信息安全服務體系精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的信息安全服務體系主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：信息安全服務體系范文

關鍵詞： 檔案信息服務 隱私權 網(wǎng)絡化

檔案信息是一種重要的原始信息，也是記錄隱私的重要載體，同時，作為歷史的記錄，檔案中的許多內容涉及個人隱私，因此，檔案工作和隱私權保護有著必然的聯(lián)系。蓬勃發(fā)展起來的網(wǎng)絡環(huán)境在改變檔案信息收集、整理、貯存、傳遞、利用的傳統(tǒng)模式的同時，也使隱私權保護呈現(xiàn)出新的特點。網(wǎng)絡本身的安全性并不十分可靠，這是檔案信息網(wǎng)絡化服務進程中一個極為重要的問題，由于技術的不完善，第三方（如“黑客”等）對當事人隱私權的侵犯既可以發(fā)生在檔案館與用戶通過網(wǎng)絡傳送個人資料或不同的檔案網(wǎng)站之間共享個人資料的某個環(huán)節(jié)，又可以發(fā)生在檔案網(wǎng)站貯存?zhèn)€人資料的過程中。這就從客觀上推動了我們對檔案信息（網(wǎng)絡化）服務中的隱私權保護問題的探討。

一、檔案信息服務中涉及的隱私權問題分析

在檔案信息服務中保護隱私權的意義不僅在于維護當事人的合法權益，而且在于為檔案事業(yè)的發(fā)展營造良好的社會氛圍，推動檔案信息化進程，促進檔案社會價值的實現(xiàn)。

（一）個人資料收集中的隱私權問題

檔案是一種重要的原始信息，具有保密性，包括公民的一些重要的個人信息，大多數(shù)鮮為人知。雖然檔案法對保密檔案的管理和利用、密級的變更和解密都做了嚴格的規(guī)定，同時制定了檔案的開放期限，但其法律相對方主要是機關、團體、企事業(yè)單位，對于個人重要檔案信息沒有給予明確的說明。事實上，在檔案所有人向檔案館移交、捐贈、寄存或檔案館自行收集關于公民的檔案之初，就應妥善處理好隱私權問題。

隱私權保護問題在傳統(tǒng)的個人資料收集過程中并不太引人注目，但在網(wǎng)絡化的今天，檔案館通過網(wǎng)絡收集個人資料變得快捷化、自動化、詳細化，隱私權問題相對更加突出。比如，檔案網(wǎng)站在接受訪問時往往要求用戶提供若干個人資料，包括年齡、性別、身份證號、職業(yè)、收入、工作單位、研究方向、聯(lián)系電話、傳真、電子信箱等；檔案網(wǎng)站可以利用一些追蹤軟件來持續(xù)掌握用戶的網(wǎng)上行為，判斷他們的檔案信息消費特點。

檔案網(wǎng)站采用先進的技術手段收集個人資料并非出于惡意，目的是通過對個人資料的分析與挖掘，找出可能連用戶自己都沒有意識到的檔案信息消費習慣或消費需求，改進服務工作，這是網(wǎng)絡環(huán)境中檔案信息服務和信息產(chǎn)品開發(fā)“量身定制”的個性化、多樣化的要求。但是，檔案網(wǎng)站在用戶毫不知情或無可奈何的情況下（例如有的網(wǎng)站拒絕為不提供個人資料的用戶服務）收集個人資料，就是侵犯用戶對其個人資料的占有權和支配權。

（二）個人資料傳輸和貯存中的隱私權問題

檔案信息傳輸和貯存過程中所涉及的隱私權問題，主要出現(xiàn)在檔案信息網(wǎng)絡化過程中。

網(wǎng)絡本身的安全性并不十分可靠，這是檔案信息網(wǎng)絡化服務中可能產(chǎn)生隱私權問題的又一個原因。由于技術的不完善，第三方（如“黑客”等）對當事人隱私權的侵犯既可以發(fā)生在檔案館與用戶通過網(wǎng)絡傳送個人資料或不同的檔案網(wǎng)站之間共享個人資料的某個環(huán)節(jié)，又可以發(fā)生在檔案網(wǎng)站貯存?zhèn)€人資料的過程中。比如，第三方可以直接侵入檔案網(wǎng)站的用戶數(shù)據(jù)庫，觀看、篡改、傳播個人資料，如果這種行為是出于惡意，那么當事人的隱私權無疑將受到極大的威脅。

（三）個人資料利用中的隱私權問題

不恰當?shù)乩脗€人資料是檔案信息服務中可能產(chǎn)生隱私權問題的第三個原因。

檔案利用與隱私權保護之間存在著矛盾，檔案利用必然涉及公民的隱私權保護問題。如果涉及隱私的檔案被自由利用，就可能導致政治與經(jīng)濟活動的混亂，使社會公民產(chǎn)生生活危機感，給社會的安寧團結帶來不利因素。因此，如何認識和正確處理好檔案利用與保護公民隱私權問題，是檔案利用工作在改革開放過程中的一個重要課題。因為這種侵權涉及檔案館的管理職能及檔案館對個人資料的常規(guī)使用，所以控制和防止此種侵權的困難較大。比如，檔案館將用戶為了特定的目的提供的個人資料出于業(yè)務需要用于未經(jīng)授權的另一目的上，包括但不限于向別的檔案館提供該資料，且未限制該檔案館對個人資料的合理使用——雖然這種利用個人資料的方法對用戶的合法權益并無損害。

由于各種原因，目前在檔案開放利用工作中公民的隱私權得不到應得的保護甚至被人們所忽視，這無疑給檔案信息服務工作帶來了一定隱患。在目前我國隱私權的觀念尚未深入人心，人們在普遍缺乏隱私權保護意識的情況下，檔案部門在開放利用中忽視隱私權保護的行為還能被社會所容忍，但伴隨著我國法制化建設的進程，公民隱私權意識的增強，檔案部門在實際工作中如不能很好地貫徹法律的規(guī)定，忽視對公民隱私權的保護，就會在很大程度上影響檔案信息服務工作的開展。

二、檔案信息服務中保護隱私權的對策

要使得公民的隱私權在檔案信息服務過程中得到保護，就必須走依法治檔的道路，進行相關方面的檔案法律建設。目前我國《檔案法》中沒有明確規(guī)定檔案信息所涉及的隱私權問題，僅在部分條款中有類似說明。

在檔案信息服務過程中，檔案利用是涉及隱私權的一個關鍵環(huán)節(jié)，在利用時應區(qū)別對待，通過控制使用這些涉及私益的檔案，限制其利用范圍，使隱私權受到必要的保護，做到合法利用。

做好檔案信息服務中的隱私權保護，檔案界和檔案館還應采取以下對策。

（一）制定檔案行業(yè)的隱私權保護政策

1997年9月27日，國家檔案局、國家保密局聯(lián)合頒發(fā)了《各級國家檔案館館藏檔案解密和劃分控制使用范圍的暫行規(guī)定》，該文件對于有效預防在檔案開放利用工作中發(fā)生對個人隱私的侵權有非常重要的作用。各級各類檔案部門以此項規(guī)定作為政策指導和保障，結合各自的實際館藏狀況，制定了相關的規(guī)章制度，教學效果顯著。不僅如此，檔案學會和檔案館還應制定本行業(yè)的網(wǎng)絡隱私權保護政策，并在網(wǎng)站主頁的顯眼位置予以明示，內容包括：告知網(wǎng)站收集個人資料的目的、方式、范圍；對個人資料提供保密和安全措施的承諾；告知用戶的請求閱覽權、補充修正權、刪除權、訴訟權等相關免責條款。

檔案法律在以后的完善健全過程中，要著重注意解決一個問題，即檔案信息開放服務過程中公民隱私權與知情權的關系問題。在檔案利用實踐中，我們有時不得不在保護公民隱私權和維護公民知情權之間做出選擇。檔案部門所作出的選擇要符合法律利益最大化原則。如當檔案中的隱私涉及共同利益、公共需求、政治利益時，檔案部門就要偏向于后者，因為它符合大多數(shù)人的需要，從長遠來看，根本上也符合隱私權主體的利益。

（二）加強對個人檔案隱私權的管理與技術保護

1.在檔案管理中采取措施

這是合法利用檔案信息的前提條件，要求對涉及公民隱私權的檔案進行鑒定與區(qū)分，使之與一般檔案區(qū)別對待，分開保管，實現(xiàn)有關檔案的完整、安全和保密。目前，檔案法規(guī)對涉及公民隱私權檔案的劃分并不十分明確，在實際工作中不易操作，這種狀況亟待改善。

利用者在利用涉及隱私的檔案時，只限于達到既定目的，當按規(guī)定獲得對檔案的利用權后，可對這些檔案進行閱覽、復制和摘錄，但不得將其以現(xiàn)行檔案法規(guī)中明令禁止的形式對外公布，不得擅自傳閱、散布、發(fā)表這些涉及他人隱私的檔案內容。檔案工作者有必要在提供檔案信息服務過程中向利用者說明有關注意事項。

2.網(wǎng)絡化過程中的保護手段

相對于傳統(tǒng)的紙質檔案而言，在檔案信息網(wǎng)絡化過程中，可以采取的技術保護手段可謂多種多樣?，F(xiàn)在已經(jīng)有了Cookies軟件管理工具、個人隱私偏好平臺（P3P）、加密軟件、自動刪除個人資料軟件等由用戶自己保護個人資料的技術。檔案網(wǎng)站保護個人資料的技術也有很多種，比如：檔案館為了禁止未獲授權的人截取或查閱個人資料，可以通過設置本網(wǎng)站運行的服務器，自動使電子郵件傳輸?shù)揭粋€預先指定的服務器目錄機密郵箱，只供獲得授權的人查閱。

（三）提高檔案館保護隱私權的自律性

“自律”是檔案館保護隱私權的一條重要原則，即通過檔案館采取自律措施來規(guī)范在個人資料收集、存貯、傳輸利用中的行為，達到保護隱私權的目的。

1.檔案館應開展檔案開放利用的鑒定工作

組織鑒定小組及時鑒定需要開放利用的檔案，著重分析檔案涉及隱私的內容和本館檔案的類型，從而確定哪些檔案涉及個人隱私，屬于控制范圍。對個人資料的重要程度劃分等級，以決定采取不同的保護措施。檔案館還要建立一些規(guī)章制度，避免所有的檔案館人員都能接觸到敏感的個人資料（如出身、種族、政治傾向、、犯罪記錄等），確保只有經(jīng)過批準的檔案館人員才能收集、查閱、傳播這些個人資料。對于已到開放期的檔案，要嚴格按照《各級國家檔案館開放檔案辦法》、《各級國家檔案館館藏檔案解密和劃分控制使用范圍的暫行規(guī)定》中的相關規(guī)定，對擬開放檔案組織認真鑒定，以決定包含個人資料的檔案的開放時間、開放方式和范圍。

2.檔案工作者要注意保護他人隱私

第2篇：信息安全服務體系范文

關鍵詞：信息安全 空間信息 信息共享 社區(qū)信息化 福州市

一、引言

社區(qū)信息化是城市信息化的基石。保障信息安全，是讓公眾充分利用空間信息及網(wǎng)絡技術對基層的公共事務和公益事業(yè)實行自我管理、自我服務、自我教育、自我監(jiān)督的重要前提。本文結合福州市公眾空間信息共享服務平臺的建設情況，對信息安全保障問題進行初步探討。

二、福州市公眾空間信息服務共享平臺的結構

福州市公眾空間信息共享服務平臺是福州市政府基于中國福州門戶網(wǎng)站(政務外網(wǎng))向公眾提供空間信息的一站式服務平臺，以數(shù)據(jù)服務的形式為社區(qū)提供需要的海量空間地理基礎數(shù)據(jù)。公眾不必關心空間地理基礎數(shù)據(jù)的管理、維護、更新問題，保證了數(shù)據(jù)的現(xiàn)勢性，節(jié)約了數(shù)據(jù)成本。不同權限的社區(qū)公眾可以通過訪問不同的地圖服務達到訪問不同數(shù)據(jù)圖層的目的。社區(qū)公眾經(jīng)政府培訓認證后,也可參與平臺的建設，疊加標注所在社區(qū)的相關屬性信息，以達到社區(qū)自治的目的。

福州市公眾空間信息服務共享平臺包括應用層、認證層、接口層、服務層、數(shù)據(jù)層和管理維護層等六個層次，相互形成一個有機的整體。

⒈應用層

應用層是各社區(qū)基于平臺服務接口建立的社區(qū)應用服務展示系統(tǒng),為社區(qū)公眾使用各類空間數(shù)據(jù)及服務提供途徑。從公眾角度看，平臺是一個信息服務機構，可以是一個傳統(tǒng)意義上的桌面應用程序，也可以是Web應用程序或門戶網(wǎng)站。此外，通過建立面向不同社區(qū)的元數(shù)據(jù)目錄登記注冊，可以實現(xiàn)各類共享空間信息的查找，將解決這些數(shù)據(jù)“如何發(fā)現(xiàn)”的問題。

⒉認證層

認證層是福州公眾空間信息共享服務平臺與政務專網(wǎng)的網(wǎng)絡安全體系集成接口。利用PKI/CA證書等成熟安全技術，通過身份標識、授權控制，提供“統(tǒng)一認證管理”，實現(xiàn)“單點登錄”。認證層的設計對于平臺系統(tǒng)及其信息資源的安全保障非常必要，保證只有授權用戶才可以訪問和使用平臺所提供的相關資源。

⒊接口層

接口層是提供給各類開發(fā)用戶的Web API(網(wǎng)絡應用程序接口)。信息服務、中介機構及社會公眾可以使用這些API來和自己的業(yè)務應用進行集成，形成自己的業(yè)務空間信息應用系統(tǒng)，如商貿地理信息系統(tǒng)、三維旅游系統(tǒng)、現(xiàn)代物流系統(tǒng)、房產(chǎn)銷售管理系統(tǒng)，等等；平臺也可以使用這些API，來構建綜合應用展示系統(tǒng)、多源數(shù)據(jù)桌面瀏覽器等系統(tǒng)，為平臺使用者提供方便友好的接口。

⒋服務層

服務層是接口層的基礎，接口層是服務層的對外表現(xiàn)，服務層實現(xiàn)諸如二維數(shù)據(jù)引擎、地址編碼引擎、元數(shù)據(jù)引擎等，為接口層提供強大的后臺實現(xiàn)支持，這二者合稱為應用接口層。通過應用接口層，平成對各類空間地理基礎信息資源的對外共享和，將解決空間信息資源“如何”的問題。

⒌數(shù)據(jù)層

數(shù)據(jù)層是整個平臺的基礎。平臺的數(shù)據(jù)，從內容上是福州市空間地理基礎信息數(shù)據(jù)，并將在平臺運行后逐步擴大其覆蓋面；從表現(xiàn)形式上是存儲在于平臺數(shù)據(jù)中心及其他多個行業(yè)部門數(shù)據(jù)中心的分布式數(shù)據(jù)庫環(huán)境中。數(shù)據(jù)的完整性、實用性、精確性、動態(tài)更新能力等從根本上決定了平臺的價值。根據(jù)不同的數(shù)據(jù)類型特點以及應用的需要，建立實用有效的數(shù)據(jù)采集、加工及處理流程與規(guī)范，通過對原始數(shù)據(jù)的加工整合，將解決數(shù)據(jù)“如何制作”的問題。

⒍管理維護層

管理維護層包括對平臺數(shù)據(jù)的管理和應用及服務的管理，和上面五個層有著密切的聯(lián)系，是整個平臺正常運維的保證；有數(shù)據(jù)入庫、更新維護、服務管理、運行監(jiān)控、用戶及權限管理等應用。對于社區(qū)公眾的權限管理將分為三個級別，即功能權限控制(能使用哪些功能)、圖層權限控制(能訪問哪些圖層)及區(qū)域范圍權限控制(能訪問什么范圍)，系統(tǒng)管理員可以根據(jù)社區(qū)公眾角色進行授權，控制其對共享平臺的訪問。

三、公眾空間信息共享服務平臺的安全保障體系設計

福州市公眾空間信息共享服務平臺安全保障體系就是要在中國福州門戶網(wǎng)站（政務外網(wǎng)）和互聯(lián)網(wǎng)環(huán)境下，以公眾服務平臺的安全需求和安全策略為依據(jù)，建立以系統(tǒng)可用性、完整性、機密性為目標的信息安全保障體系。建立服務平臺安全保障體系是一項系統(tǒng)工程，它從安全策略、安全技術保障、安全組織、安全管理以及四個方面來系統(tǒng)考慮平臺建設的安全保障。

⒈安全策略

安全策略主要從整體上提供全局性指導，為具體的安全措施和規(guī)定提供一個全局性的框架。公眾空間信息共享服務平臺是依托中國福州門戶網(wǎng)站（政務外網(wǎng)）為互聯(lián)網(wǎng)公眾提供信息服務。根據(jù)電子政務系統(tǒng)業(yè)務特點和安全要求，按“分域防護、分級保護”的原則，要劃分不同的安全域和業(yè)務保護安全等級，制定與之適應的安全防護措施和安全機制，通過集成相關的安全產(chǎn)品和安全服務，從物理安全、網(wǎng)絡安全、系統(tǒng)安全、應用安全、安全管理等五個方面，構造多層防御的安全保障體系，以確保平臺安全、高效、可靠運行。

⒉安全技術保障

⑴安全基礎設施的建設

信息安全技術的設計必須滿足平臺建設的安全需求與安全策略。從技術保障體系結構上，是按照分層防護的原則來設計的。通常，把物理安全、網(wǎng)絡安全和系統(tǒng)安全等安全措施統(tǒng)稱為安全基礎設施。安全基礎設施的建設主要包括：安全管理維護系統(tǒng)、設備安全管理、邊界訪問控制系統(tǒng)、監(jiān)控和檢測系統(tǒng)、防病毒系統(tǒng)、主機加固和保護、容災備份系統(tǒng)、遠程安全接入（VPN）系統(tǒng)等。

安全網(wǎng)管和應用監(jiān)控系統(tǒng)：實現(xiàn)對公眾空間信息共享服務平臺應用統(tǒng)一監(jiān)控和預警，實現(xiàn)故障、事件統(tǒng)一管理。邊界訪問控制系統(tǒng)：根據(jù)各安全域具體的安全防護策略，實現(xiàn)各安全域的邊界保護。在政務信息交換中心，政務外網(wǎng)和互聯(lián)網(wǎng)直接使用防火墻設備，在政務外網(wǎng)和內網(wǎng)之間部署網(wǎng)閘設備。

監(jiān)控檢測系統(tǒng)：重點在于檢測和修補安全漏洞，入侵行為。該系統(tǒng)包括脆弱性評估、入侵檢測、web服務器防篡改等機制。

防病毒系統(tǒng)：防范病毒入侵和傳播。

容災備份系統(tǒng)：在服務平臺信息中心對數(shù)據(jù)進行容災和備份。

接入網(wǎng)VPN：在網(wǎng)絡接入邊界提供VPN接入服務。

⑵應用安全的建設

應用安全的建設是公眾空間信息共享服務平臺安全保障體系的重點建設內容，在建設過程中，必須考慮以下幾個方面：

統(tǒng)一身份認證：通過跟福州市政務網(wǎng)建立統(tǒng)一接口，利用政務網(wǎng)已經(jīng)建成的基于LDAP的統(tǒng)一身份認證系統(tǒng)、政務PKI/CA系統(tǒng)為共享服務平臺提供統(tǒng)一的身份認證服務。

授權管理系統(tǒng)：提供授權管理服務，對服務訪問用戶、數(shù)據(jù)管理用戶、空間信息資源共享平臺用戶及其權限進行統(tǒng)一管理。

數(shù)據(jù)安全：實現(xiàn)對機密文件進行加密、用訪問控制列表限制數(shù)據(jù)的訪問。建立關鍵數(shù)據(jù)的備份和恢復措施。

可信時間戳服務：公眾空間信息共享服務平臺上的應用都具有很強的時序性，可信時間戳服務將成為建立有效服務和監(jiān)督機制的基石。

安全審計：安全審計對于應用系統(tǒng)安全事故的分析和取證具有重要的作用，已經(jīng)成為信息系統(tǒng)安全的重要環(huán)節(jié)。⒊安全組織保障體系

電子政務信息安全的運作需要強有力的組織體系保障，使得有關信息安全管理和實施的政令通暢。通常，電子政務安全組織保障體系包括三個層次，即決策層、管理層和執(zhí)行層。福州市政務信息中心負責制定全市公眾空間信息共享服務平臺建設規(guī)劃、政策法規(guī)，負責平臺的建設與管理工作。為了加強安全組織保障體系，必須進一步明確崗位安全職責，明確決策層、管理層和執(zhí)行層三者的責任和權利，把安全措施落實到具體的崗位。

⒋安全管理流程控制

信息系統(tǒng)安全需要通過一系列科學規(guī)范的安全管理流程組織實施，安全管理流程明確了安全職責的劃分，合理的人員角色定義，可以很大程度上降低安全隱患。因此，公眾空間信息共享服務平臺的建設、運行、維護、管理都要嚴格按制度執(zhí)行，明確責任義務，規(guī)范操作，加強人員、設備的管理。

安全管理制度要通過安全管理流程來系統(tǒng)化實施，共享服務平臺在建立自己的信息安全體系時，其安全管理流程應遵循著名的Plan―Do―Check―Action（PDCA），即“計劃―實施―檢查―措施”四個循環(huán)周期來實施。PDCA過程模式可簡單描述如下：

計劃：依照整個方針和目標，建立與控制風險、提高信息安全有關的安全方針、目標、指標、過程和程序。

實施：實施和運作方針（過程和程序）。

檢查：依據(jù)方針、目標和實際經(jīng)驗測量，評估過程業(yè)績，并向決策者報告結果。

措施：采取糾正和預防措施進一步提高過程業(yè)績。

四個步驟成為一個閉環(huán)，通過這個環(huán)的不斷運轉，使信息安全管理體系得到持續(xù)改進，使信息安全績效螺旋上升。

作者簡介：

第3篇：信息安全服務體系范文

區(qū)域信息生態(tài)系統(tǒng)是一個具有多樣性、復雜性的有機系統(tǒng)。近幾年來，我國許多區(qū)域的信息污染、信息壟斷、信息超載、信息孤島、信息侵犯、網(wǎng)絡安全等問題較為嚴重。加深對區(qū)域信息生態(tài)系統(tǒng)及服務體系的研究，有利于其保持良性運行，也有助于信息生產(chǎn)和消費之間的平衡，完善媒體信息資源公益性開發(fā)機制。

區(qū)域信息生態(tài)系統(tǒng)概念模型

區(qū)域信息生態(tài)系統(tǒng)是一個在某一地區(qū)信息生態(tài)循環(huán)中，由信息人、信息和信息環(huán)境三大要素及其內部各生態(tài)因子組成的動態(tài)而開放的系統(tǒng)。其中，信息人不僅包括參與信息活動的單個個體，也包括從事信息工作的政府、媒體機構、民間團體、行業(yè)協(xié)會、社區(qū)等，這是信息生態(tài)系統(tǒng)的核心。其參與信息活動是使生態(tài)系統(tǒng)維持“平衡失衡平衡”螺旋式上升的主導力量。信息主要指區(qū)域內所有的數(shù)據(jù)資源，也包括與之相關的區(qū)域外信息資源，其具有價值性、時效性、傳遞性、可處理性、服務性、共享性、增值性等特征。信息環(huán)境涵蓋信息基礎設施、信息資源、信息技術、信息政策與法規(guī)等，其中，信息技術是獲取、傳遞、處理、存儲、再生和利用信息的主導因子，包括計算機技術、網(wǎng)絡技術、通信技術、感測技術、自動控制技術、數(shù)據(jù)庫技術和多媒體技術，以及由這些技術分解出的其他相關技術。區(qū)域信息生態(tài)系統(tǒng)內部各生態(tài)因子之間相互聯(lián)系、相互作用、相互依存、共生共進。在系統(tǒng)中，信息人、信息與信息環(huán)境之間存在著動態(tài)的相互適應過程，持續(xù)的動態(tài)適應過程維持著系統(tǒng)的有序平衡。

基于上述認知，本課題建立了區(qū)域信息生態(tài)系統(tǒng)的概念模型（如下頁圖1）。

在系統(tǒng)中，信息人是生態(tài)的主體，信息資源是生態(tài)的客體，信息環(huán)境不僅是生態(tài)的背景和場所，而且是所有與信息相互關聯(lián)的外部因素之和。信息人從其所處的信息環(huán)境中獲取與利用信息資源，又發(fā)揮自己的能動性通過實踐活動改造信息環(huán)境，從而實現(xiàn)不斷變化的目標。事實上，信息社會是以信息的收集、開發(fā)、傳播、利用為主要特征的，信息作用的發(fā)揮必須借助于信息技術，同時也由于信息技術的進步促進信息生態(tài)系統(tǒng)的改善。信息人通過一定的信息技術與外界信息環(huán)境之間進行信息交換，構成了一個信息生態(tài)循環(huán)。

區(qū)域信息生態(tài)系統(tǒng)服務體系構建

本課題構建的區(qū)域信息生態(tài)系統(tǒng)服務體系框架，包括四大平臺和兩大體系（如圖2）。

四大平臺包括：1.數(shù)字政府。改革政府行政管理方式，建設統(tǒng)一的政務網(wǎng)絡平臺。通過網(wǎng)上審批、網(wǎng)上審計、網(wǎng)上、網(wǎng)上監(jiān)督考核等多種信息技術手段，降低行政成本，提高行政效能，實現(xiàn)網(wǎng)上互動；建設完善一批重點業(yè)務下臺，并將以傳統(tǒng)載體保存的政務信息資源數(shù)字化、網(wǎng)絡化。2.數(shù)字企業(yè)。以建設區(qū)域先進制造業(yè)基地為目標，加快信息化帶動工業(yè)化，提升產(chǎn)業(yè)集群、企業(yè)及產(chǎn)品信息化水平，加強自主創(chuàng)新，掌握信息化核心技術，從而促進企業(yè)生產(chǎn)經(jīng)營和管理方式變革。3.數(shù)字城市。圍繞著如何提高城市綜合管理能力和公共服務水平這個目標，完善城市信息基礎設施建設，發(fā)展技術含量高、關聯(lián)度大的現(xiàn)代服務行業(yè)，促進政府公共管理、社會公共服務和便民商業(yè)服務的融合。同時注重數(shù)字圖書館建設。4.數(shù)字新農(nóng)村。為了增強服務“三農(nóng)”的能力，在農(nóng)村建立信息網(wǎng)絡服務體系，加快現(xiàn)代農(nóng)業(yè)信息技術應用，并積極開展農(nóng)業(yè)信息技術培訓服務，不斷提高農(nóng)民信息應用技能，切實加強農(nóng)戶、農(nóng)村合作社與企業(yè)的聯(lián)系，促進農(nóng)產(chǎn)品的銷售、深加工，提高農(nóng)民收入。

兩大體系包括：1.信息安全體系。在各級政府有關部門的統(tǒng)一領導下，根據(jù)國家有關信息安全的法律法規(guī)，建立起信息安全監(jiān)管機制及其保障體系。有關人員要提高對電子政務、電子商務、信息資源開發(fā)利用、信息服務、信息市場、資源共享等方面的安全風險管控能力，強化等級保護和風險評估，使得信息安全管理更加科學有效。2.社會誠信體系。建立涉及社會諸多領域的信用信息記錄、信用產(chǎn)品使用、守信受益及失信懲戒的信用制度，形成各部門協(xié)同推進、社會和企業(yè)廣泛參與的誠信工作格局；誠信體系覆蓋信用服務產(chǎn)業(yè)鏈各個環(huán)節(jié)，包括社會信用制度建設、信用服務體系建設、個人信用聯(lián)合征信系統(tǒng)、企業(yè)聯(lián)合征信系統(tǒng)和信用服務行業(yè)協(xié)會等。

第4篇：信息安全服務體系范文

本報訊 在日前召開的國務院常務會議上，國務院總理主持并研究部署推進信息化發(fā)展、保障信息安全工作。會議要求健全信息安全防護和管理，切實提高防攻擊、防篡改、防病毒、防癱瘓、防竊密能力。

會議指出，當前，世界各國信息化快速發(fā)展，信息技術的研發(fā)和應用正在催生新的經(jīng)濟增長點，以互聯(lián)網(wǎng)為代表的信息技術在全球范圍內帶來了日益廣泛、深刻的影響。加快推進信息化建設，建立健全信息安全保障體系，對于調整經(jīng)濟結構，轉變發(fā)展方式，保障和改善民生，維護國家安全，具有重大意義。今后一段時期，要以促進資源優(yōu)化配置為著力點，構建現(xiàn)代信息技術產(chǎn)業(yè)體系，全面提高經(jīng)濟社會信息化發(fā)展水平；加強統(tǒng)籌協(xié)調和頂層設計，健全信息安全保障體系，切實增強信息安全保障能力，維護國家信息安全，促進經(jīng)濟平穩(wěn)較快發(fā)展和社會和諧穩(wěn)定。

會議還討論通過《關于大力推進信息化發(fā)展和切實保障信息安全的若干意見》，確定了實施“寬帶中國”工程；推動信息化和工業(yè)化深度融合；加快社會領域信息化；推進農(nóng)業(yè)農(nóng)村信息化；健全安全防護和管理；加快安全能力建設等六項重點工作。其中，對于“寬帶中國”工程，《意見》要求加快信息網(wǎng)絡寬帶化升級，推進城鎮(zhèn)光纖到戶，實現(xiàn)行政村寬帶普遍服務。加快部署下一代互聯(lián)網(wǎng)，重點研發(fā)下一代互聯(lián)網(wǎng)關鍵芯片、設備、軟件和系統(tǒng)，推動產(chǎn)業(yè)化。加快推進電信網(wǎng)、廣電網(wǎng)、互聯(lián)網(wǎng)三網(wǎng)融合，培育壯大相關產(chǎn)業(yè)和市場；對于推動信息化和工業(yè)化深度融合，《意見》要求重點推動企業(yè)信息化水平全面提升，推廣節(jié)能減排信息技術，增強信息產(chǎn)業(yè)核心競爭力，引導電子商務健康發(fā)展，推進服務業(yè)信息化；對于社會領域信息化，《意見》要求繼續(xù)深化電子政務應用，加快電子政務服務向街道、社區(qū)和農(nóng)村延伸，建設服務型政府。提高社會管理和城市運行信息化水平，加快推進教育、醫(yī)療、就業(yè)、社會保障和減災救災等民生領域信息化。發(fā)展先進網(wǎng)絡文化；對于推進農(nóng)業(yè)農(nóng)村信息化，《意見》要求重點提高農(nóng)業(yè)生產(chǎn)經(jīng)營信息化水平，完善農(nóng)業(yè)農(nóng)村綜合信息服務體系；對于健全安全防護和管理，《意見》要求重要信息系統(tǒng)和基礎信息網(wǎng)絡要與安全防護設施同步規(guī)劃、同步建設、同步運行，強化技術防范，嚴格安全管理，切實提高防攻擊、防篡改、防病毒、防癱瘓、防竊密能力。加強地理、人口、法人、統(tǒng)計等基礎信息資源的保護和管理，強化企業(yè)、機構在網(wǎng)絡經(jīng)濟活動中保護用戶數(shù)據(jù)和國家基礎數(shù)據(jù)的責任；對于加快安全能力建設，《意見》要求完善網(wǎng)絡與信息安全基礎設施，加強信息安全應急等基礎性工作，提高風險隱患發(fā)現(xiàn)、監(jiān)測預警和突發(fā)事件處置能力。加大信息安全技術研發(fā)力度，支持信息安全產(chǎn)業(yè)發(fā)展。

會議要求，對于各項工作，要明確分工，落實責任，加快法規(guī)制度和標準建設，加大財稅政策扶持，以確保各項工作順利推進。

（李娜）

第5篇：信息安全服務體系范文

一、建設現(xiàn)狀

（一）基礎設施體系日趨完善

我市各大電信運營商已建成以光纜通信為主，數(shù)字微波和衛(wèi)星通信為輔的大容量、高速率，能為政府、市民、企業(yè)提供安全、可靠的通信傳輸網(wǎng)和相應的有線、和無線通信服務，一批國家級的信息網(wǎng)絡在我市均建有節(jié)點。目前，全長共計32356.74芯公里，2067.23皮長公里的光纖通信線路已遍布三亞市的每一個角落，真正實現(xiàn)了光纜到大樓（fttb）、光纜到戶（ftth），覆蓋全市100％的鄉(xiāng)鎮(zhèn)和農(nóng)場，四通八達的光纜網(wǎng)絡為三亞信息化建設應用的接入打造了堅實的基礎。

（二）建立了結構化程度較高的信息資源開發(fā)應用體系

我市在底完成公務電子郵箱系統(tǒng)與輿情監(jiān)控系統(tǒng)的建設，目前運行良好；市政府投資的五塊大型戶外led全彩電子顯示屏系統(tǒng)在4月份建成，收到較好的經(jīng)濟效益和社會效益。建成了具備了寬帶交換和高速接入能力的三亞市電子政務核心機房，政府辦公自動化系統(tǒng)、電子公文交換系統(tǒng)等一批跨部門的信息共享平臺已投入建設。

明年我市將建設城市公共信息觸摸屏查詢系統(tǒng)等信息服務項目，為市民游客提供多元化的信息查詢平臺。為了積極發(fā)揮在公共基礎建設中的主導作用，將“無線數(shù)字三亞納入到政府重點建設項目中進行管理。同時，我市分別和中國電信海南分公司、中國移動海南分公司、中國聯(lián)通海南分公司簽署全面戰(zhàn)略合作框架協(xié)議，重點推進三亞信息惠民、信息強政、信息服務體系建設。

“金橋”、“金卡”、“金稅”等一批重大信息工程在我市的全面實施初步形成了政務、商用、公眾三大信息資源體系。金融、財稅、保險、公安、教育、衛(wèi)生、農(nóng)業(yè)等行業(yè)性內部網(wǎng)絡功能日趨完善。電信網(wǎng)、廣電網(wǎng)在三亞已建成了國內先進的網(wǎng)絡平臺，可滿足社會不同層次對通信和信息服務的需求。

企業(yè)信息化組織體系基本確定，40%的企業(yè)建立了專門的信息化機構。企業(yè)計算機網(wǎng)絡系統(tǒng)初步建立，全市規(guī)模以上企業(yè)中，約有60%左右建立了計算機局域網(wǎng)或廣域網(wǎng)，重點企業(yè)中，cad/cam應用較廣泛，erp正在成為信息技術應用的重點。

1、積極推進電子政務工程建設

我市電子政務項目工程按照“統(tǒng)一建設，統(tǒng)一管理，互聯(lián)互通，資源共享”的建設原則，分期安排實施項目，并于底啟動了“信息三亞”項目。目前全市統(tǒng)一的政務門戶網(wǎng)站集群、全市統(tǒng)一的電子政務核心機房和全市統(tǒng)一的政務信息處理平臺的建設已形成基本的框架。

加強政府門戶網(wǎng)站服務體系建設。新版“中國三亞”門戶網(wǎng)站于4月改版完成投入使用，在全省政府門戶網(wǎng)站績效評估中，獲省政務門戶網(wǎng)站評比中二等獎。于12月開通市政府英文網(wǎng)，俄文網(wǎng)也已今年8月份開通運行，韓文網(wǎng)將2010年初開通。

政府門戶網(wǎng)站服務體系初顯成效，70%的部門網(wǎng)站都已建立，市財政局、發(fā)改委、民政局、物價局等一批重要部門網(wǎng)站相繼建成，初步實現(xiàn)以政府網(wǎng)為核心，以電子政務平臺為基礎，以政府網(wǎng)數(shù)據(jù)庫為依托、以市直各機關各專業(yè)網(wǎng)站為子網(wǎng)站的網(wǎng)站群體系。

構建我市統(tǒng)一電子黨政內網(wǎng)。三亞市黨政內網(wǎng)以實現(xiàn)市委、市政府辦公自動化、公文流轉、公共信息資源化、數(shù)據(jù)傳輸證書化和決策科學化為前提，按照“一個城市，一個黨政內網(wǎng)，一個政務數(shù)據(jù)中心”的建設框架，構建一個安全的覆蓋全市各部門各級政府至基層單位的數(shù)據(jù)共享、流程同步、綜合性信息化辦公基礎網(wǎng)絡平臺。三亞黨政內網(wǎng)工程于今年9月份啟動，工程分三階段進行，目前進入基礎設計階段，預計2010年初投入使用。

構建多功能政務中心。市政務中心工程是根據(jù)我市電子政務發(fā)展的實際需要及未來可持續(xù)發(fā)展，以“系統(tǒng)資源大整合、數(shù)據(jù)大集中、信息高共享”為原則，依托黨政內網(wǎng)、黨政中心機房，集中管理政務中心電子政務系統(tǒng)和綜合信息數(shù)據(jù)交換平臺業(yè)務設備，整合政府部門的窗口服務流程與部門業(yè)務系統(tǒng)的政務信息處理平臺。對建設服務型政府、加快行政管理體制改革和加強政府自身建設具有重要意義。目前我市已啟動政務中心信息化建設工作，預計在2010年3月投入使用。

逐步建成數(shù)字城市綜合監(jiān)管系統(tǒng)平臺。根據(jù)我市國際化旅游城市建設管理的需要，我市啟動了市數(shù)字城市綜合監(jiān)管項目的規(guī)劃項目，整合三亞市屬各機關、單位、部門、行業(yè)、社區(qū)的監(jiān)控系統(tǒng)，快速提高我市國際化旅游城市管理水平，提高城市核心競爭力。其總體設計目標是：標志景點國際化，社會安保常態(tài)化，行業(yè)監(jiān)控精細化，部門監(jiān)控規(guī)范化。該項目于2010年初啟動，一期建設將在2010年底完成。

積極推動市政府12345服務熱線建設。市政府12345服務熱線負責處理社會公眾向各機關單位的咨詢、投訴、批評、建議、求助等來電，使政府公開電話服務范圍覆蓋到政府公共服務的全部領域，為社會公眾提供全方位、全天候、高效率24小時不間斷服務。該項目今年初啟動，預計2010年初可開通。

2、加快社會事業(yè)信息化建設進程

財政管理綜合信息系統(tǒng)建設收效明顯。配合國家“金財工程”建設，我市加強財政信息資源規(guī)劃和整合，建立以預算編制、國庫集中收付和宏觀經(jīng)濟預測為核心應用的政府財政管理綜合信息系統(tǒng)。全面開展國庫集中支付改革，實現(xiàn)財政資金的全過程規(guī)范管理，科學掌握宏觀經(jīng)濟和財政收支增減因素，為政府財政預算編制、財政支出管理、財政政策調整提供輔助決策依據(jù)，提高政府宏觀調控水平。

建立覆蓋全市、資源共享的綜合應用視頻監(jiān)控網(wǎng)絡，構建全市電子防控報警系統(tǒng)。實施科技強警戰(zhàn)略，深入推進金盾工程建設，已投入建設資金1058萬元，相繼完成了省廳下達的44項“金盾工程”一期建設任務中的42項，完成率達95.5%，同時建設了具有信息化特色11個項目。在全市建成完備的公安信息化基礎設施、動態(tài)綜合的公安信息資源庫、高度集成的公安信息化應用體系，基本實現(xiàn)公安工作信息化、現(xiàn)代化。

教育信息服務系統(tǒng)建設逐步完善。初步建立以市級教育網(wǎng)站為核心，面向社會公眾的“一站式”教育信息服務系統(tǒng)。加強了數(shù)字化教育資源的建設、整合和共享，優(yōu)化教育管理信息系統(tǒng)，為社會公眾提供優(yōu)質教育資源的網(wǎng)絡服務。構建學校—社區(qū)—家庭互聯(lián)互動的教育信息化平臺，利用學校和社區(qū)豐富的教育資源，形成學校教育向家庭延伸、社區(qū)教育支持學校教育的大教育體系，為社會公眾提供靈活多樣、開放的網(wǎng)絡化教育和終身教育服務。

勞動保障信息系統(tǒng)不斷完善。為配合國家“金保工程”的建設，我市構建覆蓋市、區(qū)、街道、社區(qū)勞動保障信息網(wǎng)，建立全市勞動保障數(shù)據(jù)中心和專業(yè)數(shù)據(jù)庫，優(yōu)化勞動保障業(yè)務流程，整合、改造社會保險系統(tǒng)和勞動力市場系統(tǒng)，實施包括勞動就業(yè)、社會保險、醫(yī)療保險、社會救助等功能的社會保障卡工程，以信息化手段提供就業(yè)與失業(yè)救助服務、社會保險金的發(fā)放與償付服務。

公共醫(yī)療衛(wèi)生服務信息系統(tǒng)建設不斷推進。初步建立以人為本、以服務患者為中心的衛(wèi)生信息系統(tǒng)。實現(xiàn)醫(yī)療衛(wèi)生信息實時共享和充分利用,推進公共衛(wèi)生事件應急指揮、預防控制、衛(wèi)生監(jiān)督執(zhí)法、醫(yī)療救治、婦幼保健、健康教育、社區(qū)健康中心等信息系統(tǒng)建設，提高醫(yī)療衛(wèi)生的服務、管理、決策水平和資源使用效益。

實施防汛指揮系統(tǒng)建設。建立了以水雨工災情信息采集系統(tǒng)為基礎、通信系統(tǒng)為保障、計算機網(wǎng)絡系統(tǒng)為依托、決策支持系統(tǒng)為核心的三亞市防汛抗旱指揮系統(tǒng)，搭建了三亞市水務信息系統(tǒng)計算機網(wǎng)絡、決策支持系統(tǒng)的結構框架和工作平臺，在我市防汛抗旱工作中發(fā)揮了重要作用，取得了巨大的經(jīng)濟效益和社會效益。

推進征管改革。為貫徹落實省局以信息化建設推進征管改革的要求，并結合實際制定了征管改革方案，以信息化建設為契機，逐步建立并運行稅收一體化征管信息系統(tǒng)，加快全省“金稅工程（三期）海南地稅項目”的建設。

3、嚴把黨政信息化項目審核論證工作質量關

根據(jù)《三亞市電子政務工程建設管理辦法》文件精神，市科工信局負責我市黨政信息化項目審核論證工作及市直機關信息化項目建設資金的統(tǒng)籌管理。各部門根據(jù)全市電子政務規(guī)劃和本部門實際，制定本部門電子政務近期建設規(guī)劃，并提出具體的電子政務工程項目和建設內容并組織前期論證，報市科工信局。市科工信局審核各部門近期電子政務工程項目建設，對符合全市電子政務規(guī)劃和建設要求并通過前期論證的項目，納入全市電子政務規(guī)劃項目庫。

4、完善高效的建設項目管理制度

加強項目管理制度建設是落實電子政務建設決策和規(guī)劃，確保電子政務取得實效的關鍵一環(huán)。為推進三亞市黨政信息化建設，完善有關信息化建設制度，我市相繼出臺了《三亞市政府網(wǎng)信息員管理暫行規(guī)定》、《三亞市政務信息網(wǎng)上公開規(guī)定》、《三亞市公務電子郵箱使用管理規(guī)定》、《三亞市社區(qū)政務信息化管理辦法》、《三亞市政務信息資源共享管理辦法》、《三亞市電子政務工程建設管理辦法》等信息化建設法規(guī)。

二、存在的問題

對信息化與工業(yè)化融合，信息化建設帶動三亞經(jīng)濟發(fā)展的認識高度不夠；信息技術應用總體水平偏低，“信息孤島”現(xiàn)象嚴重；在投資結構上“重硬輕軟”、“重網(wǎng)輕源”、“重建輕用”現(xiàn)象較為嚴重，信息化對經(jīng)濟的帶動作用還未充分發(fā)揮，信息化對傳統(tǒng)產(chǎn)業(yè)尤其是服務業(yè)的改造力度急需加強；信息化建設質量和進度缺乏監(jiān)督考核，組織體制與協(xié)調機制仍然偏弱，電子商務的基礎設施條件不完善，運作大項目、引進大企業(yè)經(jīng)驗不足，信息產(chǎn)業(yè)實現(xiàn)跨越式發(fā)展缺乏動力，信息技術領域人才嚴重匱乏，結構性矛盾突出，高層次信息化人才儲備不足；投融資渠道和項目運營理念有待于創(chuàng)新。

三、措施

1、加大政府投入，創(chuàng)新多元化的信息化建設、管理模式

加大財政部門對信息化建設的支持力度，市直各部門新建的信息化項目必須納入統(tǒng)一規(guī)劃和管理，對于確需建設的項目依據(jù)“先易后難、急用先建、效益顯著”的原則，統(tǒng)籌規(guī)劃，分級建設；對于跨年度的建設項目須按實施進度分年度分批規(guī)劃、撥款。合理確定信息化引導資金的規(guī)模和投向，積極探索“政府投入、政策補貼、稅收優(yōu)惠、資源補償”的多方位政府支持渠道，建立“政府引導、市場運作、企業(yè)管理”的信息化建設運營模式；設立信息化服務體系專項基金，支持中小企業(yè)信息化重點服務平臺工程建設，加強對服務體系關鍵環(huán)節(jié)的支持。建立和完善適應信息發(fā)展的多渠道投融資體制，建立風險投資機制，鼓勵國內外風險投資基金來海南設立機構發(fā)展業(yè)務。

鼓勵社會資金對信息化建設的投入，對適合社會投資的項目，通過規(guī)范的市場運作，吸引社會資金投資信息化建設；采用信息技術外包（ito）、業(yè)務流程外包（bpo）、公私合作建設（ppp）等市場化運作模式，降低建設和運行成本，提高信息化建設和運行效率。

對于非政府投入為主建設的信息化公共服務平臺，以及提供軟硬件產(chǎn)品、維護服務、系統(tǒng)集成、解決方案和信息服務的供應商，按照創(chuàng)造經(jīng)濟效益、自主創(chuàng)新程度、典型示范作用等原則，通過先評估、后補貼方式予以支持。鼓勵企業(yè)以合資、合作、特許經(jīng)營等多種方式，兼顧經(jīng)濟效益與社會效益，參與公益平臺建設和運營。:

2、組建專業(yè)技術研發(fā)團隊

隨著我市信息化的發(fā)展，高級專業(yè)技術人員缺口加大，我市目前已啟動籌建城市信息化研發(fā)中心及組建一支高素質專業(yè)技術研發(fā)團隊，以便更好的完成各類攻堅克難任務，如項目規(guī)劃、方案設計、項目審核、技術甄別、項目實施、制定規(guī)范及前期項目調研。另外還要肩負著重點基礎平臺、應用軟件的開發(fā)、組織及各系統(tǒng)軟件技術的融合工作。

3、加強行業(yè)監(jiān)管，創(chuàng)新信息化項目運營機制

加強三亞數(shù)字城市建設的行業(yè)監(jiān)管，盡快形成有效的市場競爭格局。對于信息化平臺和重大工程專項，要在統(tǒng)一監(jiān)督管理下，實行適度開放，適合獨立運營的項目，采用“政府授權、投資受益、市場競爭”等方式，進行獨立的商業(yè)化運營；推進信息資源的深度開發(fā)利用，逐步分離政府、企業(yè)的信息化運行部門，鼓勵第三方信息服務機構采用商業(yè)化運營模式為政府或企業(yè)提供信息化服務；本著“誰投資誰受益”的原則，鼓勵社會資本進入大型信息化項目和重大工程專項的建設和運營市場。

第6篇：信息安全服務體系范文

論文摘要:作為未來最適應時代要求的政府工作形態(tài)，電子政務建設是我國當前信息化工作的重，點，未來政府辦會發(fā)展的趨勢。本文探論了綜合電子政務平臺的棍念、結構和相關技術，分析了電子政務所面臨的安全威脅，并提出了相應的解決方案。

1綜合電子政務平臺概述

    電子政務是指政府機構應用信息技術提高政府事務處理的信息流效率，對政府機構和職能進行優(yōu)化，改善政府組織和公共管理能力。通常由核心網(wǎng)絡、接人網(wǎng)絡及訪問網(wǎng)絡三部分組成。建設內容一般包括:電子政務網(wǎng)絡平臺、政府門戶網(wǎng)站、電子政務主站點、“一站式”行政審批系統(tǒng)、視頻會議系統(tǒng)、公文交換和信息報送系統(tǒng)、電子郵件系統(tǒng)、辦公自動化系統(tǒng)等。

    電子政務網(wǎng)絡平臺網(wǎng)絡結構中，核心網(wǎng)絡擁有重要的信息資源，并處理政府部門間的核心業(yè)務。政府部門間的數(shù)據(jù)交換流程是閉環(huán)的，即任何一個節(jié)點既是用戶又是數(shù)據(jù)源。因此，核心網(wǎng)絡節(jié)點之間的業(yè)務流程應該是高速、嚴密、安全的，并且有嚴格的審核機制。核心網(wǎng)絡與接人網(wǎng)絡形成上下級關系的協(xié)同工作平臺，進行信息、數(shù)據(jù)的交換。它們之間的信息往來必須具備信任安全體系。政府核心網(wǎng)絡面向社會公眾提供信息服務，對外宣傳政府信息，與訪問網(wǎng)絡建立連接。

2綜合電子政務平臺的安全風險

2.1網(wǎng)絡安全域的劃分和控制問題

    電子政務中的信息涉及國家秘密、國家安全，因此它需要絕對的安全。但是同時電子政務現(xiàn)在很重要的發(fā)展方向是要為社會提供行政監(jiān)管的渠道，為社會提供公共服務，如社保醫(yī)保、大量的公眾咨詢、投訴等等，它同時又需要一定程度的開放。因此如何合理地劃分安全域顯得非常重要。

2.2內部監(jiān)控、審核問題

    目前絕大部分單位都沒有系統(tǒng)可以實時地對內部人員除個人隱私以外的各項具體操作進行監(jiān)控和記錄，更不用談對一些非法操作進行屏蔽和阻斷了。

2.3電子政務的信任體系問題

    電子政務要做到比較完善的安全保障體系，第三方認證是必不可少的。只有通過一定級別的第三方認證，才能說建立了一套完善的信任體系。

2 .4數(shù)字簽名(簽發(fā))問題

    在電子政務中，要真正實行無紙化辦公，很重要的一點是實現(xiàn)電子公文的流轉，而在這之中，數(shù)字簽名(簽發(fā))問題又是重中之重。

2.5電子政務的災難響應和應急處理問題

    很多單位在進行網(wǎng)絡規(guī)劃的時候，沒有考慮到作為系統(tǒng)核心部分一一數(shù)據(jù)庫本身的安全問題，完全依賴干整個網(wǎng)絡的防護能力，一旦網(wǎng)絡的安全體系被穿破或者直接由內部人員利用內網(wǎng)用戶的優(yōu)勢進行破壞，“數(shù)據(jù)”可以說無任何招架之力

3綜合電子政務平臺安全體系建設方案

3 .1技術保障體系

    技術保障體系是安全管理體系的重要組成部分。它涉及兩個層面的問題，一是信息安全的核心技術和基本理論的研究與開發(fā)，二是信息安全產(chǎn)品和系統(tǒng)構建綜合防護系統(tǒng)。

    信息安全技術。信息安全的核心技術主要包括數(shù)據(jù)加密技術、信息隱藏技術和信息認證技術。數(shù)據(jù)加密是把有意義的信息編碼為偽隨機性的亂碼，以實現(xiàn)信息保護的目的。數(shù)字簽名是指只有發(fā)送者才能產(chǎn)生的別人無法偽造的一段數(shù)字串，這段數(shù)字串同時也是對發(fā)送者信息真實性的證明。

    信息安全防護體系。目前，主要的信息安全的產(chǎn)品和系統(tǒng)包括防病毒軟件、防火墻、入侵檢測系統(tǒng)、漏洞掃描、安全審計系統(tǒng)、物理隔離系統(tǒng)等。我們可采用屏蔽子網(wǎng)體系結構保證核心網(wǎng)絡的安全。屏蔽子網(wǎng)體系結構通過添加額外的安全層到被屏蔽主機體系結構，即通過添加周邊網(wǎng)絡更進一步地把內部網(wǎng)絡與internet隔離開。在這種結構下，即使攻破了堡壘主機，也不能直接侵人內部網(wǎng)絡，它將仍然必須通過內部路由器。

3.2運行管理體系

    安全行政管理。電子政務的安全行政管理應包括建立安全組織機構、安全人事管理、制定和落實安全制度。

    安全技術管理。電子政務的安全技術管理可以從三個方面著手:硬件實體、軟件系統(tǒng)、密鑰。

    風險管理。風險管理是對項目風險的識別、分析和應對過程。它包括對正面事件效果的最大化及對負面事件影響的最小化。

3.3社會服務體系

    安全管理服務。目前，一些信息安全管理服務提供商(managed  security service providers, mssp)正在逐步形成，它們有的是專門從事安全管理服務達到增值目的的，有的是一些軟件廠商為彌補其軟件系統(tǒng)的不足而附加一些服務的，有的是一些從it集成或咨詢商發(fā)展而來提供信息安全咨詢的。

    安全測評服務。測評認證的實質是由一個中立的權威機構，通過科學、規(guī)范、公正的測試和評估向消費者、購買者即需方，證實生產(chǎn)者或供方所提供的產(chǎn)品和服務，符合公開、客觀和先進的標準。

    應急響應服務。應急響應是計算機或網(wǎng)絡系統(tǒng)遇到安全事件如黑客人侵、網(wǎng)絡惡意攻擊、病毒感染和破壞等時，所能夠提供的緊急的響應和快速的救援與恢復服務。

3.4基礎設施平臺

    法規(guī)基礎建設。主要有以下幾方面:在國家憲法和各部門法中對各類法律主體的有關信息活動涉及國家安全的權利和義務進行規(guī)范，形成國家關于信息及信息安全的總則性、普適性的法規(guī)體系;針對各類計算機和網(wǎng)絡犯罪，制訂直接約束各社會成員的信息活動的行為規(guī)范，形成計算機、網(wǎng)絡犯罪監(jiān)察嶼防范體系;對信息安全技術、信息安全產(chǎn)品(系統(tǒng))的授權審批應制訂相應的規(guī)定，形成信息安全審批與監(jiān)控體系;針對信息內容的安全與保密問題，制訂相應規(guī)定，形成信息內容的審批、監(jiān)控、保密體系;從國家安全的角度，制訂網(wǎng)絡信息預警與反擊體系等。

第7篇：信息安全服務體系范文

關鍵詞：安全保障；民航；空管信息系統(tǒng)

0 前言

隨著社會不斷進步，我國已經(jīng)處于較為高速的發(fā)展階段，信息化進程不斷加深，滲透到人們生活的各個領域。于是，信息安全問題成為困擾人們的主要問題，對人們順利進行信息傳遞具有重要的意義。民航在發(fā)展的過程中，對信息技術的依賴逐漸增強，各種導航、氣象以及檢測等都需要信息技術作為支撐，必須按照國家的規(guī)定，加強空管信息系統(tǒng)的建設，使得各項活動能夠在安全的環(huán)境下順利進行。

1 民航空管信息系統(tǒng)安全體系安全現(xiàn)狀

近幾年，信息化技術在民航空管系統(tǒng)中的應用逐漸加深，用戶和系統(tǒng)規(guī)模不斷擴大。新形勢下，針對空管系統(tǒng)的安全要求更加嚴格，利用電子信息技術以及網(wǎng)絡技術針對空管信息系統(tǒng)加強建設，是信息安全的必然要求。當前，一些民航已經(jīng)開展了信息管理系統(tǒng)的建設，但是在信息傳輸?shù)倪^程中仍然存在較多不足?；A設施建設的不足，安全技術方面較為薄弱，信息孤島效應較為顯著，無法對民航的信息安全管理以及監(jiān)控等工作提供良好的保障[1]。

空管技術較為繁復，在對其進行應用的過程中，必須具備較高的技術素養(yǎng)。其實，如果空管信息系統(tǒng)如果遭受安全事件，其造成的負面影響較大。正因如此，北京奧運會召開階段，各個方面對此非常重視。長久以來，負責導航和氣象觀測等環(huán)節(jié)都是獨立進行，在其發(fā)揮作用的過程中，彼此互不干涉，以此防范信息風險，也導致了信息安全管理存在缺陷的狀況，但是這種信息風險防范方式已經(jīng)不能適應民航信息安全的現(xiàn)實需求，必須尋找新的模式對其進行替換[2]。

2 民航空管信息系統(tǒng)安全體系設計原則

（1）借鑒性

當前，我國的民航部門在空管信息系統(tǒng)方面的技術較為落后，與國外發(fā)達國家之間存在較大差距，面對這種情況，我國可以考慮引進國外先進的技術，借鑒其中的關鍵設計理念。但是，在借鑒的過程中，應該針對現(xiàn)實情況進行考量，結合我國當期的實際情況，與我國民航空管系統(tǒng)的現(xiàn)狀相結合，設計出符合我國發(fā)展特點的空管信息系統(tǒng)，使其具備較高的安全性[3]。

（2）創(chuàng)新性

電子信息領域的更新速度較快，各種信息技術的發(fā)展使得計算機技術的更新較為頻繁。同時，民航空管系統(tǒng)也面臨諸多新的情況，需要處理的事務越來越多，在較短時間內已經(jīng)發(fā)生較大變化。為了適應這些方面的變化，必須在進行設計的過程中，針對各種變化信息進行搜集，以創(chuàng)新的理念指導整個設計過程。

（3）可靠性

空管信息系統(tǒng)的使用對象是飛行部門，對其存在的安全隱患進行排除，對于保障飛機飛行安全具有重要的現(xiàn)實意義。在這種情況下，必須確保設計質量能夠符合現(xiàn)實要求，整個系統(tǒng)的性能指標必須控制在較高的范圍內，確保系統(tǒng)能夠應用的過程中表現(xiàn)出較佳的性能?；诖?，針對系統(tǒng)的規(guī)格以及選材、工藝等方面都要具備較強的安全性能，確保系統(tǒng)運行的可靠性以及操作的穩(wěn)定性。

3 民航空管信息系統(tǒng)安全體系整體架構設計

在參考信息安全文獻、按照我國規(guī)定的安全標準、民航現(xiàn)實情況進行詳細考察的基礎上，利用現(xiàn)有技術，引進外國先進技術，借鑒外國先進理念，針對民航空管信息系統(tǒng)進行設計。

建立信息安全管理平臺，假設信息風險防范體系，使得信息能夠依托物理環(huán)境、系統(tǒng)、數(shù)據(jù)庫等組成部分實現(xiàn)信息的安全管理。對系統(tǒng)服務器中的重要數(shù)據(jù)信息進行保護。在安全管理方面，必須明確安全組織的功能，使其能夠在運作的過程中發(fā)揮現(xiàn)實作用。建立安全監(jiān)督小組，負責對系統(tǒng)信息網(wǎng)絡的安全狀況進行監(jiān)督，搜集各種安全隱患信息，確保整個系統(tǒng)能夠在較為可靠的環(huán)境下運行安全；民航信息監(jiān)控以及技術設施建設屬于技術方面的支撐因素，對于信息安全起到較為良好的保障作用，其中，監(jiān)控系統(tǒng)應該設計網(wǎng)絡安全體系，比如路由器管理等，軟件層面的安全防護，如防火墻等；還應該建立服務體系，對于針對安全方面的信息進行提供，針對系統(tǒng)的運作狀況進行檢查，對民航單位的信息安全狀況進行調查，搜集安全方面的信息，并對其進行分析，確保整個空管信息系統(tǒng)的安全隱患被及時發(fā)現(xiàn)，同時還應該針對工作人員進行定期培訓，宣傳講解信息安全知識。

4 總結

社會的發(fā)展使得信息安全成為人們重視的話題，民航空管信息信息系統(tǒng)的安全對我國的民航事業(yè)發(fā)展具有重要的現(xiàn)實意義。由于當前民航系統(tǒng)的信息傳遞方式較為封閉，已經(jīng)不能適應時展的需求。尋求新的信息風險防范模式，改變民航信息安全管理現(xiàn)狀，能夠為我國的信息安全事業(yè)起到重要的推動作用。

參考文獻：

[1]徐超.網(wǎng)御神州立體護航"金安"工程[J].通信世界.2010（31）：142-143.

第8篇：信息安全服務體系范文

【 關鍵詞 】 物聯(lián)網(wǎng)；信息安全；檢測體系

1 引言

隨著國家信息網(wǎng)絡基礎設施基本完成，信息化應用全面展開，物聯(lián)網(wǎng)廣泛應用于公共事業(yè)/服務、交通運輸、個人用戶、批發(fā)零售、工業(yè)、制造業(yè)、商業(yè)、服務業(yè)、農(nóng)業(yè)、建筑業(yè)、金融業(yè)等。目前來看，物聯(lián)網(wǎng)雖然給人們帶來便利，但物聯(lián)網(wǎng)在信息安全方面還存在一定的局限性。一是存在信號受到干擾的可能。如果安置在物品上的傳感設備信號受到惡意干擾，很容易造成重要物品損失以及重要信息被篡改、丟失的隱患。二是惡意入侵的隱患。如果病毒、黑客、惡意軟件繞過了相關安全技術的防范，對物聯(lián)網(wǎng)的授權管理進行惡意操作，掌控他人的物品，就會造成對用戶隱私權的侵犯。如果爆炸物、槍支等危險物品被其它人掌控，后果會十分嚴重。因此，物聯(lián)網(wǎng)安全問題如果得不到有效解決，將嚴重阻礙物聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展。由于物聯(lián)網(wǎng)感知節(jié)點和傳輸設備具有能量低、計算能力差、運行環(huán)境惡劣、通信協(xié)議龐雜等特點，使得傳統(tǒng)安全技術無法直接應用于物聯(lián)網(wǎng)，由此引發(fā)物聯(lián)網(wǎng)特有的安全問題，而物聯(lián)網(wǎng)安全技術和安全狀況缺乏有效的檢測和評價手段。

我國政策環(huán)境較好，物聯(lián)網(wǎng)已成為國家發(fā)展戰(zhàn)略，初步明確了未來發(fā)展方向和重點領域。國家高度重視物聯(lián)網(wǎng)安全建設。2013年初，國務院了《關于推進物聯(lián)網(wǎng)有序健康發(fā)展的指導意見》（國發(fā)[2013]7號）中明確提出以工業(yè)和信息化部、發(fā)展改革委、公安部牽頭承擔物聯(lián)網(wǎng)安全保障專項行動計劃：提高物聯(lián)網(wǎng)信息安全管理與數(shù)據(jù)保護水平，建立健全監(jiān)督、檢查和安全評估機制。加強物聯(lián)網(wǎng)重要應用和系統(tǒng)的安全測評、風險評估和安全防護工作。加快物聯(lián)網(wǎng)相關標準、檢測、認證等公共服務建設，完善支撐服務體系，有效保障物聯(lián)網(wǎng)信息采集、傳輸、處理、應用等各環(huán)節(jié)的安全可控。

2 物聯(lián)網(wǎng)一體化安全檢測體系

各類物聯(lián)網(wǎng)示范工程進行大規(guī)模應用之前，應充分考慮和評測其安全性，從源頭保證物聯(lián)網(wǎng)安全措施有效性、功能符合性、安全管理的全面性以及給出安全防護評估。在建設實施階段，將所有的安全功能模塊（產(chǎn)品）集成為一個完整的系統(tǒng)后，需要檢查集成出的系統(tǒng)是否符合要求，測試并評估安全措施在整個系統(tǒng)中實施的有效性，跟蹤安全保障機制并發(fā)現(xiàn)漏洞，完成系統(tǒng)的運行程序和全生命期安的安全風險評估報告。在運行維護階段，要定期進行安全性檢測和風險評估以保證系統(tǒng)的安全水平在運行期間不會下降，包括檢查產(chǎn)品的升級和系統(tǒng)打補丁情況，檢測系統(tǒng)的安全性能，檢測新安全攻擊、新威脅以及其它與安全風險有關的因素，評估系統(tǒng)改動對安全系統(tǒng)造成的影響。

物聯(lián)網(wǎng)關鍵安全問題：一是感知設備安全；二是物聯(lián)網(wǎng)系統(tǒng)安全和風險評估，重點是接入問題；三是業(yè)務應用安全。目前，各行業(yè)均提出了相應的安全防護體系，如智能電網(wǎng)系統(tǒng)、工業(yè)控制系統(tǒng)等。本文依據(jù)相關的安全防護體系提出物聯(lián)網(wǎng)一體化安全檢測體系，即“一中心、兩庫、五平臺”，如圖1所示。即開放式場景檢測支撐平臺、感知設備安全檢測服務平臺、物聯(lián)網(wǎng)系統(tǒng)安全檢測服務平臺、物聯(lián)網(wǎng)系統(tǒng)風險評估服務平臺、物聯(lián)網(wǎng)集成化安全管理檢查服務平臺、物聯(lián)網(wǎng)安全檢測標準及指標庫、物聯(lián)網(wǎng)信息安全漏洞與補丁庫以及一體化安全檢測管理中心。在此基礎上，結合物聯(lián)網(wǎng)具體業(yè)務需求，進行物聯(lián)網(wǎng)安全檢測方法、規(guī)范、指標體系、專業(yè)化檢測技術研究與積累。同時，形成一支服務于物聯(lián)網(wǎng)安全檢測的多層次、復合型、專業(yè)化人才隊伍，全面保障物聯(lián)網(wǎng)系統(tǒng)安全穩(wěn)定運行。

3 “五平臺”

“五平臺”提供檢測、檢查和評估三類專業(yè)化服務，其中物聯(lián)網(wǎng)集成化安全管理檢查服務平臺可作為獨立平臺對外提供檢查服務；開放式場景檢測支撐平臺為感知設備安全檢測服務平臺與物聯(lián)網(wǎng)系統(tǒng)安全檢測服務平臺提供安全符合性檢測環(huán)境，此三個平臺提供技術檢測服務；物聯(lián)網(wǎng)系統(tǒng)風險評估服務平臺在前述四個平臺基礎上，關聯(lián)外在威脅，分析自身脆弱性，提供風險評估服務。“五平臺”結構關系如圖2所示，“五平臺”既可獨立提供檢測服務，也可互為補充，為用戶提供定制化的檢測服務，形成開放式檢測服務體系架構。

3.1 開放式場景檢測支撐平臺

開放式場景檢測支撐平臺實現(xiàn)物聯(lián)網(wǎng)感知設備、接入系統(tǒng)、業(yè)務應用三層檢測環(huán)境，如圖3所示。通過多部件的靈活組建，實現(xiàn)其感、傳、知、用的安全功能檢測，靈活支持用戶個性化的檢測需求。

3.2 感知設備安全檢測服務平臺

感知設備安全檢測服務平臺實現(xiàn)一個通用的感知設備安全檢測系統(tǒng)，由開放式場景檢測支撐平臺為被測設備提供運行檢測環(huán)境，其從感知操作安全、感知數(shù)據(jù)處理安全、感知數(shù)據(jù)存儲安全和感知節(jié)點設備安全、感知節(jié)點通信安全等五方面檢測安全功能和性能，其檢測框架如圖4所示。

3.3 物聯(lián)網(wǎng)系統(tǒng)安全檢測服務平臺

物聯(lián)網(wǎng)系統(tǒng)安全檢測服務平臺以系統(tǒng)、整體的視角對智能感知層訪問控制、身份認證等策略配置進行符合性測試；對接入傳輸層的AKA機制的一致性或兼容性、跨域認證和跨網(wǎng)絡認證等進行檢測；對業(yè)務應用層數(shù)據(jù)庫安全、應用系統(tǒng)和網(wǎng)站安全、應用系統(tǒng)穩(wěn)定性、業(yè)務連續(xù)性等進行符合性和有效性檢測。檢測框架如圖5所示。

3.4 物聯(lián)網(wǎng)系統(tǒng)風險評估服務平臺

物聯(lián)網(wǎng)系統(tǒng)風險評估服務平臺對可能遭受到的威脅和自身脆弱性進行安全分析，然后根據(jù)安全事件的可能性以及安全事件造成的損失計算出風險值、對安全事件進行風險等級定級，最后結合安全事件所涉及的資產(chǎn)價值來判斷安全事件一旦發(fā)生對物聯(lián)網(wǎng)系統(tǒng)造成的影響。風險評估框架如圖6所示。

3.5 集成化安全管理檢查服務平臺

集成化安全管理檢查服務基于物聯(lián)網(wǎng)多類型終端、多網(wǎng)融合、海量數(shù)據(jù)處理和全面感知等特點。從防范阻止、檢測發(fā)現(xiàn)、應急處置、審計追查和集中管控五個方面，對物聯(lián)網(wǎng)系統(tǒng)智能感知層、接入傳輸層和業(yè)務應用層的安全管理情況進行檢查，其安全管理檢查框架如圖7所示。

4 “兩庫”

4.1 標準及指標庫

基礎庫“標準及指標庫”通過構建物聯(lián)網(wǎng)安全檢測標準子庫與指標子庫為“五平臺”提供支撐。標準子庫建設來源：一是從物聯(lián)網(wǎng)國際標準組織IEEE、ISO、ETSI、ITU-T、3GPP、3GPP2了解國際最新標準，研究制訂適合國情的物聯(lián)網(wǎng)標準；二是從國內標準組織：WGSN、CCSA和RFID標準工作組獲取最新標準；三是隨著業(yè)務開展，編制了物聯(lián)網(wǎng)安全標準。物聯(lián)網(wǎng)一體化安全檢測標準體系框架，按照標準服務性質的區(qū)分，分為物聯(lián)網(wǎng)產(chǎn)品安全檢測標準、物聯(lián)網(wǎng)系統(tǒng)安全檢測標準、物聯(lián)網(wǎng)風險評估標準以及集成化安全管理檢查標準。其框架如圖8所示。

指標庫為各種類型的被測設備和系統(tǒng)提供相應的檢測指標項目，同時支持用戶自定義新的檢測指標。指標庫依據(jù)各服務平臺檢測內容劃分四類，即物聯(lián)網(wǎng)產(chǎn)品檢測指標、物聯(lián)網(wǎng)系統(tǒng)安全檢測指標、物聯(lián)網(wǎng)風險評估指標以及集成化管理檢查指標。其涵蓋功能檢測、性能檢測、抗毀性檢測、符合性檢測、有效性檢測和可用性檢測等指標。

4.2 漏洞與補丁庫

漏洞與補丁庫采用云存儲方式，包括海量數(shù)據(jù)融合漏洞，TinyOS操作系統(tǒng)漏洞，異構網(wǎng)絡認證協(xié)議漏洞，感知信息傳輸協(xié)議漏洞等。 漏洞與補丁庫一方面為產(chǎn)品、系統(tǒng)檢測，風險評估、安全檢查提供支撐服務，另一方面對外提供咨詢服務，網(wǎng)上漏洞信息，定制客戶漏洞處理方案，提供漏洞補丁和專用殺毒工具下載等。

5 “一中心”

一體化安全檢測管理中心完成上述“二庫、五平臺”的互聯(lián)互通和信息共享，實現(xiàn)檢測項目統(tǒng)一管理，檢測數(shù)據(jù)統(tǒng)一匯總，檢測結果統(tǒng)一判定，形成感知設備檢測報告、物聯(lián)網(wǎng)系統(tǒng)檢測報告、物聯(lián)網(wǎng)系統(tǒng)風險評估報告以及集成化安全管理檢查報告等。

一體化安全檢測管理中心由項目管理、場景管理、感知設備檢測、系統(tǒng)檢測、風險評估、集成化安全管理檢查、工具集、基礎庫管理八個核心模塊組成，整個平臺由項目庫、標準及指標庫、方法庫、漏洞與補丁庫四個數(shù)據(jù)庫支撐，管理中心框架設計如圖9所示。

6 技術特點

（1）提供開放式檢測環(huán)境

物聯(lián)網(wǎng)應用的廣泛性和復雜性，僅依賴單一場景無法滿足客戶的多層次需求，通過開放式檢測環(huán)境，可實現(xiàn)感知設備、接入方式、業(yè)務應用的檢測環(huán)境，使得檢測手段更豐富、更精準。

（2）提供多類型、多元化的檢測

一體化安全檢測體系通過感知設備檢測、系統(tǒng)檢測、風險評估、管理檢查的一體化檢測服務，提品檢測和系統(tǒng)檢測、實驗室檢測和現(xiàn)場檢測服務，滿足物聯(lián)網(wǎng)復雜多變的檢測需求，使得安全檢測更全面性，幫助客戶準確評估物聯(lián)網(wǎng)安全性。

（3）提供技術與管理全方位檢測

物聯(lián)網(wǎng)安全包含技術與管理兩方面，技術與管理并重，本體系通過“五平臺”實現(xiàn)產(chǎn)品、系統(tǒng)技術類檢測/風險評估與安全管理檢查，全方位、整體評估物聯(lián)網(wǎng)安全性。

（4）提供技術符合性和關聯(lián)外在風險評估相支撐的檢測

物聯(lián)網(wǎng)安全問題是動態(tài)發(fā)展的，在安全技術符合性檢測的基礎上，提供適用于動態(tài)評估物聯(lián)網(wǎng)工程的風險評估服務。風險評估旨在通過關聯(lián)外在風險，結合自身脆弱性評估系統(tǒng)和工程的安全性，與技術符合性檢測相支撐。

（5）提供一體化服務模式

提供一個靈活、規(guī)范的信息組織管理平臺和全網(wǎng)范圍的網(wǎng)絡協(xié)作環(huán)境，實現(xiàn)集成的信息采集、內容管理、信息搜索，能夠直接組織各類共享信息和內部業(yè)務基礎信息，實現(xiàn)信息整合應用，同時也提供管理中心支撐下的統(tǒng)一項目管理、統(tǒng)一數(shù)據(jù)匯總、統(tǒng)一結果判定的一體化服務系統(tǒng)。

7 結束語

目前，我國政策環(huán)境好，物聯(lián)網(wǎng)已成為國家發(fā)展戰(zhàn)略，初步明確了未來發(fā)展方向和重點領域，但產(chǎn)業(yè)和行業(yè)標準正在建立，是機遇也是挑戰(zhàn)。經(jīng)濟環(huán)境上，中國企業(yè)正在隨著國家的快速發(fā)展，持續(xù)提升競爭力和國際影響力，對物聯(lián)網(wǎng)安全性的需求逐步增強，企業(yè)對物聯(lián)網(wǎng)安全問題的認知提高，經(jīng)濟支付能力也在增強。通過對各行業(yè)物聯(lián)網(wǎng)建設方面的調查發(fā)現(xiàn)，當前已有的物聯(lián)網(wǎng)應用對其安全性的檢測和技術支持需求十分迫切，物聯(lián)網(wǎng)安全檢測產(chǎn)業(yè)市場前景樂觀。

上述“一中心、二庫、五平臺”形成專業(yè)的平臺，加上精專的人才、全面的服務內容和敏捷的反應，構建物聯(lián)網(wǎng)一體化安全檢測專業(yè)化服務體系架構。從而提升價值、方便客戶、節(jié)約成本、提高效率，滿足物聯(lián)網(wǎng)安全檢測集成化、規(guī)?；男枨?。

參考文獻

[1] T Grobler， Prof B Louwrens. New Information Security Architecture[J]. 2005， University of Johannesburg.

[2] 范紅， 邵華等. 物聯(lián)網(wǎng)安全技術體系研究[J].第26次全國計算機安全學術交流會，2011（09），5-8.

[3] 譚建平， 柔衛(wèi)國等. 基于物聯(lián)網(wǎng)的一體化安全防范技術體系研究[J].湖南理工學院學報， 2011，第24卷 第4期 46-51.

[4] Jackie Rees， Subhajyoti Bandyopadhyay etc. a policy framework for information security. Communication of the ACM， Volume 46 Issue7， 2003， P101-106.

[5] 郎為民，楊德鵬，李虎生.智能電網(wǎng)WCSN安全體系架構研究[J].信息網(wǎng)絡安全，2012，（04）：19-22.

[6] 余勇，林為民.工業(yè)控制SCADA系統(tǒng)的信息安全防護體系研究[J].信息網(wǎng)絡安全，2012，（05）：74-77.

基金項目：

國家863高技術研究發(fā)展計劃資助項目（2009AA01Z437）和國家863高技術研究發(fā)展計劃資助項目（2009AA01Z439）。

第9篇：信息安全服務體系范文

 

1現(xiàn)狀與問題

 

1.信息安全現(xiàn)狀

 

隨著信息化建設的推進，我校信息化建設初具規(guī)模，軟硬件設備配備完成，運行保障的基礎技術手段基本具備。網(wǎng)絡中心技術力量雄厚，承擔網(wǎng)絡系統(tǒng)管理和應用支持的專業(yè)技術人員達20余人;針對重要應用系統(tǒng)采用了防火墻、IPS/IDS、防病毒等常規(guī)安全防護手段，保障了核心業(yè)務系統(tǒng)在一般情況下的正常運行，具備了基本的安全防護能力|6];日常運行管理規(guī)范，按照信息基礎設施運行操作流程和管理對象的不同，確定了網(wǎng)絡系統(tǒng)運行保障管理的角色和崗位，初步建立了問題處理的應急響應機制。由網(wǎng)絡中心進行日常管理的主要有六大業(yè)務應用系統(tǒng)，即網(wǎng)絡通信平臺、認證計費系統(tǒng)、校園一卡通、電子校務系統(tǒng)、網(wǎng)站群、郵件系統(tǒng)。

 

網(wǎng)絡通信平臺是大學各大業(yè)務平臺的基礎核心，是整個校園網(wǎng)的基礎，其他應用系統(tǒng)都運行在高校的基礎網(wǎng)絡環(huán)境上;認證計費系統(tǒng)是針對用戶接入校園網(wǎng)和互聯(lián)網(wǎng)的一種接入認證計費的管理方式;校園一卡通系統(tǒng)建設在物理專網(wǎng)上，主要實現(xiàn)學生校園卡消費管理，校園卡與大學網(wǎng)絡有3個物理接口;電子校務系統(tǒng)是大學最重要的業(yè)務應用系統(tǒng)，系統(tǒng)中存儲著重要的教務工作數(shù)據(jù)、學生考試信息、財務數(shù)據(jù)等重要數(shù)據(jù)信息;大學主頁網(wǎng)站系統(tǒng)為大學校園的互聯(lián)網(wǎng)窗口起到學校對外介紹宣傳的功能;郵件系統(tǒng)主要為大學教師與學生提供郵件收發(fā)服務，目前郵件系統(tǒng)注冊用1.2面臨的主要問題

 

通過等級保護差距分析和風險評估，目前大學所面臨的信息安全風險和主要問題如下：

 

(1)高校領域沒有總體安全標準指引，方向不明確，缺少主線。

 

(2)對國際國內信息安全法律法規(guī)缺乏深刻意識和認識。

 

(3)信息安全機構不完善，缺乏總體安全方針與策略，職責不夠明確。

 

(4)教職員工和學生數(shù)量龐大，管理復雜，人員安全意識相對薄弱，日常安全問題多。

 

()建設投資和投入有限，運維和管理人員的信息安全專業(yè)能力有待提高。

 

(6)內部管理相對松散，缺乏安全監(jiān)管及檢查機制，無法有效整體管控。

 

(7)缺乏信息安全總體規(guī)劃，難以全面提升管理

 

(8)缺乏監(jiān)控、預警、響應、恢復的集中運行管理手段，無法提高安全運維能力。

 

2建設思路

 

2.1建設原則和工作路線

 

學校信息安全建設的總體原則是:總體規(guī)劃、適度防護，分級分域、強化控制，保障核心、提升管理，支撐應用、規(guī)范運維。

 

依據(jù)這一總體原則，我們的信息安全體系建設工作以風險評估為起點，以安全體系為核心，通過對安全工作生命周期的理解從風險評估、安全體系規(guī)劃著手，并以解決方案和策略設計落實安全體系的各個環(huán)節(jié)，在建設過程中逐步完善安全體系，以安全體系運行維護和管理的過程等全面滿足安全工作各個層面的安全需求，最終達到全面、持續(xù)、突出重點的安全保障。

 

2.2體系框架

 

信息安全體系框架依據(jù)《信息安全技術信息系統(tǒng)安全等級保護基本要求》GBT22239-2008、《信息系統(tǒng)等級保護安全建設技術方案設計要求》(征求意見稿)，并吸納了IATF模型[7]中“深度防護戰(zhàn)略，，理論，強調安全策略、安全技術、安全組織和安全運行4個核心原則，重點關注計算環(huán)境、區(qū)域邊界、通信網(wǎng)絡等多個層次的安全防護，構建信息系統(tǒng)的安全技術體系和安全管理體系，并通過安全運維服務和itsm[8]集中運維管理(基于IT服務管理標準的最佳實踐)，形成了集風險評估、安全加固、安全巡檢、統(tǒng)一監(jiān)控、提前預警、應急響應、系統(tǒng)恢復、安全審計和違規(guī)取證于一體的安全運維體系架構(見圖2)，從而實現(xiàn)并覆蓋了等級保護基本要求中對網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全和管理安全的防護要求，以滿足信息系統(tǒng)全方位的安全保護需求。

 

(1)安全策略：明確信息安全工作目的、信息安全建設目標、信息安全管理目標等，是信息安全各個方面所應遵守的原則方法和指導性策略。

 

(2)安全組織：是信息安全體系框架中最重要的

 

各級組織間的工作職責，覆蓋安全管理制度、安全管理機構和人員安全管理3個部分。

 

(3)安全運行：是信息安全體系框架中最重要的安全管理策略之一，是維持信息系統(tǒng)持續(xù)運行的保障制度和規(guī)范。主要集中在規(guī)范信息系統(tǒng)應用過程和人員的操作執(zhí)行，該部分以國家等級保護制度為依據(jù)，覆蓋系統(tǒng)建設管理、系統(tǒng)運維管理2個部分。

 

(4)安全技術:是從技術角度出發(fā)，落實學校組織機構的總體安全策略及管理的具體技術措施的實現(xiàn)，是對各個防護對象進行有效地技術措施保護。安全技術注重信息系統(tǒng)執(zhí)行的安全控制，針對未授權的訪問或誤用提供自動保護，發(fā)現(xiàn)違背安全策略的行為，并滿足應用程序和數(shù)據(jù)的安全需求。安全技術包含通信網(wǎng)絡、計算環(huán)境、區(qū)域邊界和提供整體安全支撐的安全支撐平臺。該部分以國家等級保護制度為依據(jù)，覆蓋物理層、網(wǎng)絡層、主機層、應用層和數(shù)據(jù)層5個部分。

 

()安全運維:安全運維服務體系架構共分兩層，實現(xiàn)人員、技術、流程三者的完美整合，通過基于ITIL[9]的運維管理方法，保障基礎設施和生產(chǎn)環(huán)境的正常運轉，提升業(yè)務的可持續(xù)性，從而也體現(xiàn)了安全運3重點建設工作

 

3.1安全滲透測試

 

2009年4月，學校對38個網(wǎng)站、2個關鍵系統(tǒng)和6臺主機系統(tǒng)進行遠程滲透測評。通過測評，全面、完整地了解了當前系統(tǒng)的安全狀況，發(fā)現(xiàn)了20個高危漏洞，并針對高危漏洞分析了系統(tǒng)所面臨的各種風險，根據(jù)測評結果發(fā)現(xiàn)被測系統(tǒng)存在的安全隱患。滲透測試主要任務包括:收集網(wǎng)站信息、網(wǎng)站威脅分析、脆弱性分析和滲透入侵測評、提升權限測評、獲取代碼、滲透測評報告。

 

3.2風險評估和安全加固

 

2009年5月，依據(jù)安全滲透測試結果，對大學的六大信息系統(tǒng)進行了安全測評。根據(jù)評估結果得出系統(tǒng)存在的安全問題，并對嚴重的問題提出相應的風險控制策略。主要工作任務包括:系統(tǒng)調研、方案編寫、現(xiàn)場檢測、資產(chǎn)分析、威脅分析、脆弱性分析和風險分析。通過風險評估最終得出了威脅的數(shù)量和等級，表1、表2為威脅的數(shù)量和等級統(tǒng)計。2009年6月和9月，基于風險評估結果，對涉及到的網(wǎng)絡設備(4臺)和主機設備(14臺)進行了安全加固工作。

 

3.3安全體系規(guī)劃

 

根據(jù)前期對全校的網(wǎng)絡、重要信息系統(tǒng)及管理層面的全面評估和了解整理出符合大學實際的安全需求，并結合實際業(yè)務要求，對學校整體信息系統(tǒng)的安全工作進行規(guī)劃和設計，并通過未來3年的逐步安全建設，滿足學校的信息安全目標及國家相關政策和標準學校依據(jù)國際國內規(guī)范及標準，參考業(yè)界的最佳實踐ISMS[10](信息安全管理體系)，結合我校目前的實際情況，制定了一套完整、科學、實際的信息安全管理體系，制定并描述了網(wǎng)絡與信息安全管理必須遵守的基本原則和要求。

 

通過信息安全管理體系的建立，使學校的組織結構布局更加合理，人員安全意識也明顯提高，從而保證了網(wǎng)絡暢通和業(yè)務正常運行，提高了IT服務質量。通過制度、流程、標準及規(guī)范，加強了日常安全工作執(zhí)行能力，提高了信息安全保障水平。

 

4未來展望和下一步工作

 

4.1安全防護體系

 

根據(jù)網(wǎng)絡與信息系統(tǒng)各節(jié)點的網(wǎng)絡結構、具體的應用以及安全等級的需求，可以考慮使用邏輯隔離技術(VLAN或防火墻技術)將整個學校的網(wǎng)絡系統(tǒng)劃分為3個層次的安全域：第一層次安全域包括整個學校網(wǎng)絡信息系統(tǒng);第二層次安全域將各應用系統(tǒng)從邏輯上和物理上分別劃分;第三層次安全域主要是各應用系統(tǒng)內部根據(jù)應用人群的終端分布、部門等劃分子網(wǎng)或子系統(tǒng)。

 

公鑰基礎設施包括：CA安全區(qū)：主要承載CAServer、主從LDAP、數(shù)據(jù)庫、加密機、OCSP等;KMC管理區(qū):主要承載KMCServer、加密機等;RA注冊區(qū):主要承載各院所的RA注冊服務器，為各院所的師生管理提供數(shù)字證書注冊服務。

 

應用安全支撐平臺為各信息系統(tǒng)提供應用支撐服務、安全支撐服務以及安全管理策略，使得信息系統(tǒng)建立在一個穩(wěn)定和高效的應用框架上，封裝復雜的業(yè)務支撐服務、基礎安全服務、管理服務，并平滑支持業(yè)務系統(tǒng)的擴展。主要包括:統(tǒng)一身份管理、統(tǒng)一身份認證、統(tǒng)一訪問授權、統(tǒng)一審計管理、數(shù)據(jù)安全引擎、單點登錄等功能。

 

4.2安全運維體系

 

ITSM集中運維管理解決方案面對學校日益復雜的IT環(huán)境，整合以往對各類設備、服務器、終端和業(yè)務系統(tǒng)等的分割管理，實現(xiàn)了對IT系統(tǒng)的集中、統(tǒng)一、全面的監(jiān)控與管理;系統(tǒng)通過融入ITIL等運維管理理念，達到了技術、功能、服務三方面的完全整合，實現(xiàn)了IT服務支持過程的標準化、流程化、規(guī)范化，極大地提高了故障應急處理能力，提升了信息部門的管理效率和服務水平。

 

根據(jù)終端安全的需求，系統(tǒng)應建設一套完整的技術平臺，以實現(xiàn)由管理員根據(jù)管理制度來制定各種詳盡的安全管理策略，對網(wǎng)內所有終端計算機上的軟硬件資源、以及計算機上的操作行為進行有效管理。實現(xiàn)將以網(wǎng)絡為中心的分散管理變?yōu)橐杂脩魹橹行募胁呗怨芾?對終端用戶安全接入策略統(tǒng)一管理、終端用戶安全策略的強制實施、終端用戶安全狀態(tài)的集中審計;對用戶事前身份和安全級別的認證、事中安全狀態(tài)定期安全檢測，內容包括定期的安全風險評估、安全加固、安全應急響應和安全巡檢。

 

4.3安全審計體系