前言:中文期刊网精心挑选了信息安全审核制度范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
信息安全审核制度范文1
采用最先进的网络管理技术 重要数据服务器尽量采用漏洞少、安全系数高的开源linux操作系统。重要数据库数据尽量采取密码加密的方式存储。同时,尽量配齐配全安全防护设备,如防火墙,入侵检测系统、网络行为管理系统以及能够及时升级的防病毒软件。
选拔合格的网络管理人员 网络管理人员首先要有很强的网络信息安全意识,明白网络信息安全的重要性;其次,要有较高的网络信息安全专业知识,能够及时完善系统安全策略、更新系统补丁、查杀木马病毒;最后,需要有认真负责的工作态度,能够认真对待本职工作,对于出现的问题,能在及时进行解决,不影响网络的正常运转。
严格执行网络使用管理规定 办公内网必须与互联网及其他公共信息网络实行物理隔离,并强化身份鉴别、访问控制、安全审计等技术防护措施。严禁通过互联网电子邮箱、即时通信工具等处理、传递、转发涉密和敏感信息。严禁在办公内网使用外部U盘、光盘,点击不明网址,引发病毒木马攻击。
加强网络信息安全教育 光有好的网络安全设备和管理人员还不够,还必须提升所有公司人员的网络信息安全意识和网络安全操作水平,只要所有的人员认识到网络安全的重要性和必要,知道如何操作使用网络会减少安全危胁,才可以真正筑牢网络信息安全的防火墙。
加强外部信息的审查监管 要按照公司信息保密原则,对所有需要公开的信息实行审核把关,由信息安全负责部门领导负责审核审批,只有经过审核把关的信息,才可以进行到外网和公共信息平台上。未经息安全负责部门领导审批的,严禁进行信息,尤其是不能以单位的名义进行。
信息安全审核制度范文2
计算机在会计领域的广泛应用,不仅极大地提高了工作效率,节约了人力和物力,而且改变了传统会计的核算手段,提高了会计核算质量,但信息安全问题也日益凸显。为了确保电算化会计信息安全,保证企业单位财产的安全性和完整性,企业必须增加风险意识,采取科学合理的内部控制措施。
一、 电算化会计信息安全存在的问题
(一)开放的网络系统所带来的信息安全风险
互联网是一个开放的系统,连接在互联网上的计算机可以相互间传递和共享各种信息资源。当网络系统应用于企业的财务管理时,会使得会计信息安全存在隐患,一方面现在的黑客和计算机病毒越来越猖獗,黑客的入侵技术日益高超,计算机病毒的破坏力越来越大;另一方面网络软件本身的通信线路和后门程序等的缺陷,也使得会计信息安全难以得到保障。
(二)软件开发和设计的缺陷所带来的信息安全风险
在软件的开发和设计过程中,研发人员不可能将可能面临的风险和问题都考虑在内,一般是根据用户所提出的具体要求,由专业的计算机人员进行研发。计算机人员缺乏相应的财务管理知识,在对会计信息安全的考虑上会存在一定的偏颇,使得开发的软件与实际需求不符,同时对系统中存在的各类会计信息没有采取严格的保护措施,使得稍微具有一些数据库知识的人都可以进入数据库管理系统,窃取各类会计数据,甚至对企业的会计信息进行修改,这极大地威胁了企业会计信息的安全。
(三)操作制度不完善所带来的信息安全风险
目前很多企业在使用财务软件时,本文由收集整理系统密码成为公开的密码,软件的保护功能形同虚设,使得任何人都可以通过系统用户对会计信息进行浏览甚至是修改,同时操作制度不完善,实际工作中不按照制定好的规程来进行操作,系统管理员随意地将密码告诉别人甚至是自行修改数据,这些都给会计信息安全带来了很大的风险。
二、 加强电算化会计信息安全的内部控制对策
(一)员工综合素质的控制
企业内部会计控制制度是否能够得到有效实施,关键在于员工的综合素质和职业道德水平。电算化环境对员工的综合素质提出了更高的要求,要求会计人员不仅要掌握财务知识,还要掌握相应的计算机应用知识。当今时代,计算机技术日新月异,财务知识及相应的法律法规也在发生着很大的变化,因此企业必须构建完善的培训体系,加强对会计人员的业务培训和职业道德教育,确保会计人员能够对财务信息系统进行熟练运用,减少系统运行后出错的可能性,同时确保会计人员严格遵守《会计法》,在实际工作中依法办事,避免其徇私舞弊。与此同时,还要加强对全体员工的法制教育,让员工清楚地认识到人为危害电子数据的安全属于严重的违法行为,从而从根本上杜绝企业内部窃取或修改财务信息等违法行为的发生。
(二)信息输入的控制
作为会计信息系统应用的第一步,信息输入是实现其他功能的前提,因此企业必须制定标准的操作规范来确保信息输入的真实、及时和完整。首先,企业要制定信息输入的细则,如输入人员、输入时间、输入内容、修改数据后原始数据的处理情况,确保操作人员的每项数据输入都有规可循;其次,企业要制定完善的信息审核制度,不但要审核原始单据的真实性、合规性、完整性和合法性,还要审核输入的信息是否与原始单据一致、操作人员是否留下确认的标记、信息是否输入到正确的业务流,从而为信息的下一步处理提供依据。
(三)组织和岗位的控制
电算化环境下,企业原有的会计岗位分工发生了变化,这就需要对各组织和岗位的职责进行重新划分,确保各司其责。首先,企业要加强部门间的组织控制,将涉及电算化会计信息安全的部门分为系统开发部门和系统使用部门。系统开发部分主要负责会计信息系统的开发和维护,系统使用部分主要负责会计信息系统的日常使用;其次,企业要明确系统管理人员、维护人员、操作人员和审核人员的职责权限,确保各个岗位的人员各司其责,不得兼任。
(四)网络安全的控制
现代企业和员工在工作中涉及到越来越多的网上交易,开放的网络给会计信息安全提出了更高的要求,企业必须加强对网络安全的控制。首先,企业要严格控制用户的使用权限和密码的设置。企业要严格控制不同用户对会计信息系统的使用权限,将各项业务的授权、执行和记录等划分给不同的用户,对其他用户的访问给予拒绝。同时,企业要对密码的设置进行严格的控制,要求每一位用户都必须设置密码方可进入会计信息系统,对系统中的重要数据要进行加密,并对其对密码进行更改;其次,加强对病毒和防范。企业要强化员工防范病毒的安全教育,购买正版的杀毒软件,对操作系统进行定期的更新和杀毒,采用网络防火墙技术,确保数据的安全性。
信息安全审核制度范文3
一、计算机涉密信息管理情况
今年以来,我局加强组织领导,强化宣传教育,落实工作责任,加强日常监督检查,将涉密计算机管理抓在手上。对于计算机磁介质(软盘、U盘、移动硬盘等)的管理,采取专人保管、涉密文件单独存放,严禁携带存在涉密内容的磁介质到上网的计算机上加工、贮存、传递处理文件,形成了良好的安全保密环境。对涉密计算机(含笔记本电脑)实行了与国际互联网及其他公共信息网物理隔离,并按照有关规定落实了保密措施,到目前为止,未发生一起计算机失密、泄密事故;其他非涉密计算机(含笔记本电脑)及网络使用,也严格按照局计算机保密信息系统管理办法落实了有关措施,确保了机关信息安全。
二、计算机和网络安全情况
一是网络安全方面。我局配备了防病毒软件、网络隔离卡,采用了强口令密码、数据库存储备份、移动存储设备管理、数据加密等安全防护措施,明确了网络安全责任,强化了网络安全工作。
二是信息系统安全方面实行领导审查签字制度。凡上传网站的信息,须经有关领导审查签字后方可上传;二是开展经常性安全检查,主要对SQL注入攻击、跨站脚本攻击、弱口令、操作系统补丁安装、应用程序补丁安装、防病毒软件安装与升级、木马病毒检测、端口开放情况、系统管理权限开放情况、访问权限开放情况、网页篡改情况等进行监管,认真做好系统安全日记。
三是日常管理方面切实抓好外网、网站和应用软件“五层管理”,确保“涉密计算机不上网,上网计算机不涉密”,严格按照保密要求处理光盘、硬盘、U盘、移动硬盘等管理、维修和销毁工作。重点抓好“三大安全”排查:一是硬件安全,包括防雷、防火、防盗和电源连接等;二是网络安全,包括网络结构、安全日志管理、密码管理、IP管理、互联网行为管理等;三是应用安全,包括网站、邮件系统、资源库管理、软件管理等。
三、硬件设备使用合理,软件设置规范,设备运行状况良好。
我局每台终端机都安装了防病毒软件,系统相关设备的应用一直采取规范化管理,硬件设备的使用符合国家相关产品质量安全规定,单位硬件的运行环境符合要求,打印机配件、色带架等基本使用设备原装产品;防雷地线正常,对于有问题的防雷插座已进行更换,防雷设备运行基本稳定,没有出现雷击事故;UPS运转正常。网站系统安全有效,暂未出现任何安全隐患。
四、通讯设备运转正常
我局网络系统的组成结构及其配置合理,并符合有关的安全规定;网络使用的各种硬件设备、软件和网络接口也是通过安全检验、鉴定合格后才投入使用的,自安装以来运转基本正常。
五、严格管理、规范设备维护
我局对电脑及其设备实行“谁使用、谁管理、谁负责”的管理制度。在管理方面我们一是坚持“制度管人”。二是强化信息安全教育、提高员工计算机技能。同时在局开展网络安全知识宣传,使全体人员意识到了,计算机安全保护是“三防一保”工作的有机组成部分。而且在新形势下,计算机犯罪还将成为安全保卫工作的重要内容。在设备维护方面,专门设置了网络设备故障登记簿、计算机维护及维修表对于设备故障和维护情况属实登记,并及时处理。对外来维护人员,要求有相关人员陪同,并对其身份和处理情况进行登记,规范设备的维护和管理。
六、网站安全及
我局对网站安全方面有相关要求,一是使用专属权限密码锁登陆后台;二是上传文件提前进行病素检测;三是网站分模块分权限进行维护,定期进后台清理垃圾文件;四是网站更新专人负责。
七、安全制度制定落实情况
为确保计算机网络安全、实行了网络专管员制度、计算机安全保密制度、网站安全管理制度、网络信息安全突发事件应急预案等以有效提高管理员的工作效率。同时我局结合自身情况制定计算机系统安全自查工作制度,做到四个确保:一是系统管理员于每周五定期检查中心计算机系统,确保无隐患问题;二是制作安全检查工作记录,确保工作落实;三是实行领导定期询问制度,由系统管理员汇报计算机使用情况,确保情况随时掌握;四是定期组织全局人员学习有关网络知识,提高计算机使用水平,确保预防。
八、安全教育
为保证我局网络安全有效地运行,减少病毒侵入,我局就网络安全及系统安全的有关知识进行了培训。期间,大家对实际工作中遇到的计算机方面的有关问题进行了详细的咨询,并得到了满意的答复。
网络信息安全自查报告(二)
根据路局《关于在全局范围内开展网络与信息安全检查行动的通知》(XXXXXXXX)文件精神。我站对本站网络与信息安全情况进行了自查,现汇报如下:
一、信息安全自查工作组织开展情况
1、成立了信息安全检查行动小组。由站长、书记任组长,相关科室(车间)负责人、信息技术科全体人员为组员负责对全站的重要信息系统全面排查并填记有关报表、建档留存。
2、信息安全检查小组对照网络与信息系统的实际情况进行了逐项排查、确认,并对自查结果进行了全面的核对、梳理、分析。整改,提高了对全站网络与信息安全状况的掌控。
二、网络与信息安全工作情况
1)组织成立了网络与信息安全检查工作小组,由站长、书记任组长,相关科室(车间)负责人、信息技术科全体人员为组员。
2)研究制定自查实施方案,根据系统所承担的业务的独立性、责任主体的独立性、网络边界的独立性、安全防护设备设施的独立性四个因素,对客票发售与预订系统、旅客服务系统、办公信息系统进行全面的梳理并综合分析。
2、8月6日前对客票发售与预订系统、旅客服务系统、办公信息系统的基本情况进行逐项排查。
1)系统安全基本情况自查
客票发售与预订系统为实时性系统,对车站主要业务影响较高。目前拥有IBM服务器2台、cisco路由器2台、cisco交换机13台,系统均采用windows操作系统,灾备情况为系统级灾备,该系统不与互联网连接,防火墙采用永达公司永达安全管控防火墙。
旅客服务系统为实时性系统,对车站主要业务影响较高。目前拥有HP服务器13台、H3C路由5台、H3C交换机15台,系统采用linix操作系统,数据库采用SQLServer,灾备情况为数据灾备,该系统不与互联网连接,安全防护策略采用按照使用需求开放端口,重要数据均采用加密防护。
2)安全管理自查情况
人员管理方面,指定专职信息安全员,成立信息安全管理机构和信息安全专职工作机构。重要岗位人员全部签订安全保密协议,制定了《人员离职离岗安全规定》、《外部人员访问审批表》。
资产管理方面,指定了专人进行资产管理,完善了《资产管理制度》、《设备维修维护和报废管理制度》,建立了《设备维修维护记录表》。
存储介质管理方面,完善了《存储介质管理制度》,建立了《存储介质管理记录表》。
运行维护管理方面,建立了《客服系统维护标准》、《运行维护操作记录表》,完善了《日常运行维护制度》。
3)网络与信息安全培训情况
三、自查发现的主要问题和面临的威胁分析
四、改进措施
五、整改效果
网络信息安全自查报告(三)
学校接到:“重庆市巴南区教育委员会关于转发巴南区信息网络安全大检查专项行动实施方案的通知”后,按文件精神立即落实相关部门进行自查,现将自查情况作如下报告:
一、充实领导机构,加强责任落实
接到文件通知后,学校立即召开行政办公会议,进一步落实领导小组及工作组,落实分工与责任人(领导小组见附件一)。鱼洞二小网络安全大检查专项行动由学校统一牵头,统一指挥,学校信息中心具体负责落实实施。信息中心设立工作小组(工作小组见附件一),小组成员及各自分工落实管理、维护、检查信及培训,层层落实,并坚决执行“谁主管谁负责、谁运行谁负责、谁使用谁负责”的管理原则,保障我校校园网的绝对安全,给全校师生提供一个安全健康的网络使用环境。
二、开展安全检查,及时整改隐患
1、我校“网络中心、功能室、微机室、教室、办公室”等都建立了使用及安全管理规章制度,且制度都上墙张贴。
2、网络中心的安全防护是重中之重,我们分为:物理安全、网络入出口安全、数据安全等。物理安全主要是设施设备的防火防盗、物理损坏等;网络入出口安全是指光纤接入防火墙->路由器->核心交换机及内网访问出去的安全,把握好源头;数据安全是指对校园网的数据备份、对不安全的信息进行处理上报、对信息的过渡等。信息中心有独立的管理制度,如网络更新登记、服务器资源、硬盘分布统计资料、安全日志等,便于发现问题,既时查找。
4、强化网络安全管理工作,对所有接入我校核心交换机的计算机设备进行了全面安全检查,对操作系统存在漏洞、防毒软件配置不到位的计算机进行全面升级,确保网络安全。
5、规范信息的采集、审核和流程,严格信息审核,确保所信息内容的准确性和真实性。每周定时对我校门户网站的留言簿、二小博客上的贴子,留言进行审核,对不健康的信息进行屏蔽,对于反映情况的问题,备份好数据,及时向学校汇报。
6、本期第三周我校在教职工大会组织老师学习有关信息网络法律法规,提高老师们合理、正确使用网络资源的意识,养成良好的上网习惯,不做任何与有关信息网络法律法规相违背的事。
7、严格禁止办公内网电脑直接与互联网相连,经检查未发现在非涉密计算机上处理、存储、传递涉密信息,在国际互联网上利用电子邮件系统传递涉密信息,在各种论坛、聊天室、博客等、谈论国家秘密信息以及利用QQ等聊天工具传递、谈论国家秘密信息等危害网络信息安全现象。
三、存在的问题
1、由于我校的网络终端300多个点,管理难度大,学校没有多余的经费来购买正版杀毒软件,现在使用的是伪版的或者免费版本的杀毒软件,这给我们的网络安全带来了一定的风险。
2、我校的服务器共有5台,但我们没有一套网络管理软件,平时全靠人工手动去管理,管理难度大,所以平时难免有忘补丁升级的时候,这难免也存在一定的安全风险。
信息安全审核制度范文4
本刊讯 10月10日下午,2014年广东省高等学校和直属学校教育网络与信息安全工作会议在广东省教育厅19楼会议室召开。省委教育工委书记、省教育厅厅长罗伟其,教育部教育管理信息中心副主任曾德华、省教育厅副厅长朱超华等领导出席会议。
省委教育工委书记、省教育厅厅长罗伟其作重要讲话。罗厅长指出,没有网络安全就没有国家安全,教育承担着培养国家未来人才的重任,教育网络与信息安全工作十分重要。我省教育系统具有网络普及面广,应用积极性高,注重网络技术开发等特点,但还存在网络信息安全意识不强,网络和信息管理不到位等问题,要高度重视教育网络与信息安全,着力提高教育信息化水平、信息网络安全水平和信息网络应用水平。罗厅长要求各高校和中职学校及单位要切实做到“五个到位”:一是认识到位。要从国家安全的高度及整个教育事业的长远发展来认识网络安全的意义和价值。二是技术到位。要充分发挥自身的技术基础,从管理和技术两个层面上定期研究分析、研判安全问题。三是管理到位。网络安全工作要严格遵循“谁使用谁管理谁负责”的原则,建立严格规范的管理制度,确立信息使用的权限和责任人。四是责任到位。每一个部门、每个岗位都要落实信息网络安全管理责任,明确工作要求以及应急措施。五是保障到位。不管是网络自管还是托管,务必做到人员分配与资金投入的充足与恰当。
教育部教育管理信息中心副主任曾德华强调,要正确理解教育网络与信息安全在当前教育信息化发展中的意义,各级教育行政部门要建立健全网络与信息安全的有关制度,设立有力的技术支撑部门,加强同各级政府网络与信息安全管理部门、公安部门建立跨部门协调和事件处理机制,充分发挥纵向衔接、横向协调的组织保证作用,切实加强教育网络与信息安全。
省教育厅副厅长朱超华同志作重点工作部署。他要求围绕“一个目标”,健全“两个机制”,建设“三个体系”,重点抓好八个方面工作:一是建立和完善教育网络与信息安全管理制度;二是加快推进教育网络与信息安全基础设施升级;三是严格实行网站审核备案制度;四是全面落实教育系统信息安全等级保护定级备案;五是切实强化网络与信息安全的依法治理和制度化管理;六是大力推进舆情管控体系和网络文明建设;七是全面开
信息安全审核制度范文5
【摘要】本文通过分析会计网络化对企业内部控制的影响,探讨在企业中完善内部控制的措施,以确保企业实行会计网络化后,信息系统能够正常、安全、有效地运行。
随着网络财务的逐步实施,企业会计核算与会计管理的环境发生了很大变化,网络财务环境下的信息安全也将成为企业财务管理的严峻问题。传统会计系统的内部控制机制和手段已不适应网络环境,建立适合于网络环境下的内部控制体系已成为企业亟需解决的重要问题。
一、会计网络化对企业内部控制的影响
(一)互联网的发展扩大了会计核算范围
在网络环境下,大多数企业通过互联网平台与银行、客户、供应商进行业务往来,网络财务软件的功能也在不断增强和完善,诸如网上支付、网上采购、网上销售、网上催账、网上报关、网上理财、网上保险、网上证券投资以及网上外汇买卖等。这极大地方便了会计人员,但同时也为内部控制带来更大难度,企业内部控制的范围和方法较原来的系统将会更加广泛和复杂。如:进行网络系统安全控制、系统权限控制、修改程序控制等。
(二)信息储存的无纸化给数据安全带来许多隐患
会计网络化使会计信息储存方式和媒介发生变化。网络财务的应用使各类会计凭证和报表的生成方式、会计信息的储存方式和储存媒介发生变化,原始凭证在网络业务交易时已不复存在,出现了各种电子单据,存贮形式主要以网络页面数据存贮,原来在核算过程中进行的各种必要的核对、审核等工作大部分由计算机自动完成。因此,网络环境下会计内部控制的重点由以对人的控制为主转变为对人、计算机和互联网的控制。
(三)远程处理加大企业的安全风险
会计网络化的应用将原来封闭的局域会计系统转变为开放的互联网世界,给会计系统的安全提出了严峻的挑战。一是在网络环境下,过去以计算机机房为中心的安全措施已不适用,大量的会计信息通过开放的互联网传递,存在被截取、篡改、泄漏机密等安全风险;二是互联网客观上存在的开放性特性,给一些非善意访问者以可乘之机,目前世界上的各类网站每天都受到成千上万次黑客的攻击,网络财务系统无疑面临巨大的安全风险;三是计算机病毒的猖獗也为互联网系统带来很大的风险。因此,网络财务系统的内部控制不仅难度大,而且还要有各种控制的先进技术手段。
二、完善网络会计信息系统内部控制的措施
严格的内部控制制度是信息真实可靠的保证。实践表明,计算机本身处理出错的机率很小,但人为造成出错和舞弊的现象却较多,而且一旦出现问题,损失巨大。探索有效的内部控制制度,确保财务数据的可靠性和真实性,是实施网络财务的内在要求,是提高企业财务管理效率的重要途径。
(一)组织与管理控制
1.制定网络会计政策法规
网络会计信息系统是一个人机结合的控制系统。在会计程序和方法上如何操作,理论界和会计界正在探索,尤其是实务中,各企业做法不一,使会计信息质量缺乏可比性。因此,政府应坚持立足于我国国情,并参照国际有关法律、法规,制定出一套规范的、符合我国国情的网络会计方面的法律、法规,使我国的网络会计真正走上健康发展的轨道。
2.健全内部控制制度
在网络会计下,内部控制的目的依然是为了维护会计数据的正确性、可靠性以及财产的完整性,以提高经营效率和保证管理方针的实现。在手工系统和电算化系统下的内部控制制度,网络会计中要作较大调整。原来部分核算工作已由计算机执行,如材料岗、固定资产岗、成本岗、报表岗等岗位可取消,转而强化原始数据的搜索、审核和维护岗位。可设立一些新的岗位,赋予新职责。如:(1)设立系统维护岗,维护财务软件和管理软件的软硬件环境,提出、更新维护计划,监督软硬件的更新。(2)设立数据审核岗,审核确认信息流动过程中需要核准的部分。尤其注意审核来自网络数据正确性和手续的完备性。(3)设立档案管理岗,保管和各种电子会计档案,保证档案的安全性。日常工作中应对数据进行备份,在网络中应利用两个服务器进行双机镜像映射备份来保证数据的安全。处理后的数据要保证其正确性和完整性,并制定专门的程序来保证数据的查阅和输出。
3.扩展内部审计内容
内部审计是保障内部控制制度得到有效执行的最重要的手段之一,从系统开发到日常操作的各个阶段,都需要内部审计。在系统开发阶段,内部审计人员不仅要参与开发,还要对开发工作本身进行审核和评价。在日常运行阶段,内部审计人员不但要检查各项规章制度是否落实执行、业务处理记录是否保存、报告产生和环境安全相关的控制进行评价和验证,还要用网络技术对系统的程序进行测试,以检验业务处理过程是否正确可靠。
(二)加强软件开发控制
在网络财务系统开发之初,要进行详细的可行性研究;在系统开发过程中,要制订有效的内部控制方案并在系统中实施,在系统测试运行阶段,要加强管理与监督。系统运行前要对有关人员进行培训,使其熟练掌握系统的操作,了解系统投入运行后应遵循的内部控制制度。在线测试的实现可及时解决应用软件自身存在的问题。通常的方法一是在软件开发过程中加强交流,充分测试;二是在软件开发过程中注意监控,及时发现问题并予以解决。在单机系统下,用户与软件供应商之间因空间的阻隔往往很难充分交流,发现并解决问题费时费力;到了网络时代,互联网提供的实时高质的通讯传输手段,可使用户和软件商在瞬间建立连接。
(三)建立网络系统安全控制措施
通常网络系统安全保障可以分为两大类:建立在数据加密、用户授权确认机制上的开放型和以防火墙技术为代表的被动防卫型网络安全保障系统。
1.会计信息安全控制。会计信息安全的基础是密码学。这类技术的特征是利用现代数据加密技术来保护整个网络中的所有数据流。如通信线路上的数据流加密,数据库中的数据文件加密,访问者的身份认证,数字签名等。除密码学之外,模式识别的方法也在网络信息安全方面得到应用。
信息安全审核制度范文6
关键词:电子政务信息安全PKI
一、综合电子政务平台概述
电子政务是指政府机构应用信息技术提高政府事务处理的信息流效率,对政府机构和职能进行优化,改善政府组织和公共管理能力。通常由核心网络、接人网络及访问网络三部分组成。建设内容一般包括:电子政务网络平台、政府门户网站、电子政务主站点、“一站式”行政审批系统、视频会议系统、公文交换和信息报送系统、电子邮件系统、办公自动化系统等。
电子政务网络平台网络结构中,核心网络拥有重要的信息资源,并处理政府部门间的核心业务。政府部门间的数据交换流程是闭环的,即任何一个节点既是用户又是数据源。因此,核心网络节点之间的业务流程应该是高速、严密、安全的,并且有严格的审核机制。核心网络与接人网络形成上下级关系的协同工作平台,进行信息、数据的交换。它们之间的信息往来必须具备信任安全体系。政府核心网络面向社会公众提供信息服务,对外宣传政府信息,与访问网络建立连接。
二、综合电子政务平台的安全风险
2.1网络安全域的划分和控制问题
电子政务中的信息涉及国家秘密、国家安全,因此它需要绝对的安全。但是同时电子政务现在很重要的发展方向是要为社会提供行政监管的渠道,为社会提供公共服务,如社保医保、大量的公众咨询、投诉等等,它同时又需要一定程度的开放。因此如何合理地划分安全域显得非常重要。
2.2内部监控、审核问题
目前绝大部分单位都没有系统可以实时地对内部人员除个人隐私以外的各项具体操作进行监控和记录,更不用谈对一些非法操作进行屏蔽和阻断了。
2.3电子政务的信任体系问题
电子政务要做到比较完善的安全保障体系,第三方认证是必不可少的。只有通过一定级别的第三方认证,才能说建立了一套完善的信任体系。
2.4数字签名(签发)问题
在电子政务中,要真正实行无纸化办公,很重要的一点是实现电子公文的流转,而在这之中,数字签名(签发)问题又是重中之重。
2.5电子政务的灾难响应和应急处理问题
很多单位在进行网络规划的时候,没有考虑到作为系统核心部分一一数据库本身的安全问题,完全依赖干整个网络的防护能力,一旦网络的安全体系被穿破或者直接由内部人员利用内网用户的优势进行破坏,“数据”可以说无任何招架之力。
三、综合电子政务平台安全体系建设方案
3.1技术保障体系
技术保障体系是安全管理体系的重要组成部分。它涉及两个层面的问题,一是信息安全的核心技术和基本理论的研究与开发,二是信息安全产品和系统构建综合防护系统。
信息安全技术。信息安全的核心技术主要包括数据加密技术、信息隐藏技术和信息认证技术。数据加密是把有意义的信息编码为伪随机性的乱码,以实现信息保护的目的。数字签名是指只有发送者才能产生的别人无法伪造的一段数字串,这段数字串同时也是对发送者信息真实性的证明。
信息安全防护体系。目前,主要的信息安全的产品和系统包括防病毒软件、防火墙、入侵检测系统、漏洞扫描、安全审计系统、物理隔离系统等。我们可采用屏蔽子网体系结构保证核心网络的安全。屏蔽子网体系结构通过添加额外的安全层到被屏蔽主机体系结构,即通过添加周边网络更进一步地把内部网络与Internet隔离开。在这种结构下,即使攻破了堡垒主机,也不能直接侵人内部网络,它将仍然必须通过内部路由器。
3.2运行管理体系
安全行政管理。电子政务的安全行政管理应包括建立安全组织机构、安全人事管理、制定和落实安全制度。
安全技术管理。电子政务的安全技术管理可以从三个方面着手:硬件实体、软件系统、密钥。
风险管理。风险管理是对项目风险的识别、分析和应对过程。它包括对正面事件效果的最大化及对负面事件影响的最小化。
3.3社会服务体系
安全管理服务。目前,一些信息安全管理服务提供商(ManagedSecurityServiceProviders,MSSP)正在逐步形成,它们有的是专门从事安全管理服务达到增值目的的,有的是一些软件厂商为弥补其软件系统的不足而附加一些服务的,有的是一些从IT集成或咨询商发展而来提供信息安全咨询的。
安全测评服务。测评认证的实质是由一个中立的权威机构,通过科学、规范、公正的测试和评估向消费者、购买者即需方,证实生产者或供方所提供的产品和服务,符合公开、客观和先进的标准。
应急响应服务。应急响应是计算机或网络系统遇到安全事件如黑客人侵、网络恶意攻击、病毒感染和破坏等时,所能够提供的紧急的响应和快速的救援与恢复服务。:
3.4基础设施平台
法规基础建设。主要有以下几方面:在国家宪法和各部门法中对各类法律主体的有关信息活动涉及国家安全的权利和义务进行规范,形成国家关于信息及信息安全的总则性、普适性的法规体系;针对各类计算机和网络犯罪,制订直接约束各社会成员的信息活动的行为规范,形成计算机、网络犯罪监察屿防范体系;对信息安全技术、信息安全产品(系统)的授权审批应制订相应的规定,形成信息安全审批与监控体系;针对信息内容的安全与保密问题,制订相应规定,形成信息内容的审批、监控、保密体系;从国家安全的角度,制订网络信息预警与反击体系等。
