安全保障体系建设范文1
关键词:档案信息;安全保障体系;建设;思考
0 引言
随着我国社会的进步以及经济的发展,我国的档案事业也取得了极大的进步,档案信息化建设日益加快。档案信息资源是社会资源的重要组成部分,确保档案信息安全十分必要。但是,当前由于各种因素的影响,档案信息安全问题日益突出。如何建设档案信息安全保障体系,确保档案信息的安全是当前的一个重要问题。
1 档案信息安全保障体系简介
信息安全是一个广泛而抽象的概念,具有保密性、完整性、可用性等特征,档案信息安全继承了这些特点。因此,凡是涉及到这些特征方方面面的理论体系和技术应用,都是档案信息安全保障工作值得探讨和研究的对象。档案信息安全保障工作的任务,就是要通过提高软硬件技术能力、加强安全保密管理水平等有效措施,让档案信息资产免遭或尽可能少遭风险损失,以维护档案工作的正常运行。
档案信息安全保障体系应运而生,它是法律法规、政策、标准、管理、指导、监控、培训、工具、人才以及安全保障技术、应用技术、操作技术等等的有机结合。这是一项复杂的系统工程,不仅仅是解决技术上的问题,还包括安全保障各个环节的管理和组织。其主要目的是通过档案信息安全管理体系、档案信息安全技术体系等的有效建设、综合应用,技术管理双管齐下,让档案信息系统所面临的风险可控,以保障档案信息系统的稳定运行和利用效率。
2 档案信息安全保障体系的建设与思考
解决档案信息安全问题通常取决于两个因素,一是技术,二是管理。技术手段是保障信息安全的重要环节,但要发挥安全技术应有的作用,控制信息安全风险,还必须有适当的安全管理模式做支持。
2.1 档案信息安全技术保障体系
档案信息安全技术保障体系顾名思义,就是从技术上来保障档案信息的安全。为了满足信息安全需要,降低信息系统所面临的众多风险,通常就是直接采用各种相关的技术产品和技术服务,来解决对应的信息安全问题。档案信息安全技术保障体系主要包括以下几方面:
2.1.1 物理安全技术
物理安全问题是档案信息安全中最为基本的问题。物理安全主要指环境安全、设备安全以及存储介质安全。简单来说,就是防火、防水、防雷、防震、防鼠、防电磁辐射以及防人为破坏等等。可以依据众多国家标准,采取相应的技术手段来保障物理安全。
2.1.2 系统安全技术
作为对档案信息的收集、管理、保存、利用等环节提供支持的技术系统,在基础环境、硬件的基础上,主要由软件、网络和数据等相关信息技术组成。系统安全技术自然主要针对这三方面。
(1)软件安全:软件是信息系统的重要组成部分,是保证系统正常运行和有效应用的主要因素和手段,包括操作系统软件安全和应用系统软件安全,涉及软件的安全开发、安装、升级以及软件加密和安全性能测试等技术。
(2)网络安全:主要指对网络系统中的软硬件以及网络数据资源等的安全保护。具体技术包括:网络结构优化、物理隔离、防火墙、网络监控等等。
(3)数据安全:数据是信息系统的中心,数据安全是档案信息安全保护的核心内容,包括数据加密、数据安全存储、数据备份与恢复、数据库安全、云数据安全等保障技术。
档案信息系统的正常运行和有效利用,除了上述物理和系统安全技术的保障之外,还需要相应的运行安全技术。通过访问控制、身份认证、秘钥管理、审计跟踪、病毒防护、入侵告警与系统恢复等技术,以确保档案信息系统运行稳定可靠。如今信息技术与档案信息安全的关系已越来越密切。因此,需要关注信息技术的深度挖掘与应用,加档案安全的科学思考与研究,为档案信息安全保障体系提供必要的理论支撑和技术保障。
2.2 档案信息安全管理保障体系
常言道:三分技术,七分管理。档案信息安全管理保障体系是对档案信息安全技术保障体系的有力支持。有统计数据显示,大多数信息被盗、信息泄密来源于单位内部,大部分计算机安全出现问题来源于系统内部,这些情况的发生主要在于人员思想意识麻痹和安全管理体制不完善。因此,信息安全技术系统搭建之后,还需要结合有效的信息安全管理手段,两者相辅相成,贯彻落实于档案信息安全建设的各个环节,才能保障档案信息安全的稳定性和可控性等。
2.2.1 建立健全档案信息安全管理制度
为了有效地把档案信息的安全管理和档案信息工作落到实处,必须要有配套的安全管理制度。首先要进行统筹规划,在“收、管、存、用”等环节,制定合理的、完备的档案信息安全管理策略。其次要设立档案信息安全管理部门,负责加强档案的信息安全和保密管理,保障档案信息系统各个层面的运行安全。
最后是建立健全各种规章制度,如安全防范责任制度、重要数据及文件管理制度、系统操作规程、备份制度及应急预案等等。只有在制度上约束和规范安全工作,逐步强化安全管理,做好预防工作,才能把各种危害抑制到最小限度,使档案信息系统整体安全性能达到最优化。
2.2.2 加强人员档案信息安全培训提高安全意识
人,是档案信息安全保障体系的核心,是档案信息系统的拥有者、管理者和使用者。要培养优秀的专业档案信息人员,加快档案信息安全管理的队伍建设,必须加强有关人员的档案信息安全意识,并针对不同层次的人员进行相应的培训服务,内容包括安全技能、安全知识等的各个方面,如安全策略培训、安全意识培训、安全管理培训、安全技术培训等等。只有提高人员的安全意识和素质,档案信息安全保障体系工作才可以真正落实。
2.2.3 制定档案信息安全标准规范
构建档案信息安全保障体系,还必须参照国内相关法律法规、行业标准规范,遵循业界惯例,并结合自身实际情况。目前国家档案局已编制《档案信息系统安全等级保护定级工作指南》以指导省级及以上档案信息系统安全等级保护的定级工作,还有《数字档案馆建设指南》、《数字档案室建设指南》等等。但是我国的档案信息安全保障体系建设还处于初级阶段,相比而言关于信息安全保障体系的研究更早标准更多,因此在档案信息安全保障体系实施过程中可以借鉴和参考国际国内信息安全保障体系的一些标准规范。只有制定科学的、有效的档案信息安全标准和规范,才能更好地指导档案信息安全管理工作,减少安全保障体系构建过程中不必要的重复和盲目性,使之系统化、统一化,从而规范和保障档案信息安全。
3 结语
综上所述,在档案信息化建设过程中,其信息安全保障体系的建设是必不可少的环节,对促进档案信息化建设的推进起到十分重要的作用。因此,在档案信息安全保障体系建设中,要引进先进的档案信息安全技术,建立健全相关管理体系制度,并加强档案工作者的安全意识,从而保障档案信息的安全,促进档案事业的健康发展。
参考文献
安全保障体系建设范文2
关键词:档案信息安全;保障体系建设;现状;方法
随着经济的发展和社会的进步,尤其是网络信息技术的快速进步,使得档案信息的管理逐渐的网络化,极大地提升了管理工作的效率与水平。但是在这种应用中,一个重要的问题产生了,即档案信息的安全问题越来越严重。因此,我们需要对于出现的问题进行认真的研究与分析工作,并且制定出相应的办法,全面建设档案信息安全保障体系,提高其应对网络安全风险的能力,推进档案信息安全保障工作全面的进步。
一、档案信息安全保障体系建设的现状
进行档案信息的安全保障工作具有非常重要的现实意义。但是从整体上而言,我国的档案信息安全保障工作在现实层面依然存在着许多的问题。具体来讲,第一,档案存放的馆舍环境有待改善。比如:我国许多的档案存放的馆舍存在着设施陈旧、缺少必要的隔热、防潮、消防等功能,使得众多的档案存放过程面临着不少的风险。第二,我国的实体档案信息管理存在着一些问题。比如:首先,保存的早期档案信息的字迹难以辨认。其次,保存的早期档案多有破损或者是管理混乱。再次,对于档案进行具体的管理中文书档案与照片档案的混合非常的严重。最后,对于保存的档案没有进行及时的通风,以至于一些档案出现了损毁的情况。第三,我国的电子档案信息保存也面临着一些风险。比如:首先,我国应用网络信息技术进行档案信息的管理时间短,对于众多的档案还没有完成应有的信息资源整合。其次,网络化的电子档案信息系统的运行功能不完善,还存在着一些问题。比如:安全系统的漏洞使得网络化的电子档案信息非常容易受到网络侵入或攻击。再次,我国没有对于网络化的电子档案信息管理制定出统一的管理规章制度,使得具体的管理工作不能有序的进行。最后,我们缺乏对于高素质、专业化网络电子档案信息管理人才的培养,使得有关工作严重的滞后[1]。
二、档案信息安全保障体系建设的方法
(一)完善实体档案管理
我们需要完善实体档案的管理工作,促进这些档案管理工作水平的提升。因此,首先,我们需要完善我国的实体档案保存馆舍的环境,对于存在问题的馆舍进行重新的修缮。其次,我们需要对于保存的实体档案进行全面的清查工作,并且制定出有效的考核方案。比如:根据档案利用效率的高低,对于保存的档案进行全面的优化排序,提升实体档案管理工作的应用效率与水平。制定出档案管理工作的中长期规划,逐步将实体档案信息向网络化电子档案信息进行转变。对于一些重点的、有应用价值的档案进行抢救性的发掘。对于一些特种载体的档案需要进行高效化的保存。改善有关的保存设施,保持有关环境的恒温、恒湿状态。同时,还需要对于保存的实体档案进行定期的消毒与清洁工作。再次,我们需要对于保存的实体档案进行有效的监督和检查工作,全面提升实体档案管理工作水平的提高。比如:制定出有效的考核制度,促进实体档案管理人员不断的提高自己的责任心与使命感,在平时的工作中尽职尽责,使我国的实体档案保存、管理工作安全、有序的进行。最后,国家与政府需要对于实体档案的管理工作给予足够的重视,投入大量的资金与技术,完善有关的管理系统,使得这项工作得到持续的进步和提升[2]。
(二)进行电子档案信息系统的安全建设
我国进行档案信息系统的安全保障工作,需要进行电子档案信息系统的安全建设工作。原因在于,电子档案信息系统的管理方式是未来我国进行档案信息建设的重要方向,也是未来我国档案信息保存的主要形式。因此,我们需要制定出有效的管理方法,全面提升我国电子档案信息系统的安全。具体来讲,第一,我国的各级档案馆需要建立档案信息化安全保障的制度,使得众多的电子档案信息管理人员严格的按照这些制度进行档案信息的管理。第二,我国的各级档案馆需要建立具有高效防护能力的防火墙与网络入侵拦截系统,对于各种信息的网络攻击与侵入行为进行有效的防护。第三,禁止有关的电子档案管理人员进行违规的外联,使得众多的电子档案得到有效的保护[3]。第四,从国家层面上讲,我国需要制定出专门的电子信息档案安全管理的法律法规,使得具体的电子档案信息安全管理工作做到有法可依、有章可循,对于具体的档案管理工作进行规范性的约束。第五,我们需要对于电子档案安全保障系统建设的技术进行创新。比如:我们需要建立起各级档案馆的“前端控制,后端归档”的管理模式,对于重要的信息进行有效的安全保障。应用网络信息技术的优势,对于保管的众多档案资源进行优化整合。对于众多档案信息管理的电子移交工作进行完善,有效的保障电子信息档案的安全,不至于出现遗失、不完整情况的出现[4]。结论:对于档案信息安全保障体系建设问题进行研究,有利于全面提升我国档案信息安全保障工作的质量与水平。
参考文献:
[1]许桂清,李映天.档案信息安全保障体系的建设与思考[J].档案学研究,2010,03:54-58.
[2]花文博.档案信息安全保障体系的建设与思考[J].广东科技,2011,10:9-10.
[3]王莉.档案信息安全保障体系的建设与思考[J].办公室业务,2014,19:65+67.
安全保障体系建设范文3
一、加强档案安全保障体系建设的重要性
(一)档案安全保护被赋予了新的内涵,可读性(有效性)成为继真实性、完整性、保密性之后数字档案保护的应有之义。不能为人直接识读的数字档案具有对其生存环境的依赖性,如何确保不同生成环境下档案信息的可读、可用,尤其是在不同技术平台上生成的数字档案的“透明”共享,是当下档案保护的一大难题;同时,技术的推陈出新,计算机软硬件环境的频繁升级,意味着数字档案在其漫长的生命历程中必须不断迁移其技术环境,由此带来了迁移过程的安全性以及迁移后数字档案的有效性问题。
(二)数字档案保护遭遇了前所未有的挑战。一方面,如何维护数字档案的真实、完整,实现数字档案的长久保管成为一个世界性难题。InterPARES项目、美国的ERA10多年致力于这一领域的研究,但至今仍未获得理想的结果。另一方面,数字网络环境下,档案信息置身于一个充满更多威胁、更大风险的利用空间,黑客攻击、网络窃听、程序漏洞、病毒危害、操作失误等均可能造成档案的失密、篡改和非法利用,因而必须采取更为严密、可靠的安全保护措施。
(三)近年来频发的自然与人为灾害,提升了社会的档案灾备意识。档案作为社会活动的记忆和人类知识的储备,在实体资源遭受毁坏时,可以帮助人们及时复原再造,恢复生产,但若档案自身遭受严重损毁,则造成的损失将是毁灭性的。汶川、玉树地震、舟曲泥石流、南方洪涝灾害等给档案界敲响了防灾容灾的警钟,风险评估、应急灾备已成为抵御灾害侵袭,保障档案安全的必要对策。
(四)国内信息安全的严峻局势,对档案信息及其管理系统的安全构成很大威胁。在信息化发展过程中,由于核心技术仍受制于西方,我国的信息安全形势十分严峻,曾有官方报告指出,国内90%的信息设施存在安全隐患。档案信息因其特殊价值而有可能成为国内外敌对势力窃取的目标,国际舞台上不断上演的间谍门事件提醒我们,必须重视档案信息及其管理系统的安全性。
二、档案安全保障体系建设的现状
(一)档案信息化的有关法律、法规和制度不够健全。目前,我国在档案信息化建设过程中还没有专门的法律、法规来对档案信息化建设进行保护,仅仅依靠通用的计算机法律、法规来维护档案信息化建设的安全。这对那些刻意攻击、窃取、毁坏档案信息的破坏分子来说实在是微不足道,一旦他们得逞,势必给我国的档案事业发展造成不可估量的损失。
(二)档案信息化网络建设中信息安全技术应用不够全面。我国的档案信息化网络建设目前处于内网、专网和外网同时使用阶段,随着信息技术的不断发展,信息竞争、黑客攻击等人为恶意破坏因素的存在,档案信息化网络建设中信息安全技术应用不够全面,使得档案信息系统变得非常脆弱,易受来自各方面的攻击。从事黑客的人或组织可能会不断地寻找档案网络系统上的的漏洞,以潜入档案信息系统。一旦网络被人攻破,机密的数据、资料可能会被盗取,网络可能会被损坏,给我们的工作带来难以预测的损失。另外,世界上每天都有新的计算机病毒产生,同样会威胁档案网络的安全。
(三)各级档案部门的安全管理体制不够完善。有资料表明,大部分的计算机安全保密问题来自其系统内部,世界上70%信息被盗和泄密来自于内部,这主要是因为人员麻痹和安全管理体制不完善所造成的。
三、完善档案安全保障体系的得力措施
(一)抓好宣传,增强意识。要建立完善档案安全体系建设,必须切实加强档案安全的宣传教育,增强全社会的档案意识,将档案保护意识融入档案的价值论中,提高全社会的档案保护意识,营造科学发展的档案安全保护环境;要依托档案业务活动和围绕重大安全事件、热点问题策划宣传活动,不断丰富档案宣传的内涵;要改变档案安全宣传只在档案行业内部宣传的现状,重视对外宣传工作,增强全社会对档案安全的重视和支持;要不断拓展档案宣传的范围与形式,通过多种途径档案安全信息,举办纪念座谈会,邀请领导撰写文章或发表电视电话讲话,制作广播电视专题节目等多种形式,针对不同层面的人群进行宣传,有效地扩大宣传的受众面,不断扩大档案宣传的影响与实效。
(二)领导重视,完善制度。档案安全是档案工作的重中之重,必须积极争取领导的高度重视与支持,始终把档案安全工作作为大事、要事来抓,牢固树立“责任重于泰山,防范高于一切”的工作理念;要落实好档案安全领导负责制,落实好档案管理安全责任制,坚持领导查库制度,将档案安全工作落到实处,要把节假日值班保卫制度落实到人,认真巡查做好记录,并对案卷的数量、质量、霉变情况进行检查;要保证档案管理工作所需人力、物力、财力,配备德才兼备的档案人员,不断改善档案保管条件和环境,添置档案管理必需的设施设备,对已配备设施设备,如档案柜、防盗门窗、电源电线等经常进行完好率检查,并安排专人落实、做好档案库房的“八防”和电子、纸质等各种档案的保密工作,切实保障档案安全工作的顺利开展。
安全保障体系建设范文4
关键词:国土资源 经济安全 保障体系
1 国土资源经济安全保障体系现状
国土资源经济安全保障体系是各国都主要关注的问题,总体来说国土资源经济安全保障工作一直向好的趋势发展,在各级党委和政府的正确领导下,以促进经济建设为中心,严格执行土地的调控政策,加大土地制约情况,为经济建设用地提供强健有力的支撑与保障。
2 国土资源经济安全问题
国土资源经济安全保障体系目前面临的问题十分严峻,虽然各级党委和政府都对国土资源经济安全工作高度重视,国土资源部门的地位和作用在宏观的经济调控中都有所加强,对资源的保护,对经济发展的保障的体制逐渐完善,工作人员也逐年提高了相关管理能力和服务水平,但是仍然存在资源的供应和需求两者的矛盾越来越突出,国土资源经济发展保障的用地计划指标短缺,现有耕地中占地和补偿之间的平衡工作难度加大等问题。
2.1 资源供需矛盾突出
国土资源经济安全保障体系中国土资源供需矛盾突出,首先要破解用地的空间不足问题,目前随着城市建设化的飞速发展,需要通过压缩农村用地以及农村的宅基地所占用的面积来增加城市建设用地,各地对土地的需求量逐渐加大,这也成为土地资源供应和需求不平衡导致的矛盾所在。
2.2 计划指标短缺
国土资源经济安全保障体系 全国对用地的需求量预计超计划指标,这就导致用地计划指标短缺,虽然国家大力提倡盘活存量的土地进行再利用,但是近来通过对农村土地的整治、厂矿整合、村舍改造等形式,能够再次被盘活的存量土地量极少。同时在对土地审批的真实性、合法性进行审核,再经过发现问题后规范和纠正这样事后监督的方式会付出很大的成本,且难于执行到位,这样也会直接导致用地指标的短缺。
2.3 耕地占补平衡难度大
在国家经济高速发展对耕地需求日益增长,建设的项目占用耕地的情况越发增多,又恰逢退耕还林和农业结构调整等政策的实施,再加上耕地的后备资源严重匮乏,大多数质量好的优质耕地早已被使用,而新开发的耕地质量监督缺乏有效保证,很难形成一定生产力,后期改良潜力小,导致耕地占补平衡难度大。又由于补充的耕地以牺牲生态环境为代价而围湖造田、侵占河床等形式增加,导致生态恶化,不但对投资造成了巨大浪费,还与耕地占补平衡的初衷相违背。
3 国土资源经济安全保障体系设想
随着经济社会发展迅速,对土地的需求日益增多,土地供给不足的矛盾越来越明显,土地资源的管理面临着严峻的形势,国土资源经济安全保障体系是保障民生、促进经济发展的资源,合理开发利用国土资源是可持续发展的必然要求,为能用更加科学的方式利用土地,由此提出对国土资源经济安全保障体系的一些设想。
3.1 服务保障发展
国土资源经济安全保障体系在发展过程中要积极主动服务、严格规范土地管理政策,保障国土资源,促进经济社会发展,同时还要积极参与宏观调控,不断提升国土资源的保障能力和服务水平,为重点项目和招商引资用地等项目提供全方位的服务,要做到任务明确,责任到人,保障经济建设用地需求,缓解土地供求矛盾。还需要强化执法服务,以优质高效为理念,加大法律法规的宣传力度,加强自身建设,提升保障服务能力和监管水平,加强执法监督的检查,实行动态巡查责任制,全面提升国土资源管理队伍的整体素质。同时还要为群众对国土资源的提供高效服务,要及时化解矛盾,从根本上解决问题。
3.2 强化监管责任
在国土资源经济安全保障体系的建设中要逐步建成覆盖全国,做到全程监管,有相关科技支撑,社会监督为一体的综合监管体系,加强对国土资源工作的建设,正确保障关系,不仅要保障发展,也要保护资源,以此来强化监管责任。全面落实对耕地的保护,通过项目的形式实施、建设项目与补充耕地相挂钩等制度的设立,加大项目建设推进力度,协调耕地占补平衡,做好保障监管责任。同时推进耕地保护责任制的完善创新,使其纳入地方经济发展的评价体系中,严格监管保护耕地,促进社会经济可持续发展,继续加强土地执法巡查制度,坚决制止先用耕地再批等现象。
3.3 维护权益措施
国土资源经济安全保障体系的建设中还要注意维护人民的相关权益,加大对保障性住房用地的供应,为抢险救灾服务,给民生有力的保障。要运用经济手段去调动农民的积极性来保护耕地,根据各级政府的实际情况适当设立耕地保护专项资金,实施耕地保护经济补偿机制,制定科学合理的土地征用补偿标准,区分征地的用途,对不同的土地实施不同的土地征用办法,在确定具体征地补偿标准时,还要综合考虑对被征土地的补偿、被征地农民的生活安置等具体因素。同时要大力开展农村土地整治工作,实行农田、村庄、工矿废弃地等土地的整治来新增可用耕地。需要完善土地的供应制度,确保居民住房用地的适时供应,加强土地储备的工作,盘活存量的土地,对闲置的土地进行严格处置。
3.4 夯实基础建设
要建立良好的国土资源经济安全保障体系,还需扎实做好打基础,保障和改善民生,有利于长远的工作,保证经济社会平稳发展。对农村用地的规划要加强协调,不仅要明确农村居民的数量、布局和规模,尊重农民的意愿。还需要加快配套设施的制定和完善,为农村居民提供完善的社会保障体系,要保障农民享受最低生活保障,建立农村劳动力转移和就业培训制度,增强其专业技能,提高其文化素质,转变其观念。在稳步发展农村基础和公共服务设施建设的同时,还要提高建设共享和综合利用率,减少资源浪费,实现资源配置利用的最大化,提升基础设施的价值,创造人与自然和谐的环境,促进农村文明新貌的形成,塑造新形象。
4 总结
国土资源经济安全保障工作涉及到各方面,需要相关部门给予大力支持和配合,面对国土资源供需矛盾突出、计划指标短缺、耕地占补平衡难度大等问题,只有切实落实好有效的解决措施,才能为社会平稳前进提供保障,才能真正有效地让有限的土地发挥最大的效能,促进经济快速发展。
参考文献
[1]孟旭光.我国国土资源安全面临的挑战及对策[J].中国人口.资源与环境.2002(1)
[2]周宝同.土地资源可持续利用评价研究[D].西南农业大学.2001
安全保障体系建设范文5
摘 要: 在全球网络安全形势日益严峻的形势下,中国企业安全防御的水平较之国外仍有较大差距。中国企业把太多目光聚焦在了来自外部的攻击和威胁,却忽视了企业信息安全的自身防御了,如:2016年9月12日发生了一件震惊中国互联网的大事,阿里巴巴5位参与违规抢月饼的程序员被阿里巴巴辞退了、其中还包括了阿里云云盾的安全技术负责人,这些人利用企业内部网络编写代码、自动高频率点击按钮、由此抢到了16盒月饼,从中也可以引出联想:如果是、股票、基金、重要限购物品的拍卖呢? 本文从目前企业信息安全防御的现状出发,分析了网络安全形势与防御水平的差距,提出了新的信息安全保障体系的设想。
关键词: 云安全 信息安全保障 安全防御 IT免疫系统
一、简介
信息安全对企业而言事关重大,这一点已越来越引起企业管理者的重视。另一方面,随着企业业务计算环境的发展与技术更迭,企业所面对的各方面安全威胁、攻击方式也演变得愈加复杂和多样化,安全防御的重点也随之变化。与此同时,随着企业安全与业务相结合的紧密度越来越高,探索未来信息安全防御体系趋势已成为如今企业管理者最为重视的关注点之一。
如今国内的信息安全圈,谈攻防的很多,但谈防御的却很少。我们把太多目光聚焦在了来自外部的攻击和威胁,却忽视了企业信息安全的自身防御了。
国内的企业信息安全发展经历了几个重要的阶段:从2004年到2009年,基于还处于建设符合合规要求,解决信息安全基础问题的阶段;2009年到2013年,基于基础合规建设开始构思如何使信息安全保障体系更具有效性;到2014年至2016年,有效的信息安全保障体系如何落地成为探讨的重点;而从2016年开始,则进入了如何在合规建设的基础上探索有效构建下一代信息安全落地保障w系的阶段。
1.目前企业信息安全防御的现状
在全球网络安全形势日益严峻的情况下,中国企业安全防御的水平较之国外仍有较大差距。根据权威咨询机构IDC去年的调查数据显示,中国企业级网络安全的投入只占企业信息化投入的1% ,而这一数字在日本则是8%,在美国更是高达10%。这一数字已经反映出中国安全行业目前所处的水平。
具体到企业业务中,目前国内许多企业对安全防御的意识同样严重缺乏。企业本身的安全意识非常欠缺,在国内有些企业甚至是刚刚开始做信息化改造,远远未达到考虑安全问题的水平。而大多数企业在信息化建设初期也不会对安全问题给予过多的考虑或者是不全面的安全防护。因此也导致了在现阶段,我国企业级安全防御能力从整体上看还是非常薄弱的。
而反观对企业网络安全造成严重威胁的黑客团体一方,则更是与当前企业整体网络安全水平形成了鲜明的对比。基于强大的利益驱动,黑客团队在协作分工、形成地下黑产业链方面已经非常成熟。如此说来,黑客团队反而是非常强大的。从未来趋势来看,目前企业的安全防御能力以及IT建设速度与黑客团队相比差距非常之大,如果我们仍旧不能改变这种现状,保持这样的安全差距的话,未来将会造成更加巨大的差距与威胁。所以说,目前我们所面临的整体网络安全形势还是非常危险的。
2.网络安全形势与防御水平差距的分析
为什么会造成当前如此严峻的网络安全形势与防御水平的差距?我们从两方面进行了分析。
一方面,对于企业而言,安全事件一旦发生,其对企业核心价值所造成的影响将是非常巨大的。特别是以存储客户大量信息数据为核心的金融、医疗等行业,一旦发生数据泄露及攻击,后果甚至不堪设想。而企业在这方面的防御却往往是最为薄弱的环节。
而除去单纯技术上的防御水平因素,数据本身对于企业和对于黑客的价值之间的差距也会造成许多核心数据的泄露。比如,当数据对于黑客的价值要远远大于对企业自身的价值时,许多数据甚至会被人为地泄露出去。如果这个局没有法律、舆论以及市场的管控等第三方的有效监管去破解,那么仅仅只靠安全技术来对数据进行保护往往也是不凑效的。而这一点也是目前造成国内与国外安全防御所存在的巨大的差距的原因之一。
另一方面,从针对企业的核心运营的防护程度来看,中国的IT建设进展也同样没有欧美国家深入。随着大数据、信息化产业的推进,企业越来越多的价值都被数字化了。只有当企业意识到:这些数据一旦遭受攻击被泄露,企业的损失将有多么巨大,那么这时企业则会看重这些数据。
正是以上两方面关键因素,构成了当前中国市场所面临的网络威胁形势要更加严峻。与此同时我们也看到,在当下的网络攻击中,诸如APT 攻击等“高大上”的手段被频繁应用进来,面对这样的攻击,企业的安全防御在攻击对抗中所起到的真实防御能力却很微小。相反,黑客们却率先建立起了攻击联盟。要想从根本上改变这种局面, 就需要明确推动整个安全产业的驱动力究竟是什么,如果不是出于对企业安全的强烈需求、而是出于对安全的免责为目的的话,安全的产业就永远不会得到发展。当然,随着中国市场对企业安全观念的转变与逐渐重视,这一现状也会得到相应的改观。
二、新信息安全保障体系的构想
“以不变应万变”的安全防御思路是:构建一套稳定的防御体系,抵御万变的网络威胁。构建一套稳定的防御体系,不能仅依靠以往的传统防御体系,传统安全3大件:防病毒、IDS、IPS,这三大件虽然抵御威胁有一定的效果,但基于已知特征进行防御,也就是说针对已知威胁可以防御,但对于未知威胁只能当正常行为放过,不能满足当今网络安全的防御需求。通过近期的一系列的APT攻击事件即可看出,传统安全防御已不适合当今的防御需求。所以构建一套稳定的防御体系非常必要,下面几个方面进行设想:
1.构筑网络安全
系统安全:运行系统安全即保证信息处理和传输系统的安全。它侧重于保证系统正常运行。避免因为系统的崩演和损坏而对系统存储、处理和传输的消息造成破坏和损失。避免由于电磁泄翻,产生信息泄露,干扰他人或受他人干扰。
网络的安全:网络上系统信息的安全。包括用户口令鉴别,用户存取权限控制,数据存取权限、方式控制,安全审计。安全问题跟踩。计算机病毒防治,数据加密等。
信息传播安全:网络上信息传播安全,即信息传播后果的安全,包括信息过滤等。它侧重于防止和控制由非法、有害的信息进行传播所产生的后果,避免公用网络上大云自由传翰的信息失控。
信息内容安全:网络上信息内容的安全。它侧重于保护信息的保密性、真实性和完整性。避免攻击者利用系统的安全漏润进行窃听、冒充、诈编等有损于合法用户的行为。其本质是保护用户的利益和隐私。
网络安全防护手段:全面规划网络平台的安全策略,制定网络安全的管理措施,使用防火墙,(4)尽可能记录网络上的一切活动,注意对网络设备的物理保护,检验网络平台系统的脆弱性,建立可靠的识别和鉴别机制。
2.云端问题与安全
紧随云计算、云存储之后,云安全也出现了。云安全是我国企业创造的概念,在国际云计算领域独树一帜。“云安全(Cloud Security)”计划是网络时代信息安全的最新体现,它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,传送到服务器端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。
数据丢失/泄漏:云计算中对数据的安全控制力度并不是十分理想,API访问权限控制以及密钥生成、存储和管理方面的不足都可能造成数据泄漏,并且还可能缺乏必要的数据销毁政策。
共享技术漏洞:在云计算中,简单的错误配置都可能造成严重影响,因为云计算环境中的很多虚拟服务器共享着相同的配置,因此必须为网络和服务器配置执行服务水平协议(SLA)以确保及时安装修复程序以及实施最佳做法。
内奸:云计算服务供应商对工作人员的背景调查力度可能与企业数据访问权限的控制力度有所不同,很多供应商在这方面做得还不错,但并不够,企业需要对供应商进行评估并提出如何筛选员工的方案。
帐户、服务和通信劫持:很多数据、应用程序和资源都集中在云计算中,而云计算的身份验证机制如果很薄弱的话,入侵者就可以轻松获取用户帐号并登陆客户的虚拟机,因此建议主动监控这种威胁,并采用双因素身份验证机制。
不安全的应用程序接口:在开发应用程序方面,企业必须将云计算看作是新的平台,而不是外包。在应用程序的生命周期中,必须部署严格的审核过程,开发者可以运用某些准则来处理身份验证、访问权限控制和加密。 6. 没有正确运用云计算:在运用技术方面,黑客可能比技术人员进步更快,黑客通常能够迅速部署新的攻击技术在云算中自由穿行。
未知的风险:透明度问题一直困扰着云服务供应商,帐户用户仅使用前端界面,他们不知道他们的供应商使用的是哪种平台或者修复水平。
3.客户端问题与安全
对于客户来说,云安全有网络方面的担忧。有一些反病毒软件在断网之后,性能大大下降。而实际应用当中也不乏这样的情况。由于病毒破坏,网络环境等因素,在网络上一旦出现问题,云技术就反而成了累赘,帮了倒忙。
用户身份安全问题
云计算通过网络提供弹性可变的IT服务,用户需要登录到云端来使用应用与服务,系统需要确保使用者身份的合法性,才能为其提供服务。如果非法用户取得了用户身份,则会危及合法用户的数据和业务。
共享业务安全问题
云计算的底层架构(IaaS和PaaS层)是通过虚拟化技术实现资源共享调用,优点是资源利用率高的优点,但是共享会引入新的安全问题,一方面需要保证用户资源间的隔离,另一方面需要面向虚拟机、虚拟交换机、虚拟存储等虚拟对象的安全保护策略,这与传统的硬件上的安全策略完全不同。
用户数据安全问题
数据的安全性是用户最为关注的问题,广义的数据不仅包括客户的业务数据,还包括用户的应用程序和用户的整个业务系统。数据安全问题包括数据丢失、泄漏、篡改等。传统的IT架构中,数据是离用户很“近”的,数据离用户越“近”则越安全。而云计算架构下数据常常存储在离用户很“远”的数据中心中,需要对数据采用有效的保护措施,如多份拷贝,数据存储加密,以确保数据的安全。
4.主要技术手段
木马下载拦截:基于业界领先的反木马技术,拦截中毒电脑通过网络下载更多的病毒和盗号木马,截断木马进入用户电脑的通道,有效遏制“木马群”等恶性木马病毒的泛滥。
木马判断拦截:基于强大的“智能主动防御”技术,当木马和可疑程序启动、加载时,立刻对其行为进行拦截,阻断其盗号等破坏行为,在木马病毒运行时发现并清除,保护QQ、网游和网银的账号安全。
自动在线诊断: “云安全”计划的核心功能。自动检测并提取电脑中的可疑木马样本,并上传到 “木马/恶意软件自动分析系统”,随后将把分析结果反馈给用户,查杀木马病毒,并通过“安全资料库”,分享给其他所有用户。
漏洞扫描:应用全新开发的漏洞扫描引擎,智能检测Windows系统漏洞、第三方应用软件漏洞和相关安全设置,并帮助用户修复。用户也可以根据设置,实现上述漏洞的自动修复,简化了用户的操作,同时更加及时的帮助用户在第一时间弥补安全隐患。
强力修复:对于被病毒破坏的系统设置,如IE浏览器主页被改、经常跳转到广告网站等现象,卡卡助手会修复注册表、系统设置和host文件,使电脑恢复正常。
安全保障体系建设范文6
征信体系乃防范金融风险之基
征信体系是现代金融体系运行的基石,是防范金融风险,保持金融稳定,促进金融发展和推动经济社会和谐发展的基础。所谓征信就是信用信息服务,由第三方的征信机构依法采集、保存、整理、提供企业和个人的信用信息,满足从事放贷等信用活动的机构在信用交易中对客户信用信息的需要。同时,也在一定程度上为政府公共管理提供服务。征信系统是征信体系的核心,它的信息主要来源于商业银行等金融机构,收录的信息包括企业和个人的基本信息,在金融机构的借款、担保等信贷信息,以及企业主要的财务指标。自征信系统建设以来,在中国人民银行的积极努力下、在各金融机构和相关部门的配合下,扩大数据采集范围,提升系统功能。目前除了主要收录企业和个人的信贷信息外,还将收录企业基本信息、案件强制执行信息、缴纳各类社会保障费用和住房公积金信息、已公告的欠税信息、缴纳电信等公共事业费用信息等。
征信系统作为社会信用体系建设的重要组成部分,在国外已有170余年的历史。我国的企业征信行业经过10余年的发展,从无到有,逐渐壮大,形成了一定的规模,对经济发展和市场秩序规范发挥了积极作用。征信系统的建设和完善,对银行、企业,乃至整个社会的意义和作用日显突出。
对银行来说,首先,征信系统不但可以帮助商业银行核实客户身份,还可从信贷活动的原头杜绝信贷欺诈、保证信贷交易的合法性;其次是全面反映企业的信用状况,帮助商业银行确定是否提供贷款及贷款金额大小、利率高低等因素;再次,可以降低信息不对称的影响,节约调查成本,提高决策和服务效率,提高贷款的可能性。世界银行提供征信国家的经验显示,一家在加拿大的银行借助征信系统,处理贷款的时间从9天减少至3天;一家在荷兰的银行对小额贷款的时间由8小时降至15分钟;一家在美国的银行小企业贷款的平均处理成本从250美元减少到100美元。
对企业来说,由于纳入了社会信用体系,提高了信息透明度,从而提高了银行和企业贷款的可能性和决策效率,这有助于解决企业融资难的问题,同时也提高了企业和企业之间的信息的透明度,使更多的企业受惠。
对于整个社会而言,首先,利用征信系统遍布全国各地的网络及其对企业信贷交易等重大经济活动的影响,可以提高法院、税务、工商、海关等政府部门的行政执法力度;其次,通过征信系统的约束性和影响力,培养和提高企业及个人遵守法律、尊重规则、尊重合同、恪守信用的意识,提高社会诚信水平,建设和谐美好的社会。
关注信用记录,打造“经济身份证”
