引論:我們?yōu)槟砹?3篇信息安全調(diào)查報(bào)告范文,供您借鑒以豐富您的創(chuàng)作。它們是您寫作時(shí)的寶貴資源,期望它們能夠激發(fā)您的創(chuàng)作靈感,讓您的文章更具深度。
篇1
調(diào)查的內(nèi)容主要包括被調(diào)查單位自然狀況、網(wǎng)絡(luò)應(yīng)用狀況、網(wǎng)絡(luò)信息安全的軟硬件(包括規(guī)章制度)、緊急情況及應(yīng)對(duì)措施和政府政策的支持等五個(gè)方面。
由此可見,本次調(diào)查的結(jié)果具有一定的代表性。
一、網(wǎng)絡(luò)安全問(wèn)題不容樂(lè)觀
Internet技術(shù)的高速發(fā)展帶動(dòng)了單位及政府各部門的上網(wǎng)工程,他們紛紛采用先進(jìn)的互聯(lián)網(wǎng)技術(shù)建立自己的內(nèi)部辦公網(wǎng)(Intranet)。在被訪的單位中,“已經(jīng)建立”單位內(nèi)部網(wǎng)(Intranet)的單位達(dá)82.3%,“正在規(guī)劃”的單位占15.0%,只有2.7%的單位還未考慮單位內(nèi)部網(wǎng)的建設(shè)。在Intranet已建成的單位中,平均每單位擁有1.3臺(tái)服務(wù)器及28.4臺(tái)客戶終端。
當(dāng)問(wèn)及被訪者對(duì)于信息系統(tǒng)安全的認(rèn)識(shí)時(shí),92.2%的被訪者認(rèn)為信息系統(tǒng)的安全事關(guān)單位運(yùn)行,其余認(rèn)為不很重要的被訪單位均還未建立單位內(nèi)部網(wǎng)。由此看來(lái),享受到信息共享的單位已充分意識(shí)到網(wǎng)絡(luò)安全的重要性。在信息安全的六個(gè)領(lǐng)域,被訪者對(duì)其重要性的認(rèn)知不一,90.3%的被訪者認(rèn)為病毒防護(hù)最重要,81.7%的被訪者認(rèn)為防止來(lái)自Internet的惡意入侵的重要性次之,排名第三重要的為服務(wù)器及數(shù)據(jù)庫(kù)應(yīng)用的訪問(wèn)控制和內(nèi)部用戶口令管理、安全審計(jì)(均為75.9%),第四、五位為數(shù)據(jù)加密和虛擬單位網(wǎng)(59.4%)和身份鑒別、電子簽名(58.8%)。
在已建立單位內(nèi)部網(wǎng)的單位中,其信息安全領(lǐng)域亟待解決的問(wèn)題分別有病毒防護(hù)、防止來(lái)自Internet的惡意入侵、服務(wù)器及數(shù)據(jù)庫(kù)應(yīng)用的訪問(wèn)控制、內(nèi)部用戶口令管理、安全審計(jì)、身份鑒別、電子簽名、數(shù)據(jù)加密和虛擬單位網(wǎng)。電腦主管對(duì)以上問(wèn)題處理的緊急程度可以體現(xiàn)出其問(wèn)題的重要性。在以上單位中,68.2%的被訪單位已感受到網(wǎng)絡(luò)安全的威脅,其中35.8%的被訪者認(rèn)為威脅主要來(lái)自于單位外部,另外32.4%的被訪者認(rèn)為威脅主要源于內(nèi)部。
二、安全投入有待提高
從技術(shù)層面來(lái)看,網(wǎng)絡(luò)安全現(xiàn)在已經(jīng)有了各種各樣的解決方案,但在實(shí)際應(yīng)用過(guò)程中,真正重視網(wǎng)絡(luò)安全的單位并不是很多。在國(guó)外單位的IT投資中,網(wǎng)絡(luò)安全投資將占20~30%,而在中國(guó),單位對(duì)網(wǎng)絡(luò)安全的投資在整個(gè)IT系統(tǒng)投資中的比例不到10%。本次調(diào)查結(jié)果驗(yàn)證了這一說(shuō)法,高達(dá)75.5%的被訪單位能夠接受網(wǎng)絡(luò)安全產(chǎn)品投資在信息化建設(shè)總投資中的比例都在五個(gè)百分點(diǎn)以下。
“服務(wù)是增值商品”的概念在中國(guó)還不普及。在問(wèn)及被訪者是否愿意接受免費(fèi)或低價(jià)但需為此支付服務(wù)費(fèi)用的網(wǎng)絡(luò)安全產(chǎn)品時(shí),53.8%被訪者愿意,29.5%的被訪者認(rèn)為無(wú)所謂,16.7%被訪者明確表示不愿意。在愿意接受服務(wù)費(fèi)用的被訪者中,比例也不高,通常都在3%以下。
三、曾遇到的網(wǎng)絡(luò)安全問(wèn)題及其處理
在問(wèn)及被訪單位遭受病毒侵害的悲慘遭遇時(shí),有18.0%的被訪單位很慶幸地回答“從沒(méi)有”遭受過(guò)病毒的侵害。在遭受侵害的單位中,頻率多為一年或更長(zhǎng)(21.3%)、一個(gè)季度(21.0%)、半年(18.3%)和一個(gè)月(16.2%)。為免遭病毒和黑客的侵?jǐn)_造成損失,14.8%的單位時(shí)時(shí)備份數(shù)據(jù),25.3%的單位每天備份一次數(shù)據(jù),28.2%的單位每周做一次備份,23.0%的被訪單位的備份頻率較為稀疏,為8天或更長(zhǎng)時(shí)間。從以上數(shù)據(jù)中我們發(fā)現(xiàn),單位備份數(shù)據(jù)的周期通常為時(shí)時(shí)備份、當(dāng)天、一周。在從不備份的單位中,多是從未嘗試到病毒威力或長(zhǎng)時(shí)間未遭受侵害的單位。在單位備份數(shù)據(jù)和文件時(shí)使用最多的介質(zhì)是可擦寫光盤(48.8%)、軟盤(44.2%)和磁帶機(jī)(37.8%)。
隨著互聯(lián)網(wǎng)的日益普及,計(jì)算機(jī)安全問(wèn)題不再僅僅局限于單機(jī)安全。由于病毒不僅可以通過(guò)軟盤,而且能通過(guò)網(wǎng)絡(luò)傳播,隨著聯(lián)入因特網(wǎng)的用戶不斷增加,受國(guó)際病毒傳播的機(jī)率大大增加,所以,使得計(jì)算機(jī)病毒防范、防治范圍也不斷擴(kuò)大,加之計(jì)算機(jī)犯罪的手段近年來(lái)出現(xiàn)日趨新穎化、多樣化和隱蔽化的發(fā)展態(tài)勢(shì)。據(jù)被訪者對(duì)于不同類別的安全防護(hù)產(chǎn)品的市場(chǎng)潛力預(yù)測(cè)顯示,網(wǎng)絡(luò)防病毒產(chǎn)品的市場(chǎng)潛力最大,為54.3%,其次為網(wǎng)絡(luò)監(jiān)測(cè)產(chǎn)品(20.1%),再次為端到端安全通道及認(rèn)證(13.8%),網(wǎng)絡(luò)安全評(píng)估審計(jì)產(chǎn)品和VPN產(chǎn)品的潛力較小,分別為7.9%和3.9%,由此可見病毒給單位帶來(lái)的巨大壓力。
調(diào)查顯示,所有單位遇到的首要網(wǎng)絡(luò)安全問(wèn)題是病毒襲擊,其他安全問(wèn)題依次是:未授權(quán)的信息存取、網(wǎng)站內(nèi)容遭破壞、未授權(quán)的數(shù)據(jù)或配置的更改。從規(guī)模來(lái)看,50~100人的單位遇到的安全問(wèn)題最多;
對(duì)于網(wǎng)絡(luò)安全產(chǎn)品,目前使用最多的是防病毒軟件,在200個(gè)被訪用戶中,有191個(gè)正在使用防病毒產(chǎn)品,占總數(shù)的95.5%;其次是防火墻產(chǎn)品,使用者占45.0%。
在問(wèn)及遭到攻擊后是否向政府相關(guān)法律部門報(bào)告時(shí),65%的單位選擇不會(huì),其中70%認(rèn)為報(bào)告會(huì)引發(fā)消極影響(例如客戶對(duì)其保護(hù)其私人信息安全的能力的懷疑),12%的人為不知道向哪個(gè)部門報(bào)告,還有8%的認(rèn)為采取內(nèi)部補(bǔ)救措施比報(bào)告來(lái)得更好。
四、最迫切需要的網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)
調(diào)查顯示,目前有36.5%的用戶對(duì)網(wǎng)絡(luò)安全產(chǎn)品無(wú)需求,無(wú)需求主要有兩種情況:一是已有網(wǎng)絡(luò)安全產(chǎn)品,暫無(wú)需求(70%);二是目前未遇到安全問(wèn)題,購(gòu)買安全產(chǎn)品還未納入議事日程(30%)。接下來(lái),需要的網(wǎng)絡(luò)安全產(chǎn)品是防火墻、防病毒、黑客入侵監(jiān)測(cè),分別占被訪者的31.5%、26.0%和18.5%。前兩種產(chǎn)品又是目前使用最多的產(chǎn)品,對(duì)于防病毒產(chǎn)品,單機(jī)版占近一半。黑客入侵監(jiān)測(cè)、漏洞掃描等也有許多用戶迫切需求,這說(shuō)明一些用戶的總體網(wǎng)絡(luò)安全意識(shí)已經(jīng)提高。
在問(wèn)及希望政府的支持方面,76.3%的單位認(rèn)為政府相關(guān)部門應(yīng)開通企業(yè)信息化管理咨詢熱線提供對(duì)口技術(shù)支持,20%希望政府開設(shè)信息安全方面的免費(fèi)講座。96%的認(rèn)為應(yīng)該加強(qiáng)相關(guān)法律建設(shè)。
調(diào)查報(bào)告最后認(rèn)為,我國(guó)國(guó)內(nèi)企業(yè)的信息化基礎(chǔ)建設(shè)整體還比較落后,投入較少,對(duì)網(wǎng)絡(luò)信息安全缺乏足夠的重視,網(wǎng)絡(luò)信息安全前景不容樂(lè)觀。
篇2
(一)安全制度落實(shí)情況
1、成立了安全小組。明確了信息安全的主管領(lǐng)導(dǎo)和具體負(fù)責(zé)管護(hù)人員,安全小組為管理機(jī)構(gòu)。
2、建立了信息安全責(zé)任制。按責(zé)任規(guī)定:保密小組對(duì)信息安全負(fù)首責(zé),主管領(lǐng)導(dǎo)負(fù)總責(zé),具體管理人負(fù)主責(zé)。
3、制定了計(jì)算機(jī)及網(wǎng)絡(luò)的保密管理制度。鎮(zhèn)網(wǎng)站的信息管護(hù)人員負(fù)責(zé)保密管理,密碼管理,對(duì)計(jì)算機(jī)享有獨(dú)立使用權(quán),計(jì)算機(jī)的用戶名和開機(jī)密碼為其專有,且規(guī)定嚴(yán)禁外泄。
(二)安全防范措施落實(shí)情況
1、計(jì)算機(jī)經(jīng)過(guò)了保密技術(shù)檢查,并安裝了防火墻。同時(shí)配置安裝了專業(yè)殺毒軟件,加強(qiáng)了在防篡改、防病毒、防攻擊、防癱瘓、防泄密等方面有效性。
2、計(jì)算機(jī)都設(shè)有開機(jī)密碼,由專人保管負(fù)責(zé)。同時(shí),計(jì)算機(jī)相互共享之間沒(méi)有嚴(yán)格的身份認(rèn)證和訪問(wèn)控制。
3、網(wǎng)絡(luò)終端沒(méi)有違規(guī)上國(guó)際互聯(lián)網(wǎng)及其他的信息網(wǎng)的現(xiàn)象,沒(méi)有安裝無(wú)線網(wǎng)絡(luò)等。
4、安裝了針對(duì)移動(dòng)存儲(chǔ)設(shè)備的專業(yè)殺毒軟件。
(三)應(yīng)急響應(yīng)機(jī)制建設(shè)情況
1、制定了初步應(yīng)急預(yù)案,并隨著信息化程度的深入,結(jié)合我鎮(zhèn)實(shí)際,處于不斷完善階段。
2、堅(jiān)持和計(jì)算機(jī)系統(tǒng)定點(diǎn)維修單位聯(lián)系機(jī)關(guān)計(jì)算機(jī)維修事宜,并商定其給予鎮(zhèn)應(yīng)急技術(shù)以最大程度的支持。
3、嚴(yán)格文件的收發(fā),完善了清點(diǎn)、修理、編號(hào)、簽收制度,并要求信息管理員每天下班前進(jìn)行系統(tǒng)備份。
(四)信息技術(shù)產(chǎn)品和服務(wù)國(guó)產(chǎn)化情況
1、終端計(jì)算機(jī)的保密系統(tǒng)和防火墻、殺毒軟件等,皆為國(guó)產(chǎn)產(chǎn)品。
2、公文處理軟件具體使用金山軟件的wps系統(tǒng)。
3、工資系統(tǒng)、年報(bào)系統(tǒng)等皆為市政府、市委統(tǒng)一指定產(chǎn)品系統(tǒng)。
(五)安全教育培訓(xùn)情況
1、派專人參加了市政府組織的網(wǎng)絡(luò)系統(tǒng)安全知識(shí)培訓(xùn),并專門負(fù)責(zé)我鎮(zhèn)的網(wǎng)絡(luò)安全管理和信息安全工作。
2、安全小組組織了一次對(duì)基本的信息安全常識(shí)的學(xué)習(xí)活動(dòng)。
二、自查中發(fā)現(xiàn)的不足和整改意見
根據(jù)《通知》中的具體要求,在自查過(guò)程中我們也發(fā)現(xiàn)了一些不足,同時(shí)結(jié)合我鎮(zhèn)實(shí)際,今后要在以下幾個(gè)方面進(jìn)行整改。
1、安全意識(shí)不夠。要繼續(xù)加強(qiáng)對(duì)機(jī)關(guān)干部的安全意識(shí)教育,提高做好安全工作的主動(dòng)性和自覺性。
篇3
從這次由北京谷安天下科技有限公司的《2010企業(yè)員工信息安全意識(shí)調(diào)查報(bào)告》中我們可以看到,很多看起來(lái)并不起眼的問(wèn)題,卻隱藏著巨大的安全隱患。
例如,很多員工工作胸卡保管、物品保管存在疏忽,對(duì)于出差時(shí)物理環(huán)境安全、工作區(qū)域的陌生訪客等較為忽視,個(gè)人信息經(jīng)常會(huì)在不經(jīng)意間在網(wǎng)上,個(gè)人密碼也沒(méi)有定期更換,此外,像對(duì)數(shù)據(jù)備份、敏感數(shù)據(jù)、工作資料的保護(hù),對(duì)不明郵件、熟悉發(fā)件人發(fā)的鏈接和動(dòng)畫的處理方式,電腦設(shè)置屏保和密碼以及系統(tǒng)升級(jí)等都存在著或大或小的漏洞。
由于受訪者普遍信息安全意識(shí)的薄弱,平時(shí)的辦公與生活中較多錯(cuò)誤的信息安全操作,導(dǎo)致超過(guò)半數(shù)(58.8%)的受訪者遇到過(guò)1~2次或者經(jīng)常遇到惡意插件和病毒的攻擊,并有所損失。
調(diào)查結(jié)果還顯示,在受訪者信息安全意識(shí)普遍薄弱的情況下,而提高信息安全意識(shí)的培訓(xùn)和宣貫等工作卻做的很少。接受定期的信息安全培訓(xùn)受訪者僅占15.8%。
同時(shí),受訪者在信息安全隱患的認(rèn)知和有效保護(hù)信息安全面臨的最大障礙的認(rèn)知方面,42.8%的受訪者認(rèn)為所有的安全隱患中,個(gè)人信息安全意識(shí)不足是最大的安全隱患,然后依次是沒(méi)有安全制度或制度未落實(shí)、投入或人員不足或缺乏信息安全培訓(xùn)、安全產(chǎn)品功能不足和其他。而對(duì)于目前有效保護(hù)信息安全面臨的最大的障礙,受訪者認(rèn)為最大的障礙是普遍缺乏信息安全意識(shí),其他依次是管理水平落后、技術(shù)不過(guò)關(guān)、法律不健全、信息安全人才不夠和其他障礙。
應(yīng)對(duì)風(fēng)險(xiǎn) 先建“人力防火墻”
篇4
為保障XX市醫(yī)療保障局網(wǎng)絡(luò)和信息安全,提高應(yīng)對(duì)網(wǎng)絡(luò)安全事件的能力,預(yù)防和減少網(wǎng)絡(luò)安全事件造成的損失和危害,進(jìn)一步完善網(wǎng)絡(luò)安全事件應(yīng)急處置機(jī)制,制定本預(yù)案。
1.2編制依據(jù)
《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、《國(guó)家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》、《信息安全技術(shù)信息安全事件分類分級(jí)指南》(GB/Z20986-2007)、《信息安全事件管理指南》(GB/Z20985-2007)、《應(yīng)急預(yù)案編制導(dǎo)則》(GBA29639-2013)、《信息技術(shù)服務(wù)運(yùn)行維護(hù)第3部分:應(yīng)急響應(yīng)規(guī)范》(GBA28827.3-2012)等相關(guān)規(guī)定。
1.3工作原則
強(qiáng)化監(jiān)測(cè),主動(dòng)防御。強(qiáng)化網(wǎng)絡(luò)和信息安全防護(hù)意識(shí),加強(qiáng)日常安全檢測(cè),積極主動(dòng)防御,做到安全風(fēng)險(xiǎn)早發(fā)現(xiàn)。
明確分工,落實(shí)責(zé)任。加強(qiáng)網(wǎng)絡(luò)和信息安全組織體系建設(shè),明確網(wǎng)絡(luò)安全應(yīng)急工作權(quán)責(zé),健全安全信息通報(bào)機(jī)制,做到安全風(fēng)險(xiǎn)早通報(bào)。
快速響應(yīng),有效處置。加強(qiáng)日常監(jiān)管和運(yùn)維,強(qiáng)化人力、物資、技術(shù)等基礎(chǔ)資源儲(chǔ)備,增強(qiáng)應(yīng)急響應(yīng)能力,做到安全問(wèn)題早處置。
1.4適用范圍
本預(yù)案適用于市醫(yī)療保障局網(wǎng)絡(luò)和信息安全事件應(yīng)急工作。
2事件分級(jí)與監(jiān)測(cè)預(yù)警
2.1事件分類
網(wǎng)絡(luò)安全事件分為有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、災(zāi)害性事件和其他網(wǎng)絡(luò)安全事件。
(1)有害程序事件。包括:計(jì)算機(jī)病毒事件、蠕蟲事件、特洛伊木馬事件、僵尸網(wǎng)絡(luò)事件、混合程序攻擊事件、網(wǎng)頁(yè)內(nèi)嵌惡意代碼事件和其他有害程序事件。
(2)網(wǎng)絡(luò)攻擊事件。包括:拒絕服務(wù)攻擊事件、后門攻擊事件、漏洞攻擊事件、網(wǎng)絡(luò)掃描竊聽事件、網(wǎng)絡(luò)釣魚事件、干擾事件和其他網(wǎng)絡(luò)攻擊事件。
(3)信息破壞事件。包括:信息篡改事件、信息假冒事件、信息泄露事件、信息竊取事件、信息丟失事件和其他信息破壞事件。
(4)信息內(nèi)容安全事件。指通過(guò)網(wǎng)絡(luò)傳播法律法規(guī)禁止信息,組織非法串聯(lián)、煽動(dòng)集會(huì)游行或炒作敏感問(wèn)題并危害國(guó)家安全、社會(huì)穩(wěn)定和公眾利益的事件。
(5)設(shè)備設(shè)施故障。包括:軟硬件自身故障、外圍保障設(shè)施故障、人為破壞事故和其他設(shè)備設(shè)施故障。
(6)災(zāi)害性事件。指由自然災(zāi)害等其他突發(fā)事件導(dǎo)致的網(wǎng)絡(luò)安全事件。
(7)其他事件。指除以上所列事件之外的網(wǎng)絡(luò)安全事件。
2.2事件分級(jí)
按照事件性質(zhì)、嚴(yán)重程度、可控性和影響范圍等因素,將市醫(yī)療保障局網(wǎng)絡(luò)和信息安全事件劃分為四級(jí):Ⅰ級(jí)、Ⅱ級(jí)、Ⅲ級(jí)和Ⅳ級(jí),分別對(duì)應(yīng)特別重大、重大、較大和一般安全應(yīng)急事件。
(1)Ⅰ級(jí)(特別重大)。局網(wǎng)絡(luò)和信息系統(tǒng)發(fā)生全局性癱瘓,事態(tài)發(fā)展超出控制能力,產(chǎn)生特別嚴(yán)重的社會(huì)影響或損害的安全事件。
(2)Ⅱ級(jí)(重大)。局網(wǎng)絡(luò)與信息系統(tǒng)發(fā)生大規(guī)模癱瘓,對(duì)社會(huì)造成嚴(yán)重?fù)p害,需要局各科室(單位)協(xié)同處置應(yīng)對(duì)的安全事件。
(3)Ⅲ級(jí)(較大)。局部分網(wǎng)絡(luò)和信息系統(tǒng)癱瘓,對(duì)社會(huì)造成一定損害,事態(tài)發(fā)展在掌控之中的安全事件。
(4)Ⅳ級(jí)(一般)。局網(wǎng)絡(luò)與信息系統(tǒng)受到一定程度的損壞,對(duì)社會(huì)不構(gòu)成影響的安全事件。
2.3預(yù)警監(jiān)測(cè)
有關(guān)科室(單位)應(yīng)加強(qiáng)日常預(yù)警和監(jiān)測(cè),必要時(shí)應(yīng)啟動(dòng)應(yīng)急預(yù)案,同時(shí)向局網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組(以下簡(jiǎn)稱“領(lǐng)導(dǎo)小組”)通報(bào)情況。收到或發(fā)現(xiàn)預(yù)警信息,須及時(shí)進(jìn)行技術(shù)分析、研判,根據(jù)問(wèn)題的性質(zhì)、危害程度,提出安全預(yù)警級(jí)別。
(1)對(duì)發(fā)生或可能發(fā)生的Ⅳ級(jí)安全事件,及時(shí)消除隱患避免產(chǎn)生更為嚴(yán)重的后果。
(2)對(duì)發(fā)生或可能發(fā)生的Ⅲ級(jí)安全事件,迅速組織技術(shù)力量,研判風(fēng)險(xiǎn),消除影響,并將處置情況和結(jié)果報(bào)領(lǐng)導(dǎo)小組,由領(lǐng)導(dǎo)小組預(yù)警信息。
(3)對(duì)發(fā)生和可能發(fā)生的Ⅱ級(jí)安全事件,應(yīng)迅速啟動(dòng)應(yīng)急預(yù)案,召開應(yīng)急工作會(huì)議,研究確定事件等級(jí),研判事件產(chǎn)生的影響和發(fā)展趨勢(shì),組織技術(shù)力量進(jìn)行應(yīng)急處置,并將處置情況報(bào)領(lǐng)導(dǎo)小組,由領(lǐng)導(dǎo)小組預(yù)警信息。
(4)對(duì)于發(fā)生和可能發(fā)生的Ⅰ級(jí)安全事件,迅速啟動(dòng)應(yīng)急預(yù)案,由領(lǐng)導(dǎo)小組向省醫(yī)療保障局、市委網(wǎng)絡(luò)安全和信息化委員會(huì)辦公室、市公安局通報(bào),并在省級(jí)有關(guān)部門的指揮下開展應(yīng)急處置工作,預(yù)警信息由省級(jí)有關(guān)部門。
3應(yīng)急處置
3.1網(wǎng)頁(yè)被篡改時(shí)處置流程
(1)網(wǎng)頁(yè)由主辦網(wǎng)站的科室(單位)負(fù)責(zé)隨時(shí)密切監(jiān)視顯示內(nèi)容。
(2)發(fā)現(xiàn)非法篡改時(shí),通知技術(shù)單位派專人處理,并作好必要記錄,確認(rèn)清除非法信息后,重新恢復(fù)網(wǎng)站訪問(wèn)。
(3)保存有關(guān)記錄及日志,排查非法信息來(lái)源。
(4)向領(lǐng)導(dǎo)小組匯報(bào)處理情況。
(5)情節(jié)嚴(yán)重時(shí)向公安部門報(bào)警。
3.2遭受攻擊時(shí)處置流程
(1)發(fā)現(xiàn)網(wǎng)絡(luò)被攻擊時(shí),立即將被攻擊的服務(wù)器等設(shè)備斷網(wǎng)隔離,并及時(shí)向領(lǐng)導(dǎo)小組通報(bào)情況。
(2)進(jìn)行系統(tǒng)恢復(fù)或重建。
(3)保持日志記錄,排查攻擊來(lái)源和攻擊路徑。
(4)如果不能自行處理或?qū)賴?yán)重事件的,應(yīng)保留記錄資料并立即向公安部門報(bào)警。
3.3病毒感染處置流程
(1)發(fā)現(xiàn)計(jì)算機(jī)被感染上病毒后,將該機(jī)從網(wǎng)絡(luò)上隔離。
(2)對(duì)該設(shè)備的硬盤進(jìn)行數(shù)據(jù)備份。
(3)啟用殺病毒軟件對(duì)該機(jī)器進(jìn)行殺毒處理工作。
(4)必要時(shí)重新安裝操作系統(tǒng)。
3.4軟件系統(tǒng)遭受攻擊時(shí)處置流程
(1)重要的軟件系統(tǒng)應(yīng)做異地存儲(chǔ)備份。
(2)遭受攻擊時(shí),應(yīng)及時(shí)采取相應(yīng)措施減少或降低損害,必要時(shí)關(guān)停服務(wù),斷網(wǎng)隔離,并立即向領(lǐng)導(dǎo)小組報(bào)告。
(3)網(wǎng)絡(luò)安全人員排查問(wèn)題,確保安全后重新部署系統(tǒng)。
(4)檢查日志等資料,確定攻擊來(lái)源。
(5)情況嚴(yán)重時(shí),應(yīng)保留記錄資料并立即向公安部門報(bào)警。
3.5數(shù)據(jù)庫(kù)安全緊急處置流程
(1)主要數(shù)據(jù)庫(kù)系統(tǒng)應(yīng)做雙機(jī)熱備,并存于異地。
(2)發(fā)生數(shù)據(jù)庫(kù)崩潰時(shí),立即啟動(dòng)備用系統(tǒng)。
(3)在備用系統(tǒng)運(yùn)行的同時(shí),盡快對(duì)故障系統(tǒng)進(jìn)行修復(fù)。
(4)若兩主備系統(tǒng)同時(shí)崩潰,應(yīng)立即向領(lǐng)導(dǎo)小組報(bào)告,并向軟硬件廠商請(qǐng)求支援。
(5)系統(tǒng)恢復(fù)后,排查原因,出具調(diào)查報(bào)告。
3.6網(wǎng)絡(luò)中斷處置流程
(1)網(wǎng)絡(luò)中斷后,立即安排人員排查原因,尋找故障點(diǎn)。
(2)如屬線路故障,重新修復(fù)線路。
(3)如是路由器、交換機(jī)配置問(wèn)題,應(yīng)迅速重新導(dǎo)入備份配置。
(4)如是路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備硬件故障,應(yīng)立即使用備用設(shè)備,并調(diào)試通暢。
(5)如故障節(jié)點(diǎn)屬電信部門管轄范圍,立即與電信維護(hù)部門聯(lián)系,要求修復(fù)。
3.7發(fā)生火災(zāi)處置流程
(1)首先確保人員安全,其次確保核心信息資產(chǎn)的安全,條件允許的情況下再確保一般信息資產(chǎn)的安全。
(2)及時(shí)疏散無(wú)關(guān)人員,撥打119報(bào)警電話。
(3)現(xiàn)場(chǎng)緊急切斷電源,啟動(dòng)滅火裝置。
(4)向領(lǐng)導(dǎo)小組報(bào)告火災(zāi)情況。
4調(diào)查與評(píng)估
(1)網(wǎng)絡(luò)和信息安全事件應(yīng)急處置結(jié)束后,由相關(guān)科室(單位)自行組織調(diào)查的,科室(單位)對(duì)事件產(chǎn)生的原因、影響以及責(zé)任認(rèn)定進(jìn)行調(diào)查,調(diào)查報(bào)告報(bào)領(lǐng)導(dǎo)小組。
(2)網(wǎng)絡(luò)和信息安全事件應(yīng)急處置結(jié)束后,對(duì)按照規(guī)定需要成立調(diào)查組的事件,由領(lǐng)導(dǎo)小組組織成立調(diào)查組,對(duì)事件產(chǎn)生的原因、影響及責(zé)任認(rèn)定進(jìn)行調(diào)查。
(3)網(wǎng)絡(luò)和信息安全事件應(yīng)急處置結(jié)束后,對(duì)產(chǎn)生社會(huì)影響且由省級(jí)有關(guān)部門進(jìn)行調(diào)查的,按照省級(jí)有關(guān)部門的要求配合進(jìn)行事件調(diào)查。
篇5
超互聯(lián)環(huán)境下,信息安全建設(shè)是一個(gè)巨大的系統(tǒng)工程,需要整體調(diào)研、布局、部署、實(shí)施與維護(hù),步步為營(yíng),方能將威脅與漏洞拒之于外。而在這個(gè)巨大的系統(tǒng)工程中,軟件資產(chǎn)管理(SAM)占據(jù)著極其重要地位。
但實(shí)際上,不少企業(yè)并沒(méi)有高度重視這自我檢查和管理的過(guò)程,導(dǎo)致企業(yè)信息系統(tǒng)面臨病毒和網(wǎng)絡(luò)攻擊等各種安全隱患。據(jù)BSA|軟件聯(lián)盟今年5月的一個(gè)軟件調(diào)查報(bào)告顯示,在全球所有已經(jīng)安裝的軟件當(dāng)中,39%的軟件沒(méi)有經(jīng)過(guò)授權(quán),而在金融、證券、保險(xiǎn)等關(guān)鍵行業(yè)中,高達(dá)25%的軟件未經(jīng)過(guò)授權(quán);全球49%的CIO意識(shí)到安全威脅來(lái)自于未經(jīng)許可的軟件,但是僅35%的企業(yè)制定了相關(guān)的書面政策。
對(duì)于金融證券業(yè)來(lái)說(shuō),如果不能合理有效的管理軟件資產(chǎn),不能確保網(wǎng)絡(luò)中運(yùn)行的軟件100%合法或已經(jīng)得到充分授權(quán),無(wú)疑于是“引狼入室”般的行為――雖然金融證券業(yè)的正版軟件使用率一直領(lǐng)先于各行業(yè),但25%的缺漏仍是讓人觸目驚心:這25%的背后更代表著軟件資產(chǎn)管理的巨大缺失與不足。當(dāng)企業(yè)無(wú)法對(duì)與自身核心業(yè)務(wù)水融的軟件資產(chǎn)實(shí)現(xiàn)100%正版化時(shí),這說(shuō)明企業(yè)未能完全了解自身所面臨的各種安全風(fēng)險(xiǎn),更未從軟件的采購(gòu)、授權(quán)、部署、維護(hù)到回收的全生命周期管理著手,未雨綢繆,未能將這種風(fēng)險(xiǎn)防范于未然。
如何筑就網(wǎng)絡(luò)安全的重要防線
一般來(lái)說(shuō),僅需四步即可初步創(chuàng)建一個(gè)有效的軟件資產(chǎn)管理體系:
首先,需要對(duì)企業(yè)現(xiàn)有軟件資產(chǎn)進(jìn)行審計(jì),對(duì)所有的軟件及其合法性了然在胸,并確認(rèn)這些軟件是否應(yīng)該安裝,所有用戶是否都擁有適當(dāng)許可。
第二步即是確定企業(yè)需要什么樣的軟件資產(chǎn),這是對(duì)未來(lái)軟件資產(chǎn)布局的一個(gè)瞻望與部署。在了解企業(yè)已擁有什么樣的軟件資產(chǎn)之后,需要預(yù)測(cè)未來(lái)的需求,從這樣的執(zhí)行步驟中,或能發(fā)現(xiàn)可能的成本節(jié)約途徑,并更好地利用軟件許可協(xié)議中的維護(hù)條款。
第三步是制定健全的軟件政策和管理流程,涵蓋企業(yè)的IT前沿與核心部分,從采購(gòu)流程開始,管理軟件資產(chǎn)的全生命周期。
篇6
目前,一個(gè)必須承認(rèn)的現(xiàn)實(shí)是,當(dāng)企業(yè)CIO們將敏感數(shù)據(jù)、處理器和其他信息融入“云”端,新的安全防護(hù)措施卻仍然沒(méi)有建立起來(lái)。云計(jì)算這一發(fā)展趨勢(shì)讓安全從業(yè)者不得不轉(zhuǎn)變思路,安全產(chǎn)業(yè)也由此面臨著新的機(jī)遇和挑戰(zhàn)。一場(chǎng)圍繞“云”端的安全戰(zhàn)役已拉開序幕。
篇7
當(dāng)然,要贏得主動(dòng),對(duì)于相關(guān)安全軟件提出的要求也更高,其不僅要具備關(guān)聯(lián)分析能力,而且性能應(yīng)足夠強(qiáng)大,能夠及時(shí)預(yù)測(cè)威脅而不僅是事后的報(bào)告。據(jù)悉,惠普通過(guò)一系列收購(gòu)進(jìn)入這一領(lǐng)域,其中包括收購(gòu)ArcSight和3Com。惠普通過(guò)整合ArcSight和其他一些安全技術(shù),于9月份推出了最新一代的風(fēng)險(xiǎn)管理軟件HP ArcSight Enterprise Security Manager (ESM) 6.0c。ESM 6.0c采用CORR引擎,其事件處理能力比之前的版本提高了5倍,從而確保能應(yīng)用復(fù)雜的智能關(guān)聯(lián)分析技術(shù)來(lái)更精確、迅速地識(shí)別IT基礎(chǔ)設(shè)施所面臨的安全威脅。
篇8
安全風(fēng)險(xiǎn)長(zhǎng)尾
2011年工信部的《“十二五”中小企業(yè)的成長(zhǎng)規(guī)劃》中表明,到2010年末我國(guó)的中小企業(yè)數(shù)量是1100萬(wàn)家,如果再加上個(gè)體工商戶,總共會(huì)達(dá)到4500萬(wàn)家,這些中小企業(yè)在國(guó)家的國(guó)民生產(chǎn)總值,包括就業(yè)崗位累計(jì)起來(lái)已經(jīng)超過(guò)了大型企業(yè)。另?yè)?jù)CNNIC的調(diào)查報(bào)告,中小企業(yè)使用計(jì)算機(jī)的比例在90%以上,使用互聯(lián)網(wǎng)的比例在85%以上。而這些中小企業(yè)目前的信息安全防范手段非常薄弱。國(guó)內(nèi)曾經(jīng)有一家公司做過(guò)調(diào)查,問(wèn)中小企業(yè)安裝企業(yè)級(jí)殺毒軟件的比例有多少?調(diào)查結(jié)果是只有20%的中小企業(yè)用了企業(yè)級(jí)的殺毒軟件。而企業(yè)殺毒軟件僅僅是企業(yè)安全防御最基本的一種,由此可見國(guó)內(nèi)中小企業(yè)的安全防范水平非常低下,導(dǎo)致了廣泛存在的安全風(fēng)險(xiǎn)。
簡(jiǎn)單講,中小企業(yè)面臨的風(fēng)險(xiǎn)有三種:第一、顯性風(fēng)險(xiǎn),指安全問(wèn)題會(huì)導(dǎo)致這個(gè)企業(yè)發(fā)生的直接損失,包括經(jīng)濟(jì)損失、名譽(yù)受損等。第二、隱性風(fēng)險(xiǎn),指由于產(chǎn)業(yè)鏈條上不同企業(yè)具有的安全問(wèn)題給鏈條之上其它企業(yè)帶來(lái)的安全風(fēng)險(xiǎn)。第三、社會(huì)風(fēng)險(xiǎn),是指由于中小企業(yè)自身的計(jì)算機(jī)等設(shè)備被黑客控制后可能對(duì)社會(huì)造成的潛在風(fēng)險(xiǎn)。如果我們按照風(fēng)險(xiǎn)大小作為縱軸,將企業(yè)按照規(guī)模大小排列在橫軸上,因?yàn)樵谥袊?guó)的中小企業(yè)數(shù)量非常巨大,所以橫軸就會(huì)非常長(zhǎng),并且形成了一個(gè)風(fēng)險(xiǎn)的長(zhǎng)尾。中小企業(yè)數(shù)量和信息化的程度越高,尾巴就越長(zhǎng);針對(duì)中小企業(yè)的攻擊越多,尾巴的厚度也就越大,而這些就是目前的趨勢(shì)。我們有理由相信,位于長(zhǎng)尾部分的中小企業(yè)的安全風(fēng)險(xiǎn)隨著目前這種趨勢(shì)會(huì)越來(lái)越大,甚至累加起來(lái)的總和會(huì)超過(guò)大型企業(yè)的累積風(fēng)險(xiǎn)。如果針對(duì)這部分安全風(fēng)險(xiǎn)長(zhǎng)尾我們沒(méi)有進(jìn)行適當(dāng)?shù)目刂疲鼘?duì)我們整個(gè)國(guó)家的社會(huì)環(huán)境和經(jīng)濟(jì)環(huán)境就可能會(huì)造成直接影響。
2011年CNCERT中國(guó)網(wǎng)絡(luò)安全狀況報(bào)告,表示經(jīng)抽樣調(diào)查發(fā)現(xiàn)在中國(guó)網(wǎng)絡(luò)中有890萬(wàn)臺(tái)計(jì)算機(jī)是僵尸計(jì)算機(jī),就是已經(jīng)被人惡意控制了。2012年,CDN廠商Akamai全球互聯(lián)網(wǎng)狀況分析報(bào)告,表示全球網(wǎng)絡(luò)攻擊來(lái)源地區(qū)第一名是中國(guó)。來(lái)源于中國(guó)的攻擊未必是中國(guó)人在背后操控,但是這樣會(huì)給人一種印象,認(rèn)為中國(guó)的互聯(lián)網(wǎng)環(huán)境是不安全的。
安全市場(chǎng)長(zhǎng)尾
既然中小企業(yè)數(shù)量這么大、風(fēng)險(xiǎn)這么高,那么為什么他們沒(méi)有實(shí)現(xiàn)有效的信息安全防護(hù)呢?其主要原因非常簡(jiǎn)單,第一是沒(méi)有錢,第二是沒(méi)有人。即使企業(yè)規(guī)模很小,按照傳統(tǒng)的建設(shè)方式,企業(yè)也往往要一次性投入幾萬(wàn)、幾十萬(wàn)才可能建立相對(duì)完備的信息安全體系。此外,信息安全維護(hù)需要緊跟安全威脅的趨勢(shì),但是中小企業(yè)很難有合適的安全技術(shù)人才對(duì)這些安全產(chǎn)品進(jìn)行維護(hù)。中小企業(yè)自身沒(méi)有條件,那么安全廠商為什么不把這個(gè)目標(biāo)瞄準(zhǔn)這幾千萬(wàn)家中小企業(yè)這個(gè)非常巨大的市場(chǎng)呢?作為一個(gè)安全廠商或安全集成商,給企業(yè)提供安全的產(chǎn)品和服務(wù)是有成本曲線的,包括推廣成本、銷售成本、運(yùn)營(yíng)成本。這些成本不隨著中小企業(yè)服務(wù)對(duì)象規(guī)模的縮小而降低為零,這個(gè)成本是相對(duì)固定的,而且在一定程度下會(huì)超過(guò)目標(biāo)企業(yè)的預(yù)算。成本曲線和企業(yè)的預(yù)算曲線有一個(gè)交叉點(diǎn),這個(gè)交叉點(diǎn)右側(cè)這部分對(duì)于安全從業(yè)者來(lái)講就無(wú)利可圖了。
下面,我們分析為什么我們可以利用云安全服務(wù)這種新興的安全建設(shè)方式來(lái)解決這個(gè)問(wèn)題,將眾多中小企業(yè)原來(lái)由于成本問(wèn)題而制約的需求釋放出來(lái),形成一個(gè)新的安全長(zhǎng)尾市場(chǎng)。首先從用戶投資角度分析,他們只需要按需租用云安全服務(wù),而且可以根據(jù)公司規(guī)模進(jìn)行彈性地租用。從用戶維護(hù)來(lái)講,是不需要企業(yè)客戶來(lái)費(fèi)心的,基本所有維護(hù)都是由云安全服務(wù)商進(jìn)行,這樣,困擾中小企業(yè)的錢和人的問(wèn)題就解決了。從云安全服務(wù)商來(lái)講,采用SaaS這種模式的安全服務(wù)非常類似于互聯(lián)網(wǎng)產(chǎn)品,它的渠道建設(shè)、銷售、服務(wù)等都可以采用在線的方式,因此成本曲線會(huì)下降,從而降低到了中小企業(yè)客戶可以承擔(dān)的程度,這樣就形成了一個(gè)巨大的新的安全市場(chǎng)。
目前越來(lái)越多的安全廠商和服務(wù)商開始在云安全服務(wù)市場(chǎng)發(fā)力。McAfee在全球聯(lián)合很多運(yùn)營(yíng)商和服務(wù)合作伙伴企業(yè)提供多種類型的云安全服務(wù),在這個(gè)領(lǐng)域具有超過(guò)十年的經(jīng)驗(yàn),在中國(guó)也聯(lián)合國(guó)內(nèi)的合作伙伴落地了部分云安全服務(wù)。之前數(shù)月內(nèi),中國(guó)電信安全服務(wù)中心了網(wǎng)站保護(hù)“安全云服務(wù)”,進(jìn)入了這個(gè)廣闊的市場(chǎng)。安全行業(yè)先驅(qū)、原Netscreen創(chuàng)始人鄧峰先生投資了云安全服務(wù)企業(yè)安全寶,為這個(gè)市場(chǎng)添加了濃墨重彩的一筆。
篇9
篇10
[6] 崔耀.對(duì)在線收集未成年人個(gè)人信息行為的法律規(guī)制[J].法制博覽,2013(9):35-38.
[7] 劉春泉. 電信詐騙猖獗暴露了對(duì)個(gè)人信息保護(hù)不力[N].第一財(cái)經(jīng)日?qǐng)?bào)/2016年/8月/30 日/第A11版.
[8] 陳箐.我國(guó)未成年人網(wǎng)絡(luò)隱私權(quán)保護(hù)[J].民族學(xué)院學(xué)報(bào)(哲學(xué)社會(huì)科學(xué)版), 2013(7):110-113.
[9] 2015青少年上網(wǎng)安全數(shù)據(jù)分析報(bào)告出爐[OL]. [2016-03-16]. http:///2015-06/05/c_1115530392.htm.
[10]《我國(guó)公眾網(wǎng)絡(luò)安全意識(shí)調(diào)查報(bào)告(2015)》首次[OL]. [2016-03-16]. http:///16/fe/c671a5886/page.htm.
[11] 國(guó)務(wù)院辦公廳關(guān)于轉(zhuǎn)發(fā)教育部中小學(xué)公共安全教育指導(dǎo)綱要的通知[OL]. [2016-04-16]. http:///zwgk/2007-02/25/content_533489.htm.
[12] 大公司請(qǐng)注意,歐盟終極版“數(shù)據(jù)保護(hù)法案”將生效[OL]. [2016-04-16]. http://.cn/roll/2016-04-14/doc-ifxriqqx2409099.shtml.
[13] Amended Act on the Protection of Personal Information[OL]. http://ppc.go.jp/files/pdf/280222_amendedlaw.pdf
[14] 吳用.未成年人網(wǎng)絡(luò)保護(hù)條例的立法[J]. 中國(guó)青年社會(huì)科學(xué),2015(2):75-79
[15] 唐亮.隱私保護(hù):教育數(shù)據(jù)硬幣的另一面――互聯(lián)網(wǎng)時(shí)代美國(guó)教育數(shù)據(jù)隱私保護(hù)的啟示[J].中國(guó)信息安全,2016(2):103-106
篇11
自2006年谷歌公司提出云、云計(jì)算概念、理論及推出的“云計(jì)劃”,世界上各大IT公司陸續(xù)推出自己的“云計(jì)劃”。由于云計(jì)算,以其低成本 、高度自動(dòng)化、無(wú)限存儲(chǔ)擴(kuò)展性、高度靈活性、無(wú)需基建投資等等的巨大優(yōu)勢(shì),迅速成為IT行業(yè)發(fā)展的方向,并成為各國(guó)最優(yōu)先發(fā)展的技術(shù)之一。隨著云計(jì)算技術(shù)的發(fā)展,各種云計(jì)算應(yīng)用,諸如:云辦公、云安全、云存儲(chǔ)、云打印、云通訊等等相繼推出。特別是在大眾消費(fèi)電子、信息技術(shù)產(chǎn)品上諸如:“云手機(jī)”、“云電視”、“云殺毒”、“云游戲”……各種“云概念”產(chǎn)品和服務(wù)急劇增加,似乎世界一下進(jìn)入到“云計(jì)算時(shí)代”。
然而,在人們享用云計(jì)算的好處的同時(shí),云的安全和風(fēng)險(xiǎn)日益成為阻礙云計(jì)算發(fā)展的現(xiàn)實(shí)問(wèn)題。也就是說(shuō),云安全日益成為阻礙云計(jì)算產(chǎn)業(yè)發(fā)展的瓶頸。進(jìn)而影響到整個(gè)信息產(chǎn)業(yè)的發(fā)展。
1 在我們探討云安全之前,我們先來(lái)了解下,什么是云?什么是云計(jì)算?
云,這個(gè)概念由谷歌公司提出。因其無(wú)邊的擴(kuò)展性而形象的取名。實(shí)際上,云指的是一些可以自我維護(hù)和管理的虛擬計(jì)算資源,通常為一些大型服務(wù)器集群,包括計(jì)算服務(wù)器、存儲(chǔ)服務(wù)器、寬帶資源等等。
云計(jì)算,也由谷歌公司提出。是將所有的計(jì)算資源(云)集中起來(lái),并由軟件實(shí)現(xiàn)自動(dòng)管理。是一種基于互聯(lián)網(wǎng)的計(jì)算方式,通過(guò)這種方式,共享的軟硬件資源和信息可以按需提供給計(jì)算機(jī)和其他設(shè)備。具體說(shuō),是指建立功能強(qiáng)大的數(shù)據(jù)中心,用戶最大程度簡(jiǎn)化個(gè)人客戶端,接入數(shù)據(jù)中心進(jìn)行存儲(chǔ)和運(yùn)算。就像過(guò)去打井取水,現(xiàn)在則從自來(lái)水公司購(gòu)買水喝。簡(jiǎn)單說(shuō),云計(jì)算,就是非本地計(jì)算。
對(duì)于用戶而言,云安全問(wèn)題的解決是關(guān)系到云服務(wù)能否得到認(rèn)可的關(guān)鍵因素。對(duì)于云計(jì)算的應(yīng)用而言,云安全也是云計(jì)算應(yīng)用的主要障礙之一。比如:計(jì)算資源的系統(tǒng)發(fā)生故障,缺乏統(tǒng)一的安全標(biāo)準(zhǔn)、安全法規(guī),以及隱私保護(hù)、數(shù)據(jù)屬權(quán)、遷移、傳輸、安全、災(zāi)備等問(wèn)題如何有效的解決。
2 目前,云安全主要體現(xiàn)在用戶數(shù)據(jù)的隱私保護(hù)和傳統(tǒng)互聯(lián)網(wǎng)、硬件設(shè)備的安全這兩方面
(1)用戶數(shù)據(jù)的隱私保護(hù)。在云計(jì)算出來(lái)之前,用戶信息存儲(chǔ)于自己的電腦中,是受法律保護(hù)的,任何人不經(jīng)許可是不能查看、使用這些信息的。
但是當(dāng)用戶信息成為云計(jì)算的資源儲(chǔ)存在云上時(shí),任何人使用這些信息,導(dǎo)致隱私泄漏,尚沒(méi)有法律依據(jù)如何進(jìn)行處罰。
另外云服務(wù)提供商對(duì)登記注冊(cè)管理不嚴(yán)格,也極有可能造成不良分子注冊(cè)成功并對(duì)云服務(wù)進(jìn)行攻擊,造成云的濫用、惡用以及對(duì)云服務(wù)的破壞。
(2)互聯(lián)網(wǎng)、硬件設(shè)備的安全。云中可能存在不安全的接口和API,且用戶數(shù)據(jù)集中在此,更容易受到黑客攻擊和病毒感染。當(dāng)遇到重大事故時(shí),云系統(tǒng)將可能面臨崩潰的危險(xiǎn)。
2.1 那么如何才能實(shí)現(xiàn)云安全?
必須解決以下幾個(gè)問(wèn)題:首先,健全法律法規(guī),保障云計(jì)算用戶象相信銀行一樣,相信云服務(wù)提供商,樹立云服務(wù)提供商的公信力,使用戶象在銀行存錢一樣,把數(shù)據(jù)存在云服務(wù)提供商那里。其次,保障不同用戶之間相互隔離,互不影響,防治用戶“串門”。第三,租用第三方的云平臺(tái),必須考慮解決云服務(wù)提供商管理人員權(quán)限的問(wèn)題。第四,傳統(tǒng)互聯(lián)網(wǎng)服務(wù)為避免單點(diǎn)故障,使用了雙機(jī)備份:主服務(wù)器停止服務(wù),備用服務(wù)器隨即啟動(dòng)提供服務(wù)。但是在云環(huán)境下,一旦云服務(wù)提供商的服務(wù)停止了,將會(huì)影響到一大片用戶,其損失很可能是巨大的。因此必須解決云服務(wù)突然終止所帶來(lái)的風(fēng)險(xiǎn)問(wèn)題。
2.2 那么如何實(shí)施應(yīng)用具體的云安全技術(shù)解決云安全問(wèn)題?
云中數(shù)據(jù)安全:目前,云中數(shù)據(jù)安全防護(hù)技術(shù)主要有:增強(qiáng)加密技術(shù)、密鑰管理、數(shù)據(jù)隔離、數(shù)據(jù)殘留等,用這些技術(shù)來(lái)解決用戶數(shù)據(jù)在云端計(jì)算、存儲(chǔ)及數(shù)據(jù)的歸屬權(quán)、管理權(quán)相分離,帶來(lái)的數(shù)據(jù)安全問(wèn)題。
云計(jì)算的虛擬化安全:云計(jì)算的特征之一是虛擬化。虛擬化的安全直接關(guān)系到云計(jì)算的安全。虛擬化技術(shù)雖然加強(qiáng)了基礎(chǔ)設(shè)施、軟件平臺(tái)、業(yè)務(wù)系統(tǒng)的擴(kuò)展能力,但卻使傳統(tǒng)物理安全邊界逐漸缺失,使基于以往的安全域/安全邊界的防護(hù)機(jī)制不能滿足虛擬化環(huán)境下的多租戶應(yīng)用模式。
云環(huán)境中存在著虛擬化軟件安全和虛擬服務(wù)器安全兩方面問(wèn)題。虛擬環(huán)境中的安全機(jī)制與傳統(tǒng)物理環(huán)境中的安全措施相比,仍有差距。因此,在云計(jì)算環(huán)境下,用戶需要了解用戶及云服務(wù)提供商雙方所要承擔(dān)的安全責(zé)任,只有用戶與云服務(wù)提供商共同承擔(dān)安全責(zé)任,才能保證云計(jì)算環(huán)境的安全。
云終端的安全:目前可以從云終端的基礎(chǔ)設(shè)施、硬件芯片可信技術(shù)、操作系統(tǒng)安全機(jī)制、應(yīng)用安全更新機(jī)制等四個(gè)方面進(jìn)行云終端安全防護(hù)。
云計(jì)算的應(yīng)用安全:由于云環(huán)境的靈活性、開放性以及公眾可用性等特性,給應(yīng)用安全帶來(lái)很大挑戰(zhàn)。云服務(wù)提供商在部署應(yīng)用程序時(shí)應(yīng)當(dāng)充分考慮可能引發(fā)的安全風(fēng)險(xiǎn)。對(duì)于使用云服務(wù)的用戶而言,應(yīng)提高安全意識(shí),采取必要措施,保證云終端的安全。如用戶在處理敏感數(shù)據(jù)的應(yīng)用程序與服務(wù)器之間通信時(shí)采用加密技術(shù)。用戶應(yīng)建立定期更新機(jī)制,及時(shí)為使用云服務(wù)的應(yīng)用打補(bǔ)丁或更新版本。
云計(jì)算產(chǎn)業(yè)發(fā)展的核心是服務(wù),因此,為保證云計(jì)算服務(wù)的可靠性、易用性、可操作性、安全性和穩(wěn)定性,必須在數(shù)據(jù)遷移、備份、加密以及位置控制方面深入探索、研究。同時(shí),要不斷完善云計(jì)算相關(guān)的法律法規(guī),讓用戶象在銀行存錢那樣對(duì)使用云計(jì)算有信心。但無(wú)可否認(rèn),除了不斷探索、研究、推廣成熟的云計(jì)算安全技術(shù)之外,用戶的自我防護(hù)意識(shí)也需要加強(qiáng)。
當(dāng)然,在相關(guān)云計(jì)算技術(shù)和標(biāo)準(zhǔn)尚未成熟的今天。若想解決云計(jì)算的安全問(wèn)題,需要政府大力支持和業(yè)界的廣泛聯(lián)合,組成一個(gè)完整的生態(tài)系統(tǒng),共同實(shí)現(xiàn)云計(jì)算的安全。
附錄一:《2010中國(guó)云計(jì)算調(diào)查報(bào)告》關(guān)于云安全在中國(guó)應(yīng)用狀況調(diào)查的主要結(jié)論:
(1)針對(duì)云安全的三種說(shuō)法,都有相當(dāng)?shù)挠脩粽J(rèn)可(三種提法:1、云安全是利用云計(jì)算技術(shù)提升信息安全;2、云安全是安全即服務(wù);3、云安全是解決云計(jì)算技術(shù)本身安全的問(wèn)題)。
(2)在安全即服務(wù)廠商認(rèn)知度調(diào)查中,奇虎360、瑞星、卡巴斯基等廠商表現(xiàn)較突出。
(3)企業(yè)用戶對(duì)數(shù)據(jù)安全與隱私關(guān)注度最高。
(4)不同規(guī)模企業(yè)對(duì)于云殺毒的價(jià)值訂可度存在差異。
(5)用戶對(duì)云安全的發(fā)展趨勢(shì)持樂(lè)觀態(tài)度。
附錄二:《2012年中國(guó)云計(jì)算安全調(diào)查報(bào)告》調(diào)查結(jié)果:
(1)在云計(jì)算部署模型中,企業(yè)認(rèn)為私有云是最安全的,其次為基礎(chǔ)設(shè)施即服務(wù)(IaaS),平臺(tái)即服務(wù)(PaaS)位居第三。
(2)在云計(jì)算部署模型中,企業(yè)認(rèn)為軟件即服務(wù)(SaaS)是最不安全的,其次為混合式(有的是內(nèi)部管理資源,有的是來(lái)自于IaaS/PaaS/SaaS廠商)。
(3)企業(yè)表示永遠(yuǎn)不會(huì)遷移到云端的特殊類型數(shù)據(jù)依次為信用卡數(shù)據(jù)、商業(yè)或者合作伙伴的財(cái)務(wù)數(shù)據(jù)和客戶身份信息。
(4)對(duì)于云計(jì)算/云服務(wù),企業(yè)最關(guān)心的三個(gè)主要的安全問(wèn)題是賬戶劫持、云數(shù)據(jù)訪問(wèn)以及特定云攻擊/威脅(非目標(biāo)性的)。
參考文獻(xiàn):
[1]薄明霞.淺談云計(jì)算的安全隱患及防護(hù)策略[J].信息安全與技術(shù),2011,9.
[2]TechTarget中國(guó).2012年中國(guó)云計(jì)算安全調(diào)查報(bào)告.
篇12
0引言
伴隨著網(wǎng)絡(luò)化對(duì)于社會(huì)的影響,電力系統(tǒng)管理中自動(dòng)化技術(shù)安全管理的系統(tǒng)建設(shè)工作重要性不斷提高,同時(shí)也是優(yōu)化與改進(jìn)電力系統(tǒng)信息安全技術(shù)的多項(xiàng)措施,電力信息的安全管理標(biāo)準(zhǔn)屬于信息的安全管理基本標(biāo)準(zhǔn)、需求以及準(zhǔn)則,是提高管理效果的基本措施,其中最為重要的便是構(gòu)建一個(gè)關(guān)于電力系統(tǒng)的自動(dòng)化技術(shù)安全管理。對(duì)此,探討電力系統(tǒng)自動(dòng)化技術(shù)安全管理具備顯著現(xiàn)實(shí)意義。
1電力系統(tǒng)信息安全管理目標(biāo)
強(qiáng)化與規(guī)范電力系統(tǒng)的網(wǎng)路安全行以及自動(dòng)化管理效果,并保障自動(dòng)化管理系統(tǒng)的整體穩(wěn)定性、持續(xù)性、可靠性以及保障信息內(nèi)容的完整性、可用性以及機(jī)密性,預(yù)防因?yàn)樽詣?dòng)化管理系統(tǒng)本身的漏洞、故障而導(dǎo)致自動(dòng)化管理系統(tǒng)無(wú)法正常的運(yùn)行,在病毒、黑客以及多種惡意代碼的影響攻擊時(shí)及時(shí)起到行之有效的管理保護(hù),對(duì)自動(dòng)化管理系統(tǒng)內(nèi)部的信息安全性實(shí)現(xiàn)較高的管理效果,預(yù)防信息內(nèi)容和數(shù)據(jù)的丟失,預(yù)防有害信息在網(wǎng)絡(luò)當(dāng)中的傳播,從而提高企業(yè)信息的整體管理效果[1]。
2自動(dòng)化技術(shù)安全管理建設(shè)內(nèi)容
2.1管理系統(tǒng)安全監(jiān)測(cè)與風(fēng)險(xiǎn)評(píng)估管理
信息管理系統(tǒng)的建設(shè)必然需要管理部門的高度重視,要求管理部門以年度作為單位,對(duì)信息化的項(xiàng)目實(shí)行全面性、綜合性的管理,并在每一年的綜合計(jì)劃實(shí)行之后,制定這一整年在相關(guān)工作方面的創(chuàng)新計(jì)劃,保障系統(tǒng)在正式上線之前便可以有效的滿足整個(gè)系統(tǒng)在安全方面的需求[2]。采用的系統(tǒng)在建設(shè)完成之后的1個(gè)月之內(nèi),必須根據(jù)相應(yīng)的“上下線管理辦法”實(shí)行申請(qǐng),并通過(guò)信息管理部門專職人員進(jìn)行上線申請(qǐng),組織應(yīng)用的系統(tǒng)專職和業(yè)務(wù)主管部門根據(jù)相應(yīng)的標(biāo)準(zhǔn)或指南對(duì)系統(tǒng)進(jìn)行安全性的評(píng)估,同時(shí)需要將評(píng)估的結(jié)果博鰲高發(fā)放到業(yè)務(wù)部門中。對(duì)于系統(tǒng)中存在的不足,業(yè)務(wù)部門在接收到報(bào)告之后需要在短時(shí)間內(nèi)進(jìn)行改進(jìn),并在改進(jìn)之后進(jìn)行復(fù)查,確保其可以滿足上線要求。
2.2信息安全專項(xiàng)檢查與治理
信息管理部門在管理方面的具體實(shí)施必然是借助專職人員而實(shí)現(xiàn),在每一年的年初均需要根據(jù)企業(yè)的實(shí)際情況具體的檢查計(jì)劃以及年度性的檢查目標(biāo),檢查的具體內(nèi)容必須按照企業(yè)中每一個(gè)部門的工作特性而決定,例如網(wǎng)絡(luò)設(shè)備的安全性、終端設(shè)備的穩(wěn)定性以及系統(tǒng)版本的及時(shí)更新等[3]。對(duì)于重大隱患而言,信息安全管理人員需要及時(shí)錄入到系統(tǒng)當(dāng)中,并組織制定重大隱患的安全防治計(jì)劃,各個(gè)部門需要在接收到反饋之后及時(shí)對(duì)問(wèn)題提出整治方案,并在限期內(nèi)處理。信息管理部門的安全專職人員需要對(duì)隱患庫(kù)當(dāng)中所存在的隱患進(jìn)行跟蹤性治理,并組織相應(yīng)人員進(jìn)行復(fù)查,對(duì)于沒(méi)有及時(shí)按期整改的部門,信息安全專職人員需要在短時(shí)間內(nèi)上報(bào)給信息負(fù)責(zé)人,并由人力資源部門對(duì)其進(jìn)行績(jī)效考核。每一個(gè)部門的信息安全專職人員需要根據(jù)計(jì)劃組織該部門的人員制定相應(yīng)預(yù)案,每一份預(yù)案在制定之后需要在5天之內(nèi)交到本部門負(fù)責(zé)人審批,并在審批通過(guò)之后上報(bào)信息管理部門。
2.3安全事件統(tǒng)計(jì)、調(diào)查及組裝整改
信息管理部門的安全專職人員必須在每一個(gè)月月初時(shí)對(duì)基層部門的信息安全事件進(jìn)行統(tǒng)計(jì)分析。每一個(gè)系統(tǒng)的安全管理人員需要根據(jù)部門所發(fā)生的安全事件實(shí)行記錄記錄,并根據(jù)發(fā)生問(wèn)題的原因進(jìn)行針對(duì)性的分析,每一個(gè)月以書面的形式將所記錄的內(nèi)容提供給管理部門,由管理部門實(shí)現(xiàn)工作狀況的改進(jìn)與完善。如果后續(xù)查出存在漏報(bào)現(xiàn)象,則需要由人力資源部門進(jìn)行績(jī)效考核。在發(fā)生安全事件之后,需要在5個(gè)工作日之內(nèi)對(duì)事件進(jìn)行分析、統(tǒng)計(jì)并上報(bào),調(diào)查過(guò)程中必須根據(jù)事故調(diào)查和統(tǒng)計(jì)的相關(guān)規(guī)定執(zhí)行,及時(shí)分析問(wèn)題發(fā)生的主要原因,并堅(jiān)持“四不放”的基本原則,在調(diào)查之后編制事件的調(diào)查報(bào)告,調(diào)查與分析完成之后需要組織相關(guān)人員落實(shí)具體的整改改進(jìn)措施,信息安全事件的每一項(xiàng)調(diào)查任務(wù)都必須嚴(yán)格根據(jù)電力企業(yè)的通報(bào)制度進(jìn)行,務(wù)必保障每一個(gè)行為的合理性。
3評(píng)估與改進(jìn)
借助開展提高管理與標(biāo)準(zhǔn)理念以及管理標(biāo)準(zhǔn),明確每一項(xiàng)工作的5W1H,在目的、對(duì)象、地點(diǎn)、時(shí)間、人員、方法等方面實(shí)行管理系統(tǒng),促使信息管理部門與各個(gè)部門之間的接口、職責(zé)劃分清晰,達(dá)到協(xié)調(diào)性的分工合作,并借助ITMIS系統(tǒng)實(shí)行流程化的固定管理,嚴(yán)格執(zhí)行企業(yè)各項(xiàng)安全管理標(biāo)準(zhǔn),構(gòu)建信息化的安全管理建設(shè)工作,實(shí)現(xiàn)信息化的安全管理系統(tǒng)建設(shè),在標(biāo)準(zhǔn)的PDCA階段循環(huán)周期借助管理目標(biāo)、職責(zé)分工、管理方法、管理流程、文檔記錄、考核要求等多個(gè)方面的管理提高整體安全性,在信息安全管理的建設(shè)中確保基礎(chǔ)結(jié)構(gòu)的搭建效果,借助行之有效的評(píng)估方式,對(duì)自動(dòng)化管理系統(tǒng)安全檢測(cè)與風(fēng)險(xiǎn)評(píng)估管理等多個(gè)方面進(jìn)行評(píng)估,并逐漸完善自動(dòng)化技術(shù)安全管理的建設(shè)任務(wù),保障安全管理系統(tǒng)的持續(xù)改進(jìn)。
4結(jié)語(yǔ)
綜上所述,信息安全工作是系統(tǒng)性的工程,“防范”與“攻擊”、“脆弱”與“威脅”是相互成長(zhǎng)不斷發(fā)展的。對(duì)此,在新時(shí)代之下,電力系統(tǒng)的自動(dòng)化技術(shù)安全管理,務(wù)必從管理與技術(shù)兩個(gè)角度著手,確保網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全、物理安全、數(shù)據(jù)安全,從而實(shí)行多種管理措施,達(dá)到多層面、多角度的安全管理保障,提高電力系統(tǒng)自動(dòng)化技術(shù)安全管理系統(tǒng)的整體建設(shè)效益,從而提高電網(wǎng)安全性。
參考文獻(xiàn):
[1]魏勇軍,黎煉,張弛等.電力系統(tǒng)自動(dòng)化運(yùn)行狀態(tài)監(jiān)控云平臺(tái)研究[J].現(xiàn)代電子技術(shù),2017,40(15):153-158.
篇13
1信息安全體系概況
信息安全體系的構(gòu)建在于其通過(guò)計(jì)算機(jī)技術(shù)在內(nèi)部形成有效的防火墻和鞏固的內(nèi)部系統(tǒng)來(lái)預(yù)防和阻止因非法入侵、攻擊、盜用而造成的信息遺失安全問(wèn)題,信息安全管理主要包括系統(tǒng)安全管理、安全服務(wù)管理和安全機(jī)制管理。要確保信息安全體系的有效運(yùn)行,就要確保安全有效的信息安全保護(hù)機(jī)制。
1.1信息安全保護(hù)機(jī)制
信息安全保護(hù)機(jī)制的形成是由內(nèi)而外的逐級(jí)形成,其形成的基礎(chǔ)在于現(xiàn)階段全民對(duì)于信息資源安全問(wèn)題的高度重視,從而形成了全體信息資源安全意識(shí),建立起了鞏固的心理屏障;其次,國(guó)家通過(guò)相關(guān)法律法規(guī)對(duì)信息安全管理進(jìn)行了規(guī)范和約束,嚴(yán)厲打擊非法入侵和盜用信息資源,為信息安全體系的構(gòu)建提供了法律保障。
1.2安全服務(wù)
安全服務(wù)通過(guò)對(duì)服務(wù)過(guò)程中的數(shù)據(jù)和服務(wù)對(duì)象的鑒定來(lái)規(guī)范訪問(wèn)權(quán)限,以確保未授權(quán)情況下的信息資源的完整性和保密性,在服務(wù)過(guò)程中對(duì)相關(guān)信息數(shù)據(jù)的接收和發(fā)生備檔,防止事后對(duì)方抵賴事件的發(fā)生。
1.3信息安全體系的框架
完整的信息安全體系的構(gòu)建是由技術(shù)體系、組織機(jī)構(gòu)體系、管理體系三者共同組建的。在技術(shù)體系層面通過(guò)技術(shù)機(jī)制來(lái)實(shí)現(xiàn)運(yùn)行環(huán)境及系統(tǒng)安全技術(shù)、OSI安全技術(shù),以確保系統(tǒng)的安全和實(shí)現(xiàn)OSI安全管理;技術(shù)管理在于制定安全策略和服務(wù),通過(guò)加密對(duì)信息進(jìn)行保密設(shè)定,此外以先進(jìn)的技術(shù)對(duì)運(yùn)行的體系進(jìn)行審核,以保證現(xiàn)有狀態(tài)監(jiān)測(cè)的安全和對(duì)入侵的有效監(jiān)控。
2信息安全體系構(gòu)建
2.1信息安全體系構(gòu)建步驟
信息安全體系隸屬于風(fēng)險(xiǎn)管理范疇,其構(gòu)建需要基于系統(tǒng)、全面、科學(xué)的安全風(fēng)險(xiǎn)評(píng)估基礎(chǔ)之上,是一個(gè)系統(tǒng)化、程序化、文件化的安全管理體系,并在具體構(gòu)建過(guò)程中選擇科學(xué)合理的監(jiān)控方式來(lái)保障信息的完整性、保密性和可用性,并嚴(yán)格按照國(guó)家相關(guān)法律法規(guī)進(jìn)行系統(tǒng)構(gòu)建和維護(hù),切實(shí)保障信息安全。信息安全體系的構(gòu)建需要全員的參與,要明確分工、正確部署,通過(guò)有效的部署來(lái)實(shí)現(xiàn)低成本控制下的高效信息保障體系構(gòu)建,其具體構(gòu)建步驟主要有以下幾點(diǎn)。
(1)通過(guò)前期培訓(xùn)讓員工們了解信息安全系統(tǒng)的相關(guān)知識(shí)和其構(gòu)建的必要性,強(qiáng)化員工們的信息安全意識(shí),并通過(guò)動(dòng)態(tài)的、系統(tǒng)化的、制度化的預(yù)控信息安全管理模式來(lái)嚴(yán)格規(guī)范內(nèi)部組織信息安全行為,要求員工們以高素質(zhì)和高服務(wù)的心態(tài)及理念切實(shí)維護(hù)客戶的私人信息安全,要與客戶達(dá)成保密協(xié)議。
(2)組織內(nèi)部事先做到信息安全的強(qiáng)化,通過(guò)對(duì)關(guān)鍵重要的信息進(jìn)行全面系統(tǒng)的保護(hù),要求切實(shí)做到信息備案、信息保護(hù)、安全系統(tǒng)更新和維護(hù)、安全訪問(wèn)、風(fēng)險(xiǎn)評(píng)估和防控,并在信息資源受到侵害的時(shí)候及時(shí)進(jìn)行補(bǔ)救,確保將損失降到最低程度,保障業(yè)務(wù)的持續(xù)展開。
(3)要與客戶建立起信息保密協(xié)議,獲得客戶的信任,并通過(guò)不斷完善自身信息安全體系以獲得相關(guān)標(biāo)準(zhǔn)認(rèn)證,以此證明自身有較強(qiáng)的信息安全保障能力,以提高自身的知名度來(lái)不斷獲得客戶的滿意與信任,以及社會(huì)的認(rèn)可。
3信息安全體系構(gòu)建的基本操作
信息安全體系的構(gòu)建需要掌握信息安全風(fēng)險(xiǎn)的狀態(tài)及其分布變化的規(guī)律,并在現(xiàn)場(chǎng)調(diào)查和風(fēng)險(xiǎn)評(píng)估之后結(jié)合企業(yè)自身的特點(diǎn),以構(gòu)建起具有自適應(yīng)能力的信息安全模型,保證信息安全風(fēng)險(xiǎn)能夠被控制在可接受的最小范圍內(nèi),并接近于零。其構(gòu)建的具體操作如下:
3.1前期策劃與準(zhǔn)備
前期的策劃與準(zhǔn)備是對(duì)信息安全體系的構(gòu)建打好基礎(chǔ),主要包括對(duì)員工的教育培訓(xùn)、初步制定體系構(gòu)建的目標(biāo)和整體計(jì)劃,并以建立相關(guān)內(nèi)部安全管理機(jī)制和系統(tǒng)構(gòu)建組織來(lái)切實(shí)推動(dòng)項(xiàng)目的開展運(yùn)行,在人力資源的管理和配置上要做到統(tǒng)籌規(guī)劃,確保構(gòu)建的每個(gè)環(huán)節(jié)都有人員參與。
3.2確認(rèn)適用范圍
根據(jù)自身實(shí)際情況來(lái)確定信息安全管理系統(tǒng)的適用范圍,注重關(guān)鍵安全領(lǐng)域的構(gòu)建和管理保護(hù),在管理上可以通過(guò)劃分管理區(qū)域來(lái)進(jìn)行管理,并通過(guò)責(zé)任制將責(zé)任落實(shí)在每個(gè)管理者的身上,依據(jù)信息安全等級(jí)的不同來(lái)規(guī)范管理者的管理權(quán)限,以實(shí)現(xiàn)適當(dāng)?shù)牟煌?jí)別的信息安全管理。
3.3風(fēng)險(xiǎn)評(píng)估
對(duì)構(gòu)建的信息安全體系進(jìn)行風(fēng)險(xiǎn)評(píng)估可以從內(nèi)部和外部?jī)蓚€(gè)方面來(lái)進(jìn)行,以內(nèi)部自身設(shè)定的安全管理制度和對(duì)信息資產(chǎn)等級(jí)重要程度的分化來(lái)逐級(jí)評(píng)估風(fēng)險(xiǎn),在檢查審核系統(tǒng)能否有效保障信息安全的同時(shí),要對(duì)可能出現(xiàn)的安全隱患進(jìn)行評(píng)估和預(yù)測(cè),并提出相關(guān)方案來(lái)對(duì)此進(jìn)行預(yù)控和將損失降到最小。
3.4建立體系框架
科學(xué)合理的安全體系框架的構(gòu)建要從全局的角度去考慮,通過(guò)對(duì)內(nèi)部整體資源進(jìn)行整合和劃分,對(duì)不同等級(jí)信息采取不同層次的框架建立,如根據(jù)業(yè)務(wù)性質(zhì)、信息狀況、技術(shù)條件、組織特征等來(lái)進(jìn)行信息框架構(gòu)建,并依次對(duì)其進(jìn)行風(fēng)險(xiǎn)評(píng)估,制定預(yù)控方案和盡可能地更新完善。
3.5文件編寫
文件編寫的主要內(nèi)容為:前期策劃制定的總方針、風(fēng)險(xiǎn)評(píng)估報(bào)告、現(xiàn)場(chǎng)調(diào)查報(bào)告、適用范圍文檔、適用性申明等文件來(lái)作為信息安全管理體系構(gòu)建的基礎(chǔ)工作,要求其符合相關(guān)標(biāo)準(zhǔn)的總體要求,儲(chǔ)存以便后期的改進(jìn)和完善。
3.6 運(yùn)行及更新維護(hù)
前期工作的完盡之后系統(tǒng)便可進(jìn)入運(yùn)行階段,運(yùn)行階段是對(duì)前期工作的驗(yàn)證和檢查,通過(guò)發(fā)行系統(tǒng)的漏洞來(lái)對(duì)系統(tǒng)進(jìn)行改進(jìn),并在運(yùn)行過(guò)程中不斷完善信息資源數(shù)據(jù)庫(kù),使得安全系統(tǒng)的安全程度更高。后期的更新維護(hù)還需要技術(shù)人員自身素質(zhì)和技能的不斷提高,這也需要從組織內(nèi)部去加強(qiáng)培訓(xùn)。
