信息安全服務(wù)體系精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的信息安全服務(wù)體系主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：信息安全服務(wù)體系范文

關(guān)鍵詞： 檔案信息服務(wù) 隱私權(quán) 網(wǎng)絡(luò)化

檔案信息是一種重要的原始信息，也是記錄隱私的重要載體，同時，作為歷史的記錄，檔案中的許多內(nèi)容涉及個人隱私，因此，檔案工作和隱私權(quán)保護(hù)有著必然的聯(lián)系。蓬勃發(fā)展起來的網(wǎng)絡(luò)環(huán)境在改變檔案信息收集、整理、貯存、傳遞、利用的傳統(tǒng)模式的同時，也使隱私權(quán)保護(hù)呈現(xiàn)出新的特點。網(wǎng)絡(luò)本身的安全性并不十分可靠，這是檔案信息網(wǎng)絡(luò)化服務(wù)進(jìn)程中一個極為重要的問題，由于技術(shù)的不完善，第三方（如“黑客”等）對當(dāng)事人隱私權(quán)的侵犯既可以發(fā)生在檔案館與用戶通過網(wǎng)絡(luò)傳送個人資料或不同的檔案網(wǎng)站之間共享個人資料的某個環(huán)節(jié)，又可以發(fā)生在檔案網(wǎng)站貯存?zhèn)€人資料的過程中。這就從客觀上推動了我們對檔案信息（網(wǎng)絡(luò)化）服務(wù)中的隱私權(quán)保護(hù)問題的探討。

一、檔案信息服務(wù)中涉及的隱私權(quán)問題分析

在檔案信息服務(wù)中保護(hù)隱私權(quán)的意義不僅在于維護(hù)當(dāng)事人的合法權(quán)益，而且在于為檔案事業(yè)的發(fā)展?fàn)I造良好的社會氛圍，推動檔案信息化進(jìn)程，促進(jìn)檔案社會價值的實現(xiàn)。

（一）個人資料收集中的隱私權(quán)問題

檔案是一種重要的原始信息，具有保密性，包括公民的一些重要的個人信息，大多數(shù)鮮為人知。雖然檔案法對保密檔案的管理和利用、密級的變更和解密都做了嚴(yán)格的規(guī)定，同時制定了檔案的開放期限，但其法律相對方主要是機(jī)關(guān)、團(tuán)體、企事業(yè)單位，對于個人重要檔案信息沒有給予明確的說明。事實上，在檔案所有人向檔案館移交、捐贈、寄存或檔案館自行收集關(guān)于公民的檔案之初，就應(yīng)妥善處理好隱私權(quán)問題。

隱私權(quán)保護(hù)問題在傳統(tǒng)的個人資料收集過程中并不太引人注目，但在網(wǎng)絡(luò)化的今天，檔案館通過網(wǎng)絡(luò)收集個人資料變得快捷化、自動化、詳細(xì)化，隱私權(quán)問題相對更加突出。比如，檔案網(wǎng)站在接受訪問時往往要求用戶提供若干個人資料，包括年齡、性別、身份證號、職業(yè)、收入、工作單位、研究方向、聯(lián)系電話、傳真、電子信箱等；檔案網(wǎng)站可以利用一些追蹤軟件來持續(xù)掌握用戶的網(wǎng)上行為，判斷他們的檔案信息消費特點。

檔案網(wǎng)站采用先進(jìn)的技術(shù)手段收集個人資料并非出于惡意，目的是通過對個人資料的分析與挖掘，找出可能連用戶自己都沒有意識到的檔案信息消費習(xí)慣或消費需求，改進(jìn)服務(wù)工作，這是網(wǎng)絡(luò)環(huán)境中檔案信息服務(wù)和信息產(chǎn)品開發(fā)“量身定制”的個性化、多樣化的要求。但是，檔案網(wǎng)站在用戶毫不知情或無可奈何的情況下（例如有的網(wǎng)站拒絕為不提供個人資料的用戶服務(wù)）收集個人資料，就是侵犯用戶對其個人資料的占有權(quán)和支配權(quán)。

（二）個人資料傳輸和貯存中的隱私權(quán)問題

檔案信息傳輸和貯存過程中所涉及的隱私權(quán)問題，主要出現(xiàn)在檔案信息網(wǎng)絡(luò)化過程中。

網(wǎng)絡(luò)本身的安全性并不十分可靠，這是檔案信息網(wǎng)絡(luò)化服務(wù)中可能產(chǎn)生隱私權(quán)問題的又一個原因。由于技術(shù)的不完善，第三方（如“黑客”等）對當(dāng)事人隱私權(quán)的侵犯既可以發(fā)生在檔案館與用戶通過網(wǎng)絡(luò)傳送個人資料或不同的檔案網(wǎng)站之間共享個人資料的某個環(huán)節(jié)，又可以發(fā)生在檔案網(wǎng)站貯存?zhèn)€人資料的過程中。比如，第三方可以直接侵入檔案網(wǎng)站的用戶數(shù)據(jù)庫，觀看、篡改、傳播個人資料，如果這種行為是出于惡意，那么當(dāng)事人的隱私權(quán)無疑將受到極大的威脅。

（三）個人資料利用中的隱私權(quán)問題

不恰當(dāng)?shù)乩脗€人資料是檔案信息服務(wù)中可能產(chǎn)生隱私權(quán)問題的第三個原因。

檔案利用與隱私權(quán)保護(hù)之間存在著矛盾，檔案利用必然涉及公民的隱私權(quán)保護(hù)問題。如果涉及隱私的檔案被自由利用，就可能導(dǎo)致政治與經(jīng)濟(jì)活動的混亂，使社會公民產(chǎn)生生活危機(jī)感，給社會的安寧團(tuán)結(jié)帶來不利因素。因此，如何認(rèn)識和正確處理好檔案利用與保護(hù)公民隱私權(quán)問題，是檔案利用工作在改革開放過程中的一個重要課題。因為這種侵權(quán)涉及檔案館的管理職能及檔案館對個人資料的常規(guī)使用，所以控制和防止此種侵權(quán)的困難較大。比如，檔案館將用戶為了特定的目的提供的個人資料出于業(yè)務(wù)需要用于未經(jīng)授權(quán)的另一目的上，包括但不限于向別的檔案館提供該資料，且未限制該檔案館對個人資料的合理使用——雖然這種利用個人資料的方法對用戶的合法權(quán)益并無損害。

由于各種原因，目前在檔案開放利用工作中公民的隱私權(quán)得不到應(yīng)得的保護(hù)甚至被人們所忽視，這無疑給檔案信息服務(wù)工作帶來了一定隱患。在目前我國隱私權(quán)的觀念尚未深入人心，人們在普遍缺乏隱私權(quán)保護(hù)意識的情況下，檔案部門在開放利用中忽視隱私權(quán)保護(hù)的行為還能被社會所容忍，但伴隨著我國法制化建設(shè)的進(jìn)程，公民隱私權(quán)意識的增強(qiáng)，檔案部門在實際工作中如不能很好地貫徹法律的規(guī)定，忽視對公民隱私權(quán)的保護(hù)，就會在很大程度上影響檔案信息服務(wù)工作的開展。

二、檔案信息服務(wù)中保護(hù)隱私權(quán)的對策

要使得公民的隱私權(quán)在檔案信息服務(wù)過程中得到保護(hù)，就必須走依法治檔的道路，進(jìn)行相關(guān)方面的檔案法律建設(shè)。目前我國《檔案法》中沒有明確規(guī)定檔案信息所涉及的隱私權(quán)問題，僅在部分條款中有類似說明。

在檔案信息服務(wù)過程中，檔案利用是涉及隱私權(quán)的一個關(guān)鍵環(huán)節(jié)，在利用時應(yīng)區(qū)別對待，通過控制使用這些涉及私益的檔案，限制其利用范圍，使隱私權(quán)受到必要的保護(hù)，做到合法利用。

做好檔案信息服務(wù)中的隱私權(quán)保護(hù)，檔案界和檔案館還應(yīng)采取以下對策。

（一）制定檔案行業(yè)的隱私權(quán)保護(hù)政策

1997年9月27日，國家檔案局、國家保密局聯(lián)合頒發(fā)了《各級國家檔案館館藏檔案解密和劃分控制使用范圍的暫行規(guī)定》，該文件對于有效預(yù)防在檔案開放利用工作中發(fā)生對個人隱私的侵權(quán)有非常重要的作用。各級各類檔案部門以此項規(guī)定作為政策指導(dǎo)和保障，結(jié)合各自的實際館藏狀況，制定了相關(guān)的規(guī)章制度，教學(xué)效果顯著。不僅如此，檔案學(xué)會和檔案館還應(yīng)制定本行業(yè)的網(wǎng)絡(luò)隱私權(quán)保護(hù)政策，并在網(wǎng)站主頁的顯眼位置予以明示，內(nèi)容包括：告知網(wǎng)站收集個人資料的目的、方式、范圍；對個人資料提供保密和安全措施的承諾；告知用戶的請求閱覽權(quán)、補(bǔ)充修正權(quán)、刪除權(quán)、訴訟權(quán)等相關(guān)免責(zé)條款。

檔案法律在以后的完善健全過程中，要著重注意解決一個問題，即檔案信息開放服務(wù)過程中公民隱私權(quán)與知情權(quán)的關(guān)系問題。在檔案利用實踐中，我們有時不得不在保護(hù)公民隱私權(quán)和維護(hù)公民知情權(quán)之間做出選擇。檔案部門所作出的選擇要符合法律利益最大化原則。如當(dāng)檔案中的隱私涉及共同利益、公共需求、政治利益時，檔案部門就要偏向于后者，因為它符合大多數(shù)人的需要，從長遠(yuǎn)來看，根本上也符合隱私權(quán)主體的利益。

（二）加強(qiáng)對個人檔案隱私權(quán)的管理與技術(shù)保護(hù)

1.在檔案管理中采取措施

這是合法利用檔案信息的前提條件，要求對涉及公民隱私權(quán)的檔案進(jìn)行鑒定與區(qū)分，使之與一般檔案區(qū)別對待，分開保管，實現(xiàn)有關(guān)檔案的完整、安全和保密。目前，檔案法規(guī)對涉及公民隱私權(quán)檔案的劃分并不十分明確，在實際工作中不易操作，這種狀況亟待改善。

利用者在利用涉及隱私的檔案時，只限于達(dá)到既定目的，當(dāng)按規(guī)定獲得對檔案的利用權(quán)后，可對這些檔案進(jìn)行閱覽、復(fù)制和摘錄，但不得將其以現(xiàn)行檔案法規(guī)中明令禁止的形式對外公布，不得擅自傳閱、散布、發(fā)表這些涉及他人隱私的檔案內(nèi)容。檔案工作者有必要在提供檔案信息服務(wù)過程中向利用者說明有關(guān)注意事項。

2.網(wǎng)絡(luò)化過程中的保護(hù)手段

相對于傳統(tǒng)的紙質(zhì)檔案而言，在檔案信息網(wǎng)絡(luò)化過程中，可以采取的技術(shù)保護(hù)手段可謂多種多樣?，F(xiàn)在已經(jīng)有了Cookies軟件管理工具、個人隱私偏好平臺（P3P）、加密軟件、自動刪除個人資料軟件等由用戶自己保護(hù)個人資料的技術(shù)。檔案網(wǎng)站保護(hù)個人資料的技術(shù)也有很多種，比如：檔案館為了禁止未獲授權(quán)的人截取或查閱個人資料，可以通過設(shè)置本網(wǎng)站運行的服務(wù)器，自動使電子郵件傳輸?shù)揭粋€預(yù)先指定的服務(wù)器目錄機(jī)密郵箱，只供獲得授權(quán)的人查閱。

（三）提高檔案館保護(hù)隱私權(quán)的自律性

“自律”是檔案館保護(hù)隱私權(quán)的一條重要原則，即通過檔案館采取自律措施來規(guī)范在個人資料收集、存貯、傳輸利用中的行為，達(dá)到保護(hù)隱私權(quán)的目的。

1.檔案館應(yīng)開展檔案開放利用的鑒定工作

組織鑒定小組及時鑒定需要開放利用的檔案，著重分析檔案涉及隱私的內(nèi)容和本館檔案的類型，從而確定哪些檔案涉及個人隱私，屬于控制范圍。對個人資料的重要程度劃分等級，以決定采取不同的保護(hù)措施。檔案館還要建立一些規(guī)章制度，避免所有的檔案館人員都能接觸到敏感的個人資料（如出身、種族、政治傾向、、犯罪記錄等），確保只有經(jīng)過批準(zhǔn)的檔案館人員才能收集、查閱、傳播這些個人資料。對于已到開放期的檔案，要嚴(yán)格按照《各級國家檔案館開放檔案辦法》、《各級國家檔案館館藏檔案解密和劃分控制使用范圍的暫行規(guī)定》中的相關(guān)規(guī)定，對擬開放檔案組織認(rèn)真鑒定，以決定包含個人資料的檔案的開放時間、開放方式和范圍。

2.檔案工作者要注意保護(hù)他人隱私

第2篇：信息安全服務(wù)體系范文

關(guān)鍵詞：信息安全 空間信息 信息共享 社區(qū)信息化 福州市

一、引言

社區(qū)信息化是城市信息化的基石。保障信息安全，是讓公眾充分利用空間信息及網(wǎng)絡(luò)技術(shù)對基層的公共事務(wù)和公益事業(yè)實行自我管理、自我服務(wù)、自我教育、自我監(jiān)督的重要前提。本文結(jié)合福州市公眾空間信息共享服務(wù)平臺的建設(shè)情況，對信息安全保障問題進(jìn)行初步探討。

二、福州市公眾空間信息服務(wù)共享平臺的結(jié)構(gòu)

福州市公眾空間信息共享服務(wù)平臺是福州市政府基于中國福州門戶網(wǎng)站(政務(wù)外網(wǎng))向公眾提供空間信息的一站式服務(wù)平臺，以數(shù)據(jù)服務(wù)的形式為社區(qū)提供需要的海量空間地理基礎(chǔ)數(shù)據(jù)。公眾不必關(guān)心空間地理基礎(chǔ)數(shù)據(jù)的管理、維護(hù)、更新問題，保證了數(shù)據(jù)的現(xiàn)勢性，節(jié)約了數(shù)據(jù)成本。不同權(quán)限的社區(qū)公眾可以通過訪問不同的地圖服務(wù)達(dá)到訪問不同數(shù)據(jù)圖層的目的。社區(qū)公眾經(jīng)政府培訓(xùn)認(rèn)證后,也可參與平臺的建設(shè)，疊加標(biāo)注所在社區(qū)的相關(guān)屬性信息，以達(dá)到社區(qū)自治的目的。

福州市公眾空間信息服務(wù)共享平臺包括應(yīng)用層、認(rèn)證層、接口層、服務(wù)層、數(shù)據(jù)層和管理維護(hù)層等六個層次，相互形成一個有機(jī)的整體。

⒈應(yīng)用層

應(yīng)用層是各社區(qū)基于平臺服務(wù)接口建立的社區(qū)應(yīng)用服務(wù)展示系統(tǒng),為社區(qū)公眾使用各類空間數(shù)據(jù)及服務(wù)提供途徑。從公眾角度看，平臺是一個信息服務(wù)機(jī)構(gòu)，可以是一個傳統(tǒng)意義上的桌面應(yīng)用程序，也可以是Web應(yīng)用程序或門戶網(wǎng)站。此外，通過建立面向不同社區(qū)的元數(shù)據(jù)目錄登記注冊，可以實現(xiàn)各類共享空間信息的查找，將解決這些數(shù)據(jù)“如何發(fā)現(xiàn)”的問題。

⒉認(rèn)證層

認(rèn)證層是福州公眾空間信息共享服務(wù)平臺與政務(wù)專網(wǎng)的網(wǎng)絡(luò)安全體系集成接口。利用PKI/CA證書等成熟安全技術(shù)，通過身份標(biāo)識、授權(quán)控制，提供“統(tǒng)一認(rèn)證管理”，實現(xiàn)“單點登錄”。認(rèn)證層的設(shè)計對于平臺系統(tǒng)及其信息資源的安全保障非常必要，保證只有授權(quán)用戶才可以訪問和使用平臺所提供的相關(guān)資源。

⒊接口層

接口層是提供給各類開發(fā)用戶的Web API(網(wǎng)絡(luò)應(yīng)用程序接口)。信息服務(wù)、中介機(jī)構(gòu)及社會公眾可以使用這些API來和自己的業(yè)務(wù)應(yīng)用進(jìn)行集成，形成自己的業(yè)務(wù)空間信息應(yīng)用系統(tǒng)，如商貿(mào)地理信息系統(tǒng)、三維旅游系統(tǒng)、現(xiàn)代物流系統(tǒng)、房產(chǎn)銷售管理系統(tǒng)，等等；平臺也可以使用這些API，來構(gòu)建綜合應(yīng)用展示系統(tǒng)、多源數(shù)據(jù)桌面瀏覽器等系統(tǒng)，為平臺使用者提供方便友好的接口。

⒋服務(wù)層

服務(wù)層是接口層的基礎(chǔ)，接口層是服務(wù)層的對外表現(xiàn)，服務(wù)層實現(xiàn)諸如二維數(shù)據(jù)引擎、地址編碼引擎、元數(shù)據(jù)引擎等，為接口層提供強(qiáng)大的后臺實現(xiàn)支持，這二者合稱為應(yīng)用接口層。通過應(yīng)用接口層，平成對各類空間地理基礎(chǔ)信息資源的對外共享和，將解決空間信息資源“如何”的問題。

⒌數(shù)據(jù)層

數(shù)據(jù)層是整個平臺的基礎(chǔ)。平臺的數(shù)據(jù)，從內(nèi)容上是福州市空間地理基礎(chǔ)信息數(shù)據(jù)，并將在平臺運行后逐步擴(kuò)大其覆蓋面；從表現(xiàn)形式上是存儲在于平臺數(shù)據(jù)中心及其他多個行業(yè)部門數(shù)據(jù)中心的分布式數(shù)據(jù)庫環(huán)境中。數(shù)據(jù)的完整性、實用性、精確性、動態(tài)更新能力等從根本上決定了平臺的價值。根據(jù)不同的數(shù)據(jù)類型特點以及應(yīng)用的需要，建立實用有效的數(shù)據(jù)采集、加工及處理流程與規(guī)范，通過對原始數(shù)據(jù)的加工整合，將解決數(shù)據(jù)“如何制作”的問題。

⒍管理維護(hù)層

管理維護(hù)層包括對平臺數(shù)據(jù)的管理和應(yīng)用及服務(wù)的管理，和上面五個層有著密切的聯(lián)系，是整個平臺正常運維的保證；有數(shù)據(jù)入庫、更新維護(hù)、服務(wù)管理、運行監(jiān)控、用戶及權(quán)限管理等應(yīng)用。對于社區(qū)公眾的權(quán)限管理將分為三個級別，即功能權(quán)限控制(能使用哪些功能)、圖層權(quán)限控制(能訪問哪些圖層)及區(qū)域范圍權(quán)限控制(能訪問什么范圍)，系統(tǒng)管理員可以根據(jù)社區(qū)公眾角色進(jìn)行授權(quán)，控制其對共享平臺的訪問。

三、公眾空間信息共享服務(wù)平臺的安全保障體系設(shè)計

福州市公眾空間信息共享服務(wù)平臺安全保障體系就是要在中國福州門戶網(wǎng)站（政務(wù)外網(wǎng)）和互聯(lián)網(wǎng)環(huán)境下，以公眾服務(wù)平臺的安全需求和安全策略為依據(jù)，建立以系統(tǒng)可用性、完整性、機(jī)密性為目標(biāo)的信息安全保障體系。建立服務(wù)平臺安全保障體系是一項系統(tǒng)工程，它從安全策略、安全技術(shù)保障、安全組織、安全管理以及四個方面來系統(tǒng)考慮平臺建設(shè)的安全保障。

⒈安全策略

安全策略主要從整體上提供全局性指導(dǎo)，為具體的安全措施和規(guī)定提供一個全局性的框架。公眾空間信息共享服務(wù)平臺是依托中國福州門戶網(wǎng)站（政務(wù)外網(wǎng)）為互聯(lián)網(wǎng)公眾提供信息服務(wù)。根據(jù)電子政務(wù)系統(tǒng)業(yè)務(wù)特點和安全要求，按“分域防護(hù)、分級保護(hù)”的原則，要劃分不同的安全域和業(yè)務(wù)保護(hù)安全等級，制定與之適應(yīng)的安全防護(hù)措施和安全機(jī)制，通過集成相關(guān)的安全產(chǎn)品和安全服務(wù)，從物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全、安全管理等五個方面，構(gòu)造多層防御的安全保障體系，以確保平臺安全、高效、可靠運行。

⒉安全技術(shù)保障

⑴安全基礎(chǔ)設(shè)施的建設(shè)

信息安全技術(shù)的設(shè)計必須滿足平臺建設(shè)的安全需求與安全策略。從技術(shù)保障體系結(jié)構(gòu)上，是按照分層防護(hù)的原則來設(shè)計的。通常，把物理安全、網(wǎng)絡(luò)安全和系統(tǒng)安全等安全措施統(tǒng)稱為安全基礎(chǔ)設(shè)施。安全基礎(chǔ)設(shè)施的建設(shè)主要包括：安全管理維護(hù)系統(tǒng)、設(shè)備安全管理、邊界訪問控制系統(tǒng)、監(jiān)控和檢測系統(tǒng)、防病毒系統(tǒng)、主機(jī)加固和保護(hù)、容災(zāi)備份系統(tǒng)、遠(yuǎn)程安全接入（VPN）系統(tǒng)等。

安全網(wǎng)管和應(yīng)用監(jiān)控系統(tǒng)：實現(xiàn)對公眾空間信息共享服務(wù)平臺應(yīng)用統(tǒng)一監(jiān)控和預(yù)警，實現(xiàn)故障、事件統(tǒng)一管理。邊界訪問控制系統(tǒng)：根據(jù)各安全域具體的安全防護(hù)策略，實現(xiàn)各安全域的邊界保護(hù)。在政務(wù)信息交換中心，政務(wù)外網(wǎng)和互聯(lián)網(wǎng)直接使用防火墻設(shè)備，在政務(wù)外網(wǎng)和內(nèi)網(wǎng)之間部署網(wǎng)閘設(shè)備。

監(jiān)控檢測系統(tǒng)：重點在于檢測和修補(bǔ)安全漏洞，入侵行為。該系統(tǒng)包括脆弱性評估、入侵檢測、web服務(wù)器防篡改等機(jī)制。

防病毒系統(tǒng)：防范病毒入侵和傳播。

容災(zāi)備份系統(tǒng)：在服務(wù)平臺信息中心對數(shù)據(jù)進(jìn)行容災(zāi)和備份。

接入網(wǎng)VPN：在網(wǎng)絡(luò)接入邊界提供VPN接入服務(wù)。

⑵應(yīng)用安全的建設(shè)

應(yīng)用安全的建設(shè)是公眾空間信息共享服務(wù)平臺安全保障體系的重點建設(shè)內(nèi)容，在建設(shè)過程中，必須考慮以下幾個方面：

統(tǒng)一身份認(rèn)證：通過跟福州市政務(wù)網(wǎng)建立統(tǒng)一接口，利用政務(wù)網(wǎng)已經(jīng)建成的基于LDAP的統(tǒng)一身份認(rèn)證系統(tǒng)、政務(wù)PKI/CA系統(tǒng)為共享服務(wù)平臺提供統(tǒng)一的身份認(rèn)證服務(wù)。

授權(quán)管理系統(tǒng)：提供授權(quán)管理服務(wù)，對服務(wù)訪問用戶、數(shù)據(jù)管理用戶、空間信息資源共享平臺用戶及其權(quán)限進(jìn)行統(tǒng)一管理。

數(shù)據(jù)安全：實現(xiàn)對機(jī)密文件進(jìn)行加密、用訪問控制列表限制數(shù)據(jù)的訪問。建立關(guān)鍵數(shù)據(jù)的備份和恢復(fù)措施。

可信時間戳服務(wù)：公眾空間信息共享服務(wù)平臺上的應(yīng)用都具有很強(qiáng)的時序性，可信時間戳服務(wù)將成為建立有效服務(wù)和監(jiān)督機(jī)制的基石。

安全審計：安全審計對于應(yīng)用系統(tǒng)安全事故的分析和取證具有重要的作用，已經(jīng)成為信息系統(tǒng)安全的重要環(huán)節(jié)。⒊安全組織保障體系

電子政務(wù)信息安全的運作需要強(qiáng)有力的組織體系保障，使得有關(guān)信息安全管理和實施的政令通暢。通常，電子政務(wù)安全組織保障體系包括三個層次，即決策層、管理層和執(zhí)行層。福州市政務(wù)信息中心負(fù)責(zé)制定全市公眾空間信息共享服務(wù)平臺建設(shè)規(guī)劃、政策法規(guī)，負(fù)責(zé)平臺的建設(shè)與管理工作。為了加強(qiáng)安全組織保障體系，必須進(jìn)一步明確崗位安全職責(zé)，明確決策層、管理層和執(zhí)行層三者的責(zé)任和權(quán)利，把安全措施落實到具體的崗位。

⒋安全管理流程控制

信息系統(tǒng)安全需要通過一系列科學(xué)規(guī)范的安全管理流程組織實施，安全管理流程明確了安全職責(zé)的劃分，合理的人員角色定義，可以很大程度上降低安全隱患。因此，公眾空間信息共享服務(wù)平臺的建設(shè)、運行、維護(hù)、管理都要嚴(yán)格按制度執(zhí)行，明確責(zé)任義務(wù)，規(guī)范操作，加強(qiáng)人員、設(shè)備的管理。

安全管理制度要通過安全管理流程來系統(tǒng)化實施，共享服務(wù)平臺在建立自己的信息安全體系時，其安全管理流程應(yīng)遵循著名的Plan―Do―Check―Action（PDCA），即“計劃―實施―檢查―措施”四個循環(huán)周期來實施。PDCA過程模式可簡單描述如下：

計劃：依照整個方針和目標(biāo)，建立與控制風(fēng)險、提高信息安全有關(guān)的安全方針、目標(biāo)、指標(biāo)、過程和程序。

實施：實施和運作方針（過程和程序）。

檢查：依據(jù)方針、目標(biāo)和實際經(jīng)驗測量，評估過程業(yè)績，并向決策者報告結(jié)果。

措施：采取糾正和預(yù)防措施進(jìn)一步提高過程業(yè)績。

四個步驟成為一個閉環(huán)，通過這個環(huán)的不斷運轉(zhuǎn)，使信息安全管理體系得到持續(xù)改進(jìn)，使信息安全績效螺旋上升。

作者簡介：

第3篇：信息安全服務(wù)體系范文

區(qū)域信息生態(tài)系統(tǒng)是一個具有多樣性、復(fù)雜性的有機(jī)系統(tǒng)。近幾年來，我國許多區(qū)域的信息污染、信息壟斷、信息超載、信息孤島、信息侵犯、網(wǎng)絡(luò)安全等問題較為嚴(yán)重。加深對區(qū)域信息生態(tài)系統(tǒng)及服務(wù)體系的研究，有利于其保持良性運行，也有助于信息生產(chǎn)和消費之間的平衡，完善媒體信息資源公益性開發(fā)機(jī)制。

區(qū)域信息生態(tài)系統(tǒng)概念模型

區(qū)域信息生態(tài)系統(tǒng)是一個在某一地區(qū)信息生態(tài)循環(huán)中，由信息人、信息和信息環(huán)境三大要素及其內(nèi)部各生態(tài)因子組成的動態(tài)而開放的系統(tǒng)。其中，信息人不僅包括參與信息活動的單個個體，也包括從事信息工作的政府、媒體機(jī)構(gòu)、民間團(tuán)體、行業(yè)協(xié)會、社區(qū)等，這是信息生態(tài)系統(tǒng)的核心。其參與信息活動是使生態(tài)系統(tǒng)維持“平衡失衡平衡”螺旋式上升的主導(dǎo)力量。信息主要指區(qū)域內(nèi)所有的數(shù)據(jù)資源，也包括與之相關(guān)的區(qū)域外信息資源，其具有價值性、時效性、傳遞性、可處理性、服務(wù)性、共享性、增值性等特征。信息環(huán)境涵蓋信息基礎(chǔ)設(shè)施、信息資源、信息技術(shù)、信息政策與法規(guī)等，其中，信息技術(shù)是獲取、傳遞、處理、存儲、再生和利用信息的主導(dǎo)因子，包括計算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、感測技術(shù)、自動控制技術(shù)、數(shù)據(jù)庫技術(shù)和多媒體技術(shù)，以及由這些技術(shù)分解出的其他相關(guān)技術(shù)。區(qū)域信息生態(tài)系統(tǒng)內(nèi)部各生態(tài)因子之間相互聯(lián)系、相互作用、相互依存、共生共進(jìn)。在系統(tǒng)中，信息人、信息與信息環(huán)境之間存在著動態(tài)的相互適應(yīng)過程，持續(xù)的動態(tài)適應(yīng)過程維持著系統(tǒng)的有序平衡。

基于上述認(rèn)知，本課題建立了區(qū)域信息生態(tài)系統(tǒng)的概念模型（如下頁圖1）。

在系統(tǒng)中，信息人是生態(tài)的主體，信息資源是生態(tài)的客體，信息環(huán)境不僅是生態(tài)的背景和場所，而且是所有與信息相互關(guān)聯(lián)的外部因素之和。信息人從其所處的信息環(huán)境中獲取與利用信息資源，又發(fā)揮自己的能動性通過實踐活動改造信息環(huán)境，從而實現(xiàn)不斷變化的目標(biāo)。事實上，信息社會是以信息的收集、開發(fā)、傳播、利用為主要特征的，信息作用的發(fā)揮必須借助于信息技術(shù)，同時也由于信息技術(shù)的進(jìn)步促進(jìn)信息生態(tài)系統(tǒng)的改善。信息人通過一定的信息技術(shù)與外界信息環(huán)境之間進(jìn)行信息交換，構(gòu)成了一個信息生態(tài)循環(huán)。

區(qū)域信息生態(tài)系統(tǒng)服務(wù)體系構(gòu)建

本課題構(gòu)建的區(qū)域信息生態(tài)系統(tǒng)服務(wù)體系框架，包括四大平臺和兩大體系（如圖2）。

四大平臺包括：1.數(shù)字政府。改革政府行政管理方式，建設(shè)統(tǒng)一的政務(wù)網(wǎng)絡(luò)平臺。通過網(wǎng)上審批、網(wǎng)上審計、網(wǎng)上、網(wǎng)上監(jiān)督考核等多種信息技術(shù)手段，降低行政成本，提高行政效能，實現(xiàn)網(wǎng)上互動；建設(shè)完善一批重點業(yè)務(wù)下臺，并將以傳統(tǒng)載體保存的政務(wù)信息資源數(shù)字化、網(wǎng)絡(luò)化。2.數(shù)字企業(yè)。以建設(shè)區(qū)域先進(jìn)制造業(yè)基地為目標(biāo)，加快信息化帶動工業(yè)化，提升產(chǎn)業(yè)集群、企業(yè)及產(chǎn)品信息化水平，加強(qiáng)自主創(chuàng)新，掌握信息化核心技術(shù)，從而促進(jìn)企業(yè)生產(chǎn)經(jīng)營和管理方式變革。3.數(shù)字城市。圍繞著如何提高城市綜合管理能力和公共服務(wù)水平這個目標(biāo)，完善城市信息基礎(chǔ)設(shè)施建設(shè)，發(fā)展技術(shù)含量高、關(guān)聯(lián)度大的現(xiàn)代服務(wù)行業(yè)，促進(jìn)政府公共管理、社會公共服務(wù)和便民商業(yè)服務(wù)的融合。同時注重數(shù)字圖書館建設(shè)。4.數(shù)字新農(nóng)村。為了增強(qiáng)服務(wù)“三農(nóng)”的能力，在農(nóng)村建立信息網(wǎng)絡(luò)服務(wù)體系，加快現(xiàn)代農(nóng)業(yè)信息技術(shù)應(yīng)用，并積極開展農(nóng)業(yè)信息技術(shù)培訓(xùn)服務(wù)，不斷提高農(nóng)民信息應(yīng)用技能，切實加強(qiáng)農(nóng)戶、農(nóng)村合作社與企業(yè)的聯(lián)系，促進(jìn)農(nóng)產(chǎn)品的銷售、深加工，提高農(nóng)民收入。

兩大體系包括：1.信息安全體系。在各級政府有關(guān)部門的統(tǒng)一領(lǐng)導(dǎo)下，根據(jù)國家有關(guān)信息安全的法律法規(guī)，建立起信息安全監(jiān)管機(jī)制及其保障體系。有關(guān)人員要提高對電子政務(wù)、電子商務(wù)、信息資源開發(fā)利用、信息服務(wù)、信息市場、資源共享等方面的安全風(fēng)險管控能力，強(qiáng)化等級保護(hù)和風(fēng)險評估，使得信息安全管理更加科學(xué)有效。2.社會誠信體系。建立涉及社會諸多領(lǐng)域的信用信息記錄、信用產(chǎn)品使用、守信受益及失信懲戒的信用制度，形成各部門協(xié)同推進(jìn)、社會和企業(yè)廣泛參與的誠信工作格局；誠信體系覆蓋信用服務(wù)產(chǎn)業(yè)鏈各個環(huán)節(jié)，包括社會信用制度建設(shè)、信用服務(wù)體系建設(shè)、個人信用聯(lián)合征信系統(tǒng)、企業(yè)聯(lián)合征信系統(tǒng)和信用服務(wù)行業(yè)協(xié)會等。

第4篇：信息安全服務(wù)體系范文

本報訊 在日前召開的國務(wù)院常務(wù)會議上，國務(wù)院總理主持并研究部署推進(jìn)信息化發(fā)展、保障信息安全工作。會議要求健全信息安全防護(hù)和管理，切實提高防攻擊、防篡改、防病毒、防癱瘓、防竊密能力。

會議指出，當(dāng)前，世界各國信息化快速發(fā)展，信息技術(shù)的研發(fā)和應(yīng)用正在催生新的經(jīng)濟(jì)增長點，以互聯(lián)網(wǎng)為代表的信息技術(shù)在全球范圍內(nèi)帶來了日益廣泛、深刻的影響。加快推進(jìn)信息化建設(shè)，建立健全信息安全保障體系，對于調(diào)整經(jīng)濟(jì)結(jié)構(gòu)，轉(zhuǎn)變發(fā)展方式，保障和改善民生，維護(hù)國家安全，具有重大意義。今后一段時期，要以促進(jìn)資源優(yōu)化配置為著力點，構(gòu)建現(xiàn)代信息技術(shù)產(chǎn)業(yè)體系，全面提高經(jīng)濟(jì)社會信息化發(fā)展水平；加強(qiáng)統(tǒng)籌協(xié)調(diào)和頂層設(shè)計，健全信息安全保障體系，切實增強(qiáng)信息安全保障能力，維護(hù)國家信息安全，促進(jìn)經(jīng)濟(jì)平穩(wěn)較快發(fā)展和社會和諧穩(wěn)定。

會議還討論通過《關(guān)于大力推進(jìn)信息化發(fā)展和切實保障信息安全的若干意見》，確定了實施“寬帶中國”工程；推動信息化和工業(yè)化深度融合；加快社會領(lǐng)域信息化；推進(jìn)農(nóng)業(yè)農(nóng)村信息化；健全安全防護(hù)和管理；加快安全能力建設(shè)等六項重點工作。其中，對于“寬帶中國”工程，《意見》要求加快信息網(wǎng)絡(luò)寬帶化升級，推進(jìn)城鎮(zhèn)光纖到戶，實現(xiàn)行政村寬帶普遍服務(wù)。加快部署下一代互聯(lián)網(wǎng)，重點研發(fā)下一代互聯(lián)網(wǎng)關(guān)鍵芯片、設(shè)備、軟件和系統(tǒng)，推動產(chǎn)業(yè)化。加快推進(jìn)電信網(wǎng)、廣電網(wǎng)、互聯(lián)網(wǎng)三網(wǎng)融合，培育壯大相關(guān)產(chǎn)業(yè)和市場；對于推動信息化和工業(yè)化深度融合，《意見》要求重點推動企業(yè)信息化水平全面提升，推廣節(jié)能減排信息技術(shù)，增強(qiáng)信息產(chǎn)業(yè)核心競爭力，引導(dǎo)電子商務(wù)健康發(fā)展，推進(jìn)服務(wù)業(yè)信息化；對于社會領(lǐng)域信息化，《意見》要求繼續(xù)深化電子政務(wù)應(yīng)用，加快電子政務(wù)服務(wù)向街道、社區(qū)和農(nóng)村延伸，建設(shè)服務(wù)型政府。提高社會管理和城市運行信息化水平，加快推進(jìn)教育、醫(yī)療、就業(yè)、社會保障和減災(zāi)救災(zāi)等民生領(lǐng)域信息化。發(fā)展先進(jìn)網(wǎng)絡(luò)文化；對于推進(jìn)農(nóng)業(yè)農(nóng)村信息化，《意見》要求重點提高農(nóng)業(yè)生產(chǎn)經(jīng)營信息化水平，完善農(nóng)業(yè)農(nóng)村綜合信息服務(wù)體系；對于健全安全防護(hù)和管理，《意見》要求重要信息系統(tǒng)和基礎(chǔ)信息網(wǎng)絡(luò)要與安全防護(hù)設(shè)施同步規(guī)劃、同步建設(shè)、同步運行，強(qiáng)化技術(shù)防范，嚴(yán)格安全管理，切實提高防攻擊、防篡改、防病毒、防癱瘓、防竊密能力。加強(qiáng)地理、人口、法人、統(tǒng)計等基礎(chǔ)信息資源的保護(hù)和管理，強(qiáng)化企業(yè)、機(jī)構(gòu)在網(wǎng)絡(luò)經(jīng)濟(jì)活動中保護(hù)用戶數(shù)據(jù)和國家基礎(chǔ)數(shù)據(jù)的責(zé)任；對于加快安全能力建設(shè)，《意見》要求完善網(wǎng)絡(luò)與信息安全基礎(chǔ)設(shè)施，加強(qiáng)信息安全應(yīng)急等基礎(chǔ)性工作，提高風(fēng)險隱患發(fā)現(xiàn)、監(jiān)測預(yù)警和突發(fā)事件處置能力。加大信息安全技術(shù)研發(fā)力度，支持信息安全產(chǎn)業(yè)發(fā)展。

會議要求，對于各項工作，要明確分工，落實責(zé)任，加快法規(guī)制度和標(biāo)準(zhǔn)建設(shè)，加大財稅政策扶持，以確保各項工作順利推進(jìn)。

（李娜）

第5篇：信息安全服務(wù)體系范文

一、建設(shè)現(xiàn)狀

（一）基礎(chǔ)設(shè)施體系日趨完善

我市各大電信運營商已建成以光纜通信為主，數(shù)字微波和衛(wèi)星通信為輔的大容量、高速率，能為政府、市民、企業(yè)提供安全、可靠的通信傳輸網(wǎng)和相應(yīng)的有線、和無線通信服務(wù)，一批國家級的信息網(wǎng)絡(luò)在我市均建有節(jié)點。目前，全長共計32356.74芯公里，2067.23皮長公里的光纖通信線路已遍布三亞市的每一個角落，真正實現(xiàn)了光纜到大樓（fttb）、光纜到戶（ftth），覆蓋全市100％的鄉(xiāng)鎮(zhèn)和農(nóng)場，四通八達(dá)的光纜網(wǎng)絡(luò)為三亞信息化建設(shè)應(yīng)用的接入打造了堅實的基礎(chǔ)。

（二）建立了結(jié)構(gòu)化程度較高的信息資源開發(fā)應(yīng)用體系

我市在底完成公務(wù)電子郵箱系統(tǒng)與輿情監(jiān)控系統(tǒng)的建設(shè)，目前運行良好；市政府投資的五塊大型戶外led全彩電子顯示屏系統(tǒng)在4月份建成，收到較好的經(jīng)濟(jì)效益和社會效益。建成了具備了寬帶交換和高速接入能力的三亞市電子政務(wù)核心機(jī)房，政府辦公自動化系統(tǒng)、電子公文交換系統(tǒng)等一批跨部門的信息共享平臺已投入建設(shè)。

明年我市將建設(shè)城市公共信息觸摸屏查詢系統(tǒng)等信息服務(wù)項目，為市民游客提供多元化的信息查詢平臺。為了積極發(fā)揮在公共基礎(chǔ)建設(shè)中的主導(dǎo)作用，將“無線數(shù)字三亞納入到政府重點建設(shè)項目中進(jìn)行管理。同時，我市分別和中國電信海南分公司、中國移動海南分公司、中國聯(lián)通海南分公司簽署全面戰(zhàn)略合作框架協(xié)議，重點推進(jìn)三亞信息惠民、信息強(qiáng)政、信息服務(wù)體系建設(shè)。

“金橋”、“金卡”、“金稅”等一批重大信息工程在我市的全面實施初步形成了政務(wù)、商用、公眾三大信息資源體系。金融、財稅、保險、公安、教育、衛(wèi)生、農(nóng)業(yè)等行業(yè)性內(nèi)部網(wǎng)絡(luò)功能日趨完善。電信網(wǎng)、廣電網(wǎng)在三亞已建成了國內(nèi)先進(jìn)的網(wǎng)絡(luò)平臺，可滿足社會不同層次對通信和信息服務(wù)的需求。

企業(yè)信息化組織體系基本確定，40%的企業(yè)建立了專門的信息化機(jī)構(gòu)。企業(yè)計算機(jī)網(wǎng)絡(luò)系統(tǒng)初步建立，全市規(guī)模以上企業(yè)中，約有60%左右建立了計算機(jī)局域網(wǎng)或廣域網(wǎng)，重點企業(yè)中，cad/cam應(yīng)用較廣泛，erp正在成為信息技術(shù)應(yīng)用的重點。

1、積極推進(jìn)電子政務(wù)工程建設(shè)

我市電子政務(wù)項目工程按照“統(tǒng)一建設(shè)，統(tǒng)一管理，互聯(lián)互通，資源共享”的建設(shè)原則，分期安排實施項目，并于底啟動了“信息三亞”項目。目前全市統(tǒng)一的政務(wù)門戶網(wǎng)站集群、全市統(tǒng)一的電子政務(wù)核心機(jī)房和全市統(tǒng)一的政務(wù)信息處理平臺的建設(shè)已形成基本的框架。

加強(qiáng)政府門戶網(wǎng)站服務(wù)體系建設(shè)。新版“中國三亞”門戶網(wǎng)站于4月改版完成投入使用，在全省政府門戶網(wǎng)站績效評估中，獲省政務(wù)門戶網(wǎng)站評比中二等獎。于12月開通市政府英文網(wǎng)，俄文網(wǎng)也已今年8月份開通運行，韓文網(wǎng)將2010年初開通。

政府門戶網(wǎng)站服務(wù)體系初顯成效，70%的部門網(wǎng)站都已建立，市財政局、發(fā)改委、民政局、物價局等一批重要部門網(wǎng)站相繼建成，初步實現(xiàn)以政府網(wǎng)為核心，以電子政務(wù)平臺為基礎(chǔ)，以政府網(wǎng)數(shù)據(jù)庫為依托、以市直各機(jī)關(guān)各專業(yè)網(wǎng)站為子網(wǎng)站的網(wǎng)站群體系。

構(gòu)建我市統(tǒng)一電子黨政內(nèi)網(wǎng)。三亞市黨政內(nèi)網(wǎng)以實現(xiàn)市委、市政府辦公自動化、公文流轉(zhuǎn)、公共信息資源化、數(shù)據(jù)傳輸證書化和決策科學(xué)化為前提，按照“一個城市，一個黨政內(nèi)網(wǎng)，一個政務(wù)數(shù)據(jù)中心”的建設(shè)框架，構(gòu)建一個安全的覆蓋全市各部門各級政府至基層單位的數(shù)據(jù)共享、流程同步、綜合性信息化辦公基礎(chǔ)網(wǎng)絡(luò)平臺。三亞黨政內(nèi)網(wǎng)工程于今年9月份啟動，工程分三階段進(jìn)行，目前進(jìn)入基礎(chǔ)設(shè)計階段，預(yù)計2010年初投入使用。

構(gòu)建多功能政務(wù)中心。市政務(wù)中心工程是根據(jù)我市電子政務(wù)發(fā)展的實際需要及未來可持續(xù)發(fā)展，以“系統(tǒng)資源大整合、數(shù)據(jù)大集中、信息高共享”為原則，依托黨政內(nèi)網(wǎng)、黨政中心機(jī)房，集中管理政務(wù)中心電子政務(wù)系統(tǒng)和綜合信息數(shù)據(jù)交換平臺業(yè)務(wù)設(shè)備，整合政府部門的窗口服務(wù)流程與部門業(yè)務(wù)系統(tǒng)的政務(wù)信息處理平臺。對建設(shè)服務(wù)型政府、加快行政管理體制改革和加強(qiáng)政府自身建設(shè)具有重要意義。目前我市已啟動政務(wù)中心信息化建設(shè)工作，預(yù)計在2010年3月投入使用。

逐步建成數(shù)字城市綜合監(jiān)管系統(tǒng)平臺。根據(jù)我市國際化旅游城市建設(shè)管理的需要，我市啟動了市數(shù)字城市綜合監(jiān)管項目的規(guī)劃項目，整合三亞市屬各機(jī)關(guān)、單位、部門、行業(yè)、社區(qū)的監(jiān)控系統(tǒng)，快速提高我市國際化旅游城市管理水平，提高城市核心競爭力。其總體設(shè)計目標(biāo)是：標(biāo)志景點國際化，社會安保常態(tài)化，行業(yè)監(jiān)控精細(xì)化，部門監(jiān)控規(guī)范化。該項目于2010年初啟動，一期建設(shè)將在2010年底完成。

積極推動市政府12345服務(wù)熱線建設(shè)。市政府12345服務(wù)熱線負(fù)責(zé)處理社會公眾向各機(jī)關(guān)單位的咨詢、投訴、批評、建議、求助等來電，使政府公開電話服務(wù)范圍覆蓋到政府公共服務(wù)的全部領(lǐng)域，為社會公眾提供全方位、全天候、高效率24小時不間斷服務(wù)。該項目今年初啟動，預(yù)計2010年初可開通。

2、加快社會事業(yè)信息化建設(shè)進(jìn)程

財政管理綜合信息系統(tǒng)建設(shè)收效明顯。配合國家“金財工程”建設(shè)，我市加強(qiáng)財政信息資源規(guī)劃和整合，建立以預(yù)算編制、國庫集中收付和宏觀經(jīng)濟(jì)預(yù)測為核心應(yīng)用的政府財政管理綜合信息系統(tǒng)。全面開展國庫集中支付改革，實現(xiàn)財政資金的全過程規(guī)范管理，科學(xué)掌握宏觀經(jīng)濟(jì)和財政收支增減因素，為政府財政預(yù)算編制、財政支出管理、財政政策調(diào)整提供輔助決策依據(jù)，提高政府宏觀調(diào)控水平。

建立覆蓋全市、資源共享的綜合應(yīng)用視頻監(jiān)控網(wǎng)絡(luò)，構(gòu)建全市電子防控報警系統(tǒng)。實施科技強(qiáng)警戰(zhàn)略，深入推進(jìn)金盾工程建設(shè)，已投入建設(shè)資金1058萬元，相繼完成了省廳下達(dá)的44項“金盾工程”一期建設(shè)任務(wù)中的42項，完成率達(dá)95.5%，同時建設(shè)了具有信息化特色11個項目。在全市建成完備的公安信息化基礎(chǔ)設(shè)施、動態(tài)綜合的公安信息資源庫、高度集成的公安信息化應(yīng)用體系，基本實現(xiàn)公安工作信息化、現(xiàn)代化。

教育信息服務(wù)系統(tǒng)建設(shè)逐步完善。初步建立以市級教育網(wǎng)站為核心，面向社會公眾的“一站式”教育信息服務(wù)系統(tǒng)。加強(qiáng)了數(shù)字化教育資源的建設(shè)、整合和共享，優(yōu)化教育管理信息系統(tǒng)，為社會公眾提供優(yōu)質(zhì)教育資源的網(wǎng)絡(luò)服務(wù)。構(gòu)建學(xué)?！鐓^(qū)—家庭互聯(lián)互動的教育信息化平臺，利用學(xué)校和社區(qū)豐富的教育資源，形成學(xué)校教育向家庭延伸、社區(qū)教育支持學(xué)校教育的大教育體系，為社會公眾提供靈活多樣、開放的網(wǎng)絡(luò)化教育和終身教育服務(wù)。

勞動保障信息系統(tǒng)不斷完善。為配合國家“金保工程”的建設(shè)，我市構(gòu)建覆蓋市、區(qū)、街道、社區(qū)勞動保障信息網(wǎng)，建立全市勞動保障數(shù)據(jù)中心和專業(yè)數(shù)據(jù)庫，優(yōu)化勞動保障業(yè)務(wù)流程，整合、改造社會保險系統(tǒng)和勞動力市場系統(tǒng)，實施包括勞動就業(yè)、社會保險、醫(yī)療保險、社會救助等功能的社會保障卡工程，以信息化手段提供就業(yè)與失業(yè)救助服務(wù)、社會保險金的發(fā)放與償付服務(wù)。

公共醫(yī)療衛(wèi)生服務(wù)信息系統(tǒng)建設(shè)不斷推進(jìn)。初步建立以人為本、以服務(wù)患者為中心的衛(wèi)生信息系統(tǒng)。實現(xiàn)醫(yī)療衛(wèi)生信息實時共享和充分利用,推進(jìn)公共衛(wèi)生事件應(yīng)急指揮、預(yù)防控制、衛(wèi)生監(jiān)督執(zhí)法、醫(yī)療救治、婦幼保健、健康教育、社區(qū)健康中心等信息系統(tǒng)建設(shè)，提高醫(yī)療衛(wèi)生的服務(wù)、管理、決策水平和資源使用效益。

實施防汛指揮系統(tǒng)建設(shè)。建立了以水雨工災(zāi)情信息采集系統(tǒng)為基礎(chǔ)、通信系統(tǒng)為保障、計算機(jī)網(wǎng)絡(luò)系統(tǒng)為依托、決策支持系統(tǒng)為核心的三亞市防汛抗旱指揮系統(tǒng)，搭建了三亞市水務(wù)信息系統(tǒng)計算機(jī)網(wǎng)絡(luò)、決策支持系統(tǒng)的結(jié)構(gòu)框架和工作平臺，在我市防汛抗旱工作中發(fā)揮了重要作用，取得了巨大的經(jīng)濟(jì)效益和社會效益。

推進(jìn)征管改革。為貫徹落實省局以信息化建設(shè)推進(jìn)征管改革的要求，并結(jié)合實際制定了征管改革方案，以信息化建設(shè)為契機(jī)，逐步建立并運行稅收一體化征管信息系統(tǒng)，加快全省“金稅工程（三期）海南地稅項目”的建設(shè)。

3、嚴(yán)把黨政信息化項目審核論證工作質(zhì)量關(guān)

根據(jù)《三亞市電子政務(wù)工程建設(shè)管理辦法》文件精神，市科工信局負(fù)責(zé)我市黨政信息化項目審核論證工作及市直機(jī)關(guān)信息化項目建設(shè)資金的統(tǒng)籌管理。各部門根據(jù)全市電子政務(wù)規(guī)劃和本部門實際，制定本部門電子政務(wù)近期建設(shè)規(guī)劃，并提出具體的電子政務(wù)工程項目和建設(shè)內(nèi)容并組織前期論證，報市科工信局。市科工信局審核各部門近期電子政務(wù)工程項目建設(shè)，對符合全市電子政務(wù)規(guī)劃和建設(shè)要求并通過前期論證的項目，納入全市電子政務(wù)規(guī)劃項目庫。

4、完善高效的建設(shè)項目管理制度

加強(qiáng)項目管理制度建設(shè)是落實電子政務(wù)建設(shè)決策和規(guī)劃，確保電子政務(wù)取得實效的關(guān)鍵一環(huán)。為推進(jìn)三亞市黨政信息化建設(shè)，完善有關(guān)信息化建設(shè)制度，我市相繼出臺了《三亞市政府網(wǎng)信息員管理暫行規(guī)定》、《三亞市政務(wù)信息網(wǎng)上公開規(guī)定》、《三亞市公務(wù)電子郵箱使用管理規(guī)定》、《三亞市社區(qū)政務(wù)信息化管理辦法》、《三亞市政務(wù)信息資源共享管理辦法》、《三亞市電子政務(wù)工程建設(shè)管理辦法》等信息化建設(shè)法規(guī)。

二、存在的問題

對信息化與工業(yè)化融合，信息化建設(shè)帶動三亞經(jīng)濟(jì)發(fā)展的認(rèn)識高度不夠；信息技術(shù)應(yīng)用總體水平偏低，“信息孤島”現(xiàn)象嚴(yán)重；在投資結(jié)構(gòu)上“重硬輕軟”、“重網(wǎng)輕源”、“重建輕用”現(xiàn)象較為嚴(yán)重，信息化對經(jīng)濟(jì)的帶動作用還未充分發(fā)揮，信息化對傳統(tǒng)產(chǎn)業(yè)尤其是服務(wù)業(yè)的改造力度急需加強(qiáng)；信息化建設(shè)質(zhì)量和進(jìn)度缺乏監(jiān)督考核，組織體制與協(xié)調(diào)機(jī)制仍然偏弱，電子商務(wù)的基礎(chǔ)設(shè)施條件不完善，運作大項目、引進(jìn)大企業(yè)經(jīng)驗不足，信息產(chǎn)業(yè)實現(xiàn)跨越式發(fā)展缺乏動力，信息技術(shù)領(lǐng)域人才嚴(yán)重匱乏，結(jié)構(gòu)性矛盾突出，高層次信息化人才儲備不足；投融資渠道和項目運營理念有待于創(chuàng)新。

三、措施

1、加大政府投入，創(chuàng)新多元化的信息化建設(shè)、管理模式

加大財政部門對信息化建設(shè)的支持力度，市直各部門新建的信息化項目必須納入統(tǒng)一規(guī)劃和管理，對于確需建設(shè)的項目依據(jù)“先易后難、急用先建、效益顯著”的原則，統(tǒng)籌規(guī)劃，分級建設(shè)；對于跨年度的建設(shè)項目須按實施進(jìn)度分年度分批規(guī)劃、撥款。合理確定信息化引導(dǎo)資金的規(guī)模和投向，積極探索“政府投入、政策補(bǔ)貼、稅收優(yōu)惠、資源補(bǔ)償”的多方位政府支持渠道，建立“政府引導(dǎo)、市場運作、企業(yè)管理”的信息化建設(shè)運營模式；設(shè)立信息化服務(wù)體系專項基金，支持中小企業(yè)信息化重點服務(wù)平臺工程建設(shè)，加強(qiáng)對服務(wù)體系關(guān)鍵環(huán)節(jié)的支持。建立和完善適應(yīng)信息發(fā)展的多渠道投融資體制，建立風(fēng)險投資機(jī)制，鼓勵國內(nèi)外風(fēng)險投資基金來海南設(shè)立機(jī)構(gòu)發(fā)展業(yè)務(wù)。

鼓勵社會資金對信息化建設(shè)的投入，對適合社會投資的項目，通過規(guī)范的市場運作，吸引社會資金投資信息化建設(shè)；采用信息技術(shù)外包（ito）、業(yè)務(wù)流程外包（bpo）、公私合作建設(shè)（ppp）等市場化運作模式，降低建設(shè)和運行成本，提高信息化建設(shè)和運行效率。

對于非政府投入為主建設(shè)的信息化公共服務(wù)平臺，以及提供軟硬件產(chǎn)品、維護(hù)服務(wù)、系統(tǒng)集成、解決方案和信息服務(wù)的供應(yīng)商，按照創(chuàng)造經(jīng)濟(jì)效益、自主創(chuàng)新程度、典型示范作用等原則，通過先評估、后補(bǔ)貼方式予以支持。鼓勵企業(yè)以合資、合作、特許經(jīng)營等多種方式，兼顧經(jīng)濟(jì)效益與社會效益，參與公益平臺建設(shè)和運營。:

2、組建專業(yè)技術(shù)研發(fā)團(tuán)隊

隨著我市信息化的發(fā)展，高級專業(yè)技術(shù)人員缺口加大，我市目前已啟動籌建城市信息化研發(fā)中心及組建一支高素質(zhì)專業(yè)技術(shù)研發(fā)團(tuán)隊，以便更好的完成各類攻堅克難任務(wù)，如項目規(guī)劃、方案設(shè)計、項目審核、技術(shù)甄別、項目實施、制定規(guī)范及前期項目調(diào)研。另外還要肩負(fù)著重點基礎(chǔ)平臺、應(yīng)用軟件的開發(fā)、組織及各系統(tǒng)軟件技術(shù)的融合工作。

3、加強(qiáng)行業(yè)監(jiān)管，創(chuàng)新信息化項目運營機(jī)制

加強(qiáng)三亞數(shù)字城市建設(shè)的行業(yè)監(jiān)管，盡快形成有效的市場競爭格局。對于信息化平臺和重大工程專項，要在統(tǒng)一監(jiān)督管理下，實行適度開放，適合獨立運營的項目，采用“政府授權(quán)、投資受益、市場競爭”等方式，進(jìn)行獨立的商業(yè)化運營；推進(jìn)信息資源的深度開發(fā)利用，逐步分離政府、企業(yè)的信息化運行部門，鼓勵第三方信息服務(wù)機(jī)構(gòu)采用商業(yè)化運營模式為政府或企業(yè)提供信息化服務(wù)；本著“誰投資誰受益”的原則，鼓勵社會資本進(jìn)入大型信息化項目和重大工程專項的建設(shè)和運營市場。

第6篇：信息安全服務(wù)體系范文

論文摘要:作為未來最適應(yīng)時代要求的政府工作形態(tài)，電子政務(wù)建設(shè)是我國當(dāng)前信息化工作的重，點，未來政府辦會發(fā)展的趨勢。本文探論了綜合電子政務(wù)平臺的棍念、結(jié)構(gòu)和相關(guān)技術(shù)，分析了電子政務(wù)所面臨的安全威脅，并提出了相應(yīng)的解決方案。

1綜合電子政務(wù)平臺概述

    電子政務(wù)是指政府機(jī)構(gòu)應(yīng)用信息技術(shù)提高政府事務(wù)處理的信息流效率，對政府機(jī)構(gòu)和職能進(jìn)行優(yōu)化，改善政府組織和公共管理能力。通常由核心網(wǎng)絡(luò)、接人網(wǎng)絡(luò)及訪問網(wǎng)絡(luò)三部分組成。建設(shè)內(nèi)容一般包括:電子政務(wù)網(wǎng)絡(luò)平臺、政府門戶網(wǎng)站、電子政務(wù)主站點、“一站式”行政審批系統(tǒng)、視頻會議系統(tǒng)、公文交換和信息報送系統(tǒng)、電子郵件系統(tǒng)、辦公自動化系統(tǒng)等。

    電子政務(wù)網(wǎng)絡(luò)平臺網(wǎng)絡(luò)結(jié)構(gòu)中，核心網(wǎng)絡(luò)擁有重要的信息資源，并處理政府部門間的核心業(yè)務(wù)。政府部門間的數(shù)據(jù)交換流程是閉環(huán)的，即任何一個節(jié)點既是用戶又是數(shù)據(jù)源。因此，核心網(wǎng)絡(luò)節(jié)點之間的業(yè)務(wù)流程應(yīng)該是高速、嚴(yán)密、安全的，并且有嚴(yán)格的審核機(jī)制。核心網(wǎng)絡(luò)與接人網(wǎng)絡(luò)形成上下級關(guān)系的協(xié)同工作平臺，進(jìn)行信息、數(shù)據(jù)的交換。它們之間的信息往來必須具備信任安全體系。政府核心網(wǎng)絡(luò)面向社會公眾提供信息服務(wù)，對外宣傳政府信息，與訪問網(wǎng)絡(luò)建立連接。

2綜合電子政務(wù)平臺的安全風(fēng)險

2.1網(wǎng)絡(luò)安全域的劃分和控制問題

    電子政務(wù)中的信息涉及國家秘密、國家安全，因此它需要絕對的安全。但是同時電子政務(wù)現(xiàn)在很重要的發(fā)展方向是要為社會提供行政監(jiān)管的渠道，為社會提供公共服務(wù)，如社保醫(yī)保、大量的公眾咨詢、投訴等等，它同時又需要一定程度的開放。因此如何合理地劃分安全域顯得非常重要。

2.2內(nèi)部監(jiān)控、審核問題

    目前絕大部分單位都沒有系統(tǒng)可以實時地對內(nèi)部人員除個人隱私以外的各項具體操作進(jìn)行監(jiān)控和記錄，更不用談對一些非法操作進(jìn)行屏蔽和阻斷了。

2.3電子政務(wù)的信任體系問題

    電子政務(wù)要做到比較完善的安全保障體系，第三方認(rèn)證是必不可少的。只有通過一定級別的第三方認(rèn)證，才能說建立了一套完善的信任體系。

2 .4數(shù)字簽名(簽發(fā))問題

    在電子政務(wù)中，要真正實行無紙化辦公，很重要的一點是實現(xiàn)電子公文的流轉(zhuǎn)，而在這之中，數(shù)字簽名(簽發(fā))問題又是重中之重。

2.5電子政務(wù)的災(zāi)難響應(yīng)和應(yīng)急處理問題

    很多單位在進(jìn)行網(wǎng)絡(luò)規(guī)劃的時候，沒有考慮到作為系統(tǒng)核心部分一一數(shù)據(jù)庫本身的安全問題，完全依賴干整個網(wǎng)絡(luò)的防護(hù)能力，一旦網(wǎng)絡(luò)的安全體系被穿破或者直接由內(nèi)部人員利用內(nèi)網(wǎng)用戶的優(yōu)勢進(jìn)行破壞，“數(shù)據(jù)”可以說無任何招架之力

3綜合電子政務(wù)平臺安全體系建設(shè)方案

3 .1技術(shù)保障體系

    技術(shù)保障體系是安全管理體系的重要組成部分。它涉及兩個層面的問題，一是信息安全的核心技術(shù)和基本理論的研究與開發(fā)，二是信息安全產(chǎn)品和系統(tǒng)構(gòu)建綜合防護(hù)系統(tǒng)。

    信息安全技術(shù)。信息安全的核心技術(shù)主要包括數(shù)據(jù)加密技術(shù)、信息隱藏技術(shù)和信息認(rèn)證技術(shù)。數(shù)據(jù)加密是把有意義的信息編碼為偽隨機(jī)性的亂碼，以實現(xiàn)信息保護(hù)的目的。數(shù)字簽名是指只有發(fā)送者才能產(chǎn)生的別人無法偽造的一段數(shù)字串，這段數(shù)字串同時也是對發(fā)送者信息真實性的證明。

    信息安全防護(hù)體系。目前，主要的信息安全的產(chǎn)品和系統(tǒng)包括防病毒軟件、防火墻、入侵檢測系統(tǒng)、漏洞掃描、安全審計系統(tǒng)、物理隔離系統(tǒng)等。我們可采用屏蔽子網(wǎng)體系結(jié)構(gòu)保證核心網(wǎng)絡(luò)的安全。屏蔽子網(wǎng)體系結(jié)構(gòu)通過添加額外的安全層到被屏蔽主機(jī)體系結(jié)構(gòu)，即通過添加周邊網(wǎng)絡(luò)更進(jìn)一步地把內(nèi)部網(wǎng)絡(luò)與internet隔離開。在這種結(jié)構(gòu)下，即使攻破了堡壘主機(jī)，也不能直接侵人內(nèi)部網(wǎng)絡(luò)，它將仍然必須通過內(nèi)部路由器。

3.2運行管理體系

    安全行政管理。電子政務(wù)的安全行政管理應(yīng)包括建立安全組織機(jī)構(gòu)、安全人事管理、制定和落實安全制度。

    安全技術(shù)管理。電子政務(wù)的安全技術(shù)管理可以從三個方面著手:硬件實體、軟件系統(tǒng)、密鑰。

    風(fēng)險管理。風(fēng)險管理是對項目風(fēng)險的識別、分析和應(yīng)對過程。它包括對正面事件效果的最大化及對負(fù)面事件影響的最小化。

3.3社會服務(wù)體系

    安全管理服務(wù)。目前，一些信息安全管理服務(wù)提供商(managed  security service providers, mssp)正在逐步形成，它們有的是專門從事安全管理服務(wù)達(dá)到增值目的的，有的是一些軟件廠商為彌補(bǔ)其軟件系統(tǒng)的不足而附加一些服務(wù)的，有的是一些從it集成或咨詢商發(fā)展而來提供信息安全咨詢的。

    安全測評服務(wù)。測評認(rèn)證的實質(zhì)是由一個中立的權(quán)威機(jī)構(gòu)，通過科學(xué)、規(guī)范、公正的測試和評估向消費者、購買者即需方，證實生產(chǎn)者或供方所提供的產(chǎn)品和服務(wù)，符合公開、客觀和先進(jìn)的標(biāo)準(zhǔn)。

    應(yīng)急響應(yīng)服務(wù)。應(yīng)急響應(yīng)是計算機(jī)或網(wǎng)絡(luò)系統(tǒng)遇到安全事件如黑客人侵、網(wǎng)絡(luò)惡意攻擊、病毒感染和破壞等時，所能夠提供的緊急的響應(yīng)和快速的救援與恢復(fù)服務(wù)。

3.4基礎(chǔ)設(shè)施平臺

    法規(guī)基礎(chǔ)建設(shè)。主要有以下幾方面:在國家憲法和各部門法中對各類法律主體的有關(guān)信息活動涉及國家安全的權(quán)利和義務(wù)進(jìn)行規(guī)范，形成國家關(guān)于信息及信息安全的總則性、普適性的法規(guī)體系;針對各類計算機(jī)和網(wǎng)絡(luò)犯罪，制訂直接約束各社會成員的信息活動的行為規(guī)范，形成計算機(jī)、網(wǎng)絡(luò)犯罪監(jiān)察嶼防范體系;對信息安全技術(shù)、信息安全產(chǎn)品(系統(tǒng))的授權(quán)審批應(yīng)制訂相應(yīng)的規(guī)定，形成信息安全審批與監(jiān)控體系;針對信息內(nèi)容的安全與保密問題，制訂相應(yīng)規(guī)定，形成信息內(nèi)容的審批、監(jiān)控、保密體系;從國家安全的角度，制訂網(wǎng)絡(luò)信息預(yù)警與反擊體系等。

第7篇：信息安全服務(wù)體系范文

關(guān)鍵詞：安全保障；民航；空管信息系統(tǒng)

0 前言

隨著社會不斷進(jìn)步，我國已經(jīng)處于較為高速的發(fā)展階段，信息化進(jìn)程不斷加深，滲透到人們生活的各個領(lǐng)域。于是，信息安全問題成為困擾人們的主要問題，對人們順利進(jìn)行信息傳遞具有重要的意義。民航在發(fā)展的過程中，對信息技術(shù)的依賴逐漸增強(qiáng)，各種導(dǎo)航、氣象以及檢測等都需要信息技術(shù)作為支撐，必須按照國家的規(guī)定，加強(qiáng)空管信息系統(tǒng)的建設(shè)，使得各項活動能夠在安全的環(huán)境下順利進(jìn)行。

1 民航空管信息系統(tǒng)安全體系安全現(xiàn)狀

近幾年，信息化技術(shù)在民航空管系統(tǒng)中的應(yīng)用逐漸加深，用戶和系統(tǒng)規(guī)模不斷擴(kuò)大。新形勢下，針對空管系統(tǒng)的安全要求更加嚴(yán)格，利用電子信息技術(shù)以及網(wǎng)絡(luò)技術(shù)針對空管信息系統(tǒng)加強(qiáng)建設(shè)，是信息安全的必然要求。當(dāng)前，一些民航已經(jīng)開展了信息管理系統(tǒng)的建設(shè)，但是在信息傳輸?shù)倪^程中仍然存在較多不足。基礎(chǔ)設(shè)施建設(shè)的不足，安全技術(shù)方面較為薄弱，信息孤島效應(yīng)較為顯著，無法對民航的信息安全管理以及監(jiān)控等工作提供良好的保障[1]。

空管技術(shù)較為繁復(fù)，在對其進(jìn)行應(yīng)用的過程中，必須具備較高的技術(shù)素養(yǎng)。其實，如果空管信息系統(tǒng)如果遭受安全事件，其造成的負(fù)面影響較大。正因如此，北京奧運會召開階段，各個方面對此非常重視。長久以來，負(fù)責(zé)導(dǎo)航和氣象觀測等環(huán)節(jié)都是獨立進(jìn)行，在其發(fā)揮作用的過程中，彼此互不干涉，以此防范信息風(fēng)險，也導(dǎo)致了信息安全管理存在缺陷的狀況，但是這種信息風(fēng)險防范方式已經(jīng)不能適應(yīng)民航信息安全的現(xiàn)實需求，必須尋找新的模式對其進(jìn)行替換[2]。

2 民航空管信息系統(tǒng)安全體系設(shè)計原則

（1）借鑒性

當(dāng)前，我國的民航部門在空管信息系統(tǒng)方面的技術(shù)較為落后，與國外發(fā)達(dá)國家之間存在較大差距，面對這種情況，我國可以考慮引進(jìn)國外先進(jìn)的技術(shù)，借鑒其中的關(guān)鍵設(shè)計理念。但是，在借鑒的過程中，應(yīng)該針對現(xiàn)實情況進(jìn)行考量，結(jié)合我國當(dāng)期的實際情況，與我國民航空管系統(tǒng)的現(xiàn)狀相結(jié)合，設(shè)計出符合我國發(fā)展特點的空管信息系統(tǒng)，使其具備較高的安全性[3]。

（2）創(chuàng)新性

電子信息領(lǐng)域的更新速度較快，各種信息技術(shù)的發(fā)展使得計算機(jī)技術(shù)的更新較為頻繁。同時，民航空管系統(tǒng)也面臨諸多新的情況，需要處理的事務(wù)越來越多，在較短時間內(nèi)已經(jīng)發(fā)生較大變化。為了適應(yīng)這些方面的變化，必須在進(jìn)行設(shè)計的過程中，針對各種變化信息進(jìn)行搜集，以創(chuàng)新的理念指導(dǎo)整個設(shè)計過程。

（3）可靠性

空管信息系統(tǒng)的使用對象是飛行部門，對其存在的安全隱患進(jìn)行排除，對于保障飛機(jī)飛行安全具有重要的現(xiàn)實意義。在這種情況下，必須確保設(shè)計質(zhì)量能夠符合現(xiàn)實要求，整個系統(tǒng)的性能指標(biāo)必須控制在較高的范圍內(nèi)，確保系統(tǒng)能夠應(yīng)用的過程中表現(xiàn)出較佳的性能。基于此，針對系統(tǒng)的規(guī)格以及選材、工藝等方面都要具備較強(qiáng)的安全性能，確保系統(tǒng)運行的可靠性以及操作的穩(wěn)定性。

3 民航空管信息系統(tǒng)安全體系整體架構(gòu)設(shè)計

在參考信息安全文獻(xiàn)、按照我國規(guī)定的安全標(biāo)準(zhǔn)、民航現(xiàn)實情況進(jìn)行詳細(xì)考察的基礎(chǔ)上，利用現(xiàn)有技術(shù)，引進(jìn)外國先進(jìn)技術(shù)，借鑒外國先進(jìn)理念，針對民航空管信息系統(tǒng)進(jìn)行設(shè)計。

建立信息安全管理平臺，假設(shè)信息風(fēng)險防范體系，使得信息能夠依托物理環(huán)境、系統(tǒng)、數(shù)據(jù)庫等組成部分實現(xiàn)信息的安全管理。對系統(tǒng)服務(wù)器中的重要數(shù)據(jù)信息進(jìn)行保護(hù)。在安全管理方面，必須明確安全組織的功能，使其能夠在運作的過程中發(fā)揮現(xiàn)實作用。建立安全監(jiān)督小組，負(fù)責(zé)對系統(tǒng)信息網(wǎng)絡(luò)的安全狀況進(jìn)行監(jiān)督，搜集各種安全隱患信息，確保整個系統(tǒng)能夠在較為可靠的環(huán)境下運行安全；民航信息監(jiān)控以及技術(shù)設(shè)施建設(shè)屬于技術(shù)方面的支撐因素，對于信息安全起到較為良好的保障作用，其中，監(jiān)控系統(tǒng)應(yīng)該設(shè)計網(wǎng)絡(luò)安全體系，比如路由器管理等，軟件層面的安全防護(hù)，如防火墻等；還應(yīng)該建立服務(wù)體系，對于針對安全方面的信息進(jìn)行提供，針對系統(tǒng)的運作狀況進(jìn)行檢查，對民航單位的信息安全狀況進(jìn)行調(diào)查，搜集安全方面的信息，并對其進(jìn)行分析，確保整個空管信息系統(tǒng)的安全隱患被及時發(fā)現(xiàn)，同時還應(yīng)該針對工作人員進(jìn)行定期培訓(xùn)，宣傳講解信息安全知識。

4 總結(jié)

社會的發(fā)展使得信息安全成為人們重視的話題，民航空管信息信息系統(tǒng)的安全對我國的民航事業(yè)發(fā)展具有重要的現(xiàn)實意義。由于當(dāng)前民航系統(tǒng)的信息傳遞方式較為封閉，已經(jīng)不能適應(yīng)時展的需求。尋求新的信息風(fēng)險防范模式，改變民航信息安全管理現(xiàn)狀，能夠為我國的信息安全事業(yè)起到重要的推動作用。

參考文獻(xiàn)：

[1]徐超.網(wǎng)御神州立體護(hù)航"金安"工程[J].通信世界.2010（31）：142-143.

第8篇：信息安全服務(wù)體系范文

【 關(guān)鍵詞 】 物聯(lián)網(wǎng)；信息安全；檢測體系

1 引言

隨著國家信息網(wǎng)絡(luò)基礎(chǔ)設(shè)施基本完成，信息化應(yīng)用全面展開，物聯(lián)網(wǎng)廣泛應(yīng)用于公共事業(yè)/服務(wù)、交通運輸、個人用戶、批發(fā)零售、工業(yè)、制造業(yè)、商業(yè)、服務(wù)業(yè)、農(nóng)業(yè)、建筑業(yè)、金融業(yè)等。目前來看，物聯(lián)網(wǎng)雖然給人們帶來便利，但物聯(lián)網(wǎng)在信息安全方面還存在一定的局限性。一是存在信號受到干擾的可能。如果安置在物品上的傳感設(shè)備信號受到惡意干擾，很容易造成重要物品損失以及重要信息被篡改、丟失的隱患。二是惡意入侵的隱患。如果病毒、黑客、惡意軟件繞過了相關(guān)安全技術(shù)的防范，對物聯(lián)網(wǎng)的授權(quán)管理進(jìn)行惡意操作，掌控他人的物品，就會造成對用戶隱私權(quán)的侵犯。如果爆炸物、槍支等危險物品被其它人掌控，后果會十分嚴(yán)重。因此，物聯(lián)網(wǎng)安全問題如果得不到有效解決，將嚴(yán)重阻礙物聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展。由于物聯(lián)網(wǎng)感知節(jié)點和傳輸設(shè)備具有能量低、計算能力差、運行環(huán)境惡劣、通信協(xié)議龐雜等特點，使得傳統(tǒng)安全技術(shù)無法直接應(yīng)用于物聯(lián)網(wǎng)，由此引發(fā)物聯(lián)網(wǎng)特有的安全問題，而物聯(lián)網(wǎng)安全技術(shù)和安全狀況缺乏有效的檢測和評價手段。

我國政策環(huán)境較好，物聯(lián)網(wǎng)已成為國家發(fā)展戰(zhàn)略，初步明確了未來發(fā)展方向和重點領(lǐng)域。國家高度重視物聯(lián)網(wǎng)安全建設(shè)。2013年初，國務(wù)院了《關(guān)于推進(jìn)物聯(lián)網(wǎng)有序健康發(fā)展的指導(dǎo)意見》（國發(fā)[2013]7號）中明確提出以工業(yè)和信息化部、發(fā)展改革委、公安部牽頭承擔(dān)物聯(lián)網(wǎng)安全保障專項行動計劃：提高物聯(lián)網(wǎng)信息安全管理與數(shù)據(jù)保護(hù)水平，建立健全監(jiān)督、檢查和安全評估機(jī)制。加強(qiáng)物聯(lián)網(wǎng)重要應(yīng)用和系統(tǒng)的安全測評、風(fēng)險評估和安全防護(hù)工作。加快物聯(lián)網(wǎng)相關(guān)標(biāo)準(zhǔn)、檢測、認(rèn)證等公共服務(wù)建設(shè)，完善支撐服務(wù)體系，有效保障物聯(lián)網(wǎng)信息采集、傳輸、處理、應(yīng)用等各環(huán)節(jié)的安全可控。

2 物聯(lián)網(wǎng)一體化安全檢測體系

各類物聯(lián)網(wǎng)示范工程進(jìn)行大規(guī)模應(yīng)用之前，應(yīng)充分考慮和評測其安全性，從源頭保證物聯(lián)網(wǎng)安全措施有效性、功能符合性、安全管理的全面性以及給出安全防護(hù)評估。在建設(shè)實施階段，將所有的安全功能模塊（產(chǎn)品）集成為一個完整的系統(tǒng)后，需要檢查集成出的系統(tǒng)是否符合要求，測試并評估安全措施在整個系統(tǒng)中實施的有效性，跟蹤安全保障機(jī)制并發(fā)現(xiàn)漏洞，完成系統(tǒng)的運行程序和全生命期安的安全風(fēng)險評估報告。在運行維護(hù)階段，要定期進(jìn)行安全性檢測和風(fēng)險評估以保證系統(tǒng)的安全水平在運行期間不會下降，包括檢查產(chǎn)品的升級和系統(tǒng)打補(bǔ)丁情況，檢測系統(tǒng)的安全性能，檢測新安全攻擊、新威脅以及其它與安全風(fēng)險有關(guān)的因素，評估系統(tǒng)改動對安全系統(tǒng)造成的影響。

物聯(lián)網(wǎng)關(guān)鍵安全問題：一是感知設(shè)備安全；二是物聯(lián)網(wǎng)系統(tǒng)安全和風(fēng)險評估，重點是接入問題；三是業(yè)務(wù)應(yīng)用安全。目前，各行業(yè)均提出了相應(yīng)的安全防護(hù)體系，如智能電網(wǎng)系統(tǒng)、工業(yè)控制系統(tǒng)等。本文依據(jù)相關(guān)的安全防護(hù)體系提出物聯(lián)網(wǎng)一體化安全檢測體系，即“一中心、兩庫、五平臺”，如圖1所示。即開放式場景檢測支撐平臺、感知設(shè)備安全檢測服務(wù)平臺、物聯(lián)網(wǎng)系統(tǒng)安全檢測服務(wù)平臺、物聯(lián)網(wǎng)系統(tǒng)風(fēng)險評估服務(wù)平臺、物聯(lián)網(wǎng)集成化安全管理檢查服務(wù)平臺、物聯(lián)網(wǎng)安全檢測標(biāo)準(zhǔn)及指標(biāo)庫、物聯(lián)網(wǎng)信息安全漏洞與補(bǔ)丁庫以及一體化安全檢測管理中心。在此基礎(chǔ)上，結(jié)合物聯(lián)網(wǎng)具體業(yè)務(wù)需求，進(jìn)行物聯(lián)網(wǎng)安全檢測方法、規(guī)范、指標(biāo)體系、專業(yè)化檢測技術(shù)研究與積累。同時，形成一支服務(wù)于物聯(lián)網(wǎng)安全檢測的多層次、復(fù)合型、專業(yè)化人才隊伍，全面保障物聯(lián)網(wǎng)系統(tǒng)安全穩(wěn)定運行。

3 “五平臺”

“五平臺”提供檢測、檢查和評估三類專業(yè)化服務(wù)，其中物聯(lián)網(wǎng)集成化安全管理檢查服務(wù)平臺可作為獨立平臺對外提供檢查服務(wù)；開放式場景檢測支撐平臺為感知設(shè)備安全檢測服務(wù)平臺與物聯(lián)網(wǎng)系統(tǒng)安全檢測服務(wù)平臺提供安全符合性檢測環(huán)境，此三個平臺提供技術(shù)檢測服務(wù)；物聯(lián)網(wǎng)系統(tǒng)風(fēng)險評估服務(wù)平臺在前述四個平臺基礎(chǔ)上，關(guān)聯(lián)外在威脅，分析自身脆弱性，提供風(fēng)險評估服務(wù)?！拔迤脚_”結(jié)構(gòu)關(guān)系如圖2所示，“五平臺”既可獨立提供檢測服務(wù)，也可互為補(bǔ)充，為用戶提供定制化的檢測服務(wù)，形成開放式檢測服務(wù)體系架構(gòu)。

3.1 開放式場景檢測支撐平臺

開放式場景檢測支撐平臺實現(xiàn)物聯(lián)網(wǎng)感知設(shè)備、接入系統(tǒng)、業(yè)務(wù)應(yīng)用三層檢測環(huán)境，如圖3所示。通過多部件的靈活組建，實現(xiàn)其感、傳、知、用的安全功能檢測，靈活支持用戶個性化的檢測需求。

3.2 感知設(shè)備安全檢測服務(wù)平臺

感知設(shè)備安全檢測服務(wù)平臺實現(xiàn)一個通用的感知設(shè)備安全檢測系統(tǒng)，由開放式場景檢測支撐平臺為被測設(shè)備提供運行檢測環(huán)境，其從感知操作安全、感知數(shù)據(jù)處理安全、感知數(shù)據(jù)存儲安全和感知節(jié)點設(shè)備安全、感知節(jié)點通信安全等五方面檢測安全功能和性能，其檢測框架如圖4所示。

3.3 物聯(lián)網(wǎng)系統(tǒng)安全檢測服務(wù)平臺

物聯(lián)網(wǎng)系統(tǒng)安全檢測服務(wù)平臺以系統(tǒng)、整體的視角對智能感知層訪問控制、身份認(rèn)證等策略配置進(jìn)行符合性測試；對接入傳輸層的AKA機(jī)制的一致性或兼容性、跨域認(rèn)證和跨網(wǎng)絡(luò)認(rèn)證等進(jìn)行檢測；對業(yè)務(wù)應(yīng)用層數(shù)據(jù)庫安全、應(yīng)用系統(tǒng)和網(wǎng)站安全、應(yīng)用系統(tǒng)穩(wěn)定性、業(yè)務(wù)連續(xù)性等進(jìn)行符合性和有效性檢測。檢測框架如圖5所示。

3.4 物聯(lián)網(wǎng)系統(tǒng)風(fēng)險評估服務(wù)平臺

物聯(lián)網(wǎng)系統(tǒng)風(fēng)險評估服務(wù)平臺對可能遭受到的威脅和自身脆弱性進(jìn)行安全分析，然后根據(jù)安全事件的可能性以及安全事件造成的損失計算出風(fēng)險值、對安全事件進(jìn)行風(fēng)險等級定級，最后結(jié)合安全事件所涉及的資產(chǎn)價值來判斷安全事件一旦發(fā)生對物聯(lián)網(wǎng)系統(tǒng)造成的影響。風(fēng)險評估框架如圖6所示。

3.5 集成化安全管理檢查服務(wù)平臺

集成化安全管理檢查服務(wù)基于物聯(lián)網(wǎng)多類型終端、多網(wǎng)融合、海量數(shù)據(jù)處理和全面感知等特點。從防范阻止、檢測發(fā)現(xiàn)、應(yīng)急處置、審計追查和集中管控五個方面，對物聯(lián)網(wǎng)系統(tǒng)智能感知層、接入傳輸層和業(yè)務(wù)應(yīng)用層的安全管理情況進(jìn)行檢查，其安全管理檢查框架如圖7所示。

4 “兩庫”

4.1 標(biāo)準(zhǔn)及指標(biāo)庫

基礎(chǔ)庫“標(biāo)準(zhǔn)及指標(biāo)庫”通過構(gòu)建物聯(lián)網(wǎng)安全檢測標(biāo)準(zhǔn)子庫與指標(biāo)子庫為“五平臺”提供支撐。標(biāo)準(zhǔn)子庫建設(shè)來源：一是從物聯(lián)網(wǎng)國際標(biāo)準(zhǔn)組織IEEE、ISO、ETSI、ITU-T、3GPP、3GPP2了解國際最新標(biāo)準(zhǔn)，研究制訂適合國情的物聯(lián)網(wǎng)標(biāo)準(zhǔn)；二是從國內(nèi)標(biāo)準(zhǔn)組織：WGSN、CCSA和RFID標(biāo)準(zhǔn)工作組獲取最新標(biāo)準(zhǔn)；三是隨著業(yè)務(wù)開展，編制了物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)。物聯(lián)網(wǎng)一體化安全檢測標(biāo)準(zhǔn)體系框架，按照標(biāo)準(zhǔn)服務(wù)性質(zhì)的區(qū)分，分為物聯(lián)網(wǎng)產(chǎn)品安全檢測標(biāo)準(zhǔn)、物聯(lián)網(wǎng)系統(tǒng)安全檢測標(biāo)準(zhǔn)、物聯(lián)網(wǎng)風(fēng)險評估標(biāo)準(zhǔn)以及集成化安全管理檢查標(biāo)準(zhǔn)。其框架如圖8所示。

指標(biāo)庫為各種類型的被測設(shè)備和系統(tǒng)提供相應(yīng)的檢測指標(biāo)項目，同時支持用戶自定義新的檢測指標(biāo)。指標(biāo)庫依據(jù)各服務(wù)平臺檢測內(nèi)容劃分四類，即物聯(lián)網(wǎng)產(chǎn)品檢測指標(biāo)、物聯(lián)網(wǎng)系統(tǒng)安全檢測指標(biāo)、物聯(lián)網(wǎng)風(fēng)險評估指標(biāo)以及集成化管理檢查指標(biāo)。其涵蓋功能檢測、性能檢測、抗毀性檢測、符合性檢測、有效性檢測和可用性檢測等指標(biāo)。

4.2 漏洞與補(bǔ)丁庫

漏洞與補(bǔ)丁庫采用云存儲方式，包括海量數(shù)據(jù)融合漏洞，TinyOS操作系統(tǒng)漏洞，異構(gòu)網(wǎng)絡(luò)認(rèn)證協(xié)議漏洞，感知信息傳輸協(xié)議漏洞等。 漏洞與補(bǔ)丁庫一方面為產(chǎn)品、系統(tǒng)檢測，風(fēng)險評估、安全檢查提供支撐服務(wù)，另一方面對外提供咨詢服務(wù)，網(wǎng)上漏洞信息，定制客戶漏洞處理方案，提供漏洞補(bǔ)丁和專用殺毒工具下載等。

5 “一中心”

一體化安全檢測管理中心完成上述“二庫、五平臺”的互聯(lián)互通和信息共享，實現(xiàn)檢測項目統(tǒng)一管理，檢測數(shù)據(jù)統(tǒng)一匯總，檢測結(jié)果統(tǒng)一判定，形成感知設(shè)備檢測報告、物聯(lián)網(wǎng)系統(tǒng)檢測報告、物聯(lián)網(wǎng)系統(tǒng)風(fēng)險評估報告以及集成化安全管理檢查報告等。

一體化安全檢測管理中心由項目管理、場景管理、感知設(shè)備檢測、系統(tǒng)檢測、風(fēng)險評估、集成化安全管理檢查、工具集、基礎(chǔ)庫管理八個核心模塊組成，整個平臺由項目庫、標(biāo)準(zhǔn)及指標(biāo)庫、方法庫、漏洞與補(bǔ)丁庫四個數(shù)據(jù)庫支撐，管理中心框架設(shè)計如圖9所示。

6 技術(shù)特點

（1）提供開放式檢測環(huán)境

物聯(lián)網(wǎng)應(yīng)用的廣泛性和復(fù)雜性，僅依賴單一場景無法滿足客戶的多層次需求，通過開放式檢測環(huán)境，可實現(xiàn)感知設(shè)備、接入方式、業(yè)務(wù)應(yīng)用的檢測環(huán)境，使得檢測手段更豐富、更精準(zhǔn)。

（2）提供多類型、多元化的檢測

一體化安全檢測體系通過感知設(shè)備檢測、系統(tǒng)檢測、風(fēng)險評估、管理檢查的一體化檢測服務(wù)，提品檢測和系統(tǒng)檢測、實驗室檢測和現(xiàn)場檢測服務(wù)，滿足物聯(lián)網(wǎng)復(fù)雜多變的檢測需求，使得安全檢測更全面性，幫助客戶準(zhǔn)確評估物聯(lián)網(wǎng)安全性。

（3）提供技術(shù)與管理全方位檢測

物聯(lián)網(wǎng)安全包含技術(shù)與管理兩方面，技術(shù)與管理并重，本體系通過“五平臺”實現(xiàn)產(chǎn)品、系統(tǒng)技術(shù)類檢測/風(fēng)險評估與安全管理檢查，全方位、整體評估物聯(lián)網(wǎng)安全性。

（4）提供技術(shù)符合性和關(guān)聯(lián)外在風(fēng)險評估相支撐的檢測

物聯(lián)網(wǎng)安全問題是動態(tài)發(fā)展的，在安全技術(shù)符合性檢測的基礎(chǔ)上，提供適用于動態(tài)評估物聯(lián)網(wǎng)工程的風(fēng)險評估服務(wù)。風(fēng)險評估旨在通過關(guān)聯(lián)外在風(fēng)險，結(jié)合自身脆弱性評估系統(tǒng)和工程的安全性，與技術(shù)符合性檢測相支撐。

（5）提供一體化服務(wù)模式

提供一個靈活、規(guī)范的信息組織管理平臺和全網(wǎng)范圍的網(wǎng)絡(luò)協(xié)作環(huán)境，實現(xiàn)集成的信息采集、內(nèi)容管理、信息搜索，能夠直接組織各類共享信息和內(nèi)部業(yè)務(wù)基礎(chǔ)信息，實現(xiàn)信息整合應(yīng)用，同時也提供管理中心支撐下的統(tǒng)一項目管理、統(tǒng)一數(shù)據(jù)匯總、統(tǒng)一結(jié)果判定的一體化服務(wù)系統(tǒng)。

7 結(jié)束語

目前，我國政策環(huán)境好，物聯(lián)網(wǎng)已成為國家發(fā)展戰(zhàn)略，初步明確了未來發(fā)展方向和重點領(lǐng)域，但產(chǎn)業(yè)和行業(yè)標(biāo)準(zhǔn)正在建立，是機(jī)遇也是挑戰(zhàn)。經(jīng)濟(jì)環(huán)境上，中國企業(yè)正在隨著國家的快速發(fā)展，持續(xù)提升競爭力和國際影響力，對物聯(lián)網(wǎng)安全性的需求逐步增強(qiáng)，企業(yè)對物聯(lián)網(wǎng)安全問題的認(rèn)知提高，經(jīng)濟(jì)支付能力也在增強(qiáng)。通過對各行業(yè)物聯(lián)網(wǎng)建設(shè)方面的調(diào)查發(fā)現(xiàn)，當(dāng)前已有的物聯(lián)網(wǎng)應(yīng)用對其安全性的檢測和技術(shù)支持需求十分迫切，物聯(lián)網(wǎng)安全檢測產(chǎn)業(yè)市場前景樂觀。

上述“一中心、二庫、五平臺”形成專業(yè)的平臺，加上精專的人才、全面的服務(wù)內(nèi)容和敏捷的反應(yīng)，構(gòu)建物聯(lián)網(wǎng)一體化安全檢測專業(yè)化服務(wù)體系架構(gòu)。從而提升價值、方便客戶、節(jié)約成本、提高效率，滿足物聯(lián)網(wǎng)安全檢測集成化、規(guī)模化的需求。

參考文獻(xiàn)

[1] T Grobler， Prof B Louwrens. New Information Security Architecture[J]. 2005， University of Johannesburg.

[2] 范紅， 邵華等. 物聯(lián)網(wǎng)安全技術(shù)體系研究[J].第26次全國計算機(jī)安全學(xué)術(shù)交流會，2011（09），5-8.

[3] 譚建平， 柔衛(wèi)國等. 基于物聯(lián)網(wǎng)的一體化安全防范技術(shù)體系研究[J].湖南理工學(xué)院學(xué)報， 2011，第24卷 第4期 46-51.

[4] Jackie Rees， Subhajyoti Bandyopadhyay etc. a policy framework for information security. Communication of the ACM， Volume 46 Issue7， 2003， P101-106.

[5] 郎為民，楊德鵬，李虎生.智能電網(wǎng)WCSN安全體系架構(gòu)研究[J].信息網(wǎng)絡(luò)安全，2012，（04）：19-22.

[6] 余勇，林為民.工業(yè)控制SCADA系統(tǒng)的信息安全防護(hù)體系研究[J].信息網(wǎng)絡(luò)安全，2012，（05）：74-77.

基金項目：

國家863高技術(shù)研究發(fā)展計劃資助項目（2009AA01Z437）和國家863高技術(shù)研究發(fā)展計劃資助項目（2009AA01Z439）。

第9篇：信息安全服務(wù)體系范文

 

1現(xiàn)狀與問題

 

1.信息安全現(xiàn)狀

 

隨著信息化建設(shè)的推進(jìn)，我校信息化建設(shè)初具規(guī)模，軟硬件設(shè)備配備完成，運行保障的基礎(chǔ)技術(shù)手段基本具備。網(wǎng)絡(luò)中心技術(shù)力量雄厚，承擔(dān)網(wǎng)絡(luò)系統(tǒng)管理和應(yīng)用支持的專業(yè)技術(shù)人員達(dá)20余人;針對重要應(yīng)用系統(tǒng)采用了防火墻、IPS/IDS、防病毒等常規(guī)安全防護(hù)手段，保障了核心業(yè)務(wù)系統(tǒng)在一般情況下的正常運行，具備了基本的安全防護(hù)能力|6];日常運行管理規(guī)范，按照信息基礎(chǔ)設(shè)施運行操作流程和管理對象的不同，確定了網(wǎng)絡(luò)系統(tǒng)運行保障管理的角色和崗位，初步建立了問題處理的應(yīng)急響應(yīng)機(jī)制。由網(wǎng)絡(luò)中心進(jìn)行日常管理的主要有六大業(yè)務(wù)應(yīng)用系統(tǒng)，即網(wǎng)絡(luò)通信平臺、認(rèn)證計費系統(tǒng)、校園一卡通、電子校務(wù)系統(tǒng)、網(wǎng)站群、郵件系統(tǒng)。

 

網(wǎng)絡(luò)通信平臺是大學(xué)各大業(yè)務(wù)平臺的基礎(chǔ)核心，是整個校園網(wǎng)的基礎(chǔ)，其他應(yīng)用系統(tǒng)都運行在高校的基礎(chǔ)網(wǎng)絡(luò)環(huán)境上;認(rèn)證計費系統(tǒng)是針對用戶接入校園網(wǎng)和互聯(lián)網(wǎng)的一種接入認(rèn)證計費的管理方式;校園一卡通系統(tǒng)建設(shè)在物理專網(wǎng)上，主要實現(xiàn)學(xué)生校園卡消費管理，校園卡與大學(xué)網(wǎng)絡(luò)有3個物理接口;電子校務(wù)系統(tǒng)是大學(xué)最重要的業(yè)務(wù)應(yīng)用系統(tǒng)，系統(tǒng)中存儲著重要的教務(wù)工作數(shù)據(jù)、學(xué)生考試信息、財務(wù)數(shù)據(jù)等重要數(shù)據(jù)信息;大學(xué)主頁網(wǎng)站系統(tǒng)為大學(xué)校園的互聯(lián)網(wǎng)窗口起到學(xué)校對外介紹宣傳的功能;郵件系統(tǒng)主要為大學(xué)教師與學(xué)生提供郵件收發(fā)服務(wù)，目前郵件系統(tǒng)注冊用1.2面臨的主要問題

 

通過等級保護(hù)差距分析和風(fēng)險評估，目前大學(xué)所面臨的信息安全風(fēng)險和主要問題如下：

 

(1)高校領(lǐng)域沒有總體安全標(biāo)準(zhǔn)指引，方向不明確，缺少主線。

 

(2)對國際國內(nèi)信息安全法律法規(guī)缺乏深刻意識和認(rèn)識。

 

(3)信息安全機(jī)構(gòu)不完善，缺乏總體安全方針與策略，職責(zé)不夠明確。

 

(4)教職員工和學(xué)生數(shù)量龐大，管理復(fù)雜，人員安全意識相對薄弱，日常安全問題多。

 

()建設(shè)投資和投入有限，運維和管理人員的信息安全專業(yè)能力有待提高。

 

(6)內(nèi)部管理相對松散，缺乏安全監(jiān)管及檢查機(jī)制，無法有效整體管控。

 

(7)缺乏信息安全總體規(guī)劃，難以全面提升管理

 

(8)缺乏監(jiān)控、預(yù)警、響應(yīng)、恢復(fù)的集中運行管理手段，無法提高安全運維能力。

 

2建設(shè)思路

 

2.1建設(shè)原則和工作路線

 

學(xué)校信息安全建設(shè)的總體原則是:總體規(guī)劃、適度防護(hù)，分級分域、強(qiáng)化控制，保障核心、提升管理，支撐應(yīng)用、規(guī)范運維。

 

依據(jù)這一總體原則，我們的信息安全體系建設(shè)工作以風(fēng)險評估為起點，以安全體系為核心，通過對安全工作生命周期的理解從風(fēng)險評估、安全體系規(guī)劃著手，并以解決方案和策略設(shè)計落實安全體系的各個環(huán)節(jié)，在建設(shè)過程中逐步完善安全體系，以安全體系運行維護(hù)和管理的過程等全面滿足安全工作各個層面的安全需求，最終達(dá)到全面、持續(xù)、突出重點的安全保障。

 

2.2體系框架

 

信息安全體系框架依據(jù)《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》GBT22239-2008、《信息系統(tǒng)等級保護(hù)安全建設(shè)技術(shù)方案設(shè)計要求》(征求意見稿)，并吸納了IATF模型[7]中“深度防護(hù)戰(zhàn)略，，理論，強(qiáng)調(diào)安全策略、安全技術(shù)、安全組織和安全運行4個核心原則，重點關(guān)注計算環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)等多個層次的安全防護(hù)，構(gòu)建信息系統(tǒng)的安全技術(shù)體系和安全管理體系，并通過安全運維服務(wù)和itsm[8]集中運維管理(基于IT服務(wù)管理標(biāo)準(zhǔn)的最佳實踐)，形成了集風(fēng)險評估、安全加固、安全巡檢、統(tǒng)一監(jiān)控、提前預(yù)警、應(yīng)急響應(yīng)、系統(tǒng)恢復(fù)、安全審計和違規(guī)取證于一體的安全運維體系架構(gòu)(見圖2)，從而實現(xiàn)并覆蓋了等級保護(hù)基本要求中對網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全和管理安全的防護(hù)要求，以滿足信息系統(tǒng)全方位的安全保護(hù)需求。

 

(1)安全策略：明確信息安全工作目的、信息安全建設(shè)目標(biāo)、信息安全管理目標(biāo)等，是信息安全各個方面所應(yīng)遵守的原則方法和指導(dǎo)性策略。

 

(2)安全組織：是信息安全體系框架中最重要的

 

各級組織間的工作職責(zé)，覆蓋安全管理制度、安全管理機(jī)構(gòu)和人員安全管理3個部分。

 

(3)安全運行：是信息安全體系框架中最重要的安全管理策略之一，是維持信息系統(tǒng)持續(xù)運行的保障制度和規(guī)范。主要集中在規(guī)范信息系統(tǒng)應(yīng)用過程和人員的操作執(zhí)行，該部分以國家等級保護(hù)制度為依據(jù)，覆蓋系統(tǒng)建設(shè)管理、系統(tǒng)運維管理2個部分。

 

(4)安全技術(shù):是從技術(shù)角度出發(fā)，落實學(xué)校組織機(jī)構(gòu)的總體安全策略及管理的具體技術(shù)措施的實現(xiàn)，是對各個防護(hù)對象進(jìn)行有效地技術(shù)措施保護(hù)。安全技術(shù)注重信息系統(tǒng)執(zhí)行的安全控制，針對未授權(quán)的訪問或誤用提供自動保護(hù)，發(fā)現(xiàn)違背安全策略的行為，并滿足應(yīng)用程序和數(shù)據(jù)的安全需求。安全技術(shù)包含通信網(wǎng)絡(luò)、計算環(huán)境、區(qū)域邊界和提供整體安全支撐的安全支撐平臺。該部分以國家等級保護(hù)制度為依據(jù)，覆蓋物理層、網(wǎng)絡(luò)層、主機(jī)層、應(yīng)用層和數(shù)據(jù)層5個部分。

 

()安全運維:安全運維服務(wù)體系架構(gòu)共分兩層，實現(xiàn)人員、技術(shù)、流程三者的完美整合，通過基于ITIL[9]的運維管理方法，保障基礎(chǔ)設(shè)施和生產(chǎn)環(huán)境的正常運轉(zhuǎn)，提升業(yè)務(wù)的可持續(xù)性，從而也體現(xiàn)了安全運3重點建設(shè)工作

 

3.1安全滲透測試

 

2009年4月，學(xué)校對38個網(wǎng)站、2個關(guān)鍵系統(tǒng)和6臺主機(jī)系統(tǒng)進(jìn)行遠(yuǎn)程滲透測評。通過測評，全面、完整地了解了當(dāng)前系統(tǒng)的安全狀況，發(fā)現(xiàn)了20個高危漏洞，并針對高危漏洞分析了系統(tǒng)所面臨的各種風(fēng)險，根據(jù)測評結(jié)果發(fā)現(xiàn)被測系統(tǒng)存在的安全隱患。滲透測試主要任務(wù)包括:收集網(wǎng)站信息、網(wǎng)站威脅分析、脆弱性分析和滲透入侵測評、提升權(quán)限測評、獲取代碼、滲透測評報告。

 

3.2風(fēng)險評估和安全加固

 

2009年5月，依據(jù)安全滲透測試結(jié)果，對大學(xué)的六大信息系統(tǒng)進(jìn)行了安全測評。根據(jù)評估結(jié)果得出系統(tǒng)存在的安全問題，并對嚴(yán)重的問題提出相應(yīng)的風(fēng)險控制策略。主要工作任務(wù)包括:系統(tǒng)調(diào)研、方案編寫、現(xiàn)場檢測、資產(chǎn)分析、威脅分析、脆弱性分析和風(fēng)險分析。通過風(fēng)險評估最終得出了威脅的數(shù)量和等級，表1、表2為威脅的數(shù)量和等級統(tǒng)計。2009年6月和9月，基于風(fēng)險評估結(jié)果，對涉及到的網(wǎng)絡(luò)設(shè)備(4臺)和主機(jī)設(shè)備(14臺)進(jìn)行了安全加固工作。

 

3.3安全體系規(guī)劃

 

根據(jù)前期對全校的網(wǎng)絡(luò)、重要信息系統(tǒng)及管理層面的全面評估和了解整理出符合大學(xué)實際的安全需求，并結(jié)合實際業(yè)務(wù)要求，對學(xué)校整體信息系統(tǒng)的安全工作進(jìn)行規(guī)劃和設(shè)計，并通過未來3年的逐步安全建設(shè)，滿足學(xué)校的信息安全目標(biāo)及國家相關(guān)政策和標(biāo)準(zhǔn)學(xué)校依據(jù)國際國內(nèi)規(guī)范及標(biāo)準(zhǔn)，參考業(yè)界的最佳實踐ISMS[10](信息安全管理體系)，結(jié)合我校目前的實際情況，制定了一套完整、科學(xué)、實際的信息安全管理體系，制定并描述了網(wǎng)絡(luò)與信息安全管理必須遵守的基本原則和要求。

 

通過信息安全管理體系的建立，使學(xué)校的組織結(jié)構(gòu)布局更加合理，人員安全意識也明顯提高，從而保證了網(wǎng)絡(luò)暢通和業(yè)務(wù)正常運行，提高了IT服務(wù)質(zhì)量。通過制度、流程、標(biāo)準(zhǔn)及規(guī)范，加強(qiáng)了日常安全工作執(zhí)行能力，提高了信息安全保障水平。

 

4未來展望和下一步工作

 

4.1安全防護(hù)體系

 

根據(jù)網(wǎng)絡(luò)與信息系統(tǒng)各節(jié)點的網(wǎng)絡(luò)結(jié)構(gòu)、具體的應(yīng)用以及安全等級的需求，可以考慮使用邏輯隔離技術(shù)(VLAN或防火墻技術(shù))將整個學(xué)校的網(wǎng)絡(luò)系統(tǒng)劃分為3個層次的安全域：第一層次安全域包括整個學(xué)校網(wǎng)絡(luò)信息系統(tǒng);第二層次安全域?qū)⒏鲬?yīng)用系統(tǒng)從邏輯上和物理上分別劃分;第三層次安全域主要是各應(yīng)用系統(tǒng)內(nèi)部根據(jù)應(yīng)用人群的終端分布、部門等劃分子網(wǎng)或子系統(tǒng)。

 

公鑰基礎(chǔ)設(shè)施包括：CA安全區(qū)：主要承載CAServer、主從LDAP、數(shù)據(jù)庫、加密機(jī)、OCSP等;KMC管理區(qū):主要承載KMCServer、加密機(jī)等;RA注冊區(qū):主要承載各院所的RA注冊服務(wù)器，為各院所的師生管理提供數(shù)字證書注冊服務(wù)。

 

應(yīng)用安全支撐平臺為各信息系統(tǒng)提供應(yīng)用支撐服務(wù)、安全支撐服務(wù)以及安全管理策略，使得信息系統(tǒng)建立在一個穩(wěn)定和高效的應(yīng)用框架上，封裝復(fù)雜的業(yè)務(wù)支撐服務(wù)、基礎(chǔ)安全服務(wù)、管理服務(wù)，并平滑支持業(yè)務(wù)系統(tǒng)的擴(kuò)展。主要包括:統(tǒng)一身份管理、統(tǒng)一身份認(rèn)證、統(tǒng)一訪問授權(quán)、統(tǒng)一審計管理、數(shù)據(jù)安全引擎、單點登錄等功能。

 

4.2安全運維體系

 

ITSM集中運維管理解決方案面對學(xué)校日益復(fù)雜的IT環(huán)境，整合以往對各類設(shè)備、服務(wù)器、終端和業(yè)務(wù)系統(tǒng)等的分割管理，實現(xiàn)了對IT系統(tǒng)的集中、統(tǒng)一、全面的監(jiān)控與管理;系統(tǒng)通過融入ITIL等運維管理理念，達(dá)到了技術(shù)、功能、服務(wù)三方面的完全整合，實現(xiàn)了IT服務(wù)支持過程的標(biāo)準(zhǔn)化、流程化、規(guī)范化，極大地提高了故障應(yīng)急處理能力，提升了信息部門的管理效率和服務(wù)水平。

 

根據(jù)終端安全的需求，系統(tǒng)應(yīng)建設(shè)一套完整的技術(shù)平臺，以實現(xiàn)由管理員根據(jù)管理制度來制定各種詳盡的安全管理策略，對網(wǎng)內(nèi)所有終端計算機(jī)上的軟硬件資源、以及計算機(jī)上的操作行為進(jìn)行有效管理。實現(xiàn)將以網(wǎng)絡(luò)為中心的分散管理變?yōu)橐杂脩魹橹行募胁呗怨芾?對終端用戶安全接入策略統(tǒng)一管理、終端用戶安全策略的強(qiáng)制實施、終端用戶安全狀態(tài)的集中審計;對用戶事前身份和安全級別的認(rèn)證、事中安全狀態(tài)定期安全檢測，內(nèi)容包括定期的安全風(fēng)險評估、安全加固、安全應(yīng)急響應(yīng)和安全巡檢。

 

4.3安全審計體系