发布时间:2023-03-01 16:27:59
序言:写作是分享个人见解和探索未知领域的桥梁,我们为您精选了8篇的信息安全服务样本,期待这些样本能够为您提供丰富的参考和启发,请尽情阅读。
亨达公司已取得了国家信息安全测评中心信息安全服务二级(全国最高等级)、注册信息安全专业培训(CISP)授权机构、国家信息安全认证中心信息安全集成二级、应急服务二级、风险评估二级、公安部等级保护测评、工业和信息化部通信信息网络系统集成甲级、计算机网络系统集成三级、国家计算机应急技术协调处理中心(CNCERT/CC)信息安全服务技术支撑单位以及贵阳市国家保密局信息设备维修等一系列完善的通信与网络信息安全专业服务资质,通过了ISO9001:2008质量管理体系认证、ISO14001:2004环境管理体系认证和OHSAS18001:2007职业健康安全管理体系认证。
亨达集团先后被评为 “贵州省通信行业协会副理事长单位”、“贵州省通信体育协会副主席单位”,连续五年被省工商行政管理局评为“重信用、守合同”单位,并获得“全国十佳诚信单位”称号。目前已建成了集网络信息安全监控、网络攻防演练、信息安全培训、软件开发以及信息安全产品测评认证于一体的信息化综合服务保障平台。
亨达集团自2011年底取得等级保护测评资质以来,配合贵州省公安厅推进信息系统等级保护测评工作,开展了近百家单位共计500多个信息系统的安全等级保护测评,包括贵州省财政厅、贵州省统计局、贵州省交通厅、中国工商银行贵州分行、中国建设银行贵州分行、贵阳银行、贵阳海关、贵州省农村商业银行、遵义商行、贵州省人民医院、贵州省肿瘤医院、贵阳医学院等各大单位重要信息系统。
基于亨达集团作为贵州省优秀通信建设与网络信息安全服务企业,长期以来,一直与贵州省通信管理局保持着密切的合作与良好的沟通。公司自2009年起即已被国家计算机应急技术协调处理中心和省通信管理局确立为大区级技术支撑单位。
在基于云计算的网络系统应用中,入侵者的财富始终伴随着网络用户的不断增加和网络应用的不断发展而与日剧增。丰富的网络应用客观上为入侵者提供了广阔空间,其攻击手段不断变化和演进。
1云计算安全服务的挑战
虚拟化环境对等级保护建设提出了新的需求。我们可以看到,当前的物联网、工业控制系统、移动互联网,都实时交互大量数据。在这些数据中有企业机密数据、个人隐私信息等内容,一旦被盗取,将给企业和用户带来巨大的信息安全风险。具体来看,主要有以下四个方面给等级保护建设带来了新的挑战[2]。
从网络连接层面看:随着互联网逐渐成为政治、经济、工业发展中不可或缺的一部分,使得原本相对比较封闭的政府、金融、能源、制造等信息系统也不得不逐渐与互联网之间建立千丝万缕的联系。当人们在享受互联网的智能服务的同时,如何在开放与约束之间找到一个恰当的平衡点,使得利益最大化,损失最小化,是后互联网时代摆在政企单位和个人用户面前的一个大难题。
从计算资源层面看:随着云计算的逐步落地,越来越多的单位正在或即将把业务交托给云服务商,边界的消失、服务的分散、数据的迁移,使得业务应用和信息数据面临的账号安全风险愈发复杂化[3]。
从用户终端层面看:移动互联、智能终端大行其道,当员工希望享受工作、生活双便利的同时,企业却因为花样繁多的桌面系统和接入方式该如何管理而大伤脑筋。
从信息数据层面看:从网络时代的数据大集中到云时代的大数据分析,对人类的数据驾驭能力不断提出新的挑战,也为人们获得更为深刻、全面的洞察能力提供了前所未有的空间与潜力。大数据把原本零散片面的数据变成统一完整的高价值信息,数据大集中的后果是复杂多样的数据存储在一起,很可能会出现将某些敏感业务数据放在相对开放的数据存储位置的情况,既不符合管理要求,也增加了信息泄露风险。大数据的量级也影响到安全控制措施能否正确运行[4]。
2虚拟化环境下的等级保护建设
针对以上种种问题,在考虑等级保护建设时,就必须加入对终端安全提出更多基本要求:(1)应在业务终端与业务服务器之间进行路由控制建立安全的访问路径;(2)应通过设定终端接入方式、网络地址范围等条件限制终端登录;(3)应根据安全策略设置登录终端的操作超时锁定。
传统的等级保护是基于主机安全的,只考虑物理主机。传统主机式的安全手段无法应用到虚拟主机上,例如会对效率、运行方式等产生影响。虚拟化环境下应该是轻量级的安全。那么在虚拟化环境下需要考虑hypervisor主机和虚拟主机的安全。例如:针对hypervisor主机的入侵和恶意代码防范。
网络虚拟化后还需要安全设备能识别网络虚拟标签,区分每台虚拟机主机。网络安全不仅仅在核心层和接入层,而更多的要延伸到物理机内部。网络边界由原来传统的静态边界上升到由于虚拟机迁移产生的动态边界,并由传统的硬件设备式的网络安全,过渡到软件式的网络安全。
3云计算安全服务于风险
当前,能源费用高涨、环保意识不断增强,云计算以低廉成本、高效的计算资源利用率受到追捧。国外厂商行动的同时,国内厂商也在积极部署云计算。最先行动的是国内具有实力的大企业,如中国石油和中国石化等国字头企业。甚至于早在2009年就提出了建设云计算与网络的规划,更是将两者的发展计划列入“十二五”规划;海南航空建设了整个航空公司的云计算平台;国药控股国大药房利用云计算技术部署了医药零售一体化平台,实现由上而下的专业化、一体化、精细化管理,增强了企业竞争力,在国内云计算发展态势已是风生水起。
大企业们之所以如此重视云计算,是因为他们通过对云计算的考察,对其特点有了充分的了解,深知云计算在企业管理和成本效益上的巨大优势。但与大企业积极关注、规模部署云计算相反,大部分中小企业对云计算的部署仍存疑虑。
中小企业对云计算的怀疑态度,与两方面原因有关:一方面是与国内目前繁杂的云产业环境有关,另外一方面是中小企业并没有真正意识到云计算所能带来的竞争优势。
目前中小企业都面临着很大竞争和成本压力,超过75%的中小企业最重要的工作是保持原有客户,但相关数据显示,33%的中小企业在过去两年内都曾遭遇IT系统中断,因此对于中小企业来说,必须寻找一种低成本、可靠性高的IT服务来提升原有客户的满意,这正是以云计算为基础的云服务优势所在。
4如何选择云服务提供商
什么样的云计算服务适合中小企业呢?中小企业可以从网关外包、灾备应用的云服务开始入手。灾备对客户服务的可持续性起到至关重要的作用,能够帮助中小企业短期内提高信息的安全管理,提高客户服务稳定性,增加客户满意度,稳定固有用户。而云灾备服务不但能够提高各种设备的综合稳定性,实现综合成本降低的预期,使原来很多非流程化的工作通过系统平台自动化实现,实现高效管理与服务。更能够充分考虑中小企业用户按需使用,随需而变的灾备需求。
目前国内市面上充斥着上千家的云服务商,其中真正能够提供按需服务,灵活配置,满足中小企业需求的服务商不足5%。很多第三方灾备服务商更是偷换概念,简单买几台服务器和存储设备,就对外宣称提供云服务。这些云计算服务商多半是开源的,实力不强,产品没有经过充分的企业级测试,存在很多隐患。而且,开源服务商大多都难以提供企业级的服务,而一旦选择非企业级的云服务,系统宕机事故频发,会严重影响中小企业的业务运营。因此中小企业在选择云服务商时要格外慎重,需要对服务商底层技术平台,运维平台、包括数据中心等资源进行多方面考察[5]。
不同行业的中小企业对云服务的需求不同,行业差别比较大,例如金融证券业和电子商务类中小企业对相同软件的基本配置都可能存在很大的区别。因此,中小企业在选择云服务商时也要关注其对自身行业和需求的了解程度,服务界面的友好型等。
5总结
对比看来,传统网络安全技术在防御能力、响应速度、系统规模等方面存在限制,难以满足日益复杂的安全需求,而云计算则可以利用其超大计算能力与海量存储能力与海量存储能力,在安全事件采集、关联分析、病毒防范等方面实现性能的大幅度提升,构建超大规模安全事件信息处理平台,极大地提高安全事件的实时处理能力。
参考文献:
[1]刘威.云计算的安全服务体系和关键技术探讨[J].中国金融电脑,2011,05:76-80.
[2]冯登国,张敏,张妍.云计算安全研究[J].软件学报,2011,22(1):71-83.
[3]俞能海,郝卓,徐甲甲.云安全研究进展综述[J].电子学报,2013,2:371-381.
[4]孙松儿.云计算环境下的安全建设思路[J].信息安全与技术,2010,8:9-12.
[5]虞慧群,范贵生.云计算安全模型与管理[J].微型电脑应用,2013,29(1):1-3.
作者简介:王宁珍(1974-),女,山西运城人,教师,中教一级,学士学位,研究方向:信息技术及其应用。
作者单位:宁夏大学附属中学,银川750021
关键词:计算机云服务;政府政务数据;信息安全;体系构建
中图分类号:TP309.2
随着电子政务系统的不断优化,在构建政府政务信息数据安全管理网络中,通过采用计算机云服务的模块,形成具有更多服务管理体系,建设集约、高效、便捷、智能的新型政府,构建互联,整合,共享,重构,效率的政务信息管理系统,将具有很大的现实意义。
1 简述计算机云服务技术在政府政务数据信息安全体系中的运用模式
1.1 技术环境的整体突破
在当前政府政务信息数据快速化的背景下,尤其是在基于技术环境下的移动终端技术与通信技术、互联网技术的不断进步,这些政务数据信息的快捷显示,能促进整个政府学习效果的推进。在现代技术以及操作层面的优化环境中,在2Mbps数据传输模式下,对相关数据在实现无线网络连接的传递中,可以对政府政务数据中的声音、图像数据等动态化的技术管理。因此,在强化系统学习、移动管理的资源共享模式中,可以更大地加强整个数据库建设的信息运用。
1.2 系统学习的交互式模式
交互式管理是在基于计算机云服务模式下的技术融合方式,在整个政府政务数据信息的系统化学习运用中,可以形成交互式的测验信息运用,在综合采用移动运营的系统化方式中,采用短信群发或者其他先进的计数方式,在标准化的无线通信网络中形成设备综合管理的升级模式,尤其是在基于C/S架构的移动学习系统开发的技术平台运用中,对于数据信息技术的处理,包括在对政府政务信息数据的电子邮件、网站界面的访问等,都能有整体的优化。形成移动学习与数据统计的方式,并集合当前的J2ME、J2EE以及.NET技术的运用,实现政府政务信息数据的云计算技术的交互式模式运用。
1.3 终端发展趋势分析
在多样化移动终端数据处理能力加强的状况下,整个系统的软件、硬件设备不断加强,在具备有话音通信技术功能的运用中,将具备数据通信与数据计算能力的硬件运用到整个政务信息数据管理之中,形成移动终端操作系统,构建系统资源的调度与综合管理,并对整个上层应用软件提供整体管理平台,在3G、4G等终端技术的整体发展,突出政务信息数据在终端定制、开放业务等多方面的智能平台,形成数据管理与服务型政府的整体对接。
2 分析计算机云服务与政务信息化模式的发展阶段
2.1 智慧是政务信息化的新阶段
在当前政府政务数据信息的智慧政务服务阶段,尤其是在互联网条块分割与信息孤岛的状况下,加强对政府电子政务的资源整合,尤其是结合政府数据信息中的重点项目,对一些重点领域的业务协作、资源开发、市场调研等,在互联网协作中得以实现,能提高整个资源共享的力度。通过政府体制机制的创新构建,在转变政府职能的基础上,形成相对优化的电子政务管理系统,加强政府政务信息管理的各项职能,奠定更好的管理基础,在这样的基础中,为政府政务信息管理的集约、高效智能、服务型转型提供良好的平台,因此,从政府智慧型发展的状况来看,电子政务的发展离不开内部资源的综合管理,形成领导决策的重要依据。
2.2 资源整合新理念的运用
资源整合也是政府政务信息数据管理的基础,在通过机制管理以及法律建设的进步中,加强数据信息的障碍破解,尤其是在突破数据管理中的区块、部门之间的界限的体制障碍,充分整个数据信息的关联性,形成跨部门、跨业务之间的资源信息数据,在满足数据构建以及信息流转的过程中,有效满足政府、企业以及民众的信息需求,进而更好地实现资源配置的最大化,拓展政府政务信息数据应用的整体价值,并从多角度挖掘信息数据的价值,因此,在这个过程中,要全面运用这些数据,形成政府政务信息数据时代中各种技术的综合,尤其是在资源数据的价值展现,在对海量数据的技术处理、数据挖掘等,对综合业务功能的决策支持与辅助,在决策层、执行层等各个角度提供更大的发展空间,有利于政府政务信息数据的创新运用。
图1 以数据为中心的城市综合平台示意图
3 探讨基于计算机云服务的政府政务数据信息安全体系构建方式
3.1 数据挖掘系统的技术运用
数据挖掘作为一种综合技术,与政府政务信息数据的运用相结合,主要是突出基于计算机云计算的技术处理,在数据仓库、知识库系统运用的技术手段中,形成数据系统分析模块,在加强信息数据资源共享的状况下,形成知识信息数据的整体挖掘,在开发整合系统的运用中,形成以用户信息为中心的个性化服务模式,在计算机软件操作层面,构建自动化生成的统计报表,并围绕宏观、微观等角度,做好政府服务职能中的经济运行状态与社会综合管理等多方面的技术支撑,对当前经济形势的整体发展形成领导决策的正要依据,并在相应法律法规的监督管理中,制定好信息系统定级备案的方式,通过网站、智能手机、电子显示屏等终端技术,形成政府政务信息数据资源的关联与主动性,激活政府于民众之间的互动模式,推动政府政务工作的透明度,提升公信力。
3.2 以云计算为技术支撑的模块运用
基于云计算的智慧政务建设将使得政务数据存储、数据挖掘和数据分析的能力大大提升,促进用户对于信息的收集、利用,根据个性化的需求,提供针对性的服务,进一步提高政务服务的质量和效率。数据量的爆炸式增长给数据的应用带来了新的挑战和困扰。简单的数据处理方式已不能满足我们千变万化、层出不穷的应用需求和服务。如何从海量数据中高效地获取数据,有效地挖掘并最终得到有价值的信息变得非常困难。
图2 服务型的智慧政务示意图
3.3 信息安全基础设施设计方案
在基于云计算信息化数据处理功能的体系运用中,在数据认证以及基本PKI数字认证机制的身份识别功能,建立全方位的政府信息数据管理模式,突出安全性能的综合管理,尤其是注重网络病毒的综合防治,形成单机防止病毒以及网络模式防止病毒的方式,防止对政府政务信息数据的入侵,确保整个信息数据的安全性。在网络化背景的安全防护中,实现动态化的杀毒模式,防止病毒的扩散。在边界访问过程中,形成高智能的综合防火墙和网闸模式,这样可以对综合数据包进行分解或者重建,形成静态的数据,对网络协议与代码扫码等方式,实现整个信息数据安全的综合管理。
4 结束语
基于计算机云服务技术的综合运用,尤其是与政府政务数据信息安全体系构建相融合,能带来前所未有的改变,将智能化、信息化的模式全面运用,形成无线终端设备与无线通信技术的连接,从而实现计算的无处不在,获取信息资源并进行技术的处理,实现技术和行政双重方式来维护整个系统的安全,在通过对网络使用人员、管理人员进行信息安全知识培训,有效地促进网络安全管理。
参考文献:
[1]许垂泽,廖淑华.构建高效安全的校园网络系统[J].长春师范学院学报,2005(07).
[2]胡丽琴.图书馆网络信息安全问题分析[J].常州工学院学报,2005(02).
[3]陈芬.浅析网络Cookie[J].电脑知识与技术,2005(35).
[4]马晓虎.全国高校网上录取系统中的信息安全机制[J].电脑知识与技术,2006(35).
关键词: 云计算;云安全;图书馆;网络安全
中图分类号:G251.5;G250.7;TP391文献标识码:A文章编号:1006-4311(2012)04-0140-020引言
随着网络信息化的迅速发展,互联网已经成为一种计算平台。云计算是一种典型的网络计算模式,云计算将是我们共同的未来。而云计算能够减少成本,将资本性的开支变为运营性开支,它可以提高资源的敏捷性,更有效地响应业务需求,可以提高业务灵活性,将集中精力专业问题,而非基础设施问题,可以减少碳排放,这也是现代的需求。从图书馆的发展趋势来看,技术、理念、服务模式往往能够帮助图书馆更好的发挥其应有的社会服务职能。图书馆应随着时代的步伐,研究云计算云安全给图书馆带来的作用和影响,充分利用云安全来提高高校图书馆的网络信息服务资源的安全。
1云安全
“云安全(Cloud Security)”这个词,目前有两个概念,一是“云”的安全问题是RSA Conference 2009里最火热的话题之一。其中钱伯斯在RSA Conference 2009的主题演讲中,提到云计算时语出惊人:“对于安全,云计算是一场噩梦”,认为云计算是不可避免的趋势,而云计算的发展必将对Cisco的发展有着巨大的意义。
在现阶段病毒、攻击、漏洞等种类的迅速增长,靠特征码、规则匹配的传统杀毒方法已力不从心,特征码、规则库的增加,只能大量消耗安全产品的性能。对于用户应用来说,各企事业机构都希望提升安全资源利用率,降低安全投资和管理成本,而现在越来越多的用户需要更具性价比,更灵活、方便的信息安全服务产品。而信息安全的出路,最终也需要从“云”中寻找,而所谓的“云”其实也就是互联网,而互联网安全作为云服务提供给用户使用。分布式计算、资源共享和动态伸缩性是云计算的最主要的三个特点。如图1所示。[1]
2云计算的安全技术风险
“云安全”反病毒技术只是云端的计算和商用模式应用到反病毒领域。安全运营包括网络监控、操作系统和应用程序的补丁部署、软件与硬件系统配置的加固和权限管理等。需要强调的是,云计算降低单位安全运营成本的同时,也带来了相应的安全风险,如CSP的风险管理实践、服务协议(Service License Agreement SLA)的设定,合规化(Compliance)验证等方面。从调查情况看,数据的安全和隐私风险,已经成为用户转移到云计算的首要顾虑。[2]
2.1 网络信息云安全技术云安全[3]是云计算领域的一个重要应用,它是网络时代信息安全的最新体现。它融合了并行处理、网格计算、未知病毒发现等新兴技术和概念,通过网状的大量用户终端,对网络中软件进行异常监测,快速获取互联网中木马、恶意软件的最新信息,并在Server端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。同时第一时间将补丁或安全策略分发到各个分节点。云安全技术应用后,识别和查杀病毒和恶意软件不再仅仅依靠本地硬盘中的病毒库,而是依靠庞大的网络服务,实时进行采集、分析和处理。整个互联网就是一个巨大的“杀毒软件”,参与者越多,对每一个参与者就越安全,整个互联网就会更安全。
2.2 云安全的优点互联网提供了一个应用、自由、平等和分享的平台,云安全具有虚拟化、可扩展性、可靠安全等优点,在今后的未来会有更多的优势来改变我们的工作学习和生活。
2.2.1 云安全的虚拟化云安全平台最大的特点是利用网络信息软件来实现硬件资源的虚拟化管理、调动和应用。用户通过虚拟的平台使用网络资源、计算资源、数据库资源、硬件资源及存储资源等,与在自己的计算机上使用的感觉是一样的。
2.2.2 可扩展性在云安全体系中,可以将服务器实时地加入到现有服务器集群中,以提高“云”处理能力。如果某节点出现故障,则可通过相应策略抛弃该节点,在节点故障排除后实时加入现有集群中,同时也可以第一时间将补丁或安全策略分发到各个分支节点。在浏览器中键入URL,就可享受“云”中的服务,如在浏览器中直接编辑存储在“云”另一端的文档,则可与朋友共同分享信息等。
2.2.3可靠安全性云计算为用户提供了一个可靠安全的数据存储平台。云计算以建立服务众多终端用户的数据存储中心来替代当前数据单独保存,并利用专业数据存储设备和安全维护人员保障信息安全,而云计算对终端要求低,方便接入[4]。只要利用一台链接互联网的电脑,就可在浏览器中直接编辑存储在“云”端的文档与资源,避免了软件和电脑病毒等问题。如果云中的某台服务器出现了问题,立即会有其他服务器接管,以保证应用和计算的正常进行。云端提供了最可靠、最安全的数据存储中心,有专业的团队在实时管理,所以用户不必备份数据,同时还能享受到最好、最安全的服务。
3云安全在图书馆网络信息服务中的应用
3.1 云安全对图书馆的影响云安全将给图书馆IT业务的工作模式带来巨大的变化,我们以图书馆信息服务安全几个方面来说明。
3.1.1 降低IT维护的成本,提高信息资源利用率为确保图书馆采访编目、期刊文献流通借还、资源检索等各种业务平台的正常运行,需要经常对图书馆的计算机、服务器等终端进行维护、升级和更新。而在云安全模式中,服务器的日常维护由专业的云服务提供商来提供,由专业IT人员进行系统维护,减少系统故障和恢复时间,提高信息资源利用率。在硬件上,云计算的优势功能之一就是海量存贮,将为图书馆的信息服务资源“整合”与“共享”提供了很大的基础和应用空间[5]。在“云”这种信息统一存贮、提取的高速服务模式下,让更多的图书馆共同构筑一个有图书馆信息资源空间的“图书馆信息资源云”,每个图书馆的信息资源凭借这个“云”来实现资源的整合与共享。
3.1.2 确保数据安全,提供更充分的信息资源共享在云安全模式中,数据集中存储,更容易实现安全监测。“云”中有百万台服务器,多个数据备份分布在不同的区域,即使“云”中的某台服务器出现故障,“云”中的其它服务器也可以在最短时间内,快速地将某台服务器中的数据完全拷贝到别的服务器上,并启动新的服务器来提供服务,使图书馆真正实现不间断的安全服务[6]。
关键词:政府;信息安全;信息安全人事管理
随着我国信息化建设的不断推进以及电子政务的持续发展,政府信息安全事故也频频发生。
资料表明,七成以上的政府信息安全事故是由政府内部相关工作人员引发的。可见,在信息安全事件中起决定作用的是人,人是信息安全保障T作中最活跃的因素。信息安全人事管理是指以现代人力资源管理理论为基础,从招聘选拔、人员培训、人员使用、绩效考核、人员激励、离职管理等主要职能人手,对组织中信息安全人员进行科学管理、合理配置和有效开发,籍以实现组织信息安全管理目标的活动。信息安全人事管理是信息安全管理的核心。作为信息安全保障的一个关键要素,信息安全人事管理的强化实施可以为政府搭建起一道牢固的“人力防火墙”。本文将现代人力资源管理相关理论与信息安全工作特点结合起来,发掘与提炼信息安全人事管理各主要职能具有特殊性与规律性的实务要点,以期为有关方面提供借鉴和参考。
一、信息安全人员招募与选拔
招募与选拔是政府信息安全人员的“入口”,直接影响到信息安全工作的质量和效率。信息安全人员的招募与选拔实务应该把握以下要点:
1.从招募与选拔的标准上看,突出对个人品德及专业知识的要求。信息安全工作具有保密性、综合性、层次性和规范性等特点,进而决定了信息安全从业人员具有诸多特殊性及要求:他们在工作中会接触到关系国家及组织荣辱兴衰、生死存亡的大量秘密,保守秘密是他们的基本职业道德;他们必须不断学习,对自己的知识与能力进行“升级”,才能适应信息时代信息安全工作的需要;他们必须遵守更多的规定,而且在组织中具有明确的职责,不能越雷池半步。这些都表明,信息安全人员必须具有更高的品德修养。这对应聘者提出更高的标准及要求:必须具有很强的组织纪律性和保密意识;具有很强的团队意识和合作精神,愿意为组织利益牺牲个人利益;具有长远眼光和接纳新事物的胸怀,不断更新自身素质。组织可以通过面试、心理测验、背景审查等选拔方式考察应聘者的德行。此外,管理与技术是做好信息安全工作的两大法宝,因此是否具备一定的信息安全管理与技术专业知识是信息安全人员招聘的另外一个主要标准。组织可以通过笔试来考察应聘者专业知识掌握的程度,并根据职位的不同定位来确定不同的考察重点。
2.从招募的途径上看,在内部招募和外部招募相结合的基础上,突出内部招募。内部招募是指从组织内部发现并培养所需要的各种人才,其方式包括内部晋升、岗位轮换和返聘等;外部招募是指按照一定的标准和程序,从组织外部的众多候选人中挑选符合空缺职位要求的人员,其方式包括人才招聘会与校园招聘等。内部招募和外部招募各有优劣,两者结合起来可使招募效果最大化。由于信息安全工作的保密性要求,信息安全人员招募一般突出依赖内部招募,这主要是为了人员安全可靠的考虑,确保信息安全人员的稳定性。信息安全关键或领导职位出现空缺尤为如此。不过,由于当前我国政府信息安全人才仍旧匮乏,所以当内部招募满足不了组织用人需求时也适当考虑外部招募。招募非关键性信息安全人员时尤为如此。
3.从选拔的过程上看,尤为重视背景审查和保密协议签订两个环节。一般单位选拔人员可能也进行背景审查,但不一定是必须的,或者审查的过程与结果不一定非常严格与仔细。与之不同的是,信息安全人员的选拔尤为重视背景审查这个环节。该环节不仅不可或缺,而且在审查的时间、内容、过程、结果等方面比一般人员审查有更高的要求。其意义在于保证信息安全人员招聘的准确性与可靠性,并在“人口”或“源头”上控制信息安全人事风险。例如,美国中央情报局联邦调查局等部门在选拔关键涉密人员过程中经常采用“心理测谎术”等高科技手段来对候选人进行审查,以确定候选人的诚实度、心理健康度或意志力等。此外,一旦候选人接受了工作,录用合同就成为重要的安全手段。在合同中,组织可以将“政策认可”作为招聘的一个基本要求即在合同中附上一个保密协议,要求候选人在将来的工作甚至离职后的一段时间中,必须遵守组织相关保密规定,担负起保障组织信息安全的责任,否则就会
二、信息安全人员培训
信息安全人员培训是通过各种方式帮助信息安全人员习得相关的知识、技能、观念和态度的学习过程以及开发其潜能的各种活动。其实务要点包括:
1.从培训原则看,坚持保密性原则和适时性原则。保密性原则是指信息安全人员的培训要做好保密工作,特别是对于培训内容、时间和地点等,不可随意泄露,以免引起不必要的麻烦。此外,适时性原则主要是为了顺应当前信息安全科技发展迅猛、更新换代速度加快而提出来的。信息安全人员培训只有遵循适时性原则,才能使信息安全人员跟踪本领域科技发展最新动态,掌握最先进的知识与技能,以防止思想观念陈旧与知识技能老化。
2.从培训内容看,侧重于信息安全意识与信息安全知识与技能培训。高度的信息安全意识是信息安全人员必须具备的基本素质。信息安全意识贯穿于员工工作的始终,但是工作时间越长员工大多会出现倦怠,信息安全意识便会降低逐渐放松警惕,信息安全风险随之倍增,所以加大信息安全意识培训力度势在必行。政府可以使用各种媒介进行宣传,包括鼠标垫、水杯、钢笔或在工作期间经常使用的任何物体上,在这些物体上印制上安全标语,用来提醒员工注意安全如在鼠标垫上印上“BeSafe:Think BethreYouClick”,使信息安全人员在每天工作时都最先考虑信息安全,树立自觉维护信息安全的意识。此外,信息安全行业的综合性使得组织必须根据学用一致的原则,加强对信息安全人员进行信息安全知识与技能的培训。只有不断给员工“输入”新观念、新知识与新技术,使其掌握信息安全的基本原理、要求和惯例,才能提高其技术与管理水平。
三、信息安全人员使用
信息安全人员使用是指组织通过各种人事政策,促使信息安全人员与信息安全工作两者之间实现“人事相宜”、“人职匹配”等,以保障组织信息安全。信息安全人员使用实务要点是:
在档案信息服务中保护隐私权的意义不仅仅在于维护当事人的合法权益,而且在于为档案事业的发展营造良好的社会氛围,推动档案信息化进程,促进档案社会价值的发挥。
(一)个人资料收集中的隐私权问题
档案是一种重要的原始信息,且具有保密性。其中包括公民的一些重要的个人信息,大多数鲜为人知。虽然档案法对保密档案的管理和利用、密级的变更和解密都作了严格的规定,同时制定了档案的开放期限,但其法律相对方主要是机关、团体、企事业单位,对于个人重要档案信息没有给予明确的说明。事实上,在档案所有人向档案馆移交、捐赠、寄存或档案馆自行收集关于公民的档案之初,就应妥善处理好隐私权问题。
隐私权保护问题在传统的个人资料收集过程中并不太引人注目,但在网络化的今天,档案馆通过网络收集个人资料变得快捷化、自动化、详细化,隐私权问题相对也就更加突出。比如,档案网站在接受访问时往往要求用户提供若干个人资料,包括年龄、性别、身份证号、职业、收入、工作单位、研究方向、联系电话、传真、电子信箱等;档案网站可以利用一些追踪软件来持续掌握用户的网上行为,判断他们的档案信息消费特点。
档案网站采用先进的技术手段收集个人资料并非出于恶意,目的是通过对个人资料的分析与挖掘,找出可能连用户自己都没有意识到的档案信息消费习惯或消费需求,改进服务工作,这是网络环境中档案信息服务和信息产品开发“量身定制”的个性化、多样化的要求。但是,档案网站在用户毫不知情或无可奈何的情况下(例如有的网站拒绝为不提供个人资料的用户服务)收集个人资料,就会侵犯用户对其个人资料的占有权和支配权。
(二)个人资料传输和贮存中的隐私权问题
档案信息传输和贮存过程中所涉及的隐私权问题,主要出现在档案信息网络化过程中。
网络本身的安全性并不十分可靠,这是档案信息网络化服务中可能产生隐私权问题的又一个原因。由于技术的不完善,第三方(如“黑客”等)对当事人隐私权的侵犯既可以发生在档案馆与用户通过网络传送个人资料或不同的档案网站之间共享个人资料的某个环节,也可以发生在档案网站贮存个人资料的过程中。比如,第三方可以直接侵入档案网站的用户数据库,观看、篡改、传播个人资料,如果这种行为是出于恶意,那么当事人的隐私权无疑将受到极大的威胁。
(三)个人资料利用中的隐私权问题
不恰当地利用个人资料是档案信息服务中可能产生隐私权问题的第三个原因。
档案利用与隐私权保护之间存在着矛盾,档案利用必然涉及到公民的隐私权保护问题。如果涉及隐私的档案被自由利用,就可能导致政治与经济活动的混乱,使社会公民产生生活危机感,给社会的安宁团结带来不利因素。因此,如何认识和正确处理好档案利用与保护公民隐私权问题,是档案利用工作在改革开放过程中的一个重要课题。由于这种侵权往往涉及到档案馆的管理职能及档案馆对个人资料的常规使用,所以控制和防止此种侵权的困难较大。
由于各种原因,目前在档案开放利用工作中公民的隐私权得不到应得的保护甚至被人们所忽视,这无疑给档案信息服务工作带来了一定隐患。在目前我国隐私权的观念尚未深入人心,在人们普遍缺乏隐私权保护意识的情况下,档案部门在开放利用中忽视隐私权保护的行为还能被社会所容忍。但伴随着我国法制化建设的进程,公民隐私权意识的加强,档案部门在实际工作中如不能很好地贯彻法律的规定,忽视了对公民隐私权的保护,那么将会在很大程度上影响档案信息服务工作的开展。
二、档案信息服务中保护隐私权的对策
要使得公民的隐私权在档案信息服务过程中得到保护,必须走依法治档的道路,进行相关方面的档案法律建设。目前我国《档案法》中没有明确规定档案信息所涉及的隐私权问题,仅在部分条款中作有类似说明。
在档案信息服务过程中,档案利用是涉及隐私权的一个关键环节,在利用时应区别对待,通过控制使用这些涉及私人权益的档案,限制其利用范围,使隐私权受到必要的保护,做到合法利用。
做好档案信息服务中的隐私权保护,档案界和档案馆还应采取以下对策:
(一)制定档案行业的隐私权保护政策
1997年9月27日,国家档案局、国家保密局联合颁发了《各级国家档案馆馆藏档案解密和划分控制使用范围的暂行规定》。该文件对于有效预防在档案开放利用工作中发生对个人隐私的侵权,起到非常重要的作用。
(二)加强对个人档案隐私权的管理与技术保护
1.在档案管理中采取措施
这是合法利用档案信息的前提条件,要求对涉及公民隐私权的档案进行鉴定与区分,使之与一般档案区别对待,分开保管,做到有关档案的完整、安全和保密。目前,档案法规对涉及公民隐私权档案的划分并不十分明确,在实际工作中不易操作,这种状况亟待改善。
2.网络化过程中的保护手段
相对于传统的纸质档案而言,在档案信息网络化过程中,可以采取的技术保护手段可谓多种多样。现在已经有了Cookies软件管理工具、个人隐私偏好平台(P3P)、加密软件、自动删除个人资料软件等由用户自己保护个人资料的技术。档案网站保护个人资料的技术也有很多种,比如:档案馆为了禁止未获授权的人截取或查阅个人资料,可以通过设置本网站运行的服务器,自动使电子邮件传输到一个预先指定的服务器目录机密邮箱,只供获得授权的人查阅。
(三)提高档案馆保护隐私权的自律性
“自律”是档案馆保护隐私权的一条重要原则,即通过档案馆采取自律措施来规范自己在个人资料收集、存贮、传输利用中的行为,达到保护隐私权的目的。
1.档案馆应开展档案开放利用的鉴定工作
组织鉴定小组及时鉴定需要开放利用的档案,着重分析档案涉及隐私的内容和本馆档案的类型,从而确定哪些档案涉及个人隐私,属于控制范围。对个人资料的重要程度划分等级,以决定采取不同的保护措施。档案馆还要建立一些规章制度,避免使所有的档案馆人员都能接触到敏感的个人资料(如出身、种族、政治倾向、、犯罪记录等),确保只有经过批准的档案馆人员才能收集、查阅、传播这些个人资料。对于已到开放期的档案,要严格按照《各级国家档案馆开放档案办法》、《各级国家档案馆馆藏档案解密和划分控制使用范围的暂行规定》中的相关规定,对拟开放档案组织认真鉴定,以决定包含个人资料的档案的开放时间、开放方式和范围。
2.档案工作者要注意保护他人隐私
关键词 食品安全;信息追溯;终端查询
中图分类号:TS201 文献标识码:A 文章编号:1671-7597(2014)10-0137-01
当前食品、药品等关系国计民生的行业屡屡出现严重的质量问题,从毒果冻、毒酸奶、毒胶囊到三聚氰胺、瘦肉精、塑化剂等,无一不在震撼大众视听,社会上对于产品的质量安全保证要求呼声越来越高,企业也非常希望能建立一套完善的质量追踪追溯系统。《国家十二五规划》中明确提出要“建立食品药品质量追溯制度,形成来源可追溯、去向可查证、责任可追究的安全责任链”。
2007年吐鲁番地区提出加快实施“精品哈密瓜品牌战略”,开展了包括质量安全信息追溯体系建设等为内容的多种举措工作,新疆标准化研究院抓住这一契机,在当地相关部门的支持下,建设完成了“吐鲁番哈密瓜质量安全追溯体系建设应用示范”项目。项目的建设完成成为质监部门在开展质量安全信息追溯工作方面的首个应用示范工程。随后通过几年的努力,截至2011年,又先后在和田、吐鲁番、喀什、昌吉等4个地州对总计12个农产品完成了体系建设工作,取得了一定的效果:如追溯体系的建设得到国家中心及兄弟省市同行的认可,产生了一定的影响力;纳入平台企业的信息化管理水平得到了提高,农户取得了一定的收益。
然而,目前追溯体系建设工作的开展在定位、运作方式、系统功能完善及市场开拓和制度建设等方面还需要进一步地研究与探索,以满足食品安全信息追溯工作在新形势下实现快速发展的新要求。
1 平台网站建设
1.1 平台网站功能框架
架设应用子系统,主要包括“果蔬类追溯系统”、“乳制品电子信息追溯系统”、“水产品追溯系统”、“畜禽肉追溯系统”等,完善食品安全追溯信息中心数据库。
主要版块:新疆食品安全追溯信息查询服务,新加入会员的产品宣传,企业展示、营销,食品安全相关资讯的,力争将网站建成新疆权威的食品安全追溯网站;同时不断优化平台,提高在google、baidu中的排名。
信息方式以实现互联网、查询终端、电话、手机接入wap网站服务、短信等。
提供系统智能统计分析;整合各个已有的食品安全信息追溯应用服务,形成对外统计、查询接口。
1.2 为平台的可扩展性预留接口,实现追溯信息的资源共享
1)考虑与国家质监总局追溯平台数据对接。
2)与第三方检测机构数据对接。
3)考虑与销售终端网点、信息门户网站、网上营销等实现的数据对接与资源共享。
1.3 追溯码长度适应多样化要求
可依据企业需求,按照国家标准可自由选择在编码要求规定范围内编制追溯码;同时,查询平台满足不同长度追溯码的查询。
2 平台主要内容
2.1 平台的软件环境
软件环境:Windows 2000 Server以上的操作系统,Microsoft SQL Server 2000以上的数据库、IIS(Internet信息服务) 5.0以上、Microsoft .NET Framework 2.0以上、与Microsoft .NET Framework对应的Crystal Reports、Microsoft 2.0 AJAX Extensions。
2.2 平台建设目的
1)满足职能部门的监管需要;通过提供有效的追溯信息,为职能部门依法行政、打击假冒伪劣等工作提供服务。
2)满足企业管理的需要;“总平台”建设以“扶优抚强”为基本出发点,通过加强追溯信息链条各环节的管理控制工作,提升企业质量控制能力的水平。
3)满足消费者知情权的需要;通过强化企业的应用主体责任,向社会明示追溯产品信息的真实、有效并公开承诺责任义务,为社会监督企业行为获取追溯信息提供渠道。
4)满足研究部门提供有效服务的需要;通过对“总平台”管理体系、标准体系、技术体系的研究与建设,全面提高向社会各界提供有效服务的能力和水平。
2.3 平台特点
通过平台的建设,政府监管部门通过此平台可及时对企业及食品进行流向跟踪、抽检,并拉近了企业与消费者的距离,主要体现在以下几个方面。
1)实现信息查询的完整性。在种植/养殖过程、原辅料供应、生产管理、仓储物流、销售业务等各个环节采取合适的技术手段实时记录产品信息,可通过查询随时跟踪产品的生产状态、仓储状态和流向,以达到产品追溯管理的目的。
2)信息的唯一性。通过追溯码的唯一性,能够定位到每个或每批次包装产品。
3)信息查询的准确性。消费者查询到的食品安全信息应与企业食品实际生产过程相一致,保证数据的真实性,同时应对数据传输各环节进行监控,防止数据篡改和前后不一致。
4)信息查询的方便性。消费者可通过手机、PC、超市扫描设备等终端随时随地对食品安全信息进行查询。
2.4 平台建设原则
平台建设的5个原则:
1)法律法规为基础的原则:平台建设充分考虑政策的支持,贯彻落实《食品安全法》、《农产品食品安全法》、《标准化法》、《食品安全法实施条例》、《国务院关于加强食品等产品安全监督管理的特别规定》等相关法律法规。
2)政府引导、企业自愿加入的原则:以“会员制”方式发展成员,以三种模式开展会员制建设工作,一是“政府引导、企业参与”的方式带动区域追溯体系建设工作;二是以经济合作方式下的社团参与模式;三是企业化的运作模式。
3)符合“扶优扶强”的原则:加入平台的企业具备一定的条件,通过“准入制度”的相关要求进行审核评价后,满足追溯体系建设的最低标准要求方可成为平台的加盟企业。
4)企业应用主体责任原则:强调企业在食品安全信息追溯中主体责任的内容,通过落实企业在食品安全中第一责任人的角色,协助企业建立“食品质量安全记录制度”。企业对的信息确保其真实性、准确性、有效性,并向社会公开承诺。
5)整体规划、分步实施的原则:以完成追溯管理要求和查询的要求出发,逐步完成较全面的综合网站平台建设任务。
3 结束语
质量安全追溯系统的应用,无论对企业还是社会,都具有重大的意义和价值。对于企业来讲,追溯系统能解决其生产经营过程中的质量管理问题,有助于企业提高产品质量,提升客户满意度;对于社会来讲,追溯系统的广泛应用可以有效地实现产品质量监管。因此,无论企业还是政府部门都在不断加大力度推动生产、流通领域建立质量安全追溯体系。
第一条 为加强对具有舆论属性或社会动员能力的互联网信息服务和相关新技术新应用的安全管理,规范互联网信息服务活动,维护国家安全、社会秩序和公共利益,根据《中华人民共和国网络安全法》《互联网信息服务管理办法》《计算机信息网络国际联网安全保护管理办法》,制订本规定。
第二条 本规定所称具有舆论属性或社会动员能力的互联网信息服务,包括下列情形:
(一)开办论坛、博客、微博客、聊天室、通讯群组、公众账号、短视频、网络直播、信息分享、小程序等信息服务或者附设相应功能;
(二)开办提供公众舆论表达渠道或者具有发动社会公众从事特定活动能力的其他互联网信息服务。
第三条 互联网信息服务提供者具有下列情形之一的,应当依照本规定自行开展安全评估,并对评估结果负责:
(一)具有舆论属性或社会动员能力的信息服务上线,或者信息服务增设相关功能的;
(二)使用新技术新应用,使信息服务的功能属性、技术实现方式、基础资源配置等发生重大变更,导致舆论属性或者社会动员能力发生重大变化的;
(三)用户规模显著增加,导致信息服务的舆论属性或者社会动员能力发生重大变化的;
(四)发生违法有害信息传播扩散,表明已有安全措施难以有效防控网络安全风险的;
(五)地市级以上网信部门或者公安机关书面通知需要进行安全评估的其他情形。
第四条 互联网信息服务提供者可以自行实施安全评估,也可以委托第三方安全评估机构实施。
第五条 互联网信息服务提供者开展安全评估,应当对信息服务和新技术新应用的合法性,落实法律、行政法规、部门规章和标准规定的安全措施的有效性,防控安全风险的有效性等情况进行全面评估,并重点评估下列内容:
(一)确定与所提供服务相适应的安全管理负责人、信息审核人员或者建立安全管理机构的情况;
(二)用户真实身份核验以及注册信息留存措施;
(三)对用户的账号、操作时间、操作类型、网络源地址和目标地址、网络源端口、客户端硬件特征等日志信息,以及用户信息记录的留存措施;
(四)对用户账号和通讯群组名称、昵称、简介、备注、标识,信息、转发、评论和通讯群组等服务功能中违法有害信息的防范处置和有关记录保存措施;
(五)个人信息保护以及防范违法有害信息传播扩散、社会动员功能失控风险的技术措施;
(六)建立投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关投诉和举报的情况;
(七)建立为网信部门依法履行互联网信息服务监督管理职责提供技术、数据支持和协助的工作机制的情况;
(八)建立为公安机关、国家安全机关依法维护国家安全和查处违法犯罪提供技术、数据支持和协助的工作机制的情况。
第六条 互联网信息服务提供者在安全评估中发现存在安全隐患的,应当及时整改,直至消除相关安全隐患。
经过安全评估,符合法律、行政法规、部门规章和标准的,应当形成安全评估报告。安全评估报告应当包括下列内容:
(一)互联网信息服务的功能、服务范围、软硬件设施、部署位置等基本情况和相关证照获取情况;
(二)安全管理制度和技术措施落实情况及风险防控效果;
(三)安全评估结论;
(四)其他应当说明的相关情况。
第七条 互联网信息服务提供者应当将安全评估报告通过全国互联网安全管理服务平台提交所在地地市级以上网信部门和公安机关。
具有本规定第三条第一项、第二项情形的,互联网信息服务提供者应当在信息服务、新技术新应用上线或者功能增设前提交安全评估报告;具有本规定第三条第三、四、五项情形的,应当自相关情形发生之日起30个工作日内提交安全评估报告。
第八条 地市级以上网信部门和公安机关应当依据各自职责对安全评估报告进行书面审查。
发现安全评估报告内容、项目缺失,或者安全评估方法明显不当的,应当责令互联网信息服务提供者限期重新评估。
发现安全评估报告内容不清的,可以责令互联网信息服务提供者补充说明。
第九条 网信部门和公安机关根据对安全评估报告的书面审查情况,认为有必要的,应当依据各自职责对互联网信息服务提供者开展现场检查。
网信部门和公安机关开展现场检查原则上应当联合实施,不得干扰互联网信息服务提供者正常的业务活动。
第十条 对存在较大安全风险、可能影响国家安全、社会秩序和公共利益的互联网信息服务,省级以上网信部门和公安机关应当组织专家进行评审,必要时可以会同属地相关部门开展现场检查。
第十一条 网信部门和公安机关开展现场检查,应当依照有关法律、行政法规、部门规章的规定进行。
第十二条 网信部门和公安机关应当建立监测管理制度,加强网络安全风险管理,督促互联网信息服务提供者依法履行网络安全义务。
发现具有舆论属性或社会动员能力的互联网信息服务提供者未按本规定开展安全评估的,网信部门和公安机关应当通知其按本规定开展安全评估。
第十三条 网信部门和公安机关发现具有舆论属性或社会动员能力的互联网信息服务提供者拒不按照本规定开展安全评估的,应当通过全国互联网安全管理服务平台向公众提示该互联网信息服务存在安全风险,并依照各自职责对该互联网信息服务实施监督检查,发现存在违法行为的,应当依法处理。
第十四条 网信部门统筹协调具有舆论属性或社会动员能力的互联网信息服务安全评估工作,公安机关的安全评估工作情况定期通报网信部门。
第十五条 网信部门、公安机关及其工作人员对在履行职责中知悉的国家秘密、商业秘密和个人信息应当严格保密,不得泄露、出售或者非法向他人提供。
