信息安全承诺书(共12篇)
天津市通信管理局:
我公司按照《增值电信业务网络信息安全保障基本要求》(YDN126-2007)要求制定相应的管理制度,并根据最新(YDN126-2009)版本进行制度的修改完善。按照《关于进一步深入整治手机淫秽色情专项行动工作方案》(工信部电管〔2009〕672号)要求进行了信息安全管理的进一步落实和完善,现对网络信息安全管理承诺如下:
1、承诺中的责任、制度、工作均已落实,真实有效。
2、完成手机淫秽色情专项行动工作第一阶段任务,并积极部署开展第二阶段工作。
3、已建立信息安全联络员制度,信息安全管理组织机构。公司负责人:手机:邮箱:
部门负责人:手机:邮箱:
联系人:手机:邮箱:
上述人员如发生变化,将在5日内上报
4、未履行备案手续和纳入黑名单的网站一律不予以接入。
5、对已接入的网站,保证备案信息的准确性,并对备案信息进行动态更新。
6、做好IP地址的备案工作,及时更新IP地址信息。
7、不对接入资源进行层层转租。
8、已建立企业内部信息安全管理责任制,有害信息发现处置机制,有害信息投诉受理处置机制,重大信息安全事件应急处置和报告制度,信息安全管理政策和业务培训制度等;同时对信息安全管理人员开展了相关培训。
9、已拥有信息安全技术手段即有害信息发现和过滤技术,实现对接入的网站和服务器传输信息进行过滤。
如果没有落实上述信息安全管理内容,我公司将依法接受主管部门处罚。
法人代表(签字):持证公司(盖章):
在四川, 随着中国电信四川公司全业务经营的快速发展, 这些应用于民、服务于民的信息通信新技术, 已经在多个领域实现了技术、业务和运用的突破, 帮助广大客户以更为便捷的方式生活、工作和娱乐, 尽情享受信息新生活。比如, 全球眼业务通过有线和无线网络的融合应用, 实现跨域的、大范围的远程监控、管理和信息传递, 在不增加警力的情况下扩大监控覆盖面, 加强城市治安;酒店高清IPTV服务, 已为全川数十家星级酒店提供“数字酒店”解决方案;天翼对讲业务, 调度工作已能通过天翼对讲业务, 实现一机两用, 一对多一键呼叫, 为调度协同群呼通信提供便利;翼机通业务, 实现天翼手机在公交、学校、企业等多领域的刷卡应用。同时, 中国电信四川公司还在积极加快构筑高速、安全、可靠接入的无线城市网络系统, 加强以3G为主、WAPI为辅、2G/3G/WAPI三网融合的网络建设, 共享网络资源, 提升四川信息通信应用整体水平。
作为四川省主体电信企业和综合信息服务提供商, 同时也是目前全面承担我省普遍电信服务、党政机要通信、国防通信、保密通信、应急通信等任务的通信企业, 中国电信四川公司一直积极融入四川经济社会发展, 充分发挥信息化建设主力军的作用, 通过实施政府上网、企业上网、家庭上网、农村上网等工程, 强力推动我省经济发展和社会进步。近两年来, 中国电信已启动了西部物流信息平台、四川商情电子商务平台、IT外包服务中心等重大项目建设, 为推进四川“一枢纽、三中心、四基地”建设发挥积极的作用。
在“5·12”汶川特大地震两周年之际, 中国电信四川公司基本完成灾后恢复重建任务, 灾区通信能力、网络覆盖和服务能力达到或超过了灾前水平, 完全满足灾区重建和社会经济发展需要。中国电信3G网络已经覆盖县以上全部城区和50%乡镇。全川通信网络的安全性和抗灾容灾能力在恢复重建中得到了极大的提升。近期, 四川省灾后恢复重建通信设施类重点工程项目——中国西部信息中心即将投入使用, 将为政府和各行业提供关键信息系统数据的备份和灾难恢复等服务, 增强面向中西部和国内外提供信息服务的辐射能力, 进一步巩固和强化我省“西部信息高地”的地位。
君子当德行至善, 用心以诚;精于己业, 履责重诺。
然而,伴随着这种成长,一些以次充好的假冒产品损害了“中国制造”的国际声誉。如何打击假冒产品,使中国制造符合全球通行的安全认证标准,证明“中国制造=安全”成了中国制造商及服务商共同的目标。
多方合作,共同打假
在中国,认证行业发展至今已有20年,截至2007年底,中国已颁发强制性产品认证证书21万多份、管理体系认证证书28万多份。相对于国内认证机构来说,国际认证领域100多年的发展历史,特别是在打击假冒伪劣产品工作方面的经验,是颇具参考价值的。
2008年7月1日,以“安全信誉”著称的全球测试和认证机构UL凭借其114年多的发展历史,利用最新研发的UL鉴别器技术,在32个公共消费品领域大力推广全新标签,帮助全球零售商、海关官员和其它执法机构来判断使用UL标志产品的合法性,避免仿冒的产品进入市场,同时也赋予了按规定取得UL认证的制造商们第二重安全承诺。
UL反假冒运作部总裁BrianMonk说:“打击假冒必须建立一套系统,有序地协助海关检验各种认证标签的计划。”UL经常通过开展培训研讨会,提供一些解释UL标签上具备的安全特征的参考资料或说明书,并开通咨询热线开展反仿冒工作。“但是,所有的计划只能起到防微杜渐的效果,UL不可能仅凭一己之力解决造假的问题,我们希望尽可能加强联合,让更多的公司、组织和政府加入到这场战斗中来。”BrianMonks强调。
2005年,惠州就曾发生某进出口公司假冒使用UL标志,出口275箱,共33000个电脑散热风扇。海关检验人员下厂查验时发现,该批电脑散热风扇均贴有UL标志,但跟对方采购公司联系,并审核和查阅其相关资料时,未发现允许该产品使用UL标志的任何证明,当地检疫局即刻查封了这批货物,并对该公司进行立案调查。这起打假案件,就是多方合作的结果。
身体力行,打造美誉
专家指出,在全球贸易市场环境中,每个企业都面临竞争,竞争一部分是在竞争信誉,信誉是“比较值”,这是市场经济的原理。在UL看来,打击假冒UL标志背后的更深刻意义,不仅关乎经济利益,更重要的是用认证机构的百年声誉共同维护“中国制造”的信誉。
反假冒不能仅限于见招拆招,更需要不同渠道、方法对企业从教育、观念上予以引导,这是反假冒过程中最艰难的一个环节。为了保护自身的声誉,维护中国厂商的信誉,UL身体力行地进行反假冒观念的灌输。
2006年,UL携手美国消费品安全委员会在上海成功举办电子及家电产品安全论坛;2007年,UL与中国国家认证认可监督管理委员会分别在广东地区和浙江地区举办了国际小家电产品安全符合论坛;2008年,UL通过UL University,成功举办了内容丰富的公开培训数百场,并且专门针对中国企业开设了相关课程,例如:电器产品潜在危险防护及安全工程(HBSE)培训项目,是专为负责产品设计、产品安全和合格保证的工程师而设,还特别开设了中国制造厂商很关心的“如何规避产品召回风险”专题。
UL意识到观念的引导是长久工程,监督手段是必须的。UL的专业工程师参与到中国企业的认证测试环节,从源头阻止不良产品的产生,同时通过UL的跟踪检验服务,连同采购商一起监督产品的抽检情况,以避免质量渐变情况。
本人(姓名: 身份证号:)是XXX公司员工,将于 年 月 日离职。
鉴于本人在公司的职位为重要涉密岗位,且工作期间接触了很多公司的商业秘密和信息,为保障XXX公司与我本人的正当权益,本人现出具本承诺书。
1、本人承诺:不带走XXX公司商业秘密和信息的一切载体,且承诺不将上述载体及复制件擅自转交或故意泄露给其他任何人,不在离开公司后向任何人、以任何形式泄露公司的商业秘密和信息,不在离开公司后随意使用或允许他人使用公司的商业秘密和信息。
本承诺书所指的商业秘密和信息包含所有的知识产权、专有技术、公司经营管理、公司人事和制度、公司财务状况、商业秘密等方面的信息,包括但不限于公司的专利、商标、着作权、专有技术,公司的产品名称、价格信息,公司产品开发技术及开发计划,重要客户信息、公司的商业策略市场策略,经营信息、公司核心制度、人力资源名单档案等。
本承诺书所指载体范围包括但不限于:凡记录公司秘密信息的文件、数据、资料、图表、笔记、报告、电子文档以及其他任何形式的载体。
2、本人承诺离开公司后,不利用任何非法途径从事或做出任何有损公司形象或利益的活动,不将上述资料及经营信息向任何第三方透露。
我将遵守以上承诺,如有违反,由此引起的相关法律责任均由本人承担。
本人郑重承诺遵守本承诺书的有关条款,如有违反本承诺书有关条款的行为,由本人承担由此带来的一切民事、行政和刑事责任。
一、本人承诺遵守《中华人民共和国计算机信息系统安全保护条例》和《计算机信息网络国际联网安全保护管理办法》及其他国家有关法律、法规和行政规章制度。
二、本人承诺不利用公司信息网络侵犯或损害国家的、社会的、集体及公司的利益和其他公民的合法权益。
三、本人已知悉、明确并承诺遵守公司《信息安全管理制度》等有关文件的规定。
四、本人认可公司邮件所包含的所有信息均为公司商业机密,仅限于指定的人或组织使用,承诺未经许可情况下,不外发、不保存、不复制、不利用和不泄露邮件的任何内容。
五、本人承诺不窃取、不引入国家或其他企业、其他组织的保密数据信息,不擅自下载使用各类盗版系统、软件。
六、本人承诺严格按《信息安全管理制度》中的相应数据信息分级等级决定或经过授权访问所需数据,不越级及通过非法途径访问非经授权的所需数据,不非经授权对数据信息进行破坏,删除,销毁。
七、本人承诺积极上报信息安全的漏洞及违规行为,绝不隐瞒、利用、传播相关
信息。
八、本人认可在接触公司数据信息时有保护公司数据信息安全的义务,并承诺在接触公司数据信息时有义务保护公司数据信息的机密性、完整性、可用性。
九、本人承诺在对许可数据信息进行传输时,在风险评估的基础上采用合理的加密技术。
十、本承诺书自签署之日起生效。
承诺人: 身份证号码:
签署日期:
1.乙方在遵守法律及本《协议》的前提下使用本“软件”。乙方无权实施包括
但不限于下列行为: 1.1 利用本“软件”发表、传送、传播、储存违反国家法律、危害国家安全、祖国统一、社会稳定的内容,或任何不当的、侮辱诽谤的、淫秽的、暴力的及任何违反国家法律法规政策的内容。
1.2 利用本“软件”发表、传送、传播、储存侵害他人知识产权,商业秘密
权等合法权利的内容。
1.3 使用任何包含有通过侵犯商标、版权、专利、商业机密或任何一方的其
他专有权利的方式利用本“软件”获得的图像或相片的资料或信息。2.乙方应该严格遵守《中华人民共和国电信条例》,《互联网信息服务管理办法》的相关规定,乙方自行编辑制作发送的短信息不得含有如下内容: 2.1 违反宪法所规定的基本原则的;
2.2 危害国家安全,泄露国家秘密,颠覆国家政权,破坏民族团结的;
2.3 损害国家荣誉和利益的;
2.4 煽动民族仇恨,民族歧视,破坏民族团结的;
2.5 破坏国家宗教政策,宣传邪教和封建迷信的;
2.6 散布谣言,扰乱社会秩序,破坏社会稳定的;
2.7 散布淫秽,色情,赌博,暴力,凶杀,恐怖,或者教唆犯罪的;
2.8 侮辱或者诽谤他人,侵害他人合法权益的;
2.9 含有法律,行政法规明令禁止的其他内容的。
3.使用本“软件”必须遵守国家有关法律和政策等、维护国家利益、保护国家
安全,并遵守本《协议》。对于乙方违法或违反本《协议》信息安全的使用而引起的一切责任,由乙方负全部责任。甲方有权对含有以上内容的文档或短信息进行限制和过滤,不予传播或发送。
4.本公司保证:在使用本系统过程中,服从监督和管理;若未做到上述一至十
条,微部落可立即终止服务并不予任何赔偿,本公司愿意承担由此引起的一切法律责任,并接受相应的处罚
承诺人:(签章)
1 基本情况
昆山出口加工区是中华人民共和国第一个出口加工区, 全球IT产业重要生产基地, 是实行全封闭、卡口管理的海关特殊监管区。该区域建设面积2.86平方公里, 2008年生产笔记本电脑3 795万台 (占全球30%以上) , 数码相机1 418万台 (占全球20%) 。经我所2008年调查, 全区共有企业40家, 员工总数62 302人, 其中员工在500人以下的企业有21家, 500人以上的有19家[2]。
2 具体做法
2.1 宣传发动, 组织培训
由昆山市卫生监督所召开出口加工区企业食品安全工作会议, 出席对象为企业食品安全负责人及总务科长, 会议分析了出口加工区食品安全形势, 强化了“责任分担、第一责任人、零风险”的卫生意识, 部署了承诺备案工作, 下发了《关于对企业食品安全相关材料进行承诺备案的通知》, 要求所有企业建立食品安全承诺制度, 将集体用餐服务单位资质证明等食品安全相关材料送我所备案。
三次组织用餐企业总务、团膳负责人、集体用餐配单位厨师长进行食品卫生知识集中培训, 重点讲授了《食品安全法》、《餐饮业和集体用餐配送单位卫生规范》、《食物中毒预防》等法律法规和业务知识, 提高食品卫生管理员和食品企业负责人卫生知识水平。
2.2 组织实施
2.2.1 承诺
出口加工区所有企业必须在员工用餐场所醒目处张贴承诺书、卫生监督电话和卫生许可证件, 承诺书包括如下内容: (1) 严格遵守《餐饮业和集体用餐配送单位卫生规范》规定, 保证建立健全食品卫生安全的质量保证体系, 建立完善各项规章制度, 提高企业自身卫生管理水平。 (2) 保证企业法定代表人和卫生管理人员掌握与食品卫生安全相关的法律法规知识, 切实提高对食品卫生安全重要意义的认识。 (3) 资质要求:①企业员工用餐由团膳公司外送的, 索取团膳公司有效食品卫生许可证 (团膳公司卫生许可证许可项目应为“集体用餐配送”, 2009年已复核年检) 。②员工用餐由团膳公司承包本企业食堂的, 本企业食堂持有效卫生许可证 (许可项目应为“中餐制售”, 2009年已复核年检) 。并索取团膳公司有效营业执照 (许可项目应为“食堂经营”, 2009年已复核年检) 。③员工用餐由本企业自营的, 本企业食堂持有效卫生许可证 (许可项目应为中餐制售, 2009年已复核年检) 。 (4) 按照卫生部门要求, 做好相关材料的备案工作。
2.2.2 备案
出口加工区所有企业须将备案材料加盖公章报昆山市卫生监督所, 备案材料包括: (1) 食品安全承诺书; (2) 企业员工就餐基本情况表, 内容包括企业名称、地址、法人及电话、卫生负责人及移动电话、员工人数、最高就餐人数 (每餐) 、食堂卫生许可项目、发证日期、食品卫生量化分级等级、员工就餐方式 (外送、食堂承包、食堂自营) , 团膳名称、地址、负责人、移动电话、卫生许可证许可项目和食品卫生量化分级等级等; (3) 企业营业执照复印件; (4) 企业食堂卫生许可证复印件 (2009年已复核) ; (5) 团膳公司营业执照复印件; (6) 团膳公司卫生许可证复印件 (2009年已复核) 。
3 结果
经反复督促, 40家企业均实行了承诺制度, 在员工用餐场所醒目处张贴了承诺书、卫生监督电话和卫生许可证件, 并向我所上报了食品安全相关资料, 通过现场核实, 8家企业有集体食堂, 其余32家企业员工用餐由区外20家集体用餐配送单位外送, 10家持许可证单位9家有效, 许可项目为集体用餐配送, 1家持伪造证件。9家持有效证件单位有2家超负荷经营, 送餐份数超过许可证核定的最高量。根据备案材料掌握的情况, 我所有的放矢的对区外集体用餐加工点进行了集中整治, 督促指导基础设施较好的8家无证单位按《餐饮业和集体用餐配送单位卫生规范》要求进行整改, 发放了许可项目为集体用餐配送的许可证。对3家 (包括1家持假证单位) 在简易棚中操作, 场所卫生脏、乱、差的无证集体用餐加工点进行取缔。对2家超负荷经营送餐企业的送餐量进行分流。
4 体会
4.1 充分发挥消费者参与和企业自律作用
政府、企业、消费者的“责任分担”, 是世界食品卫生安全理念, 社会和食品安全不仅需要卫生监督部门的监督执法, 更需要全民的参与, 需要食品企业的自律意识, 需要消费者的参与。长期以来, 食品安全卫生过分强调政府管理来保证消费者, 忽略动员消费者的力量来强化监管[1]。集体用餐配送单位加工地点一般比较隐蔽, 不会设置在街道和路口, 如不主动申报, 卫生监管部门很难掌握。我市率先在出口加工区实行备案承诺制度, 极大调动了消费者参与食品安全管理的主动性和积极性, 发挥了消费者只光顾有资质的食品企业、选择食品企业时充分考虑卫生情况、向政府部门举报等食品安全管理作用, 表现在: (1) 使消费者的知情权和选择权得到了实现, 使职工了解集体用餐服务单位的资质、品位、服务档次和内部管理水平, 改变了企业职工以往模糊消费的状况, 增强了职工对安全卫生的信任感; (2) 增强了用餐企业参与食品安全管理的主动性和积极性, 可借助用餐企业力量督促集体用餐服务单位领取合法手续并按时申请复核年审; (3) 提高了集体用餐服务企业卫生服务质量和内部管理水平, 加大了企业的管理压力, 促使其想方设法提高自身的卫生管理水平, 以过硬的服务面对职工的监督。
4.2 卫生监督状况得到明显改观
集体用餐配送单位是指有固定的食品加工制作场所, 将饭菜加工制作后定型包装或装人密闭容器, 通过运送到另一场所供应给顾客, 但不提供就餐场所的企业单位[3]。集体用餐配送单位是我市近年来引发食物中毒的最高行业。2007年以来, 昆山市通过全面启动监督检查记录卡制度、发送公函促进整改、对重点区域不间断拉网式检查、每周四定期培训、组织同行相互参观、引导成立团膳协会等综合措施, 加强了集体用餐配送单位卫生监管, 执法效率效能显著提高, 集体用餐配送单位引发的食物中毒事件明显下降[4]。此次创新备案承诺制度, 再次提升了集体用餐配送单位许可证、健康证持证率, 食品安全隐患得到有效遏制, 卫生监督自身状况也得到明显改观, 表现在: (1) 改变了卫生监督员疲于奔命, 重罚款轻教育的状况, 卫生监督部门不再是单纯的行政管理部门, 而是融入更多的服务意识, 给企业提供了一个公开透明的沟通平台, 卫生监督员更多地担当起指导、培训的角色, 督促企业规范制度, 完善自我管理机制; (2) 公布了投诉电话, 明显减少了卫生监督部门由上级部门转达到下级的投诉; (3) 卫生监督部门及时掌握送餐企业基本卫生情况, 特别是送餐企业加工地点和加工量, 为打击伪造证件、无证送餐和治理超负荷经营提供了一手资料。2009年该区域未发生重大食物中毒事件。
4.3 尚须进一步延伸拓展和改进
在实施过程中, 笔者发现承诺备案工作覆盖面还不够广, 形式还比较单一, 内容还有待进一步增加。首先, 要进一步扩大覆盖面, 从出口加工区向全市延伸, 从集体用餐单位向餐饮业和公共场所推广。其次, 形式要多样化。不仅通过餐厅张贴形式进行承诺公示, 还可通过召开职工或职工代表会议, 通过媒体发布信息, 也可通过专门网站进行承诺公示, 让消费者能够通过多种途径了解食品卫生信息。第三要扩大承诺备案的内容, 不仅包含资质和卫生监督号码等, 也可涵盖食品从业人员身体健康、餐具消毒、日常卫生监督检查、行政处罚、食物中毒发生情况等。第四承诺备案资料须适时更新。如承诺备案相关资料发生变化, 应及时调整, 重新承诺备案。
参考文献
[1]刘琪.试论三鹿奶粉事件中的政府责任[J].经济研究导刊, 2009, 48 (10) :98-99.
[2]李英哲, 朱士新, 周宇扬.昆山市出口加工区企业食品污染事件的调查[J].职业与健康, 2008, 24 (7) :641-642.
[3]刘传平.餐饮业和集体用餐配送单位卫生规范[M].银声音像出版社, 2005:8.
关键词:网络;信息安全;现状;根源;措施
一、网络信息安全现状
(一)黑客日趋猖狂
计算机软件与硬件存在固有的缺陷,这就为黑客提供了机会,使他们得以开展破坏工作。更可怕的是,他们的攻击手段不断变换花样,一系列复杂的病毒、逻辑炸弹让防毒软件应接不暇,利用这些攻击手段,他们窃取机密信息,给网络信息安全带来极大危害。美国《金融时报》曾报道过:全球平均每20秒就发生一次网上入侵事件,他们给美国每年造成的经济损失也是令人咋舌,竟高达100多亿美元。
(二)计算机犯罪案件逐年增多
“计算机犯罪是指一些掌握计算机专业技术的人员,通过已掌握的技术,查询网络缺陷,对网络缺陷部分进行攻击,以达到盗取他人信息和钱财的目的。”计算机犯罪涉及物质和精神层面的内容,已经随着计算机的普及渗透到各行各业,且将演变成主要犯罪方式,危害更甚于传统犯罪。
我国的计算机犯罪数量逐年上升,曾经震惊世人的一起案件竟造成直接经济损失2100万元,令人不得不反思和警醒。
(三)计算机病毒入侵频繁
跟传统病毒一样,计算机病毒有极强的传染性,破坏性以及惊人的繁衍性,可以不断向网络系统入侵。计算机病毒入侵网络服务器系统后,可致使服务器瘫痪,大量有效数据丢失,信息系统的稳定性和安全性自然受到威胁。防毒软件发展滞后拿它也是束手无策。
(四)网络信息安全问题的重要性日益提升
2013年6月,前中情局(CIA)职员爱德华·斯诺登披露了美国国安局代号为“棱镜(PRISM)”的秘密项目,一时间美国舆论一片哗然。而事实上,美国还有惊人规模的海外监听计划,经斯诺登揭露,有引发外国外交地震的趋势。
正所谓“明者因时而变,知者随事而制”,当前各种不安全因素充斥着我们的生活,面对此种复杂的环境,习总书记的新安全观应势而生,恰逢其时。这也表明中国越来越关注网络信息安全,将其上升至国家战略高度,但同时也存在着纰漏,有待进一步提高改善。
二、网络信息安全问题产生的根源
(一)认知上的根源
首先,对普通大众来说,他们对计算机安全问题特别是网络犯罪的态度较为“宽容”,主要原因是:(1)无人员伤害,破坏不明显;(2)造成的损失并非个人承担,而是由政府或单位善后;(3)认为计算机罪犯是“天才”。因此,他们对信息安全问题不太关心,安全意识淡薄。
(二)社会性根源
互联网中的自由为道德相对主义(“你想怎样就怎样”或者“怎样都行”)和极端个人主义提供了最好的土壤和借口,最直接表现为滥用网络现象的出现与屡禁不止。此外,西方社会传统的“冒险和发现”的精神滋生了大批黑客。虽然,我们应该承认早期的黑客确实存在冒险、发现知识一类的正面因素,然而,冒险和犯罪只有一线之隔,在物欲横流的今天,有些年轻人经不住诱惑,顶风作案。
(三)技术性根源
1、计算机系统本身的脆弱性。计算机系统本身具有脆弱性,无法抵御自然灾害和人为的破坏。如水、火、地震的破坏及环境(湿度、振动、冲击、污染)的影响以及硬件设备故障,突然断电或电源波动大及各种误操作等危害。这些危害有的会损害设备,有的则造成数据丢失。
2、技术本身的缺陷。电磁泄露、通信与网络的弱点、软件缺乏安全性、安全技术标准不统一等都是计算机网络本身存在的技术缺陷,即便是微软巨头也不可避免地存在技术漏洞。
(四)政治性根源
美国著名学者托夫勒曾经指出:“谁掌握了信息、控制了网络,谁就将拥有整个世界。”一句话道出了互联网对世界政治经济格局的影响,美国便是最好的例子,它凭借其在网络技术上的基础和优势,利用互联网,在各方面、各领域抢占先机,其他国家认识到这一重要性也加大投资想分一杯羹,甚至不惜从网上窃取他国机密信息,散布不实言论。“棱镜计划”的曝光,正是让美国的这种政治野心暴露无遗,也让其“贼喊捉贼”的虚伪外交公之于众。
(五)经济性根源
经济上的根源主要指:一方面是指网络犯罪成本低,仅需一台联网的终端机,过程大大加快;第二方面,网络犯罪获利高,例如,美国金融界就是相当大的受害者,每年损失达100多亿美元,英国每年近30亿美元。
三、网络信息安全的防范措施
(一)突出网络安全的战略地位
树大招风,中国作为最大的发展中国家,其崛起让其他国家不安,因而成为受网络冲击严重的国家,必须提高对网络安全的重视程度,将其上升至国家战略高度,建立完善网络安全防护体系,从根本上提升我国网络安全防护水平。
(二)建立一个权威性强的职能部门
各级领导要重视网络信息安全管理,做到有计划、有措施、有检查、有落实。成立技术管理机构,积极开展保密技术的研究和开发,对出现的安全问题能及时、准确的处理。建立健全软、硬件操作规程,作业运行规程和上机时间记录规程,形成有效、完整的网络信息安全管理运行机制。对违反制度的人要作出相应的处罚。
(三)提高重要档案管理人员的业务水平
国家各部门,社会各领域要对负责档案管理的工作人员进行培训,使之具备将各类重要信息分归档案和计算机高水平管理的能力,从而实现档案的安全管理。
(四)加快立法进程,健全法律体系
自1996年成立国务院信息化工作领导小组以来,我国先后颁布了《计算机软件保护条例》、《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国信息网络国际联网安全管理暂行规定》等法规,且网络安全法制工作还在进行。尽管这些法规在维护网络安全方面还有不健全的地方,但也起到了重要作用,我们还需吸取和借鉴国外的先进经验,结合我国实际,不断修改和完善现行法律体系,做网络安全强国。
四、结论
随着网络信息技术的飞速发展,新的安全问题将更加难以对抗。这就需要信息安全技术不断的创新与完善,要不断完善和加强自身管理制度,不断提高网络工作人员素质。从而引导网络发挥其正面的作用,让其更安全可靠地服务于国计民生。
参考文献:
[1] 唐明双.论对计算机网络安全及建设的研究[J].数字技术与应用.2012(12).
[2] 王大鹏.计算机网络安全与防范策略研究[J].科技视界.2012(26).
[3] 朝晓华.浅析计算机信息安全技术[J].黑龙江科技信息,2010.
[4] 关良辉.电力企业局域网的信息安全研究[J].电力安全技术,2010.(6).
[5] 钟福训.网络安全方案探讨[J].齐鲁石油化工,2004.32(4):322-325.
[6] 刘广辉.计算机网络通信安全问题与防范策略探讨[J].信息安全与技术.2012(06).
[7] 杨珂.浅谈网络信息安全现状[J].天津市信息中心.2005
[8] 张钢.从美国“棱镜计划”看我国网络信息安全问题.法制与社会.2014,02.
为保障公司信息安全,本人承诺在使用信息网络资源及有关信息化业务应用系统的过程中严格遵守公司有关信息安全与保密规定,承诺如下:
一、不利用公司信息网络侵犯或损害国家的、社会的、集体及公司的利益和其他公民的合法权益。
二、严格遵守公司信息网络管理及其他信息化业务应用系统管理制度,不对公司信息网络、工业控制系统、各信息化业务应用系统等重要服务器等进行发送垃圾邮件、传播计算机病毒、删除数据、修改设置等恶意破坏、攻击行为。
三、严格按照分配到的公司信息网络及有关信息化业务应用系统的用户名及相应权限处理岗位职责内业务,及时修改有关系统默认口令并安全保管,不泄漏、传播或转借他人。
四、不通过公司信息网络系统及信息化业务应用系统平台发表、转摘、传播各种造谣滋事、煽动偏激情绪、制造恐慌气氛或扰乱正常工作秩序的有害信息。
五、坚持“涉密不上网,上网不涉密”的原则。如属公司计划招投标、财务、人事管理、档案等涉密用户,要做好涉密计算机设备、记载有公司重要信息的计算机设备及其他存储介质的安全保管与使用。要不断增强保密意识,不利用聊天室、电子公告系统、电子邮件等传递、转发或抄送公司商业机密及其他保密信息。
六、离岗(职)后仍保守公司商业机密及有关信息安全保密信息。
七、服从公司其他信息安全管理规定和要求,并密切配合信息安全事故的调查工作。
八、若违反上述规定,本人服从公司按照生产、经营业绩指标管理制度及有关信息化管理制度进行考核等惩戒。
承诺人:(签字)
个人信息安全承诺书
本人郑重承诺遵守本承诺书的有关条款,如有违反本承诺书有关条款的行为,由本人承担由此带来的一切民事、行政和刑事责任。
一、本人承诺遵守《中华人民共和国计算机信息系统安全保护条例》和《计算机信息网络国际联网安全保护管理办法》及其他国家有关法律、法规和行政规章制度。
二、本人已知悉并承诺遵守《电信业务经营许可管理办法》、《互联网IP地址备案管理办法》、《非经营性互联网信息服务备案管理办法》等国家相关部门有关文件的规定。
三、本人保证不利用网络危害国家安全、泄露国家秘密,不侵犯国家的、社会的、集体的利益和第三方的合法权益,不从事违法犯罪活动。
四、本人承诺严格按照国家相关的法律法规做好个人网站的信息安全管理工作,按政府有关部门要求设立信息安全责任人和信息安全审查员。
五、本人承诺健全各项网络安全管理制度和落实各项安全保护技术措施。
六、本人承诺不制作、复制、查阅和传播下列信息:
1、反对宪法所确定的基本原则的;
2、危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;
3、损害国家荣誉和利益的;
4、煽动民族仇恨、民族歧视,破坏民族团结的;
5、破坏国家宗教政策,宣扬邪教和封建迷信的;
6、散布谣言,扰乱社会秩序,破坏社会稳定的;
7、散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;
8、侮辱或者诽谤他人,侵害他人合法权益的;
9、含有法律、行政法规禁止的其他内容的。
七、本人承诺不从事下列危害计算机信息网络安全的活动:
1、没经允许,进入计算机信息网络或者使用计算机信息网络资源的;
2、没经允许,对计算机信息网络功能进行删除、修改或者增加的;
3、没经允许,对计算机信息网络中存储或者传输的数据和应用程序进行删除、修改或者增加的;
4、故意制作、传播计算机病毒等破坏性程序的;
5、其他危害计算机信息网络安全的。
八、本人承诺当计算机信息系统发生重大安全事故时,立即采取应急措施,保留有关原始记录,并在24小时内向政府监管部门报告并书面知会贵单位。
九、若违反本承诺书有关条款和国家相关法律法规的,本人直接承担相应法律责任,造成财产损失的,由本人直接赔偿。你单位有权停止服务。
十、本承诺书自签署之日起生效。
XXX
20XX年XX月XX日
附:互联网信息服务安全责任承诺书
为保障互联网网络与信息安全,维护国家安全和社会稳定,保障公民、法人和其他组织的合法权益,承诺遵守《全国人大常委会关于维护互联网安全的决定》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》和《互联网安全保护技术措施规定》(部82号令)等有关法律法规的规定,履行以下法定义务:
一、依法进行备案登记
1、在网络正式联通后的三十日内到郴州市局网技支队进行备案登记;
2、向机关提供本单位互联网资料、网络拓扑结构和接入本网络的接入单位和用户情况;
3、向机关提供本单位IP地址范围、分配给本网联网用户IP地址和详细使用情况。
4、与郴州市局网技支队建立联席制度和用户资料报告制度,确保用户IP等资料及时更新。
二、依法从事信息服务业务
不利用国际联网制作、复制、发布、传播下列信息:(注:据修订后的292号令的相关内容进行修改)
(一)煽动抗拒、破坏宪法和法律、行政法规实施的;
(二)煽动颠覆国家政权、推翻社会主义制度的;
(三)煽动分裂国家、破坏国家统一的;
(四)煽动民族仇恨、民族歧视,破坏民族团结的;
(五)捏造或者歪曲事实,散布谣言,扰乱社会秩序的;
(六)宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖,教唆犯罪的;
(七)公然侮辱他人或者捏造事实诽谤他人的;
(八)损害国家机关信誉的;
(九)其他违反宪法和法律、行政法规的。
发现网络传输的信息明显属于上述所列内容之一的,立即停止传输,保存有关记录,并向机关报告;对网络传输的信息内容难以辨别的,经相关主管部门审核同意后再发布。
三、切实履行安全保护职责
建立并落实以下网络信息安全保护管理制度和技术保护措施:
(一)信息发布、审核制度;
(二)信息监视、保存、清除和备份制度;
(三)病毒检测和网络安全漏洞检测制度;
(四)违法案件报告和协助查处制度;
(五)账号使用登记和操作权限管理制度;
(六)安全管理人员岗位工作职责;
(七)安全教育和培训制度;
(八)防范计算机病毒、网络入侵和攻击破坏等危害网络安全事项或者行为的技术措施
(九)重要数据库和系统主要设备的冗灾备份措施;
(十)记录并留存用户登录和退出时间、主叫号码、账号、互联网地址或域名、系统维护日志的技术措施,信息内容留存六个月以上,日志信息留存12个月以上;
(十一)在公共信息服务中发现、停止传输违法信息,并保留相关记录;
(十二)提供新闻、出版以及电子公告等服务的,能够记录并留存发布的信息内容及发布时间;
(十三)开办门户网站、新闻网站、电子商务网站的,能够防范网站、网页被篡改,被篡改后能够自动恢复;
(十四)开办电子邮件和网上短信息服务的,能够防范、清除以群发方式发送伪造、隐匿信息发送者真实标记的电子邮件或者短信息;
(十五)法律、法规和规章规定应当落实的其他安全保护制度和安全保护技术措施。
提供微博客、博客、论坛、即时通讯等交互式信息服务的,还应落实以下安全保护管理制度和安全保护技术措施:
(一)专职信息安全员管理制度,按照日均发帖1万条以下的配备1名,10万条以下配备3-5名,100万条以下不少于20名,500万条以下不少于50名,超过500万条的不少于60名的标准配备安全员;
(二)用户实名注册保护管理制度及措施;
(三)7*24小时公共信息巡查制度;
(四)信息网络安全事件应急处置工作制度及措施。
(五)法律、法规和规章规定应当落实的其他安全保护技术措施。
四、配合机关互联网管理工作
1、按机关通知要求,第一时间对含有违法有害内容的地址、目录或者服务器进行关闭或删除;
2、当机关依法查询、追踪和查处通过计算机信息网络实施的违法犯罪活动时,如实提供有关信息、资料及数据文件。
3、建立网络与信息安全责任人联系制度,保证机关可以随时与本单位安全责任人沟通联系。本单位法定代表人为第一负责人,相关部门负责人为第二负责人,并确保联系畅通。
4、网站提供信息服务项目、网站网址、接入服务商、安全负责人及联系方式等发生变更的,相关情况应于变更后一个工作日内报告机关。
若有违反上述承诺的行为,愿意承担法律责任。
单位电话: 单位传真:
法定代表人及联系电话:
网络与信息安全责任人及联系电话(所有相关部门安全负责人均应列明):
此承诺书一式两份,一份报机关网络安全保卫部门备案,一份单位/个人留存。
单位盖章(个人签名):
关键词:信息时代 档案信息 安全保障
中图分类号:G270 文献标识码:A 文章编号:1674-098X(2016)05(a)-0130-02
1 信息时代档案信息安全保障的新认识
随着信息时代的来临,档案信息化的建设工作也在逐渐深化,有利地实现了档案信息资源共享化,提升了管理的效益,加快了档案事业的发展。在实施档案信息管理的过程中,档案信息安全是档案信息化建设的主要内容,这也表明了档案信息化建设的过程中还存在一定的问题。
1.1 从档案保管、保护到档案信息安全保障
档案管理主要是指对档案信息进行维护工作,促使档案一直处于发展状态,确保档案的信息不受任何损害,以此促进档案存在的时间。在我国古代就具有相应的管理模式,但是都比较单一和分散,没有建立健全的体系。自我国改革开放以来,档案教育就有了新的发展,教育者制定了相关的技术素材,从而促使档案管理技术逐渐的形成一门完整的学科。在20世纪80年代出版的档案管理技术,促使档案管理理论和技术有了新的改变,研究档案的学者对档案信息管理的认知集中在信息保护和载体保护上。目前,我们已经步入了信息化的技术社会,对于信息的要求也就越来越高,并且对于档案学的发展具有深远的影响。与此同时,档案学的理论和技术也发生了巨大改变。因为电子技术的发展,信息量也在逐渐地增加,记载信息的方式也发生了多样化地变化,档案学的理论和技术正在不断地发展。信息化的档案管理是依据全面的、数字化的、动态的基础,并且逐渐成为社会发展的主要关注的问题。
1.2 档案信息安全保障的内容
档案信息管理的安全内容包括信息内容的安全、实物的安全、管理系统的安全、网络环境的安全、应用技术的安全以及实际管理的安全。也就是说确保档案信息不会发生遗失的现象,或是被人任意地更改、破坏,从而造成信息资源出现遗漏和缺失,致使档案信息不具备完整性和严密性。在实施档案信息管理的过程中要注意突发性事件,采取有效的档案设施,从而促进档案信息管理可以有效地发展下去。例如:在确保档案管理计算机硬件的同时,也要防止受到突发性自然灾害的发生和影响;档案信息所处的环境也要符合储存的标准。档案信息系统安全保障不仅要求对信息的管理,还要确保管理的技术具有专业性,从而保证信息资源的合理化整合和管理。
2 影响档案信息安全保障的因素
2.1 自然与环境因素
自然因素是指在档案管理过程中,自然界会受到不同因素的影响,出现突发性的大雨、大雪、地震以及磁场等多样化的灾害,这将直接威胁到档案信息资源的安全。而环境的因素是指实施安全保障的档案信息所处的环境不能够适应档案信息管理模式,從而对信息资源造成损害。例如:对档案信息进行远程操控的技术室,若是不具备符合发展的应用设备,像电源电压不足、基础设施不完善、所处温度过于高、湿气重、无防火、放电、防水的装置、病毒的侵害等,都会对档案信息的安全问题造成影响。
2.2 技术与社会因素
技术因素主要是指记载档案信息的载体。相对于纸媒的记载方式,增强纸的使用年限,可以促进信息资源存在的时间。而作为新时代的信息载体来说,载体自身的质量和电子技术是决定档案信息安全的主要依据。社会影响因素是指社会经济在发展的同时也会带动一些不利事件的发生,从而影响到档案信息的安全。伴随着电子信息技术的发展,很多不法分子利用互联网的高科技技术对外宣传破坏思想,还利用互联网进行犯罪活动,从而严重的影响到档案信息的安全。
2.3 管理与资金因素
管理因素主要是指有关政府对档案信息安全的管理政策和工作人员的工作态度。档案管理的主要组成部分就是人,人具备完善的网络技术,人拥有管理的体系和能力,人对档案信息进行分类和整合。资金影响因素是指将档案信息管理的资金融入到相应的管理人员对档案信息的总体规划和未来发展的方向,若是投入的资金不够,那么管理的力度也就不够,很容易在实施的过程中出现安全问题。
3 保障档案信息安全的基本策略
目前,实施档案信息安全管理工作是一个具有系统性和复杂性的过程,需要结合当前的社会理念、国家颁发的政治策略、相应的规章制度、有效的技术手段、相应的人才锻炼等多方面,并且进行有效地融合,以此建立全面的档案信息安全保障管理,从而促进档案信息管理的发展。
3.1 强化意识
档案的信息资源是国家发展遗留的物资遗产和精神遗产,不但是国家发展档案工作的主要目标,而且是国家要发展档案信息管理的重要内容。档案管理应该进行相应技能的培训和学习,深入贯彻档案信息管理的理论,加强人们对档案管理的认知,开展新式的档案管理教育,解决档案信息的问题。同时,也要树立正确的档案信息安全理念。采取积极向上的心态对待档案安全管理问题。当然,可以依据多样化的安全教育形式,让各个层次的管理者和工作者参与到档案信息管理安全保障当中去,以此深入地了解到档案安全在档案管理中的重要性,建立正确的工作理念,要记住档案安全信息占据的地位,从而将档案信息安全放到档案信息管理工作中的第一位。
3.2 构建体系
要想更好地发展档案信息,就需要确保档案信息管理的安全性,这样才可能实现档案信息的全面发展,不然就会阻碍档案信息管理的发展。随着档案信息管理的发展,对档案信息化管理的技术手段已经成为一项重要的工作内容。由此可见,依据国家的相关规定,融入档案信息管理的需求,建设全面的档案信息安全管理体系是现阶段需要解决的问题。档案信息管理的安全体系是一个具有全面性和有效性的管理体系,包括社会的各个层面和各个方面的支持,同时也要依据相关的法律法规,对档案信息管理进行全面的研究与分析,从而建立和谐发展的社会环境。目前,要加大对档案信息安全保证制度的建立,以此更好地对档案信息管理进行更好地规划,从而促使档案信息坚持可持续发展的道路。
3.3 完善法规
在解决档案信息管理安全问题的过程中,建设健全的管理体系和法律法规,是确保档案信息安全的重要手段,只有依据公平、公正的法律法规才可以做到依法治国,从而更好地确保档案信息的安全问题。当前,在国际市场中,各国都确立了完善的法规制度。美国在20世纪70年代就设定了相关的档案信息安全管理策略,并且在21世纪初期也设定了相应的计划,到如今,依据电子信息技术解决的问题就已经达到近400个。与此同时,在英国、法国、德国等多个国家也纷纷制定了相应的法律法规,建设了相应的组织机构。而在我国也依据实施档案信息管理的需求设定了相应的法律法规,例如:《计算机信息系统安全保护条例》这些法规为维护网络安全提供了法律,从而确保档案信息管理可以有效的发展。在我国很多单位都有应用,如,公安局、政府机构和医院档案等管理体系等,虽然依据信息时代的档案管理在实施的过程中取得了有效成绩,但不可否认的是还不能够满足信息管理工作的有效实施。这就需要档案管理者依据当前应用部门的需求和发展,融合国家政策的规定,制定符合档案信息管理的相关制度,在实践的过程中,不断地获取经验,并且进行自身的完善,从而促使档案信息管理的有效发展。
参考文献
[1]祝洁.云计算环境下的档案信息安全研究[J].兰台世界,2016(9):25-27.
信息安全等级保护是国家信息安全保障工作的基本制度、基本策略、基本方法,开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障,是信息安全保障工作中国家意志的体现。信息安全学科要求学生不仅要具备很强的理论知识,更应具备较强的实践能力。现阶段很多高校在理论教学上有较好的培养方法和模式,学生具备良好的理论基础,但在实践教学中由于各课程的衔接和关联较少,尽管部分学校开设了信息安全实训或信息安全攻防实践等课程,但基本都是做一些单元实验,仅局限于某一方面的技能训练,没有从全局、系统的角度去培养学生综合运用各种信息安全知识解决实际问题的能力[1,2,3,4,5]。从贵州大学信息安全专业毕业生就业情况调查反馈信息来看,绝大多数毕业生主要从事企事业单位的信息安全管理、信息安全专业服务等工作,少数毕业生从事信息安全产品研发,或继续硕士博士深造,从事信息安全理论研究。用人单位普遍反映学生的基本理论掌握相对较好,但实际操作技能、综合分析能力欠缺。为了解决目前这种状况,笔者根据长期从事信息安全等级保护项目实施工作实践,提出在信息安全专业的实践教学环节中引入信息安全等级保护相关内容。
1 信息安全等级保护对学生能力培养的作用
信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查5个阶段,信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估过程。信息安全等级保护的知识体系完善,信息安全等级保护测评人员的技术要求涵盖多个方面,包括物理环境、主机、操作系统、应用安全、安全设备等,因此国家对于信息安全等级保护人员的技术要求十分综合和全面[3]。如参照信息安全等级保护专业人员的技术要求对学生开展信息安全综合实训将满足社会对信息安全专业人员的技能和知识结构要求,主要体现在以下4个方面:(1)培养学生了解国家关于非涉密信息系统保护的基本方针、政策、标准;(2)培养学生掌握各种基本信息安全技术操作技能,熟悉各种信息系统构成对象的基本操作,为将来快速融入到信息安全保护实践工作奠定基础;(3)培养学生具备从综合、全面的角度去规划、设计、构建符合国家信息安全保障体系要求的信息安全防护方案能力;(4)培养学生建立信息安全等级保护的基本意识,在工作实践中自觉按国家信息安全等级保护要求开展工作,有利于促进国家信息安全等级保护政策实施。
2 实训教学知识体系
信息安全等级保护的相关政策和标准是信息安全实训教学体系建立的基本依据,GB/T 22239-2008《信息安全等级保护基本要求》在信息安全等级保护标准体系中起基础性作用。信息安全等级保护基本要求充分体现了“全面防御,纵深防御”的理念,遵循了“技术和管理并重”的基本原则,而不同级别的业务信息系统在控制点要求项上的区别体现了“适度安全”的根本原则[6]。信息安全保护测评是信息安全等级保护的一项重要基础性工作,GB/T28449-2012《信息安全等级保护测评过程指南》是对等级测评的活动、工作任务以及每项任务的工作内容作出了详细建议,等级测评中的单元测评、整体测评、风险分析、问题处置及建议环节体现了测评工程师对等保项目基本安全保障情况的综合分析能力[6,7,8,9,10]。信息安全等级保护知识体系庞大,不可能兼顾所有方面,因而在信息安全实训教学知识体系制订中采用兼顾全局、突出重点的基本原则;在实训教学知识体系的构成中重点以《信息安全等级保护基本要求》和《信息安全等级保护测评过程指南》为基础,包括基本理论培训、基本技能实训、安全管理培训、能力提高实训四大模块;在实际操作中将重点放在基本技能实训和能力提高实训上。各实训模块构成及关系如图1所示。
3 实训教学实施
教学实施依据实训教学知识体系进行,教学方式采用集中课堂基本理论教学、在信息系统模拟平台实施现场测评数据采集的基本操作实训和以信息安全等级保护测评报告的编写为基础的数据分析、数据整理、安全方案编写实训。
3.1 基本理论教学
该环节采用集中课堂教学方式,讲解的主要内容是信息安全等级保护政策和标准。讲解深度上应有所侧重,讲解重点包括:(1)信息安全等级保护基本要求中层面的划分原则和依据、控制点的构成、控制点中要求项的解读;(2)信息安全保护过程指南中单元测评、整体测评、风险分析、问题处置和建议等部分的解读。
理论教学在突出重点的同时,兼顾全局,让学生对信息安全等级保护制度和标准有一个完整、清晰的认识。
3.2 基本技能实训
基本技能实训环节主要是强化学生各种信息安全技术的基本操作训练。首先,应根据最真实的企业内部环境搭建符合信息安全等级保护要求的模拟信息系统,并编写好对应的信息安全等级保护现场测评指导书;然后,指导学生在模拟系统上进行现场测评实训,实训过程按信息安全等级保护现场测评指导书要求进行,实训内容以获取信息系统安全配置和运行状态等原始数据为基础。基本技能实训模块包括网络安全、主机安全、应用安全、数据备份及恢复、自动化工具扫描这5个层面的训练项目。
(1)网络安全。学生在模拟平台上开展各种主流的网络设备和安全设备的基本操作训练,要求学生理解网络设备和安全设备的安全功能及安全设置,掌握设备的运行状态和信息数据采集方法。
(2)主机安全。学生在模拟平台上开展各种主流系统软件基本操作训练,包括操作系统、数据库系统、中间件等,要求学生理解各种系统软件的安全功能和安全设置。通过本环节的实训,学生应具备系统软件安全配置核查和运行状态信息采集能力。
(3)应用安全。学生在模拟平台上对所安装的主流商用应用软件和自主开发软件进行安全配置核查和安全功能验证训练,要求学生理解应用软件的安全功能设计要求,掌握应用软件的安全配置核查和安全功能验证方法。
(4)数据备份和回复。通过模拟系统的磁盘冗余阵列进行基本操作训练,让学生了解磁盘冗余阵列的验证方法;通过训练学生在操作系统和数据库管理系统上配置计划备份任务,使其理解系统软件的数据备份安全功能,掌握系统软件的备份操作计划配置和验证方法。
(5)自动化工具扫描。学生利用主流的开源扫描工具和商用的扫描工具对模拟系统上的网络设备、安全设备、服务器主机等进行扫描,获取信息系统主要软硬件的漏洞,并验证系统的脆弱性。本部分获取的原始数据作为(1)、(2)、(3)部分的补充,通过本环节培训学生整理和分析漏洞扫描结果以及初步验证漏洞真实性的能力。
3.3 能力提高实训
在学生掌握信息系统安全配置和运行状态数据采集的基本技能后实施能力提高实训,本模块主要培训学生对原始数据的分析、整理,并编写信息安全等级保护测评报告的能力。能力提高实训模块主要包括单元测评、整体测评、风险分析、问题处置和安全建议4个项目,各项目之间的关系流程如图2所示。
(1)通过基本技能实训获取到原始数据后,根据信息安全等级保护测评过程要求整理、分析原始数据,开展单元测评,并给出各单元层面内控制点中检查项的符合性,分析并给出单元测评结果,按信息安全等级保护报告模板编写单元测评报告。
(2)在完成单元测评后,由于单元测评参照的信息相对独立,未考虑原始数据间的关联性,而实际信息系统的最终安全防护效力和面临的风险是信息系统安全控制点间、安全层面间、安全区域间各组成要素共同作用的结果,因此在完成单元测评后还应该进行整体测评。整体测评主要是考虑单元测评中的各控制点间、安全层面间、安全区域间存在某种关联性,这种关联会对信息系统整体的安全防护效力、面临的风险具有降低或增加的作用,应从整体角度对信息系统安全的状态进行修正。
(3)风险分析结果是制订信息安全系统防护措施的重要依据,风险分析能力是体现信息安全工程师水平的一项重要指标。在风险分析实训项目中结合单元测评和整体测评结果利用风险分析计算工具对信息系统面临的风险等级大小进行定性或定量的分析计算,并编写风险分析报告。
(4)确定信息系统存在的风险后,接着应分析引起信息系统风险的因素,对不可接受风险因素或不能满足等级保护要求的安全防护项提出完整的问题处置和整改建议。问题处置和整改建议环节要求信息安全工程技术人员具备扎实理论知识的同时还具备相当丰富的实践经验,工程技术人员必须熟悉信息安全的各种防护技术和目前市场上相关的信息安全软硬件安全产品。因此,本实训项目主要是训练并提高学生综合运用信息安全技术解决实际问题的能力。
4 结语
在信息安全专业的实践教学中引入信息安全等级保护内容,实训教学知识体系完全参照信息安全等级保护要求来构建,信息安全等级保护知识体系完善,保证了实训内容的广度和深度。通过信息安全等级保护现场测评环节训练学生的信息安全技术基本操作技能,通过信息安全等级保护测评报告的编制训练学生运用信息安全等级保护基本知识、理论和方法去分析信息系统存在的漏洞、面临的安全风险,并编制符合信息安全等级保护要求的安全防护方案,提高学生综合运用信息安全技术解决实际问题的能力,较好地满足了社会对信息安全人才的需求,深受信息安全等级保护技术服务机构和已开展或拟开展信息系统安全等级保护的企事业及机关单位的欢迎,为学生毕业后尽快适应工作要求奠定了基础。
由于实验环境的限制,所制订的基于信息安全等级保护的实训教学知识体系仍存在以下3点不足:(1)实训教学体系未涉及虚拟化、云计算、物联网安全实训,而这些是当前发展较快且正被广泛运用的信息技术;(2)由于渗透测试对测试环境搭建和学生基本技能要求较高,因而实训教学体系中并未涉及渗透测试项目;(3)信息安全管理在信息安全防护工作中是非常重要但却最容易被忽视的工作内容,可以说一个组织的信息安全管理水平高低直接决定其信息系统的安全防护能力。因为安全管理测评基本上采用的是制度类、证据类、记录类文档性资料的核查和访谈,而在实训中难以模拟一个完整的安全管理体系实际案例,所以在实训中安全管理部分更多地是采用课堂教学讲解,没有操作实训。这些在后续教学实践工作中都有待改进。
摘要:信息安全等级保护是我国保障信息系统安全的根本制度,为了培养学生基本信息安全技术操作技能,使其具备运用信息安全等级保护知识分析信息系统安全风险和编制符合信息安全等级保护要求的解决方案的能力,将信息安全等级保护内容纳入信息安全综合实训教学,按信息安全等级保护标准体系构建了信息安全专业综合实训教学体系,并给出了具体的实施流程和方法。
关键词:信息安全,等级保护,等级测评,实践教学,综合实训
参考文献
[1]杨冬晓,严晓浪,于慧敏.信息类特色专业建设的若干实践[J].中国电子教育,2010(1):39-45.
[2]田秀霞.创新实践项目驱动的信息安全专业教学改革[J].计算机教育,2015(23):30-33.
[3]张胜生,吕绪银.基于信息安全场景下的等级保护技术人才培养模式研究[C].第二届全国信息安全等级保护测评体系建设会议论文集,2012:83-85.
[4]李琳,陈东方,李涛,等.信息安全专业实践教学体系研究[J].电脑知识与技术.2014,10(35):8514-8515.
[5]蒋炜.信息安全等级保护培训探讨[J].现代企业研究,2015(2):64.
[6]公安部信息安全等级保护评估中心.信息安全等级保护政策培训教程[M].北京:电子工业出版社,2015.
[7]公安部信息安全等级保护评估中心.信息安全等级测评师培训教程(中级)[M].北京:电子工业出版社,2015.
[8]公安部信息安全等级保护评估中心.信息安全等级测评师培训教程(初级)[M].北京:电子工业出版社,2015.
[9]国家质量监督检验检疫总局、国家标准化管理委员会.GB/T28488-2012.信息系统安全等级保护测评要求[S].北京:中国质检出版社,中国标准出版社,2012.
【信息安全承诺书】推荐阅读:
电力信息化与信息安全06-08
信息安全团队06-05
信息安全试题06-27
0836信息安全07-24
信息安全技术09-27
信息安全策略集06-08
信息安全的论文07-11
信息安全概论下载09-24
信息安全保密操作规程05-26
1.信息安全保密制度05-26
