时间:2023-02-27 11:13:17
序论:速发表网结合其深厚的文秘经验,特别为您筛选了11篇信息安全工作计划范文。如果您需要更多原创资料,欢迎随时与我们的客服老师联系,希望您能从中汲取灵感和知识!
一、传统文化
1、"牵手闵行,心系交大"
与上海市闵行区闵行中学的共建项目开展于XX年10月份,自开展以来受到了学校各界的积极好评。本项目主要包括对高三紧张应考的学生进行学习指导,人生规划指导,报考指导。借鉴自身经历,向更多高三学子传授备考经验等。时至今年,我们将在今年10份继续"牵手闵行,心系交大",以指引更多优秀的同学加入到交大人信安人的行伍之中。
与此同时,我们将在借鉴往年经验的基础上,扩大规模,扩大范围至整个闵行区,并展开与学院学习部协作的机制,共同开展实施共建项目。
届时,我们将在基础学年招募相关志愿者加入我们的行列,我们期待你的加盟!
2、"团改金"项目培训指导
"团改金"全称是团组织生活改革基金,是交大一个极具特色的学生活动,做为每个交大的学生都有必要参加。主要是为了提供大家一个课外社会实践的平台,促进提高大家的能力。现在也有许多其他的高校采纳)了我们的做法,可见它的效果。而且,优秀的团改金活动会得到相应的奖励,来鼓励大家继续将这个活动做下去。
本学期,我们将继续对大一各个班级的团支书同学进行培训,以使得各个班级能顺利的开展团改金活动,并提高支部的凝聚力。
欢迎大家前来学院组织部咨询相关事宜。
3、责任和义务
作为一名团员,按时交纳团费,积极完成团组织的下达的指令和任务,切实履行团员的职责。
本学期,我们将配合校团委按时完成团费上缴和团员统计工作,切实履行团组织工作职能。
我们感谢你的配合和理解!
二、前人种树,后人乘凉
首先,感谢过去一年为我们工作创造良好环境的老干部们:。
(但凡组织部的干事,日后找此三人,自报家门,必衣食无忧!)
1、破冰
我们将在学生会的统一安排下进行招新工作,吸纳更多的优秀同学成为我部干事。并将对其进行定期的培训,内容包括:
a、与名师对话:邀请有学生工作经验的学长,老师进行工作交流和指导。
b、破冰:在招募完成后,立即进行团队组建和破冰活动,我们将突破以往的形式,实施新的部门工作形式。以工作小组和工作团队的形式进行项目攻关,以提高效率和责任制。同时,我们也希望组织各个班级的班长以及团支书进行相应的培训,以鼓励大家在日后工作中积极的配合和协作!
c、交换生:我们将定期与其他部门进行干事交换项目,以锻炼更多的人才。
2、utjs项目
utjs即是体验式培训项目的简称,我们将在大一年级开展相关培训,以增强支部的凝聚力。我们将邀请我院资深培训导师,院团委书记朱春玲老师为我们新生进行指导培训工作。
1.2网络信息技术缺乏。信息技术的完善和成熟是档案信息化建设的必要条件之一,而现有的技术只是针对网络及生活的交流需要并没有对文件的归纳管理以及档案建设提供需求。档案信息化建设并不是人们所知的信息输入到电脑上连接网络后上传就完成的,一部分的专业管理技术仍需要相关人员进一步更新和完善。如今,许多相关的工作人员并没有体会到档案信息化给与的便利之处,只因为他们对于所谓的信息技术没有熟练的掌握更别提把这项先进的技术与工作融会贯通。由于业务生疏,便会出现我们上述阐述出如档案混乱,信息丢失等问题。
1.3管理的安全分析。档案信息化的安全工作核心就是管理。管辖范围不明、责任不明、管理制度不健全以及缺乏可行性操作等都有可能引起安全风险。尤其是当网络出现漏洞、安全威胁和攻击行为时,更是无法及时的进行实时监测、报告、控制和预警。同时,当出现事故后,相关的工作人员也无法提供准确的线索给与追踪和定位,既缺乏对网络事故的可控性和可审查性。这就要求我们的相关工作人员具备一定的网络技术,以便及时发现不法分子的非法入侵。
1.4安全应用系统的分析。应用系统的安全系数与具体使用有关。应用系统的安全是变化的,并且类型也是不断的增加。在选择应用系统的安全性能上,应首先考虑最大化的建立起一个安全系统平台,并且可以通过专业的安全软件以及技术不断的更新发现系统威胁漏洞,提高系统的安全指数。当然使用的应用系统安全性也会危及到数据、信息的安全性。机密档案的信息泄露、未经允许授权的访问、试图破坏信息的完整度、破坏系统的指令等都是对应用程序安全性的考验。因此,用户使用计算机调动档案信息时必须要进行身份验证,对于档案信息的传送也要经过管理员的授权和加密。采用多环节的访问控制和权限控制,保障数据信息的机密性和完整性。
2数据化工作的普及
2.1推进网络安全。对于档案管理的相关工作人员,普及网络安全知识已经势在必行。由于工作人员已经习惯于使用传统老旧的工作方式,对于新兴的网络管理不能很快的熟练掌握。这是一个必然的过程,但面临一个信息化的时代和工作环境,认真严谨的工作态度却是每一个档案管理的相关工作人员必备的态度。不能因为不熟练或是不习惯而忽略一些安全隐患,最终因为网络知识的缺乏而导致不必要的麻烦。
2.2开发信息技术。阻碍档案信息化进程发展的是计算机信息技术的落伍。而已经存于市面上的先进技术也不能应用到档案信息化的建设中。前者是因为技术认知的落后,后者是因为实践与理论相背离。要知道档案工作的信息化建设不是因为需要信息化而信息化,而是因为要贴合大众的需求,跟随时代的脚步。对于那些工作中遗留的落伍技术就应该及时的更新换代。选择时下已经成型并且前景远大的新型信息技术。而对于成果失败者,应当加强实践验证,拉近理论和实践之间的缝隙,把两者之间存在的问题具体到应用上并及时的反馈以便调整,避免资源的浪费。
一、引言
21世纪是电脑网络科技的世纪,信息借助网络传输既快速又广泛的流通与交换,科技进步孕育出全球化社会。随着网络的普及化,信息安全的重要性更加凸显,提升企事业组织信息安全防御能力,便成当务之急的工作。信息安全维护旨在确保信息的机密性、完整性与可用性,我们应当落实最佳安全实务准则及纵深防御策略,以应对信息网络安全的威胁。有鉴于此,无论是防护机制建立、法令规范修订、教育培训与人才培养,均须落实执行。传统的信息安全架构与信息服务的安全架构是目前经常被拿来相比较的议题,大多数的资料中心发展成信息服务中心时,传统安全防护架构需要面临扩充性以及适用性的挑战,从信息基础设施、运作应用程序以及各种不同类型的软件服务,增加了管理上的复杂度。信息服务的营运管理,为确保信息服务内容与营运品质的重要因素,信息服务的管理,除了技术面的问题,许多必须注重在政策面的管理。
二、计算机信息安全管理工作开展思路
一是已知的信息安全脆弱性。假如一个公司或机构曾经对其本身的信息系统安全进行评估并研析评估资料,则这一公司或机构将可更有效地确保其信息系统的安全,同时可将其先前所存在的弱点的性质告知其他公司与机构,以节省彼此的时间及风险。但是,当相关公司担心因对弱点的矫正不够彻底而面临法律问题时,则将影响此种信息分享的方式。举例而言,若是某一公司或机构只对其系统中经确认的弱点的90加以改进,并将相关信息与其他公司分享,则这一公司可能会因违反管理标准而遭到处罚。
二是有关进行中的IT 方面的攻击或持续存在的威胁的预警(但不提及“来源与方法”)。信息系统管理人员与网络管理人员是最可能首先发现入侵行动或攻击行动的人。他们大都不愿意将入侵事件向执法单位报告,因为他们担心业主所拥有的信息会因而对外泄漏或一旦入侵事件公诸于世会危害机构或该公司的名誉。所以,当执法单位接获有关持续进行的攻击事件的报告时,应设法对这一信息加以筛选、分析,然后分送给其他可能会受影响的单位。如此一来,将可不在提及遭受攻击的机构或公司名称的情形下,确认潜在的脆弱性或攻击行动。在另一方面,出现有计划的攻击或刺探行动时,因为这等行动通常普遍可能成为国家安全的隐忧或因为该行动是来自于某一特定的外国,故由执法单位进行的信息分享方式显得特别重要。
三是用以对付某种型态的IT 方面的攻击的策略。当某一机构发现了一项弱点或被告知某项弱点,而且也找到了解决办法,则这一机构可能会抗拒与其他机构分享此方面的信息,因为这种解决办法对业主而言极具价值。有关这一方面,政府的职责应在于对相关信息进行事前的筛选后加以分送,这一方面有助于其他机构做好预防工作,一方面又不至于泄漏关键信息。我们可要求各个公司提供有关新病毒、网络蠕虫与木马的信息、某一特定黑客所使用的方法、与选定特定攻击目标的黑客会面所收集到的信息等。这一做法未来将有助于建立与识别相关的轨迹,并有助于提升入侵侦测的能力以发挥更佳的保护效果。
四是通过侦测、分析、防御与应变程序进行信息服务的管理,面对所遭遇的问题,通过不断的持续改善,依据所发掘的异常行为进行信息服务的改善,包括了基础设施、系统平台以及应用程序等,增加信息服务的完整性与可靠度。信息安全管理系统可应用于公有信息服务、私有信息服务或是混合性的信息服务架构中,通过整体的自我防御机制,以维持自然的生态平衡,能够对于异常的行为特征进行应对与处置。信息安全管理系统,必须拥有自动化的处理能力,面对外来与内在的威胁,进行自我的防御与应变,以缩小影响的范围与处理的时效,面对大量的资源而言,必须有效的掌握现有资源的状态,以做为资源的调配上的参考指标。
三、计算机信息安全管理系统构建
信息运算环境下的安全威胁,以风险的角度可以分成信息安全技术、流程、程序、法律以及互信模式等项目进行讨论,以信息安全技术而言,为符合服务导向的架构,目前进行信息安全的规划与设计时,须先确定提供服务的内容与对象,以确定需要导入的信息安全技术为何。信息服务安全的标准化建设,必须具备以下几项要件。
第一,信息安全管理系统将相同的理论应用在信息运算所提供的信息服务上,将整个信息架构分成了侦测、分析、防御、应变等几个元件。一是侦测:通过信息安全相关的设备,如应用层防火墙、通讯协定分析设备、入侵侦测系统、诱捕系统等,建立信息环境的侦测点,运用特征比对与行为分析的方式,进行异常状态的侦测,进行信息的收集,以提供后续的进行资料探勘与分析使用。二是分析:大尺度的信息环境,产生大量的系统日志与网络流量等资料,因为信息服务维运的需求,又必须即时进行资料的探勘,以掌握信息服务的状态,若有异常的行为出现,必须进行处置以避免影响信息服务的安全,因此通过建构日志系统以提供未来稽核所需要的佐证文件,为规划与建构信息资料分析平台不可或缺的考量。三是防御:信息环境须具备防御的机制,当有异常的行为出现时,必须能够进行自我的防御,以避免影响其它的信息服务。四是应变:针对异常的行为或是威胁进行应变处置,必须具备自动化应变的能力,通过自主的应变措施,以提供信息环境掌控风险,并且结合风险评价与改善规划,进行环境的调整,以达信息服务的持续提供。
第二,实现与维护信息安全计划。完整的信息安全防护计划,可以确保信息架构的安全,针对风险与威胁都进行管理与控制,并且能够持续维护信息安全计划的有效性,以应对新型态风险与威胁的出现,通过应变策略的拟定,针对信息服务的安全性进行掌握。另外,还需建构与管理信息安全的基础设施。通过完整的基础设施,能够提供信息服务所需的高弹性资源调配,确保服务的可靠性,因此通过基础设施的保护,为提供信息服务的基本要素,同时通过服务供应商,以确保在符合法律、法规以及客户的要求下,有能力满足对于所要求的服务内容。除此之外,确保机密资料安全防护。资料的安全防护为信息服务的核心原则,所有通过信息服务进行传输、存取与保存的资料,必须受到严格的资料安全防护机制,对于企业而言,机敏的资料必须确实受到安全的防护,才会考虑是否采用信息服务模式在其商业营运上,因此无论采用何种方式使用信息服务,所有的资料流均必须考虑到资料安全的防护问题。
第三,实现严谨的存取控制与身份识别管理。使用者可以由不同的管道使用信息服务,但是不论使用何种方式,均必须确保能够正确的验证使用者的身份,并且能够针对使用者的权限进行有效的管理,以限制能够提供存取的资料范围。另外,需建立应用程序与环境的配置。当使用者通过信息服务的使用者界面进行服务内容的设定,信息服务的架构必须由一连串的变更进行环境的配置与设定,以确定能够由自动化的程序,建立应用程序与环境的整合。
第四,实施信息治理与稽核管理规划。对于信息环境的管理,必须配合稽核计划进行,以确保所有的信息服务能够在可被验证与举证的前提下,提供使用者安全上的信赖,其中必须涵盖日志的收集以及需要进行稽核的纪录,整体的管理规划必须同时配合信息服务的推出进行建构。另外,需要实现弱点扫瞄与入侵侦测系统架构。在被信任的的信息服务中,必须实现信息架构中的基础设施、系统平台以及应用程序的弱点管理机制,通过管理机制的建立,以进行严格的弱点管理计划,配合入侵侦测系统、入侵防御系统以及IT资源的管理,其中包括了网络、服务器、基础设施等元件,以确定提供信息服务的内容,不因为存在弱点而造成风险与威胁。
第五,采用对称与非对称式的信息加密防护策略。该加密过程至少包含以下元素:明文、加密演算法、加密钥匙及密文。明文代表未加密内容,密文代表加密后内容,演算法代表加密规则、钥匙代表加密时所要定义的参数。以替代加密法的例子为例,选定凯撒加密法为演算法,而决定字母要位移几位,就是钥匙,加解密双方都必须知道这只钥匙,才能顺利加解密。加解密时使用同一把钥匙,是一直以来的概念,也即密码学发展到此时,均属对称式加密,诸如DES、RC2、Blowfish等。于是在加密法强化到难以破解后,钥匙的交换与保护,便成为重要课题。无论资料如何加密保护,钥匙的传递都必须曝露在相对公开的环境下传送,非对称式加密,即是为了解决这样的困境而诞生的。
四、结语
信息安全研究中一项重要的目标是发展高度安全、可靠及弹性的信息系统,确保未来使用电脑、网络与其他网络系统变得和打开电灯或水龙头一样的安全及可靠。美国等发达国家十分重视保障未来各种信息系统安全的基础建设,要求各种信息设备在出厂时即具有使用者可以信赖的安全性以及可靠度。在预算范围内发展高度安全与可靠的系统将是未来追求的目标,并需通过全国性的网络安全研究发展程序来达成。
我国开始关心数字社会信息安全的作业,时间尚短经验的累积不多,许多应建立的价值、观念、制度,大家都还在摸索之中。随着信息技术的一日千里,在“运筹于虚拟实境之外,决胜在网页方寸之中”的数字社会信息系统安全的环境下,如何应对我国民生息息相关的信息系统安全作业等议题,值得展开更深入的思考与讨论。传统的信息安全问题,仍然会出现在信息服务的环境中,但伴随着虚拟化的架构、动态资源的调配以及跨越不同地理位置的服务模式,将让信息安全的问题变得更为复杂,而且新型态的安全问题也随着信息服务的提供而出现,因此更需要通过技术的层面以及管理的层面,整体的检视信息服务与相关的架构,方能提供信息服务的使用者在安全防护上的保障,结合信息安全监控中心,对于信息环境内的状态进行掌控,保存相关的系统日志与稽核纪录,可做为信息安全事件分析的重要信息来源。
参考文献
[1]张昱.对计算机网络技术安全与网络防御的分析[J].广东科技,2011(10).
关键词:信息化管理对策
一、信息化条件下部队安全管理工作面临的新考验
(一)信息化条件下部队安全形势更加复杂。一方面、部队安全隐患呈现多样化趋势。相比以往的“人车枪弹酒,水火电毒密”等传统安全隐患,网路保密安全、官兵交往安全、网路不良信息对我官兵的影响等方面的安全隐患,逐步呈现出高速增长的趋势,给部队安全管理带来的影响也越来越大。而传统安全隐患,由于现代信息技术的发展,在数量上、形式上,也比以往更加纷繁复杂。另一方面,各种安全隐患之间又存在着复杂的联系性。信息化条件的一个重要特点是其信息的交互性,由于信息技术的发展,使得各个孤立的安全隐患能够互相交互信息,产生影响。
(二)信息化条件下部队安全隐患更加隐蔽。一是时间上的不确定性。安全隐患的一个显著特点是其在转化为事故案件的时间上具有不确定性。信息化条件下,各种安全隐患通过信息手段进行交织影响,积累融合,最后在爆发上具有明显的突然性,往往令人措手不及。二是空间上的不受限性。信息化时代的另一个显著的特点是其在地域上没有任何限制,无论身处何处,只要有先进的技术手段,都能进行信息间的交流。三是安全隐患的抽象性。信息化条件下的新安全隐患不像传统的水、电、人员秩序管理等方面问题,具有可见性、可抓性,往往能及早发现,及早整改。而网络保密安全、部队通信安全、人员通信交往等方面的隐患具有明显的抽象性。
(三)信息化条件下部队安全管理更加棘手。一方面,在影响上具有广泛性。随着手机、笔记本电脑等个人通信设备的普及和宽带网络、3G网络等现代技术手段的发展,社会信息的获得比以往更加容易,传播速度更加快捷,致使部队一旦发生安全问题,其在影响上必然会更加的广泛。另一方面,在处理上具有急切的紧迫性。信息在传播速度上具有的高速性,导致我们在查找处理安全隐患的过程中,必然在时间上是紧迫的,一旦处理不够及时,将会造成不利的影响。
二、信息化条件下加强部队安全管理工作的对策研究
(一)严格落实安全制度。制度是防范一切安全隐患、安全漏洞的铜墙铁壁。要严格落实各项安全管理制度,正规部队各项秩序;要坚持落实安全检查制度,定期做好安全隐患排查;要突出抓好大项活动、节假日期间的安全管理工作,确保敏感时期部队安全稳定;要严格落实安全责任制,确保分工明确,责任到人,形成人人抓安全,人人保安全的整体合力;要完善预警机制,加强请示汇报,做到遇有隐患及时汇报;要强化监督管理,杜绝安全死角,确保管理不留漏洞。
(二)加强官兵安全教育
再高科技的手段、高尖端的技术,只要官兵思想重视,各项工作符合安全规定,部队就能实现安全稳定。一方面加强思想教育,提高重视程度。要以部队最惨痛的案例为牵引,深入开展案例剖析、自查互查、安全评比等活动,不断强化官兵的安全意识。另一方面要加强技能教育。邀请专业人员授课,介绍信息化条件下的各种安全风险及预防对策,使官兵能够获得更清晰地认识,并掌握一定的预防方法。
我主要负责文明单位创建、扶贫帮困、工会、群团、作风纪律、网络安全与信息化工作以及领导安排的其他工作,也曾担任单位主题教育领导小组办公室成员。
在这一年里,认真服从单位的工作安排,始终坚持强化职能,做好本职工作,圆满完成领导交办的各项工作,具体表现在以下几方面:
1、在文明单位创建方面。按照市文明办在创建文明单位方面的具体要求,结合单位实际情况认真按照要求对文明单位考核所需材料进行整理上报,在10月31日完成文明单位材料网上上报工作,并取得了满分的成绩。
2、在单位扶贫帮困方面。按照上级单位关于扶贫帮困的要求,本着实事求是的态度,及时上报所需的具体材料。
3、在单位工会、群团等集体活动方面。参与组织包括学雷锋活动等,以及 “不忘初心、牢记使命”主题教育,以上活动在全体干部职工的共同努力下都取得了很好的效果;
4、网络安全与信息化工作方面。在网信工作越来越重要的时候,我身为网信管理员感觉到责任越来越大,工作及日常生活中时刻关注本单位的网络舆情,将负面舆论扼杀在摇篮里,在单位的网络信息推送平台转发推送市网信办推送的正能量的文章,已将近1000余条,不让网络成为传播负面舆论的法外之地。
二、经验做法
经过一年的工作,在工作中有一些心得体会,也谈不上经验做法,具体内容如下:
1.做好工作分类。要把每项工作都单独建好一个文件夹进行分类,将与之有关的材料全部放到这个文件夹里,保证不与其他工作混淆。
2.保证材料唯一。及时清理修改过的材料,确保电脑上能找到的是最终定稿的且是唯一的材料。
3.做到计划工作。对完成的工作做好计划,统筹协调手头上各项工作,确保上报材料按时上报。
4.定期梳理汇总。经过一段时间的工作,要抽出固定时间对已完成的工作进行梳理汇总,区分已经完成的和还未完成的工作。
三、存在的问题及不足
由于工作时间尚短,又是在党务部门工作,自身的思想觉悟和理论知识还不能达到当前工作的要求,在工作上还存在等、慢、靠的情况。
四、2020年工作计划
计划目标:做到强化形象,提高自身素质。
具体措施:
为了收集信息系统的运行数据、了解信息安全管理体系的运行情况,及时发现信息系统存在的安全问题和修补安全漏洞,各大银行普遍采用安全检查的方法,提升信息系统的安全保障能力:一是检查信息安全保障体系的建设情况、信息系统安全管理制度的落实情况,提高信息系统安全管理水平;二是检查科技人员的安全技术水平以及安全培训教育情况,强化他们的信息安全意识;三是检查信息系统运行情况、日常操作中的安全控制措施,促进完善安全内控机制,及时处置操作安全风险;四是检查信息系统数据存储、传输、使用等数据管理情况,防范数据泄露风险;五是检查应急预案制定情况以及应急演练结果,提高对突发事件的应对能力。信息安全检查工作的内容信息安全检查工作是为了查找信息安全问题和薄弱环节,采取一定的检查或检测方法,发现安全现状与安全要求之间的差距,以便有针对性地采取防范对策、改进防范措施,进一步提升安全防范能力,预防和减少重大信息安全事件的发生,切实保障信息系统的安全稳定运行。在进行安全检查前,首先要确定安全要求、明确信息安全检查工作中要检查的项目。邮储银行以信息安全保障评估框架为指导,以等级保护系列标准为基础,结合银监会、中国人民银行等监管机构对信息安全管理的相关监管要求,提取内部管理制度中对安全的相关要求,制定了具有特色的安全检查要求,形成了《邮政金融计算机系统安全检查手册》。该《手册》从主机安全、网络及边界安全、应用安全、数据安全、基础设施安全、网点终端安全、运行安全、安全管理8个方面归纳整理出400多个安全检查项。该《手册》明确了信息安全检查工作的检查内容、检查要点和检查方法。
信息安全检查的实践
邮储银行开展的2014~2015年度信息安全检查工作,包括了制定检查工作计划、信息安全检查、问题整改和检查总结等阶段。制定检查工作计划。在选取安全检查项目时,紧紧围绕年度安全管理目标,结合年度信息安全工作的重点领域以及运行维护工作中容易忽视的安全问题。2015年的安全检查在兼顾检查全面性的同时,确定以网络边界安全、主机安全、数据安全3方面为检点,从《手册》中选取100个检查项,同时规划了现场检查工作的方法、工作过程等内容,从而形成年度安全检查方案。随后,根据各安全检查项目在保障信息安全中的作用以及现有条件下实现的难度等实际情况,将安全检查项分成基本要求项和增强要求项并对其赋予不同的分值,建立起安全检查的量化评价标准。检查完成后,可以通过评价标准直接给出的分数,直观地评价、比较各分行信息安全工作的情况。在组建安全检查队伍时,每个检查小组由总行、分行的信息安全人员组成。各分行分组交叉检查的方式,便于各分行通过检查相互学习、取长补短,提高信息安全的保障能力和水平。
实施信息安全检查
信息安全检查围绕安全检查项目,采用登录系统检查、在线工具检查、查阅制度文档、访谈关键人员、巡查网点等方法,收集安全运行数据,评价安全管理水平。登录信息系统设备检查安全配置基本情况,重点关注系统日志、操作日志、配置文件等信息;使用安全漏洞扫描工具检测设备存在的风险点;通过检查设备的使用状况,评价基层单位对信息资源的控制能力是否满足安全保护的要求。查看各监控系统的监控记录,确认各项报警得到及时处理。查阅规章制度,了解安全规定是否覆盖安全工作的所有领域;浏览审批记录、登记表等详细信息,了解日常工作中安全规定的执行情况。通过访谈相关岗位人员、现场观察各岗位人员的实际配合情况,了解日常工作流程中是否存在安全漏洞;通过实地检查网点,最直观地从工作环境考察安全管理细节,查看基层各项安全制度的落实情况。在检查过程中发现的问题,现场检查组以事实确认单的形式进行记录,并在现场检查总结会上与被检查机构的人员进行沟通和确认,作为后期整改工作的基础依据。
问题整改
在完成了现场检查工作之后,各检查小组汇总事实确认单,梳理出需要各分行着手整改的问题,针对每个分行签发安全检查整改通知书,要求各分行对症下药完成整改工作,以完善信息系统的安全防护措施。对网络边界问题的整改,完善了网络各区域特别是第三方接入区防火墙、路由器、交换机的安全配置,对经过网络边界的重要信息实施相应保护,提升了抵御外部网络攻击的能力。对主机安全问题的整改,调整了各类软件的安全配置参数,使之遵循最新版本安全配置基线的要求,提升了主机的安全防护能力。对数据安全问题的整改,增强了数据访问的身份认证和访问控制机制,防止非授权使用,保证数据免遭泄露和篡改。同时加强了对备份数据管理,有效保护了数据的高可用性。对检查中发现的其他问题进行整改,促进了在运行维护过程中主动采取更加有效的安全措施,升级管理手段,使安全管理更加全面覆盖到安全保障架构的各个方面。
检查总结
经过一段时间的信息安全检查整改工作,各分行报告了每个问题的整改完成情况。总行依据整改报告评价各项整改措施的有效性,评估信息安全状况和防护水平,促进总行对信息安全管理工作进行持续监管。
我局信息系统管理维护工作主要由计算机中心负责,下设软件科、系统科、综合科共14名在编人员。信息系统的维护管理工作主要由系统科4名人员负责。一方面在开展系统维护工作时人手不足,无法覆盖到区县;另一方面由于新技术更新较快,人员对新知识与新技术的掌握不足,不利于有效的开展信息安全维护管理工作。
2系统漏洞影响大
税务信息系统对数据完整性与服务实时性高要求非常高,当今漏洞挖掘技术极大缩短系统漏洞的发现周期,经常性对核心应用系统进行升级补丁将对系统数据完整性与保障系统服务及时性造成一定的风险。
3黑客攻击与计算机病毒传播路径广
我局内部业务网已连接到全市23个下属单位,黑客可通过任何一个单位对我局核心业务应用发起攻击。同时随着移动互联网的快速发展,wfif、手机连接到终端计算机等都有可能成为业务内网与互联网的接口,使我局核心业务应用遭受到互联网的攻击。同时移动存储介质不安全的使用方式、工作员通过互联网下载的软件等都有可能导致病毒大规模传播。
二、新形势税务信息安全管理工作实践
1信息安全管理工作分解,明确分工与职责
我局信息安全工作的未来发展方向与符合我局实际情况的管理要求、监督指导执行层落实工作信息安全工作、考评执行层与支撑层的工作绩效。为全局的信息安全保障工作发挥着规划、指导、监督、考评作用,推动我局各项信息安全管理工作得以落实。执行层由各区县局单位指派在编工作人员担任,目前我局在各区县局设立信息岗,由具备一定计算机基础知识的工作人员担任。主要工任务是按照市局的管理要求开展日常的信息安全维护工作,并处理常规信息安全问题、向其他工作人员宣传市局既定的管理要求,提高全员的信息安全意识。通过执行层开展的信息安全工作,使市局规划的各项信息安全管理要求在基层得到落实。为提高执行层的工作能力,市局定期集中工作人员开展培训,传达市局信息安全工作思路、讲解工作中涉及的信息安全技术、宣传信息安全形势等。支撑层由第三方公司担任,为使我局信息安全管理工作更高效,我局将信息系统各项技术维护工作外包给各技术领域有一定实力的公司,由公司安排具备工作经验与能力的专业技术人员常驻我局,开展技术维护工作。我局管理人员根据制定的管理要求对各公司的维护工作进行考评。
2周期性检测,评估安全风险
漏洞挖掘技术很大程度的缩短了系统漏洞的发现周期,对税务系统是个非常大的安全隐患,常规的运行维护难以发现深层次的安全漏洞。因此我局将对信息系统及终端计算机的安全检测列入周期性的工作计划,不流于风险评估与等级保护测评的工作形式。以实质性的发现系统与终端安全漏洞为手段;以采取有效、可靠、安全的处置方法,降低系统安全风险为目标。将安全检测工作委托第三方专业的公司定期开展,将检查结果转交各类技术的维护公司进行处理。并对安全专业公司的检测能力,各类技术维护公司的处置能力纳入到统一考评体系,确保我局安全漏洞检测的全面性、准确性,问题处理的正常性、有效性。3建立以制度为依据、以技术为支撑的监督、管理工作流程为解决我局终端数量多、地域分布广、安全管理难度大的难题,管理层经讨论、研究针对终端安全及网络边界管理的方法,论证管理要求与技术实现的可行性,制定终端安全管理与网络边界管理的总体纲领策略。并测试、采购符合我局安全管理需求的安全技术实施部署。市局下发针对性的安全管理要求文件,安全技术根据市局管理要求部署基本的控制与审计策略。为更好的发挥技术平台的管理功效,市局将基本安全管理策略之外的管理权限下放到各区县局,由各单位根据自身实际情况制定管理规则。市局根据平台产生的数据,对违规使用资源、违规操作的个人与单位进行监督与通报,并纳入对各单位的考评。通过管理要求与技术平台的有机结合,使我局各项信息安全管理制度得到落实,并定期召集各单位对信息安全管理工作的经验进行交流与推广,提高全局的信息安全管理水平。
三、新形势税务信息安全管理探索方向
信息安全管理工作在设计上需成体系、在落实上需有支撑,这项工作有着一定的复杂性、周密性与完整性。并非依靠制定一系列的管理规定,或部署完善的信息安全技术就能立即提高信息安全管理水平。而是需要规划整体的安全管理方针与目标;根据方针与目标制定基础的保障框架;逐步完成基础保障框架中的管理、技术与过程建设;并在运行维护中不断的找出管理、技术与过程建设存在的不足,并进行改进,使信息安全管理水平不断的提高,逐渐形成适合我局的信息安全管理体系。目前我局制定信息安全管理的基本方针是建立以风险管理为核心的信息安全管理体系。在该方针的指导下,我局计划建立的基本信息安全保障框架为:
(1)以采取一切手段发现整体信息系统中存在的安全问题为基础。
(2)以评估发现的问题对信息系统可能产生的安全风险为支撑。
(3)以找出问题的有效、可靠、安全处置机制为保障。
(4)以监督、评估问题处置的有效性,降低安全风险为目标。因此在已定的安全保障框架下,管理层还需继续探索符合我局实际情况的信息安全管理方法,以管理有效方法为基础制定管理策略、以管理策略为依据选购安全技术、以安全技术为支撑开展具体管理工作、以具体管理工作为监督推动管理落实、以管理落实效果为依据检验管理方法、以优化管理方法目标提高安全管理效益。
1.1 项目设计。“十一五”期间,省人口计生委全面推进人口信息化管理,启动建设国家中部人口信息中心和河南全员人口统筹管理信息系统(“金人”工程)。以省级集中方式实现全员户籍人口和流动人口信息管理,个案信息纳入省库管理,人口计生信息化网络已经覆盖省、市、县、乡和30%以上的行政村。信息工作全面推开,数字档案信息安全管理出现了许多亟待解决的问题。项目目的是为摸清数字档案信息安全现状,发现信息安全管理工作中存在的问题及困难,提出合理化建议,以便采取有针对性的措施。
1.2 调研范围与方式。此次调研从2011年3月起至2013年3月30日止,在全省随机选取4个省级计生部门(省计生科研院、省药具管理站和省计生协会、省计生干部学院)、26个市级计生部门(包括市计生委、市药具站、市协会、市技术指导站)、63个县区级计生部门(包括县计生委、县计生指导站、县药具站)单位和个人,发放调查表200份,收回问卷196份,有效率98%。
主要运用问卷调查、电话采访与实地调研相结合的方法,把影响数字档案信息安全的管理、硬件设施和人员素质三个方面作为问卷设计和访谈内容。根据国家有关的电子文件归档管理文件和计生系统的实际,针对单位和个人设计了两张问卷,单位问卷设置了21道题目,个人问卷设置了2大类题,16道小题。
2 数字档案信息安全现状与调查分析
2.1 数字档案业务概况。在省级机构,2个单位有综合档案室,其他单位档案按照业务划分科室管理,都有专兼职固定的档案员,单位档案管理状况较好,数字档案占全部档案资料的7%;受编制限制和工作业务限制,市县区级计生档案部门纸质档案文件来源少,最少的内部发文只有10件,数字档案数量更少,没有实现集中管理;全系统的档案管理工作大多停留在传统的保管纸质档案文件的工作模式上,电子文件不能有效归档,从而无法实现妥善保管。
2.2 管理体制情况。参与调研的单位中,数字档案信息安全工作均实行统一领导、分级管理的模式,包括业务督导和组织培训。省市级单位按要求全部参加全省人口计生系统网络安全培训班,对网络基础知识、交换原理、路由技术与路由器、信息安全有一定了解。对本单位档案部门或下属单位档案工作主要通过组织人员参加基本业务或专题培训班(如安装统一的管理软件)以及个别指导的方式进行。市县级计生部门的数字档案信息安全工作以接受上级监督指导为主,95%单位把数字档案信息安全工作纳入了年度工作计划或“十二五”档案数字加工与信息安全发展规划;用于数字档案信息安全工作所需经费全部来自财政拨款,投入比例信息大都不愿透露,无法了解到;参与调研单位全部配备信息员和专、兼职人员管理数字档案信息工作。
2.3 制度建设情况。在省人口计生委突发公共事件应急处理工作领导小组领导下,出台了《河南省人口计生委突发公共事件应急预案》,其中包含了数字档案信息安全内容。70%以上的单位有信息安全紧急预案,但是数字档案信息安全专项制度缺失。
2.4 硬件配备情况。安全基础设施是数字档案信息安全管理的保障。对安全基础设施包括设备配置、网站建设、是否安装防病毒设施等方面进行了调研。在被调研的单位中,98.89%市县人口计生委单机配备数量和机关公务员编制人数(不含机房设备和笔记本计算机)持平,市县药具站单机配备数量达到每个业务科室至少1台标准,95.37%以上单位计算机安装有防火墙,但在入侵检测、信息加密方面设施不足;大多应用office办公软件对档案进行目录级管理,数字化管理档案水平普遍偏低;省级、市级计生部门全部建有网站和局域网,26个市级调研单位中安装数字化档案采集转化系统的有6个,占23.08%;安装在线档案存储管理与安全系统的有4个,占15.38%,县区级计生部门安全设施建设在经费紧张的情况下,投入较少。
2.5 人员数字档案信息安全素质情况。从参加调研的196名工作人员中了解到,工作上大量使用计算机,每天使用电脑工作2小时~5小时的有83人,占总数的42.34%,使用5小时~8小时的有54人,占总数的27.55%。使用电脑的主要目的,选工作的有164人,占总数的83.67%;查阅资料的有129人,占总数的65.82%。人员学历水平,中专学历的有31人,占总数的15.81%;大专以上学历的有94人,占总数的47.95%;本科以上学历的有67人,占总数的34.18%;硕士学位的有1人,占总数的0.05%。
平常工作中,使用杀毒软件的有193人,占总数的98.47%;能够自行处理病毒(求助他人或者找专业人士)的有161人,占总数的82.14%。在“您了解哪类信息安全技术和产品”问题的备选答案“防火墙、反病毒软件、反垃圾邮件、动态密码令牌”中,选择最多的是防火墙,占总数的83.81%。认为当前数字档案信息安全障碍主要有:选择信息安全人才不够的有66人,占总数的33.67%;选择技术不过关的有60人,占总数的30.61%;选择普遍缺乏信息安全意识的有44人,占总数的22.45%。参加了计算机安全知识培训的有158人,占总数的80.61%,其中,参加本单位档案信息安全培训的有77人,占总数的39.29%,参加计生委培训的有85人,占总数的43.37%,86.53%的人员只接受过一次培训。
3 关于我省计生系统数字档案安全的建议
通过定量和定性的分析,得出当前计生系统的数字档案信息安全存在以下问题:档案的数字化水平偏低,多数人员对数字档案信息安全管理的重要性、紧迫性认识不足,认为保障信息安全就是保障数字档案信息安全;对数字档案信息安全知识了解甚少,认为保障数字档案信息安全就是安装杀毒软件、设置防火墙;接受档案业务培训和数字档案信息安全教育频次偏低;行业性的数字档案信息安全制度缺失;缺乏专业数字档案安全管理人才和硬件设备等问题,与当前数字档案信息安全工作发展有相当大差距,与大量应用计算机工作实际情况极不协调。针对以上问题,提出如下建议:
一是加强数字档案信息安全意识教育和宣传。建议在已有的人口数据信息平台的基础上,利用全员、流动人口、利导、人事、财务等人口信息系统服务基层,同时宣传档案和数字档案信息安全知识,以期达到良好效果。在实际工作中,加强宣传和管理力度,将数字档案信息安全工作实行工作考核制,纳入年度考核和目标考评。
二是培养复合型人才。专业信息安全管理人才是保障信息安全的最有效措施。对计生部门全体人员根据对象的业务需求分层级、有重点、有周期地组织数字档案信息安全知识培训,提高数字档案安全意识水平,并保证各层级档案人员接受培训的频次。如通过上级对下级的业务监督指导或参加相关的数字档案信息安全培训、组建QQ业务群、制作数字档案整理流程教学光盘、电子版制度汇编及业务手册等手段,实行多渠道、多层次、多类型的方法培养人才,提高队伍的整体数字档案信息安全业务素质。
三是建立健全数字档案信息安全规章制度。针对调研中发现的缺乏人口计生数字档案信息安全标准规范体系问题,今后,应着重建立管理制度:首先是实行数字档案信息安全管理岗位责任制,做到分工明确、层层负责,确保网络、系统和数据的安全,让参与数字档案信息安全保障的所有人员都能够按照确定的要求去行动。其次是建立符合实际的数字档案信息安全管理制度。根据数字档案业务实际,对数字档案信息化管理的软件、操作系统、数据的维护、防灾和恢复建立相关制度,制定应急处置预案。定期开展应急演练,提高整体数字档案信息安全防范水平。最后是业务工作制度化,对新发现的问题,如人口科技档案、免费计生项目电子档案的归档范围及整理方式等制定相应的管理规范,及时统一归档,为科技业务工作提供高质量的数据支持。
四是项目带动,加快数字档案信息硬件设施的建设。数字档案信息安全工作包括人财物投入、软硬件的集成,需要资金、技术、政策等各方面的支持,通过计划生育科技服务项目带动数字档案信息安全工作是很好的一个途径,争取把数字档案信息安全建设纳入信息化建设总体规划中,从项目获取数字档案信息安全建设的专项资金支持。例如,我院的孕前优生项目数据库的建设,不仅为项目提供了所需的软硬件设施,也推动了单位的数字档案信息安全网络建设。
顾客导向
项目驱动
共同进步
持续发展
二零一零年七月
为贯彻“顾客导向、项目驱动、共同进步、持续发展”的公司管理思路,做好“了解需求、抓准问题、找对 方法、积极配合、有效解决”的职能支持与保障工作,以确保华南区域 10/11 财年经营管理目标的顺利实现,现 确定新世界中国地产华南区域与流程与信息管理部 10/11 财年管理责任书如下:
7、 组织与管理优化 会议支持
流程与信息专题工作的讨论与决策,并跟进相关会议决议事项的落实,决策事项的跟进率为 100%。 建立和完善部门档案电子平台,将部门相关文档进行归类整理,方便存放和查阅,并指定专 人负责定期整理和维护。
例行 2010.10.30 半年 1 个 半年 1 个
8、 知识总结和案例 分享
总结日常电脑、设备、网络维护过程中的案例至少 2 个,并在公司内部进行分享,促进 IT 日常维护水平的提高。 总结信息安全的案例至少 2 个,并在公司内部进行分享,促进信息安全意识和信息安全保障 水平的提高。
一、 重点工作计划和行动措施(围绕五大职能展开)
工作计划 1、提升日常 IT 系 统对业务的支撑作 用 行动措施 措施一: 黑莓手机电子审批功能的开发。通过黑莓手机实现休假、出差、事务应酬、采购 等相关业务的电子申请与审批工作,进一步提高公司管理层的工作效率和移动办公能力。 措施二: 固定资产实物管理系统。配合人力资源与行政部自主开发固定资产实物管理系统, 使整个区域固定资产的管理更加系统、数据更加及时和准确。 措施一: 目前各项目在防火墙和防病毒方面比较薄弱,网络安全性需要提升。10/11 财年将 针对上述情况进行优化。 1) 2) 2、 进一步加强网络 及信息安全 3) 10 年 7 月份完成各项目公司网络及信息安全优化方案; 10 年 12 月前,完成广州地区网络及信息安全的实施工作; 11 年 6 月前,完成异地项目网络与信息安全的实施工作。 2010-9-15 2011-6-30 2、推进设计管理 系统建设 3、推进成本及采 购系统建设 完成时间 2010-9-30 2010-11-30
二、 专项工作
工作事项 1、推进区域级物 业管理系统建设 衡量标准或输出成果 推进区域级物业管理系统建设,通过业务梳理、总结和优化,打造区域物业管控及业务支撑 平台。 通过解决设计资料管理这一当前面临的紧迫问题为契机,充分总结新世界过去在设计业务管 理方面的经验,并借鉴行业经验的基础上,完成对设计管理业务的梳理、总结与优化,并在 此基础上完成设计资料管理部分的 IT 系统实施工作。 由业务部门主导,在充分总结公司过去在成本及采购业务方面的经验,适当借鉴行业经验的 基础上,形成全面业务梳理及解决方案,并在此基础上完成 IT 系统的支撑和实施工作。 完成时间 2010-2-1
2011-6-30
措施二: 加强《计算机及网络管理规范》及《信息安全与保密管理规定》在公司的宣讲和 落地,提高员工信息安全的意识和责任,切实推动公司信息安全保障水平的全面提升。 措施三: 本着“三分技术、七分管理”思路,进一步从意识、行为习惯、管理体系上去加 强信息安全工作,找到检查点,形成自检互检,公司监督检查等例行机制,使信息安全工作 真正得到落实和加强。 措施一: 租售升级系统的推广工作。基于业务需要,配合营销中心完成销售升级系统在华 南区域的推广工作。 1) 2) 8 月份完成东方项目和惠州项目的推广及项目应用工作; 12 月前按业务需要完成区域其它项目的销售升级系统的项目应用工作。
2011-6-30
三、 团队建设
2011-6-30 工作事项 衡量标准或输出成果 通过加强部门内部培训,培养部门员工一专多能的能力,无论是网络、系统还是办公设备, 软件开发都能具备交叉技能。 2010-12-30 提高团队业务能 力及凝聚力 通过参与各类重点 IT 项目,逐步培养部门员工具备独立的承担一定中大型项目的牵头能力。 除了技术能力外,要进一步培养员工的文字能力,要具备编写相应管理办法、制度流程和操 作指引的文字能力。 逐步引进和加大学习业界关于管理优化的咨询的这一方面的思维、方法论和工具。 2010-12-30 人员流失率 控制在 10%以内 备注 例行 例行 例行 例行 例行
3、加快 IT 系统在 华南区域的推广力 度
措施二: CRM 客服系统华南区域推广。基于业务需要,配合客户关系部完成 CRM 客服系 统在华南区域的推广工作。 1) 2) 在 8 月份完成新凯公寓的 CRM 系统推广。 在 10 年 12 月前,按业务需要完成其它异地项目的推广。 2010-12-30 例行
措施一: 逐渐培养和建立长期 IT 办公设备租赁及采购供应商,使其能为公司提供更优质的 租赁和设备供应服务,并缩短租赁和采购周期,提高配置效率。 4、提高 IT 办公设 备的配置与保障能 力 措施二: 对电脑等常用办公设备要有配置预见性,并保持一定的库存储备,实现员工入职 2 天内电脑配置到位的目标。 措施三: 进一步加强各类 IT 办公设备的巡检工作,每半年进行一次全面巡检,每月进行一 次日常巡检,对存在问题的设备及时进行维护和调整,以保证设备的稳定性和可用性,提高 公司的办公效率。 5、 进一步加强对区 域流程及管理优化 的支撑力度 6、 进一步完善部门 管理制度和操作指 引 进一步帮助区域的管理优化, 重点加强对流程、 操作指引以及围绕此的能力建设和意识建设, 从引进培训课程,亲自主导部分培训,引入工具方法,并重点参与一些优化项目的推进工作。 措施一: 完成部门与日常工作相关的各类软硬件标准制定工作。包括《计算机软件安装标 准 2010》,《IT 办公设备技术标准》,以保证工作执行的安全性,避免由于个人经验缺乏对 工作造成的影响。 措施二: 完成部门核心业务相关的操作指引工作。包括《数据库备份管理操作指引》,《网 络安全标准及管理操作指引》,以提高部门管理的规范性和有效性。
四、 其他说明 1、此管理目标责任书有效期自 2010 年 7 月 1 日至 2011 年 6 月 30 日。 2、此管理目标责任书一式两份,双方签字确认后生效。
例行
发约人:新世界中国地产华南区域
2011-6-30
受约人:流程与信息管理部 助理区域总监: 部 长:
区域总监:
2010-9-30
二、数字化进程中高校档案信息安全现状
档案数字化给高校档案工作带来了新的生机,数字化档案信息的网络传输和查询在为社会提供广泛信息服务的同时,也给高校档案的信息安全带来了严峻挑战。例如:在数字化加工过程中,有的高校利用勤工助学学生或通过外包实现档案全文数字化,存在对学生培训不够和对数字化加工服务机构、加工场地、加工人员和加工成果等方面监管不到位,管理不规范的问题;有的高校档案管理人员没有经过正规的机要保密培训,在工作实践中,对已触“红线”的档案信息资料继续以常规方法挂网;有的政府信息安全部门对进行档案数字化工作的单位指导不到位等等。
1.高校档案数字化进程中没有完整的法律法规制度保护信息安全。
目前,各高校全文数字化工作主要依据《中华人民共和国档案法》、《高等学校档案管理办法》、《电子公文归档管理暂行办法》等法规。法规制度分散零乱,缺乏系统的规划和设计,对于高校档案信息安全保障法规不成体系,缺少专门的法规。
2.高校档案数字化没有统一技术规范标准。
目前,没有一套具体全面、系统规范、科学合理、可操作性强的档案数字化技术规范,来保证高校档案数字化工作能够安全、科学、规范、有序地进行。
3.高校档案数字化评估、防范少,档案信息安全缺乏预警能力。
高校档案信息安全保障体系的各部分建设仍处于相对独立的状态,常将档案信息安全保障与档案信息安全保护混为一谈。人员岗位职责不明确,业务操作不规范,有越岗代岗现象,有的操作人员在相关计算机上使用与档案数字化无关的软件,难免带来病毒侵袭等隐患,造成数字化系统瘫痪,使得安全保障阶段的能力仅仅停留在保护的水平上,不能主动防御和动态保护档案信息安全。
4.高校档案专业人才短缺,档案信息安全保障缺乏发展能力。
在档案信息开发和利用过程中,人始终参与其中,是档案信息安全的制造者,也是档案信息安全的护卫者。随着档案信息化的推进和档案事业的发展,对档案工作者的要求也越来越高。在档案信息安全保障体系建设中,专业的信息安全人才是不可或缺的部分。
三、数字化进程中高校档案信息安全策略
1.遵循法律制度是高校档案信息安全的基础。
法律制度是高校档案数字化工作生成、管理、存储、利用各环节的参与人员共同遵守的规章或准则的统称,包括政策、法律、法规、标准、内部规定等多种形式。连续、有效、健全的制度是科学应对档案数字化进程安全风险的保障。通过科学的制度建设,约束威胁数字档案安全的人为因素,调动各方面人员应对安全风险的积极性才是根本。在数字化进程中,要保证高校档案信息安全,必须加强法制管理,充分运用法律手段,规范档案管理人员对数字化档案信息的安全保障。把保障档案信息安全的各项工作纳入法制化、规范化的轨道,进而提高档案管理部门对档案信息安全工作的管理水平。目前,高校档案数字化进程中应遵循的相关法律法规包括:《中华人民共和国档案法》、《中华人民共和国档案法实施办法》、《高等学校档案管理办法》、《电子公文归档管理办法》等等。这就要求高校有关部门一方面要依据现有法律法规,加大执法力度,严格执法,切实起到保障高校数字化档案信息安全的作用,另一方面针对高校档案信息安全面临的复杂问题,上级有关部门要进一步完善高校档案信息安全的法律法规,尽早出台有效的专门的法律依据。同时,高校也要根据自身的实际情况,修订数字化档案信息安全管理办法。
2.制定档案信息安全标准是高校档案信息安全的前提。
档案信息安全标准是一种多学科、综合性、规范性的标准,其目的在于保证档案信息系统的安全运行,保证利用者和设备操作者的人身安全。面对数字化档案事业的不断发展,制定数字化档案信息安全标准对保证高校数字化档案信息安全与保密起着重要的作用。高校要根据国家相关标准与规范,结合学校实际情况,在充分调查研究的基础上,制定一套具体全面、系统规范、科学合理、可操作性强的档案信息安全标准,保证高校档案数字化工作科学、规范、有序地进行。档案信息安全标准包括以下几个方面的内容:一是网络基础标准,主要涉及基础通信工程建设、网络平台建设、网络互联互通技术等方面;二是应用标准,基于部分高校档案数字化信息也会面向公众,为社会提供必要的服务,所以要制定字符内部编码标准、数据处理格式标准、信息输出标准等;三是应用支撑标准,主要涉及信息交换平台、电子记录管理和数据库方面的标准,能给高校档案数字化提供各种支撑和服务;四是信息安全标准,主要涉及安全级别管理、身份认证、访问控制、加密算法和数字签名方面的标准;五是管理标准,主要涉及人员管理、制度管理和档案信息管理等方面的内容。
3.安全技术保障是高校数字化档案信息安全的核心。
数字化档案信息是高科技产物,因此也需要高科技技术来保障档案数字化信息服务、编研工作和档案信息安全工作。高校档案数字化进程中面临的技术风险多种多样,归纳起来主要有:软硬件配置不当、数字化技术不成熟等等,这些都会对信息安全构成隐患,但只要有防范意识,绝大部分风险都可以规避。目前,高校档案数字化进程中涉及到的信息安全技术主要有以下几种:一是防火墙技术。它是设置在被保护网络和外部网络之间的一道屏障,在外部网与内部网之间建立起一个安全网关,从而防止发生不可预测的、潜在破坏性的侵入。它可以通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏敝网络内部的信息、结构和运行状况,以此来实现网络的安全保护。二是数据加密技术。数据加密技术一般与防火墙技术配合使用,它是为提高信息系统及数字档案信息的安全性和保密性,防止机密信息被外部破析所采用的主要技术手段之一。三是反病毒技术。反病毒技术包括预防病毒、检测病毒和消除病毒三种技术。四是访问控制技术。在操作系统和数据库系统中规定了访问控制的权限,如规定文件建立者具有可读、写、修改或执行的权限。强制性访问控制引入了安全管理员的机制,增加了安全保护,可防止用户无意或有意地使用自主访问的权利。五是安全审计技术。通过对网络内发生的各种访问情况记录日志,并对日志进行统计分析,进而对资源使用情况进行事后分析,它也是发现和追踪事件的常用措施。
4.有效的安全管理是高校数字化档案信息安全的关键。
数字档案信息安全管理是以数字档案信息及其载体为对象的安全管理,它的任务是保证高校数字档案信息的使用安全和信息载体的运行安全。数字档案信息安全保障的管理体系是指以系统全面科学的安全风险评估为基础的、体现“防患于未然”为核心的、动态的数字档案信息安全管理。数字档案信息安全管理活动包括建立机构、制定计划、开展培训、落实措施、检查效果和实施改进等过程。学校档案部门必须成立一个安全管理工作组,负责实施和监控整个档案数字化信息安全管理活动,对档案数字化信息及信息处理设施的威胁、影响、脆弱性及三者发生的可能性进行评估;不定期对人员进行安全策略及安全技术的培训,有效地遏制来自外部和内部的攻击,增强安全防护能力和隐患发现能力,确保高校数字档案信息资源内容和信息载体的安全。
5.高素质的人才是高校数字化档案信息安全的保证。人员管理是高校数字化档案信息安全工作中最关键的部分,也是最难的部分。应对各个时期的安全风险,有效管理参与人员应建立在以下两个假设之上:一是人人都可能带来不确定的安全风险因素,人人都肩负着保证信息安全的职责。在对外部非授权用户制定防护措施时,也要加强对内部人员的管理、培训、监督和审计工作。二是参与人员分工不同,每类人员参与档案信息安全的工作分工也不同。在保证档案信息安全工作计划中,应明确主管领导、技术人员、管理人员、数字档案形成者和利用者的权利、责任和义务。
一、工控系统介绍
工业控制系统由各种组件构成,有些组件是自动的,有些是能进行过程监控的,两种组件构成了工业控制系统的主体。该系统的主要目的就是在第一时间实现对数据的采集和监控工业生产流程。如图,主要分为控制中心、通信网络、控制器组。
工控系统主要包括过程控制、数据采集系统(SCADA)、分布式控制系统(DCS)、程序逻辑控制(PLC)以及其他控制系统等。一直以来,这些系统被应用在不同的工业领域,成为了国家的重点基础工程项目的建设中不可缺少的成分之一。所有的工业控制系统中, 工业控制过程都包括控制回路、人机交互界面(HMI)及远程诊断与维护组件。上图为典型的ICS 控制过程。
二、工控系统的安全现状分析
随着计算机技术和工业生产的结合,工业控制系统(Industrial Control Systems, ICS)已成为制造、电力及交通运输等行业的基石。一方面,工控系统为工业的发展带来了巨大的积极作用,另一方面,因为工业控制系统的安全防护体系做得还不是很到位, 很多的非法入侵事件屡见不鲜,这对工业的发展,甚至对整个国家的安全战略提出了挑战。尤其是2010 年的Stuxnet 病毒的肆虐,让全球都明白,人们一直认为相对安全的工业控制系统也成为了黑客攻击的目标,因此,在第一时间发现工控系统的安全问题,并及时解决这些安全问题是极其重要的。此外,建设安全可信的工控防御体系,也是现在各国发展和建设的重要一环。
三、工控系统现存在的问题
3.1系统内部风险:操作系统存在安全漏洞。由于工控软件先设计,之后操作系统才会发现漏洞进行修复,甚至绝大部分工控系统所使用的Windows XP系统生产者Microsoft公司申明:4月8日以后不会对XP系统安全漏洞进行修复,所以之后工控系统病毒的爆发会更加频繁,使工控系统更加危险。
无杀毒软件的问题。使用Windows操作系统的工控系统基于工控软件与杀毒软件的兼容性的考虑,一般不会安装杀毒软件,给病毒的传播与扩散留下了空间。
u盘传播病毒问题。在工控系统中的管理终端一般不会有专门软件对U盘进行管理,导致外设的无序使用从而引发工控系统病毒传播。
工控系统存在被有意控制的风险。没有对工控系统的操作行为监控和制定相应的措施,工控系统中的异常行为会给工控系统带来较大的风险。
3.2 外部问题。安全评估存在困难。安全评估是建立安全防护体系的第一步,工业控制系统信息安全评估标准是国家颁发的第一个关于工控系统安全方面的标准,工信部2011年的通知中明确要求对重点领域的工业控制系统进行安全评估,但2012 年这项工作遇到了例如缺少针对特定行业的评估规范、只能针对IT系统,不能对非IT类的设备进行评估等困难。
缺乏针对ICS安全有效的解决方案。现有的纵深防御架构解决方案只针对一般ICS模型,针对特定行业的工控系统进行防护,还需要在未来大量实践的基础上才能完善。
应对APT攻击解决效果不佳。从过去的几次ICS安全事故来看,有针对性、有持续性的APT攻击威胁最大,APT 攻击的防御一直是信息安全行业面临的难题,即使是Google、RSA 这些拥有许多专门人才和对信息安全有大投入的公司在APT攻击面前也没能幸免。
四、工控系统信息安全的解决
4.1硬件完善。国际上有两种不同的工控系统信息安全解决方案: 主动隔离式和被动检测式
主动隔离式解决方案:即相同功能和安全要求的设备放在同一区域,区域间通信有专门通道,加强对通道的管理来阻挡非法入侵,保护其中的设备。例如:加拿大Byres Security公司推出的Tofino工控系统信息安全解决方案。
被动检测式解决方案:除了身份认证、数据加密等技术以外,多采用病毒查杀、入侵检测等方式确定非法身份,多层次部署与检测来加强网络信息安全。例如:美国Industrial Defender公司的ICS安全解决方案。
4.2“软件”完善:安全管理体系。安全管理防护体系由安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五部分构成。工控系统管理体系是一个循序渐进的过程,且要随着时代的进步随时更新,逐步完善系统,完善管理体系,最终才能实现工控系统的真正的安全。
安全管理制度:建立、健全工控系统安全管理制度,制定安全工作的总体方针和战略,工控系统安全防护及信息录入纳入日常工作管理体系,对安全管理人员或者操作人员所进行的重要操作建立规范流程;形成由安全政策、管理方法、操作规范流程等构成的安全管理制度体系。
安全管理机构:专门设立的工控信息安全工作部门,确定相关领导为安全事故责任人,制定相关文件明确机构、岗位、个人的职责分工和要求等。
人员安全管理:规范重要岗位录用流程,对录用者进行相关身份、背景、专业资质的严格审查,进行相关专业技能的考核,与关键岗位的人员签订保密协议;对相关岗位人员进行定期安全培训教育,严格限制外来人员访问相关区域、系统、设备等。
系统建设管理:首先要根据系统重要程度设立安全等级实施相应的基本安全措施,根据实时状态更新完善系统,制定相应的补充调整安全措施制定长远的工作计划。
五、工业控制系统信息安全发展趋势
