第一篇：智慧城市信息安全保障體系與安全策略

《智慧城市信息安全保障體系與安全策略》答案（87分）

一、單選

1、以下選項(xiàng)中，不屬于信息安全保障體系模型的要素是（保障過程）

2、以下選項(xiàng)中，不屬于業(yè)務(wù)協(xié)同面臨的安全威脅和風(fēng)險(xiǎn)的是（缺乏集中處理和高效分析能力??）

3、智慧城市以（物聯(lián)網(wǎng)、云計(jì)算等新一代信息技術(shù)應(yīng)用）為基礎(chǔ)。

4、智慧城市總體架構(gòu)的感知層的功能是（實(shí)現(xiàn)智慧城市數(shù)據(jù)的感知、采集、獲取??以及糾錯(cuò)融合等數(shù)據(jù)預(yù)處理）

5、智慧城市信息安全保障的原則是（積極防御、綜合防范）

6、智慧城市需要打造一個(gè)統(tǒng)一平臺(tái)，??構(gòu)建

（三）張基礎(chǔ)網(wǎng)絡(luò)??

7、信息安全的（可認(rèn)證性）是指能夠核實(shí)??真實(shí)性。

8、智慧城市廣義上指（城市信息化）

9、（物聯(lián)網(wǎng)）是通過??管理的一種網(wǎng)絡(luò)。

10、以下選項(xiàng)中，不屬于智慧城市安全策略中??要同步的是（同步檢測(cè)）

二、多選

11、信息安全保障體系模型的主要特征是（強(qiáng)調(diào)綜合保障的概念、強(qiáng)調(diào)安全特征）

12、信息系統(tǒng)總是存在信息安全問題，??內(nèi)因包括（全選）

13、大數(shù)據(jù)集中面臨的安全威脅和風(fēng)險(xiǎn)包括（不選網(wǎng)絡(luò)身份可信機(jī)制不完??篡改等現(xiàn)象）

14、信息安全的基本屬性包括（全選）

15、智慧城市總體架構(gòu)的應(yīng)用層可以細(xì)分為（不選關(guān)聯(lián)服務(wù)層）

16、對(duì)于城市而言，智慧是指??這里的服務(wù)主體主要指的是（不選組織）

17、智慧城市的安全策略包括（全選）

18、智慧城市信息安全技術(shù)體系的要素包括（不選安全權(quán)限管理）

19、在一般信息系統(tǒng)中，典型的信息安全風(fēng)險(xiǎn)包括（全選）20、智慧城市的特點(diǎn)包括（全選）

三、判斷

21、智慧城市將機(jī)器與機(jī)器之間??人與人之間的??通信（錯(cuò)）

22、智慧城市信息安全管理體系??和技術(shù)管理法規(guī)規(guī)范。（對(duì)）

23、智慧城市是全球范圍內(nèi)??建立相應(yīng)的城市試點(diǎn)進(jìn)行實(shí)踐（對(duì)）24、2013年，住建部??通知（對(duì)）

25、智慧城市是以通訊技術(shù)??讓城市成為??中樞（對(duì)）

26、信息系統(tǒng)安全保障是??相應(yīng)的安全保障策略（對(duì)）

27、智慧城市的建設(shè)??高度集中與融合（對(duì)）

28、云計(jì)算主要強(qiáng)調(diào)云布局的計(jì)算方式，在基礎(chǔ)??部署的快捷（對(duì)）

29、智慧城市信息安全保障的目標(biāo)是??保障智慧城市的安全（對(duì)）

30、智慧城市中存在大量的信息系統(tǒng)，必然要在建設(shè)過程中解決信息安全問題（對(duì)）

《邯鄲經(jīng)濟(jì)形勢(shì)與未來發(fā)展》答案（94分）

一、單選題

1、邯鄲市推進(jìn)經(jīng)濟(jì)轉(zhuǎn)型升級(jí)發(fā)展的首要抓手是（項(xiàng)目建設(shè)）

2、從即期運(yùn)行看，邯鄲市經(jīng)濟(jì)面臨的難題不包括（市場(chǎng)約束缺乏）

3、近幾年，（工業(yè)）是拉動(dòng)邯鄲市經(jīng)濟(jì)增長(zhǎng)的主導(dǎo)力量。

4、邯鄲市推進(jìn)經(jīng)濟(jì)轉(zhuǎn)型升級(jí)發(fā)展的戰(zhàn)略切點(diǎn)是（引進(jìn)央企）

5、邯鄲是資源豐富、產(chǎn)業(yè)發(fā)達(dá)城市，??“兩黑”是指（鐵礦、煤炭）

6、以下選項(xiàng)中，不屬于邯鄲市科學(xué)治理污染的手段的是（禁止消耗能源）

7、以下選項(xiàng)中，不屬于邯鄲融入京津冀協(xié)同發(fā)展的不利因素的是（執(zhí)法行為不夠規(guī)范）

8、以下選項(xiàng)中，不屬于邯鄲融入京津冀協(xié)同發(fā)展的有利因素的是（邯鄲自身經(jīng)濟(jì)發(fā)展水平較高）9、2012年11月26日，國(guó)家（《中原經(jīng)濟(jì)區(qū)規(guī)劃》）正式出臺(tái)，??或涉及邯鄲。

10、經(jīng)濟(jì)學(xué)上，拉動(dòng)經(jīng)濟(jì)增長(zhǎng)的三駕馬車是指（出口、消費(fèi)、投資）

二、多選題

11、中國(guó)經(jīng)濟(jì)發(fā)展新常態(tài)的特點(diǎn)包括（不選“增長(zhǎng)速度從7%左右的中高速增長(zhǎng)轉(zhuǎn)向10% 左右的高速增長(zhǎng)”）

12、從未來發(fā)展看，邯鄲經(jīng)濟(jì)面臨的壓力包括（全選）

13、邯鄲在京津冀協(xié)同發(fā)展中定位“一門戶、三基地”，其中三基地是指（不選“現(xiàn)代物流基地”）

14、邯鄲是全國(guó)重要的產(chǎn)業(yè)基地，其支柱工業(yè)主要包括（全選）

15、邯鄲是一個(gè)歷史文化城市，在悠久歷史中，邯鄲形成了（不選“軒轅文化”）等文化脈系。

16、邯鄲市實(shí)行項(xiàng)目投資負(fù)面清單管理是基于（不選“加快經(jīng)濟(jì)增長(zhǎng)速度”）的需要

17、邯鄲的經(jīng)濟(jì)特征是（不選“東強(qiáng)西弱”）

18、邯鄲市工業(yè)經(jīng)濟(jì)的質(zhì)量效益不斷提升，主要表現(xiàn)在（全選）

19、邯鄲市借鑒海寧經(jīng)驗(yàn)，??評(píng)價(jià)指標(biāo)主要包括（全選）

20、邯鄲作為京津冀協(xié)同發(fā)展的邊緣城市，為了去除“邊緣”二字，要做到（要盯緊核心，不放周邊；要不求所有，但求所用）

三、判斷題

21、邯鄲是晉冀魯豫四省交界區(qū)最大的城市??交通樞紐城市。（對(duì)）

22、負(fù)面清單相當(dāng)于投資領(lǐng)域的“黑名單”，列明了企業(yè)不能投資的領(lǐng)域和產(chǎn)業(yè)。（對(duì)）

23、GDP常被公認(rèn)為衡量國(guó)家經(jīng)濟(jì)狀況的最佳指標(biāo)，它能反映一個(gè)國(guó)家的經(jīng)濟(jì)增長(zhǎng)和資源消耗。（錯(cuò)）

24、邯鄲目前還不是河北省的循環(huán)經(jīng)濟(jì)試點(diǎn)城市。（錯(cuò)）

25、冀南新區(qū)的兩港是指在冀南新區(qū)北部協(xié)調(diào)區(qū)內(nèi)??“內(nèi)陸港”。（對(duì)）

26、邯鄲的產(chǎn)品結(jié)構(gòu)可概括為：資源型、初加工、出小力、賺大錢。（錯(cuò)）

27、邯鄲市未來發(fā)展的目標(biāo)是建設(shè)宜居宜業(yè)宜游的富強(qiáng)邯鄲、美麗邯鄲。（對(duì)）

28、邯鄲市積極推進(jìn)鋼鐵企業(yè)減量整合重組的??穩(wěn)步整合重組。（對(duì)）

29、經(jīng)濟(jì)發(fā)展進(jìn)入新常態(tài)，是我國(guó)經(jīng)濟(jì)發(fā)展階段??自然規(guī)律作用的客觀體現(xiàn)。（對(duì)）30、邯鄲是環(huán)境優(yōu)越、宜居宜業(yè)的城市，先后榮獲中國(guó)最具創(chuàng)新績(jī)效城市??等稱號(hào)。（對(duì)）

《世界戰(zhàn)略形勢(shì)及國(guó)家安全環(huán)境》答案（98分）

一、單選

1、以下對(duì)中國(guó)周邊安全環(huán)境??不恰當(dāng)?shù)模ㄖ苓叴髧?guó)多，且均擁有核武器??）

2、當(dāng)今世界的戰(zhàn)略形勢(shì)可以概括為（一超主導(dǎo)，多強(qiáng)制衡）

3、世界戰(zhàn)略形勢(shì)??中國(guó)的解決對(duì)策不恰當(dāng)?shù)氖牵ㄒ揽繃?guó)際社會(huì)的幫助與支持）

4、世界戰(zhàn)略形勢(shì)的主要特點(diǎn)??（）為代表??軍事技術(shù)革命。（計(jì)算機(jī)技術(shù)和通信技術(shù)）

5、世界主要國(guó)家把（軍事力量）作為國(guó)家綜合國(guó)力的支柱。

6、從內(nèi)部看，中國(guó)國(guó)家安全面臨的挑戰(zhàn)主要表現(xiàn)在（中國(guó)社會(huì)進(jìn)入了矛盾凸顯期）

7、現(xiàn)階段中國(guó)國(guó)家安全面臨的外部威脅不包括（長(zhǎng)時(shí)間地維持國(guó)內(nèi)政治穩(wěn)定較困難）

8、世界主要戰(zhàn)略力量競(jìng)爭(zhēng)的主要目標(biāo)是（爭(zhēng)奪國(guó)際規(guī)則的制定權(quán)）

9、針對(duì)目前世界戰(zhàn)略形勢(shì)??我國(guó)的應(yīng)對(duì)策略是（加快經(jīng)濟(jì)發(fā)展，維護(hù)國(guó)家安全）

10、中國(guó)國(guó)家面臨著軍事上同??以下對(duì)我國(guó)的相關(guān)描述正確的是（保衛(wèi)海上交通線安全的能力不足）

二、多選

11、經(jīng)濟(jì)全球化的趨勢(shì)??所帶來的影響有（促進(jìn)科學(xué)技術(shù)的傳播和普及）（使國(guó)際剝削合法化）

12、武器裝備是保衛(wèi)國(guó)家安全的重要工具??發(fā)展應(yīng)注意（全選）

13、奧巴馬執(zhí)政期間，值得中國(guó)關(guān)注的問題有（不選文化上我方已被美方“綁架”）

14、當(dāng)今國(guó)際關(guān)系日益復(fù)雜化，美國(guó)??制定了一系列的對(duì)華戰(zhàn)略(不選文化上幫助)

15、經(jīng)濟(jì)全球化的發(fā)展對(duì)中國(guó)產(chǎn)生的負(fù)面影響是（政治上面臨巨大壓力和軍事上面臨現(xiàn)實(shí)挑戰(zhàn)。這兩要選，另兩個(gè)不清楚）

16、中國(guó)國(guó)家安全面臨的機(jī)遇包括（不選面臨現(xiàn)實(shí)的戰(zhàn)爭(zhēng)威脅）

17、中國(guó)現(xiàn)階段所處的安全環(huán)境??，其中不利的因素是（不選與周邊國(guó)家的睦鄰友好關(guān)系空前發(fā)展）

18、當(dāng)今世界戰(zhàn)略形勢(shì)的主要特點(diǎn)是（全選）

19、進(jìn)入新世紀(jì)以來，為了??應(yīng)努力做到（全選）20、在世界戰(zhàn)略形勢(shì)??中國(guó)相應(yīng)的對(duì)美戰(zhàn)略是（全選）

三、判斷

21、政治多元化指的是??（對(duì)）

22、美國(guó)正在加速??反華包圍圈（對(duì)）

23、經(jīng)濟(jì)全球化的??使各個(gè)連勝之間內(nèi)政??（對(duì)）

24、目前我國(guó)領(lǐng)導(dǎo)體制和指揮??與現(xiàn)代戰(zhàn)爭(zhēng)的需求相適應(yīng)（錯(cuò)）

25、目前，其他大國(guó)和世界集團(tuán)&??上對(duì)美國(guó)的主導(dǎo)地位構(gòu)成制衡（對(duì)）

26、從世界戰(zhàn)略形式的長(zhǎng)遠(yuǎn)角度看，中美關(guān)系中的對(duì)抗因素將明顯上升（對(duì)）

27、進(jìn)入新世紀(jì)以來，全球軍事革命趨向于軍事信息化戰(zhàn)爭(zhēng)（對(duì)）

28、從長(zhǎng)遠(yuǎn)角度看，中美關(guān)系中的對(duì)抗因素將明顯上升（對(duì)）

29、美國(guó)雖然受到金融危機(jī)的影響??同時(shí)??主要力量（對(duì)）30、經(jīng)濟(jì)全球化和政治多元化的發(fā)展??建立了公平發(fā)展的新秩序。（錯(cuò)）

《中國(guó)霧霾污染與防治對(duì)策》答案（87分）

單選題1-10 1.煤源性污染造成的大氣污染物是（二氧化硫）。

2.由于我國(guó)大城市的燃煤數(shù)量不斷減少，燃油和天然氣的情況增多，導(dǎo)致我國(guó)大城市霧霾向（-VOCS-）型發(fā)展。

3.顆粒物污染指標(biāo)TSP是指（總懸浮顆粒）。

4.我國(guó)執(zhí)行的世界衛(wèi)生組織大氣環(huán)境質(zhì)量初級(jí)標(biāo)準(zhǔn)是控制（PM2.5）的濃度。5.1952年倫敦?zé)熿F事件期間非正常死亡率增高的主要原因是（硫酸物污染）。6.（20世紀(jì)80年代）開始氮氧化物排放量迅速增多，環(huán)境質(zhì)量迅速下降。7.我國(guó)從什么時(shí)候開始控制大氣污染，關(guān)注環(huán)境保護(hù)（1970年前后）。8.PM2.5日均值達(dá)到75ug/m3是（中國(guó)二級(jí)標(biāo)準(zhǔn)）的顆粒物標(biāo)準(zhǔn)。9.下列各項(xiàng)大氣污染物中，控制難度最大的是（PM2.5）。

10.在我國(guó)大多數(shù)城市中，至今大氣污染物嚴(yán)重超標(biāo)的是（PM2.5）。多選題11-20 11.制定大氣PM空氣質(zhì)量標(biāo)準(zhǔn)難度極大的原因是（PM2.5化學(xué)組成隨時(shí)間變化、PM2.5化學(xué)組成不同環(huán)境影響不一樣）。

12.關(guān)于PM2.5的說法，正確的是（不選我國(guó)已找到-----）。

13.《中國(guó)環(huán)境報(bào)》發(fā)表的關(guān)于PM2.5源解析的主要來源是（不選燃煤）。

14.1982年我國(guó)第一次制定空氣質(zhì)量標(biāo)準(zhǔn)時(shí)，就顆粒物而言制定了（PM10、TSP）的質(zhì)量標(biāo)準(zhǔn)。

15.下列關(guān)于顆粒物標(biāo)準(zhǔn)的說法，正確的是（全選）。

16.下列各項(xiàng)中，對(duì)我國(guó)霧霾污染的防治措施正確的是（選制定------、控制--------）。17.中國(guó)霧霾的主要類型包括（不選—SOX—）。

18.改革開放以來，我國(guó)大氣污染物主要包括（B.二氧化碳C.二氧化氮D.二氧化硫）。

19.下列各項(xiàng)中，關(guān)于2013年北京霧霾事件和1952年倫敦?zé)熿F事件的說法，正確的是（兩個(gè)北京低于）。

20.2013年6月李克強(qiáng)主持召開國(guó)務(wù)院常務(wù)會(huì)議時(shí)，部署大氣污染防治的措施包括（ABCD）。判斷題：

21.北京霧霾細(xì)微顆粒物污染會(huì)誘發(fā)慢性疾病的產(chǎn)生。（對(duì)）22.大氣污染中，大顆粒污染物容易控制，細(xì)微顆粒很難治理。（對(duì)）23.天津市的霧霾類型和北京市的霧霾類型不同，有很大的差異。（對(duì)）24.世界上只有中國(guó)遭遇霧霾污染。（錯(cuò)）

25.從1990年到2012年我國(guó)PM2.5減少的幅度比SO2減少的幅度小得多。（錯(cuò)）26.中國(guó)PM2.5控制比西方國(guó)家滯后了15年。（對(duì)）

27.霧霾污染與二氧化硫污染相比，霧霾污染更具有復(fù)雜性。（對(duì)）28.一次源顆粒物粒徑越小控制越困難。（對(duì)）

29.北京城區(qū)2013年1月霧霾期間，大氣中二氧化硫濃度高于氮氧化物濃度。（錯(cuò)）

30.我國(guó)大城市對(duì)于大氣污染的治理，首先控制二氧化硫的污染，其次是氮氧化物的污染。（對(duì)）

《關(guān)于中國(guó)事業(yè)單位改革的理論思考》答案（83分）

一、單選題：

1、人類歷史上有市場(chǎng)組織、? 志愿性和公益

2、事業(yè)單位人事制度改革是事業(yè)? 轉(zhuǎn)換用人機(jī)制和搞活用人制度

3、中國(guó)事業(yè)單位人事制度? 大力推進(jìn)聘用制度

4、事業(yè)單位改革實(shí)行合同管理? 人才中心

5、第三部門在中國(guó)包括 事業(yè)單位、社會(huì)團(tuán)體和民辦非企業(yè)單位

6、競(jìng)爭(zhēng)上崗的程序?yàn)?個(gè)人申請(qǐng)－競(jìng)爭(zhēng)演講－擇優(yōu)上崗－動(dòng)態(tài)聘用

7、中國(guó)社保養(yǎng)老金改革要求實(shí)行 中央－地方－企業(yè)－個(gè)人

8、事業(yè)單位，特指沒有生產(chǎn)收，由 國(guó)家經(jīng)費(fèi)

9、事業(yè)單位按性質(zhì)類別分類，可劃分為 行政執(zhí)法類、生產(chǎn)經(jīng)營(yíng)類和社會(huì)公益類

10、十屆人大三次會(huì)議強(qiáng)調(diào)要把財(cái)力? 公共管理和公益服務(wù)

二、多選題

11、事業(yè)單位改革的分流措施包括 全選

12、中國(guó)事業(yè)單位面臨的問題有：政事不分 管理偏死 機(jī)制不活

13、事業(yè)單位按財(cái)政支持力度分類，可劃分為 自收自支 全額撥款 差額撥款

14、對(duì)事業(yè)單位改革的分類指導(dǎo)方針表述正確的是 對(duì)其他類型事業(yè)單位，實(shí)行符合其 對(duì)轉(zhuǎn)制為企業(yè) 對(duì)行使行政

15、事業(yè)單位的特征是 非政府 非營(yíng)利 非企業(yè)

16、競(jìng)爭(zhēng)上崗的公開內(nèi)容包括 全選

17、中國(guó)事業(yè)單位具有的功能體現(xiàn)在 為緩解 是我國(guó)物質(zhì) 是我國(guó)人才

18、我國(guó)事業(yè)單位改革的基本內(nèi)容是 全選

19、在國(guó)際上事業(yè)單位的類似稱謂有 第三部門 非營(yíng)利組織 公共服務(wù)部門 20、中國(guó)事業(yè)單位改革面臨的障礙是 全選

三、判斷題

21、事業(yè)單位進(jìn)行改革，為確保?正確

22、現(xiàn)代社會(huì)第三部門發(fā)展程度如何，?正確

23、以盈利為目標(biāo)的企業(yè)，?錯(cuò)誤

24、事業(yè)單位的主要職能是提供教育、?正確

25、事業(yè)單位改革的分流方針是外部?正確

26、事業(yè)單位改革強(qiáng)調(diào)公開招聘，要求?錯(cuò)誤

27、事業(yè)單位改革就是減錢、?錯(cuò)誤

28、事業(yè)單位的范圍涉及教育類、?正確

29、事業(yè)單位招聘必須在?錯(cuò)誤

30、由于技術(shù)進(jìn)步，人類正邁入一個(gè)?錯(cuò)誤

第二篇：信息安全策略

信息安全策略

是一個(gè)有效的信息安全項(xiàng)目的基礎(chǔ)。從信息安全領(lǐng)域中發(fā)生的事件來看，信息安全策略的核心地位變得越來越明顯。例如，沒有安全策略，系統(tǒng)管理員將不能安全的安裝防火墻。策略規(guī)定了所允許的訪問控制、協(xié)議以及怎樣記錄與安全有關(guān)的事件。盡管信息安全策略是廉價(jià)的實(shí)施控制方式，但它們也是最難實(shí)施的。策略花費(fèi)的僅僅是創(chuàng)建、批準(zhǔn)、交流所用的時(shí)間和精力，以及員工把策略整合形成日常行為規(guī)范所用的時(shí)間和精力。即使是雇傭外部顧問來輔助制定策略，與其它控制方法（特別是技術(shù)控制）相比，其花費(fèi)也是較小的。策略的制定需要達(dá)成下述目標(biāo)：減少風(fēng)險(xiǎn)，遵從法律和規(guī)則，確保組織運(yùn)作的連續(xù)性、信息完整性和機(jī)密性。

信息安全策略應(yīng)主要依靠組織所處理和使用的信息特性推動(dòng)制定。組織為高層主管、董事會(huì)成員、戰(zhàn)略伙伴以及員工提供了內(nèi)部信息系統(tǒng)，對(duì)信息系統(tǒng)中信息特性的理解，能為策略制定提供有用的依據(jù)。應(yīng)當(dāng)重視對(duì)信息系統(tǒng)了解深刻的員工，所提出的組織當(dāng)前信息的主要特性，具體包括：什么信息是敏感的、什么信息是有價(jià)值的以及什么信息是關(guān)鍵的。

在制定一整套信息安全策略時(shí)，應(yīng)當(dāng)參考一份近期的風(fēng)險(xiǎn)評(píng)估或信息審計(jì)，以便清楚了解組織當(dāng)前的信息安全需求。對(duì)曾出現(xiàn)的安全事件的總結(jié)，也是一份有價(jià)值的資料。也需要召開相關(guān)人員會(huì)議，比如首席信息官、物理安全主管、信息安全主管、內(nèi)部審計(jì)主管和人力資源主管等。

為了確定哪些部分需要進(jìn)一步注意，應(yīng)收集組織當(dāng)前所有相關(guān)的策略文件，例如計(jì)算機(jī)操作策略、應(yīng)用系統(tǒng)開發(fā)策略、人力資源策略、物理安全策略。也可以參考國(guó)際標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)來獲得指導(dǎo)。

資料收集階段的工作非常重要，很多時(shí)候因?yàn)楣ぷ髁亢蛯?shí)施難度被簡(jiǎn)化操作。資料收集不全，調(diào)研不夠充分會(huì)導(dǎo)致新建的信息安全策略無法與組織的真正需求一致。也無法確保策略中的要求與管理目標(biāo)相一致。如果提出一套與組織文化明顯不一致的策略，更是一件很尷尬的事情。

在制定策略之前，對(duì)現(xiàn)狀進(jìn)行徹底調(diào)研的另一個(gè)作用是要弄清楚內(nèi)部信息系統(tǒng)體系結(jié)構(gòu)。信息安全策略應(yīng)當(dāng)與已有的信息系統(tǒng)結(jié)構(gòu)相一致，并對(duì)其完全支持。這一點(diǎn)不是針對(duì)信息安全體系結(jié)構(gòu)，而是針對(duì)信息系統(tǒng)體系結(jié)構(gòu)。信息安全策略一般在信息系統(tǒng)體系結(jié)構(gòu)確立以后制定，以保障信息安全體系實(shí)施、運(yùn)行。例如，互聯(lián)網(wǎng)訪問控制策略可使安全體系結(jié)構(gòu)具體化，也有利于選擇和實(shí)施恰當(dāng)?shù)姆阑饓Ξa(chǎn)品。

收集完上面所提到的材料后，也就是調(diào)研階段完成后，開始根據(jù)前期的調(diào)研資料制定信息安全策略文檔初稿。初稿完成后，應(yīng)當(dāng)尋找直接相關(guān)人員對(duì)其進(jìn)行小范圍的評(píng)審。對(duì)反饋意見進(jìn)行修改后，逐漸的擴(kuò)大評(píng)審的范圍。當(dāng)所有的支持部門做出修改后，交由信息安全管理委員會(huì)評(píng)審。

信息安全策略的制定過程有很高的政策性和個(gè)性，反復(fù)的評(píng)審過程能夠讓策略更加清晰、簡(jiǎn)潔，更容易落地，為此在評(píng)審的過程中需要調(diào)動(dòng)參與積極性，而不是抵觸。

評(píng)審過程的最后一步一般由總經(jīng)理、總裁、首席執(zhí)行官簽名。在人員合同中應(yīng)當(dāng)表明能予遵守并且這是繼續(xù)雇傭的條件。也應(yīng)當(dāng)發(fā)放到內(nèi)部服務(wù)器、網(wǎng)頁以及一些宣傳版面上的顯眼位置，并附有高層管理者的簽名，以表明信息安全策略文檔

得到高層領(lǐng)導(dǎo)強(qiáng)有力的支持。如果讓首席執(zhí)行官簽名不現(xiàn)實(shí)，由首席信息官簽名也可以。要注意僅有信息安全部門主管或同級(jí)的部門主管簽名，一般不足以表明高層管理者的同意和支持。雖然獲得高層管理者的同意很難實(shí)施，但經(jīng)驗(yàn)表明，高層的支持對(duì)策略的實(shí)施落地是非常重要的。

一般來說，在信息安全策略文件評(píng)審過程中，會(huì)得到組織內(nèi)部各方多次評(píng)審和修訂，其中最為重要的是信息安全管理委員會(huì)。信息安全委員會(huì)一般由信息部門人員組成，參與者一般包括以下部門的成員：信息安全、內(nèi)部審計(jì)、物理安全、信息系統(tǒng)、人力資源、法律、財(cái)政和會(huì)計(jì)部。這樣一個(gè)委員會(huì)本質(zhì)上是監(jiān)督信息安全部門的工作，負(fù)責(zé)篩選提煉已提交的策略，以便在整個(gè)組織內(nèi)更好的實(shí)施落地。如果組織內(nèi)還沒有信息安全管理委員會(huì)，在制定信息安全策略的時(shí)候正是建立管理委員會(huì)的好時(shí)機(jī)，或由組織內(nèi)已存在的同職能部門擔(dān)任職責(zé)。

雖然制定了新的安全策略，還必須有一個(gè)適當(dāng)?shù)膶?shí)施過程，如果這些策略不能得到實(shí)施，將起不到任何作用，不能得到執(zhí)行的策略，可能比完全沒有策略更糟糕，因?yàn)檫@樣會(huì)教會(huì)員工作假和質(zhì)疑組織內(nèi)部執(zhí)行力，這也可能麻痹管理者認(rèn)為信息安全為題已經(jīng)處理雖然現(xiàn)實(shí)是另外一回事。

管理層常以為員工行為當(dāng)然以組織利益為重，這是一個(gè)欠考慮的想法。雖然策略不可能影響員工的個(gè)人價(jià)值觀，但管理層可以運(yùn)用策略給員工提供機(jī)會(huì)，引導(dǎo)他們和組織的利益一致。策略告訴員工組織對(duì)他們的期望是什么。

新策略發(fā)布前，應(yīng)在內(nèi)部信息技術(shù)部門或?qū)徲?jì)部門內(nèi)討論如果具體實(shí)施。新策略的執(zhí)行可能會(huì)遇到多樣化的問題。可以通過績(jī)效評(píng)估和相應(yīng)獎(jiǎng)懲制度來保證策略的執(zhí)行有效性。發(fā)現(xiàn)和懲罰違反策略的員工并不是目的。如果大量的人都不遵守，這就表明策略和相關(guān)的意識(shí)提升是無效的。在此情形下，需要尋找更有效的方式實(shí)施，或修改策略，以便更好的反映組織文化。

另有一些策略實(shí)施的建議：

在組織內(nèi)部網(wǎng)站或一些媒體發(fā)布策略—新策略應(yīng)發(fā)布在組織內(nèi)部網(wǎng)站上，加入相關(guān)鏈接讓用戶能很快定位感興趣的材料。

制定自我評(píng)估調(diào)查表—在新的策略實(shí)施時(shí)，制定評(píng)估表，填寫實(shí)施情況，就能明確哪些部門沒有遵守好、哪些地方需要額外加強(qiáng)控制。

制定遵守信息安全策略的員工協(xié)議表——應(yīng)當(dāng)編輯一個(gè)反映員工該如何遵守信息安全策略的法律協(xié)議表，或直接體現(xiàn)在員工合同中。

建立考察機(jī)制檢查員工是否理解策略——調(diào)查員工是否理解安全策略文檔中的重點(diǎn)。通過考試確定是否要增加培訓(xùn)和通告。

基礎(chǔ)信息安全培訓(xùn)課程——培訓(xùn)課程通過錄像或培訓(xùn)軟件存檔。不同策略對(duì)象可能要不同的培訓(xùn)課程。

分配策略落實(shí)負(fù)責(zé)人——按部門或?qū)嶋H情況分配負(fù)責(zé)人，落實(shí)責(zé)任。

第三篇：稅務(wù)系統(tǒng)信息安全策略

論文編號(hào)：6G21112101

稅務(wù)系統(tǒng)信息安全策略

劉宏斌 李懷永

內(nèi)容題要：

隨著稅收信息化程度不斷提高，稅收工作對(duì)信息系統(tǒng)的依賴性不斷增大，稅務(wù)信息安全顯得更加重要。本文主要通過分析稅務(wù)信息化的網(wǎng)絡(luò)安全的重要性和內(nèi)部網(wǎng)網(wǎng)絡(luò)信息存在的安全問題來提出稅務(wù)信息化的網(wǎng)絡(luò)安全實(shí)施方案。

關(guān)鍵詞：稅務(wù)信息化、信息安全、安全策略

計(jì)算機(jī)軟硬件技術(shù)的發(fā)展和互聯(lián)網(wǎng)技術(shù)的普及，為電子稅務(wù)的發(fā)展奠定了基礎(chǔ)。尤其是國(guó)家金稅工程的建設(shè)和應(yīng)用，使稅務(wù)部門在遏止騙稅和稅款流失上取得了顯著成效。電子稅務(wù)可以最大限度地確保國(guó)家的稅收收入，但卻面臨著系統(tǒng)安全性的難題。雖然我國(guó)稅務(wù)信息化建設(shè)自開始金稅工程以來，取得了長(zhǎng)足進(jìn)步，極大提高了稅務(wù)工作效率和質(zhì)量。但稅務(wù)系統(tǒng)本身也暴露出了一系列要改進(jìn)的問題，各種應(yīng)用軟件自成體系、重復(fù)開發(fā)、信息集中程度低。隨著信息化水平的不斷提高，基于信息網(wǎng)絡(luò)及計(jì)算機(jī)的犯罪事件也日益增加。稅務(wù)系統(tǒng)所面臨的信息網(wǎng)絡(luò)安全威脅不容忽視。建立稅務(wù)管理信息化網(wǎng)絡(luò)安全體系，要求人們必須提高對(duì)網(wǎng)絡(luò)安全重要性的認(rèn)識(shí)，增強(qiáng)防范意識(shí)，加強(qiáng)網(wǎng)絡(luò)安全管理，采取先進(jìn)有效的技術(shù)防范措施。本文主要通過分析稅務(wù)信息化的網(wǎng)絡(luò)安全威脅和內(nèi)部網(wǎng)網(wǎng)絡(luò)信息管理的安全策略和技術(shù)來提出稅務(wù)信息化的網(wǎng)絡(luò)安全實(shí)施方案。

一、稅務(wù)機(jī)關(guān)信息安全的重要性

稅收是國(guó)家財(cái)政收入的重要途徑，相關(guān)的稅務(wù)系統(tǒng)業(yè)務(wù)要求其具有準(zhǔn)確性、公證性和完整性的特點(diǎn)，隨著稅收信息化程度不斷提高，稅收工作對(duì)信息系統(tǒng)的依賴性不斷增大，稅務(wù)信息安全顯得更加重要。稅務(wù)信息系統(tǒng)已經(jīng)覆蓋到全國(guó)鄉(xiāng)鎮(zhèn)，點(diǎn)多面廣，信息安全防范難度加大，稅務(wù)機(jī)關(guān)信息系統(tǒng)安全基礎(chǔ)條件不足、管理力量薄弱，成為稅務(wù)信息安全的重點(diǎn)和難點(diǎn)。因此保證稅務(wù)信息系統(tǒng)的安全性意義重大。稅務(wù)系統(tǒng)作為電子政務(wù)系統(tǒng)的一部分，屬國(guó)家基礎(chǔ)信息建設(shè)，其基本特點(diǎn)是：網(wǎng)絡(luò)地域廣、信息系統(tǒng)服務(wù)對(duì)象復(fù)雜；稅務(wù)信息具有數(shù)據(jù)集中、安全性要求高；應(yīng)用系統(tǒng)的種類較多，網(wǎng)絡(luò)系統(tǒng)安全設(shè)備數(shù)量大，種類多，管理難度大。稅務(wù)系統(tǒng)是一個(gè)及其龐大復(fù)雜的系統(tǒng)，從業(yè)務(wù)上有國(guó)稅、地稅之分，從地域來說通過總局、省局、市局?jǐn)?shù)據(jù)中心的三層數(shù)據(jù)分布和總局、省局、市局及縣/區(qū)級(jí)、分局/所五層網(wǎng)絡(luò)管理結(jié)構(gòu)。網(wǎng)絡(luò)結(jié)點(diǎn)眾多、網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)出口不計(jì)其數(shù)、操作系統(tǒng)種類繁多、應(yīng)用系統(tǒng)五花八門、網(wǎng)絡(luò)機(jī)構(gòu)極其復(fù)雜。面對(duì)如此復(fù)雜的系統(tǒng)，其內(nèi)部安全隱患隨處可見，經(jīng)過不斷的研究和探索，目前已經(jīng)積累了大量解決稅務(wù)系統(tǒng)信息基礎(chǔ)設(shè)施安全的方法和經(jīng)驗(yàn)，形成一整套稅務(wù)系統(tǒng)的安全保障方法，相關(guān)安全保障的體系也在不斷完善和發(fā)展中。

二、稅務(wù)系統(tǒng)內(nèi)部網(wǎng)存在的安全問題

稅務(wù)信息化的網(wǎng)絡(luò)為計(jì)算機(jī)內(nèi)部網(wǎng)，內(nèi)部網(wǎng)是獨(dú)立于其他任何網(wǎng)絡(luò)的獨(dú)立網(wǎng)絡(luò),這里所謂的獨(dú)立是指的物理上的獨(dú)立,因此保證保密內(nèi)部網(wǎng)的網(wǎng)絡(luò)與信息安全也具有特有的要求。稅務(wù)內(nèi)網(wǎng)安全的問題主要表現(xiàn)為：

1、物理地域廣。內(nèi)網(wǎng)設(shè)備地理位置分散，內(nèi)網(wǎng)用戶水平參差不齊，承載業(yè)務(wù)不同，安全需求各異，從而決定了內(nèi)網(wǎng)安全建設(shè)的復(fù)雜性和多元性；

2、網(wǎng)絡(luò)邊界的擴(kuò)大。遠(yuǎn)程撥號(hào)用戶、移動(dòng)辦公用戶、VPN 用戶、分支機(jī)構(gòu)、合作伙伴、供應(yīng)商、無線局域網(wǎng)等等已經(jīng)大大地?cái)U(kuò)展了網(wǎng)絡(luò)的邊界，使得邊界保護(hù)更加困難；稅務(wù)分局、稅務(wù)所等分支機(jī)構(gòu)的局域網(wǎng)與上級(jí)稅務(wù)骨干網(wǎng)的連接，無論采用ADSL、XDSL寬帶，還是采用DDN、SDH專線，基本沒有路由安全和防止入侵的技術(shù)措施。

3、病毒/蠕蟲/特洛伊木馬。病毒蠕蟲大規(guī)模泛濫、新的蠕蟲不斷出現(xiàn)，給內(nèi)網(wǎng)用戶帶來損失，以及網(wǎng)絡(luò)出現(xiàn)病毒、蠕蟲攻擊等安全問題后，不能做到及時(shí)地阻斷、隔離；一般是以尋找后門、竊取密碼和重要文件為主，還可以對(duì)電腦進(jìn)行跟蹤監(jiān)視、控制、查看、修改資料等操作，具有很強(qiáng)的隱蔽性、突發(fā)性和攻擊性。由于具有很強(qiáng)的隱蔽性，用戶往往是在自己的密碼被盜、機(jī)密文件丟失的情況下才知道自己中了木馬。部分內(nèi)部網(wǎng)絡(luò)終端缺少有效的安全防護(hù)，業(yè)務(wù)資料和私人信息混存，不設(shè)開機(jī)口令，沒有讀寫控制，業(yè)務(wù)系統(tǒng)登錄口令簡(jiǎn)單且長(zhǎng)期不變，移動(dòng)存儲(chǔ)設(shè)備不按規(guī)定使用，病毒和垃圾信息充斥。

4、身份欺騙。內(nèi)網(wǎng)安全防范措施相對(duì)脆弱，不能有效抵御來自內(nèi)外部的入侵和攻擊的問題，安全策略不能得到及時(shí)地分發(fā)和執(zhí)行，最終導(dǎo)致安全策略形同虛設(shè)；主要方式有：IP欺騙、ARP欺騙、DNS 欺騙、Web欺騙、電子郵件欺騙、源路由欺騙（通過指定路由，以假冒身份與其他主機(jī)進(jìn)行合法通信或發(fā)送假報(bào)文，使受攻擊主機(jī)出現(xiàn)錯(cuò)誤動(dòng)作）、地址欺騙（包括偽造源地址和偽造中間站點(diǎn)）等。

5、內(nèi)網(wǎng)非法主機(jī)外聯(lián)。非法主機(jī)的接入、內(nèi)部網(wǎng)非法通過 Modem、無線網(wǎng)卡非法外聯(lián)等的安全防范不足從而引入安全風(fēng)險(xiǎn)。有的終端在內(nèi)部網(wǎng)和互聯(lián)網(wǎng)之間來回?fù)Q用，一些只應(yīng)在內(nèi)部網(wǎng)上運(yùn)行的操作系統(tǒng)、應(yīng)用軟件和業(yè)務(wù)數(shù)據(jù)沒有與互聯(lián)網(wǎng)實(shí)行“隔離”，存在潛在風(fēng)險(xiǎn)。

6、缺乏上網(wǎng)行為管理監(jiān)控。缺乏對(duì)內(nèi)網(wǎng)用戶行為（收發(fā)郵件，Web 頁面訪問，文件上傳下載等等）進(jìn)行監(jiān)控的手段，導(dǎo)致組織機(jī)密信息和隱私泄漏。內(nèi)部網(wǎng)上設(shè)備和信息共享范圍廣，信息發(fā)布和公開比較隨意，不少重要或敏感信息只有發(fā)布沒有管理，缺少防止惡意攻擊信息系統(tǒng)和竊取保密信息的技術(shù)手段和措施。內(nèi)外網(wǎng)間的安全解決方案和選購的設(shè)備等，不少?zèng)]有經(jīng)過權(quán)威部門的檢測(cè)和認(rèn)定，系統(tǒng)運(yùn)行中缺少嚴(yán)格的跟蹤監(jiān)控，存在安全隱患。

7、其他安全威脅緩沖區(qū)溢出。緩沖區(qū)溢出是指當(dāng)計(jì)算機(jī)程序向緩沖區(qū)內(nèi)填充的數(shù)據(jù)位數(shù)超過了緩沖區(qū)本身的容量。溢出的數(shù)據(jù)覆蓋在合法數(shù)據(jù)上，一小部分?jǐn)?shù)據(jù)或者一套指令的溢出就可能導(dǎo)致一個(gè)程序或者操作系統(tǒng)崩潰。

三、稅務(wù)信息化的網(wǎng)絡(luò)安全實(shí)施方案

1、做好信息安全風(fēng)險(xiǎn)評(píng)估

為確保稅務(wù)信息資產(chǎn)的安全，應(yīng)定期組織業(yè)務(wù)、技術(shù)和管理等專業(yè)人員進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估，制定科學(xué)的安全預(yù)算。

信息安全評(píng)估應(yīng)著重于以下問題：

（1）確定可能對(duì)信息資產(chǎn)造成危害的威脅，包括計(jì)算機(jī)病毒、黑客和自然災(zāi)害等。

（2）通過歷史資料和專家的經(jīng)驗(yàn)確定威脅實(shí)施的可能性。（3）對(duì)可能受到威脅影響的信息資產(chǎn)確定其價(jià)值、敏感性和嚴(yán)重性，以及相應(yīng)的級(jí)別，確定所有信息資產(chǎn)的重要程度。

（4）對(duì)最重要的、最敏感的信息資產(chǎn)，確定一旦威脅發(fā)生其潛在的損失或破壞。

（5)準(zhǔn)確了解網(wǎng)絡(luò)和系統(tǒng)的安全現(xiàn)狀。（6)明晰網(wǎng)絡(luò)和系統(tǒng)的安全需求。（7）確定網(wǎng)絡(luò)和系統(tǒng)的安全策略。（8）制定網(wǎng)絡(luò)和系統(tǒng)的安全解決方案。

（9）向上級(jí)提交安全保障體系建設(shè)的意見和建議。

（10)通過項(xiàng)目實(shí)施和培訓(xùn)，培養(yǎng)自己的安全技術(shù)骨干及隊(duì)伍。

2、加強(qiáng)信息安全管理

信息安全“三分技術(shù)，七分管理”，安全管理是信息安全的核心，建立健全安全管理制度是安全管理的關(guān)鍵。規(guī)范化的安全管理，能夠最大限度地遏制或避免各種危害，是保障計(jì)算機(jī)信息安全的最重要環(huán)節(jié)。

（1）建立健全信息安全管理組織，明確領(lǐng)導(dǎo)體制和工作機(jī)制。（2）建立健全信息安全管理制度, 落實(shí)安全防范責(zé)任制。（3）廣泛開展計(jì)算機(jī)信息安全宣傳，提高全員信息安全意識(shí)，建立信息安全培訓(xùn)機(jī)制，組織開展多層次、多方位的信息安全培訓(xùn)，提高全員信息安全防范技能。

（4）開展經(jīng)常性的安全檢查，切實(shí)整改安全隱患，不斷改進(jìn)信息安全管理工作。

（5）科學(xué)評(píng)定信息系統(tǒng)及信息資產(chǎn)的重要級(jí)別，確定信息安全工作重點(diǎn)，制定近、中、遠(yuǎn)期信息安全工作規(guī)劃。

3、完善信息安全技術(shù)手段

信息安全離不開安全技術(shù)的實(shí)施和安全技術(shù)防范體系的建立?；鶎訂挝灰詤f(xié)助和配合總局、省局統(tǒng)一的信息安全體系建設(shè)為主，自主建設(shè)為輔，且以內(nèi)網(wǎng)和內(nèi)部的防范為重點(diǎn)。

（1）病毒防范：建立嚴(yán)密的、全方位的、統(tǒng)一的網(wǎng)絡(luò)病毒防范系統(tǒng)，實(shí)行統(tǒng)一的殺毒組件分發(fā)、維護(hù)、更新和報(bào)警等，重點(diǎn)防控網(wǎng)絡(luò)終端、移動(dòng)存儲(chǔ)設(shè)備的病毒入侵和傳染。

（2）身份鑒別與訪問控制：嚴(yán)格設(shè)定所有應(yīng)用系統(tǒng)用戶的崗位和權(quán)限，改變傳統(tǒng)的用戶名加口令的辦法，使用基于密碼技術(shù)、生物統(tǒng)計(jì)技術(shù)等新型的、可靠的電子身份鑒別技術(shù)，把好進(jìn)入系統(tǒng)的第一道關(guān)卡，防止非授權(quán)用戶進(jìn)入各級(jí)信息系統(tǒng)。

（3）安全審計(jì)：對(duì)網(wǎng)絡(luò)的Web瀏覽、Web發(fā)布、郵件、即時(shí)通信、FTP和遠(yuǎn)程登錄等行為進(jìn)行全面審計(jì)，對(duì)重要數(shù)據(jù)庫的訪問對(duì)象、訪問時(shí)間、訪問類型和訪問內(nèi)容進(jìn)行嚴(yán)密跟蹤，及時(shí)掌握整個(gè)網(wǎng)絡(luò)動(dòng)態(tài)，發(fā)現(xiàn)網(wǎng)絡(luò)入侵和違規(guī)行為，記錄網(wǎng)上一切行為，為安全事件的處置和查證提供全面依據(jù)和確鑿證據(jù)。

（4）入侵檢測(cè)：對(duì)內(nèi)部網(wǎng)中主要的網(wǎng)段進(jìn)行實(shí)時(shí)入侵監(jiān)測(cè)，動(dòng)態(tài)地監(jiān)測(cè)網(wǎng)絡(luò)內(nèi)部活動(dòng)并做出及時(shí)的響應(yīng)，及時(shí)發(fā)現(xiàn)網(wǎng)上攻擊行為并作出得當(dāng)?shù)奶幹谩?/p>

（5）信息加密：對(duì)重要信息資料、數(shù)據(jù)進(jìn)行加密存儲(chǔ)和傳輸，防止重要信息被篡改、偽造、竊取和泄漏。

稅務(wù)機(jī)關(guān)要立足實(shí)際，切實(shí)解決好人員、資金、技術(shù)問題，把信息安全管理工作放在應(yīng)有位置，逐步實(shí)現(xiàn)信息安全的規(guī)范化、制度化管理，不斷建立和完善信息安全技術(shù)防范體系，為稅收征管信息化提供有力的安全保障。

結(jié)束語

解決信息系統(tǒng)的安全不是一個(gè)獨(dú)立的項(xiàng)目問題，安全策略包括各種安全方案、法律法規(guī)、規(guī)章制度、技術(shù)標(biāo)準(zhǔn)、管理規(guī)范等，是整個(gè)信息系統(tǒng)安全建設(shè)的依據(jù)?，F(xiàn)有的安全保障體系一般基于深度防御技術(shù)框架，若能進(jìn)一步利用現(xiàn)代信息處理技術(shù)中的人工智能技術(shù)、嵌入式技術(shù)、主動(dòng)技術(shù)、實(shí)時(shí)技術(shù)等，將形成更加完善的信息安全管理體系。稅務(wù)信息安全直接關(guān)系到稅收信息化建設(shè)的成敗，必須引起稅務(wù)機(jī)關(guān)和每一位稅務(wù)人的重視?？茖W(xué)技術(shù)的發(fā)展不一定能對(duì)任何事物的本質(zhì)和現(xiàn)象都產(chǎn)生影響，技術(shù)只有與先進(jìn)的管理思想、管理體制相結(jié)合，才能產(chǎn)生巨大的效益。

參考文獻(xiàn)：

(1)戴宗坤,羅萬伯等.信息系統(tǒng)安全[M].電子工業(yè)出版社，2002.(2)黃章勇.信息安全概論.2005年第1版.出版社:北京郵電大學(xué)出版社, 2005:7-58(3)孫銳,王純.信息安全原理及應(yīng)用.2003年7月第1版.清華大學(xué)出版社,2003:17-21(4)王聰生.信息與網(wǎng)絡(luò)安全中的若干問題.電力信息化[J],2004(7).(5)白巖, 甄真, 倫志軍, 周芮.計(jì)算機(jī)網(wǎng)絡(luò)信息管理及其安全.現(xiàn)代情報(bào)[J],2006,8(8).(6)王純斌.淺議計(jì)算機(jī)網(wǎng)絡(luò)信息安全管理.哈爾濱市委黨校學(xué)報(bào)[J],2006(9).(7)趙月霞.信息網(wǎng)絡(luò)安全設(shè)計(jì)與應(yīng)用.寧夏電力[J],2004(1).(8)陳月波.網(wǎng)絡(luò)信息安全[M].武漢：武漢理工大學(xué)出版社，2005.(9)鐘樂海，王朝斌，李艷梅.網(wǎng)絡(luò)安全技術(shù)[M].北京：電子工業(yè)出版社,2003.(10)張千里.網(wǎng)絡(luò)安全基礎(chǔ)與應(yīng)用[M].北京：人民郵電出版社,2007.(11)吳金龍,蔡燦輝,王晉隆.網(wǎng)絡(luò)安全[M].北京：高等教育出版社,2004.(12)熊心志.計(jì)算機(jī)網(wǎng)絡(luò)信息安全初探.計(jì)算機(jī)科學(xué).2006, 33卷.B12 期:60-62(13)網(wǎng)絡(luò)信息安全及防范技術(shù)分析.中國(guó)科技信息.2006,16期:149-151

（作者單位：盤錦市大洼縣國(guó)稅局）

第四篇：信息安全策略綱要

信息安全策略綱要

1范圍

信息系統(tǒng)是技術(shù)密集的大型復(fù)雜的網(wǎng)絡(luò)化人機(jī)系統(tǒng)，其面臨的安全問題非常突出。為了保障海南電網(wǎng)信息通信分公司（以下簡(jiǎn)稱“公司”）信息系統(tǒng)的安全可靠運(yùn)行，依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》等相關(guān)標(biāo)準(zhǔn)法規(guī)制定本策略綱要。本綱要適用于公司信息系統(tǒng)?？傮w目標(biāo)

總體目標(biāo)：保護(hù)公司信息系統(tǒng)的硬件、軟件、業(yè)務(wù)信息和數(shù)據(jù)、通信網(wǎng)絡(luò)設(shè)備等資源的安全，有效防范各類安全事故，合法合規(guī)發(fā)展各類信息系統(tǒng)，確保為社會(huì)提供高效穩(wěn)定的電力服務(wù)。規(guī)范性引用文件

下列文件中的條款通過本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡注明日期的引用文件，其隨后所有的修改單或修訂版均不適用于本標(biāo)準(zhǔn)（不包括勘誤、通知單），然而，鼓勵(lì)根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研究是否可使用這些文件的最新版本。凡未注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)

《信息安全技術(shù) 信息系統(tǒng)安全保障評(píng)估框架》（GB/T 20274.1-2006）《信息安全技術(shù) 信息系統(tǒng)安全管理要求》（GB/T 20269-2006）

《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（GBT 22239-2008）本標(biāo)準(zhǔn)未涉及的管理內(nèi)容，參照國(guó)家、電力行業(yè)、南方電網(wǎng)公司的有關(guān)標(biāo)準(zhǔn)和規(guī)定執(zhí)行。總體方針

4.1組織與體制

構(gòu)筑確保信息安全所必需的組織與體制，明確其責(zé)任與權(quán)限。

4.2 遵守法令法規(guī)

遵守與信息安全有關(guān)的法令法規(guī)，制定并遵守按基本方針?biāo)贫ǖ男畔踩嚓P(guān)的規(guī)定。

4.3信息資產(chǎn)的分類與管理

按照重要級(jí)別信息資產(chǎn)進(jìn)行分類，并妥善管理。

4.4培訓(xùn)與教育

為使相關(guān)人員全面了解信息安全的重要性，適當(dāng)開展針對(duì)性培訓(xùn)與教育教育活動(dòng)。使他們充分認(rèn)識(shí)信息安全的重要性以及掌握正確的管理方法。

4.5物理性保護(hù)

為避免非法入侵、干擾及破壞信息資產(chǎn)等事故的發(fā)生，對(duì)其保管場(chǎng)所與保管辦法加以明確。

4.6技術(shù)性保護(hù)

為切實(shí)保護(hù)信息資產(chǎn)不受來自外部的非法入侵，對(duì)信息系統(tǒng)的登錄方法、使用限制、網(wǎng)絡(luò)管理等采取適當(dāng)?shù)拇胧?/p>

4.7運(yùn)用

為確?；痉结樀膶?shí)際成效，在對(duì)遵守情況進(jìn)行監(jiān)督的同時(shí)，對(duì)違反基本方針時(shí)的處置辦法及針對(duì)來自外部的非法入侵等緊急事態(tài)采取的應(yīng)對(duì)措施等加以規(guī)定。

4.8評(píng)價(jià)及復(fù)審

隨著社會(huì)環(huán)境的變化、技術(shù)的進(jìn)步等，應(yīng)定期對(duì)基本方針與運(yùn)用方式進(jìn)行評(píng)價(jià)與復(fù)審安全策略

5.1安全管理制度

在信息安全中，最活躍的因素是人，對(duì)人的管理包括法律、法規(guī)與政策的約束、安全指南的幫助、安全意識(shí)的提高、安全技能的培訓(xùn)、人力資源管理措施以及企業(yè)文化的熏陶，這些功能的實(shí)現(xiàn)都是以完備的安全管理政策和制度為前提。安全管理制度包括信息安全工作的總體方針、策略、規(guī)范各種安全管理活動(dòng)的管理制度以及管理人員或操作人員日常操作的操作規(guī)程。

安全管理制度重點(diǎn)關(guān)注管理制度、制定和發(fā)布、評(píng)審和修訂三方面。

目的是根據(jù)系統(tǒng)的安全等級(jí)，依照國(guó)家相關(guān)法律法規(guī)及政策標(biāo)準(zhǔn)，建立信息安全的各項(xiàng)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，規(guī)范基礎(chǔ)設(shè)施建設(shè)、系統(tǒng)和網(wǎng)絡(luò)平臺(tái)建設(shè)、應(yīng)用系統(tǒng)開發(fā)、運(yùn)行管理等重要環(huán)節(jié)，奠定信息安全的基礎(chǔ)。

5.2安全管理機(jī)構(gòu)

建立組織管理體系是為了建立自上而下的信息安全工作管理體系，確定安全管理組織機(jī)構(gòu)的職責(zé)，統(tǒng)籌規(guī)劃、專家決策，以推動(dòng)信息安全工作的開展。

公司成立信息安全領(lǐng)導(dǎo)小組，是信息安全的最高決策機(jī)構(gòu)，負(fù)責(zé)研究重大事件，落實(shí)方針政策，制定實(shí)施策略和原則，開展安全普及教育等。下設(shè)辦公室負(fù)責(zé)信息安全領(lǐng)導(dǎo)小組的日常事務(wù)。

信息安全領(lǐng)導(dǎo)小組下設(shè)兩個(gè)工作組：信息安全工作組、應(yīng)急處理工作組。組長(zhǎng)均由公司負(fù)責(zé)人擔(dān)任。

5.3人員安全管理

通過建立安全崗位責(zé)任制，最大限度降低人為失誤所造成的風(fēng)險(xiǎn)。人是決定性因素，人員安全管理的原則是：職責(zé)分離、有限授權(quán)、相互制約、任期審計(jì)。

人員安全管理的要素包括：安全管理人員配備、信息系統(tǒng)關(guān)鍵崗位、人員錄用、人員離崗、人員考核與審查、第三方人員管理等。

信息安全人員的配備和變更情況，應(yīng)向上一級(jí)單位報(bào)告、備案。

信息安全人員調(diào)離崗位，必須嚴(yán)格辦理調(diào)離手續(xù)，承諾其調(diào)離后的保密義務(wù)。涉及公司業(yè)務(wù)核心技術(shù)的信息安全人員調(diào)離單位，必須進(jìn)行離崗審計(jì)，并在規(guī)定的脫密期后，方可調(diào)離。

5.4系統(tǒng)建設(shè)管理

信息系統(tǒng)的安全管理貫穿系統(tǒng)的整個(gè)生命周期，系統(tǒng)建設(shè)管理主要關(guān)注的是生命周期中的前三個(gè)階段（初始、采購、實(shí)施）中各項(xiàng)安全管理活動(dòng)。

系統(tǒng)建設(shè)管理分別從工程實(shí)施建設(shè)前、建設(shè)過程以及建設(shè)完畢交付等三方面考慮，具體包括系統(tǒng)定級(jí)、安全方案設(shè)計(jì)、產(chǎn)品采購和使用、自行軟件開發(fā)、外包軟件開發(fā)、工程實(shí)施、測(cè)試驗(yàn)收、系統(tǒng)交付、系統(tǒng)備案、等級(jí)測(cè)評(píng)和安全服務(wù)商選擇十一個(gè)控制點(diǎn)。

5.5系統(tǒng)運(yùn)維管理

目的是保障信息系統(tǒng)日常運(yùn)行的安全穩(wěn)定，對(duì)運(yùn)行環(huán)境、技術(shù)支持、操作使用、病毒防范、備份措施、文檔建立等全方位管理。包括用戶管理、運(yùn)行操作管理、運(yùn)行維護(hù)管理、外包服務(wù)管理、有關(guān)安全機(jī)制保障、安全管理控制平臺(tái)等方面的管理要素。

對(duì)運(yùn)行過程的任何變化，數(shù)據(jù)、軟件、物理設(shè)置等，都應(yīng)實(shí)施技術(shù)監(jiān)控和管理手段以確保其完整性，防止信息非法復(fù)制、篡改，任何查詢和變更操作需經(jīng)過授權(quán)和合法性驗(yàn)證。

應(yīng)急管理也是運(yùn)維的重要內(nèi)容，目的是分析信息系統(tǒng)可能出現(xiàn)的緊急事件或?yàn)?zāi)難，建立一整套應(yīng)急措施，以保障核心業(yè)務(wù)的快速恢復(fù)和持續(xù)穩(wěn)定運(yùn)行。應(yīng)急計(jì)劃包括應(yīng)急處理和災(zāi)難恢復(fù)策略、應(yīng)急計(jì)劃、應(yīng)急計(jì)劃的實(shí)施保障等管理要素。

在海南省電網(wǎng)公司統(tǒng)一的應(yīng)急規(guī)劃下，針對(duì)信息系統(tǒng)面臨的各種應(yīng)急場(chǎng)景編制相應(yīng)的應(yīng)急預(yù)案，并經(jīng)過測(cè)試演練修訂，同時(shí)宣傳普及。

5.6物理安全

目的是保護(hù)計(jì)算機(jī)設(shè)備、設(shè)施（含網(wǎng)絡(luò)）以及信息系統(tǒng)免遭自然災(zāi)害和其他形式的破壞，保證信息系統(tǒng)的實(shí)體安全。

有關(guān)物理環(huán)境的選址和設(shè)計(jì)應(yīng)遵照相關(guān)標(biāo)準(zhǔn)，配備防火、防水、防雷擊、防靜電、防鼠害等機(jī)房措施，維持系統(tǒng)不間斷運(yùn)行能力，確保信息系統(tǒng)運(yùn)行的安全可靠。

對(duì)重要安全設(shè)備的選擇，需符合國(guó)家相關(guān)標(biāo)準(zhǔn)規(guī)范，相關(guān)證書齊全。

嚴(yán)格確定設(shè)備的合法使用人，建立詳細(xì)運(yùn)行日志和維護(hù)記錄。

5.7網(wǎng)絡(luò)安全

目的是有效防范網(wǎng)絡(luò)體系的安全風(fēng)險(xiǎn)，為業(yè)務(wù)應(yīng)用系統(tǒng)提供安全、可靠、穩(wěn)定的網(wǎng)絡(luò)管理和技術(shù)平臺(tái)。

對(duì)于依賴網(wǎng)絡(luò)架構(gòu)安全的業(yè)務(wù)應(yīng)用系統(tǒng)，需根據(jù)其安全級(jí)別，實(shí)施相應(yīng)的訪問控制、身份認(rèn)證、審計(jì)等安全服務(wù)機(jī)制；在網(wǎng)絡(luò)邊界處，需根據(jù)資源的保護(hù)等級(jí)，實(shí)施相應(yīng)安全級(jí)別的防火墻、認(rèn)證、審計(jì)、動(dòng)態(tài)檢測(cè)等技術(shù)，防范信息資源的非法訪問、篡改和破壞。

5.8主機(jī)安全

主機(jī)安全包括服務(wù)器、終端/工作站等在內(nèi)的計(jì)算機(jī)設(shè)備在操作系統(tǒng)及數(shù)據(jù)庫系統(tǒng)層面的安全。終端/工作站是帶外設(shè)的臺(tái)式機(jī)與筆記本計(jì)算機(jī)，服務(wù)器則包括應(yīng)用程序、網(wǎng)絡(luò)、web、文件與通信等服務(wù)器。主機(jī)承載著各種應(yīng)用，是保護(hù)信息安全的中堅(jiān)力量。

主機(jī)安全需著重關(guān)注和加強(qiáng)身份鑒別、訪問控制、惡意代碼防范、安全審計(jì)、入侵防范幾個(gè)方面，同時(shí)定期或不定期的進(jìn)行安全評(píng)估（含滲透性測(cè)試）和加固，實(shí)時(shí)確保主機(jī)的健壯性。

5.9應(yīng)用安全

應(yīng)用安全成是信息系統(tǒng)整體防御的最后一道防線，目的是保障業(yè)務(wù)應(yīng)用系統(tǒng)開發(fā)過程及最終產(chǎn)品的安全性。

在應(yīng)用層面運(yùn)行著信息系統(tǒng)的基于網(wǎng)絡(luò)的應(yīng)用以及特定業(yè)務(wù)應(yīng)用?；诰W(wǎng)絡(luò)的應(yīng)用是形成其他應(yīng)用的基礎(chǔ)，是基本的應(yīng)用；業(yè)務(wù)應(yīng)用采納基本應(yīng)用的功能以滿足特定業(yè)務(wù)的要求；故最終是保護(hù)系統(tǒng)的各種業(yè)務(wù)應(yīng)用程序的安全運(yùn)行。

應(yīng)用系統(tǒng)的總體需求計(jì)劃階段，應(yīng)全面評(píng)估系統(tǒng)的安全風(fēng)險(xiǎn)，確定系統(tǒng)的訪問控制、身份認(rèn)證、審計(jì)跟蹤等安全需求；總體架構(gòu)設(shè)計(jì)階段，應(yīng)實(shí)施安全需求設(shè)計(jì)，確立安全服務(wù)機(jī)制、開發(fā)人員技術(shù)要求和操作規(guī)程；應(yīng)用系統(tǒng)的實(shí)現(xiàn)階段，應(yīng)全程實(shí)施質(zhì)量控制，防止程序后門，減少代碼漏洞；在上線運(yùn)行之前，應(yīng)充分進(jìn)行局部功能、整體功能、壓力測(cè)試，以及系統(tǒng)安全性能、操作流程、應(yīng)急方案的測(cè)試。5.10數(shù)據(jù)安全及備份恢復(fù)

信息系統(tǒng)處理的各種數(shù)據(jù)（用戶數(shù)據(jù)、系統(tǒng)數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)等）在維持系統(tǒng)正常運(yùn)行上起著至關(guān)重要的作用。由于信息系統(tǒng)的各個(gè)層面（網(wǎng)絡(luò)、主機(jī)、應(yīng)用等）都對(duì)各類數(shù)據(jù)進(jìn)行傳輸、存儲(chǔ)和處理等，因此，對(duì)數(shù)據(jù)的保護(hù)需要物理環(huán)境、網(wǎng)絡(luò)、數(shù)據(jù)庫和操作系統(tǒng)、應(yīng)用程序等提供支持。

數(shù)據(jù)備份也是防止數(shù)據(jù)被破壞后無法恢復(fù)的重要手段，而硬件備份等更是保證系統(tǒng)可用的重要內(nèi)容。附 則

? 本標(biāo)準(zhǔn)由海南電網(wǎng)公司信息通信分公司負(fù)責(zé)解釋。

? 本標(biāo)準(zhǔn)自頒布之日起實(shí)行。

第五篇：企業(yè)網(wǎng)絡(luò)信息安全策略

企業(yè)網(wǎng)絡(luò)信息安全策略

隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)的快速發(fā)展，網(wǎng)絡(luò)管理也越來越受到人們的重視，企業(yè)的發(fā)展更離不開網(wǎng)絡(luò)，但是網(wǎng)絡(luò)的質(zhì)量又直接影響著企業(yè)的信息安全管理，因此，企業(yè)需要制定一種網(wǎng)絡(luò)和數(shù)據(jù)安全策略，提高網(wǎng)絡(luò)管理員的信息掌控能力，為了把企業(yè)網(wǎng)絡(luò)管理做到安全合理，翔羚科技給廣大企業(yè)做出以下幾點(diǎn)建議。

評(píng)估企業(yè)網(wǎng)絡(luò)完整性

評(píng)估網(wǎng)絡(luò)的完整性。“了解自己 IT 基礎(chǔ)架構(gòu)的起點(diǎn)和終點(diǎn)，但仍有為數(shù)眾多的企業(yè)不清楚其網(wǎng)絡(luò)的整體性。還要了解自己的?正常狀態(tài)?是什么，這樣能夠便于你快速確定問題并作出響應(yīng)?！敝匦略u(píng)估您的可接受使用策略和商業(yè)行為準(zhǔn)則。“拋棄那種冗長(zhǎng)的安全政策清單的做法，只將焦點(diǎn)放在那些您知道自己必須實(shí)施且能夠?qū)嵤┑恼呱??！?/p>

做好企業(yè)內(nèi)部人員數(shù)據(jù)管理

確定必須保護(hù)哪些數(shù)據(jù)?！叭绻恢辣仨毐Ｗo(hù)企業(yè)內(nèi)部的哪些信息，您就無法構(gòu)建有效的 DLP 計(jì)劃。您還必須確定企業(yè)內(nèi)部哪些人有權(quán)訪問這些信息，以及必須采用什么方式?！绷私鈹?shù)據(jù)所在位置，目前采用什么方式進(jìn)行保護(hù)(以及是否正進(jìn)行保護(hù))?！按_定哪些第三方有權(quán)存儲(chǔ)您公司的數(shù)據(jù)(從云服務(wù)提供商到電郵營(yíng)銷企業(yè))，確保您的信息正得到適當(dāng)?shù)谋Ｗo(hù)。合規(guī)要求，以及當(dāng)前網(wǎng)絡(luò)犯罪領(lǐng)域?牽一發(fā)而動(dòng)全身?的發(fā)展趨勢(shì)都表明，企業(yè)絕對(duì)不能假設(shè)自己的數(shù)據(jù)是安全的，即便是這些我要走了，今天就早！你給我的工資太高了我受不起啊，我每天都遲到自己感到十分的內(nèi)疚，不過每天都是我來最早的！合同我已經(jīng)撕了，你的那份我也幫你偷偷的撕了。我不會(huì)怪你的老板，要怪就怪那個(gè)寶寶，她怎么就在貴州了呢？我決定了去貴州了解我的下半輩子了!還有你把工資打我卡上吧。信息掌握在可信任的人手里。”

合理采用監(jiān)控

采用出口監(jiān)控。“這是一項(xiàng)基本要求，但是很多企業(yè)都不夠重視，出口監(jiān)控是一種監(jiān)控重心的轉(zhuǎn)變，而不是僅側(cè)重于阻止?壞人?進(jìn)來。您應(yīng)該監(jiān)控那些由內(nèi)向外發(fā)送的內(nèi)容，包括發(fā)送者是誰、發(fā)往何處，并攔截那些不允許外泄的內(nèi)容?！睖?zhǔn)備迎接必然到來的 BYOD?！捌髽I(yè)不要再去想何時(shí)轉(zhuǎn)變到 BYOD 模式，而是要開始思考如何轉(zhuǎn)變?！?/p>

做好企業(yè)應(yīng)變決策

制定事件響應(yīng)計(jì)劃?！癐T 方面的風(fēng)險(xiǎn)應(yīng)該像任何其他業(yè)務(wù)風(fēng)險(xiǎn)一樣對(duì)待。這意味著企業(yè)需要預(yù)先制定明確的計(jì)劃，以便對(duì)任何類型的安全事件迅速作出適當(dāng)?shù)姆磻?yīng)，無論這些事件屬于有針對(duì)性攻擊所造成的數(shù)據(jù)泄露、員工疏忽導(dǎo)致的違規(guī)還是黑客行動(dòng)主義事件?！睂?shí)施安全措施幫助彌補(bǔ)對(duì)社交網(wǎng)絡(luò)控制的不足?！安灰凸兰夹g(shù)控制的強(qiáng)大力量，比如用于抵御網(wǎng)絡(luò)威脅的入侵防御系統(tǒng)。聲譽(yù)過濾系統(tǒng)也是一種用于檢測(cè)可疑活動(dòng)和內(nèi)容的基本工具?！北O(jiān)控風(fēng)險(xiǎn)形勢(shì)的動(dòng)態(tài)變化，及時(shí)向用戶通報(bào)?！捌髽I(yè)及其安全團(tuán)隊(duì)需要對(duì)范圍更廣的風(fēng)險(xiǎn)來源保持警惕，包括移動(dòng)設(shè)備、云和社交網(wǎng)絡(luò)，以及未來新技術(shù)可能伴隨的任何威脅。他們應(yīng)該采用雙管齊下的方法：對(duì)安全漏洞泄露作出反應(yīng)，同時(shí)主動(dòng)教育員工如何保護(hù)自身和企業(yè)抵御持久、嚴(yán)重的網(wǎng)絡(luò)威脅。”