政府應該如何保護我們的個人信息安全？

一）加大信息安全宣傳力度對于政府部門來說，大數(shù)據(jù)時代下的個人信息安全問題雖然需要政府主導進行解決，但卻不能完全依靠政府力量來完成各種個人信息安全問題的防范處理，針對當前國內(nèi)網(wǎng)民信息安全素養(yǎng)不足的普遍性問題，政府部門還需從學校教育、媒體宣傳等多方面入手，展開信息安全知識、技能的宣傳教育工作，幫助網(wǎng)民實現(xiàn)個人信息安全素養(yǎng)的有效提升，從源頭上實現(xiàn)對信息安全問題的有效防范。例如在教育方面，可以由教育部門對小學、中學、大學等各階段、各學科的教學內(nèi)容進行調(diào)整，將個人信息安全保護的相關(guān)知識、技能融入到教材或?qū)嵺`教學活動中來，使學生能夠從小接觸、學習信息安全知識與技能，并具備良好的信息安全素養(yǎng)。而在媒體宣傳方面，則可以以專題節(jié)目、紀錄片、網(wǎng)絡(luò)知識科普活動等形式對網(wǎng)絡(luò)信息安全的相關(guān)知識、技能展開宣傳，并由網(wǎng)警部門或其他相關(guān)政府機構(gòu)開通官方微博、微信賬號，向公眾推送各種與日常生活相關(guān)的個人信息安全保護知識，幫助其樹立良好的信息安全防范意識，這樣公眾的信息安全素養(yǎng)能夠得到有效提升，個人信息安全問題也會隨之逐漸減少。（二）健全政府網(wǎng)絡(luò)監(jiān)管機制在大數(shù)據(jù)時代下，政府對于網(wǎng)絡(luò)環(huán)境的監(jiān)管是必不可少的，雖然從目前來看，政府網(wǎng)絡(luò)監(jiān)管工作存在很大的困難，但為了保護公眾的生命財產(chǎn)安全，仍然需要在現(xiàn)有政府網(wǎng)絡(luò)監(jiān)管工作的基礎(chǔ)上，建立完善的網(wǎng)絡(luò)監(jiān)管機制，使政府監(jiān)管工作能夠更加規(guī)范、高效。例如針對網(wǎng)警部門警力不足的問題，可建立專門的公民個人信息安全保護機構(gòu)，與公安部門共同負責處理群眾的個人信息安全問題，并對侵犯公民個人信息安全的行為展開全面監(jiān)控與事前預防，一旦發(fā)現(xiàn)違法分子，應立即依法對其進行懲處，并將這類行為納入到個人或企業(yè)征信體系中來，為公眾提供有效警示。同時針對一些潛在的個人信息安全隱患，則可以轉(zhuǎn)變工作思路，在從網(wǎng)絡(luò)入手的同時，與公民主動進行溝通，了解社會中存在的各種個人信息竊取、泄露、交易的情況，并以此為線索對不法分子進行打擊，從而降低網(wǎng)絡(luò)監(jiān)管的難度。（三）強化互聯(lián)網(wǎng)行業(yè)監(jiān)管大數(shù)據(jù)時代下的個人隱私信息泄露有很大一部分都來自于各網(wǎng)絡(luò)平臺系統(tǒng)，因此為避免公眾個人信息被互聯(lián)網(wǎng)企業(yè)所泄露，政府還需加強對整個互聯(lián)網(wǎng)行業(yè)的監(jiān)管，從行業(yè)準入方面入手對用戶個人信息安全進行嚴格把關(guān)，將存在非法利用他人個人信息行為的用戶隔絕在互聯(lián)網(wǎng)行業(yè)之外，改變當前互聯(lián)網(wǎng)行業(yè)內(nèi)的不良風氣。同時，由于整個互聯(lián)網(wǎng)行業(yè)目前尚未形成完善的自律機制，因此政府部門還需對互聯(lián)網(wǎng)加以引導，強調(diào)用戶個人信息泄露問題的嚴重性，鼓勵企業(yè)健康使用大數(shù)據(jù)，主動擔負起保護用戶個人隱私信息安全的責任，切不可為了眼前的短期利益選擇“竭澤而漁”，這樣整個行業(yè)都會為了長遠發(fā)展而重視用戶個人信息保護，而互聯(lián)網(wǎng)企業(yè)的數(shù)據(jù)信息使用也會變得更加規(guī)范。（四）加快個人信息保護立法個人信息的隱私性是受到法律保護的，當前我國有關(guān)個人信息安全的相關(guān)法律體系存在著一定的不足，實際問題也比較明確，因此只要立法部門能夠針對現(xiàn)存法律問題來加快個人信息保護的相關(guān)立法工作，那么網(wǎng)絡(luò)個人信息法律安全保護的法律體系就必然能夠得到完善。例如在個人隱私信息的使用上，就應在法律中對互聯(lián)網(wǎng)企業(yè)的用戶個人信息保護責任加以明確，只要收集并使用了用戶的個人信息，就必須要承擔相應的用戶個人信息保護責任，無論是主動販賣用戶個人信息，還是用戶個人信息因其他問題而被泄漏，互聯(lián)網(wǎng)企業(yè)都需要承擔相應的法律責任并對用戶損失進行賠償，對于一些無須長期使用的個人信息，則需要在達到收集目的后及時刪除，不可繼續(xù)保存或備份。而對于主動售賣用戶個人信息、竊取他人個人信息等惡性違法行為，則需要將其納入到刑法中來，強制違法分子承擔相關(guān)刑事責任，并對個人信息所有者提供賠償，這樣在違法成本及風險高于個人信息商業(yè)價值后，違法行為自然就會變得越來越少。（五）重視信息安全技術(shù)研發(fā)防火墻、數(shù)據(jù)加密、數(shù)據(jù)備份等信息安全技術(shù)在個人信息安全保護方面能夠發(fā)揮出非常重要的作用，因此未來政府部門還需與相關(guān)科研機構(gòu)、高等院校進行積極合作，圍繞信息安全技術(shù)及個人信息安全保護展開專項研究，在掌握各種先進信息安全防范技術(shù)的同時，結(jié)合實際需求對現(xiàn)有信息安全技術(shù)進行創(chuàng)新，實現(xiàn)信息安全技術(shù)水平的有效提升，這樣既可以為互聯(lián)網(wǎng)企業(yè)的平臺系統(tǒng)安全管理提供指導幫助，同時也能夠?qū)で蠡ヂ?lián)網(wǎng)企業(yè)的支持，解決信息安全技術(shù)研發(fā)的相關(guān)資金問題。

成都創(chuàng)新互聯(lián)公司從2013年成立，是專業(yè)互聯(lián)網(wǎng)技術(shù)服務(wù)公司，擁有項目網(wǎng)站設(shè)計制作、成都網(wǎng)站制作網(wǎng)站策劃，項目實施與項目整合能力。我們以讓每一個夢想脫穎而出為使命，1280元臨川做網(wǎng)站,已為上家服務(wù),為臨川各地企業(yè)和個人服務(wù),聯(lián)系電話:028-86922220

為保證政府政務(wù)網(wǎng)安全,采取了哪些防范措施

電子政務(wù)網(wǎng)建設(shè)原則

為達到電子政務(wù)網(wǎng)絡(luò)的目標要求，華為公司建議在電子政務(wù)建設(shè)過程中堅持以下建網(wǎng)原則：從政府的需求出發(fā)，建設(shè)高安全、高可靠、可管理的電子政務(wù)體系!

統(tǒng)一的網(wǎng)絡(luò)規(guī)劃

建議電于政務(wù)的建設(shè)按照國家信息化領(lǐng)導小組的統(tǒng)一部署，制定總體的網(wǎng)絡(luò)規(guī)劃，分層推進，分步實施，避免重復建設(shè)。

完善的安全體系

網(wǎng)絡(luò)安全核心理念在于技術(shù)與管理并重。建議遵循信息安全管理標準－ISO17799，安全管理是信息安全的關(guān)鍵，人員管理是安全管理的核心，安全策略是安全管理的依據(jù)，安全工具是安全管理的保證。

嚴格的設(shè)備選型

在電子政務(wù)網(wǎng)建設(shè)的過程中，網(wǎng)絡(luò)設(shè)備選擇除了要考慮滿足業(yè)務(wù)的需求和發(fā)展、技術(shù)的可實施性等因素之外，同時為了杜絕網(wǎng)絡(luò)后門的出現(xiàn)，在滿足功能、性能要求的前提下，建議優(yōu)先選用具備自主知識產(chǎn)權(quán)的國內(nèi)民族廠商產(chǎn)品，從設(shè)備選型上保證電子政務(wù)網(wǎng)絡(luò)的安全性。

集成的信息管理

信息管理的核心理念是統(tǒng)一管理，分散控制。制定IT的年度規(guī)劃，提供IT的運作支持和問題管理，管理用戶服務(wù)水平，管理用戶滿意度，配置管理，可用性管理，支持IT設(shè)施的管理，安全性管理，管理IT的庫存和資產(chǎn)，性能和容量管理，備份和恢復管理。提高系統(tǒng)的利用價值，降低管理成本。

電子政務(wù)網(wǎng)體系架構(gòu)

《國家信息化領(lǐng)導小組關(guān)于我國電子政務(wù)建設(shè)的指導意見》中明確了電子政務(wù)網(wǎng)絡(luò)的體系架構(gòu)：電子政務(wù)網(wǎng)絡(luò)由政務(wù)內(nèi)網(wǎng)和政務(wù)外網(wǎng)構(gòu)成，兩網(wǎng)之間物理隔離，政務(wù)外網(wǎng)與互聯(lián)網(wǎng)之間邏輯隔離。政務(wù)內(nèi)網(wǎng)主要是傳送涉密政務(wù)信息，所以為保證黨政核心機密的安全性，內(nèi)網(wǎng)必須與外網(wǎng)物理隔離。政務(wù)外網(wǎng)是政府的業(yè)務(wù)專網(wǎng)，主要運行政務(wù)部門面向社會的專業(yè)性服務(wù)業(yè)務(wù)和不需在內(nèi)網(wǎng)上運行的業(yè)務(wù)，外網(wǎng)與互聯(lián)網(wǎng)之間邏輯隔離。而從網(wǎng)絡(luò)規(guī)模來說，政務(wù)內(nèi)網(wǎng)和政務(wù)外網(wǎng)都可以按照局域網(wǎng)、城域網(wǎng)、廣域網(wǎng)的模式進行建設(shè)；從網(wǎng)絡(luò)層次來說，內(nèi)網(wǎng)和外網(wǎng)也可以按照骨干層、匯聚層和接入層的模式有規(guī)劃地進行建設(shè)。

圖1：電子政務(wù)網(wǎng)絡(luò)的體系架構(gòu)

根據(jù)電子政務(wù)設(shè)計思想及應用需求，鑒于政府各部門的特殊安全性要求，嚴格遵循《國家信息化領(lǐng)導小組關(guān)于我國電子政務(wù)建設(shè)的指導意見》，在電子政務(wù)內(nèi)、外網(wǎng)在總體建設(shè)上采用業(yè)務(wù)與網(wǎng)絡(luò)分層構(gòu)建、逐層保護的指導原則，在邏輯層次及業(yè)務(wù)上，網(wǎng)絡(luò)的構(gòu)建實施如下分配：

圖2：電子政務(wù)內(nèi)、外網(wǎng)邏輯層次

互聯(lián)支撐層是電子政務(wù)網(wǎng)絡(luò)的基礎(chǔ)，由網(wǎng)絡(luò)中心統(tǒng)一規(guī)劃、構(gòu)建及管理，支撐層利用寬帶IP技術(shù)，保證網(wǎng)絡(luò)的互聯(lián)互通性，提供具有一定QOS的帶寬保證，并提供各部門、系統(tǒng)網(wǎng)絡(luò)間的邏輯隔離(VPN)，保證互訪的安全控制；

安全保障系統(tǒng)是指通過認證、加密、權(quán)限控制等技術(shù)對電子政務(wù)網(wǎng)上的用戶訪問及數(shù)據(jù)實施安全保障的監(jiān)控系統(tǒng)，它與互聯(lián)支撐層相對獨立，由網(wǎng)絡(luò)中心與各部門單位共同規(guī)劃，分布構(gòu)建。

業(yè)務(wù)應用層就是在安全互聯(lián)的基礎(chǔ)上實施政務(wù)網(wǎng)的各種應用，由網(wǎng)絡(luò)中心與各系統(tǒng)單位統(tǒng)一規(guī)劃，分別實施。

華為公司電子政務(wù)解決方案的核心理念

全面的網(wǎng)絡(luò)安全

建設(shè)安全的電子政務(wù)網(wǎng)絡(luò)是電子政務(wù)建設(shè)的關(guān)鍵。電子政務(wù)的安全建設(shè)需要管理與技術(shù)并重。在技術(shù)層面，華為公司提供防御、隔離、認證、授權(quán)、策略等多種手段為網(wǎng)絡(luò)安全提供保證；在設(shè)備層面，華為公司自主開發(fā)的系列化路由器、交換機、防火墻設(shè)備、CAMS綜合安全管理系統(tǒng)和統(tǒng)一的網(wǎng)絡(luò)操作系統(tǒng)VRP可以保證電子政務(wù)網(wǎng)絡(luò)安全。

針對于政府系統(tǒng)的網(wǎng)絡(luò)華為公司提供了i3安全三維度端到端集成安全體系架構(gòu)，在該架構(gòu)中，除了可以從熟悉的網(wǎng)絡(luò)層次視角來看待安全問題，同時還可以從時間及空間的角度來審視安全問題，從而大大拓展了安全的思路與視角，具備全面考慮與實施安全防護的模型與能力。

圖3：華為公司i3 安全 三維度端到端集成安全體系架構(gòu)

（1）華為公司i3安全三維度端到端集成安全體系架構(gòu)

i－intelligence(智能)，integrated(集成)，individuality(個性化)；

3－時間、空間及網(wǎng)絡(luò)層次三個維度的端到端( End to End)；

安全－所有IP信息網(wǎng)絡(luò)的安全架構(gòu)。

（2）網(wǎng)絡(luò)層次(網(wǎng)絡(luò)層、用戶層、業(yè)務(wù)層)端到端安全理念

網(wǎng)絡(luò)的各層次均存在安全威脅的可能，華為的集成安全架構(gòu)充分體現(xiàn)了網(wǎng)絡(luò)安全防范的分層思想，根據(jù)不同網(wǎng)絡(luò)層次的特點進行有針對性的防范。

網(wǎng)絡(luò)層：保障網(wǎng)絡(luò)路由、網(wǎng)絡(luò)設(shè)備等基礎(chǔ)網(wǎng)絡(luò)的安全；

用戶接入層：確保合法的用戶接入，訪問合法的網(wǎng)絡(luò)范圍，并保障用戶信息的隔離等用戶接入網(wǎng)絡(luò)的安全；

業(yè)務(wù)層：保證用戶訪問內(nèi)容的合法性與安全性。

華為公司的i3安全集成安全架構(gòu)針對傳統(tǒng)網(wǎng)絡(luò)在用戶層防范比較薄弱的缺陷，采取了大量的增強措施，如用戶接入認證、地址防盜用、訪問控制等能力。

（3）時間(事前、事后)端到端安全理念

以前政府行業(yè)更關(guān)注網(wǎng)絡(luò)的事前防范能力，往往在網(wǎng)絡(luò)的用戶認證、入侵檢測、防DOS攻擊、防火墻等方面投入力量較多，對事后跟蹤能力實施的有效措施不多。而在安全事件發(fā)生前后，要求網(wǎng)絡(luò)所能提供的支持也是不同的，其花費的代價與技術(shù)實現(xiàn)難度有非常大的差別：

事前防范：主要通過數(shù)據(jù)隔離、加密、過濾、管理等技術(shù)，加強整個網(wǎng)絡(luò)的健壯性；

事后跟蹤：華為公司的“i3安全”架構(gòu)提供在網(wǎng)絡(luò)級做日志記錄的能力，通過對用戶上網(wǎng)端口、時間、訪問地的記錄，全面提供用戶上網(wǎng)的追溯能力，從而為后期的分析提供第一手的資料。

（4）空間(外網(wǎng)、內(nèi)網(wǎng))端到端安全理念

外網(wǎng)：通過VPN、加密等保證信息安全，通過網(wǎng)絡(luò)防火墻、病毒防火墻等防范網(wǎng)絡(luò)攻擊，側(cè)重的是防范；

內(nèi)網(wǎng)：通過對用戶的識別，保證合法的用戶訪問合法的網(wǎng)絡(luò)范圍，并做好訪問記錄，側(cè)重的是監(jiān)控。

目前政府內(nèi)網(wǎng)即涉秘網(wǎng)、政府外網(wǎng)即辦公專網(wǎng)，兩張網(wǎng)按照17號文件要求嚴格的物理隔離分別進行建設(shè)，保證政府網(wǎng)絡(luò)的安全。

華為公司三緯度集成安全架構(gòu)提供端到端集成安全服務(wù)：

圖4：華為公司i3安全三維度端到端集成安全體系架構(gòu)

隨著政府網(wǎng)絡(luò)網(wǎng)上應用的進一步增多，隨著網(wǎng)絡(luò)進一步深入人們的生活，入侵與反入侵、盜用與反盜用的斗爭也必將升級。而政府網(wǎng)絡(luò)的安全防護作為一個系統(tǒng)工程，只有從網(wǎng)絡(luò)管理、用戶管理、業(yè)務(wù)管理及管理制度等多層次、多方位地多管齊下才能做到“天網(wǎng)恢恢，疏而不漏”。

完善的端到端的可靠性

網(wǎng)絡(luò)可靠性主要是指當設(shè)備或網(wǎng)絡(luò)出現(xiàn)故障時，網(wǎng)絡(luò)提供服務(wù)的不間斷性。可靠性一般通過設(shè)備本身的可靠性和組網(wǎng)設(shè)計的可靠性來實現(xiàn)。包括以下內(nèi)容：

（1）設(shè)備可靠性

華為公司的全系列數(shù)據(jù)產(chǎn)品均采用電信級的可靠性設(shè)計。華為公司高端路由器和交換機產(chǎn)品采用分布式體系結(jié)構(gòu)，不存在單點故障；采用無源背板，支持真正熱插拔、熱備份，同時設(shè)備的交換網(wǎng)絡(luò)、路由處理系統(tǒng)等所有關(guān)鍵部件采用冗余熱備份設(shè)計，能充分滿足電子政務(wù)網(wǎng)絡(luò)對設(shè)備高可靠性的要求。

（2）組網(wǎng)設(shè)計的可靠性

在控制投資的前提下，在電子政務(wù)網(wǎng)絡(luò)的部分省地骨干節(jié)點，可采取VRRP雙機備份方式或采取RPR方式進行環(huán)網(wǎng)自愈保護，接入骨干傳輸網(wǎng)的鏈路可采取雙歸鏈路設(shè)計或采取RPR方式進行環(huán)網(wǎng)自愈保護，從組網(wǎng)角度避免單點故障。

另外，可采用備份中心技術(shù)，為路由器上的任意接口提供備份接口；路由器上的任一接口可以作為其它接口(或邏輯鏈路)的備份接口；可對接口上的某條邏輯鏈路提供備份。

通過靈活的備份機制及完善的技術(shù)，可以充分利用備份資源，確保網(wǎng)絡(luò)互聯(lián)互通的可靠性。

簡單高效的維護和管理

政府網(wǎng)絡(luò)信息點數(shù)量眾多，而且較為稠密，所以網(wǎng)絡(luò)設(shè)備數(shù)量眾多，特別是接入最終用戶的樓層交換機。華為公司的網(wǎng)絡(luò)管理系統(tǒng)在支持全網(wǎng)設(shè)備統(tǒng)一管理、實現(xiàn)拓撲管理、圖形化操作界面、實時聲光報警、中文操作系統(tǒng)的同時，利用華為組管理協(xié)議HGMP可以實現(xiàn)對數(shù)量龐大的樓層交換機的動態(tài)發(fā)現(xiàn)、動態(tài)拓撲生成、自動配置的功能，降低網(wǎng)絡(luò)管理人員的工作量，提高效率。

豐富的業(yè)務(wù)承載能力

政府信息化的一個重要特點是以業(yè)務(wù)牽引網(wǎng)絡(luò)需求，應用不斷更新，對網(wǎng)絡(luò)設(shè)備的需求不斷提高，在這樣的一個動態(tài)網(wǎng)絡(luò)中，網(wǎng)絡(luò)設(shè)備本身的業(yè)務(wù)承載能力就顯得非常重要。因此，華為公司提出了第5代基于網(wǎng)絡(luò)處理器技術(shù)，可以保證在后續(xù)新增業(yè)務(wù)對網(wǎng)絡(luò)平臺有特殊要求時，實現(xiàn)快速定制、快速支持，保證對網(wǎng)絡(luò)設(shè)備投資的連續(xù)性。

利用MPLS VPN表現(xiàn)出強大的擴展性和前所未見的高性能，電子政務(wù)網(wǎng)可任由業(yè)務(wù)的增長和變化，網(wǎng)絡(luò)可以平滑地擴充和升級，可最大程度的減少對網(wǎng)絡(luò)架構(gòu)和設(shè)備的調(diào)整。作為少數(shù)能提供整網(wǎng)MPLS技術(shù)的廠家，華為公司致力于為政府提供基于先進的MPLS VPN技術(shù)的數(shù)據(jù)、語音和視訊的三網(wǎng)合一技術(shù)。

政府信息安全如何保障？

如何有效構(gòu)建信息安全保障體系？

通常所指的信息安全保障體系包含了信息安全的管理體系、技術(shù)體系以及運維體系。本文將重點介紹信息安全管理體系的建設(shè)方法。

構(gòu)建第一步 確定信息安全管理體系建設(shè)具體目標

信息安全管理體系建設(shè)是組織在整體或特定范圍內(nèi)建立信息安全方針和目標，以及完成這些目標所用方法的體系。它包括信息安全組織和策略體系兩大部分，通過信息安全治理來達到具體的建設(shè)目標。

信息安全的組織體系：是指為了在某個組織內(nèi)部為了完成信息安全的方針和目標而組成的特定的組織結(jié)構(gòu)，其中包括：決策、管理、執(zhí)行和監(jiān)管機構(gòu)四部分組成。

信息安全的策略體系：是指信息安全總體方針框架、規(guī)范和信息安全管理規(guī)范、流程、制度的總和。策略體系從上而下分為三個層次：

第一層 策略總綱

策略總綱是該團體組織內(nèi)信息安全方面的基本制度，是組織內(nèi)任何部門和人不能違反的，說明了信息安全工作的總體要求。

第二層 技術(shù)指南和管理規(guī)定

遵循策略總綱的原則，結(jié)合具體部門、應用和實際情況而制定的較專業(yè)要求和方法以及技術(shù)手段。包括以下兩個部分：

技術(shù)指南：從技術(shù)角度提出要求和方法；

管理規(guī)定：側(cè)重組織和管理，明確職責和要求，并提供考核依據(jù)。

第三層 操作手冊、工作細則、實施流程

遵循策略總綱的原則和技術(shù)指南和管理規(guī)定，結(jié)合實際工作，針對具體系統(tǒng)，對第二層的技術(shù)指南和管理規(guī)定進行細化，形成可指導和規(guī)范具體工作的操作手冊及工作流程，保證安全工作的制度化、日常化。

構(gòu)建第二步 確定適合的信息安全建設(shè)方法論

太極多年信息安全建設(shè)積累的信息安全保障體系建設(shè)方法論，也稱“1-5-4-3-4”。即：運用1個基礎(chǔ)理論，參照5個標準，圍繞4個體系，形成3道防線，最終實現(xiàn)4個目標。

一、風險管理基礎(chǔ)理論

信息系統(tǒng)風險管理方法論就是建立統(tǒng)一安全保障體系，建立有效的應用控制機制，實現(xiàn)應用系統(tǒng)與安全系統(tǒng)全面集成，形成完備的信息系統(tǒng)流程控制體系，確保信息系統(tǒng)的效率與效果。

二、遵循五個相關(guān)國內(nèi)國際標準

在信息安全保障體系的建立過程中我們充分遵循國內(nèi)國際的相關(guān)標準:

ISO 27001標準

等級保護建設(shè)

分級保護建設(shè)

IT流程控制管理（COBIT）

IT流程與服務(wù)管理（ITIL/ISO20000）

三、建立四個信息安全保障體系

信息安全組織保障體系：建立信息安全決策、管理、執(zhí)行以及監(jiān)管的機構(gòu)，明確各級機構(gòu)的角色與職責，完善信息安全管理與控制的流程。

信息安全管理保障體系：是信息安全組織、運作、技術(shù)體系標準化、制度化后形成的一整套對信息安全的管理規(guī)定。

信息安全技術(shù)保障體系：綜合利用各種成熟的信息安全技術(shù)與產(chǎn)品，實現(xiàn)不同層次的身份鑒別、訪問控制、數(shù)據(jù)完整性、數(shù)據(jù)保密性和抗抵賴等安全功能。

信息安全運維保障體系：在信息安全管理體系規(guī)范和指導下，通過安全運行管理，規(guī)范運行管理、安全監(jiān)控、事件處理、變更管理過程，及時、準確、快速地處理安全問題，保障業(yè)務(wù)平臺系統(tǒng)和應用系統(tǒng)的穩(wěn)定可靠運行。

四、三道防線

第一道防線：由管理體系、組織體系、技術(shù)保系構(gòu)成完備的安全管理體制與基礎(chǔ)安全設(shè)施，形成對安全苗頭進行事前防范的第一道防線，為業(yè)務(wù)運行安全打下良好的基礎(chǔ)。

第二道防線：由技術(shù)體系、運維體系構(gòu)成事中控制的第二道防線。通過周密的生產(chǎn)調(diào)度、安全運維管理、安全監(jiān)測預警，及時排除安全隱患，確保業(yè)務(wù)系統(tǒng)持續(xù)、可靠地運行。

第三道防線：由技術(shù)體系構(gòu)成事后控制的第三道防線。針對各種突發(fā)災難事件，對重要信息系統(tǒng)建立災備系統(tǒng)，定期進行應急演練，形成快速響應、快速恢復的機制，將災難造成的損失降到組織可以接受的程度。

五、四大保障目標

信息安全：保護政府或企業(yè)業(yè)務(wù)數(shù)據(jù)和信息的機密性、完整性和可用性。

系統(tǒng)安全：確保政府或企業(yè)網(wǎng)絡(luò)系統(tǒng)、主機操作系統(tǒng)、中間件系統(tǒng)、數(shù)據(jù)庫系統(tǒng)及應用系統(tǒng)的安全。

物理安全：使業(yè)務(wù)和管理信息系統(tǒng)相關(guān)的環(huán)境安全、設(shè)備安全及存儲介質(zhì)安全的需要得到必要的保證。

運行安全：確保業(yè)務(wù)和管理信息系統(tǒng)的各種運行操作、日常監(jiān)控、變更維護符合規(guī)范操作的要求，保證系統(tǒng)運行穩(wěn)定可靠。

構(gòu)建第三步 充分的現(xiàn)狀調(diào)研和風險評估過程

在現(xiàn)狀調(diào)研階段，我們要充分了解政府或企業(yè)的組織架構(gòu)、業(yè)務(wù)環(huán)境、信息系統(tǒng)流程等實際情況。只有了解政府或企業(yè)的組織架構(gòu)和性質(zhì)，才能確定該組織信息安 全保障體系所遵循的標準，另外，還要充分了解政府或企業(yè)的文化，保證管理體系與相關(guān)文化的融合性，以便于后期的推廣、宣貫和實施。在調(diào)研時，采用“假設(shè)為 導向，事實為基礎(chǔ)”的方法，假定該政府或企業(yè)滿足相關(guān)標準的所有控制要求，那么將通過人工訪談、調(diào)查問卷等等各種方式和手段去收集信息，證明或者證偽該組 織的控制措施符合所有標準的要求，然后在此基礎(chǔ)上，對比現(xiàn)狀和標準要求進行差距分析。

在風險評估階段，首先對于信息系統(tǒng)的風險評估．其中涉及資產(chǎn)、威脅、脆弱性等基本要素。每個要素有各自的屬性，資產(chǎn)的屬性是資產(chǎn)價值；威脅的屬性

可以是威脅主體、影響對象、出現(xiàn)頻率、動機等；脆弱性的屬性是資產(chǎn)弱點的嚴重程度。風險分析的主要內(nèi)容為：

對資產(chǎn)進行識別，并對資產(chǎn)的價值進行賦值；

對威脅進行識別，描述威脅的屬性，并對威脅出現(xiàn)的頻率賦值；

對資產(chǎn)的脆弱性進行識別，并對具體資產(chǎn)的脆弱性的嚴重程度賦值；

根據(jù)威脅及威脅利用弱點的難易程度判斷安全事件發(fā)生的可能性；

根據(jù)脆弱性的嚴重程度及安全事件所作用資產(chǎn)的價值計算安全事件的損失；

根據(jù)安全事件發(fā)生的可能性以及安全事件的損失，計算安全事件一旦發(fā)生對組織的影響，即風險值。

其次，進行信息系統(tǒng)流程的風險評估。根據(jù)“國際知名咨詢機構(gòu)Gartner的調(diào)查結(jié)果”以及我們在實踐中證實發(fā)現(xiàn)，要減少信息系統(tǒng)故障最有效的方式之 一，就是進行有效的流程管理。因此需要在保證“靜態(tài)資產(chǎn)”安全的基礎(chǔ)上，對IT相關(guān)業(yè)務(wù)流程進行有效管理，以保護業(yè)務(wù)流程這類“動態(tài)資產(chǎn)”的安全。

構(gòu)建第四步 設(shè)計建立信息安全保障體系總體框架

在充分進行現(xiàn)狀調(diào)研、風險分析與評估的基礎(chǔ)上，建立組織的信息安全保障體系總綱，總綱將全面覆蓋該組織的信息安全方針、策略、框架、計劃、執(zhí)行、檢查和 改進所有環(huán)節(jié)，并對未來3-5年信息安全建設(shè)提出了明確的安全目標和規(guī)范。信息安全體系框架設(shè)計在綜合了現(xiàn)狀調(diào)研、風險評估、組織架構(gòu)和信息安全總綱后， 還需要綜合考慮了風險管理、監(jiān)管機構(gòu)的法律法規(guī)、國內(nèi)國際相關(guān)標準的符合性。為確保信息安全建設(shè)目標的實現(xiàn)，導出該組織未來信息安全任務(wù)，信息安全保障體 系總體框架設(shè)計文件（一級文件）將包括：

信息安全保障體系總體框架設(shè)計報告；

信息安全保障體系建設(shè)規(guī)劃報告；

信息安全保障體系將依據(jù)信息安全保障體系模型，從安全組織、安全管理、安全技術(shù)和安全運維四個方面展開而得到。對展開的四個方面再做進一步的分解和比較詳細的規(guī)定將得到整個政府部門或企業(yè)信息安全保障體系的二級文件。具體二級文件包括：

信息安全組織體系：組織架構(gòu)、角色責任、教育與培訓、合作與溝通

信息安全管理體系：信息資產(chǎn)管理；人力資源安全；物理與環(huán)境安全；通信與操作管理；訪問控制；信息系統(tǒng)獲取與維護；業(yè)務(wù)連續(xù)性管理；符合性；

信息安全技術(shù)體系：物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應用層、終端層技術(shù)規(guī)范；

信息安全運維體系：日常運維層面的相關(guān)工作方式、流程、管理等。包括：事件管理、問題管理、配置管理、變更管理、發(fā)布管理，服務(wù)臺。

構(gòu)建第五步 設(shè)計建立信息安全保障體系組織架構(gòu)

信息安全組織體系是信息安全管理工作的保障，以保證在實際工作中有相關(guān)的管理崗位對相應的控制點進行控制。我們根據(jù)該組織的信息安全總體框架結(jié)合實際情況，確定該組織信息安全管理組織架構(gòu)。

信息安全組織架構(gòu)：針對該組織內(nèi)部負責開展信息安全決策、管理、執(zhí)行和監(jiān)控等工作的各部門進行結(jié)構(gòu)化、系統(tǒng)化的結(jié)果。?

信息安全角色和職責：主要是針對信息安全組織中的個體在信息安全工作中扮演的各種角色進行定義、劃分和明確職責。?

安全教育與培訓：主要包括對安全意識與認知，安全技能培訓，安全專業(yè)教育等幾個方面的要求。?

合作與溝通：與上級監(jiān)管部門，同級兄弟單位，本單位內(nèi)部，供應商，安全業(yè)界專家等各方的溝通與合作?

構(gòu)建第六步 設(shè)計建立信息安全保障體系管理體系

根據(jù)信息安全總體框架設(shè)計，結(jié)合風險評估的結(jié)果以及該組織的信息系統(tǒng)建設(shè)的實際情況，參照相關(guān)標準建立信息安全管理體系的三、四級文件，具體包括：

資產(chǎn)管理：信息系統(tǒng)敏感性分類與標識實施規(guī)范與對應表單、信息系統(tǒng)分類控制實規(guī)范與對應表單?

人力資源安全：內(nèi)部員工信息安全守則、第三方人員安全管理規(guī)范與對應表單、保密協(xié)議?

物理與環(huán)境安全：物理安全區(qū)域劃分與標識規(guī)范以及對應表單、機房安全管理規(guī)范與對應表單、門禁系統(tǒng)安全管理規(guī)范與對應表單?

訪問控制：用戶訪問管理規(guī)范及對應表單、網(wǎng)絡(luò)訪問控制規(guī)范與對應表單、

操作系統(tǒng)訪問控制規(guī)范及對應表單、應用及信息訪問規(guī)；通信與操作管理：網(wǎng)絡(luò)安全管理規(guī)范與對應表單、In；信息系統(tǒng)獲取與維護：信息安全項目立項管理規(guī)范及對；業(yè)務(wù)連續(xù)性管理：業(yè)務(wù)連續(xù)性管理過程規(guī)范及對應表單；符合性：行業(yè)適用法律法規(guī)跟蹤管理規(guī)范及對應表單?；最終形成整體的信息安全管理體系，務(wù)必要符合整個組；

操作系統(tǒng)訪問控制規(guī)范及對應表單、應用及信息訪問規(guī)范及對應表單、移動計算及遠程訪問規(guī)范及對應表單?

通信與操作管理：網(wǎng)絡(luò)安全管理規(guī)范與對應表單、Internet服務(wù)使用安全管理規(guī)范及對應表單、惡意代碼防范規(guī)范、存儲及移動介質(zhì)安全管理規(guī)范與對應表單?

信息系統(tǒng)獲取與維護：信息安全項目立項管理規(guī)范及對應表單、軟件安全開發(fā)管理規(guī)范及對應表單、軟件系統(tǒng)漏洞管理規(guī)范及對應表單?

業(yè)務(wù)連續(xù)性管理：業(yè)務(wù)連續(xù)性管理過程規(guī)范及對應表單、業(yè)務(wù)影響分析規(guī)范及對應表單?

符合性：行業(yè)適用法律法規(guī)跟蹤管理規(guī)范及對應表單?

最終形成整體的信息安全管理體系，務(wù)必要符合整個組織的戰(zhàn)略目標、遠景、組織文化和實際情況并做相應融合，在整個實施過程還需要進行全程的貫穿性培訓． 將整體信息安全保障體系建設(shè)的意義傳遞給組織的每個角落，提高整體的信息安全意識。這樣幾方面的結(jié)合才能使建設(shè)更有效。

希望可以幫到您，謝謝！

新聞名稱：政府網(wǎng)絡(luò)信息安全解決方案 政府網(wǎng)絡(luò)信息安全解決方案有哪些
網(wǎng)頁網(wǎng)址：http://chinadenli.net/article32/doedppc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供建站公司、虛擬主機、微信小程序、網(wǎng)站策劃、全網(wǎng)營銷推廣、云服務(wù)器

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)