信息安全服务体系
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇信息安全服务体系范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
信息安全服务体系范文第1篇
关键词:计算机云服务;政府政务数据;信息安全;体系构建
DOI:10.16640/ki.37-1222/t.2016.03.103
0 引言
随着计算机云服务技术的不断推广和应用,电子政务系统的优化速度变得越来越快,给政府政务信息数据安全管理提出了更高要求,必须注重服务管理体系的综合化、多元化发展,才能促进政府建设的高效性、集约性、便捷性,最终达到提高政务信息管理系统整体效率的真正目的,对于推动我国市场经济快速发展有着非常重要的现实意义。
1 计算机云服务技术在政府政务数据信息安全体系构建中的实际应用
根据政府政务数据信息安全体系构建的整体情况来看,计算机云服务技术的实际应用需要从如下几个方面进行了解:
1.1 技术环境的快速转变
随着政府政务信息数据的不断增多,其技术环境政治快速转变,特别是通信技术、移动终端技术、互联网技术等不断应用,使政务数据信息的显示变得更加快捷,在提高政府学习效果上发挥着重要推进作用。在现代技术、操作层面等环境不断优化的情况下,尤其是2Mbps数据传输模式的快速推广,对于实现相关数据在无线网络中的有效传递有着极大影响,是政府政务数据中的图像、声音等数据得到动态化的技术管理的重要支持。所以,移动管理资源、系统学习等想要实现共享,就必须注重整个数据库的信息化建设,才能真正提升其信息化水平。
1.2 系统学习的交互模式
在合理应用计算机云服务技术的情况下,系统学习的交互模式是技术融合的一种新方式,通过交互式的进行各种信息的测验,政府政务数据信息的安全性可以得到有效提高,对于提高政府政务数据信息的系统化、综合化水平有着极大作用。根据政府政务数据信息的系统化学习情况来看,移动运营的综合采用可以通过先进计数方式、群发短信等来完成,对于实现无线通信网络综合管理设备的快速升级有着重要影响。目前,基于C/S构架的移动学习系统的开发,是计算机云服务技术合理应用的重要体现,可以有效提高数据信息的处理效率,如政府政务数据中的网站界面访问、电子邮件等,对于实现政府政务数据信息的整体优化有着重要作用。与此同时,计算机云服务技术的合理应用,可以形成移动学习、数据统计相统一的模式,以在结合J2EE、J2ME等技术的情况下,达到实现政府政务信息数据信息有效交互的真正目的。
1.3 终端发展的相关分析
在移动终端服务设备不断增多情况下,移动终端数据的处理能力在快速提高,并且,整个系统的硬件、软件设备也在向着多样化方向发展,需要提升政府政务数据信息管理的综合化水平,才能更好的满足各种设备的功能需求。例如:在具有语言通信功能的设备中,注重数据计算能力、数据通信能力等在政府政务数据管理中的合理运用,可以实现移动终端操作系统、资源调度与管理的综合化管理,对于构建适用于各种应用的整体管理平台有着极大作用。随着3G、4G等终端技术的不断推广,它们在政府政务信息数据管理中的应用变得越来越广泛,如开放业务、终端制定等平台的科学构建,对于实现数据管理与服务型政务的智能对接有着极大影响。
2 计算机云服务和政务信息化模块的发展分析
2.1 政府信息化发展必须注重智慧
随着信息技术在政府政务数据管理中的不断应用,政府信息化发展的速度变得越来越快,特别是在信息孤岛、互联网条块分割情况下,政府电子政务必须注重各种资源的优化配置,才能实现资源开发、业务协作、市场调研等的全面推进,最终在加强政府数据信息管理和互联网协作的基础上,促进政府整个资源共享力度不断提高。因此,政府信息化发展必须注重智慧,才能不断创新机制和体制,以在政府迅速转变职能的情况下,促进政府电子政务管理系统快速优化,对于提高政府政务信息管理的信息化水平有着重要影响。由此可见,政府信息化发展的新要求,是政府政务信息管理智能化、高效化、集约化发展的重要基础,可以为政府智慧型发展提供重要平台,以在实现内部资源合理运用和综合管理的基础上,为领导制定各种决策提供重要参考依据。
2.2 科学运用资源整合新理念
在政府政务信息数据管理中,资源整合是非常重要的基础,需要注重相关机制的合理构建,并加大法律建设力度,才能真正实现资源整合新理念的科学运用。在实践过程中,政府需要有效破解数据信息中的障碍,特别是数据管理中部门之间、区块之间形成的界限障碍,才能真正提高政府各部门数据信息的关联性,最终实现数据信息跨部门、跨区域、跨业务等多个方面的共享。因此,根据企业、政府、民众等的信息需求,注重政府政务数据信息管理的综合化,需要加强各种资源的科学运用和整合,才能实现政府各部门资源的最优化配置,最终提升政府政务信息数据应用的最大价值。由此可见,注重各种资源的科学运用,提高政府政务数据的应用价值,特别是对海量数据进行深度挖掘、技术处理等,不仅可以为政府的决策层、执行层等制定决策提供更大思考空间,还能促进政府政务信息数据运用不断创新,对于实现政府各部门资源的科学整合有着重要影响。
3 基于计算机云服务的政府政务数据信息安全体系构建策略
在政府政务数据信息管理不断加强的情况下,计算机云服务技术的推广和应用,给政务职能转变提供了重要支持,对于保障政府政务数据信息的安全性和完整性等发挥着非常重要的作用。总的来说,基于计算机云服务的政府政务数据信息安全体系构建策略主要有如下几个方面:
(1)数据挖掘系统技术的科学运用。在政府政务数据信息安全体系的合理构建中,数据挖掘系统技术有着较强的综合性,是计算机云服务技术不断推广的重要体现,特别是计算机云计算处理技术的合理运用,使数据仓库、知识库系统等的运行效率得到了全面提高。随着政府政务数据信息管理的系统化发展,各部门信息数据资源的有效共享,需要注重信息数据的整体挖掘,才能实现数据挖掘技术在开发整合系统中的科学运用,才能真正形成以用户为中心的服务模式,对于推动政府政务数据信息管理信息化发展有着重要影响。根据政府政务数据信息安全体系的构建情况来看,在计算机软件的操作层面进行统计报表的自动生成,并注重政府服务职能中社会综合管理、经济运行状态等方面的技术支撑,可以为政府各部门的领导制定各种决策提供重要参考依据,以在相关法律法规全面实施的情况下,实现政府政务数据信息管理的有效监督。由此可见,在数据挖掘技术科学运用的情况下,注重信息系统备案的合理制定,并通过智能手机、网站、电子显示屏等进行数据信息安全服务,可以不断提高政府政务数据信息的主动性和关联性,对于增强政府和民众之间的互动性有着极大作用,在提高政府政务工作透明度、公正性等多方面有着重要影响。
(2)基于计算机云服务技术的模块运用。在政府政务数据信息管理不断向着信息化方向发展的大环境下,政府部门的智慧型转变,需要注重政府数据存储、分析、挖掘等多方面的能力提升,才能实现政府各种数据信息的合理运用,最终在动态收集、整理各种数据信息的基础上,实现政府政务服务效率、质量等不断提高。在我国市场经济体制不断完善的情况下,不同的民众有着不一样的服务需求,特别是数据量的迅速增长和数据应用需求不断增多,给政府政务数据信息安全体系构建提出了更高要求,需要正确面对这些困扰和挑战,注重数据处理方式的多样化,才能更好的满足计算机云服务技术的应用需求和民众的各种服务需求。由此可见,信息技术、网络技术等快速推广,给政府政务数据信息管理提出的高要求,需要提高各种数据运用的高效性、有效性等,才能真正发挥各种数据的应用价值,最终促进政府职能快速转变和信息化水平快速提升。
(3)信息安全基础设施方案的合理制定。在云计算技术应用范围不断推广的过程中,相关法律体系的不断完善,是其在政府政务数据信息管理中合理应用的重要基础,而技术水平的不断提升,是政府部门服务水平不断提升的重要保障。因此,信息安全基础设施方案的合理制定,需要注重统一性、合理化服务标准和行业规范的构建,如云计算网络安全防范协议、数据保护法等的正确运用,对于提高云计算技术在政府政务数据信息安全体系构建中的应用安全性有着极大作用。在云计算服务范围不断扩大的情况下,政府政务数据信息的管理难度也在快速提高,必须有效解决计算机云服务技术存在安全问题,才能在科学构建相关管理制度的基础上,实现各种数据信息的分级分类管理,是提高云计算服务整体效果的重要保障。目前,分级分类管理制度的合理运用,可以通过使用范围、使用对象等几个标准来进行职责划分,才能为政府政务数据信息管理信息化发展提供信息、基础设施、需求等几个方面的支持,对于实现政府政务数据信息安全体系构建的综合管理有着重要影响。
4 结束语
综上所述,计算机云服务技术在政府政务数据信息管理中的应用,是政务职能快速转变的重要支持,与政府职能智慧化发展有着直接联系,对于提高政府政务数据信息安全体系构建的整体效果有着极大影响。因此,为了不断提高计算机云服务技术的应用效用,必须注重监控手段的合理制定和科学运用,才能真正避免各种安全问题出现,如违法信息的有效过滤系统、数据审计系统等的不断推广,对于提高政府政务数据信息管理工作效率有着重要影响。
参考文献:
[1]骆桂林.电子政务信息网及安全体系建设研究[J].信息与电脑(理论版),2015(19):178-179.
[2]赵震,任永昌.大数据时代基于云计算的电子政务平台研究[J].计算机技术与发展,2015(10):145-148.
信息安全服务体系范文第2篇
随着信息通信技术(ICT)的发展和外包服务的成熟,ICT与供应链的融合越来越紧密。ICT供应链的健康运营和信息安全,对提高供应链节点企业的长期竞争力具有很大的推动作用。但是,由于ICT产品或服务的质量缺陷及供应链的脆弱性,往往导致ICT供应链面临着严峻的信息安全风险的考验。为了加强ICT供应链风险的管理和控制,欧美等国家相继制定了ICT供应链风险管理的标准。目前,关于ICT供应链的相关标准体系有两个:(1)ISO/IEC 27000信息安全管理体系中ISO/IEC 27036-3,该标准是ICT供应链信息安全指南的国际标准,其明确了供应链关系中信息安全风险的评估和应对措施;(2)2013年美国国家标准与技术研究院(NIST)发布的联邦信息系统和组织的供应链风险管理实践指导草案SP800-161。该指导草案是对ISO/IEC 27036-3标准的完善,是通过ICT供应链风险具体路径、供应链风险管理指标以及其他风险缓解活动将ICT供应链风险管理整合到联邦组织采购ICT产品或服务的风险管理体系中,并形成ICT供应链风险管理标准SP800-161。因为SP800-161主要为联邦机构量身定做,具有一定的局限性,而 ISO/IEC 27036是具有普适性的国际主流标准,且具有权威性,故我们主要对供应链信息安全标准ISO/IEC 27036进行分析研究。
2 ISO/IEC 27036标准体系概述
ISO/IEC 27036标准体系由多个标准族集合而成,用于评价和处理供应商在提供服务或产品过程中可能面临的信息安全风险。该标准的制定起因于B2B商业关系中与信息相关产品所产生的信息风险。随着标准的发展,我们认为,只要组织内、外的两个个体存在相互交流或信息交换的情形,都应遵守该信息安全标准体系的要求;但双方不一定产生交易行为,如组织内员工之间的交流或任务的交接等没有产生交易的行为,也应遵守信息安全标准的要求。下面,我们从ISO/IEC 27036标准体系的范围和内容两个方面对ISO/IEC 27036标准进行介绍。
2.1 ISO/IEC 27036标准体系的范围
根据国际标准化组织的文件,ISO/IEC 27036标准体系的范围包括:IT产品和服务范围、标准内容、信息安全控制和组织间关系四个方面。
2.1.1 IT产品和服务范围
IT产品和服务包括:IT外包和云计算服务,其他专业服务(例如,防火墙设置、设备清洁、通讯设备的维护与保养、专家咨询、知识管理、产品或服务的研发、制造、配送及源代码托管服务等),ICT硬件、软件和服务的供应,定制化的产品和服务,以及水电等产品。
2.1.2 标准内容
标准覆盖的内容包括:实施ICT产品和服务时,确保组织战略目标和商业需求的信息安全,降低对供应商的过度依赖。
2.1.3 信息安全控制
要对信息安全的内容进行控制,例如均衡事前准备与分析过程中信息安全的成本、风险和利益;产品和服务供应商是否符合ISO/IEC 27001认证;合作开发和运营中的风险分析、安全设计与识别、资产和事故管理等;信息资产的问责制和责任保护制;明确奖惩及审计制度等。
2.1.4 组织间关系
组织生命周期内的组织关系管理,包括:(1)初始业务范围分析,即自产还是外包决策、多元化还是单一产品决策,以及信息安全需求的定义;(2)产品或服务的采购分析,如组织的运营管理;(3)产品或服务的更新;(4)终止或结束业务关系,或者重新定义企业的业务范围等。
2.2 ISO/IEC 27036标准体系的内容
根据国际标准化组织的相关文件,ISO/IEC 27036《信息技术 安全技术 供应商关系的信息安全》标准体系主要包括四部分:第1部分:概述和相关概念(ISO/IEC 27036-1);第2部分:要求(ISO/IEC 27036-2);第3部分:ICT供应链安全指南(ISO/IEC 27036-3);第4部分:云服务安全指南(ISO/IEC 27036-4)。ISO/IEC 27036-1和ISO/IEC 27036-2是基本规定,ISO/IEC 27036-3和ISO/IEC 27036-4则是具体操作规范与应用。
2.2.1 ISO/IEC 27036标准的概念与相关问题
ISO/IEC 27036-1对ICT供应链所涉及的各个利益相关者和流程进行了规范和定义。例如,需求者是指从另一方获得产品和服务的利益相关者(ISO/IEC 15288:2008,4.1);获取是指获得产品或服务的过程(ISO/IEC 15288:2008,4.2);协议是指工作合作中共同确认的条款和条件(ISO/IEC 15288:2008,4.4);生命周期是指产品或服务从概念到淘汰的全过程(ISO/IEC 15288:2008,4.11);流程是指一组将输入转化为输出的相互关联或相互作用的活动(ISO 9000:2005,3.4.1)。其他的相关概念还有,下游组织和上游组织(ISO 28001:2007,3.10)、 外包、利益相关者、供应商、供应商关系、供应链、系统、信任、可跟踪性等。
通过上述概念,ISO/IEC 27036分析了供应商关系中的几个问题:(1)供应商关系形成的动机,ICT产品或服务外包不仅可以使企业集中核心业务,减少成本,提高服务水平,还能及时更新ICT产品或服务。(2)供应商关系的类型,主要包括购买ICT产品、ICT服务和云计算三类。(3)供应商关系中的信息安全风险与管理,包括以契约和协议的形式降低供应商关系的信任风险;以严格的质量审查减少产品或服务缺陷;监控与识别组织治理的流程,上下级的沟通,以及组织成员的社会文化差异。(4)ICT供应链管理问题,即完善ICT产品或服务的标准采购流程,且ICT产品或服务必须达到要求的信息安全水平。
2.2.2 ISO/IEC 27036标准的结构
由图1可知,ISO/IEC 27036提供了在供应商关系中,如何确保信息安全的多层级国际标准体系。ISO/IEC 27036-1描述了供应商关系中信息安全管理的范围、概念和问题,为ISO/IEC 27036标准体系构建了基本框架。ISO/IEC 27036-2指定了供应商关系中基本的信息安全定义、实现、操作、监控、评估、维护和改善等要求。这些要求支持任何采购和供应的产品和服务,如产品的制造或装配、业务流程采购、软件和硬件的组件、知识流程采购和云计算服务等。ISO/IEC 27036-3提供了具体实施ICT供应链信息安全管理的标准流程。ISO/IEC 27036-4指出云计算在ICT供应链产品和服务中,其应用可能产生的信息安全风险及其管理方法。ISO/IEC 27036标准四个部分的关系如图1所示。
3 ISO/IEC 27036-3——ICT供应链信息安全标准
ICT供应链是ICT产品和服务供应关系的集合,有着多样性的物流和多层次的外包。一般而言,这种网链系统是由组织、人员、流程、产品以及与系统开发生命周期配套的服务和基础设施构成。图2描述了组织、上游供应商和下游需求商组成的ICT供应链。图2中相邻的两个组织,一个称为服务或产品的供应商,另一个称为需求客户。在ICT供应链末端的客户又称为消费者,且消费者一般无法控制上游直接供应商或间接供应商的信息安全要求。
3.1 ICT供应链相关风险
ICT供应链中往往因个别供应商产品或服务的信息安全风险,而导致整条ICT供应链的需求方和供应商面临风险。同时,因需求方不能干涉供应商的相关程序,而使得需求方无法通过沟通、监视和加强信息安全管理来控制上游供应商的信息安全风险。然而,供应商和需求方共同面临的信息安全风险,往往直接与控制意识不足、ICT产品或服务的拥有权及责任不清等有关。由于供应链中ICT产品和ICT服务所面临的风险有所不同,我们就ICT产品和ICT服务可能的风险进行如表1和表2的分类描述。
3.2 ICT 供应链的信息安全要求
需求方之所以接受供应商的产品、配送和服务,是因为需求方期望获得高于自身信息安全水平的标准。这些标准如下所述:
(1)管理影响企业信息连续、信息系统和服务等信息安全的,且与企业环境相关的政策、法律和信息等安全风险。
(2)管理材料和设备的完整性,例如,独特标记和保护标签等。
(3)管理软件和其他电子信息的完整性,例如,哈希函数的加密和数字水印等确保供应商产品不被盗用。
(4)管理配送中产品和服务等设备的物理安全。
(5)管理所有与供应商有商务往来客户、其他客户、与供应商往来的供应商,以及所有需求方的信息安全。
此外,为了合理管理ICT供应链的信息安全,需求方对获得的产品或服务应在组织层面采纳以下标准框架:①建立信息共享和交换的信息安全规章制度;②评价和监督与供应链相关的信息安全风险;③建立ICT供应链协议和信息安全协议的谈判流程;④持续监测并报告ICT供应链内成员的绩效、信息安全和供应商关系的变化。
3.3 ICT供应链安全标准的相关内容
在供应链中,供应商和需求方之间信息安全管理和控制的实施,并未使产品或服务的信息安全风险得到充分的管理。需求方对供应商产品和服务的管理是信息安全的关键,因为这需要需求方对供应商的系统具有一定的可见性。同样,供应商也经常因与需求方和供应商的关联性而增加了ICT供应链的信息安全风险。ISO/IEC 27036-3为需求方和供应商提供了ICT产品和服务的信息安全风险管理指南,其相关标准条款是基于ISO/IEC 27036-2、ISO/IEC 15288、ISO/IEC 12207和ISO/IEC 27002,并为ISO/IEC 27036-2提供了相应的管理实践。
除上述相关标准的内容外,ICT供应链标准也有针对IT产品和服务的内容,例如,产销监管链、最小特权访问、职责分离、防篡改与证据、持续保护、责任管理、代码评估和验证、安全培训、漏洞评估与响应、定义安全预期、知识产权和责任、避免灰色市场、采购流程管理、质量管理、人力资源管理、项目管理、供应商关系管理、风险和安全管理、配置和变更管理、信息管理、安全架构设计、ICT实施、ICT集成、ICT测试、恶意软件防护、ICT管理、维修和处理。上述ICT供应链特有内容和已有的相关标准共同组成ICT供应链信息安全标准体系,如图3所示。
4 我国实施ICT供应链信息安全的建议
由于我国ICT供应链实施背景与欧美等发达国家有所不同,就会导致ICT供应链信息安全的国际标准在国内实施时有水土不服的现象。鉴于此,结合国际标准,我们对国内实施ICT供应链信息安全的管理实践提出以下建议:
(1)融合ISO/IEC 27036-3标准和SP800-161标准。ISO/IEC 27036-3侧重从实施流程的角度对ICT供应链中IT产品和ICT服务的信息安全风险管理分别进行描述和分析,并指出ICT供应链信息安全的架构设计、实施、集成、测试、恶意软件防护、管理、维修和处理。与ISO/IEC 27036-3不同,SP800-161是从组织层面分析不同组织层次面临的信息安全风险问题。SP800-161标准从组织内部到外部服务商和系统集成商,再到ICT产品和服务的提供商,通过组织内外的脆弱性分析和威胁因素分析,明确了组织面临的ICT供应链信息安全风险。通过对比ISO/IEC 27036-3标准和SP800-161标准的异同,我们认为我国在实施ICT供应链信息安全风险管理过程中要点、线结合,即:以组织的信息安全管理为点,以整条ICT供应链为线,同时从两个角度全面分析ICT供应链所面临的全部可能的信息安全风险,并对安全隐患加以控制。
信息安全服务体系范文第3篇
论文摘要:文章首先分析了信息安全外包存在的风险,根据风险提出信息安全外包的管理框架,并以此框架为基础详细探讨了信息安全外包风险与管理的具体实施。文章以期时信息安全外包的风险进行控制,并获得与外包商合作的最大收益。
1信息安全外包的风险
1.1信任风险
企业是否能与信息安全服务的外包商建立良好的工作和信任关系,仍是决定时候将安全服务外包的一个重要因素。因为信息安全的外包商可以访问到企业的敏感信息,并全面了解其企业和系统的安全状况,而这些重要的信息如果被有意或无意地对公众散播出去,则会对企业造成巨大的损害。并且,如若企业无法信任外包商,不对外包商提供一些关键信息的话,则会造成外包商在运作过程当中的信息不完全,从而导致某些环节的失效,这也会对服务质量造成影响。因此,信任是双方合作的基础,也是很大程度上风险规避的重点内容。
1.2依赖风险
企业很容易对某个信息安全服务的外包商产生依赖性,并受其商业变化、商业伙伴和其他企业的影响,恰当的风险缓释方法是将安全服务外包给多个服务外包商,但相应地会加大支出并造成管理上的困难,企业将失去三种灵活性:第一种是短期灵活性,即企业重组资源的能力以及在经营环境发生变化时的应变能力;第二种是适应能力,即在短期到中期的事件范围内所需的灵活性,这是一种以新的方式处理变革而再造业务流程和战略的能力,再造能力即包括了信息技术;第三种灵活性就是进化性,其本质是中期到长期的灵活性,它产生于企业改造技术基本设施以利用新技术的时期。进化性的获得需要对技术趋势、商业趋势的准确预测和确保双方建立最佳联盟的能力。
1.3所有权风险
不管外包商提供服务的范围如何,企业都对基础设施的安全操作和关键资产的保护持有所有权和责任。企业必须确定服务外包商有足够的能力承担职责,并且其服务级别协议条款支持这一职责的履行。正确的风险缓释方法是让包括员工和管理的各个级别的相关人员意识到,应该将信息安全作为其首要责任,并进行安全培训课程,增强常规企业的安全意识。
1.4共享环境风脸
信息安全服务的外包商使用的向多个企业提供服务的操作环境要比单独的机构内部环境将包含更多的风险,因为共享的操作环境将支持在多企业之间共享数据传输(如公共网络)或处理(如通用服务器),这将会增加一个企业访问另一企业敏感信息的可能性。这对企业而言也是一种风险。
1.5实施过程风险
启动一个可管理的安全服务关系可能引起企业到服务外包商,或者一个服务外包商到另一个外包商之间的人员、过程、硬件、软件或其他资产的复杂过渡,这一切都可能引起新的风险。企业应该要求外包商说明其高级实施计划,并注明完成日期和所用时间。这样在某种程度上就对实施过程当中风险的时间期限做出了限制。
1.6合作关系失败将导致的风险
如果企业和服务商的合作关系失败,企业将面临极大的风险。合作关系失败带来的经济损失、时间损失都是不言而喻的,而这种合作关系的失败归根究底来自于企业和服务外包商之间的服务计划不够充分完善以及沟通与交流不够频繁。这种合作关系在任何阶段都有可能失败,如同其他商业关系一样,它需要给予足够的重视、关注,同时还需要合作关系双方进行频繁的沟通。
2信息安全外包的管理框架
要进行成功的信息安全外包活动,就要建立起一个完善的管理框架,这对于企业实施和管理外包活动,协调与外包商的关系,最大可能降低外包风险,从而达到外包的目的是十分重要的。信息安全外包的管理框架的内容分为几个主体部分,分别包括企业协同信息安全的外包商确定企业的信息安全的方针以及信息安全外包的安全标准,然后是对企业遭受的风险进行系统的评估.并根据方针和风险程度.决定风险管理的内容并确定信息安全外包的流程。之后,双方共同制定适合企业的信息安全外包的控制方法,协调优化企业的信息安全相关部门的企业结构,同时加强管理与外包商的关系。
3信息安全外包风险管理的实施
3.1制定信息安全方针
信息安全方针在很多时候又称为信息安全策略,信息安全方针指的是在一个企业内,指导如何对资产,包括敏感性信息进行管理、保护和分配的指导或者指示。信息安全的方针定义应该包括:(1)信息安全的定义,定义的内容包括信息安全的总体目标、信息安全具体包括的范围以及信息安全对信息共享的重要性;(2)管理层的目的的相关阐述;(3)信息安全的原则和标准的简要说明,以及遵守这些原则和标准对企业的重要性;(4)信息安全管理的总体性责任的定义。在信息安全方针的部分只需要对企业的各个部门的安全职能给出概括性的定义,而具体的信息安全保护的责任细节将留至服务标准的部分来阐明。
3.2选择信息安全管理的标准
信息安全管理体系标准BS7799与信息安全管理标准IS013335是目前通用的信息安全管理的标准:
(1)BS7799:BS7799标准是由英国标准协会指定的信息安全管理标准,是国际上具有代表性的信息安全管理体系标准,标准包括如下两部分:BS7799-1;1999《信息安全管理实施细则》;BS7799-2:1999((信息安全管理体系规范》。
(2)IS013335:IS013335《IT安全管理方针》主要是给出如何有效地实施IT安全管理的建议和指南。该标准目前分为5个部分,分别是信息技术安全的概念和模型部分;信息技术安全的管理和计划部分;信息技术安全的技术管理部分;防护和选择部分以及外部连接的防护部分。3.3确定信息安全外包的流程
企业要根据企业的商业特性、地理位置、资产和技术来对信息安全外包的范围进行界定。界定的时候需要考虑如下两个方面:(1)需要保护的信息系统、资产、技术;(2)实物场所(地理位置、部门等)。信息安全的外包商应该根据企业的信息安全方针和所要求的安全程度,识别所有需要管理和控制的风险的内容。企业需要协同信息安全的外包商选择一个适合其安全要求的风险评估和风险管理方案,然后进行合乎规范的评估,识别目前面临的风险。企业可以定期的选择对服务外包商的站点和服务进行独立评估,或者在年度检查中进行评估。选择和使用的独立评估的方案要双方都要能够接受。在达成书面一致后,外包商授予企业独立评估方评估权限,并具体指出评估者不能泄露外包商或客户的任何敏感信息。给外包商提供关于检查范围的进一步消息和细节,以减少任何对可用性,服务程度,客户满意度等的影响。在评估执行后的一段特殊时间内,与外包商共享结果二互相讨论并决定是否需要解决方案和/或开发计划程序以应对由评估显示的任何变化。评估所需要的相关材料和文档在控制过程中都应该予以建立和保存,企业将这些文档作为评估的重要工具,对外包商的服务绩效进行考核。评估结束后,对事件解决方案和优先级的检查都将记录在相应的文件中,以便今后双方在服务和信息安全管理上进行改进。
3.4制定信息安全外包服务的控制规则
依照信息安全外包服务的控制规则,主要分为三部分内容:第一部分定义了服务规则的框架,主要阐明信息安全服务要如何执行,执行的通用标准和量度,服务外包商以及各方的任务和职责;第二部分是信息安全服务的相关要求,这个部分具体分为高层服务需求;服务可用性;服务体系结构;服务硬件和服务软件;服务度量;服务级别;报告要求,服务范围等方面的内容;第三部分是安全要求,包括安全策略、程序和规章制度;连续计划;可操作性和灾难恢复;物理安全;数据控制;鉴定和认证;访问控制;软件完整性;安全资产配置;备份;监控和审计;事故管理等内容。
3.5信息安全外包的企业结构管理具体的优化方案如下:
(1)首席安全官:CSO是公司的高层安全执行者,他需要直接向高层执行者进行工作汇报,主要包括:首席执行官、首席运营官、首席财务官、主要管理部门的领导、首席法律顾问。CSO需要监督和协调各项安全措施在公司的执行情况,并确定安全工作的标准和主动性,包括信息技术、人力资源、通信、法律、设备管理等部门。
(2)安全小组:安全小组的人员组成包括信息安全外包商的专业人员以及客户企业的内部IT人员和信息安全专员。这个小组的任务主要是依照信息安全服务的外包商与企业签订的服务控制规则来进行信息安全的技术性服务。
(3)管理委员会:这是信息安全服务外包商和客户双方高层解决问题的机构。组成人员包括双方的首席执行官,客户企业的CIO和CSO,外包商的项目经理等相关的高层决策人员。这个委员会每年召开一次会议,负责审核年度的服务水平、企业的适应性、评估结果、关系变化等内容。
(4)咨询委员会:咨询委员会的会议主要解决计划性问题。如服务水平的变更,新的技术手段的应用,服务优先等级的更换以及服务的财政问题等,咨询委员会的成员包括企业内部的TI’人员和安全专员,还有财务部门、人力资源部门、业务部门的相关人员,以及外包商的具体项目的负责人。
(6)安全工作组:安全工作组的人员主要负责解决信息安全中某些特定的问题,工作组的人员组成也是来自服务外包商和企业双方。工作组与服务交换中心密切联系,将突出的问题组建成项目进行解决,并将无法解决的问题提交给咨询委员会。
(7)服务交换中心:服务交换中心由双方人员组成,其中主要人员是企业内部的各个业务部门中与信息安全相关的人员。他们负责联络各个业务部门,发掘出企业中潜在的信息安全的问题和漏洞,并将这些问题报告给安全工作组。
(8)指令问题管理小组:这个小组的人员组成全部为企业内部人员,包括信息安全专员以及各个业务部门的负责人。在安全小组的技术人员解决了企业中的安全性技术问题之后,或者,是当CSO发布了关于信息安全的企业改进方案之后,这些解决方案都将传送给指令问题管理小组,这个小组的人员经过学习讨论后,继而将其发布到各个业务部门。
(9)监督委员会:这个委员会全部由企业内部人员组成。负责对外包商的服务过程的监督。
信息安全服务体系范文第4篇
学校信息管理系统受到来自外部的攻击等恶意行为,部分系统在受到黑客等外部入侵或者攻击后,可能变为黑客利用的工具,然后再次攻击其它计算机。而学校信息系统的内部攻击主要是内部用户的不当行为,内部用户的尝试授权访问、探测预攻击等行为,如Satan扫描等都可能影响到校园网络的正常运行。1.4资源滥用和不良信息的传播校园网中的一些内部用户滥用网络资源,如利用校园网下载商业资料等,这样就让大量校园信息资源被占用。同时一些用户会在有意识或者无意识的情况下,在校园网络中传播不良信息,或者发送垃圾邮件,这些行为都增加了安全隐患。
2学校信息管理系统的安全防护体系模型
学校信息管理系统的安全建设属于一个系统而复杂的工程,需要根据信息系统的实际需求,构建动态的安全防护体系调整策略。信息系统的安全建设过程不属于单纯的技术问题,也并非将技术与产品简单堆砌在一起,而是需要我们积极转变思想观念,综合策略、技术和管理等多方面的因素,进一步形成动态的、可持续发展的过程。学校信息管理系统的主要服务对象是教学和学生,而大学生是网络中十分活跃的群体,因此,构建校园网络信息安全防护体系是十分必要的。本文结合P2DR模型,构建出了一个动态、多层次的校园网络信息安全防护体系模型如图1所示。计算机系统中会出现很多新的漏洞,新的病毒以及黑客攻击手法也不断涌现,同时校园网络自身也是动态变化的,因此,在构建好一个校园网络信息安全防护体系后,网络管理者必须对该防护体系进行实时更新,并定期进行维护,以此保障该防范体系的稳定运行,进而保障校园网络的安全性和有效性。在校园网络信息安全防范体系中,将安全策略作为中心内容,而安全技术为该体系提供支持,安全管理是一种执行手段,并积极开展安全培训,提高用户的网络信息安全意识,以此让安全防范体系得以不断完善。在这个信息安全防范体系中,安全策略是最为基础和核心的部分,它可以在检测、保护等过程中指导和规范文件。可以说该体系中所有活动的开展实施,都是在安全策略的架构下完成的。安全技术为信息安全的实现提供了支撑,其中涵盖了产品、工具和服务等内容。信息系统中常用的安全技术有入侵检测、漏洞扫描和系统防火墙等,这些技术手段是安全防范体系中较为直观的构成部分,也是其中必不可少的内容,缺少了任何一项都有可能引发巨大的威胁。由于学校的资金等条件有限,在构建安全防范体系过程中,对于部分技术无法及时部署,这时候就需要以安全策略作为参考,制定合理的实施方案,让所有的安全技术构成一个有机整体。
3建设校园网络信息安全防护体系的目标与策略
3.1网络信息安全防护体系的建设目标
根据学校信息管理系统中存在的安全问题,综合考虑安全策略、技术和管理等多方面的内容,制定出一个动态的信息安全防范方案,并根据该方案构建安全、稳定、易于管理的数字化校园,保障学校信息管理系统的正常运行,这就是网络信息安全防护体系的建设目标。具体来讲,就是首先提高学校主干网络的稳定性,以此保障校园信息系统的可靠性。其次,不断完善学校网络信息安全管理体制,运用有效的安全防护手段,严格控制访问并核实用户身份,确保信息的保密性和真实性。第三,避免校园网络中内部或者外部的攻击、破坏,维护系统的稳定、安全运行。第四,在保障安全的基础上,防护体系应该尽可能地为系统的各项应用提供便利,全网的身份认证应该统一,并对角色访问进行适当控制。第五,构建稳定、安全和操作性强的网络信息平台,为学校的管理、教学等活动提供支撑。
3.2网络信息安全防护体系的建设策略
结合相关的安全防范体系模型,我们可以从安全策略、技术和管理等方面开展安全防护体系的建设工作。安全策略是建设工作的核心内容,所有的工作都应该以此为参考。在建设过程中,首先应该制定总体的安全防护体系建设方针,然后构建网络信息安全防范体系,并在这个基础上制定相关的网络安全策略,如病毒防护、系统和数据安全等。在这个过程中为了确保安全策略的顺利实施,也需要制定相应的安全管理体制,并给出规范的操作流程。
4校园网络信息安全防护体系的总体架构
4.1划分安全区域
在网络信息安全防护体系的建设过程中,分层和分区防护是其较为基本的原则,要想保障信息安全防护体系的完整性,应该综合考虑安全防护层次和区域这两个方面。根据校园信息管理系统的实际需求,可以把安全防护体系划分为5个安全区域(如下图2),然后根据每一个安全区域的具体特征,制定相关的安全防护策略。在每一个划分的安全区域中,其安全防护也可以分为物理、系统、应用和数据安全这5个层次。
4.2互联网边界和校园骨干网安全区域的架构
为了保障互联网边界和校园骨干网中数据的可靠传输,以及保障各项业务的正常运作,可以根据网络的实际需求,将双核心冗余结构应用于核心交换设备中,让核心交换设备与每一个汇聚交换设备实现双上联。将带宽管理设备、防火墙和链路负载均衡设备设置在互联网边界上,并在防火墙的隔离区设置域名解析和邮件服务等公共服务器。首先将防DDoS设备设置于外部网络中,以此避免校园网络以及内部用户受到外界攻击;将基于端口的地址转换应用于互联网的出口,这样外部用户就得不到真实的内部用户地址;在系统数据中心防火墙的隔离区放置公共服务器。
4.3校园数据中心安全区域的架构
根据学校建设数字化校园的实际情况,以及信息系统各服务器之间的关系,可以将校园数据中心划分为多个安全子区域,如应用服务器外区和内区、公共服务器区和数据库服务区。其中公共服务器中有电子邮件、Web等重要服务器,因此需要配备2台以上档次相同的物理服务器,服务器的高性能主要通过系统的负载均衡设备来体现。在防火墙的隔离区设置校园托管服务器,以避免外部用户的访问。要想将校园数据中心网络和校园网连接起来,需要经过核心交换机中的虚拟防火墙,防火墙隔离区的公共服务器能够为外部网络提供服务,并可以保护网络免受外界攻击。数据中心的服务器可以通过负载均衡设备来均衡负载,以此优化网络服务,并发挥安全冗余的作用;由IPS实现对网络攻击的阻断,防止超文本传输服务器在统一身份认证等过程中外部用户的访问。
5结语
信息安全服务体系范文第5篇
论文摘要:作为未来最适应时代要求的政府工作形态,电子政务建设是我国当前信息化工作的重,点,未来政府办会发展的趋势。本文探论了综合电子政务平台的棍念、结构和相关技术,分析了电子政务所面临的安全威胁,并提出了相应的解决方案。
1综合电子政务平台概述
电子政务是指政府机构应用信息技术提高政府事务处理的信息流效率,对政府机构和职能进行优化,改善政府组织和公共管理能力。通常由核心网络、接人网络及访问网络三部分组成。建设内容一般包括:电子政务网络平台、政府门户网站、电子政务主站点、“一站式”行政审批系统、视频会议系统、公文交换和信息报送系统、电子邮件系统、办公自动化系统等。
电子政务网络平台网络结构中,核心网络拥有重要的信息资源,并处理政府部门间的核心业务。政府部门间的数据交换流程是闭环的,即任何一个节点既是用户又是数据源。因此,核心网络节点之间的业务流程应该是高速、严密、安全的,并且有严格的审核机制。核心网络与接人网络形成上下级关系的协同工作平台,进行信息、数据的交换。它们之间的信息往来必须具备信任安全体系。政府核心网络面向社会公众提供信息服务,对外宣传政府信息,与访问网络建立连接。
2综合电子政务平台的安全风险
2.1网络安全域的划分和控制问题
电子政务中的信息涉及国家秘密、国家安全,因此它需要绝对的安全。但是同时电子政务现在很重要的发展方向是要为社会提供行政监管的渠道,为社会提供公共服务,如社保医保、大量的公众咨询、投诉等等,它同时又需要一定程度的开放。因此如何合理地划分安全域显得非常重要。
2.2内部监控、审核问题
目前绝大部分单位都没有系统可以实时地对内部人员除个人隐私以外的各项具体操作进行监控和记录,更不用谈对一些非法操作进行屏蔽和阻断了。
2.3电子政务的信任体系问题
电子政务要做到比较完善的安全保障体系,第三方认证是必不可少的。只有通过一定级别的第三方认证,才能说建立了一套完善的信任体系。
2 .4数字签名(签发)问题
在电子政务中,要真正实行无纸化办公,很重要的一点是实现电子公文的流转,而在这之中,数字签名(签发)问题又是重中之重。
2.5电子政务的灾难响应和应急处理问题
很多单位在进行网络规划的时候,没有考虑到作为系统核心部分一一数据库本身的安全问题,完全依赖干整个网络的防护能力,一旦网络的安全体系被穿破或者直接由内部人员利用内网用户的优势进行破坏,“数据”可以说无任何招架之力
3综合电子政务平台安全体系建设方案
3 .1技术保障体系
技术保障体系是安全管理体系的重要组成部分。它涉及两个层面的问题,一是信息安全的核心技术和基本理论的研究与开发,二是信息安全产品和系统构建综合防护系统。
信息安全技术。信息安全的核心技术主要包括数据加密技术、信息隐藏技术和信息认证技术。数据加密是把有意义的信息编码为伪随机性的乱码,以实现信息保护的目的。数字签名是指只有发送者才能产生的别人无法伪造的一段数字串,这段数字串同时也是对发送者信息真实性的证明。
信息安全防护体系。目前,主要的信息安全的产品和系统包括防病毒软件、防火墙、入侵检测系统、漏洞扫描、安全审计系统、物理隔离系统等。我们可采用屏蔽子网体系结构保证核心网络的安全。屏蔽子网体系结构通过添加额外的安全层到被屏蔽主机体系结构,即通过添加周边网络更进一步地把内部网络与internet隔离开。在这种结构下,即使攻破了堡垒主机,也不能直接侵人内部网络,它将仍然必须通过内部路由器。
3.2运行管理体系
安全行政管理。电子政务的安全行政管理应包括建立安全组织机构、安全人事管理、制定和落实安全制度。
安全技术管理。电子政务的安全技术管理可以从三个方面着手:硬件实体、软件系统、密钥。
风险管理。风险管理是对项目风险的识别、分析和应对过程。它包括对正面事件效果的最大化及对负面事件影响的最小化。
3.3社会服务体系
安全管理服务。目前,一些信息安全管理服务提供商(managed security service providers, mssp)正在逐步形成,它们有的是专门从事安全管理服务达到增值目的的,有的是一些软件厂商为弥补其软件系统的不足而附加一些服务的,有的是一些从it集成或咨询商发展而来提供信息安全咨询的。
安全测评服务。测评认证的实质是由一个中立的权威机构,通过科学、规范、公正的测试和评估向消费者、购买者即需方,证实生产者或供方所提供的产品和服务,符合公开、客观和先进的标准。
应急响应服务。应急响应是计算机或网络系统遇到安全事件如黑客人侵、网络恶意攻击、病毒感染和破坏等时,所能够提供的紧急的响应和快速的救援与恢复服务。
3.4基础设施平台
法规基础建设。主要有以下几方面:在国家宪法和各部门法中对各类法律主体的有关信息活动涉及国家安全的权利和义务进行规范,形成国家关于信息及信息安全的总则性、普适性的法规体系;针对各类计算机和网络犯罪,制订直接约束各社会成员的信息活动的行为规范,形成计算机、网络犯罪监察屿防范体系;对信息安全技术、信息安全产品(系统)的授权审批应制订相应的规定,形成信息安全审批与监控体系;针对信息内容的安全与保密问题,制订相应规定,形成信息内容的审批、监控、保密体系;从国家安全的角度,制订网络信息预警与反击体系等。
