引言：易發(fā)表網(wǎng)憑借豐富的文秘實踐，為您精心挑選了九篇網(wǎng)絡(luò)安全總體規(guī)劃范例。如需獲取更多原創(chuàng)內(nèi)容，可隨時聯(lián)系我們的客服老師。

第1篇

去年5月9日，國務(wù)院就信息化和信息安全工作召開常務(wù)會議，會議審議通過了《關(guān)于大力推進信息化發(fā)展和切實保障信息安全的若干意見》 （國發(fā)23號）。這意味著在信息安全的頂層設(shè)計中更強調(diào)對關(guān)鍵信息基礎(chǔ)設(shè)施、重要信息系統(tǒng)、政府信息系統(tǒng)以及對個人信息、企業(yè)信息，乃至信息資源的保護。與《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息處理安全保障工作的意見》（國發(fā)27號）文件相比，23號文件注入了新的政策設(shè)置，強調(diào)加強信息安全工作的頂層設(shè)計，并克服了這種誰主管、誰負(fù)責(zé)的局限性。

隨著今年國家級信息安全政策又密集出臺——8月，《國務(wù)院關(guān)于促進信息消費擴大內(nèi)需的若干意見》，隨后，國家發(fā)改委在網(wǎng)站又公布了《國家發(fā)展改革委辦公廳關(guān)于組織實施2013年國家信息安全專項有關(guān)事項的》通知，明確行業(yè)重點，信息安全頂層設(shè)計再度成為熱議話題，

那么，久為業(yè)界討論的信息安全頂層設(shè)計究竟究竟該如何成型？為此，本刊采訪了部分業(yè)內(nèi)專家，以饗讀者。

——國防大學(xué)戰(zhàn)略教研部 許蔓舒

隨著對網(wǎng)絡(luò)依賴度越來越高，網(wǎng)絡(luò)空間安全問題超越了專業(yè)技術(shù)層面，構(gòu)成直接影響國家安全的綜合挑戰(zhàn)。因此，我國網(wǎng)絡(luò)安全防護也迫切需要走出技術(shù)維護和配合的低層次運行水平，上升到統(tǒng)一籌劃、綜合防護的戰(zhàn)略高度。

首先，應(yīng)加快制定和頒布國家的網(wǎng)絡(luò)與信息安全戰(zhàn)略。趨勢表明，爭奪未來的焦點是戰(zhàn)略規(guī)劃之爭。誰能先知先覺、搶得先機，誰就有可能掌握戰(zhàn)略主動權(quán)。目前世界上已有40多個國家公開頒布國家級網(wǎng)絡(luò)空間安全戰(zhàn)略，并且隨著形勢的變化不斷出臺和調(diào)整相關(guān)政策。應(yīng)加快制定相關(guān)的國家安全戰(zhàn)略及其配套政策。

同時，把戰(zhàn)略管理的著力點放在“跨域融合”上。立足于國家安全和現(xiàn)代化建設(shè)的全局，平衡好利益沖突，融合好利益訴求，研究解決好信息化發(fā)展和管理中那些跨部門、跨領(lǐng)域、超越局部利益和短期利益的瓶頸問題。

其次，在提高自身信息系統(tǒng)防御水平方面，多采取四條措施：成立國家級的協(xié)調(diào)管理機構(gòu)；加大投入；加強立法，授權(quán)和擴大執(zhí)法部門的監(jiān)管；不斷更新技術(shù)手段。

——國家信息化專家咨詢委員會委員 曲成義

第2篇

【關(guān)鍵詞】信息安全；數(shù)據(jù)庫；網(wǎng)絡(luò)應(yīng)用；安全體系

1信息安全現(xiàn)狀

1.1目前醫(yī)院信息安全存在的問題根據(jù)衛(wèi)生部關(guān)于印發(fā)《衛(wèi)生行業(yè)信息安全等級保護工作的指導(dǎo)意見》的通知，三級甲等醫(yī)院的核心業(yè)務(wù)信息系統(tǒng)不得低于國家安全信息保護等級三級。據(jù)此我們對信息系統(tǒng)的各個方面進行了安全評估，發(fā)現(xiàn)主要有如下的問題：

（1）物理安全：機房管理混亂問題；機房場地效用不明確；機房人員訪問控制問題；

（2）網(wǎng)絡(luò)設(shè)備安全：訪問控制問題；網(wǎng)絡(luò)設(shè)備安全漏洞；設(shè)備配置安全；

（3）系統(tǒng)安全：補丁問題；運行服務(wù)問題；安全策略問題；訪問控制問題；默認(rèn)共享問題；防病毒情況；

（4）數(shù)據(jù)安全：數(shù)據(jù)庫補丁問題；SQL數(shù)據(jù)庫默認(rèn)賬號問題；SQL數(shù)據(jù)庫弱口令問題；SQL數(shù)據(jù)庫默認(rèn)配置問題；（5）網(wǎng)絡(luò)區(qū)域安全：醫(yī)院內(nèi)網(wǎng)安全措施完善；醫(yī)院內(nèi)網(wǎng)的訪問控制問題；醫(yī)院內(nèi)外網(wǎng)互訪控制問題；

（6）安全管理：沒有建立安全管理組織；沒有制定總體的安全策略；沒有落實各個部門信息安全的責(zé)任人；缺少安全管理文檔。

1.2當(dāng)前醫(yī)院信息安全存在的問題，主要表現(xiàn)在如下的幾個方面

（1）機房所處環(huán)境不合格，場地效用不明確，人員訪問控制不足，管理混亂。

（2）在辦公外網(wǎng)中，醫(yī)院建立了基本的安全體系，但是還需要進一步的完善，例如辦公外網(wǎng)總出口有單點故障的隱患、門戶網(wǎng)站有被撰改的隱患。

（3）在醫(yī)院內(nèi)網(wǎng)中，內(nèi)網(wǎng)與辦公外網(wǎng)之間沒有做訪問控制，存在蠕蟲病毒相互擴散的可能。

（4）沒有成立安全應(yīng)急小組，雖然有相應(yīng)的應(yīng)急事件預(yù)案，但缺少安全預(yù)案的應(yīng)急演練；缺少安全事件應(yīng)急處理流程與規(guī)范，也沒有對安全事件的處理過程做記錄歸檔。

（5）沒有建立數(shù)據(jù)備份與恢復(fù)制度；缺少對備份的數(shù)據(jù)做恢復(fù)演練，保證備份數(shù)據(jù)的有效性和可用性，在出現(xiàn)數(shù)據(jù)故障的時候能夠及時的進行恢復(fù)操作。

2醫(yī)院信息安全總體規(guī)劃

2.1設(shè)計目標(biāo)、依據(jù)及原則

2.1.1設(shè)計目標(biāo)

信息系統(tǒng)是醫(yī)院日常工作的重要應(yīng)用，存儲著重要的數(shù)據(jù)資源，是醫(yī)院正常運行必不可少的組成部分，所以必須從硬件設(shè)施、軟件系統(tǒng)、安全管理等方面，加強安全保障體系的建設(shè)，為醫(yī)院工作應(yīng)用提供安全可靠的運行環(huán)境。

2.1.2設(shè)計依據(jù)

（1）《信息安全等級保護管理辦法》；

（2）《信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則》；

（3）《衛(wèi)生部衛(wèi)生行業(yè)信息安全等級保護工作的指導(dǎo)意見》；

（4）《電子計算機場地通用規(guī)范》。

2.1.3設(shè)計原則

醫(yī)院信息安全系統(tǒng)在整體設(shè)計過程中應(yīng)遵循如下的原則：分級保護原則：以應(yīng)用為主導(dǎo)，科學(xué)劃分網(wǎng)絡(luò)安全防護與業(yè)務(wù)安全保護的安全等級，并依據(jù)安全等級進行安全建設(shè)和管理，保證服務(wù)的有效性和快捷性。最小特權(quán)原則：整個系統(tǒng)中的任何主體和客體不應(yīng)具有超出執(zhí)行任務(wù)所需權(quán)力以外的權(quán)力。標(biāo)準(zhǔn)化與一致性原則：醫(yī)院信息系統(tǒng)是一個龐大的系統(tǒng)工程，其安全保障體系的設(shè)計必須遵循一系列的標(biāo)準(zhǔn)，這樣才能確保各個分系統(tǒng)的一致性，使整個醫(yī)院信息系統(tǒng)安全地互聯(lián)互通、信息共享。多重保護原則：任何安全措施都不是絕對安全的，都可能被攻破。但是建立一個多重保護系統(tǒng)，各層保護相互補充，當(dāng)一層被攻破時，其他層仍可保護系統(tǒng)的安全。易操作性原則：安全措施需要人去完成，如果措施過于復(fù)雜，對人的要求過高，本身就降低了安全性；其次，措施的采用不能影響系統(tǒng)的正常運行。適應(yīng)性及靈活性原則：安全措施必須能隨著系統(tǒng)性能及安全需求的變化而變化，要容易適應(yīng)、容易修改和升級。

2.2總體信息安全規(guī)劃方案

2.2.1基礎(chǔ)保障體系

建設(shè)信息安全基礎(chǔ)保障體系，是一項復(fù)雜的、綜合的系統(tǒng)工程，是堅持積極防御、綜合防范方針的具體體現(xiàn)。目前醫(yī)院基礎(chǔ)保障體系已經(jīng)初具規(guī)模，但是還存在個別問題，需要進一步的完善。

2.2.2監(jiān)控審計體系

監(jiān)控審計體系設(shè)計的實現(xiàn)，能完成對醫(yī)院內(nèi)網(wǎng)所有網(wǎng)上行為的監(jiān)控。通過此體系監(jiān)控到的數(shù)據(jù)能對醫(yī)院內(nèi)部網(wǎng)絡(luò)的使用率、數(shù)據(jù)流量、應(yīng)用提供比例、安全事件記錄、網(wǎng)絡(luò)設(shè)備的動作情況、網(wǎng)絡(luò)內(nèi)人員的網(wǎng)上行為記錄、網(wǎng)絡(luò)整體風(fēng)險情況等有較全面的了解。

2.2.3應(yīng)急響應(yīng)體系

應(yīng)急響應(yīng)體系的主要功能是采取足夠的主動措施解決各類安全事件。安全事件可以被許多不同的事件觸發(fā)并破壞單個系統(tǒng)或整個網(wǎng)絡(luò)的可用性，完整性、數(shù)據(jù)的保密性。引發(fā)或可能引發(fā)本地小范圍破壞的安全問題應(yīng)該就地解決，以避免加重整個醫(yī)院信息網(wǎng)絡(luò)的安全風(fēng)險。

2.2.4災(zāi)難備份與恢復(fù)體系

為了保證醫(yī)院信息系統(tǒng)的正常運行，抵抗包括地震、火災(zāi)、水災(zāi)等自然災(zāi)難，以及戰(zhàn)爭、網(wǎng)絡(luò)攻擊、設(shè)備系統(tǒng)故障和人為破壞等無法預(yù)料的突發(fā)事件造成的損害，應(yīng)該建立一個災(zāi)難備份與恢復(fù)體系。在這個體系里主要包括下面三個部分：政務(wù)內(nèi)網(wǎng)線路的冗余備份、主機服務(wù)器的系統(tǒng)備份與恢復(fù)、數(shù)據(jù)庫系統(tǒng)的備份與恢復(fù)。

3結(jié)論

通過對醫(yī)院的信息安全風(fēng)險評估，我們發(fā)現(xiàn)了大量關(guān)于物理安全、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)等等方面的漏洞。為了達到對安全風(fēng)險的長期有效的管理，我們進行了具有體系性和原則性并能夠符合醫(yī)院實際需求的規(guī)劃。

參考文獻

[1]王立，史明磊.醫(yī)院信息系統(tǒng)的建設(shè)與維護[J].醫(yī)學(xué)信息，2007，20（3）.

[2]王洪萍，程濤.醫(yī)院信息系統(tǒng)安全技術(shù)分析[J].醫(yī)院管理雜志，2011，18（11）.

[3]尚邦治.醫(yī)院信息系統(tǒng)安全問題[J].醫(yī)療設(shè)備信息，2004，19（9）.

第3篇

課題研究主要內(nèi)容包括智慧信息化整體架構(gòu)特征、安全框架，安全保障管理要求、技術(shù)要求及保障機制等。

概述

智慧信息化整體架構(gòu)與主要特征

智慧信息化整體架構(gòu)模型主要包括物聯(lián)感知層，網(wǎng)絡(luò)通信層，計算與存儲層，數(shù)據(jù)及服務(wù)支撐層，智慧應(yīng)用層，安全保障體系，運維管理體系，建設(shè)質(zhì)量管理體系等。具有開放性、移動化、集中化、協(xié)同化、高滲透等主要特征。

智慧信息系統(tǒng)安全風(fēng)險分析

根據(jù)智慧信息化特征，結(jié)合信息安全體系層次模式，逐層分析智慧信息化帶來新的安全風(fēng)險。

物理屏障層，主要包括場地門禁、設(shè)備監(jiān)控、警衛(wèi)等。移動性特點帶來物理介質(zhì)的安全新風(fēng)險。移動設(shè)備和智能終端自身防御能力弱、數(shù)量大、分布散、采用無線連接、缺少有效監(jiān)控等帶來的風(fēng)險。

安全技術(shù)層，主要包括防火墻、防病毒、過濾等安全技術(shù)。云計算、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)等技術(shù)的開放性、協(xié)同性等特征帶來的安全新風(fēng)險。

管理制度層，主要包括信息安全人事、操作和設(shè)備等。智慧信息化環(huán)境下信息資源高度集中、服務(wù)外包等新模式帶來的管理制度上的新風(fēng)險。

政策法規(guī)層，主要包括信息安全法律、規(guī)章和政策等。對各類海量數(shù)據(jù)整合、共享和智能化的挖掘利用等深度開發(fā)帶來的信息管理政策法規(guī)上的新風(fēng)險。

安全素養(yǎng)層，主要包括民眾信息安全意識、方法、經(jīng)驗等。智慧信息化帶來威脅快速傳播、波及范圍倍增擴大的風(fēng)險，信息安全威脅的主體發(fā)生轉(zhuǎn)換，社會公眾的高度參與，用戶、技術(shù)與管理人員的安全意識和素養(yǎng)帶來的風(fēng)險比傳統(tǒng)系統(tǒng)更大。

智慧信息系統(tǒng)安全框架

智慧信息系統(tǒng)安全框架如圖2所示。管理終端和其他經(jīng)過認(rèn)證授權(quán)的可信終端作為智慧信息系統(tǒng)可信組成部分，需要進行邊界防護，防止越權(quán)訪問，互聯(lián)網(wǎng)用戶等非可信組成部分，要采取安全隔離措施，使其只能訪問受限資源，防止內(nèi)部數(shù)據(jù)非法流出。對數(shù)據(jù)區(qū)域、物聯(lián)網(wǎng)感知區(qū)域、物聯(lián)網(wǎng)控制區(qū)域以及基礎(chǔ)設(shè)施的管理區(qū)域進行嚴(yán)格的安全域劃分，針對不同的安全域?qū)嵤┌踩a(chǎn)品的監(jiān)測、防護、審計等不同的安全策略以保護數(shù)據(jù)安全，再配合同步進行的體系建設(shè)、安全培訓(xùn)等安全服務(wù)措施，實現(xiàn)智慧信息系統(tǒng)的深度防御。

管理要求

安全保障規(guī)劃。信息化主管部門負(fù)責(zé)智慧信息化發(fā)展總體安全保障規(guī)劃，各相關(guān)領(lǐng)域主管部門負(fù)責(zé)專項領(lǐng)域安全保障規(guī)劃。確定安全目標(biāo)，提出與業(yè)務(wù)戰(zhàn)略相一致的安全總體方針及方案。

安全保障需求分析。項目單位分析系統(tǒng)的安全保護等級并通過論證、審核、備案；根據(jù)安全目標(biāo)，分析系統(tǒng)運行環(huán)境、潛在威脅、資產(chǎn)重要性、脆弱性等，找出現(xiàn)有安全保護水平的差距，提出安全保障需求。

安全保障設(shè)計。項目單位根據(jù)系統(tǒng)總體安全方案中要求的安全策略、安全技術(shù)體系結(jié)構(gòu)、安全措施和要求落實到產(chǎn)品功能、物理形態(tài)和具體規(guī)范上。并形成指導(dǎo)安全實施的指導(dǎo)性文件。

安全保障實施。建立安全管理職能部門，通過崗位設(shè)置、授權(quán)分工及資源配備，為系統(tǒng)安全實施提供組織保障。對項目質(zhì)量、進度和變更等進行全過程管控及評估。

安全檢測驗收。系統(tǒng)運行前進行安全審查，關(guān)注系統(tǒng)的安全控制、權(quán)限設(shè)置等的正確性、連貫性、完整性、可審計性和及時性等。上線進行安全測試和評估，包括安全符合性查驗，軟件代碼安全測試，漏洞掃描，系統(tǒng)滲透性測試等，確保系統(tǒng)安全性。

運維安全保障。建立系統(tǒng)安全管理行為規(guī)范和操作規(guī)程，包括機房安全管理制度，資產(chǎn)安全管理制度，介質(zhì)安全管理制度，網(wǎng)絡(luò)安全管理制度，個人桌面終端安全管理制度等并嚴(yán)格按照制度監(jiān)督執(zhí)行。

優(yōu)化與持續(xù)改進。在系統(tǒng)運行一段時間或重大結(jié)構(gòu)調(diào)整后進行評估，對系統(tǒng)各項風(fēng)險控制是否恰當(dāng)，能否實現(xiàn)預(yù)定目標(biāo)提出改進建議。

技術(shù)要求

計算環(huán)境安全要求

服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、終端及機房安全、操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)應(yīng)遵循GB/T 22239-2008對應(yīng)安全保護等級中相關(guān)安全控制項要求，并對重要設(shè)備的安全配置和安全狀態(tài)等進行嚴(yán)格的監(jiān)控與檢測。

網(wǎng)絡(luò)虛擬化資源池應(yīng)支持基于虛擬化實例的獨立的安全管理。多租戶環(huán)境下，租戶之間的網(wǎng)絡(luò)支持虛擬化安全隔離，各個租戶可以同時對自身的安全資源進行管理。

應(yīng)提供以密碼技術(shù)為前提的安全接入服務(wù)，保證終端能夠選擇加密通信方式安全接入云計算平臺。

通信網(wǎng)絡(luò)安全要求

對應(yīng)安全保護等級中網(wǎng)絡(luò)安全控制項要求，覆蓋結(jié)構(gòu)安全、訪問控制、安全審計、邊界完整性檢查、入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)備防護等控制項要求。

虛擬網(wǎng)絡(luò)資源間的訪問，應(yīng)實施網(wǎng)絡(luò)邏輯隔離并提供訪問控制手段。從區(qū)域邊界訪問控制、包過濾、安全審計及完整性保護等方面保護虛擬邊界安全。

智慧網(wǎng)絡(luò)應(yīng)具備網(wǎng)絡(luò)接入認(rèn)證能力，確保可信授權(quán)終端接入網(wǎng)絡(luò)。采取數(shù)據(jù)加密、信道加密等措施加強無線網(wǎng)絡(luò)及其他信道的安全，防止敏感數(shù)據(jù)泄漏，保證傳輸數(shù)據(jù)完整性。

終端安全要求

對應(yīng)安全保護等級中終端安全及GAT671-2006的安全控制項要求，覆蓋物理安全、身份鑒別、訪問控制、安全審計、惡意代碼防范、入侵防范、資源控制等內(nèi)容。

建設(shè)統(tǒng)一的終端安全管理體系，規(guī)范終端的各類訪問、操作及使用行為，確保接入終端的安全合規(guī)、可管理、可控制、可審計。在重要終端中嵌入帶有密碼性安全子系統(tǒng)的終端芯片。

應(yīng)用安全要求

滿足對應(yīng)安全保護等級中應(yīng)用安全控制項要求，覆蓋身份鑒別、訪問控制、安全控制、通信完整性、通信保密性、抗抵賴、軟件容錯、資源控制等內(nèi)容。

進行可信執(zhí)行保護，構(gòu)建從操作系統(tǒng)到上層應(yīng)用的信任鏈，實現(xiàn)可執(zhí)行程序的完整性檢驗，防范惡意代碼等攻擊，并在受破壞時恢復(fù)。建立統(tǒng)一帳號、認(rèn)證授權(quán)和審計系統(tǒng)，實現(xiàn)訪問可溯。

遵循安全最小化原則，關(guān)閉未使用服務(wù)組件和端口；加強內(nèi)存管理，防止駐留剩余信息被非授權(quán)獲取；加強安全加固，對補丁與現(xiàn)有系統(tǒng)的兼容性進行測試；限制匿名用戶的訪問權(quán)限，支持設(shè)置用戶并發(fā)連接次數(shù)、連接超時限制等，采用最小授權(quán)原則。

數(shù)據(jù)安全要求

滿足對應(yīng)安全保護等級中數(shù)據(jù)安全控制項要求，覆蓋數(shù)據(jù)完整性、數(shù)據(jù)保密性、備份與恢復(fù)等內(nèi)容。

將信息部署或遷移到云計算平臺之前，明確信息類型及安全屬性進行分類分級，對不同類別信息采取不同保護措施，重點防范用戶越權(quán)訪問、篡改敏感信息。

在多租戶云計算環(huán)境下，通過物理隔離、虛擬化和應(yīng)用支持多租戶架構(gòu)等實現(xiàn)不同租戶之間數(shù)據(jù)和配置安全隔離，保證每個租戶數(shù)據(jù)安全隱私。確保法律監(jiān)管部門要求的數(shù)據(jù)可被找回。

虛擬存儲系統(tǒng)應(yīng)支持按照數(shù)據(jù)安全級別建立容錯和容災(zāi)機制，防止數(shù)據(jù)損失；建立災(zāi)備中心，保證數(shù)據(jù)副本存儲在合同法規(guī)允許的位置。

全面有效定位云計算數(shù)據(jù)、擦除/銷毀數(shù)據(jù)，并保證數(shù)據(jù)已被完全消除或使其無法恢復(fù)。

密碼技術(shù)要求

物理要求。在系統(tǒng)平臺基礎(chǔ)設(shè)施方面使用密碼技術(shù)。

網(wǎng)絡(luò)要求。在安全訪問路徑、訪問控制和身份鑒別方面使用密碼技術(shù)。

主機要求。在身份鑒別、訪問控制、審計記錄等方面使用密碼技術(shù)。

應(yīng)用要求。在身份鑒別、訪問控制、審計記錄和通信安全方面應(yīng)當(dāng)使用密碼技術(shù)。

數(shù)據(jù)要求。在數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲安全和安全通信協(xié)議方面使用密碼技術(shù)。

安全域劃分與管理研究

智慧信息系統(tǒng)安全域可以分為安全計算域、安全用戶域、安全網(wǎng)絡(luò)域。

安全計算域：由一個或多個主機/服務(wù)器經(jīng)局域網(wǎng)連接組成的存儲和處理數(shù)據(jù)信息的區(qū)域，是需要進行相同安全保護的主機/服務(wù)器的集合。安全計算域可以細(xì)分為核心計算域和安全支撐域。

安全用戶域：由一個或多個用戶終端計算機組成的存儲、處理和使用數(shù)據(jù)信息的區(qū)域。

安全網(wǎng)絡(luò)域：支撐安全域的網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)拓?fù)洌雷o重點是保障網(wǎng)絡(luò)性能和進行各子域的安全隔離與邊界防護。連接安全計算域和安全計算域、安全計算域和安全用戶域之間的網(wǎng)絡(luò)系統(tǒng)組成的區(qū)域。安全網(wǎng)絡(luò)域可以進一步細(xì)分為感知網(wǎng)接入域、互聯(lián)網(wǎng)接入域、外聯(lián)網(wǎng)接入域、內(nèi)聯(lián)網(wǎng)接入域、備份網(wǎng)絡(luò)接入域。

安全管理平臺技術(shù)要求

對安全事件進行集中收集、高度聚合存儲及分析，實時監(jiān)控全網(wǎng)安全狀況，并可根據(jù)需求提供各種網(wǎng)絡(luò)安全狀況審計報告。

智慧監(jiān)測。針對大數(shù)據(jù)，通過預(yù)警平臺對流量監(jiān)測分析，為管理者提前預(yù)警，避免安全事件擴大化；監(jiān)聽無線數(shù)據(jù)包，進行網(wǎng)絡(luò)邊界控制，對智慧信息系統(tǒng)內(nèi)部網(wǎng)絡(luò)實施安全保護。

智慧審計。通過運維審計與風(fēng)險控制系統(tǒng)對系統(tǒng)運維人員的集中賬號和訪問通道管控；通過數(shù)據(jù)庫審計系統(tǒng)對數(shù)據(jù)庫訪問流量進行數(shù)據(jù)報文字段級解析操作，應(yīng)對來自運維人員或外部入侵的數(shù)據(jù)威脅；通過綜合日志審計系統(tǒng)實現(xiàn)對違規(guī)行為監(jiān)控，追蹤非法操作的直接證據(jù)，推動監(jiān)測防護策略、管理措施的提升，實現(xiàn)信息安全閉環(huán)管理；針對應(yīng)用層的實時審計、監(jiān)測及自動防護。

智慧日志分析。對海量原始日志，按照策略進行過濾歸并，減輕日志數(shù)據(jù)傳輸存儲壓力。對來自各資源日志信息，提供多維關(guān)聯(lián)分析功能，包括基于源、目的、協(xié)議、端口、攻擊類型等多種統(tǒng)計項目報表。多租戶環(huán)境支持，支持虛擬化實例，能夠區(qū)分不同租戶的日志以及為不同租戶提供統(tǒng)計報表。

智慧協(xié)同。根據(jù)開放性及應(yīng)急響應(yīng)技術(shù)要求，安全管理平臺需考慮和周邊系統(tǒng)互聯(lián)互通，支持開放的API，相互傳遞有價值安全信息，以進行協(xié)同聯(lián)動。

除了以上八個技術(shù)方面的要求外，智慧信息化安全保障體系還對安全產(chǎn)品、產(chǎn)品安全接口等方面也做出了相關(guān)要求。

保障機制

建立責(zé)任人體制。建設(shè)單位指定信息安全保障第一責(zé)任人，明確各環(huán)節(jié)主體責(zé)任，制定安全保障崗位責(zé)任制度，并監(jiān)督落實。

建立追溯查證體系。建立全流程追溯查證體系，對存在的違法入侵進行有效取證，保證證據(jù)數(shù)據(jù)不被改變和刪除。參照ISO/IEC 27037：2012、ISO/IEC27042。

建立監(jiān)督檢查機制。由信息安全監(jiān)管部門，通過備案、檢查、督促整改等方式，對建設(shè)項目的信息安全保護工作進行指導(dǎo)監(jiān)督。

建立應(yīng)急處理機制。參照GB/Z 20986-2007將安全事件依次進行分級，按照分級情況制定應(yīng)急預(yù)案，定期對應(yīng)急預(yù)案進行演練。

建立服務(wù)外包安全責(zé)任機制。安全服務(wù)商的選擇符合國家有關(guān)規(guī)定，確保提供服務(wù)的數(shù)據(jù)中心、云計算服務(wù)平臺等設(shè)在境內(nèi)。

建立風(fēng)險評估測評機制。對總體規(guī)劃、設(shè)計方案等的合理性和正確性以及安全控制的有效性進行評估。委托符合條件的風(fēng)險評估服務(wù)機構(gòu)，對重要信息系統(tǒng)檢查評估。定期對系統(tǒng)進行安全自查與測評。

第4篇

 

1現(xiàn)狀與問題

 

1.信息安全現(xiàn)狀

 

隨著信息化建設(shè)的推進，我校信息化建設(shè)初具規(guī)模，軟硬件設(shè)備配備完成，運行保障的基礎(chǔ)技術(shù)手段基本具備。網(wǎng)絡(luò)中心技術(shù)力量雄厚，承擔(dān)網(wǎng)絡(luò)系統(tǒng)管理和應(yīng)用支持的專業(yè)技術(shù)人員達20余人;針對重要應(yīng)用系統(tǒng)采用了防火墻、IPS/IDS、防病毒等常規(guī)安全防護手段，保障了核心業(yè)務(wù)系統(tǒng)在一般情況下的正常運行，具備了基本的安全防護能力|6];日常運行管理規(guī)范，按照信息基礎(chǔ)設(shè)施運行操作流程和管理對象的不同，確定了網(wǎng)絡(luò)系統(tǒng)運行保障管理的角色和崗位，初步建立了問題處理的應(yīng)急響應(yīng)機制。由網(wǎng)絡(luò)中心進行日常管理的主要有六大業(yè)務(wù)應(yīng)用系統(tǒng)，即網(wǎng)絡(luò)通信平臺、認(rèn)證計費系統(tǒng)、校園一卡通、電子校務(wù)系統(tǒng)、網(wǎng)站群、郵件系統(tǒng)。

 

網(wǎng)絡(luò)通信平臺是大學(xué)各大業(yè)務(wù)平臺的基礎(chǔ)核心，是整個校園網(wǎng)的基礎(chǔ)，其他應(yīng)用系統(tǒng)都運行在高校的基礎(chǔ)網(wǎng)絡(luò)環(huán)境上;認(rèn)證計費系統(tǒng)是針對用戶接入校園網(wǎng)和互聯(lián)網(wǎng)的一種接入認(rèn)證計費的管理方式;校園一卡通系統(tǒng)建設(shè)在物理專網(wǎng)上，主要實現(xiàn)學(xué)生校園卡消費管理，校園卡與大學(xué)網(wǎng)絡(luò)有3個物理接口;電子校務(wù)系統(tǒng)是大學(xué)最重要的業(yè)務(wù)應(yīng)用系統(tǒng)，系統(tǒng)中存儲著重要的教務(wù)工作數(shù)據(jù)、學(xué)生考試信息、財務(wù)數(shù)據(jù)等重要數(shù)據(jù)信息;大學(xué)主頁網(wǎng)站系統(tǒng)為大學(xué)校園的互聯(lián)網(wǎng)窗口起到學(xué)校對外介紹宣傳的功能;郵件系統(tǒng)主要為大學(xué)教師與學(xué)生提供郵件收發(fā)服務(wù)，目前郵件系統(tǒng)注冊用1.2面臨的主要問題

 

通過等級保護差距分析和風(fēng)險評估，目前大學(xué)所面臨的信息安全風(fēng)險和主要問題如下：

 

(1)高校領(lǐng)域沒有總體安全標(biāo)準(zhǔn)指引，方向不明確，缺少主線。

 

(2)對國際國內(nèi)信息安全法律法規(guī)缺乏深刻意識和認(rèn)識。

 

(3)信息安全機構(gòu)不完善，缺乏總體安全方針與策略，職責(zé)不夠明確。

 

(4)教職員工和學(xué)生數(shù)量龐大，管理復(fù)雜，人員安全意識相對薄弱，日常安全問題多。

 

()建設(shè)投資和投入有限，運維和管理人員的信息安全專業(yè)能力有待提高。

 

(6)內(nèi)部管理相對松散，缺乏安全監(jiān)管及檢查機制，無法有效整體管控。

 

(7)缺乏信息安全總體規(guī)劃，難以全面提升管理

 

(8)缺乏監(jiān)控、預(yù)警、響應(yīng)、恢復(fù)的集中運行管理手段，無法提高安全運維能力。

 

2建設(shè)思路

 

2.1建設(shè)原則和工作路線

 

學(xué)校信息安全建設(shè)的總體原則是:總體規(guī)劃、適度防護，分級分域、強化控制，保障核心、提升管理，支撐應(yīng)用、規(guī)范運維。

 

依據(jù)這一總體原則，我們的信息安全體系建設(shè)工作以風(fēng)險評估為起點，以安全體系為核心，通過對安全工作生命周期的理解從風(fēng)險評估、安全體系規(guī)劃著手，并以解決方案和策略設(shè)計落實安全體系的各個環(huán)節(jié)，在建設(shè)過程中逐步完善安全體系，以安全體系運行維護和管理的過程等全面滿足安全工作各個層面的安全需求，最終達到全面、持續(xù)、突出重點的安全保障。

 

2.2體系框架

 

信息安全體系框架依據(jù)《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》GBT22239-2008、《信息系統(tǒng)等級保護安全建設(shè)技術(shù)方案設(shè)計要求》(征求意見稿)，并吸納了IATF模型[7]中“深度防護戰(zhàn)略，，理論，強調(diào)安全策略、安全技術(shù)、安全組織和安全運行4個核心原則，重點關(guān)注計算環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)等多個層次的安全防護，構(gòu)建信息系統(tǒng)的安全技術(shù)體系和安全管理體系，并通過安全運維服務(wù)和itsm[8]集中運維管理(基于IT服務(wù)管理標(biāo)準(zhǔn)的最佳實踐)，形成了集風(fēng)險評估、安全加固、安全巡檢、統(tǒng)一監(jiān)控、提前預(yù)警、應(yīng)急響應(yīng)、系統(tǒng)恢復(fù)、安全審計和違規(guī)取證于一體的安全運維體系架構(gòu)(見圖2)，從而實現(xiàn)并覆蓋了等級保護基本要求中對網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全和管理安全的防護要求，以滿足信息系統(tǒng)全方位的安全保護需求。

 

(1)安全策略：明確信息安全工作目的、信息安全建設(shè)目標(biāo)、信息安全管理目標(biāo)等，是信息安全各個方面所應(yīng)遵守的原則方法和指導(dǎo)性策略。

 

(2)安全組織：是信息安全體系框架中最重要的

 

各級組織間的工作職責(zé)，覆蓋安全管理制度、安全管理機構(gòu)和人員安全管理3個部分。

 

(3)安全運行：是信息安全體系框架中最重要的安全管理策略之一，是維持信息系統(tǒng)持續(xù)運行的保障制度和規(guī)范。主要集中在規(guī)范信息系統(tǒng)應(yīng)用過程和人員的操作執(zhí)行，該部分以國家等級保護制度為依據(jù)，覆蓋系統(tǒng)建設(shè)管理、系統(tǒng)運維管理2個部分。

 

(4)安全技術(shù):是從技術(shù)角度出發(fā)，落實學(xué)校組織機構(gòu)的總體安全策略及管理的具體技術(shù)措施的實現(xiàn)，是對各個防護對象進行有效地技術(shù)措施保護。安全技術(shù)注重信息系統(tǒng)執(zhí)行的安全控制，針對未授權(quán)的訪問或誤用提供自動保護，發(fā)現(xiàn)違背安全策略的行為，并滿足應(yīng)用程序和數(shù)據(jù)的安全需求。安全技術(shù)包含通信網(wǎng)絡(luò)、計算環(huán)境、區(qū)域邊界和提供整體安全支撐的安全支撐平臺。該部分以國家等級保護制度為依據(jù)，覆蓋物理層、網(wǎng)絡(luò)層、主機層、應(yīng)用層和數(shù)據(jù)層5個部分。

 

()安全運維:安全運維服務(wù)體系架構(gòu)共分兩層，實現(xiàn)人員、技術(shù)、流程三者的完美整合，通過基于ITIL[9]的運維管理方法，保障基礎(chǔ)設(shè)施和生產(chǎn)環(huán)境的正常運轉(zhuǎn)，提升業(yè)務(wù)的可持續(xù)性，從而也體現(xiàn)了安全運3重點建設(shè)工作

 

3.1安全滲透測試

 

2009年4月，學(xué)校對38個網(wǎng)站、2個關(guān)鍵系統(tǒng)和6臺主機系統(tǒng)進行遠(yuǎn)程滲透測評。通過測評，全面、完整地了解了當(dāng)前系統(tǒng)的安全狀況，發(fā)現(xiàn)了20個高危漏洞，并針對高危漏洞分析了系統(tǒng)所面臨的各種風(fēng)險，根據(jù)測評結(jié)果發(fā)現(xiàn)被測系統(tǒng)存在的安全隱患。滲透測試主要任務(wù)包括:收集網(wǎng)站信息、網(wǎng)站威脅分析、脆弱性分析和滲透入侵測評、提升權(quán)限測評、獲取代碼、滲透測評報告。

 

3.2風(fēng)險評估和安全加固

 

2009年5月，依據(jù)安全滲透測試結(jié)果，對大學(xué)的六大信息系統(tǒng)進行了安全測評。根據(jù)評估結(jié)果得出系統(tǒng)存在的安全問題，并對嚴(yán)重的問題提出相應(yīng)的風(fēng)險控制策略。主要工作任務(wù)包括:系統(tǒng)調(diào)研、方案編寫、現(xiàn)場檢測、資產(chǎn)分析、威脅分析、脆弱性分析和風(fēng)險分析。通過風(fēng)險評估最終得出了威脅的數(shù)量和等級，表1、表2為威脅的數(shù)量和等級統(tǒng)計。2009年6月和9月，基于風(fēng)險評估結(jié)果，對涉及到的網(wǎng)絡(luò)設(shè)備(4臺)和主機設(shè)備(14臺)進行了安全加固工作。

 

3.3安全體系規(guī)劃

 

根據(jù)前期對全校的網(wǎng)絡(luò)、重要信息系統(tǒng)及管理層面的全面評估和了解整理出符合大學(xué)實際的安全需求，并結(jié)合實際業(yè)務(wù)要求，對學(xué)校整體信息系統(tǒng)的安全工作進行規(guī)劃和設(shè)計，并通過未來3年的逐步安全建設(shè)，滿足學(xué)校的信息安全目標(biāo)及國家相關(guān)政策和標(biāo)準(zhǔn)學(xué)校依據(jù)國際國內(nèi)規(guī)范及標(biāo)準(zhǔn)，參考業(yè)界的最佳實踐ISMS[10](信息安全管理體系)，結(jié)合我校目前的實際情況，制定了一套完整、科學(xué)、實際的信息安全管理體系，制定并描述了網(wǎng)絡(luò)與信息安全管理必須遵守的基本原則和要求。

 

通過信息安全管理體系的建立，使學(xué)校的組織結(jié)構(gòu)布局更加合理，人員安全意識也明顯提高，從而保證了網(wǎng)絡(luò)暢通和業(yè)務(wù)正常運行，提高了IT服務(wù)質(zhì)量。通過制度、流程、標(biāo)準(zhǔn)及規(guī)范，加強了日常安全工作執(zhí)行能力，提高了信息安全保障水平。

 

4未來展望和下一步工作

 

4.1安全防護體系

 

根據(jù)網(wǎng)絡(luò)與信息系統(tǒng)各節(jié)點的網(wǎng)絡(luò)結(jié)構(gòu)、具體的應(yīng)用以及安全等級的需求，可以考慮使用邏輯隔離技術(shù)(VLAN或防火墻技術(shù))將整個學(xué)校的網(wǎng)絡(luò)系統(tǒng)劃分為3個層次的安全域：第一層次安全域包括整個學(xué)校網(wǎng)絡(luò)信息系統(tǒng);第二層次安全域?qū)⒏鲬?yīng)用系統(tǒng)從邏輯上和物理上分別劃分;第三層次安全域主要是各應(yīng)用系統(tǒng)內(nèi)部根據(jù)應(yīng)用人群的終端分布、部門等劃分子網(wǎng)或子系統(tǒng)。

 

公鑰基礎(chǔ)設(shè)施包括：CA安全區(qū)：主要承載CAServer、主從LDAP、數(shù)據(jù)庫、加密機、OCSP等;KMC管理區(qū):主要承載KMCServer、加密機等;RA注冊區(qū):主要承載各院所的RA注冊服務(wù)器，為各院所的師生管理提供數(shù)字證書注冊服務(wù)。

 

應(yīng)用安全支撐平臺為各信息系統(tǒng)提供應(yīng)用支撐服務(wù)、安全支撐服務(wù)以及安全管理策略，使得信息系統(tǒng)建立在一個穩(wěn)定和高效的應(yīng)用框架上，封裝復(fù)雜的業(yè)務(wù)支撐服務(wù)、基礎(chǔ)安全服務(wù)、管理服務(wù)，并平滑支持業(yè)務(wù)系統(tǒng)的擴展。主要包括:統(tǒng)一身份管理、統(tǒng)一身份認(rèn)證、統(tǒng)一訪問授權(quán)、統(tǒng)一審計管理、數(shù)據(jù)安全引擎、單點登錄等功能。

 

4.2安全運維體系

 

ITSM集中運維管理解決方案面對學(xué)校日益復(fù)雜的IT環(huán)境，整合以往對各類設(shè)備、服務(wù)器、終端和業(yè)務(wù)系統(tǒng)等的分割管理，實現(xiàn)了對IT系統(tǒng)的集中、統(tǒng)一、全面的監(jiān)控與管理;系統(tǒng)通過融入ITIL等運維管理理念，達到了技術(shù)、功能、服務(wù)三方面的完全整合，實現(xiàn)了IT服務(wù)支持過程的標(biāo)準(zhǔn)化、流程化、規(guī)范化，極大地提高了故障應(yīng)急處理能力，提升了信息部門的管理效率和服務(wù)水平。

 

根據(jù)終端安全的需求，系統(tǒng)應(yīng)建設(shè)一套完整的技術(shù)平臺，以實現(xiàn)由管理員根據(jù)管理制度來制定各種詳盡的安全管理策略，對網(wǎng)內(nèi)所有終端計算機上的軟硬件資源、以及計算機上的操作行為進行有效管理。實現(xiàn)將以網(wǎng)絡(luò)為中心的分散管理變?yōu)橐杂脩魹橹行募胁呗怨芾?對終端用戶安全接入策略統(tǒng)一管理、終端用戶安全策略的強制實施、終端用戶安全狀態(tài)的集中審計;對用戶事前身份和安全級別的認(rèn)證、事中安全狀態(tài)定期安全檢測，內(nèi)容包括定期的安全風(fēng)險評估、安全加固、安全應(yīng)急響應(yīng)和安全巡檢。

 

4.3安全審計體系

第5篇

一、搞好信息安全防護是確保國家安全的重要前提

眾所周知，未來信息化戰(zhàn)爭將在陸、海、空、天、電多維空間展開，網(wǎng)絡(luò)空間的爭奪尤其激烈。如果信息安全防護工作跟不上，在戰(zhàn)爭中就可能造成信息被竊、網(wǎng)絡(luò)被毀、指揮系統(tǒng)癱瘓、制信息權(quán)喪失的嚴(yán)重后果。因此，信息安全防護不僅是贏得未來戰(zhàn)爭勝利的重要保障，而且將作為交戰(zhàn)雙方信息攻防的重要手段，貫穿戰(zhàn)爭的全過程。據(jù)有關(guān)報道披露，海灣戰(zhàn)爭前，美國特工曾在伊拉克從法國購買的打印機的引導(dǎo)程序中預(yù)埋了病毒，海灣戰(zhàn)爭一開始，美國就通過衛(wèi)星激活病毒，導(dǎo)致后來伊軍防空指揮通信系統(tǒng)陷入癱瘓。戰(zhàn)爭和軍事領(lǐng)域是這樣，政治、經(jīng)濟、文化、科技等領(lǐng)域也不例外。根據(jù)美國加利弗尼亞州銀行協(xié)會的一份報告，如果該銀行的數(shù)據(jù)庫系統(tǒng)遭到網(wǎng)絡(luò)“黑客”的破壞，3天就會影響加州的經(jīng)濟，5天就能波及全美經(jīng)濟，7天會使全世界經(jīng)濟遭受損失。鑒于信息安全如此重要，美國國家委員會早在初的《國家安全戰(zhàn)備報告》里就強調(diào)：執(zhí)行國家安全政策時把信息安全放在重要位置。俄羅斯于6月討論通過的《國家信息安全學(xué)說》，首次把信息安全正式作為一種戰(zhàn)略問題加以考慮，并從理論上和實踐上加強準(zhǔn)備。

二、我國信息安全面臨的形勢十分嚴(yán)峻

信息安全是國家安全的重要組成部分，它不僅體現(xiàn)在軍事信息安全上，同時也涉及到政治、經(jīng)濟、文化等各方面。當(dāng)今社會，由于國家活動對信息和信息網(wǎng)絡(luò)的依賴性越來越大，所以一旦信息系統(tǒng)遭到破壞，就可能導(dǎo)致整個國家能源供應(yīng)的中斷、經(jīng)濟活動的癱瘓、國防力量的削弱和社會秩序的混亂，其后果不堪設(shè)想。而令人擔(dān)憂的是，由于我國信息化起步較晚，目前信息化系統(tǒng)大多數(shù)還處在“不設(shè)防”的狀態(tài)下，國防信息安全的形勢十分嚴(yán)峻。具體體現(xiàn)在以下幾個方面：首先，全社會對信息安全的認(rèn)識還比較模糊。很多人對信息安全缺乏足夠的了解，對因忽視信息安全而可能造成的重大危害還認(rèn)識不足，信息安全觀念還十分淡薄。因此，在研究開發(fā)信息系統(tǒng)過程中對信息安全問題不夠重視，許多應(yīng)用系統(tǒng)處在不設(shè)防狀態(tài)，具有極大的風(fēng)險性和危險性。其次，我國的信息化系統(tǒng)還嚴(yán)重依賴進口，大量進口的信息技術(shù)及設(shè)備極有可能對我國信息系統(tǒng)埋下不安全的隱患。無論是在計算機硬件上，還是在計算機軟件上，我國信息化系統(tǒng)的國產(chǎn)率還較低，而在引進國外技術(shù)和設(shè)備的過程中，又缺乏必要的信息安全檢測和改造。再次，在軍事領(lǐng)域，通過網(wǎng)絡(luò)泄密的事故屢有發(fā)生，敵對勢力“黑客”攻擊對我軍事信息安全危害極大。最后，我國國家信息安全防護管理機構(gòu)缺乏權(quán)威，協(xié)調(diào)不夠，對信息系統(tǒng)的監(jiān)督管理還不夠有力。各信息系統(tǒng)條塊分割、相互隔離，管理混亂，缺乏與信息化進程相一致的國家信息安全總體規(guī)劃，妨礙了信息安全管理的方針、原則和國家有關(guān)法規(guī)的貫徹執(zhí)行。

三、積極采取措施加強信息安全防護

為了應(yīng)付信息安全所面臨的嚴(yán)峻挑戰(zhàn)，我們有必要從以下幾個方面著手，加強國防信息安全建設(shè)。

第一，要加強宣傳教育，切實增強全民的國防信息安全意識。在全社會范圍內(nèi)普及信息安全知識，樹立敵情觀念、紀(jì)律觀念和法制觀念，強化社會各界的信息安全意識，營造一個良好的信息安全防護環(huán)境。各級領(lǐng)導(dǎo)要充分認(rèn)識自己在信息安全防護工作中的重大責(zé)任，一方面要經(jīng)常分析新形勢下信息安全工作形勢，自覺針對存在的薄弱環(huán)節(jié)，采取各種措施，把這項工作做好；另一方面要結(jié)合工作實際，進行以安全防護知識、理論、技術(shù)以及有關(guān)法規(guī)為內(nèi)容的自我學(xué)習(xí)和教育。

第二，要建立完備的信息安全法律法規(guī)。信息安全需要建立完備的法律法規(guī)保護。自國家《保密法》頒布實施以來，我國先后制定和頒布了《關(guān)于維護互聯(lián)網(wǎng)安全的決定》、《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法》、《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》、《計算機信息系統(tǒng)安全專用產(chǎn)品檢測和銷售許可證管理辦法》、《計算機信息系統(tǒng)安全專用產(chǎn)品分類原則》、《金融機構(gòu)計算機信息系統(tǒng)安全保護工作暫行規(guī)定》等一系列信息安全方面的法律法規(guī)，但從整體上看，我國信息安全法規(guī)建設(shè)尚處在起步階段，層次不高，具備完整性、適用性和針對性的信息安全法律體系尚未完全形成。因此，我們應(yīng)當(dāng)加快信息安全有關(guān)法律法規(guī)的研究，及早建立我國信息安全法律法規(guī)體系。

第6篇

2007年石油石化行業(yè)按照年初國資委下發(fā)的《關(guān)于加強中央企業(yè)信息化工作的指導(dǎo)意見》，進一步規(guī)劃和部署企業(yè)信息化工作，為企業(yè)做強做大做出了應(yīng)有的貢獻。

2007年石油石化行業(yè)信息化工作在集成和深化應(yīng)用、信息安全、信息系統(tǒng)運維、IT治理和完善內(nèi)控制度等方面都做了大量工作，成效顯著。中石化通過深化應(yīng)用和集成，已經(jīng)使ERP、MES等系統(tǒng)在監(jiān)控企業(yè)運作，掌控企業(yè)動態(tài)方面的作用得到顯現(xiàn)。中海油、中石油在ERP系統(tǒng)的建設(shè)過程中就實現(xiàn)了ERP與MES、EAM等系統(tǒng)的集成，實現(xiàn)下屬企業(yè)和總部之間的縱向集成。

石油石化行業(yè)重視信息安全，積極落實四部委頒發(fā)的《信息安全等級保護管理辦法》，根據(jù)要求對信息系統(tǒng)進行安全評估，確定各系統(tǒng)的安全等級，信息系統(tǒng)安全已成為信息系統(tǒng)設(shè)計和建設(shè)的重要組成部分。信息系統(tǒng)的運維越來越受到石油石化行業(yè)的重視。

中石化已逐漸形成完整的兩層三級運維體系和有一定規(guī)模的運維隊伍。繼中海油之后，中石油也進行了ISO 20000的認(rèn)證，建立了自己的運維服務(wù)體系和平臺。石油石化行業(yè)加大IT治理方面的投入力度，研究IT治理體系、完善內(nèi)控流程和管理制度，加強對信息系統(tǒng)的風(fēng)險防范。2007年石油石化行業(yè)各大企業(yè)加快建設(shè)覆蓋全集團的集成化的信息系統(tǒng)，強化各項業(yè)務(wù)之間的協(xié)同和對下屬企業(yè)的實時管控能力。信息系統(tǒng)正從分散的局部應(yīng)用，逐步向跨部門、跨企業(yè)的全局性的集成應(yīng)用發(fā)展。

中石油: 建設(shè)統(tǒng)一集成的信息系統(tǒng)

2007年中國石油繼續(xù)按照信息技術(shù)總體規(guī)劃全面建設(shè)集團公司級統(tǒng)一的信息系統(tǒng)。各信息系統(tǒng)的陸續(xù)建成和應(yīng)用，對主營業(yè)務(wù)的支撐作用逐漸顯現(xiàn)出來，成為企業(yè)領(lǐng)導(dǎo)經(jīng)營決策和業(yè)務(wù)人員日常業(yè)務(wù)處理必不可少的工具和手段，各部門、各單位信息系統(tǒng)建設(shè)和應(yīng)用的積極性空前提高。

中國石油把信息化作為集團公司實施資源、市場和國際化三大戰(zhàn)略，提高管理水平與核心競爭力的強有力支撐。明確了“統(tǒng)一、成熟、兼容、實用、高效”的十字方針，確定了“統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一設(shè)計、統(tǒng)一投資、統(tǒng)一建設(shè)、統(tǒng)一管理”的六統(tǒng)一原則，全面、集中、統(tǒng)一、共享始終貫穿于信息化建設(shè)全過程。以ERP系統(tǒng)、專業(yè)應(yīng)用系統(tǒng)和IT基礎(chǔ)設(shè)施為重點，加快推進全局性的信息系統(tǒng)建設(shè)。

ERP系統(tǒng)整體推進步伐加快，銷售、煉油與化工、天然氣與管道和集團公司未上市部分的試點和推廣進展順利，應(yīng)用范圍涵蓋財務(wù)、采購、銷售、生產(chǎn)和庫存等業(yè)務(wù)。股份公司生產(chǎn)型企業(yè)推廣實施了健康安全環(huán)保（HSE）系統(tǒng)，地理信息系統(tǒng)開始推廣實施，企業(yè)級數(shù)據(jù)倉庫系統(tǒng)搭建起統(tǒng)一、集成的平臺。

電子商務(wù)平臺“能源一號”，五年累計實現(xiàn)電子交易額近千億元，節(jié)約采購資金數(shù)十億元。地球科學(xué)與鉆井系統(tǒng)、上游生產(chǎn)系統(tǒng)完成了試點和推廣，油田服務(wù)生產(chǎn)運行管理系統(tǒng)制定了系統(tǒng)實施標(biāo)準(zhǔn)化流程和模板，完成開發(fā)和測試，已在企業(yè)上線應(yīng)用。管道生產(chǎn)系統(tǒng)全面建成應(yīng)用，成為支持管道運營日常業(yè)務(wù)管理的重要工具。

煉油與化工運行系統(tǒng)穩(wěn)步推廣，先進計劃系統(tǒng)在公司總部及所有煉化企業(yè)全面建成應(yīng)用，實現(xiàn)了從原油采購到生產(chǎn)計劃、加工方案等方面的優(yōu)化，為快速準(zhǔn)確地編制煉油生產(chǎn)計劃，優(yōu)化原油采購、生產(chǎn)加工、產(chǎn)品調(diào)合方案提供了先進手段和工具。加油站管理系統(tǒng)的試點實施工作按計劃推進，形成標(biāo)準(zhǔn)系統(tǒng)模板，為下步推廣奠定了基礎(chǔ)。積極推進網(wǎng)絡(luò)體系和基礎(chǔ)應(yīng)用系統(tǒng)建設(shè)，開展總部和區(qū)域網(wǎng)絡(luò)中心、數(shù)據(jù)中心建設(shè)，啟動了災(zāi)難恢復(fù)和統(tǒng)一身份認(rèn)證等項目。建設(shè)了一批海外區(qū)域網(wǎng)絡(luò)中心，將電子郵件等基礎(chǔ)應(yīng)用拓展到國際業(yè)務(wù)中。采用統(tǒng)一平臺建成的中國石油統(tǒng)一信息門戶、統(tǒng)一域名的電子郵件系統(tǒng)已成為員工日常工作的信息平臺。視頻會議系統(tǒng)大幅度提高了會議效率，節(jié)省了費用。

加強信息系統(tǒng)運行維護管理，保證了網(wǎng)絡(luò)和應(yīng)用系統(tǒng)的安全穩(wěn)定運行。信息化管理工作邁上新臺階，修改完善了統(tǒng)一的信息技術(shù)總體規(guī)劃，制定了一系列信息化工作管理制度。強化信息技術(shù)隊伍建設(shè)，形成了一批專業(yè)化定位清晰、任務(wù)分工明確的信息技術(shù)支持中心。開展了信息網(wǎng)絡(luò)安全風(fēng)險評估，編制了信息安全總體規(guī)劃及實施計劃。

中石化: 信息化規(guī)模效應(yīng)顯現(xiàn)

2007年中石化加大系統(tǒng)集成力度，深化信息系統(tǒng)應(yīng)用。信息化建設(shè)已經(jīng)從各企業(yè)、部門的局部、分散建設(shè)與應(yīng)用，發(fā)展為集團公司自上而下全局性、集成化的建設(shè)與應(yīng)用。重大項目、各業(yè)務(wù)板塊信息系統(tǒng)建設(shè)與應(yīng)用取得重大進展，規(guī)模效應(yīng)越來越明顯。

ERP系統(tǒng)推廣與應(yīng)用按計劃進行。已有上中下游70多家下屬單位的ERP系統(tǒng)上線，基本完成股份公司下屬企業(yè)和科研院所的ERP建設(shè)。對已上線ERP系統(tǒng)繼續(xù)進行完善提升，培養(yǎng)應(yīng)用典型，開展應(yīng)用達標(biāo)創(chuàng)優(yōu)活動。通過數(shù)據(jù)倉庫和財務(wù)報表合并、物資管理、銷售統(tǒng)計、審計信息系統(tǒng)等總部層面應(yīng)用系統(tǒng)，已經(jīng)能夠逐步實現(xiàn)利用ERP生成的信息監(jiān)控企業(yè)運作情況，掌控企業(yè)動態(tài)。

ERP系統(tǒng)的實施與應(yīng)用，促進了物資集中采購和統(tǒng)一儲備、財務(wù)一級核算等管理體制的改革，為各體制改革和實現(xiàn)資金集中管理提供了有效支撐。加快供應(yīng)鏈優(yōu)化系統(tǒng)的推廣與深化應(yīng)用。建設(shè)原油營運管理系統(tǒng)，優(yōu)化原油采購、運輸，深化應(yīng)用煉油企業(yè)級計劃優(yōu)化系統(tǒng)，建設(shè)化工物流優(yōu)化系統(tǒng)，提升原油評價數(shù)據(jù)庫系統(tǒng)，成品油一次物流優(yōu)化投用，二次物流配送優(yōu)化系統(tǒng)全面提升。應(yīng)用供應(yīng)鏈技術(shù)實現(xiàn)資源優(yōu)化配置，形成大物流格局，庫存水平顯著下降，資金占壓明顯減少。

開展生產(chǎn)營運指揮系統(tǒng)建設(shè)。提升完善了油田調(diào)度指揮系統(tǒng)，原油管網(wǎng)配送系統(tǒng)實現(xiàn)了對原油管輸沿線油庫、油罐的庫存情況、管網(wǎng)原油的輸送情況的動態(tài)跟蹤、監(jiān)控、實時調(diào)度和優(yōu)化，煉油生產(chǎn)調(diào)度指揮系統(tǒng)實現(xiàn)了對煉油企業(yè)生產(chǎn)情況的動態(tài)跟蹤和對主要生產(chǎn)裝置、原油和成品油資源的有效監(jiān)控，化工調(diào)度指揮系統(tǒng)和成品油銷售營運指揮系統(tǒng)，完成系統(tǒng)主要功能和統(tǒng)一集成平臺的建立，啟動HSE監(jiān)控和應(yīng)急指揮系統(tǒng)建設(shè)，逐步實現(xiàn)實時監(jiān)控企業(yè)重要生產(chǎn)過程和對生產(chǎn)事故的動態(tài)跟蹤，動態(tài)收集企業(yè)生產(chǎn)安全、環(huán)保信息。

電子商務(wù)與ERP系統(tǒng)實現(xiàn)數(shù)據(jù)共享和動態(tài)交換，積累了大量信息，為科學(xué)采購決策提供了依據(jù)。辦公綜合業(yè)務(wù)處理系統(tǒng)（OA）覆蓋總部和下屬企業(yè)，實現(xiàn)了雙向公文無紙傳輸。開展企業(yè)數(shù)據(jù)整合，建立統(tǒng)一的數(shù)據(jù)集成平臺，實現(xiàn)對ERP、MES、PIMS、LIMS等現(xiàn)有主要系統(tǒng)的數(shù)據(jù)交換和整合。油田企業(yè)在油氣勘探開發(fā)方面信息技術(shù)應(yīng)用基本形成了地震資料處理、解釋、數(shù)值模擬等技術(shù)系列，在生產(chǎn)運行方面進行勘探開發(fā)決策支持系統(tǒng)建設(shè)，推廣勘探開發(fā)源頭數(shù)據(jù)采集系統(tǒng)，啟動企業(yè)數(shù)據(jù)資源中心建設(shè)，逐步實現(xiàn)油田企業(yè)數(shù)據(jù)的集中統(tǒng)一管理，國際勘探開發(fā)綜合信息系統(tǒng)初步形成了適應(yīng)國際化業(yè)務(wù)特色的綜合業(yè)務(wù)功能和標(biāo)準(zhǔn)規(guī)范體系架構(gòu)。

煉化企業(yè)各信息系統(tǒng)的推廣應(yīng)用在生產(chǎn)優(yōu)化、過程控制、精細(xì)化管理等方面取得良好效果。生產(chǎn)執(zhí)行系統(tǒng)（MES）為ERP系統(tǒng)提供準(zhǔn)確的日平衡、旬確認(rèn)、月結(jié)算數(shù)據(jù)，生產(chǎn)調(diào)度優(yōu)化系統(tǒng)為生產(chǎn)調(diào)度作業(yè)計劃編制、優(yōu)化，停工預(yù)案處理提供了輔助工具，提高了生產(chǎn)調(diào)度人員對工作的預(yù)見性、工作效率和排產(chǎn)的精度，化驗室信息管理系統(tǒng)（LIMS）規(guī)范了化驗分析工作流程，提高了企業(yè)化驗室業(yè)務(wù)自動化水平，先進控制（APC）技術(shù)提高了裝置操作水平和平穩(wěn)率。

銷售企業(yè)應(yīng)用效果顯著。加油卡工程已在19個省市石油分公司推廣完成，基本實現(xiàn)一卡在手，各地加油的目標(biāo)，加油卡、二次物流及ERP三大系統(tǒng)的集成，實現(xiàn)了多系統(tǒng)數(shù)據(jù)共享，加強了監(jiān)控力度，油品運輸車輛GPS定位系統(tǒng)，實現(xiàn)了對油罐車的遠(yuǎn)程實時監(jiān)控、調(diào)度、跟蹤和安全行車監(jiān)督。工程建設(shè)單位在異地協(xié)同設(shè)計以及項目管理方面采用信息技術(shù)和科研單位的自主軟件產(chǎn)品的開發(fā)與應(yīng)用、化驗室信息管理系統(tǒng)應(yīng)用都取得重大進展。

信息系統(tǒng)運行維護水平進一步提高。完成了信息安全體系的總體規(guī)劃，信息基礎(chǔ)設(shè)施的安全工作持續(xù)開展，應(yīng)用系統(tǒng)安全受到高度重視，強化了應(yīng)用系統(tǒng)的用戶訪問控制，全面部署統(tǒng)一的桌面管理系統(tǒng)。

中海油: 有效支持集團戰(zhàn)略發(fā)展

2007年中國海油緊密圍繞生產(chǎn)經(jīng)營管理需要、以服務(wù)海上生產(chǎn)為目標(biāo)，堅持統(tǒng)一規(guī)劃、統(tǒng)一建設(shè)、統(tǒng)一管理、分步實施、逐步替代的原則，有效地支持集團戰(zhàn)略發(fā)展。統(tǒng)一集成的集團信息管理平臺，集團ERP系統(tǒng)和集團戰(zhàn)略、投資管理、決策支持系統(tǒng)，總部的人、財、物系統(tǒng)，各單位的生產(chǎn)管理、設(shè)備維護、銷售管理和專業(yè)應(yīng)用系統(tǒng)，構(gòu)成一個平臺、兩個重點、三縱四橫的集團信息化體系架構(gòu)。中國海油的信息系統(tǒng)應(yīng)用在戰(zhàn)略決策、經(jīng)營管理、生產(chǎn)科研三個層面都取得良好效果。

ERP系統(tǒng)第二批推廣單位已按計劃上線運行。中國海油的ERP項目按照“國際一流、國內(nèi)領(lǐng)先、海油特色”的要求，利用咨詢公司的實施經(jīng)驗，采用國際先進的實施方法論，先做標(biāo)準(zhǔn)模板，再穩(wěn)步推廣。在集中統(tǒng)一的軟硬件系統(tǒng)平臺和共享服務(wù)支持體系的支撐下，二級單位的ERP既是一個獨立的系統(tǒng)又是整個集團系統(tǒng)中的有機組成部分。集團負(fù)責(zé)制定統(tǒng)一的標(biāo)準(zhǔn)模板、統(tǒng)一的數(shù)據(jù)標(biāo)準(zhǔn)和規(guī)范，管理模板和標(biāo)準(zhǔn)的更新與維護，各公司按統(tǒng)一的模板和標(biāo)準(zhǔn)實施。

通過建設(shè)ERP系統(tǒng)，提升了集團管理控制能力，實現(xiàn)了業(yè)務(wù)流程軌道化、財務(wù)業(yè)務(wù)一體化、系統(tǒng)數(shù)據(jù)標(biāo)準(zhǔn)化、決策支持模式化的目標(biāo)。ERP項目在降低成本、提高效率、提升公司治理和風(fēng)險控制水平等方面發(fā)揮了重要的作用。全面預(yù)算系統(tǒng)采用全球企業(yè)績效管理軟件領(lǐng)域中的領(lǐng)先產(chǎn)品，選擇國際著名的咨詢公司提供服務(wù)和技術(shù)支持，實施范圍包括集團本部、二級單位和三級單位。全面預(yù)算系統(tǒng)與ERP之間的有效集成將構(gòu)成科學(xué)的預(yù)算編制和管理平臺，提高預(yù)算編制與分析效率，為企業(yè)管理注入新的動力。

中國海油在專業(yè)應(yīng)用信息化中注重實效和自主創(chuàng)新，獲國家科技進步二等獎的《海上中深層高分辨率地震勘探技術(shù)》成為海洋油氣勘探的主要手段之一，地面測試數(shù)據(jù)采集系統(tǒng)利用信息技術(shù)提升了油田服務(wù)的作業(yè)能力，綜合利用各種信息技術(shù)建立起應(yīng)急指揮中心，實現(xiàn)了海上重大設(shè)施的動態(tài)應(yīng)急管理。建立起了世界一流的三維可視化地質(zhì)綜合研究中心。地震數(shù)據(jù)庫、鉆井?dāng)?shù)據(jù)庫、生產(chǎn)動態(tài)數(shù)據(jù)庫、油氣儲量評估及管理系統(tǒng)、鉆井遠(yuǎn)程控制系統(tǒng)、測井?dāng)?shù)據(jù)傳輸系統(tǒng)、MES系統(tǒng)、計劃和預(yù)算管理系統(tǒng)、倉儲管理系統(tǒng)、項目管理系統(tǒng)等專業(yè)系統(tǒng)取得進展。

信息技術(shù)基礎(chǔ)設(shè)施采用成系列的產(chǎn)品、擴展能力和性能良好。作為信息系統(tǒng)體系的重要組成部分，建立了集團的業(yè)務(wù)服務(wù)管理系統(tǒng)（BSM），形成集團內(nèi)統(tǒng)一的IT/業(yè)務(wù)服務(wù)接入平臺，實現(xiàn)了基于ITIL的三級運維體系。建立服務(wù)流程持續(xù)優(yōu)化的管理流程，不斷完善管理制度。實施IT內(nèi)控管理規(guī)劃項目，按照國際標(biāo)準(zhǔn)進一步規(guī)范集團各單位的信息化建設(shè)行為。

2008: 將以應(yīng)用為主

2008年石油石化行業(yè)將在黨的十七大精神指引下，按照國資委的要求，利用信息化手段加強集團控制力，為企業(yè)加強管理、集中資源做強做大主業(yè)、規(guī)避經(jīng)營風(fēng)險做出貢獻。

信息化將從以信息系統(tǒng)建設(shè)為主向更加重視應(yīng)用發(fā)展，將更加重視信息系統(tǒng)應(yīng)用的深化，更加重視管好用好已有的信息系統(tǒng)和IT資產(chǎn)，通過集成已有系統(tǒng)和建設(shè)配套系統(tǒng)提升信息系統(tǒng)和信息資源的應(yīng)用價值。應(yīng)用管理與應(yīng)用隊伍建設(shè)、安全與運維、集成與信息資源增值應(yīng)用將成為2008年石油石化行業(yè)信息化工作的重要內(nèi)容。節(jié)能減排領(lǐng)域的信息技術(shù)應(yīng)用和以信息系統(tǒng)支持企業(yè)應(yīng)對歐盟REACH（Registration、Evaluation、Authorization of Chemicals，關(guān)于化學(xué)品注冊、評估、授權(quán)）法規(guī)的實施將受到關(guān)注。

作者簡介