前言:中文期刊网精心挑选了信息简报范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
信息简报范文1
检测中心帮扶企业注重针对性
计量检测是解决企业计量管理薄弱的有力措施,也是市场监管部门履行计量管理职责的重要举措。日前,长兴县检测中心深入企业零距离服务,帮企业解决计量检测难题,提高了企业产品质量,深受企业好评。
长兴xx电池有限公司是一家蓄电池行业的龙头企业,自身拥有完善试验、检测手段,采用德国、日本、台湾等地进口知名品牌的先进的设备,是我县及至全国的知名生产企业。检测中心工作人员多次走访该企业主要是帮助企业解决进口检测设备检测技术难题。检测中心专家通过沟通询问,查阅技术文件,实地观看和操作检测设备等多种方式,本着科学精确、方便企业,高效服务的原则,帮助企业解决计量检测中存在的困难并提出了具体实施方案,深受企业好评。
面对众多企业,检测中心工作人员表示,大企业有大企业的困难,小企业有小企业的长处,对企业的帮扶,不论大小,一视同仁,平等对待,但又根据企业的需求不同,提供差别化服务。同时,引导和鼓励名牌培育创建企业加强标准化、计量等技术基础工作,严格按标准组织生产,鼓励有条件的企业采用国外先进标准和国际标准,积极推行卓越绩效管理模式、5S管理、质量管理体系认证等先进的质量管理方法,加强企业质量文化建设,强化企业质量诚信意识,建立健全质量诚信制度。对于微型企业,根据实际情况采取了多项措施予以帮扶。强化对微型企业人员的计量知识培训,提升微型企业质量从业人员素质和企业质量管理水平,引导企业规范发展。
企业计量帮扶活动是长兴县检测中心工作的重要内容之一,是充分履行法定计量检定机构职能的一项创新工作方式。下一步,我们将加强对我县重点支柱企业的走访,不断深化服务内涵,改进服务方式,帮扶更多企业提升计量技术检测和管理水平,充分体现出计量技术服务的实效。坚持“科学、公正、准确、可靠、优质、高效”的质量方针,为社会提供检定、校准、检测的优质服务。今后,还要把“优质高效、热情服务”这种服务企业的精神继续发扬下去,帮扶更多企业提升生产质量水平。
信息简报范文2
按照全国第十次人口普查工作要求,彰东办事处将人口普查工作列为近期工作重点并结合实际认真落实各项工作,确保普查工作顺利进行。
一是高度重视,加强组织领导。彰东街道成立了人口普查领导小组,各村、社区设立工作小组,并选派一到两名素质高、业务精、协调能力强的同志负责人普工作。为确保普查工作有人抓,有人管奠定坚实基础。
二是提供办公条件、办公设备齐全。人口普查单独设立办公室进行集中办公,办公室配齐电脑、办公桌、椅子等设施,独立分工。为人普工作提供了有效的后勤保证,保障普查工作有序进行,按时保质保量完成。
信息简报范文3
一、分清信息类型,制定采编报标准
检察信息是反映检察机关队伍建设和业务建设的工作运作及其规律,以及与之密切相关的一切情况的数据资料。检察信息按不同的分类标准可以分为检察业务信息与检察非业务信息;正面信息与负面信息;工作动态与综合信息等多种类型。笔者对市院信息刊物所选登的信息种类大致分为以下几种,列表说明:
表1 信息类型判别分析参考表
基层院办公室是检察信息的唯一采编部门, 主要职责是将院内各科室报送信息进行汇总和采编,再从中选出题材好、价值高、在全市有推广意义的信息报送给市院的信息采编部门――市院办公室信息科。要做好信息的采编报工作,基层院必须要以办公室信息员为中心,健全检察信息工作制度,加强检察信息网络化建设。具体是:1、建立信息必报制度,规定信息报送是各部门的重大责任之一。建立信息快报制度,当日信息当日报。建立目标责任制,明确规定各部门每月、每季度、每半年、每年应报送的最低信息量。建立定期通报制度。定期对各部门信息完成情况进行评比通报。具体由办公室在年初将信息工作计划(包括主题参考、各部门信息数量和质量定额等)发送到各科室,并在以后日常工作中督促各科室内勤及时报送信息,半年一通报,年终作考评,兑现奖惩;2、建立信息采编报网络。以办公室信息员为中心,建立起本院内部信息工作人员的中心状网络,将各科室的内勤视为兼职信息员或通讯员,纳入信息工作人员网络中来,形成大内勤格局。建立起信息报送层级责任制度。各部门的负责人是本部门信息报送的第一责任人(对重大动态信息、情况反映、检察简报应由各部门内勤报科室长或分管检察长签批后再报办公室),各部门的内勤是信息报送的直接责任人。对于对信息报送工作不重视,对信息特别是重大紧急信息,出现迟报、漏报、瞒报情况,产生不良影响和严重后果的,要追究直接责任人和部门负责人的责任。利用规范化管理软件建立起建立起电脑化的信息处理传输网络,加强对局域网-检察动态信息网的利用,提高工作效率;3、细化信息采编报标准。办公室应对信息采编报工作细化工作规则,要求信息数量和质量并重,各部门自采自编自报信息应占院内信息量的70%,办公室信息员则占30%;各部门应开阔工作思路,在报送工作动态信息的同时,加强对类案和工作经验的归纳总结,多报送综合类信息,多撰写《情况反映》和《检察简报》;各部门采编报信息应自加标题,且标题必须要反映主题和中心思想;要改变各部门间信息报送失衡的现象,督促信息量少的科室要广泛捕捉信息,实现各科室之间报送信息数量和质量的均衡;提高各科室捕捉信息点的能力,办公室信息员也要多下科室,对各部门亮点、特色工作多加挖掘;同时提高报送时效性,要关注文件精神(如检察文化,主题教育实践活动,三项重点工作,十维稳,12.4普法等等),对贯彻会议精神(结合本部门实际制定目标与可操作的措施等)、两院学习交流等类型的信息要实时报送;坚决制止各部门为凑数拆分信息的现象发生;对各部门难以发红头的信息,可以让其加上图片,发送图片新闻。总之,各部门的信息采编报工作要突出重点,兼顾一般,注重数据质量(前期和后期报送的数据不能矛盾,如后期的数据反而小于前提的数据就明显数据缺乏必要的稳健性)提炼信息的价值。
二、准确把握信源,贴近信息工作要求
要写出信息,就要对发生的事件做到在第一时间内了解。同样,加强检察信息的编写工作就要扩大专兼职信息员的知情权,使他们最先了解发生的事情。对于不涉及秘密、重大案件、重要人事安排等方面的会议,应考虑安排他们列席。专兼职信息员精心选题,细心采集,列表说明:
表2 信息采集点一览表
专兼职信息员要把“做到说到”作为对信息工作的目标要求,把“说到做到”作为对检察实践的检验标准,贴近检察信息工作要求,在信息反馈和检察实践的交互作用中,实现工作经验的总结、提炼、检验和完善。具体要做到:1、专兼结合,上下交流。办公室专职信息员在信息工作中做到上下结合,要经常深入科室,到干警队伍当中去,多与科室长、内勤与其他干警沟通,广泛收集资料,倾听干警意见,丰富写作思路,在把握上情与下情的基础上,使信息工作真正做到来源于实践,作用于实践,为领导决策提供切合实际的参考依据;办公室要充分发挥兼职信息的积极性,要加压力的同时要给予必要的指导和帮助,如对部门信息的后期加工,正式发表时给予兼职信息员的第一作者署名等,年终的奖励分成等;2、扩大选题范围。学会从本单位召开的会议的文件中选题,因为会议文件一般都有三个部分:总结工作、找出问题、提出下步打算,那么总结工作部分显然可以作为经验性信息的素材,问题部分显然可以作为问题性信息的素材,部署部分可以作为工作新思路、新措施上报,落实得好又可成为经验性信息;从上级机关采用情况通报中、上级机关刊物内容中揣摩,引导以后的信息采集报工作;对统计资料和储存信息进行深加式,提炼综合性信息。
三、把握信息采编报特点,搞好深度挖掘分析
信息简报范文4
入世的之后的中国的证券市场正处于调整和规范之中,这一规范的过程将对证券资讯业造成三大影响:其一证券市场越规范,证券业对证券资讯的需求就越大,二者关系将更加紧密。一个规范的证券市场将尽可能扼杀投机,加快证券中介业回归,即主力从事投资服务,而这无疑将扩大对证券资讯的需求。其二证券市场越规范,证券业对证券资讯的需求层次将越来越高。券商没有了投机利润,就只能从两块加强力量,一是完善对投资者的服务手段,二是加大自身研究力度,从事正常自营决策。只有如此才能保证券商的收入。而这两者都召唤市场上强大证券资讯阵容的出现。
从目前的证券资讯行业的发展来看,1994年深圳巨灵推出第一套证券资讯系统是证券资讯行业的萌芽的标志,但今天的证券资讯市场已非94年同日而语。短短9年时间,证券资讯业内异军突起,掀起一场日新月异的竞争潮。港澳资讯、巨灵、新兰德、万德、新德利、博经闻、维赛特、海融、万国等等,此起彼伏,你追我赶,好一场你方唱罢我登场竞争喜剧。成熟的证券资讯行业市场也开始在这种专业化的竞争中开始成熟完善起来。
证券资讯行业从萌芽开始阶段就是一个以证券财经数据库为主营业务的内容提供商的面貌出现,是在90年代初的信息高速公路建设以及证券交易以及资讯信息提供方式的转变提高的过程中漫漫的发展起来的,但直到今日大多数类似的资讯公司的产品层次还是停留在简单的公开数据的采集为主的局面。其中的原因有中国股民的素质层次需要和机构市场需求的原因也有证券资讯行业本身在中国证券市场序列体系中地位的原因。从信息质量及服务水平上讲,目前国内证券资讯业市场仍处于一种低水平的竞争,主要表现在以下几个方面:信息质量不高,缺乏深层次的内容;以大量转载各种公开媒体信息为主,缺乏自己的东西和能反映上市公司情况及市场动态的第一手资料;各类投资分析、投资咨询缺乏连贯性和指导性,为庄家投机服务的投资信息占驻了主导,各类小道消息和传闻满天飞;市场上同类产品竞相削价,扰乱了市场正常秩序;市场上的产品还没有出现占主导优势的行业标准和行业规范,大多数企业满足于低投入,追求前期收益,缺乏行业责任。在一种低水平竞争的市场中,一批低投入、满足于初级信息服务的企业也能占据一定的、甚至较大的市场份额,获取前期收益。
另外的一个趋势,各证券资讯厂商大多开始走证券信息资讯即专业化的信息提供和投资咨询业务以及证券资讯平台开发,外包财经网站的建设齐步发展的发展方向。其中资讯公司涉足证券二级市场的投资咨询业务对于整个证券市场来说都是一种市场化选择中的一个良性的产物,资讯公司可以在充分的整合自有的信息资源的情况下继续的发扬投资咨询领域的一种实证化的投资分析的模式,为广大投资者提供专业化的投资咨询策略。
在证券市场从无序到有序的规范化发展进程中,对证券咨询行业的规范管理是一个重要侧面。在证券研究咨询行业形成发展的最初几年中,由于缺乏有力的监管措施,行业发展基本上处于自发、无序状态。与早期市场高投机特征相对应,早期证券咨询行业从业人员成份较为复杂、鱼龙混杂,联手操纵市场的行为屡见不鲜,证券咨询行业的这一状况对证券市场的正常秩序造成了诸多恶劣影响。这一状况直到97年主管部门加大规范管理力度之后才有所好转,至98年《证券咨询业务管理暂行条例》出台后,行业管理才真正有例可循,有章可依,证券研究咨询行业发展步入正轨。也正是这一阶段、在市场投资理念渐趋理性回归的背景下,证券研究咨询行业在研究方法的不断创新及研究内涵不断扩大中进入发展壮大的第一个黄金时期。2003年正在进行的证券法的修改工作中一些相关证券咨询行业的问题也被提上了讨论范围之中,证券咨询业务的范围也将大大的扩大,相关的自营业务和委托理财业务也将可能由地下转到桌面上来。证券咨询行业也将迎来全新的发展的机遇.在行业的规模化和竞争的有序化上更加规范的完善市场。
行业规模化,有序化发展的一个重要标志是一批真正独立的专业咨询公司的出现。与券商研究机构不同,其独立性不仅仅表现为功能配置上的独立性,也体现为其经营上的独立性。由于生存方式的差异,这两类研究机构在研究内容与目的以及方式方法上存在着明显差异。券商研究机构由于事实上的依附关系,其研究目的主要在于三个方面,一是为券商客户咨询服务,二是为券商自营服务,三是为券商形象宣传及业务创新服务,其研究对象不仅包括一、二级市场,也包括券商自身发展战略与业务创新等内容。由于其服务对象的特殊性,其研究成果一般仅限于内部共享,且以专题研究为主,研究成果的价值实现是间接的。而对于专业资讯公司而言,由于其唯一的收入来源是其信息产品及咨询服务,信息产品的质量与服务水平决定其自身的生存,市场竞争的压力迫使研究工作是有更强的功利性,服务的对象性,要求其信息产品必须满足不同层次用户的需求,既要有广度又要有深度。由于证券资讯市场仍处发育阶段,受市场容量及无序竞争影响,目前该类专业公司受收入来源限制,与券商研究机构相较而言,在研究投入方面多表现为心有余而力不足。在缺乏有效的行业自律机制的背景下,证券资讯公司竞争图存的方式正向着两个极端方向发展,一种是以低成本支撑其低价竞争,抢占市场份额,以维持其生存,这类公司或非正式组织为数众多。二是以高投入、高品位树立市场形象,着眼未来,争抢核心市场,这类公司虽为数不多,但无疑将是未来证券资讯业的脊梁。
目前的资讯厂商大多也在走资讯咨询化的产业转型的格局,针对目前的资讯厂商的市场格局以及资讯市场的未来发展方向,笔者产生了这样的一些认识和感触。
1、坚定的走证券资讯咨询化的发展道路。单纯的简单的F10资料为主的低端的资讯信息内容的竞争只会陷入资讯产业低水平价格战的泥潭中,要从产品的技术构成、新产品的开发、推广机制、产品的信息质量、营销策略及手段从根本上与竞争对手拉开档次,才能从低端市场的价格战的竞争中走出来,作到控制市场走向和价格的目的。在公司内部必须建立一套完备的新产品设计、开发和推广的运行机制,保证高质量的新一代产品、延续产品、后续产品和可替代产品源源不断地、有序地投放市场,形成多套产品立体交叉竞争。唯有如此,才能从市场混战中走出来按自己的步伐发展自己。资讯咨询化的发展方向既提高了信息的含金量,也是向高端市场发起进攻的最重要的筹码。
2、加强和国内做证券行情交易系统的厂商比如说乾隆高科,通达信等的技术上的合作,以行情交易系统和资讯平台和相结合的方式来发展资讯行业未来的资讯平台的搭建方向。建立全新的基于证券行业电子资讯架构(E-infostructure)和现代的资讯有效集成(informationintegration)创新技术构建起来的的统一证券资讯平台的运作模式。要是自己的资讯信息内容提供的方式和模型能够紧跟住资讯行业的潮流,只有领潮流之先才可以完整的拥有对市场的话语权。资讯信息模块与证券交易模式的合理有机嫁接以及技术上驻留程序的改进更新是保持这种领潮流之先的技术上的关键。
3、加强全国统一规划的的市场营销策略,树立起自己的品牌营销略。营销策略的正确性和促销手段的完善是产品成功的保证。产品再好,如果没有正确的营销战略、营销手段,没有精良的营销队伍去组织实施,就根本无从实现市场占有率第一的目标,更无从实现第一民族品牌和获取最大创业利润的目标。产品品牌的树立,在质地优良的情况下,除借助宣传工具外,最终还将依靠我们营销人员的自身高素质,丰富的知识和阅历,新颖的营销手段和技巧、良好的口才及应变能力,让消费者去感受我们的员工、感觉我们的产品、感觉我们的服务,确实让他们从中受益。
4、加强公司内部团队精神的建设,形成创业的集体凝聚力,形成企业发展与个人价值实现同步发展的激励模式。有计划的引入股权认购期权奖励的企业激励模式为团队精神的营造服务。甚至可以试探企业实现MBO来改变企业的法人治理体系和绝对控制权。团队精神和创新思维是公司实现可持续性发展的最根本的保证。团队精神的精髓是追求组织的有效性和员工对组织的最大贡献率,它既是一种精神境界的要求,但更重要的是一种思维、一种方法,它强调一种实战技巧,强调一个组织如何协作,充分发挥每个人的才能和潜力,通过协调和规划,最终促成目标的达成。
5、拓宽融资渠道,改变过去的靠自我的资本原始积累的方式发展自己的模式。在国内主板市场监管力度加大门槛提高、二板市场推出遥遥无期、美国纳斯达克不复往日威风的情况下,选择在香港上创业板进而发展向主板市场转变是最好的IPO融资方式。外资对中国证券市场的信心从乾隆高科在香港创业板上不错的融资业绩就可以看出。此外还可通过引入战略投资者参股扩充公司股本结构的方式来发展自己。QFII之后外资购并的放开之后资讯领域肯定的将是其感兴趣的产业之一。博弈选择将是引导资讯厂商发展壮大的一个重要的关键。
信息简报范文5
【关键词】医保 信息 系统
铜川市在1996年被确定为“两江经验”扩大试点城市之一,市本级医疗保险管理信息系统于1997年4月1日正式启动运行。随着社会保障事业的不断发展,经办机构承担的业务从原来单一的职工医疗保险扩大到工伤保险、生育保险,尤其是2008年启动实施的城镇居民基本医疗保险和城镇职工基本医疗保险市级统筹,老的系统已不能适应新的业务需求,更新换代势在必行。
经过与项目建设单位的精诚协作,建成了以两台IBM小型机和五台应用服务器、VPN服务器、负载均衡为基础的数据中心,采用ORACLE数据库和C/S/S三层架构的新系统于2008年7月1日正式上线。新系统涵盖了职工医保、居民医保、工伤保险、生育保险的所有经办业务,并全部实现市级统筹;7个经办机构、97个社区医疗保险经办点、140多家双定单位或光纤或宽带全部联网、一卡结算,形成了基础资料共享、业务经办并网、数据向上集中、服务向下延伸的网络体系。
本文结合铜川市在医疗保险管理信息系统建设过程中遇到的难点问题进行分析,并就这些问题进行思考,提出解决方案,供各位同行参考。
1 医疗保险管理信息系统建设面临的难点分析
1.1 医疗保险政策体系繁杂,经办业务众多
医疗保险政策体系涉及三大目录管理、基金收支余管理、待遇支付政策管理等多个方面,政策体系繁杂。
1.2 医疗保险政策体系面临不断完善和改良的情况
铜川市基本医疗保险制度改革自1996年被纳入“两江经验”扩大试点之后,已经陆续建立了城镇职工基本医疗保险、大额医疗补助、城镇居民基本医疗保险等制度。
1.3 基本医疗保险涉及面广
基本医疗保险涉及到广大参保单位和参保群众的切身利益,同时所实行的定点医疗机构、定点零售药店管理进一步扩大了基本医疗保险的业务经办覆盖面。2008年起实施的城镇居民基本医疗保险试点和城镇职工基本医疗保险市级统筹更进一步地将区县及社区经办服务机构纳入了基本医疗保险管理信息系统的覆盖范围。
1.4 基本医疗保险业务数据量庞大
在各项业务经办过程中,基本医疗保险将形成政策参数、三大目录、基金收支余、待遇发放等数据,而保证这些数据的安全、有序运行并能被应用于各项分析、监控是基本医疗保险管理信息系统需要解决的首要问题。
2 基本医疗保险管理信息系统建设的建议
2.1 准确到位的需求分析是信息化建设的前提
(1)经办机构应在对全市各级经办机构信息化建设现状进行认真调研的基础上,根据医疗保险信息化建设的特性,对工作人员按照决策成员、业务骨干、一般经办人员、技术人员进行分类,组织相关专业人员展开具有不同针对性的需求分析培训,要求各类人员根据各自的关注点结合多年来的业务经办实践,提出各自对于管理信息系统建设的要求,并明细到业务经办需采集的数据资料、经办程序、最终实现的目标以及对于操作界面的要求。通过培训,使各级工作人员对系统建设目标、方法、步骤能够做到统一认识,形成人人参与、人人建言的良好局面。
(2)在全员培训、全员参与的基础上,应组织部分业务骨干和相关专业人员对各类人员有关管理信息系统建设的需求进行准确分析、提炼,以基本医疗保险基金流向为主线,根据参保登记、费用征缴、基金管理、待遇支付等进行相关业务划分,对各项业务经办进行认真的归纳、拆分、整理,最终形成科学规范、标准统一的需求分析说明。
(3)在做好需求分析报告的基础上,经办机构也应加强与项目建设单位的充分沟通,必要时应组织业务骨干、技术人员与项目建设单位的技术人员进行座谈,力求使项目建设单位能够充分准确地理解业务需求。
2.2 科学规范的业务经办规程是信息化建设的基础
面对庞杂的政策体系和业务经办范围,制订一个科学规范的业务经办规程是基本医疗保险各项工作包括信息化建设的基础。
经办机构应对现有业务经办规程进行认真梳理,同时抽调业务骨干对政策执行、业务开展、待遇项目等情况进行调研,通过召开业务经办座谈会、专项业务培训会等多种形式,全面了解和掌握了业务经办现状。
2.3 准确安全的数据质量是信息化建设的生命线
信息化建设就其本质而言就是对数据的操作,无论是数据的采集、加工处理以至数据的输出,整个过程都围绕数据这一核心展开。因此保证数据的可用性、可信性、安全性就成为信息化建设成败的关键。
(1)在系统建设过程中应从建立规范的数据标准入手,加强数据的可用性。在需求分析阶段,经办机构可组织专业人员按照部颁LB101-2000标准及全省统一的指标体系对医疗保险数据标准及定义加以明确,并按照统一的标准和定义制作数据采集表格、输出表格及处理流程,确保入库数据的真实性和准确性。
(2)在制订科学规范的医疗保险操作规程基础上,对数据加工处理过程应提出明确规定,保证数据的可信性。管理信息系统操作实践的经验证明,仅靠软件不能完全保证数据的可信性。为此,经办机构在建设信息系统时应结合业务开展情况,对各业务操作的所需资料、办理程序、时限要求、权限设置提出明确规定。
2.4 灵活方便的参数设置是医保信息化建设的重要基石
医疗保险政策性强,同时由于医疗保险制度目前仍处于改革和完善阶段,且还将持续相当长一段时间,政策需要不断调整、完善,覆盖人群还需要不断扩大,而各项保障制度也在逐渐完善。
2.5 实时高效的系统性能是信息化建设需要考虑的重点环节
医疗保险需要建立的个人账户和需要处理的数据特别多,支付、按比例划分等业务都比较复杂,特别是数据实时传输的要求,对医疗保险管理信息系统的高效运行提出了较高的要求。
3 结束语
医疗保险管理信息系统是一项复杂的系统工程。随着医疗保险制度改革的继续深入,医疗保险政策的不断完善,参保覆盖范围的持续扩大,以及信息技术发展的日新月异,特别是社会保险法的实施,都将对医疗保险管理信息系统提出更多更高的要求。经办机构也应结合自身工作实际,科学规划,精心组织,努力打造规范实用的医疗保险管理信息系统。
信息简报范文6
课题研究主要内容包括智慧信息化整体架构特征、安全框架,安全保障管理要求、技术要求及保障机制等。
概述
智慧信息化整体架构与主要特征
智慧信息化整体架构模型主要包括物联感知层,网络通信层,计算与存储层,数据及服务支撑层,智慧应用层,安全保障体系,运维管理体系,建设质量管理体系等。具有开放性、移动化、集中化、协同化、高渗透等主要特征。
智慧信息系统安全风险分析
根据智慧信息化特征,结合信息安全体系层次模式,逐层分析智慧信息化带来新的安全风险。
物理屏障层,主要包括场地门禁、设备监控、警卫等。移动性特点带来物理介质的安全新风险。移动设备和智能终端自身防御能力弱、数量大、分布散、采用无线连接、缺少有效监控等带来的风险。
安全技术层,主要包括防火墙、防病毒、过滤等安全技术。云计算、物联网、移动互联网等技术的开放性、协同性等特征带来的安全新风险。
管理制度层,主要包括信息安全人事、操作和设备等。智慧信息化环境下信息资源高度集中、服务外包等新模式带来的管理制度上的新风险。
政策法规层,主要包括信息安全法律、规章和政策等。对各类海量数据整合、共享和智能化的挖掘利用等深度开发带来的信息管理政策法规上的新风险。
安全素养层,主要包括民众信息安全意识、方法、经验等。智慧信息化带来威胁快速传播、波及范围倍增扩大的风险,信息安全威胁的主体发生转换,社会公众的高度参与,用户、技术与管理人员的安全意识和素养带来的风险比传统系统更大。
智慧信息系统安全框架
智慧信息系统安全框架如图2所示。管理终端和其他经过认证授权的可信终端作为智慧信息系统可信组成部分,需要进行边界防护,防止越权访问,互联网用户等非可信组成部分,要采取安全隔离措施,使其只能访问受限资源,防止内部数据非法流出。对数据区域、物联网感知区域、物联网控制区域以及基础设施的管理区域进行严格的安全域划分,针对不同的安全域实施安全产品的监测、防护、审计等不同的安全策略以保护数据安全,再配合同步进行的体系建设、安全培训等安全服务措施,实现智慧信息系统的深度防御。
管理要求
安全保障规划。信息化主管部门负责智慧信息化发展总体安全保障规划,各相关领域主管部门负责专项领域安全保障规划。确定安全目标,提出与业务战略相一致的安全总体方针及方案。
安全保障需求分析。项目单位分析系统的安全保护等级并通过论证、审核、备案;根据安全目标,分析系统运行环境、潜在威胁、资产重要性、脆弱性等,找出现有安全保护水平的差距,提出安全保障需求。
安全保障设计。项目单位根据系统总体安全方案中要求的安全策略、安全技术体系结构、安全措施和要求落实到产品功能、物理形态和具体规范上。并形成指导安全实施的指导性文件。
安全保障实施。建立安全管理职能部门,通过岗位设置、授权分工及资源配备,为系统安全实施提供组织保障。对项目质量、进度和变更等进行全过程管控及评估。
安全检测验收。系统运行前进行安全审查,关注系统的安全控制、权限设置等的正确性、连贯性、完整性、可审计性和及时性等。上线进行安全测试和评估,包括安全符合性查验,软件代码安全测试,漏洞扫描,系统渗透性测试等,确保系统安全性。
运维安全保障。建立系统安全管理行为规范和操作规程,包括机房安全管理制度,资产安全管理制度,介质安全管理制度,网络安全管理制度,个人桌面终端安全管理制度等并严格按照制度监督执行。
优化与持续改进。在系统运行一段时间或重大结构调整后进行评估,对系统各项风险控制是否恰当,能否实现预定目标提出改进建议。
技术要求
计算环境安全要求
服务器、网络设备、安全设备、终端及机房安全、操作系统、数据库管理系统应遵循GB/T 22239-2008对应安全保护等级中相关安全控制项要求,并对重要设备的安全配置和安全状态等进行严格的监控与检测。
网络虚拟化资源池应支持基于虚拟化实例的独立的安全管理。多租户环境下,租户之间的网络支持虚拟化安全隔离,各个租户可以同时对自身的安全资源进行管理。
应提供以密码技术为前提的安全接入服务,保证终端能够选择加密通信方式安全接入云计算平台。
通信网络安全要求
对应安全保护等级中网络安全控制项要求,覆盖结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护等控制项要求。
虚拟网络资源间的访问,应实施网络逻辑隔离并提供访问控制手段。从区域边界访问控制、包过滤、安全审计及完整性保护等方面保护虚拟边界安全。
智慧网络应具备网络接入认证能力,确保可信授权终端接入网络。采取数据加密、信道加密等措施加强无线网络及其他信道的安全,防止敏感数据泄漏,保证传输数据完整性。
终端安全要求
对应安全保护等级中终端安全及GAT671-2006的安全控制项要求,覆盖物理安全、身份鉴别、访问控制、安全审计、恶意代码防范、入侵防范、资源控制等内容。
建设统一的终端安全管理体系,规范终端的各类访问、操作及使用行为,确保接入终端的安全合规、可管理、可控制、可审计。在重要终端中嵌入带有密码性安全子系统的终端芯片。
应用安全要求
满足对应安全保护等级中应用安全控制项要求,覆盖身份鉴别、访问控制、安全控制、通信完整性、通信保密性、抗抵赖、软件容错、资源控制等内容。
进行可信执行保护,构建从操作系统到上层应用的信任链,实现可执行程序的完整性检验,防范恶意代码等攻击,并在受破坏时恢复。建立统一帐号、认证授权和审计系统,实现访问可溯。
遵循安全最小化原则,关闭未使用服务组件和端口;加强内存管理,防止驻留剩余信息被非授权获取;加强安全加固,对补丁与现有系统的兼容性进行测试;限制匿名用户的访问权限,支持设置用户并发连接次数、连接超时限制等,采用最小授权原则。
数据安全要求
满足对应安全保护等级中数据安全控制项要求,覆盖数据完整性、数据保密性、备份与恢复等内容。
将信息部署或迁移到云计算平台之前,明确信息类型及安全属性进行分类分级,对不同类别信息采取不同保护措施,重点防范用户越权访问、篡改敏感信息。
在多租户云计算环境下,通过物理隔离、虚拟化和应用支持多租户架构等实现不同租户之间数据和配置安全隔离,保证每个租户数据安全隐私。确保法律监管部门要求的数据可被找回。
虚拟存储系统应支持按照数据安全级别建立容错和容灾机制,防止数据损失;建立灾备中心,保证数据副本存储在合同法规允许的位置。
全面有效定位云计算数据、擦除/销毁数据,并保证数据已被完全消除或使其无法恢复。
密码技术要求
物理要求。在系统平台基础设施方面使用密码技术。
网络要求。在安全访问路径、访问控制和身份鉴别方面使用密码技术。
主机要求。在身份鉴别、访问控制、审计记录等方面使用密码技术。
应用要求。在身份鉴别、访问控制、审计记录和通信安全方面应当使用密码技术。
数据要求。在数据传输安全、数据存储安全和安全通信协议方面使用密码技术。
安全域划分与管理研究
智慧信息系统安全域可以分为安全计算域、安全用户域、安全网络域。
安全计算域:由一个或多个主机/服务器经局域网连接组成的存储和处理数据信息的区域,是需要进行相同安全保护的主机/服务器的集合。安全计算域可以细分为核心计算域和安全支撑域。
安全用户域:由一个或多个用户终端计算机组成的存储、处理和使用数据信息的区域。
安全网络域:支撑安全域的网络设备和网络拓扑,防护重点是保障网络性能和进行各子域的安全隔离与边界防护。连接安全计算域和安全计算域、安全计算域和安全用户域之间的网络系统组成的区域。安全网络域可以进一步细分为感知网接入域、互联网接入域、外联网接入域、内联网接入域、备份网络接入域。
安全管理平台技术要求
对安全事件进行集中收集、高度聚合存储及分析,实时监控全网安全状况,并可根据需求提供各种网络安全状况审计报告。
智慧监测。针对大数据,通过预警平台对流量监测分析,为管理者提前预警,避免安全事件扩大化;监听无线数据包,进行网络边界控制,对智慧信息系统内部网络实施安全保护。
智慧审计。通过运维审计与风险控制系统对系统运维人员的集中账号和访问通道管控;通过数据库审计系统对数据库访问流量进行数据报文字段级解析操作,应对来自运维人员或外部入侵的数据威胁;通过综合日志审计系统实现对违规行为监控,追踪非法操作的直接证据,推动监测防护策略、管理措施的提升,实现信息安全闭环管理;针对应用层的实时审计、监测及自动防护。
智慧日志分析。对海量原始日志,按照策略进行过滤归并,减轻日志数据传输存储压力。对来自各资源日志信息,提供多维关联分析功能,包括基于源、目的、协议、端口、攻击类型等多种统计项目报表。多租户环境支持,支持虚拟化实例,能够区分不同租户的日志以及为不同租户提供统计报表。
智慧协同。根据开放性及应急响应技术要求,安全管理平台需考虑和周边系统互联互通,支持开放的API,相互传递有价值安全信息,以进行协同联动。
除了以上八个技术方面的要求外,智慧信息化安全保障体系还对安全产品、产品安全接口等方面也做出了相关要求。
保障机制
建立责任人体制。建设单位指定信息安全保障第一责任人,明确各环节主体责任,制定安全保障岗位责任制度,并监督落实。
建立追溯查证体系。建立全流程追溯查证体系,对存在的违法入侵进行有效取证,保证证据数据不被改变和删除。参照ISO/IEC 27037:2012、ISO/IEC27042。
建立监督检查机制。由信息安全监管部门,通过备案、检查、督促整改等方式,对建设项目的信息安全保护工作进行指导监督。
建立应急处理机制。参照GB/Z 20986-2007将安全事件依次进行分级,按照分级情况制定应急预案,定期对应急预案进行演练。
建立服务外包安全责任机制。安全服务商的选择符合国家有关规定,确保提供服务的数据中心、云计算服务平台等设在境内。
建立风险评估测评机制。对总体规划、设计方案等的合理性和正确性以及安全控制的有效性进行评估。委托符合条件的风险评估服务机构,对重要信息系统检查评估。定期对系统进行安全自查与测评。
