安全審計培訓范文

時間:2023-06-16 17:39:22

導語:如何才能寫好一篇安全審計培訓,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。

安全審計培訓

篇1

為進一步加強對安全培訓機構的監督管理,促進安全培訓機構提高培訓質量和管理水平,根據《行政許可法》及《安全生產培訓管理辦法》(原國家安全監管局令第20號)、《國家安全監管總局關于印發〈一、二級安全培訓機構認定標準(試行)〉的通知》(安監總培訓〔*〕226號,以下簡稱《標準》),決定對*年資質到期的安全培訓機構進行復審檢查。現將有關事宜通知如下:

一、復審檢查目的及原則

通過復審檢查,進一步加強對培訓機構的監督管理,健全培訓質量評估機制,完善培訓網絡基地,促進培訓機構加大投入、改善條件、健全制度、改進方法,提高培訓質量。

復審檢查堅持公開、公平、公正和總量控制、合理布局、資源整合、動態管理的原則,嚴格按照《標準》對培訓機構進行復審考核和監督檢查,做到硬件與軟件相結合、定量與定性相結合、選樹示范與鞭策落后相結合。

二、復審檢查范圍

*年資質到期的91家一、二級安全培訓機構。

三、復審檢查內容

1.復審考核主要內容。培訓機構設置、注冊資金或開辦費、管理人員及辦公場所、教師、教學及生活設施等必備條件情況,以及培訓師資隊伍、教學研究、組織實施、業績和規章制度建設等情況。

2.監督檢查主要內容。培訓機構貫徹落實安全培訓有關規定、培訓收費、資質管理、合作辦班以及公務員在培訓機構兼職等情況。

四、復審檢查安排

1.培訓機構自查階段(7月1日至20日)。培訓機構按照《標準》進行自查,總結成績與經驗,查擺問題與差距,形成自查報告和現場復審檢查備查材料(見附件2)。

2.現場復審檢查階段(7月21日至8月31日)。國家安全監管總局人事培訓司組織現場評審專家組(每組設組長1人,成員2名)會同機構所在地省級安全監管監察部門,按照《標準》對培訓機構進行現場復審檢查。

3.評審結果確定階段?,F場復審檢查結束后,國家安全監管總局組織召開由培訓管理、紀檢監察等部門、現場評審專家組組長及其他有關專家參加的綜合評審會議,對培訓機構進行綜合評審,并將評審結果在國家安全監管總局網站上進行公示。公示期滿,對社會無異議、符合條件的,按照有關規定延期換發相應資質證書。

五、復審檢查方式

1.聽取匯報,座談交流。現場評審專家組要全面聽取復審機構自查情況匯報和當地省級安全監管監察部門意見,組織召開由復審機構主管策劃、管理、財務、后勤等工作的負責人以及培訓學員參加的座談會,聽取意見和建議。

2.查閱資料,現場檢查。現場評審專家組要深入現場進行實地檢查,既要核查培訓設施、培訓場地、后勤保證等硬件,又要核查文件資料、培訓檔案、管理制度等軟件,多渠道了解培訓情況。

3.反饋意見,整改提高?,F場復審檢查結束后,專家組要向復審機構通報現場復審檢查情況,提出整改建議和要求。復審機構要按照專家組意見制定整改措施,并組織落實。

4.發現典型,總結推廣。復審檢查中,要注意發現各單位在安全培訓方面的好經驗好做法,以便總結推廣。

六、復審檢查工作要求

1.有關培訓機構要高度重視復審檢查工作,加強領導,認真制定自查方案,深入細致地開展自查,發現問題及時解決,做好各方面準備工作。

2.現場評審專家要嚴格執行黨風廉政建設的有關規定,輕車簡從,廉潔自律,出發前要簽署《現場復審檢查公正、廉潔、保密承諾書》(見附件3)。

3.現場評審專家組要認真履行職責,本著公平、公正、廉潔、高效的原則,嚴格按照《標準》中的各項指標,逐條逐項進行檢查打分,不得泄露復審機構的商業秘密和復審分數。

4.現場評審專家與復審機構之間存在關聯的,應主動提出回避;復審機構發現本單位與現場復審檢查人員存在關聯的,有權提請其回避,對復審檢查工作存在疑義的,可向國家安全監管總局人事培訓司提出質詢,必要時,將組織專家重新復審。

篇2

一、信息安全概況

隨著信息技術的飛速發展,金融機構生產、使用和共享的信息呈現幾何增長的態勢,信息傳遞的方式和渠道急劇增加,在為金融機構帶來收益和效率的同時,也使信息安全問題更加凸顯。在全球范圍內,信息安全事件頻發,給銀行和客戶造成經濟損失的同時,也帶來了巨大的聲譽損失。如何有效提升信息安全管理水平,成為銀行關注的焦點。信息安全審計作為信息安全保障工作中的重要一環,能夠促進信息安全控制措施的落實,規范信息安全管理,提高全員信息安全意識,從而有利于保持和持續改進銀行信息安全能力和水平。

根據當前的信息安全管理體系國家標準GB/T22080-2008(等同采用ISO/IEC27001:2005),信息安全保障工作從整體看應包括四個階段:一是規劃和建設階段(Plan,簡稱“P階段”);二是實施和運行階段(Do,簡稱“D階段”);三是監視和評審階段(Check,簡稱“C階段”);四是保持和改進(Act,簡稱“A階段”)。這四個階段按順序循環往復,從而使信息安全得到持續改進。這種方法也被稱為“PDCA循環”,如圖1所示。

經過近十幾年的努力,金融行業信息安全保障工作已經普遍走過了“P階段”和“D階段”,金融行業的信息安全需求已基本明確,滿足信息安全需求的基礎設施也基本具備。經過大范圍的規劃建設,各金融機構已經建立了相對完備的信息安全軟硬件環境,初步形成了信息安全保障體系。盡管如此,作為關系國計民生的重要基礎產業,金融行業對信息安全有著更高的要求,也面臨著更大的信息安全風險挑戰。近年來,金融行業頻繁發生的信息安全事件表明,金融行業信息安全保障工作還存在很多缺陷和不足。導致這一局面的因素很多,其中一個重要的原因就是大家普遍重視信息安全的建設和運行,而忽視了信息安全工作的檢查和改進。從整體上看,金融行業信息安全保障工作已經走過“P階段”和“D階段”,尚未進入“C階段”和“A階段”,還沒有形成完整的基于“PDCA”過程方法的持續改進機制。接下來金融行業信息安全工作的重心應該轉向檢查和改進。信息安全審計是“C階段”的主要手段。它利用傳統財務審計和審計工作的規范與嚴謹,結合信息和保密技術的工具與手段,對金融機構信息安全工作的成效和不足給出客觀、確定的審計結論,并根據審計結果,對金融機構的信息安全保障工作提出改進措施、給出合理化建議。

為了對商業銀行信息科技整個生命周期內的信息安全、業務連續性管理和外包等主要方面提出高標準、高要求,滿足商業銀行信息科技風險管理的需要,銀監會2009年了《商業銀行信息科技風險管理指引》,其中第六十五條規定:“商業銀行應根據業務性質、規模和復雜程度,信息科技應用情況,以及信息科技風險評估結果,決定信息科技內部審計范圍和頻率。但至少應每三年進行一次全面審計?!?/p>

二、國內外信息安全審計現狀

(一)國外信息安全審計發展與現狀

在建立信息安全審計制度,開展信息安全審計研究方面,美國走在了世界前列。早在計算機進入實用階段時,美國就開始提出系統審計(SYSTEMAUDIT)概念。1969年在洛杉磯成立了電子數據處理審計師協會(EDPAA),1994年該協會更名為信息系統審計與控制協會(ISACA),總部設在美國芝加哥。自1978年以來,由ISACA發起的注冊信息系統審計師(CISA)認證計劃已經成為涵蓋信息系統審計、控制與安全等專業領域的被廣泛認可的標準。目前該組織在世界上100多個國家設有160多個分會,現有會員兩萬多人。

1999年,美國國家審計署(GAO)《聯邦信息系統控制審計手冊》(第一版),為美國聯邦政府實施信息安全審計提供基本準則和方法。2001年,GAO《聯邦信息系統安全審計管理的計劃指南》,用于為美國聯邦政府實施信息安全審計提供具體指導;2009年,GAO《聯邦信息系統控制審計手冊》(第二版),該手冊成為現階段美國聯邦政府實施信息安全審計的事實標準。

近年來,美國通過立法賦予信息安全審計新的意義,并對企業實施信息安全審計產生重大影響。2002年,美國安然公司和世通財務欺詐案爆發后,美國國會和政府緊急通過了《薩班斯——奧克斯利法案》(Sarbanes-OxleyAct,簡稱薩班斯法案)。薩班斯法案第302條款和第404條款明確要求“,通過內部控制加強公司治理,包括加強與財務報表相關的IT系統內部控制,而信息安全審計正是IT系統內部控制的核心。”2006年底生效的《巴塞爾新資本協議(》BaselII),要求全球銀行必須針對其市場、信用及營運等三種金融作業風險提供相應水準的資金準備,迫使各銀行必須做好風險控管,而這一“金融作業風險”的防范也正是需要業務信息安全審計為依托。

近一段時期,以美國、加拿大、澳大利亞為主的西方國家,針對不同的組織機構,以不同的信息安全審計方式,卓有成效地開展了包括信息系統計劃與技術構架、信息安全保護與災難恢復、軟件系統開發、獲得、實施及維護、商業流程評估及風險管理等方面的信息安全審計。

具體來說,針對各類企業的信息安全審計,采取了以內部審計為主,從關注安全向關注業務目標過渡,一般控制審計與應用控制審計相結合的方式;針對政府機構的信息安全審計,強調外部審計與政府內部審計結合,融入績效預算管理體系,關注系統最終效果。

在亞洲,日本的信息安全審計始于20世紀80年代。1983年,通產省公開發表了《系統審計標準》,并在全國軟件水平考試中增加了“系統審計師”一級的考試,著手培養從事信息系統審計的骨干隊伍。近幾年,東南亞各國也開始制定電子商務法規,成立專門機構開展信息系統審計業務,并制定技術標準。

(二)我國信息安全審計發展與現狀

近年來,我國的信息安全審計日益受到重視,審計署以及一些大型國有銀行也相繼開展了信息安全方面的審計工作。信息系統審計規范的研究和制定方面,我國已建成了一套比較成熟規范的法規、準則體系,但在信息系統及信息安全審計方面,雖有《內部審計具體準則第28號——信息系統審計》(中國內部審計協會2008年)以及審計署對信息系統審計相關法規、準則的規劃及研究,但尚未形成系統的法規、準則和技術標準體系。

三、金融行業信息安全審計組織與實施

金融行業的信息安全審計(InformationSecurityAudit),是指金融機構為了掌握其信息安全保障工作的有效性,根據事先確定的審計依據,在規定的審計范圍內,通過文件審核、記錄檢查、技術測試、現場訪談等活動,獲得審計證據,并對其進行客觀的評價,以確定被審計對象滿足審計依據的程度所進行的系統的、獨立的并形成文件的過程。金融機構可以單獨實施信息安全審計,也可以將信息安全審計作為其他相關工作的一部分內容聯合實施。如IT審計、信息安全等級保護建設、信息安全風險評估、信息安全管理體系建設等。審計的工作流程和內容大致包括六個方面的活動(如圖2所示)。

1.確定審計目的和范圍。金融機構實施信息安全審計,首先要明確審計目的,確定審計范圍。審計目的是信息安全審計工作的出發點。審計目的可以從滿足監管部門的要求、滿足信息安全國際國內標準的要求、滿足機構自身信息安全工作要求等合規性方面考慮。明確了審計目的,然后要確定審計范圍。審計范圍是影響審計工作量的一個重要因素。確定審計范圍,可以從組織機構考慮,如僅對個別部門實施審計,或者在組織全部范圍實施審計;也可以從業務和系統角度考慮,如僅對核心系統實施審計,或者僅對信貸業務實施審計等。

2.明確審計依據。審計依據就像一把“尺子”,審計人員用它來衡量信息安全工作的“長短”。審計目的不同,審計依據就可能不同,如表1中所示。

3.組建審計組。審計組是具體實施信息安全審計工作的基本組織單位,應由審計組長和審計員組成。管理良好的審計組是信息安全審計工作順利實施并達成審計目的的保障。審計組長應由金融機構內部審計部門的管理者任命。負責編制審計方案和審計計劃,選擇審計員,管理審計小組,與被審計對象溝通等。審計組長應具備較強的項目管理能力,熟悉被審計對象的業務和系統,了解被審計對象面臨的信息安全風險和常用的風險控制措施。審計員應選擇責任心強、公正、獨立、熟悉業務的人員擔任,避免審計員與被審計對象存在利害關系,以免影響審計結果的公正性。正式實施信息安全審計前,應對審計組成員進行培訓。

4.實施現場審計。審計準備工作就緒后,則可以實施現場審計?,F場審計是一項復雜的系統工程,具有較強的不確定性。因此,現場審計應根據事先編制的審計方案和審計計劃執行,審計過程中還要做好變更控制?,F場審計往往由首次會議開始,至末次會議結束。在首次會議上,審計組長應向被審計單位闡明此次審計的目的、范圍、依據和審計計劃,并提出需要被審計單位配合的事項。末次會議上,審計組長向被審計單位說明審計發現,報告審計初步結果,并與被審計單位就初步審計結果達成一致。現場審計方法通常包括:現場訪談、審閱文件、查看記錄、系統檢查和測試等。在系統檢查和測試過程中,可能需要相關的審計工具,如系統漏洞掃描器、數據庫安全審計系統、桌面終端配置檢查工具、網絡安全檢查工具、惡意軟件掃描器等?,F場審計過程中,應做好文檔化工作。對所發現的審計證據應進行詳細記錄,并與被審計單位人員進行現場確認?,F場審計應注意方式方法,就意見不一致的問題先做好記錄,避免現場與被審計單位人員發生爭執。

篇3

【 關鍵詞 】 互聯網;安全;防御;威脅

Key Measures of the "Internet +" Under the New Normal, Safe Operation of the Internet

Xiong Wei

(CPC Hunan Provincial Committee Party School HunanXiangtan 410006 )

【 Abstract 】 With cloud computing, distributed computing, rapid development of mobile computing technology and improve the development of a new generation of computer technology gave birth to the "Internet +" era, to achieve widespread popularity of the Internet in industrial production, commerce, and virtual reality in and achieved remarkable results. "Internet +" era of many types of network applications, applications scale complex and require strict network security management system and preventive measures, in order to be able to improve network security defense capabilities to ensure the normal application of network security.

【 Keywords 】 internet; security; defense; threats

1 引言

目前,隨著新一代信息技術地發展和改進,其催生了物聯網、社會計算、云計算、大數據、移動計算等技術,進而實現了網絡創新2.0,推動了創新2.0的改革和演變,形成了體驗實驗區、個人創造實驗室、應用創新園區、維基模式等應用系統的誕生,實現了傳統行業與互聯網融合發展,形成了“互聯網+”時代的新業態和新形態?!盎ヂ摼W+”時代促進了各類基于網絡的應用系統誕生和普及,以云計算、物聯網、車聯網、大數據為代表的新一代信息技術與工業制造、生產服務、金融經濟融合創新,打造了新的產業增長點,為大眾創業、萬眾創新提供了新的環境,支撐產業智能化、經濟發展創新化發展。隨著人類信息化社會進入“互聯網+”時代,互聯網應用規模迅速上升,復雜程度也大幅度增加,互聯網新常態下面臨了更多的安全威脅,具體表現在幾個方面。

(1)“互聯網+”時代安全威脅更加智能。“互聯網+”時代的到來,促進了網絡木馬、病毒和黑客攻擊技術的提升,導致網絡安全威脅日趨智能化,能夠發現互聯網應用系統存在的、更加隱蔽的風險和漏洞進行攻擊。

(2)“互聯網+”時代安全威脅傳播范圍廣、速度快。“互聯網+”時代,云計算技術、分布式計算技術、移動計算技術使更多的網絡節點通過光纖網絡連接在一起,如果一個網絡節點存在漏洞被安全威脅攻擊,則將在更短的時間內感染其他節點,產生更大的損失。

因此,為了能夠提高“互聯網+”時代網絡安全管理成效,需要創新網絡安全管理體系和模式,全方位實現網絡安全漏洞掃描和風險評估,對“互聯網+”安全管理涉及的節點資源進行審計,采用主動防御技術實現網絡安全管理,具有重要的作用和意義。

2 互聯網安全管理體系創新及其模式

2.1 網絡安全風險評估

網絡安全風險評估可以有效評估網絡軟硬件資源受到的威脅,以便能夠將安全威脅控制在可接受的范圍內。網絡安全風險評估是確定計算機網絡中是否存在潛在威脅和攻擊事件的重要工具。網絡安全風險評估包括五種基本要素,分別是資產、威脅、脆弱性、信息安全風險和安全措施。資產是指計算機網絡節點使用的、有價值的固定設備、軟件系統等有形或無形的資產。威脅是指可能對資產造成損害的一些潛在的攻擊事件或非法事件,威脅可以使用主體、動機、資源和途徑等多個屬性進行聯合刻畫。脆弱性是指可能被威脅利用的薄弱環節或漏洞,其可以對資產造成損失。信息安全風險包括自熱因素造成的風險或人為因素造成的風險,能夠利用計算機軟硬件存在的漏洞攻擊計算機網絡,破壞網絡的安全性。安全措施是指為了能夠防御計算機信息系統遭到破壞,以便能夠采用入侵檢測、防火墻等具體的措施,保護資產安全,防御安全攻擊事件發生,并且能夠用來打擊犯罪,其包括各類規范、防御技術等。

2.2 網絡安全審計

網絡安全審計可以通過數據采集、數據分析、安全審計響應等過程,能夠獲取網絡操作系統的使用狀況和設備狀態信息,并且可以將采集到的數據進行統一變換,實施預處理,接著使用數據分析技術,按照既定的安全審計規則,鑒別數據中存在的異常行為、非法行為。安全審計分析完成之后,可以根據安全審計的結果做出相關的響應操作,安全審計響應主要包括主動響應和被動響應。安全審計系統檢測到網絡中存在的異常行為之后,安全審計系統不主動做出響應;安全審計系統通過發出異常檢測報警,可以通過告警彈窗、發送短消息、郵件等到管理員處,由其他人員或者安全設備采取預防或改進措施。

2.3 網絡主動防御系統

傳統的網絡安全通常采用訪問控制列表、防火墻、包過濾、入侵檢測等技術,雖然能夠阻止網絡木馬、病毒和黑客的攻擊。但是隨著“互聯網+”時代的到來,網絡安全威脅技術日趨智能,傳播速度越來越快,感染范圍也越來越廣泛,傳統網絡安全防御已經無法滿足“互聯網+”時代網絡安全管理需求,因此在網絡安全管理過程中,可以采用網絡安全主動防御技術提高網絡安全管理能力。網絡安全主動防御技術主要包括預警、防護、檢測、響應、恢復和反擊六種,將這六種技術有機集成在一起,分布于網絡安全防御的不同層次,構建深度防御體系,能夠及時地發現大數據時代網絡中非法入侵信息和不正常數據,以便能夠及時地對攻擊行為進行阻斷、反擊,恢復網絡至正常的運行狀態。

3 互聯網安全運營的關鍵措施

3.1 管理措施

“互聯網+”時代,網絡應用系統使用制度具有較為重要的作用,許多計算機網絡安全專家提出,網絡安全七分防御、三分管理,因此可以甚至網絡安全管理制度在安全管理過程中,具有不可替代的作用。網絡安全應用用戶越來越多,網絡安全操作用戶大部分非計算機專業人才,因此需要建立健全管理制度,以便能夠規范網絡用戶操作,強化用戶網絡安全防御技術培訓,定期對網絡系統進行安全漏洞掃描和評估,并且制定網絡安全防御策略,使得網絡安全管理制度融入到工作、生活和學習過程中,通過學習、培訓,提高用戶的安全意識,增強用戶的警覺性。

3.2 技術措施

網絡安全主動防御技術主要包括安全預警、安全保護、安全監測、安全響應、網絡恢復和網絡反攻擊等六種。網絡安全預警可以有效地對網絡中可能發生的攻擊進行警告,包括漏洞預警、行為預警、攻擊趨勢預警等措施,預知網絡未來可能發生的網絡攻擊。網絡安全保護可以采用多種手段,保護網絡安全系統的機密性、可用性、完整性、不可否認性和可控性,網絡安全保護措施主要包括防病毒軟件、防火墻服務器、虛擬專用網等技術。網絡安全監測的主要目的是能夠及時地發現網絡中存在的攻擊信息,以便能夠檢測網絡中是否存在非法信息流,檢測網絡服務系統是否存在安全漏洞等,以便能夠實時地應對網絡安全攻擊,網絡安全監測技術包括入侵檢測技術、網絡安全掃描技術和網絡實時監控技術。

網絡安全響應能夠對網絡中存在的病毒、木馬等安全威脅做出及時的反應,以便進一步阻止網絡攻擊,將網絡安全威脅阻斷或者引誘到其他的備用主機上。網絡恢復技術可以為了保證網絡受到攻擊之后,能夠及時地恢復系統,需要在平時做好備份工作,常用的備份技術包括現場外備份、現場內備份和冷熱備份等。網絡安全反擊技術是主動防御系統最為重要的特征之一,其可以對網絡攻擊源進行有效的反擊,網絡安全反擊綜合采用各類網絡攻擊手段,確保網絡高效服務用戶。

4 結束語

隨著“互聯網+”時代的到來,網絡安全攻擊技術更加智能、傳播速度更快、影響范圍更加廣泛,構建和實現新的網絡安全管理系統,可以全方位實現網絡安全防御。

參考文獻

[1] 郭威,曾濤,劉偉霞.計算機網絡技術與安全管理維護的研究[J]. 信息通信, 2014, 32(10):164-164.

[2] 田紅廣.如何加強計算機網絡的安全管理和安全防范[J].軟件, 2014, 26(1):92-93.

[3] 蔡艷.探討數據挖掘技術在網絡信息安全管理中的應用[J]. 網絡安全技術與應用, 2013, 21(10):58-58.

篇4

一、 道路交通安全長效管理機制內涵

道路交通事故通常指人、車在道路上通行時,由于違反交通規則或其它原因發生人員、牲畜和車、物損失的事件?!吨腥A人民共和國道路交通安全法》中對“交通事故”的定義是指車輛在道路上因過錯或者意外造成的人身傷亡或者財產損失的事件。由法律定義引申,筆者認為道路交通安全長效管理機制的內涵應該為:在道路交通的執行、管理過程中能有效預防事故,保證道路交通的順利進行,并能對今后一段時期的道路交通安全工作產生積極影響的運行方式、管理模式和監督體制的總和。而這種長效管理機制首先是切實可行,而又長期有效的;它所形成的規范性條款和規定,并不只局限于現任,無需隨人員的流動或機構的變遷而動。因此它必須具有以下五個特性:

長期性在立法思路、管理策略和采取的措施上,管理效應會對今后相當長一段時期的工作產生影響,而不是一種短期行為。

系統通安全長效管理機制豐富的內涵決定了必須有多項的措施保證其功能的實現。這是一個系統共同作用而產生的效果,不是單一的措施就能完成的。

根本性立足防范,從治本上研究和考慮立法思路、管理策略和采取的措施。

自主性這種機制所產生的效果能使生產經營主體真正形成自我管理的意識,形成自我約束的機制。

有效性有效性是建立長效管理機制的最終目的,只有在實踐的過程中,才能檢驗其存在的真正價值。

二、道路交通安全長效管理機制的構建

筆者認為,構建福建省道路交通安全長效管理機制應從七個層面加以思考,即建立健全四個體系、引進一個制度、實現兩個創新。

(一)建立健全交通安全相關的法律法規體系

當前,應盡快做好道路交通安全主法的配套和細化工作。一要盡快制定和出臺有關單行法規、條例;二要結合實際,通過地方立法,補充和完善道路交通安全法律體系,如對交通主管部門機構設置和人員配置及對交通安全行政執法和處罰進行細化等;三要加強交通安全立法理論研究和司法總結,擴大交通安全立法的公開性、民主性和廣泛性。

(二)建立健全安全目標管理體系

1、加強各級人員對道路交通安全目標管理的認識。道路交通企業領導對安全目標管理要有深刻的認識,要深入調查研究,結合本單位實際情況,制定企業的總目標,并參加全過程的管理;加強對中層和基層干部的思想教育,提高他們對安全目標管理重要性的認識和組織協調能力;還要加強對職工的宣傳教育,普及安全目標管理的基本知識與方法。

2、安全目標管理需要全員參與。安全目標管理是以目標責任者為主的自主管理,因此,必須充分發動群眾,將企業的全體員工科學地組織起來,實行全員、全過程參與,才能保證安全目標的有效實施。

3、安全目標管理需要責、權、利相結合。實施安全目標管理時要明確職工在目標管理中的職責。同時,要賦予他們在日常管理上的權力,還要給予他們應得的利益,責、權、利的有機結合才能調動廣大職工的積極性和持久性。

4、安全目標管理要與其他安全管理方法相結合。在實現安全目標過程中,要依靠和發揮各種安全管理方法的作用,如建立安全生產責任制、制定安全技術措施計劃、開展安全教育和安全檢查等。只有兩者有機結合,才能使企業的安全管理工作做得更好。

(三)建立健全交通部門的預警體系

長期以來,道路交通安全部門的安全管理基本是單一的反饋控制模式。這種模式主要體現了事后把關的安全管理思想,即主要通過對已發生的事故和事故苗子等進行分析,找出原因,然后制定實施對策。隨著道路里程的增加和交通工具密度日益增大,交通運輸生產的系統復雜度和風險度顯著提高。這種單一的管理模式,已經遠遠不能適應現代安全管理的需求。

因此有必要構建先進的交通安全預警系統,綜合利用現有的交通運輸系統安全信息,針對交通運輸生產系統本身或其輸入發生的變化,在其影響運輸生產安全之前就事先將對其可能造成的影響進行分析評價,開展事故安全預測,及時向交通安全部門反饋信息,使其能夠根據得到的前饋信息,科學預見交通運輸生產系統及其要素的安全態勢,采取合理措施對交通運輸生產系統的人、機、環境、管理等四個要素進行事前協調,把事故消滅在萌芽之中,防患于未然。

(四)建立健全道路交通信息化體系

1994年,福建省交通信息化工作開始實施"三步走"的發展戰略。目前已經實現了第一步:普及計算機和推廣應用信息技術的基礎工作;第二步也基本完成:部份數據庫和局域網的建設,基本實現《福建省道路、水運交通信息化1998-2000發展規劃》中提出的目標,全行業信息技術應用達到一定水平。

作為第三步任務目標是建設“數字交通”。它是以我省交通為對象的數字化、網絡化、可視化和智能化的信息集成及應用系統。著力在五個領域取得進展,實現交通政務信息化;交通基礎設施建設與管理信息化;交通運輸生產管理信息化;交通產品營銷信息化;交通科學技術信息化。重點實施交通信息化"123重點工程":抓好電子政務建設;力爭在智能運輸系統(ITS)和物流兩個領域有實質性突破;開發、推廣、應用高速道路聯網收費、交通基礎設施建設質量安全監控、交通公共信息服務三個系統。

(五)引進道路安全審計制度

道路安全審計是有效預防和降低交通事故的重要手段之一。首先,“預防重于治理”,道路建設項目的各個階段實行安全審計是從源頭預防交通事故的重要措施,;其次應盡快開展道路安全審計的法規研究,明確道路安全審計的程序和安全審計人員的責任、義務及權益;第三,要加緊加快道路安全審計指標體系的研究,從而形成一套較完善的評價標準;第四,培育道路安全審計隊伍及建立相應機構,保證審計人員獨立公正地開展工作。

(六)實現交通科技創新

未來交通發展的重點是擴充能力、優化結構、提高質量、改善服務、保障安全、保護環境,任務十分艱巨??茖W技術是第一生產力,是交通發展的重要推動力量,對交通發展將產生重大影響。充分依靠科技進步,全面提升交通行業的科技含量,是走新型工業化道路、實現交通更快更好發展的必然選擇。

構建智能交通管理指揮系統結構,其總體目標應為:以信息技術為主導,以計算機通信網絡和智能化指揮控制管理為基礎,初步建成集高新技術應用為一體的智能化道路交通管理體系,基本實現交通指揮現代化、管理數字化、信息網絡化、辦公自動化,進而實現交通管理決策科學化、交通指揮調度信息化、城市快速路網交通管理智能化、交通信號控制自動化以及實現交通管理電子警務和電子政務。

(七)推進安全文化創新

1、進行安全知識教育。安全教育包括新工人上崗教育、事故案例教育、違章教育等等。進行職工的安全知識教育一是要堅持全員教育和重點教育相結合的原則,根據不同的教育對象,授以不同的教育內容和提出不同的要求。

篇5

十幾年來,勤勞智慧的藍盾人憑借高度民族使命感和責任感,自主研發出十個系列、近50個型號的產品,多項產品通過公安、保密、軍隊等權威主管部門的檢測認證。

藍盾擁有AAA級企業信用等級,在經營活動中始終堅持“誠信服務”,追求細致卓越,高效服務客戶,以客戶需求為導向,在發展過程中逐步形成了涵蓋安全產品研發及銷售、安全集成及安全服務的完整業務體系,形成了強大的綜合服務能力。藍盾已成為一家安全產品、安全服務、安全集成多業務齊頭并進的綜合性信息安全企業。

藍盾建立了以廣州營銷總部為中心,以北京、上海、重慶為支點,輻射全國的營銷和技術服務體系。作為華南地區信息安全第一品牌,藍盾目前已擁有覆蓋全國,涉及政府、電信、金融、軍隊、能源、交通、教育、流通、郵政、制造等行業的近千余家客戶。藍盾雄厚的實力和一流的服務為公司贏得了廣大客戶的高度贊譽。

1.安全產品

藍盾擁有包括安全網關、安全審計、應用安全在內的三大類、十大系列、50多個品種的安全產品線,可基本滿足客戶在網絡邊界安全、安全審計與合規、應用安全等方面的信息安全需求。

2.安全集成

作為主營業務之一,藍盾安全集成業務包括自有的和第三方的信息系統安全產品銷售、基礎信息系統建設、應用信息系統開發、信息系統運維服務、信息系統安全運營等。藍盾已為政府、教育、金融、電力、醫療等行業的多家客戶提供了信息安全系統整體解決方案。

有別于傳統的系統集成業務,藍盾安全集成業務以公司自有信息安全產品和業務整合為基礎,以信息系統安全運營服務平臺為基礎結構,建立了覆蓋產品研發、方案設計、銷售和集成、工程實施、管網建設和運營服務的一整套信息系統安全運營業務支持體系,成功實現了從傳統信息系統集成業務到以信息安全產品為基礎、提供信息系統安全運營整體服務的戰略跨越,從而確立了公司整體解決方案在信息安全市場中的領先地位。

3.安全服務

藍盾提供的安全服務主要包括安全咨詢與評估、專業化安全檢測與防護、安全認證培訓服務、安全運營及管理、安全技術支持等。經過多年積累,藍盾已為上百家客戶提供了專業化的服務,構建了覆蓋不同行業客戶及客戶不同發展階段的信息安全服務體系。

信息安全產品的研發、生產和銷售是藍盾業務體系的基礎。它對信息安全集成及信息安全服務的發展起著至關重要的作用。安全產品業務能夠有效促進公司安全集成與安全服務業務的實現和業務量的提升。安全集成與安全服務業務同時還會促進安全產品技術和應用水平的提升。隨著技術實力和安全產品競爭力的提高,藍盾提供整體解決方案的能力也在逐漸增強。在安全集成業務收入快速增長的同時,藍盾自有安全產品的銷售額也在快速增加。

技術創新 締造優勢

藍盾始終以自主創新為發展原動力,以領先的技術研發搶占市場。經過多年的探索和積累,藍盾已掌握了信息安全領域內的主要核心技術,并擁有該領域內近百項軟件著作權。藍盾目前掌握的主要技術處于國內領先地位,其中藍盾DDoS防御網關采用的零積累智能識別技術達到了國際先進水平。

憑借領先的技術實力,藍盾先后實施了包括公安部科技攻關項目在內的多項國家級、部級、省市區級的重點信息安全科研項目,并在公安部等部委制定服務器安全類產品和安全審計類產品行業技術標準的過程種發揮了重要作用。

此外,藍盾還成功地為北京奧運會和殘奧會提供了信息安全產品和服務,并因此獲得了北京奧組委頒發的榮譽獎章。

專業資質 彰顯實力

安全行業是國家強制性保護的行業,獲得資質或許可的多少是衡量信息安全企業競爭實力的重要標準。

藍盾具有技術優勢及綜合服務能力,已擁有商用密碼產品銷售許可證、軍隊網絡采購信息資格認證、信息系統產品檢測證書、軍用信息安全產品認證證書、產品銷售許可證、中國信息安全認證中心產品認證證書、廣州市自主創新產品證書,并取得了計算機信息系統安全服務一級資質證書、計算機信息系統集成一級資質證書、計算機信息系統集成乙級證書、信息安全應急處理服務資質、信息安全風險評估服務資質等業務資質,還獲得了包括信息安全產品、信息安全集成及信息安全服務在內的所有業務類別的較高級別資質和許可,是業內獲得資質和許可最全的企業之一。

綜合服務 鑄就品牌

藍盾的各業務模塊能相互促進,共同發展,從而形成了較強的綜合服務能力。

藍盾的信息安全產品可滿足客戶在網絡邊界安全、安全審計與合規、應用安全等方面的信息安全需求,并能為客戶設計和實施信息安全方面的整體解決方案,滿足客戶系統化、個性化的安全需求。

此外,藍盾還可以為客戶提供安全咨詢與評估、安全檢測與防護、安全認證培訓服務等專業化的安全服務。藍盾完整的業務體系及豐富的產品種類可滿足不同行業客戶的信息安全需求,增強公司的綜合競爭力。

藍盾建立了輻射全國的營銷和技術服務體系,這為公司掌握信息安全領域的最新市場動態、及時響應客戶需求提供了重要保證。

客戶穩定 促進增長

信息安全行業的特殊性決定了下游客戶對信息安全提供商存在一定的依賴性。隨著社會各界對信息安全要求的逐步提高,下游客戶在信息安全系統建設和升級的過程中會對安全產品、安全集成及安全服務產生交叉消費和重復消費。

因此,下游用戶對信息安全領域的投入是持續性的。藍盾現有的客戶資源既是穩定的業務來源,也是宣傳品牌、擴大影響力的最好載體,這有利于新市場及新客戶的開拓,也為公司的持續盈利提供了重要保障。

精英匯聚 引領成功

篇6

關鍵詞:信息管理系統 信息安全 系統安全建設

中圖分類號:TP39 文獻標識碼:A 文章編號:1003-9082(2014)03-0001-02

一、引言

隨著全球信息化不斷在我國深化和發展,我國各地區、各行業使用信息系統開展工作的比例越來越大。一般來說,信息化程度越高,對信息管理系統的依賴性就越強,信息安全問題就越為突顯和嚴重。而信息安全問題也正逐漸成為影響各企事業單位業務能否正常運行、生產力能否快速發展的重要因素之一。但是由于我國信息化建設起步相對較晚,與國外先進國家相比,無論在信息安全意識還是信息安全防護技術等諸多方面都還存在較大差距,各企事業單位的信息安全基本上均處于一個相對較為薄弱的環節。一旦信息管理系統中的個人信息和敏感數據發生丟失或者泄漏,可能會對自身造成無可估量的損失。因此,重點保障信息管理系統安全已成為各行各業的首要任務。信息管理系統安全建設應該系統地、有條理地進行全面規劃,充分地、全方位地考慮安全需求和特性,從而達到各種安全產品、安全管理、整體安全策略和外部安全服務的統一,發揮其最大的效率,給予信息管理系統以最大保障。

二、信息管理系統安全建設原則

1.安全體系兼容性

安全體系有一個重要的思想是安全技術的兼容性,安全措施能夠和目前主流、標準的安全技術和產品兼容。

2.信息管理系統體系架構安全性

系統的系統架構已經成為保護系統安全的重要防線,一個優秀的系統體系架構除了能夠保證系統的穩定性以外,還能夠封裝不同層次的業務邏輯。各種業務組件之間的“黑盒子”操作,能夠有效地保護系統邏輯隱蔽性和獨立性。

3.傳輸安全性

由于計算機網絡涉及很多用戶的接入訪問,因此如何保護數據在傳輸過程中不被竊聽和撰改就成為重點考慮內的問題,建議采用傳輸協議的加密保護。

4.軟硬件結合的防護體系

系統應支持和多種軟硬件安全設備結合,構成一個立體防護體系,主要安全軟硬件設備為防火墻系統、防病毒軟件等。

5.可跟蹤審計

系統應內置多粒度的日志系統,能夠按照需要把各種不同操作粒度的動作都記錄在日志中,用于跟蹤和審計用戶的歷史操作。

6.身份確認及操作不可抵賴

身份確認對于系統來說有兩重含義,一是用戶身份的確認,二是服務器身份的確認,兩者在信息安全體系建設中必不可少。

7.數據存儲的安全性

系統中數據存儲方面可以采取兩道機制進行的保護,一是系統提供的訪問權限控制,二是數據的加密存放。

三、信息管理系統安全建設內容

按照系統安全體系結構,結合安全需求、安全策略和安全措施,并充分利用安全設備包括防火墻、入侵檢測、主機審計等,其建設內容主要有:

1.物理安全

機房要求保護計算機設備、設施(含網絡)以及其它媒體免遭地震、水災、火災、有害氣體和其它環境事故(如電磁污染、電源故障、設備被盜、被毀等)破壞。

2.網絡安全

利用現有的防火墻、路由器,實行訪問控制,按用戶與系統間的訪問規則,決定允許或拒絕用戶對受控系統進行資源訪問。同時加強端口、拒絕服務攻擊、網絡蠕蟲等的監控,保障系統網絡運行的暢通。

2.1使用防火墻技術

通過使用防火墻技術,建立系統的第二道安全屏障。例如,防止外部網絡對內部網絡的未授權訪問,建立系統的對外安全屏障。最好是采用不同技術的防火墻,增加黑客擊穿防火墻的難度。

2.2使用入侵監測系統

使用入侵監測系統,建立系統的第三道安全屏障,提高系統的安全性能,主要包括:監測分析用戶和系統的活動、核查系統配置和漏洞、評估系統關鍵資源和數據文件的完整性、識別已知的攻擊行為、統計分析異常行為、操作系統日志管理,并識別違反安全策略的用戶活動等功能。

3.主機安全

系統主機安全從主機身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范和資源控制等方面考慮。

3.1主機身份鑒別

對登錄操作系統的用戶進行身份設別和鑒別,對操作系統和數據庫系統設置復雜的登錄口令,并且定期進行更換。同時對操作系統和數據庫用戶分配不同的用戶分配不同用戶名。

3.2訪問控制

通過三層交換機和防火墻設置對系統服務器的訪問控制權限。對服務器實現操作系統和數據庫系統特權用戶的權限分離,限制默認賬號的訪問權限,重命名系統默認賬戶,修改默認密碼。

3.3安全審計

服務器操作系統本身帶有審計功能,要求審計范圍覆蓋到服務器上的每個操作系統用戶,審計內容包括重要用戶行為、系統資源異常使用并進行記錄。

信息管理系統也應考慮安全審計功能,記錄系統用戶行為,系統用戶操作事件日期、時間、類型、操作結果等。

3.4入侵防范

利用入侵檢測系統和防火墻相應功能,檢測對服務器入侵行為,記錄入侵源IP、攻擊的類型、攻擊的目標、攻擊時間,并在發生嚴重的入侵事件時提供報警。

3.5惡意代碼防范

在服務器上安裝服務器端防病毒系統,以提供對病毒的檢測、清除、免疫和對抗能力。

3.6資源控制

在核心交換機與防火墻配置詳細訪問控制策略,限制非法訪問。

4.應用安全

4.1安全審計

信息管理系統應提供覆蓋到每個用戶的安全審計功能,對應用系統重要安全事件進行審計,審計記錄內容至少包括事件的日期、時間、發起者信息、類型、描述和結果等,保證無法刪除、修改或覆蓋審計記錄。

4.2資源控制

信息管理系統應限制用戶對系統的最大并發會話連接數、限制單個賬戶的多重并發會話、限制某一時間段內可能的并發會話連接數。

5.數據安全

系統數據安全要求確保管理數據和業務數據等重要信息在傳輸過程和存儲過程中的完整性和保密性。對于數據庫中的敏感數據,需對數據項進行加密,保證管理數據、鑒別信息和重要業務數據在傳輸過程與存儲過程中完整性不受到破壞。

對數據進行定期備份,確保存儲過程中檢測到數據完整性錯誤時,具有數據恢復能力。必須采用至少兩種手段進行備份,備份手段以整體安全備份系統為主,配合其他備份手段,如GHOST、TRUE IMAGE或操作系統和數據庫管理系統本身的備份服務等。備份具體要求如下:

5.1各服務器專職管理員根據所管服務器的具體情況與整體安全備份系統專職管理員協調制訂好所管服務器的備份計劃及備份策略。

5.2整體安全備份系統專職管理人員必須組織各服務器專職管理員對各服務器每個季度進行一次整體災備(冷備)。若某臺服務器的配置需要發生較大變更,該服務器的專職管理員應在對該服務器實施變更前和圓滿完成變更后,分別對該服務器做一次整體災備,必要時整體安全備份系統專職管理員需對整體災備提供協助。

5.3數據備份主要分為月備份、周備份、日備份及日志(增量)備份。月備份每月對各服務器的所有系統、目錄及數據庫做一次全備(熱備)。周備份每周對各服務器的所有系統、目錄及數據庫做一次全備(熱備)。日備份每天對各服務器的重要目錄及數據庫做一次備份。日志(增量)備份針對數據更新較頻繁的服務器,每天進行多次增量備份。

5.4除日志(增量)備份外,其它各種備份以每一次獨立執行的備份作為一個獨立版本。每個獨立版本的備份必須存儲在獨立的備份介質上,不能混合存儲在同一套備份介質。整體災備(冷備)和月備份一般要求保留至少能覆蓋當年及上一年全年時間的所有版本,周備份要求保留至少最近5個版本,日備份要求保留至少最近4個版本,日志(增量)備份保留至少自上一次周備份以來的所有版本。

5.5備份介質應放在機房以外安全的地方保管。所有備份介質必須有明確、詳盡的標簽文字說明。

5.6整體安全備份系統專職管理員必須定時檢查備份作業的運行情況,備份異常情況應盡快查明原因,解決問題并在值班登記本上詳細記錄。

四、安全制度建設

建設嚴格、完整的基本管理制度包括安全管理制度、安全管理機構、人員安全管理、系統建設管理和系統運維管理機制幾個方面。

安全管理制度:包括安全策略、安全制度、操作規程等的管理制度;管理制度的制定和;管理制度的評審和修訂。

安全管理機構:包括職能部門崗位設置;系統管理員、網絡管理員、安全管理員的人員配備;授權和審批;管理人員、內部機構和職能部門間的溝通和合作;定期的安全審核和安全檢查。

人員安全管理:包括人員錄用;人員離崗;人員考核;安全意識教育和培訓;外部人員訪問管理。

系統建設管理:包括系統定級;安全方案設計;產品采購和使用;自行軟件開發;外包軟件開發;工程實施;測試驗收;系統交付;系統備案;等級測評;安全服務商選擇。

系統運維管理:包括機房環境管理;信息資產管理;介質管理;設備管理;監控管理和安全管理中心;網絡安全管理;系統安全管理;惡意代碼防范管理;密碼管理;變更管理;備份與恢復管理;安全事件處置;應急預案管理。

五、結束語

信息化建設已經涉及到國民經濟和社會生活的各個領域,信息管理系統也成為各行各業信息化建設發展中的重要工具。如何保障信息管理系統安全從而保證信息安全是關系到國家安全、社會安全和行業安全的大問題。我們只有在實現信息安全的條件下,才能有效利用信息管理系統這個有力的工具提高生產力,推動社會的發展。本文通過對信息系統安全建設原則、安全建設內容和安全制度建設三方面較為詳細的探討,應該對于各企事業單位信息管理系統的安全建設有所幫助和借鑒。

參考文獻

[1] 林國恩,李建彬,信息系統安全,電子工業出版社,2010-03

[2] Dieter Gollmann, Computer Security 2 edition, Wiley, 2006

[3]《信息系統安全等級保護基本要求》,中華人民共和國國家標準,GB/T 22239-2008

[4] 尚邦治等,做好信息安全等級保護工作,中國衛生信息管理雜志,2012.5

篇7

【關鍵詞】 醫院信息化建設 IT運維與安全管理

引言:

目前,隨著信息技術的日新月異和網絡信息系統應用的發展,醫院、企業網絡技術的應用層次正在從傳統的、小型業務系統逐漸向大型、關鍵業務系統擴展。面對日趨復雜的IT系統,不同背景的運維人員已給企事業信息系統安全運行帶來較大的潛在風險,如醫院信息系統是醫院日常工作的重要應用,存儲著重要的數據資源,是醫院正常運行必不可少的組成部分,所以必須加強安全保障體系的建設。于是,堡壘機在醫院中的應用,為醫院工作的應用提供了安全可靠的運行環境。

傳統的網絡安全審計系統給醫院的的運維安全問題帶來了很多風險,如:賬號管理無秩序,暗藏巨大隱患;粗放式權限管理的安全性難以保證;設備自身陳舊,無法審計運維加密協議、遠程桌面內容等,從而難以有效定位安全事件。

以上所面臨的風險嚴重破壞政府、醫院、企業等的信息系統安全,已經成為其信息系統安全運行的嚴重隱患,尤其是醫院,將影響其效益。尤其醫院信息系統是一個復雜的系統工程,涉及人、技術、操作等要素,單靠技術或單靠管理都不可能實現。

因此在考慮安全保障體系時,必須將各種安全技術與運行管理機制、人員思想教育與技術培訓、安全規章制度建設相結合。

如何有效監控業務系統訪問行為和敏感信息的傳播,準確掌握網絡系統的安全狀態,及時發現違反安全策略的事件并實時告警、記錄,同時進行安全事件定位分析,事后追查取證,滿足合規性審計要求,是企事業迫切需要解決的問題,即IT運維安全管理的變革已刻不容緩!

堡壘機提供一套先進的運維安全管控與審計解決方案,它通過網絡數據的采集、分析、識別,實時動態監測通信內容、網絡行為和網絡流量,發現和捕獲各種敏感信息、違規行為,實時報警響應,全面記錄網絡系統中的各種會話和事件,實現對網絡信息的智能關聯分析、評估及安全事件的準確全程跟蹤定位,為整體網絡安全策略的制定提供權威可靠的支持。

隨著堡壘機在醫院中的應用,其主要實現了以下功能:

1)賬號管理集中

堡壘機建立于唯一身份標識的全局實名制管理,支持統一賬號管理策略,實現與各服務器、網絡設備等無縫連接,集中管理主賬號(普通用戶)、從賬號(目標設備系統賬號)及相關屬性。

2)訪問控制集中

堡壘機通過集中對應用系統的訪問控制,通過對主機、服務器、網絡、數據庫等網絡中所有資源的統一訪問控制,確保用戶擁有的權限是完成任務所需的最小權限,實現集中有序的運維操作管理,防止非法、越權訪問事件的發生。

3)安全審計集中

基于唯一身份標識,堡壘機通過對用戶從登錄到退出的全程操作行為審計,監控用戶對被管理設備的所有敏感的關鍵操作,提供分級告警,聚焦關鍵事件,能完成對醫院內網所有網上行為的監控和對安全事件及時預警發現、準確可查的功能。

通過此體系監控到的數據能對醫院內部網絡的使用率、數據流量、應用提供比例、安全事件記錄、網絡設備的動作情況、網絡內人員的網上行為記錄、網絡整體風險情況等這些情況有較全面的了解。

信息安全是一個動態的過程,要根據網絡安全的變化不斷調整安全措施,適應新的網絡環境,M足新的網絡安全需求。

安全管理制度也有一個不斷完善的過程,經過安全事件的處理和安全風險評估,會發現原有的安全管理制定中存在的不足之處。根據安全事件處理經驗教訓和安全風險評估的結果,對信息安全管理策略進行修改,對信息安全管理范圍進行調整。

參 考 文 獻

[1]趙瑞霞.構建堡壘主機抵御網絡攻擊[J].網絡安全技術與應用,2010,08.

篇8

鄧高峰:國內信息安全產業經歷了十多年的發展積累了一批中堅力量,大多分布在信息安全產品提供商和服務提供商以及第三方機構,但從信息安全責任單位以及為其提供各類信息技術服務外包的更廣泛的IT行業來看,大部分行業和組織還沒有專門的信息安全崗位設置和專業的信息安全人才配置,據權威機構估算,我國信息安全人才的需要量在50多萬。目前,信息安全專業在國內仍是高等教育的二級學科,全國有將近80家高校設置了信息安全類本科專業,通過高校培養的信息安全人才不到4萬人,這些青年軍無論在整體數量還是在實踐實戰上,距離國家健全信息安全保障體系、上海市智慧城市所要求的信息安全總體可控,還有很大缺口,亟需通過專業的職業培訓來補充和提升。

我理解的信息安全是暫時的,不安全是永恒的;信息安全的系統建設是一個持續進行的過程,其實就是指信息安全的“新四化”。以上海這樣信息化程度很高的城市為例,無論是政府還是企業,一方面其業務對信息技術的依賴程度很大,另一方面這些改革開放的前沿也是各方關注的焦點,信息安全和業務連續的保障需求自然就十分迫切,信息安全不應成為信息化發展瓶頸,而應成為趨利避害的重要手段。全面提高各單位各企業的信息安全意識,有效提升信息安全專業技能水平,包括重點培育信息安全專業服務機構,這些工作都離不開信息安全人才培養和集聚,因此在各行業大力開展CISP等相關培訓將為建設上海信息安全人才高地打下堅實的基礎。

《上海信息化》:三零衛士在CISP培訓體系建設上,又有哪些新的創新與思考?

鄧高峰:CISP培訓一直致力于培養信息安全的組織者、推動者和管理者。信息安全體系建設,不只是用信息安全產品搭建一個堡壘,更重要的是組織自身需建立一套完善的信息安全制度,只有硬件(技術)和軟件(人才)相互結合,才能保障信息的機密性、完整性和可用性。對于公司的培訓來說,則是將安全知識體系和實際工作中的應用一起納入了信息安全體系建設。組織面臨的安全問題多種多樣,除了常見的系統漏洞、黑客入侵、掛馬和釣魚網站、木馬下載器等一些技術性威脅外,一些安全意識薄弱同樣也會產生安全問題,比如:沒有專業的安全培訓嚴重缺乏安全意識;不知道組織存在哪些安全隱患;出現突發安全事故無法第一時間了解等等。對于那些沒有經過專門的安全培訓、沒有配備專業的技術人才、沒有設定合理安全流程的企業來講,只靠采購安裝軟、硬件安全產品來避免威脅或在遇到威脅時應急處理,是非常不現實的。

對此,CISP全面覆蓋全球信息安全知識,充分貼合中國信息安全國情,具有非常系統化的知識體系,使用組件模塊化的結構,包括知識類、知識體、知識域和知識子域四個層次,更注重全面性、前沿性和實用性。

《上海信息化》:國際上也有CISSP等信息安全培訓,與之相比CISP有什么優勢或特點?

鄧高峰:國際上除了(ISC)2的CISSP(信息系統安全專家)培訓之外,還有ISACA的CISA(注冊信息安全審計師)、ISO27001的主任審核員等與信息安全相關的人員培訓,但分別側重技術、審計和管理體系,參與培訓的人員也未必是信息安全從業人員。國內有公安部的信息安全師、工信部網絡信息安全師、國家信息安全認證中心的CISAW(信息安全保障從業人員)等培訓,還有不少社會化IT培訓中也有所謂的信息安全模塊,但是無論從專業人員定位、培訓體系構成還是從與國家信息安全保障工作的關聯度來看,均遜色于CISP。

CISP最初是瞄準CISSP所設計的高端專業培訓,十年來結合國家信息安全保障的需求,不斷得到更新和充實,現在已形成由CISM(注冊信息安全人員)、CISO(注冊信息安全管理人員)、CISE(注冊信息安全工程師)、CISP-AUDIT(注冊信息安全審計師)、CISP-DRP(注冊信息安全災難恢復工程師)、CISD(注冊信息安全專業開發人員)所構成的系列培訓和人員認證。所以說,如果希望在信息安全行業長期發展,就目前而言,CISP專業培訓具有不可替代性。

《上海信息化》:今年上海針對信息安全教育培訓有什么具體的政策和要求?

鄧高峰:“發展以安全為重,安全以人才為本”是CISP培訓的宗旨,信息化的成效很大程度上取決于信息安全保障水平,而信息安全保障的關鍵在于人,CISP培訓的初衷就是在最大范圍建立大家的信息安全意識,并針對信息安全相關人員普及信息安全知識,掌握必要的信息安全技能。就目前來看,CISP不僅是申請信息安全服務資質的必備條件,并在越來越多的行業成為信息安全崗位的“上崗證”,上海市也開始要求IT服務外包企業將信息安全專業人員納入技術團隊標準配置。

篇9

【關鍵詞】網絡經濟;審計;存在問題;安全防范

一、網絡經濟對財務審計的影響分析

(1)審計目的的影響。財務審計在網絡環境的影響下,會計報表與傳統手工報表表現出了很大的差異,具有及時性、實時性、高效率等特征。在審計目標和指標方面,網絡環境下的財務審計更全面,更真實,表現出一定的動態性和靈活性。(2)審計模式的影響。傳統的財務審計受到物質、環境以及人的主觀能動性等方面影響比較突出,網絡環境下財務審計主要是基于無紙化辦公以及電子化信息處理。財務審計工作變得更加規范和合理,這在無形當中增加了財務審計的規范性和可操作性。(3)對財務審計主體的影響。傳統財務審計的重點主要是審計管理人員及審計專業人員,對于審計人員素質要求高,要求審計人員具備專業的審計素質和水平。

二、網絡經濟環境中財務審計的主要方向

(1)網絡審計具有多部門聯合作業的優勢。審計的內容不僅僅局限于作業的經濟活動和財務記錄,而且可以聯合其它的審計管理部門、職能部門等通過網絡加大溝通交流、協作配合、分析討論、交流經驗、分享心得體會等,加強審計過程的透明性和權威性,合理配置審計資源;審計機構在接受委托人或授權人的委托或授權后的,提高了審計管理工作的時效性和準確性,提高了審計的效率和質量。(2)安全性和保密性的財務審計。在審計過程中,要加強對財務審計的保密性和安全性管理,通過職責分離而又有保持必要的溝通協作機構,對被審計單位的容錯處理、安全管理、安全保密技術等進行深入的調研和了解,以評價其財務審計工作的工作性和完備性。(3)加強內部控制、降低管理風險。內部控制是新形勢下財務審計過程中的重要組成部分。主要集中于內部的管理、運行、維護、監控、風險防范等方面的相關管理技術以及由這些管理可能帶來的風險措施。通過加強系統的安全審計,可以及時有效地防范潛在的安全隱患,增加內部控制的審計的安全性。(4)加強風險管理。財務風險審計是審計管理中的重點和難點,要加強對審計人員的風險管理意識培訓,用最新審計知識更新頭腦,有效指導審計工作,提高審計效率和水平,降低審計風險。

三、財務審計相關內容分析

(1)會計報表的審計。會計報表的審計主要是對企業資產負債表、損益表、現金流量表等的真實性、完整性、合法性和準確性等的審計,而網絡條件下的審計可以滿足以上這些審計要求。(2)資產審計分析。網絡環境下的資產審計可以對被審計單位的資產進行整合,與傳統的方式相比,具有動態管理性,可以真實性、完整性等反映出記錄在有關賬簿及會計報表的資產的真實存在。(3)所有者權益審計。企業的實收資本、資本公積、盈余公積、未分配利潤等都是所有者權益審計的重點和關鍵點。網絡環境下的所有者權益,變得全面、權威、準確,同時又具有時效性強、方便快捷等特點。

四、網絡審計存在問題及防范措施

(1)接受委托風險問題??蛻粼诮洜I管理過程中,由于自身利益考慮,通過人為制造虛假業績數據,加上審計內控機制不健全,管理存在漏洞,致使操作過程存在較大的風險。對于此類風險,審計人員可以通過查詢往年工作底稿、詢問相關工作人員、調閱相關資料等方式增強對審計風險的評估分析能力來決定是否接受該項業務。(2)信息系統風險問題。由于網絡存在的脆弱性,審計過程中系統風險在所難免。由于信息系統涉及面廣,內容龐大,審計人員很難全面掌握信息系統風險問題,這就使得審計人員在審計過程中加強與專業人員溝通和交流,同時根據審計需要,聘請外部IT專業人士加強對信息系統的安全審計。(3)審計取證風險。由于計算機網絡及數據加密技術在應用過程存在的缺陷和漏洞??赡軒淼臄祿鬏攣G失、非法篡改、非法竊聽等問題,這加大了審計取證的難度,降低了審計結果的可靠性,加大了審計風險。(4)審計評價風險。對于審計過程發現的問題,能否根據科學的模式和方法對存在的問題做出合理的評估和分析,使審計過程中既遵循科學合理的程序和規范,又能客觀真實性地再現審計過程中的問題,這在某種程度上構成了審計的評價風險。為了提升審計的科學性和準確性,審計人員在審計過程中需要出具嚴謹的審計報告,審計報告既要體現出審計的靈活性和有效性,還要能夠針對具體的問題做出合理的評價。

參 考 文 獻

[1]于寧.網絡環境下會計信息的披露與監管[J].安徽工業大學學報(社會科學版).2005(3)

篇10

總的來講,我們目前對信息系統的安全保障工作處在初級階段,主要表現在信息系統安全建設和管理的目標不明確,信息安全保障工作的重點不突出,信息安全監管體系尚待完善。為了實施信息系統的安全保護,我國制定頒布了《計算機信息系統安全保護等級劃分準則》(GB17859-1999)和《信息技術安全技術信息技術安全性評估準則》(GB/T18336-2001)等基本標準,隨后又制定了一系列相關的國家標準,對信息等級保護工作的定級、建設、測評、安全管理等進行規范。信息安全等級保護制度一個很重要的思想就是對各領域的重要信息系統依照其對國家的重要程度進行分類分級,針對不同的安全等級采取不同的保護措施,以此來指導不同領域的信息安全工作[1]。99年頒布的《等級劃分準則》對計算機信息系統安全保護能力劃分了五個等級[2],保護能力隨著安全保護等級的增高,逐漸增強。第一級為用戶自主保護級。使用戶具備自主安全保護的能力。第二級為系統審計保護級。在繼承前面安全級別安全功能的基礎上,需要創建和維護訪問的審計跟蹤記錄。第三級為安全標記保護級。在繼承前面安全級別安全功能的基礎上,要求依據訪問安全級別限制訪問權限。第四級為結構化保護級。繼承前面安全級別安全功能的基礎上,劃分安全保護機制為兩部分,關鍵部分和非關鍵部分,對關鍵部分訪問者直接控制訪問對象的存取。第五級為訪問驗證保護級。按要求增設訪問驗證的功能,負責訪問者對所有訪問對象的訪問活動進行仲裁。

2.企業信息安全等級保護的實施流程

在實施企業信息安全等級保護流程時,主要得工作可以分為信息系統定級、規劃與設計和實施、等級評估與改進三個主要的階段。

2.1信息系統定級

系統定級是根據整個系統要求達到的防護水平,確定信息系統和各個子系統的安全防護等級。需要由專業人員評估企業的信息系統、各種軟硬件設備及企業業務支撐的各個環節,根據其重要性和復雜性劃分為各個子系統,描述子系統的組成和邊界,以此確定總系統和子系統的安全等級。2.2安全規劃和設計安全規劃和設計是根據系統定級的結果,對信息系統及其子系統制定全套的安全防護解決方案,并根據方案選取相應的軟、硬件防護產品進行具體實施的階段,這個階段的工作主要可以歸納為以下三個方面的內容:

2.2.1系統對象的分類劃分及相應保護框架的確立。

企業需要對信息系統進行保護對象進行分類和劃分,建立起一個企業信息系統保護的框架,根據系統功能的差異和安全要求不同對系統進行分域、分級防護。

2.2.2選擇安全措施并根據需要進行調整。

在確定了企業信息系統及各個子系統的安全等級以后,根據需要選擇相應的等級安全要求。根據對系統評估的結果,確定出主系統、子系統和各保護對象的安全措施,并根據項目實施過程中的需要進行適當的調整。

2.2.3安全措施規劃和安全方案實施。

確定需要的安全措施以后,定制相應安全解決方案和運維管理方案,以此為依據采購必要的安全保護軟、硬件及安全服務。

2.3實施、等級評估和改進[4]

依照此前確定的安全措施和解決方案,在企業中進行方案實施。實施完畢之后,對照“信息安全等級保護”相關標準,評估所部署的方案是否達到了預想的防護要求,如果評估未能通過,則需對部分安全方案進行改進后再進行評估,直至符合等級保護要求。

3.企業信息安全等級保護體系的主要內容

3.1安全體系設計的原則及設計目標

信息系統安全體系的設計需要按照合規可行、全局均衡、體系化和動態發展原則,達到并實現“政策合規、資源可控、數據可信、持續發展”的生存管理與安全運維目的。系統安全等級保護體系的技術指標,可以分為信息技術測評指標和非信息技術測評指標兩類。所以整個安全等級保護體系應包含基本技術措施和基本管理措施兩個組成部分。

3.2基本技術措施

3.2.1物理安全

物理安全是信息系統安全的基礎,物理安全主要內容包括環境安全(防火、防水、防雷擊等)、設備和介質的防盜竊、防破壞等方面。

3.2.2網絡安全

網絡是若干網絡設備組成的可用于數據傳輸的網絡環境,是信息系統安全運行的基礎設施。對于內網未通過準許聯到外網的行為,可以使用終端安全管理系統來檢測。對登錄網絡設備和服務器的用戶進行基本的身份識別,使網絡最基本具備基本的防護能力。[5]

3.2.3主機安全

主機安全主要是指服務器和終端系統層面的安全風險。主機的安全風險主要包括兩個方面:一是操作系統的脆弱性,二是來自系統配置管理和使用過程??梢酝ㄟ^建立一套完善安全審計系統實現系統層、網絡層以及應用層的安全審計。

3.2.4應用系統安全

應用系統是提供給用戶真正可使用的功能,是以物理層、網絡層和主機層為基礎的,是用戶與系統底層的接口。應用安全首先要考慮身份驗證、通訊加密、信息保護和抗抵賴性等安全風險,對應用系統方面應關注系統資源控制、應用代碼安全、系統安全審計和系統容錯等內容,一般需要通過安全審計系統和專業的安全服務來實現。

3.2.5數據安全

數據是指用戶真正的數據,信息系統數據安全所面臨的主要風險包括:數據遭到盜竊;數據被惡意刪除或篡改。在考慮數據安全方案時,除了使用從物理層到應用層的各種層次的安全產品,更重要的是考慮對數據的實時備份。目前主要使用數據庫技術來保證數據私密性和完整性,制定好數據存儲與備份方案,來完成日常的數據備份與恢復。這部分工作可以考慮引入專業安全服務。

3.3基本管理措施

3.3.1安全管理制度

安全管理制度的制定、、審核和修訂等工作,需要在信息安全領導小組的統籌下,按照安全工作的總體方案,根據系統應用安全的實際情況,組織相關人員進行,并進行定期的審核和修訂。

3.3.2安全管理機構

要根據要求建立專門的安全職能部門,配置專門的安全管理人員,并對安全管理人員進行日?;顒拥谋O督指導。同時要對安全職能部門進行全面的設計,內容包括的人員和崗位的配置、日常工作流程、與其他部門的溝通和合作、系統安全的審核和檢查等方面。

3.3.3人員安全管理

人員的入職、離職、績效考核、業務培訓等環節都要考慮安全因素。對第三方人員管理上也要考慮安全風險。

3.3.4系統建設過程管理

要在系統建設的各個階段貫徹系統安全等級保護體系的思想和內容。主要是對系統建設從方案設計、采購、開發、實施、測試驗收、交付到系統備案、安全測評等環節進行全流程的監控,對所有涉及安全保護的方面提出具體要求。

3.3.5系統運行和維護管理

信息系統運維安全管理涉包括日常管理、安全事件處置、應急預案管理和安管中心等幾方面內容,可以是內部人員管理維護,也可以根據需要采用內部人員和專業安全廠商相結合的方式。

4.總結