网络与信息安全保障方案
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇网络与信息安全保障方案范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
网络与信息安全保障方案范文第1篇
【关键词】电力信息系统;安全保障体系;建设原则;思路分析
【中图分类号】P208 【文献标识码】A 【文章编号】1672-5158(2012)09-0046-01
随着计算机技术与互联网技术的发展,电力信息系统的安全在电力企业的正常运营、客户营销、财务管理以及电网调度等方面起着积极地促进作用。黑客与病毒以及安全漏洞在很大程度上威胁着电力企业的正常运营。因此,本文将从电力信息系统的安全保障体系的角度出发,对如何在电力企业中建立电力信息系统的安全保障体系的思路与原则进行有效性研究。
一、关于电力信息系统的概述
电力信息系统包括信息网络、网络服务系统、应用系统、安全系统、存储与备份系统、辅助系统、终端计算机用户设备等系统及上述系统的附属设备。其所涉及的技术有:数据加密技术、入侵检测技术、防火墙、访问控制技术以及网络扫描技术等。在网络硬件方面,已基本实现千兆骨干网、百兆到桌面、三层交换以及VLAN等技术的普遍使用;而在软件方面,主要包括办公信息化系统、一体化整合平台、安全生产管理信息系统、电力地理信息系统、营销管理信息系统及各专业相关的应用子系统等。计算机及信息网络系统在电力生产、调度、经营、管理等各个领域有着十分广泛的应用,在安全生产、节能消耗、降低成本、缩短工期、提高劳动生产率等方面取得了明显的社会效益和经济效益。引发信息系统安全问题的因素包括安全架构在设计上出现问题与管理方面出现问题。
二、针对电力信息系统安全保障体系建设原则的研究
电力信息系统安全保障体系建设不能只是简单地局限在电网运行安全这个方面,需要经过三个阶段:一是信息安全系统的建设;二是信息安全管理的建设;三是信息安全策略的建设。随着信息技术的发展与人们对信息安全人士的加深,电力用户对电网的安全管理与用电需求也在发生着变化,由原先单一的产品逐渐向信息安全的管理与构建转变。由于电力企业在社会经济发展的特殊作用,因此在建设电力信息系统的安全保障体系的过程中,需要坚持以下四项原则:
(一)原则之一——动态性原则
在建设电力信息系统安全保障体系的过程主要坚持动态性原则,主要是因为无论哪个安全保障系统都有可能出现技术或者操作问题,不能为企业运行与管理提供真正的安全。再加上随着黑客技术的发展,安全系统的保障能力也逐渐下降。所以,信息安全系统建设计划要具有可扩展性,可以为电力信息系统提供安全预防与维护以及应急方案,
(二)原则之二——均衡性原则
在建设的过程中坚持均衡性原则,是因为安全保障体系是根据电力企业的安全生茶目标进行设置的,其中所涉及的各项技术都要经过成本与效益方法的分析,以降低施工成本并提升企业的经济效益。
(三)原则之三——立体性原则
在建设的过程中坚持立体性原则,是因为安全保障体系建设不是一个简单地系统建设。它所涉及的内容包括:人文与自然环境、管理知识、相关技术以及法律法规等。因此在建设的过程中,不仅需要从横向的方向进行考虑,还需要从纵向的方向进行考虑,以确保电力网络的信息安全。
(四)原则之四——法令性原则
在建设的过程中坚持法令性原则,是源于《电力二次系统安全防护规定》的相关规定。管理信息大区要访问电力生产控制大区内的数据,需要在两者之间安装电力专用的横向安全隔离设备,而且这类设备是经过国家相关部门认定的。一旦背离法令性原则的设计施工方案都会对电力企业的正常运行带来巨大的经济损失。
三、针对电力信息系统安全保障体系建设思路的研究
(一)思路之一——采取措施加强信息系统的安全运行与管理建设
要加强电力信息系统安全保障体系的安全运行与管理管理建设,需要做到以下三点:
一是要在电力信息系统安全保障体系的建设过程中,建立并完善多层次、动态、全方位的安全管理信息中心,有效控制因为安全技术问题所引起的混乱局面,将和体系安全有关的各项技术与方案聚合在一个具有整体性、安全性与系统性的平台上,充分发挥人力因素、策略因素以及技术因素的优势,从而提升安全保障体系的质量与水平。
二是要了解并掌握安全管理信息中心的基本内容:设置相关机构、完善相关的技术手段、加强基础设施建设、明确各部门的职能、制定严格的规章制度以及培训专业工作人员。
三是利用先进的计算机技术与网络通讯技术研发信息安全的综合管理系统,该系统除了具有分析电网运行信息、监视电网设备运行状态以及应急响应电网运行过程中的异常事件功能之外,还有数据搜集与分析功能、可视浏览功能等。信息安全的综合管理系统在电力信息系统的安全保障体系中扮演着承上启下的纽带作用,它可以搜集电力网络中的各种信息,并将这些信息进行整理归类后进行分析处理,再反馈给管理人员。其中处理的信息包括:统计数据信息、报警数据信息以及历史数据信息等。
(二)思路之二——采取措施加强电力信息系统中的信息安全系统建设
要加强对信息安全系统的建设,需要做到以下三点:
一是要保障电力信息系统中数据对象的安全,可以采取操作系统加固、数据指纹、主机加固、安装防病毒系统以及数据加密的歌方式对需要保护的对象进行保护,同时要加强电力信息系统安全保障体系建设过程中的周围环境的安全保护。
二是采取措施保障系统结构的安全,其主要侧重在体系的应用、网络数据的应用以及信息数据的边界界定,或者物理与逻辑方面的规划,它是信息系统安全的前提条件,这种方式不仅可以有效地降低企业的施工与管理成本,同时也有助于解决数据泄密等问题。
三是保障信息系统流程的安全,其内容包括两个方面的内容,首先是利用访问控制与身份识别等技术手段,其次是加强流程管理等方面对信息流程的安全进行审核与风险评估,从而设计出有效进行信息流动控制的方案。
网络与信息安全保障方案范文第2篇
关键词:档案安全;保障体系;研究综述
2010年5月12日,国家档案局杨冬权局长在全国档案安全系统建设工作会议上提出“建立确保档案安全保密的档案安全体系,全面提升档案部门的安全保障能力”的号召,把档案安全的重要性提升到一个新高度。[1]近年来,档案安全保障体系研究已引起学界的关注,成为较热的一个研究课题。我们课题组也在做档案安全保障体系的研究,笔者期望对学者以往的研究做以归纳提炼,以资研究探索。
笔者于2011年12月22日,在万方数据库中,以“档案安全保障体系”为检索词,起始年“2000”,结束年“2011”检索到论文84篇。在维普中文科技期刊数据库搜索到与“档案安全保障体系”相关内容论文20篇,笔者对其中相关度较高的文章进行了分析研究,综述如下:
1 档案安全保障体系的内涵
档案安全保障体系的建设具有持续性、多样化、可完善性等特点,是一项复杂的系统工程。构建档案安全保障体系的前提是分析档案安全保障体系的理论定位与实际应用的关系。
张美芳、王良城认为,目前,国内外关于档案安全保障体系的理解大致有三层含义:其一,控制环境,降低风险。这里的“环境”,是指档案保管环境、物理环境、社会环境、信息存储环境等,降低环境因素对档案安全的影响,最大可能降低风险。其二,建立安全保障平台,采取安全防护措施,使档案尽可能保持稳定状态。其三,对已经处于不安全环境中的档案,采取各种措施使其达到新的稳定状态,保存其信息的可读、可用和可藏。这三层含义包括档案安全保障体系中社会因素、管理体制、组织体系、策略、政策法规、安全保障技术或安全保护效果的评价等较为宏观的要素。[2]
2 档案安全保障体系的构建目标和指导思想
2.1 构建目标。彭远明认为,档案安全保障体系建设的总体目标是:针对档案的安全需求、管理现状和存在问题进行安全风险分析,提出解决方案和预期目标,制定安全保护策略,形成集预测、保管、利用、抢救一体化的保障体系。[3]杨安莲认为,档案安全保障体系的构建目标应该是:采取全面、科学、系统的安全保障策略,保证档案信息的安全性、完整性和可用性,杜绝敏感信息、秘密信息和重要数据的泄密隐患,确保档案信息的全面安全。[4]
2.2 指导思想。彭远明认为,构建档案安全保障体系的指导思想是:在体系内合理进行安全区域划分,以应用和实效为主导,管理与技术为支撑,结合法规、制度、体制、组织管理,明确等级保护实施办法,确保档案的安全。[5]张美芳、王良城认为,档案安全保障体系建设的指导思想应是:坚持严格保护、有效管理、分类指导、合理利用,以健全法律法规、提高人员素质、加强规划管理、完善基础条件、强化监管手段为重点,立足当前,着眼长远,加快体制机制创新,加强统筹协调,全面增强档案资源保护力度,推动我国档案事业持续健康发展。[6]
3 档案安全保障体系的建设原则
档案安全保障体系的构建应该根据档案安全现状及其面临的威胁与隐患,从档案安全保障工作的整体和全局的视角进行规范,在构建过程中应该遵循一定的原则。彭远明、张艳欣、杨安莲、黄昌瑛、张勇等都提出了档案安全保障体系的建设原则,笔者采用统计归纳的方法,从中提炼出以下共性原则:
3.1 标准规范原则。档案安全保障体系的建构和策略的选择必须符合我国现行法律、法规的规定要求,必须遵循国际、国家的相关标准,严格遵照相关规章制度。[7][8]
3.2 科学实用原则。档案安全保障体系应在充分调查研究的基础上,以档案安全风险分析结果为依据,探寻有针对性的特色理论,制定出科学的防范措施与方法,这些理论、措施与方法应当在实践层面上具有可操作性。[9][10][11]
3.3 全面监控原则。档案安全保障工作是一个系统工程,需要对各个环节进行统一的综合考虑、规划和构架,任何环节的安全缺陷都会造成对档案安全的威胁。[12]
3.4 适度经济原则。根据档案的等级决定建立什么水平的防范体系,根据风险评估和各单位的财力、物力决定资金投入的多少及如何分配使用资金,将资金用在最迫切的地方。既要考虑到系统的可操作性,又要保证安全保密机制的规模与性能满足需要,实现安全保护效率与经济效益兼顾。[13][14][15]
3.5 动态发展原则。档案安全保障体系的建设是一个长期的不断完善的过程,所以,该体系要能够随着安全技术的发展、外部环境的变化、安全目标的调整,不断调整安全策略,改进和完善档案安全的方法与手段,应对不断变化的档案安全环境。[16][17][18][19]
3.6 自主创新原则。加强档案安全保障方面的关键技术的研发,密切跟踪国际先进技术的发展,提高自主创新能力,努力做到扬长避短,为我所用。[20][21]
4 构建档案安全保障体系的方案设计分析
许多学者对档案安全保障体系的建设方案提出了自己的设想,他们从不同的角度切入问题,得出不同的结论,笔者根据学者的研究成果,总结出一套较为完善的档案安全保障体系方案。
4.1 安全管理理论。理论从实践中取得并能指导实践,为实践指明前进的方向。在先进理论的指导下,实践往往能取得较好的成果,理论水平的高低因此也往往预示着现实中该领域的水平高低。
4.1.1 前端控制。前端控制思想具体到安全保障活动中是:档案安全保障的标准化的建设与应用;为开展安全保障活动而制定的计划方案、普查活动;人员配置合理和技术力量的前期储备、设备的选择和环境的控制、整个预防性安全保障活动的监督、检查和评估;为妥善保管档案而选择的装具、包装等;事先制订的应急预案、抢救预案,等等。[22]
4.1.2 全程管理。全程管理是伴随着档案的生命周期而开展的一切安全保障管理活动。[23]包括日常维护、灾难备份、利用与服务、恢复与抢救、质量检查与评估、风险预测,等等。[24]
4.1.3 后期监督。后期监督包括安全保障活动的评估、人员技术水平的评估、财政结算、开展安全保障活动后的总结报告、制度、规范或标准的完善、提供参考性的开展安全保障活动的经验、方法或模式。[25]
4.1.4 风险管理。构建档案安全的风险管理机制,依次进行安全风险计划制订、风险评估、风险控制、风险报告以及风险反馈。通过评估风险,识别判定风险大小,判定每种风险相对的档案安全保护对策,并通过一定的方式方法进行风险控制,规避、转移或降低风险对档案造成的损害。[26][27]
4.1.5 人才教育培养。树立科学的人才培养观,建立科学合理的档案安全人才培养体系,建立系统的人才资源培训和贮备机制,加大人才培养的力度。[28]做到“有计划、有重点、分层次、分类型、多形式、多途径”地开展档案安全人才的教育和培养。[29]
4.2 安全基础设施
4.2.1 实体安全基础设施。档案实体安全基础设施是指维护档案安全、实施档案正常管理、保障档案开发利用,提供为全社会方便服务等工作而进行的基础建设,包括档案保管环境、档案存储设施、档案利用设备、档案维护监控设备、档案抢救与恢复设施等。[30]
4.2.2 信息安全基础设施。档案信息安全基础设施是为信息安全服务的公共设施,为档案部门的安全保障体系建设提供支撑和服务,主要包括:档案信息系统PKI(网络信任体系)、档案信息灾备中心、档案信息系统应急响应支援中心、档案信息安全测评认证中心、档案信息安全服务中心(外包服务)、档案信息安全执法中心等。[31]
4.3 安全策略
4.3.1 实体安全策略。实体安全必须具备环境安全、设备安全和介质安全等物理支撑环境,注重环境防范、设备监控、介质管理、技术维护等安全措施的完善,消除安全隐患,确保档案安全。[32]
4.3.2 管理安全策略。针对档案安全的管理需求,在完善人员管理、资源管理、利用服务、重点部位维护、灾害防范、突发事件应急处置、专业人才教育培训的基础上,建立健全安全管理机制和制度,并结合管理技术,形成一套比较完备的档案安全管理保障体系。[33][34]
4.3.3 网络系统安全策略。强化操作系统、数据库服务系统的漏洞修补和安全加固,对关键业务的服务器建立严格的审核机制;合理划分安全域及边界,建立有效的访问控制制度;通过实施数据源隐藏,结构化和纵深化区域防御消防黑客入侵、非法访问、系统缺陷、病毒等安全隐患,保证档案系统的持续、稳定、可靠运行。[35][36][37]
4.4 安全技术。技术是影响档案安全的关键因素,档案安全技术是多方面、多层次的,包含预防、保护、修复和维护等技术,可以有效保证档案安全。
4.4.1 基于实体的保护技术。主要有:①各类档案载体的管理与保护技术;②档案损坏的测试与评估技术;③受损档案的修复技术。[38]
4.4.2 基于环境的防护技术。主要有:①库房建筑标准与围护结构功能的设计、施工和实施;②档案保管的设备设施和有效装具;③档案库房和利用环境的监测技术;④温湿度调节与控制技术;⑤有害因素的控制和防护技术。[39]
4.4.3 基于信息的安全技术。主要有:①系统安全技术:操作系统安全和安全审计技术等;②数据安全技术:数据加密技术、应急响应技术、数据备份与容灾技术、基于内容的信息安全技术和数据库安全技术等;③网络安全技术:防火墙技术、防病毒技术、漏洞扫描技术、入侵检测技术、物理隔离技术、服务技术、网络监控技术和虚拟网技术等;④用户安全技术:身份认证技术、数字签名技术和访问控制技术等。[40]
4.4.4 基于灾害的保护技术。主要有:①灾害的预警与防范技术;②档案灾害的应急处置技术;③档案次生危害的防范技术;④灾后受损档案的抢救与恢复技术。[41]
4.5 安全法规制度。完善的档案安全法律法规和制度是保障档案安全的基石,只有不断制定和完善档案安全法规制度,才能做到有法可依、违法必究,才能更好地维护档案的安全。[42]
4.5.1 制定并遵循法规标准。各地方应根据国家标准,结合本地区、本系统、本单位的具体情况,制定相应的规范和标准,以使档案安全管理规范化和标准化。[43]
4.5.2 建立健全档案安全管理制度。包括:档案归档安全制度、档案整理安全制度、档案查阅利用安全制度、档案日常管理维护制度、档案保密制度、档案信息安全管理制度、档案鉴定和销毁制度、档案资料出入库管理制度以及重要档案异地、异质备份制度;[44]受损档案抢救制度、电子档案信息安全制度以及档案安全行政责任制等。
4.5.3 建立完善档案安全管理机制。包括:信息交换机制、法律保障机制、日常防范机制、灾害预警机制、应急处置机制、[45]组织建设机制、制度建设机制、风险管理机制、人员管理机制等。
4.6 安全保护效果评价。对档案安全保障体系评价的目的,是对档案安全保障体系的有效性进行评估。[46]首先,确定待评价系统的范围,选择适当的评价方法,确定适当的评价指标。然后,收集有关数据进行统计分析,得出评价结果,再进行持续改进,以不断提高档案安全保障体系及其具体过程中的有效性和效率。[47]
4.6.1 评价方法。根据被评价对象本身的特性,在遵循客观性、可操作性和有效性原则的基础上选择合适的评价方法。目前,存在的综合评价方法有:属性融为一体评价方法、模糊综合评价方法、基于灰色理论的评价方法、基于粗糙集理论的评价方法。[48]
4.6.2 评价指标。根据国内外的档案安全评估标准,国家对档案安全的基本要求,综合考虑影响档案安全的各种因素,建立档案安全评价指标体系。包括:①物理安全评价指标:环境安全评价、设备安全评价、载体安全评价;[49]②管理安全评价指标:规章制度评价、工作流程评价、管理措施评价、业务技术评价;③技术安全评价指标:保护技术评价、网络技术评价。[50]
5 结语
纵观学者对档案安全保障体系的研究,研究角度和切入点各有不同,观点纷呈,但还是缺乏深入、系统的研究,有待于我们进一步思考、探讨。
注:本文是河南省档案局科技项目《档案安全保障体系现状调查》(项目编号:2011-B-51)阶段性成果之一。
参考文献:
[1]张照余.对建设档案安全保障体系的几点认识[J]. 浙江档案,2011(1):36~39.
[2][6][24]张美芳,王良城.档案安全保障体系建设研究[J].档案学研究,2010(1):62~65.
[3][5][7][33][41]彭远明.档案安全保障体系构建及其实现策略研究[J].上海档案,2011(4):14~17.
[4][12][15]杨安莲.论电子文件信息安全保障体系的构建[J].档案学研究,2010(10):75~78.
[8] [13] [17]张艳欣.档案安全保障管理机构的构建[J].档案管理,2010(5):7~9.
[9][14][16][29]王茹熠.数字档案信息安全防护对策分析[D].哈尔滨:黑龙江大学,2009.
[10 ][18][19]黄昌瑛.电子档案信息安全保障策略研究[D]. 福州:福建师范大学,2007.
[11][20][21]张勇.数字档案信息安全保障体系研究[D].苏州:苏州大学,2007.
[22][23][25]张美芳,董丽华,金彤.档案安全保障体系的构建[J].中国档案,2010(4):20~21.
[26]陈国云.从风险管理的视角探讨电子文件安全管理问题[J].北京档案,2008(6):16~18.
[27]张迎春.档案安全保障体系研究[D].安徽大学,2011
[28]方国庆.数字档案信息安全保障体系建设中的问题与策略[J].机电兵船档案,2010(5):59~61.
[30]王良城.档案安全保障体系建设基本任务探析[J].中国档案,2010(4):18~19.
[31] [40]项文新.档案信息安全保障体系框架研究[J].档案学研究,2010(2):68~73.
[32][38]许桂清,李映天.档案信息安全保障体系的建设与思考[J].档案学研究,2010(3):54~58.
[34]冉君宜.抓好“五个必须”构建档案安全保障体系[J].办公室业务,2010(9):55~56.
[35]陈慰湧,金更达.数字档案馆系统安全策略研究[J].浙江档案,2008(7):21~24.
[36]王凡,朱良兵.档案安全保障体系建设实践[J].贵州水力发电,2010(12):76~78.
[37]周向阳.电子档案信息安全保障体系建设的研究[J].机电兵船档案,2010(5):64~66.
[39]金玉兰.关于加强档案安全保障体系建设的思想[J].北京档案.2010(8):22~23.
[42]曹书芝.网络背景下档案信息的安全保障[J].兰台世界,2006(5):2~3.
[43]宗文萍.基于价值链理论的档案信息安全管理[J].档案学研究,2005(1):38~42.
[44]杨冬权.以丰富馆藏、提高安全保障能力和公共服务能力为重点,实现档案馆事业跨越——在全国档案馆工作会议上讲话[J].档案学研究,2009(6):23~29.
[45]卞咸杰.论档案信息安全保障机制的建立与完善[J].2007(6):18~20.
[46][50]方婷,吴雁平.档案安全保障指标体系建设研究[J].档案管理,2011(6):12~15.
[47]田淑华.电子档案信息安全管理研究[D].太原:中北大学,2009.
网络与信息安全保障方案范文第3篇
关键词:档案信息安全;保障体系建设;现状;方法
随着经济的发展和社会的进步,尤其是网络信息技术的快速进步,使得档案信息的管理逐渐的网络化,极大地提升了管理工作的效率与水平。但是在这种应用中,一个重要的问题产生了,即档案信息的安全问题越来越严重。因此,我们需要对于出现的问题进行认真的研究与分析工作,并且制定出相应的办法,全面建设档案信息安全保障体系,提高其应对网络安全风险的能力,推进档案信息安全保障工作全面的进步。
一、档案信息安全保障体系建设的现状
进行档案信息的安全保障工作具有非常重要的现实意义。但是从整体上而言,我国的档案信息安全保障工作在现实层面依然存在着许多的问题。具体来讲,第一,档案存放的馆舍环境有待改善。比如:我国许多的档案存放的馆舍存在着设施陈旧、缺少必要的隔热、防潮、消防等功能,使得众多的档案存放过程面临着不少的风险。第二,我国的实体档案信息管理存在着一些问题。比如:首先,保存的早期档案信息的字迹难以辨认。其次,保存的早期档案多有破损或者是管理混乱。再次,对于档案进行具体的管理中文书档案与照片档案的混合非常的严重。最后,对于保存的档案没有进行及时的通风,以至于一些档案出现了损毁的情况。第三,我国的电子档案信息保存也面临着一些风险。比如:首先,我国应用网络信息技术进行档案信息的管理时间短,对于众多的档案还没有完成应有的信息资源整合。其次,网络化的电子档案信息系统的运行功能不完善,还存在着一些问题。比如:安全系统的漏洞使得网络化的电子档案信息非常容易受到网络侵入或攻击。再次,我国没有对于网络化的电子档案信息管理制定出统一的管理规章制度,使得具体的管理工作不能有序的进行。最后,我们缺乏对于高素质、专业化网络电子档案信息管理人才的培养,使得有关工作严重的滞后[1]。
二、档案信息安全保障体系建设的方法
(一)完善实体档案管理
我们需要完善实体档案的管理工作,促进这些档案管理工作水平的提升。因此,首先,我们需要完善我国的实体档案保存馆舍的环境,对于存在问题的馆舍进行重新的修缮。其次,我们需要对于保存的实体档案进行全面的清查工作,并且制定出有效的考核方案。比如:根据档案利用效率的高低,对于保存的档案进行全面的优化排序,提升实体档案管理工作的应用效率与水平。制定出档案管理工作的中长期规划,逐步将实体档案信息向网络化电子档案信息进行转变。对于一些重点的、有应用价值的档案进行抢救性的发掘。对于一些特种载体的档案需要进行高效化的保存。改善有关的保存设施,保持有关环境的恒温、恒湿状态。同时,还需要对于保存的实体档案进行定期的消毒与清洁工作。再次,我们需要对于保存的实体档案进行有效的监督和检查工作,全面提升实体档案管理工作水平的提高。比如:制定出有效的考核制度,促进实体档案管理人员不断的提高自己的责任心与使命感,在平时的工作中尽职尽责,使我国的实体档案保存、管理工作安全、有序的进行。最后,国家与政府需要对于实体档案的管理工作给予足够的重视,投入大量的资金与技术,完善有关的管理系统,使得这项工作得到持续的进步和提升[2]。
(二)进行电子档案信息系统的安全建设
我国进行档案信息系统的安全保障工作,需要进行电子档案信息系统的安全建设工作。原因在于,电子档案信息系统的管理方式是未来我国进行档案信息建设的重要方向,也是未来我国档案信息保存的主要形式。因此,我们需要制定出有效的管理方法,全面提升我国电子档案信息系统的安全。具体来讲,第一,我国的各级档案馆需要建立档案信息化安全保障的制度,使得众多的电子档案信息管理人员严格的按照这些制度进行档案信息的管理。第二,我国的各级档案馆需要建立具有高效防护能力的防火墙与网络入侵拦截系统,对于各种信息的网络攻击与侵入行为进行有效的防护。第三,禁止有关的电子档案管理人员进行违规的外联,使得众多的电子档案得到有效的保护[3]。第四,从国家层面上讲,我国需要制定出专门的电子信息档案安全管理的法律法规,使得具体的电子档案信息安全管理工作做到有法可依、有章可循,对于具体的档案管理工作进行规范性的约束。第五,我们需要对于电子档案安全保障系统建设的技术进行创新。比如:我们需要建立起各级档案馆的“前端控制,后端归档”的管理模式,对于重要的信息进行有效的安全保障。应用网络信息技术的优势,对于保管的众多档案资源进行优化整合。对于众多档案信息管理的电子移交工作进行完善,有效的保障电子信息档案的安全,不至于出现遗失、不完整情况的出现[4]。结论:对于档案信息安全保障体系建设问题进行研究,有利于全面提升我国档案信息安全保障工作的质量与水平。
参考文献:
[1]许桂清,李映天.档案信息安全保障体系的建设与思考[J].档案学研究,2010,03:54-58.
[2]花文博.档案信息安全保障体系的建设与思考[J].广东科技,2011,10:9-10.
[3]王莉.档案信息安全保障体系的建设与思考[J].办公室业务,2014,19:65+67.
网络与信息安全保障方案范文第4篇
一、总体要求
以建设幸福为出发点,加强网络安全监管工作,坚持积极防御、综合防范的方针,全面提高信息安全防护能力。重点保障基础信息网络和重要信息系统安全,创建安全的网络环境,保障信息化健康发展,维护公众利益,促进社会和谐稳定。
二、工作目标
通过开展网络安全监管专项行动,进一步提高基础信息网络和重要信息系统安全防护水平,深入推进信息安全保障体系建设,健全统筹协调、分工合作的管理体制,强化信息安全监测、预警与应急处置能力,深化各类政务及公共服务重要信息系统的信息安全风险评估与等级保护工作,打造可信、可控、可用的信息安全防护基础设施和网络行为文明、信息系统安全的互联网应用环境。
三、组织领导
成立我局网络安全监管专项整治工作领导小组,由办公室、执法大队、市场管理科、广电科等组成。
四、工作职责
负责全县互联网文化活动的日常管理工作,对从事互联网文化活动的单位进行初审或备案,对互联网文化活动违反国家有关法规的行为实施处罚;依法负责对互联网上网服务营业场所的审核及管理;督促县广电总台做好互联网等信息网络传输视听节目(包括影视类音像制品)的管理。
五、整治任务
按照国家和省、市、县要求,认真做好重要时期信息安全保障工作。确保基础信息网络传输安全,保障重要信息系统安全、平稳运行,强化对互联网及通信网络信息安全内容的监管,严格防范非法有害信息在网络空间的散播。
六、总体安排
第一阶段:调查摸底,健全机制阶段(5月)。
第二阶段:评估自评估、自测评,综合整治阶段(6月至9月)
第三阶段:检查验收,巩固提高阶段(10月)。
七、工作要求
1、提高认识,加强领导。要充分认识信息安全保障工作的重要性和紧迫性,落实部门责任,各司其职,常抓不懈。做好本系统、本行业内各类信息网络和重要信息系统的安全管理工作。
2、明确职责,加强配合。要在整治工作领导小组统一领导协调下,各司其职,分头齐进,相互配合,迅速开展整治工作。同时,定期召开会议,通报情况,研究问题,部署任务,协调行动,确保整治工作有序开展。
网络与信息安全保障方案范文第5篇
[关键词] 信息安全保障体系; 中国石油; 企业
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 09. 054
[中图分类号] TP309 [文献标识码] A [文章编号] 1673 - 0194(2012)09- 0089- 02
1 信息安全保障体系概述
信息安全保障(Information Assurance,IA)来源于1996年美国国防部DoD指令5-3600.1(DoDD5-3600.1)。其发展经历了通信安全、计算机安全、信息安全直至现在的信息安全保障。内容包括保护(Protection)、检测(Detection)、响应(Response)、恢复(Recovery) 4个环节,即PDRR模型。
信息安全保障体系分为人员体系、技术体系和管理体系3个层面,人员体系包括安全人员的岗位与职责、全体工作人员的安全管理两部分。技术体系由本地计算环境、区域边界、网络基础设施及支撑性基础设施组成。管理体系包括建立完善的信息安全管理体系、构建自上而下的各级信息安全管理组织架构、制定信息安全方针与信息安全策略及完善信息安全管理制度4个板块。通过纵深防御的多层防护,多处设置保护机制,抵御通过内部或外部从多点向信息系统发起的攻击,将信息系统的安全风险降低到可以接受的程度。
2 国外信息安全保障体系建设
美国的信息化程度全球最高,在信息技术的主导权和网络上的话语权等方面占据先天优势,他们在信息安全保障体系建设以及政策支持方面也走在全球的前列。美国政府先后了一系列政策战略报告,将信息安全由“政策”、“计划”上升到“国家战略”及“国际战略”的高度。美国国土安全局是美国信息安全管理的最高权力机构,其他负责信息安全管理和执行的机构有国家安全局、联邦调查局、国防部、商务部等,主要根据相应的方针和政策结合自己部门的情况实施信息安全保障工作。
其他国家也都非常重视信息安全保障工作。构建可信的网络,建设有效的信息安全保障体系,实施切实可行的信息安全保障措施已经成为世界各国信息化发展的主要需求。信息化发展比较好的发达国家,如俄、德、日等国家都已经或正在制定自己的信息安全发展战略和发展计划,确保信息安全沿着正确的方向发展,在信息安全领域不断进行着积极有益的探索。
3 国内信息安全保障体系建设
我国信息化安全保障体系建设相对于发达国家起步较晚,2003年9月,中央提出要在5年内建设中国信息安全保障体系。2006年9月,“十一五”发展纲要提出科技“支撑发展”的重要思想,提出要提高我国信息产业核心技术自主开发能力和整体水平,初步建立有中国特色的信息安全保障体系。2007年7月20日,“全国重要信息系统安全等级保护定级工作电视电话会议”召开,标志着信息安全等级保护工作在全国范围内的开展与实施。2011年3月《我国国民经济和社会发展十二五规划纲要》明确提出加强网络与信息安全保障工作。通过一系列的文件要求,不断完善与提升我国的信息安全体系,强调信息安全的重要性。
我国信息安全保障体系建设主要包括:① 加快信息安全立法、建立信息安全法制体系,做到有法可依,有法必依。② 建立国家信息安全组织管理体系,加强国家职能,建立职能高效、职责分工明确的行政管理和业务组织体系,建立信息安全标准和评价体系。③ 建立国家信息安全技术保障体系,使用科学技术,实施安全的防护保障。④ 在技术保障体系下,建设国家信息安全保障基础设施。⑤ 建立国家信息安全经费保障体系,加大信息安全投入。⑥ 高度重视人才培养,建立信息安全人才培养机制。
我国通过近几年的努力,信息安体保障体系取得了长足发展,2002年成立了全国信息安全标准化技术委员会,不断完善信息安全标准。同时在互联网管理、信息安全测评认证、信息安全等级保护工作等方面取得了实质性进展,但CPU芯片、操作系统与数据库、网关软件仍大多依赖进口,受制于人。
4 企业信息安全保障体系建设
中国石油集团公司信息化建设在我国大型企业中处于领先地位,在国资委历年信息化评比中,都名列前茅,“十一五”期间,公司将企业信息安全保障体系建设纳入信息化整体规划中,并逐步实施。其中涉及管理类项目3个,控制类项目3个,技术类项目5个。
管理类项目包括信息安全组织完善、信息安全运行能力建设、风险评估能力建设3个项目。信息安全组织完善是指完善信息安全的决策、管理与技术服务组织,合理配置岗位并明确职责,建立完备的管理流程,为信息安全建设与运行提供组织保障。信息安全运行能力建设内容包括建立统一、完备的信息安全运行维护流程及组织IT运行维护人员信息安全技能培训,较快形成基本的信息安全运行能力。风险评估能力建设是指通过建立风险评估规范及实施团队,提高信息安全风险自评估能力和风险管理能力,强化保障体系的有效性。
信息安全控制类项目涉及信息安全制度与标准完善、基础设施安全配置规范开发、应用系统安全合规性实施3个项目。信息安全制度与标准完善包括:① 初步构建了制度和标准体系,了《信息系统安全管理办法》及系统定级实施办法。② 建立和完善了信息系统安全管理员制度,开展了信息安全培训。③ 跟踪国家信息安全等级保护政策,开展信息系统安全测评方法研究等,规范了信息系统安全管理流程,提升安全运行能力。基础设施安全配置规范开发目标是制定满足安全域和等级保护要求的信息技术基础设施安全配置规范,提高信息技术基础设施的安全防护能力。应用系统安全合规性实施是提供专业的信息安全指导与服务,支持国家等级保护、中国石油内部控制等制度的实施,使信息化建设与应用满足合规性要求。
信息安全技术类项目由身份管理与认证、网络安全域实施、桌面安全管理、系统灾难恢复、信息安全运行中心5个项目组成。身份管理与认证是指建成集中身份管理与统一认证平台,实现关键和重要系统的用户身份认证,提高用户身份管理效率,保证系统访问的安全性。网络安全域包括广域网边界防护、广域网域间与数据中心防护、广域网域内防护3项内容。广域网边界防护是指将全国各地的中国石油单位的互联网集中统一到16个区域网络中心,员工受控访问互联网资源,并最终实现实名制上网。广域网域间与数据中心防护项目指建立。区域间访问与防护标准、数据中心防护标准。广域网域内防护将分离其他网络并制定访问策略,完善域内安全监控手段和技术,规范域内防护标准。桌面安全管理项目包括防病毒、补丁分发、端点准入、后台管理、电子文档保护和信息安全等级保护综合管理6个子系统。系统灾难恢复包括:① 对数据中心机房进行了风险评估,提出了风险防范和改进措施。② 对已上线的18个信息系统进行业务影响分析,确定了灾难恢复关键指标。③ 制定整体的灾备策略和灾难恢复系统方案。信息安全运行中心旨在形成安全监控信息汇总枢纽和信息安全事件协调处理中心,提高对信息安全事件的预警和响应能力。
5 存在问题及建议
中国石油作为国资委超大型企业和能源工业龙头企业,集团领导和各级领导,一贯重视信息安全工作,在落实等级保护制度,加强信息安全基础设施建设,深入开展信息安全战略、策略研究等方面,都取得的丰硕成果,值得其他企业借鉴。公司在信息安全保障体系建设中还存在以下问题:
(1) 信息安全组织体系不够健全,不能较好地落实安全管理责任制。目前,部分二级单位没有独立的信息部门,更没有负责安全体系建设、运行和管理的专职机构,安全的组织保障职能分散在各个部门,兼职安全管理员有责无权的现象普遍存在,制约了中国石油信息安全保障体系建设的发展。需强制建立从上至下完善的管理体系,明确直属二级单位的信息部门建设,岗位设定、人员配备满足对信息系统管理的需求。
