信息安全等級保護的分析論文(專業(yè)16篇)

格式:DOC 上傳日期:2023-11-28 16:37:18
信息安全等級保護的分析論文(專業(yè)16篇)
時間:2023-11-28 16:37:18     小編:雨中梧

在工作中,總結可以幫助我們回顧工作過程中的得失,總結經驗和不足,以便在下一階段進行改進和提升。要注重總結的邏輯性,讓讀者在閱讀過程中能夠清晰地理解和把握論述的條理。總結是一個不斷完善和提高的過程,我們可以通過對他人總結作品的學習和借鑒,不斷改進和提升自己的寫作水平。

信息安全等級保護的分析論文篇一

此級別功能最全,除具備上述所有級別功能外,對系統(tǒng)加設了訪問驗證保護,以此不但記錄訪問者對系統(tǒng)的訪問歷史,還對訪問者的訪問權限進行設置,確保信息被安全使用,保障信息不外泄。

對于一些需要特殊保護和隔離的信息系統(tǒng),如我國的、國家機關以及重點科研機構等特殊機構的信息系統(tǒng),在進行信息安全保護時,要嚴格按照國家頒布的關于信息安全等級保護的相關政策制度以及法律法規(guī)的規(guī)定要求對信息系統(tǒng)進行等級保護。根據需被保護的信息的類別和價值的不同,通常其受到保護的安全等級也不同。此舉目的為在保護信息安全的同時降低運作成本。

2、信息安全等級保護的基本要求。

信息安全等級保護的基本要求分為技術和管理兩大類。技術部分是要求在信息安全保護過程中采取安全技術措施,使系統(tǒng)具備對抗外來威脅和受到破壞后自我修復的能力,主要涉及到物理、網絡、主機、應用安全和數據恢復功能等技術的應用。管理部分是要求在信息系統(tǒng)的全部運行環(huán)節(jié)中對各運行環(huán)節(jié)采取控制措施。管理過程要求對制度、政策、人員和機構都提出要求,涉及到安全保護等級管理、工程建設管理、系統(tǒng)的運行與維護管理以及應急預案管理等管理環(huán)節(jié)。

信息安全等級保護涉及到多個環(huán)節(jié),需要各相關部門共同參與,合力完成。安全等級保護的環(huán)節(jié)大體上分為以下九步:(1)確定系統(tǒng)等級作為實現信息等級保護的前提,確定信息系統(tǒng)的安全保護等級是必不可缺的步驟。用戶要嚴格按照國家規(guī)范標準給所使用的信息系統(tǒng)科學確定等級。(2)等級審批信息系統(tǒng)主管部門對信息系統(tǒng)的安全等級進行審批調整,但調整時要按照規(guī)定,只能將等級調高。(3)確定安全需求信息系統(tǒng)的安全需求可反映出該等級的信息系統(tǒng)普遍存在的安全需求。信息系統(tǒng)在確定安全需求時要依賴該系統(tǒng)的安全等級,但因為信息系統(tǒng)普遍存在可變性,因此用戶在確定安全需求時還要根據自身實際情況確定自己系統(tǒng)的安全需求。(4)制定安保方案當信息系統(tǒng)的等級和安全需求確定后,針對已掌握情況制定出包括技術安全和管理安全在內的最佳安全保護方案。(5)安全產品選型安全產品的選擇直接決定了安全保護工作是否能夠成功實現。因此在安全產品的選擇過程中,不僅要對產品的可信度和功能進行認真審查,還要求國家相關部門監(jiān)管產品的使用情況。(6)安全測評測評的目的在于確定系統(tǒng)安全保護的實現,以保證信息安全。若測評不能達到預期目標,要及時進行重新調整。(7)等級備案安全保護等級在三級以上的信息系統(tǒng),其用戶和運營商需要向地市級以上公安機關備案??绲赜虻男畔⑾到y(tǒng)的備案由其主管部門在當地同級公安機關完成,分系統(tǒng)的備案由其用戶和運營商完成。(8)監(jiān)督管理信息系統(tǒng)的監(jiān)管工作主要是監(jiān)督安全產品的使用情況,并對測評機構和信息系統(tǒng)的登記備案進行監(jiān)管。(9)運行維護該環(huán)節(jié)主要目的在于通過運行確定系統(tǒng)的信息安全,還可以重新確定對產生變化的信息系統(tǒng)的安全保護等級。以上環(huán)節(jié)在實現信息系統(tǒng)的安全等級保護過程中極其重要,不可跨環(huán)節(jié)、漏環(huán)節(jié)操作。

信息安全等級保護分為物理安全保護和網絡系統(tǒng)安全保護兩類。對于物理安全保護,又分為必要考慮和需要考慮兩個安全層面。對于必要考慮的物理安全方面:對于主機房等場所設施來說,要做好安全防范工作。采用先進的技術設備做到室內監(jiān)控、使用用戶信息登記、以及自動報警系統(tǒng)等。記錄用戶及其訪問情況,方便隨時查看。對于需要考慮的物理安全方面:對于主機房以及重要信息存儲設備來說,要通過采用多路電源同時接入的方式保障電源的可持續(xù)供給,謹防因斷電給入侵者制造入侵的機會。根據安全保護對象的不同,有不同的保護方法。具體方法如下:(1)已確定安全等級系統(tǒng)的安全保護對于全系統(tǒng)中同一安全等級的信息系統(tǒng),對于任何部分、任何信息都要按照國家標準采取統(tǒng)一安全保護方法給其設計完整的安全機制。對于不同安全等級的'分系統(tǒng),對其上不同的部分及信息按照不同的安全要求設計安全保護。(2)網絡病毒的防范方法計算機病毒嚴重威脅到計算機網絡安全,所以防范病毒的入侵在信息系統(tǒng)安全保護過程中是非常重要的步驟。運用防火墻機制阻擋病毒入侵,或者給程序加密、監(jiān)控系統(tǒng)運行情況、設置訪問權限,判斷是否存在病毒入侵,及時發(fā)現入侵的病毒并予以清除,保障計算機信息系統(tǒng)的安全。(3)漏洞掃描與修復方法系統(tǒng)存在漏洞是系統(tǒng)的安全隱患,不法分子常會利用系統(tǒng)中的漏洞對系統(tǒng)進行攻擊破壞。因此要經常對計算機進行全面的漏洞掃描,找出系統(tǒng)中存在的漏洞并及時修復漏洞,避免給不法分子留下入侵機會。漏洞的修復分為系統(tǒng)自動修復和人工手動修復兩種,由于多種原因,絕對完善的系統(tǒng)幾乎不存在,因此要定期對系統(tǒng)進行漏洞掃描修復,確保系統(tǒng)的安全。

4、結束語。

建立信息安全等級保護制度旨在為國家信息安全保護工作建立起一個長久有效的安全機制,保障信息化建設的健康發(fā)展。然而目前我國信息安全等級保護政策的實施處于初步進行階段,還有很多工作需要完成。這需要業(yè)內外人士的共同參與,為保障信息安全盡最大的努力。同時伴隨著計算機技術的發(fā)展,信息安全等級保護技術和水平也要不斷優(yōu)化升級,確保能夠及時解決安全保護中遇到的問題,讓信息安全等級保護政策的實施暢行無阻。

信息安全等級保護的分析論文篇二

根據《永勝縣人民政府辦公室關于開展政府信息系統(tǒng)安全檢查的通知》(永政辦發(fā)〔20xx〕56號)文件精神,結合我社實際,認真組織開展了信息系統(tǒng)的安全自查工作。現將相關情況報告如下:

一、信息系統(tǒng)安全檢查基本情況。

為規(guī)范信息公開工作,落實好信息安全的相關規(guī)定,我社成立了信息安全工作領導小組,落實了管理機構,由聯(lián)社辦公室負責信息安全的日常管理工作,明確了信息安全的主管領導、分管領導和具體管理人員。

(二)日常信息安全管理落實情況。

根據供銷合作社的工作實際,供銷社日常信息安全工作主要涉及上級下發(fā)的涉密文件管理、政府信息公開工作信息管理、業(yè)務工作相關數據信息管理、組織人事信息管理。根據這些實際,縣聯(lián)社已從落實管理機構和人員、加強教育培訓、更新設備、健全完善相關制度等方面對信息安全的人員、資產、運行和維護管理進行了落實。

一是,落實具體負責信息安全工作的人員,對涉密信息文件、材料實行專人管理;對重要辦公區(qū)、辦公計算機等進行嚴格管理,確保信息保密工作。二是,結合供銷社工作實際,對涉密文件材料管理和計算機、移動存儲設備等的維修、報廢、銷毀管理進行了規(guī)定。對日常信息辦公軟件、應用軟件等的安裝使用,主要是由上級組織人事部門、業(yè)務主管部門下發(fā)的業(yè)務工作應用軟件,均按照上級部門的要求和規(guī)定,嚴格進行操作管理。

三是,結合供銷社政府信息公開工作,按照信息公開的相關保密規(guī)定和程序,初步建立了《永勝縣供銷合作社政府信息公開保密審查制度(試行)》,對信息公開、陽光政府四項制度等公開發(fā)布信息保密審查機制、程序進行了規(guī)范,完善相關信息審批備案和日常記錄。

(三)等級保護與風險評估。

1、計算機及網絡經過檢查,已安裝了防火墻,同時配置安裝了專業(yè)殺毒軟件,加強了在防篡改、防病毒、防攻擊、防癱瘓、防泄密等方面的有效性。并按縣委保密局的要求,在主要的計算機上統(tǒng)一粘貼了“非涉密計算機嚴禁處理涉密信息”的標識,杜絕涉密和非涉密計算機之間的混用。

加強安全監(jiān)管。我單位使用的計算機都為非涉密計算機,主要是用于業(yè)務工作,沒有用于處理涉密信息的情況。目前,網絡運行良好,安全防范措施和設備運行良好,沒有涉及國家秘密的相關信息,未在網上存儲、傳輸國家秘密信息,未發(fā)生過失密、泄密現象。

3、密碼技術防范方面。我單位的相關信息還達不到涉密信息系統(tǒng)等級,目前還沒有使用密碼技術防護措施。

(四)應急工作機制建設情況。

1、應急響應機制建設上,根據相關要求,建立了信息安全的相關規(guī)章制度,要求縣社信息安全管理辦公室根據信息安全工作情況及時向工作領導小組報告相關情況,并及時上報縣信息化辦公室,及時采取有效措施,處理相關問題。目前,還沒有應急響應方案。

2、對非涉密的相關重要工作信息實行光盤備份,以防范計算機系統(tǒng)故障帶來的損失和影響。

3、目前,我社的信息安全管理工作還沒有明確應急技術支援隊伍,主要由縣社辦公室根據工作中的問題向縣信息辦及時報告咨詢解決。目前,沒有發(fā)生信息安全事件。

(五)信息技術產品和信息安全產品使用情況。

我單位終端計算機安裝的防火墻、入侵檢測設備、殺毒軟件等信息安全產品,使用360安全衛(wèi)士等軟件,皆為國產產品。公文處理軟件具體使用金山軟件的wpsoffice系統(tǒng)和microsoftoffice系統(tǒng)。單位使用的工資系統(tǒng)、業(yè)務統(tǒng)計報表系統(tǒng)、組織人事統(tǒng)計系統(tǒng)等應用軟件均為縣委、縣政府相關部門和市供銷社統(tǒng)一指定的產品系統(tǒng)。

(六)安全教育培訓情況。

1、縣供銷社積極參加全縣保密工作會議和縣委政府相關部門組織的信息系統(tǒng)安全知識培訓,并專門負責機關的網絡安全管理和信息安全工作。

2、結中學習,縣供銷社對全縣保密工作會議精神進行了傳達學習。同時,在日常工作中相關保密、信息安全工作人員也結合《保密工作》雜志及相關文件精神,開展自學,提高信息安全意識、保密意識。

縣供銷合作社信息安全工作得到縣社領導高度重視,信息安全相關學習培訓材料的征訂購買和相關防護設施建設、運行、維護和管理經費均納入預算,實報實銷,為信息安全提供了經費保障。

二、信息安全檢查存在的主要問題及整改情況。

經過安全檢查,我單位信息安全總體情況良好,但也存在了一些不足,同時結合單位工作實際,進行了整改同時提出了進一步整改的措施。

1、部分干部職工對信息安全工作的認識不到位。由于本部門工作涉密很少,機關干部對信息安全防范的意識還不高,對信息系統(tǒng)安全工作重要性的認識還不足。針對這些情況,縣社領導已結合傳達全縣保密工作會議精神,進一步作了強調和要求。結合工作開展,今后將繼續(xù)加強對機關干部的信息系統(tǒng)安全意識教育,提高干部職工對信息安全工作重要性的認識。

2、設備維護、更新不及時。部分股室計算機的殺毒軟件、防護軟件沒有及時進行更新升級,存在部分漏洞。針對這些問題,辦公室已及時對各終端計算機的殺毒軟件、防火墻等進行了更新升級,對存在的漏洞進行了修復。今后將對線路、系統(tǒng)等的及時維護和保養(yǎng),及時更新升級防護軟件。

3、信息系統(tǒng)安全工作的水平還有待加強。供銷社的信息系統(tǒng)工作人員均為兼職人員,非專業(yè)人員,對信息安全的管護水平低,還需要加強專業(yè)學習培訓,提高信息安全管理和管護工作的水平。

4、信息安全工作機制還有待完善。部門信息安全相關工作機制制度、應急預案等還不健全,還要完善信息安全工作機制,建立完善信息安全應急響應機制,以提高機關網絡信息工作的運行效率,促進辦公秩序的進一步規(guī)范,防范風險。

一是,進一步加大對信息安全工作人員的業(yè)務培訓。由于很多部門的信息安全工作人員均為兼職,均是“半路出家”,非專業(yè)人員,沒有專業(yè)的技能和知識,希望進一步加強對計算機信息系統(tǒng)安全管理工作的業(yè)務操作培訓,發(fā)放一些信息網絡安全管理方面的業(yè)務知識材料。

二是,加強對各級各部門干部職工的信息系統(tǒng)安全教育。通過開展專題警示教育培訓,增強信息系統(tǒng)安全意識,提高做好信息安全工作的主動性和自覺性。

三是,加強分類指導。由于各部門工作性質不同,信息安全的級別也不同。希望結合各部門工作實際,對重點信息安全部門和非重點信息安全部門進行分類指導。

信息安全等級保護的分析論文篇三

認真落實國家信息系統(tǒng)安全等級保護政策和標準,是增強信息安全、確保系統(tǒng)健康運行的'重要途徑和保障.2008年7月,國家發(fā)展改革委批復的“金審”工程二期項目,從立項規(guī)劃到系統(tǒng)建設的整體階段,我們一直認真學習和落實信息安全等級保護政策和標準,為信息安全和系統(tǒng)安全提供了較好的保障.

作者:周德銘作者單位:審計署信息化建設辦公室刊名:信息網絡安全英文刊名:netinfosecurity年,卷(期):2009“”(5)分類號:關鍵詞:

信息安全等級保護的分析論文篇四

信息安全等級保護是對信息和信息載體按照重要性等級分級別進行保護的一種工作,在中國、美國等很多國家都存在的一種信息安全領域的工作。在中國,信息安全等級保護廣義上為涉及到該工作的標準、產品、系統(tǒng)、信息等均依據等級保護思想的安全工作;狹義上一般指信息系統(tǒng)安全等級保護。

通過對信息安全等級保護的講解,使大家了解信息安全等級保護的相關知識、重要性,以及如何保障信息安全,響應國家對信息安全的基本要求。

信息安全等級保護的分析論文篇五

[摘要]近些年隨著經濟水平的提高,我國的發(fā)展也正處于上升的階段。

我國信息安全的發(fā)展是近年來受到國家較為重視的一項內容,信息安全管理水平也在日益提高。

信息安全管理就是對一些重要的信息進行保護,防止信息內容的泄露,對我國安全有著重要的意義。

現階段我國信息安全管理的主要方式就是數字檔案信息安全,這種信息管理方式是具有較多優(yōu)點的新型管理模式。

本研究將對我國數字檔案信息安全進行細致的分析,找出影響數字檔案信息安全的因素與對策。

前言。

數字檔案信息安全是我國信息安全管理發(fā)展中的項重要改進,它的出現為我國信息安全做出了重要的貢獻。

數字檔案信息安全最主要就是利用數字信息將所要進行保密的信息進行記錄存檔,數字檔案的安全可靠性是其他信息安全措施所不能相比的。

雖然數字檔案信息安全較為可靠,但是還是存在一些影響其安全性進一步提高的因素,這些因素的存在使得我國數字檔案信息安全的發(fā)展受到抑制,所以在下一階段的發(fā)展過程中我國需要對這些因素進行注意,找出相應的解決措施。

數字檔案信息安全是在我國信息安全不斷發(fā)展的過程中被提出的一項新內容,它的應用對我國信息安全有著重要的意義。

我國傳統(tǒng)的信息安全管理技術主要是以文字檔案進行存儲的,這種信息安全管理方式對信息安全有效性的保證十分不利,信息內容很容易向外泄露,泄露將會為我國帶來一定程度的影響。

以傳統(tǒng)文字為信息載體的信息管理方式不能夠使得信息安全性得到較高的保證,所以我國信息安全管理部門對信息安全管理方式進行了較大的改進,數字檔案信息安全管理方式也隨之出現。

以數字為信息的主要載體會很小程度的暴露信息內容,這就對信息的加密工作作出了較好的保障。

數字檔案信息安全主要是針對安全性要求極強的信息進行安全管理工作的,它將這些信息轉變?yōu)閿底中问竭M行存儲,這就使得其他無關人員對信息的獲知概率減小。

數字檔案信息安全的發(fā)展使得我國信息管理有了顯著的提高,這對于國家的發(fā)展意義重大。

我國數字檔案信息安全管理在現階段正在進行較快的發(fā)展,數字檔案的應用不僅使得我國信息管理變得更加便捷,還進一步的加強了我國信息安全的保障,所以數字檔案信息安全的出現與完善是我國發(fā)展過程中的重要內容。

但是雖然在現階段我國數字檔案信息管理技術的發(fā)展較好,但是仍然存在一些需要我們進行進一步注意并能找到適當改進措施的方面[1]。

進行數字檔案信息安全管理主要就是采用數字檔案信息安全管理的流程來進行信息處理,但是目前我國數字檔案信息安全管理流程還是存在較大問題的一項重要的內容,管理流程較為欠缺使得數字檔案信息安全管理的可靠度有所下降。

現階段進行信息安全管理的工作人員不能夠對其所進行的工作進行完全的掌握,在工作過程中總是出現一些問題與漏洞,這就使得數字檔案信息安全得不到較高的保證,進而不利于數字檔案信息安全的進步與發(fā)展。

管理人員是信息安全保證的最基本條件,在信息安全管理工作進行的過程中,信息管理工作人員應該將信息安全作為最重要的責任,時刻的保持信息安全意識,只有信息管理人員能夠將信息做到最大程度的保密,才能使得信息不會輕易的向外泄露。

但是目前我國數字檔案信息安全管理人員的安全意識還沒有得到應有的提高,一些重要的信息還是因為信息管理人員而遭到泄露。

信息安全對國家的發(fā)展有著重要的影響意義,國家的一些重要信息需要由嚴格的信息安全管理機構來進行管理[2]。

信息安全管理機構的工作主要就是對所有重要信息進行處理與保存,這個過程需要由嚴格的管理技術來進行。

數字檔案信息安全管理技術是目前對信息安全保證的重要技術,它與傳統(tǒng)的信息管理技術相比更為便捷安全,是現階段最適合我國信息管理的重要技術。

提高我國數字信息安全是我國發(fā)展過程中十分必要的一項內容,信息安全是我國未來發(fā)展的基本內容,只有將我國發(fā)展過程中的重要信息進行加密安全保護,我國才能安全穩(wěn)定的實施每一項發(fā)展內容。

提高我國數字檔案信息安全水平是目前我國十分重視的發(fā)展問題,所以尋找提高數字檔案信息安全措施是我國目前正在進行的一項重要內容,這與我國未來的發(fā)展息息相關。

數字檔案信息安全管理的管理流程與傳統(tǒng)信息管理方式相比較為嚴格復雜,這主要是有利于信息的安全保障。

進行數字檔案信息安全管理的首要步驟就是對信息進行核對與分類,一些重要信息是需要進行嚴格的分類,以保證不與其他信息弄混。

完成信息的分類后要將所有的信息轉變?yōu)閿底謾n案,有需要備份的信息要完成備份工作,這樣就會使所有的信息進行統(tǒng)一的管理,同時在查找信息時可以很快的找出。

2.2提高管理人員的安全意識。

數字檔案信息安全管理人員是對所有數字檔案進行管理以及保護的人員,所以他們對信息必須要進行一定的了解,這就使得信息的安全性受到了威脅。

一些管理人員沒有對信息保密的安全意識,使得自己了解的信息可能對外透露,這就引起了重要信息的泄露發(fā)生。

提高管理人員的安全意識是現階段我國需要完善的重要內容,只有對數字檔案進行管理的工作人員可以保證不會將信息泄露出去,信息安全才能從根本上得以保證。

2.3注重管理和培訓信息安全人才。

數字檔案信息安全管理人員的工作十分重要,所以在對管理人員的管理以及培訓工作上我們要加強重視。

在對正式進行信息管理工作的工作人員進行培訓時,要對他們進行工作內容的細致講解,使他們對工作流程進行完全的掌握,防治在正式工作后發(fā)生不必要的錯誤。

在了解一定的工作內容后還要進行一定時間的試用期,只有管理人員在試用期時很好地完成任務才能進行正式的工作。

所有數字檔案信息安全管理工作的人員需要由統(tǒng)一的管理機構來進行管理,這對于信息安全的保障十分重要。

注重管理和培訓信息安全人才是提高我國數字檔案信息安全工作的重要環(huán)節(jié),只有這樣我國的信息安全才能夠得到更好的保證。

3.結語。

我國數字檔案信息安全管理工作在近些年的'發(fā)展很快,這對我國未來的發(fā)展意義重大。

雖然在現階段我國數字檔案信息安全管理工作仍然存在一定的問題,但是在細致認真的分析過后我國可以很好的都對這些問題進行解決,最終使我國數字檔案信息安全工作有更高水平的提高。

參考文獻。

信息安全等級保護的分析論文篇六

第一條為加強和指導信息安全等級保護備案工作,規(guī)范備案受理、審核和管理等工作,根據《信息安全等級保護管理辦法》制定本實施細則。

第二條本細則適用于非涉及國家秘密的第二級以上信息系統(tǒng)的備案。

第三條地市級以上公安機關公共信息網絡安全監(jiān)察部門受理本轄區(qū)內備案單位的備案。隸屬于省級的備案單位,其跨地(市)聯(lián)網運行的信息系統(tǒng),由省級公安機關公共信息網絡安全監(jiān)察部門受理備案。

第四條隸屬于中央的在京單位,其跨省或者全國統(tǒng)一聯(lián)網運行并由主管部門統(tǒng)一定級的信息系統(tǒng),由公安部公共信息網絡安全監(jiān)察局受理備案,其他信息系統(tǒng)由北京市公安局公共信息網絡安全監(jiān)察部門受理備案。隸屬于中央的非在京單位的信息系統(tǒng),由當地省級公安機關公共信息網絡安全監(jiān)察部門(或其指定的地市級公安機關公共信息網絡安全監(jiān)察部門)受理備案??缡』蛘呷珖y(tǒng)一聯(lián)網運行并由主管部門統(tǒng)一定級的信息系統(tǒng)在各地運行、應用的分支系統(tǒng)(包括由上級主管部門定級,在當地有應用的信息系統(tǒng))由所在地地市級以上公安機關公共信息網絡安全監(jiān)察部門受理備案。

第五條受理備案的公安機關公共信息網絡安全監(jiān)察部門應該設立專門的備案窗口,配備必要的設備和警力,專門負責受理備案工作,受理備案地點、時間、聯(lián)系人和聯(lián)系方式等應向社會公布。

第六條信息系統(tǒng)運營、使用單位或者其主管部門(以下簡稱“備案單位”)應當在信息系統(tǒng)安全保護等級確定后30日內,到公安機關公共信息網絡安全監(jiān)察部門辦理備案手續(xù)。辦理備案手續(xù)時,應當首先到公安機關指定的網址下載并填寫備案表,準備好備案文件,然后到指定的地點備案。

第七條備案時應當提交《信息系統(tǒng)安全等級保護備案表》(以下簡稱《備案表》(一式兩份)及其電子文檔。第二級以上信息系統(tǒng)備案時需提交《備案表》中的表一、二、三;第三級以上信息系統(tǒng)還應當在系統(tǒng)整改、測評完成后30日內提交《備案表》表四及其有關材料。

第八條公安機關公共信息網絡安全監(jiān)察部門收到備案單位提交的備案材料后,對屬于本級公安機關受理范圍且備案材料齊全的,應當向備案單位出具《信息系統(tǒng)安全等級保護備案材料接收回執(zhí)》備案材料不齊全的,應當當場或者在五日內一次性告知其補正內容;對不屬于本級公安機關受理范圍的,應當書面告知備案單位到有管轄權的公安機關辦理。

第九條接收備案材料后,公安機關公共信息網絡安全監(jiān)察部門應當對下列內容進行審核:(一)備案材料填寫是否完整,是否符合要求,其紙質材料和電子文檔是否一致;(二)信息系統(tǒng)所定安全保護等級是否準確。

第十一條《備案表》中表一、表二、表三內容經審核合格的,公安機關公共信息網絡安全監(jiān)察部門應當出具《信息系統(tǒng)安全等級保護備案證明》(以下簡稱《備案證明》《備案證明》由公安部統(tǒng)一監(jiān)制。

第十二條公安機關公共信息網絡安全監(jiān)察部門對定級不準的備案單位,在通知整改的同時,應當建議備案單位組織專家進行重新定級評審,并報上級主管部門審批。備案單位仍然堅持原定等級的,公安機關公共信息網絡安全監(jiān)察部門可以受理其備案,但應當書面告知其承擔由此引發(fā)的責任和后果,經上級公安機關公共信息網絡安全監(jiān)察部門同意后,同時通報備案單位上級主管部門。

第十三條—4—對拒不備案的,公安機關應當依據《中華人民共和國計算機信息系統(tǒng)安全保護條例》等其他有關法律、法規(guī)規(guī)定,責令限期整改。逾期仍不備案的,予以警告,并向其上級主管部門通報。依照前款規(guī)定向中央和國家機關通報的,應當報經公安部公共信息網絡安全監(jiān)察局同意。

第十四條受理備案的公安機關公共信息網絡安全監(jiān)察部門應當及時將備案文件錄入到數據庫管理系統(tǒng),并定期逐級上傳《備案表》中表一、表二、表三內容的電子數據。上傳時間為每季度的第一天。受理備案的公安機關公共信息網絡安全監(jiān)察部門應當建立管理制度,對備案材料按照等級進行嚴格管理,嚴格遵守保密制度,未經批準不得對外提供查詢。第十五條公安機關公共信息網絡安全監(jiān)察部門受理備案時不得收取任何費用。

第十六條本細則所稱“以上”包含本數(級)。

第十七條各省(區(qū)、市)公安機關公共信息網絡安全監(jiān)察部門可以依據本細則制定具體的備案工作規(guī)范,并報公安部公共信息網絡安全監(jiān)察局備案。

信息安全等級保護的分析論文篇七

[摘要]隨著時代的進步和發(fā)展,檔案的存取已經不僅僅拘于紙質化,數字檔案是隨著計算機以及數字化記錄技術的普及而出現的,通過利用電腦等高科技手段對檔案進行分類,記載,整理,十分便利。

但是電子化信息在便捷的同時也會產生一些漏洞,其安全問題值得我們深思,本文主要對數字檔案信息存在的安全隱患和保護對策進行簡要討論。

信息安全等級保護的分析論文篇八

現在全球已經進入網絡時代,信息化生活越來越普及,所以在檔案管理方面,新興的數字信息也已經逐步取代了原有的人工紙質整理方式。

但是伴隨著信息化的各種簡單快捷,其安全問題能否得到保障也值得人深思,數字檔案信息安全通常包括系統(tǒng)網絡設備的安全和檔案信息的安全,要想保證檔案的安全性,就要對可能出現的問題及時進行解決和完善,這樣才能真正實現檔案信息的數字化。

1.數字檔案體系建設中存在的問題。

1.1相關軟硬件設施不夠完善。

儲存數字檔案信息需要有足夠匹配的硬件條件,比如說計算機和光盤質量,直接影響了信息能否長時間安全保存,所以為了檔案信息可以被安全完整的保存,便于日后使用,就需要加大在軟件和硬件方面的投入,有了高質量的設備和系統(tǒng),可以提高信息的安全性,加強數字檔案信息系統(tǒng)的建設。

1.2相關法律法規(guī)不夠健全。

由于數字信息檔案是新興技術,所以在這方面的我國仍然缺乏相應的健全的管理體制和法制法規(guī)。

把數字檔案信息安全問題上升到法律高度,可以起到震懾不法分子的作用,現在僅僅依靠通用的計算機法律法規(guī)來維護檔案信息化建設的安全,這對那些刻意攻擊、竊取、毀壞檔案信息的破壞分子來說實在是微不足道,早日建立專門的法規(guī)進行監(jiān)管,可以保證信息的安全性,減少不必要的損失,促進新型數字信息體制的發(fā)展。

1.3人員素質和管理體制不夠健全。

把檔案信息數字化,網絡化,就需要從錄入,管理,使用都形成良好的體系,所以要加強對于其體系的管理工作,比如說,建立專門的檔案組織機構,可以協(xié)調檔案數字化、信息化、網絡化各部分間的工作,把技術部門和管理部門相聯(lián)系,實現檔案信息網絡一體化的宏觀管理。

在統(tǒng)一的安全組織領導下,每個人都要明確自己的分工和責任,條理清晰,層層負責,建立由館長為網絡安全總負責人的體系,并根據各自安全管理的目標,建立相應的檔案信息安全管理制度。

在完善管理之后,就要提高技術人員的水平,針對數字檔案方面的相關知識對人員進行培訓,提高他們的專業(yè)能力和工作效率。

現在這種專業(yè)的技術人員和管理人員都較為缺乏,所以數字信息的運行較為混亂。

數字檔案作為信息時代應運而生的產物,就要采用更為高科技的手段進行管理。

所以針對其安全問題,可以采用防火墻技術,入侵檢測技術,防病毒技術,加密技術等。

防火墻技包括計算機防火墻和網絡防火墻。

檔案館可以充分利用防火墻提供的功能自行設定符合本單位要求的安全策略,通過確定防火墻的信息類型,可以檢查內部網絡間的信息溝通交流,避免被黑客阻斷破壞網絡交流,篡改網絡信息。

防病毒必須從網絡整體考慮,主動防御,改變被動劣勢,通過網絡環(huán)境管理網絡上的所有機器,如利用查毒功能對客戶進行掃描,檢查病毒情況,還可以利用在線報警功能,當病毒侵入系統(tǒng)或者機器運轉出現問題,網絡管理人員可以及時了解,并采取一定的防范措施。

檔案信息具有非公開性,采用加密技術可以確保檔案信息內容的非公開性。

加密和解密使用不同的密鑰,使得第三方很難從截獲的密文中破解出原文,這對于傳輸中的檔案信息具有很好的保護作用。

這些高科技手段的應用,都可以有效的提高數字檔案信息的安全性,避免檔案發(fā)生泄漏等問題。

2.2提高重視,加強道德安全教育。

檔案信息化進程不斷推進,對于網絡的依賴性也日益提升,許多檔案部門對檔案信息安全的重要性、緊迫性仍認識不足。

對檔案信息安全則是淡然處之,由于缺乏必要的安全教育與培訓,導致系統(tǒng)操作人員缺乏安全意識,網絡信息違規(guī)操作的現象時有發(fā)生。

所以要加強對于信息安全的重視,加強宣傳教育,樹立全面的系統(tǒng)的檔案信息安全觀,并且要端正態(tài)度,有良好的道德品質,不能利用網絡從事一些違規(guī)違法的事情,要有職業(yè)的責任感,明確自己的職權范圍和行業(yè)操守,嚴格按照規(guī)定做事,保護數字檔案信息的安全。

2.3提高人員素質,加強能力培訓。

數字檔案信息的管理追根究底還是得依靠人員的操作,所以對管理人員進行素質和能力培訓是非常有必要的。

要讓他們學習先進的知識文化,通過培訓班,講座,與其他地區(qū)甚至國家進行交流等方式,讓他們能夠不斷更新數字檔案信息管理知識,掌握現代化的數字檔案信息管理技術,進一步提升數字檔案信息管理素養(yǎng),這樣才能跟上我國數字檔案信息安全管理的發(fā)展步伐。

還可以建立內部的獎罰和考核機制,提高大家對于專業(yè)知識技能學習的積極性,激發(fā)他們對于工作的熱情,端正對于工作的態(tài)度。

2.4政府大力支持,完善體制。

對于檔案信息領域新的變革,要想讓大家接受并逐步推廣,就要政府大力支持,給予一定的資金技術支持,加強數字檔案信息的宏觀管理,完善各方面體制建設。

人員方面包括安全審查制度、崗位安全考核制度、安全培訓制度等。

在文檔管理方面,對已經存儲的數字檔案信息均應進行密級分類,對敏感信息與機密信息應當加密并脫機存儲在安全的環(huán)境中,防止信息被偷聽、變更與毀壞。

在系統(tǒng)的運營方面也要注意安全問題,包括操作安全管理、操作權限管理、操作規(guī)范管理、操作責任管理、操作監(jiān)督管理、操作恢復管理、應用系統(tǒng)備份管理、應用軟件維護安全管理等等。

3.結語。

數字檔案工作是一項需要長期堅持,不斷完善的工作,它的安全問題需要我們不斷改進,不斷加以維護,我們要從人員,技術,制度管理等多個方面同時下手,建立良好的“軟環(huán)境”和“硬環(huán)境”,早日建立好數字檔案信息安全體系,用好數字檔案,管好數字檔案,為我國的經濟建設做出更大的貢獻。

參考文獻:

[1]宗文萍,檔案信息安全保障體系建設研究,檔案學通訊,.

[2]呂榜珍,數字檔案的安全管理與技術措施,云南檔案,.

[3]崔淑霞,檔案信息化建設中的信息安全研究,天津檔案2006.

信息安全等級保護的分析論文篇九

xxx擁有66年發(fā)展歷史,坐落于黑龍江北部中心城市北安市的城市中心,地處政治、經濟、文化中心地帶,交通便利,醫(yī)院學科優(yōu)勢突出,專業(yè)特色明顯,在市內外享有較高的聲譽。醫(yī)院總占地面積22599平方米,業(yè)務用房建筑面積25027平方米。

醫(yī)院在職職工664人,專業(yè)技術人員557人,其中高級技術職稱172人,中級技術職稱109人,床位400余張。設有內、外、婦、兒、五官等二十個臨床科室,15個醫(yī)技科室。外科共設五個科室包括普外、腦外、胸科、燒傷、泌尿、骨科、肛腸等學科,其中胸外科、腦外科是我院重點科室之一,胸外科是黑河地區(qū)該專業(yè)龍頭科室,外科常規(guī)開展肺癌、腦外、食道癌等復雜手術,廣泛開展腹腔鏡、前列腺電切等介入手術。多項技術的開展和研發(fā)均獲得國家及省級科技進步獎,開創(chuàng)了歷史先河,成為北安市及黑河地區(qū)醫(yī)療技術的領頭雁。內科設有五個科室包括神經內科、心腦血管內科、內分泌內科、呼吸內科、血液內科、腫瘤內科、消化內科、腎內科、傳染科及在黑河地區(qū)處于領先地位的急診科。我院影像科室技術實力在本市區(qū)位居首位,吸引了大量外院病人來我院檢查,整合了各方優(yōu)勢資源。

醫(yī)院環(huán)境優(yōu)美,整潔。目前,現已發(fā)展成為一所集醫(yī)療、康復、

保健、預防、科研、教學為一體的綜合性二級甲等醫(yī)院。公共醫(yī)療改革試點醫(yī)院、城鎮(zhèn)職工醫(yī)療保險定點醫(yī)院、新型農村合作醫(yī)療定點醫(yī)院、城鄉(xiāng)醫(yī)療救助一站式即時結算定點醫(yī)院、農墾北安管局醫(yī)療保險定點醫(yī)院、鐵路職工醫(yī)療保險定點醫(yī)院、公安定點醫(yī)院、黑河地區(qū)首家工傷康復定點醫(yī)院,“120”急救中心設在我院,同時擔負著全市司法鑒定工作。

醫(yī)院擁有大型核磁共振成像系統(tǒng)、螺旋ct、高壓氧艙、德國貝朗血液透析機、日產全自動生化分析儀、數字x光機、數字多功能胃腸x光機、c型臂數字成像系統(tǒng)、彩超、經顱多普勒、體外碎石機、電子胃鏡、歐美達麻醉機、運動平板、24小時動態(tài)心電監(jiān)測系統(tǒng)等先進設備百余臺,搶占醫(yī)療市場的制高點。全套電子內窺鏡系統(tǒng)、各種手術用硬鏡、介入治療設備、高壓氧艙等一批國內外精密醫(yī)療設備,精良的醫(yī)療設備為提高臨床診治水平提供了重要的保證。

醫(yī)院由門診樓,病房樓,急救中心組成,住院樓設有內科、外科、婦產科、兒科、重癥監(jiān)護室、手術室、麻醉科、康復科等病區(qū)。醫(yī)院通過計算機網絡實現信息化管理,所有病房均設有中央空調、獨立衛(wèi)生間,配備集中供氧、集中負壓吸引、自動對講呼叫等設施。

有國際水準的最先進的層流凈化手術室共六個6手術間,同時可開展胸、腦、腹、四肢、五官、婦科等高尖端手術。急診科是黑龍江北部地區(qū)最大的急診綜合科室,科室有獨立床位近30張,搶救設備齊全,實力雄厚,是我院“門神”級科室。我院擁有全區(qū)設備最先進功能最完善的燒傷病房和血液病房,發(fā)熱門診、檢驗科均按照國家級標準建設,為患者提供了方便、安全的就醫(yī)環(huán)境。

xxx領導班子帶領廣大職工勇于拼搏,銳意進取實現了醫(yī)院的快速、穩(wěn)定、健康發(fā)展,以改革創(chuàng)新的精神腳,踏實地的工作作風使社會效益和經濟效益穩(wěn)步增長,年收入突破億元大關。醫(yī)院的各項事業(yè)蓬勃發(fā)展,碩果累累,成績斐然。

“以病人為中心,創(chuàng)建人民群眾最滿意醫(yī)院”是xxx始終堅持的辦院宗旨。醫(yī)院人正以執(zhí)著的醫(yī)志、高尚的醫(yī)德、精湛的醫(yī)術和嚴謹的學風書寫著輝煌的歷史,為打造“國內知名、省內一流”醫(yī)院的目標而努力奮斗!

根據黑龍江省衛(wèi)生計生委、黑龍江省公安廳、黑龍江省工信委《關于進一步開展好衛(wèi)生計生行業(yè)信息安全等級保護工作的通知》醫(yī)院高度重視信息系統(tǒng)的信息安全保護工作,成立信息安全領導小組,具體工作由網絡中心承擔,負責醫(yī)院信息系統(tǒng)等級保護工作,并開展相關科室的監(jiān)督指導,根據安排,醫(yī)院自成立信息安全領導小組以來,就開展了信息系統(tǒng)安全等級保護基礎調查工作等相關工作,全面開展信息系統(tǒng)安全等級保護,同時組織培訓等方式,不斷加強技術人員的培養(yǎng),對網絡中心增加專業(yè)技術人員,強化信息安全保護能力。

為落實加強和改進互聯(lián)網建設與管理,根據原衛(wèi)生部《關于印發(fā)衛(wèi)生行業(yè)信息安全等級保護工作的指導意見》(衛(wèi)辦發(fā)【20xx】85號)的文件要求,我們對醫(yī)院信息系統(tǒng)安全等級保護工作做出了具體的要求,根據等級保護要求,開展了信息安全制度的前期完善工作。陸續(xù)制定了《信息系統(tǒng)安全組織結構及管理制度》《信息人員安全管理制度》《信息系統(tǒng)管理制度》《信息安全組織機構設置》《信息安全組織機構管理制度》《系統(tǒng)運維管理制度》等制度及《物理安全技術措施建設》、《網絡安全技術措施建設》、《主機安全技術措施建設》、《應用安全技術措施建設》、《數據安全技術措施建設》等措施。

目前,醫(yī)院已有his、院內辦公網、農村合作醫(yī)療、城鎮(zhèn)職工醫(yī)保、城鎮(zhèn)居民醫(yī)保、鐵路醫(yī)保、低保等多個內部信息系統(tǒng),根據等級保護的要求進行了整改優(yōu)化,積極加強信息系統(tǒng)安全環(huán)境建設,消除安全管理中的薄弱環(huán)節(jié)。

在物理安全方面,嚴格管理機房人員進出,消防設施完善,所有設備通過ups供電。關鍵網絡設備和服務器做到有主有備,確保在發(fā)生物理故障時可以及時更換。機房做到防水、防火、防靜電處理,溫濕度控制在要求的溫濕度之間。

在網絡安全方面,我們嚴格按照內、外網物理隔離的標準建設網絡系統(tǒng),并采用虛擬局域網技術,通過交換機端口的ip綁定,防止非法網絡接入;在網絡出口以及不同網絡互聯(lián)邊界全面部署硬件防火墻,部署日志服務器,記錄并留存使用互聯(lián)網和內部網絡地址對應關系;在醫(yī)院互聯(lián)網出口部署網絡行為管理系統(tǒng),規(guī)范和記錄上網行為,合理控制不同應用的網絡流量,實現網絡帶寬動態(tài)分配,保障了信息系統(tǒng)正常應用的網絡環(huán)境。

在主機安全方面,終端計算機采用虎紋遠程管理軟件,對終端進行工作行為、上網行為等管理,重要的應用系統(tǒng)安裝了計算機監(jiān)控與審計系統(tǒng),實現對主機的usb等外設接口的控制管理,采用key用戶名密碼等方式控制用戶登陸行為。

對于應用安全,嚴格做好系統(tǒng)安全測試,配備了專門的漏洞掃描儀定期掃描應用系統(tǒng)漏洞,并按測試結果做好安全修復和加固工作;安裝彩蝶arp檢測系統(tǒng)及局域網抓包工具,自部署起已多次成功。

信息安全等級保護的分析論文篇十

公安部于開始等級保護測評體系的建設,以來,對國家和地方等級保護協(xié)調小組推薦的測評機構開展能力評估工作,到目前為止,已完成120多家測評機構的申請和評估,并頒發(fā)了《信息安全等級保護測評機構》推薦證書。120多家機構按國家和地方兩級管理,國家級目前有7家,其中有4家主要承擔行業(yè)內的測評工作,分別是電力、金融、教育和廣電。

2電力行業(yè)等級保護測評機構的借鑒作用。

國家信息安全等級保護工作協(xié)調小組鼓勵具有信息系統(tǒng)特色的行業(yè)申請等級保護測評機構,旨在對具有行業(yè)特色、安全建設情況又不便向外界透露的信息系統(tǒng)開展本行業(yè)的等級測評工作。在電力、金融、教育和廣電4大行業(yè)中,電力行業(yè)信息安全等級保護測評中心是最早獲批國家級測評機構的單位,其成功經驗對其它行業(yè)開展信息安全測評工作具有重要的借鑒作用。電力行業(yè)等級保護測評中心設有3個測評實驗室,分別掛靠在國網電力科學研究院、中國電力科學研究院、華電卓識測評中心。3個實驗室均為獨立法人單位,獨立承接測評業(yè)務,測評業(yè)務指導統(tǒng)一歸口電力行業(yè)信息安全等級保護測評中心。各測評單位的主要職能有:技術研究、安全測評、風險評估、業(yè)務咨詢服務、行業(yè)相關標準及規(guī)范編制等,對電力行業(yè)信息安全等級保護工作的開展起到引領和推動作用。電力行業(yè)信息系統(tǒng)數量多,工業(yè)控制類信息系統(tǒng)占多數,其中三級系統(tǒng)有1700多個,四級系統(tǒng)有40~50個,按照公安部的要求,測評中心對本行業(yè)的三級、四級系統(tǒng)定期開展等級保護測評工作。

鐵路行業(yè)的業(yè)務與電力行業(yè)十分相似,都屬于國家的重要基礎設施。電力行業(yè)的信息系統(tǒng)主要是電網控制類系統(tǒng),屬工業(yè)控制專業(yè),信息安全要求高;鐵路行業(yè)信息化工作主要為行車控制、客貨運輸提供重要支撐,信息系統(tǒng)涉及控制和實時交易處理等,具有明顯的行業(yè)特點,專業(yè)性要求高。因此,借鑒電力行業(yè)等級保護測評機構在本行業(yè)信息安全工作中起到的作用,有必要在鐵路行業(yè)內部建立正規(guī)的信息安全技術隊伍,對鐵路行業(yè)的網絡與信息安全工作的開展起支撐作用。

3.1行業(yè)測評機構的優(yōu)勢。

如上所述,鐵路行業(yè)的信息系統(tǒng)有著行業(yè)運行特點和專業(yè)特殊要求,客、貨運輸交易及管理類系統(tǒng)涉及國計民生,列車運行控制類系統(tǒng)與老百姓的生命安全息息相關,行業(yè)內的測評機構依托其自身長期的專業(yè)知識的積累,具有以下幾個方面的優(yōu)勢:

(1)行業(yè)測評機構容易理解行業(yè)信息系統(tǒng)的業(yè)務并把控安全風險行業(yè)測評機構的從業(yè)人員大多是有著行業(yè)信息系統(tǒng)研發(fā)經驗的科研人員,熟悉系統(tǒng)的功能特點和應用背景,長期從事行業(yè)信息安全服務工作,對行業(yè)信息系統(tǒng)的安全風險把握較準確。

(2)便于培養(yǎng)行業(yè)內的信息安全服務技術力量行業(yè)測評機構通過長期積累,在技術裝備上能得到不斷提升,通過構建與實際生產系統(tǒng)一致的模擬仿真測試環(huán)境,可以有效跟蹤生產應用系統(tǒng)的安全風險;長期從事行業(yè)內的信息安全等級保護測評工作也給測評機構的檢測人員提供良好的行業(yè)應用平臺,積累服務經驗和技術經驗;通過組織培訓班等形式,又可以將測評機構積累的豐富經驗以技術研討會的形式在行業(yè)內信息安全從業(yè)人員中傳授,有效提高行業(yè)內信息安全整體技術服務水平。

(3)行業(yè)測評機構隊伍穩(wěn)定且人員可控性強公安部要求從事信息安全等級保護測評工作的人員要可控,對從事四級系統(tǒng)(重要系統(tǒng))以上的測評人員進行嚴格管理。行業(yè)測評機構一般都是國企,主要從事行業(yè)內的信息安全技術研究、等級保護測評服務等相關工作,人員除簽訂勞動服務合同,與單位定期簽訂保密協(xié)議外,機構也會對員工在職業(yè)發(fā)展、工資待遇、培訓教育機會等方面給予慎重安排,使得測評人員保持較高的穩(wěn)定性和可控性。

3.2行業(yè)測評機構的作用。

(1)行業(yè)信息安全技術支撐信息安全測評第三方機構有著豐富的信息安全專業(yè)知識,熟悉國家、行業(yè)各層級的標準和規(guī)范,通過長期在鐵路行業(yè)內開展測評、咨詢等服務性工作,了解行業(yè)應用系統(tǒng)的業(yè)務特點,掌握行業(yè)信息系統(tǒng)安全的普遍性和特殊性要求,可以為行業(yè)單位提供定制化的信息安全解決方案,對行業(yè)信息安全工作的開展起到積極的技術支撐作用。

(2)行業(yè)標準規(guī)范制定根據公安部《關于開展信息安全等級保護安全建設整改工作的指導意見》(公信安[]1429號)的要求,重點行業(yè)信息系統(tǒng)主管部門可以按照等級保護國家標準,結合行業(yè)特點,確定行業(yè)信息系統(tǒng)安全等級保護的具體指標。在不低于等級保護國標基本要求的情況下,結合鐵路行業(yè)信息系統(tǒng)安全保護的特殊需求,在行業(yè)主管部門的指導下制定鐵路行業(yè)的相關標準、規(guī)范或細則,指導鐵路行業(yè)信息系統(tǒng)安全建設、整改與測評工作。

(3)信息系統(tǒng)全生命周期測評服務信息系統(tǒng)全生命周期包含5個基本階段:規(guī)劃、設計、實施、運維和廢棄。行業(yè)測評機構可以在信息系統(tǒng)生命周期各階段為用戶提供有針對性的信息安全服務,使等級保護工作貫穿于信息系統(tǒng)生命周期的各個階段。規(guī)劃階段測評機構可以幫助用戶識別危險源和安全風險,確定系統(tǒng)應達到的安全目標,提供定級指導;設計階段協(xié)助提出系統(tǒng)需滿足的安全指標,在關鍵節(jié)點提供安全測評服務;實施階段測評機構提供漏洞掃描、滲透性測試、源代碼安全檢查等深度安全檢測,并根據測評結果提供安全建設整改建議;運維階段等級保護測評的目的.是掌控信息系統(tǒng)運行期間的安全風險,按國家標準要求定期開展等級保護測評,遇網絡結構調整、應用系統(tǒng)升級改造等重大變更時進行等級保護測評;業(yè)務廢棄階段行業(yè)測評機構可為用戶提供軟、硬件等資產及殘留信息的廢棄處置方案,防止系統(tǒng)廢棄可能引入的新的風險。

(4)信息安全咨詢與評估服務由于測評機構熟悉信息安全相關的標準和規(guī)范,實踐經驗豐富,可以根據用戶的需要開展定制化的咨詢服務,如等級保護合規(guī)性咨詢與評估服務,風險管理咨詢服務,安全體系建設咨詢與評估服務,軟件源代碼安全咨詢服務等。

(5)行業(yè)信息安全持續(xù)改進能力培養(yǎng)測評機構在實施某一測評任務時,一般需要在測評前期、中期和后期與用戶進行充分的溝通,通過技術交流、設計聯(lián)絡等方式,提高用戶對等級保護基本概念、安全指標的理解以及測評方法、檢測工具的運用,在完成測評任務的同時,也幫助用戶提升信息安全自測能力。行業(yè)測評機構還可通過技術講座等形式,對用戶單位信息安全分管領導、系統(tǒng)運維人員和業(yè)務部門關鍵崗位人員進行培訓,通過培訓增強用戶信息安全意識和運維人員專業(yè)技術水平,使用戶具備對信息系統(tǒng)進行安全持續(xù)改進的能力。

鐵路行業(yè)目前已投入使用的信息系統(tǒng)按大系統(tǒng)分有上百個,每個大系統(tǒng)按照應用范圍又分為鐵路總公司級系統(tǒng)、鐵路局/地區(qū)中心系統(tǒng)和站段級系統(tǒng),這些系統(tǒng)一般采取統(tǒng)一規(guī)劃、統(tǒng)一設計、分系統(tǒng)建設的模式投入使用,各級系統(tǒng)采用不同的等級保護定級,在開展信息系統(tǒng)測評時,一般需要將大系統(tǒng)拆分為不同的子系統(tǒng)分開測評,每年可參與評測的信息系統(tǒng)數量不低。按1個鐵路總公司、18個鐵路局、上千個車站規(guī)??紤],鐵路每年可參評的信息系統(tǒng)數量大約有上萬個左右。因此,成立鐵路行業(yè)信息安全等級保護專業(yè)測評機構不僅是信息系統(tǒng)安全保障的需要,也是建立健全完善的鐵路運輸整體安全體系的需要。

4結束語。

信息安全等級保護建設是一項長期任務,作為行業(yè)的第三方測評機構,應協(xié)助鐵路信息安全主管部門將行業(yè)信息安全工作落到實處,開展行業(yè)相關標準與規(guī)范制訂、安全方案設計、等級保護測評、定級備案、整改建設指導、安全咨詢等實效性工作,在落實好公安部和行業(yè)主管部門等級保護測評工作要求的同時,幫助用戶培養(yǎng)信息安全持續(xù)改進能力,促進行業(yè)信息安全水平整體提升,全面發(fā)揮對行業(yè)等級保護建設工作的技術支撐作用。

信息安全等級保護的分析論文篇十一

網絡時代的個人信息,主要是指存儲于個人計算機、手機或網絡上一切與個人利益有關的數字信息,主要包括姓名、年齡、性別、生日、身份證號碼等個人基本資料,手機號碼、固定電話、電子郵箱、通信地址、qq和msn號碼等個人聯(lián)系方式,網銀賬號、游戲賬號、網上股票交易賬號、支付寶賬號等個人財務賬號,網頁瀏覽記錄、網上交易記錄、論壇和聊天室發(fā)言記錄等個人網絡習慣,個人不愿被公開瀏覽、復制、傳遞的照片、錄像、各類文檔等個人文件數據。

個人信息泄露一般是指不愿意讓外界知道的個人信息被外界知曉。個人信息一旦泄漏,輕則導致被騷擾、個人隱私被曝光,嚴重的會導個人經濟利益損失,甚至威脅到人身安全和國家安全。

1.個人信息泄露導致個人備受騷擾。個人信息泄露后,可能會不時接到廣告短信和電話。比如經常收到某些商場打折廣告,購房者經常收到房屋中介、裝修公司的推銷短信,購車者經常會接到推銷保險的電話等等。

2.個人信息泄露導致經濟損失。當前,網上炒股、電子銀行和網絡購物已經越來越流行,個人電子賬戶增多。而網上交易具有多種安全風險,如果不注意容易導致個人電子賬戶等信息泄露,可能會引起經濟損失。

3.個人信息泄露導致自身安全受到威脅。涉及到個人家庭、住址與收入等敏感信息的泄露,有可能導致?lián)p害個人安全的犯罪事件。有些小偷獲得了他人的信息后,先撥打電話,確定家中是否有人,然后再進行盜竊。個人信息的泄露也淪為一些不法分子打擊報復、綁架、敲詐、勒索、搶劫甚至故意傷害、故意殺人等嚴重犯罪作案的工具。

4.個人信息的泄露甚或威脅到國家安全。許多人認為個人信息泄露,沒什么值得大驚小怪的。但是對于軍人或者國家重要部門公務人員來說,一旦個人信息被別有用心的情報機構獲得,有可能從這些看似保密程度不高的信息中提取出重要的情報。據有關軍情報專家說“一張士兵的工作照片,有可能從中看出一些絕密設備或軍事設施的內部情況”。

個人信息泄漏的成因主要有以下三個方面:

1.個人信息保護的法規(guī)與制度不夠完善?,F階段《憲法》和其他法律尚未明確規(guī)定侵犯公民個人信息和隱私權的范圍及其追究方式,導致個人信息經常被人倒賣或泄露而無法追究責任,進而出現很多為獲利而盜取個人信息的機構和產業(yè)。

2.某些單位信息安全管理理念滯后。某些掌握大量公民個人信息的部門,如電信公司、網站、銀行、保險公司、房屋中介、某些政府部門、教育部門、房地產公司等,信息安全意識淡薄,管理技術措施不力,信息管理制度不健全,造成個人信息有意或無意被泄露。

3.個人信息安全保護意識不強。個人缺乏信息和隱私權的保密意識,在網絡環(huán)境下也容易泄漏個人信息。比如隨意接受“問卷調查”,填寫個人信息,遨游互聯(lián)網時不經意發(fā)布個人信息,未采取安全措施登錄掛馬網站,個人計算機中病毒等等。

近幾年,各種信息秘密泄露事件比比皆是。人民網曾經開展了一次有關個人信息泄露的調查,結果顯示,9o%的網友曾遭遇個人信息被泄露;有94%的網友認為,當前個人信息泄露問題非常嚴重。筆者認為,個人信息的泄露途徑主要分為主動泄露和被動竊取兩種。

1.主動泄露。主動泄露是指個人為實現某種目的而主動將個人信息提供給商家、公司或他人。比如消費者在就醫(yī)、求職、買車、買房、買保險、辦理各種會員卡或銀行卡時填寫的個人信息,參加“調查問卷”或抽獎活動,填寫聯(lián)系方式、收入情況、信用卡情況等內容,登錄網站注冊會員填寫的個人信息等等。個人主動將有關信息泄露給商家,而商對個人信息沒有盡到妥善保管的義務,在使用過程當中把個人信息泄露出去。

2.被動竊取。被動竊取是指個人信息被別有用心的人采取各種手段收集盜賣。比如通過利用互聯(lián)網搜索引擎搜索個人信息,匯集成冊,出售給需要購買的人,通過建立掛馬網站、發(fā)送垃圾電子郵件或者電話查詢等方式,以各種“誘餌”,誘使受害人透露個人信息,通過病毒、木馬和黑客攻擊個人電腦或者網絡服務器盜取個人電子賬號、密碼等等。

個人信息安全的保護應當從完善法規(guī)和管理制度、提高個人意識和采取技術措施三方面著力。

1.健全個人信息保護的法規(guī)與制度。首先,國家應為保護公民個人信息安全創(chuàng)建良好的法律環(huán)境。2012年12月28日第十一屆全國人民代表大會常務委員會第三十次會議通過了《關于加強網絡信息保護的決定》,文件明確規(guī)定了公民個人信息受國家保護,任何組織和個人不得竊取個人信息。該文件一旦正式出臺,必將很大程度加強個人信息安全保護。其次,國家和地方相關管理機構應為保護公民個人信息安全創(chuàng)建良好的社會環(huán)境。國家和地方相關管理機構應制定個人信息安全保護制度與實施方法,促進各行各業(yè)對公民個人信息的合法利用、合理利用。再次,掌握公民個人信息的行政機關、法人和組織應建立起相應的信息安全管理機制,這樣才能從根本上解決公民個人信息安全問題。

2.提高個人信息安全素養(yǎng)。個人在其信息保護上是第一責任人,要提高個人信息安全素養(yǎng),養(yǎng)成良好的個人信息管理習慣,控制好個人信息的使用范圍。首先,對互聯(lián)網利用較多的人,需要加強對個人電腦的安全防護,安裝并升級殺毒軟件與防火墻。為重要的個人信息加密,計算機設置windows和屏幕保護密碼,在互聯(lián)網瀏覽網頁和注冊賬戶時,不要泄露個人敏感信息。當遇到一些必須輸入個人信息才能登錄的網址時,輸入的個人數據必須限于最小的范圍,并且,妥善保管自己的口令、帳號密碼,并不時修改。其次,謹慎注意網站是否有針對個人數據保護的聲明和措施,對那些可以匿名登錄的網站要堅決匿名登錄,不訪問安全性不明的網站,不輕易加入各類社交網絡,與來歷不明的人共享信息。最后,盡量不要在qq空間、個人網站、論壇等上傳發(fā)布個人重要信息。

3.采用技術手段。對掌握大量個人信息的企業(yè)而言,堵住人為漏洞需要完善制度,而堵住技術本身的漏洞,最好使用技術。要加強新產品新技術的應用推廣,不斷完善信息系統(tǒng)安全設備諸如防火墻、入侵檢測系統(tǒng)、防病毒系統(tǒng)、認證系統(tǒng)等的性能,強化應用數據的存取和審計功能,確保系統(tǒng)中的用戶個人信息得到更加穩(wěn)妥的安全技術防護。對于在互聯(lián)網上遨游的個人而言,可以使用技術加強個人信息保護。比如對個人敏感數據進行加密,即使這些數據不小心被盜,也將是看不懂而無用的。

信息安全等級保護的分析論文篇十二

建立等級保護制度是實現網絡安全的保障。結合網絡系統(tǒng)的網絡結構、系統(tǒng)組成、服務模式等基本情況,建立等級保護制度實施的規(guī)范和標準。制定安全區(qū)域邊界和內部實施相應的安全防護的策略,科學進行框架結構、系統(tǒng)部署等內容設計,建立一個適應性和可行性較強的網絡安全防護體系。通過科學的建模分析方法,結合網絡結構模型和對應的技術進行細致分析及思考。筆者針對如何建立適應性較強的網絡安全體系提出一些思路,并構建出了具體的框架,提出具體的建模分析方法。

1當前等級保護制度研究的現狀。

我國網絡技術迅猛發(fā)展,網絡技術的應用已經滲透到各行各業(yè)中。由于網絡信息系統(tǒng)的類型很多,因此各國實施的系統(tǒng)建設標準各有不同,同時系統(tǒng)針對應用場景適應性也各有差異,還有其他一些的因素都是造成網絡安全等級保護制度難以進行推廣的原因。針對基于等級保護的網絡安全體系的建立和實施過程中的困難,有很多專家學者對信息安全等級保護制度進行了探討和研究。針對基于安全等級保護的網絡安全體系的研究,是從信息安全等級保護相關要求和標準角度,參考全球信息安全領域的安全保護原則與評估方法,進行科學的對比分析,常用的方法包括統(tǒng)計分析、系統(tǒng)建模等。信息安全等級保護制度的探索應用主要是在一些特定的對信息收集、處理標準較高的信息系統(tǒng)上,常見的比如,電子商務、媒體與信息服務、企業(yè)信息管理系統(tǒng)等。在特定領域的信息安全等級保護制度研究,要求結合行業(yè)領域的特點進行分析,還有一些相關的規(guī)范性文件要求。

2等級保護制度的內容和要求。

所謂基于等級保護的網絡安全體系是指處理信息和其載體,需要結合信息的重要性,進行等級的分級別,提高信息安全保護的效率的一種體系制度。要求是對一些專有的重要信息或者公開信息進行專項的存儲、處理時,按照信息系統(tǒng)中內容的等級實施對應的安全保護措施,實現對安全體系下的信息安全事件進行分等級的處置工作。實現系統(tǒng)的安全的相應要求不同于一般的技術安全要求標準。從物理、網絡、應用等層面,制定對不同等級的信息系統(tǒng)的建設標準。再根據實現方式的差異,提出基本的安全要求,分技術和管理要求兩個基本的類別。安全技術要求要對應安全層面的內容,一些安全技術的實施標準的要求是能夠與特定層面相適應,例如防雷、防火等這些物理層面的安全要求。而一些安全要求是對應多個層面進行實施的,如進行身份的鑒別、系統(tǒng)訪問的控制等。

3網絡安全體系的框架構建分析。

構建科學的網絡安全體系,需要考慮諸多方面的內容,比如安全組織、技術、和具體的實施等一系列的情況。在網絡安全體系中的內容,必須符合我國當前的網絡方面的相關法律和標準,能夠適應各類的場景和應用環(huán)境來實現框架的構建思路,科學的安全體系應當具備適用于各種應用場景的特點,進行安全場景的建模分析?;诘燃壉Wo的網絡安全體系,先要從需求角度進行分析,著重對體系建立的相關內容進行思考,網絡安全體系框架的'構建要求重點對網絡安全體系和安全目標、安全邊界多方面,通過建模方法進行分析,然后用具體明白的表述做好跟安全管理工作的對接。對安全目標的建模方法具體分析,要結合安全體系建立的需求,建立有針對性的安全目標。設立安全目標的內容,通常會包括了業(yè)務的范圍、功能以及業(yè)務實施流程等方面的內容。業(yè)務功能是指在網絡平臺上進行的特定相關業(yè)務的能力。通常業(yè)務功能可以按照模塊進行分解,目標的不同可能導致描述粒度要求的不同。針對安全目標的建立模型進行分析,由于業(yè)務需求與安全需求的內容上存在很多類似的地方,因此,需要設定相同的分析對象再進行建模,運用的建模方法為:進行業(yè)務功能方面的建模,要結合網絡安全體系中的特定業(yè)務目標,深入分析業(yè)務的功能內容,進行相關描述時,要結合具體的目標和特定的需要,同時還要針對對業(yè)務功能的內容方面進行探討,對名稱的標識描述要突出,控制描述內容的質量,可以使用一些可視性例圖進行描述,這樣能起到幫助用戶更深入理解系統(tǒng)功能的目的。分析業(yè)務開展的范圍要結合相關的業(yè)務功能,在業(yè)務覆蓋的范圍內闡述網絡覆蓋的業(yè)務實施和各個環(huán)節(jié)的相關性,可以借助類圖法對相關業(yè)務范圍進行刻畫。

4基于等級保護網絡安全體系中的安全邊界建模方法分析。

利用網絡安全邊界理論進行安全界定時,要服從于網絡安全體系可以涵蓋所有范圍的基本設立目標。利用sb=來對安全邊界模型的相關要素進行表示,在模型構建的元素中以lnb表示邊界的連通,以smb表示安全措施邊界。應用lnb對聯(lián)通的邊界進行相關的分析,通過網絡上的軟件和硬件進行結合的內容,進行的連通邊界的描述,同時還需要結合組件的運行和通信,對模型進行詳細的補充。

4.1針對安全體系要素的建模。

對安全體系的要素進行建模分析要求結合安全機制和安全威脅進行建模分析,對安全機制的相關要素和安全威脅的相關內容要進行科學全面的思考,提高建模分析的準確性和科學性。要應用模態(tài)邏輯對安全體系的要素進行分析,包括了必然和可能等相關的概念邏輯。

4.2安全措施分析。

對網絡信息技術進行分析制定,防止網絡信息系統(tǒng)受到侵害,及時對一些安全事故進行分析處理,這是安全技術措施的主要內容,安全管理措施是對網絡信息系統(tǒng)的檢查和分析,實施對機構體制和系統(tǒng)操作人員的相關管理,還包括了對于提高系統(tǒng)的安全系數的工作內容。

4.3安全管理措施和安全技術措施的分析比較。

安全管理措施和安全技術措施兩者十分類似,但在措施的實施方面有實際的差異。前者針對的管理的相關規(guī)則,而后者卻是針對技術制定相應的規(guī)則。進行模態(tài)邏輯的應用的時候,建立安全體系的模型,實現模擬邏輯的應用推導,利用安全體系中的有效性進行科學的推導和相應的分析,同時,利用強推理和弱推理的相關的規(guī)則進行對比分析,可以發(fā)現其中存在的一些關系。

5對網絡安全體系建模方法的驗證分析。

用科學的方法建立模型,從安全目標和安全邊界角度以及安全要素等進行了模型的分析。下面就結合模型的驗證結果,分析安全目標的實現程度。主要針對安全要素計算法進行具體的分析如下:把特定的業(yè)務相關狀態(tài)的內容進行模型的輸入和輸出操作,設定特定業(yè)務流程內業(yè)務狀態(tài)的相應安全要素集,所謂安全要素集,是指若系統(tǒng)承載業(yè)務操作資產也成為了是安全威脅目標,那么該安全威脅就應該在此業(yè)務狀態(tài)下需要應對的安全威脅攻擊的集內。通過測定安全要素是否在安全邊界中,實現對業(yè)務操作的性質的區(qū)分,定性是屬于安全性還是威脅性的。其中有2個主要步驟:

(1)界定安全威脅攻擊目標是否在物理連通的邊界范圍中;

(2)對安全技術措施和安全管理中制定的相關措施狀態(tài),對比該安全措施邊界的模型定義和狀態(tài)的情況是否一致。

若業(yè)務操作中有安全威脅,但沒有解決該安全威脅的安全技術措施,那么這個業(yè)務操作就形成了一定程度的存在安全風險;再對這一安全威脅的安全技術措施的模態(tài)進行判斷,若發(fā)現“可能”針對這一模態(tài)的相應安全措施,根據弱推理規(guī)則對安全措施的科學性和可行性進行推導判斷,否則就根據強推理規(guī)則進行推導,結合最終的結果,進行安全風險的處置。制定科學的安全技術和安全管理方面的保護措施,需要界定安全要素是否包含在相應的安全邊界內,同時要求對安群威脅進行分析,根據最終系統(tǒng)是否受到攻擊的實際情況,結合安全管理的對象和相應的技術規(guī)范的時,檢測物理連接是否有效,連接的狀態(tài)是否發(fā)生了改變以及是否滿足要求,按照安全等級進行建模分析。結合上述的相關建模分析方法,安全管理部門可以細致的了解網絡安全的相關內容,加深對網絡安全風險狀態(tài)的科學認知,并制定有針對性的標準和流程,保證業(yè)務操作的安全性和效率。

6結語。

本文對網絡安全體系建模分析的相關方法進行了詳細的介紹,并進行了驗證方法的闡述,滿足了網絡安全體系建模的方法的科學性和可行性要求。在具體的基于等級保護制度建立的網絡安全體系框架內,對于建模上的規(guī)范性和功能提出了較高的要求,結合對網絡安全體系建模分析,討論了對此類網絡安全建模分析方法科學性進行驗證的方法。

作者:馬榮華單位:鄭州鐵路職業(yè)技術學院。

引用:

[1]布寧,劉玉嶺,連一峰,黃亮.一種基于uml的網絡安全體系建模分析方法[j].計算機研究與發(fā)展,.

[2]范一樂.基于uml的網絡安全體系建模分析方法[j].信息通信,.

信息安全等級保護的分析論文篇十三

隨著科技的高速發(fā)展,網絡時代已如期而至,伴隨著互聯(lián)網+、大數據、云計算等新興技術被廣泛運用,人們的生活便捷性大大提高。在大數據時代,網絡購物學習和交流不斷進行,個人信息數據安全面臨嚴峻的考驗,信息泄露存在一定的風險,因此必須加強個人信息安全的保護工作,防止人們在網絡交易過程中受到不法分子侵害。

大數據在本質上是一種電子數據,它具有自身獨特的特性。首先,數據處理規(guī)模大?,F今社會,全球每天產生的數據就已經達到4.5eb,這個數字仍然以驚人的速度高速增長。其次,數據信息快速化。信息產生的速度常常比數量更加重要,通過手機定位數據可以計算出一個商場當天的客流量,從而推斷出該商家的當天營業(yè)額。最后,數據信息具有多樣性。大數據的形態(tài)多樣,包括了結構化、半結構化和非結構化數據。此外,現代互聯(lián)網應用呈現出非結構化數據大幅增長的特點,來源形式多種多樣,包括各種信息、應用更新、社交網絡的圖片、傳感器讀取的信息、手機的定位等,而且不少信息來源的重要方式都是新近才出現的。

1.個人隱私安全風險增大。網絡的浩瀚性意味著數據來源更加寬泛和多元,監(jiān)控攝像頭、交互平臺、移動電話、電子檔案、數據庫等,大量的信息堆積,必然給個人的信息安全帶來影響和破壞,增大了個人信息被泄露的可能。

2.大數據成為了網絡攻擊的主要目標。在互聯(lián)網時代,大數據能夠反饋出更多、更有價值的信息,信息的含金量不斷提升,帶來的豐厚利潤不言而喻,因此遭到攻擊和盜取的概率也就越大。同時,大數據的竊取能夠是不法分子獲得大量相關信息,一次獲取,多重效益,必然讓*客垂涎欲滴。

3.不法分子利用大數據精確攻擊。大數據對于企業(yè)來說是財富是影響,對于不法分子來說同樣是金錢是價值。不法分子在獲取大數據的同時,也會反其道而行之,利用大數據來檢索、定位,為新一輪的攻擊盜取提供更加快捷的技術手段和方式。為了提升攻擊的效率和質量,*客往往會盡最大可能的收集包括社交平臺、微博微信、通話記錄、電子郵件、消費記錄等信息,并加以歸檔整理,方便下次調用,提高攻擊的精確性和時效性。

1.加強輿論宣傳,提高保護意識。國家網絡相關部門要通過各種輿論宣傳工具,對網絡用戶進行個人信息保護知識的宣傳,提高公民對個人信息安全的認識和重視,樹立公民保護個人信息、尊重他人個人信息的理念。個人在信息保護上是第一責任人,負有維護個人信息安全的當然義務。個人在進行網絡行為時,盡量避免個人信息的泄露。同時,加強對個人電腦的安全防護,安裝并及時升級殺毒軟件與防火墻,提高個人上網設備的安全性能。

2.建立個人信息安全保護的法律法規(guī)。我國目前現有的法律法規(guī)對個人信息的保護雖然有所涉及,但這些規(guī)定都還只是零散地分布在各個法律之中,并未形成一個完整的個人信息安全保護的法律體系,而且沒有一部明確保護個人信息的專門法律。立法保護個人信息,不僅突出了公民的信息自由權,彰顯出以人為本的理念,回應了和諧社會權利有序化的訴求。同時還可保護網上消費者的個人信息安全,促使網絡運營有序化,推動全國電子商務和電子政務的健康發(fā)展。

3.完善個人信息安全保護的技術措施。在互聯(lián)網環(huán)境下,個人信息的泄露主要是由*客等機構外部人員獲取和網絡傳輸過程中的問題造成的,因此要加強軟硬件的技術保障,從而保護用戶個人信息安全。在硬件方面主要通過安裝防病毒硬盤等硬件設施進行保護。在軟件方面主要通過個人隱私安全平臺、加密軟件、數據備份軟件、自動刪除個人資料軟件等保護措施。針對網絡上的個人信息易泄露的問題,網絡營運商除了應向用戶提供提示信息,還應該使用各種安全技術來保護網絡用戶的個人信息不被不法分子侵害。

4.建立健全個人信息安全保護與防范機制。個人信息安全的保護不僅要依靠法律,更需要網絡主體從業(yè)人員的道德意識以及自律意識。加強網絡道德建設,用道德標準約束人們在網絡上的行為,要讓網絡道德成為人們在網絡中實施行為時的一個標準。對網絡運營商而言,除了要對網絡從業(yè)人員進行道德教育并提高行業(yè)自律意識外。

許多網絡運營企業(yè)掌握著客戶大量的個人信息,如果沒有很好的防范機制就很容易造成信息的丟失。無論是電信運營商、電子商務企業(yè),還是信息安全企業(yè)都需要對外來的技術攻擊加以防范。因此,企業(yè)必須加強自我約束力,提高保護客戶信息的意識,同時提高技術手段,完善相關信息管理系統(tǒng),并對用戶個人信息安全管理制度和流程進行梳理和完善,建立健全侵犯用戶個人信息的各項管理制度與規(guī)范,用戶個人信息安全管理和保護機制、問題處理機制、監(jiān)督機制和獎懲機制等。對侵犯用戶個人信息的情況,要做到迅速和準確處理。

大數據時代的到來極大地促進整個社會的發(fā)展。大數據在各行各業(yè)中的運用,使我們精確地了解到過去通過抽樣調查很難了解的許多東西,讓我們更深刻地認識了這個社會,從而更進一步改善這個社會。我們不應該否認大數據帶來的益處,同樣我們應該使這種益處最大化。但大數據帶來的對個人信息安全的威脅我們也應該有著充分的認識。保護個人信息不僅是對社會每個成員的保護,更是對國家安全以及社會長期持續(xù)健康發(fā)展的保護。

信息安全等級保護的分析論文篇十四

車聯(lián)網為什么值得大家關注呢?首先這是一個潮流,其次車聯(lián)網和物聯(lián)網一樣,發(fā)展起來很快。但是兩者又不一樣,不能把車單純看成一個物,因為在物聯(lián)網,我們往往會偏重一些小的比較簡單的東西,車太復雜人也包含在里面,所以整個是一個很復雜的系統(tǒng)。我們建議不把車聯(lián)網放在物聯(lián)網信息安全里面。物聯(lián)網的操作系統(tǒng)是嵌入式的,而車聯(lián)網的操作系統(tǒng)歸到智能終端的領域里,所以車聯(lián)網應該與物聯(lián)網是不同的層次。

一、車聯(lián)網是走向自動駕駛的必然道路。

談在到和自動駕駛的關系,我們認為車聯(lián)網是走向自動駕駛的必然的道路,因為自動駕駛有一個很艱巨的任務,在無人駕駛發(fā)展的過程中車聯(lián)網是必要的階段,可以不斷地增強信息技術對駕駛的輔助,自動化的程度越來越高。

我們看到汽車行業(yè)確實在發(fā)生變化,和信息領域有關的變化,首先是軟件。在汽車里面,軟件的復雜程度已經越來越大了,過去很簡單,有一些小的控制軟件,但汽車很龐大,它的軟件、操作系統(tǒng)非常復雜。同時我們想到了互聯(lián)互通的要求,在互聯(lián)互通的時代,汽車要聯(lián)網,物體要聯(lián)網,人要聯(lián)網,所以車聯(lián)網是一個必然的趨勢。

這樣就有新的問題產生了,就是安全的問題。汽車出問題了,出事故了,我們認為安全是safty,現在是信息技術的安全是security。過去我們汽車技術不好,會駕駛事故,而現在出了事故就不是傳統(tǒng)的安全而是信息領域對抗情況下的安全。所以對我們來說提出了一些新的挑戰(zhàn)。

我們看到車載電腦的時代已經來臨。過去計算技術的控制,例如有剎車的控制,氣囊的控制,現在我們的計算機車載電腦是一個聯(lián)網的電腦,很復雜的系統(tǒng)。所以計算機的功能越來越多地進入了汽車里面,所以我們要看到是一個復雜的計算系統(tǒng)。是不是豪華汽車才是呢?根據統(tǒng)計,不久后幾乎全部的汽車都將走向同樣的發(fā)展方向。而且我們往往會片面地認為車載電腦就是車里的音像系統(tǒng),聽聽廣播和路況,看一些視頻之類的,或者是通信。這是不對的,這只是一個很小部分的,應該更多的是整個車載聯(lián)網系統(tǒng),是駕駛和自動控制的系統(tǒng),所以應該看的更遠一點。

車載電腦很多人說是平板電腦呢,事實上不是那么簡單。因為車載電腦和平板電腦有很大的區(qū)別,在某種意義上要復雜很多。平板電腦更多是要娛樂,但車載電腦很重要的是整個車的`控制,比如說自動駕駛,整個功能都由車載電腦來承擔。所以娛樂僅僅是一個很小的部分。平板電腦是不一樣的,這是個人的消費品。那么,車載電腦是不是和手機可以等同呢?我想也不太可能,把所有的信息放在里面,個人信息就在汽車的屏幕上顯示出來也不太現實,所以在使用各方面跟平板電腦有很大的差別。

從軟件的角度來看,汽車這樣一個車載電腦或者是車聯(lián)網的電腦還是不太一樣的,首先有大量汽車的設備,整個汽車的構件也會通過電腦連在一起,同時有一些功能有很大的差別。此外,易用性很重要,要做到很好用,有的時候寧可做得少而精。最后我們要考慮成本、可靠性、安全性、易用性,這都是很大的問題。特別是要很好地把它們組合起來,面面俱到但要特別注意可靠性的問題。手機故障了重啟了或許還可以用,但車停機重啟這個責任誰來負,因此有很大的技術挑戰(zhàn)。

應用場景也很不一樣,過去平板電腦、手機用的那些app不一定都需要在汽車里用,主要還是導航的功能、控制的功能、信息的交付的功能。此外,易用性有特殊的要求,人在開車的時候不能看著屏幕而出事故,汽車app使用的控制方法一定要和平板不一樣,人基本上不能離開方向盤,必須要全神貫注,不能看屏幕很長的時間。

二、建立產業(yè)聯(lián)盟助力中國車聯(lián)網發(fā)展。

智能城市非常重要,而汽車對智能城市和交通來也是非常重要的部分。在智能城市的設計中,汽車車載網絡起著重大作用。汽車車聯(lián)網應該是通向駕駛汽車的必由之路,我們可逐步擺脫駕駛這種枯燥、繁瑣的任務,使之代替人的勞動。今后我們還希望通過車聯(lián)網使得城市的交通更加通暢,使得我們的駕駛更加安全。

這里又不免會談到車載電腦的要求,一方面要求保障汽車能安全地連接到英特網上,另外是操作系統(tǒng),這已經不是過去汽車單獨的部件控制?,F在在車聯(lián)網的時代,汽車非常地復雜且需要聯(lián)網,對它的技術平臺和操作系統(tǒng)我們也提出了非常重要的要求。我們希望汽車行業(yè)今后提供更多的選擇,我們也希望通過各種新的合作開辟新的領域。

在此,我們特別強調了安全。這個安全不是傳統(tǒng)意義上的安全,而是網絡和信息時代的安全,這種情況下,我們建議使用的車聯(lián)網的芯片、軟件等也好盡可能是國產的,因為這種安全都是在對抗環(huán)境下的安全,有攻方、守方,所以對我們芯片和軟件的核心部件都需要特別高的要求。我們希望中國在操作系統(tǒng)方面提供自主可控的國產的操作系統(tǒng),這是出于安全的考慮。同時中國有巨大的市場,也給我們很大的發(fā)展的機會。

中國有十多億人,每個人大概平均來講有幾個智能終端。所以我們認為中國的智能終端以10億量計,很快會突破百億。這樣我們認為是非常重要的,因為通過操作系統(tǒng)能夠知道這個終端主要的信息、身份、喜好等,所以如果誰掌握了智能終端操作系統(tǒng),實際上很容易取得非常大的數據,誰掌握了大數據以后,整個經濟社會的活動都可以預測。因此,沒有智能終端操作系統(tǒng),那么要保障信息安全、網絡安全恐怕是很困難的。

包括車聯(lián)網在內,所有的智能終端操作系統(tǒng)在云計算下,會產生大量數據,這些數據是非常有價值的,是經濟社會的第一手材料,所以我們要保障數據的安全和網絡安全,我們要把智能終端操作系統(tǒng)做出來,可惜中國目前來講基本上沒有。企業(yè)勢力、創(chuàng)新能力還不夠強,另外過去附加層面上也沒有很好地做頂層設計,沒有很好的形成國家意識,各自為政。

未來我們希望做一些產業(yè)聯(lián)盟的方式,從產業(yè)創(chuàng)新來整合資源,這樣我們可以借鑒民間資本來做。我們希望學習蘋果、安卓、微軟,它們現在都有應用商店,可以更好發(fā)動全社會開放應用,完善生態(tài)系統(tǒng),而不是僅靠一家公司。

我們希望用產業(yè)激進來營造系統(tǒng),產業(yè)激進的方式可以更好發(fā)揮產業(yè)資源配置,最后我們希望不久的將來,中國的公司能夠積極的發(fā)展,能夠推出新的產品來。

信息安全等級保護的分析論文篇十五

隨著社會經濟的飛速發(fā)展和現代科學技術的快速進步,網絡技術、信息技術在人們的生產生活中被越來越廣泛地應用,整個社會逐漸步入了信息時代。以網絡為核心的信息技術和各類服務正在促進整個社會的轉型和質變,信息網絡已經超越傳統(tǒng)的一些通信媒體,成為了現代社會最重要的傳播媒介,信息網絡在日常生活中應用范圍逐漸變廣,對維護個人自身權利、促進產業(yè)發(fā)展和保障國家安全都具有重要意義。隨著網絡信息應用程度的逐步提高,對于保障網絡安全的工作也成為網絡信息維護工作者的重要任務。信息安全、網絡安全以及網絡空間安全,都對社會各行各業(yè)的發(fā)展具有重要意義,想要保證生產生活中各個方面都能夠有相對安全的環(huán)境,就需要不斷加強信息安全、網絡安全以及網絡空間安全管理工作[1]。

信息安全等級保護的分析論文篇十六

建立等級保護制度是實現網絡安全的保障。結合網絡系統(tǒng)的網絡結構、系統(tǒng)組成、服務模式等基本情況,建立等級保護制度實施的規(guī)范和標準。制定安全區(qū)域邊界和內部實施相應的安全防護的策略,科學進行框架結構、系統(tǒng)部署等內容設計,建立一個適應性和可行性較強的網絡安全防護體系。通過科學的建模分析方法,結合網絡結構模型和對應的技術進行細致分析及思考。筆者針對如何建立適應性較強的網絡安全體系提出一些思路,并構建出了具體的框架,提出具體的建模分析方法。

我國網絡技術迅猛發(fā)展,網絡技術的應用已經滲透到各行各業(yè)中。由于網絡信息系統(tǒng)的類型很多,因此各國實施的系統(tǒng)建設標準各有不同,同時系統(tǒng)針對應用場景適應性也各有差異,還有其他一些的因素都是造成網絡安全等級保護制度難以進行推廣的原因。針對基于等級保護的網絡安全體系的建立和實施過程中的困難,有很多專家學者對信息安全等級保護制度進行了探討和研究。針對基于安全等級保護的網絡安全體系的研究,是從信息安全等級保護相關要求和標準角度,參考全球信息安全領域的安全保護原則與評估方法,進行科學的對比分析,常用的方法包括統(tǒng)計分析、系統(tǒng)建模等。信息安全等級保護制度的探索應用主要是在一些特定的對信息收集、處理標準較高的信息系統(tǒng)上,常見的比如,電子商務、媒體與信息服務、企業(yè)信息管理系統(tǒng)等。在特定領域的信息安全等級保護制度研究,要求結合行業(yè)領域的特點進行分析,還有一些相關的規(guī)范性文件要求。

2等級保護制度的內容和要求。

所謂基于等級保護的網絡安全體系是指處理信息和其載體,需要結合信息的重要性,進行等級的分級別,提高信息安全保護的效率的一種體系制度。要求是對一些專有的重要信息或者公開信息進行專項的存儲、處理時,按照信息系統(tǒng)中內容的等級實施對應的安全保護措施,實現對安全體系下的信息安全事件進行分等級的處置工作。實現系統(tǒng)的安全的相應要求不同于一般的技術安全要求標準。從物理、網絡、應用等層面,制定對不同等級的信息系統(tǒng)的建設標準。再根據實現方式的差異,提出基本的安全要求,分技術和管理要求兩個基本的類別。安全技術要求要對應安全層面的內容,一些安全技術的實施標準的要求是能夠與特定層面相適應,例如防雷、防火等這些物理層面的安全要求。而一些安全要求是對應多個層面進行實施的,如進行身份的鑒別、系統(tǒng)訪問的控制等。

構建科學的網絡安全體系,需要考慮諸多方面的內容,比如安全組織、技術、和具體的實施等一系列的情況。在網絡安全體系中的內容,必須符合我國當前的網絡方面的相關法律和標準,能夠適應各類的場景和應用環(huán)境來實現框架的構建思路,科學的安全體系應當具備適用于各種應用場景的特點,進行安全場景的建模分析?;诘燃壉Wo的網絡安全體系,先要從需求角度進行分析,著重對體系建立的相關內容進行思考,網絡安全體系框架的'構建要求重點對網絡安全體系和安全目標、安全邊界多方面,通過建模方法進行分析,然后用具體明白的表述做好跟安全管理工作的對接。對安全目標的建模方法具體分析,要結合安全體系建立的需求,建立有針對性的安全目標。設立安全目標的內容,通常會包括了業(yè)務的范圍、功能以及業(yè)務實施流程等方面的內容。業(yè)務功能是指在網絡平臺上進行的特定相關業(yè)務的能力。通常業(yè)務功能可以按照模塊進行分解,目標的不同可能導致描述粒度要求的不同。針對安全目標的建立模型進行分析,由于業(yè)務需求與安全需求的內容上存在很多類似的地方,因此,需要設定相同的分析對象再進行建模,運用的建模方法為:進行業(yè)務功能方面的建模,要結合網絡安全體系中的特定業(yè)務目標,深入分析業(yè)務的功能內容,進行相關描述時,要結合具體的目標和特定的需要,同時還要針對對業(yè)務功能的內容方面進行探討,對名稱的標識描述要突出,控制描述內容的質量,可以使用一些可視性例圖進行描述,這樣能起到幫助用戶更深入理解系統(tǒng)功能的目的。分析業(yè)務開展的范圍要結合相關的業(yè)務功能,在業(yè)務覆蓋的范圍內闡述網絡覆蓋的業(yè)務實施和各個環(huán)節(jié)的相關性,可以借助類圖法對相關業(yè)務范圍進行刻畫。

4基于等級保護網絡安全體系中的安全邊界建模方法分析。

利用網絡安全邊界理論進行安全界定時,要服從于網絡安全體系可以涵蓋所有范圍的基本設立目標。利用sb=來對安全邊界模型的相關要素進行表示,在模型構建的元素中以lnb表示邊界的連通,以smb表示安全措施邊界。應用lnb對聯(lián)通的邊界進行相關的分析,通過網絡上的軟件和硬件進行結合的內容,進行的連通邊界的描述,同時還需要結合組件的運行和通信,對模型進行詳細的補充。

4.1針對安全體系要素的建模。

對安全體系的要素進行建模分析要求結合安全機制和安全威脅進行建模分析,對安全機制的相關要素和安全威脅的相關內容要進行科學全面的思考,提高建模分析的準確性和科學性。要應用模態(tài)邏輯對安全體系的要素進行分析,包括了必然和可能等相關的概念邏輯。

4.2安全措施分析。

對網絡信息技術進行分析制定,防止網絡信息系統(tǒng)受到侵害,及時對一些安全事故進行分析處理,這是安全技術措施的主要內容,安全管理措施是對網絡信息系統(tǒng)的檢查和分析,實施對機構體制和系統(tǒng)操作人員的相關管理,還包括了對于提高系統(tǒng)的安全系數的工作內容。

4.3安全管理措施和安全技術措施的分析比較。

安全管理措施和安全技術措施兩者十分類似,但在措施的實施方面有實際的差異。前者針對的管理的相關規(guī)則,而后者卻是針對技術制定相應的規(guī)則。進行模態(tài)邏輯的應用的時候,建立安全體系的模型,實現模擬邏輯的應用推導,利用安全體系中的有效性進行科學的推導和相應的分析,同時,利用強推理和弱推理的相關的規(guī)則進行對比分析,可以發(fā)現其中存在的一些關系。

用科學的方法建立模型,從安全目標和安全邊界角度以及安全要素等進行了模型的分析。下面就結合模型的驗證結果,分析安全目標的實現程度。主要針對安全要素計算法進行具體的分析如下:把特定的業(yè)務相關狀態(tài)的內容進行模型的輸入和輸出操作,設定特定業(yè)務流程內業(yè)務狀態(tài)的相應安全要素集,所謂安全要素集,是指若系統(tǒng)承載業(yè)務操作資產也成為了是安全威脅目標,那么該安全威脅就應該在此業(yè)務狀態(tài)下需要應對的安全威脅攻擊的集內。通過測定安全要素是否在安全邊界中,實現對業(yè)務操作的性質的區(qū)分,定性是屬于安全性還是威脅性的。其中有2個主要步驟:

(1)界定安全威脅攻擊目標是否在物理連通的邊界范圍中;

(2)對安全技術措施和安全管理中制定的相關措施狀態(tài),對比該安全措施邊界的模型定義和狀態(tài)的情況是否一致。

若業(yè)務操作中有安全威脅,但沒有解決該安全威脅的安全技術措施,那么這個業(yè)務操作就形成了一定程度的存在安全風險;再對這一安全威脅的安全技術措施的模態(tài)進行判斷,若發(fā)現“可能”針對這一模態(tài)的相應安全措施,根據弱推理規(guī)則對安全措施的科學性和可行性進行推導判斷,否則就根據強推理規(guī)則進行推導,結合最終的結果,進行安全風險的處置。制定科學的安全技術和安全管理方面的保護措施,需要界定安全要素是否包含在相應的安全邊界內,同時要求對安群威脅進行分析,根據最終系統(tǒng)是否受到攻擊的實際情況,結合安全管理的對象和相應的技術規(guī)范的時,檢測物理連接是否有效,連接的狀態(tài)是否發(fā)生了改變以及是否滿足要求,按照安全等級進行建模分析。結合上述的相關建模分析方法,安全管理部門可以細致的了解網絡安全的相關內容,加深對網絡安全風險狀態(tài)的科學認知,并制定有針對性的標準和流程,保證業(yè)務操作的安全性和效率。

6結語。

本文對網絡安全體系建模分析的相關方法進行了詳細的介紹,并進行了驗證方法的闡述,滿足了網絡安全體系建模的方法的科學性和可行性要求。在具體的基于等級保護制度建立的網絡安全體系框架內,對于建模上的規(guī)范性和功能提出了較高的要求,結合對網絡安全體系建模分析,討論了對此類網絡安全建模分析方法科學性進行驗證的方法。

作者:馬榮華單位:鄭州鐵路職業(yè)技術學院。

引用:

[1]布寧,劉玉嶺,連一峰,黃亮.一種基于uml的網絡安全體系建模分析方法[j].計算機研究與發(fā)展,2014.

[2]范一樂.基于uml的網絡安全體系建模分析方法[j].信息通信,2015.

【本文地址:http://www.aiweibaby.com/zuowen/16093134.html】

全文閱讀已結束,如果需要下載本文請點擊

下載此文檔