引论:我们为您整理了13篇信息安全研究报告范文,供您借鉴以丰富您的创作。它们是您写作时的宝贵资源,期望它们能够激发您的创作灵感,让您的文章更具深度。
篇1
对用户,赛迪顾问对政府、教育、电信、电力、金融等重点行业信息安全政策和招投标信息进行密切跟踪,并进行广泛的电话访谈。
从市场发展来看,信息安全产品市场增长仍在持续
2009年,信息安全需求层次逐步从中央向省级、地市甚至县级渗透,从核心业务安全监控向全面业务安全保护扩展,从网络实施阶段的安全布置到网络运行过程的安全维护,安全需求正在形成多层次的树状格局,安全市场增长空间持续扩大,达到92.94亿元,比2008年增长17.2%。
图1 2007-2009年中国信息安全产品市场规模与增长
数据来源:赛迪顾问 2010,02
从用户需求来看,行业合规性要求日趋严格,安全产品采购不断升温
合规性典型行业包括政府、银行和证券。
政府行业:除等级保护和分级保护的持续推动外,国家质检总局、财政部和国家认监委联合的《关于调整信息安全产品强制性认证实施要求的公告》要求在《政府采购法》规定的范围内对防火墙、网络安全隔离卡与线路选择器、安全隔离与信息交换产品、安全路由器 、智能卡COS、数据备份与恢复产品、安全操作系统、安全数据库系统、反垃圾邮件产品、入侵检测系统、网络脆弱性扫描产品、安全审计产品、网站恢复产品等十三类产品实施强制认证。
银行业:中国人民银行为加强网上银行管理,促进网上银行业务健康发展,有效增强网上银行系统的信息安全防范能力,于2009年向银行业金融机构了《网上银行系统信息安全通用规范(试行)》。《规范》涉及网上银行系统的技术、管理和业务运作三个方面,分为基本要求和增强要求两个层次,基本要求为最低安全要求,增强要求为三年内应达到的安全要求。《规范》将作为网上银行系统安全建设、内部信息安全检查和合规性审计的依据,有效防范网上银行系统风险隐患。
证券行业:通过网上进行交易的证券期货公司达到90%以上,遭受恶意程序攻击、交易信息在网上泄露、资金盗取等都可能造成无法挽回的损失。2009年5月31日中国证监会于了《证券公司分类监管规定》,根据评分的高低将证券公司分为5大类11个级别,其中第二章第四条明确规定,信息安全作为重要的评价指标。另外《证券公司风险管理能力评价指标与标准》和《证券期货业务信息系统安全检查贯彻落实指引》做出了更细化的规定,政策性规范的陆续推出,表明证券行业安全建设步伐正处于 “加速跑”阶段,将带动证券企业对信息安全产品升级换代的市场需求,使得“安全”成为证券行业今后信息化工作的重中之重。
从企业发展来看,企业走向差异化与整合化发展
用户需求开始由被动向主动转型,信息安全从网络安全一枝独秀逐渐加入应用安全、数据安全和系统安全的全面支撑。产品类型更加多样,网络边界、内网、服务器、PC终端、移动介质、操作系统、数据库、应用软件等软硬件系统防护体系全面推进,依靠防火墙、IDS和防病毒软件“老三样”无法保障整体安全,使得UTM、IPS、VPN、终端安全管理、安全审计等新兴安全产品及安全服务有了更大的施展空间。
随着信息安全多元化发展趋势的日渐明朗,厂商差异化定位也成为了可能。对于有一定规模和技术积累的公司,开拓高门槛高利润的新产品或新市场,成为其进一步发展占领竞争制高点的必需。特别是东软、启明星辰、卫士通、天融信等以安全产品与服务见长的综合厂商取得了快速发展,综合实力、服务水平、人才积累等方面都获得了很大的提高,并且在差异化竞争中各有所长,使得信息安全行业呈现百花齐放的发展局面。
表1 信息安全细分市场的主要竞争者
数据来源:赛迪顾问 2010,02
与此同时,整合也在信息安全行业悄然展开,利用拳头产品通过原始积累取得较快发展的企业开始扩充产品线来提升整体解决方案能力,互补性并购成为获得竞争优势的重要手段,未来经过不断的竞争、扩充、联合、兼并和重组,信息安全行业将向“市场向品牌产品集中,资源向优势企业集中,效益向规模企业集中”的格局转变,以大公司为核心的行业链整合效应加大,且在行业发展过程中的龙头和主导作用越来越明显,龙头型企业凭借领先的技术和产品优势、强大的研发能力和人才基础、卓越的品牌形象、广泛的客户网络、庞大的资金规模、丰富的管理经验将带动中国信息安全行业人才、资金、技术的积累,在行业链条的主要环节形成突破,为中国信息安全行业做大做强提供可能。
表2 信息安全行业并购与合作案例
数据来源:赛迪顾问 2010,02
附录1:中国信息安全产品市场厂商调研问卷节选
2009年贵公司提供的信息安全产品收入
贵公司2009年信息安全产品主要签单
篇2
一、严格遵守各项安全保密管理制度
根据研究院的有关规定,*公司根据自身业务情况,已陆续了一些管理制度:如《公司知识产权与保密规定》,《关于公司员工退、离(辞)职有关问题的规定》、《公司计算机使用及电子邮箱、网络管理规定》《关于公司局域网的管理办法》、《研究报告四级质量控制体系管理规定》等等。
公司要求各级领导和全体员工严格遵守各项安全(保密)管理制度与规定,加强信息安全保密工作的防范,严格各项工作的业务流程,认真履行、互相监督,及时发现并消除隐患。
二、建立健全相关组织,加强信息安全队伍建设
1、为进一步做好信息安全管理工作,加强对信息安全、保密工作的统一管理,公司于20*年*月成立以执行总裁为第一责任人的*公司安全工作小组和*公司保密工作小组。小组成员包括:财务部、人力资源部、项目管理部、品牌市场部、客户服务部、知识管理部、办公室等职能部门的经理和公司各业务部门总经理及各部门岗位的人员。
2、安全(保密)工作小组成员,负责建立健全、贯彻实施有关安全(保密)管理制度,组织公司安全(保密)教育和知识学习等项工作。定期组织对公司安全(保密)工作的监督、检查,及时解决安全(保密)工作中存在的问题。
三、认真落实有关信息安全(保密)制度,加强信息安全保密工作的管理
1、职能部门邮箱加密。
公司财务部、人力资源部、项目管理部等职能部门邮箱全部加密码,避免通过邮件泄密。
2、人力资源部:a、所有人事档案入柜,封存,由专人保管;b、涉及薪酬的文件全部加密。c、与新、老员工签订《保密协议》。协议中规定:赛迪顾问员工所有研究成果是公司商业秘密的重要组成部分,其知识产权归公司所有。未经批准,员工不得向外界传播或提供有关公司的一切有关文件及资料,也不得交给无关人员,否则应赔偿公司因此而遭受的一切经济损失。必要时,追究其法律责任。保密条款不因《劳动合同书》的终止而失效。d、严格加强对离职人员的交接流程的管理,细化员工离职的交接程序,规定交接时间。
3、财务部门:安装监控摄像头;每位财务人员电脑个人账号均加密。
4、市场部门:加强媒体网站的政审工作。
5、项目管理部:a、每年通过招标的形式确定与供应商的合作,并与印刷公司、翻译公司签订保密协议,以确保外部打印、翻译的安全。b、报告发送采用pdf格式,并设置开启密码。c、严格报告借阅和赠送审批手续。d、要求各部门严格遵守研究报告四级质量控制体系规定,加强审核流程的管理。d、要求研究部门严格遵守“研究报告四级质量控制体系”规定,加台研究报告的审核流程。
e、合同设专人管理
6、各业务部门:各产业研究中心、咨询中心有关保密的电子资料都由部门总经理或项目负责人保管或存放,并加锁。
7、办公室:a、设置档案管理专人保管和借阅审批制度。b、加强办公区域的安全防盗管理,增加监控摄像装置。c、为保障公司服务器的安全,未经公司计算机系统维护员同意,不得私自操作服务器。
*公司信息安全保密工作下一阶段需要继续完善的地方:
1、进一步加强日常对员工的多种形式的保密培训工作。尤其是强化新员工入职培训。
2、进一步细化员工离职的交接程序,进一步严格劳动合同的管理。
3、多与各兄弟单位交流,学习借鉴先进经验。
4、财务部门、人力资源部门、项目管理部设置专用打印机。
5、加强各公司各业务部门对专项咨询保密工作的管理,并与客户签订《保密协议》。
篇3
2015年是网络强国战略的起步年。网络强国离不开自主可控的安全技术支持,只有实现网络和信息安全的前沿技术和科技水平的赶超,才能实现关键核心技术的真正自主可控,才能实现从战略层面、实施层面全局而振的长策。当前,信息网络应用飞速发展,技术创新的步伐越来越快,云计算、大数据、移动网络、物联网、智能化、三网融合等一系列信息化应用新概念、新技术、新应用给信息安全行业提出新的挑战。同时,国际上网络安全技术事件和政治博弈越来越激烈和复杂,“工业4.0”时代对网络安全的冲击来势汹涌。我们需要全民树立建设网络强国的新理念,并切实提升国家第五空间的战略地位和执行力。本次会议的主题为“科技是建设网络强国的基础”。
二、征文内容
1. 关于提升国家第五空间的战略地位和执行力的研究
2. 云计算与云安全
3. 大数据及其应用中的安全
4. 移动网络及其信息安全
5. 物联网安全
6. 智能化应用安全
7. 网络监测与监管技术
8. 面对新形势的等级保护管理与技术研究
9. 信息安全应急响应体系
10. 可信计算
11. 网络可信体系建设研究
12. 工业控制系统及基础设施的网络与信息安全
13. 网络与信息系统的内容安全
14. 预防和打击计算机犯罪
15. 网络与信息安全法制建设的研究
16. 重大安全事件的分析报告与对策建议
17. 我国网络安全产业发展的研究成果与诉求
18. 其他有关网络安全和信息化的学术成果
凡属于网络安全和信息安全领域的各类学术论文、研究报告和成果介绍均可投稿。
三、征文要求
1. 论文要求主题明确、论据充分、联系实际、反映信息安全最新研究成果,未曾发表,篇幅控制在5000字左右。
2. 提倡学术民主。鼓励新观点、新概念、新成果、新发现的发表和争鸣。
3. 提倡端正学风、反对抄袭,将对投稿的文章进行相似性比对检查。
4. 文责自负。单位和人员投稿应先由所在单位进行保密审查,通过后方可投稿。
5. 作者须按计算机安全专业委员会秘书处统一发出的论文模版格式排版并如实填写投稿表,在截止日期前提交电子版的论文与投稿表。
6、论文模版和投稿表请到计算机安全专业委员会网站下载,网址是:.cn。
联系人:田芳,郝文江
电话:010-88513291,88513292
篇4
1 计算机网络安全概述
互联网的发展在影响国家经济、政治、军事等各领域的同时也带来安全风险和健康损害,这是由于互联网有很大的开放性和安全漏洞,不容忽视。中国互联网络信息中心(CNNIC)在京第31次《中国互联网络发展状况统计报告》(以下简称《报告》)显示,我国在2012年12月底已经有5.64亿网民,互联网普及率为42.1%,而在各项指标中,低速增长的传统网络已被手机网络的增长速度所超越。其中手机在电子商务应用和微博用户方面也有较快增长。
我国当前宽带上网人数和网民数世界排名第二,仅次美国,同时人们开始着重关注互联网安全。我国在全面推进信息化战略部署时迫切需要研究和推广相关技术来保证网络与信息安全。相关安全技术需要网络软件公司和专家的分析和研究,以此推进其在国家网络与信息安全领域中的应用以及提高我国的网络和信息安全技术的研究水平。其中相关技术包括安全事件检测与发现技术、蠕虫病毒防范技术、网络应用的安全性分析技术、入侵防御/入侵检测技术、安全事件检测与发现技术、网络模拟与安全评估技术等。
2 计算机网络安全防范的必要性
随着计算机技术和网络技术的发展,对网络安全的需求越来越迫切,信息安全、信息技术也越来越受国际社会的重视。在全球化步伐加快的今天,网络信息安全不仅关系到公民个人信息安全,也关系到国家安全和、社会稳定。结合全球互联网的发展态势与中国互联网的发展经验,我们对大数据时代网络信息安全问题进行一个探讨。
现今网络传播发展有三大背景:市场化、全球化和技术化。这三大背景影响了传播的利益格局,让思想多元化、信息碎片化。而如何在多元化、碎片化的大数据时代寻找客观意义上的“真实”、保障网络信息安全,是所有专家学者关心的问题。根据中国互联网络信息中心的《2012年中国网民信息安全状况研究报告》显示:多年来,我国不断加强网民的信息安全治理,但网络信息安全形势仍然极为严峻。主要问题如下:新型的信息安全事件不断出现,且迅速向更多网民蔓延;导致信息安全事件的情境日益多样复杂化,令网民防不胜防;信息安全所引起的直接经济损失已达到较大规模,接近200亿元;发起信息安全事件的因素已从此前的好奇心理升级为明显的逐利性,经济利益链条已然形成;信息安全事件中所涉及的信息类型、危害类型越来越多,且日益深入涉及网民的隐私,潜在的后果更严重。
根据调查及数据显示,我国有4.2亿手机网民,以18.1%的年增长率快速增长,远超网民的整体增幅。并且网民中用手机上网的比例由原来的69.3%升至74.5%,持续增长的现象巩固了第一大上网终端的地位。相比PC网民(包括台式和笔记本电脑),手机网民的规模仍具有一定差距。同时网络安全也及其重要。
3 网路信息技术与信息战争
新时期,信息不再仅仅只是信息,信息也已经开始成为一种武器。美国是互联网的创始国家,拥有世界最多的网络信息和信息资源,这就是说,如果以后要进行网络战争,美国获胜的希望远远高于其他国家。美国网络监视项目泄密者斯诺登在香港接受媒体采访时称,多年来,美国政府一直针对中国网络发动大规模入侵活动。报道称,自2009年以来,美国已针对中国网络发动了大规模的入侵活动。攻击目标达到数百个之多,其中还包括学校。据悉,美国政府黑客主要通过入侵巨型路由器从而一举入侵成千上万台电脑,而不是分别入侵每一台电脑。
信息战争并不同于网络攻击,虽然可以说美国拥有最先进的网络攻击或者说黑客监控技术,但对于如何进行网络信息监管,这对于包括美国在内的世界多国来说,都是一个新领域。如果单从“棱镜”事件透露出的信息看,美国不仅需要加强与其他国家的合作,如何立法保护信息不被截获,也需要保护这些信息不被斯诺登这样拥有高技术的人泄露。相信完善网络法规还有很长的道路要走。
参考文献:
[1]杨彬.浅析计算机网络信息安全技术研究及发展趋势[J].科技风,2009年20期.
[2]罗涛.浅谈计算机网络安全问题及其对策[J].中小企业管理与科技,2010年12期.
[3]张永侠.浅述计算机网络安全策略[J].科技与生活,2010年13期.
[4]张兴东,胡华平,况晓辉,陈辉忠.防火墙与入侵检测系统联动的研究与实现[J].计算机工程与科学,2004年04期.
[5]靳攀.互联网的网络安全管理与防护策略分析[J].北京工业职业技术学院学报,2008年03期.
[6]赵薇娜.网络安全技术与管理措施的探讨[J].才智,2008年10期.
篇5
(一)计算机及信息网络安全意识不强
由于计算机信息技术高速发展,计算机信息安全策略和技术也有大的进展。设计院各种计算机应用对信息安全的认识离实际需要差距较大,对新出现的信息安全问题认识不足。
(二)缺乏统一的信息安全管理规范
设计院虽然对计算机安全一直非常重视,但由于各种原因目前还没有一套统一、完善的能够指导整个院计算机及信息网络系统安全运行的管理规范。
(三)缺乏适应电力行业特点的计算机信息安全体系
近几年来计算机在整个电力行业的生产、经营、管理等方面应用越来越广,但在计算机安全策略、安全技术和安全措施上投入较少。为保证网络系统安全、稳定、高效运行,应建立一套结合电力行业计算机应用特点的计算机信息安全体系。
(四)缺乏预防各种外部安全攻击的措施
计算机网络化使过去孤立的个人电脑在联成局域网后,面临巨大的外部安全攻击。局域网较早的计算机系统是NOVELL网.并没有同外界连接。计算机安全只是防止意外破坏或者内部人员的安全控制就可以了,但现在要面对国际互联网上各种安全攻击,如网络病毒和电脑“黑客”等。
二、保证网络系统信息安全的对策
(一)建立信息安全体系结构框架
实现网络系统信息安全.首要的问题是时时跟踪分析国内外相关领域信息安全技术的发展和应用情况,及时掌握国际电力工业信息安全技术应用发展动向。结合我国电力工业的特点和企业计算机及信息网络技术应用的实际,建立网络系统信息安全体系一的总体结构框架和基本结构。完善网络系统信息安全体系标准以指导规范网络系统信息安全体系建设工作。
按信息安全对网络系统安全稳定运行、生产经营和管理及企业发展所造成的危害程度,确定计算机应用系统的安全等级,制定网络系统信息安全控制策略.建立适应电力企业发展的网络系统信息安全体系,利用现代网络及信息安全最新技术,研究故障诊断、处理及系统优化管理措施。在不同条件下提供信息安全防范措施。
(二)建立网络系统信息安全身份认证体系
CA即证书授权。一个完整、安全的电子商务系统必须建立起一个完整、合理的CA体系。CA体系由证书审批部门和证书操作部门组成。为保证网络系统信息一和安全.应建立企业的CA机构对企业员工上网用户统一身份认证和数字签名等安全认证,对系统中关键业务进行安全审计,并开展与银行之间,上下级CA机构之间与其他需要CA机构之间的交叉认证的技术研究工作。
(三)建立数据备份中心
数据备份及灾难恢复是信息安全的重要组成部分。理想的备份系统应该是全方位、多层次的。硬件系统备份是用来防止硬件系统故障,使用网络存储备份系统和硬件容错相结合的方式。可用来防止软件故障或人为误操作造成的数据逻辑损坏。这种对系统的多重保护措施不仅能防止物理损坏还能有效地防止逻辑损坏。结合电力行业计算机应用的特点,选择合理的备份设备和备份系统.在企业建立数据备份中心,根据其应用的特点,制定相应的备份策略。
(四)建立网络级计算机病毒防范体系
计算机病毒是一种进行自我复制、广泛传染,对计算机程序及其数据进行严重破坏的病毒,具有隐蔽性与随机性,使用户防不胜防。设计院信息网络系统采取在现有网络防病毒体系基础上.加强对各个可能被计算机病毒侵入的环节进行病毒防火墙的控制,在计算中心建立计算机病毒管理中心,按其信息网络管辖范围,分级进行防范计算机病毒的统一管理。在计算机病毒预防、检测和病毒定义码的分发等环节建立较完善的技术等级和管理制度。
(五)建立网络系统信息安全监测中心
计算机信息系统出现故障或遭受外来攻击造成的损失.绝大多数是由于系统运行管理和维护、系统配置等方面存在缺陷和漏洞,使系统抗干扰能力较差所致。信息安全监测系统可模仿各种黑客的攻击方法不断测试信息网络安全漏洞并可将测出的安全漏洞按照危害程度列表。根据列表完善系统配置,消除漏洞并可实现实时网络违规、入侵识别和响应。它在敏感数据的网络上.实时截获网络数据流,当发现网络违规模式和未授权网络访问时,自动根据制定的安全策略作出相应的反映.如实时报警、事件登录、自动截断数据通讯等。利用网络扫描器在网络层扫描各种设备来发现安全漏洞.消除网络层可能存在的各类隐患。
篇6
360或将发力企业级安全市场
在当天的大会上,360公司董事长兼CEO周鸿祎发表主题演讲,分享如何以创新方式应对网络安全。他指出,在目前终端快速发展的形势下,单纯的终端管理软件已经无法完全有效的防御,在APT(有针对性的高密度持续攻击)和0DAY漏洞的威胁下,未来企业安全的发展趋势更多的是依靠云安全与“边界”来实现。
对于如何应对APT的具体问题,周鸿祎指出,传统的黑名单模式已经失效,预防APT要用白名单,同时对未知程序进行沙箱或者蜜罐的检测,及时捕获未知威胁。同时周鸿祎提出,在他前段时间去以色列考察期间,发现未来的企业安全趋势将是云计算+大数据,采集企业网络流量的完整数据然后在云端进行建模,再对异常流量进行监测报警。
神秘产品“360天眼”:周鸿祎介绍,国外有一家专门做APT防御的公司“FireEye”刚刚上市,美国国防部等都在用该公司的产品,大概原理就是在企业的系统上加载虚拟机器,任何进出客户系统的数据都要经过虚拟机器,经过层层分析后再将安全流量导出,阴止恶意的数据包进入客户系统。同时周鸿祎提到,360公司已经有同类的产品“360天眼”,即企业全流量侦听和未知威胁捕获产品,已经通过国家权威部门的测试,产品很快就会。
移动安全:周鸿祎指出,之前很多国外互联网巨头把给员工发黑莓手机当成一种很荣耀的福利,但随着员工用手机、平板电脑进行办公,BYOD(员工自带计算设备)问题也成为了企业信息安全一个非常头疼的问题,这个问题也将是未来安全的一个大问题,360已经研发专门针对企业BYOD威胁的移动安全产品“天机”,近期也会。
网络安全是全球性的问题
一项统计数据显示,全球95%的网络已经被渗透,很多网络无需后门程序就能够完成攻击。例如,90%的成功攻击仅需要基本的技能,85%的攻击5个月后才能被发现,75%的攻击利用已知公开漏洞,而这些漏洞本可以通过定期修复来避免,95%的网络攻击通过简单的修补能够完成预防。
国际资深网络安全专家詹姆斯·刘易斯认为,网络安全是一个全球性问题,各国在网络空间是一个你中有我、我中有你的“命运共同体”。尤其随着网络空间的无限延伸,原有的安全孤岛将不复存在,脆弱的技术、网络匿名等容易被一些国家、地区和个人为所欲为的利用。因此,要保证用户不遭受网络威胁、建设安全的网络,需要国际、国家和企业共同努力。
针对一触即发的网络战争和日益增长的网络威胁,詹姆斯·刘易斯却也表示出了谨慎的乐观态度,他说“网络空间和互联网并不难管制”,国际社会正在定义在网络空间中负责任的行为,目标是让网络空间正规化。
更多的古老漏洞正在被利用
“被恶意程序利用的新漏洞的数量在2010达到顶峰,随后便逐年下降。但这并不是因为系统或软件更加安全了,而是因为,越来越多的老的漏洞正在被利用。”反病毒测试机构AV-Test CEO安德烈亚斯·马克思(Andreas Marx)在大会上这样说。
AV-Test是全球公认的三大反病毒测试机构之一。马克思的此次演讲主题是《反病毒技术趋势》。马克思表示,AV-Test平均每天可以收集20万至25万个新的恶意程序样本。“当我们在这里谈话的几分钟里,已经又有几十个新的病毒诞生了”。而Windows Shortcut(快捷方式),PDF、Java、Flash、HTML和微软Office文件是被恶意程序利用最多的文件格式类型, 也是漏洞爆发的重灾区。马克思甚至调侃这些文件格式是“麻烦制造者”。
从恶意程序的攻击方式上来看,马克思认为,现今绝大多数的恶意程序都是被用户手动运行或激活的,这与前些年恶意程序会在用户不知情的情况下自动发动攻击有所不同。
安全重点将转向关键应用和数据
高德纳咨询公司(Gartner)研究副总裁彼得·福斯特布鲁克(Peter Firstbrook)出会并发表了“互联网新兴威胁与挑战”的主题演讲。彼得提出未来企业信息安全应重新调整重点,将安全生命周期的焦点放在对关键应用高级的、有针对性的APT攻击防御上。
彼得指出,大数据时代信息泄露的代价异常高昂,对企业而言,重大安全事件将产生难以预估的经济损失。LinkedIn、RSA、索尼等公司均曾在重大安全事件中损失过百万美元。但是,由于数据恢复的经济成本也在不断增加,信息及数据本身变得尤为重要,传统以基础服务预防为主的安全策略将面临失效。
彼得介绍说,某权威调查机构的调查结果显示,企业在发现感染恶意软件时与恶意软件发起攻击之间存在243天的时间,同时仅有63%的企业能发现感染状况,大多数企业在数据泄露前甚至都不知道自己被攻击过。在企业信息安全的整个生命周期里,传统安全解决方案中最重视的“防护”环节,已不再是重点环节,企业需要更加重视“检测”和“策略”环节,当信息“防护”出现漏洞时,或安全策略失效时,可迅速通过“检测”功能捕获需要的信息,来判断信息的感染程序,并快速反应采取补救措施。
最后,彼得强调,面对未来针对信息本身的恶意攻击,信息保护、快速响应和情报共享将成为未来信息安全策略基础的重心。他建议,在终端安全方面,企业应增加对策略的关注来预防恶意软件感染,同时加大在信息保护与信息追踪方面的投入,减少恶意软件的停留时间,将安全重点转向关键应用和数据的保护上来。
《互联网时代的企业安全发展趋势》报告出炉
随着棱镜门事件的发酵,国家级网络安全成为信息领域的一个焦点话题。国际著名信息技术研究分析公司Gartner在ISC上携手360公司本年度重量级研究报告——《互联网时代的企业安全发展趋势》。报告中就未来企业面临的安全挑战,诸如无法回避的APT(高级持续性威胁)攻击,IT业对大多数用户消耗设备或服务占有率的降低,以及企业为防范攻击花费的巨额信息安全费用等问题,进行逐一分析。
权威咨询公司Gartner研究表明,到2020年,企业所面临的安全威胁将会更加多样化,不仅仅是企业资产,员工个人也可能遭到直接的攻击。另外,虽然有些企业采用了统筹协调的安全管理,但有些企业的安全管理仍相对松散,因此针对每种不同的具体情况,企业应对攻击的响应方式也会有所不同。为此,360公司特与Gartner共同合作,就互联网时代的企业安全趋势撰写了此《互联网时代的企业安全发展趋势》研究报告,希望能够对大数据、云计算与移动互联网时代下,企业安全面临的主要挑战与未来趋势进行总结,并针对企业用户提出具有针对性的建议。
篇7
公司拥有大量的网络、服务器、存储等高、中、低端备机,可为高端客户随时提供“灾备”、紧急救援、备件更换及维修等服务。同时公司还向客户提供IT系统评估和优化等高端现场咨询服务。在更高层面的IT管理系统上,公司可以提供自己研发的国际上技术领先的ROCS及CTS产品,可根据客户的需要提供全面的系统管理产品,帮助客户在应用和管理上更上一层楼。
在技术培训方面,公司的培训部能够提供全面的与网络建设和网络管理相关的全套培训,使得客户的业务水平与网络建设、网络使用、网络管理达到最好的匹配。
二、合作单位关键需求
1. 开拓网络安全产品市场的需求
目前,汇通时代要以提供一揽子的网络设备解决方案为其主要业务,同时辅以提供业务管理系统的业务。近年来,网络安全事故频发。其中不乏有一些大型的网站安全事故,如2011年的美国花旗银行被黑客侵入,21万北美地区银行卡用户的姓名、账户、电子邮箱等信息或遭泄露。WEB技术的广泛应用更将网络安全的问题推到风口浪尖。近年来,互联网渗透率持续提高,互联网商务化趋势明显,而信息安全形势的不断恶化使得企业对于信息安全的投入意愿加强,纷纷将网络和计算机安全提上日程,也使得行业发展面临前所未有的机遇。为此,汇通时代计划拓展已有的产品线,为客户提供与原有硬件设备可以无缝对接的协同安全系统产品线。
2.对新兴网络安全技术的跟踪需求
当前,正是由于企业正面临着比过去更复杂的安全威胁,除传统的黑客攻击、病毒传播之外,利用系统漏洞、兼具黑客和病毒特征的蠕虫,也越来越难以防范。传统的安全技术及产品通常只能防御单一威胁。因此,在单一的硬件平台下,集成多种安全防护手段的产品,逐渐受到广泛的重视。正是基于以上原因,在开展产品拓展计划之前,汇通时代希望能系统搜集国内国外已处于应用中的各类网络安全技术及其研究报告。同时,互联网的发展永远有着不可预知性。没有人能够预料互联网十年的发展。如云技术、统一通信技术、无边界网络的蓬勃发展, 都决定了本产品拓展计划必须保持对新兴技术的高度关注与持续跟踪。
三、解决方案及实施计划
1. 文献检索范围:
国内数据库及部分网上资源:
数据库名称 文档号 年限
中国学术会议论文数据库 CACP 1986-2013
中国重大科技成果数据库 ZDCG 1981-2013
中国学位论文数据库 CDDB 1989-2013
中国公司企业产品数据库 CECDB 2013年版
国家级新产品数据库 XCP 2013年版
中文科技期刊数据库 1989-2013
中国期刊全文数据库 CNKI 1979-2013
中国科技经济新闻数据库 1992-2013
中国专利数据库 1985-2013
国家科技成果网
科学引文索引 SCI 1999-2013
美国计算机学会(ACM)电子期刊及会议录
国研网专题数据库
中国企业产品库 INSPEC 1898-2013
2. 检索策略
(1)主题=(网络安全 OR 网络安全产品) AND 技术
(2)主题= 防火墙 OR 安全路由器 OR 虚拟专用网(VPN) OR 安全服务器 OR CA OR PKI OR 用户认证 OR 入侵检测(IDS) OR 安全操作系统 OR 安全数据库 OR 安全管理中心
四、项目预期成果
1.特色与创新之处
(1) 首次利用图书馆信息检索的专业优势,尝试为企业生产运营中的问题提供专业的解决思路与参考咨询;
(2) 综合利用各类数据库,涵盖国内著名数据库与国外知名相关数据库,提供综合性的检索结果,制定合理的检索式,确保检全率与检准率;
(3) 拓展了图书馆的工作范围与工作思路,引领图书馆工作开始走出去。
2.成果形式
咨询报告:《网络安全产品技术跟踪报告》
3.实施范围、受益对象
篇8
信息安全已成为国家安全、社会安全和经济安全的重要组成部分,当前仍面临着巨大压力和挑战,培养高素质的信息安全人员已刻不容缓[1-2]。我国信息安全学科建设虽然已取得了初步的成果,但与发达国家相比,在各方面还存在很大差距[3]。尤其在实践教学方面,存在指导书针对性和层次性不强、还没有建立专业技能训练题库和考核标准、实践教学管理需要进一步完善、资金支持不够等一些问题是普遍现象。如何坚持“工程素质培养”和“专业能力训练”并举,结合国内外的实验教学实践,完善信息安全实践教学体系,在实践教学中加强对学生摸索能力和创新能力的培养,是亟待解决的一个关键问题。
2003年经教育部批准,桂林电子科技大学开始设置信息安全本科专业,并经过充分准备,于2006年面向全国招收了首届58名信息安全专业本科生。该专业秉承“厚基础、重实践、提能力、求创新”的教学理念,依托“广西可信软件重点实验室”、“国家软件与集成电路公共服务平台(CSIP)广西分中心”,以及“无锡软通动力创新实践基地”、“天涯社区互联网项目研发与运营创新基地”、“国信蓝点企业人才定制实训平台”等,为培养高素质的信息安全创新人才,并以国家特色专业为建设目标,将教学与科研紧密结合,调整优化信息安全专业教学体系,开展了全方位、多层次的信息安全专业实践教学模式改革工作,建立了实践教学资源共享机制,形成了自然科学与人文科学结合、理论培养与技能训练结合的特色。
1 重视实训基地建设工作
信息安全专业的大量课程与社会实践密切相关,所以我们一直重视建设产学研一体化的信息安全实训基地,加强与信息产业部门的合作,为学生创造到企、事业单位顶岗实习的机会,打通学生与社会接轨的渠道,使学生能够明白真正的社会需求,使其得到既实际又规范的训练。
近年来,我们加强了创新性实训基地建设,包括校内固定性和校外流动性二类。一方面,持续完善已有的实训基地,整合和优化资源配置,努力将基地建设成为培养学生动手能力、形成创新意识、提升创新能力的中心。另一方面,除了努力开辟新的校企合作实训基地与模式,还利用中央财政支持地方高校发展专项资金项目契机,建设新的“信息对抗与网络安全实验平台”、“信息安全技术研究中心”等实训平台,进一步整合实验仪器和设备资源,配置专业设计与分析软件,加大经费投入,改善硬件条件,坚持教育教学与生产劳动、社会实践相结合。这样既能为当地政府的社会性工作服务,也能为学院建立更广泛的学生实训平台服务,最终为信息安全专业学生提供很好的实践锻炼平台。
2 培养学生多层次与多方向的实践能力
使学生通过分层次和多元化的实训锻炼,真正提高处理和解决实际问题的能力,提高信息安全人才的综合素质。在实践教学上按以下层次内容建设。
(1)基础训练层:主要目的是培养学生的信息安全基本实验操作能力,包括网络配置型实验、安全验证型实验和网络诊断型实验。该层的实践教学目标是掌握信息安全核心课程中的设备操作使用方法,加深巩固信息安全专业核心课程有关内容,为后面的专业课程实验打好基础,使学生具备一般的网络信息安全有关的测试和配置技术,熟识几种基本的信息安全仿真工具和技术,对常用的各类计算机网络,如NT、Novell、Linux等网络与服务连接、微机故障排除技术等能达到熟练的程度。
(2)综合设计层:主要目的是提高学生的信息安全系统的综合设计能力和应用能力,主要内容包括信息安全实验课程中的课程设计、工程设计、综合应用开发实验、加密系统、IDS入侵检测系统、防火墙技术、病毒的防范、黑客攻击与防范、电子商务、以及认证管理模拟训练、系统仿真和部分毕业设计等。该层的实践教学目标是掌握系统综合设计的整体流程,熟悉几种信息系统开发平台,掌握网络信息系统安全的设计方法、开发和测试过程,使学生具有系统的科学思维方式,综合运用基础知识与专业知识的能力。
(3)探索创新层:主要目的是促进学生运用综合实践技能进行科学研究和探索的能力,激发其创新意识和兴趣,激励学生个性发展,主要方式包括本科生科研训练课题、研究创新型实验、各类创新性实验计划、各种研究基金课题、以及各级信息安全竞赛或学科竞赛等。该层的实验教学目标是熟悉信息安全主题的探索过程并掌握科研方法,掌握实际信息系统的安全原理,使学生具有撰写一般科研论文和研究报告、能够进行学术探索性研究与学术交流的能力。
以上这种多层次多方向的实践教学平台,既加强了信息安全基本技能的训练,又注重综合能力的提高,还强调了创新素质的培养,能够满足并有利于学生在信息安全理论与技术方向的个性化发展。
3 提高学生信息安全项目科研创新能力
鼓励申报和实施各级大学生创新性实验计划项目是培养学生科研实践能力和创新能力的重要环节。我校于2008年获教育部批准成为第二批“国家大学生创新性实验计划”项目实施单位,此外,还有广西区级和校级大学生创新性实验项目,都为信息安全专业学生开展创新性实验研究提供了广泛的途径和经费支持,培养了学生对学科前沿、热点问题和亟待解决的问题的“提出—研究—解决”的兴趣,以及针对问题的辨析和探索求知的能力。截止2012年6月底,由信息安全专业本科生直接参与或主持的各级创新性实验项目已超过15余项。从实际效果来看,经历这些项目申报、实施、考核和结题的本科生的综合素质和科研创新能力均得到了显著地提高,这些既促进了信息安全创新实践平台的良性发展,也为选拔优秀学生进入教师科研项目、参加各类信息安全竞赛、评选优秀本科毕业生和推荐免试研究生等提供了人才资源储备。
4 结语
实践教学是信息安全专业教学的重要环节。通过多年实训基地的建设与探索,桂林电子科技大学信息安全实践教学平台已初步建立,以培养学生的创新实践能力为核心,并融入新的管理思想,充分体现了理论学习与实践创新的紧密结合,为培养复合型、创新型工科类人才提供了新思路,对深化工科类本科专业的实践教学改革起到了良好的示范作用。
参考文献
篇9
1 引言
第三方支付行业在近几年迎来了快速发展,特别是2011年对于我国的第三方支付行业来说是具有里程碑意义的一年,央行在2011年开始颁发非金融机构支付业务许可证,支付许可证的颁发反映出国家开始从制度政策层面规范第三方支付行业的发展,同时也对第三方支付行业的安全性提出了要求。因此,如何从信息系统安全角度对诸多第三方支付工具进行全面的评价,这将对网上支付以及网络购物的发展具有十分重要的现实意义。
当前国内外第三方支付行业的发展存在巨大差异,国外专门针对第三方支付安全的研究较少,而国内也只是部分学者在进行研究时内容会涉及到第三方支付的信息安全。赵德志基于项目管理视角对第三方支付进行了风险识别,认为第三方支付系统存在几种风险,分别是外部风险、组织风险、项目管理风险、技术管理风险,并对风险来源进行了细化,但该研究并未深入对第三方支付系统的安全风险进行有效评价。
以上研究对第三方支付市场存在的风险进行了一定的分析,但上述研究仍存在着一定的不足,主要体现在相关研究并未从信息安全的角度深入剖析第三方支付平台自身支付业务流程所可能存在的脆弱性以及防范重点,也没有对第三方支付进行流程再造提出相关建议,因此对于第三方支付安全事件的发生无法起到实质性的遏制,本文将从信息安全风险评估的角度对第三方支付系统进行深入研究。
下文将基于对第三方支付平台的一般支付流程和相关案例的定性分析,运用威胁树方法学,构建针对第三方支付的威胁树分析模型,并基于德尔菲法选择当前主流第三方支付平台进行信息安全评估,从而为用户从安全视角对第三方支付平台进行选择提供参考依据。
2 威胁树模型
2.1 威胁树定义及基本结构
2.2 威胁树的修剪
一个威胁的实现需要威胁即攻击者具有一定级别的能力。攻击者取决于下列因素:攻击成本、专门技术知识或工具、被逮捕和惩罚的概率等。叶子结点的指标值由分析者直接输入,数据来源可以是调研数据,历史事件资料以及方法评估获取,非叶子结点通过指标函数获取,根据并联关系和串联关系的不同而不同。可以根据结点某一指标作为阈值对威胁树进行修剪,“剪去”所有超过或低于某一阈值的路径,修剪过的树的集合(可以认为是图形的覆盖图)代表着所有威胁可能使用的可行的威胁完全集,从攻击的角度来讲是一个可行的攻击集,也就是最小威胁树。从预防的角度讲,是采取安全策略时应重点考虑的。
3 威胁树模型
3.1 基于威胁树的第三方支付系统信息安全评价模型构建
通过第三方支付业务流程以及对收集到的大量安全事件的定性分析,第三方支付系统信息安全事件的典型特征有几点:
1)第三方支付系统面临的最大风险是账户操作过程中的可支付余额;
2)第三方支付系统安全事件的发生一般是该两项密码通过各种手段如钓鱼网站、促销信息、升级提醒等手段被盗取;
3)某些木马病毒如支付宝大盗、浮云木马病毒,在支付环节通过篡改支付协议交换过程中的付款账户和金额等方式实现更具隐蔽性盗取;
4)部分案例显示数字证书可以通过一定手段绕过从而盗取用户资金,此环节可能存在重大安全隐患。
因此,根据威胁树方法学,可得到以下第三方支付的威胁树分析模型。
a) 第三方支付系统威胁树的修剪
根据威胁树方法学,可以通过某种指标比如攻击成本、攻击能力、成功概率等对威胁树进行修剪,本文拟采取德尔菲法的形式,邀请相关业内专家针对威胁攻击系统的可能性进行打分,从而对第三方支付系统的威胁树进行修剪,具体实施将在下文讨论。
4 第三方支付系统信息安全风险评估的实施
根据易观国际的最新数据显示,本文拟选取两个典型的第三方支付工具,支付宝和快钱进行对比分析。
5 第三方支付平台的风险管理
结合上述两个具体的第三方支付工具的最小威胁树,提出若干风险管理建议。
第一,加强用户操作的主体性认证,增加实时性主体认证手段,如手机短信,动态口令等手段。特别改变账户操作仅依靠密码进行的流程,从而增强安全性;目前一些主流的第三方支付工具,仅在安装数字证书,快捷支付等情况下才使用手机验证码,因此建议在转账、更换手机、提现等操作关键操作时,额外增加实时身份验证手段。
第二,针对数字证书用户,应加强对数字证书申请、取消环节的管理,进行必要的身份认证;并且建议增加对账户登录、异地操作的实时提醒,以提高账户的安全性,而此种服务目前多数第三方支付工具尚未提供。
第三,加强对用户的教育,提醒用户识别常用的诈骗手段,如图5中所示的“防冒客服”以及“短信升级”等手段。
6 结束语
本文运用威胁树分析模型对第三方支付系统的安全性进行了全面评估,并选择当前主流的第三方支付平台进行的评估实施,并基于评估提出了针对性的安全建议和对策,从而为用户识别和选择第三方支付工具提供了一定的参考依据。本文的数据采用德尔菲法获取,该方法存在着一定的主观性,是未来研究应当着力改进的地方。
参考文献
[1] 中国互联网络研究中心.中国网络支付安全状况报告[Z].北京,2012.
[2] 金山网络公司.2011-2012中国互联网安全研究报告[Z].
[3] 中国人民银行.《支付机构互联网支付业务管理办法》征求意见稿[R],2012.
[4] 赵德志.第三方支付公司的发展与风险研究[D].北京:北京邮电大学,2007.
[5] GB/T 20984-2007 信息安全技术信息安全风险评估规范[S].2007.
[6] 王孝良,崔保红,李思其.关于工控系统信息安全的思考与建议[J].信息网络安全,2012,(08): 36-37..
[7] 许春,李涛,陈兴蜀,刘念,杨进.危险信号在实时网络安全风险评估中的应用[J].电子科技大学学报,2007, (S3):74-77.
[8] 李良.中国电子银行风险评估研究[D].大连:大连理工大学,2010.
[9] 曹子建,赵宇峰,容晓峰.网络入侵检测与防火墙联动平台设计[J].信息网络安全,2012,(09):12-14.
[10] Schneier B."Attack Trees",Secrets and Lies[M].New York:John Wiley and Sons,2000:318-333.
基金项目:
篇10
Zhang Jian li Ding-bo
(Hainan University,College of Information Science and Technology HainanHaikou 570228)
【 Abstract 】 Currently,The piratic phenomenon of electronic information product is serious, in order to solve this problem, we have developed a new type of digital information security transmission platform, which is based on two patented technologies of professor Gu Jian in Information Institute of Hainan University, the detailed name of two patents are" complexity controllable in any period to meet the public random sequence system and method" and" the same channel independent authorization digital information safety transmission method and system". The platform plays the very good protective function on copyright.
【 Keywords 】 piracy; information; safety; platform
1 引言
2009年,中国电子信息产业市场规模已达5368亿元,随着数字内容在各地的深入建设,诺达咨询《2010年中国数字内容产业研究报告》预计,2010年中国电子信息产业规模有望达到6350亿元而再创新高。根据艾瑞咨询最新统计的数据显示,2011年第三季度中国网络经济整体规模达到716.1亿元,环比上涨17.1%,同比上涨72.7%。
然而在网络经济在高速发展的今天,网络数字信息产品的版权保护面临着巨大的压力,每年因为数字信息盗版产生巨大的经济损失。相关统计显示,盗版网络文学造成的每年损失约40亿—60亿元,数字音乐每年因盗版损失上百亿元。
为了解决上述互联网上电子信息产品盗版泛滥问题,这里我们提出一套解决方案,建造一个保护电子信息产品版权的新型数字信息安全传播平台,专门为保护电子信息产品版权提供一套系统化规避盗版的方法。
2 平台概述
首先,通过与数字信息产品(文档、图片、视频、音频)版权所有者合作,取得独家授权。
其次对数字信息产品进行加密处理,然后将经过加密的产品上传至平台网站。用户可以通过该网站免费下载所需要的数字信息产品并向平台服务器申请获取产品的唯一解密授权码,而后与相应的硬件加密设备结合解密后,使用该产品。其中,具体授权过程可描述为:依据客户需求,授权可以对一个产品终生授权使用,也可以授权一次、或有限次数、或一段时间内、或固定时段内使用。
当然,产品因加密的原因,只可能在新型数字信息安全传播平台专用的播放设备(简称播放设备)上,并且在授权码的控制下使用。这会降低灵活性,但在安全性方面是过硬的。
新型数字信息安全传播平台的授权码,是一对一的,即每一个授权码都只对应一台播放设备和一个产品,在其他播放设备和产品上这个授权码是无效的,播放设备是全球惟一编号的,任意一台播放设备的编号都不与其他设备重复,并安全存储于安全模块中,且在播放时参与解密工作。依据这些技术,平台能保证凡是经过我们平台处理并投放市场的数字产品无盗版发生或者即使发生盗版也可以迅速发现盗版源头并予以追究法律责任。
3 技术背景
篇11
* 韩国SK通信的信息外泄事件影响南韩35万使用者,趋势科技发现一只名为BKDR_SOGU.A的后门程式与此信息你外泄事件有关。此恶意程序读取存于被感染系统中的资料库,并接收来自网络犯罪者远端发送的命令至被感染的系统,影响信息安全。
* 趋势科技发现osCommerce,这一全世界非常受欢迎的开放原始码免费购物车程序上的漏洞,导致约九万个网页已被植入恶意程序框架 (iframe)。
* Google 已超越 Microsoft 成为软件漏洞通报数量最多的厂商,本季共有 82 个,这主要是因为普及率大增的 Chrome 浏览器所存在的漏洞所致。排名第二的是 Oracle,共 63 个,Microsoft 则降到第三名,共 58 个。
* 趋势科技威胁分析师发现一种新的 DroidDreamLight 恶意程序变种,此变种具备更强大的功能和危险性。该变种会伪装成电池电量监控程式,或是可查看执行中程式的系统工具,宣称可让使用者查看 Android 系统已安装应用程式所需使用的权限,这个新的 Android 恶意程式在中文第三方应用程式商店上随处可见。
* 今年 7 月前半月,趋势科技研究人员发现一个专门以提供免费 Google+ 社交网络试用邀请函为由,引诱使用者点选恶意连结的网页。使用者点选之后,并不会收到邀请函,反而是获得所谓参加问卷调查的「机会,此「机会让使用者陷于个人资料外泄的危险当中。
* 此外,LinkedIn 的使用者也同样遭遇宣称提供小贾斯汀 (Justin Bieber) 影片的恶意连结,此连结将使用者重新导至恶意网站。
重大信息安全斩获
篇12
国家电子政务工程建设项目管理暂行办法的目的
出台管理办法力求通过对重要环节的严格把握,对需求分析、资源共享、招标投标等关键点实行有效控制,努力做到需求不清的项目不批,贪大求洋的项目不批,做不到互联共享的项目不批,提高电子政务工程质量,发挥国家投资效益,实现电子政务工程建设的总体目标。
出台国家电子政务工程建设项目管理暂行办法的原因
出台电子政务工程建设项目管理办法首先是扎实推进电子政务发展的需要。《国家信息化领导小组关于我国电子政务建设指导意见》后,我国政务信息化建设取得重大进展,作用日益显著,已经步入了资源共享、业务协同的发展阶段。但也存在一些迫切需要解决的突出问题,严重制约了电子政务的健康有序发展。因此,需要通过制定管理办法来明确立项规则,强化项目管理,约束政府投资行为,遏制盲目建设风潮。
其次,是规范审批程序和要求的需要。项目审批时间过长是目前项目建设单位普遍反映的突出问题,通过研究,我们发现最主要的是项目建设单位不能在规定期限内提出符合审批要求的立项或可研报告,许多时间被用在对项目方案的反复讨论、调整和修改中。这其中虽有申报部门缺乏项目组织经验,申报、审批部门间缺少有效沟通等方面的原因,但很大程度上是由于规则不清、程序不明造成的。因此,有效解决政务信息化项目审批时间长的矛盾,必须从制定管理办法、规范审批程序、明晰审批规则、改善审批服务这一关键环节入手。
第三,是强化政务信息化项目管理的需要。电子政务工程与传统基础设施项目有着完全不同的建设管理特点和规律。电子政务工程从任务提出到建设、营运,目前均为同一政务部门,项目建设后能否发挥应有效益,取决于政务需求的挖掘深度和现行法规、管理体制对系统的支持程度。因此,需要有比普通基建项目更为严格的制约和管理机制,做好立项前的咨询服务尤其重要。
国家电子政务工程建设项目管理暂行办法的主要内容
管理办法分为正文和附件两大部分。其中,正文共九章三十八条,主要是对国家电子政务工程的项目审批管理、建设管理、资金管理、监督管理、验收评价管理、运行管理等重要环节的程序和管理进行规范,对项目建设主体和审理、监管部门的责任、权力做出明确规定。管理办法有四个附件,均是项目实施过程中的操作性规定,包括:项目建议书编制大纲、可行性研究报告编制大纲、初步设计及概算报告编制大纲、项目验收大纲。管理办法中对国家电子政务工程全过程进行了规范,具体解读如下:
什么是国家电子政务工程
第二条 使用中央财政性资金的国家电子政务工程建设项目(以下简称“电子政务项目”)。
第三条 本办法所称电子政务项目主要是指:国家统一电子政务网络、国家重点业务信息系统、国家基础信息库、国家电子政务网络与信息安全保障体系相关基础设施、国家电子政务标准化体系和电子政务相关支撑体系等建设项目。
国家电子政务工程涉及的部门及分工
项目建设单位:中央政务部门和参与国家电子政务项目建设的地方政务部门。
项目建设单位职责:负责提出电子政务项目的申请,组织或参与电子政务项目的设计、建设和运行维护。
项目审批部门:国家发展改革委员会。
项目审批部门职责:负责国家电子政务建设规划的编制和电子政务项目的审批,会同有关部门对电子政务项目实施监督管理。
国家电子政务工程的约束
国家电子政务工程须严格执行项目的建设流程和验收流程。
建设流程应包括:申报和审批管理、建设管理、资金管理、监督管理、验收评价管理和运行管理。
验收流程应包括:初步验收(初验前可组织分项验收或专项验收)、竣工验收和工程后评价。
国家电子政务工程的申报和审批
第六条 项目建设单位应依据中央和国务院的有关文件规定和国家电子政务建设规划,研究提出电子政务项目的立项申请 。
第七条 电子政务项目原则上包括以下审批环节:项目建议书、可行性研究报告、初步设计方案和投资概算。对总投资在3000万元以下及特殊情况的,可简化为审批项目可行性研究报告(代项目建议书)、初步设计方案和投资概算。
申报:建设单位提出立项申请。
审批环节:项目建议书、可行性研究报告、初步设计方案和投资概算,其中,项目建议书不属于必需环节,即在一定条件下,可省略该步骤。同时,初步设计方案和投资概算是同步申报内容,不是先后关系。
第十三条 项目审批部门对电子政务项目的
项目建议书、可行性研究报告、初步设计方案和投资概算的批复文件是项目建设的主要依据。批复中核定的建设内容、规模、标准、总投资概算和其他控制指标原则上应严格遵守。
项目可行性研究报告的编制内容与项目建议书批复内容有重大变更的,应重新报批项目建议书。项目初步设计方案和投资概算报告的编制内容与项目可行性研究报告批复内容有重大变更或变更投资超出已批复总投资额度百分之十的,应重新报批可行性研究报告。项目初步设计方案和投资概算报告的编制内容与项目可行性研究报告批复内容有少量调整且其调整内容未超出已批复总投资额度百分之十的,需在提交项目初步设计方案和投资概算报告时以独立章节对调整部分进行定量补充说明。
调整额度:超过10%与未超10%的操作环节截然不同。未超过,则只需在初设报告中单列章节说明调整情况,如超过,则必须重新申报项目可研,一般此审批时间会较长。
国家电子政务工程的建设管理
第十六条 电子政务项目采购货物、工程和服务应按照《中华人民共和国招标投标法》和《中华人民共和国政府采购法》的有关规定执行,并遵从优先采购本国货物、工程和服务的原则。
第十八条 电子政务项目实行工程监理制。项目建设单位应按照信息系统工程监理的有关规定,委托具有信息系统工程相应监理资质的工程监理单位,对项目建设进行工程监理 。
注意进口产品采购:如果国产设备不能完全满足项目需求,需要进行进口设备采购,应按财政部财库[2007]119号文件《政府采购进口产品管理办法》规定向财政部报批,周期在30天左右。
监理依据:强化了信息系统监理的工程依据。
第十九条 项目建设单位应于每年七月底和次年一月底前,向项目审批部门、财政部门报告项目上半年和全年建设进度和概预算执行情况。
项目进展情况报告:加强过程中与项目审批部门及财政主管部门的联系,为后续项目整体验收打好基础。
第二十二条 项目建设单位在可行性研究报告批复后,可申请项目前期工作经费。项目前期工作经费主要用于开展应用需求分析、项目建议书、可行性研究、初步设计方案和投资概算的编制、专家咨询评审等工作。项目审批部门根据项目实际情况批准下达前期工作经费,前期工作经费计入项目总投资。
前期工作经费:需要注意前期工作经费的归垫。
国家电子政务工程的验收评价管理
第二十九条 电子政务项目建设实行验收和后评价制度。
第三十条 电子政务项目应遵循《国家电子政务工程建设项目验收工作大纲》(附件四)的相关规定开展验收工作。
两个阶段:项目验收包括初步验收和竣工验收。验收包括工程、技术、财务、档案等四个方面;
初步验收由项目建设单位按照《验收工作大纲》要求自行组织;
竣工验收由项目审批部门或其组织成立的电子政务项目竣工验收委员会组织;
对建设规模较小或建设内容较简单的电子政务项目项目审批部门可委托项目建设单位组织验收。
第三十一条 项目建设单位应在完成项目建设任务后的半年内,组织完成建设项目的信息安全风险评估和初步验收工作。
初步验收合格后,项目建设单位应向项目审批部门提交竣工验收申请报告,并将项目建设总结、初步验收报告、财务报告、审计报告和信息安全风险评估报告等文件作为附件一并上报。
项目审批部门应适时组织竣工验收。
项目建设单位未按期提出竣工验收申请的,应向项目审批部门提出延期验收申请。
第三十二条 项目审批部门根据电子政务项目验收后的运行情况,可适时组织专家或委托相关机构对建设项目的系统运行效率、使用效果等情况进行后评价。
后评价认为建设项目未实现批复的建设目标或未达到预期效果的,项目建设单位要限期整改;对拒不整改或整改后仍不符合要求的,项目审批部门可对其进行通报批评。
项目后评价的基本内容主要包括项目效益评价、项目影响评价、项目过程评价和项目持续性评价。
项目效益评价是通过项目建成投入使用后所产生的实际效益与可行性研究时所预测的经济效益的比较,评价时常预测是否准确,项目投资是否值得,并以项目投入使用后实际取得的数据为基础,重新计算项目的各主要投资效益指标,与当初预测值进行比较,从分析效益目标实现程度和产生的偏差的原因中总结经验教训,找出改进措施,为提高项目的投资效益和投资决策水平服务。
项目的影响评价主要是指对项目给所在地区经济、社会、技术
和文化等带来的影响进行评价。主要是从项目的外部作用和影响来分析和评价特定项目的优势和缺点,分析项目对国家或地区社会发展目标的贡献和影响。
项目的过程评价是根据项目效益和影响评价中发现的变化和问题,对照项目立项时所确定的目标和任务,分析和评价项目执行过程,从中找出原因,总结经验教训。过程评价主要依据国家现行的有关法令、制度和规定,对项目的工程技术水平、管理水平和决策水平进行分析。其主要内容包括:前期工作评价;建设实施评价;运营评价;投资执行评价;管理工作评价;技术服务和配套投入评价。
项目的持续性评价是分析项目在建设投入完成之后,项目的既定目标是否还可以持续;项目是否可以顺利地延续进行下去。持续性要考虑政策变化、技术因素、社会文化因素的变化对项目持续性的影响。
项目后评价的结论应该是定性地总结项目的成功度。项目的成功度一般分为五个等级:非常成功的项目,成功的项目,部分成功的项目,不成功的项目,失败的项目,是项目评价专家组对项目后评价的定性和集体结论。项目成功度评价的程序:首先确定评议专家,选定评价因素及其指标,专家个人打分,集体评议,数据处理,得出结论。
项目评价的三个阶段采用的方法没有太大的区别,一般均采用定量与定性相结合的方法。
项目评价从决策的角度看,其核心内容主要是项目的市场评价、技术评价、经济评价和环境评价等。
法律责任
第三十五条 相关部门、单位或个人违反国家有关规定,截留、挪用电子政务项目资金等,由有关部门按照《财政违法行为处罚处分条例》等相关规定予以惩处;构成犯罪的,移交有关部门依法追究刑事责任。
第三十六条 对违反本文由收集整理本办法其他规定的或因管理不善、弄虚作假,造成严重超概算、质量低劣、损失浪费、安全事故或者其他责任事故的,项目审批部门可予以通报批评,并提请有关部门对负有直接责任的主管人员和其他责任人员依法给予处分;构成犯罪的,移交有关部门依法追究刑事责任。
信息工程监理产生的背景
在国家电子政务工程建设项目管理暂行办法颁布后,第十八条明确规定“电子政务项目实行工程监理制。项目建设单位应按照信息系统工程监理的有关规定,委托具有信息系统工程相应监理资质的工程监理单位,对项目建设进行工程监理 。”强化了信息工程监理的政策依据,对信息工程监理行业的发展起到了良好的支持作用。
信息工程监理产生的原因
近年来,我国在信息产业发展和信息系统建设方面取得了巨大成就,积累了宝贵的经验。但是,在信息系统建设的过程中也陆续暴露了许多问题,如:不能满足设计需求、工期拖延、资金超预算、信息泄露等。更严重的是近年来在信息工程建设领域出现了一些“豆腐渣”、“半拉子”工程,极大地浪费了信息化投资。为此,我国信息产业和信息化建设的主管部门和领导机构在积极推进信息化建设的过程中,对所发现的问题给予密切关注并且采取了有效措施,在信息系统工程建设中引入监理制就是其中一项重要措施。
信息工程监理的定义
信息系统工程监理是指在政府工商管理部门注册的具有信息系统工程监理资质的单位,受建设单位委托,根据国家有关法律法规、技术标准和信息系统工程监理合同,对信息系统工程项目实施的监督管理。其主要作用和目的是通过信息系统工程监理工程师“基于职业谨慎”的工作,力求在计划的质量、进度、投资以及信息安全的范围内实现信息系统建设目标。需要着重指出的是信息系统工程监理单位和监理工程师“将不是,也不能成为任何信息系统工程承建单位的工程承保人或保证人”。监理阶段主要包括工程招标、工程设计、工程实施和工程验收四个阶段。
信息工程监理的发展历程
信息系统工程监理应该说是一个具有中国特色的信息化质量管理标准,它为我国提高信息系统工程建设项目的投资效率、工程质量、技术性能提供了可靠的保证,同时,也对国际信息化发展提供了很好的参考价值。它主要经历了以下发展历程:
1999年,原信息产业部在起草信息系统集成资质认证的相关文件的同时,也开始着手筹备信息系统工程监理相关文件的起草工作。
2002年9月,国务院办公厅【2002】47号文件转发的《振兴软件产业行动纲要》中,明确提出了“国家重大信息化工程实行招标制、工程监理制”。
2002年11月,原信息产业部部信【2002】570号文件
了《信息系统工程监理暂行规定》,共六章,二十二条。
篇13
一是过度收集个人信息。有关机构超出办理业务的需要,收集大量非必要或完全无关的个人信息。一些商家在办理积分卡时,要求客户提供身份证号码、工作机构、受教育程度、婚姻状况、子女状况等信息。
二是擅自披露个人信息。有关机构未获法律授权、未经本人许可或者超出必要限度披露他人个人信息。一些地方对行人、非机动车交通违法人员的姓名、家庭住址、工作单位以及违法行为进行公示;有些银行通过网站、有关媒体披露欠款者的姓名、证件号码、通信地址等信息。
三是擅自提供个人信息。有关机构在未经法律授权或者本人同意的情况下,将所掌握的个人信息提供给其他机构。银行、保险公司、航空公司等机构之间未经客户授权或者超出授权范围共享客户信息。
个人信息安全亟待保护
面对势不可当的信息化浪潮,该如何合理利用和有效保护个人信息?今年全国两会期间,个人信息安全问题成为热议话题之一。
全国政协委员郭为表示,国家应加快个人信息安全及隐私保护的相关立法工作。首先应该建立一套符合中国国情的网络公民身份体系并逐步推动网络实名制的真正实施,建立信息安全产品安全审查和管理制度,同时还应加大监管机制的建设并修订相关法律。
早在2003年,国务院信息化工作办公室就委托中国社科院法学研究所个人数据保护法研究课题组承担“个人数据保护法”比较研究课题及草拟一份专家建议稿。经过近两年的工作,最终形成了近8万字的“中华人民共和国个人信息保护法(专家建议稿)及立法研究报告”,但时至今日却仍未正式进入国家立法程序。
中国人民西安政治学院副教授傅达林认为,国家需要完善立法,执法部门需要加大对违法犯罪的打击力度,完善监管措施,同时也需要建立行业诚信。有专家指出,现实中更多的相关案件还达不到犯罪的标准,所以迫切需要的是行业自律,提高从业人员的法律意识,以阻断涉及公民个人信息违法犯罪的信息来源。
国外如何保护个人信息
如何有效维护公民个人信息安全是一个令各国政府头疼的问题。不少发达国家早就制定了相应的法律和措施。
