时间:2022-11-16 06:57:44
序论:速发表网结合其深厚的文秘经验,特别为您筛选了11篇信息安全整改方案范文。如果您需要更多原创资料,欢迎随时与我们的客服老师联系,希望您能从中汲取灵感和知识!
消息公布后,中信证券A、H两市股价连续三天下跌。瑞银证券甚至下调中信证券评级至沽售。“市场之所以反应冷淡,主要是基于短期内收购风险的考虑;长期来看,究竟是否物有所值,还要看两者是否能产生真正的协同效应,中信证券能否利用里昂证券的平台,在海外市场放大其中国业务优势。”中银国际分析师尹劲桦告诉时代周报记者,“这对于双方高管来说,是需要时间与智慧的难题”。
这笔交易将通过其全资子公司中信证券国际有限公司(下称“中信证券国际”)完成。交易分两步,中信证券向东方汇理银行支付了3.103亿美元,收购里昂证券19.9%的股权,目前这笔股权已完成了交割。中信证券将以9.417亿美元的对价完成对里昂证券剩余80.1%的股权收购,该项交易还有待双方完成一定的审批程序后才能实现,预计在2013年6月底之前完成。
不可否认的是,虽然收购方案几经修改,最终全资收购里昂证券确也符合境内证券公司的最优国际化路径:“立足香港,布局亚太,辐射全球。”
一再变易的方案
其实,最终形成的这个收购方案与最初方案差别很大。
2010年5月,中信证券首次宣布与东方汇理银行商谈里昂证券合作,拟定的方案是:中信证券将成为里昂证券大股东东方汇理银行惟一的合作方,设立50%对50%的合资公司,合资公司总部将设在香港。后因该计划将导致中信证券投行部门重构,变动太大未能实施。其间加上全球市场的动荡,以及东方汇理银行及其股东法国农业信贷集团的CEO离职,战略合作生变。
2011年中,中信证券更改计划,宣布全资子公司中信证券国际出资3.74亿美元收购里昂和盛富证券各19.9%股权,试图通过里昂和盛富证券搭建覆盖欧亚的业务平台。
盛富证券亦为东方汇理全资持有。据悉,东方汇理银行一直想整合里昂证券和盛富证券,但碍于法国劳工法律、监管制度等重重阻碍,未能成行。东方汇理银行希望借助中信证券收购这一契机,达成此目标。不过,在长期的接触过程中,中信证券发现,与东方汇理银行相比,自己更不可能完成这一目标,因此,最终决定放弃收购业务集中在欧洲市场的盛富证券。
而且,与盛富证券相比,里昂证券总部在香港,在亚太地区具有较大影响力,其在亚洲各市场的经纪业务和研究业务都名列前茅,拥有9000多个全球性机构客户。可以说,在业务上跟中信证券有更好的互补性。所以,2012年4月,中信证券宣布不再收购盛富证券,而是100%控股里昂。这也符合中信证券一直以来的目标“全资控股一家海外投行”的目标。
目前中信只收购了19.9%的股权,如何落实此收购剩余的80.1%股权,其实尚存不确定性。里昂证券的前身是名为WinfullLaing&Cruickshank的证券公司,之后因法国里昂信贷银行控股而更名。
其股东主要分为两大部分,一是法国农业信贷银行集团的全资子公司东方汇理银行,另一部分为里昂证券的高管,主要是通过Stichting基金实现。截至2010年底,该基金持有了里昂证券35%的股权。
管理层和核心团队是全球性投行最关键的资产,如果留不住人才,只拿到一张金融牌照,收购很大程度上成了空谈。在股权全部收归中信后,通过何等制度安排来保留既有的长效激励是关键。据悉,中信证券已与里昂证券达成收购后的管理协议,并将实施员工激励计划。为了留住团队,去年不惜忍受亏损也按时发放奖金。
中信证券副董事长殷可表示,并不打算将中信国际和里昂整合为一个单一平台,中信证券既将在一段时间内保留里昂证券独立性、管理层连续和稳定,又会提供全面的业务支持和客户共享。
收购对价偏高
数据显示,里昂证券于2010年度、2011年度分别实现收入7.61亿美元、7.39亿美元;归属于公司股东的净利润分别为6100万美元、-1000万美元。即使以2010年盈利计算收购定价,PE市盈率仍高达20.52倍,对应的市净率PB为2.23。
安信证券、瑞银证券、中银国际等券商纷纷发表研报,称作价过高。目前全球市场上,投行并购价格普遍不超过1倍PB。而且,令外界担心的是,眼下正值欧债危机持续发酵,1000万美元亏损或许并没有充分暴露里昂证券的风险。
不过,据接近交易的投行人士告诉时代周报记者,亏损1000万美元是因为只计算了其在亚太区(不包括日本)的业绩,而日本和美国的两部分业务是以其控股方“东方汇理银行”的法人身份进行操作的。如算在里昂身上,则里昂去年未必亏损。
中银国际分析师尹劲桦在其研报中表示,即便算上里昂的美国和日本业务,对应的收购PB也在2倍左右,PE在16倍左右,收购价格仍然昂贵。
尹劲桦表示,本次收购对中信证券净资本的影响将视具体交易结构,需要与证监会沟通后确定。如果为收购所付出的12.52亿美元需要全额扣减净资本,则中信证券净资本约下降15.7%。但凭借H股上市募集的充裕资本,收购不会对中信证券的资本构成明显压力。
中金公司金融分析师毛军华指出,里昂证券为亚洲首屈一指的投资银行,其经纪业务和研究业务在亚洲各主要市场均名列前茅,中信证券可借助里昂证券的平台,更好服务于国内客户走出去的需求。但中信证券拓展海外市场方面经验尚浅,此番收购之后如何平稳整合,尤其是留住里昂证券的优秀团队,对中信证券提出了挑战。
此次收购消息传出后,市场即有传言称,中信证券国际研究团队将裁员,为里昂的团队挪出位置。后虽遭中信证券否认,但据时代周报记者了解,中信研究所电力设备、煤炭、计算机等相关行业确实已经开始裁员。
锁定资本性中介业务
此前,中信证券董事长王东明、副董事长殷可,纷纷在多个场合表示,希望中信能成为与高盛比肩的国际性一流综合性证券公司。
目前中信公司境外注册子公司共15家,均为相关同类金融机构。覆盖业务范围较广,包括经纪、期货、融资、资管、Reits等。其中中信证券国际目前在香港拥有7家分行。作为国内券商的龙头老大,中信证券与高盛还有很大差距。
早在2007年,中信证券就希望通过海外收购实现国际化。当年10月,中信证券与贝尔斯登签署全面战略合作预案。根据预案,中信证券与贝尔斯登将互相换股持有对方约10亿美元的股票,同时还在香港以各占50%的比例成立合资公司。但在审批过程中,次贷危机爆发,贝尔斯登最终被美国摩根大通银行并购。中信只能搁浅。
关键词:
医院信息安全;等级保护工作;等级测评
一、引言
随着我国信息化建设的快速发展与广泛应用,信息安全的重要性愈发突出。在国家重视信息安全的大背景下,推出了信息安全等级保护制度。为统一管理规范和技术标准,公安部等四部委联合了《信息安全等级保护管理办法》(公通字[2007]43号)。随着等级保护工作的深入开展,原卫生部制定了《卫生行业信息安全等级保护工作的指导意见》(卫办发[2011]85号),进一步规范和指导了我国医疗卫生行业信息安全等级保护工作,并对三级甲等医院核心业务信息系统的安全等级作了要求,原则上不低于第三级。从《关于信息安全等级保护工作的实施意见》中可知信息安全等级保护对象是国家秘密信息、法人和其他组织以及公民的专有信息和公开信息。对信息系统及其安全产品进行等级划分,并按等级对信息安全事件响应[1]。
二、医院信息安全等级保护工作实施步骤
2.1定级与备案[2]。
根据公安部信息安全等级保护评估中心编制的《信息安全等级保护政策培训教程》,有两个定级要素决定了信息系统的安全保护等级,一个是等级保护对象受到破坏时所侵害的客体,另外一个是对客体造成侵害的程度。对于三级医院,门诊量与床位相对较多,影响范围较广,一旦信息系统遭到破坏,将会给患者造成生命财产损失,对社会秩序带来重大影响。因此,从影响范围和侵害程度来看,我们非常认同国家卫计委对三级甲等医院的核心业务信息系统安全等级的限制要求。在完成定级报告编制工作后,填写备案表,并按属地化管理要求到市级公安机关办理备案手续,在取得备案回执后才算完成定级备案工作。我院已按照要求向我市公安局网安支队,同时也是我市信息安全等级保护工作领导小组办公室,提交了定级报告与备案表。
2.2安全建设与整改[3]。
在完成定级备案后,就要结合医院实际,分析信息安全现状,进行合理规划与整改。
2.2.1等保差距分析与风险评估。
了解等级保护基本要求。《信息系统安全等级保护基本要求》分别从技术和管理两方面提出了基本要求。基本技术要求包括五个方面:物理安全、网络安全、主机安全、应用安全和数据安全,主要是由在信息系统中使用的网络安全产品(包括硬件和软件)及安全配置来实现;基本管理要求也包括五个方面:安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理,主要是根据相关政策、制度以及规范流程等方面对人员活动进行约束控制,以期达到安全管理要求[4]。技术类安全要求按保护侧重点进一步划分为三类:业务信息安全类(S类)、系统服务安全类(A类)、通用安全保护类(G类)。如受条件限制,可以逐步完成三级等级保护,A类和S类有一类满足即可,但G类必须达到三级,最严格的G3S3A3控制项共计136条[5]。医院可以结合自身建设情况,选择其中一个标准进行差距分析。管理方面要求很严格,只有完成所有的154条控制项,达到管理G3的要求,才能完成三级等级保护要求。这需要我们逐条对照,发现医院安全管理中的不足与漏洞,找出与管理要求的差距。对于有条件的三甲医院,可以先进行风险评估,通过分析信息系统的资产现状、安全脆弱性及潜在安全威胁,形成《风险评估报告》。经过与三级基本要求对照,我院还存在一定差距。比如:在物理环境安全方面,我院机房虽有灭火器,但没安装气体灭火装置。当前的安全设备产品较少,不能很好的应对网络入侵。在运维管理方面,缺乏预警机制,无法提前判断系统潜在威胁等。
2.2.2建设整改方案。
根据差距分析情况,结合医院信息系统安全实际需求和建设目标,着重于保证业务的连续性与数据隐私方面,满足于临床的实际需求,避免资金投入的浪费、起不到实际效果。整改方案制订应遵循以下原则:安全技术和安全管理相结合,技术作保障,管理是更好的落实安全措施;从安全区域边界、安全计算环境和安全通信网络进行三维防护,建立安全管理中心[6]。方案设计完成后,应组织专家或经过第三方测评机构进行评审,以保证方案的可用性。整改方案实施。实施过程中应注意技术与管理相结合,并根据实际情况适当调整安全措施,提高整体保护水平。我院整改方案是先由医院内部自查,再邀请等级测评公司进行预测评,结合医院实际最终形成的方案。网络技术人员熟悉系统现状,易于发现潜在安全威胁,所以医院要先自查,对自身安全进行全面了解。等级测评公司派专业安全人员进驻医院,经过与医院技术人员沟通,利用安全工具进行测试,可以形成初步的整改报告,对我院安全整改具有指导意义。
2.3开展等级保护测评[7]。
下一步工作就是开展等级测评。在测评机构的选择上,首先要查看其是否具有“DICP”认证,有没有在当地公安部门进行备案,还可以到中国信息安全等级保护网站进行核实。测评周期一般为1至2月,其测评流程如下。
2.3.1测评准备阶段。
医院与测评机构共同成立项目领导小组,制定工作任务与测评计划等前期准备工作。项目启动前,为防止医院信息泄露,还需要签订保密协议。项目启动后,测评机构要进行前期调研,主要是了解医院信息系统的拓扑结构、设备运行状况、信息系统应用情况及安全管理等情况,然后再选择相应的测评工具和文档。在测评准备阶段,主要是做好组织机构建设工作,配合等级测评公司人员的调查工作。
2.3.2测评方案编制阶段。
测评内容主要由测评对象与测评指标来确定。我院测评对象包含三级的医院信息系统、基础网络和二级的门户网站。测评机构要与医院沟通,制定工具测试方法与测评指导书,编制测评方案。在此阶段,主要工作由等级测评机构来完成。
2.3.3现场测评阶段。
在经过实施准备后,测评机构要对上述控制项进行逐一测评,大约需要1至2周,需要信息科人员密切配合与注意。为保障医院业务正常开展,测评工作应尽量减少对业务工作的冲击。当需要占用服务器和网络资源时应避免业务高峰期,可以选择下班时间或晚上。为避免对现有业务造成影响,测评工具应在接入前进行测试,同时要做好应急预案准备,一旦影响医院业务,应立即启动应急预案[8]。在对209条控制项进行测评后应进行结果确认,并将资料归还医院。该阶段是从真实情况中了解信息系统全面具体的主要工作,也是技术人员比较辛苦的阶段。除了要密切配合测评,还不能影响医院业务开展,除非必要,不然安全测试工作必须在夜间进行。
2.3.4报告编制阶段。
通过判定测评单项,测评机构对单项测评结果进行整理,逐项分析,最终得出整体测评报告。测评报告包含了医院信息安全存在的潜在威胁点、整改建议与最终测评结果[9]。对于公安机关来讲,医院能否通过等级测评的主要标准就是测评结果。因此,测评报告的结果至关重要。测评结果分为:不符合、部分符合、全部符合。有的测评机构根据单项测评结果进行打分,最后给出总分,以分值来判定是否通过测评。为得到理想测评结果,需要医院落实安全整改方案。
2.4安全运维。
我们必须清醒地认识到,实施安全等级保护是一项长期工作,它不仅要在信息化建设规划中考虑,还要在日常运维管理中重视,是不断循环的过程。按照等级保护制度要求,信息系统等级保护级别定为三级的三甲医院每年要自查一次,还要邀请测评机构进行测评并进行整改,监管部门每年要抽查一次。因此,医院要按照PDCA的循环工作机制,不断改进安全技术与管理上,完善安全措施,更好地保障医院信息系统持续稳定运行[10]。
三、结语
医院信息安全工作是信息化建设的一部分,是一项长期的系统工程,需要分批分期的循序改建。还要结合医院实际,考虑安全产品的实用性,不能盲目的进行投资。医院通过实施等级保护工作,可以有效增强网络与信息系统整体安全性,有力保障医院各项业务的持续开展,适应医院信息化不断发展的需求。
作者:王磊 单位:蚌埠医学院第二附属医院
参考文献
[1]公安部,国家保密局,国家密码管理局,国务院信息化办公室文件.关于信息安全等级保护工作的实施意见(公通字[2004]66号)[R],2004-9-15.
[2]GB/T22240-2008.信息安全技术信息系统安全等级保护定级指南[S],2008-06-19.
[3]GB/T25058-2010.信息安全技术信息系统安全等级保护实施指南[S],2010-09-02.
[4]GB/T22239-2008.信息安全技术信息系统安全等级保护基本要求[S],2008-06-19.
[5]魏世杰.医院信息安全等级保护三级建设思路[J].科技传播,2013,5(99):208-209.
[6]张滨.构建医院信息安全等级保护纵深防护体系[J].信息通信,2014(141):148-149.
[7]GB/T28449-2012.信息安全技术信息系统安全等级保护测评过程指南[S],2012-06-29.
本文主要依据信息系统安全等级保护基本要求,结合信息安全等级保护安全技术建设整改工作内容,提出了基于“安全建设整改”的服务器安全加固方案设计、安全加固流程和安全加固方法等。基于“安全建设整改”的服务器安全加固工作贯穿了安全技术建设整改工作的多个方面,主要内容涉及物理安全、主机安全、应用安全和数据安全及备份恢复等。下面重点对基于“安全建设整改”的服务器安全加固可行性分析、方案设计和加固内容进行详细的叙述。
服务器安全加固以实际需求为牵引
首先服务器安全加固是以《信息系统安全等级保护基本要求》为依据,以信息系统为最小加固单位,对信息系统范围内的服务器操作系统、数据库、中间件以及虚拟机集群或小机分区,以技术手段通过更改安全配置、加强审计备份、升级补丁等直接操作方式,从而达到提升服务器自身的安全防护能力的目标。
其次,通过对等保要求类、等保控制点和等保要求项的仔细分析、梳理,确定信息系统服务器加固项目中能够执行的等保要求项,并将这些加固项从技术实现角度分为可以实现的加固项,部分可加固项和安全建议项。
在此基础上,进一步结合实际安全需求,分析现有安全技术和安全策略要求,从加固实施的角度,引入了“等保要求加固子项(简称加固子项)”的概念。所谓“加固子项”是对 “等保要求项”的进一步细分,将每一个检查动作和加固动作相对应,达到每一个“加固子项”可以确定为一个独立的检查动作,并且有一个对应的加固动作,按照等保基本要求,实现每一个加固动作。
表1中列举了适合于进行直接加固的操作项,主要包括了物理安全、主机安全、应用安全和数据安全及备份恢复四个方面。
服务器安全加固方案要构建闭环系统
基于“信息安全等级保护安全建设整改”的服务器安全加固方案设计是服务器安全加固实施过程中的关键环节,是做好服务器安全加固工作的基础,其中的内容主要包括安全加固工作概述、安全加固工作的流程与方法、安全加固工作的准备、安全加固工作实施、安全加固工作总结等方面。
服务器安全加固工作概述主要将加固的目的和意义进行简要的叙述,讲明服务器安全加固需要遵循的原则,对服务器安全加固的依据进行说明,并进一步明确服务器加固的工作范围、工作组织和工作安排等方面的内容。通过工作概述的描述,对服务器安全加固的工作概况有一个全面的了解。
通过对服务器安全加固的流程与方法描述,使得安全加固主线和脉络有较为清晰。其中服务器安全加固的流程如图1所示,主要包括加固准备、加固实施和加固总结三个方面的内容。服务器安全加固的方法主要采用文档清分、人员访谈、信息采集、论证确认、现场加固和验证审核等方式进行。
加固准备工作是以《信息安全等级保护基本要求》为指导形成服务器安全加固总体方案,依据总体方案对基本要求项进行梳理、拆分和论证确认需要加固的项目形成服务器加固可行性分析报告。进一步依据可行性分析报告编制服务器安全加固实施方案,在此基础上依据基本要求编写服务器安全加固操作表单和脚本,并在测试环境中对加固表单进行测试。通过对被加固单位信息系统安全等级保护测评的结果分析与整理,梳理出服务器的安全加固项,初步确认加固范围,经过测试确认可加固项,进一步形成被加固单位服务器加固实施方案,对加固操作表单和脚本进行修改,制定被加固单位现场实施计划。
加固实施工作主要包括加固范围现场确认、加固方法和内容的现场确认、加固现场实施、加固过程中的异常处置、加固结果现场确认、加固后服务器的安全监控、加固后服务器的试运行报告,在安全监控期结束后应对加固的效果进行验证分析。
加固总结工作主要是对加固的结果进行验收和确认,建立较为成熟的加固方法和流程,并对加固工作进行总结。
服务器安全加固的流程把控
通过上述对服务器安全加固的可行性分析以及对服务器安全加固的方案设计的描述,已对服务器安全加固的流程和方式有了初步了解。基于“安全建设整改”的服务器安全加固内容应与安全加固的流程相一致,具体分为三个阶段,即安全加固准备阶段工作内容、安全加固实施阶段的工作内容和安全加固总结阶段的工作内容。下面对服务器安全加固在三个阶段的具体内容进行详细叙述。
1.安全加固准备
成立加固实施团队 在完成服务器安全加固实施工作时,实施团队应负责完成服务器操作系统、数据库和中间件等的加固任务,同时还需要信息系统开发、运维人员的配合。需要建立一支由加固实施人员、信息系统开发人员和信息系统运维人员共同组成的加固团队。
加固对象清分 依据等级保护测评工作确认的范围,确定实施加固的信息系统,并进一步提取出需要加固信息系统中的服务器信息,服务器信息主要包括操作系统类型及版本号、数据库类型及版本号、中间件类型及版本号、是否采用虚拟技术、应用软件使用服务和端口以及补丁更新情况等。
等保测评结果梳理 服务器安全加固主要是依据信息系统安全等级保护测评结果对服务器进行安全配置和补丁更新等操作,需要对等保测评结果进行较为深入的分析,并参照安全加固可行性分析结果梳理服务器加固的内容。
加固内容初步确认 由项目实施组对等级保护测评结果梳理中产生表单的内容进行逐项的测试,在测试中排除存在问题的加固项和加固内容,测试的内容主要包括服务器安全配置更改、补丁更新、加固操作后服务器重新启动、加固后补丁卸载和加固异常后系统恢复等。
2.安全加固实施
安全加固内容现场确认 服务器安全加固现场确认工作主要是指对准备阶段确定的服务器加固方法、加固内容和操作步骤,由被加固单位的服务器管理员、数据库管理员和应用系统管理员共同确认可加固的内容与可实施的操作步骤。
安全加固现场实施 服务器安全加固应依据以下操作顺序进行。首先对服务器操作系统、数据库和中间件的补丁进行更新操作,补丁更新操作完成后重启服务器,监测服务器能否正常运行,如果正常运行则进入安全配置操作,如果运行出现异常则进行补丁回退等操作或启动应急恢复流程。其次,对服务器操作系统、数据库和中间件进行安全配置更新,并重启服务器,监测服务器能否正常运行,如果运行正常则对加固结果进行确认,如果运行出现异常则进行安全配置回退操作或启动应急恢复流程。最后对不能实施加固的内容进行确认并提出安全建议。
安全加固结果分析 主要是对安全加固的内容进行的分析和总结,对每个服务器上安装的操作系统、数据库、中间件以及采用虚拟技术中已加固成功的项和未加固的成功项进行区分整理,进一步对照信息系统安全等级保护测评报告中服务器安全测评结果验证加固的效果。
安全运行监控 主要是对服务器安全加固后的工作进行监控和确认。安全监控的作用在于服务器进行加固处理后,某些隐藏的问题没有当场暴露,而是运行一定时间后才显露出来,影响业务系统的正常运行。因此加固人员需要在完成现场加固结果确认后,进行一定时间的服务器运行状态监控。
3.安全加固总结
安全加固效果验证 安全加固效果验证主要依据信息安全等级保护基本要求,对已经完成操作的加固项是否达到等级保护要求进行判定,对照被加固单位信息系统安全等级保护测评报告的结果,验证原不符合项通过加固后成为符合项或部分符合项,以验证结果为依据编写服务器安全加固效果验证报告。由于被加固单位的加固内容存在差异性,各单位服务器安全加固效果验证应存在不同,安全加固效果验证应在安全监控期结束后进行。
安全加固工作完善 对安全加固的文档、安全加固的方法和安全加固的内容进行修订与完善,形成一套完整的安全加固措施。
服务器安全加固提升信息系统防护能力
完善信息安全保障体系
经过20多年的演进,我国信息安全产业已经从萌芽期逐渐过渡到快速发展期。随着信息化的发展,信息安全的问题应该说更加突出,一方面,国民经济和社会都越来越依赖信息系统,通信、交通、能源、金融等一些重要行业都离不开网络和信息系统,网络信息系统一旦出现大的问题可能直接影响国民经济和社会的正常运转;另一方面,我们的网络信息系统也并不安全,病毒、黑客攻击、各种恶意代码对系统正常运行产生了严重的影响。由于我们国家的信息化建设还处在快速的发展阶段,因此信息安全形势不容乐观。
工业和信息化部信息安全协调司司长赵泽良在会上表示,随着信息化的发展,信息安全问题更加突出。面对日益复杂的信息安全形势,要坚持积极防御、综合防范的方针,着重做好五方面的工作:一是大力加强信息安全的统筹协调;二是抓紧完善相应的信息安全法律法规和规章制度建设;三是大力加强政府信息系统、重要信息系统的安全防护工作;四是大力加强信息安全的教育和人才培养工作;五是大力发展信息安全技术和产业。
中国电子信息产业发展研究院党委书记洪京一在大会上指出,中国信息安全产业近年来得到了快速的发展,这一方面源于从中央到各级地方政府的广泛重视,另一方面还源于我国有一批积极进取的信息安全创新企业。正是由于产业界持续的技术创新,再加上信息安全领域高水平研究机构和专家队伍不遗余力的推动,才使得一大批新技术、新产品、新方法和新概念能够在近几年的产业发展中得以不断地涌现。
洪京一认为,当前我们面临着信息产业更新换代、迅猛发展的新形势,网络技术、计算机技术日新月异。随着网络的快速发展,网络应用类别越来越多,物联网、云计算、三网融合、移动互联网、手机支付等新兴应用给我们带来了技术层面和业务层面的全新变革。随之而来的应用复杂度和风险也越来越高。我们必须通过完善的安全保障手段,让这些新兴技术更好地为我所用。
中国科学院信息安全国家重点实验室教授翟起滨表示,随着时间的推移,所有的一切都要连接到云上,所有的客户都需要让云提供服务,每台服务器都需要与云计算结合,网络时代的各种通信协议和专有设备都将被颠覆。现在各国都在建立自己的云计算发展计划,我国既要跟上这种信息革命的步伐,也要有自己的思维,不能一味地追求云。如何基于我国的实际国情,打造合适的云服务体系,是需要产业界共同关注和研究的问题。
严格推进等级保护制度
面对日益严峻的安全问题,等级保护制度的严格开展和实施已经愈发受到各界的关注。近年来,随着国家强制要求建立等级保护基础性标准,社会各界对等级保护政策及其具体实施给予高度的关注。
目前,在国内有关专家、企业的支持下,公安部和全国安全生产标准化委员会以及公安部的行业标准委员会组织制订了一系列等级保护工作的标准。这些等级保护标准的出台,为我国全面开展信息安全等级保护工作提供了重要的依据,也为等级保护工作提出了一个总体目标,有关行业部门可以在国家标准的基础之上制订出台行业标准规范,比如说电信行业、电力行业、证券行业等。本次大会上,公安部网络安全保卫局郭启全处长对等级保护的重要性和目前的开展情况进行了介绍。郭启全表示,我们信息安全等级保护工作从2006年正式推动以来,已经完成了从基础调查到行业试点再到部署定级等一系列工作。有关部门通过定级已经把我国的几万个重要系统梳理了出来,其中包括了几十个行业部门的500个大系统。这些跨省联网的大系统就是我们下一步要进行安全建设整改、等级测评以及国家重点支持的目标。
今后三年信息安全等级保护工作的重点将围绕安全管理制度建设、技术措施建设和等级测评等工作展开,有效提高信息系统安全管理水平。开展等级保护工作需要实现的目标将从以下五个方面体现:一是单位管理水平明显提高,二是信息系统的防范能力明显增强,三是信息系统安全隐患和安全事故明显减少,四是有效保障信息化健康发展,五是有效维护国家、社会秩序和公共利益。
从实际应用的角度出发,郭启全认为各单位、各部门应该按照以下工作流程去开展今后三年的工作:第一,制订行业的安全整改工作规划,对安全整改工作进行整体部署,目前已经有十几个部委大规模地开始培训和部署工作,还有一些重要行业正在研究,需要抓紧部署;第二,开展安全现状分析,从管理和技术两个方面确定安全建设整改的需求;第三,确定安全保护策略,制订系统整改方案;第四,按照方案进行安全建设整改;第五,进行安全自查和等级测评,发现问题进一步整改。
多种保护模式融合
在网络融合、业务融合以后,企业中的信息应用模式出现了变化。业务融合以后的数据流量模型与传统的模型相比有很大的变化,高度集中的数据中心改变了传统的数据流量分布模型,大规模的应用都需要通过数据中心来对外提供服务,在这种情况下,流量是从分散走向高度的集中。在业务层面,除了传统的数据中心业务以外,以语音、视频为代表的多媒体业务,以微博、社区为代表的Web2.0应用也在逐渐多样化。另外,网络的边界也在变得模糊,当存储、计算、网络等资源高度集中时,安全的边界已经不像原来想象得那么简单了。这种情况下,新的安全防护模型在做安全防护的时候,一定要考虑融合于网络,并且进行深度的虚拟化,以网络做支撑,将现有的安全部署方式、安全部署的经验合理部署到企业的实际营运过程中去。
本次大会上,H3C公司展现了其多层次融合的整体化安全解决方案,通过多种安全技术减少企业在安全建设上的资金投入,从而降低企业的运营成本,提高企业IT投入有效性。据H3C安全产品线规划设计部经理孙松儿介绍,这套解决方案的核心就是面向安全的网络设计,更关注网络安全层次化的部署,强调网络和安全的融合。
融合安全类产品正在成为网关发展的主流趋势,实现全网的安全防护会是这一类产品的重要发展方向。不过由于各大行业应用情况不一样,所以用户个性化需求也会日趋强烈。在本次大会上,蓝盾信息安全技术股份有限公司提出的模块化UTM解决方案收到了广泛关注,该方案可以解决传统方案存在的问题,包括设备过多、资源浪费、部署比较复杂、管理成本比较高、无法抵御混合式攻击等难题。通过模块化方式,网关产品可以实现功能高度集成,减少设备投资,同时部署非常简单。
随着科技时代的前进,在经济全球化和全球信息化时刻前进的今天,政治、经济、社会活动、社会管理、民众等都在不断的受到信息化的影响。这些影响深入各个领域。自然在党政建设中也开始了全面的深刻影响。信息化的来临促进各级党委、政府以及各个执法行政部门各项事物的提高,同时也在为这些党政部门不断的创造更加便利的条件。例如在党政建设中,不断的提高社会管理以及服务水平。帮助党政部门保障知情权以及监督权力等各项权力。在对党委政府自身建设上也开始全面的服务。总之,在信息化的时代下我们党政各个部门都享受着它的特殊性。现在新时期新的变化新的改进,党政建设就要在新时期下开始全面的信息化整改。具体我们就来诠释一下在科技飞速发展的时代下党政建设是如何进行信息化整改的。
一、对现有的党政信息化情况的了解
现在,要对党政建设信息化进行全面的整改,就要及时的、详细的了解党政信息化的实时情况,并且针对其中的关键处进行整改。首先要做的就是要及时的做好信息化整改的目标以及方向。那么就要找到信息化整改的目标以及方向。根据相关人员的调查以及数据分析,现在我们看到一些党政建设中的相关网站管理不规范是一个非常大的弊端,主要体现在几个方面上,一方面是很多县、区、乡党政机关的网站管理域名注册的非常混乱。有很多单位甚至使用了不按照规定的一级域名cn,二级域名gov;并且还会随意使用gov和com类域名。而那么已经停止了的域名根本不去按时的去注销,更谈不上按照规定去办理注销手续。更加恶劣的就是仍在外包IT企业服务器上运行。这是信息化管理上的一大漏洞。还有一方面就是一些党政机关对于集中网站的管理程度不高。并且其中的服务器比较分散,利用率也不是很完善。自然就会导致安全性能大幅的降低。最后风险袭来。这种状况常见于乡镇一级。隐患比较大。还有一方面就是管理比较薄弱。有些工作人员对于信息化根本不是很了解,工作懈怠,最后导致网站被攻击、网页被篡改。在党政建设过程中,网站信息内容非常重要,这一方面的工作如果不能及时的整改,那么会造成很大的损失,有些信息会出现一种局面那就是该公开的不公开,不公开的出来了。还有些内容不能及时的更新,更新速度尤为缓慢,总之这些问题成为了关键性的问题,这些问题需要相关部门及时的进行整改。可见,加强维护网络安全以及网络管理非常重要。
二、整合方案,及时整改
在党政建设信息化整改的过程中,相关部门看到了需要整改的方向以及目标,找到了需要整改的内容,就要及时的找到、规划以及总结出相关的方案,主要是要思路明确。在整改过程中相关部门要及时的进行强化权力,对于那些网络系统要定期的优化,形成一定的网络架构,在技术上要加大力度,对于政府相关部门的网站要安装检测预警并且互联网接入“五个统一”的一体化建设管理与安全保障体系。让全市党政机关的网站建设都有一个全面的维护。要做就要做到最好,所以还要针对找到的信息化问题进行及时的处理。
(一)网站域名
对于党政建设的网站上,网络域名要进行严格化、规范化。对于网站域名的注册以及登记、变更和注销上要有相关的手续。还要统一域名。例如,规范使用“gov”、“org”等英文域名和“政务”、“公益”中文域名,不得使用“com”、“net”等一级域名。各地有条件的街道(社区)、乡镇(村)可申请独立域名,也可在当地政府门户网站域名下衍生次级域名。
(二)网络接入点
对于党政信息化建设的整改过程中对于网络接入点要规范化,并且一定要严格按照国家的要求进行接入,同时对于地级市政府以及各个部门要及时的做好链接工作,实现共享资源以及整体的联动,严格控制非业务性的工作,在接入点上要实行统一安全的制度。在管理上要开展集中管理。减少不必要的危害。
1. 已完成项目总结:
1)三级等保测评:根据国家相关法律法规要求,北京和睦家医院需通过等级保护三级测评。入职时,此项目已过初测阶段进入到整改阶段,根据测评机构给出的差异分析报告进行高风险项和中风险项的整改工作,作为整个项目的执行者,之前的工作经验在整改过程中起到了一定的作用,提高了整改工作的效率并编写了等级保护要求相关文档,例如:信息安全应急预案,操作系统基线检查模板等,同时也存在一些不足,例如对于等级保护要求的一些条例理解不够深刻,对于等保测评的算分公式不够熟悉等。在最终测评时,积极配合测评机构的测评工作,回答测评机构提到的关键问题,使得终测过程较为顺利的完成,并以优异的分数通过了三级等保测评,拿到了三级等保报告,当然这也少不了其他同事的共同努力。
2)安全体系建设--评估阶段:根据领导要求,负责和睦家信息安全体系建设,作为此项目的负责人,我将此项目分为三个阶段完成,分别为:评估阶段,建设阶段,以及运营阶段。在评估阶段的主要目标是需要评估和睦家现状,以及为安全体系建设第二阶段做准备,如不做评估的话是无法进行从0-1的安全体系建设,在评估的过程中利用自己的专业知识并结合等级保护三级的要求,进行了多维度的评估。完成评估后,列出了安全体系建设架构图,但由于做评估时有些方向没有做深入的调研,导致安全体系架构图的某些模块无法实现,后期会进行一系列的调整及优化。
3)安全意识培训:企业无时无刻都面临着信息安全的威胁及风险,根据领导要求,作为该项目的负责人,已于近期针对于和睦家内部IT部门进行了安全意识培训工作,培训内容包括安全意识概念、密码安全、系统安全、邮件安全、物理安全、社会工程攻击等内容,通过安全意识培训,提升了企业内部对于信息安全的理解以及信息安全的重要性,同时也在一定程度上提升了员工识别信息安全风险的技能和意识,但美中不足的是培训内容过多,培训时间较长,所以需要对培训的素材进行优化。
4)支持其他Site网络安全工作情况:
远程支持**网安检查,配合IT Manger通过青岛市网安的例行检查,并提出与网安检查相关的检查项及关键点,最终***以较高的分数通过检查。
青岛互联网医院上线前审查,配合IT Manager通过青岛互联网医院上线前审查,提供了网络安全应急预案的培训以及相关检查项的整改方案,并在审查当天进行远程技术支持。
***三级等保测评工作,远程配合***在三级等保终测,并提供相关漏扫报告,以及技术答疑等,最终***复核等保三级测评要求,通过三级等保测评。
2. 正在进行中的项目:
a)安全运营中心部署:根据三级等保要求以及安全体系建设需求,需成立安全运营中心,和睦家购买了IBM的SIEM平台QRadar,目前该项目已完成北京区域部署,进入到优化策略阶段,目前已将AD认证类的告警策略优化完成,下一步准备优化病毒类告警以及服务器相关告警,待策略优化完成后,部署全国各Site日志采集器和流量采集器,预计本年度完成全国部署。
b)Knowbe4钓鱼邮件测试平台:由于钓鱼邮件对企业造成的安全风险较高,威胁较大,所以准备采购响应的钓鱼邮件测试平台,通过该平台的钓鱼邮件测试来提升员工对于防钓鱼的安全意识,目前该项目已将报价提交给采购进行价格评估,待采购评估价格后进行购买实施。
c) ***全国安全意识培训:为提升和睦家员工的信息安全意识,计划于本年度完成***全国员工的信息安全意识培训,目前已完成北京***部门的培训,下一步进行***的信息安全意识培训。
3. 个人能力自我评估:
通过六个月的工作,我发现了自身存在的一些优点与不足:
a)沟通能力方面:乐于与同事及领导积极沟通,并了解自己的任务和角色,乐于与同事合作以达成目标,但有的时候沟通方式存在一定的问题,导致沟通效果欠佳。在今后的工作中,也会注意自己与领导和同事之间的沟通方式及方法,做到高效沟通。
b)项目管理能力:擅长项目管理,因为之前系统的学习过项目管理的知识,所以在工作中可以利用学习到的知识去进行高效工作,但偶尔会出现不熟悉企业内部的工作流程导致对于项目的管理出现偏差,我会在未来的工作中尽快的熟悉各项工作流程,避免再次出现同样的问题。
c) 岗位知识方面:在信息安全体系建设、安全运营、安全意识培训以及安全事件分析方面较为擅长,由于网络安全涉及到的知识面非常广,在工作的过程中也意识到我所在的岗位上,有些需要用到的信息安全相关知识自己并不够专业,所以在今后的工作和生活中还需要加强学习相关岗位知识,并实际运用到工作中。
中图分类号:TP309 文献标识码:A 文章编号:1007-9416(2016)05-0000-00
伴随着网络信息技术的不断发展和计算机办公系统的日益完善,金保工程作为一项基础性的安全规划建设工程越来越受到人们的广泛关注,逐渐成为各地区信息化建设的重点工程。依托于网络平台建立一个高起点的计算机管理信息系统,可以有效实现民生服务业务管理的现代化和规范化,真正做到“以人为本、记录一生、管理一生。服务一生”。为此,下面本文将首先来分析金保工程的内涵及工程目标。
1 金保工程的内涵及金保工程的工程目标
1.1 金保工程的内涵
所谓金保工程,是指关系民生、影响社会稳定的一项系统信息工程,它是各地区电子政务整体规划中的一个重要子系统,也是政府信息化建设的重点工程之一,是对现有的社会保障信息系统的一个优化和完善。从本质上说,金保工程是一个依托于网络平台的计算机管理信息系统,它是利用先进的信息技术来提供劳动和社会保障业务服务,并为公共服务的宏观决策提供基础信息的计算机管理系统建设工程。它的目标是建立覆盖中央、省、市三级网络的全国统一的网络系统。是将劳动和社会保障工作,融于电子政务工程的一项重要举措。2008年提出了金保工程建设工作要点,规定了金保工程建设所涉及的主要内容。要求金保工程要着力建设统一的数据库来实现全国社会保障数据的集中管理。
1.2 金保工程的项目目标
近几年来,针对金保工程的具体开展,国家已经出台了许多相关的规范标准文件,这些文件结合社保业务信息系统的实际情况来编制总体的设计目标,为社保机关的安全建设和整改工作提供了可行性的参照。它的目的是通过建立一个高起点的计算机管理信息系统来完善当前的社会保障系统,制定一个统一的标准和规范,优化当前的管理模式,构建开放性的体系结构。而且能够使所建立的计算机管理系统为政府部门的决策提供宏观的信息服务。金保工程的总体目标是要设计出符合社保实际业务情况、与当前网络信息系统运行模式相符合的社会保障建设的整改方案。
2 金保工程信息网络安全保障体系的设计
2.1 安全管理体系设计
安全管理体系的设计是指在宏观上构建安全组织、安全策略。安全管理体系的设计包括安全组织体系的建设和安全策略体系的建设。安全组织是指负责整个网络信息安全的管理和实施者,负责安全岗位的设置和管理、安全策略、制度、规划的制定和实施,是开展网络安全工作的直接责任人。安全策略体系是指为了达到网络安全目标而出台的一系列的安全管理指导策略、具体的安全指导方针。它的目的是为了有效保护网络信息资源,向上可以上升为指导方针,向下可以具体划分为安全实施细则。
2.2 安全技术体系设计
安全技术体系设计了包括监控体系设计和支撑性的基础设施设备设计两个方面的内容。首先安全监控体系是指安全监控平台,它包括网络管理平台和安全管理平台。网络管理平台的主要职责是通过对网络交换机、路由器和服务器的管理,实现安全技术体系的功能。安全管理平台主要是指对指具体的安全系统的管理。例如对防火墙、终端安全、病毒防护系统、漏洞扫描系统的管理等等。安全监控平台所包含的这两个管理系统的关系是安全管理平台可以收集网络管理平台的信息实现统一化管理。支撑性的基础设施涉及的安全技术主要包括身份鉴别、访问控制、授权管理、内容过滤、数据加密、入侵分析等内容。发展比较成熟的、在金保工程中运用较多的信息系统是防病毒系统、可信终端系统、数据库审计系统、主页防篡改系统、网络行为监控系统、防火墙系统、入侵防御系统等。防控系统是通过统一化的安全管理中心来进行调配和控制的,可以提升整个系统的总体安全性。
2.3 服务支持体系规划
服务支持体系是有效提升金保工程的信息安全保障水平、实现信息安全组织安全发展的重要途径。构建金保工程信息网络安全保障体系的目的是保障为了市级、县级、国家级安全组织的网络安全,能够通过改善信息服务业务系统的安全性能来保障自己的网络信息安全,提升安全技术能力。因此,很多不同类别的服务中心需要引进第三方的专业安全厂商服务支持体系,用所引进的服务支持体系来与公司、企业或单位事业单位内的相关技术人员的专业技术实践相对接,可以保障在正常开展业务服务的同时提升现有的安全技术水平,保障网络系统的安全,实现信息系统的持续可靠运行。
3 结语
在计算机办公系统的日益完善的背景之下,借助于金保工程来完善我国当前的安全规划建设系统可以有效实现民生服务业务管理的现代化和规范化,真正实现以人为本的社会服务理念。通过上述本文的分析,笔者主要论述了金保工程的内涵和工程目标、金保工程信息网络安全保障体系的设计两大方面的内容,以期能够提升现有的安全技术水平,实现信息系统的持续可靠运行。
参考文献
我局把做好“回头看”和整改落实工作作为学习实践活动的一个重要环节来抓,切实加强领导,稳步推进,取得了良好效果。
(一)提出明确要求
3月18日全省深入学习实践科学发展观活动总结动员大会召开后,我局及时进行了传达贯彻,认真学习省委书记徐光春同志、中央学习实践活动第6巡回检查组副组长同志在总结动员大会上的重要讲话精神,并对开展学习实践活动整改落实情况“回头看”工作进行了安排部署。4月27日,省委第1巡回检查组召开座谈会,对第一批深入学习实践科学发展观活动单位整改落实情况继续进行巡回检查工作进行了安排。会后,我局参会人员及时将会议精神向局党组作了汇报。党组书记、局长宋灵恩要求各单位、各处室充分认识做好“回头看”和整改落实工作对确保学习实践活动取得实效、促进全省电信行业平稳较快发展的重要意义,以高度负责的精神,通过深入扎实的整改落实工作,把学习实践活动开展以来积累的学习成果、调研成果、解放思想讨论的成果、分析检查的成果转化为业务工作成果、制度建设成果和群众能得到的实惠。
(二)认真开展自查
各单位、各处室按照局学习实践活动领导小组关于做好“回头看”和整改落实工作的要求,对照局整改落实方案,逐项自查整改落实内容、时限、目标、措施是否得到落实。各责任单位、责任人通过多种方式,广泛征求群众对整改落实情况的意见,认真听取群众对整改落实工作的评价。各责任单位、主要责任人依据整改落实方案,逐项对照、逐条分析、深入查摆,对整改落实工作分类排队,落实挂销号制度,确保整改落实工作的深入开展。
(三)加强督促检查
局学习实践活动领导小组办公室加强对各单位、各处室“回头看”和整改落实工作的督促检查,采取听、看、查、考等方式,督促各单位、各处室切实负起责任,充分听取群众意见,认真抓好整改,务求取得实效。在各责任单位责任人自查、发动群众排查的基础上,局党组召开专题会议,听取各单位、各处室主要负责同志对本单位整改落实情况的工作汇报,了解掌握整改方案落实情况,并提出明确要求。
二、整改落实基本情况
围绕支持经济发展、服务民生,我局狠抓整改落实,加强电信管理,努力推动全省电信行业科学发展。
(一)继续推进整改任务落实
针对全省电信行业发展和电信管理工作中存在的10个方面整改问题,我局对照整改落实方案,认真整改落实,一些整改任务已经完成,一些整改任务正在稳步推进,还有一些整改任务正在按计划开展。
5个方面的整改任务基本完成:成立电信基础设施共建共享协调小组及省、市两级电信基础设施共建共享专家组,研究制定贯彻落实意见,组织签署合作协议,建立沟通协商机制,一季度,共完成98个移动通信基站、铁塔共享,105个基站、铁塔共建,总计节约建设投资2000多万元;召开全省自然村“村村通电话”会议,部署村通工程和“信息下乡”工作,制定《关于全面完成我省自然村“村村通电话”任务积极推进农村信息化建设的意见》,建设和完善农村综合信息服务平台,积极推进“信息下乡”活动;建立每月垃圾短信息治理工作情况通报制度,重点加大对非端口类垃圾短信息、网间和省间垃圾短信息以及违法类、广告类垃圾短信息等突出问题的治理力度,从3月份开始,我局共受理垃圾短信息投诉26119件,暂停发送垃圾短信息号码15078个,拦截垃圾短信息1799851条,对5家SP进行了处理;从1月份开始,开展为期半年的电信资费套餐清理专项活动,截止目前,共清理减少资费套餐750个,资费套餐数量减少13.2%;认真开展整治互联网低俗之风专项行动,依法关闭违法违规网站95个(含1个WAP网站),通知相关接入服务单位对我局核查出的2170个未备案网站进行关闭处理,注销违法网站备案20个,配合有关部门删除非法不良信息45条,向3家违规互联网接入服务单位下发了责令改正通知书。
9个方面的整改任务正扎实推进:对全省通信业经济运行主要情况进行统计分析,对各公司的季度分析报告进行整理和研究,形成全省通信业发展分析报告;将TD移动通信网络建设项目列入2009年全省重点建设项目,省政府将电信基础设施纳入城市建设规划,为TD的建设运营提供政策支持,全省17个省辖市的TD三期工程也已全面启动;成立领导小组,制定《2009年民主评议政风行风工作实施方案》,印发工作安排,从2月份起在全省电信行业组织开展民主评议政风行风工作,党组书记、局长宋灵恩做客省人民广播电台《政府在线》政风行风热线节目,就电信行业政风行风建设问计于民;加强网络信息安全管理,探索建立互联网管理的长效机制工作,全面开展互联网接入服务市场和手机(含小灵通)代收费服务清理整顿,完善落实信息安全管理制度,逐步建立防范处理网络违法不良信息的长效机制,重点开展手机媒体、特别是WAP网站的违法违规内容清理工作,切实净化网络环境;加快专用通信网络扩容,提高网络承载能力,跟踪应用新技术、新业务,全面提高技术水平,增强保障能力,为党政机关、各级领导提供便捷畅通、安全可靠的专用通信服务;努力加快应急通信指挥平台的立项、可研、设计、建设等工作,进一步健全应急通信保障体系,完善预案,开展应急通信演练,加大物资储备力度,加强队伍建设,确保重要机关通信畅通;加强干部作风建设,深入开展“讲党性修养、树良好作风、促科学发展”教育活动,组织党员干部参观唐庄镇和焦裕禄事迹展览,参加全省领导干部警示教育大会,邀请专家作专题辅导,落实每月一次机关集体学习制度,印发机关党的建设和精神文明建设工作要点,推动机关精神文明创建工作再上新台阶;加强党风廉政建设,党组书记、局长宋灵恩与各部门负责人签订《党风廉政建设目标管理责任书》,狠抓党风廉政建设责任制的落实,将党纪党规知识考试作为预备党员转正的必要程序;调整局行政执法领导小组成员,认真开展2008年度机关内部行政执法责任目标考评,针对我局行政执法存在的问题,采取措施努力改进。
2个方面的中长期整改任务正按计划进行:积极促进信息化与工业化融合,大力支持省各基础电信运营公司信息化应用项目,加快信息技术在经济社会各个领域的广泛应用,通过信息化手段改造提升传统产业;加快增值电信业务发展步伐,完善产业链,壮大实力,规范市场秩序,力争到2010年,在我省经营的增值电信业务经营单位超过1400家,业务收入突破120亿元,增值电信业务规模和数量位居中西部前列,形成10个以上在全国有影响力的增值电信业务经营单位和知名业务品牌。
(二)加大完善体制机制力度
认真清理完善现有的各类政策措施、意见办法、规章制度,废止过时政策性文件5个,新出台政策性文件25个,正在抓紧研究制订政策性文件13个。自去年12月份以来,对机关各项管理制度逐一进行讨论研究,该废止的及时废止,需要完善的及时修订完善,为加强电信管理工作和机关自身建设提供了制度保障。对2008年以来的电信管理法律法规规章和政策规定进行整理,编印了《电信管理政策法规选编》。开展规范通信行政处罚权工作,努力提高通信行政处罚水平。在制定电信管理政策性文件时,注重提高制定政策的科学性、实用性和可操作性。今年以来,出台了《河南省通信管理局2009年工作要点》、《关于开展电信资费套餐清理专项活动的通知》、《关于进一步支持河南移动TD-SCDMA网络建设工作的通知》、《关于进一步深入开展垃圾短信息专项治理活动的通知》、《河南省通信管理局2009年民主评议政风行风工作实施方案》、《2009年河南省通信管理局拟办好的支持经济发展服务民生的十件实事》、《关于全面完成我省自然村“村村通电话”任务积极推进农村信息化建设的意见》、《关于印发〈河南省电信业2009年“安全生产年”活动实施方案〉的通知》、《关于加强全省电信行业2009年重点项目建设的通知》、《2009年河南省电信业发展指导意见》、《关于加强通信业运行分析工作的通知》、《关于印发〈河南省通信管理局净化网络文化环境工作方案〉的通知》、《关于做好第二季度全省电信基础设施共建共享工作的通知》等13个政策性文件,引导电信运营企业努力打赢保持电信行业平稳较快发展这场硬仗,为服务全省经济社会发展做出新的贡献。同时,创新和完善了领导班子及领导干部考核评价机制、行业运行监测机制、总经理联席会议机制、电信基础设施共建共享机制、互联互通沟通协商机制、电信资费备案机制、应急通信保障机制、网络信息安全管理机制、电信法制工作协调机制等9项工作机制,进一步提高了电信管理工作效率。
(三)努力为群众办实事好事
我局充分发扬民主,坚持群众路线,从组织领导班子分析检查报告评议到开展群众满意度测评,广泛吸收群众参与,自觉接受群众监督。在整改落实工作中,坚持把人民群众得实惠作为开展学习实践活动的出发点和落脚点,将群众满意度作为衡量学习实践活动是否取得实效的重要标准,细化整改项目,逐项落实责任,使群众切实感受到了学习实践活动带来的新变化、新气象。把切实解决事关群众切身利益的服务热点问题作为头等大事来抓,逐项落实向群众承诺的好事实事。积极发展3G业务,加快以TD为重点的3G网络建设,使我省广大电信用户能够享受新一代的通信服务。提前1个月完成了TD二期郑州建设任务,实现了TD网络建设良好的开局。同时,全省17个省辖市的TD三期工程也已全面启动。扎实推进自然村“村村通电话”工程,进一步开发适合农村需要的电信业务和信息资源,加大支农、惠农力度,使更多的农民用得上、用得起、用得好电话。着力抓好垃圾短信息、电信资费套餐过多等群众关注的问题,切实改进电信服务质量。加强网站备案管理,制定《加强互联网网站备案管理工作方案》,不断提高网站设备备案和备案信息准确率,为省委宣传部等互联网相关内容主管部门做好支撑服务。同时,机关内部形成了干事创业、锐意进取的良好风气,党员干部精神面貌呈现出新的变化,进一步牢固树立了责任意识、服务意识、创新意识。
(四)保持电信行业平稳发展
我局将通过学习实践活动凝聚的共识、取得的成效、积累的经验转化为应对国际金融危机、保持电信行业平稳较快发展的强大动力,有力地推动了各项电信管理工作,促进了全省电信行业的科学发展。认真贯彻省委、工业和信息化部党组重大决策部署,准确把握“十一五”规划后期行业发展的基本态势、工作重点和指导方针,紧密跟踪、及时反馈实施中存在的问题,努力提高规划的指导性和可行性。积极争取省政府对3G建设的扶持政策,加快3G在我省的建设和应用,重点鼓励和扶持TD发展,扩大内需,拉动投资,促进我省经济社会发展。加强行业运行情况分析,关注金融危机对我省电信业的影响。完善统计分析指标体系,提高行业统计工作水平和宏观指导水平,促进了行业平稳较快发展。
三、存在不足及努力方向
我局学习实践活动整改落实工作虽然取得了预期效果,但与部省的要求相比还存在一些不足,主要是:对完成整改落实任务遇到的困难估计不足;不同部门之间的整改落实情况和成效还不平衡;一些矛盾和问题还有待进一步解决,等等。针对这些问题,我们将重点做好以下工作:
(一)继续抓好整改落实工作
把整改落实工作摆上重要议事日程,加强对整改落实工作的组织领导和督促检查。各单位、各处室主要负责同志作为整改落实工作的第一责任人,对有关工作亲自抓,加大整改落实力度,确保各项任务全面完成。有关单位按照任务分工,密切配合,形成上下联动、左右互动、通力合作、协调一致的工作格局。紧密结合电信管理工作实际,集中力量解决影响和制约全省电信行业科学发展的突出问题,努力办好群众普遍期待的实事好事,让群众看得见、感受到学习实践活动的成效。对于需要较长时间才能解决的问题,积极创造条件,深入调查研究,广泛征求意见,加强沟通协调,逐步加以解决。建立“挂号”整改、“销号”落实制度,列出问题清单,逐问题“挂号”整改,逐条目“销号”落实。建立信息反馈制度,牵头单位定期向党组报告解决问题的进展情况。建立公示监督制度,通过局网站、办公网,面向干部群众、面向服务对象、面向社会,公示解决问题情况,接受群众监督。
(二)继续开展学习实践活动“回头看”
【关键词】商业银行 信息安全 风险管理 体系构架
在我国加入世贸组织后,在市场经济的影响下逐步形成一个与全球经济同步的开放整体,我国很多商业银行都开始设立国外分行,同时,国外银行也在不断开拓国内市场,这就表明,我国商业银行信息系统安全隐患也将由国内范围加深到世界范围。这时候,应该从分析了解我国商业银行信息系统特性着手,准备把握我国商业银行信息系统的安全风险信息,也可借鉴国外已经成熟了的银行信息系统安全管理体制,再根据本行的信息安全系统的特点,构建并完善我国商业银行信息系统安全风险管理体制,及时防范并有效降低我国商业银行信息的安全损害,确保我国商业银行的信息安全,已经成为我国金融机构热议的话题,必须引起银行以及监督管理机构的重视。
1 我国商业银行信息安全风险管理现状
1.1 信息安全与风险管理
广义上来说,信息安全是在特定社会背景下,国家为维护自身信息安全、低于国外信息威胁利用信息安全的通讯技术、网络IT技术的一种能力。从狭义上来讲,信息安全就是信息内容不被随意泄漏和改变,信息体统不受威胁与攻击。当前,风险管理已经在国际上越来越广泛地被运用,有效的风险管理不但可以削减企业经营风险,还能够在企业决策上提供一定的支持,保障企业的可持续发展。所以,风险管理有非常巨大的存在意义。风险管理是信息安全的基本观念。目前,普遍认为信息安全是识别信息系统风险,并能够采取相应措施不断完善信息系统的一个过程。
1.2 网络风险
在管理商业银行信息系统时,一定要非常谨慎的对待风险管理过程。在评估风险时,可能会发现网络被没有被充分的保护,需要增加一些软件、硬件或者是加强安全管理意识等进行充分保护。网络安全能够平衡银行业务、客户功能和速度。要证明减少某些操作是无误的,比如关闭Active,该行为的发生必须在能够保证银行业务和用户在一个安全的环境下。企业最高决策机构必须时刻强调时刻注意企业的安全,以风险管理为原则不断识别企业网络存在的安全隐患,能准确判断网络容易受到攻击地方,并能够从根本上加强保护。风险评估是风险管理的基础,主要根据三个步骤来实现风险评估:
1.2.1 网络价值的判断
一定要从银行的有形资产和无形资产两方面考虑来评估商业银行的网络价值。比如,在系统出现故障的时候,要考虑到该故障会对企业的财政收入造成的影响;在网络出现故障时,要考虑修复网络需要花费的人力、物力成本,重建网络信息要消耗的资金;在商业银行网络中有重要信息被泄漏,要考虑到整个公司的财政将会受到多大的影响。
1.2.2 定义威胁
商业银行的网络和网络数据经常会很容易被内外部环境的威胁攻击。所以,了解每种类型的威胁是非常必要的,还要尽可能多的鉴别可能存在的威胁。目前,很多管理网络的人员都并不能清楚理解环境自身的威胁。内部威一般很常见也很容易定义、识别。外部威胁就相对较难定义,首先要做的是判断破坏机密文件的以未授权方式的患者记录或者信用卡号。可能是企业的竞争对手为了找到银行客户资料,也可能是为了改变银行的数据并破坏数据的可用性的黑客所为;准确判断网络容易受攻击的地方。安全弱点就是已经被识别的威胁,按等级分类所识别的威胁:威胁的关注度、威胁的可行性。
1.2.3 设定方案
如何执行一个安全的解决方案是网络风险管理过程中的最后一步。该方案需要从以下几方面着手:加强客户以及网络管理人员的安全防范意识;改变并创新网络结构;稳固安全硬件;关闭银行中有安全威胁的并不常用或者根本就不需要的测试、服务以及补丁程序。
网络风险主要表现在这几个方面:安全性风险、网络故障风险、法律媒体风险。防范网络风险需要对网络安全进行风险评估,建立网络安全管理构架,最后制定一系列安全防范措施。评估风险首先需要企业内部专门的网络安全管理人员分析并诊断企业网络安全的状况,然后从管理与技术两个方面探讨研究网络安全问题的存在。网络安全管理体系架构需要考虑到的网络风险的几个方面:通过完善网络设备性能、提高网络承受力、先进传输技术的引进以及定期核查网络设备的方式来避免网络故障风险;通过加强宣传并提高社会成员法律安全意思制定一定的法律条款来防范法律媒体风险;通过增加设立持续不断的电源、增加投保企业保险、加强网络机器安全管理等方法来避免网络安全风险中如断电、火灾等的自然风险。针对网络自身的风险以及网络攻击风险,需要遵循一定的有限级有条理有选择的来解决来自数据、应用、系统、网络的信息安全问题。利用防火墙技术、安全监督体制、IT设计工具、VNP设备、数据加密技术以及数字签名等技术保障网络风险的最小化,并制定符合法律规则的有一定安全标准的全面完善的网络安全风险管理体制。
1.3 外包业务风险
当前,我国商业银行中有一大部分的银行属于中小型银行,在资金水平以及信息技术能力的限制下,缺乏独立的信息系统开发能力,只有通过业务的外包来满足银行信息系统,导致大量的银行核心代码分散到外包公司信息系统中。如果商业银行在这种情况下没有谨慎对待外包商、依据法律条款签订相应的协议、明确协议双方的职责,那么,银行信息系统的信息安全以及系统业务的可持续性将会受到加大的威胁。与此同时,在银行维护信息系统的时候,外包公司审核的不够严谨,没能积极修复系统漏洞、优化信息系统,也会威胁到银行信息系统的安全。银行在与外包公司签订合同协议的时候,如果没有做好协议数据保密工作、外包公司蓄意泄密或者转包服务等情况,都会产生信息安全风险,甚至会给银行带来销毁性的打击。
2 我国商行银行信息安全风险管理体系架构
我国商业银行存在一定信息安全风险是必然的,即使不能避免和杜绝这种风险,也要采取相应的措施最大程度的控制、削减、化解风险的发生频率。我国商业银行信息安全风险管理体系架构主要从技术、运作以及管理组织平台三方面设计。
2.1 管理组织平台
风险管理组织平台处于我国商行银行信息安全风险管理体系的最高层,为整个管理体系提供策略性的引导。主要从商业银行信息安全风险管理的制度与策略、管理人才以及组织机构三方面着手。
2.2 运行平台
我国商业银行信息安全风险管理体系的中间部分就是风险管理的运行平台,也是商业银行信息安全风险管理体系的核心与主体部分。风险运行的整个过程包含了风险的识别、评估以及应对等诸多活动,着重体现一种风险管理持续完善的理念。该过程依据PDCA模式,严格按照计划、实施、改进的管理模式管理商业银行信息安全风险,持续完善商业银行信息安全风险管理体系架构,有利于银行创建良好的安全的信息环境。
2.3 技术平台
商业银行信息安全风险管理体系的最底层便是风险管理的技术平台。技术平台为运行与组织平台的创建和实施提供有力的技术支持,也为我国商业银行信息安全风险管理体系提供了安全性技术保障。从时效上将技术平台分为预防、实时跟踪以及事后恢复三大技术。
我国商业银行信息安全风险管理体系架构主要从技术平台、运行平台、组织平台三方面的构建组成。风险管理组织平台的构建是我国商业银行信息安全风险管理体系的重要组成部分,为整个管理体系提供策略性的引导;风险管理运行平台的构建是我国商业银行信息安全风险管理体系的核心组成部分,风险管理的运行过程严格遵循PDCA的循环定律。通过资产、威胁、脆弱性三方面的评估形成对应的资产、威胁、脆弱性信息,为满足银行业务的需求,可以采取转移风险法、规避风险法、接受风险法以及消减风险法加以应对我国商业银行信息安全风险。具体利用数字加密技术、身份认证技术、控制访问技术、检测入侵技术、数据备份以及恢复技术为我国商业银行信息安全风险管理体系的构架提供安全有力的技术支持。
在我国商行银行信息安全风险管理体系基本构建完成后,还需要对该体系做出评审、改建意见以及相关说明等后期工作。该后期工作的主要内容包括内部审计、外部审计以及文件管理。需要注意的是,在审计过程中,常常会遇到银行信息系统中的大量的铭感信息,假若不能够正确处理审计过程中遇到的银行敏感信息将会给银行的信息安全带来不可忽视的威胁,所以,加强严格管理与控制我国商业银行的外部审计是我国商业银行当前面临的一项刻不容缓的任务。银行最高决策机构应该依据法律制度,设计出相应的整改方案,并定期实施有效方案,提高我国商业银行信息的安全度,保障我国商业银行信息安全风险管理体系的成功构建。
3 结束语
信息在网络信息迅速发展的背景下已经成为一项可贵的必不可少的资源。一般来讲,掌握的信息越多、越准确就越有取胜以及权威的先机。信息对于我国商业银行这样一个特别的行业更是非常重要。在商业银行网络与业务规模不断扩大的背景下,我国商业银行在信息安全保护方面面临严峻的考验,所以,保障商业银行信息安全风险管理体系的安全已经成为目前金融行业重要的使命。
参考文献
一、检查时间
月上旬,具体时间另行通知。
二、检点
重点检查县政府办公室《关于印发县政府信息公开工作考核办法的通知》(岐政办发[]46号)和《关于印发年政府信息公开工作要点的通知》(岐政办发[]35号)文件精神的贯彻落实情况。具体检查内容:
1.组织机构。政府信息公开工作机构建设、设施设备配备情况;政府信息公开年度工作计划、目标、任务及执行情况;履行对下属单位政府信息公开工作指导、监督、检查职责情况。
2.制度建设。政府信息公开、公开指南、保密审查、依申请公开、提交、社会评议、工作考核、监督检查、年度报告等制度建立和执行情况。
3.主动公开。公开的范围和内容是否全面及时;政府信息公开指南和目录是否完善,是否方便操作和更新及时等情况在县政府信息网和各镇、各部门子站上主动公开政府信息情况。
4.依申请公开。依申请公开的受理机构、申请渠道(包括电子申请表的下载、咨询电话、公开申请信箱)、受理程序(审查、登记、答复)和收费标准等情况。
5.信息。重点检查年各镇、各部门在本单位信息公开板块、本单位网站和县政府门户网站相应栏目报送信息数量、质量和时效性。
6.公开形式。设立网上信息公开栏目、公共查阅室、资料索取点、信息公告栏、电子信息屏等情况。
7.政民互动。围绕中心工作和经济社会发展热点问题,开办专题栏目、民意征集、领导信箱、互动交流、网上在线办公等为民服务功能开展情况。
8.信息安全。重点检查政府信息公开安全管理机构、安全管理制度、保密审查程序和运行维护、应急处置建设情况。
9.年度报告。政府信息公开上年度工作报告、本年度工作计划编制上报及网上公布情况。
10.做法、问题及设想。政府信息公开工作中好的做法、经验及存在问题和下一步工作设想。
三、检查方式
各镇、各部门要根据平时记载,如实填报政府信息公开自查表,不得空报、虚填,并形成书面自查总结,将自查表和自查总结于月31日前送县信息化办公室。检查时将采取听汇报、查资料、网上检查和召开座谈会等形式,对政府信息公开情况进行全面检查。
四、几点要求
教育信息化建设是我国的重点建设工程,近几年已取得阶段性成果。目前已有80%的高职院校拥有校园网,开始向数字化校园发展的高职院校约占总数的10%。高职院校教育信息化探索出一些新的教学模式,提高了我国高职院校运行效率和办学效益,发展趋势是可喜的。但值得注意的是,在高职院校信息化建设中,存在不少管理上的漏洞阻碍着高职院校信息化建设,加强对高职院校信息化建设的科学管理及其研究,有利于充分发挥高职院校教育信息系统的功能和作用。
一、高职院校信息化建设与管理问题分析
高职院校的信息化建设都已初具规模,基础设施、硬件建设与校园网的建设都已比较健全。据调查,部分高职校的教师办公室联网率已达到90%,学生宿舍联网率已达到60%,教室联网率达到40%,安装有固定投影设备教室的平均比例也达到20%。在师生计算机装备方面,教师每人拥有1台计算机的平均比例已达到35%,2—5人拥有1台的平均比例则达到48%;在学生中,平均2—5人拥有1台计算机的比例为35%,6—10人拥有1台的比例为20%。这些情况说明,被调查高职院校已经基本上具备了在教学、科研和管理等方面运用信息技术的基本条件,但信息化建设仍有许多不足之处,归纳起来,大致有如下几种情况。
1.教育观念的落后使信息化不能快速发展。
一是部分人对信息化建设的必要性和紧迫性没有充分的认识,并缺少相应的组织机构以及配套的政策,使信息化建设流于形式。二是部分高职院校的信息技术应用还未普及,部分教师已习惯了多年不变的教学模式,不愿意运用新的技术和方法来改变教育方式。思想观念上的这些问题,在某些程度上制约着信息技术的推广和应用。
2.信息技术没有纳入到日常教学工作。
当前,部分教师使用信息技术的主要方式仍然是检索资源、制作演示类课件等,对于“利用信息技术组织学生进行研究性学习”等方面仍然比较少,缺乏日常工作的实践应用。
3.校园管理工作方式落后。
目前,很多高职院校的管理工作很大程度上还依赖人工进行,使管理信息的采集和整理比较困难。
4.信息技术被过于依赖。
部分高职院校的教师神化了信息化教育教学的功能和作用,认为只有信息化教学才是最好的教育方法,认识上的偏差使其在教学上热衷于追求教学手段的先进和便捷,而全盘否定传统的课堂教学与教师自身的主导作用,使信息化发展成为一种时髦,夸大了物质技术对人的教化所起的作用,并非实质性地应用,信息化没有真正发挥出它应有的魅力。
5.在校园网的应用上,仅局限于基本的信息交流和学校管理,忽视了校园网的教学服务功能和学习功能。
有许多教师和学生对校园网的应用缺乏全员参与的意识,认为:校园网只是用于教学管理和信息交流,他们不是教或学计算机专业的,除能够收E-Mail外,校园网的其它应用和他们无关。他们没有意识到信息技术对传统教育方式、方法与模式的挑战,没有意识到校园网的应用在信息技术教育中发挥着极其重要的作用。
6.高职院校信息技术人员素质有待提高。
这一问题是高职院校信息化建设管理中比较突出的问题。不少高职院校缺少相应的信息技术人员,有的学校虽有一定数量的技术人员,但其业务素质不适应目前高职院校信息化建设管理的需要。
7.忽视信息资源的开发和利用。
(1)高职院校管理、监测工作量化程度普遍较低,在管理和决策活动中,人为判断决定多,以客观数据进行分析判断少。
(2)高职院校主管部门在开展宏观调控、专家评价,以及高职院校制定发展规划或自我评价时,三者之间缺乏可以作为共同依据的规范化的信息资料。
(3)高职院校信息管理档案不规范。
(4)有些信息采集标准和编码标准不一致,造成各高职院校、各部门之间数据不能共享与交换。
二、高职院校信息化整改方案
1.建设管理信息系统。
高职院校信息化是指利用先进的计算机技术、网络技术和多媒体技术,使用管理信息系统来实现高职院校校园网络化、管理科学化、信息资源数字化,以达到教学科研现代化。使用信息管理系统实现了对各种资源的有效集成、整合和优化,以及资源的充分利用,从而提高管理效率,更大限度地发挥其对教育教学改革的推动作用。数字化校园将是今后校园建设的发展趋势和必然,实施数字化校园主要有以下好处。
(1)资源共享
提供丰富的多媒体课件,多媒体资源;实现知识实时更新,并吸收各地最优秀的资源成果,使资源共享。
(2)实时交流
网络的一个重要功能就是通讯交流,充分利用其功能,实现方便的实现信息数据传输与互动交流。
(3)教学现代化
利用资源,利用网络技术,使学生充分利用多媒体带来的好处,进行互动式教学,降低工作强度。
(4)管理系统化
实现学校管理、教务管理、科研管理、档案管理等电子化管理,实现电子自动化办公,实现信息安全。
2.加强校园信息化建设。
(1)提高广大师生信息素养
在高职院校信息化建设的过程中,全体人员所具有的信息素养决定了信息技术应用的成效,决定了教育教学信息化的程度。因此,做好信息技术的普及和培训工作,已成为当前高校信息化建设中一项不可忽视的基础性工作。
(2)建立多元化教育教学模式
