信息网安全保障工作(共15篇)
自检自查整改情况的汇报
省政府办公厅网站检查组:
接到《国务院办公厅关于进一步加强政府网站管理工作的通知》(国办函[2011]40号)和《**省人民政府办公厅关于开展全省政府网站检查工作的通知》(以下简称《通知》)后,区政府领导高度重视,立即责成区政府办公室对网站信息发布、服务器建设、安全维护工作开展自检自查,并对国办、省办提出需加强和完善的网站内容进行及时整改。根据前段时间的具体工作实际,现将自查整改情况汇报如下:
一、基本情况
***区政府网站始建于****年,网络建成后具体工作由区政府办公室下设网络信息中心负责,并要求其对网站内容及时进行更新。信息中心机房位于区政府办公楼内,共有三台服务器。其中两台****操作系统服务器中放臵***区人民政府网站,一台****服务器放臵政府政务公开信息网。***区人民政府网站发布的信息均由********提供。
二、自查情况
(一)区政府网站信息发布情况。
区政府网络信息中心按照《通知》要求,对网站页面进行了全面自查,对要求整改的部分进行了重点检查。检查内容包括网站页面是否能够正常访问、及时更新,是否存在标 1
题与内容不符的页面及网站提供的互动交流、搜索引擎功能是否运行正常。针对上述问题,区政府网络信息中心及时予以整改,在今后的网站维护工作中将坚决杜绝此类现象复发。
(二)政务公开网站信息发布情况
政务公开网站独立运行在****服务器上,该服务器自运行政务公开网站以来频繁感染病毒,专门用于防病毒的防火墙也无济于事。在此次整改过程中,已将此问题与市政府负责政务公开工作的领导进行了汇报,市领导于7月初亲自来我区指导工作并与****公司负责政务公开网站建设的同志联系,对政府政务公开网站进行了全面更新,将其升级至最新版。我区也组织负责政务公开工作的同志对信息进行全面更新录入。经过此次更新,政务公开网站页面浏览、文件录入速度都得到明显提升,有效的促进了政府政务公开工作的开展。
(三)网站安全防范措施落实情况。
1、区政府办公室网络信息中心工作职责中明确规定,网络信息中心为***区人民政府网站安全保障工作的管理机构,负责网站安全防护设施建设,开展网站的日常管理维护和定期检查,网站具体负责人员为网站的安全员,网站配备专用硬件防火墙,网站服务器设有开机密码,信息中心工作人员负责保密管理,服务器的用户名和开机密码为其专有,且规定严禁外泄。
2、为有效的开展网站安全防范工作,区政府办公室网络信息中心进一步加强制度建设,先后制订了防病毒、安全防火制度和***区人民政府网站应急处臵预案。同时,加强了对网站可能突然瘫痪、当机等情况的长效管理,定期对服务数据进行备份。
3、为了进一步明确工作职责,区政府指定区政府办公室为区网络信息中心的管理单位,网络中心网站维护经费由区政府办公室统一承担,经费统一列入办公室财政预算。
4、通过对上述各项内容的自查,发现防火墙对病毒防范能力不强,导致安装有****操作系统的服务器频繁中毒,对服务器的正常使用造成了一定影响。
三、整改情况
按照《通知》要求,结合我区实际,在对区政府网站和服务器自查的过程中发现了一些问题,重点在以下几个方面进行了整改。
1、接到《通知》后,区政府办公室立即组织网络信息中心工作人员,对网站自查中发现的问题逐一进行修改完善,保证网站页面更新及时、互动搜索流畅、网页无错误链接。按照《通知》中对***区政府网站提出的整改意见,修复“首页链接”导航中各个栏目链接的信息内容,按时、按
期更新“求职招聘”栏目中的信息,删除了“进言献策”栏目中回复的乱码。
2、加强对网络信息中心人员计算机水平和网络安全教育,进一步提高有关人员做好网络安全工作的主动性和自觉性,同时密切关注服务器动态信息,加强网站安全措施建设力度,进一步增加网站防篡改、防攻击、防瘫痪能力。截止目前,频繁遭到攻击的****服务器运行良好。
3、改进和增强了政府办公室对网站的监督管理,严格网站信息发布制度,加大对信息内容,信息权威性、一致性和时效性及网上信息办理情况的监管力度,促进了网站内容发布及时、准确。
四、存在问题
1、网络信息中心服务器自****年购买至今设备硬件未曾更新,无法进行新版本操作系统安装。导致操作系统不能及时得到更新,给服务器维护工作带来很大困难,也为网站信息的及时更新制造了阻碍。
2、个别单位对政府政务信息公开工作重视不够,没有真正认识到政府信息功能工作的重要性,导致上报政务信息不及时、不全面
3、区政府网站由****公司制作,与其签署的合约中约定的免费维护时间为****年初至****年末。****年初该公司经营不善已经倒闭。至此,网站的维护任务就全部交由区政
府网络信息中心负责。该公司在制作网站时,对网站加入了内容更改权限,部分网站内容无法维护。
随着媒体对信息技术的依赖性日益增强[1],信息系统必将成为网络媒体各项业务的关键平台,而且,各媒体对关键业务的可用性、业务延续性的要求越来越高,大多数网络媒体都要求提供7×24不间断的服务。所以,随着计算机网络信息系统的发展,信息安全保障体系必将发挥越来越重要的作用。在计算机和网络通信技术突飞猛进的今天,系统攻击技术也在随着信息安全理论的发展而发展。在这样的形势下,安全过程从头到尾实施一遍下来也只是一种静态的安全,不能适应变化的安全需要。[2]所以我们应该采用“自适应”的动态安全保障思想,在安全过程的实施过程当中不断地根据变化的形势更新系统的安全状态,让安全过程从防护、检测到响应恢复的每一步都对下一次的安全策略制定实施积极的影响,从而使得网络媒体的安全水平在不断进步的技术环境下也能保持一个较高的水平。
2、模型的主要设计思路
当前网络媒体在信息安全方面的需求是多方面,多层次的,单一的技术或者产品将难以满足网络媒体信息系统对安全的需求。所以,我们需要站在现有的安全体系理论和模型基础之上,设计一个较为完整的信息安全保障体系来应对网络媒体当前的安全需求。
2.1 遵循系统工程的设计思想来考虑体系的规划和建设
目前大多数的安全体系模型主要的着眼点大都还是停留在技术层面,而在信息安全理论已经发展到信息保障概念的今天,信息安全体系的规划和建设已经超出了纯技术的范畴,成为一个复杂的系统工程。所以,我们在进行网络媒体的信息安全保障体系的规划和建设时,应该站在整体上来进行考虑,不仅要注重技术体系,还要重视以人为中心的组织体系和媒体网站管理体系,将这三个安全要素进行有机的结合,按照系统工程的思路来进行规划和建设。
2.2 对安全单元进行分层考虑
OSI把传输数据的过程分解为一些最基本的元素,将与特定应用相关的网络功能标识出来分类并组成一些独立的功能层,这就是著名的ISO-RM七层模型。这种分析的办法使得信息传输的功能得以分解并局部化到一个具体的层次上,因而便于实现。在这种思路的启发下,我们也可以将需要得到安全保障的信息系统按照应用进行分层,每一层都定义一组与其他层次不同的功能,通过这种方式进行功能的定义和局部化,以便于其实现,从而建立一个兼顾整体性和灵活性的信息安全保障体系。
2.3 强调安全过程的动态性
P2DR模型突出了时间的概念,Pt>D t+R t
P2DR及其衍生模型具有较强的实际指导意义,主要是因为从P2DR模型开始就引入了时间维,从而强调了整个安全过程的动态性,同时也使得整个安全模型具有自适应的特点。这个思路对于我们要规划和建设的网络媒体信息安全保障体系而言是值得借鉴的,因为信息网络技术在不断地发展变化,整个信息环境也在逐渐地改变,这时候如果一个信息安全体系还一成不变的话,其保障能力必将逐日降低,从而带来不可预料的安全隐患。这就好比在一个下行的电梯上往上走,一旦停下来或者上行速度跟不上电梯的下行速度,都会造成绝对位置的降低。所以,网络媒体的信息安全保障体系必须具有跟随信息环境变化的动态性,这种动态性主要体现在安全过程当中[3]。
3. A2P2DR2动态综合性信息安全保障体系结构模型设计
3.1 模型的主要特点分析
系统性:信息保障不仅仅依赖于信息技术和信息安全过程本身,而是一个必须以相关法律、法规和政策为基础,综合涉及管理、技术、人员等要素的系统工程。而且,在安全单元方面,不仅考虑了通信网络和操作系统的安全问题,物理和应用这一高一低两个层次也系统地考虑到了;
动态性:防护、监测、响应恢复等各个安全过程的总结对下一阶段的安全分析评估具有反馈作用,然后可以在新的分析报告和评估结果基础之上制定新的安全策略,以调整整个信息系统的安全水平达到一个新的高度;
积极性:被动就容易挨打,只有不断进行主动的学习和提高,根据新的形势和变化积极改进安防措施,调整安防策略,才能将安全状态维持在一个较高的水平。
3.2 模型的多重保护层次分析
从安全过程考虑,A2P2DR2模型可以为网络信息系统建立三道防线,如上图。
安全保护:网络的第一道防线,能够阻止对网络的入侵和危害;
实时安全监测:第二道防线,可以及时发现入侵和破坏;
响应和恢复:网络的第三道防线,当攻击发生时维持网络“打不垮”,使网络在遭受攻击后能以最快的速度“起死回生”,最大程度上降低安全事件带来的损失。
由上图可以看出,模型的主要防护思路是从内部网角度出发来考虑的。内部网中存有大量的敏感信息,具有极高的价值,而它又是一种半封闭的集中式可控网络。因此,既要保证内部网不被非法入侵和破坏,网中的敏感信息不被泄漏,不被非法窃取和篡改,又要保证网内用户和外部网络之间能够正常连通,得到应有的服务,这就要求内部网必须建立一套完整的信息安全保障体系来保证真正的信息安全。
4.本模型的可行性分析
作为一项系统工程,信息安全保障体系的规划建设必然受到资源和时间的限制。因而在体系的模型定义阶段,我们应该进行一下可行性分析。
4.1.经济可行性
如前所述,随着媒体的主要业务逐渐向信息平台上转移,信息安全保障体系的建立已经成为网络媒体势在必行的措施之一。否则,因为信息安全事故而造成的损失将会是巨大的。而前面设计的模型强调的安全是系统性的安全,并不是仅仅将注意力放在需要投入比较大的安全产品和技术上面。通常而言,网络媒体只要对安全问题有比较明晰的认识,加强内部的管理,练好内功,就能从很大程度上提高整个系统的安全性,而这是不需要多少投入的。在此基础上,网络媒体可以通过安全风险管理来正确处理面临的风险,从而把有限的资金投入到最急需的、风险最大的地方。所以,模型的实施可以根据各个网络媒体的实际情况来考虑,在资金方面的灵活度是非常大的[4]。
4.2.技术可行性
安全技术是整个信息系统得到有效安全保障的基础之一。模型的设计过程中考虑到了网络媒体自身的技术力量。各个网络媒体背景不同,技术水平差别较大,因而不宜统一规划。模型推荐的思路是在自己技术力量的基础上来进行取长补短的建设,在自身力量达不到的技术层面上再考虑与其他厂商或部门的合作。这样一来可以节约有限的投入,二来可以充分发挥自己的技术优势,构建符合本网络媒体实际情况的安全体系。所以,在技术方面,模型的伸缩空间也是很大的,各网络媒体可以根据自己的技术力量来考虑。
4.3.法律可行性
模型本身就强调要以相关的法律法规和政策标准作为整个安全体系的基础,所以按照该模型建立的安全体系在法律可行性方面是毋庸置疑的。
综上分析,模型的设计具有相当的灵活性。按照模型所述,各网络媒体根据自身的实际情况,可以建立一个符合自身需要的信息安全保障体系。
摘要:信息安全保障体系结构是整个信息安全系统最高层的抽象描述。在信息安全系统的设计与建设过程中, 需要从全局的体系结构角度考虑安全问题的整体解决方案, 才能保证信息安全功能的完备性与一致性, 降低安全的代价和管理的开销。本文提出了一个A2P2DR2动态综合性信息安全保障体系模型, 为网络媒体及其他联网企事业单位信息安全保障问题的解决提供了新的参考。
关键词:动态性,信息系统,信息安全,保障体系
参考文献
[1]王谦, 陈放.我国电子政务信息安全及保障体系[J].网络安全技术与应用.2006, (04)
[2]谢宗晓.ISMS-站在组织战略高度部署信息安全[J].中国标准化.2007, (04)
[3]崔光耀.在全局的高度审视信息安全[J].信息安全与通信保密.2006, (08)
航天信息走过十几年,我们也在反思,如何实现跨越式发展?我们提出的思路是,巩固航 天信息在国家的金税金盾金卡“三金”工程中的主力军基业,同时在企业信息化、行业信息化和物联网等方面深耕细作,通过自主知识产权核心的信息安全产品来带动我们整体解决方案,为用户创造更好的价值。
现在航天信息物联网规模遍布多行业和领域,包括智能交通、公共安全、智能物流、身份识别、智能电力、感知粮食、平安城市、应急管理等多系统多方案的解决方案,以及IC卡、读写终端的研究、销售模式。
作为人口大国,粮食安全对中国来说至关重要。粮库信息化正是航天信息与国家粮食局和相关省粮食局签订了框架战略合作协议中的内容,预计到明年底,粮食安全信息化建设中的首批16个粮库的试点工作将全部完成。通过在粮食收购、仓储、运输、加工、超市等流通领域建立的农户结算卡系统、粮户信息集成系统、安全追溯系统,全面依靠新技术、安全技术提升,为粮食清仓查库提供准确的依据。
网络与信息的安全不仅关系到公司正常业务的开展,还将影响到国家的安全、社会的稳定。我公司将认真开展网络与信息安全工作,通过检查进一步明确安全工作,通过检查进一步明确安全责任、建立健全的管理制度,落实技术防范措施,保证必要的经费和条件,对有毒有害的信息进行过滤、对用户信息进行保密,确保网络与信息的安全。
第一章 短信平台运行安全保障措施
1、短信平台服务器和其他计算机之间设置经公安部认证的防火墙,并与专业网络安全公司合作、做好安全策略,拒绝外来的恶意攻击,保障短信平台正常运行。
2、在短信平台服务器及工作站上均安装了正版的防病毒软件,对计算机病毒、有害电子邮件有整套的防范措施,防止有害信息对短信平台的干扰和破坏。
3、做好生产日志的留存,短信平台具有保存60天以上的系统运行日志和用户使用日志记录功能。
4、短信服务系统建立双机热备份机制,一旦主系统遇到故障或受到攻击导致不能正常运行,保证备用系统能及时替换主系统提供服务。
5、关闭短信平台中暂不使用的服务功能,及相关端口,并及时用补丁修复系统漏洞,定期查杀病毒。
6、短信服务器平时出于锁定状态,并保管好登录密码;后台管
/ 7
理界面设置超级用户名及密码,并绑定IP,以防他人登入。
7、短信平台提供集中式权限管理,针对不同的应用系统、终端、操作人员,由短信系统管理员设置共享数据库信息的访问群贤,并设置相应的密码及口令,不同的操作人员设定不同的用户名,且定期更换,严禁操作人员泄露自己的口令,对操作人员的权限严格按照岗位职责设定,并由短信系统管理员定期检查操作人员权限。
8、公司机房按照电信机房标准建设,内有必备的独立UPS不间断电源、高灵敏度的烟雾探测系统和消防系统,定期进行电力、防火、防潮、防磁和防鼠检查。
第二章 信息安全保密管理制度
1、我公司建立了健全的信息安全保密管理制度,实现信息安全保密责任制、切实负起确保网络与信息安全保密的责任。严格按照“谁主管、谁负责”、“谁主办,谁负责”的原则,落实责任制,明确责任人和职责,细化工作措施和流程,建立完善管理制度和实施办法,确保使用网络和提供信息服务的安全。
2、短信内容更新全部由公司工作人员,工作人员素质高,专业水平好,有强烈的责任心和责任感,短信平台所有信息发布之前都经分管领导审核批准。工作人员采集信息将严格遵守国家的有关法律、法规和相关规定。严禁通过我公司短信平台散布相关法律法规明令禁止的信息(即“九不准”),一经发现,立即删除。
3、遵守对短息服务信息监视,保存、清除和备份的制度。开展对网络有害信息的清理整治工作,对违法犯罪案件,报告并协助公安
/ 7
机关查处。
4、所有信息都及时做备份,按照国家有关规定,短信服务系统讲保存5个月以内的系统及用户收发短信记录。
5、制定并遵守安全教育和培训制度,加大宣传教育力度,增强用户网络安全意识,自觉遵守信息安全管理有关法律、法规,不泄密、不制作和传播有害信息。
第三章 用户信息安全管理制度
1、我公司郑重成耨尊重并保护用户的个人隐私,除了在与用户签署的隐私政策和短信服务条款以及其他公布的准则规定的情况下,未经用户授权我公司不会随意公布与用户个人身份有关的资料,除非有法律或程序要求。
2、所有用户信息将得到本公司短息服务系统的安全博爱村,并在和用户签署的协议规定时间内保证不会丢失;
3、严格遵守用户账号使用登记和操作权限管理制度,对用户信息专人管理,严格保密,未经允许不得向他人泄露。
4、公司定期对相关人员进行网络信息安全培训并进行考核,使员工能够充分认识到网络安全的重要性,严格遵守相应规章制度。
5、我公司将严格执行本规章制度,并形成规范化管理,建立健全信息网络安全小组。安全小组由单位领导负责,网络技术、客户服务等部门参加,并确定两名安全负责人员为突发事件处理的联系人。
第四章 有害信息发现处置机制
1、为了加强对短信信息的安全保护,根据《中华人民共和国计
/ 7
算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际互联网管理暂行规定》及其它有关法律、行政法规的规定,制定本机制。
2、举报、投诉中心设在信息部。举报投诉的受理和回复工作统一由信息部设专人负责,向社会公开投诉举报电话号码,设置举报箱。
3、受理的有害信息投诉事件主要指单位和个人利用短信平台制作、复制、查阅和传播下列信息的事件;
(1)煽动抗拒、破坏宪法和法律、行政法规实施的;(2)煽动颠覆国家政权、推翻社会主义制度的;(3)煽动分裂国家、破坏国家统一的;
(4)煽动民族仇恨、民族歧视,破坏民族团结的;(5)捏造或者歪曲事实,散布谣言,扰乱社会秩序的;(6)宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪的;
(7)公然侮辱他人或者捏造事实诽谤他人的;(8)损害短信平台形象和利益的;(9)其他违反宪法和法律、行政法规的。
4、有害信息发生部位:在短信平台、咨询信息中张贴、传播有害信息。利用电子邮件发送危害安全、宣扬“法轮功”等邪教和扰乱社会秩序的各种谣言等有害信息。
5、用户的通信自由和通信秘密受法律保护。任何单位和个人不得违反法律规定,不得利用手机报侵犯用户的通信自由和通信秘密。
/ 7
6、一旦发现网络有害信息的,应立即启动预案,采取“及时处理、下载保存和24小时上报制度”。
第四章 信息安全事件报告制度
1、发现有害信息的公司员工要立即报告公司信息部,由信息部协调处理网上突发事件,摸清情况,采取措施,最大限度地遏制有害信息在短信内容中传播和扩散,并在第一时间内向公司主管领导及有关部门报告。
2、信息部负责有害信息的界定及监控,一旦发现不良信息要马上删除(如遇紧急情况,可直接关闭服务器,暂停短信平台运行)。
3、信息部及时对有害信息予以删除,取证留样,对有害信息的来源进行调查;在最短的时间内向网络有害信息处置办公室报告情况。
4、信息部要对网络安全设备的记录留存,监督检查有害信息报告、清除等情况。
5、信息安全员负责调查有害信息散步的原因、经过,收集相关证据,以有利于时间处理时事实清除,责任明确。
第五章 重大信息安全事件应急处置制度
1、信息部要利用网络与信息安全技术平台,对网上有害信息和公共有害短信及时进行封堵;对违规从事网上业务或传播有害信息的用户,依法采取责令整顿,予以封禁用户等行政处罚措施。
2、在事实清除、责任明确的情况下,公司信息安全管理领导小组要对事件作出处理决定:影响较大、存在问题较多的网站,要集中力量研究和解决问题。对管理混乱、事故多发、造成不良影响的平台,5 / 7
要追究有关责任人责任。
3、有害信息的责任认定与后期工作按照有关法律和规定确定。
第六章 业务培训制度
1、对于在上述事件中对处理不服的,有信息部做好思想教育疏导工作。
2、各职能部门继续做好短信平台及相关系统有害信息的收集监控工作。
3、举报投诉受理中心对公众举报、投诉事件,按集中管理、登记的原则办理,有信息部带领网络信息安全小组集中处理,并将处理结果备案。对较重大有害信息事件,应立即上报主管领导。
4、举报投诉受理中心受理的时间,要做到即接快办:夜间、节假日值班期间接到的投诉举报,应于次日或节假日后的第1个工作日办理,对需紧急办理的重大信息安全事件可先处理后登记。
5、负责查办的相关人员接到交办的投诉举报事件后及时安排办理,要求在法定时限内处理完毕,如遇特殊性情况不能按时处理完毕的,应报主管领导说明理由,可适当延长处理时间;处理结果应及时反馈给举报投诉受理中心,由举报投诉受理中心反馈给投诉举报人。
6、在处理有害信息投诉事件的记录、登记、交办工作流程时,应填写相应表单、并随结果报告一同存档。
7、处理人员应对重大有害信息事件举报人或要求保密者做到保密,有关重大的有害信息事件及处理过程不得泄密。
/ 7
附表:信息安全小组成员名单 组长:(总负责)技术部经理,张华
成员:程序员,邱能艺
程序员,黄德恩
紧急情况第一联系人:张华
(电话:)*** 紧急情况第二联系人:邱能艺
(电话:)***
以上信息如若发生变更,在两个工作日内报送福建省通信管理局备案。
公司名称:福建扬翼网络科技有限公司 日期:
会议对2011年一季度以来重庆市互联网网络与信息安全管理工作开展情况进行了通报。在信息安全管理方面,各基础电信企业加强网站备案基础数据平台建设与管理,切实开展了空壳备案数据的清理工作;通报了工业和信息化部2010年底开展的备案核查情况,重庆市网站主体的备案信息准确率落后,有待全面提升;以多项互联网专项行动治理为契机,相关部门积极主动清理网站有害信息,网络环境得以有效净化;各企业全面落实“网络信息安全指导意见”,管理体制不断完善,管理能力不断增强,工作总结《信息安全工作》。在网络安全管理工作方面,通报了重庆市一季度网络安全形势以及网络安全预警、处置工作的开展情况,同时介绍了“两会”期间网络安全专项保障工作的开展情况。
会议听取了三家基础电信企业在网络与信息安全工作方面的汇报,并对下一阶段工作进行了部署。一是全面核正重庆市所有备案信息,通过加强接入服务商(包括省外接入服务商)备案主体真实性核验管理、严格备案审核等措施,全力提高备案信息准确率;二是于6月30日前完成企业备案系统接口的升级工作,完善上报网站备案信息真实性核验材料等接口,有效提升网站真实性核验工作水平;三是将日常监管与专项行动治理结合起来,非法网站及有害信息的处置等工作,营造良好的网络环境;四是开展贯彻落实指导意见的监督检查工作,指导企业全面落实信息安全管理措施;五是组织三家基础电信企业开展互联网络安全应急演练工作,确保建党90周年重大时期网络与信息安全。
第七期
成都市新都区食品安全委员办公室2009年4月23日
卫生部检查我区打击违法添加 非食用物质和滥用食品添加剂专项整治工作
2009年4月22日,卫生部对我区打击违法添加非食用物质和滥用食品添加剂专项整治工作进行检查。检查组通过听汇报、查阅资料、实地视察等方式进行。省食品药品监管局党组副书记、副局长刘伟德、副局长魏夕和、市食品药品监管局局长周蓉,区政府常务副区长钟建宏,副区长冯静陪同参加检查。
首先,区政府常务副区长钟建宏就我区的基本情况介绍后,副区长冯静就我区打击违法添加非食用物质和滥用食品添加剂专项整治工作进行了详细汇报。一是领导重视,明确职责。成立了以分管副区长为组长,区级有关部门分管负责人为成员的专项整治工作领导小组,制发了《成都市新都区打击违法添加非食用物质和滥用食品添加剂专项整治方案》,明确了有关部门的工作职责。二是强化宣传,营造氛围。一是制作了宣传车在全区各镇(街办)主要场镇、路口进行流动宣传;二是在新都电视台、农家顾问、新都资讯滚动播放专项整治行动的开展情况;三是利用乡镇传统节日、科技三下乡
设点宣传相关法律法规知识,为我区人人参与食品安全,人人重视食品安全,打击非法添加非食用物质和滥用食品添加剂专项行动营造了良好的氛围。三是履职尽责,深入开展专项治理。一是全面清查,摸清食品企业使用添加剂情况;二是重点对肉制品、奶制品、蛋制品、豆制品、水产品、粮油制品、酒和调味品等高风险食品进行专项检查;三是分行业、分重点产品组织食品企业召开风险预警会;四是采用快速检测车和快速检测箱,加大市场巡回检测力度,组织卫生、质监、工商、食品药品监管等部门进行不定期突击检查。
随后,专家组先后深入食品生产企业、超市、农贸市场、餐饮企业进行现场检查。重点检查了我区各食品生产经营单位是否有违法添加非食用物质和滥用食品添加剂现象。
通过检查,专家组对我区专项整治工作给予充分肯定,认为我区创建专项整治工作领导重视、保障有力、措施有效、效果明显。并希望我们要进一步探索完善食品安全监管长效机制,下移监管重心,消除隐患,不断提高监管工作的有效性,确保人民群众食品安全。
在电力企业信息化水平快速发展的背景下, 面对网络违规行为日益增多, 需要强化对各直属机构的信息系统的安全建设, 尤其是面对内部大量终端的使用, 对以终端为安全边界的内网安全列上了议事日程。电力企业加强内网中各类终端的管理, 避免因终端缺乏专业的安全技术手段, 而成为违规行为的发源地、网络安全的脆弱点或成为网络攻击的跳板。为此, 电力企业把保护终端的信息安全管理工作, 提升到“一把手”负责制的高度。
电力企业希望通过部署终端管理产品, 有效解决非法终端接入内网并对安全生产造成破坏的风险。电网公司希望选择一个既能紧密结合电网公司网络规模大、使用部门多和应用系统复杂的特点, 有效防止不符合规定的终端接入内网和访问资源的限制, 同时, 又能清晰划分电网公司的网络边界, 并能顺应不断变化的信息安全发展新趋势的终端管理产品, 来有效解决终端接入对内网造成破坏的风险。
1 网络安全现状分析
目前在县市级供电企业, 已经实施多种网络安全产品, 如Symantec企业版病毒防护系统、微软补丁分发产品WSUS补丁更新系统。年初, 国家电网公司统一部署了桌面终端管理系统, 国家电网公司部署中心服务器, 省公司部署一级服务器, 市局部署二级服务器, 并给县市级供电企业提供一个管理客户端, 实现对接入终端的外联管理、外设管理、资产管理、远程运维、协议管理等。在统一的管理和控制策略下, 使县市级供电企业对终端初步具有可管理性。同时, 国家电网公司通过定期下发各类管理和安全检查等策略, 对县市级供电企业的终端安全进行定期抽查。通过这套系统, 一方面解决了数量众多的计算机的安全、管理、维护问题, 降低了单位的基础设施构建成本;另一方面保障了数据信息的安全。
虽然县市级供电企业在内网终端安全方面做了很多工作, 部署了防火墙、安全VLAN的划分、刚实施的内外网物理隔离、Symantec企业版病毒防护系统、补丁统一更新系统以及国家电网统一部署的桌面终端管理系统, 但是对下面的安全问题还不能做到真正意义上的解决。
(1) 是否已经做到真正的隔离?目前在县市级供电企业实现了内外网的物理隔离, 但无法从技术手段来判断并杜绝内网计算机连接外网。
(2) 终端接入可控吗?虽然县市级供电企业已经有一套IP与MAC绑定的系统, 但是可以伪造IP与MAC信息接入网络。虽然作了物理隔离, 可是正常工作中还是经常会碰到外来计算机, 如何来控制接入及做接入前管控?怎么样可以做到很灵活的终端接入审查呢?在系统正常运行之后, 所有接入网络的终端如何做到只有通过管理员审查批准才可以接入呢?
(3) 目前县市级供电企业接入终端为数众多, 分布地域很广, 接入计算机密码过于简单, 管理人员、不知道哪些计算机未安装杀毒软件或安装了没有及时更新病毒库, 信息管理人员如何及时发现计算机的安全漏洞, 提供用户更改密码, 安装杀毒软件, 更新病毒库等, 以保障系统不因为弱口令的原因被病毒和黑客攻击?
(4) 怎么对终端进行强制的安全加固?通过桌面终端管理系统, 管理人员对计算机终端的安全隐患将更加了解, 但终端使用人员操作水平参差不齐, 如何来保证计算机的操作系统没有漏洞, 补丁全部打齐, 杀毒软件版本及病毒库都更新到最新以及账号密码具有一定强度的呢?
(5) 终端计算机如果需要修复怎么办?如何保证接入终端是处于健康状态的, 如果保障存在安全隐患的终端的安全修复, 甚至强制让接入终端修复其安全隐患呢?
(6) 如何将异常状态的终端快速隔离?如何快速有效的定位网络中病毒、黑客的引入点, 快速、安全的切断安全事件发生点和相关网络?
因此, 目前在信息安全上, 内网终端还是存在很大的安全隐患。
2 网络准入控制系统功能
作为终端安全管理整体解决方案, 县市级供电企业已经部署了桌面安全管理系统, 但无有效地技术手段控制客户端的准入;同时, 对于桌面管理系统采集上来的安全隐患, 也没有强制手段保证终端及时有效的加固。因此终端安全准入控制系统建设重要性突显出来, 与桌面管理系统同时作为整体方案的两块重要部分, 二者缺一不可。与传统桌面管理系统的关系如图1所示。
一个完整的网络准入控制系统, 在终端设备接入时, 需提供以下5步检查和控制流程, 缺少其中一个方面的内容, 就不是完善的准入解决方案, 都无法达到完整的安全风险控制、预防和响应要求, 会给准入控制系统的部署和推广使用带来问题。网络接入认证流程如图2所示。
第1步, 注册登记:内部终端要访问网络资源之前, 需要在网络上注册登记 (用户账户登记、终端ID注册等) , 取得接入网络的权限。
第2步, 接入检查:终端在接入网络时, 准入控制系统会检查其用户账户、安全设置状态、终端硬件合法性等。
第3步, 安全隔离:如果在接入检查时, 发现终端不符合安全规定, 需要对终端进行隔离或拒绝其访问网络资源, 例如:发现是外来终端则拒绝接入或进入“访客区”网段, 或者是内部不符合安全规定的终端, 则让其进入“修复区”。
第4步, 安全通知:对被隔离的终端进行通知, 告知其被隔离的原因, 在访问网页资源时也会有相应的安全通知告示。
第5步, 安全修复:自动引导被隔离的终端, 让其修复安全设置或者进行注册登记, 使得其可以正常访问网络资源。
3 网络准入控制系统部署
图3是网络安全准入控制联动和终端安全管理系统所有相关服务器的部署连接示意图。其中策略管理服务器2台 (1台作为正常使用, 1台作为备份) 、联动控制器2台 (要求可实时切换) 、终端安全代理以及其它第3方修复服务器。
通过准入控制系统解决方案的部署, 可以将整个网络划分为2个不同的区:隔离修复区和正常工作区。准入控制系统可以根据终端用户的身份、终端满足安全策略程度将终端设备自动划分到这2个区域中。终端在不同安全区域能够访问到的网络资源不同, 比如:隔离修复区一般限制只能访问安全修复服务器等资源;正常工作区是正常办公需要的所有网络资源, 这个区域是大多数的安全区域。
准入控制系统可以支持多用户、多权分立管理, 根据不同管理员所拥有的管理权限与管理范围, 管理员只能操作被授权的功能以及限制的管理范围, 管理员所有的操作都可以让审计员进行审计。
4 结语
会议讨论通过《关于大力推进信息化发展和切实保障信息安全的若干意见》,确定了以下重点工作:
(一)实施“宽带中国”工程。加快信息网络宽带化升级,推进城镇光纤到户,实现行政村宽带普及服务。加快推进电信网、广电网、互联网三网融合,培育壮大相关产业和市场。(二)推动信息化和工业化深度融合。重点推动企业信息化水平全面提升,推广节能减排信息技术,增强信息产业核心竞争力,引导电子商务健康发展,推进服务业信息化。(三)加快社会领域信息化。继续深化电子政务应用,加快电子政务服务向街道、社区和农村延伸,建设服务型政府。提高社会管理和城市运行信息化水平,加快推进教育、医疗、就业、社会保障和减灾救灾等民生领域信息化。(四)推进农业农村信息化。重点提高农业生产经营信息化水平,完善农业农村综合信息服务体系。(五)健全安全防护和管理。基础信息网络要与安全防护设施同步规划、同步建设、同步运行,强化技术防范,严格安全管理,切实提高防攻击、防篡改、防病毒、防瘫痪、防窃密能力。(六)加快安全能力建设。完善网络与信息安全基础设施,加强信息安全应急等基础性工作,提高风险隐患发现、监测预警和突发事件处置能力。
杜尔伯特蒙古族自治县安全委员会办公室2011年11月18日杜尔伯特蒙古族自治县人民政府召开安全会议2011年 11月18日,杜尔伯特蒙古族自治县人民政府召开安全会议,总结通报年初以来的安全形势,就冬季安全工作进行细致部署。
会上,宣读了《关于进一步加强全县安全工作的通知》(杜政发[2011]29号)、《关于印发安全生产事故通报约谈分析督导制度实施办法的通知》(杜安委发 [2011]9号)、《全县深化冬季防火安全工作实施方案的通知》(杜消安发
[2011]15号),下发了《关于开展全县安全大检查工作的通知》(杜安委发[2011]10号)和《关于加强农机安全管理实施方案的通知》(杜政办发[2011]51号)。县委常委、常务副县长付卫国同志作了重要讲话。
禹州市对安全创建工作
再动员、再部署、再细化
为深入开展安全创建工作,努力完成安全创建示范点的创建工作任务,做好迎接许昌市政府安委会安全创建工作集中观摩点评活动准备工作,11月4日上午,禹州市召开了安全创建工作再动员会议。方山镇、夏都办事处、颍川办事处、市教体局、市住建局及8个安全创建示范点的主管副职和创建办主任参加了会议。会议对禹州市安全创建工作再动员、再部署、再细化,并提出了明确要求。一是要充分认识安全创建的重要意义,高度重视安全创建工作,加强组织领导,确保创建工作的进度和成效。二是要强化措施,高标准、严要求,查漏补缺,切实做好安全创建各项工作。三是要严格督查,确保安全创建工作取得实效,市政府安委会办公室组织人员对各创建示范点的安全创建工作进展情况进行专项督查,督查组每三天向市政府安委会办公室报一次督查情况,对进度快、质量高、效果好的单位及时进行通报表扬;对推诿扯皮、行动缓慢的单位进行通报批评,并在年终安全生产责任目标考核时“一票否决”。四是要加强联系,及时总结并推广创建工作中的好做法与好经验,促进创建工作的顺利有效实施,确保观摩点评活动圆满成功。
关键词:信息安全 保密管理 保密措施 保密技术
中图分类号:TP393文献标识码:A文章编号:1674-098X(2014)01(c)-0125-01
随着整个社会信息化程度的深入和加快,信息对任何一个国家党政机关和企事业单位的运作及发展发挥着十分重要的作用,信息安全保密关系着一个国家和一个民族的根本利益。但信息泄密案件却逐年上升,信息安全保密形势非常严峻,所以我们必须提高保密意识,加强保密管理积极查找泄密隐患,制定可行的对策,从管理措施、技术措施、法律法规上严防泄密事件的发生。
1 信息安全保密工作存在的问题
1.1 保密意识的淡薄
很多人都认为保密工作是保密部门的事情,与自己无关。甚至认为,不产生秘密就无秘密可保,也不需要保密。但是实际上,在我们日常工作、生活中处处都有缺乏安全保密意识的现象存在。例如,银行卡、电子邮箱、网络账户设密简单;不定期更换密码;将保密文件没有加密保管或传输;不知道“涉密计算机不上网,上网计算机不涉密”的保密要求;将涉密与非涉密U盘混用;没有及时按照系统安全漏洞补丁程序;没有及时升级杀毒软件;涉密计算机违规使用U盘等移动介质,接受资料没有先进行杀毒处理等等。
1.2 管理环节很薄弱
在很多单位虽然都对涉密计算机、涉密移动存储介质的保管进行了规定,明确了连接互联网的计算机不得存储、处理、传递涉密信息等,处理涉密信息必须在涉密计算机上进行,但是在实际工作中,仍旧有随意安装软件、有重硬件建设,轻视软件管理的现象。很多信息安全人员都以技术为主,不注重安全制度的落实,单位领导对保密工作重视度不够,管理不力,对违背安全保密管理条例的人员处罚措施不及时、不严格。
1.3 制度制定不完善
在很多部门都没有制定相关的信息安全保密制度,或者制定的制度不完善;没有及时根据信息安全威胁的变化而进行补充;对保密定级的准确度不高,没有按照相关规定要求随意定密级。
1.4 技术防御能力参差不齐
很多单位不注重信息安全保密意识,往往用淘汰的计算机代替涉密计算机,人为的制造了泄密漏洞;有的部门涉密计算机所设置的口令长度过短,使用周期过长,忽视了网络防盗;对计算机网络监控不投资,致使保密工作人员没有专业检测工具对计算机存储信息进行檢测,计算机信息安全保密检测处于空白,当发现威胁时也处于不能进行“亡羊补牢”的状态。
1.5 涉密和非涉密计算机使用不规范
涉密计算机没有专用的放置场所,没有专人管理和负债,有的还存在不设置密码的状态;有的涉密计算机还违规上互联网,或者使用非涉密移动存储介质、安装无线网卡等设备;对非涉密计算机处理涉密信息、传输涉密信息等现象比较突出。
2 信息安全保密工作的有效措施
(1)强化宣传教育。开展全民性的信息安全教育,增强国民的信息安全意识,提高国民信息安全的自觉性。利用舆论媒体宣传信息安全的重要性,组织学习信息安全与保密工作的法律法规,普及信息防护的常识,介绍信息防护的技术。
(2)加强日常管理,提高领导的重视程度。各级领导干部要把做好信息安全保密工作作为自己的一项重要职责,自觉地执行各项制度和规定,提高警惕,做好保守秘密的模范,通过定期的保密教育培训、签订责任书、形成保密工作记录等形式,切实落实好领导干部保密责任制。
(3)做好涉密工作人员的培训工作。涉密工作人员担负着秘密信息的收发和保密责任,抓好这支涉密工作人员队伍建设工作,就是做好了信息安全工作的关键。涉密信息技术人员在精通信息安全保密技术的同时,要提高思想认识、培养科学严谨的工作作风、严守法纪法规,才能把技术与管理紧密结合;涉密信息管理人员也要对他们进行高技术条件下信息安全保密的专业训练,进一步掌握现现代技术管理信息的知识和排除各种隐患的本领,以及一切高水平的反窃密技术,对可能造成泄密的现象有较高的判断力和洞察力;这样的措施才能做好涉密信息系统的安全、保密、监督、检查工作。
(4)政策支持及法律法规的完善。政策是政府管理职能的体现,信息安全需要政府综合运用各种手段,采取切实有效的对策、措施,不断提高防范和保障信息安全能力。信息安全保密已经成为国家安全的一个重要组成部分和非传统安全因素的一个重要方面,必须强化信息安全意识,加强健全相关法律法规,做到有法可依。
(5)加大投入力度。做好计算机信息安全保密工作,除人是第一因素外,其次设备是关键。要明确专项费用,购置相关保密技术设备和信息检查、清除工具等。加强技术培训,尤其是新知识、新技术的跟踪培训。对计算机操作系统、密码加密、病毒防治、防火墙等技术上下功夫,下投入力度,确保基本技术防护不出问题。
(6)加强涉密计算机和涉密存储介质的管理。凡是涉密计算机要确定专人进行操作,确定专人进行管理,禁止任何非涉密移动介质插入USB接口。严禁涉及计算机上互联网,严禁在连接互联网的计算机上使用涉密存储介质,严禁在非涉密计算机处理、保存各类涉密文件盒其他涉密信息。对涉密文件的起草、制作、分发、传递、复制、保存和销毁过程,实施全程监管。
(7)加强监督检查的力度。牢固树立“执行第一、落实为重”的理念,定期开展保密检查工作,采取全民检查与重点检查相结合、综合检查与专项检查相结合、定期检查与随机检查项结合的方式,对相关部门(单位)的保密工作进行抽查,及时发现和解决问题,加强对保密工作的长效管理,督促、指导保密工作人员遵守有关制度。
(8)加强系统软硬件管理。制定相关的安全管理规定和访问规定,定期进行计算机病毒库和安全补丁的升级,严格控制外来软、硬件的安装,加强口令管理、做好系统安全审计等。
参考文献
[1]中华人民共和国国家安全法.
[2]中华人民共和国保密法.
[3]敖卓缅.信息安全保密探析[J].信息与电脑(理论版),2013(5).
8月20日, 山西省网络与信息安全协调小组召开第一次全体会议, 协调小组成员共20多人参加了会议, 省委常委、常务副省长李小鹏主持会议并作了重要讲话。
会上, 山西省经信委主任、省网络与信息安全协调小组办公室主任胡玉亭对山西省近期网络与信息安全工作进行了汇报, 各小组成员对当前网络与信息安全形势和下一步工作重点进行了研究讨论。省委常委、宣传部部长胡苏平, 省委常委、省委秘书长杜善学, 省长助理、省公安厅厅长刘杰, 省军区参谋长徐洪生出席会议并作了重要讲话。
李小鹏强调, 网络和信息安全关系重大, 各级各部门要进一步提高认识, 健全安全防护和管理, 保障重点领域信息安全。要确保重要信息系统和基础信息网络安全, 加强政府和涉密信息系统安全管理, 保障工业控制系统安全, 强化信息资源和个人信息保护。要加快能力建设, 提升网络与信息安全保障水平。要夯实网络与信息安全基础, 加强网络信任体系建设和密码保障, 提升网络与信息安全监管能力, 加快技术攻关和产业发展。要加强协同配合, 确保网络和信息安全工作落实到位, 保障山西省网络和信息安全持续稳定。
信息源入网信息安全保障责任书
信息源责任单位接入中国移动互联网(CMNET)或短/彩信网关保证遵守以下各项规定:
一、遵守国家有关法律、行政法规和管理规章,严格执行信息安全管理规定。
二、不得利用中国移动互联网(CMNET)或短/彩信网关从事危害国家安全、泄露国家机密等违法犯罪活
动。
三、不得利用中国移动互联网(CMNET)或短/彩信网关制作、查阅、复制和传播违反宪法和法律、妨碍
社会治安破坏国家统一、破坏民族团结、色情、暴力等的信息。
四、信息源责任单位须对其发送信息的真实性、准确性、合法性负责,信息源责任单位的系统应保证可
对违反国家有关政策、法律、法规、法令的敏感内容进行拦截、过滤;发布的内容必须严格遵守《中华人民共和国电信条例》相关规定,不得发布和传播有害信息,不得以手机作为媒体散发传播违法、不健康、反动等信息,不得发布任何含有下列内容之一的信息:
1、反对宪法所确定的基本原则的;危害国家安全,泄漏国家机密,颠覆国家政权,破坏国家统一的;损害国家荣誉和利益的;煽动民族仇恨、民族歧视,破坏民族团结的;破坏国家宗教政策,宣扬邪教和封建迷信的;散布谣言,扰乱社会秩序,破坏社会稳定的;散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;侮辱或者诽谤他人,侵害他人合法权益的;
2、“九不准”:即信息产业部《关于依法打击网络淫秽色情专项行动工作方案的通知》(信部电【2007】
231号)定义的九不准信息标准:①政治性新闻信息;②危害国家安全、社会稳定的信息;③泄漏国家机密的信息;④与国家现行政策、法律和法规相抵触的信息;⑤涉及色情淫秽的信息;⑥涉及封建迷信的信息;⑦开办赌博的信息;⑧内容虚假或已失效的信息;⑨有损社会公德和侵犯他人合法权益的信息。
3、“五大类”:即公安部(公通字【2005】77号)文件规定严格禁止的五大类信息:①假冒银行或
银联名义进行诈骗或者敲诈勒索公私财物的信息;②散布淫秽、色情、赌博、暴力、凶杀、恐怖内容或者教唆犯罪、传授犯罪方法的信息;③非法销售枪支、弹药、爆炸物、走私车、毒品、迷魂药、淫秽物品、假钞假发票或者明知是犯罪所得赃物的信息;④发布假中奖、假婚介、假招聘,或者引诱、介绍他人卖淫嫖娼的信息;⑤多次发送干扰他人正常生活的,以及含有其他违反宪法、法律、行政法规禁止性规定内容的信息。
4、含有法律、行政法规禁止的其他内容的。
五、信息源责任单位在使用互联网业务时,应遵守因特网的国际惯例,不得向他人发送恶意的、挑衅性的文件和未经接收方允许的商业广告,包括垃圾邮件、垃圾短信、垃圾彩信等。
六、不得向任何网络发动任何形式的攻击。
七、信息源责任单位有责任对自身系统的安全状况负责,并定期对其系统进行安全状况进行检查。
八、信息源责任单位应承担如下责任:向所属员工宣传国家及电信主管部门有关使用因特网的法规和规
定;建立健全使用者档案,加强对使用者管理、教育工作;有健全的网络安全保密管理办法。
九、对出现来源自用户的互联网攻击,中国移动将通知用户限期进行处理,对未按照要求及时处理的,中国移动有权采取相应措施,以避免安全事件的进一步扩大;当出现紧急事件时,为保护广大用户的合法权益,中国移动有权在事先不通知用户的情况下采取相应措施。
十、信息源责任单位应积极配合国家主管部门和中国移动进行网络安全事件的跟踪,并提供相关的、合法的资料。
十一、信息源责任单位提供的信息必须遵守国家有关知识产权的规定。
十二、信息源责任单位应建立有效的信息安全保密管理制度和网络安全管理技术保障措施,并接受相
关业务主管部门的管理、监督和检查。
十三、若违反上述规定,产品或解决方案提供方、中国移动或电信行业主管部门有权采取必要措施,关闭相关信息源接入通道和信息发送通道,情节严重者中止合作业务,追究信息源和信息发送方责任单位的法律责任,并追索由此产生的相应的经济损失。
十四、此责任书经信息源和信息发送方责任单位签署后生效。
信息源和信息发送方责任单位:
(签字、盖章)
2.负责有关电信网络信息安全政策、法律法规的咨询、宣传贯彻工作。
3.保障电信网络信息安全、维护公共秩序和社会稳定,依法对电信网謝言息安錢行监管。
4.负责对各电信运营企业的信息安全保障制度、措施及实施情况进行监督检查。
5.配合有关部门对利用电信网络制作、复制、发布、传播有害信息的行为进行查处。
6.配合有关部门对危害电信网络信息安全的行为进行查处。
7.负责对私自设立国际关n局或非法经营国际电信业务的行为进行监管。
一、我国电子政务的基本结构和安全性目标
我国的电子政务系统包括应用层、信息交换层、数据访问层和网络系统层四个方面。其中, 网络系统层是电子政务活动的基础, 没有网络交换和数据访问的平台, 不同部门之间的信息共享和交流就无从谈起。而建立电子政务系统的目的就是为了实现电子政务的网络应用, 因此应用层在电子政务系统中也有重要作用。具体而言, 电子政务系统的结构如下所示。
政府的政务活动事关国家和人民的切身利益, 因此保证电子政务系统信息的安全性具有重要意义。安全问题是电子政务系统关注的重点, 是电子政务系统的核心问题。建设一个安全完善的电子政务系统是电子政务系统的一个主要目标。具体而言, 电子政务信息安全性的目标有以下几点。[1]
1、真实性目标
电子政务信息的真实性是指能对信息实体的有效性、真实性进行鉴别。信息的真实性是开展电子政务的前提, 因为建设电子政务系统的目的就在于向人们提供可利用的信息, 因此必须要保证信息的完全真实性。电子政务信息的真实性事关个人、社会团体和政府机构以及国家的利益和声誉, 在电子政务发展的过程中要防备来自各方面的安全威胁, 保证电子政务的信息数据是真实有效的。
2、隐蔽性目标
在电子政务的信息中, 有的信息是需要进行保密性设置的。隐蔽性目标是指电子政务信息系统在使用的过程中不向非授权个人和部门透漏政府的私有保密信息。电子政务信息安全工作的一个重点就是对重要信息进行保密, 保密是电子政务信息安全的重要保障。在电子政务信息的运行和使用中, 要预防非法的信息存储和信息在传输过程中被非法窃取, 确保电子政务信息的安全性。
3、完整性目标
电子政务信息的安全工作还应该确保信息数据的完整性和一致性, 在电子政务信息系统的运行中, 要防止电子政务的信息数据被非法地修改和破坏。电子政务各方面信息的完整性将会影响到各个部门之间的活动和工作, 而在这一过程中, 保持信息数据的完整性是电子政务应用的基础。电子政务活动的信息数据如果在传输过程中出现丢失、重复或者次序差异, 极有可能导致政府机关的政务活动因为各方面信息数据的不完整而出现差错, 因此, 电子政务系统应充分保证信息传输和存储的完整性, 这样才能有效地保证电子政府信息的安全。[2]
二、我国电子政务信息安全工作存在的问题及解决对策
1、存在的问题
与传统的政务方式不同, 电子政务对于信息技术的依赖性非常强, 由于信息网络存在一定的安全风险, 因此, 电子政务信息的安全工作显得尤为重要。但是, 在当前的实际应用中, 由于我国的电子政务信息系统发展时间有限, 其在运行过程中还存在一定的问题, 主要有以下几个方面。
1.1网络攻击危及政务信息安全
随着信息网络技术的不断发展, 信息安全受到的威胁越来越大, 新型的网络攻击手段花样众多并且层出不穷。出于各种各样的目的, 政府的政务信息有时会受到网络黑客等行为的攻击, 使得电子政务信息的安全性受到极大威胁。
1.2政务信息公开的安全保障问题
面对我国政务公开程度的不断加深, 电子政务信息工作的发展趋势正由基础设施建设转向信息资源的开发利用和共享。随着现代信息网络技术的不断发展, 我国的信息化建设在社会中起到的作用越来越大, 信息资源也随之成为了比物质和能源更为宝贵的战略资源。由于政务信息关系国家和民众的切身利益, 信息网络的发展为电子政务信息资源共享提供了广泛的空间, 不同的电子政务系统为达到合作或交易等目的, 必须在运行过程中进行不同程度的信息共享。信息共享性的实践意义在于其增值和再生, 这也就使得电子政务的信息面临着公开化程度提高后的安全保障问题。[3]
1.3政务信息工程外包管理亟待加强
伴随着信息网络技术的不断发展和社会信息化程度的不断深入, 电子政务不断地向业务流程信息化转变。在电子政务信息流转的过程中, 由于信息流转的技术比较复杂、风险大、管理难度高等特点, 电子政务工程不再局限于政府内部完成, 而是越来越多地被外包给专业化的信息网络公司进行。随着信息安全工作专业化和复杂程度的提高, 信息安全外包已经成为一种不可逆转的趋势。但是, 由于我国的政务信息外包制度还不完善, 在现代的电子政务外包工程中, 外包企业的工作人员可以访问政府的重要资源和敏感信息, 甚至可以修改信息内容, 这就容易造成信息的丢失或者破坏, 使得信息的完整性受到威胁。为此, 政务信息工程的外包管理制度亟待完善。
2、解决对策
作为一项新兴的政务办公形式, 虽然电子政务在发展过程中其信息的安全性存在问题。但是我们也要看到积极的方面, 只要我们从以下几个方面做好电子政务信息的安全工作, 电子政务的信息就会处于安全状态之中。
2.1设备和操作系统的安全性保障
为了保障电子政务信息的安全性, 首先要保障电子政务系统硬件设备的安全运行, 包括电子政务系统的环境安全、设备安全和线路安全都应该得到一定的保障。而网络安全的重要基础就是安全的操作系统, 政务信息的操作系统的漏洞或配置不当可能导致整个安全体系的崩溃。因此要通过采用具有自主知识产权且源代码对政府公开的操作系统产品, 并且要定期检查系统漏洞和配置更改情况, 及时发现存在的问题, 确保电子政务系统设备和操作系统的安全性得到保障。[4]
2.2信息的加密
随着电子政务信息的公开化不断加强, 在电子政务信息的安全工作中要注重对重要和敏感信息进行加密。对于涉及到不宜公开的和有密级保护的信息要采取一定的加密措施, 设置查阅权限。
2.3外包管理制度的完善
随着电子政务信息工程外包范围的不断扩大, 在工程的外包过程中要不断完善外包管理制度。在内部的安全保障上除了需要体系化的安全防御策略, 还需要严格的、可操作性强的安全管理制度。在外包政务信息工程时, 要规定外包工作人员的浏览权限, 必要时签署保密协议, 确保电子政务信息安全制度的真正贯彻执行。
三、结论
随着电子政务信息系统应用的不断普及, 我们要不断完善电子政务信息安全保障工作, 确保信息在交流和使用的过程中的安全性和可靠性。电子政务信息的安全工作是一项复杂的系统工程, 需要我们在实践中不断积累经验, 并采取一定的措施对信息的安全进行保障。
参考文献
[1]王志明, 李涛.基于Intenet的电子政务安全解决方案[J].计算机应用研究, 2006 (3) :44-46.
[2]曾华国.网络世界:我们怎样设防——关于我国信息安全的报告[J].嘹望, 1998 (4) :23-25.
[3]姚乐野.关于发展我国电子政务的思考[J].四川大学学报, 2007:102-105.
【信息网安全保障工作】推荐阅读:
信息安全服务保障措施09-14
信息化安全保障体系09-26
电力信息化与信息安全06-08
浙江省食品安全信息网07-16
信息安全团队06-05
信息安全试题06-27
0836信息安全07-24
信息安全策略集06-08
信息安全的论文07-11
信息安全概论下载09-24
