信息安全服务评估报告
开篇:润墨网以专业的文秘视角,为您筛选了八篇信息安全服务评估报告范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
信息安全服务评估报告范文第1篇
【 关键词 】 信息系统;安全风险;Win2003;加固方案
The Study of Win2003 Safety Strengthening Scheme
Li Huan-shuang Pan Ping Luo Hui
(College of Computer Science & Information ,Guizhou University GuizhouGuiyang 550025)
【 Abstract 】 Information system security strengthening essence is to solve the information system security risk assessment process was found in the information system in the presence of potentially preventable, can be controlled, can avoid, can transfer the security risks,according to the national related standard to carry on the reasonable safety configuration, in order to improve the safety of operating system operation. From the security of the most basic Baseline Security –technical management of Win2003 server presents a safety strengthening scheme.
【 Keywords 】 information system; security risk; win2003; strengthening scheme
0 引言
随着全球信息化进程的不断推进,网络安全问题已成为信息安全领域探讨和研究的热点问题。目前,信息安全风险评估项目已经提升到一定的高度,通过评估尽早认识、发现和解决问题,防患于未然。
操作系统是一个平台,要支持各种各样的应用,用的人越多,找出漏洞的可能性越大;用的越广泛,漏洞曝光的概率就越大。黑客攻击防火墙或内部主机,一般都是先攻击操作系统。我国绝大多数的计算机安装了Win2003操作系统,Win2003操作系统也是安全加固人员最有可能遇到的操作系统。任何信息系统都存在安全风险,在针对Win2003系统安全加固的过程中,加固人员通常根据系统本身的特点确定相应的安全加固方法,使系统残余风险降低到可接受的范围内。
1 Win2003安全加固背景
通过对2011年重大安全事故回顾,信息系统安全加固方案的提出成为一项势在必行的事情。安全加固人员通过分析对Win2003安全加固的目的和意义,实施安全加固的依据和具体的安全加固流程来细化整个方案。
此加固方案的设计依据是国家相关信息安全服务器操作系统测评要求,结合信息系统安全风险评估报告所发现的潜在安全隐患(如表1所示)而设计。
信息系统安全加固的目的是对信息系统安全风险评估活动中发现的潜在风险进行安全操作,在综合考虑成本与效益的前提下,通过安全措施来控制风险,使残余风险降低到可接受的范围内。通过对Win2003安全加固可以进一步改善其所在网络环境,保证系统信息正常传输及网络设备正常运行。
2 Win2003安全加固方案
为了有效地减轻、转移、分散、规避信息系统中的潜在安全风险,安全加固方案以对最基本的技术管理的潜在风险进行安全设置为例,使之达到系统的基本安全要求,减轻系统的安全风险。
2.1 Win2003安全加固流程及步骤
图1为Win2003服务器安全加固流程图。用户对于流程的了解总是多于对其他策略和标准的了解,这是因为流程所提供的流程就是实施安全工程各个环节的操作细节。由图可清晰看出整个安全加固过程的操作环节。
根据Win2003服务器安全加固流程得出安全加固步骤,如表2所示;同时我们以贵州省某厅级单位Win2003服务器安全加固为例,来说明理论方法的可行性。
安全加固是一种战略性考虑。主要包括六个步骤,即应急响应、数据备份、杀毒与补丁、进行安全配置、再次杀毒、进行测试。应急响应是整个信息安全加固过程的准备阶段。简单对安全配置中的注册表配置的必要性进行阐述,注册表是Windows系统的核心,是一个有层次结构的庞大数据库,存储着系统本身以及所有硬件、软件和组件的信息。修改注册表可达到开启远程终端的目的,而且使用这种方法有很大的优势,无须上传任何文件,适用于Win2003系统。因此加固人员应关注对注册表的安全配置。
2.2 案例分析
根据2011年某月对贵州省某厅进行的非信息系统安全风险评估报告所发现的安全隐患,结合《GB/T 25063-2010信息安全技术服务器安全测评要求》,如下所示依次进行Win2003服务器安全加固。
1) 加固人员自带针对Win2003系统的应急响应预案。
2) 首先在贵州省某厅机房管理员以及第三监理方共同陪同下,加固人员对贵州省某厅局5台Win2003服务器进行数据备份,本地备份和异地备份。
3) 对5台Win2003服务器启用瑞星杀毒软件进行全盘杀毒,结果显示无高风险漏洞存在。
4)具体加固事项。
① 账户安全策略配置。
步骤:开始——控制面板——管理工具——本地安全策略——账户策略——密码策略
密码复杂性要求 启用
密码长度要求 8位
(此项配置完由安全管理员进行密码重新设置)
步骤:开始——控制面板——管理工具——本地安全策略——账户策略——账户锁定策略
账户锁定阈值 3次
账户锁定时间 30分钟
账户锁定计数器 30分钟
② 本地策略。
步骤:开始——控制面板——管理工具——本地安全策略——本地策略——审核策略
审核策略更改 成功、失败
审核登录事件 成功、失败
审核对象访问 失败
步骤:开始——控制面板——管理工具——本地安全策略——本地策略——安全选项
关机:清理内存页面文件 启用
③ 注册表安全配置。
a) 抑制Dr. Watson Crash
HKEY_LOCAL_MACHINE\Software\Microsoft\Dr Watson\Create Crash Dump (REG_DWORD) 0
b) 用星号掩藏任何的口令输入
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Network\HideSharePwds (REG_DWORD) 1
c) 源路由欺骗保护
HKEY_LOCAL_MACHINE\System\CurrentControSet\Services\Tcpip\Parameters\DisableIPSourceRouting (REG_DWORD) 2
d) 防止SYN Flood攻击
HKEY_LOCAL_MACHINE\System\CurrentControSet\Services\Tcpip\Parameters\SynAttackProtect (REG_DWORD) 2
e) 防止碎片包攻击
HKEY_LOCAL_MACHINE\System\CurrentControSet\Services\Tcpip\Parameters\EnablePMTUDiscovery (REG_DWORD) 1
f) SYN攻击保护-管理TCP半开sockets的最大数目
HKEY_LOCAL_MACHINE\System\CurrentControSet\Services\Tcpip\Parameters\TcpMaxHalfOpen (REG_DWORD)100或500 1F4
④ 关闭不必要的服务。
步骤:开始——控制面板——管理工具——服务
Alerter 禁用
Computer Browser 禁用
Internet Connection Sharing 禁用
Remote Registry Service 禁用
Telnet 禁用
⑤ 对实施安全加固的服务器进行再次杀毒,无异常发生。
⑥ 通过重启服务器对残余风险进行评估,无异常发生。
3 结论
信息系统安全风险评估是一项不断更新的动态的活动,随着科技的进步和各类软件的更新,攻击人员技术水平的提高,对Win2003安全加固的工作也要持续不断的改进。为防止重大安全事故的发生,建议定期对网络环境进行人工检测和软件扫描,加强对Win2003安全加固方案的改善,确保网络运营环境的安全。
参考文献
[1] 武春岭,李贺华.信息安全产品配置与应用[M].北京:电子工业出版社,2010;118-119.
[2] 范红.信息安全风险评估规范国家标准理解与实施[M].北京:中国标准出版社,2008;1-2..
[3] Yusuf Bhaiji,CCIE#work Security Technologies and Solutions [M].北京:人民邮电出版社,2011;6-8.
[4] 杨永川,顾益军,张培晶.计算机取证[M].北京:高等教育出版社,2008:191-195.
[5] 肖遥.网络渗透攻击与安防修炼[M].北京:电子工业出版社,2009;438.
基金项目:
教育部信息安全类教育教学改革项目(NO:JWZ201011)。
作者简介:
李换双(1986-),女,硕士研究生;主要研究方向:信息安全。
信息安全服务评估报告范文第2篇
[关键词] ISMS; PDCA; 风险评估; 资产识别; 信息; 安全; 建立; 体系
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 01. 038
[中图分类号] F270.7; TP309 [文献标识码] A [文章编号] 1673 - 0194(2014)01- 0074- 03
1 信息安全体系的重要性
随着信息技术不断发展,信息系统已经成为一种不可缺少的信息交换工具,企业对于信息资源的依赖程度也越来越大。然而,由于计算机网络具有开放性、互联性、连接方式的多样性及终端分布的不均匀性等特点,再加上本身存在技术弱点和人为的疏忽,导致信息系统容易受到计算机病毒、黑客或恶意软件的入侵,致使信息被破坏或窃取,使得信息系统比传统的实物资产显得更加脆弱。在这种大环境下,企业必须加强信息安全管理能力。但企业不单面临着信息安全方面问题,同时还面临经营合规方面的问题、系统可用性问题以及业务可持续问题等越来越多的问题。因此,要求我们探索建立一套完善的体系,来有效地保障信息系统的全面安全。
2 信息安全体系建设理论依据
信息安全管理体系(Information Security Management System, ISMS)是企业整体管理体系的一个部分,是企业在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。基于对业务风险的认识,ISMS包括建立、实施、操作、监视、复查、维护和改进信息安全等一系列的管理活动,并且表现为组织结构、策略方针、计划活动、目标与原则、人员与责任、过程与方法、资源等诸多要素的集合。
在建设信息安全管理体系的方法上,ISO 27001标准为我们提供了指导性建议,即基于PDCA 的持续改进的管理模式。PDCA是一种通用的管理模式,适用于任何管理活动,体现了一种持续改进、维持平衡的思想,但具体到ISMS建立及认证项目上,就显得不够明确和细致,组织必须还要有一套切实可行的方法论,以符合项目过程实施的要求。在这方面,ISMS 实施及认证项目可以借鉴很多成熟的管理体系实施方法,比如IS0 9001,ISO/IEC 2700l, ISO/TS 16949 等,大致上说,这些管理体系都遵循所谓的PROC过程方法。
PROC 过程模型 (Preparation-Realization-Operation-Certification)是对PDCA 管理模式的一种细化,它更富有针对性和实效性,并且更贴近认证审核自身的特点。PROC模型如图1所示。
3 信息安全体系建设过程
根据以往经验,整个信息安全管理体系建设项目可划分成5个阶段,如果每项内容的活动都能很好地完成,最终就能建立起有效的ISMS,实现信息安全建设总体目标,最终通过ISO/IEC 27001认证。
调研阶段: 对业务范围内所有制度包括内部的管理规定或内控相关规定,对公司目前的管理状况进行系统、全面的了解和分析。通过技术人员人工检查和软件检测等方式对组织内部分关键网络、服务器等设备进行抽样漏洞扫描,并形成《漏洞扫描风险评估报告》。
资产识别与风险评估阶段: 针对组织内部人员的实际情况,进行信息安全基础知识的普及和培训工作,让每位员工对信息安全体系建设活动有充分的理解和认识。对内部所有相关信息安全资产进行全面梳理,并且按照ISO/IEC 27001相关的信息资产识别和风险评估的要求,完成《信息资产清单》、《信息资产风险评估表》和《风险评估报告》。
设计策划阶段:通过分组现场讨论、领导访谈等多种方式对各业务部门涉及的信息安全相关内容进行细致研究和讨论。针对现有信息安全问题和潜在信息安全风险建立有效的防范和检查机制,并且形成有持续改进功能的信息安全监督审核管理制度,最终形成严格遵守ISO/IEC 27001认证审核标准的、符合组织业务发展需要的《信息安全管理体系文件》。体系对文件控制、记录控制、内部审核管理、管理评审、纠正预防措施控制、信息安全交流管理、信息资产管理、人力资源安全管理、物理环境安全、通信与操作管理(包括:笔记本电脑管理、变更管理、补丁管理、第三方服务管理、防范病毒及恶意软件管理、机房管理规定、介质管理规定、软件管理规定、数据备份管理、系统监控管理规定、电子邮件管理规定、设备管理规定)、访问控制、信息系统获取开发和维护、信息安全事件管理、业务持续性控制、符合性相关程序进行全面界定和要求。
实施阶段:项目小组要组织相关资源,依据风险评估结果选择控制措施,为实施有效的风险处理做好计划,管理者需要正式ISMS 体系并要求开始实施,通过普遍的培训活动来推广执行。 ISMS 建立起来(体系文件正式实施) 之后,要通过一定时间的试运行来检验其有效性和稳定性。在此阶段,应该培训专门人员,建立起内部审查机制,通过内部审计、管理评审和模拟认证,来检查己建立的ISMS是否符合ISO/IEC 27001标准以及企业规范的要求。
认证阶段:经过一定时间运行,ISMS 达到一个稳定的状态,各项文档和记录已经建立完备,此时,可以提请进行认证。
4 信息安全体系建立的意义
通过建立信息安全管理体系,我们对信息安全事件及风险有了较为清楚的认识,同时掌握了一些规避和处理信息安全风险的方法,更重要的是我们重新梳理了组织内信息安全体系范围,明确了信息安全系统中人员相关职责,对维护范围内的各信息系统进行了全面的风险评估,并且通过风险评估涉及的内容确定了具体的控制目标和控制方式,引入了持续改进的戴明环管理思想,保证了体系运转的有效性。具体效果如下:
(1) 制定了信息安全方针和多层次的安全策略,为各项信息安全管理活动提供指引和支持。
(2) 通过信息风险评估挖掘了组织真实的信息安全需求。
加强了人员安全意识,建立了以预防为主的信息安全理念。
(3) 根据信息安全发展趋势,建立了动态管理和持续改进的思想。
5 决定体系建立的重要因素
5.1 加强人员安全意识是推动体系实施的重要保障
信息安全体系在一个企业的成功建立并运行,需要整个企业从上到下的全体成员都有安全意识,并具备信息安全体系相关理论基础,才能保障信息安全体系各项活动内容顺利开展。为保证信息安全体系相关任务的执行人员能够尽职尽责,组织要确定体系内人员的职责;给予相关人员适当的培训,必要时,需要为特定任务招聘有经验的人员;评估培训效果。组织必须确保相关人员能够意识到其所进行的信息安全活动的重要性,并且清楚各自在实现ISMS 目标过程中参与的方式。
ISMS 培训工作应该分层次、分阶段、循序渐进地进行。借助培训,组织一方面可以向一般员工宣贯安全策略、提升其安全意识;另一方面,也可以向特定人员传递专业技能(例如风险评估方法、策略制定方法、安全操作技术等)。此外,面向管理人员的培训,能够提升组织整体的信息安全管理水平。通常来讲,组织应该考虑实施的培训内容包括:
(1) 信息安全意识培训。在ISMS实施伊始或最终运行阶段,组织可以为所有人员提供信息安全意识培训,目的在于让所有与ISMS 相关的人员都了解信息安全管理基本要领,理解信息安全策略,知道信息安全问题所在,掌握应对和解决问题的方法和途径。
(2) 信息安全管理基础培训。在ISMS准备阶段,组织可以向ISMS项目实施相关人员 (例如风险评估小组人员、各部门代表等)提供1SO/IEC 27001基础培训,通过短期学习,帮助大家掌握ISO/IEC 27001标准的精髓,理解自身角色和责任,从而在ISMS项目实施过程中起到应有的作用。
(3) ISMS实施培训。组织可以向ISMS项目的核心人员提供ISMS实施方法的培训,包括风险评估方法、策略制定方法等,目的在于协作配合,共同推动ISMS项目有序且顺利地进行。
(4) 信息安全综合技能培训。为了让ISMS能够长期稳定地运行下去,组织可以为相关人员提供信息安全操作技能的培训,目的在于提高其运营ISMS的技术能力,掌握处理问题的思路和方法。
5.2 建立符合企业需求的ISMS,保障体系顺利落地
(1) 根据业务需求明确ISMS范围。范围的界定要从组织的业务出发,通过分析业务流程(尤其是核心业务),找到与此相关的人员、部门和职能,然后确定业务流程所依赖的信息系统和场所环境,最终从逻辑上和物理上对ISMS 的范围予以明确。需要注意的是,组织确定的ISMS 范围,必须是适合内外部客户所需的,且包含了与所有对信息安全具有影响的合作伙伴、供货商和客户的接触关系。为此,组织应该通过合同、服务水平协议 (SLA)、谅解备忘录等方式来说明其在与合作伙伴、供货商以及客户接触时实施了信息安全管理。
(2) 利用客观风险评估工具。风险评估应尽可能采用客观的风险评估工具,保证评估的准确、翔实。有效利用各种工具,可以帮助评估者更准确更全面地采集和分析数据,提升工作的自动化水平,并且最大程度上减少人为失误。当然,风险评估工具并不局限于完全技术性的产品,事实上很多评估工具都是评估者经验积累的成果,如调查问卷、扫描工具、风险评估软件等。
(3) 构建合理的ISMS文件体系。文件首先应该符合业务运作和安全控制的实际情况,应该具有可操作性;不同层次的文件之间应该保持紧密关系并且协调一致,不能存在相互矛盾的地方;编写ISMS文件时,除了依据标准和相关法律法规之外,组织还应该充分考虑现行的策略、程序、制度和规范,有所继承,有所修正。
6 结 论
企业的生存和发展,有赖于企业各项业务、管理活动的健康有序的进行,而信息化是企业一切业务、管理活动所依赖的基础。信息系统是否能够稳定、可靠、有效运作,直接关系到企业各项业务活动是否能够持续。因此,我们要对信息系统的保密性、完整性、可控性、可用性等提出全面具体的要求,建立持续改进的信息安全体系运行机制。在信息安全体系的全面应用过程中,必须重点关注以下重要事项:安全策略、目标和活动应该反映业务目标;实施信息安全的方法应该与组织的文化保持一致;来自高级管理层的明确的支持和承诺;向所有管理者和员工有效地推广安全意识;提供适当的培训和教育。
主要参考文献
[1] 王斌君. 信息安全管理体系[M]. 北京:高等教育出版社,2008.
信息安全服务评估报告范文第3篇
(一)信息评价的对象和目的
信息化范围广,含盖社会、经济信息化和国防信息化,社会经济信息化又可分为地区信息化、产业信息化及业务领域信息化;国防信息化可分为军队信息化、武器装备信息化。参见下面信息化分类图及社会经济信息化分类图:信息化的评价就是采用评价指标对各类信息化现状进行测评,以便了解其发展水平,更好采取措施,加快推进信息化向更高水平发展。
(二)我国信息化评价工作的发展现状
我国九十年代国家统计局、信息产业部等政府部门、国家信息中心及高校就开展信息化水平测评的理论、方法及评价指标的研究,提出了信息化水平指数及构成、信息能力的评价指标,对全国30多个省市地区1995-1998年的信息化指数作了统计和分析,2000年以来信息产业部制定信息化评价指标、企业信息化评价指标,科技部制定了制造信息化评价指标,国家统计局信息化应用水平评价指标,在2005年国家统计局开展了信息化应用水平专项调查,对全国行政、事业单位、企业、居民家庭信息化进行专项调查,统计局国际统计中心还进行电子商务专项调查,形成全国电子商务交易额的统计报告。
目前已开展关于信息社会、信息经济、省市地区信息化、智慧城市、企业信息化、电子商务工程、网站、平台、服务及信息安全等的评价:
1、信息社会评价
国家信息中心研制信息社会发展水平测评指标体系:由信息经济指数、网络社会指数、在线政府指数及数字生活指数四个一级指标、9个二级指标和18个三级指标组成,形成信息社会指数ISI,编写中国信息社会发展报告,按信息社会指数划分信息社会发展阶段:ISI0.9为高级阶段。
2、国家及省市信息化发展评价
国家统计局先后推出信息化水平总指数及信息化水平平价指数,2005年开展全国信息化水平专项条件调查,分析研究全国和各省市信息化发展指数(IDI),发改委用于制定国家信息化发展十一五规划,十二五信息化发展指数IDI(2)由基础设施、使用、应用消费、知识支撑和发展效果5个指数组成,2000年起每年31个省市信息化发展指数的比较分析,2011年与工信部联合中国信息化指数统计监测年度报告。
3、智慧城市评价
近年来发改委、住建部、工信部、科技部等部委各自安排一批智慧城市试点,目前300多个城市提出要建设智慧城市,住建部、工信部下属单位、宁波、上海、南京等市以及有关研究单位各自提出智慧城市评价指标约14套方案,有的单位如国脉互联还对全国百十个城市进行测评,编写中国智慧城市评估报告。北京智慧城市发展指数研究报告,上海智慧城市发展水平评价报告。国家标准委成立有关部委智慧城市标准化协调推进组,组织电子、通信及智能建筑标委研究制定智慧城市系列评价标准,目前已智慧城市评价模型及基础评价指标体系及有关标准并在试点城市进行试验和试评估,今年网信办及发改委组织制定新型智慧城市评价指标并将在试点城市实施。
4、信息经济评价
中国信息化百人会课题组研究信息经济评价,形成“信息经济崛起,重构世界经济新版图”报告,把信息经济分为基础型、融合型、效率型、新生型、福利型层次和类型,提出了基础型与融合型信息经济测算方法。
中国社科院信息化研究中心研究信息化与信息经济测评理论和方法,已有研究成果:《信息化与网络经济:基于均衡的效率与效能计量》,上篇:信息化与网络经济体系创新,基于新技术经济范式的基础框架,下篇:信息化与网络经济计量应用,宏观、中观、微观测度与评价,提出窄义和广义信息经济及计量方法。
5、企业信息化评价
信息产业部信息化推进司2001年提出企业信息化评价基本指标,CECA国家信息化测评中心组织企业信息化500强评选活动,选出企业信息化500强。
科技部推广计算机集成制造系统、及制造信息化,研究制定制造信息化评价指标,提出制造信息化指数,以制造业信息化企业指数和制造业信息化环境指数为基础,合成地区、行业等不同层次的制造业信息化指数。
国资委2007《关于加强中央企业信息化工作的指导意见》(国资发[2007]8号文件),制定《中央企业信息化水平评价暂行办法》(113号文件),根据各企业信息化测评结果,将其划分五个级别。划分标准为:90―100分为A级、80―89分为B级、60―79分为C级、40―59分为D级、39分以下为E级。国资委对145家中央企业开展了2007年度信息化评价工作,定期央企信息化测评报告。
工业和信息化部2013年了《工业企业信息化与工业化融合评估规范国家标准GB/T23020-2013》,2013年10月成立中国两化融合咨询服务联盟,2014年《信息化合工业化融合管理要求(试行)》,制定了两化融合管理体系系列标准,全国1000家企业开展了两化融合管理贯标工作,200家企业通过了第三方认定。
工信部已立项组织电子技g标准化研究院等单位开展智能制造专项综合标准化及试验验证,包含评价指标研究,六所提出智能制造企业评价指标及评估方法。
6、领域信息化的评价
电子政务评价:电子政务网站评价,中国软件评测中心、国脉互联对政府网站进行测评,提出年度政府网站评估报告。
电子商务评价:六所完成科技部十五科技攻关项目电子商务工程评价,提出电子商务工程评价指标和评估方法,近年提出电子商务网站评价、电子商务服务水平评价指标及评估方法,电子商务网站评价已编入电子商务师培训教材,第三方电子商务平台及物流平台评价已有标准,行业网站评价有媒体(互联网刊物)评选商务网站100强,中国互联网协会、农业部信息中心等单位评选涉农网站100强。
信息安全评价:公安部制定信息安全等级保护标准,中国信息安全测评中心及一批有资质单位,对重点行业、企事业单位进行信息安全评估。
二、信息化评价工作存在的问题
(一)多年来信息化评价工作,各部门各自为政,缺乏统一规划和组织协调
信息化测评工作,由政府有关部门、研究机构分头进行,政出多门,缺乏统一规划和组织协调。信息化的评价研究力量薄弱、分散、缺少整合,未形成国家队,研究水平有待提高。
(二)信息化测评、评价指标的研究,缺少信息化评价的理论及顶层设计
信息化有共同的基本要素,不同部门按同一要素设计的评价指标各不相同,有的五花八门,有的信息化、智能化评价指标与评价内容不匹配。有的名为智能、智慧的评价,但评价内容名不符实,还未能体现智能和智慧。有部分社会领域、行业与地区信息化的评价尚处空白、尚未开展评价工作。
(三)信息化评价的标准化与规范的研制严重迟后,不能满足实际发展的需要
信息化测评需要的原始数据采集缺少标准规范,缺少行业、地区信息化的评价标准。有的标准规范没有与时俱进,统计局企业数据采集表,不能反映近年企业信息化发展的实际状况。
(四)有关信息化调查统计与测评数据,调查手段、收集方法有待改进,有关数据库建设迟后,尚无信息化的公共数据库,部门数据也不能共享。
三、“十三五”信息化评价工作的发展目标和重点
(一)“十三五”信息化评价工作的发展目标
1. 信息化评价理论有突破,初步建立信息化评估理论框架及各类信息化的评价模型
2. 建立与完善信息化评价指标体系(包含基本指标体系、行业、地区、领域指标体系)
3. 研究制定主要领域信息化的评价标准和规范
4. 积极开展社会经济信息化、产业信息化、企业信息化、智慧城市、智慧企业、智能制造评价评估
(二)“十三五”信息化评价工作的重点
1. 加强信息化评价理论研究,建立信息化评价模型,完成重要领域信息化评价的顶层设计
2. 整合资源,建立和完善重要领域信息化评价指标体系、信息化评价指标库和评价标准库
3. 加快研制信息社会、信息经济、产业信息化、企业信息化、电子政务、电子商务评价标准、规范
在梳理现有标准规范基础上,加以修订完善和版本升级,有的需要重新研制,要与国际标准接轨,研究制定新一代的信息社会、信息经济、产业信息化、企业信息化、电子政务、电子商务的评价标准和规范
4. 政产学研用结合,大力开展信息经济、制造业、服务业、农业等产业信息化评价评估工作,推进产业转型升级;有关部委及省市政府组织新型智慧城市试点城市进行智慧城市、智慧社区、智慧家庭评价评估,取得经验后逐步推广。
5. 加强信息安全、企业与个人信用、农村信息化的评价指标研究及积极开展有关评价评估工作
四、信息化评估政策措施建议
(一)中央部委加强对信息化评估工作的领导
国家网信办、发改委、工信部、科技部、国家标准委等政府部门联合成立信息化评估部际协调小组,加强对信息化评估工作的领导和组织协调,各部门要把信息化测评与评估纳入互联网+行动计划及十三五规划。
(二)成立信息化研究国家队,加强信息化评价理论研究和评价指标的顶层设计
组织中国社科院、中国科学院、中国工程院及有关科研院所、高校力量,成立各类信息化研究的国家队(信息化研究院或信息化研究联盟),分工合作,跨界协同创新,加快重点领域信息化评价研究和完成顶层设计,指导建立和完善信息化评价指标和标准体系。
(三)国家统计局牵头与有关部委合作,更新与完善信息化统计制度
尽快修订和完善各类信息化数据报表,更广泛地建立网上直报系统,利用网络采集数据,建立信息化调查统计数据库,为各部门及有关单位提供稻莨蚕矸务
(四)积极发展信息化评价评估及咨询服务业,建设信息化咨询服务体系,鼓励建立信息化评价服务平台,为行业、企业信息化评估评价提供支持和服务。
信息安全服务评估报告范文第4篇
李球(以下简称“李”):要想全面建设好数字湖南地理空间框架共建共享机制,就必须构建省市县三级“王”字通道,即省市县三级网络只有一个通道,撤销多余的部门信息网络通道。这是一个庞大而复杂的工程――全省至少有上百个各类网络,需要统筹应用规划,加强顶层设计。
目前,走在全国前列有陕西省。去年,我去西安调研,发现他们取消了绝大多数的部门网络通道,只保留公安、国土资源等寥寥数家网络,全省打破了部门壁垒,形成了一个统一的网络通道,极大推动了数字陕西的建设和应用,也节约了大量的人力、物力、财力。
导刊:那么,如何推动此项工作?
李:首先,作为数字湖南地理空间框架建设与应用推广单位的省国土资源厅,可以积极向数字湖南建设领导小组建言,研究、制定湖南省地理空间信息基础设施和系统的发展战略、发展规划,拟定相关的政策、标准、规范;其次,省级主管部门应协调我省地理空间信息基础设施和跨部门、跨地区的信息资源的关系,建立全省地理空间信息资源共享机制并监督实施;再次,组织研究、论证湖南省地理空间信息基础设施和系统建设发展的优先领域、重点项目,主动为政府各部门、社会有关方面提供基础测绘成果及其技术服务,提高测绘公共服务水平和能力。
导刊:数字湖南地理空间框架共建共享受网络环境的限制颇多,已经成为其重要障碍之一。你如何分析?
李:虽然目前湖南省总体信息化建设不错,有些项目指标还走在全国的前列,比如“两化”工业化和信息化的融合。但你刚说的这个情况也是目前的一个事实。影响湖南网络环境的原因很复杂,简单归纳起来,有以下几个方面。一是固定带宽、互联网普及率较低。2012年,湖南省这两项指标在《工信部2013年两化融合评估报告》中显示,全国排名倒数第七,严重低于全国平均水平。二是智能终端比如电脑、智能手机等普及率低。在《2013年中国信息化发展水平评估报告》中显示,这项指标和前几项有着惊人的一致,也是全国倒数第七,低于全国平均水平。三是光纤普及率也是全国倒数第七。可见湖南省的信息化基础建设任重道远,自然就影响了数字湖南地理空间框架的共建共享。
信息安全服务评估报告范文第5篇
【关键词】云会计 会计信息化 会计实务
一、云会计的发展现状
目前大企业或者集团企业受庞大自身体制限制,暂时也无法立刻从传统会计向云会计方向转变,也由于对云会计的服务商信息安全保障缺乏一定的信心,而大多数使用云会计软件是中小企业,对于国内云会计产品,大多是基于SaaS的云计算平台的在线会计服务,比如阿里巴巴集团的“钱掌柜”、浩天云会计、还有中兴旗下的“财务云”等等,只能提供一些较为单一的会计服务项目。但随着这些云会计服务商的不断完善和改进,研制出更加符合我国企业财务工作的服务需求的改进措施,比如在线记账、记账、现金管理、纳税筹划等等贴近切身利益的服务项目,将会成为新时代里财务软件转型和变革的“新风”。
二、云会计服务在实务流程中应用存在问题
(一)企业的会计信息化认识不足
对会计信息化认识不足。目前我国数量众多的中小企业的会计信息化水平整体仍处于低水平状态,是因为会计信息化的建设需要的长期大量的人力、财力的支撑,会计信息化建设不是一项短时间就能产生效益的项目,企业的高层对会计信息的认识不足,这也同时导致了企业缺乏在此方面的规划及远景目标。
(二)主体责任不明确
会计发展至今,会计凭证已经相当的成熟,它的重要性不言而喻,作为经济责任的明确的重要工具,虽然工作过程繁重、复杂,甚至容易发生错误,却大大提高了业务的真实性和责任的明确性。而在云会计服务模式下,会计企业需要把原始凭证和相关经济业务数据上传至云会计平台之上,把纸质的单据变成云端上的数据。由于网上数据的虚拟性,在数据上的造假成本低,而且容易受到黑客攻击和篡改,如何保障会计凭证的真实有效,如何把各经济责任明确和划分,如何进行司法上的界定,所以验收会计凭证将是云会计研究面临的新的挑战。
(三)专业化不够
从世面上较为有影响力的云会计,缺乏自身独具特色的专业化的功能。从我的体验上来看,云会计产品功能大同小异,基本都是基于SaaS平台上构建的云会计信息系统,其中的功能大多还是沿用基本的财务软件金蝶、用友,没有向更深入的专业化道路拓展,比如加入会计决策、会计数据分析等模块,而且不同的类型企业对财务处理有各种的要求,云会计应该进行差别化对待,要有针对性的调整信息系统的模块设置,形成自己主营方向,提高自己的核心竞争力。此外,而且应该与现在的ERP管理进行恰当的融合,构建财务管理的一体化进程。
三、云会计在会计实务当中的问题相应的对策建议
(一)建立会计信息安全风险评估体系
现在多数企业不应用云会计,持观望态度,大多是不信任云会计服务供应商能保障的进行信息安全,认为其中存在安全漏洞和隐患。云会计服务商应该建立起一套完善的安全风险评估体系。在企业使用云会计之前,根据不同类型的企业进行一套风险评估程序,由此形成一份风险评估报告,在报告详细陈述发现何种风险的概率、风险造成的实际后果、应该注意和避免的方案,通过评估结果所显示的风险大小进行分级处理。站在企业角度为其规划一整套云会计服务方案。云会计服务供应商必须以客户的需求为目标,解其所忧,为其所想这样就可以得到企业的认可和信任,从而建立起长期的合作良好关系,达到双赢的共同目标。
(二)保障云会计应用的安全性
攻克信息安全的难题,不断改进发展技术是根本,提高与之相对应的安全防范技术。从云服务商的角度来看,服务商必须提高自己服务的安全级别,提高机房人员和设备的管理,加强防火墙、密匙保管等技术,保证服务器运行的稳定,防范来自互联网上的黑客攻击并进行窃取数据的活动。完善用户登录机制,通过U盾或者密匙来验证使用者的身份,加强访问的限制和监管。对每个企业上传到云服务平台上的数据进行加密处理,保证这家企业的正常访问和修改,防止其他人对信息数据的窃取。
(三)云会计服务走个性化、差异化道路
现阶段的国内的云会计只是了具有云会计概念的在线会计服务,提供一般的在线记账、核算、制表等基本功能,并没有发挥云会计真正的优势出来。与国际上相对比较成熟的云会计服务来说还有一定的差距,在人员素质、物力、财力、技术方面还有所欠缺,但是并不能成为云会计发展道路上的绊脚石,在现有传统会计的基础上,国内的云会计发展必然是把会计决策和预测模块相结合到一起,与现在的ERP和电算化无缝结合,在“互联网+”的新时代要求下走精而深的专业化道路。
(四)加大会计人才的培养
云会计是建立在云计算平台之上,通过互联网进行数据的传递,会计业务流程和工作要求将发生根本的变化,如何适应新环境,将考验着每一个会计从业人员。所以要求新时代的会计从业人员必须掌握基本会计知识和业务流程之后,也必须学习新的互联网、计算机技术等相关知识。随着云会计的发展,必然会使得经济业务变得不同以往,具有复杂和多变性。除了会计人员的自我学习,企业也应该做好会计继续教育的工作,为新时代培养更多全能型的会计人才储备。
(五)加强对云会计服务商的监管
信息安全服务评估报告范文第6篇
关键词:职业院校;创客;工作室
1.背景
高职院校学生因缺乏工作经验导致就业难的问题一直是职业教育面临的难题。为了更好地解决高职学生就业问题,以学生创业带动就业,教育部印发了《高等职业教育创新发展行动计划(2015-2018年)》的通知。强调将学生的创新意识培养和创新思维养成融入教育教学全过程。湖南也在全面启动《湖南省高等职业教育创新发展行动计划实施方案》,推动创新人才培养模式,保证人才培养质量,增强社会服务能力。本文将着重介绍以信息安全专业为例,利用校企合作平台创建校内创客工作室,将工作室作为创业教育实践平台,实现优化课程结构,创新人才培养模式的目的。
2.主要作用方面
2.2.1推动校企融合
创客工作室的出现打破了教室和项目现场的界限,一切教学都可以根据企业导师的教学需要来灵活安排并转换空间。教室可以是项目现场,项目现场也可以是教室,甚至是网络直播课堂。此时创客工作室就像是企业在学校的办事处,协助学校完善与企业方的合作管理制度,深化合作领域,共同研究制定专业发展规划。
2.2.2推动专业建设,优化课程体系
以创客工作室为桥梁,将优秀的企业员工请人工作室。加入创业教育课程,通过真实的项目案例来促进专业核心课程建设,并适时更新、调整实训课程内容,制定先进、优化的课程体系。
2.2.3提升教师业务能力
通过对市场的调研,目前从事信息安全方面工作的人才供不应求。因为对教师技术水平和实训条件要求高等原因,湖南省职业院校信息安全技术水平相对其他省而言整体水平偏低。通过校企共建工作室这一模式来提升教师的技术水平,是一种非常行之有效的手段。教师不用出校门能学习到企业先进的技术和项目管理经验。校内老师还可以通过工作室这个平台来承接工程项目,实现教师下企业锻炼的目标。
2.2.4在校积累项目工程经验
贴近项目实践性教学的内涵建设是职业教育就业的核心,这也是引人创客工作室的原因。具体体现在以下两个方面:
1)为了解决企业无法容纳大批量学生进行顶岗实习的问题,可以通过把真实的企业项目带人工作室,并利用流媒体技术实现对企业工程师完成项目的过程进行实时的课堂直播,让每一个学生都能参与和体验项目。
2)以工作室作为试点,教学采取企业团队项目制,工作室中的成员可以自由组建项目团队,推荐项目经理。项目团队在老师和企业工程师的监督下有高度的自治权利,让学生充分发挥自己的创新能力和领导能力,提升自身综合素质。
3.具体落实
1)制定考核办法
效仿企业考核机制为工作室内的师生制定绩效评价机制,对工作室内的学生进行监督和考核。工作室成员都有明确的分工,并进行量化考核。
2)制定激励机制
制定一整套科学的激励机制。对成绩突出的老师或学生进行适当的课时减免或物质奖励。对于创业成功的团队更要加大奖励力度。要通过工作室在校内发挥正确的舆论导向作用,让全体师生感觉到能进入创客工作室是一件非常光荣的事情。总之,要让工作室团队所有成员成为人人羡慕的对象,这样才能吸引更多的优秀人才加盟,以提升工作室的整w水平。
3)提升社会服务能力强化服务意识,适时拓展工作室的服务功能,结合创业教育、创新教育,指导学生建立网络技术社团,利用技术优势开展面向全校师生、兄弟院校或社会团体的技术服务,提升工作室的影响力。
4)服务学校网络安全建设
工作室学生可就地取材,就近发挥,通过维护校园网络安全来实践真实的网络工程项目。学生运用已学的专业技能知识对校内的网络和系统平台进行安全评估,找出学校网络和系统存在的居多漏洞。并向校内相关部门提交评估报告和整改意见。通过这种方式来提高专业技能、维护校内稳定、提升学生自信。
信息安全服务评估报告范文第7篇
关键词: 政府网站 绩效 江苏省
今年是我国行政管理体制改革不断深化、电子政务建设稳步推进的一年。2008年1月,国务院信息化办公室了《2007年中国政府网站绩效评估报告》,该报告对国务院部委和省、地、县政府门户网站2007年绩效情况进行了全面评估,这是我国连续四年对政府网站绩效开展的权威评估。本文通过分析研究江苏省各级政府网站建设取得的成就及存在的问题,提出促进江苏省各级政府网站建设的几点建议,以求促进全省政府网站建设。
一、江苏省政府网站绩效得分排名情况
江苏省围绕构建网上服务政府,各地、各部门进一步加大政府网站建设力度,实现了政府网站建设的跨越式发展。目前以省政府门户网站为龙头,覆盖62个省级政府部门、13个省辖市和106个县(市、区)的政府网站体系基本形成,其服务功能日益增强,整体实力明显提高。从《2007年中国政府网站绩效评估报告》可知,江苏省政府门户网站的绩效分值起伏明显,排名逐年下降。2004年开通当年起点较高,得到了61.9分,领先全国省级政府网站平均绩效18.5分,排名第5位。但2005年绩效得分和名次均下降,绩效下降到55.8分,只领先省级政府网站平均绩效11.29分,名次下降到第7位。2006年得分虽然较2005年有所回升,得到了58.87分,领先全国省级政府网站平均绩效12.95分,但排名进一步退后到了第9位。2007年得分大幅度降低到了45.12分,仅仅比全国省级政府网站平
均绩效高6.68分,排名下跌到了第12位。2004-2007年部分省级政府网站得分情况如表1所示。
与兄弟省市比较看,江苏省政府网站虽然起点较高,但在全国省级政府网站的激烈竞争下,没有保持住优势,排名呈逐年下滑趋势。2004年至2007年,江苏与北京的绩效得分差距由18.2分扩大到32.81分,与上海的差距由20.2分扩大到24.32分,与浙江的差距由3.8分扩大到17.34分,从2004年领先广东2.7分变为2007年落后广东15.58分。
表2是部分省级政府网站绩效评估体系的三大指标得分情况。由此可以看到,最近三年,在“信息公开”方面,较之兄弟省市的稳定发展,江苏省政府门户网站这一项得分逐年走低;“在线办事”方面,江苏得分犹如坐过山车,由2005年的低谷,到2006年的高峰,2007年又跌到低谷;江苏唯一在“公众参与”方面的得分能维持稳步提高,可是以前名次落后的广东省在这一项提升更大。由此可见,在体现政府网站最基本职能,权重最高的“信息公开”方面的退步,是江苏省政府门户网站名次逐年下滑的主要原因。
二、江苏省地级市政府网站绩效比较分析
⒈江苏省地级市政府网站绩效在全国所处地位
2007年,在全国333个地市级政府中,广州、深圳、成都的政府网站分列前3名,武汉、青岛、苏州、杭州、厦门、无锡、大连的政府网站分列4至10位。江苏省有2个地市进入全国地市级政府网站绩效前10名,在数量上和广东省并列第一。江苏省市级政府网站绩效得分平均为44.78分,比全国平均得分高17.64分。虽然江苏没有最为领先的地市级政府网站,但地市级网站整体水平在全国处于领先水平(2007年江苏省地市级政府网站绩效得分情况详见表3)。
⒉江苏省13个省辖市政府网站之间绩效水平比较分析
2007年,江苏省13个省辖市政府门户网站绩效水平都有所进步,其中苏州、无锡、扬州的政府网站分列综合排名前3名。排名最前的苏州市政府网站综合绩效得到65.23分,居全国第6,比2006年上升了1位;无锡市政府网站综合绩效得到58.3分,排名全国第9,比2006年上升了2位;扬州市政府网站综合绩效得到54.12分,排名全国第17,比2006年上升了8位;江苏省得分最低的徐州市政府网站其综合绩效只得到了30.54分,比第一的苏州市低了34.69分,居全国第101位,可也比2006年上升了44位(江苏省13个省辖市政府网站绩效得分及其省内排名详见表4)。总的来说,2007年苏南各市政府网站绩效水平明显高于苏北,旅游城市扬州成绩喜人,而老牌工业城市徐州令人失望。从历史数据来看,苏州和无锡成绩骄人,扬州和连云港上升势头较好,南京和淮安有所退步,泰州下降幅度较大,徐州和盐城则一直位于排名末端。
三、江苏省县级政府网站绩效比较分析
⒈江苏省县级政府网站绩效在全国所处地位
2007年,在全国抽样(20%)的402个县级政府中,仪征、余姚、郯城分列前三名,慈溪、滕州、张家港、昆山、江都、台山、颍上等县级政府网站分列4至10位。在前10强中,江苏占有4席,处于绝对领先地位。江苏省县级政府网站绩效平均得分为29.25分,比全国平均得分高13.24分(2007年江苏省部分县级政府网站绩效得分详见表5)。虽然江苏省县级政府网站较之全国县级政府网站取得了骄人成绩,但是从得分情况可以看出,江苏省县级与省市级政府网站差距比较大,2007年江苏县级政府网站绩效平均得分远低于江苏省政府门户网站的45.12分和地市级平均得分44.78分,这与县级政府网站还主要处于“起步阶段”,而省级和地市级政府网站正在由“发展阶段”向“成熟阶段”过渡有关。
⒉江苏省县级政府网站之间绩效水平比较
尽管江苏县级政府网站整体发展速度较快,但是各个网站之间发展水平极不平衡:总的来说,苏南发展水平明显高于苏北。2007年,在江苏被抽查到的县级政府网站中,仪征市、张家港市、昆山市的政府网站分列综合排名前3名。排名最靠前的仪征市政府网站综合绩效得到了54.33分,蝉联了全国榜首位置;排名第二的张家港市政府网站综合绩效得到了48.59分,在全国排第6位;排名第三的昆山市政府网站综合绩效得到了46.84分,在全国排第7位;排名最末的是涟水县政府网站,其综合绩效只得到了6.67分,只是仪征得分的12.3%,在全国仅排到了第308位。
四、促进江苏省各级政府网站建设的几点建议
⒈深化应用,整体推进省市县三级政府网站共同发展
近年来,江苏省各级政府网站建设取得了显著成效,网站层级体系日益完善,服务内容不断丰富。随着行政体制改革的深入推进和服务型政府建设步伐的不断加快,社会公众对政府网站的服务内容、质量提出了更多的要求。政府门户网站应以深化公众服务应用为目标,以为民、便民、利民为出发点和落脚点,大力推行政府信息公开,积极开展互动交流活动,不断拓展在线办事功能,继续完善公益,围绕群众关心的热点难点问题,积极开展网上互动交流活动,努力打造网上服务政府。江苏省政府门户网站近年来发展明显,但与兄弟省份的快速发展相比,慢进也是退步,因此必须振奋精神,学习北京、上海、浙江等兄弟省市的先进经验;市级政府网站需要保持优势,可采取以先进带后进的策略,组织学习苏州、无锡的先进经验,争取在整体上有所进步;县级政府网站则要再接再厉,多向上级和仪征等先进政府网站学习,取长补短,努力缩小与省、市级政府网站之间的差距。
⒉加强管理,大力促进政府网络安全健康发展
⑴加强日常维护
2007年中国政府网站绩效评估首次加入“日常监测”指标,在按月抽查的基础上,取各月抽查平均分作为“日常监测”指标得分,日常维护情况的抽查结果将作为网站最终考核结果的重要依据。加强政府网站的日常维护,是提高网站服务水平的基本要求。以提高政务信息公开的规范性和及时性、确保在线服务的有效性和实用性、提升公众参与效果等为重点,各级政府应建立健全网站的日常维护机制,以确保网站内容维护工作落实到实处。加大政府网站日常监测的工作力度,督促各级行政机关完善保障机制、落实保障责任。通过健全监测指标体系、改进监测方法,不断提高网站日常监测的科学性、有效性,从而促进各级政府提高对网站日常维护的重视程度,以形成政府网站科学合理的运行维护机制。
⑵加强网络管理
统筹政府网站建设与网络文化发展,抓好论坛、贴吧、博客、网上视听等网络业务的管理,形成网上正面舆论强势,营造和谐网络文化环境,努力把政府网站打造成具有广泛影响力的思想文化平台。
⑶加强安全管理
综合运用管理和技术手段,加强安全防范,防患于未然,切实解决网站安全问题,努力提高信息安全保障工作的针对性和有效性。按照“谁主管、谁负责,谁运行、谁负责”的要求,把信息安全基础设施建设与信息安全管理结合起来,明确信息安全责任,建立健全信息安全保障体系,确保政府门户网站安全发展。
⒊以评促建,不断吸收先进理念,完善考核机制
实践证明,经常进行的评比活动,对政府网站建设起到了极大的促进作用,特别是一套科学且有针对性的评价体系,更是有助于网站建设者找不足、学先进,不断完善自我。紧跟国家步伐,江苏省自2004年以来也连续四年开展了政府网站测评活动。然而,2007年,与国家评价体系的大幅改进相比,江苏省的评价体系无大变化,而且一直欠缺针对县级政府网站测评指标体系的研究。吸收国内外先进经验,取长补短,无疑是江苏省快速提高政府网站绩效评估水平的捷径。所以江苏省应进一步加大政府网站内容保障工作考核力度,为政府网站进一步发展提供有力支撑;进一步完善政府网站测评工作,制定科学规范的测评指标体系,增加日常监测和县级政府网站测评指标体系,注重投入产出效果,科学引导政府网站健康发展;进一步改进考核评估方法,让各级领导、专家、社会公众共同参与进来,采取单位自评、现场考评、网上调查、用户访谈、第三方机构测评相结合的方式,进一步提高考核评估工作的科学性、客观性和权威性。
⒋彰显特色,逐步扩大政府网站服务范围
在江苏省政府网站发展过程中,必须妥善处理区域信息化发展不均衡的问题,避免形成“数字鸿沟”。应坚持从实际出发,加强统筹协调,针对苏南、苏中、苏北经济社会发展水平和电子政务工作基础不同的特点,既坚持统一规划、全面推进,又注重因地制宜、分类指导;鼓励各级政府网站建设内容彰显特色,突出重点,坚持可操作性,推动全省政府门户网站整体水平的提高。应鼓励基础较好的地区,乘势而上,着力提升层次、完善功能;引导已有一定基础的地区,向深化应用、加快发展的方向努力;支持基础较差的地区,奋起直追,打好基础,积极创造条件,加快建设进度。在政府网站发展过程中,全省上下应形成了比学赶超、竞相发展的良好局面。
政府网站的服务受众范围是衡量网站服务水平的标志之一。应结合公众实际需求,加强政府网站服务内容、服务功能的社会宣传工作。通过电视、广播、报纸等媒体开展宣传,积极组织政府网站服务入社区、下基层、进农村等活动,引导网民参与经济、社会等热点问题讨论,让城乡居民能够切实体会到政府网站服务的实用性和便捷性,拉近社会公众与政府网站的距离,让“网上办事”形式逐步渗透到广大老百姓的生活中去。
⒌整合资源,努力探索建设统一政务网络平台
在政府门户网站建设上应统筹规划、资源共享,处理好主网站与子网站的关系。主网站与子网站是门户网站的有机组成部分,既紧密联系又相对独立,要做到统一规划、协同建设、分级管理。主网站应发挥信息资源整合作用,建立政务公开系统和“网上行政审批中心”,展现政府门户特性;子网站应为主网站提供丰富的信息来源,并结合本部门实际做好信息公开、政民互动、网上办事等工作,为企业和市民提供具体的办事、答疑服务,加强特色服务,走个性化发展道路。主网站和子网站要尽快实现单点登录,提供跨部门、跨业务的“一站式”服务,增强网站的整体性。
同时,应该将现有的各级、各部门政府的信息系统联系起来,充分实现政务处理资源与数据资源的全面整合和共享,以统一的标准为企业和居民服务,这样既节省了财力,又提高了政府办事效率,同时满足了各方需求,何乐而不为。所以,江苏省应加紧开发政府门户网站信息资源共享平台,加强资源管理,按照互联互通的要求,改造已建的、调整在建的、规范新建的门户网站,统一技术标准、统一数据接口和架构进行建设,把分散在各地区和各部门相关的政务信息通过网站数据库有效地连接起来,实现政府门户网站信息资源在更大范围和更多层面上的自动抓取和共享,极大地丰富网站的信息内容,减少信息“孤岛”,充分发挥网站群的作用。
参考文献:
张向宏,张连夺,张璇.2007年中国政府网站绩效评估结果[J].电子政务,2008(2):53-63
水家耀.江苏政府网站绩效评估分析[J].电子政务,2007(12):64-66
作者简介:
信息安全服务评估报告范文第8篇
目前,电力企业信息化建设硬件环境已经基本构建完成,硬件设备数量和网络建设状况良好,无论是在生产、调度还是营业等部门都已实现了信息化,企业信息化已经成为新世纪开局阶段的潮流。在网络硬件方面,基本上已经实现千兆骨干网;百兆到桌面,三层交换;VLAN,MPLS等技术也普及使用。在软件方面,各应用十要包括调度自动化系统、生产管理信息系统、营销信息系统、负荷监控系统及各专业相关的应用子系统等。计算机及信息网络系统在电力生产、建设、经营、管理、科研、设计等各个领域有着十分广泛的应用,安全生产、节能消耗、降低成本、缩短工期、提高劳动生产率等方面取得了明显的社会效益和经济效益,同时也逐步健全和完善了信息化管理机制,培养和建立了一支强有力的技术队伍,有利促进了电力工业的发展。
2电力信息网安全现状分析
结合电力生产特点,从电力信息系统和电力运行实时控制系统2个方面,分析电力系统信息安全存在的问题。电力信息系统已经初步建立其安全体系,将电力信息网络和电力运行实时控制网络进行隔离,网络间设置了防火墙,购买了网络防病毒软件,有了数据备份设备。但电力信息网络的安全是不平衡的,很多单位没有网络防火墙,没有数据备份的概念,更没有对网络安全做统一,长远的规划,网络中有许多的安全隐患。朝阳供电公司严格按照省公司的要求,对网络安全进行了全方位的保护,防火墙、防病毒、入侵检测、网管软件的安装、VerJtas备份系统的使用,确保了信息的安全,为生产、营业提供了有效的技术支持。但有些方面还不是很完善,管理起来还是很吃力,给网络的安全埋伏了很多的不利因素。这些都是将在以后急需解决的问题。
3电力信息网安全风险分析
计算机及信息网络安全意识亟待提高。电力系统各种计算机应用对信息安全的认识距离实际需要差距较大,对新出现的信息安全问题认识不足。
缺乏统一的信息安全管理规范。电力系统虽然对计算机安全一+直非常重视,但由于各种原因,目前还没有一套统一、完善的能够指导整个电力系统计算机及信息网络系统安全运行的管理规范。
急需建立同电力行业特点相适应的计算机信息安全体系。相对来说,在计算机安全策略、安全技术和安全措施投入较少。为保证电力系统安全、稳定、高效运行,应建立一套结合电力计算机应用特点的计算机信息安全体系。
计算机网络化使过去孤立的局域网在联成广域网后,面临巨大的外部安全攻击。电力系统较早的计算机系统一般都是内部的局域网,并没有同外界连接。所以,早期的计算机安全只是防止外部破坏或者对内部人员的安全控制就可以了,但现在就必须要面对国际互联网上各种安全攻击,如网络病毒、木马和电脑黑客等。
数据库数据和文件的明文存储。电力系统计算机网络中的信息一般存储在由数据库管理系统维护的数据库中或操作系统文件中。以明文形式存储的信息存在泄漏的可能,拿到存储介质的人可以读出这些信息;黑客可以饶过操作系统,数据库管理系统的控制获取这些信息;系统后门使软硬件系统制造商很容易得到这些信息。弱身份认证。电力行业应用系统基本上基于商业软硬件系统设计和开发,用户身份认证基本上采用口令的鉴别模式,而这种模式很容易被攻破。有的应用系统还使用白己的用户鉴别方法,将用户名、口令以及一些安全控制信息以明文的形式记录在数据库或文件中,这种脆弱的安全控制措施在操作人员计算机应用水平不断提高、信息敏感性不断增强的今天不能再使用了。没有完善的数据备份措施。很多单位只是选择一台工作站备份一下数据就了事,没有完善的数据备份设备、没有数据备份策略、没有备份的管理制度,没有对数据备份的介质进行妥善保管。
4电力信息网安全防护方案
4.1加强电力信息网安全教育
安全意识和相关技能的教育是企业安全管理中重要的内容,其实施力度将直接关系到企业安全策略被理解的程度和被执行的效果。为了保证安全的成功和有效,高级管理部门应当对企业各级管理人员、用户、技术人员进行安全培训。所有的企业人员必须了解并严格执行企业安全策略。在安全教育具体实施过程中应该有一定的层次性和普遍性。
主管信息安全工作的高级负责人或各级管理人员,重点是了解、掌握企业信息安全的整体策略及目标、信息安全体系的构成、安全管理部¨的建立和管理制度的制定等。负责信息安全运行管理及维护的技术人员,重点是充分理解信息安全管理策略,掌握安全评估的基本方法,对安全操作和维护技术的合理运用等。
信息用户,重点是学习各种安全操作流程,了解和掌握与其相关的安全策略,包括自身应该承担的安全职责等。当然,对于特定的人员要进行特定的安全培训。安全教育应当定期的、持续的进行。在企业中建立安全文化并纳入整个企业文化体系中才是最根本的解决办法。
4.2电力信息髓安全防护技术措旌
(1)网络防火墙:防火墙是企业局域网到外网的唯一出口,所有的访问都将通过防火墙进行,不允许任何饶过防火墙的连接。DMZ区放置了企业对外提供各项服务的服务器,既能够保证提供正常的服务,又能够有效地保护服务器不受攻击。设置防火墙的访问策略,遵循“缺省全部关闭,按需求开通的原则”,拒绝除明确许可证外的任何服务。
(2)物理隔离装置:主要用于电力信息网的不同区之间的隔离,物理隔离装置实际上是专用的防火墙,由于其不公开性,使得更难被黑客攻击。(3)入侵检测系统:部署先进的分布式入侵检测构架,最大限度地、全天候地实施监控,提供企业级的安全检测手段。在事后分析的时候,可以清楚地界定责任人和责任时间,为网络管理人员提供强有力的保障。入侵检测系统采用攻击防卫技术,具有高可靠性、高识别率、规则更新迅速等特点。
(4)网络隐患扫描系统:网络隐患扫描系统能够扫描网络范围内的所有支持TCP/IP协议的设备,扫描的对象包括扫描多种操作系统,扫描网络设备包括:服务器、工作站、防火墙、路由器、路由交换机等。在进行扫描时,可以从网络中不同的位置对网络设备进行扫描。
扫描结束后生成详细的安全评估报告,采用报表和图形的形式对扫描结果进行分析,可以方便直观地对用户进行安全性能评估和检查。
(5)网络防病毒:为保护电力信息网络受病毒侵害,保证网络系统中信息的可用性,应构建从主机到服务器的完善的防病毒体系。以服务器作为网络的核心,对整个网络部署查、杀毒,服务器通过Internet从免疫中心实时获取最新的病毒码信息,及时更新病毒代码库。同时,选择的网络防病毒软件应能够适应各种系统平台、各种数据库平台、各种应用软件。
(6)数据加密及传输安全:通过文件加密、信息摘要和访问控制等安全措施,来实现文件存储和传输的保密和完整性要求,实现对文件访问的控制。对通信安全,采用数据加密,信息摘要和数字签名等安全措施对通信过程中的信息进行保护,实现数据在通信中的保密、完整和不可抵赖性安全要求。对远程接入安全,通过VPN技术,提高实时的信息传播中的保密性和安全性。
(7)数据备份:对于企业来说,最珍贵的是存储在存储介质中的数据信息。数据备份和容错方案是必不可少的,必须建立集中和分散相结合的数据备份设施及切合实际的数据备份策略。
(8)数据库安全:通过数据存储加密、完整性检验和访问控制来保证数据库数据的机密和完整性,并实现数据库数据的访问安全。
4.3电力信息网安全防护管理措施
技术是安全的主体,管理是安全的灵魂。只有将有效的安全管理实践自始至终贯彻落实于信息安全当中,网络安全的长期性和稳定性才能有所保证。
(1)要加强信息人员的安全教育,保持信息人员特别是网络管理人员和安全管理人员的相对稳定,防止网路机密泄露,特别是注意人员调离时的网络机密的泄露。
(2)对各类密码要妥善管理,杜绝默认密码,出厂密码,无密码,不要使用容易猜测的密码。密码要及时更新,特别是有人员调离时密码一定要更新。
(3)技术管理,主要是指各种网络设备,网络安全设备的安全策略,如防火墙、物理隔离设备、入侵检测设备、路由器的安全策略要切合实际。
(4)数据的备份策略要合理,备份要及时,备份介质保管要安全,要注意备份介质的异地保存。
(5)加强信息设备的物理安全,注意服务器、计算机、交换机、路由器、存储介质等设备的防火、防盗、防水、防潮、防尘、防静电等。
(6)注意信息介质的安全管理,备份的介质要防止丢失和被盗。报废的介质要及时清除和销毁,特别要注意送出修理的设备上存储的信息的安全。
5电力信息网络安全工作应注意的问题
(1)理顺技术与管理的关系。解决信息安全问题不能仅仅只从技术上考虑,要防止重技术轻管理的倾向,加强对人员的管理和培训。
(2)解决安全和经济合理的关系。安全方案要能适应长远的发展和今后的局部调整,防止不断改造,不断投入。
(3)要进行有效的安全管理,必须建立起一套系统全面的信息安全管理体系,可以参照国际上通行的一些标准来实现。
(4)网络安全是一个系统的、全局的管理问题,网络上的任何一个漏洞,都会导致全网的安全问题,应该用系统工程的观点、方法,分析网络的安全及具体措施。