價安全管理水平。登錄信息系統設備檢查安全配置基本情況，重點關注系統日志、操作日志、配置文件等信息；使用安全漏洞掃描工具檢測設備存在的風險點；通過檢查設備的使用狀況，評價基層單位對信息資源的控制能力是否滿足安全保護的要求。查看各監控系統的監控記錄，確認各項報警得到及時處理。查閱規章制度，了解安全規定是否覆蓋安全工作的所有領域；瀏覽審批記錄、登記表等詳細信息，了解日常工作中安全規定的執行情況。通過訪談相關崗位人員、現場觀察各崗位人員的實際配合情況，了解日常工作流程中是否存在安全漏洞；通過實地檢查網點，最直觀地從工作環境考察安全管理細節，查看基層各項安全制度的落實情況。在檢查過程中發現的問題，現場檢查組以事實確認單的形式進行記錄，并在現場檢查總結會上與被檢查機構的人員進行溝通和確認，作為后期整改工作的基礎依據。

問題整改

在完成了現場檢查工作之后，各檢查小組匯總事實確認單，梳理出需要各分行著手整改的問題，針對每個分行簽發安全檢查整改通知書，要求各分行對癥下藥完成整改工作，以完善信息系統的安全防護措施。對網絡邊界問題的整改，完善了網絡各區域特別是第三方接入區防火墻、路由器、交換機的安全配置，對經過網絡邊界的重要信息實施相應保護，提升了抵御外部網絡攻擊的能力。對主機安全問題的整改，調整了各類軟件的安全配置參數，使之遵循最新版本安全配置基線的要求，提升了主機的安全防護能力。對數據安全問題的整改，增強了數據訪問的身份認證和訪問控制機制，防止非授權使用，保證數據免遭泄露和篡改。同時加強了對備份數據管理，有效保護了數據的高可用性。對檢查中發現的其他問題進行整改，促進了在運行維護過程中主動采取更加有效的安全措施，升級管理手段，使安全管理更加全面覆蓋到安全保障架構的各個方面。

檢查總結

經過一段時間的信息安全檢查整改工作，各分行報告了每個問題的整改完成情況。總行依據整改報告評價各項整改措施的有效性，評估信息安全狀況和防護水平，促進總行對信息安全管理工作進行持續監管。

持續改進的信息安全檢查工作

篇10

英特爾前執行副總裁兼首席行政官安迪?布萊恩特（Andy Bryant）曾這樣評價：“IT部門碌碌無為，英特爾也會無所作為；IT部門表現出色，英特爾就有了成功的良好基礎。”日前，《2010-2011年英特爾IT部門業績報告》（下文簡稱《報告》），分享英特爾IT部門創造業務價值的經驗，這是英特爾第十期IT年度業績報告。

一年價值數據說話

英特爾全球副總裁兼CIO黛安?布萊恩特（Diane Bryant）指出，英特爾IT部門通過主動投資，提高員工工作效率來促進業務發展和增加收入，并且提高業務運行效率，降低成本，這借助了很多革新的信息技術和IT實踐。

《報告》顯示，2010年，英特爾IT部門使制造周期縮短了65%，訂單交付時間縮短了65%，工程設計的等待時間縮短了61%……一系列數據顯示出IT在英特爾業務中的重要地位。英特爾中國區CIO李克定（Liam Keating）在談及《報告》時說，在創造業務價值方面，IT部門始終關注在業務解決方案上。

英特爾的核心競爭力之一是世界級的制造管理，IT作為堅實后盾，從2010年初開始，英特爾IT部門開始進一步整合工廠自動化系統和IT系統。通過系統整合，英特爾的晶圓制造工廠從改進中受益，以前需要6～9個月才能實施的關鍵組件，現在在3個月內就能完成部署。而在創建高效供應鏈方面，工廠的庫存減少了32%，對客戶的響應速度提高了3倍，這些成績的取得與支持全新設計業務流程并提供高效信息系統的IT部門密不可分。不僅如此，在資產設備優化、加速產品開發、降低產品退貨成本、贏得新客戶等方面，英特爾通過ERP、在線中心等手段，也始終在優化中大幅提高效率。

在預算固定的情況下，英特爾利用ITIL框架來改變IT服務和支持方式，優勢在2010年就可已經開始逐步顯現。作為在英特熱推廣精益六西格瑪計劃的業務流程設計大本營，該項目的325個項目已經完成或正在實施中，目前正側重于優化項目生命周期工作流程、數據存儲和資產管理等方面。

如何制定最佳實踐

企業IT部門經常要收到來自各業務部門的需求，但要在不超出預算，人力有限的條件下一一滿足已非易事。更具挑戰性的是，如何抽身出來，立足長遠制定好戰略目標，把挑戰、環境和趨勢都融入到IT發展藍圖和決策當中?

英特爾的做法中最重要的環節是交互：IT部門每年都會與業務團隊召開高層會議，就優先級和同步提交撥款申請達成一致；并且還會與產品部門進行戰略性討論，在專業技術和行業趨勢方面進行知識共享，參與到英特爾產品、解決方案和整體戰略當中；在與產品規劃、設計和市場推廣部門召開的聯合會議中，雙方討論的是IT技術驗證、概念驗證，以及與英特爾產品發展藍圖有關的架構評估。

“我們會進行調查和采訪，評估服務情況，確定在哪些方面需要改進。”李克定介紹說，IT團隊會邀請高級業務團隊代表，評估IT部門的表現，并在2010年通過“用戶心生”調查收集了來自不同地區近2000名員工的反饋。這樣的調查范圍還將繼續擴大，對著重關注的目標領域進行調研。

要獲得業務團隊的信賴，還必須要明確量化并傳達IT項目的業務價值。英特爾為此實施了全新的財務運營管理流程，以參考框架的方式列出了重要IT項目的優先級列表、業務價值、項目成本、風險以及成功標準，支持把更多資源從低價值項目轉移到高價值項目當中。

未來聚焦三大方向

與行業同仁一樣，英特爾在面對日新月異的技術變革時也必須迅捷響應。李克定介紹說，英特爾的IT著力點將是IT消費品化和全球協作，云計算及虛擬化應用，保護企業信息。

在業務周期縮短的環境中，分散于全球各地的英特爾員工必須要解決相互協作和無縫連接的問題。而此時，個人的生活環境和工作環境正在融合，他們期待能自由選擇適合其工作方式的設備，比如使用智能手機和平板電腦來訪問內部網絡和數據，包括引入社交網絡，但這會帶來大量安全性和隱私問題。英特爾IT部門制定策略，與人力、法務、安全等部門協作，開始提供彈，截至2010年末，全球約有8600位英特爾員工用智能手機訪問企業信息。據了解，英特爾還計劃對客戶端虛擬化進行更多概念驗證測試，從而跨越不同計算設備。

而在傳統客戶端方面，英特爾每隔兩到四年就會根據用戶分類，提供更高性能的移動商用電腦。“我們正在部署采用博銳技術和固態硬盤的產品。”李克定說，采用主動客戶端管理的方式在降低成本、提高效率方面很有成效，而性能優于硬盤的固態硬盤也已經成為新一記本的標準部件。

為了加強不同區域團隊的協作，IT部門在視頻會議方面投入巨資。2010年，英特爾具備視頻會議功能的會議室增加了兩倍以上，據估計，這為員工節省了約57000小時的差旅時間，節省差旅費2600萬美元。

始于六年前的云計算之旅在英特爾也開始漸入佳境。將英特爾全球計算網格的經驗應用于辦公和私有云開發中。作為關鍵一步，有數據顯示，2010年初，英特爾計算環境的虛擬化程度為12%。到年底已經達到了42%，預計將在未來幾年內，實現75%的環境虛擬化。在陳舊、低效服務器上運行的任務被整合至更少數量的新型服務器上，實現了高達20∶1的虛擬化整合比，功耗降低了90%，英特爾因此獲得了來自歐美多個組織機構的能源補貼。《報告》顯示，英特爾在近幾年中，數據中心的數量減少了1/3，性能則提高了2.5倍，預計2014年前將創造6.5億美元的業務價值。