信息安全服務體系精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的信息安全服務體系主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：信息安全服務體系范文

關鍵詞： 檔案信息服務 隱私權 網絡化

檔案信息是一種重要的原始信息，也是記錄隱私的重要載體，同時，作為歷史的記錄，檔案中的許多內容涉及個人隱私，因此，檔案工作和隱私權保護有著必然的聯系。蓬勃發展起來的網絡環境在改變檔案信息收集、整理、貯存、傳遞、利用的傳統模式的同時，也使隱私權保護呈現出新的特點。網絡本身的安全性并不十分可靠，這是檔案信息網絡化服務進程中一個極為重要的問題，由于技術的不完善，第三方（如“黑客”等）對當事人隱私權的侵犯既可以發生在檔案館與用戶通過網絡傳送個人資料或不同的檔案網站之間共享個人資料的某個環節，又可以發生在檔案網站貯存個人資料的過程中。這就從客觀上推動了我們對檔案信息（網絡化）服務中的隱私權保護問題的探討。

一、檔案信息服務中涉及的隱私權問題分析

在檔案信息服務中保護隱私權的意義不僅在于維護當事人的合法權益，而且在于為檔案事業的發展營造良好的社會氛圍，推動檔案信息化進程，促進檔案社會價值的實現。

（一）個人資料收集中的隱私權問題

檔案是一種重要的原始信息，具有保密性，包括公民的一些重要的個人信息，大多數鮮為人知。雖然檔案法對保密檔案的管理和利用、密級的變更和解密都做了嚴格的規定，同時制定了檔案的開放期限，但其法律相對方主要是機關、團體、企事業單位，對于個人重要檔案信息沒有給予明確的說明。事實上，在檔案所有人向檔案館移交、捐贈、寄存或檔案館自行收集關于公民的檔案之初，就應妥善處理好隱私權問題。

隱私權保護問題在傳統的個人資料收集過程中并不太引人注目，但在網絡化的今天，檔案館通過網絡收集個人資料變得快捷化、自動化、詳細化，隱私權問題相對更加突出。比如，檔案網站在接受訪問時往往要求用戶提供若干個人資料，包括年齡、性別、身份證號、職業、收入、工作單位、研究方向、聯系電話、傳真、電子信箱等；檔案網站可以利用一些追蹤軟件來持續掌握用戶的網上行為，判斷他們的檔案信息消費特點。

檔案網站采用先進的技術手段收集個人資料并非出于惡意，目的是通過對個人資料的分析與挖掘，找出可能連用戶自己都沒有意識到的檔案信息消費習慣或消費需求，改進服務工作，這是網絡環境中檔案信息服務和信息產品開發“量身定制”的個性化、多樣化的要求。但是，檔案網站在用戶毫不知情或無可奈何的情況下（例如有的網站拒絕為不提供個人資料的用戶服務）收集個人資料，就是侵犯用戶對其個人資料的占有權和支配權。

（二）個人資料傳輸和貯存中的隱私權問題

檔案信息傳輸和貯存過程中所涉及的隱私權問題，主要出現在檔案信息網絡化過程中。

網絡本身的安全性并不十分可靠，這是檔案信息網絡化服務中可能產生隱私權問題的又一個原因。由于技術的不完善，第三方（如“黑客”等）對當事人隱私權的侵犯既可以發生在檔案館與用戶通過網絡傳送個人資料或不同的檔案網站之間共享個人資料的某個環節，又可以發生在檔案網站貯存個人資料的過程中。比如，第三方可以直接侵入檔案網站的用戶數據庫，觀看、篡改、傳播個人資料，如果這種行為是出于惡意，那么當事人的隱私權無疑將受到極大的威脅。

（三）個人資料利用中的隱私權問題

不恰當地利用個人資料是檔案信息服務中可能產生隱私權問題的第三個原因。

檔案利用與隱私權保護之間存在著矛盾，檔案利用必然涉及公民的隱私權保護問題。如果涉及隱私的檔案被自由利用，就可能導致政治與經濟活動的混亂，使社會公民產生生活危機感，給社會的安寧團結帶來不利因素。因此，如何認識和正確處理好檔案利用與保護公民隱私權問題，是檔案利用工作在改革開放過程中的一個重要課題。因為這種侵權涉及檔案館的管理職能及檔案館對個人資料的常規使用，所以控制和防止此種侵權的困難較大。比如，檔案館將用戶為了特定的目的提供的個人資料出于業務需要用于未經授權的另一目的上，包括但不限于向別的檔案館提供該資料，且未限制該檔案館對個人資料的合理使用——雖然這種利用個人資料的方法對用戶的合法權益并無損害。

由于各種原因，目前在檔案開放利用工作中公民的隱私權得不到應得的保護甚至被人們所忽視，這無疑給檔案信息服務工作帶來了一定隱患。在目前我國隱私權的觀念尚未深入人心，人們在普遍缺乏隱私權保護意識的情況下，檔案部門在開放利用中忽視隱私權保護的行為還能被社會所容忍，但伴隨著我國法制化建設的進程，公民隱私權意識的增強，檔案部門在實際工作中如不能很好地貫徹法律的規定，忽視對公民隱私權的保護，就會在很大程度上影響檔案信息服務工作的開展。

二、檔案信息服務中保護隱私權的對策

要使得公民的隱私權在檔案信息服務過程中得到保護，就必須走依法治檔的道路，進行相關方面的檔案法律建設。目前我國《檔案法》中沒有明確規定檔案信息所涉及的隱私權問題，僅在部分條款中有類似說明。

在檔案信息服務過程中，檔案利用是涉及隱私權的一個關鍵環節，在利用時應區別對待，通過控制使用這些涉及私益的檔案，限制其利用范圍，使隱私權受到必要的保護，做到合法利用。

做好檔案信息服務中的隱私權保護，檔案界和檔案館還應采取以下對策。

（一）制定檔案行業的隱私權保護政策

1997年9月27日，國家檔案局、國家保密局聯合頒發了《各級國家檔案館館藏檔案解密和劃分控制使用范圍的暫行規定》，該文件對于有效預防在檔案開放利用工作中發生對個人隱私的侵權有非常重要的作用。各級各類檔案部門以此項規定作為政策指導和保障，結合各自的實際館藏狀況，制定了相關的規章制度，教學效果顯著。不僅如此，檔案學會和檔案館還應制定本行業的網絡隱私權保護政策，并在網站主頁的顯眼位置予以明示，內容包括：告知網站收集個人資料的目的、方式、范圍；對個人資料提供保密和安全措施的承諾；告知用戶的請求閱覽權、補充修正權、刪除權、訴訟權等相關免責條款。

檔案法律在以后的完善健全過程中，要著重注意解決一個問題，即檔案信息開放服務過程中公民隱私權與知情權的關系問題。在檔案利用實踐中，我們有時不得不在保護公民隱私權和維護公民知情權之間做出選擇。檔案部門所作出的選擇要符合法律利益最大化原則。如當檔案中的隱私涉及共同利益、公共需求、政治利益時，檔案部門就要偏向于后者，因為它符合大多數人的需要，從長遠來看，根本上也符合隱私權主體的利益。

（二）加強對個人檔案隱私權的管理與技術保護

1.在檔案管理中采取措施

這是合法利用檔案信息的前提條件，要求對涉及公民隱私權的檔案進行鑒定與區分，使之與一般檔案區別對待，分開保管，實現有關檔案的完整、安全和保密。目前，檔案法規對涉及公民隱私權檔案的劃分并不十分明確，在實際工作中不易操作，這種狀況亟待改善。

利用者在利用涉及隱私的檔案時，只限于達到既定目的，當按規定獲得對檔案的利用權后，可對這些檔案進行閱覽、復制和摘錄，但不得將其以現行檔案法規中明令禁止的形式對外公布，不得擅自傳閱、散布、發表這些涉及他人隱私的檔案內容。檔案工作者有必要在提供檔案信息服務過程中向利用者說明有關注意事項。

2.網絡化過程中的保護手段

相對于傳統的紙質檔案而言，在檔案信息網絡化過程中，可以采取的技術保護手段可謂多種多樣?，F在已經有了Cookies軟件管理工具、個人隱私偏好平臺（P3P）、加密軟件、自動刪除個人資料軟件等由用戶自己保護個人資料的技術。檔案網站保護個人資料的技術也有很多種，比如：檔案館為了禁止未獲授權的人截取或查閱個人資料，可以通過設置本網站運行的服務器，自動使電子郵件傳輸到一個預先指定的服務器目錄機密郵箱，只供獲得授權的人查閱。

（三）提高檔案館保護隱私權的自律性

“自律”是檔案館保護隱私權的一條重要原則，即通過檔案館采取自律措施來規范在個人資料收集、存貯、傳輸利用中的行為，達到保護隱私權的目的。

1.檔案館應開展檔案開放利用的鑒定工作

組織鑒定小組及時鑒定需要開放利用的檔案，著重分析檔案涉及隱私的內容和本館檔案的類型，從而確定哪些檔案涉及個人隱私，屬于控制范圍。對個人資料的重要程度劃分等級，以決定采取不同的保護措施。檔案館還要建立一些規章制度，避免所有的檔案館人員都能接觸到敏感的個人資料（如出身、種族、政治傾向、、犯罪記錄等），確保只有經過批準的檔案館人員才能收集、查閱、傳播這些個人資料。對于已到開放期的檔案，要嚴格按照《各級國家檔案館開放檔案辦法》、《各級國家檔案館館藏檔案解密和劃分控制使用范圍的暫行規定》中的相關規定，對擬開放檔案組織認真鑒定，以決定包含個人資料的檔案的開放時間、開放方式和范圍。

2.檔案工作者要注意保護他人隱私

第2篇：信息安全服務體系范文

關鍵詞：信息安全 空間信息 信息共享 社區信息化 福州市

一、引言

社區信息化是城市信息化的基石。保障信息安全，是讓公眾充分利用空間信息及網絡技術對基層的公共事務和公益事業實行自我管理、自我服務、自我教育、自我監督的重要前提。本文結合福州市公眾空間信息共享服務平臺的建設情況，對信息安全保障問題進行初步探討。

二、福州市公眾空間信息服務共享平臺的結構

福州市公眾空間信息共享服務平臺是福州市政府基于中國福州門戶網站(政務外網)向公眾提供空間信息的一站式服務平臺，以數據服務的形式為社區提供需要的海量空間地理基礎數據。公眾不必關心空間地理基礎數據的管理、維護、更新問題，保證了數據的現勢性，節約了數據成本。不同權限的社區公眾可以通過訪問不同的地圖服務達到訪問不同數據圖層的目的。社區公眾經政府培訓認證后,也可參與平臺的建設，疊加標注所在社區的相關屬性信息，以達到社區自治的目的。

福州市公眾空間信息服務共享平臺包括應用層、認證層、接口層、服務層、數據層和管理維護層等六個層次，相互形成一個有機的整體。

⒈應用層

應用層是各社區基于平臺服務接口建立的社區應用服務展示系統,為社區公眾使用各類空間數據及服務提供途徑。從公眾角度看，平臺是一個信息服務機構，可以是一個傳統意義上的桌面應用程序，也可以是Web應用程序或門戶網站。此外，通過建立面向不同社區的元數據目錄登記注冊，可以實現各類共享空間信息的查找，將解決這些數據“如何發現”的問題。

⒉認證層

認證層是福州公眾空間信息共享服務平臺與政務專網的網絡安全體系集成接口。利用PKI/CA證書等成熟安全技術，通過身份標識、授權控制，提供“統一認證管理”，實現“單點登錄”。認證層的設計對于平臺系統及其信息資源的安全保障非常必要，保證只有授權用戶才可以訪問和使用平臺所提供的相關資源。

⒊接口層

接口層是提供給各類開發用戶的Web API(網絡應用程序接口)。信息服務、中介機構及社會公眾可以使用這些API來和自己的業務應用進行集成，形成自己的業務空間信息應用系統，如商貿地理信息系統、三維旅游系統、現代物流系統、房產銷售管理系統，等等；平臺也可以使用這些API，來構建綜合應用展示系統、多源數據桌面瀏覽器等系統，為平臺使用者提供方便友好的接口。

⒋服務層

服務層是接口層的基礎，接口層是服務層的對外表現，服務層實現諸如二維數據引擎、地址編碼引擎、元數據引擎等，為接口層提供強大的后臺實現支持，這二者合稱為應用接口層。通過應用接口層，平成對各類空間地理基礎信息資源的對外共享和，將解決空間信息資源“如何”的問題。

⒌數據層

數據層是整個平臺的基礎。平臺的數據，從內容上是福州市空間地理基礎信息數據，并將在平臺運行后逐步擴大其覆蓋面；從表現形式上是存儲在于平臺數據中心及其他多個行業部門數據中心的分布式數據庫環境中。數據的完整性、實用性、精確性、動態更新能力等從根本上決定了平臺的價值。根據不同的數據類型特點以及應用的需要，建立實用有效的數據采集、加工及處理流程與規范，通過對原始數據的加工整合，將解決數據“如何制作”的問題。

⒍管理維護層

管理維護層包括對平臺數據的管理和應用及服務的管理，和上面五個層有著密切的聯系，是整個平臺正常運維的保證；有數據入庫、更新維護、服務管理、運行監控、用戶及權限管理等應用。對于社區公眾的權限管理將分為三個級別，即功能權限控制(能使用哪些功能)、圖層權限控制(能訪問哪些圖層)及區域范圍權限控制(能訪問什么范圍)，系統管理員可以根據社區公眾角色進行授權，控制其對共享平臺的訪問。

三、公眾空間信息共享服務平臺的安全保障體系設計

福州市公眾空間信息共享服務平臺安全保障體系就是要在中國福州門戶網站（政務外網）和互聯網環境下，以公眾服務平臺的安全需求和安全策略為依據，建立以系統可用性、完整性、機密性為目標的信息安全保障體系。建立服務平臺安全保障體系是一項系統工程，它從安全策略、安全技術保障、安全組織、安全管理以及四個方面來系統考慮平臺建設的安全保障。

⒈安全策略

安全策略主要從整體上提供全局性指導，為具體的安全措施和規定提供一個全局性的框架。公眾空間信息共享服務平臺是依托中國福州門戶網站（政務外網）為互聯網公眾提供信息服務。根據電子政務系統業務特點和安全要求，按“分域防護、分級保護”的原則，要劃分不同的安全域和業務保護安全等級，制定與之適應的安全防護措施和安全機制，通過集成相關的安全產品和安全服務，從物理安全、網絡安全、系統安全、應用安全、安全管理等五個方面，構造多層防御的安全保障體系，以確保平臺安全、高效、可靠運行。

⒉安全技術保障

⑴安全基礎設施的建設

信息安全技術的設計必須滿足平臺建設的安全需求與安全策略。從技術保障體系結構上，是按照分層防護的原則來設計的。通常，把物理安全、網絡安全和系統安全等安全措施統稱為安全基礎設施。安全基礎設施的建設主要包括：安全管理維護系統、設備安全管理、邊界訪問控制系統、監控和檢測系統、防病毒系統、主機加固和保護、容災備份系統、遠程安全接入（VPN）系統等。

安全網管和應用監控系統：實現對公眾空間信息共享服務平臺應用統一監控和預警，實現故障、事件統一管理。邊界訪問控制系統：根據各安全域具體的安全防護策略，實現各安全域的邊界保護。在政務信息交換中心，政務外網和互聯網直接使用防火墻設備，在政務外網和內網之間部署網閘設備。

監控檢測系統：重點在于檢測和修補安全漏洞，入侵行為。該系統包括脆弱性評估、入侵檢測、web服務器防篡改等機制。

防病毒系統：防范病毒入侵和傳播。

容災備份系統：在服務平臺信息中心對數據進行容災和備份。

接入網VPN：在網絡接入邊界提供VPN接入服務。

⑵應用安全的建設

應用安全的建設是公眾空間信息共享服務平臺安全保障體系的重點建設內容，在建設過程中，必須考慮以下幾個方面：

統一身份認證：通過跟福州市政務網建立統一接口，利用政務網已經建成的基于LDAP的統一身份認證系統、政務PKI/CA系統為共享服務平臺提供統一的身份認證服務。

授權管理系統：提供授權管理服務，對服務訪問用戶、數據管理用戶、空間信息資源共享平臺用戶及其權限進行統一管理。

數據安全：實現對機密文件進行加密、用訪問控制列表限制數據的訪問。建立關鍵數據的備份和恢復措施。

可信時間戳服務：公眾空間信息共享服務平臺上的應用都具有很強的時序性，可信時間戳服務將成為建立有效服務和監督機制的基石。

安全審計：安全審計對于應用系統安全事故的分析和取證具有重要的作用，已經成為信息系統安全的重要環節。⒊安全組織保障體系

電子政務信息安全的運作需要強有力的組織體系保障，使得有關信息安全管理和實施的政令通暢。通常，電子政務安全組織保障體系包括三個層次，即決策層、管理層和執行層。福州市政務信息中心負責制定全市公眾空間信息共享服務平臺建設規劃、政策法規，負責平臺的建設與管理工作。為了加強安全組織保障體系，必須進一步明確崗位安全職責，明確決策層、管理層和執行層三者的責任和權利，把安全措施落實到具體的崗位。

⒋安全管理流程控制

信息系統安全需要通過一系列科學規范的安全管理流程組織實施，安全管理流程明確了安全職責的劃分，合理的人員角色定義，可以很大程度上降低安全隱患。因此，公眾空間信息共享服務平臺的建設、運行、維護、管理都要嚴格按制度執行，明確責任義務，規范操作，加強人員、設備的管理。

安全管理制度要通過安全管理流程來系統化實施，共享服務平臺在建立自己的信息安全體系時，其安全管理流程應遵循著名的Plan―Do―Check―Action（PDCA），即“計劃―實施―檢查―措施”四個循環周期來實施。PDCA過程模式可簡單描述如下：

計劃：依照整個方針和目標，建立與控制風險、提高信息安全有關的安全方針、目標、指標、過程和程序。

實施：實施和運作方針（過程和程序）。

檢查：依據方針、目標和實際經驗測量，評估過程業績，并向決策者報告結果。

措施：采取糾正和預防措施進一步提高過程業績。

四個步驟成為一個閉環，通過這個環的不斷運轉，使信息安全管理體系得到持續改進，使信息安全績效螺旋上升。

作者簡介：

第3篇：信息安全服務體系范文

區域信息生態系統是一個具有多樣性、復雜性的有機系統。近幾年來，我國許多區域的信息污染、信息壟斷、信息超載、信息孤島、信息侵犯、網絡安全等問題較為嚴重。加深對區域信息生態系統及服務體系的研究，有利于其保持良性運行，也有助于信息生產和消費之間的平衡，完善媒體信息資源公益性開發機制。

區域信息生態系統概念模型

區域信息生態系統是一個在某一地區信息生態循環中，由信息人、信息和信息環境三大要素及其內部各生態因子組成的動態而開放的系統。其中，信息人不僅包括參與信息活動的單個個體，也包括從事信息工作的政府、媒體機構、民間團體、行業協會、社區等，這是信息生態系統的核心。其參與信息活動是使生態系統維持“平衡失衡平衡”螺旋式上升的主導力量。信息主要指區域內所有的數據資源，也包括與之相關的區域外信息資源，其具有價值性、時效性、傳遞性、可處理性、服務性、共享性、增值性等特征。信息環境涵蓋信息基礎設施、信息資源、信息技術、信息政策與法規等，其中，信息技術是獲取、傳遞、處理、存儲、再生和利用信息的主導因子，包括計算機技術、網絡技術、通信技術、感測技術、自動控制技術、數據庫技術和多媒體技術，以及由這些技術分解出的其他相關技術。區域信息生態系統內部各生態因子之間相互聯系、相互作用、相互依存、共生共進。在系統中，信息人、信息與信息環境之間存在著動態的相互適應過程，持續的動態適應過程維持著系統的有序平衡。

基于上述認知，本課題建立了區域信息生態系統的概念模型（如下頁圖1）。

在系統中，信息人是生態的主體，信息資源是生態的客體，信息環境不僅是生態的背景和場所，而且是所有與信息相互關聯的外部因素之和。信息人從其所處的信息環境中獲取與利用信息資源，又發揮自己的能動性通過實踐活動改造信息環境，從而實現不斷變化的目標。事實上，信息社會是以信息的收集、開發、傳播、利用為主要特征的，信息作用的發揮必須借助于信息技術，同時也由于信息技術的進步促進信息生態系統的改善。信息人通過一定的信息技術與外界信息環境之間進行信息交換，構成了一個信息生態循環。

區域信息生態系統服務體系構建

本課題構建的區域信息生態系統服務體系框架，包括四大平臺和兩大體系（如圖2）。

四大平臺包括：1.數字政府。改革政府行政管理方式，建設統一的政務網絡平臺。通過網上審批、網上審計、網上、網上監督考核等多種信息技術手段，降低行政成本，提高行政效能，實現網上互動；建設完善一批重點業務下臺，并將以傳統載體保存的政務信息資源數字化、網絡化。2.數字企業。以建設區域先進制造業基地為目標，加快信息化帶動工業化，提升產業集群、企業及產品信息化水平，加強自主創新，掌握信息化核心技術，從而促進企業生產經營和管理方式變革。3.數字城市。圍繞著如何提高城市綜合管理能力和公共服務水平這個目標，完善城市信息基礎設施建設，發展技術含量高、關聯度大的現代服務行業，促進政府公共管理、社會公共服務和便民商業服務的融合。同時注重數字圖書館建設。4.數字新農村。為了增強服務“三農”的能力，在農村建立信息網絡服務體系，加快現代農業信息技術應用，并積極開展農業信息技術培訓服務，不斷提高農民信息應用技能，切實加強農戶、農村合作社與企業的聯系，促進農產品的銷售、深加工，提高農民收入。

兩大體系包括：1.信息安全體系。在各級政府有關部門的統一領導下，根據國家有關信息安全的法律法規，建立起信息安全監管機制及其保障體系。有關人員要提高對電子政務、電子商務、信息資源開發利用、信息服務、信息市場、資源共享等方面的安全風險管控能力，強化等級保護和風險評估，使得信息安全管理更加科學有效。2.社會誠信體系。建立涉及社會諸多領域的信用信息記錄、信用產品使用、守信受益及失信懲戒的信用制度，形成各部門協同推進、社會和企業廣泛參與的誠信工作格局；誠信體系覆蓋信用服務產業鏈各個環節，包括社會信用制度建設、信用服務體系建設、個人信用聯合征信系統、企業聯合征信系統和信用服務行業協會等。

第4篇：信息安全服務體系范文

本報訊 在日前召開的國務院常務會議上，國務院總理主持并研究部署推進信息化發展、保障信息安全工作。會議要求健全信息安全防護和管理，切實提高防攻擊、防篡改、防病毒、防癱瘓、防竊密能力。

會議指出，當前，世界各國信息化快速發展，信息技術的研發和應用正在催生新的經濟增長點，以互聯網為代表的信息技術在全球范圍內帶來了日益廣泛、深刻的影響。加快推進信息化建設，建立健全信息安全保障體系，對于調整經濟結構，轉變發展方式，保障和改善民生，維護國家安全，具有重大意義。今后一段時期，要以促進資源優化配置為著力點，構建現代信息技術產業體系，全面提高經濟社會信息化發展水平；加強統籌協調和頂層設計，健全信息安全保障體系，切實增強信息安全保障能力，維護國家信息安全，促進經濟平穩較快發展和社會和諧穩定。

會議還討論通過《關于大力推進信息化發展和切實保障信息安全的若干意見》，確定了實施“寬帶中國”工程；推動信息化和工業化深度融合；加快社會領域信息化；推進農業農村信息化；健全安全防護和管理；加快安全能力建設等六項重點工作。其中，對于“寬帶中國”工程，《意見》要求加快信息網絡寬帶化升級，推進城鎮光纖到戶，實現行政村寬帶普遍服務。加快部署下一代互聯網，重點研發下一代互聯網關鍵芯片、設備、軟件和系統，推動產業化。加快推進電信網、廣電網、互聯網三網融合，培育壯大相關產業和市場；對于推動信息化和工業化深度融合，《意見》要求重點推動企業信息化水平全面提升，推廣節能減排信息技術，增強信息產業核心競爭力，引導電子商務健康發展，推進服務業信息化；對于社會領域信息化，《意見》要求繼續深化電子政務應用，加快電子政務服務向街道、社區和農村延伸，建設服務型政府。提高社會管理和城市運行信息化水平，加快推進教育、醫療、就業、社會保障和減災救災等民生領域信息化。發展先進網絡文化；對于推進農業農村信息化，《意見》要求重點提高農業生產經營信息化水平，完善農業農村綜合信息服務體系；對于健全安全防護和管理，《意見》要求重要信息系統和基礎信息網絡要與安全防護設施同步規劃、同步建設、同步運行，強化技術防范，嚴格安全管理，切實提高防攻擊、防篡改、防病毒、防癱瘓、防竊密能力。加強地理、人口、法人、統計等基礎信息資源的保護和管理，強化企業、機構在網絡經濟活動中保護用戶數據和國家基礎數據的責任；對于加快安全能力建設，《意見》要求完善網絡與信息安全基礎設施，加強信息安全應急等基礎性工作，提高風險隱患發現、監測預警和突發事件處置能力。加大信息安全技術研發力度，支持信息安全產業發展。

會議要求，對于各項工作，要明確分工，落實責任，加快法規制度和標準建設，加大財稅政策扶持，以確保各項工作順利推進。

（李娜）

第5篇：信息安全服務體系范文

一、建設現狀

（一）基礎設施體系日趨完善

我市各大電信運營商已建成以光纜通信為主，數字微波和衛星通信為輔的大容量、高速率，能為政府、市民、企業提供安全、可靠的通信傳輸網和相應的有線、和無線通信服務，一批國家級的信息網絡在我市均建有節點。目前，全長共計32356.74芯公里，2067.23皮長公里的光纖通信線路已遍布三亞市的每一個角落，真正實現了光纜到大樓（fttb）、光纜到戶（ftth），覆蓋全市100％的鄉鎮和農場，四通八達的光纜網絡為三亞信息化建設應用的接入打造了堅實的基礎。

（二）建立了結構化程度較高的信息資源開發應用體系

我市在底完成公務電子郵箱系統與輿情監控系統的建設，目前運行良好；市政府投資的五塊大型戶外led全彩電子顯示屏系統在4月份建成，收到較好的經濟效益和社會效益。建成了具備了寬帶交換和高速接入能力的三亞市電子政務核心機房，政府辦公自動化系統、電子公文交換系統等一批跨部門的信息共享平臺已投入建設。

明年我市將建設城市公共信息觸摸屏查詢系統等信息服務項目，為市民游客提供多元化的信息查詢平臺。為了積極發揮在公共基礎建設中的主導作用，將“無線數字三亞納入到政府重點建設項目中進行管理。同時，我市分別和中國電信海南分公司、中國移動海南分公司、中國聯通海南分公司簽署全面戰略合作框架協議，重點推進三亞信息惠民、信息強政、信息服務體系建設。

“金橋”、“金卡”、“金稅”等一批重大信息工程在我市的全面實施初步形成了政務、商用、公眾三大信息資源體系。金融、財稅、保險、公安、教育、衛生、農業等行業性內部網絡功能日趨完善。電信網、廣電網在三亞已建成了國內先進的網絡平臺，可滿足社會不同層次對通信和信息服務的需求。

企業信息化組織體系基本確定，40%的企業建立了專門的信息化機構。企業計算機網絡系統初步建立，全市規模以上企業中，約有60%左右建立了計算機局域網或廣域網，重點企業中，cad/cam應用較廣泛，erp正在成為信息技術應用的重點。

1、積極推進電子政務工程建設

我市電子政務項目工程按照“統一建設，統一管理，互聯互通，資源共享”的建設原則，分期安排實施項目，并于底啟動了“信息三亞”項目。目前全市統一的政務門戶網站集群、全市統一的電子政務核心機房和全市統一的政務信息處理平臺的建設已形成基本的框架。

加強政府門戶網站服務體系建設。新版“中國三亞”門戶網站于4月改版完成投入使用，在全省政府門戶網站績效評估中，獲省政務門戶網站評比中二等獎。于12月開通市政府英文網，俄文網也已今年8月份開通運行，韓文網將2010年初開通。

政府門戶網站服務體系初顯成效，70%的部門網站都已建立，市財政局、發改委、民政局、物價局等一批重要部門網站相繼建成，初步實現以政府網為核心，以電子政務平臺為基礎，以政府網數據庫為依托、以市直各機關各專業網站為子網站的網站群體系。

構建我市統一電子黨政內網。三亞市黨政內網以實現市委、市政府辦公自動化、公文流轉、公共信息資源化、數據傳輸證書化和決策科學化為前提，按照“一個城市，一個黨政內網，一個政務數據中心”的建設框架，構建一個安全的覆蓋全市各部門各級政府至基層單位的數據共享、流程同步、綜合性信息化辦公基礎網絡平臺。三亞黨政內網工程于今年9月份啟動，工程分三階段進行，目前進入基礎設計階段，預計2010年初投入使用。

構建多功能政務中心。市政務中心工程是根據我市電子政務發展的實際需要及未來可持續發展，以“系統資源大整合、數據大集中、信息高共享”為原則，依托黨政內網、黨政中心機房，集中管理政務中心電子政務系統和綜合信息數據交換平臺業務設備，整合政府部門的窗口服務流程與部門業務系統的政務信息處理平臺。對建設服務型政府、加快行政管理體制改革和加強政府自身建設具有重要意義。目前我市已啟動政務中心信息化建設工作，預計在2010年3月投入使用。

逐步建成數字城市綜合監管系統平臺。根據我市國際化旅游城市建設管理的需要，我市啟動了市數字城市綜合監管項目的規劃項目，整合三亞市屬各機關、單位、部門、行業、社區的監控系統，快速提高我市國際化旅游城市管理水平，提高城市核心競爭力。其總體設計目標是：標志景點國際化，社會安保常態化，行業監控精細化，部門監控規范化。該項目于2010年初啟動，一期建設將在2010年底完成。

積極推動市政府12345服務熱線建設。市政府12345服務熱線負責處理社會公眾向各機關單位的咨詢、投訴、批評、建議、求助等來電，使政府公開電話服務范圍覆蓋到政府公共服務的全部領域，為社會公眾提供全方位、全天候、高效率24小時不間斷服務。該項目今年初啟動，預計2010年初可開通。

2、加快社會事業信息化建設進程

財政管理綜合信息系統建設收效明顯。配合國家“金財工程”建設，我市加強財政信息資源規劃和整合，建立以預算編制、國庫集中收付和宏觀經濟預測為核心應用的政府財政管理綜合信息系統。全面開展國庫集中支付改革，實現財政資金的全過程規范管理，科學掌握宏觀經濟和財政收支增減因素，為政府財政預算編制、財政支出管理、財政政策調整提供輔助決策依據，提高政府宏觀調控水平。

建立覆蓋全市、資源共享的綜合應用視頻監控網絡，構建全市電子防控報警系統。實施科技強警戰略，深入推進金盾工程建設，已投入建設資金1058萬元，相繼完成了省廳下達的44項“金盾工程”一期建設任務中的42項，完成率達95.5%，同時建設了具有信息化特色11個項目。在全市建成完備的公安信息化基礎設施、動態綜合的公安信息資源庫、高度集成的公安信息化應用體系，基本實現公安工作信息化、現代化。

教育信息服務系統建設逐步完善。初步建立以市級教育網站為核心，面向社會公眾的“一站式”教育信息服務系統。加強了數字化教育資源的建設、整合和共享，優化教育管理信息系統，為社會公眾提供優質教育資源的網絡服務。構建學?！鐓^—家庭互聯互動的教育信息化平臺，利用學校和社區豐富的教育資源，形成學校教育向家庭延伸、社區教育支持學校教育的大教育體系，為社會公眾提供靈活多樣、開放的網絡化教育和終身教育服務。

勞動保障信息系統不斷完善。為配合國家“金保工程”的建設，我市構建覆蓋市、區、街道、社區勞動保障信息網，建立全市勞動保障數據中心和專業數據庫，優化勞動保障業務流程，整合、改造社會保險系統和勞動力市場系統，實施包括勞動就業、社會保險、醫療保險、社會救助等功能的社會保障卡工程，以信息化手段提供就業與失業救助服務、社會保險金的發放與償付服務。

公共醫療衛生服務信息系統建設不斷推進。初步建立以人為本、以服務患者為中心的衛生信息系統。實現醫療衛生信息實時共享和充分利用,推進公共衛生事件應急指揮、預防控制、衛生監督執法、醫療救治、婦幼保健、健康教育、社區健康中心等信息系統建設，提高醫療衛生的服務、管理、決策水平和資源使用效益。

實施防汛指揮系統建設。建立了以水雨工災情信息采集系統為基礎、通信系統為保障、計算機網絡系統為依托、決策支持系統為核心的三亞市防汛抗旱指揮系統，搭建了三亞市水務信息系統計算機網絡、決策支持系統的結構框架和工作平臺，在我市防汛抗旱工作中發揮了重要作用，取得了巨大的經濟效益和社會效益。

推進征管改革。為貫徹落實省局以信息化建設推進征管改革的要求，并結合實際制定了征管改革方案，以信息化建設為契機，逐步建立并運行稅收一體化征管信息系統，加快全省“金稅工程（三期）海南地稅項目”的建設。

3、嚴把黨政信息化項目審核論證工作質量關

根據《三亞市電子政務工程建設管理辦法》文件精神，市科工信局負責我市黨政信息化項目審核論證工作及市直機關信息化項目建設資金的統籌管理。各部門根據全市電子政務規劃和本部門實際，制定本部門電子政務近期建設規劃，并提出具體的電子政務工程項目和建設內容并組織前期論證，報市科工信局。市科工信局審核各部門近期電子政務工程項目建設，對符合全市電子政務規劃和建設要求并通過前期論證的項目，納入全市電子政務規劃項目庫。

4、完善高效的建設項目管理制度

加強項目管理制度建設是落實電子政務建設決策和規劃，確保電子政務取得實效的關鍵一環。為推進三亞市黨政信息化建設，完善有關信息化建設制度，我市相繼出臺了《三亞市政府網信息員管理暫行規定》、《三亞市政務信息網上公開規定》、《三亞市公務電子郵箱使用管理規定》、《三亞市社區政務信息化管理辦法》、《三亞市政務信息資源共享管理辦法》、《三亞市電子政務工程建設管理辦法》等信息化建設法規。

二、存在的問題

對信息化與工業化融合，信息化建設帶動三亞經濟發展的認識高度不夠；信息技術應用總體水平偏低，“信息孤島”現象嚴重；在投資結構上“重硬輕軟”、“重網輕源”、“重建輕用”現象較為嚴重，信息化對經濟的帶動作用還未充分發揮，信息化對傳統產業尤其是服務業的改造力度急需加強；信息化建設質量和進度缺乏監督考核，組織體制與協調機制仍然偏弱，電子商務的基礎設施條件不完善，運作大項目、引進大企業經驗不足，信息產業實現跨越式發展缺乏動力，信息技術領域人才嚴重匱乏，結構性矛盾突出，高層次信息化人才儲備不足；投融資渠道和項目運營理念有待于創新。

三、措施

1、加大政府投入，創新多元化的信息化建設、管理模式

加大財政部門對信息化建設的支持力度，市直各部門新建的信息化項目必須納入統一規劃和管理，對于確需建設的項目依據“先易后難、急用先建、效益顯著”的原則，統籌規劃，分級建設；對于跨年度的建設項目須按實施進度分年度分批規劃、撥款。合理確定信息化引導資金的規模和投向，積極探索“政府投入、政策補貼、稅收優惠、資源補償”的多方位政府支持渠道，建立“政府引導、市場運作、企業管理”的信息化建設運營模式；設立信息化服務體系專項基金，支持中小企業信息化重點服務平臺工程建設，加強對服務體系關鍵環節的支持。建立和完善適應信息發展的多渠道投融資體制，建立風險投資機制，鼓勵國內外風險投資基金來海南設立機構發展業務。

鼓勵社會資金對信息化建設的投入，對適合社會投資的項目，通過規范的市場運作，吸引社會資金投資信息化建設；采用信息技術外包（ito）、業務流程外包（bpo）、公私合作建設（ppp）等市場化運作模式，降低建設和運行成本，提高信息化建設和運行效率。

對于非政府投入為主建設的信息化公共服務平臺，以及提供軟硬件產品、維護服務、系統集成、解決方案和信息服務的供應商，按照創造經濟效益、自主創新程度、典型示范作用等原則，通過先評估、后補貼方式予以支持。鼓勵企業以合資、合作、特許經營等多種方式，兼顧經濟效益與社會效益，參與公益平臺建設和運營。:

2、組建專業技術研發團隊

隨著我市信息化的發展，高級專業技術人員缺口加大，我市目前已啟動籌建城市信息化研發中心及組建一支高素質專業技術研發團隊，以便更好的完成各類攻堅克難任務，如項目規劃、方案設計、項目審核、技術甄別、項目實施、制定規范及前期項目調研。另外還要肩負著重點基礎平臺、應用軟件的開發、組織及各系統軟件技術的融合工作。

3、加強行業監管，創新信息化項目運營機制

加強三亞數字城市建設的行業監管，盡快形成有效的市場競爭格局。對于信息化平臺和重大工程專項，要在統一監督管理下，實行適度開放，適合獨立運營的項目，采用“政府授權、投資受益、市場競爭”等方式，進行獨立的商業化運營；推進信息資源的深度開發利用，逐步分離政府、企業的信息化運行部門，鼓勵第三方信息服務機構采用商業化運營模式為政府或企業提供信息化服務；本著“誰投資誰受益”的原則，鼓勵社會資本進入大型信息化項目和重大工程專項的建設和運營市場。

第6篇：信息安全服務體系范文

論文摘要:作為未來最適應時代要求的政府工作形態，電子政務建設是我國當前信息化工作的重，點，未來政府辦會發展的趨勢。本文探論了綜合電子政務平臺的棍念、結構和相關技術，分析了電子政務所面臨的安全威脅，并提出了相應的解決方案。

1綜合電子政務平臺概述

    電子政務是指政府機構應用信息技術提高政府事務處理的信息流效率，對政府機構和職能進行優化，改善政府組織和公共管理能力。通常由核心網絡、接人網絡及訪問網絡三部分組成。建設內容一般包括:電子政務網絡平臺、政府門戶網站、電子政務主站點、“一站式”行政審批系統、視頻會議系統、公文交換和信息報送系統、電子郵件系統、辦公自動化系統等。

    電子政務網絡平臺網絡結構中，核心網絡擁有重要的信息資源，并處理政府部門間的核心業務。政府部門間的數據交換流程是閉環的，即任何一個節點既是用戶又是數據源。因此，核心網絡節點之間的業務流程應該是高速、嚴密、安全的，并且有嚴格的審核機制。核心網絡與接人網絡形成上下級關系的協同工作平臺，進行信息、數據的交換。它們之間的信息往來必須具備信任安全體系。政府核心網絡面向社會公眾提供信息服務，對外宣傳政府信息，與訪問網絡建立連接。

2綜合電子政務平臺的安全風險

2.1網絡安全域的劃分和控制問題

    電子政務中的信息涉及國家秘密、國家安全，因此它需要絕對的安全。但是同時電子政務現在很重要的發展方向是要為社會提供行政監管的渠道，為社會提供公共服務，如社保醫保、大量的公眾咨詢、投訴等等，它同時又需要一定程度的開放。因此如何合理地劃分安全域顯得非常重要。

2.2內部監控、審核問題

    目前絕大部分單位都沒有系統可以實時地對內部人員除個人隱私以外的各項具體操作進行監控和記錄，更不用談對一些非法操作進行屏蔽和阻斷了。

2.3電子政務的信任體系問題

    電子政務要做到比較完善的安全保障體系，第三方認證是必不可少的。只有通過一定級別的第三方認證，才能說建立了一套完善的信任體系。

2 .4數字簽名(簽發)問題

    在電子政務中，要真正實行無紙化辦公，很重要的一點是實現電子公文的流轉，而在這之中，數字簽名(簽發)問題又是重中之重。

2.5電子政務的災難響應和應急處理問題

    很多單位在進行網絡規劃的時候，沒有考慮到作為系統核心部分一一數據庫本身的安全問題，完全依賴干整個網絡的防護能力，一旦網絡的安全體系被穿破或者直接由內部人員利用內網用戶的優勢進行破壞，“數據”可以說無任何招架之力

3綜合電子政務平臺安全體系建設方案

3 .1技術保障體系

    技術保障體系是安全管理體系的重要組成部分。它涉及兩個層面的問題，一是信息安全的核心技術和基本理論的研究與開發，二是信息安全產品和系統構建綜合防護系統。

    信息安全技術。信息安全的核心技術主要包括數據加密技術、信息隱藏技術和信息認證技術。數據加密是把有意義的信息編碼為偽隨機性的亂碼，以實現信息保護的目的。數字簽名是指只有發送者才能產生的別人無法偽造的一段數字串，這段數字串同時也是對發送者信息真實性的證明。

    信息安全防護體系。目前，主要的信息安全的產品和系統包括防病毒軟件、防火墻、入侵檢測系統、漏洞掃描、安全審計系統、物理隔離系統等。我們可采用屏蔽子網體系結構保證核心網絡的安全。屏蔽子網體系結構通過添加額外的安全層到被屏蔽主機體系結構，即通過添加周邊網絡更進一步地把內部網絡與internet隔離開。在這種結構下，即使攻破了堡壘主機，也不能直接侵人內部網絡，它將仍然必須通過內部路由器。

3.2運行管理體系

    安全行政管理。電子政務的安全行政管理應包括建立安全組織機構、安全人事管理、制定和落實安全制度。

    安全技術管理。電子政務的安全技術管理可以從三個方面著手:硬件實體、軟件系統、密鑰。

    風險管理。風險管理是對項目風險的識別、分析和應對過程。它包括對正面事件效果的最大化及對負面事件影響的最小化。

3.3社會服務體系

    安全管理服務。目前，一些信息安全管理服務提供商(managed  security service providers, mssp)正在逐步形成，它們有的是專門從事安全管理服務達到增值目的的，有的是一些軟件廠商為彌補其軟件系統的不足而附加一些服務的，有的是一些從it集成或咨詢商發展而來提供信息安全咨詢的。

    安全測評服務。測評認證的實質是由一個中立的權威機構，通過科學、規范、公正的測試和評估向消費者、購買者即需方，證實生產者或供方所提供的產品和服務，符合公開、客觀和先進的標準。

    應急響應服務。應急響應是計算機或網絡系統遇到安全事件如黑客人侵、網絡惡意攻擊、病毒感染和破壞等時，所能夠提供的緊急的響應和快速的救援與恢復服務。

3.4基礎設施平臺

    法規基礎建設。主要有以下幾方面:在國家憲法和各部門法中對各類法律主體的有關信息活動涉及國家安全的權利和義務進行規范，形成國家關于信息及信息安全的總則性、普適性的法規體系;針對各類計算機和網絡犯罪，制訂直接約束各社會成員的信息活動的行為規范，形成計算機、網絡犯罪監察嶼防范體系;對信息安全技術、信息安全產品(系統)的授權審批應制訂相應的規定，形成信息安全審批與監控體系;針對信息內容的安全與保密問題，制訂相應規定，形成信息內容的審批、監控、保密體系;從國家安全的角度，制訂網絡信息預警與反擊體系等。

第7篇：信息安全服務體系范文

關鍵詞：安全保障；民航；空管信息系統

0 前言

隨著社會不斷進步，我國已經處于較為高速的發展階段，信息化進程不斷加深，滲透到人們生活的各個領域。于是，信息安全問題成為困擾人們的主要問題，對人們順利進行信息傳遞具有重要的意義。民航在發展的過程中，對信息技術的依賴逐漸增強，各種導航、氣象以及檢測等都需要信息技術作為支撐，必須按照國家的規定，加強空管信息系統的建設，使得各項活動能夠在安全的環境下順利進行。

1 民航空管信息系統安全體系安全現狀

近幾年，信息化技術在民航空管系統中的應用逐漸加深，用戶和系統規模不斷擴大。新形勢下，針對空管系統的安全要求更加嚴格，利用電子信息技術以及網絡技術針對空管信息系統加強建設，是信息安全的必然要求。當前，一些民航已經開展了信息管理系統的建設，但是在信息傳輸的過程中仍然存在較多不足。基礎設施建設的不足，安全技術方面較為薄弱，信息孤島效應較為顯著，無法對民航的信息安全管理以及監控等工作提供良好的保障[1]。

空管技術較為繁復，在對其進行應用的過程中，必須具備較高的技術素養。其實，如果空管信息系統如果遭受安全事件，其造成的負面影響較大。正因如此，北京奧運會召開階段，各個方面對此非常重視。長久以來，負責導航和氣象觀測等環節都是獨立進行，在其發揮作用的過程中，彼此互不干涉，以此防范信息風險，也導致了信息安全管理存在缺陷的狀況，但是這種信息風險防范方式已經不能適應民航信息安全的現實需求，必須尋找新的模式對其進行替換[2]。

2 民航空管信息系統安全體系設計原則

（1）借鑒性

當前，我國的民航部門在空管信息系統方面的技術較為落后，與國外發達國家之間存在較大差距，面對這種情況，我國可以考慮引進國外先進的技術，借鑒其中的關鍵設計理念。但是，在借鑒的過程中，應該針對現實情況進行考量，結合我國當期的實際情況，與我國民航空管系統的現狀相結合，設計出符合我國發展特點的空管信息系統，使其具備較高的安全性[3]。

（2）創新性

電子信息領域的更新速度較快，各種信息技術的發展使得計算機技術的更新較為頻繁。同時，民航空管系統也面臨諸多新的情況，需要處理的事務越來越多，在較短時間內已經發生較大變化。為了適應這些方面的變化，必須在進行設計的過程中，針對各種變化信息進行搜集，以創新的理念指導整個設計過程。

（3）可靠性

空管信息系統的使用對象是飛行部門，對其存在的安全隱患進行排除，對于保障飛機飛行安全具有重要的現實意義。在這種情況下，必須確保設計質量能夠符合現實要求，整個系統的性能指標必須控制在較高的范圍內，確保系統能夠應用的過程中表現出較佳的性能?；诖?，針對系統的規格以及選材、工藝等方面都要具備較強的安全性能，確保系統運行的可靠性以及操作的穩定性。

3 民航空管信息系統安全體系整體架構設計

在參考信息安全文獻、按照我國規定的安全標準、民航現實情況進行詳細考察的基礎上，利用現有技術，引進外國先進技術，借鑒外國先進理念，針對民航空管信息系統進行設計。

建立信息安全管理平臺，假設信息風險防范體系，使得信息能夠依托物理環境、系統、數據庫等組成部分實現信息的安全管理。對系統服務器中的重要數據信息進行保護。在安全管理方面，必須明確安全組織的功能，使其能夠在運作的過程中發揮現實作用。建立安全監督小組，負責對系統信息網絡的安全狀況進行監督，搜集各種安全隱患信息，確保整個系統能夠在較為可靠的環境下運行安全；民航信息監控以及技術設施建設屬于技術方面的支撐因素，對于信息安全起到較為良好的保障作用，其中，監控系統應該設計網絡安全體系，比如路由器管理等，軟件層面的安全防護，如防火墻等；還應該建立服務體系，對于針對安全方面的信息進行提供，針對系統的運作狀況進行檢查，對民航單位的信息安全狀況進行調查，搜集安全方面的信息，并對其進行分析，確保整個空管信息系統的安全隱患被及時發現，同時還應該針對工作人員進行定期培訓，宣傳講解信息安全知識。

4 總結

社會的發展使得信息安全成為人們重視的話題，民航空管信息信息系統的安全對我國的民航事業發展具有重要的現實意義。由于當前民航系統的信息傳遞方式較為封閉，已經不能適應時展的需求。尋求新的信息風險防范模式，改變民航信息安全管理現狀，能夠為我國的信息安全事業起到重要的推動作用。

參考文獻：

[1]徐超.網御神州立體護航"金安"工程[J].通信世界.2010（31）：142-143.

第8篇：信息安全服務體系范文

【 關鍵詞 】 物聯網；信息安全；檢測體系

1 引言

隨著國家信息網絡基礎設施基本完成，信息化應用全面展開，物聯網廣泛應用于公共事業/服務、交通運輸、個人用戶、批發零售、工業、制造業、商業、服務業、農業、建筑業、金融業等。目前來看，物聯網雖然給人們帶來便利，但物聯網在信息安全方面還存在一定的局限性。一是存在信號受到干擾的可能。如果安置在物品上的傳感設備信號受到惡意干擾，很容易造成重要物品損失以及重要信息被篡改、丟失的隱患。二是惡意入侵的隱患。如果病毒、黑客、惡意軟件繞過了相關安全技術的防范，對物聯網的授權管理進行惡意操作，掌控他人的物品，就會造成對用戶隱私權的侵犯。如果爆炸物、槍支等危險物品被其它人掌控，后果會十分嚴重。因此，物聯網安全問題如果得不到有效解決，將嚴重阻礙物聯網產業發展。由于物聯網感知節點和傳輸設備具有能量低、計算能力差、運行環境惡劣、通信協議龐雜等特點，使得傳統安全技術無法直接應用于物聯網，由此引發物聯網特有的安全問題，而物聯網安全技術和安全狀況缺乏有效的檢測和評價手段。

我國政策環境較好，物聯網已成為國家發展戰略，初步明確了未來發展方向和重點領域。國家高度重視物聯網安全建設。2013年初，國務院了《關于推進物聯網有序健康發展的指導意見》（國發[2013]7號）中明確提出以工業和信息化部、發展改革委、公安部牽頭承擔物聯網安全保障專項行動計劃：提高物聯網信息安全管理與數據保護水平，建立健全監督、檢查和安全評估機制。加強物聯網重要應用和系統的安全測評、風險評估和安全防護工作。加快物聯網相關標準、檢測、認證等公共服務建設，完善支撐服務體系，有效保障物聯網信息采集、傳輸、處理、應用等各環節的安全可控。

2 物聯網一體化安全檢測體系

各類物聯網示范工程進行大規模應用之前，應充分考慮和評測其安全性，從源頭保證物聯網安全措施有效性、功能符合性、安全管理的全面性以及給出安全防護評估。在建設實施階段，將所有的安全功能模塊（產品）集成為一個完整的系統后，需要檢查集成出的系統是否符合要求，測試并評估安全措施在整個系統中實施的有效性，跟蹤安全保障機制并發現漏洞，完成系統的運行程序和全生命期安的安全風險評估報告。在運行維護階段，要定期進行安全性檢測和風險評估以保證系統的安全水平在運行期間不會下降，包括檢查產品的升級和系統打補丁情況，檢測系統的安全性能，檢測新安全攻擊、新威脅以及其它與安全風險有關的因素，評估系統改動對安全系統造成的影響。

物聯網關鍵安全問題：一是感知設備安全；二是物聯網系統安全和風險評估，重點是接入問題；三是業務應用安全。目前，各行業均提出了相應的安全防護體系，如智能電網系統、工業控制系統等。本文依據相關的安全防護體系提出物聯網一體化安全檢測體系，即“一中心、兩庫、五平臺”，如圖1所示。即開放式場景檢測支撐平臺、感知設備安全檢測服務平臺、物聯網系統安全檢測服務平臺、物聯網系統風險評估服務平臺、物聯網集成化安全管理檢查服務平臺、物聯網安全檢測標準及指標庫、物聯網信息安全漏洞與補丁庫以及一體化安全檢測管理中心。在此基礎上，結合物聯網具體業務需求，進行物聯網安全檢測方法、規范、指標體系、專業化檢測技術研究與積累。同時，形成一支服務于物聯網安全檢測的多層次、復合型、專業化人才隊伍，全面保障物聯網系統安全穩定運行。

3 “五平臺”

“五平臺”提供檢測、檢查和評估三類專業化服務，其中物聯網集成化安全管理檢查服務平臺可作為獨立平臺對外提供檢查服務；開放式場景檢測支撐平臺為感知設備安全檢測服務平臺與物聯網系統安全檢測服務平臺提供安全符合性檢測環境，此三個平臺提供技術檢測服務；物聯網系統風險評估服務平臺在前述四個平臺基礎上，關聯外在威脅，分析自身脆弱性，提供風險評估服務?！拔迤脚_”結構關系如圖2所示，“五平臺”既可獨立提供檢測服務，也可互為補充，為用戶提供定制化的檢測服務，形成開放式檢測服務體系架構。

3.1 開放式場景檢測支撐平臺

開放式場景檢測支撐平臺實現物聯網感知設備、接入系統、業務應用三層檢測環境，如圖3所示。通過多部件的靈活組建，實現其感、傳、知、用的安全功能檢測，靈活支持用戶個性化的檢測需求。

3.2 感知設備安全檢測服務平臺

感知設備安全檢測服務平臺實現一個通用的感知設備安全檢測系統，由開放式場景檢測支撐平臺為被測設備提供運行檢測環境，其從感知操作安全、感知數據處理安全、感知數據存儲安全和感知節點設備安全、感知節點通信安全等五方面檢測安全功能和性能，其檢測框架如圖4所示。

3.3 物聯網系統安全檢測服務平臺

物聯網系統安全檢測服務平臺以系統、整體的視角對智能感知層訪問控制、身份認證等策略配置進行符合性測試；對接入傳輸層的AKA機制的一致性或兼容性、跨域認證和跨網絡認證等進行檢測；對業務應用層數據庫安全、應用系統和網站安全、應用系統穩定性、業務連續性等進行符合性和有效性檢測。檢測框架如圖5所示。

3.4 物聯網系統風險評估服務平臺

物聯網系統風險評估服務平臺對可能遭受到的威脅和自身脆弱性進行安全分析，然后根據安全事件的可能性以及安全事件造成的損失計算出風險值、對安全事件進行風險等級定級，最后結合安全事件所涉及的資產價值來判斷安全事件一旦發生對物聯網系統造成的影響。風險評估框架如圖6所示。

3.5 集成化安全管理檢查服務平臺

集成化安全管理檢查服務基于物聯網多類型終端、多網融合、海量數據處理和全面感知等特點。從防范阻止、檢測發現、應急處置、審計追查和集中管控五個方面，對物聯網系統智能感知層、接入傳輸層和業務應用層的安全管理情況進行檢查，其安全管理檢查框架如圖7所示。

4 “兩庫”

4.1 標準及指標庫

基礎庫“標準及指標庫”通過構建物聯網安全檢測標準子庫與指標子庫為“五平臺”提供支撐。標準子庫建設來源：一是從物聯網國際標準組織IEEE、ISO、ETSI、ITU-T、3GPP、3GPP2了解國際最新標準，研究制訂適合國情的物聯網標準；二是從國內標準組織：WGSN、CCSA和RFID標準工作組獲取最新標準；三是隨著業務開展，編制了物聯網安全標準。物聯網一體化安全檢測標準體系框架，按照標準服務性質的區分，分為物聯網產品安全檢測標準、物聯網系統安全檢測標準、物聯網風險評估標準以及集成化安全管理檢查標準。其框架如圖8所示。

指標庫為各種類型的被測設備和系統提供相應的檢測指標項目，同時支持用戶自定義新的檢測指標。指標庫依據各服務平臺檢測內容劃分四類，即物聯網產品檢測指標、物聯網系統安全檢測指標、物聯網風險評估指標以及集成化管理檢查指標。其涵蓋功能檢測、性能檢測、抗毀性檢測、符合性檢測、有效性檢測和可用性檢測等指標。

4.2 漏洞與補丁庫

漏洞與補丁庫采用云存儲方式，包括海量數據融合漏洞，TinyOS操作系統漏洞，異構網絡認證協議漏洞，感知信息傳輸協議漏洞等。 漏洞與補丁庫一方面為產品、系統檢測，風險評估、安全檢查提供支撐服務，另一方面對外提供咨詢服務，網上漏洞信息，定制客戶漏洞處理方案，提供漏洞補丁和專用殺毒工具下載等。

5 “一中心”

一體化安全檢測管理中心完成上述“二庫、五平臺”的互聯互通和信息共享，實現檢測項目統一管理，檢測數據統一匯總，檢測結果統一判定，形成感知設備檢測報告、物聯網系統檢測報告、物聯網系統風險評估報告以及集成化安全管理檢查報告等。

一體化安全檢測管理中心由項目管理、場景管理、感知設備檢測、系統檢測、風險評估、集成化安全管理檢查、工具集、基礎庫管理八個核心模塊組成，整個平臺由項目庫、標準及指標庫、方法庫、漏洞與補丁庫四個數據庫支撐，管理中心框架設計如圖9所示。

6 技術特點

（1）提供開放式檢測環境

物聯網應用的廣泛性和復雜性，僅依賴單一場景無法滿足客戶的多層次需求，通過開放式檢測環境，可實現感知設備、接入方式、業務應用的檢測環境，使得檢測手段更豐富、更精準。

（2）提供多類型、多元化的檢測

一體化安全檢測體系通過感知設備檢測、系統檢測、風險評估、管理檢查的一體化檢測服務，提品檢測和系統檢測、實驗室檢測和現場檢測服務，滿足物聯網復雜多變的檢測需求，使得安全檢測更全面性，幫助客戶準確評估物聯網安全性。

（3）提供技術與管理全方位檢測

物聯網安全包含技術與管理兩方面，技術與管理并重，本體系通過“五平臺”實現產品、系統技術類檢測/風險評估與安全管理檢查，全方位、整體評估物聯網安全性。

（4）提供技術符合性和關聯外在風險評估相支撐的檢測

物聯網安全問題是動態發展的，在安全技術符合性檢測的基礎上，提供適用于動態評估物聯網工程的風險評估服務。風險評估旨在通過關聯外在風險，結合自身脆弱性評估系統和工程的安全性，與技術符合性檢測相支撐。

（5）提供一體化服務模式

提供一個靈活、規范的信息組織管理平臺和全網范圍的網絡協作環境，實現集成的信息采集、內容管理、信息搜索，能夠直接組織各類共享信息和內部業務基礎信息，實現信息整合應用，同時也提供管理中心支撐下的統一項目管理、統一數據匯總、統一結果判定的一體化服務系統。

7 結束語

目前，我國政策環境好，物聯網已成為國家發展戰略，初步明確了未來發展方向和重點領域，但產業和行業標準正在建立，是機遇也是挑戰。經濟環境上，中國企業正在隨著國家的快速發展，持續提升競爭力和國際影響力，對物聯網安全性的需求逐步增強，企業對物聯網安全問題的認知提高，經濟支付能力也在增強。通過對各行業物聯網建設方面的調查發現，當前已有的物聯網應用對其安全性的檢測和技術支持需求十分迫切，物聯網安全檢測產業市場前景樂觀。

上述“一中心、二庫、五平臺”形成專業的平臺，加上精專的人才、全面的服務內容和敏捷的反應，構建物聯網一體化安全檢測專業化服務體系架構。從而提升價值、方便客戶、節約成本、提高效率，滿足物聯網安全檢測集成化、規?；男枨?。

參考文獻

[1] T Grobler， Prof B Louwrens. New Information Security Architecture[J]. 2005， University of Johannesburg.

[2] 范紅， 邵華等. 物聯網安全技術體系研究[J].第26次全國計算機安全學術交流會，2011（09），5-8.

[3] 譚建平， 柔衛國等. 基于物聯網的一體化安全防范技術體系研究[J].湖南理工學院學報， 2011，第24卷 第4期 46-51.

[4] Jackie Rees， Subhajyoti Bandyopadhyay etc. a policy framework for information security. Communication of the ACM， Volume 46 Issue7， 2003， P101-106.

[5] 郎為民，楊德鵬，李虎生.智能電網WCSN安全體系架構研究[J].信息網絡安全，2012，（04）：19-22.

[6] 余勇，林為民.工業控制SCADA系統的信息安全防護體系研究[J].信息網絡安全，2012，（05）：74-77.

基金項目：

國家863高技術研究發展計劃資助項目（2009AA01Z437）和國家863高技術研究發展計劃資助項目（2009AA01Z439）。

第9篇：信息安全服務體系范文

 

1現狀與問題

 

1.信息安全現狀

 

隨著信息化建設的推進，我校信息化建設初具規模，軟硬件設備配備完成，運行保障的基礎技術手段基本具備。網絡中心技術力量雄厚，承擔網絡系統管理和應用支持的專業技術人員達20余人;針對重要應用系統采用了防火墻、IPS/IDS、防病毒等常規安全防護手段，保障了核心業務系統在一般情況下的正常運行，具備了基本的安全防護能力|6];日常運行管理規范，按照信息基礎設施運行操作流程和管理對象的不同，確定了網絡系統運行保障管理的角色和崗位，初步建立了問題處理的應急響應機制。由網絡中心進行日常管理的主要有六大業務應用系統，即網絡通信平臺、認證計費系統、校園一卡通、電子校務系統、網站群、郵件系統。

 

網絡通信平臺是大學各大業務平臺的基礎核心，是整個校園網的基礎，其他應用系統都運行在高校的基礎網絡環境上;認證計費系統是針對用戶接入校園網和互聯網的一種接入認證計費的管理方式;校園一卡通系統建設在物理專網上，主要實現學生校園卡消費管理，校園卡與大學網絡有3個物理接口;電子校務系統是大學最重要的業務應用系統，系統中存儲著重要的教務工作數據、學生考試信息、財務數據等重要數據信息;大學主頁網站系統為大學校園的互聯網窗口起到學校對外介紹宣傳的功能;郵件系統主要為大學教師與學生提供郵件收發服務，目前郵件系統注冊用1.2面臨的主要問題

 

通過等級保護差距分析和風險評估，目前大學所面臨的信息安全風險和主要問題如下：

 

(1)高校領域沒有總體安全標準指引，方向不明確，缺少主線。

 

(2)對國際國內信息安全法律法規缺乏深刻意識和認識。

 

(3)信息安全機構不完善，缺乏總體安全方針與策略，職責不夠明確。

 

(4)教職員工和學生數量龐大，管理復雜，人員安全意識相對薄弱，日常安全問題多。

 

()建設投資和投入有限，運維和管理人員的信息安全專業能力有待提高。

 

(6)內部管理相對松散，缺乏安全監管及檢查機制，無法有效整體管控。

 

(7)缺乏信息安全總體規劃，難以全面提升管理

 

(8)缺乏監控、預警、響應、恢復的集中運行管理手段，無法提高安全運維能力。

 

2建設思路

 

2.1建設原則和工作路線

 

學校信息安全建設的總體原則是:總體規劃、適度防護，分級分域、強化控制，保障核心、提升管理，支撐應用、規范運維。

 

依據這一總體原則，我們的信息安全體系建設工作以風險評估為起點，以安全體系為核心，通過對安全工作生命周期的理解從風險評估、安全體系規劃著手，并以解決方案和策略設計落實安全體系的各個環節，在建設過程中逐步完善安全體系，以安全體系運行維護和管理的過程等全面滿足安全工作各個層面的安全需求，最終達到全面、持續、突出重點的安全保障。

 

2.2體系框架

 

信息安全體系框架依據《信息安全技術信息系統安全等級保護基本要求》GBT22239-2008、《信息系統等級保護安全建設技術方案設計要求》(征求意見稿)，并吸納了IATF模型[7]中“深度防護戰略，，理論，強調安全策略、安全技術、安全組織和安全運行4個核心原則，重點關注計算環境、區域邊界、通信網絡等多個層次的安全防護，構建信息系統的安全技術體系和安全管理體系，并通過安全運維服務和itsm[8]集中運維管理(基于IT服務管理標準的最佳實踐)，形成了集風險評估、安全加固、安全巡檢、統一監控、提前預警、應急響應、系統恢復、安全審計和違規取證于一體的安全運維體系架構(見圖2)，從而實現并覆蓋了等級保護基本要求中對網絡安全、主機安全、應用安全、數據安全和管理安全的防護要求，以滿足信息系統全方位的安全保護需求。

 

(1)安全策略：明確信息安全工作目的、信息安全建設目標、信息安全管理目標等，是信息安全各個方面所應遵守的原則方法和指導性策略。

 

(2)安全組織：是信息安全體系框架中最重要的

 

各級組織間的工作職責，覆蓋安全管理制度、安全管理機構和人員安全管理3個部分。

 

(3)安全運行：是信息安全體系框架中最重要的安全管理策略之一，是維持信息系統持續運行的保障制度和規范。主要集中在規范信息系統應用過程和人員的操作執行，該部分以國家等級保護制度為依據，覆蓋系統建設管理、系統運維管理2個部分。

 

(4)安全技術:是從技術角度出發，落實學校組織機構的總體安全策略及管理的具體技術措施的實現，是對各個防護對象進行有效地技術措施保護。安全技術注重信息系統執行的安全控制，針對未授權的訪問或誤用提供自動保護，發現違背安全策略的行為，并滿足應用程序和數據的安全需求。安全技術包含通信網絡、計算環境、區域邊界和提供整體安全支撐的安全支撐平臺。該部分以國家等級保護制度為依據，覆蓋物理層、網絡層、主機層、應用層和數據層5個部分。

 

()安全運維:安全運維服務體系架構共分兩層，實現人員、技術、流程三者的完美整合，通過基于ITIL[9]的運維管理方法，保障基礎設施和生產環境的正常運轉，提升業務的可持續性，從而也體現了安全運3重點建設工作

 

3.1安全滲透測試

 

2009年4月，學校對38個網站、2個關鍵系統和6臺主機系統進行遠程滲透測評。通過測評，全面、完整地了解了當前系統的安全狀況，發現了20個高危漏洞，并針對高危漏洞分析了系統所面臨的各種風險，根據測評結果發現被測系統存在的安全隱患。滲透測試主要任務包括:收集網站信息、網站威脅分析、脆弱性分析和滲透入侵測評、提升權限測評、獲取代碼、滲透測評報告。

 

3.2風險評估和安全加固

 

2009年5月，依據安全滲透測試結果，對大學的六大信息系統進行了安全測評。根據評估結果得出系統存在的安全問題，并對嚴重的問題提出相應的風險控制策略。主要工作任務包括:系統調研、方案編寫、現場檢測、資產分析、威脅分析、脆弱性分析和風險分析。通過風險評估最終得出了威脅的數量和等級，表1、表2為威脅的數量和等級統計。2009年6月和9月，基于風險評估結果，對涉及到的網絡設備(4臺)和主機設備(14臺)進行了安全加固工作。

 

3.3安全體系規劃

 

根據前期對全校的網絡、重要信息系統及管理層面的全面評估和了解整理出符合大學實際的安全需求，并結合實際業務要求，對學校整體信息系統的安全工作進行規劃和設計，并通過未來3年的逐步安全建設，滿足學校的信息安全目標及國家相關政策和標準學校依據國際國內規范及標準，參考業界的最佳實踐ISMS[10](信息安全管理體系)，結合我校目前的實際情況，制定了一套完整、科學、實際的信息安全管理體系，制定并描述了網絡與信息安全管理必須遵守的基本原則和要求。

 

通過信息安全管理體系的建立，使學校的組織結構布局更加合理，人員安全意識也明顯提高，從而保證了網絡暢通和業務正常運行，提高了IT服務質量。通過制度、流程、標準及規范，加強了日常安全工作執行能力，提高了信息安全保障水平。

 

4未來展望和下一步工作

 

4.1安全防護體系

 

根據網絡與信息系統各節點的網絡結構、具體的應用以及安全等級的需求，可以考慮使用邏輯隔離技術(VLAN或防火墻技術)將整個學校的網絡系統劃分為3個層次的安全域：第一層次安全域包括整個學校網絡信息系統;第二層次安全域將各應用系統從邏輯上和物理上分別劃分;第三層次安全域主要是各應用系統內部根據應用人群的終端分布、部門等劃分子網或子系統。

 

公鑰基礎設施包括：CA安全區：主要承載CAServer、主從LDAP、數據庫、加密機、OCSP等;KMC管理區:主要承載KMCServer、加密機等;RA注冊區:主要承載各院所的RA注冊服務器，為各院所的師生管理提供數字證書注冊服務。

 

應用安全支撐平臺為各信息系統提供應用支撐服務、安全支撐服務以及安全管理策略，使得信息系統建立在一個穩定和高效的應用框架上，封裝復雜的業務支撐服務、基礎安全服務、管理服務，并平滑支持業務系統的擴展。主要包括:統一身份管理、統一身份認證、統一訪問授權、統一審計管理、數據安全引擎、單點登錄等功能。

 

4.2安全運維體系

 

ITSM集中運維管理解決方案面對學校日益復雜的IT環境，整合以往對各類設備、服務器、終端和業務系統等的分割管理，實現了對IT系統的集中、統一、全面的監控與管理;系統通過融入ITIL等運維管理理念，達到了技術、功能、服務三方面的完全整合，實現了IT服務支持過程的標準化、流程化、規范化，極大地提高了故障應急處理能力，提升了信息部門的管理效率和服務水平。

 

根據終端安全的需求，系統應建設一套完整的技術平臺，以實現由管理員根據管理制度來制定各種詳盡的安全管理策略，對網內所有終端計算機上的軟硬件資源、以及計算機上的操作行為進行有效管理。實現將以網絡為中心的分散管理變為以用戶為中心集中策略管理;對終端用戶安全接入策略統一管理、終端用戶安全策略的強制實施、終端用戶安全狀態的集中審計;對用戶事前身份和安全級別的認證、事中安全狀態定期安全檢測，內容包括定期的安全風險評估、安全加固、安全應急響應和安全巡檢。

 

4.3安全審計體系