前言:中文期刊網精心挑選了信息安全技術報告范文供你參考和學習,希望我們的參考范文能激發你的文章創作靈感,歡迎閱讀。
信息安全技術報告范文1
1 社區衛生服務中心信息安全背景
20世紀90年代以來,信息技術不斷創新,信息產業持續發展,信息網絡廣泛普及,特別是原衛生部《衛生信息化發展規劃(2011~2015年)》之后,明確了衛生信息化是深化醫藥衛生體制改革的重要內容。那么作為整個衛生信息化體系的“網底”的社區衛生服務中心,其重要性不言而喻。隨著衛生信息化的建設不斷擴展和深入,依托于區域衛生信息中心的各類應用系統不斷上線推廣應用。網絡與數據安全已逐步成為各項衛生信息工作開展的重要基礎依托。因此社區衛生服務中心作為區域衛生信息中心的重要結點。信息安全管理就顯得尤為重要。
2 什么是信息安全管理
“三分技術,七分管理”是信息安全保障工作中經常提到的。可見,信息安全管理是信息安全保障的至關重要的組成部分。信息安全管理(Information Security Management)指組織中為了完成信息安全目標,遵循安全策略,按照規定的程序,運用恰當的方法,而進行的規劃、組織、指導、協調和控制等活動。作為組織完成的管理體系中的一個重要環節,它構成了信息安全具有能動性的部分,是指導和控制組織相互協調完成關于信息安全風險的活動,其對象就是包括人員在內的各類信息相關資產。在社區衛生服務中心由于信息系統應用較為廣泛,基本包含了醫療、護理、醫技、行政等所有科室及其人員。
長期以來,社區衛生服務中心在信息安全建設方面,存在重技術輕管理、重產品功能輕安全管理、缺乏整體性信息安全體系考慮等各方面的問題。區域衛生信息中心采用集中管理的信息安全技術及產品的應用,一定程度上可以來解決社區衛生服務中心在網絡傳輸時的信息安全問題。但是僅僅靠這些產品和技術還不夠,即使采購和使用了足夠先進、足夠多的信息安全產品,仍然無法避免一些信息安全事件的發生。近年來,由于管理不善、操作失誤等原因導致的衛生信息及病患基本信息泄露的安全事件數量不斷攀升,更加劇了社區衛生服務中心需要信息安全管理的迫切性。
3 社區衛生服務中心信息安全管理作用
社區衛生服務中心信息安全管理的作用體現任以下幾個方面。
3.1信息安全管理是社區衛生服務中心組織整體管理的重要的、固有的組織部分,是組織實現中心業務目標的重要保障。在信息時代的今天,信息安全威脅已經成為社區衛生服務中心等醫療機構業務正常運營和持續發展的最大威脅。如在社區衛生服務中心發生的費用結算85%以上通過醫保信息系統來進行,所有的醫生工作站都依托中心服務器來提供數據進行操作,醫技部門也通過信息系統獲取病人信息和傳送結果。一旦信息系統發生故障對于社區衛生服務中心來說是災難性的。因此中心需要信息安全管理,有其必然性。
3.2信息安全管理是信息安全技術的融合劑,是各項技術措施能夠發揮作用的重要保障。安全技術是信息安全控制的重要手段,許多信息系統的安全性保障都要依靠技術手段來實現,但光有安全技術還不行,要讓安全技術發揮應有的作用,必然要有適當的管理程序的支持,否則,安全技術職能趨于僵化和失敗。如果說安全技術是信息安全的構筑材料,那么信息安全管理就是融合劑和催化劑,良好的管理可以變廢為寶,使現有的各項技術相互配合發揮應有的作用,而糟糕的管理會使技術措施變得毫無用處。實現信息安全,技術和產品是基礎,管理才是關鍵。在信息安全保障工作中必須管理與技術并重,進行綜合防范,才能有效保障安全,這也是實現信息安全目標的必由之路
3.3信息安全管理是預防、阻止或減少信息安全事件發生的重要保障。早期人們對于信息安全的認識主要側重在技術措施的開發和利用上,這種技術主導論的思路能夠解決信息安全的一部分問題,但卻解決不了根本,據權威機構統計表明,信息安全問題大約70%以上是由管理方面原因造成的,大多數信息安全事件的發生,與其說是技術上的原因,不如說是管理不善造成的。因此解決信息安全問題、防止發生信息安全事件不應僅從技術方面著手,同時更應加強信息安全的管理工作。
信息安全涉及的范疇非常廣,信息安全不是產品的簡單堆積,也不是一次性的靜態過程,它是人員、技術、操作三者緊密結合的系統工程,是不斷演進、循環發展的動態過程。因此,要求社區衛生服務中心的相關人員正確理解信息安全、理解信息安全管理的關鍵作用,以更好地開展信息安全管理工作。強調信息安全管理的作用,并不是要削弱信息安全技術的作用;開展信息安全管理工作,要處理好管理和技術的關系,要堅持管理與技術并重的原則,這也是信息安全保障工作的主要原則之一。
4 社區衛生服務中心信息安全管理控制措施
在我國對于信息安全等同采用IS0 27002:2005,命名為《信息技術安全技術信息安全管理實用規則》(GB/T 22081-2008)。信息安全是通過實施一組合適的控制措施而達到的,包括策略、過程、規程、組織結構以及軟件和硬件功能。可見對于社區衛生服務中心的信息安全來說,安全控制措施是必要且十分重要的。其中比較重要的如下:
4.1安全方針 社區衛生服務中心的信息安全方針控制目標,是指中心的信息安全方針能夠依據業務的要求和相關法律法規提供管理指導并支持信息安全。社區衛生服務中心信息安全方針文件的內容應包含中心管理者的管理承諾、組織管理信息安全的方法、中心信息安全整體目標和范圍的定義、中心管理者意圖的聲明、控制目標和控制措施的框架、重要安全策略、原則、標準和符合性要求說明、中心信息安全管理的一般和特定職責的定義、支持方針的文件的引用等。
4.2信息安全組織 信息安全組織一般分為內部組織和外部組織。社區衛生服務中心內部組織的信息安全控制目標是指在中心內管理信息安全。組織的安全建立在每一位人員不同責任分工的劃分,不同的責任會有不同的工作指導原則。其中應當包括信息安全的管理承諾、信息安全協調、信息安全職責的分配、信息處理的授權、保密協議、信息安全的獨立評審等。社區衛生服務中心外部組織的信息安全控制目標是保持中心被外部各方訪問、處理、管理或與外部進行通信的信息和信息處理的安全。主要包括中心與系統外單位信息通信相關風險的識別、處理相關的安全問題和處理第三方協議中的安全問題等。
4.3人力資源安全 人員在中心的信息安全管理中是一個最重要的因素,有資料表明,70%的安全問題是來自人員管理的疏漏,為了對人員有一個有效的管理,需要從任用之前、任用中、任用的終止或變更三項控制目標進行管理。
4.3.1任用之前控制是指社區衛生服務中心任用人員之前為了確保人力資源的安全,需考慮到角色是否適合相應崗位,以降低設施被竊、信息泄露和誤用的風險,這一目標的實現需通過角色和職責、審查、任用條款和條件三項控制措施的落實來保障。
4.3.2任用中社區衛生服務中心的信息安全控制目標就是確保所有的員工、承包方人員和第三方人員知悉信息安全威脅和利害關系、他們的職責和義務、并準備好在其正常工作過程中支持組織的安全方針,以減少人為過失的風險。
4.3.3社區衛生服務中心發生任用的終止或變更時,應確保信息的安全不外泄,確保員工、承包方人員和第三方人員以一個規范的方式退出或改變其任用關系。可以通過終止職責、資產的歸還、撤銷訪問權限等控制措施來實現。
4.4物理和環境安全 社區衛生服務中心的物理和環境安全可以從安全區域和設備安全來入手管理。定義安全區域是為了防止對中心場所和信息的未授權物理訪問、損壞和干擾。可以通過設置物理安全邊界、物理入口控制、辦公室房間和設施的安全保護、外部和環境的安全防護、在安全區域工作、公共訪問和交接區安全。設備安全是指防止由于資產丟失、損壞、失竊而危及社區衛生服務中心的資產安全以及信息安全。中心可通過設備安置和保護、支持性設施、布纜安全、設備維護、場所外的設備安全、設備的安全處置和再利用,資產的移動等措施來進行保障。
4.5通信和操作管理 社區衛生服務中心的通信和操作管理一般可從操作規程和職責、第三方服務交付管理、系統規劃和驗收、防范惡意和移動代碼、備份、網絡安全管理、介質處置、信息的交換、電子商務服務、監視等方面入手。
4.6訪問控制 對于社區衛生服務中心來說,訪問控制可從訪問控制的業務要求、用戶訪問管理、用戶職責、網絡訪問控制、操作系統訪問控制、應用和信息訪問控制、移動計算和遠程工作等控制目標來入手。
4.7信息安全事件管理 社區衛生服務中心的信息安全事件管理可以從報告信息安全事態和弱點、信息安全事件和改進的管理兩個控制目標入手進行管理。
4.7.1報告信息安全事態和弱點這項控制目標旨在確保中心與信息系統有關的信息安全事態和弱點能夠以某種方式傳達,以便及時采取糾正措施。該目標下有報告信息安全事態和報告安全弱點這兩項控制措施來保障這一目標的實現。①報告信息安全事態控制措施,是指信息安全事態應該盡可能快地通過適當的管理渠道進行報告。實施過程中應建立正式的信息安全事態報告程序,以及在收到信息安全事態報告后采取措施的事件響應和上報程序。②報告安全弱點控制措施,是指中心應要求信息系統和服務的所有職員、承包方人員和第三方人員記錄并報告他們觀察到的或懷疑的任何系統或服務的安全弱點。報告機制應盡可能容易、易理解和方便可用。應告知他們在任何情況下,都不應試圖去證明被懷疑的弱點。
4.7.2信息安全事件和改進的管理。社區衛生服務中心信息安全事件和改進的管理這一控制目標旨在確保采用一致和有效的方法對信息安全事件進行管理。中心可以用職責和程序的控制措施、對信息安全事件的總結、證據的收集三項控制措施來保障這一目標的實現。①職責和程序的控制措施。它是指中心應當建立管理職責和程序,以確保能對信息安全事件做出快速、有效和有序的響應。該項措施實施時除了對中心的信息安全事態和弱點進行報告外,還應利用對系統、報警和脆弱性的監視來檢測中心信息安全事件。遵循嚴格的信息安全事件管理程序的前提是中心需建立規程以處理不同類型的信息安全事件,如惡意代碼、拒絕服務、信息系統故障和服務丟失、違反保密性和完整性、信息系統誤用等。中心除了考慮正常的應急計劃還要考慮事件原因的分析和確定、遏制事件影響擴大的策略、向合適的機構報告所采取的措施等。②中心對信息安全事件的總結控制措施,是指社區衛生服務中心應有一套機制量化和監視信息安全事件的類型、數量和代價。從信息安全事件評價中獲取的信息應用來識別再發生的事件或高影響的事件。③證據的收集。證據的收集對于社區衛生服務中心來說,是指當中心的一個信息安全事件涉及到訴訟(民事的或刑事的),需要進一步對個人或組織進行起訴時,應收集、保留和呈遞證據,以使證據符合相關訴訟管轄權。過程有:為應對懲罰措施而收集和提交證據,應制定和遵循內部程序,為了獲得被容許的證據,中心應確保其信息系統符合任何公布的標準或實用規則來產生被容許的證據:任何法律取證工作應僅在證據材料的拷貝上進行。
4.8業務連續性管理 對于社區衛生服務中心來說業務連續性管理是指防止中心業務中斷,保證中心重要業務流程不受重大故障與災難的影響。業務連續性管理過程中包含信息安全,該控制措施是指應為貫穿于組織的業務連續性開發和保持一個管理過程。解決中心的業務連續性所需的信息安全要求,保護關鍵業務過程免受信息系統重大失誤或災難的影響,并確保他們的及時恢復。應包含中心的信息安全、業務連續性和風險評估、制定和實施包含信息安全的連續性計劃、業務連續性計劃框架、測試、維護和再評估業務連續性計劃等內容。
5 社區衛生服務機構信息安全的展望
對于社區衛生服務中心來說信息安全保障不僅僅是一門技術學科,信息安全保障應綜合技術、管理和人。在中心的管理上,信息安全保障應考慮建立綜合的信息化的組織管理體系,明晰相應的崗位職責、規章制度并嚴格執行等等。在人員上,應加強所有使用信息系統人員的安全意識和技能,以及中心從事信息系統專業人員的專業技能和能力。社區衛生服務中心的信息安全保障亦不是一種項目性的暫時行為,而是融入信息系統生命周期的全過程的保障。信息安全保障不是一種打補丁,頭疼醫頭、腳疼醫腳的臨時行為,而是一種系統化、體系化的保障過程。信息安全保障的目的不僅僅是保障信息系統本身,信息安全保障的根本目的是通過保障信息系統進而保障運行于信息系統之上的中心業務系統。信息安全保障應以業務為主導、以社區衛生服務中心的使命、社會職責和社會服務性為出發點和落腳點。社區衛生服務中心的信息安全保障不僅僅是孤立的自身的問題,信息安全保障是一個社會化的、需要各方參與的工作。信息安全保障不僅僅是孤立的自身的問題,信息系統需要電信、電力等基礎設施的支持、信息系統需要承擔保密、公共安全、國家安全等社會職責,信息安全保障工作是一個社會化的、需要各方參與的綜合的工作。社區衛生服務中心的信息安全保障是主觀和客觀的結合。沒有絕對的安全,信息安全保障并不提供絕對的安全,信息安全保障是討論風險和策略,討論適度安全。因此,它是一個需要持之以恒和不斷完善與發展的工作。
信息安全技術報告范文2
關鍵詞:中小企業;電子信息;安全技術
1 電子信息安全的內涵
對于買方來說電子信息主要優點是方便快捷、操作起來比較簡單。電子信息對于賣方來說主要優點是管理比較方便并且成本較低,但是電子信息最大的缺點就是買賣雙方不能進行交流,主要是貨幣與貨品的交換,并且交易都是通過網絡進行的,之所以交易能夠順利完成,主要的原因是兩者之間存在著誠信。關于誠信主要有兩個方面的內容:有一種系統軟件在買賣的過程中起到安全保障的作用,能將虛擬的貨幣符號轉化成真實的貨幣,同時也能對交易起到保護作用,其中主要是對貨幣賬戶起到安全保障的作用。要想研究電子信息安全,首先要了解信息的內涵。信息主要是指資料、數據以及知識以不同的形式存在,在中小企業中這類信息主要是指買賣雙方的有關信息和資料,犯罪分子能通過非法的手段對電子信息中的買賣雙方采取詐騙行為,或者是通過網絡對進行入侵和盜竊。信息安全管理標準對信息做出了詳細的定義,信息也是屬于資產,與其他的資產相同,對中小企業的發展有著重要的作用,是需要法律保護的。信息安全管理標準將信息劃分為八個部分,主要包括物理資產、文檔資產、文字資產、服務資產、軟件資產、數據資產以及人力資源資產。
中小企業的電子信息主要是以網絡為載體,網絡的交流主要通過數據的傳輸得以實現,網上交易就是交流過程中的主要內容。所以,在信息安全的范疇中電子信息安全技術就成為了重點問題。關于電子信息安全技術的研究大多是關于技術的,但是對于中小企業來說,不僅要對技術進行改進,也要重視管理層,避免信息出現安全問題。
2 電子信息安全的理論
我國關于電子信息安全的研究,仍然較為落后。在國際中的關于信息安全的主要理論為:三觀安全理論、信息循環理論以及信息安全模型理論。
三觀安全理論。在中小企業的電子信息安全系統中,三觀安全理論主要將其分為三個方面的內容,即微觀、中觀以及宏觀。這個理論主要是將宏觀層面的安全理念轉化成微觀層面的管理理念,進而對服務與生產進行指導。
信息安全模型理論。信息安全模型理論是信息安全管理發展過程中的產物,信息安全模型理論主要是將人、軟件、操作以及信息系統相結合,并且全面的保護網絡信息系統。主要倡導的是一種新的安全觀念,并且提出了不能僅靠程序與軟件對系統信息安全進行保護,要注重動態保護。此外,關于電子信息安全問題不能只依賴于安全技術,也要重視管理層安全理念的創新。
電子信息的循環理論。在實施網絡信息安全的過程中電子信息的循環理論將其劃分為四個方面:計劃、執行、檢查以及改進。這四個方面是一個循環的過程,也是一個周期,在循環的過程中,將這個過程看作是一個整體的信息安全管理體制,而不是將其看成某一管理過程。
3 電子信息安全技術對加強中小企業信息安全的作用
上文所述的三個信息安全理論對中小企業的信息安全管理有著重要的作用,主要有以下幾個方面的內容。第一是信息安全領域的建設,第二是中小型企業中加強建設信息安全組織。美國信息安全研究所首次提出了信息安全領域,信息安全領域主要是指根據信息的不同保密程度創建相應的保密級別,網絡控件的安裝要結合用戶信息的不同安全級別,安全信息的選擇要適合用戶的保密級別。在中小企業中,電子信息與資料的分類系統應該有統一的部門進行管理,然后對信息進行分類,并采取不同程度的加密與保密,這類信息主要包含文檔、電子商務的相關資料以及服務等。將這些信息進行分類、保密、歸檔以及整合,有利于中小企業電子信息的調試。
對于中小企業來說,一直都存在電子信息安全性不夠的問題,這主要同企業內部安全管理不足有關,安全管理的工作缺少專業的管理,很多的小型企業并沒有統一的信息安全管理部門。企業安全管理部門的主要職能包含這幾個方面的內容:同企業人力資源管理部門相互配合共同完成工作內容,要定期的審查一些特殊崗位的員工,一旦發現有違反安全規則的情況,要重新進行審查。同時還要對員工進行保密的培訓;組織各個部門的工作,并對各個部門的工作進行協調,使企業的安全目標以及戰略得以實現;企業的安全管理部門主要是對安全問題的管理、計劃以及決策負責。也是企業的應急部門,要想避免企業信息的泄露,信息安全管理部門就必須加強對信息的管理;多聯系各個地區的信息機構以及信息安全管理部門,這樣能給企業帶來新的信息安全管理觀念以及安全技術;采取信息安全報告制,定期的向管理部門匯報信息安全的保護狀況,對于一些重要的事件要及時的匯報,取得管理層對信息安全管理工作的支持。
在網絡工程發展的同時,電子信息也得到了發展,電子信息在企業的發展中有著重要的作用,企業對其也越發的依賴電子信息。但是這只是一個虛擬的場所,主要通過網絡這個載體來完成交易,因此安全技術問題成為了企業普遍關注的問題。
[參考文獻]
[1]陳光匡,興華.信息系統安全風險評估研究[J].網絡安全技術與應用,2009(7).
[2]向宏,艾鵬,等.電子政務系統安全域的劃分與等級保護[J].重慶工學院學報,2009(2).
信息安全技術報告范文3
(一)采用系統的思想
網絡安全的建設是一個系統工程,它需要對影響信息系統安全的各種因素進行綜合考慮,同時需要對信息系統運行的全過程進行綜合分析,實現預警、防護、恢復等網絡安全的全過程環節的無縫銜接;另一方面要充分考慮技術、管理、人員等影響網絡安全的主要因素,實現技術、管理、人員的協同作戰。
(二)強調風險管理
基于風險管理,體現預防控制為主的思想,強調全過程和動態控制,確保信息的保密性、完整性和可用性,保持系統運作的持續性。
(三)動態的安全管理
公安信息網絡安全模型中的“動態”網絡安全有兩個含義:一是整個網絡的安全目標是動態的,而不再是傳統的、一旦部署完畢就固定不變的,從而支持部分或者全網范圍內安全級別的動態調整;二是達到安全目標的手段、途徑必須能夠根據周邊/內部環境的變化進行動態調整。
二、基于策略的動態安全管理模型的定義
基于上述指導思想,建立基于策略的動態安全管理模型,主要包括四類要素:人員、管理、策略、流程(技術產品)。安全策略確定后,需要根據組織切實的安全需要,以上述定義的安全策略為基礎,將安全周期內各個階段的、反映不同安全需求的防護手段和實施方法以一種利于連動的、協同的方式組織起來,提高系統的安全性。總的指導原則是:第一,防護是基礎,是基本條件,它包含了對系統的靜態保護措施,是保護信息系統必須實現的部分。第二,檢測和預測是手段,是擴展條件,提供對系統的動態監測措施,是保護信息系統須擴展實現的部分。第三,響應是目標,是進行安全控制和緩解入侵威脅的期望結果,反應了系統的安全控制力度,是保護信息系統須優先實現的部分。這些不同的安全技術和產品按照統一的策略集成在一起,保持防護、監測、預警、恢復的動態過程的無縫銜接,并隨著環境的變化而進行適當的調整,這樣就能夠針對系統的薄弱環節有的放矢,有效防范,從而完善信息安全防護系統。
三、基于策略的動態安全管理模型的實施過程
在公安信息安全管理體系的建立、實施和改進的過程中引用PDCA(Plan-Do-Check-Act)模型,按照PDCA模型將信息安全管理體系分解成風險評估、安全設計與執行、安全管理和再評估四個子過程。組織通過持續的執行這些過程而使自身的信息安全水平得到不斷的提高。PDCA模型的主要過程如下:
(一)計劃(Plan)
計劃就是根據組織的業務目標與安全要求,在風險評估的基礎上,建立信息安全框架。包括下面三項主要工作:
1.明確安全目標,制定安全方針根據公安專用網絡信息安全需求及有關法律法規要求,制定信息安全方針、策略,通過風險評估建立控制目標與控制方式,包括公安系統工程必要的過程與持續性計劃。
2.定義信息安全管理的范圍信息安全管理范圍的確定需要重點確定信息安全管理的領域,公安信息安全管理部門需要根據公安系統工程的實際情況,在整個金盾工程規劃中或者各業務部門構架信息安全管理框架。
3.明確管理職責成立相應的安全管理職能部門,明確管理職責,同時要對所有相關人員進行信息安全策略的培訓,對信息安全負有特殊責任的人員要進行特殊的培訓,以使信息安全方針真正植根于所有公安干警的腦海并落實到實際工作中。
(二)實施(Do)
實施過程就是按照所選定的控制目標與方式進行信息安全控制,即安全管理職能部門按照公安信息安全管理策略、程序、規章等規定的要求進行信息安全管理實施。在實施過程中,以公安信息安全管理策略為核心,監測、安全保護措施、風險評估、補救組成一個循環鏈,其中信息安全管理策略是保證整個安全系統能夠動態、自適應運行的核心。
1.選擇安全策略根據公安業務目標、公安信息安全管理目標、公安信息安全管理指導方針選擇或制定信息安全策略。
2.部署安全策略對于高層策略,在此階段,首先應將各種全局的高層策略規范編譯成低級(基本)策略。根據底層的服務或是應用的要求將策略編譯成執行組件可以理解的形式,針對特定類型的策略實施封裝具體實施策略所需的行為,封裝執行策略所必需的實現代碼,這些代碼與底層實現有關。將策略分發并載入到相應的策略實施中,繼而可以對策略對象執行啟用、禁用、卸載等策略操作。
3.執行安全策略(1)監測。對公安信息系統進行安全保護以后并不能完全消除信息安全風險,所以要定期地監控整個信息系統以發現不正常的活動。(2)進行信息安全風險評估。風險評估主要對公安信息安全管理范圍內的數據信息進行鑒定和估價,然后對數據信息面對的各種威脅進行評估,同時對已存在的或規劃的安全管理措施進行鑒定。(3)公安信息安全風險處置。根據風險評估的結果進行相應的風險處置,公安信息安全風險處置措施主要包括降低風險、避免風險、轉嫁風險、接受風險等,使得公安業務可以正常進行,并重新進行風險分析與評估,增加或更改原有的信息安全保護措施。在公安信息系統正常運行時,要定期地對系統進行備份。(4)根據公安信息安全策略調整控制安全措施。由于信息安全是一個動態的系統工程,安全管理職能部門應實時對選擇的管理目標和管理措施加以校驗和調整,以適應變化了的情況,使公安系統數據資源得到有效、經濟、合理的保護。
(三)檢查(Check)
檢查就是根據安全目標、安全標準,審查變化中環境的風險水平,執行內部信息安全管理體系審計,報告安全管理的有效性,在實踐中檢查制定的安全目標是否合適、安全策略和控制手段是否能夠保證安全目標的實現,系統還有哪些漏洞。
(四)改進(Action)
改進就是對信息安全管理體系實行改進,以適應環境的變化。改進內容包括三部分:一是系統的安全目標、安全指導思想、安全管理制度、安全策略。二是安全技術手段的改進。隨著安全技術和安全產品的改進,系統的安全技術手段也要不定期地更換。但更換后的安全技術手段仍然要遵循相應的信息安全策略。三是對人員的改進。安全管理措施和手段改進后,要對民警要進行安全教育與培訓,并根據民警的不同角色為其制定不同的安全職責和年度信息安全計劃,并按照計劃進行工作,年底時要對安全計劃的執行情況進行檢查。
四、結束語
信息安全技術報告范文4
信息與網絡安全是當今計算機研究領域的一個重要研究方向,隨著信息技術的發展,特別是互聯網的迅速普及和廣泛應用,信息安全的地位越來越重要,已經引起各政府、企業部門的高度重視。目前,我國在信息安全技術方面的起點還較低,國內只有少數高等院校開設信息安全技術專業,信息安全技術人才奇缺。特別是在政府機關、國家安全、銀行、金融、證券等部門和領域,對信息安全人才的需求量更是驚人。因此信息安全變得至關重要,信息安全已成為信息科學的熱點課題。因此信息安全技術的專業人才培養在高校計算機專業中的重要性日益凸顯。從市場需求來看,需要大量的熟悉信息安全產品銷售、推廣、安裝、維護與用戶培訓的信息安全人才,也需要從事網絡安全管理、保證企業網絡安全運行的信息安全人才,還需要能夠迅速排除或解決網絡故障的信息安全人才。由此而論,信息安全專業的市場需求是潛力無限的。我院信息安全技術專業自開設以來,就以培養技能型安全技術應用人才為目標,經過專家委員會指導,結合社會市場調研,制定培養計劃和教學計劃,力求讓培養體系達到科學合理。我校作為應用型本科人才的培養基地,在計算機本科各專業中逐漸開設了“信息安全技術”課程,其中有課內實踐環節。早在教育部教高[2001]4號文件中就明確提出“實踐教學對于提高學生的綜合素質、培養學生的創新精神與實踐能力具有特殊作用。”。基于目前的課程設置,對“信息安全技術”課程中實踐教學環節的教學研究和改革任務非常迫切。信息安全技術課程是“軟件工程”專業和“計算機科學與技術”專業分別在大學三年級上學期和下學期開設的專業必修課。課程的目的與任務是使學生了解信息與網絡安全的基本知識,理解現代主流的信息加密與解密方法,掌握當前常用的信息與網絡安全技術。由于信息安全技術是一門實踐性較強的課程,如果僅僅通過書本內容,沒有動手操作,學生是不可能深入地掌握信息安全的常用技術。因此如何合理安排有限的實驗課時,如何編寫合適的實驗項目指導是實踐教學環節中的重要任務。
二、實踐方案設計
在確定軟件工程專業為卓越計劃試點專業后,軟件工程專業的培養計劃進行了較大調整,特別是“信息安全技術”課程結合“卓越工程師”培養目標,減少了理論課時數,而實踐環節從無到有,總學時數減至40,其中實踐環節課時數為8。依據此調整,向卓越班開設的“信息安全技術”課程需要重新組織,而其中新增加的僅8個學時實踐課,如何與理論課結合,創新地進行實踐設計和編寫實驗項目指導,的確需要深入細致的探討和設計。首先,由于課程開設時間短,課時數有限,要想將信息安全技術的全部知識都灌輸給學生,是不可能的任務。教師的第一要務是授之以漁,而不是授之以魚。計算機專業的日新月異是大家面對的常態,今天教會學生某種程序語言,可能過幾年后早已被淘汰。因此在設計實驗方案時,不能過于注重具體的某種軟件環境,而應該關注教給學生設計思路和方法,具體實現和執行可以有多種表現形式。其次,在設計實踐方案時,參考和借鑒了國內外同行們的教學理念,基于教與學是一個雙方互動的過程,在實驗方案的設計中采用了“任務驅動模式”,在實驗項目中安排一些需要學生思考或者課后完成的任務。這也是對學生實踐進行考評的重要依據。在測評學生實踐成績時,不是簡單地看實驗報告或結果,而是注重實驗過程和學生自己查找問題、解決問題的創新能力。第三,實踐教學中要充分發揮學生的主觀能動性。編寫實驗項目時不能只有規定好的步驟和參數,學生簡單地重復實驗指導的內容。這樣的弊端是學生做完后容易遺忘。因此實驗項目的編寫要有創新性,不再是從實驗數據到實驗結果都與老師做的一模一樣的“死的實驗”,而是每個學生可能有不同答案的實驗。由于結果是未知的,學生更能興致盎然地投入其中。在實驗中還可以安排一些學生可能感興趣的選做內容,以便自己去研究探索。
三、實驗項目實現
在新的指導思想下,創新地設計了六個實驗項目,包含了必做實驗和選做實驗,學生可以根據自己的興趣方向和實踐能力選擇完成4個實驗項目。實驗項目具體內容在新編寫的實驗指導書中描述,下表是新建實驗項目簡介。由于課程的理論基礎是不變的,在理論課時中已介紹了目前常用的加密和解密方法,體現在實驗中分別是古典加密算法實驗和現代加密算法實驗。在古典加密算法實驗中選取了相對較易編程實現的凱撒密碼,給出了加密和解密公式,并且有關鍵實現語句的提示,這樣學生在編程實現時比較容易完成。在思考任務中,要求學生擴展思路,改變密鑰關鍵值,從而得出不一樣的密文,使得算法更具有擴充性。學生可以用不同的流程圖和編程語言,只要有正確的算法思想,無論什么樣的軟件開發環境,都可以加以實現,也體現出了更具個體化的教學特點。現代加密算法實驗由于算法復雜,加密過程龐大,學生較難獨立編程完成,因此在授課時采取了簡化的DES算法(Simple-DES)講解和作業,講清算法原理,在加密步驟中用S-DES讓學生完成作業。實驗項目中選取了非對稱加密體制的RSA算法,學生只要掌握了加密原理,可以采用較簡單的可分解小素數來編程實現加密和解密過程。在實驗中還增加了讓學生自行查找如何判斷大素數的算法任務,學生可能會找到不同的檢驗算法,這也是實踐成績評價的重要組成部分。“信息安全技術”課程內容廣泛,既涵蓋基礎密碼理論,還有當前與每個人息息相關的計算機安全。這部分內容又包含著計算機系統安全、網絡安全、軟件安全、Web安全等等豐富的內涵,在有限的課時內不可能全部講深講透。因此在介紹理論知識之后,實踐內容中安排了系統安全實驗和Web安全實驗,這2部分內容可以讓學生根據每個人對計算機操作系統和軟件的熟悉程度,自行選做部分實驗,體現出因材施教的特點。隨著計算機網絡和網上購物的普及,網絡安全問題被越來越多地重視。因此在設計實踐方案時,將網絡安全實驗和網上支付作為必做實驗,幫助學生了解常用的網絡服務工具,掌握基本的網絡安全技能,培養課后對網絡安全的重視和研究。現在基本上學生都有接觸網絡的條件,但是很多人還沒有建立網絡安全的意識,在上網時面臨著巨大的風險。實驗項目中選擇常見網絡問題,常用網絡工具,來幫助學生掌握網絡安全基礎知識。在實踐教學中我們欣喜地看到,學生的潛力是無窮的,當他們喜歡鉆研某件事,某個問題時,不需要老師太多的幫助,學生會廢寢忘食地研究,激發出巨大的潛能。在以往的教學和實踐中,我們已經看到了這樣的成果。這也是在“信息安全技術”實踐教學中探索的重要課題。教育的目的是通過教學的過程去喚醒受教育者的內力,而不是灌輸無盡的知識。只有當學生主動地“我想要知道它”時,而不是老師主動地“我要你知道它”時,才是回歸教育的本源。
四、結束語
信息安全技術報告范文5
關鍵詞:政府門戶網站;信息安全;保障;體系
政府門戶網站建設在帶來高效率和便利的同時,也帶來了威脅、風險和責任。目前在全球范圍內,計算機病毒、各種有害信息、系統安全漏洞和網絡違法犯罪等政府網站信息安全問題日漸突出,不僅制約了信息化的持續、健康發展,也給國家的經濟建設和人們的社會生活帶來了許多負面影響。如何保障政府門戶網站信息安全,已經成為世界各國政府主管部門、企業界和廣大用戶共同面臨的一個嚴峻挑戰。
一、制定網站信息安全技術保障的總體規劃
構建政府門戶網站信息安全技術保障體系,首先需要有關部門和單位對信息安全問題高度重視,并制定網站信息安全技術保障的總體規劃,防范信息安全風險。主要應做好以下幾個方面的工作:一是要加強政府門戶網站的總體規劃和統一建設,避免多頭建設和重復建設,保證網絡整體性,避免網絡架構缺陷引起的安全問題。二是統一信息安全技術標準與規范,各級政府門戶網站信息安全建設都應按照這個標準和規范進行實施,以確保信息整體安全。三是加強信息資源安全等級標準的規劃和建設,明確不同信息的服務對象和公開范圍。既要避免出現保密過度,限制政務信息化應用的推廣和發展的情況,又要避免保密不夠,造成電子政務信息泄密情況的發生。在確保信息安全的基礎上,最大限度地保證信息共享。四是在信息安全方面,既要考慮省、市級政府的信息服務對象著重于政府部門和相關的領導等的特點,又要考慮到縣、區級政府及相關部門的信息服務對象著重于群眾或居民的特點。
二、積極應用各種安全技術產品
目前,在市場上比較流行,而又能夠代表未來發展方向的安全產品大致有以下幾類:
1.防火墻。防火墻在某種意義上可以說是一種訪問控制產品。它在內部網絡與不安全的外部網絡之間設置障礙,阻止外界對內部資源的非法訪問,防止內部對外部的不安全訪問。主要技術有:包過濾技術,應用網關技術,服務技術。防火墻能較為有效地防止黑客利用不安全的服務對內部網絡的攻擊,并且能夠實現數據流的監控、過濾、記錄和報告功能,較好地隔斷內部網絡與外部網絡的連接。但其本身可能存在安全問題,也可能會是一個潛在的瓶頸。
2.入侵檢測系統。入侵檢測的軟件與硬件的組合便是入侵檢測系統。入侵檢測技術作為防火墻的合理補充,是主動保護自己免受攻擊的一種網絡安全技術。即通過對計算機網絡或計算機系統中的若干關鍵點收集的信息進行分析,從中發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象。與其他安全產品不同,入侵檢測系統需要更多的智能,它可以將得到的數據進行分析,并得出有用的結果。
3.近年來,門戶網站防篡改系統也出現了不少,可使系統修改檢測時間縮小到毫秒級,而且,由于采用的事件觸發技術,系統監測基本不額外占占用系統資源。目前市場上主流的網頁防篡改技術主要包括如下幾項技術:(1)外掛掃描技術。外掛掃描技術是采用從外部逐個掃描網頁文件的方式來判斷對網頁的非法修改,采用這種技術一般會有一定的時間間隔,而且網站文件越多,時間間隔越長,不能保證被黑客修改的網頁不被訪問者看到。(2)核心內嵌技術。采用核心內嵌技術的防篡改系統,其篡改檢測模塊運行于Web服務器軟件內部,與Web服務器無縫結合。每次Web服務器對外發送網頁時,系統都進行網頁防篡改檢測,從而能夠實時地確保每個網頁的真實性。(3)事件觸發技術。事件觸發技術是把系統的篡改檢測模塊嵌入到操作系統內核,因此所有的文件非法變更事件都會被事件觸發器無延遲的獲取,該機制完全區別于掃描技術和核心內嵌技術,不需要與備份庫對比分析的繁瑣過程,因此可以做到監控的實時性和系統資源低占用率。是當前比較先進的一種防篡改檢測技術。(4)CDN技術。CDN即內容分發,主服務器針對不同地區、不同電信運營商,將瀏覽內容鏡像到多個服務器上,如果一個服務器受到攻擊,則由其它鏡像來接管,網友可從最近的節點上獲取數據。
三、建立基于公眾應用需求的容災級別和容災系統
各種自然災害和突發事件都有可能導致各網站信息系統的癱瘓造成災難性后果。根據公眾對系統需求的緊急程度、應急恒復時間來劃分,容災備份通常分為以下三種級別。
1.最高級別容災系統。建立異地鏡像系統,即同時對系統軟、硬件進行備份,并且系統的數據實現遠程類實時備份。該級別的容災系統可確保原系統在完全崩潰的情況下,系統能夠立刻替代原系統響應服務。
2.一般級別容災系統。對動態系統數據進行定期完整備份和增量備份,并同時進行異地備份處理。網站系統服務平臺確保在指定的時間內搭建完成,然后提供與原系統基本相同的系統服務(與系統實時數據差別主要由增量備份的時間間隔決定,每次增量備份間時間間隔越短,備份數據與實時數據差別越小)。
信息安全技術報告范文6
2007年11月27日,普華永道了第五次年度全球信息安全狀況調查。報告顯示: 經過幾年的發展,全球信息安全問題得到了空前的重視,每花費1美元的信息化投資,就有15美分用于安全。但問題依然不少,企業雖然通過聘用專業安全人員、規范管理流程和使用技術手段來應對信息安全的問題,可是對于如何解決問題仍一籌莫展,中國在常見的有關隱私安全與信息安全的大多數方面均處于滯后狀態。同時,報告提醒,2008年,全球CIO/CSO應該關注的領域有了一些新的變化。
調查顯示,企業比以前更清楚地看到信息安全問題是因為企業采用了一些新的工具和方法。例如:
添加方法: 三年前,僅37%的公司制定了整體安全策略,2007年則是57%。另外,每五家公司中有近四家至少會定期開展企業風險評估;
部署技術: 十個人有九個說自己在用防火墻,監視用戶并依賴入侵檢測設施,大公司(收入超過10億元)的這一比例高達98%。采用了加密技術的比例空前高,達到72%,而2006年這一數字為48%;
雇傭人員: 首席信息安全官(CISO)的人數不斷升高,每個公司信息安全人員最多可達100人。
企業正在經歷從對計算機安全漏洞的一無所知到了解后的惶恐不安。但了解安全狀況并不等于進步,擁有了安全技術也并不意味著安全。企業必須變得更成熟。
2008全球信息
安全形勢
將發生新變化
未來的信息安全威脅會有以下的轉變:
內部威脅逐漸展露: 2007年企業內部“員工”首次超過“黑客”成為造成安全事故的主要原因,內部員工所造成的安全危險成為信息安全事件的重要組成部分。
安全攻擊手段變得更加復雜: 隨著企業安全措施的不斷進步,安全攻擊也變得越來越復雜。跡象顯示如今電子郵件病毒已經沒有2005年時那么流行,但是系統有效用戶身份的濫用、社會工程學、網絡釣魚攻擊以及對于已知應用系統弱點的攻擊會變得更頻繁。
保護數據隱私將會得到進一步關注: 盡管在保護數據隱私方面取得了一些進展,但步伐不夠快: 到2007年,22%的企業設立了首席隱私官; 56%的企業沒有定期檢查隱私政策是否持續執行; 61%的傳輸數據經過加密,但在更多領域,像數據庫、共享文件、筆記本電腦和可移動媒體里的數據沒有加密,成為數據泄露事故的源頭。
開始關注合作伙伴的安全: 許多企業沒有意識到,即使數據是由第三方運行和儲存,他們仍然有責任保護數據: 76%的企業沒有保留其客戶數據的記錄; 少于一半(41%)的企業要求第三方(包括外包服務商)遵循隱私政策; 42%的企業針對外部合作伙伴、客戶、供應商及服務商建立了安全基本線; 65%的安全政策沒有明確設定讓合作伙伴和供應商遵循的方法。
2008中國CSO
需關注的領域
中國企業同樣面對以上的各項挑戰,在以下的領域需要尤其關注:
數據隱私: 在許多數據隱私保護的領域中國都相對落后,超過一半(59%)的企業都不給員工提供關于隱私政策的培訓; 大多數企業(69%)沒對網絡交易進行安全管理。
信息安全保障: 綜合人文、流程、技術等因素,中國在信息安全保障方面仍然較為滯后: 只有31%的中國受調查對象建立了定期的威脅和弱點評估; 72%的中國企業承認他們沒有知識產權保護策略和流程; 70%的中國企業承認他們沒有業務持續/災難恢復計劃和流程。
安全事故的影響: 中國企業需要關注安全事故對企業帶來的影響,因為不夠成熟的信息安全保障措施已經影響到商業運作,包括財務損失(23%)以及知識產權被盜取(18%)等問題。
信息安全架構: 中國企業雖然雇傭了許多全職人員投入信息安全。但是,74%的公司指出他們的組織沒有首席信息安全官,而59%的中國公司沒有總體信息安全戰略(調查總平均值為43%)。
知識產權: 只有28%的中國公司有知識產權的政策。
對中國CSO的三大建議
企業普遍把信息安全看成為一個技術問題。既然主要的投入是在技術方面,那回報也主要來自技術: 工具會告訴你在發生的事情,并阻擋最低級的攻擊。但技術一般比較被動,僅限于當一些預定的規則一旦被違反,就會發出警報和事后對異常情況報告。猶如博物館窗戶上的玻璃破碎傳感器,對于警告有人破窗方面特別有效,但對油畫如何被盜以及為何被盜,傳感器不會也不能做任何解釋,更不會幫助預防下次窗戶被打碎或下一次油畫被盜。
當安全人員看到了問題時,往往并未發現所有的問題。企業會發現錢花錯了地方,還會發現好的員工帶著良好的愿望把工作帶回家,因為不慎丟失筆記本電腦,或將數據放入其家庭電腦時,會發生安全隱患。這種例子枚不盛舉。
信息安全已經不再是一個純技術問題,要從根本上解決,企業必須制定戰略計劃。安全投資必須從重技術轉向重情報,要樹立風險分析和防范思想。安全管理人員必須同時考慮三個相關的領域: 管理流程、人員和技術。只有這樣,企業才會走出被動局面。
對戰略及管理流程的建議
制定總體信息安全戰略,使信息安全在企業里有明確的定位;
制定業務持續及災難恢復戰略和計劃,減低一旦發生安全問題對企業所可能造成的影響;
制定配置架構的標準和流程;
制定致力于知識產權和信息保護的政策和流程;
執行定期的穿透測試、威脅和弱點評估及風險評估。
對人員設置的建議
設立首席信息安全官(Chief Information Security Officer / Chief Security Officer)和首席信息隱私官(Chief Privacy Officer)崗位,并由有適當經驗的人員擔任;
聘請富經驗的信息安全顧問協助企業制定安全策略和處理信息安全問題。
對信息安全技術的建議
使用適當的安全技術,如遠程登錄技術和VPN技術來加強對系統和數據的訪問控制;
