亚洲av无码乱码中文_日韩激情一级无码毛片_国产91资源午夜福利_玖玖资源站最新地址2

直通屏山|福建|時(shí)評(píng)|大學(xué)城|臺(tái)海|娛樂(lè)|體育|國(guó)內(nèi)|國(guó)際|專(zhuān)題|網(wǎng)事|福州|廈門(mén)|莆田|泉州|漳州|龍巖|寧德|南平|三明
您所在的位置:東南網(wǎng) > 專(zhuān)題> 品牌部> 2014國(guó)家網(wǎng)絡(luò)安全宣傳周> 評(píng)論 > 正文

外包的網(wǎng)絡(luò),不能外包的安全

2014-11-26 16:27:24??來(lái)源:新華網(wǎng)  責(zé)任編輯:王秀欽   我來(lái)說(shuō)兩句
分享到:

劉海峰

北京信息安全測(cè)評(píng)中心主任

在信息技術(shù)服務(wù)外包中發(fā)生的眾多安全問(wèn)題,嚴(yán)重影響了政府部門(mén)信息技術(shù)服務(wù)外包的決策,在包與不包、包給誰(shuí)、怎樣包中作著艱難的選擇。

信息技術(shù)服務(wù)外包在經(jīng)濟(jì)結(jié)構(gòu)轉(zhuǎn)型、安排就業(yè)、綠色可持續(xù)發(fā)展等方面作用日益突出。中國(guó)服務(wù)外包研究中心2013年發(fā)布的《中國(guó)服務(wù)外包發(fā)展報(bào)告》顯示,2012年信息技術(shù)外包執(zhí)行金額達(dá)到273.6億美元,占服務(wù)外包業(yè)務(wù)總量的58.8%。同時(shí),政府部門(mén)因?yàn)槿藛T少、專(zhuān)業(yè)技術(shù)能力與服務(wù)外包企業(yè)人員相比存在差距,也迫切需要進(jìn)行信息技術(shù)服務(wù)外包。信息技術(shù)服務(wù)外包在發(fā)揮服務(wù)商專(zhuān)業(yè)優(yōu)勢(shì)和規(guī)模優(yōu)勢(shì)、降低成本、提高信息化質(zhì)量和效率的同時(shí),也引入了信息安全風(fēng)險(xiǎn)。

一、信息技術(shù)服務(wù)外包安全問(wèn)題掣肘了業(yè)務(wù)發(fā)展

政府部門(mén)信息化不斷向縱深發(fā)展,呈現(xiàn)出所建信息系統(tǒng)越來(lái)越多、積累的數(shù)據(jù)規(guī)模越來(lái)越龐大的態(tài)勢(shì)。與此相對(duì)應(yīng),政府部門(mén)需要越來(lái)越多的信息技術(shù)服務(wù)外包機(jī)構(gòu)和人員以及廠商提供的產(chǎn)品來(lái)幫助進(jìn)行信息系統(tǒng)的建設(shè)和運(yùn)維。這樣,政府部門(mén)在信息技術(shù)服務(wù)外包中,就有兩類(lèi)突出因素極易產(chǎn)生安全問(wèn)題,一是信息技術(shù)服務(wù)外包機(jī)構(gòu)和人員以及服務(wù)過(guò)程中使用的產(chǎn)品不可靠,安全堡壘就容易從內(nèi)部攻破;二是政府部門(mén)如果對(duì)外包機(jī)構(gòu)和人員管理不善,發(fā)生安全問(wèn)題也同樣在所難免。

信息技術(shù)服務(wù)外包機(jī)構(gòu)的人員利用掌握政府信息系統(tǒng)和數(shù)據(jù)的便利,為自己謀取利益,在信息技術(shù)服務(wù)外包安全事件中非常突出。如2011年上海市衛(wèi)生局外包公司的張某利用開(kāi)發(fā)維護(hù)出生系統(tǒng)數(shù)據(jù)庫(kù)的便利,非法下載了約14萬(wàn)條新生兒出生信息并出售獲利。2009年深圳福彩中心外包公司的程某通過(guò)自編木馬軟件入侵福彩中心銷(xiāo)售系統(tǒng),惡意篡改中獎(jiǎng)數(shù)據(jù)并偽造3305萬(wàn)大獎(jiǎng)。

信息技術(shù)服務(wù)外包企業(yè)主動(dòng)泄露數(shù)據(jù)的情況也較為常見(jiàn)。根據(jù)棱鏡門(mén)批露的資料,微軟、Google、Yahoo、Facebook、PalTalk、YouTube、Skype、AOL、Apple等為美國(guó)國(guó)家安全局提供視頻、語(yǔ)音、圖片、郵件、文件等數(shù)據(jù)。

信息技術(shù)服務(wù)外包信息安全問(wèn)題還表現(xiàn)在信息技術(shù)服務(wù)外包供應(yīng)鏈環(huán)節(jié)上。根據(jù)愛(ài)德華·斯諾登(Edward Snowden)提供的文件,曝光美國(guó)國(guó)家安全局(NSA)“棱鏡門(mén)”的《衛(wèi)報(bào)》記者格倫·格林沃爾德(Glenn Greenwald),在自己的新書(shū)中透露,NSA經(jīng)常會(huì)收到或攔截美國(guó)廠商的路由器、服務(wù)器以及其他網(wǎng)絡(luò)設(shè)備,會(huì)在設(shè)備中植入“后門(mén)監(jiān)控工具”,重新打包并打上工廠的密封封條,繼續(xù)運(yùn)輸,出口給國(guó)際客戶。

政府部門(mén)因信息技術(shù)服務(wù)外包管理不善導(dǎo)致出現(xiàn)信息安全問(wèn)題的情況更為常見(jiàn)。根據(jù)北京市對(duì)政府部門(mén)信息技術(shù)服務(wù)外包的調(diào)研和歷年檢查的結(jié)果來(lái)看,導(dǎo)致管理不善的突出因素表現(xiàn)在三個(gè)方面,一是對(duì)外包安全不夠重視,重建設(shè)輕運(yùn)維、重建設(shè)輕安全思想仍較普遍,運(yùn)維和信息安全保障資金申請(qǐng)較困難;二是對(duì)外包機(jī)構(gòu)和人員的管理跟不上。缺乏可靠的外包機(jī)構(gòu)和人員選擇、服務(wù)過(guò)程評(píng)估、服務(wù)成果交付驗(yàn)證以及外包機(jī)構(gòu)和人員績(jī)效考評(píng)的技術(shù)手段和標(biāo)準(zhǔn),在外包機(jī)構(gòu)和駐場(chǎng)人員多、政府部門(mén)信息化人員少的情況下,難以有效管理外包機(jī)構(gòu)和人員;三是政府部門(mén)人員少,專(zhuān)業(yè)業(yè)務(wù)能力不足,嚴(yán)重依賴外包機(jī)構(gòu)和人員,重要數(shù)據(jù)、管理口令等多為外包服務(wù)商及其人員所掌握,難以掌握管理的主動(dòng)權(quán)。

在信息技術(shù)服務(wù)外包中發(fā)生的眾多安全問(wèn)題,嚴(yán)重影響了政府部門(mén)信息技術(shù)服務(wù)外包的決策,在包與不包、包給誰(shuí)、怎樣包中作著艱難的選擇。

二、信息技術(shù)服務(wù)外包安全管理工作不斷推進(jìn)

我國(guó)政府在大力推動(dòng)信息技術(shù)服務(wù)外包產(chǎn)業(yè)發(fā)展的同時(shí),不斷加強(qiáng)服務(wù)外包的信息安全管理。

一是信息技術(shù)服務(wù)外包安全管理法規(guī)標(biāo)準(zhǔn)不斷完善。法律法規(guī)層面,出臺(tái)了有關(guān)法律法規(guī),為服務(wù)外包使用單位和提供商建立信息安全保障體系提供了全面指導(dǎo),突出落實(shí)信息安全等級(jí)保護(hù),完善信息安全認(rèn)證認(rèn)可體系,強(qiáng)調(diào)嚴(yán)格政府信息技術(shù)服務(wù)外包的安全管理,同時(shí)也提出了具體要求,各省市都加強(qiáng)了信息安全法律法規(guī)體系的建設(shè)。另外,一些標(biāo)準(zhǔn)層面的相關(guān)國(guó)家標(biāo)準(zhǔn)也正在制定中。

二是信息技術(shù)服務(wù)外包安全管理關(guān)鍵措施逐步落實(shí)。這些關(guān)鍵措施包括建立信息技術(shù)服務(wù)企業(yè)和人員資質(zhì)資格評(píng)定體系、認(rèn)證認(rèn)可體系,推動(dòng)信息安全管理體系、運(yùn)維外包服務(wù)體系等管理體系建設(shè),推動(dòng)信息技術(shù)服務(wù)外包安全的績(jī)效考核等。

在信息安全服務(wù)企業(yè)資質(zhì)評(píng)定方面,北京市走在了前列。北京信息安全測(cè)評(píng)中心根據(jù)授權(quán),按照信息安全服務(wù)企業(yè)能力評(píng)定條件要求,對(duì)服務(wù)人員通過(guò)考試進(jìn)行能力認(rèn)定,對(duì)企業(yè)通過(guò)評(píng)審進(jìn)行資質(zhì)認(rèn)定。截至2014年8月,已經(jīng)有9家企業(yè)通過(guò)北京市信息安全服務(wù)審查評(píng)定考核,619個(gè)信息安全服務(wù)(高級(jí))工程師服務(wù)于北京市電子政務(wù)各個(gè)重要領(lǐng)域,為北京市電子政務(wù)保駕護(hù)航。

在信息技術(shù)服務(wù)和人員資格認(rèn)證認(rèn)可方面,工業(yè)和信息化部建立計(jì)算機(jī)信息系統(tǒng)集成資質(zhì)管理制度,并與人力資源部和社會(huì)保障部開(kāi)展信息系統(tǒng)項(xiàng)目管理師等人員資格認(rèn)定制度;國(guó)家保密局建立了涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)集成資質(zhì)管理制度,對(duì)企業(yè)和人員進(jìn)行資質(zhì)和資格管理工作;中國(guó)信息安全認(rèn)證中心開(kāi)展了安全應(yīng)急處理服務(wù)資質(zhì)、信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)資質(zhì)、信息系統(tǒng)安全集成服務(wù)資質(zhì)等安全服務(wù)資質(zhì)的認(rèn)證;中國(guó)信息安全測(cè)評(píng)中心開(kāi)展了信息安全工程類(lèi)、信息安全災(zāi)難恢復(fù)類(lèi)、安全運(yùn)營(yíng)維護(hù)類(lèi)等安全服務(wù)資質(zhì)的認(rèn)證,并開(kāi)展注冊(cè)信息安全專(zhuān)業(yè)人員(CISP)、注冊(cè)信息安全員(CISM)等人員資質(zhì)認(rèn)定。

在信息安全管理體系等方面,《關(guān)于加強(qiáng)信息安全管理體系認(rèn)證安全管理的通知》及配套的政策文件強(qiáng)化了對(duì)信息安全管理體系認(rèn)證的管理,要求為政府部門(mén)提供信息技術(shù)外包服務(wù)的機(jī)構(gòu)申請(qǐng)信息安全管理體系認(rèn)證時(shí),若認(rèn)證范圍涉及政府信息,須經(jīng)工業(yè)和信息化主管部門(mén)同意。截止2014年8月底共有12家企業(yè)通過(guò)北京市的信息安全管理體系認(rèn)證安全審查,并全部備案,審查工作規(guī)避了這些企業(yè)的認(rèn)證過(guò)程間接泄露政府重要敏感信息的安全風(fēng)險(xiǎn)。

在信息技術(shù)服務(wù)外包安全的績(jī)效考核方面,2009年出臺(tái)《關(guān)于印發(fā)〈政府信息安全檢查方法〉的通知》,對(duì)信息技術(shù)服務(wù)安全檢查和績(jī)效考核進(jìn)行了規(guī)范,自2009年以來(lái),國(guó)家和地方政府每年都把信息技術(shù)服務(wù)外包安全作為重要檢查內(nèi)容和績(jī)效考核內(nèi)容。

三是信息技術(shù)服務(wù)外包安全管理基礎(chǔ)設(shè)施不斷建立。國(guó)家商務(wù)部建立了中國(guó)服務(wù)外包研究中心,開(kāi)通了“中國(guó)服務(wù)外包網(wǎng)”和“國(guó)家軟件與信息服務(wù)外包公共支撐平臺(tái)”等網(wǎng)站,為大力宣傳信息技術(shù)服務(wù)外包安全管理政策法規(guī)提供了平臺(tái);國(guó)家質(zhì)監(jiān)局成立了中國(guó)信息安全認(rèn)證中心,開(kāi)展對(duì)信息安全服務(wù)的認(rèn)證,為政府部門(mén)選擇適合自己安全需求的服務(wù)外包機(jī)構(gòu)提供了有力的支撐。

盡管我國(guó)圍繞政府部門(mén)信息技術(shù)服務(wù)外包安全管理已經(jīng)做了大量工作,但仍跟不上信息技術(shù)服務(wù)外包安全形勢(shì)發(fā)展的需要,提高信息技術(shù)服務(wù)外包安全,要著眼于頂層設(shè)計(jì),做到外包服務(wù)使用者、提供者、監(jiān)管者各方齊心保障,做到外包服務(wù)從選擇到中止或終止的全生命周期保障,做到從人員、采購(gòu)的產(chǎn)品到供應(yīng)鏈等全方位縱深保障。

三、如何提高政府部門(mén)信息技術(shù)服務(wù)外包安全管理水平值得深思

要全面提升信息技術(shù)服務(wù)外包安全管理水平,是一個(gè)漸進(jìn)的過(guò)程,不可能一蹴而就。在目前這個(gè)階段,應(yīng)該抓住哪些重點(diǎn)工作,做到以點(diǎn)帶面,綱舉目張,我個(gè)人認(rèn)為,亟需做好如下三件工作:

一是建立信息技術(shù)服務(wù)外包企業(yè)的審查認(rèn)證制度,把好服務(wù)事前關(guān)。建立信息技術(shù)服務(wù)外包企業(yè)的審查認(rèn)證制度,有利于通過(guò)專(zhuān)業(yè)技術(shù)力量為政府部門(mén)把好前門(mén)。審查認(rèn)證要滿足服務(wù)外包市場(chǎng)快速發(fā)展的需要,兼顧不同層次的信息技術(shù)服務(wù)外包需求,在國(guó)家主管部門(mén)的統(tǒng)籌下,充分發(fā)揮地方和行業(yè)在信息技術(shù)服務(wù)外包企業(yè)安全管理審查的積極性和創(chuàng)造性。同時(shí),要充分發(fā)揮第三方檢測(cè)認(rèn)證機(jī)構(gòu)在技術(shù)方面的支撐作用,鼓勵(lì)第三方檢測(cè)認(rèn)證機(jī)構(gòu)建立配套的服務(wù)人員認(rèn)證制度以及運(yùn)維服務(wù)體系和信息安全管理體系等體系認(rèn)證制度。審查認(rèn)證及配套制度的建立,有利于政府部門(mén)選擇信得過(guò)的、能力合適的外包企業(yè)。

二是建立持證上崗機(jī)制、安全監(jiān)理機(jī)制和服務(wù)分離機(jī)制,把好服務(wù)事中關(guān)。推行安全持證上崗制度,提高政府部門(mén)人員的安全業(yè)務(wù)能力和管理水平;推動(dòng)信息技術(shù)服務(wù)外包的安全監(jiān)理機(jī)制,由信息技術(shù)服務(wù)外包安全監(jiān)理企業(yè)協(xié)助政府部門(mén)對(duì)其他信息技術(shù)服務(wù)外包企業(yè)實(shí)行監(jiān)督管理,保證服務(wù)安全規(guī)范執(zhí)行;推動(dòng)信息系統(tǒng)使用、建設(shè)、運(yùn)維、安全管理等服務(wù)分離,形成信息技術(shù)服務(wù)外包企業(yè)的相互合作和相互制約的機(jī)制,避免特定企業(yè)權(quán)限過(guò)大。通過(guò)這些強(qiáng)練內(nèi)功和制約平衡制度的建立,可以有效提升政府部門(mén)對(duì)服務(wù)外包機(jī)構(gòu)和人員的安全管理水平。

三是建立外包機(jī)構(gòu)、人員信用制度和政府部門(mén)績(jī)效考核制度,把好服務(wù)事后關(guān)。把安全納入全國(guó)征信系統(tǒng),由信息安全主管機(jī)構(gòu)建立外包機(jī)構(gòu)和人員安全信用評(píng)價(jià)制度,由使用外包服務(wù)的政府部門(mén)對(duì)信息技術(shù)服務(wù)外包機(jī)構(gòu)和人員進(jìn)行安全信用評(píng)價(jià)。發(fā)揮國(guó)家和地方信息安全主管機(jī)構(gòu)的積極性,由信息安全主管機(jī)構(gòu)開(kāi)展政府部門(mén)信息技術(shù)服務(wù)外包安全的績(jī)效考核。通過(guò)從服務(wù)提供方和服務(wù)使用方兩個(gè)方面加強(qiáng)事后監(jiān)管,為外包服務(wù)效果把關(guān)。

通過(guò)上述機(jī)制的建立,將使得外包機(jī)構(gòu)、人員以及使用外包服務(wù)的政府部門(mén)不能、不敢和不愿因信息技術(shù)服務(wù)外包發(fā)生信息安全事件。

版權(quán)聲明:本文為新華網(wǎng)思客獨(dú)家稿件,如有轉(zhuǎn)載,請(qǐng)注明來(lái)源于新華網(wǎng)思客。

(文章為作者獨(dú)立觀點(diǎn),不代表新華網(wǎng)立場(chǎng)。)

打印 | 收藏 | 發(fā)給好友 【字號(hào)
心情版
相關(guān)評(píng)論
今日熱詞
更多>>福建今日重點(diǎn)
更多>>國(guó)際國(guó)內(nèi)熱點(diǎn)
關(guān)于我們 | 廣告服務(wù) | 網(wǎng)站地圖 | 網(wǎng)站公告 |
國(guó)新辦發(fā)函[2001]232號(hào) 閩ICP備案號(hào)(閩ICP備05022042號(hào)) 互聯(lián)網(wǎng)新聞信息服務(wù)許可證 編號(hào):35120170001 網(wǎng)絡(luò)文化經(jīng)營(yíng)許可證 閩網(wǎng)文〔2019〕3630-217號(hào)
信息網(wǎng)絡(luò)傳播視聽(tīng)節(jié)目許可(互聯(lián)網(wǎng)視聽(tīng)節(jié)目服務(wù)/移動(dòng)互聯(lián)網(wǎng)視聽(tīng)節(jié)目服務(wù))證號(hào):1310572 廣播電視節(jié)目制作經(jīng)營(yíng)許可證(閩)字第085號(hào)
網(wǎng)絡(luò)出版服務(wù)許可證 (署)網(wǎng)出證(閩)字第018號(hào) 增值電信業(yè)務(wù)經(jīng)營(yíng)許可證 閩B2-20100029 互聯(lián)網(wǎng)藥品信息服務(wù)(閩)-經(jīng)營(yíng)性-2015-0001
福建日?qǐng)?bào)報(bào)業(yè)集團(tuán)擁有東南網(wǎng)采編人員所創(chuàng)作作品之版權(quán),未經(jīng)報(bào)業(yè)集團(tuán)書(shū)面授權(quán),不得轉(zhuǎn)載、摘編或以其他方式使用和傳播
職業(yè)道德監(jiān)督、違法和不良信息舉報(bào)電話:0591-87095403(工作日9:00-12:00、15:00-18:00) 舉報(bào)郵箱:jubao@fjsen.com 福建省新聞道德委舉報(bào)電話:0591-87275327