信息系统安全运维服务精选(五篇)

序言：作为思想的载体和知识的探索者，写作是一种独特的艺术，我们为您准备了不同风格的5篇信息系统安全运维服务，期待它们能激发您的灵感。

篇1

1引言

地处亚欧大陆地理中心的新疆，不仅是“一带一路”向西开放的桥头堡，而且是“丝绸之路经济带”上的重要节点及核心区。新疆周边同中亚区域8个国家接壤，与周边的中亚国家环境相近、经济相融、人文相亲，具有向西开放的独特优势。作为我国辐射中亚地区政治、经济、科技、教育、交通、医疗科的战略高地，利用北斗导航国家科技重大专项在新疆开展应用示范、合作与服务，不仅能够发挥丝绸之路经济带核心区的特殊作用，更有利于国家建设“丝绸之路经济带”，以点带面，从线到片，逐步形成区域大合作。本文探讨了国产北斗卫星导航系统开发的社会与生产安全过程监控管理服务系统在新疆区域社会与生产安全国产中的应用，为北斗导航系统进一步在西北地区的安全生产应急指挥中的应用奠定了基础。

2北斗导航与位置服务

北斗卫星导航系统（BeiDou（COMPASS）Navigation Satellite System）是我国正在自主研发、独立运行的全球卫星导航系统，始于20世纪80年代，建于90年代，成于21世纪。目前，三号乙运载火箭已成功将我国第4颗“新一代北斗导航卫星”送入太空，系我国第20颗北斗导航卫星。随着北斗导航系统全球组网覆盖面积的进一步提升，其已成为国家重要战略基础设施，是国家科技水平和综合国力的重要体现，是社会信息化、数字化的重要支撑，是国家经济社会安全运行的重要保障。

位置服务（LBS，Location Based Services）又称定位服务，LBS是由移动通信网络和卫星定位系统结合在一起提供的一种增值业务，通过一组定位技术获得移动终端的位置信息（如经纬度坐标数据），提供给移动用户本人或他人以及通信系统，实现各种与位置相关的业务，实质上是一种概念较为宽泛的与空间位置有关的新型服务业务。

3现状概述

新疆交通运输行业具有点多、线长、面广、移动的特点，对新疆安全生产与运输过程的监控管理具有重要的现实意义和典型意义。新疆高速公路和一级公路里程已突破4 000 km，高速公路里程达2 728 km。近3年来，新疆机动车及驾驶人保有量年均增长分别达到17%和15%，新疆公路总里程突破16万km，城乡道路运输完成客运量30.37亿人次，全区经营性道路运输完成货运量达4.65亿t，并以每年6.7%的速度增长。至2015年，预计全区机动车保有量将超过600万辆。

新疆车辆动态监控中心目前运行的系统仅有车辆实时定位（更新频率约8 s/次）、简单报警（信号丢失，超速等）、轨迹存储与回放等较为简单的监控管理功能，需要进一步增强卫星导航定位与位置服务及其增值服务的能力，提升卫星导航应用的综合分析与决策支持水平；另外新疆地域广阔，地形复杂，手机信号差，使用卫星电话成本高，道桥建设、矿山开发、地质勘探、建筑施工等工程区域很多涉及无人区和无线通信盲区，而新疆的野外工程车均未安装卫星定位系统。近年来，新疆已有多起重大生产、运输事故发生在无线通信盲区，由于安全事故信息上报不够及时，难以及时了解事故现场情况，影响了应急救援工作，对安全生产过程和社会稳定造成较大影响。

3.1日常业务的需求

新疆安全生产与运输过程监督管理的主要日常业务对北斗卫星导航系统的具体应用有车辆的日常管理（车辆和人员的基础信息）；定位精度优于15 m、测速精度为1～2 m/s的车辆日常运行状态监控，包括：定车行程跟踪、分组查询、车辆显示状态控制等信息；定位精度优于15 m、测速精度为1～2 m/s的重点车辆运输全程监控，包括：“两客一危”运输车辆、普货载重货运车辆、应急运输保障车辆、野外工程车等运输车辆的重点运输过程日常全程监控与通讯调度；定位精度优于15 m、测速精度为1～2 m/s 的车辆监控中心的日常通信保障，包括：与全疆安全生产与运输过程车辆和人员进行语音和文字通信，包括发送文字信息、单向监听和双向通话；通信记录管理、事务管理（违章、事故、报警）等。

3.2典型业务的需求

新疆安全生产与运输过程监督管理的主要典型业务对北斗卫星导航系统的具体应用有定位精度优于15 m、短报文80个汉字的突发事件实时；定位精度优于15 m、测速精度为1～2 m/s、短报文80个汉字的野外生产态势实时；定位精度优于15 m、测速精度为1～2 m/s的车辆遇险报警与监控管理；定位精度优于15 m、测速精度为1～2 m/s、短报文80个汉字的突发性野外生产事故快速定位与应急指挥等。

4北斗导航与位置服务在安全生产与

运输过程中的应用4.1为重点业务管理部门提供位置管理服务

新疆安全生产与运输过程监督管理示范系统主要是面向各行业需重点监控各型车辆及其主管调度部门的基于位置综合信息服务，其目标是：通过管理控制中心，管理部门能够实时掌握下级管理部门及车辆的位置、速度、行驶状态等信息，通过多种通信手段能够实现调度、遇险报警和求救报警。

4.2为野外安全生产提供信息服务

通过北斗短报文功能和卫星网络，在新疆包括城市、农村、沙漠、戈壁和高原山区在内的广阔疆域实现全天候网络无缝覆盖获取车辆、人员的地理位置、运行方向、运行速度及各种状态信息，对持有终端设备的野外工作个人进行实时监控、调度、服务信息、受理各种类型的报警信息等，实时保持大后方对前方工作人员的监控指挥，从而提升工作效率及保障工作人员的生命安全。

4.3针对重点车辆提供预警、救援信息服务

通过北斗终端可以内设若干区域，当接口目标靠近（或驶出）区域时，向监控中心发送预警或报警信息。当车辆行驶速度超过最高限速的时候，监控中心软件自动发出报警信息，提示中心值班员，并自动向超速的车辆发出超速警告短消息；当车辆运行状态发生异常时，如高等级公路突然停车、发动机温度过高、油量不足时，监控中心软件自动发出报警信息，提示中心值班员，并自动向车辆发出警告短消息。如状态为高等级公路突然停车，监控中心将自动接通司机手机进行询问。

4.4实现安全生产与运输业务的可扩展性

随着新疆安全生产与运输过程监督管理业务需求的不断变化和新业务的出现，可灵活、高效地在原有北斗导航位置信息服务的基础上配置和构建新的信息服务，以满足安全生产与运输过程监督管理的新需求；可为其它相关业务体系提供信息服务接口，通过提升相关业务系统构建效率；可通过北斗短报文信息服务调用、集成、互操作和聚合，有效建立行业内不同业务系统和行业间信息系统间的信息服务互联互通模式。

篇2

【关键词】电力 信息系统 安全管理

1 管理的目标

1.1 管理理念

通过电力信息系统安全管理来确保信息系统的持续、可靠、稳定运行。随着公司信息系统与各项生产经营业务的紧密融合，信息系统故障停运直接影响公司生产经营业务的正常开展。加强安全管理，防止信息系统故障，及早发现信息系统的各类隐患，及时消缺或阻止各类违章，避免发生故障停运，提升信息系统安全运行风险可控、能控、在控能力。

1.2 管理范围和目标

信息安全管理范围涵盖公司系统各单位人员、设备和各类应用系统。

信息安全管理的目标在于通过对网络安全风险的分析，制定相应的管理制度、安全策略和技术措施，提高使用人员的安全防护意识、运维人员的技能水平和网络自身的安全，不发生系统停运事故和不发生重大信息泄露事故等。

1.3 主要管理指标

通过信息安全管理，以防止信息网络瘫痪、应用系统破坏、业务数据丢失、公司信息泄密、终端病毒感染、有害信息传播和防恶意渗透攻击，旨在降低信息网络的故障率和故障时间、提高人员的安全意识和信息系统运行率。

2 管理方法

2.1人员组织设置

海门市供电公司电力信息系统安全管理组织机构由职能管理部门和生产实施部门相关领导、专职、信息专业人员和部门兼职信息员组成。公司信息系统安全管理由职能公司管理部门统一指挥、统一调度、统一实施。

职能管理部门负责信息系统安全管理工作，主要职责为：1）负责建立公司信息系统安全管理制度、标准和规范体系；2）负责监督信息系统安全理制度的执行情况，协调、督促支撑实施机构及时处理相关信息安全分析、培训、运维等；3）负责信息系统安全管理的监督、检查、考核和评价工作。

生产实施部门负责安全管理的具体工作，主要职责为：1）负责信息系统安全风险分析；2）负责编写安全管理方案、建议，并提交职能部门；3）负责对信息系统安全风险进行处理；4）负责安全风险的整理、反馈汇总、统计、分析工作。4）负责人员的培训。

公司各部门负责协助信息通信职能管理部门做好信息安全管理工作的监督、检查和评价工作。

2.2 信息安全管理流程

信息安全管理流程两个主要流程：1）被动性流程：包含风险的发现和上报、风险的定性、风险的审核和分析、风险的处理、风险处理后验收。2）主动性流程：安全加固、加固处理、安全验收。

1）风险的发现：生产实施部门相关信息专业人员和部门兼职信息员应加强对信息系统的定时巡视，及时发现潜在风险，并根据风险现象进行分类和判别，准确详细地做好风险记录，并通知运维人员。

2）风险的分析和定性：生产实施部门根据上报风险进行初步的分析，并根据实际情况进行风险初步定性，报信息通信职能管理部门备案。

3）风险的审核：信息职能管理部门对上报的风险重新审核，并作出相应的处置意见。

4）风险处理安排：生产实施部门应安排专业人员及时了解、审核相关风险，是设备风险还是人员风险，是一般风险还是紧急风险，对风险处理工作做好及时的安排。对紧急风险应在紧急处理的同时汇报上级领导，必要时可启动应急预案。

5）风险的处理：生产实施部门专业人员在接受务时必须了解清楚信息系统存在的风险，并根据风险准备相关的资料和工具，认真执行相关制度，并及时汇报处理结果风险处理要求闭环管理。

6）验收：生产实施部门根据规定对风险处理进行验收，并填写风险记录中的处理情况，并完成风险流程的终结手续验收。未完全处理的，重新启动风险流程。

2.3 关键工作

（1）生产实施部门关键人员技能培训和员工信息安全知识宣传。信息安全的整个活动过程核心是人员。提高信息安全管理水平，人员是必不可少的环节。为普及员工的信息安全知识，公司编写了《员工操作手册》和《信息设备管理办法》，并进行了宣贯。针对实施机构关键人员，采用送出去和内部培训相结合的方式进行了技能培训，包括：信息设备和系统的安装、网络安全技术、信息系统故障判断、系统加固、系统的调试和配置等，大大提高了关键人员的管理水平。

（2）生产实施部门关键人员运维标准化。公司建立了部门兼职信息员的《标准化工作手册》，分析了系统内可能存在的风险和相关风险的现象，明确了一系列操作流程，建立了操作指导书，对工作中的具体要求和步骤做了具体的文档说明，便于兼职信息员日常运维。

（3）优化信息系统网络和硬件设施。对信息系统网络进行优化配置，对信息网的链路进行重新设计，采用环路设计来增强冗余和安全性。同时对使用年限长、老化的设备进行更换，对备品备件进行梳理，确保硬件设施的安全。

（4）采用多样化的安全技术。整个过程中，对网络设备和服务器等进行了安全加固和加固检查，进行定期漏洞扫描，安装补丁。终端设备采用专人负责，要求注册率和防病毒安装率为100%，网络端口采用IP/MAC地址绑定。内网设备严禁接入其他网络设备，同时关闭不必要的端口服务，来保证信息系统的安全。

（5）构建风险库。风险管理是信息系统运行维护人员高度关注的工作。然而风险管理经常出现不规范的现象，影响了风险管理，也增加了风险的分析和处理难度。海门市供电公司，从风险分类、风险定性、风险现象、风险原因等4个方面建立初步的标准风险库。覆盖了业务应用系统、网络系统、服务器、数据库、终端设备和人员等，明确相关风险的定性标准，使各级人员对同一风险有唯一定性，便于风险处理，促进风险管理的标准化和规范化。

（6）加强信息设备入网验收管理。在进行信息设备的入网工作上，海门市供电公司在工程建设期间就提前介入，对系统设计和设备选型进行技术建议，并对到货设备进行现场和上电验收，力争在初级阶段减少风险的发生可能性。

（7）加强设备定期、日常巡检和维护管理。根据相关要求制定有效的信息系统运维管理制度，并要求运维人员严格按要求进行巡检和维护，将风险消除在萌芽。

（8）加强风险统计分析。为尽早发现设备风险，预防风险造成的危害，提高信息人员风险管理水平，海门市供电公司定期进行风险分析。对新产生或者预测的信息系统风险产生原因进行分析，重点从设备本身、运行维护、人员、设备运行环境等方面进行主观和客现的分析。对风险举一反三进行分析，让信息运维每个成员清楚风险发生的原因、对设备可能造成的危害、解决的具体方法、哪些设备还可能发生类似风险。根据分析结果有针对性的巡视维护，防患于未然。

（9）信息安全管理考核。把风险管理制度、措施、责任细化到考核考核办法中，在具体考核中体现奖罚并存、激励为主，提高信息人员风险管理积极性。

3 结束语

信息系统安全管理是技术与管理的综合，完善信息安全保障体系，实现信息系统的“可控、能控、在控”，是信息系统安全的根本目标。加强人员培训、制定切实有效的管理制度、完善软硬件技术和风险控制流程是信息系统安全的有效措施。信息运维常态化和流程规范化，通过信息运维的标准化作业、开展定期巡检、维护规范化和风险流程统一化，使信息安全管理工作步入了有序化管理。海门市供电公司将在此基础上继续完善和探索信息系统安全管理的制度和标准化流程，推动公司信息化管理水平的进一步提升。

篇3

作为政府部门的对外服务窗口，政府网站随着电子政务的不断发展，正在扮演着愈来愈重要的角色。同时，网站作为组织信息系统的一种边界，与生俱来就是外部攻击的首选，其面临的安全形势在智慧城市建设阶段更为复杂严峻。2011年底，国务院办公厅和工信部分别了《关于进一步加强政府网站管理工作的通知》（国办函［2011］40号）和《委托开展政府网站安全管理试点工作的通知》（工信厅协函［2011］416号），要求提高政府网站的安全保障水平。据此，上海三零卫士信息安全有限公司在上海市网安办的指导下，在前期参与信安标委《政府网站系统安全指南》国家标准和长期从事信息安全服务的基础上，提出了“三位一体”的政府网站安全保障体系。

所谓“三位一体”，就是从“技术”、“管理”和“运维”三个方面来构建完整的政府网站安全保障体系，主要遵循信息安全“技术与管理并重”、“建设与运维并重”两大原则。从现有的国家《信息系统安全等级保护基本要求》来看，也是分为技术和管理两大类，技术类按信息系统的层次结构再细分，管理类则强调管理体系、建设管理和运维管理。因此，一个有效的信息安全保障体系不是安全产品的堆砌，而是需要建立完善的安全管理体系，并通过专业的安全服务来实现的。就目前政府网站的安全保障而言，管理体系主要应由政府网站主管部门负责，安全服务可以采用可控可信的服务外包的方式实现。

相关信息安全标准

目前，与电子政务相关的信息安全政策要求，主要有国家信息安全等级保护制度（2007年之后普遍开始推行）和工信部政府信息系统安全检查（2009年起每年一次）两项：前者是针对所有计算机和信息系统均需要实施的，主要参照《信息系统安全等级保护实施指南》和《信息系统安全等级保护基本要求》等国家标准，通过自查、测评和整改的方式落实；后者是针对政府部门的信息系统进行年度整体检查，主要参照《政府信息系统安全检查指南》，通过自查和监督的方式落实。具体来看，等级保护的相关标准是面向网络信息系统的通用技术架构（物理环境网络主机应用数据）来设置的，并没有体现网站类信息系统特有的体系架构（如IIS、Apache等Web应用服务，网站脚本源代码等），在管理要求上也缺乏对网站运行中普遍的托管、外包和内容等控制条款，而政府信息系统安全检查中与网站直接相关的检查项更是寥寥几笔。

在美国NIST（国家标准和技术研究所）的SP800系列（关于计算机安全的特殊出版物）中，有一份专门针对公共服务网站的安全指南：SP800-44（Guidelines on Securing Public Web Servers）。该指南从网站服务器的规划和管理、网络基础设施安全、操作系统安全、Web服务安全、Web内容安全、认证和加密、运维管理等方面提出了安全要求，并提供了一套非常翔实实用的检查表，已作为联邦政府部门和机构实施网站安全保障的推荐标准。

由此可见，目前国内并没有完全针对政府网站这类电子政务信息系统的信息安全标准，而国外的SP800-44所提供的详细的安全规范，还需要和等级保护制度、电子政务管理办法等国情相结合，这也是信安标委进行相关标准研究和工信部开展相关试点的原因。目的是希望能研究制定适合我国各类各级政府网站的信息安全保障标准，从而切实指导政府网站的建设、运行和管理，提高政府网站防篡改、防病毒、防攻击、防瘫痪、防泄密能力。

为政府网站安装保障之门

“三位一体”的政府网站安全保障体系是基于《信息系统安全等级保护基本要求》国家标准，并结合SP800-44和国内信息安全服务企业的最佳实践提出来的，由技术防护、管理机制和运行维护三大部分组成，共计16个控制点，下图给出了本体系结构以及与等级保护、SP800-44的对应关系。事实上，该体系不仅适用于政府网站，对于其他服务性和商业性网站同样可以参照使用。

安全技术防护

技术防护部分主要基于等级保护的系统分层概念和IATF（信息保障技术框架）纵深防御理念，给出了网站基本架构，如下图所示。为保证网站安全各相关方语义上的一致，这里的网站基本架构统一将网站系统分为网站基础设施、网站应用系统和网站数据三大层次，事实上不同层次的安全保障手段也各不相同。

基于这一基本架构，就要求在各层面均满足安全保障的基本要求。首先，应在网络边界部署防火墙、入侵防护和检测等安全网关产品；其次，应将不同的服务器部署在不同的安全区域，并采用合适的隔离措施，保证服务器操作系统和网站系统平台满足最小安装原则；第三，针对网络及安全设备、服务器操作系统和网站系统平台、网站管理平台等，均需要建立身份鉴别、访问控制和安全审计三大安全技术措施；最后，针对网站数据库文件、系统日志文件、设备配置文件和安全审计记录等数据，应采取有区别且合适的备份策略，确保数据可用性和业务连续性。

除了上述基本要求，针对网站系统特定的技术架构，还需要根据实际情况，部署网页防篡改、防拒绝服务攻击、Web应用防火墙、远程加密维护、管理终端IP地址限制等安全设备或安全机制，并充分考虑网站带宽、链路冗余、访问流量和连接数等可用性指标。

安全管理机制

等级保护中对信息安全管理的要求，基本是基于ISO27K的要求，并结合国情增加了建设安全管理和运维安全管理的内容，重点是建立完整的信息安全管理体系，落实各项信息安全管理制度。本体系在此基础上针对政府网站管理的实际情况：在管理责任方面，分别明确了安全责任部门和内容审核部门；在管理制度方面，强调了对网站建设、运维、内容保障、应急预案和服务外包（含托管）的要求。上述管理机制和管理制度，将通过各部门自身的培训考核、年度信息安全检查、定期等保测评和整改等方式予以落实。本次试点工作中，上海市还提出了政府网站开办备案和实名认证的两项管理机制，目的在于统一管理和避免政府网站仿冒钓鱼。

安全运行维护

运行维护是任何信息系统生命周期中耗时最长、投入最大的阶段，但受制于以往信息化工作“重建设、重产品”指导思想的惯性，信息系统拥有者对长期运行维护及专业人力投入的理解还不深刻，等级保护和政府信息系统安全检查中也没有专门涉及安全运维的要求。

因此，本体系特别增加了这一大类的保障要求。一方面，在网站的日常运维中，要求通过“准实时”的监控平台监控网站的安全性和可用性，要求通过定期的本地安全检查确保网站各层面的配置安全，通过定期的网站安全扫描及时发现并修复安全漏洞，并将网站源代码扫描和渗透性测试也列为运维工作的“规定项目”。另一方面，在网站的应急管理中，要求针对网站瘫痪、网页篡改或挂马、DDOS攻击、域名劫持、信息泄漏等重大事件建立应急预案，明确事件级别和启动条件、应急处置流程和系统恢复时限，并定期进行演练和修订。

值得注意的是，本体系在关注网络信息系统安全的同时，还特别关注了服务外包的安全。针对政府网站设计、开发、部署和运维中普遍的信息技术服务外包（可以理解为ITO），重点应在服务合同中明确安全责任、服务内容、服务方式和服务级别，并要求网站安全责任部门对外包方的资质、人员、流程、工具和文档等服务要素进行安全管控。针对政府网站内容编辑和的服务外包（可以理解为BPO），也要求网站内容审核部门通过加强审核进行安全管控。

让信息安全“总体可控”

篇4

对于进一步提高信息安全的保障能力和防护水平来说，实行信息安全等级保护无疑是一种好的方法，因为它能充分调动国家、法人和其他组织及公民的积极性，增强安全保护的整体性、针对性和实效性，使信息系统安全建设重点更加突出、规范，更加统一。

但是，电子政务重在政务，由于政务部门的职能不同，信息系统的结构、功能和安全要求也不尽相同，信息安全等级保护工作的侧重点也不同。然而从总体上来说，都需要做好以下几点：

落实好“四个把握”

把握等级保护的建设进程。按照等级保护程序规定，做好定级、备案、整改、评测与监管工作。

把握等级划分的合理性和准确性。要认真分析电子政务系统在国家安全、经济建设、社会生活中的重要性程度，即电子政务系统遭受破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素，合理准确地确定系统安全等级。具体来说，安全等级的确定要根据信息系统的综合价值和综合能力保证的要求不同以及安全性被破坏造成的损失大小，综合考虑信息系统的经济价值、社会价值以及信息服务的服务范围和连续性。

把握好不同等级的基本安全要求。基本要求是针对不同安全保护等级信息系统，应该具有的基本安全保护能力提出的安全要求。例如：第三级信息系统要具有抵御来自外部组织的恶意攻击能力和防内部人员攻击能力，不仅要对安全事件有审计记录，还要能追踪与响应处理，要实现多重保护制度。

把握好基本技术要求和基本管理要求。基本技术要求包括物理安全、网络安全、主机安全、应用安全与数据安全等方面。基本管理要求是通过控制信息系统中各种角色参与的活动，包括安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理等方面，从政策、制度、规范、流程以及记录等方面做出规定。对于电子政务系统要特别关注基础设施监控与管理、网络安全监控与管理、业务应用系统的监控与管理、应急响应与备份恢复管理。

引入风险评估机制

信息安全等级保护必须树立风险管理的思想，而风险评估是风险管理的基础，因此，三级以上电子政务系统必须定期进行信息安全风险评估。风险评估贯穿于等级保护周期的系统定级、安全实施和安全运维三个阶段：

系统定级。由于不同的电子政务系统具有自身的行业和业务特点，且所受到的安全威胁均有所不同。因此，可以依据信息安全风险评估国家标准对所评估资产的重要性、客观威胁发生的频率、系统自身脆弱性的严重程度进行识别和关联分析，判断信息系统应采取什么强度的安全措施，然后将安全事件一旦发生后可能造成的影响控制在可接受的范围内。即将风险评估的结果作为确定信息系统安全措施的保护级别的一个参考依据。

安全实施。安全实施是根据信息安全等级保护国家标准的要求，从管理与技术两个方面选择不同强度的安全措施，来确保建设的安全措施满足相应的等级要求。风险评估在安全实施阶段就可以直接发挥作用，那就是对现有电子政务系统进行评估和加固，然后再进行安全设备部署等。在安全实施过程中也会发生安全事件并可能带来长期的安全隐患，如安全集成过程中设置的超级用户和口令没有完全移交给用户、防火墙部署后长时间保持透明策略等都会带来严重的问题，风险评估能够及早发现并解决这些问题。

安全运维。安全运维是指按照系统等级进行安全实施后开展运行维护的安全工作。安全运维包括两方面：一是维护现有安全措施等级的有效性。二是根据客观情况的变化以及系统内部建设的实际需要，对等级进行定期调整，以防止过度保护或保护不足。在安全运维的过程中，通过信息安全风险评估工作可以对已有信息系统的安全等级保护情况进行评估，依据已确定等级的相关保护要求，对系统的保护效果、潜在风险进行评价，评估是否达到等级保护的要求；当信息系统或外部环境发生变更时，可以通过风险评估工作了解和确定风险的变更，为再次定级和等级保护措施的调整提供依据。

建立有效的信息安全管理组织

信息安全管理组织是建立信息安全保障体系，做好信息安全等级保护工作的必要条件。当前很多政务部门的信息安全工作均有信息化部门兼任，没有足够的权威性。等级保护工作的开展，要求在组织内部建立信息系统安全方面的最高权力组织，并有明确的安全目标，目的是在管理层的承诺和拥有足够资源的情况下开展信息安全工作。因此，建立有效的信息安全管理组织必须明确以下内容：

要遵循分权制衡原则。制度的建立、制度的执行、执行情况的检查与监督要分开考虑。在目前的等级保护测评工作中，时常发现有系统管理员、网络管理员、安全员与审计员兼任的情况，甚至一人包揽所有的信息系统运维工作。但从等级保护的基本要求来看，依据分权制衡的原则，建议在电子政务系统中，系统管理员与审计员不得兼任，审计员不能从事所有日常信息的维护与管理工作，系统管理员不能从事审计日志的查看与处理工作。

要坚持从上而下的垂直管理原则。上一级机关信息系统的安全管理组织指导下一级机关信息系统的安全管理组织的工作，下一级机关信息系统的安全管理组织接受并执行上一级机关信息系统的安全管理组织的安全策略。

应常设信息系统安全管理组织办公机构，负责信息安全的日常事务工作。信息系统安全管理组织应由系统管理、系统分析、软硬件维护、安全保卫、系统稽核、人事与通信等有关方面的人员组成。

信息安全管理组织部门不能隶属于技术部门或运行部门，各级信息系统的安全组织不能隶属于同级信息系统管理和业务机构。信息安全管理组织部门只有不隶属于技术或运维部门，才能站在较高的层次上制定信息安全的整体框架与策略、有效的处理安全事件，启动应急预案。

篇5

银行信息系统安全问题探析

银行信息系统的安全保障要以缜密的分析为前提，制定详细的对策， 充分利用安全技术、安全产品来实现安全措施。本文以泰安农村信用 社为例阐述银行信息安全问题.

1．信息安全分析 银行信息系统具有服务范围广泛，平台复杂多样，业务品种不断 更新的特点。因此银行信息系统庞大而复杂，信息安全涉及方面众多， 我们大体可以按照安全管理、信息资产与环境、主机系统、网络系统、 日常运维五个方面进行分析.

1.1安全管理问题分析.

泰安农村信用社信息系统一贯重视系统安全，但对与系统安全的 管理仍处于比较传统的模式，即一种静态的、局部的、少数人负责的、 突击式的、事后纠正式的管理方式；安全管理偏重对业务的保障，在内 部管理上相对比较松散；一些安全管理策略和制度规范比较宏观，在 可操作性和实效性上还值得进一步探讨与改进.

泰安农信信息系统依照相关的规定进行建设。目前还需要改进的 问题为包括物理环境的单点故障隐患及不可抗力因素导致的系统安 全的风险；对信息资产的保护缺乏信息资产分类体系，无法实现对设 备的购置、维修、报废等环节的实时管理.

目前面临维护错误和操作失误、未经授权访问和操作、权限滥用、 硬件故障、数据库本身存在的安全漏洞等威胁.