安全審計服務規范范文

時間:2023-06-15 17:39:21

導語:如何才能寫好一篇安全審計服務規范,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。

安全審計服務規范

篇1

    電子業務系統安全審計體系的研究與建設

    結合山東局綜合管理體系建設要求,首先,對各業務系統從管理者和使用者兩個層面明確職責,規定相應的口令管理制度、授權管理制度、系統操作規程(作業指導書)等業務系統運行規章制度及有關記錄表格。二是,針對各業務系統制定安全審計規范,利用內部審計及外部審計來評估業務系統安全漏洞,規劃審計策略,明確審計目標,確定日常安全審計及集中安全審計任務和手段,并對審計結果進行評估分析,制定糾正措施。三是,結合山東局績效考核管理辦法,將安全審計結果納入績效考核,已達到從制度上約束行為的目的。各電子業務系統的開發應按照我們制定的安全審計規范要求建立安全審計模塊,每個用戶登錄系統、進入應用,一直到使用各個應用模塊都可以進行訪問日志記錄,安全審計模塊可以調用日志SDK的API,根據應用規則來記錄各種日志。日志可以是分為安全日志、系統日志、數據變更日志等等可以由系統安全管理人員隨時調閱,以達到安全審計的目的。針對業務系統具體環節分析風險點,根據制定的安全控制規范,應用于各電子業務系統,開發安全審計系統,進行風險布控、監控設定、自動預警與自動核查,對業務系統全過程監控。由于目前業務系統數量眾多,數據處理不同,進行安全審計系統開發時需針對各業務系統進行分析歸納,特別是CIQ2000綜合業務管理系統作為檢驗檢疫電子業務的主干系統,數據處理過程的質量決定著業務工作的質量,我們首先從CIQ2000業務管理系統入手試點,對CIQ2000綜合業務管理系統實施全過程監控,監控賬戶的合法性、權限的合理性、登錄及操作行為的可追溯性、數據修改的安全性等,對用戶行為實施有效監督、約束,規范行為,保證工作質量。對CIQ2000綜合業務系統進行安全審計主要分以下幾方面:1)用戶操作行為日志審查常規監測及時收集和分析CIQ2000系統本身提供的系統登錄、業務操作、流程控制、權限等信息,通過設定邏輯嚴密、科學合理的審計規則,根據用戶登錄時間、狀態和業務操作記錄等數據,發現異常登錄和非法操作,在系統界面進行展示,并形成報表。特殊監測根據業務和系統管理需要,對特殊時間段、特殊業務操作進行特殊監測,通過觸發器收集關鍵業務對象、關鍵數據的變更情況,記錄操作人的登錄信息和操作信息。如對關鍵業務數據的操作及修改過程(如計收費數據的修改、不合格結果登記修改為合格結果登記、未經檢務操作擅自添加證書、攔截數據人工干預放行等)進行過程記錄。2)用戶密碼審查根據制訂的密碼審計規則,自動檢查指定機構下的用戶及密碼,查找密碼為空或者密碼設置不符合安全規范的用戶,在系統界面展示并可形成報表。3)重復用戶檢查根據同一用戶在統一機構下不得同時擁有兩個可以同時使用的用戶賬號原則,自動檢查指定機構下的用戶,檢查是否在同一機構具有同時在崗的重名用戶。4)用戶權限檢查自動檢查指定機構下的用戶及使用權限,查找具有分配全業務流程的用戶,也可查找具有指定權限的用戶。5)安全事件警告根據對業務系統各關鍵環節和關鍵對象數據的采集和分析,對可能存在信息安全隱患的環節給予相應級別的告警。告警方式包括:界面查看、短信預警、郵件預警。6)系統服務用戶管理選項設置安全審計告警策略安全事件確認審計對象配置助手對于以上審計內容,通過布控,可以實現實時監控,發現違規操作及時報警,也可以進行統計查詢、數據分析,防患于未然。通過安全審計系統的運行,特別是對CIQ2000綜合業務管理系統的安全審計,發現高風險監控點,進一步對體系進行驗證完善,通過兩方面的互補,保證業務系統的安全合規運行。通過以上步驟,制定我局電子業務系統安全審計規范并正式下發執行,建立檢驗檢疫電子業務系統安全審計體系。并通過CIQ2000綜合業務安全審計系統應用實例進行驗證優化,并以此成功案例進行推廣、全面開展對山東局電子業務安全審計系統的建設與發展。

    電子業務系統安全審計體系研究技術方面

    電子業務安全審計系統建設技術方面1)使用統一開發平臺的UIP-SDP框架開發。該框架提供輕量級的框架,框架遵照MVC的通用設計模式;采用面向服務體系結構(SOA)及組件化的設計思想,便于系統的復用和集成;包含大量公共的、實用性的組件和控件,并且提供了一般業務系統底層的最基本模塊,可以輕松集成到業務系統之中。2)框架提供了通用的前后臺校驗機制、統一的分頁處理、基于AJAX的局部刷新功能、多文件上載的功能、基于數字證書的認證方式、靈活、實用的規則引擎、基于配置的任務調度功能、基于配置的事務處理、統一的日志管理、方便快捷的單元測試、子模塊基于XML的單獨配置3)系統由數據采集層、事件管理層、運行管理層構成。山東檢驗檢疫電子業務系統安全審計體系(圖略)。電子業務安全審計系統建設技術規范方面采用標準的Linux、Unix操作系統建立基礎平臺采用統一的Oracle數據庫建立數據中心平臺采用先進的軟件工程設計方法,滿足系統的先進性、可靠性、可伸縮性、可擴展性復雜的商業規則的實現集中由應用服務器實現,可隨業務量增長而輕松擴展采用流行的B/S架構,實現零客戶端采用先進AJAX、WebService技術采用XML技術,規范信息交換格式和數據交換流程采用統一的消息中間件實現數據交換可以采用CA認證及SSL128位加密技術,確保通訊的安全性4結論通過建設安全審計體系建設,可以從制度上規范行為;審計系統的開發運行可以利用技術手段實現業務監控、工作質量稽查及用戶行為審計,自動查找違規現象,及時通知相關單位整改,以查促管,防患于未然;審計的結果反過來促進制度的建設,最終保證檢驗檢疫業務的正常運轉。

篇2

[關鍵詞]信息安全審計;審計應用;審計實現 ;APP

doi:10.3969/j.issn.1673 - 0194.2015.08.012

[中圖分類號]TP393.08 [文獻標識碼]A [文章編號]1673-0194(2015)08-0019-01

近年來,隨著辦公業務對手機軟件相關信息系統的依賴越來越高,APP應用軟件信息系統存在的風險對業務的潛在影響也越來越大。解決針對業務信息內容的篡改操作行為的監控管理的問題,必須要有一種有效的安全技術手段對內部員工、運行維護人員以及第三方人員的上網行為、內網行為、操作行為等進行有效的監控和管理,并對其行為趨勢進行分析和總結。

1 APP應用信息安全審計定義

為了APP應用信息系統的安全、可靠與有效,由獨立于審計對象的IT審計師,以第三方的客觀立場對以計算機為核心的信息系統進行綜合的檢查與評價,向IT審計對象的最高領導,提出問題與建議的一連串的活動稱為IT審計。IT審計就是信息系統審計,也稱IT監查。

2 APP應用信息安全審計的實現

要實現APP應用信息安全審計,保障計算機信息系統中信息的機密性、完整性、可控性、可用性和不可否認性(抗抵賴),需要對計算機信息系統中的所有網絡資源(包括數據庫、主機、操作系統、網絡設備、安全設備等)進行安全審計,記錄所有發生的事件,提供給系統管理員作為系統維護以及安全防范的依據。

2.1 合規性審計

做到有效控制IT風險,尤其是操作風險,對業務的安全運營至關重要。因此,合規性審計成為被行業推崇的有效方法。安全合規性審計指在建設與運行IT系統中的過程是否符合相關的法律、標準、規范、文件精神的要求一種檢測方法。這作為風險控制的主要內容之一,是檢查安全策略落實情況的一種手段。

2.2 日志審計

基于日志的安全審計技術是通過SNMP、SYSLOG或者其他的日志接口從網絡設備、主機服務器、用戶終端、數據庫、應用系統和網絡安全設備中收集日志,對收集的日志進行格式標準化、統一分析和報警,并形成多種格式和類型的審計報表。

2.3 網絡行為審計

基于網絡技術的安全審計是通過旁路和串接的方式實現對網絡數據包的捕獲,進行協議分析和還原,可達到審計服務器、用戶終端、數據庫、應用系統的安全漏洞,審計合法、非法或入侵操作,監控上網行為和內容,監控用戶非工作行為等目的。網絡行為審計更偏重于網絡行為,具備部署簡單等優點。

2.4 主機審計

主機安全審計是通過在主機服務器、用戶終端、數據庫或其他審計對象中安裝客戶端的方式來進行審計,可達到審計安全漏洞、審計合法和非法或入侵操作、監控上網行為和內容以及向外拷貝文件行為、監控用戶非法行為等目的。主機審計包括主機的漏洞掃描產品、主機防火墻和主機IDS/IPS的安全審計功能、主機上網和上機行為監控、終端管理等類型的產品。

2.5 應用系統審計

應用系統安全審計是對用戶在業務應用過程中的登錄、操作、退出的一切行為通過內部截取和跟蹤等相關方式進行監控和詳細記錄,并對這些記錄按時間段、地址段、用戶、操作命令、操作內容等分別進行審計。

2.6 集中操作運維審計

集中操作運維審計側重于對網絡設備、服務器、安全設備、數據庫的運行維護過程中的風險審計。

運維審計的方式不同于其他審計,尤其是維護人員為了安全的要求,開始大量采用加密方式,如遠程桌面協議(Remote Desktop Protocol,RDP)、SSL等,加密口令在連接建立的時候動態生成,一般的針對網絡行為進行審計的技術是無法實現的。

3 審計系統的實現

通過對6類審計產品的綜合應用,可以形成較完備的APP應用信息系統安全審計應用系統,對整個網絡與信息系統中的網絡、主機、應用系統、數據庫及安全設備等進行安全審計,且可以支持分布式跨網審計,并進行集中統一管理,達到對審計數據綜合的統計與分析,更有效地防御外部的入侵和內部的非法違規操作,最終起到保護信息和資源的作用。

參考網絡與信息系統安全審計應用模型,企業既可以采取單項逐一建設方式,也可以采用多項綜合建設方式建立內部審計應用系統。對于擁有分(子)公司且不在同一地區的企業,也可以通過城域網絡把多個分(子)公司統一起來,進行集中建設,統一管理。

4 結 論

通過整合市面上多種不同類型的審計產品,按照網絡與信息系統安全審計應用模型,采用“統一規劃、分步實施”的方式,可以在企業內部建立起嚴格監控的網絡與信息系統安全審計應用平臺,提升企業信息化日常運維及操作的安全性。

主要參考文獻

[1]胡克瑾.IT審計[M].北京:電子工業出版社,2002.

篇3

【關鍵詞】計算機信息系統;安全

隨著計算機技術和網絡通信技術的飛速發展,計算機信息系統規模的不斷擴大,成為了一個龐大的復雜系統。而信息的共享程度越來越高,使系統安全涉及的技術面非常廣,保密性、完整性、真實性和可用性,使我國的計算機信息系統安全體系必須建立統一的框架和實施標準。

1動態縱深防御安全體系模型

1.1計算機信息系統安全發展

計算機信息系統安全涉及的技術面非常廣,其中3D安全框架是一個通用的框架,它提出了一個概念性的框架,涉及ISO/OSI的七個協議層次,應用安全平臺等都是重要的安全“零部件”,是一個立體的、多方位、多層次的系統問題,但并不是簡單地將它們疊加在一起。隨著網絡的深入發展,三維計算機信息系統不能完全適應動態變化的網絡環境,提出了PZDR動態模型,比傳統靜態安全方案有突破性提高,其中引進了時間的概念,特點就是動態性和基于時間的特性,但它忽略了內在的變化因素。這樣,又提出了信息保障技術框架概念,對信息基礎設施進行“深層防御策略”,提供了強健性策略描述,把信息的價值劃分成5級,對無線應用的安全保障方面不足。目前國內外相繼提出了很多安全標準,比如美國TcsEc(桔皮書),歐洲ITSEC,加拿大CTCPEC,聯合公共準則(C)C等,現有標準/規范己經相當細致和深入,但仍有不盡人意的地方,比如有些屬于特定行業規范,有些標準/規范側重于系統安全的某個方面,未包含行政管理安全的評價準則等,沒有針對廣泛存在和應用的網絡環境安全等,因此,分析計算機信息系統安全體系,可以推動我國信息安全產業的發展。

1.2動態縱深防御安全體系模型

在設計安全體系時,安全組件必須根據需要分層次、分布式部署,安全體系應貫徹積極防御的思想,功能模塊應構成一個閉環的動態控制系統,當系統遭到破壞時能及時進行恢復。安全組件之間能夠協同作戰,隨時處置可能出現的黑客或病毒攻擊,進行安全組件的組合與集成。安全體系模型應從多方面考慮,對安全域劃分出不同安全防護層次,以安全域和安全防護層次實現縱深防御,配置入侵檢測系統、脆弱性分析系統等,在設計時應首先考慮邏輯層次的劃分,根據信息的安全級別和服務的重要性來劃分,安全域的劃分不改變系統的任何部分,每個安全域可按物理或邏輯位置的不同劃分,保護計算環境的安全目標。在安全策略的指導下,依靠技術進行操作。明確系統可能出現的安全事件,引進“風險分析”概念,強調信息安全技術的綜合使用,將安全風險降低到預期的范圍內。人員素質是信息安全體系的基石,應努力提高人員的安全意識,各部門要遵守的規范及應負的責任,提供一個集成的安全管理環境,使得安全部件之間能夠協同作戰,風險分析是有效保證信息安全的前提條件,大規模減少安全管理員的手工勞動,避免非法攻擊的進行。

2計算機信息系統安全

安全分析的目的是為不同安全需求的用戶,在普通計算機信息系統、安全系統間建立聯系,為滿足不同的用戶安全需求,根據數據在丟失、破壞及泄露時的不同影響,提出相對應的安全保障級別的概念,根據信息類別和威脅級別的定義,選擇安全防護機制及技術,為不同安全要求的用戶提供解決方案。確定系統中的信息和服務的用途,概括計算機信息系統的業務流程,將計算機信息系統劃分成不同的安全域,當威脅和策略都確定后,通過評價每一種威脅成功實施的可能性,需要制定相應的安全目的。安全功能應清晰地表達,每種安全產品都有一組安全功能,在計算機信息系統安全需求分析中,應以表的形式將安全目的分配,并應適于對抗所有已知的威脅,安全功能的強度要符合相應的保障級別,并通過文檔化的形式單獨列出安全制度。

3安全設計

安全管理是安全體系的保障,建立并保持文件化的安全管理體系,這與安全技術和安全策略密切相關,相應技術要求包括防火墻、服務器、路由器等。防火墻主要有包過濾防火墻和應用級防火墻,路由器是一類專用的網絡設備,網絡服務器以各種服務為基礎。安全檢測系統控制的充分程度,它包括自動響應的分級要求。安全審計數據產生的分級要求都必須包括用戶自主選擇,能生成實時報警信息,使用身份鑒別機制,審計記錄應包含客體名及客體的安全級別;安全審計分析的分級要求應能用一系列規則去監控審計事件,應維護用戶所具有的質疑等級,檢測對安全功能實施有重大威脅的簽名事件;安全審計查閱的分級要求提供從審計記錄中讀取信息的能力,提供從審計記錄中讀取信息的能力,選擇要查閱的審計數據的功能;安全審計事件存儲的分級要求審計蹤跡的存儲受到應有的保護;網絡環境安全審計的分級要求建立分布式安全審計系統,實時收集各安全程序的審計信息,設置跨平臺的安全審計機制,給出智能化審計報告及趨向報告。防止計算機和網絡病毒的入侵,嚴格控制各種外來介質的使用,應設置病毒管理中心,應將防病毒與網絡管理相結合,阻止病毒的擴散和傳播。提供數據加解密和密鑰管理,確定相應的密碼分級,應對不同級別的密鑰實施不同管理。

參考文獻:

[1]段云所,陳鐘.信息網絡安全目標、技術和方法[J].網絡安全技術與應用,2001(01).

[2]胡華平,黃遵國,龐立會.網絡安全縱深防御與保障體系[J].計算機工程與科學,2002(6).

[3]胡華平,陳海濤,黃辰林.入侵檢測系統的研究現狀與發展趨勢[J].計算機工程與科學,2001,23(02).

[4]GA/TT389-2002.計算機信息系統安全等級保護數據庫管理系統技術要求[S].2006.

篇4

1利用網絡及安全治理的漏洞窺探用戶口令或電子帳號,冒充合法用戶作案,篡改磁性介質記錄竊取資產。

2利用網絡遠距離竊取企業的商業秘密以換取錢財,或利用網絡傳播計算機病毒以破壞企業的信息系統。

3建立在計算機網絡基礎上的電子商貿使貿易趨向“無紙化”,越來越多的經濟業務的原始記錄以電子憑證的方式存在和傳遞。不法之徒通過改變電子貨幣帳單、銀行結算單及其它帳單,就有可能將公私財產的所有權進行轉移。

計算機網絡帶來會計系統的開放與數據共享,而開放與共享的基礎則是安全。企業一方面通過網絡開放自己,向全世界推銷自己的形象和產品,實現電子貿易、電子信息交換,但也需要守住自己的商業秘密、治理秘密和財務秘密,而其中已實現了電子化且具有貨幣價值的會計秘密、理財秘密是最重要的。我們有必要為它創造一個安全的環境,抵抗來自系統內外的各種干擾和威協,做到該開放的放開共享,該封閉的要讓黑客無奈。

一、網絡安全審計及基本要素

安全審計是一個新概念,它指由專業審計人員根據有關的法律法規、財產所有者的委托和治理當局的授權,對計算機網絡環境下的有關活動或行為進行系統的、獨立的檢查驗證,并作出相應評價。

沒有網絡安全,就沒有網絡世界。任何一個建立網絡環境計算機會計系統的機構,都會對系統的安全提出要求,在運行和維護中也都會從自己的角度對安全作出安排。那么系統是否安全了呢?這是一般人心中無數也最不放心的問題。應該肯定,一個系統運行的安全與否,不能單從雙方當事人的判定作出結論,而必須由第三方的專業審計人員通過審計作出評價。因為安全審計人員不但具有專門的安全知識,而且具有豐富的安全審計經驗,只有他們才能作出客觀、公正、公平和中立的評價。

安全審計涉及四個基本要素:控制目標、安全漏洞、控制措施和控制測試。其中,控制目標是指企業根據詳細的計算機應用,結合單位實際制定出的安全控制要求。安全漏洞是指系統的安全薄弱環節,容易擾或破壞的地方。控制措施是指企業為實現其安全控制目標所制定的安全控制技術、配置方法及各種規范制度。控制測試是將企業的各種安全控制措施與預定的安全標準進行一致性比較,確定各項控制措施是否存在、是否得到執行、對漏洞的防范是否有效,評價企業安全措施的可依賴程度。顯然,安全審計作為一個專門的審計項目,要求審計人員必須具有較強的專業技術知識與技能。

安全審計是審計的一個組成部分。由于計算機網絡環境的安全將不僅涉及國家安危,更涉及到企業的經濟利益。因此,我們認為必須迅速建立起國家、社會、企業三位一體的安全審計體系。其中,國家安全審計機關應依據國家法律,非凡是針對計算機網絡本身的各種安全技術要求,對廣域網上企業的信息安全實施年審制。另外,應該發展社會中介機構,對計算機網絡環境的安全提供審計服務,它與會計師事務所、律師事務所一樣,是社會對企業的計算機網絡系統的安全作出評價的機構。當企業治理當局權衡網絡系統所帶來的潛在損失時,他們需要通過中介機構對安全性作出檢查和評價。此外財政、財務審計也離不開網絡安全專家,他們對網絡的安全控制作出評價,幫助注冊會計師對相應的信息處理系統所披露信息的真實性、可靠性作出正確判定。

二、網絡安全審計的程序安全

審計程序是安全監督活動的詳細規程,它規定安全審計工作的詳細內容、時間安排、詳細的審計方法和手段。與其它審計一樣,安全審計主要包括三個階段:審計預備階段、實施階段以及終結階段。

安全審計預備階段需要了解審計對象的詳細情況、安全目標、企業的制度、結構、一般控制和應用控制情況,并對安全審計工作制訂出詳細的工作計劃。在這一階段,審計人員應重點確定審計對象的安全要求、審計重點、可能的漏洞及減少漏洞的各種控制措施。

1了解企業網絡的基本情況。例如,應該了解企業內部網的類型、局域網之間是否設置了單向存取限制、企業網與Internet的聯接方式、是否建立了虛擬專用網(VPN)?

2了解企業的安全控制目標。安全控制目標一般包括三個方面:第一,保證系統的運轉正常,數據的可靠完整;第二,保障數據的有效備份與系統的恢復能力;第三,對系統資源使用的授權與限制。當然安全控制目標因企業的經營性質、規模的大小以及治理當局的要求而有所差異。

3了解企業現行的安全控制情況及潛在的漏洞。審計人員應充分取得目前企業對網絡環境的安全保密計劃,了解所有有關的控制對上述的控制目標的實現情況,系統還有哪些潛在的漏洞。

安全審計實施階段的主要任務是對企業現有的安全控制措施進行測試,以明確企業是否為安全采取了適當的控制措施,這些措施是否發揮著作用。審計人員在實施環節應充分利用各種技術工具產品,如網絡安全測試產品、網絡監視產品、安全審計分析器。

安全審計終結階段應對企業現存的安全控制系統作出評價,并提出改進和完善的方法和其他意見。安全審計終結的評價,按系統的完善程度、漏洞的大小和存在問題的性質可以分為三個等級:危險、不安全和基本安全。危險是指系統存在毀滅性數據丟失隱患(如缺乏合理的數據備份機制與有效的病毒防范措施)和系統的盲目開放性(如有意和無意用戶常常能闖入系統,對系統數據進行查閱或刪改)。不安全是指系統尚存在一些較常見的問題和漏洞,如系統缺乏監控機制和數據檢測手段等。基本安全是指各個企業網絡應達到的目標,其大漏洞僅限于不可預見或罕預見性、技術極限性以及窮舉性等,其他小問題發生時不影響系統運行,也不會造成大的損失,且具有隨時發現問題并糾正的能力。

三、網絡安全審計的主要測試

測試是安全審計實施階段的主要任務,一般應包括對數據通訊、硬件系統、軟件系統、數據資源以及安全產品的測試。

下面是對網絡環境會計信息系統的主要測試。

1數據通訊的控制測試數據通訊控制的總目標是數據通道的安全與完整。詳細說,能發現和糾正設備的失靈,避免數據丟失或失真,能防止和發現來自Internet及內部的非法存取操作。為了達到上述控制目標,審計人員應執行以下控制測試:(1)抽取一組會計數據進行傳輸,檢查由于線路噪聲所導致數據失真的可能性。(2)檢查有關的數據通訊記錄,證實所有的數據接收是有序及正確的。(3)通過假設系統外一個非授權的進入請求,測試通訊回叫技術的運行情況。(4)檢查密鑰治理和口令控制程序,確認口令文件是否加密、密鑰存放地點是否安全。(5)發送一測試信息測試加密過程,檢查信息通道上在各不同點上信息的內容。(6)檢查防火墻是否控制有效。防火墻的作用是在Internet與企業內部網之間建立一道屏障,其有效性主要包括靈活性以及過濾、分離、報警等方面的能力。例如,防火墻應具有拒絕任何不正確的申請者的過濾能力,只有授權用戶才能通過防火墻訪問會計數據。

2硬件系統的控制測試硬件控制測試的總目標是評價硬件的各項控制的適當性與有效性。測試的重點包括:實體安全、火災報警防護系統、使用記錄、后備電源、操作規程、災害恢復計劃等。審計人員應確定實物安全控制措施是否適當、在處理日常運作及部件失靈中操作員是否作出了適當的記錄與定期分析、硬件的災害恢復計劃是否適當、是否制定了相關的操作規程、各硬件的資料歸檔是否完整。

3軟件系統的控制測試軟件系統包括系統軟件和應用軟件,其中最主要的是操作系統、數據庫系統和會計軟件系統。總體控制目標應達到防止來自硬件失靈、計算機黑客、病毒感染、具有特權職員的各種破壞行為,保障系統正常運行。對軟件系統的測試主要包括:(1)檢查軟件產品是否從正當途徑購買,審計人員應對購買訂單進行抽樣審查。(2)檢查防治病毒措施,是否安裝有防治病毒軟件、使用外來軟盤之前是否檢查病毒。(3)證實只有授權的軟件才安裝到系統里。

4數據資源的控制測試數據控制目標包括兩方面:一是數據備份,為恢復被丟失、損壞或擾的數據,系統應有足夠備份;二是個人應當經授權限制性地存取所需的數據,未經授權的個人不能存取數據庫。審計測試應檢查是否提供了雙硬盤備份、動態備份、業務日志備份等功能,以及在日常工作中是否真正實施了這些功能。根據系統的授權表,檢查存取控制的有效性。

5系統安全產品的測試隨著網絡系統安全的日益重要,各種用于保障網絡安全的軟、硬件產品應運而生,如VPN、防火墻、身份認證產品、CA產品等等。企業將在不斷發展的安全產品市場上購買各種產品以保障系統的安全,安全審計機構應對這些產品是否有效地使用并發揮其應有的作用進行測試與作出評價。例如,檢查安全產品是否經過認證機構或公安部部門的認征,產品的銷售商是否具有銷售許可證產品的安全保護功能是否發揮作用。

四、應該建立內部安全審計制度

篇5

作為我國電子政務重要基礎設施的電子政務外網,為了實現服務各級黨政部門,滿足各級政務部門社會管理、公共服務等方面需要的重要功能,要求具有互聯網出口,并且與互聯網邏輯隔離。因此,電子政務外網面臨來自互聯網和內部網用戶兩大急需解決的安全難題。

二、設計思路

本方案按照《國家電子政務外網安全保障體系總體規劃建議》進行設計,規劃范圍以市級電子政務外網為主,以市級電子政務外網運維中心為重點,覆蓋市委、市政府、市人大、市政協和多個委辦局單位以及市屬各個縣區,根據國家電子政務外網安全保障體系的規劃,市級電子政務外網安全體系包括如下三個方面的內容:

(一)安全管理體系。主要包括:按照國家安全保障體系建設標準,建設市級安全管理中心(SOC);以《國家電子政務外網安全標準指南》為標準貫徹執行國家已有安全法規標準,同時制訂符合本市電子政務外網自身特點和要求的有關規定和技術規范。

(二)網絡安全基礎防護體系。主要包括:網絡防護與隔離系統、入侵防御系統、接入認證系統、業務隔離和加密傳輸系統、防病毒、漏洞掃描系統等。

(三)網絡信任體系。主要包括:PKI/CA系統、權限管理系統和認證授權審計系統。

三、方案設計

(一)安全管理中心。市級安全管理中心是市級電子政務外網安全的規劃、實施、協調和管理機構,上聯省級電子政務外網安全管理中心,把各類安全事件以標準格式上報到省中心,同時對縣區管理中心下發安全策略,并接收縣區的日志、事件。縣級安全管理中心在市中心的授權下,具有一定的管理權限,并對縣級安全策略及日志、事件進行采集和上報。市級安全管理中心也是市級網絡安全設施的管理維護機構,為使安全設施能夠最大限度地發揮其安全保障功能,需要建立一個良好的安全綜合管理平臺,以實現業務流程分析,并對業務系統在安全監控、安全審計、健康性評估等方面的運行進行有效的管控,從全局角度進行安全策略的管理,對各類安全事件作出實時的監控及響應,為管理者提供及時的運行情況報告、問題報告、事件報告、安全審計報告、健康性報告和風險分析報告,從而使決策者能及時調整安全防護策略,恰當地進行網絡優化,及時地部署安全措施,消除各類安全隱患。

(二)基礎防護平臺建設。基礎防護平臺主要是以確定的安全防護模型框架為依據,結合政府業務的實際安全需求,在原有互聯網安全設施基礎上進行安全基礎防護體系的新建或擴充、延伸與擴展。包括邊界隔離與控制、身份鑒別、認證與授權、入侵檢測與防御、安全審計與記錄、流量監測與清洗、數據加密傳輸、病毒監測與防護、安全掃描與評估、安全策略集中管理、安全監控管理和安全審計管理等基礎安全防護措施。最終達到提升系統的整體抗攻擊能力,確保電子政務外網能夠更好地支撐各類政務應用系統的運轉。

(三)邊界隔離與控制。防火墻是實現網絡邊界隔離的首選設備,防火墻是運行于軟件和硬件上的,安裝在特定網絡邊界的,實施網間訪問控制的一組組件的集合。它在內部網絡與外部網絡之間形成一道安全保護屏障,防止非法用戶訪問內部網絡上的資源和非法向外傳遞內部信息,同時也防止這類非法和惡意的網絡行為破壞內部網絡。它可以讓用戶在一個安全屏障后接入互聯網,還可以把單位的公共網絡服務器和企業內部網絡隔開,同時也可以通過防火墻將網絡中的服務器與網絡邏輯分離,進行重點防護。部署防火墻能夠保護一個網絡不受來自另外網絡的攻擊。

(四)入侵檢測與防御。在整體的網絡安全中,依靠安全策略的指導,對信息系統防護有積極的意義。但是,無論網絡防護得多么牢固,依舊不能說“網絡是安全的”。因為隨著技術的發展,任何防護措施都不能保證網絡不出現新的安全事件,不被手段高超的人員成功入侵。在攻擊與防御的較量中,實時監測處在一個核心的地位。

(五)安全審計與記錄。安全審計系統記錄了網絡使用者的全部上網行為,是支撐網絡安全事件調查的基礎,是審計信息的重要來源,在電子政務外網的建設中,應當盡量延伸安全審計系統部署的范圍,并采用多種的安全審計系統類型(如網絡審計、主機審計、數據庫審計等)擴展安全審計的層面。

(六)流量檢測與清洗。流量檢測與清洗服務是針對網絡傳輸信息流類型、大小以及諸如DOS/DDOS等安全攻擊行為的監控、告警和防護的一種網絡安全服務。該服務對進出內部網絡的業務數據流量進行實時監控,及時發現包括DOS攻擊在內的異常流量。在不影響正常業務的前提下,清洗掉異常流量。有效滿足各業務系統運作連續性的要求。同時該服務通過時間通告、分析報表等服務內容提升客戶網絡流量的可見性和安全狀況的清晰性。

(七)統一病毒防護平臺。根據電子政務外網省、市、縣三級分布的特點,可采用多級、多種的方式進行病毒防護系統的綜合部署,包括在網絡邊界安裝硬件防病毒網關、針對特定應用布署網絡防病毒系統、針對多數工作終端布署單機版病毒查殺軟件等方式。

(八)終端管理。利用桌面終端管理系統,對于終端電腦從以下四方面進行進行標準化管理:

1.網絡準入。通過網絡邊界部署的防火墻設備、網絡交換機設備與終端管理服務器配合,實現終端用戶的802.1x準入認證,使得所有終端用戶接入電子政務外網網絡必須提出申請,并對接入機器做防病毒等安全審核,在安裝了準入客戶端軟件(Agent)并分配了用戶名/密碼后,才能合法接入網絡并使用信息資源,開展業務工作,實現了對終端用戶的有效管理。

2.網絡切換。通過實現終端用戶訪問互聯網和電子政務外網兩網切換使用功能,實現對兩網資源使用的嚴格管理,避免安全隱患的發生。

3.文件保險箱。利用“文件保險箱”功能,在終端用戶處于“政務外網”訪問狀態時可以使用“文件保險箱”功能,并創建、修改、使用加密文件或文件夾,在終端用戶處于“互聯網”狀態時無法使用此功能,不能創建、修改、使用加密文件或文件夾,從而保證工作文件的安全。

4.補丁管理。利用桌面系統補丁管理的功能,幫助管理員對網內基于Windows平臺的系統快速部署最新的安全更新和重要功能更新。系統能檢測用戶已安裝的補丁和需要安裝的補丁,管理員能通過管理平臺對桌面系統下發安裝補丁的命令。補丁服務器可自動從微軟網站更新補丁庫,管理員負責審核是否允許補丁在終端系統安裝。通過策略定制,終端系統可以自動檢測、下載和安裝已審核的補丁。

(九)采用2+N的業務模式。對于利用互聯網接入的業務系統,必須采用VPN接入,建設互聯網接入區,隔離互聯網與政務外網的數據包,將互聯網業務進行封裝,確保互聯網業務在專網的VPN通道內進行傳輸,對于需要與互聯網聯接的為公眾服務的業務,通過邏輯隔離的安全防范措施,采用防火墻系統、入侵防御系統和網絡防病毒系統,對互聯網接入業務提供必要安全防護,保障電子政務外網的信息安全。

(十)信任體系設計。建立了基于PKI/CA公鑰基礎設施的數字證書認證體系。完善、推廣、促進數字證書體系的發展和根據業務需要建立相應CA機構,并實現某些應用和管理需要的單點登錄要求。

篇6

各縣區、各部門要把信息安全和保密工作列入重要議事日程,加強領導,落實責任,完善措施,切實抓緊抓好。要按照“誰主管誰負責、誰運行誰負責、誰使用誰負責”的原則,健全信息安全和保密責任制,把責任落實到具體部門、具體崗位和個人。一是各級行政機關要明確一名主管領導,負責本單位信息系統安全和保密管理工作,根據國家法律和有關要求,結合實際組織制訂信息安全和保密管理制度、防護措施,協調處理本單位重大信息安全和泄密事件。二是各級行政機關要指定一個機構具體承擔信息安全和保密管理工作,負責組織落實本單位信息安全和保密管理制度,加強防護手段建設,開展信息安全、保密教育和監督檢查等。三是行政機關中的各內設機構都要指定一位安全觀念強、富有責任心、懂安全防護技術的工作人員擔任專職或兼職信息系統安全員,負責日常督促、檢查、指導工作。四是建立健全崗位信息安全和保密責任制度,明確信息安全和保密責任。

二、強化教育培訓,提高安全意識和防護意識

各縣區、各部門要認真組織信息安全和保密基本技能培訓,開展信息安全和保密形勢分析、典型安全分析和警示教育,并做到經常化、制度化。要把信息安全和保密教育作為工作人員上崗、干部培訓、業務學習的重要內容,提高安全和保密意識,使主動做好信息安全和保密工作成為每個工作人員的自覺行動,把信息安全防護基本技能作為應知應會內容納入工作考核范圍,并作為考核干部的重要依據。加快研究建立行政機關工作人員信息安全技能考試制度,逐步做到工作人員持證上崗。當前,要針對存在的突出問題,深入學習宣傳信息安全“五禁止”規定:一是禁止將信息系統接入國際互聯網及其他公共信息網絡;二是禁止在計算機與非計算機之間交叉使用U盤等移動存儲設備;三是禁止在沒有防護措施的情況下將國際互聯網等公共信息網絡上的數據拷貝到信息系統;四是禁止計算機、移動存儲設備與非計算機、非移動存儲設備混用;五是禁止使用具有無線互聯功能的設備處理信息。行政機關及其工作人員要切實遵守信息安全和保密管理各項規定,做到令行禁止,杜絕安全隱患。

三、完善安全措施和手段,夯實安全工作基礎

一是加強對信息、人員、場所和設備的管理。嚴格執行保密要害部門、要害部位管理制度;嚴格執行人員管理和資格審查制度;嚴格執行計算機、設備登記管理和定期檢查制度;嚴格執行計算機、信息系統軟件和維護服務提供者資質審查及監管制度。

二是實行計算機配置管理和安全審計。加快對辦公用計算機和移動存儲設備實行配置管理,統一編號、統一標志、統一登記;對辦公用計算機逐步加裝安全審計工具,定期進行安全審計。信息安全主管部門要會同有關部門和單位抓緊制訂行政機關辦公用計算機配置指南、安全使用規范和安全審計辦法。

三是規范電子文檔的管理。統一電子文檔命名規則,根據文件內容在文件名中標明密級、類別,便于識別和管理。建立并保留電子文檔的創建、復制、傳遞,電子文檔必須在信息系統中存儲、處理,復制和傳遞電子文檔要嚴格按照同等密級紙質文件的有關規定進行。逐步采用加密技術手段對電子文檔的存儲和傳輸進行保護。

四是加快信息安全防護設施建設。行政機關在規劃建設政府信息系統時,要嚴格遵循同步規劃、同步建設、同步運行的原則,按照國家有關法律法規和標準同步規劃、設計、建設、運行、管理信息安全防護設施。要將信息安全防護設施建設、運行、維護、檢查和管理費用納入預算,保證資金落實。項目審批部門要將擬建政府信息系統是否具備信息安全防護設施作為重要審核內容。政府信息系統建成后,必須經保密工作部門審批后方可投入使用。

五是切實增強政府業務網絡安全保障能力。政府業務網絡是政府信息系統的重要組成部分,是推行電子政務的重要基礎,必須采取切實有效的安全措施。要加快建立健全以身份認證、訪問控制、安全審計、責任認定、病毒防護等為主要內容的網絡安全體系,完善網絡安全技術防護手段。抓緊制訂網絡對接、信息交換、安全技術及運行管理標準規范,實行嚴格的網絡接入審批制度。行政機關要督促、指導業務網絡管理單位完善相應的辦法,保證網絡安全運行。

六是嚴格信息技術產品的采購管理。按照政府采購法和有關政策要求,行政機關要帶頭使用國產信息技術產品和服務,確保信息系統安全可控。其中,辦公用計算機、公文處理軟件、信息安全產品等應使用國產產品,信息安全服務應選擇有相應資質的國內廠商,因特殊原因必須選用國外信息技術產品和信息安全服務的,應進行安全審查,并報本單位主管信息安全工作的領導同志批準。政府信息系統、保密要害部門和部位使用信息技術產品及服務,必須嚴格執行國家有關保密規定和標準。政府信息系統以及關系國家安全的重要信息系統的數據中心,災難備份中心不得設立在境外,原則上不得接受在線遠程服務。

四、做好信息安全檢查工作,依法追究責任

篇7

衛生監督信息系統信息安全技術體系建設,嚴格遵循等級保護第三級的技術要求進行詳細設計、技術選擇、產品選型、產品部署。技術體系從物理安全、網絡安全、主機安全、應用安全、數據安全及備份恢復等5個方面進行設計。

1.物理安全

衛生監督中心現有南北兩個機房,機房及相關配套設施面積總計160平方米。北機房部署等級保護第三級信息系統,南機房部署等級保護第二級信息系統,實現了第三級系統與第二級系統物理環境隔離。根據等級保護有關要求,機房均采用了精密空調、門禁系統、環境監測系統等設備設施及技術手段,有效地保證了機房的物理安全。

2.網絡安全

主干網絡鏈路均采用雙鏈路連接,關鍵網絡、安全設備均采用雙機冗余方式,避免單點故障。采用防火墻、入侵防護系統、DDoS系統進行邊界防護,各網絡區域之間采用防火墻進行區域隔離,在對外服務區部署了入侵檢測系統,在交換服務區部署了網絡審計系統。在核心數據區部署了數據庫審計系統,對網絡行為進行監控和記錄。在安全管理區部署安全管理系統,實現設備日志的統一收集及分析。

3.主機安全

所有服務器和管理終端配置了密碼安全策略;禁止用戶遠程管理,管理用戶必須進入機房通過KVM進行本地管理;所有服務器和管理終端進行了補丁更新,刪除了多余賬戶,關閉了不必要的端口和服務;所有服務器和管理終端開啟了安全審計功能;通過對數據庫的安全配置,實現管理用戶和特權用戶的分離,并實現最小授權要求。

4.應用安全

衛生監督中心7個應用系統均完成了定級備案,并按照等級保護要求開展了測評工作。應用服務器采取了集群工作部署,保證了系統的高可用性,同時建立了安全審計功能模塊,記錄登錄日志、業務操作日志、系統操作日志3種日志,并實現查詢和審計統計功能,配置了獨立的審計賬戶。門戶網站也采用了網頁防篡改、DDoS等系統。信息安全等級保護第三級系統管理人員及高權限用戶均使用CA證書登錄相應系統。

5.數據安全及備份恢復

衛生監督信息報告系統數據庫服務器使用了雙機熱備,應用服務器采用多機負載均衡,每天本地備份,保證了業務系統的安全、穩定和可靠運行。其余等級保護第三級信息系統使用了雙機備份,無論是軟件還是硬件問題,都可以及時準確地進行恢復并正常提供服務。同時,衛生監督中心在云南建立了異地數據備份中心,每天進行增量備份,每周對數據進行一次全備份。備份數據在一定時間內進行恢復測試,保證備份的有效性。

二、信息安全管理體系

在開展信息安全等級保護工作中,我們深刻體會到,信息安全工作“三分靠技術,七分靠管理”。為保證信息安全等級保護工作順利進行,參考ISO/IEC27001《信息安全管理體系要求》,衛生監督中心建立了符合實際工作情況的信息安全管理制度體系,明確了“統一領導,技管并重;預防為主,責權分明;重點防護,適度安全”的安全方針,涵蓋等級保護管理要求中安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理五大方面的要求。衛生監督中心建立了較為完善的信息安全責任制,設立了信息安全領導小組,領導小組組長由衛生監督中心主任擔任,成員由衛生監督中心有關處室負責人組成,信息處作為信息安全工作辦公室負責衛生監督中心日常信息安全管理工作。信息處設立了信息安全管理崗位,分別為網絡管理員、系統管理員、應用管理員、安全管理員、安全審計員、機房管理員,并建立了信息安全崗位責任制度。此外,衛生監督中心依據上年度運維中存在的信息安全隱患每年對其進行修訂,確保信息安全工作落到實處。

三、信息安全運維體系

在信息安全工作中,建立信息安全管理制度不是目的,要以信息安全等級保護有關要求指導信息安全運維實踐。衛生監督中心結合實際情況,編制了《國家級衛生監督信息系統運行維護工作規范》,從運行維護流程、資源管理和環境管理三個方面進行了規范,將安全運維理念落到實處。運維人員在實際工作中,嚴格按照工作規范要求。利用衛生監督中心OA系統,建立了統一的服務臺,實現了事件、問題的全流程閉環管理(即:發現問題、登記問題、解決問題、解決反饋、解決確認)。年均處理信息安全事件近百件,將信息安全問題消滅在萌芽階段,有效地保證了信息系統穩定運行,保證了衛生監督中心信息安全目標和方針的實現。

四、信息安全等級保護實踐經驗

1.規范管理,細化流程

衛生監督中心從安全管理制度、安全管理組織機構及人員、安全建設管理和安全運維管理等方面建立了較為完善的安全管理體系。通過管理體系的建設,為國家級衛生監督信息系統運維管理工作中安全管理提供了重要指導。國家級衛生監督信息系統運維工作從安全管理體系的建設中吸取了很多有益經驗,不僅合理調配了運維管理人員,落實了運維管理組織機構和崗位職責,而且細化了運維管理流程,形成了“二級三線”的運維處理機制。

2.循序漸進,持續完善

篇8

關鍵詞:防護體系;醫院信息系統;立體安全

現如今,醫院已經可以采用電子信息技術實現對整個醫院各個環節的覆蓋,其中包括設備物資管理、HIS、PASS、LIS、PACS、醫療統計分析,全面覆蓋管理、研究、護理、醫療、教學、后勤等,在遠程醫療、合作醫療的條件下,醫院信息系統無法脫離網絡的客觀因素來實現操作。而在復雜、龐大的網絡結構背景下,如何保證醫院的信息系統能在安全穩定的環境下展開有序的運行,是醫療服務正常開展的重要前提與保障,并且醫院信息系統的安全性也關系到患者和醫院的隱私、是維護患者和醫院基本權益的重要基礎。我們要引起高度的重視。

1 醫院信息系統立體安全防護系統的設計需求

在醫院運行信息系統的過程中,具有良好的安全手段、安全管理、安全策略、安全環境等良好的特性,所以在開放的網絡背景下,醫院信息系統的安全問題主要是由于黑客等人為的故意入侵與破壞,造成數據泄露、醫院信息系統配置問題等隱患。針對這樣的安全風險,我們主要通過建立科學合理的安全防護體系來確保其正常運行,可以分為以下4個環節:網絡安全、物理級安全、系統級安全、應用級安全。安全管理標準和制度是整個信息系統防護體系的中心任務。對數據安全起到多角度、多方位、多層次的立體防護。

2 醫院信息系統立體安全防護系統的設計構想

為了更好的應對上訴提到的安全風險,我們應該建立安全可靠的安全防護體系,堅持以多角度、多方位為體系設計的基本原則,制定網絡安全策略、應用安全策略、系統安全策略、安全管理策略等,更好的完善整個防護體系。在等級保護的作用指引下,應該采用P2DR(防護、響應、檢測)安全模型作為系統建設和安全規劃的基本方針和思路。防護體系根據事中檢測、事前防護、時候審計等作為根本指導策略。

3 醫院信息系統立體安全防護系統的全面設計

3.1物理層安全 物理安全主要包括物理訪問控制、防破壞、電磁防護、物理位置選擇、防火、防潮、溫濕度控制、防雷擊、防盜竊、防水電力供應等。

3.2網絡層面的安全防護 關于網絡層面的安全防護控制主要內容有訪問安全控制、入侵防范、結構安全、惡意代碼防范、網絡防備防護等。其中通過幾個方面進行具體的操作:

3.2.1劃分安全區域 對安全區域的劃分主要包括以下幾項基本原則:結構簡化原則、立體防護原則、業務保障原則、生命周期原則、等級保護原則。

3.2.2對邊界訪問進行控制 在網絡體系中,對個區域的邊界訪問進行控制是很有效的防護手段,主要是對醫院信息防護系統的各個邊界進行安全防護措施,例如部署防火墻、運行入侵檢測系統、隔離網閘、對vlan進行劃分等高級別的網絡控制手段。

3.2.3開展網絡審計 在開展信息系統網絡維護的過程中,在交換機的旁邊布置網絡審計和網絡監控系統,對網絡流量數據展開相應的網絡審計,與此同時,將其他網絡設備的監控數據收集起來共同為整個防護體系提供檢測數據。

3.2.4開展網絡入侵防范措施 交換機是信息系統的核心設備,可以在交換機的旁邊部開展對網絡入侵的檢測測試系統。將計算機網絡收集的信息進行具體全面的檢測與分析,一旦發現有安全隱患的行為就要及時進行處理。例如木馬、病毒、間諜軟件、蠕蟲、可以代碼等。同時在發現嚴重危險信號時應該馬上報警。

3.3對主機層的安全防護 對主機層面進行安全防護的內容主要包括訪問控制、入侵防護、身份鑒別、安全審計、資源控制、對惡意代碼防護等。我們具體介紹下其中幾個方面的防護內容。

3.3.1身份鑒別 為了更好的提高網絡防護的性能要求,保證運行的穩定性和安全性,我們對主機系統采用身份鑒別的方式加以鞏固,相關的步驟為:首先對網絡操作的用戶進行身份識別,確保用戶名不重復的登陸。然后根據口令要求,采用長度高于8位數、3種不同字符的口令。最后,如果登陸失敗,應該立即關鍵會話窗口,并對關鍵的主機系統進行重新驗證。

3.3.2主機入侵防護 通過掃描、檢測等多種手段對有可能出現的主機入侵情況進行防護,在操作過程中應該注意以最小安裝為基本原則,降低在服務和程序中可能出現的漏洞。

3.4應用層的防護

3.4.1安全審計 對應用層進行安全審計主要是針對業務管理系統來說的,業務管理與應用應該和信息安全系統相聯系起來。將應用功能和審計功能放在同等重要的位置上。可以對醫院里一些比較重大的事情發生時間、發生情況、主要人物等進行相關的記錄和描述。并且做好相應的保護措施,禁止非法修改、刪除等[1-3]。信息系統可以對收集到的數據進行分析、統計、查詢等操作。審計系統要對每個具體的事件狀態進行安全審計,確保數據庫的穩定性。

3.4.2通信的完整 可以通過加密的方式對整個信息的傳輸過程進行保護,可以采用密碼機等相關的防護措施來確保數據遠程交換的完整性。

4 結束語

要完善醫院信息系統的安全防護體系是醫院開展正常工作的重要保障與條件,但是面對復雜多變的網絡環境,信息系統還存在很多的安全隱患需要我們及時的進行維護與改善,除了加強相應的技術手段外,還要建立安全的信息管理體系對信息系統進行全面的管理,加強規范化的操作手段,要提升技術與管理的相互合作、相互協調性,確保信息系統的穩定性。

參考文獻:

[1]劉金長,賴征田,楊成月,等.面向智能電網的信息安全防護體系建設[J].電力信息化,2013(09).

篇9

一、廉潔自律,嚴修為政之德

20**年,我很好地遵守了黨的四大紀律和八項要求,廉潔自律,嚴于律已,很好地把握自己。無論財經紀律還是其他經濟方面,個人都能堅持原則,沒有利用職務之便為自己謀私利,對吃喝送請堅決進行回絕。主要作法是:

1、堅持學習,用尚方寶劍來警示自己。本時始終堅持看書讀報,對黨的方針政策作到心中有數。充分利用黨委中心組學習和討論的機會,增強對政策的熟悉和理解。認真學習集團下發的各項文件和規定,作到心中有數。

2、涉及重大經濟合同方面的事項嚴格按公司規定辦。20**年公司新增固定資產投資2000多萬元,涉及我分管的部門資金就占了一半,對于這些項目的采購,我以宏觀把握為主,具體采購則是由公司采購小組來完成。這樣就避免了領導一言堂,使采購走過場的可能,從而有效地發揮了采購小組貨比三家的原則,達到了按優采購的目的。

3、堅持民-主集中制原則。對于重大問題多請示,常匯報,把自己分管的工作進行通報,做到在位不越位,分工不分家;使工作大家一起作,困難一起幫。

二、礪志勤勉,緊緊圍繞三條主線開展工作

1、圍繞黨委分工協助總經理抓好落實。

20**年黨委分工中明確,我主管經營管理工作,協助總經理抓好財務工作,兼管地勤保障部、安全檢查站,聯系公安、口岸工作。

公司的財務工作一直走在集團的前列,這是有目共睹的,多年來,形成了一整套行之有效的規章制度,特別是20**年度,企劃財務部的工作除了作好了日常工作,如財務指標的下達、年中的財務檢查與考核、以及年未財務兌現工作、集團財務規定的各項工作,充分為了公司的兩大審計工作和文明機場的準備工作積極籌措資金,快速上報各項固定資產投資計劃。此外,還圓滿地完成了湖南審計廳對包括對我分公司在內的機場集團的經濟責任審計工作,這既是一場硬仗,又是一場大勝仗。

地勤保障部和安全檢查站都是一線生產單位,直接面對旅客和機組人員,每一個人的工作都代表了機場的形象,兩個部門在公司的員工總數中占到了二分之一,但相對于目前公司的生產量和場地來說,其工作崗位還欠缺人手。我是從05年開始分管地勤保障部的,從一開始,我不是特別熟悉其工作,因此買了一些服務禮儀方面的書籍來充實自己,平時注意到基層多問、多看,漸漸地熟悉了這個部門的工作性質,崗位流程,以及員工歡快的笑聲與委屈的淚水。地保部的工作是安全與服務兩大主題,但更多地是服務工作。采取了不少形式來提高服務質量。我是從去年開始分管安檢站的工作的,由于國際形勢日益復雜,空防安全凸現壓力。只有從技術手段不斷提升才能有效降低安全風險,同時也必須注重服務質量,才能取得旅客的配合與滿意。

地保部和安檢站還在公司的文藝和體育方面充當著積極的主力軍,他們克服工作壓力,擠出時間,積極參與,涌現出了不少明星或中堅骨干.

2、圍繞公司重點工作搞好督促工作;

應該說,機場分公司2013年有三件大事:即文明機場的創建,安保審計和安全審計。如果說我的分管工作更多地是從塊塊出發的話,那2013年我在督促公司的重點工作方面更多地是從條條出發,兼顧塊塊的。2013年公司的這三件大事,集團都給予了高度的重視,集團領導多次來公司指導工作。公司黨委也是下定決心,集中精力辦大事,出臺了一系列的舉措來確保這三件大事的順利完成。我也正是基于公司的統一部署不折不扣的抓落實的。

在文明機場創建時,我主要負責環境衛生的督察工作。我機場在創建前,基礎工作相對薄弱,環境秩序檔次較低,集團公司秦書記幾次親臨公司指導工作時,對我公司的創建工作從很高的角度出發,除了給候機樓更換了座椅,同意安排專門的改造費用,新增了人手,此外,對工作區的環境衛生的整改也提出了很高的標準。正是由于上級領導的支持與關心,文明機場的創建工作進展比較順利。各部門把各自責任區的環境衛生按照高標準完成了,對于機關下達的整改通知也都能按時完成。

安保審計工作的意義在于嚴把空防安全關口,規范進入隔離區的人、車和物品的程序,消除進入隔離區的人、車和物品可能存在的不安全性因素,完善機場應急救援程序。在審計前,我主要針對機場坪秩序和進入隔離區的證件辦理進行了督促,重點加強了對公安和安檢的檢查工作。在陪同審計組檢查時,不失時機地把公司上下齊心協力地作準備工作的感人經歷介紹給審計人員,讓審計組能更動態地了解我公司的安保審計工作的認真對待的態度和爭取達標的迫切心理。此外,由于安檢員人數和執證上崗率都難以達到標準,安檢站也充分利用同學關系,積極作工作,爭取審計員理解我們的工作,使其相信我們今后會作得更好!

通過文明機場和安保審計工作的順利完成,公司的環境秩序明顯變化了,各種規章和臺賬也建立健全了,迎審工作經驗也豐富了。因此,對于安全審計工作也作到了心中有數。安全審計工作包含七大部分,我主要負責對各部門的進度情況進行掌握,重點是帶領人事部對各部門的人員培訓進行檢查。由于大家的準備工作充分,加上審計過程中積極熱情,把一個充滿活力,富有朝氣的荷花機場展現在審計組全體人員和觀摩人員面前了,因此,審計工作相當順利地通過了。

3、圍繞公司對外關系作好協調工作;

篇10

為了應對各種安全風險,保障公安網絡及其信息資源的安全,四川省公安選用了啟明星辰的全系安全產品來為其提供全面、可靠的安全保障。

安全域劃分

遵循IATF的縱深防御思想和IA原則,結合四川省公安信息網絡的實際情況,啟明星辰對整個網絡進行了安全域劃分。啟明星辰將整個網絡劃分為邊界接入域、計算環境域、網絡設施域和支撐設施域四個安全域;每個安全域又分為不同的安全區,如根據接入的現狀將邊界接入域劃分為外聯網接入區、內部接入區、內聯網接入區和邊界接入平臺四個不同的接入區。

在這四個安全域中,所面臨的風險和風險的危害程度是各不相同的,防護的重點也不一樣,需要根據每個安全域的特點制定相應的安全策略,部署相應的安全產品。

邊界接入域

網絡邊界的綜合安全防護

邊界接入域所面臨的主要威脅包括非授權訪問、來自外部的入侵、蠕蟲病毒等,因此在邊界接入域上需要采取訪問控制(防火墻)、安全遠程接入(VPN)、防病毒和網絡入侵防御等多種安全防護措施,全面應對網絡安全風險。

針對邊界接入域的防護需求,啟明星辰在邊界接入域各接入區的邊界位置部署天清漢馬USG一體化安全網關,以提供綜合的安全防御。

天清漢馬USG一體化安全網關是國內領先的UTM產品,市場份額在2007年和2008年連續兩年位居國內廠商前茅。天清漢馬USG除具備防火墻的狀態檢測和訪問控制功能外,還具備VPN、網關防病毒、網絡入侵防御(IPS)、抗拒絕服務(DoS)攻擊等高級安全功能,能夠為網絡邊界提供立體化的縱深防御,并大大簡化網絡邊界的安全部署。天清漢馬USG采用了高性能的硬件架構和一體化的軟件設計,在開啟多種安全防護功能之后,仍然能夠確保高性能和低延遲,可謂是邊界防御的理想之選。

計算環境域

核心業務安全防御和合規保障

計算環境域包含了公安信息網中核心的業務平臺和業務服務器,其所面臨的主要威脅是外界對應用系統的攻擊和入侵行為,尤其是SQL注入攻擊和跨站腳本(XSS)攻擊對網絡業務系統所帶來的嚴重危害。另外,內部人員越權、濫用、操作失誤和抵賴等行為所帶來的安全風險,也需要進行積極的防范。

以核心計算域核心服務器區的防護為例,針對外部的攻擊和入侵行為,可以通過部署千兆天清NDP入侵防御系統(IPS)來提供深層防御。天清IPS可以防御傳統防火墻發現不了的4~7層深層攻擊行為,如緩沖溢出、木馬后門、蠕蟲病毒等,能夠進一步提升對關鍵業務和數據的防御能力。針對日益泛濫的SQL注入攻擊、跨站腳本攻擊等網絡攻擊行為,天清IPS采用了攻擊機理分析的檢測技術。與傳統的基于數據特征匹配和基于異常模型構建的檢測方相比,基于攻擊機理分析的檢測技術有著更低的漏報率和誤報率,能夠對網絡攻擊行為進行精確的判斷和阻斷,不會因為誤警而影響網絡的正常應用。

針對內部合規審計和管理的需求,通過部署啟明星辰天h網絡安全審計系統,可以做到對重要數據庫和關鍵業務應用的行為審計。天h網絡安全審計系統是對業務環境下的網絡操作行為進行細粒度審計的合規性管理系統。它通過對被授權人員和系統的網絡行為進行解析、分析、記錄、匯報,能夠幫助用戶實現事前規劃預防、事中實時監控和違規響應,以及事后合規報告和追蹤回放,從而加強內外部網絡行為監管,避免核心資產(數據庫、服務器、網絡設備等)損失,保障業務系統的正常運營。

網絡設施域

網絡行為和流量監控

網絡設施域內的各種網絡設備,承載著公安信息網內所有的業務和通信流量,面臨著漏洞利用、數據竊聽、通信鏈路故障等風險。除了通過各種措施保證通信鏈路的可靠性以外,還需要對網絡中的各種安全事件、網絡流量的分布情況進行監測,并根據監測到的信息及時調整安全策略。

針對網絡設施域的防護需求,啟明星辰在信息網的核心交換機上旁路部署天闐入侵檢測系統(IDS),來對全網的安全事件和流量信息進行監控。

啟明星辰的天闐IDS連續六年(2003~2008年)蟬聯國內IDS市場領先地位,是名副其實的中國IT安全市場入侵檢測知名品牌。天闐IDS可以監視端口掃描、木馬后門攻擊、緩沖區溢出攻擊、IP碎片攻擊、網絡蠕蟲攻擊等各種入侵事件,并在發生嚴重入侵事件時通過屏幕提示、郵件告警、E-mail告警等多種方式向管理員提供報警。天闐IDS還可以對全網的流量情況進行全局分析,提供實時的流量統計圖,幫助網絡管理員直觀地掌握網絡中各種應用的分布情況。

支撐設施域

脆弱性評估和內網安全

支撐設施域范圍很廣,包含了信息網中所使用的業務應用運維系統、公用秘鑰體系、安全管理體系等各種支撐體系。支撐域所面臨的風險主要有兩方面:一方面是支撐域中的各種終端、網絡設備、服務器可能存在的漏洞和脆弱性,這些漏洞和脆弱性能夠被不法分子利用以進入內部網絡,非法獲取內部信息資產;另一方面來自于內部人員,員工的不規范操作、終端隨意接入、權限私自共享等行為,往往會導致傳輸泄密、網絡癱瘓、文件破壞等嚴重后果。

對于資產的脆弱性風險,通過在支撐域中部署天鏡脆弱性掃描和管理系統,可以快速發現網絡中的各種資產,并對資產進行識別;對網絡中的核心服務器、各種終端、重要的網絡設備,包括服務器、交換機等進行安全漏洞檢測和分析;對于發現的漏洞,給出修復建議和預防措施,并對風險控制策略進行有效審核,從而幫助客戶在弱點全面評估的基礎上實現安全自主掌控。

對于內部人員風險,通過在業務和運維終端部署天內網風險控制和安全管理系統,能夠對全網的接入主機進行補丁自動分發和終端合規檢查,杜絕不安全的終端接入內網。使用天獨有的內核加密技術,可實時動態加解密,以及基于用戶角色的關鍵數據受控共享,結合完善的防非法外聯技術,能夠有效切斷數據非法傳播途徑,從根本上解決數據防泄密問題,保護用戶關鍵信息資產。