加强部队信息安全不容忽视
一、提高认识,增强信息安全保密观念要把信息安全保密提高到战略高度来认识,谁占据信息的主动权,谁就在激烈的国际竞争中赢得先机,支队党委、机关必须走在最前沿。信息的安全与保密,事关国家安全、经济发展、社会稳定和军事斗争的大局。应该看到,网络的攻击要比昔日的“坚船利炮”更厉害。要做好高技术条件下信息安全保密工作,必
须按照我军保密工作指导思想实行“三个转变”的要求,在信息安全保密的建设上加大物力、财力、人力投入。其次要搞好信息安全保密宣传教育。信息安全是一项系统工程,需要全方位的支持和配合,保密宣传教育必须落实到具体人。要利用广播、电视、报刊等各种大众媒体宣传信息安全保密工作的必要性和紧迫性,提高广大网络人员的警惕性和安全保密意识,自觉维护网络信息安全,抵御破坏性的信息侵袭。
二、加强防护,提高信息安全可靠性一要提高信息技术发展的自主程度。近年来,微软公司和英特尔公司在其操作系统及芯片中留下的“后门”被曝光,进一步暴露了软件设备中存在的“隐蔽通道”,任意使用,就没有信息安全可言。为此,我们必须重点发展具有自主知识产权的信息技术,特别是操作系统、网络系统和数据库系统等核心软件及微处理器等硬件,始终把自主开发信息安全技术放在突出的地位,牢牢把握主动权,
确保信息的安全。二要采取严密的防范措施。除了防护设备不准使用外国设备,在使用其他国外网络设备上,首先要树立高度的安全意识,要摒弃只用不管的错误观念,要将技术安全性放在重要位置。其次,对带有安全隐患的设备,要采取严密的防范措施,措施不到位,应缓用或不用,三要整体设防,网络的安全保密并不是说安装防火墙、安全服务器、路由器、加密设备、身份验证系统和保密网等信息安全保密系统就可以解决的,必须是整体设防,哪一个环节出了问题,都会给人以可乘之机,对网络安全造成威胁。
三、强化管理,对信息安全实施综合治理
管理是落实信息安全保密工作的根本保证。管理要坚持以人为本,实行技术防范和人员管理的综合治理。网络安全出现问题,党委机关必须负全责。一是要进一步建立健全法规制度。近年来,国家和军队相继出台了一些有关信息安
全保密的法规制度,规范了信息安全的建设和管理,但是随着网络技术的发展,某些法规已显得滞后。如除了恶性和重大泄密事件外,一般性问题存在查处难,追究责任难,板子打不到具体人的问题。应加强前瞻性研究,不断完善原有的法规制度,并依据形势的发展,制定出新的法规制定,保证各项工作有法可依,有章可循。二是明确责任。对上网信息的审批程序和承办人员要做出明确规定,坚持“谁上网,谁负责”的原则。坚持信息网络日常管理和安全审计制度,发现问题及时解决。要对信息安全保密核心部位实行专人负责专人管理。三是技术防范和行政管理相结合。信息安全是三分技术,七分管理,特别是在防范技术比较落后的情况下,加强管理对信息安全显得尤为重要,管理到位可依弥补技术上的不足。如将支队局域网与因特网实行物理隔断,对涉密网络的信息存储、访问权限、使用、传递、复制和销毁,在制度和技术手段两个层面上同
时进行严格管理。
加强部队信息安全不容忽视
第二篇:加强部队信息安全不容忽视_调研报告加强部队信息安全不容忽视_调研报告
随着信息网络技术在我支队各个领域的广泛应用,信息安全已成为我们必须面对的新挑战。为此,支队各级领导一定要正视现实,积极应对,做好信息安全是支队官兵忠实履行使命的一个前提要求。[文秘写作网文章-http://找范文,到文秘写作网]
一、提高认识,增强信息安全保密观念
要把信息安全保密提高到战略高度来认识,谁占据信息的主动权,谁就在激烈的国际竞争中赢得先机,支队党委、机关必须走在最前沿。信息的安全与保密,事关国家安全、经济发展、社会稳定和军事斗争的大局。应该看到,网络的攻击要比昔日的“坚船利炮”更厉害。要做好高技术条件下信息安全保密工作,必须按照我军保密工作指导思想实行“三个转变”的要求,在信息安全保密的建设上加大物力、财力、人力投入。其次要搞好信息安全保密宣传教育。信息安全是一项系统工程,需要全方位的支持和配合,保密宣传教育必须落实到具体人。要利用广播、电视、报刊等各种大众媒体宣传信息安全保密工作的必要性和紧迫性,提高广大网络人员的警惕性和安全保密意识,自觉维护网络信息安全,抵御破坏性的信息侵袭。
二、加强防护,提高信息安全可靠性一要提高信息技术发展的自主程度。近年来,微软公司和英特尔公司在其操作系统及芯片中留下的“后门”被曝光,进一步暴露了软件设备中存在的“隐蔽通道”,任意使用,就没有信息安全可言。为此,我们必须重点发展具有自主知识产权的信息技术,特别是操作系统、网络系统和数据库系统等核心软件及微处理器等硬件,始终把自主开发信息安全技术放在突出的地位,牢牢把握主动权,确保信息的安全。二要采取严密的防范措施。除了防护设备不准使用外国设备,在使用其他国外网络设备上,首先要树立高度的安全意识,要摒弃只用不管的错误观念,要将技术安全性放在重要位置。其次,对带有安全隐患的设备,要采取严密的防范措施,措施不到位,应缓用或不用,三要整体设防,网络的安全保密并不是说安装防火墙、安全服务器、路由器、加密设备、身份验证系统和保密网等信息安全保密系统就可以解决的,必须是整体设防,哪一个环节出了问题,都会给人以可乘之机,对网络安全造成威胁。
三、强化管理,对信息安全实施综合治理
管理是落实信息安全保密工作的根本保证。管理要坚持以人为本,实行技术防范和人员管理的综合治理。网络安全出现问题,党委机关必须负全责。一是要进一步建立健全法规制度。近年来,国家和军队相继出台了一些有关信息安全保密的法规制度,规范了信息安全的建设和管理,但是随着网络技术的发展,某些法规已显得滞后。如除了恶性和重大泄密事件外,一般性问题存在查处难,追究责任难,板子打不到具体人的问题。应加强前瞻性研究,不断完善原有的法规制度,并依据形势的发展,制定出新的法规制定,保证各项工作有法可依,有章可循。二是明确责任。对上网信息的审批程序和承办人员要做出明确规定,坚持“谁上网,谁负责”的原则。坚持信息网络日常管理和安全审计制度,发现问题及时解决。要对信息安全保密核心部位实行专人负责专人管理。三是技术防范和行政管理相结合。信息安全是三分技术,七分管理,特别是在防范技术比较落后的情况下,加强管理对信息安全显得尤为重要,管理到位可依弥补技术上的不足。如将支队局域网与因特网实行物理隔断,对涉密网络的信息存储、访问权限、使用、传递、复制和销毁,在制度和技术手段两个层面上同时进行严格管理。
第三篇:it系统信息安全风险不容忽视it系统信息安全风险不容忽视
【编者按】
2011年至今,广东银监局共组织实施信息科技现场检查17次,发现辖内机构it风险点120处,提出整改建议83条,通过督促整改,消除了一批风险隐患,降低了风险水平。辖内16家接受评级的法人机构2011年度信息科技风险评估结果显示,三级以上的机构增至14家,机构it风险管理能力已有改观。但从今年的it风险现场检查情况看,在风险水平总体下降的同时,辖内银行业金融机构信息安全风险管控状况不尽理想,仍需进一步改善。
一、银行业机构信息安全管理力度不足、风险隐患突出2012年7月份以来,广东银监局组织了9场次信息科技风险现场检查,从检查情况看,辖内机构在信息安全管理方面存在的问题不容忽视:
(一)对核心信息的管控强度不足、控制结构混乱。检查发现:被查机构对应用系统源代码审核基本都不落实,显然“招行成都分行网银案”(代码漏洞)风险警示未被足够重视;多家机构对重要系统备份介质保管未实施双重控制,甚至有机构将电子银行系统关键密钥交由单人保管;网上银行客户端安全性保护未能达到《网上银行系统信息安全通用规范》(国标)要求;核心网络设备、运行管理系统等重要部件由多人共同使用超级用户;部分机构核心系统中,uucp、nfs等敏感闲臵用户未作删除,理论上有被利用于非法入侵可能;在对某机构测试环境检查时发现测试数据库中的海量生产数据未完全脱敏,且客户机可下载数据表,说明机构对敏感信息的控制强度不足。
(二)对银行终端设备管理较为松懈。中资机构对桌面系统、客户机的安全管理较松懈,基本没有效实施简约客户机模式。如工行、农行近年在改造桌面系统、限制移动接口等方面做过一些尝试,但从高层到普通员工的认同度都不高,至今难于推行,而内网客户机功能过强是很明显的风险点;在银行桌面系统中允许使用移动存储介质是普遍现状,而屏幕摄录日志并未覆盖所有内网机器;另外,大部分机构对内外网交叉连接也未实施有效限制。
(三)信息安全管理制度不全或执行不到位。今年7月,我局检查组在对某城商行现场检查中抽查了银行卡制卡机、后台权限管理客户机各一台,发现:(1)制卡机中存放有2000余条完整的客户制卡明码信息,如果外泄,有可能造成该行银行卡被批量克隆的严重后果,而监管部门之前的风险提示与整改建议未被认真对待;(2)后台管理客户机中有约20张账号、户名、印章齐全的高清支票照片,存在客户机中已超过一年,如外流,将直接威胁客户的账户安全。查阅该行数据管理制度未见有对上述类型信息作存期、获取、使用、销毁等限制性规定内容。
(四)信息安全控制措施的有效性存在疑问。某小型银行虽对内网机器作了移动接口监视,但未对移动存储介质带离银行进行严格管束,也未见该行有定期检查移动介质内容的记录或制定相关审核管控制度,管控方式存在漏洞,易于造成涉密信息外流。如:通过更改客户机、移动介质中的信息变动痕迹,即可使内网监视软件对信息流向的追踪失去目标、形同虚设。此外,对多家中小银行的检查显示,机构对客户机系统软件的安全控制一般只做到黑名单管理层面,未发现有采用更有效的
白名单管理模式。
(五)外包流程可能产生信息安全风险隐患。小型机构对外包依赖性较强,但对外包的风险控制措施不到位。广东省局对多家中小型机构的现场检查发现,项目建设期间,外包方人员几乎掌握应用项目的所有信息,并被赋予很高的系统权限,外包协议规定外包商拥有项目建设的关键文档、参数、应用代码等核心信息,并可随时利用开发设备等完整带离机构。这种合作方式有形成“韩国农协行式信息科技风险”隐患可能。
(六)高管层对信息安全风险管控的认知不足。从访谈信息看,辖内银行业机构大部分cio在信息安全风险识别、监测、控制等方面自我感觉良好,认为本机构信息安全不存在较大问题。但将现场检查、巡查、调查发现的信息对照《广东省银行业金融机构信息科技风险管理指导意见》要求的比较结果表明,当前在任cio在知识背景、战略意识、对it风险的认识深度、对监管法规的了解、所主持建立的it风险防范措施有效性以及与监管部门的沟通能力等方面均存在差距,管理层的引领能力不尽理想。
二、信息安全管理风险突出的原因
(一)高层对信息科技风险管理定位不明确,导致资源配备错位。表现为:认为信息安全管理是科技部门的工作,将科技部门视为信息安全风险的主要管理者,既负责制度制定也负责执行、监督,信息安全风险责任由it部门兜底;在部分设臵了cio的机构,也因各种原因未能充分体现其作用。被查机构it人力资源相对缺乏的现象普遍存在,it员工比例基本都在5%以下,部分机构甚至不能确保基本的岗位配备需要,致使信息安
全岗位、人员的安排被忽视。
(二)内控系统不完善是引发信息安全问题的重要原因。机构高层对信息安全风险认识程度不够,没有采取恰当的风险管理战略,鲜有通过充分宣传、教育引导全员提高信息安全意识,形成健康的信息安全环境的行为,以致员工不清楚、不了解信息安全的含义,息安全意识淡薄,缺乏对信息安全风险的敏感性(客户机长期大量存放涉密信息可能导致其外泄等事实说明这一现象严重);另外,内部管理制度、控制措施不完善或不适当,不能充分识别信息安全风险或及时发现、消除、有效控制风险点;内部信息交流不充分,监督纠偏制度不落实,信息安全责任不明确等也是较普遍的现象。
(三)过度依赖外包商导致银行机构未能主动控制外包风险。部分机构认为出现设备、系统故障时可由外包商解决,而对外包商是否能及时、恰当解决问题或最大程度避免安全问题的出现认识不足,导致了对外包商选择、设备选型方面出现缺乏充分论证,流程不规范、对信息安全保护考虑不周的行为;此外,中小机构内部人员对核心系统的掌控能力不足,不得不向外包单位开放更高的系统控制权限,这也可能招致信息安全风险问题。当前,外包监管法规主要作粗线条规定,机构不易直接参照,致其内部制度难以清晰界定如何识别外包风险程度、范围是外包流程管理中风险控制被动的另一原因。
(四)法规支撑力度较弱,影响信息科技监管的有效性。首先,因当前信息科技风险监管因素基本不影响其考核、评级,银行业机构往往将it监管行为视为“免费体检”,消极应付。对监管意见的执行较随意,不利于it风险管理环境的改善和整
体风险水平的降低,使信息科技风险监管的作用大打折扣;其次,对信息安全设施、控制措施的审查未予以足够重视,深层次的银行核心信息系统安全与风险控制能力审核、评估过程更未出现在准入流程之列。
三、对策建议
(一)督促机构管理层正视信息科技风险管理。一是建议监管部门定期剖析、通报典型案例,必要时要求机构针对案例进行专项对照自查并提交报告;二是由监管部门负责人对发生信息科技风险事件的、在现场检查中被发现存在重大风险隐患的机构进行点名、警示,对机构管理层形成一定压力,促使其正视信息科技风险的防范;三是将信息科技风险管理评级结果作为机构高管履职评价的参考要素,务使管理层负起it风险管理第一责任;四是对信息安全内部管理多次出现问题的机构,可考虑调降其内部控制评价等级,提高对其it风险现场检查的频度;五是可考虑提升监管法规层次,加强监管约束,对it风险相关内部控制结构混乱,制度无效或有章不循的现象以违规论处。
此处内容需要权限查看
会员免费查看如果说在生活中跟我们形影不离,息息相关的东西,就是食品,俗话说得好,国以民为本,民以食为天。食品安全直接关系着人民群众的生活,影响我们每一个人的健康,更关系着子孙后代的幸福和民族的兴旺昌盛,哪怕是一块豆腐,一根豆芽,都能让你身体残缺,哪怕是小小的一包盐,就能中断免疫系统的正常运行。健康,何等重要。生命,何等珍贵。最近我们不断从报纸、电视中,看到有关食品安全的新闻:南京“冠生园”事件,让人们望月饼而生畏。广东的“瘦肉精”事件,令我们望肉而怯步;号称生命杀手的“苏丹红”竟出现在我们最喜欢是的辣味食品中,还有近来的染色馒头,毒豆芽等事件接连发生,究竟要到什么时候才能停止。面对这触目惊心的一切,不寒而栗的事件,我们不禁要问:究竟,我们还能吃什么。我们吃的安全吗。2008年6月28日,位于兰州市的解放军第一医院收治了首例患“肾结石”病症的婴幼儿,据家长们反应,孩子从一出生就一直食用河北石家庄三鹿集团所生产的三鹿婴幼儿奶粉。随后短短两个月,该医院收治的患婴人数就迅速扩大到14名。9月11日晚,石家庄三鹿集团股份有限公司发布产品召回声明称,经公司自检发现2008年8月6日前出场的部分批次三鹿牌婴幼儿奶粉受到三聚氰胺的污染,市场上大约有700吨。为对消费者负责,该公司决定立即对该批次奶粉全部召回。11月25日,三鹿破产。截止在11月27日前,中国卫生部发出通报说,截止11月27日8时,全国累计报告因食用三鹿牌奶粉喝其他个别问题奶粉导致泌尿系统出现异常的患儿多达29万4000人,其中6人不排除因饮用问题奶粉死亡,目前仍有861名患儿留医,154名为重症患儿。同学们,看看这些事件,这些数字,29万4000人,只是一包奶粉将会影响孩子的一生,毁掉一个家庭,我真的想问,中国的食物,是否还可以下咽。请问大家认识这个人吗。对,他是大s的丈夫汪小菲,可是他还有一个职务,他是“俏江南”的总裁,2011年9月,有媒体报道称俏江南南京店使用回锅油,这些回锅油是给员工吃的,暂且不说回锅油时事件与俏江南集团扑朔迷离的关系,近年来,食品问题频频出现,还有最近央视曝光的“氢化油”。
此时此刻,我想在坐的同学都有许多感触,当代中国,工业发达,农业发达,却在我们人类赖以生存的食物中不断着做着深恶痛绝的事情,这就是现在中国所谓的国富民安。看着那些令人作呕的地沟油,添加剂,色素,让我们这些生在90活在00的年轻人真的是一声叹息,我们也很无奈,很多事情我们无能为力。我只希望,政府不要以监管不力为借口,企业不要以生产误差为跳板。还我们健康的体魄,美丽的人生。
谢谢大家,我们演讲完毕。