首頁 >
				文章中心 >
				信息安全方針和策略
			
          
		
          
		
		
          
			
          
				
				
          
					
          
						
          信息安全方針和策略
          
						
          
					
          					
					 
           
          前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇信息安全方針和策略范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
           
          信息安全方針和策略
           
          信息安全方針和策略范文第1篇
           
           論文關鍵詞:信息安全外包風險管理
           
           論文摘要:文章首先分析了信息安全外包存在的風險,根據風險提出信息安全外包的管理框架,并以此框架為基礎詳細探討了信息安全外包風險與管理的具體實施。文章以期時信息安全外包的風險進行控制,并獲得與外包商合作的最大收益。
           
           1信息安全外包的風險
           
           1.1信任風險
           
           企業是否能與信息安全服務的外包商建立良好的工作和信任關系,仍是決定時候將安全服務外包的一個重要因素。因為信息安全的外包商可以訪問到企業的敏感信息,并全面了解其企業和系統的安全狀況,而這些重要的信息如果被有意或無意地對公眾散播出去,則會對企業造成巨大的損害。并且,如若企業無法信任外包商,不對外包商提供一些關鍵信息的話,則會造成外包商在運作過程中的信息不完全,從而導致某些環節的失效,這也會對服務質量造成影響。因此,信任是雙方合作的基礎,也是很大程度上風險規避的重點內容。
           
           1.2依賴風險
           
           企業很容易對某個信息安全服務的外包商產生依賴性,并受其商業變化、商業伙伴和其他企業的影響,恰當的風險緩釋方法是將安全服務外包給多個服務外包商,但相應地會加大支出并造成管理上的困難,企業將失去三種靈活性:第一種是短期靈活性,即企業重組資源的能力以及在經營環境發生變化時的應變能力;第二種是適應能力,即在短期到中期的事件范圍內所需的靈活性,這是一種以新的方式處理變革而再造業務流程和戰略的能力,再造能力即包括了信息技術;第三種靈活性就是進化性,其本質是中期到長期的靈活性,它產生于企業改造技術基本設施以利用新技術的時期。進化性的獲得需要對技術趨勢、商業趨勢的準確預測和確保雙方建立最佳聯盟的能力。
           
           1.3所有權風險
           
           不管外包商提供服務的范圍如何,企業都對基礎設施的安全操作和關鍵資產的保護持有所有權和責任。企業必須確定服務外包商有足夠的能力承擔職責,并且其服務級別協議條款支持這一職責的履行。正確的風險緩釋方法是讓包括員工和管理的各個級別的相關人員意識到,應該將信息安全作為其首要責任,并進行安全培訓課程,增強常規企業的安全意識。
           
           1.4共享環境風臉
           
           信息安全服務的外包商使用的向多個企業提供服務的操作環境要比單獨的機構內部環境將包含更多的風險,因為共享的操作環境將支持在多企業之間共享數據傳輸(如公共網絡)或處理(如通用服務器),這將會增加一個企業訪問另一企業敏感信息的可能性。這對企業而言也是一種風險。
           
           1.5實施過程風險
           
           啟動一個可管理的安全服務關系可能引起企業到服務外包商,或者一個服務外包商到另一個外包商之間的人員、過程、硬件、軟件或其他資產的復雜過渡,這一切都可能引起新的風險。企業應該要求外包商說明其高級實施計劃,并注明完成日期和所用時間。這樣在某種程度上就對實施過程中風險的時間期限做出了限制。
           
           1.6合作關系失敗將導致的風險
           
           如果企業和服務商的合作關系失敗,企業將面臨極大的風險。合作關系失敗帶來的經濟損失、時間損失都是不言而喻的,而這種合作關系的失敗歸根究底來自于企業和服務外包商之間的服務計劃不夠充分完善以及溝通與交流不夠頻繁。這種合作關系在任何階段都有可能失敗,如同其他商業關系一樣,它需要給予足夠的重視、關注,同時還需要合作關系雙方進行頻繁的溝通。
           
           2信息安全外包的管理框架
           
           要進行成功的信息安全外包活動,就要建立起一個完善的管理框架,這對于企業實施和管理外包活動,協調與外包商的關系,最大可能降低外包風險,從而達到外包的目的是十分重要的。信息安全外包的管理框架的內容分為幾個主體部分,分別包括企業協同信息安全的外包商確定企業的信息安全的方針以及信息安全外包的安全標準,然后是對企業遭受的風險進行系統的評估.并根據方針和風險程度.決定風險管理的內容并確定信息安全外包的流程。之后,雙方共同制定適合企業的信息安全外包的控制方法,協調優化企業的信息安全相關部門的企業結構,同時加強管理與外包商的關系。
           
           3信息安全外包風險管理的實施
           
           3.1制定信息安全方針
           
           信息安全方針在很多時候又稱為信息安全策略,信息安全方針指的是在一個企業內,指導如何對資產,包括敏感性信息進行管理、保護和分配的指導或者指示。信息安全的方針定義應該包括:(1)信息安全的定義,定義的內容包括信息安全的總體目標、信息安全具體包括的范圍以及信息安全對信息共享的重要性;(2)管理層的目的的相關闡述;(3)信息安全的原則和標準的簡要說明,以及遵守這些原則和標準對企業的重要性;(4)信息安全管理的總體性責任的定義。在信息安全方針的部分只需要對企業的各個部門的安全職能給出概括性的定義,而具體的信息安全保護的責任細節將留至服務標準的部分來闡明。
           
           3.2選擇信息安全管理的標準
           
           信息安全管理體系標準BS7799與信息安全管理標準IS013335是目前通用的信息安全管理的標準:
           
           (1)BS7799:BS7799標準是由英國標準協會指定的信息安全管理標準,是國際上具有代表性的信息安全管理體系標準,標準包括如下兩部分:BS7799-1;1999《信息安全管理實施細則》;BS7799-2:1999((信息安全管理體系規范》。
           
           (2)IS013335:IS013335《IT安全管理方針》主要是給出如何有效地實施IT安全管理的建議和指南。該標準目前分為5個部分,分別是信息技術安全的概念和模型部分;信息技術安全的管理和計劃部分;信息技術安全的技術管理部分;防護和選擇部分以及外部連接的防護部分。
           
           3.3確定信息安全外包的流程
           
           企業要根據企業的商業特性、地理位置、資產和技術來對信息安全外包的范圍進行界定。界定的時候需要考慮如下兩個方面:(1)需要保護的信息系統、資產、技術;(2)實物場所(地理位置、部門等)。信息安全的外包商應該根據企業的信息安全方針和所要求的安全程度,識別所有需要管理和控制的風險的內容。企業需要協同信息安全的外包商選擇一個適合其安全要求的風險評估和風險管理方案,然后進行合乎規范的評估,識別目前面臨的風險。企業可以定期的選擇對服務外包商的站點和服務進行獨立評估,或者在年度檢查中進行評估。選擇和使用的獨立評估的方案要雙方都要能夠接受。在達成書面一致后,外包商授予企業獨立評估方評估權限,并具體指出評估者不能泄露外包商或客戶的任何敏感信息。給外包商提供關于檢查范圍的進一步消息和細節,以減少任何對可用性,服務程度,客戶滿意度等的影響。在評估執行后的一段特殊時間內,與外包商共享結果二互相討論并決定是否需要解決方案和/或開發計劃程序以應對由評估顯示的任何變化。評估所需要的相關材料和文檔在控制過程中都應該予以建立和保存,企業將這些文檔作為評估的重要工具,對外包商的服務績效進行考核。評估結束后,對事件解決方案和優先級的檢查都將記錄在相應的文件中,以便今后雙方在服務和信息安全管理上進行改進。
           
           3.4制定信息安全外包服務的控制規則
           
           依照信息安全外包服務的控制規則,主要分為三部分內容:第一部分定義了服務規則的框架,主要闡明信息安全服務要如何執行,執行的通用標準和量度,服務外包商以及各方的任務和職責;第二部分是信息安全服務的相關要求,這個部分具體分為高層服務需求;服務可用性;服務體系結構;服務硬件和服務軟件;服務度量;服務級別;報告要求,服務范圍等方面的內容;第三部分是安全要求,包括安全策略、程序和規章制度;連續計劃;可操作性和災難恢復;物理安全;數據控制;鑒定和認證;訪問控制;軟件完整性;安全資產配置;備份;監控和審計;事故管理等內容。
           
           3.5信息安全外包的企業結構管理具體的優化方案如下:
           
           (1)首席安全官:CSO是公司的高層安全執行者,他需要直接向高層執行者進行工作匯報,主要包括:首席執行官、首席運營官、首席財務官、主要管理部門的領導、首席法律顧問。CSO需要監督和協調各項安全措施在公司的執行情況,并確定安全工作的標準和主動性,包括信息技術、人力資源、通信、法律、設備管理等部門。
           
           (2)安全小組:安全小組的人員組成包括信息安全外包商的專業人員以及客戶企業的內部IT人員和信息安全專員。這個小組的任務主要是依照信息安全服務的外包商與企業簽訂的服務控制規則來進行信息安全的技術。
           
           (3)管理委員會:這是信息安全服務外包商和客戶雙方高層解決問題的機構。組成人員包括雙方的首席執行官,客戶企業的CIO和CSO,外包商的項目經理等相關的高層決策人員。這個委員會每年召開一次會議,負責審核年度的服務水平、企業的適應性、評估結果、關系變化等內容。
           
           (4)咨詢委員會:咨詢委員會的會議主要解決計劃性問題。如服務水平的變更,新的技術手段的應用,服務優先等級的更換以及服務的財政問題等,咨詢委員會的成員包括企業內部的TI’人員和安全專員,還有財務部門、人力資源部門、業務部門的相關人員,以及外包商的具體項目的負責人。
           
           (6)安全工作組:安全工作組的人員主要負責解決信息安全中某些特定的問題,工作組的人員組成也是來自服務外包商和企業雙方。工作組與服務交換中心密切聯系,將突出的問題組建成項目進行解決,并將無法解決的問題提交給咨詢委員會。
           
           (7)服務交換中心:服務交換中心由雙方人員組成,其中主要人員是企業內部的各個業務部門中與信息安全相關的人員。他們負責聯絡各個業務部門,發掘出企業中潛在的信息安全的問題和漏洞,并將這些問題報告給安全工作組。
           
           (8)指令問題管理小組:這個小組的人員組成全部為企業內部人員,包括信息安全專員以及各個業務部門的負責人。在安全小組的技術人員解決了企業中的安全性技術問題之后,或者,是當CSO了關于信息安全的企業改進方案之后,這些解決方案都將傳送給指令問題管理小組,這個小組的人員經過學習討論后,繼而將其到各個業務部門。
           
           (9)監督委員會:這個委員會全部由企業內部人員組成。負責對外包商的服務過程的監督。
           
          信息安全方針和策略范文第2篇
           
           關鍵詞:
           
           校園網安全系統的建設目標是根據學校信息網絡結構和應用模式,針對可能存在的安全漏洞和安全需求,在不同層次上提出安全級別要求,并提出相應的解決方案,制訂相應的安全策略,編制安全規劃,采用合理、先進的技術實施安全工程,加強安全管理,保證系統的安全性。
           
           對于這樣規模龐大、結構復雜、涉及人員眾多的網絡體系需要建立全網安全保障系統,針對不同的業務特征進行合理的安全保障,確保業務系統的安全運行。
           
           我們在設計學校信息安全保障體系的過程中,借鑒IATF的信息安全保障體系模型構建學校信息安全保障體系的技術體系和管理體系,這些體系構成學校所需的安全體系。在技術體系和管理體系中的安全控制和對策的選擇和定制中,采用“最佳實施”方法,通過列舉滿足實際需求和實際應用來構造安全保障體系。
           
           在學校安全保障體系設計過程中,整體性一直是最核心的問題,因此為了保障安全體系具有一定的完整性,避免對安全問題的遺漏,需要在方法論中引入了安全框架模型。
           
           安全保障體系框架示意圖
           
           上圖中,最下層是安全體系要保護的對象,根據信息資產邏輯圖,將保護對象分成計算區域、區域邊界、通信網絡和基礎設施(指PKI/PMI/KMI中心和應急響應中心)等。計算區域部分主要指提供業務的網絡服務,計算區域內部可以根據學校信息化的實際需求進一步細分為子區域,邊界和通信網絡。對不同區域、邊界和通信網絡,其安全需求是不同的。保護對象框架將學校信息系統的安全問題細分為一組結構化的安全需求。
           
           通過將對策框架中的所有安全控制中的策略,組織,技術和運作分別提煉,組成相應的策略體系、組織體系、技術體系和運作體系。每個體系由對策框架組成,對策框架由一組安全控制組成,這些安全控制是根據保護對象中的安全需求設計和選擇出來的。每一條安全控制都包含策略,組織,技術和運作四個要素。
           
           在校園網的信息系統安全等級保護方面,國內尚未制定相關標準,但可以參考公安部制定的《信息系統安全等級保護基本要求》進行設計?;景踩蠓譃榛炯夹g要求和基本管理要求兩大類。技術類安全要求與信息系統提供的技術安全機制有關,主要通過在信息系統中部署軟硬件并正確的配置其安全功能來實現;管理類安全要求與信息系統中各種角色參與的活動有關,主要通過控制各種角色的活動,從政策、制度、規范、流程以及記錄等方面做出規定來實現。
           
           基本技術要求從物理安全、網絡安全、主機安全、應用安全和數據安全幾個層面提出;基本管理要求從安全管理制度、安全管理機構、人員安全管理、系統建設管理和系統運維管理幾個方面提出,基本技術要求和基本管理要求是確保信息系統安全不可分割的兩個部分。
           
           根據公安部《信息系統等級保護技術要求》中相應技術要求,以滿足物理安全、網絡安全、主機安全、應用安全、數據安全及存備份恢復等幾方面的基本要求為前提。
           
           在基于人、技術及運行的信息安全縱深防御體系中,對人的行為的控制是信息安全保障最主要的方面。下圖所示為信息安全管理體系框架,該體系包括安全方針、安全策略、安全組織、人員安全、物理安全、安全制度與管理辦法、安全標準與規范、安全政策、安全法律法規與標準、安全培訓以及安全規范。
           
           安全管理體系框架圖
           
           安全策略作為建立安全機制必須首要考慮的核心,它對安全措施的具體實踐提供指導和支持。制定一套系統、科學的安全策略是指導學校等級化信息安全保障體系安全建設的重要內容。
           
           建立安全組織機構、完善安全管理制度,建立有效的工作機制,做到事有人管,職責分工明確是有效防范由于內部人員有意無意對系統造成破壞的有效保障措施。
           
           在組織安全方針、安全策略、安全制度與管理方法、安全標準與規范的建設過程中充分體現國家安全政策、安全法律法規與標準是組織充分保障信息系統安全的基礎。國家安全政策、安全法律法規與標準從國家和行業的角度制約信息安全,組織必須遵循國家和相關主管部門關于信息系統安全方面的法律法規、政策和制度。
           
           對內部人員進行有組織的安全培訓、安全教育,規范人員行為、制定相關章程等對保障學校信息系統安全尤為重要。
           
          信息安全方針和策略范文第3篇
           
           關鍵詞:信息安全;管理體系;ISMS
           
           中圖分類號:TP315 文獻標識碼:A 文章編號:1009-8631(2010)05-0171-02
           
           一、概述
           
           當前,信息資源的開發和利用,已成為信息化建設的核心。信息作為一種重要的資產,已成為大家的共識。其一旦損毀、丟失、或被不失當地曝光。將會給組織帶來一系列損失。這些損失是我們不愿意面對的。因此信息安全越來越成為大家關注的熱點問題。前國家科技部部長徐冠華曾經指出:“沒有信息安全保障的信息工程一定是豆腐渣工程”。
           
           所謂信息安全,是針對技術和管理來說的,為信息處理體統提供安全保護,保護計算機軟硬件及信息內容不因偶然意外和惡意的原因而遭到破壞、更改和泄漏。信息安全包括實體安全、運行安全、信息(針對信息內容)安全和管理安全四個方面:
           
           1)實體安全是指保護計算機設備、網絡設施以及其他通信與存儲介質免遭地震、水災、火災、有害氣體和其他環境事故破壞的措施、過程。
           
           2)運行安全是指為保障系統功能的安全實現。提供一套安全措施(如風險分析、審計跟蹤、備份與恢復、應急措施)來保護信息處理過程的安全。
           
           3)信息安全是指防止信息資源的非授權泄漏、更改、破壞,或使信息被非法系統辨別、控制和否認。即確保信息的完整性、機密性、可用性和可控性。
           
           4)管理安全是指通過信息安全相關的法律法令和規章制度以及安全管理手段,確保系統安全生存和運營。
           
           信息安全是一個多層面、多因素、綜合和動態的過程。安全措施必須滲透到所有的環節。才能獲得全面的保護。為了防范和減少風險,一般的信息系統都部署了基本的防御和檢測體系,如防火墻、防病毒軟件、入侵檢測系統、漏洞掃描設備等等。這些安全技術和安全設備及軟件的應用,在很大程度上提高了信息系統的安全性。但是這樣做不能從根本上降低安全風險。解決安全問題。因為不能把信息安全問題僅僅當做是技術問題,日常所說的防范黑客入侵和病毒感染只能是信息安全問題的一個方面。一方面由于所有安全產品的功能都是針對某一類問題,并不能應用到所有問題上,所以說它們的功能相對比較狹窄,因此想通過設置安全產品來徹底解決信息安全問題是不可能的;另一方面,信息安全問題并不是固定的、靜態的,它會隨著信息系統和操作流程的改變而變化。而設置安全產品則是一種靜態的解決辦法。一般情況下,當產品安裝和配置一段時期后,舊的問題解決了。新的安全問題就會產生,安全產品無法進行動態調整來適應安全問題的變化。有效解決上述問題的關鍵是搭建一個信息安全體系。建設體系化管理手段,通過安全產品的輔助,從而保障信息系統的安全。
           
           二、搭建信息安全管理體系
           
           (一)BS7799
           
           信息安全管理體系是安全管理和安全控制的有效結合體,通過分析信息安全各個環節的實際需求情況和風險情況,建立科學合理的安全控制措施,并且同信息系統審計相結合,從而保證信息資產的安全性、完整性和可用性。國際上制定的信息安全管理標準主要有:英國標準協會制定的信息安全管理體系標準-BS7799;國際信息系統審計與控制協會制定的信息和相關技術控制目標-COBIT;是目前國際上通用的信息系統審計標準;英國政府的中央計算機和通信機構提出的一套IT服務管理標準-ITIL;國際標準化組織(IS01和國際電工委員會(IEC)所制定信息安全管理標準-IS0/IECl335。其中BS7799英國的工業、政府和商業共同需求而發展的一個標準,于1995年2月制定的、世界上第一個信息安全管理體系標準。經過不斷的修訂,目前已經成為信息安全管理領域的權威標準。其兩個組成部分目前已分別成為IS017799和IS027001標準。BST799涵蓋了安全所應涉及的方方面面,全面而不失操作性,提供了一個可持續發展提高的信息安全管理環境。在該標準中,信息安全已經不只是人們傳統上所講的安全,而是成為一種系統化和全局化的觀念。和以往的安全體系相比,該標準提出的信息安全管理體系(SMS)具有系統化、程序化和文檔化的管理特點。
           
           (二)息安全管理體系(ISMs)
           
           信息安全管理體系(LSMS)是組織整體管理體系的一個重要組成部分,是組織在整體或特定范圍內建立信息安全方針和目標,以及完成這些目標所用方法的體系。基于對業務風險的分析和認識,ISMS包括建立、實施、操作、監視、復查、維護和改進信息安全等一系列的管理活動。IS027001是建立和維護信息安全管理體系的準繩,它一般是要求通過確定的過程來建立ISMS框架:確定體系范圍,制定信息安全策略,明確管理職責,通過風險評估確定控制目標和控制方式。整個體系一旦建立起來,組織就必須實施、維護和不斷改進ISMS,保持整個體系運作的有效性。
           
           (三)ISMS搭建步驟
           
           當一個組織建立和管理信息安全體系時。BS7799提供了指導性的建議,即遵循PDCA(Plan,Check和Act)的持續改進的管理模式。PDCA循環實際上是有效進行任何一項工作的合乎邏輯的工作程序。對于搭建和管理信息安全體系,其PDCA過程如下:
           
           1)信息安全體系(PLAN)
           
           在PLAN階段通過風險評估來了解安全需求,根據需求設計解決方案。根據BS7799-2。搭建ISMS一般有如下步驟:
           
           A、定義安全方針:信息安全方針是組織的信息安全委員會制定的高層文件,用于指導組織如何對資產,包括敏感信息進行管理、保護和分配的規則和指示。
           
           B、定義1SMS的范圍:ISMS的范圍是需要重點進行信息安全管理的領域,組織可根據自己的實際情況。在整個組織范圍內、或者在個別部門或領域架構ISMS。
           
           C、實施風險評估:首先對ISMS范圍內的信息資產進行鑒定或估計,然后對信息資產面對的各種威脅和脆弱性進行評估,同時對已存在的或規劃的安全控制措施進行鑒定。
           
           D、風險管理:根據風險評估與現狀調查的結果。確定安全需求,決定如何對信息資產實施保護及保護到何種程度限(如接受風險、避免風險、轉移風險或降低風險)。
           
           E、選擇控制目標和控制措施:根據風險評估和風險管理的結果,選擇合適的控制目標和控制措施來滿足特定的安全需求??梢詮腂S7799-1的中進行選擇,也可以應選擇一些其它適宜的控制方式。
           
           F、準備適用性申明(SOA):SOA是適合組織需要的控制目標和控制的評論,記錄組織內相關的風險控制目標和針對每種風險所采取的各種控制措施。
           
           2)實施信息安全體系(D01
           
           在DO階段將解決方案付諸實現,實施組織所選擇的控制目標與控制措施。
           
           3)檢查信息安全體系(cHECK)
           
           在CH ECK階段進行有關方針、程序、標準與法律法規的符合性檢查,對存在的問題采取措施,予以改進,以保證控制措施的有效運行。在此過程中,要根據風險評估的對象及范圍的變化情況。以及時調整或完善控制措施。常見的檢查措施有:日常檢查、從其他處學習、內部ISMS審核、管理評審、趨勢分析等。
           
           4)改進信息安全體系(ACT)
           
           在ACT階段對ISMS進行評價。以檢查階段發現的問題為基礎,尋求改進的機會,采取相應的措施進行調整與改進。
           
          信息安全方針和策略范文第4篇
           
           關鍵詞:信息安全 空間信息 信息共享 社區信息化 福州市
           
           一、引言
           
           社區信息化是城市信息化的基石。保障信息安全,是讓公眾充分利用空間信息及網絡技術對基層的公共事務和公益事業實行自我管理、自我服務、自我教育、自我監督的重要前提。本文結合福州市公眾空間信息共享服務平臺的建設情況,對信息安全保障問題進行初步探討。
           
           二、福州市公眾空間信息服務共享平臺的結構
           
           福州市公眾空間信息共享服務平臺是福州市政府基于中國福州門戶網站(政務外網)向公眾提供空間信息的一站式服務平臺,以數據服務的形式為社區提供需要的海量空間地理基礎數據。公眾不必關心空間地理基礎數據的管理、維護、更新問題,保證了數據的現勢性,節約了數據成本。不同權限的社區公眾可以通過訪問不同的地圖服務達到訪問不同數據圖層的目的。社區公眾經政府培訓認證后,也可參與平臺的建設,疊加標注所在社區的相關屬性信息,以達到社區自治的目的。
           
           福州市公眾空間信息服務共享平臺包括應用層、認證層、接口層、服務層、數據層和管理維護層等六個層次,相互形成一個有機的整體。
           
           ⒈應用層
           
           應用層是各社區基于平臺服務接口建立的社區應用服務展示系統,為社區公眾使用各類空間數據及服務提供途徑。從公眾角度看,平臺是一個信息服務機構,可以是一個傳統意義上的桌面應用程序,也可以是Web應用程序或門戶網站。此外,通過建立面向不同社區的元數據目錄登記注冊,可以實現各類共享空間信息的查找,將解決這些數據“如何發現”的問題。
           
           ⒉認證層
           
           認證層是福州公眾空間信息共享服務平臺與政務專網的網絡安全體系集成接口。利用PKI/CA證書等成熟安全技術,通過身份標識、授權控制,提供“統一認證管理”,實現“單點登錄”。認證層的設計對于平臺系統及其信息資源的安全保障非常必要,保證只有授權用戶才可以訪問和使用平臺所提供的相關資源。
           
           ⒊接口層
           
           接口層是提供給各類開發用戶的Web API(網絡應用程序接口)。信息服務、中介機構及社會公眾可以使用這些API來和自己的業務應用進行集成,形成自己的業務空間信息應用系統,如商貿地理信息系統、三維旅游系統、現代物流系統、房產銷售管理系統,等等;平臺也可以使用這些API,來構建綜合應用展示系統、多源數據桌面瀏覽器等系統,為平臺使用者提供方便友好的接口。
           
           ⒋服務層
           
           服務層是接口層的基礎,接口層是服務層的對外表現,服務層實現諸如二維數據引擎、地址編碼引擎、元數據引擎等,為接口層提供強大的后臺實現支持,這二者合稱為應用接口層。通過應用接口層,平成對各類空間地理基礎信息資源的對外共享和,將解決空間信息資源“如何”的問題。
           
           ⒌數據層
           
           數據層是整個平臺的基礎。平臺的數據,從內容上是福州市空間地理基礎信息數據,并將在平臺運行后逐步擴大其覆蓋面;從表現形式上是存儲在于平臺數據中心及其他多個行業部門數據中心的分布式數據庫環境中。數據的完整性、實用性、精確性、動態更新能力等從根本上決定了平臺的價值。根據不同的數據類型特點以及應用的需要,建立實用有效的數據采集、加工及處理流程與規范,通過對原始數據的加工整合,將解決數據“如何制作”的問題。
           
           ⒍管理維護層
           
           管理維護層包括對平臺數據的管理和應用及服務的管理,和上面五個層有著密切的聯系,是整個平臺正常運維的保證;有數據入庫、更新維護、服務管理、運行監控、用戶及權限管理等應用。對于社區公眾的權限管理將分為三個級別,即功能權限控制(能使用哪些功能)、圖層權限控制(能訪問哪些圖層)及區域范圍權限控制(能訪問什么范圍),系統管理員可以根據社區公眾角色進行授權,控制其對共享平臺的訪問。
           
           三、公眾空間信息共享服務平臺的安全保障體系設計
           
           福州市公眾空間信息共享服務平臺安全保障體系就是要在中國福州門戶網站(政務外網)和互聯網環境下,以公眾服務平臺的安全需求和安全策略為依據,建立以系統可用性、完整性、機密性為目標的信息安全保障體系。建立服務平臺安全保障體系是一項系統工程,它從安全策略、安全技術保障、安全組織、安全管理以及四個方面來系統考慮平臺建設的安全保障。
           
           ⒈安全策略
           
           安全策略主要從整體上提供全局性指導,為具體的安全措施和規定提供一個全局性的框架。公眾空間信息共享服務平臺是依托中國福州門戶網站(政務外網)為互聯網公眾提供信息服務。根據電子政務系統業務特點和安全要求,按“分域防護、分級保護”的原則,要劃分不同的安全域和業務保護安全等級,制定與之適應的安全防護措施和安全機制,通過集成相關的安全產品和安全服務,從物理安全、網絡安全、系統安全、應用安全、安全管理等五個方面,構造多層防御的安全保障體系,以確保平臺安全、高效、可靠運行。
           
           ⒉安全技術保障
           
           ⑴安全基礎設施的建設
           
           信息安全技術的設計必須滿足平臺建設的安全需求與安全策略。從技術保障體系結構上,是按照分層防護的原則來設計的。通常,把物理安全、網絡安全和系統安全等安全措施統稱為安全基礎設施。安全基礎設施的建設主要包括:安全管理維護系統、設備安全管理、邊界訪問控制系統、監控和檢測系統、防病毒系統、主機加固和保護、容災備份系統、遠程安全接入(VPN)系統等。
           
           安全網管和應用監控系統:實現對公眾空間信息共享服務平臺應用統一監控和預警,實現故障、事件統一管理。邊界訪問控制系統:根據各安全域具體的安全防護策略,實現各安全域的邊界保護。在政務信息交換中心,政務外網和互聯網直接使用防火墻設備,在政務外網和內網之間部署網閘設備。
           
           監控檢測系統:重點在于檢測和修補安全漏洞,入侵行為。該系統包括脆弱性評估、入侵檢測、web服務器防篡改等機制。
           
           防病毒系統:防范病毒入侵和傳播。
           
           容災備份系統:在服務平臺信息中心對數據進行容災和備份。
           
           接入網VPN:在網絡接入邊界提供VPN接入服務。
           
           ⑵應用安全的建設
           
           應用安全的建設是公眾空間信息共享服務平臺安全保障體系的重點建設內容,在建設過程中,必須考慮以下幾個方面:
           
           統一身份認證:通過跟福州市政務網建立統一接口,利用政務網已經建成的基于LDAP的統一身份認證系統、政務PKI/CA系統為共享服務平臺提供統一的身份認證服務。
           
           授權管理系統:提供授權管理服務,對服務訪問用戶、數據管理用戶、空間信息資源共享平臺用戶及其權限進行統一管理。
           
           數據安全:實現對機密文件進行加密、用訪問控制列表限制數據的訪問。建立關鍵數據的備份和恢復措施。
           
           可信時間戳服務:公眾空間信息共享服務平臺上的應用都具有很強的時序性,可信時間戳服務將成為建立有效服務和監督機制的基石。
           
           安全審計:安全審計對于應用系統安全事故的分析和取證具有重要的作用,已經成為信息系統安全的重要環節。⒊安全組織保障體系
           
           電子政務信息安全的運作需要強有力的組織體系保障,使得有關信息安全管理和實施的政令通暢。通常,電子政務安全組織保障體系包括三個層次,即決策層、管理層和執行層。福州市政務信息中心負責制定全市公眾空間信息共享服務平臺建設規劃、政策法規,負責平臺的建設與管理工作。為了加強安全組織保障體系,必須進一步明確崗位安全職責,明確決策層、管理層和執行層三者的責任和權利,把安全措施落實到具體的崗位。
           
           ⒋安全管理流程控制
           
           信息系統安全需要通過一系列科學規范的安全管理流程組織實施,安全管理流程明確了安全職責的劃分,合理的人員角色定義,可以很大程度上降低安全隱患。因此,公眾空間信息共享服務平臺的建設、運行、維護、管理都要嚴格按制度執行,明確責任義務,規范操作,加強人員、設備的管理。
           
           安全管理制度要通過安全管理流程來系統化實施,共享服務平臺在建立自己的信息安全體系時,其安全管理流程應遵循著名的Plan―Do―Check―Action(PDCA),即“計劃―實施―檢查―措施”四個循環周期來實施。PDCA過程模式可簡單描述如下:
           
           計劃:依照整個方針和目標,建立與控制風險、提高信息安全有關的安全方針、目標、指標、過程和程序。
           
           實施:實施和運作方針(過程和程序)。
           
           檢查:依據方針、目標和實際經驗測量,評估過程業績,并向決策者報告結果。
           
           措施:采取糾正和預防措施進一步提高過程業績。
           
           四個步驟成為一個閉環,通過這個環的不斷運轉,使信息安全管理體系得到持續改進,使信息安全績效螺旋上升。
           
           作者簡介:
           
          信息安全方針和策略范文第5篇
           
           由于審計職業的特殊性,審計人員往往經常出差到異地工作,筆記本電腦已經成為審計人員隨身攜帶的必備工具;筆記本數據的安全又成為審計人員實現計算機數據安全的關鍵。筆者從“硬件”、“軟件”以及“制度”三方面談談如何實現計算機數據的安全。筆記本電腦,應從整體上制訂集體的安全方案,至于個人應根據自身的情況加以區別,但都應包括防盜、防止系統崩潰、防止黑客攻擊和病毒感染以及數據備份,認證加密等。
           
           一、“軟”環境應放在安全意識的首位
           
           從軟件以及相關配置方面,是電腦操作者最關注的事,也是與其最密切相關的。審計人員的筆記本電腦應設置BIOS開機密碼、硬盤密碼,并且使用加密軟件對重要數據進行加密保護外,還要安裝防病毒和防火墻軟件,或者將機密數據保存在移動硬盤、U盤或者刻錄到光盤等存儲介質上加以備份,以防不測。具體應注意以下幾方面:
           
           (一)從開機開始,檢查筆記本電腦的安全保護性能是否完備。這其中又應設置開機密碼,且開機密碼應經常更換和無規律可循。
           
           (二)如有可能要設置硬盤鎖定密碼,確保筆記本電腦被盜后其中所存儲的重要數據不會落入他人之手。大多數筆記本電腦采用密碼機制對數據提供基本的保護措施,所以,最簡單的措施是設置開機密碼。但只設置開機密碼還不能保證數據的安全性,因為竊密人可以將硬盤拆卸下來拿到另外一臺計算機上讀取原始數據,所以還要設置硬盤鎖定密碼,這樣,該筆記本電腦在每次啟動時都必須使用密碼對硬盤解密,這樣一來即使竊密人將硬盤拔插到另一臺計算機上也很難讀取原始數據。
           
           (三)筆記本電腦所使用的操作系統應具有較好的穩定性,同時應使用具有安全防護性能的操作系統,最好在筆記本上安裝WINDOWS2000作為操作系統平臺,并將分區設置為NTFS格式,然后設置登錄密碼,并確保在不使用時處于登錄前狀態,以防止他人乘機竊取筆記本電腦上的機密信息。
           
           (四)對筆記本電腦中所存儲的重要文件采用加密存放的方式進行保護。由于盜竊者攻擊破壞手段的不斷發展,僅僅依靠密碼并不足以阻止經驗豐富的竊密人擦除系統配置信息(包括密碼在內),而后侵入系統,進而獲取其中存放的機密信息。所以,要切實保護筆記本電腦中存儲的機密數據的安全,最好使用磁盤加密程序,如ISS LIMITED公司出品的IPROTECT,至少對于最重要的數據要采取以上保護措施(當然也不要對所有對象都加密,這樣會降低計算機性能)。
           
           (五)時常進行數據備份,以防在萬一丟失筆記本電腦的情況下減小損失。為預防意外,應對筆記本電腦上的數據存有備份,這樣即使筆記本電腦丟失,仍能保證信息不至于丟失,將損失降至最低。
           
           (六)使用數據恢復軟件,減少誤刪除所帶來的影響,建議使用FINAL DATA2.0以上版本。同時對于重要數據要作到徹底的刪除,市場上相關軟件也較多,另外新版的殺毒軟件有許多也擁有上述功能,可以加以發掘使用。
           
           二、硬件方面是實現數據安全的捷徑
           
           如果可能,可以考慮通過購買相關的硬件提高審計人員筆記本電腦整體的安全性,防盜和防泄密。其中電腦防盜鎖簡單實用,成為首選。電腦防盜鎖是專門為保護電腦而設計的。通常筆記本電腦身上都會有一個被稱為“SECURITY SLOT(安全接口)”的橢圓形防盜鎖孔,旁邊有一個鎖形標志,這是KENSINGTON公司的專利標志,現在已經成為電腦業界的標準,目前市場上主流的筆記本產品、PDA、投影儀等都有這種防盜鎖孔。我們常用的筆記本電腦用的防盜鎖孔有線纜鎖和扣式鎖兩種。線纜相對比較便宜且耐用,扣式鎖功能較多但價格較高。
           
           如果審計人員經常在人多的場所使用筆記本電腦,存在向外泄密的可能性,會對計算機數據的安全帶來一定的威脅,可以選配防泄密濾鏡。他是一塊暗色的塑料屏幕,將他用膠帶粘在液晶屏后就只有筆記本正前方的人才能看見屏幕上的內容,而旁邊的人只看見黑屏,從而防止了信息泄密。對于高級用戶,除了上述措施外,建議選購帶有安全解決方案、IC智能卡、指紋識別系統等產品。
           
           當然,移動辦公的安全防護是一個系統工程,也是一個體系,不但包含信息在存儲過程中的安全保護,還包括信息在傳輸流轉過程中的安全防護問題,單是針對移動辦公中的筆記本電腦的信息安全問題,也有很多方面還需要進一步引起重視。
           
           三、安全意思必須通過制度和相應的規則上加以規范
           
           信息安全在于保證信息的保密性、完整性、可用性三種屬性不被破壞。目前,我國的信息安全管理主要依靠傳統的管理方式與技術手段來實現,傳統的管理模式缺乏現代的系統管理思想,用于管理現代信息往往不適用,而技術手段又有局限性。保護信息安全,國際公認最有效的方式是采用系統的方式(管理+技術),即確定信息安全管理方針和范圍,在風險分析的基礎上選擇適宜的控制目標與方式來進行控制。我們在制訂部門信息安全制度或規則時,具體可以考慮具體研究BS7799。BS7799是英國標準協會(BRITISH STANDARDS INSTITUTION,簡稱BSI)制訂的信息安全管理體系標準,它還包括兩部門,其第一部分《信息安全管理實施規則》于2000年底已經被國際標準化組織(ISO)納入世界標準,編號為ISO/IEC17799。
           
           BS7799廣泛地涵蓋了所有的信息安全議題,如安全方針的制定、責任的歸屬、風險的評估、定義與強化安全參數及訪問控制,甚至包含防病毒的相關策略等,其中對于信息安全,特別是計算機數據安全有明確的規定。BS7799已經成為國際公認的信息安全實施標準,適用于各種產業與組織。