網絡輿情安全應急預案
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇網絡輿情安全應急預案范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
網絡輿情安全應急預案范文第1篇
一、總則
(一)適用范圍
本預案適用于處置網絡上出現的關于我局發生任何級別的自然災害、事故災難、社會安全事件及其它各種類型突發公共事件的新聞報道或論壇、博客、微博客貼子。
(二)工作原則
按照“積極發展,加強管理,趨利避害,為我所用”的方針,強化事件的權威報道和快速反應能力,做好網上熱點敏感問題、突發事件的處理和輿論引導工作,爭取第一時間準確權威信息,有效引導網上輿論。
二、組織機構
(一)網絡輿情領導機構
成立交通運輸局互聯網管理工作領導小組,作為全局網絡管理和輿情應急指揮的非常設領導機構。領導小組組長由分管宣傳工作的領導擔任,成員由局屬各單位信息員組成。
(二)互聯網管理工作領導小組工作職責
組織交通運輸系統有關人員集中辦公,統一對外口徑,確定對外內容,通過各種方式,有針對性地解疑釋惑、澄清事實、批駁謠言、引導輿論。
(三)領導小組下設辦公室,辦公室設在局綜合科,付建菲同志具體負責網絡輿情的監管、搜集、整理工作。
三、分級響應
(一)特別重大網絡輿情
根據需要,經互聯網管理工作領導小組組長向局主要領導請示,互聯網管理工作領導小組具體負責開展應急工作。
(二)重大或較大網絡輿情
由互聯網管理工作領導小組領導會同相關部門開展應急工作。
(三)一般網絡輿情
經互聯網管理工作領導小組辦公室請示,由小組辦公室會同相關科室開展應急工作。
(四)影響較小的網絡輿情
由輿情內容涉及的相關部門在互聯網管理工作領導小組辦公室的指導下開展應急工作。
四、工作機制
(一)網絡輿情監控
1.日常監控
將網絡輿情監控作為一項日常工作不間斷進行,隨時掌握網絡輿論的導向、特點和趨勢。一旦發現不利于社會穩定的負面輿情或重大的虛假輿情,及時反饋到有關部門,為有關部門提供社會輿情方面的決策支持。
2.突發事件監控
當發生群體性突發事件時,組織對網絡輿情進行24小時不間斷監控,及時、全面掌握與該事件密切相關的各種信息,給決策者在較短時間內做出正確決策提供有力支撐。
(二)網絡輿情預警
1.制定危機預警方案,針對各種類型的危機事件,制定比較詳盡的判斷標準和預警方案,以做到有所準備,一旦危機出現便有章可循、對癥下藥。
2.密切關注事態發展,保持對事態的第一時間獲知權,加強監測力度。
3.及時傳遞和溝通信息,即與輿論危機涉及的相關部門保持緊密溝通,并建立和運用這種信息溝通機制。
(三)網絡輿情應對
1.針對網上出現虛假不實報道,會同宣傳部門及時采取措施,與刊登不實消息的相關網絡媒體進行溝通,積極主動消除不利消息。
2.針對突發事件產生的網絡輿情,及時匯集、整理、分析,及時與相關部門會商解決對策,及時做好與相關網絡媒體溝通工作,在第一時間內發出官方聲音,有效引導輿論,最大限度縮小突發事件產生的不良影響。
3.根據網絡輿情反映事件的程度,必要時及時組織新聞會。對于特別重大網絡輿情,由局新聞發言人對外權威消息;對于重大或較大網絡輿情,由事件處置的部門組織新聞會。新聞的主要方式有:新聞會、新聞通報會、向新聞媒體發放新聞通稿、采訪及在網站登載新聞信息、向新聞媒體發表談話和接受媒體專訪等。
五、后期處置
(一)善后工作
網絡輿情應急處置結束后,互聯網管理工作領導小組辦公室和相關部門負責關注網絡上相關事件的輿情趨勢。
網絡輿情安全應急預案范文第2篇
(一)境外信息安全威脅已然顯現
棱鏡門事件折射出美國通過國內高科技公司實施全球網絡空間霸權的戰略圖謀,為我國金融業敲響警鐘。是國外對中國金融信息的竊取僅次于軍事情報,我國金融業核心軟硬件多為國外企業產品,使得我國金融信息系統容易被國外掌控,為行業信息安全埋下隱患。服務外包對國外廠商依賴度較高,加大了風險控制難度,敏感信息、核心技術泄密的可能性增加。我國對外政治經濟摩擦不斷增多,金融改革持續推進,競爭進一步激烈,金融機構數據中心遭受境外黑客攻擊的可能性大大增加。例如,2013年11月29日,“中國煤炭銀行”官網被黑,其官網稱此次事件系日本金融財閥勾結國內金融集團所為。
(二)互聯網輿情威脅不容忽視
互聯網是廣大網民獲取信息資源、表達訴求最便捷和最有效的平臺。微博客、網絡社區、論壇等網絡輿論平臺飛速發展,成為社會輿論的發動機。網絡輿論與摘要:我國金融業信息化進程不斷加速,國內外信息安全環境深刻變化,金融機構須定期判斷和分析國內外信息安全形勢,不斷提高風險防范水平。本文分析了當前金融業面臨的信息安全形勢,并從完善信息安全組織機制、夯實信息安全基礎、強化互聯網風險防范等角度提出應對策略和建議。關鍵詞:金融業;信息安全;安全威脅;形勢分析;應對策略傳統媒體相互呼應,將迅速形成風險擴散的“蝴蝶效應”,放大信息安全風險。一旦金融機構局部的信息安全風險被網絡聚焦、放大,會加大風險控制與事件處置的難度。此外,一些組織或個人出于競爭、報復或利益的目的,通過互聯網關于金融機構的不實信息,營造“偽輿論”。還有一些小摩擦或小糾紛,由于沒有得到及時察覺和合理處置,引發網民圍觀,形成網絡熱點事件。這些不僅會嚴重影響金融機構聲譽,還會給整個行業帶來不良社會影響,甚至造成巨額經濟損失,實力相對較小的微型金融機構可能面臨倒閉風險。
(三)互聯網金融使信息安全形勢更趨復雜
2013年中國互聯網金融出現了快速發展勢頭,被稱為中國互聯網金融元年,各大互聯網企業巨頭紛紛進軍互聯網金融,推出“余額寶”、“微銀行”、“京寶貝”等金融產品和服務。面對激烈競爭,傳統金融機構積級調整戰略介入其中。互聯網金融為金融業帶來新的發展機遇的同時,同樣引入了信息安全風險和威脅。除具有傳統金融業經營過程中存在的流動性風險、市場風險和利率風險外,互聯網金融還存有信息技術導致的平臺風險、技術風險、系統安全風險和基于虛擬金融服務的業務風險,且風險誘因更加復雜、風險擴散傳播速度更快。移動互聯網發展和智能手機的普及使互聯網金融隨處可及,互聯網金融活動突破了時間和空間的局限,將成為網絡釣魚、黑客攻擊的新目標,金融業面臨信息安全形式更趨復雜。
二、新形勢下金融業信息安全應對策略
(一)完善信息安全工作的組織機制
組織機制是保障信息安全最基礎、最有效的長效機制,金融機構要基于當前信息安全形勢和監管部門要求,進一步完善信息安全工作的組織機制。
1.明確不同部門和崗位的信息安全職責。當前,保障信息安全已不是一個或幾個部門的責任,而是機構內所有部門、全體員工共同的職責。金融機構要明確業務部門、內控部門與技術部門共擔信息安全風險的責任,將信息安全保障納入到各崗位職責中,將信息安全工作作為一項重要的日常工作,努力形成全員參與信息安全保障的局面。
2.嚴格信息安全責任追究。按照“誰主管,誰負責;誰使用,誰負責”的原則,落實信息安全問責制,把信息安全風險的防范、識別、消除納入業績考核范疇,使所有員工意識到信息安全責任重于天。
3.提高制度的執行力。建立健全制度落實的規范流程和監督檢查機制,關注各流程、環節之間的銜接性,實現部門自控與機構內控相結合。及時發現和解決制度執行中的問題,保證制度的有效落實,維護制度的嚴肅性和權威性。
(二)夯實信息安全基礎,提升風險防范水平
信息安全工作涉及內容較多,內外部的信息安全威脅不斷發生變化,信息安全保障和風險防范不可能一蹴而就,而是一項不斷建設、持續完善的工程。金融機構應根據機構現狀和內外部安全形勢,科學制定機構信息安全發展規劃,有重點、有層次推進機構信息安全工作,不斷提升信息安全防范水平。
1.切實落實國家信息安全等級保護和信息系統分級保護工作。按照國家有關等級保護和分級保護的管理規范和技術標準開展等級保護和分級保護工作,嚴格遵照安全等級劃分標準確定機構計算機網絡和信息系統的安全等級,并按相應等級具體要求,建設安全設施、建立安全制度、落實安全責任,接受公安機關、保密部門、國家密碼工作部門對信息安全等級保護工作的監督、指導,保障信息系統安全。
2.穩步推進信息產品國產化進程。“棱鏡門”事件后,信息安全國產化進程加快,金融業要牢牢把握國產化機遇期,以安全生產為底線,按照“推廣成熟、擴大基本成熟、試點逐步成熟、攻關不成熟”的策略,穩步推進金融業信息技術國產化進程,逐步實現信息安全產品、關鍵設備、核心系統、系統等國有產品替換。加強人才隊伍建設和培養,提高自主運維能力和水平,逐漸減少對國外企業外包服務的依賴。
3.安全管理與技術防護并重。綜合使用多種安全機制,將不同安全機制的保護效果有機結合,安全管理與技術防護雙管齊下,相互配合,形成完整的立體防護體系。金融機構要摒棄“重技術,輕管理”的認識誤區,突出安全管理在信息安全保障體系中的重要性,增強技術防護體系的效率和效果,彌補當前技術不能完全解決的安全缺陷,實現最佳的保護效果。
4.完善災備體系建設和管理。災備體系是保障金融業務連續性的重要防線,是維護信息系統和網絡安全的重要措施。金融機構要把災備中心建設規劃提升到國家信息安全戰略高度予以重視,扎實做好機構災備中心布局規劃和災備建設工作。定期研究、評估當前災備中心布局,對存在的問題及時進行整改。對于核心業務系統,要實現應用級備份,保證突發事件發生時可及時恢復業務運營。確保備份數據的有效性,定期對冗余備份系統、備份介質進行深度可用性驗證。
5.加強人員操作行為管理,防范操作風險。從風險防范角度進一步完善網絡和信息系統的操作流程,加強操作流程管理和審查,實現人員操作事前能控制、事中可監控、事后有審計,使風險防范從“管住人”進一步發展到“管住行為”。善于運用技術手段加強對操作風險防控,達到從管理和技術兩個方面防范技術人員操作風險的目標,確保操作零風險。
6.提高機房設施保障水平。計算機機房是信息中心的核心部位,除承載機構的重要網絡和信息系統外,還有空調、消防、防雷等保障機房設備安全穩定運行的機房設施。要加強機房設施的監測和風險評估工作,確保UPS供配電子系統、機房空調子系統、防雷接地子系統、設備監控子系統、機柜微環境子系統、安全消防子系統等機房設施健康運轉,為機房這個“軀體”提供充足的“氧氣“和“血液”,保障作為“器官”的各信息系統正常運行。將機房設施安全放在同網絡和信息系統安全同等重要地位,發現風險隱患及時整改,勿將本應發揮安全保障功能的機房設施變成風險易發區域。
7.重視應急演練工作,提高應對突發事件的能力和水平。全面評估信息安全風險,建立風險全覆蓋的應急預案體系和應急演練常態化工作機制。根據風險的等級和影響程度,合理確定單項演練、綜合演練、跨部門演練、跨地域演練等不同類型演練的組合,具備應對不同類型風險的應急處置能力。依據風險的變化和應急演練效果完善應急預案,不斷提高應急預案的可操作性。堅持在演練中鍛煉隊伍,持續提高人員的風險意識和突發事件的響應處置能力。
(三)強化互聯網風險防控工作
1.加強互聯網輿情監測,妥善處置網絡熱點事件。完善互聯網輿情監測系統,加強人才隊伍建設,建立網絡輿情摘報和熱點專報制度,及時掌控輿情動態,盡早發現各種形式“偽輿論”,避免形成網絡熱點事件,影響正常的金融秩序。重視信息和輿論引導工作,做到未雨綢繆、預防在先。完善輿情熱點事件處置機制和流程,做到反應快速、判斷準確、處置合理,充分發揮傳統媒體與網絡媒體的協同作用,對網絡輿情進行正面引導和回應,將不利影響控制在最小范圍內。
網絡輿情安全應急預案范文第3篇
一、結合機構改革,健全應急機制
今年恰逢工商、食藥改革年,新成立的區市場監管局在職權劃分、科室、人員還未完全到位的情況下,為確保應急管理工作機制順暢,對原兩局的應急工作小組進行了整合,同時按照原工商、食藥監兩條業務線開展相關工作。新局應急管理辦公室綜合協調突發事件應急管理工作,各業務科室按照相關工作職責予以落實,使相關人員做到了工作任務明確、責任落實到位,保障了在機構改革的過度階段,各類突發事件發生時能夠及時予以處理,防止事態蔓延。
二、應對突發事件,健全規章制度
全局在認真學習領會《中華人民共和國突發事件應對法》,在《市工商行政管理局應急聯動工作機制》的基礎上,緊密結合今年工作實際,明確了突發事件處理的組織體系及工作職責、運行機制、應對措施和保障機制。特別是對食品藥品安全、安全生產、大規模從事傳銷、嚴重自然災害等重大突發事件,明確了詳細具體、操作可行的應對措施。
三、實行應急值班,暢通信息網絡
在全重要會議召開、重大節日前后、“820”洪災等特殊時期,堅持實行24小時值班制度和行分組值班制度,機關和轄區所做到值班人員按時值班,保證突發事件能夠及時處理。應急值班期間由局領導和辦公室進行督查,要求干部不遲到、早退,不空崗,同時要求各科室、所、隊負責人手機24小時開通,有效地保證了信息網絡暢通。
四、修訂應急預案,開展應急培訓
今年,我局著手修訂《區重大食品安全事故應急預案操作手冊》,建立各鄉鎮(街道)食品安全應急管理隊伍。同時,積極組織人員觀摩全省食品安全事故應急演練,組織食安辦成員單位進行了應急培訓,提高食品安全事件應急處置能力。
五、建立輿情隊伍,開展輿情檢測
今年建立了食品安全輿情監測制度和輿情管理員隊伍,在今年的杭州廣琪事件和“820”洪災中,輿情管理員充分發揮了作用,食品安全輿情信息得到了及時監測、分析和應對。
六、強化應急意識,開展專項工作
重大食品安全應急處置方面:堅持預防為主、風險管理、突出重點、全面排查、積極治理、確保安全的要求,切合開展食品安全風險隱患排查。多次召開食品安全風險評估會議,組織食品安全監管部門針對風險食品開展專項檢查。截止目前,全區食品安全主要監管部門共出動執法人員4103人次,檢查食品生產經營單位數6350家次,排查風險隱患3個,已開展隱患整治3個,當場整改223戶次,口頭告誡883戶次,發放責令改正通知書334戶。通過開展食用明膠、烤魚片、飲用水、兒童魚肝油、校園周邊等專項清查工作及重點商品定性定量抽檢,進一步強化流通領域監管,共開展專項清查25次,出動執法人員1585人次,檢查經營戶2758戶。
網絡輿情安全應急預案范文第4篇
關鍵詞:電力搶修;電力安全;應急培訓;應急體系;培訓管理
電力行業是我國支柱產業,是國民經濟發展的基礎性產業。同時中國經濟的持續增長也促進了電力行業的蓬勃發展,隨著用電需求的不斷增加,電網結構和規模變得日益復雜和擴大,電能在現代社會中廣泛應用,電網和電力設備在運行過程中遭遇的各類突然事件均會導致生產停頓、人民生活混亂,給國民經濟帶來嚴重損失。為實現電力系統運營的可靠性和安全性,加強電網風險預警并提高電網應急管理能力對減少人員傷亡及財產損失的意義重大。在應對突發事件時,電網應急管理體系中人員現場救援的能力是至關重要的。應急管理于1991年被學者Drabek定義為一門涵蓋了管理方法、應用科學、技術等多門不同學科專業知識去維持社會穩定有序發展的學科。Health[1]通過幾何圖形將應急管理的整個過程分為縮減、預備、反應、恢復四個階段,在最近幾十年里系統的公共危機應急管理研究才逐漸發展壯大。隨著改革開放政策的持續推進,我國學者在90年代初開始關注危機管理并對其展開分析[2-4]。電網的應急管理體系大都作為突發事件及災害的組成部分[5]。突發事件應急現場從應急物資準備、災難現場情況、設備故障評估等基本程序都與常規檢修程序相差甚遠。目前我國對于電力應急管理體系的培訓至今尚無統一的標準,培訓對象也尚不明確,而培訓方式包括應急培訓方式、培訓周期和培訓學時也都未能規范。
1電力應急管理現狀及培訓的必要性
1.1電力應急管理現狀
我國從中央至地方都十分重視電力生產的安全性。雖然已基本建立了安全生產應急預案體系,出臺了相關的專項法案,且在地方各處基本建立起了應急救援隊伍,但現階段我國的應急管理仍存在應急處理能力不夠、統一指揮協調配合不足、與制定目標有較大差距的情況。主要表現在各級人員對電力應急管理知識的認識不充分、電力管理工作重心偏移及現階段應急預案體系不夠完善。
1.2電力應急管理培訓的意義
現代社會的生產生活對電力系統依賴越來越強,通過研究調查發現,現有電力系統仍面臨風險,開展電力系統應急管理工作培訓對減少電力系統的風險、增強社會穩定有十分積極的作用。同時電力管理部門加強應急管理培訓是提高電力應急管理的重要手段,通過參與電力應急管理培訓,電力從業人員在遇到突發事件時,應能立即依據經驗及專業知識處理緊急事件,應急系統的管理人員也可基于培訓內容實現有效的資源調配。管理培訓工作的展開,對實現應急管理工作科學化、系統化有十分重要的作用。在如何加強培訓管理、提高培訓效果這個難題上,管理規范是保證培訓質量的前提。為保證培訓體系的完整性及科學性,同時滿足針對不同部門人員的培訓內容。本研究立足電網行業應急搶修及救援經驗,通過梳理各級人員的應急預案、應急職責、崗位風險、關鍵作業,崗位技能、應急處置過程事項等內容,總結提煉出應急知識和技能,建立相應課程名稱和課程內容框架,形成了培訓課程分類分級標準,各級單位可依據標準進行應急培訓課程設定,并依此建立具有特色的模塊化、標準化的應急管理課程體系。并將培訓對象劃分為管理類、專業技術類和技能類,其中管理類細化為6個管理層級的應急指揮人員,專業技術類細化為17個應急辦成員部門,技能類細化為42個班組及應急特種部隊。
2電力應急管理培訓課程設置
2.1培訓適用對象
為保證培訓內容更具有針對性,應急培訓課程分類分級標準,覆蓋各層級人員,各級單位可根據分類分級標準指導各級人員開展相應應急培訓,本課題提出的培訓體系對以下群體適用:應急指揮人員,即省公司、地市及縣區供電局應急指揮中心指揮人員;公司、地市及縣區供電局應急辦成員部門主要負責人;專業應急管理人員,即省公司、地市及縣區供電局應急辦成員部門專業應急管理人員及應急專家隊伍;應急特勤隊,即承擔公司屬地和跨區域重大突發事件災情勘查、應急通信系統搭建、水上救援、現場指揮部及重點場所臨時供電等危難險重應急搶修、救援任務的應急隊伍;應急搶修專業人員,即公司輸電、變電、配電(含保供電)、通信、網絡信息、試驗等專業隊伍人員;其他應急人員,即公司各級后勤、財務、安保、監理、用電檢查、計量等人員。培訓內容通過對受眾進行分類,明確了各崗位培訓的方向,形成了部門間相關聯又權責明確的系統培訓體系。這一分類標準補充了現有培訓體系中應急管理方面的空白,創新性地解決了應急管理培訓不夠系統化的問題,并及時支撐了綜合應急基地的應用。
2.2培訓內容設置
本研究通過查閱國家相關應急管理法律法規、應急行業發展狀況和趨勢,形成了12門管理類課程、21門應急專業技術類課程等應急管理專業類課程。通過匯總分析廣東省電力公司安全生產風險評估數據,根據公司面臨的人身、設備、電網、健康、環境和社會責任等六大類57小類風險應急處置能力提升目標,形成技能類課程42門。本研究所開發的課題內容有管理類、專業技術類、技能類。培訓針對應急人員進行了課程教材大綱的內容設定,明確了每門課程的內容和教材一級大綱,細化了教材知識點,針對不同的應急管理人員劃分了不同的課程重點內容,使不同層級的人員學有側重、學有方向、學有目標。管理類課程設置:針對電力企業中應急管理機制中現存問題,本套培訓內容中管理類課程分為應急管理概述、應急管理平臺應用及通信實踐、危機公關與媒體應對、災難心理學、應急演練點評及總結、電力企業“三體系一機制”應急體系建設、應急協調管理、保供電管理、供電企業應急能力建設及評估、應急支援與對接及人身事故應急處置12門課程。專業技術類課程設置:為保證應急管理人員及救援人員在緊急事件發生后,快速反應并做出較優的資源調配方案,將事故影響最小化。基于對電力企業救災搶險問題的總結及現有規章制度的規定,對專業技術類課程設置如下:應急管理概述、應急預案管理、應急演練策劃與實施、應急隊伍管理、應急裝備管理、應急協調管理、應急指揮機構建設、應急指揮平臺應用、電力企業應急能力建設、突發事件應急管理實踐、應急管理科技及文化、人身事故應急處置、應急搶修人身風險安全管控、災害現場風險辨識與預控、災難心理學、后勤應急保障與管理、應急處置機制、應急物資管理、應急通信裝備管理、電網企業輿情危機的應對與處置及電網建設規劃管理,共計21項專門課程。技能類課程設置:為形成專兼結合、精干高效、反應快速的綜合應急救援隊伍,對救援人員進行專業知識的培訓及技能課程的實操訓練是必不可少的。此套培訓課程中技能類課程設置主要包含42類:應急管理概述、應急預案管理、設備火災應急處置、一次主要設備故障應急處置、絕緣子破裂應急處置、水浸應急處置、應急裝備使用、搶險車輛交通事故應急處置、網絡攻擊應急處置、防風防汛應急處置、火災事故應急處置、設備故障應急處置、無人機事故應急處置、線路火災應急處置、雨雪冰凍應急處置、大面積停電應急處置、電力監控系統故障應急處置、通信網絡故障應急處置、光纜中斷應急處置、線路故障應急處置、應急保供電裝備運維操作技術及應用、應急協調管理、應急指揮平臺應用、反恐防暴應急處置、客戶投訴應急處置、在建工程事故應急處置、災害現場風險辨識與預控、應急物資管理、應急搶修人身風險安全管控、應急特種部隊管理、應急救援裝備實操、應急救援技術及應用、保供電管理、應急通信技術及應用、后勤應急保障與管理、電網企業輿情危機的應對與處置、災難心理學、輸電應急搶修技能、變電應急搶修技能、配電應急搶修技能、倒桿倒塔應急處置及人身事故應急處置。目前應急培訓課程分級標準的提出,使各單位不同崗位人員得以更加便利的利用課程大綱和課程重點內容。因此,該分類分級培訓的開展可使電力單位整體綜合應急管理能力得以提升。綜上,基于已編制好分類分級的培訓大綱,公司培訓管理制度相繼建立并逐步完善,各培訓工程師及各崗位人員相互配合,培訓管理系統可在電力企業中建立并投入使用。可以預見,對電力系統應急管理的分類分級培訓,對提升電力企業的綜合應急能力起到督促和推進的作用,此套培訓體系的提出也可為國內其他電力系統的培訓和應急系統建立起到引導和參考的作用。
參考文獻
[1]ArabA,KhodaeiA,KhatorSK,etal.Electricpowerfridrestorationconsideringdisastereconomics[J]IEEEAccess,2016,4.
[2]于雷.區域電網電力應急管理與評估研究[D].華北電力大學(北京),2010.
[3]黃幼茹.加強電力應急管理,保證電力安全生產第4講基于流程控制的應急管理[J].電力安全技術,2012,9.
[4]田世明,陳希,等.電力應急管理平臺研究[J].電網技術,2008,1.
網絡輿情安全應急預案范文第5篇
1、 被"信息安全"保護的對象(網絡信息系統)是一個"復雜巨系統"。
它包括了大量的軟件和硬件的IT產品;一個跨部門和跨地域的網絡通信系統;一套組織管理和標準規范的機制;一個機房、電力和安保的物理環境;一批運維、管理和應用的人群;大量珍貴和敏感的信息資源。這些都與部門業務緊密耦合,運作協調機制復雜。要保護這個"復雜巨系統"的安全,使其保證部門業務的可持續性,就帶來了巨大的艱巨性。
2、 社會正在對"網絡信息系統"形成強烈的依賴,信息安全使命艱巨。
隨著信息化的快速發展,信息化已快速融入到政治、經濟、文化、軍事、社會的各個領域,如電子政務、電子商務、數字企業、數字社區、遠程教育、網絡銀行等,使整個社會對網絡信息系統形成了強烈的依賴,如果由于信息安全原因,使系統癱瘓不能提供服務,給社會造成的影響將是嚴重的,一些重要領域想恢復原手工操作模式已成為不可能,這種嚴重后果必須要有清醒的認識。
3、 信息安全是一種高技術的對抗。
信息安全的威脅方(黑客、病毒、間諜軟件......)正在利用高技術手段,對網絡信息系統實施侵入、干擾、竊取和破壞,而其使用的的高技術手段不斷花樣翻新和日新月異,如"病毒"利用系統的漏洞侵入和泛濫,十年前從尋找漏洞到病毒入侵系統和泛濫,需要幾個月或一年的時間,而現在可能只需要一天,即稱為"零日攻擊"。"間諜軟件"潛入系統竊密途徑,DDOS拒決服務攻擊方式等都在快速的利用高技術手段,因此防護者也必需要采用高技術手段,要高于它才能奏效,對于這場高技術對抗的艱巨性必須要有充份的認識。
4、 信息安全的攻守雙方嚴重的不對稱,易攻難守。
網絡信息系統是在為全社會各領域提供信息及其服務,其大部分資源和服務是暴露在明處,而攻擊者是在暗處,它較易捕捉你的弱點,伺機侵入、潛伏、竊取和破壞,使信息安全保護者處于被動地位。
(二)、認真落實信息安全的重要使命
信息安全要創建"四種能力":
1、構建完善的信息安全基礎設施,為信息安全提供公共的支撐能力。如建立由數字認證、安全測評、網絡監控、事件通報、應急支援、災難恢復、輿情治理等信息安全基礎支撐平臺和支撐體系。
2、提升信息安全的防護與對抗能力。信息安全的攻與防是一個過程,要從預警、監測、防護、恢復、反擊等過程中各個環節都要采取有效的對抗手段,才能奏效。
3、建立應對網絡突發災難事件的應急和容災能力。當網絡突然災難事件來臨時,要啟動應急預警,采取災難恢復機制,即使在全系統毀滅的情況下,也能在異地即時恢復信息系統的使命,保持業務的可持續性。
4、強化信息安全管理可控能力。鑒于信息系統的復雜性和使用行為的多樣性,可靠技術手段是不能完全奏效的,必須要動用管理可控手段,雙管齊下,所以信息安全的對策是技術與管理手段并用。
信息安全要保障信息及其服務具有"6性":
信息的"保密性"、信息的"完整性"、系統及服務的"可用性"、信息內容及立體行為的"可核查性"、主客體身份的"真實性",主體行為和信息內容的"可控性"。
(三) 、果斷推進,信息安全的全局對策
1、 落實信息安全的等級保護制度
認真落實國家的相關信息安全的等級保護制度文件,根據網絡信息系統使命的重要性,信息系統資產價值和對社會的影響程度,確定信息系統相應的安全等級,其目的是在信息安全投入(資金、人力、資產......)與系統所能承受最小風險之間找一個科學的平衡點,保護國家、社會和業主的最大利益。
2、 構建網絡信息系統的"信息安全保障體系"
根據信息系統的安全等級,依據國家已的相關標準和規范,構建或者調整網絡信息系統的信息安全保障體系,在信息安全保障體系建設或調整中,在作好信息系統安全需求分析的基礎上,要重點抓好:①、網絡縱深防御體系的設計,安全域的科學劃分和安全邊界的有效隔離。②、網絡動態防護機制設計,安全機制能在安全對抗的全生命周期過程中有效協同和對抗。③、建設好基于密碼技術的網絡信任體系,包括身份認證,授權管理和責任認定。④、強化內部審計,從網絡級、數據庫級、系統級、主機級和介質級的全局審計入手,并逐漸使審計點前移。⑤、建設好信息系統的"信息安全管理體系"(ISMS),遵從PDCA模型,不斷優化ISMS。
3、 抓好信息安全測評的風險評估工作
鑒于網絡信息系統是一個"復雜巨系統",其信息安全檢測與風險評估就是一項"系統工程",在重視培育自評估能力的同時,要重點通過專業的第三方(行政檢查評估或服務委托評估),即時發現隱患,采取對策,調整系統,提升強度,與所確定的安全等級相匹配。
