第一篇：信息安全保障體系在漸進(jìn)中成熟

信息安全保障體系在漸進(jìn)中成熟

--------本刊專訪陳曉樺博士

轉(zhuǎn)載時間：2011-06-10

從2003年中央頒發(fā)的第27號文件《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》開始算起，至今已逾七載。俗語常說“7年之癢”，7年的時間往 往意味著曾經(jīng)的一腔熱血在經(jīng)歷了瓶頸之后，漸漸忘記初衷，變得麻木。那么中國信息安全這7年在經(jīng)歷了翻天覆地的變化之后，是否依然堅定當(dāng)初的決心和發(fā)展信 念呢？最初設(shè)定的那些目標(biāo)和任務(wù)，完成情況如何？下一步工作如何開展？當(dāng)前我國信息安全形勢又是怎樣？

2011年新年伊始，帶著對中國信息安全領(lǐng)域這一路走來的種種困惑，記者采訪到了中國信息安全認(rèn)證中心副主任陳曉樺博士。他不僅是我國信息安全保障體系 逐步形成的見證人，更是一直奮戰(zhàn)其中的建設(shè)者。在采訪中，陳博士既談到了國家信息安全保障工作取得的成績，也談到了對工作中有關(guān)問題的反思。他對我國信息 安全形勢發(fā)展的思考，有更多源自產(chǎn)業(yè)現(xiàn)實(shí)的感悟，雖然這次采訪內(nèi)容覆蓋面有限，但正是從他所探究的這些細(xì)節(jié)上，業(yè)內(nèi)人士可以見微知著，得到啟發(fā)。

用他本人的話來講，信息安全工作涉及面非常廣，從政策法規(guī)建設(shè)到政府指引、從戰(zhàn)略規(guī)劃到實(shí)施方案，從產(chǎn)業(yè)規(guī)模到技術(shù)專利、從標(biāo)準(zhǔn)制定到人才培養(yǎng)，方方面面都需要加以總結(jié)，汲取經(jīng)驗(yàn)和教訓(xùn)，作為我國十二五甚至更長遠(yuǎn)工作規(guī)劃的出發(fā)點(diǎn)。

認(rèn)證工作成績斐然

陳曉樺博士告訴記者，建立并完善信息安全認(rèn)證認(rèn)可制度，是建設(shè)我國信息安全保障體系工作當(dāng)中的一項重要任務(wù)。幾年來，在國家相關(guān)部門的堅強(qiáng)領(lǐng)導(dǎo)和大力支 持下，這項制度的建立取得了突破性進(jìn)展。信息安全產(chǎn)品認(rèn)證制度的建設(shè)雖然遇到了重重阻力，但信息安全認(rèn)證中心還是克服了重重困難，積極配合相關(guān)領(lǐng)導(dǎo)部門，應(yīng)對國外的種種質(zhì)疑與不合理要求，為制度的實(shí)施做了大量的技術(shù)性支撐工作。2009年4月底，根據(jù)國內(nèi)外形勢的發(fā)展，國家對該項制度的實(shí)施范圍作了調(diào)整，即調(diào)整到了在政府采購法所規(guī)定的范圍，首先對13類信息安全產(chǎn)品強(qiáng)制要求認(rèn)證，并把實(shí)施的時間推遲了一年。2010年5月前，財政部、工信部、質(zhì)檢總局和 認(rèn)監(jiān)委聯(lián)合發(fā)布了財庫48號文件《關(guān)于信息安全產(chǎn)品實(shí)施政府采購的通知》，這標(biāo)志著國家信息安全產(chǎn)品認(rèn)證制度終于在經(jīng)歷曲折和反復(fù)后順利實(shí)施和運(yùn)行。

記者了解到，截止到2010年11月30日，信息安全認(rèn)證中心共頒發(fā)國家信息安全產(chǎn)品認(rèn)證證書158張，國家強(qiáng)制性產(chǎn)品(無線局域網(wǎng)產(chǎn)品)認(rèn)證證書105張，信息安全產(chǎn)品認(rèn)證的覆蓋面有了長足提高，信息安全產(chǎn)品認(rèn)證的把關(guān)作用得到了體現(xiàn)。

多角度延伸認(rèn)證服務(wù)

不僅如此，陳曉樺博士透露，前些年，國內(nèi)的信息安全管理體系認(rèn)證幾乎被外資機(jī)構(gòu)壟斷，其潛在安全風(fēng)險不可低估。而信息安全認(rèn)證中心積極服務(wù)于 國家重要信息系統(tǒng)的安全保障，在強(qiáng)化認(rèn)證質(zhì)量和服務(wù)的基礎(chǔ)上，積極開展ISMS認(rèn)證，得到了眾多關(guān)系到國計民生重要行業(yè)客戶的普遍認(rèn)同。另外，繼2008 年為服務(wù)奧運(yùn)安保工作推出應(yīng)急處理服務(wù)資質(zhì)認(rèn)證后，信息安全認(rèn)證中心還開展了信息安全風(fēng)險評估服務(wù)資質(zhì)認(rèn)證，國家信息中心等18家從事風(fēng)險評估的企事業(yè)單 位在2010年6月獲得了首批認(rèn)證證書?！帮L(fēng)險評估服務(wù)資質(zhì)認(rèn)證業(yè)務(wù)的推出，順應(yīng)了社會的需求，得到了企事業(yè)單位的積極響應(yīng)和好評?！标悤詷宀┦靠偨Y(jié)道。

在培訓(xùn)業(yè)務(wù)方面，信息安全認(rèn)證中心不僅開展了工廠檢查員、體系審核員、體系咨詢師與服務(wù)資質(zhì)評審員的培訓(xùn)工作，還根據(jù)市場需求啟動了信息安全保障從業(yè)人員認(rèn)證，培訓(xùn)覆蓋面進(jìn)一步拓寬，影響力逐步顯現(xiàn)。信息安全認(rèn)證中心積極參與并承擔(dān)了多項國家和部委的科研和專項工作，并取得了一批成果。其承擔(dān)的863項目和國家科技支撐計劃項目分別通過了驗(yàn)收和中期檢 查；國家發(fā)改委信息安全專項、電子產(chǎn)業(yè)發(fā)展基金重點(diǎn)項目順利通過了中期檢查；“國家信息安全產(chǎn)品認(rèn)證專項”項目已完成基礎(chǔ)環(huán)境建設(shè)和檢測工具開發(fā)工作；參 與制定的一批行業(yè)標(biāo)準(zhǔn)已經(jīng)發(fā)布實(shí)施，若干國家標(biāo)準(zhǔn)制定項目已完成征求意見工作，或已經(jīng)進(jìn)入報批階段。“從事這項制度的建立工作，我們深感任務(wù)艱巨，責(zé)任重大，使命光榮。我們清醒地認(rèn)識到，在機(jī)構(gòu)和隊伍

建設(shè)、核心業(yè)務(wù)拓展、基礎(chǔ)設(shè)施建設(shè)等方面還 有待進(jìn)一步加強(qiáng)，我們的服務(wù)能力和水平，還有待進(jìn)一步提高。我們目前的建設(shè)進(jìn)度和成效，離國家對我們的要求和業(yè)界的期望還有很大的距離?！标悤詷宀┦繉τ?者表示，“我們在2010年底已初步完成了中心發(fā)展的十二五戰(zhàn)略規(guī)劃的制定和論證工作，希望能夠指導(dǎo)今后5年相關(guān)工作的開展，大力推進(jìn)各項建設(shè)工作，充分 發(fā)揮信息安全認(rèn)證在國家信息安全保障體系中的基礎(chǔ)性作用，努力開創(chuàng)信息安全認(rèn)證工作新局面?！?/p>

啟示一：信息安全需要從國家層面制定整體發(fā)展戰(zhàn)略

陳曉樺觀點(diǎn)：信息安全不是一支“獨(dú)舞”，需要各個部門相互配合開展工作。但是由于缺乏國家層面的戰(zhàn)略指導(dǎo)，很多情況下，信息安全工作還只能依賴領(lǐng)導(dǎo)批示和安全事件來驅(qū)動。把握當(dāng)前國內(nèi)外形勢和發(fā)展趨勢，制定國家信息安全總體發(fā)展戰(zhàn)略已經(jīng)迫在眉睫。

采訪中，記者得知，以前相關(guān)部門開展信息安全工作，職責(zé)分工不夠清晰，可謂縱橫交織，既有必要的互補(bǔ)，也有太多的重復(fù)，缺乏有效的溝通協(xié)調(diào)機(jī)制，工作比較被動，經(jīng)常依靠領(lǐng)導(dǎo)批示和安全事件的驅(qū)動。

陳曉樺博士認(rèn)為，雖然以前這種工作方式也解決了許多信息安全問題，但從法律法規(guī)和制度的完善度來看，還遠(yuǎn)遠(yuǎn)不夠。而且，即使到了現(xiàn)階段，信息安全 與保密工作在相當(dāng)大的程度上還帶有應(yīng)急處理的特點(diǎn)?！爱?dāng)然，這和信息安全工作的性質(zhì)有關(guān)，即使制定了一些法律法規(guī)和管理制度，采取了一些技術(shù)手段，也不能 完全遏制和避免安全和失泄密事件的發(fā)生?！标悤詷逄寡?，由于還缺乏來自國家層面的戰(zhàn)略規(guī)劃和設(shè)計，沒有健全的法律法規(guī)整體的指導(dǎo)，更沒有先進(jìn)、強(qiáng)大的科技 手段，這就導(dǎo)致信息安全工作在推動時面臨不少困難，很多時候仍然依靠事件驅(qū)動，或者依靠首長批示開展工作，工作方式也不是一種制度化、常態(tài)化的方式。缺乏 整體規(guī)劃帶來的另一個后果，就是協(xié)調(diào)制度不完善，雖然相關(guān)部門也各司其職，但是容易出現(xiàn)各行其是的局面。由于信息化建設(shè)的高速發(fā)展，新技術(shù)新應(yīng)用層出不 窮，信息安全的總體規(guī)劃迫切需要全新的思路和設(shè)計。陳曉樺幽默地說，“救火還是需要的，但不要總是在救火。應(yīng)急機(jī)制是必要的，但更重要的是建立信息安全工 作的長效機(jī)制。”他告訴記者，其實(shí)早在2004年，我國就成立了國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組，這是我國信息安全工作的最高領(lǐng)導(dǎo)機(jī)構(gòu)，其辦公室設(shè)在原國信辦，成立的初衷是領(lǐng) 導(dǎo)我國信息安全相關(guān)部門開展工作，并協(xié)調(diào)各個部門之間工作。由于2008年機(jī)構(gòu)改革，原國信辦的職責(zé)并入了工業(yè)和信息化部。2009年底國務(wù)院又重新批準(zhǔn) 成立國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組，制定國家信息安全總體發(fā)展戰(zhàn)略的工作，已經(jīng)提上日程?！笆鍑倚畔踩Ｕ瞎ぷ鞯闹笇?dǎo)思想、戰(zhàn)略目標(biāo)、主要任務(wù)和重 點(diǎn)工作是什么？有哪些保障措施？這可能是國家信息安全戰(zhàn)略亟待明確的內(nèi)容?！?/p>

啟示二：健全法律法規(guī)需集思廣益；落實(shí)相關(guān)政策需科技支撐

陳曉樺觀點(diǎn)：過去有些部門規(guī)章的要求，都是一刀切，但在實(shí)際工作中并沒有解決用戶的切實(shí)問題。國家信息安全立法工作開展多年，已經(jīng)取得了很多經(jīng)驗(yàn)和教訓(xùn)，需要加以認(rèn)真總結(jié)，并需要與時俱進(jìn)，用科學(xué)的手段保障政策法規(guī)的嚴(yán)格執(zhí)行。

據(jù)公開報道，關(guān)于國內(nèi)信息安全立法工作，相關(guān)部門認(rèn)為當(dāng)前規(guī)范信息安全的法律法規(guī)有憲法、刑法、國家安全法、保守國家秘密法、治安管理處罰法、電子簽名 法、《全國人民代表大會常務(wù)委員會關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定》以及數(shù)十部部門規(guī)章。這些法律法規(guī)或規(guī)章對加強(qiáng)信息安全發(fā)揮了積極作用，但也存在內(nèi)容分散、相互交叉甚至抵觸的現(xiàn)象，影響了立法效力和執(zhí)法嚴(yán)肅性，對信息安全監(jiān)督管理造成了不利影響。需要對現(xiàn)有的信息安全的法律法規(guī)加以評估，包括清理和制修訂。2010年11月，工信部已完成了《信息安全條例》報送稿。國家今后將以該條例為基礎(chǔ)，提出綜合性的立法方案，解決當(dāng)前缺乏互聯(lián)網(wǎng)法律規(guī)范的問題。

“適當(dāng)?shù)臅r候，可以擴(kuò)大征集意見范圍，聽取更多國內(nèi)各界人士的意見或建議。有了《信息安全條例》，我國的信息安全工作就可以更加有序地依法開展，有利于排 除外界干擾，有利于界定各方責(zé)任，厘清關(guān)系。”陳博士如是說。當(dāng)然，信息安全問題，不僅僅是互聯(lián)網(wǎng)安全問題，從立法程序來看，《信息安全條例》正式出臺，可能還需要假以時日。

隨著國家信息化工作的推進(jìn)，對信息安全保密工作越來越重視。新修訂的《保守國家秘密法》于2010年10月1日實(shí)施，總結(jié)了多年來保密工作和立法工作的經(jīng) 驗(yàn)，為適應(yīng)信息化時代的需要，提出了許多具體而且可操作性強(qiáng)的要求。陳博士認(rèn)為需要提醒大家的是，今后，即便是違規(guī)把涉密設(shè)備或涉密計算機(jī)接入互聯(lián)網(wǎng)，也 要依法給予處分；如果再發(fā)生互聯(lián)網(wǎng)泄密事件，就要當(dāng)作泄露國家秘密罪論處，要依法追究刑事責(zé)任，而不再僅僅

是給予通報批評、降級等行政處分?！靶卤Ｃ芊ㄌ?出的這些新要求，非常及時、非常必要。近些年，國內(nèi)偵破的互聯(lián)網(wǎng)竊密和失泄密案件時有發(fā)生，造成的危害極大，影響極為惡劣。必須加大法律的威懾和懲處作 用，盡量杜絕此類案件繼續(xù)發(fā)生。”

保障信息安全，管理和技術(shù)并重。除了法律法規(guī)和相關(guān)管理制度，還需要科技手段的支持。陳博士說，現(xiàn)在有的部委信息化程度很高，已經(jīng)建成了3個甚至4個相互 獨(dú)立的網(wǎng)絡(luò)，比如，與互聯(lián)網(wǎng)相連接的辦公網(wǎng)，可以上網(wǎng)瀏覽、檢索互聯(lián)網(wǎng)信息、收發(fā)郵件等；物理上相互隔離的政務(wù)外網(wǎng)、政務(wù)內(nèi)網(wǎng)；有的機(jī)構(gòu)還有自己特殊的業(yè) 務(wù)網(wǎng)絡(luò)?！皩ι婷芫W(wǎng)提出的物理隔離的強(qiáng)制要求，在我國目前的技術(shù)條件下是非常必要的。國家急需加緊研究開發(fā)自主可控、安全可靠的新一代信息隔離和交換技術(shù) 與產(chǎn)品，滿足不同網(wǎng)絡(luò)之間信息交換的現(xiàn)實(shí)合法需求，用先進(jìn)的技術(shù)手段來保障信息安全，進(jìn)一步發(fā)揮信息系統(tǒng)的作用，降低信息化建設(shè)的成本?！?/p>

啟示三：信息安全解決方案要開“藥方”而不是開“藥房”

陳曉樺觀點(diǎn)：某些信息安全企業(yè)的產(chǎn)品解決方案缺乏針對性，往往是以不變應(yīng)萬變，顯然行不通。我們要開妙手回春的藥方，而不是開一應(yīng)俱全的藥房，最好的“藥引子”就是安全企業(yè)主動提升創(chuàng)新水平。

我國現(xiàn)有的信息安全技術(shù)、產(chǎn)品和服務(wù)，或許已經(jīng)基本上滿足我國信息安全的需求，但在骨干、高端、高性能方面，還缺乏自主創(chuàng)新性的產(chǎn)品?！坝械钠髽I(yè)由于緊跟 用戶需求，在產(chǎn)品設(shè)計中有了幾項小小的創(chuàng)新，最終成功中標(biāo)某個項目，這恰恰說明用戶需求的重要性?！标悤詷宀┦空J(rèn)為，目前國內(nèi)信息安全產(chǎn)品大多數(shù)都不是基 于國內(nèi)原創(chuàng)的安全理念，一些企業(yè)提供的行業(yè)安全解決方案也缺乏針對性，似乎放之四海而皆準(zhǔn)，不是開“藥方”，更像是在開“藥房”！

當(dāng)然，陳曉樺博士也認(rèn)為，在信息安全應(yīng)用領(lǐng)域，用新產(chǎn)品新技術(shù)去引導(dǎo)市場，完全實(shí)現(xiàn)“技術(shù)引領(lǐng)、技術(shù)驅(qū)動”還是很困難的，經(jīng)常有廠商面向市場推廣產(chǎn)品時會 遇到不了解用戶需求的現(xiàn)象。“這和國家整體發(fā)展現(xiàn)狀有關(guān)，例如金融系統(tǒng)大量使用國外的服務(wù)器、路由和交換設(shè)備、數(shù)據(jù)庫管理系統(tǒng)、中間件，甚至包括安全防護(hù) 產(chǎn)品都不是國內(nèi)自主開發(fā)的。本土企業(yè)的產(chǎn)品在進(jìn)入現(xiàn)有系統(tǒng)時，可能會出現(xiàn)自主產(chǎn)品與國外產(chǎn)品不兼容等現(xiàn)象，影響國內(nèi)信息安全解決方案的推廣。有些外國公司 的產(chǎn)品中，大量使用非標(biāo)準(zhǔn)或私有協(xié)議，對其他企業(yè)的產(chǎn)品接入造成事實(shí)上的不公平競爭?！标悤詷宀┦繄猿终J(rèn)為，雖然面臨種種困難，但針對用戶需求、突破國外 產(chǎn)品的技術(shù)壁壘，用創(chuàng)新技術(shù)積極參與競爭，仍然是我國產(chǎn)業(yè)發(fā)展、人才發(fā)展的長遠(yuǎn)目標(biāo)，未來各關(guān)鍵基礎(chǔ)設(shè)施和重要信息系統(tǒng)的信息安全技術(shù)都應(yīng)該逐步做到自主 或可控。

在國內(nèi)安全企業(yè)自主創(chuàng)新的道路上，往往也會出現(xiàn)另外一個誤區(qū)。陳曉樺博士介紹道，現(xiàn)在有一個現(xiàn)象，很多廠商都在推出第幾代升級產(chǎn)品，更新?lián)Q代十分頻繁，甚 至剛成立幾年的公司，都已經(jīng)開發(fā)出了第四代第五代產(chǎn)品，其實(shí)這大多只是該公司產(chǎn)品型號的變化，并沒有真正實(shí)現(xiàn)技術(shù)的換代。讓人擔(dān)憂的是，這樣的行為說明這 些企業(yè)對國內(nèi)外的技術(shù)發(fā)展水平缺乏清醒的認(rèn)識。信息安全企業(yè)的研發(fā)人員應(yīng)該踏踏實(shí)實(shí)靜下心來做研究，把一些基本原理和技術(shù)搞清楚，真正研發(fā)出能滿足用戶需 求的，自主創(chuàng)新的好產(chǎn)品?！霸谄髽I(yè)發(fā)展到了一定規(guī)模時，企業(yè)擁有多少人才、多少自主知識產(chǎn)權(quán)、多少專利和多少自有品牌，這些才是衡量企業(yè)綜合實(shí)力的必要因 素，需要企業(yè)高度重視?！彼M(jìn)一步強(qiáng)調(diào)，“靠貼牌生產(chǎn)的信息安全企業(yè)，是注定做不大的。”

可喜的是，現(xiàn)在國內(nèi)有不少本土信息安全企業(yè)越來越重視自主創(chuàng)新，雖然年銷售額和盈利還不算高，但擁有的專利和創(chuàng)新技術(shù)不少，這說明企業(yè)有發(fā)展眼光、有發(fā)展后勁。

啟示四：需要繃緊的那根弦不是安全知識而是安全意識

陳曉樺觀點(diǎn)：雖然信息安全和保密的重要性被廣泛認(rèn)識，但從很多行業(yè)、部門甚至業(yè)界專家的行為中不難發(fā)現(xiàn)，他們并不缺乏安全知識，而是缺乏安全意識。

很多安全技術(shù)名詞被大家天天掛在嘴邊，但具有諷刺意義的是，安全意識卻沒有得到足夠的重視。陳曉樺惋惜地指出，很多信息安全廠家的高層或者市場人員，在名 片上留的郵件地址都是Hotmail、Gmail這樣的郵箱；甚至在申報國家項目中，很多單位匯總到專家辦公室的項目申請書、驗(yàn)收材料，都通過 Hotmail、Gmail發(fā)送；很多學(xué)校、科研院所的領(lǐng)導(dǎo)、骨干，為了與國外通信方便，都習(xí)慣使用境外服務(wù)器的郵件地址。

“這可能和早期使用免費(fèi)郵箱的習(xí)慣有關(guān)。但即便如此，由于郵件服務(wù)器在境外，我國重點(diǎn)單位或企業(yè)院校的專家和領(lǐng)導(dǎo)用這些郵箱來傳輸一些敏感材料和信息，也 是非常不合適的。因?yàn)榘l(fā)送的郵件往往涉及到安全項目的科研成果，所以這只能說明使用者缺乏安全意識！”陳曉樺強(qiáng)調(diào)，“關(guān)鍵部門、重要崗位該用什么樣的通信 服

務(wù)，尤其是政府部門的官員和工作人員，都需要在頭腦里時刻有根弦?！彼Z重心長地告訴記者，“在沒有采取特殊安全保密技術(shù)手段的情況下，大家在互聯(lián)網(wǎng)上 通過郵件傳遞信息，通過手機(jī)打電話和發(fā)送短信，其實(shí)就是信息的‘裸奔’！有些甚至還‘奔’出了國門?！?/p>

對某些看似普通的信息，其安全管理也需要加強(qiáng)?！坝捎谏鐣止と找鎸I(yè)化，很多日常工作都很容易涉及到國家或行業(yè)的敏感信息，很多人還沒有從國家安全的高 度認(rèn)識到，對這些信息的安全管理是多么重要?！标悤詷宀┦颗e例告訴記者，銀行資金流向也是一個很敏感的事情，這不僅牽扯到銀行自身，還涉及到國家重點(diǎn)單位 的敏感信息。如果銀行對這類信息的安全管理沒有足夠重視，就很容易造成敏感信息泄露。例如，某個野戰(zhàn)部隊在地方銀行當(dāng)中的資金信息一旦泄露，通過分析工資 結(jié)構(gòu)就可以了解到這個部隊的人員結(jié)構(gòu)，通過分析其維護(hù)費(fèi)用就可以了解武器裝備的規(guī)模，甚至其作戰(zhàn)能力。

記者了解到，一些在境外上市的公司提交材料時，會不經(jīng)意間就把涉及到國家、行業(yè)和重點(diǎn)企業(yè)的敏感材料提交出去?！昂芏嗍姑苁录暮蠊紫润w現(xiàn)在國家經(jīng) 濟(jì)利益的巨大損失方面，比如談判時我方的鐵礦石進(jìn)口底價。很多網(wǎng)絡(luò)安全事件和失泄密事件給國家?guī)砹擞绊懢蜆I(yè)、經(jīng)濟(jì)發(fā)展不平衡、社會不穩(wěn)定等一系列問題。根據(jù)《保守國家秘密法》，國家的重要經(jīng)濟(jì)信息、核心科技信息其實(shí)和軍事、外交信息一樣，都屬于國家秘密，這是需要我們理解并嚴(yán)格保密的。”陳博士歸納道。

啟示五：加強(qiáng)科研項目和專項主管部委的協(xié)調(diào)和交流，避免重復(fù)建設(shè)和浪費(fèi)

陳曉樺觀點(diǎn)：每年國家都會投入巨額資金支持信息安全技術(shù)的研發(fā)和產(chǎn)業(yè)化。由于專項基金的不同管理部門之間缺乏有效的溝通機(jī)制，存在重復(fù)資助的現(xiàn)象。在關(guān)鍵技術(shù)研究、產(chǎn)品設(shè)計與制造、產(chǎn)業(yè)化等環(huán)節(jié)，甚至出現(xiàn)支持的時間點(diǎn)錯位的現(xiàn)象，所謂“先生兒子，后生爸爸”。

眾所周知，這些年發(fā)改委、工信部、科技部每年在信息安全技術(shù)研發(fā)和產(chǎn)業(yè)化方面投入了大量的資金，對我國信息安全技術(shù)研究、產(chǎn)業(yè)發(fā)展發(fā)揮了巨大的作用，可 謂成績輝煌，功不可沒。陳曉樺博士認(rèn)為，一方面國家應(yīng)該繼續(xù)鼓勵和加大資金的投入，支持技術(shù)研究、開發(fā)重點(diǎn)產(chǎn)品、實(shí)現(xiàn)產(chǎn)業(yè)化目標(biāo)。另一方面，國家應(yīng)該大力 促進(jìn)科研成果更加有效地轉(zhuǎn)換成產(chǎn)品和技術(shù)。他告訴記者，一些花費(fèi)了國家資金，花費(fèi)了專家和科研人員大量時間研究出的科研成果，在驗(yàn)收完以后就束之高閣，過 了很長的時間這些成果還沒有轉(zhuǎn)化為技術(shù)和產(chǎn)品。由于對這些成果的利用效果缺乏考評機(jī)制，因此，也無從判斷在國家投資的科研項目當(dāng)中，3年、5年或10年后 最終有多少轉(zhuǎn)化成滿足市場需求的主流產(chǎn)品，有的技術(shù)在幾年內(nèi)沒有投入到市場，就會被新技術(shù)所淘汰。

“在科研院所形成的創(chuàng)新技術(shù)、專利，如何轉(zhuǎn)化成為產(chǎn)品和生產(chǎn)力方面，還很難形成一套高效完善的制度，因?yàn)檫@牽扯到很多現(xiàn)行管理制度。但國家不能只鼓勵科研 院所只做基礎(chǔ)前端的研究，還應(yīng)該改革現(xiàn)行制度，出臺鼓勵科技成果轉(zhuǎn)化的新政策和配套的制度，把科技成果轉(zhuǎn)化的效果也作為考核評價指標(biāo)?！标悤詷宀粺o擔(dān)憂地 說，無論是現(xiàn)在，還是5年甚至10年以后，如果我國信息安全建設(shè)當(dāng)中大量采用的安全技術(shù)和產(chǎn)品，大都不是國家專項經(jīng)費(fèi)支持的結(jié)果，那今后該怎么評價國家的 專項和基金的成就？

除了資金投入產(chǎn)出效果的考量外，就國家各個部委牽頭的多個專項和基金計劃而言，雖然在定位上有不同的分工，但也有重復(fù)，更由于相互之間缺乏有效的溝通和協(xié) 調(diào)機(jī)制，時常會發(fā)生重復(fù)投資的現(xiàn)象。陳曉樺解釋道，國家的各專項申請和審批都有嚴(yán)格的程序，公開競爭，專家論證，領(lǐng)導(dǎo)決定。打一個比方，某單位同期既申請 863高技術(shù)項目，又向地方科委申請經(jīng)費(fèi)支持，又向國家發(fā)改委申請產(chǎn)業(yè)化支持，還同時向電子產(chǎn)業(yè)發(fā)展基金申請，可能還申請了中小企業(yè)創(chuàng)新基金、聯(lián)合其他單 位申請了“核高基”等等。但是，實(shí)際上其核心技術(shù)是相同的，如果同期支持，就會產(chǎn)生重復(fù)。另外，還存在另一種時間錯位現(xiàn)象，比如：去年國家支持某單位的產(chǎn) 業(yè)化項目，今年國家又支持其重點(diǎn)產(chǎn)品招標(biāo)項目，明年國家才支持其研發(fā)關(guān)鍵技術(shù)的現(xiàn)象，即所謂“先生兒子，后生爸爸”現(xiàn)象?！斑@種現(xiàn)象還不僅僅存在于國家的 信息安全專項領(lǐng)域，其他領(lǐng)域情況可能還要更嚴(yán)重一些?！眴⑹玖簩ι婕皣嬅裆幕A(chǔ)設(shè)施而言，其信息系統(tǒng)的安全運(yùn)行與設(shè)施本身同等重要

陳曉樺觀點(diǎn)：隨著我國信息化高速發(fā)展，信息系統(tǒng)的支撐性、全局性作用也與日俱增，信息系統(tǒng)與基礎(chǔ)設(shè)施建設(shè)已交織為一體，需要充分重視。目前大多數(shù)基礎(chǔ)設(shè) 施都是比較脆弱的，哪怕是一些細(xì)小環(huán)節(jié)出現(xiàn)問題，都會導(dǎo)致整個基礎(chǔ)設(shè)施的癱瘓。正所謂“千里之堤，潰于蟻穴”，很多時候，我們需要未雨綢繆。

信息系統(tǒng)的安全保障管理工作也極為重要，現(xiàn)在很多影響國計民生的基礎(chǔ)設(shè)施都離不開信息化。一旦其信息系統(tǒng)受到破壞或出現(xiàn)故障，社會基礎(chǔ)設(shè)施也就無法正常運(yùn) 行。陳曉樺舉例道，如果銀行清算系統(tǒng)出現(xiàn)故障，最

直接的影響就是銀行無法及時進(jìn)行資金結(jié)算，消費(fèi)者無法刷卡支付；民航登錄系統(tǒng)被破壞，乘客必然無法準(zhǔn)時登 機(jī)；通信系統(tǒng)被地震破壞后，所有的座機(jī)、手機(jī)打不通，最急迫的信息就無法傳遞??這一切現(xiàn)象都表明，國民經(jīng)濟(jì)的基礎(chǔ)設(shè)施都越來越離不開信息化系統(tǒng)。“不難 得出結(jié)論，其信息系統(tǒng)的安全可靠與基礎(chǔ)設(shè)施的正常運(yùn)行密不可分，二者幾乎同等重要。但事實(shí)上，我們對支撐這些基礎(chǔ)設(shè)施的信息技術(shù)系統(tǒng)的安全重視程度還遠(yuǎn)遠(yuǎn) 不夠?！彼麖?qiáng)調(diào)，互聯(lián)網(wǎng)作為新興媒體，網(wǎng)上一旦發(fā)生安全事件、熱點(diǎn)事件就非常吸引眼球，但基礎(chǔ)設(shè)施的信息安全也同樣需要關(guān)注，甚至應(yīng)該得到更高程度的重 視。

事實(shí)上，僅僅是重視還不夠，我們不得不承認(rèn)一個現(xiàn)實(shí)存在的問題，那就是我們還沒有掌握許多核心技術(shù)，這種狀況可能還要持續(xù)很多年，我們對關(guān)鍵基礎(chǔ)設(shè)施和重 要信息系統(tǒng)的安全也未能做到心中有數(shù)。陳曉樺博士認(rèn)為，“畢竟我國自主設(shè)計開發(fā)的系統(tǒng)還不夠，很多基礎(chǔ)設(shè)施可控的程度自然也不夠。這就需要安全管理工作要 提前部署，防患于未然?！?/p>

對安全管理的重視還有很關(guān)鍵的一個環(huán)節(jié)，那就是對供應(yīng)鏈的管理。一條完整的供應(yīng)鏈涉及到很多環(huán)節(jié)，包括產(chǎn)品元器件生產(chǎn)和采購、產(chǎn)品設(shè)計與開發(fā)、產(chǎn)品制造、部署和安裝、使用與運(yùn)行、服務(wù)、升級和維修等，要做到安全可控管理，就必須對整個供應(yīng)鏈進(jìn)行全程控制。“這個觀點(diǎn)主要是針對重要的用戶、國家核心單位、關(guān) 鍵基礎(chǔ)設(shè)施。雖然我國研發(fā)的信息安全系統(tǒng)難免也存在缺陷，但仍然需要對供應(yīng)鏈上若干過程加以安全管理，充分了解。畢竟蟻穴雖小可潰千里長堤?！彼e了一個 例子，有個數(shù)據(jù)統(tǒng)計機(jī)構(gòu)，其信息技術(shù)設(shè)備都很先進(jìn)，當(dāng)發(fā)現(xiàn)某存儲設(shè)備故障后就將其直接送到外面維修，這個舉動表明該單位對供應(yīng)鏈安全管理顯然缺乏足夠的認(rèn) 識。由于時間和篇幅所限，記者的采訪暫時告一段落。陳曉樺博士針對我國信息安全工作成績的介紹和反思，觀點(diǎn)鮮明，語言生動，見解獨(dú)特，發(fā)人深醒。正如他所言，我國信息安全保障工作并不能一蹴而就，需要有一個長期建設(shè)和不斷優(yōu)化的過程，所謂“總結(jié)是為了進(jìn)步”，記者希望通過這次在2011年最初的采訪，讓越來越 多的人了解我國的信息安全保障工作，讓越來越多的人為國家信息安全保障體系建設(shè)添磚加瓦。

專家信息鏈接：陳曉樺簡介

1979年考入國防科技大學(xué)計算機(jī)系，1993年獲國防科技大學(xué)博士學(xué)位。曾在電子科技大學(xué)博士后流動站工作兩年。1997年起，參加原中國信息安全產(chǎn)品 測評認(rèn)證中心籌建工作，曾任總工程師、副主任、常務(wù)副主任、研究員。2006年10月，參加中國信息安全認(rèn)證中心籌建工作，2007年2月任中國信息安全 認(rèn)證中心副主任、黨委委員。

入選1999年度“百千萬人才工程”，獲2000年度政府特殊津貼，獲2008年度國家科學(xué)技術(shù)進(jìn)步一等獎；任全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會副秘書長、委 員；《信息安全與通信保密》、《計算機(jī)安全》編委；電子科技大學(xué)、北方交大兼職教授；上海交通大學(xué)博士生導(dǎo)師；國家自然科學(xué)基金、國家發(fā)改委信息安全專 項、電子信息產(chǎn)業(yè)發(fā)展基金重點(diǎn)招標(biāo)項目、國家科學(xué)技術(shù)進(jìn)步獎評審專家；曾任國家“十五”863計劃第二屆信息技術(shù)領(lǐng)域信息安全技術(shù)主題專家組副組長，國家 互聯(lián)網(wǎng)應(yīng)急中心242專項第一屆專家組組長。目前主要從事與信息安全檢測、評估與認(rèn)證相關(guān)理論、技術(shù)、方法、標(biāo)準(zhǔn)、工具的研究和開發(fā)工作。

熱點(diǎn)評議

記者：前段時候鬧得沸沸揚(yáng)揚(yáng)的騰訊與奇虎360事件終于在公開道歉中落下帷幕，您認(rèn)為這對信息安全市場中的企業(yè)有何警示作用？

陳曉樺：從世界范圍來看，企業(yè)之間適度競爭是非常正常的。但3Q事件是國內(nèi)企業(yè)之間不公平競爭、惡性競爭現(xiàn)象的一次爆發(fā)，牽扯了上億用戶的權(quán)益。我希望這 件事情除了國家行業(yè)管理部門以外，地方政府部門不要再被企業(yè)牽扯進(jìn)去。企業(yè)經(jīng)過相關(guān)部門的協(xié)調(diào)，應(yīng)該根據(jù)國家法律法規(guī)，按照公平競爭的原則，把為用戶服好 務(wù)作為目標(biāo)，自我約束不正當(dāng)?shù)氖袌龈偁幮袨?。我建議企業(yè)之間的競爭不要通過不兼容和封殺對方這類手段來損害用戶的權(quán)益。如果僅僅是做到暫時互相不封殺，但 仍然在繼續(xù)較勁，并期望獲得地方政府和相關(guān)機(jī)構(gòu)的支持在地方政策或行政許可等方面去打壓對方，這只能說明兩家企業(yè)將越走越遠(yuǎn)，并沒有真正汲取教訓(xùn)。從長遠(yuǎn) 看，這對行業(yè)和企業(yè)發(fā)展并沒有好處。希望其他信息安全企業(yè)引以為鑒。

記者：2010年信息安全產(chǎn)業(yè)很多技術(shù)概念被持續(xù)熱炒，像云計算等等，眾人紛紛持觀望熱捧等態(tài)度，您認(rèn)為該如何對待不斷推陳出新的技術(shù)理念？

陳曉樺：云計算、三網(wǎng)融合、物聯(lián)網(wǎng)都是這兩年被不斷熱炒的技術(shù)和經(jīng)營理念。我認(rèn)為當(dāng)新技術(shù)、新理念出

現(xiàn)的時候，應(yīng)當(dāng)保持3種態(tài)度。第一個態(tài)度是不要驚慌，不要輕易高喊“狼來了”。幾年前，可信計算推廣時，一些專家認(rèn)定一旦可信計算的模式在全世界推廣后，我國的信息安全產(chǎn)業(yè)將受到打壓和排擠，產(chǎn)業(yè)將重新洗 牌。實(shí)際上這么多年過來了，我們也應(yīng)對過來了，那些現(xiàn)象也沒有發(fā)生，產(chǎn)業(yè)的技術(shù)標(biāo)準(zhǔn)體系和產(chǎn)業(yè)升級不是輕易就能發(fā)生跨越式改變的。第二個態(tài)度是要敢于質(zhì)問 這是不是“皇帝的新裝”。面對新技術(shù)新應(yīng)用的出現(xiàn)，要保持冷靜，要思考這是不是產(chǎn)品和技術(shù)的升級換代，是否真正是創(chuàng)新的技術(shù)、革命性的技術(shù)，不要人云亦 云。第三個態(tài)度是去研究是不是“新瓶裝舊酒”。要敢于質(zhì)疑，不能盲目跟風(fēng)炒作。對云計算的態(tài)度應(yīng)該要謹(jǐn)慎，保持冷靜，先多下功夫認(rèn)真研究云計算的經(jīng)營模式 和關(guān)鍵技術(shù)。現(xiàn)在似乎與云計算有關(guān)的項目就是好的投資項目，上市企業(yè)聲稱與云計算相關(guān)就股票飛漲。在工程建設(shè)方面，不要為了政績或形象工程就一哄而上，不 妨先期安排幾個行業(yè)或地方試點(diǎn)或者示范，等積累了一些成功經(jīng)驗(yàn)，再規(guī)?；瘜?shí)施。我認(rèn)為也許三五年以后云計算會顯現(xiàn)出優(yōu)越性，現(xiàn)階段還只是一個夢想，只有極 個別的案例。關(guān)于云計算安全問題，應(yīng)該提前研究，但如果現(xiàn)階段就安排試點(diǎn)、示范就過早了?！捌ぶ淮?，毛將焉附？”

記者：在2010年底頗受關(guān)注的十二五規(guī)劃即將正式落地，您對此持何態(tài)度？

陳曉樺：2010年11月，中央發(fā)布了制定第十二個五年規(guī)劃的建議。國家的信息安全戰(zhàn)略規(guī)劃，應(yīng)該承上啟下，既能夠與“十一五”規(guī)劃的工作銜接，又能指導(dǎo) 今后5年的工作，還需要提前考慮更長遠(yuǎn)的發(fā)展。自2003年中辦27號文件頒布以來，我國的信息安全保障工作取得了顯著成就，但我們也應(yīng)該看到，還有很多 老問題沒有得到有效解決。國家信息安全保障體系是多層面、多方位的，它的建設(shè)工作應(yīng)該有輕重緩急之分，應(yīng)當(dāng)有總體規(guī)劃，應(yīng)當(dāng)有全局意識。在新時期、新形勢 下，新技術(shù)、新應(yīng)用層出不窮，新問題、新挑戰(zhàn)不斷涌現(xiàn)，各方面的信息安全保障工作，亟待做出戰(zhàn)略部署，需要加強(qiáng)協(xié)調(diào)，形成整體，形成合力。2011年是我 國第十二個五年規(guī)劃的開局之年，希望國家早日出臺國家信息戰(zhàn)略規(guī)劃，頒布新的指導(dǎo)性文件，從“十二五”開始，使我國的網(wǎng)絡(luò)與信息安全協(xié)調(diào)機(jī)制切實(shí)發(fā)揮更大 的作用。

轉(zhuǎn)自：《信息安全與通信保密》網(wǎng)站

第二篇：在漸進(jìn)中提升

在漸進(jìn)中提升

----濱湖中心學(xué)校小學(xué)部2013年教育教學(xué)工作總結(jié)

常規(guī)管理有條不紊

學(xué)期初政教處、教導(dǎo)處結(jié)合教學(xué)常規(guī)管理現(xiàn)狀，組織專班征求教師意見集體修訂新的《教育教學(xué)常規(guī)量化細(xì)則》，將常規(guī)工作分成師德建設(shè)、安全管理、班級管理、教學(xué)常規(guī)(課內(nèi)比教學(xué)、課外訪萬家)、遠(yuǎn)程教育、教學(xué)研究、培訓(xùn)達(dá)標(biāo)、第二課堂、教學(xué)質(zhì)量、工作協(xié)作、教育成果、資料建設(shè)十二個模塊進(jìn)行常規(guī)管理。工作中對照細(xì)則進(jìn)行常規(guī)過程管理與量化，秉承 “讓制度說了算，讓大家說了算”管理理念。學(xué)校領(lǐng)導(dǎo)深入一線走進(jìn)課堂、走近學(xué)生，走近教師，下課堂、訪學(xué)生、看資料、析備課、察作業(yè)。開學(xué)第一周對上學(xué)期教學(xué)質(zhì)量不理想的教師和新教師進(jìn)行課堂教學(xué)視導(dǎo)，下到班級推門聽課，定期或不定期開展學(xué)生課業(yè)檢查。每月底以學(xué)科教研組為單位對教師個人各項工作進(jìn)行月檢，實(shí)行常規(guī)工作全程管理，并將量化結(jié)果納入教師個人績效管理。為了抓好學(xué)前教育工作，教導(dǎo)處召開了兩次專題會議，忌學(xué)前教育小學(xué)化，明析學(xué)前教學(xué)內(nèi)容與育人目標(biāo)。期中檢測召開質(zhì)量分析專題會，把脈課堂教學(xué)，及時優(yōu)化輔導(dǎo)措施。一年來在各級組織的開學(xué)工作檢查與期末工作檢查中多次受到市局和中心學(xué)校好評。校本研訓(xùn)層層深入

我校研訓(xùn)有集中和非集中兩種形式。集中是以學(xué)科組為單位的每周三、四下午的特有時間開展的專題研訓(xùn)，每期研訓(xùn)活動有計劃、有內(nèi)容、有選題，教師有準(zhǔn)備。內(nèi)容循序漸進(jìn)，步步為營，或聽專題報告，或賞名師實(shí)錄，或?qū)W教育技術(shù)，或疑難研討，或就“課堂參與”、“紅星激勵”課題開展研究，有聲有色有得；非集中指教師個人或小組開展的課堂移植、結(jié)對幫扶、自我研學(xué)，或走出去觀摩培訓(xùn)。我校利用5月和10月電教活動月契機(jī)全面開展教學(xué)大比拼（8人次獲一等獎）。用校際交流（5月13日與府場鎮(zhèn)小，11月28日與小港中心學(xué)校小學(xué)部）的機(jī)會將教師的優(yōu)質(zhì)課推介出去，以研討課（10月16日全處作文研討課）為平臺打造精品課（代霞老師獲一等獎），以送教下鄉(xiāng)（4月9日送教到洪獅）的形式分享研究成果，以考促學(xué)方式提高教師現(xiàn)代教育技術(shù)應(yīng)用水平。課題“我的課堂 我參與”成功結(jié)題，“‘紅星激勵’在班級管理中的作用”正在申報省級課題。技術(shù)裝備功能彰顯

我校以教育均衡發(fā)展為契機(jī)加大對教育裝備的投入，科學(xué)實(shí)驗(yàn)室等專室以及室內(nèi)器材嚴(yán)格按裝備要求配齊配足，擠資金還新建了電子備課室，科學(xué)實(shí)驗(yàn)室和音樂教室配備了高標(biāo)準(zhǔn)電子白板無疑提升了裝備檔次。電子備課室可以幫助老師實(shí)現(xiàn)資源共享、遠(yuǎn)程備課。一支粉筆一張嘴的科學(xué)課己不存在，每名學(xué)生能真正的進(jìn)行科學(xué)探究。音樂課除了唱還可以吹、拉、彈、跳、賞。裝備的投入，豐富了學(xué)生的課堂，豐富了學(xué)生的興趣，農(nóng)村娃也能享受到城里的待遇。11月4日順利通湖北省教育均衡驗(yàn)收。陽光體育快樂無比

“我運(yùn)動，我陽光，我快樂”本學(xué)年在落實(shí)兩課兩操的前提下，嚴(yán)格按上級要求開展陽光體育運(yùn)動。走操、集體舞表演、廣播操展示是每天早運(yùn)動的三個常項，以增強(qiáng)學(xué)生團(tuán)隊意識和集體榮譽(yù)感；鍵球、短繩、長繩是我校傳統(tǒng)健身項目，以測代練，分段達(dá)標(biāo)促提高；武術(shù)、籃球、乒乓球、羽毛球、足球、舞蹈、棋類是我校的興趣特長培訓(xùn)項目，既能強(qiáng)體質(zhì)又能激發(fā)學(xué)生運(yùn)動樂趣；4月7日我校召開了春季運(yùn)動會，5月31日召開了興趣特長節(jié)目展演會，11月15日舉辦了冬季趣味運(yùn)動會，12月3日舉行了冬季師生長跑啟動儀式，5月20日我校全體教師參加了中心學(xué)校舉行的乒乓球、長繩、三人籃球賽獲團(tuán)體冠軍。

語言文字人文規(guī)范

深入開展“講普通話，寫規(guī)范字”活動，組織學(xué)生“讀好書，好讀書”，將詩文素養(yǎng)教育貫穿于常規(guī)教學(xué)，我校20多名學(xué)生和5名教師的作品參加“中國夢·我的夢”征文競賽獲地市級獎。9月推普周舉行了“我喜愛的老師”普通話競賽，9月30日政教處舉行了“慶國慶·話夢想”詩朗誦暨演講比賽。平時還充分利用墻報、板報、櫥窗、電子屏、廣播、集會等形式宣傳校園新人新事新氣象，讓正能量校園無限傳播。名言警句、名人畫像、宣傳標(biāo)語、樓梯提示、校訓(xùn)班規(guī)引導(dǎo)學(xué)生健康成長。家校協(xié)作成績斐然

家校攜手育英才。我校十分重視家校協(xié)作關(guān)系，開學(xué)初領(lǐng)導(dǎo)包村場帶隊帶領(lǐng)教師到學(xué)生家中走訪，每家必到，每生必訪。把黨的政策送到家中，把教育溫暖送到家中，傾聽家長匯報，聆聽家長心聲，解答家教疑難。聘請家長參加期中考務(wù)工作，期中考試后再次普訪把學(xué)生在校表現(xiàn)送到學(xué)生家庭，邀請家長到學(xué)校參加家長會，交流家庭教育心得，免費(fèi)向家長發(fā)放《家長讀本》，拉近家校距離，達(dá)成育人共識，贏得家長理解、支持與配合，提高家長育人水平。11月20日我們進(jìn)行了為期半天的家校開放日，邀請家庭教育專家來校指導(dǎo)家庭教育，請家長到課堂聽課，接受家長對學(xué)校工作的滿意度測評。為更好地加強(qiáng)家校間的聯(lián)系，聘請了26名家長成立了家長學(xué)校委員會。目前家長學(xué)校己掛牌，因工作做的實(shí)，12月24日順利通過荊州“示范家長學(xué)?！彬?yàn)收。校園安全無縫管理

安全無小事。安全管理是我校的頭等大事，領(lǐng)導(dǎo)、教師分時段分區(qū)間輪崗值班，加強(qiáng)了安全值班力度，減緩了教師疲勞的可能性，提高了安全指數(shù)。安全主題班會、安全演練、月安全排查、消除安全隱患，校外安全巡邏、簽訂《安全值日責(zé)任狀》，學(xué)習(xí)安全公約、上交通安全課，安全知識競賽，家長接送學(xué)生、教師考勤程式化等是我校安全工作的具體舉措。教師考核安全工作 “一票否決”。一年來實(shí)行安全無縫值班，加強(qiáng)引導(dǎo)教育，不曾發(fā)生一起碰、摔、撞現(xiàn)象。

班級管理有章有序

“捆綁式”是我校班級管理模式，班主任負(fù)責(zé)、副班主任分擔(dān)、協(xié)管員協(xié)助三人齊抓共管，分工清楚、責(zé)任明確，包班領(lǐng)導(dǎo)釋疑解難。班級管理中事事有人做，人人有事做，班級管理與考核和績效掛鉤，全校掀起了班榮我榮的氛圍?！凹t星激勵法”是我校對學(xué)生實(shí)施評價的一種模式。從衛(wèi)生保潔、愛護(hù)公物、勤奮學(xué)習(xí)、遵規(guī)守紀(jì)、文明禮儀五方面實(shí)行紅星獎勵。為讓“紅星激勵法”評價方式更具實(shí)用性學(xué)期初對照上學(xué)期總結(jié)情況交流經(jīng)驗(yàn)重新擬定實(shí)施方案，期中再次進(jìn)行座談匯報，期末再次提煉總結(jié)。評價中每天輔以“一日自查”和日常行為“三字經(jīng)”誦讀形式，提醒學(xué)生節(jié)節(jié)進(jìn)步、天天進(jìn)步。政教處、少先隊每日一評比，每周一小結(jié)，每月一總結(jié)，學(xué)校評班級，班級評學(xué)生，層層管理，及時兌現(xiàn)獎勵。走進(jìn)小學(xué)部校園會有一種幸福、心怡之感！師德建設(shè)自覺規(guī)范

加強(qiáng)教師職業(yè)道德建設(shè)，組織教師學(xué)習(xí)《十不準(zhǔn)》、《中小學(xué)教師職業(yè)道德規(guī)范》及上級相關(guān)規(guī)范辦學(xué)行為文件精神，及時通報本系統(tǒng)違規(guī)處罰典型案例現(xiàn)身說法，與教師簽訂《承諾書》、《誠信公約》，到家長中、社會上進(jìn)行教師《滿意度問卷調(diào)查》將“三亂”行為拒之校外，讓治庸問責(zé)融入工作、融入學(xué)習(xí)、融入生活。截止目前，我校教師無一例違規(guī)行為，因零投訴零問責(zé)，滿意度測評達(dá)98%以上，獲洪湖市“德育工作先進(jìn)單位”、“八星級”德育學(xué)校、“師德建設(shè)先進(jìn)單位”稱號，并送“荊州市師德建設(shè)先進(jìn)單位”參評。

工作只能說明過去，今后我校還將繼續(xù)努力，總結(jié)不足，集思廣益讓各項工作更上一層樓！

第三篇：信息安全保障體系信息安全論文計算機(jī)論文

信息安全保障體系-信息安全論文-計算機(jī)論文 ——文章均為 WORD 文檔，下載后可直接編輯使用亦可打印——

【摘要】隨著社會的現(xiàn)代化發(fā)展，促進(jìn)了信息技術(shù)的提高。在 管理中，傳統(tǒng)的 管理模式存在著較多的問題，受各種安全隱患的影響，給 信息資料的保存帶來了一定的安全威脅。

具有憑證的價值，是信息傳遞的重要途徑，影響著我國的可持續(xù)發(fā)展。在疾控中心，的管理具有一定的特殊性，具有專業(yè)性、機(jī)密性、政策性等特點(diǎn)。本文敘述了疾控中心 信息安全保障體系建設(shè)的重要性，還闡述了構(gòu)建 信息安全保障體系的措施。

【關(guān)鍵詞】疾控中心； 信息；安全保障體系

1.疾控中心 信息安全保障體系建設(shè)的重要性

在我國，疾控預(yù)防控制中心的發(fā)展歷史悠久，而疾控中心的前身是防疫站，在防疫站時期，我國的信息化建設(shè)還未得到良好的發(fā)展，那個時期主要以紙質(zhì) 為主，從而增加了 管理的難度。隨著國家信息化建設(shè)的推進(jìn)，近年來，我國疾控中心的工作量不斷的加大，管理難度越來越大，國家對公共衛(wèi)生事業(yè)十分的重視，對疾控中心的 安全管理工作提出了明確的要求。在這種艱難的環(huán)境下，疾控中心若想實(shí)現(xiàn)信息化的穩(wěn)步發(fā)展，需要結(jié)合時代的特點(diǎn)，加強(qiáng) 管理的信息化建設(shè)，并著力構(gòu)建 信息安全保障體系，以確保疾控中心的可持續(xù)發(fā)展。上文提到，疾控中心的 管理具有機(jī)密性的特點(diǎn)，信息一旦被泄露，不僅是疾控中心的損失，還會對國家造成危害，其影響極其惡劣，因此，在疾控中心建設(shè)中，加強(qiáng) 信息安全保障體系的構(gòu)建是十分重要的。

2.影響疾控中心 信息安全的因素

在疾控中心內(nèi)，信息的內(nèi)容十分復(fù)雜，其中包含了：疫情信息、科研、傳染病 資料、突發(fā)性流行病資料、公共衛(wèi)生信息、艾滋病信息等方面，所涉及的信息內(nèi)容具有特殊性和機(jī)密性。在國家的現(xiàn)代化建設(shè)中，保障 信息的安全是疾控中心的重要工作內(nèi)容。在疾控中心 信息安全管理中，信息的安全仍然會受到多個方面因素的影響，例如：網(wǎng)絡(luò)安全，隨著我國的信息化，促進(jìn)了 管理的信息化發(fā)展，電子 成為了 信息的重要組成部分，受網(wǎng)絡(luò)安全問題的影響，電子 可能會受到病毒、黑客等不良因素攻擊，造成 丟失或外泄，引發(fā) 管理安全問題；系統(tǒng)軟件安全，在管理電子 的過程中，若發(fā)生硬件故障等問題，則可能造成信息的丟失；人員安全問題，工作人員責(zé)任意識和安全意識不高，在管理中存在監(jiān)守自盜的行為，引發(fā)信息安全問題。

3.構(gòu)建 信息安全保障體系的措施

為了確保疾控中心 信息的安全，加強(qiáng)安全保障體系的建設(shè)是重要的安全保障措施，建設(shè)安全保障體系的措施主要有以下幾點(diǎn)：

3.1 完善安全管理制度保障體系

完善的制度管理是規(guī)范工作人員行為的重要措施，工作人員是 信息管理中重要的組成部分，承擔(dān)著重要的安全責(zé)任。在安全保障體系的建設(shè)中，完善安全管理制度，可以提高工作人員的責(zé)任意識和安全意識，有利于工作人員將 信息的安全管理工作落到實(shí)處，從而降低安全問題的發(fā)生率，提升我國疾控中心 信息管理的安全性。結(jié)合我國對 信息管理的相關(guān)要求和規(guī)范，例如：《 信息系統(tǒng)安全等級保護(hù)定級工作指南》，根據(jù)疾控中心的實(shí)際情況，制定出合理的、科學(xué)的安全管理制度。在建設(shè)之前，工作人員需要對 信息進(jìn)行合理的統(tǒng)籌規(guī)劃，加強(qiáng) 信息的數(shù)字化建設(shè)，結(jié)合各個工作環(huán)節(jié)的要求和功能，制定完善的安全管理制度。

3.2 重視工作人員的安全教育

在疾控中心內(nèi)，管理人員承擔(dān)著重要的責(zé)任，是 信息安全管理的中心，是實(shí)際的運(yùn)行者和操作者，亦是安全保障體系建設(shè)的核心。疾控中心應(yīng)該加強(qiáng)管理人員安全意識培訓(xùn)，可以在中心內(nèi)，定期開展有關(guān)安全知識講解的培訓(xùn)會，鼓勵并組織管理人員積極的參與培訓(xùn)，并加強(qiáng)對管理人員的考核，以提高管理人員對安全知識學(xué)習(xí)的重視程度。另外，給予管理人員更多有關(guān)專業(yè)技能和素養(yǎng)的培訓(xùn)機(jī)會，提高管理人員的整體素質(zhì)，提升管理人員的業(yè)務(wù)能力，有利于提高管理人員 信息安全管理的水平。

3.3 完善安全技術(shù)保障體系

提高安全技術(shù)是維護(hù)疾控中心 信息安全管理的重要途徑，隨著我國 信息管理的信息化發(fā)展，信息系統(tǒng)的安全管理需要安全技術(shù)的大力支持，以降低發(fā)生安全問題的概率。結(jié)合疾控中心的實(shí)際發(fā)展情況，加強(qiáng)系統(tǒng)安全技術(shù)、技術(shù)創(chuàng)新、數(shù)據(jù)安全技術(shù)、物理安全技術(shù)等方面的研究，以強(qiáng)化 信息的數(shù)據(jù)備份和恢復(fù)、數(shù)據(jù)庫防火墻、數(shù)據(jù)加密、信息的安全儲存、云數(shù)據(jù)的安全處理等方面，從而降低文件信息被篡改或泄露、病毒攻擊、硬件故障等方面的發(fā)生率，保障 信息管理的安全。

結(jié)語

綜上所述，在新時代的背景下，我國 信息管理正面臨著巨大的挑戰(zhàn)，在信息化建設(shè)中，信息管理不僅需要加強(qiáng) 信息化建設(shè)，還需要重視 信息的安全管理，重視安全保障體系的構(gòu)建。通過完善安全管理制度保障體系、重視工作人員的安全教育、完善安全技術(shù)保障體系等方面，提高疾控中心 信息安全管理的水平，降低安全問題的發(fā)生率，有利于促進(jìn)疾控中心 管理的可持續(xù)發(fā)展。

參考文獻(xiàn)：

[1]駱念.疾控中心 信息化建設(shè)與管理初探[J].職業(yè)衛(wèi)生與病傷.2016.31(2):127-128

——文章均為 WORD 文檔，下載后可直接編輯使用亦可打印——

第四篇：網(wǎng)絡(luò)信息安全保障體系建設(shè)

附件3 網(wǎng)絡(luò)信息安全保障體系建設(shè)方案

目錄

網(wǎng)絡(luò)信息安全保障體系建設(shè)方案........................................................................1

1、建立完善安全管理體系.................................................................................1 1.1成立安全保障機(jī)構(gòu).........................................................................................1

2、可靠性保證.....................................................................................................2 2.1操作系統(tǒng)的安全.............................................................................................3 2.2系統(tǒng)架構(gòu)的安全.............................................................................................3 2.3設(shè)備安全.........................................................................................................4 2.4網(wǎng)絡(luò)安全.........................................................................................................4 2.5物理安全.........................................................................................................5 2.6網(wǎng)絡(luò)設(shè)備安全加固.........................................................................................5 2.7網(wǎng)絡(luò)安全邊界保護(hù).........................................................................................6 2.8拒絕服務(wù)攻擊防范.........................................................................................6 2.9信源安全/組播路由安全...............................................................................7

網(wǎng)絡(luò)信息安全保障體系建設(shè)方案

1、建立完善安全管理體系

1.1成立安全保障機(jī)構(gòu)

山東聯(lián)通以及萊蕪聯(lián)通均成立以總經(jīng)理為首的安全管理委員會，以及分管副總經(jīng)理為組長的網(wǎng)絡(luò)運(yùn)行維護(hù)部、電視寬帶支撐中心、網(wǎng)絡(luò)維護(hù)中心等相關(guān)部門為成員的互聯(lián)網(wǎng)網(wǎng)絡(luò)信息安全應(yīng)急小組，負(fù)責(zé)全省網(wǎng)絡(luò)信息安全的總體管理工作。

山東聯(lián)通以及萊蕪聯(lián)通兩個層面都建立了完善的內(nèi)部安全保障工作制度和互聯(lián)網(wǎng)網(wǎng)絡(luò)信息安全應(yīng)急預(yù)案，通過管理考核機(jī)制，嚴(yán)格執(zhí)行網(wǎng)絡(luò)信息安全技術(shù)標(biāo)準(zhǔn)，接受管理部門的監(jiān)督檢查。同時針對三網(wǎng)融合對網(wǎng)絡(luò)信息安全的特殊要求，已將IPTV等寬帶增值業(yè)務(wù)的安全保障工作納入到統(tǒng)一的制度、考核及應(yīng)急預(yù)案當(dāng)中。內(nèi)容涵蓋事前防范、事中阻斷、事后追溯的信息安全技術(shù)保障體系，域名信息登記管理制度IP地址溯源和上網(wǎng)日志留存等。并將根據(jù)國家規(guī)范要求，對三網(wǎng)融合下防黑客攻擊、防信息篡改、防節(jié)目插播、防網(wǎng)絡(luò)癱瘓技術(shù)方案進(jìn)行建立和完善。

2、可靠性保證

IPTV是電信級業(yè)務(wù)，對承載網(wǎng)可靠性有很高的要求?？煽啃苑譃樵O(shè)備級別的可靠性和網(wǎng)絡(luò)級別的可靠性。

（1）設(shè)備級可靠性

核心設(shè)備需要99.999%的高可靠性，對關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)，需要采用雙機(jī)冗余備份。此外還需要支持不間斷電源系統(tǒng)（含電池、油機(jī)系統(tǒng)）以保證核心設(shè)備24小時無間斷運(yùn)行。

（2）網(wǎng)絡(luò)級可靠性

關(guān)鍵節(jié)點(diǎn)采用冗余備份和雙鏈路備份以提供高可靠性。網(wǎng)絡(luò)可靠性包括以下幾方面：

? 接入層：接入層交換機(jī)主要利用STP/RSTP協(xié)議在OSI二層實(shí)現(xiàn)網(wǎng)絡(luò)收斂自愈。

? 匯聚層：在OSI第三層上使用雙機(jī)VRRP備份保護(hù)機(jī)制，使用BFD、Ethernet OAM、MPlS OAM來對鏈路故障進(jìn)行探測，然后通過使用快速路由協(xié)議收斂來完成鏈路快速切換。? 核心層：在P設(shè)備（Core設(shè)備和CR設(shè)備）上建立全連接LDP over TE。TE的數(shù)量在200以下。

? 組播業(yè)務(wù)保護(hù)：主要基于IS-IS協(xié)議對組播業(yè)務(wù)采取快速收斂保護(hù)，對組播分發(fā)進(jìn)行冗余保護(hù)和負(fù)載分擔(dān)。

2.1操作系統(tǒng)的安全

在操作系統(tǒng)級別上，其安全需求主要表現(xiàn)在防止非法用戶入侵、防病毒、防止數(shù)據(jù)丟失等。

? 防止非法用戶入侵：系統(tǒng)設(shè)置防火墻，將所有需要保護(hù)的主機(jī)設(shè)置在防火墻內(nèi)部，物理上防止惡意用戶發(fā)起的非法攻擊和侵入。為業(yè)務(wù)管理人員建立起身份識別的機(jī)制，不同級別的業(yè)務(wù)管理人員，擁有不同級別的對象和數(shù)據(jù)訪問權(quán)限。? 防病毒：部署防病毒軟件，及時更新系統(tǒng)補(bǔ)丁。

? 數(shù)據(jù)安全：建立數(shù)據(jù)安全傳輸體系，系統(tǒng)具備完善的日志功能，登記所有對系統(tǒng)的訪問記錄。建立安全的數(shù)據(jù)備份策略，有效地保障系統(tǒng)數(shù)據(jù)的安全性。

2.2系統(tǒng)架構(gòu)的安全

IPTV運(yùn)營管理平臺具備雙機(jī)熱備份功能，業(yè)務(wù)處理機(jī)、EPG服務(wù)器、接口機(jī)都支持主備功能。

存儲系統(tǒng)能夠支持磁盤RAID模式，利用RAID5技術(shù)防止硬盤出現(xiàn)故障時數(shù)據(jù)的安全。支持HA（High Availability）模式，實(shí)現(xiàn)系統(tǒng)的熱備份，在主用系統(tǒng)故障時能夠自動切換到備用系統(tǒng)，可提供流媒體服務(wù)器多種單元的冗余備份。

支持用戶通過手工備份功能。并且備份數(shù)據(jù)可保存到外部設(shè)備中。同時，設(shè)備可通過分布式部署，保證系統(tǒng)的安全。EPG服務(wù)器、VDN調(diào)度單元、網(wǎng)管均支持分布式處理。2.3設(shè)備安全

核心系統(tǒng)（服務(wù)器硬件、系統(tǒng)軟件、應(yīng)用軟件）能在常溫下每周7×24小時連續(xù)不間斷工作，穩(wěn)定性高，故障率低，系統(tǒng)可用率大于99.9％。

具備油機(jī)不間斷供電系統(tǒng)，以保證設(shè)備運(yùn)行不受市電中斷的影響。服務(wù)器平均無故障時間（MTBF）大于5,000小時，小型機(jī)平均無故障時間（MTBF）大于10,000小時，所有主機(jī)硬件三年內(nèi)故障修復(fù)時間不超過30個小時。2.4網(wǎng)絡(luò)安全

IPTV業(yè)務(wù)承載網(wǎng)絡(luò)直接與internet等網(wǎng)絡(luò)互聯(lián)，作為IP網(wǎng)絡(luò)也面臨各種網(wǎng)絡(luò)安全風(fēng)險，包括網(wǎng)絡(luò)設(shè)備入侵、拒絕服務(wù)攻擊、路由欺騙、QOS服務(wù)破壞以及對網(wǎng)絡(luò)管理、控制協(xié)議進(jìn)行網(wǎng)絡(luò)攻擊等，故IPTV承載網(wǎng)絡(luò)的安全建設(shè)實(shí)現(xiàn)方式應(yīng)包括物理安全、網(wǎng)絡(luò)設(shè)備的安全加固、網(wǎng)絡(luò)邊界安全訪問控制等內(nèi)容。2.5物理安全

包括IPTV承載網(wǎng)絡(luò)通信線路、物理設(shè)備的安全及機(jī)房的安全。網(wǎng)絡(luò)物理層的安全主要體現(xiàn)在通信線路的可靠性，軟硬件設(shè)備安全性，設(shè)備的備份和容災(zāi)能力，不間斷電源保障等。2.6網(wǎng)絡(luò)設(shè)備安全加固

作為IP承載網(wǎng)，首先必須加強(qiáng)對網(wǎng)絡(luò)設(shè)備的安全配置，即對網(wǎng)絡(luò)設(shè)備的安全加固，主要包括口令管理、服務(wù)管理、交互式訪問控制等措施。

口令的安全管理，所有網(wǎng)絡(luò)設(shè)備的口令需要滿足一定的復(fù)雜性要求；對設(shè)備口令在本地的存儲，應(yīng)采用系統(tǒng)支持的強(qiáng)加密方式；在口令的配置策略上，所有網(wǎng)絡(luò)設(shè)備口令不得相同，口令必須定時更新等；在口令的安全管理上，為了適應(yīng)網(wǎng)絡(luò)設(shè)備的規(guī)?；?，必須實(shí)施相應(yīng)的用戶授權(quán)及集中認(rèn)證單點(diǎn)登錄等機(jī)制，不得存在測試賬戶、口令現(xiàn)象。

服務(wù)管理，在網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)服務(wù)配置方面，必須遵循最小化服務(wù)原則，關(guān)閉網(wǎng)絡(luò)設(shè)備不需要的所有服務(wù)，避免網(wǎng)絡(luò)服務(wù)或網(wǎng)絡(luò)協(xié)議自身存在的安全漏洞增加網(wǎng)絡(luò)的安全風(fēng)險。對于必須開啟的網(wǎng)絡(luò)服務(wù)，必須通過訪問控制列表等手段限制遠(yuǎn)程主機(jī)地址。在邊緣路由器應(yīng)當(dāng)關(guān)閉某些會引起網(wǎng)絡(luò)安全風(fēng)險的協(xié)議或服務(wù)，如ARP代理、CISCO的CDP協(xié)議等?？刂平换ナ皆L問，網(wǎng)絡(luò)設(shè)備的交互式訪問包括本地的控制臺訪問及遠(yuǎn)程的VTY終端訪問等。網(wǎng)絡(luò)設(shè)備的交互式訪問安全措施包括：加強(qiáng)本地控制臺的物理安全性，限制遠(yuǎn)程VTY終端的IP地址；控制banner信息，不得泄露任何相關(guān)信息；遠(yuǎn)程登錄必須通過加密方式，禁止反向telnet等。2.7網(wǎng)絡(luò)安全邊界保護(hù)

網(wǎng)絡(luò)安全邊界保護(hù)的主要手段是通過防火墻或路由器對不同網(wǎng)絡(luò)系統(tǒng)之間實(shí)施相應(yīng)的安全訪問控制策略，在保證業(yè)務(wù)正常訪問的前提下從網(wǎng)絡(luò)層面保證網(wǎng)絡(luò)系統(tǒng)的安全性。

IPTV承載網(wǎng)絡(luò)邊界保護(hù)措施主要包括以下兩點(diǎn)：

通過路由過濾或ACL的方式隱藏IPTV承載網(wǎng)路由設(shè)備及網(wǎng)管等系統(tǒng)的IP地址，減少來自Internet或其它不可信網(wǎng)絡(luò)的安全風(fēng)險。

在IPTV承載網(wǎng)絡(luò)邊緣路由器與其它不可信網(wǎng)絡(luò)出口過濾所有的不需要的網(wǎng)絡(luò)管理、控制協(xié)議，包括HSRP、SNMP等。2.8拒絕服務(wù)攻擊防范

拒絕服務(wù)攻擊對IPTV承載網(wǎng)絡(luò)的主要影響有：占用IPTV承載網(wǎng)網(wǎng)絡(luò)帶寬，造成網(wǎng)絡(luò)性能的下降；消耗網(wǎng)絡(luò)設(shè)備或服務(wù)器系統(tǒng)資源，導(dǎo)致網(wǎng)絡(luò)設(shè)備或系統(tǒng)無法正常提供服務(wù)等。

建議IPTV承載網(wǎng)絡(luò)采取以下措施實(shí)現(xiàn)拒絕服務(wù)攻擊的防范：實(shí)現(xiàn)網(wǎng)絡(luò)的源IP地址過濾，在IPTV承載網(wǎng)接入路由器對其進(jìn)行源IP地址的檢查。關(guān)閉網(wǎng)絡(luò)設(shè)備及業(yè)務(wù)系統(tǒng)可能被利用進(jìn)行拒絕服務(wù)攻擊的網(wǎng)絡(luò)服務(wù)端口及其它網(wǎng)絡(luò)功能，如echo、chargen服務(wù)，網(wǎng)絡(luò)設(shè)備的子網(wǎng)直接廣播功能等。通過建立網(wǎng)絡(luò)安全管理系統(tǒng)平臺實(shí)現(xiàn)對拒絕服務(wù)攻擊的分析、預(yù)警功能，從全局的角度實(shí)現(xiàn)對拒絕服務(wù)攻擊的監(jiān)測，做到早發(fā)現(xiàn)、早隔離。

下圖給出了IPTV承載網(wǎng)安全建設(shè)實(shí)現(xiàn)方式圖。

2.9信源安全/組播路由安全

盡管組播技術(shù)具備開展新業(yè)務(wù)的許多優(yōu)勢，并且協(xié)議日趨完善，但開展組播業(yè)務(wù)還面臨著組播用戶認(rèn)證、組播源安全和組播流量擴(kuò)散安全性的問題。

組播源管理：在組播流進(jìn)入骨干網(wǎng)絡(luò)前，組播業(yè)務(wù)控制設(shè)備應(yīng)負(fù)責(zé)區(qū)分合法和非法媒體服務(wù)器，可以在RP上對組播源的合法性進(jìn)行檢查，如果發(fā)現(xiàn)來自未經(jīng)授權(quán)的組播源的注冊報文，可以拒絕接收發(fā)送過來的單播注冊報文，因此下游用戶就可以避免接收到非法的組播節(jié)目。為防止非法用戶將組播源接入到組播網(wǎng)絡(luò)中，可以在邊緣設(shè)備上配置組播源組過濾策略，只有屬于合法范圍的組播源的數(shù)據(jù)才進(jìn)行處理。這樣既可以對組播報文的組地址進(jìn)行過濾，也可以對組播報文的源組地址進(jìn)行過濾。

組播流量擴(kuò)散安全性：在標(biāo)準(zhǔn)的組播中，接收者可以加入任意的組播組，也就是說，組播樹的分枝是不可控的，信源不了解組播樹的范圍與方向，安全性較低。為了實(shí)現(xiàn)對一些重要信息的保護(hù)，需要控制其擴(kuò)散范圍，靜態(tài)組播樹方案就是為了滿足此需求而提出的。靜態(tài)組播樹將組播樹事先配置，控制組播樹的范圍與方向，不接收其他動態(tài)的組播成員的加入，這樣能使組播信源的報文在規(guī)定的范圍內(nèi)擴(kuò)散。在網(wǎng)絡(luò)中，組播節(jié)目可能只需要一定直徑范圍內(nèi)的用戶接收，可以在路由器上對轉(zhuǎn)發(fā)的組播報文的TTL數(shù)進(jìn)行檢查，只對大于所配置的TTL閾值的組播報文進(jìn)行轉(zhuǎn)發(fā)，因此可以限制組播報文擴(kuò)散到未經(jīng)授權(quán)的范圍。

組播用戶的管理：原有標(biāo)準(zhǔn)的組播協(xié)議沒有考慮用戶管理的問題，但從目前組播應(yīng)用的情況來看，在很多的組播業(yè)務(wù)運(yùn)營中，組播用戶的管理仍未得到很好的解決。在IPTV業(yè)務(wù)中，直播業(yè)務(wù)作為十分重要的業(yè)務(wù)，對用戶進(jìn)行控制管理是必不可少的。對組播用戶的管理就是對經(jīng)過授權(quán)的組播用戶控制其對組播業(yè)務(wù)的接入，控制用戶哪些組播頻道可以觀看，哪些頻道不可以觀看。通過在DSLAM/LAN交換機(jī)用戶側(cè)對組播組進(jìn)行控制，防止惡意用戶的非法組播流攻擊網(wǎng)絡(luò)。

第五篇：某公司信息安全保障體系信息安全組織體系

信息安全保障體系

組織體系

組織體系 1 范圍 本標(biāo)準(zhǔn)規(guī)定了公司內(nèi)部安全保障體系組織架構(gòu)的要求，包括人員組成，責(zé)任和要求。

本標(biāo)準(zhǔn)適用于公司，各廠應(yīng)依據(jù)本標(biāo)準(zhǔn)制訂適用的標(biāo)準(zhǔn)。規(guī)范性引用文件 下列文件中的條款通過本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注版本（日期）的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研究是否可使用這些文件的最新版本。凡是不注版本（日期）的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。術(shù)語和定義 無。職責(zé) 4.1 信息中心負(fù)責(zé)公司整體信息安全保障體系組織建設(shè)。

4.2 各廠負(fù)責(zé)在授權(quán)范圍內(nèi)開展安全組織建設(shè)，負(fù)責(zé)本單位信息安全日常管理、監(jiān)督。信息安全管理組織架構(gòu) 在組織架構(gòu)方面，應(yīng)依托企業(yè)現(xiàn)有的組織體系，賦予各層面的組織和個人以安全職責(zé)，使原有的組織架構(gòu)具有信息安全的管理職能，同時應(yīng)對企業(yè)安全管理的三層組織結(jié)構(gòu)：決策層、管理層和執(zhí)行層的機(jī)構(gòu)建立、安全目標(biāo)、崗位設(shè)置、安全職責(zé)進(jìn)行確定，組織架構(gòu)的建立和充分發(fā)揮職能是整個系統(tǒng)安全的前提和基礎(chǔ)。

決策層管理層業(yè)務(wù)安全決策安全戰(zhàn)略規(guī)劃安全績效考核信息安全領(lǐng)導(dǎo)小組信息安全管理部門安全管理系統(tǒng)安全工程安全績效管理信息安全執(zhí)行部門實(shí)施與運(yùn)作運(yùn)行管理安全審計實(shí)施執(zhí)行層

圖 1 信息安全管理組織架構(gòu)層次圖 組織架構(gòu)

企業(yè)本部

企業(yè)下屬各廠

決策層

公司信息化建設(shè)主管領(lǐng)導(dǎo) 各廠信息化建設(shè)主管領(lǐng)導(dǎo) 管理層

公司信息、辦公室、財務(wù)、營銷、人事、技術(shù)等各部門負(fù)責(zé)人 各廠信息、財務(wù)、生產(chǎn)、人事等業(yè)務(wù)部門負(fù)責(zé)人 執(zhí)行層

公司具體負(fù)責(zé)信息系統(tǒng)管理和信息安全管理工作的技術(shù)人員及相關(guān)部門的專職（或兼職）信息安全員 各廠具體負(fù)責(zé)信息系統(tǒng)管理和信息安全管理工作的技術(shù)人員及相關(guān)部門的專職（或兼職）信息安全員

圖 2 信息安全管理組織架構(gòu)細(xì)化表信息安全組織架構(gòu)各層職責(zé)說明 6.1 決策機(jī)構(gòu) 信息安全決策機(jī)構(gòu)處于安全組織機(jī)構(gòu)的第一個層次，是企業(yè)公司信息安全工作的最高管理機(jī)構(gòu)，按照國家和國家局的方針、政策和要求，對企業(yè)公司信息安全進(jìn)行統(tǒng)一領(lǐng)導(dǎo)和管理。

其主要職責(zé)包括：

1)領(lǐng)導(dǎo)和督促全企業(yè)公司范圍的信息安全工作； 2)制定企業(yè)公司信息安全戰(zhàn)略、方針和政策，確定企業(yè)公司信息安全發(fā)展方向和目標(biāo)； 3)為信息安全提供所需的資源； 4)批準(zhǔn)整個組織內(nèi)信息安全特定角色和職責(zé)的分配； 5)建立企業(yè)公司的總體安全規(guī)劃方案； 6)制定企業(yè)公司統(tǒng)一的安全策略體系； 7)審批企業(yè)公司重大的信息安全活動； 8)重大技術(shù)事項或突發(fā)緊急問題的協(xié)調(diào)處理和事后調(diào)查仲裁等； 9)審批信息安全項目及安全產(chǎn)品的采購申請； 10)審閱下級的重要工作匯報和意見，并及時反饋批復(fù)意見； 11)監(jiān)督管理層信息安全工作的管理和執(zhí)行情況，協(xié)調(diào)管理隊伍之間的關(guān)系； 12)負(fù)責(zé)組織企業(yè)公司范圍的信息安全事件的調(diào)查，并聽取相關(guān)匯報； 13)定期組織會議，了解企業(yè)公司信息系統(tǒng)的整體安全現(xiàn)狀，討論提高安全水平的整改措施。

14)啟動計劃和程序來保持信息安全意識； 15)信息安全領(lǐng)導(dǎo)小組應(yīng)定期組織信息安全巡檢和評審工作。

6.2 管理機(jī)構(gòu) 信息安全管理機(jī)構(gòu)處于安全組織機(jī)構(gòu)的第二個層次，在決策機(jī)構(gòu)的領(lǐng)導(dǎo)下，負(fù)責(zé)組織制訂信息安全保障體系建設(shè)規(guī)劃，以及信息安全的管理、監(jiān)督、檢查、考核等工作。日常的信息安全管理工作主要由信息化工作部門負(fù)責(zé)。

其主要職責(zé)包括：

1)根據(jù)決策層總體安全規(guī)劃制定系統(tǒng)安全建設(shè)的詳細(xì)安全計劃并組織實(shí)施； 2)根據(jù)決策層統(tǒng)一的安全策略制定并落實(shí)信息安全管理制度； 3)監(jiān)督和指導(dǎo)執(zhí)行層信息安全工作的貫徹和實(shí)施； 4)組織技術(shù)人員和普通員工的安全技術(shù)交流與培訓(xùn)； 5)參與信息系統(tǒng)相關(guān)的新工程建設(shè)和新業(yè)務(wù)開展的方案論證，并提出安全方面的相應(yīng)

建議； 6)在信息系統(tǒng)相關(guān)的工程驗(yàn)收時，對信息安全方面的驗(yàn)收測試方案進(jìn)行審查并參與驗(yàn)收； 7)組織相關(guān)安全員定期進(jìn)行信息安全巡檢； 8)負(fù)責(zé)組織范圍內(nèi)的信息安全事件調(diào)查，并聽取相關(guān)匯報； 9)審閱執(zhí)行層的重要工作匯報和意見，并及時反饋批復(fù)意見； 10)定期組織會議，了解管轄系統(tǒng)的整體安全現(xiàn)狀，討論提高安全水平的整改措施； 6.3 執(zhí)行機(jī)構(gòu) 信息安全執(zhí)行機(jī)構(gòu)處于信息安全組織機(jī)構(gòu)的第三個層次，在管理層的領(lǐng)導(dǎo)下，負(fù)責(zé)保證信息安全技術(shù)體系的有效運(yùn)行及日常維護(hù)，通過具體技術(shù)手段落實(shí)安全策略，消除安全風(fēng)險，以及發(fā)生安全事件后的具體響應(yīng)和處理。

主要職責(zé)包括：

1)學(xué)習(xí)和執(zhí)行企業(yè)公司制定的各項信息安全管理策略、制度、規(guī)范和指南； 2)企業(yè)公司信息安全規(guī)劃、管理制度的落實(shí)和執(zhí)行工作； 3)直接負(fù)責(zé)管理范圍內(nèi)各業(yè)務(wù)系統(tǒng)的安全管理和維護(hù)工作； 4)參與檢查與國家信息安全相關(guān)的法律、法規(guī)、規(guī)章、標(biāo)準(zhǔn)等的符合性，參與企業(yè)公司安全方案的規(guī)劃、設(shè)計； 5)具體安全項目的實(shí)施與支持； 6)根據(jù)管理層安全規(guī)劃制定系統(tǒng)安全建設(shè)的詳細(xì)安全計劃并組織實(shí)施； 7)監(jiān)督和指導(dǎo)管理范圍內(nèi)信息安全工作的貫徹和實(shí)施； 8)組織內(nèi)部的安全技術(shù)交流與培訓(xùn)； 9)參與管理范圍內(nèi)工程建設(shè)和業(yè)務(wù)開展的方案論證，并提出相應(yīng)的安全方面的建議； 10)提出的網(wǎng)絡(luò)安全整改意見，提交管理層審批； 11)向管理層定期匯報系統(tǒng)當(dāng)前安全現(xiàn)狀以及安全事件的處理情況；安全職責(zé)的分配 為明確安全責(zé)任，劃分（界定）安全管理與具體執(zhí)行之間的工作職責(zé)，公司必須建立安全責(zé)任制度。

安全責(zé)任分配的基本原則是“誰主管，誰負(fù)責(zé)”。公司擁有的每項網(wǎng)絡(luò)與信息資產(chǎn)，必須根據(jù)資產(chǎn)歸屬確定“責(zé)任人”。“責(zé)任人”對資產(chǎn)安全保護(hù)負(fù)有完全責(zé)任?！柏?zé)任人”可以是個人或部門，但“責(zé)任人”是部門時，應(yīng)由該部門領(lǐng)導(dǎo)實(shí)際負(fù)責(zé)。

“責(zé)任人”可以將具體的執(zhí)行工作委派給“維護(hù)人”，但“責(zé)任人”仍然必須承擔(dān)資產(chǎn)安全的最終責(zé)任。因此“責(zé)任人”應(yīng)明確規(guī)定“維護(hù)人”的工作職責(zé)，并定期檢查“維護(hù)人”是否正確履行了安全職責(zé)?！熬S護(hù)人”可以是個人或部門，也可以是外包服務(wù)提供商。當(dāng)“維護(hù)人”是部門時，應(yīng)由該部門領(lǐng)導(dǎo)實(shí)際負(fù)責(zé)。

安全工作人員的職責(zé)是指導(dǎo)、監(jiān)督、管理、考核“責(zé)任人”的安全工作，不能替代“責(zé)任人”對具體網(wǎng)絡(luò)與信息資產(chǎn)進(jìn)行安全保護(hù)。

在資產(chǎn)的安全保護(hù)工作中，應(yīng)重點(diǎn)關(guān)注以下內(nèi)容：

a)應(yīng)清楚地說明每個獨(dú)立的網(wǎng)絡(luò)與信息系統(tǒng)所包含的各種資產(chǎn)和相應(yīng)的安全保護(hù)流程。

b)“責(zé)任人”與“維護(hù)人”都應(yīng)明確接受其負(fù)責(zé)的安全職責(zé)和安全保護(hù)流程，并對該職責(zé)的詳細(xì)內(nèi)容記錄在案。

c)所有授權(quán)的內(nèi)容和權(quán)限應(yīng)當(dāng)被明確規(guī)定，并記錄在案。職責(zé)分散與隔離 職責(zé)分隔（Segregation of Duties）是一種減少偶然或故意行為造成安全風(fēng)險的方法。公司應(yīng)分散某些任務(wù)的管理、執(zhí)行及職責(zé)范圍，以減少誤用或?yàn)E用職責(zé)帶來風(fēng)險的概率。例如關(guān)鍵數(shù)據(jù)修改的審批與制作必須分開。

在無法實(shí)現(xiàn)職責(zé)充分分散的情況下，應(yīng)采取其他補(bǔ)償控制措施并記錄在案。例如：活動監(jiān)控、檢查審計跟蹤記錄以及管理監(jiān)督等。

為避免串通勾結(jié)等欺詐活動，公司應(yīng)盡量隔離相應(yīng)職責(zé)，并增加執(zhí)行和監(jiān)督人員，以降低串通的可能性。安全信息的獲取和發(fā)布 信息技術(shù)的發(fā)展日新月異，安全工作愈發(fā)復(fù)雜和困難。公司必須建立有效可靠的渠道，獲取安全信息，不斷推進(jìn)安全工作。例如：

a)從內(nèi)部挑選經(jīng)驗(yàn)豐富的安全管理和技術(shù)人員，組成內(nèi)部專家組，制定安全解決方案，參與安全事件處理，解決實(shí)際安全問題，提供預(yù)防性建議等。為使內(nèi)部專家組的工作更具成效，應(yīng)允許他們直接接觸公司的管理層。

b)與設(shè)備提供商、安全服務(wù)商等外部安全專家保持緊密聯(lián)系，聽取他們的安全建議。

c)從一些公開的信息渠道獲取安全信息，例如專業(yè)出版物、定期公告等。

企業(yè)權(quán)威的安全信息發(fā)布機(jī)構(gòu)為公司信息中心。公司負(fù)責(zé)收集和整理并向各廠信息部門發(fā)布安全信息；各廠負(fù)責(zé)廠內(nèi)發(fā)布和信息上報。加強(qiáng)與外部組織之間的協(xié)作 公司應(yīng)加強(qiáng)與國家安全機(jī)關(guān)、行業(yè)監(jiān)管部門、其他運(yùn)營商和信息服務(wù)提供商等外部組織的聯(lián)系，并建立協(xié)作流程，以便在出現(xiàn)安全事件時，盡快獲取信息、采取措施。

公司在加入安全組織或與其他組織進(jìn)行交流時，應(yīng)對信息交換予以嚴(yán)格限制，以確保公司信息的保密性。安全審計的獨(dú)立性 安全審計是從管理和技術(shù)兩個方面檢查公司的安全策略和控制措施的執(zhí)行情況，發(fā)現(xiàn)安全隱患的過程。

安全審計的獨(dú)立性是指審計方與被審計方應(yīng)保持相對獨(dú)立，即不能自己審計自己的工作，以確保審計結(jié)果的公正可靠。

安全審計可由公司內(nèi)部審計組織，或外聘的專業(yè)審計機(jī)構(gòu)完成。審計人員應(yīng)接受審計培訓(xùn)，掌握一定的技能和經(jīng)驗(yàn)。當(dāng)采用外聘審計機(jī)構(gòu)時，應(yīng)充分考慮其風(fēng)險，并采取相應(yīng)的控制措施。