前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇信息安全研究报告范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
信息安全责任制落实的具体措施。
以下是对*公司信息安全保密工作的简要汇报:
一、严格遵守各项安全保密管理制度
根据研究院的有关规定,*公司根据自身业务情况,已陆续了一些管理制度:如《公司知识产权与保密规定》,《关于公司员工退、离(辞)职有关问题的规定》、《公司计算机使用及电子邮箱、网络管理规定》《关于公司局域网的管理办法》、《研究报告四级质量控制体系管理规定》等等。
公司要求各级领导和全体员工严格遵守各项安全(保密)管理制度与规定,加强信息安全保密工作的防范,严格各项工作的业务流程,认真履行、互相监督,及时发现并消除隐患。
二、建立健全相关组织,加强信息安全队伍建设
1、为进一步做好信息安全管理工作,加强对信息安全、保密工作的统一管理,公司于20*年*月成立以执行总裁为第一责任人的*公司安全工作小组和*公司保密工作小组。小组成员包括:财务部、人力资源部、项目管理部、品牌市场部、客户服务部、知识管理部、办公室等职能部门的经理和公司各业务部门总经理及各部门岗位的人员。
2、安全(保密)工作小组成员,负责建立健全、贯彻实施有关安全(保密)管理制度,组织公司安全(保密)教育和知识学习等项工作。定期组织对公司安全(保密)工作的监督、检查,及时解决安全(保密)工作中存在的问题。
三、认真落实有关信息安全(保密)制度,加强信息安全保密工作的管理
1、职能部门邮箱加密。
公司财务部、人力资源部、项目管理部等职能部门邮箱全部加密码,避免通过邮件泄密。
2、人力资源部:a、所有人事档案入柜,封存,由专人保管;b、涉及薪酬的文件全部加密。c、与新、老员工签订《保密协议》。协议中规定:赛迪顾问员工所有研究成果是公司商业秘密的重要组成部分,其知识产权归公司所有。未经批准,员工不得向外界传播或提供有关公司的一切有关文件及资料,也不得交给无关人员,否则应赔偿公司因此而遭受的一切经济损失。必要时,追究其法律责任。保密条款不因《劳动合同书》的终止而失效。d、严格加强对离职人员的交接流程的管理,细化员工离职的交接程序,规定交接时间。
3、财务部门:安装监控摄像头;每位财务人员电脑个人账号均加密。
4、市场部门:加强媒体网站的政审工作。
5、项目管理部:a、每年通过招标的形式确定与供应商的合作,并与印刷公司、翻译公司签订保密协议,以确保外部打印、翻译的安全。b、报告发送采用pdf格式,并设置开启密码。c、严格报告借阅和赠送审批手续。d、要求各部门严格遵守研究报告四级质量控制体系规定,加强审核流程的管理。d、要求研究部门严格遵守“研究报告四级质量控制体系”规定,加台研究报告的审核流程。
e、合同设专人管理
6、各业务部门:各产业研究中心、咨询中心有关保密的电子资料都由部门总经理或项目负责人保管或存放,并加锁。
7、办公室:a、设置档案管理专人保管和借阅审批制度。b、加强办公区域的安全防盗管理,增加监控摄像装置。c、为保障公司服务器的安全,未经公司计算机系统维护员同意,不得私自操作服务器。
*公司信息安全保密工作下一阶段需要继续完善的地方:
1、进一步加强日常对员工的多种形式的保密培训工作。尤其是强化新员工入职培训。
2、进一步细化员工离职的交接程序,进一步严格劳动合同的管理。
3、多与各兄弟单位交流,学习借鉴先进经验。
4、财务部门、人力资源部门、项目管理部设置专用打印机。
5、加强各公司各业务部门对专项咨询保密工作的管理,并与客户签订《保密协议》。
6、加强品牌市场部门会议策划案的保密工作管理。
电力信息的迅猛发展使得电力系统及数据信息网络迎来了前所未有的挑战。本文分析研究了网络系统信息安全存在的问题,全面规划了网络安全系统,提出了合理有效的安全措施、方法,大大提升了电力企业信息网络安全工作的效率。
一、网络系统信息安全存在问题分析
(一)计算机及信息网络安全意识不强
由于计算机信息技术高速发展,计算机信息安全策略和技术也有大的进展。设计院各种计算机应用对信息安全的认识离实际需要差距较大,对新出现的信息安全问题认识不足。
(二)缺乏统一的信息安全管理规范
设计院虽然对计算机安全一直非常重视,但由于各种原因目前还没有一套统一、完善的能够指导整个院计算机及信息网络系统安全运行的管理规范。
(三)缺乏适应电力行业特点的计算机信息安全体系
近几年来计算机在整个电力行业的生产、经营、管理等方面应用越来越广,但在计算机安全策略、安全技术和安全措施上投入较少。为保证网络系统安全、稳定、高效运行,应建立一套结合电力行业计算机应用特点的计算机信息安全体系。
(四)缺乏预防各种外部安全攻击的措施
计算机网络化使过去孤立的个人电脑在联成局域网后,面临巨大的外部安全攻击。局域网较早的计算机系统是NOVELL网.并没有同外界连接。计算机安全只是防止意外破坏或者内部人员的安全控制就可以了,但现在要面对国际互联网上各种安全攻击,如网络病毒和电脑“黑客”等。
二、保证网络系统信息安全的对策
(一)建立信息安全体系结构框架
实现网络系统信息安全.首要的问题是时时跟踪分析国内外相关领域信息安全技术的发展和应用情况,及时掌握国际电力工业信息安全技术应用发展动向。结合我国电力工业的特点和企业计算机及信息网络技术应用的实际,建立网络系统信息安全体系一的总体结构框架和基本结构。完善网络系统信息安全体系标准以指导规范网络系统信息安全体系建设工作。
按信息安全对网络系统安全稳定运行、生产经营和管理及企业发展所造成的危害程度,确定计算机应用系统的安全等级,制定网络系统信息安全控制策略.建立适应电力企业发展的网络系统信息安全体系,利用现代网络及信息安全最新技术,研究故障诊断、处理及系统优化管理措施。在不同条件下提供信息安全防范措施。
(二)建立网络系统信息安全身份认证体系
CA即证书授权。一个完整、安全的电子商务系统必须建立起一个完整、合理的CA体系。CA体系由证书审批部门和证书操作部门组成。为保证网络系统信息一和安全.应建立企业的CA机构对企业员工上网用户统一身份认证和数字签名等安全认证,对系统中关键业务进行安全审计,并开展与银行之间,上下级CA机构之间与其他需要CA机构之间的交叉认证的技术研究工作。
(三)建立数据备份中心
数据备份及灾难恢复是信息安全的重要组成部分。理想的备份系统应该是全方位、多层次的。硬件系统备份是用来防止硬件系统故障,使用网络存储备份系统和硬件容错相结合的方式。可用来防止软件故障或人为误操作造成的数据逻辑损坏。这种对系统的多重保护措施不仅能防止物理损坏还能有效地防止逻辑损坏。结合电力行业计算机应用的特点,选择合理的备份设备和备份系统.在企业建立数据备份中心,根据其应用的特点,制定相应的备份策略。
(四)建立网络级计算机病毒防范体系
计算机病毒是一种进行自我复制、广泛传染,对计算机程序及其数据进行严重破坏的病毒,具有隐蔽性与随机性,使用户防不胜防。设计院信息网络系统采取在现有网络防病毒体系基础上.加强对各个可能被计算机病毒侵入的环节进行病毒防火墙的控制,在计算中心建立计算机病毒管理中心,按其信息网络管辖范围,分级进行防范计算机病毒的统一管理。在计算机病毒预防、检测和病毒定义码的分发等环节建立较完善的技术等级和管理制度。
(五)建立网络系统信息安全监测中心
计算机信息系统出现故障或遭受外来攻击造成的损失.绝大多数是由于系统运行管理和维护、系统配置等方面存在缺陷和漏洞,使系统抗干扰能力较差所致。信息安全监测系统可模仿各种黑客的攻击方法不断测试信息网络安全漏洞并可将测出的安全漏洞按照危害程度列表。根据列表完善系统配置,消除漏洞并可实现实时网络违规、入侵识别和响应。它在敏感数据的网络上.实时截获网络数据流,当发现网络违规模式和未授权网络访问时,自动根据制定的安全策略作出相应的反映.如实时报警、事件登录、自动截断数据通讯等。利用网络扫描器在网络层扫描各种设备来发现安全漏洞.消除网络层可能存在的各类隐患。
(六)建立完备信息网络系统监控中心
关键词:信息安全 实训基地 实践教学
中图分类号:G642 文献标识码:A 文章编号:1672-3791(2013)02(a)-0200-01
信息安全已成为国家安全、社会安全和经济安全的重要组成部分,当前仍面临着巨大压力和挑战,培养高素质的信息安全人员已刻不容缓[1-2]。我国信息安全学科建设虽然已取得了初步的成果,但与发达国家相比,在各方面还存在很大差距[3]。尤其在实践教学方面,存在指导书针对性和层次性不强、还没有建立专业技能训练题库和考核标准、实践教学管理需要进一步完善、资金支持不够等一些问题是普遍现象。如何坚持“工程素质培养”和“专业能力训练”并举,结合国内外的实验教学实践,完善信息安全实践教学体系,在实践教学中加强对学生摸索能力和创新能力的培养,是亟待解决的一个关键问题。
2003年经教育部批准,桂林电子科技大学开始设置信息安全本科专业,并经过充分准备,于2006年面向全国招收了首届58名信息安全专业本科生。该专业秉承“厚基础、重实践、提能力、求创新”的教学理念,依托“广西可信软件重点实验室”、“国家软件与集成电路公共服务平台(CSIP)广西分中心”,以及“无锡软通动力创新实践基地”、“天涯社区互联网项目研发与运营创新基地”、“国信蓝点企业人才定制实训平台”等,为培养高素质的信息安全创新人才,并以国家特色专业为建设目标,将教学与科研紧密结合,调整优化信息安全专业教学体系,开展了全方位、多层次的信息安全专业实践教学模式改革工作,建立了实践教学资源共享机制,形成了自然科学与人文科学结合、理论培养与技能训练结合的特色。
1 重视实训基地建设工作
信息安全专业的大量课程与社会实践密切相关,所以我们一直重视建设产学研一体化的信息安全实训基地,加强与信息产业部门的合作,为学生创造到企、事业单位顶岗实习的机会,打通学生与社会接轨的渠道,使学生能够明白真正的社会需求,使其得到既实际又规范的训练。
近年来,我们加强了创新性实训基地建设,包括校内固定性和校外流动性二类。一方面,持续完善已有的实训基地,整合和优化资源配置,努力将基地建设成为培养学生动手能力、形成创新意识、提升创新能力的中心。另一方面,除了努力开辟新的校企合作实训基地与模式,还利用中央财政支持地方高校发展专项资金项目契机,建设新的“信息对抗与网络安全实验平台”、“信息安全技术研究中心”等实训平台,进一步整合实验仪器和设备资源,配置专业设计与分析软件,加大经费投入,改善硬件条件,坚持教育教学与生产劳动、社会实践相结合。这样既能为当地政府的社会性工作服务,也能为学院建立更广泛的学生实训平台服务,最终为信息安全专业学生提供很好的实践锻炼平台。
2 培养学生多层次与多方向的实践能力
使学生通过分层次和多元化的实训锻炼,真正提高处理和解决实际问题的能力,提高信息安全人才的综合素质。在实践教学上按以下层次内容建设。
(1)基础训练层:主要目的是培养学生的信息安全基本实验操作能力,包括网络配置型实验、安全验证型实验和网络诊断型实验。该层的实践教学目标是掌握信息安全核心课程中的设备操作使用方法,加深巩固信息安全专业核心课程有关内容,为后面的专业课程实验打好基础,使学生具备一般的网络信息安全有关的测试和配置技术,熟识几种基本的信息安全仿真工具和技术,对常用的各类计算机网络,如NT、Novell、Linux等网络与服务连接、微机故障排除技术等能达到熟练的程度。
(2)综合设计层:主要目的是提高学生的信息安全系统的综合设计能力和应用能力,主要内容包括信息安全实验课程中的课程设计、工程设计、综合应用开发实验、加密系统、IDS入侵检测系统、防火墙技术、病毒的防范、黑客攻击与防范、电子商务、以及认证管理模拟训练、系统仿真和部分毕业设计等。该层的实践教学目标是掌握系统综合设计的整体流程,熟悉几种信息系统开发平台,掌握网络信息系统安全的设计方法、开发和测试过程,使学生具有系统的科学思维方式,综合运用基础知识与专业知识的能力。
(3)探索创新层:主要目的是促进学生运用综合实践技能进行科学研究和探索的能力,激发其创新意识和兴趣,激励学生个性发展,主要方式包括本科生科研训练课题、研究创新型实验、各类创新性实验计划、各种研究基金课题、以及各级信息安全竞赛或学科竞赛等。该层的实验教学目标是熟悉信息安全主题的探索过程并掌握科研方法,掌握实际信息系统的安全原理,使学生具有撰写一般科研论文和研究报告、能够进行学术探索性研究与学术交流的能力。
以上这种多层次多方向的实践教学平台,既加强了信息安全基本技能的训练,又注重综合能力的提高,还强调了创新素质的培养,能够满足并有利于学生在信息安全理论与技术方向的个性化发展。
3 提高学生信息安全项目科研创新能力
鼓励申报和实施各级大学生创新性实验计划项目是培养学生科研实践能力和创新能力的重要环节。我校于2008年获教育部批准成为第二批“国家大学生创新性实验计划”项目实施单位,此外,还有广西区级和校级大学生创新性实验项目,都为信息安全专业学生开展创新性实验研究提供了广泛的途径和经费支持,培养了学生对学科前沿、热点问题和亟待解决的问题的“提出—研究—解决”的兴趣,以及针对问题的辨析和探索求知的能力。截止2012年6月底,由信息安全专业本科生直接参与或主持的各级创新性实验项目已超过15余项。从实际效果来看,经历这些项目申报、实施、考核和结题的本科生的综合素质和科研创新能力均得到了显著地提高,这些既促进了信息安全创新实践平台的良性发展,也为选拔优秀学生进入教师科研项目、参加各类信息安全竞赛、评选优秀本科毕业生和推荐免试研究生等提供了人才资源储备。
4 结语
实践教学是信息安全专业教学的重要环节。通过多年实训基地的建设与探索,桂林电子科技大学信息安全实践教学平台已初步建立,以培养学生的创新实践能力为核心,并融入新的管理思想,充分体现了理论学习与实践创新的紧密结合,为培养复合型、创新型工科类人才提供了新思路,对深化工科类本科专业的实践教学改革起到了良好的示范作用。
参考文献
[1] 沈昌祥.加强信息安全学科专业建设和人才培养[J].计算机教育,2007(19):6.
同时,亚太区域也无法幸免被黑客锁定大型企业与政府机关作为特定目标攻击,趋势科技研究人员在第三季度也发现了「LURID 恶意程式下载器,这是最恶名昭彰的「针对性高阶持续威胁(Advanced Persistent Threat,简称 APT)之一。此类攻击就好像一个黑客在被感染的计算机中安装了一个窃听器,神不知鬼不觉地盗取用户和企业的机密信息。他们专门锁定大型企业和政府机关,在第三季度共60多个国家遭受此类攻击,包含越南、印度以及中国也在其攻击名单之列。这些攻击背后的网络犯罪者发动超过 300 次以上的恶意程序行动,目标在于长期掌控受感染的使用者系统以搜集机密资料。LURID之所以如此受不法人士大量使用,是因其可以锁定特定地理区域和机构展开攻击,至目前为止其已成功入侵1,465 台电脑。
其他重大攻击、诈骗、外泄与漏洞
* 韩国SK通信的信息外泄事件影响南韩35万使用者,趋势科技发现一只名为BKDR_SOGU.A的后门程式与此信息你外泄事件有关。此恶意程序读取存于被感染系统中的资料库,并接收来自网络犯罪者远端发送的命令至被感染的系统,影响信息安全。
* 趋势科技发现osCommerce,这一全世界非常受欢迎的开放原始码免费购物车程序上的漏洞,导致约九万个网页已被植入恶意程序框架 (iframe)。
* Google 已超越 Microsoft 成为软件漏洞通报数量最多的厂商,本季共有 82 个,这主要是因为普及率大增的 Chrome 浏览器所存在的漏洞所致。排名第二的是 Oracle,共 63 个,Microsoft 则降到第三名,共 58 个。
* 趋势科技威胁分析师发现一种新的 DroidDreamLight 恶意程序变种,此变种具备更强大的功能和危险性。该变种会伪装成电池电量监控程式,或是可查看执行中程式的系统工具,宣称可让使用者查看 Android 系统已安装应用程式所需使用的权限,这个新的 Android 恶意程式在中文第三方应用程式商店上随处可见。
* 今年 7 月前半月,趋势科技研究人员发现一个专门以提供免费 Google+ 社交网络试用邀请函为由,引诱使用者点选恶意连结的网页。使用者点选之后,并不会收到邀请函,反而是获得所谓参加问卷调查的「机会,此「机会让使用者陷于个人资料外泄的危险当中。
* 此外,LinkedIn 的使用者也同样遭遇宣称提供小贾斯汀 (Justin Bieber) 影片的恶意连结,此连结将使用者重新导至恶意网站。
重大信息安全斩获
除了发现 LURID 恶意程序下载器之外,趋势科技在第三季度还有其他令人振奋的斩获:
关键词:金融业 信息安全 法律保护
近些年,金融业内公众个人信息泄露事件频发,使得金融业公信力降低已成不争事实。日前媒体曝光的江苏银行事件,又一次为金融业信息安全敲响警钟。据报道,江苏银行上海金桥支行于2012年2月至4月间,凭借宜信普惠提供的查询授权书,在未与客户发生业务关系的情况下,查询了3.2万余人的个人信用报告,并将部分查询结果提供给宜信。为此,江苏银行已被中国人民银行上海分行通报批评,责令整改。
纵观2012年银行个人信息泄露事件,其泄露渠道有以下几种:一是银行泄露。银行出于某些利益因素的考虑,主动将公民个人信息泄露与第三方。这种潜藏在公众视野以下的利益链条已经植根于金融行业。许多从业公司为了共享信息资源从而获得更广大的客户集体,私下签订合约,出卖公众个人信息。二是银行内部工作人员泄露。究其根源,是因为商业银行对工作人员管理尚不完善。
面对个人金融信息泄露问题的逐步显露,金融业为重建权威性与公信力,采取有效的措施是必由之举。首先,商业银行要进一步完善机制,提升意识,强化个人金融信息的保护与管理,强化内控机制建设。商业银行应尽快完善客户个人信息管理的规章制度,对客户个人信息的采集、使用、存储的生命周期管理做出明确规定,有效保护客户个人信息安全;建立健全信息安全内控机制,制定信息安全控制流程,明确各岗位人员的保密和管理职责权限;对纸质和电子信息实行集中统一管理,对信息查阅、下载、拷贝实行严格的审批、登记和权限管理;强化监督问责制度,定期对信息安全状况进行评估、审计和检查监督,及时发现和纠正客户信息管理工作中存在的隐患和漏洞。其次,要进一步加强员工管理。商业银行应加强员工保密教育,提高员工素养,增强员工法律意识,严格遵守保密原则;加强对保密要害部门、要害部位和工作人员的管理,加强对业务外包单位及合作单位工作人员管理,及时消除风险隐患。第三,商业银行要结合当前不法分子的新型作案手法、特点,在自助银行机具、ATM机和信用卡的统一采购招标中加强源头管理。同时,要加强联动,构建与监管部门、公安部门等职能部门的沟通协调机制,共同研究探索案件防控措施。
当前,信息化已经成为推动经济社会发展的重要力量,成为衡量一个国家和地区经济社会发展水平的重要标志。在积极推进信息化的过程中,针对不断出现的问题,需要以法律条例加以规制。
不可否认,“金融消费者权益保护”是个老大难问题。“一行三会”(中国人民银行、银监会、证监会、保监会)设立相关的保护局有利于加强金融消费者权益保护。不过在研究者看来,值得注意的是,监管机构要摒弃行业立场,强调职权的独立性,撇开消费者和金融机构任何一方,确保中立客观的定位。
中国目前实行“一行三会”分业监管,无论银行、证券公司,还是保险公司,都在出售各种理财产品,虽然这些产品在性质和功能上相近,但由于是不同种类的金融机构,其归属不同监管机构监管,并适用不尽相同的监管规则。也就是说,在当下金融市场日趋整合、混业经营不断发展、“跨界”金融产品层出不穷的情况下,各自为政的监管理念和做法,在金融消费者保护问题上难以形成合力,无法对产品购买人、投资者、消费者进行公平有效的保护。
以银行理财产品为例。早在2005年,银监会了《商业银行个人理财业务管理暂行办法》,2012年年初,又并实施《商业银行理财产品销售管理办法》。但是,这些只是行业内部的自律及规范。现在亟待出台相应的法律,来明确银行、投资者各自所担的义务和责任。此前一份报告就指出,银行理财产品,在当前阶段仍是以银行信用为“背书”设计出来的,理财产品法律性质界定不明,造成金融机构与投资者之间权利义务关系不明确。比如,投资者通常搞不清自己购买的产品是债权关系、股权关系还是信托关系,而基于不同法律关系所产生的权利义务是不尽相同的,从而导致投资者既无法正确理解自身所应承担的风险,也难以有效维权。
有关专家建议,为了加强对投资者和金融消费者的保护,需要尽快建立具体的监管协调机制,既包括证券监管领域的协调机制,也包括更大范围内的金融监管协调机制。首先,可以考虑在投资者保护局现有的统筹协调、沟通教育职能之外,赋予其直接受理投资者申诉乃至裁断证券纠纷的职责,使其能够在一定程度上发挥类似于消协这样的功能。
参考文献:
[1]中国金融信息化发展战略研究报告.中国金融信息化发展战略研究课题组编.中国金融出版社,2006-07-01.
[2]施慧洪著.电子金融自主创新与农村金融信息化模式研究.中国金融出版社,2009-08-01.
[3]方德英,黄飞鸣著.金融业信息化战略——理论与实践.电子工业出版社,2009-04-01.