信息安全方针精选(九篇)
前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的信息安全方针主题范文,仅供参考,欢迎阅读并收藏。
第1篇:信息安全方针范文
关键词:信息安全技术;仿真;实践教学;创新能力
中图分类号:TP309 文献标识码:A 文章编号文章编号:16727800(2014)001014202
作者简介作者简介:李毕祥(1981-),男, 硕士,武汉科技大学城市学院信息工程学部信息工程系讲师,研究方向为信息安全;郭冀生(1946-),男,武汉科技大学城市学院信息工程学部副教授,研究方向为数据库。
0 引言
信息安全技术是从事信息安全应用与信息技术研究的专业技术人员必须掌握的知识和技能。本课程需要理论和实践紧密结合,学生在掌握信息安全技术基本概念和基本理论之后,还要掌握网络管理和网络信息安全保障知识,深入理解网络信息安全的各项工作,并能理论联系实际,进一步应用信息安全技术。
为了充分提高学生的信息安全技术实践能力,迫切需要相应的硬件平台和软件平台作为实践支撑环境,但相关的硬件成本非常高,很难配备齐全,所以很多高校的信息安全技术试验都是传统的演示实验,很难提高学生学习信息安全技术的兴趣。本文设计的信息安全技术实验仿真平台可以充分模拟高校、企业和银行等网络环境,使用模拟软件进行仿真,绘制详细的网络拓扑图,分析网络流量,捕获数据包,分析信息安全,并提供信息安全解决方案。此仿真平台充分利用各种仿真软件的优势和特点,一方面能让教师合理实施实践教学任务,改革传统的实践教学模式,在改革中提高教师的教学能力和水平;另一方面,能让学生身临其境,自己绘制网络拓扑图,分析信息安全问题,充分调动学生的学习积极性,全面提高学生的自主创新能力,为就业打下坚实的基础。
1 研究内容和目标
1.1 研究内容
(1)建设信息安全实验室,加强信息安全虚拟平台建设。信息安全实验室是信息安全技术教学的实践场所,目前很多大学的实验中心还没有建成专门的信息安全实验室。由于信息安全实验室建设投入较大,建设周期长,在目前教学任务紧迫的情况下,唯有加强信息安全虚拟平台建设才能满足实验教学要求。虚拟实验平台主要依赖于软件和较少的配套硬件,使实验室的维护费用和工作量大大降低。在虚拟实验平台Boson、Opnet、Sniffer和Matlab上可以开展丰富的模拟实验,包括网络虚拟仿真、防火墙配置和基于SNMP的信息安全管理等。
(2)改革实验教学模式,创造自主学习模式,提高实验教学质量。对于信息安全的管理和实现,设定任务情境,对实验任务的选择可以具有梯度,更贴近工程应用。教师制定学习目标,学生可以自己设定任务情境,根据实际情况完成。例如,在信息安全管理实验中,学生可以自主设计网络拓扑结构,进行设备选型、配置和管理,以提高学生兴趣和实践动手能力为导向,鼓励学生自主学习。
(3)完善教学实验指导书,增加实验项目。
1.2 项目目标
(1)通过信息安全虚拟平台建设,强化学生的信息安全理论修养和实践能力,学以致用,通过实践来真正掌握信息安全技术的应用。
(2)通过信息安全虚拟平台的使用,增强学生之间的学术交流氛围。教学任务设定和日常信息安全技术应用,让学生不仅在课堂,在课余时间也有进行信息安全知识钻研的意识和环境。
(3)积极寻求相关途径进行校企合作,为进一步提高学生实践动手能力创造条件。
(4)建立结构合理的教学队伍,制定适应社会需求的教学内容,培养教师的科研能力,完成信息安全技术课程群梯队建设,形成一些具有较高水平的教学研究成果。
2 仿真实验项目解决的关键问题
(1)改革过于模式化的传统实验,培养学生的创造性思维。
信息安全技术传统实验内容大多局限于实验环境,脱离工程实际,实验效果不好,难以培养学生创新能力。学生毕业后从事信息安全工程实践时,很难将实验功底转化为从业能力。
(2)完善信息安全虚拟平台,进行优化和合理的实验设计。
信息安全虚拟实验平台是在能够进行网络通信的基础之上将计算机网络上虚拟的各种计算机、通信设备按实验要求组建成一个完整的虚拟实验网络,模拟实现各种计算机网络试验和测试,并能演示实验过程和信息安全管理的配置过程。使用已有网络虚拟平台Boson、Opnet、Sniffer和Matlab
进行合理的实验设计,达到提高学生实践能力的目的。
在绘制企业网络拓扑图,以及配置网络设备,例如交换机、路由器和防火墙时,选用Boson软件来完成拓扑图的绘制和网络设备的模拟配置。实验效果描述如下:在捕获和分析网络中的数据包时,选用sniffer软件来完成;在分析网络的流量和网络参数时,选用openet软件来完成;在分析相关的数据和结果时,选用Matlab仿真软件来完成。可以充分结合以上各种模拟软件的特点和优势,完成复杂的信息安全实验项目。
(3)培养学生之间的合作精神,让学生体验团队协作。
在传统的教学过程中,虽然在实验环节也采用了分组进行的模式,但在具体操作过程中部分学生并没有真正参与,也就谈不上团队意识和协作学习,信息安全虚拟实验平台可以拓展和改善学习环境和氛围。
(4)传统课程考核模式陈旧,需要借助信息安全虚拟实验平台进行改革。
传统的考核模式,内容局限于教材中的基本理论和基本知识,缺乏对学生知识、能力与素质的综合考察,不利于学生应用能力的培养和创新精神的形成。另外,考试形式单一,在课程总评成绩的计算中实践部分所占比重很小,制约了学生实践能力的培养。
(5)积极寻求相关途径进行校企合作,让学生进入企业实习和工作,为进一步提高学生实践动手能力创造条件。
3 教学方法
教学方法的改革,目的是使学生在实际应用时能够灵活地将理论与实践相结合,培养学生运用知识分析问题解、决问题的能力。除了传统的行之有效的教学方法之外,还应该采用一些有专业特色的教学方法,与时俱进。主要采取如下方法:
(1)在信息安全技术虚拟平台上,将传统的实验题目改编为自主型实验题目。针对设计型实验的内容和要求,根据机房环境和信息安全技术虚拟平台,精心设计相关题目和题目的梯度任务,或将原有实验题目进行改造,形成与实验要求相对应的自主型实验题目系列。将实验教学中传统的特定环境实验题目改为以问题为主线的任务情境,使学生自主选择合理的任务并进行自主设计,培养学生创新能力。
(2)实验教学中增强学生团队意识。利用信息安全技术虚拟实验平台拓展和改善学习环境和氛围。在传统的分组模式基础上,在具体操作过程中根据学生水平结合自愿原则分组,鼓励学生制定不同梯度的任务作为目标,适时引导和有效监督,让学生体会到团队合作的重要性,培养竭诚合作的精神。此时,教师的引导作用很重要。
(3)利用信息安全虚拟实验平台,改革实践课程考核体系。实验考核中,学生要在规定时间内独立解决问题,确保实践考核的实时性、公开性和准确性。这样的学习考核方式,使学生学习有目标、有压力,学生在课前会认真做好准备,课后强化相关的信息安全的设计和应用,调动了学生的学习兴趣,从而达到了提高学生解决实践问题能力的教学目的。
(4)寻求校企合作,鼓励学生到相关企业实习和工作。让学生了解企业信息安全人才需求,努力让学生密切联系实际,鼓励学生到相关企业实习和工作。在学校有限的实验条件下,积极寻求校企合作,鼓励学生去企业实习,为毕业生顺利就业和后续扩大专业招生打下良好的基础。
参考文献:
[1] RONGFENG, DENGGUO . A detailed implement and analysis of MPLS VPN based on IPSec proceedings of 2008 international conference on machine learning and cybernetics[R],2008.
[2] FRIEND.Robert making the gigabit IPSec VPN architecture secure source[J].Computer, v37, June, 2009.
[3] CHIUANHUNG LIN, YINGDAR LIN, YUANCHEN LAI. VPN gateways over network processors:implementation and evaluation;real time and embedded technology and applications symposium[J].RTAS 2005.11th IEEE 0710 March 2009.
[4] ZHAO DAYUAN, JIANG YIXIN, LIN CHUANG,et al.Implementation and performance evaluation of IPSec VPN based on netfilter[J].Wuhan University Journal of Natural Sciences,v10,January,2009.
[5] 张剑,寇应展,蒋炎,等. IPSecVPN技术及其安全性[J].福建电脑, 2007(11).
[6] 李超.Linux下IPSec协议的实现[J].计算机应用,2008 (6).
第2篇:信息安全方针范文
摘要:文章首先分析了信息安全外包存在的风险,根据风险提出信息安全外包的管理框架,并以此框架为基础详细探讨了信息安全外包风险与管理的具体实施。文章以期时信息安全外包的风险进行控制,并获得与外包商合作的最大收益。
1信息安全外包的风险
1.1信任风险
企业是否能与信息安全服务的外包商建立良好的工作和信任关系,仍是决定时候将安全服务外包的一个重要因素。因为信息安全的外包商可以访问到企业的敏感信息,并全面了解其企业和系统的安全状况,而这些重要的信息如果被有意或无意地对公众散播出去,则会对企业造成巨大的损害。并且,如若企业无法信任外包商,不对外包商提供一些关键信息的话,则会造成外包商在运作过程中的信息不完全,从而导致某些环节的失效,这也会对服务质量造成影响。因此,信任是双方合作的基础,也是很大程度上风险规避的重点内容。
1.2依赖风险
企业很容易对某个信息安全服务的外包商产生依赖性,并受其商业变化、商业伙伴和其他企业的影响,恰当的风险缓释方法是将安全服务外包给多个服务外包商,但相应地会加大支出并造成管理上的困难,企业将失去三种灵活性:第一种是短期灵活性,即企业重组资源的能力以及在经营环境发生变化时的应变能力;第二种是适应能力,即在短期到中期的事件范围内所需的灵活性,这是一种以新的方式处理变革而再造业务流程和战略的能力,再造能力即包括了信息技术;第三种灵活性就是进化性,其本质是中期到长期的灵活性,它产生于企业改造技术基本设施以利用新技术的时期。进化性的获得需要对技术趋势、商业趋势的准确预测和确保双方建立最佳联盟的能力。
1.3所有权风险
不管外包商提供服务的范围如何,企业都对基础设施的安全操作和关键资产的保护持有所有权和责任。企业必须确定服务外包商有足够的能力承担职责,并且其服务级别协议条款支持这一职责的履行。正确的风险缓释方法是让包括员工和管理的各个级别的相关人员意识到,应该将信息安全作为其首要责任,并进行安全培训课程,增强常规企业的安全意识。
1.4共享环境风脸
信息安全服务的外包商使用的向多个企业提供服务的操作环境要比单独的机构内部环境将包含更多的风险,因为共享的操作环境将支持在多企业之间共享数据传输(如公共网络)或处理(如通用服务器),这将会增加一个企业访问另一企业敏感信息的可能性。这对企业而言也是一种风险。
1.5实施过程风险
启动一个可管理的安全服务关系可能引起企业到服务外包商,或者一个服务外包商到另一个外包商之间的人员、过程、硬件、软件或其他资产的复杂过渡,这一切都可能引起新的风险。企业应该要求外包商说明其高级实施计划,并注明完成日期和所用时间。这样在某种程度上就对实施过程中风险的时间期限做出了限制。
1.6合作关系失败将导致的风险
如果企业和服务商的合作关系失败,企业将面临极大的风险。合作关系失败带来的经济损失、时间损失都是不言而喻的,而这种合作关系的失败归根究底来自于企业和服务外包商之间的服务计划不够充分完善以及沟通与交流不够频繁。这种合作关系在任何阶段都有可能失败,如同其他商业关系一样,它需要给予足够的重视、关注,同时还需要合作关系双方进行频繁的沟通。
2信息安全外包的管理框架
要进行成功的信息安全外包活动,就要建立起一个完善的管理框架,这对于企业实施和管理外包活动,协调与外包商的关系,最大可能降低外包风险,从而达到外包的目的是十分重要的。信息安全外包的管理框架的内容分为几个主体部分,分别包括企业协同信息安全的外包商确定企业的信息安全的方针以及信息安全外包的安全标准,然后是对企业遭受的风险进行系统的评估.并根据方针和风险程度.决定风险管理的内容并确定信息安全外包的流程。之后,双方共同制定适合企业的信息安全外包的控制方法,协调优化企业的信息安全相关部门的企业结构,同时加强管理与外包商的关系。
3信息安全外包风险管理的实施
3.1制定信息安全方针
信息安全方针在很多时候又称为信息安全策略,信息安全方针指的是在一个企业内,指导如何对资产,包括敏感性信息进行管理、保护和分配的指导或者指示。信息安全的方针定义应该包括:
(1)信息安全的定义,定义的内容包括信息安全的总体目标、信息安全具体包括的范围以及信息安全对信息共享的重要性;
(2)管理层的目的的相关阐述;
(3)信息安全的原则和标准的简要说明,以及遵守这些原则和标准对企业的重要性;
(4)信息安全管理的总体性责任的定义。在信息安全方针的部分只需要对企业的各个部门的安全职能给出概括性的定义,而具体的信息安全保护的责任细节将留至服务标准的部分来阐明。
3.2选择信息安全管理的标准
信息安全管理体系标准BS7799与信息安全管理标准IS013335是目前通用的信息安全管理的标准:
(1)BS7799:BS7799标准是由英国标准协会指定的信息安全管理标准,是国际上具有代表性的信息安全管理体系标准,标准包括如下两部分:BS7799-1;1999《信息安全管理实施细则》;BS7799-2:1999((信息安全管理体系规范》。
(2)IS013335:IS013335《IT安全管理方针》主要是给出如何有效地实施IT安全管理的建议和指南。该标准目前分为5个部分,分别是信息技术安全的概念和模型部分;信息技术安全的管理和计划部分;信息技术安全的技术管理部分;防护和选择部分以及外部连接的防护部分。
3.3确定信息安全外包的流程
企业要根据企业的商业特性、地理位置、资产和技术来对信息安全外包的范围进行界定。界定的时候需要考虑如下两个方面:
(1)需要保护的信息系统、资产、技术;
(2)实物场所(地理位置、部门等)。
信息安全的外包商应该根据企业的信息安全方针和所要求的安全程度,识别所有需要管理和控制的风险的内容。企业需要协同信息安全的外包商选择一个适合其安全要求的风险评估和风险管理方案,然后进行合乎规范的评估,识别目前面临的风险。企业可以定期的选择对服务外包商的站点和服务进行独立评估,或者在年度检查中进行评估。选择和使用的独立评估的方案要双方都要能够接受。在达成书面一致后,外包商授予企业独立评估方评估权限,并具体指出评估者不能泄露外包商或客户的任何敏感信息。给外包商提供关于检查范围的进一步消息和细节,以减少任何对可用性,服务程度,客户满意度等的影响。在评估执行后的一段特殊时间内,与外包商共享结果二互相讨论并决定是否需要解决方案和/或开发计划程序以应对由评估显示的任何变化。评估所需要的相关材料和文档在控制过程中都应该予以建立和保存,企业将这些文档作为评估的重要工具,对外包商的服务绩效进行考核。评估结束后,对事件解决方案和优先级的检查都将记录在相应的文件中,以便今后双方在服务和信息安全管理上进行改进。
3.4制定信息安全外包服务的控制规则
依照信息安全外包服务的控制规则,主要分为三部分内容:第一部分定义了服务规则的框架,主要阐明信息安全服务要如何执行,执行的通用标准和量度,服务外包商以及各方的任务和职责;第二部分是信息安全服务的相关要求,这个部分具体分为高层服务需求;服务可用性;服务体系结构;服务硬件和服务软件;服务度量;服务级别;报告要求,服务范围等方面的内容;第三部分是安全要求,包括安全策略、程序和规章制度;连续计划;可操作性和灾难恢复;物理安全;数据控制;鉴定和认证;访问控制;软件完整性;安全资产配置;备份;监控和审计;事故管理等内容。
3.5信息安全外包的企业结构管理具体的优化方案如下:
(1)首席安全官:CSO是公司的高层安全执行者,他需要直接向高层执行者进行工作汇报,主要包括:首席执行官、首席运营官、首席财务官、主要管理部门的领导、首席法律顾问。CSO需要监督和协调各项安全措施在公司的执行情况,并确定安全工作的标准和主动性,包括信息技术、人力资源、通信、法律、设备管理等部门。
(2)安全小组:安全小组的人员组成包括信息安全外包商的专业人员以及客户企业的内部IT人员和信息安全专员。这个小组的任务主要是依照信息安全服务的外包商与企业签订的服务控制规则来进行信息安全的技术。
(3)管理委员会:这是信息安全服务外包商和客户双方高层解决问题的机构。组成人员包括双方的首席执行官,客户企业的CIO和CSO,外包商的项目经理等相关的高层决策人员。这个委员会每年召开一次会议,负责审核年度的服务水平、企业的适应性、评估结果、关系变化等内容。
(4)咨询委员会:咨询委员会的会议主要解决计划性问题。如服务水平的变更,新的技术手段的应用,服务优先等级的更换以及服务的财政问题等,咨询委员会的成员包括企业内部的TI’人员和安全专员,还有财务部门、人力资源部门、业务部门的相关人员,以及外包商的具体项目的负责人。
(5)安全工作组:安全工作组的人员主要负责解决信息安全中某些特定的问题,工作组的人员组成也是来自服务外包商和企业双方。工作组与服务交换中心密切联系,将突出的问题组建成项目进行解决,并将无法解决的问题提交给咨询委员会。
(6)服务交换中心:服务交换中心由双方人员组成,其中主要人员是企业内部的各个业务部门中与信息安全相关的人员。他们负责联络各个业务部门,发掘出企业中潜在的信息安全的问题和漏洞,并将这些问题报告给安全工作组。
(7)指令问题管理小组:这个小组的人员组成全部为企业内部人员,包括信息安全专员以及各个业务部门的负责人。在安全小组的技术人员解决了企业中的安全性技术问题之后,或者,是当CSO了关于信息安全的企业改进方案之后,这些解决方案都将传送给指令问题管理小组,这个小组的人员经过学习讨论后,继而将其到各个业务部门。
(8)监督委员会:这个委员会全部由企业内部人员组成。负责对外包商的服务过程的监督。
第3篇:信息安全方针范文
(2001)民一终字第79号
上诉人(原审被告):海城市百柳镇人民政府,住所地辽宁省海城市西柳镇。
法定代表人:高士佩,镇长。
委托人:孙伟,北京市瑞驰律师事务所律师。
委托人:关德才,男,汉族,1952年6月10日生,辽宁省鞍山市东顺法律服务所工作人员,住辽宁省鞍山市铁东区胜利一中委四组。
被上诉人(原审原告):海城市诚信房屋开发总公司,住所地辽宁省海城市西柳镇石景村。
法定代表人:郝德彪,经理。
委托人:曲永茎,鞍山东北律师事务所律师。
上诉人海城市西柳镇人民政府(以下简称镇政府)为与海城市诚信房屋开发总公司(以下简称诚信公司)土地使用权转让、侵权赔偿纠纷一案,不服辽宁省高级人民法院(1999)辽民初字第3号民事判决,向本院提?上诉。本院依法组成合议庭审理了本案已审理终结。
经审理查明:1994年3月30日,辽宁省海城准征用海城市西柳镇45公顷旱地并出让给海城市西柳镇服装市场管理委员会,用于扩建服装市场。出让年限50年,地价每平方米30元,出让金总额1350万元。同年5月17日,镇政府取得海城市城乡建设委员会发给的该45公顷土地的《建设用地规划许可证》和《建设工程规划许可证》。1994年6月4日,镇政府与诚信公司签订了《关于西柳市场扩建工程市场南正楼的投资建设协议》,约定:一、镇政府将8576平方米的土地使用权以每平方米200元出让给诚信公司,考虑到一楼通往市场楼道的占有量,镇政府退还诚信公司土地出让金20.16万元,实际土地出让金151.36万元,协议生效后一次交付给镇政府。二、诚信公司按照镇政府的市场建设总体规划投资建设市场南正楼,具有独立产权资格,自行处理房屋产权。三、诚信公司享受镇政府市场建设的各项优惠政策,工程于1994年11月15日投入使用。四、镇政府享有对诚信公司经营的所有商业网点的管理权,负责工程投入使用后的配套来源,综合配套费按决算价格合理负担。五、如诚信公司中途停工,视为诚信公司放弃工程建设,其投入的资金无偿交付镇政府。如不能如期将工程交付使用,每延期一天赔偿镇政府2万元。该合同经海城市公证处公证。
1994年6月6日,镇政府与诚信公司签订《关于西柳镇人民政府购买城信房屋开发总公司的建市场正南楼第四层楼的协议》,约定:镇政府购买诚信公司投资建设的西柳市场南正楼四层的全部建筑房间,价格为基本造价,约每平方米1200元,共计893.76万元。协议签订后一个月内付款200万元,房屋投入使用时付款结束。该协议签订后,镇政府没有交付购房款,但南正楼第四层楼一直由镇政府占用。一审期间,诚信公司表示南正楼第四层楼可以由镇政府使用,但应确认诚信公司的产权,由诚信公司和镇政府协商使用期限和租金数额。
1994年6月18日,诚信公司向镇政府交纳土地使用权转让金150万元(收款收据名义:市场南楼土地征用费)和暂存款50万元。诚信公司和鞍山市第八建筑工程公司签订了《建设工程施工合同》,同年11月15日市场南正楼建成投入使用。工程建设期间,镇政府和诚信公司分别对外预售了南正楼的摊位及一楼门点。镇政府收取预售款后再转给诚信公司。经一审法院委托沈阳华伦会计师事务所对镇政府预售摊位的时间、数量、收款金额、资金流向及预售门点房的收款等情况进行了审计鉴定,该事务所依据镇政府提供的会计资料和凭证、海城市西柳镇财政所提供的会计凭证和明细账,确认镇政府售出摊位1350个,收款2565万元;出售门点1021.51平方米,销售款510.755万元,两项合计3075.755万元。镇政府向诚信公司共转款2100万元,其中800万元是以销售摊位款的名义,1300万元以镇政府投资款的名义划转。诚信公司向镇政府出具了收款收据。剩余的975.755万元销售款镇政府没有转给诚信公司。镇政府另占用门点房屋1860.49平方米,按门点房屋销售价每平方米5000元计,合款930.245万元。
镇政府主张,工程施工期间,镇政府曾与诚信公司达成由镇政府投资1500万元与诚信公司进行联建、双方按62%和38%的比例分配利润的口头协议。诚信公司则称镇政府提出过联建要求,但双方没有达成口头协议。
1999年2月20日,诚信公司向辽宁省高级人民法院提起诉讼,请求确认其享有百柳镇服装市场南正楼的全部产权和经营管理权,责令镇政府为其补办相关的产权手续,停止侵权行为并赔偿其经济损失2100万元,承担违约责任。2001年2月11日,诚信公司向一审法院请求以2001年1月2日的审计报告为准确定镇政府欠款的数额。
一审法院认为,镇政府与诚信公司签订的《关于西柳市场扩建工程市场南正楼的投资建设协议》是双方当事人的真实意思表示,合法有效。诚信公司依据该协议向镇政府交付了土地使用权转让金,委托鞍山市第八建筑工程公司完成了建设施工,支付了工程款,已经实际履行了合同义务。镇政府主张该协议已经废止,双方另行约定了联合开发的协议内容,没有确实充分的证据证明,不予采信。镇政府虽以投资款名义转给诚信公司1300万元款项,但经审计确认,该款是镇政府预售诚信公司开发的房屋所得,并非镇政府的实际投资。依据双方协议的约定,工程建成后其产权归诚信公司所有,前期预售的摊位、门点,应由诚信公司为购房人办理相应的产权或使用权手续。因此镇政府销售摊位、门点所得款项应当返还给诚信公司。镇政府使用的四楼房屋,应与诚信公司协商使用期限和房屋租金。镇政府收取的3075.755万元预售款,除已返还的2100万元外,尚欠的975.755万元应当返还。镇政府占用门点1860.49平方米,合款930.245万元,亦应返还。因双方未约定销售款的给付期限,且镇政府为诚信公司销售房屋亦做了一定工作,故镇政府可不赔偿上述款项的占款利息。关于已售出的摊位、门点的管理费,除应由工商行政管理部门收取的管理费之外,其它基于市场南正楼房屋产权而产生的费用应归诚信公司所得。本案涉及的国有土地使用权和房屋产权权属证书,诚信公司可持相关法律文件到有关行政管理部门办理,镇政府应予配合。依据《中华人民共和国民法通则》第八十八条第一款、第一百一十七条第一款、《中华人民共和国城市房地产管理法》第五条的规定,判决:一、海城市百柳服装市场南正楼的产权及相应的国有土地使用权归诚信公司所有;二、镇政府于判决生效后10日内返还诚信公司售房款975.755万元;三、镇政府于判决生效后10日内将占用的门点房屋1860.49平方米返还给诚信公司,如不能返还房屋,则应返还该房屋的折价款930.245万元;四、驳回诚信公司的其它诉讼请求。案件受理费115010元,审计费30000元,由镇政府负担。
镇政府不服一审判决向本院提?上诉,请求改判镇政府对南正楼享有62%的产权,诚信公司享有38%的产权。理由是:1、1994年6月4日镇政府与诚信公司签订的《关于西柳市场扩建工程市场南正楼的投资建设协议》是无效协议,实际上没有履行。南正楼建设资金绝大部分来自摊位和门点的预售款。诚信公司称南正楼工程款为3600万元,而镇政府陆续以“预售摊床款、工程款、付市场综合楼投资款”的名义向诚信公司拨款3300万元,因此预售摊位和门市的款项基本满足了工程所需资金。如果认定为工程投资,也应视为双方投资,不能认定为单方投资。镇政府与诚信公司曾口头协商过镇政府投资1500万元,按62:38与诚信公司分配利润的问题,在向诚信公司拨付预售摊床款的工程中,镇政府也以“镇政府投资款”的名义拨付了1503.35万元,诚信公司开具了收据。因此口头协议已经实际履行,南正楼建成后,双方也是基本按此比例实际占有的。另外,一审诉讼转让没有实际解决,诚信公司1994年6月24日才领取其营业执照,《关于西柳市场扩建工程市场南正楼的投资建设协议》应认定为无效协议。2、一审判判决依据审计报告判令镇政府返还诚信公司款项合计1905.1万元数额有误。诚信公司在起诉状中称镇政府预售摊位和门点的收入共计3312.68万元,先后转给诚信公司3300万元,尚欠12.68万元。但一审判决却判令镇政府返还预售款975.755万元。而一审诉讼中诚信公司并没有增加诉讼请求。3、一审判决遗漏了镇政府的其它投资。包括配套费663万元、含南正楼在内交纳二期工程各种税款2311万元,南正楼防火设施费120万元,奖励施工单位90万元等。
诚信公司答辩称,《关于西柳市场扩建工程市场南正楼的投资建设协议》合法有效,已经实际履行。根据人民政府组织法的规定,政府机关从事市场经营行为是为我国法律所禁止的。镇政府作为政府机关履行政府的社会管理职能,不能直接参与企业的经营活动。镇政府主张工程施工过程中双方口头达成联建协议,没有事实根据。一审法院委托沈阳市华伦审计事务所进行的审计是依据镇政府提供的账目进行的,结果客观、公正。镇政府所称的其它投资从性?上看,配套费不是对南正楼的投资,税款是整个市场工程的税款,不仅是南正楼的税款。防火设施费缺乏证据证实,奖励施工单位的款项与本案无关,是镇政府的单方行为,财务凭据上也表现为鞍山市第八建筑工程公司的借款单。同时镇政府在一审期间也没有提出反诉请求,主张其权利。请求驳回上诉,维持原判。
本院认为,镇政府主张其与诚信公司存在联建的“口头协议”,缺乏证据。镇政府作为政府机关,称其与诚信公司“投资联建”,与其政府机关的性质、职能不符。1994年6月4日双方订立的《关于西柳市场扩建工程市场南正楼的投资建设协议》是土地使用权转让性质的合同,其内容不违反法律规定。虽然诚信公司1994年6月24日取得企业法人营业执照,但双方当事人已经实际履行该协议,诚信公司是建设项目的投资者和建设者,一审法院认定合同合法有效并无不当。诚信公司对镇政府预售摊位款的情况提出异议,请求对镇政府的收款账目进行审计,镇政府表示同意。经一审法院委托沈阳华伦会计师事务所进行审计,确定了镇政府预售摊位的时间、数量、收款金额、资金流向及预售门点房的收款情况等,其依据是镇政府提供的会计资料和镇政府财政所提供的会计凭证和明细账。审计鉴定程序合法,双方当事人无异议,审计结论经双方当事人质证。诚信公司于2001年2月11日请求一审法院对镇政府欠款数额以审计报告为准,应当视为其已变更了诉讼请求。一审法院依据双方当事人一致同意的审计结论确认欠款数额作出判决并无不当。镇政府上诉提出一审判决超出了诚信公司的诉讼请求的理由不能成立。本院二审期间,镇政府也没有对返还预售款的数额问题提交相反的证据证明审计结论有错误,因此镇政府应按审计结论确定的数额向诚信公司返还尚欠的预售款。镇政府主张的配套费等“其它投资”问题,因镇政府对此没有提出反诉,可由镇政府依法另行解决。镇政府与诚信公司之间的《关于西柳市场扩建工程市场南正楼的投资建设协议》合法有效,镇政府应协助诚信公司办理相关的房屋产权和土地使用权手续。我国实行的是国有土地有偿使用制度,一审判决第一项确认海城市百柳服装市场南正楼的土地使用权归诚信公司所有不当。依据《中华人民共和国民事诉讼法》第一百五十三条第一款第(二)项的规定,判决如下:
一、变更辽宁省高级人民法院〈1999〉辽民初字第3号民事判决第一项为:诚信公司享有海城市西柳服装市场南正楼的房屋产权和土地使用权。
二、维持辽宁省高级人民法院〈1999〉辽民初字第3号民事判决第二、三、四项。
一审案件受理费按一审判决执行,二审案件受理费115010元,由镇政府负担。
本判决为终审判决。
审判长 胡仕浩
审判员 张雅芬
审判员 杨兴业
第4篇:信息安全方针范文
关键词:信息安全;管理;电子信息
引言
在计算机技术更新、发展迅速的今天,总有一些不法分子通过各种手段窃取企业信息,严重威胁企业财产、业务安全,甚至损坏企业形象与品牌。在传统的信息安全管理中,往往忽略了人在信息安全方面的重要作用,而仅仅依赖于技术管理。虽然技术对信息安全管理有重要作用,但如果只依赖于技术管理,将不能起到良好的防范效果。因为据权威机构的数据显示,在所有信息安全事故中,70%-80%是因为内部员工的疏忽或泄密引起的。因此,为了提高电子信息的安全管理,必须加强企业对网络的防范意识,建立电子商务安全管理体系和信息安全管理制度等。
一、加强电子信息网络安全防范意识
据调查,网站安全的隐患,在我国的许多企业都有存在,它的原因主要是企业管理者对网络安全意识缺乏足够的重视,他们大多数对网络安全系统只建立了技术防范机制,用一些先进的技术手段阻隔窃取者的入侵,保证电子信息的安全,但是却未形成互联网易受攻击的意识。这就为黑客等窃取者有机可乘。尤其在一些中小企业,认为自己公司的规模小,不会招致侵犯,如此态度,网络安全就更难以得到保护。因此,要使电子商务信息安全得到保护,必须加强企业管理者与工作人员的安全防范意识,只有如此才能维护电子商务信息安全。
二、建立健全电子安全管理组织体系
加强对电子信息安全的保护,必须在坚持企业目标与安全方针的前提下,在企业内部建立电子商务安全管理组织体系,就是建立信息安全指导委员会,对组织内的信息安全问题定期进行讨论与解决。他们主要负责审批信息安全方针、政策;分配信息安全管理职责;并对风险评估加以确认,对信息安全预算计划及设施购置的审查与批复;此外,还有负责实施与评审信息安全的措施与监测和对安全事故的处理;以及协调与信息安全管理有关的重大更改事项的决策,对信息安全管理队伍与各部门之间的关系的等职能。
三、建立电子信息安全管理制度
电子商务信息安全管理制度主要有人员管理制度、保密制度、系统维护制度、病毒防范制度等。制定科学合理的电子信息安全管理制度,对企业的信息安全管理有着积极的促进作用。企业要根据自身的特点,在制度制定时对网络信息的安全等级进行有序的划分,以此使具体的安全目标加以确立。
1.人员管理制度
人员管理制度包括人事选拔制度、人员管理原则、网络管理人员的基本要求等内容。其中,良好的人事选拔制度是维护电子信息安全之本。人员管理的基本原则包括多人负责原则和轮岗原则、有限权力原则、离职控制原则。而网络管理人员的基本要求包括以下几个方面:
(1)不得随便放置账号和密码;(2)在废纸堆中不得放置敏感数据;(3)不得使陌生人进入要害部门;(4)要将防火墙等安全产品谨慎配置;(5)不得使用人人皆知的密码和空密码;(6)加强层层设防重要系统;(7)查阅安全日志需配备专人;(8)对员工的安全防范意识加以培训。
2.保密制度
企业的市场、生产、财务、供应等多方面的机密,电子信息运营都有所涉及,因此制定和实行严格的保密制度是完全有必要的事情。我们依靠信息的性质和重要程度,将保密信息划分为三级。分别是必须实行强制安全保护的A级机密信息,必须实行自主安全保护的B级内部信息与必须实行一般安全保护级的C级公共信息。
3.网络系统的日常维护制度
网络系统的日常维护制度是用于记录系统运行的全过程。这就要求企业在网络系统中建立网络交易系统日志机制,并自动生成日志文件。日志文件主要内容有:操作的日期、操作的方式、登录的次数、运行的时间、交易的内容等。它对监督系统的运行、分析维护、恢复故障、防止盗密案件的发生等起着非常重要的作用。此外,它还有检查系统日志、审核、对系统故意入侵行为及时发现的记录和对系统安全功能违反的记录、监控和捕捉各种安全事件、保存、维护和管理系统日志等的审计作用。
4.防止病毒入侵制度
作为防止病毒袭击,保证网上交易的一个重要方面,防病毒入侵制度对网上交易的顺利开展,有着积极的防范作用。因此必须及时建立病毒防范措施,实行病毒定期清理制度,将处于潜伏期的病毒清除干净,预防与阻止病毒的突然爆发,保持计算机的工作状态始终处于良好的环境中,从而为网上交易的正常进行提供有力的保证。
四、结束语
企业电子信息的安全管理依赖于一个完整而有力的管理体系,来保证信息安全管理的规范与长效。而建立完善的管理体系需要注重人为方面的因素,将人为因素与科技因素结合起来,这样才能达到企业安全管理的安全、可靠与稳定。
参考文献:
[1]赵刚;王兴芬.电子信息安全管理体系架构优先出版[J].北京信息科技大学学报(自然科学版,2010(14).
第5篇:信息安全方针范文
内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果一级对法律法规的遵守,由管理层和其他人员设计和执行的政策和程序。
ERP系统引入内部控制是内部控制的革新,ERP的引入给内部控制带来了新的方法,改变了内部控制的方式,其集中性的数据处理使内部控制程序化,扩大了内部会计控制的范围,改变了内部控制的内部与外部环境,改变了内部会计控制的重点,使内部控制的重点不只是在人员之间的互相牵制上。它还改变了信息与沟通的模式,电子化、程序化的信息传递取代了以信息存储技术,物理性可视的手工信息传递,为管理者、员工和顾客等提供了更为方便的交流平台。
二、ERP系统下企业内部控制的风险
首先,ERP系统的实施本身就存在着很大的不确定性,总会存在着一些不可预见的影响因素凸显出来,影响ERP系统在企业中的实施,由此而带来的风险是一个方面,同时,企业内部控制本来就存在着一些固有风险和不确定风险。这些风险主要表现在以下几个方面:
1.系统设备的控制风险
设备是ERP系统运行的基础,因此如何保证设备的安全是系统风险防范的基础。设备安全面临的风险主要是各种自然灾害和人员的偷窃行为。如果一个企业没有对设备安全风险进行分析,并置备必要的预防系统,在事故突然发生时就不能迅速做出反应,防止设备受到损害。
2.管理部门内的控制风险
职责分离是企业内部控制的基础控制手段,其主要目标是预防因内部人员的舞弊行为而使企业遭受损失。在ERP系统环境下,如果一个企业没有对相关职位进行职责分离或者没有严格分离,这些职位的责任人就都有可能随便查看系统甚至修改系统,盗取系统数据,这对企业会造成很大的损失。
3.信息传递的控制风险
信息传递即企业ERP系统与网上采购系统以及财务会计系统等进行沟通。由工作人员将通过网上竞标得到的供应商信息录入到ERP系统中进行物料采购的管理。各财务数据信息也由工作人员导入ERP系统中,由系统进行处理,形成可识别文件类型。这些都要在保证输入正确的基础上进行。在这一过程中,风险存在各个方面,如在输入的过程中,可能产生输入数据的错误,有时一个数据的错误就会导致整个系统的数据无法对上,再次录入或者检查又会浪费很多时间,大大降低工作效率。各个系统的连接,也可能出现问题,导致ERP系统的运用出现一系列差错,等等。
三、ERP系统下企业内部控制风险的防范
1.加强安全意识,完善安全管理
企业应设立与安全相关部门,已设置安全部门的应强调安全部门的重要作用,完善安全部门的职能,明确其工作重点与目标,加强安全防范。
2.严格部门内部系统管理人员职责分离
在ERP系统环境下,可能发生舞弊行为的职位应该分由不同的人员负责,避免一人负责几个相关职务的工作。严格系统管理人员的职责分离,明确纪律,对工作人员进行这方面的教育,保证ERP系统的运行有一个安全正规的内部环境。
3.加强员工的信息安全意识,进行信息安全控制的再教育
企业ERP系统和内控系统的安全管理离不开人的作用,企业应该从上至下建立起信息安全的观念,管理层应根据系统的需要和特点制定一套具体的信息安全指导方针,并向企业各部门。同时,对员工进行信息安全的再教育,培养员工的信息安全意识,使员工在进行业务处理时能够依据企业的信息安全方针进行信息安全控制和风险防范,并使其成为员工的一项自觉的行为。
4.加强监督
任何事情不仅要有一套实施的体系,还必须有相应的监督体系。缺少了监督,就会日渐成风。这里所说的监督,不是只对系统操作人员和管理人员等进行的监督,也包括管理层人员和系统操作人员,还包括其他员工。系统操作人员是最直接与系统接触的,在系统环境下,他们负责处理日常各种业务,舞弊的可能性最大,在企业中,对他们进行直接监督的是上级管理人员,但这是不够的,各管理层人员和其他员工都有监督的权利和义务。对管理层人员来说,由于职权的关系,他们大多时候可以直接进入系统,所受约束比较小,舞弊和与系统操作人员共同舞弊的可能性也是很大的,因此管理人员也是应该接受人们监督的。员工,不仅系统操作部门的员工,也包括其他各部门员工,既有监督他人的权利,也要受其他人的监督。
第6篇:信息安全方针范文
关键词: 企业信息系统;信息安全;安全策略
中图分类号:F270.7 文献标识码:A 文章编号:1671-7597(2012)0220165-01
随着市场经济的不断发展,企业竞争越来越激烈,国际化合作不断增多,随之而来的企业信息安全是目前我国企业普遍存在的问题。对企业来说,信息安全是一项艰巨的工作,关系到企业的发展。近年来,围绕企业信息安全问题的话题不断,企业信息安全事件也频频发生,如何保证企业信息的安全,保证信息系统的正常运转,已经成为信息安全领域研究的新热点。
1 企业信息安全的意义
信息安全是一个含义广泛的名词,是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏,或防止信息被非法辨识、控制,即确保信息的保密性、可用性、完整性和可控性。企业的正常运转,离不开信息资源的支撑。企业信息安全建设对企业的发展意义重大。
首先,信息安全是时展的需要。计算机网络时代的发展,改变了传统的商务运作模式,改变了企业的生产方式和思想观念,极大推动了企业文化的发展。企业信息安全的建设将使得企业的管理水平与国际先进水平接轨,从而成长为企业向国际化发展与合作的有力支撑。
其次,信息安全是企业发展的需要。企业的信息化建设带来了生产效率提高、成本降低、业务拓展等诸多好处。当前越来越多的企业信息和数据,都是以电子文档的形式存在,对企业来说,信息安全是使企业信息不受威胁和侵害的保证,是企业发展的基本保障,所以,在积极防御,综合防范的方针指导下,有效地防范和规避风险,建立起一套切实可行的长效防范机制,逐步建立起信息安全保障体系,有利于企业的发展。
最后,信息安全是企业稳定的必要前提。信息安全成为保障和促进企业稳定和信息化发展的重点,要充分认识信息安全工作的紧迫感和长期性,从企业的安全、经济发展、企业稳定和保护企业利益的角度来思考问题,扎扎实实地做好基础性工作和基础设施建设,在建立信息安全保障体系的过程中,必须搞好链接信息安全保障体系建设安全、建设健康的网络环境,关注信息战略,保障和促进信息化的健康发展。
2 企业信息安全的现状
我国企业信息安全包括计算机系统的硬、软件及系统中的数据受到保护,不受偶然的或恶意的原因而遭到破坏、更改、泄露,使得系统连续、可靠、正常的运行,网络服务不中断。计算机和网络技术具有复杂性和多样性,使得企业信息安全成为一个需要持续更新和提高的领域。就目前来看,主要存在以下三个方面的隐患。
2.1 企业缺少信息安全管理制度
企业信息安全是一个比较新的领域,目前还缺少比较完善的法规,现有的法规,由于相关安全技术和手段还没有成熟和标准化,法规也不能很好地被执行,安全标准和规范的缺少,导致无从制定合理的安全策略并确保此策略能被有效执行。企业的信息系统安全问题是一个系统工程,涉及到计算机技术和网络技术以及管理等方方面面,同时,随着信息系统的延伸和新兴技术集成应用升级换代,它又是一个不断发展的动态过程。因此对企业信息系统运行风险和安全需求应进行同期化的管理,不断制定和调整安全策略,只有这样,才能在享受企业信息系统便利高效的同时,把握住信息系统安全的大门。
2.2 员工缺少安全管理的责任心
一个企业的信息系统是企业全体人员参与的,不考虑全员参与的信息安全方案,恰恰忽视信息安全中最关键的因素――人,因为他们才是企业信息系统的提供者和使用者,他们是影响信息安全系统能否达到预期要求的决定因素。在众多的攻击行为和事件中,发生最多的安全事件是信息泄露事件。攻击者主要来自企业内部,而不是来自企业外部的黑客等攻击者,安全事件造成最大的经济损失主要是内部人员有意或无意的信息泄露事件。针对内部员工的泄密行为,目前还没有成熟的、全面的解决,对于来自企业信息内部信息泄密的安全问题,一直是整个信息安全保障体系的难点和弱点所在。
2.3 信息系统缺乏信息安全技术
计算机信息安全技术是一门由密码应用技术、信息安全技术、数据灾难与数据恢复技术、操作系统维护技术、局域网组网与维护技术、数据库应用技术等组成的计算机综合应用学科。由于认识能力和技术发展的局限性,在硬件和软件设计过程中,难免留下技术缺陷,网络硬件、软件系统多数依靠进口,由此可造成企业信息安全的隐患,现在黑客的攻击并不是为了破坏底层系统,而是为了入侵应用,窃取数据,带有明显的商业目的,许多黑客就是通过计算机操作系统的漏洞和后门程序进入企业信息系统。随着网络应用要求的越来越多,针对应用的攻击也越来越多,除了在管理制度上确保信息安全外,还要在技术上确保信息安全。
3 企业信息安全中存在的问题
信息时代的到来,从根本上改变了企业经营形式,企业实施信息化为其带来便利的同时也产生了巨大的信息安全风险。由于我国企业信息安全工作还处于起步阶段,基础薄弱,导致信息安全存在一些亟待解决的问题。比较常见的问题有病毒危害、“黑客”攻击和网络攻击等,这些问题给企业造成直接的经济损失,成为企业信息安全的最大威胁,使企业信息安全存在着风险因素。
3.1 病毒危害
计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码,它是具有破坏作用的程序或指令集合。计算机病毒已经泛滥成灾,几乎无孔不入,据统计,计算机病毒的种类已经超过4万多种,而且还在以每年40%的速度在递增,随着Internet技术的发展,病毒在企业信息系统中传播的速度越来越快,其破坏性也越来越来越强。
3.2 “黑客”攻击
“黑客”是英文Hacker的谐音,黑客是利用技术手段进入其权限以外的计算机系统的人。黑客破解或破坏某个程序、系统及网络安全,或者破解某系统或网络以提醒该系统所有者的系统安全漏洞的过程。通常采用后门程序、信息炸弹、拒绝服务、网络监听、密码破解等手段侵入计算机系统,盗窃系统保密信息,进行信息破坏或占用系统资源,黑客攻击已经成为近年来经常出现的问题。
3.3 网络攻击
网络攻击就是对网络安全威胁的具体表现,利用网络存在的漏洞和安全缺陷对系统和资源进行的攻击。尤其是在最近几年里,网络攻击技术和攻击工具有了新的发展趋势,使借助Internet运行业务的企业面临着前所未有的风险。由此可知,企业的信息安全问题、以及对信息的安全管理都是至关重要的。要保证企业信息安全,就必须找出存在信息安全问题的根源,并具有良好的安全管理策略。
4 企业信息安全的解决方案
为确保企业信息安全,要坚持积极防御,综合防范的方针,全面提高信息安全防护能力。因此,面对企业信息安全的现状和企业信息安全发展中出现的问题,必须实施对企业的信息安全管理,建设信息安全管理体系,只有建立完善的安全管理制度,将信息安全管理自始至终贯彻落实于信息管理系统的方方面面,企业信息安全才能得以实现。企业信息安全的解决方案,具体表现在以下三个方面:
4.1 建立完善的安全管理体系
完整的企业信息系统安全管理体系首先要建立完善的组织体系,完成制定并信息安全管理规范和建立信息安全管理组织等工作,保障信息安全措施的落实以及信息安全体系自身的不断完善。并建立一套信息安全规范,详细说明各种信息安全策略。一个详细的信息安全规划可以减轻对于人的因素带来的信息安全问题。最基本的企业安全管理过程包括:采用科学的企业信息资产评估和风险分析模型法、设计完备的信息系统动态安全模型、建立科学的可实施的安全策略,采取规范的安全防范措施、选用可靠稳定的安全产品等。安全防范体系的建立不是一劳永逸的,企业网络信息自身的情况不断变化,新的安全问题不断涌现,必须根据暴露出的一些问题,进行更新,保证网络安全防范体系的良性发展,
4.2 提高企业员工的安全意识
科技以人为本,在信息安全方面也是靠人来维护企业的利益,我们在企业信息网络巩固正面防护的时候不能忽视对人的行为规范和绩效管理。企业员工信息安全意识的高低是一个企业信息安全体系是否能够最终成功实施的决定性因素。企业应当制定企业人员信息安全行为规范,必须有专门管理人才,才能有效地实现企业安全、可靠、稳定运行,保证企业信息安全。教育培训是培训信息安全人才的重要手段,企业可以对所有相关人员进行经常性的安全培训,强化技术人员对信息安全的重视,提升使用人员的安全观念,有针对性的开展安全意识宣传教育,逐步提高员工的安全意识,强调人的作用,使他们明确企业各级组织和人员的安全权限和责任,使他们的行为符合整个安全策略的要求。
4.3 不断优化企业信息安全技术
企业一旦制定了一套详细的安全规划来武装自己,保护其智力资产,它就开始投入到选择采用正确信息安全技术上。可供企业选择的防止信息安全漏洞的安全技术有很多。当企业选择采用何种技术时,首先了解信息安全的三个领域是十分有帮助的,这三个领域变得:验证与授权、预防和抵制、检测和响应。其中,用户验证是确认用户身份的一种方法,一旦系统确认了用户身份,那么它就可以决定该用户的访问权限,比如使用用户名和密码。预防和抵抗技术是指企业阻止入侵者访问。对于任何企业,必须对那些故障做好准备和预测,目前可以帮助预防和建设抵抗攻击的技术主要有内容过滤、加密和防火墙,在选用防火墙的时候,需要对所安装的防火墙做一些攻击测试。此外,企业信息安全的最后一道屏障是探测和反应技术,最常见的探测和反应技术是杀毒软件。
5 结语
总之,企业信息安全是一项复杂的系统工程,企业要适应现代化发展的需要,要提高自身信息安全意识,加强对信息安全风险防范意识的认识,重视安全策略的施行及安全教育,必须做到管理和技术并重,安全技术必须结合安全措施,并加强信息安全立法和执法的力度,建立备份和恢复机制, 为企业设计适合实际情况的安全解决方案,制定正确和采取适当的安全策略和安全机制,保证企业安全体系处于应有的健康状态。
参考文献:
[1]张帆,企业信息安全威胁分析与安全策略[J].网络安全技术与应用,2007(5).
[2]谌晓欢,企业信息安全问题及解决方案[J].企业技术开发,2008(8).
[3]付沙,企业信息安全策略的研究与探讨[J].商场现代化,2007(26).
[4]姜桦、郭永利,企业信息安全策略研究[J].焦作大学学报,2009(1).
第7篇:信息安全方针范文
1.销售系统设施建设。
硬件方面,各石油销售企业都具有设施完善的中心计算机系统,供电采用UPS方式,采用“双机热备”的核心服务器工作模式,以确保整个硬件的可靠性和安全性;网络方面,采用SDH光纤接入广域网,包括接入层、汇聚层、核心层。核心层中路由器和交换机采用双机模式,设备之间,层层之间以光纤方式连接,以均衡网络负载。除了安装必备的防火墙,部分企业为进一步提高安全防范能力还安装了外网入侵检测系统;大多数加油站采用SSLVPN方式访问企业内部网,以保证网络接入的安全性。在PC系统方面,大多数企业统一安装了企业版的病毒防护软件系统和桌面安全网络接入系统,实现PC机的MAC地址绑定。
2.销售系统信息化建设。
目前,企业的销售信息系统主要包括:加油卡系统、办公自动化系统、加油站零售管理系统、企业门户网站、ERP系统等。信息系统具有如下特点:一是用户众多,几乎所有企业管理人员都是各系统用户;二是应用领域广,涉及企业经营、管理、对外服务诸多方面;三是要求连续运转,如ERP系统必须满足7×24小时运转。由于信息系统的安全运转不仅关系到企业经营管理的可持续性,其数据的安全性和保密性更关系到广大客户的利益。所以,基于上述的原因,企业对销售信息系统的安全运转提出了更高的要求。
3.销售系统的信息安全现状。
石油销售管理系统是关系国家安全、经济命脉、社会稳定的重要信息系统,国家对其信息安全高度重视,并在《2006-2020年国家信息化发展战略》中强调,我国要全面加强国家信息安全保障体系的建设,大力增强国家信息安全保障能力,实现信息化建设与信息安全保障的协调发展。同时,国内石油销售企业也长期重视信息安全工作,逐步建立了相应的保障体系和规章制度,但还存在以下问题:
(1)范围涉及广泛。
石油销售企业分支机构多,终端运营组织庞大且分散,以中石油集团为例,其截至2013年分布在全国的加油站已超过30000座。在如此庞大的销售系统中,信息网络承载着指导业务运行的重要功能。大量、分散部署的加油终端,必然会造成联网方式的多样化、网络环境的复杂化。
(2)设备系统众多。
石油销售企业信息化管理系统中所涉及的设备精度髙、技术要求深,并且范围广泛,包括加油站、油库等大量的自动化控制系统。因此,业务管理流程复杂,安全风险增大。
(3)人员素质不齐。
由于石油销售属于传统行业,因此企业人员年龄跨度较大,对信息安全管理的职业组织参差不齐;甚至对于企业管理人员,对于信息安全的认识也多停留在纸上谈兵;基层人员众多,且直接面对客户,流动性大,信息泄露风险极高。而且新生代的企业员工对计算机和网络接触早,应用水平高,日常使用频繁,在缺乏网络安全防护意识的情况下更易导致信息泄漏,甚至在好奇心理的鼓动下主动发起网络攻击行为,所以企业内网安全也成为一个突出的问题。
(4)资金投入有限。
国外企业在信息安全方面的资金投入达到了企业整体基建的5%-20%,而我国企业基本都在2%以下。全世界每年因信息安全方面的漏洞导致的经济损失达数万亿美元,中国的损失也达到了一百亿美元以上,但是中国企业在这方面的投资只有几十亿美元。因此,我国企业整体信息化安全建设预算不足。石油企业信息化工程是一项繁重的任务,需要在信息安全方面有更大的投入。大型油企需要建立复杂庞大的数据库备份体系,建立并维护高效的网络杀毒系统、企业级防火墙、IDS、IPS系统和完善的补丁更新及发放机制,以保证企业各方面的数据安全。建立这一复杂的系统需要大量的资金投入,而且其投入回报慢,因此石油企业普遍轻视这方面的投入和维护,信息安全建设相对于企业的发展整体滞后。
二、石油销售系统的信息安全管理系统设计
石油销售系统的信息安全管理系统是一个程序化、系统化、文件化的管理体系,以预防控制为主,强调动态全过程控制。建立相应的信息安全管理系统,需要从物理、信息、网络、系统、管理等多方面保证整体安全;建立综合防范机制,确保销售信息安全以及加油卡、EPR等电子销售系统的可靠运行,保障整体信息网络的安全、高效、可靠运转,规避潜在风险,供系统的可靠性和安全性。因此,石油销售系统的信息安全管理系统构架分为以下组成:
(1)组织层面。
石油销售部门应建立责任明确的各级信息安全管理组织,包括信息安全委员会、信息安全管理部门,并通过设立信息安全员,指定专人专项负责。通过这些部门和负责人开展信息安全认知宣传和培训,提高企业员工对信息安全重要性的认识。
(2)制度层面。
制定安全方针、安全管理制度、安全操作规程和突发事件应急预案等一系列章程,经科学性审核和测试后下发各级部门,提升企业的信息安全管理的效能,减少事故发生风险,提高应急响应能力。
(3)执行层面。
信息安全管理部门应当定期检查和随机抽查相结合,监督安全制度在各级部门的执行情况,评估安全风险,负责PDCA的循环控制。
(4)技术层面。
信息安全管理部门要提供安全管理、防护、控制所需的技术支持,全面保障企业整体信息安全管理系统建设。通常信息安全技术分为物理安全、网络安全、主机安全、终端安全、数据安全以及应用安全等六个方面,主要包括监控与审核跟踪,数据备份与恢复,访问管理与身份认证,信息加密与加固等具体技术措施。通过有效的信息安全管理平台和运作平台,在最短时间内对信息安全事件进行响应处理,保障信息安全管控措施的落实,实现信息安全管理的目标。
三、结语
第8篇:信息安全方针范文
随着近年来信息安全话题的持续热议,越来越多的企业管理人员开始关注这一领域,针对黑客入侵、数据泄密、系统监控、信息管理等问题陆续采取了一系列措施,开始构筑企业的信息安全防护屏障。然而在给企业做咨询项目的时候,还是经常会听到这样的话:
“我们已经部署了防火墙、入侵检测设备防范外部黑客入侵,采购了专用的数据防泄密软件进行内部信息资源管理,为什么还是会出现企业敏感信息外泄的问题?”
“我们的IT运营部门建立了系统的运行管理和安全监管制度和体系,为什么却迟迟难以落实?各业务部门都大力抵制相关制度和技术措施的应用推广。”
“我们已经在咨询公司的协助下建立了ISMS体系,投入了专门的人力进行安全管理和控制,并且通过了企业信息安全管理体系的认证和审核,一开始的确获得了显著的成效,但为什么经过一年的运行后,却发现各类安全事件有增无减?”
这些问题的出现往往是由于管理人员采取了“头痛医头,脚痛医脚”的安全解决方案,自然顾此失彼,难以形成有效的安全防护能力。上述的三个案例,案例一中企业发生过敏感信息外泄事件,于是采购了专用的数据防泄密软件,却并未制定相关的信息管理制度和进行员工保密意识培训,结果只能是防外不防内,还会给员工的正常工作带来诸多不便;案例二中企业管理者认识到安全管理的重要性,要求相关部门编制了大量的管理制度和规范,然而缺乏调研分析和联系业务的落地措施,不切实际的管理制度最终因为业务部门的排斥而束之高阁;案例三中ISMS的建立有效地规范了公司原有的技术保障体系,然而认证通过后随着业务发展却并未进行必要的改进和优化,随着时间的推移管理体系与实际工作脱节日益严重,各类安全隐患再次出现也就不足为奇。
其实,企业面临的各种安全威胁和隐患,与人体所面临的各种疾病有诸多类似之处,我们常说西医治标不治本,指的就是采取分片分析的发现问题―分析问题―解决问题的思路处理安全威胁,通过技术手段的积累虽然可以解决很多问题,但总会产生疲于应付的状况,难以形成有效的安全保障体系;类比于中医理论将人体看为一个互相联系的整体,信息安全管理体系的建立正是通过全面的调研分析,充分发现企业面临的各种问题和隐患,紧密联系业务工作和安全保障需要,形成系统的解决方案,通过动态的维护机制形成完善的防护体系。
总体来说,信息安全管理体系是企业在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。它是基于业务风险方法,来建立、实施、运行、监视、评审、保持和改进企业的信息安全系统,目的是保障企业的信息安全。它是直接管理活动的结果,表示成方针、原则、目标、方法、过程、核查表(Checklists)等要素的集合,涉及到人、程序和信息系统。
针对ISMS的建立,我们可以从中医“望闻问切对症下药治病于未病”的三个角度来进行分析和讨论:
第一,“望闻问切”,全面的业务、资产和风险评估是ISMS建设的基础;
第二,“对症下药”,可落实、可操作、可验证的管理体系是ISMS建设的核心;
第三,“治病于未病”,持续跟踪,不断完善的思想是ISMS持续有效的保障。
望闻问切
为了完成ISMS建设,就必然需要对企业当前信息资源现状进行系统的调研和分析,为企业的健康把把脉,毕竟我们需要在企业现有的信息条件下进行ISMS建设。
首先,自然是对企业现有资源的梳理,重点可以从以下几个方面入手:
1.业务主体(设备、人员、软件等)。
业务主体是最直观、最直接的信息系统资源,比如多少台服务器、多少台网络设备,都属于业务主体的范畴,按照业务主体本身的价值进行一个估值,也是进行整个信息系统资源价值评估的基础评估。由于信息技术日新月异的变化,最好的主体未必服务于最核心的信息系统,同时价值最昂贵的设备未必最后对企业的价值也最大。在建立体系的过程中,对业务设备的盘点和清理是很重要的,也是进行基础业务架构优化的一个重要数据。
2.业务数据(服务等)。
业务数据是现在企业信息化负责人逐步关注的方面,之前我们只关注设备的安全,网络的良好工作状态,往往忽略了数据对业务和企业的重要性。现在,核心的业务数据真正成为信息工作人员最关心的信息资产,业务数据存在于具体设备的载体之上,很多还需要软件容器,所以,单纯地看业务数据意义也不大,保证业务数据,必须保证其运行的平台和容器都是正常的,所以,业务数据也是我们重点分析的方面之一。
3.业务流程。
企业所有的信息资源都是通过业务流程实现其价值的,如果没有业务流程,所有的设备和数据就只是一堆废铜烂铁。所以,对业务流程的了解和分析也是很重要的一个方面。
以上三个方面是企业信息资源的三个核心方面,孤立地看待任何一个方面都是毫无意义的。
其次,当我们对企业的当前信息资产进行分析以后需要对其价值进行评估。
评估的过程就是对当前的信息资产进行量化的数据分析,进行安全赋值,我们将信息资产的安全等级划分为 5 级,数值越大,安全性要求越高,5 级的信息资产定义非常重要,如果遭到破坏可以给企业的业务造成非常严重的损失。1 级的信息资产定义为不重要,其被损害不会对企业造成过大影响,甚至可以忽略不计。对信息资产的评估在自身价值、信息类别、保密性要求、完整性要求、可用性要求和法规合同符合性要求等 5 个方面进行评估赋值,最后信息资产的赋值取 5 个属性里面的最大值。
这里需要提出的是,这里不仅仅应该给硬件、软件、数据赋值,业务流程作为核心的信息资源也必须赋值,而且几个基本要素之间的安全值是相互叠加的,比如需要运行核心流程的交换机的赋值,是要高于需要运行核心流程的交换机的赋值的。很多企业由于历史原因,运行核心业务流程的往往是比较老的设备,在随后的分析可以看得出来,由于其年代的影响,造成资产的风险增加,也是需要重点注意的一点。
最后,对企业当前信息资产的风险评估。
风险评估是 ISMS 建立过程中非常重要的一个方面,我们对信息资产赋值的目的就是为了计算风险值,从而我们可以看出整个信息系统中风险最大的部分在哪里。对于风险值的计算有个简单的参考公式:风险值 = 资产登记 + 威胁性赋值 + 脆弱性赋值(特定行业也有针对性的经验公式)。
ISMS 建设的最终目标是将整个信息系统的风险值控制在一定范围之内。
对症下药
经过上阶段的调研和分析,我们对企业面临的安全威胁和隐患有一个全面的认识,本阶段的ISMS建设重点根据需求完成“对症下药”的工作:
首先,是企业信息安全管理体系的设计和规划。
在风险评估的基础上探讨企业信息安全管理体系的设计和规划,根据企业自身的基础和条件建立ISMS,使其能够符合企业自身的要求,也可以在企业本身的环境中进行实施。管理体系的规范针对不同企业一定要具体化,要和企业自身具体工作相结合,一旦缺乏结合性ISMS就会是孤立的,对企业的发展意义也就不大了。我们一般建议规范应至少包含三层架构,见图1。
图1 信息安全管理体系
一级文件通过纲领性的安全方针和策略文件描述企业信息安全管理的目标、原则、要求和主要措施等顶层设计;二级文件主要涉及业务工作、工程管理、系统维护工作中具体的操作规范和流程要求,并提供模块化的任务细分,将其细化为包括“任务输入”、“任务活动”、“任务实施指南”和“任务输出”等细则,便于操作人员根据规范进行实施和管理人员根据规范进行工作审核;三级文件则主要提供各项工作和操作所使用的表单和模板,以便各级工作人员参考使用。
同时,无论是制定新的信息管理规章制度还是进行设备的更换,都要量力而行,依据自己实际的情况来完成。例如,很多公司按照标准设立了由企业高级领导担任组长的信息安全领导小组和由信息化管理部门、后勤安全部门和审计部门组成的信息安全办公室,具体负责企业的信息安全管理工作,在各级信息化技术部门均设置系统管理员、安全管理员、安全审计员,从管理结构设计上保证人员权限互相监督和制约。但是事实上繁多的职能部门和人员不仅未能提升企业信息系统安全性,反而降低了整个信息系统的工作效率。
其次,是企业信息安全管理体系的实施和验证
实施过程是最复杂的,实施之后需要进行验证。实施是根据 ISMS 的设计和体系规划来做的,是个全面的信息系统的改进工作,不是单独的设备更新,也不是单独的管理规范的,需要企业从上至下,全面地遵照执行,要和现有系统有效融合。
这里的现有系统既包含了现有的业务系统,也包含了现有的管理体制。毕竟ISMS是从国外传入的思路和规范,虽然切合国人中医理论的整体思维方式,但在国内水土不服是正常的,主要表现就在于是否符合企业本身的利益,是否能够和企业本身的业务、管理融合起来。往往最难改变的还是企业管理者的固有思维,要充分理解到进行信息安全管理体系的建设是一个为企业长久发展必须进行的工程。
到目前为止,和企业本身业务融合并没有完美的解决方案,需要企业领导组织本身、信息系统技术人员、业务人员和负责 ISMS 实施的工程人员一同讨论决定适合企业自身的实施方案
最后,是企业信息安全管理体系的认证和审核
针对我们周围很多重认证,轻实施的思想,这里有必要谈一下这个问题,认证仅代表认证过程中的信息体系是符合 ISO27000(或者其他国家标准)的规范要求,而不是说企业通过认证就是一个在信息安全管理体系下工作的信息系统了。更重要的是贯彻实施整个体系的管理方式和管理方法。只有安全的思想深入人心了,管理制度才能做到“不只是挂在墙上的一张纸,放在抽屉里的一本书”。
“治病于未病”
企业信息安全管理体系需要动态改进和和优化,毕竟企业和信息系统是不断发展和变化的,ISMS 是建立在企业和信息系统基础之上的,也需要有针对性地发展和变化,道高一尺魔高一丈,必须通过各种方法,进行不断地改进和完善,才有可能保证ISMS 系统的持续作用。
就像我们前面案例中提到的某公司一样,缺乏了持续改进和跟踪完善的手段,经过测评的管理体系仅仅一年之后就失去了大部分作用。对于这些企业及未来即将建立ISMS的企业,为了持续运转ISMS,我们认为可以主要从以下三个方面着手:
第一,人员。
人员对于企业来讲是至关重要且必不可缺的,在ISMS建立过程中,选择合适的人员参与体系建立是ISMS建立成功的要素之一。在持续运转过程中,人员都应该投入多少呢?通常在体系建立过程中,我们会建议所有体系管理范围内的部门各自给出一名信息安全代表作为安全专员配合体系建立实施,且此名专员日后要持续保留,负责维护各自部门的信息资产、安全事件跟踪汇报、配合内审与外审、安全相关记录收集维护等信息安全相关工作。
但很多事情是一种企业文化的培养,需要更多的人员甚至全员参与,例如面向全员的定期信息安全意识培训,面向专业人员的信息安全技术培训等,因此对于企业来讲,除了必要的体系维护人员,在ISMS持续运转过程中,若能将企业内的每名员工都纳入到信息安全管理范围内,培养出“信息安全,人人有责”的企业氛围,则会为企业带大巨大的潜在收益。且有些企业在面向自身员工展开信息安全各项活动的同时,还会纳入客户、合作伙伴、供应商等需要外界相关人员的参与,对外也树立起自身对重视信息安全的形象,大力降低外界给企业带来的风险。
第二,体系。
ISMS自身的持续维护,往往是企业建立后容易被忽视的内容,一套信息安全管理文档并不是在日益变化的企业中一直适用的,对于信息资产清单、风险清单、体系中的管理制度流程等文档每年至少需要进行一次正式的评审回顾,这项活动由于也是在相关标准中明确指出的,企业通常不会忽略;但日常对于这些文档记录的更新也是必不可少的,尤其是重要资产发生重大变更,组织业务、部门发生重大调整时,都最好对ISMS进行重新的评审,必要时重新进行风险评估,有助于发现新出现的重大风险,并且可以将资源合理调配,将有限的资源使用到企业信息安全的“短板”位置。
唯一不变的就是变化,企业每天所面临的风险同样也不是一成不变的,在更新维护信息资产清单的同时,对风险清单的回顾也是不可疏忽的,而这点往往是很多信息安全专员容易忽视的内容。持续的维护才能保证ISMS的运转,有效控制企业所面临的各种风险。
第三,工具。
工具往往是企业在建立ISMS过程中投入大量资金的方面,工具其实是很大的一个泛指,例如网络安全设备、备份所需设备、防病毒软件、正版软件、监控审计等各类工具,即使没有实施ISMS,企业在工具方面的投入也是必不可少的,但往往缺乏整体的规划及与业务的结合,经常会出现如何将几种类似工具充分利用,如何在各工具间建立接口,使数据流通共用,哪些工具应该替换更新,数据如何迁移,甚至出现新购买的工具无人使用或无法满足业务需求等问题,导致资金资源的浪费,因此在持续运转ISMS过程中,根据风险评估报告,及信息安全专员反映的各部门业务需求各种信息数据的收集,应对工具进行统一规划,尽量减少资源的浪费。
第9篇:信息安全方针范文
关键词:国土资源;信息化;制度
中图分类号:TP316 文献标识码:A文章编号:1007-9599 (2011) 10-0000-01
Talking on the Land System-level Protection Self-examination
Li Ling
(Guangxi Guigang Land&Resources Bureau,Guigang537100,China)
Abstract:Information Security Protection is a national economic and social information in the development process,improve the capacity and level of information security,national security,social stability and public interests, protect and promote the healthy development of basic information technology strategy.
Keywords:Land resources;Informatization;System
一、等级保护发展现状
2007年由国土资源部信息化工作办公室牵头面开展了国土资源信息系统安全体系建设工作,其中严格根据等级保护管理办法对全国整个国土信息系统安全等级保护工作主要分为定级、备案、整改、测评和监督检查五个环节。
二、等级保护定级简法
等级保护政策将信息系统安全包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,信息系统定级也应由业务信息安全和系统服务安全两方面确定:
一是从业务信息安全角度反映的信息系统安全保护等级,称业务信息安全保护等级。二是从系统服务安全角度反映的信息系统安全保护等级,称系统服务安全保护等级。我们可以将其归纳为如下表格方便我们自己定级:(例如,A系统是某单位门户网站。当该网站被黑客攻击后若篡改了系统内容或者虚假新闻,则有可能对单位自身造成负面影响,使得公信力下降,属于严重影响;其次该系统被黑客了虚假新闻有可能会煽动、迷惑社会群众,造成社会混乱,属于严重影响;但是该系统不涉及国家安全内容,故对国家安全没有任何影响)。
某单位A门户网站系统定级:
业务信息安全被破坏时所侵害的客体 对相应客体的侵害程度
一般损害 严重损害 特别严重损害
公民、法人和其他组织的合法权益 第一级 第二级 第二级
社会秩序、公共利益 第二级 第三级 第四级
国家安全 第三级 第四级 第五级
根据上表结果,某单位A门户网站系统信息安全保护等级应定为第三级(取最高级别)。
三、等级保护制度自查
安全管理制度主要涉及组织体系的运作规则,确定各种安全管理岗位和相应的安全职责,并负责选用合适的人员来完成相应岗位的安全管理工作,监督各种安全工作的开展,协调各种不同部门在安全实施中的分工和合作,保证安全目标的实现。
制度的文档化管理是非常重要的工作。无论是人员管理、资产管理,还是技术管理和操作管理,都应该建立起完备的文档化体系,一方面让安全活动有所依据,另一方面也便于追溯和审查。安全策略文档体系开发完成后,要形成包括信息安全方针、信息安全规范,相应的安全标准和规范、各类管理制度、管理办法和暂行规定等文档。
各项制度自查项目如下:
1.存储设备报废销毁管理规定;2.安全日志备份与检查;3.人员离岗离职管理规定;4.固定资产管理制度;5.外部人员访问机房管理情况;6.计算;7.机类设备维修维护规定;8.应急预案;9.应急演练;10.安全事件报告和处置管理制度;11.技术测评管理制度;12.安全审计管理制度。
四、等级保护技术自查
基本要求 技术要求控制点 技术防护措施
网络安全 结构安全 防火墙
访问控制 防火墙或者路由器、交换机访问控制列表
安全审计 安全审计系统
入侵防范 防火墙或者入侵防御系统
网络设备防护 防火墙或者入侵防御系统
主机安全 身份鉴别 帐户密码、或者数字证书认证
访问控制 防火墙或者路由器、交换机访问控制列表
安全审计 安全审计系统
入侵防范 防病毒软件
恶意代码防范 防病毒软件
资源控制 防火墙或者路由器、交换机访问控制列表
应用安全 身份鉴别 帐户密码、或者数字证书认证
访问控制 防火墙或者路由器、交换机访问控制列表
安全审计 安全审计系统
通信完整性 数字证书认证
通信保密性 数字证书认证或者VPN隧道
软件容错 双机热备系统
资源控制 防火墙或者路由器、交换机访问控制列表
数据安全 数据完整性 数据库加密
数据保密性 隔离网闸系统或者网络隔离卡
安全备份 双机热备系统
