前言:中文期刊网精心挑选了供应链网络安全管理办法范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
供应链网络安全管理办法范文1
[关键词] 信息等级保护概述;中国石油;等级保护建设
[中图分类号] TP391;X913.2 [文献标识码] A [文章编号] 1673 - 0194(2013)05- 0057- 02
1 信息等级保护制度概述
信息安全等级保护制度是国家信息安全保障工作的基本制度,是促进信息化健康发展的根本保障。其具体内容包括:①对国家秘密信息,法人和其他组织及公民的专有信息以及公开信息,存储、传输、处理这些信息的信息系统实行分等级安全保护、分等级监管;②对信息系统中使用的信息安全产品实行按等级管理;③对信息系统中发生的信息安全事件分等级响应、处置。信息安全等级保护配套政策体系及标准体系如图1、图2所示。
定条件的测评机构开展等级测评;④建设整改:备案单位根据信息系统安全等级,按照国家政策、标准开展安全建设整改;⑤检查:公安机关定期开展监督、检查、指导。
2 中国石油信息安全等级保护制度建设
中国石油信息化建设处于我国大型企业领先地位,在国资委历年信息化评比中都名列前茅。2007 年全国开展信息安全等级保护工作之后,中国石油认真贯彻国家信息安全等级保护制度各项要求,全面开展信息安全等级保护工作。逐步建成先进实用、完整可靠的信息安全体系,保障信息化建设和应用,支撑公司业务发展和总体战略的实施,使中国石油的信息安全保障能力显著提高。主要采取的措施有以下几个方面:
(1)以信息安全等级保护工作为契机 , 全面梳理业务系统并定级备案。中国石油根据国家信息安全等级保护制度要求,建立自上而下的工作组织体系,明确信息安全责任部门,对中国石油统一建设的应用系统进行等级保护定级和备案,通过制定《中国石油天然气集团公司重要信息系统安全等级保护定级实施暂行意见》,加强桌面安全、网络安全、身份认证等安全基础防护工作,加快开展重要信息系统的等级测评和安全建设整改工作,进一步提高信息系统的安全防御能力,提高系统的可用性和安全性。在全面组织开展信息系统等级保护定级备案工作之后,聘请专业测评机构,及时开展等级测评、安全检查和风险评估工作,并通过等级测评工作查找系统的不足和安全隐患,制订安全整改方案,开展安全整改和加固改造,保障信息系统持续安全稳定运行。
(2)以信息安全等级保护工作为抓手 , 全面推动中国石油信息安全体系建设。中国石油以信息安全等级保护工作为抓手,完善信息安全整体解决方案,建立技术保障体系、管理保障体系和控制保障体系。采用分级、分域的纵深防御理念,将桌面安全、身份认证、网络安全、容灾等相关技术相互结合,建立统一的安全监控平台和安全运行中心,实现对应用系统的授权访问、桌面计算机的安全控制、网络流量的异常监控、恶意软件与攻击行为的及时发现与防御、业务与数据安全保障等功能,显著提高抵御外部和内部信息安全威胁的能力。建立了总部、区域网络中心、企事业单位三级信息系统安全运维队伍;采用集中管理、分级维护的管理模式,网络与安全运维人员采用授权方式,持证上岗,建立网络管理员、安全管理员和安全审计员制度;初步建立起中国石油内部信息安全风险评估队伍,并于 2010 年完成地区公司的网络安全风险评估工作。
(3)建立重要信息系统应急处置预案,完善灾难恢复机制。2008 年,中国石油了《网络与信息安全突发事件专项应急预案》,所有业务系统、网络管理、安全管理等都建立了应急响应处置预案和灾备系统,保障业务系统在遭遇突发事件时,能快速反应并恢复业务系统可用性。通过灾难恢复项目研究,形成了现状及风险分析、灾难恢复等级划分、灾备部署策略分析和灾备部署方案四步法,划分了信息系统灾难恢复等级,完善了灾难恢复机制。
(4)规划信息安全运行中心,建立重要信息系统安全监控机制。中国石油规划了信息安全运行中心的建设方案,提出了信息安全运行中心建设目标,通过网络运行状态、安全信息数据汇集、安全监测分析功能和安全管理流程的有机整合,实现中国石油 信息安全状况的可感知、可分析、可展示、可管理和可指挥,形成中国石油信息安全事件分析、风险分析、预警管理和应急响应处理一体化的技术支撑能力;通过完善安全运行管理体系,将安全运行管理组织、安全运维管理流程和安全监测预警系统三方面有机结合,实现事前预警防范、事中监控处置、事后追溯定位的信息安全闭环运行机制,形成中国石油统一的应急指挥与协调调度能力,为中国石油信息安全保障奠定良好的基础。
3 信息安全等级保护工作存在的不足及改进建议
信息安全等级保护管理办法 (公通字[2007]43号)正式标志着全国范围内的信息安全等级保护工作开始,通过5年的努力,全国信息安全工作形成了以落实信息安全等级保护制度为核心,信息通报、应急处理、技术研究、产业发展、网络信任体系和标准化建设等工作快速发展的良好局面,重要行业部门的信息安全意识、重视程度、工作能力有了显著提高。40余个重要行业出台了100余份行业等级保护政策文件,20余个重要行业出台了40余份行业等级保护标准,但同时存在着以下不足:
(1)对信息安全工作的认识不到位,对重要信息系统安全保护缺乏应有的重视。依据公安部相关资料统计,截至2012年6月,我国有18%的单位未成立信息安全工作领导机构;21%的单位未落实信息安全责任部门,缺乏信息安全整体规划;14个行业重要信息系统底数不清、安全保护状况不明;12个行业未组织全行业信息安全专门业务培训,开展信息安全工作的思路和方法不得当,措施不得力。20%的单位在信息系统规划过程中,没有认真制定安全策略和安全体系规划,导致安全策略不得当;22%的信息系统网络结构划分不合理,核心业务区域部署位置不当,业务应用不合理,容易导致黑客入侵攻击,造成网络瘫痪,数据被窃取和破坏。34.6%的重要信息系统未配置专职安全管理人员,相关岗位设置不完整,安全管理人员身兼多职;48%的单位信息安全建设资金投入不足,导致重要信息系统安全加固和整改经费严重缺乏;27%的单位没有针对安全岗位人员制订相关的培训计划,没有组织开展信息安全教育和培训,安全管理、运维技术人员能力较弱。
(2)重要信息系统未落实关键安全保护技术措施。重要信息系统未落实安全审计措施。在主机层面,有34.9%的信息系统没有保护主机审计记录,34.8%的信息系统没有保护主机审计进程,容易导致事故责任无法认定,无法确定事故(事件)原因,影响应急处理效率。38%的信息系统没有落实对重要系统程序和文件进行完整性检测和自动恢复的技术措施,35%的信息系统没有采取监测重要服务器入侵行为的技术措施,容易使内部网络感染病毒,对攻击行为无法进行有效监测和处置。
(3)我国信息技术与国外存在一定差距,安全专业化服务力量薄弱。具有我国自主知识产权的重要信息技术产品和核心技术水平还有待提高,依赖国外产品的情况还比较普遍;国内信息安全专业化服务力量薄弱,安全服务能力不强,部分重要信息系统的关键产品维护和系统运维依赖国外厂商,给重要信息系统安全留下了隐患。
为了有效提高我国企业信息安全水平,增加等级保护的可行性及执行力,建议:①各企业开展以信息安全等级保护为核心的安全防范工作,提高网络主动防御能力,并制订应急处置预案,加强应急演练,提高网络应急处置能力。②加大人员和资金投入,提高保障能力。③国家层面加快关键技术研究和产品化,重视产品供应链的安全可控。
主要参考文献
[1]中国石油天然气集团公司. 中国石油天然气集团公司全面开展信息安全等级保护工作为信息化建设保驾护航[J].信息网络安全,2012(1).
供应链网络安全管理办法范文2
推动传统产业转型升级,形成新的竞争优势利用云计算技术改造传统农业,将提高农业劳动生产率、提升农业标准化、自动化、精准化水平,降低农业风险。云计算通过与其他感知技术的融合,可对农业种植、养殖环节进行不间断检测,并实时掌握和分析农作物、禽畜和水产的生长动态,实现智能灌溉、精准施肥和投喂,提高经济效益。此外,云计算技术将有利于提升农业抗病虫害和抵御自然灾害的能力,还能通过廉价化地搭建供需信息平台及农产品电子商务平台,解决农业生产与市场需求的不对称性,降低农产品滞销的风险。利用云计算技术改造传统制造业,将有利于推动协同制造,加速制造业服务化的进程。云计算对制造业产业链的各个环节产生深刻变革,从供应链、工业设计到生产工艺流程,云计算将加快实现设计研发智能化、制造装备智能化、生产过程自动化和经营管理网络化,进一步提高企业的装备水平、工艺水平、管理水平和产品质量。云计算将为企业提供包括技术、产品、平台和运维管理在内的全面支持,使企业(特别是中小企业)更为高效、廉价地获得企业资源管理(ERP)、客户关系管理(CRM)等企业信息化解决方案及服务,从而降低企业的设计与制造成本,提升工业企业的自主创新效率,缩短产品升级换代周期,并在整体上提升企业的核心竞争力。利用云计算改造服务业,将有利于推进服务业科技化、智能化发展。传统服务业涉及面很广,技术含量普遍不高,科技对服务业的支撑能力普遍不足。云计算技术将通过提升服务功能、创新服务模式,在教育、科研、医疗、金融、交通、通信、电力、物流等各领域服务业态中得到应用,提高传统服务业企业科技化、智能化水平。服务业企业利用云计算改变业务流程,创新商业模式,形成新的商业形态,将进一步倒逼服务业体制机制改革。促进相关领域节能减排,缓解资源环境等要素约束瓶颈云计算利用虚拟化技术,将服务器、储存硬件等相关IT资源进行统一调度,能有效地降低能源消耗,提高电能利用率(PowerUsageEffectiveness,PUE)和信息系统利用率,减少信息系统的碳排放,为环境保护提供更高可行性随着云计算产品和服务的推广应用,一批小规模、能耗高的数据中心将逐步淘汰,相关节能技术将有效运用于大规模的数据中心,对促进数据中心节能减排将起到重要作用。云计算对信息系统的统一管理和运维,避免了用户对信息系统硬件设备的重复投资,在有效降低投资成本和运行维护费用的同时,也减少了电子垃圾排放量,缓解了当前电子垃圾难以回收处理的难题。
二、云计算对社会发展的影响
1.加速构建信息化和智能化社会,提升公共服务水平在电子政务公共服务领域,云计算将有利于公共部门搭建公共服务平台,加快实施电子政务云化改造,提高基本政务公开化和政务服务水平;在能源领域,云计算有助于加快构建和部署智能电网,有利于促进能源互联网构想的早日实现,提高电力公共服务科学化、智能化水平;在医疗领域,云计算将有助于推进医疗信息化,推动远程医疗服务的加快发展,对构建数字医疗起到关键作用,大幅降低医疗领域的公共支出,提升医疗公共服务质量和覆盖面;在教育领域,云计算有助于远程教育的加快应用和推广,实现教育公共服务的均等化;在交通领域,云计算将助力于打造交通云,实现车载网络等领域智能化交通的公共服务;在城市建设领域,云计算和物联网将成为智慧城市建设的核心,为提升城市公共服务水平奠定基础。
2.降低企业信息化成本和风险,提高企业信息化水平云计算将加深企业的信息化程度,改变企事业单位的信息化模式。特别是原来信息化程度较低,或无力承担信息化相关成本的中小企事业单位或初创企业,能利用云计算获得低成本、专业化、高性能的信息化服务,从而进一步加深中小企事业单位、初创企业的信息化程度,提高企业竞争力。云计算将改变企业的信息化模式,大幅降低企业信息化建设的成本和风险。特别是对数据安全不敏感的企事业单位,无需再负担沉重的IT资产费用、折旧费用和运维费用,只需定期按照实际需求和情况支付一定的服务费用。据测算,与传统模式相比,企事业单位利用云计算可减少20%左右的软件成本,削减近80%的劳动力成本和90%以上的折旧成本,而只需增加一小部分的部署成本。
3.颠覆人们传统思维,改变人们工作和生活方式云计算将改变人们使用信息技术的方式。云计算通过分离IT资源的所有权与使用权,形成了一种“不求所有,但求所用”的产权形式,使信息技术演变为一种服务,改变人们对软、硬件的最终需求,推动信息技术真正成为人们提高生产效率和生活质量的手段和工具。云计算对企业信息化的提升,将使远程办公成为可能。员工可以在任何时间、任何地点通过任何授权的终端设备召开会议、完成工作。员工的办公时间、办公地点可以自由安排,这将改变现在统一时间统一地点的工作模式,从而提高工作效率。云计算将成为人们社会生活中不可或缺的组成部分。目前,云计算在生活中的应用越来越广泛,基于云计算的网络搜索、电子信箱、网络地图、网络存储等服务不胜枚举。云计算正通过提供巨大的计算能力和更为经济、快捷的服务,改变着人们的生活。
三、迎接云计算变革的政策建议
1.加强云计算规划引领,深化对云计算及其影响的理解目前,国内对云计算认识还不全面,仍然存在“云里雾里”的认识误区。比如,有观点认为云计算只是现有信息技术的包装,仅仅是商业模式的创新,没有实质性的技术创新。也有观点认为云计算产业不仅涉及信息服务业,还涉及电子信息制造业,包括所有支撑或配套云计算发展的产品和服务,夸大了云计算产业的实质核心。此外,一些地方政府将发展云计算产业等同于数据中心建设,通过“喊口号、抓基建”的思路发展了一批云计算数据中心和产业园区,并没有实质性的云计算产业。相反,典型的示范试点项目却不多,社会各界普遍对云计算的效益性认知不足,尤其是企业对云计算能带来的效益仍存怀疑。因此,要明确云计算对整个经济社会的影响将是一个长期、持久的过程,需要将经历较长一段时间,才会真正对经济和社会产生变革,绝不是增加GDP的“短频快”行为。要尽快出台国家云计算产业发展规划或指导意见,制定云计算产业专项行动计划、战略和路线图,明确云计算产业发展战略,对云计算产业的技术重点、行业准入、产业组织、发展路径、空间布局等进行统筹规划和战略引导。
2.加快研发自主可控的云计算技术和产品,应对可能的国家安全风险当前,云计算的核心技术和相关法律法规缺失,国家信息安全问题比较突出。特别是政府部门在逐步向云计算迁移的过程中,大量的国家信息资源会借助云服务进行存储和处理。如果使用国外的技术和解决方案,很可能遭到网络攻击,导致内容失控和信息泄露等问题。因此,要在国家层面明确云计算关键技术的发展路线图,确保按阶段完成技术研发任务。要设立云计算专项支持资金,支持云计算基础技术和共性技术的研发。要依托国家重点实验室、云计算产业试点示范基地等产业技术创新平台,鼓励企业联合高校、科研院所形成产学研联盟,承担云计算关键技术的研发任务。要及时跟踪国际云计算技术的发展动态,积极与国外科研机构、企业开展技术交流与国际合作。要鼓励和支持有条件的云计算企业广泛利用开源等产业技术条件,对云计算技术和服务理念进行引进、消化和二次创新,增强技术创新能力和产业核心竞争力,避免陷入发达国家的技术路径依赖。
3.进一步促进云计算的示范应用,扩大云计算应用领域和范围从现阶段看,国内云计算需求还不迫切,难以在短期内形成规模化应用。由于近年来我国信息化建设正加紧推进,先期已投入了大量人力、物力和财力,构建了一批全新的信息系统和设备设施环境,目前运行情况良好。若盲目推广使用云计算,不仅需要对现有信息系统和设施进行整合,而且把原有数据和系统迁徙到云计算系统也存在较高的成本,再加上需要重新对系统操作员工的培训,成本更加无法估计。同时,由于我国目前信息化程度并不高,现有信息系统能基本完成对现有业务的支撑,并没有形成强大的动力推动信息系统向云计算转变。因此,云计算的技术经济性在我国当前阶段难以体现,无法在短期内激发云计算在国内的市场需求。因此,要进一步扩大云计算服务创新发展试点示范,鼓励通过政府采购支持云计算本土企业。积极推进云计算在政府各部门的示范应用,增强用户对云计算的信心,以点带面推动面向各类用户的云计算服务。加大宣传力度,使用户了解并熟悉国内外云计算成功的实践案例。鼓励云计算的商业模式创新,加大对云计算商业模式创新的支持力度。逐步降低用户向云计算的迁徙成本,对率先转型云计算的企业进行补贴。强化信息技术数据中心能耗指标的约束,推动数据中心的技术升级改造。
4.抓紧制定云计算标准和相关政策法规,规范云计算产业发展环境随着个人隐私、执法取证和知识产权等方面的安全威胁已越来越受到人们的关注,我国在产业标准、知识产权保护、数据及隐私保护、网络犯罪治理和反垄断等方面还存在很大的缺失,对云计算服务的应用推广制约比较显著。为此,要结合云计算应用的特点,借鉴欧美发达国家经验,进一步制定和完善相关法律法规,从制度层面保障信息安全。从国家层面加强网络数据安全、个人隐私保护、知识产权保护等方面的法律法规环境建设,切实保障用户数据及隐私安全,增强用户对云计算的信任。根据云计算产业发展特征,修改完善版权法、国家信息安全管理办法等法律法规,建立云计算经营资质管理制度、云计算服务的示范合同条款和使用守则等,构建合理有序的行业管理体系。加强对云计算服务提供商的质量监管,强化对基于云计算的网络安全的监管和对网络犯罪的打击,推进信用体系建设,规范行业发展秩序。
四、结语
