發布時間:2023-03-01 16:27:59
序言:寫作是分享個人見解和探索未知領域的橋梁,我們為您精選了8篇的信息安全服務樣本,期待這些樣本能夠為您提供豐富的參考和啟發,請盡情閱讀。
亨達公司已取得了國家信息安全測評中心信息安全服務二級(全國最高等級)、注冊信息安全專業培訓(CISP)授權機構、國家信息安全認證中心信息安全集成二級、應急服務二級、風險評估二級、公安部等級保護測評、工業和信息化部通信信息網絡系統集成甲級、計算機網絡系統集成三級、國家計算機應急技術協調處理中心(CNCERT/CC)信息安全服務技術支撐單位以及貴陽市國家保密局信息設備維修等一系列完善的通信與網絡信息安全專業服務資質,通過了ISO9001:2008質量管理體系認證、ISO14001:2004環境管理體系認證和OHSAS18001:2007職業健康安全管理體系認證。
亨達集團先后被評為 “貴州省通信行業協會副理事長單位”、“貴州省通信體育協會副主席單位”,連續五年被省工商行政管理局評為“重信用、守合同”單位,并獲得“全國十佳誠信單位”稱號。目前已建成了集網絡信息安全監控、網絡攻防演練、信息安全培訓、軟件開發以及信息安全產品測評認證于一體的信息化綜合服務保障平臺。
亨達集團自2011年底取得等級保護測評資質以來,配合貴州省公安廳推進信息系統等級保護測評工作,開展了近百家單位共計500多個信息系統的安全等級保護測評,包括貴州省財政廳、貴州省統計局、貴州省交通廳、中國工商銀行貴州分行、中國建設銀行貴州分行、貴陽銀行、貴陽海關、貴州省農村商業銀行、遵義商行、貴州省人民醫院、貴州省腫瘤醫院、貴陽醫學院等各大單位重要信息系統。
基于亨達集團作為貴州省優秀通信建設與網絡信息安全服務企業,長期以來,一直與貴州省通信管理局保持著密切的合作與良好的溝通。公司自2009年起即已被國家計算機應急技術協調處理中心和省通信管理局確立為大區級技術支撐單位。
在基于云計算的網絡系統應用中,入侵者的財富始終伴隨著網絡用戶的不斷增加和網絡應用的不斷發展而與日劇增。豐富的網絡應用客觀上為入侵者提供了廣闊空間,其攻擊手段不斷變化和演進。
1云計算安全服務的挑戰
虛擬化環境對等級保護建設提出了新的需求。我們可以看到,當前的物聯網、工業控制系統、移動互聯網,都實時交互大量數據。在這些數據中有企業機密數據、個人隱私信息等內容,一旦被盜取,將給企業和用戶帶來巨大的信息安全風險。具體來看,主要有以下四個方面給等級保護建設帶來了新的挑戰[2]。
從網絡連接層面看:隨著互聯網逐漸成為政治、經濟、工業發展中不可或缺的一部分,使得原本相對比較封閉的政府、金融、能源、制造等信息系統也不得不逐漸與互聯網之間建立千絲萬縷的聯系。當人們在享受互聯網的智能服務的同時,如何在開放與約束之間找到一個恰當的平衡點,使得利益最大化,損失最小化,是后互聯網時代擺在政企單位和個人用戶面前的一個大難題。
從計算資源層面看:隨著云計算的逐步落地,越來越多的單位正在或即將把業務交托給云服務商,邊界的消失、服務的分散、數據的遷移,使得業務應用和信息數據面臨的賬號安全風險愈發復雜化[3]。
從用戶終端層面看:移動互聯、智能終端大行其道,當員工希望享受工作、生活雙便利的同時,企業卻因為花樣繁多的桌面系統和接入方式該如何管理而大傷腦筋。
從信息數據層面看:從網絡時代的數據大集中到云時代的大數據分析,對人類的數據駕馭能力不斷提出新的挑戰,也為人們獲得更為深刻、全面的洞察能力提供了前所未有的空間與潛力。大數據把原本零散片面的數據變成統一完整的高價值信息,數據大集中的后果是復雜多樣的數據存儲在一起,很可能會出現將某些敏感業務數據放在相對開放的數據存儲位置的情況,既不符合管理要求,也增加了信息泄露風險。大數據的量級也影響到安全控制措施能否正確運行[4]。
2虛擬化環境下的等級保護建設
針對以上種種問題,在考慮等級保護建設時,就必須加入對終端安全提出更多基本要求:(1)應在業務終端與業務服務器之間進行路由控制建立安全的訪問路徑;(2)應通過設定終端接入方式、網絡地址范圍等條件限制終端登錄;(3)應根據安全策略設置登錄終端的操作超時鎖定。
傳統的等級保護是基于主機安全的,只考慮物理主機。傳統主機式的安全手段無法應用到虛擬主機上,例如會對效率、運行方式等產生影響。虛擬化環境下應該是輕量級的安全。那么在虛擬化環境下需要考慮hypervisor主機和虛擬主機的安全。例如:針對hypervisor主機的入侵和惡意代碼防范。
網絡虛擬化后還需要安全設備能識別網絡虛擬標簽,區分每臺虛擬機主機。網絡安全不僅僅在核心層和接入層,而更多的要延伸到物理機內部。網絡邊界由原來傳統的靜態邊界上升到由于虛擬機遷移產生的動態邊界,并由傳統的硬件設備式的網絡安全,過渡到軟件式的網絡安全。
3云計算安全服務于風險
當前,能源費用高漲、環保意識不斷增強,云計算以低廉成本、高效的計算資源利用率受到追捧。國外廠商行動的同時,國內廠商也在積極部署云計算。最先行動的是國內具有實力的大企業,如中國石油和中國石化等國字頭企業。甚至于早在2009年就提出了建設云計算與網絡的規劃,更是將兩者的發展計劃列入“十二五”規劃;海南航空建設了整個航空公司的云計算平臺;國藥控股國大藥房利用云計算技術部署了醫藥零售一體化平臺,實現由上而下的專業化、一體化、精細化管理,增強了企業競爭力,在國內云計算發展態勢已是風生水起。
大企業們之所以如此重視云計算,是因為他們通過對云計算的考察,對其特點有了充分的了解,深知云計算在企業管理和成本效益上的巨大優勢。但與大企業積極關注、規模部署云計算相反,大部分中小企業對云計算的部署仍存疑慮。
中小企業對云計算的懷疑態度,與兩方面原因有關:一方面是與國內目前繁雜的云產業環境有關,另外一方面是中小企業并沒有真正意識到云計算所能帶來的競爭優勢。
目前中小企業都面臨著很大競爭和成本壓力,超過75%的中小企業最重要的工作是保持原有客戶,但相關數據顯示,33%的中小企業在過去兩年內都曾遭遇IT系統中斷,因此對于中小企業來說,必須尋找一種低成本、可靠性高的IT服務來提升原有客戶的滿意,這正是以云計算為基礎的云服務優勢所在。
4如何選擇云服務提供商
什么樣的云計算服務適合中小企業呢?中小企業可以從網關外包、災備應用的云服務開始入手。災備對客戶服務的可持續性起到至關重要的作用,能夠幫助中小企業短期內提高信息的安全管理,提高客戶服務穩定性,增加客戶滿意度,穩定固有用戶。而云災備服務不但能夠提高各種設備的綜合穩定性,實現綜合成本降低的預期,使原來很多非流程化的工作通過系統平臺自動化實現,實現高效管理與服務。更能夠充分考慮中小企業用戶按需使用,隨需而變的災備需求。
目前國內市面上充斥著上千家的云服務商,其中真正能夠提供按需服務,靈活配置,滿足中小企業需求的服務商不足5%。很多第三方災備服務商更是偷換概念,簡單買幾臺服務器和存儲設備,就對外宣稱提供云服務。這些云計算服務商多半是開源的,實力不強,產品沒有經過充分的企業級測試,存在很多隱患。而且,開源服務商大多都難以提供企業級的服務,而一旦選擇非企業級的云服務,系統宕機事故頻發,會嚴重影響中小企業的業務運營。因此中小企業在選擇云服務商時要格外慎重,需要對服務商底層技術平臺,運維平臺、包括數據中心等資源進行多方面考察[5]。
不同行業的中小企業對云服務的需求不同,行業差別比較大,例如金融證券業和電子商務類中小企業對相同軟件的基本配置都可能存在很大的區別。因此,中小企業在選擇云服務商時也要關注其對自身行業和需求的了解程度,服務界面的友好型等。
5總結
對比看來,傳統網絡安全技術在防御能力、響應速度、系統規模等方面存在限制,難以滿足日益復雜的安全需求,而云計算則可以利用其超大計算能力與海量存儲能力與海量存儲能力,在安全事件采集、關聯分析、病毒防范等方面實現性能的大幅度提升,構建超大規模安全事件信息處理平臺,極大地提高安全事件的實時處理能力。
參考文獻:
[1]劉威.云計算的安全服務體系和關鍵技術探討[J].中國金融電腦,2011,05:76-80.
[2]馮登國,張敏,張妍.云計算安全研究[J].軟件學報,2011,22(1):71-83.
[3]俞能海,郝卓,徐甲甲.云安全研究進展綜述[J].電子學報,2013,2:371-381.
[4]孫松兒.云計算環境下的安全建設思路[J].信息安全與技術,2010,8:9-12.
[5]虞慧群,范貴生.云計算安全模型與管理[J].微型電腦應用,2013,29(1):1-3.
作者簡介:王寧珍(1974-),女,山西運城人,教師,中教一級,學士學位,研究方向:信息技術及其應用。
作者單位:寧夏大學附屬中學,銀川750021
關鍵詞:計算機云服務;政府政務數據;信息安全;體系構建
中圖分類號:TP309.2
隨著電子政務系統的不斷優化,在構建政府政務信息數據安全管理網絡中,通過采用計算機云服務的模塊,形成具有更多服務管理體系,建設集約、高效、便捷、智能的新型政府,構建互聯,整合,共享,重構,效率的政務信息管理系統,將具有很大的現實意義。
1 簡述計算機云服務技術在政府政務數據信息安全體系中的運用模式
1.1 技術環境的整體突破
在當前政府政務信息數據快速化的背景下,尤其是在基于技術環境下的移動終端技術與通信技術、互聯網技術的不斷進步,這些政務數據信息的快捷顯示,能促進整個政府學習效果的推進。在現代技術以及操作層面的優化環境中,在2Mbps數據傳輸模式下,對相關數據在實現無線網絡連接的傳遞中,可以對政府政務數據中的聲音、圖像數據等動態化的技術管理。因此,在強化系統學習、移動管理的資源共享模式中,可以更大地加強整個數據庫建設的信息運用。
1.2 系統學習的交互式模式
交互式管理是在基于計算機云服務模式下的技術融合方式,在整個政府政務數據信息的系統化學習運用中,可以形成交互式的測驗信息運用,在綜合采用移動運營的系統化方式中,采用短信群發或者其他先進的計數方式,在標準化的無線通信網絡中形成設備綜合管理的升級模式,尤其是在基于C/S架構的移動學習系統開發的技術平臺運用中,對于數據信息技術的處理,包括在對政府政務信息數據的電子郵件、網站界面的訪問等,都能有整體的優化。形成移動學習與數據統計的方式,并集合當前的J2ME、J2EE以及.NET技術的運用,實現政府政務信息數據的云計算技術的交互式模式運用。
1.3 終端發展趨勢分析
在多樣化移動終端數據處理能力加強的狀況下,整個系統的軟件、硬件設備不斷加強,在具備有話音通信技術功能的運用中,將具備數據通信與數據計算能力的硬件運用到整個政務信息數據管理之中,形成移動終端操作系統,構建系統資源的調度與綜合管理,并對整個上層應用軟件提供整體管理平臺,在3G、4G等終端技術的整體發展,突出政務信息數據在終端定制、開放業務等多方面的智能平臺,形成數據管理與服務型政府的整體對接。
2 分析計算機云服務與政務信息化模式的發展階段
2.1 智慧是政務信息化的新階段
在當前政府政務數據信息的智慧政務服務階段,尤其是在互聯網條塊分割與信息孤島的狀況下,加強對政府電子政務的資源整合,尤其是結合政府數據信息中的重點項目,對一些重點領域的業務協作、資源開發、市場調研等,在互聯網協作中得以實現,能提高整個資源共享的力度。通過政府體制機制的創新構建,在轉變政府職能的基礎上,形成相對優化的電子政務管理系統,加強政府政務信息管理的各項職能,奠定更好的管理基礎,在這樣的基礎中,為政府政務信息管理的集約、高效智能、服務型轉型提供良好的平臺,因此,從政府智慧型發展的狀況來看,電子政務的發展離不開內部資源的綜合管理,形成領導決策的重要依據。
2.2 資源整合新理念的運用
資源整合也是政府政務信息數據管理的基礎,在通過機制管理以及法律建設的進步中,加強數據信息的障礙破解,尤其是在突破數據管理中的區塊、部門之間的界限的體制障礙,充分整個數據信息的關聯性,形成跨部門、跨業務之間的資源信息數據,在滿足數據構建以及信息流轉的過程中,有效滿足政府、企業以及民眾的信息需求,進而更好地實現資源配置的最大化,拓展政府政務信息數據應用的整體價值,并從多角度挖掘信息數據的價值,因此,在這個過程中,要全面運用這些數據,形成政府政務信息數據時代中各種技術的綜合,尤其是在資源數據的價值展現,在對海量數據的技術處理、數據挖掘等,對綜合業務功能的決策支持與輔助,在決策層、執行層等各個角度提供更大的發展空間,有利于政府政務信息數據的創新運用。
圖1 以數據為中心的城市綜合平臺示意圖
3 探討基于計算機云服務的政府政務數據信息安全體系構建方式
3.1 數據挖掘系統的技術運用
數據挖掘作為一種綜合技術,與政府政務信息數據的運用相結合,主要是突出基于計算機云計算的技術處理,在數據倉庫、知識庫系統運用的技術手段中,形成數據系統分析模塊,在加強信息數據資源共享的狀況下,形成知識信息數據的整體挖掘,在開發整合系統的運用中,形成以用戶信息為中心的個性化服務模式,在計算機軟件操作層面,構建自動化生成的統計報表,并圍繞宏觀、微觀等角度,做好政府服務職能中的經濟運行狀態與社會綜合管理等多方面的技術支撐,對當前經濟形勢的整體發展形成領導決策的正要依據,并在相應法律法規的監督管理中,制定好信息系統定級備案的方式,通過網站、智能手機、電子顯示屏等終端技術,形成政府政務信息數據資源的關聯與主動性,激活政府于民眾之間的互動模式,推動政府政務工作的透明度,提升公信力。
3.2 以云計算為技術支撐的模塊運用
基于云計算的智慧政務建設將使得政務數據存儲、數據挖掘和數據分析的能力大大提升,促進用戶對于信息的收集、利用,根據個性化的需求,提供針對性的服務,進一步提高政務服務的質量和效率。數據量的爆炸式增長給數據的應用帶來了新的挑戰和困擾。簡單的數據處理方式已不能滿足我們千變萬化、層出不窮的應用需求和服務。如何從海量數據中高效地獲取數據,有效地挖掘并最終得到有價值的信息變得非常困難。
圖2 服務型的智慧政務示意圖
3.3 信息安全基礎設施設計方案
在基于云計算信息化數據處理功能的體系運用中,在數據認證以及基本PKI數字認證機制的身份識別功能,建立全方位的政府信息數據管理模式,突出安全性能的綜合管理,尤其是注重網絡病毒的綜合防治,形成單機防止病毒以及網絡模式防止病毒的方式,防止對政府政務信息數據的入侵,確保整個信息數據的安全性。在網絡化背景的安全防護中,實現動態化的殺毒模式,防止病毒的擴散。在邊界訪問過程中,形成高智能的綜合防火墻和網閘模式,這樣可以對綜合數據包進行分解或者重建,形成靜態的數據,對網絡協議與代碼掃碼等方式,實現整個信息數據安全的綜合管理。
4 結束語
基于計算機云服務技術的綜合運用,尤其是與政府政務數據信息安全體系構建相融合,能帶來前所未有的改變,將智能化、信息化的模式全面運用,形成無線終端設備與無線通信技術的連接,從而實現計算的無處不在,獲取信息資源并進行技術的處理,實現技術和行政雙重方式來維護整個系統的安全,在通過對網絡使用人員、管理人員進行信息安全知識培訓,有效地促進網絡安全管理。
參考文獻:
[1]許垂澤,廖淑華.構建高效安全的校園網絡系統[J].長春師范學院學報,2005(07).
[2]胡麗琴.圖書館網絡信息安全問題分析[J].常州工學院學報,2005(02).
[3]陳芬.淺析網絡Cookie[J].電腦知識與技術,2005(35).
[4]馬曉虎.全國高校網上錄取系統中的信息安全機制[J].電腦知識與技術,2006(35).
關鍵詞: 云計算;云安全;圖書館;網絡安全
中圖分類號:G251.5;G250.7;TP391文獻標識碼:A文章編號:1006-4311(2012)04-0140-020引言
隨著網絡信息化的迅速發展,互聯網已經成為一種計算平臺。云計算是一種典型的網絡計算模式,云計算將是我們共同的未來。而云計算能夠減少成本,將資本性的開支變為運營性開支,它可以提高資源的敏捷性,更有效地響應業務需求,可以提高業務靈活性,將集中精力專業問題,而非基礎設施問題,可以減少碳排放,這也是現代的需求。從圖書館的發展趨勢來看,技術、理念、服務模式往往能夠幫助圖書館更好的發揮其應有的社會服務職能。圖書館應隨著時代的步伐,研究云計算云安全給圖書館帶來的作用和影響,充分利用云安全來提高高校圖書館的網絡信息服務資源的安全。
1云安全
“云安全(Cloud Security)”這個詞,目前有兩個概念,一是“云”的安全問題是RSA Conference 2009里最火熱的話題之一。其中錢伯斯在RSA Conference 2009的主題演講中,提到云計算時語出驚人:“對于安全,云計算是一場噩夢”,認為云計算是不可避免的趨勢,而云計算的發展必將對Cisco的發展有著巨大的意義。
在現階段病毒、攻擊、漏洞等種類的迅速增長,靠特征碼、規則匹配的傳統殺毒方法已力不從心,特征碼、規則庫的增加,只能大量消耗安全產品的性能。對于用戶應用來說,各企事業機構都希望提升安全資源利用率,降低安全投資和管理成本,而現在越來越多的用戶需要更具性價比,更靈活、方便的信息安全服務產品。而信息安全的出路,最終也需要從“云”中尋找,而所謂的“云”其實也就是互聯網,而互聯網安全作為云服務提供給用戶使用。分布式計算、資源共享和動態伸縮性是云計算的最主要的三個特點。如圖1所示。[1]
2云計算的安全技術風險
“云安全”反病毒技術只是云端的計算和商用模式應用到反病毒領域。安全運營包括網絡監控、操作系統和應用程序的補丁部署、軟件與硬件系統配置的加固和權限管理等。需要強調的是,云計算降低單位安全運營成本的同時,也帶來了相應的安全風險,如CSP的風險管理實踐、服務協議(Service License Agreement SLA)的設定,合規化(Compliance)驗證等方面。從調查情況看,數據的安全和隱私風險,已經成為用戶轉移到云計算的首要顧慮。[2]
2.1 網絡信息云安全技術云安全[3]是云計算領域的一個重要應用,它是網絡時代信息安全的最新體現。它融合了并行處理、網格計算、未知病毒發現等新興技術和概念,通過網狀的大量用戶終端,對網絡中軟件進行異常監測,快速獲取互聯網中木馬、惡意軟件的最新信息,并在Server端進行自動分析和處理,再把病毒和木馬的解決方案分發到每一個客戶端。同時第一時間將補丁或安全策略分發到各個分節點。云安全技術應用后,識別和查殺病毒和惡意軟件不再僅僅依靠本地硬盤中的病毒庫,而是依靠龐大的網絡服務,實時進行采集、分析和處理。整個互聯網就是一個巨大的“殺毒軟件”,參與者越多,對每一個參與者就越安全,整個互聯網就會更安全。
2.2 云安全的優點互聯網提供了一個應用、自由、平等和分享的平臺,云安全具有虛擬化、可擴展性、可靠安全等優點,在今后的未來會有更多的優勢來改變我們的工作學習和生活。
2.2.1 云安全的虛擬化云安全平臺最大的特點是利用網絡信息軟件來實現硬件資源的虛擬化管理、調動和應用。用戶通過虛擬的平臺使用網絡資源、計算資源、數據庫資源、硬件資源及存儲資源等,與在自己的計算機上使用的感覺是一樣的。
2.2.2 可擴展性在云安全體系中,可以將服務器實時地加入到現有服務器集群中,以提高“云”處理能力。如果某節點出現故障,則可通過相應策略拋棄該節點,在節點故障排除后實時加入現有集群中,同時也可以第一時間將補丁或安全策略分發到各個分支節點。在瀏覽器中鍵入URL,就可享受“云”中的服務,如在瀏覽器中直接編輯存儲在“云”另一端的文檔,則可與朋友共同分享信息等。
2.2.3可靠安全性云計算為用戶提供了一個可靠安全的數據存儲平臺。云計算以建立服務眾多終端用戶的數據存儲中心來替代當前數據單獨保存,并利用專業數據存儲設備和安全維護人員保障信息安全,而云計算對終端要求低,方便接入[4]。只要利用一臺鏈接互聯網的電腦,就可在瀏覽器中直接編輯存儲在“云”端的文檔與資源,避免了軟件和電腦病毒等問題。如果云中的某臺服務器出現了問題,立即會有其他服務器接管,以保證應用和計算的正常進行。云端提供了最可靠、最安全的數據存儲中心,有專業的團隊在實時管理,所以用戶不必備份數據,同時還能享受到最好、最安全的服務。
3云安全在圖書館網絡信息服務中的應用
3.1 云安全對圖書館的影響云安全將給圖書館IT業務的工作模式帶來巨大的變化,我們以圖書館信息服務安全幾個方面來說明。
3.1.1 降低IT維護的成本,提高信息資源利用率為確保圖書館采訪編目、期刊文獻流通借還、資源檢索等各種業務平臺的正常運行,需要經常對圖書館的計算機、服務器等終端進行維護、升級和更新。而在云安全模式中,服務器的日常維護由專業的云服務提供商來提供,由專業IT人員進行系統維護,減少系統故障和恢復時間,提高信息資源利用率。在硬件上,云計算的優勢功能之一就是海量存貯,將為圖書館的信息服務資源“整合”與“共享”提供了很大的基礎和應用空間[5]。在“云”這種信息統一存貯、提取的高速服務模式下,讓更多的圖書館共同構筑一個有圖書館信息資源空間的“圖書館信息資源云”,每個圖書館的信息資源憑借這個“云”來實現資源的整合與共享。
3.1.2 確保數據安全,提供更充分的信息資源共享在云安全模式中,數據集中存儲,更容易實現安全監測。“云”中有百萬臺服務器,多個數據備份分布在不同的區域,即使“云”中的某臺服務器出現故障,“云”中的其它服務器也可以在最短時間內,快速地將某臺服務器中的數據完全拷貝到別的服務器上,并啟動新的服務器來提供服務,使圖書館真正實現不間斷的安全服務[6]。
關鍵詞:政府;信息安全;信息安全人事管理
隨著我國信息化建設的不斷推進以及電子政務的持續發展,政府信息安全事故也頻頻發生。
資料表明,七成以上的政府信息安全事故是由政府內部相關工作人員引發的。可見,在信息安全事件中起決定作用的是人,人是信息安全保障T作中最活躍的因素。信息安全人事管理是指以現代人力資源管理理論為基礎,從招聘選拔、人員培訓、人員使用、績效考核、人員激勵、離職管理等主要職能人手,對組織中信息安全人員進行科學管理、合理配置和有效開發,籍以實現組織信息安全管理目標的活動。信息安全人事管理是信息安全管理的核心。作為信息安全保障的一個關鍵要素,信息安全人事管理的強化實施可以為政府搭建起一道牢固的“人力防火墻”。本文將現代人力資源管理相關理論與信息安全工作特點結合起來,發掘與提煉信息安全人事管理各主要職能具有特殊性與規律性的實務要點,以期為有關方面提供借鑒和參考。
一、信息安全人員招募與選拔
招募與選拔是政府信息安全人員的“入口”,直接影響到信息安全工作的質量和效率。信息安全人員的招募與選拔實務應該把握以下要點:
1.從招募與選拔的標準上看,突出對個人品德及專業知識的要求。信息安全工作具有保密性、綜合性、層次性和規范性等特點,進而決定了信息安全從業人員具有諸多特殊性及要求:他們在工作中會接觸到關系國家及組織榮辱興衰、生死存亡的大量秘密,保守秘密是他們的基本職業道德;他們必須不斷學習,對自己的知識與能力進行“升級”,才能適應信息時代信息安全工作的需要;他們必須遵守更多的規定,而且在組織中具有明確的職責,不能越雷池半步。這些都表明,信息安全人員必須具有更高的品德修養。這對應聘者提出更高的標準及要求:必須具有很強的組織紀律性和保密意識;具有很強的團隊意識和合作精神,愿意為組織利益犧牲個人利益;具有長遠眼光和接納新事物的胸懷,不斷更新自身素質。組織可以通過面試、心理測驗、背景審查等選拔方式考察應聘者的德行。此外,管理與技術是做好信息安全工作的兩大法寶,因此是否具備一定的信息安全管理與技術專業知識是信息安全人員招聘的另外一個主要標準。組織可以通過筆試來考察應聘者專業知識掌握的程度,并根據職位的不同定位來確定不同的考察重點。
2.從招募的途徑上看,在內部招募和外部招募相結合的基礎上,突出內部招募。內部招募是指從組織內部發現并培養所需要的各種人才,其方式包括內部晉升、崗位輪換和返聘等;外部招募是指按照一定的標準和程序,從組織外部的眾多候選人中挑選符合空缺職位要求的人員,其方式包括人才招聘會與校園招聘等。內部招募和外部招募各有優劣,兩者結合起來可使招募效果最大化。由于信息安全工作的保密性要求,信息安全人員招募一般突出依賴內部招募,這主要是為了人員安全可靠的考慮,確保信息安全人員的穩定性。信息安全關鍵或領導職位出現空缺尤為如此。不過,由于當前我國政府信息安全人才仍舊匱乏,所以當內部招募滿足不了組織用人需求時也適當考慮外部招募。招募非關鍵性信息安全人員時尤為如此。
3.從選拔的過程上看,尤為重視背景審查和保密協議簽訂兩個環節。一般單位選拔人員可能也進行背景審查,但不一定是必須的,或者審查的過程與結果不一定非常嚴格與仔細。與之不同的是,信息安全人員的選拔尤為重視背景審查這個環節。該環節不僅不可或缺,而且在審查的時間、內容、過程、結果等方面比一般人員審查有更高的要求。其意義在于保證信息安全人員招聘的準確性與可靠性,并在“人口”或“源頭”上控制信息安全人事風險。例如,美國中央情報局聯邦調查局等部門在選拔關鍵涉密人員過程中經常采用“心理測謊術”等高科技手段來對候選人進行審查,以確定候選人的誠實度、心理健康度或意志力等。此外,一旦候選人接受了工作,錄用合同就成為重要的安全手段。在合同中,組織可以將“政策認可”作為招聘的一個基本要求即在合同中附上一個保密協議,要求候選人在將來的工作甚至離職后的一段時間中,必須遵守組織相關保密規定,擔負起保障組織信息安全的責任,否則就會
二、信息安全人員培訓
信息安全人員培訓是通過各種方式幫助信息安全人員習得相關的知識、技能、觀念和態度的學習過程以及開發其潛能的各種活動。其實務要點包括:
1.從培訓原則看,堅持保密性原則和適時性原則。保密性原則是指信息安全人員的培訓要做好保密工作,特別是對于培訓內容、時間和地點等,不可隨意泄露,以免引起不必要的麻煩。此外,適時性原則主要是為了順應當前信息安全科技發展迅猛、更新換代速度加快而提出來的。信息安全人員培訓只有遵循適時性原則,才能使信息安全人員跟蹤本領域科技發展最新動態,掌握最先進的知識與技能,以防止思想觀念陳舊與知識技能老化。
2.從培訓內容看,側重于信息安全意識與信息安全知識與技能培訓。高度的信息安全意識是信息安全人員必須具備的基本素質。信息安全意識貫穿于員工工作的始終,但是工作時間越長員工大多會出現倦怠,信息安全意識便會降低逐漸放松警惕,信息安全風險隨之倍增,所以加大信息安全意識培訓力度勢在必行。政府可以使用各種媒介進行宣傳,包括鼠標墊、水杯、鋼筆或在工作期間經常使用的任何物體上,在這些物體上印制上安全標語,用來提醒員工注意安全如在鼠標墊上印上“BeSafe:Think BethreYouClick”,使信息安全人員在每天工作時都最先考慮信息安全,樹立自覺維護信息安全的意識。此外,信息安全行業的綜合性使得組織必須根據學用一致的原則,加強對信息安全人員進行信息安全知識與技能的培訓。只有不斷給員工“輸入”新觀念、新知識與新技術,使其掌握信息安全的基本原理、要求和慣例,才能提高其技術與管理水平。
三、信息安全人員使用
信息安全人員使用是指組織通過各種人事政策,促使信息安全人員與信息安全工作兩者之間實現“人事相宜”、“人職匹配”等,以保障組織信息安全。信息安全人員使用實務要點是:
在檔案信息服務中保護隱私權的意義不僅僅在于維護當事人的合法權益,而且在于為檔案事業的發展營造良好的社會氛圍,推動檔案信息化進程,促進檔案社會價值的發揮。
(一)個人資料收集中的隱私權問題
檔案是一種重要的原始信息,且具有保密性。其中包括公民的一些重要的個人信息,大多數鮮為人知。雖然檔案法對保密檔案的管理和利用、密級的變更和解密都作了嚴格的規定,同時制定了檔案的開放期限,但其法律相對方主要是機關、團體、企事業單位,對于個人重要檔案信息沒有給予明確的說明。事實上,在檔案所有人向檔案館移交、捐贈、寄存或檔案館自行收集關于公民的檔案之初,就應妥善處理好隱私權問題。
隱私權保護問題在傳統的個人資料收集過程中并不太引人注目,但在網絡化的今天,檔案館通過網絡收集個人資料變得快捷化、自動化、詳細化,隱私權問題相對也就更加突出。比如,檔案網站在接受訪問時往往要求用戶提供若干個人資料,包括年齡、性別、身份證號、職業、收入、工作單位、研究方向、聯系電話、傳真、電子信箱等;檔案網站可以利用一些追蹤軟件來持續掌握用戶的網上行為,判斷他們的檔案信息消費特點。
檔案網站采用先進的技術手段收集個人資料并非出于惡意,目的是通過對個人資料的分析與挖掘,找出可能連用戶自己都沒有意識到的檔案信息消費習慣或消費需求,改進服務工作,這是網絡環境中檔案信息服務和信息產品開發“量身定制”的個性化、多樣化的要求。但是,檔案網站在用戶毫不知情或無可奈何的情況下(例如有的網站拒絕為不提供個人資料的用戶服務)收集個人資料,就會侵犯用戶對其個人資料的占有權和支配權。
(二)個人資料傳輸和貯存中的隱私權問題
檔案信息傳輸和貯存過程中所涉及的隱私權問題,主要出現在檔案信息網絡化過程中。
網絡本身的安全性并不十分可靠,這是檔案信息網絡化服務中可能產生隱私權問題的又一個原因。由于技術的不完善,第三方(如“黑客”等)對當事人隱私權的侵犯既可以發生在檔案館與用戶通過網絡傳送個人資料或不同的檔案網站之間共享個人資料的某個環節,也可以發生在檔案網站貯存個人資料的過程中。比如,第三方可以直接侵入檔案網站的用戶數據庫,觀看、篡改、傳播個人資料,如果這種行為是出于惡意,那么當事人的隱私權無疑將受到極大的威脅。
(三)個人資料利用中的隱私權問題
不恰當地利用個人資料是檔案信息服務中可能產生隱私權問題的第三個原因。
檔案利用與隱私權保護之間存在著矛盾,檔案利用必然涉及到公民的隱私權保護問題。如果涉及隱私的檔案被自由利用,就可能導致政治與經濟活動的混亂,使社會公民產生生活危機感,給社會的安寧團結帶來不利因素。因此,如何認識和正確處理好檔案利用與保護公民隱私權問題,是檔案利用工作在改革開放過程中的一個重要課題。由于這種侵權往往涉及到檔案館的管理職能及檔案館對個人資料的常規使用,所以控制和防止此種侵權的困難較大。
由于各種原因,目前在檔案開放利用工作中公民的隱私權得不到應得的保護甚至被人們所忽視,這無疑給檔案信息服務工作帶來了一定隱患。在目前我國隱私權的觀念尚未深入人心,在人們普遍缺乏隱私權保護意識的情況下,檔案部門在開放利用中忽視隱私權保護的行為還能被社會所容忍。但伴隨著我國法制化建設的進程,公民隱私權意識的加強,檔案部門在實際工作中如不能很好地貫徹法律的規定,忽視了對公民隱私權的保護,那么將會在很大程度上影響檔案信息服務工作的開展。
二、檔案信息服務中保護隱私權的對策
要使得公民的隱私權在檔案信息服務過程中得到保護,必須走依法治檔的道路,進行相關方面的檔案法律建設。目前我國《檔案法》中沒有明確規定檔案信息所涉及的隱私權問題,僅在部分條款中作有類似說明。
在檔案信息服務過程中,檔案利用是涉及隱私權的一個關鍵環節,在利用時應區別對待,通過控制使用這些涉及私人權益的檔案,限制其利用范圍,使隱私權受到必要的保護,做到合法利用。
做好檔案信息服務中的隱私權保護,檔案界和檔案館還應采取以下對策:
(一)制定檔案行業的隱私權保護政策
1997年9月27日,國家檔案局、國家保密局聯合頒發了《各級國家檔案館館藏檔案解密和劃分控制使用范圍的暫行規定》。該文件對于有效預防在檔案開放利用工作中發生對個人隱私的侵權,起到非常重要的作用。
(二)加強對個人檔案隱私權的管理與技術保護
1.在檔案管理中采取措施
這是合法利用檔案信息的前提條件,要求對涉及公民隱私權的檔案進行鑒定與區分,使之與一般檔案區別對待,分開保管,做到有關檔案的完整、安全和保密。目前,檔案法規對涉及公民隱私權檔案的劃分并不十分明確,在實際工作中不易操作,這種狀況亟待改善。
2.網絡化過程中的保護手段
相對于傳統的紙質檔案而言,在檔案信息網絡化過程中,可以采取的技術保護手段可謂多種多樣。現在已經有了Cookies軟件管理工具、個人隱私偏好平臺(P3P)、加密軟件、自動刪除個人資料軟件等由用戶自己保護個人資料的技術。檔案網站保護個人資料的技術也有很多種,比如:檔案館為了禁止未獲授權的人截取或查閱個人資料,可以通過設置本網站運行的服務器,自動使電子郵件傳輸到一個預先指定的服務器目錄機密郵箱,只供獲得授權的人查閱。
(三)提高檔案館保護隱私權的自律性
“自律”是檔案館保護隱私權的一條重要原則,即通過檔案館采取自律措施來規范自己在個人資料收集、存貯、傳輸利用中的行為,達到保護隱私權的目的。
1.檔案館應開展檔案開放利用的鑒定工作
組織鑒定小組及時鑒定需要開放利用的檔案,著重分析檔案涉及隱私的內容和本館檔案的類型,從而確定哪些檔案涉及個人隱私,屬于控制范圍。對個人資料的重要程度劃分等級,以決定采取不同的保護措施。檔案館還要建立一些規章制度,避免使所有的檔案館人員都能接觸到敏感的個人資料(如出身、種族、政治傾向、、犯罪記錄等),確保只有經過批準的檔案館人員才能收集、查閱、傳播這些個人資料。對于已到開放期的檔案,要嚴格按照《各級國家檔案館開放檔案辦法》、《各級國家檔案館館藏檔案解密和劃分控制使用范圍的暫行規定》中的相關規定,對擬開放檔案組織認真鑒定,以決定包含個人資料的檔案的開放時間、開放方式和范圍。
2.檔案工作者要注意保護他人隱私
關鍵詞 食品安全;信息追溯;終端查詢
中圖分類號:TS201 文獻標識碼:A 文章編號:1671-7597(2014)10-0137-01
當前食品、藥品等關系國計民生的行業屢屢出現嚴重的質量問題,從毒果凍、毒酸奶、毒膠囊到三聚氰胺、瘦肉精、塑化劑等,無一不在震撼大眾視聽,社會上對于產品的質量安全保證要求呼聲越來越高,企業也非常希望能建立一套完善的質量追蹤追溯系統。《國家十二五規劃》中明確提出要“建立食品藥品質量追溯制度,形成來源可追溯、去向可查證、責任可追究的安全責任鏈”。
2007年吐魯番地區提出加快實施“精品哈密瓜品牌戰略”,開展了包括質量安全信息追溯體系建設等為內容的多種舉措工作,新疆標準化研究院抓住這一契機,在當地相關部門的支持下,建設完成了“吐魯番哈密瓜質量安全追溯體系建設應用示范”項目。項目的建設完成成為質監部門在開展質量安全信息追溯工作方面的首個應用示范工程。隨后通過幾年的努力,截至2011年,又先后在和田、吐魯番、喀什、昌吉等4個地州對總計12個農產品完成了體系建設工作,取得了一定的效果:如追溯體系的建設得到國家中心及兄弟省市同行的認可,產生了一定的影響力;納入平臺企業的信息化管理水平得到了提高,農戶取得了一定的收益。
然而,目前追溯體系建設工作的開展在定位、運作方式、系統功能完善及市場開拓和制度建設等方面還需要進一步地研究與探索,以滿足食品安全信息追溯工作在新形勢下實現快速發展的新要求。
1 平臺網站建設
1.1 平臺網站功能框架
架設應用子系統,主要包括“果蔬類追溯系統”、“乳制品電子信息追溯系統”、“水產品追溯系統”、“畜禽肉追溯系統”等,完善食品安全追溯信息中心數據庫。
主要版塊:新疆食品安全追溯信息查詢服務,新加入會員的產品宣傳,企業展示、營銷,食品安全相關資訊的,力爭將網站建成新疆權威的食品安全追溯網站;同時不斷優化平臺,提高在google、baidu中的排名。
信息方式以實現互聯網、查詢終端、電話、手機接入wap網站服務、短信等。
提供系統智能統計分析;整合各個已有的食品安全信息追溯應用服務,形成對外統計、查詢接口。
1.2 為平臺的可擴展性預留接口,實現追溯信息的資源共享
1)考慮與國家質監總局追溯平臺數據對接。
2)與第三方檢測機構數據對接。
3)考慮與銷售終端網點、信息門戶網站、網上營銷等實現的數據對接與資源共享。
1.3 追溯碼長度適應多樣化要求
可依據企業需求,按照國家標準可自由選擇在編碼要求規定范圍內編制追溯碼;同時,查詢平臺滿足不同長度追溯碼的查詢。
2 平臺主要內容
2.1 平臺的軟件環境
軟件環境:Windows 2000 Server以上的操作系統,Microsoft SQL Server 2000以上的數據庫、IIS(Internet信息服務) 5.0以上、Microsoft .NET Framework 2.0以上、與Microsoft .NET Framework對應的Crystal Reports、Microsoft 2.0 AJAX Extensions。
2.2 平臺建設目的
1)滿足職能部門的監管需要;通過提供有效的追溯信息,為職能部門依法行政、打擊假冒偽劣等工作提供服務。
2)滿足企業管理的需要;“總平臺”建設以“扶優撫強”為基本出發點,通過加強追溯信息鏈條各環節的管理控制工作,提升企業質量控制能力的水平。
3)滿足消費者知情權的需要;通過強化企業的應用主體責任,向社會明示追溯產品信息的真實、有效并公開承諾責任義務,為社會監督企業行為獲取追溯信息提供渠道。
4)滿足研究部門提供有效服務的需要;通過對“總平臺”管理體系、標準體系、技術體系的研究與建設,全面提高向社會各界提供有效服務的能力和水平。
2.3 平臺特點
通過平臺的建設,政府監管部門通過此平臺可及時對企業及食品進行流向跟蹤、抽檢,并拉近了企業與消費者的距離,主要體現在以下幾個方面。
1)實現信息查詢的完整性。在種植/養殖過程、原輔料供應、生產管理、倉儲物流、銷售業務等各個環節采取合適的技術手段實時記錄產品信息,可通過查詢隨時跟蹤產品的生產狀態、倉儲狀態和流向,以達到產品追溯管理的目的。
2)信息的唯一性。通過追溯碼的唯一性,能夠定位到每個或每批次包裝產品。
3)信息查詢的準確性。消費者查詢到的食品安全信息應與企業食品實際生產過程相一致,保證數據的真實性,同時應對數據傳輸各環節進行監控,防止數據篡改和前后不一致。
4)信息查詢的方便性。消費者可通過手機、PC、超市掃描設備等終端隨時隨地對食品安全信息進行查詢。
2.4 平臺建設原則
平臺建設的5個原則:
1)法律法規為基礎的原則:平臺建設充分考慮政策的支持,貫徹落實《食品安全法》、《農產品食品安全法》、《標準化法》、《食品安全法實施條例》、《國務院關于加強食品等產品安全監督管理的特別規定》等相關法律法規。
2)政府引導、企業自愿加入的原則:以“會員制”方式發展成員,以三種模式開展會員制建設工作,一是“政府引導、企業參與”的方式帶動區域追溯體系建設工作;二是以經濟合作方式下的社團參與模式;三是企業化的運作模式。
3)符合“扶優扶強”的原則:加入平臺的企業具備一定的條件,通過“準入制度”的相關要求進行審核評價后,滿足追溯體系建設的最低標準要求方可成為平臺的加盟企業。
4)企業應用主體責任原則:強調企業在食品安全信息追溯中主體責任的內容,通過落實企業在食品安全中第一責任人的角色,協助企業建立“食品質量安全記錄制度”。企業對的信息確保其真實性、準確性、有效性,并向社會公開承諾。
5)整體規劃、分步實施的原則:以完成追溯管理要求和查詢的要求出發,逐步完成較全面的綜合網站平臺建設任務。
3 結束語
質量安全追溯系統的應用,無論對企業還是社會,都具有重大的意義和價值。對于企業來講,追溯系統能解決其生產經營過程中的質量管理問題,有助于企業提高產品質量,提升客戶滿意度;對于社會來講,追溯系統的廣泛應用可以有效地實現產品質量監管。因此,無論企業還是政府部門都在不斷加大力度推動生產、流通領域建立質量安全追溯體系。
第一條 為加強對具有輿論屬性或社會動員能力的互聯網信息服務和相關新技術新應用的安全管理,規范互聯網信息服務活動,維護國家安全、社會秩序和公共利益,根據《中華人民共和國網絡安全法》《互聯網信息服務管理辦法》《計算機信息網絡國際聯網安全保護管理辦法》,制訂本規定。
第二條 本規定所稱具有輿論屬性或社會動員能力的互聯網信息服務,包括下列情形:
(一)開辦論壇、博客、微博客、聊天室、通訊群組、公眾賬號、短視頻、網絡直播、信息分享、小程序等信息服務或者附設相應功能;
(二)開辦提供公眾輿論表達渠道或者具有發動社會公眾從事特定活動能力的其他互聯網信息服務。
第三條 互聯網信息服務提供者具有下列情形之一的,應當依照本規定自行開展安全評估,并對評估結果負責:
(一)具有輿論屬性或社會動員能力的信息服務上線,或者信息服務增設相關功能的;
(二)使用新技術新應用,使信息服務的功能屬性、技術實現方式、基礎資源配置等發生重大變更,導致輿論屬性或者社會動員能力發生重大變化的;
(三)用戶規模顯著增加,導致信息服務的輿論屬性或者社會動員能力發生重大變化的;
(四)發生違法有害信息傳播擴散,表明已有安全措施難以有效防控網絡安全風險的;
(五)地市級以上網信部門或者公安機關書面通知需要進行安全評估的其他情形。
第四條 互聯網信息服務提供者可以自行實施安全評估,也可以委托第三方安全評估機構實施。
第五條 互聯網信息服務提供者開展安全評估,應當對信息服務和新技術新應用的合法性,落實法律、行政法規、部門規章和標準規定的安全措施的有效性,防控安全風險的有效性等情況進行全面評估,并重點評估下列內容:
(一)確定與所提供服務相適應的安全管理負責人、信息審核人員或者建立安全管理機構的情況;
(二)用戶真實身份核驗以及注冊信息留存措施;
(三)對用戶的賬號、操作時間、操作類型、網絡源地址和目標地址、網絡源端口、客戶端硬件特征等日志信息,以及用戶信息記錄的留存措施;
(四)對用戶賬號和通訊群組名稱、昵稱、簡介、備注、標識,信息、轉發、評論和通訊群組等服務功能中違法有害信息的防范處置和有關記錄保存措施;
(五)個人信息保護以及防范違法有害信息傳播擴散、社會動員功能失控風險的技術措施;
(六)建立投訴、舉報制度,公布投訴、舉報方式等信息,及時受理并處理有關投訴和舉報的情況;
(七)建立為網信部門依法履行互聯網信息服務監督管理職責提供技術、數據支持和協助的工作機制的情況;
(八)建立為公安機關、國家安全機關依法維護國家安全和查處違法犯罪提供技術、數據支持和協助的工作機制的情況。
第六條 互聯網信息服務提供者在安全評估中發現存在安全隱患的,應當及時整改,直至消除相關安全隱患。
經過安全評估,符合法律、行政法規、部門規章和標準的,應當形成安全評估報告。安全評估報告應當包括下列內容:
(一)互聯網信息服務的功能、服務范圍、軟硬件設施、部署位置等基本情況和相關證照獲取情況;
(二)安全管理制度和技術措施落實情況及風險防控效果;
(三)安全評估結論;
(四)其他應當說明的相關情況。
第七條 互聯網信息服務提供者應當將安全評估報告通過全國互聯網安全管理服務平臺提交所在地地市級以上網信部門和公安機關。
具有本規定第三條第一項、第二項情形的,互聯網信息服務提供者應當在信息服務、新技術新應用上線或者功能增設前提交安全評估報告;具有本規定第三條第三、四、五項情形的,應當自相關情形發生之日起30個工作日內提交安全評估報告。
第八條 地市級以上網信部門和公安機關應當依據各自職責對安全評估報告進行書面審查。
發現安全評估報告內容、項目缺失,或者安全評估方法明顯不當的,應當責令互聯網信息服務提供者限期重新評估。
發現安全評估報告內容不清的,可以責令互聯網信息服務提供者補充說明。
第九條 網信部門和公安機關根據對安全評估報告的書面審查情況,認為有必要的,應當依據各自職責對互聯網信息服務提供者開展現場檢查。
網信部門和公安機關開展現場檢查原則上應當聯合實施,不得干擾互聯網信息服務提供者正常的業務活動。
第十條 對存在較大安全風險、可能影響國家安全、社會秩序和公共利益的互聯網信息服務,省級以上網信部門和公安機關應當組織專家進行評審,必要時可以會同屬地相關部門開展現場檢查。
第十一條 網信部門和公安機關開展現場檢查,應當依照有關法律、行政法規、部門規章的規定進行。
第十二條 網信部門和公安機關應當建立監測管理制度,加強網絡安全風險管理,督促互聯網信息服務提供者依法履行網絡安全義務。
發現具有輿論屬性或社會動員能力的互聯網信息服務提供者未按本規定開展安全評估的,網信部門和公安機關應當通知其按本規定開展安全評估。
第十三條 網信部門和公安機關發現具有輿論屬性或社會動員能力的互聯網信息服務提供者拒不按照本規定開展安全評估的,應當通過全國互聯網安全管理服務平臺向公眾提示該互聯網信息服務存在安全風險,并依照各自職責對該互聯網信息服務實施監督檢查,發現存在違法行為的,應當依法處理。
第十四條 網信部門統籌協調具有輿論屬性或社會動員能力的互聯網信息服務安全評估工作,公安機關的安全評估工作情況定期通報網信部門。
第十五條 網信部門、公安機關及其工作人員對在履行職責中知悉的國家秘密、商業秘密和個人信息應當嚴格保密,不得泄露、出售或者非法向他人提供。
