征信信息安全管理范文

時(shí)間:2023-10-09 17:10:54

導(dǎo)語:如何才能寫好一篇征信信息安全管理,這就需要搜集整理更多的資料和文獻(xiàn),歡迎閱讀由公務(wù)員之家整理的十篇范文,供你借鑒。

征信信息安全管理

篇1

為了支撐部門預(yù)算管理和國(guó)庫集中收付制度改革,按照建立我國(guó)公共財(cái)政系統(tǒng)框架的總體要求建設(shè)先進(jìn)的政府財(cái)政管理信息系統(tǒng)有利于預(yù)算管理的規(guī)范化提高國(guó)庫資金的使用效率提高政府財(cái)政管理決策的科學(xué)性增大財(cái)政管理的透明度有利于加強(qiáng)廉政建設(shè)。

GFMIs的重要性使得其信息價(jià)值倍增,但它本身存在著管理和技術(shù)實(shí)現(xiàn)的脆弱性。因此GFMls容易受到攻擊造成政府財(cái)政管理信息的泄露、篡改和刪節(jié)造成政府財(cái)政管理信息需要使用時(shí)不可用等對(duì)我國(guó)的國(guó)家安全造成嚴(yán)重威脅。

系統(tǒng)概述

政府財(cái)政管理信息系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)一般都是分級(jí)分層次建設(shè)的。比如某省級(jí)政府財(cái)政管理信息系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu).它分為省、地市和縣級(jí)三層并且省與地市級(jí)網(wǎng)絡(luò)鏈接線路有備份。

系統(tǒng)資源分析

系統(tǒng)資源分析

政府財(cái)政管理信息系統(tǒng)中的主要資源包括

1)物理資源

(1)計(jì)算機(jī)系統(tǒng):系統(tǒng)硬件、群件、操作系統(tǒng)、軟件、數(shù)據(jù)庫

(2)通信系統(tǒng):通信系統(tǒng)設(shè)備及部件、傳輸系統(tǒng)(有線、無線傳輸);

(3)網(wǎng)絡(luò)系統(tǒng):網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)互聯(lián)設(shè)備、網(wǎng)絡(luò)管理設(shè)備及軟件、網(wǎng)絡(luò)應(yīng)用;

(4)環(huán)境設(shè)施:運(yùn)行環(huán)境的建筑物、機(jī)房等。

2)信息資源

(1)數(shù)據(jù)和記錄

(2)軟件;

(3)其他任何形式的信息。

應(yīng)用系統(tǒng)描述

政府財(cái)政管理信息系統(tǒng)(GFMIS)的應(yīng)用主要以數(shù)據(jù)交換和信息共享為主要業(yè)務(wù)內(nèi)容網(wǎng)絡(luò)信道采用丁C尸/lP協(xié)議集。應(yīng)用系統(tǒng)根據(jù)具體業(yè)務(wù)安全需求,采取一定的安全技術(shù)手段進(jìn)行安全設(shè)計(jì)以保護(hù)政府財(cái)政管理信息系統(tǒng)中各級(jí)財(cái)政信息防止外界侵入。

安全需求分析

安全需求包括用戶提出的非專業(yè)以及從專業(yè)角度為系統(tǒng)進(jìn)行的安全需求分析,在最后確定安全需求時(shí)將充分考慮用戶要求。

為了更準(zhǔn)確地確定系統(tǒng)的安全需求,將對(duì)系統(tǒng)遇到的攻擊進(jìn)行分析,它包括主動(dòng)攻擊、被動(dòng)攻擊、物理臨近攻擊、內(nèi)部人員攻擊以及軟硬件裝配和分發(fā)攻擊。與此同時(shí)也要對(duì)系統(tǒng)的安全漏洞和安全管理進(jìn)行分析。

風(fēng)險(xiǎn)分析

被動(dòng)攻擊威脅

1)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施的被動(dòng)攻擊威脅。線路竊聽局域網(wǎng)線路的竊聽監(jiān)視沒被保護(hù)的通信線路破譯弱保護(hù)的通信線路信息信息流量分析利用被動(dòng)攻擊為主動(dòng)攻擊創(chuàng)造條件以便對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備進(jìn)行破壞;機(jī)房和處理信息的終端的電磁泄露。

2)區(qū)域邊界/外部連接的被動(dòng)攻擊威脅。機(jī)房和處理信息終端的電磁泄露;截取末受保護(hù)的網(wǎng)絡(luò)信息;流量分析攻擊;遠(yuǎn)程接入連接。

3)計(jì)算環(huán)境的被動(dòng)攻擊威脅。機(jī)房和處理信息的終端的電磁泄露;獲取鑒別信息和控制信息:獲取明文或解密弱密文實(shí)施重放攻擊。

4)支持性基礎(chǔ)設(shè)施的被動(dòng)攻擊威脅。機(jī)房和處理信息終端的信息電磁泄露;獲取鑒別信息和控制信息。主動(dòng)攻擊威脅

1)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施的主動(dòng)攻擊威脅。一是可用帶寬的損失攻擊.如網(wǎng)絡(luò)阻塞攻擊、擴(kuò)散攻擊等。二是網(wǎng)絡(luò)管理通訊混亂使網(wǎng)絡(luò)基礎(chǔ)設(shè)施失去控制的攻擊。最嚴(yán)重的網(wǎng)絡(luò)攻擊是使網(wǎng)絡(luò)基礎(chǔ)設(shè)施運(yùn)行控制失靈。三是網(wǎng)絡(luò)管理通信的中斷攻擊.它是通過攻擊網(wǎng)絡(luò)底層設(shè)備控制信號(hào)來干擾網(wǎng)絡(luò)傳輸?shù)挠脩粜畔?引入病毒攻擊引入惡意代碼攻擊。

2)區(qū)域邊界連接的主動(dòng)攻擊威脅。試圖阻斷或攻破保護(hù)機(jī)制(內(nèi)網(wǎng)或外網(wǎng))偷竊或篡改信息利用‘’社會(huì)工程”攻擊欺騙合法用戶偽裝成合法用戶對(duì)服務(wù)器進(jìn)行攻擊lP地址欺騙攻擊;拒絕服務(wù)攻擊;利用協(xié)議和基礎(chǔ)設(shè)施的安全漏洞進(jìn)行攻擊;利用遠(yuǎn)程接入用戶帳號(hào)對(duì)內(nèi)網(wǎng)進(jìn)行攻擊;建立非授權(quán)的網(wǎng)絡(luò)連接;監(jiān)測(cè)遠(yuǎn)程用戶鏈路、修改傳輸數(shù)據(jù);解讀末加密或弱加密的傳輸信息惡意代碼和病毒攻擊。

3)計(jì)算環(huán)境的主動(dòng)攻擊威脅。引入病毒攻擊;引入惡意代碼攻擊;冒充超級(jí)用戶或其他合法用戶;拒絕服務(wù)和數(shù)據(jù)的篡改;偽裝成合法用戶和服務(wù)器進(jìn)行攻擊;利用配置漏洞進(jìn)行攻擊利用系統(tǒng)脆弱性(操作系統(tǒng)安全脆弱性、數(shù)據(jù)庫安全脆弱性)實(shí)施攻擊;利用服務(wù)器的安全脆弱性進(jìn)行攻擊利用應(yīng)用系統(tǒng)安全脆弱性進(jìn)行攻擊。

4)對(duì)基礎(chǔ)設(shè)施的主動(dòng)攻擊威脅。對(duì)未加密或弱加密通信線路的搭線竊聽:用獲取包含錯(cuò)誤信息的證書進(jìn)行偽裝攻擊;拒絕服務(wù)攻擊攻擊曰N獲取對(duì)用戶私鑰的訪問、在支持性基礎(chǔ)設(shè)施的組件中引入惡意代碼攻擊、在密鑰分發(fā)期間對(duì)密鑰實(shí)施攻擊、對(duì)尸Kl私鑰實(shí)施密碼攻擊、對(duì)密鑰恢復(fù)后的密鑰進(jìn)行末授權(quán)訪問、在用戶認(rèn)證期間使用戶不能生成失效信息;利用備份信息進(jìn)行攻擊。

內(nèi)音陣攻擊

1)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施的內(nèi)部人員攻擊威脅。網(wǎng)管中,合內(nèi)部人員惡意攻擊(他們有能力向網(wǎng)絡(luò)提供錯(cuò)誤的信息實(shí)現(xiàn)不容易發(fā)覺的攻擊)遠(yuǎn)程操作人員的惡意攻擊(他們是網(wǎng)絡(luò)專家,可以和內(nèi)部人員一樣對(duì)網(wǎng)絡(luò)實(shí)施攻擊):內(nèi)部人員誤操作攻擊。

2)區(qū)域邊界連接的內(nèi)部人員攻擊威脅。遠(yuǎn)程內(nèi)部操作人員的惡意攻擊;內(nèi)部人員的錯(cuò)誤操作、惡意攻擊。

3)支持性基礎(chǔ)設(shè)施的內(nèi)部人員攻擊威脅。內(nèi)部人員的錯(cuò)誤操作;內(nèi)部人員的惡意攻擊。

4)軟硬件裝配和分發(fā)攻擊。系統(tǒng)集成商、設(shè)備供應(yīng)商、軟件供應(yīng)商為了維護(hù)或其他一些惡意目的留有后門。

自然災(zāi)害威脅。嚴(yán)重的自然災(zāi)害如水災(zāi)、火災(zāi)、地震、雷電等。

安全建設(shè)目標(biāo)

網(wǎng)絡(luò)和基礎(chǔ)設(shè)施安全

采取物理措施將政府財(cái)政管理信息系統(tǒng)與因特網(wǎng)進(jìn)行物理隔離。骨干網(wǎng)采用SV尸N技術(shù)保證網(wǎng)絡(luò)傳輸信息的機(jī)密性、完整性。內(nèi)部局域網(wǎng)傳輸應(yīng)加密防止重要信息泄漏也防止外部的各種攻擊。與網(wǎng)絡(luò)供應(yīng)商簽訂通信線路質(zhì)量保證協(xié)議確保優(yōu)先級(jí)、訪問控制、傳輸質(zhì)量等。因特網(wǎng)(包括對(duì)公眾服務(wù)網(wǎng)站)要與內(nèi)部網(wǎng)進(jìn)行物理隔離以防止內(nèi)網(wǎng)信息的泄露和來自外網(wǎng)的攻擊。加強(qiáng)網(wǎng)絡(luò)管理中心的保護(hù),運(yùn)用技術(shù)和物理措施限制對(duì)網(wǎng)絡(luò)管理中心的訪問。網(wǎng)絡(luò)管理中心必須對(duì)網(wǎng)絡(luò)管理員進(jìn)行認(rèn)證。所有撥號(hào)入網(wǎng)的用戶在進(jìn)入網(wǎng)絡(luò)之前須進(jìn)行注冊(cè)和強(qiáng)制身份認(rèn)證,并且保護(hù)它們之間的安全通訊。

邊界安全

采用SV尸N技術(shù)解決骨干網(wǎng)的邊界保護(hù)。建立防火墻體系.設(shè)置合理的安全策略實(shí)現(xiàn)網(wǎng)絡(luò)訪問控制;建立系統(tǒng)遠(yuǎn)程訪問安全系統(tǒng)以保衛(wèi)系統(tǒng)邊界訪問的安全;建立網(wǎng)絡(luò)級(jí)入侵檢測(cè)系統(tǒng)防止入侵者的攻擊:建立網(wǎng)絡(luò)防病毒系統(tǒng):建立系統(tǒng)漏洞掃描系統(tǒng)改進(jìn)系統(tǒng)的配置和功能設(shè)置;通過VLAN技術(shù),邏輯上將內(nèi)部網(wǎng)隔離成各主管領(lǐng)導(dǎo)網(wǎng)段,并采用相應(yīng)的安全措施保證各網(wǎng)段之間的隔離以防止互

相影響和內(nèi)部惡意人員的跨網(wǎng)段攻擊;撥號(hào)入網(wǎng)的用戶在進(jìn)入網(wǎng)絡(luò)之前須進(jìn)行注冊(cè)和強(qiáng)制身份認(rèn)證,并且保護(hù)它們之間的安全通訊。

計(jì)算環(huán)境安全

建立政府財(cái)政管理信息系統(tǒng)的用戶終端、數(shù)據(jù)庫、服務(wù)器、應(yīng)用程序保護(hù)機(jī)制防止拒絕服務(wù)、數(shù)據(jù)未授權(quán)的泄露和數(shù)據(jù)的修改。操作系統(tǒng)在重要的應(yīng)用場(chǎng)合要采用可信的B1級(jí)操作系統(tǒng)。對(duì)數(shù)據(jù)庫訪問要進(jìn)行細(xì)粒度訪問控制、關(guān)鍵數(shù)據(jù)用加密服務(wù)器、確保物理安全、重要服務(wù)器要用單獨(dú)網(wǎng)段進(jìn)行隔離、強(qiáng)制身份鑒別、備份、恢復(fù)應(yīng)急措施、安全審計(jì)、審計(jì)失敗的保護(hù)、關(guān)鍵數(shù)據(jù)庫底層操作系統(tǒng)要達(dá)到日1級(jí)。保證每個(gè)部門預(yù)算的真實(shí)性和不可否認(rèn)性在支付政府財(cái)政資金前必須具有政府財(cái)政管理部門審查批準(zhǔn)的電子簽名。政府財(cái)政資金的賬戶要得到很好的保護(hù)并要登記注冊(cè)。每一筆收入和支出應(yīng)具備自動(dòng)可跟蹤性盡量減少人工干預(yù),建立基于主機(jī)的入侵檢測(cè)體系和基于主機(jī)的病毒防范體系。同時(shí)要建立政府財(cái)政管理信息系統(tǒng)的安全審計(jì)體系。

預(yù)算與國(guó)庫系統(tǒng)安全

保證記錄每一次預(yù)算調(diào)整文檔資料的真實(shí)性和責(zé)任’!生。保證預(yù)算的真實(shí)性、責(zé)任性和可追蹤性。包括:初始預(yù)算、追加和追減調(diào)整的預(yù)算。采取安全技術(shù)措施保證預(yù)算編制過程科目的對(duì)應(yīng)關(guān)系控制政府財(cái)政國(guó)庫支付過程在沒有驗(yàn)證預(yù)算科目的真實(shí)性前不得支付以保證與預(yù)算過程的一致性。建立可用款計(jì)劃控制。保證已批準(zhǔn)授權(quán)的各種預(yù)算單位上報(bào)的預(yù)算資金計(jì)劃得到驗(yàn)證,政府財(cái)政國(guó)庫支付單位才可審核、批復(fù)可用資金計(jì)劃數(shù)同時(shí)審計(jì)記錄在案以便達(dá)到可追蹤性和負(fù)責(zé)性的目的。保證承諾、待付、支付控制。在申請(qǐng)進(jìn)行政府采購時(shí),將從預(yù)算授權(quán)書把申請(qǐng)金額自動(dòng)減掉時(shí)應(yīng)保證前后資金額的真實(shí)性即保證預(yù)算授權(quán)余額與待付承諾數(shù)額的真實(shí)性。施待驗(yàn)證采購合同有效性后把承諾金額轉(zhuǎn)為待付金額到貨驗(yàn)收后驗(yàn)證審核單據(jù)的合法性后才可支付,核對(duì)承諾數(shù)、待付數(shù)和支付數(shù)的一致性,保證政府采購全過程得到有效控制。采取安全技術(shù)措施保證授權(quán)的凍結(jié)、恢復(fù)和回收控制(有待于訪問控制的細(xì)化)。保證建立國(guó)庫支票的流轉(zhuǎn)控制.系統(tǒng)簽發(fā)的支票均以支票號(hào)碼為依據(jù)進(jìn)行跟蹤核對(duì)要保證支票號(hào)碼的完整性。建立與銀行回單信息核對(duì)控制機(jī)制。

支持性基礎(chǔ)設(shè)施安全

建立基于尸KI技術(shù)的CA身份認(rèn)證系統(tǒng),支撐整個(gè)財(cái)政系統(tǒng)的安全身份認(rèn)證確認(rèn)登錄系統(tǒng)設(shè)備的安個(gè)性_

安全管理

安全管理在GFMIS中起著非常重要的作用一方面可以保證安全產(chǎn)品真正發(fā)揮作用,另一方面合適的程序性安全機(jī)制可以彌補(bǔ)安全產(chǎn)品的不足所謂“三分技術(shù)七分管理“。安全管理制度的實(shí)現(xiàn)需政府財(cái)政系統(tǒng)各級(jí)領(lǐng)導(dǎo)提供指導(dǎo)方向和人力物力支持來建立完備的安全管理體系。建立政府財(cái)政管理信息系統(tǒng)的安全管理體系結(jié)構(gòu),保護(hù)信息資產(chǎn)。設(shè)立政府財(cái)政管理信息系統(tǒng)的安全管理機(jī)構(gòu)。安全管理應(yīng)與系統(tǒng)管理分開.安全功能管理應(yīng)與安全審計(jì)管理分開。系統(tǒng)應(yīng)設(shè)立安全管理員安全管理員與安全審計(jì)管理員應(yīng)分開,當(dāng)對(duì)他們識(shí)別與鑒別時(shí)應(yīng)使用基于身份的識(shí)別與鑒別機(jī)制。

物理安全

根據(jù)信息系統(tǒng)設(shè)備的安全等級(jí)不同執(zhí)行下列國(guó)家標(biāo)準(zhǔn):

(1)計(jì)算機(jī)場(chǎng)地通用規(guī)范(GB/T2887:2000);

(2)計(jì)算機(jī)場(chǎng)地安全要求(GB9361:1988);

(3)計(jì)算機(jī)機(jī)房用活動(dòng)地板技術(shù)條件(GB665O一1986):

(4)電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范(CB50174一1993)

(5)計(jì)算機(jī)信息系統(tǒng)防雷保安器(GA173一98)。電磁兼容。低壓電氣及電子設(shè)備發(fā)出的諧波電流限值(設(shè)備每相輸入電流(16A)(GB17625.1一1998)。電磁兼容限值是對(duì)額定電流不大于16A的設(shè)備在低壓供電系統(tǒng)中產(chǎn)生的電壓波動(dòng)和閃爍的限制(GB176252一1999)。

電磁干擾

(1)信息技術(shù)設(shè)備的無線電騷擾極限值和測(cè)量方法(GB9254一1998);

(2)信息技術(shù)設(shè)備抗擾度限值和測(cè)量方法(GB17618一1998)。

篇2

在我國(guó),信息化建設(shè)已經(jīng)有30多年的發(fā)展歷程,信息安全已成為影響國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展的重要因素,得到了政府、行業(yè)和用戶的高度重視。2011年3月的《國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展第十二個(gè)五年規(guī)劃綱要》明確指出:“十二五”期間,我國(guó)將健全網(wǎng)絡(luò)與信息安全法律法規(guī),完善信息安全標(biāo)準(zhǔn)體系和認(rèn)證認(rèn)可體系,實(shí)施信息安全等級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估等制度,加快推進(jìn)安全可控關(guān)鍵軟硬件的應(yīng)用試點(diǎn)示范和推廣,確保國(guó)家信息安全。

事實(shí)上,為了進(jìn)一步完善國(guó)家信息安全保障體系建設(shè),我國(guó)推出了一系列政策和措施。從2007年起,我國(guó)就在全國(guó)范圍內(nèi)開展信息安全保護(hù)工作,促進(jìn)政府、金融、電信等各重點(diǎn)領(lǐng)域信息安全建設(shè),并取得了良好的成果。但值得我們關(guān)注的是,當(dāng)大多數(shù)人將對(duì)于信息安全的注意力更多地“盯”在計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)領(lǐng)域時(shí),重要信息在輸出終端,即文件打印、復(fù)印等文印流程中的安全性卻很少得到重視。在最為重要的政務(wù)信息安全領(lǐng)域,文印流程安全、管理的現(xiàn)狀如何?現(xiàn)有的解決方案能夠滿足用戶的管理需求嗎?在對(duì)政府單位的走訪中記者發(fā)現(xiàn),一套基于硬件控制,輔以軟件管理的解決方案,正得到政府用戶越來越多的青睞。

安全與效率面臨挑戰(zhàn)

隨著越來越多的敏感信息電子化,文印輸出過程中信息泄密的風(fēng)險(xiǎn)大大增加,特別是共享和網(wǎng)絡(luò)打印的快速普及,在給用戶帶來便捷體驗(yàn)的同時(shí),也對(duì)政府機(jī)構(gòu)的信息安全提出了空前嚴(yán)峻的挑戰(zhàn)。

在政府機(jī)構(gòu)內(nèi)部,各部門一般從空間上相互獨(dú)立,每個(gè)屋子也都單獨(dú)配備了打印機(jī),以確保信息保密。但是,這樣的打印設(shè)備功能卻很有限,且布置分散,運(yùn)營(yíng)成本過高,不能滿足當(dāng)前文印管理需要。為解決效率問題,不少部門專門設(shè)置了文印中心,但是這樣的文印中心也在安全和效率兩方面面臨著新的挑戰(zhàn)。

“目前我們使用文印設(shè)備的流程還是比較簡(jiǎn)單的,尤其是非窗口單位,基本上就是用自己的桌面打印機(jī)打印日常工作需要的文件,如果是大量地打印、復(fù)印文件,就去專門的文印室。我們對(duì)于日常使用的打印機(jī)并沒有特別復(fù)雜的要求,主要是安全、穩(wěn)定、快速、易操作。保密的重要性對(duì)于機(jī)關(guān)單位來說也非常重要,目前我們所采用的方法就是內(nèi)外網(wǎng)隔離,文印設(shè)備基本不聯(lián)網(wǎng),每人使用一臺(tái)桌面打印機(jī)?!眹?guó)務(wù)院機(jī)關(guān)事務(wù)管理局公共機(jī)構(gòu)節(jié)能管理司黃滔處長(zhǎng)向記者介紹。

與國(guó)務(wù)院機(jī)關(guān)事務(wù)管理局(以下簡(jiǎn)稱國(guó)管局)公共機(jī)構(gòu)節(jié)能管理司相似,大部分的機(jī)關(guān)單位在日常辦公中,內(nèi)外網(wǎng)隔離是最基本的保密方式,對(duì)文印保密也有相關(guān)的制度和規(guī)定,比如不準(zhǔn)隨意翻印文件;凡絕密級(jí)和注明不準(zhǔn)翻印的上級(jí)機(jī)關(guān)公文有關(guān)材料,一律不得翻??;確因工作需要翻印秘密文件時(shí),必須經(jīng)局、主管領(lǐng)導(dǎo)批準(zhǔn);翻印時(shí)應(yīng)注明翻印機(jī)關(guān)、日期、份數(shù)和印發(fā)范圍等。

“從制度上來說,我們?cè)谖挠」芾矸矫娴谋C芎凸芾磉€是比較嚴(yán)密的,比如說文件需要簽字才能打印,電腦內(nèi)文件不能用移動(dòng)存儲(chǔ)設(shè)備帶走,不能聯(lián)網(wǎng)打印等。對(duì)于一些的部門,我們也能做到事后追溯?!眹?guó)管局相關(guān)工作人員介紹。

有管理才有安全

然而根據(jù)記者的深入了解,在實(shí)際工作中,政府機(jī)關(guān)的文印管理流程仍存在著漏洞,比如打印機(jī)管理長(zhǎng)期處于分散狀態(tài),打印設(shè)備缺少專人管理等。對(duì)文印流程缺少安全管理,信息安全和保密自然難以得到保障,再加上辦公室人員流動(dòng)頻繁以及人為的文件遺留等問題,信息泄露的風(fēng)險(xiǎn)依然需要處處防范。

國(guó)家食品藥品監(jiān)督管理局處長(zhǎng)姚珀表示,“出于保密的原因,我們目前都是不聯(lián)網(wǎng)打印的,這確實(shí)給我們的工作帶來了很多麻煩。比如我們現(xiàn)在打印、復(fù)印一份文件,很可能要樓上樓下跑好幾趟,工作效率難以提高。但如果聯(lián)網(wǎng)又會(huì)涉及到安全問題,這讓我們的文印管理陷入兩難局面?!?/p>

談到文印安全方面的特殊需求時(shí),姚珀說,“一些敏感數(shù)據(jù)和文件需要打印,但又不想任何無關(guān)的人看到這些打印件,以前我們?yōu)榇嗽O(shè)置機(jī)密打印室,需要打印的時(shí)候,都要提交打印申請(qǐng),非常麻煩。我們理想中的文印管理,一是要方便,不必跑上跑下就能就近取到文件。二就是要安全,要保證不從網(wǎng)絡(luò)內(nèi)部泄露信息,也不讓文件能輕易被無關(guān)人員打印出來?!?/p>

對(duì)于姚珀提出的問題,記者專門采訪了文印解決方案領(lǐng)域的專家。來自惠普的技術(shù)顧問介紹說,針對(duì)這個(gè)問題,只需借助惠普的PIN碼打印技術(shù)就可以輕松解決。用戶在打印機(jī)密文檔時(shí),可設(shè)置安全PIN碼,文檔傳輸?shù)酱蛴C(jī)后只有用戶在打印機(jī)控制面板上輸入相應(yīng)PIN碼后才能進(jìn)行檢索和打印作業(yè),確保敏感數(shù)據(jù)的安全。事實(shí)上,在日常工作中,這種PIN碼設(shè)置,不僅能有效保護(hù)機(jī)密數(shù)據(jù)安全,還能有效防止文檔被別人拿走、放錯(cuò)地方或扔掉而重復(fù)打印造成的浪費(fèi)。而借助打印管理軟件HP Web Jetadmin的打印權(quán)限設(shè)置功能,IT管理員可輕松進(jìn)行每臺(tái)設(shè)備的訪問權(quán)限設(shè)置,只有被賦予訪問權(quán)限者才能通過該打印機(jī)進(jìn)行文檔輸出,保證了各部門內(nèi)部信息不通過文印設(shè)備外泄。

根據(jù)記者了解,對(duì)于硬件購置和耗材補(bǔ)充方面的成本,行業(yè)用戶已經(jīng)有一定程度認(rèn)識(shí),但對(duì)于設(shè)備監(jiān)控和持續(xù)管理、最終用戶使用效率提升以及工作流程改進(jìn)等問題,用戶還缺乏了解。對(duì)此問題,惠普的文印工程師介紹說,政府文印管理的問題,可以通過“優(yōu)化基礎(chǔ)架構(gòu)”、“管理文印環(huán)境”、“改善工作流程”三大解決方案來完成,進(jìn)而幫助政府保障信息安全,降低成本,節(jié)省資源并簡(jiǎn)化文檔密集型工作流程。“提高效率、降低成本、保障信息安全,要做到這幾點(diǎn),文印設(shè)備的管理必不可少”,惠普技術(shù)顧問表示。

軟件+硬件+服務(wù),解決政府辦公后顧之憂

“雖然政府辦公并沒有太多復(fù)雜的打印流程,但單純地購買打印機(jī)已經(jīng)很難滿足打印需求。打印量大,而專業(yè)人員又相對(duì)較少,一旦機(jī)器出現(xiàn)問題,很難及時(shí)解決,以致降低工作效率?!币︾暾J(rèn)為?!俺鲇谔岣咝实哪康模覀円部紤]在今后實(shí)現(xiàn)聯(lián)網(wǎng)打印。一旦設(shè)備聯(lián)網(wǎng),對(duì)文印管理的專業(yè)水平的要求就會(huì)更高。我們內(nèi)部的工作人員很難解決這些問題,就需要借助專門的軟件和技術(shù)人員來實(shí)現(xiàn)相關(guān)目標(biāo)。比如在網(wǎng)絡(luò)環(huán)境中保證信息安全,以有限的人手來管理整個(gè)部門的機(jī)器,如何使打印更為高效快捷等?!?/p>

篇3

第一條為了促進(jìn)我省電子政務(wù)的發(fā)展,保障我省電子政務(wù)健康運(yùn)行,根據(jù)《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于我國(guó)電子政務(wù)建設(shè)指導(dǎo)意見》,并結(jié)合我省實(shí)際情況,制定本辦法。

第二條電子政務(wù)信息安全工作應(yīng)遵循注重實(shí)效、促進(jìn)發(fā)展、強(qiáng)化管理和積極防范的原則。

第三條省信息化工作領(lǐng)導(dǎo)小組辦公室根據(jù)省信息化工作領(lǐng)導(dǎo)小組關(guān)于電子政務(wù)信息安全工作的決策,負(fù)責(zé)組織協(xié)調(diào)全省電子政務(wù)信息安全工作,并對(duì)執(zhí)行情況進(jìn)行檢查監(jiān)督。省直各有關(guān)部門根據(jù)各自職能分工負(fù)責(zé)電子政務(wù)信息安全的具體工作。各市電子政務(wù)主管部門負(fù)責(zé)本市電子政務(wù)信息安全工作。

第四條由省信息化工作領(lǐng)導(dǎo)小組辦公室牽頭,會(huì)同省信息產(chǎn)業(yè)廳、保密局、公安廳、科技廳組成省電子政務(wù)信息安全工作小組,負(fù)責(zé)制定全省電子政務(wù)信息安全策略和工作規(guī)范,建立全省電子政務(wù)信息安全風(fēng)險(xiǎn)評(píng)估體系。各單位要制定本單位電子政務(wù)信息安全措施,定期進(jìn)行安全風(fēng)險(xiǎn)評(píng)估,落實(shí)信息安全工作責(zé)任制,建立健全信息安全工作規(guī)章制度,并于每年6月份書面報(bào)本級(jí)電子政務(wù)主管部門備案。

第五條電子政務(wù)網(wǎng)絡(luò)由政務(wù)內(nèi)網(wǎng)和政務(wù)外網(wǎng)構(gòu)成,兩網(wǎng)之間物理隔離。電子政務(wù)內(nèi)網(wǎng)是政務(wù)部門的辦公專網(wǎng),連接包括省四套班子和省直各部門。電子政務(wù)內(nèi)網(wǎng)信息安全管理要嚴(yán)格執(zhí)行國(guó)家有關(guān)規(guī)定。

第六條電子政務(wù)外網(wǎng)是政府的業(yè)務(wù)專網(wǎng)。全省建設(shè)一個(gè)統(tǒng)一的電子政務(wù)外網(wǎng),凡是不涉及國(guó)家秘密的、面向社會(huì)的專業(yè)業(yè)務(wù)系統(tǒng)和不需在內(nèi)網(wǎng)上運(yùn)行的業(yè)務(wù)系統(tǒng)必須接入或建在電子政務(wù)外網(wǎng)上,并采用電子政務(wù)外網(wǎng)上所要求的信息安全措施。

第七條電子政務(wù)外網(wǎng)必須與國(guó)際互聯(lián)網(wǎng)和其他公共信息網(wǎng)絡(luò)實(shí)行邏輯隔離。全省統(tǒng)一管理電子政務(wù)外網(wǎng)的國(guó)際互聯(lián)網(wǎng)出口。凡接入電子政務(wù)外網(wǎng)的電子政務(wù)應(yīng)用系統(tǒng),不得擅自連接到國(guó)際互聯(lián)網(wǎng)。在國(guó)際互聯(lián)網(wǎng)上運(yùn)行的政府網(wǎng)站,要采取必要的信息安全措施方可接入電子政務(wù)外網(wǎng)。

第八條在電子政務(wù)外網(wǎng)上建立統(tǒng)一的數(shù)字證書認(rèn)證體系,建立電子政務(wù)安全信任機(jī)制和授權(quán)管理機(jī)制。凡接入電子政務(wù)外網(wǎng)的應(yīng)用系統(tǒng)必須采用省電子政務(wù)認(rèn)證中心發(fā)放的數(shù)字證書。各市可直接采用省電子政務(wù)認(rèn)證中心提供的數(shù)字證書注冊(cè)服務(wù),也可根據(jù)實(shí)際應(yīng)用情況建立本市數(shù)字證書注冊(cè)服務(wù)中心,負(fù)責(zé)本市范圍內(nèi)數(shù)字證書的登記注冊(cè)。

第九條各級(jí)電子政務(wù)外網(wǎng)網(wǎng)絡(luò)管理單位負(fù)責(zé)本級(jí)電子政務(wù)外網(wǎng)的公共安全工作,建立信息網(wǎng)絡(luò)安全責(zé)任制。要對(duì)所管理的本級(jí)外網(wǎng)網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)監(jiān)控,定期進(jìn)行安全性能檢測(cè),定期向主管部門通報(bào)網(wǎng)絡(luò)安全狀況信息,并向其網(wǎng)絡(luò)用戶單位提供安全預(yù)警服務(wù)。

第十條電子政務(wù)外網(wǎng)要建立應(yīng)急處理和災(zāi)難恢復(fù)機(jī)制。應(yīng)急支援中心和數(shù)據(jù)災(zāi)難備份中心要制定數(shù)據(jù)備份制度,制定事故應(yīng)急響應(yīng)和支援處理措施,制定數(shù)據(jù)災(zāi)難恢復(fù)策略和災(zāi)難恢復(fù)預(yù)案,并報(bào)本級(jí)電子政務(wù)信息安全主管部門備案。全省性電子政務(wù)應(yīng)用系統(tǒng)的主要數(shù)據(jù)庫和重要的基礎(chǔ)性數(shù)據(jù)庫,必須在應(yīng)急支援中心和數(shù)據(jù)災(zāi)難備份中心實(shí)現(xiàn)異地備份。

第十一條各單位要根據(jù)國(guó)家有關(guān)信息安全保護(hù)等級(jí)的保護(hù)規(guī)范,明確本單位電子政務(wù)應(yīng)用系統(tǒng)的安全等級(jí),并按照保護(hù)規(guī)范進(jìn)行安全建設(shè)、安全管理和邊界保護(hù)。各單位負(fù)責(zé)其應(yīng)用系統(tǒng)接入電子政務(wù)外網(wǎng)之前的所有安全工作,并配合網(wǎng)絡(luò)管理單位進(jìn)行網(wǎng)絡(luò)安全管理和檢查工作。

第十二條各單位要明確信息采集、、維護(hù)的規(guī)范程序,確保其電子政務(wù)應(yīng)用系統(tǒng)運(yùn)行的數(shù)據(jù)信息真實(shí)準(zhǔn)確、安全可靠。各單位要按照“誰上網(wǎng)誰負(fù)責(zé)”的原則,保證其在電子政務(wù)外網(wǎng)上運(yùn)行的數(shù)據(jù)信息真實(shí)可靠,且不得涉及國(guó)家秘密。

第十三條各單位的電子政務(wù)應(yīng)用系統(tǒng)要建立數(shù)據(jù)信息的存取訪問控制機(jī)制,按數(shù)據(jù)信息的重要程度進(jìn)行分類,劃分訪問和存儲(chǔ)等級(jí),設(shè)立訪問和存儲(chǔ)權(quán)限,防止越權(quán)存取數(shù)據(jù)信息。

第十四條各單位的電子政務(wù)應(yīng)用系統(tǒng)要建立信息審計(jì)跟蹤機(jī)制,對(duì)用戶每次訪問系統(tǒng)的情況以及系統(tǒng)出錯(cuò)和配置修改等信息均應(yīng)有詳細(xì)記錄。

第十五條各單位的電子政務(wù)應(yīng)用系統(tǒng)應(yīng)當(dāng)建立計(jì)算機(jī)病毒防范機(jī)制,要定期使用經(jīng)國(guó)家有關(guān)部門檢測(cè)認(rèn)可的防病毒軟件進(jìn)行檢測(cè)。

篇4

一.培訓(xùn)內(nèi)容

這次培訓(xùn)班的課程充實(shí)緊湊,涉及到辦公室工作的各大方

面,具體講授了以下專題:

財(cái)政部辦公廳秘書處邱玲處長(zhǎng)講授的《認(rèn)真執(zhí)行國(guó)務(wù)

院公文處理辦法進(jìn)一步提高財(cái)政公文質(zhì)量》。內(nèi)容包括:

()年月了《國(guó)家行政機(jī)關(guān)公文處理辦

法》,相較于舊的《辦法》,作了重要的修改并新增了不少內(nèi)容。(具體內(nèi)容見材料)

()公文辦理中需要注意的問題和常見差錯(cuò)。其中,主

要講解了“函”這一文體。“函”說白了就是非文件,是一個(gè)大類。相較于正式的“文件”,函的形式更靈活、運(yùn)作的過程更簡(jiǎn)便。

府辦公廳秘書處馮宏梅處長(zhǎng)講授《關(guān)于國(guó)家行政機(jī)關(guān)

公文格式的若干問題》。對(duì)公文的格式作了具體而詳盡的總結(jié)。

()介紹了公文的種類。分為①文件式(紅頭文件);②信函式、命令式;③會(huì)議紀(jì)錄、電報(bào);

()介紹了文件式的格式,文件式是公文中最常用的

文體,包括版頭(眉首)、主體、版記三部分,每一部分都有具體而詳盡的規(guī)定;

()介紹了信函式、命令式的格式;

()介紹了會(huì)議紀(jì)要的格式;

()介紹了省政府辦公廳的動(dòng)作。即收文、分辦、辦

理、呈送、核稿、審批、發(fā)文(對(duì)外發(fā)文)、督辦、返譴、歸檔的全套模式。

廣東省檔案局石大泱處長(zhǎng)講授《加強(qiáng)機(jī)關(guān)檔案工作、提高檔案水平》。內(nèi)容涉及以下三個(gè)方面:

()《檔案法》對(duì)機(jī)關(guān)檔案工作的規(guī)定。重點(diǎn)指出行政部門形成的檔案是國(guó)家檔案的重要組組成部分。受國(guó)家重點(diǎn)保護(hù);要求行政部門檔案要集中統(tǒng)一管理,要維護(hù)檔案完整。

()檔案工作與機(jī)關(guān)工作的聯(lián)系。石處長(zhǎng)指出檔案工作是各項(xiàng)業(yè)務(wù)工作的一個(gè)基礎(chǔ),機(jī)關(guān)工作的過程、結(jié)果都客觀地記在檔案中。同時(shí),檔案材料也是加強(qiáng)機(jī)關(guān)管理的基礎(chǔ)材料、是機(jī)關(guān)領(lǐng)導(dǎo)決策的重要參考、是開展機(jī)關(guān)各項(xiàng)研究工作的重要材料、是編史修志的第一手材料。

因此,機(jī)關(guān)部門應(yīng)對(duì)檔案工作給予高度的重視。

政府辦公廳信息處羅展懷處長(zhǎng)講授《政務(wù)信息工作理

論與實(shí)踐》。主要內(nèi)容包括:

()怎樣看待信息工作。首先認(rèn)識(shí)信息工作的特點(diǎn):對(duì)

現(xiàn)實(shí)情況反映快、涉及社會(huì)經(jīng)濟(jì)的范圍廣、形式靈活。其次是了解信息工作的作用:是領(lǐng)導(dǎo)了解各方面工作的渠道,可以讓領(lǐng)導(dǎo)掌握社會(huì)動(dòng)態(tài);是向領(lǐng)導(dǎo)同志匯報(bào)工作、擴(kuò)大影響的經(jīng)常性渠道;是反映問題和解決問題的一個(gè)途徑;可以成為推動(dòng)政府轉(zhuǎn)變職能、轉(zhuǎn)變工作作風(fēng)的有力手段。

()信息工作的具體內(nèi)容。作為政務(wù)信息,包含了三個(gè)

層面:為上級(jí)領(lǐng)導(dǎo)服務(wù);為本級(jí)領(lǐng)導(dǎo)服務(wù);為下級(jí)領(lǐng)導(dǎo)服務(wù)。

二、培訓(xùn)心得

各級(jí)領(lǐng)導(dǎo)在培訓(xùn)班上的發(fā)言、授課,對(duì)辦公室作為一切工作運(yùn)轉(zhuǎn)中心的重要地位給予了高度肯定,對(duì)今后更好地開展辦公室各項(xiàng)工作提出了新的建議:

邱玲處長(zhǎng)在如何提高財(cái)政公文質(zhì)量的問題上提出在辦公室的具體工作中,首先要深入學(xué)習(xí)年的新《辦法》,嚴(yán)格按照新《辦法》的各項(xiàng)規(guī)定進(jìn)行公文寫作,務(wù)求格式規(guī)范、內(nèi)容嚴(yán)謹(jǐn);

其次是要深入了解新《辦法》中提出的“函”這一形式,相較于文件,“函”的靈活和運(yùn)轉(zhuǎn)的簡(jiǎn)便有助于減輕繁雜的辦公室事務(wù)。一些重要性、緊急性低的內(nèi)容應(yīng)多用“函”的形式發(fā)出,以簡(jiǎn)便流程、減輕辦公室的工作量。

馮宏梅處長(zhǎng)在公文格式的問題上提出各級(jí)機(jī)關(guān)部門應(yīng)嚴(yán)格把住公文的格式關(guān),將格式上的錯(cuò)誤降到最低點(diǎn)。

同時(shí),馮處長(zhǎng)也介紹了省政府辦公廳的運(yùn)作過程以供各級(jí)機(jī)關(guān)部門參考:①收文,由秘書處資料科收文,包括上級(jí)、同級(jí)、下級(jí)各方面的來文,分為閱卷和辦卷來進(jìn)行登記,分送承辦的科室;②辦理,由省政府辦公廳綜合一二處辦理,收文后每人簽收,按規(guī)定處理,將不符合要求的文退回,將不屬于本處職權(quán)范圍內(nèi)的文再分送;③承送,報(bào)送領(lǐng)導(dǎo)審批;④核稿,是正式文件的核稿,領(lǐng)導(dǎo)審批完付印前由辦公廳主任最后審核,再由秘書處審核一次,有原則性改動(dòng)的重新審批,沒有原則性改動(dòng)的可付??;⑤發(fā)文,由發(fā)行科發(fā)文,電報(bào)則由省委機(jī)要局發(fā)出;⑥督辦,對(duì)已發(fā)文進(jìn)行事后監(jiān)督,包括電話催辦、領(lǐng)導(dǎo)上門等方式;⑦返譴,用領(lǐng)導(dǎo)批示回報(bào)表,復(fù)印領(lǐng)導(dǎo)批示,送達(dá)先閱先批者處;⑧歸檔,書面存檔,方便以后查閱,將所涉及所有材料羅列。

此外,馮處長(zhǎng)建議各級(jí)機(jī)關(guān)制作政務(wù)動(dòng)態(tài)通報(bào),將一天內(nèi)重要領(lǐng)導(dǎo)批示,上訪情況等整理制文,第二天放至領(lǐng)導(dǎo)處,以全領(lǐng)導(dǎo)全面掌握情況。

石大泱處長(zhǎng)對(duì)檔案工作提出了新的要求:首先是要對(duì)《檔案法》進(jìn)行深入學(xué)習(xí),將《檔案法》里的各項(xiàng)規(guī)定落實(shí)到各項(xiàng)具體的工作中;其次是認(rèn)識(shí)到檔案工作與機(jī)關(guān)工作的密切聯(lián)系,在具體工作中加大對(duì)檔案工作的重視;再次是提出辦公室作為檔案工作的領(lǐng)導(dǎo),應(yīng)如何在具體工作中加強(qiáng)它的領(lǐng)導(dǎo)作用。

羅展懷處長(zhǎng)提出了做好信息上報(bào)工作的具體內(nèi)容:首先,要保持良好的溝通交流渠道,其中又以人的溝通為主為重;其次是要把握上報(bào)住處的最基本的內(nèi)容,這些內(nèi)容包括重大的經(jīng)濟(jì)社會(huì)動(dòng)態(tài)、突發(fā)事件、重要的工作部署、領(lǐng)導(dǎo)決策落實(shí)的情況、需要上級(jí)幫助解決的困難、上級(jí)要求上報(bào)的內(nèi)容、領(lǐng)導(dǎo)批示的反饋等等;再次是要提高上報(bào)信息的針對(duì)性。這主要是指內(nèi)容的針對(duì)性:考慮內(nèi)容的重要性、綜合性;介紹的經(jīng)驗(yàn)是否先進(jìn)和可借鑒性;反映的問題是否需要上級(jí)關(guān)注和幫助解決、提出的建議是否針對(duì)上級(jí)提出來的。

篇5

(一)加強(qiáng)信息安全管理

金融行業(yè)通過在互聯(lián)網(wǎng)開展業(yè)務(wù)、提高管理效能、創(chuàng)新金融服務(wù)、開拓金融市場(chǎng)來擴(kuò)大自身影響力,對(duì)防范和抵御來自互聯(lián)網(wǎng)的信息安全威脅十分重視,而對(duì)來自內(nèi)部的信息安全威脅卻防范不足。尤其缺乏對(duì)內(nèi)部人員信息安全意識(shí)的培養(yǎng),在信息安全管理制度執(zhí)行方面存在不足。調(diào)查顯示,超過75%的信息系統(tǒng)泄密和惡意攻擊事件都是由于內(nèi)部人員疏忽和無意識(shí)泄密造成的,這是安全威脅不斷升級(jí)的重要原因之一。此外,在利益驅(qū)動(dòng)下,個(gè)別內(nèi)部人員鋌而走險(xiǎn),利用管理的疏漏主動(dòng)發(fā)起的信息安全威脅更難防范。同時(shí),信息安全不能只靠一些信息安全產(chǎn)品實(shí)現(xiàn),安全產(chǎn)品和技術(shù)只是信息安全管理體系里的一小部分。只有在良好的信息安全管理基礎(chǔ)上才能發(fā)揮作用,所以“三分技術(shù),七分管理”是保障信息安全的基本原則。

(二)建立信息安全事件調(diào)查規(guī)范

懷疑發(fā)生信息安全事件后,要及時(shí)啟動(dòng)調(diào)查程序,而每個(gè)調(diào)查程序必須有一套基本的規(guī)范加以指導(dǎo)。通常從調(diào)查人員構(gòu)成、調(diào)查時(shí)間緊迫程度、調(diào)查方案、保密范圍以及需要采取的后續(xù)措施等方面逐一規(guī)定。在調(diào)查組成員的選配上,需要業(yè)務(wù)部門、技術(shù)部門、監(jiān)督檢查部門以至外聘專家共同組成;在時(shí)間要求上,第一時(shí)間開展調(diào)查能夠防止重要信息被刪除、篡改,爭(zhēng)取得到第一手資料;在調(diào)查方案上,信息安全事件調(diào)查需要從業(yè)務(wù)操作、內(nèi)部管理、技術(shù)原因等各方面開展調(diào)查;在保密要求上,需要對(duì)被檢查單位和人員保密調(diào)查內(nèi)容和調(diào)查方法,防止出現(xiàn)相關(guān)證據(jù)信息被人為隱瞞、銷毀的情況;在調(diào)查評(píng)估上,信息安全事件發(fā)生后引起的嚴(yán)重影響,是否需要啟動(dòng)司法程序等作出規(guī)定。因此,建立一整套信息安全事件調(diào)查程序至關(guān)重要,主要是為了確保以下4個(gè)方面的內(nèi)容。1.信息安全異?,F(xiàn)象可以被檢測(cè)出來并得到有效處理,尤其是確定是否需要將異常現(xiàn)象歸類為信息安全事件。2.對(duì)已確定的信息安全事件進(jìn)行評(píng)估,并以最恰當(dāng)和最有效的方式作出響應(yīng)。3.作為事件響應(yīng)的一部分,通過恰當(dāng)?shù)姆雷o(hù)措施,將信息安全事件對(duì)組織及其業(yè)務(wù)運(yùn)行的負(fù)面影響降至最低。4.及時(shí)總結(jié)信息安全事件及其管理的經(jīng)驗(yàn)教訓(xùn),有效預(yù)防將來信息安全事件發(fā)生的頻率,改進(jìn)信息安全防護(hù)措施的實(shí)施和使用,同時(shí)全面改進(jìn)信息安全事件管理方案。

(三)提高信息安全人員素質(zhì)

除了建立信息安全管理制度并嚴(yán)格落實(shí)外,高素質(zhì)的信息安全人員是信息安全保障體系的智力支撐。從IT行業(yè)越來越細(xì)的專業(yè)劃分和日益復(fù)雜嚴(yán)重的信息安全威脅來看,信息安全管理儼然成為需要有更高專業(yè)素養(yǎng)的領(lǐng)域。信息安全管理人員需要掌握的知識(shí)結(jié)構(gòu)包括信息安全保障基礎(chǔ)知識(shí)、信息安全技術(shù)、信息安全管理、信息安全工程以及信息安全標(biāo)準(zhǔn)法規(guī)等。在技術(shù)領(lǐng)域需要掌握操作系統(tǒng)安全、防火墻、防病毒、入侵檢測(cè)、密碼技術(shù)和應(yīng)用等安全技術(shù)知識(shí);在管理方面要掌握信息安全管理和治理,并要具有開展風(fēng)險(xiǎn)評(píng)估、災(zāi)難恢復(fù)、應(yīng)急響應(yīng)所需相關(guān)知識(shí)和實(shí)踐能力;在工程領(lǐng)域要有開展信息安全工程管理、咨詢和監(jiān)理的實(shí)踐經(jīng)驗(yàn);在標(biāo)準(zhǔn)和法律法規(guī)領(lǐng)域,需要掌握國(guó)家信息安全相關(guān)的法律法規(guī)以及國(guó)內(nèi)外信息安全相關(guān)的標(biāo)準(zhǔn)和實(shí)踐經(jīng)驗(yàn)。此外,一個(gè)合格的信息安全員不但要有不斷更新自身知識(shí)結(jié)構(gòu)的自主學(xué)習(xí)能力,還要具有高度的責(zé)任心和自律能力。因此,建立一支高素質(zhì)的信息安全員隊(duì)伍,是信息安全工作的重要保障。

(四)建立金融機(jī)構(gòu)間協(xié)同調(diào)查機(jī)制

在廣域網(wǎng)環(huán)境中,服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全監(jiān)控系統(tǒng)在地理上是分散的,可能部署在不同層次的網(wǎng)絡(luò)節(jié)點(diǎn)并分屬不同的管理機(jī)構(gòu)。由于網(wǎng)絡(luò)的互通性,黑客經(jīng)常會(huì)使用遠(yuǎn)程攻擊或利用被侵入的主機(jī)作為跳板隱藏自身地址,入侵和攻擊事件表面上發(fā)生在A地,但發(fā)起攻擊的源頭很可能在B地。如果要追蹤攻擊的源頭,就需要收集所有關(guān)鍵服務(wù)器、網(wǎng)絡(luò)節(jié)點(diǎn)的日志信息等,并將它們按一定的規(guī)律關(guān)聯(lián)起來。例如這次事件的調(diào)查雖然不屬于黑客攻擊,但如果要找到登錄終端,就需要調(diào)取商業(yè)銀行、人民銀行各級(jí)網(wǎng)絡(luò)交換機(jī)、路由器、防火墻等設(shè)備的配置文件、日志文件,甚至是系統(tǒng)臨時(shí)文件等。由于商業(yè)銀行和人民銀行之間沒有建立相應(yīng)的協(xié)同工作機(jī)制,調(diào)查組無法及時(shí)獲取這些資料,所以也就無法通過IP地址找到登錄終端,并通過登錄終端找到查詢?nèi)藛T。隨著人民銀行與金融機(jī)構(gòu)間網(wǎng)絡(luò)的互聯(lián)互通,提供的服務(wù)項(xiàng)目增多,加上微小金融機(jī)構(gòu)大量接入金融服務(wù)平臺(tái),出現(xiàn)此類信息安全事件的概率也會(huì)上升,需要各金融機(jī)構(gòu)間共享關(guān)鍵信息并協(xié)助開展調(diào)查的事件也會(huì)越來越多,所以建立金融機(jī)構(gòu)間信息安全事件協(xié)同調(diào)查機(jī)制至關(guān)重要。

(五)重視Web應(yīng)用系統(tǒng)安全設(shè)計(jì)

篇6

關(guān)鍵詞:個(gè)人;金融信息;保護(hù);法律體系

一、個(gè)人金融信息泄露的原因

(一)法律體系不完善,個(gè)人金融信息的保護(hù)規(guī)定不健全。目前,我國(guó)尚未制定一部專門的個(gè)人信息保護(hù)法,發(fā)揮個(gè)人金融信息保護(hù)功能的主要是中國(guó)人民銀行出臺(tái)的《個(gè)人信用信息基礎(chǔ)數(shù)據(jù)庫管理暫行辦法》(2005)、《關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個(gè)人金融信息保護(hù)工作的通知》(2011),這些只是部門性德規(guī)章制度和政策文件,兩者雖對(duì)個(gè)人金融信息收集、保存、使用等做了相應(yīng)規(guī)定,但前者屬效力層級(jí)較低的部門規(guī)章,且只針對(duì)信貸領(lǐng)域的個(gè)人信用信息,后者為規(guī)范性文件,在實(shí)際工作中不具備正式法的效力,執(zhí)行能力不強(qiáng)。

(二)銀行業(yè)金融機(jī)構(gòu)對(duì)個(gè)人信息安全保護(hù)的重要性缺乏充分認(rèn)識(shí),對(duì)個(gè)人信息缺乏統(tǒng)一的保護(hù)機(jī)制。銀行業(yè)金融機(jī)構(gòu)對(duì)客戶的個(gè)人信息安全保護(hù)認(rèn)識(shí)不足,缺乏個(gè)人信息安全管理制度,對(duì)客戶個(gè)人信息保密責(zé)任不明晰,沒有對(duì)信息實(shí)行有效的安全等級(jí)分類管理;對(duì)制度的執(zhí)行監(jiān)督檢查、評(píng)估不夠,對(duì)掌握重要信息的離崗人員的保密責(zé)任沒有嚴(yán)格的約束措施。目前個(gè)人金融信息保護(hù)的相關(guān)規(guī)定只是散見于銀行各類業(yè)務(wù)的管理制度中,無法保證個(gè)人金融信息的采集、保管和追蹤等各個(gè)環(huán)節(jié)工作的統(tǒng)一性。同時(shí),銀行各個(gè)業(yè)務(wù)部門中涉及個(gè)人金融信息,沒有統(tǒng)一的聯(lián)系和管理機(jī)制,個(gè)人金融信息在銀行內(nèi)部沒有形成互通互聯(lián),這給信息保護(hù)帶來很大難度,是個(gè)人信息保護(hù)中的漏洞所在。內(nèi)部監(jiān)督檢查力度較弱,沒有對(duì)個(gè)人信息保護(hù)的專項(xiàng)檢查制度,將該類檢查納入常規(guī)性檢查定期進(jìn)行的機(jī)構(gòu)比例較低。

(三)監(jiān)管部門不明確,監(jiān)管手段欠缺。目前,人民銀行從征信管理的角度加強(qiáng)了對(duì)個(gè)人客戶信息保護(hù)工作的力度,印發(fā)了《關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個(gè)人金融信息保護(hù)工作的通知》(2011),盡管對(duì)個(gè)人金融信息收集、保存、使用、對(duì)外提供等做了全面的規(guī)定,但由于缺乏明確的法律依據(jù),人民銀行履行該項(xiàng)職能缺乏必要的監(jiān)管手段。囿于效力層次,不能設(shè)立行政檢查檢查權(quán)和處罰權(quán),人民銀行對(duì)違反個(gè)人金融信息保護(hù)規(guī)定的金融機(jī)構(gòu)只能采取“核實(shí)、約見談話、責(zé)令整改、通報(bào)”等柔性處理措施,約束力較弱,保護(hù)力度受限,效果不明顯。

(四)銀行業(yè)金融機(jī)構(gòu)缺乏對(duì)風(fēng)險(xiǎn)防范意識(shí)的宣傳和教育,客戶對(duì)于個(gè)人信息保護(hù)的意識(shí)不強(qiáng)。由于銀行金融機(jī)構(gòu)在營(yíng)銷產(chǎn)品的過程中,對(duì)產(chǎn)品可能存在的風(fēng)險(xiǎn)沒有做到全面告知,客戶對(duì)個(gè)人信息保護(hù)雖有一定認(rèn)識(shí),但對(duì)個(gè)人信息的重要性及個(gè)人信息保護(hù)制度的相關(guān)細(xì)節(jié)卻普遍缺乏深入的了解,個(gè)人信息保護(hù)意識(shí)不高,風(fēng)險(xiǎn)防范意識(shí)較為薄弱。

二、加強(qiáng)保護(hù)個(gè)人金融信息的建議

(一)制定專門法規(guī),為保護(hù)個(gè)人金融信息提供法律依據(jù)。個(gè)人信息的保護(hù)法規(guī)需要多層次、系統(tǒng)化的制度作為保證,形成協(xié)調(diào)統(tǒng)一的法律體系。首先要明確個(gè)人金融信息的定義,明確銀行收集個(gè)人金融信息的目的和范圍;其次,規(guī)定銀行保護(hù)、使用個(gè)人金融信息的法定義務(wù),即要求銀行必須按照法定的方式、途徑來收集、保存和使用個(gè)人金融信息,并履行一定的告知義務(wù);再次,就是侵害個(gè)人金融信息的認(rèn)定辦法和救濟(jì)途徑作出明確規(guī)定。

(二)銀行業(yè)金融機(jī)構(gòu)要切實(shí)提高客戶個(gè)人信息安全保護(hù)意識(shí)。金融機(jī)構(gòu)要加強(qiáng)對(duì)個(gè)人金融信息的保護(hù)工作,完善個(gè)人信息系統(tǒng)的建設(shè)。對(duì)個(gè)人金融信息的收集、使用等各個(gè)環(huán)節(jié)做出明確的規(guī)定,并建立有效的制度對(duì)各個(gè)環(huán)節(jié)面臨的風(fēng)險(xiǎn)進(jìn)行有效的防范。同時(shí),明確保密和管理職責(zé)權(quán)限,落實(shí)責(zé)任制,與在崗員工簽訂安全保密責(zé)任書,與離崗人員簽訂安全保密承諾書;強(qiáng)化監(jiān)管和問責(zé),定期對(duì)信息安全狀況進(jìn)行評(píng)估、審計(jì)和檢查監(jiān)督,及時(shí)發(fā)現(xiàn)和糾正工作中存在的隱患和漏洞;加強(qiáng)對(duì)員工尤其是新員工的信息安全教育培訓(xùn),使員工了解信息安全管理的內(nèi)容、規(guī)定以及信息安全管理的重要性,增強(qiáng)信息安全風(fēng)險(xiǎn)意識(shí),防范道德風(fēng)險(xiǎn)。

篇7

關(guān)鍵詞:征信系統(tǒng);非銀行信用信息;信息共享

中圖分類號(hào):F830.51文獻(xiàn)標(biāo)識(shí)碼:B 文章編號(hào):1007-4392(2008)05-0065-02

一、天津市征信系統(tǒng)建設(shè)情況

建立健全征信系統(tǒng),是建立社會(huì)征信體系的重要基礎(chǔ)工作。近幾年來,天津市征信系統(tǒng)建設(shè)取得了一定進(jìn)展。由市政府決策并投資建設(shè)的天津市企業(yè)信用信息系統(tǒng)已于2003年開通查詢,目前該系統(tǒng)已經(jīng)收錄了500多萬條企業(yè)信用信息,可供市政府和提供信息的政府部門查詢使用;由人民銀行建立的全國(guó)統(tǒng)一的企業(yè)和個(gè)人信用信息基礎(chǔ)數(shù)據(jù)庫已于2006年在天津市正式運(yùn)行并開通查詢,目前該系統(tǒng)收錄了天津市6萬多戶借款企業(yè)和 700多萬自然人的基本信息和銀行信用交易信息,可供全市30多家金融機(jī)構(gòu)查詢使用,金融監(jiān)督管理機(jī)構(gòu)、司法部門及其他政府機(jī)構(gòu),根據(jù)相關(guān)法律、法規(guī)的規(guī)定,也可按規(guī)定的程序進(jìn)行查詢。

二、征信系統(tǒng)發(fā)揮的作用及存在的問題

天津市征信系統(tǒng)運(yùn)行以來作用明顯,主要體現(xiàn)在以下幾個(gè)方面:一是有效防范了信用風(fēng)險(xiǎn),提高了商業(yè)銀行信貸資產(chǎn)質(zhì)量。目前,幾乎所有商業(yè)銀行都把查詢征信系統(tǒng)作為審查貸款的必經(jīng)環(huán)節(jié)。通過查詢征信系統(tǒng),商業(yè)銀行可以避免為靠騙貸過日子、惡意逃廢債、信用狀況不佳的借款人發(fā)放貸款,從而有效防范信貸風(fēng)險(xiǎn)。二是促進(jìn)了信貸市場(chǎng)的發(fā)展,擴(kuò)大了信貸范圍。征信系統(tǒng)不僅有利于防止信貸欺詐,降低不良貸款比率,而且在提高審貸效率,方便廣大企業(yè)、個(gè)人借貸,促進(jìn)生產(chǎn)、消費(fèi)等方面也發(fā)揮了重要作用。三是為加強(qiáng)金融監(jiān)管和宏觀調(diào)控,改善金融環(huán)境提供了條件。企業(yè)和個(gè)人征信系統(tǒng),記錄了企業(yè)和個(gè)人最原始的信貸情況和還款記錄,依托該系統(tǒng),按照不同的監(jiān)管和宏觀調(diào)控需要,可以對(duì)信貸市場(chǎng)的狀況進(jìn)行統(tǒng)計(jì)和分析,為有針對(duì)性地加強(qiáng)監(jiān)管、實(shí)現(xiàn)貨幣和信貸政策的微調(diào)創(chuàng)造條件。四是提高了社會(huì)誠(chéng)信水平。征信系統(tǒng)“失信懲戒機(jī)制”作用的發(fā)揮,逐漸改變著企業(yè)和個(gè)人的行為,一些借款人主動(dòng)償還拖欠的貸款,為避免出現(xiàn)不良記錄,按時(shí)履行償還貸款等合同義務(wù)。五是對(duì)社會(huì)穩(wěn)定起到一定作用。實(shí)踐證明,不少企業(yè)和個(gè)人具有過度負(fù)債的沖動(dòng),如果不加約束,可能造成企業(yè)和個(gè)人債務(wù)負(fù)擔(dān)過重,影響企業(yè)和個(gè)人正常經(jīng)營(yíng)和生活,甚至引發(fā)社會(huì)問題。

目前,天津市征信系統(tǒng)的功能還沒有得到充分發(fā)揮,主要表現(xiàn)在:一是人民銀行全國(guó)統(tǒng)一的企業(yè)和個(gè)人信用信息基礎(chǔ)數(shù)據(jù)庫缺失金融機(jī)構(gòu)以外的非銀行信用信息,尚難滿足金融機(jī)構(gòu)全面評(píng)估客戶信用狀況的需要;二是天津市企業(yè)信用信息系統(tǒng)中的大量非銀行信用信息尚未實(shí)現(xiàn)充分利用,其信用信息的社會(huì)價(jià)值有待挖掘。三是部門之間還存在信息分割問題,沒有實(shí)現(xiàn)信用信息的充分共享利用。造成這些問題的主要原因包括:一是我國(guó)缺少信息公開方面的相關(guān)法律規(guī)范,一些政府部門在信息披露和共享方面仍然存在法律方面的顧慮,為避免出現(xiàn)法律糾紛,有些部門選擇了不進(jìn)行信息共享。二是部門間的信息共享機(jī)制尚未建立。企業(yè)和個(gè)人的定位信息和信用信息主要分散在不同的政府部門之間,而部門之間缺乏有效的信息共享、信息交換和信息更新機(jī)制,同時(shí),部門之間的相互協(xié)調(diào)也比較困難。三是部分單位掌握信息的信息管理中心實(shí)行自收自支,如果將其共享,利益分配問題也不容忽視。

為實(shí)現(xiàn)信用數(shù)據(jù)資源與信用數(shù)據(jù)需求的連接,最大限度地發(fā)揮征信系統(tǒng)的社會(huì)價(jià)值,維護(hù)天津市金融穩(wěn)定,推進(jìn)社會(huì)信用體系建設(shè),必須有效解決信息分割問題,暢通信息共享渠道,進(jìn)一步增強(qiáng)征信系統(tǒng)的功能。

三、增強(qiáng)天津市征信系統(tǒng)功能的思路與建議

(一)構(gòu)建信用信息共享機(jī)制,推動(dòng)天津市征信系統(tǒng)的橫向聯(lián)結(jié)

征信系統(tǒng)涉及的信息主要包括基本信息、信貸信息和非銀行信息三大類,其中非銀行信用信息主要涉及工商、稅務(wù)、勞動(dòng)和社會(huì)保障、質(zhì)量技術(shù)監(jiān)督、環(huán)境保護(hù)、民政、公安、法院、房產(chǎn)、住房公積金管理、電信、公用事業(yè)等單位。目前,天津市的信貸信息和部分政府部門信用信息已經(jīng)實(shí)現(xiàn)了部門內(nèi)共享,但信貸信息和政府部門的非銀行信用信息尚存在條塊分割問題,信用數(shù)據(jù)必須進(jìn)一步突破部門和行業(yè)的限制。建議市政府責(zé)成人民銀行和天津市牽頭部門,共同協(xié)調(diào)有關(guān)部門開放數(shù)據(jù),構(gòu)建信用信息共享機(jī)制。同時(shí),為節(jié)約建設(shè)成本,避免重復(fù)投入,可以人民銀行的企業(yè)和個(gè)人信用信息基礎(chǔ)數(shù)據(jù)庫為基礎(chǔ),整合信用信息資源,并提供信用信息服務(wù)。主要依據(jù),一是人民銀行履行著“管理信貸征信業(yè),推動(dòng)建立社會(huì)信用體系”的主要職能;二是人民銀行已經(jīng)有近十年的信用信息基礎(chǔ)數(shù)據(jù)庫建設(shè)和管理經(jīng)驗(yàn);三是與其他部門相比較,人民銀行所掌握的信用信息安全性要求較高,也具有很強(qiáng)的針對(duì)性和系統(tǒng)性,而政府各部門在法律上可以公開的信息,是可以通過人民銀行提供的信息平臺(tái)實(shí)現(xiàn)披露和共享的;四是金融部門是信用信息最主要的應(yīng)用者,人民銀行已經(jīng)建立了連接本地金融機(jī)構(gòu)的金融城域網(wǎng),通過該網(wǎng)絡(luò),信用信息可以直接延伸到金融機(jī)構(gòu)的信貸業(yè)務(wù)網(wǎng)點(diǎn),滿足金融機(jī)構(gòu)防范信貸風(fēng)險(xiǎn)的需要?;谏鲜隹紤],以人民銀行的征信系統(tǒng)為基礎(chǔ)整合信用信息資源并建立信用信息披露的平臺(tái)最具可行性,可以盡快實(shí)現(xiàn)信用信息為金融和天津市經(jīng)濟(jì)發(fā)展服務(wù)。部門間信用信息數(shù)據(jù)共享可以采取多種方式,對(duì)于已經(jīng)建成的征信系統(tǒng),可以通過專線網(wǎng)等方式進(jìn)行橫向連接,對(duì)于數(shù)據(jù)尚未集中的部門,可以通過存儲(chǔ)介質(zhì)報(bào)送、手工直接錄入的方式實(shí)現(xiàn)信息歸集和共享。

(二)暢通信息傳輸渠道,提高信用信息及網(wǎng)絡(luò)資源的使用效率

現(xiàn)階段,信用數(shù)據(jù)的需求主要集中在金融機(jī)構(gòu)、政府部門、金融調(diào)控和監(jiān)管機(jī)構(gòu)。金融機(jī)構(gòu)依據(jù)信用信息判斷借款企業(yè)和個(gè)人的信用狀況,防范信貸風(fēng)險(xiǎn);政府部門和金融監(jiān)管部門依法履行職責(zé)需要查詢企業(yè)和個(gè)人的信用信息;金融宏觀調(diào)控部門依據(jù)征信系統(tǒng)提供的信息,制定和實(shí)施貨幣政策。

考慮到信用信息保密程度的不同和現(xiàn)有的網(wǎng)絡(luò)資源,信息需求方可以通過不同方式享受信息服務(wù),查詢信用信息系統(tǒng):金融機(jī)構(gòu)、金融調(diào)控和監(jiān)管部門可以通過金融城域網(wǎng)采用在線查詢方式。金融機(jī)構(gòu)、金融調(diào)控和監(jiān)管部門在正確登陸網(wǎng)絡(luò)后,可以對(duì)數(shù)據(jù)庫進(jìn)行直接訪問,查詢相關(guān)的信用信息。政府部門可以采用離線查詢方式。政府部門通過電子郵件、傳真、電話等多種方式向征信系統(tǒng)提出信用信息需求,人民銀行數(shù)據(jù)中心業(yè)務(wù)人員對(duì)征信系統(tǒng)進(jìn)行操作查詢,將查詢結(jié)果以文件形式存儲(chǔ)于磁盤、光盤等介質(zhì),或者直接打印輸出,將查詢結(jié)果返回給需求方。

篇8

(一)信息科技支撐不足,信息化戰(zhàn)略風(fēng)險(xiǎn)凸顯目前村鎮(zhèn)銀行支撐業(yè)務(wù)運(yùn)轉(zhuǎn)的信息科技建設(shè)與傳統(tǒng)銀行相比嚴(yán)重落后,難以保證其健康運(yùn)行和快速發(fā)展,形成了村鎮(zhèn)銀行發(fā)展的戰(zhàn)略風(fēng)險(xiǎn)。一是系統(tǒng)支撐能力不足。如漳平民泰村鎮(zhèn)銀行未加入當(dāng)?shù)厝嗣胥y行大小額支付系統(tǒng)和財(cái)稅庫行橫向聯(lián)網(wǎng)系統(tǒng),大量小微企業(yè)因無法進(jìn)行開戶代扣稅等原因只能對(duì)其“望而卻步”,目前該行某些業(yè)務(wù)須借助當(dāng)?shù)嘏d業(yè)銀行的平臺(tái)。二是漳平民泰村鎮(zhèn)銀行無法并入銀聯(lián)銀行卡網(wǎng)絡(luò),無法提供網(wǎng)上銀行服務(wù)等電子化服務(wù)渠道,因此直接“屏蔽”了許多客戶的需求,難以適應(yīng)農(nóng)村信息化建設(shè),滿足深入推進(jìn)和滿足農(nóng)民日益迫切的新興電子化金融服務(wù)和產(chǎn)品的強(qiáng)烈需求。三是信息科技投入不足,一方面部分設(shè)備老化、性能較差,未達(dá)到重要設(shè)備及系統(tǒng)的雙機(jī)備份要求;另一面專業(yè)科技人才稀缺,且技術(shù)水平和實(shí)踐經(jīng)驗(yàn)相對(duì)不足,難以勝任地方特色中間業(yè)務(wù)的開發(fā)運(yùn)維任務(wù)。

(二)信息科技發(fā)展意識(shí)淡薄,治理架構(gòu)不到位一是中小金融機(jī)構(gòu)管理層目前關(guān)注點(diǎn)仍立足利潤(rùn)、收息、不良貸款等傳統(tǒng)經(jīng)濟(jì)效益指標(biāo),對(duì)信息化建設(shè)的潛在效益重視不足,未形成有效的信息科技治理架構(gòu),科學(xué)性、規(guī)范性決策欠缺。二是系統(tǒng)運(yùn)行穩(wěn)定性、安全性較差,部分核心系統(tǒng)剛開發(fā)投入使用不久,需要經(jīng)常進(jìn)行補(bǔ)丁更新和升級(jí),核心數(shù)據(jù)安全無法保障。數(shù)據(jù)備份周期過長(zhǎng)、備份方式落后,備份介質(zhì)存放環(huán)境差且未進(jìn)行異地存放,有些核心數(shù)據(jù)完全依托發(fā)起行備份管理,如個(gè)人和企業(yè)征信業(yè)務(wù)存在數(shù)據(jù)泄密隱患。三是業(yè)務(wù)連續(xù)性風(fēng)險(xiǎn)隱患大。中小金融機(jī)構(gòu)未建立專業(yè)的機(jī)房,科技設(shè)備及系統(tǒng)運(yùn)行整體環(huán)境較差,管理人員為單人,業(yè)務(wù)中斷風(fēng)險(xiǎn)嚴(yán)重。

(三)信息科技對(duì)外依賴性強(qiáng),外包風(fēng)險(xiǎn)突出中小金融機(jī)構(gòu)由于自身科技力量不足,信息化建設(shè)嚴(yán)重依賴外部,從系統(tǒng)開發(fā)上線到運(yùn)行管理維護(hù)等各個(gè)環(huán)節(jié)都依賴發(fā)起行或外包公司的支持。在未與發(fā)起行或外包公司簽訂明確的服務(wù)水平協(xié)議的情況下,普遍缺乏對(duì)發(fā)起行或外包公司科技管理維護(hù)人員的有效制約機(jī)制。外包公司倒閉、服務(wù)響應(yīng)時(shí)間長(zhǎng)等外包風(fēng)險(xiǎn)都對(duì)銀行信息化建設(shè)發(fā)展提出挑戰(zhàn)。

(四)約束機(jī)制不到位,存在操作風(fēng)險(xiǎn)及案件隱患中小金融機(jī)構(gòu)整體科技人員不足,各類約束制約機(jī)制不到位,在信息安全方面普遍存在操作風(fēng)險(xiǎn)及案件隱患。在銀行只有1名兼職科技人員的情況下,信息科技運(yùn)行中存在單人操作現(xiàn)象;同時(shí),科技人員權(quán)限過大,數(shù)據(jù)備份、系統(tǒng)管理、安全管理等職責(zé)集于一身。如漳平民泰村鎮(zhèn)銀行的保衛(wèi)監(jiān)控室與計(jì)算機(jī)房合為一體,這都為操作風(fēng)險(xiǎn)及案件發(fā)生創(chuàng)造了可能性。

(五)信息安全指導(dǎo)和監(jiān)管明顯滯后與中小金融機(jī)構(gòu)信息化高速發(fā)展相比,中小金融機(jī)構(gòu)的信息安全指導(dǎo)和監(jiān)管工作還需要進(jìn)一步加強(qiáng)。首先,人民銀行對(duì)中小金融機(jī)構(gòu)信息安全工作的指導(dǎo)和協(xié)調(diào)職責(zé),與銀監(jiān)部門監(jiān)督檢查內(nèi)容重疊且標(biāo)準(zhǔn)不一,極易造成多頭管理且口徑要求不統(tǒng)一的問題,導(dǎo)致監(jiān)管部門之間分工不明確,在缺乏有效的溝通和協(xié)調(diào)下,易造成中小金融機(jī)構(gòu)間的誤解。其次,中小金融機(jī)構(gòu)與人民銀行之間在信息安全方面缺乏交流機(jī)制,人民銀行對(duì)中小金融機(jī)構(gòu)信息安全措施是否符合規(guī)范缺乏了解,對(duì)中小金融機(jī)構(gòu)信息安全工作缺乏指導(dǎo),造成人民銀行與中小金融機(jī)構(gòu)在信息安全保障方面安全標(biāo)準(zhǔn)不對(duì)稱的局面。

二、政策建議

中小金融機(jī)構(gòu)的設(shè)立和發(fā)展,是推進(jìn)金融深化改革,完善金融組織體系的必由之路。在此過程中,能否處理好信息科技與業(yè)務(wù)發(fā)展的關(guān)系至關(guān)重要,對(duì)此我們提出以下建議。

(一)立足長(zhǎng)遠(yuǎn),以科技驅(qū)動(dòng)業(yè)務(wù)發(fā)展并提升管理水平中小金融機(jī)構(gòu)應(yīng)立足長(zhǎng)遠(yuǎn),在發(fā)展中樹立科技先行的理念,不僅將信息科技作為支撐,而且把它作為引領(lǐng)業(yè)務(wù)實(shí)現(xiàn)跨越式發(fā)展并最終走向成熟的引擎,切實(shí)以科技驅(qū)動(dòng)業(yè)務(wù)發(fā)展并提升管理水平。一是高管層應(yīng)提高對(duì)信息科技的認(rèn)識(shí),理順信息科技與業(yè)務(wù)發(fā)展的關(guān)系。二是加大人財(cái)物投人,長(zhǎng)遠(yuǎn)、科學(xué)合理規(guī)劃信息科技發(fā)展。三是在信息科技方面建章立制,加強(qiáng)執(zhí)行力建設(shè),以規(guī)矩成方圓。

(二)完善中小金融機(jī)構(gòu)信息安全管理機(jī)制中小金融機(jī)構(gòu)應(yīng)建立和完善信息安全管理的組織架構(gòu),明確部門和崗位職責(zé),形成分工合理、職責(zé)明確、相互制衡的信息安全組織架構(gòu);應(yīng)制訂符合總體業(yè)務(wù)發(fā)展的信息安全運(yùn)行規(guī)劃,確保配置足夠的人力、物力、財(cái)力,維持穩(wěn)定、安全的信息安全環(huán)境;應(yīng)制訂全面的信息安全管理策略,包括信息分級(jí)與保護(hù)、運(yùn)行和維護(hù)、訪問控制、物理安全、人員安全以及外包管理機(jī)制等;應(yīng)強(qiáng)化運(yùn)維體系建設(shè),完善運(yùn)維管理流程,明確運(yùn)維管理標(biāo)準(zhǔn),并且針對(duì)目前中小金融機(jī)構(gòu)信息系統(tǒng)的開發(fā)、建設(shè)和運(yùn)維依靠外包服務(wù)的趨勢(shì),應(yīng)建立健全科技外包管理制度,積極防范外包服務(wù)風(fēng)險(xiǎn),規(guī)范服務(wù)商的服務(wù)標(biāo)準(zhǔn)和流程;應(yīng)建立持證上崗制度,加強(qiáng)中小金融機(jī)構(gòu)信息安全工作人員培訓(xùn),在信息安全崗位設(shè)置上要滿足信息安全工作的需要,信息安全工作人員應(yīng)考取相關(guān)上崗資格證后方能上崗;應(yīng)建立信息安全考核評(píng)價(jià)機(jī)制和獎(jiǎng)懲制度,出臺(tái)考核辦法,并對(duì)信息安全工作進(jìn)行評(píng)價(jià),有效落實(shí)信息安全責(zé)任制和問責(zé)制。

(三)引導(dǎo)中小金融機(jī)構(gòu)加強(qiáng)等級(jí)保護(hù)工作金融信息安全體系的構(gòu)建必須建立在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上。信息安全等級(jí)保護(hù)能夠有效提高信息以及金融信息安全體系建設(shè)的整體水平,為金融信息安全體系的構(gòu)建提供系統(tǒng)性、針對(duì)性、可行性的指導(dǎo)和服務(wù),有效控制信息安全建設(shè)成本,優(yōu)化信息安全資源的配置。一是根據(jù)《信息安全等級(jí)保護(hù)管理辦法》和《金融行業(yè)信息系統(tǒng)信息安全等級(jí)保護(hù)實(shí)施指引》,加大中小金融機(jī)構(gòu)等級(jí)保護(hù)工作的開展力度,做好等級(jí)保護(hù)評(píng)估工作。二是當(dāng)?shù)厝嗣胥y行應(yīng)根據(jù)中小金融機(jī)構(gòu)的特點(diǎn),建立切實(shí)可行的中小金融機(jī)構(gòu)信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)和監(jiān)管措施,對(duì)中小金融機(jī)構(gòu)的系統(tǒng)風(fēng)險(xiǎn)和操作風(fēng)險(xiǎn)進(jìn)行分類,對(duì)其信息系統(tǒng)安全定級(jí)過程與結(jié)果進(jìn)行審核監(jiān)督。三是人民銀行應(yīng)與公安部門、金融監(jiān)管部門建立協(xié)調(diào)檢查機(jī)制,適時(shí)組織對(duì)中小金融機(jī)構(gòu)等級(jí)保護(hù)工作開展情況進(jìn)行檢查,加強(qiáng)信息安全等級(jí)保護(hù)制度在中小金融機(jī)構(gòu)中的有效落實(shí)。

篇9

區(qū)域信息生態(tài)系統(tǒng)是一個(gè)具有多樣性、復(fù)雜性的有機(jī)系統(tǒng)。近幾年來,我國(guó)許多區(qū)域的信息污染、信息壟斷、信息超載、信息孤島、信息侵犯、網(wǎng)絡(luò)安全等問題較為嚴(yán)重。加深對(duì)區(qū)域信息生態(tài)系統(tǒng)及服務(wù)體系的研究,有利于其保持良性運(yùn)行,也有助于信息生產(chǎn)和消費(fèi)之間的平衡,完善媒體信息資源公益性開發(fā)機(jī)制。

區(qū)域信息生態(tài)系統(tǒng)概念模型

區(qū)域信息生態(tài)系統(tǒng)是一個(gè)在某一地區(qū)信息生態(tài)循環(huán)中,由信息人、信息和信息環(huán)境三大要素及其內(nèi)部各生態(tài)因子組成的動(dòng)態(tài)而開放的系統(tǒng)。其中,信息人不僅包括參與信息活動(dòng)的單個(gè)個(gè)體,也包括從事信息工作的政府、媒體機(jī)構(gòu)、民間團(tuán)體、行業(yè)協(xié)會(huì)、社區(qū)等,這是信息生態(tài)系統(tǒng)的核心。其參與信息活動(dòng)是使生態(tài)系統(tǒng)維持“平衡失衡平衡”螺旋式上升的主導(dǎo)力量。信息主要指區(qū)域內(nèi)所有的數(shù)據(jù)資源,也包括與之相關(guān)的區(qū)域外信息資源,其具有價(jià)值性、時(shí)效性、傳遞性、可處理性、服務(wù)性、共享性、增值性等特征。信息環(huán)境涵蓋信息基礎(chǔ)設(shè)施、信息資源、信息技術(shù)、信息政策與法規(guī)等,其中,信息技術(shù)是獲取、傳遞、處理、存儲(chǔ)、再生和利用信息的主導(dǎo)因子,包括計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、感測(cè)技術(shù)、自動(dòng)控制技術(shù)、數(shù)據(jù)庫技術(shù)和多媒體技術(shù),以及由這些技術(shù)分解出的其他相關(guān)技術(shù)。區(qū)域信息生態(tài)系統(tǒng)內(nèi)部各生態(tài)因子之間相互聯(lián)系、相互作用、相互依存、共生共進(jìn)。在系統(tǒng)中,信息人、信息與信息環(huán)境之間存在著動(dòng)態(tài)的相互適應(yīng)過程,持續(xù)的動(dòng)態(tài)適應(yīng)過程維持著系統(tǒng)的有序平衡。

基于上述認(rèn)知,本課題建立了區(qū)域信息生態(tài)系統(tǒng)的概念模型(如下頁圖1)。

在系統(tǒng)中,信息人是生態(tài)的主體,信息資源是生態(tài)的客體,信息環(huán)境不僅是生態(tài)的背景和場(chǎng)所,而且是所有與信息相互關(guān)聯(lián)的外部因素之和。信息人從其所處的信息環(huán)境中獲取與利用信息資源,又發(fā)揮自己的能動(dòng)性通過實(shí)踐活動(dòng)改造信息環(huán)境,從而實(shí)現(xiàn)不斷變化的目標(biāo)。事實(shí)上,信息社會(huì)是以信息的收集、開發(fā)、傳播、利用為主要特征的,信息作用的發(fā)揮必須借助于信息技術(shù),同時(shí)也由于信息技術(shù)的進(jìn)步促進(jìn)信息生態(tài)系統(tǒng)的改善。信息人通過一定的信息技術(shù)與外界信息環(huán)境之間進(jìn)行信息交換,構(gòu)成了一個(gè)信息生態(tài)循環(huán)。

區(qū)域信息生態(tài)系統(tǒng)服務(wù)體系構(gòu)建

本課題構(gòu)建的區(qū)域信息生態(tài)系統(tǒng)服務(wù)體系框架,包括四大平臺(tái)和兩大體系(如圖2)。

四大平臺(tái)包括:1.數(shù)字政府。改革政府行政管理方式,建設(shè)統(tǒng)一的政務(wù)網(wǎng)絡(luò)平臺(tái)。通過網(wǎng)上審批、網(wǎng)上審計(jì)、網(wǎng)上、網(wǎng)上監(jiān)督考核等多種信息技術(shù)手段,降低行政成本,提高行政效能,實(shí)現(xiàn)網(wǎng)上互動(dòng);建設(shè)完善一批重點(diǎn)業(yè)務(wù)下臺(tái),并將以傳統(tǒng)載體保存的政務(wù)信息資源數(shù)字化、網(wǎng)絡(luò)化。2.數(shù)字企業(yè)。以建設(shè)區(qū)域先進(jìn)制造業(yè)基地為目標(biāo),加快信息化帶動(dòng)工業(yè)化,提升產(chǎn)業(yè)集群、企業(yè)及產(chǎn)品信息化水平,加強(qiáng)自主創(chuàng)新,掌握信息化核心技術(shù),從而促進(jìn)企業(yè)生產(chǎn)經(jīng)營(yíng)和管理方式變革。3.數(shù)字城市。圍繞著如何提高城市綜合管理能力和公共服務(wù)水平這個(gè)目標(biāo),完善城市信息基礎(chǔ)設(shè)施建設(shè),發(fā)展技術(shù)含量高、關(guān)聯(lián)度大的現(xiàn)代服務(wù)行業(yè),促進(jìn)政府公共管理、社會(huì)公共服務(wù)和便民商業(yè)服務(wù)的融合。同時(shí)注重?cái)?shù)字圖書館建設(shè)。4.數(shù)字新農(nóng)村。為了增強(qiáng)服務(wù)“三農(nóng)”的能力,在農(nóng)村建立信息網(wǎng)絡(luò)服務(wù)體系,加快現(xiàn)代農(nóng)業(yè)信息技術(shù)應(yīng)用,并積極開展農(nóng)業(yè)信息技術(shù)培訓(xùn)服務(wù),不斷提高農(nóng)民信息應(yīng)用技能,切實(shí)加強(qiáng)農(nóng)戶、農(nóng)村合作社與企業(yè)的聯(lián)系,促進(jìn)農(nóng)產(chǎn)品的銷售、深加工,提高農(nóng)民收入。

兩大體系包括:1.信息安全體系。在各級(jí)政府有關(guān)部門的統(tǒng)一領(lǐng)導(dǎo)下,根據(jù)國(guó)家有關(guān)信息安全的法律法規(guī),建立起信息安全監(jiān)管機(jī)制及其保障體系。有關(guān)人員要提高對(duì)電子政務(wù)、電子商務(wù)、信息資源開發(fā)利用、信息服務(wù)、信息市場(chǎng)、資源共享等方面的安全風(fēng)險(xiǎn)管控能力,強(qiáng)化等級(jí)保護(hù)和風(fēng)險(xiǎn)評(píng)估,使得信息安全管理更加科學(xué)有效。2.社會(huì)誠(chéng)信體系。建立涉及社會(huì)諸多領(lǐng)域的信用信息記錄、信用產(chǎn)品使用、守信受益及失信懲戒的信用制度,形成各部門協(xié)同推進(jìn)、社會(huì)和企業(yè)廣泛參與的誠(chéng)信工作格局;誠(chéng)信體系覆蓋信用服務(wù)產(chǎn)業(yè)鏈各個(gè)環(huán)節(jié),包括社會(huì)信用制度建設(shè)、信用服務(wù)體系建設(shè)、個(gè)人信用聯(lián)合征信系統(tǒng)、企業(yè)聯(lián)合征信系統(tǒng)和信用服務(wù)行業(yè)協(xié)會(huì)等。

篇10

〔關(guān)鍵詞〕供應(yīng)鏈系統(tǒng);情報(bào)泄密;機(jī)理;信息安全;反競(jìng)爭(zhēng)情報(bào)

〔Abstract〕The paper,from the perspective of the counterintelligence technical support system,constructed the supply chain information security system model from such five parts as the information security decision center,the information security counterintelligence center,the network counterintelligence system supported by the honeynet technology,the human intelligence network system and the integrated supply chain information system;combed the security hidden danger of information security system in supply chain;and explored the path of the supply chain system information leakage to find that the ineffective supervision of information security governance process caused the leakage of supply chain system information,information security policy management lags behind the information security needs of the supply chain system,the feature of the double edged sword of the honeynet technology threatened the security of the network countercompetitive intelligence system,the human intelligence network with high maintenance cost and the regulatory difficulties had become the supply chain system security short board,and the security vulnerabilities of integrated information system in supply chain was the basis of competitive intelligence.

〔Key words〕supply chain system;information leakage;mechanism;information security;counterintelligence

S著網(wǎng)絡(luò)和信息技術(shù)的發(fā)展,閉環(huán)的企業(yè)內(nèi)部信息管理模式逐步為開放的供應(yīng)鏈集成化信息管理模式所取代。當(dāng)供應(yīng)鏈成員通過開放的互聯(lián)網(wǎng)來實(shí)現(xiàn)遠(yuǎn)程交互訪問、進(jìn)行信息共享時(shí),這種開放的網(wǎng)絡(luò)系統(tǒng)給需要高度保密的敏感情報(bào)如企業(yè)內(nèi)部的生產(chǎn)、銷售訂單、合作企業(yè)的生產(chǎn)進(jìn)度、企業(yè)間的資金轉(zhuǎn)帳、招投標(biāo)信息等,帶來了很多安全隱患,從而威脅到整個(gè)供應(yīng)鏈系統(tǒng)的信息安全。Sindhuja P N和Anand SKunnathur建議從管理控制的角度看,有必要對(duì)全球供應(yīng)鏈中的各類組織的信息安全紀(jì)律進(jìn)行全覆蓋[1];Ramesh Kolluru和Paul HMeredith發(fā)現(xiàn)供應(yīng)鏈合作伙伴之間的不同類型的數(shù)據(jù)共享需求需要不同層次的安全性[2];Peter Finch指出當(dāng)公司暴露于組織間網(wǎng)絡(luò)時(shí),開展風(fēng)險(xiǎn)評(píng)估以及需要考慮業(yè)務(wù)連續(xù)性規(guī)劃的重要性[3];Zachary Williams等人通過定性研究,發(fā)現(xiàn)存在4個(gè)主要的供應(yīng)鏈安全的驅(qū)動(dòng)因素,即政府、顧客、競(jìng)爭(zhēng)者和社會(huì)[4];蔣魯寧認(rèn)為信息安全供應(yīng)鏈的安全涉及4個(gè)方面,即信息安全供給基礎(chǔ)、信息安全產(chǎn)品(包括信息安全服務(wù))過程,信息安全能力形成過程以及對(duì)這些過程的安全確認(rèn)[5];劉丹則認(rèn)為供應(yīng)鏈信息系統(tǒng)的安全涉及從粗到細(xì)的4個(gè)層面:系統(tǒng)級(jí)安全、程序資源訪問控制安全、功能性安全和數(shù)據(jù)域安全[6];齊源選擇了信息共享內(nèi)容風(fēng)險(xiǎn)、委托-風(fēng)險(xiǎn)、管理風(fēng)險(xiǎn)、成本增加風(fēng)險(xiǎn)以及技術(shù)風(fēng)險(xiǎn)等5大預(yù)警指標(biāo),構(gòu)建了基于第三方及GAHP的供應(yīng)鏈信息共享風(fēng)險(xiǎn)預(yù)警系統(tǒng)[7];董紹輝等認(rèn)為,供應(yīng)鏈信息泄露的途徑包括供應(yīng)鏈上游企業(yè)、下游企業(yè)、獨(dú)立第三方以及供應(yīng)鏈管理系統(tǒng)等4個(gè)方面[8];宋偉等提出通過接入中間件,在內(nèi)、外系統(tǒng)之間進(jìn)行必要的安全隔離,從而提高整個(gè)供應(yīng)鏈協(xié)同系統(tǒng)的魯棒性和抗攻擊能力[9];李劍鋒等提出了由信息安全治理、信息安全管理、基礎(chǔ)安全服務(wù)和架構(gòu)、第三方信息安全服務(wù)與認(rèn)證機(jī)構(gòu)和供應(yīng)鏈信息安全技術(shù)標(biāo)準(zhǔn)體系5個(gè)部分構(gòu)成的供應(yīng)鏈信息安全體系框架[10]。上述研究表明,雖然國(guó)內(nèi)外學(xué)者對(duì)于供應(yīng)鏈系統(tǒng)的信息安全問題高度關(guān)注,從供應(yīng)鏈信息安全的內(nèi)容、影響因素、風(fēng)險(xiǎn)評(píng)估、泄密途徑、體系框架到防范措施等方面都作了較為深入的研究,但是在供應(yīng)鏈信息安全系統(tǒng)的泄密源排查、泄密原因分析、泄密路徑梳理等問題上缺乏深入的研究。本文擬從供應(yīng)鏈反競(jìng)爭(zhēng)情報(bào)技術(shù)系統(tǒng)視角構(gòu)建供應(yīng)鏈信息安全系統(tǒng)模型,站在競(jìng)爭(zhēng)對(duì)手的立場(chǎng)上審視供應(yīng)鏈信息安全系統(tǒng)存在的安全隱患,進(jìn)而研究供應(yīng)鏈系統(tǒng)情報(bào)為何泄密、如何泄密、怎樣泄密的內(nèi)在機(jī)理,促使供應(yīng)鏈系統(tǒng)各參與方高度重視情報(bào)泄密的防控問題,避免或減少敏感信息情報(bào)的泄密。

1反競(jìng)爭(zhēng)情報(bào)技術(shù)系統(tǒng)視角的供應(yīng)鏈信息安全系統(tǒng)模型的構(gòu)建供應(yīng)鏈信息安全系統(tǒng)的構(gòu)建應(yīng)重點(diǎn)研究敵意侵害方的競(jìng)爭(zhēng)情報(bào)系統(tǒng),梳理出供應(yīng)鏈系統(tǒng)可能存在的信息安全隱患,從反競(jìng)爭(zhēng)情報(bào)技術(shù)系統(tǒng)視角來構(gòu)建供應(yīng)鏈信息安全系統(tǒng)模型。一般而言,敵意侵害方的一個(gè)完善的競(jìng)爭(zhēng)情報(bào)系統(tǒng)由競(jìng)爭(zhēng)情報(bào)中心以及組織網(wǎng)絡(luò)、人際網(wǎng)絡(luò)和信息網(wǎng)絡(luò)組成[11]的“一中心三W絡(luò)”的組織構(gòu)架。競(jìng)爭(zhēng)情報(bào)中心是整個(gè)競(jìng)爭(zhēng)情報(bào)工作的中樞,它是為企業(yè)競(jìng)爭(zhēng)情報(bào)決策提供信息資源支持;組織網(wǎng)絡(luò)是企業(yè)競(jìng)爭(zhēng)情報(bào)工作的平臺(tái),它保障了競(jìng)爭(zhēng)情報(bào)系統(tǒng)的協(xié)調(diào)一致;人際網(wǎng)絡(luò)是企業(yè)競(jìng)爭(zhēng)情報(bào)重要的隱性情報(bào)源,它是收集、分析情報(bào)乃至影響對(duì)手決策的一個(gè)有效路徑;信息網(wǎng)絡(luò)涉及企業(yè)的內(nèi)網(wǎng)與外網(wǎng)平臺(tái),通過管理信息系統(tǒng)整合與完善企業(yè)的競(jìng)爭(zhēng)情報(bào)功能[12]。因此,供應(yīng)鏈信息安全系統(tǒng)的構(gòu)建應(yīng)充分考慮敵意侵害方的“一中心三網(wǎng)絡(luò)”的競(jìng)爭(zhēng)情報(bào)系統(tǒng)組織構(gòu)架,科學(xué)設(shè)計(jì)自身的信息安全系統(tǒng)。研究認(rèn)為,供應(yīng)鏈信息安全系統(tǒng)應(yīng)由5部分組成,即信息安全決策中心、信息安全反競(jìng)爭(zhēng)情報(bào)中心、供應(yīng)鏈集成化信息系統(tǒng)、蜜網(wǎng)技術(shù)支持的網(wǎng)絡(luò)反競(jìng)爭(zhēng)情報(bào)系統(tǒng)、人際情報(bào)網(wǎng)絡(luò)系統(tǒng),如圖1所示。

11信息安全決策中心

信息安全決策中心是供應(yīng)鏈信息安全系統(tǒng)的中樞,統(tǒng)籌協(xié)調(diào)涉及供應(yīng)鏈系統(tǒng)信息安全治理的重大問題;研究制定供應(yīng)鏈系統(tǒng)信息安全發(fā)展戰(zhàn)略、總體規(guī)劃和重大信息安全政策的協(xié)調(diào);推動(dòng)供應(yīng)鏈系統(tǒng)信息安全的制度化建設(shè),不斷增強(qiáng)供應(yīng)鏈系統(tǒng)信息安全治理能力。

信息安全決策中心接收來自信息安全反競(jìng)爭(zhēng)情報(bào)中心的經(jīng)過處理的各類信息情報(bào),作為信息安全決策的基礎(chǔ)和依據(jù)。同時(shí),信息安全決策中心制定的信息安全戰(zhàn)略、總體規(guī)劃和重大信息安全政策等經(jīng)由信息安全反競(jìng)爭(zhēng)情報(bào)中心具體化為信息安全戰(zhàn)術(shù)決策,作為信息安全反競(jìng)爭(zhēng)情報(bào)中心各子系統(tǒng)行動(dòng)的指南。

12信息安全反競(jìng)爭(zhēng)情報(bào)中心

反競(jìng)爭(zhēng)情報(bào)中心是企業(yè)反競(jìng)爭(zhēng)情報(bào)技術(shù)支持系統(tǒng)的中樞,由反競(jìng)爭(zhēng)情報(bào)收集子系統(tǒng)、反競(jìng)爭(zhēng)情報(bào)分析子系統(tǒng)和反競(jìng)爭(zhēng)情報(bào)服務(wù)子系統(tǒng)等3部分組成,負(fù)責(zé)供應(yīng)鏈信息安全系統(tǒng)的安全管理工作,如圖2所示。

反競(jìng)爭(zhēng)情報(bào)中心對(duì)來自蜜網(wǎng)技術(shù)支持的網(wǎng)絡(luò)反競(jìng)爭(zhēng)情報(bào)系統(tǒng)和人際情報(bào)網(wǎng)絡(luò)的各類信息進(jìn)行收集、整理、分析,進(jìn)而實(shí)施相應(yīng)的信息安全策略管理:對(duì)可能引起安全事件的關(guān)鍵信息及其來源開展危害性評(píng)估并發(fā)出危機(jī)預(yù)警;對(duì)已造成實(shí)質(zhì)性危害的信息安全事件作出應(yīng)急響應(yīng),堵塞信息安全漏洞,努力減輕信息安全事件對(duì)供應(yīng)鏈系統(tǒng)造成的損失;對(duì)信息安全方面的例外問題,及時(shí)上報(bào)信息安全決策中心,由高層決策者們進(jìn)行非程序化決策。

13蜜網(wǎng)技術(shù)支持的網(wǎng)絡(luò)反競(jìng)爭(zhēng)情報(bào)系統(tǒng)

近年來,作為一種新型防御技術(shù)出現(xiàn)的蜜網(wǎng)(Honeynet)在檢測(cè)、捕獲和控制網(wǎng)絡(luò)攻擊方面具有獨(dú)特的優(yōu)勢(shì)。蜜網(wǎng)由數(shù)據(jù)流重定向器與蜜網(wǎng)環(huán)境兩部分組成的,該網(wǎng)絡(luò)置于防火墻系統(tǒng)之后,所有進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)都會(huì)通過這里,并可以捕獲控制這些數(shù)據(jù)[13],如圖3所示。蜜網(wǎng)(Honeynet)包含一個(gè)或多個(gè)蜜罐(Honey Pot),這種蜜罐(Honey Pot)是專門用來吸引敵意入侵者進(jìn)行攻擊的陷阱。當(dāng)入侵者試圖針對(duì)供應(yīng)鏈節(jié)點(diǎn)企業(yè)開展競(jìng)爭(zhēng)情報(bào)活動(dòng)時(shí),往往直奔企業(yè)需要高度保密的敏感情報(bào)如企業(yè)內(nèi)部的生產(chǎn)、銷售訂單、合作企業(yè)的生產(chǎn)進(jìn)度、企業(yè)間的資金轉(zhuǎn)帳、招投標(biāo)信息等,而蜜網(wǎng)(Honeynet)中的網(wǎng)絡(luò)應(yīng)用程序恰恰以這些敏感情報(bào)來命名,這樣入侵者就會(huì)立刻現(xiàn)行。反競(jìng)爭(zhēng)情報(bào)中心就可以根據(jù)這些被捕獲的資料來分析判斷入侵者所使用的工具、方法及動(dòng)機(jī),進(jìn)而建議信息安全決策中心采取反制措施。

14人際情報(bào)網(wǎng)絡(luò)系統(tǒng)

人際情報(bào)網(wǎng)絡(luò)系統(tǒng)是應(yīng)情報(bào)活動(dòng)的需要而構(gòu)建的一種人際網(wǎng)絡(luò),是情報(bào)從業(yè)者獲取、分析和傳播非公開信息和隱性知識(shí)的重要平臺(tái)[14]。供應(yīng)鏈信息安全系統(tǒng)的人際情報(bào)網(wǎng)絡(luò)分為節(jié)點(diǎn)企業(yè)外部人際情報(bào)網(wǎng)絡(luò)和節(jié)點(diǎn)企業(yè)內(nèi)部人際情報(bào)網(wǎng)絡(luò),如圖4所示。

節(jié)點(diǎn)企業(yè)外部人際情報(bào)網(wǎng)絡(luò)主要包括供應(yīng)商、分銷商、包括中介機(jī)構(gòu)、行業(yè)協(xié)會(huì)、物流服務(wù)企業(yè)、消費(fèi)者組織、新聞?dòng)浾叩仍趦?nèi)的第三方機(jī)構(gòu)、競(jìng)爭(zhēng)對(duì)手、最終消費(fèi)者等,節(jié)點(diǎn)企業(yè)內(nèi)部人際情報(bào)網(wǎng)絡(luò)主要由企業(yè)內(nèi)部各層級(jí)的管理人員和各部門的員工組成。

15供應(yīng)鏈集成化信息系統(tǒng)

供應(yīng)鏈集成化信息系統(tǒng)是各節(jié)點(diǎn)企業(yè)內(nèi)部供應(yīng)鏈與外部合作伙伴(如供應(yīng)商、分銷商、中介機(jī)構(gòu)以及行業(yè)協(xié)會(huì)、消費(fèi)者組織、新聞?dòng)浾叩鹊谌綑C(jī)構(gòu))集成起來的一個(gè)供應(yīng)網(wǎng)鏈,是整個(gè)供應(yīng)鏈信息安全系統(tǒng)的基礎(chǔ)信息平臺(tái)。供應(yīng)鏈各節(jié)點(diǎn)通過高速數(shù)據(jù)專用線連接到Internet骨干網(wǎng)中,通過路由器與自己的Intranet相連,再由Intranet內(nèi)主機(jī)或服務(wù)器為其內(nèi)部各部門提供存取服務(wù),如圖5所示。

供應(yīng)鏈集成化信息系統(tǒng)是升級(jí)版的企業(yè)間信息系統(tǒng),為企業(yè)內(nèi)部的信息系統(tǒng)提供與外部供應(yīng)鏈各節(jié)點(diǎn)的很好的接口,它實(shí)現(xiàn)了供應(yīng)鏈合作伙伴間的信息交互與信息共享,消除了企業(yè)間傳統(tǒng)的信息隔離狀態(tài)。除信息集成外,供應(yīng)鏈集成化信息系統(tǒng)還可以通過競(jìng)爭(zhēng)情報(bào)的檢測(cè),篩選出數(shù)據(jù)流中的競(jìng)爭(zhēng)情報(bào)信息流,將正常業(yè)務(wù)流與競(jìng)爭(zhēng)情報(bào)信息流分開,從而實(shí)現(xiàn)了供應(yīng)鏈信息系統(tǒng)的功能集成。

2供應(yīng)鏈信息安全系統(tǒng)的安全隱患梳理

21信息安全決策中心安全隱患梳理

作為整個(gè)供應(yīng)鏈信息安全系統(tǒng)的中樞,信息安全決策中心一旦發(fā)生泄密事件,必將對(duì)供應(yīng)鏈系統(tǒng)信息安全治理工作帶來重大安全隱患。信息安全決策中心可能存在的安全隱患大體涉及高管泄密以及信息安全治理過程中的情報(bào)泄密兩個(gè)方面。信息安全決策中心的高管泄密專指參與供應(yīng)鏈系統(tǒng)信息安全治理工作的高管惡意或非惡意地泄露涉及供應(yīng)鏈系統(tǒng)信息安全治理問題的決策信息。惡意泄密往往發(fā)生在對(duì)公司不滿或有預(yù)謀離職的高管身上,非惡意泄露往往因?yàn)槿狈ω?zé)任心、安全防范意識(shí)淡薄、公司對(duì)高管的放任等原因造成的。

信息安全治理過程中的情報(bào)泄密可能發(fā)生在信息安全決策中心制定信息安全戰(zhàn)略、總體規(guī)劃和重大信息安全政策等的醞釀、起草、征詢意見、方案評(píng)估、方案試行前的各個(gè)階段。因?yàn)闀r(shí)間跨度長(zhǎng)、涉及面廣、牽涉人員多等原因,信息安全治理過程中的情報(bào)泄密問題更加難以控制。

22信息安全反競(jìng)爭(zhēng)情報(bào)中心安全隱患梳理

信息安全反競(jìng)爭(zhēng)情報(bào)中心的安全隱患主要源于反競(jìng)爭(zhēng)情報(bào)收集子系統(tǒng)、反競(jìng)爭(zhēng)情報(bào)分析子系統(tǒng)和反競(jìng)爭(zhēng)情報(bào)服務(wù)子系統(tǒng)之間業(yè)務(wù)上的協(xié)調(diào)不夠以及各自功能的發(fā)揮不夠充分。具體表現(xiàn)為:其一,信息安全反競(jìng)爭(zhēng)情報(bào)中心各子系統(tǒng)的協(xié)調(diào)不夠,導(dǎo)致信息的收集、整理、分析、存儲(chǔ)以及上報(bào)不夠及時(shí);其二,反競(jìng)爭(zhēng)情報(bào)收集子系統(tǒng)忽視了可能引起安全事件的P鍵信息;第三,反競(jìng)爭(zhēng)情報(bào)分析子系統(tǒng)對(duì)可能引起安全事件的關(guān)鍵信息及其來源的危害性認(rèn)識(shí)不足;第四,反競(jìng)爭(zhēng)情報(bào)服務(wù)子系統(tǒng)未能及時(shí)就信息安全方面的例外問題上報(bào)信息安全決策中心。

23蜜網(wǎng)技術(shù)支持的網(wǎng)絡(luò)反競(jìng)爭(zhēng)情報(bào)系統(tǒng)安全隱患梳理蜜網(wǎng)技術(shù)的應(yīng)用使得網(wǎng)絡(luò)反競(jìng)爭(zhēng)情報(bào)系統(tǒng)在收集敵意侵害方的攻擊信息、保護(hù)供應(yīng)鏈信息系統(tǒng)情報(bào)、發(fā)現(xiàn)內(nèi)網(wǎng)中可能存在的安全漏洞等方面具有重要作用,但同時(shí)蜜網(wǎng)技術(shù)是一把雙刃劍,也會(huì)給網(wǎng)絡(luò)反競(jìng)爭(zhēng)情報(bào)系統(tǒng)帶來安全隱患:其一,使網(wǎng)絡(luò)反競(jìng)爭(zhēng)情報(bào)系統(tǒng)遭受更多的攻擊,交互的程度越高,模擬得越像,供應(yīng)鏈系統(tǒng)陷入危險(xiǎn)的概率就越大;其二,模擬服務(wù)的軟件存在問題,也會(huì)產(chǎn)生新的漏洞;其三,敵意侵害方若取得Root權(quán)限,便可以自由存取目標(biāo)機(jī)上的數(shù)據(jù),然后利用已有資源繼續(xù)攻擊其它機(jī)器;第四,虛擬蜜網(wǎng)的引入使得架設(shè)蜜網(wǎng)的代價(jià)大幅降低,便于部署和管理,但同時(shí)也帶來更大的風(fēng)險(xiǎn),敵意侵害方有可能識(shí)別出虛擬操作系統(tǒng)軟件的指紋,也可能攻破虛擬操作系統(tǒng)軟件從而獲得整個(gè)蜜網(wǎng)的控制權(quán)。

24人際情報(bào)網(wǎng)絡(luò)系統(tǒng)安全隱患梳理

隨著供應(yīng)鏈共享信息平臺(tái)的建設(shè)以及信息交互、信息共享水平的不斷提升,人際情報(bào)網(wǎng)絡(luò)系統(tǒng)的安全隱患問題愈加突出:首先,供應(yīng)鏈共享信息平臺(tái)為供應(yīng)鏈節(jié)點(diǎn)企業(yè)外部人際情報(bào)網(wǎng)絡(luò)和節(jié)點(diǎn)企業(yè)內(nèi)部人際情報(bào)網(wǎng)絡(luò)提供了功能強(qiáng)大的信息溝通平臺(tái),網(wǎng)絡(luò)虛擬空間中的復(fù)雜人際關(guān)系增添了信息情報(bào)泄露的可能;其次,敵意競(jìng)爭(zhēng)情報(bào)方可以利用共享信息平臺(tái)中的人際情報(bào)網(wǎng)絡(luò),繞開供應(yīng)鏈系統(tǒng)的防火墻,進(jìn)入專用網(wǎng)絡(luò)內(nèi)部,更便于其競(jìng)爭(zhēng)情報(bào)工作的開展;再者,傳統(tǒng)的人際情報(bào)網(wǎng)絡(luò)泄密仍然在發(fā)揮其獨(dú)特的作用,敵意競(jìng)爭(zhēng)情報(bào)方可以利用接待或訪問節(jié)點(diǎn)企業(yè)、欺騙、引誘和拉攏節(jié)點(diǎn)企業(yè)關(guān)鍵崗位人員及關(guān)聯(lián)人員、通過關(guān)聯(lián)第三方等渠道,獲取供應(yīng)鏈系統(tǒng)的敏感信息情報(bào)。

25供應(yīng)鏈集成化信息系統(tǒng)安全隱患梳理

供應(yīng)鏈集成化信息系統(tǒng)在實(shí)現(xiàn)供應(yīng)鏈合作伙伴間的信息交互與信息共享的同時(shí),也為敵意侵害方的競(jìng)爭(zhēng)情報(bào)工作提供了機(jī)會(huì)。供應(yīng)鏈集成化信息系統(tǒng)安全隱患可能存在以下3個(gè)環(huán)節(jié)中:其一,敵意侵害方成功地避開了供應(yīng)鏈集成化信息系統(tǒng)的競(jìng)爭(zhēng)情報(bào)檢測(cè);其二,數(shù)據(jù)流重定向器未能篩選出數(shù)據(jù)流中的競(jìng)爭(zhēng)情報(bào)信息流,將競(jìng)爭(zhēng)情報(bào)信息流誤認(rèn)為正常業(yè)務(wù)流;其三,Intranet內(nèi)主機(jī)或服務(wù)器為競(jìng)爭(zhēng)情報(bào)方提供信息存取服務(wù),就會(huì)造成供應(yīng)鏈系統(tǒng)關(guān)鍵信息情報(bào)的泄密。

3供應(yīng)鏈系統(tǒng)情報(bào)泄密的路徑分析

31信息安全治理過程監(jiān)管不力造成供應(yīng)鏈系統(tǒng)情報(bào)泄密信息安全決策中心安全隱患之一在于信息安全治理過程中的情報(bào)泄密。由于情報(bào)泄密可能發(fā)生在信息安全決策中心制定信息安全戰(zhàn)略、總體規(guī)劃和重大信息安全政策等的醞釀、起草、征詢意見、方案評(píng)估、方案試行前的各個(gè)階段,因此,信息安全治理工作需要統(tǒng)籌規(guī)劃,點(diǎn)面結(jié)合,齊抓共管。既要制定好信息安全治理工作的總體預(yù)案,又要有分階段的詳細(xì)應(yīng)對(duì)計(jì)劃。對(duì)參與信息安全治理工作的部門和人員(包括高管在內(nèi))實(shí)行全流程、全員備案制,從制度上堵塞安全漏洞。

32信息安全策略管理工作滯后于供應(yīng)鏈系統(tǒng)信息安全的需要信息安全反競(jìng)爭(zhēng)情報(bào)中心的安全隱患主要源于信息安全策略管理工作不能滿足供應(yīng)鏈系統(tǒng)信息安全的需要。具體表現(xiàn)為:信息安全反競(jìng)爭(zhēng)情報(bào)中心組織協(xié)調(diào)工作不夠,各子系統(tǒng)不能形成合力,導(dǎo)致信息安全管理工作滯后;對(duì)可能引起安全事件的關(guān)鍵信息及其來源的危害性認(rèn)識(shí)不足,未能及時(shí)發(fā)出危機(jī)預(yù)警信號(hào);對(duì)已造成實(shí)質(zhì)性危害的信息安全事件未能作出及時(shí)響應(yīng)或應(yīng)對(duì)措施不得力,未能及時(shí)堵塞信息安全漏洞,造成信息安全事件對(duì)供應(yīng)鏈系統(tǒng)損失的擴(kuò)大;對(duì)信息安全方面的例外問題,未能及時(shí)上報(bào)信息安全決策中心,延緩了高層決策者們非程序化決策工作的開展,以致高層決策者們不能及時(shí)調(diào)動(dòng)整個(gè)供應(yīng)鏈資源來消除信息安全危害。