導(dǎo)語：如何才能寫好一篇網(wǎng)絡(luò)安全保障應(yīng)急預(yù)案，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞:網(wǎng)絡(luò)安全;人力資源;維護;管理;社會保障;應(yīng)用

隨著計算機信息化的迅猛發(fā)展，我國人力資源和社會保障網(wǎng)絡(luò)系統(tǒng)已經(jīng)實現(xiàn)了全覆蓋，范圍非常廣，而且涉及的人數(shù)非常多，關(guān)系到每一位參保人的切身利益，因此，如果該信息系統(tǒng)遭到網(wǎng)絡(luò)黑客的攻擊，一定會造成非常嚴重的后果，所以，健全網(wǎng)絡(luò)系統(tǒng)安全至關(guān)重要。網(wǎng)絡(luò)安全隱患大多集中在操作系統(tǒng)以及數(shù)據(jù)庫等方面，人力資源與社會保障信息系統(tǒng)最關(guān)鍵的就是信息的安全，容易遭到他們惡意的竊取、篡改和破壞。故而，要從多各方面加強對該系統(tǒng)的網(wǎng)絡(luò)安全的技術(shù)、維護和管理。

1網(wǎng)絡(luò)安全相關(guān)的技術(shù)綜述

1.1防火墻技術(shù)

防火墻技術(shù)是GilShwed發(fā)明并引至互連網(wǎng)當(dāng)中的，它是在內(nèi)網(wǎng)與外網(wǎng)中間的一個安全系統(tǒng)。防火墻根據(jù)內(nèi)網(wǎng)用戶的規(guī)則允許或是限制網(wǎng)絡(luò)數(shù)據(jù)的傳輸。這一技術(shù)從發(fā)明至今已經(jīng)歷4個階段，從開始依靠路由器的防火墻發(fā)展到如今有安全操作系統(tǒng)的防火墻。它使得內(nèi)外網(wǎng)絡(luò)的信息溝通都要通過防火墻，且符合一定規(guī)則的數(shù)據(jù)方可通過，而且它本身具備很強的攻擊免疫力，故而這一技術(shù)可有效避免黑客的攻擊，確保網(wǎng)絡(luò)的安全。

1.2網(wǎng)關(guān)檢測技術(shù)

防火墻的發(fā)明有效阻止了大多數(shù)的網(wǎng)絡(luò)攻擊，然而伴隨網(wǎng)絡(luò)技術(shù)的快速發(fā)展，新攻擊手段層出不窮，僅靠防火墻已不能很全面的確保網(wǎng)絡(luò)的安全。現(xiàn)在有不少攻擊，會把數(shù)據(jù)偽裝為合法數(shù)據(jù)流從而越過防火墻，這種情況下網(wǎng)關(guān)檢測技術(shù)被發(fā)明出來。這一技術(shù)借助分析輸入及輸出數(shù)據(jù)去識別異常的數(shù)據(jù)并實施隔離、刪除等措施。

1.3VPN技術(shù)

所謂VPN又可叫做虛擬專用網(wǎng)絡(luò)，它可以在公用的網(wǎng)絡(luò)上面建立屬于自己的網(wǎng)絡(luò)，大多借助密碼技術(shù)的網(wǎng)絡(luò)設(shè)備，這些是虛擬網(wǎng)絡(luò)所專用的設(shè)備，這項VPN技術(shù)能夠為各個用戶建立虛擬的安全網(wǎng)絡(luò)通道，使得攻擊者無法竊取到公共傳輸信息，保障在網(wǎng)絡(luò)傳輸中數(shù)據(jù)的安全。

1.4加密和認證技術(shù)

前述提到的防火墻、網(wǎng)關(guān)檢測和VPN均是被動型的網(wǎng)絡(luò)安全技術(shù)，而加密和認證技術(shù)是通過密碼技術(shù)對網(wǎng)絡(luò)安全實施的主動型安全措施，包含有數(shù)據(jù)保密與身份認證等方面的技術(shù)。如今伴隨網(wǎng)絡(luò)技術(shù)的進步，同時考慮人力資源和社會保障信息的特殊性，人員信息一定要確定為個人的身份證方可通過審核，在社會保障卡使用的時候還一定要簽名，部分地區(qū)還運用數(shù)字簽名技術(shù)以確保相關(guān)信息的安全。

1.5訪問控制技術(shù)

這一控制主要通過人力資源和社會保障數(shù)據(jù)中心的防火墻去設(shè)定，還采用有加密及認證的技術(shù)。其將外網(wǎng)內(nèi)的訪問組全部認定成訪問者，且僅允許有限的訪問社保信息里的SSN區(qū)，這主要是對社保信息的查詢，同時拒絕其余所有外來的訪問。而對內(nèi)網(wǎng)用戶常常設(shè)置成user，按照不同的權(quán)限等級去訪問與之對應(yīng)的SSN區(qū)，并設(shè)定僅administer能夠?qū)?shù)據(jù)的訪問不限制。

2人力資源與社會保障系統(tǒng)網(wǎng)絡(luò)安全的有效措施

2.1對系統(tǒng)訪問進行有效控制

在網(wǎng)絡(luò)接入方面，人力資源與社會保障系統(tǒng)只能在同一部的終端設(shè)備上才能將其接入，并要求必須具有一定的訪問權(quán)限。同時，對于這些終端必須進行查證和安全檢查，尤其對于不合格的終端要進行及時的修復(fù)和升級處理，在認證合格后才能將其接入網(wǎng)絡(luò)。另外，對于操作終端的人員要進行身份的驗證和限制其訪問，要想進行訪問，必須具有訪問許可，才能進行訪問。支持賬號、MAC和第三方認證，對訪問終端進行嚴格控制后，有效的保證了訪問的安全性。

2.2對用戶行為進行有效管理

對數(shù)據(jù)的行為進行有效管理，能夠保證數(shù)據(jù)的安全。尤其是對于基層接入較為分散的終端來說，更需要采用一些較為有效的安全措施，才能有效防止用戶的非法操作。針對終端分散的特點，采用支持遠程的管理功能，管理員具有遠程控制和監(jiān)控的權(quán)限，為運營管理提供方便。對一些文件類型進行有效操作，將日志進行上傳，以保證數(shù)據(jù)安全，不被篡改。另外，管理人員要具有統(tǒng)一軟件的能力，靈活處置終端軟件，及時對現(xiàn)有軟件進行升級管理。同時，管理人員能夠?qū)⒔K端文件進行遠程備份，尤其是對核心機密文件能夠進行有效備份，以防止意外損壞的發(fā)生。

2.3終端的安全檢查措施

因為基層的終端設(shè)備常常遭受病毒、黑客和木馬等的侵犯，安全形勢非常嚴峻，故而就要嚴格對接入終端予以安全檢查，必須檢查合格以后的終端方能夠接進系統(tǒng)。在檢查的時候，重點檢查終端設(shè)備中的病毒軟件安裝和更新等有關(guān)情況，以防控病毒對基層終端造成的威脅;檢查終端互聯(lián)網(wǎng)內(nèi)的操作系統(tǒng)、瀏覽器和辦公軟件等，以保證其可以及時更新并安裝漏洞補丁，對系統(tǒng)和應(yīng)用程序可能遭到的木馬與病毒攻擊予以防范，借助補丁的更新有效消除系統(tǒng)的安全隱患;檢查終端的密碼以及賬號，對有保護的終端，應(yīng)對其屏保的啟動時間予以重點檢查，且對指定范圍里尚未登記的賬戶予以確認，以給閑置賬戶管理提供明顯的便利;檢查終端軟件的信息,目的是有效防范風(fēng)險，終端一經(jīng)安裝違規(guī)的軟件,就會立刻限制其接進網(wǎng)絡(luò)。通過終端安檢，能夠及時排查終端存在的安全隱患,并將其及時消除,以保證基層終端的安全性。

2.4對遠程進行集中管理

基層終端部署相對分散，工作人員在日常處理的時候較為困難，所以，需要對終端管理要加強其安全管控的能力。所以，對于終端管理軟件來說，需要具備防御卸載，能夠強制升級，能夠?qū)λ械慕K端設(shè)備進行安全策略下的下發(fā)和調(diào)整的功能，為了防止被惡意的破解和攔截，終端設(shè)備和服務(wù)器端的通信和管理界面的訪問需要支持數(shù)據(jù)的加密傳輸功能，這樣才能有效避免惡意的攔截和破解。

3有效維護和管理人力資源與社會保障系統(tǒng)

3.1完善系統(tǒng)運行環(huán)境，能夠?qū)浖到y(tǒng)及時進行更新

做好硬件設(shè)備設(shè)施的運營維護工作，發(fā)現(xiàn)故障隱患，能夠及時整改，保證設(shè)備的正常運行。另外，對于計算機操作人員來說，要完善上崗培訓(xùn)以及崗中培訓(xùn)工作，能夠第一時間處理計算機運行過程中所出現(xiàn)的異常情況。能夠做好軟件維護以及相關(guān)備份工作。同時，在設(shè)備具體的工作過程中，要建立工作日記制度，能夠?qū)υO(shè)備所出現(xiàn)的故障和維護情況進行詳細的登記、備案，對機房和操作臺進行有效檢查，保證機器的正常運行，確保人力資源和設(shè)備保障系統(tǒng)在系統(tǒng)配置、技術(shù)參數(shù)以及管理維護、數(shù)據(jù)庫性能等方面都能夠達到最優(yōu)狀態(tài)。

3.2完善數(shù)據(jù)庫管理

掌握好ORACLE數(shù)據(jù)庫的相關(guān)結(jié)構(gòu)，安裝數(shù)據(jù)庫管理系統(tǒng)并及時予以升級，根據(jù)要求對數(shù)據(jù)庫予以啟動、關(guān)閉，努力完善管理及對數(shù)據(jù)庫用戶的監(jiān)控措施，科學(xué)的管理數(shù)據(jù)庫的特權(quán)以及存儲空間，依據(jù)有關(guān)要求建立、備份及恢復(fù)數(shù)據(jù)庫。

3.3完善網(wǎng)絡(luò)管理

不斷強化對網(wǎng)絡(luò)的安全管理，完善、健全安全管理的制度，應(yīng)嚴格遵循安全制度進行有關(guān)操作。內(nèi)部網(wǎng)絡(luò)僅能用來處理和工作相關(guān)的事宜，嚴禁進行和工作無關(guān)的事。為有效保障網(wǎng)絡(luò)的安全運行，要強化日常的維護，定期對軟硬件予以檢測、升級及維護，及時對系統(tǒng)予以更新。對特殊機械的運用要有完整記錄，以最大程度保障網(wǎng)絡(luò)安全。

4結(jié)語

綜上，人力資源和社會保障信息網(wǎng)絡(luò)系統(tǒng)作為為公眾提供服務(wù)的平臺，更要關(guān)注系統(tǒng)的安全管理工作，所以，要做好該系統(tǒng)的安全維護工作，才能夠保障為公眾提供高效、準確、及時、優(yōu)質(zhì)的服務(wù)。

作者:郭凱 單位:遼寧省錦州市人力資源和社會保障信息中心

參考文獻：

[1]胡道元，閔京華.網(wǎng)絡(luò)安全[M].北京：清華大學(xué)出版社，2004.

[2]葉代亮.內(nèi)網(wǎng)的安全管理[J].計算機安全，2005.

[3]許蘭川.構(gòu)建辦公信息網(wǎng)絡(luò)安全防護體系[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2005.

[4]周銀珍，魯耀斌.區(qū)域人力資源管理的系統(tǒng)研究理念[J].經(jīng)濟地理，2008.

篇2

按照文件要求，市委網(wǎng)信辦對照工作職責(zé)，認真排查梳理了我市網(wǎng)絡(luò)安全風(fēng)險點，逐項建立完善工作機制，現(xiàn)匯報如下：

1.網(wǎng)絡(luò)安全風(fēng)險研判工作：制定了《網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》，明確了由于人為原因、軟硬件缺陷或故障、自然災(zāi)害等對網(wǎng)絡(luò)和信息系統(tǒng)或其數(shù)據(jù)造成危害引發(fā)負面影響的事件的分析和處理。

2.網(wǎng)絡(luò)安全風(fēng)險決策評估機制：成立了網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組，對全市網(wǎng)絡(luò)安全工作統(tǒng)籌指揮。制定了《網(wǎng)絡(luò)安全和信息化委員會工作規(guī)則》，明確網(wǎng)絡(luò)安全工作職責(zé)和工作制度。

3.網(wǎng)絡(luò)安全風(fēng)險防控協(xié)同機制：組建了網(wǎng)絡(luò)安全專家小組，努力應(yīng)對新形勢下網(wǎng)絡(luò)安全錯綜復(fù)雜的局面，提高網(wǎng)絡(luò)安全保障水平。實施網(wǎng)絡(luò)安全事件應(yīng)急處置聯(lián)席會制度，對全市網(wǎng)絡(luò)安全事件的進行預(yù)防和應(yīng)急處理。

4. 網(wǎng)絡(luò)安全風(fēng)險防控責(zé)任機制：下發(fā)了《貫徹落實<黨委（黨組）網(wǎng)絡(luò)安全工作責(zé)任制實施辦法>責(zé)任分工方案》，明確責(zé)任主體和責(zé)任分工，提高網(wǎng)絡(luò)風(fēng)險防范防控意識和能力。

篇3

規(guī)范網(wǎng)絡(luò)秩序，營造良好輿論環(huán)境

規(guī)范網(wǎng)絡(luò)秩序，營造良好輿論環(huán)境，是治國理政、定國安邦的大事。指出：“網(wǎng)絡(luò)空間是億萬民眾共同的精神家園。網(wǎng)絡(luò)空間天朗氣清、生態(tài)良好，符合人民利益。網(wǎng)絡(luò)空間烏煙瘴氣、生態(tài)惡化，不符合人民利益?！钡闹v話，指出了當(dāng)前網(wǎng)絡(luò)空間存在的問題和亟待改善的現(xiàn)象，蘊含著對廣大網(wǎng)民的期待。網(wǎng)絡(luò)不是法外之地，同樣需要建立良好的秩序。我們要一手抓正能量傳播，一手抓網(wǎng)絡(luò)生態(tài)治理，大力培育積極健康、向上向善的網(wǎng)絡(luò)空間文化，為廣大網(wǎng)民特別是青少年朋友營造一個風(fēng)清氣正的網(wǎng)絡(luò)生態(tài)環(huán)境。

建設(shè)網(wǎng)絡(luò)城市，讓人民群眾有更多獲得感

近年來，國家對互聯(lián)網(wǎng)的重視程度前所未有，“互聯(lián)網(wǎng)+”、中國制造2025、創(chuàng)新創(chuàng)業(yè)、大數(shù)據(jù)等系列重大政策密集出臺。全面落實國家戰(zhàn)略，促進互聯(lián)網(wǎng)向更高目標、更深層次發(fā)展，是我們共同的使命和任務(wù)。我們要全面落實“寬帶中國”戰(zhàn)略，大力實施“提速降費”行動，創(chuàng)建“全光網(wǎng)”城市，實現(xiàn)全市所有區(qū)縣光纖網(wǎng)絡(luò)全覆蓋，不斷提升100M光纖接入能力覆蓋城市家庭比例，提升4G網(wǎng)絡(luò)服務(wù)能力，率先引入5G網(wǎng)絡(luò)部署，推進IPv6在LTE網(wǎng)絡(luò)中的部署應(yīng)用。推動區(qū)域通信網(wǎng)絡(luò)資費改革，鼓勵民營企業(yè)參與寬帶建設(shè)運營，促進良性競爭，提升寬帶性價比，加強電信資費公示和監(jiān)測，進一步完善流量跨月不清零、流量轉(zhuǎn)增等服務(wù)，讓用戶享受更多優(yōu)惠，讓人民群眾有更多獲得感。

堅持多措并舉，強化網(wǎng)絡(luò)安全體系化建設(shè)

篇4

本報訊 7月4日，2013年中國計算機網(wǎng)絡(luò)安全年會在內(nèi)蒙古呼和浩特市召開，工業(yè)和信息化部總工程師張峰出席會議并致辭。

張峰指出，我國互聯(lián)網(wǎng)持續(xù)快速發(fā)展，融入到經(jīng)濟社會的方方面面，成為推動國民經(jīng)濟和社會發(fā)展、改變?nèi)嗣袢罕娚罘绞降年P(guān)鍵行業(yè)和重要領(lǐng)域，同時我國網(wǎng)絡(luò)安全的現(xiàn)狀不容樂觀。一是在公共互聯(lián)網(wǎng)環(huán)境方面，黑客攻擊的趨利性特征日益明顯，不法分子以通信網(wǎng)絡(luò)、信息系統(tǒng)以及用戶信息和財產(chǎn)為目標，利用黑客技術(shù)發(fā)起網(wǎng)絡(luò)攻擊牟取非法利益，逐步形成組織嚴密、分工明確的互聯(lián)網(wǎng)地下產(chǎn)業(yè)。二是移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、云計算、微博客等新技術(shù)新業(yè)務(wù)不斷涌現(xiàn)，在帶來新的經(jīng)濟增長點的同時，也帶來更加復(fù)雜的網(wǎng)絡(luò)安全問題。三是隨著信息技術(shù)在鐵路、銀行、電力等重要行業(yè)的廣泛應(yīng)用，以及核設(shè)施、航空航天、先進制造等重要領(lǐng)域工業(yè)化與信息化深度融合，這些行業(yè)或領(lǐng)域的系統(tǒng)數(shù)據(jù)和運行安全也面臨著嚴重威脅。

張峰簡要回顧了近年來工業(yè)和信息化部在維護網(wǎng)絡(luò)安全方面開展的工作，并對信息通信行業(yè)進一步做好網(wǎng)絡(luò)安全工作提出五點要求。一是加強網(wǎng)絡(luò)安全工作聯(lián)動，深化跨部門跨行業(yè)協(xié)調(diào)配合，完善部門之間、政企之間的聯(lián)動機制，真正建立起運轉(zhuǎn)靈活、反應(yīng)迅速的工作機制和流程。二是要求基礎(chǔ)電信企業(yè)和廣大互聯(lián)網(wǎng)企業(yè)認真開展安全評測和風(fēng)險評估，不斷完善網(wǎng)絡(luò)安全應(yīng)急預(yù)案，加強應(yīng)急演練，加強對移動互聯(lián)網(wǎng)應(yīng)用商店、增值電信業(yè)務(wù)經(jīng)營者的網(wǎng)絡(luò)安全管理，繼續(xù)開展針對各類安全威脅的清理和處置，凈化公共互聯(lián)網(wǎng)網(wǎng)絡(luò)環(huán)境。三是加大科研投入，提高應(yīng)對網(wǎng)絡(luò)安全新風(fēng)險的能力，加大對網(wǎng)絡(luò)安全防御體系的研究，形成網(wǎng)絡(luò)空間威脅監(jiān)測、全局感知、預(yù)警防護、應(yīng)急處置、協(xié)同聯(lián)動等核心能力，提升國家網(wǎng)絡(luò)空間安全保障的技術(shù)能力。四是加強網(wǎng)絡(luò)安全國際交流與合作，增進與其他國家間維護網(wǎng)絡(luò)安全的戰(zhàn)略互信，擴大網(wǎng)絡(luò)安全領(lǐng)域的互利合作，拓展互聯(lián)網(wǎng)治理的交流協(xié)作機制，建立政府、研究機構(gòu)、行業(yè)組織以及企業(yè)之間多層次、多渠道的交流機制，共同維護全球網(wǎng)絡(luò)空間安全。五是希望相關(guān)企業(yè)、安全廠商和社會組織等共同努力，加強網(wǎng)絡(luò)安全宣傳教育，促進全社會網(wǎng)絡(luò)安全防范意識與知識水平提高。（周壽英）

篇5

關(guān)鍵詞：證券行業(yè)信息安全網(wǎng)絡(luò)安全體系

近年來，我國資本市場發(fā)展迅速，市場規(guī)模不斷擴大，社會影響力不斷增強．成為國民經(jīng)濟巾的重要組成部分，也成為老百姓重要的投資理財渠道。資本市場的穩(wěn)定健康發(fā)展，關(guān)系著億萬投資者的切身利益，關(guān)系著社會穩(wěn)定和國家金融安全的大局。證券行業(yè)作為金融服務(wù)業(yè)，高度依賴信息技術(shù)，而信息安全是維護資本市場穩(wěn)定的前提和基礎(chǔ)。沒有信息安全就沒有資本市場的穩(wěn)定。

目前．國內(nèi)外網(wǎng)絡(luò)信息安全問題日益突出。從資本市場看，近年來，隨著市場快速發(fā)展，改革創(chuàng)新深入推進，市場交易模式日趨集巾化，業(yè)務(wù)處理邏輯日益復(fù)雜化，網(wǎng)絡(luò)安全事件、公共安全事件以及水災(zāi)冰災(zāi)、震災(zāi)等自然災(zāi)害都對行業(yè)信息系統(tǒng)的連續(xù)、穩(wěn)定運行帶來新的挑戰(zhàn)。資本市場交易實時性和整體性強，交易時問內(nèi)一刻也不能中斷。加強信息安全應(yīng)急丁作，積極采取預(yù)防、預(yù)警措施，快速、穩(wěn)妥地處置信息安全事件，盡力減少事故損失，全力維護交易正常，對于資本市場來說至關(guān)重要。

1證券行業(yè)倍息安全現(xiàn)狀和存在的問題

1．1行業(yè)信息安全法規(guī)和標準體系方面

健全的信息安全法律法規(guī)和標準體系是確保證券行業(yè)信息安全的基礎(chǔ)。是信息安全的第一道防線。為促進證券市場的平穩(wěn)運行，中國證監(jiān)會自1998年先后了一系列信息安全法規(guī)和技術(shù)標準。其中包括2個信息技術(shù)管理規(guī)范、2個信息安全等級保護通知、1個信息安全保障辦法、1個信息通報方法和10個行業(yè)技術(shù)標準。行業(yè)信息安全法規(guī)和標準體系的初步形成，推動了行業(yè)信息化建設(shè)和信息安全工作向規(guī)范化、標準化邁進。

雖然我國涉及信息安全的規(guī)范性文件眾多，但在現(xiàn)行的法律法規(guī)中。立法主體較多，法律法規(guī)體系龐雜而缺乏統(tǒng)籌規(guī)劃。面對新形勢下信息安全保障工作的發(fā)展需要，行業(yè)信息安全工作在政策法規(guī)和標準體系方面的問題也逐漸顯現(xiàn)。一是法規(guī)和標準建設(shè)滯后，缺乏總體規(guī)劃；二是規(guī)范和標準互通性和協(xié)調(diào)性不強，部分規(guī)范和標準的可執(zhí)行性差；三是部分規(guī)范和標準已不適應(yīng)，無法應(yīng)對某些新型信息安全的威脅；四是部分信息安全規(guī)范和標準在行業(yè)內(nèi)難以得到落實。

1．2組織體系與信息安全保障管理模型方面

任何安全管理措施或技術(shù)手段都離不開人員的組織和實施，組織體系是信息安全保障工作的核心。目前，證券行業(yè)采用“統(tǒng)一組織、分工有序”的信息安全工作體系，分為決策層、管理層、執(zhí)行層。

為加強證券期貨業(yè)信息安全保障工作的組織協(xié)調(diào)，建立健全信息安全管理制度和運行機制，切實提高行業(yè)信息安全保障工作水平，根據(jù)證監(jiān)會頒布的《證券期貨業(yè)信息安全保障管理暫行辦法》，參照ISO／IEC27001：2005，提出證券期貨業(yè)信息安全保障管理體系框架。該體系框架采用立方體架構(gòu)．頂面是信息安全保障的7個目標(機密性、完整性、可用性、真實性、可審計性、抗抵賴性、可靠性)，正面是行業(yè)組織結(jié)構(gòu)．側(cè)面是各個機構(gòu)為實現(xiàn)信息安全保障目標所采取的措施和方式。

1．3IT治理方面

整個證券業(yè)處于高度信息化的背景下，IT治理已直接影響到行業(yè)各公司實現(xiàn)戰(zhàn)略目標的可能性，良好的IT治理有助于增強公司靈活性和創(chuàng)新能力，規(guī)避IT風(fēng)險。通過建立IT治理機制，可以幫助最高管理層發(fā)現(xiàn)信息技術(shù)本身的問題。幫助管理者處理IT問題，自我評估IT管理效果．可以加強對信息化項目的有效管理，保證信息化項目建設(shè)的質(zhì)量和應(yīng)用效果，使有限的投入取得更大的績效。

2003年lT治理理念引入到我國證券行業(yè)，當(dāng)前我國證券業(yè)企業(yè)的IT治理存在的問題：一是IT資源在公司的戰(zhàn)略資產(chǎn)中的地位受到高層重視，但具體情況不清楚；二是IT治理缺乏明確的概念描述和參數(shù)指標；是lT治理的責(zé)任與職能不清晰。

1．4網(wǎng)絡(luò)安全和數(shù)據(jù)安全方面

隨著互聯(lián)網(wǎng)的普及以及網(wǎng)上交易系統(tǒng)功能的不斷豐富、完善和使用的便利性，網(wǎng)上交易正逐漸成為證券投資者交易的主流模式。據(jù)統(tǒng)計，2008年我同證券網(wǎng)上交易量比重已超過總交易量的80％。雖然交易系統(tǒng)與互聯(lián)網(wǎng)的連接，方便了投資者。但由于互聯(lián)網(wǎng)的開放性，來自互聯(lián)網(wǎng)上的病毒、小馬、黑客攻擊以及計算機威脅事件，都時刻威脅著行業(yè)的信息系統(tǒng)安全，成為制約行業(yè)平穩(wěn)、安全發(fā)展的障礙。此，維護網(wǎng)絡(luò)和數(shù)據(jù)安全成為行業(yè)信息安全保障工作的重要組成部分。近年來，證券行業(yè)各機構(gòu)采取了一系列措施，建立了相對安全的網(wǎng)絡(luò)安全防護體系和災(zāi)舴備份系統(tǒng)，基木保障了信息系統(tǒng)的安全運行。但細追究起來，我國證券行業(yè)的網(wǎng)絡(luò)安全防護體系及災(zāi)備系統(tǒng)建設(shè)還不夠完善，還存存以下幾方面的問題：一是網(wǎng)絡(luò)安全防護體系缺乏統(tǒng)一的規(guī)劃；二是網(wǎng)絡(luò)訪問控制措施有待完善；三是網(wǎng)上交易防護能力有待加強；四是對數(shù)據(jù)安全重視不夠，數(shù)據(jù)備份措施有待改進；五是技術(shù)人員的專業(yè)能力和信息安全意識有待提高。

1．5IT人才資源建設(shè)方面

近20年的發(fā)展歷程巾，證券行業(yè)對信息系統(tǒng)日益依賴，行業(yè)IT隊伍此不斷發(fā)展壯大。據(jù)統(tǒng)計，2008年初，在整個證券行業(yè)中，103家證券公司共有IT人員7325人，占證券行業(yè)從業(yè)總?cè)藬?shù)73990人的9．90％，總體上達到了行業(yè)協(xié)會的IT治理工作指引中“IT工作人員總數(shù)原則上應(yīng)不少于公司員工總?cè)藬?shù)的6％”的最低要求。目前，證券行業(yè)的IT隊伍肩負著信息系統(tǒng)安全、平穩(wěn)、高效運行的重任，IT隊伍建設(shè)是行業(yè)信息安全IT作的根本保障。但是，IT人才隊伍依然存在著結(jié)構(gòu)不合理、后續(xù)教育不足等問題，此行業(yè)的人才培養(yǎng)有待加強。

2采取的對策和措施

2．1進一步完善法規(guī)和標準體系

首先，在法規(guī)規(guī)劃上，要統(tǒng)籌兼顧，制定科學(xué)的信息技術(shù)規(guī)范和標準體系框架。一是全面做好立法規(guī)劃；二是建立科學(xué)的行業(yè)信息安全標準和法規(guī)體系層次。行業(yè)信息安全標準和法規(guī)體系初步劃分為3層：第一層是管理辦法等巾同證監(jiān)會部門規(guī)章；第二層是證監(jiān)會相關(guān)部門制定的管理規(guī)范等規(guī)范性文件；第三層是技術(shù)指引等自律規(guī)則，一般由交易所、行業(yè)協(xié)會在證監(jiān)會總體協(xié)調(diào)下組織制定。其次，在法規(guī)制定上．要兼顧規(guī)范和發(fā)展，重視法規(guī)的可行性。最后，在法規(guī)實施上．要堅持規(guī)范和指引相結(jié)合，重視監(jiān)督檢查和責(zé)任落實。

2．2深入開展證券行業(yè)IT治理工作

2．2．1提高IT治理意識

中國證券業(yè)協(xié)會要進一步加強IT治理理念的教育宣傳工作，特別是對會員單位高層領(lǐng)導(dǎo)的IT治理培訓(xùn)，將IT治理的定義、工具、模型等理論知識納入到高管任職資格考試的內(nèi)容之中。通過舉辦論壇、交流會等形式強化證券經(jīng)營機構(gòu)的IT治理意識，提高他們IT治理的積極性。

2．2．2通過設(shè)立IT治理試點形成以點帶面的示范效應(yīng)

根據(jù)IT治理模型的不同特點，建議證券公司在決策層使用CISR模型，通過成立lT治理委員會，建立各部門之間的協(xié)調(diào)配合、監(jiān)督制衡的責(zé)權(quán)體系；在執(zhí)行層以COBIT模型、ITFL模型等其他模型為補充，規(guī)范信息技術(shù)部門的各項控制和管理流程。同時，證監(jiān)會指定一批證券公司和基金公司作為lT試點單位，進行IT治理模型選擇、剪裁以及組合的實踐探索，形成一批成功實施IT治理的優(yōu)秀范例，以點帶面地提升全行業(yè)的治理水平。

2．3通過制定行業(yè)標準積極落實信息安全等級保護

行業(yè)監(jiān)管部門在推動行業(yè)信息安全等級保護工作中的作用非常關(guān)鍵．應(yīng)進一步明確監(jiān)管部門推動行業(yè)信息安全等級保護工作的任務(wù)和工作機制，統(tǒng)一部署、組織行業(yè)的等級保護丁作，為該項丁作的順利開展提供組織保證。行業(yè)各機構(gòu)應(yīng)采取自主貫徹信息系統(tǒng)等級保護的行業(yè)要求，對照標準逐條落實。同時，應(yīng)對各單位實施信息系統(tǒng)安全等級保護情況進行測評，在測評環(huán)節(jié)一旦發(fā)現(xiàn)信息系統(tǒng)的不足，被測評單位應(yīng)立即制定相應(yīng)的整改方案并實施．且南相芙的監(jiān)督機構(gòu)進行督促。

2．4加強網(wǎng)絡(luò)安全體系規(guī)劃以提升網(wǎng)絡(luò)安全防護水平

2．4．1以等級保護為依據(jù)進行統(tǒng)籌規(guī)劃

等級保護是圍繞信息安全保障全過程的一項基礎(chǔ)性的管理制度，通過將等級化的方法和安全體系規(guī)劃有效結(jié)合，統(tǒng)籌規(guī)劃證券網(wǎng)絡(luò)安全體系的建設(shè)，建立一套信息安全保障體系，將是系統(tǒng)化地解決證券行業(yè)網(wǎng)絡(luò)安全問題的一個非常有效的方法。

2．4．2通過加強網(wǎng)絡(luò)訪問控制提高網(wǎng)絡(luò)防護能力

對向證券行業(yè)提供設(shè)備、技術(shù)和服務(wù)的IT公司的資質(zhì)和誠信加強管理，確保其符合國家、行業(yè)技術(shù)標準。根據(jù)網(wǎng)絡(luò)隔離要求，要逐步建立業(yè)務(wù)網(wǎng)與辦公網(wǎng)、業(yè)務(wù)網(wǎng)與互聯(lián)網(wǎng)、網(wǎng)上交易各子系統(tǒng)間有效的網(wǎng)絡(luò)隔離。技術(shù)上可以對不同的業(yè)務(wù)安全區(qū)域劃分Vlan或者采用網(wǎng)閘設(shè)備進行隔離；對主要的網(wǎng)絡(luò)邊界和各外部進口進行滲透測試，進行系統(tǒng)和設(shè)備的安全加固．降低系統(tǒng)漏洞帶來的安全風(fēng)險；在網(wǎng)上交易方面，采取電子簽名或數(shù)字認證等高強度認證方式，加強訪問控制；針對現(xiàn)存惡意攻擊網(wǎng)站的事件越來越多的情況，要采取措施加強網(wǎng)站保護，提高對惡意代碼的防護能力，同時采用技術(shù)手段，提高網(wǎng)上交易客戶端軟件使朋的安全性。

2．4．3提高從業(yè)人員安全意識和專業(yè)水平

目前在證券行業(yè)內(nèi)，從業(yè)人員的網(wǎng)絡(luò)安全意識比較薄弱．必要時可定期對從業(yè)人員進行安全意識考核，從行業(yè)內(nèi)部強化網(wǎng)絡(luò)安全工作。要加強網(wǎng)絡(luò)安全技術(shù)人員的管理能力和專業(yè)技能培訓(xùn)，提高行業(yè)網(wǎng)絡(luò)安全的管理水平和專業(yè)技術(shù)水平。

2．5扎實推進行業(yè)災(zāi)難備份建設(shè)

數(shù)據(jù)的安全對證券行業(yè)是至關(guān)重要的，數(shù)據(jù)一旦丟失對市場各方的損失是難以估量的。無論是美國的“9·11”事件，還是我國2008年南方冰雪災(zāi)害和四川汶川大地震，都敲響了災(zāi)難備份的警鐘。證券業(yè)要在學(xué)習(xí)借鑒國際經(jīng)驗的基礎(chǔ)上，針對自身需要，對重要系統(tǒng)開展災(zāi)難備份建設(shè)。要繼續(xù)推進證券、基金公司同城災(zāi)難備份建設(shè)，以及證券交易所、結(jié)算公司等市場核心機構(gòu)的異地災(zāi)難備份系統(tǒng)的規(guī)劃和建設(shè)。制定各類相關(guān)的災(zāi)難應(yīng)急預(yù)案，并加強應(yīng)急預(yù)案的演練，確保災(zāi)難備份系統(tǒng)應(yīng)急有效．使應(yīng)急工作與日常工作有機結(jié)合。

2．6抓好人才隊伍建設(shè)

證券行業(yè)要采取切實可行的措施，建立吸引人才、留住人才、培養(yǎng)人才、發(fā)展人才的用人制度和機制。積極吸引有技術(shù)專長的人才到行業(yè)巾來，加強lT人員的崗位技能培訓(xùn)和業(yè)務(wù)培訓(xùn)，注重培養(yǎng)既懂得技術(shù)義懂業(yè)務(wù)和管理的復(fù)合型人才。要促進從業(yè)人員提高水平、轉(zhuǎn)變觀念，行業(yè)各機構(gòu)應(yīng)采取采取請進來、派出去以及內(nèi)部講座等多種培訓(xùn)方式。通過建立規(guī)范有效的人才評價體系，對信息技術(shù)人員進行科學(xué)有效的考評，提升行業(yè)人才資源的優(yōu)化配置和使用效率，促進技術(shù)人才結(jié)構(gòu)的涮整和完善。

篇6

[關(guān)鍵詞] 信息等級保護概述；中國石油；等級保護建設(shè)

[中圖分類號] TP391；X913.2 [文獻標識碼] A [文章編號] 1673 - 0194（2013）05- 0057- 02

1 信息等級保護制度概述

信息安全等級保護制度是國家信息安全保障工作的基本制度，是促進信息化健康發(fā)展的根本保障。其具體內(nèi)容包括：①對國家秘密信息，法人和其他組織及公民的專有信息以及公開信息，存儲、傳輸、處理這些信息的信息系統(tǒng)實行分等級安全保護、分等級監(jiān)管；②對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理；③對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置。信息安全等級保護配套政策體系及標準體系如圖1、圖2所示。

定條件的測評機構(gòu)開展等級測評；④建設(shè)整改：備案單位根據(jù)信息系統(tǒng)安全等級，按照國家政策、標準開展安全建設(shè)整改；⑤檢查：公安機關(guān)定期開展監(jiān)督、檢查、指導(dǎo)。

2 中國石油信息安全等級保護制度建設(shè)

中國石油信息化建設(shè)處于我國大型企業(yè)領(lǐng)先地位，在國資委歷年信息化評比中都名列前茅。2007 年全國開展信息安全等級保護工作之后，中國石油認真貫徹國家信息安全等級保護制度各項要求，全面開展信息安全等級保護工作。逐步建成先進實用、完整可靠的信息安全體系，保障信息化建設(shè)和應(yīng)用，支撐公司業(yè)務(wù)發(fā)展和總體戰(zhàn)略的實施，使中國石油的信息安全保障能力顯著提高。主要采取的措施有以下幾個方面：

（1）以信息安全等級保護工作為契機 ， 全面梳理業(yè)務(wù)系統(tǒng)并定級備案。中國石油根據(jù)國家信息安全等級保護制度要求，建立自上而下的工作組織體系，明確信息安全責(zé)任部門，對中國石油統(tǒng)一建設(shè)的應(yīng)用系統(tǒng)進行等級保護定級和備案，通過制定《中國石油天然氣集團公司重要信息系統(tǒng)安全等級保護定級實施暫行意見》，加強桌面安全、網(wǎng)絡(luò)安全、身份認證等安全基礎(chǔ)防護工作，加快開展重要信息系統(tǒng)的等級測評和安全建設(shè)整改工作，進一步提高信息系統(tǒng)的安全防御能力，提高系統(tǒng)的可用性和安全性。在全面組織開展信息系統(tǒng)等級保護定級備案工作之后，聘請專業(yè)測評機構(gòu)，及時開展等級測評、安全檢查和風(fēng)險評估工作，并通過等級測評工作查找系統(tǒng)的不足和安全隱患，制訂安全整改方案，開展安全整改和加固改造，保障信息系統(tǒng)持續(xù)安全穩(wěn)定運行。

（2）以信息安全等級保護工作為抓手 ， 全面推動中國石油信息安全體系建設(shè)。中國石油以信息安全等級保護工作為抓手，完善信息安全整體解決方案，建立技術(shù)保障體系、管理保障體系和控制保障體系。采用分級、分域的縱深防御理念，將桌面安全、身份認證、網(wǎng)絡(luò)安全、容災(zāi)等相關(guān)技術(shù)相互結(jié)合，建立統(tǒng)一的安全監(jiān)控平臺和安全運行中心，實現(xiàn)對應(yīng)用系統(tǒng)的授權(quán)訪問、桌面計算機的安全控制、網(wǎng)絡(luò)流量的異常監(jiān)控、惡意軟件與攻擊行為的及時發(fā)現(xiàn)與防御、業(yè)務(wù)與數(shù)據(jù)安全保障等功能，顯著提高抵御外部和內(nèi)部信息安全威脅的能力。建立了總部、區(qū)域網(wǎng)絡(luò)中心、企事業(yè)單位三級信息系統(tǒng)安全運維隊伍；采用集中管理、分級維護的管理模式，網(wǎng)絡(luò)與安全運維人員采用授權(quán)方式，持證上崗，建立網(wǎng)絡(luò)管理員、安全管理員和安全審計員制度；初步建立起中國石油內(nèi)部信息安全風(fēng)險評估隊伍，并于 2010 年完成地區(qū)公司的網(wǎng)絡(luò)安全風(fēng)險評估工作。

（3）建立重要信息系統(tǒng)應(yīng)急處置預(yù)案，完善災(zāi)難恢復(fù)機制。2008 年，中國石油了《網(wǎng)絡(luò)與信息安全突發(fā)事件專項應(yīng)急預(yù)案》，所有業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)管理、安全管理等都建立了應(yīng)急響應(yīng)處置預(yù)案和災(zāi)備系統(tǒng)，保障業(yè)務(wù)系統(tǒng)在遭遇突發(fā)事件時，能快速反應(yīng)并恢復(fù)業(yè)務(wù)系統(tǒng)可用性。通過災(zāi)難恢復(fù)項目研究，形成了現(xiàn)狀及風(fēng)險分析、災(zāi)難恢復(fù)等級劃分、災(zāi)備部署策略分析和災(zāi)備部署方案四步法，劃分了信息系統(tǒng)災(zāi)難恢復(fù)等級，完善了災(zāi)難恢復(fù)機制。

（4）規(guī)劃信息安全運行中心，建立重要信息系統(tǒng)安全監(jiān)控機制。中國石油規(guī)劃了信息安全運行中心的建設(shè)方案，提出了信息安全運行中心建設(shè)目標，通過網(wǎng)絡(luò)運行狀態(tài)、安全信息數(shù)據(jù)匯集、安全監(jiān)測分析功能和安全管理流程的有機整合，實現(xiàn)中國石油 信息安全狀況的可感知、可分析、可展示、可管理和可指揮，形成中國石油信息安全事件分析、風(fēng)險分析、預(yù)警管理和應(yīng)急響應(yīng)處理一體化的技術(shù)支撐能力；通過完善安全運行管理體系，將安全運行管理組織、安全運維管理流程和安全監(jiān)測預(yù)警系統(tǒng)三方面有機結(jié)合，實現(xiàn)事前預(yù)警防范、事中監(jiān)控處置、事后追溯定位的信息安全閉環(huán)運行機制，形成中國石油統(tǒng)一的應(yīng)急指揮與協(xié)調(diào)調(diào)度能力，為中國石油信息安全保障奠定良好的基礎(chǔ)。

3 信息安全等級保護工作存在的不足及改進建議

信息安全等級保護管理辦法 （公通字[2007]43號）正式標志著全國范圍內(nèi)的信息安全等級保護工作開始，通過5年的努力，全國信息安全工作形成了以落實信息安全等級保護制度為核心，信息通報、應(yīng)急處理、技術(shù)研究、產(chǎn)業(yè)發(fā)展、網(wǎng)絡(luò)信任體系和標準化建設(shè)等工作快速發(fā)展的良好局面，重要行業(yè)部門的信息安全意識、重視程度、工作能力有了顯著提高。40余個重要行業(yè)出臺了100余份行業(yè)等級保護政策文件，20余個重要行業(yè)出臺了40余份行業(yè)等級保護標準，但同時存在著以下不足：

（1）對信息安全工作的認識不到位，對重要信息系統(tǒng)安全保護缺乏應(yīng)有的重視。依據(jù)公安部相關(guān)資料統(tǒng)計，截至2012年6月，我國有18%的單位未成立信息安全工作領(lǐng)導(dǎo)機構(gòu)；21%的單位未落實信息安全責(zé)任部門，缺乏信息安全整體規(guī)劃；14個行業(yè)重要信息系統(tǒng)底數(shù)不清、安全保護狀況不明；12個行業(yè)未組織全行業(yè)信息安全專門業(yè)務(wù)培訓(xùn)，開展信息安全工作的思路和方法不得當(dāng)，措施不得力。20%的單位在信息系統(tǒng)規(guī)劃過程中，沒有認真制定安全策略和安全體系規(guī)劃，導(dǎo)致安全策略不得當(dāng)；22%的信息系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)劃分不合理，核心業(yè)務(wù)區(qū)域部署位置不當(dāng)，業(yè)務(wù)應(yīng)用不合理，容易導(dǎo)致黑客入侵攻擊，造成網(wǎng)絡(luò)癱瘓，數(shù)據(jù)被竊取和破壞。34.6%的重要信息系統(tǒng)未配置專職安全管理人員，相關(guān)崗位設(shè)置不完整，安全管理人員身兼多職；48%的單位信息安全建設(shè)資金投入不足，導(dǎo)致重要信息系統(tǒng)安全加固和整改經(jīng)費嚴重缺乏；27%的單位沒有針對安全崗位人員制訂相關(guān)的培訓(xùn)計劃，沒有組織開展信息安全教育和培訓(xùn)，安全管理、運維技術(shù)人員能力較弱。

（2）重要信息系統(tǒng)未落實關(guān)鍵安全保護技術(shù)措施。重要信息系統(tǒng)未落實安全審計措施。在主機層面，有34.9%的信息系統(tǒng)沒有保護主機審計記錄，34.8%的信息系統(tǒng)沒有保護主機審計進程，容易導(dǎo)致事故責(zé)任無法認定，無法確定事故（事件）原因，影響應(yīng)急處理效率。38%的信息系統(tǒng)沒有落實對重要系統(tǒng)程序和文件進行完整性檢測和自動恢復(fù)的技術(shù)措施，35%的信息系統(tǒng)沒有采取監(jiān)測重要服務(wù)器入侵行為的技術(shù)措施，容易使內(nèi)部網(wǎng)絡(luò)感染病毒，對攻擊行為無法進行有效監(jiān)測和處置。

（3）我國信息技術(shù)與國外存在一定差距，安全專業(yè)化服務(wù)力量薄弱。具有我國自主知識產(chǎn)權(quán)的重要信息技術(shù)產(chǎn)品和核心技術(shù)水平還有待提高，依賴國外產(chǎn)品的情況還比較普遍；國內(nèi)信息安全專業(yè)化服務(wù)力量薄弱，安全服務(wù)能力不強，部分重要信息系統(tǒng)的關(guān)鍵產(chǎn)品維護和系統(tǒng)運維依賴國外廠商，給重要信息系統(tǒng)安全留下了隱患。

為了有效提高我國企業(yè)信息安全水平，增加等級保護的可行性及執(zhí)行力，建議：①各企業(yè)開展以信息安全等級保護為核心的安全防范工作，提高網(wǎng)絡(luò)主動防御能力，并制訂應(yīng)急處置預(yù)案，加強應(yīng)急演練，提高網(wǎng)絡(luò)應(yīng)急處置能力。②加大人員和資金投入，提高保障能力。③國家層面加快關(guān)鍵技術(shù)研究和產(chǎn)品化，重視產(chǎn)品供應(yīng)鏈的安全可控。

主要參考文獻

[1]中國石油天然氣集團公司. 中國石油天然氣集團公司全面開展信息安全等級保護工作為信息化建設(shè)保駕護航[J].信息網(wǎng)絡(luò)安全，2012（1）.

篇7

【關(guān)鍵詞】CA證書認證 體系設(shè)計 非功能性技術(shù)設(shè)計 內(nèi)外網(wǎng)統(tǒng)一安全接入――P2P VSN虛擬安全域 社會工程學(xué)入侵

目前大部分市區(qū)級政務(wù)信息網(wǎng)絡(luò)主要著承載政務(wù)辦公數(shù)據(jù)流系統(tǒng)、對公眾提供業(yè)務(wù)辦理等系統(tǒng)以及基本的互聯(lián)網(wǎng)訪問權(quán)限。隨著政務(wù)信息業(yè)務(wù)系統(tǒng)業(yè)務(wù)邏輯日趨復(fù)雜，體量日益龐大，在政務(wù)信息系統(tǒng)的風(fēng)險控制，安全運維成本，科學(xué)管理，方面將迎來一個全新的戰(zhàn)場。

當(dāng)前政務(wù)信息系統(tǒng)有或部分有以下問題：

區(qū)縣的相關(guān)管理、運維人員能力匱乏，網(wǎng)絡(luò)安全知識相對較落后，對全局政務(wù)網(wǎng)的硬件服務(wù)器、存儲、數(shù)據(jù)庫軟件、應(yīng)用服務(wù)器中間件、相關(guān)政務(wù)信息業(yè)務(wù)系統(tǒng)并沒有做到了如指掌不能完全駕馭全局運維與安全保障。在出現(xiàn)故障時無法從業(yè)務(wù)角度快度鎖定故障起源點，無法對故障進行深度解析并提供完整解決方案并實施。

區(qū)縣政務(wù)信息系統(tǒng)是沒有統(tǒng)一的認證授權(quán)并各自為政，無法做到訪問控制，沒有USB-KEY，CA證書認證等技術(shù)融入，病毒非常容相互間在各個系統(tǒng)中傳遞感染，重要數(shù)據(jù)岌岌可危；區(qū)縣政務(wù)網(wǎng)基本沒有全網(wǎng)的日志審計和客戶機上網(wǎng)行為管理的，各種繁雜的應(yīng)用安全系統(tǒng)設(shè)備產(chǎn)生的安全事件以及網(wǎng)絡(luò)安全行為監(jiān)控各自獨立，冗余度過高，沒有科學(xué)的審計，有效的整合，出現(xiàn)問題業(yè)務(wù)系統(tǒng)管理員根本無法防御爆炸式連鎖攻擊，安全風(fēng)險系數(shù)極高。外網(wǎng)辦公接入設(shè)備直接接入業(yè)務(wù)網(wǎng)，沒有對過程數(shù)據(jù)流進行監(jiān)察審計，業(yè)務(wù)數(shù)據(jù)在網(wǎng)絡(luò)中的傳輸缺乏近乎透明傳遞，安全隱患非常嚴重。

政務(wù)信息網(wǎng)絡(luò)發(fā)生故障或者爆發(fā)大規(guī)模病毒攻擊時，無法精準鎖定攻擊源頭，從根源控制攻擊，整個處理過程也缺少科學(xué)的提高故障解決手段，缺少應(yīng)急預(yù)案，缺少專家應(yīng)急小組。

這些問題必須且毋庸置疑的解決和改善，應(yīng)采用以下技術(shù)和策略：CA證書認證體系設(shè)計，非功能性技術(shù)設(shè)計，內(nèi)外網(wǎng)統(tǒng)一安全接入――P2P VSN虛擬安全域，USB-KEY，動態(tài)短信密碼，一次性口令等方式，堵著社會工程學(xué)入侵缺口。

1 政務(wù)信息系統(tǒng)及網(wǎng)絡(luò)安全運維的實踐

實現(xiàn)終端內(nèi)外網(wǎng)統(tǒng)一接入：整合梳理辦公內(nèi)網(wǎng)和Internet網(wǎng)絡(luò)的用戶認證、訪問授權(quán)、資源權(quán)限等問題，徹底不留隱患的有效的解決辦公內(nèi)網(wǎng)的安全接入和Internet網(wǎng)絡(luò)安全接入，徹底清除未授權(quán)終端非法用戶對政務(wù)信息系統(tǒng)的存在威脅，確保了政務(wù)業(yè)務(wù)系統(tǒng)的數(shù)據(jù)在政務(wù)網(wǎng)絡(luò)中安全數(shù)據(jù)流傳輸?shù)目煽啃浴?/p>

完整的用戶行為和關(guān)鍵政務(wù)信息系統(tǒng)數(shù)據(jù)流日志審計，記錄并保留一個月以上的用戶上網(wǎng)行為是非常有必要的，在龐大的用戶痕跡日志信息中進行初步數(shù)據(jù)挖掘，能發(fā)現(xiàn)潛在的安全隱患，防患于未然，將安全隱患控制牢牢控制，并扼殺。若已發(fā)生安全事故，可迅速定位事故爆發(fā)點，妥善快速解決問題，如事故造成嚴重的財產(chǎn)損失，可提交公安機關(guān)進行取證。

定期由專業(yè)安全運維第三方服務(wù)公司提供專家級業(yè)務(wù)報告，為下一步網(wǎng)絡(luò)優(yōu)化提供建議，保障網(wǎng)絡(luò)持續(xù)、健康發(fā)展、安全：對整個被監(jiān)控網(wǎng)絡(luò)能夠提供全面安全健康狀態(tài)檢測報告。報告內(nèi)容包含客戶機非安全訪問記錄、并發(fā)數(shù)異常記錄、帶寬控制效果、攻擊發(fā)生統(tǒng)計等等。

2 政務(wù)信息系統(tǒng)及網(wǎng)絡(luò)安全運維建設(shè)

2.1 政務(wù)信息系統(tǒng)建設(shè)內(nèi)容應(yīng)涵蓋以下方面

建立覆蓋區(qū)縣政務(wù)信息系統(tǒng)所涉及的硬件服務(wù)器設(shè)備、存儲設(shè)備、核心網(wǎng)絡(luò)鏈路拓撲、政務(wù)業(yè)務(wù)系統(tǒng)結(jié)構(gòu)、數(shù)據(jù)庫并發(fā)數(shù)據(jù)鏈路流和中間件異常并況的綜合管理安全運維平臺，包括集中授權(quán)管理中心、面向業(yè)務(wù)的精確帶寬流量控制系統(tǒng)和業(yè)務(wù)服務(wù)中心，系統(tǒng)應(yīng)具備完整業(yè)務(wù)功能和良好伸縮性。

實現(xiàn)集中授權(quán)管理中心，建立集中安全管控平臺：構(gòu)建全網(wǎng)集中的用戶賬號管理、認證管理、授權(quán)管理、日志審計，為內(nèi)外網(wǎng)用戶提供統(tǒng)一的接入服務(wù)，加強內(nèi)控管理，并且為精確帶寬流量控制系統(tǒng)和業(yè)務(wù)服務(wù)管理中心提供管理控制依據(jù)。

面向業(yè)務(wù)的帶寬流量控制系統(tǒng)：構(gòu)建業(yè)務(wù)網(wǎng)絡(luò)分析、凈化、控制系統(tǒng)，進行全面的流量監(jiān)視、凈化和控制，有效提高鏈路的帶寬利用率，保障重點業(yè)務(wù)的網(wǎng)絡(luò)質(zhì)量。

2.2 CA證書認證體系設(shè)計

為切實做好政務(wù)信息系統(tǒng)安全認證工作，提高各個區(qū)縣網(wǎng)絡(luò)安全保障水平和對應(yīng)用系統(tǒng)的防護能力，建立CA證書認證體系。

遵循“建設(shè)政務(wù)信息系統(tǒng)統(tǒng)一的身份認證體系，為構(gòu)建政務(wù)網(wǎng)絡(luò)信任體系奠定基礎(chǔ)，提高應(yīng)用系統(tǒng)安全保障和防護能力”的目標，保證數(shù)據(jù)的完整性和保密性，確保用戶來源和行為的真實性和不可否認性。

2.3 內(nèi)外網(wǎng)統(tǒng)一安全接入――P2P VSN虛擬安全工作域

建立P2P構(gòu)成的虛擬安全域，確保政務(wù)信息業(yè)務(wù)應(yīng)用環(huán)境的安全性。

通過集中安全管控平臺，用戶終端無論在企業(yè)網(wǎng)內(nèi)或是在互聯(lián)網(wǎng)中，只需要能夠在網(wǎng)絡(luò)層與安全網(wǎng)關(guān)之間可達、通過身份認證后即可建立P2P VSN虛擬安全工作域，借由端到端的加密隧道與授權(quán)業(yè)務(wù)系統(tǒng)進行通信。

2.4 防止社會工程學(xué)入侵滲透

在以上的技術(shù)應(yīng)用可以阻止90%以上的黑客攻擊，但是有關(guān)信息系統(tǒng)及其網(wǎng)絡(luò)安全的問題是矛與盾永無休止的話題，事實上，沒有任何技術(shù)能防范社會工程學(xué)攻擊。這就是安全方面做薄弱的環(huán)節(jié)：人！

政務(wù)信息所有工作人員都應(yīng)該進行定期前言安全知識培訓(xùn)。

政務(wù)信息系統(tǒng)所有業(yè)務(wù)干系人都應(yīng)懂得基本的安全策略，策略是指導(dǎo)業(yè)務(wù)人員行為保護政務(wù)信息系統(tǒng)與敏感信息所必須的規(guī)則。

參考文獻

[1]張麗麗.新常態(tài)下推進“互聯(lián)網(wǎng)+政務(wù)服務(wù)”建設(shè)研究――以浙江省政務(wù)服務(wù)網(wǎng)為例[J].浙江學(xué)刊，2016（05）.

[2]馮巧玲.IPS在電子政務(wù)系統(tǒng)中的部署與實現(xiàn)[J].西安文理學(xué)院學(xué)報（自然科學(xué)版）， 2015（02）.

[3]劉邦凡，關(guān)夢穎.電子政務(wù)的信息安全立法[J].電子商務(wù)，2014（01）.

篇8

關(guān)鍵詞：軟交換；網(wǎng)絡(luò)安全；安全區(qū)

中圖分類號：F626.3 文獻標識碼：A

軟交換網(wǎng)絡(luò)一個很大的優(yōu)勢就是具有開放性的平臺和接口，這樣可以方便的進行業(yè)務(wù)擴展，這樣各種第三方的業(yè)務(wù)以及網(wǎng)絡(luò)都可以方便的和電信網(wǎng)絡(luò)實現(xiàn)無縫連接。這就導(dǎo)致電信網(wǎng)絡(luò)的規(guī)模以及業(yè)務(wù)類型十分的反正，傳統(tǒng)互聯(lián)網(wǎng)所面臨的病毒、黑客等危險也隨之蔓延到電信網(wǎng)絡(luò)上，從而給運營商的服務(wù)造成巨大的威脅。因此，對于軟交換來說，能否做好安全保障工作是一個非常重要的環(huán)節(jié)。隨著軟交換技術(shù)的使用以及推廣，這就導(dǎo)致軟交換面臨著傳統(tǒng)的網(wǎng)絡(luò)安全問題。同時，軟交換網(wǎng)絡(luò)和傳統(tǒng)網(wǎng)絡(luò)相比還有自身的一些特點，因此其安全問題也具有自身的一些特點。在進行軟交換安全防護的過程當(dāng)中一般都是從軟交換設(shè)備本身以及網(wǎng)絡(luò)這兩個大的方面為切入點來進行的。首先應(yīng)該確保軟交換的相關(guān)設(shè)備自身在設(shè)置上的安全，并且做好相應(yīng)的硬件和軟件防護工作，從而使軟交換設(shè)備自身具有一定的安全防護能力。而對于網(wǎng)絡(luò)的安全，則是對于軟交換的承載網(wǎng)絡(luò)安全采取相應(yīng)的措施，建立健全完善的保護機制，防止通過網(wǎng)絡(luò)對軟交換設(shè)備造成的攻擊。

在軟交換網(wǎng)絡(luò)建設(shè)過程當(dāng)中一定要同時抓好軟交換設(shè)備安全以及網(wǎng)絡(luò)安全，兩者相輔相成，缺一不可。運營商首先要在思想上引起足夠的重視，做好相應(yīng)的軟交換安全保障工作。

1軟交換面臨的主要安全隱患

軟交換所面臨的安全問題十分多樣，種類層出不窮，但是大體可以分為以下幾個方面：第一，網(wǎng)絡(luò)安全，主要是軟交換網(wǎng)絡(luò)自身的安全；第二，終端安全，終端主要是指用戶側(cè)的終端設(shè)備。當(dāng)前對于用戶終端的病毒以及攻擊十分常見，由于軟交換網(wǎng)絡(luò)無法對其進行有效的防范，因此往往利用終端對網(wǎng)絡(luò)發(fā)起攻擊，進而對軟交換的設(shè)備產(chǎn)生影響；第三，設(shè)備安全，主要是指各種軟交換的承載設(shè)備自身的安全，這種安全隱患大多都是由于設(shè)備運行不規(guī)范或者是外部對其進行攻擊。

2軟交換安全服務(wù)措施

由于軟交換所面臨的安全隱患十分繁多，因此必須做好相應(yīng)的防范工作，為用戶提供安全的服務(wù)，可以通過以下幾個方面的措施來實現(xiàn)。

2.1保密性。應(yīng)該采取相應(yīng)的手段對軟交換網(wǎng)絡(luò)中傳遞的數(shù)據(jù)進行相應(yīng)的加密，從而防止沒有經(jīng)過授權(quán)的用戶非法截留數(shù)據(jù)。這樣講數(shù)據(jù)以加密的形式傳遞，即使數(shù)據(jù)被截留，那么也沒法進行解讀。除此之外，應(yīng)該做好相應(yīng)的數(shù)據(jù)傳輸端口的防護工作，防止非法對相應(yīng)的端口進行監(jiān)聽，保護數(shù)據(jù)的安全性。

2.2認證。建立嚴密的身份認證程序，防止用戶合法身份被盜用，而對資源進行竊取。對于數(shù)據(jù)傳輸之前雙方的身份以及數(shù)據(jù)來源進行認證，從而保證通信雙方都具有相應(yīng)的合法身份和對應(yīng)的權(quán)限。將業(yè)務(wù)和實體身份進行捆綁，防止身份被盜用或者是偽裝欺騙。

2.3完整性。為了防止未經(jīng)授權(quán)的用戶對數(shù)據(jù)繼續(xù)非法修改，可以利用VPN技術(shù)進行通信。為了防止數(shù)據(jù)受到損壞，可以積極采用數(shù)字簽名以及其它的完整性檢測技術(shù)地數(shù)據(jù)完整性進行檢測。

2.4 訪問控制。通過完善的授權(quán)機制對于網(wǎng)絡(luò)中的關(guān)鍵部分提供保護，對于相應(yīng)的訪問者進行等級劃分，具備相應(yīng)的等級才能夠訪問相應(yīng)的資源，防止對于沒有權(quán)限的資源進行使用。建立完善的數(shù)據(jù)庫，用于存儲安全認證信息，用戶進行認證時需要將信息進行嚴格的比對。對于認證信息數(shù)據(jù)庫也應(yīng)該設(shè)立較高的等級，防止數(shù)據(jù)庫被非法篡改。

2.5安全協(xié)議。目前應(yīng)用較多的是IPSEC,SSL/TLS。至于MPLS, 嚴格地說它并不是一種安全協(xié)議, 其主要用途是兼容和并存目前各種IP路由和ATM交換技術(shù), 提供一種更加具有彈性和擴充性的、效率更高的交換路由技術(shù), 它對網(wǎng)絡(luò)安全貢獻應(yīng)主要在于流量方面。

3軟交換安全方案

軟交換網(wǎng)絡(luò)安全的實現(xiàn), 有多種方案可供選擇,下面介紹的IPSEC(ESP遂道模式)+SSL/TLS+認證服務(wù)器/策略服務(wù)器+FW/NAT是一種可運營解決方案。IPSec 體系提供標準的、安全的、普遍的機制。可以保護主機之間、網(wǎng)關(guān)之間和主機與網(wǎng)關(guān)之間的數(shù)據(jù)包安全。由于涉及的算法為標準算法,可以保證互通性,并且可以提供嵌套安全服務(wù)。另外對IPV6 而言它是一個強制標準,是今后發(fā)展的一個趨勢。

IPSec協(xié)議主要由AH (認證頭)協(xié)議, ESP(封裝安全載荷)協(xié)議和負責(zé)密鑰管理的IKE(因特網(wǎng)密鑰交換) 協(xié)議三個協(xié)議組成。認證頭(AH)協(xié)議對在媒體網(wǎng)關(guān)/終端設(shè)備和軟交換設(shè)備之間傳送的消息提供數(shù)據(jù)源認證,無連接完整性保護和防重放攻擊保護。ESP協(xié)議除了提供數(shù)據(jù)完整性校驗、身份認證和防重放保護外, 同時提供加密。ESP 的加密和認證是可選的, 要求支持這兩種算法中的至少一種算法, 但不能同時置為空。根據(jù)要求, ESP 協(xié)議必須支持下列算法: 第一，使用CBC 模式的DES算法。第二，使用MD5的HMAC算法。第三，使用SHA-1的HMAC算法。第四，空認證算法。第五，空加密算法。數(shù)據(jù)完整性可以通過校驗碼(MD5) 來保證；數(shù)據(jù)身份認證通過在待認證數(shù)據(jù)中加入一個共享密鑰來實現(xiàn)；報頭中的序列號可以防止重放攻擊。IKE協(xié)議主要在通信雙方建立連接時規(guī)定使用的IPSec協(xié)議類型、加密算法、加密和認證密鑰等屬性,并負責(zé)維護。IKE采用自動模式進行管理, IKE的實現(xiàn)可支持協(xié)商虛擬專業(yè)網(wǎng)(VPN),也可從用于在事先并不知道的遠程訪問接入方式。

認證系統(tǒng)和策略系統(tǒng)對商用軟交換系統(tǒng)而言是必不可少的。它們在管理層面上實施訪問控制、信息驗證、信息保密性等措施,可以為網(wǎng)絡(luò)提供安全保證。同時, 認證服務(wù)可以提計費的準確性,保證網(wǎng)絡(luò)的商業(yè)運營。

防火墻/NAT 是保證網(wǎng)絡(luò)安全必不可少的一部分。防火墻種類繁多,它在較交換中的竅越問題可以通過兩種方法實現(xiàn):一是使用TCP；二是用短于關(guān)閉墻口時長為周期,不斷發(fā)送消息,維持端口開啟

4結(jié)束語

基于軟交換的NGN 網(wǎng)絡(luò)所存在的安全問題一直以來受到大家的關(guān)注。而作為數(shù)據(jù)網(wǎng)絡(luò)上的一種新興的應(yīng)用,以IP作為承載媒體的軟交換所面臨的一些安全隱患, 實際是目前IP 網(wǎng)絡(luò)上存在的若干問題的延續(xù)。只有很好地解決了網(wǎng)絡(luò)的安全問題,同時配合產(chǎn)品本身的一些安全認證機制,軟交換才能夠在新的電信網(wǎng)中持久穩(wěn)定的發(fā)揮作用,并成為解決話音、數(shù)據(jù)、視頻多媒體通信需求的有效解決方法, 并最終完成“三網(wǎng)合一”。

網(wǎng)絡(luò)安全工作是一個以管理為主的系統(tǒng)工程, 靠的是“三分技術(shù),七分管理”, 因此必須制定一系列的安全管理制度、安全評估和風(fēng)險處置手段、應(yīng)急預(yù)案等, 這些措施應(yīng)覆蓋網(wǎng)絡(luò)安全的各個方面,達到能夠解決的安全問題及時解決,可以減輕的安全問題進行加固,不能解決的問題編制應(yīng)急預(yù)案減少安全威脅。與此同時,需要強有力的管理來保障這些制度和手段落到實處。

參考文獻：

[1] 徐鵬,廖建新,吳乃星,馬旭濤.基于軟交換的集群媒體服務(wù)器的安全問題及其解決方案[J].計算機應(yīng)用研究,2006(6).

篇9

關(guān)鍵詞：信息科技；風(fēng)險；防范與控制

中圖分類號：F832.35

信息科技在農(nóng)村金融機構(gòu)中發(fā)揮的作用也越來越大，各項業(yè)務(wù)對科技支撐的依賴程度越來越高，信息科技逐漸成為農(nóng)村金融機構(gòu)穩(wěn)健運營和發(fā)展的支柱。但也應(yīng)該看到，隨著對信息科技投入的不斷增加，信息系統(tǒng)規(guī)模的不斷擴大，信息科技風(fēng)險的難測性和隱蔽性帶來的風(fēng)險也越來越突出，信息科技風(fēng)險潛存的威脅越來越嚴重。目前，農(nóng)村金融機構(gòu)信息科技風(fēng)險管理水平仍處于初級階段，如何有效管理信息化過程中產(chǎn)生的信息科技風(fēng)險，使現(xiàn)代化的信息科技更好地服務(wù)于業(yè)務(wù)發(fā)展，已經(jīng)成為農(nóng)村金融機構(gòu)必須面對的挑戰(zhàn)。

1 農(nóng)村金融機構(gòu)信息科技所面臨的風(fēng)險

農(nóng)村金融機構(gòu)信息科技風(fēng)險是指，信息科技在被農(nóng)村金融機構(gòu)運用過程中，由于技術(shù)漏洞、管理缺陷、人為因素、自然因素等原因而造成的問題或危機。我國農(nóng)村金融機構(gòu)信息科技管理手段相對落后，管理機構(gòu)對信息科技的風(fēng)險認識不足，對科技風(fēng)險管理工作不夠重視，信息管理水平較低，發(fā)生風(fēng)險事故的概率高，且一旦發(fā)生危機，難以拿出強有力的應(yīng)急處置措施。具體來說，在以下幾方面體現(xiàn)尤其明顯：

1.1 對信息科技管理認識不足

目前我國農(nóng)村金融機構(gòu)管理層普遍對信息科技風(fēng)險認識不足，主要體現(xiàn)在兩方面。一是存在如下普遍問題：重信息科技建設(shè)，輕信息科技管理；重提升信息科技建設(shè)的檔次，輕信息科技風(fēng)險的防范；重銀行業(yè)務(wù)的發(fā)展，輕風(fēng)險管理和長期規(guī)劃。這與他們對信息科技管理知識的缺乏有關(guān)。二是從業(yè)人員方面。信息科技管理需要農(nóng)村金融機構(gòu)內(nèi)所有人員的參與，上至領(lǐng)導(dǎo)層，下至普通員工，乃至一線操作人員，目前都沒有形成人人有責(zé)的風(fēng)險防范意識，對信息安全的重要性認識不足。

1.2 缺乏必要的應(yīng)急機制保障

盡管農(nóng)村金融機構(gòu)都會制定系統(tǒng)應(yīng)急預(yù)案，但往往忽略配套的應(yīng)急培訓(xùn)，缺乏有效的應(yīng)急演練和壓力測試，一旦緊急事故發(fā)生，對問題的及時完滿處理就得不到保障。有些農(nóng)村金融機構(gòu)制定的系統(tǒng)應(yīng)急預(yù)案存在著涵蓋面過于籠統(tǒng)，在針對性和可操縱性方面存在著不足，這又直接關(guān)系著問題的處理效果。更多的農(nóng)村金融機構(gòu)在業(yè)務(wù)連續(xù)性方面缺乏有效的技術(shù)支持，只局限在網(wǎng)絡(luò)及數(shù)據(jù)的備份層次，沒有災(zāi)備，再者管理組織不夠完善，一旦發(fā)生重大風(fēng)險，就難以完成應(yīng)急的有效性。這些情況都嚴重影響著應(yīng)急執(zhí)行效果，對風(fēng)險的有效排除和危機的處理難以保障。

1.3 缺乏健全的組織機構(gòu)及崗位設(shè)置

我國農(nóng)村金融機構(gòu)對科技部門重視不足，普遍存在科技部門人員配備不足的現(xiàn)象。一個科技人員往往身兼數(shù)職，在重要崗位經(jīng)常發(fā)生AB崗位制度難以落實的情況。雖然有風(fēng)險管理部門的設(shè)置，但該部門一般只發(fā)揮管控資產(chǎn)、負債類業(yè)務(wù)風(fēng)險的作用，不涉及信息科技風(fēng)險職能。農(nóng)村金融機構(gòu)應(yīng)該高度重視科技風(fēng)險管理工作，設(shè)置更健全的組織機構(gòu)和崗位，不能讓科技部門既是信息系統(tǒng)的建設(shè)者和維護者，又是信息科技風(fēng)險的管理者，因為這樣會在形成有效的制衡機制、有效識別并量化可能存在的信息科技風(fēng)險方面存在著不足。

1.4 科技從業(yè)人員素質(zhì)相對偏低

目前我國農(nóng)村金融機構(gòu)科技部門普遍存在著從業(yè)人員專業(yè)素質(zhì)偏低的現(xiàn)象?，F(xiàn)有的從業(yè)人員工作重點主要體現(xiàn)在日常基礎(chǔ)性設(shè)備和網(wǎng)絡(luò)工作的維護，更多掌握的是系統(tǒng)設(shè)備維護、機房管理等常規(guī)性工作，忽視了專業(yè)化的信息科技風(fēng)險培訓(xùn)，因而對信息科技風(fēng)險管理知識和相關(guān)專業(yè)知識相對缺乏，對信息科技管理、規(guī)避科技風(fēng)險等管理性工作涉及較少，很難有效及時認識到各項系統(tǒng)存在的漏洞，更別提全面隱患的排查和消除。

1.5 基礎(chǔ)設(shè)施安全建設(shè)存在隱患

基礎(chǔ)設(shè)施安全的隱患主要體現(xiàn)在兩方面：一是機房管理不善；二是網(wǎng)絡(luò)運行安全性不高。我國農(nóng)村金融機構(gòu)的機房普遍存在著防火、防水、供電等不達標的現(xiàn)象，沒有設(shè)置相應(yīng)的防雷系統(tǒng)，門禁系統(tǒng)缺失、監(jiān)控盲區(qū)的存在等等，這都是機房管理安全急需解決的問題。在網(wǎng)絡(luò)運行方面，由于數(shù)據(jù)的大集中，對農(nóng)村基層網(wǎng)絡(luò)的穩(wěn)定性和通暢性都提出了更高要求。現(xiàn)實情況是，農(nóng)村金融機構(gòu)存在未按監(jiān)管要求配置主備通訊線路現(xiàn)象，這樣導(dǎo)致基層網(wǎng)點出現(xiàn)不能正常辦理業(yè)務(wù)的可能性增大，造成不良的影響。

1.6 電子銀行風(fēng)險管理不到位

信息科技的出現(xiàn)為農(nóng)村金融機構(gòu)各項業(yè)務(wù)的豐富和高效提供了方便，促進了我國農(nóng)村金融機構(gòu)信息科技建設(shè)的飛速發(fā)展。隨著信息科技在各個業(yè)務(wù)領(lǐng)域的不斷深入，農(nóng)村金融機構(gòu)的業(yè)務(wù)呈現(xiàn)飛速增長趨勢，尤其是信息科技的優(yōu)勢體現(xiàn)――電子銀行的應(yīng)用。在這樣的環(huán)境下，多數(shù)農(nóng)村金融機構(gòu)的管理重心都放在了傳統(tǒng)業(yè)務(wù)發(fā)展方面，疏于電子銀行風(fēng)險的管理。雖然制定了電子銀行相關(guān)的各項管理制度，但在具體的執(zhí)行上，仍然存在著嚴重的不到位情況，加上人員配置的不夠，最終直接導(dǎo)致電子銀行風(fēng)險管理缺失。因此，目前我國農(nóng)村金融機構(gòu)中的電子銀行風(fēng)險處于多發(fā)、高發(fā)期。

2 農(nóng)村金融機構(gòu)信息科技風(fēng)險防控策略

2.1 增強風(fēng)險防范意識，加大風(fēng)險管理投入

信息科技工作對農(nóng)村金融機構(gòu)經(jīng)營起著重要基礎(chǔ)和保障作用，必須充分認識信息科技風(fēng)險防范在金融機構(gòu)監(jiān)管中的重要性。農(nóng)村金融機構(gòu)高層管理者必須提高信息科技風(fēng)險防范的思想認識，對信息科技風(fēng)險的管理加深了解，加強信息科技風(fēng)險監(jiān)管工作的管理工作，最終將信息科技風(fēng)險管理工作納入日常經(jīng)營中去。同時，要加強信息科技安全建設(shè)方面的投入，及時消除信息科技系統(tǒng)所面臨的各種風(fēng)險和隱患，保障農(nóng)村金融機構(gòu)的穩(wěn)步和連續(xù)性運行。

2.2 完善應(yīng)急預(yù)案，加強應(yīng)急演練

農(nóng)村金融機構(gòu)要細化危機場景，完善應(yīng)急預(yù)案，定期對信息科技人員開展應(yīng)急管理培訓(xùn)，根據(jù)自身實際情況不斷完善應(yīng)急預(yù)案的內(nèi)容，做到“責(zé)任明確、流程明確、預(yù)案明確、報告明確、聯(lián)絡(luò)明確”，并確保預(yù)案的具體性和可操作性，從業(yè)人員在不斷進行應(yīng)急預(yù)案演練的過程中，不斷提高自身的應(yīng)急能力、抗風(fēng)險的能力和處理突發(fā)事件的能力。另外，為了確保信息系統(tǒng)業(yè)務(wù)的連續(xù)性，農(nóng)村金融機構(gòu)還要加強業(yè)務(wù)連續(xù)性管理，根據(jù)自身真實狀況加強業(yè)務(wù)連續(xù)性體系建設(shè)，制定切實可行的業(yè)務(wù)連續(xù)性計劃，并定期不定期開展業(yè)務(wù)連續(xù)性應(yīng)急演練。

2.3 增強從業(yè)人員專業(yè)素質(zhì)，加強崗位管理

針對高素質(zhì)專業(yè)從業(yè)人員不足和崗位配置不足的問題，一是加大農(nóng)村金融機構(gòu)的人員投入，引入高素質(zhì)的信息科技人員，同時加大從業(yè)人員的培訓(xùn)力度，培養(yǎng)一批專門從事信息科技風(fēng)險管理工作的專業(yè)人才。其次是增加管理、運行、維護等崗位人員的配置，關(guān)鍵崗位設(shè)置有效的AB崗位，滿足崗位需求。最后，根據(jù)《商業(yè)銀行信息科技風(fēng)險管理指引》要求，完善相關(guān)信息科技風(fēng)險管理管理制度，加強信息科技風(fēng)險審計，最終形成人員控制、制度保障、審計監(jiān)督三位一體的信息科技風(fēng)險管理模式。

2.4 加強基礎(chǔ)設(shè)施建設(shè)，提升基礎(chǔ)設(shè)施安全水平

重點加強機房電力、UPS、消防系統(tǒng)等關(guān)鍵機房環(huán)境設(shè)備安全的保障，針對基礎(chǔ)設(shè)施不完善的情況，農(nóng)村金融機構(gòu)要采取有效措施改善，保障業(yè)務(wù)系統(tǒng)工作的連續(xù)性。同時完善機房管理制度，實時監(jiān)控各種設(shè)備的運行狀況，做到對設(shè)備故障的有效預(yù)測和報警。還要組織專業(yè)人員定期對基礎(chǔ)設(shè)施進行風(fēng)險排查，檢驗基礎(chǔ)設(shè)施相關(guān)的安全、流程和管理措施漏洞，確?；A(chǔ)設(shè)施安全管理有效性

2.5 加強電子銀行風(fēng)險防范

農(nóng)村金融機構(gòu)要采取必要手段防范犯罪分子利用銀行卡、網(wǎng)上銀行、ATM、POS等金融機具實施的不法活動。一方面，可通過提高網(wǎng)絡(luò)安全、網(wǎng)上銀行身份認證等級、合理制定POS、ATM和網(wǎng)上銀行的交易限額等技術(shù)手段加強防范，另一方面可借助通過公眾金融服務(wù)教育和柜面宣傳增強風(fēng)險防范合力，加強審查力度，強化電子銀行業(yè)務(wù)風(fēng)險防范。

2.6 加強風(fēng)險管理文化建設(shè)，提高員工風(fēng)險意識

風(fēng)險管理文化是風(fēng)險管理體系的靈魂，要樹立信息科技風(fēng)險管理文化意識，大力塑造與培育濃厚的信息科技風(fēng)險管理文化，同時將信息科技風(fēng)險管理文化建設(shè)很好地融入到企業(yè)文化建設(shè)中，并將信息科技風(fēng)險管理文化轉(zhuǎn)化為廣大員工自覺的行動與共同的認知。加強員工信息安全教育及法律素質(zhì)教育，增強法律觀念和信息科技風(fēng)險防范意識，人人正確樹立信息科技風(fēng)險意識，人人提高信息科技風(fēng)險知識水平。

參考文獻：

[1]中國銀行業(yè)監(jiān)督管理委員會.農(nóng)村中小金融機構(gòu)風(fēng)險管理機制建設(shè)指引，2009-12-1.

[2]中國銀行業(yè)監(jiān)督管理委員會.商業(yè)銀行信息科技風(fēng)險管理指引，2009-3-3.

篇10

關(guān)鍵詞 電子政務(wù) 信息安全體系 安全支撐體系

中圖分類號：TP393 文獻標識碼：A

新時期的經(jīng)濟、文化、生態(tài)文明建設(shè)等都離不開電子政務(wù)的支撐。在對電子政務(wù)系統(tǒng)進行建設(shè)中，由于其自身發(fā)展的不完善，以及各種有意無意的電子政務(wù)違法犯罪行為，利益集團在電子政務(wù)上的利益博弈，進而使得電子政務(wù)安全問題頻頻發(fā)生。

1電子政務(wù)系統(tǒng)安全介紹

1.1電子政務(wù)系統(tǒng)的信息安全及其重要性

由于電子政務(wù)系統(tǒng)建立在互聯(lián)網(wǎng)基礎(chǔ)平臺上，包含政務(wù)外網(wǎng)、內(nèi)網(wǎng)和門戶網(wǎng)。而互聯(lián)網(wǎng)是有很多缺陷的全球網(wǎng)絡(luò)，自身的安全風(fēng)險隱患很多，使在互聯(lián)網(wǎng)上開展的電子政務(wù)應(yīng)用面臨著嚴峻的挑戰(zhàn)。

電子政務(wù)系統(tǒng)的信息安全是指一個國家的政府信息資源不受外來的侵害與威脅，信息資源不被故意的或偶然的非法授權(quán)泄漏、更改，防止信息被非法入侵者辨識、竊取、控制、利用等。信息安全成為如今政府信息化中的關(guān)鍵問題。安全問題是電子政務(wù)建設(shè)中的重中之重。信息安全包括：存儲傳輸、系統(tǒng)風(fēng)險管理、審計跟蹤、備份與恢復(fù)、應(yīng)急響應(yīng)等方面的安全內(nèi)容。

電子政務(wù)直接涉及到各級政府的重要核心政務(wù)，必須要求電子政務(wù)實施的過程具有極高的可靠性和安全性。電子政務(wù)系統(tǒng)中的信息安全還涉及到了公眾權(quán)益、個人信息保密，甚至國家利益、社會穩(wěn)定和國家安全等重要的問題。

1.2電子政務(wù)系統(tǒng)的信息安全意義

信息安全主要是采取各種措施，保證信息的機密性、完整性、一致性和不可否認性等。信息安全技術(shù)廣泛應(yīng)用于電子政務(wù)，規(guī)范了政務(wù)處理的流程，加快了信息流動，提高了政務(wù)處理效率，給政務(wù)工作方式帶來了全新的變化。

當(dāng)今，我國電子政務(wù)中信息安全技術(shù)主要有：數(shù)據(jù)加密技術(shù)、認證技術(shù)與數(shù)字簽名、信息安全分級等級保護方法、入侵檢測安全技術(shù)、政務(wù)系統(tǒng)安全域劃分技術(shù)、虛擬專網(wǎng)技術(shù)、防火墻技術(shù)。

2電子政務(wù)系統(tǒng)結(jié)構(gòu)模型及其系統(tǒng)安全體系的分析

2.1電子政務(wù)系統(tǒng)結(jié)構(gòu)模型

我國電子政務(wù)系統(tǒng)結(jié)構(gòu)從“三網(wǎng)一庫”到政務(wù)內(nèi)外網(wǎng)結(jié)構(gòu)，使得數(shù)據(jù)信息能夠?qū)崟r快速的進行交換處理，地方政府尤其是基層政府對群眾的服務(wù)需求的反應(yīng)更加迅速。內(nèi)外網(wǎng)結(jié)構(gòu)模型，如圖1所示。

2.2電子政務(wù)系統(tǒng)安全體系的分析設(shè)計

保障電子政務(wù)系統(tǒng)安全各組成部分構(gòu)成電子政務(wù)系統(tǒng)安全體系。它包括電子政務(wù)安全支撐部分與電子政務(wù)安全法律法規(guī)部分，而電子政務(wù)安全支撐部分又由安全基礎(chǔ)設(shè)備與設(shè)施、信息安全技術(shù)、安全管理、安全應(yīng)急響應(yīng)系統(tǒng)組成。

要建立全方位、多層次的、完善的電子政務(wù)系統(tǒng)安全體系，需要從這電子政務(wù)安全支撐部分的四個部分與電子政務(wù)安全法律法規(guī)部分這些方面來設(shè)計構(gòu)造電子政務(wù)系統(tǒng)安全體系的框架模型。

3電子政務(wù)安全支撐結(jié)構(gòu)構(gòu)建

3.1電子政務(wù)系統(tǒng)安全的隱患介紹

電子政務(wù)系統(tǒng)安全性被破壞，造成機密的信息暴露或丟失，或網(wǎng)絡(luò)被攻擊導(dǎo)致系統(tǒng)功能毀壞等安全事件，帶來的后果必然極為嚴重，不堪設(shè)想，電子政務(wù)信息系統(tǒng)也必然成為信息間諜、黑客等各類違法犯罪分子攻擊的目標。電子政務(wù)系統(tǒng)安全主要包括以下方面的隱患：物理安全、系統(tǒng)安全、網(wǎng)絡(luò)安全、應(yīng)用安全及管理安全。

3.2電子政務(wù)安全支撐構(gòu)建分析

根據(jù)電子政務(wù)系統(tǒng)安全隱患，電子政務(wù)安全支撐部分主要由以下部分組成：安全基礎(chǔ)設(shè)備與設(shè)施；信息安全技術(shù)；安全管理；安全應(yīng)急響應(yīng)系統(tǒng)。

（1）電子政務(wù)建設(shè)的安全基礎(chǔ)設(shè)備與設(shè)施

電子政務(wù)系統(tǒng)安全基礎(chǔ)設(shè)備與設(shè)施是指能夠為電子政務(wù)系統(tǒng)提供安全保障的物理硬件環(huán)境、設(shè)施設(shè)備和軟件環(huán)境。它的具體內(nèi)容主要包括以下方面：

①保護電子政務(wù)物理硬件設(shè)備、設(shè)施以及其它硬件媒體免遭水災(zāi)、地震、火災(zāi)等環(huán)境事故，人為操作的失誤或錯誤，及各種計算機犯罪行為導(dǎo)致的破壞物理硬件環(huán)境、設(shè)施設(shè)備。

②能夠為電子政務(wù)系統(tǒng)中的通信、交易各方提供共同信任的權(quán)限授予、握手協(xié)議、秘鑰的分發(fā)和身份認證的公共第三方安全基礎(chǔ)設(shè)施，它包括基于PKI技術(shù)的CA認證中心、可信的時間戳服務(wù)中心、密碼秘鑰管理中心、基于PMI的授權(quán)管理設(shè)施、信任策略庫等安全基礎(chǔ)設(shè)施。

（2）信息安全技術(shù)

電子政務(wù)安全技術(shù)是指保護電子政務(wù)系統(tǒng)正常安全工作的安全方法、原則、規(guī)則等。安全技術(shù)是由保障電子政務(wù)系統(tǒng)安全工作的技術(shù)組成的總和，電子政務(wù)安全技術(shù)主要由信息安全技術(shù)構(gòu)成。信息安全技術(shù)廣泛的應(yīng)用在對電子政務(wù)系統(tǒng)起安全防護作用及起基礎(chǔ)安全支撐作用等其他輔助作用的系統(tǒng)中，它負責(zé)電子政務(wù)系統(tǒng)的網(wǎng)絡(luò)安全、局部計算的環(huán)境安全、區(qū)域邊界安全等方面的保護以及能夠為電子政務(wù)系統(tǒng)中的通信、交易各方提供共同信任的權(quán)限授予、握手協(xié)議、秘鑰的分發(fā)和身份認證的基礎(chǔ)安全支撐，它包括應(yīng)用在防火墻系統(tǒng)、漏洞掃描系統(tǒng)、入侵監(jiān)測系統(tǒng)、路由器、Web防篡改系統(tǒng)、DNS服務(wù)器安全系統(tǒng)、網(wǎng)絡(luò)防病毒系統(tǒng)、基于PKI技術(shù)的CA認證中心、密碼秘鑰管理中心、基于PMI的授權(quán)管理設(shè)施等設(shè)施或系統(tǒng)中的信息安全技術(shù)。

（3）安全管理

保障電子政務(wù)系統(tǒng)安全的一個重要核心是安全管理，安全管理是確保安全技術(shù)得以有效實施的重要保障。依據(jù)電子政務(wù)系統(tǒng)的安全需求及系統(tǒng)所出現(xiàn)的問題，安全管理部分應(yīng)該包括以下內(nèi)容：安全管理的組織機構(gòu)的設(shè)立、安全管理的規(guī)章制度的制定、對安全技術(shù)的管理、對系統(tǒng)工作人員的管理與培訓(xùn)、安全管理技術(shù)體系、對安全基礎(chǔ)設(shè)備設(shè)施的管理、安全策略的制定與管理、對系統(tǒng)安全問題的管理、對從事電子政務(wù)系統(tǒng)安全工作的單位與個人的資質(zhì)證書的認證等、對系統(tǒng)安全性能風(fēng)險的評估與安全資產(chǎn)價值的評估、對安全管理的組織及其管理工作人員的工作職責(zé)的監(jiān)督審查等。

（4）安全應(yīng)急響應(yīng)系統(tǒng)

安全應(yīng)急預(yù)案又稱為安全事件預(yù)警與應(yīng)急響應(yīng)方案，它是建立起應(yīng)對安全突發(fā)事件的綜合系統(tǒng)，電子政務(wù)安全應(yīng)急響應(yīng)系統(tǒng)是指通過整體部署入侵檢測、安全性能風(fēng)險評估、預(yù)警與響應(yīng)等的應(yīng)用，作為有效的技術(shù)支撐手段，建立起以安全工作人員隊伍為基礎(chǔ)、技術(shù)服務(wù)隊伍為后備，構(gòu)建組織管理，制定制度規(guī)范標準、預(yù)案流程等綜合措施，以便盡早分析、發(fā)現(xiàn)和確認將要發(fā)生或己發(fā)生的有嚴重危害的網(wǎng)絡(luò)安全和計算機突發(fā)事件，并對其進行應(yīng)急響應(yīng)，采取有效應(yīng)對措施，以盡可能降低將要造成的危害和損失的綜合安全系統(tǒng)。

安全應(yīng)急響應(yīng)服務(wù)指當(dāng)安全事件發(fā)生后，安全運維服務(wù)團隊根據(jù)安全突發(fā)事件及預(yù)案快速應(yīng)急響應(yīng)。應(yīng)急響應(yīng)預(yù)案應(yīng)按照準備、檢測、抑制、根除、恢復(fù)、跟蹤等一系列標準措施制定，保證網(wǎng)絡(luò)安全無憂，預(yù)防危險發(fā)生。應(yīng)急處理和災(zāi)難恢復(fù)。這是電子政務(wù)建設(shè)近期迫切需要的。

（5）電子政務(wù)安全法律法規(guī)

國家相關(guān)部門最新數(shù)據(jù)顯示，中國遭受境外網(wǎng)絡(luò)攻擊的情況日趨嚴重，僅今年前兩個月，就有境外5324臺主機通過植入后門對中國境內(nèi)11421個網(wǎng)站實施遠程控制，此外，針對中國網(wǎng)上銀行、支付平臺、網(wǎng)上商城等的釣魚網(wǎng)站有96%位于境外，中國境內(nèi)遭受網(wǎng)絡(luò)攻擊的情況十分嚴重。因此面對如此嚴峻形勢，需要國家相關(guān)部門盡快出臺國家信息安全戰(zhàn)略，確保網(wǎng)絡(luò)空間有法可依，并加大網(wǎng)絡(luò)違法犯罪打擊力度，整合部門、企業(yè)、社會組織等構(gòu)建國家網(wǎng)絡(luò)安全綜合防御體系，切實維護網(wǎng)絡(luò)安全，尤其是保障電子政務(wù)網(wǎng)絡(luò)的安全。

4總結(jié)

如何保障電子政務(wù)安全，做好電子政務(wù)安全建設(shè)，成為各國政府亟待解決的問題。作為一個龐大的系統(tǒng)工程，電子政務(wù)系統(tǒng)安全體系的建設(shè)是其中的一個極為重要的復(fù)雜的系統(tǒng)工程，信息安全支撐部分是電子政務(wù)系統(tǒng)安全體系中的重要組成部分，也是保障電子政務(wù)系統(tǒng)安全的極為重要的手段。通過對電子政務(wù)系統(tǒng)信息安全支撐系統(tǒng)進行介紹，進而為構(gòu)建安全電子政務(wù)系統(tǒng)提供一定借鑒意義。

參考文獻

[1] 張劍鋒.電子政務(wù)安全體系研究[J].數(shù)字技術(shù)與應(yīng)用，2013（11）.