導語：如何才能寫好一篇信息安全方針和策略，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

【關(guān)鍵詞】 等級保護 電力調(diào)度 管理制度

引言

我單位開展了信息安全等級保護安全建設(shè)整改、等級測評等工作。然而，隨著整改進程的深入，建立規(guī)范、高效、安全的信息系統(tǒng)運行維護和管理體系，如何將等級保護中的管理制度與本單位自身的安全生產(chǎn)、班組文化等制度結(jié)合，給管理工作帶來了新的挑戰(zhàn)，通過建立等級保護管理制度體系能夠更全面的提高電力調(diào)度系統(tǒng)運維管理層次，實現(xiàn)信息系統(tǒng)、數(shù)據(jù)資源集成整合和綜合高效利用，支撐實現(xiàn)電力調(diào)度的信息化發(fā)展目標。本文結(jié)合筆者在信息安全管理中的實踐和理解，對等級保護管理體系在工作中的應用提出一些個人的想法，供讀者借鑒。

一、建立等級保護制度體系目的和意義

為更好的提高信息安全保障能力和水平，依據(jù)《信息安全等級保護管理辦法》（公通字[2007]43號）、國家電網(wǎng)公司《信息系統(tǒng)安全等級保護建設(shè)的實施指導意見》（信息運安[2009]27號）、《SG186工程信息系統(tǒng)安全等級保護驗收標準（試行）》（信息運安[2009]44號）、《關(guān)于加強電力二次系統(tǒng)安全防護和等級保護工作的通知》（調(diào)自〔2012〕65號）等要求。進一步加強電力調(diào)度系統(tǒng)重要信息系統(tǒng)的安全保護，落實國網(wǎng)公司關(guān)于信息安全等級保護和安全防護體系建設(shè)的總體要求，我單位開展了信息安全等級測評和整 改工作。

二、等級保護管理制度體系分析

等級保護管理制度體系提供了對組織機構(gòu)中信息系統(tǒng)全生存周期過程實施符合安全等級責任要求的管理，包括落實安全管理機構(gòu)及人員，明確角色與職責，制定安全規(guī)劃、開發(fā)安全策略、實施風險管理、進行監(jiān)控、檢查，處理安全事件等，具體落實在要求則體現(xiàn)在等級保護測評指標中，等級保護管理要求如圖1所示。

三、等級保護管理體系建設(shè)實踐

在具體落實管理體系過程中，應結(jié)合原有的信息化管理制度，貫徹建立管理制度文件層級化和流程化管理概念，將方針策略、管理制度、操作規(guī)程和記錄表單等文件科學的管理運作；將信息化安全管理方針策略定義為一層策略文件；將溝通管理、信息化人員管理、授權(quán)與審批管理、文件規(guī)范性管理、介質(zhì)管理、資產(chǎn)管理、網(wǎng)絡(luò)管理、系統(tǒng)管理、安全事件與應急管理、備份與恢復管理等方面定義為二層制度文件，落實一層文件中涉及的各方面運維和安全管理內(nèi)容；將信息化運維管理的操作指導規(guī)范等定義為三層流程文件，支撐二層制度文件的具體操作；將所有信息化運維相關(guān)的表格定義為四層表格文件，落實并規(guī)范化所有運維操作，融合和動態(tài)的管理當前使用的管理制度體系結(jié)構(gòu)，如圖2所示。

3.1安全管理的原則

1）基于安全需求原則：組織機構(gòu)應根據(jù)其信息系統(tǒng)擔負的使命，積累的信息資產(chǎn)的重要性，可能受到的威脅及面臨的風險分析安全需求，遵從相應等級的規(guī)范要求，從全局上恰當?shù)仄胶獍踩度肱c效果；

2）主要領(lǐng)導負責原則：主要領(lǐng)導應確立其組織統(tǒng)一的信息安全保障的宗旨和政策，負責提高員工的安全意識，組織有效安全保障隊伍，調(diào)動并優(yōu)化配置必要的資源，協(xié)調(diào)安全管理工作與各部門工作的關(guān)系，并確保其落實、有效；

3）全員參與原則：信息系統(tǒng)所有相關(guān)人員應普遍參與信息系統(tǒng)的安全管理，并與相關(guān)方面協(xié)同、協(xié)調(diào)，共同保障信息系統(tǒng)安全；

4）持續(xù)改進原則：安全管理是一種動態(tài)反饋過程，貫穿整個安全管理的生存周期，隨著安全需求和系統(tǒng)脆弱性的分布變化，應及時地將現(xiàn)有的安全策略、風險接受程度和保護措施進行復查、修改、調(diào)整以至提升安全管理等級，維護和持續(xù)改進信息安全管理體系；

5）分權(quán)和授權(quán)原則：對特定職能或責任領(lǐng)域的管理功能實施分離、獨立審計等實行分權(quán)，避免權(quán)力過分集中所帶來的隱患，以減小未授權(quán)的修改或濫用系統(tǒng)資源的機會。

3.2管理制度體系框架構(gòu)建

3.2.1工作目標

建立安全管理組織并落實各個部門信息安全責任人，明確組織內(nèi)各機構(gòu)人員責任和工作職能，確定信息安全管理體系方針策略，編制形成信息安全方針策略文件。

3.2.2建立信息安全管理組織

（1）建立信息安全管理組織架構(gòu)

信息安全領(lǐng)導機構(gòu)：供電公司信息化領(lǐng)導小組，主要負責對單位信息安全制定總體安全策略、監(jiān)督和協(xié)調(diào)各項安全措施在單位的執(zhí)行情況、設(shè)立落實信息安全責任。由供電公司分管領(lǐng)導擔任組長，小組成員為各個部門負責人組成。

（2）明確各相關(guān)機構(gòu)和崗位角色的責任和職能

建立相應的職責文件，明確各相應領(lǐng)導、部門、崗位的職責。調(diào)度通信中心應設(shè)立信息安全工作的各關(guān)鍵崗位，如安全管理員、網(wǎng)絡(luò)管理員、操作系統(tǒng)管理員和數(shù)據(jù)庫管理員等，并將之與班組人員結(jié)合，并重視信息化人員的培養(yǎng)。

3.2.3確定安全管理總體方針策略

安全管理方針策略是為組織的每一個人提供基本的規(guī)則、指南、定義，從而在組織中建立一套信息資源保護標準，防止員工的不安全行為引入風險。同時，還是進一步制定控制規(guī)則、安全程序的必要基礎(chǔ)。應當目的明確、內(nèi)容清楚，能廣泛地被組織成員接受與遵守，且要有足夠靈活性、適應性，能涵蓋較大范圍內(nèi)的各種數(shù)據(jù)、活動和資源。可以使員工了解與自己相關(guān)的信息安全保護責任，強調(diào)安全對組織業(yè)務目標的實現(xiàn)、業(yè)務活動持續(xù)運營的重要性。

安全方針策略屬于高層管理文件，簡要陳述信息安全宏觀需求及管理承諾，應該篇幅短小，內(nèi)容明確。信息安全方針應當簡明、扼要，便于理解，至少應包括以下內(nèi)容：

（1）信息安全的定義，總體目標、范圍，安全對信息共享的重要性；

（2）管理層意圖、支持目標和信息安全原則的闡述；

（3）信息安全控制的簡要說明，以及依從法律、法規(guī)要求對組織的重要性；

（4）信息安全管理的一般和具體責任定義，包括報告安全事故；

（5）信息安全策略的主要功能就是要建立一套安全需求、控制措施及執(zhí)行程序，定義安全角色賦予管理職責，陳述組織的安全目標，為安全措施在組織的強制執(zhí)行建立相關(guān)輿論與規(guī)則的基礎(chǔ)。

3.3管理制度體系策略建立

3.3.1工作目標

建立覆蓋信息工作的全部文件，包含安全策略、制度、規(guī)定規(guī)范、表單，完善所有活動流程管理。

3.3.2建立體系策略制度文件

信息安全策略是組織信息安全活動的最高方針，需要根據(jù)信息工作的實際情況，分別制訂不同的信息安全策略。應該簡單明了、通俗易懂，并形成書面文件，發(fā)給單位內(nèi)的所有成員。同時要對所有相關(guān)員工進行信息安全策略的培訓，以使信息安全方針真正植根于單位內(nèi)所有員工的腦海并落實到實際工作中。根據(jù)本單位實際情況，建立的策略文件，所有文件均需進行論證和評審。

（1）信息安全管理策略

作為所有系統(tǒng)的指導性方針文件，提供信息安全的基本規(guī)則、指南、定義。依據(jù)本策略應制定各管理制度、操作和使用規(guī)范。

（2）系統(tǒng)運維安全管理策略

作為所有系統(tǒng)運行維護的指導性方針文件，提供系統(tǒng)安全運行維護的基本規(guī)則、指南、定義。依據(jù)本策略應制定系統(tǒng)運行維護中相關(guān)的各種管理制度和規(guī)定，以及控制各項活動的記錄表單和審批流程。應覆蓋機房、網(wǎng)絡(luò)、系統(tǒng)、資產(chǎn)、備份、日常運維等所有運行維護工作的范圍。

（3）系統(tǒng)建設(shè)安全管理策略

作為所有信息化工作建設(shè)的指導性方針文件，提供信息工作相關(guān)的建設(shè)安全管理的基本規(guī)則、指南、定義。依據(jù)本策略應形成項目管理、采購管理、工程實施管理、測試及驗收管理等建設(shè)管理的全過程管理制度，相應的控制表單和審批規(guī)定。

（4）人員安全管理策略

由于在系統(tǒng)、運維、建設(shè)方面已經(jīng)對人員在該活動中的行為做了要求，人員安全管理主要需要考慮的問題是錄用、離崗、保密、教育培訓、考核及外來人員方面的管理，也可以直接制定比較詳細的人員安全管理制度。

（5）管理流程

梳理并完善各種活動的詳細流程圖，任何針對信息系統(tǒng)的活動均有流程可依據(jù)進行控制管理。如事件管理流程、變更管理流程等。

（6）其他輔助制度

建立輔助文件，如對以上策略、制度、表單等進行管理的文件管理制度、保密制度、信息規(guī)定等。

3.4管理制度體系運作落實

3.4.1工作目標

逐項實施，直至體系全面運行，監(jiān)督落實安全策略制度，找出體系中的不適用和缺陷。

3.4.2實施

經(jīng)過第一和第二階段的工作，理論上單位已初步形成完整的信息安全管理體系，但體系是否能正常運作發(fā)揮作用，需要對體系進行驗證，驗證的方法就是運行體系。

體系的運行分幾步進行：

對通過論證評審的文件，通過正規(guī)渠道正式發(fā)文的方式進行，的文件根據(jù)情況決定是否采取“征求意見稿”或“暫行”；

文件前召集相關(guān)部門的負責人學習文件，并要求確保落實力度；

的文件要求相關(guān)部門組織學習，并依照實施；

各相關(guān)部門對運行的文件制度運行情況進行收集，存在實際困難無法落實的報評審組織評審適用性；

對“征求意見稿”的文件，必須從實施的相關(guān)部門采集意見。

體系實施階段可以在體系建立階段同步開展，建立部門策略制度后，通過論證評審即可進行試運行，不需等全套文件完成。

3.4.3監(jiān)督

指定或成立跨部門監(jiān)督機構(gòu)、人員，對文件實施的過程進行監(jiān)督管理，制定相應的懲戒措施，對落實情況進行監(jiān)督檢查，對違反文件實施和實施不力的部門或人員進行懲戒，切實落實文件的有效實施。收集監(jiān)督過程中發(fā)現(xiàn)的文件問題、人員實施問題方面資料，反饋到編制組織。

本階段是系統(tǒng)建立的關(guān)鍵階段，是信息安全管理體系要分析運行效果，尋求改進機會的階段。如果發(fā)現(xiàn)一個控制措施不合理、不充分，就要采取糾正措施，以防止信息系統(tǒng)處于不可接受風險狀態(tài)。必須強調(diào)相關(guān)領(lǐng)導應重視本階段工作，并且從實際上支持和推動實施工作。且應加大學習培訓和監(jiān)督力度，落實懲戒措施。讓文件涉及的相關(guān)部門和相關(guān)人員熟知該文件并能按要求準確執(zhí)行。

3.5管理制度體系細化調(diào)整

3.5.1工作目標

總結(jié)體系運行情況，調(diào)整不適用和無法落實的部分，完善體系，使之能高效、有序的運作。

3.5.2評審

評審有兩個環(huán)節(jié)，第一個環(huán)節(jié)是針對出現(xiàn)的問題進行審核，論證其原因，進行改正完善。第二個環(huán)節(jié)是在大部分問題解決后、體系正常的情況下全面評審體系文件、組織、活動是否達到預期目標。

首先，信息安全領(lǐng)導小組組織相關(guān)部門人員，對體系實施中發(fā)現(xiàn)的問題進行審核，對落實不力的部門責成落實；對實際存在的問題進行論證，提出解決辦法；對不適用的文件或部分進行論證評審，確實存在不適用的文件則組織相關(guān)人員進行修訂，轉(zhuǎn)入修訂環(huán)節(jié)，對于不適用且沒必要存在的文件進行廢止。

而后，對于本階段計劃時間內(nèi)反饋沒發(fā)現(xiàn)問題的文件，組織相關(guān)部門評審試行效果，達到預期要求則作為正式版運行，并采用持續(xù)優(yōu)化階段的方式進行管理，未達預期目的則轉(zhuǎn)入重新編制程序。

3.5.3修訂

對于存在問題的策略文件，組織該策略文件涉及最多的主體部門和其他相關(guān)部門人員成立臨時修訂機構(gòu)，針對文件存在問題進行修訂。修訂后進行新版本的頒布，同時該文件轉(zhuǎn)入落實階段。

3.5.4測評

經(jīng)過細化調(diào)整，不斷地審核修訂后，體系應已基本完善，此時轉(zhuǎn)入評審的第二環(huán)節(jié)。按照符合等級保護要求的預期目標，委托等級保護測評機構(gòu)進行等級保護測評，在保證客觀、合規(guī)、公正的前提下，對單位信息安全體系進行全面評審。整體測評后，對不滿足要求的部分進行整改，整改完成后轉(zhuǎn)入實施階段，直至符合要求。

3.6管理制度體系持續(xù)優(yōu)化

通過前四個階段的工作，信息安全管理體系應基本穩(wěn)定、成熟，后期的工作在于保持并進行不斷地優(yōu)化。把經(jīng)過檢驗的文件作為常態(tài)的管理遵循依據(jù)，在日常工作中保持，不因試行結(jié)束而松懈。部門和人員應把試行期間依照文件要求形成的工作模式進一步完善保持，在未發(fā)生異常情況之前，始終按照正式版本執(zhí)行。定期進行評審，找出不適用部分進行優(yōu)化調(diào)整；結(jié)合工作實際，尋求更高效安全的方法優(yōu)化體系，提高效能。

篇2

 

1 社區(qū)衛(wèi)生服務中心信息安全背景

 

20世紀90年代以來，信息技術(shù)不斷創(chuàng)新，信息產(chǎn)業(yè)持續(xù)發(fā)展，信息網(wǎng)絡(luò)廣泛普及，特別是原衛(wèi)生部《衛(wèi)生信息化發(fā)展規(guī)劃(2011～2015年)》之后，明確了衛(wèi)生信息化是深化醫(yī)藥衛(wèi)生體制改革的重要內(nèi)容。那么作為整個衛(wèi)生信息化體系的“網(wǎng)底”的社區(qū)衛(wèi)生服務中心，其重要性不言而喻。隨著衛(wèi)生信息化的建設(shè)不斷擴展和深入，依托于區(qū)域衛(wèi)生信息中心的各類應用系統(tǒng)不斷上線推廣應用。網(wǎng)絡(luò)與數(shù)據(jù)安全已逐步成為各項衛(wèi)生信息工作開展的重要基礎(chǔ)依托。因此社區(qū)衛(wèi)生服務中心作為區(qū)域衛(wèi)生信息中心的重要結(jié)點。信息安全管理就顯得尤為重要。

 

2 什么是信息安全管理

 

“三分技術(shù)，七分管理”是信息安全保障工作中經(jīng)常提到的?？梢?，信息安全管理是信息安全保障的至關(guān)重要的組成部分。信息安全管理(Information Security Management)指組織中為了完成信息安全目標，遵循安全策略，按照規(guī)定的程序，運用恰當?shù)姆椒?，而進行的規(guī)劃、組織、指導、協(xié)調(diào)和控制等活動。作為組織完成的管理體系中的一個重要環(huán)節(jié)，它構(gòu)成了信息安全具有能動性的部分，是指導和控制組織相互協(xié)調(diào)完成關(guān)于信息安全風險的活動，其對象就是包括人員在內(nèi)的各類信息相關(guān)資產(chǎn)。在社區(qū)衛(wèi)生服務中心由于信息系統(tǒng)應用較為廣泛，基本包含了醫(yī)療、護理、醫(yī)技、行政等所有科室及其人員。

 

長期以來，社區(qū)衛(wèi)生服務中心在信息安全建設(shè)方面，存在重技術(shù)輕管理、重產(chǎn)品功能輕安全管理、缺乏整體性信息安全體系考慮等各方面的問題。區(qū)域衛(wèi)生信息中心采用集中管理的信息安全技術(shù)及產(chǎn)品的應用，一定程度上可以來解決社區(qū)衛(wèi)生服務中心在網(wǎng)絡(luò)傳輸時的信息安全問題。但是僅僅靠這些產(chǎn)品和技術(shù)還不夠，即使采購和使用了足夠先進、足夠多的信息安全產(chǎn)品，仍然無法避免一些信息安全事件的發(fā)生。近年來，由于管理不善、操作失誤等原因?qū)е碌男l(wèi)生信息及病患基本信息泄露的安全事件數(shù)量不斷攀升，更加劇了社區(qū)衛(wèi)生服務中心需要信息安全管理的迫切性。

 

3 社區(qū)衛(wèi)生服務中心信息安全管理作用

 

社區(qū)衛(wèi)生服務中心信息安全管理的作用體現(xiàn)任以下幾個方面。

 

3.1信息安全管理是社區(qū)衛(wèi)生服務中心組織整體管理的重要的、固有的組織部分，是組織實現(xiàn)中心業(yè)務目標的重要保障。在信息時代的今天，信息安全威脅已經(jīng)成為社區(qū)衛(wèi)生服務中心等醫(yī)療機構(gòu)業(yè)務正常運營和持續(xù)發(fā)展的最大威脅。如在社區(qū)衛(wèi)生服務中心發(fā)生的費用結(jié)算85%以上通過醫(yī)保信息系統(tǒng)來進行，所有的醫(yī)生工作站都依托中心服務器來提供數(shù)據(jù)進行操作，醫(yī)技部門也通過信息系統(tǒng)獲取病人信息和傳送結(jié)果。一旦信息系統(tǒng)發(fā)生故障對于社區(qū)衛(wèi)生服務中心來說是災難性的。因此中心需要信息安全管理，有其必然性。

 

3.2信息安全管理是信息安全技術(shù)的融合劑，是各項技術(shù)措施能夠發(fā)揮作用的重要保障。安全技術(shù)是信息安全控制的重要手段，許多信息系統(tǒng)的安全性保障都要依靠技術(shù)手段來實現(xiàn)，但光有安全技術(shù)還不行，要讓安全技術(shù)發(fā)揮應有的作用，必然要有適當?shù)墓芾沓绦虻闹С?，否則，安全技術(shù)職能趨于僵化和失敗。如果說安全技術(shù)是信息安全的構(gòu)筑材料，那么信息安全管理就是融合劑和催化劑，良好的管理可以變廢為寶，使現(xiàn)有的各項技術(shù)相互配合發(fā)揮應有的作用，而糟糕的管理會使技術(shù)措施變得毫無用處。實現(xiàn)信息安全，技術(shù)和產(chǎn)品是基礎(chǔ)，管理才是關(guān)鍵。在信息安全保障工作中必須管理與技術(shù)并重，進行綜合防范，才能有效保障安全，這也是實現(xiàn)信息安全目標的必由之路

 

3.3信息安全管理是預防、阻止或減少信息安全事件發(fā)生的重要保障。早期人們對于信息安全的認識主要側(cè)重在技術(shù)措施的開發(fā)和利用上，這種技術(shù)主導論的思路能夠解決信息安全的一部分問題，但卻解決不了根本，據(jù)權(quán)威機構(gòu)統(tǒng)計表明，信息安全問題大約70%以上是由管理方面原因造成的，大多數(shù)信息安全事件的發(fā)生，與其說是技術(shù)上的原因，不如說是管理不善造成的。因此解決信息安全問題、防止發(fā)生信息安全事件不應僅從技術(shù)方面著手，同時更應加強信息安全的管理工作。

 

信息安全涉及的范疇非常廣，信息安全不是產(chǎn)品的簡單堆積，也不是一次性的靜態(tài)過程，它是人員、技術(shù)、操作三者緊密結(jié)合的系統(tǒng)工程，是不斷演進、循環(huán)發(fā)展的動態(tài)過程。因此，要求社區(qū)衛(wèi)生服務中心的相關(guān)人員正確理解信息安全、理解信息安全管理的關(guān)鍵作用，以更好地開展信息安全管理工作。強調(diào)信息安全管理的作用，并不是要削弱信息安全技術(shù)的作用;開展信息安全管理工作，要處理好管理和技術(shù)的關(guān)系，要堅持管理與技術(shù)并重的原則，這也是信息安全保障工作的主要原則之一。

 

4 社區(qū)衛(wèi)生服務中心信息安全管理控制措施

 

在我國對于信息安全等同采用IS0 27002：2005，命名為《信息技術(shù)安全技術(shù)信息安全管理實用規(guī)則》(GB/T 22081-2008)。信息安全是通過實施一組合適的控制措施而達到的，包括策略、過程、規(guī)程、組織結(jié)構(gòu)以及軟件和硬件功能?？梢妼τ谏鐓^(qū)衛(wèi)生服務中心的信息安全來說，安全控制措施是必要且十分重要的。其中比較重要的如下：

 

4.1安全方針 社區(qū)衛(wèi)生服務中心的信息安全方針控制目標，是指中心的信息安全方針能夠依據(jù)業(yè)務的要求和相關(guān)法律法規(guī)提供管理指導并支持信息安全。社區(qū)衛(wèi)生服務中心信息安全方針文件的內(nèi)容應包含中心管理者的管理承諾、組織管理信息安全的方法、中心信息安全整體目標和范圍的定義、中心管理者意圖的聲明、控制目標和控制措施的框架、重要安全策略、原則、標準和符合性要求說明、中心信息安全管理的一般和特定職責的定義、支持方針的文件的引用等。

 

4.2信息安全組織 信息安全組織一般分為內(nèi)部組織和外部組織。社區(qū)衛(wèi)生服務中心內(nèi)部組織的信息安全控制目標是指在中心內(nèi)管理信息安全。組織的安全建立在每一位人員不同責任分工的劃分，不同的責任會有不同的工作指導原則。其中應當包括信息安全的管理承諾、信息安全協(xié)調(diào)、信息安全職責的分配、信息處理的授權(quán)、保密協(xié)議、信息安全的獨立評審等。社區(qū)衛(wèi)生服務中心外部組織的信息安全控制目標是保持中心被外部各方訪問、處理、管理或與外部進行通信的信息和信息處理的安全。主要包括中心與系統(tǒng)外單位信息通信相關(guān)風險的識別、處理相關(guān)的安全問題和處理第三方協(xié)議中的安全問題等。

 

4.3人力資源安全 人員在中心的信息安全管理中是一個最重要的因素，有資料表明，70%的安全問題是來自人員管理的疏漏，為了對人員有一個有效的管理，需要從任用之前、任用中、任用的終止或變更三項控制目標進行管理。

 

4.3.1任用之前控制是指社區(qū)衛(wèi)生服務中心任用人員之前為了確保人力資源的安全，需考慮到角色是否適合相應崗位，以降低設(shè)施被竊、信息泄露和誤用的風險，這一目標的實現(xiàn)需通過角色和職責、審查、任用條款和條件三項控制措施的落實來保障。

 

4.3.2任用中社區(qū)衛(wèi)生服務中心的信息安全控制目標就是確保所有的員工、承包方人員和第三方人員知悉信息安全威脅和利害關(guān)系、他們的職責和義務、并準備好在其正常工作過程中支持組織的安全方針，以減少人為過失的風險。

 

4.3.3社區(qū)衛(wèi)生服務中心發(fā)生任用的終止或變更時，應確保信息的安全不外泄，確保員工、承包方人員和第三方人員以一個規(guī)范的方式退出或改變其任用關(guān)系?？梢酝ㄟ^終止職責、資產(chǎn)的歸還、撤銷訪問權(quán)限等控制措施來實現(xiàn)。

 

4.4物理和環(huán)境安全 社區(qū)衛(wèi)生服務中心的物理和環(huán)境安全可以從安全區(qū)域和設(shè)備安全來入手管理。定義安全區(qū)域是為了防止對中心場所和信息的未授權(quán)物理訪問、損壞和干擾?？梢酝ㄟ^設(shè)置物理安全邊界、物理入口控制、辦公室房間和設(shè)施的安全保護、外部和環(huán)境的安全防護、在安全區(qū)域工作、公共訪問和交接區(qū)安全。設(shè)備安全是指防止由于資產(chǎn)丟失、損壞、失竊而危及社區(qū)衛(wèi)生服務中心的資產(chǎn)安全以及信息安全。中心可通過設(shè)備安置和保護、支持性設(shè)施、布纜安全、設(shè)備維護、場所外的設(shè)備安全、設(shè)備的安全處置和再利用，資產(chǎn)的移動等措施來進行保障。

 

4.5通信和操作管理 社區(qū)衛(wèi)生服務中心的通信和操作管理一般可從操作規(guī)程和職責、第三方服務交付管理、系統(tǒng)規(guī)劃和驗收、防范惡意和移動代碼、備份、網(wǎng)絡(luò)安全管理、介質(zhì)處置、信息的交換、電子商務服務、監(jiān)視等方面入手。

 

4.6訪問控制 對于社區(qū)衛(wèi)生服務中心來說，訪問控制可從訪問控制的業(yè)務要求、用戶訪問管理、用戶職責、網(wǎng)絡(luò)訪問控制、操作系統(tǒng)訪問控制、應用和信息訪問控制、移動計算和遠程工作等控制目標來入手。

 

4.7信息安全事件管理 社區(qū)衛(wèi)生服務中心的信息安全事件管理可以從報告信息安全事態(tài)和弱點、信息安全事件和改進的管理兩個控制目標入手進行管理。

 

4.7.1報告信息安全事態(tài)和弱點這項控制目標旨在確保中心與信息系統(tǒng)有關(guān)的信息安全事態(tài)和弱點能夠以某種方式傳達，以便及時采取糾正措施。該目標下有報告信息安全事態(tài)和報告安全弱點這兩項控制措施來保障這一目標的實現(xiàn)。①報告信息安全事態(tài)控制措施，是指信息安全事態(tài)應該盡可能快地通過適當?shù)墓芾砬肋M行報告。實施過程中應建立正式的信息安全事態(tài)報告程序，以及在收到信息安全事態(tài)報告后采取措施的事件響應和上報程序。②報告安全弱點控制措施，是指中心應要求信息系統(tǒng)和服務的所有職員、承包方人員和第三方人員記錄并報告他們觀察到的或懷疑的任何系統(tǒng)或服務的安全弱點。報告機制應盡可能容易、易理解和方便可用。應告知他們在任何情況下，都不應試圖去證明被懷疑的弱點。

 

4.7.2信息安全事件和改進的管理。社區(qū)衛(wèi)生服務中心信息安全事件和改進的管理這一控制目標旨在確保采用一致和有效的方法對信息安全事件進行管理。中心可以用職責和程序的控制措施、對信息安全事件的總結(jié)、證據(jù)的收集三項控制措施來保障這一目標的實現(xiàn)。①職責和程序的控制措施。它是指中心應當建立管理職責和程序，以確保能對信息安全事件做出快速、有效和有序的響應。該項措施實施時除了對中心的信息安全事態(tài)和弱點進行報告外，還應利用對系統(tǒng)、報警和脆弱性的監(jiān)視來檢測中心信息安全事件。遵循嚴格的信息安全事件管理程序的前提是中心需建立規(guī)程以處理不同類型的信息安全事件，如惡意代碼、拒絕服務、信息系統(tǒng)故障和服務丟失、違反保密性和完整性、信息系統(tǒng)誤用等。中心除了考慮正常的應急計劃還要考慮事件原因的分析和確定、遏制事件影響擴大的策略、向合適的機構(gòu)報告所采取的措施等。②中心對信息安全事件的總結(jié)控制措施，是指社區(qū)衛(wèi)生服務中心應有一套機制量化和監(jiān)視信息安全事件的類型、數(shù)量和代價。從信息安全事件評價中獲取的信息應用來識別再發(fā)生的事件或高影響的事件。③證據(jù)的收集。證據(jù)的收集對于社區(qū)衛(wèi)生服務中心來說，是指當中心的一個信息安全事件涉及到訴訟(民事的或刑事的)，需要進一步對個人或組織進行起訴時，應收集、保留和呈遞證據(jù)，以使證據(jù)符合相關(guān)訴訟管轄權(quán)。過程有：為應對懲罰措施而收集和提交證據(jù)，應制定和遵循內(nèi)部程序，為了獲得被容許的證據(jù)，中心應確保其信息系統(tǒng)符合任何公布的標準或?qū)嵱靡?guī)則來產(chǎn)生被容許的證據(jù)：任何法律取證工作應僅在證據(jù)材料的拷貝上進行。

 

4.8業(yè)務連續(xù)性管理 對于社區(qū)衛(wèi)生服務中心來說業(yè)務連續(xù)性管理是指防止中心業(yè)務中斷，保證中心重要業(yè)務流程不受重大故障與災難的影響。業(yè)務連續(xù)性管理過程中包含信息安全，該控制措施是指應為貫穿于組織的業(yè)務連續(xù)性開發(fā)和保持一個管理過程。解決中心的業(yè)務連續(xù)性所需的信息安全要求，保護關(guān)鍵業(yè)務過程免受信息系統(tǒng)重大失誤或災難的影響，并確保他們的及時恢復。應包含中心的信息安全、業(yè)務連續(xù)性和風險評估、制定和實施包含信息安全的連續(xù)性計劃、業(yè)務連續(xù)性計劃框架、測試、維護和再評估業(yè)務連續(xù)性計劃等內(nèi)容。

 

5 社區(qū)衛(wèi)生服務機構(gòu)信息安全的展望

 

對于社區(qū)衛(wèi)生服務中心來說信息安全保障不僅僅是一門技術(shù)學科，信息安全保障應綜合技術(shù)、管理和人。在中心的管理上，信息安全保障應考慮建立綜合的信息化的組織管理體系，明晰相應的崗位職責、規(guī)章制度并嚴格執(zhí)行等等。在人員上，應加強所有使用信息系統(tǒng)人員的安全意識和技能，以及中心從事信息系統(tǒng)專業(yè)人員的專業(yè)技能和能力。社區(qū)衛(wèi)生服務中心的信息安全保障亦不是一種項目性的暫時行為，而是融入信息系統(tǒng)生命周期的全過程的保障。信息安全保障不是一種打補丁，頭疼醫(yī)頭、腳疼醫(yī)腳的臨時行為，而是一種系統(tǒng)化、體系化的保障過程。信息安全保障的目的不僅僅是保障信息系統(tǒng)本身，信息安全保障的根本目的是通過保障信息系統(tǒng)進而保障運行于信息系統(tǒng)之上的中心業(yè)務系統(tǒng)。信息安全保障應以業(yè)務為主導、以社區(qū)衛(wèi)生服務中心的使命、社會職責和社會服務性為出發(fā)點和落腳點。社區(qū)衛(wèi)生服務中心的信息安全保障不僅僅是孤立的自身的問題，信息安全保障是一個社會化的、需要各方參與的工作。信息安全保障不僅僅是孤立的自身的問題，信息系統(tǒng)需要電信、電力等基礎(chǔ)設(shè)施的支持、信息系統(tǒng)需要承擔保密、公共安全、國家安全等社會職責，信息安全保障工作是一個社會化的、需要各方參與的綜合的工作。社區(qū)衛(wèi)生服務中心的信息安全保障是主觀和客觀的結(jié)合。沒有絕對的安全，信息安全保障并不提供絕對的安全，信息安全保障是討論風險和策略，討論適度安全。因此，它是一個需要持之以恒和不斷完善與發(fā)展的工作。

篇3

【關(guān)鍵詞】電力企業(yè)；信息網(wǎng)絡(luò)；安全體系

【中圖分類號】TP309【文獻標識碼】A【文章編號】1672-5158（2013）07-0498-02

引言

隨著電力企業(yè)不斷發(fā)展，信息化已廣泛應用于生產(chǎn)運營管理過程中的各個環(huán)節(jié)，信息化在為企業(yè)帶來高效率的同時，也為企業(yè)帶來了安全風險。一方面企業(yè)對信息化依賴性越來越強，尤其是生產(chǎn)監(jiān)控信息系統(tǒng)及電力二次系統(tǒng)直接關(guān)系到電力安全生產(chǎn)；另一方面黑客技術(shù)發(fā)展迅速，今天行之有效的防火墻或隔離裝置也許明天就可能出現(xiàn)漏洞。因此，建設(shè)信息安全防護體系建設(shè)工作是刻不容緩的。

1 信息安全防護體系的核心思想

電力企業(yè)信息安全防護體系的核心思想是“分級、分區(qū)、分域”（如圖1所示）。分級是將各系統(tǒng)分別確定安全保護級別實現(xiàn)等級化防護；分區(qū)是將信息系統(tǒng)劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)兩個相對獨立區(qū)進行安全防護；分域是依據(jù)系統(tǒng)級別及業(yè)務系統(tǒng)類型劃分不同的安全域，實現(xiàn)不同安全域的獨立化、差異化防護。

2 信息安全防護系統(tǒng)建設(shè)方針

2.1整體規(guī)劃：在全面調(diào)研的基礎(chǔ)上，分析信息安全的風險和差距，制訂安全目標、安全策略，形成安全整體架構(gòu)。

2.2分步實施：制定信息安全防護系統(tǒng)建設(shè)計劃，分階段組織項目實施。

2.3分級分區(qū)分域：根據(jù)信息系統(tǒng)的重要程度，確定該系統(tǒng)的安全等級，省級公司的信息系統(tǒng)分為二級和三級系統(tǒng)；根據(jù)生產(chǎn)控制大區(qū)和管理信息大區(qū)，劃分為控制區(qū)（安全I區(qū)）、非控制區(qū)（安全II區(qū)）、管理信息大區(qū)（III區(qū)）；依據(jù)業(yè)務系統(tǒng)類型進行安全域劃分，二級系統(tǒng)統(tǒng)一成域，三級系統(tǒng)獨立成域。

2.4等級防護：按照國家和電力行業(yè)等級保護基本要求，進行安全防護措施設(shè)計，合理分配資源，做好重點保護和適度保護。

2.5多層防御：在分域防護的基礎(chǔ)上，將各安全域的信息系統(tǒng)劃分為邊界、網(wǎng)絡(luò)、主機、應用、數(shù)據(jù)層面進行安全防護設(shè)計，以實現(xiàn)縱深防御。

2.6持續(xù)改進：定期對信息系統(tǒng)進行安全檢測，發(fā)現(xiàn)潛在的問題和系統(tǒng)可能的脆弱性并進行修正；檢查防護系統(tǒng)的運行及安全審計日志，通過策略調(diào)整及時防患于未然；定期對信息系統(tǒng)進行安全風險評估，修補安全漏洞、改進安全防護體系。

3 信息安全防護體系建設(shè)探索

一個有效的信息安全體系是在信息安全管理、信息安全技術(shù)、信息安全運行的整體保障下，構(gòu)建起來并發(fā)揮作用的。

3.1 建立信息安全管理體系

安全管理體系是整個信息安全防護體系的基石，它包括安全管理機構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理五個方面，信息安全組織機構(gòu)的建立尤為重要。

3.1.1建立信息安全管理小組

建立具有管理權(quán)的信息安全小組，負責整體信息安全管理工作，審批信息安全方針，分配安全管理職責，支持和推動組織內(nèi)部信息安全工作的實施，對信息安全重大事項進行決策。處置信息安全事件，對安全管理體系進行評審。

3.1.2分配管理者權(quán)限

按照管理者的責、權(quán)、利一致的原則，對信息管理人員作級別上的限制；根據(jù)管理者的角色分配權(quán)限，實現(xiàn)特權(quán)用戶的權(quán)限分離。對工作調(diào)動和離職人員及時調(diào)整授權(quán)，根據(jù)管理職責確定使用對象，明確某一設(shè)備配置、使用、授權(quán)信息的劃分，制訂相應管理制度。

3.1.3職責明確，層層把關(guān)

制訂操作規(guī)程要根據(jù)職責分離和多人負責的原則各負其責，不能超越自己的管轄范圍。系統(tǒng)維護時要經(jīng)信息管理部門審批，有信息安全管理員在場，對故障原因、維護內(nèi)容和維護前后情況做詳細記錄。

（1）多人負責制度 每一項與安全有關(guān)的活動必須有2人以上在場，簽署工作情況記錄，以證明安全工作已得到保障。

（2）重要崗位定期輪換制度 應建立重要崗位應定期輪換制度，在工作交接期間必須更換口令，重要技術(shù)文件或數(shù)據(jù)必須移交清楚，明確泄密責任。

（3）在信息管理中實行問責制，各信息系統(tǒng)專人專管。

3.1.5系統(tǒng)應急處理

制定信息安全應急響應管理辦法，按照嚴重性和緊急程度及危害影響的大小來確定全事件的等級，采取措施，防止破壞的蔓延與擴展，使危害降到最低，通過對事件或行為的分析結(jié)果，查找事件根源，徹底消除安全隱患。

3.2 建立信息安全技術(shù)策略

3.2.1物理安全策略

物理安全策略的目的是保護計算機系統(tǒng)、網(wǎng)絡(luò)服務器等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊；確保計算機系統(tǒng)有一個良好的工作環(huán)境；防止非法進入機房和各種偷竊、破壞活動的發(fā)生，抑制和防止電磁泄露等采取的安全措施。

3.2.2 網(wǎng)絡(luò)安全策略

網(wǎng)絡(luò)安全防護措施主要包括以下幾種類型：

（1）防火墻技術(shù)。通過防火墻配置，控制內(nèi)部和外部網(wǎng)絡(luò)的訪問策略，結(jié)合上網(wǎng)行為管理，監(jiān)控網(wǎng)絡(luò)流量分配，對于重要數(shù)據(jù)實行加密傳輸或加密處理，使只有擁有密鑰的授權(quán)人才能解密獲取信息，保證信息在傳輸過程中的安全。

（2）防病毒技術(shù)。根據(jù)有關(guān)資料統(tǒng)計，對電力信息網(wǎng)絡(luò)和二次系統(tǒng)的威脅除了黑客以外，很大程度上是計算機病毒造成的。當今計算機病毒技術(shù)發(fā)展迅速，對計算機網(wǎng)絡(luò)和信息系統(tǒng)造成很大的損害。采用有效的防病毒軟件、惡意代碼防護軟件，保障升級和更新的時效性，是行之有效的措施。

（3）安全檢測系統(tǒng)。通過專用工具，定期查找各種漏洞，監(jiān)控網(wǎng)絡(luò)的運行狀況。在電力二次系統(tǒng)之間安裝IDS入侵檢測軟件等，確保對網(wǎng)絡(luò)非法訪問、入侵行為做到及時報警，防止非法入侵。

3.2.3安全策略管理

對建的電力二次系統(tǒng)必須在建設(shè)過程中進行安全風險評估，并根據(jù)評估結(jié)果制定安全策略；對已投運且已建立安全體系的系統(tǒng)定期進行漏洞掃描，以便及時發(fā)現(xiàn)系統(tǒng)的安全漏洞；定期分析本系統(tǒng)的安全風險，分析當前黑客非法入侵的特點，及時調(diào)整安全策略。

3.2.4 數(shù)據(jù)庫的安全策略

數(shù)據(jù)庫的安全策略包括安全管理策略、訪問控制策略和信息控制策略。但數(shù)據(jù)庫的安全問題最主要的仍是訪問控制策略。就訪問控制策略分類而言，它可以分為以下幾種策略。

（1） 最小特權(quán)策略： 是讓用戶可以合法的存取或修改數(shù)據(jù)庫的前提下，分配最小的特權(quán)，使得這些權(quán)限恰好可以讓用戶完成自己的工作，其余的權(quán)利一律不給。

（2） 數(shù)據(jù)庫加密策略： 數(shù)據(jù)加密是保護數(shù)據(jù)在存儲和傳遞過程中不被竊取或修改的有效手段。

（3）數(shù)據(jù)庫備份策略：就是保證在數(shù)據(jù)庫系統(tǒng)出故障時，能夠?qū)?shù)據(jù)庫系統(tǒng)還原到正常狀態(tài)。

（4）審計追蹤策略：是指系統(tǒng)設(shè)置相應的日志記錄，特別是對數(shù)據(jù)更新、刪除、修改的記錄，以便日后查證。

篇4

【關(guān)鍵詞】信息系統(tǒng)；信息安全；風險評估；評估方法

【中圖分類號】C931.6 【文獻標識碼】A 【文章編號】1672-5158（2012）09-0025-01

一、信息安全風險評估的評估實施流程

信息安全風險評估包括：資產(chǎn)評估、威脅評估、脆弱性評估、現(xiàn)有安全措施評估、風險計算和分析、風險決策和安全建議，在風險評估之后就是要進行安全整改。

網(wǎng)省公司信息系統(tǒng)風險評估的主要內(nèi)容包括：資產(chǎn)評估、威脅評估、脆弱性評估和現(xiàn)有安全措施評估，一般采用全面風險評估的方法，以安全顧問訪談、管理問卷調(diào)查、安全文檔分析等方式，并結(jié)合了漏洞掃描、人工安全檢查等手段，對評估范圍內(nèi)的網(wǎng)絡(luò)、主機以及相應的部門的安全狀況進行了全面的評估，經(jīng)過充分的分析后，得到了信息系統(tǒng)的安全現(xiàn)狀。

二、信息安全風險評估實施方法

2.1 資產(chǎn)評估

網(wǎng)省公司資產(chǎn)識別主要針對提供特定業(yè)務服務能力的應用系統(tǒng)展開，通常一個應用系統(tǒng)都可劃分為數(shù)據(jù)存儲、業(yè)務處理、業(yè)務服務提供和客戶端四個功能部分，這四個部分在信息系統(tǒng)的實例中都顯現(xiàn)為獨立的資產(chǎn)實體，例如：典型的協(xié)同辦公系統(tǒng)可分為客戶端、Web服務器、Domino服務器、DB2數(shù)據(jù)庫服務器四部分資產(chǎn)實體。綜合考慮資產(chǎn)的使命、資產(chǎn)本身的價值、資產(chǎn)對于應用系統(tǒng)的重要程度、業(yè)務系統(tǒng)對于資產(chǎn)的依賴程度、部署位置及其影響范圍等因素評估信息資產(chǎn)價值。資產(chǎn)賦值是資產(chǎn)評估由定性化判斷到定量化賦值的關(guān)鍵環(huán)節(jié)。

2.2 威脅評估

威脅評估是通過技術(shù)手段、統(tǒng)計數(shù)據(jù)和經(jīng)驗判斷來確定信息系統(tǒng)面臨的威脅的過程。在實施過程中，根據(jù)各單位業(yè)務系統(tǒng)的具體系統(tǒng)情況，結(jié)合系統(tǒng)以往發(fā)生的信息安全事件及對網(wǎng)絡(luò)、系統(tǒng)管理員關(guān)于威脅發(fā)生可能性和發(fā)展趨勢的調(diào)查，下面按照威脅的主體分別對這些威脅及其可能發(fā)生的各種情形進行簡單描述：

2.3 脆弱性評估

脆弱性評估內(nèi)容包括管理、運維和技術(shù)三方面的內(nèi)容，具體實施可參照公司相應的技術(shù)或管理標準以及評估發(fā)起方的要求，根據(jù)評估選擇的策略和評估目的的不同進行調(diào)整。下表是一套脆弱性識別對象的參考：

管理脆弱性：安全方針、信息安全組織機構(gòu)、人員安全管理、信息安全制度文件管理、信息化建設(shè)中的安全管理、信息安全等級保護工作、信息安全評估管理、信息安全的宣傳與培訓、信息安全監(jiān)督與考核工作、符合性管理。

運維脆弱性：信息系統(tǒng)運行管理、資產(chǎn)分類管理、配置與變更管理、業(yè)務連續(xù)性管理、物理環(huán)境安全、設(shè)備與介質(zhì)安全。

技術(shù)脆弱性：網(wǎng)絡(luò)系統(tǒng)、主機安全、通用系統(tǒng)安全、業(yè)務系統(tǒng)安全、現(xiàn)有安全措施。

管理、運維、技術(shù)三方面脆弱性是相互關(guān)聯(lián)的，管理脆弱性可能會導致運維脆弱性和技術(shù)脆弱性的產(chǎn)生，運維脆弱性也可能導致技術(shù)脆弱性的產(chǎn)生。技術(shù)的脆弱性識別主要采用工具掃描和人工審計的方式進行，運維和管理的脆弱性主要通過訪談和調(diào)查問卷來發(fā)現(xiàn)。此外，對以往的安全事件的統(tǒng)計和分析也是確定脆弱性的主要方法。

三、現(xiàn)有安全措施評估

通過現(xiàn)有安全措施指評估安全措施的部署、使用和管理情況，確定這些措施所保護的資產(chǎn)范圍，以及對系統(tǒng)面臨風險的消除程度。

3.1 安全技術(shù)措施評估

通過對各單位安全設(shè)備、防病毒系統(tǒng)的部署、使用和管理情況，對特征庫的更新方式、以及最近更新時間，設(shè)備自身資源使用率（CPU、MEM、DISK）、自身工作狀況、以及曾經(jīng)出現(xiàn)過的異?，F(xiàn)象、告警策略、日志保存情況、系統(tǒng)中管理員的個數(shù)、管理員所使用的口令的強度、弱口令情況等信息進行脆弱性分析，并確定級別。

3.2 安全管理措施評估

訪談被評估單位是否成立了信息安全領(lǐng)導小組，并以文件的形式明確了信息安全領(lǐng)導小組成員和相關(guān)職責，是否結(jié)合實際提出符合自身發(fā)展的信息化建設(shè)策略，其中包括是否制定了信息安全工作的總體方針和安全策略，建立健全了各類安全管理制度，對日常管理操作建立了規(guī)范的操作規(guī)程；定期組織全員學習國家有關(guān)信息安全政策、法規(guī)等。

3.3 物理與環(huán)境安全

查看被訪談單位信息機房是否有完善的物理環(huán)境保障措施，是否有健全的漏水監(jiān)測系統(tǒng)，滅火系統(tǒng)是否安全可用，有無溫濕度監(jiān)測及越限報警功能，是否配備精密空調(diào)嚴格調(diào)節(jié)控制機房內(nèi)溫度及濕度，保障機房設(shè)備的良好運行環(huán)境。

3.4 應急響應與恢復管理

為正確、有效和快速處理網(wǎng)絡(luò)信息系統(tǒng)突發(fā)事件，最大限度地減少網(wǎng)絡(luò)信息系統(tǒng)突發(fā)事件對單位生產(chǎn)、經(jīng)營、管理造成的損失和對社會的不良影響，需查看被評估單位是否具備完善網(wǎng)絡(luò)信息系統(tǒng)應急保證體系和應急響應機制，應對網(wǎng)絡(luò)信息系統(tǒng)突發(fā)事件的組織指揮能力和應急處置能力，是否及時修訂本單位的網(wǎng)絡(luò)信息系統(tǒng)突發(fā)事件應急預案，并進行嚴格的評審、。

3.5 安全整改

被評估單位根據(jù)信息安全風險評估結(jié)果，對本單位存在的安全風險進行整改消除，從安全技術(shù)及安全管理兩方面，落實信息安全風險控制及管理，確保信息系統(tǒng)安全穩(wěn)定運行。

四、結(jié)語

公司近兩年推行了“雙網(wǎng)雙機、分區(qū)分域、等級保護、分層防御”的安全防護策略和一系列安全措施，各單位結(jié)合風險評估實踐情況，以技術(shù)促安全、以管理保安全，確保公司信息系統(tǒng)穩(wěn)定運行，為公司發(fā)展提供有力信息支撐。

參考文獻

篇5

所謂的“當局者迷，旁觀者清”、“外來和尚好念經(jīng)”，

在ISMS建設(shè)及認證項目上也是這個道理。

無論是選擇自我實施，還是請外部的咨詢機構(gòu)和顧問，組織都應該知道，

實施ISMS認證項目，必須要有一套行之有效的方法，事先要對整個過程做好計劃。

信息安全管理體系（Information Security Management System，ISMS）是組織整體管理體系的一個部分，是組織在整體或特定范圍內(nèi)建立信息安全方針和目標，以及完成這些目標所用方法的體系。基于對業(yè)務風險的認識，ISMS包括建立、實施、操作、監(jiān)視、復查、維護和改進信息安全等一系列的管理活動，并且表現(xiàn)為組織結(jié)構(gòu)、策略方針、計劃活動、目標與原則、人員與責任、過程與方法、資源等諸多要素的集合。

外來和尚好念經(jīng)

組織在確定實施ISMS建設(shè)及ISO27001認證項目之后，通常有兩種途徑可以去操作，一種是自己做，在組織內(nèi)部成立專人專項工作組，按照計劃自我實施。另一種就是選擇有實力的咨詢機構(gòu)，幫助組織完成此項目。兩種途徑各有所長，關(guān)鍵是看組織自身特點和看問題的角度。如果組織規(guī)模不大、業(yè)務模式簡單、信息系統(tǒng)也不復雜，而且自身對信息安全的認識和運作已經(jīng)達到了一定高度，有勝任的人員，選擇自我實施就是比較經(jīng)濟快捷的途徑。不過，如果組織規(guī)模較大、組織結(jié)構(gòu)相互關(guān)聯(lián)、對IT的依賴廣泛，更重要的是，組織本身對信息安全的意識和運作還處于較低水平，或者發(fā)展并不均衡，這就需要有外部力量來進行引導，他們以公正獨立的姿態(tài)，把一些成熟的經(jīng)驗移植過來，以最直接快速的方式發(fā)現(xiàn)組織現(xiàn)有問題并對癥下藥。此外，有經(jīng)驗的咨詢機構(gòu)和顧問通常都能比較好地把握認證機構(gòu)的“偏好”和習慣，這一點尤其對最終應對審核很重要。一般來說，咨詢機構(gòu)可以在人員培訓、全程輔導、后續(xù)支持等方面給予組織大力的支持。所謂的“當局者迷，旁觀者清”、“外來和尚好念經(jīng)”，在ISMS建設(shè)及認證項目上也是這個道理。

當然，無論是選擇自我實施，還是請外部的咨詢機構(gòu)和顧問，組織都應該知道，實施ISMS認證項目，必須要有一套行之有效的方法，事先要對整個過程做好計劃。

完善計劃渠自成

在建設(shè)信息安全管理體系的方法上，ISO27001標準為我們提供了指導性建議，即基于PDCA的持續(xù)改進的管理模式。PDCA是一種通用的管理模式，適用于任何管理活動，體現(xiàn)了一種持續(xù)改進、維持平衡的思想，但具體到ISMS建立及認證項目上，就顯得不夠明確和細致，組織必須還要有一套切實可行的方法論，以符合項目過程實施的要求。在這方面，ISMS實施及認證項目可以借鑒很多成熟的管理體系實施方法，比如ISO9001、ISO14001、TS16949等，大致上說，這些管理體系都遵循所謂的PROC過程方法。

PROC過程模型（Preparation-Realization-Operation-Certification）是對PDCA管理模式的一種細化，它更富有針對性和實效性，并且更貼近認證審核自身的特點。

PROC模式將整個信息安全管理體系建設(shè)項目劃分成四個階段，共包含15項關(guān)鍵的活動，如果每項具有前后關(guān)聯(lián)關(guān)系的活動都能很好地完整，最終就能建立起有效的ISMS，實現(xiàn)信息安全建設(shè)整體藍圖，接受ISO27001認證并獲得認可更是水到渠成的事情。

準備階段（Preparation）：在準備階段，項目小組要對ISMS實施及認證做好預備工作，明確ISMS實施范圍，提供相關(guān)資源，建立總體的安全管理方針，進行前期培訓和預先評估，分析了解業(yè)務狀況，進行詳細的風險評估，發(fā)掘安全需求。這一階段包括以下五項關(guān)鍵活動：

?項目啟動：前期溝通，實施計劃，項目小組，資源支持，啟動會議。

?前期培訓：信息安全管理基礎(chǔ)，風險評估方法。

?預先審核：初步了解信息安全現(xiàn)狀，分析與ISO27001標準要求的差距。

?業(yè)務分析：訪談調(diào)查，核心與支持業(yè)務，業(yè)務對資源的需求，業(yè)務影響分析。

?風險評估：資產(chǎn)、威脅、弱點、風險識別與評估。

實現(xiàn)階段（Realization）：在實現(xiàn)階段，項目小組要組織相關(guān)資源，依據(jù)風險評估結(jié)果選擇控制措施，為實施有效的風險處理做好計劃，同時編寫、測試、修訂并完善ISMS運行和認證所需的文檔體系，管理者需要正式ISMS體系并要求開始實施，通過普遍的培訓活動來推廣執(zhí)行。此階段包括四項關(guān)鍵活動：

?風險處理：針對風險問題，做文件編寫規(guī)劃、BCP規(guī)劃和技術(shù)方案規(guī)劃。

?文件編寫：編寫ISMS各級文件，多次Review及修訂，管理層討論確認。

?實施：ISMS實施計劃，體系文件，控制措施實施。

?中期培訓：全員安全意識培訓，ISMS實施推廣培訓，必要的考核。

運行階段（Operation）：ISMS建立起來（體系文件正式實施）之后，要通過一定時間的試運行來檢驗其有效性和穩(wěn)定性。在此階段，應該培訓專門人員，建立起內(nèi)部審查機制，通過內(nèi)部審計、管理評審和模擬認證，來檢查已建立的ISMS是否符合ISO27001標準以及企業(yè)自己規(guī)范的要求。此階段的關(guān)鍵活動有四項：

?認證申請：與認證機構(gòu)磋商，準備材料申請認證，制定認證計劃，預審核。

?后期培訓：審核員等角色的專業(yè)技能培訓。

?內(nèi)部審核：審核計劃，Checklist，內(nèi)部審核，不符合項整改。

?管理評審：信息安全管理委員會組織ISMS整體評審，糾正預防。

認證階段（Certification）：經(jīng)過一定時間運行，ISMS達到一個穩(wěn)定的狀態(tài)，各項文檔和記錄已經(jīng)建立完備，此時，可以提請進行認證。此階段的關(guān)鍵活動就是為認證做好準備：

?認證準備：準備送審文件，安排部署審核事項。

篇6

 

1美國電力行業(yè)信息安全的戰(zhàn)略框架

 

為響應奧巴馬政府關(guān)于加強丨Kj家能源坫礎(chǔ)設(shè)施安全(13636行政令，即ExecutiveOrder13636-ImprovingCriticalInfrastructureCybersecurity)的要求，美國能源部出資，能源行業(yè)控制系統(tǒng)工作組(EnergySec*torControlSystemsWorkingGroup,ESCSWG)在《保護能源行業(yè)控制系統(tǒng)路線圖》(RoadmaptoSecureControlSystemsintheEnergySector)的基礎(chǔ)上，于2011年了《實現(xiàn)能源傳輸系統(tǒng)信息安全路線閣》。2011路線圖為電力行業(yè)未來丨0年的信息安全制定了戰(zhàn)略框架和行動計劃，體現(xiàn)了美國加強國家電網(wǎng)持續(xù)安全和可靠性的承諾和努力路線圖基于風險管理原則，明確了至2020年美國能源傳輸系統(tǒng)網(wǎng)絡(luò)安全目標、實施策略及里程碑計劃，指導行業(yè)、政府、學術(shù)界為共丨司愿景投入并協(xié)同合作。2011路線圖指出：至2020年，要設(shè)計、安裝、運行、維護堅韌的能源傳輸系統(tǒng)(resilientenergydeliverysystems)。美國能源彳了業(yè)的網(wǎng)絡(luò)安全目標已從安全防護轉(zhuǎn)向系統(tǒng)堅韌。路線圖提出了實現(xiàn)目標的5個策略，為行業(yè)、政府、學術(shù)界指明了發(fā)展方向和工作思路。(1)建立安全文化。定期回顧和完善風險管理實踐，確保建立的安全控制有效。網(wǎng)絡(luò)安全實踐成為能源行業(yè)所有相關(guān)者的習慣,，(2)評估和監(jiān)測風險。實現(xiàn)對能源輸送系統(tǒng)的所有架構(gòu)層次、信息物理融合領(lǐng)域的連續(xù)安全狀態(tài)監(jiān)測，持續(xù)評估新的網(wǎng)絡(luò)威脅、漏洞、風險及其應對措施。(3)制定和實施新的保施。新一代能源傳輸系統(tǒng)結(jié)構(gòu)實現(xiàn)“深度防御”，在網(wǎng)絡(luò)安全事件中能連續(xù)運行。(4)開展事件管理。開展網(wǎng)絡(luò)事件的監(jiān)測、補救、恢復，減少對能源傳輸系統(tǒng)的影響。開展事件后續(xù)的分析、取證以及總結(jié)，促進能源輸送系統(tǒng)環(huán)境的改進。(5)持續(xù)安全改進。保持強大的資源保障、明確的激勵機制及利益相關(guān)者密切合作，確保持續(xù)積極主動的能源傳輸系統(tǒng)安全提升。為及時跟蹤2011路線圖實施情況，能源行業(yè)控制系統(tǒng)工作組(ESCSWG)提供了ieRoadmap交互式平臺。通過該平臺共享各方的努力成果，掌握里程碑進展情況，使能源利益相關(guān)者為路線圖的實現(xiàn)作一致努力。

 

2美國電力行業(yè)信息安全的管理結(jié)構(gòu)

 

承擔美國電力行業(yè)信息安全相關(guān)職責的主要政府機構(gòu)和組織包括：國土安全部(DHS)、能源部(1)0￡)、聯(lián)邦能源管理委員會(FEUC)、北美電力可靠性公司(NERC)以及各州公共事業(yè)委員會(PUC)。2.1國土安全部美國國土安全部是美國聯(lián)邦政府指定的基礎(chǔ)設(shè)施信息安全領(lǐng)導部I'j'負責監(jiān)督保護政府網(wǎng)絡(luò)安全，為私營企業(yè)提供專業(yè)援助。2009年DHS建立了國家信息安全和通信集成中心(NationalCyhersecurityandCommunicationsIntegrationCenter,NCCIC),負責與聯(lián)邦相關(guān)部門、各州、各行業(yè)以及國際社會共享網(wǎng)絡(luò)威脅發(fā)展趨勢，組織協(xié)調(diào)事件響應w。

 

2.2能源部

 

美國能源部不直接承擔電網(wǎng)信息安全的管理職責，而是通過指導技術(shù)研發(fā)和協(xié)助項目開發(fā)促進私營企業(yè)發(fā)展和技術(shù)進步能源部的電力傳輸和能源可靠性辦公室(Office(>fElectricityDelivery<&EnergyReliability)承擔加強國家能源基礎(chǔ)設(shè)施的可靠性和堅韌性的職責，提供技術(shù)研究和發(fā)展的資金，推進風險管理策略和信息安全標準研發(fā)，促進威脅信息的及時共享，為電網(wǎng)信息安全戰(zhàn)略性綜合方案提供支撐。

 

能源部2012年與美國國家標準技術(shù)研究院、北美電力可靠性公司合作編制了《電力安全風險管理過程指南》(ElectricitySubsectorCybersecurityRiskManagementProcess)151;2014年與國土安全部等共同協(xié)作編制完成了《電力行業(yè)信息安全能力成熟度模型》(ElectricitySubsectorcybersecurityCapabilityMaturityModel(ES-C2M2)丨6丨，以支撐電力行業(yè)的信息安全能力評估和提升;2014年資助能源行業(yè)控制系統(tǒng)工作組(ESCSWG)形成了《能源傳輸系統(tǒng)網(wǎng)絡(luò)安全采購用語指南》(CybersecurityProcurementlanguageforEnergyDeliverySystems)171,以加強供應鏈的信息安全風險管理。

 

在201丨路線圖的指導下，能源部啟動了能源傳輸系統(tǒng)的信息安全項目，資助愛達荷國家實驗室建立SCADA安全測試平臺，發(fā)現(xiàn)并解決行業(yè)面臨的關(guān)鍵安全漏洞和威脅;資助伊利諾伊大學等開展值得信賴的電網(wǎng)網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)研究。

 

2.3聯(lián)邦能源管理委員會

 

聯(lián)邦能源管理委員會負責依法制定聯(lián)邦政府職責范圍內(nèi)的能源監(jiān)管政策并實施監(jiān)管，是獨立監(jiān)管機構(gòu)。2005年能源政策法案(EnergyPolicyActof2005)授權(quán)FERC監(jiān)督包括信息安全標準在內(nèi)的主干電網(wǎng)強制可靠性標準的實施。2007年能源獨立與安全法案(EnergyIndependenceandSecurityActof2007(EISA))賦予FERC和國家標準與技術(shù)研究所(National丨nstituteofStandardsan<丨Technology，NIST)相關(guān)責任以協(xié)調(diào)智能電網(wǎng)指導方針和標準的編制和落實。2011年的電網(wǎng)網(wǎng)絡(luò)安全法案(GridCyberSecurityAct)要求FKRC建立關(guān)鍵電力基礎(chǔ)設(shè)施的信息安全標準。

 

2007年FERC批準由北美電力可靠性公司制定的《關(guān)鍵基礎(chǔ)設(shè)施保護》(criticalinfrastructureprotection，CIPW標準為北美電力可靠性標準之中的強制標準，要求各相關(guān)企業(yè)執(zhí)行，旨在保護電網(wǎng)，預防信息系統(tǒng)攻擊事件的發(fā)生。

 

2.4北美電力可靠性公司

 

北美電力可靠性公司是非盈利的國際電力可靠性組織。NERC在FERC的監(jiān)管下，制定并強制執(zhí)行包括信息安全標準在內(nèi)的大電力系統(tǒng)可靠性標準，開展可靠性監(jiān)測、分析、評估、信息共享，確保大電力系統(tǒng)的可靠性。

 

NERC了一系列的關(guān)鍵基礎(chǔ)設(shè)施保護(CIP)標準181作為北美電力系統(tǒng)的強制性標準;與美國能源部和NIST編制了《電力行業(yè)信息安全風險管理過程指南》，提供了網(wǎng)絡(luò)安全風險管理的指導方針。

 

歸屬NERC的電力行業(yè)協(xié)凋委員會(ESCC)是聯(lián)邦政府與電力行業(yè)的主要聯(lián)絡(luò)者，其主要使命是促進和支持行業(yè)政策和戰(zhàn)略的協(xié)調(diào)，以提高電力行業(yè)的可靠性和堅韌性'NERC通過其電力行業(yè)信息共享和分析中心(ES-ISAC)的態(tài)勢感知、事件管理以及協(xié)調(diào)和溝通的能力，與電力企業(yè)進行及時、可靠和安全的信息共享和溝通。通過電網(wǎng)安全年會(GridSecCon)、簡報，提供威脅應對策略、最佳實踐的討論共享和培訓機會;組織電網(wǎng)安全演練(GridEx)檢查整個行業(yè)應對物理和網(wǎng)絡(luò)事件的響應能力，促2.5州公共事業(yè)委員會美國聯(lián)邦政府對地方電力公司供電系統(tǒng)的可靠性沒有直接的監(jiān)管職責。各州公共事業(yè)委員會負責監(jiān)管地方電力公司的信息安全，大多數(shù)州的PUC沒有網(wǎng)絡(luò)安全標準的制定職責。PUC通過監(jiān)管權(quán)力，成為地方電力系統(tǒng)和配電系統(tǒng)網(wǎng)絡(luò)安全措施的重要決策者。全國公用事業(yè)監(jiān)管委員協(xié)會(NationalAssociationofRegulatoryUtilitycommissioners,NARUC)作為PUC的一■個聯(lián)盟協(xié)會，也采取措施促進PUC的電力網(wǎng)絡(luò)安全工作，呼吁PUC密切監(jiān)控網(wǎng)絡(luò)安全威脅，定期審查各自的政策和程序，以確保與適用標準、最佳實踐的一致性%

 

3美國電力行業(yè)信息安全的硏究資源

 

參與美國電力行業(yè)信息安全研究的機構(gòu)和組織主要有商務部所屬的國家標準技術(shù)研究院及其領(lǐng)導下的智能電網(wǎng)網(wǎng)絡(luò)安全委員會、國土安全部所屬的能源行業(yè)控制系統(tǒng)工作組，重點幵展電力行業(yè)信息安全發(fā)展路線圖、框架以及標準、指南的研究。同時，能源部所屬的多個國家實驗室提供網(wǎng)絡(luò)安全測試、網(wǎng)絡(luò)威脅分析、具體防御措施指導以及新技術(shù)研究等。

 

3.1國家標準技術(shù)研究院(NIST)

 

根據(jù)2007能源獨立與安全法令，美_國家標準技術(shù)研究院負責包括信息安全協(xié)議在內(nèi)的智能電網(wǎng)協(xié)議和標準的自愿框架的研發(fā)。NISTf20102014發(fā)#了《?能電網(wǎng)互操作標準的框架和路線圖》(NISTFrameworkaridRoadmapforSmartGridInteroperabilityStandard)1.0、2.0和3.0版本，明確了智能電網(wǎng)的網(wǎng)絡(luò)安全原則以及標準等。2011年3月，NIST了信息安全標準和指導方針系列中的旗艦文檔《NISTSP800-39，信息安全風險管理》丨叫(NISTSpedalPublication800—39,ManagingInformationSecurityRisk)，提供了一系列有意義的信息安全改進建議。2014年2月，根據(jù)13636行政令，了《提高關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》第一版，以幫助組織識別、評估和管理關(guān)鍵基礎(chǔ)設(shè)施信息安全風險。

 

NIST正在開發(fā)工業(yè)控制系統(tǒng)(ICS)網(wǎng)絡(luò)安全實驗平臺用于檢測符合網(wǎng)絡(luò)安全保護指導方針和標準的_「.業(yè)控制系統(tǒng)的性能，以指導工業(yè)控制系統(tǒng)安全策略最佳實踐的實施。

 

3.2智能電網(wǎng)網(wǎng)絡(luò)安全委員會

 

智能電網(wǎng)網(wǎng)絡(luò)安全委員會其前身是智能電網(wǎng)互操作組網(wǎng)絡(luò)安全工作組(SGIP-CSWG)ra。SGCC一直專注于智能電網(wǎng)安全架構(gòu)、風險管理流程、安全測試和認證等研究，致力于推進智能電網(wǎng)網(wǎng)絡(luò)安全的發(fā)展和標準化。在NIST的領(lǐng)導下，SGCC編制并進一步修訂了《智能電網(wǎng)信息安全指南》(NISTIR7628,GuidelinesforSmartGridCybersecurity),提出了智能電網(wǎng)信息安全分析框架，為組織級研究、設(shè)計、研發(fā)和實施智能電網(wǎng)技術(shù)提供了指導性T.具。

 

3.3國家電力行業(yè)信息安全組織(NESC0)

 

能源部組建的國家電力行業(yè)信息安全組織(NationalElectricSectorCybersecurityOrganization,NESCO)，集結(jié)了美國國內(nèi)外致力于電力行業(yè)網(wǎng)絡(luò)安全的專家、開發(fā)商以及用戶，致力于網(wǎng)絡(luò)威脅的數(shù)據(jù)分析和取證工作⑴。美國電力科學研究院(EPRI)作為NESC0成員之一提供研究和分析資源，開展信息安全要求、標準和結(jié)果的評估和分析。NESCO與能源部、聯(lián)邦政府其他機構(gòu)等共同合作補充和完善了2011路線圖的關(guān)鍵里程碑和目標。

 

3.4能源行業(yè)控制系統(tǒng)工作組(ESCSWG)

 

隸屬國土安全部的能源行業(yè)控制系統(tǒng)工作組由能源領(lǐng)域安全專家組成，在關(guān)鍵基礎(chǔ)設(shè)施合作咨詢委員會框架下運作。在能源部的資助下，ESCSWG編制了《實現(xiàn)能源傳輸系統(tǒng)信息安全路線圖》、《能源傳輸系統(tǒng)網(wǎng)絡(luò)安全釆購用語指南》。3.5能源部所屬的國家實驗室

 

3.5.1愛達荷國家實驗室(INL)

 

愛達荷W家實驗室成立于1949年，是為美國能源部在能源研究、國家防御等方面提供支撐的應用工程實驗室。近十年來，INL與電力行業(yè)合作，加強了電網(wǎng)可靠性、控制系統(tǒng)安全研究。

 

在美國能源部的資助下，INL建立了包含美國國內(nèi)和國際上多種控制系統(tǒng)的SCADA安全測試平臺以及無線測試平臺等資源，目的對SCADA進行全面、徹底的評估，識別控制系統(tǒng)脆弱點，并提供脆弱點的消減方法113】。通過能源部的能源傳輸系統(tǒng)信息安全項目，INL提出了采用數(shù)據(jù)壓縮技術(shù)檢測惡意流量對SCADA實時網(wǎng)絡(luò)保護的方法hi。為支持美國國土安全部控制系統(tǒng)安全項目，INL開發(fā)并實施了培訓課程以增強控制系統(tǒng)專家的安全意識和防御能力。1NL的相關(guān)研究報告有《SCADA網(wǎng)絡(luò)安全評估方法》、《控制系統(tǒng)十大漏洞及其補救措施》、《控制系統(tǒng)網(wǎng)絡(luò)安全：深度防御戰(zhàn)略》、《控制系統(tǒng)評估中常見網(wǎng)絡(luò)安全漏洞》%、《能源傳輸控制系統(tǒng)漏洞分析>嚴|等。

 

3.5.2太平洋西北國家實驗室(PNNL)

 

太平洋西北國家實驗室是美國能源部所屬的闊家綜合性實驗室，研究解決美國在能源、環(huán)境和國家安全等方面最緊迫的問題。

 

PNNL提出的安全SCADA通信協(xié)議(secureserialcommunicationsprotocol,SSCP)的概念，有助于實現(xiàn)遠程訪問設(shè)備與控制中心之間的安全通信。的相關(guān)研究報告有《工業(yè)控制和SCADA的安全數(shù)據(jù)傳輸指南》等。PNNL目前正在開展仿生技術(shù)提高能源領(lǐng)域網(wǎng)絡(luò)安全的研究項。

 

3.5.3桑迪亞國家實驗室(SNL)

 

桑迪亞國家實驗室是能源部所屬的多學科國家實驗室，也是聯(lián)邦政府資助的研究和發(fā)展中心。SNL的研究報告有《關(guān)鍵基礎(chǔ)設(shè)施保護網(wǎng)絡(luò)漏洞評估指南》、《控制系統(tǒng)數(shù)據(jù)分析和保護安全框架》、《過程控制系統(tǒng)的安全指標》I1'《高級計量基礎(chǔ)設(shè)施安全考慮》、《微電網(wǎng)網(wǎng)絡(luò)安全參考結(jié)構(gòu)》等。在能源部的資助下，SNL開展了關(guān)于供應鏈威脅的研究項目，形成的威脅模型有助于指導安全解決方案的選擇以及新投資的決策hi。

 

4美國電力行業(yè)信息安全的運作策略

 

4.1標準只作為網(wǎng)絡(luò)安全的基線

 

NERC的關(guān)鍵基礎(chǔ)設(shè)施保護標準(CIP)作為強制性標準，是電力行業(yè)整體網(wǎng)絡(luò)安全策略的重要內(nèi)容。CIP標準與電網(wǎng)規(guī)劃準則、系統(tǒng)有功平衡與調(diào)頻、無功平衡與調(diào)壓、安全穩(wěn)定運行等系列標準相并列，成為北美大電網(wǎng)可靠性標準的重要組成部分。目前強制執(zhí)行的是CIP-002至C⑴-009共8個標準的第3版。文獻1丨6]提供了CIP-002至CIP-009主要內(nèi)容的描述列表。C〖P第5版近期已通過FERC批準即將于2016年實施。第5版新增了CIP-010配置變更管理和漏洞評估、C1P-011信息保護2個強制標準。

 

目前配電系統(tǒng)沒有強制標準，但NIST將C1P標準融入了智能電網(wǎng)互操作框架中。智能電網(wǎng)互操作框架雖然是自愿標準，但為配電系統(tǒng)提供了信息安全措施指導為系統(tǒng)性的指導智能電網(wǎng)信息安全工作，NIST組織編制了《美國智能電網(wǎng)信息安全指南》，提出了一個普適性的智能電網(wǎng)信息安全分析框架，為智能電網(wǎng)的各相關(guān)方提供了風險評估、風險識別以及安全要求的實施方法。DOE編制的《電力行業(yè)信息安全風險管理過程指南》提供了電力行業(yè)信息安全風險管理的方法[5】。DOE與DHS合作編制的《信息安全能力成熟度模型》(ES-C2M2)i6i，通過行業(yè)實踐幫助組織評估、優(yōu)化和改善網(wǎng)絡(luò)安全功能，促進網(wǎng)絡(luò)安全行動和投資的有序開展以及信息安全能力的持續(xù)提升。2014年NIST了《提高關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》也作為電力行業(yè)網(wǎng)絡(luò)安全自愿標準。文獻f17]提到只有21%的公用事業(yè)采取了NERC推薦的預防震網(wǎng)措施，可見自愿標準的執(zhí)行率偏低強制執(zhí)行的CIP標準在大電力系統(tǒng)網(wǎng)絡(luò)安全方面確實發(fā)揮了基礎(chǔ)作用，然而網(wǎng)絡(luò)威脅的快速變化以及每個組織面對的風險的獨特性，強制性標準在某種程度上影響企業(yè)采取超過但不同于最低標準的合適的防護措施。文獻丨3]提出目前將強制性的解決方案擴展到配電網(wǎng)不是有效的方法，聯(lián)邦政府也在考慮縮小強制性范圍。持續(xù)提升網(wǎng)絡(luò)安全水平不能僅僅依賴于標準的符合度，監(jiān)督管理不能保證安全。電力行業(yè)的網(wǎng)絡(luò)安全需要整體的網(wǎng)絡(luò)安全戰(zhàn)略，包括安全文化建設(shè)、共享與協(xié)作、風險管理等。無論是強制性的標準還是非強制性的標準都只是信息安全的最低要求'4.2安全文化建設(shè)成為信息安全路線圖首要策略

 

對能源傳輸系統(tǒng)安全風險的認知缺失或識別能力的不足，缺少有效的安全策略和技術(shù)環(huán)境訓練的人員，將阻礙能源行業(yè)的持續(xù)安全。安全文化建設(shè)已成為201丨路線圖的首要策略，以提升電力行業(yè)網(wǎng)絡(luò)安全運作的主動性。2011路線圖提出重點從最佳實踐、教育、認證等方面加強信息安全文化建設(shè)，以實現(xiàn)能源傳輸系統(tǒng)的最佳實踐被廣泛使用、具備能源傳輸和網(wǎng)絡(luò)安全技能的行業(yè)人員明顯增長等中長期目標'最佳實踐傳遞的目標效果是網(wǎng)絡(luò)安全實踐成為能源行業(yè)所有相關(guān)者的習慣。相關(guān)國家實驗室圍繞各自研究方向總結(jié)了評估方法、漏洞補救措施、操作指南等一系列最佳實踐。如INL根據(jù)其多年SCADA漏洞評估經(jīng)驗，編制了《能源傳輸系統(tǒng)漏洞分析》、《SCADA網(wǎng)絡(luò)安全評估方法》等。PNNL編制的《丁業(yè)控制和SCADA系統(tǒng)的安全數(shù)據(jù)傳輸指南》，為工業(yè)控制系統(tǒng)提供了能及時發(fā)現(xiàn)并阻止人侵的數(shù)據(jù)傳輸結(jié)構(gòu)。NIST將最佳實踐融入了安全框架、指南和導則中，如《提高關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》、《工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全指南》等。NESCO、NERC等通過電網(wǎng)安全年會等多種方式提供了最佳實踐的交流機會。

篇7

[關(guān)鍵詞]電子政務；信息安全；發(fā)展研究

中圖分類號：TP39 文獻標識碼：A 文章編號：1006-0278（2013）02-104-02

一、引言

根據(jù)電子政務的開放性、虛擬性以及網(wǎng)絡(luò)化的復雜性等可以看出，電子政務是一項復雜的系統(tǒng)工程。因此，對電子政務系統(tǒng)安全提出了嚴峻的挑戰(zhàn)。其中，安全性是電子政務正常發(fā)展的首要前提。電子政務建設(shè)作為網(wǎng)絡(luò)應用的一個特殊領(lǐng)域，既要考慮一般性的網(wǎng)絡(luò)安全問題，還要對政府的安全標準、系統(tǒng)的安全性和便利性的兼容、政府內(nèi)部的安全管理問題等提出了特殊的要求。為了達到適應電子政務系統(tǒng)網(wǎng)絡(luò)動態(tài)變化的特點，發(fā)展適合電子政務系統(tǒng)的安全技術(shù)和產(chǎn)品，就需做到保證技術(shù)的先進性和可擴展性；還要制定相關(guān)的電子安全法規(guī)和安全標準，通過法律保障，加強安全管理。電子政務的發(fā)展很大程度上基于網(wǎng)絡(luò)信息技術(shù)的發(fā)展，只有網(wǎng)絡(luò)安全有保障，才能保證電子政務信息傳輸?shù)陌踩?，從而保障電子政務的信息安全。所以，要對電子政務的安全建設(shè)統(tǒng)一考慮，長遠規(guī)劃，從制度和技術(shù)上加以保障。

二、電子政務信息安全的技術(shù)建設(shè)

（一）電子政務安全信息系統(tǒng)方面建設(shè)

電子政務信息安全技術(shù)建設(shè)，首先要保證系統(tǒng)中信息共享與保密性、完整性的關(guān)系，開放性與保護隱私的關(guān)系，互聯(lián)性與局部隔離的關(guān)系。其主要包括：信息技術(shù)安全和系統(tǒng)技術(shù)安全。

加強電子政務信息安全技術(shù)建設(shè)主要方面為：

1.隔離網(wǎng)閘技術(shù)整合網(wǎng)絡(luò)結(jié)構(gòu)

電子政務實踐中往往產(chǎn)生內(nèi)網(wǎng)與專網(wǎng)、外網(wǎng)間的信息交換需求，然而基于內(nèi)網(wǎng)數(shù)據(jù)保密性的考慮，我們又不希望內(nèi)網(wǎng)暴露在對外環(huán)境中。解決該問題的有效方式是設(shè)置安全島，通過安全島來實現(xiàn)信息的過濾和兩個網(wǎng)絡(luò)間的物理隔離，從而實現(xiàn)安全的數(shù)據(jù)交換。

2.使用漏洞掃描系統(tǒng)技術(shù)彌補缺陷

我國尚未突破CPU等核心技術(shù)，信息安全產(chǎn)業(yè)還依靠外國技術(shù)。通過漏洞掃描工具采取時間策略定時掃描整個網(wǎng)絡(luò)地址網(wǎng)段，對多種來自通訊、服務、設(shè)備、系統(tǒng)等的漏洞進行掃描。就是為彌補操作系統(tǒng)無自主產(chǎn)權(quán)的缺陷，操作系統(tǒng)安全設(shè)計方面必須布置漏洞掃描系統(tǒng)。為了有效檢查網(wǎng)絡(luò)系統(tǒng)的可靠性和安全性，就采用模擬攻擊的手段去檢測網(wǎng)絡(luò)上隱藏的漏洞，且對網(wǎng)絡(luò)不做任何修改或造成任何危害，并能夠提供漏洞檢測報告和解決方案。

3.網(wǎng)頁防篡改系統(tǒng)技術(shù)進行安全網(wǎng)站建設(shè)

選用網(wǎng)頁防篡改系統(tǒng)來構(gòu)建安全網(wǎng)站，來滿足政府機關(guān)Web安全性的要求。做好服務器的安全策略配置，及時升級補丁程序；通過以防火墻為政府網(wǎng)站的安全方案配置，能將所有安全軟件（如口令、加密、身份認證、審計等）配置在防火墻上，對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計，以此達到正確配置防火墻、入侵檢測設(shè)備策略。在政務內(nèi)網(wǎng)與外網(wǎng)之間采用物理方式隔離，政務外網(wǎng)與互聯(lián)網(wǎng)之間采用邏輯方式隔離，這里就是既要注重外部防范，又要加強內(nèi)部管理的雙重舉措。

4.使用PKI技術(shù)進行加密認證技術(shù)

PKI是公鑰基礎(chǔ)設(shè)施（Public Key In-frastructure），是用非對稱密碼算法原理和技術(shù)來實現(xiàn)并提供安全服務的、具有通用性的安全基礎(chǔ)設(shè)施。在電子政務和電子商務的建設(shè)中，PKI實際上是提供了一整套的、遵循標準的密鑰管理基礎(chǔ)平臺。PKI技術(shù)通過第三方的可信任機構(gòu)認證中心CA把用戶的公鑰和用戶的其他標識信息（如名稱、E-mail、身份證號等）捆綁在一起，通過數(shù)字身份證、數(shù)據(jù)簽名、用戶名及其訪問口令，進行身份鑒別及訪問權(quán)限的控制，防止非法人員對網(wǎng)絡(luò)的登錄，保證網(wǎng)絡(luò)資源的使用安全性。

5.入侵檢測技術(shù)入侵檢測系統(tǒng)技術(shù)

入侵檢測技術(shù)入侵檢測系統(tǒng)（Intrusion Detection System，IDS）是一種識別面向計算機資源和網(wǎng)絡(luò)資源的惡意行為的系統(tǒng)。一個完善的入侵檢測系統(tǒng)可以對計算機網(wǎng)絡(luò)進行自主地、實時地攻擊檢測和響應，在不影響網(wǎng)絡(luò)上數(shù)據(jù)傳輸?shù)那疤嵯拢瑢梢傻臄?shù)據(jù)進行實時監(jiān)控、分析，為用戶提供了最大限度的安全保障。

6.數(shù)據(jù)備份技術(shù)

備份是一種數(shù)據(jù)安全策略，通過備份軟件把數(shù)據(jù)備份到介質(zhì)上，在原始數(shù)據(jù)遭到破壞或丟失的情況下，利用備份數(shù)據(jù)恢復原始數(shù)據(jù)，保證系統(tǒng)的正常工作。

備份策略可分為以下幾種：

（1）全備份（Full Backup），即每天都用一盤磁帶對整個系統(tǒng)進行完全備份，包括系統(tǒng)和數(shù)據(jù)。

（2）增量備份（Incremental Backup），即每次備份的數(shù)據(jù)只是相當于上一次備份后新增加的和修改過的數(shù)據(jù)。

（3）差分備份（Differential Backup），即每次備份的數(shù)據(jù)是相對于上一次全備份之后增加的和修改過的數(shù)據(jù)。

從備份的形式分可分為物理備份和邏輯備份：

1.物理備份：實際物理數(shù)據(jù)庫文件從一處拷貝到另一處（通常從磁盤到磁帶）的備份，主要用于數(shù)據(jù)庫的全恢復。

2.邏輯備份：用導入導出工具通過導入導出數(shù)據(jù)對象來達到對數(shù)據(jù)進行備份的目的。它主要用于不完全恢復。

除了以上技術(shù)外，還包括公共服務器的安全保護、防止黑客從外部攻擊、入侵檢測與監(jiān)控、信息審計與記錄、病毒防護、數(shù)據(jù)安全、數(shù)據(jù)恢復、加密技術(shù)、訪問控制技術(shù)、安全體系結(jié)構(gòu)等技術(shù)來進行保障。

三、電子政務信息安全的管理建設(shè)

一方面應積極籌建國家信息安全組織管理機構(gòu)，并加強國家信息安全機構(gòu)的管理職能，落實國家制定的“興利除弊，集中監(jiān)控，分級管理，保障國家安全”這一信息安全系統(tǒng)管理的基本方針。另一方面，政府部門組織內(nèi)部應制定嚴格的規(guī)章制度，實行有效的上網(wǎng)信息審批以及有關(guān)的人員管理與系統(tǒng)管理制度等。

（一）完善我國信息安全基礎(chǔ)設(shè)施

國家應大力扶持國有信息安全產(chǎn)業(yè)建設(shè)的發(fā)展。自主的信息產(chǎn)業(yè)或信息產(chǎn)品國產(chǎn)化是保證電子政務信息安全的根本，國家應對其發(fā)展予以充分的政策和財政支持。對于安全產(chǎn)品評測認證中心、病毒檢測和防治中心、關(guān)鍵網(wǎng)絡(luò)系統(tǒng)災難恢復中心、系統(tǒng)攻擊和反攻擊中心、信息戰(zhàn)防御研究中心等當前迫切需要建立的國家信息安全基礎(chǔ)設(shè)施進行建設(shè)。與此同時，還要重視技術(shù)及系統(tǒng)的綜合集成，以確保電子政務信息系統(tǒng)的安全可靠。

（二）建立政府部門內(nèi)部安全管理制度

應該建立一定的安全責任制度，比如：系統(tǒng)運行維護管理制度、計算機處理控制管理制度、電子文檔資料管理制度、非計算機的各種憑證、單據(jù)、賬簿、報表和文字資料制定妥善保管和嚴格控制的規(guī)章制度、操作和管理人員管理制度等。部門內(nèi)只有具備相對完善的安全管理制度，加上嚴格的執(zhí)行，工作人員才能各司其職，減少差錯，防止由于人為因素導致的安全問題。為了使電子政務安全管理工作日趨程序化，還需要根據(jù)實際工作情況，在日常工作中不斷修正、完善各項規(guī)章制度。

（三）進行電子政務信息安全方面的教育

我國各級政府部門要利用多種途徑對公務員進行電子政務信息安全方面的教育，增強工作人員的責任感，提高工作人員的業(yè)務技能，豐富安全知識。強化電子政務環(huán)境下公務員的信息安全意識，樹立正確的安全觀念強化公務員的信息安全意識，就是要讓公務員認識到電子政務信息安全是電子政務正常而高效運轉(zhuǎn)的基礎(chǔ)，是保障國家信息安全甚至國家安全的重要前提，從而牢固樹立信息安全第一的思想。主要方式為：一、通過大眾傳播媒介，增強公務員信息安全意識，普及信息安全知識I二、積極組織各種專題講座和培訓班，培養(yǎng)信息安全人才，并確保防范手段和技術(shù)措施的先進性和主動性：三、積極開展安全策略研究，明確安全責任，增強公務員的責任心。

（四）健全法律，嚴格執(zhí)法

法律是保障電子政務信息安全的最有力手段，發(fā)達國家巳經(jīng)在政府信息安全立法方面積累了成功經(jīng)驗，我國立法部門應加快立法進程，吸取和借鑒國外網(wǎng)絡(luò)信息安全立法的先進經(jīng)驗，盡快制定和頒布個人隱私保護法、數(shù)據(jù)庫振興法、信息網(wǎng)絡(luò)安全性法規(guī)、預防和打擊計算機犯罪法規(guī)、網(wǎng)上知識產(chǎn)權(quán)法等，以完善我國的網(wǎng)絡(luò)信息安全法律體系，使電子政務信息安全管理走上法制軌道。另外，執(zhí)法部門還要進一步嚴格執(zhí)法，提高執(zhí)法水平，確保各項法律法規(guī)落到實處。

篇8

北京圣博潤高新技術(shù)股份有限公司(簡稱：圣博潤)董事長兼總經(jīng)理孟崗就是這樣一位信息安全領(lǐng)域知行合一的開拓者和實踐者。

剛剛喜獲“08年度中國軟件行業(yè)十大領(lǐng)軍人物”稱號的孟崗解釋說，“圣搏潤也是在不斷嘗試和不斷磨練中慢慢成長起來的，思想要慢慢積累才能轉(zhuǎn)化為能力，同樣，也只有實踐才能出真知?！?/p>

初涉信息安全領(lǐng)域

坦率地講，從傳統(tǒng)行業(yè)轉(zhuǎn)戰(zhàn)信息安全領(lǐng)域，孟崗感到肩負的責任更加重大，這片新領(lǐng)域絕非用“重視程度提升，前景美好”之類的話語就能簡單概括。孟崗深刻意識到，能夠在信息安全行業(yè)做大做強，更需要的是企業(yè)不懈的自主創(chuàng)新和突出的核心競爭力。

2000年的中國，信息安全領(lǐng)域正越來越受到國家的重視，孟崗表示：“國家當時先后出臺了系列文件對信息安全領(lǐng)域相關(guān)問題進行明確界定，要求必須加強對國內(nèi)自主知識產(chǎn)權(quán)信息安全產(chǎn)品的采購，這里邊并沒有提到國外產(chǎn)品。這表明國家對于自主知識產(chǎn)權(quán)產(chǎn)品的扶植，以及對國內(nèi)企業(yè)自主創(chuàng)新的重視。”

“我當時相信，國產(chǎn)信息安全產(chǎn)品是有機會的，而且是大有機會。而一系列國家相關(guān)政策的出臺，也不斷加強了我們扎根該領(lǐng)域的信心?！闭勂疬^往，孟崗眼中熠熠生輝。

正是這種靈敏的嗅覺和自信的判斷，使得圣博潤從最初安全產(chǎn)品，到安全項目集成，以及到后來的自主產(chǎn)品研發(fā)過程中，能夠始終將自己最精銳的力量投入到內(nèi)網(wǎng)信息安全產(chǎn)品的研究開發(fā)中，并且在前進的道路上始終保持這個方向。

在談話中，孟崗認為好的市場環(huán)境、好的國家政策對自主創(chuàng)新企業(yè)的大力扶植給圣博潤的發(fā)展帶來了“幸運”。但是，在軟件行業(yè)有多少產(chǎn)品、技術(shù)和團隊都很不錯的公司都最終在市場的洗禮中倒下了?畢竟，軟件行業(yè)既是締造傳奇的福地，也是破滅神話的領(lǐng)域。

國家扶持很重要

所謂“天時地利人和”，能夠在行業(yè)內(nèi)取得成績，僅靠單個企業(yè)的單打獨斗實在難成氣候，面對這個話題，孟崗很認真的說，“這要感謝近年來國家對信息安全行業(yè)持續(xù)地加大投入和政策扶植?！?/p>

“我們?yōu)槭裁茨軌虼婊钕聛?，并能大大發(fā)展，這首先得益于國家對信息安全這一塊的扶持，國內(nèi)其他具有自主知識產(chǎn)權(quán)的信息安全企業(yè)也是如此?！泵蠉徣缡钦f。

客觀來說，國內(nèi)IT技術(shù)積累與國外相比在某些方面仍然存在一些差距，信息安全要想做到自主、可信、可控，國家對于這一塊的扶持是必不可少的。據(jù)了解，目前在信息安全產(chǎn)品的政府采購中，國內(nèi)具備自主知識產(chǎn)權(quán)的產(chǎn)品獲得的空間正在不斷擴大和提升。

“經(jīng)過幾年的國家支持和市場發(fā)展，現(xiàn)在正是內(nèi)網(wǎng)信息安全行業(yè)千載難逢的好機會?！闭劦絿医陮τ谛畔踩耐度牒驼?，孟崗加重的語氣中透出興奮。

“由最初的安全產(chǎn)品，到承接安全集成項目，再到自主安全產(chǎn)品研發(fā)，從最初看不清前方的道路，到現(xiàn)在被更廣泛的市場和用戶認可接受，圣博潤的成長之路走的曲折，但并不漫長。”

目前，圣博潤的業(yè)務主要有兩個，一個是內(nèi)網(wǎng)安全管理，即桌面安全管理，另外一個是信息安全的服務，包括信息安全的評估、信息安全體系的管理咨詢、信息安全服務外包等?！笆ゲ櫼煤眠@一千載難逢的機會，一旦順風順水就要加足馬力!”孟崗強調(diào)。

依靠“產(chǎn)品和服務”兩條腿走路的方針，不僅僅局限于產(chǎn)品的提供，圣博潤的愿景是為用戶構(gòu)建安全的信息體系，這是圣博潤作為一個信息安全廠商想要做的事情。在當今SaaS大行其道的背景下，圣博潤將會使服務的比例從30％提高到40％。

“這是一個趨勢。但是，服務的比例就目前預期來說不會超過50％?！泵蠉徧寡?。

深挖用戶需求

俗話說，“創(chuàng)業(yè)容易守業(yè)難?！痹诿蠉徔磥?，創(chuàng)業(yè)和守業(yè)一樣不易，尤其是在這個日新月異、創(chuàng)業(yè)求變的軟件行業(yè)。

“圣博潤不是靠研發(fā)起來的公司，認識過程要比別人慢一點，走的時間要比別人長一些，只有耐心、堅持才能保住創(chuàng)業(yè)?！泵蠉徴f，“我們要能堅守住自己的方向，堅守住自己的客戶，不斷深入了解行業(yè)，不斷洞悉他們的新需求，這是我們每個圣博潤人內(nèi)心的想法?！?/p>

前幾年，信息安全主要解決的是邊界防護的問題，網(wǎng)絡(luò)管理、防火墻等成了那時間出現(xiàn)頻率最高的安全防護詞。實際上，經(jīng)過近幾年的發(fā)展，越來越多的用戶發(fā)現(xiàn)，來自內(nèi)部的威脅也同樣不可小覷。

無論內(nèi)網(wǎng)或局域網(wǎng)有多大，內(nèi)部用戶的行為完全是自由狀態(tài)的，這種各自為戰(zhàn)的自由行為給局域網(wǎng)的運行帶來了很多問題，另外還可能引起重要信息泄露。

“現(xiàn)階段，信息安全方面用戶最迫切的需求是什么?”

“內(nèi)網(wǎng)安全!”曾經(jīng)一位用戶如此干練的回答給了孟崗很大的觸動。

事實上，信息安全的問題在任何時候任何一個層面都很重要。在早期，大家爭相“建圍墻、裝防盜門、安窗戶”，要把安全問題御之門外，這個階段過后，人們逐步意識到來自內(nèi)部的安全問題如果不加防范，同樣會給用戶帶來不可估量的損失。

那么，是不是所有的企業(yè)都要“關(guān)上門好好處理自己的家務”?“這要取決于用戶對自己信息資產(chǎn)的關(guān)注程度。”孟崗說。

舉例來說，如果是一個普通的農(nóng)戶，對自己內(nèi)部的資產(chǎn)并不太在意，那么他裝一扇木門或鐵門就可以了，而對于比較富裕的家庭可能就得裝高級的防盜門。同樣的道理，如果用戶對自己內(nèi)部信息資產(chǎn)的關(guān)注程度或認識程度非常高的話，他就會對自己的內(nèi)網(wǎng)安全問題格外關(guān)注，反之則相應程度的降低。

信息安全的核心在于用戶需求，用戶采取什么樣的防護措施取決于用戶需要保護的是什么。

2008年2月18日，圣博潤公司因其良好的業(yè)務發(fā)展態(tài)勢受到中關(guān)村園區(qū)支持，在深交所掛牌OTC。當被記者問到，上市前后的圣博潤是否會在企業(yè)方向或策略方面做一些調(diào)整，或者實現(xiàn)多元化運作時，孟崗說，“我們會將精力繼續(xù)放在內(nèi)網(wǎng)安全和安全服務方面，堅守我們的優(yōu)勢行業(yè)，至少近10年，我們不會考慮在方向或策略上做大的調(diào)整?！?/p>

篇9

一、采購電子化過程中存在的安全隱患

采購改革起步晚，編制體制還在不斷完善，電子化采購也是近來提出的話題，管理思想、規(guī)章制度、管理技術(shù)、人才建設(shè)等都存在著一些不足，導致電子化采購在運行中存在很多安全隱患。

1、管理思想上的問題。一是缺乏系統(tǒng)的管理思想。隨著采購工作的規(guī)范化、信息化運行，采購機構(gòu)為信息安全做了大量的工作，制定了一些安全管理制度，但基本上還是靜態(tài)的、局部的、少數(shù)人負責的、突擊式的、事后糾正式的傳統(tǒng)管理方式，而不是建立在風險評估基礎(chǔ)上的動態(tài)的持續(xù)改進管理的方法。結(jié)果不能從根本上避免、降低各類風險，也不能降低采購電子化中由信息安全故障引起的綜合效益損失。二是缺乏信息安全意識和信息安全方針。部分采購機構(gòu)領(lǐng)導對電子化進程中信息資產(chǎn)所面臨的威脅認識不足，或者只局限于IT方面的安全，沒有形成一個合理的電子化采購方針來指導組織信息安全管理工作。表現(xiàn)為缺乏完整的信息安全管理制度，缺乏對網(wǎng)絡(luò)工作人員進行必要的安全法律法規(guī)和防范安全風險的教育與培訓，對現(xiàn)有的安全制度不能完全實施等。三是重視安全技術(shù)，輕視安全管理。目前，各級采購機構(gòu)正處于信息化建設(shè)的關(guān)鍵時期，為此，各級都配備先進的計算機、網(wǎng)絡(luò)等技術(shù)，用以提高采購效率及服務水平。但是，相應的管理措施不到位，如系統(tǒng)的運行、維護、開發(fā)等崗位不清，職責不分，存在一人身兼數(shù)職的情況，造成安全隱患。

2、規(guī)章制度上的問題。網(wǎng)上采購作為采購信息化建設(shè)的產(chǎn)物，對傳統(tǒng)的采購模式已經(jīng)構(gòu)成挑戰(zhàn)。對于這樣的新生事物,相關(guān)的法律、制度至今還很不完善,即便在最近頒布實施的一些采購法規(guī)中提及的也很少。關(guān)于哪些方面信息應當公布、如何公布,網(wǎng)上采購程序的合法性如何界定，電子采購合同法律效力的確定，采購電子化的應急管理等，都是相關(guān)部門必須面對的問題。應盡快以法律方式來認可和保護電子簽章，建立采購信息公開規(guī)定，以實現(xiàn)采購信息的開放性與安全性之間的平衡。通過各項配套法律的完善，使在建立一整套行之有效的措施的同時，落實各項安全保障制度。

3、管理技術(shù)上的問題。電子化采購所依托的是路由器、交換機、工作站、網(wǎng)絡(luò)服務器，以及各類支持軟件，其安全性能、技術(shù)標準等對信息系統(tǒng)的安全有著重要影響。電子化管理技術(shù)上的缺陷來自三個方面：一是硬件缺陷。由于采購事業(yè)經(jīng)費較少的原因，部分采購機構(gòu)計算機配置較低，一些先進的安全硬件，如現(xiàn)代化的采購網(wǎng)絡(luò)中心還沒有建立。二是軟件缺陷。采購信息平臺正處于研發(fā)、試用階段，很多軟件技術(shù)還不成熟，如確認客戶身份真實性的技術(shù)、保證數(shù)據(jù)傳輸安全的技術(shù)等。三是先進的測試技術(shù)應用不夠，如網(wǎng)絡(luò)反病毒、網(wǎng)絡(luò)入侵檢測、網(wǎng)絡(luò)安全掃描等技術(shù)。

4、采購人才的問題。電子化采購專業(yè)人才的缺乏是當前采購電子化進程中安全隱患的重要原因。系統(tǒng)安全管理人員是復合型人才，電子化采購的發(fā)展需要大批既熟悉物資采購業(yè)務，又精通計算機網(wǎng)絡(luò)技術(shù)，具有豐富網(wǎng)絡(luò)工程建設(shè)經(jīng)驗的工程技術(shù)人員、管理人員。由于電子化采購事業(yè)剛剛起步，現(xiàn)有采購工作人員長期從事的都是傳統(tǒng)采購工作，所以在一時間內(nèi)難以適應新的采購方式的要求。

二、采購電子化進程中的安全策略

采購電子化改變了傳統(tǒng)采購業(yè)務的處理方式，優(yōu)化了采購過程，提高了采購效率，降低了采購成本，使采購真正達到了公開、公平、公正。實施采購電子化，將推動整個“采購管理信息化”的建設(shè)和發(fā)展，并將促使采購經(jīng)濟效益的整體提高。但是，這些優(yōu)越性要通過良好的采購網(wǎng)絡(luò)運行平臺才能實現(xiàn)，因此，必須通過有效方式營造一個安全可靠的電子化采購網(wǎng)絡(luò)環(huán)境。

1、更新觀念，強化管理，深化科學的電子化采購管理理念。樹立系統(tǒng)管理思想。在考察、分析和解決電子化采購安全管理問題時要著眼于整個電子化采購安全系統(tǒng)，要以合作的精神從整個電子化采購事業(yè)全局出發(fā)，把一組具有特定目的、相互聯(lián)系、相互制約的安全因素組合起來，根據(jù)輕重緩急，予以通盤考慮，逐次解決。影響電子化安全的因素是多方面的、復雜的，同時又是相互聯(lián)系、相互制約的，一個安全隱患的存在通常會影響到整個電子化采購系統(tǒng)的有效運行。要確實樹立系統(tǒng)管理思想還需把電子化安全隱患當做動態(tài)的、發(fā)展的、持續(xù)的，把握其發(fā)展規(guī)律。

加強內(nèi)部管理。安全的最高境界不是產(chǎn)品，也不是服務，而是管理。要想保證網(wǎng)絡(luò)的安全，在做好邊界防護的同時，更要做好內(nèi)部網(wǎng)絡(luò)的管理。網(wǎng)絡(luò)的內(nèi)部安全管理策略包括：確定安全管理等級和安全管理范圍；嚴格控制人員進出入機房；監(jiān)督工作人員操作過程，理順信息安全工作與其他工作的區(qū)別。

確定安全管理原則。采購機構(gòu)網(wǎng)絡(luò)中心的安全管理要本著多人負責、任期有限、職責分離的原則，將下列每組內(nèi)的兩項信息處理工作分開：計算機操作與計算機編程；機密資料的接收和傳送；安全管理和系統(tǒng)管理；應用程序和系統(tǒng)程序的編制；訪問證件的管理與其他工作；計算機操作與信息系統(tǒng)使用媒介的保管。

2、建章立制，力促規(guī)范，加快電子化采購法規(guī)建設(shè)。安全的基石是社會法律、法規(guī)與手段，缺少法律、法規(guī)支持的安全是沒有保障、不能持久的。采購電子化是對傳統(tǒng)采購的一個突破，對采購工作人員的工作習慣和思維方式產(chǎn)生了一定的沖擊，法規(guī)支持的缺位，不利于統(tǒng)一規(guī)范用戶和采購機構(gòu)的思想認識，不利于規(guī)范采購環(huán)節(jié)的當事各方。

借鑒《電子簽名法》、《電子商務示范法》，建立符合采購實際的電子簽名方法、電子合同保護方法。要實現(xiàn)真正意義上的電子化采購，電子合同、電子簽名是關(guān)鍵的一環(huán)，但從地方政府及企業(yè)的運行來看，這一環(huán)容易出現(xiàn)簽名無效或者采購當事人拒不承認采購合同的合法性等問題，為采購行為增添了不明朗的前景，頒布簽名及電子合同保護方法極為重要。

制定安全管理制度。信息系統(tǒng)的安全管理部門應根據(jù)管理原則和該系統(tǒng)處理數(shù)據(jù)的保密性，制訂相應的管理制度或采用相應的規(guī)范。具體工作包括：根據(jù)工作重要程度，確定系統(tǒng)安全等級；根據(jù)安全等級，確定安全管理的范圍；制訂相應的機房出入管理制度；制訂嚴格的操作規(guī)程；制訂完備的系統(tǒng)維護制度；制定應急等級轉(zhuǎn)換規(guī)定以及應急管理措施等。此外還包括電子化采購中的人員培訓制度、專業(yè)電子化采購人員選擇辦法等。

篇10

在全球信息化的推動下，計算機信息網(wǎng)絡(luò)作用不斷擴大的同時，信息網(wǎng)絡(luò)的安全也變得日益重要，一旦遭受破壞，其影響或損失也十分巨大，電力系統(tǒng)信息安全是電力系統(tǒng)安全運行和對社會可靠供電的保障，是一項涉及電網(wǎng)調(diào)度自動化、繼電保護及安全裝置、廠站自動化、配電網(wǎng)自動化、電力負荷控制、電力營銷、信息網(wǎng)絡(luò)系統(tǒng)等有關(guān)生產(chǎn)、經(jīng)營和管理方面的多領(lǐng)域、復雜的大型系統(tǒng)工程。應結(jié)合電力工業(yè)特點，深入分析電力系統(tǒng)信息安全存在的問題，探討建立電力系統(tǒng)信息安全體系，保證電網(wǎng)安全穩(wěn)定運行，提高電力企業(yè)社會效益和經(jīng)濟效益，更好地為國民經(jīng)濟高速發(fā)展和滿足人民生活需要服務。

研究電力系統(tǒng)信息安全問題、制定電力系統(tǒng)信息遭受內(nèi)部外部攻擊時的防范與系統(tǒng)恢復措施等信息安全戰(zhàn)略是當前信息化工作的重要內(nèi)容。

關(guān)鍵詞：電力系統(tǒng)；計算機網(wǎng)絡(luò)；可靠供電；安全體系；信息安全戰(zhàn)略

中圖分類號：TM715文獻標識碼： A 文章編號：

一、電力系統(tǒng)的信息安全體系

信息安全指的是為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的安全保護，保護計算機硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄露。包括保密性、完雅性、可用性、真實性、可靠性、責任性等幾個方面。

信息安全涉及的因素有，物理安全、信息安全、網(wǎng)絡(luò)安全、文化安全。

作為全方位的、整體的信息安全體系是分層次的，不同層次反映了不同的安全問題。

信息安全應該實行分層保護措施，有以下五個方面，

①物理層面安全，環(huán)境安全、設(shè)備安全、介質(zhì)安全，②網(wǎng)絡(luò)層面安全，網(wǎng)絡(luò)運行安全，網(wǎng)絡(luò)傳輸安全，網(wǎng)絡(luò)邊界安全，③系統(tǒng)層面安全，操作系統(tǒng)安全，數(shù)據(jù)庫管理系統(tǒng)安全，④應用層面安全，辦公系統(tǒng)安全，業(yè)務系統(tǒng)安全，服務系統(tǒng)安全，⑤管理層面安全，安全管理制度，部門與人員的組織規(guī)則。

二、電力系統(tǒng)的信息安全策略

電力系統(tǒng)的信息安全具有訪問方式多樣，用戶群龐大、網(wǎng)絡(luò)行為突發(fā)性較高等特點。信息安全問題需從網(wǎng)絡(luò)規(guī)劃設(shè)計階段就仔細考慮，并在實際運行中嚴格管理。為了保障信息安全，采取的策略如下：

(一)設(shè)備安全策略

這是在企業(yè)網(wǎng)規(guī)劃設(shè)計階段就應充分考慮安全問題。將一些重要的設(shè)備，如各種服務器、主干交換機、路由器等盡量實行集中管理。各種通信線路盡量實行深埋、穿線或架空，并有明顯標記，防止意外損壞。對于終端設(shè)備，如工作站、小型交挾機、集線器和其它轉(zhuǎn)接設(shè)備要落實到人，進行嚴格管理。

(二)安全技術(shù)策略

為了達到保障信息安全的目的，要采取各種安全技術(shù)，其不可缺少的技術(shù)層措施如下：

1．防火墻技術(shù)。防火墻是用于將信任網(wǎng)絡(luò)與非信任網(wǎng)絡(luò)隔離的一種技術(shù)，它通過單一集中的安全檢查點，強制實糟相應的安全策略進行檢查，防止對重要信息資源進行非法存取和訪問。電力系統(tǒng)的生產(chǎn)、計量、營銷、調(diào)度管理等系統(tǒng)之間，信息的共享、整合與調(diào)用，都需要在不同網(wǎng)段之間對這些訪問行為進行過濾和控制，阻斷攻擊破壞行為，分權(quán)限合理享用信息資源。

2．病毒防護技術(shù)。為免受病毒造成的損失，要采用的多層防病毒體系。即在每臺Pc機上安裝防病毒軟件客戶端，在服務器上安裝基于服務器的防病毒軟件，在網(wǎng)關(guān)上安裝基于網(wǎng)關(guān)的防病毒軟件。必須在信息系統(tǒng)的各個環(huán)節(jié)采用全網(wǎng)全面的防病毒策略，在計算機病毒預防、檢測和病毒庫的升級分發(fā)等環(huán)節(jié)統(tǒng)一管理，建立較完善的管理制度，才能有效的防止和控制病毒的侵害。

3．虛擬局域網(wǎng)技術(shù)(VLAN技術(shù))。VLAN技術(shù)允許網(wǎng)絡(luò)管理者將一個物理的LAN邏輯地劃分成不同的廣播域，每一個VLAN都包含1組有著相同需求的計算機工作站，與物理上形成的LAN有相同的屬性。但由于它是邏輯而不是物理劃分，所以同一個LAN內(nèi)的各工作站無須放置在同一物理空間里，既這些工作站不一定屬于同一個物理LAN網(wǎng)段。一個VLAN內(nèi)部的廣播和單播流量都不會轉(zhuǎn)發(fā)到其他VLAN中，有助于控制流量、控制廣播風暴、減少設(shè)備投資、簡化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。

4．數(shù)據(jù)與系統(tǒng)備份技術(shù)。電力企業(yè)的數(shù)據(jù)庫必須定期進行備份，按其重要程度確定數(shù)據(jù)備份等級。配置數(shù)據(jù)備份策略，建立企業(yè)數(shù)據(jù)備份中心，采用先進災難恢復技術(shù)，對關(guān)鍵業(yè)務的數(shù)據(jù)與應用系統(tǒng)進行備份，制定詳盡的應用數(shù)據(jù)備份和數(shù)據(jù)庫故障恢復預案，并進行定期預演。確保在數(shù)據(jù)損壞或系統(tǒng)崩潰的情況下能快速恢復數(shù)據(jù)與系統(tǒng)，從而保證信息系統(tǒng)的可用性和可靠性。

5．安全審計技術(shù)。隨著系統(tǒng)規(guī)模的擴展與安全設(shè)施的完善，應該引入集中智能的安全審計系統(tǒng)，通過技術(shù)手段，實現(xiàn)自動對網(wǎng)絡(luò)設(shè)備日志、操作系統(tǒng)運行日志、數(shù)據(jù)庫訪問日志、業(yè)務應用系統(tǒng)運行日志、安全設(shè)施運行日志等進行統(tǒng)一安全審計，及時自動分析系統(tǒng)安全事件，實現(xiàn)系統(tǒng)安全運行管理。

6．建立信息安全身份認證體系。CA是Certificate Authority的縮寫，即證書授權(quán)。在電子商務系統(tǒng)中，所有實體的證書都是由證書授權(quán)中心(CA中心)分發(fā)并簽名的。一個完整、安全的電子商務系統(tǒng)必須建立起一個完整、合理的CA體系。CA體系由證書審批部門和證書操作部門組成。電力市場交易系統(tǒng)就其實質(zhì)來說，是一個典型的電子商務系統(tǒng)，它必須保證交易數(shù)據(jù)安全。在電力市場技術(shù)支持系統(tǒng)中，作為市場成員交易各方的身份確認、物流控制、財務結(jié)算、實時數(shù)據(jù)交換系統(tǒng)中，均需要權(quán)威、安全的身份認證系統(tǒng)。在電力系統(tǒng)中，電子商務逐步擴展到電力營銷系統(tǒng)、電力物質(zhì)采購系統(tǒng)、電力燃料供應系統(tǒng)等許多方面。因此，建立全國和網(wǎng)、省公司的cA機構(gòu)，對企業(yè)員工上網(wǎng)用戶統(tǒng)一身份認證和數(shù)字簽名等安全認證，對系統(tǒng)中關(guān)鍵業(yè)務進行安全審計，并開展與銀行之間、上下級CA機構(gòu)之間、其他需要CA機構(gòu)之間的交叉認證的技術(shù)研究及試點工作。

(三)組織管理策略

信息安全是技術(shù)措施和組織管理措施的統(tǒng)一，“三分技術(shù)、七分管理”。沒有管理，就沒有安全。再好的第三方安全技術(shù)和產(chǎn)品，如果沒有科學的組織管理配合，都會形同虛設(shè)。

1．安全意識與安全技能。通過普及安全知識的培訓，可以提高電力企業(yè)職員安全知識和安全意識，使他們具備一些基本的安全防護意識和發(fā)現(xiàn)解決某些常見安全問題的能力。通過專業(yè)安全培訓提高操作維護者的安全操作技能，然后再配合第三方安全技術(shù)和產(chǎn)品，將使信息安全保障工作得到提升。

2．安全策略與制度。應該從企業(yè)發(fā)展角度對整體的信息安全工作提供方針性指導，制定一套指導性的、統(tǒng)一的安全策略和制度。沒有標準，無法衡量信息的安全，沒有法規(guī)，無從遵循信息安全的制度，沒有策略，無法形成安全防護體系。安全策略和制度管理是法律管理的形式化、具體化，是法規(guī)與管理的接口和信息安全得以實現(xiàn)的重要保證。

3．安全組織與崗位。企業(yè)的組織體系應實行“統(tǒng)一組織、分散管理”的方式，建立以信息中心作為企業(yè)的信息安全管理機構(gòu)，全面負責企業(yè)范圍內(nèi)的信息安全管理和維護工作。安全崗位是信息系統(tǒng)安全管理機構(gòu)，根據(jù)系統(tǒng)安全需要設(shè)定的負責某一個或某幾個安全事務的職位，崗位在系統(tǒng)內(nèi)部可以是具有垂直領(lǐng)導關(guān)系的若干層次的一個序列。這樣在全企業(yè)范圍內(nèi)形成信息安全管理的專一工作，使各級信息技術(shù)部門也因此會很好配合信息安全推行工作。