时间:2023-10-10 10:42:32
现将本学期工作计划公布如下,望各位同学监督指正,不吝赐教:
一.传统文化
1."牵手闵行,心系交大"
与上海市闵行区闵行中学的共建项目开展于2006年10月份,自开展以来受到了学校各界的积极好评.本项目主要包括对高三紧张应考的学生进行学习指导,人生规划指导,报考指导.借鉴自身经历,向更多高三学子传授备考经验等.时至今年,我们将在今年10份继续"牵手闵行,心系交大",以指引更多优秀的同学加入到交大人信安人的行伍之中.
与此同时,我们将在借鉴往年经验的基础上,扩大规模,扩大范围至整个闵行区,并展开与学院学习部协作的机制,共同开展实施共建项目.
届时,我们将在基础学年招募相关志愿者加入我们的行列,我们期待你的加盟!
2."团改金"项目培训指导
"团改金"全称是团组织生活改革基金,是交大一个极具特色的学生活动,做为每个交大的学生都有必要参加.主要是为了提供大家一个课外社会实践的平台,促进提高大家的能力.现在也有许多其他的高校采纳)了我们的做法,可见它的效果。而且,优秀的团改金活动会得到相应的奖励,来鼓励大家继续将这个活动做下去。
本学期,我们将继续对大一各个班级的团支书同学进行培训,以使得各个班级能顺利的开展团改金活动,并提高支部的凝聚力.
欢迎大家前来学院组织部咨询相关事宜.
3.责任和义务
作为一名团员,按时交纳团费,积极完成团组织的下达的指令和任务,切实履行团员的职责.
本学期,我们将配合校团委按时完成团费上缴和团员统计工作,切实履行团组织工作职能.
我们感谢你的配合和理解!
二.前人种树,后人乘凉
首先,感谢过去一年为我们工作创造良好环境的老干部们---陈欣蔚,苏浩,杰.
(但凡组织部的干事,日后找此三人,自报家门,必衣食无忧!)
1.破冰
我们将在学生会的统一安排下进行招新工作,吸纳更多的优秀同学成为我部干事.并将对其进行定期的培训,内容包括:
a.与名师对话:邀请有学生工作经验的学长,老师进行工作交流和指导.
b.破冰:在招募完成后,立即进行团队组建和破冰活动,我们将突破以往的形式,实施新的部门工作形式.以工作小组和工作团队的形式进行项目攻关,以提高效率和责任制.同时,我们也希望组织各个班级的班长以及团支书进行相应的培训,以鼓励大家在日后工作中积极的配合和协作!
c.交换生:我们将定期与其他部门进行干事交换项目,以锻炼更多的人才.
2.utjs项目
utjs即是体验式培训项目的简称,我们将在大一年级开展相关培训,以增强支部的凝聚力.我们将邀请我院资深培训导师,院团委书记朱春玲老师为我们新生进行指导培训工作.
3.过度和转折
加强与学生会其他的共建工作.包括:与学习部,外联部高三备考指导项目;与宣传部博客网络宣传项目;与文体部支部风采大赛;与人力资源部团员档案共建项目;
我们在本学期也将相继出台相关的部门工作规章制度,干事工作评比制度,团支部评比制度等一系列规章制度.以完善我部的建设和过度.
定期指定工作计划.设置团委(组织部)工作信箱,及时反馈学生建议和意见.
4.团支部风采大赛
我们将借鉴其他相关学院的经验,开展团支部风采大赛活动,以提高团支部的凝聚力.
5.党团和谐
为向我党输送更多的优秀人才,我们将联合学院的党支部进行相关的协作共建工作,主要包括:优秀党员与学院团员面对面活动;支部积极分子培训;党建对外实践交流活动等.
6.我的地盘
支部活动丰富多彩,结合时政,每月制定一支部活动主题,在相关主题基础上完成活动.
例如,9月份支部活动主题是"选择交大,惟我信安"(仅供参考)
7.对口帮建
开展不同年级的对口班级的扶持共建工作,使更多低年的支部得到相应高年级支部学长的帮助和指导.希望班长和团支书予以配合.
8.生日快乐
组织各个支部,为家庭困难的同学过集体生日,感受家的温暖.
9.博客
建立博客,搭建支部交流和展示的平台,邀请宣传部进行共建!
......
......
以上是我们组织部新学期的工作计划,希望你积极投身我们的活动中,并从中感知支部的温暖,学院的祥和!
信息安全工程学院
组织部部长
现将本学期工作计划公布如下,望各位同学监督指正,不吝赐教:
一.传统文化
1."牵手闵行,心系交大"
与上海市闵行区闵行中学的共建项目开展于XX年10月份,自开展以来受到了学校各界的积极好评.本项目主要包括对高三紧张应考的学生进行学习指导,人生规划指导,报考指导.借鉴自身经历,向更多高三学子传授备考经验等.时至今年,我们将在今年10份继续"牵手闵行,心系交大",以指引更多优秀的同学加入到交大人信安人的行伍之中.
与此同时,我们将在借鉴往年经验的基础上,扩大规模,扩大范围至整个闵行区,并展开与学院学习部协作的机制,共同开展实施共建项目.
届时,我们将在基础学年招募相关志愿者加入我们的行列,我们期待你的加盟!
2."团改金"项目培训指导
"团改金"全称是团组织生活改革基金,是交大一个极具特色的学生活动,做为每个交大的学生都有必要参加.主要是为了提供大家一个课外社会实践的平台,促进提高大家的能力.现在也有许多其他的高校采纳)了我们的做法,可见它的效果。而且,优秀的团改金活动会得到相应的奖励,来鼓励大家继续将这个活动做下去。
本学期,我们将继续对大一各个班级的团支书同学进行培训,以使得各个班级能顺利的开展团改金活动,并提高支部的凝聚力.
欢迎大家前来学院组织部咨询相关事宜.
3.责任和义务
作为一名团员,按时交纳团费,积极完成团组织的下达的指令和任务,切实履行团员的职责.
本学期,我们将配合校团委按时完成团费上缴和团员统计工作,切实履行团组织工作职能.
我们感谢你的配合和理解!
二.前人种树,后人乘凉
首先,感谢过去一年为我们工作创造良好环境的老干部们---陈欣蔚,苏浩,李*杰.
(但凡组织部的干事,日后找此三人,自报家门,必衣食无忧!)
1.破冰
我们将在学生会的统一安排下进行招新工作,吸纳更多的优秀同学成为我部干事.并将对其进行定期的培训,内容包括:
a.与名师对话:邀请有学生工作经验的学长,老师进行工作交流和指导.
b.破冰:在招募完成后,立即进行团队组建和破冰活动,我们将突破以往的形式,实施新的部门工作形式.以工作小组和工作团队的形式进行项目攻关,以提高效率和责任制.同时,我们也希望组织各个班级的班长以及团支书进行相应的培训,以鼓励大家在日后工作中积极的配合和协作!
c.交换生:我们将定期与其他部门进行干事交换项目,以锻炼更多的人才.
2.utjs项目
utjs即是体验式培训项目的简称,我们将在大一年级开展相关培训,以增强支部的凝聚力.我们将邀请我院资深培训导师,院团委书记朱春玲老师为我们新生进行指导培训工作.
3.过度和转折
1、根据行政区划改变、人员调整和工作需要,及时调整充实区网络与信息安全工作协调小组成员及联络员。(责任单位:区信安办)
2、进一步健全信息安全员队伍、信息安全技术支撑专家队伍和信息安全事件应急处置服务队伍。(责任单位:区信安办、各相关部门)
3、抓紧落实《信息安全基本制度要求》、《市重要信息系统安全基本配置办法》等规定,进一步完善信息安全工作制度,有效加强信息系统的安全防护设施和手段。(责任单位:区信安办、各街道办事处、各功能园区、各相关部门)
4、加强全区各机关职能部门及各街道、园区的协调配合,建立信息交互和资源共享机制,进一步形成工作合力。(责任单位:区信安办、各街道办事处、各功能园区、各相关部门)
5、按照信息安全《会议制度》、《通报制度》要求,及时报告本部门、单位信息安全工作动态,通报信息安全事件。(责任单位:区信安办、各街道办事处、各功能园区、各相关部门)
二、认真落实安全防护和管理措施
6、认真贯彻省和市政府有关要求,按照市信安办《关于认真做好2013年重要时期全市信息安全保障工作的通知》(宁信安办〔2013]2号)要求,认真落实亚青会、国庆节等重要时期信息安全保障责任技术保障措施及值班制、通报制度,确保基础信息网络传输安全、重要信息系统平稳运行和对互联网网站信息内容的有效监管。(责任单位:区信安办、各街道办事处、各功能园区、各相关部门)
7、加强政府网站信息安全监测。充分发挥省、市、区安全监测预警平台的作用,加强党政机关网站信息安全的在线监测、外部攻防检测,及时通报、处置网站信息安全事件。(责任单位:区信安办、区信息中心、各相关部门)
8、加强互联网接入管理。推动开展党政机关互联网集中接入,减少政府机关的互联网连接点数量。(责任单位:区信安办、区信息中心、各相关部门)
9、切实做好亚青会信息安全保障工作。加强亚青会保障各信息系统的风险评估、等级保护和安全监测,保障网络信息系统安全稳定运行,确保亚青会顺利举行。(责任单位:区信安办、区信息中心、各相关部门)
10、开展信息安全综合检查。推动各部门单位以及重点工业领域切实做好自查和安全隐患整改工作。在自查的基础上,区信安办牵头成立检查组,对全区信息安全工作情况进行检查。(责任单位:区信安办、各街道办事处、各功能园区、各相关部门)
11、开展信息安全专项检查。一是部署开展计算机网络反窃密技术安全专项检查工作,打击境外尤其是间谍情报机关的网络窃密活动,防止重大失泄密事件发生。二是加强保密检查,按照保密检查规定,开展包括国家秘密载体管理、信息系统和信息设备保密管理、互联网使用保密管理和保密技术防护设施设备配备使用等内容的保密检查工作,促进机关单位保密管理水平提高。三是开展工业控制系统信息安全检查。(责任单位:区信安办、区保密委办)
12、加强网吧等公共上网服务场所的管理,采取有力措施防止色情等有害信息在网吧传播,依法查处网吧接纳未成年人上网等违法行为。(责任单位:区公安分局、区文化局)
13、加大网络违法犯罪打击力度,着力解决网络色情、网络诈骗、网络黑客攻击等严重危害人民群众财产安全的网上突出治安问题。继续加强互联网清理整治,针对网上违法有害信息频发等问题,进一步加强对互联网服务单位监管,强化信息服务单位和接入服务单位的管理责任。(责任单位:区公安分局、区委宣传部、区文化局)
14、做好无线电安全管理和重要信息系统无线电频率保障工作。(责任单位:区信安办)
三、积极推进应急机制和保障能力建设
15、推进应急预案体系建设。积极推动各单位、各部门制订完善本单位、本部门网络与信息安全应急预案,形成预案体系。(责任单位:区信安办、各街道办事处、各功能园区、各相关部门)
16、积极开展应急演练。组织开展信息安全事件应急演练,熟悉事件处置流程,明确临机处置权限,提升响应速度,并检验预案的科学性、实效性和可操作性。(责任单位:区信安办、各相关部门)
17、抓好信息安全事件的应急处置。认真协调处置各类信息安全事件,有效控制事件影响,减少损失。(责任单位:区信安办、各相关部门)
18、推进监测预警平台建设。加快推进全区信息安全预警平台建设,对全区重要网站和信息系统实行监测,提升自我监测、预警能力,提高对事件的响应速度,减少事件的影响和损害。(责任单位:区信息中心)
19、完善区电子政务内网传输骨干网,实现与市电子政务内网的对接。(责任单位:区信息中心)
四、夯实信息安全保障基础
20、推进电子政务数字证书应用。完成区电子政务安全支撑平台个人证书升级改造。继续推动数字证书在电子政务系统中的应用,营造安全可信的电子政务环境。(责任单位:区委机要局、区信息中心)
21、推进商用密码应用。配合做好商用密码应用示范项目推广应用工作,配合做好安全邮件系统研制工作,为全区党政机关提供安全可信的邮件服务。(责任单位:区委机要局、区信息中心)
22、推动全区党政机关和重要领域落实信息系统等级保护定级备案、密码应用备案制度。(责任单位:区公安分局、区信息中心)
23、加强信息安全风险评估工作的指导与监督。推动党政机关网站及重要信息系统定期开展信息安全风险自评估和检查评估。(责任单位:区信息中心、各相关部门)
24、推进信息安全产业发展。积极组织相关信息安全企业申报国家和省市新兴产业发展资金和软件发展资金,推动企业发展。开展全区信息安全服务企业资质审查、备案,帮助做好企业相关资质的提升。做好信息安全关键技术产品研发的服务工作。(责任单位:区发改局、区经信办、区科技局、区财政局)
一、工作目标
依据国家信息安全等级保护制度,遵循相关标准规范,在卫生行业全面开展信息安全等级保护定级备案、建设整改和等级测评等工作,明确信息安全保障重点,落实信息安全责任,建立信息安全等级保护工作长效机制,切实提高卫生行业信息安全防护能力、隐患发现能力、应急处置能力,为卫生信息化健康发展提供可靠保障,全面维护公共利益、社会秩序和国家安全。
二、工作原则
(一)遵循标准,重点保护。遵循国家信息安全等级保护相关标准规范,结合卫生行业信息系统特点,优先保护重要卫生信息系统,优先满足重点信息安全需求。
(二)行业指导,属地管理。卫生行业信息安全等级保护工作实行行业指导、属地管理。地方各级卫生行政部门要按照国家信息安全等级保护制度有关要求,做好本地区卫生信息系统安全等级保护的指导和管理工作。卫生行业各单位要按照“谁主管、谁负责,谁运营、谁负责”的要求,落实信息安全责任。
(三)同步建设,动态完善。在信息系统规划设计与建设过程中,同步开展信息安全等级保护工作。因信息和信息系统的业务类型、应用范围等条件改变导致安全需求发生变化时,应当重新调整信息系统安全保护等级,及时完善安全保障措施。
三、工作机制
地方各级卫生行政部门承担本地卫生信息安全责任,信息化工作领导小组统筹组织本地卫生信息安全等级保护工作。卫生部信息化工作领导小组负责对全国卫生行业信息安全等级保护工作的组织协调、监督指导,并组织开展部机关信息安全等级保护工作。省级、地市级卫生行政部门信息化工作领导小组负责对本地区卫生行业信息安全等级保护工作的组织协调、监督指导,并组织开展本单位信息安全等级保护工作。
卫生部建立信息安全等级保护工作联络员机制,各省级卫生行政部门应当设置信息安全等级保护工作联络员。联络员职责是落实国家信息安全等级保护工作的有关政策和技术标准,掌握本地区信息安全等级保护工作动态和总体情况,代表本地区与卫生部及同级信息安全等级保护管理部门进行日常联系和交流,协调落实本地区信息安全等级保护工作。
卫生部和各省级卫生行政部门应当分别建立信息安全技术专家委员会,参与信息系统定级指导、备案审查、方案论证、安全咨询、安全检查等技术工作。信息安全技术专家委员会应当包含卫生行业、公安机关及信息安全技术等专家。
四、工作任务
(一)定级备案。
1.卫生行业各单位应当对本单位建设与运营的卫生信息系统进行自查,对未定级、定级不准的信息系统,应当按照《信息安全技术信息系统安全等级保护定级指南》开展定级工作。
国家信息安全等级保护制度将信息安全保护等级分为五级:第一级为自主保护级,第二级为指导保护级,第三级为监督保护级,第四级为强制保护级,第五级为专控保护级。以下重要卫生信息系统安全保护等级原则上不低于第三级:
(1)卫生统计网络直报系统、传染性疾病报告系统、卫生监督信息报告系统、突发公共卫生事件应急指挥信息系统等跨省全国联网运行的信息系统;
(2)国家、省、地市三级卫生信息平台,新农合、卫生监督、妇幼保健等部级数据中心;
(3)三级甲等医院的核心业务信息系统;
(4)卫生部网站系统;
(5)其他经过信息安全技术专家委员会评定为第三级以上(含第三级)的信息系统。
2.拟定为第三级以上(含第三级)的卫生信息系统,应当经信息安全技术专家委员会论证、评审。
3.卫生行业各单位在确定信息系统安全保护等级后,对第二级以上(含第二级)信息系统,应当报属地公安机关及卫生行政部门备案。跨省全国联网运行并由卫生部定级的信息系统,由卫生部报公安部备案;在各地运行、应用的分支系统,应当报属地公安机关备案。
(二)建设与整改。
1.对已确定安全保护等级的第二级以上(含第二级)卫生信息系统,应当按照国家信息安全等级保护工作规范和《信息安全技术信息系统安全等级保护基本要求》等国家标准,开展安全保护现状分析,查找安全隐患及与国家信息安全等级保护标准之间的差距,确定安全需求。
2.根据信息系统安全保护现状分析结果,按照《信息安全技术信息系统安全等级保护基本要求》、《信息安全技术信息系统等级保护安全设计技术要求》等国家标准,制订信息系统安全等级保护建设整改方案。第三级以上(含第三级)卫生信息系统安全建设整改方案应当经信息安全技术专家委员会论证。
3.卫生行业各单位应当按照信息系统安全建设整改方案,完善安全保护设施,建立安全管理制度,落实安全管理措施,形成信息安全技术防护体系和信息安全管理体系,有效保障卫生信息系统安全。
(三)等级测评。
1.系统建设整改工作完成后,应当按照《信息安全等级保护管理办法》要求,从全国信息安全等级保护测评机构推荐目录中选择等级测评机构,对第三级以上(含第三级)卫生信息系统进行等级测评。
2.测评合格后,应当将测评报告报属地公安机关及卫生行政部门备案。
3.应当每年对第三级以上(含第三级)卫生信息系统进行等级测评。对于重要部门的第二级信息系统,可参照上述要求进行等级测评。
(四)宣传培训。
1.各级卫生行政部门信息化工作领导小组应当对本地区各级各类医疗卫生机构开展等级保护政策和标准规范培训,提高各单位信息安全管理人员的技术能力和管理水平。
2.卫生行业各单位应当开展内部信息安全培训,提升全员信息安全意识,规范信息安全操作行为,提高信息安全保障能力。
(五)监督检查。
1.卫生部信息化工作领导小组负责督导检查各地医疗卫生机构信息安全等级保护工作落实情况,并督促部机关重要信息系统责任单位开展信息安全等级保护工作。
2.省级卫生行政部门信息化工作领导小组负责督导检查本地区卫生行业各单位信息安全等级保护工作落实情况,并督促本单位开展信息安全等级保护工作。
3.省级卫生行政部门信息化工作领导小组应当于每年年底,向卫生部信息化工作领导小组报送本地区信息系统定级备案、建设整改、等级测评和自查等工作开展情况。
五、工作要求
(一)高度重视,加强领导。卫生行业各单位要高度重视,充分认识信息安全等级保护工作对保护居民健康信息安全、医疗卫生机构正常运转和社会稳定的重要意义。各单位主要负责同志要负总责,分管负责同志要具体抓,明确职责与任务,突出重点,将信息安全等级保护工作列入重要议事日程和工作绩效考核指标,一级抓一级,层层抓落实。
关键词:电子政务 内网 信息安全 风险分析
一、前言
政务内网是指政府机关内部专门用于处理业务工作的办公网络,是政府部门内部工作联络、信息传递的现代化信息基础设施。其特点有二:一是与社会信息网络物理隔离、相对独立运行;二是涵盖政府部门用于执行政府职能的信息系统,所涉及的众多信息都带有保密性[1]。
电子政务给传统的政府工作注入了全新活力,大大提高了行政管理效率,改善了政府工作环境,增强了政府行政能力。目前,信息技术已渗透并服务于政府工作的各个领域,正在发挥着越来越重要的作用。但是,信息技术也是一把“双刃剑”,它在提高政府工作效率的同时,也引入了众多安全隐患。特别是在政务内网的信息化建设过程中,从人、管理、技术三个方面衡量,还存在着内部公务人员信息安全意识不高、管理措施不到位、技术手段不足、信息化应用推进与信息安全建设不够同步等问题。在政府信息化推进过程中,这些问题产生的后果有可能给不法分子以可乘之机,而使政府造成损失;严重阻碍政府的行政工作,甚至还会造成政府工作系统的瘫痪,直接危害国家安全。
在信息时代,由网络信息安全问题引发的损失将会全方位地危及一个国家的政治、军事、经济、文化、社会生活的各个方面,使国家处于信息战和高度经济金融风险的威胁之中[2]。保证网络安全运行已提升到维护国家、保护国家安全的高度。因此,如何解决信息安全问题已经成为整个电子政务构建过程中所面临的重要课题。
二、政务内网安全风险分析
随着网络规模的不断扩大,网络及应用系统所受到的安全威胁就越严重。由于政府部门许多应用系统开发建设时间较早,早期的系统开发设计中对信息安全考虑较少,系统较脆弱,所面临的安全风险较大。为了达到信息安全的基本目的,必须积极预防可能出现的针对政务 内网信息及其应用系统的各种安全威胁。主要的安全风险包括以下6个方面。
⒈内部人员主动窃密和破坏
一是内部工作人员利用工作、职务之便,将其能接触到的文件、数据、内部工作信息等提供给敌对组织和个人。二是内部人员有意或无意泄密,更改记录信息,内部非授权人员有意或无意偷窃信息,更改网络配置和记录信息,内部人员破坏网络系统,等等。据统计,来自网络内部的攻击占整个安全攻击总量的70%以上[3]。
⒉工作人员安全保密意识薄弱
少数工作人员缺乏基本的信息安全保密知识,不了解信息化过程中对应的安全风险,如内部口令互串;没有意识到信息安全问题不仅仅是职能部门的事,更是每个人必须遵守和维护的重要工作。在具体工作中,违规操作、有章不循、监管不力、“制度如林,落实无人”等现象大量存在。
⒊各种移动存储介质管理和使用混乱
对移动存储介质,移动计算机设备的使用上缺乏有效的监控手段,普遍存在随意处理各类密级文件、随意使用私人存储介质、随意拷贝文件的现象,如此造成知密面扩大,甚至移动设备丢失,直接造成泄密。
⒋对保密信息监管不力
各类电子文档在使用过程中有效的认证、授权使用和监管措施不够。电子文档不同于一般纸质文件,它的拷贝、复制和传递都具有特殊性。电子文档随意拷贝、复制,很有可能造成知密面扩大、文件丢失、文件被篡改甚至发生泄密事件。重要应用系统没有审计功能,或审计功能相对薄弱,对可能发生窃取行为、未经授权或越权使用资源的现象没有有效的记录和取证能力,无法满足事后追究责任的需要。
⒌技术措施不完善
一是在某些应用系统中安全性考虑不够,开发队伍缺乏保证应用安全的经验,应用系统配置和部署考虑安全性还不周到,对重要信息系统中数据的访问控制措施不够。二是内部网络系统由于文件交换等情况感染计算机病毒、网络蠕虫和其他恶意代码,直接造成系统破坏、网络瘫痪、数据丢失等。三是信息安全专职管理人员在数量上和技术上还不能满足政府高标准的安全保密工作需求,这就造成工作人员因人手问题而无法分权管理,因能力问题而不能提供有效保障。
⒍信息安全责任体系尚不健全
政务内网的信息安全责任体系尚不健全,存在各部门职责划分不清,多头指导、政出多门,建设和监督未能有效分离,检查督促不到位,出现问题难以落实到人等问题。这些问题造成内部管理混乱,责任不明确,技术措施不能到位,出现问题互相推诿等现象,严重影响政务内网整体的信息安全防范能力。
三、政务内网信息安全状况
基于以上安全风险分析,当前政务内网的信息安全综合保障能力与政府职能部门对信息安全保密整体要求仍有较大的差距,其突出表现在以下5个方面。
⒈内部工作人员的保密安全意识亟待加强
政府的工作性质决定了对工作人员有很高的保密要求,但是在日常工作中工作人员对信息安全问题还存在不少认知盲区,对网络信息不安全的事实认识不足,误认为政务内网实施了物理隔离就安全无忧了。不少工作人员的安全保密意识淡薄,这种有章不循、有禁不止的现象导致了很大的安全隐患。
⒉信息加密措施不能满足实际需要
加密是信息安全的核心,目前政务信息化建设正在不断深化,许多应用系统已应用于政务内网,越来越多的数据信息通过网络和计算机完成处理和交换任务。虽然目前已经对加密问题采取了一些措施,但加密仍是政务内网信息安全保密工作亟待解决的问题之一。
⒊信息安全组织管理、培训工作滞后
信息安全是一项管理工程,任何技术手段都需要管理来落实。目前政务内网的信息安全管理人员大多属于兼职,缺乏有力的组织保障以及系统和规范的教育培训。组织机构不健全严重影响了信息安全管理工作的落实,造成信息安全管理工作的滞后。
⒋信息安全整体防范工作薄弱
政务内网信息安全工作,仍停留在查缺补漏阶段,防范方式简单,对防范手段缺乏系统的梳理和体系化的规划建设,整体防范能力较低,普遍存在侥幸心理,没有形成主动防范、积极应对的全民意识, 更无法从根本上提高网络监测、防护、响应、恢复和抗击能力。这种状况已不能适应政务工作信息化的需求[4]。
⒌缺乏有针对性的信息安全防范技术措施
政府业务应用各类多样,其保密要求高,社会上通用的技术手段远远不能满足其安全需求;急需与之相适应的各类专用安全保密技术措施。
四、政务内网的安全需求
政务内网的安全需求主要包括以下一些方面:
⑴需要与外部社会公共信息网络实施严格的物理隔离或物理隔断;
⑵政务内网需要保护核心网络免遭非信任主体的外部干扰或篡改,或者其安全功能被非信任主体旁路[5];
⑶需要提供访问控制机制,确保对核心网络的不信任连接进行控制与防范,对各类共享信息的安全和有序访问;
⑷需要提供信息在网络系统间的加密传输,保护其机密性和完整性的方法;
⑸需要提生证据的方法,该证据可用于抗抵赖服务;
⑹需要能唯一标识网络用户,在允许用户访问应用系统服务之前通过相应的身份鉴别;
⑺需要授权结果的有效性,确保授权数据源不能被非授权用户访问;
⑻需要提供集中的病毒检查和控制机制,确保所有内网主机系统和数据对病毒的侵扰具有预警和防范能力;
⑼需要提供与安全相关事件的记录和审计手段,并根据事件分析进行预警和防范的能力;
⑽需要提供管理和配置内部网络系统的安全措施,只有获得授权的管理员才能使用这些措施;
⑾需要提供相应的系统及数据备份机制。
五、政务内网信息安全防护对策
⒈强化安全教育
信息安全是电子政务开展各项工作的前提,更是维系工作的关键。信息化和信息安全的建设,需要带着安全保密意识来统一规划、规范指导、有效监管。信息安全是人、管理、技术的有机结合,其中人是根本,管理是关键,技术是保证。通过普及教育、专业培训等方式,对不同类型的人员进行相关的安全教育,要使所有公务人员都能充分认识到“人是安全信息系统的重要组成部分”,没有安全可靠的各级人员的参与,任何信息系统都是不安全的。越是对授予较高权限的人员,越要增强其安全意识。
⒉强化安全管理
建立信息安全责任体系,严格落实岗位责任制,建立全过程、全寿命的信息安全机制。通过加强组织保障、加强管理运行、加强针对措施、加强技术手段来减少人员违规操作和犯错误的机会。相关策略有:建立信息安全运行管理体系,以网络管理中心、审计与风险分析中心、检测与监控中心、CA中心、密钥管理中心、防病毒管理中心等为依托,分别对有关的安全机制进行统一配置和管理,汇集有关信息,并通过对汇集信息的分析做出行动决策;以严格的管理使技术措施发挥作用,以技术手段强化安全管理,使管理钢性化,形成威慑,不给不法分子以可乘之机,严防各类安全事件的发生。
⒊强化安全技术
⑴针对内部人员对网络信息系统的随意访问现象,可采取指纹、智能卡、网络身份认证(PKI/CA)等多种强认证方式实现身份认证和授权管理,保证内部信息的合法使用;
⑵针对内部人员随意拷贝、打印文件,安装、使用与工作无关软件等行为,可采用内部安全监控和审计技术,控制出入口,以保证信息的受控使用;
⑶针对信息的传输加密问题,在链路层和网络层可使用国家密码管理局批准装备使用的密码设备;
⑷针对网络和重要数据库的访问审计薄弱,可采用网络与数据库审计系统,记录所有用户的使用行为,以保证事后追查;
⑸针对网络中的非法访问、攻击和病毒传播等问题,可采用防火墙、入侵检测、防病毒等多种技术手段,以保证基础网络系统的安全;
⑹针对移动介质的使用管理混乱问题,可采取标识和鉴别技术,保证工作用移动介质的授权使用,统一编码,统一管理,同时禁止私人移动存储介质在内部信息系统使用。
六、结束语
在政务信息化推进过程中,信息安全风险分析及信息安全防范工作,是一项长期而复杂的系统工程。各级公务人员必须时刻牢记和必须做到:将安全保密理念贯穿于整个系统的生命周期,保证政务内网在规划、建设、测试、验收、运行、维护、升级以及废弃的全过程中都能处在一个符合规定要求、可接受的低风险状态。
参考文献:
1 杨敬.电子政务中的信息安全管理[J].内蒙古科技与经济,2007(16)
2 李彦辉,王述洋,王春艳.网络信息安全技术综述[J].林业劳动安全,2007,20(1):25-29
3 朱卫未.电子政务系统信息安全策略研究[D].合肥:中国科学技术大学,2006
4 陈淑兰.电子政务安全问题探讨[J].沿海企业与科技,2007(8)
5 吴晓平.PKI_CA在专用信息系统中的建设及应用研究[D].成都:四川大学,2006
作者简介:
2008年,信安标委成立五年多了。五年来,我国信息安全标准化工作取得了长足进展和可喜的成绩:委员会已建立起了良好的工作机制,各项工作顺利开展;财政部的“信息安全标准制定工作专项”经费的实施,为信息安全标准化工作的顺利开展提供了经费保障;研究编制了《国家信息安全标准化“十一五”规划》及其“实施意见”,增强了信安标委工作的主动性、自觉性和预见性;完成了国家标准59项,还有56项国家标准在研制中,这批标准的研究制定,缓解了我国信息安全标准严重不足的矛盾,为全国信息系统安全等级保护分级、信息安全产品认证、信息安全风险评估、重要信息系统应急与灾难恢复及《电子签名法》的顺利实施等国家信息安全重点工作提供了有力的标准支撑。
五年发展的经验积累
回顾这五年所走过的历程,我们在维护国家信息安全,加强信息安全标准化工作方面积累了十分宝贵的经验。
1.必须站在维护国家信息安全的高度认识信息安全标准化工作
信息安全标准在信息安全保障体系建设中发挥着基础性、规范性作用,是确保信息安全产品和系统在设计、研发、生产、建设、使用、测评中保证其一致性、可靠性、可控性的技术规范、技术依据。没有信息安全标准,信息化建设的安全可靠就无法保证。信息安全标准化是支撑国家信息安全保障体系建设,关系国家信息安全的大事,也可说是网络时代保证网络安全的交通规则!因此我们必须站在维护国家信息安全的高度来认识和开展标准化工作。
2.必须高度重视顶层设计和体系的统筹规划
信息安全关系到国家安全和社会稳定,关系到国家信息化的健康发展。多个部门齐抓共管是我国信息安全管理工作的特色,在信息安全标准化方面,各有关部门、行业都积累了很多经验,也都有自己的工作特点。而信息化建设中,基础信息网络和重要信息系统互联互通、信息交换共享又是必需的,所以互联共享的安全保障往往是跨部门、跨行业的。这一特点决定了信息安全标准化工作必须在国家主导下,各有关部门分工协作,依托有实力的企业、科研机构的合作。因此,信息安全标准化的顶层设计和整体统筹规划尤其重要。这几年我们研究提出了《国家信息安全标准体系》、《国家信息安全“十一五”规划》等指导性文件,都是从顶层对信息安全标准化进行了设计和总体规划,对统筹协调今后的信息安全标准化工作具有重要意义。
3.必须紧紧依靠部门和社会各方面的力量推进信息安全标准化工作
根据我国的实际和信息化发展的需求,各部门大力支持和协同是信息安全标准工作成功的关键;科研机构和相关企业是标准制定和创新的主体;专家是保证标准科学性和先进性的中坚力量。五年多来,正是由于国信办、公安部、国家安全部、财政部、信息产业部、国家保密局、国家密码管理局、认监委等部门都从国家利益出发,团结协作,群策群力,共同支持信息安全标准化工作,才有今天的成绩和良好局面!同时这也是全国100多家科研院所和相关企业几年来共同努力的结果,是他们作为主体承担了这些标准的研究制定任务。
4.必须紧紧围绕国家信息安全保障体系和重大信息化工程建设开展信息安全标准化工作
信息安全保障体系和重大信息化工程建设既是信息安全标准的需求者,也是信息安全标准应用的推动力,信息安全标准化工作只有服务于信息安全保障体系和重大信息化工程建设才能发挥作用。几年来,我们围绕国家信息安全保障体系和重大信息化工程建设重点工作,积极研究制定的系列信息安全技术和管理标准,在支撑我国信息安全等级保护、网络信任体系建设、产品认证认可和《电子签名法》实施等信息安全保障体系建设重点工作,及电子政务、电子商务等信息化重大工程建设方面,保障国家信息安全发挥了重要作用,这是我们成功的一个宝贵经验。
5.必须正确处理自主制标与采用国际标准的关系
与发达国家相比,我国在信息安全标准制定方面,差距还是比较大的。我们在信息安全标准化工作中,要充分吸收借鉴国际信息安全标准化的成功经验和好的做法,在积极采用国际先进标准的基础上,要始终结合自己的国情,加强创新;对涉及国家信息安全、属于世贸组织《技术性贸易壁垒协定》(TBT)合法目标的标准,都应该坚持自主制定。同时要积极寻求参与国际合作与交流,实质性地参与国际标准化工作,不断提高我们的水平和能力,积极把具有我国自主知识产权的信息安全技术提升为国际标准。这样不仅能提高我国在国际标准化领域的影响力,而且对推动具有我国自主知识产权的信息安全技术应用,促进信息安全产业的发展具有重要意义。
体系建设的努力方向
2008年是中国奥运年,也是信息安全保障体系建设全面深入年,信安标委要更加努力工作,争取多出好标准、系统性大标准及全局急需的标准,为奥运做贡献!
1.看清信息安全趋势,提高对标准化认识
随着信息化建设的不断推进,特别是国民经济越来越依赖重要信息系统,国家管理也越来越依托网络系统,信息安全会越来越重要,保障信息安全的任务会越来越繁重!一方面信息安全事件发生的频率有可能大大增加,另一方面信息安全事件造成的损失和影响会越来越大;公共信息安全会成为国际上越来越关注的问题,成为各国面临的共同挑战。我们应在这方面早作对策研究,积极参加国际信息安全秩序的制定。目前,依据有关技术和管理标准对信息安全产品和信息系统实行管理,已成为全球化和信息化趋势下维护国家信息安全的重要手段。党的十七大报告中提到:要求我们树立世界眼光,加强战略思维,把握发展机遇,应对风险挑战。这对我们搞好信息安全工作具有非常重要的指导意义。信息化是世界发展的大趋势,一手抓发展,一手抓安全的原则,我们时刻不能懈怠。
信息安全标准化是信息安全保障体系建设的基础技术和管理支撑,是保障国家信息安全保障体系建设的大事。我们要认清形势,增加责任感、使命感,按照国家关于加强信息安全标准化工作,抓紧制定急需的信息安全管理和技术标准,形成与国际标准相衔接的中国特色的信息安全标准体系的要求,加倍努力,为国家信息安全标准化工作作出更大贡献。
2.要认真落实“规划”,抓好重点工作
“十一五”期间,国家财政将根据工作开展需要,继续重点支持国家信息安全战略研究、标准预编制、标准基础研究、重点标准试点、国际标准化跟踪和专项研究等工作。我们要围绕27号文件提出的各项任务,按照《国家信息安全标准化“十一五”规划》的要求,重点抓好基础类、管理类和系统类等急需标准的制修订工作,认真开展标准基础理论和跨系统安全的研究,大力加强标准宣贯与服务,推进标准实施,提高应用效果,最大限度地发挥标准的基础性和规范性作用,加强信息安全标准的自主创新,积极推进信息安全国际标准化工作。
3.加强标准宣贯与服务
标准只有通过应用才能发挥作用。委员会成立以来已经完成了近60项标准制定,取得了很好的成绩,但用得怎么样?要做些科学评估。要加强标准的培训和宣传,配合相关部门开展的信息安全重点工作和标准实践,做好标准服务支撑,促进标准在我国信息安全保障体系建设中的应用是目前我们的一项重要任务。要充分利用委员会网站、召开标准新闻会、召开标准宣贯会议、举办标准培训班和结合国家重点工程建设举办标准研讨会等多种方式,加强信息安全标准的培训和宣传工作,推动标准应用。
4.认真筹办国际会议,推进国际标准化工作
国际标准不仅代表一个国家自主创新标准水平,也表明一个国家的技术和管理水平,同时还代表一个国家对世界的贡献和在世界上的地位。我们要积极参加信息安全国际标准化活动和对外交流与合作,主动参与信息安全国际标准的制定,积极推动我国自主创新标准成为国际标准。要认真筹备好2009年的SC27工作组会议和全体成员会,保证会议的圆满召开。
第一条为加强和规范信息安全等级保护管理,提高信息安全保障能力,维护国家安全、公共利益和社会稳定,促进信息化建设,根据国家有关规定,结合本省实际,制定本办法。
第二条本省行政区域内建设、运营、使用信息系统的单位,均须遵守本办法。
第三条本办法所称信息安全等级保护,是指按国家规定对需要实行安全等级保护的各类信息的存储、传输、处理的信息系统进行相应的等级保护,对信息系统中发生的信息安全突发公共事件实行分等级响应和处置的安全保障制度。
第四条本办法所称信息,是指通过信息系统进行存储、传输、处理的语言、文字、声音、图像、数字等资料。
本办法所称信息系统,是指由计算机、信息网络及其配套的设施、设备构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的运行体系。
第五条信息安全等级保护应当遵循分级实施、明确责任、确保安全的原则;重点保障基础信息网络和重要信息系统各类信息的安全性和信息处理的连续性。
信息系统应当按照信息安全等级保护的要求,实行同步建设、动态调整、谁运行谁负责的原则。
第六条县级以上人民政府应当加强对信息安全等级保护工作的领导,把信息安全等级保护纳入信息化建设规划,协调、解决有关重大问题,建立必要的资金和技术的保障机制。
第七条县级以上人民政府公安、国家安全、保密、密码、信息化等行政主管部门应当按照国家和本办法规定,履行监督管理职责。
县级以上人民政府其他相关部门,应当按照职责分工,落实信息安全等级保护管理的责任,配合做好相关工作。
第二章等级保护的分级与实施
第八条根据信息系统承载的信息的重要性、业务处理对系统的依赖性以及系统遭到破坏后对经济、社会的危害程度,确定信息系统相应的保护等级。
信息系统的保护等级分为以下五级:
(一)信息系统承载的信息涉及公民、法人和其他组织的权益,信息系统遭到破坏后,业务可以直接用其他方式替代处理,对公民、法人和其他组织的权益有一定影响,但不损害国家安全、社会秩序、经济建设和公共利益的,为一级保护,由运营单位自主保护;
(二)信息系统承载的信息直接涉及公民、法人和其他组织的权益,信息系统遭到破坏后,会影响业务的正常处理,并对国家安全、社会秩序、经济建设和公共利益造成一定损害的,为二级保护,由运营单位在信息安全等级保护工作监管部门的指导下进行保护;
(三)信息系统承载的信息涉及国家、社会和公共利益,信息系统遭到破坏后,会严重影响业务的正常处理,并对国家安全、社会秩序、经济建设和公共利益造成较大损害的,为三级保护,由运营单位在信息安全等级保护工作监管部门的监督下进行保护;
(四)信息系统承载的信息直接涉及国家、社会和公共利益,信息系统遭到破坏后,业务无法正常处理,并对国家安全、社会秩序、经济建设和公共利益造成严重损害的,为四级保护,由运营单位按照信息安全等级保护工作监管部门的强制要求进行保护;
(五)信息系统承载的信息直接关系国家安全、社会稳定、经济建设和运行,信息系统遭到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害的,为五级保护,由运营单位在国家指定的专门部门、专门机构的专控下进行保护。
第九条信息系统的建设、运营、使用单位,应当按照国家有关技术规范、标准和本办法第八条规定自行选定其信息系统相应的保护等级。
基础信息网络和重要信息系统的保护等级,建设单位应当在信息系统规划设计时,按照本办法第十条规定报经审定。
第十条基础信息网络和重要信息系统保护等级,实行专家评审制度。
省、设区的市信息化行政主管部门应当分别建立省、市信息系统保护等级专家评审组,并分别组织对关系全省和关系全市的基础信息网络和重要信息系统的保护等级进行审定。申报与审定的具体细则,由省信息化行政主管部门会同省公安部门制定,并报省人民政府备案。
第十一条对于包含多个子系统的信息系统,应当根据各子系统的重要程度分别确定保护等级。
第十二条信息系统建设完成后,其运营、使用单位应当按照国家有关技术规范和标准进行安全测评,符合要求的,方可投入使用。
第十三条信息系统投入运行或者系统变更之日起三十日内,运营、使用单位应当将信息系统保护等级选定或者审定情况报所在地县级以上人民政府公安部门备案。备案的具体细则由省公安部门制定。
信息系统涉及国家秘密的,运营、使用单位应当按照有关保密法律、法规、规章的规定执行。
第十四条信息系统的运营、使用单位,应当按照国家有关技术规范和标准,建立信息安全等级保护管理制度,落实安全保护责任,采取相应的安全保护措施,切实保障信息系统正常安全运行。
第十五条信息系统的运营、使用单位,应当建立信息系统安全状况日常检测工作制度,加强对信息系统的日常维护和安全管理,及时消除安全隐患,确保信息的安全和系统的正常运行。
基础信息网络和重要信息系统的运营、使用单位,应当按照国家有关技术规范和标准,每年对系统的信息安全状况进行一次全面的测评,也可以委托有相应资质的单位进行安全测评。
第十六条信息系统发生信息安全突发公共事件时,应当根据事件的可控性、地域影响范围和信息系统遭到破坏的严重程度,实行分级响应和应急处置。分级响应和应急处置按照省有关网络与信息安全应急预案的规定执行。
通信基础网络发生突发公共事件时,应当按照省有关通信保障应急预案的规定执行。
第三章监督管理
第十七条县级以上人民政府公安部门依法对运营、使用信息系统的单位的信息安全等级保护工作实施监督管理,并做好下列工作:
(一)督促、指导信息安全等级保护工作;
(二)监督、检查信息系统运营、使用单位的安全等级保护管理制度和技术措施的落实情况;
(三)受理信息系统保护等级的备案;
(四)依法查处信息系统运营、使用单位和个人的违法行为;
(五)信息安全等级保护的其他相关工作。
第十八条保密工作部门依照职责分工,依法做好下列工作:
(一)督促、指导涉及国家秘密的信息安全等级保护工作;
(二)受理涉及国家秘密的信息系统保护等级的备案;
(三)依法查处信息泄密、失密事件;
(四)信息安全等级保护中涉及国家秘密的其他相关工作。
第十九条密码管理部门应当按照职责分工依法做好相关工作,加强对涉及密码管理的信息安全等级保护工作的监督、检查和指导,查处信息安全等级保护工作中违反密码管理的行为和事件。
第二十条信息化行政主管部门应当加强对信息安全等级保护工作的指导、服务、协调和管理,并做好下列工作:
(一)指导、协调信息安全等级保护工作;
(二)组织制定信息安全等级保护工作规范;
(三)组织专家审定信息系统的保护等级;
(四)为相关单位提供信息安全等级保护的有关资讯和技术咨询;
(五)根据预案规定,组织落实信息安全突发公共事件的应急处置工作;
(六)信息安全等级保护的其他相关工作。
第二十一条信息系统建设、运营、使用单位,应当按照国家和本办法有关规定,开展信息安全等级保护工作,接受有关部门的指导、检查和监督管理。
信息系统运营、使用单位,在运营、使用中发生信息安全突发公共事件、泄密失密事件的,应当按照应急预案要求,及时采取有效措施,防止事态扩大,并立即报告有关主管部门,配合做好应急处置工作。
第四章法律责任
第二十二条违反本办法规定的行为,有关法律、法规已有行政处罚规定的,从其规定。
第二十三条信息系统运营、使用单位违反本办法规定,不建立信息系统保护等级或者自行选定的保护等级不符合国家有关技术规范和标准的,由公安部门责令限期改正,并给予警告;逾期拒不改正的,处一千元以上二千元以下罚款。
第二十四条信息系统运营、使用单位违反本办法第十二条、第十三条第一款规定的,由公安部门责令限期改正,并给予警告;逾期不改正的,处二千元罚款。
第二十五条信息系统运营、使用单位违反本办法第十四条规定,未建立信息安全等级保护管理制度、落实安全保护责任和措施的,由公安部门责令限期改正,并给予警告;
逾期拒不改正的,对经营性的处五千元以上五万元以下罚款,对非经营性的处二千元罚款。
第二十六条违反本办法第十五条第一款规定,信息系统运营、使用单位未建立信息系统安全状况日常检测工作制度的,由公安部门责令限期改正,并给予警告;逾期拒不改正的,处一千元以上二千元以下罚款。
违反本办法第十五条第二款规定,基础信息网络与重要信息系统的运营、使用单位,未定期对系统的信息安全状况进行测评的,由公安部门责令限期改正,并给予警告;逾期拒不改正的,对经营性的处二千元以上二万元以下罚款,对非经营性的处二千元罚款。
第二十七条信息系统运营、使用单位违反本办法第二十一条第二款规定的,由县级以上人民政府信息化行政主管部门责令改正,给予警告,对经营性的并处五千元以上三万元以下罚款,对非经营性的并处二千元罚款;涉及泄密、失密的,按照有关保密法律、法规、规章的规定处理。
第二十八条有关信息安全等级保护监管部门及其工作人员有下列行为之一的,由其主管部门或者监察部门对直接负责的主管人员和其他直接责任人依法给予行政或者纪律处分。
(一)未按照本办法规定履行监督管理职责的;
(二)违反国家和本办法规定审定信息系统保护等级的;
(三)违反法定程序和权限实施行政处罚的;
(四)在履行监督管理职责中,、、的;
(五)其他应当依法给予行政或者纪律处分的行为。
第二十九条违反本办法规定,构成犯罪的,依法追究刑事责任。
第五章附则
关键词:信息化;电力信息化建设;安全技术
1信息化概述
信息化是指通过培养、发展以计算机为主的智能化工具为代表的新生产力,并使之造福于社会的历史过程。信息化依托现代通信、网络、数据库技术,通过对所要研究对象的要素进行汇总,继而传到数据库。信息化技术的不断普及,很大程度上改变了人们的生活方式、社会交往方式、学习方式,已成为人们生产与生活中的重要组成部分,为人们的生产与生活带来了极大的便利,提高了工作效率,使工作进程不断加快,从而真正达到了科技造福人类的目的。
2电力信息化建设中存在的问题
2.1信息安全意识相对薄弱。从目前发展情况来看,部分工作人员信息安全意识薄弱。因而,相关领导要意识到这一问题的严重性,加强对信息安全的重视,为电力信息化建设营造一个稳定、安全的环境。伴随着电力行业信息化建设的进步及深入发展,其在有效运用互联网先进技术的基础上为电力发展创建了良好的信息交流平台,为电力信息化建设解决了一大难题。伴随着国家建设世界一流电网、建设国际一流电力企业的愿望提出,需依赖于先进的信息化建设安全技术,增强工作人员的信息安全意识,继而为电力信息化建设营造安全稳定的环境,为电力信息化建设保驾护航。2.2信息化安全体系不健全、不集中。从分布上来看,电力企业的位置相对分散,再加上没有相关的执行部门,从而使得需要从全国各地调拨人力资源,需要消耗大量的时间、精力、资金,因而阻碍了电力信息化健康持续的发展。与此同时,由于各个地方的电力信息管理体系不一、规则不一,没有统一的管理原则和管理方法,信息安全体系不健全,使得各地方在信息维护方面进度不一致,地区间发展存在着差距,这在很大程度上阻碍了电力信息化建设的进程。2.3工作人员经验不足、能力有限。在电力信息化建设过程中,为了维护信息安全,要求工作人员必须具有专业的工作技能和丰富的工作经验,继而更好地为电力信息化建设服务。部分工作人员对此没有足够了解,缺乏相关的工作技能和工作经验,继而不能有效防护信息安全,使电力在信息化建设方面易出现信息泄露或网站易被攻破等弊端。因而,要加强对工作人员的技能培训,这是电力信息化发展的必然要求。2.4信息安全建设监督不到位。信息化技术的成熟使得电力企业的发展也逐渐走向成熟,越来越靠近我国建设国际一流电网的目标,技术化的手段带给我国电力系统无限的发展契机,为我国电力系统的安全运行提供必要的基础。在电力信息化建设过程中,需要监管部门加强对信息安全的监管,从而确保信息安全,减少信息泄露带来的诸多弊端。但是从目前发展情况来看,在电力信息化建设过程中,监管部门由于监管不力,从而使电力在信息化建设中易出现信息泄露等现象。因而,监管部门要加强执法,加大监管力度,恪尽职守,尽职尽责,努力做好自己的本职工作,为电力信息化建设提供安全技术保障。
3安全技术在电力信息化建设中的应用
3.1安全技术在结构方面的应用。根据功能的不同,可以将电力信息安全系统分为两部分,即公共网络和专用网络。公共网络,顾名思义就是对所有人开放的网络,既包括电力企业内部的工作人员,也包括外部人员,公共网络的开放是为了实现资源共享、服务民众,继而为民生事业作贡献。而专用网络则是指只对电力企业内部人员开放的网络,专用网络具有排外性,也就是说外部人员不可使用,不对所有人开放。这样设置网络的原因是为了保护信息安全,以免信息泄露为电力信息化建设带来不必要的麻烦。专用网络由调度信息网和电力信息网两部分组成。为了将专用网络与公共网络隔离开来,需要借助安全设备,继而将整个信息安全系统分为自动化系统、生产管理系统、电力信息管理、自动办公系统、实时控制区、非控制生产区、生产管理区和管理信息区,即三层系统、四个安全分区。通过采用安全技术,从而确保电力信息化建设中的信息安全,为电力信息化建设提供有利的保障。3.2采用信息监控技术。为确保电力信息化建设中的信息安全,一方面需要相关部门加强对信息的监管,另一方面,也可以采用信息监控技术,实现对信息安全的管控。在电力信息化建设中采用信息监控技术,也就是说,当信息出现泄漏或系统被侵入以后,信息监控技术即可发挥作用,进行自动报警,在尽可能短的时间内通知负责人员。负责人员在接到警报以后,尽量在第一时间内赶到,对系统采取修整的措施,从而减少信息泄露给电力发展带来的损失。在电力信息化建设中采用信息监控技术,在很大程度上提高了系统安全性,从而达到控制风险的目的。与此同时,采用监控技术,对每个设备和系统中出现的故障和异常事件进行统一处理,继而找出症结,为解决问题提供依据,使安全信息系统的可靠程度不断提高。这一技术的应用,顺应了时展的潮流,从而使电力信息化建设更好地发展。3.3采用防火墙技术。随着电力建设的快速发展,我国加速了电力信息化建设步伐。如今我国电力信息化建设取得一定成果,特别是信息化技术在电力行业中的应用。但是电力信息化技术是一把双刃剑,其在提高电力系统性能的同时,也使信息化安全工作面临严峻挑战。因而,探究电力信息化安全具有重要意义。为了使电力信息化建设更好地发展,减免信息泄露为电力信息化建设带来的一系列负面影响,要提高电力信息系统的安全级别,这是社会发展对电力信息化建设提出的一项新要求。可以采用防火墙技术,通过在内部网和外部网之间架构保护屏障,建立相应的网络通信监控系统,继而阻挡外部网络的入侵,从而保护电力信息系统的安全,为电力信息协同提供安全可靠的发展环境,促使电力信息化建设更好地发展。
4结语
随着社会经济的不断发展和科学技术的迅猛更新,电力企业不断朝着信息化方向发展。互联网的应用,为电力建设提供了机遇,也带来了挑战。电力信息化建设在对外交流中易出现信息泄露或系统被不法分子恶意入侵等现象,因而要加强应用安全技术,继而为电力信息化建设提供一个稳定、安全、可靠的发展环境。
参考文献
[1]彭翔宇.电力信息化建设中安全技术的应用[J].科技风,2016(24):137.
[2]刘建强.关于电力信息化安全的探析[J].工程技术:全文版,2016(12):00174.
随着社会的进步,我们的时代已经成为了信息化的时代,计算机信息机技术被广泛的应在人们的生活和工作中,不仅是机场信息系统,各行行业离不开计算机。在1999年,我国机场就开始信息化的建设,经过14年,机场信息网络相对完善,无论是生产运营,还是内部办公,以及旅客服务,都需要用计算机管理,是机场运营工作的重要保障。信息技术的使用,提高了工作效率,机场驻场单位之间可以数据共享,实现了互联互通。所以,不仅要建设好机场信息系统,也要对其安全,进行管理。
1机场信息系统的现状及问题
由于互联网的发展,计算机技术使用得到了普及,越来越多人们对计算机技术进行深入学习,但是,计算机病毒和黑客也愈演愈烈。在机场中,大部分的计算机都连接着互联网,查阅资料或者下载一些软件都需要通过互联网,但是,一些资料、软件会携带病毒,存在安全隐患,这样就对机场网络安全造成了威胁,机场内部的信息需要严密的保密性,例如:航班信息、财务信息,尤其是旅客的信息更重要,一旦信息系统遭到破坏,资料泄露,对机场会造成巨大的损失。所以,机场信息系统网络安全管理的工作尤为重要。如今,机场单位正在进行二期建设,在完成二期建设后,机场信息网络的覆盖率更大,也会接入更多的单位,为各个单位的工作人员的工作方式提供了便利,与此同时,对网络安全方面来说,也存在了更多的风险,所以,负责网络安全的工作部门的工作人员,担负了更大的责任,对他们的工作有了新的要求。如何保证机场信息系统网络的安全,成为了关注的问题。
2机场信息系统安全的管理措施
2.1建立信息安全组织
对于机场来说,不仅服务组织多,信息系统也高度密集,想要实现信息安全管理,首先需要高层管理者的支持。机场的信息部门负责制定信息安全规范和安全防护体系,也要负责信息安全的有效运行,对各个安全室,定期的组织信息安全培训,对信息安全的进行风险评估,审核内部信息安全。很多机场没有设立这样的部门,缺少信息安全组织,只是让信息部门的某个人或某个科室负责安全信息工作,这样是不够的,必须从上至下,全面的进行信息安全管理工作。在机场信息安全管理中,必须建立负责信息安全的委员会,保证信息安全的策略,推进信息安全措施的顺利实施。组成信息安全检查工作的委员会从单位中挑选,定期的进行安全自查工作,及时发现存在的问题,提出相应的意见,及时的进行整改,对整改的全过程进行跟踪,对整改措施审核。机场各部门以及机场的其他相关单位,要按照机场信息安全规范进行工作,遵守安全流程,保证管辖内的网络信息安全,对存在的安全风险进行有效预防。
2.2建立信息安全的政策和程序
对于大部分企业来说,信息安全的认识程度只是停留在技术层面,认为只要设置了防火墙,安装了防治病毒的软件就会高枕无忧,其实,这样是远远不够的,频频的信息安全事件的发生,很明显说明了信息安全依然存在问题。在信息安全中,人的因素比技术重要,信息安全政策和程序的建立,既能让员工的工作参与信息安全中,又能减少由于人为因素损害信息安全的可能性,对整体有着保障作用。
2.3连续计划业务
机场业务对信息系统有着很强的依赖性,对信息系统的稳定性和恢复的能力有着很高的要求,所以,机场信息系统的建立要有连续性,如果信息系统出现紧急情况,能保证系统快速的回复,业务不能中断,为了保证业务的连续性,可以建立起业务的保障目标,对业务进行相关的分析,如果需要业务恢复工作,分析优先性,同时,制定应急的恢复方案。
2.4培训工作人员
机场的业务环境复杂,而且用户密集,对人的因素管理,要引起高度的重视,通过对相关工作人员的培训,使他们掌握相关的法律法规、安全指南,以及安全政策,提高管理人员的安全意识,掌握安全技能,进而实现信息的安全管理,建立一个成功的安全体系。在信息安全管理中,工作人员自动构成了一道防火墙,而且这道防火墙是最安全可靠的,能长久治安的保证信息安全,为整体的信息安全管理工作提供了保障。
2.5部署信息安全的技术
在信息安全管理中,除了信息安全的管理工作,信息安全技术也同样重,在信息安全的个性管理措施中,都离不开信息安全技术。信息安全技术的布置十分的重要,可以从以下几点进行部署。对物力安全进行控制,网络边界进行有效的防护工作,控制网络终端的安全性,防止病入侵,加固设备的安全,定期进行备份工作,防止数据丢失。
3结语
机场信息系统网络安全管理是一项非常系统的工作,对各个环节都要有效的把控,任何环节出现问题,都会造成整个系统的安全问题,虽然机场信息管理工作初具规模,但是要走的路还很长,想要真正实现网络信息安全管理,处理防患于未然,还需要大家共同努力,贡献一份自己的力量。
引用:
[1]贾晶,陈元,王丽娜.信息系统的安全与保密[M].北京:清华大学出版社,2002.
四大因素驱动管理水平提升
经过十多年的建设与发展,中国移动已建成一个覆盖范围广、通信质量高、业务品种丰富、服务水平一流的移动通信网络。目前,中国移动的网络规模和客户规模列全球第一。但近几年来,中国移动的信息安全管理压力不断加大,这是由于以下四个因素:
首先,适应信息安全形势发展的基本需要。随着社会环境、产业环境的变化,通信网的重要性日益凸显,民众对通信网的依赖程度日益提高,网络与我们的生产、生活密不可分。与此同时,网络安全攻击事件日益增多,网络攻击技术越来越多样化,攻击的自动化程度也越来越高,信息安全形势日益严峻。作为国有重要骨干企业,中国移动加强信息安全管理,既是实现企业发展战略目标的需要,也是履行企业社会责任的基本需要。
其次,Y本的市场监管要求。2002年,美国安然、世通等财务欺诈事件之后,美国立法机构出台了《萨班斯―奥克斯利法案》(以下简称《萨班斯法案》)。《萨班斯法案》不仅适用于美国上市公司,也适用于在美国证监会注册的外国公司。中国移动作为在美国证券交易市场上市的海外公司,也必须遵循《萨班斯法案》相关要求。为了遵从《萨班斯法案》,中国移动制定的内部控制矩阵中,有313个项与信息安全有关。
再次,满足国内监管部门的监管要求。随着信息安全形势的发展,国内监管部门对信息安全管理提出了明确要求。公安部、工业和信息化部、国家保密局和证监会等部委陆续了相关文件对企业信息安全管理提出了要求,如公安部、国家保密局、国家密码管理局和国务院信息工作办公室的《信息安全等级保护管理办法》,公安部的《互联网安全保护技术措施规定》,工业和信息化部的《通信网络安全防护管理办法》,财政部、 证监会、审计署、银监会和保监会印发的《企业内部控制基本规范》等。
最后,满足企业自身管理提升的要求。中国移动从提升自身管理的角度出发,建立了较为完整的信息安全管理体系,覆盖系统建设和运维、业务经营、客户信息保护等环节。
然而,由于信息安全管理涉及多个业务部门和管理部门,管理复杂度高,工作繁杂,过去难以进行体系化管理、执行难度高成为中国移动信息安全管理工作的突出问题。
五大管理措施保证信息安全
中国移动信息安全管理的总体目标是借鉴国际的先进GRC管理理念,按照PDCA(Plan―Do―Check―Action,计划―实施―检查―处理)模式,建立涵盖合规要求、合规执行、合规检查、合规评价、合规整改的闭环管理机制;采取相应的技术手段、通过有效的管理措施,保证信息资产免遭威胁,或将威胁带来的不良后果降到最低;持续改进,实现信息安全管理水平的螺旋式提升,最终维护组织的正常运作和健康发展。具体来说,中国移动主要采取了以下五项措施保证目标的实现。
第一,建立信息安全合规闭环管理机制。中国移动在信息安全管理方面借鉴了GRC管理理念,参考了ISO27001信息安全闭环管理体系的PDCA模型,形成了特有的信息安全合规闭环管理机制。中国移动结合自身的实际情况,将信息安全合规管理工作划分为合规要求、合规执行、合规检查、合规评价、合规整改等五个环节。其中,合规要求对应的是计划(Plan),合规执行对应是实施(Do),合规检查和合规评价对应的是检查(Check),合规整改对应的是处理(Action)。这五个环节形成了信息安全合规的闭环管理,借助流程全面贯彻。
第二,进行集中、制度化管理,全面满足内外部监管需求。中国移动根据外部的《萨班斯法案》、ISO27011信息安全管理最佳实践、国家信息安全等级保护、通信网安全防护等相关的合规要求,制定了多达200余个安全管理制度和标准,覆盖系统建设与运维、业务经营、客户信息保护等环节,涉及多个业务部门和管理部门,涵盖了安全方针、风险管理、第三方管理、安全事件处理、安全基线等数十个领域。
值得一提的是,由于需要遵从的合规要求较多,部分“规”之间存在内容交叉和要求不一致的情况。如果缺少集中化的管理,会导致日常的制度和标准查询、获取和执行都比较困难。为此,中国移动对需要遵从的国际、国内、行业和企业内部的信息安全管理制度、标准进行了梳理,参照国内外标准和最佳实践,形成了《中国移动信息安全管理制度体系框架》。通过制度体系框架,相关人员可以掌握公司整体的信息安全管理全貌,方便、快速地查找对应的要求,高效地分析出哪些领域可能存在制度缺失,为进一步完善信息安全管理体系提供有力的支持,为合规管理体系的建设提供有用的支撑。
第三,完善合规管理矩阵,将安全合规管理工作具体化。信息安全合规管理的核心是建立信息安全合规管理矩阵。该矩阵是基于对各种信息安全管理制度、规范建立的,是对各种信息安全管理要求的条目化、具体化。中国移动在梳理合规制度和建立合规控制框架的基础上,首先建立信息安全责任制、客户信息安全、业务安全和基础安全等子矩阵,然后逐步丰富、完善子矩阵,最终形成全面的信息安全合规矩阵。合规矩阵包括控制矩阵、检查矩阵、对应矩阵和资产矩阵。
第四,建立合规检查规范,实现制度化、规范化管理。为了做好合规检查,中国移动制定《信息安全监督检查工作规范》,实现合规检查制度化、规范化管理。合规检查分为普查模式和专项检查两种模式。
第五,建立评价体系,实现整改工作的闭环管理。中国移动通过实施多维度的合规评价,针对不符合合规要求的检查点和评价相对较差的环节,开展及时的问题整改工作,通过工单等工作流,以下发、整改、反馈和验证四步闭环的管理模式,保证在问题发现后,有要求、有人改、有反馈、有验证,有效落实整改工作。
信息化平台是不可或缺的支撑
为了有效应对当前在信息安全合规管理方面所面临的挑战,中国移动在慧点科技协助下建立了全网集中的信息安全合规管理平台。中国移动的各省公司都可以登录该平台开展合规管理工作。该平台针对中国信息安全合规管理需求,固化了制度管理、控制落实、安全检查、合规评价和整改等信息安全管理流程,为合规工作提供了流程化、平台化的高效工具。
中国移动信息安全合规管理平台包括制度管理、矩阵管理、执行管理、合规检查、合规风险评价和整改管理等核心功能模块,可以有效支撑信息安全合规的全生命周期流程管理。
通过建立以信息安全合规管理矩阵为核心的合规管理体系,全面部署信息安全合规管理平台,中国移动实现了如下的效果:
第一,提升了信息安全业务管理的统一性、完整性;
第二,提升了集中化自主运营能力,有效提升业务连续性;
[关键词]档案信息化;信息安全;标准化;人才队伍
doi:10.3969/j.issn.1673-0194.2020.14.087
[中图分类号]G275.9[文献标识码]A[文章编号]1673-0194(2020)14-0-02
0引言
档案信息化建设将档案管理与信息技术有效融合,实现档案管理各个环节安全高效。而要想实现这一目标,必须注重信息安全问题,特别是在档案信息化建设过程中,无论是在信息收集整理阶段,还是在信息储存利用阶段,都涉及信息安全问题。从当前档案管理现状看,我国档案信息化建设还面临诸多问题,如信息安全问题重视程度不足,信息安全软硬件设施建设不到位,相应的制度体系和人才体系不完善等,档案管理部门有必要在档案信息化建设过程中,将信息安全问题作为重要课题进行研究,制定科学合理的解决措施,进一步提升档案信息安全性。
1档案信息化的实质及主要特征
1.1实质
档案信息化建设是档案部门针对档案信息资源利用现代的信息技术手段对其进行整合,并为社会公众提供信息服务的过程。档案信息化建设既符合当前我国经济社会发展对档案事业的现实要求,也是档案管理部门转变服务理念和服务方式的重要手段,档案信息化建设打破了长期档案部门封闭、半封闭的服务状态,真正实现了档案工作与经济社会发展的同部署、同落实,进一步明确了档案管理部门在经济社会发展中的角色,提升了档案服务效率和服务效果。
1.2主要特征
在推进档案信息化进程中,档案信息化呈现出新的特征。
1.2.1档案内容与载体形式出现了新的特征
在计算机技术的支撑下,档案信息数字化成为可能。近年来,网络信息技术发展更加成熟,进一步降低了档案信息采集和储存成本。与传统的档案信息技术相比,当前的档案信息技术利用更加便捷,无论是档案信息的采集速度,还是档案信息的整理速度都呈现了几何级数增长。特别是随着存储设备的不断优化,档案管理部门能以较小的空间存储大量的档案信息。随着档案信息系统平台的完善,档案信息收集、加工、传输工作都变得更加方便。在档案信息化进程中,档案内容数字化和档案载体的多媒体化成为档案信息化建设进程中的新特征。
1.2.2档案服务方式与共享形式出现了新的特征
在传统的档案信息环境下,档案信息需求者要想获得档案服务,必须亲自到档案馆进行查阅,并向档案馆申请借阅,使用完之后还需要归还给档案馆,不仅耗时耗力,而且影响档案信息的服务范围。而在新的信息环境下,档案信息的服务方式和共享方式出现了新的变化,以互联网为基础的档案信息服务系统能够打破时空限制,将传统的纸质档案上传到服务系统上,档案信息使用者只要具备一定的权限,通过用户登录就能进入档案信息管理系统,根据需要对档案信息数据库进行检索、浏览和下载就能获得相关资料,进一步拓展了档案信息服务范围,同时也实现了档案信息共享。
2档案信息化建设过程中出现的信息安全问题
信息安全是档案信息进程中必须注重的问题,在档案信息化建设进程中,信息安全主要集中在档案信息生产安全、流转安全、保存安全等方面。
2.1档案信息生产安全
目前,档案信息来源主要分为两个部分:一部分是对档案馆收藏的传统纸质信息进行数字化形成的电子档案信息,这部分信息是档案信息的主要来源;另一部分是按照档案管理的相关要求,向党政机关、社会团体收集的以电子文件形式的电子档案信息,这部分信息是未来档案信息生成的主要来源。而档案信息生产安全隐患主要源于3个方面:一是档案信息生成数字平台不统一造成的安全风险,在推进无纸化办公背景下,党政机关都推进了无纸化办公,但生成的数字文件格式不统一,很多数字文件与档案信息管理系统存在兼容性问题;二是档案信息生成的不真实性安全风险,由于档案信息生成主体过于多元化,特别是党政机关和社会团体,他们是档案信息资源生成的重要主体,也是档案信息资源生成的最初主体,一旦他们对档案信息内容进行篡改,档案管理部门将无法核对这些信息;三是档案信息生成的不可用风险,在档案信息传输过程中,一般都需要对档案信息进行压缩和加密,然后通过专用的网络渠道进行传输,但在传输过程中会由于人为因素和技术因素造成档案信息的不可读或不可用风险。
2.2档案信息的流转安全
在信息技术的应用过程中,档案信息流转存在一定的安全隐患。一是在档案信息传输过程中,档案信息管理系统平台升级或对重新迁移、归档或载体转换档案信息时,容易在操作过程中丢失档案信息。二是在档案信息传输过程中,容易被不法分子用更先进的技术窃取档案信息,甚至打包一些篡改后的档案信息,通过非法渠道替代原有的档案信息,致使工作人员收到的档案信息与原始信息内容不一致,导致档案信息无法使用。三是涉密档案信息的安全风险,很多档案信息都具有一定的保密性,这些档案信息在网络传输和保存过程中容易出现安全风险问题。
2.3档案信息的保存安全
档案信息数字化让档案信息保存变得更加便捷,同时也节省了档案信息的保存空间,但档案信息在保存过程中存在很多风险。一是档案信息的物理环境风险,部分档案管理机构只注重档案信息软件建设,引进专业人才和设备,但不重视档案信息保存的物理环境;沿用传统的档案管理方法,没有设置专门机房保存档案信息资源,没有实现专用网络的物理隔离,也没有铺设静电地板和监控措施,一旦发生火灾或其他自然灾害,现有的物理环境不支持档案信息保存,很容易造成档案信息资源因不可抗力因素而出现损毁。二是档案信息软件环境风险。随着档案信息化的不断推进,档案信息管理系统需要不断换代升级,在这一过程中,如果选用的互联网企业技术能力一般,可能会造成档案信息管理系统存在诸多漏洞,容易被不法分子窃取档案信息,对档案信息的保存造成一定的風险。
3档案信息化建设中构建信息安全体系的对策
档案信息化建设是一项系统工程,既是当前党和国家对档案事业提出的现实要求,也是档案管理部门主动适应新时展的现实举措。在档案信息化进程中,档案管理部门必须注重档案信息安全问题,构建和完善档案信息化标准规范体系,提升人才队伍的安全意识。通过多措并举的方式进一步降低档案信息化进程中的信息安全风险,构建更加完善的档案信息化建设信息安全体系,确保档案信息化稳步推进。
3.1构建档案信息化标准规范体系
档案信息化建设需要以完善的标准规范体系作为保障,统一的标准规范体系不仅是衡量档案信息化建设的重要标准,同时也有助于推进档案信息化进程。在档案信息化标准规范体系建设过程中,一方面,要严格按照国家关于档案信息化建设规范标准的具体要求,落实各项规章制度。另一方面,档案信息化建设主体应该结合本单位档案信息化建设的具体需求,完善档案信息化标准规范体系的内容,确保档案信息化标准规范安全体系更适合本部门的档案信息化建设,确保档案信息资源的安全稳定。在具体做法上,一要严格按照国家的相关法律规定,并结合当前档案信息化建设的具体要求,修正和完善本单位的档案信息化标准规范制度,同时对本单位在档案信息化进程中出现的新问题进行系统研究,并制定相应的制度对其进行规范,切实保护档案信息资源的安全性。二要在技术层面制定完善的规范体系。當前在档案信息化进程中外部的网络信息技术日新月异,而这些新技术是支持档案信息化建设的重要基础。因此,在档案信息化建设进程中,必须严格规范技术标准,特别是档案信息化建设的主管部门,应该按年档案信息技术标准规范。同时各个档案信息管理部门也应该结合档案信息化的特征制定相应的标准,只有构建档案信息化标准规范体系,才能确保档案信息在生成、流转和保存过程中的信息安全。
3.2构建档案信息人才队伍安全体系
档案信息化建设安全风险既涉及设备和技术风险,也涉及人为因素风险,特别是档案管理工作人员的能力和素质对档案信息化建设以及档案信息化安全会产生至关重要的影响。因此,档案管理部门有必要加强档案信息人才队伍安全体系建设,培养技术过硬、素质过硬、安全意识过硬的档案信息管理人才。具体而言,第一,提升档案管理工作人员的信息安全意识,档案管理部门在推进档案信息化进程中要围绕人这一核心要素开展,要想提升档案信息的安全性,必须充分发挥档案管理工作人员的主观能动性。制定档案管理工作人员长期安全教育制度,按照档案管理工作的具体要求,每季度对档案管理工作人员进行安全教育,通过长效化的安全教育时刻提醒档案管理工作人员信息安全的重要性。第二,每年至少召开一次信息安全讲座,对过去一年全国各地出现的档案信息泄密事件进行系统分析,结合事件出现的安全漏洞和不足,按照档案管理工作人员具体的岗位要求对照查摆问题,及时改进发现的问题,进一步提升档案管理工作人员的安全意识。第三,加强档案管理工作人员的信息技术培训,在提升档案管理工作人员安全意识的基础上,还需要档案管理工作人员具备相应的技术和能力,以解决工作中出现的安全漏洞问题。一方面,与具备相应资质的互联网企业合作,聘请专家对档案管理工作人员进行系统的信息化培训,要求档案管理工作人员熟练掌握档案信息系统的各类软件,并能简单维护档案信息系统的各类硬件。另一方面,进一步提升档案管理工作人员的业务能力,规范档案管理人员的工作程序和操作方法,通过提升档案管理工作人员的业务能力,确保档案信息安全。
一、国家电网公司信息安全的特点:
1.规模大:国家电网公司信息系统信息安全涉及电网调度自动化、生产管理系统、营销管理系统、供电服务、电子商务、协同办公、ERP等有关生产、经营和管理方面的多个领域,是一个复杂的大型系统工程;
2.点多面广:国家电网公司下属单位多、分布范围广,网络更加复杂,对如何保证边界清晰、管理要求实时准确落实等方面提出了更高的要求;
3.智能电网:同时随着智能电网的建设,网络边界向发电侧、用户侧延伸覆盖至智能电网各环节,具有点多、面广、技术复杂的特点,信息安全风险隐患更为突出;
4.新技术广泛应用:云计算、物联网、大数据等新技术的不断引入,对公司信息安全构成了新的挑战。
二、国家电网公司信息安全保护总体思路:
坚持“三同步”、“三个纳入”、“四全”、“四防”,信息安全全面融入公司安全生产管理体系。多年来,严格贯彻国资委、公安部、国家电监会工作要求,在国家主管部委、专家的指导帮助下,公司领导高度重视信息安全工作,坚持两手抓,一手抓信息化建设,一手抓信息安全:
1)坚持信息安全与信息化工作同步规划、同步建设、同步投入运行的“三同步”原则;2)坚持三个纳入,等级保护纳入信息安全工作中,将信息安全纳入信息化中,将信息安全纳入公司安全生产管理体系中;3)按照“人员、时间、精力”三个百分之百的原则、实现了全面、全员、全过程、全方位的安全管理;4)全面加强“人防、制防、技防、物防”的“四防”工作,落实安全责任,严肃安全运行纪律,确保公司网络与信息系统安全。
三、国家电网公司信息安全保护工作机制:
按照国家等级保护管理要求,结合电网企业长期以来的安全文化,建立了覆盖信息系统全生命周期的54项管理措施,形成了8项工作机制:
公司按照“谁主管谁负责、谁运行谁负责”和属地化管理原则,公司各级单位成立了信息化工作领导小组,统一部署信息安全工作,逐级落实信息安全防护责任。
1)信息化管理部门归口管理本单位网络与信息安全管理。2)网络与信息系统建设、运维和使用部门分别负责信息系统建设、运行维护和使用环节的网络与信息安全保障。3)业务部门在业务分管范围内协助做好相关系统的安全管理的检查监督和业务指导。4)总部、分部及公司级信息安全督查队伍负责开展信息安全技术督查。5)各单位与总部签定保密责任书和员工承诺书,建立自上而下、层层负责的保密责任体系。6)“不上网、上网不”。严禁计算机与信息内外网连接;严禁在连接外网的计算机上处理、存储信息;严禁信息内网和外网计算机交叉使用;严禁普通移动存储介质在内网和外网交叉使用;严禁扫描仪、打印机等计算机外设在内网和外网上交叉使用。7)技防:内外网强逻辑隔离+部署安全移动存储介质+安装桌面计算机监控系统+安装企业级防病毒系统+360卫士防护软件+对互联网出口+外网邮件内容+门户网站内容进行监控8)人防:培训竞赛+警示教育+检查+责任追究+《信息安全管理手册》+《信息系统安全典型案例手册》9)物防:保密管理系统,保密机及介质统一备案
四、国家电网公司信息安全的督察体系
建立公司级、省级两级信息安全技术督查体系,依托中国电科院、省电科院信息安全技术队伍,独立于日常安全建设和运行工作,有效监督检查、督促公司信息安全管理、技术要求和措施落实,及时发现各层面安全隐患,快速堵漏保全,消除短板,支撑公司网络与信息系统安全防御体系有效运转。
1)两级共计502人的信息安全技术督查队伍。2)开展常态、专项、年度和高级督查工作。3)督查覆盖各级单位,延伸至信息系统生命周期各环节。4)建立闭环整改、红黄牌督办、督查通报、群众举报等督查工作机制。5)充实督查技术装备,加强人员技能培养。6)2005年,电监会5号令,确立“安全分区、网络专用、横向隔离、纵向认证”的二次系统安全防护策略;。7)2007年,公司制定“双网双机、分区分域、等级防护、多层防御”的管理大区信息安全纵深防御策略。8)2010年,深化等级保护安全设计技术要求,结合智能电网防护需求深化完善,形成“双网双机、分区分域、安全接入、动态感知、全面防护”的管理大区信息安全主动防御策略。
五、国家电网公司信息安全的技术措施
1.信息安全的总体架构
a.双网双机。已完成信息内外网独立部署服务器及桌面主机,并安装安全防护措施。b.分区分域。依据等保定级情况及系统重要性,已基本实现各类边界、安全域的划分及差异化防护。c.安全接入。已实现对接入信息内外网各类终端采用安全加固、安全通道、加密、认证等措施,确保接入边界、终端及数据安全。d.动态感知。不断完善内外网安全监测与审计,实现事前预警、事中监测和事后审计。e.全面防护。对物理、网络边界、主机、应用和数据等进行深度防护,加强安全基础设施建设,覆盖防护各层次、各环节、各对象。
2.信息安全的边界安全
公司网络划生产控制大区和管理信息大区,同时在管理信息大区的基础上进一步划分信息内网和信息外网,形成“两个大区、九大边界”。针对信息内网边界重点区域进一步制定安全防护策略。a.内外网隔离策略:四特定特定业务应用、特定数据库、特定表单、特定操作指令。b.内网边界安全接入策略:五限制内网安全终端、无线加密专网、数据传输加密、交互操作固定、终端入网检测c.第三方专线接入防护策略:五专用专线连接、专区接入、特定内容交互、专机专用、专用程序、边界防护-逻辑强隔离设备。d.边界防护-内网安全接入平台。
1)保障非公司信息内网区域终端以安全专网方式接入信息内网;2)设备接入认证;3)数据隔离交换;4)实时安全监测;5)数据安全检查。
3.信息安全的安全检测
外网监测-信息外网安全监测系统。对互联网出口网络攻击事件、网络流量、敏感信息、病毒木马、用户上网行为、信息外网桌面终端安全态势进行实时监测与深度分析,日均监测并阻截外网边界高风险恶意攻击达2000余次,及时掌握全网互联网出口和信息外网实时安全态势。内网监测-信息运维综合监管系统对网络设备、383个骨干网节点、近400个业务指标。
1)内网边界实时监控2)网络设备、流量实时监控3)主机安全实时监控4)应用运行状态实时监控5)桌面终端标准化管理。
4.信息安全的数据保密
