信息安全心得体会合集12篇
信息安全心得体会篇1
1、领悟到“学无止境”的含义。
本次培训主要任务是学会散布式网络的设计与利用,网络互连技术,和网络利用中如何保证信息的安全,通过理论与实践相结合,进1步加深我们对理论知识的理解。老师通过沟通了解,有针对性的教我们1些网络信息安全方面的知识。“纸上得来终觉浅,绝知此事要躬行!”在短暂的培训进程中,让我深深的感觉到自己在实际应用中的专业知识的匮乏。让我们真正领悟到“学无止境”的含义。
2、内容丰富,案例真实且实用。
张晓峰老师从中石化、中海油、核电、政府信息中心等真实案例动身,对信息安全从合规化建设入手到影响信息安全的诸多因素进行了深入解析。同时,张老师利用NetMeeting展现和WINDOWS2003虚拟环境进行学员间的攻防演练的授课情势也得到了学员的认可。
3、培训具有生产实用价值。
信息安全培训是本钱最低、最有效利用现有技术和资源的、效果最快最显著的信息安全管理措施。通过本次CISP培训,使我对工作中的信息安全全部领域有所了解,对产后学校信息安全的布置和设置有的放矢,能够减少没必要要的投入浪费并对网络的良好运行起到应有的作用。
谈到心得,就不能不提学校订于信息化建设的重视,几年来学校不断加强校园信息化建设,信息化和数字化校园建设获得了公认的成效。学校也非常重视对信息化工作人员的培训,为我们提供了很好的学习进修的机会,我会在今后的工作中把学到的东西充实到工作实践中去,指点工作使培训能真正体现它的价值。
信息安全的心得体会
信息安全心得体会篇2
一直以来,广发银行信用卡中心十分重视信息安全工作,为全面保障信用卡业务的信息安全,保护好客户数据的安全,广发银行信用卡中心在2006年组建了专职的信息安全管理团队,参照ISO27001国际信息安全管理体系标准逐步建立起适合广发银行信用卡中心业务特色的信息安全管理体系框架。
2009年,广发银行信用卡中心开始实施ISO27001项目一期(ISO27001国际信息安全管理体系认证)。
2010年6月通过DNV(挪威船级社)的认证审核,获得UKAS国际信息安全管理体系证书,成为国内第一家信用卡业务领域通过ISO27001认证的千万量级发卡行。
2011年,为符合国家和行业监管要求,广发银行信用卡中心实施了ISO27001项目二期(GBT22080国家信息安全管理体系认证),2011年10月通过中国信息安全认证中心的认证审核,获得国家信息安全管理体系证书。
信息安全心得体会篇3
北邮从1993年开始招收密码学硕士生,1998年设立密码学博士点,2003年同时设立信息安全硕士点和博士点,2004年密码学博士后流动站正式获得批准。此前,从1981年开始,北邮就以“信号与信息处理”学科为基地,培养信息安全类专业的硕士生和博士生。目前,北邮以信息安全为研究方向的在校研究生规模略大于在校本科生规模。
在信息安全类专业人才培养方面,北邮的策略是:以研究生培养带动本科生培养,以科研促进教学,形成产、学、研、用之间的良性互动。北邮信息安全类本科专业和研究生学科的培养均以“北京邮电大学信息安全中心”(信息产业部重点实验室)为依托。
下面结合北邮多年来在信息安全类专业建设和人才培养方面的经验和教训,比较全面地介绍我们自己的体会,希望有助于国内兄弟院校更好地承办信息安全类专业,有助于互相学习,整体提高我国信息安全类专业的教育水平。
体会1:良好的生源是确保高水平教育质量的基础。由于我国信息行业的强劲发展势头,使得北邮的整体生源情况很好,北邮的高考录取线始终处于全国前列。但是,信息安全专业并不是北邮的主流专业,因此,作为一个新兴专业,“信息安全”要想在北邮占据生源相对优势必须面对十分艰巨的竞争。为此,我们在校内主打“特色牌”和“综合牌”:把信息的获取、传递、存储、处理、控制、管理、应用与安全结合起来,特别侧重网络与信息安全、通信系统安全、现代密码学、数字内容安全的理论与应用。形象地说,我们把北邮的信息安全专业办成了所有其他主流专业的不可缺少的核心技术支撑专业,不但使其他专业的毕业生以毕业后能进入信息安全专业读研究生为荣,而且还吸引了不少其他专业的尖子生利用在学期间的转专业机会挤进信息安全专业。
从最近两年的统计数据看,北邮信息安全本科专业在全国的招生录取线一般都超过当地重点录取线的70-100分以上,在大部分省市超过北邮的平均录取分。
体会2:明确的培养目标是全体师生齐心协力的关键。北邮信息安全本科专业的培养目标始终锁定在培养掌握信息安全的基本理论与方法,具备系统工程、计算机技术和网络技术等方面的专业知识,运用所学知识与技能去分析和解决相关的实际问题,具有较高的综合业务素质、较强的创新与实践能力,可在信息产业以及其他国民经济部门从事各类信息安全系统、计算机安全系统的设计、开发、研究、教学等工作的高级工程技术人才。
为了实现该培养目标,我们采取了许多非常规的措施,比如,以个性化培养模式来培养杰出学生(北邮信息安全专业对学有余力的本科生采用3+1模式,即最后一年除了开设专业选修课之外,开始进行毕业设计,使得学生有更多的时间在指导老师的带领下,锻炼其发现问题和解决问题的能力,进行创新能力培养);安排优秀学生尽早加入到研究生的研究课题之中,体会“学”与“研”结合的真谛(个别大学生早在一年级时就成为了研究生的科研助手);跨学科培养,逐步形成核心课程体系,鼓励开设特色课程;鼓励学生大胆创新,积极参加各类课外活动。
事实证明,到目前为止,北邮信息安全专业的培养目标已经达到,而且培养效果令人满意。北邮信息安全专业的学生思维活跃,创新意识强。由北邮安全专业的学生为主要成员的北京邮电大学BuptUnited团队在CSIDC 2006年度国际设计竞赛中,取得全球第二名的优异成绩。(由IEEE计算机协会主办,微软公司赞助的CSIDC 2006年第七届国际计算机设计竞赛是世界性的顶级赛事,对于计算机科学和计算机工程领域内的大学生来说,这是一项在世界范围内最为重要、最为活跃的赛事。其参赛作品:A1 Coal Mine Enhancement System经过初赛、在华盛顿特区举行的总决赛的激烈竞争,从全球100多所高校的185支代表队中脱颖而出,最终取得了全球第二名的优异成绩,并获得1.2万美金的奖励。这一名次创造了中国大陆大学生在此项赛事中的最佳记录。)同时,北京邮电大学BuptUnited团队在微软举办的“WESC 2006年度国际嵌入式开发大赛”中取得全球第五名的好成绩。北邮信息安全专业的学生积极参加校内的创新竞赛活动,在北京邮电大学第六届学生“创新奖”中获得一等奖1人次,二等奖2人次,三等奖1人次。
至今,北邮信息安全专业的毕业生中大约有2/3的人员继续攻读研究生(其中20%出国深造),另1/3到国内电信、信息及信息安全的大中型企业中就业。
体会3:综合素质与能力的培养是打造信息安全类专业学生核心竞争力的法宝。过于注重考试和书本知识的学生不是信息安全类专业的好学生,“个人英雄主义”也不是信息安全类专业的学生素质要求,“情商”和“智商”对信息安全类专业的学生来说同等重要。基于这些认识,北邮特别重视对信息安全专业学生的以下四个素质和三项能力的培养:
* 思想道德素质:政治素质、思想素质和道德品质好,法制意识、诚信意识和团体意识强。
*文化素质:具有一定的文化素养、文学艺术修养、现代意识和人际交往意识。
*专业素质:掌握科学的思维方法和研究方法,求实创新意识、工程意识和效益意识较强,有很好的科学素养、综合分析素养和创新精神。
*身心素质:身体素质和心理素质好,能够在激烈的信息安全智力竞争中始终保持积极的心态,即使是受到失败的打击。
*获取知识的能力:具有一定的表达能力和社交能力,具有较强的计算机及信息通信技术应用能力,自学能力较强,具有跟踪掌握该领域新理论、新知识、新技术的能力。
*应用知识的能力:具有一定的综合应用知识解决问题的能力和综合实验能力,较强的工程实践能力和工程综合能力。
*创新能力:具有一定的创造思维能力、创新实验能力、技术开发能力和科研能力,甚至具有一定的创业意识。
体会4:强大的师资队伍是培养高质量学生的根本保障。北邮信息安全专业的师资主要来自于北京邮电大学信息安全中心。师资队伍中有包括长江学者特聘教授、博士导师、教授、副教授等近三十人。在学生的培养过程中,我们随时都感受到师资力量的严重不足。信息安全类专业需要如下各种类型师资的和谐搭配。
(1) 科学家型的师资:信息安全是对抗性极强的专业,许多科学难题有待攻克,同时也需要学生掌握解决各种新出现的科学问题的基本思路与能力。北邮虚心向科学院的相关专家学习,聘请他们以多种形式担任北邮信息安全专业的师资。
(2) 工程师型的师资:信息安全面临大量工程课题,许多工程项目知识并不能通过简单的课堂教学来传授,因此,必须聘请有实际工程经验的师资来直接指导学生。北邮信息安全专业主要通过在大型企业中建立本科生教学实习基地等形式来创造本科生与工程师零距离接触的机会。
(3) 企业家型的师资:如果中国的信息安全企业不强大,那么中国的信息安全事业将永远没有主动权。中国不但需要信息安全的业务骨干,也同样需要信息安全的创业者和企业家。完美的“儒”“商”融合必须从师资开始。北邮的教授们带头创业,并积极鼓励学生创业创新。
为了提高国内信息安全专业类专业的师资水平,考虑到信息安全是一个新办专业,各开办学校需要一个交流的平台,2003年,由北京邮电大学发起,由来自全国各地的六十余所高校,组织成立了“全国信息安全专业师资交流与培训互助组”(简称“互助组”)。如今,“互助组”已经进行了四次全国性的大型活动:全国信息安全专业教学经验交流和师资培训研讨会(2004年10月北京);全国信息安全专业实验课程教学经验交流研讨会(2005年5月北京);全国信息安全专业实验课程师资交流与培训研讨会(2005年8月绵阳);全国高校信息安全实验室建设经验交流研讨会(2006年7月绵阳)。目前,“互助组”还正在筹备全国高校信息安全毕业生与用人单位交流会。
随着教育部信息安全类专业教学指导委员会(以下简称“教指委”)的成立,今后,“互助组”的师资培训与交流活动将以适当的形式纳入到教指委的活动之中,而且“互助组”的成员单位也将以适当的形式参加教指委的更多的活动。
体会5:信息安全类本科专业规范建设刻不容缓。专业规范是本科专业建设的“小宪法”,但是,由于历史的原因,国内信息安全类专业的许多高校都是在没有专业规范的情况下,借助各自在信息安全类专业的研究生培养经验举办富有特色的本科专业。2004年,受教育部相关机构的委托,北京邮电大学牵头,相关大学参与,共同研究制定了“信息安全专业规范(科学技术型)(工程技术型)”。该“专业规范”从课程设置、教材建设、实验条件、毕业实习、工程实践等方面对信息安全专业进行了规范。但是,随着信息安全教指委的正式成立,急需出台更加全面、适应面更广的信息安全专业规范。
体会6:信息安全专业教材与课程建设是核心。信息安全专业建设的规范制定之后,教材和课程建设就必须进入议事日程了,这又是新成立的信息安全教指委的另一项紧急任务。
2004年北京邮电大学组织出版了一套信息安全的专业课系列教材(共六本,《现代密码学基础》、《信息安全概论》、《网络安全》、《入侵检测》、《信息隐藏与数字水印》、《计算机病毒原理与防治》),该套教材是教育部“普通高等教育‘十五’部级教材规划”和北京市 “精品教材立项”。目前正根据使用情况以及专业课程的需要对该套教材进行修订和再版。希望教育部信息安全教指委能够组织全国专家,尽快出版更加权威的系列教材,以供相关高校急用。
信息安全专业是一个对实验及实践能力要求比较高的专业,根据专业建设的要求,北邮于2005年出版了《信息安全实验教程》(国防工业出版社),并组织了全国信息安全专业实验室建设和实验课程教学经验交流研讨会,邀请了北京邮电大学、上海交通大学、武汉大学等信息安全实验室建设及实验教学有特色的学校进行了交流。同时,根据“互助组”相关学校的要求,我们帮助一些学校完成了信息安全专业实验室建设工程(包括湖南大学、南京航空航天大学、中国防灾高高等专科学校等)。北邮将乐于为更多的高校建设合格的信息安全专业实验室。
在本科教学中,精品课和精品教材的建设非常重要。2006年,北京邮电大学信息安全专业基础课“现代密码学”被评为北京市精品课。2007年,该门课程被教育部信息安全教指委推荐申报部级精品课。如今,北邮正继续建设信息安全的重要专业基础课“信息安全”、“网络安全”等精品课及精品教材。希望在教育部信息安全教指委的指导下,国内有更多信息安全类专业的精品教材和精品课程诞生,这将有助于提高信息安全专业的整体地位,有助于早日将信息安全设立为一级学科。
在信息安全专业本科生培养过程中,实习和实践是非常重要的一环。为了满足信息安全专业建设的需要,北京邮电大学在四川绵阳建设了一个占地面积40亩,设施齐全师资雄厚的开放式“全国信息安全专业本科生毕业实习基地”,目前该基地已接待包括北京邮电大学、西南交通大学、成都理工大学、云南大学、中国传媒大学、绵阳师范学院、东北大学(秦皇岛分校)、中国防灾高等专科学校等学校的信息安全及相关专业学生进行多种模式的实习及实训(长、中、短期模式:“3+1”、3个月、10天)。建议教育部信息安全教指委积极指导信息安全专业的实习实训基地建设,制定统一的基地标准。
体会7:信息安全类专业建设刚刚起步,任重而道远。教育部信息安全教指委的正式成立无疑会大大加速国内信息安全专业的整体建设,但是,当前面临的困难和问题还很多,比如:
*目前信息安全专业学科的设置与国家对信息安全保障及人才培养的重视程度不相符合。“信息安全本科专业”还是目录外专业,可以分别授予工学和理学学士学位;国内各高校根据自己的优势,把信息安全专业放在理学院、计算机学院、通信学院、信息学院,等。
*在研究生层次“信息安全”是一个二级学科,造成了事实上我国信息安全专业设置比较混乱的局面:一些高校的信息安全学科基本上作为计算机科学与技术学科的二级学科;也有一些高校将信息安全学科作为通信与信息系统或者数学学科下的二级学科;与信息安全关系密切的信息对抗学科一般被放在电子工程学科下;作为信息安全的核心学科“密码学”所属的一级学科是“军队指挥学”,这显然与当前的实际情况有很大出入。
*由于专业设置的问题,导致课程体系也有不少问题:多数学校举办的信息安全本科专业都是密码学、计算机科学与技术或信息与通信工程等相近学科课程体系的扩展或延伸,缺少系统观点与方法;现有课程体系基本上是某个相近学科课程体系的扩展或延伸,在课程中注重密码学、防火墙、入侵检测等单纯安全理论与技术知识的传授,缺少系统观点与方法;大多数学校开设的专业课程数量少,且没有规范的专业课教材,学生能够获得的知识体系也有缺陷,还未形成系统、完整的科学研究与人才培养体系。
*信息安全实验教学模式还有待改进,至少需要克服如下问题:偏重理论知识的传授,并不强调实践能力;实验内容单一,而且缺少综合性设计实验;不强调实验环境的真实性而以模拟情景为主。
信息安全心得体会篇4
2目前企业人员的信息安全管理主要存在的问题
(1)全体工作人员的信息安全意识不高;
(2)信息安全专业人员数量较少,工作流程不清晰;
(3)信息安全岗位职责划分模糊;
(4)管理层不重视;
(5)信息安全管理工作缺乏有效的考核和监管机制。上述几个问题看似不会影响正常的企业运作,但长期持续则会给企业的信息安全带来巨大的隐患,存在较高的风险。有调查显示,企业的信息泄漏事件70%-80%都由内部人员造成。对于一些关系国计民生的企业,如电力、通信等,企业的信息一旦泄漏,将会产生巨大的社会影响,同时也会给企业造成巨大的损失。但是我们仍然可以通过对知悉或掌握企业核心资产和数据的人员加强信息安全管理与监督,来提高信息安全整体水平。
3加强人员信息安全管理的具体措施
对于企业人员的安全管理措施有很多,国内外的相关标准中都有相应的描述,如《萨班斯法案》《信息安全技术信息系统安全管理要求》ISO27000系列等,不同的标准要求亦有不同,但总体来说不外乎以下几点。
(1)加强人员的信息安全保密意识与责任。任何企业的信息安全与保密都离不开人,信息安全每个步骤的操作与执行都是由人来完成与实现的。如果企业内相关人员的信息安全与保密意识薄弱,不小心造成某些敏感信息泄露,则比其他安全不足问题导致的损失更大。因此必须要不断对相关岗位人员的信息安全意识、责任和职业道德进行培训、指导与监督。
(2)管理层重视。企业人员的信息安全管理是管理层的职责,所有的措施和方法都需要得到管理层的支持才能实施,否则再完美的方法也是毫无意义的。随着各类信息安全事件的曝光,信息泄漏事件的频发,特别是国家推行信息系统的等级保护政策以后,越来越多的管理层开始重视信息安全问题。
(3)明确本单位的核心信息安全资产。我们要对企业的核心信息安全资产加强保护,即主要是对企业内部最核心的信息资产进行有效的保护,这对企业的信息安全尤为重要且非常有效。任何一个企业的资源都有限,信息安全工作相对于业务工作的投入来说一定较小一些,因此对核心的信息资产保护才是企业真正关心的内容和工作。核心信息资产主要指价值比较高,一旦泄露可能会对企业造成比较大损失的资产,如企业的重要或敏感数据、存有重要敏感数据的纸质和电子类的载体等企业的核心资产。明确核心资产信息安全也是对人员进行职责划分的基础。
(4)清楚划分人员职责,严格进行权限分离。人员职责和权限对应组织的信息资产,一定程度上也决定了该人员在组织中的安全地位,职责不明确往往导致人员的无作为或误操作,很多的信息安全隐患无法消除。如果明确了单位的核心资产,而人员的职责划分不清晰,那也等于是无用功。很多单位由于信息安全人员数量有限,存在一人多岗的情况,很多核心的敏感的信息或功能掌握在一个人的手中,这就使得某个人或某几个人的权限过大,导致内部舞弊的风险增加。因此,首先要明确本单位需要设置的信息技术类岗位,并设置相应的人员,确保人员的配备遵循三权分离的原则,敏感的功能或较高的权限不能放在一个人手上,关键性的操作甚至需要多人同时在场,只有这样才能最大限度地避免人员的内部舞弊。
(5)严格选拔新进人员,考核在岗人员,审查离岗人员。选拔人员是人员信息安全管理的第一步,对人员进行严格的背景审查和技能考核是保障企业信息安全人员执业技能和职业道德的重要措施。重要敏感岗位的人员应尽量从内部进行选拔,避免直接任用外聘的人员;对于在岗的信息安全人员应定期进行考核和检查,保证所有的工作都按正常的操作规程执行,避免简化流程的事情发生;对于离岗的人员应与之签订相关的协议说明,并立即更换其所掌握的关键认证信息,避免由于人员的流失导致信息的泄漏。
(6)建立信息安全管理工作的日常监管和考核机制。信息安全管理执行的主体是人,人的操作难免会有失误或不当的地方,这些都是信息安全的风险隐患。所以应对人员的日常工作需建立考核和监管机制,对人员的日常安全管理工作进行监督并提前发现潜在风险,及时消除隐患,降低由于人员操作不当或恶意操作带来的信息安全风险。
信息安全心得体会篇5
近几年来,媒体及网络渠道所曝光的银行客户数据泄漏事件时有发生,给金融业敲响了客户信息安全保护的警钟,随着金融行业监管机构对客户信息安全管控要求的逐步提升,各家金融机构都相继提升了客户信息的安全保护管理机制,逐步建立起了拥有各家金融机构管理特色的客户信息安全管理体系,个人信息安全管理已逐渐成为金融机构风险管理中的一项重要工作。
截至2013年第一季度,广发银行信用卡发卡量突破2400万张,在广发银行信用卡辉煌成绩的背后,是强大的信息安全管理体系的支持。广发银行信用卡中心一直以来都非常重视信息安全工作,广发银行信用卡中心的信息安全管理工作是以个人信息保护为核心工作。
为了全面保障信用卡业务的信息安全,保护好客户数据的安全,广发银行信用卡中心早在2006年就组建了专职的信息安全管理团队,并参照ISO 27001及GBT 22080信息安全管理体系标准逐步建立起适合广发银行信用卡中心业务特色的信息安全管理体系框架。2009年,广发银行信用卡中心开始实施ISO 27001项目一期,以参照ISO 27001国际信息安全管理体系为基础,建立起了符合广发银行信用卡特色的国际信息安全管理体系,于2010年6月通过DNV(挪威船级社)的认证审核,并获得UKAS国际信息安全管理体系证书,成为国内信用卡业务领域率先通过ISO 27001认证的千万量级发卡行。2011年,为符合国家和行业针对信息安全管理体系的监管要求,广发银行信用卡中心实施了ISO 27001项目二期,以参照GBT 22080国家信息安全管理体系为基础,建立了符合广发银行信用卡特色的国家信息安全管理体系,于 2011年10月通过中国信息安全认证中心的认证审核,并获得国家信息安全管理体系证书。从2012年开始,广发银行信用卡中心实施ISO 27001项目三期,全面强化信息安全的精细化及可落地化管理。
广发银行信用卡中心的信息安全管理经过近8年的辛勤建设,部分信息安全管理领域已实现精细化及标准化管理,例如建立了个人信息安全标准化体系、第三方安全标准化控管体系、终端安全防护体系以及信息系统用户安全标准化等具有自己特色的信息安全标准化管理模式。
信息安全心得体会篇6
信息化技术标准委员会副主任委员崔书昆认为,在基础信息网络和重要信息系统的安全严重关系到国家安全、社会稳定以及人民群众切身利益的今天,信息安全问题已然成为事关全局的战略性问题。近年来,有关部门围绕信息安全保障体系建设,在信息安全等级保护、风险评估、标准制定、产品开发及打击各种网络违法犯罪活动等方面取得了积极进展。在这种情势下,将信息安全等级保护确定为提高国家信息安全保障能力,维护国家安全、社会稳定和公共利益的一项基本制度,是非常必要的。
可以这样理解,我国信息安全各项工作快速推进,信息安全风险评估工作和保障体系建设、信息安全管理工作、信息安全法制化和规范化建设、信息化基础设施和体系建设取得了重要的成效。特别是从2007年7月20号开始,全国重要信息系统定级工作已经开始,并在各行业、各部门、各单位的支持下,取得了丰硕的成果。
从2008年开始,公安部会同国家保密局等部门,在重要信息系统定级工作的基础之上,部署和开展深入推进信息安全等级保护工作,它主要分为三个方面:
第一,依据国家行业标准,从管理和技术两个方面,开展信息系统安全建设整改,建立并落实安全管理制度,落实安全责任制。
第二,根据等级保护标准开展风险评估、灾难备份、应急处置、安全检查等工作。
第三,对信息系统应用的一些重要单位,开展等级保护工作检查。
公安部网络安全保卫局郭启全处长说:“目前全国范围内,大规模的重要系统定级工作已经基本完成,相关资料目前集中到公安部进行管理。定级工作的主要成效是了解重要信息系统的底数,掌握国家信息安全的基本情况,为全面贯彻落实信息安全等级保护制度,推动国家信息安全保障等工作的深入发展奠定坚实的基础。同时,某些地方、企业或者单位没有完成定级工作,但会纳入到我们下一阶段的检查工作当中完成。另外,有些企业会随后逐步执行该工作,不会影响国家等级保护制度的大规模推动。”
实施等级保护,充分体现了“适度安全、保护重点”的目的,可以把国家的重要网络、重要系统挑出来,把国家有限的精力、财力投入到信息保护当中去,提高国家基础网络和重要信息系统的安全保护水平,同时提高信息安全保障工作的整体水平。
奥运留下的财富
“2008年北京奥运会的信息网络安全工作给我们留下了很多财富。”郭启全曾经说过,奥运会对我们国家的信息网络安全工作进行了一次大考。它既考验了我们国家信息网络安全的工作,同时也考验了等级保护主管部门、公安部和很多部委的行业主管部门的信息安全工作。在这次大考中,各部门均表现得很优秀。在北京奥运会期间,无论是核心网络还是信息系统,都遭受了大规模的攻击和入侵,却没有出现相关安全事故,支撑北京奥运会顺利举办,这是我国信息网络安全领域经历的考验。
实际上,奥运会取得的经验和公安部下一步等级保护工作之间存在密切的相关性。公安部和有关部委会借鉴奥运会信息安全网络经验,充分利用好奥运留下的财富,进一步开展今后的工作。
记者了解到,在北京奥运会之前,成立了以公安部牵头的包括海关、银行、广电等14个部委参加的信息网络安全指挥部。由于有了这样的指挥部,使得各项工作的落实有了一个组织保障。如果没有这个指挥部,大家各干各的,在北京奥运会期间便无法保证重要系统和网络的安全。
在2008年,国家安全的核心问题便是保障奥运的安全,奥运安全采取的第一个措施就是等级保护。郭启全介绍说:“公安部把奥运核心网络和涉及奥运会的系统都定级、备案,针对风险和重要性搞等级测评和风险评估,反复查找问题、漏洞、脆弱性和安全风险。从历史经验来看,总会有一些黑客试图攻击奥运系统。所以,在这些黑客攻击之前,我们就需要开始做严格的攻击性自测。找到问题后进行系统加固,并且是有针对性地进行加固。这种安全建设、整改、加固还有等级测评,提升了我们的系统防范能力。”
郭启全强调:“我们当时还专门针对北京奥运会提出了风险评估的指南。北京奥运会期间最大的风险是什么?其实就是来自黑客的攻击破坏,所以搞风险评估要针对最大的风险去做。举个例子,我到国家体育总局去了三次,就是研究他们的网络安全问题、网站安全问题,这就有针对性,搞等级保护、风险评估非常有针对性。这使得我们的风险找得准,漏洞找得准,问题找得准,因此相关措施就有针对性。”
2009年的新工作
中国工程院院士沈昌祥指出,目前我国信息与网络安全的防护能力还处于发展的初级阶段,有些应用系统处于不设防状态。国防科技大学的一项研究表明,我国与互联网相连的网络管理中心有95%都遭到过境内外黑客的攻击或侵入,其中银行、金融和证券机构是攻击重点。
由于奥运网络和信息系统开展了等级保护工作,并对等级保护工作的政策标准、工作环节进行了检验,所以等级保护下一步的工作部署将充分借鉴北京奥运会的经验,健全完善等级保护领导体制和协调配合机制,例如等级保护原来有些领导体制可能还要进行补充,明确重点工作对象,比如说拿三级系统作为重点工作对象。
郭启全说:“我们会严格落实责任制,认真抓好三点工作,计划三年内完成安全系统的整改工作,总的目标就是:能力提高,事故降低,等级保护制度得到落实,国家信息网络安全基本得到保障。”
信息安全心得体会篇7
十六大报告指出,“实践基础上的理论创新是社会发展和变革和先导。通过理论创新推动制度创新、科技创新、文化创新以及其他各方面创新,不断在实践中探索前进,永不懈怠,这是我们要长期坚持的治党治国之道”。公安信息化建设涉及面广,技术要求高,实现的难度大,且没有现成的模式。近年来,公安信息化建设之所以有了快速发展,特别是在体制建设、网络建设、应用系统建设、队伍建设等各个方面有了新的突破,正是因为各级公安机关顺应时代的要求,不断进行理论创新和制度建设的结果。进入新世纪,公安信息化建设面临着新的机遇和挑战,社会治安出现许多新情况、新问题,公安工作的任务将更加艰巨和繁重,公安信息化要在新的形势下求得更快、更好地发展,适应公安工作的需要,少走或不走弯路,就必须与时俱进,不断总结新经验,形成新理论,采取新措施,开创新局面。
1、公安信息化理论创新必须在科学理论指导下进行。近年来,党中央和国务院就国民经济和社会信息建设作出了一系列战略部署,形成了较为完整的信息化科学理论体系。20__年8月份,中央办公厅、国务院办公厅转发了国家信息化领导小组《关于我国电子政务建设指导意见》,把金盾工程作为十二大重点工程之一优先发展。十六大明确指出了全面建设小康社会的目标和新型工业化道路,电子政务建设是其中重要内容。“政府信息公开化”、“电子签章法”也即将出台,既为公安信息化指明方向,也给公安信息化建设可持续发展提供机遇。公安信息化作为国家信息化的一个重大工程,必须坚决贯彻国家信息化相关政策和法律法规,要结合公安工作实际,制定公安信息化发展规划,创造性地开展公安信息化理论研究,以此指导和推进公安信息工作持续、快速发展。
2、加强公安信息化理论创新,必须紧密围绕公安中心工作和现实斗争的实际需要。公安工作从一定意义上讲,就是搜集信息、处理信息、反馈信息的过程。公安信息化就是用现代信息技术改造和完善各项公安业务流程,使之实现规范化、科学化和现代化。信息化理论创新必须紧贴公安工作实际,加强调查研究,着力解决公安工作难点、热点问题当前要与治安防控体系建设、社区警务战略和维护社会稳定、打击犯罪有机结合起来,着眼于提升公安信息的应用水平,着眼于提高公安机关的快速反应能力和整体作战能力,增强驾驶社会治安的能力。
3、加强公安信息化理论创新,必须突出重点。公安信息化建设任务繁重,面临许多复杂技术和管理问题。在公安信息化理论研究中,应围绕建立怎样的公安信息系统和如何开展公安信息系统建设两大主题,着重研究工作体制、运行机制、基础设施、安全保障、提高应用效益等重大理论问题,为公安信息化建设指明方向。
二、坚持体制创新,积极探索公安信息化发展之路
长期以来,囿于传统的公安工作体制,公安信息一直由部门、警种分散管理,没有形成一个有机的整体,造成了网站建设和系统建设中的重复交叉和互不关联,有的操作平台也不一致。严重影响了信息共享和综合利用,这已经成为制约公安信息化发展的“瓶颈”。随着我国经济的发展和社会主义市场经济体制的建立、必须建立与公安工作发展相适应的信息化工作新体制。
(一)建立和完善公安信息中心机构。公安信息中心建设是金盾工程的主体工程之一。目前,公安信息中心机构不健全、职责不明确、人员偏少的状况比较普遍,难以承担公安信息化建设的职责。因此,各级公安机关要利用国家关于电子政务建设和金盾工程建设的有利时机,建立健全各级公安机关的信息中心,进一步明确“以通信保障为基础,以信息化建设为先导”的指导思想,自上而下建立集中、统一、高效、权威的信息管理与服务机构,理顺各级信息中心及与其它业务部门之间的关系,建立相应的规章制度,促进公安信息工作和可持续发展。
(二)采取集中和分散相结合的方式,构建一体化的公安信息系统。目前,公安信息多层次、多部门管理难以从根本上适应公安工作发展的实际需要,但是,采取“一刀切”的方式,由某一级信息中心包揽所有的信息管理任务,显然不具备条件。为此,应采用集中与分散相结合的方式,按照公安部的统一规范标准和“人、事、物、组织、场所”五要素重 新整合信息资源,构建统一、高效的公安信息系统。在横向上,要在信息中心建立跨部门的共享据库,如涉及很多部门的违法犯罪信息数据库和人口数据库等,并通过自动化网络和信息平台,形成一个安全、实用和可扩展的现代化信息系统。在纵向上,为减少重复投入,县以上公安机关原则上应以市(地级)、县(市)为单位构建信息库,市辖区及基层单位不再建立数据库,通过信息网络实现“一站式”信息维护和查询检索,以达到信息资源共享和综合利用的目的。
(三)明确各业务部门公安信息化建设的职责。公安机关各业务部门在信息化建设过程中既是用户,又是重要的信息源,承担信息搜集、报送和使用等职责。公安指挥中心是一个接受并综合处置各类重大和突发事件的勤务行动指挥中心。掌握着大量的现实信息,指挥中心必须将有关信息及时汇集到同级公安信息中心集中处理。国保、治安、刑侦、经侦、外管、交通等部门在加强本部门已经建成的业务信息系统管理的同时,要按照统一规范和技术标准,向同级公安信息中心报送相关信息。新建的业务系统管理的同时,要按照统一规范和技术标准,向同级公安信息中心报送相关信息。新建的业务系统必须按照“金盾工程”规划,纳入公安信息系统统一建设。
(四)加强公安信息化建设的检查和监督。各警种、各部门都要尽快建立适应信息化运行管理的工作机制和监督考核机制,制定各种规章制度,强化管理,落实责任,加强信息化建设和应用工作的考核评比,把信息经建设和应用作为一项重要内容,纳入业务综合考核内容,并与民警的考核奖惩挂钩,把各项信息化工作管理措施和责任落到实处。各级公安保密委员会办公室是各级公安信息安全监督部门,负责对网络安全和信息安全的检查和监督管理。各级公安政工部门负责选调培训计算机和信息建设专门人才,有计划、有步骤地对广大民警开展计算机及信息化应用培训工作,负责对信息化建设成绩突出的有功单位和个人的表彰奖励。各级公安机关督察部门要将各警种、各部门特别是基层单位的信息上报及查询运用情况作为公安业务督察的范围,建立必要的定期与随机督察制度,对各类数据的运行管理和质量进行督察,对失职、渎职人员提出处理意见并作出处理。
三、坚持科技创新,努力将信息技术迅速转化为现实战斗力
(一)加强基础设备建设,着力提高公安信息网络化程度。信息网络化是开展电子政务建设的基础,是公安信息化的必由之路。近年来公安信息化取得的成果大多得益于公安信息网络的发展。但随着公安信息应用速度的加快,信息网络建设已不能满足现实斗争的需要。为此,要按照国家电子政务的统一规划,建立“横向到边、纵向到底”,覆盖公安机关各个业务部门和绝大多数基层单位的公安信息网络,并逐步向社区延伸,向相关政府部门延伸,实现互联互通。同时,根据公安工作的需要,改造现有不适应公安应用需求的局域网和城局网,全面实现信息网络化。
(二)组织科研攻关,集中开发统一的公安信息应用平台。目前,由于公安信息业务应用系统是按照部门、警种自上而下建立的,应用软件五花八门,即使是上级下发的软件,往往也被改得面目全非,软件的不统一,造成各地区业务范围、做法的不致,部门之间不能互联互访,整体运行效率低下,同时,也造成重复建设,浪费人力、物力和财力。诚然,全国公安机关所有业务使用同一软件不太可能,但是主要公安业务软件必须统一。为此,上级公安机关要集中科研力量或联合社会科技力量进行科研攻关,利用先进的技术和研制开发手段,开发出贴紧公安业务需求,集文字、数据、图像、语音于一体,具有信息整合、加工、储存、检索、和统计分布分析等功能的应用软件,满足公安工作的实际需要。
(三)大力推广信息标准化技术,努力实现公安信息工作的标准化。推广标准化技术是有效地组织公安信息工作的重要手段,是实现公安信息管理现状的前提和基础,在公安信息化建设中有着十分重要的作用。近几年来,公安部组织制定了一系列公安信息标准,在推进公安部组织制定了一系列公安信息标准,在推进公安信息化建设过程中发挥了重要作用。但在修订、贯彻执行标准等方面还存在许多问题,影响了全国范围内的信息共享。为了适应公安信息化的发展,要尽快完善公安信息标准化体系,加快制定和修订公安信息标准的步伐,并采取有力措施,大力推广使用标准化技术。
四、坚持机制创新,改造和优化公安业务工作流程
信息安全心得体会篇8
当前,食品安全信息的传播主要有两个方面特点:一是影响广泛,容易失控。古人云“民以食为天”,食品及其安全问题一直是国计民生的重大话题。食品安全和人民群众的身心健康紧密相联。所以当出现食品造假、掺入有毒有害物质等信息之后,其社会影响非常巨大,而在传播过程中一旦有虚假信息和谣言,会直接影响整个社会经济和人们日常生活。因此,当出现食品安全危机,无论社会的哪个阶层都会对其予以特别关注,由此引发的食品安全的信息在传播中就很容易失控。二是食品安全信息传播责任重大,涉及到社会稳定和国家形象。围绕着食品安全危机的产生和解决,政府的公信力也会受到不同程度的影响,甚至会造成国际关系的紧张和国际影响力的下降。比如,我国出现的三聚氰胺毒奶粉事件以及地沟油事件,不仅造成了社会恐慌,也使得人们对政府质监部门产生了信任危机;2012年发生的因央视主持人赵普的微博所引发的果冻危机事件,再一次验证了食品安全危机给社会安定和国家形象所造成的巨大影响。也正是因为食品安全危机所产生的危害非常大,这就需要媒体不仅仅要注重食品安全信息的准确报道,而且还要履行好维护社会安定的社会责任。
媒体对食品安全信息报道的社会监督监测作用
食品安全信息的传播对社会稳定、人民群众生活具有重大的影响力,因此媒体应该积极发挥社会监督和监测作用,加大对违法企业的曝光力度,实现媒体对食品安全的监督监测功能。一是宏观上的监督功能。媒体应对政府部门有关食品安全的措施和制度以及相关的信息进行及时传播,详细解读相关食品安全的政策内容,同时也要对食品安全的传播和民意进行反馈。比如当毒奶粉事件出现之后,媒体应该积极报道国家有关部门对相关责任单位的惩处信息,同时及时传播政府对食品安全实施的有关新政策和相关法律法规,通过传达宏观信息来提升广大群众对食品安全事件的正确认识,将食品安全带来的社会影响降到最低。同时还要通过宏观信息的报道,让广大群众相信政府的治理决心和打击力度,从而提升政府部门的公信力。
二是微观上的监测功能。也就是针对某一食品安全事件及时的深度解读分析与报道。比如因主持人赵普的微博所引发的果冻危机事件,央视就立刻制作了专题,针对有关企业采用破旧皮鞋制作工业明胶被使用于各种药物的胶囊里,从而证明了赵普在微博中传达的信息是准确的,是没有异议的。与此同时,及时专题报道了政府相关部门对这些涉事企业所进行的关停整改与责任追究信息,使广大群众相信违法企业会面临严重的刑罚处罚,从而提升了人民群众的信心。媒体在报道和解读的过程中一定要本着准确定位,不能够跟风炒作以至于成为谣言的传播工具,从而给社会造成严重的不良影响。在这个事件中,有些媒体也存在不负责任的现象,比如恶意传播赵普被停职检查的信息,造成社会舆论的混乱,而事实上央视的及时澄清有助于对谣言的消除。
由此可见,媒体对食品安全信息的传播应该从宏观和微观两个角度进行综合报道,这样才能够起到合理的监督监测作用,有助于解决广大百姓的困惑,降低食品安全危害产生的社会影响。
食品安全信息的传播要求
1传播正能量,要有大局观
媒体应该实事求是地对食品安全现状进行综合全面的分析,宣传正能量。媒体应积极宣传国家食品安全法律制度,报道政府有关部门对食品安全所进行的监管工作以及对突发食品安全事故的处理过程。正确引导公众舆论,增强公众对食品安全的信心,让广大民众看到政府对食品安全问题所采取的积极有效措施。同时,在曝光揭露食品安全事件时,要注意负面影响的社会舆论危害。要鼓劲不要泄劲。要结合国情,引导社会各界分析原因找出解决对策,发挥好媒体汇聚民智民力的作用。
2信息传播坚持准确,杜绝谣言
虽然说谣言止于智者,但是我国老百姓更多的是跟风者,当日本爆发核泄漏事故之后,听说吃盐能够防辐射,一度造成各大超市食盐被抢购一空,有的消费者一次性采购了2万斤的食盐,可见谣言的杀伤力是多么巨大。而在食品安全问题上,其影响力不小于核泄漏事件,千万不能低估。所以一旦出现食品安全方面的谣言,媒体不负责地将其传播,产生的后果将是十分严重的。因此在食品安全信息的传播上,需要准确核实信息,做到不偏听偏信,要有确凿的证据与权威的来源才能够传播。
3信息报道要快速及时
因为食品安全造成的社会影响非常大,所以从2007年上半年开始,国务院就责成有关部门建立了食品安全信息制度。从时间、到信息内容的确认都有一整套的流程,两周一次食品安全信息,这有利于媒体能够及时准确地传播我国食品安全的权威信息。同时要求各地、各部门要提高跟媒体打交道的本领,对不实报道要快速回应,及时澄清,以正视听。这也已经成为当前媒体传播食品安全信息的一个准则。
4媒体要全程追踪事实真相
食品安全涉及到的部门非常多,而且影响面非常广。所以当食品安全事故出现后,媒体不能够简单地转载,更不能断章取义,要通过跟踪报道,多方面多角度地反映事实的全貌,让广大群众全面了解事实的真相。
5报道内容要注意分寸
鉴于食品安全信息影响的重要性,报道内容的描述应该有理有据有节,从实际出发,既要抓住问题所在,将食品安全问题准确地暴露出来,不遮掩,不遮丑,又要不能够将食品安全问题过分放大,更不能将食品安全妖魔化,以免造成公众恐慌。因此,掌握好分寸,讲究适度是食品安全信息传播的社会责任要求。
6要用发展的眼光报道,不能揪住老问题不放
食品安全问题事故在近几年有上升趋势,现在有不少媒体就结合当前的形势加以推测,而推测的后果无疑会增加群众的恐慌心理。毕竟现在食品生产加工环节的问题很多,影响食品质量的因素又很多,产生局部小范围的食品安全问题在所难免。不过有的媒体发现了一个小的食品安全问题之后,就立刻会联想到前些年的苏丹红、三聚氰胺等安全事故,给广大群众造成了食品安全没有得到有效的遏制,还在无限地被扩大的心理,这样产生的危害就会更大了,所以作为媒体对食品安全的报道应该就事论事,同时要用发展的眼光来报道食品安全信息。
信息安全心得体会篇9
关键词 信息全球化 经济安全 信息安全
随着经济全球化和信息技术的飞速发展,信息已成为社会发展最重要的战略资源。经济信息的安全程度,已成为一国经济软实力乃至综合国力的重要标志。
一、我国经济信息安全的现状
近年来,我国信息产业持续高速发展,对社会生产效率和人民生活水平的提高,正产生着深远的影响。但是与信息先进国相比,我国对经济信息安全的保护近乎空白。我国经济信息安全面临“内忧外患”。
(一)“内忧”
1.计算机网络技术相对落后,信息防范、保密能力差。由于信息网络在我国各行各业的普及应用及其海量信息流的特点,信息安全在我国经济、社会中的影响也越来越不可估量。目前我国信息技术设备主要依赖于进口,而由于技术能力的限制,引进的产品往往又缺乏信息安全保护所必需的安全检测和技术改造,甚至隐藏着“危害性程序”,这就使得我国信息产品技术上受制于人。同时信息网络技术作为一种先进技术本身就存在着固有的“漏洞”和“缺陷”,2010年,国家信息安全漏洞共享平台共收集整理信息安全漏洞3447个,而这些漏洞正是信息系统遭遇攻击的重要内因。
2.信息安全相关的法律政策和制度措施不完善。近年来我国虽也出台了不少专门保护信息安全的法律,但由于我国立法上的滞后,已出台的很多法律也缺乏明确性与可操作性,经济信息的保密性、完整性以及可控性,还远没有得到有效维护,不能满足现实生活的需要。
3.全社会经济信息安全的意识淡薄。我国经济信息的主要信息源是企业和地方政府等微观部门,而有些微观部门往往因为主客观的种种原因不能、不愿意完善地上报信息,甚至捏造信息,造成始于信息源的失真;同时具美国有关机构调查结果显示,在美国的计算机安全损失事件中,信息外泄的内部安全威胁占85%,中国的国家互联网应急中心也作了相关调查,结论基本一致,我国信息安全面临严重内部安全威胁。
(二)“外患”
1.国际信息不对称现象严重。我国没有自己的金融信息平台,不能主动、有效地传播自己的信息和及时、充分地接收所需的信息;作为“游戏规则”制定者的少数发达国家,垄断了世界主要的经济信息,我国所需数据大多是引用或购买得来的。而这些都致使我国在国际经济信息的传递、使用上都处于被动地位。
2.国际窃取经济信息活动猖獗。肯尼思J阿罗在其《信息经济学》中指出:“大多数经济决策都是在相当不确定性条件下做出的……。一旦不确定性的存在形式是可以分析的,信息的经济作用就变得非常重要了。人们可以花费人力及财力来改变经济领域以及社会生活其他方面的不确定性,这种改变就是信息的获得。”为了获取信息,各国及各大利益集团基本都有自己的情报网络且窃密手段繁多、技术先进。2010年,我国互联网应急中心监测发现共近48万个木马控制端IP,其中有22.1万个位于境外;共有13782个僵尸网络控制端IP,有6531个位于境外。除技术手段,他们还通过派遣间谍、商业贿赂、聘用离、退休官员等渠道获取信息。
二、增强我国经济信息安全的对策分析
(一)大力发展信息安全技术水平
大力发展信息安全技术水平,就要全面提高创新能力,加强自主的信息和网络技术的研发,尽快推动开发和生产具有我国自主知识产权的如CPU等的电脑核心硬件和电脑软件操作平台,并力争使其产业化,用我国自己的安全设备加强信息与网络的安全性。同时我国应从安全体系整体的战略高度开展强力度的研究工作以推动我国信息安全产业的发展。
(二)建立和完善信息安全保障体系,提高全民意识
要保障信息安全,必须建立全面统一的信息网络安全管理的国家体制;有针对性的立法,及早建立健全我国信息安全的法规体系,这方面美国政府已出台《加强网络安全法案》等针对网络安全的法律文件,欧盟也正式了《欧洲数字化议程》五年规划;必须建立规范的管理体制;必须提高全民、媒体从业人员、各级领导的信息安全意识,特别要加强信息人员和系统管理员的安全责任意识,培养更多信息安全领域的技术与管理人才,形成国家、企业、机构和个人全方位、多领域的配合,协调共建信息网络安全保障体系。
(三)积极参与国际合作
信息全球化使得各国经济安全和全球经济安全紧密地连接在一起,国际上在信息安全方面已多有合作,2010年11月,欧盟举行了由欧盟成员国和冰岛、挪威、瑞士3个非成员国参加的“欧洲2010网络”演练。我国应积极借鉴和吸收信息先进国的经验和做法,提高信息安全保障能力,同时应与其他国家、组织一道积极推动有关信息安全的国际法的制定,保障自身利益。
三、结束语
总之,基于信息技术的广泛应用和信息化的深入发展,信息安全也已成为经济安全、国家安全的重要前提。对于我国,经济信息安全直接关系到社会主义现代化建设的进程,关系到我国的国家安全和社会和谐,我国必须不断提高我国信息安全的防范能力。
参考文献:
信息安全心得体会篇10
1 社区卫生服务中心信息安全背景
20世纪90年代以来,信息技术不断创新,信息产业持续发展,信息网络广泛普及,特别是原卫生部发布《卫生信息化发展规划(2011~2015年)》之后,明确了卫生信息化是深化医药卫生体制改革的重要内容。那么作为整个卫生信息化体系的“网底”的社区卫生服务中心,其重要性不言而喻。随着卫生信息化的建设不断扩展和深入,依托于区域卫生信息中心的各类应用系统不断上线推广应用。网络与数据安全已逐步成为各项卫生信息工作开展的重要基础依托。因此社区卫生服务中心作为区域卫生信息中心的重要结点。信息安全管理就显得尤为重要。
2 什么是信息安全管理
“三分技术,七分管理”是信息安全保障工作中经常提到的。可见,信息安全管理是信息安全保障的至关重要的组成部分。信息安全管理(Information Security Management)指组织中为了完成信息安全目标,遵循安全策略,按照规定的程序,运用恰当的方法,而进行的规划、组织、指导、协调和控制等活动。作为组织完成的管理体系中的一个重要环节,它构成了信息安全具有能动性的部分,是指导和控制组织相互协调完成关于信息安全风险的活动,其对象就是包括人员在内的各类信息相关资产。在社区卫生服务中心由于信息系统应用较为广泛,基本包含了医疗、护理、医技、行政等所有科室及其人员。
长期以来,社区卫生服务中心在信息安全建设方面,存在重技术轻管理、重产品功能轻安全管理、缺乏整体性信息安全体系考虑等各方面的问题。区域卫生信息中心采用集中管理的信息安全技术及产品的应用,一定程度上可以来解决社区卫生服务中心在网络传输时的信息安全问题。但是仅仅靠这些产品和技术还不够,即使采购和使用了足够先进、足够多的信息安全产品,仍然无法避免一些信息安全事件的发生。近年来,由于管理不善、操作失误等原因导致的卫生信息及病患基本信息泄露的安全事件数量不断攀升,更加剧了社区卫生服务中心需要信息安全管理的迫切性。
3 社区卫生服务中心信息安全管理作用
社区卫生服务中心信息安全管理的作用体现任以下几个方面。
3.1信息安全管理是社区卫生服务中心组织整体管理的重要的、固有的组织部分,是组织实现中心业务目标的重要保障。在信息时代的今天,信息安全威胁已经成为社区卫生服务中心等医疗机构业务正常运营和持续发展的最大威胁。如在社区卫生服务中心发生的费用结算85%以上通过医保信息系统来进行,所有的医生工作站都依托中心服务器来提供数据进行操作,医技部门也通过信息系统获取病人信息和传送结果。一旦信息系统发生故障对于社区卫生服务中心来说是灾难性的。因此中心需要信息安全管理,有其必然性。
3.2信息安全管理是信息安全技术的融合剂,是各项技术措施能够发挥作用的重要保障。安全技术是信息安全控制的重要手段,许多信息系统的安全性保障都要依靠技术手段来实现,但光有安全技术还不行,要让安全技术发挥应有的作用,必然要有适当的管理程序的支持,否则,安全技术职能趋于僵化和失败。如果说安全技术是信息安全的构筑材料,那么信息安全管理就是融合剂和催化剂,良好的管理可以变废为宝,使现有的各项技术相互配合发挥应有的作用,而糟糕的管理会使技术措施变得毫无用处。实现信息安全,技术和产品是基础,管理才是关键。在信息安全保障工作中必须管理与技术并重,进行综合防范,才能有效保障安全,这也是实现信息安全目标的必由之路
3.3信息安全管理是预防、阻止或减少信息安全事件发生的重要保障。早期人们对于信息安全的认识主要侧重在技术措施的开发和利用上,这种技术主导论的思路能够解决信息安全的一部分问题,但却解决不了根本,据权威机构统计表明,信息安全问题大约70%以上是由管理方面原因造成的,大多数信息安全事件的发生,与其说是技术上的原因,不如说是管理不善造成的。因此解决信息安全问题、防止发生信息安全事件不应仅从技术方面着手,同时更应加强信息安全的管理工作。
信息安全涉及的范畴非常广,信息安全不是产品的简单堆积,也不是一次性的静态过程,它是人员、技术、操作三者紧密结合的系统工程,是不断演进、循环发展的动态过程。因此,要求社区卫生服务中心的相关人员正确理解信息安全、理解信息安全管理的关键作用,以更好地开展信息安全管理工作。强调信息安全管理的作用,并不是要削弱信息安全技术的作用;开展信息安全管理工作,要处理好管理和技术的关系,要坚持管理与技术并重的原则,这也是信息安全保障工作的主要原则之一。
4 社区卫生服务中心信息安全管理控制措施
在我国对于信息安全等同采用IS0 27002:2005,命名为《信息技术安全技术信息安全管理实用规则》(GB/T 22081-2008)。信息安全是通过实施一组合适的控制措施而达到的,包括策略、过程、规程、组织结构以及软件和硬件功能。可见对于社区卫生服务中心的信息安全来说,安全控制措施是必要且十分重要的。其中比较重要的如下:
4.1安全方针 社区卫生服务中心的信息安全方针控制目标,是指中心的信息安全方针能够依据业务的要求和相关法律法规提供管理指导并支持信息安全。社区卫生服务中心信息安全方针文件的内容应包含中心管理者的管理承诺、组织管理信息安全的方法、中心信息安全整体目标和范围的定义、中心管理者意图的声明、控制目标和控制措施的框架、重要安全策略、原则、标准和符合性要求说明、中心信息安全管理的一般和特定职责的定义、支持方针的文件的引用等。
4.2信息安全组织 信息安全组织一般分为内部组织和外部组织。社区卫生服务中心内部组织的信息安全控制目标是指在中心内管理信息安全。组织的安全建立在每一位人员不同责任分工的划分,不同的责任会有不同的工作指导原则。其中应当包括信息安全的管理承诺、信息安全协调、信息安全职责的分配、信息处理的授权、保密协议、信息安全的独立评审等。社区卫生服务中心外部组织的信息安全控制目标是保持中心被外部各方访问、处理、管理或与外部进行通信的信息和信息处理的安全。主要包括中心与系统外单位信息通信相关风险的识别、处理相关的安全问题和处理第三方协议中的安全问题等。
4.3人力资源安全 人员在中心的信息安全管理中是一个最重要的因素,有资料表明,70%的安全问题是来自人员管理的疏漏,为了对人员有一个有效的管理,需要从任用之前、任用中、任用的终止或变更三项控制目标进行管理。
4.3.1任用之前控制是指社区卫生服务中心任用人员之前为了确保人力资源的安全,需考虑到角色是否适合相应岗位,以降低设施被窃、信息泄露和误用的风险,这一目标的实现需通过角色和职责、审查、任用条款和条件三项控制措施的落实来保障。
4.3.2任用中社区卫生服务中心的信息安全控制目标就是确保所有的员工、承包方人员和第三方人员知悉信息安全威胁和利害关系、他们的职责和义务、并准备好在其正常工作过程中支持组织的安全方针,以减少人为过失的风险。
4.3.3社区卫生服务中心发生任用的终止或变更时,应确保信息的安全不外泄,确保员工、承包方人员和第三方人员以一个规范的方式退出或改变其任用关系。可以通过终止职责、资产的归还、撤销访问权限等控制措施来实现。
4.4物理和环境安全 社区卫生服务中心的物理和环境安全可以从安全区域和设备安全来入手管理。定义安全区域是为了防止对中心场所和信息的未授权物理访问、损坏和干扰。可以通过设置物理安全边界、物理入口控制、办公室房间和设施的安全保护、外部和环境的安全防护、在安全区域工作、公共访问和交接区安全。设备安全是指防止由于资产丢失、损坏、失窃而危及社区卫生服务中心的资产安全以及信息安全。中心可通过设备安置和保护、支持性设施、布缆安全、设备维护、场所外的设备安全、设备的安全处置和再利用,资产的移动等措施来进行保障。
4.5通信和操作管理 社区卫生服务中心的通信和操作管理一般可从操作规程和职责、第三方服务交付管理、系统规划和验收、防范恶意和移动代码、备份、网络安全管理、介质处置、信息的交换、电子商务服务、监视等方面入手。
4.6访问控制 对于社区卫生服务中心来说,访问控制可从访问控制的业务要求、用户访问管理、用户职责、网络访问控制、操作系统访问控制、应用和信息访问控制、移动计算和远程工作等控制目标来入手。
4.7信息安全事件管理 社区卫生服务中心的信息安全事件管理可以从报告信息安全事态和弱点、信息安全事件和改进的管理两个控制目标入手进行管理。
4.7.1报告信息安全事态和弱点这项控制目标旨在确保中心与信息系统有关的信息安全事态和弱点能够以某种方式传达,以便及时采取纠正措施。该目标下有报告信息安全事态和报告安全弱点这两项控制措施来保障这一目标的实现。①报告信息安全事态控制措施,是指信息安全事态应该尽可能快地通过适当的管理渠道进行报告。实施过程中应建立正式的信息安全事态报告程序,以及在收到信息安全事态报告后采取措施的事件响应和上报程序。②报告安全弱点控制措施,是指中心应要求信息系统和服务的所有职员、承包方人员和第三方人员记录并报告他们观察到的或怀疑的任何系统或服务的安全弱点。报告机制应尽可能容易、易理解和方便可用。应告知他们在任何情况下,都不应试图去证明被怀疑的弱点。
4.7.2信息安全事件和改进的管理。社区卫生服务中心信息安全事件和改进的管理这一控制目标旨在确保采用一致和有效的方法对信息安全事件进行管理。中心可以用职责和程序的控制措施、对信息安全事件的总结、证据的收集三项控制措施来保障这一目标的实现。①职责和程序的控制措施。它是指中心应当建立管理职责和程序,以确保能对信息安全事件做出快速、有效和有序的响应。该项措施实施时除了对中心的信息安全事态和弱点进行报告外,还应利用对系统、报警和脆弱性的监视来检测中心信息安全事件。遵循严格的信息安全事件管理程序的前提是中心需建立规程以处理不同类型的信息安全事件,如恶意代码、拒绝服务、信息系统故障和服务丢失、违反保密性和完整性、信息系统误用等。中心除了考虑正常的应急计划还要考虑事件原因的分析和确定、遏制事件影响扩大的策略、向合适的机构报告所采取的措施等。②中心对信息安全事件的总结控制措施,是指社区卫生服务中心应有一套机制量化和监视信息安全事件的类型、数量和代价。从信息安全事件评价中获取的信息应用来识别再发生的事件或高影响的事件。③证据的收集。证据的收集对于社区卫生服务中心来说,是指当中心的一个信息安全事件涉及到诉讼(民事的或刑事的),需要进一步对个人或组织进行起诉时,应收集、保留和呈递证据,以使证据符合相关诉讼管辖权。过程有:为应对惩罚措施而收集和提交证据,应制定和遵循内部程序,为了获得被容许的证据,中心应确保其信息系统符合任何公布的标准或实用规则来产生被容许的证据:任何法律取证工作应仅在证据材料的拷贝上进行。
4.8业务连续性管理 对于社区卫生服务中心来说业务连续性管理是指防止中心业务中断,保证中心重要业务流程不受重大故障与灾难的影响。业务连续性管理过程中包含信息安全,该控制措施是指应为贯穿于组织的业务连续性开发和保持一个管理过程。解决中心的业务连续性所需的信息安全要求,保护关键业务过程免受信息系统重大失误或灾难的影响,并确保他们的及时恢复。应包含中心的信息安全、业务连续性和风险评估、制定和实施包含信息安全的连续性计划、业务连续性计划框架、测试、维护和再评估业务连续性计划等内容。
5 社区卫生服务机构信息安全的展望
信息安全心得体会篇11
亨达集团先后被评为 “贵州省通信行业协会副理事长单位”、“贵州省通信体育协会副主席单位”,连续五年被省工商行政管理局评为“重信用、守合同”单位,并获得“全国十佳诚信单位”称号。目前已建成了集网络信息安全监控、网络攻防演练、信息安全培训、软件开发以及信息安全产品测评认证于一体的信息化综合服务保障平台。
亨达集团自2011年底取得等级保护测评资质以来,配合贵州省公安厅推进信息系统等级保护测评工作,开展了近百家单位共计500多个信息系统的安全等级保护测评,包括贵州省财政厅、贵州省统计局、贵州省交通厅、中国工商银行贵州分行、中国建设银行贵州分行、贵阳银行、贵阳海关、贵州省农村商业银行、遵义商行、贵州省人民医院、贵州省肿瘤医院、贵阳医学院等各大单位重要信息系统。
信息安全心得体会篇12
一、前言
如右图所示,“三网融合”中的三网是指,以因特网(Internet)为代表的数字通信网、以电话网为代表的传统电信网和以有线电视为代表的广播电视网,其中移动通信网属于电话网。三网融合对于打破行业垄断、丰富服务种类、鼓励市场合作、提高服务质量,保护公共利益以及实现资源整合和挖潜、构建资源节约型社会;推动电信业转型和广电业改革、保证产业持续稳定发展;改善我国通信基础设施、提高国民经济和社会信息化水平、推动社会文化发展均具有重要而积极的意义。
由于三网融合的技术底层仍然采用安全性能饱受人诟病的IP通信协议等互联网技术,如何解决好三网融合后的信息安全问题,成为当前和今后一个时期内,政府有关部门和运营商共同面对的一项重大课题。
二、三网融合发展现状及信息安全问题分析
2.1三网融合发展现状
三网融合这一概念曾在1998年提出并发展,其中,2010年至2012年重点开展广电和电信业务双向进入试点,探索形成保障三网融合规范有序开展的政策体系和体制机制。2013年至2015年,总结推广试点经验,全面实现三网融合发展,普及应用融合业务。
三网融合信息安全是身处信息化时代的人们的关注点之一,尤其是在3G技术日益普及的今天,三网融合能使90%以上城市用户随时随地感受到网络的融合和统一。更重要的是,三网融合能把人们的生活、工作、娱乐方式相互融合,让手机、电视、计算机成为可以随时切换的显示屏,让虚拟的网络世界在现实世界中与用户随行。
然而在人们享受三网融合能够带来的方便信息服务的同时,其后台运营体系、监管体系、维护体系也正面临着前所未有的挑战,其中尤以网络和信息安全挑战最为紧迫。这并不难理解。试想:三网融合下,信息和网络通道都更加多元和庞杂,在这种情况下,用户各种重要、敏感的信息更需要加倍的网络安全保障和信息安全保障。这一点从来自80%安全厂商的信息、从来自93%科技领域与社会种种安全事件的信息等,都足以说明。
2.2三网融合安全问题分析
首先三网融合的网络信息安全无论是电信网、广播电视网还是计算机网,其安全问题都可以分为两个层次:网络安全和信息内容安全。
三网融合后安全风险将来自于网络开放性、终端复杂性、信息可信性等若干方面。三网融合之后,原先封闭的电信网、广电网将不断开放,网络开放性使攻击者有可乘之机。原先由于传统互联网的封闭性,一些安全漏洞被掩盖起来。而在开放的环境下,这些缺陷极有可能显现出来。与此同时,在孤立的网络环境下,病毒或黑客的攻击范围相对有限。而在融合的背景下,一个网络中的安全威胁将延伸到另一个网络中,从而出现全网的安全威胁。流行于互联网的黑客、病毒、木马等将会转移到电信网、广电网,产生巨大的危害。
其次终端接入方式变得多种多样,三网融合后,网络端终将会由目前传统电脑接入发展为各种电子信息终端接入模式,尤其将会增加大量移动终端的网络接入,例如网络电视、电子书、手机、MP4、GPS等等。曾有专家指出,80%的安全隐患今后会来自于终端。特别是对于移动终端来说,其面临的安全问题将更加复杂。移动终端正逐渐成为个人信息处理中心,受终端自身的屏幕大小、计算能力、电力供应、接入速率等的限制,移动终端自身的防御能力相对较弱。而移动终端越来越智能化、应用更加丰富、联网时间更长,这使得其将面临更多的攻击。右图是一个用户信息占比分析图:
2.3存在的信息安全问题
总的来说:三网融合面临的信息安全问题,主要表现为如下几方面:
互联网是新兴的交互平台技术,连接着地球上的所有区域,来自互联网的不安全因素,目前人们还没有足够的应对办法,这是现实。三网融合,意味着国家的媒体宣传将面临互联网同样的安全状态,如何保证媒体的播出控制权?
互联网的特点是大众的参与性,新闻通道不再固定与可控,对于虚假、敏感信息的与传播,将如何控制与防护?
通讯好比是现代社会的“神经”体系,成为有关民生的国家公共基础设施,攻击通讯体系,已经不再只是政治问题与国家安全问题,而是关乎社会安定的民生大问题,如何保护这个庞大的网络?
当然,安全问题的核心是内容的安全,这也是有关管理部门最为头痛,急需解决的问题。不能公开的,往大了说是国家秘密,往小了说是个人隐私;不能乱说的,往大了说有政治言论,往小了说有个人信息。只有这些问题解决得好,才能让政府与用户安心享受信息技术革命带来的种种便利。
三、三网融合信息安全对策
针对三网融合下的信息安全架构的设计思路,其主要思想是建立防护、监控、信任三条安全基线,选择与业务需要相适应的安全对策,形成立体的、有时效性的信息安全防护体系。具体对策如下:
3.1防护体系:采用“边界”的思想,在网络、系统、资源等与“外界”的接口上,部署网关与控制设备。模型提出了5大边界:网络边界(局域网出口与安全域)、人机边界(服务器与终端)、数据交换区;如右图的防火墙技术等。
3.2监控体系:采用“摄像头”的思路,对网络内部的病毒与木马、入侵与异常、网络流量、设备状态、应用系统状态进行全面监控,感知网络的动态,把可能的损失减少到最少;
3.3信任体系:对内部用户建立信誉保障体系,确认每个人员的工作是合规的、合法的。信任体系的核心是三个验证:首先是验证用户的身份,其次验证用户的权限,最后是对用户的行为进行审计验证,如下图可信任安全架构的实现机制图:
在这三条安全基线的下边是网络上的公共安全支撑,如安全管理平台、补丁管理服务等。综上所述,三网融合后,业务种类多、用户接入灵活、内容安全显著,并且社会的进步和人们的选择,从来不会等到有绝对安全保障后才进行。世界上也从来没有绝对的安全,最大的安全就是我们能随时掌握全局的动态,有能力把局部的不安全事件损失降低到最小,能控制局面就是安全。
四、结束语
当前我国三网融合工作已取得阶段性成果,正在向更高层次推进,发展趋势良好。从2012年开始,我国已基本具备进一步开展三网融合的技术条件、网络基础和市场空间,加快推进三网融合已进入关键时期。因此,我们应该对三网融合的信息安全尽早进行全面规划,从网络安全和信息内容安全角度最大程度地满足电信网、互联网和广播电视网的安全需求。
因此,面对三网融合信息安全问题,我们需要加强监控体系与信任体系的建设比重,加强对整体安全态势感知的力度,同时建立应急保障体系。
参考文献
[1]袁艺,徐文华,郭静.中国保密在线《三网融合及其信息安全问题探析》2011年11月08日.45-46
