[摘要]在政府尚未给电子政务建设提供良好的环境和完善法规的情况下,电子政务建设在中国仍然面临不少困难和挑战,各类信息安全事件频繁发生。文章将分析大数据和云计算等前沿技术给政府信息安全带来的保障和相对的威胁,同时将法律、管理结合起来,构筑一个相对安全的电子政务信息安全体系,以此研究电子政务安全管理问题。下面是小编精心推荐的《信息安全体系电子政务论文(精选3篇)》,供大家参考借鉴,希望可以帮助到有需要的朋友。
信息安全体系电子政务论文 篇1:
浅议国土资源“一张图”系统信息安全体系建设
摘 要:随着河南省国土资源“一张图”系统的建设,省市县各级的“一张图”系统陆续上线运行,相关信息安全体系建设存在的隐患也日趋突出,需要各级单位加强重视。本文以三大体系建设为出发点,阐明了信息安全体系的大框架下,管理与监督体系、技术与运维体系和宣傳与教育体系三大体系建设同步开展的必要性,从而保障项目安全实施、系统稳定运行,为河南省国土资源工作提供有力支撑。
关键词:信息安全体系;管理与监督体系;技术与运维体系;宣传与教育体系
Discussion on the Construction of Information Security System for Land and
Resources “One Map” System
DONG Jiangbo
(Henan Province Land and Resources E-government Center,Zhengzhou 450016,China)
0 引 言
新形势下,如何用习近平总书记新时代中国特色社会主义思想武装头脑,用十九大精神指导国土资源管理实践,正确处理好国土资源“一张图”建设和信息安全体系建设的关系,探索省市县联动的信息安全建设道路,仍需进一步厘清思路,统筹规划,切实做好信息安全体系建设。
1 “一张图”简介
河南省国土资源“一张图”建设,是以基础地理信息、多时相正射遥感影像和数字高程模型为系统底层数据基础,将土地、矿产地质、地质和地质环境类数据及相关联的业务审批和管理数据为系统的运行数据,通过“一张图”系统中的综合监管平台把最新的底层数据和地政、矿政、地质环境等业务数据全部整合,实时反映全省地政的“批、供、用、补、查”,矿产资源的勘查、储量、规划、开发和执法检查工作点的信息,实现了将权力变成服务,增强了审批的客观性与实时性,实现了资源开发利用从前期规划到后期监管的全流程实时动态监管和展示的目标。河南省“一张图”建设起步较早,但总体发展较慢。
2 现状概览
“一张图”系统具有子系统多、数据库多样化、服务器需求量大、网络接入弹性大、数据交换控制频繁等特点,因此,“一张图”对计算资源、数据存储和网络带宽等都提出了极高的需求,极大增加了系统整体安全保障的压力。同时,省市县各级之间发展不协调,省市县各级重视程度不同,只有省级和少数市县系统建设能力强、投入高,但总体较其他政府部门仍相对滞后。由于信息化投入不足,信息安全专业人员极其缺乏,并且部分技术人员技术能力较弱,其情况如下:注重前期规划建设,没有后期运维管理;有制度无管理监督;硬件设备投入高,软件采购难度大;有设备没有安全策略;有技术没有管理体系。只有建立相应的安全体系才能应对这些复杂问题的挑战,所以建立安全体系迫在眉睫,这也是保障全省“一张图”全面开展建设的必要前提。
3 信息安全体系简述
河南省“一张图”系统整体的信息安全体系建设分为三部分:管理与监督体系、技术与运维体系和宣传与教育体系,三个体系是相辅相成、互相促进、协调发展的关系,而不是孤立存在的。管理与监督体系是实现技术与运维体系的前提;技术与运维体系是管理与监督的具体实现,同时是推进管理与监督体系优化和改进的源动力。宣传与教育体系为推广和落实管理与监督体系优化了管理环境和知识基础,而宣传与教育体系本身也是管理与监督中沟通管理的成果。管理与监督体系的建设对技术与运维体系提出要求,反过来,管理与监督体系、技术与运维体系和宣传与教育体系,共同构建起了“一张图”系统的信息安全体系,为国土资源业务的持续安全稳定开展保驾护航。
4 信息安全体系建设
4.1 管理与监督体系的建设
实现网络和信息安全制度化保障。依据《中华人民共和国计算机信息系统安全保护条例》 《计算机信息网络国际联网安全保护管理办法(公安部第33号令)》《中华人民共和国网络安全法》《互联网安全保护技术措施规定(公安部令第82号)》等法律法规的要求,参照《ISO/IEC 27001 Information technology -- Security techniques -- Information security management systems -- Requirements》来制定相关信息系统安全要求的安全体系。制订一整套的信息安全管理制度,从组织安全构建、硬件安全管理、软件安全管理、开发安全管理、运维安全管理、访问控制管理、风险评估与风险管理等方面建立管理制度,并抓好制度的落实;建立网络安全应急处置机制,有效提升突发事件处置能力。同时对省市县各级明确“分级管理、分级负责、自主防护”的原则,并建立相应的监督体系,对各级制度建设及落实进行规范和督导。管理制度主要是对人的行为进行约束和规范,而信息安全事故的发生往往是相关人员的行为不规范造成的,所以如果不对内部人员的行为进行规范和约束,其危害远大于来自外部的攻击,所以加强制度建设和监督对于信息安全至关重要。
4.2 安全技術与运维体系的建设
安全技术与运维体系的建设包括硬件安全管理、数据安全管理、系统安全管理、网络安全管理及运维体系建设。
硬件安全管理,主要针对系统所面临的安全威胁,这些潜在的安全威胁包括自然灾害、化学与生态灾害、能源灾害、结构失效和人为原因威胁。其中人为因素是最关键的——所以要有授权、认证和审计系统,还要有环境监控及视频监控等各项监控系统。目前我省本级已有完整的物理环境安全保障系统,但大部分市县都存在系统不完善的状况,特别是对“一张图”核心数据没有严格的保护措施。
数据的安全,对数据应进行加密处理,特别是通用数据要严格进行数据加密处理,同时要把需通过网络分发的数据与网络加密技术相结合,通过加密技术、数字签名技术、鉴别技术和密钥分配技术以及各种安全协议来避免网络通信遭受截获、中断、篡改和伪造这些攻击行为。除此之外,还要做好数据的备份,除了本地的备份,还应有异地备份,并且必须定时进行备份恢复测试。只有做好这些措施,才能有效应对数据安全问题。
系统的安全性,“一张图”系统包括服务器的操作系统、数据库系统和“一张图”系统及其子系统。操作系统安全是信息安全最基本的底层软件要求,特别是服务器操作系统和客户端操作系统存在系统漏洞,需要由操作系统厂商提供升级和补丁服务,要求系统使用人员有安全意识和责任感,使他们从自身开始做好信息的安全保障工作。由于“一张图”系统的子系统是不断增加的,所以要严格执行准入制度,加强信息系统生命周期安全管理,特别是市县“一张图”项目必须在立项阶段就将安全需求纳入必备的要求之中,在项目交付时应出具第三方的系统安全检测报告,要实现全省的“一张图”系统安全标准统一,同时依托各级各类安全监管系统和设备,实行远程监测和现场检查相结合的常态化检查制度,省市县三级应定时对安全隐患进行通报和督促整改,从而实现对“一张图”系统的生命周期安全管理。
网络安全,需要实行访问控制,在局域网内部必须划分内部网络和外部网络,并且完全隔离,并对网络划分VLAN,制定相应的安全策略,对于外部网络和内部网络的基本安全设备必须具备对外有防火墙、IDS、防病毒网关、网闸,内部有IPS、防病毒服务器、网络审计系统。加强对接入安全管控,一方面从网络接入管控入手,做到IP地址、交换机端口和MAC地址绑定,杜绝接入层的随意入网;另一方面对终端的接入端口进行管控,严禁未注册存储设备连接终端。由于目前计算机病毒已经由单一传播、单种行为,变成依赖网络传播,因此,杀毒软件必须采用网络版,这样才能随时拥有最新的防病毒能力;对病毒经常攻击的应用程序提供重点保护,让客户端用户尽快地了解到新病毒的特点和解决方案。
运维体系建设是信息安全体系的根本。运维体系是省市县各级“一张图”系统建设中最容易忽视的工作,而安全方面运维工作的缺失也给系统使用带来了巨大的隐患,系统安全不是一朝一夕就能做好的,这是一个长期持久的过程,所以必须有一个严格的流程,包括硬件安全运维流程、软件安全运维流程、系统安全运维流程和应急保障流程。硬件安全运维流程主要包括硬件的巡检、记录和上报等基本过程,通过各种环境监控、视频监控、远程KVM和设备自身的监管软件进行管理;软件安全运维流程主要是通过软件对操作系统进行主动扫描,对未按时打补丁及更新杀毒软件的软件使用终端进行标注,一方面上报管理部门,同时进行自动修补,对“一张图”系统进行安全性评估,及时向系统开发人员反馈问题,由系统开发人员对安全隐患进行处理,清除安全隐患后再次进行安全评估,解决问题后进行记录并上报通报。系统安全运维流程主要是通过系统开发人员及使用人员按照程序对系统进行管理,基本包括:过程变更申请、系统审批、变更实施和过程变更确认,要求全部过程有记录。应急保障流程是针对突发事件而制定的,所以要定时进行应急演练,保证在紧急情况下系统的正常运行不受到影响。
4.3 宣传与教育体系的构成
要持续组织开展网络和信息安全培训、信息系统等级保护培训、网络管理员培训、数据管理人员培训,加强相关人员的保密意识;利用网站、微信、会议等多种方式开展网络安全知识宣传,提升全体人员的网络安全意识;整合电子政务中心与专业安全厂商的资源,开展相关人员的安全素养提升活动。
5 结 论
河南省国土资源“一张图”安全体系建设,需要省市县三级的相互配合,同时建立和完善管理与监督体系、技术与运维体系和宣传与教育体系,并且将这三个体系协同统一地实施,应对各种信息系统安全挑战,实现“一张图”系统“安全性、稳定性、可用性、可靠性”的目标。
参考文献:
[1] 谢希仁.计算机网络(第五版) [M].北京:电子工业出版社,2008.
[2] 伍旭川,刘学.浅谈金融科技信息技术安全三个重要体系的建设 [J].债券,2017(8):52-54.
[3] 马勇,朱涛.新形势下中国民航网络信息安全体系建设研究 [J].民航管理,2018(3):11-14.
作者简介:董江波(1983-),男,网络工程师,信息系统项目管理师。从事国土资源信息化研究。
作者:董江波
信息安全体系电子政务论文 篇2:
电子政务信息安全问题的研究
[摘 要] 在政府尚未给电子政务建设提供良好的环境和完善法规的情况下,电子政务建设在中国仍然面临不少困难和挑战,各类信息安全事件频繁发生。文章将分析大数据和云计算等前沿技术给政府信息安全带来的保障和相对的威胁,同时将法律、管理结合起来,构筑一个相对安全的电子政务信息安全体系,以此研究电子政务安全管理问题。
[关键词] 电子政务;信息安全;技术体系
[基金项目] 广西民族大学研究生教育创新计划(gxun-chx2014023)
[作者简介] 侯亚杰,广西民族大学电子政务专业硕士研究生,研究方向:电子文件管理,广西 南宁,530000
2014年5月16日,中央国家机关政府采购中心明确规定:“所有计算机类产品不允许安装Windows8操作系统”。2014年5月26日发表的《美国全球监听行动纪录》指出,美国国家安全局代号为“棱镜”的秘密项目针对中国的窃密行为的内容基本属实,微软、谷歌等众多美企成为窃密帮凶,网络安全、信息安全、国家安全再次成为社会广泛关注的热点话题。电子政务以互联网为基础,但鉴于互联网本身安全的不足,让电子政务面临严峻的威胁。因此,为了更好的保障国家利益和实现电子政务,必须高度重视信息化问题,探究信息安全规律。
一、电子政务信息安全的相关概念
电子政务是指各种公务机构通过广泛应用现代信息技术,推动政务活动方式的变革,提高行政效率,发展民主决策进程,向社会提供优质、规范、透明的管理与服务的过程与结果。电子政务已经成为社会信息化的一个重要组成部分,它是政府适应信息社会发展的客观选择。
信息安全提供信息和信息系统的保密性、完整性、可用性、可确认性和抗抵赖性,从而使信息和信息系统免遭未授权的访问、使用、泄露、干预、修改、重放和破坏,并保证使用和操作信息以及信息系统的任何实体的身份不被假冒或欺骗,实体的来源与行为可获取利用者的职位等身份信息,并且此行为具有不可抵赖性。在国际标准《ISO/IEC17799:2005信息安全管理实施细则》中对信息安全的定义是:“保护信息的机密性、完整性、可用性及其他属性,如:真实性、可核查性、可靠性、防抵赖性。”
电子政务信息安全是指政务数据信息在接收、处理等过程中不被窃取、篡改,即保证其准确性和及时性,其涵盖了信息环境、信息网络和通信基础设施、媒体、数据、信息内容、信息应用等诸多方面的安全需要。电子政务信息涵盖面广,往往涉及许多个人信息、部分政治信息、部分金融信息、法律信息等多个方面,其信息安全需要符合完整性、保密性、授权真实性、信息可控性、信息实时性等特征。
二、电子政务信息安全面临的问题分析
(一)信息安全保障体系
在电子政务立法方面,我国近年来已经出台了与网络信息安全有关的法律法规,取得了一定成绩,但我国的法律法规还存在缺陷。主要体现在结构单一、体系分散,尚未形成完善的法律法规体系;缺少网络信息安全基本法,对网络信息安全保障体系的构建缺乏整体考虑和规划;法律法规之间部分内容重复交叉,同一行为有多个行政处罚主体,法律法规之间相互抵触,处罚幅度不一;没有网络规划与建设、网络安全、数据的法律保护、信息跨境、隐私保护及IT供应链安全等相关方面的法律法规。
(二)信息安全管理体系
1.信息安全管理体制不完善
目前尚没有统一的电子政务管理机制,使同级部门之间交流困难,上下级部门之间的纵向政令不能及时传达,产生了“政出多门”和“政策拉车”的现象。面对这一情况,各级政府一般只从技术层面上采取措施,却忽略了建设规范的管理体制。目前,我国的电子政务系统在信息安全保密管理方面还没有统一的标准,对故障定位不够及时、不够准确,对安全事故无法应付,对安全责任的追查更是困难。
2.信息安全关于人的意识问题
(1)信息接受者对信息的传播问题
信息安全问题是伴随着人类信息活动的进行而产生的,信息由于网络和计算机技术的发展,得以快速传播。信息传播产生了相应的问题:制造与事实相反或完全不存在的信息;传播虚假、歪曲事实的信息;将正确的信息有意、无意地更改成错误的信息;通过不正当的途径获取信息;由于利益冲突销毁他人的有用信息。
(2)电子政务系统使用人员的安全意识不高
许多政府工作人员没有受过有关安全法律法规和防范安全风险的教育与培训,对电子政务又缺乏科学、正确的认识,信息素养总体水平不高,不适应信息化办公的要求。据统计,我国电子政务信息系统的安全问题有将近80%来自内部工作人员。很多工作人员只希望提高办公效率,却忽视安全保密问题,交叉使用移动存储介质等安全保密意识不强的行为常常给电子政务系统带来安全隐患。
(三)信息安全技术体系
目前,很多地区和部门在电子政务建设上都投入了大量财力和精力,但由于起步晚、技术落后,我国的电子政务总体建设水平仍然不高。主要的核心产品基本上都要从国外进口,即便是我们国家自己研制开发的产品,有时也需拿到国外市场去加工,而这些加工环节就有可能留下安全隐患。我国政府花钱引进了不少国外设备以加快电子政务的建设发展,但由于我们并没有掌握这些先进设备的技术,如果对这些引进的东西再缺乏有效的检测,不能排除安全隐患的话,就可能适得其反,花钱买隐患。
三、保障电子政务信息安全的对策
(一)加强电子政务信息安全保障体系的建设
笔者仔细阅读了美国、日本和加拿大这三个电子政务高速发展国家关于电子政务信息安全方面相关的立法,总结出以下三个观点:立法更新都相当迅速,根据最新的技术来进行相应的法律规范要求,同时又大力开发新的技术,使法律和技术共同发展;以一个立法为中心,其他法律围绕该立法,充分做到了各项事务有法可依;对于重点问题,有专门的法律法规依据。我国应当积极借鉴国外先进经验,从以下几方面着手,及早建立起电子政务信息安全的保障体系。首先,在国家层面制定总体性的法律法规,各个地区再根据自身情况,在不违反总体性的法律法规前提下,制定自己的电子政务信息安全法律法规。其次,要尽量做到立法与技术同步。最后,要加强信息安全的执法,培养并建立一支具有信息专业知识的专业队伍,保护企业和公民的合法权益,打击网络违法犯罪,做到依法决策、依法行政、依法管理。
(二) 健全电子政务信息安全管理体系
1.建立完备的信息安全管理机制
信息安全管理的关键在于组织领导,只有建立制度化的管理体系,才能在各个环节实施中确保优质效果,以规避管理风险。一是国家建立能够维护各种信息安全利益的综合协调机构,来改变目前在维护信息安全时出现的职责不清、政出多门、多条管理等现状;二是各个职能部门要形成一个分工明确、责任落实的组织管理体系,共同履行信息安全管理的职责;三是建立省、市两级完善的信息安全领导体系,依据本省市电子政务发展实际情况来制定相应的信息安全管理要求;四是采取有效措施,积极推进信息安全等级保护工作,按照信息的敏感度和重要程度、信息的性质和部门重要程度,分级采取合理有效的措施。
2.增强信息安全意识
(1)加强人的信息安全素养
随着互联网的普及,信息安全时刻出现在人们的身边。首先,必须确保了解一些信息保护的基础知识。例如:了解移动介质(U盘、移动硬盘等)使用不当会泄密;了解各种病毒、木马的危害;了解下载特殊软件的推送服务和位置获取等信息。其次,定期做好电脑磁盘的清洁和定期扫描电脑漏洞,定时备份重要资料等。最重要的一点是,信息安全素养是要重点培养人们对信息安全行为进行批判性的认识,主动接受新的网络信息技术,树立对信息知识产权的保护意识,维护信息安全。
(2)加强信息安全的宣传
为了正确树立信息安全的价值观,加强信息安全宣传是一种有效的方法。在这当中,信息安全保密与保护隐私等宣传是十分重要的。向全体民众进行价值灌输和价值培养,让民众树立正确的信息安全价值观念,同时调动主观能动性向损坏他人信息安全利益的信息安全行为作斗争,营造和谐的信息安全环境。
(3)加强对信息人才的培养
电子政务信息安全保障工作的专业性、技术性都很强,需要一批政治素质高、政务能力强、具备网络知识、信息安全技术、法律知识和管理知识的复合型人才和专业人才。采取集中培训、分散学习、轮岗训练等多种方式培养管理人员和专业技术人员,最大限度地发挥人才效益。
(三)完善电子政务信息安全技术体系的建设
1.加强信息安全物理安全体系
(1)环境安全
环境安全是指对系统所处环境的安全保护,如设备的运行环境需要适当的温度、湿度,尽量少的烟尘,不间断电源保障等。计算机系统硬件的安全性与环境条件密切相关,如果环境条件不能满足设备的要求,会破坏数据和缩短机器寿命,严重时可能危害人员的安全。
(2)媒体安全
数据备份是保障媒体安全的主要技术,其目的是为了在设备发生故障时保护数据,将数据遭受破坏的程度减到最小。常用的数据备份方法是可移动存储备份、可移动硬盘备份、软盘备份、磁带备份、本机多硬盘备份和网络备份。
2.加强信息系统核心技术研发
如果能掌控自主核心技术的研发,就能全面增强国家信息基础设施、重点信息资源系统的安全保障及信息安全保密管理能力。以国家创新驱动发展为牵引,集中整合优势科研资源和力量,组织技术攻坚,做好高速加密通信芯片、操作系统、安全芯片、骨干网络核心交换设备安全操作系统、安全数据库及重要应用软件国产化等基础和核心信息安全技术的创新攻关。
3.加强电子政务信息安全技术机制
(1)云计算
云计算是很多技术混合演进的结果,包括网络计算、效用计算、虚拟化技术、Web Services、SOA等。云计算在电子政务信息安全中的益处表现为:由于云时代中数据的集中存储,使得数据泄密逐渐减少,并且更加容易实现数据的监测。我国电子政务云面临的问题有三:法律方面,没有相关法规管理,导致有许多隐患的存在;技术方面,云计算和传统IT有很多区别,我国在接口平台环境资源方面处在一个欠缺的状态;最后,云计算在将资源集中整合之后带来的风险也会对信息安全造成威胁。总之这几方面对电子政务云的管理、产品、技术都提出了更大的挑战。
(2)大数据
近年来,大数据正成为继云计算、物联网之后信息技术领域的又一热点。大数据是规模非常巨大和复杂的数据集,具有四个典型特征:数据量是持续快速增加的;高速度的数据I/O;多样化的数据类型和来源;数据价值大。大数据最主要的作用是服务,即对人、机、物的服务。大数据带来了很多机遇,同时又给信息安全带来了挑战。大数据正在为安全分析提供新的可能性,对海量数据的分析有助于信息安全服务提供商更好地刻画网络异常行为,从而找出数据中的风险点,防止诈骗和阻止黑客入侵。
(3)数字签名技术
所谓数字签名就是通过某种密码运算生成一系列符号及代码组成电子密码进行签名,来代替书写签名或印章,对于这种电子式的签名还可进行技术验证,其验证的准确度是一般手工签名和图章的验证所无法比拟的。数字签名是目前电子政务中应用最普遍、可操作性最强的一种电子签名方法。数字签名技术采用了规范化的程序,来鉴定签名人的身份以及对数据内容的认同。除此之外,它还能确切地验证出文件在传输过程中有无变动,确保传输电子文件的真实性和不可抵赖性。
(4)防火墙技术
防火墙是网络安全的屏障,是提供安全信息服务、实现网络信息安全的基础设施之一。防火墙能极大地提高一个内部网络的安全性,防止来自外部的攻击,并通过过滤不安全的服务降低风险。在电子政务信息安全运用中,能防止内部信息外泄和屏蔽有害信息,利用防火墙对内部网络的划分,可以实现内部网络对重点信息的隔离;当有可疑动作时,防火墙能自动进行报警,询问网络是否受到监测和攻击的详细信息;防火墙能严格监控和审计进出网络的信息,如果所有的访问都经过防火墙,那么防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。防火墙技术已经普遍应用,基本上每台电脑都会安装防火墙,是一个极其便民且重要的技术。
[参考文献]
[1]周品.云时代的大数据[M].北京:电子工业出版社,2013.
[2]李园园.信息安全价值研究[M].上海:上海世界图书出版,2014.
[3]张健.电子文件信息安全管理研究[M].上海:上海世界图书出版,2012.
[4]张健.信息安全技术与应用[M].哈尔滨:东北林业大学出版社,2012.
[5]朱海波.信息安全与技术[M].北京:清华大学出版社,2014.
[6]赵先星,王茜.借鉴国际经验完善我国电子政务信息安全立法[J].海外资讯,2008,(9).
[7]赵雪.我国电子政府建设中的信息安全问题与对策[J].湖北经济学院学报,2007,(8).
[8]周昕.“云计算”时代的法律意义及网络信息安全法律对策研究[J].重庆邮电大学学报(社会科学版),2011,(7).
[9]丁丽.电子政务信息安全保密管理研究[D].山东师范大学,2014.
[10]张淼.电子政府的信息安全问题与策略研究[D].东北财经大学,2007.
作者:侯亚杰
信息安全体系电子政务论文 篇3:
我国信息安全标准化现状
信息安全标准体系是信息安全保障体系中十分重要的技术体系,是整个信息安全标准化工作的指南。信息安全标准体系主要作用突出地体现在两个方面,一是确保有关产品、设施的技术先进性、可靠性和一致性,确保信息化安全技术工程的整体合理、可用、互联互通互操作。二是按国际规则实行IT产品市场准入时为相关产品的安全性合格评定提供依据,以强化和保证我国信息化的安全产品、工程、服务的技术自主可控。本着“科学、合理、系统、适用”的原则,在充分借鉴和吸收国际先进信息安全技术标准化成果的基础上,初步形成了我国信息安全标准体系。
1.信息安全产品评测认证
为配合信息安全等级保护制度的建立,促进信息安全产品评测认证工作,信安标委组织研究制定了如下标准:
GB/T 20008—2005《信息安全技术操作系统安全评估准则》;
GB/T 20009—2005《信息安全技术数据库管理系统安全评估准则》;
GB/T 20010—2005《信息安全技术路由器安全评估准则》;
GB/T 2001卜2005信息安全技术包过滤防火墙评估准则》;
GB/T 20275—2006《信息安全技术入侵检测系统技术要求和测试评价方法》;
GB/T 20274.1-2006《信息技术安全技术信息系统安全保障评估框架第一部分:简介和一般模型》
GB/Z 20283—2006《信息技术安全技术保护轮廓和安全目标的产生指南》;信息安全标准化专栏
GB/T 20272-2006《信息安全技术操作系统安全技术要求》;
GB/T 2028 1-2006《信息安全技术防火墙技术要求和测试评价方法》;
GB/T 20276-2006 息技术安全技术智能卡嵌入式软件安全技术要求(EAL4增强级)》;
GB/T 20270-2006《信息安全技术 网络安全基础技术要求》;
GB/T 20278—2006《信息安全技术网络脆弱性扫描产品技术要求》;
GB/T 20269-2006《信息安全技术信息系统安全管理要求》;
GB/T 20271-2006《信息安全技术信息系统安全通用技术要求》;
GB/T 20273-2006《信息安全技术数据库管理系统安全技术要求》;
GB/T 20280—2006《信息安全技术 网络脆弱性扫描产品测试评价方法》;
GB/T 20277—2006《信息安全技术 网络和端设备隔离部件测评方法》;
GB/T 20279—2006《信息安全技术 网络和端设备隔离部件技术要求》;
GB/T 20282-2006《信息安全技术信息系统安全工程管理要求》。
目前正在报批的还有一系列标准。这些标准将为促进我国实行信息安全等级保护制度和信息安全产品的测评提供必要的基础支撑和依据。
2.网络信任体系建设方面
针对我国网络信任体系建设,配合《电子签名法》的有效实施,信安标委重点组织开展了《PKI安全协议规范研究》、《网络安全协议及协议安全研究》等重点研究项目,并研究制定了一系列标准以及目前正在报批的许多标准。这些研究成果为我国网络信任体系建设奠定了重要的技术基础。
3.信息安全应急处理方面
针对信息安全应急处理工作,信安标委组织开展了《信息安全通报技术规范研究》、《网络与信息安全事件应急处理研究》和《信息安全应急协调预案规范》等重点研究项目,研究制定《信息安全事件管理》、《信息安全事件分类指南》和《信息系统灾难恢复指南》等标准草案。这些成果为信息安全应急处理提供了重要的技术支撑。
4.信息安全风险评估方面
围绕信息安全风险评估工作,信安标委积极开展信息安全风险评估研究。在广泛调研和深入研究的基础上,结合我国国情,借鉴国际标准化成果,提出了《信息安全风险评估指南》标准草案。2005年初,在国信办的组织协调下,在北京市、上海市、黑龙江省、云南省、人民银行、国家税务总局、国家电力、国家电子政务外网8个试点单位,开展了《信息安全风险评估指南》的试点研究工作。通过总结《信息安全风险评估指南》试用的经验,进一步修改完善标准草案,增强标准的科学性和实用性。
5.信息安全管理体系方面
为促进我国信息安全管理体系的建立和完善,信安标委组织开展了信息安全管理相关国家标准的研制工作,并持续跟踪研究了国际信息安全管理体系(ISMS)系列标准(ISO/IEC 27000系列)技术发展动态,有选择性地对国内信息安全管理体系认证现状进行了调研工作,并对27000系列中的两个重要的基础标准ISO/IEC 27001:2005《信息安全管理体系要求》和ISO/IEC 17799:2005《信息安全管理实用规则》进行了等同汉化工作,同时组织研究制定了GB/T19715.1-2005《信息技术信息技术安全管理指南第l部分: 信息技术安全概念和模型》、GB/T19715.2-2005《信息技术信息技术安全管理指南第2部分: 管理和规划信息技术安全》、GB/T20282-2006《信息安全等级保护 工程管理要求》。这些工作为下一步研究制定适合我国国情的信息安全管理标准体系奠定了基础。
作者:杨明欣
相关文章:
美丽风景一路有你02-18
国土信息安全保障体系02-18
信息安全管理体系建设论文提纲02-18
试用期与合同期限02-18
网络信息安全保障体系建设02-18
信息安全管理体系建设论文02-18
档案信息安全保障体系的建设与思考02-18
信息安全体系电子政务论文提纲02-18
电力信息安全体系建立论文02-18
面试技巧:外国企业求职面试要注意的六个三02-18
