序論：好文章的創(chuàng)作是一個不斷探索和完善的過程，我們?yōu)槟扑]十篇網(wǎng)絡(luò)信息安全總結(jié)范例，希望它們能助您一臂之力，提升您的閱讀品質(zhì)，帶來更深刻的閱讀感受。

篇（1）

為進一步加強全委網(wǎng)絡(luò)信息系統(tǒng)安全管理工作，我委成立了網(wǎng)絡(luò)和信息安全督查自查領(lǐng)導(dǎo)小組，由主任任組長，副主任任副組長，綜合股張俊為成員。做到分工明確,責(zé)任具體到人。制定了自查方案，嚴格按照自查目錄情況表進行了自查。

二、我委網(wǎng)絡(luò)安全現(xiàn)狀

1、網(wǎng)絡(luò)安全方面。我委配備了防病毒軟件，采用了強口令密碼、數(shù)據(jù)庫存儲備份、移動存儲設(shè)備管理、數(shù)據(jù)加密等安全防護措施，明確了網(wǎng)絡(luò)安全責(zé)任，強化了網(wǎng)絡(luò)安全工作。

2、信息系統(tǒng)安全方面。實行領(lǐng)導(dǎo)審查簽字制度,凡上傳網(wǎng)站的信息，須經(jīng)有關(guān)領(lǐng)導(dǎo)審查簽字后方可上傳。

3、日常管理方面。切實抓好外網(wǎng)、網(wǎng)站和應(yīng)用軟件“五層管理”，確?！坝嬎銠C不上網(wǎng)，上網(wǎng)計算機不”，嚴格按照保密要求處理光盤、硬盤、U盤、移動硬盤等管理、維修和銷毀工作。

4、硬件設(shè)備情況。硬件設(shè)備使用合理，軟件設(shè)置規(guī)范，設(shè)備運行狀況良好。我委每臺終端機都安裝了防病毒軟件，系統(tǒng)相關(guān)設(shè)備的應(yīng)用一直采取規(guī)范化管理，硬件設(shè)備的使用符合國家相關(guān)產(chǎn)品質(zhì)量安全規(guī)定，單位硬件的運行環(huán)境符合要求，打印機配件、色帶架等基本使用設(shè)備原裝產(chǎn)品。

5、通訊設(shè)備運轉(zhuǎn)正常。我委網(wǎng)絡(luò)系統(tǒng)的組成結(jié)構(gòu)及其配置合理，并符合有關(guān)的安全規(guī)定；網(wǎng)絡(luò)使用的各種硬件設(shè)備、軟件和網(wǎng)絡(luò)接口也是通過安全檢驗、鑒定合格后才投入使用的，自安裝以來運轉(zhuǎn)基本正常。

6、嚴格管理、規(guī)范設(shè)備維護。我委對電腦及其設(shè)備實行“誰使用、誰管理、誰負責(zé)”的管理制度。在管理方面我們一是堅持“制度管人”。二是強化信息安全教育、提高員工計算機技能。同時在委開展網(wǎng)絡(luò)安全知識宣傳，使全體職工意識到計算機安全保護是“三防一?！惫ぷ鞯挠袡C組成部分，而且在新形勢下，計算機犯罪還將成為安全保衛(wèi)工作的重要內(nèi)容。

三、網(wǎng)絡(luò)安全存在的不足及整改措施

我們在自查過程中發(fā)現(xiàn)了一些管理方面存在的薄弱環(huán)節(jié)，今后還要在以下幾個方面進行改進：

1、對于線路不整齊、暴露的，立即對線路進行限期整改，并做好防鼠、防火安全工作。

篇（2）

一、網(wǎng)絡(luò)安全管理：我院的網(wǎng)絡(luò)分為互聯(lián)網(wǎng)和院內(nèi)局域網(wǎng)，兩網(wǎng)絡(luò)實現(xiàn)物理隔離，以確保兩網(wǎng)能夠獨立、安全、高效運行。

重點抓好“三大安全”排查。

1.硬件安全，包括防雷、防火、防盜和UPS電源連接等。醫(yī)院HIS服務(wù)器機房嚴格按照機房標(biāo)準(zhǔn)建設(shè)，工作人員堅持每天巡查，排除安全隱患。X光室、檢驗室都有UPS電源保護，可以保證短時間斷電情況下，設(shè)備運行正常，不至于因突然斷電致設(shè)備損壞。

2.網(wǎng)絡(luò)安全:包括網(wǎng)絡(luò)結(jié)構(gòu)、密碼管理、IP管理、互聯(lián)網(wǎng)行為管理等；網(wǎng)絡(luò)結(jié)構(gòu)包括網(wǎng)絡(luò)結(jié)構(gòu)合理，網(wǎng)絡(luò)連接的穩(wěn)定性，網(wǎng)絡(luò)設(shè)備（交換機、路由器、光纖收發(fā)器等）的穩(wěn)定性。HIS系統(tǒng)的操作員每人有自己的登錄名和密碼，并分配相應(yīng)的操作員權(quán)限，不得使用其他人的操作賬戶，賬戶施行“誰使用、誰管理、誰負責(zé)”的管理制度。疾病預(yù)防控制（含免疫規(guī)劃等）信息系統(tǒng)、婦幼健康信息系統(tǒng)都有專人負責(zé)操作，并簽訂安全承諾書?；ヂ?lián)網(wǎng)和院內(nèi)局域網(wǎng)均施行固定IP地址，由醫(yī)院統(tǒng)一分配、管理，不允許私自添加新IP。

二、數(shù)據(jù)庫安全管理：我院目前運行的數(shù)據(jù)庫為HIS數(shù)據(jù)庫，是醫(yī)院診療、劃價、收費、查詢、統(tǒng)計等各項業(yè)務(wù)能夠正常進行的基礎(chǔ)，為確保醫(yī)院各項業(yè)務(wù)正常、高效運行，數(shù)據(jù)庫安全管理是極為有必要的。

數(shù)據(jù)庫容災(zāi)備份是數(shù)據(jù)庫安全管理中極為重要的一部分，是數(shù)據(jù)庫有效、安全運行的最后保障，也是保障數(shù)據(jù)庫信息能夠長期保存的有效措施。我院采用的備份類型為完全備份，系統(tǒng)管理員手動將數(shù)據(jù)庫中數(shù)據(jù)備份到移動硬盤上。

三、軟件管理：目前我院在運行的軟件主要分為三類：HIS系統(tǒng)、常用辦公軟件和殺毒軟件。

篇（3）

Research Into the Information Security Status Quo at Home and Abroad

Lin Lin

（Information Security Department of the Patent Office Beijing 100088）

【 Abstract 】 Through this topic research on the present situation of domestic and foreign information security analysis， for the planning of the information security system in our country and set up to provide reference and help for our country to establish scientific and perfect， standardization of information security system provides some reference opinions.

【 Keywords 】 information security； planning； specification； perfect； information system

1 引言

在當(dāng)今全球一體化的環(huán)境中，信息的重要性被廣泛接受，信息系統(tǒng)在商業(yè)和政府組織中得到了真正的廣泛的應(yīng)用。許多組織對其信息系統(tǒng)不斷增長的依賴性，加上在信息系統(tǒng)上運作業(yè)務(wù)的風(fēng)險、收益和機會，使得信息安全管理成為信息化管理越來越關(guān)鍵的一部分。面對越來越嚴峻的安全形勢，世界各國高度重視信息安全保障。2015年已然過半，在安全行業(yè)，不同規(guī)模的攻擊者，無論是技術(shù)還是組織都在快速提升。相比之下美國信息安全保障體系建設(shè)比較完善，信息保障已成為美軍組織實施信息化作戰(zhàn)的指導(dǎo)思想。

國際上信息安全標(biāo)準(zhǔn)化工作興起于20世紀70年代中期，80年代有了較快的發(fā)展，90年代引起了世界各國的普遍關(guān)注。目前世界上有近300個國際和區(qū)域性組織制定標(biāo)準(zhǔn)或技術(shù)規(guī)則，與信息安全標(biāo)準(zhǔn)化有關(guān)的組織主要有幾個：ISO（國際標(biāo)準(zhǔn)化組織）、IEC（國際電工委員會）、ITU（國際電信聯(lián)盟）、IETF（Internet工程任務(wù)組）等。除了上述標(biāo)準(zhǔn)組織，世界各國的官方機構(gòu)和行業(yè)監(jiān)管機構(gòu)還有許多信息安全方面的標(biāo)準(zhǔn)、指引和建議的操作實踐。

2 國外IT新技術(shù)信息安全

隨著全球信息化浪潮的不斷推進，信息技術(shù)正在經(jīng)歷一場新的革命，使社會經(jīng)濟生活各方面都發(fā)生著日新月異的變化。虛擬化、云計算、物聯(lián)網(wǎng)、IPv6等新技術(shù)、新應(yīng)用和新模式的出現(xiàn)，對信息安全提出了新的要求，拓展了信息安全產(chǎn)業(yè)的發(fā)展空間。同時，新技術(shù)、新應(yīng)用和新模式在國外市場的全面開拓將加快國外信息安全技術(shù)創(chuàng)新速度，催生云安全等新的信息安全應(yīng)用領(lǐng)域，為國外企業(yè)與國際同步發(fā)展提供了契機。

2.1 云計算

“云安全”是繼“云計算”、“云存儲”之后出現(xiàn)的“云”技術(shù)的重要應(yīng)用，已經(jīng)在反病毒軟件中取得了廣泛的應(yīng)用，發(fā)揮了良好的效果。在病毒與反病毒軟件的技術(shù)競爭當(dāng)中為反病毒軟件奪得了先機。云安全聯(lián)盟CSA是在2009年的RSA大會上宣布成立的，云安全聯(lián)盟成立的目的是為了在云計算環(huán)境下提供最佳的安全方案。同時云安全聯(lián)盟列出了云計算的七大安全風(fēng)險：（1）數(shù)據(jù)丟失/泄漏；（2）共享技術(shù)漏洞；（3）內(nèi)部控制；（4）賬戶、服務(wù)和通信劫持；（5）不安全的應(yīng)用程序接口；（6）沒有正確運用云計算；（7）透明度問題。

2.2 虛擬化

咨詢公司Gartner將虛擬化技術(shù)列為2013年十大戰(zhàn)略技術(shù)第一位，而在2014年初預(yù)測中，更是大膽斷言到2015年20%的企業(yè)將不再擁有IT資產(chǎn)，因為多個內(nèi)在關(guān)聯(lián)的趨勢正在推動企業(yè)去逐步減少IT硬件資產(chǎn)，這些趨勢主要是虛擬化、云計算服務(wù)等。而虛擬化技術(shù)，作為云計算的一個支撐技術(shù)，必將成為未來最重要的最值得研究的IT技術(shù)之一。雖然目前針對各組件安全的保護措施不少，但是從CVE的公告中可以看出安全威脅仍然存在。目前針對虛擬化環(huán)境的主要威脅有三類：逃逸威脅、流量分析與隱蔽信道以及Host OS與Guest OS之間的共享問題。

2.3 物聯(lián)網(wǎng)

物聯(lián)網(wǎng)和互聯(lián)網(wǎng)一樣，都是一把“雙刃劍”。物聯(lián)網(wǎng)是一種虛擬網(wǎng)絡(luò)與現(xiàn)實世界實時交互的新型系統(tǒng)，其特點是無處不在的數(shù)據(jù)感知、以無線為主的信息傳輸、智能化的信息處理。根據(jù)物聯(lián)網(wǎng)自身的特點，物聯(lián)網(wǎng)除了面對移動通信網(wǎng)絡(luò)的傳統(tǒng)網(wǎng)絡(luò)安全問題之外，還存在著一些與已有移動網(wǎng)絡(luò)安全不同的特殊安全問題。這是由于物聯(lián)網(wǎng)是由大量的機器構(gòu)成，缺少人對設(shè)備的有效監(jiān)控，并且數(shù)量龐大，設(shè)備集群等相關(guān)特點造成的，這些特殊的安全問題主要有幾個方面：（l）物聯(lián)網(wǎng)機器/感知節(jié)點的本地安全問題；（2）感知網(wǎng)絡(luò)的傳輸與信息安全問題；（3）核心網(wǎng)絡(luò)的傳輸與信息安全問題；（4）物聯(lián)網(wǎng)應(yīng)用的安全問題。

2.4 IPv6

為適應(yīng)Intemet的迅速發(fā)展及對網(wǎng)絡(luò)安全性的需要，由IETF（The Internet Engineer Task Force）建議制定的下一代網(wǎng)際協(xié)議（IPNextGeneration Protocol，IPng），又被稱為IP版本6（1Pv6），除了擴展到128位地址來解決地址匱乏外，在網(wǎng)絡(luò)安全上也做了多項改進，可以有效地提高網(wǎng)絡(luò)的安全性。

由于IPv6與IPv4網(wǎng)絡(luò)將會，網(wǎng)絡(luò)必然會同時存在兩者的安全問題，或由此產(chǎn)生新的安全漏洞。已經(jīng)發(fā)現(xiàn)從IPv4向IPv6轉(zhuǎn)移時出現(xiàn)的一些安全漏洞，例如黑客可以使用IPv6非法訪問采用了IPv4和IPv6兩種協(xié)議的LAN的網(wǎng)絡(luò)資源，攻擊者可以通過安裝了雙棧的使用IPv6的主機，建立由IPv6到IPv4的隧道，繞過防火墻對IPv4進行攻擊。

3 國外信息安全發(fā)展趨勢

據(jù)Gartner分析，當(dāng)前國際大型企業(yè)在信息安全領(lǐng)域主要有幾個發(fā)展趨勢：（1） 信息安全投資從基礎(chǔ)架構(gòu)向應(yīng)用系統(tǒng)轉(zhuǎn)移；（2）信息安全的重心從技術(shù)向管理轉(zhuǎn)移；（3）信息安全管理與企業(yè)風(fēng)險管理、內(nèi)控體系建設(shè)的結(jié)合日益緊密；（4）信息技術(shù)逐步向信息安全管理滲透。結(jié)合大型企業(yè)信息安全發(fā)展趨勢，國際各大咨詢公司、廠商等機構(gòu)紛紛提出了符合大型企業(yè)業(yè)務(wù)和信息化發(fā)展需要的信息安全體系架構(gòu)模型，著力建立全面的企業(yè)信息安全體系架構(gòu)，使企業(yè)的信息安全保護模式從較為單一的保護模式發(fā)展成為系統(tǒng)、全面的保護模式。

4 國外信息安全總結(jié)

信息安全在國外已經(jīng)上升到了國家戰(zhàn)略層次，國外的信息安全總體發(fā)展領(lǐng)先于國內(nèi)，特別是歐美，研究國外的信息安全現(xiàn)狀有助于我國的信息安全規(guī)劃。國外的主流的信息安全體系框架較多，都有其適用范圍和缺點，并不完全符合我國現(xiàn)狀，可選取框架的先進理念和組成部分為我國所用，如IATF的縱深防御理念和分層分區(qū)理念、ISO27000的信息安全管理模型、IBM的安全治理模塊等。

5 國內(nèi)信息安全綜述

目前，國家開始高度重視信息安全問題，以等級保護和分級保護工作為主要手段，加強我國企事業(yè)單位的信息安全保障水平。 目前我國信息于網(wǎng)絡(luò)安全的防護能力處于發(fā)展的初級階段，許多應(yīng)用系統(tǒng)處于不設(shè)防狀態(tài)，信息與網(wǎng)絡(luò)安全，目前處于忙于封堵現(xiàn)有信息系統(tǒng)的安全漏洞，要解決這 些迫在眉睫的問題，歸根結(jié)底取決于信息安全保障體系的建設(shè)。

6 國內(nèi)信息安全標(biāo)準(zhǔn)

國內(nèi)的安全標(biāo)準(zhǔn)組織主要有信息技術(shù)安全標(biāo)準(zhǔn)化技術(shù)委員會（CITS）、中國通信標(biāo)準(zhǔn)化協(xié)會（CCSA）下轄的網(wǎng)絡(luò)與信息安全技術(shù)工作委員會、公安部信息系統(tǒng)安全標(biāo)準(zhǔn)化技術(shù)委員會、國家保密局、國家密碼管理委員會等部門。

在信息安全標(biāo)準(zhǔn)方面，我國已了《信息技術(shù) 安全技術(shù) 公鑰基礎(chǔ)設(shè)施在線證書狀態(tài)協(xié)議》、《信息技術(shù) 安全技術(shù) 公鑰基礎(chǔ)設(shè)施證書管理協(xié)議》等幾十項重要的國家信息安全基礎(chǔ)標(biāo)準(zhǔn)，初步形成了包括基礎(chǔ)標(biāo)準(zhǔn)、技術(shù)標(biāo)準(zhǔn)、管理標(biāo)準(zhǔn)和測評標(biāo)準(zhǔn)在內(nèi)的信息安全標(biāo)準(zhǔn)體系框架。

7 國內(nèi)IT新技術(shù)信息安全

7.1 云計算

目前我國的云計算應(yīng)用還處于初始階段，關(guān)注的重點是數(shù)據(jù)中心建設(shè)、虛擬化技術(shù)方面，因此，我國的云安全技術(shù)多數(shù)集中在虛擬化安全方面，對于云應(yīng)用的安全技術(shù)所涉及的還不多。雖然當(dāng)前眾多廠商提出了各種云安全解決方案，但云安全仍處于起步階段，除了可能發(fā)生的大規(guī)模計算資源的系統(tǒng)故障外，云計算安全隱患還包括缺乏統(tǒng)一的安全標(biāo)準(zhǔn)、適用法規(guī)、以及對于用戶的隱私保護、數(shù)據(jù)、遷移、傳輸安全、災(zāi)備等問題。

7.2 虛擬化

由于虛擬化技術(shù)能夠通過服務(wù)器整合而顯著降低投資成本，并通過構(gòu)建內(nèi)部云和外部云節(jié)省大量的運營成本，因此加速了虛擬化在全球范圍的普及與應(yīng)用。目前許多預(yù)測已經(jīng)成為現(xiàn)實：存儲虛擬化真正落地、高端應(yīng)用程序虛擬化漸成主流、網(wǎng)絡(luò)虛擬化逐漸普及、虛擬化數(shù)據(jù)中心朝著云計算的方向大步邁進、管理工具比以往更加關(guān)注虛擬數(shù)據(jù)中心。在虛擬化技術(shù)應(yīng)用方面，企業(yè)桌面虛擬化、手機虛擬化、面向虛擬化的安全解決方案、虛擬化推動綠色中心發(fā)展等領(lǐng)域也取得了長足進步，發(fā)展勢頭比之前預(yù)想的還要迅猛。

7.3 IPv6

我國IPv6標(biāo)準(zhǔn)整體上仍處于跟隨國際標(biāo)準(zhǔn)的地位，IPv6標(biāo)準(zhǔn)進展與國際標(biāo)準(zhǔn)基本一致，在過渡類標(biāo)準(zhǔn)方面有所創(chuàng)新（如軟線技術(shù)標(biāo)準(zhǔn)和 IVI技術(shù)標(biāo)準(zhǔn)等），已進入國際標(biāo)準(zhǔn)。中國運營企業(yè)在IPv6網(wǎng)絡(luò)的發(fā)展，奠定了中國在世界范圍內(nèi)IPv6領(lǐng)域的地位，積累了一定的運營經(jīng)驗。但總體來看，我國IPv6運營業(yè)發(fā)展緩慢，主要體現(xiàn)在IPv6網(wǎng)絡(luò)集中在骨干網(wǎng)層面，向邊緣網(wǎng)絡(luò)延伸不足，難以為IPv6特色業(yè)務(wù)的開發(fā)和規(guī)模商用提供有效平臺。此外，由于運營企業(yè)積極申請IPv4地址，或采用私有地址，對于發(fā)展IPv6用戶并不積極，直接影響了其他產(chǎn)業(yè)環(huán)節(jié)的IPv6投入力度。

8 國內(nèi)信息安全發(fā)展趨勢

隨著信息技術(shù)的快速發(fā)展和廣泛應(yīng)用，基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全、信息資源安全以及個人信息安全等問題與日俱增，應(yīng)用安全日益受到關(guān)注，主動防御技術(shù)成為信息安全技術(shù)發(fā)展的重點。

第一，向系統(tǒng)化、主動防御方向發(fā)展。信息安全保障逐步由傳統(tǒng)的被動防護轉(zhuǎn)向"監(jiān)測-響應(yīng)式"的主動防御，產(chǎn)品功能集成化、系統(tǒng)化趨勢明顯，功能越來越豐富，性能不斷提高；產(chǎn)品問自適應(yīng)聯(lián)動防護、綜合防御水平不斷提高。

第二，向網(wǎng)絡(luò)化、智能化方向發(fā)展。計算技術(shù)的重心從計算機轉(zhuǎn)向互聯(lián)網(wǎng)，互聯(lián)網(wǎng)正在逐步成為軟件開發(fā)、部署、運行和服務(wù)的平臺，對高效防范和綜合治理的要求日益提高，信息安全產(chǎn)品向網(wǎng)絡(luò)化、智能化方向發(fā)展。網(wǎng)絡(luò)身份認證、安全智能技術(shù)、新型密碼算法等信息安全技術(shù)日益受到重視。

第三，向服務(wù)化方向發(fā)展。信息安全內(nèi)容正從技術(shù)、產(chǎn)品主導(dǎo)向技術(shù)、產(chǎn)品、服務(wù)并重調(diào)整，安全服務(wù)逐步成為發(fā)展重點。

9 國內(nèi)信息安全總結(jié)

國內(nèi)的信息安全較國外有一定距離，不過也正在快速趕上，國內(nèi)現(xiàn)在以等級保護體系和分級保護體系為主要手段，以保護重點為特點，強制實施以提高對重點系統(tǒng)和設(shè)施的信息安全保障水平，國內(nèi)的信息安全標(biāo)準(zhǔn)通過引進和消化也已經(jīng)初步成了體系，我國在規(guī)劃時，需考慮合規(guī)因素，如等級保護和分級保護。國內(nèi)的信息安全體系框架較少，主要是等級保護和分級保護，也有國內(nèi)專家個人推崇的框架，總體來講，以合規(guī)為主要目的。

參考資料

[1] 中華人民共和國國務(wù)院.中華人民共和國計算機信息系統(tǒng)安全保護條例.1994.

[2] 公安部，國家保密局，國家密碼管理局，國務(wù)院信息化工作辦公室.信息安全等級保護管理辦法.2007.

[3] ISO/IEC. Information technology――Security techniques――Information security management systems――Requirements.2005.

[4] ISO/IEC. Information technology――Security techniques――Code of practice for information security management.2005.

[5] Trustwave .2012 Global Security Report，2012.

篇（4）

近年來，在互聯(lián)網(wǎng)內(nèi)容不斷革新的新形勢下，網(wǎng)絡(luò)安全委員會始終認真貫徹落實各項法律法規(guī)的相關(guān)要求，結(jié)合實際情況，不斷完善網(wǎng)絡(luò)安全工作機制，提高基礎(chǔ)管理和專業(yè)隊伍技能水平，同時積極開展網(wǎng)絡(luò)安全知識技能宣傳和普及，努力提高安全管控能力，切實保障綠色、健康的互聯(lián)網(wǎng)接入環(huán)境?，F(xiàn)將2019年重點工作匯總?cè)缦拢?/p>

1. 強化組織建設(shè)，堅決打擊違規(guī)網(wǎng)站及違法犯罪行為

過去的一年，網(wǎng)絡(luò)安全工作委員會帶頭強化自身組織建設(shè)，完善內(nèi)部管理制度與規(guī)范；對有關(guān)單位接入網(wǎng)站的備案信息積極核查，緊緊圍繞違法犯罪內(nèi)容進行監(jiān)督管理，及時接收并處理違法和不良信息舉報，并積極協(xié)助執(zhí)法機關(guān)對涉案網(wǎng)站調(diào)查取證。2019年全年，清理違規(guī)網(wǎng)站16083個，涉及鏈接2946013條，協(xié)助執(zhí)法單位調(diào)查取證79起，有效處理不良信息舉報7965個。

2. 積極參與2019河南省互聯(lián)網(wǎng)大會、網(wǎng)絡(luò)安全競賽等活動

為加快科技創(chuàng)新，發(fā)展數(shù)字經(jīng)濟，助推實體經(jīng)濟與傳統(tǒng)產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型，聚焦大數(shù)據(jù)時代網(wǎng)絡(luò)安全、為互聯(lián)網(wǎng)發(fā)展保駕護航，網(wǎng)絡(luò)安全工作委員會積極參加2019河南省第六屆互聯(lián)網(wǎng)大會，并在主管部門領(lǐng)導(dǎo)的支持下參與承辦了“安全護航  數(shù)創(chuàng)未來”分會；分會場上特邀中國科學(xué)院計算技術(shù)研究所大數(shù)據(jù)研究院院長王元卓、北京賽博英杰科技有限公司創(chuàng)始人兼董事長譚曉生、沃通電子認證服務(wù)有限公司 CTO王高華、阿里云華中大區(qū)安全總監(jiān)馬睿博、百度安全總經(jīng)理馬杰、中國網(wǎng)絡(luò)空間安全協(xié)會副理事長杜躍進等網(wǎng)絡(luò)安全領(lǐng)域?qū)＜壹皩W(xué)者，分別作《大數(shù)據(jù)驅(qū)動數(shù)字經(jīng)濟》、《智能化安全運營，護航數(shù)字化未來》《解讀<密碼法>，數(shù)據(jù)加密保護是重點》《構(gòu)安全生態(tài)，建AI未來》《云安全應(yīng)用的新實踐》《大安全亟待升級》等主題演講，深度探討以云計算、大數(shù)據(jù)、人工智能、5G等新一代信息技術(shù)為核心，以新時期網(wǎng)絡(luò)安全為基石，助力企業(yè)數(shù)字化轉(zhuǎn)型，構(gòu)建并全力護航數(shù)字經(jīng)濟時代。

除此之外，網(wǎng)絡(luò)安全委員會始終重視并堅持培養(yǎng)技術(shù)人才，2019年7月積極參加主管部門組織的網(wǎng)絡(luò)安全競賽，并積極為賽場提供場地、設(shè)備及網(wǎng)絡(luò)環(huán)境等，以確保比賽的順利進行。

3. 全力保障國家重要會議和活動安保工作

網(wǎng)絡(luò)安全工作委員會積極開展安全教育學(xué)習(xí)工作，組織相關(guān)單位學(xué)習(xí)安全相關(guān)的法律法規(guī)，并開展考核。在2019年民族運動會和70周年大慶安保期間，及時將安保工作的目的、要求和內(nèi)容傳達到相關(guān)負責(zé)人，以確保安保工作的落地與執(zhí)行。除此之外，安保期間相關(guān)企業(yè)單位專設(shè)專人值班，實行7*24工作制度，并適時信息安全安保工作的通知，設(shè)置緊急信息接收、反饋與處理通道，第一時間接收上級主管單位的指令、處理并反饋；全力完成重點階段的安全保障工作。

二、目前存在的問題和建議

網(wǎng)民的網(wǎng)絡(luò)安全技能仍需提高

自《網(wǎng)絡(luò)安全法》普及以來，明顯感覺到網(wǎng)民的網(wǎng)絡(luò)安全意識有了顯著提升，但是有些用戶雖重視，但苦于未配置技術(shù)人員或技術(shù)人員能力達不到要求，導(dǎo)致即使知道網(wǎng)站存在安全隱患也不能及時得到解決。希望主管部門在宣傳安全意識的基礎(chǔ)上，增加一些基礎(chǔ)安全防范技能方面的內(nèi)容。

三、2020年工作設(shè)想

當(dāng)下，隨著《網(wǎng)絡(luò)安全法》的普及，網(wǎng)民對打擊網(wǎng)絡(luò)有害信息和不法行為的呼聲更為強烈,尤其是數(shù)據(jù)泄露、釣魚網(wǎng)站等詐騙事件的頻發(fā)，維護網(wǎng)絡(luò)安全已是迫在眉睫、刻不容緩?；诖耍?020年將從以下幾個方面開展網(wǎng)絡(luò)安全工作：

1. 做好自我規(guī)范，加強組織溝通

委員會將繼續(xù)完善組織建設(shè)，通過組織會議、行業(yè)沙龍等形式為會員單位創(chuàng)造更多的交流機會，集中發(fā)揮各會員單位的優(yōu)勢，共同促進我省互聯(lián)網(wǎng)行業(yè)健康，共同參與維護我省網(wǎng)絡(luò)安全。除此之外，委員會始終堅持“堅決打擊違規(guī)網(wǎng)站及違法犯罪行為”的決心，聯(lián)合各成員單位，對發(fā)現(xiàn)可疑線索及時上報主管部門，并積極協(xié)助其鎖定證據(jù)。

2. 堅持投入，大力培養(yǎng)技術(shù)人才

2020年委員會將繼續(xù)強化網(wǎng)絡(luò)安全隊伍建設(shè)，完善網(wǎng)絡(luò)與信息安全專業(yè)的學(xué)習(xí)、培訓(xùn)及考核平臺；并積極組織相關(guān)單位參加各項網(wǎng)絡(luò)安全技能大賽，切實提升網(wǎng)絡(luò)安全保障能力和水平。

3. 做好重要時期的網(wǎng)絡(luò)安全保障工作

2020年，國家網(wǎng)絡(luò)安全宣傳周將在鄭州舉辦，網(wǎng)絡(luò)安全工作委員會將全力領(lǐng)導(dǎo)各相關(guān)單位各盡其責(zé)，充分發(fā)揮“警務(wù)室”等機構(gòu)在政企間的橋梁作用，共同為該活動做好準(zhǔn)備工作，。

篇（5）

1引言

隨著科學(xué)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)信息技術(shù)更是在各大企業(yè)得以應(yīng)用?？梢哉f信息技術(shù)是一把雙刃劍，在給企業(yè)帶來巨大利益的同時也帶來了很大的風(fēng)險。而供電企業(yè)是國家的重要基礎(chǔ)設(shè)施的行業(yè)，它的安全更是關(guān)乎著整個國家的電力發(fā)展甚至說電力企業(yè)發(fā)生任何意外都會影響到我們整個國家的經(jīng)濟、國際地位等各方面的發(fā)展。因此說，供電企業(yè)的信息安全不容小覷。供電企業(yè)的信息安全隱患主要分為內(nèi)因和外因。供電企業(yè)在抵擋外來的信息侵略時會設(shè)置各種軟、硬件措施，這的確對于抵擋外來侵略起到了一定的作用。但是對于內(nèi)部來說這就毫無意義了。內(nèi)部信息安全得不到保障比外來侵略更加可怕。所以在處理供電企業(yè)的信息安全問題上一定要謹慎認真。

2信息安全隱患

2.1信息安全的定義

信息安全總的來說是指信息在傳播過程中能夠不受外界的干擾，保證信息的安全、真實、可靠、保密以及完整性。并且能夠完好無損的傳輸?shù)侥康牡亍?/p>

2.2隱患的定義

隱患分為潛在隱患、動態(tài)隱患、靜態(tài)隱患等各種，主要是指事故發(fā)生的原因。

2.3隱患的影響

有的隱患并不會造成很大的影響，這種隱患危險性相對較低；有的隱患雖然不會導(dǎo)致很大的危險發(fā)生，但是仍然會對企業(yè)造成一定的不良影響：還有的隱患就相對危險了，會對企業(yè)造成相當(dāng)程度的損害，如果是信息安全得到破壞，企業(yè)的各種有效信息很有可能得到泄露；最為嚴重的一種就是會對企業(yè)造成不可挽回的嚴重破壞，甚至?xí)沟谜麄€企業(yè)系統(tǒng)癱瘓。

2.4信息安全隱患的形成

（1）通過對“物”的管理不善造成的各種影響：信息的傳播需要通信電路，而通信電路出現(xiàn)問題如果沒有及時發(fā)現(xiàn)并治理就會造成通信不便。在信息系統(tǒng)中不管是軟硬件的老化或者失效也會造成信息傳播不便。（2）通過對“人”的管理不善造成的各種影響：人是最難把握的一類高級生物，既然是人為操作就不可能一直不犯錯誤。而網(wǎng)絡(luò)這個大系統(tǒng)又是由多方面的人員共同完成。在信息傳輸過程中，有些操作人員可能并沒有很清楚自身的操作能力，那么在操作過程中就會出現(xiàn)各種各樣的問題。

3關(guān)于信息安全隱患的排查

3.1排查的目的

隱患如果沒有及時消除就會造成很嚴重的后果，如果是輕度隱患造成的影響還相對小一些，但是如果是重度隱患就會造成無法挽回的后果。所以說，排查隱患的存在是非常有必要的。排查隱患的目的主要是在于能夠及早發(fā)現(xiàn)各種嚴重隱患，在關(guān)鍵部位重點關(guān)注，不讓檢查工作浮于表面，認真負責(zé)信息安全的檢查。排查隱患的工作做好有利于企業(yè)提高自身網(wǎng)絡(luò)系統(tǒng)的安全性和可靠性。供電企業(yè)的信息安全排查的第一步做好了才有機會更好地完成后邊的步驟，有利于供電企業(yè)持續(xù)正常的為國家社會和人民服務(wù)。

3.2排查的范圍

排查分為終端、系統(tǒng)排查，設(shè)備、網(wǎng)絡(luò)排查，人員、管理排查。排查過程中更是要認真仔細，決不能放過任何可疑的細節(jié)，要做到全面、細致。

4關(guān)于隱患的治理

4.1排查方法

信息安全不是兒戲，需要專業(yè)的知識來對安全隱患進行排查。主要分為以下兩個方法：督查信息安全、排查信息隱患。我們重點來說一下督查信息安全。督查信息安全，顧名思義，就是對信息進行監(jiān)督和檢查。主要分為日常監(jiān)督、專項監(jiān)督、年度監(jiān)督。

4.2排查流程

根據(jù)國家的法律法規(guī)，在對信息安全隱患進行排查時，也要遵循一定的法規(guī)流程。信息安全的排查工作也是要由專業(yè)部門統(tǒng)一組織領(lǐng)導(dǎo)進行。由專門的信息監(jiān)督人員、檢查人員進行排查。由專門的技術(shù)人員對排查結(jié)果進行分析總結(jié)并且分類整理所得到的信息。

4.3隱患的治理

（1）國家相關(guān)法律部門制定相應(yīng)的法律法規(guī)，對信息安全提出明確的保護方案和違反這一法規(guī)所會受到的處罰。并對破壞供電企業(yè)信息安全的行為高度重視，重點處置。（2）在隱患發(fā)生前有專業(yè)技術(shù)人員對各個方面進行完美的檢查，并且制定出各種意外方案以備不時之需。（3）對于在信息傳播過程中由于設(shè)備問題所出現(xiàn)的問題要由專業(yè)的技術(shù)人員加以修正，而且在此之前，信息技術(shù)監(jiān)督小組成員應(yīng)當(dāng)提前預(yù)料到各種情況，這樣才能對在各種情況發(fā)生時臨危不亂。（4）定期檢查。不管是什么季節(jié)、什么時間都應(yīng)該有相關(guān)的技術(shù)人員對供電企業(yè)的各種信息、通信系統(tǒng)是否正常運行進行檢查維修。如有必要，還應(yīng)該開展各種演練活動，提高值班人員的素質(zhì)和應(yīng)變能力。（5）加強培訓(xùn)。要對供電企業(yè)內(nèi)部人員進行安全教育和技術(shù)培訓(xùn)，不僅提高理論水平還有實踐能力，加強安全意識。

5結(jié)束語

信息安全是現(xiàn)當(dāng)代各個企業(yè)必須面臨的重要問題，而供電企業(yè)作為國家的重點基礎(chǔ)設(shè)施企業(yè)更是要加以高度重視。信息安全不僅僅是信息部門的事情更是企業(yè)所有人的問題。供電企業(yè)要做到全員參與，制定更加合理的制度，不斷提高信息安全水平。

篇（6）

中圖分類號：TP393.08

中小企業(yè)是整個經(jīng)濟社會的主要組成部分，由于它依然在發(fā)展的初期過程中，因此中小企業(yè)并沒有更多的經(jīng)歷和資金投入到網(wǎng)絡(luò)信息技術(shù)的管理當(dāng)中。因為網(wǎng)絡(luò)信息安全給中小企業(yè)造成的困擾也不斷發(fā)生，實際上，在我國中小企業(yè)信息丟失的情況時有發(fā)生，我國不少報紙也在不斷呼吁中小企業(yè)增加企業(yè)內(nèi)部網(wǎng)絡(luò)安全管理功能和投入。本文就中小企業(yè)所面臨的網(wǎng)絡(luò)安全問題進行了分析。

1中小企業(yè)網(wǎng)絡(luò)安全問題

從當(dāng)前企業(yè)的內(nèi)外部網(wǎng)絡(luò)中，我們可以認為企業(yè)內(nèi)部信息安全網(wǎng)絡(luò)體系需要所面臨的安全問題有如下內(nèi)容：

1.1外網(wǎng)信息安全

中小企業(yè)主要依靠快速獲得信息、快速轉(zhuǎn)型、快速提供各種解決方案而獲得訂單或資源。然而當(dāng)前快速信息的來源主要是從網(wǎng)絡(luò)中而來，因此互聯(lián)網(wǎng)的信息交流成為了中小企業(yè)發(fā)展的主要工具，而互聯(lián)網(wǎng)內(nèi)部的黑客攻擊、病毒傳播、垃圾郵件、蠕蟲攻擊等已經(jīng)成為威脅中小企業(yè)外網(wǎng)的主要內(nèi)容。

1.2內(nèi)網(wǎng)信息安全

在摒棄了外網(wǎng)威脅之外，企業(yè)的員工不少利用網(wǎng)絡(luò)處理私人事務(wù)，而對計算機進行不當(dāng)使用，因而造成了企業(yè)網(wǎng)絡(luò)資源大量消耗，帶病毒的U盤、光盤等介質(zhì)在相互電腦之間傳播，間諜軟件在不斷復(fù)制企業(yè)的信息，這都使得不少企業(yè)內(nèi)部信息在網(wǎng)絡(luò)之間泄露給競爭對手。

1.3企業(yè)內(nèi)部網(wǎng)絡(luò)之間信息安全

隨著中小企業(yè)的不斷壯大和發(fā)展，不少企業(yè)已經(jīng)形成了企業(yè)總部、分支機構(gòu)、移動辦公人員、倉儲人員都分開辦公的互動運營模式，而在移動辦公人員所使用的互聯(lián)網(wǎng)電腦之間的信息共享安全成為中小企業(yè)在成長過程之中不得不考慮的問題。

2防范對策

企業(yè)的管理人員應(yīng)該知道，要真正防止中小企業(yè)網(wǎng)絡(luò)安全問題的發(fā)生是不可能的，這是因為隨著網(wǎng)絡(luò)安全防護升級過程，黑客侵入、病毒感染、木馬傳送等技術(shù)也在不斷更新。因此要真正提升企業(yè)網(wǎng)絡(luò)安全更應(yīng)該從根本上進行，即對企業(yè)出入口信息進行嚴格控制和管理，對員工進行管理和教育，并實時對網(wǎng)絡(luò)系統(tǒng)進行漏洞和安全問題檢查，及時提出相應(yīng)的安全評估風(fēng)險，提出補救措施，并有效的防止黑客的入侵和病毒擴散。具體而言要做到實施企業(yè)防火墻控制、入侵檢查防御、網(wǎng)絡(luò)安全漏洞修復(fù)、重要文件及內(nèi)部資料管理等方式。

2.1防火墻實施方案

企業(yè)應(yīng)當(dāng)從網(wǎng)絡(luò)的內(nèi)部考慮，對于企業(yè)內(nèi)外部使用合適的防火墻管理軟件，而本文所建議的防火墻軟件應(yīng)當(dāng)設(shè)置為兩臺防火墻，一臺防火墻對業(yè)務(wù)網(wǎng)與企業(yè)內(nèi)網(wǎng)進行隔離，另一臺防火墻對Internet與企業(yè)內(nèi)網(wǎng)之間進行隔離，其中DNS、郵件等對外服務(wù)器連接在防火墻的DMZ區(qū)與內(nèi)、外網(wǎng)間進行隔離。

防火墻主要的功能在于保護整個網(wǎng)絡(luò)之間數(shù)據(jù)信息傳遞的交流安全，因為它應(yīng)當(dāng)設(shè)置的安全過濾權(quán)限為：對網(wǎng)絡(luò)數(shù)據(jù)包的協(xié)議、端口、源目的/目標(biāo)地址之間的審核和管理，嚴格審核外網(wǎng)用戶的非法登錄，限制和記錄外網(wǎng)用戶的數(shù)據(jù)包傳遞。及時防范外部的服務(wù)攻擊，定期檢測和查看防火墻的訪問日志，對防火墻管理人員的嚴格控制。

防火墻能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進出受保護網(wǎng)絡(luò)，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡(luò)。防火墻同時可以保護網(wǎng)絡(luò)免受基于路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。

2.2入侵檢測方案

在核心交換機監(jiān)控端口部署CA入侵檢測系統(tǒng)(eTrust Intrusion Detection)，并在不同網(wǎng)段(本地或遠程)上安裝由中央工作站控制的網(wǎng)絡(luò)入侵檢測，對網(wǎng)絡(luò)入侵進行檢測和響應(yīng)。

入侵檢測系統(tǒng)實時捕獲內(nèi)外網(wǎng)之間傳輸?shù)乃袛?shù)據(jù)，以動態(tài)圖形方式展現(xiàn)出來，使管理員能夠時刻掌握當(dāng)前內(nèi)外網(wǎng)之間正在進行的連接和訪問情況；運用協(xié)議分析和模式匹配方法，可以有效地識別各種網(wǎng)絡(luò)攻擊和異常現(xiàn)象，如拒絕服務(wù)攻擊，非授權(quán)訪問嘗試，預(yù)攻擊探測等；當(dāng)攻擊發(fā)生時，可根據(jù)管理員的配置以多種方式發(fā)出實時報警；對于嚴重的網(wǎng)絡(luò)入侵事件，也可由入侵檢測引擎直接發(fā)出阻斷信號切斷發(fā)生攻擊的連接，還可以動態(tài)地調(diào)整防火墻的防護策略，使得防火墻成為一個動態(tài)的智能的防護體系。

2.3網(wǎng)絡(luò)安全漏洞

不少企業(yè)內(nèi)部為了便于交流，紛紛架設(shè)了WWW、郵件、視頻服務(wù)器，而其中最重要的是企業(yè)內(nèi)部的財務(wù)系統(tǒng)服務(wù)器，對于管理人員而言，無法及時有效的了解每個服務(wù)器之間和網(wǎng)絡(luò)內(nèi)部的安全缺陷和漏洞管理，因此使用漏洞掃描和及時修復(fù)漏洞、對當(dāng)前漏洞進行分析和評估工作，成為增強網(wǎng)絡(luò)安全性的主要方法。

2.4重要文件及內(nèi)部資料管理

對于中小型企業(yè)定期進行重要資料的管理和備份是很有必要的，這能夠防止企業(yè)內(nèi)部數(shù)據(jù)因為各種軟硬件故障、病毒侵襲和黑客破壞而導(dǎo)致整個系統(tǒng)資源崩潰造成重大的損失。因此中小企業(yè)應(yīng)當(dāng)積極的選用各種功能完善，使用靈活的備份軟件進行資源的備份和恢復(fù)，全面的保護數(shù)據(jù)的安全。

在服務(wù)器、企業(yè)內(nèi)部機子在運行重要數(shù)據(jù)時，要實時動態(tài)加密，自覺的對各種文件進行分級、分類管理、特別對重要的系統(tǒng)文件、重要的可執(zhí)行文件進行寫保護、并使用安全有效的數(shù)據(jù)存儲、備份及時，必要時采用物理或邏輯隔離措施來保證信息資源的安全和穩(wěn)定。

3總結(jié)

網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，極大地改變了人們的生活方式，中小企業(yè)在享受網(wǎng)絡(luò)技術(shù)帶來好處的同時，也面臨著日益突出的安全問題。筆者針對昆明市某普洱茶城在分布模式下制定的安全防護策略，探討了中小企業(yè)的網(wǎng)絡(luò)安全問題。網(wǎng)絡(luò)安全防護是一個綜合性的工程，無論采取何種措施，安全總是相對的，因而作為網(wǎng)絡(luò)安全管理員，應(yīng)隨網(wǎng)絡(luò)安全狀況及安全需求的變化，適度的調(diào)整安全策略，這樣才能做到有的放矢

參考文獻：

[1]張宏.網(wǎng)絡(luò)安全基礎(chǔ)[M].機械工業(yè)出版社,2004(1):21-24.

[2]Anne Carasik-Henmi等.防火墻核心技術(shù)精解[M].中國水利水電出版社,2005(1):10-14.

篇（7）

他們坦然面對記者說出了這背后的故事。

國稅總局在風(fēng)險評估實踐中總結(jié)出的差距分析法

有句話是這么說的：道路是什么，道路是人在沒有路的地方用腳踩出來的。

人生的道路是這樣，信息安全之路也是這樣。當(dāng)安全威脅成為信息化進程最大阻礙的時候，如何踩出一條網(wǎng)絡(luò)信息安全之路，就成為政府主管部門思考的問題。

2006年，為貫徹落實《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》(中辦發(fā)[2003]27號文件)，形成與國際標(biāo)準(zhǔn)相銜接的中國特色的信息安全標(biāo)準(zhǔn)體系，以更好應(yīng)對未來日益嚴峻的信息安全威脅，國務(wù)院信息化工作辦公室會同相關(guān)部門，組織了三項信息安全試點，包括：電子政務(wù)信息安全試點、信息安全風(fēng)險評估試點、信息安全管理標(biāo)準(zhǔn)應(yīng)用試點。總共有三十余家試點單位參加了相關(guān)試點工作。

因為涉及國家信息安全未來標(biāo)準(zhǔn)和技術(shù)道路的探索，所有的試點單位一直都仿佛蒙上一層神秘的面紗。這些探索者究竟做了一些什么工作？它們的先行又為我國信息安全事業(yè)踏出什么樣的實踐之路？近日，在國信辦召開的全國地方信息安全處長會議間歇，記者走近本次試點工作六個優(yōu)秀試點單位代表，揭開了一直罩在這些試點單位頭上那層神秘的面紗，看到了他們的努力和汗水，以及試點工作探*索出來的寶貴經(jīng)驗。政務(wù)馳入安全互聯(lián)網(wǎng)模式

試點方向：電子政務(wù)信息安全

訪談人物：河南省濟源市信息辦副主任焦依平

電子政務(wù)是國家信息化的重中之重，而信息安全又是電子政務(wù)順利完成的重中之重。

為貫徹落實中辦發(fā)27號文件精神，研究解決電子政務(wù)信息安全建設(shè)和管理中的一些共性問題，探索電子政務(wù)信息安全保障方法，國信辦會同國家保密局、國家密碼管理局、公安部十一局，從2005年10月開始，在廣東、河南、天津、重慶4個省市開展了電子政務(wù)信息安全試點。

這4個試點具體方向各有不同，其中河南濟源市探索的方向是如何基于互聯(lián)網(wǎng)開展電子政務(wù)建設(shè)、保障信息安全問題。“我們按照‘保安全，促應(yīng)用’的思路，構(gòu)建了基于互聯(lián)網(wǎng)的電子政務(wù)信息安全保障體系，探索出了一條低成本建設(shè)電子政務(wù)的新路子?！苯挂榔浆F(xiàn)在談起試點，依然抑制不住激動的心情。

焦依平介紹說，濟源市通信光纖現(xiàn)已覆蓋到村，政務(wù)部門全部接入了互聯(lián)網(wǎng)，但是統(tǒng)計下來，濟源市政務(wù)信息中部分總量不超過3%。如果僅為了3%的信息傳遞投入巨資建專網(wǎng)，顯然投入和效益不能平衡，這也與電子政務(wù)建設(shè)的初衷相違背。為此，濟源市按照國信辦和河南省信息辦的要求，不拉專線，完全基于互聯(lián)網(wǎng)，開展電子政務(wù)建設(shè)。

濟源市試點系統(tǒng)建設(shè)內(nèi)容包括以下幾項：一是基于互聯(lián)網(wǎng)建設(shè)連接全市所有黨政部門和鄉(xiāng)鎮(zhèn)的電子政務(wù)網(wǎng)絡(luò)；二是在互聯(lián)網(wǎng)上建設(shè)政務(wù)辦公、項目審批管理、12345便民熱線、新農(nóng)村信息服務(wù)等4個應(yīng)用系統(tǒng)；三是在進行網(wǎng)絡(luò)和應(yīng)用系統(tǒng)建設(shè)的同時開展信息安全試點，建設(shè)基于互聯(lián)網(wǎng)電子政務(wù)信息安全支撐平臺。

那么，如何真正用技術(shù)實現(xiàn)政務(wù)網(wǎng)絡(luò)互聯(lián)網(wǎng)辦公的安全需求呢？焦依平介紹說，試點工程遵循信息安全系統(tǒng)工程思想，按照“適度安全，促進應(yīng)用，綜合防范”的原則和等級保護的要求，采用集成創(chuàng)新的技術(shù)路線，綜合運用以密碼為核心的信息安全技術(shù)，合理配置信息安全保密設(shè)備和安全策略，建設(shè)一個技術(shù)先進、安全可靠的基于互聯(lián)網(wǎng)的電子政務(wù)信息安全支撐平臺，形成一體化的分級防護安全保障體系，為電子政務(wù)提供可靠、有效的安全保障。

從安全技術(shù)實現(xiàn)上，據(jù)焦依平介紹，濟源市試點工程的安全支撐平臺涉及網(wǎng)絡(luò)安全和應(yīng)用安全兩部分，本次試點網(wǎng)絡(luò)安全系統(tǒng)共建設(shè)7個安全子系統(tǒng)：一是VPN系統(tǒng)，由VPN密碼機、VPN客戶端和VPN管理系統(tǒng)組成，共同完成域間安全互聯(lián)、移動安全接入、用戶接入控制與網(wǎng)絡(luò)邊界安全等功能，其中中心機房的VPN密碼機帶有防火墻功能；二是統(tǒng)一身份認證與授權(quán)管理系統(tǒng)，完成用戶統(tǒng)一身份認證、授權(quán)管理等功能；三是網(wǎng)絡(luò)防病毒系統(tǒng)，部署于安全服務(wù)區(qū)，完成網(wǎng)絡(luò)防病毒功能；四是網(wǎng)頁防篡改系統(tǒng)，部署于政府網(wǎng)站，提供網(wǎng)站立即恢復(fù)的手段和功能；五是入侵檢測系統(tǒng)，部署于中心交換機，對網(wǎng)絡(luò)入侵事件進行主動防御；六是網(wǎng)絡(luò)審計系統(tǒng)部署于中心交換機，對網(wǎng)絡(luò)事件進行記錄，方便事后追蹤；七是桌面安全防護系統(tǒng)，部署在用戶終端，提供網(wǎng)絡(luò)防護、病毒防護、存儲安全、郵件安全等一體化的終端安全保護。

對于目前試點效果，焦依平認為，從實際效果來說，一是低成本建設(shè)了安全的政務(wù)網(wǎng)絡(luò)，實際投入620萬元，比原計劃專網(wǎng)方式預(yù)算總投資節(jié)約48.3%；二是實現(xiàn)了安全政務(wù)辦公和可信政務(wù)服務(wù)，全市各部門已100%實現(xiàn)了安全互聯(lián)，網(wǎng)絡(luò)可達鄉(xiāng)鎮(zhèn)，試點村；三是實現(xiàn)了安全的移動辦公，打破了電子政務(wù)應(yīng)用只能在本地訪問的局限。而從長遠來講，濟源市已經(jīng)初步建成安全、開放、實用的全面基于互聯(lián)網(wǎng)的電子政務(wù)系統(tǒng)。

電子政務(wù)內(nèi)外互通

試點方向：電子政務(wù)信息安全

訪談人物：廣東省信息中心副主任曾強

目前，妨礙電子政務(wù)系統(tǒng)互聯(lián)互通的主要原因就是由此帶來的信息安全問題。跟濟源市試點方向不同，廣東省的試點方向主要是通過等級保護，探索解決省、市、縣(區(qū))電子政務(wù)系統(tǒng)的信息共享與互聯(lián)互通問題。曾強介紹說，面對國信辦試點布置的這個大命題，廣東省將試點命題細化成以下幾個方面：由廣東省民政廳及東莞、深圳兩市民政局以及地下救助站完成民政4個業(yè)務(wù)系統(tǒng)縱向互聯(lián)互通試點；由省政府辦公廳完成視頻會議系統(tǒng)省府門戶網(wǎng)站試點；由佛山市政府完成財稅庫銀互聯(lián)互通系統(tǒng)試點；由江門市政府完成開放互聯(lián)環(huán)境下的信息安全解決方案試點；由佛山市南海區(qū)政府完成大社保6個分系統(tǒng)橫向互聯(lián)互通試點。

關(guān)于如何解決在不同的電子政務(wù)系統(tǒng)之間，安全實現(xiàn)互聯(lián)互通以及資源共享問題，曾強介紹說，試點工作中，廣東省綜合運用等級保護和風(fēng)險評估相結(jié)合的方法，確定了解決互聯(lián)互通問題的基本思路：一是明確系統(tǒng)的重要程度，確定系統(tǒng)安全等級，采取與系統(tǒng)安全等級相適應(yīng)的安全保護措施；二是按照有條件互聯(lián)、共享可控制的原則，確定需要共享的系統(tǒng)和應(yīng)用以及需要共享的數(shù)據(jù)，保證只共享那些確實需要共享的數(shù)據(jù)，以保護系統(tǒng)中原有信息的安全；三是在進行系統(tǒng)互聯(lián)的部門之間建立共同的安全管理機制，明確系統(tǒng)互聯(lián)后的安全管理責(zé)任、管理邊界、安全事件協(xié)同處理等機制；四是對系統(tǒng)互聯(lián)的安全風(fēng)險進行評估，全面分析低安全等級的系統(tǒng)給高安全等級的系統(tǒng)帶來的安全風(fēng)險；五是針對系統(tǒng)互聯(lián)的安全風(fēng)險，確定關(guān)鍵的安全控制要素，如互聯(lián)邊界的訪問控制、系統(tǒng)互聯(lián)的安全傳輸?shù)?，并落實具體的安全措施，保障系統(tǒng)互聯(lián)、數(shù)據(jù)共享的安全。

在以上措施的執(zhí)行下，廣東省取得了初步成功，形成了《廣東省電子政務(wù)系統(tǒng)定級規(guī)范》、《廣東省電子政務(wù)系統(tǒng)互聯(lián)互通安全規(guī)范》等地方指導(dǎo)性文件。

風(fēng)險規(guī)避預(yù)先保障

試點方向：信息安全風(fēng)險評估

訪談人物：國家稅務(wù)總局處長李建彬

上海市信息化委員會信息安全測評中心

總工程師應(yīng)力

信息網(wǎng)絡(luò)，風(fēng)險無處不在，防患于未然是上上之策。這也是風(fēng)險評估安全保障的內(nèi)涵所在。國信辦于2005年2月組織北京市、上海市、黑龍江省、云南省、中國人民銀行、國家稅務(wù)總局、國家電網(wǎng)公司、國家信息中心等地方和部門開展信息安全風(fēng)險評估試點工作。

國家稅務(wù)總局在廣東地稅南海數(shù)據(jù)中心所進行的風(fēng)險評估試點，最大的亮點就是具有創(chuàng)新精神的“差距分析法”。

李建彬在介紹廣東南海試點經(jīng)驗時，將差距分析法用一句話概括，就是“通過找出安全目標(biāo)與現(xiàn)實系統(tǒng)差距，從而得出風(fēng)險分析報告”。在試點工作中，李建彬感觸最深的就是，要對系統(tǒng)生命周期的整個過程都持續(xù)不斷地引入風(fēng)險評估，盡量避免“先運行，后評估”的亡羊補牢式工作流程，以降低信息系統(tǒng)整體的信息安全風(fēng)險等級。此外，李建彬還提出在風(fēng)險評估工作具體實施過程中必須重點考慮以下幾點：

首先是風(fēng)險評估與等級保護有密切的關(guān)系。類別和級別都是信息系統(tǒng)的固有屬性，通過風(fēng)險評估可以識別系統(tǒng)的類別和安全級別，從而落實“等級保護”這一國家政策。但是系統(tǒng)的安全級別不應(yīng)該一刀切，可考慮將系統(tǒng)最高安全級別部分的安全等級作為系統(tǒng)的安全等級。其次是系統(tǒng)分析是系統(tǒng)安全評估的基礎(chǔ)工作。再次是行業(yè)性系統(tǒng)安全要求在風(fēng)險評估中起決定作用，不同行業(yè)的系統(tǒng)有著不同的安全要求，必須為不同行業(yè)、不同類型的系統(tǒng)制定適應(yīng)其特點的系統(tǒng)安全要求。最后，通過安全風(fēng)險評估工作進一步完善系統(tǒng)安全總體設(shè)計。

上海市在很早的時候就開始對風(fēng)險評估進行探索。2002年上海市就確立180家重點信息安全責(zé)任單位(2004年調(diào)整為163家)，涉及重要政府部門、公共事業(yè)單位、基礎(chǔ)網(wǎng)絡(luò)和涉及國計民生的重要信息系統(tǒng)。2006年，上海市了《上海市公共信息系統(tǒng)安全測評管理辦法》，又于2007年1月出臺了《上海市市級機關(guān)信息系統(tǒng)建設(shè)與管理指南》。之后，上海市信息委又出臺了關(guān)于風(fēng)險評估工作的實施意見，明確建立自評估與檢查評估制度的原則、工作安排。

上海市信息安全測評中心總工程師應(yīng)力博士在介紹上海市的風(fēng)險評估實踐經(jīng)驗時，多次強調(diào)要引導(dǎo)各單位進行自評估建設(shè)，讓信息安全風(fēng)險評估成為政府及企事業(yè)信息安全建設(shè)的常態(tài)，在系統(tǒng)的設(shè)計階段、驗收階段、運行階段，都需要進行風(fēng)險評估工作，形成“預(yù)防為主，持續(xù)改進”的風(fēng)險評估機制。應(yīng)力認為，對信息安全主管機關(guān)來說，風(fēng)險評估是一種管理措施，通過風(fēng)險評估，領(lǐng)導(dǎo)者可以了解信息系統(tǒng)的安全現(xiàn)狀，從而為管理決策提供依據(jù)。

信息安全重在管理

試點方向：信息安全管理標(biāo)準(zhǔn)應(yīng)用

訪談人物：北京市海淀區(qū)信息辦主任張澤根

深交所ISMS項目組張興東

有專家提出：“信息安全系統(tǒng)是三分技術(shù)，七分管理?！笨梢娦畔踩芾碓谡麄€信息安全保障體系中的重要性。

國信辦網(wǎng)絡(luò)與信息安全組與全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會共同于2006年3月開始，在北京市、上海市、國家稅務(wù)總局、中國證監(jiān)會和武漢鋼鐵(集團)公司選取了相關(guān)單位，對國際上通用的，也是已經(jīng)列入國家標(biāo)準(zhǔn)制、修訂計劃的兩個信息安全管理標(biāo)準(zhǔn)，即ISO/IEC 27001:2005《信息安全管理體系要求》和ISO/IEC 17799:2005《信息安全管理使用規(guī)則》，組織了應(yīng)用試點。

北京市海淀區(qū)信息辦張澤根主任在具體介紹北京市海淀區(qū)信息安全管理體系實踐經(jīng)驗時，感觸最深的就是在參考國際標(biāo)準(zhǔn)ISO/IEC27001和ISO/IEC17799的基礎(chǔ)上，結(jié)合海淀區(qū)原有ISO9001管理體系，取得了事半功倍的實際效果。通過ISMS的運行實踐，海淀區(qū)信息辦建立了信息安全管理體系，為進一步通過ISO/IEC27001認證做了很好的準(zhǔn)備，同時還對ISMS與風(fēng)險評估和等級保護的關(guān)系進行了有益的探索。ISMS為解決海淀區(qū)信息安全問題，提供了良好的方法和管理機制，并且為政府的信息化建設(shè)通過避免安全事故和合理分配經(jīng)費兩種方式很好地節(jié)約了建設(shè)經(jīng)費。

篇（8）

在通信領(lǐng)域，信息安全尤為重要，它是通信安全的重要環(huán)節(jié)。在通信組織運作時，信息安全是維護通信安全的重要內(nèi)容。通信涉及到我們生活的許多方面，小到人與人之間聯(lián)系的紐帶，大到國與國之間的信息交流。因此，研究信息安全和防護具有重要的現(xiàn)實意義。

一、通信運用中加強信息安全和防護的必要性

1.1搞好信息安全防護是確保國家安全的重要前提

眾所周知，未來的社會是信息化的社會，網(wǎng)絡(luò)空間的爭奪尤其激烈。信息化成為國家之間競爭的焦點，如果信息安全防護工作跟不上，一個國家可能面臨信息被竊、網(wǎng)絡(luò)被毀、指揮系統(tǒng)癱瘓、制信息權(quán)喪失的嚴重后果。因此，信息安全防護不僅是未來戰(zhàn)爭勝利的重要保障，而且將作為交戰(zhàn)雙方信息攻防的重要手段，貫穿戰(zhàn)爭的全過程。一旦信息安全出現(xiàn)問題，可能導(dǎo)致整個國家的經(jīng)濟癱瘓，戰(zhàn)爭和軍事領(lǐng)域是這樣，政治、經(jīng)濟、文化、科技等領(lǐng)域也不例外。信息安全關(guān)系到國家的生死存亡，關(guān)系到世界的安定和平。比如，美國加利弗尼亞州銀行協(xié)會的曾經(jīng)發(fā)出一份報告，稱如果該銀行的數(shù)據(jù)庫系統(tǒng)遭到網(wǎng)絡(luò)“黑客”的破壞，造成的后果將是致命的，3天就會影響加州的經(jīng)濟，5天就能波及全美經(jīng)濟，7天會使全世界經(jīng)濟遭受損失。鑒于信息安全如此重要，美國國家委員會早在2000年初的《國家安全戰(zhàn)備報告》里就強調(diào)：執(zhí)行國家安全政策時把信息安全放在重要位置。俄羅斯于2000年通過的《國家信息安全學(xué)說》，第一次把信息安全擺在戰(zhàn)略地位。并從理論和時間中加強信息安全的防護。近年來，我國也越來越重視信息安全問題，相關(guān)的研究層出不窮，為我國信息安全的發(fā)展奠定了基礎(chǔ)。

1.2我國信息安全面臨的形勢十分嚴峻

信息安全是國家安全的重要組成部分，它不僅體現(xiàn)在軍事信息安全上，同時也涉及到政治、經(jīng)濟、文化等各方面。當(dāng)今社會，由于國家活動對信息和信息網(wǎng)絡(luò)的依賴性越來越大，所以一旦信息系統(tǒng)遭到破壞，就可能導(dǎo)致整個國家能源供應(yīng)的中斷、經(jīng)濟活動的癱瘓、國防力量的削弱和社會秩序的混亂，其后果不堪設(shè)想。由于我國信息化起步較晚，目前信息化系統(tǒng)大多數(shù)還處在“不設(shè)防’，的狀態(tài)下，國防信息安全的形勢十分嚴峻。具體體現(xiàn)在以卜幾個方面：首先，全社會對信息安全的認識還比較模糊。很多人對信息安全缺乏足夠的了解，對因忽視信息安全而可能造成的重大危害還認識不足，信息安全觀念還十分淡薄。因此，在研究開發(fā)信息系統(tǒng)過程中對信息安全問題不夠重視，許多應(yīng)用系統(tǒng)處在不設(shè)防狀態(tài)，具有極大的風(fēng)險性和危險性。其次，我國的信息化系統(tǒng)還嚴重依賴大量的信息技術(shù)及設(shè)備極有可能對我國信息系統(tǒng)埋下不安全的隱患。無論是在計算機硬件上，還是在計算機軟件上，我國信息化系統(tǒng)的國產(chǎn)率還較低，而在引進國外技術(shù)和設(shè)備的過程中，又缺乏必要的信息安全檢測和改造。再次，在軍事領(lǐng)域，通過網(wǎng)絡(luò)泄密的事故屢有發(fā)生，敵對勢力“黑客”攻擊對我軍事信息安全危害極大。最后，我國國家信息安全防護管理機構(gòu)缺乏權(quán)威，協(xié)調(diào)不夠，對信息系統(tǒng)的監(jiān)督管理還不夠有力。各信息系統(tǒng)條塊分割、相互隔離，管理混亂，缺乏與信息化進程相一致的國家信息安全總體規(guī)劃，妨礙了信息安全管理的方針、原則和國家有關(guān)法規(guī)的貫徹執(zhí)行。

二、通信中存在的信息安全問題

2.1信息網(wǎng)絡(luò)安全意識有待加強

我國的信息在傳輸?shù)倪^程中，特別是軍事信息，由于存在擴散和較為敏感的特征，有的人利用了這一特點采取種種手段截獲信息，以便了解和掌握對方的新措施。更有甚者，在信息網(wǎng)絡(luò)運行管理和使用中，更多的是考慮效益、速度和便捷。而把安全、保密等置之度外。因此，我們更要深層次地加強網(wǎng)絡(luò)安全方面的觀念，認識到信息安全防護工作不僅僅是操作人員的“專利”，它更需要所有相關(guān)人員來共同防護。

2.2信息網(wǎng)絡(luò)安全核心技術(shù)貧乏  

目前，我國在信息安全技術(shù)領(lǐng)域自主知識產(chǎn)權(quán)產(chǎn)品少采用的基礎(chǔ)硬件操作系統(tǒng)和數(shù)據(jù)庫等系統(tǒng)軟件大部分依賴國外產(chǎn)品。有些設(shè)備更是拿來就用，忽略了一定的安全隱患。技術(shù)上的落后，使得設(shè)備受制于人。因此，我們要加大對信息網(wǎng)絡(luò)安全關(guān)鍵技術(shù)的研發(fā)，避免出現(xiàn)信息泄露的“后門”。

2.3信息網(wǎng)絡(luò)安全防護體系不完善

防護體系是系統(tǒng)頂層設(shè)計的一個重要組成部分，是保證各系統(tǒng)之間可集成、可互操作的關(guān)鍵。以前信息網(wǎng)絡(luò)安全防護主要是進行一對一的攻防，技術(shù)單一?，F(xiàn)代化的信息網(wǎng)絡(luò)安全防護體系已經(jīng)成為一個規(guī)模龐大、技術(shù)復(fù)雜、獨具特色的重要信息子系統(tǒng)，并擔(dān)負著網(wǎng)絡(luò)攻防對抗的重任。因此，現(xiàn)代化信息網(wǎng)絡(luò)安全防護體系的建立應(yīng)具有多效地安全防護機制、安全防護服務(wù)和相應(yīng)的安全防護管理措施等內(nèi)容。

2.4信息網(wǎng)絡(luò)安全管理人才缺乏 

高級系統(tǒng)管理人才缺乏，已成為影響我軍信息網(wǎng)絡(luò)安全防護的因素之一。信息網(wǎng)絡(luò)安全管理人才不僅要精通計算機網(wǎng)絡(luò)技術(shù)，還要熟悉安全技術(shù)。既要具有豐富的網(wǎng)絡(luò)工程建設(shè)經(jīng)驗，又要具備管理知識。顯然，加大信息安全人才的培養(yǎng)任重而道遠。

三、通信組織運用中的網(wǎng)絡(luò)安全防護

網(wǎng)絡(luò)安全是通信系統(tǒng)安全的重要環(huán)節(jié)。保障通信組織的安全主要是保障網(wǎng)絡(luò)安全。網(wǎng)絡(luò)安全備受關(guān)注，如何防范病毒入侵、保護信息安全是人們關(guān)心的問題，筆者總結(jié)了幾點常用的防范措施，遵循這些措施可以降低風(fēng)險發(fā)生的概率，進而降低通信組織中信息安全事故發(fā)生的概率。

3.1數(shù)據(jù)備份

對重要信息資料要及時備份，或預(yù)存影像資料，保證資料的安全和完整。設(shè)置口令，定期更換，以防止人為因素導(dǎo)致重要資料的泄露和丟失。利用鏡像技術(shù)，在磁盤子系統(tǒng)中有兩個系統(tǒng)進行同樣的工作，當(dāng)其中一個系統(tǒng)故障時，另一個系統(tǒng)仍然能正常工作。加密對網(wǎng)絡(luò)通信加密，以防止網(wǎng)絡(luò)被竊聽和截取，尤其是絕密文件更要加密處理，并定期更換密碼。另外，文件廢棄處理時對重要文件粉碎處理，并確保文件不可識別。

3.2防治病毒

保障信息系統(tǒng)安全的另一個重要措施是病毒防治。安裝殺毒軟件，定期檢查病毒。嚴格檢查引入的軟盤或下載的軟件和文檔的安全性，保證在使用前對軟盤進行病毒檢查，殺毒軟件應(yīng)及時更新版本。一旦發(fā)現(xiàn)正在流行的病毒，要及時采取相應(yīng)的措施，保障信息資料的安全。

3.3提高物理安全

物理安全是保障網(wǎng)絡(luò)和信息系統(tǒng)安全的基本保障，機房的安全尤為重要，要嚴格監(jiān)管機房人員的出入，堅決執(zhí)行出入管理制度，對機房工作人員要嚴格審查，做到專人專職、專職專責(zé)。另外，可以在機房安裝許多裝置以確保計算機和計算機設(shè)備的安全，例如用高強度電纜在計算機的機箱穿過。但是，所有其他裝置的安裝，都要確保不損害或者妨礙計算機的操作。

3.4安裝補丁軟件

為避免人為因素（如黑客攻擊）對計算機造成威脅，要及時安裝各種安全補丁程序，不要給入侵者以可乘之機。一旦系統(tǒng)存在安全漏洞，將會迅速傳播，若不及時修正，可能導(dǎo)致無法預(yù)料的結(jié)果。為了保障系統(tǒng)的安全運行，可以及時關(guān)注一些大公司的網(wǎng)站上的系統(tǒng)安全漏洞說明，根據(jù)其附有的解決方法，及時安裝補丁軟件。用戶可以經(jīng)常訪問這些站點以獲取有用的信息。

3.5構(gòu)筑防火墻

構(gòu)筑系統(tǒng)防火墻是一種很有效的防御措施。防火墻是有經(jīng)驗豐富的專業(yè)技術(shù)人員設(shè)置的，能阻止一般性病毒入侵系統(tǒng)。防火墻的不足之處是很難防止來自內(nèi)部的攻擊，也不能阻止惡意代碼的入侵，如病毒和特洛伊木馬。

四、加強通信運用中的信息安全與防護的幾點建議

為了應(yīng)付信息安全所面臨的嚴峻挑戰(zhàn)，我們有必要從以下幾個方面著手，加強國防信息安全建設(shè)。

4.1要加強宣傳教育，切實增強全民的國防信息安全意識

在全社會范圍內(nèi)普及信息安全知識，樹立敵情觀念、紀律觀念和法制觀念，強化社會各界的信息安全意識，營造一個良好的信息安全防護環(huán)境。各級領(lǐng)導(dǎo)要充分認識自己在信息安全防護工作中的重大責(zé)仟‘一方而要經(jīng)常分析新形勢卜信息安全工作形勢，自覺針對存在的薄弱環(huán)節(jié)，采取各種措施，把這項工作做好；另一方面要結(jié)合工作實際，進行以安全防護知識、理論、技術(shù)以及有關(guān)法規(guī)為內(nèi)容的自我學(xué)習(xí)和教育。

4.2要建立完備的信息安全法律法規(guī)

信息安全需要建立完備的法律法規(guī)保護。自國家《保密法》頒布實施以來，我國先后制定和頒布了《關(guān)于維護互聯(lián)網(wǎng)安全的決定》、《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法》、《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》、《計算機信息系統(tǒng)安全專用產(chǎn)品檢測和銷售許可證管理辦法》、《計算機信息系統(tǒng)安全專用產(chǎn)品分類原則》、《金融機構(gòu)計算機信息系統(tǒng)安全保護工作暫行規(guī)定》等一系列信息安全方面的法律法規(guī)，但從整體上看，我國信息安全法規(guī)建設(shè)尚處在起步階段，層次不高，具備完整性、適用性和針對性的信息安全法律體系尚未完全形成。因此，我們應(yīng)當(dāng)加快信息安全有關(guān)法律法規(guī)的研究，及早建立我國信息安全法律法規(guī)體系。

4.3要加強信息管理

要成立國家信息安全機構(gòu)，研究確立國家信息安全的重大決策，制定和國家信息安全政策。在此基礎(chǔ)上，成立地方各部門的信息安全管理機構(gòu)，建立相應(yīng)的信息安全管理制度，對其所屬地區(qū)和部門內(nèi)的信息安全實行統(tǒng)一管理。

4.4要加強信息安全技術(shù)開發(fā)，提高信息安全防護技術(shù)水平

沒有先進、有效的信息安全技術(shù)，國家信息安全就是一句空話。因此，我們必須借鑒國外先進技術(shù)，自主進行信息安全關(guān)鍵技術(shù)的研發(fā)和運用。大力發(fā)展防火墻技術(shù)，開發(fā)出高度安全性、高度透明性和高度網(wǎng)絡(luò)化的國產(chǎn)自主知識產(chǎn)權(quán)的防火墻。積極發(fā)展計算機網(wǎng)絡(luò)病毒防治技術(shù)，加強計算機網(wǎng)絡(luò)安全管理，為保護國家信息安全打卜一個良好的基礎(chǔ)。

4.5加強計算機系統(tǒng)網(wǎng)絡(luò)風(fēng)險的防范加強網(wǎng)絡(luò)安全防范是風(fēng)險防范的重要環(huán)節(jié)

首先，可以采取更新技術(shù)、更新設(shè)備的方式。并且要加強工作人員風(fēng)險意識，加大網(wǎng)絡(luò)安全教育的投入。其次，重要數(shù)據(jù)和信息要及時備份，也可采用影像技術(shù)提高資料的完整性。第三，及時更新殺毒軟件版本，殺毒軟件可將部分病毒拒之門外，殺毒軟件更新提高了防御病毒攻擊的能力。第五，對重要信息采取加密技術(shù)，密碼設(shè)置應(yīng)包含數(shù)字、字母和其他字符。加密處理可以防止內(nèi)部信息在網(wǎng)絡(luò)上被非授權(quán)用戶攔截。第六，嚴格執(zhí)行權(quán)限控制，做好信息安全管理工作。“三分技術(shù)，七分管理”，可見信息安全管理在預(yù)防風(fēng)險時的重要性，只有加強監(jiān)管和管理，才能使信息安全更上一個臺階。

4.6建立和完善計算機系統(tǒng)風(fēng)險防范的管理制度

建立完善的防范風(fēng)險的制度是預(yù)防風(fēng)險的基礎(chǔ)，是進行信息安全管理和防護的標(biāo)準(zhǔn)。首先，要高度重視安全問題。隨著信息技術(shù)的發(fā)展，攻擊者的攻擊手段也在不斷進化，面對高智商的入侵者，我們必須不惜投入大量人力、物力、財力來研究和防范風(fēng)險。在研究安全技術(shù)和防范風(fēng)險的策略時，可以借鑒國外相關(guān)研究，尤其是一些發(fā)達國家，他們信息技術(shù)起步早，風(fēng)險評估研究也很成熟，我們可以借鑒他們的管理措施，結(jié)合我們的實際，應(yīng)用到風(fēng)險防范中，形成風(fēng)險管理制度，嚴格執(zhí)行。

篇（9）

童瀛遇到的最新的網(wǎng)絡(luò)犯罪方法是利用微信紅包賭博，最新的應(yīng)用是阿里的花唄，通過大量盜取支付寶用戶賬戶，幫助該賬戶提升信用，再利用信用惡意套取現(xiàn)金。

 

網(wǎng)絡(luò)犯罪呈現(xiàn)隱密性強、復(fù)雜性強、國際化趨勢等特點。然而，網(wǎng)絡(luò)犯罪的危害性遠比一般的犯罪危害程度更大、更廣泛。以盜竊為例，一般盜竊案涉案的金額主要是現(xiàn)金，最多達到幾十萬、幾百萬元的水平。而童瀛近期遇到的2個江蘇網(wǎng)絡(luò)詐騙案的涉案金額則達到1200萬和1300萬元。

 

DDoS攻擊(分布式拒絕服務(wù)攻擊)是比較常見的網(wǎng)絡(luò)犯罪攻擊方式。據(jù)統(tǒng)計，大約有50%的在線游戲公司和700A的商業(yè)公司遭受過DDoS攻擊;政府部門的情況更為嚴重，80%都曾遭受過DDoS攻擊。

 

童瀛指出，DDoS攻擊一般分為3個階段。第一階段是僵尸網(wǎng)絡(luò)，第二階段是反射攻擊，第三階段是智能、物聯(lián)網(wǎng)設(shè)備。1998年，DDoS攻擊主要來源于技術(shù)炫耀者;2003年，進入黑吃黑階段;2008年，DDoS攻擊組織開始統(tǒng)一市場，向上發(fā)展，公安部還曾組織專項打擊行動;2010年以來，DDoS攻擊呈現(xiàn)全面蔓延的態(tài)勢。

 

童瀛總結(jié)DDoS攻擊的目的主要是行業(yè)競爭、敲詐性勒索和惡意報復(fù)。2014年11月，南通市多家網(wǎng)吧遭受DDoS攻擊，就是敲詐性勒索。今年3月，蘇州蝸牛公司遭遇的DDoS攻擊，則是惡意報復(fù)。

 

童瀛表示，作為黑客有高額金錢回報、網(wǎng)絡(luò)犯罪成本低的特性，很容易導(dǎo)致網(wǎng)絡(luò)犯罪。然而，網(wǎng)絡(luò)犯罪所需要受到的法律制裁后果也很嚴重。據(jù)了解，目前，我國法律所界定的網(wǎng)絡(luò)犯罪主要有3種，包括非法侵入計算機系統(tǒng)罪、破壞計算機信息系統(tǒng)罪、利用計算機網(wǎng)絡(luò)實施的犯罪(例如網(wǎng)絡(luò)傳銷等)。

 

一般情況下，只要利用網(wǎng)絡(luò)違法所得的金額在5000元、癱瘓1萬名網(wǎng)絡(luò)用戶1個小時以上的時間、非法控制了20臺以上的電腦，公安部門就可以立案。 而按照我國刑法286條第1款的規(guī)定，違反國家規(guī)定，對計算機信息系統(tǒng)功能進行刪除、修改、增加、干擾，造成計算機信息系統(tǒng)不能正常運行，后果嚴重的，處5年以下有期徒刑或者拘役;后果特別嚴重的，處5年以上有期徒刑。

 

因此，童瀛建議，網(wǎng)安人員在網(wǎng)絡(luò)安全的道路上不要走偏，不要陷入犯罪的漩渦;中小企業(yè)要健全應(yīng)急響應(yīng)機制，盡可能多留存日志，如果遭受攻擊，最好的應(yīng)對方法是報警;涉網(wǎng)單位要盡量提高自身的安全;普通網(wǎng)民盡量不要上非法網(wǎng)站，并從官方網(wǎng)站下載相應(yīng)軟件。如何保證P2P金融安全

 

自從余額寶推出之后，各個“寶寶”都開始涌現(xiàn)，金融行業(yè)在互聯(lián)網(wǎng)上得到了迅速的發(fā)展，開啟了互聯(lián)網(wǎng)金融時代。其中，P2P金融作為把投資者、借貸者拉在一起的平臺和渠道，由于其15%左右的平均投資回報率受眾多投資者追捧。 然而，作為創(chuàng)新的互聯(lián)網(wǎng)+模式，P2P金融也面臨著雙重的常見風(fēng)險，既有來自互聯(lián)網(wǎng)的風(fēng)險，也有來自金融業(yè)的風(fēng)險?！鞍酌弊哟髸鄙希f達電商安全主任工程師林鵬深度解析了如何保證P2P金融安全。

 

NSTRT團隊收集了在2014年互聯(lián)網(wǎng)金融行業(yè)中的134份安全漏洞報告，其中來自業(yè)務(wù)設(shè)計缺陷的漏洞占主要比例，達到27%。而P2P的業(yè)務(wù)流程，一般包括注冊、綁卡、充值、購買理財、回收資金等步驟。 在注冊環(huán)節(jié)，羊毛黨擼羊毛(活躍在各P2P平臺上，專門參加注冊送積分、返現(xiàn)等優(yōu)惠活動，以此賺取小額獎勵)是一個普遍存在的現(xiàn)象。有時候，羊毛黨還會和銀行、平臺內(nèi)外勾結(jié)，圈起大量注冊用戶綁卡后卷錢跑路。這種現(xiàn)象并不少見。

 

“目前已經(jīng)形成了羊毛黨團體，內(nèi)部分工明確。其中，家庭婦女和學(xué)生居多，基本都是兼職。很多人不知道P2P是什么，只是為賺錢照著做?！绷柱i說。 林鵬指出，應(yīng)對羊毛黨的方法是要遏制他們的收入途徑。在投資方面，從業(yè)務(wù)角度防套利，不能讓人空手套白狼;利用羊毛黨防止被平臺反擼的心態(tài)，減少羊毛黨收益，提高收益門檻;還有人工識別(客服掛電話)、機器識別、大數(shù)據(jù)應(yīng)用等。

 

在綁卡的環(huán)節(jié)，容易出現(xiàn)用戶套現(xiàn)行為。雖然一般都有實名驗證身份證號、姓名和銀行預(yù)留姓名的環(huán)節(jié)，但小的P2P平臺通常是借用公安部接口校驗身份證信息，想要騙過這些小平臺并不難，因此并沒有起到真正實名驗證的作用。 林鵬表示，虛對綁卡環(huán)節(jié)的用戶套現(xiàn)，P2P平臺要有4要素驗證，包括身份證、銀行預(yù)留手機、姓名和銀行卡號，另外還要有小額打款驗證。這些內(nèi)容應(yīng)該是所有涉及到互聯(lián)網(wǎng)金融的公司需要去做的。

 

根據(jù)調(diào)查，參與P2P業(yè)務(wù)的以男性為主，年齡在20～40歲之間，晚上18點是用戶投資高峰時段，以微信和新浪微博傳播方式為主，尤其是微信的比例達到99.4%，股票和基金是這些人最關(guān)注的投資品種。林鵬指出，對于P2P平臺來說，符合這些條件的基本上可以認定為合法用戶，不符合的懷疑為非法用戶。

 

是否是非法用戶也可以通過用戶行為判斷。一般正常的用戶行為包括一整套業(yè)務(wù)流程，從注冊登錄到充值、投資、回款和提現(xiàn)。而異常的用戶行為從注冊登錄后就一直停滯在編輯資料的環(huán)節(jié)。

 

篇（10）

1.引言

 

在醫(yī)療過程中，患者疾病和醫(yī)療行為的信息會形成關(guān)于患者的身體特征、健康狀況的客觀記錄。這些記錄既包括患者身體特征記錄、診斷記錄以及其他和健康相關(guān)的情況，還包括這些情況蘊涵的其他關(guān)鍵信息?；颊叩年P(guān)鍵信息因診療服務(wù)需要被醫(yī)療機構(gòu)以及醫(yī)護人員合法獲悉，而不希望他人也知悉的個人情況，即患者的隱私，通常包括：姓名、性別、出生日期、家庭地址、聯(lián)系方式、既往史等。

 

患者的診療信息通過數(shù)據(jù)交換或者是其他的途徑，會出現(xiàn)在因特網(wǎng)或者內(nèi)部網(wǎng)絡(luò)環(huán)境中，在數(shù)據(jù)交換的路徑中，就需要建立有效的數(shù)據(jù)安全保障機制來防止數(shù)據(jù)的泄露。

 

2.問題提出

 

目前區(qū)域衛(wèi)生信息平臺一部分作用是數(shù)據(jù)中轉(zhuǎn)以及全程健康檔案的管理。隨著區(qū)域的發(fā)展以及應(yīng)用的加深，區(qū)域平臺將會在數(shù)據(jù)協(xié)同以及服務(wù)協(xié)同領(lǐng)域發(fā)揮其重要作用。隨著數(shù)據(jù)協(xié)同等多方面的應(yīng)用加深，對數(shù)據(jù)安全以及數(shù)據(jù)隱私的要求會比現(xiàn)階段更加迫切。眾多省級平臺的建設(shè)方案中，已將該點作為重點內(nèi)容進行建設(shè)。目前區(qū)域平臺主要將先進的業(yè)務(wù)理念作為亮點，而較忽略隱藏在業(yè)務(wù)之下的保障體系，如安全和隱私。如果有一個較為系統(tǒng)及全面的保障體系，能夠在協(xié)同的各個步驟進行無縫的嵌入，保證數(shù)據(jù)協(xié)同的安全。先進的業(yè)務(wù)加完備的保障體系，是否能夠?qū)^(qū)域平臺提高一個層次呢?而現(xiàn)今區(qū)域衛(wèi)生信息平臺又是如何建立該體系的呢?

 

3.問題分析

 

根據(jù)前面提出的問題，我們開始分析。區(qū)域衛(wèi)生信息平臺中協(xié)同與共享都屬于數(shù)據(jù)的協(xié)同，協(xié)同的步驟簡單可概括為發(fā)起請求-數(shù)據(jù)傳入-請求驗證-生成數(shù)據(jù)-數(shù)據(jù)返回-結(jié)束請求。在這幾個步驟當(dāng)中，又可以簡要概括為數(shù)據(jù)傳輸、身份認證、請求審計、數(shù)據(jù)生成(數(shù)據(jù)隱私動作)等。

 

下面，我們圍繞著上述幾個大點開始建立安全與隱私體系。

 

4.安全體系設(shè)計

 

目前，區(qū)域衛(wèi)生信息平臺的安全保護措施主要有以下幾種：

 

1) 數(shù)據(jù)傳輸加密

 

傳輸過程采用高強度基于1024bit的公鑰/私鑰加密機制保證網(wǎng)絡(luò)傳輸?shù)陌踩?基于銀行支付的安全標(biāo)準(zhǔn))。公鑰-私鑰對由衛(wèi)生管理機構(gòu)統(tǒng)一發(fā)放，并且周期性更新，加密算法采用RSA標(biāo)準(zhǔn)算法。如果數(shù)據(jù)在傳輸過程中被惡意截取，因為沒有密鑰也無法解密查看傳輸?shù)膬?nèi)容，可以最大程度的保證市民數(shù)據(jù)的安全。

 

為了保證加密的效率，系統(tǒng)采用數(shù)字信封技術(shù)來實現(xiàn)，既保證了網(wǎng)絡(luò)的安全傳輸，又保證了加密效率。

 

4.1.1 數(shù)據(jù)上行過程

 

a) 首先獲取隨機DES鑰匙，采用DES算法對傳輸內(nèi)容加密，然后醫(yī)療機構(gòu)采用衛(wèi)生管理機構(gòu)公布的公鑰把DES鑰匙進行加密形成數(shù)字信封，最后把密文和數(shù)字信封通過網(wǎng)絡(luò)傳輸?shù)叫l(wèi)生管理機構(gòu)。

 

b) 衛(wèi)生管理機構(gòu)收到加密數(shù)據(jù)包后，使用自己的私鑰(私鑰存儲在衛(wèi)生廳本地，不在網(wǎng)絡(luò)上傳輸)采用RSA算法對信封解密獲取DES鑰匙，然后采用DES算法對加密包解密，獲取原始數(shù)據(jù)內(nèi)容，保存至數(shù)據(jù)庫。

 

4.1.2 數(shù)據(jù)下行過程

 

a) 醫(yī)療機構(gòu)(第三方系統(tǒng))(下稱請求方)發(fā)起服務(wù)請求。

 

b) 衛(wèi)生管理機構(gòu)接收到請求后從數(shù)據(jù)庫查找對應(yīng)的數(shù)據(jù)內(nèi)容，采用DES算法對數(shù)據(jù)進行加密，然后獲取請求方的公鑰，采用RSA算法把DES鑰匙加密形成數(shù)字信封，一起和加密內(nèi)容發(fā)送給請求方。

 

c) 請求方獲取到加密包后，使用自己的私鑰和RSA算法對數(shù)字信封解密獲取DES鑰匙，然后采用DES算法對加密包解密，查看數(shù)據(jù)原始內(nèi)容。

 

2) 身份認證與權(quán)限控制

 

4.2.1 主體身份認證

 

確保每個用戶必須具有唯一的身份標(biāo)識和唯一的身份鑒別信息，確保來源合法。當(dāng)請求方偽造時，系統(tǒng)可以主動的鑒別出，并積極拒絕。

 

4.2.2 操作權(quán)限控制

 

操作權(quán)限是基于應(yīng)用層次的權(quán)限控制，在用戶使用應(yīng)用系統(tǒng)當(dāng)中，不同角色的個體有著不同的操作權(quán)限，比如登錄、新增、刪除、修改、導(dǎo)出等，對個體進行授權(quán)后，只能操作有權(quán)限的動作。

 

4.2.3 數(shù)據(jù)權(quán)限控制

 

數(shù)據(jù)權(quán)限基于全方位的數(shù)據(jù)結(jié)構(gòu)，將已有的關(guān)系型數(shù)據(jù)庫維護到系統(tǒng)當(dāng)中(元數(shù)據(jù))。對數(shù)據(jù)進行分割，將數(shù)據(jù)區(qū)塊按需要分發(fā)給用戶，用戶在獲取之前被數(shù)據(jù)權(quán)限攔截器進行攔截，查看到的數(shù)據(jù)是其有權(quán)限查看的那部分。

 

3) 審計日志

 

審計日志是在應(yīng)用層次的審計操作，對用戶在使用應(yīng)用系統(tǒng)中的的行為進行收集、統(tǒng)計、分析，對出現(xiàn)或者可能出現(xiàn)的安全問題進行提醒，并為事后的責(zé)任問題提供支持。

 

4.3.1 行為審計記錄

 

平臺主要記錄每個業(yè)務(wù)用戶的關(guān)鍵操作，如用戶登錄、退出、批量導(dǎo)出數(shù)據(jù)等關(guān)鍵行為。審計記錄一般包括事件的日期，事件，類型，主體，結(jié)果等相關(guān)內(nèi)容。為了減少資源的消耗，審計日志一般保留半年。

 

4.3.2 對安全信息的統(tǒng)計分析

 

通過對海量審計記錄的分析，通過建立多維度，多條件的分析模型，對用戶的關(guān)鍵操作進行關(guān)聯(lián)分析，并得出各類數(shù)據(jù)報表，便于運維人員從多角度進行監(jiān)控

 

5.隱私體系設(shè)計

 

隱私設(shè)計體系基于元數(shù)據(jù)，對最小粒度的個體進行隱私設(shè)置，通過隱私規(guī)則執(zhí)行引擎進行處理后，得到經(jīng)過隱理的數(shù)據(jù)。

 

1) 隱私規(guī)則定義

 

隱私規(guī)則定制了平臺內(nèi)資源的隱私程度級別和形式。其中隱私規(guī)則包含了對平臺資源數(shù)據(jù)的模糊、隱藏、替換、過濾操作、匿名的規(guī)則管理。平臺可以根據(jù)實際應(yīng)用場景，配置規(guī)則，對資源進行隱理，對查詢數(shù)據(jù)的進行過濾，或者對查詢字段的模糊處理，如用戶身份證等進行部分替換“*”處理。

 

2) 隱私規(guī)則分配

 

隱私規(guī)則創(chuàng)建完后，需要對規(guī)則進行一個有效的分配，才能使其得到一個有效的利用。隱私保護規(guī)則創(chuàng)建完后，一般情況下，將規(guī)則分配給用戶，用戶在請求數(shù)據(jù)時，經(jīng)過隱私規(guī)則執(zhí)行引擎進行模糊操作，最終出來的數(shù)據(jù)即為隱私后的數(shù)據(jù)。

 

3) 隱私規(guī)則執(zhí)行引擎

 

隱私規(guī)則執(zhí)行器，是對分配的隱私規(guī)則進行一個有效執(zhí)行的核心攔截處理部件。平臺對外提供的服務(wù)都會經(jīng)過隱私規(guī)則執(zhí)行器，自動識別隱私保護規(guī)則，返回或者共享的數(shù)據(jù)是經(jīng)過隱私設(shè)定的數(shù)據(jù)。

 

數(shù)據(jù)的隱私操作為數(shù)據(jù)密集型計算，隱私規(guī)則執(zhí)行器需要有良好的計算能力，作為平臺不可或缺的組件，采用分布式服務(wù)的理念進行設(shè)計，在用戶發(fā)起一次隱私計算時，通過分發(fā)器均勻分發(fā)給隱私執(zhí)行引擎，再由合并算法進行隱私合并，最終形成一份完整的隱私數(shù)據(jù)。

 

6.總結(jié)